電力線網(wǎng)的數(shù)字家庭安全解決方案
掃描二維碼
隨時(shí)隨地手機(jī)看文章
本文介紹了電力線上網(wǎng)的優(yōu)缺點(diǎn)、原理。并探討了基于電力線網(wǎng)絡(luò)的信息安全及密碼更改方法。
數(shù)字家庭網(wǎng)絡(luò)傳輸媒體的選擇
在數(shù)字家庭的網(wǎng)絡(luò)解決方案中,有多種傳輸媒介可以選擇。包括以太網(wǎng)、電話線、同軸電纜、無(wú)線和電力線。在這些方案中,電力線作為數(shù)字家庭的骨干網(wǎng)絡(luò)有著它自身的優(yōu)勢(shì)。
·電力線傳輸?shù)膬?yōu)點(diǎn)
電力線遍布城市和鄉(xiāng)村,其覆蓋面是任何網(wǎng)絡(luò)無(wú)法比擬的,有利于電力線通信(PLC)網(wǎng)絡(luò)的推廣。PLC通過(guò)電力線傳輸數(shù)據(jù),不需要增設(shè)更多的線路及設(shè)備,只需將調(diào)制解調(diào)器插入電力插座就可以通信,使用簡(jiǎn)單,成本低廉,有利于信息資源共享和家電上網(wǎng)。
PLC除了施工中的明顯優(yōu)勢(shì)之外,在總體價(jià)格上也存在優(yōu)勢(shì)。隨著市場(chǎng)的發(fā)展,以前相對(duì)比較高的電力線上網(wǎng)IC價(jià)格在逐步的下降,目前PLC在單線成本上與xDSL、電纜調(diào)制解調(diào)器相當(dāng)了。
在速率上,電力線上網(wǎng)經(jīng)過(guò)14Mbps、85Mbps,目前已經(jīng)迎來(lái)了200Mbps的時(shí)代。200Mbps的帶寬足以滿足以后數(shù)字家庭的安全、教育、娛樂(lè)等要求,是數(shù)字家庭理想的骨干網(wǎng)絡(luò)。
·電力線傳輸需要解決的問(wèn)題
因?yàn)殡娏€網(wǎng)絡(luò)設(shè)計(jì)的目的是為了傳輸電能,只是因近些年來(lái)市場(chǎng)的需求才作為家庭網(wǎng)絡(luò)的信息接入方式之一。電力線傳輸所存在明顯的缺點(diǎn)就是噪聲大和安全性低的問(wèn)題。盡管電力線可以作為高速通信的一種備選介質(zhì),但電力系統(tǒng)的基礎(chǔ)設(shè)備并不具備提供高質(zhì)量數(shù)據(jù)傳輸服務(wù)的功能,家庭電器產(chǎn)生的電磁波會(huì)對(duì)通信產(chǎn)生干擾。另外,采用電力線上網(wǎng)服務(wù),是一種共享帶寬的技術(shù),用戶上網(wǎng)時(shí)的速度,取決于當(dāng)時(shí)會(huì)有多少用戶上網(wǎng)。如果很多用戶同時(shí)上網(wǎng),傳輸速度相對(duì)就較慢。
對(duì)于高速PLC技術(shù)的快速發(fā)展,各國(guó)反應(yīng)不一致。歐盟和美國(guó)政府已明確表示支持高速PLC技術(shù)的應(yīng)用,把PLC跟其它通信技術(shù)同等對(duì)待。日本要求高于10KHz頻段的PLC設(shè)備必須得到許可,在10KHz至450KHz頻段范圍內(nèi)的PLC設(shè)備無(wú)需獲得許可,但需要進(jìn)行公告。目前我國(guó)信息產(chǎn)業(yè)部還沒(méi)有制定PLC規(guī)范合頒發(fā)運(yùn)營(yíng)許可證。
基于電力線傳輸?shù)脑?/p>
電力線信道有點(diǎn)像無(wú)線信道:兩者都易受到噪聲、衰落、多徑和干擾的影響。為了應(yīng)對(duì)這些問(wèn)題,必須要有相應(yīng)的調(diào)制技術(shù)和編碼技術(shù)。在HomePlug電力線聯(lián)盟中應(yīng)采用正交頻分復(fù)用(OFDM),因?yàn)镺FDM使用多載波調(diào)制,對(duì)抗噪聲和干擾特別有效。
