姜金智
(中海油信息科技有限公司,天津 300450)
海上平臺是從海底架起的一個高出水面的構(gòu)筑物,上面鋪設(shè)甲板做為平臺,用以放置鉆井或采油機(jī)械設(shè)備,提供鉆井或采油作業(yè)場所及工作人員生活場所,固定式海上平臺距離大陸較遠(yuǎn),成為海中孤島。若采用傳統(tǒng)的通訊方式,鋪設(shè)通訊電纜或者光纜成本較高。因此,一般需要采用遠(yuǎn)距離無線通信的方式解決海上平臺語音和數(shù)據(jù)傳輸問題。無線通信技術(shù)自身有很多優(yōu)點(diǎn),顧名思義,首先,無線通訊無需使用物理線路,通過電磁波即可直接傳播,不用鋪設(shè)電纜或者光纜,成本相對有線通訊來說非常低,更不會出現(xiàn)線路中斷帶來的故障。其次,無線通訊的擴(kuò)展非常容易,直接增加發(fā)射端和接收端即可擴(kuò)展,增加無線通訊鏈路。近年來,隨著岸基通信、海上船舶通信、無人艦艇編隊通信、海上平臺、海上風(fēng)力發(fā)電等一系列海洋通信系統(tǒng)的技術(shù)發(fā)展,對長距離離岸、高帶寬、音頻和視頻傳輸、遠(yuǎn)程控制、遙測等的需求正在逐漸上升,傳統(tǒng)的窄帶寬通訊手段已經(jīng)不能滿足常規(guī)的海上平臺日常通訊需求,給海上平臺日常辦公和通訊帶來了諸多障礙。
現(xiàn)在偏遠(yuǎn)山區(qū)和海上平臺常見的無線通信方式包括以下幾種:無線電短波通信、數(shù)傳電臺通信、衛(wèi)星通信、無線微波通信、5G 通信等。下文對上述無線網(wǎng)絡(luò)通信方式的技術(shù)實(shí)現(xiàn)方式和各自的優(yōu)缺點(diǎn)進(jìn)行了簡單介紹。
根據(jù)國際無委會對短波通信的相關(guān)定義,短波的頻率為3~30MHz 之間,根據(jù)公式換算,波長在100~10m 之間。短波通信是指利用短波進(jìn)行的無線電通信,又稱高頻(HF)通信。短波通信通過傳輸方式可以分為2 種,一種是通過地波進(jìn)行通信,優(yōu)點(diǎn)是受天氣影響較小,穩(wěn)定性較高,但是通信距離較短,工作頻率較低。另外一種是通過天波進(jìn)行通信,天波可以經(jīng)過大氣層中的電離層反射后,傳輸?shù)缴锨Ч镏?,但是天波相對于地波,通信穩(wěn)定性較差,容易受到天氣干擾。短波通信的特點(diǎn)是設(shè)備安裝調(diào)試簡單、建設(shè)成本較低、通訊帶寬較低、抗風(fēng)險能力強(qiáng),可以做到全向通信。海上平臺在早期使用短波通信的方式,因短波通訊帶寬較窄,只能傳輸語音,并且語音的清晰度不足,目前短波通信已經(jīng)不再作為主要的通信方式,僅供應(yīng)急情況時使用。
數(shù)傳電臺是數(shù)字式無線數(shù)據(jù)傳輸電臺的簡稱。數(shù)傳電臺通過數(shù)字信號進(jìn)行無線通信,工作頻段大多使用VHF或者UHF 頻段,因此,傳輸距離在幾公里至幾十公里左右。數(shù)傳電臺的優(yōu)點(diǎn)為傳輸效果和穩(wěn)定性較好,抗干擾能力強(qiáng)、適用于惡劣環(huán)境,建設(shè)成本較低、安裝調(diào)試方便、使用成本低等特點(diǎn),缺點(diǎn)是通信距離較近,無法應(yīng)用在遠(yuǎn)距離通信上。目前數(shù)傳電臺主要用于海上平臺與周邊船舶通訊,主要傳輸語音信號。
