移动终端代理商准入管理办法

移动终端代理商准入管理办法（精选2篇）

1.移动终端代理商准入管理办法 篇一

宝界终端准入控制系统保障无线网络安全解决方案

一、应用背景

由于无线网络通过无线电波在空中传输数据, 在数据发射机覆盖区域内的几乎所有的无线网络用户都能接触到这些数据。只要具有相同接收频率就可能获取所传递的信息。要将无线网络环境中传递的数据仅仅传送给一个目标接收者是不可能的。另一方面, 由于无线移动设备在存储能力、计算能力和电源供电时间方面的局限性, 使得原来在有线环境下的许多安全方案和安全技术不能直接应用于无线环境, 例如: 防火墙对通过无线电波进行的网络通讯起不了作用, 任何人在区域范围之内都可以截获和插入数据。计算量大的加密、解密算法不适宜用于移动设备等。因此, 需要研究新的适合于无线网络环境的安全理论、安全方法和安全技术。与有线网络相比, 无线网络所面临的安全威胁更加严重。所有常规有线网络中存在的安全威胁和隐患都依然存在于无线网络中;外部人员可以通过无线网络绕过防火墙, 对专用网络进行非授权访问;无线网络传输的信息容易被窃取、篡改和插入;无线网络容易受到拒绝服务攻击(DoS)和干扰;内部员工可以设置无线网卡以端对端模式与外部员工直接连接。此外, 无线网络的安全技术相对比较新, 安全产品还比较少。以无线局域网(WLAN)为例, 移动节点、A P 等每一个实体都有可能是攻击对象或攻击者。由于无线网络在移动设备和传输媒介方面的特殊性, 使得一些攻击更容易实施, 对无线网络安全技术的研究比有线网络的限制更多, 难度更大。常见的无线网络安全技术有以下几种

1、服务集标识符（SSID）

通过对多个无线接入点AP(Access Point)设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。因此可以认为SSID是一个简单的口令，从而提供一定的安全，但如果配置AP向外广播其SSID，那么安全程度还将下降。由于一般情况下，用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户。目前有的厂家支持“任何(ANY)”SSID方式，只要无线工作站在任何AP范围内，客户端都会自动连接到AP，这将跳过SSID安全功能。

2、物理地址过滤（MAC）

由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新，可扩展性差；而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作；如果用户增加，则扩展能力很差，因此只适合于小型网络规模。

3、连线对等保密（WEP）

在链路层采用RC4对称加密技术，用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位（有时也称为64位）和128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解；钥匙是静态的，要手工维护，扩展能力差。目前为了提高安全性，建议采用128位加密钥匙。

4、Wi-Fi保护接入（WPA）

WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。其原理为根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据，要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法，而且有更为丰富的内涵。作为802.11i标准的子集，WPA包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案。

5、端口访问控制技术（802.1x）

该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。本方案需要无线设备支持802.1X协议，并且接入PC需要安装802.1X客户端，设置烦锁，部置费用较高。

二、宝界解决方案

通过采用宝界局域网准入网关产品可以解决以上问题：

1、宝界局域网准入网关实现的功能

        对用户按组、按部门、按人实现IP地址管理 对用户的IP地址实现实名制的分发和管理 强制安装健康检查客户端

兼容老旧网络（兼容非802.1x交换机、hub 等），实现实名IP地址管理 对IP地址的改变进行监管，防止非法篡改IP地址 新接入IP地址的侦测和自动收集 IP地址的实名查找 多网段的IP分配和管理

2、产品部署拓朴图

系统部署图

3、无线终端PC入网流程图

① 无线终端PC搜索无线路由器，选择接入点

② 接入终端接入PC可以将无线网卡设置成固定IP地址或DHCP动态获得IP地址，一般建议特权主机设定为固定IP地址，其他主机动态分配IP地址。

③ 对于固定IP地址的无线接入PC，系统检查其MAC地址、IP地址、主机名、网卡类型、对应交换机端口等信息，如果是非法主机，系统将阻止其入网；合法主机允许其入网，此类主机无需实名认证，无需健康检查。

