今日頭條
官方微信
官方抖音
案例頻道石油資源關(guān)系到國民經(jīng)濟(jì)的正常運(yùn)行,因此各國對石油行業(yè)都給予了極大的重視,隨著石油行業(yè)的不斷發(fā)展,油井、鉆井平臺、采油廠等設(shè)施遍布油田的每一個角落,具有布局分散、點(diǎn)多面廣的特點(diǎn),對這些設(shè)施進(jìn)行實(shí)時的數(shù)據(jù)采集和監(jiān)控對石油行業(yè)的安全高效運(yùn)行是至關(guān)重要的。
泰亞東方根據(jù)石油行業(yè)的特點(diǎn),結(jié)合自主研發(fā)的無線路由器、無線DTU等無線數(shù)據(jù)傳輸設(shè)備,面向石油行業(yè)提供專業(yè)的無線數(shù)據(jù)采集監(jiān)控解決方案,該方案具有穩(wěn)定高速、實(shí)時在線、安全穩(wěn)定的特點(diǎn),能有效的保證石油行業(yè)的運(yùn)行安全,提高石油行業(yè)的管理水平。
石油行業(yè)使用CDMA1X業(yè)務(wù)的生產(chǎn)安全保障
石油行業(yè)的安全隱患主要來自于物體摩擦產(chǎn)生的火花、物體靜電釋放時產(chǎn)生的火花和明火。使用CDMA1X業(yè)務(wù)進(jìn)行數(shù)據(jù)傳輸時必須在PC機(jī)上加CDMA 1X無線數(shù)據(jù)傳輸設(shè)備使用,CDMA 1X無線數(shù)據(jù)傳輸設(shè)備在使用過程中實(shí)際上可以視為PC機(jī)的設(shè)備之一,類同于PC機(jī)必備的CPU、顯卡、顯示器等設(shè)備。所以,只要PC機(jī)電源正常接地,不存在由于CDMA 1X無線數(shù)據(jù)傳輸設(shè)備單獨(dú)積累靜電而釋放電火花導(dǎo)致安全事故的隱患。
CDMA技術(shù)采用800兆頻段(上行825兆赫,帶寬15M,下行870兆赫帶寬15M),具備綠色環(huán)保、輻射小等優(yōu)于GSM無線傳輸?shù)膬?yōu)勢。在射頻火花能量大于6瓦時,極短時間即可引燃可燃?xì)怏w,引發(fā)安全生產(chǎn)事故,而CDMA系統(tǒng)發(fā)射功率最高只有200毫瓦,普通通話功率可控制在零點(diǎn)幾毫瓦,其輻射作用可以忽略不計。目前CDMA信號已經(jīng)覆蓋全國,不存在由于無線信號導(dǎo)致安全隱患的可能。
另外油井、鉆井平臺、采油廠等地的各項(xiàng)設(shè)備按規(guī)范正常接地,選用防爆天線,就不會存在由于產(chǎn)生射頻電流火花而導(dǎo)致火災(zāi)爆炸的可能性。
CDMA 1X無線接入的安全性
CDMA1X采用脫胎于軍用技術(shù)的無線擴(kuò)頻技術(shù),用戶端到無線網(wǎng)絡(luò)接入設(shè)備間的無線空中通道目前不可能被破解;無線分組設(shè)備到用戶終端設(shè)備間,采用隧道穿過專線接入,可以有效保證整個系統(tǒng)的安全。要保護(hù)整體系統(tǒng)的安全,首先要保證網(wǎng)絡(luò)本身的安全。必須盡可能地屏蔽外部非法訪問及非法數(shù)據(jù),對從外部網(wǎng)絡(luò)連入的終端進(jìn)行嚴(yán)格的用戶認(rèn)證及控制。針對CDMA1X的各環(huán)節(jié),我們分別分析其安全性,并提供5級業(yè)務(wù)安全保障,從而充分保證網(wǎng)絡(luò)中數(shù)據(jù)的安全。
1)第一級安全保障:CDMA網(wǎng)絡(luò)本身的安全性
目前世界上使用的移動通信網(wǎng)絡(luò)主要有兩種:GSM和CDMA。與GSM相比,CDMA網(wǎng)絡(luò)系統(tǒng)在安全保密方面具有很大優(yōu)勢。CDMA本來就是起源軍事保密技術(shù),在戰(zhàn)爭期間廣泛應(yīng)用于軍事領(lǐng)域,具有抗干擾、安全通信、保密性好的特性。進(jìn)行移動手機(jī)信號的竊聽一般使用以下三種方法。首先,需要捕捉到通信信號。在空間中充滿了各種各樣的無線電波,用戶手機(jī)信號就混雜在其中。要想竊聽某一個用戶的通話,首先必須捕捉到這個用戶手機(jī)發(fā)出的特定的電磁波。由于CDMA系統(tǒng)采用擴(kuò)頻技術(shù),經(jīng)過擴(kuò)頻以后的有用信號的頻譜被大大地展寬了,用戶信號隱蔽在互不相關(guān)的信號中,要想捕捉到這一有用信號非常困難。因此,竊聽器捕捉不到,也無法識別出哪些是CDMA手機(jī)用戶的通信信號,哪些是噪音。其次,竊聽器必須鎖定手機(jī)用戶通信的信號,繼而才能分析和破解信息。而CDMA采用快速切換功率控制技術(shù),即便是竊聽設(shè)備捕捉到了用戶手機(jī)信號,也不能鎖定快速功率切換下的有用信號,因此,快速功率切換讓CDMA信號很難鎖定。第三,需要破解用戶信息編碼。而CDMA采用偽隨機(jī)碼技術(shù),用長達(dá)42位的偽隨機(jī)碼來標(biāo)識區(qū)分用戶,每次通話都有4.4萬億種可能的排列,竊聽器很難破譯出CDMA的編碼。所以CDMA技術(shù)本身就很安全。
