閱讀排行榜

手寫達(dá)人

猜您喜歡

標(biāo)題銀行ATM機(jī)CDMA無線聯(lián)網(wǎng)應(yīng)用方案

提供者：北京東方訊科技發(fā)展有限公司發(fā)布時間：2012/4/1 閱讀次數(shù)：455次 >>進(jìn)入該公司展臺

一、概述

隨著科技的高速發(fā)展，CDMA1X無線網(wǎng)絡(luò)技術(shù)得到了廣泛的應(yīng)用，其已從原來的只為用戶終端提供服務(wù)發(fā)展到現(xiàn)在能夠?yàn)槠髽I(yè)提供安全、穩(wěn)定的數(shù)字交換平臺。企業(yè)在此平臺上不僅可以實(shí)現(xiàn)以前傳統(tǒng)電信專線上使用的所有應(yīng)用，而且在地域上突破了專線點(diǎn)對點(diǎn)的限制，使企業(yè)的應(yīng)用做到有手機(jī)信號覆蓋的地方就能進(jìn)行數(shù)字網(wǎng)絡(luò)接入。隨著CDMA1X無線網(wǎng)絡(luò)的應(yīng)用使整個系統(tǒng)實(shí)現(xiàn)了靈活性、穩(wěn)定性、可靠性、技術(shù)先進(jìn)性、經(jīng)濟(jì)性等。

二、系統(tǒng)特點(diǎn)

ATM機(jī)CDMA無線聯(lián)網(wǎng)系統(tǒng)具備如下特點(diǎn)：

1、良好的實(shí)時響應(yīng)與處理能力。與短消息服務(wù)比較，由于CDMA具有實(shí)時在線特性，系統(tǒng)無時延，系統(tǒng)能夠同時實(shí)時收取、處理多個/所有監(jiān)測點(diǎn)的各種數(shù)據(jù)，無需輪巡就可以同步監(jiān)測點(diǎn)的時鐘可很好的滿足系統(tǒng)對數(shù)據(jù)采集和傳輸實(shí)時性的要求。

2、遠(yuǎn)程儀器設(shè)備控制：由于采用CDMA雙向傳輸系統(tǒng)，監(jiān)控中心可以反向?qū)崿F(xiàn)對儀器設(shè)備的時間校正、狀態(tài)報告、開關(guān)以及其他監(jiān)測、控制等功能；

3、建設(shè)成本低：可充分利用現(xiàn)有CDMA網(wǎng)絡(luò)，設(shè)備安裝即接通，而采用超短波通信時需要充分考慮現(xiàn)場環(huán)境，還需要配備天線鐵架等附屬設(shè)備。

4、安裝調(diào)試簡單，建設(shè)周期短：利用現(xiàn)有成熟CDMA網(wǎng)絡(luò)，系統(tǒng)投入運(yùn)行時基本不需要調(diào)試，安裝簡捷。采用超短波通信時安裝調(diào)試工作量大，要先進(jìn)行現(xiàn)場信號測試，天線鐵架架設(shè)，天線方向角度調(diào)試等工作。

4、覆蓋范圍廣。構(gòu)建供水調(diào)度監(jiān)控系統(tǒng)要求數(shù)據(jù)通信覆蓋范圍廣，擴(kuò)容無限制，接入地點(diǎn)無限制，能滿足山區(qū)、鄉(xiāng)鎮(zhèn)和跨地區(qū)的接入需求。由于管網(wǎng)監(jiān)控點(diǎn)數(shù)量眾多，分布在全市范圍內(nèi)，部分管網(wǎng)監(jiān)控點(diǎn)位于偏僻地區(qū)，而且地理位置分散。采用超短波通訊方式，覆蓋范圍只有30多公里；而采用GPRS、CDMA方式，理論上在無線CDMA網(wǎng)絡(luò)的覆蓋范圍之內(nèi)，都可以實(shí)現(xiàn)監(jiān)控。

5、數(shù)據(jù)傳輸速率高。CDMA網(wǎng)絡(luò)傳送速率理論上可達(dá)171.2/372kbit/s，實(shí)際應(yīng)用時數(shù)據(jù)傳輸速率在40-80Kbps左右，而目前一般的超短波數(shù)傳電臺傳送速率多為2.4kbit/s或更低。

