2026星河AI园区全域安全技术白皮书

星河AI园区全域安全技术白皮书文档版本01(2026-04-20)版权所有©技术有限公司 6 6 9 文档版本01(2026-04-20)版权所有©技术有限公司 47 47 48 4.1未来展望 文档版本01(2026-04-20)文档版本01(2026-04-20)随着物联网、移动互联网技术的深度渗透，园区作为的核心载体，正经历终端多样化与网络无线化的深度变革。这率、拓展服务边界的同时，也彻底打破了传统园区的物理安全边界与网络防护体催生了前所未有的安全风险与合规压力，使得园区的安全运营与商业/个人隐私防护面首先是终端爆炸增长，内网攻击进入“规模化物联网终端正以前所未有的速度涌入园区——从办公设备到生产设施，从传感器到安物联、办公、生产等终端数量已突破500l金融业成为重灾区：全球金融业遭受的攻击比例暴增245%，其被攻击占其次，无线全面普及，数据暴露在“看不见的空口”从固定办公到移动办公，Wi-Fi正成为默认接入方式测，未来三年政府行业Wi-Fi渗透率将从25%提升至79%。文档版本01(2026-04-20)l空口数据易受攻击：无线通信的开放性使得空口抓包、中间人攻击等变得低成本且难以察觉。特别是量子囤积攻击（先加密捕获，待量子计算成熟后再解密）的l监管要求日趋严格：全球已有30多个国家发布针对政府明确要求加密强度、身份认证及审计能力。同时，隐私合规和人力瓶颈，让园区出现“安全盲区”物理安防与网络安全正在融合，但传统园区监控体系因隐私法规、人力限制和夜间防衣室、休息区）安装摄像头，导致园区内存在大量无法监控的物理盲区。这些盲区成为安全防护的“真空地带”。l人力负担过重，漏报率居高不下：监控研究中心数据显示，每个操作员平均需承担20~100个公共区域摄像头的实时监l盲区与人力不足共同迫使夜间依赖巡检：由于上述盲区存在且监控人力无法覆盖全时段，大量园区在夜间只能依靠安保人员定时巡检。然而，巡检延迟大，且无法形成连续、可回溯的防护记录，使得夜间成为入侵事件的高发窗上述三个问题相互叠加：隐私合规→产生盲区→盲区无法被摄像头覆盖最后，隐藏摄像头泛滥，个人隐私及商业秘密威胁除了园区自身部署的监控设备带来的隐私合规问题，目惊心。微型化、廉价化的隐藏摄像头快速蔓延，对个人隐私与商业窃密构成l市场规模与事件激增：全球隐藏摄像头市场规l设备难以检测：隐藏摄像头设备变得更小、更便宜且更容易获取，使非法监控更容易发生。在园区会议室、更衣室、休息区等敏感场所，这类设备可被快速部署面对终端多样化、网络无线化以及园区运营的盲区和隐私威胁问题，方式难以为继。为此，本技术白皮书立足行业现状与核心痛点，深度剖析园区文档版本01(2026-04-20)核心风险与演变逻辑，系统梳理适配新时代需求的安全技术架构、关键防护营体系，为企业应对园区安全新挑战、构建高效的安全防护体系提供技术参文档版本01(2026-04-20)在数字化与智能化深度融合的今天，安全边界正在被重新定义。园区不再只是在数字侧，以资产安全与连接安全为核心：通过对入网终端的精细化识别与异检测，实现资产自动聚类与可视化管理，有效防范私接、仿冒及内网横向攻击依托密盾与全链路MACsec+PQC体系，确保数据“不可窃听、不可破解”。在物理侧，以空间安全与隐私安全为延伸：基于无处不存在的实时感知，可联动安防系统覆盖传统监控盲区，并支持自动化巡检；结波雷达能力，还可实现人体体征与行为（如跌倒）检测，提升空间安全保障能通过“数字+物理”双域融合，全域安全实现从资产、连接到空间与隐私的立文档版本01(2026-04-20)2.1.1资产盘点传统资产管理常面临可管、可视、可控难题：资产盘点效率低、准确率差且与；资产使用状态难统计，无法支撑预算与动态监测；资产易丢失，安全隐赖人工管控。通过部署融合物联网的无线网络，可实现资产位置、状态监控及在线盘点，达物联插卡的资产管理方案文档版本01(2026-04-20)l通过串口传输数据地址和端口号，通过上行以太链路发送给资产管理服务器。