防外带系统-有源

1、保密设备 防外带系统设计思想1、项目背景在国家安全部12.5规划中，将研制部署“保密设备防外带系统”列入计划之中。在国家保密局的12.5规划中，亦明确规划将研制配备“涉密载体及便携式设备外出携带管控系统”。同期，在部分军工单位亦提出要研制出结合视频监控、门禁控制的敏感设备防外带产品。这些讯息说明，一到两年内，能有效管控敏感设备外带的产品（下简称外携控制产品），将在我国保密资产管理领域具有广阔的市场。 市面上的RTLS(Real-Time Location System)类产品，在功能上与外携控制产品具有一定的相似性。提供RTLS成熟产品的公司包括江苏的优频科技，美国的Ekahau公司等。 RT

2、LS主要应用于特定物品的实时定位。其基本原理是在一定范围之内部署传感器可称之为感知基站或探测器，并在被定位物品上配置射频标签。与标签之间通过能量探测、响应延迟到达时间差等特征实时确定被定位物品的存在范围及准确位置。该技术一般的应用场合为医疗领域，以实现老人、特护病人、医疗设备的实时监控。外携控制产品与之相比，关注传感器与被监控物品之间的不可分离，以及传感器被监控物品是否属于安全可控范围的判定。在国内，有北京金石利科技有限公司、北京华安保信息技术有限公司、西安博宇光电科技发展有限公司、摩伯尔（天津）电子科技有限公司推出了类似保密产品外携控制系统类似的产品。但上述几家公司的解决方案 均采用RFID

3、门禁控制机制：在保密设备上张贴RFID标签，在出入大门等关键部位部署读卡器形成门禁系统。当门禁系统探测到未授权保密产品外带时，发出警报。这类产品明显的弱点在于：若攻击者揭掉RFID标签，或者将涉密物品放置在一个带有屏蔽功能的容器中，均可以欺骗门禁系统而将保密产品非法外带。因此，这类产品不能称为真正的保密产品外携控制系统。面对保密资产管理领域潜在的广阔市场需求，以及传统保密资产管理方案、RTLS系统尚存在本质的缺陷，中铁信安（北京）信息安全技术有限公司推出保密设备外携管控系统 。该系统与传统的保密资产外携控制系统比较，具有本质的领先优势：（1） 改点式控制为立体式控制，安全控制在空间上无死角。传

4、统的解决方案仅在门禁设置外携控制传感器。而本系统则通过合理编排的传感器（基站）形成立体式控制覆盖，这种面式控制的强度大大降低了传统点式覆盖的隐蔽风险；（2） 将被动检测升级为主动检测，安全控制在时间上无死角。传统解决方案只要被控对象不出现在控制点附近，就一直被判定为“安全”。本系统则周期性在基站和被监管物品之间发生认证通信。只有被控物品实时“在线”，才被判定为“安全”；（3） 改进了传统方案的夹带外携等风险。传统方案基于RFID标签的探测以侦测外携行为。如此，只需将被控物品放置于屏蔽容器，或者简单的将RFID标签被控物品分离，传统方案的控制即被欺骗。本系统则能实时感知被控物品的存在及标签的状态

5、，故从本质上解决了上述问题；（4） 感知方式的升级提升了传统方案的可用性和安全性。将RFID方式升级为Zigbee方式，将探测距离从数米范围提升到数十米范围，并对金属附着物对识读距离的限制具有更强的免疫力，对复杂环境更具有适应能力。同时具有较强的抗干扰能力，并在热点区域有较强的防漏读能力。这些优点增强了系统的可用性和安全性。本系统事实上是一种特殊用途的物联网解决方案，其传感层采用Zigbee感知手段，数据通过网络层得以传输、汇集，并在应用层得到处理。2、系统功能目标研制开发外携控制系统，要求其具有如下的功能或特点：（1） 保密设备所在位置的区域判定：能较准确判定被监控物品所处的区域。该区域的设

