第一篇:中国铁路客票系统网络安全问题的探讨
中国铁路客票系统网络安全问题的探讨
一、中国铁路客票发售和预订系统简介
中国铁路现有5155个客运站,日发送旅客300多万人,每天发售数百万张客票。为了提高我国铁路客运现代化水平,铁道部从95年开始在一些大站开始逐步实施计算机联网售票。按照总体规划,整个客票发售和预订系统采用集中与分布相结合的客户机/服务器结构,它由1个全路票务中心、29个地区票务中心及车站电子售票系统三级组成。数据通讯广域网采用已建成的覆盖全国的铁路X.25网(正在扩为帧中继网),局域网采用以太网,使用TCP/IP协议,中国铁路客票系统结构如图一所示。系统软件环境:票务中心为UNIX操作系统与SYSBASE数据库,售票窗口为WINDOWS。整个系统建成后将有几万台微机联网,成为世界最大的铁路售票系统。
中国铁路客票系统将是一个大型有价票证制作和管理系统,它不仅为用户提供本地及远程的购票服务,并且还与其他网络互联提供综合服务,因此必须保证整个系统在各个阶段特别是网络的安全性和可靠性。
二、保证铁路客票系统网络安全的具体措施
对于我国铁路客票系统网络的安全措施必须满足应用系统数据安全性的要求,因而在各级数据库服务器和通信服务器中都应有网络安全措施,应根据不同层次,不同应用设置相同的访问控制、密钥等,并应能留下操作轨迹以备查阅。
1、带包过滤功能的路由器使用
在铁路客票系统网络中,使用带有包过滤器功能的路由器多个,各子网相互隔离开来。各级票务中心的子网均通过这种安全功能的路由器后接入铁道部X.25网或其他外围,包过滤路由器(Package Filte rs Router)是一个可检查通过它的数据包的路由器,它限定外部用户进入局域网的数据包,通常运用IP地址和端口号来限定处理,也就是依照协议按照规则允许某些IP范围的某些端口号通过路由器,同时限定其它IP地址的某些端口号的通过。由于包过滤是在协议“下三层”实现的,包的类型可进行拦截和登录。它通常直接
转发报文,对于用户是透明的,而且速度较快。比起其它类型防火墙来说,它比较容易实现。
2、建立各级网络安全模块
全路各级票务中心所属子系统都应具有网络安全模块。主要由该网络操作系统(NOS),相应主/备机操作系统(OS),和相应数据库管理系统(DBMS)等的安全功能所组成。其中网络操作系统(NOS)的安全功能主要有:安全管理(即物理安全)、访问控制(资源权限)和传输安全(密码技术)、故障管理(即故障检测)、隔离措施、容错实现以及重新加载等技术。监督管理即监督用户程序和文件的使用,识别并阻止非法用户的非法访问,一般是通过系统的日志文件和安全审计功能加以实现。此外,它还配合主机的操作系统(OS)及数据库管理系统(DBMS)的有关安全管理功能共同实现网络安全管理的任务。
一般说来,网络硬件设备安装的同时,提供设备的厂家也将提供网络安全模块,对于应用系统安全功能的设计者主要是选择网络安全模块所提供的功能,匹配主机操作系统(OS)及数据库管理系统(DBMS),再依照应用系统不同层次级别的用户作出相应的规划与设置,综合并协调各安全功能的作用,达到统一的所要求的安全级别。网络安全模块应具备如下基本功能: 用户访问的许可控制、访问监听、病毒预防、安全性管理及出错管理、目录和文件的安全性操作、用户管理系统、备份窗口、事件观察窗口等等。
应用系统设计者应首先了解这些功能使用的条件、方法,然后规划本票务中心所属各用户信息交换的级别分类分组;另一方面,相应地对数据、文件资源赋予不同的使用权限,两者有机地结合,达到安全应用的目的。当然也可以把主体和客体放在一张表里,以矩阵形式构成访问控制。这些是系统安全模块的依据。
3、系统第一道防线棗用户身份识别
凡是用户终端(本地和远程),也包括网络应用系统的维护和管理用终端,要想进入并使用该系统都必须向系统提交其用户标识和口令。系统根据用户标识判断其是否为注册用户;如果是,再根据口令判断其合法性,如果是合法用户,则接受用户,反之拒绝用户。
口令识别是一种低成本、易实现的用户识别技术,在计算机系统内广泛使用。但它也是最容易受到攻击的部分。使用口令机制关键在于不定期更新口令,至于更新周期要看具体应用情况而定,不同的系统可制定不同的动态变化的更新时间,如一般可在3~6个月更新。另外,应将口令加密后再存放。用户注册时,先输入用户的标识和口令,系统将该口令加密,然后与口令表中的口令密文进行比较,若两者相等,表明用户为合法用户。口令的加密算法常采用单向加密算法MD5算法。在UNIX系统中将它加以改进成“口令扩展法”,即把用户注册时间与用户标识组成12位的数字称为保留信息R。保留信息R对每个用户是唯一的。把保留信息R附加到用户口令PW中,作为一个整体加密处理。这样的口令机制既有了动态随机性,又克服了两个相同口令有相同密文的缺陷,较大程度地提高了系统注册的安全性。无论是MD5算法,还是口令扩展方法都包括在主机操作系统之中,供用户选择调用。
4、防火墙的设置
将客票系统的应用服务分为公共信息服务和应用网关代理服务部分,诸如用户对客票系统的查询服务等,这一部分是“公开的”,应方便快捷地向用户提供公共服务信息。
对于客票系统内部的上下级管理,或者用户远程订票等项服务等,则可采用代理服务方式,也就是说,要经过必要的审查,看是允许还是限制,以至禁止某种访问。这样便可以更好地保护系统的安全和系统上数据的安全。铁路内部网络与铁路外部网络要隔离开来,通过 Gate NET这一安全模块即网间防御系统。实际是一组功能完善的防火墙。它的基本安全策略是把内外信息交换分成两大部分,公共信息服务部分和应用网关带领服务部分。将被频繁访问的公共信息服务如查询服务等放在Gate NET内,外部网络上的每个用户都可方便地访问它们,不必经过网关处理,这样有效地减轻了整个系统的负担,提高了网络的效率。
应用网关代理服务提供了铁路内部与外部网络之间的文件传输服务,远程登录服务、电子邮件代理服务等,访问这部分并希望得到相应工作服务要严格受到控制。这样组成的网间防御系统是灵活的,也是安全的。
基于包过滤(筛选路由器)的防火墙,不仅用于铁路客票售票系统网络
设置的多个路由器,还可以将包过滤的防火墙功能用于其它部分,如数据库。
三、网络安全产品的选择
1、保密终端
铁路售票终端可选择插入加密卡(扩展卡)的方式实现保密终端的功能。如FORTEZZA加密卡。基于硬件的加密卡,可以插入宿主平台上,其保密应用于电子邮件(Email),电子商业及数据交换(EDI)、文件传送、文件存储、远程数据访问、全球网远程识别、数字签名、加盖日戳能力、验证等等。它采用了新一代Copstone芯片,其上嵌有 SKIPJACK加密算法,使用公开密钥密码体制技术,专用密钥只有用户自己保存,该密钥放在PC卡上可防止用户周围的人窃取。它最大的特点在于它能够在FORTEZZA卡上同时进行数据的加密和数字签名。FORTE ZZA加密卡可以集成到保密网中起安全服务器的作用。
像铁路客车售票系统的销售终端可采用加密卡方式,对敏感信息进行保密处理,并由售票员进行数字签名,以防篡改和推卸责任。
2、保密平台的实现
日本NTT公司开发的保密平台(实用软件),可应用于在局域网的客户机棗服务器方式下的办公室自动化业务(OA)中。它具有加密(快速FEAL加密算法)、密钥分配、管理,实体鉴别服务、各种检测等功能,该平台能为各种类型的OA应用程序提供高等级的安全服务,从而增强了在局域网LAN上客户机棗服务器OA业务的安全性。