6、系統(tǒng)的傳輸容量大。監(jiān)控中心站要和每一個管網(wǎng)監(jiān)控點(diǎn)實(shí)現(xiàn)實(shí)時連接。由于管網(wǎng)監(jiān)控點(diǎn)數(shù)量眾多，系統(tǒng)要求能滿足突發(fā)性數(shù)據(jù)傳輸?shù)男枰�，而CDMA技術(shù)能很好地滿足傳輸突發(fā)性數(shù)據(jù)的需要。

7、通信費(fèi)用低，可按時間和流量進(jìn)行收費(fèi)。

8、系統(tǒng)易于擴(kuò)展和維護(hù)，在CDMA網(wǎng)絡(luò)的覆蓋區(qū)中，ATM機(jī)可以架設(shè)在任何地點(diǎn)。

三、系統(tǒng)組成

在整個系統(tǒng)中包括，CDMA無線路由器、ATM機(jī)和銀行數(shù)據(jù)監(jiān)控中心三部分組成；

構(gòu)建在CDMA1X無線網(wǎng)絡(luò)平臺上的數(shù)字交換系統(tǒng)充分解決了這個問題，銀行總行、各支行及結(jié)算中心之間可以沿用以前高帶寬的專線網(wǎng)絡(luò)，針對于數(shù)量眾多、分散布局的營業(yè)網(wǎng)點(diǎn)、銀行POS機(jī)、ATM機(jī)則可以從以前的遠(yuǎn)程撥號的網(wǎng)絡(luò)上過渡到CDMA1X網(wǎng)絡(luò)上來，CDMA1X網(wǎng)絡(luò)通過發(fā)卡控制號段使一個企業(yè)的所有無線終端接入網(wǎng)絡(luò)以后處在同一個封閉VPN專網(wǎng)中，進(jìn)入VPN專網(wǎng)以后終端還需通過銀行的AAA認(rèn)證才能進(jìn)入結(jié)算數(shù)據(jù)庫。通過一系列的安全措施可以充分保證交易網(wǎng)絡(luò)的安全性。無線終端可以在銀行網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)不作任何修改的基礎(chǔ)上完成平滑過渡。

CDMA無線路由器特點(diǎn)

◆CDMA 無線路由器依賴CDMA 網(wǎng)絡(luò)通信

◆NAT 功能和靜態(tài)路由可選

◆連接多臺電腦和其他終端設(shè)備共享上網(wǎng)收發(fā)數(shù)據(jù)

◆現(xiàn)有的網(wǎng)絡(luò)軟件都可以使用。如：FTP 軟件（用來傳輸圖像文件）可以直接使用。

◆就可以使用成熟的網(wǎng)絡(luò)軟件，而不必投資花工夫自己來設(shè)計類似的軟件

◆高級編程控制功能，電腦或其他網(wǎng)絡(luò)終端可以控制該設(shè)備打開數(shù)據(jù)連接來傳輸數(shù)據(jù)

◆據(jù)傳輸完成關(guān)閉數(shù)據(jù)連接。此項(xiàng)功能可以用來省電和減少數(shù)據(jù)流量

◆DMZ 主機(jī)、端口映射等功能

◆掉線后自動重新?lián)芴柟δ?/div>

◆內(nèi)置硬件看門狗，不死機(jī)

◆內(nèi)置CDMA 模塊

◆一個RJ45 10M 以太網(wǎng)口

◆Web 網(wǎng)頁配置參數(shù)

◆供電：+5V，可根據(jù)客戶需要定制寬電壓輸入

◆耗電：待機(jī)狀態(tài)230~330mA；上網(wǎng)狀態(tài)450~460mA；傳輸狀態(tài)460~470mA

◆儲存溫度：-40℃ ～ +80℃。

◆工作溫度：-30℃ +70℃

四、安全可靠性

1、 CDMA1X無線接入的工作流程：

在聯(lián)通完成網(wǎng)絡(luò)側(cè)配置后，銀行網(wǎng)點(diǎn)通過無線設(shè)備接入CDMA1X網(wǎng)絡(luò)后，CDMA1X分組接入設(shè)備PDSN上通過L2TP隧道路由連到銀行系統(tǒng)中心內(nèi)的LNS路由器上，中間經(jīng)過聯(lián)通骨干網(wǎng)和專線。整個隧道的開啟和通過均在聯(lián)通網(wǎng)絡(luò)內(nèi)部，作為大型的電信運(yùn)營商，有嚴(yán)格的安全管理和保護(hù)措施，確保網(wǎng)內(nèi)的數(shù)據(jù)安全可靠，具有很高的安全性保障，而且不存在互連互通瓶頸，可以有效保證用戶使用性能。