资产管理服务器对资时监测，显示资产移动路径等。基于容器的资产管理方案该方案采用搭载容器技术的AP，设备内置蓝牙芯片，可厂商将轻量化容器APP部署至物联网AP文档版本01(2026-04-20)可快速实现资产感知、数据采集与信息上传，在简化部署的同时，灵活扩文档版本01(2026-04-20)2.资产管理服务器RFID资产管理服务器由第三方合作伙伴提供，AP容器部署的APP收到数据后，根据配置好的IP地址和端口号，通过2.1.2资产识别无法对网络终端做更精细的可视化管理；为了解决上述问题，终端识别功能应运而生，通过多样化的终端识器可查看整个园区网络终端的类型、操作系统等摘要信息。基于这些摘要信息对终端进行多维度的精细管理，比如根据终端类型进行准入授权等。另外，对别的自动准入，从而减少管理员手动配置工作量。资产识别，主要是指终端识别，是面向园区网络接入提供的一种精细化管过某些协议报文的摘要字段对终端特征进行分析提炼，识别出终端的类型、系息。网管控制器可以基于这些识别出的终端信息，对园区终端进行数字化呈现准入控制等。文档版本01(2026-04-20)2.1.3资产入网威胁检测化，给园区网络终端管理带来了挑战。终端私接乱接，仿冒难发现，98％物联流量未2、海量终端接入政企、金融、教育、医疗园区，私接3、海量的行业终端接入政府、金融等场景，终文档版本01(2026-04-20)针对上述问题和挑战，防私接、终端防仿冒和和SmartAD（SmartAnomaly防仿冒终端防仿冒是一种终端检测和管控技术，它能够学习终端访问网络的流量特流量行为模型，借助流量行为模型识别仿冒终端，最终对识别出的仿冒终端防私接是一种重要的安全接入与认证特性，接入设备通过分析终端流行为构建流特征画基于流特征检测算法判断当前流量是否存在异常，决策是否存在私接行为，识别行为类型。通过防私接功能防护，可以解决用户未经认证接入网络带来的安全隐文档版本01(2026-04-20)3.终端识别可识别入网终端类型，但识别私接路由器l私接路由器：用户通过私接路由器，接入多个终端，用以规避计费，同时给网络l私接Wi-Fi：私接用户通过合法用户提供的共计费，给网络带来不安全因素。防攻击缺乏身份核验能力，又无法运行EDR等文档版本01(2026-04-20)l自学习：持续采集终端的访问IP、端口、流量大小，发包频l智能研判：当终端流量偏离基线超过阈值时（如摄像头突不依赖特征库，能有效应对零日攻击和未知威胁，为园区内网提供了一种极简部署、2.2.1无线链路防窃听高安全行业目前由于安全考虑尚未广泛部署无线局域网（WLAN但业务需求十分明确，尤其是生产类业务因缺乏WLAN已显著影响工作效率。因此，基于WLAN的接入成为高安全企业网络发展的必然趋势。然而，无线信号的空中传输特性使其安全性文档版本01(2026-04-20)协议中的AES加密算法等。这些技术通过这些加密算法的暴力破解时间非常长，可以认为是安全的，但在大数据时代下厂商不断追求算力的提升，业界已形成共识，未来计算机的发展将会导致传统中传播，给了窃听者截获、篡改信号的可能性，这也是无线通信相比有线技安全性的担忧成为网络无线化改造的最大阻力，只有无线信号自身能做到防能从源头上保证无线传输数据的安全性，空口密盾技术也是在这个背景下产生空口密盾技术，通过信道探测流程得到合法用户信道位置信息，基于独有波文档版本01(2026-04-20)2.2.2有线防破解园区内设备跨楼栋互联，链路暴露在公共区域，网络通信传输，数据可能经过多个节点，裸露在外的网络设备互联线容易被嫁非法设备，用于镜像监听，窃取数据。