衛(wèi)星通信系統(tǒng)一般由通信衛(wèi)星和地面站2 部分組成,衛(wèi)星通信是通過人造地球衛(wèi)星作為中繼站,轉(zhuǎn)發(fā)2 個或多個地面站之間的無線電信號,最終實(shí)現(xiàn)在多個地面站之間進(jìn)行長距離無線通信。通信衛(wèi)星在距離地面很高的太空中以一定軌道運(yùn)行,把天線對準(zhǔn)地面站,接收地面站發(fā)來的信號,然后再把信號放大、變換、處理后,轉(zhuǎn)發(fā)到另外的一個或者多個地面站。通信衛(wèi)星一般是同步靜止衛(wèi)星,在空中的運(yùn)行方向和周期與地球的自轉(zhuǎn)方向及周期相同,從地面上看通信衛(wèi)星是靜止不動的,因此地面站的天線可以固定對準(zhǔn)衛(wèi)星,實(shí)現(xiàn)不間斷的信號傳輸。由于通信衛(wèi)星運(yùn)行軌道高度非常高,一顆同步靜止衛(wèi)星能夠覆蓋地球表面的40%面積,覆蓋區(qū)內(nèi)無論在海上、陸地甚至空中都能夠進(jìn)行通信,通信距離和范圍非常大。衛(wèi)星通信的優(yōu)點(diǎn)為通信覆蓋范圍非常大,距離非常遠(yuǎn),能夠迅速開通通信線路,不易受地質(zhì)災(zāi)害影響,可在多處同時進(jìn)行接收,是應(yīng)急通信的優(yōu)先選擇。但是衛(wèi)星通信仍然存在自身的缺陷,比如衛(wèi)星發(fā)射和控制技術(shù)復(fù)雜,出現(xiàn)故障難以維修;衛(wèi)星通信傳輸延時很高,延時大約為500ms,對語音通話有一定影響,若是對網(wǎng)絡(luò)延時特別敏感的控制系統(tǒng),例如PLC 系統(tǒng),更無法使用衛(wèi)星通信;每年春分和秋分時節(jié)前后,當(dāng)?shù)貢r間的中午12 點(diǎn)左右,強(qiáng)烈的太陽噪聲會嚴(yán)重干擾衛(wèi)星通信,此現(xiàn)象被稱為日凌現(xiàn)象,導(dǎo)致衛(wèi)星通信中斷幾十分鐘。衛(wèi)星通信的成本非常高,地面站點(diǎn)建設(shè)完成后仍需按月付費(fèi)。因此,目前只有距離陸地非常遙遠(yuǎn)的海上平臺使用衛(wèi)星通信的方式。
微波通信是使用頻率300~3000GHz 的電磁波進(jìn)行通信,使用無線微波網(wǎng)橋作為載體,發(fā)射微波作為介質(zhì)進(jìn)行通信。無線微波網(wǎng)橋是為使用無線(微波)進(jìn)行遠(yuǎn)距離數(shù)據(jù)傳輸?shù)狞c(diǎn)對點(diǎn)網(wǎng)間互聯(lián)而設(shè)計。無線微波網(wǎng)橋工作在數(shù)據(jù)鏈路層,分為發(fā)射端和接收端,一般成對使用。因受到地球曲率影響。無線微波網(wǎng)橋的傳輸距離一般可達(dá)50kM,如果增加天線高度,或者增加中繼站,可以增加傳輸距離。微波通信特點(diǎn)為直線傳播,兩端不能有阻擋,帶寬較高,延時較低,支持多種業(yè)務(wù),建設(shè)完成后沒有后續(xù)費(fèi)用。目前距離陸地較近的海上平臺,主要使用無線微波網(wǎng)橋的方式進(jìn)行數(shù)據(jù)和語音的傳輸。
第五代移動通信技術(shù)(簡稱5G)是市面最新的移動通信網(wǎng)絡(luò)傳輸方式,具備速率非常高、延時比較低的特點(diǎn)。5G 現(xiàn)在不僅能夠傳輸清晰的語音,提供人與人的通話功能,還要提供人與設(shè)備、設(shè)備與設(shè)備間通訊的功能,提供視頻通話、虛擬現(xiàn)實(shí)等業(yè)務(wù),滿足遠(yuǎn)程醫(yī)療、遠(yuǎn)程視頻、遠(yuǎn)程監(jiān)控、物聯(lián)網(wǎng)等應(yīng)用需求。在海上平臺,5G 結(jié)合無人機(jī)、機(jī)器人可以進(jìn)行遠(yuǎn)程立體化巡檢遠(yuǎn)程操作設(shè)備、應(yīng)急救援等。同時,還可以為海上平臺周邊移動船舶提供網(wǎng)絡(luò)接入,解決移動船舶無法聯(lián)網(wǎng)的問題。
