-
-
手机阅读
环境监测部门作为国家环境保护系统的技术部门,是环境管理工作的重要基础。随着市民环境意识的增强,越来越多的人开始关心所处环境质量的好坏,要求环境保护工作透明化;上级主管部门也需要数量大、种类多、更新快的信息。所有这一切,给环境监测部门提出了一个应引起重视的问题:如何建立起实用性强、覆盖面广、灵活性好的环保数据采集系统,满足各方面对环境监测信息的需求。
在环保系统中,常常需要对众多的污染排放点进行实时监测,大部分监测数据需要实时发送到管理中心的后端服务器进行处理。由于监测点分散,分布范围广,而且大多设置在环境较恶劣的地区,通过电话线传送数据往往事倍功半。通过CDMA 无线网络进行数据传输,成为环保部门选择的通信手段之一。污染源监测设备可将采集到的污染数据和告警信息通过CDMA 网络及时发送到环保监测部门,实现对排污单位或个人的及时管理,可以大大提高环保部门的工作效率。
一、项目需求
该市现已有10 个环境监测站,每个环境监测站外挂多种采集设备,监测主要对象是工业三废的排放及治理情况及大气环境、水环境、噪声环境等,在海岸线各排污口设有浮标采集点。
目前,市环保监测站与各采集点之间的数据通信主要采用现场采集或PSTN 电话线传输。采用电话线传输数据时,每次采集都需要等待建立拨号连接,速度慢,受外界环境影响大,而且费用也较高。同时,由于各监控点分布范围广、数量多、距离远,个别点还地处偏僻,因此需申请很多电话线,而且有些监控点有线线路难以到达。
CDMA 具有速度快、使用费用低的特点,其传输速度可达153kb/s。与有线通讯方式相比,采用CDMA 无线通信方式则显得非常灵活,它具有组网灵活、扩展容易、运行费用低投,维护简单、性价比高等优点因此,目前正考虑采用CDMA 无线传输方式解决污染源监测数据的实时传输问题。
二、方案优点
中国联通CDMA 系统可提供互联网无线IP 连接,同时可提供CDMA 网中数据网业务(基于l2tp 的VPDN 专网联接方案)。在中国联通的CDMA 业务平台上构建环保信息采集传输系统,实现环保信息采集点的无线数据传输具有可充分利用现有网络,缩短建设周期,降低建设成本的优点,而且设备安装方便、维护简单。
CDMA 无线环保污染源在线监控系统具备如下特点:
1、实时性强:
与PSTN,短消息服务比较,由于CDMA 具有实时在线特性,系统无时延,无需轮巡就可以同步接收、处理多个/所有监测点的各种数据。可很好的满足系统对数据采集和传输实时性的要求。
2、可对各监测点仪器设备进行远程控制:
通过CDMA 双向系统还可实现对仪器设备进行反向控制,如:时间校正、状态报告、开关等控制功能,并可进行系统远程在线升级。
3、建设成本少低:
由于采用CDMA 公网平台,无需建设无线网络,只需安装好设备就可以,建设成本低;
4、监控范围广:
构建环保信息采集传输系统要求数据通信覆盖范围广,扩容无限制,接入地点无限制,能满足海洋、山区、乡镇和跨地区的接入需求。由于环保信息采集点数量众多,分布在全市范围内,部分环保信息采集点位于偏僻地区,而且地理位置分散。
5、具有良好的可扩展性:
由于目前CDMA 网络已覆盖室内绝大部分地区及距海岸线120Km 内的海域,对环保采集点基本不存在盲区,可实现大范围的在线监控,满足环保信息采集传输系统对覆盖范围的要求。
6、系统的传输容量大:
环保中心站要和每一个环保信息采集点实现实时连接。由于环保信息采集点数量众多,系统要求能满足突发性数据传输的需要,而CDMA 技术能很好地满足传输突发性数据的需要。
7、数据传送速率高:
每个环保信息采集点每次数据传输对带宽要求在10Kb/s 之内。目前CDMA 实际数据传输速率在80-120Kbps 左右,完全能满足本系统数据传输速率(≥10Kbps)的需求。
8、通信费用低:
采用流量计费或包月计费方式,运营成本低。
三、解决方案介绍
由于CDMA 通信是基于IP 地址的数据分组通信网络,监测中心计算机主机配置固定的IP 地址,各个数据采集点采用CDMA 数据传输设备和该主机进行通信。拓扑图如下:
(一)系统组成
1、环保信息采集点:
现场监控点通过数据采集模块自动采集污染源信息,通过RS232 接口与CDMA 透明数据传输终端相连,通过CDMA 透明数据传输终端内置嵌入式处理器对数据进行处理、协议封装后发送到CDMA 网络。
2、监控中心:
服务器申请配置固定IP 地址,可采用联通公司提供的DDN 专线,与CDMA 网络相连。由于DDN 专线可提供较高的带宽,当环保信息采集点数量增加,中心不用扩容即可满足需求。
监控中心RADIUS 服务器接受到CDMA 网络传来的数据后先进行AAA 认证,后传送到监控中心计算机主机,通过系统软件对数据进行还原显示,并进行数据处理。
3、CDMA 移动数据传输网络:
现场监控点采集的数据经CDMA网络空中接口功能模块同时对数据进行解码处理,转换成在公网数据传送的格式,通过中国移动的CDMA 无线数据网络进行传输,最终传送到监控中心有固定IP 地址的服务器上。
(二)系统方案
各监控点使用CDMA 透明数据传输终端,通过移动CDMA 网络与监控中心相连。各污染源数据采集点使用CDMA 数据传输设备,同时监控中心对各点进行登记,保存相关资料以便识别和维护处理。各信息采集点运行监控系统软件,支持24 小时实时在线,实现信息采集点24 小时传送采集的环保信息数据。
(三)产品特性
系统采用北京泰亚东方通信设备有限公司的TCD800 CDMA 无线数据传输终端。产品基于中国联通的CDMA 网络,具有高性能、高可靠及抗干扰能力强等特点,提供标准RS232 接口可直接与计算机、数据采集设备等连接,传输速率达153Kbps,具有远程诊断、测试、监管功能,满足各行业调度或控制中心与众多远端站之间的数据采集和控制。串口设备CDMA 无线数据传输终端TCD800 是一个可以让工业用的RS232/RS485串口设备的串口通信立即转换为CDMA 无线网络通信的双向转换传输设备。转换器采用透明传输的方式,用户不用知道复杂的CDMA 通讯原理和TCP/IP、UDP 协议,不用更改程序即可实现原有串口设备的无线网络连接,节省您宝贵的时间和已有投资,可用于长距离通信或控制。广泛用于楼宇自动化控制、停车场设备、交通控制、LED 屏幕控制、工厂、车间、矿井、油田、银行、环保、电气等遥控领域。能快速实现串口设备的遥控功能。TCD800 支持RS232/RS485 串口接口,直接连接串口设备使得串口设备立即具备遥控功能,设备参数如下:
★ RS232 串口速率高达115200 bps
★串口经济型:三线标准:RXD,TXD,GND
★支持UDP/TCP 网络协议
★CDMA 数据通信
★变底层的串口协议为广泛使用的TCP/IP 协议
★掉线自动重新拨号功能
★通过超级终端类似于AT 指令方式或设置程序灵活设置通信参数
★支持设备之间透明传输/非透明传输
★支持静态IP、域名、SMS 找IP 等多种主机发现方式
★供电:+5V
★耗电:待发射状态约120mA;发射状态约300mA;范围200mA ~480mA
★工作温度: -20℃ ~ +70℃
(四)安全措施
由于环保数据采集系统的特殊性,本系统需要极高的系统安全保障和稳定性。安全保障主要是防止来自系统内外的有意和无意的破环,网络安全防护措施包括信道加密、信源加密、登录防护、访问防护、接入防护、防火墙等。稳定是指系统能够7×24 小时不间断运行,即使出现硬件和软件故障,系统也不能中断运行。
数据中心可通过到中国联通CDMA 网中数据网(VPDN)接入,采用VPDN 方式成本比较低,安全性比较高,可充分保障速度和网络服务质量。
网中数据网(VPDN)业务提供方案如下图所示。
按照上述网中数据网的示意图,联通网中数据网可以提供5 级业务安全保障,从而环保数据采集CDMA 无线应用方案
第一级安全保证:CDMA 网络本身的安全性