这种平台具有如下的功能:防止“窃取”数据;非法窥视其它用户终端;沿传输路径窃取数据;非法存取服务器上的数据棗使用加密和访问控制手段。防止“假冒”:未经许可使用其它用户的标识(ID);未经许可的业务棗使用该公司的实体鉴别技术(ESIGN)及容许校验手段。
在铁路客票售票系统中,各种类型的服务器,各售票站点,城市或地区票务中心的服务器都可以选用这样的保密平台(软件),一揽子解决各种安全要求,并且只需通过简单的应用接口装置即可实现。
3、Windows软件的加密技术
Windows软件已广泛使用,在此环境下的应用软件如何保密、提高安全性呢?其基本加密技术方法是变形法(经过予处理后,变成不可运行程序,但保密性不强);外壳法(在原软件的外面罩上一层“外壳”,在原软件运行前必须先识别它的键Key,方可运行。但对用户的技术要求较高,好处是不改变原软件,保密性也好);内嵌法(在原软件内部选择某一个嵌入点,嵌入检测键(Key)的模块,以判断用户的合法性。但实现起来较困难,保密性较好)。一般Windows可执行文件都可使用以上几种方法。
4、RSA通用程序
是电子部华北计算所开发的加密程序。所谓通用即使用了移植性好的C语言实现,它的速度介于汇编语言与其它高级语言之间。由于C语言缺少汇编语言所提供的进位标志位和一些存放结果寄存器的支持,这给构造大数运算带来很大的麻烦。为此,已开发补充了某些特殊机制功能。另外应用程序中全部使用与机型、OS无关的标准库函数,专门开发了符合CCITT建议的哈希(HASH)函数子程序,作为通用程序的可加载模块,以适合于“数字签名”的实现。数字签名作为报文验证的一种手段更强于一般的报文验证,它只有发方本人才能编制的,任何人都能验证的技术手段叫做数字签名。它可以防止报文的篡改和抵赖。
5、DataCryptor 64E数字包端---端保密机
这是英国RACAL公司生产的X.25网络的数字保密机。用于保护经公用和专用包交换网传输的敏感而有价值的信息。在传输之前将数据加密,加密后的数据经网络传输,在其终点予以解密。
主要特性:安全的密钥管理系统;DES或专利加密算法;广泛的故障诊断;告警报导;备有电池存贮器保护;可供选择的接口;支持多至256个虚拟电路;前面板可编程程序等。
四、防火墙产品的选择
1、用于公用电话网远程访问的防火墙产品:
Modem Security Enforcer,它可保护内部网络免遭来自调制解调器和公用电话网的非法入侵。
2、Dgital对UNIX的防火墙
Digital防火墙中所使用的技术已经对Digital公司800个节点的网络进行了5年的保护。铁路系统的计算机设备中有不少配置了UNIX系统。
3、IBM Internet安全网络网关
它是一个功能极强的安全网络网关。它支持高级包过滤、报警地址和RS/6000应用网关代理,还支持标准密码、SecurceNET卡。SecarI D卡的几种用户身份验证。安全网络网关自动执行安装的强化过程,禁止不可信任的UNIX和TCP/IP服务和协议。
4、NetGate
工作于SPARC(Solaris Or Sun os)平台上。它基于规则的包过滤监控TCP/IP网络上的活动。主要优点是高速度和低价格。
5、Private Internet Gxchange(pix)Firewall
它采用地址转换来保护内部网络。这一设备在Windows95环境下配置,对用户没有任何影响。它同时支持16000个连接。执行地址转换速率达45Mbps。中国铁路客票发售和预订系统是高新技术的集成,是一项非常复杂的系统工程,我们在这方面的研究只是一部分,许多还需要在应用中得到改进,我们希望中国铁路客票发售和预订系统日益完善,达到我们希望的总目标。
第二篇:案例1-中国铁路客票发售和预定系统
中国铁路客票发售和预定系统
中国拥有总里程超过五万公里的铁路线,是世界上最大的铁路运输网之一。而铁路客运服务在其中又占有非常重要的地位。其中有5000多个车站承办客运业务,日开列车2000多列。为了在日益加剧的客户运输服务竞争中确保优势,改善铁路客户的服务质量,铁道部门一直在努力寻找提高竞争力、改善服务的新途径。中国铁路客票发售和预订系统的特殊性
综观国外许多已成功运用多年的客票系统,有其成熟的经验可以借鉴,而当今计算机和网络技术的飞速发展则为我们提供了很好的条件。但中国铁路客票系统有着自己的特殊性,主要表现在以下几点:◇ 规模庞大: 如前所述,中国铁路有 5000 多个车站承办客运业务,日开行旅客列车 2000 多列,系统建成后将有几万个窗口机需要联网,每年客运量大于 10 亿人次,最高日发售客票高达 400 万张之多,可以说没有任何一个国家的铁路客票系统具有如此庞大的规模。
◇ 实时性强: 中国铁路客票发售量不但大,而且热线车票和售票时间较为集中,在售票高峰时,将会同时产生 4000-5000 个座席申请,其中有相当数量是对同一时间、同一车次、相同座席的请求。为保证响应速度,对网络时延的要求非常高,计算机处理一张票的总时间一般应小于 7 秒,其中网络通信时延要在 2 秒以内,而我国的通信条件又恰恰比较落后,要满足这样的要求则具有一定的难度。
◇ 票务管理复杂: 中国是一个发展中国家,人口众多,铁路旅客运输是主要的交通运输方式。从整体上讲,客票的发售和预订在数量上是供不应求,因此,每一张客票均要精确地确定座席,并且是当日当次有效。加上票种繁多、票价复杂、票额预分、座席复用和规章众多等等,给数据组织和数据库管理增加很多约束条件和困难。而国外发达国家由于铁路运输能力是供远大于求,其主要客流集中在市郊和地铁,客运管理简单,对系统功能要求不高,除部分国家在预约客票中考虑了座席外,大量的售票业务都不必处理座席信息,其系统开发的难度则比中国小得多。
◇ 多级网络结构: 由于国外系统起步较早,且通信发达,大多数采用集中处理的主机/终端方式,而我国幅员辽阔,通信条件较差,根据实际情况,将采用近代发展的集中与分布相结合的客户机/服务器体系结构,这对大规模信息系统的应用也是探索和创新。
◇ 管理体制改革: 中国铁路部门在长期的手工作业过程中,为解决运量与运能的矛盾,建立了一整套严格的行之有效的客票发售组织与管理制度,但在很大程度上并不适应现代技术和新系统的运用,这在系统建设过程中将要有所打破、有所创新、有所改革,也增加了系统开发的难度。
上述种种特殊性说明,中国铁路客票系统的复杂程度远远高于国外的售票系统。
系统目标
中国铁路客票发售和预订系统的最终目标是建立一个覆盖全国铁路的计算机售票网络,实现客票管理和发售工作现代化,从而方便旅客购票和旅行,提高铁路客运经营水平和服务质量,达到国际先进水平,成为世界上规模最大的铁路客票发售和预订系统。具体目标如下:
- 实现全路快车营业站计算机联网售票,以机器代替人工作业,以软票替代常备客票。在任一售票窗口可发售任意方向和任意车次的客票,最大限度地为旅客提供方便。
- 系统可预订、预售和发售当日客票,具有售返程、联程等异地购票功能。
- 系统预售期近期为 10 天,远期为 30 天;预订期近期为 2个月,远期为半年。
- 实现票额、座席、制票、计费、结算、统计等工作的计算机管理。逐步形成统一的客票信息源,实现信息共享。- 加强客票信息管理与分析,提高座席利用率,为铁路客运组织与管理工作提供辅助决策支持。
第三篇:购买中国铁路客票完全攻略
购买中国铁路客票完全攻略