無線網(wǎng)絡(luò)通信是以電磁波的形式通過電磁輻射傳輸信息,無需經(jīng)過物理線路介質(zhì),在電磁波的覆蓋范圍內(nèi)的無線設(shè)備都可以收到網(wǎng)絡(luò)通信信息。與傳統(tǒng)的有線網(wǎng)絡(luò)相比,非法無線設(shè)備可以輕松的截取無線網(wǎng)絡(luò)中的數(shù)據(jù),不受物理條件限制。因此,無線網(wǎng)絡(luò)存在的安全性問題也更加多變和復(fù)雜。
一般無線網(wǎng)絡(luò)通信容易遭到的攻擊類型分為2 種:一種是基于無線網(wǎng)絡(luò)通信的協(xié)議特點(diǎn)、設(shè)計方案、傳輸原理的方式進(jìn)行攻擊行為;另外一種是基于數(shù)據(jù)的完整性和保密性、網(wǎng)絡(luò)準(zhǔn)入、訪問控制層面的攻擊行為。因為無線網(wǎng)絡(luò)覆蓋范圍較大,攻擊者可以不進(jìn)入防范區(qū)域內(nèi)即可對無線網(wǎng)絡(luò)進(jìn)行攻擊行為。因此,無線網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊風(fēng)險遠(yuǎn)大于傳統(tǒng)的有限網(wǎng)絡(luò)。目前無線網(wǎng)絡(luò)的存在的風(fēng)險如下。
WEP 加密是無線加密技術(shù)中最早使用的技術(shù),用來加密無線網(wǎng)絡(luò)傳輸內(nèi)容,防止傳輸內(nèi)容被入侵或者竊聽。但是WEP 加密方式存在不少漏洞,存在加密算法簡單、密鑰管理復(fù)雜、非常容易被破解的安全隱患。因此,后續(xù)被WPA 和WPA2 所淘汰。目前廣泛使用WPA2 加密方式對無線網(wǎng)絡(luò)進(jìn)行加密。
目前有許多針對無線網(wǎng)絡(luò)進(jìn)行嗅探、識別與攻擊的軟件與技術(shù),通過分析無線網(wǎng)絡(luò)的信道和SSID,能夠推斷出無線加密的信息,提供了入侵所需的相關(guān)信息。黑客通過專業(yè)軟件嗅探和竊聽無線網(wǎng)絡(luò)中的數(shù)據(jù),破解出無線加密的密鑰后,入侵到無線網(wǎng)絡(luò)中,可竊聽和抓取其中傳遞的信息和文件,最終導(dǎo)致信息被竊聽和截取,造成信息泄露,引起財產(chǎn)損失。
身份驗證欺騙的入侵方式是通過欺騙網(wǎng)絡(luò)認(rèn)證設(shè)備,讓網(wǎng)絡(luò)認(rèn)證設(shè)備誤以為非法入侵設(shè)備是網(wǎng)絡(luò)中合法的、有權(quán)限的設(shè)備連接無線網(wǎng)絡(luò)。無線網(wǎng)絡(luò)開放身份驗證只需要SSID 和認(rèn)證密鑰相符,即可接入該網(wǎng)絡(luò)。而共享機(jī)密身份驗證的過程中,發(fā)送密鑰至認(rèn)證回應(yīng)的身份驗證過程是明文傳輸?shù)?,只需抓取到此部分?jǐn)?shù)據(jù)包,即可比較容易的破解加密密鑰。