目前世界上使用的移动通信网络主要有两种:GSM 和CDMA。与GSM 相比,CDMA网络系统在安全保密方面具有很大优势。CDMA 本来就是起源军事保密技术,在战争期间广泛应用于军事领域,具有抗干扰、安全通信、保密性好的特性。进行移动手机信号的窃听一般使用以下三种方法。首先,需要捕捉到通信信号。在空间中充满了各种各样的无线电波,用户手机信号就混杂在其中。要想窃听某一个用户的通话,首先必须捕捉到这个用户手机发出的特定的电磁波。由于CDMA 系统采用扩频技术,经过扩频以后的有用信号的频谱被大大地展宽了,用户信号隐蔽在互不相关的信号中,要想捕捉到这一有用信号非常困难。因此,窃听器捕捉不到,也无法识别出哪些是CDMA 手机用户的通信信号,哪些是噪音。其次,窃听器必须锁定手机用户通信的信号,继而才能分析和破解信息。而CDMA 采用快速切换功率控制技术,即便是窃听设备捕捉到了用户手机信号,也不能锁定快速功率切换下的有用信号,因此,快速功率切换让CDMA 信号很难锁定。第三,需要破解用户信息编码。而CDMA 采用伪随机码技术,用长达42 位的伪随机码来标识区分用户,每次通话都有4.4 万亿种可能的排列,窃听器很难破译出CDMA 的编码。所以CDMA 技术本身就很安全。
第二级安全保证:CDMA 网络侧的AAA 认证
AAA 是指认证(Authentication)、授权(Authorization)、计费(Accounting)三个过程,其中:
认证是,用户在使用网络系统中的资源时对用户身份的确认。这一过程,通过与用户的交互获得身份信息(像用户名-口令、生物特征信息等),然后提交给认证服务器;认证服务器对身份信息与存储在数据库里的用户信息进行核对处理,然后根据处理结果确认用户身份是否正确。
授权是,网络系统授权用户以特定的权限使用其资源,这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限,如授予IP 地址,准许访问时间等。
计费是,网络系统收集、记录用户对网络资源的使用信息,以便向用户收取资源使用费。以互联网业务提供商ISP 为例,用户的网络接入使用情况可以按流量或者时间准确地记录下来。
认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益,又能有效地保障网络系统安全可靠地运行。
CDMA 网络侧的AAA 认证过程是对用户的域名进行鉴权认证,网中数据网的用户(VPDN 成员)是以username@xxx.133vpdn.qd 形式登录的(用户在联通登记入网时,联通分配其一个域名xxx.133vpdn.qd)。CDMA 网络侧的AAA 服务器对登录用户的域名
和该用户的IMSI 进行绑定审核验证。验证通过后,方可接入联通CDMA 网络。
移动通信从电路交换,发展到CDMA 1X 分组网络,再到第三代移动通信网络,用于认证、授权和计费的协议也在随之演进,从基于7 号信令的协议,到部分采用RADIUS,再发展到Diameter,这主要是由越来越丰富的业务决定的。Diameter 协议由IETF 的AAA工作组在2002 年3 月提出的认证计费协议草案。Diameter 协议支持移动IP、NAS 请求和移动代理的认证、授权和计费工作。协议的实现和RADIUS 类似,也是采用Attribute-Length-Value 三元组来实现,但是其中详细规定了错误处理等内容。它在设计过程中,不仅保持了与广为使用的RADIUS 协议的兼容,更克服了RADIUS 协议的多不足,而且它不仅仅被互联网采用,更被下一代移动通信网(3G)采用。在第三代移动网络和业务开展初期,为了和已有的设备和传统业务互通,需要采用Diameter 与RADIUS 之间的协议转换器,但是最终还是统一使用AAA Diameter 协议。
第三级安全保证:CDMA 网络和用户网络之间的VPN 链接
CDMA 网络和用户网络之间可以采用专线链接,也可以使用Internet 链接。使用Internet 链接必须考虑安全性,因此,可以使用VPN 将二者利用Internet 链接起来。
VPN 技术非常复杂,涉及到通信技术、密码技术和现代认证技术。主要包含两种技术:隧道技术与安全技术。
