淺談無(wú)線網(wǎng)絡(luò)通信在海上平臺(tái)的應(yīng)用及安全

姜金智

（中海油信息科技有限公司，天津 300450）

海上平臺(tái)是從海底架起的一個(gè)高出水面的構(gòu)筑物，上面鋪設(shè)甲板做為平臺(tái)，用以放置鉆井或采油機(jī)械設(shè)備，提供鉆井或采油作業(yè)場(chǎng)所及工作人員生活場(chǎng)所，固定式海上平臺(tái)距離大陸較遠(yuǎn)，成為海中孤島。若采用傳統(tǒng)的通訊方式，鋪設(shè)通訊電纜或者光纜成本較高。因此，一般需要采用遠(yuǎn)距離無(wú)線通信的方式解決海上平臺(tái)語(yǔ)音和數(shù)據(jù)傳輸問題。無(wú)線通信技術(shù)自身有很多優(yōu)點(diǎn)，顧名思義，首先，無(wú)線通訊無(wú)需使用物理線路，通過電磁波即可直接傳播，不用鋪設(shè)電纜或者光纜，成本相對(duì)有線通訊來(lái)說非常低，更不會(huì)出現(xiàn)線路中斷帶來(lái)的故障。其次，無(wú)線通訊的擴(kuò)展非常容易，直接增加發(fā)射端和接收端即可擴(kuò)展，增加無(wú)線通訊鏈路。近年來(lái)，隨著岸基通信、海上船舶通信、無(wú)人艦艇編隊(duì)通信、海上平臺(tái)、海上風(fēng)力發(fā)電等一系列海洋通信系統(tǒng)的技術(shù)發(fā)展，對(duì)長(zhǎng)距離離岸、高帶寬、音頻和視頻傳輸、遠(yuǎn)程控制、遙測(cè)等的需求正在逐漸上升，傳統(tǒng)的窄帶寬通訊手段已經(jīng)不能滿足常規(guī)的海上平臺(tái)日常通訊需求，給海上平臺(tái)日常辦公和通訊帶來(lái)了諸多障礙。

1 無(wú)線網(wǎng)絡(luò)通信實(shí)現(xiàn)方式

現(xiàn)在偏遠(yuǎn)山區(qū)和海上平臺(tái)常見的無(wú)線通信方式包括以下幾種：無(wú)線電短波通信、數(shù)傳電臺(tái)通信、衛(wèi)星通信、無(wú)線微波通信、5G 通信等。下文對(duì)上述無(wú)線網(wǎng)絡(luò)通信方式的技術(shù)實(shí)現(xiàn)方式和各自的優(yōu)缺點(diǎn)進(jìn)行了簡(jiǎn)單介紹。

1.1 無(wú)線電短波通信

根據(jù)國(guó)際無(wú)委會(huì)對(duì)短波通信的相關(guān)定義，短波的頻率為3~30MHz 之間，根據(jù)公式換算，波長(zhǎng)在100~10m 之間。短波通信是指利用短波進(jìn)行的無(wú)線電通信，又稱高頻（HF）通信。短波通信通過傳輸方式可以分為2 種，一種是通過地波進(jìn)行通信，優(yōu)點(diǎn)是受天氣影響較小，穩(wěn)定性較高，但是通信距離較短，工作頻率較低。另外一種是通過天波進(jìn)行通信，天波可以經(jīng)過大氣層中的電離層反射后，傳輸?shù)缴锨Ч镏?，但是天波相?duì)于地波，通信穩(wěn)定性較差，容易受到天氣干擾。短波通信的特點(diǎn)是設(shè)備安裝調(diào)試簡(jiǎn)單、建設(shè)成本較低、通訊帶寬較低、抗風(fēng)險(xiǎn)能力強(qiáng)，可以做到全向通信。海上平臺(tái)在早期使用短波通信的方式，因短波通訊帶寬較窄，只能傳輸語(yǔ)音，并且語(yǔ)音的清晰度不足，目前短波通信已經(jīng)不再作為主要的通信方式，僅供應(yīng)急情況時(shí)使用。