④ 对于DHCP动态获取IP地址的无线接入PC，首先系统会临时分配一个隔离网段IP地址，允许它访问隔离网段服务器（例如：杀毒服务器、补丁服务器、实名认证服务器等）

⑤ 系统如果启动了实名认证模块，无线接入PC获取动态IP地址后，打开IE浏览器访问外网时，系统会自动推送实名认证网页，要求其输入管理员分配的用户名及密码，如果身份认证未通过，系统将不会分配内网IP地址，其无法访问内网任何资源。如果身份认证通过，并且系统没有启动健康检查模块，无线接入PC将获取管理员分配的内网合法IP地址，无线接入PC被允许访问内网应用服务器资源。

⑥ 系统如果启动了健康检查/桌面管理模块，无线接入PC实名认证通过后，系统在其打开IE浏览器访问外网时，会自动推送健康检查/桌面管理客户端下载网页，当其安装完健康检查/桌面管理客户端后，无线接入PC将获取管理员分配的内网合法IP地址，接入主机被允许访问内网应用服务器资源。

⑦ 系统运行过程中，将自动收集当前限制主机、允许主机、离线主机、在线主机列表，每台主机当前使用MAC地址、IP地址、组名/主机名、部门/用户名、接入交换机及端口号、接入时间等待信息，管理员可实时查看到对应交换机上接入主机的信息，并可手动/自动关闭其端口，完全隔离非法主机。

终端准入认证流程

三、解决方案价值

 加强企业无线网络控制，实现每用户分别用自己的帐号登陆无线局域网，杜绝了共享密码的弊端，保证非授权主机不能进入无线局域网；   

对无线网络的主机，也纳入了内网主机一样管理，不经过无线路由NAT地址转换，可以直接定位主机。加强内网IP地址管理，防止了IP地址随意修改，服务器与客户端IP地址冲突；

进入局域网的主机可强制安装健康检查客户端，集中查杀病毒木马，集中打补丁，保证了局域网安全

2.移动终端代理商准入管理办法 篇二

摘要：该文基于数字图像处理技术及OCR文字识别引擎，在基于Android的智能终端上设计了一个列车车票管理软件，简化列车员的管理工作。文中重点研究了如何通过预处理过程来加快OCR引擎的速度，提高正确率。

关键词：图像预处理；开源OCR引擎；二维条码；Android开发

中图分类号：TP391.44

在旅客列车开行过程中，列车员的一项重要而繁琐的重复性工作是核验乘客的车票，防止旅客上错车；在即将到站时提醒相应铺位的乘客，以防旅客坐过站。在平板电脑、智能手机等移动智能终端广泛应用的大背景下，可利用摄像头采集车票图像，再通过图像处理技术提取出车票信息，实现车票管理的信息化。

从车票提取乘客信息有两种渠道，一是通过车票右下方的二维条形码（QR码）；二是直接通过文字识别技术，读取车票上的文字信息。第一种渠道中，需要破解QR码的加密算法才能获得车票信息，这是一种不合适的行为。对于基层列车乘务员而言，是没有权限接入铁路部门的票务系统的。因此，应该考虑使用第二种方案来提取车票信息。这种方案的优点是避免了破解加密算法及带来的法律纠纷；缺点是需要进行图像处理及文字识别，运算量相对大一些。由于现有的移动智能终端大都配备4核1.2GHz以上的ARM处理器，1G Bytes以上的内存，及高分辨率摄像头，使得实时采集车票图像并提取车票信息成为可能。

1 系统概况

基于智能终端的验票软件，其图像采集设备采用终端自带的摄像头，通过终端自带的LCD屏、喇叭输出结果，充分利用智能终端的资源，大大降低系统部署成本。

为便于大量旅客信息的保存及查询，采用Sqlite数据库存储车票数据。此外，还有一些有关列车的设置信息，比如车次、车厢号、各站点的到站发站时间等。列车员可以通过触摸屏手动输入这些设置信息，也可以通过铁路網站直接下载。