隧道技术的基本过程是在源局域网与公网接口处将数据封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,被封装的数据包在互联网上传播时的所经过的路径被称为“隧道”。常用的隧道协议有:1.点到点隧道协议—PPTP(现已基本淘汰); 2.第二层隧道协议—L2TP,该协议是国际标准隧道协议,具有PPTP 协议以及第二层转发协议(L2F)的优点,可以使PPP 包以隧道方式通过各种网络,包括ATM、SONET、帧中继。但没有任何加密措施;3.IPSec 协议,该协议是一个范围广泛、开放的VPN 安全协议,工作在网络层。它提供所有在网络层上的数据保护和透明的安全通信。可以在两种模式下运行:一种是隧道模式,一种是传输模式。在隧道模式下IPSec 把IPv4 数据包封装在安全的IP 帧中;传输模式是为了保护端到端的安全性,不会隐藏路由信息。目前一种趋势是将L2TP 和IPSec 结合起来:用L2TP作为隧道协议,用IPSec 协议保护数据。市场上大部分VPN 采用这类技术。4.SOCKS v5 协议,SOCKS v5 工作在OSI 模型中的第五层——会话层,可作为建立高度安全的VPN 的基础。SOCKS v5 协议的优势在访问控制,因此适用于安全性较高的VPN,SOCKSv5 现在被IETF 建议作为VPN 的标准。
VPN 是在不安全的Internet 上传输的,传输内容可能涉及到企业的机密数据,因此安全性非常重要。VPN 中的安全技术通常由加密、认证及密钥交换与管理组成。主要有认证技术,加密技术,秘钥管理与交换技术。
3.4 第四级安全保证:用户网络侧的安全防火墙(FW)
防火墙技术是目前用来实现网络安全措施的一种主要手段,主要是用来拒绝非法用户的访问,阻止非法用户存取敏感数据,同时允许合法用户顺利访问网络资源。防火墙实际上是一种访问控制技术,在某个机构的内部网络和不安全网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上的非法输出。
实现防火墙的主要技术有:数据包过滤,应用网关和代理服务等。包过滤(Packet Filter)技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、TCP/UDP 源端口号,TCP/UDP 目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过,其核心是安全策略即过滤算法的设计。应用网关(Application Gateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关可以严格控制某些易于登录和控制的所有的输出输入通信环境,以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中,应用网关一般使用专用工作站系统。代理服务器(Proxy Server)作用在应用层,用来提供应用层服务
的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。
用户网络可以选用适合于本单位的防火墙产品来保证自己网络数据的安全。
3.5 第五级安全保证:用户网络侧的AAA 鉴权认证
用户网络侧的AAA 鉴权认证可以实现对VPDN 成员的身份认证。与第二级的安全保证不同,本级的AAA 服务器将鉴别VPDN 成员的用户名和密码的正确性。
username@xxx.133vpdn.qd 中的域名将是中国联通公司提供给专网接入用户的专有统一域名,用户名(username)可以是VPDN 中每个成员的手机号码或者其它标识。VPDN 中成员的用户名和密码等资料将保存在用户专网侧的AAA 服务器,具有很好的安全性和管理的灵活性。
四、结论
采用CDMA 无线方式,系统流量费用目前有包月制和按数据量两种收费方式,按流量计算0.003 元/K,每月几元钱的费用即可满足省环保局目前环保数据采集系统的实际数据量,估计日后其费用会逐步降低。对于环保局等用户来说,由于通信费用较低,享受到了实惠。另外,由于接入设备可以移动,当环保观测站和环保信息采集点搬迁时
设备可随之迁移并可继续使用,可以保护用户原有投资,适合于环保采集工作的特点。
采用CDMA 构建环保数据采集系统,不仅能很好地满足环保信息采集的需求,而且,做为网络运营商的联通公司也将因此获得业务稳定的集团用户,随着用户数量的增加,联通公司的营收也随之增加,调动了运营商的积极性,符合网络建设和网络应用同
步发展的要求。
北京泰亚东方通信设备有限公司