1.2 數(shù)傳電臺(tái)通信

數(shù)傳電臺(tái)是數(shù)字式無(wú)線數(shù)據(jù)傳輸電臺(tái)的簡(jiǎn)稱。數(shù)傳電臺(tái)通過數(shù)字信號(hào)進(jìn)行無(wú)線通信，工作頻段大多使用VHF或者UHF 頻段，因此，傳輸距離在幾公里至幾十公里左右。數(shù)傳電臺(tái)的優(yōu)點(diǎn)為傳輸效果和穩(wěn)定性較好，抗干擾能力強(qiáng)、適用于惡劣環(huán)境，建設(shè)成本較低、安裝調(diào)試方便、使用成本低等特點(diǎn)，缺點(diǎn)是通信距離較近，無(wú)法應(yīng)用在遠(yuǎn)距離通信上。目前數(shù)傳電臺(tái)主要用于海上平臺(tái)與周邊船舶通訊，主要傳輸語(yǔ)音信號(hào)。

1.3 衛(wèi)星通信

衛(wèi)星通信系統(tǒng)一般由通信衛(wèi)星和地面站2 部分組成，衛(wèi)星通信是通過人造地球衛(wèi)星作為中繼站，轉(zhuǎn)發(fā)2 個(gè)或多個(gè)地面站之間的無(wú)線電信號(hào)，最終實(shí)現(xiàn)在多個(gè)地面站之間進(jìn)行長(zhǎng)距離無(wú)線通信。通信衛(wèi)星在距離地面很高的太空中以一定軌道運(yùn)行，把天線對(duì)準(zhǔn)地面站，接收地面站發(fā)來(lái)的信號(hào)，然后再把信號(hào)放大、變換、處理后，轉(zhuǎn)發(fā)到另外的一個(gè)或者多個(gè)地面站。通信衛(wèi)星一般是同步靜止衛(wèi)星，在空中的運(yùn)行方向和周期與地球的自轉(zhuǎn)方向及周期相同，從地面上看通信衛(wèi)星是靜止不動(dòng)的，因此地面站的天線可以固定對(duì)準(zhǔn)衛(wèi)星，實(shí)現(xiàn)不間斷的信號(hào)傳輸。由于通信衛(wèi)星運(yùn)行軌道高度非常高，一顆同步靜止衛(wèi)星能夠覆蓋地球表面的40%面積，覆蓋區(qū)內(nèi)無(wú)論在海上、陸地甚至空中都能夠進(jìn)行通信，通信距離和范圍非常大。衛(wèi)星通信的優(yōu)點(diǎn)為通信覆蓋范圍非常大，距離非常遠(yuǎn)，能夠迅速開通通信線路，不易受地質(zhì)災(zāi)害影響，可在多處同時(shí)進(jìn)行接收，是應(yīng)急通信的優(yōu)先選擇。但是衛(wèi)星通信仍然存在自身的缺陷，比如衛(wèi)星發(fā)射和控制技術(shù)復(fù)雜，出現(xiàn)故障難以維修；衛(wèi)星通信傳輸延時(shí)很高，延時(shí)大約為500ms，對(duì)語(yǔ)音通話有一定影響，若是對(duì)網(wǎng)絡(luò)延時(shí)特別敏感的控制系統(tǒng)，例如PLC 系統(tǒng)，更無(wú)法使用衛(wèi)星通信；每年春分和秋分時(shí)節(jié)前后，當(dāng)?shù)貢r(shí)間的中午12 點(diǎn)左右，強(qiáng)烈的太陽(yáng)噪聲會(huì)嚴(yán)重干擾衛(wèi)星通信，此現(xiàn)象被稱為日凌現(xiàn)象，導(dǎo)致衛(wèi)星通信中斷幾十分鐘。衛(wèi)星通信的成本非常高，地面站點(diǎn)建設(shè)完成后仍需按月付費(fèi)。因此，目前只有距離陸地非常遙遠(yuǎn)的海上平臺(tái)使用衛(wèi)星通信的方式。