2)第二級安全保障:CDMA網(wǎng)絡(luò)側(cè)的AAA認(rèn)證
AAA是指認(rèn)證(Authentication)、授權(quán)(Authorization)、計費(fèi)(Accounting)三個過程,其中:
認(rèn)證是,用戶在使用網(wǎng)絡(luò)系統(tǒng)中的資源時對用戶身份的確認(rèn)。這一過程,通過與用戶的交互獲得身份信息(像用戶名-口令、生物特征信息等),然后提交給認(rèn)證服務(wù)器;認(rèn)證服務(wù)器對身份信息與存儲在數(shù)據(jù)庫里的用戶信息進(jìn)行核對處理,然后根據(jù)處理結(jié)果確認(rèn)用戶身份是否正確。
授權(quán)是,網(wǎng)絡(luò)系統(tǒng)授權(quán)用戶以特定的權(quán)限使用其資源,這一過程指定了被認(rèn)證的用戶在接入網(wǎng)絡(luò)后能夠使用的業(yè)務(wù)和擁有的權(quán)限,如授予IP地址,準(zhǔn)許訪問時間等。
計費(fèi)是,網(wǎng)絡(luò)系統(tǒng)收集、記錄用戶對網(wǎng)絡(luò)資源的使用信息,以便向用戶收取資源使用費(fèi)。以互聯(lián)網(wǎng)業(yè)務(wù)提供商ISP為例,用戶的網(wǎng)絡(luò)接入使用情況可以按流量或者時間準(zhǔn)確地記錄下來。
認(rèn)證、授權(quán)和計費(fèi)一起實(shí)現(xiàn)了網(wǎng)絡(luò)系統(tǒng)對特定用戶的網(wǎng)絡(luò)資源使用情況的準(zhǔn)確記錄。這樣既在一定程度上有效地保障了合法用戶的權(quán)益,又能有效地保障網(wǎng)絡(luò)系統(tǒng)安全可靠地運(yùn)行。
CDMA網(wǎng)絡(luò)側(cè)的AAA認(rèn)證過程是對用戶的域名進(jìn)行鑒權(quán)認(rèn)證,網(wǎng)中數(shù)據(jù)網(wǎng)的用戶(VPDN成員)是以username@xxx.133vpdn.bj形式登錄的(用戶在聯(lián)通登記入網(wǎng)時,北京聯(lián)通分配其一個域名xxx.133vpdn.bj)。CDMA網(wǎng)絡(luò)側(cè)的AAA服務(wù)器對登錄用戶的域名和該用戶的IMSI進(jìn)行綁定審核驗(yàn)證。驗(yàn)證通過后,方可接入聯(lián)通CDMA網(wǎng)絡(luò)。
移動通信從電路交換,發(fā)展到CDMA 1X分組網(wǎng)絡(luò),再到第三代移動通信網(wǎng)絡(luò),用于認(rèn)證、授權(quán)和計費(fèi)的協(xié)議也在隨之演進(jìn),從基于7號信令的協(xié)議,到部分采用RADIUS,再發(fā)展到Diameter,這主要是由越來越豐富的業(yè)務(wù)決定的。Diameter協(xié)議由IETF的AAA工作組在2002年3月提出的認(rèn)證計費(fèi)協(xié)議草案。Diameter協(xié)議支持移動IP、NAS請求和移動代理的認(rèn)證、授權(quán)和計費(fèi)工作。協(xié)議的實(shí)現(xiàn)和RADIUS類似,也是采用Attribute-Length-Value三元組來實(shí)現(xiàn),但是其中詳細(xì)規(guī)定了錯誤處理等內(nèi)容。它在設(shè)計過程中,不僅保持了與廣為使用的RADIUS協(xié)議的兼容,更克服了RADIUS協(xié)議的許多不足,而且它不僅僅被互聯(lián)網(wǎng)采用,更被下一代移動通信網(wǎng)(3G)采用。在第三代移動網(wǎng)絡(luò)和業(yè)務(wù)開展初期,為了和已有的設(shè)備和傳統(tǒng)業(yè)務(wù)互通,需要采用Diameter與RADIUS之間的協(xié)議轉(zhuǎn)換器,但是最終還是統(tǒng)一使用AAA Diameter協(xié)議。