6、立应与实际保密场所的区域相吻合。（2） 保密设备与标签不可分离：当标签从保密产品分离时，应保证标签产生可以被监控的状态探测出得状态变化，如因物理损毁而不能失踪等。（3） 以基于区域判定的综合信息管理：基于区域判定，实现物品的物理位置显示、是否安全可控判定、是否移动判定、移动方向轨迹判定等；（4） 多目标并发监控：应能实现同一区域内多个目标的准确监控，如能在一个保密房间，能同时监控至少600个目标；（5） 应具有较强的环境适应性：能确保对探测距离、遮挡、屏蔽等实际环境具有一定的适应性，防止被监控物品在可控范围之内却无法被感知而产生误报。3、传感技术选择选择何种传感技术是外携控制系统的核心之一。成

7、熟的传感技术包括：RFID、Wi-Fi、Zigbee三种RTLS技术。下面从各个方面比较这三种技术在保密设备防外带领域的优劣：比较项RFIDWi-FiZigbee有源良：要求有无源良：要求有源良：要求有源传输带宽差：传输带宽低优：150Mbps良：200Kbps探测距离差：3米优：60米以上优：60米以上抗干扰差：金属、水优：能免疫优：能免疫部署成本良：标签便宜，AP昂贵且需布线良：标签昂贵，AP便宜且需布线优：标签便宜，AP便宜无需布线绕射差：直线可读优：可绕射优良：低频可绕射抗揭良：需要特殊设计良：需要特殊设计良：需要特殊设计容量差：十余字节良：可定制良：可定制耗电性优：可数年差：3到4个

8、月良：2年可组网差：不可组网差：不可组网优：可组网综合而言，选用Zigbee技术形成外携控制系统的传感基础技术，成为较为合理的技术路线。4、技术实现路线4.1 总体架构图4-1 总体部署框架本系统在受控区域以合理的方式部署基站（即读卡器），各基站通过Zigbee协议自行组成网络，并将受控区域中的物品与Zigbee标签绑定。标签定期与基站进行通信。基站将通信的情况汇总到管理器。管理器依据通信情况判定当前各受控物品的状态。4.2 无线通信协议选择本方案选择Zigbee作为传感协议。考虑到对环境的适应性，采用968MHz2.4GHz的传输频率。该频率的Zigbee稳定传输距离为6080米。稳定传输速

9、率可达1Mbps256kbps。采用DSSS扩频调试方式，能有效的提高抗干扰能力。采用AES128加密算法，具有很高的安全等级。4.3 标签分类在本系统中，共涉及两大类标签：一类是基于Zigbee的无线标签；一类是基于SCDCC二维码的纸质标签。在任何被监控的物品上，应附着一个Zigbee标签和一张SCDCC二维码标签。其中纸质二维码标签的主要作用十分简单，在于和保密柜配套使用，当一个带有无线标签的密品需要防止入带有屏蔽功能的保密柜时，操作员基于屏蔽柜的二维码识读设备进行登记。图4-1 物品编码标签对于Zigbee标签，均为有源标签。其具有两种形态，其一为粘贴式，其二为挂绳式。对于粘贴式，其通

10、过强力粘胶粘贴于被监管物品的表面。为防止其在使用过程中被非法与被监管物品分离，其底部接触面附有一个敏感的压力感应器。当标签被分离时，标签底部的压力感应器产生获得变化，向基站发出报警信息。对于挂绳式，用于附着在不适于张贴标签的物品上，如保密的U盘。当联通挂绳之后，标签进入正常工作状态。一旦挂绳被切断，甚至挂绳的阻抗产生变化，标签即向基站发出报警信息。4.4 基站部署 （1）基站编排在需要监控的场所，如建筑物内，需要按一定的密度和编排方式，部署Zigbee基站，以确保每个被监管物品始终能被附近至少一个基站探测到。按本系统选用的频段，在无遮挡的环境下，有效识读距离设计为60米。当在建筑物有遮挡情况下

11、，通信的有效距离可以达到20米左右。因此，在楼宇的中央位置，可以据此编排基站。在楼宇的外围，考虑到有效读取范围不宜过大，可以布置功率较小的基站。（2）基站通信各基站之间的通信可以采用Zigbee通信方式自行组网，多个ZigBee基站通过“ZigBee-以太网”网关将数据汇集到域局网中的服务器，也可以采用基站配备的GPRS通信模块实现远程通信。鉴于基站之间可以自行组网，在被监管场所之内，只要被监管的物品能被任何基站探测到，即能被全网连接任何基站的应用服务器所监控。4.5 定位本系统可实现简单的定位，如：通过Zigbee的RSSI属性，可以判断某受控物品目前处于哪个基站范围之内。本系统还提供更为精