1.4 無(wú)線微波通信

微波通信是使用頻率300~3000GHz 的電磁波進(jìn)行通信，使用無(wú)線微波網(wǎng)橋作為載體，發(fā)射微波作為介質(zhì)進(jìn)行通信。無(wú)線微波網(wǎng)橋是為使用無(wú)線（微波）進(jìn)行遠(yuǎn)距離數(shù)據(jù)傳輸?shù)狞c(diǎn)對(duì)點(diǎn)網(wǎng)間互聯(lián)而設(shè)計(jì)。無(wú)線微波網(wǎng)橋工作在數(shù)據(jù)鏈路層，分為發(fā)射端和接收端，一般成對(duì)使用。因受到地球曲率影響。無(wú)線微波網(wǎng)橋的傳輸距離一般可達(dá)50kM，如果增加天線高度，或者增加中繼站，可以增加傳輸距離。微波通信特點(diǎn)為直線傳播，兩端不能有阻擋，帶寬較高，延時(shí)較低，支持多種業(yè)務(wù)，建設(shè)完成后沒有后續(xù)費(fèi)用。目前距離陸地較近的海上平臺(tái)，主要使用無(wú)線微波網(wǎng)橋的方式進(jìn)行數(shù)據(jù)和語(yǔ)音的傳輸。

1.5 5G 通信

第五代移動(dòng)通信技術(shù)（簡(jiǎn)稱5G）是市面最新的移動(dòng)通信網(wǎng)絡(luò)傳輸方式，具備速率非常高、延時(shí)比較低的特點(diǎn)。5G 現(xiàn)在不僅能夠傳輸清晰的語(yǔ)音，提供人與人的通話功能，還要提供人與設(shè)備、設(shè)備與設(shè)備間通訊的功能，提供視頻通話、虛擬現(xiàn)實(shí)等業(yè)務(wù)，滿足遠(yuǎn)程醫(yī)療、遠(yuǎn)程視頻、遠(yuǎn)程監(jiān)控、物聯(lián)網(wǎng)等應(yīng)用需求。在海上平臺(tái)，5G 結(jié)合無(wú)人機(jī)、機(jī)器人可以進(jìn)行遠(yuǎn)程立體化巡檢遠(yuǎn)程操作設(shè)備、應(yīng)急救援等。同時(shí)，還可以為海上平臺(tái)周邊移動(dòng)船舶提供網(wǎng)絡(luò)接入，解決移動(dòng)船舶無(wú)法聯(lián)網(wǎng)的問題。

2 無(wú)線網(wǎng)絡(luò)通信存在風(fēng)險(xiǎn)

無(wú)線網(wǎng)絡(luò)通信是以電磁波的形式通過電磁輻射傳輸信息，無(wú)需經(jīng)過物理線路介質(zhì)，在電磁波的覆蓋范圍內(nèi)的無(wú)線設(shè)備都可以收到網(wǎng)絡(luò)通信信息。與傳統(tǒng)的有線網(wǎng)絡(luò)相比，非法無(wú)線設(shè)備可以輕松的截取無(wú)線網(wǎng)絡(luò)中的數(shù)據(jù)，不受物理?xiàng)l件限制。因此，無(wú)線網(wǎng)絡(luò)存在的安全性問題也更加多變和復(fù)雜。

一般無(wú)線網(wǎng)絡(luò)通信容易遭到的攻擊類型分為2 種：一種是基于無(wú)線網(wǎng)絡(luò)通信的協(xié)議特點(diǎn)、設(shè)計(jì)方案、傳輸原理的方式進(jìn)行攻擊行為；另外一種是基于數(shù)據(jù)的完整性和保密性、網(wǎng)絡(luò)準(zhǔn)入、訪問控制層面的攻擊行為。因?yàn)闊o(wú)線網(wǎng)絡(luò)覆蓋范圍較大，攻擊者可以不進(jìn)入防范區(qū)域內(nèi)即可對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行攻擊行為。因此，無(wú)線網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)遠(yuǎn)大于傳統(tǒng)的有限網(wǎng)絡(luò)。目前無(wú)線網(wǎng)絡(luò)的存在的風(fēng)險(xiǎn)如下。

