前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的移动通信基本知识主题范文,仅供参考,欢迎阅读并收藏。
关键词:电子通信;通信系统;蓝牙技术;3G 光纤通信
中图分类号:TN912.2 文献标识码:A 文章编号:1674-7712 (2013) 04-0018-01
本文从通信工程的一些基本知识入手,通过对通信系统的相关知识及现在流行的蓝牙技术、3G技术等的介绍,对电子通信工程在我们现实生活中的应用进行了说明,并展望了电子通信行业未来的发展前景。除了加深我们对自己本专业的了解,对通信的前景展望,同时也希望能使读者更多的了解通信的相关知识。
一、电子通信的基本知识
(一)电子通信的概念。通信是在人类实践过程中随着社会生产力的发展对传递消息的要求不断提升使得人类文明不断进步。在各种各样的通信方式中,利用“电”来传递消息的通信方法称为电信,这种通信具有迅速、准确、可靠等特点,且几乎不受时间、地点、空间、距离的限制,因而得到了飞速发展和广泛应用;在现今因电波的快捷性使得从远古人类物质交换过程中就结合文化交流与实体经济不断积累进步的实物性通信(邮政通信)被人类理解为制约经济发展的阻碍。(二)通信技术的发展。纵观通信的发展分为以下三个阶段:第一阶段是语言和文字通信阶段。这一阶段,通信方式简单,内容单一。第二阶段是电通信阶段。1837年,莫尔斯发明电报机,并设计莫尔斯电报码。1876年,贝尔发明电话机。这样,利用电磁波不仅可以传输文字,还可以传输语音,由此大大加快通信的发展进程。1895年,马可尼发明无线电设备,从而开创了无线电通信发展的道路。第三阶段是电子信息通信阶段。
从总体上看,通信技术实际上就是通信系统和通信网的技术。通信系统是指点对点通所需的全部设施,而通信网是由许多通信系统组成的多点之间能相互通信的全部设施。而现代的主要通信技术有数字通信技术,程控交换技术,信息传输技术,通信网络技术,数据通信与数据网,ISDN与ATM技术,宽带IP技术,接入网与接入技术。
二、现代通信新技术简介
(一)蓝牙技术。蓝牙,是一种支持设备短距离通信(一般10m内)的无线电技术。能在包括移动电话、PDA、无线耳机、笔记本电脑、相关外设等众多设备之间进行无线信息交换。利用“蓝牙”技术,能够有效地简化移动通信终端设备之间的通信,也能够成功地简化设备与因特网Internet之间的通信,从而数据传输变得更加迅速高效,为无线通信拓宽道路。蓝牙采用分散式网络结构以及快跳频和短包技术,支持点对点及点对多点通信,工作在全球通用的2.4GHz ISM(即工业、科学、医学)频段。其数据速率为1Mbps。采用时分双工传输方案实现全双工传输。蓝牙最多可同时连接8台设备。如果将这8台设备全部放到相同10米的范围内,你可能认为它们之间会互相干扰,但事实并非如此。蓝牙采用了一种名为“展频跳频”的技术,可最大程度避免多台设备同时使用相同的频率进行传输。使用这种技术,每台设备都将使用指定范围内79个单独且随机选择的频率,同时有规律地从一个频率换到另一个频率。如果使用蓝牙技术,则发射器的频率每秒变化1,600次,这就意味着更多的设备可以充分利用无线电频谱的有限频段。由于每个蓝牙发射器都自动使用展频传输,因此不太可能出现两个发射器同时使用相同的频率。因为在特定频率上产生的任何干扰持续的时间远不到1秒钟,所以该技术还将手提电话干扰设备风险降至最低。(二)3G技术。1G(first generation)表示第一代移动通讯技术。如现在以淘汰的模拟移动网。2G(second generation)表示第二代移动通讯技术。代表为GSM。以数字语音传输技术为核心。2.5G是基于2G与3G之间的过渡类型。代表为GPRS。比2G在速度、带宽上有所提高。可使现有GSM网络轻易地实现与高速数据分组的简便接入。3G(third generation)表示第三代移动通讯技术。面向高速、宽带数据传输。主流技术为CDMA技术代表有WCDMA(欧,日)、CDMA2000(美)和TD-SCDMA(中)。是指支持高速数据运输的蜂窝移动通讯技术。3G服务相对于普通版本具有同时传送声音数据信息的功能,3G手机能将无线通信与国际互联网等多媒体通信结合,是新一代移动通信系统:相对于第一代制式手机和第二代数字手机,3G手机将在全世界范日实现无线漫游,提供无线上网、视频会话等多种服务功能。
目前国人对手机、电脑等移动高速上网的需求都在增长,相对于其它业务,移动宽带很可能短时间内成为3G的主流应用。中国电信日前推出的“天翼”品牌,主打“互联网手机”概念,就是充分利用目前CDMA网络峰值传输速率能达到153.6KBps的优势,为用户打造高速率、全域覆盖、使用便捷的手机互联网体验,满足用户互联网商务、娱乐、生活、信息咨询等需求。作为回应,中国移动大幅降低了手机GPRS上网费。很显然,在3G时代,三大运营商在围绕移动宽带展开竞争的同时,也必将为消费者带来更丰富、更实惠的差异化应用。
三、未来通信技术的发展前景
在广播电视领域,光纤作为广播电视信号传输的媒体,以光纤网络为基础的网络建设的格局已经形成。光纤传输系统具有的传输频带宽,容量大,损耗低,串扰小,抗干扰能力强等特点,已成为城市最可靠的数字电视和数据传输的链路,也是实现直播或两地传送最经常使用的电视传送方式。
另一非常活跃的通信技术当属,无线通信技术了。无线通信技术包括了移动通信技术和无线局域网(WLAN)技术等两大主要方面。无线局域网可以弥补以光纤通信为主的有线网络的不足,适用于无固定场所,或有线局域网架设受限制的场合,当然,同样也可以作为有线局域网的备用网络系统。移动通信就目前来讲是3G时代,数字化和网络化已成为不可逆转的趋势,更将超越现有3G概念,在TD-LTE时代提供适合上述融合业务应用的网络支撑、终端、服务等等,引领人们进入真正的3G生活。另外,21世纪我们将进入信息社会――一个以人为本,更加注重精神食粮的社会,人性、环境和信息将作为社会的关键词,因此在21世纪的通信系统将围绕以人为本来进行研究开发。潜在的研究方向包括:如何通过智能化来补充人的能力;如何通过机器人和可佩带设备来实现新的通信方式;如何克服通信质量的限制来扩大人的空间。
相信不久的将来,沿着这个研究方向我们便能由3G时代步入4G时代。4G移动通信简介第四代移动通信技术的概念可称为宽带接入和分布网络,具有非对称的超过2Mbit/s的数据传输能力。它包括宽带无线固定接入,宽带无线局域网,移动宽带系统和交互式广播网络。第四代移动通信标准比第三代标准拥有更多的功能。第四代移动通信可以在不同的固定,无线平台和跨越不同的频带的网络中提供无线服务,可以在任何地方用宽带接入互联网(包括卫星通信和平流层通信),能够提供定位定时,数据采集,远程控制等综合功能。
关键字:移动通信系统 教学改革 教学与实践
在我国大学中,本科教育仍然是基础,如何更好地改革和发展本科教育,立足于所教授的课程,深入开展教学方法、教学内容和教学手段的改革与实践,是教育工作者面临的切实问题[3]。
移动通信系统是电子通信类专业的一门重要课程。它是一门综合性很强的专业课,课程涉及电磁波/电磁场、概率论、信号与系统、数字信号处理、计算机网络等多个领域。移动通信技术是近30年来发展最快的技术之一,传统的教学方式不再适合这门课的教学[4]。本文结合课程教学实践,分别从以下几个方面对移动通信系统课程教学改革进行探讨。
精选、整合教学内容
《移动通信系统》课程特点:
1)数学性强。相对有线传输方式,无线信号传输过程中存在很多不确定因素,建立的数学模型更加复杂,而且需要从时域和频域的不同方面分析和理解信道、信号的特性。这样就会有较为繁琐的数学公式推导。
2)专业性强。对学生的专业基础知识要求较高,要求熟练掌握信号与系统、通信原理的基本知识,还要有一定的电磁波/微波理论基础,来分析电磁波传播特性。
3)物理性强。无线通信系统中的原理和物理量都有明确的物理意义,在学习的过程中需要仔细体会、深刻理解[5]。对于工科的学生,学习的目的是需要解决实际问题,所以需要引入实际的工程案例进行实际计算。
移动通信系统课程除了具有以上特点,还要根据发展情况,教学内容也要发生变化。尤其3G技术已经日趋成熟,并向4G发展,要使学生对现有移动通信系统及未来移动通信的发展方向等有一个较系统的认识,从课程教学来看,内容非常多,但这门课程需要在有限的课时内完成,需要在课程教授过程中既要做到内容选择适当、重点突出,又要保证知识全面。
在此基础上,课程分两大部分进行介绍:第一部分对移动通信中的关键技术进行介绍,要使学生分清无线通信和移动通信的关系,以及目前市场存在的一些移动通信系统和这些移动通信系统的主要技术指标和技术规范,让学生全面了解移动通信系统的发展和用途;就目前移动系统所采用的数字调制技术进行介绍,让学生掌握这些调制技术的理论基础及应用在移动通信系统的优势;通过对移动信道中电波传播特性的学习,学生可以了解到移动信道在不同环境下的传播损耗中值计算,大尺度路径损耗和小尺度衰落损耗的计算方法,为后面章节组网中网络设计打下理论基础;移动通信系统中常用的抗衰落技术和组网技术,并以实际案例讲解网络设计。第二部分开始介绍这些技术应用的实际场景和具体系统,GSM系统、CDMA移动通信系统和第三代(3G)移动通信系统。学生不但加深了对以上关键技术的深刻理解,而且对实际系统有了宏观认识,进一步激发了他们对本门课的学习兴趣。
二、改进教学手段
根据课程的特点和内容的设置,教学中采用了多媒体和传统板书教学相结合的方式。对于数学要求较高的内容,如多径衰落、调制解调技术等,采用板书为主的讲解方式,给出例题讲授求解过程,使学生有理解和知识转化的时间和过程;对于前沿综述的内容,如概述和新技术展望等,或者数学难度不大但规则性较强的内容,如系统结构、信道划分、业务特点等,采用多媒体为主的讲授方式。注重实例教学,在每年的毕业设计阶段,有部分同学在通信实习单位进行设计,通过此过程,可以积累部分实例,在上课过程中给学生进行讲解,使学生具有解决实际问题的能力,比如:无线网络的分布设计, WLAN的设计,直放站覆盖设计等等;在多媒体课件的制作上,基于仿真软件引入动态演示与分析,如移动通信系统信令传递的过程、蜂窝小区的分裂过程,以及移动通信系统性能仿真的过程,如移动衰落信道的模拟,充分发挥多媒体课件的优势,将《移动通信系统》教学中的重点和难点生动地展现在学生面前,加深了学习印象,增加了学生学习的兴趣。如图1所示:几个基于MATLAB的移动信道多径信号仿真结果图。
对于3G和4G等前沿的新技术,可以采用教师布置任务,学生课下查阅资料,交作业或者课上请学生上来主讲,教师辅助讲授的方式增加学生的能动性,真正做到学生为主体的学习模式。
三、认真做好实验教学
传统的移动通信实验采用实验箱来完成,内容大多是一些验证性和基础综合性实验,实验内容功能单一,不够直观,这对学生创新能力的培养是非常不利的。没有大型的综合性、设计性实验就使学生失去了实际认识移动通信系统的机会,不利于对移动通信系统的深入理解和掌握。所以实验改革是必然的,在此基础上可以安排学生进行仿真性实验,使用MATLAB、NS2、SystemView等软件进行系统级组网仿真性实验,既可以使学生巩固理论知识,又可以使他们掌握一些常见的移动通信系统仿真内容,提高动手能力。
移动通信技术发展较快,而外出实践可以让学生有机会接触主流商用通信设备和技术。组织学生到电信公司和移动分公司等单位观摩学习,还积极与一些通信行业培训机构联系实习地点,学习WCDMA以及网络优化的培训知识,为学生以后工作或学习打下基础。
四、改变以往的评价体系
考试阶段通常是笔试成绩作为最后的评定总成绩,在实行了改革以后,相应的评定的标准也需要变化,首先以笔试成绩为主,相应的把平时讨论或者作业的成绩也算在内,占到期末总成绩的20%,实验环节占到期末成绩的20%,期末笔试成绩占60%;其次,期末试卷的出题要有部分设计考题,真正去考察学生的能力,考试的形式可以采用闭卷和开卷结合的方式。
