GPRS電表遠程自動抄表系統解決方案

　　3.3 以GPRS為基礎的無線數據傳輸系統

　　　　　　　　　　　　　　圖4 GPRS系統網絡拓撲圖

　　如圖4所示，圖中的"中心服務器"即為本系統的數據監控中心，位于GPRS子網之外，Internet網絡之中，具有公網IP，它的功能相當于普通的網絡服務器，但和一般的商業服務器相比有兩大特點，第一，它是服務于GPRS子網用戶的服務器。第二，它的服務客戶對象是事先預知的。結合這兩個最為顯著的特點，本系統中提供了以下兩種安全技術解決方案。

　　3.3.1 IP 過濾技術

　　由于監控中心服務于GPRS子網用戶，所有訪問客戶的IP必為GPRS子網內的IP ，即所有的用戶必須通過CMNET才可能訪問該服務器。因此，我們在系統中采用了IP過濾技術，對所有接受的數據包進行過濾，拋棄掉所有的非法IP數據報。這一過程就好像將系統置身于CMNET的防火墻保護之下，所有的非法用戶只有先穿過了CMNET的安全防護才有可能訪問到本系統，但對于安全措施非常強大的CMNET網絡來說，這將是非常的困難。

　　3.3.2 身分授權和密碼認證體系

　　采用IP過濾技術盡管可以防止一些非CMNET網段用戶的侵襲，但由于系統處于GPRS子網以外，IP過濾只能起到簡單的安全防護，對于那些利用IP偽裝技術的非法用戶則無法識別。

　　由于該系統是專業化的服務系統，訪問客戶是預先確定的，利用這一特點，我們在系統中采用了用戶ID和密碼驗證技術，系統中存儲了有所客戶端的MAC地址以及密碼，對通過了IP過濾的數據包，再驗證其ID號和密碼。對于該系統以外的非法用戶，獲取合法的MAC地址和密碼將十分困難，所以這一步極大可能地增加了系統的安全性。

　　3.3.3 數據安全加密通道

　　系統采用標準的SSL數據安全通訊協議在客戶端和服務器端建立加密數據通道，保證私有數據傳輸的安全性；系統在應用層植入高可靠性的加密算法，使得數據在任何網絡出錯時都可以得到保證的高可靠性；采用MD5算法產生"報文摘要"已實現對所有發送報文的數字簽名，保證了數據傳輸過程中的完整性，防止數據被篡改。

　　3.3.4 訪問過程跟蹤

　　系統對所有的訪問過程進行日志記錄，包括用戶身份、IP、時間、數字簽名、操作事項等信息，向系統管理人員提供了詳細、完整、有效的操作證明。是GSM的空中接口。Um接口上的通信協議有5層，自下而上依次為物理層、MAC( Medium Access Control)層、LLC（Logical Link Control）層、SNDC（Sub-network Dependant Convergence）層和網絡層。

　　　　　　　　　　圖2. GPRS網絡的協議棧示意圖

　　Um接口的物理層為射頻接口部分，而物理鏈路層則負責提供空中接口的各種邏輯信道。
　　MAC為媒質接入控制層。MAC的主要作用是定義和分配空中接口的GPRS邏輯信道，使得這些信道能被不同的移動臺共享。
　　LLC層為邏輯鏈路控制層。它是一種基于高速數據鏈路規程HDLC的無線鏈路協議。LLC層負責在高層SNDC層的SNDC數據單元上形成LLC地址、幀字段，從而生成完整的LLC幀。
　　BSS中的LLR層是邏輯鏈路傳遞層。這一層負責轉送MS和SGSN之間的LLC幀。
　　SNDC被稱為子網依賴結合層。它的主要作用是完成傳送數據的分組、打包，確定TCP／IP地址和加密方式。
　　網絡層的協議目前主要是Phase 2+ 階段提供的TCP／IP和L25協議。TCP／IP和X.25協議對于傳統的GSM網絡設備（如BSS和NSS等設備）是透明的。