2.1 無(wú)線加密算法過于簡(jiǎn)單

WEP 加密是無(wú)線加密技術(shù)中最早使用的技術(shù)，用來(lái)加密無(wú)線網(wǎng)絡(luò)傳輸內(nèi)容，防止傳輸內(nèi)容被入侵或者竊聽。但是WEP 加密方式存在不少漏洞，存在加密算法簡(jiǎn)單、密鑰管理復(fù)雜、非常容易被破解的安全隱患。因此，后續(xù)被WPA 和WPA2 所淘汰。目前廣泛使用WPA2 加密方式對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行加密。

2.2 搜索攻擊和信息泄露

目前有許多針對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行嗅探、識(shí)別與攻擊的軟件與技術(shù)，通過分析無(wú)線網(wǎng)絡(luò)的信道和SSID，能夠推斷出無(wú)線加密的信息，提供了入侵所需的相關(guān)信息。黑客通過專業(yè)軟件嗅探和竊聽無(wú)線網(wǎng)絡(luò)中的數(shù)據(jù)，破解出無(wú)線加密的密鑰后，入侵到無(wú)線網(wǎng)絡(luò)中，可竊聽和抓取其中傳遞的信息和文件，最終導(dǎo)致信息被竊聽和截取，造成信息泄露，引起財(cái)產(chǎn)損失。

2.3 身份驗(yàn)證欺騙

身份驗(yàn)證欺騙的入侵方式是通過欺騙網(wǎng)絡(luò)認(rèn)證設(shè)備，讓網(wǎng)絡(luò)認(rèn)證設(shè)備誤以為非法入侵設(shè)備是網(wǎng)絡(luò)中合法的、有權(quán)限的設(shè)備連接無(wú)線網(wǎng)絡(luò)。無(wú)線網(wǎng)絡(luò)開放身份驗(yàn)證只需要SSID 和認(rèn)證密鑰相符，即可接入該網(wǎng)絡(luò)。而共享機(jī)密身份驗(yàn)證的過程中，發(fā)送密鑰至認(rèn)證回應(yīng)的身份驗(yàn)證過程是明文傳輸?shù)?，只需抓取到此部分?jǐn)?shù)據(jù)包，即可比較容易的破解加密密鑰。

2.4 拒絕服務(wù)攻擊

拒絕服務(wù)是指攻擊者通過發(fā)送像洪水一樣的流量數(shù)據(jù)耗盡目標(biāo)網(wǎng)絡(luò)或者主機(jī)的資源，導(dǎo)致不能為合法用戶提供正常的網(wǎng)絡(luò)服務(wù)。無(wú)線網(wǎng)絡(luò)拒絕服務(wù)的方式有以下幾種：攻擊者讓多種無(wú)線設(shè)備發(fā)射同一頻率的電磁波，導(dǎo)致無(wú)線頻譜中同頻干擾；攻擊者發(fā)送大量請(qǐng)求身份認(rèn)證的數(shù)據(jù)包，導(dǎo)致認(rèn)證系統(tǒng)負(fù)載過重，無(wú)法處理正常的認(rèn)證數(shù)據(jù)；攻擊者入侵并管控?zé)o線AP，使得AP 不能正常轉(zhuǎn)發(fā)數(shù)據(jù)包，造成無(wú)線網(wǎng)絡(luò)正常用戶網(wǎng)絡(luò)不通，達(dá)到拒絕服務(wù)攻擊的目的。因無(wú)線網(wǎng)絡(luò)自身的特性，攻擊者可以使用高功率的無(wú)線發(fā)射設(shè)備，從遠(yuǎn)距離干擾無(wú)線網(wǎng)，達(dá)到拒絕服務(wù)攻擊的效果。目前，重要考試的考場(chǎng)附近都會(huì)開啟無(wú)線電屏蔽設(shè)備用以避免考生通過無(wú)線電作弊，無(wú)線電屏蔽儀就是使用拒絕服務(wù)攻擊的原理，使得無(wú)線網(wǎng)絡(luò)信號(hào)失效。