购票前:关键:了解常识;做足准备;异地与换乘
1、计划试再购票前非常重要的一项准备,千万不要想当然的临时去窗口询问某某车有没有车票,那样最有可能导致最终的购票失败;
2、计划购票的内容包括:了解你所在车站至到达车站的所有列车信息,包括:车次、列车种类、列车等级、列车详尽运行时刻,最关键的是通过网络、车站等了解各次列车在本站的票额预留情况,在这当中,不妨多去车站的几次售票厅。所了解的信息越多对你的购票就越有帮助;
3、列车等级共分为:直达特快(Z)、特快列车(T)、跨局快速(K)、管内快速(N)、跨局普快列车(3000以前的四位数车次)、管内普快列车(4000-5999之间的车次)、管内普慢列车(6000-8999之间的列车)、临时旅客列车(L)、旅游列车(Y)与在现有临时旅客列车基础上再加开的临时旅客列车(A)。因为前不久铁路整改原因,某些跨局快速列车现在依然以N打头(如武昌—西安的N358次)。在这里,以Z打头的列车等级在全路是最高的,正点情况下不避让任何列车,T车的等级仅次于Z,在某些情况下有的T需要避让Z,正常情况下T不会避让除Z以外的列车,K与N的关系就有点难以阐述,并不是K就比N的等级高,有时候K也需要避让N(如深圳—岳阳的N722次在衡阳—株洲区间要超越广州—贵阳的K65次),当然,还有的跨局普快还会超越K车,同等级的车也存在避让(如广州—信阳的K10次在汉口—信阳区间被汉口—包头的1482次和汉口—大连的K370次超越,并且在时刻表上K10次显示从汉口中途不停站到达信阳),管内普快列车与管内普慢列车的等级最低,需要避让所有的客车和部分货车,普慢列车属于逢站必停、逢车必让的类型。L、A、Y属于临时列车,所以它的运行受具体情况的影响,不过,通常临客列车是按照货车来排点运行。从以上看来,看某趟车究竟有多快还是要比较它的运行时间,不能当从车次和票面所打印的信息(新空调硬座快速/硬座普快等)来肯定列车运行的等级;
4、按照铁道部规定的列车里程票价,Z、T、K、N在同席别、同里程、同种票的种类其票价都是一样的,但是各个铁路局会对其开行的部分列车执行票价折扣,有的是一档、有的是二档。这也说明了为什么有的K、N车票价比T车还贵。跨局普快列车与管内普快列车的列车票价是一样的,管内普慢列车的票价最低。在这里,同等级的空调列车与非空调列车的票价差别大约在50%左右。还有个例外,就是乘坐广深铁路股份有限公司的列车票价会更为贵一些,因为它执行的是广深公司的票价。(如:长沙—深圳硬坐T67次、T95次、T175次、K7次需要113元,而N721、N737次需要150元左右)。在票价上,学生硬座票=硬座全价票÷2+1(手续费),学生硬卧票=硬卧全价票-学生硬座票+1(手续费),举个例子:从上海—昆明K79次,学生硬座票=288÷2+1=145元,学生硬卧票(下铺)=519-145+1=375元。软席票不能享受学生优惠。春运期间部分列车会涨价。
5、通过车站售票厅票额剩余动态LED显示屏可以最直接、最方便地了解到本站所有列车的席别预留情况。虽然车站宣称该显示屏所显示的内容仅供参考,但是通过它可以从侧面反映出列车的许多情况。从有席位的车票(RW、RZ、YW、YZ)来看,如果某某车在某天显示还剩余n(n>10)张车票,很大程度上说明该车在本站属于较冷门的列车,只需提前一定的天数即能购买到车票;如果某某车在某天显示还剩余n(n<5)张车票,那么请千万不要想碰碰运气,也许这种车就算你拿到硬座车票也挤不上去。绝大部分列车会在部分中途车站进行一定的席位预留,这时你要了解它的限售区间,否则你只能购到无座车票(如广州—贵阳K65次在株洲站有充足的YZ预留,但是从株洲—湘潭、娄底、冷水江东只能打出无座车票,这就说明了K65次在株洲限售冷水江东以远,至少买到怀化才有座票发售)。有的列车属于全程对号,如T124次从广州—长春买不到卧铺了,而到长沙就有卧铺票,这就说明了这个铺位是在长沙预留的。当然,每个车站都会对过路的列车实施一定的无座票发售,如果连无座票剩余都显示为0,那么我们最好不要打此车的主意。如果你要购买无座车票的话,那就得看你对列车的了解怎么样,是否知道某趟车即使持有无座票上车也能找到座位或是补到卧铺。
6、全面、详细了解车站的临时旅客列车信息,特别是到了春运期间,各趟图定列车车票变得一票难求,所以,车体情况与到开时间并不是影响我们出行的第一因素,能否走和车厢拥挤程度成了我们最关心的话题。能买到临客列车的车票我们应当感到庆幸。
7、购票前期准备尤为重要的还有异地票与换乘。现在进行异地购票与换乘的人群通常是在两地没有直通列车的情况下进行。比如说,从广州—乌鲁木齐,通过了解时刻表,我们应该去汉口、郑州、西安、兰州换乘,并应当尝试在广州售票窗口买汉口(T192)、郑州(T198)、西安(1043)、兰州(T295)的异地车票,当然在买票之前就应该想好如果买到了某趟车的异地票,我们要接着买哪趟车的票去换乘,并且要防止在这趟车没票的情况下再购买其它点适合的列车,换句话说,就是要准备好两套以上的换乘方案。当然,购买异地车票与换乘不仅仅局限于这样的情况,当路过本站的列车在本站的预留车票已售完时,我们可以尝试购买该趟列车所经过附近车站的预留车票,当然,异地车票只能购到有席位的车票,不能购到无座车票。举个例子,我们买K186次从株洲—北京西,当株洲站的车票已经发售完毕时,我们可以在株洲车站购买K186次在长沙、岳阳、衡山、衡阳的预留车票。这样购买,你须缴纳5元的手续费,且你的乘车区间是票面上所写的,假如我们在株洲买到K186次长沙—北京西的车票,那你的乘车区间就是长沙—北京西,按照规定来说,从株洲—长沙你还要单独买票,如果出不了票,那你只能想其它办法(坐汽车或是想办法进站上车再说)。如果你买的是从衡山或衡阳到北京西,那么在株洲站就可以直接上车,有一个问题,卧铺票在开车两小时后仍无人使用,那么车长就会自行处理该铺位,而硬座票没有时间限制。当然我们还要了解各个铁路局的联网售票情况,虽然铁路称在任一网点可以购到全国各站列车的车票,但是各个路局在车票紧张的时期可能会不对其它铁路局放票,把票留给本局进行销售。在某局能否买到另一个局的车票这就要看你的运气了!不过,可以肯定的是,Z打头的列车在全国任一网点都能买到!当我们买不到异地票进行换乘时,我们应该购买通票。C8I
9、在两地间有直达列车但是票非常紧张而且车又拥挤的话,我们不妨考虑换乘。在两地间的一个合适的车站,从你所在的车站选择一趟比较舒适的列车前往中间站,再在中间站前往目的地。当然,这个中间站一定要选好,这是关键,要全面了解出发站到换乘站以及换乘站到目的站的列车情况。比如说,从株洲—昆明的车票常年紧张,且人也比较多,我们选择在贵阳车站进行换乘。在株洲坐K65次前往贵阳,在21:13到了贵阳以后又好多车到昆明(K167、K337、T61、K79、K159),特别是K337与T61和前方车站作比较拥挤程度已经下降。K65次在株洲又充足的YZ预留,并且它挂了11节YZ车,即使买到无座票上车也很轻易地能找到座位,K65次采用全列25G塞拉门车体,乘坐相当舒适。当然K167、K337、T61、K79、K159在贵阳已经没有预留,我们只能购买通票,到贵阳站以后去改签。当然,如果我们在换乘车站能确信不能签到车票,那我们可以在站台上等着车进站上车再补票,如果出站签不到车票,而车站又不卖站台票或是不让进站的话,我们进站又是一件麻烦的事情。6Y(B?