3)第三級安全保障:CDMA網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間的VPN鏈接
CDMA網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間可以采用專線鏈接,也可以使用Internet鏈接。使用Internet鏈接必須考慮安全性,因此,可以使用VPN將二者利用Internet鏈接起來。
VPN技術(shù)非常復(fù)雜,涉及到通信技術(shù)、密碼技術(shù)和現(xiàn)代認(rèn)證技術(shù)。主要包含兩種技術(shù):隧道技術(shù)與安全技術(shù)。
隧道技術(shù)的基本過程是在源局域網(wǎng)與公網(wǎng)接口處將數(shù)據(jù)封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中,在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝,被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳播時的所經(jīng)過的路徑被稱為“隧道”。常用的隧道協(xié)議有:1.點(diǎn)到點(diǎn)隧道協(xié)議—PPTP(現(xiàn)已基本淘汰); 2.第二層隧道協(xié)議—L2TP,該協(xié)議是國際標(biāo)準(zhǔn)隧道協(xié)議,具有PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)協(xié)議(L2F)的優(yōu)點(diǎn),可以使PPP包以隧道方式通過各種網(wǎng)絡(luò),包括ATM、SONET、幀中繼。但沒有任何加密措施;3.IPSec協(xié)議,該協(xié)議是一個范圍廣泛、開放的VPN安全協(xié)議,工作在網(wǎng)絡(luò)層。它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信。可以在兩種模式下運(yùn)行:一種是隧道模式,一種是傳輸模式。在隧道模式下IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀中;傳輸模式是為了保護(hù)端到端的安全性,不會隱藏路由信息。目前一種趨勢是將L2TP和IPSec結(jié)合起來:用L2TP作為隧道協(xié)議,用IPSec協(xié)議保護(hù)數(shù)據(jù)。市場上大部分VPN采用這類技術(shù)。 4.SOCKS v5協(xié)議,SOCKS v5工作在OSI模型中的第五層——會話層,可作為建立高度安全的VPN的基礎(chǔ)。SOCKS v5協(xié)議的優(yōu)勢在訪問控制,因此適用于安全性較高的VPN,SOCKS v5現(xiàn)在被IETF建議作為VPN的標(biāo)準(zhǔn)。
VPN是在不安全的Internet上傳輸?shù)模瑐鬏攦?nèi)容可能涉及到企業(yè)的機(jī)密數(shù)據(jù),因此安全性非常重要。VPN中的安全技術(shù)通常由加密、認(rèn)證及密鑰交換與管理組成。主要有認(rèn)證技術(shù),加密技術(shù),秘鑰管理與交換技術(shù)。
4)第四級安全保障:用戶網(wǎng)絡(luò)側(cè)的安全防火墻(FW)
防火墻技術(shù)是目前用來實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段,主要是用來拒絕非法用戶的訪問,阻止非法用戶存取敏感數(shù)據(jù),同時允許合法用戶順利訪問網(wǎng)絡(luò)資源。防火墻實(shí)際上是一種訪問控制技術(shù),在某個機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)和不安全網(wǎng)絡(luò)之間設(shè)置障礙,阻止對信息資源的非法訪問,也可以使用防火墻阻止保密信息從受保護(hù)網(wǎng)絡(luò)上的非法輸出。