2.5 網(wǎng)絡(luò)接管與篡改

如果攻擊者入侵了無(wú)線網(wǎng)絡(luò)，并且接管并冒充了某個(gè)AP，將這個(gè)AP 所有網(wǎng)絡(luò)流量引入攻擊者的設(shè)備上，那么這臺(tái)設(shè)備可以監(jiān)聽到網(wǎng)絡(luò)中的所有數(shù)據(jù)，包括用戶名和密碼等敏感信息。在無(wú)線網(wǎng)絡(luò)中也可以使用ARP 攻擊方式，通過ARP 欺騙的方式，將主機(jī)和網(wǎng)關(guān)的流量通過攻擊主機(jī)進(jìn)行轉(zhuǎn)發(fā)，這樣就會(huì)造成正常用戶信息泄露甚至被篡改，此種方式也叫中間人攻擊。

2.6 泛洪攻擊

許多網(wǎng)絡(luò)協(xié)議在開始設(shè)計(jì)時(shí)，存在著很多不完善的地方，后來(lái)這些不完善的地方被惡意利用后變成了缺陷和漏洞，攻擊者利用這些缺陷和漏洞進(jìn)行網(wǎng)絡(luò)攻擊。泛洪攻擊就是其中之一，攻擊者發(fā)送大量錯(cuò)誤或者惡意的報(bào)文至無(wú)線網(wǎng)絡(luò)中，超出了無(wú)線網(wǎng)絡(luò)設(shè)備CPU 的運(yùn)算能力，降低了無(wú)線網(wǎng)絡(luò)的傳輸性能，導(dǎo)致丟包甚至宕機(jī)現(xiàn)象，無(wú)法正常提供無(wú)線網(wǎng)絡(luò)接入服務(wù)，攻擊者還會(huì)利用偽造的源地址擴(kuò)大影響范圍，造成大面積無(wú)線網(wǎng)絡(luò)癱瘓。由于大量的數(shù)據(jù)包像泛濫的洪水一樣涌向網(wǎng)絡(luò)設(shè)備，因此這種攻擊方式被稱為泛洪攻擊。

3 無(wú)線網(wǎng)絡(luò)通信風(fēng)險(xiǎn)防范

3.1 擴(kuò)展頻譜技術(shù)

擴(kuò)展頻譜技術(shù)是無(wú)線通信的一種技術(shù)手段，方式分為跳頻技術(shù)和直接序列2 種，可以用來(lái)進(jìn)行保密數(shù)據(jù)傳送，用以加強(qiáng)無(wú)線通信中的安全性，當(dāng)前大多數(shù)采用跳頻的方式進(jìn)行擴(kuò)展頻譜。在無(wú)線通信傳送過程中，發(fā)送端的無(wú)線電波的頻率按照約定的方式進(jìn)行多次變換，并在每個(gè)頻率停留一段時(shí)間，接收端也按照約定的方式同步進(jìn)行變換，用以正常接收數(shù)據(jù)。攻擊方不了解頻率變化規(guī)律的前提下，無(wú)法正常收到完整的數(shù)據(jù)，因此可以達(dá)到一定的保密性。直接序列方式中，數(shù)據(jù)信號(hào)的頻譜被擴(kuò)展到幾倍后，被發(fā)送端發(fā)射出去，信號(hào)跨越很寬的頻段，犧牲了頻帶帶寬，但是功率密度降低，攻擊者要想截獲這樣的信號(hào)變得非常困難，因此增加了保密性。

3.2 數(shù)據(jù)加密

數(shù)據(jù)加密技術(shù)是通過某種算法，將原來(lái)的文字轉(zhuǎn)換成不可讀懂的密文，在沒有解密的情況下無(wú)法閱讀和理解。數(shù)據(jù)加密技術(shù)主要在商業(yè)行為或軍事行動(dòng)中起到對(duì)信息保密的作用。加密算法分為2 類，一類是對(duì)稱加密算法，此類常見的算法有DES、AES 等；另外一類為非對(duì)稱加密算法，此類常見的加密算法有RSA、ECC 等。

3.3 虛擬專用網(wǎng)