由于通信领域的知识更新的速度非常快,陈旧的教学方法、教学内容已不能适应社会的需求,我们要吸收更先进的教学思想,把教学改革持之以恒的进行下去。只有这样,我们的教学才能是学生所需要的,培养的学生才能更好地满足社会的需要。
参考文献:
[1]戴翠琴,冉海霞,鲍宁海 移动通信课程实验教学改革与平台建设[J] 实验技术与管理 2012-2第29卷(144-147)
[2]李建东,郭梯云,邬国扬 移动通信[M] 西安电子科技大学出版社 2006年
[3]李蕾,滕志军,陈晓娟 《移动通信》课程教学改革的探索与实践[J] 华北电力大学学报 2008-6第28卷第3期(32-34)
【关键词】微波与卫星通信;多维立体互动;教学模式
《微波与卫星通信》是电子信息工程无线通信方向必须的一门核心专业基础课程。该课程介绍微波与卫星通信的基本原理、微波与卫星通信技术以及电波传播原理等三大部分的知识,具有极强的理论性和抽象性。通过本课程的系统学习将有助于移动通信、射频通信电路、无线通信电波传播与天线技术等后续专业课程的开展。为此,本文就该课程的理论与实践的联合培养模式、专业知识衔接、多维立体互动教学和对分易教学平台的应用开展探讨。
一、理论与实践联合培养模式探究
本课程的教学目标在于:通过对《微波与卫星通信》基本原理的剖析式分析,要求学生掌握微波与卫星的基本概念、特征和系统结构,了解微波与卫星通信区别于其他无线通信技术的最基本的特点;通过学习微波与卫星通信的基本技术,要求学生掌握《微波与卫星通信》常用的调制与解调原理、信道编码技术、多址技术;通过学习《微波与卫星通信》无线电波传播原理,要求学生掌握电磁波的传播特性、电波传播链路的计算与设计。可以看出,《微波与卫星通信》也是一门实践性较强的实训课程,若学生仅限于学习书本上的基本原理、常用通信技术以及电波传播等理论知识,并不能解决与《微波与卫星通信》相关的复杂工程问题。鉴于此,该课程需要开设一定课时量的实验,学生可以熟悉微波与卫星通信的基本技术,掌握常用微波电路系统的测试方法和设计思想,实地测量并分析实用的微波电路部件,包括放大器、各种滤波器、混频器和功放器等输出的时域和频域信号。通过使用卫星通信收发平台、测试软件及分析仪器,对微波电路系统进行测量和设计可以培养学生的操作能力、分析能力、知识的应用能力、协作能力等综合素质,使学生对工程性实践操作有更明确、更深刻、更直观的认识,从而为学生的工程实践应用奠定基础。
二、专业知识衔接,提高教学效果
该课程需要扎实的数理基础和抽象思维,因此在前期导向课程的教学活动中,比如大学物理、通信原理、移动通信等,应对相关的基本知识点做介绍。例如大学物理中的麦克斯韦方程组知识点在电波传播中的衔接;地面移动通信中常用的调制解调技术与卫星通信背景下调制解调方案的指标差异。除了与前导向课程的衔接,还需要结合空天地海一体化技术的发展,增加该技术领域的发展前言,激发学生对课程的兴趣,比如增加卫星定位、导航、深空通信、临近空间、水声通信等相关背景和关键技术的介绍。
三、以学生为主体,激发能动性
近年来,高等院校在教育教学改革方面进行了积极探索,取得了一定的成绩,但仍是在以往教育机制上做的延续,因而教育模式还存在弊端,这种弊端主要体现在忽视了学生的主体地位,未能激发学生学习的主动性和能动性。为此,我们应该结合日常的教学活动,将创新性的多维立体互动式教学模式应用到理论与实践课程教学活动中[1][2]。《微波与卫星通信》课程中的重点知识点的理论性比较强,仅在有限的学时中,让学生对微波与卫星通信的基本原理有深入的理解尤为困难。若将学生作为课堂教学的主体,结合多样化、多维度和互动式的教学模式,将会改变原有的一些固定教育方法。举例来说,在讲授卫星通信中的信道分配和多址接入时,可以等效为各楼层教室的使用时间、使用群体和群体语言等。
四、使用现代多媒体技术改革教学模式
随着通信技术的快速发展,各种先进的现代化多媒体技术应运而生。这些技术改变了传统的灌输式教学方法,不再只强调教师对课堂的主导。对分易是一种新型的教学平台,适合多种教学模式,是一款服务于高校教师的技术平台。在《微波与卫星通信》课程管理中,利用此平台能够将课堂教学中的框架、重点、难点和讲解内容展示给学生,同时,学生课后也能自主性、个性化的独立学习或者开展小组讨论和交流。此外,在课程中,还可以利用平台的灵活性、快捷性、实时性和可控性等特色进行作业批阅、课后师生互动、课堂反馈和课堂分组等管理。结论:通过以上对《微波与卫星通信》课程内容设计与教学模式的探索研究,我们以学生为主体,结合电子与信息专业应用型学生的特点调整理论与实践教学环节,重点开展理论与实践的联合培养。同时,采用多维立体互动的教学模式,以线上慕课微课、线下对分易平台提高学生对课程的热情和学习的积极性,管理课程教学,获得较好的教学效果。同时,通过前向与后续课程的衔接,使学生掌握电子技术基础知识体系和信息通信领域的基本理论与方法,从而具有运用理论知识解决复杂工程问题的能力。
参考文献
[1]邱格磊.“多维互动式”教学机制的探索与实践—以《金融法》课程为例[J].海峡法学,2016,第1期,99-104页.
关键词:现代通信技术;公选课;教学探索;教学实践
中图分类号:G642 文献标识码:B 文章编号:1672-5913(2009)04-0109-02
公选课是以人文素质与科学素质为核心的综合素质类教育课程,是高校人才培养计划的重要组成部分,目的在于扩大大学生视野,提高大学生的科学素养和人文素养。
通信技术和通信产业是20世纪80年代以来发展最快的领域之一。纵观通信技术的发展,虽然只有短短一百多年的历史,却发生了翻天覆地的变化,从当初的人工交换到后来的电路交换,以及现在的分组交换和程控交换:从当初单一的固定电话到现在的光纤通信,卫星通信,移动通信,通信和计算机结合的各种其他业务,以及目前炙手可热的3G通信技术和以后的第四代通信。
随着通信技术的发展,人类已经逐渐步入信息化社会。在信息化社会中,现代通信技术与个人日常生活息息相关。在提倡素质教育、鼓励拓宽大学生知识面的今天,学习并掌握现代通信技术是必要的。基于上述考虑,我校在本科生中开设了“现代通信技术”公选课。
1 教学内容安排
“现代通信技术”属于通信及计算机相关专业的专业课范畴,该课程涉及多门通信及计算机专业的专业基础课程,专业性很强。而选修课的生源绝大部分来自非通信、非计算机专业,甚至非工科类专业,相关知识比较欠缺,因此在确定教学内容和选择教材时要非常慎重,综合考虑多方面的因素,把传授知识、科学普及与思想教育密切结合起来。
公选课一般只有32学时,从广度上来说,面面俱到既不可能也没有必要,只要能够涉及大多数主流通信方式及技术即可,这就要求精选内容、突出重点;从深度上来说,部分知识点的介绍不能太深,要把教学内容简化,做到把一般工作原理解释清楚为止。这一点非常重要,因为“现代通信技术”涉及到很多通信原理的内容,如果进行大量数学推导和公式计算,教学将变得非常枯燥,学生也不容易听懂,从而失去了开设公选课的意义。
经过综合考虑,确定教学内容包括六部分:通信系统概述、电话通信、无线电通信、光纤通信、移动通信和计算机网络。通信系统概述主要介绍通信系统的基本概念、相关模型和组成,以及通信复用方式、交换技术,让学生对通信系统建立初步概念;电话通信则以公共交换电话网PSTN为基础,让学生了解载波通信的基本过程,理解电话交换的概念与作用;无线电通信介绍无线电通信的基本组成及工作过程,另外通过短波通信、微波通信和卫星通信加深学生对无线电通信的了解;光纤通信从光源和传输介质两个角度进行讲解,突出光纤通信的优势;移动通信部分则以学生熟悉的GSM系统为基础,介绍移动通信过程中的位置登记、越区切换等概念,讲解3G标准及发展历史;计算机网络主要介绍网络组成、IP地址、TCP/IP协议,着重突出网络的应用,如WWW、FTP、E-mail等。
2 教学方法及手段
课堂教学的目的是利用有限的教学时间,使学生充分理解、掌握和运用该门课程的知识,完成教学计划。
2.1 传统教学方法的采用
2.1.1 授课由浅入深,语言通俗易懂
公选课的学生来自全校不同专业,学生相关知识基础参差不齐,这就要求教师在授课过程中要从最简单、最根本的源头谈起,逐步过渡,由浅入深,使学生把握问题的来龙去脉。比如,在通信系统概述中讲解“通信”这一概念时如果直接给出其定义,学生很难有透彻的认识。我从成语“千金买笑”谈起,讲马拉松的故事,再谈到击鼓、烽火台和信鸽等,这些具体例子让学生对“通信”有了很直观的认识,在此基础上给出其概念就容易接受得多。
“现代通信技术”专业性和理论性都很强,作为公选课,我在授课过程中尽量采用通俗易懂的语言,避免大量术语的堆砌。比如,把光纤容量的巨大与传统介质容量的甚小比喻成“高速公路”与“羊肠小道”;把调制过程比作“人坐船过河”,其中“人”相当于原始信号,“船”相当于载波。
2.1.2 课堂设置悬念
教师在讲课过程中提出一些问题,有些问题当时就回答,而有些问题则不做回答,在课堂中设置问题悬念,让学生带着问题听课,在听课过程中找答案,激发他们的求知欲。
2.1.3 互动教学
课堂教学要吸引学生注意力,使学生积极参与教学,活跃课堂气氛,这一点是至关重要的。上课时,教师不能采用满堂灌的方式滔滔不绝,而要注意学生的反应,不时与学生互动,调动学生的情绪,引导他们主动思考。
2.1.4 与学生建立融洽关系
教师在授课过程中态度要诚恳,不能给学生一种高高在上夸夸其谈的感觉,使学生产生反感和抵触情绪。在课堂互动的同时,利用课间多接触学生,加强师生交流,与学生建立融洽关系。课下交流还能从学生中获取有用的反馈信息,指导教师改进教学方式与方法,调整教学内容,以便取得更好地教学效果。
2.2 多媒体教学
多媒体教学以图文并茂、声像集成、动静配合、交流互动的表现形式,一扫传统单一、呆板的板书教学表达方式,将教学内容准确、直观、形象地表现出来,突出重点、难点。多媒体教学将教师从繁重的板书中解脱出来,充分利用课堂时间进行讲解,与学生交流,从而优化教学过程,提高教学质量和效率,化抽象为直观,化繁杂为简单,化空洞为具体,使课堂教学变得生动有趣。
多媒体教学的效果在很大程度上取决于课件的质量。制作课件时,首先要认真钻研教学内容,明确教学目标是什么,解决什么问题,难点是什么,重点是什么等,整理出思路清晰的教学方案;然后从视听角度进行总体构思,包括怎样设计开头,怎样结尾,用什么样的表现手法(图形、图像、声音和动画等)展示教学内容,使之结构严谨、层次分明、风格一致。还要考虑画面与声音之间的配合,使之符合心理和视觉规律。幻灯片不是简单的大量文字的堆砌,而应力求概括和精练,重点突出,以提纲式为主;另外还应选取合适的字体、字号,背景颜色合理搭配。
总之,应充分利用多媒体计算机丰富多彩、形象生动的图形、图像和动画技术,有效地解决常规教学手段难以表现和讲解的教学重点与难点,使学生通过多个感官来获取相关信息,增强学习兴趣,提高学习主动性和积极性。
2.3 动画演示
“现代通信技术”的教学内容常常涉及信号的处理过程,传统教学方式通过图形和数学公式将其表达出来,学生难以理解。为了直观地展示信号处理过程,我制作了大量flas进行演示。比如,讲解AM调制技术时,通过flas演示原始信号和载波生成已调信号的动态过 程,让学生对载波幅度随原始信号变化有直观感受,生动的波形和频谱图帮助学生理解信号处理的全过程;再如,讲解电话载波通信的复用技术时,通过flas演示载波通信的全过程,学生可以直观地感受到调制器、滤波器等在整个通信过程中的作用。
3 成绩考核方式的确定
