GPRS電表遠程自動抄表系統(tǒng)解決方案

　　3.3 以GPRS為基礎的無線數(shù)據(jù)傳輸系統(tǒng)

　　　　　　　　　　　　　　圖4 GPRS系統(tǒng)網(wǎng)絡拓撲圖

　　如圖4所示，圖中的"中心服務器"即為本系統(tǒng)的數(shù)據(jù)監(jiān)控中心，位于GPRS子網(wǎng)之外，Internet網(wǎng)絡之中，具有公網(wǎng)IP，它的功能相當于普通的網(wǎng)絡服務器，但和一般的商業(yè)服務器相比有兩大特點，第一，它是服務于GPRS子網(wǎng)用戶的服務器。第二，它的服務客戶對象是事先預知的。結合這兩個最為顯著的特點，本系統(tǒng)中提供了以下兩種安全技術解決方案。

　　3.3.1 IP 過濾技術

　　由于監(jiān)控中心服務于GPRS子網(wǎng)用戶，所有訪問客戶的IP必為GPRS子網(wǎng)內的IP ，即所有的用戶必須通過CMNET才可能訪問該服務器。因此，我們在系統(tǒng)中采用了IP過濾技術，對所有接受的數(shù)據(jù)包進行過濾，拋棄掉所有的非法IP數(shù)據(jù)報。這一過程就好像將系統(tǒng)置身于CMNET的防火墻保護之下，所有的非法用戶只有先穿過了CMNET的安全防護才有可能訪問到本系統(tǒng)，但對于安全措施非常強大的CMNET網(wǎng)絡來說，這將是非常的困難。

　　3.3.2 身分授權和密碼認證體系

　　采用IP過濾技術盡管可以防止一些非CMNET網(wǎng)段用戶的侵襲，但由于系統(tǒng)處于GPRS子網(wǎng)以外，IP過濾只能起到簡單的安全防護，對于那些利用IP偽裝技術的非法用戶則無法識別。

　　由于該系統(tǒng)是專業(yè)化的服務系統(tǒng)，訪問客戶是預先確定的，利用這一特點，我們在系統(tǒng)中采用了用戶ID和密碼驗證技術，系統(tǒng)中存儲了有所客戶端的MAC地址以及密碼，對通過了IP過濾的數(shù)據(jù)包，再驗證其ID號和密碼。對于該系統(tǒng)以外的非法用戶，獲取合法的MAC地址和密碼將十分困難，所以這一步極大可能地增加了系統(tǒng)的安全性。

　　3.3.3 數(shù)據(jù)安全加密通道

　　系統(tǒng)采用標準的SSL數(shù)據(jù)安全通訊協(xié)議在客戶端和服務器端建立加密數(shù)據(jù)通道，保證私有數(shù)據(jù)傳輸?shù)陌踩?；系統(tǒng)在應用層植入高可靠性的加密算法，使得數(shù)據(jù)在任何網(wǎng)絡出錯時都可以得到保證的高可靠性；采用MD5算法產(chǎn)生"報文摘要"已實現(xiàn)對所有發(fā)送報文的數(shù)字簽名，保證了數(shù)據(jù)傳輸過程中的完整性，防止數(shù)據(jù)被篡改。

　　3.3.4 訪問過程跟蹤

　　系統(tǒng)對所有的訪問過程進行日志記錄，包括用戶身份、IP、時間、數(shù)字簽名、操作事項等信息，向系統(tǒng)管理人員提供了詳細、完整、有效的操作證明。是GSM的空中接口。Um接口上的通信協(xié)議有5層，自下而上依次為物理層、MAC( Medium Access Control)層、LLC（Logical Link Control）層、SNDC（Sub-network Dependant Convergence）層和網(wǎng)絡層。

　　　　　　　　　　圖2. GPRS網(wǎng)絡的協(xié)議棧示意圖

　　Um接口的物理層為射頻接口部分，而物理鏈路層則負責提供空中接口的各種邏輯信道。
　　MAC為媒質接入控制層。MAC的主要作用是定義和分配空中接口的GPRS邏輯信道，使得這些信道能被不同的移動臺共享。
　　LLC層為邏輯鏈路控制層。它是一種基于高速數(shù)據(jù)鏈路規(guī)程HDLC的無線鏈路協(xié)議。LLC層負責在高層SNDC層的SNDC數(shù)據(jù)單元上形成LLC地址、幀字段，從而生成完整的LLC幀。
　　BSS中的LLR層是邏輯鏈路傳遞層。這一層負責轉送MS和SGSN之間的LLC幀。
　　SNDC被稱為子網(wǎng)依賴結合層。它的主要作用是完成傳送數(shù)據(jù)的分組、打包，確定TCP／IP地址和加密方式。
　　網(wǎng)絡層的協(xié)議目前主要是Phase 2+ 階段提供的TCP／IP和L25協(xié)議。TCP／IP和X.25協(xié)議對于傳統(tǒng)的GSM網(wǎng)絡設備（如BSS和NSS等設備）是透明的。