地址:北京市海淀区学清路8 号科技财富中心B 座
邮编:100085
电话:8610-82731188
传真:8610-82736688
网址:www.taiya.com.cn
1楼
0
0
回复
在环保系统中,常常需要对众多的污染排放点进行实时监测,大部分监测数据需要实时发送到管理中心的后端服务器进行处理。由于监测点分散,分布范围广,而且大多设置在环境较恶劣的地区,通过电话线传送数据往往事倍功半。通过CDMA 无线网络进行数据传输,成为环保部门选择的通信手段之一。污染源监测设备可将采集到的污染数据和告警信息通过CDMA 网络及时发送到环保监测部门,实现对排污单位或个人的及时管理,可以大大提高环保部门的工作效率。
一、项目需求
该市现已有10 个环境监测站,每个环境监测站外挂多种采集设备,监测主要对象是工业三废的排放及治理情况及大气环境、水环境、噪声环境等,在海岸线各排污口设有浮标采集点。
目前,市环保监测站与各采集点之间的数据通信主要采用现场采集或PSTN 电话线传输。采用电话线传输数据时,每次采集都需要等待建立拨号连接,速度慢,受外界环境影响大,而且费用也较高。同时,由于各监控点分布范围广、数量多、距离远,个别点还地处偏僻,因此需申请很多电话线,而且有些监控点有线线路难以到达。
CDMA 具有速度快、使用费用低的特点,其传输速度可达153kb/s。与有线通讯方式相比,采用CDMA 无线通信方式则显得非常灵活,它具有组网灵活、扩展容易、运行费用低投,维护简单、性价比高等优点因此,目前正考虑采用CDMA 无线传输方式解决污染源监测数据的实时传输问题。
二、方案优点
中国联通CDMA 系统可提供互联网无线IP 连接,同时可提供CDMA 网中数据网业务(基于l2tp 的VPDN 专网联接方案)。在中国联通的CDMA 业务平台上构建环保信息采集传输系统,实现环保信息采集点的无线数据传输具有可充分利用现有网络,缩短建设周期,降低建设成本的优点,而且设备安装方便、维护简单。
CDMA 无线环保污染源在线监控系统具备如下特点:
1、实时性强:
与PSTN,短消息服务比较,由于CDMA 具有实时在线特性,系统无时延,无需轮巡就可以同步接收、处理多个/所有监测点的各种数据。可很好的满足系统对数据采集和传输实时性的要求。
2、可对各监测点仪器设备进行远程控制:
通过CDMA 双向系统还可实现对仪器设备进行反向控制,如:时间校正、状态报告、开关等控制功能,并可进行系统远程在线升级。
3、建设成本少低:
由于采用CDMA 公网平台,无需建设无线网络,只需安装好设备就可以,建设成本低;
4、监控范围广:
构建环保信息采集传输系统要求数据通信覆盖范围广,扩容无限制,接入地点无限制,能满足海洋、山区、乡镇和跨地区的接入需求。由于环保信息采集点数量众多,分布在全市范围内,部分环保信息采集点位于偏僻地区,而且地理位置分散。
5、具有良好的可扩展性:
由于目前CDMA 网络已覆盖室内绝大部分地区及距海岸线120Km 内的海域,对环保采集点基本不存在盲区,可实现大范围的在线监控,满足环保信息采集传输系统对覆盖范围的要求。
6、系统的传输容量大:
环保中心站要和每一个环保信息采集点实现实时连接。由于环保信息采集点数量众多,系统要求能满足突发性数据传输的需要,而CDMA 技术能很好地满足传输突发性数据的需要。
7、数据传送速率高:
每个环保信息采集点每次数据传输对带宽要求在10Kb/s 之内。目前CDMA 实际数据传输速率在80-120Kbps 左右,完全能满足本系统数据传输速率(≥10Kbps)的需求。
8、通信费用低:
采用流量计费或包月计费方式,运营成本低。
三、解决方案介绍
由于CDMA 通信是基于IP 地址的数据分组通信网络,监测中心计算机主机配置固定的IP 地址,各个数据采集点采用CDMA 数据传输设备和该主机进行通信。拓扑图如下:
(一)系统组成
1、环保信息采集点:
现场监控点通过数据采集模块自动采集污染源信息,通过RS232 接口与CDMA 透明数据传输终端相连,通过CDMA 透明数据传输终端内置嵌入式处理器对数据进行处理、协议封装后发送到CDMA 网络。
2、监控中心:
服务器申请配置固定IP 地址,可采用联通公司提供的DDN 专线,与CDMA 网络相连。由于DDN 专线可提供较高的带宽,当环保信息采集点数量增加,中心不用扩容即可满足需求。
监控中心RADIUS 服务器接受到CDMA 网络传来的数据后先进行AAA 认证,后传送到监控中心计算机主机,通过系统软件对数据进行还原显示,并进行数据处理。
3、CDMA 移动数据传输网络:
现场监控点采集的数据经CDMA网络空中接口功能模块同时对数据进行解码处理,转换成在公网数据传送的格式,通过中国移动的CDMA 无线数据网络进行传输,最终传送到监控中心有固定IP 地址的服务器上。
(二)系统方案
各监控点使用CDMA 透明数据传输终端,通过移动CDMA 网络与监控中心相连。各污染源数据采集点使用CDMA 数据传输设备,同时监控中心对各点进行登记,保存相关资料以便识别和维护处理。各信息采集点运行监控系统软件,支持24 小时实时在线,实现信息采集点24 小时传送采集的环保信息数据。
(三)产品特性
系统采用北京泰亚东方通信设备有限公司的TCD800 CDMA 无线数据传输终端。产品基于中国联通的CDMA 网络,具有高性能、高可靠及抗干扰能力强等特点,提供标准RS232 接口可直接与计算机、数据采集设备等连接,传输速率达153Kbps,具有远程诊断、测试、监管功能,满足各行业调度或控制中心与众多远端站之间的数据采集和控制。串口设备CDMA 无线数据传输终端TCD800 是一个可以让工业用的RS232/RS485串口设备的串口通信立即转换为CDMA 无线网络通信的双向转换传输设备。转换器采用透明传输的方式,用户不用知道复杂的CDMA 通讯原理和TCP/IP、UDP 协议,不用更改程序即可实现原有串口设备的无线网络连接,节省您宝贵的时间和已有投资,可用于长距离通信或控制。广泛用于楼宇自动化控制、停车场设备、交通控制、LED 屏幕控制、工厂、车间、矿井、油田、银行、环保、电气等遥控领域。能快速实现串口设备的遥控功能。TCD800 支持RS232/RS485 串口接口,直接连接串口设备使得串口设备立即具备遥控功能,设备参数如下:
★ RS232 串口速率高达115200 bps
★串口经济型:三线标准:RXD,TXD,GND
★支持UDP/TCP 网络协议
★CDMA 数据通信
★变底层的串口协议为广泛使用的TCP/IP 协议
★掉线自动重新拨号功能
★通过超级终端类似于AT 指令方式或设置程序灵活设置通信参数
★支持设备之间透明传输/非透明传输
★支持静态IP、域名、SMS 找IP 等多种主机发现方式
★供电:+5V
★耗电:待发射状态约120mA;发射状态约300mA;范围200mA ~480mA
★工作温度: -20℃ ~ +70℃
(四)安全措施
由于环保数据采集系统的特殊性,本系统需要极高的系统安全保障和稳定性。安全保障主要是防止来自系统内外的有意和无意的破环,网络安全防护措施包括信道加密、信源加密、登录防护、访问防护、接入防护、防火墙等。稳定是指系统能够7×24 小时不间断运行,即使出现硬件和软件故障,系统也不能中断运行。
数据中心可通过到中国联通CDMA 网中数据网(VPDN)接入,采用VPDN 方式成本比较低,安全性比较高,可充分保障速度和网络服务质量。
网中数据网(VPDN)业务提供方案如下图所示。
按照上述网中数据网的示意图,联通网中数据网可以提供5 级业务安全保障,从而环保数据采集CDMA 无线应用方案
第一级安全保证:CDMA 网络本身的安全性
目前世界上使用的移动通信网络主要有两种:GSM 和CDMA。与GSM 相比,CDMA网络系统在安全保密方面具有很大优势。CDMA 本来就是起源军事保密技术,在战争期间广泛应用于军事领域,具有抗干扰、安全通信、保密性好的特性。进行移动手机信号的窃听一般使用以下三种方法。首先,需要捕捉到通信信号。在空间中充满了各种各样的无线电波,用户手机信号就混杂在其中。要想窃听某一个用户的通话,首先必须捕捉到这个用户手机发出的特定的电磁波。由于CDMA 系统采用扩频技术,经过扩频以后的有用信号的频谱被大大地展宽了,用户信号隐蔽在互不相关的信号中,要想捕捉到这一有用信号非常困难。因此,窃听器捕捉不到,也无法识别出哪些是CDMA 手机用户的通信信号,哪些是噪音。其次,窃听器必须锁定手机用户通信的信号,继而才能分析和破解信息。而CDMA 采用快速切换功率控制技术,即便是窃听设备捕捉到了用户手机信号,也不能锁定快速功率切换下的有用信号,因此,快速功率切换让CDMA 信号很难锁定。第三,需要破解用户信息编码。而CDMA 采用伪随机码技术,用长达42 位的伪随机码来标识区分用户,每次通话都有4.4 万亿种可能的排列,窃听器很难破译出CDMA 的编码。所以CDMA 技术本身就很安全。