课程成绩评定是否公平合理,不仅关系到每个学生的切身利益,而且体现和影响到教师的职业道德与职业形象,因此需要有完善的成绩评定方法,使成绩的给定能科学公正地反映学生的学习态度、学习效果以及掌握知识的能力。每学期的第一次课我就给出总评成绩的评定方式,即:总评成绩=期末考试成绩×60%+平时成绩×40%。平时成绩的比重之所以这么高,是想尽量避免学生混学分的现象,告诫学生要把功夫下在平时,单靠期末考试前临时抱佛脚是不行的。
平时成绩从课堂出勤、课堂发言、随堂测验等角度综合考察。课堂点名是约束学生出勤的有效方法,但使用该方法需要有一定的度,点名次数过多,占用上课时间:点名次数太少,达不到督促学生出勤的效果。基于上述考虑,每学期16次课中随机抽查课堂出勤情况3-4次,计入平时成绩,缺一次扣4分,在一定程度上避免了听不听课都一样的不公平现象,收到大部分学生的支持。课堂发言情况能够反映出发言者是否认真听课,是否在思考相关问题。我尝试给发言者加分奖励,把发言质量分为3档,分别奖励4、3、2分,计入平时成绩。这样不仅为学生提供了展示自己、锻炼自己的机会,也活跃了课堂气氛,调动了他们参与课堂教学的积极性。而将发言质量分档避免了少数学生没有思考问题而随意回答以获得平时成绩的现象。考虑到公选课的性质和特点,专门抽出时间进行期中考试不现实,我采用一种变通的方式,每学期安排2次随堂测试,一方面可以检验学生的听课效果,另一方面也可以变相考察学生的出勤情况,一举两得,随堂测试情况计入平时成绩。上述平时成绩记录在Excel表格中,随时进行更新。期末时,当着全体学生打开Excel文件,公布每个学生在课堂出勤、课堂发言和随堂测试等方面的表现,并计算平时成绩,让学生确实感觉到教师的公平、公正和公开。
期末考试主要包括现代通信技术基础知识测试和论述两部分。基础知识测试学生对现代通信技术相关基本知识、原理的了解与掌握情况。论述部分在更高层次考察学生对现代通信技术的理解,如“如何利用现代通信技术解决本专业遇到的一些实际问题?”论述题灵活性很大,给学生充分发挥的空间。
[关键词]通信工程;培养模式;课程体系;实践环节
0引言
大连海洋大学是我国北方地区唯一的一所以海洋和水产学科为特色,多学科协调发展的涉海高等院校,为振兴辽宁老工业基地,适应辽宁省及全国沿海省市对海洋渔业通信工程发展的需要,发展区域经济,满足我国和全省经济建设对海洋渔业通信工程专业人才的需求,大力发展信息产业建设,通信工程专业自2003年开始招生。在开办的这十二年时间里,我们下大力气,狠抓专业建设规范,注重教学质量。随着本专业师资力量的逐步增强,我们对本专业的发展现状、发展规律的深入研究把握,对专业定位的认识逐步统一,大连海洋大学通信工程专业的特色目标和人才培养目标逐步清晰明确。
1培养目标
大连海洋大学信息工程学院通信工程专业是从学校的学科专业结构特点和学科特色出发,合理配置学校的教学资源,在电子信息工程、通信工程、自动化、计算机科学与技术、船舶与海洋工程和航海技术的学科交叉基础上设立的专业。学校以提升人才培养质量为核心,立足辽宁,面向黄、渤海,辐射全国,为区域经济建设服务,为国家水产和海洋事业服务,致力于培养德、智、体、美全面发展,知识面宽,基础扎实,综合素质高,具有创新精神和实践能力,敬业、专业、乐业、创业的复合性应用型人才的人才培养战略。在人才培养过程中注重培养学生的自主性、研究性学习的能力和分析问题、解决问题的能力,结合地方经济社会发展需要确定本专业的培养目标、任务和要求,加强海洋渔业通信方面的特色教育。在多年办学经验的基础上,经多方调研,结合本校实际,制定并逐步完善了通信工程专业的培养目标:以培养德、智、体、美全面发展,熟练掌握通信技术、通信系统和通信网络的基本理论、基本知识和基本技能与方法,并具备电子和计算机技术等方面知识,具有较强的工程实践能力,能够从事固定通信、移动通信及船舶通信等现代通信系统及设备的研究、设计、开发与应用的,具有海洋、渔业科学背景的人才。
2课程体系的改革和优化
课程体系主要包括课程设置、教学内容及课程结构,是教学思想、教育理念的具体化,也是实现创新能力培养与综合素质提高的保证。课程设置是否科学,教学内容是否合理,直接影响创新能力的培养与综合素质的提高。按照我校建设“蓝色大学”理念,构建了通信工程专业蓝色人才培养方案。培养方案坚持“加强通识教育、拓宽学科基础、凝练专业方向、提升实践能力、培养创新精神”的人才培养原则,优化人才培养过程,构建课内、课外一体化的培养模式,依照“浅蓝、蔚蓝、湛蓝、深蓝”的蓝色课程体系,用蓝色课程元素来承载水的精神与海的文化,延伸至涉海涉水教学内容要素。(1)浅蓝(通识课程)包括公共基础课(思想政治理论课、大学外语、大学计算机基础、高等数学、大学物理、体育等),公共选修课(军事理论、健康与安全教育、选修课),公共集中实践环节(军训)。通识课程虽然不一定与通信专业有直接联系,但它是培养具有远大的理想、高尚的情操、科学的思维、可持续发展的能力和健康的心里的人才,为进一步学习提供方法论的不可缺少的课程。基于学校开展课程建设的“双百工程”,从公共选修课着手,打造了蓝色海洋类、人文与社科类、艺术与体育类、自然科学与技术类共100门校级精品视频公开课。其中蓝色海洋类公共选修课有利于进一步加深学生的海洋知识背景。(2)蔚蓝(学科基础课)包括复变函数、电路理论、信号与系统、模拟电子技术、数字电子技术、高频电子技术、数字信号处理、微机原理与应用、电磁场与电磁波、单片机原理与接口技术、通信原理等。学科基础课是通信工程专业学生必须具有的基本知识结构,为专业课程提供有效的支撑,使学生具备本专业的基础理论和基本工程应用能力,有独立获取知识、提出问题、分析问题和解决问题的能力及开拓创新精神,为学生后续学习专业方向课打下坚实的基础。(3)湛蓝(专业课)包括专业必修课(电子线路仿真、电子线路CAD、移动通信、计算机通信、DSP技术与应用)、专业方向课、专业任选课(C++高级语言程序设计、随机信号处理、电视原理与技术、现代通信系统仿真技术、计算机网络安全、嵌入式系统开发技术、数据结构C、扩频通信、通信工程专业英语)。通过对其他高校相同专业的大量调研,反复论证比较,通信工程专业设立两个专业方向:通信工程(程控交换技术、船舶通信、光纤通信)、计算机通信(数字通信、多媒体通信技术、计算机网络技术)。通信专业依托海洋信息技术,在船舶通信、船舶导航、海洋渔业3S技术等方面进行了卓有成效的尝试,同时,紧随时代的发展,对部分课程进行压缩和调整,开设一些学生喜爱的,又能与现实接轨的课程,如扩频通信、嵌入式系统开发技术等选修课。(4)深蓝(专业集中实践环节)包括模拟电子技术课程设计、数字电子技术课程设计、电子线路仿真课程设计、电子线路CAD上机、高频电子技术课程设计、现代通信系统仿真技术上机、通信原理课程设计、单片机原理与接口技术课程设计、通信工程专业教学实习、通信工程专业实习、通信工程专业毕业设计(论文)等。专业集中实践环节对培养通信专业逐步树立工程观念、提高解决工程实际问题的能力和创新能力,有着极为重要的作用。
3强化实践环节,培养提高创新能力
通信工程专业将实践环节作为培养学生创新精神和实践能力的主要途径,制定了科学合理的实践教学方案,构建了多层次、全程化实践教学体系,较好地保证了通信工程专业实践教学的需要。坚持实践教学与理论教学并重、实践教育与创新教育结合,对构成实践教学的各个要素进行整体设计,所有的实践环节围绕培养学生实践动手能力和创新能力而展开,把实践环节分成实验教学、课程设计、实习、毕业论文(设计)、科技创新五个模块,模块之间衔接紧密、层层推进,为学生从入门到提高再到创新夯实基础。
3.1实验教学
实验教学模块主要依托辽宁省海洋信息技术重点实验室、辽宁省实验教学示范中心,以提高实验动手能力为主线,以掌握基本实验技能和方法、融会贯通科学知识、促进创新思维为主要教学目标。加强基础课、主干课实验;实验内容优化配合,避免重复或脱节;增加设计性、综合性实验的比重,形成基本实验、选做实验、设计性和综合性实验组成的立体化实验结构;对含有实验的课程,加大实验教学在整个课程考核中的比例;鼓励学生自主设计实验。在2013版培养方案和教学大纲中都有体现。针对不同课程的特点,有选择地在教学过程中引入仿真实验环节,以缓解实验设备和空间的紧张情况,有效扩展实验空间和时间,节省资金。
3.2课程设计
课程设计着眼点是把理论学习与工程实践相结合,让学生初步掌握设计的程序和方法。一般以单门课或课程群为主选择题目,它是毕业设计的初级阶段。课程设计教学中压缩验证性课题,增加能够体现设计型、综合型和创造性的课题。在课程设计教学设计过程中,鼓励学生自主选题,自行讨论方案,自己组织实施,给予学生自我发挥的余地,充分激发学生的创造性思维,为学生个性的发挥和创造能力的锻炼创造条件。
3.3实习
以校内外实习基地为平台,以使学生学会理论联系实际、建立工程意识和锻炼实际操作技能为主要教学目的,并且通过接触社会,增强学生的劳动观念和社会责任感。目前,通信工程专业校外实习基地2个(人民4810厂,北京尚观科技有限公司大连分公司),合作的企事业单位有18个(渤海船舶重工有限责任公司等),同时学校也正在积极运作与通信公司合作。到企业参观实习和请企业技术专家来校讲座,通过参观和专家公开课的形式,使学生对企业文化、船舶通信及导航设备的发展现状与趋势和本行业领域的前沿技术等有所了解,有利于学生学习目标的确定和职业素质的提高。
3.4毕业论文(设计)
以学院各类实验室、校内外实习基地为平台,学生通过完成毕业论文(设计),在综合运用专业知识能力、外语和计算机应用能力、信息资料检索和收集能力、论文撰写能力和解决实际问题等能力上有较大提高。为切实保障毕业论文(设计)的质量,从以下几方面进行加强:①精心设计备选题目,组织开题报告。学生选题后,在指导教师指导下,查阅文献和撰写文献综述,并精心组织好开题报告,以保证毕业论文的先进性、可行性;②加强毕业论文的中期检查,以保证毕业论文在有限的时间内按质按量完成;③建立毕业论文答辩规范和质量标准,在毕业论文答辩期间开展“毕业论文检查周”活动,有效提升了毕业论文的质量。④学校出台了《大连海洋大学本科生学位论文学术规范检测暂行办法》,针对毕业的本科生的学位论文进行了学术不端行为的检测,有效地杜绝了学术不端行为。3.5科技创新以各类兴趣小组和科技社团、大学生科技创新基地、科研实验室为平台,学生通过参加大学生创新创业训练计划项目、科学研究等活动,使创新意识和能力得到进一步培养和提高。低年级的学生专业基础还比较薄弱,鼓励他们参加兴趣小组或者科技社团,以增加学生对创新的认识,提高学生对创新的兴趣;高年级的学生参加各种校内外的竞赛,使学生在竞赛过程中自主学习、自我探索、自我发现。目前,通信工程专业学生在教师有针对性的训练下,参加了“飞思卡尔杯”全国大学生智能汽车竞赛、“大唐杯”全国大学生移动通信技术大赛、“挑战杯”大学生课外学术科技作品竞赛、全国大学生电子设计大赛等,并取得了优异的成绩。
4结语
大连海洋大学通信工程专业作为涉海高校的“非特色”专业,在复合性应用型培养目标的前提下充分利用和挖掘自己的优势资源,发挥地方特色、行业特色;在加强学生思想道德教育和身心素质培养的同时,主动适应国家和辽宁省沿海经济带发展的新需求,抓住实践能力和创新精神培养的核心,对通信专业的人才培养模式进行调整,使之更好地符合学校的定位与专业培养目标的要求,从而更好地适应社会需要,符合高等教育的发展趋势,并在实践中不断探索与发展。
主要参考文献
[1]李松松,郭显久,等.电子信息工程专业人才培养模式的探索与实践[J].中国电力教育.2011(22):51-52.
[2]刘冬,石焕玉,等.通信工程本科专业应用型人才培养模式研究[J].吉林省教育学院学报,2013,5(29):72-73.
[3]江海,田春艳.机械类应用型本科人才培养模式的探索与实践[J].装备制造技术,2010(3):159-160.
[4]焦冬莉,李晋生,等.应用型通信人才培养的实践教学体系改革[J].实验室研究与探索,2012,31(9):128-130.