2、安全性保障

CDMA1X采用脫胎于軍用技術(shù)的無線擴(kuò)頻技術(shù)，用戶端到無線網(wǎng)絡(luò)接入設(shè)備間的無線空中通道目前不可能被破解；無線分組設(shè)備到用戶終端設(shè)備間，采用隧道穿過專線接入，可以有效保證整個系統(tǒng)的安全。要保護(hù)整體系統(tǒng)的安全，首先要保證網(wǎng)絡(luò)本身的安全。必須盡可能地屏蔽外部非法訪問及非法數(shù)據(jù)，對從外部網(wǎng)絡(luò)連入的終端進(jìn)行嚴(yán)格的用戶認(rèn)證及控制。針對CDMA1X的各環(huán)節(jié)，我們分別分析其安全性，并提供5級業(yè)務(wù)安全保障，從而充分保證網(wǎng)絡(luò)中數(shù)據(jù)的安全。

1）第一級安全保障：CDMA網(wǎng)絡(luò)本身的安全性

目前世界上使用的移動通信網(wǎng)絡(luò)主要有兩種：GSM和CDMA。與GSM相比，CDMA網(wǎng)絡(luò)系統(tǒng)在安全保密方面具有很大優(yōu)勢。CDMA本來就是起源軍事保密技術(shù)，在戰(zhàn)爭期間廣泛應(yīng)用于軍事領(lǐng)域，具有抗干擾、安全通信、保密性好的特性。進(jìn)行移動手機(jī)信號的竊聽一般使用以下三種方法。首先，需要捕捉到通信信號。在空間中充滿了各種各樣的無線電波，用戶手機(jī)信號就混雜在其中。要想竊聽某一個用戶的通話，首先必須捕捉到這個用戶手機(jī)發(fā)出的特定的電磁波。由于CDMA系統(tǒng)采用擴(kuò)頻技術(shù)，經(jīng)過擴(kuò)頻以后的有用信號的頻譜被大大地展寬了，用戶信號隱蔽在互不相關(guān)的信號中，要想捕捉到這一有用信號非常困難。因此，捕捉不到，也無法識別出哪些是CDMA手機(jī)用戶的通信信號，哪些是噪音。其次，必須鎖定手機(jī)用戶通信的信號，繼而才能分析和破解信息。而CDMA采用快速切換功率控制技術(shù)，即便是竊聽設(shè)備捕捉到了用戶手機(jī)信號，也不能鎖定快速功率切換下的有用信號，因此，快速功率切換讓CDMA信號很難鎖定。第三，需要破解用戶信息編碼。而CDMA采用偽隨機(jī)碼技術(shù)，用長達(dá)42位的偽隨機(jī)碼來標(biāo)識區(qū)分用戶，每次通話都有4.4萬億種可能的排列，很難破譯出CDMA的編碼。所以CDMA技術(shù)本身就很安全。

2）第二級安全保障：CDMA網(wǎng)絡(luò)側(cè)的AAA認(rèn)證

AAA是指認(rèn)證（Authentication）、授權(quán)（Authorization）、計費(fèi)（Accounting）三個過程，其中：

認(rèn)證是，用戶在使用網(wǎng)絡(luò)系統(tǒng)中的資源時對用戶身份的確認(rèn)。這一過程，通過與用戶的交互獲得身份信息（像用戶名－口令、生物特征信息等），然后提交給認(rèn)證服務(wù)器；認(rèn)證服務(wù)器對身份信息與存儲在數(shù)據(jù)庫里的用戶信息進(jìn)行核對處理，然后根據(jù)處理結(jié)果確認(rèn)用戶身份是否正確。

