石油行業使用CDMA1X業務的生產安全保障 石油行業的安全隱患主要來自于物體摩擦產生的火花、物體靜電釋放時產生的火花和明火。使用CDMA1X業務進行數據傳輸時必須在PC機上加CDMA 1X無線數據傳輸設備使用,CDMA 1X無線數據傳輸設備在使用過程中實際上可以視為PC機的設備之一,類同于PC機必備的CPU、顯卡、顯示器等設備。所以,只要PC機電源正常接地,不存在由于CDMA 1X無線數據傳輸設備單獨積累靜電而釋放電火花導致安全事故的隱患。
CDMA技術采用800兆頻段(上行825兆赫,帶寬15M,下行870兆赫帶寬15M),具備綠色環保、輻射小等優于GSM無線傳輸的優勢。在射頻火花能量大于6瓦時,極短時間即可引燃可燃氣體,引發安全生產事故,而CDMA系統發射功率最高只有200毫瓦,普通通話功率可控制在零點幾毫瓦,其輻射作用可以忽略不計。目前CDMA信號已經覆蓋全國,不存在由于無線信號導致安全隱患的可能。
另外油井、鉆井平臺、采油廠等地的各項設備按規范正常接地,選用防爆天線,就不會存在由于產生射頻電流火花而導致火災爆炸的可能性。
CDMA 1X無線接入的安全性 CDMA1X采用脫胎于軍用技術的無線擴頻技術,用戶端到無線網絡接入設備間的無線空中通道目前不可能被破解;無線分組設備到用戶終端設備間,采用隧道穿過專線接入,可以有效保證整個系統的安全。要保護整體系統的安全,首先要保證網絡本身的安全。必須盡可能地屏蔽外部非法訪問及非法數據,對從外部網絡連入的終端進行嚴格的用戶認證及控制。針對CDMA1X的各環節,我們分別分析其安全性,并提供5級業務安全保障,從而充分保證網絡中數據的安全。
1)第一級安全保障:CDMA網絡本身的安全性 目前世界上使用的移動通信網絡主要有兩種:GSM和CDMA。與GSM相比,CDMA網絡系統在安全保密方面具有很大優勢。CDMA本來就是起源軍事保密技術,在戰爭期間廣泛應用于軍事領域,具有抗干擾、安全通信、保密性好的特性。進行移動手機信號的竊聽一般使用以下三種方法。首先,需要捕捉到通信信號。在空間中充滿了各種各樣的無線電波,用戶手機信號就混雜在其中。要想竊聽某一個用戶的通話,首先必須捕捉到這個用戶手機發出的特定的電磁波。由于CDMA系統采用擴頻技術,經過擴頻以后的有用信號的頻譜被大大地展寬了,用戶信號隱蔽在互不相關的信號中,要想捕捉到這一有用信號非常困難。因此,竊聽器捕捉不到,也無法識別出哪些是CDMA手機用戶的通信信號,哪些是噪音。其次,竊聽器必須鎖定手機用戶通信的信號,繼而才能分析和破解信息。而CDMA采用快速切換功率控制技術,即便是竊聽設備捕捉到了用戶手機信號,也不能鎖定快速功率切換下的有用信號,因此,快速功率切換讓CDMA信號很難鎖定。第三,需要破解用戶信息編碼。而CDMA采用偽隨機碼技術,用長達42位的偽隨機碼來標識區分用戶,每次通話都有4.4萬億種可能的排列,竊聽器很難破譯出CDMA的編碼。所以CDMA技術本身就很安全。
2)第二級安全保障:CDMA網絡側的AAA認證 AAA是指認證(Authentication)、授權(Authorization)、計費(Accounting)三個過程,其中:
認證是,用戶在使用網絡系統中的資源時對用戶身份的確認。這一過程,通過與用戶的交互獲得身份信息(像用戶名-口令、生物特征信息等),然后提交給認證服務器;認證服務器對身份信息與存儲在數據庫里的用戶信息進行核對處理,然后根據處理結果確認用戶身份是否正確。
授權是,網絡系統授權用戶以特定的權限使用其資源,這一過程指定了被認證的用戶在接入網絡后能夠使用的業務和擁有的權限,如授予IP地址,準許訪問時間等。
計費是,網絡系統收集、記錄用戶對網絡資源的使用信息,以便向用戶收取資源使用費。以互聯網業務提供商ISP為例,用戶的網絡接入使用情況可以按流量或者時間準確地記錄下來。
認證、授權和計費一起實現了網絡系統對特定用戶的網絡資源使用情況的準確記錄。這樣既在一定程度上有效地保障了合法用戶的權益,又能有效地保障網絡系統安全可靠地運行。
CDMA網絡側的AAA認證過程是對用戶的域名進行鑒權認證,網中數據網的用戶(VPDN成員)是以
username@xxx.133vpdn.bj形式登錄的(用戶在聯通登記入網時,北京聯通分配其一個域名xxx.133vpdn.bj)。CDMA網絡側的AAA服務器對登錄用戶的域名和該用戶的IMSI進行綁定審核驗證。驗證通過后,方可接入聯通CDMA網絡。