虛擬專用網(wǎng)（VPN）技術(shù)是用于在互聯(lián)網(wǎng)上建立一個(gè)端到端的虛擬加密專用隧道，在虛擬的隧道中對(duì)所有數(shù)據(jù)進(jìn)行加密封裝，仿真出一個(gè)私有的廣域網(wǎng)，用戶數(shù)據(jù)在虛擬的隧道中傳輸，防止被他人竊聽。虛擬專用網(wǎng)使用PPTP、L2TP 和IPSec 協(xié)議建立隧道，使用對(duì)稱加密技術(shù)進(jìn)行數(shù)據(jù)加密，通過用戶名密碼或者加密卡進(jìn)行身份認(rèn)證。在無(wú)線網(wǎng)絡(luò)中，使用虛擬專用網(wǎng)技術(shù)建立隧道和加密數(shù)據(jù)，是一種價(jià)格較低但是安全性很高的保障方案。

3.4 訪問控制

有線網(wǎng)卡或者無(wú)線網(wǎng)卡均有一個(gè)獨(dú)一無(wú)二的硬件地址，此地址被燒錄在網(wǎng)卡的硬件中，因此被稱為物理地址，一般情況下用戶無(wú)法更改物理地址。在無(wú)線網(wǎng)絡(luò)認(rèn)證系統(tǒng)中，使用物理地址認(rèn)證的方式，可以阻擋大部分非法入侵者。因此，若要保證合法用戶能夠正常訪問無(wú)線網(wǎng)絡(luò)，則需要隨時(shí)手動(dòng)更新訪問控制列表，工作量很大，因此，此種方式只適合于用戶比較固定的小型無(wú)線網(wǎng)絡(luò)。

3.5 雙因素認(rèn)證

在無(wú)線網(wǎng)絡(luò)的身份認(rèn)證方式中，可增加雙因素認(rèn)證方式，也就是在用戶名密碼認(rèn)證的基礎(chǔ)上，增加動(dòng)態(tài)碼進(jìn)行二次認(rèn)證。動(dòng)態(tài)碼是使用加密算法在每分鐘生成一個(gè)新的字符串，所以隨時(shí)變化的字符串會(huì)極大提高攻擊者的入侵難度。因此，雙因素認(rèn)證是一種非常有效提升無(wú)線網(wǎng)絡(luò)安全性的手段。

3.6 入侵檢測(cè)

由于無(wú)線網(wǎng)絡(luò)的相對(duì)開放性和脆弱性，相對(duì)于有線網(wǎng)絡(luò)更加容易被攻擊者進(jìn)入，導(dǎo)致從網(wǎng)絡(luò)內(nèi)部產(chǎn)生攻擊行為。因此，入侵檢測(cè)系統(tǒng)是無(wú)線網(wǎng)絡(luò)認(rèn)證系統(tǒng)被攻破后的補(bǔ)充防范手段?；诰W(wǎng)絡(luò)的入侵檢測(cè)設(shè)備實(shí)時(shí)接收無(wú)線網(wǎng)絡(luò)中的數(shù)據(jù)包，將所收到的數(shù)據(jù)包與所了解的攻擊行為做比對(duì)，若與已知的攻擊行為匹配，就可識(shí)別出攻擊行為，并給出告警提示，由管理員手動(dòng)添加到防火墻的黑名單中，中斷網(wǎng)絡(luò)攻擊行為。

4 結(jié)語(yǔ)

無(wú)線網(wǎng)絡(luò)擴(kuò)大了人們使用網(wǎng)絡(luò)的范圍，特別是使得海上平臺(tái)這種偏遠(yuǎn)地區(qū)的用戶也能以較低成本接入網(wǎng)絡(luò)，極大地方便了人與人之間的溝通和交流，豐富了生活方式。當(dāng)然，無(wú)線網(wǎng)絡(luò)的開放性和可擴(kuò)展性也會(huì)造成網(wǎng)絡(luò)威脅和暴露面的成倍遞增。我們要認(rèn)識(shí)到無(wú)線網(wǎng)絡(luò)存在的風(fēng)險(xiǎn)，通過加密技術(shù)手段保障數(shù)據(jù)安全，通過安全設(shè)備增強(qiáng)防范措施，通過管理制度規(guī)范每個(gè)人的使用行為，在網(wǎng)絡(luò)運(yùn)行的各個(gè)環(huán)節(jié)得到充分的防護(hù)，才能減少無(wú)線網(wǎng)絡(luò)的威脅，提高無(wú)線網(wǎng)絡(luò)安全保障。