OFDM技術(shù)的主要思想就是在頻域內(nèi)將給定信道分成許多正交子信道,在每個(gè)子信道上使用一個(gè)子載波進(jìn)行調(diào)制,并且各子載波并行傳輸。OFDM每個(gè)載波所使用的調(diào)制方法可以不同。各個(gè)載波能夠根據(jù)信道狀況的不同選擇不同的調(diào)制方式,比如BPSK、QPSK、8PSK、16QAM、64QAM等等,以頻譜利用率和誤碼率之間的最佳平衡為原則。
在HomePlug 1.0標(biāo)準(zhǔn)中載波的頻率范圍是4.5MHz到21MHz。在HomePlug AV標(biāo)準(zhǔn)中載波的頻率范圍是2MHz到28MHz。當(dāng)載波的頻率范圍內(nèi),某一個(gè)頻段受到了干擾,只影響到頻段中的子信道,并不影響到未受干擾頻段中的子信道。因此,在復(fù)雜的電力線的環(huán)境下,電力線的傳輸速率能維持相對(duì)的穩(wěn)定,滿足客戶對(duì)于帶寬的需求。
Intellon公司的PowerPacket技術(shù)是OFDM技術(shù)的改進(jìn)版。其格式如圖1所示。
圖1 PowerPacket數(shù)據(jù)結(jié)構(gòu)
在PLC家庭網(wǎng)絡(luò)中,電力線可以被多個(gè)設(shè)備同時(shí)接入。為了決定哪個(gè)設(shè)備有權(quán)發(fā)送數(shù)據(jù),需要MAC層協(xié)議。最常用的有線MAC協(xié)議—載波檢測(cè)多址/碰撞檢測(cè)(CSMA/CD),雖然也可用于電力線網(wǎng)絡(luò),但是由于電力線中的噪聲變動(dòng)很大,使碰撞檢測(cè)變得非常困難。所以人們?cè)陔娏€網(wǎng)絡(luò)上使用更有效的CSMA/CA協(xié)議。
電力線網(wǎng)絡(luò)的保密問(wèn)題對(duì)其實(shí)用性是十分重要的。像無(wú)線網(wǎng)一樣,電力線網(wǎng)絡(luò)的信道是開(kāi)放的,像所有開(kāi)放信道一樣,沒(méi)有任何手段能阻止設(shè)備信號(hào)被接收。為了提供安全的網(wǎng)絡(luò)環(huán)境,HomePlug電力線聯(lián)盟定義了一種56bit的數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)加密機(jī)制。一旦信號(hào)被加密,采用不同密鑰的設(shè)備無(wú)法對(duì)它解密,從而得到保密。在HomePlug AV中采用128bit的數(shù)據(jù)高級(jí)加密標(biāo)準(zhǔn)(AES),使保密性更加可靠。
基于PLC解決方案硬件架構(gòu)
本設(shè)計(jì)的核心思想是:構(gòu)建以網(wǎng)絡(luò)為基礎(chǔ)的視頻監(jiān)控系統(tǒng),網(wǎng)絡(luò)信號(hào)的傳輸采用電力線的方式來(lái)實(shí)現(xiàn)。以便家庭用戶使用監(jiān)控產(chǎn)品沒(méi)有任何的工程量,相對(duì)目前市場(chǎng)上的網(wǎng)絡(luò)視頻監(jiān)控方案來(lái)說(shuō),實(shí)現(xiàn)一種真正的即插即用。
系統(tǒng)整體硬件框圖如圖2所示。
圖2 系統(tǒng)硬件框圖
在本系統(tǒng)中,我們使用華邦公司的ARM7芯片W90N740為主CPU。此CPU的工作頻率為80MHz。有兩個(gè)介質(zhì)無(wú)關(guān)接口(MII),一個(gè)MII接口和PLC的模塊相連,一個(gè)和以太網(wǎng)的PHY相連。W90N740通過(guò)USB2.0和OV公司的OV519或者和中星微公司的301P相連。這種DSP芯片處理CMOS傳感器傳過(guò)來(lái)的圖像信息。DSP把傳過(guò)來(lái)的圖像信息壓縮為JPEG模式,通過(guò)USB接口傳到CPU中。