10、铁路的客票剩余不仅仅是留存在售票窗口的电脑里,每个车站都有自己的计划室,票额都首先要过计划室才能到达窗口销售。某某车站公布提前N天售票,但是即使是你排在第一个,你可能还是买不到,这是因为这个车站可以提前比N大的天数出票,计划室首先把票(特别是热门列车)留给有需要的团体或是个人,在开车前一两天如果该趟列车车票还没有售完,计划室就会把票放到窗口,这就是有的人会碰到好运气的原因。铁路售票系统的时间菜单可以无限制地往下拉,提前N天售票是车站人为规定的,车站只是担心如果车票预售期太长,发生不可预知的情况时,给旅客造成损失,比如说,列车改点、停运等等。当然,Z打头的列车预售期最长,且全国任一联网售票点都能购买到。.n-
11、综合以上常识,我们去车站购票时最好准备两套以上的出行方案!当然,向旅行社订购车票也是一个值得推荐的方法,虽然到旅行社订票要花几十元的手续费,但是,破钱消灾,免去一切烦恼……J----:Mi7 购票中:关键:镇定;讲清楚;不要轻易“相信”售票员的话)
1、关于购票的时间,我个人认为在半夜买票是比较好的选择。因为半夜的人相对少一些,售票员有时间帮我们看所有的出行方案是否有票;在此,我建议买票时两三个人一同去,并在不同的窗口排队,当这个窗口没有票时,我们可以迅速再到另一个窗口询问。不要想当然地所有的窗口都是一样的,不错,窗口都一样,但是,售票员不是一样的!你买得到票与否和售票员有很大的关系!在购票之前,我们一定要根据我们的出行方案想好可能出现的情况并且准备应对措施!CYlf
2、在排到窗口后,首先,我们不要紧张,说话不要太快并且尽量清晰,依次把日期、车次、目的地、席别、种类、数量说清楚,例如:你好!请帮我看一下1月10日的K65次到贵阳有没有硬座……买票时最忌讳一来就问到哪里还有没有车票,这样的话售票员如果有功夫的话跟你看一看热门车,接着来一句:没有了!这下你是不是僵住了?从售票员的心理来看,她们也很烦躁,当你要求她帮你选车次时,一般她们只会看固定的几趟热门车或是尽量销售本局的列车。所以,我们一定要报车次还有日期,并且坚持要她在键盘上操作(不要相信她说没票就以为真的没票),如果屏幕显示出来的计划有红色字体,那就是站票;如果计划显示是全部都是黑色的字体,那么恭喜,至少是有硬座了!如果屏幕上一直显示提示对话框,那么总之就是没票了!G
3、在确定没有票之后要迅速反应让售票员打附近车站的异地票,如K186从株洲—北京西没有票了,我们一下就要反应:那你跟我从长沙打看一下有没有?再帮我从岳阳打看一下?当然,学生票不能从列车已通过的车站购买异地车票,不过,拿K186来说,株洲、长沙、岳阳都没票了,只有衡山、衡阳有票时,也许有比较好的售票员会卖也说不定。这也是我建议大家去不同窗口尝试购票的原因。(有的车站就是明明可以卖学生票但是某些售票员就是不卖,还说这是规定不能像这样卖的)tfo0uC
4、如果连站票都没有,我们也许应该尝试换乘了。首先还是买异地票,异地票并不是一定要再该车的始发站买起,在该车的中途任一车站,只要有预留车票并且票额对外开放的话,我们还是有机会买到该车从中途车站发车的车票。买通票时可以这样:你好!我要一张通票,某月某日的几次车,到哪里(目的地),在哪个车站转车,硬座/硬卧。站票也可以购买通票。在购到票后要检查票面得日期、车次等信息对不对。&
5、关于售学生票的具体规定,实在是不好定论,因为中国的售票网点太多了,再加上每个售票员都不一样,所以有的时候能否买到学生票还是要看售票员。q`H
6、如果准备得非常充分,但依旧还是买不到得票得话,那就是没有办法了!改乘其它交通工具或是找旅行社吧!或是看看能否买站票进站上车再补或是想其它方法进站。!K0~u^--------u0/ 购票后:关键:作好乘车准备;要考虑到某些能预知的因素(如太过拥挤无法上车)IDyT}"
1、看清发车时间,特别是异地票,票面发车时间并不是你所在车站的时间,是从你买起车站的发车时间;Oc
2、关于票面信息:左上端得红色字母数字是票号,在最底下有三组条形码(中间有明显空格),第一组倒数四位数为购票的日期,这个时间是以铁路购票预定发售系统V4.0的时间为准,有时会与真实时期有差别,日期前面是所在购票地点售票的窗口号,这个根据各个车站规定有所差异;最后一组最后四位数为两地间的距离(KM);关于硬座号,在定员为128人的22、单层25B、25G、25K型客车非列车长办公席车厢,尾数为0、9、4、5和1、118为窗口座位,软座车、双层车均无规律,一般列车长办公席车厢就是与餐车相邻的硬座车厢,具体编组信息请点击:http://www.xiexiebang.com/smart40/CompileListBkq=
3、如要退票,现在新规定只固定核收20%退票费;k.:
4、如果乘坐直达车拥挤得无法上车,那么我们可以选择到其它车站换乘,碰到好一点得列车员和车长,他们不会再收取你的补票费,到达换乘站时再去进行“中途下车改签”。如:在五提之前,我从株洲—昆明买了K181次,当时就没挤上车去,然后我的反映就是乘坐接下来的2513次到桂林北换桂林北—昆明的2055次!那次的2513列车员就没有叫我补票,到了桂林虽然签到无座票,但由于是始发车,上车还是找到了座位!当然,一本全国铁路旅客列车时刻表是少不了的,另外,由于2055是隔日开行,所以我还致电桂林北问讯2055到底是哪天开行。q(bc
5、我有一个小技巧,也是我的乘车经验,还是从株洲—昆明,我是这样买票的:在株洲站买K65次到怀化,有座位,在株洲站买K79次怀化—昆明,也打出了座位。但是我在乘坐的时候我就在K65上从株洲一直坐到贵阳再换K79!因为K65人少并且舒适,硬座可当卧铺睡!并且我买的还是学生票,一开始那个售票的还不卖说不能像这样买,我一再坚持说这样是可以买的,然后她把领班叫出来问,结果当然是可以卖了!假如K65过了怀化查票的话,那就得看你怎么说了,装无知与装可怜是很有可能过关的(辛好K65从来不查票)~~~当然,我觉得那次我应该买T61从怀化到昆明的异地车票,因为我后来才知道,T61在怀化也有预留的噢!
