石油資源關係到國民經濟的正常運行
，因此各國對石油行業都給予了極大的重視，隨著石油行業的不斷發展，油井
、鑽井平台

、采油廠等設施遍布油田的每一個角落，具有布局分散
、點多麵廣的特點
，對這些設施進行實時的數據采集和監控對石油行業的安全高效運行是至關重要的。

     泰亞東方根據石油行業的特點，結合自主研發的無線路由器、無線DTU等無線數據傳輸設備
，麵向石油行業提供專業的無線數據采集監控解決方案，該方案具有穩定高速、實時在線、安全穩定的特點，能有效的保證石油行業的運行安全，提高石油行業的管理水平。

石油行業使用CDMA1X業務的生產安全保障
    石油行業的安全隱患主要來自於物體摩擦產生的火花、物體靜電釋放時產生的火花和明火。使用CDMA1X業務進行數據傳輸時必須在PC機上加CDMA 1X無線數據傳輸設備使用，CDMA 1X無線數據傳輸設備在使用過程中實際上可以視為PC機的設備之一
，類同於PC機必備的CPU、顯卡、顯示器等設備。所以，隻要PC機電源正常接地
，不存在由於CDMA 1X無線數據傳輸設備單獨積累靜電而釋放電火花導致安全事故的隱患。
    CDMA技術采用800兆頻段（上行825兆赫
，帶寬15M，下行870兆赫帶寬15M），具備綠色環保
、輻射小等優於GSM無線傳輸的優勢。在射頻火花能量大於6瓦時
，極短時間即可引燃可燃氣體，引發安全生產事故，而CDMA係統發射功率最高隻有200毫瓦
，普通通話功率可控製在零點幾毫瓦，其輻射作用可以忽略不計。目前CDMA信號已經覆蓋全國

，不存在由於無線信號導致安全隱患的可能。
    另外油井
、鑽井平台
、采油廠等地的各項設備按規範正常接地
，選用防爆天線
，就不會存在由於產生射頻電流火花而導致火災爆炸的可能性。

CDMA 1X無線接入的安全性
    CDMA1X采用脫胎於軍用技術的無線擴頻技術

，用戶端到無線網絡接入設備間的無線空中通道目前不可能被破解
；無(wu)線(xian)分(fen)組(zu)設(she)備(bei)到(dao)用(yong)戶(hu)終(zhong)端(duan)設(she)備(bei)間(jian)，采(cai)用(yong)隧(sui)道(dao)穿(chuan)過(guo)專(zhuan)線(xian)接(jie)入(ru)，可(ke)以(yi)有(you)效(xiao)保(bao)證(zheng)整(zheng)個(ge)係(xi)統(tong)的(de)安(an)全(quan)。要(yao)保(bao)護(hu)整(zheng)體(ti)係(xi)統(tong)的(de)安(an)全(quan)
，首(shou)先(xian)要(yao)保(bao)證(zheng)網(wang)絡(luo)本(ben)身(shen)的(de)安(an)全(quan)。必(bi)須(xu)盡(jin)可(ke)能(neng)地(di)屏(ping)蔽(bi)外(wai)部(bu)非(fei)法(fa)訪(fang)問(wen)及(ji)非(fei)法(fa)數(shu)據(ju)，對(dui)從(cong)外(wai)部(bu)網(wang)絡(luo)連(lian)入(ru)的(de)終(zhong)端(duan)進(jin)行(xing)嚴(yan)格(ge)的(de)用(yong)戶(hu)認(ren)證(zheng)及(ji)控(kong)製(zhi)。針(zhen)對(dui)CDMA1X的各環節

，我們分別分析其安全性，並提供5級業務安全保障
，從而充分保證網絡中數據的安全。
1）第一級安全保障：CDMA網絡本身的安全性
    目前世界上使用的移動通信網絡主要有兩種：GSM和CDMA。與GSM相比
，CDMA網絡係統在安全保密方麵具有很大優勢。CDMA本來就是起源軍事保密技術，在戰爭期間廣泛應用於軍事領域，具有抗幹擾、安全通信、保bao密mi性xing好hao的de特te性xing。進jin行xing移yi動dong手shou機ji信xin號hao的de竊qie聽ting一yi般ban使shi用yong以yi下xia三san種zhong方fang法fa。首shou先xian，需xu要yao捕bu捉zhuo到dao通tong信xin信xin號hao。在zai空kong間jian中zhong充chong滿man了le各ge種zhong各ge樣yang的de無wu線xian電dian波bo

，用yong戶hu手shou機ji信xin號hao就jiu混hun雜za在zai其qi中zhong。要yao想xiang竊qie聽ting某mou一yi個ge用yong戶hu的de通tong話hua