在SVGA格式時(shí)為20fps,VGA、CIF格式時(shí)為30fps。ARM CPU內(nèi)部構(gòu)建一個(gè)WEB服務(wù)器,用戶可以通過(guò)電力線或者以太網(wǎng)訪問(wèn)WEB服務(wù)器。用戶監(jiān)控遠(yuǎn)端的視頻圖像,可用IE訪問(wèn)ARM內(nèi)部的IP 地址。如果是第一次訪問(wèn),則WEB 服務(wù)器安裝一個(gè)ActiveX控件在IE上。在IE界面獲得一個(gè)640x480的圖像區(qū)域。電力線和以太網(wǎng)兩個(gè)端口之間為一個(gè)網(wǎng)橋,用戶也可通過(guò)以太網(wǎng)和電力線上的其它設(shè)備通信。
電力線調(diào)制解調(diào)器部分硬件框圖如圖3所示。
圖3 電力線Modem部分硬件框圖
INT5500是Intellon公司開(kāi)發(fā)的高速電力線IC。能提供85Mbps的數(shù)據(jù)帶寬。遵循HomePlug1.0的標(biāo)準(zhǔn)和向下兼容早期的14Mbps產(chǎn)品。INT5500的MII接口可以設(shè)置為兩種模式,一種是MAC模式,一種是PHY模式。在正常的操作模式中,INT5500是從FLASH中讀取軟件來(lái)啟動(dòng)的。它也提供一個(gè)選項(xiàng),可以從MII接口讀取軟件來(lái)啟動(dòng)。
INT1200是Intellon公司設(shè)計(jì)的高速電力線模擬前端IC。其內(nèi)部集成一個(gè)10bit的模擬數(shù)字轉(zhuǎn)換器和一個(gè)8bit的數(shù)字模擬轉(zhuǎn)換器,采樣頻率分別為50MSPS和100MSPS。INT1200的傳輸部分包含一個(gè)TX解復(fù)用輸入端口,插值濾波器和DAC,而接收部分包含一個(gè)可編程增益控制,范圍從-6dB到+30dB(每2dB為一步),ADC轉(zhuǎn)換器,高通濾波器和接收復(fù)用輸出端口。
接收濾波器部分由LC電路組成,頻率范圍是4MHz到22MHz。發(fā)送濾波器部分由低通濾波器和一個(gè)軌至軌的線驅(qū)動(dòng)放大器組成。
INT5500要求一個(gè)外部50MHz的時(shí)鐘。INT5500的PLL時(shí)鐘倍頻電路,生成內(nèi)部要求的各種時(shí)鐘。
Intellon推薦使用第三方的泛音50MHz晶振去滿足HomePlug時(shí)鐘±25ppm精度要求。
基于PLC解決方案軟件架構(gòu)
*基于PLC的數(shù)字家庭安全解決方案的軟件架構(gòu)和目前市場(chǎng)上流行的網(wǎng)絡(luò)攝像機(jī)(IP CAM)的軟件架構(gòu)很類似。本設(shè)計(jì)采用的是基于ARM的?CLinux操作系統(tǒng)。mCLinux是專門針對(duì)沒(méi)有MMU的處理器而設(shè)計(jì)的,系統(tǒng)多采用Romfs文件系統(tǒng),Romfs是一種相對(duì)簡(jiǎn)單、占用空間較少的文件系統(tǒng)。在mCLinux下,主要有三個(gè)WEB服務(wù)器:httpd、thttpd和boa。httpd是最簡(jiǎn)單的WEB服務(wù)器,功能簡(jiǎn)單,但不支持認(rèn)證和CGI,thttpd和boa均支持認(rèn)證和CGI,功能豐富。根據(jù)本設(shè)計(jì)的具體情況,我們選擇在mCLinux下自行設(shè)計(jì)httpd服務(wù)器。
基于IP CAM 的軟件功能框圖如圖4所示。
圖4 IP CAM的軟件功能框圖
PLC家庭網(wǎng)絡(luò)的安全性和實(shí)現(xiàn)
由于PLC的網(wǎng)絡(luò)是開(kāi)放式及共享的,因此人們很關(guān)心PLC網(wǎng)絡(luò)的安全性。在認(rèn)識(shí)PLC網(wǎng)絡(luò)的安全性前,我們來(lái)說(shuō)明幾個(gè)概念。