第四篇:网络安全问题总结
计算机网络安全内容:
1、网络实体的安全
2、网络系统的安全
计算机网络安全的目标
1、完整性
2、可用性
3、机密性
4、可控性
5、不可抵赖性
计算机网络面临的威胁
网络实体威胁:
1、自然因素的威胁
2、电磁泄漏产生信息泄漏、受电磁干扰和痕迹泄漏等威胁
3、操作失误和意外事故的威胁
4、计算机网络机房的环境威胁 网络系统威胁:网络存储威胁
网络传输威胁:截获、中断、篡改、伪造
恶意程序威胁:计算机病毒、计算机蠕虫、特洛伊木马、逻辑炸弹 网络的其他威胁
影响网络安全的因素
1、自然因素:自然灾害的影相、环境的影响、辅助保障系统的影响
2、技术因素:网络硬件存在安全方面的缺陷、网络软件存在的安全漏洞、系统配置不当造成的其他安全漏洞
3、人为因素:人为无意失误、人为恶意攻击
P2DR模型
策略Policy:是核心,所有的防护、检测和相应都是依据安全策略进行实施 防护 Protection:系统安全防护、网络安全防护、信息安全防护
检测 Detection:检查系统本身存在的脆弱性;检查、测试信息是否发生泄漏、系统是否遭到入侵,并找出泄漏的原因和攻击的来源。响应 Response:解决潜在安全问题 PDRR模型
Protection、Detection、Response、Recovery
网络安全体系结构
层次结构:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层 TCP/IP协议:物理网络接口层、网际层、传输层、应用层 安全服务:
1、鉴别服务
2、访问控制服务
3、数据保密性服务:连接的保密性、无连接的保密性、选择字段的保密性、流量保密性
4、数据完整性服务:有恢复功能的连接完整性、无恢复功能的连接完整性、选择字段的完整
性、无连接完整性、选择字段无连接完整性
5、抗抵赖服务:数据源发证明的抗抵赖、数据交付证明的抗抵赖 安全机制
1、加密机制
2、数字签名机制:(保证三点)报文鉴别、报文的完整性、不可抵赖
3、访问控制机制:确定访问权、建立访问控制机制的手段
4、数据完整性机制
5、鉴别交换机制
6、业务流填充机制、7、路由控制:路由选择、路由连接、安全策略
8、公证机制
安全管理
系统安全管理(活动):总体安全策略的管理、与其他OSI管理功能的相互作用、与安全服务管理和安全机制的交互作用、事件处理管理、安全审计管理、安全恢复管理 安全服务管理(活动):为安全服务指派安全保护的目标、制定与维护选择规则,选取安全服务所需的特定安全机制、协商需要取得管理员取得同意的可用安全机制、通过适当的安全机制管理功能调用特定的安全机制、与其他安全服务管理功能和安全机制管理进行交互 安全机制管理:密钥管理、加密管理、数字签名管理、访问控制管理、数据完整性管理、鉴别管理、通信业务流填充管理、路由控制管理、公证管理
网络安全协议
一、数据链路层安全通信协议 在数据链路层提供安全机制
优点:无需对其他任何上层进行改变就能对所有数据加密,提供链路安全;能够有硬件在数据传输和接收时轻易实现,对性能的影响很小能达到速率最高;能够和数据压缩很好的结合起来;对流分析能提供最高的保护性;对隐通道能提供最高的保护性;基于网络攻击的途径最少。
缺点:只能应用在两个直连的设备上,而数据在网络上传输时重要的是端到端的安全,在单独的链路上加密并不能保证整个路径的安全性;局域网并不能提供链路层安全;最高的通信成本;新节点加入时需要电信公司重新配置网络。
PPP协议
部件:HDLC部件、可扩展的LCP部件、NCP部件
建链过程:链路层协商阶段、认证阶段、网络层协商阶段 PPTP协议(点到点隧道协议)
工作流程:让远程用户拨号连接到本地ISP,通过因特网安全远程访问公司网络资源。PPTP对PPP协议本身并没有做任何修改,只是使用PPP拨号连接然后获取这些PPP包并把它们封装进GRE头中。
L2TP协议(第二层隧道协议 Layer 2 Tunneling Protocol)
好处:不必让第二层连接在NAS(Network Access Server,网络接入服务)而是在电路汇集处终止。
特点:差错控制、地址分配、身份认证、安全性能。
网络层
主要负责网络地址分配和网络上数据包的路由选择。常见的安全认证、数据加密、访问控制、完整性鉴别等,都可以在网络层实现。该层协议有IPSec等。
网络层的优点是:在网络层提供安全服务具有透明性,即网络层上不同安全服务的提供不需要应用程序、其它通信层次和网络部件做任何修改;密钥协商的开销相对来说很小;对于任何传输层协议都能为其“无缝”地提供安全保障;可以以此为基础构建虚拟专用网VPN和企业内部网Intranet。
缺点:在于很难解决如数据的不可抵赖之类的问题。
二、传输层安全通信协议 在数据链路层提供安全机制:
优点:不需要强制为每个应用作安全方面的改进,传输层能够为不同的通信应用配置不同的安全策略和密钥
缺点:传输层不可能提供类似于“隧道”和“防火墙”这样的服务
三、应用层安全通信协议 在应用层提供安全机制:
优点:以用户为背景执行,更容易访问用户凭据;对用户想保护的数据具有完整的访问权,简化了提供某些特殊服务的工作;应用可自由扩展,不必依赖操作系统来提供
缺点:针对每个应用,都要单独设计一套安全机制
PGP加密解密过程:
1、根据一些随机的环境数据产生一个密钥
2、发送者采用加密算法,使用会话密钥报文进行加密
3、发送者采用非加密算法,使用接受者的公开密钥对会话密钥进行加密,并与加密报文结合
PGP的签名验证过程:
1、PGP根据报文内容,利用单向hash函数计算出定长的报文摘要
2、发送者用自己的私钥对报文摘要进行加密得到数字签名
3、发送者把报文和数字签名一起打包传送给接收者
4、接收者用相同的hash函数计算接收到的报文的摘要
5、接收者用发送者的公钥解密接收到的数字签名
6、接收者比较4、5步计算的结果是否相同,相同的则表示验证通过,否则拒绝 PGP加密签名过程:
1、PGP根据报文内容,利用单向hash函数计算出定长的报文摘要
2、发送者用自己的私钥对报文摘要进行加密得到数字签名
3、发送者把报文和数字签名合并然后用IDEA对称加密算法加密
4、发生者采用RSA算法,使用接收者的公开密钥对IDEA回话密钥进行加密
5、将3、4步的计算结果一起发送给接收者
6、接收者首先用自己的私钥解密出会话密钥
7、接收者用会话密钥解密出邮件明文(M)和发送者的数字签名(S1)
8、接收者用相同的单位hash函数计算M的摘要
9、接收者用发送者的公钥解密接收到的数字签名S1