實(shí)現(xiàn)防火墻的主要技術(shù)有:數(shù)據(jù)包過濾,應(yīng)用網(wǎng)關(guān)和代理服務(wù)等。包過濾(Packet Filter)技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實(shí)施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯,檢查數(shù)據(jù)流中每個數(shù)據(jù)包后,根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP/UDP源端口號、TCP/UDP目的端口號及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來確定是否允許數(shù)據(jù)包通過,其核心是安全策略即過濾算法的設(shè)計。應(yīng)用網(wǎng)關(guān)(Application Gateway)技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾,它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。應(yīng)用網(wǎng)關(guān)可以嚴(yán)格控制某些易于登錄和控制的所有的輸出輸入通信環(huán)境,以防有價值的程序和數(shù)據(jù)被竊取。它的另一個功能是對通過的信息進(jìn)行記錄,如什么樣的用戶在什么時間連接了什么站點(diǎn)。在實(shí)際工作中,應(yīng)用網(wǎng)關(guān)一般使用專用工作站系統(tǒng)。代理服務(wù)器(Proxy Server)作用在應(yīng)用層,用來提供應(yīng)用層服務(wù)的控制,起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請求,拒絕外部網(wǎng)絡(luò)其它節(jié)點(diǎn)的直接請求。
用戶網(wǎng)絡(luò)可以選用適合于本單位的防火墻產(chǎn)品來保證自己網(wǎng)絡(luò)數(shù)據(jù)的安全。
5)第五級安全保障:用戶網(wǎng)絡(luò)側(cè)的AAA鑒權(quán)認(rèn)證
用戶網(wǎng)絡(luò)側(cè)的AAA鑒權(quán)認(rèn)證可以實(shí)現(xiàn)對VPDN成員的身份認(rèn)證。與第二級的安全保障不同,本級的AAA服務(wù)器將鑒別VPDN成員的用戶名和密碼的正確性。
username@xxx.133vpdn.bj中的域名將是中國聯(lián)通公司提供給專網(wǎng)接入用戶的專有統(tǒng)一域名,用戶名(username)可以是VPDN中每個成員的手機(jī)號碼或者其它標(biāo)識。VPDN中成員的用戶名和密碼等資料將保存在用戶專網(wǎng)側(cè)的AAA服務(wù)器,具有很好的安全性和管理的靈活性。
石油行業(yè)的安全隱患主要來自于物體摩擦產(chǎn)生的火花、物體靜電釋放時產(chǎn)生的火花和明火。使用CDMA1X業(yè)務(wù)進(jìn)行數(shù)據(jù)傳輸時必須在PC機(jī)上加CDMA 1X無線數(shù)據(jù)傳輸設(shè)備使用,CDMA 1X無線數(shù)據(jù)傳輸設(shè)備在使用過程中實(shí)際上可以視為PC機(jī)的設(shè)備之一,類同于PC機(jī)必備的CPU、顯卡、顯示器等設(shè)備。所以,只要PC機(jī)電源正常接地,不存在由于CDMA 1X無線數(shù)據(jù)傳輸設(shè)備單獨(dú)積累靜電而釋放電火花導(dǎo)致安全事故的隱患。
CDMA技術(shù)采用800兆頻段(上行825兆赫,帶寬15M,下行870兆赫帶寬15M),具備綠色環(huán)保、輻射小等優(yōu)于GSM無線傳輸?shù)膬?yōu)勢。在射頻火花能量大于6瓦時,極短時間即可引燃可燃?xì)怏w,引發(fā)安全生產(chǎn)事故,而CDMA系統(tǒng)發(fā)射功率最高只有200毫瓦,普通通話功率可控制在零點(diǎn)幾毫瓦,其輻射作用可以忽略不計。目前CDMA信號已經(jīng)覆蓋全國,不存在由于無線信號導(dǎo)致安全隱患的可能。
另外油井、鉆井平臺、采油廠等地的各項(xiàng)設(shè)備按規(guī)范正常接地,選用防爆天線,就不會存在由于產(chǎn)生射頻電流火花而導(dǎo)致火災(zāi)爆炸的可能性。
CDMA 1X無線接入的安全性