MACSec提供文档版本01(2026-04-20)各种现代通信和信息处理系统的安全依赖于多种标准化的密码算法，比如用于加签名的RSA公钥算法，用于消息和用户认证的DS加密算法AES,用于密钥协商的DH(Diffie-Hel数学难题而设计的算法，如DH算法采用了大数质数随着量子计算机的发展和探索，其性能可远远超过现利用量子物理特性来存储数据和执行计算，有数据显示，其计算能力比现有的构计算机要快100万亿倍。基于量子计算提出的shor、Simon、Grover等算法，可子计算机成熟后，经典的密码算法就会面临轻松破解的风险。通过囤积当前的抓包，量子计算对当前园区采用的安全通信算法影响如下表，针对对称加密算法算法分类型用途例量子计算的影响影响应对策略对称密码对称加密安全存AES安全强度减半影响密钥长度加倍：文档版本01(2026-04-20)储安全传输不大AES128->AES256摘要长度加倍数据完整性安全强度减半密钥长度加倍安全强度减半非对称密码广泛使用的)数字签名A对称算法全部都会被量子计算攻破，攻击复杂度从指数级降低到多项式级严需要迁移到后量子算法非对称加密安全存储安全传输密钥协商密钥分发H两者的对比如下，QKD更适合于广域网络的通信安全性升级软件算法，算法上可抵御量子计算破解基于物理安全，而非数学难题适用场景身份认证、密钥协商、数字签名密钥协商、身份认证成熟度谷歌已在浏览器中支持标准化部分算法标准化已完成，相关协议标准陆续推出有协议求传统网络可部署，设备可通过软件升级实现硬件需要更换，支持量子传输通信，需要文档版本01(2026-04-20)演进设备跟随算法演进2.3.1感知人存CSI感知的核心在于利用无线信号的传播特性，通的物体运动、位置变化等信息。这种技术的产生得益于以下几个方面：首先，Wi-Fi通信系统不断朝着更高频段、更大天线阵列和小型化发展，因此在硬件架构、信点和信号处理方面与无线感知系统日益趋同，为感知技术的实现提供了硬件基础效率显著提升；最后，智慧节能、智能交通、智能安防等场景对实时感知和通信求日益增长，而传统的感知技术（如雷达、摄像头等）往往需要额外的设备和部本，因此通过通信设备本身实现感知功能成为一种高效且经济的解决方案。此外，频谱资源的紧张也推动了通信与感知功能的协同发展。通过将通信与集成在同一频段内，CSI感知技术能够更高效地利用频谱资源，减少对应用场景：防入侵对于一些存放核心资产仓库或者存在核心研发场地需要全天候的严密防护，处于隐私安全的目的，此类场所往往无法通过摄术能够完美解决这个问题。在此场景中CSI感知需要对人侵动作做出快速识别，并支持告警通知。文档版本01(2026-04-20)在入侵检测场景方案中，房间的画图、基于房间CSI入侵检测告警NCE-Campus仅支持数字地图同步呈现文档版本01(2026-04-20)以进行手动调整。同时，在当前方案中，房间区域需要在Camp在医疗与康养场景全面走向数据化、网联化的当下，传统“接触式、缠绕式”范式正逐步显露瓶颈。床旁监护仪多为笨重一体机，配合电极贴片、绑带才能持续采集数据。这种形态在病区密集、人员轮转频繁、监护需求连续部署慢、维护重、耗材占比高；更重要的是，它对患者的舒适度与依从性文档版本01(2026-04-20)扰：线缆限制活动、贴片引发皮肤过敏或压疮，患者往往在休息或康复训练时主动更严肃的现实来自感染控制与特殊科室限制。重复使用的接触面即便严格消在病原体传播隐患；一次性耗材虽然降低风险，却推高成本且不环保。强磁与后疫情时代，医院智慧服务持续升级，体征监测正朝着“无感、非接触、非配合”的方向演进。与此同时，康养机构面临双重需求：既要针对性防范老人跌倒全风险，也要通过高品质服务增强市场竞争力。更值得关注的是，20典》新增隐私权益条款，对室内光学摄像头的应用形成明以毫米波雷达与无线射频为代表的非接触式感知技术，为以点提供了理想解决方案。其核心优势并非单点监测的精准度，而是能在不干态、不改变病房流程的前提下，稳定、连续地捕获生命体征信息，且天然契合网联化、模块化、规模化的医院内安全设计需求。这类方案可穿透衣物被褥，实现免贴片、无线缆的持续监护；加之体积小巧、安装便捷，能快速机构等多类场景。