关键词:信息论基础 教学实践 教学改革
中图分类号:G633.67 文献标识码:A 文章编号:1672-3791(2012)12(b)-0200-01
1 《信息论基础》课程教学的现状
(1)虽然目前《信息论基础》课程都有配套的实验教学内容,但是大部分实验内容还都是在实验箱上进行的。一方面,实验室由于规模的限制,实验设备的台数不多,而招生规模却在不断扩大,学生的实验课时相对有限,所以大部分学生不能得到充分的实践练习和锻炼;另一方面,实验箱平台所支持的实验内容大都是演示性质的,并且实验项目基本固定学生只能得到对实际通信设备结构、原理的浅显认识,而对通信系统背后的真正工作原理,以及各设备之间的相互关联是片面和模糊的。
(2)近年来由于我国向信息化社会的转变,居于前沿的通信技术的发展日新月异,且其理论研究的发展大大超前于实际的市场需求。在这种大环境下,新的通信技术必然会被不断的引入大学信息论基础课程的教学中来,使课程教学的负担逐步加重。
上述两方面的问题直接影响了《信息论基础》课程的教学效果,教学环境的变化和教学内容的更新扩展都需要我们对教学思想和教学方法做出相应地变化,这在客观上要求我们教育工作者去冷静地思考,探索新的教学思路和方法。
2 软件仿真实验
目前,国内绕《信息论基础》教学的现状,对《信息论基础》的教学改革进行了多方面探索[1-2],其中针对教学手段,提出了基于2种仿真软件SystemView和Matlab来辅助教学[3-4]。软件仿真技术正日益融入许多经典的专业基础课教学中,软件仿真实验内容灵活、设计性强,与基本理论相互补充,与硬件实验相互弥补。
但对于信息论基础课程来说,Matlab和SystemView都有不足之处。Matlab功能强大,集数值分析、矩阵运算、信号处理、图像显示等多种功能于一体,提供了一个高性能的科学计算环境,通用于多个领域,虽然有专用的通信函数库和工具箱,但本科生在使用这些函数搭建通信系统的过程中,经常碰到困难。一方面是因为Matlab的帮助文档是英文的,本科生对于英文的理解还存在很大困难。另一方面是因为学生在把理论知识转化为计算机语言时存在困难,这主要是关于这样的实践在教学过程中很少受到重视。
而SystemView是一个信号级的系统仿真软件,主要用于电路与通信系统的设计、仿真,能满足从信号处理、滤波设计到复杂的通信系统仿真等要求。虽然其操作简单,只需要拖动鼠标和输入一些模块参数,无需编写复杂的程序语言,就可看到仿真结果。但对于本科生来说,这样的仿真结果只是让他们看到信号参数的改变对实验现象的影响,却不知道仿真背后的原理和各个模块之间的联系,不能达到教学的真正目的。
3 基于C语言的软件仿真
针对这些仿真软件对于信息论基础教学存在的局限,本项目利用C语言可视化编程的强大功能,开发一套更适用于信息论基础教学的仿真软件。我们从功能上把该仿真软件分为三部分:信息论基础各章节基本知识辅助理解;搭建实际无线通信系统;最新科研成果展示。
在“信息论基础各章节基本知识”模块中主要包括离散信源的信息熵、平均互信息及平均条件互信息、信道容量及其一般计算方法、连续信源熵、等长信源编码、变长信源编码、错误概率和译码规则、有噪信道编码、信息率失真函数及其性质、霍夫曼编码、费诺编码、游程编码、差错控制、线性分组码、卷积码、联合信源信道编码等知识点。“搭建实际无线通信系统”模块将搭建多个无线通信系统,如COFDM系统仿真、卫星通信系统、数字基带通信系统、移动通信系统等。在软件设计中把原理框图和仿真框图一起在界面上给出来,对应的程序代码是开放的,这样不仅把通信系统的整体概念完整的展示出来,而且把信息论基础课程的各重要知识点联结起来;“最新科研成果展示”模块将教研室中教师们的科研成果展示出来,目前主要包括网络编码研究、无线传感器网络研究、GPS和北斗卫星导航定位技术研究、视频编码研究、光纤通信研究等方向。
4 将软件仿真应用于教与学中
这是很重要的实践环节,考验该仿真软件是否真正起到辅助作用。该仿真软件计划在三个方面辅助教与学。第一方面,教师在课堂授课过程中现场使用该仿真软件。教学内容中常常涉及信号的处理过程,传统的方法是通过画框图和数学公式将其表达出来,但若在课堂上使用该仿真软件,可动态仿真信号的处理过程,产生各种生动直观的信号波形和频谱图,不仅能够帮助学生理解信号处理的全过程,也能帮助他们理解相应数学公式的推导。第二方面,教师在备课过程中使用该仿真软件。教师在备课的时候经常遇到要验证教材中一些公式和图形,以及一些习题中的画图,这时教师可以灵活使用该仿真软件中相关的一些模块来帮助完成。第三方面,学生在课后使用该仿真软件。该软件的仿真框图和代码是开放的,学生可以在课后深入学习。老师也可以通过安排一些课程设计题目,让学生在模仿该软件的基础上,加入一些子模块,形成新的通信系统。
5 结语
本文创造性的研究开发基于C语言的辅助教学软件,在我校通信工程专业本科生《信息论基础》课程教学中取得了较好的教学效果。搭建的实际无线通信仿真系统,能够虚拟现实通信系统,帮助学生建立系统的概念,对通信系统有完整系统的认识;通过观察输出通信系统中各子模块的仿真结果,配合上老师的仔细讲解,帮助学生理解各个子模块之间的联系,从而达到不只看见“森林”,也看见“树木”,有效培养了学生的分析问题和解决问题能力,也提高了学生的学习积极性。
参考文献
[1] 张小峰,逢珊,邹海林.信息论与编码的教学改革探讨[J].计算机教育,2011(13):11-14.
[2] 谢利民,郑百伟.现代教学基础理论[M].上海:上海教育出版社,2003.
关键词:通信工程;实践教学培养;创新型人才
中图分类号:TN91-4
随着电子信息类产业的发展,物联网技术的需求,通信网络优秀人才成为了通信行业的宠儿。2013年11月4日,工业和信息化部通信行业职业技能鉴定指导中心对工业和信息化部电信研究院西部分院进行了“部级通信行业职业技能鉴定实训基地”和“通信行业职业技能鉴定专项技术培训机构”的授权,标志着西南地区首家通信行业技能人才实训培养服务体系正式建立,这是近年来我国对通信人才培养又一次重视的体现。目前多数高校通信工程专业培养体系难以培养出用人单位满意的人才[1],毕业生就业形势不乐观,实践创新能力比较弱,难以进入通信技术研发人员之列,本科毕业生多从事销售人员和电信运营商。造成通信本科毕业生难以适应本专业工作的原因是实践能力弱,即使在校课程理论掌握得很好,一旦运用到实际,无创新思路,满足不了现在科技发展的趋势,以往重理论轻实践的教育模式已经不适合现在的人才培养,培养通信专业人才需要一个完善的教育体系。
1 目前通信人才毕业状况
目前通信工程专业毕业的学生就业多分为三类。第一类为研发型,即是到科技研发公司做通信技术研发人员,职业道路上可能会从普通研发人员到研发工程师,好的话会升到高层管理;第二类为到运营商,即到电信运营商做设备管理等,发展出路多中高层管理人员;第三类为销售人员,通常为进到各类公司对各种上游设备以及通讯器材的销售。这三类是目前通信工程毕业生就业的三大去向,在目前的通信人才培养来说,第一类人才的去向是比较少,特别是本科毕业的,主要是因为理论与实践培养不协调,第二类和第三类是目前通信工程毕业生多去的方向,对于实践能力要求门槛比较低。
2 物联网与移动网络的发展给通信工程人才带来的契机
近年来,物联网技术以及移动网络技术的飞速发展,对通信工程人才的需求越来越大。计算机通信、无线通信与硬件技术相结合的人才需求增大,但目前的通信工程人才培养体系无法满足现需求,为此,对于通信工程人才的培养需要在大方向的改进,小方向的调整,对目前重理论轻实践的教育体系改革为“理论培养—实验加强—实践巩固”的应用型人才培养理念。华南经济圈的创新对人才的需求,西部发展对人才的需求等等提供良好的人才需求市场,急需高素质创新人才。一方面是高素质人才的紧缺,另一方面是高校毕业生就业有难度,人才供需矛盾出现在能力的培养上,实践教学体系可以从培养学生课堂学习能力、实践能力、创造能力去解决这一矛盾,也能较好地够满足通信工程专业人才需求,企业需要更多具有实践能力和创造能力的人才,到企业后能够很好地参与企业的建设,迅速的为企业创造经济价值,降低企业的用人成本,具有创造能力的人才是企业发展的不竭动力,因此创造性人才备受青睐,构建实践教学体系对创造型人才培养起到了关键作用。
3 创新人才培养教学体系
目前各高校已发现传统的教学方式在培养后期没有太多的注重实践培养[2],以此的教学体系造成多数通信工程毕业生或接近毕业的学生,在为工作时多数是出去找培训机构进行其他专业培训,或为努力考各类认证。在体系上为教学实践方面上改革通过大学阶段实践教学体系的培养,在培养方向上,通信工程专业毕业生应具备理解通信工程及计算机科学方面的基本知识,能将所学知识应用到实际工作中。在对近年来国内通信工程毕业生的了解,达到毕业程度的都应具备通信工程及计算机科学方面的专业知识,具备在通信网络领域某一专项问题做深入研究的能力;适应通信类专业的发展,随时迎接挑战,向更大的空间发展,灵活运用专业知识参与有创造性、综合性的科技活动;关注通信类专业技术前沿动态,保持学习状态并且能够做到终身学习,具有适应信息类行业各岗位的工作能力;具有团队合作意识,能流畅地表达观点,这样能够在专业知识环境和社会环境中能与他人和谐相处,共同进行通信工程设计或从事科学研究;适应知识领域的多样化;认识并理解职业道德及社会责任的重要性。重视加强通信与信息学科基础的前提下,强调通信类科技人才应具备工程实践能力、团队表达交流沟通能力与团队合作精神、自身终身学习能力。具备这些,都需要进行深入体系改革,注重后期实践能力培养。
4 创新人才阶段性能力培养
4.1 基本理论的培养
首阶段打基础,多为理论培养,贯穿着整个培养体系。在现代化人才培养方案中,通信工程人需要掌握的重要理论课程主要有电路分析、电路基础、数电模电、低频电子线路、高频电子线路、信号与系统、数字信号、微机原理及应用、单片机技术、DSP开发、微波技术与天线、通信原理、程控交换技术、移动通信、计算机网络通信、光纤通信等。通信工程专业的课程繁多,理论培养需要由浅入深,由基础引导到深入研究。同类课程相结合,避免纯类发展,电路知识结合单片机培养,进而到深层嵌入式,光纤通信与移动通信方面知识侧重培养[3]。前期理论培养需要进行一些基础性的实验,即一些结合课本的引导性实验,目的为提高同学们的兴趣。基础性实验可以是小硬件制作,简单路由设置等,一步一步深入,进而到功能性电路设计,中型网络设置等。
4.2 开放性实验室建设
对于市场需求,通信工程人才侧重的还是实践能力。开放性实验强调各学科相互联系与渗透,除了注重日常课程实验的开设,还注重自主实验室的建设。课程实验主要为巩固课程理论,为学生更深入理解,而自主实验室是为了学生的创新。在自主实验室并不是完全由学生自己安排,而是由教师进行阶段性的课题安排,再与学生自己探讨与创新,与教师更深层的交流合作。对于通信工程的学生来说,硬件需要基础,软件需要熟练。对于通信网络方面,更需要去深层了解,对每完成一个阶段的课题都应进行一次对成果的评判。对于学生的实验室培养,应该放弃放养式,而是有针对的培养。对于这阶段的培养,在体系上侧重实验的重要性,理论只是为实验的基础,对于每个课程实验进行操作培养与考核,这是培养学生动手能力的强硬手法。对于自主实验室的实施,进行周期学习成果展,对实验室成员的作品,小到小硬件,大到某系统,进行一次评比奖励。评比周期可为半个月或为一个月。学生的实践动手能力需要强制手段,也需要奖励来鼓励,形成这套体系是培养通信人才的必要手段。
4.3 实践与创新
此类培养主要是培养学生理论运用于实践与创新[4]。通过实验课程与自主实验室的锻炼,大部分学生都应该有了自己一定的专业能力,可以通过校级区级项目及各类相应竞赛为引导进行实践。目前广西教育厅已实施“区大学生创新创业训练计划”,这无疑是给学生的实践创造了更大的机会。为此,就是通过各类有实际的项目来锻炼学生的实践运用与创新。积极鼓励学生申请参与项目研究,理论运用于实践。结合创新创业计划,建立以学生项目为主,各类比赛为动力,各类实验室为跳板创新人才培养模式。通过项目与发明创造的引导,培养成为有合作精神和团队意识,能够流畅地表达观点并具有说服力的通信专业人才,这样能够在企业人才竞争中站得稳。
4.4 社会实习锻炼
校企合作在当今已经不是一件新鲜事了,但在多数高校的通信工程专业来说,人才培养与企业对接还是有一段距离。造成多数通信工程毕业生难以出现专业行人才。培养符合企业型人才就需要让学生多与企业接触,多接触社会。这一阶段就是要加强企业联系合作,形成一套完善的校企合作体系,从而逐步形成了多种形式的校企合作人才培养模式。首先校方积极与通信工程专业对口企业进行洽谈,达成协议,互利共赢。这个阶段对于那些迷茫未给自己定位的学生也是一个很好的改造。这阶段是社会生存培养,通过企业来培养学生的生存能力。校方给企业淘汰指标,以达到学生竞争来锻炼抗压性。企业给校方培养方向,以培养出更适合企业发展的人才。
5 加强实践教学指导老师队伍建设
优质人才需要好的导师,加强实践教学指导老师队伍建设,也是人才培养的重中之重。通信工程是一个很大的方向,在培养人才当中学生兴趣爱好各有不同,在通信工程人才培养中后期需要引导,以上学生更好走向自己追求的方向。通信工程专业主要分为两大类,一类为研发工程师,多为硬件、嵌入式方面;二类为网络工程师,以网络配置和设计为主。通信工程的多向性注定了通信工程人才的培养需要更雄厚的师资。在理论与实践相结合的教学体系上,教师要与学生相结合,在人才培养中后期开始通过专业教师对学生分大类,进行专项培养,以培养更专业的人才。在培养自主创新方面,给学生更好的引导;在校企合作上可以聘请企业的优秀人员与骨干教师合作指导,以形成高质量的人才输送实习方案。教师与企业人员各类人才的研究开发,以培训出优质人才。通过实习的学生可以与企业达成协议,与企业共同发展,实现双赢,完善的实践教学体系,加上优质的实践教师队伍,整个实践教学才能完善的关键所在。
参考文献:
[1]邱捷,胡增存.国外著名大学电气信息类专业教育剖析[J].高等工程教育,2004(6):76-79.
[2]雷万忠,季宝杰.电气信息类工程实践教学体系的构建[J].实验室研究与探索,2011,30(6):332-335.
[3]戴波潘,渊颖.电气信息类应用型人才培养模式探索[J].实验室研究与探索,2005(24):70-72.
[4]马从国,倪伟.电气信息类本科生实践能力培养模式的构建[J].黑龙江教育(高教研究与评估),2010(3):88-89.