第二级安全保证:CDMA 网络侧的AAA 认证
AAA 是指认证(Authentication)、授权(Authorization)、计费(Accounting)三个过程,其中:
认证是,用户在使用网络系统中的资源时对用户身份的确认。这一过程,通过与用户的交互获得身份信息(像用户名-口令、生物特征信息等),然后提交给认证服务器;认证服务器对身份信息与存储在数据库里的用户信息进行核对处理,然后根据处理结果确认用户身份是否正确。
授权是,网络系统授权用户以特定的权限使用其资源,这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限,如授予IP 地址,准许访问时间等。
计费是,网络系统收集、记录用户对网络资源的使用信息,以便向用户收取资源使用费。以互联网业务提供商ISP 为例,用户的网络接入使用情况可以按流量或者时间准确地记录下来。
认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益,又能有效地保障网络系统安全可靠地运行。
CDMA 网络侧的AAA 认证过程是对用户的域名进行鉴权认证,网中数据网的用户(VPDN 成员)是以username@xxx.133vpdn.qd 形式登录的(用户在联通登记入网时,联通分配其一个域名xxx.133vpdn.qd)。CDMA 网络侧的AAA 服务器对登录用户的域名
和该用户的IMSI 进行绑定审核验证。验证通过后,方可接入联通CDMA 网络。
移动通信从电路交换,发展到CDMA 1X 分组网络,再到第三代移动通信网络,用于认证、授权和计费的协议也在随之演进,从基于7 号信令的协议,到部分采用RADIUS,再发展到Diameter,这主要是由越来越丰富的业务决定的。Diameter 协议由IETF 的AAA工作组在2002 年3 月提出的认证计费协议草案。Diameter 协议支持移动IP、NAS 请求和移动代理的认证、授权和计费工作。协议的实现和RADIUS 类似,也是采用Attribute-Length-Value 三元组来实现,但是其中详细规定了错误处理等内容。它在设计过程中,不仅保持了与广为使用的RADIUS 协议的兼容,更克服了RADIUS 协议的多不足,而且它不仅仅被互联网采用,更被下一代移动通信网(3G)采用。在第三代移动网络和业务开展初期,为了和已有的设备和传统业务互通,需要采用Diameter 与RADIUS 之间的协议转换器,但是最终还是统一使用AAA Diameter 协议。
第三级安全保证:CDMA 网络和用户网络之间的VPN 链接
CDMA 网络和用户网络之间可以采用专线链接,也可以使用Internet 链接。使用Internet 链接必须考虑安全性,因此,可以使用VPN 将二者利用Internet 链接起来。
VPN 技术非常复杂,涉及到通信技术、密码技术和现代认证技术。主要包含两种技术:隧道技术与安全技术。
隧道技术的基本过程是在源局域网与公网接口处将数据封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,被封装的数据包在互联网上传播时的所经过的路径被称为“隧道”。常用的隧道协议有:1.点到点隧道协议—PPTP(现已基本淘汰); 2.第二层隧道协议—L2TP,该协议是国际标准隧道协议,具有PPTP 协议以及第二层转发协议(L2F)的优点,可以使PPP 包以隧道方式通过各种网络,包括ATM、SONET、帧中继。但没有任何加密措施;3.IPSec 协议,该协议是一个范围广泛、开放的VPN 安全协议,工作在网络层。