软件的主要处理过程如图1所示：

预处理过程主要包括颜色空间转换、去噪、图像校正等过程。文字识别过程主要基于OCR（Optical character recognition）识别引擎完成文字提取。识别结果存入数据库后，软件根据到站时间设置提醒闹钟，确定何时发出旅客到站的提醒信号。下面重点对预处理和识别部分的原理及过程进行叙述。

2 详细处理过程

2.1 预处理过程

本设计中的预处理过程主要包括以下两个方面：基于QR码图形的几何调整，以及基于固定位置的文本区域分割。

2.1.1 基于QR码图形的几何调整

由于采集距离远近及拍摄角度的不同，采集的车票图像尺寸和系统中标准车票图像尺寸间存在较大的差别，为便于后续处理，在预处理阶段除了进行颜色空间转换、去噪外，重点进行图像的几何调整。尽管OCR引擎在一定程度上能够自动处理诸如图像旋转、缩放、图像颠倒等问题，但会引入更多的计算量，同时增加出错的概率。为了提高识别性能，我们根据车票的特殊标志对车票图像进行几何调整。由于新一代的火车票票面上均印有二维QR码，我们可以通过二维QR码的形状及位置信息来对车票的几何参数加以判断。典型的火车票图片如图2所示：

从中可以看到，由于拍摄时不可避免地会产生图像旋转现象，在进行后续处理之前，需要先将图片旋转复原到正常位置。旋转复原的前提是确定图像拍摄时被旋转的角度，方法如下：

首先提取车票QR码图像的灰度边缘。常用的边缘提取算法有Sobel[1]、Canny[2]算子等，其中Canny算子的性能最好，但是复杂度较高；而Sobel算子具有计算过程简单的特点，适合在嵌入式设备上运行。这里使用Sobel算子的垂直模板来提取边缘，并对边缘图像进行二值化，得到的结果如图3所示。

接着对图中的线条进行骨骼化[1]处理。为了防止大量短线条的干扰，可以在进行骨骼化之前，使用膨胀腐蚀算法来滤除图中的大量小区域。骨骼化后的结果如图4所示。

可以使用直线拟合方法来提取图4中的各条直线，但更常用的是使用Hough变换[3]。Hough变换把图像空间中的直线检测问题转换为参数空间中的点检测问题，再在参数空间中通过简单的累加计算完成检测。完成Hough变换检测直线的结果如图5所示。利用图中直线的斜率，就可以判断QR码的旋转角度（即车票图像的旋转角度）；通过对车票图像执行一个旋转变换，便可得标准角度的车票图像。

另外一个问题是判断车票的缩放比例以及判断车票是否颠倒。在本设计中，我们通过QR码中的位置探测图形来实现检测。

在QR码中，位置探测图形是指QR码中位于左上、右上、左下三个区域的方块状图形。如图6所示。每个位置探测图形的模块序列由一个深色-浅色-深色-浅色的次序构成，各元素的相对宽度的比例是1：1：3：1：1。检测位置探测图形的方法有很多[4]，这里不详细叙述。找到三个位置探测图形以后，根据三者中心坐标之间的关系，可以判断出图像是正立还是倒立的，方法如下：

假设图像的坐标原点位于左上角，三个位置探测图形中心处的坐标分别为：（x1，y1），（x2，y2），（x3，y3）。由三个点连接的三条线段中，寻找夹角接近90°的两条线段，如果90°夹角的内部指向右下角，则图像是正立的；否则图像是倒立的。

对于车票的缩放比例，在图片的角度已经旋转复原的情况下，根据测量三个位置探测图形的距离WX，WY，对比标准参考图像中的位置探测图像间的距离WX_ref，WY_ref，便可计算出图片在水平和垂直方向上的大致缩放比例。