作者简介:韦江华(1982-),男,广西柳江人,实验师;林川(1979-),男,湖北汉川人,副教授。
一、电子信息科学与技术核心
1.研究领域
电子信息科学与技术专业,主要从事以下领域的研究:通信与广播电视、厘米波与毫米波技术、传感与自控、雷达技术、电磁场与微波技术、数字信号处理技术、超导电子学、超大规模集成电路及集成电路系统的研究、微电子技术、电子离子光学与计算机辅助设计、信息显示、光电子技术和真空微电子学、传感技术与应用系统等方向。
2.培养目标
本专业培养具备电子信息科学与技术的基本理论和基本知识,受到严格的科学实验训练和科学研究初步训练,能在电子信息科学与技术、计算机科学与技术及相关领域和行政部门从事科学研究、教学、科技开发、产品设计、生产技术管理工作的电子信息科学与技术高级专门人才。
3.培养要求
本专业学生主要学习电子信息科学与技术的基本理论和技术,受到科学实验与科学思维的训练,具有本学科及跨学科的应用研究与技术开发的基本能力。
4.社会作用
电子科学与技术对社会发展的促进作用如下:信息产业成为带动经济增长的引擎,信息技术推动传统产业的技术升级,动力结构正出现巨变,信息技术促进人类文明的进步。
二、电子科学技术的应用
1.电子科学技术的应用领域
主要应用下列各方面:电化学、电镀、电加工、直流传动、直流电力牵引、交流传动、交流电力牵引、电机励磁、电磁合闸、充电、中频感应加热、高频静电除尘、直流高压输电、无功功率补偿以及深入千家万户的各种家用电器。
2.电子信息技术的应用环境
(1)教育信息化。互联网、教育两种力量决定着时代的命运。而这两种力量的融合就促成了教育的信息化。教育信息化是以计算机多媒体和网络通讯为基础的现代化信息技术。教育信息化是信息社会的产物,也是信息化社会对教育的新要求,其出现具有着极强的时代必然性。
其一,现代化电子信息技术是自印刷术发明以来对教育最具革命性影响的技术;其二,教育具有基础性,教育信息化会带动经济信息化和社会信息化;其三,教育人口是接受信息化最快的入口;其四,信息技术在教育领域最容易推广。
电子信息技术与教育有着根深蒂固的联系。如今,学校对学生“信息获取”、“信息分析”和“信息加工”能力的培养,新的计算机和网络教学模式的推行,全社会广泛开展的信息教育,加上计算机和网络的高度普及应用势必助推教育信息化的快速发展。
(2)居民生活信息化。网络已经是人们生活“必需品”了。在智能小区中,居民可以利用此平台实现网上购物、视频在线、远程通讯、远程医疗、视频会议、电子商务、居家办公、异地间的资源共享等,真正使居民日常生活所关心的工作学习、家庭保健、家庭娱乐等问题以廉价、快速的信息化方式解决。
(3)日常设备信息化。随着人们对生活信息化的渴求,越来越多的日常设备都或多或少的应用了信息技术。如冰箱的恒温控制系统、彩电的数字网络功能等等。而日渐走入寻常百姓家的汽车更是将信息技术在日常设备中应用发挥到了极点。电子技术的发展已使汽车产品的概念发生了深刻的变化。新的汽车电子系统由各个电子控制单元(ECU)组成,可以独立操控,同时又能协调到整体运行的最佳状态。举一个安全驾驶方面的例子,出于平稳、安全驾驶的需要,对四个轮子的操控,除了应用大量压力传感器并普遍安装了刹车防抱死装置(ABS)外,许多轿车,包括国产车,已增设了电子动力分配系统(EBD)。ABS+EBD可以最大限度地保障雨雪天气驾驶时的稳定性。
三、电子信息科学技术的发展
1.网络技术的发展
传统的网络主要是指通信网络,例如电话交换网,电报传真网,移动通信网,分组交换公用数据网,数字数据网等,计算机网络指的是互联网。现代信息技术的发展不得不提到物联网。顾名思义,物联网就是“物物相连的互联网”。这有两层意思:第一,物联网的核心和基础仍然是互联网,是在互联网基础上的延伸和扩展的网络;第二,其用户端延伸和扩展到了任何物体与物体之间进行信息交换和通信。物联网时代,冬天在海口暖暖的海边只要有个念头,立刻就能知道冰天雪地的哈尔滨的即时气温是多少。物联网是继计算机、互联网和移动通信之后的又一次信息产业的革命性发展,物联网产业关乎绝大多数的产业群,其应用范围几乎覆盖了各个行业。物联网将成为全球信息通信行业的万亿元级新兴产业,人们的日常生活将发生翻天覆地的变化。
2.光电技术的发展
光电技术是现代电子信息技术的重要组成部分。光电技术包括光电检测技术、光电电子技术、光电显示技术、光电探测与信号处理等等。转贴于233网校光电技术涉及光学技术、微电子技术、计算机技术、精密机械等多种学科领域。这样就催生了软性显示器,软性显示器不但画面精细清晰,色彩炫丽明亮,3D显示以假乱真,还具备像传统的纸一样能弯能折的特性,不用时可以折起放进口袋,需要时如纸一般展开就可以使用于各种场合,让人们的生活工作更快捷轻松。在现今全球能源短缺的情况下,节约能源是我们所面临的大问题,LED作为一种绿色光源产品,不仅节能、环保、多变换,还具有寿命长、高新尖等特点。其技术已越来越多的用于工业、军事和社会生活等各个方面,比如LED路灯、LED电视等。在纳米科学研究的基础上发展新一代光电信息新材料,将不断推动光电技术的快步发展,我们将会拥有更加环保与多彩的生活。
现代电子信息科学技术涉及了信息的产业、收集、交换、存储、传输、显示、识别、提取、控制、加工和利用等方面,包括了光电技术,网络技术,集成电路等各个领域。未来社会是信息的社会,电子信息技术已成为当代最活跃、渗透力最强的科学技术,随着我国科学技术的迅速发展和人民生活水平的不断提高,各种信息技术的应用已经进入千家万户,互联网,数字电视等正成为和将成为现代家庭生活中的不可或缺的重要组成部分。在时代的需求和发展前景下,电子信息科学技术的发展将更加快速,发展空间将更为广阔。
作者简介:
常耀庭,河南理工大学电气学院电科1302班。
靳,河南理工大学电气学院电科1302班。
关键词:无线公钥基础设施身份机密3G认证机构
1绪论
1.1第三代移动通信简介及安全问题
移动通信经历了三个发展阶段:
第一代移动通信系统出现于20世纪70年代后期,是一种模拟移动通信系统,以模拟电路单元为基本模块实现话音通信。主要制式有美国的AMPS,北欧的NMT、英国的TACS和日本的HCMTS等。
第二代移动通信系统(2G)出现于20世纪80年代后期,以GSM,DAMPS和PDC为代表的第二代数字移动通信系统。
第三代的概念早在1985年就由ITU(国际电信联盟)提出了,当时称为FPLMTS(未来公众陆地移动通信系统)。1996年更名为IMT-2000(国际移动通信一2000)。前两代系统主要面向话音传输,与之相比,三代的主要特征是提供数据、多媒体业务,语音只是数据业务的一个应用。第三代移动通信系统(3G)的目标是:世界范围内设计上的高度一致性;与固定网络各种业务的相互兼容;高服务质量;全球范围内使用的小终端;具有全球漫游能力:支持多媒体功能及广泛业务的终端。为了实现上述目标,对第三代无线传输技术(RTT)提出了支持高速多媒体业务〔高速移动环境:144Kbps,室外步行环境:384Kbps,室内环境:2Mbps)、比现有系统有更高的频谱效率等基本要求。近几年通信的飞速发展,使得现存的第二代通信系统已经无法满足现有的人们的需要,主要表现为:
(1)巨大的移动通信市场和目前频谱资源的有限性之间的矛盾日益突出,不能满足工业发达国家和一部分第三世界国家(如中国、印度)大中城市手机用户高密度要求。
(2)数据网络和多媒体通信逐步和无线通信的可移动性相结合,因此移动多媒体或移动IP迅速发展起来,但第二代速率过低(9.6kb/s或57kb/s)与目前IP技术与多媒体业务要求距离甚远,不能满足政府、先进企业及新兴“白领”阶层对高速数据量的要求。
(3)不能实现全球覆盖无缝连接。
(4)通信业务的安全保障不足。
随着技术的发展,安全问题也越来越受到大家的关注,出于质量和效益的问题,移动通信的电勃具有较强的穿透力向各个方向传播,易于被截取,或窃听,其可靠性与安全性都有待加强。二十世纪八十年代的模拟通信便深受其害,由于基本上没有采用什么安全技术,通信时的话音很容易被窃听,尽管二代在安全性方面提出了较大的改进,采用数字系统,提出了身份认证,数据加密这一概念,系统考虑了一些安全因素,但绝大部分的安全规范是从运营商的角度设计的:防止欺骗和网络误用。但是依然存在许多安全缺陷。如单向认证,即只考虑了网络对于用户的认证而忽视了用户对于网络的识别,这种处理方法不能提供可信的环境,不能给移动用户足够的信心开展电子商务和交换敏感信息。而且随着解密技术的发展,计算能力的提高,加密算法A5,已经证明能在短时间内破解。技术的成熟和移动数据业务的出现,用户比以前更加关注移动通信的安全问题。因此,无线PKI的应用是解决安全问题的关键所在。
1.2PKI简介
首先要介绍一下首先要介绍一下PKI(PublicKeyInfrastructure)译为公钥基础设施。简单地说,PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。目前,公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。
在3G系统中,PKI的应用主要是WPKI,即无线PKI的应用。主要是用来进行网络中的实体认证,来取得网络服务商与用户之间的彼此信任。除此之外,无线PKI还将用于数据加密,完整性保护,用户身份的机密性等多个方面。
1.3本文主要结构及内容提要
本文在介绍现有3G接入网安全技术的前提下,提出了新的基于公钥体制下的实现用户身份机密性的方案。第一章绪论简要介绍了移动通信的发展及面临的安全问题,以及PKI的引入。第二章介绍了无线PKI的一些基本知识和相关的操作。第三章给出了现有的3G系统的接入架构以及已有的安全措施。第四章为公钥体制下的认证方案。第五章在介绍了已有的一些身份机密方案以及其不足之后,给出了新的基于WPKI环境下的使用公钥体制来实现的保护用户身份机密的新方案。
本文最后对新的方案进行了总结。提出了相应的一些技术要求。
2无线PKI
2.1概述
在无线环境中的应用是PKI未来的发展趋势,它的证书和身份认证是确保在开放的无线网络中安全通信的必备条件。然而无线通信网络独特的特点使无线安全问题更趋复杂。如消息以无线电波的方式传播,在一定的区域内都能很容易被截取和接收到;网络接入点多,使任何人都能很容易地接入并对网络发起攻击;无线通信网络是一个包括无线和有线两部分的端到端的系统传统的有线领域安全问题将依然影响到无线领域,传统安全领域中抑制威胁的常用工具,在无线领域不一定有效。同时无线通信环境还存在着许多其他的限制条件,包括无线带宽方面,目前大部分的无线通信网络只提供有限的数据传输率;软件应用于开发手机、PDA等移动通信设备的开发环境、工具还很有限,相应的应用程序也很少;硬件方面,终端市场中各厂家的产品差异极大,生命周期短更新速度快;同时移动终端设备计算能力有限,内存和存储容量不大,显示屏幕较小,输入方法复杂等。所有这些特点及局限使PKI在无线环境中应用非常困难。为了最大限度的解决这些困难,目前已公布了WPKI草案,其内容涉及WPKI的运作方式、WPKI如何与现行的PKI服务相结合等。简单的说,把PKI改造为适合无线环境,就是WPKI。
无线PKI是对传统IETF基于X.509公钥基础设施(PKI)的扩展和优化,其在协议,证书格式,密码算法等方面进行了一些改进,可以适应无线网络带宽窄和无线设备计算能力低的特点,用来确保通信双方的身份认证、保密性、完整性和不可否认性。WPKI目前主要应用于WAP,所以又可称作WAPPKI。WPKI以WAP网关为桥梁,分别提供终端到网关、网关到服务器的安全连接,以确保整个通信过程的安全。可以说WAP将无线网络与Internet联系得更为紧密,使得WPKI进一步发展和应用成为可能。
2.2WPKI体系
WPKI标准提供了WTLSClass2,WTLSClass3,SignText,3种功能模式[1]。
WTLSClass2模式:WTLSClass2提供了移动终端对无线网关的认证能力,具体的操作过程如下:(1)无线网关申请证书
无线网关生成密钥对,向PKIPortal提出证书的申请;
PKIPortal确认网关的身份后,将消息转发给CA;
CA签发证书给网关。
(2)移动终端与应用服务器之间的安全模式1(两阶段安全);
移动终端与无线网关之间建立WTLS会话;
无线网关与应用服务器之间建立SSL/TLS。
(3)移动终端与应用服务器之间的安全模式2:(端到端的安全模式)
服务器申请证书
移动终端与应用服务器之间建立WTLS会话,无线网关只起路由器的作用,移动终端与应用服务器之间的通信对无线网关是不透明的。
WPKI的数字签名(SignText)模式:SignText模式是移动终端对一条消息进行数字签名后用WMLScript发送给服务器的过程,具体操作过程如下:
(1)移动终端通过网关向RA申请证书;
(2)RA对移动终端进行身份确认后将请求消息转发给CA;
(3)CA生成用户证书并把证书的URL传送给用户;
(4)CA将用户的公钥证书存放在证书数据库中;
(5)用户在客户端对一条消息进行签名,然后将这条消息连同对它的签名,以及用户证书的URL发给服务器;
(6)服务器通过用户证书的URL从数据库中找出用户的证书来验证用户。