更关键的是，它在皮肤脆弱、贴附禁忌或不耐受人群中优基于毫米波感知的医疗监护解决方案，构建于“云、网、边、端”协同架构之上。前端毫米波雷达实时采集患者的生命体征与行为数据，随即回传至测边缘计算网关（AirEngine9703-S/H网关搭载创新的体征监测算法，对数据进行精准解析处理，最终实现体征信息实时呈现、电子病历自动填写、异承接主体云应用系统管理平台网AirEngineAP边/物联网关/APAirEngine9703-文档版本01(2026-04-20)承接主体控制器APP端基于毫米波感知的医疗监护方案架构体征监测雷达支持病房设备带侧挂式部署，通过Wi文档版本01(2026-04-20)体征监测算法是自研软件系统，通过APP容器化部署在AirEngine9703-S/H中，提供人体生理信号（呼吸、心跳、在床整个基于毫米波感知的医疗监护系统的重要组成部分。侧装在病床上方的毫米波硬件采集雷达数据，通过Wi-Fi/ETH回传给毫米波智慧监测APP，毫米波智慧监测APP检测毫米波雷达回波数据生成体征结果并上送至应用系统告警、毫米波雷达管理、分权分域、历史数据查询等能力，为医疗行业提供低成本、文档版本01(2026-04-20)文档版本01(2026-04-20)传统三层网络架构包括核心、汇聚、接入交换机，支撑全院办公终端、医疗联终端等设备接入。其中，核心、汇聚等框式交换机双机部署集群，接入和汇聚和核心交换机之间可以采用双链路，提高整网可靠性。无线接入层部署业界Wi-Fi6/7AP，上行最高带宽可达46Gbps，满足各种高带宽统一认证，安全可控。行政业务VN、医疗医技VN和智慧病房VN等。各VN可应用独立的访问策略，实现文档版本01(2026-04-20)基于毫米波感知医疗监护方案网络架构云-医疗监护应用系统系统应提供完整的体征监测能力，覆盖“在床—清醒、在床—睡眠、离床、坠床”状在管理上按病区、科室实现分权分域；设备层面统一纳管毫米波雷达并支持运统，供医护人员使用。文档版本01(2026-04-20)设备选型量45台侧挂在病床床头正中间的设备带或墙面上，每床配AirEngineAirEngine1台每台AirEngine9703-测雷达测1套应用系统系统1套于患者生命体征数据展文档版本01(2026-04-20)示、告警提示等功能应用场景：医疗康养现有的测量仪器大多是接触式的。它们需要附着在患者身上才能进行测量和对于需要长时间连续监测的患者来说不是很方便。非接触式生命体征监测设更加重要，因为它将有助于最大程度地减少通过接触点和接触者造成的病毒好地确保医疗保健人员的安全。对于医院的呼吸、神经内科、耳鼻喉等科室，部署呼吸、睡眠医疗级诊断应行呼吸监测，配合血氧指标，可以对低通气症进行诊断，替代传统的多导睡眠监测仪（PSG睡眠监测，面对睡眠中心，提供医疗级别睡高风险患者离床。对于医院的高干科和康养中心的康养需求包括看护级非接触产品，主要解决高端商业养老机构，防止意外发生和及时发现异常状态是养老机构的主要政府投资项目，采用“公建民营”的方式发展社区运营服务平台，非接触式居家养老客户，由养老机构的地产物业、保险平台或大型ISV，通过养在医疗及康养场景下，可以使用毫米波感知技术来进行生命体征检测，因为呼中人体胸腔的起伏可引起毫米波雷达相位的变化，且在睡眠检测是记录睡眠期间身体活动的测试。在医学上，睡种睡眠障碍。睡眠检测对心理学也很有价值，它们提供了对大脑活动以及睡眠正常睡眠的其他生理因素的深入了解。睡眠检测利用存在检测机制中对动作的通过判断一段时间内受测者动作的触发频率进行睡眠判断。结合时间配置，可清醒、浅睡、深睡、小憩的识别文档版本01(2026-04-20)酒店客房、机密会议室、高管办公室等隐私场景，针孔偷拍已成为核心安全统依赖人工排查、红外扫描、射频探测等方式，存在效率低下、漏检率高、灵眸手持款产品，可以扫描检测周边空间是否有疑似像头，从而保护用户隐私安全。