，首shou先xian必bi須xu捕bu捉zhuo到dao這zhe個ge用yong戶hu手shou機ji發fa出chu的de特te定ding的de電dian磁ci波bo。由you於yuCDMAxitongcaiyongkuopinjishu，jingguokuopinyihoudeyouyongxinhaodepinpubeidadadizhankuanle，yonghuxinhaoyinbizaihubuxiangguandexinhaozhong，yaoxiangbuzhuodaozheyiyouyongxinhaofeichangkunnan。yinci，qietingqibuzhuobudao，yewufashibiechunaxieshiCDMA手機用戶的通信信號，哪些是噪音。其次
，竊聽器必須鎖定手機用戶通信的信號，繼而才能分析和破解信息。而CDMA采用快速切換功率控製技術，即便是竊聽設備捕捉到了用戶手機信號，也不能鎖定快速功率切換下的有用信號
，因此，快速功率切換讓CDMA信號很難鎖定。第三，需要破解用戶信息編碼。而CDMA采用偽隨機碼技術，用長達42位的偽隨機碼來標識區分用戶，每次通話都有4.4萬億種可能的排列，竊聽器很難破譯出CDMA的編碼。所以CDMA技術本身就很安全。
2）第二級安全保障：CDMA網絡側的AAA認證
    AAA是指認證（Authentication）、授權（Authorization）、計費（Accounting）三個過程，其中：
    認證是，用戶在使用網絡係統中的資源時對用戶身份的確認。這一過程
，通過與用戶的交互獲得身份信息（像用戶名－口令、生物特征信息等），然後提交給認證服務器；認證服務器對身份信息與存儲在數據庫裏的用戶信息進行核對處理，然後根據處理結果確認用戶身份是否正確。
    授(shou)權(quan)是(shi)，網(wang)絡(luo)係(xi)統(tong)授(shou)權(quan)用(yong)戶(hu)以(yi)特(te)定(ding)的(de)權(quan)限(xian)使(shi)用(yong)其(qi)資(zi)源(yuan)，這(zhe)一(yi)過(guo)程(cheng)指(zhi)定(ding)了(le)被(bei)認(ren)證(zheng)的(de)用(yong)戶(hu)在(zai)接(jie)入(ru)網(wang)絡(luo)後(hou)能(neng)夠(gou)使(shi)用(yong)的(de)業(ye)務(wu)和(he)擁(yong)有(you)的(de)權(quan)限(xian)，如(ru)授(shou)予(yu)IP地址，準許訪問時間等。
    計費是，網絡係統收集
、記錄用戶對網絡資源的使用信息，以便向用戶收取資源使用費。以互聯網業務提供商ISP為例，用戶的網絡接入使用情況可以按流量或者時間準確地記錄下來。
    認證、授(shou)權(quan)和(he)計(ji)費(fei)一(yi)起(qi)實(shi)現(xian)了(le)網(wang)絡(luo)係(xi)統(tong)對(dui)特(te)定(ding)用(yong)戶(hu)的(de)網(wang)絡(luo)資(zi)源(yuan)使(shi)用(yong)情(qing)況(kuang)的(de)準(zhun)確(que)記(ji)錄(lu)。這(zhe)樣(yang)既(ji)在(zai)一(yi)定(ding)程(cheng)度(du)上(shang)有(you)效(xiao)地(di)保(bao)障(zhang)了(le)合(he)法(fa)用(yong)戶(hu)的(de)權(quan)益(yi)，又(you)能(neng)有(you)效(xiao)地(di)保(bao)障(zhang)網(wang)絡(luo)係(xi)統(tong)安(an)全(quan)可(ke)靠(kao)地(di)運(yun)行(xing)。
    CDMA網絡側的AAA認證過程是對用戶的域名進行鑒權認證
，網中數據網的用戶（VPDN成員）是以形式登錄的（用戶在聯通登記入網時
，北京聯通分配其一個域名xxx.133vpdn.bj）。CDMA網絡側的AAA服務器對登錄用戶的域名和該用戶的IMSI進行綁定審核驗證。驗證通過後
，方可接入聯通CDMA網絡。
    移動通信從電路交換
，發展到CDMA 1X分組網絡，再到第三代移動通信網絡
，用於認證、授權和計費的協議也在隨之演進

，從基於7號信令的協議，到部分采用RADIUS，再發展到Diameter，這主要是由越來越豐富的業務決定的。Diameter協議由IETF的AAA工作組在2002年3月提出的認證計費協議草案。Diameter協議支持移動IP、NAS請求和移動代理的認證

、授權和計費工作。協議的實現和RADIUS類似，也是采用Attribute-Length-Value三元組來實現，但是其中詳細規定了錯誤處理等內容。它在設計過程中