WTLSClass3模式:WTLSClass3是一种认证模式,从PKI角度来说,WTLSClass3认证和上述的SignText形式几乎一样的,差别是在第5步中,SignText模型是使用应用层签名的方式来完成验证,即用户必须对服务器端发来的可读消息进行确认,并附上自己的数字签名,然后送回到服务器验证,其中使用的公私钥对必须是专门用来进行数字签名的密钥,而服务器端发来的消息也必须是可读的;而WTLSClass3使用客户端认证密钥对签名来自WTLS服务器的“挑战口令”,所谓“挑战口令”是指由服务器发送给客户端的一些随机数,需要由客户端对其进行签名来达到认证客户端的目的,这些随机数并不一定是可读信息。简单的说其主要的差异是客户利用自己的私钥对来自服务器或无线网关的请求进行签名。
2.3WTLS
WTLS(无线传输层安全协议)是无线应用协议中保证通信安全的一个重要组成部分,它实际上源自TCP/IP体系的TLS/SSL协议,是一个可选层,主要在无线终端内的微型浏览器和无线应用协议网关之间使用数字证书创建一个安全的秘密的通信“管道”。WTLS在那些通过低带宽网络通信的有限资源的手持设备中提供认证和机密性保护。WTLS使用163比特的椭圆曲线加密,强度相当于2048比特RSA加密,但比RSA的计算开销少,这对于移动终端来说是一个非常重要的因素。在WAP结构中,TLS或SSL是在Web服务器和网关服务器之间使用的。网关将TLS和SSL信息转换成WTLS,WTLS在建立连接时需要较少的计算开销,这样就可以使无线网络在传输数据时更有效。
WTLS在实现上要考虑以下几个方面:
(1)公钥加密的速度较慢,对低带宽的无线网络尤其突出。
(2)密钥交换的方法是基于公开密钥体制技术的。
(3)建立无线认证中心(WCA),用以支持身份识别及数字证书等。
(4)使用消息鉴别码(MAC)来保证数据的完整性
2.4WPKI的操作
WAP环境中标准化的PKI操作涉及到如何处理可信CA信息、服务器WTLS证书和客户端证书的注册。
2.4.1可信CA信息的处理
对于需要安全通信的双方来说,PKI是保障双方相互认证、通信的保密性、完整性和不可否认性的基础,而CA又是PKI的基础,若CA不可信,则相应的证书、认证、密钥都失去效用,因此验证CA可信性是整个安全通信的第一步。可信CA信息指用来验证CA颁发的自签名公钥证书所需的信息。所需信息包括公钥和名字,但也可能包括其他信息。为了保障完整性,可信CA信息以自签名方式提供下载,而可信CA信息的认证则通过带外哈希或签名的方式来完成。带外哈希方式是指CA的信息通过网络下载到终端设备,然后通过带外的方式接收该信息的哈希值,接着设备自己计算收到信息的哈希值,再和带外方式获得的哈希值进行比较,如果符合,则接受CA信息。签名方式是指CA用自己的私钥对待验证的可信CA信息进行签名,或者由公认的可信权威对其进行签名,如世界公认的权威机构加拿大Verisign公司进行的签名,接收端通过签名来验证相应的CA信息,最后决定是否通过认证。
2.4.2服务器WTLS证书的处理
无线终端要和内容服务器进行安全通信就必须取得该服务器的证书,该证书是由终端信任的CA所颁发的,因为无线网络的带宽限制以及终端处理能力和内存有限,就有必要使用一种新的简化了的证书,以利于无线传播和终端操作,这就是WTLS证书,可用于WTLS安全通信。它是在原有X.509证书基础上进行优化,保留关键字段,满足无线环境的需求。由于性能、带宽等因素,无线环境下的检查证书撤销和有线环境下有着极大的不同,传统的CRL方法不可行,而OCSP的方法增加了信息往返、验证步骤和附加的客户信任点。为了克服这些问题,引入了短期有效WTLS证书的概念,WTLS服务器可能实现短期有效证书模型作为撤销的方法。使用这种方法,服务器在一个长期信任阶段被认证一次。然而,认证机构并非颁发一年有效证书,而是在这年的每一天,给公钥颁发一个新的短期有效证书,比如四十八个小时。服务器或网关每天接收短期有效证书并由这个证书建立当日客户会话。如果认证中心希望撤销服务器或网关,很简单地它停止颁发以后的短期有效证书。WTLS服务器不再被授予当前有效证书,因此会终止服务器端的认证,这样便实现了撤销的方法。
2.5WPKI要素
PKI中包含认证中心(CertificateAuthorities,CA)、注册中心(RegistrantAuthorities,RA)、终端实体(EndEntities,EE)三个基本要素。WPKI也包含这三个基本要素,除此之外还有一个要素是证书入口,或叫做PKI入口。证书入口是一条通向RA或CA的链接,记录在移动终端也就是EE中,用来在WAP网关和EE之间建立安全连接。
PKI证书是PKI实现的一个重要组成部分,为了在3G中应用PKI,就必须对传统的PKI证书的格式进行调整,以适应3G的无线环境的要求。WAP定义了一种WPKI证书的格式[2],下面对其简单的加以说明。
(1)版本号(Version):定义了证书的版本号,证书中如果不包含任何扩展,则版本应该设为1(缺省值)。
(2)证书扩展(Extension):对证书标准部分里没有涉及到的部分进行说明。
(3)颁发者名称(Issuer):证书应用程序必须要能够识别X.509v3中列出的所有特定名字属性。
(4)序列号(SerialNumber):移动用户证书的SN长度小于八个字节,服务器证书的SN小于二十个字节。
(5)签名算法(Signature):定义的签名算法有两种:SHA1WithRSAEncryption和EcdsaWithSHA1,首选后者。
(6)主体姓名(Subject):和颁发者字段一样,证书应用程序必须能够识别X.509v3中列出的所有特定名字属性。
(7)主体公钥信息(SubjectPublicKeyInfo):这里定义的公钥类型为两种:RSA和ECC。
由于每张证书都有一个有效期限,根CA的证书快要到期的时候,保存在移动终端里的根CA证书要更新,也就是说要通过无线网络下载新的根CA证书,如何保证该过程是安全的,WPKI规定了两个方案。第一个方案允许用户终端通过不安全信道直接下载新的根CA证书,但是需要通过输入一个30位的十进制数来“激活”该CA。显而易见,这种方法增加了用户的负担。根CA的证书唯一代表了根CA的身份,根CA换证书的过程相当于换了一个身份,那么第二个方案就可以理解为快到期的CA介绍一个新CA接替它使命的过程。CA用快到期的根密钥对新的CA证书签名,发送给用户。这种方式不需要用户做额外的操作,方便了用户,但是必然存在一段两张证书同时有效的时间,增加了后台处理的工作量。
在PKI规范X.509和PKIX中都定义了证书撤销列表(CertificateRevocationList,CRL),用来公布被撤销了的证书。如前面所说,WPKI中规定了“短时网关证书”(Short-LivedGatewayCertificates),使得用户根本不需要查询网关的证书状态。WAP网关生成一个密钥对和一个证书请求,将证书请求发送给CA,CA确认之后给网关颁发一个网关证书,其实该证书的有效期限可以比较长(如一年),也可以比较短(如两天),但是网关证书的有效期限都是很短的,所以叫做“短时网关证书”。证书有效期限越短,证书出问题的可能性越小,也就是说证书被撤销的可能性越小,如果短到只有一,两天,甚至几个小时,就可以把网关证书的CRL省掉。那么用户证书的有效期限是不是也很短呢?不是的。用户证书的状态是由网关来查询的,网关的计算能力和存储能力是很强大的,完全可以本地存储用户证书的CRL或者进行在线证书状态查询。
由于存储能力有限,而且一个移动终端有可能有几张证书适用于不同的场合,证书过期之后还要进行更新,因此移动终端本地存储自己的证书并不是一个很好的主意。如果把证书存储在其他地方,需要的时候下载到终端又会对带宽提出过高的要求。因此WPKI规定本地存储的仅仅是证书的URL。证书保存在RA,网关需要与终端建立安全连接的时候,需要自己到RA取出用户的证书验证。
2.6WPKI与PKI
PKI的主要功能是在私有或者是共有环境中提供可信任且有效的密钥管理和认证。WPKI基本上是无线环境下PKI应用的扩展。两者的目的都是在所应用的环境中提供安全的服务,其相同点如下:
(1)公开的、可信任的第三方:认证机构CA;
(2)审批中心RA;
(3)每个实体占有一对密钥;
(4)证书是公钥的载体,是密钥管理手段;
(5)功能:身份认证、保密性、数据完整性。
由于应用环境的不同,即无线环境下移动终端的能力和通信模式使得两者产生表2.1所示的不同[3]:
33G网络架构及安全技术
3.1无线接入网架构
3G是个人通信发展的新阶段,引入IP技术,支持语音和非语音服务。其是在第二代网络的基础上发展起来的。3G系统由CN(核心网),UTRAN(无线接入网)和UE(用户装置)三部分组成。CN与UTRAN的接口定义为Iu接口,UTRAN与UE的接口定义为Uu接口[4]如图3.1所示。
Uu接口和Iu接口协议分为两部分:用户平面协议和控制平面协议。
UTRAN包括许多通过Iu接口连接到CN的RNS(无线网络子系统)。每个RNS包括一个RNC(无线网络控制器)和多个NodeB。NodeB通过Iub接口连接到RNC上,它支持FDD模式、TDD模式或双模。NodeB包括一个或多个小区。
RNC负责决定UE的切换,具有合并/分离功能,用以支持在不同的NodeB之间的宏分集。
UTRAN内部,RNSs中的RNCs能通过Iur接换信息,Iu接口和Iur接口是逻辑接口。Iur接口可以是RNC之间物理的直接相连或通过适当的传输网络实现。UTRAN结构如图3.2所示
在此简述一下UTRAN的功能:
(1)系统接入控制功能:接入控制;拥塞控制;系统信息广播;无线信道加密和解密。
(2)移动:切换;SRNS重定位。
(3)无线资源管理和控制:无线环境调查;无线承载控制;无线协议功能等。
3.23G网络安全结构
3G系统是在2G的基础上发展起来的,认识到GSM/GPRS的安全缺陷,3GPP采取了公开透明的设计方法推进公众对移动数据业务的信心。其安全设计基于以下假设:
被动和主动的攻击是非常严重的威胁;终端设备不能被信任;网间和网内信令协议(七号信令和IP)并不安全;能够应付欺骗用户的伪基站攻击。
3G系统的安全设计遵循以下原则:
所有在GSM或其他2G系统中认为是必须或应增强的安全特征在3G系统中都必须被保留,它们包括:无线接口加密;无线接口用户识别安全;无线接口用户身份保密;用户接入服务认证;在归属环境下对服务网络的信任进行最小化;网络运营商管理可移动的硬件安全模块SIM,其安全功能独立于终端。
3G将改进2G系统存在和潜在的弱安全功能。
对3G系统将提供的新的业务提供安全保护。
3G系统除了支持传统的语音和数据业务外,还提供交互式和分布式业务。全新的业务环境体现了全新的业务特征,同时也要求系统提供对应的安全特征。这些新的业务特征和安全特征如下:不同的服务商提供多种新业务及不同业务的并发支持,因此3G安全特征必须综合考虑多业务情况下的风险性;在3G系统中占主要地位的是非话音业务,对安全性的要求更高;用户对自己的服务数据控制能力增加,终端应用能力也大为增加;3G系统中的新安全特征必须抗击对用户的主动攻击。针对3G业务特点提供新的安全特征和安全服务。
基于上述原则,3G系统安全应达到如下目标:确保归属网络与拜访网络提供的资源与服务得到足够保护,以防滥用或盗用;确保所有用户产生的或与用户相关的信息得到足够的保护,以防滥用或盗用;确保标准安全特性全球兼容能力;确保提供给用户与运营商的安全保护水平高于已有固定或移动网络;确保安全特征的标准化,保证不同服务网络间的漫游与互操作能力;确保3G安全能力的扩展性,从而可以根据新的威胁不断改进。
3G网络是一个规模庞大的,技术复杂的系统,为此必须提出一个通用的安全体系,用来指导3G网络的建设、管理与应用。3G系统安全结构分为三层,定义了五组安全特性[6](如图3.3)。
(1)网络接入安全:主要抗击针对无线链路的攻击,包括用户身份保密、用户位置保密、用户行踪保密、实体身份认证、加密密钥分发、用户数据与信令数据的保密及消息认证;
(2)网络域安全:主要保证核心网络实体间安全交换数据,包括网络实体间身份认证、数据加密、消息认证以及对欺骗信息的收集;
(3)用户域安全:主要保证对移动台的安全接入,包括用户与智能卡间的认证、智能卡与终端间的认证及链路的保护;
(4)应用域安全:用来在用户和服务提供商应用程序间提供安全交换信息的一组安全特征,主要包括应用实体间的身份认证、应用数据重放攻击的检测、应用数据完整性保护、接收确认等。
由于在第三代移动通信系统中,终端设备和服务网间的接口是最容易被攻击的点,所以如何实现更加可靠的网络接入安全能力,是3G系统安全方案中至关重要的一个问题。网络安全接入机制应该包括如下:用户身份保密、接入链路数据的保密性和完整性保护机制以及认证和密钥分配机制。
3G安全功能结构如图3.4[7],横向代表安全措施,纵向代表相应的网络实体。安全措施分为五类:(1)EUIC(增强用户身份保密)通过HE/AuC(本地环境/认证中心)对USIM(用户业务识别模块)身份信息进行认证;(2)UIC(用户与服务网络的相互身份认证);(3)AKA用于USIM、VLR(访问位置寄存器)、HLR(归属位置寄存器)间的双向认证及密钥分配;(4)数据加密(DC),即UE(用户终端)与RNC(无线网络控制器)间信息的加密;(5)数据完整性(DI),即对信令消息的完整性、时效性等进行认证。
