技术频道

环保行业组网解决方案

一、概述
环境监测部门作为国家环境保护系统的技术部门,是环境管理工作的重要基础。随着市民环境意识的增强,越来越多的人开始关心所处环境质量的好坏,要求环境保护工作透明化;上级主管部门也需要数量大、种类多、更新快的信息。所有这一切,给环境监测部门提出了一个应引起重视的问题:如何建立起实用性强、覆盖面广、灵活性好的环保数据采集系统,满足各方面对环境监测信息的需求。

在环保系统中,常常需要对众多的污染排放点进行实时监测,大部分监测数据需要实时发送到管理中心的后端服务器进行处理。由于监测点分散,分布范围广,而且大多设置在环境较恶劣的地区,通过电话线传送数据往往事倍功半。通过CDMA无线网络进行数据传输,成为环保部门选择的通信手段之一。污染源监测设备可将采集到的污染数据和告警信息通过CDMA网络及时发送到环保监测部门,实现对排污单位或个人的及时管理,可以大大提高环保部门的工作效率。

二、项目需求分析
目前,市环保监测站与各采集点之间的数据通信主要采用现场采集或PSTN电话线传输。采用电话线传输数据时,每次采集都需要等待建立拨号连接,速度慢,受外界环境影响大,而且费用也较高。同时,由于各监控点分布范围广、数量多、距离远,个别点还地处偏僻,因此需申请很多电话线,而且有些监控点有线线路难以到达。

CDMA具有速度快、使用费用低的特点,其传输速度可达153kb/s。与有线通讯方式相比,采用CDMA无线通信方式则显得非常灵活,它具有组网灵活、扩展容易、运行费用低投,维护简单、性价比高等优点因此,目前正考虑采用CDMA无线传输方式解决污染源监测数据的实时传输问题。

三、CDMA 1X 传输方式的优势
CDMA无线环保污染源在线监控系统具备如下特点:

1、实时性强:

与PSTN,短消息服务比较,由于CDMA具有实时在线特性,系统无时延,无需轮巡就可以同步接收、处理多个/所有监测点的各种数据。可很好的满足系统对数据采集和传输实时性的要求。

2、可对各监测点仪器设备进行远程控制:

通过CDMA双向系统还可实现对仪器设备进行反向控制,如:时间校正、状态报告、开关等控制功能,并可进行系统远程在线升级。

3、建设成本少低:

由于采用CDMA公网平台,无需建设无线网络,只需安装好设备就可以,建设成本低;

4、监控范围广:

构建环保信息采集传输系统要求数据通信覆盖范围广,扩容无限制,接入地点无限制,能满足海洋、山区、乡镇和跨地区的接入需求。由于环保信息采集点数量众多,分布在全市范围内,部分环保信息采集点位于偏僻地区,而且地理位置分散。

5、具有良好的可扩展性:

由于目前CDMA网络已覆盖室内绝大部分地区及距海岸线120Km内的海域,对环保采集点基本不存在盲区,可实现大范围的在线监控,满足环保信息采集传输系统对覆盖范围的要求。

6、系统的传输容量大:

环保中心站要和每一个环保信息采集点实现实时连接。由于环保信息采集点数量众多,系统要求能满足突发性数据传输的需要,而CDMA技术能很好地满足传输突发性数据的需要。

7、数据传送速率高:

每个环保信息采集点每次数据传输对带宽要求在10Kb/s之内。目前CDMA实际数据传输速率在80-120Kbps左右,完全能满足本系统数据传输速率(≥10Kbps)的需求。

8、通信费用低:

采用流量计费或包月计费方式,运营成本低。

四、泰亚东方VPDN(网中数据网)应用安全方案
无论您在什么地方,只要您打开笔记本电脑或PDA就直接登录到您的办公网中去,就像您在办公室一样。查信息、看数据,网上办公安全又便捷。您的计算机或PDA只需要一张CDMA号卡,单位只要提供一个路由器端口即可。

您也不用为传送分散在不同地点的数据而烦恼了,VPDN为您建立了空中专线,您的设备只需要插上一张CDMA号卡,无需挖沟拉线,无论在全国繁华的市区,还是在偏远的山区,都能进行快速稳定的数据传送,您以前想都不敢想的事联通帮您完成了,而且省钱、省力、快速实现。