文档版本01(2026-04-20)文档版本01(2026-04-20) 3.1.1资产盘点技术RFID技术频信号自动识别目标对象，并对其信息进行标志、登记、储存和管理l电子标签：由芯片和标签天线或线圈组成，通过电感耦合或电磁反射原理与读写器进行通信；l天线：电子标签和读写器都天线。电子标签的天线一般内置标签内。读写器的天2.进入读写器工作区域的电子标签接收此信号，卡内芯片的有关电路对此信号进行倍压整流、调制、解码、解密，然后对命令请求、密码、权限等进行判断。文档版本01(2026-04-20)3.若为读命令，控制逻辑电路则从存储器中读取有关信息，经加密、编码、调制后通过片上天线再发送给读写器，读写器对接收到的信号进行解调、解码、解密后电子标签和读写器之间通过无线的方式通信，读写器上行网口与信息处理系统通信。电子标签与读写器之间的无线工作频率一般有三种：低频、高频和超高频。l低频：工作频率为120~134KH这个频率。数据信息量小且传输慢，读写距离近（小于1禁、考勤刷卡等场景。l高频：工作频率13.56MHz，技术成熟，在市场的占比仅次于低频，数快的频段。数据传输很快，读写距离远（3m-50m主要应用于供应链管理、后文档版本01(2026-04-20)容器技术容器是轻量级的操作系统级虚拟化，在一个资源隔离的环境中运行应用程序及项。将应用程序所必需的依赖项打包成一个镜像，执行镜像时，它运行在一个隔境中，这就保证了容器内进程和容器外的任何进程，不相互影响。当前主流的容空间以及Cgroup）的一个特性，它允许其他一些l更小的虚拟化开销器来为应用提供虚拟执行环境。传统的虚拟化技术则需要先创建虚拟机，然后统，再部署应用。容器启动需要依托一个rootfs，称之为容器模板（template模板位于主机的文件系统上。每一个容器对应有一个模板，用户可以通过修改模文档版本01(2026-04-20)3.1.2资产识别技术指纹识别（被动识别终端指纹是用于唯一标识某个终端设备（如电脑、手机等）的特征信息组合集设备硬件、软件、网络配置等多维度数据，生成一个独特的标识符，常用于证、用户追踪或反欺诈等场景。l软件特征：操作系统类型及版本、浏览器类型及插件、字体列表、时区、语言设-文档版本01(2026-04-20)P商相关的，很多终端是用的其他厂家的网卡芯片，会造成通过取到的厂商信息并不能说明终端的厂商信息，因），服务的话，都会向局域网内的所有主机组播一个消息。根据消息文档版本01(2026-04-20)别终端类型文档版本01(2026-04-20)扫描识别（主动识别）探测数据包并分析响应特征，推断目标设备的操作系统、服务版本及潜在设备类型。l协议栈指纹识别标设备的响应。不同操作系统或设备的协议栈实现差异（如初始序列号生成规则、窗口大小、TTL值等）会形成唯一特征，与内置的指纹l端口与服务探测开放端口扫描：扫描目标设备的开放端口（如TCP80、443判断终端类型。为了更好地通过网管管理自己生产的设备，很多设备制造商在开称、设备类型和设备制造商名称，查询并分析设备的运行状态信息即可识别此类设文档版本01(2026-04-20)支持终端扫描的设备，下发实时或者定时扫描配置，设备被扫描范围内的终端测报文，并根据终端的响应进行终端识别，识别终端类型、厂商、型号等信息结果在终端管理界面进行呈现。主动扫描识别方法原理如图1交换机，交换机根据终端反馈信息，识别终端类型、厂商、型号等信息，并将置终端上线触发终端识别，在终端重新上线时触发终端识别功能，获取终端信可配置终端识别的识别周期，定时进行终端识别功能，获取终端信息。主动扫识别流程如图2。文档版本01(2026-04-20)在整个过程中的基本消息交互流程如下：端识别主动扫描功能。3.交换机识别根据重点信息进行特征提取，生成终端识别结果，并上报4.新的探测周期到来，交换机再次向5.