10、接收者比较8、9的计算结果是否相同,相同的则表示验证通过,否则不通过
SET协议双签名过程:
1、产生订购信息OI和支付指令PI
2、构造双签名DoubleSig
3、产生会话密钥:SessionKey1和SessionKey2
4、构造通过商家发给支付网关的持卡人的支付授权信息CH_PG_PayAuth
5、DoubleSig构造持卡人的支付授权信息
6、用SessionKey1加密CH_PayAuth,生成持卡人给支付网关的数字信封
7、构造CH_PG_PayAuth,以及持卡人发给购物商家的购物请求CH_M_PurchaseReq
8、用用SessionKey2加密后,生成持卡人给商家的数字信封,向商家发送CH_M_PurchaseReq
密码体制分类:对称密码体制、公钥密码体制、混合密码体制 信息加密方式:链路加密、节点加密、端到端加密
消息认证技术:消息内容认证、源和宿认证、消息序号和操作时间的认证
Web站点安全措施:完整性、机密性、加密、认证、授权、责任、可用性、审计 安全策略:认证策略、访问控制策略、隐私策略 一般攻击方法:对用户的攻击、对系统的攻击
电子邮件安全策略:认证、访问控制、日志审计、邮件过滤、垃圾邮件行为标识 电子邮件攻击方法:邮件炸弹、邮件欺骗、匿名转发、邮件病毒的危害、垃圾邮件
FTP工作模式:Port模式、Pasv模式
DNS设计缺陷问题:单点故障、无认证机制、超高速缓冲中毒、访问量和维护量巨大以及
远距离集中式数据库
DNS安全隐患:网络拓扑结构不合理、软件配置不当以及没有及时更新升级
访问控制方法:访问控制矩阵、访问能力表、访问控制表、授权关系表、Bell-LaPadula模型:微信安全系数高于QQ,原因:在BLP模型中的访问控制原则是“只能
向下读、向上写”,从消息保密性方面来看,由于在QQ和微信两者中,只能是微信可以访问QQ的信息资源,QQ可以向微信写入数据。
Biba模型:QQ高于微信,原因:在Biba模型中,用户只能向比自己安全级别低的课题写
入信息,从消息完整性方面来看,由于在QQ和微信两者中,只能是QQ可以向微信写入信息、微信可以向QQ读取信息
防火墙的特性:内部网络和外部网络之间的所有网络数据流都必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身应具有非常强的抗攻击免疫力 防火墙体系结构: 双重宿主主机体系结构:Interest---网卡—主机---网卡---用户 屏蔽主机体系结构:Interest---屏蔽路由—主机---用户
屏蔽子网体系结构:Interest---屏蔽路由—主机---屏蔽路由---用户.防火墙技术:数据包过滤、应用网关、代理服务
入侵检测系统结构:事件发生器、事件分析器、相应单元、事件数据库
入侵检测系统分类:基于主机的入侵检测、基于网络的入侵检测(检测的数据来源)入侵检测模型:通用入侵检测模型、层次化入侵检测模型、智能化入侵检测模型 入侵检测技术
1、异常检测:量化分析、统计法、预测模型生成法、神经网络、基于免疫学方法 误用检测:模式匹配、专家系统、完整性分析、协议分析、状态转移分析
2、分布式入侵检测系统类型:层次式、协作式、对等式
入侵检测系统评估标准:准确性、完备性、及时性、容错性
第五篇:电信网络网络安全问题
电信网络网络安全问题
近年来,我国政府、电信运营企业高度重视电信网的安全保障,开展了大量工作,通过建立日常安全管理工作机制、制定相关标准、部署安全产品等有效地提高了电信网的安全水平。总体来说,我国电信网在规划、建设、运维过程中对安全建设方面的考虑和投入不足,电信网在IP 化、移动化、融合化发展过程中自身存在的脆弱性日益显现。随着国内外形势复杂多变和金融危机影响的加剧,电信网面临的安全威胁日益严峻。同时,国民经济和社会发展对电信网的依赖性与日俱增,对电信网的安全也提出了更高的要求。保障电信网的安全至关重要,一旦电信网被破坏,将可能影响社会公众利益,以及政府、银行、税务等重要信息系统的正常运行,甚至可能影响国家安全和社会稳定。为提高电信网的安全防护水平,需要对电信网的安全情况进行评估,深入分析电信网存在的安全漏洞、面临的安全威胁、现有的安全措施是否有效、残余风险是否在可接受水平等。当前电信网面临的问题
从总体上来看, 我国已基本形成包括技术、政策、法规等多种手段组成的一套较为完备的电信网络安全保障体系, 基本满足了电信网络安全的保障需求。如采取了重要通信枢纽的备份, 光缆、卫星、微波等多种传输手段的备份, 重要城市之间的多条光缆路由备份等安全措施。制定并颁布了电信网络的应急预案。《中华人民共和国电信条例》、《全国人民代表大会常务委员会关于维护互联网安全的决定》等法规以及中办27号文件等中央文件和一系列行业政策的出台, 进一步强化了电信网络的安全保障工作。我国以往电信网安全保障措施的重点是防设备的技术故障、自然灾害以及人为的物理破坏等。但进人21世纪以来, 电信领域的新技术、新业务、新情况不断出现, 电信网与互联网的融合趋势日益明显, 电信体制改革不断推进,形成由多运营商组成的竞争格局。这些情况的出现, 使原有的电信网络安全保障体系面临新的挑战。
1.1互联网与电信网的触合, 给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送, 信令网、网管网等支撑网与业务网隔离, 完全由运营商控制, 电信用户无法进人。此外, 每个用户都有一个唯一的号码, 用户的身份是明确的。这种机制有效地避免了电信用户非法进人网络控制系统, 保障了网络安全。
IP电话的用户信息和控制信息都在IP包中传送。IP电话引人后, 需要与传统电信网互联互通, 电信用户的信息不再与控制信息隔离, 电信网的信令网不再独立于业务网。IP电话的实现建立在TCP IP协议基础上,因此TCP IP协议面临的所有安全问题都有可能引入传统电信网, 如病毒、黑客攻击、非法入侵等, 由此可能带来电信网络中断甚至瘫痪、拒绝服务攻击、非法存取信息、话费诈欺或窃听等一系列新问题。IP电话的主叫用户号码不在包中传送, 因此一旦出现不法行为, 无论是运营商还是执法机关, 确认这些用户的身份需要费一番周折, 加大了打击难度。
1.2新业务的引入, 给电信网的安全保障带来不确定因索