12、确的定位，其基于Zigbee的RSSI属性，可以判定某个受控物品与邻近主要的3基站之间的距离，结合基站的物理分布，比较准确的定位出被监控物品的物理位置。此时，即使在有遮挡、屏蔽等物理干扰的情况下，其定位的精度误差也可控制在10米之内。将来我们采用的方工主要是判断在物品哪个房间，并不对房间内的位置作判断。在楼道内可以判断是哪一段，10米的精度差不多。图4-2：位置判定4.6 移动判定Zigbee标签中，配置有移动传感器。该传感器能感知及其微小的加速度，由此感知是否被移动。当移动发生时，标签向基站发出警告。只有具有特殊要求的被监控物品需要此功能，如保险柜，或者某些重要的仪器、设备，其本身需要长期部

13、署于某一位置，一般不能移动。4.7 移动方向判定该系统提供移动方向的判定。在实际应用场景中，各个基站都被顺序编号。并准确记录基站的物理位置。当并监管物品的标签被感知时，通过基站对标签的感知顺序判断物品的移动方向。在门禁等特殊位置，当在门内和门外部署功率较小的基站时，可以判断该物品是进门还是出门的移动方向。4.8 与门禁及视频的整合（1）与门禁整合进出受控场所的大门是敏感物品外携的关键路径，也是保密控制的关键部位。在各出入大门可以部署敏感的基站。当物品外带时，基站可以感应物品的存在并与门禁控制向联动。管理员可以制定类似的策略：当合法的用户刷门禁卡时，可以打开大门。当合法的用户刷合法门禁卡，但是与

14、之关联的基站探测到有受控物品时，门禁拒绝打开并报警。如此：可以在第一时间拒绝敏感物品被违规带出可控区域。（2）与视频监控整合当发生异常事件，但管理者需要实施看到事故场景的画面，或者需要系统自动记录故障场景的物理画面时，需要将基站与视频监控整合并联动。异常事件主要包括：a) 探测到不允许移动的设备产生物理移动；b) 探测到标签与受监管物品被未授权分离；c) 门禁等关键部位具有开门意图但探测到敏感物品等。当异常事故发生时，外携控制系统可以向视频监控系统发送事故类型及基站位置坐标。视频监控系统可以基于位置坐标（x,y）对应该位置邻近的视频监控头，并启动相应的操作，如自动拍照记录、自动摄像记录或弹出该

15、摄像头的视频画面等。4.9 与屏蔽柜整合当被管控物品被植入屏蔽柜时，任何基站将无法检测到该物品的存在。为此，外携控制系统提供了弥补方案：其提供无线二维码识读器，可以读取物品张贴的二维码标签。系统可以将特定保密柜与无线读卡器关联。凡是被该读卡器识读登记的物品，均被认为放入了屏蔽柜。只是如此有一风险：若攻击者在识读登记、打开屏蔽柜之后，用一屏蔽容器将受控物品封装后，可以带出。此时，系统还误认为物品已经放入屏蔽柜中。当攻击者希望放回时，直接用带屏蔽功能的容器包装物品，送入屏蔽柜即可。为避免这一风险，需要在屏蔽柜中布置一个传感器，或者在屏蔽柜外设置视频监控。对于铁皮的文件柜，可以在柜子内安装一个基站。

16、4.10 上层应用4.10.1 标识管理外携控制系统通过标识管理子系统完成以下功能：（1）为标签分发ID并建立档案标识管理子系统在系统中为每一个标签分配唯一的ID号，并将该ID与其绑定的物品属性相关联，如该物品的责任人、物品类型、密级、合法区域等等。（2）为基站分配编号标识管理子系统在系统中为每一个待安装基站分配唯一的ID号，并将ID与基站属性相关联，如基站的物理相对坐标值，基站的功率，信号阈值（即当探测到超过该强度的信号时，表明物品存在）等。其中，基站的坐标需要在确定基站的部署方案后才能确定。4.10.2 基站部署子系统基站部署子系统主要用于设计受控场所的物理三维图，并依据受控场所的房间分割

