姜金智
(中海油信息科技有限公司,天津 300450)
海上平台是从海底架起的一个高出水面的构筑物,上面铺设甲板做为平台,用以放置钻井或采油机械设备,提供钻井或采油作业场所及工作人员生活场所,固定式海上平台距离大陆较远,成为海中孤岛。若采用传统的通讯方式,铺设通讯电缆或者光缆成本较高。因此,一般需要采用远距离无线通信的方式解决海上平台语音和数据传输问题。无线通信技术自身有很多优点,顾名思义,首先,无线通讯无需使用物理线路,通过电磁波即可直接传播,不用铺设电缆或者光缆,成本相对有线通讯来说非常低,更不会出现线路中断带来的故障。其次,无线通讯的扩展非常容易,直接增加发射端和接收端即可扩展,增加无线通讯链路。近年来,随着岸基通信、海上船舶通信、无人舰艇编队通信、海上平台、海上风力发电等一系列海洋通信系统的技术发展,对长距离离岸、高带宽、音频和视频传输、远程控制、遥测等的需求正在逐渐上升,传统的窄带宽通讯手段已经不能满足常规的海上平台日常通讯需求,给海上平台日常办公和通讯带来了诸多障碍。
现在偏远山区和海上平台常见的无线通信方式包括以下几种:无线电短波通信、数传电台通信、卫星通信、无线微波通信、5G 通信等。下文对上述无线网络通信方式的技术实现方式和各自的优缺点进行了简单介绍。
根据国际无委会对短波通信的相关定义,短波的频率为3~30MHz 之间,根据公式换算,波长在100~10m 之间。短波通信是指利用短波进行的无线电通信,又称高频(HF)通信。短波通信通过传输方式可以分为2 种,一种是通过地波进行通信,优点是受天气影响较小,稳定性较高,但是通信距离较短,工作频率较低。另外一种是通过天波进行通信,天波可以经过大气层中的电离层反射后,传输到上千公里之外,但是天波相对于地波,通信稳定性较差,容易受到天气干扰。短波通信的特点是设备安装调试简单、建设成本较低、通讯带宽较低、抗风险能力强,可以做到全向通信。海上平台在早期使用短波通信的方式,因短波通讯带宽较窄,只能传输语音,并且语音的清晰度不足,目前短波通信已经不再作为主要的通信方式,仅供应急情况时使用。
数传电台是数字式无线数据传输电台的简称。数传电台通过数字信号进行无线通信,工作频段大多使用VHF或者UHF 频段,因此,传输距离在几公里至几十公里左右。数传电台的优点为传输效果和稳定性较好,抗干扰能力强、适用于恶劣环境,建设成本较低、安装调试方便、使用成本低等特点,缺点是通信距离较近,无法应用在远距离通信上。目前数传电台主要用于海上平台与周边船舶通讯,主要传输语音信号。
卫星通信系统一般由通信卫星和地面站2 部分组成,卫星通信是通过人造地球卫星作为中继站,转发2 个或多个地面站之间的无线电信号,最终实现在多个地面站之间进行长距离无线通信。通信卫星在距离地面很高的太空中以一定轨道运行,把天线对准地面站,接收地面站发来的信号,然后再把信号放大、变换、处理后,转发到另外的一个或者多个地面站。通信卫星一般是同步静止卫星,在空中的运行方向和周期与地球的自转方向及周期相同,从地面上看通信卫星是静止不动的,因此地面站的天线可以固定对准卫星,实现不间断的信号传输。由于通信卫星运行轨道高度非常高,一颗同步静止卫星能够覆盖地球表面的40%面积,覆盖区内无论在海上、陆地甚至空中都能够进行通信,通信距离和范围非常大。卫星通信的优点为通信覆盖范围非常大,距离非常远,能够迅速开通通信线路,不易受地质灾害影响,可在多处同时进行接收,是应急通信的优先选择。但是卫星通信仍然存在自身的缺陷,比如卫星发射和控制技术复杂,出现故障难以维修;卫星通信传输延时很高,延时大约为500ms,对语音通话有一定影响,若是对网络延时特别敏感的控制系统,例如PLC 系统,更无法使用卫星通信;每年春分和秋分时节前后,当地时间的中午12 点左右,强烈的太阳噪声会严重干扰卫星通信,此现象被称为日凌现象,导致卫星通信中断几十分钟。卫星通信的成本非常高,地面站点建设完成后仍需按月付费。因此,目前只有距离陆地非常遥远的海上平台使用卫星通信的方式。