拒絕服務(wù)是指攻擊者通過發(fā)送像洪水一樣的流量數(shù)據(jù)耗盡目標(biāo)網(wǎng)絡(luò)或者主機(jī)的資源,導(dǎo)致不能為合法用戶提供正常的網(wǎng)絡(luò)服務(wù)。無線網(wǎng)絡(luò)拒絕服務(wù)的方式有以下幾種:攻擊者讓多種無線設(shè)備發(fā)射同一頻率的電磁波,導(dǎo)致無線頻譜中同頻干擾;攻擊者發(fā)送大量請求身份認(rèn)證的數(shù)據(jù)包,導(dǎo)致認(rèn)證系統(tǒng)負(fù)載過重,無法處理正常的認(rèn)證數(shù)據(jù);攻擊者入侵并管控?zé)o線AP,使得AP 不能正常轉(zhuǎn)發(fā)數(shù)據(jù)包,造成無線網(wǎng)絡(luò)正常用戶網(wǎng)絡(luò)不通,達(dá)到拒絕服務(wù)攻擊的目的。因無線網(wǎng)絡(luò)自身的特性,攻擊者可以使用高功率的無線發(fā)射設(shè)備,從遠(yuǎn)距離干擾無線網(wǎng),達(dá)到拒絕服務(wù)攻擊的效果。目前,重要考試的考場附近都會開啟無線電屏蔽設(shè)備用以避免考生通過無線電作弊,無線電屏蔽儀就是使用拒絕服務(wù)攻擊的原理,使得無線網(wǎng)絡(luò)信號失效。
如果攻擊者入侵了無線網(wǎng)絡(luò),并且接管并冒充了某個AP,將這個AP 所有網(wǎng)絡(luò)流量引入攻擊者的設(shè)備上,那么這臺設(shè)備可以監(jiān)聽到網(wǎng)絡(luò)中的所有數(shù)據(jù),包括用戶名和密碼等敏感信息。在無線網(wǎng)絡(luò)中也可以使用ARP 攻擊方式,通過ARP 欺騙的方式,將主機(jī)和網(wǎng)關(guān)的流量通過攻擊主機(jī)進(jìn)行轉(zhuǎn)發(fā),這樣就會造成正常用戶信息泄露甚至被篡改,此種方式也叫中間人攻擊。
許多網(wǎng)絡(luò)協(xié)議在開始設(shè)計時,存在著很多不完善的地方,后來這些不完善的地方被惡意利用后變成了缺陷和漏洞,攻擊者利用這些缺陷和漏洞進(jìn)行網(wǎng)絡(luò)攻擊。泛洪攻擊就是其中之一,攻擊者發(fā)送大量錯誤或者惡意的報文至無線網(wǎng)絡(luò)中,超出了無線網(wǎng)絡(luò)設(shè)備CPU 的運(yùn)算能力,降低了無線網(wǎng)絡(luò)的傳輸性能,導(dǎo)致丟包甚至宕機(jī)現(xiàn)象,無法正常提供無線網(wǎng)絡(luò)接入服務(wù),攻擊者還會利用偽造的源地址擴(kuò)大影響范圍,造成大面積無線網(wǎng)絡(luò)癱瘓。由于大量的數(shù)據(jù)包像泛濫的洪水一樣涌向網(wǎng)絡(luò)設(shè)備,因此這種攻擊方式被稱為泛洪攻擊。
擴(kuò)展頻譜技術(shù)是無線通信的一種技術(shù)手段,方式分為跳頻技術(shù)和直接序列2 種,可以用來進(jìn)行保密數(shù)據(jù)傳送,用以加強(qiáng)無線通信中的安全性,當(dāng)前大多數(shù)采用跳頻的方式進(jìn)行擴(kuò)展頻譜。在無線通信傳送過程中,發(fā)送端的無線電波的頻率按照約定的方式進(jìn)行多次變換,并在每個頻率停留一段時間,接收端也按照約定的方式同步進(jìn)行變換,用以正常接收數(shù)據(jù)。攻擊方不了解頻率變化規(guī)律的前提下,無法正常收到完整的數(shù)據(jù),因此可以達(dá)到一定的保密性。直接序列方式中,數(shù)據(jù)信號的頻譜被擴(kuò)展到幾倍后,被發(fā)送端發(fā)射出去,信號跨越很寬的頻段,犧牲了頻帶帶寬,但是功率密度降低,攻擊者要想截獲這樣的信號變得非常困難,因此增加了保密性。
數(shù)據(jù)加密技術(shù)是通過某種算法,將原來的文字轉(zhuǎn)換成不可讀懂的密文,在沒有解密的情況下無法閱讀和理解。數(shù)據(jù)加密技術(shù)主要在商業(yè)行為或軍事行動中起到對信息保密的作用。加密算法分為2 類,一類是對稱加密算法,此類常見的算法有DES、AES 等;另外一類為非對稱加密算法,此類常見的加密算法有RSA、ECC 等。