，不僅保持了與廣為使用的RADIUS協議的兼容
，更克服了RADIUS協議的許多不足
，而且它不僅僅被互聯網采用，更被下一代移動通信網（3G）采用。在第三代移動網絡和業務開展初期，為了和已有的設備和傳統業務互通，需要采用Diameter與RADIUS之間的協議轉換器，但是最終還是統一使用AAA Diameter協議。
3）第三級安全保障：CDMA網絡和用戶網絡之間的VPN鏈接
    CDMA網絡和用戶網絡之間可以采用專線鏈接
，也可以使用Internet鏈接。使用Internet鏈接必須考慮安全性，因此，可以使用VPN將二者利用Internet鏈接起來。
    VPN技術非常複雜，涉及到通信技術、密碼技術和現代認證技術。主要包含兩種技術：隧道技術與安全技術。
    隧(sui)道(dao)技(ji)術(shu)的(de)基(ji)本(ben)過(guo)程(cheng)是(shi)在(zai)源(yuan)局(ju)域(yu)網(wang)與(yu)公(gong)網(wang)接(jie)口(kou)處(chu)將(jiang)數(shu)據(ju)封(feng)裝(zhuang)在(zai)一(yi)種(zhong)可(ke)以(yi)在(zai)公(gong)網(wang)上(shang)傳(chuan)輸(shu)的(de)數(shu)據(ju)格(ge)式(shi)中(zhong)，在(zai)目(mu)的(de)局(ju)域(yu)網(wang)與(yu)公(gong)網(wang)的(de)接(jie)口(kou)處(chu)將(jiang)數(shu)據(ju)解(jie)封(feng)裝(zhuang)，被(bei)封(feng)裝(zhuang)的(de)數(shu)據(ju)包(bao)在(zai)互(hu)聯(lian)網(wang)上(shang)傳(chuan)播(bo)時(shi)的(de)所(suo)經(jing)過(guo)的(de)路(lu)徑(jing)被(bei)稱(cheng)為(wei)“隧道”。常用的隧道協議有：1．點到點隧道協議―PPTP（現已基本淘汰）；　2．第二層隧道協議―L2TP，該協議是國際標準隧道協議，具有PPTP協議以及第二層轉發協議（L2F）的優點
，可以使PPP包以隧道方式通過各種網絡，包括ATM、SONET
、幀中繼。但沒有任何加密措施

；3．IPSec協議，該協議是一個範圍廣泛、開放的VPN安全協議，工作在網絡層。它提供所有在網絡層上的數據保護和透明的安全通信。可以在兩種模式下運行：一種是隧道模式，一種是傳輸模式。在隧道模式下IPSec把IPv4數據包封裝在安全的IP幀中；傳輸模式是為了保護端到端的安全性，不會隱藏路由信息。目前一種趨勢是將L2TP和IPSec結合起來：用L2TP作為隧道協議，用IPSec協議保護數據。市場上大部分VPN采用這類技術。 4．SOCKS v5協議，SOCKS v5工作在OSI模型中的第五層――會話層，可作為建立高度安全的VPN的基礎。SOCKS v5協議的優勢在訪問控製，因此適用於安全性較高的VPN，SOCKS v5現在被IETF建議作為VPN的標準。
    VPN是在不安全的Internet上傳輸的，傳輸內容可能涉及到企業的機密數據，因此安全性非常重要。VPN中的安全技術通常由加密

、認證及密鑰交換與管理組成。主要有認證技術，加密技術，秘鑰管理與交換技術。
4）第四級安全保障：用戶網絡側的安全防火牆（FW）
    防(fang)火(huo)牆(qiang)技(ji)術(shu)是(shi)目(mu)前(qian)用(yong)來(lai)實(shi)現(xian)網(wang)絡(luo)安(an)全(quan)措(cuo)施(shi)的(de)一(yi)種(zhong)主(zhu)要(yao)手(shou)段(duan)
，主(zhu)要(yao)是(shi)用(yong)來(lai)拒(ju)絕(jue)非(fei)法(fa)用(yong)戶(hu)的(de)訪(fang)問(wen)
，阻(zu)止(zhi)非(fei)法(fa)用(yong)戶(hu)存(cun)取(qu)敏(min)感(gan)數(shu)據(ju)，同(tong)時(shi)允(yun)許(xu)合(he)法(fa)用(yong)戶(hu)順(shun)利(li)訪(fang)問(wen)網(wang)絡(luo)資(zi)源(yuan)。防(fang)火(huo)牆(qiang)實(shi)際(ji)上(shang)是(shi)一(yi)種(zhong)訪(fang)問(wen)控(kong)製(zhi)技(ji)術(shu)
，在(zai)某(mou)個(ge)機(ji)構(gou)的(de)內(nei)部(bu)網(wang)絡(luo)和(he)不(bu)安(an)全(quan)網(wang)絡(luo)之(zhi)間(jian)設(she)置(zhi)障(zhang)礙(ai)