微波通信是使用频率300~3000GHz 的电磁波进行通信,使用无线微波网桥作为载体,发射微波作为介质进行通信。无线微波网桥是为使用无线(微波)进行远距离数据传输的点对点网间互联而设计。无线微波网桥工作在数据链路层,分为发射端和接收端,一般成对使用。因受到地球曲率影响。无线微波网桥的传输距离一般可达50kM,如果增加天线高度,或者增加中继站,可以增加传输距离。微波通信特点为直线传播,两端不能有阻挡,带宽较高,延时较低,支持多种业务,建设完成后没有后续费用。目前距离陆地较近的海上平台,主要使用无线微波网桥的方式进行数据和语音的传输。
第五代移动通信技术(简称5G)是市面最新的移动通信网络传输方式,具备速率非常高、延时比较低的特点。5G 现在不仅能够传输清晰的语音,提供人与人的通话功能,还要提供人与设备、设备与设备间通讯的功能,提供视频通话、虚拟现实等业务,满足远程医疗、远程视频、远程监控、物联网等应用需求。在海上平台,5G 结合无人机、机器人可以进行远程立体化巡检远程操作设备、应急救援等。同时,还可以为海上平台周边移动船舶提供网络接入,解决移动船舶无法联网的问题。
无线网络通信是以电磁波的形式通过电磁辐射传输信息,无需经过物理线路介质,在电磁波的覆盖范围内的无线设备都可以收到网络通信信息。与传统的有线网络相比,非法无线设备可以轻松的截取无线网络中的数据,不受物理条件限制。因此,无线网络存在的安全性问题也更加多变和复杂。
一般无线网络通信容易遭到的攻击类型分为2 种:一种是基于无线网络通信的协议特点、设计方案、传输原理的方式进行攻击行为;另外一种是基于数据的完整性和保密性、网络准入、访问控制层面的攻击行为。因为无线网络覆盖范围较大,攻击者可以不进入防范区域内即可对无线网络进行攻击行为。因此,无线网络的网络攻击风险远大于传统的有限网络。目前无线网络的存在的风险如下。
WEP 加密是无线加密技术中最早使用的技术,用来加密无线网络传输内容,防止传输内容被入侵或者窃听。但是WEP 加密方式存在不少漏洞,存在加密算法简单、密钥管理复杂、非常容易被破解的安全隐患。因此,后续被WPA 和WPA2 所淘汰。目前广泛使用WPA2 加密方式对无线网络进行加密。
目前有许多针对无线网络进行嗅探、识别与攻击的软件与技术,通过分析无线网络的信道和SSID,能够推断出无线加密的信息,提供了入侵所需的相关信息。黑客通过专业软件嗅探和窃听无线网络中的数据,破解出无线加密的密钥后,入侵到无线网络中,可窃听和抓取其中传递的信息和文件,最终导致信息被窃听和截取,造成信息泄露,引起财产损失。
身份验证欺骗的入侵方式是通过欺骗网络认证设备,让网络认证设备误以为非法入侵设备是网络中合法的、有权限的设备连接无线网络。无线网络开放身份验证只需要SSID 和认证密钥相符,即可接入该网络。而共享机密身份验证的过程中,发送密钥至认证回应的身份验证过程是明文传输的,只需抓取到此部分数据包,即可比较容易的破解加密密钥。
拒绝服务是指攻击者通过发送像洪水一样的流量数据耗尽目标网络或者主机的资源,导致不能为合法用户提供正常的网络服务。无线网络拒绝服务的方式有以下几种:攻击者让多种无线设备发射同一频率的电磁波,导致无线频谱中同频干扰;攻击者发送大量请求身份认证的数据包,导致认证系统负载过重,无法处理正常的认证数据;攻击者入侵并管控无线AP,使得AP 不能正常转发数据包,造成无线网络正常用户网络不通,达到拒绝服务攻击的目的。因无线网络自身的特性,攻击者可以使用高功率的无线发射设备,从远距离干扰无线网,达到拒绝服务攻击的效果。目前,重要考试的考场附近都会开启无线电屏蔽设备用以避免考生通过无线电作弊,无线电屏蔽仪就是使用拒绝服务攻击的原理,使得无线网络信号失效。