3.3安全接入机制
3.3.1身份保密
用户身份是重要而又敏感的信息,在通信中必须保证这些信息的机密性。身份保密的目的是保护用户的隐私,避免IMSI(永久用户标识)信息的泄漏。具体相关技术将在第五章详细介绍。
3.3.2数据保密性及完整性保护
网络接入部分的数据保密性主要提供四个安全特性:加密算法协商、加密密钥协商、用户数据加密和信令数据加密。其中加密密钥协商在AKA中完成;加密算法协商由用户与服务网络间的安全模式协商机制完成,使得ME和SN之间能够安全的协商它们随后将使用的算法。用户数据加密和信令数据加密用以保证数据在无线接入接口上不可能被窃听。
在2G中的加密是基于基站,消息在网络内是用明文传送,这显然是很不安全的。3G加强了消息在网络内的传送安全,采用了以交换设备为核心的安全机制,加密链路延伸到交换设备,并提供基于端到端的全网范围内加密。
在无线接入链路上仍然采用分组密码流对原始数据加密,采用了f8算法(如图3.5)。f8算法对用户数据和信令消息数据进行加密保护,在UE和RNC(无线网络控制器)中的RLC(无线链路控制)/MAC(媒体介入控制)层实施,以保证用户信息及信令消息不被窃听,进而能够保证用户信息及信令消息难以被有效更改。
加密算法的输入参数除了加密密钥CK(128bit)外,还包括加密序列号COUNT-C(由短计数器和计数器超帧号HFN组成32bit)、无线承载标识BEARER(5bit)、上下行链路指示DIRECTION(方向位,其长度为1bit。“0”表示UE至RNC,“1”表示RNC至UE)和密钥流长度指示LENGTH(16bit)。掩码生成算法f8基于一种新的块加密,这个块算法把64bit的输入转变成64bit的输出,转换由128bit的密钥f8来控制。如果f8未知,就不能从输入有效地计算输出或根据输出计算输入。原则上,如果满足下面的条件之一就可以进行转换:(1)试所有可能的密钥,直到找到正确地密钥;(2)以某种方式收集一个巨大的表,包含所有264的输入输出对。
但实际上,这两种方法都是不可行的。终端使用加密指示符来表示用户是否使用加密,这样提供了加密机制的可见性。
网络接入部分的数据完整性主要提供三个安全特性:完整性算法协商,完整性密钥协商,数据和信令的完整性。其中完整性密钥协商在AKA中完成;完整性算法协商由用户与服务网间的安全模式协商机制完成。3G系统预留了16种UIA的可选范围。目前只用到一种Kasumi算法。
该安全特性是3G系统新增的。它使系统对入侵者的主动攻击有更强的防御能力。与UEA协商功能的作用类似,UIA的协商增加了系统的灵活性,为3G系统的全球漫游打下基础。
UMTS的完整性保护机制是:发送方(UE或RNC)将要传送的数据用完整性密钥IK经过f9算法产生的消息认证码MAC(MessageAuthenticationCode),附加在发出的消息后面。接受方(RNC或UE)收到消息后,用同样的方法计算得到XMAC。接收方把收到的MAC和XMAC相比较,如果两者相等,就说明收到的消息是完整的,在传输的过程中没有被篡改。f9算法的使用如图3.6
该算法的输入参数除了完整性密钥IK(128bit)外,还包括完整性序列号COUNT-I(32bit,由RRC序列号SN和RRC超帧号HFN组成)、发送的消息MESSAGE、DIRECTION(方向位,其长度为1bit。“0”表示UE至RNC,“1”表示RNC至UE)、MAC-I(用于消息完整性保护的消息认证码)和随机数FRESH(为网络方产生的随机数并传输给UE,长度为32bit,用以防止重传攻击)。我们需要对网络进行保护,以防止恶意为COUNT-I选择初始值。实际上,HFN的最重要的部分存储在连接间的USIM中。攻击者可能伪装成USIM并给网络发送一个假值以强迫初始值变得非常小。这时,如果没有执行认证过程就使用旧的IK,就会为攻击者在只缺少FRESH的情况下利用以前记录的MAC-I值对以前连接的RRC信令消息进行再次发送提供了可能。通过使用FRESH,RNC可以防止这类重放攻击。当FRESH在一个单独的连接中保持不变时,不断递增的COUNT-I又可以防止基于同一连接中已经记录的消息的重放攻击。
认证与密钥协商涉及到实体认证将在下一章节详细进行介绍。
3.43G系统有待研究的问题
3G系统的新特点在于提供高带宽和更好的安全特性。从3G网络接入部分的安全结构中可以看出,3G系统的变化很大。无论从提供的服务种类上,还是从服务质量上都有很大改观。但是3G系统仍存在一些开放问题有待继续研究。这里主要讨论一下几个方面的内容:数据保密和数据完整性。
数据保密性方面的工作已经做了很多,但是仍有下列问题没有解决:一是密文生成的同步问题;二是在一个UTRAN(UMTS陆地无线接入网)的不同核心网络之间加密和加密密钥的选择问题;三是如何决定从哪个消息开始加密。
数据完整性方面的主要问题是:如何确定哪些消息需要保护;如何在UTRAN结构中集成数据完整
4实体认证
4.1PKI中的实体认证
PKI安全平台能够提供智能化的信任与有效授权服务。其中,信任服务主要是解决在茫茫网海中如何确认“你是你、我是我、他是他”的问题,PKI是在网络上建立信任体系最行之有效的技术。授权服务主要是解决在网络中“每个实体能干什么”的问题。
在现实生活中,认证采用的方式通常是两个人事前进行协商,确定一个秘密,然后,依据这个秘密进行相互认证。随着网络的扩大和用户的增加,事前协商秘密会变得非常复杂,特别是在电子政务中,经常会有新聘用和退休的情况。另外,在大规模的网络中,两两进行协商几乎是不可能的。透过一个密钥管理中心来协调也会有很大的困难,而且当网络规模巨大时,密钥管理中心甚至有可能成为网络通信的瓶颈。
PKI通过证书进行认证,认证时对方知道你就是你,但却无法知道你为什么是你。在这里,证书是一个可信的第三方证明,通过它,通信双方可以安全地进行互相认证,而不用担心对方是假冒的。
CA是PKI的核心执行机构,是PKI的主要组成部分,业界人士通常称它为认证中心。从广义上讲,认证中心还应该包括证书申请注册机构RA(RegistrationAuthority),它是数字证书的申请注册、证书签发和管理机构。
CA的主要职责包括:验证并标识证书申请者的身份。对证书申请者的信用度、申请证书的目的、身份的真实可靠性等问题进行审查,确保证书与身份绑定的正确性。
确保CA用于签名证书的非对称密钥的质量和安全性。为了防止被破译,CA用于签名的私钥长度必须足够长并且私钥必须由硬件卡产生。
管理证书信息资料。管理证书序号和CA标识,确保证书主体标识的惟一性,防止证书主体名字的重复。在证书使用中确定并检查证书的有效期,保证不使用过期或已作废的证书,确保网上交易的安全。和维护作废证书列表(CRL),因某种原因证书要作废,就必须将其作为“黑名单”在证书作废列表中,以供交易时在线查询,防止交易风险。对已签发证书的使用全过程进行监视跟踪,作全程日志记录,以备发生交易争端时,提供公正依据,参与仲裁。
由此可见,CA是保证电子商务、电子政务、网上银行、网上证券等交易的权威性、可信任性和公正性的第三方机构。在现有文献中出现过认证这个名词,但是未见有对其进行明确功能划分的确切定义。实际的安全系统中,几乎所有的安全需要都要通过对用户或实体授权、对内容的真实完整性鉴别才能有效实现,而要实现对用户或实体的授权就必须实现用户或实体的认证。涉及到系统的用户或实体通常对数据、信息或实体具有阅读或操作或按权限访问、传播和使用控制的权利。顾名思义,认证是一个实体对另一个实体具有的所有权或操作权等权利的鉴别。实体认证是由参与某次通信连接或会话的远端的一方提交的,验证实体本身的身份。一些主要的认证技术[8]分别是:口令,认证令牌,智能卡和生物特征。不同的认证技术对应不同的安全级别、不同的使用难度、效益和成本。
如通过口令进行身份认证,一种可靠的方法是,不要在认证系统中存储真正的口令,而是对口令进行一定的运算再把值存储在系统中。当用户访问系统时,系统对口令进行相同的运算来确认是否与存储的值是否相同,通过这种方法,可以避免明文口令在系统中的存储。以免以前存放明文口令的认证数据库成为攻击者的主要目标,毕竟数据库的拷贝意味着将有许多用户的口令被窃取。通过这种改进的口令系统,可以防止明文口令在输入设备和认证系统之间传输。对于上述算法的要求,攻击者要找到一个口令来使得它产生的值恰是他们所看到的,这在计算上是不可能的。如MD4,MD5或者SHA1这样的加密散列算法可以满足上述的要求。但是这种认证方式要避免的是重放攻击,即攻击者之间获得运算后的值,从而直接将其重放给认证系统,已获得访问权。为了解决这个问题,系统可以使用随机数的加入来防止重放攻击。通过这种技术可以使得攻击者只能看到随机数,用户的口令并没有在输入系统和认证系统中传输,甚至由口令产生的值都不会出现在系统之间,采用所谓的质询/响应的认证过程,便是当今口令认证机制的基础。
简单口令的最常见的替代品是认证令牌。认证令牌有两类:质询/响应令牌和时间令牌。认证令牌与PKI的关系主要体现在两个方面。首先结合服务器端的PKI,令牌可以充当客户端的认证机制;另一方面,令牌可以担当授权访问私钥的初始认证。通过PKI,可以对Web服务器进行强有力的认证以及提供强加密通信;通过认证令牌,可以对用户进行强身份认证。PKI用于认证服务器和加密会话,令牌则用于认证客户端。这种混合方案很可能会促使令牌成为未来一段时间内的主要强认证方式。
4.2现有3G中的认证过程
3G接入网部分的实体认证包含了三个方面。一是认证机制协商,该机制允许用户和服务网络安全协商将要使用的安全认证机制。二是用户身份认证,服务网络认证用户身份的合法性。三是用户对他所连接的网络进行认证。
认证和密钥分配机制完成用户和网络之间通过密钥K(128bit)相互认证,以及完成上面提到的加密密钥和完整性密钥的分配。密钥K仅存在于用户归属网络环境HE的AuC(认证中心)和UICC/USIM(用户服务识别模块)中,并且在两者之间共享。UICC是能够防止篡改的具有身份验证功能的智能卡,而USIM是运行在UICC上的一个模块。为了保证认证的安全性,一个基本要求是在给定的UICC/USIM的使用期内密钥K绝不能泄漏或者损坏。在SGSN/VLR和USIM之间执行的认证过程是基于一种交互式认证策略。另外,USIM和HE分别保存SQNms和SQNhe计数用以支持认证。序号SQNhe是用户独立的计数器,由HLR/AuC维护每个用户具有的独立序号;而SQNms是指USIM收到的最高序号。
认证与密钥分配机制[9]过程如图4.1所示,整个过程分为几个子过程:从HE/AuC发送认证消息到VLR/SGSN的过程;VLR/SGSN和MS之间相互认证和新加密和完整性密钥的建立过程;重同步过程。
其中:(1)每个认证向量包括:一个随机数、一个期望的应答、加密密钥CK、完整性密钥IK、认证令牌A;
(2)每个认证向量适用于一次VLR/SGSN与USIM之间的认证和密钥协商;
(3)认证方为用户HE的认证中心和用户移动站中的USIM。
图4.2为VLR/SGSN和MS之间相互认证、新加密和完整性密钥的建立过程。
USIM收到RAND和AUTN后,按以下步骤进行认证和新加密和完整性密钥的建立。
步骤(1)计算匿名密钥AK,并且获取序列号SQN;
步骤(2)USIM计算XMAC,将它和MAC比较,MAC包含在AUTN中。如果两者不同,用户就传送包含拒绝原因指示用户认证拒绝信息给VLR/SGSN,然后终止该过程。在这种情况下,VLR/SGSN将初始化一个认证失败报告过程给HLR。如果相同进行步骤(3)。
步骤(3)USIM校验收到的SQN是不是在正确的范围内。
步骤(4)如果序号在正确范围内,则进行步骤(5);如果序号不在正确的范围内,它将发送一个包含适当参数的同步失败信息给VLR/SGSN,然后终止该过程。VLR会根据同步失败消息向HE请求重同步过程。
步骤(5)如果序号在正确的范围内,USIM计算CK和IK。
步骤(6)USIM计算RES,该参数包含在用户认证响应中传给VLR/SGSN。
收到用户认证响应后,VLR/SGSN将响应RES与所选认证向量中获得XRES比较。如果两者相等,那么用户就通过认证。VLR/SGSN就从选择的认证向量中获得正确的CK和IK。USIM和VLR将保存原始CK和IK,直到下一次AKA完成。如果XRES和RES不相等,则初始化一个新的鉴别和认证过程。
在3G系统中,实现了用户与网络的相互认证,简单的说,通过验证XRES与RES是否相同,实现了VLR/SGSN对MS的认证;通过比较XMAC与MAC是否相同,实现了MS对HLR/AuC的认证。以上便是在3G系统中用户和网络服务商之间双向认证的一个详细过程。通过双向认证机制,3G有效的保护了用户与运营商双方的利益。
4.3WPKI应用下的实体认证
首先CA用Rabin算法和自己的私钥Pu和Qu来为网络端和移动端签发证书。网络端B的公钥为Nb,移动端A的公钥为ELGamal签名算法的公钥Pa。网络端保存相应的Rabin算法私钥Pb和Qb,移动端保存相应的ELGamal算法私钥Sa。移动端和网络端通过验证对方的证书合法性和相应的私钥来进行双向的认证。具体过程如图4.3