，阻(zu)止(zhi)對(dui)信(xin)息(xi)資(zi)源(yuan)的(de)非(fei)法(fa)訪(fang)問(wen)，也(ye)可(ke)以(yi)使(shi)用(yong)防(fang)火(huo)牆(qiang)阻(zu)止(zhi)保(bao)密(mi)信(xin)息(xi)從(cong)受(shou)保(bao)護(hu)網(wang)絡(luo)上(shang)的(de)非(fei)法(fa)輸(shu)出(chu)。
    實現防火牆的主要技術有：數據包過濾

，應用網關和代理服務等。包過濾（Packet Filter）技術是在網絡層中對數據包實施有選擇的通過。依據係統內事先設定的過濾邏輯
，檢查數據流中每個數據包後，根據數據包的源地址、目的地址
、TCP/UDP源端口號、TCP/UDP目的端口號及數據包頭中的各種標誌位等因素來確定是否允許數據包通過，其核心是安全策略即過濾算法的設計。應用網關（Application Gateway）技(ji)術(shu)是(shi)建(jian)立(li)在(zai)網(wang)絡(luo)應(ying)用(yong)層(ceng)上(shang)的(de)協(xie)議(yi)過(guo)濾(lv)
，它(ta)針(zhen)對(dui)特(te)別(bie)的(de)網(wang)絡(luo)應(ying)用(yong)服(fu)務(wu)協(xie)議(yi)即(ji)數(shu)據(ju)過(guo)濾(lv)協(xie)議(yi)，並(bing)且(qie)能(neng)夠(gou)對(dui)數(shu)據(ju)包(bao)分(fen)析(xi)並(bing)形(xing)成(cheng)相(xiang)關(guan)的(de)報(bao)告(gao)。應(ying)用(yong)網(wang)關(guan)可(ke)以(yi)嚴(yan)格(ge)控(kong)製(zhi)某(mou)些(xie)易(yi)於(yu)登(deng)錄(lu)和(he)控(kong)製(zhi)的(de)所(suo)有(you)的(de)輸(shu)出(chu)輸(shu)入(ru)通(tong)信(xin)環(huan)境(jing)，以(yi)防(fang)有(you)價(jia)值(zhi)的(de)程(cheng)序(xu)和(he)數(shu)據(ju)被(bei)竊(qie)取(qu)。它(ta)的(de)另(ling)一(yi)個(ge)功(gong)能(neng)是(shi)對(dui)通(tong)過(guo)的(de)信(xin)息(xi)進(jin)行(xing)記(ji)錄(lu)，如(ru)什(shen)麼(me)樣(yang)的(de)用(yong)戶(hu)在(zai)什(shen)麼(me)時(shi)間(jian)連(lian)接(jie)了(le)什(shen)麼(me)站(zhan)點(dian)。在(zai)實(shi)際(ji)工(gong)作(zuo)中(zhong)
，應(ying)用(yong)網(wang)關(guan)一(yi)般(ban)使(shi)用(yong)專(zhuan)用(yong)工(gong)作(zuo)站(zhan)係(xi)統(tong)。代(dai)理(li)服(fu)務(wu)器(qi)（Proxy Server）作(zuo)用(yong)在(zai)應(ying)用(yong)層(ceng)，用(yong)來(lai)提(ti)供(gong)應(ying)用(yong)層(ceng)服(fu)務(wu)的(de)控(kong)製(zhi)，起(qi)到(dao)內(nei)部(bu)網(wang)絡(luo)向(xiang)外(wai)部(bu)網(wang)絡(luo)申(shen)請(qing)服(fu)務(wu)時(shi)中(zhong)間(jian)轉(zhuan)接(jie)作(zuo)用(yong)。內(nei)部(bu)網(wang)絡(luo)隻(zhi)接(jie)受(shou)代(dai)理(li)提(ti)出(chu)的(de)服(fu)務(wu)請(qing)求(qiu)，拒(ju)絕(jue)外(wai)部(bu)網(wang)絡(luo)其(qi)它(ta)節(jie)點(dian)的(de)直(zhi)接(jie)請(qing)求(qiu)。
    用戶網絡可以選用適合於本單位的防火牆產品來保證自己網絡數據的安全。
5）第五級安全保障：用戶網絡側的AAA鑒權認證
    用戶網絡側的AAA鑒權認證可以實現對VPDN成員的身份認證。與第二級的安全保障不同，本級的AAA服務器將鑒別VPDN成員的用戶名和密碼的正確性。
    中的域名將是中國聯通公司提供給專網接入用戶的專有統一域名，用戶名（username）可以是VPDN中每個成員的手機號碼或者其它標識。VPDN中成員的用戶名和密碼等資料將保存在用戶專網側的AAA服務器
，具有很好的安全性和管理的靈活性。