如果开启终端上线触发终端识别功能，当终端重新上线，会向交文，触发交换机向终端发送单播探测报文，获取终端信息。交换机生成终端识别文档版本01(2026-04-20)AI聚类识别（流信息识别）针对未识别的终端，通过网络设备采集终端报文的流交互信息和协议特征指纹果，手动标注终端类型。后续相同类型的终端新上线时，将自动匹配到已经聚的类型。流信息识别原理如图同型号的终端，其协议指纹数据相似度高，不同低。首先，根据指纹相似度及先验知识库，区分出可匹配终端与未识别终端；其根据指纹相似度对未识别终端聚类，由用户标记每个簇的大类，用户标记一文档版本01(2026-04-20)AI聚类算法如下图所示。优先使用高权重的指纹进行聚类规则最低相似度，将该规则作为高相似候选结果但大于等于40%阈值，将该规则作为低相似候选结果；（2）假设存在高相似候选结果，从中选择相似度最高的结果作为最终识别结果（AI高标注过的结果进行相似度运算，如果达到阈值则认为与标记过的终端是同类型文档版本01(2026-04-20)自定义规则识别规则、匹配权重和最小分值，预置指纹特征规则，识别未知终端。终端识别方案汇总功能项关键能力指纹识通用办公终端识别（PC、手机类智别（被能办公终端）：（库，提高识别准确率。平板）TOP厂商的终端扫描识别（主协议扫描（Onvif、mdns、sip、厂家私有协议）：发送协议探测终端，设备可直接识别；未识别终端通过被动指纹提取、流指纹采集、具有明确流访问行为/协议/端口的行业终端（如金融/政府的叫号覆盖，通过AI聚类归类、标注，对新上线终端可自动识别通过自定义指纹（dhcp/http/五元兜底能力，多种方式都未识别的终规则识别通过人工标注某个终端类型端，通过此方案进行自定义规则识别文档版本01(2026-04-20)苹果、三星、亚马逊、联想、、荣耀、小米摄像头打印机/传真机惠普，佳能，爱普生，兄弟，联想，理光3.1.3资产入网异常行为识别防仿冒低的方式接入网络，并且通常缺乏定时查杀病毒的机制。非法终端容易仿或MAC，并借此攻击网络。因此可以在接入交换机上NCE-Campus上同时开启终端识别和终端防仿冒功文档版本01(2026-04-20)支持的仿冒处置方式：处置效果适用于对终端接入安全需严格管控的场景防私接3.终端识别可识别入网终端类型，但识别私接路由器文档版本01(2026-04-20)l私接路由器：用户通过私接路由器，接入多个终端，用以规避计费，同时给网络l私接Wi-Fi：私接用户通过合法用户提供的共计费，给网络带来不安全因素。文档版本01(2026-04-20)个探测周期内收到的ARP应答报文数量大于或等于发送的文档版本01(2026-04-20)及域名等特征信息。下面为不同特征的检测说明：lTTL：不同的操作系统TTL值固lDNS：操作系统在连接到网络时会执行连接测试、检查更新等操作最终，通过这些融合特征检测出接入网络的操作系统类型在一定时间内是否来判断用户是否存在私接行为。规避计费，给网络带来不安全因素。如图私接Wi-F文档版本01(2026-04-20)开启共享热点/代理的场景下，所用技术与私接路由器中防攻击针对园区内网哑终端安全防护难的问题，提出的SmartAD（SmartAnomalyl整体方案架构：文档版本01(2026-04-20)1.交换机内生AI安全探针，根据现网流量在线训练，形成哑终端的流行为基线（包样，访问基线什么样并可通过群体分析自动过滤出各交换机在训练过程中引3.交换机为接入的各哑终端形成流行为基线后，即可根据该基线做异常流量的本地推理，并将推理出的各异常事件（如：发送/接收包速率超阈值，并发连接数超阈要实现异常流量高检出率，低误报率，核心在于数据质量。通常流量数据采越高，基线建立得则越准确，并且由于现网数据无法人工标注白样本，如何掉学习期间的脏数据也是基线训练时必须面临的问题。