5身份机密性
5.1相关的安全特征
与用户身份机密性相关的安全特征如下:
用户身份机密性(useridentityconfidentiality):接受业务用户的永久身份(IMSI)在无线接入链路上不可能被窃听。
用户位置机密性(userlocationconfidentiality):用户在某一区域出现或到达,不可能在无线接入链路上通过窃听来确定。
用户的不可跟踪性(useruntraceability):入侵者不可能通过在无线接入链路上窃听而推断出不同的业务是否传递给同一用户,即无法获知用户正在使用不同的业务。
为了满足上述要求,3G系统采用了两种机制来识别用户身份,(1)在用户与服务网之间采用临时身份机制(用户的IMSI由临时身份识别号TMSI代替),为了实现用户的不可跟踪性要求用户不应长期使用同一TMSI,即TMSI要定期更换。(2)使用加密的永久身份IMSI。但是3G标准没有排斥用户直接使用IMSI进行身份识别,即GSM式身份识别。此外在3G中,任何可能暴露用户身份的信令和用户数据都要求进行加密。
5.2GSM中的身份保密
GSM系统采用用户的临时身份实现用户的身份保密。对进入其访问区的每个用户,VLR(拜访位置寄存器)都会分配一个TMSI(临时身份识别号),TMSI和IMSI一起存于VLR的数据库中,用户只要使用TMSI和位置区域标识LAI即可标识自己的身份。一般情况下不使用IMSI来识别用户。
但是当用户第一次注册或者服务网络不能根据用户的TMSI时必须使用用户的永久身份IMSI。这时IMSI将在无线链路上以明文进行传输,这就可能会造成用户身份的泄漏。显然,GSM系统在用户身份保密方面存在明显的缺陷。图5.1表示了GSM系统中身份识别的过程[10]。
5.33G中已有的身份机密性设计
现有的身份机密的方案如图:该机制由访问的VLR/SGSN发起,向用户请求IMSI。用户有两种选择进行响应,选择和GSM系统一样的直接回复明文IMSI或者使用特有的增强的身份保密机制来进行响应。
采用明文的IMSI是为了与第二代通信网络保持兼容。一般在3G系统中,移动用户配置成增强型用户身份保密机制[11]。
图5.2中,HE-message表示包含加密IMSI的消息,其组成如下:HE-message=GIEMUI,EMUI=fgk(SQNuicIMSI)。其中GI表示群身份标识,EMUI表示加密IMSI。EMUI是SQNuic和IMSI经过fgk函数加密运算得到,SQNuic表示用户认证中心UIC生成的序列号,用于保持认证的最新性,GK是用户入网时与HE/UIC及群中的其它用户共享的群密钥。HE为用户归属域。
增强型用户身份保密机制将用户的IMSI以密文形式嵌入HE-message中,VLR/SGSN不能直接解密HE-message,而是根据HE/UIC-id将HE-message传送到相应的HE/UIC。由HE/UIC根据GI检索相应的GK,用解密HE-message得到用户的IMSI,再传送给VLR/SGSN。这样做的目的是保证用户的IMSI不被窃听。此后VLR/SGSN建立用户IMSI和TMSI之间的对应关系。以后用户就用VLR/SGSN分配的TMSI进行通信。
增强型用户身份保密机制是3G引进的,规定了每个用户都属于某一个群,而每个群拥有一个GI。用户群有一个GK,该密钥安全的保存在USIM和HE/VLR中。相比2G而言用户身份的保密性有了较大的改进,但我们可以看到,从HE/UIC传给VLR/SGSN的解密用户身份IMSI仍然使用了明文方式,因此该方式也还存在一定的弱点,需要进一步的改进。而且依靠HE/UIC来进行消息的解密会使得效率低下。因此下面给出了一个基于公钥体制下的用户身份机密性的实现方案。
5.4在WPKI基础上设计的身份机密方案
首先由于无线PKI的应用,各个PKI实体都要求具有一个公钥证书。有了公钥证书,实体间才可以通过证书鉴定的方式来建立起信任关系,也更方便进行认证。为了保证用户与其公钥的一一对应。证书权威需要首先验证终端实体的身份。
证书颁发过程可以采用离线的方式,如在USIM的生产过程中就加入初始的用户的证书,或者也可以采用在线的方式或通过可信任的第三者进行证书的办法。基本认证方案如下图5.3
在3G系统中,当服务网络不能通过TMSI来识别用户身份时,将使用永久用户身份标识来鉴别用户身份,特别是在移动用户第一次在服务网络内注册,以及网络不能由用户在无线链路上的TMSI获得相应的IMSI时。用户的永久身份是一个敏感而且非常重要的数据,需要得到很好的保护,但如上文提到的在GSM中,用户的永久身份是用明文的形式发送的,3G系统对此要进行安全改进。
有了证书之后,用户首次入网注册时,就可以使用证书和IMSI一起进行注册了,具体的操作过程如下
符号说明:CertMS用户证书CertHLRHLR的证书
SKMS用户的私钥SKHLRHLR的私钥
PKHLRHLR的公钥R1,R2,Ks随机数
同样在用户的USIM中,存有CA的公钥,自己的私钥,如果已经取得自己的证书,则也应该保存在USIM中。
注册过程如下图5.4:
1.用户向网络发起入网登记请求
2.网络发送自己的证书和随机数R1给MS
3.用户收到网络的证书CertHLR,利用CA的公钥来验证HLR的真实性,如果通过验证,。首先生成两个随机数Ks,和R2,利用用户的私有密钥对(R2R1)作签名成为(R2R1)SKMS,再用HLR的公开密钥PKHLR对Ks作加密,最后利用对称性加密算法如IDEA或DES对IMSI,CertMS及(R2R1)SKms,以Ks进行加密。然后将加密信息发送到HLR,同时MS存储R1,R2,Ks,以及CertHLR。
4.网络侧收到响应后,用自己的私钥SKHLR解密消息(Ks)PKHLR得到Ks,再用Ks解密(CertMSIMSI(R2R1)SKms)Ks,得到用户的IMSI和CertMS,首先验证IMSI的合法性,然后使用HLR和CA之间的安全通道向CA发送用户的CertMS来获取用户相应的公钥PKMS,然后使用用户的公钥PKMS来解密(R2R1)SKMS,获得R2R1,如果R1确实正确,就产生一个TMSI并把TMSI和IMSI进行关联并且存储存储在服务器中,同时存储R2。至此HLR确认MS的合法性。
5.当HLR确认MS合法之后,则送回第三个信息以及生成会话密钥,否则拒绝所要求的服务。首先利用私有密钥SKHLR对R2作签名,再以Ks利用对称性的密码算法,对TMSI和IMSI及以(R2R1)SKHLR作加密,生成(TMSIIMSI(R2R1)SKHLR)Ks再将信息送至MS,最后利用R1和R2作异或运算生成会话密钥,并且将Ks删除。HLR的认证已经完成。
6.MS收到HLR的信息后,利用Ks解开信息,得到TMSIIMSI(R2R1)SKHLR,
首先检查IMSI是否是自己的IMSI,再来利用HLR的证书验证(R2R1)SKHLR是否等于(R2R1)通过验证,再利用R1和R2作异或运算生成会话密钥,并且保存TMSI在MS中否则表示注册失败。
通过以上的注册过程,在入网过程中,用户的永久身份标识IMSI从头至尾都没有用明文的形式在链路上传输,而得到了网络的认证并且获得TMSI用于以后的服务。所有使用IMSI来向网络进行认证时,通过以上方法就可以保证了用户的机密性。
对于安全性的分析:
链路上的窃听者无法获知用户的身份,从而无法知道用户的位置和所进行的服务。同时由于每次的会话密钥都是由R1和R2产生的,而且Ks是随机产生的,窃听者无法通过多次的比较获得任何通信的内容。而且即使一次会话的密钥被窃取了,也无法继续获得以后的会话密钥。因为每次R1和R2都是重新产生。对于假冒的HLR,即使可以送出第一条明文消息,但是因为不具有合法的SKHLR所有无法获得Ks,从而无法继续注册过程。同样攻击者恶意假冒MS,即使事先知道CertMS,R1,R2和(R2R1)SKMS。但是对于新的R1无法生成对应的新的(R2R1)SKMS来进行重放攻击。至于直接猜测会话密钥实际上是不可能的,因为R1虽然是明文传送,但是R2是密文传送的。
3G系统分为电路域CS和分组域PS,电路域使用TMSI和LAI来表示用户,TMSI由VLR分配,分组域使用移动用户分组P-TMSI和路由域标识RAI来表示用户,P-TMSI由SGSN分配[12]。临时身份TMSI/P-TMSI只有在用户登记的位置区和路由区中才有意义。所以,它应该与LAI或RAI一起使用。IMSI和TMSI的关联保存在用户登记的拜访位置寄存器VLR/SGSN中。
一旦用户获取了P-TMSI/TMSI后,网络就可以在接入无线链路上识别用户了。用户就可以进行如下操作:寻呼请求,位置更新请求,连接请求,服务请求,分离请求,重新建立连接请求等。
但是为了避免长期使用同一临时身份对TMSI/LAI或P-TMSI/RAI,3G系统采用TMSI的再分配机制。TMSI的更新是在安全模式建立以后由VLR/SGSN发起。分配过程如图5.5
详细步骤如下:
(1)VLR/SGSN产生一个新的TMSIn,并将该TMSIn与IMSI的关系存储在它的数据库中,然后向CA请求相应的IMSI的公钥PKMS,当CA把公钥发送回来之后,VLR/SGSN把TMSIn和一个新的位置区域标识经过用户的PKMS加密然后发送给用户。
(2)用户收到之后,使用自己的SKMS解密消息并保存TMSIn并自动删除与先前TMSIo之间的关联后,向VLR/SGSN发送应答。
(3)VLR/SGSN收到应答后,从自己的数据库中删除与旧的TMSIo的关联,TMSIn用于随后的用户身份鉴别。
(4)如果VLR/SGSN没有收到用户的确认应答信息,则网络将同时存储TMSI与IMSI的新的关联和旧的关联。然后在随后由用户发起的业务中,网络允许用户使用新的关联或旧的关联来识别自己的身份。同时网络由此可判定用户所使用的TMSI,并删除没有使用的那一对TMSI和IMSI的关联。在另一种情况下,网络发起业务,会使用用户的IMSI来识别用户,当建立连接后,网络指示用户删除TMSI。这两种情况下,网络随后都会再次发起一次TMSI的分配过程。但是如果TMSI的分配失败次数达到一定的门限值,就需要上报给O&M。
当移动用户的位置发生改变时,如果用户使用由访问VLRn分配的TMSIo/LAIo来识别自己,则可以从数据库中正常获得IMSI。如果不能,访问VLRn将要求用户使用自己的永久身份IMSI来进行识别就如同用IMSI进行首次入网注册。如果用户不是使用由拜访VLRn分配的TMSIo/LAIo来识别自己,则先前访问的VLRo和新访问的VLRn相互间交换认证数据,新的VLRn要求先前VLRo发送用户的永久身份,该过程包含在VLR相互之间交换和分发认证数据的机制中。如果先前的VLRo不能连接或者是不能得到用户的身份,访问的VLRn将要求用户使用永久身份IMSI来识别。
至此用户可以使用TMSI或者IMSI来进行入网注册,而同时保证了身份的机密性。
6结论
随着3G网络技术的飞速发展以及无线PKI相关技术的应用,无线PKI在3G系统中的应用也会越来越成熟。同时随着终端处理能力的提升,公钥体制在实现用户身份机密性的过程中,会相比单钥体制具有更多的优势。因为在单钥体制下,用户的安全依赖于网络,而现在使用公钥技术来保护用户的身份,因为用户的私钥只有用户自己知道,身份的机密性不再依赖于网络。
但是在使用公钥体制和WPKI相结合的方案下,需要解决的是更好的保护用户证书的安全性,因为对于网络内部来说,盗取证书是可能的。而且对于CA的安全性能也提出了更高的要求。
参考文献
[1]孙林红,叶顶锋,冯登国.无线PKI体系的设计.中国科学院研究生院学报,2002.19(3):223~228
[2]WirelessApplicationProtocolForum.Version24-Apr-2001.WirelessApplicationProtocolPublicKeyInfrastructureDefinition
[3]Symeon(Simos)XenitellisOpenCATeamVersion2.4.6Edition,2000.TheOpen–sourcePKIBook:AguidetoPKIsandOpen–sourceImplementations
[4]张平.第三代蜂窝移动通信系统-WCDMA.北京:北京邮电大学出版社2001,19~22
[5]隋爱芬,杨义先.第三代移动通信系统的安全.世界电信,2003,5:37~40
[6]肖宁.WCDMA系统接入安全机制的研究.重庆邮电学院学报,2004.16(3):43~46
[7]林德敬,林柏钢,林德清.3GPP系统全系列信息安全及其算法设计与应用.重庆邮电学院学报,2003,15(4):18~23
[8]AndrewNash,WilliamDuane,CeliaJoseph,DerekBrink著;张玉清,陈建奇,杨波,薛伟译.公钥基础设施(PKI)实现和管理电子安全.北京:清华大学出版社2002,255~314
[9]3GPPTechnicalSpecification33.102V6.3.0,2004-12.3GSecurityarchitecture[S].
[10]李世鸿,李方伟.3G移动通信中的安全改进.重庆邮电学院学报,2002.14(4):24~32