2.1.2 文本区域分割

调整完角度和方向的图片可以直接输入到OCR引擎进行文字识别。但由于车票上很多区域都没有文字信息，且有一部分文字不是我们所关注的，没有必要进行识别。另外，开源OCR识别引擎的处理速度比较慢，处理太大的图片时难以满足实时性的要求。比如，经测试，一张分辨率为1280x960的车票图片，在MTK6589处理器上利用tesseract引擎进行文字识别时，大概需要10秒钟左右的时间，实时性较差。在本设计中，考虑到关注的文字信息只出现在一些固定的区域，一旦火车票的角度和尺寸被复原后，文字区域的位置是固定的。可以因此将文字区域分割出来，加快OCR的处理速度。图7中，方框部分为由程序根据预先设置的坐标标识出来的关注区域。从中可以看到，车票上关注的区域只有6个，所含文字数量非常有限，有利于加快OCR的识别速度。

2.2 文字识别

关于光学字符设别OCR的研究已经非常多，尤其是商用的OCR引擎已经能够达到比较好的识别效果，如汉王[5]、ABBYY[6]，等，但是由于涉及版权及成本问题，没有在本设计中采用。开源OCR也比较多，比较流行的比如tesseract[7]。与专业OCR识别引擎相比，开源OCR的识别正确率较低，速度较慢。但如果针对某个具体的问题来加以优化，则可大大改善其性能。

为了提高tesseract识别的速度和准确率，我们先按照位置来对车票图像进行分割；接着对不同区域的分割图片采用不同的训练和识别策略：

（1）对于车次、座号、席别、日期时间等区域，由于其格式是完全固定的，所含字符的种类也十分有限，因此，我们有针对地训练比较小的模板库进行识别，加快识别的过程，提高识别的准确性。

（2）对于起点站、终到站区域。由于车次识别完成后，其停靠站点的选项就已经确定，因此，我们让识别引擎有针对地比对与该次车各个候选站点的相似性，从而提高准确率。

测試表明，采用上面的方法后，识别单张车票图像的时间从10余秒减少到1秒左右，能够满足实用的需求。

2.3 后续处理

一旦识别出车票，则首先判断该旅客是否属于本次列车、本车厢。如果不是，不允许旅客上车；如果是，则将旅客数据记录进数据库，并启动定时器，周期性的检查旅客是否即将到站，一旦即将到站，则发出提示信息。检查的准则是根据当前时间与软件中预置的列车到站时刻表。如果发生列车晚点，则在列车到达中间站后，乘务员可根据到站时间人为修正一个时间偏移。

3 结束语

本设计基于OCR文字识别引擎，在移动智能终端上设计了一个车票管理软件，基于该软件可以简化列车员的工作量，提高工作效率。本设计的特点是在预处理阶段，通过QR码的特征来对车票进行几何校正；在OCR识别的过程中，通过分割车票的感兴趣区域，加快识别速度。

参考文献：

[1]R. Gonzalez， R. Woods. Digital Image Processing， Addison Wesley， 1992，pp 414-428.

[2]J. Canny. A Computational Approach To Edge Detection， IEEE Trans. Pattern Analysis and Machine Intelligence， 8：679-714，1986.

[3]R. O. Duda， P. E. Hart. Use of the Hough Transformation to Detect Lines and Curves in Pictures.Comm. ACM， Vol.15， pp.11-15.

[4]刘宏伟，苗东，李志刚等.二维条码的识别方法[J].微计算机信息（测控自动化），2004（04）.

[5]汉王文本识别技术.http：//ka.hanwang.com.cn/OCR技术/index.htm.

[6]泰比移动OCR引擎.http：//www.abbyy.cn/mobileocr/.

[7]tesseract.https：//code.google.com/p/tesseract-android-tools/.

作者信息：李建（1994-），男，吉林四平人，本科在读，电子信息工程专业。

作者单位：北方工业大学 电子信息工程学院，北京 100041