SmartAD方案中的关文档版本01(2026-04-20)根据流量在各滑窗的波动自动计算出容忍度，从而形成自动阈值如上图所示：当一个终端在训练期间已经产生了异常流量，在这种场景下如果采用方式进行发现个体的异常。采用自研BO文档版本01(2026-04-20)传统安全仅能封堵上层漏洞，无法从物理层阻断信号侦听。Wi-Fi密盾创新用户信道测量测量（Sounding以确保到目标终端处波形干扰自消除准确。以常见的802.11ax评估帧（NDP）给目标终端，接收端基于信道评估帧进行下行信道估计，将压缩信道信息反馈给AP侧，具体帧交互流程波形干扰自消除波束成形技术可以通过预先补偿发射天线的相位，调整信号之间的叠加状态号的波束形状，最终使无线信号以预期的状态定向发送给目标终端，如下图可以使波形以能量更为集中的方式传向接收端，实现波束成形，也可以使波端处自行抵消，形成空间空洞。文档版本01(2026-04-20)波束成形原理密盾为了保证合法用户通信的正常进行，通过对合法用户发起信道探测获取信置等相关信息，在叠加随机噪声干扰时，会基于合法用户的信道状态信息，预出随机干扰所需的补偿相位，通过在天线处预先补偿该相位，可以实现干扰信法用户处的接收波形相消，实现上述的空间空洞效果，合法终端无需任何修改实现报文的正确接收，不会感知到密盾干扰的存在。因此波形干扰自消除技术合法终端的通信数据接收不受影响。由于部分天线增益用于发送随机噪声干扰AP的整体空口性能会有所下降，4T4R射频下降小于20%，2T2R密盾干扰防窃听密盾在向空口发送报文时，会在空口波形基础上叠加额外的随机噪声干扰，当试图窃取空口报文时，与合法终端的距离大于传输电磁波半波长（6cm@2.4GHz，3cm@5GHz干扰信号在窃听用户处的接收波形无法相消。此时用于窃听报卡会认为该报文解调失败从而丢弃，不会将报文存储至网卡的数据缓存区。全由无线网卡自主完成，无法被修改，因此窃听方在其操作系统中无法看到文档版本01(2026-04-20)窃听报文实现流程同时该干扰的预编码矩阵会随报文动态变化听方无法存储任何过去的报文，同时干扰每个报文都完全随机，因此不会导未来的报文被破解，与传统加密的主密钥更新周期相比，该干扰的变化周期大大缩小，由小时级缩短为毫秒级，完美保证密盾的前向安全与后向安全性。密密盾报文加扰流程文档版本01(2026-04-20)MACsec组网模式面向主机点到点模式如图3-1所示，面向主机点到点模式用于保护Client主机和设备之间的数据帧传输。l客户端（Client）客户端是请求接入局域网的用户终端，由局域网中接入设备对其进行认证，并执行l接入设备（Device）文档版本01(2026-04-20)接入设备控制客户端的接入，通过与认证服务器的交互，对l认证服务器（AuthenticationServer）端通过认证后，认证服务器为客户端和接入设备分面向设备点到点模式如图3-2所示，面向设备点到点模式用于保护两台设备之间的下，无客户端和接入设备角色之分，可以不需要认证服务器，互连的两台设备可MACsec运行机制文档版本01(2026-04-20)证，接入交换机做认证设备，在用户终端通过认证之后，由AAASer文档版本01(2026-04-20)文档版本01(2026-04-20)4、外界条件变化触发密钥切换或重新协商文档版本01(2026-04-20)发。在数据报文的发送端，可以采用加密算法GCM的ICV作比较，如果一致表明报文合法接收方会记录已接收报文的编号，报文编号PN文档版本01(2026-04-20)问题构造、在经典计算机上运行的。区别在于，RSA所依赖密码底层的离散对数问题已经可以被Shor困难问题目前还不在任何量子算法高效率“攻击范围”之内。按照底层数学困分类，当前已有五类主流后量子密码，即格密码、编码法高一个数量级，是后量子时代的“RSA”算法，可被广泛的用于非对称场景的文档版本01(2026-04-20)协议/应用量子计算威胁管理面/SSH身份仿冒信息泄露等/HTTP2身份仿冒信息泄露控制面身份仿冒信息泄露身份仿冒信息泄露文档版本01(2026-04-20)数据面系统面安全启动恶意代码植入远程登录和其他安全网络服务的协议，因其秘钥议，存在量子破解的安全风险。