扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛管理 来源:zdnet安全频道 2009年1月11日
关键字: 无线网络
石油资源关系到国民经济的正常运行,因此各国对石油行业都给予了极大的重视,随着石油行业的不断发展,油井、钻井平台、采油厂等设施遍布油田的每一个角落,具有布局分散、点多面广的特点,对这些设施进行实时的数据采集和监控对石油行业的安全高效运行是至关重要的。
泰亚东方根据石油行业的特点,结合自主研发的无线路由器、无线DTU等无线数据传输设备,面向石油行业提供专业的无线数据采集监控解决方案,该方案具有稳定高速、实时在线、安全稳定的特点,能有效的保证石油行业的运行安全,提高石油行业的管理水平。
石油行业使用CDMA1X业务的生产安全保障
石油行业的安全隐患主要来自于物体摩擦产生的火花、物体静电释放时产生的火花和明火。使用CDMA1X业务进行数据传输时必须在PC机上加CDMA 1X无线数据传输设备使用,CDMA 1X无线数据传输设备在使用过程中实际上可以视为PC机的设备之一,类同于PC机必备的CPU、显卡、显示器等设备。所以,只要PC机电源正常接地,不存在由于CDMA 1X无线数据传输设备单独积累静电而释放电火花导致安全事故的隐患。
CDMA技术采用800兆频段(上行825兆赫,带宽15M,下行870兆赫带宽15M),具备绿色环保、辐射小等优于GSM无线传输的优势。在射频火花能量大于6瓦时,极短时间即可引燃可燃气体,引发安全生产事故,而CDMA系统发射功率最高只有200毫瓦,普通通话功率可控制在零点几毫瓦,其辐射作用可以忽略不计。目前CDMA信号已经覆盖全国,不存在由于无线信号导致安全隐患的可能。
另外油井、钻井平台、采油厂等地的各项设备按规范正常接地,选用防爆天线,就不会存在由于产生射频电流火花而导致火灾爆炸的可能性。
CDMA1X采用脱胎于军用技术的无线扩频技术,用户端到无线网络接入设备间的无线空中通道目前不可能被破解;无线分组设备到用户终端设备间,采用隧道穿过专线接入,可以有效保证整个系统的安全。要保护整体系统的安全,首先要保证网络本身的安全。必须尽可能地屏蔽外部非法访问及非法数据,对从外部网络连入的终端进行严格的用户认证及控制。针对CDMA1X的各环节,我们分别分析其安全性,并提供5级业务安全保障,从而充分保证网络中数据的安全。
1)第一级安全保障:CDMA网络本身的安全性
目前世界上使用的移动通信网络主要有两种:GSM和CDMA。与GSM相比,CDMA网络系统在安全保密方面具有很大优势。CDMA本来就是起源军事保密技术,在战争期间广泛应用于军事领域,具有抗干扰、安全通信、保密性好的特性。进行移动手机信号的窃听一般使用以下三种方法。首先,需要捕捉到通信信号。在空间中充满了各种各样的无线电波,用户手机信号就混杂在其中。要想窃听某一个用户的通话,首先必须捕捉到这个用户手机发出的特定的电磁波。由于CDMA系统采用扩频技术,经过扩频以后的有用信号的频谱被大大地展宽了,用户信号隐蔽在互不相关的信号中,要想捕捉到这一有用信号非常困难。因此,窃听器捕捉不到,也无法识别出哪些是CDMA手机用户的通信信号,哪些是噪音。其次,窃听器必须锁定手机用户通信的信号,继而才能分析和破解信息。而CDMA采用快速切换功率控制技术,即便是窃听设备捕捉到了用户手机信号,也不能锁定快速功率切换下的有用信号,因此,快速功率切换让CDMA信号很难锁定。第三,需要破解用户信息编码。而CDMA采用伪随机码技术,用长达42位的伪随机码来标识区分用户,每次通话都有4.4万亿种可能的排列,窃听器很难破译出CDMA的编码。所以CDMA技术本身就很安全。
2)第二级安全保障:CDMA网络侧的AAA认证
AAA是指认证(Authentication)、授权(Authorization)、计费(Accounting)三个过程,其中:
认证是,用户在使用网络系统中的资源时对用户身份的确认。这一过程,通过与用户的交互获得身份信息(像用户名-口令、生物特征信息等),然后提交给认证服务器
授权是,网络系统授权用户以特定的权限使用其资源,这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限,如授予IP地址,准许访问时间等。
计费是,网络系统收集、记录用户对网络资源的使用信息,以便向用户收取资源使用费。以互联网业务提供商ISP为例,用户的网络接入使用情况可以按流量或者时间准确地记录下来。
认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益,又能有效地保障网络系统安全可靠地运行。
