淺談無線網絡通信在海上平臺的應用及安全

姜金智

（中海油信息科技有限公司，天津 300450）

海上平臺是從海底架起的一個高出水面的構筑物，上面鋪設甲板做為平臺，用以放置鉆井或采油機械設備，提供鉆井或采油作業場所及工作人員生活場所，固定式海上平臺距離大陸較遠，成為海中孤島。若采用傳統的通訊方式，鋪設通訊電纜或者光纜成本較高。因此，一般需要采用遠距離無線通信的方式解決海上平臺語音和數據傳輸問題。無線通信技術自身有很多優點，顧名思義，首先，無線通訊無需使用物理線路，通過電磁波即可直接傳播，不用鋪設電纜或者光纜，成本相對有線通訊來說非常低，更不會出現線路中斷帶來的故障。其次，無線通訊的擴展非常容易，直接增加發射端和接收端即可擴展，增加無線通訊鏈路。近年來，隨著岸基通信、海上船舶通信、無人艦艇編隊通信、海上平臺、海上風力發電等一系列海洋通信系統的技術發展，對長距離離岸、高帶寬、音頻和視頻傳輸、遠程控制、遙測等的需求正在逐漸上升，傳統的窄帶寬通訊手段已經不能滿足常規的海上平臺日常通訊需求，給海上平臺日常辦公和通訊帶來了諸多障礙。

1 無線網絡通信實現方式

現在偏遠山區和海上平臺常見的無線通信方式包括以下幾種：無線電短波通信、數傳電臺通信、衛星通信、無線微波通信、5G 通信等。下文對上述無線網絡通信方式的技術實現方式和各自的優缺點進行了簡單介紹。

1.1 無線電短波通信

根據國際無委會對短波通信的相關定義，短波的頻率為3~30MHz 之間，根據公式換算，波長在100~10m 之間。短波通信是指利用短波進行的無線電通信，又稱高頻（HF）通信。短波通信通過傳輸方式可以分為2 種，一種是通過地波進行通信，優點是受天氣影響較小，穩定性較高，但是通信距離較短，工作頻率較低。另外一種是通過天波進行通信，天波可以經過大氣層中的電離層反射后，傳輸到上千公里之外，但是天波相對于地波，通信穩定性較差，容易受到天氣干擾。短波通信的特點是設備安裝調試簡單、建設成本較低、通訊帶寬較低、抗風險能力強，可以做到全向通信。海上平臺在早期使用短波通信的方式，因短波通訊帶寬較窄，只能傳輸語音，并且語音的清晰度不足，目前短波通信已經不再作為主要的通信方式，僅供應急情況時使用。

1.2 數傳電臺通信

數傳電臺是數字式無線數據傳輸電臺的簡稱。數傳電臺通過數字信號進行無線通信，工作頻段大多使用VHF或者UHF 頻段，因此，傳輸距離在幾公里至幾十公里左右。數傳電臺的優點為傳輸效果和穩定性較好，抗干擾能力強、適用于惡劣環境，建設成本較低、安裝調試方便、使用成本低等特點，缺點是通信距離較近，無法應用在遠距離通信上。目前數傳電臺主要用于海上平臺與周邊船舶通訊，主要傳輸語音信號。

1.3 衛星通信

衛星通信系統一般由通信衛星和地面站2 部分組成，衛星通信是通過人造地球衛星作為中繼站，轉發2 個或多個地面站之間的無線電信號，最終實現在多個地面站之間進行長距離無線通信。通信衛星在距離地面很高的太空中以一定軌道運行，把天線對準地面站，接收地面站發來的信號，然后再把信號放大、變換、處理后，轉發到另外的一個或者多個地面站。通信衛星一般是同步靜止衛星，在空中的運行方向和周期與地球的自轉方向及周期相同，從地面上看通信衛星是靜止不動的，因此地面站的天線可以固定對準衛星，實現不間斷的信號傳輸。由于通信衛星運行軌道高度非常高，一顆同步靜止衛星能夠覆蓋地球表面的40%面積，覆蓋區內無論在海上、陸地甚至空中都能夠進行通信，通信距離和范圍非常大。衛星通信的優點為通信覆蓋范圍非常大，距離非常遠，能夠迅速開通通信線路，不易受地質災害影響，可在多處同時進行接收，是應急通信的優先選擇。但是衛星通信仍然存在自身的缺陷，比如衛星發射和控制技術復雜，出現故障難以維修；衛星通信傳輸延時很高，延時大約為500ms，對語音通話有一定影響，若是對網絡延時特別敏感的控制系統，例如PLC 系統，更無法使用衛星通信；每年春分和秋分時節前后，當地時間的中午12 點左右，強烈的太陽噪聲會嚴重干擾衛星通信，此現象被稱為日凌現象，導致衛星通信中斷幾十分鐘。衛星通信的成本非常高，地面站點建設完成后仍需按月付費。因此，目前只有距離陸地非常遙遠的海上平臺使用衛星通信的方式。