*邏輯網(wǎng)絡(luò):兩個(gè)或幾個(gè)HomePlug設(shè)備共享一個(gè)公共的網(wǎng)絡(luò)加密值(NEK),用這個(gè)加密值加密后,實(shí)現(xiàn)相互傳輸信息的網(wǎng)絡(luò)。
*網(wǎng)絡(luò)密碼:用戶設(shè)置的,用于生成NEK和定義用戶自己的邏輯網(wǎng)絡(luò)。
*網(wǎng)絡(luò)加密值:NEK是由用戶設(shè)置的網(wǎng)絡(luò)密碼派生出來(lái)的。用戶設(shè)置的網(wǎng)絡(luò)密碼用MD5的加密算法生成的一個(gè)64Bit的值,形成不同的邏輯網(wǎng)絡(luò)。
*缺省加密值:DEK是設(shè)備制造商針對(duì)每個(gè)設(shè)備設(shè)置的獨(dú)一無(wú)二的密碼。在本設(shè)計(jì)中采用一個(gè)隨機(jī)數(shù)函數(shù),從26個(gè)英文、10個(gè)數(shù)字中隨機(jī)生成16個(gè)字符。
電力線調(diào)制解調(diào)器在出廠前被設(shè)置一個(gè)缺省的網(wǎng)絡(luò)密碼,如:HomePlug。通過(guò)這個(gè)缺省的網(wǎng)絡(luò)密碼生成一個(gè)NEK。設(shè)備制造商還定義一個(gè)和設(shè)備相關(guān)的獨(dú)一無(wú)二的DEK碼,這個(gè)DEK碼用戶不能改變。這樣用戶在得到電力線調(diào)制解調(diào)器后,用任何改變即可組建一個(gè)缺省的電力線局域網(wǎng)。但是用戶可能會(huì)需要有自己的網(wǎng)絡(luò)密碼和NEK碼去保證局域網(wǎng)的保密性和安全性。INTELLON提供了一個(gè)設(shè)備管理的軟件工具,通過(guò)發(fā)送一系列的MAC管理信息,即(MME)去更改NEK碼。我們有兩種更改NEK碼的方法,一種是本地修改,另一種是遠(yuǎn)端修改。
*通過(guò)MME本地修改NEK碼
用戶在本地的計(jì)算機(jī)上使用DM客戶軟件去設(shè)置本地的NEK碼。這個(gè)設(shè)置NEK碼的MME信息不在電力線上傳輸,僅僅在本地的計(jì)算機(jī)和電力線調(diào)制解調(diào)器之間的網(wǎng)線上傳輸。我們假設(shè)原NEK碼為U,要新設(shè)置的NEK碼為P。更改本地的NEK碼,客戶端軟件發(fā)送兩條連續(xù)的MME信息。第一條更改本地的NEK碼從U到P,第二條確保以后電力線上的傳輸使用新的NEK碼加密。
*更改遠(yuǎn)端的NEK碼
我們假設(shè)有設(shè)備A的DEK碼為DKA,NEK碼為P,設(shè)備B的DEK碼為DKB,NEK碼為U。計(jì)算機(jī)和設(shè)備A相連,按照簡(jiǎn)單操作步驟即可更改設(shè)備B的NEK碼為P。
結(jié)語(yǔ)
隨著電力線上網(wǎng)技術(shù)瓶頸的突破和成熟,數(shù)字家庭市場(chǎng)的啟動(dòng),電力線上網(wǎng)越來(lái)越受到廣泛的關(guān)注。隨處可見(jiàn)的電力線插頭,即插即用的便利性,穩(wěn)定的高速的網(wǎng)絡(luò)速率,使電力線上網(wǎng)具備和無(wú)線上網(wǎng)、xDSL上網(wǎng)技術(shù)在數(shù)字家庭市場(chǎng)三分天下的能力。因此,預(yù)期電力線技術(shù)和相關(guān)的配套技術(shù)的發(fā)展能讓用戶享受到更便利,更快捷,更高速數(shù)據(jù)通信服務(wù)。
參考文獻(xiàn):
a) PowerPacket Primer v10.pdf
b) Overview of HomePlug Privacy. pdf
c) Privacy and Key Management Examples. pdf
d) INT5500 Datasheet. pdf