4.1、VPDN技术简介
简单地说,VPDN是基于SIP方式(也支持MIP)接入专网,并辅以VPN技术,有时候也称Simple IP技术+ L2TP技术。下图中企业用户通过无线网络接入分组域PDSN,由分组域中AAA进行接入认证,业务授权,在PDSN和企业网之间利用L2TP协议建立起专用隧道,并在隧道中利用工作在传输模式下的IPSec协议把IP数据包加密,从而保护隧道中的数据安全。接入用户通过企业网AAA的认证后,终端经过分组网的PDSN与企业的LNS间建立起PPP连接,用户传输的数据流通过隧道到达企业网。

按此在新窗口浏览图片

4.2、无线接入及VPDN的安全性

泰亚东方自行设计的VPDN方案是基于联通CDMA 1X网络和和泰亚东方研发生产的TCR系列无线路由器,集合时下流行的L2TP+IPSec技术组网而成(简称泰亚东方VPDN方案),在安全性和经济经方面有着突出的优势。

1. VPDN的安全保障

按照上述VPDN的示意图,泰亚东方VPDN可以提供5级业务安全保障,从而充分保证网络中数据的安全。

(1)第一级安全保证:CDMA网络本身的安全性

目前世界上使用的移动通信网络主要有两种:GSM和CDMA。与GSM相比,CDMA网络系统在安全保密方面具有很大优势。CDMA本来就是起源军事保密技术,在战争期间广泛应用于军事领域,具有抗干扰、安全通信、保密性好的特性。进行移动手机信号的窃听一般使用以下三种方法。首先,需要捕捉到通信信号。在空间中充满了各种各样的无线电波,用户手机信号就混杂在其中。要想窃听某一个用户的通话,首先必须捕捉到这个用户手机发出的特定的电磁波。由于CDMA系统采用扩频技术,经过扩频以后的有用信号的频谱被大大地展宽了,用户信号隐蔽在互不相关的信号中,要想捕捉到这一有用信号非常困难。因此,窃听器捕捉不到,也无法识别出哪些是CDMA手机用户的通信信号,哪些是噪音。其次,窃听器必须锁定手机用户通信的信号,继而才能分析和破解信息。而CDMA采用快速切换功率控制技术,即便是窃听设备捕捉到了用户手机信号,也不能锁定快速功率切换下的有用信号,因此,快速功率切换让CDMA信号很难锁定。第三,需要破解用户信息编码。而CDMA采用伪随机码技术,用长达42位的伪随机码来标识区分用户,每次通话都有4.4万亿种可能的排列,窃听器很难破译出CDMA的编码。所以CDMA技术本身就很安全。

(2)第二级安全保证:CDMA网络侧的AAA认证

AAA是指认证(Authentication)、授权(Authorization)、计费(Accounting)三个过程,其中:

认证是,用户在使用网络系统中的资源时对用户身份的确认。这一过程,通过与用户的交互获得身份信息(像用户名-口令、生物特征信息等),然后提交给认证服务器;认证服务器对身份信息与存储在数据库里的用户信息进行核对处理,然后根据处理结果确认用户身份是否正确。

授权是,网络系统授权用户以特定的权限使用其资源,这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限,如授予IP地址,准许访问时间等。

计费是,网络系统收集、记录用户对网络资源的使用信息,以便向用户收取资源使用费。以互联网业务提供商ISP为例,用户的网络接入使用情况可以按流量或者时间准确地记录下来。

认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益,又能有效地保障网络系统安全可靠地运行。

CDMA网络侧的AAA认证过程是对用户的域名进行鉴权认证,网中数据网的用户(VPDN成员)是以username@xxx.133vpdn.bj形式登录的(用户在联通登记入网时,北京联通分配其一个域名xxx.133vpdn.ln)。CDMA网络侧的AAA服务器对登录用户的域名和该用户的IMSI进行绑定审核验证。验证通过后,方可接入联通CDMA网络。