授權(quán)是，網(wǎng)絡(luò)系統(tǒng)授權(quán)用戶以特定的權(quán)限使用其資源，這一過程指定了被認(rèn)證的用戶在接入網(wǎng)絡(luò)后能夠使用的業(yè)務(wù)和擁有的權(quán)限，如授予IP地址，準(zhǔn)許訪問時間等。

計費(fèi)是，網(wǎng)絡(luò)系統(tǒng)收集、記錄用戶對網(wǎng)絡(luò)資源的使用信息，以便向用戶收取資源使用費(fèi)。以互聯(lián)網(wǎng)業(yè)務(wù)提供商ISP為例，用戶的網(wǎng)絡(luò)接入使用情況可以按流量或者時間準(zhǔn)確地記錄下來。

認(rèn)證、授權(quán)和計費(fèi)一起實(shí)現(xiàn)了網(wǎng)絡(luò)系統(tǒng)對特定用戶的網(wǎng)絡(luò)資源使用情況的準(zhǔn)確記錄。這樣既在一定程度上有效地保障了合法用戶的權(quán)益，又能有效地保障網(wǎng)絡(luò)系統(tǒng)安全可靠地運(yùn)行。

CDMA網(wǎng)絡(luò)側(cè)的AAA認(rèn)證過程是對用戶的域名進(jìn)行鑒權(quán)認(rèn)證，網(wǎng)中數(shù)據(jù)網(wǎng)的用戶（VPDN成員）是以username@xxx.133vpdn.bj形式登錄的（用戶在聯(lián)通登記入網(wǎng)時，北京聯(lián)通分配其一個域名xxx.133vpdn.bj）。CDMA網(wǎng)絡(luò)側(cè)的AAA服務(wù)器對登錄用戶的域名和該用戶的IMSI進(jìn)行綁定審核驗(yàn)證。驗(yàn)證通過后，方可接入聯(lián)通CDMA網(wǎng)絡(luò)。

移動通信從電路交換，發(fā)展到CDMA 1X分組網(wǎng)絡(luò)，再到第三代移動通信網(wǎng)絡(luò)，用于認(rèn)證、授權(quán)和計費(fèi)的協(xié)議也在隨之演進(jìn)，從基于7號信令的協(xié)議，到部分采用RADIUS，再發(fā)展到Diameter，這主要是由越來越豐富的業(yè)務(wù)決定的。Diameter協(xié)議由IETF的AAA工作組在2002年3月提出的認(rèn)證計費(fèi)協(xié)議草案。Diameter協(xié)議支持移動IP、NAS請求和移動代理的認(rèn)證、授權(quán)和計費(fèi)工作。協(xié)議的實(shí)現(xiàn)和RADIUS類似，也是采用Attribute-Length-Value三元組來實(shí)現(xiàn)，但是其中詳細(xì)規(guī)定了錯誤處理等內(nèi)容。它在設(shè)計過程中，不僅保持了與廣為使用的RADIUS協(xié)議的兼容，更克服了RADIUS協(xié)議的許多不足，而且它不僅僅被互聯(lián)網(wǎng)采用，更被下一代移動通信網(wǎng)（3G）采用。在第三代移動網(wǎng)絡(luò)和業(yè)務(wù)開展初期，為了和已有的設(shè)備和傳統(tǒng)業(yè)務(wù)互通，需要采用Diameter與RADIUS之間的協(xié)議轉(zhuǎn)換器，但是最終還是統(tǒng)一使用AAA Diameter協(xié)議。

3）第三級安全保障：CDMA網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間的VPN鏈接

CDMA網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間可以采用專線鏈接，也可以使用Internet鏈接。使用Internet鏈接必須考慮安全性，因此，可以使用VPN將二者利用Internet鏈接起來。

VPN技術(shù)非常復(fù)雜，涉及到通信技術(shù)、密碼技術(shù)和現(xiàn)代認(rèn)證技術(shù)。主要包含兩種技術(shù)：隧道技術(shù)與安全技術(shù)。