近年来, 电信新技术不断涌现, 新业务层出不穷。NGN的引人, 彻底打破了电信网根据不同业务网, 分别建设、分别管理的传统思路。NGN的引人给运营商带来的好处是显而易见的, 如提高了网络的利用效率, 增加了网络的灵活性, 降低了网络的建设和运维成本等。但从网络安全方面看, 如果采取的措施不当, NGN的引入可能会增加网络的复杂性和不可控性。此外,3G,WiMAX,IPTV等新技术、新业务的引人, 都有可能给电信网的安全带来不确定因素。尤其需要指出的是, 随着宽带接人的普及, 用户向网络侧发送信息的能力大大增强, 导致每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制, 组成僵尸网络群, 其拒绝服务攻击的破坏力将可能十分巨大
1.3运营商之间网络规划、建设缺乏协调配合,网络一旦出现重大事故时难以迅速恢复
1998年以来, 我国出台了一系列针对电信行业的重大改革措施, 如政企分离、企业拆分等。目前, 我国有中国电信、中国移动、中国联通、中国网通以及中国铁通和中国卫通等6家基础电信运营企业。应该说, 这些改革措施极大加快了我国电信行业的发展, 目前我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备, 电信市场多运营商条件下的监管措施还不配套, 给电信网络安全带来新的威胁。如在网络规划建设方面, 原来由行业主管部门对电信网络进行统一规划、统一建设, 现在由各个运营企业承担各自网络的规划、建设, 行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题, 不同运营商之间的网络能否互相支援配合就存在问题。此外, 军队与地方之间的网络衔接配合问题也需要协调落实。
1.4相关法规尚不完善, 落实保降措施缺乏力度
随着电信网基础性地位的日益显现, 应该通过立法来明确其安全保障工作, 这样才能保证对攻击、破坏电信网行为有足够的惩罚力度。当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中。现有的与网络安全相关的法律法规还不完备, 且缺乏操作性, 导致有关部门在具体工作中没有足够的法律依据对破坏网络安全的行为进行制裁。此外, 在规范电信运营企业安全保障建设方面, 也缺乏法律依据。运营企业为了在竞争中占据有利地位, 更多地关注网络建设、业务开发、市场份额和投资回报, 把经济效益放在首位, 网络安全相关的建设、运行维护管理等相对滞后。有关对策建议
2.1从国家层面考虑电信网络规划的安全问题
行业主管部门要加强对运营商网络规划的指导, 对运营商的网络规划进行宏观调控, 控制安全风险。如不同运营商电信网的枢纽机房要相对分散, 光缆的物理路由也应该相对分开等。行业主管部门还应组织制定不同运营商之间、军队与地方网络之间的应急配合接口标准和应急配合流程, 做到一旦有事时可以相互迅速调用资源, 保障多运营商环境下网络的安全可靠。行业主管部门要强化对电信运营商的安全监管, 要求运营商做到电信网络建设与安全保障建设同步规划, 同步建设, 同步运行、同步发展。
2.2 加快相关立法过程,完善法律法规标准体系, 加大执法力度
在电信网的安全建设方面, 运营商往往从公司的经营效益来决定安全投入的多少, 一般不会考虑安全建设的社会效益。作为一个企业, 在没有法律明确要求的前提下, 这样的做法是普遍行为。当前要加快《电信法》、《信息安全法等法律的立法进程, 通过立法明确政府、运营商、用户在保障电信网安全中的权利和义务。在做好立法工作的同时, 还需要进一步完善相关部门规章和配套的技术法规,这样才能从技术上和行政上做到依法管理, 真正建立起我国电信网络的安全保障体系。同时, 还应加大执法力度, 对破坏电信网安全的行为进行严厉惩罚, 真正做到“ 执法必严、违法必究”。2.3 在设备入网时增加安全性检测项目
行业主管部门在电信设备人网管理要求中, 应增加设备的安全性要求。尤其是路由器、交换机、传输设备、终端、服务器等入网时, 应重点测试设备的安全性。除测试设备自身的安全性能外, 还要评估该设备对网络可能带来的影响。
此外, 还要加快电信设备安全标准和相应测试、评估规范的制定, 使测试和评估工作有据可依。
3.3 开展对电信业务、新技术的安全风险评估工作
运营商在引入新业务时, 行业主管部门除进行正常的业务审批管理外, 还应增加安全性评估项目。也就是委托
专业的第三方机构, 评估该业务可能会给网络安全带来哪些风险, 以及网络能否接受这些风险。如果评估结果认为这项新业务可能会给网络带来不能接受的风险, 且运营企业无控制和降低风险的措施, 那么行业主管部门应不同意运营商开展这项业务。运营企业在引人新技术时, 也应该进行风险评估工作。
电信网的发展趋势 我国电信网的现状及存在问题
近年来,我国电信业持续快速发展!实现了历史性的跨越,电信与信息服务业成为发展最快的行业之一。按照较保守的预测,在未来3年内,我国固定电话用户预计将达到2.5亿,本地交换机容量将达到2.8亿门;IP用户将超过1亿,其中宽带用户可能超过2000万,移动电话用户将达到2.9亿,移动交换机容量将达到3.6亿门。显然,我国现有网络从规模、技术层次、结构和服务质量上都无法支撑这样的业务需求,发展和建设一个具有巨大容量的、高可靠的、灵活的、可持续发展的下一代电信网将是我国电信界的一项长期而艰巨的历史性任务。电信业务市场的根本性变化
展望未来,预计在未来5至10年,从业务需求和市场应用的角度看,电信业最大和最深刻的变化将是从话音业务向数据业务的战略性转变。根据最新预测!美国和欧洲的数据加专线业务量占总业务量的比例将分别从2000年的61%和74% 增加到2005年的93%和97%,而相应话音业务量的比例将分别从2000年的39%和26%降至2005年的7%和3%。从业务收入角度看,全球数据业务的收入比例将从2001年的14%增加到2005年的30%,年均增长率达24.4%,而话音业务收入比例将从2001年的86%降至2005年的70%,年平均增长率仅5.3%。此外,一个目前还难以预计的具有更大冲击力的业务是视频业务,这种业务不仅带宽要求很高(几Mbit/s至十几Mbit/s),而且对延时和抖动性能要求也很严格,因此对网络的容量、结构和性能将有新的更高的要求。
从我国情况看,尽管数据业务发展水平还不高,但仅仅中国电信在2002年上半年的全国IP通话时长就比去年同比增长213%而数据带宽占有比例在一级干线中已达到话音的五倍,显而易见,从全世界范围看,估计在近5年内,包括中国在内的世界主要网络的数据业务量都将先后超过话音业务量。最终,电信网的业务将主要由数据构成,多年来的电信网络业务构成将发生根本性的变化。电信网络技术的发展趋势
为了适应上述电信业务和市场层面的根本性变化,作为基础的网络技术也随之发生重大变革,电信网将在下述四个主要方向上实现转型: 3.1 从电路交换向分组交换的转变