如果攻击者入侵了无线网络,并且接管并冒充了某个AP,将这个AP 所有网络流量引入攻击者的设备上,那么这台设备可以监听到网络中的所有数据,包括用户名和密码等敏感信息。在无线网络中也可以使用ARP 攻击方式,通过ARP 欺骗的方式,将主机和网关的流量通过攻击主机进行转发,这样就会造成正常用户信息泄露甚至被篡改,此种方式也叫中间人攻击。
许多网络协议在开始设计时,存在着很多不完善的地方,后来这些不完善的地方被恶意利用后变成了缺陷和漏洞,攻击者利用这些缺陷和漏洞进行网络攻击。泛洪攻击就是其中之一,攻击者发送大量错误或者恶意的报文至无线网络中,超出了无线网络设备CPU 的运算能力,降低了无线网络的传输性能,导致丢包甚至宕机现象,无法正常提供无线网络接入服务,攻击者还会利用伪造的源地址扩大影响范围,造成大面积无线网络瘫痪。由于大量的数据包像泛滥的洪水一样涌向网络设备,因此这种攻击方式被称为泛洪攻击。
扩展频谱技术是无线通信的一种技术手段,方式分为跳频技术和直接序列2 种,可以用来进行保密数据传送,用以加强无线通信中的安全性,当前大多数采用跳频的方式进行扩展频谱。在无线通信传送过程中,发送端的无线电波的频率按照约定的方式进行多次变换,并在每个频率停留一段时间,接收端也按照约定的方式同步进行变换,用以正常接收数据。攻击方不了解频率变化规律的前提下,无法正常收到完整的数据,因此可以达到一定的保密性。直接序列方式中,数据信号的频谱被扩展到几倍后,被发送端发射出去,信号跨越很宽的频段,牺牲了频带带宽,但是功率密度降低,攻击者要想截获这样的信号变得非常困难,因此增加了保密性。
数据加密技术是通过某种算法,将原来的文字转换成不可读懂的密文,在没有解密的情况下无法阅读和理解。数据加密技术主要在商业行为或军事行动中起到对信息保密的作用。加密算法分为2 类,一类是对称加密算法,此类常见的算法有DES、AES 等;另外一类为非对称加密算法,此类常见的加密算法有RSA、ECC 等。
虚拟专用网(VPN)技术是用于在互联网上建立一个端到端的虚拟加密专用隧道,在虚拟的隧道中对所有数据进行加密封装,仿真出一个私有的广域网,用户数据在虚拟的隧道中传输,防止被他人窃听。虚拟专用网使用PPTP、L2TP 和IPSec 协议建立隧道,使用对称加密技术进行数据加密,通过用户名密码或者加密卡进行身份认证。在无线网络中,使用虚拟专用网技术建立隧道和加密数据,是一种价格较低但是安全性很高的保障方案。
有线网卡或者无线网卡均有一个独一无二的硬件地址,此地址被烧录在网卡的硬件中,因此被称为物理地址,一般情况下用户无法更改物理地址。在无线网络认证系统中,使用物理地址认证的方式,可以阻挡大部分非法入侵者。因此,若要保证合法用户能够正常访问无线网络,则需要随时手动更新访问控制列表,工作量很大,因此,此种方式只适合于用户比较固定的小型无线网络。
在无线网络的身份认证方式中,可增加双因素认证方式,也就是在用户名密码认证的基础上,增加动态码进行二次认证。动态码是使用加密算法在每分钟生成一个新的字符串,所以随时变化的字符串会极大提高攻击者的入侵难度。因此,双因素认证是一种非常有效提升无线网络安全性的手段。
由于无线网络的相对开放性和脆弱性,相对于有线网络更加容易被攻击者进入,导致从网络内部产生攻击行为。因此,入侵检测系统是无线网络认证系统被攻破后的补充防范手段。基于网络的入侵检测设备实时接收无线网络中的数据包,将所收到的数据包与所了解的攻击行为做比对,若与已知的攻击行为匹配,就可识别出攻击行为,并给出告警提示,由管理员手动添加到防火墙的黑名单中,中断网络攻击行为。
无线网络扩大了人们使用网络的范围,特别是使得海上平台这种偏远地区的用户也能以较低成本接入网络,极大地方便了人与人之间的沟通和交流,丰富了生活方式。当然,无线网络的开放性和可扩展性也会造成网络威胁和暴露面的成倍递增。我们要认识到无线网络存在的风险,通过加密技术手段保障数据安全,通过安全设备增强防范措施,通过管理制度规范每个人的使用行为,在网络运行的各个环节得到充分的防护,才能减少无线网络的威胁,提高无线网络安全保障。