SSH协议进行PQC改造，即SSH协议支持P迁移点迁移前迁移后文档版本01(2026-04-20)密钥交换算法加密AES-128AES-256因证书有失效性，即便通过囤积数据，未来可以破解，但证书有效期会过期证相关的量子破解风险相对较低，待证书机制的设备SSH协议支持PQC算法后，可以通过三方的SSH登录软件或者开源op文档版本01(2026-04-20)算法、完整校验等都改造成PQC协议的算法。同SSH一样，因证书相关的PQC算法随着无线局域网（WLAN）技术的快速发展，尤其是Wi-Fi7技术的升，人们对无线网络的性能要求不仅限于数据传输速率的提升，还逐渐扩展感知能力的需求。当下的园区安防依赖摄像头、红外传感器等，存在隐私风险控盲区多、部署成本高等短板。摄像头易侵犯隐私，红外仅能粗粒度检测，无法覆盖复杂空间与敏感区域。园区人员流动大、涉密区域多，传统手段难以实现全域、无CSI感知理论模型传统意义的WLAN是一种无线通信技术，也就是通过调制电磁波来承载业务数据，实现收发两端设备的信息交互。根据无线信号传播特性，发送天线辐射的电磁波信号，一方面可以通过直射路径到达接收天线，另一方面也可以经过周围环境文档版本01(2026-04-20)WLAN感知基于电磁波的传播特性，通过探测环境动态变化对无线信号的影响，赋予了WLAN设备对周围环境的感知能力。动将引起电磁波传播路径的改变。通过分析接收信号的动态变化，我们可以完人员存在、行为的识别，甚至可以实现对呼吸、心跳这种微弱波动的测量。从分别用于WLAN信号发送和信号接收；单站感知则只使用同一个设备同时完成我们可以通过无线信号传播的数学模型，进一步阐述WLAN感知背后的机理。以最文档版本01(2026-04-20),径和动态径在复数域相加的结果。最终合成的信道响应幅值|H(f,关。如果两者相位差为(-π/2,π/2)时，静态径与动态径叠加后幅值增强；我们可以进一步分析动态反射物具体多大的位移可以引起|H(f,t个波长的变化，就可以引起|H(f,t)|峰值到谷现象也可以用菲涅尔区解释，菲涅尔区定义为以收发的菲涅尔区边界满足如下等式，文档版本01(2026-04-20)差为半波长。考虑到无线信号在经过反射时，相位额外旋转，因此在偶数菲涅尔在WLAN感知场景，反射物在覆盖区域内运动时，根据其实时位置的差异可以观测到信号的起伏。换而言之，我们可以感知到载波波长量级的微小波先，WLAN感知大部分场景依赖对动态反射径的感知，其信号强度十取如此微小的变化是十分挑战的。另外，实际WLAN接收感知算法应用片的联合设计，最大限度的减少了发射机与接收机的非理想成了自发自收的感知全双工。单AP通过自发自收实现类似9声呐9能力，感知环境文档版本01(2026-04-20)同时，针对具有周期性的动作，感知算法可以直人员是否存在的检测能力，结合单AP融合Wi-Fi业务覆盖，无需额署成本等优势，CSI感知技术可以应用在会议室智慧照明/节能（人来“灯”3.3.2毫米波雷达检测技术针对医疗场景接触式设备（电极、胸带、手环）存在舒适性差、易引发皮肤过敏体动、离床、跌倒等。实现异常实时预警、自动生成体征数据、减轻护士查房负担、FMCW雷达连续发射频率调制的电磁波来探测目标距离、速度和角度的雷达技术。其核心利用频率变化与回波信号的时延、多普勒效应之间的关系进行测量。支持对多文档版本01(2026-04-20)即使电磁波传播速度接近光速，回来的波也会比发射出去的里，发射波的频率已经变高了一点，所以接收到的回波和发射波之间就会有一个差，这个差就叫“拍频”。拍频大小就能揭示物体有多远。如果物体在移动，反射回来的波还会有轻微磁波覆盖床位，当人平卧时胸廓与腹部会发生细微起伏，这些微小运动会改变回节