移动通信从电路交换,发展到CDMA 1X分组网络,再到第三代移动通信网络,用于认证、授权和计费的协议也在随之演进,从基于7号信令的协议,到部分采用RADIUS,再发展到Diameter,这主要是由越来越丰富的业务决定的。Diameter协议由IETF的AAA工作组在2002年3月提出的认证计费协议草案。Diameter协议支持移动IP、NAS请求和移动代理的认证、授权和计费工作。协议的实现和RADIUS类似,也是采用Attribute-Length-&#118alue三元组来实现,但是其中详细规定了错误处理等内容。它在设计过程中,不仅保持了与广为使用的RADIUS协议的兼容,更克服了RADIUS协议的许多不足,而且它不仅仅被互联网采用,更被下一代移动通信网(3G)采用。在第三代移动网络和业务开展初期,为了和已有的设备和传统业务互通,需要采用Diameter与RADIUS之间的协议转换器,但是最终还是统一使用AAA Diameter协议。

(3)第三级安全保证:CDMA网络和用户网络之间的VPN链接

CDMA网络和用户网络之间可以采用专线链接,也可以使用Internet链接。使用Internet链接必须考虑安全性,因此,可以使用VPN将二者利用Internet链接起来。

VPN技术非常复杂,涉及到通信技术、密码技术和现代认证技术。主要包含两种技术:隧道技术与安全技术。

隧道技术的基本过程是在源局域网与公网接口处将数据封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,被封装的数据包在互联网上传播时的所经过的路径被称为“隧道”。常用的隧道协议有:1.点到点隧道协议—PPTP(现已基本淘汰); 2.第二层隧道协议—L2TP,该协议是国际标准隧道协议,具有PPTP协议以及第二层转发协议(L2F)的优点,可以使PPP包以隧道方式通过各种网络,包括ATM、SONET、帧中继。但没有任何加密措施;3.IPSec协议,该协议是一个范围广泛、开放的VPN安全协议,工作在网络层。它提供所有在网络层上的数据保护和透明的安全通信。可以在两种模式下运行:一种是隧道模式,一种是传输模式。在隧道模式下IPSec把IPv4数据包封装在安全的IP帧中;传输模式是为了保护端到端的安全性,不会隐藏路由信息。 目前一种趋势是将L2TP和IPSec结合起来:用L2TP作为隧道协议,用IPSec协议保护数据。市场上大部分VPN采用这类技术。 4.SOCKS v5协议,SOCKS v5工作在OSI模型中的第五层——会话层,可作为建立高度安全的VPN的基础。SOCKS v5协议的优势在访问控制,因此适用于安全性较高的VPN,SOCKS v5现在被IETF建议作为VPN的标准。

VPN是在不安全的Internet上传输的,传输内容可能涉及到企业的机密数据,因此安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。主要有认证技术,加密技术,秘钥管理与交换技术。

(4)第四级安全保证:用户网络侧的安全防火墙(FW)

防火墙技术是目前用来实现网络安全措施的一种主要手段,主要是用来拒绝非法用户的访问,阻止非法用户存取敏感数据,同时允许合法用户顺利访问网络资源。防火墙实际上是一种访问控制技术,在某个机构的内部网络和不安全网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上的非法输出。

实现防火墙的主要技术有:数据包过滤,应用网关和代理服务等。包过滤(Packet Filter)技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过,其核心是安全策略即过滤算法的设计。应用网关(Application Gateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关可以严格控制某些易于登录和控制的所有的输出输入通信环境,以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中,应用网关一般使用专用工作站系统。代理服务器(Proxy Server)作用在应用层,用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。

用户网络可以选用适合于本单位的防火墙产品来保证自己网络数据的安全。

(5)第五级安全保证:用户网络侧的AAA鉴权认证

用户网络侧的AAA鉴权认证可以实现对VPDN成员的身份认证。与第二级的安全保证不同,本级的AAA服务器将鉴别VPDN成员的用户名和密码的正确性。

username@xxx.133vpdn.bj中的域名将是中国联通公司提供给专网接入用户的专有统一域名,用户名(username)可以是VPDN中每个成员的手机号码或者其它标识。VPDN中成员的用户名和密码等资料将保存在用户专网侧的AAA服务器,具有很好的安全性和管理的灵活性。