17、、墙体特征等，在不同位置设置特定功率的基站。图4-3： 基站部署在管理界面进行监控时，受监控的物品的活动情况将直接在这一三维图展示。为避免基站设置的不合理，防外携系统提供了模拟检测模块，其用于模拟测试在实际场景中，某一最低功率的标签在该环境任意移动时，是否存在探测死角。如此可以保证一次部署之后，不再做部署调整。5、关键技术5.1 自主的Zigbee协议栈实现Zigbee协议栈是在IEEE802.1.5.4标准基础上建立的。IEEE802.1.5.4标准定义了RF射频以及与相邻设备之间的通信规范的物理层（PHY）电气规范及媒体访问控制层（MAC）协议规范。在此标准基础之上，本系统在选定的单片机及

18、CPLD射频硬件平台上，严格按照协议自主实现了ZigbeeIEEE802.15.4的PHY和MAC协议，并在其上开发、封装了完备的网络层协议、应用层协议和安全服务。由此实现了标签与基站之间的射频通信、基站之间的网络层组网及可靠的应用数据传递。其特点为：（1） 协议栈完全自主实现，可扩展性、可定制、可控性强；（2） 完全遵从IEEE802.1.5.4规范，能与任何支持该通信规范的设备相兼容；（3） 实现的实例稳定可靠，传输性能能满足实际业务运行要求。另外ZigBee技术本身还具有以下优点：1、设备省电ZigBee 技术采用了多种节电的工作模式，休眠电流可小于1微安。2、通信可靠ZigBee 采用

19、了 CSMA/CA 的碰撞避免机制，避免了发送数据时的竞争和冲突；MAC 层采用了完全确认的数据传输机制，每个发送的数据包都必须等待接收方的确认信息。3、网络的自组织、自愈能力强ZigBee 的自组织功能：无需人工干预，网络节点能够感知其他节点的存在，并确定连接关系，组成结构化的网络；ZigBee 自愈功能：增加或者删除一个节点，节点位置发生变动，节点发生故障等等，网络都能够自我修复，并对网络拓扑结构进行相应地调整，无需人工干预，保证整个系统仍然能正常工作。4、成本低廉设备的复杂程度低，且 ZigBee 协议是免专利费的，这些可以有效地降低设备成本；ZigBee 的工作频段之一为免执照的2.4

20、GHz，无通信及频率使用费用。5、网络容量大一个 ZigBee 网络可以容纳最多 6万5千个节点，同时理论上支持6万5千个网络。虽然单个节点的通信距离较智囊，但整个网络覆盖范围刚非常大。 6、数据安全采用 AES-128加密算法，同时各个应用可以灵活确定其安全属性。5.2 管控物品的精确定位算法在外携控制系统中，我们自主设计实现了基于接收信号强度测量的室内定位算法。由于受管控的保密物品往往位于室内，GPS或者有服务器辅助的GPS定位均不能满足较为准确要求。在低功率无线设备组成的高密度ad-hoc网中，由于各设备之间的时钟同步难以实现，利用信号到达时间差（TDOA）估计距离难以实现。同时，由于存在多径和噪声，以及缺乏统一的、精确的参考时钟，采用传统的信号到达延迟（TOA）来估计距离也缺乏准确性。为此，在外携控制系统中，我们自主设计了基于接收信号强度（RSSI）定位算法。这种算法充分考虑了室内遮挡物引起的误差，引入了距离估计误差这一随机变量，运用自适应迭代算法，有效控制遮挡因素造成的影响，使在复杂环境下，计算所得的定位数据与实际数据误差一般可控制在10米之内。5.3 标签防揭计算在外携控制系统中，防止标签从被监管物品非法分离是管控有限性的一个核心问题。若非法的分离操作无法被准确感知，则监管形同虚设。在外携控制系统中，针对张贴式标签，我们设计部署了敏感的压力传感器，在标签初始化并