1.4 無線微波通信

微波通信是使用頻率300~3000GHz 的電磁波進行通信，使用無線微波網橋作為載體，發射微波作為介質進行通信。無線微波網橋是為使用無線（微波）進行遠距離數據傳輸的點對點網間互聯而設計。無線微波網橋工作在數據鏈路層，分為發射端和接收端，一般成對使用。因受到地球曲率影響。無線微波網橋的傳輸距離一般可達50kM，如果增加天線高度，或者增加中繼站，可以增加傳輸距離。微波通信特點為直線傳播，兩端不能有阻擋，帶寬較高，延時較低，支持多種業務，建設完成后沒有后續費用。目前距離陸地較近的海上平臺，主要使用無線微波網橋的方式進行數據和語音的傳輸。

1.5 5G 通信

第五代移動通信技術（簡稱5G）是市面最新的移動通信網絡傳輸方式，具備速率非常高、延時比較低的特點。5G 現在不僅能夠傳輸清晰的語音，提供人與人的通話功能，還要提供人與設備、設備與設備間通訊的功能，提供視頻通話、虛擬現實等業務，滿足遠程醫療、遠程視頻、遠程監控、物聯網等應用需求。在海上平臺，5G 結合無人機、機器人可以進行遠程立體化巡檢遠程操作設備、應急救援等。同時，還可以為海上平臺周邊移動船舶提供網絡接入，解決移動船舶無法聯網的問題。

2 無線網絡通信存在風險

無線網絡通信是以電磁波的形式通過電磁輻射傳輸信息，無需經過物理線路介質，在電磁波的覆蓋范圍內的無線設備都可以收到網絡通信信息。與傳統的有線網絡相比，非法無線設備可以輕松的截取無線網絡中的數據，不受物理條件限制。因此，無線網絡存在的安全性問題也更加多變和復雜。

一般無線網絡通信容易遭到的攻擊類型分為2 種：一種是基于無線網絡通信的協議特點、設計方案、傳輸原理的方式進行攻擊行為；另外一種是基于數據的完整性和保密性、網絡準入、訪問控制層面的攻擊行為。因為無線網絡覆蓋范圍較大，攻擊者可以不進入防范區域內即可對無線網絡進行攻擊行為。因此，無線網絡的網絡攻擊風險遠大于傳統的有限網絡。目前無線網絡的存在的風險如下。

2.1 無線加密算法過于簡單

WEP 加密是無線加密技術中最早使用的技術，用來加密無線網絡傳輸內容，防止傳輸內容被入侵或者竊聽。但是WEP 加密方式存在不少漏洞，存在加密算法簡單、密鑰管理復雜、非常容易被破解的安全隱患。因此，后續被WPA 和WPA2 所淘汰。目前廣泛使用WPA2 加密方式對無線網絡進行加密。

2.2 搜索攻擊和信息泄露

目前有許多針對無線網絡進行嗅探、識別與攻擊的軟件與技術，通過分析無線網絡的信道和SSID，能夠推斷出無線加密的信息，提供了入侵所需的相關信息。黑客通過專業軟件嗅探和竊聽無線網絡中的數據，破解出無線加密的密鑰后，入侵到無線網絡中，可竊聽和抓取其中傳遞的信息和文件，最終導致信息被竊聽和截取，造成信息泄露，引起財產損失。

2.3 身份驗證欺騙

身份驗證欺騙的入侵方式是通過欺騙網絡認證設備，讓網絡認證設備誤以為非法入侵設備是網絡中合法的、有權限的設備連接無線網絡。無線網絡開放身份驗證只需要SSID 和認證密鑰相符，即可接入該網絡。而共享機密身份驗證的過程中，發送密鑰至認證回應的身份驗證過程是明文傳輸的，只需抓取到此部分數據包，即可比較容易的破解加密密鑰。

2.4 拒絕服務攻擊

拒絕服務是指攻擊者通過發送像洪水一樣的流量數據耗盡目標網絡或者主機的資源，導致不能為合法用戶提供正常的網絡服務。無線網絡拒絕服務的方式有以下幾種：攻擊者讓多種無線設備發射同一頻率的電磁波，導致無線頻譜中同頻干擾；攻擊者發送大量請求身份認證的數據包，導致認證系統負載過重，無法處理正常的認證數據；攻擊者入侵并管控無線AP，使得AP 不能正常轉發數據包，造成無線網絡正常用戶網絡不通，達到拒絕服務攻擊的目的。因無線網絡自身的特性，攻擊者可以使用高功率的無線發射設備，從遠距離干擾無線網，達到拒絕服務攻擊的效果。目前，重要考試的考場附近都會開啟無線電屏蔽設備用以避免考生通過無線電作弊，無線電屏蔽儀就是使用拒絕服務攻擊的原理，使得無線網絡信號失效。