交换技术是电信网的灵魂,尽管传统的电路交换技术在可以预见的未来仍将是提供实时电话业务的基本技术手段,但其设计思想是以基本恒定的对称话务量为中心的,无论从业务量设计、容量、组网方式,还是从交换方式上来讲都已无法适应突发性的数据业务发展的需要,随着电信业务从话音为主向数据为主的转移,从传统的电路交换技术逐步转向分组交换技术特别是无连接IP 技术为基础的整个电信新框架将是历史的必然。
可以作为未来分组化核心网用的节点有ATM 交换机和IP路由器。前者硬件投资高!速率难以作高!节点容量扩展性受限。而IP 路由器正成为最有希望的分组节点。然而目前这一代高性能路由器的容量和性能仍不能满足未来网络扩展的要求,需要进一步探究可以经济持续扩容的有效途径。方法之一是通过互联多个较小的交换单元来制造大型的可扩展的交换矩阵。方法之二是将端口速率进一步升级为40Gb/s。方法之三是采用创新的设计思想,例如采用分布式交换矩阵和多维光互联背板就有可能提供巨大的交换容量、线路容量、端口密度和线速转发分组能力。总的看,作为核心业务节点应用的实用化高性能路由器的容量和性能还有待突破性进展。
需要指出,从传统的电路交换网到分组化网将是一个长期的渐进过渡过程,采用具有开放式体系架构和标准接口,实现呼叫控制与媒体层和业务层分离的软交换将是完成这一平滑过渡任务的关键。从网络角度看,通过软交换结合媒体网关和信令网关跨接和互联电路交换网和分组化网后,尽管两个网仍基本独立,但业务层已实现基本融合。可统一提供管理和快速扩展部署业务。当然,软交换还处于发展完善过程之中,技术尚不成熟,缺乏大规模现场应用的经验,特别是多厂家互操作问题,实时业务的QoS 保障问题,网络的统一有效管理问题以及业务生成和业务应用收入能力等问题都有待妥善解决,但作为发展方向已经获得业界的认同。因此,向以软交换为核心的下一代业务网演变,将是实现上述交换网转型的最现实的技术路线。
3.2 窄带接入业务从铜线接入向移动接入转变 近几年来,随着蜂窝移动通信系统和固定无线接入系统的出现和飞速发展,无线业务在公用电信网中的地位正在发生根本性的变化。据各种研究报告的综合分析结果表明,全球蜂窝移动用户预计在2004年左右将可能达到13亿,超过有线用户,从数量上成为窄带接入的主要手段,并将于2010 年达到17 亿用户,远远超过固定电话用户数。在我国一些发达省份,移动电话业务量已超过固话业务量,业务收入更是大幅度超过固话业务收入,当然,有线接入技术也不会消亡,但其角色将发生根本性变化,即主要转向支持宽带数据应用。
在无线接入技术中,同属于3G 技术的CDMA 2000 1X已经有超过1000 万的用户,作为3G 主导技术的WCDMA 也
即将在全球范围内逐步进入实施阶段,并向全IP 方向发展。同时具有更高速率、更高频谱效率、更好覆盖和更强业务支撑能力的超3G 技术也开始进入活跃研究阶段。此外,无线以太网或无线局域网也是一种发展前景良好的宽带接入技术,这是一种能支持较高接入速率(2 到11Mb/s
乃至54Mb/s),采用微蜂窝或微微蜂窝的自我管理的局域网技术,最适合于用户流动性较大且有较大数据业务需求的公共区域(如机场、大型会展中心、高级宾馆等),以及需要临时快速建网的场合。
3.3 传送技术从点到点通信向光联网转变
传送网是电信网的基础设施,一个强大、灵活且成本低廉的传送网是全球几代人所为之奋斗的目标。近几年来波分复用(WDM)技术的出现和发展为上述目标的实现迈出了关键的一步,有力地支撑了上层业务和应用的发展。然而,尽管靠WDM 技术已基本实现了传输容量的突破,但是普通点到点WDM 系统只提供了原始的传输带宽,为了将这些巨大原始带宽转化为实际组网可以灵活应用的带宽,需要在传输节点
处引入灵活光节点设备实现光联网,彻底解决传输节点的容量扩展问题。
光联网的一个最新发展趋势是引入自动波长配置功能,由静态交叉连接型光联网升级为动态交换型智能光交换机。随着IP 业务的爆炸性增长,对网络带宽的需求不仅变得越来越大,而且由于IP 业务量本身的不确定性和不可预见性,对网络带宽的动态分配要求也越来越迫切,一种能够自动完成网络连接的新型网络概念-自动交换光网络(ASON)应运而生。届时网络运营者可以在光层面上实现今天在电层面上的主要功能,构筑一个高度灵活可靠。可以实时调度配置带宽的超大容量智能光网络。随着全网业务的数据化,特别是宽带IP 业务的快速发展,大容量智能光网络将不仅可以提供巨大的网络容量,而且可以提供可持续发展的动态网络结构,成为
支持下一代电信网的最灵活有效的基础设施。
3.4 有线无线接入都将完成从窄带向宽带的转变
预计在未来几年内,电信运营将会首先大力发展成熟的可以充分利用现有双绞线资源的非对称数字用户线(ADSL)技术,传输速率可高达512Kbit/s 至2Mbit/s 甚至8Mbit/s足以满足中近期带宽的需求。据报导,目前全球已经敷设3500 万线的ADSL,其中韩国和加拿大是发展最快的国家。我国仅中国电信就已发展用户400 万,势头很好。相信随着技术的进步、IP 业务的发展、新业务新应用的不断涌现以及本地环境的放开,ADSL在未来几年内将成为我国中近期的主导宽带接入技术。
传统以太网技术不属于接入网范畴,然而其应用领域却正在向包括接入网在内的其他领域扩展,无论是5 类线上的有线以太网,还是基于802.11b 标准的无线以太网发展势头都很猛。从各类以太网看,10M 以太网交换机已经基本退出市场,被10/100Mb自适应以太网交换机所代替,千兆比以太网交换机的份额迅速上升,目前已经占到整个以太网市场的26%。其应用范围也逐渐从企业网为主转向服务提供商为主。一旦万兆以太网标准最后通过以及技术稳定,万兆以太网将成为重要的新增长点。从长远看,与IP 技术天然融合的以太网似乎比ADSL更有发展潜力。融合将成为未来网络技术发展的主旋律
随着网络应用加速向IP 汇聚,网络将逐渐向着对IP 业务最佳的分组化网(特别是IP 网)的方向演进和融合是历史的必然,融合将成为未来网络技术发展的主旋律。
从技术层面上看,融合将分别体现在话音技术与数据技术的融合、电路交换与分组交换的融合、传输与交换的融合、电与光的融合等。三网融合不仅使话音、数据和图象这三大基本业务的界限逐渐消失,也使网络层和业务层的界限在网络边缘处变的模糊,网络边缘的各种业务层和网络层正走向功能乃至物理上的融合,整个网络正在向下一代的融合网络演进,最终则将导致传统的电信网、计算机网和有线电视网在技术、业务、市场、终端、网络乃至行业管制和政策方面的融合。