CDMA1X采用脫胎于軍用技術(shù)的無線擴(kuò)頻技術(shù),用戶端到無線網(wǎng)絡(luò)接入設(shè)備間的無線空中通道目前不可能被破解;無線分組設(shè)備到用戶終端設(shè)備間,采用隧道穿過專線接入,可以有效保證整個系統(tǒng)的安全。要保護(hù)整體系統(tǒng)的安全,首先要保證網(wǎng)絡(luò)本身的安全。必須盡可能地屏蔽外部非法訪問及非法數(shù)據(jù),對從外部網(wǎng)絡(luò)連入的終端進(jìn)行嚴(yán)格的用戶認(rèn)證及控制。針對CDMA1X的各環(huán)節(jié),我們分別分析其安全性,并提供5級業(yè)務(wù)安全保障,從而充分保證網(wǎng)絡(luò)中數(shù)據(jù)的安全。
1)第一級安全保障:CDMA網(wǎng)絡(luò)本身的安全性
目前世界上使用的移動通信網(wǎng)絡(luò)主要有兩種:GSM和CDMA。與GSM相比,CDMA網(wǎng)絡(luò)系統(tǒng)在安全保密方面具有很大優(yōu)勢。CDMA本來就是起源軍事保密技術(shù),在戰(zhàn)爭期間廣泛應(yīng)用于軍事領(lǐng)域,具有抗干擾、安全通信、保密性好的特性。進(jìn)行移動手機(jī)信號的竊聽一般使用以下三種方法。首先,需要捕捉到通信信號。在空間中充滿了各種各樣的無線電波,用戶手機(jī)信號就混雜在其中。要想竊聽某一個用戶的通話,首先必須捕捉到這個用戶手機(jī)發(fā)出的特定的電磁波。由于CDMA系統(tǒng)采用擴(kuò)頻技術(shù),經(jīng)過擴(kuò)頻以后的有用信號的頻譜被大大地展寬了,用戶信號隱蔽在互不相關(guān)的信號中,要想捕捉到這一有用信號非常困難。因此,竊聽器捕捉不到,也無法識別出哪些是CDMA手機(jī)用戶的通信信號,哪些是噪音。其次,竊聽器必須鎖定手機(jī)用戶通信的信號,繼而才能分析和破解信息。而CDMA采用快速切換功率控制技術(shù),即便是竊聽設(shè)備捕捉到了用戶手機(jī)信號,也不能鎖定快速功率切換下的有用信號,因此,快速功率切換讓CDMA信號很難鎖定。第三,需要破解用戶信息編碼。而CDMA采用偽隨機(jī)碼技術(shù),用長達(dá)42位的偽隨機(jī)碼來標(biāo)識區(qū)分用戶,每次通話都有4.4萬億種可能的排列,竊聽器很難破譯出CDMA的編碼。所以CDMA技術(shù)本身就很安全。
2)第二級安全保障:CDMA網(wǎng)絡(luò)側(cè)的AAA認(rèn)證
AAA是指認(rèn)證(Authentication)、授權(quán)(Authorization)、計費(fèi)(Accounting)三個過程,其中:
認(rèn)證是,用戶在使用網(wǎng)絡(luò)系統(tǒng)中的資源時對用戶身份的確認(rèn)。這一過程,通過與用戶的交互獲得身份信息(像用戶名-口令、生物特征信息等),然后提交給認(rèn)證服務(wù)器;認(rèn)證服務(wù)器對身份信息與存儲在數(shù)據(jù)庫里的用戶信息進(jìn)行核對處理,然后根據(jù)處理結(jié)果確認(rèn)用戶身份是否正確。
授權(quán)是,網(wǎng)絡(luò)系統(tǒng)授權(quán)用戶以特定的權(quán)限使用其資源,這一過程指定了被認(rèn)證的用戶在接入網(wǎng)絡(luò)后能夠使用的業(yè)務(wù)和擁有的權(quán)限,如授予IP地址,準(zhǔn)許訪問時間等。
計費(fèi)是,網(wǎng)絡(luò)系統(tǒng)收集、記錄用戶對網(wǎng)絡(luò)資源的使用信息,以便向用戶收取資源使用費(fèi)。以互聯(lián)網(wǎng)業(yè)務(wù)提供商ISP為例,用戶的網(wǎng)絡(luò)接入使用情況可以按流量或者時間準(zhǔn)確地記錄下來。
認(rèn)證、授權(quán)和計費(fèi)一起實(shí)現(xiàn)了網(wǎng)絡(luò)系統(tǒng)對特定用戶的網(wǎng)絡(luò)資源使用情況的準(zhǔn)確記錄。這樣既在一定程度上有效地保障了合法用戶的權(quán)益,又能有效地保障網(wǎng)絡(luò)系統(tǒng)安全可靠地運(yùn)行。
CDMA網(wǎng)絡(luò)側(cè)的AAA認(rèn)證過程是對用戶的域名進(jìn)行鑒權(quán)認(rèn)證,網(wǎng)中數(shù)據(jù)網(wǎng)的用戶(VPDN成員)是以username@xxx.133vpdn.bj形式登錄的(用戶在聯(lián)通登記入網(wǎng)時,北京聯(lián)通分配其一個域名xxx.133vpdn.bj)。CDMA網(wǎng)絡(luò)側(cè)的AAA服務(wù)器對登錄用戶的域名和該用戶的IMSI進(jìn)行綁定審核驗(yàn)證。驗(yàn)證通過后,方可接入聯(lián)通CDMA網(wǎng)絡(luò)。