2. VPDN系统链路及用户所需接入资源

按此在新窗口浏览图片

VPDN系统链路示意图

如上图所示,单位侧需要一条链路与联通网管中心连接,联通将单位用户的请求加密后通过该链路发送到单位的网络中心。联通PDSN系统会根据用户请求信息路由用户请求,非法用户无法通过PDSN系统进入企业专网。联通侧数据都经过加密,即使联通内部人员也无法解读用户传输的数据。单位可以通过点对点专线的方式与联通连接,也可以通过互联网接入的方式与联通连接。

用户所需接入设备:

1.单位侧需要一台支持L2TP协议的路由器做为专线网络连接设备。

2.一台PC+AAA认证软件作为单位用户帐号管理。

3.一台ipsec vpn服务器。(可选项)

4.一台泰亚东方TCR系列无线路由器作为数据终端的无线接入设备。

4.3、泰亚东方无线路由器应用领域

利用泰亚东方无线路由器可以实现快捷、方便、安全的无线数据传输,有效地解决了远程多点的实时数据传输需求,同时与开设专线相比,大大节省了运营成本,其应用领域相当广泛,例如:

l 银行ATM机、金融POS机无线联网及网点备份;

l 分散地点的电子认证:针对移动应用(如移动银行等);关键地点、位置的集中门禁控制系统;以及其它分散地点集中认证相关的认证服务等。

l 工业控制等分散数据采集:跨区的大型企业工业数据采集及控制系统,如石化集团天然汽、石油管道阀门、罐等参数的采集;城区供暖天然汽锅炉的参数自动采集;环保、气象等相关分散点数据采集监控应用;

l 小额支付:小额物品购买的支付系统,通过移动网络进行用户的认证和小额记费,比如路边、酒店、旅游景点的自动售货系统;彩票销售系统;路侧停车收费信息采集系统;涉及到无人职守的小额支付等。

l 其它基于分散点数据采集的系统:其它涉及商务,连锁的应用数据采集,比如连锁商店销售,配货信息的采集和调度,彩票销售;物流公司相关业务的数据采集;地铁、公交站点票务支付等。

五、环保数据监控CDMA无线接入实施方案
针对实际需求,建议环保局使用联通VPDN专线作为传输的主干线,可以保证数据传输实时、稳定、可靠及安全;各个监控点使用无线路由器作为接入终端,监控数据通过无线路由器传输到环保局监控中心。

网络结构如下图:

按此在新窗口浏览图片

环保数据监控无线应用方案拓扑图

环保监测所需接入设备:

1. 一台支持L2TP隧道协议的路由器作为NAS(接入路由器)。

2. NAS后面接一台高端防火墙。

3. 一台PC+AAA认证软件作为单位用户帐号管理。

4. 一台ipsec vpn服务器。注:此设备是可选项,仅当希望使用ipsec加密协议时选用;如果NAS或者防火墙具有ipsec vpn功能,可以省去此服务器。

各监控点所需接入设备:

1. 一台泰亚东方TCR系列无线路由器作为数据终端的无线接入设备。

此方案数据传输的工作流程:

在联通完成网络侧配置后,首先由无线路由器发起拨号连接,经过联通侧AAA服务器验证后,CDMA1X分组接入设备PDSN通过L2TP隧道路由连到环保局监控中心NAS路由器上,中间经过联通骨干网和专线。整个隧道的开启和通过均在联通网络内部,作为大型的电信运营商,有严格的安全管理和保护措施,确保网内的数据安全可靠,具有很高的安全性保障,而且不存在互连互通瓶颈,可以有效保证用户使用性能。然后NAS路由器将认证信息传输给环保局侧AAA服务器,一旦认证通过,AAA服务器会给无线路由器分配一个合法ip地址,此时无线路由器和环保局监控中心端NAS路由器成功L2TP隧道建立。

在环保局NAS路由器中添加相应的路由信息,监控中心便可以访问各监控点的网络设备,实现数据的无线传输

文章版权归西部工控xbgk所有,未经许可不得转载。