虛擬專用網(wǎng)(VPN)技術(shù)是用于在互聯(lián)網(wǎng)上建立一個端到端的虛擬加密專用隧道,在虛擬的隧道中對所有數(shù)據(jù)進(jìn)行加密封裝,仿真出一個私有的廣域網(wǎng),用戶數(shù)據(jù)在虛擬的隧道中傳輸,防止被他人竊聽。虛擬專用網(wǎng)使用PPTP、L2TP 和IPSec 協(xié)議建立隧道,使用對稱加密技術(shù)進(jìn)行數(shù)據(jù)加密,通過用戶名密碼或者加密卡進(jìn)行身份認(rèn)證。在無線網(wǎng)絡(luò)中,使用虛擬專用網(wǎng)技術(shù)建立隧道和加密數(shù)據(jù),是一種價格較低但是安全性很高的保障方案。
有線網(wǎng)卡或者無線網(wǎng)卡均有一個獨(dú)一無二的硬件地址,此地址被燒錄在網(wǎng)卡的硬件中,因此被稱為物理地址,一般情況下用戶無法更改物理地址。在無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)中,使用物理地址認(rèn)證的方式,可以阻擋大部分非法入侵者。因此,若要保證合法用戶能夠正常訪問無線網(wǎng)絡(luò),則需要隨時手動更新訪問控制列表,工作量很大,因此,此種方式只適合于用戶比較固定的小型無線網(wǎng)絡(luò)。
在無線網(wǎng)絡(luò)的身份認(rèn)證方式中,可增加雙因素認(rèn)證方式,也就是在用戶名密碼認(rèn)證的基礎(chǔ)上,增加動態(tài)碼進(jìn)行二次認(rèn)證。動態(tài)碼是使用加密算法在每分鐘生成一個新的字符串,所以隨時變化的字符串會極大提高攻擊者的入侵難度。因此,雙因素認(rèn)證是一種非常有效提升無線網(wǎng)絡(luò)安全性的手段。
由于無線網(wǎng)絡(luò)的相對開放性和脆弱性,相對于有線網(wǎng)絡(luò)更加容易被攻擊者進(jìn)入,導(dǎo)致從網(wǎng)絡(luò)內(nèi)部產(chǎn)生攻擊行為。因此,入侵檢測系統(tǒng)是無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)被攻破后的補(bǔ)充防范手段?;诰W(wǎng)絡(luò)的入侵檢測設(shè)備實(shí)時接收無線網(wǎng)絡(luò)中的數(shù)據(jù)包,將所收到的數(shù)據(jù)包與所了解的攻擊行為做比對,若與已知的攻擊行為匹配,就可識別出攻擊行為,并給出告警提示,由管理員手動添加到防火墻的黑名單中,中斷網(wǎng)絡(luò)攻擊行為。
無線網(wǎng)絡(luò)擴(kuò)大了人們使用網(wǎng)絡(luò)的范圍,特別是使得海上平臺這種偏遠(yuǎn)地區(qū)的用戶也能以較低成本接入網(wǎng)絡(luò),極大地方便了人與人之間的溝通和交流,豐富了生活方式。當(dāng)然,無線網(wǎng)絡(luò)的開放性和可擴(kuò)展性也會造成網(wǎng)絡(luò)威脅和暴露面的成倍遞增。我們要認(rèn)識到無線網(wǎng)絡(luò)存在的風(fēng)險,通過加密技術(shù)手段保障數(shù)據(jù)安全,通過安全設(shè)備增強(qiáng)防范措施,通過管理制度規(guī)范每個人的使用行為,在網(wǎng)絡(luò)運(yùn)行的各個環(huán)節(jié)得到充分的防護(hù),才能減少無線網(wǎng)絡(luò)的威脅,提高無線網(wǎng)絡(luò)安全保障。