2.5 網絡接管與篡改

如果攻擊者入侵了無線網絡，并且接管并冒充了某個AP，將這個AP 所有網絡流量引入攻擊者的設備上，那么這臺設備可以監聽到網絡中的所有數據，包括用戶名和密碼等敏感信息。在無線網絡中也可以使用ARP 攻擊方式，通過ARP 欺騙的方式，將主機和網關的流量通過攻擊主機進行轉發，這樣就會造成正常用戶信息泄露甚至被篡改，此種方式也叫中間人攻擊。

2.6 泛洪攻擊

許多網絡協議在開始設計時，存在著很多不完善的地方，后來這些不完善的地方被惡意利用后變成了缺陷和漏洞，攻擊者利用這些缺陷和漏洞進行網絡攻擊。泛洪攻擊就是其中之一，攻擊者發送大量錯誤或者惡意的報文至無線網絡中，超出了無線網絡設備CPU 的運算能力，降低了無線網絡的傳輸性能，導致丟包甚至宕機現象，無法正常提供無線網絡接入服務，攻擊者還會利用偽造的源地址擴大影響范圍，造成大面積無線網絡癱瘓。由于大量的數據包像泛濫的洪水一樣涌向網絡設備，因此這種攻擊方式被稱為泛洪攻擊。

3 無線網絡通信風險防范

3.1 擴展頻譜技術

擴展頻譜技術是無線通信的一種技術手段，方式分為跳頻技術和直接序列2 種，可以用來進行保密數據傳送，用以加強無線通信中的安全性，當前大多數采用跳頻的方式進行擴展頻譜。在無線通信傳送過程中，發送端的無線電波的頻率按照約定的方式進行多次變換，并在每個頻率停留一段時間，接收端也按照約定的方式同步進行變換，用以正常接收數據。攻擊方不了解頻率變化規律的前提下，無法正常收到完整的數據，因此可以達到一定的保密性。直接序列方式中，數據信號的頻譜被擴展到幾倍后，被發送端發射出去，信號跨越很寬的頻段，犧牲了頻帶帶寬，但是功率密度降低，攻擊者要想截獲這樣的信號變得非常困難，因此增加了保密性。

3.2 數據加密

數據加密技術是通過某種算法，將原來的文字轉換成不可讀懂的密文，在沒有解密的情況下無法閱讀和理解。數據加密技術主要在商業行為或軍事行動中起到對信息保密的作用。加密算法分為2 類，一類是對稱加密算法，此類常見的算法有DES、AES 等；另外一類為非對稱加密算法，此類常見的加密算法有RSA、ECC 等。

3.3 虛擬專用網

虛擬專用網（VPN）技術是用于在互聯網上建立一個端到端的虛擬加密專用隧道，在虛擬的隧道中對所有數據進行加密封裝，仿真出一個私有的廣域網，用戶數據在虛擬的隧道中傳輸，防止被他人竊聽。虛擬專用網使用PPTP、L2TP 和IPSec 協議建立隧道，使用對稱加密技術進行數據加密，通過用戶名密碼或者加密卡進行身份認證。在無線網絡中，使用虛擬專用網技術建立隧道和加密數據，是一種價格較低但是安全性很高的保障方案。

3.4 訪問控制

有線網卡或者無線網卡均有一個獨一無二的硬件地址，此地址被燒錄在網卡的硬件中，因此被稱為物理地址，一般情況下用戶無法更改物理地址。在無線網絡認證系統中，使用物理地址認證的方式，可以阻擋大部分非法入侵者。因此，若要保證合法用戶能夠正常訪問無線網絡，則需要隨時手動更新訪問控制列表，工作量很大，因此，此種方式只適合于用戶比較固定的小型無線網絡。

3.5 雙因素認證

在無線網絡的身份認證方式中，可增加雙因素認證方式，也就是在用戶名密碼認證的基礎上，增加動態碼進行二次認證。動態碼是使用加密算法在每分鐘生成一個新的字符串，所以隨時變化的字符串會極大提高攻擊者的入侵難度。因此，雙因素認證是一種非常有效提升無線網絡安全性的手段。

3.6 入侵檢測

由于無線網絡的相對開放性和脆弱性，相對于有線網絡更加容易被攻擊者進入，導致從網絡內部產生攻擊行為。因此，入侵檢測系統是無線網絡認證系統被攻破后的補充防范手段。基于網絡的入侵檢測設備實時接收無線網絡中的數據包，將所收到的數據包與所了解的攻擊行為做比對，若與已知的攻擊行為匹配，就可識別出攻擊行為，并給出告警提示，由管理員手動添加到防火墻的黑名單中，中斷網絡攻擊行為。

4 結語

無線網絡擴大了人們使用網絡的范圍，特別是使得海上平臺這種偏遠地區的用戶也能以較低成本接入網絡，極大地方便了人與人之間的溝通和交流，豐富了生活方式。當然，無線網絡的開放性和可擴展性也會造成網絡威脅和暴露面的成倍遞增。我們要認識到無線網絡存在的風險，通過加密技術手段保障數據安全，通過安全設備增強防范措施，通過管理制度規范每個人的使用行為，在網絡運行的各個環節得到充分的防護，才能減少無線網絡的威脅，提高無線網絡安全保障。