它提供所有在网络层上的数据保护和透明的安全通信。可以在两种模式下运行:一种是隧道模式,一种是传输模式。在隧道模式下IPSec 把IPv4 数据包封装在安全的IP 帧中;传输模式是为了保护端到端的安全性,不会隐藏路由信息。目前一种趋势是将L2TP 和IPSec 结合起来:用L2TP作为隧道协议,用IPSec 协议保护数据。市场上大部分VPN 采用这类技术。4.SOCKS v5 协议,SOCKS v5 工作在OSI 模型中的第五层——会话层,可作为建立高度安全的VPN 的基础。SOCKS v5 协议的优势在访问控制,因此适用于安全性较高的VPN,SOCKSv5 现在被IETF 建议作为VPN 的标准。
VPN 是在不安全的Internet 上传输的,传输内容可能涉及到企业的机密数据,因此安全性非常重要。VPN 中的安全技术通常由加密、认证及密钥交换与管理组成。主要有认证技术,加密技术,秘钥管理与交换技术。
3.4 第四级安全保证:用户网络侧的安全防火墙(FW)
防火墙技术是目前用来实现网络安全措施的一种主要手段,主要是用来拒绝非法用户的访问,阻止非法用户存取敏感数据,同时允许合法用户顺利访问网络资源。防火墙实际上是一种访问控制技术,在某个机构的内部网络和不安全网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上的非法输出。
实现防火墙的主要技术有:数据包过滤,应用网关和代理服务等。包过滤(Packet Filter)技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、TCP/UDP 源端口号,TCP/UDP 目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过,其核心是安全策略即过滤算法的设计。应用网关(Application Gateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关可以严格控制某些易于登录和控制的所有的输出输入通信环境,以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中,应用网关一般使用专用工作站系统。代理服务器(Proxy Server)作用在应用层,用来提供应用层服务
的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。
用户网络可以选用适合于本单位的防火墙产品来保证自己网络数据的安全。
3.5 第五级安全保证:用户网络侧的AAA 鉴权认证
用户网络侧的AAA 鉴权认证可以实现对VPDN 成员的身份认证。与第二级的安全保证不同,本级的AAA 服务器将鉴别VPDN 成员的用户名和密码的正确性。
username@xxx.133vpdn.qd 中的域名将是中国联通公司提供给专网接入用户的专有统一域名,用户名(username)可以是VPDN 中每个成员的手机号码或者其它标识。VPDN 中成员的用户名和密码等资料将保存在用户专网侧的AAA 服务器,具有很好的安全性和管理的灵活性。
四、结论
采用CDMA 无线方式,系统流量费用目前有包月制和按数据量两种收费方式,按流量计算0.003 元/K,每月几元钱的费用即可满足省环保局目前环保数据采集系统的实际数据量,估计日后其费用会逐步降低。对于环保局等用户来说,由于通信费用较低,享受到了实惠。另外,由于接入设备可以移动,当环保观测站和环保信息采集点搬迁时
设备可随之迁移并可继续使用,可以保护用户原有投资,适合于环保采集工作的特点。
采用CDMA 构建环保数据采集系统,不仅能很好地满足环保信息采集的需求,而且,做为网络运营商的联通公司也将因此获得业务稳定的集团用户,随着用户数量的增加,联通公司的营收也随之增加,调动了运营商的积极性,符合网络建设和网络应用同
步发展的要求。
北京泰亚东方通信设备有限公司
地址:北京市海淀区学清路8 号科技财富中心B 座
邮编:100085
电话:8610-82731188
传真:8610-82736688
网址:www.taiya.com.cn