移動通信從電路交換,發展到CDMA 1X分組網絡,再到第三代移動通信網絡,用于認證、授權和計費的協議也在隨之演進,從基于7號信令的協議,到部分采用RADIUS,再發展到Diameter,這主要是由越來越豐富的業務決定的。Diameter協議由IETF的AAA工作組在2002年3月提出的認證計費協議草案。Diameter協議支持移動IP、NAS請求和移動代理的認證、授權和計費工作。協議的實現和RADIUS類似,也是采用Attribute-Length-Value三元組來實現,但是其中詳細規定了錯誤處理等內容。它在設計過程中,不僅保持了與廣為使用的RADIUS協議的兼容,更克服了RADIUS協議的許多不足,而且它不僅僅被互聯網采用,更被下一代移動通信網(3G)采用。在第三代移動網絡和業務開展初期,為了和已有的設備和傳統業務互通,需要采用Diameter與RADIUS之間的協議轉換器,但是最終還是統一使用AAA Diameter協議。
3)第三級安全保障:CDMA網絡和用戶網絡之間的VPN鏈接 CDMA網絡和用戶網絡之間可以采用專線鏈接,也可以使用Internet鏈接。使用Internet鏈接必須考慮安全性,因此,可以使用VPN將二者利用Internet鏈接起來。
VPN技術非常復雜,涉及到通信技術、密碼技術和現代認證技術。主要包含兩種技術:隧道技術與安全技術。
隧道技術的基本過程是在源局域網與公網接口處將數據封裝在一種可以在公網上傳輸的數據格式中,在目的局域網與公網的接口處將數據解封裝,被封裝的數據包在互聯網上傳播時的所經過的路徑被稱為“隧道”。常用的隧道協議有:1.點到點隧道協議—PPTP(現已基本淘汰); 2.第二層隧道協議—L2TP,該協議是國際標準隧道協議,具有PPTP協議以及第二層轉發協議(L2F)的優點,可以使PPP包以隧道方式通過各種網絡,包括ATM、SONET、幀中繼。但沒有任何加密措施;3.IPSec協議,該協議是一個范圍廣泛、開放的VPN安全協議,工作在網絡層。它提供所有在網絡層上的數據保護和透明的安全通信。可以在兩種模式下運行:一種是隧道模式,一種是傳輸模式。在隧道模式下IPSec把IPv4數據包封裝在安全的IP幀中;傳輸模式是為了保護端到端的安全性,不會隱藏路由信息。目前一種趨勢是將L2TP和IPSec結合起來:用L2TP作為隧道協議,用IPSec協議保護數據。市場上大部分VPN采用這類技術。 4.SOCKS v5協議,SOCKS v5工作在OSI模型中的第五層——會話層,可作為建立高度安全的VPN的基礎。SOCKS v5協議的優勢在訪問控制,因此適用于安全性較高的VPN,SOCKS v5現在被IETF建議作為VPN的標準。
VPN是在不安全的Internet上傳輸的,傳輸內容可能涉及到企業的機密數據,因此安全性非常重要。VPN中的安全技術通常由加密、認證及密鑰交換與管理組成。主要有認證技術,加密技術,秘鑰管理與交換技術。
4)第四級安全保障:用戶網絡側的安全防火墻(FW) 防火墻技術是目前用來實現網絡安全措施的一種主要手段,主要是用來拒絕非法用戶的訪問,阻止非法用戶存取敏感數據,同時允許合法用戶順利訪問網絡資源。防火墻實際上是一種訪問控制技術,在某個機構的內部網絡和不安全網絡之間設置障礙,阻止對信息資源的非法訪問,也可以使用防火墻阻止保密信息從受保護網絡上的非法輸出。
實現防火墻的主要技術有:數據包過濾,應用網關和代理服務等。包過濾(Packet Filter)技術是在網絡層中對數據包實施有選擇的通過。依據系統內事先設定的過濾邏輯,檢查數據流中每個數據包后,根據數據包的源地址、目的地址、TCP/UDP源端口號、TCP/UDP目的端口號及數據包頭中的各種標志位等因素來確定是否允許數據包通過,其核心是安全策略即過濾算法的設計。應用網關(Application Gateway)技術是建立在網絡應用層上的協議過濾,它針對特別的網絡應用服務協議即數據過濾協議,并且能夠對數據包分析并形成相關的報告。應用網關可以嚴格控制某些易于登錄和控制的所有的輸出輸入通信環境,以防有價值的程序和數據被竊取。它的另一個功能是對通過的信息進行記錄,如什么樣的用戶在什么時間連接了什么站點。在實際工作中,應用網關一般使用專用工作站系統。代理服務器(Proxy Server)作用在應用層,用來提供應用層服務的控制,起到內部網絡向外部網絡申請服務時中間轉接作用。內部網絡只接受代理提出的服務請求,拒絕外部網絡其它節點的直接請求。
用戶網絡可以選用適合于本單位的防火墻產品來保證自己網絡數據的安全。
5)第五級安全保障:用戶網絡側的AAA鑒權認證 用戶網絡側的AAA鑒權認證可以實現對VPDN成員的身份認證。與第二級的安全保障不同,本級的AAA服務器將鑒別VPDN成員的用戶名和密碼的正確性。
username@xxx.133vpdn.bj中的域名將是中國聯通公司提供給專網接入用戶的專有統一域名,用戶名(username)可以是VPDN中每個成員的手機號碼或者其它標識。VPDN中成員的用戶名和密碼等資料將保存在用戶專網側的AAA服務器,具有很好的安全性和管理的靈活性。