移動通信從電路交換,發(fā)展到CDMA 1X分組網(wǎng)絡(luò),再到第三代移動通信網(wǎng)絡(luò),用于認(rèn)證、授權(quán)和計費(fèi)的協(xié)議也在隨之演進(jìn),從基于7號信令的協(xié)議,到部分采用RADIUS,再發(fā)展到Diameter,這主要是由越來越豐富的業(yè)務(wù)決定的。Diameter協(xié)議由IETF的AAA工作組在2002年3月提出的認(rèn)證計費(fèi)協(xié)議草案。Diameter協(xié)議支持移動IP、NAS請求和移動代理的認(rèn)證、授權(quán)和計費(fèi)工作。協(xié)議的實(shí)現(xiàn)和RADIUS類似,也是采用Attribute-Length-Value三元組來實(shí)現(xiàn),但是其中詳細(xì)規(guī)定了錯誤處理等內(nèi)容。它在設(shè)計過程中,不僅保持了與廣為使用的RADIUS協(xié)議的兼容,更克服了RADIUS協(xié)議的許多不足,而且它不僅僅被互聯(lián)網(wǎng)采用,更被下一代移動通信網(wǎng)(3G)采用。在第三代移動網(wǎng)絡(luò)和業(yè)務(wù)開展初期,為了和已有的設(shè)備和傳統(tǒng)業(yè)務(wù)互通,需要采用Diameter與RADIUS之間的協(xié)議轉(zhuǎn)換器,但是最終還是統(tǒng)一使用AAA Diameter協(xié)議。
3)第三級安全保障:CDMA網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間的VPN鏈接
CDMA網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間可以采用專線鏈接,也可以使用Internet鏈接。使用Internet鏈接必須考慮安全性,因此,可以使用VPN將二者利用Internet鏈接起來。
VPN技術(shù)非常復(fù)雜,涉及到通信技術(shù)、密碼技術(shù)和現(xiàn)代認(rèn)證技術(shù)。主要包含兩種技術(shù):隧道技術(shù)與安全技術(shù)。
隧道技術(shù)的基本過程是在源局域網(wǎng)與公網(wǎng)接口處將數(shù)據(jù)封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中,在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝,被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳播時的所經(jīng)過的路徑被稱為“隧道”。常用的隧道協(xié)議有:1.點(diǎn)到點(diǎn)隧道協(xié)議—PPTP(現(xiàn)已基本淘汰); 2.第二層隧道協(xié)議—L2TP,該協(xié)議是國際標(biāo)準(zhǔn)隧道協(xié)議,具有PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)協(xié)議(L2F)的優(yōu)點(diǎn),可以使PPP包以隧道方式通過各種網(wǎng)絡(luò),包括ATM、SONET、幀中繼。但沒有任何加密措施;3.IPSec協(xié)議,該協(xié)議是一個范圍廣泛、開放的VPN安全協(xié)議,工作在網(wǎng)絡(luò)層。它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信。可以在兩種模式下運(yùn)行:一種是隧道模式,一種是傳輸模式。在隧道模式下IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀中;傳輸模式是為了保護(hù)端到端的安全性,不會隱藏路由信息。目前一種趨勢是將L2TP和IPSec結(jié)合起來:用L2TP作為隧道協(xié)議,用IPSec協(xié)議保護(hù)數(shù)據(jù)。市場上大部分VPN采用這類技術(shù)。 4.SOCKS v5協(xié)議,SOCKS v5工作在OSI模型中的第五層——會話層,可作為建立高度安全的VPN的基礎(chǔ)。SOCKS v5協(xié)議的優(yōu)勢在訪問控制,因此適用于安全性較高的VPN,SOCKS v5現(xiàn)在被IETF建議作為VPN的標(biāo)準(zhǔn)。