CDMA网络侧的AAA认证过程是对用户的域名进行鉴权认证,网中数据网的用户(VPDN成员)是以username@xxx.133vpdn.bj形式登录的(用户在联通登记入网时,北京联通分配其一个域名xxx.133vpdn.bj)。CDMA网络侧的AAA服务器对登录用户的域名和该用户的IMSI进行绑定审核验证。验证通过后,方可接入联通CDMA网络。
移动通信从电路交换
3)第三级安全保障:CDMA网络和用户网络之间的VPN链接
CDMA网络和用户网络之间可以采用专线链接,也可以使用Internet链接。使用Internet链接必须考虑安全性,因此,可以使用VPN将二者利用Internet链接起来。
VPN技术非常复杂,涉及到通信技术、密码技术和现代认证技术。主要包含两种技术:隧道技术与安全技术。
隧道技术的基本过程是在源局域网与公网接口处将数据封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,被封装的数据包在互联网上传播时的所经过的路径被称为“隧道”。常用的隧道协议有:1.点到点隧道协议—PPTP(现已基本淘汰); 2.第二层隧道协议—L2TP,该协议是国际标准隧道协议,具有PPTP协议以及第二层转发协议(L2F)的优点,可以使PPP包以隧道方式通过各种网络,包括ATM、SONET、帧中继。但没有任何加密措施;3.IPSec协议,该协议是一个范围广泛、开放的VPN安全协议,工作在网络层。它提供所有在网络层上的数据保护和透明的安全通信。可以在两种模式下运行:一种是隧道模式,一种是传输模式。在隧道模式下IPSec把IPv4数据包封装在安全的IP帧中;传输模式是为了保护端到端的安全性,不会隐藏路由信息。 目前一种趋势是将L2TP和IPSec结合起来:用L2TP作为隧道协议,用IPSec协议保护数据。市场上大部分VPN采用这类技术。 4.SOCKS v5协议,SOCKS v5工作在OSI模型中的第五层——会话层,可作为建立高度安全的VPN的基础。SOCKS v5协议的优势在访问控制,因此适用于安全性较高的VPN,SOCKS v5现在被IETF建议作为VPN的标准。
VPN是在不安全的Internet上传输的,传输内容可能涉及到企业的机密数据,因此安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。主要有认证技术,加密技术,秘钥管理与交换技术。
4)第四级安全保障:用户网络侧的安全防火墙(FW)
防火墙技术是目前用来实现网络安全措施的一种主要手段,主要是用来拒绝非法用户的访问,阻止非法用户存取敏感数据,同时允许合法用户顺利访问网络资源。防火墙实际上是一种访问控制技术,在某个机构的内部网络和不安全网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上的非法输出。
实现防火墙的主要技术有:数据包过滤,应用网关和代理服务等。包过滤(Packet Filter)技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过,其核心是安全策略即过滤算法的设计。应用网关(Application Gateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关可以严格控制某些易于登录和控制的所有的输出输入通信环境,以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中,应用网关一般使用专用工作站系统。代理服务器(Proxy Server)作用在应用层,用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。
用户网络可以选用适合于本单位的防火墙产品来保证自己网络数据的安全。
5)第五级安全保障:用户网络侧的AAA鉴权认证
用户网络侧的AAA鉴权认证可以实现对VPDN成员的身份认证。与第二级的安全保障不同,本级的AAA服务器将鉴别VPDN成员的用户名和密码的正确性。
username@xxx.133vpdn.bj中的域名将是中国联通公司提供给专网接入用户的专有统一域名,用户名(username)可以是VPDN中每个成员的手机号码或者其它标识。VPDN中成员的用户名和密码等资料将保存在用户专网侧的AAA服务器,具有很好的安全性和管理的灵活性。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者
京公网安备 11010802021500号