VPN是在不安全的Internet上傳輸?shù)模瑐鬏攦?nèi)容可能涉及到企業(yè)的機(jī)密數(shù)據(jù),因此安全性非常重要。VPN中的安全技術(shù)通常由加密、認(rèn)證及密鑰交換與管理組成。主要有認(rèn)證技術(shù),加密技術(shù),秘鑰管理與交換技術(shù)。
4)第四級安全保障:用戶網(wǎng)絡(luò)側(cè)的安全防火墻(FW)
防火墻技術(shù)是目前用來實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段,主要是用來拒絕非法用戶的訪問,阻止非法用戶存取敏感數(shù)據(jù),同時允許合法用戶順利訪問網(wǎng)絡(luò)資源。防火墻實(shí)際上是一種訪問控制技術(shù),在某個機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)和不安全網(wǎng)絡(luò)之間設(shè)置障礙,阻止對信息資源的非法訪問,也可以使用防火墻阻止保密信息從受保護(hù)網(wǎng)絡(luò)上的非法輸出。
實(shí)現(xiàn)防火墻的主要技術(shù)有:數(shù)據(jù)包過濾,應(yīng)用網(wǎng)關(guān)和代理服務(wù)等。包過濾(Packet Filter)技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實(shí)施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯,檢查數(shù)據(jù)流中每個數(shù)據(jù)包后,根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP/UDP源端口號、TCP/UDP目的端口號及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來確定是否允許數(shù)據(jù)包通過,其核心是安全策略即過濾算法的設(shè)計。應(yīng)用網(wǎng)關(guān)(Application Gateway)技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾,它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。應(yīng)用網(wǎng)關(guān)可以嚴(yán)格控制某些易于登錄和控制的所有的輸出輸入通信環(huán)境,以防有價值的程序和數(shù)據(jù)被竊取。它的另一個功能是對通過的信息進(jìn)行記錄,如什么樣的用戶在什么時間連接了什么站點(diǎn)。在實(shí)際工作中,應(yīng)用網(wǎng)關(guān)一般使用專用工作站系統(tǒng)。代理服務(wù)器(Proxy Server)作用在應(yīng)用層,用來提供應(yīng)用層服務(wù)的控制,起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請求,拒絕外部網(wǎng)絡(luò)其它節(jié)點(diǎn)的直接請求。
用戶網(wǎng)絡(luò)可以選用適合于本單位的防火墻產(chǎn)品來保證自己網(wǎng)絡(luò)數(shù)據(jù)的安全。
5)第五級安全保障:用戶網(wǎng)絡(luò)側(cè)的AAA鑒權(quán)認(rèn)證
用戶網(wǎng)絡(luò)側(cè)的AAA鑒權(quán)認(rèn)證可以實(shí)現(xiàn)對VPDN成員的身份認(rèn)證。與第二級的安全保障不同,本級的AAA服務(wù)器將鑒別VPDN成員的用戶名和密碼的正確性。
username@xxx.133vpdn.bj中的域名將是中國聯(lián)通公司提供給專網(wǎng)接入用戶的專有統(tǒng)一域名,用戶名(username)可以是VPDN中每個成員的手機(jī)號碼或者其它標(biāo)識。VPDN中成員的用戶名和密碼等資料將保存在用戶專網(wǎng)側(cè)的AAA服務(wù)器,具有很好的安全性和管理的靈活性。
北京市公安局海淀分局備案號:11010802023656號