隧道技術(shù)的基本過程是在源局域網(wǎng)與公網(wǎng)接口處將數(shù)據(jù)封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳播時的所經(jīng)過的路徑被稱為“隧道”。常用的隧道協(xié)議有：1．點(diǎn)到點(diǎn)隧道協(xié)議—PPTP（現(xiàn)已基本淘汰）；　2．第二層隧道協(xié)議—L2TP，該協(xié)議是國際標(biāo)準(zhǔn)隧道協(xié)議，具有PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)協(xié)議（L2F）的優(yōu)點(diǎn)，可以使PPP包以隧道方式通過各種網(wǎng)絡(luò)，包括ATM、SONET、幀中繼。但沒有任何加密措施；3．IPSec協(xié)議，該協(xié)議是一個范圍廣泛、開放的VPN安全協(xié)議，工作在網(wǎng)絡(luò)層。它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信�？梢栽趦煞N模式下運(yùn)行：一種是隧道模式，一種是傳輸模式。在隧道模式下IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀中；傳輸模式是為了保護(hù)端到端的安全性，不會隱藏路由信息。目前一種趨勢是將L2TP和IPSec結(jié)合起來：用L2TP作為隧道協(xié)議，用IPSec協(xié)議保護(hù)數(shù)據(jù)。市場上大部分VPN采用這類技術(shù)。 4．SOCKS v5協(xié)議，SOCKS v5工作在OSI模型中的第五層——會話層，可作為建立高度安全的VPN的基礎(chǔ)。SOCKS v5協(xié)議的優(yōu)勢在訪問控制，因此適用于安全性較高的VPN，SOCKS v5現(xiàn)在被IETF建議作為VPN的標(biāo)準(zhǔn)。

VPN是在不安全的Internet上傳輸?shù)�，傳輸�?nèi)容可能涉及到企業(yè)的機(jī)密數(shù)據(jù)，因此安全性非常重要。VPN中的安全技術(shù)通常由加密、認(rèn)證及密鑰交換與管理組成。主要有認(rèn)證技術(shù)，加密技術(shù)，秘鑰管理與交換技術(shù)。

4）第四級安全保障：用戶網(wǎng)絡(luò)側(cè)的安全防火墻（FW）

防火墻技術(shù)是目前用來實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，主要是用來拒絕非法用戶的訪問，阻止非法用戶存取敏感數(shù)據(jù)，同時允許合法用戶順利訪問網(wǎng)絡(luò)資源。防火墻實(shí)際上是一種訪問控制技術(shù)，在某個機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)和不安全網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問，也可以使用防火墻阻止保密信息從受保護(hù)網(wǎng)絡(luò)上的非法輸出。

實(shí)現(xiàn)防火墻的主要技術(shù)有：數(shù)據(jù)包過濾，應(yīng)用網(wǎng)關(guān)和代理服務(wù)等。包過濾（Packet Filter）技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實(shí)施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯，檢查數(shù)據(jù)流中每個數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP/UDP源端口號、TCP/UDP目的端口號及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來確定是否允許數(shù)據(jù)包通過，其核心是安全策略即過濾算法的設(shè)計。應(yīng)用網(wǎng)關(guān)（Application Gateway）技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾，它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。應(yīng)用網(wǎng)關(guān)可以嚴(yán)格控制某些易于登錄和控制的所有的輸出輸入通信環(huán)境，以防有價值的程序和數(shù)據(jù)被竊取。它的另一個功能是對通過的信息進(jìn)行記錄，如什么樣的用戶在什么時間連接了什么站點(diǎn)。在實(shí)際工作中，應(yīng)用網(wǎng)關(guān)一般使用專用工作站系統(tǒng)。代理服務(wù)器（Proxy Server）作用在應(yīng)用層，用來提供應(yīng)用層服務(wù)的控制，起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請求，拒絕外部網(wǎng)絡(luò)其它節(jié)點(diǎn)的直接請求。

用戶網(wǎng)絡(luò)可以選用適合于本單位的防火墻產(chǎn)品來保證自己網(wǎng)絡(luò)數(shù)據(jù)的安全。

5）第五級安全保障：用戶網(wǎng)絡(luò)側(cè)的AAA鑒權(quán)認(rèn)證

用戶網(wǎng)絡(luò)側(cè)的AAA鑒權(quán)認(rèn)證可以實(shí)現(xiàn)對VPDN成員的身份認(rèn)證。與第二級的安全保障不同，本級的AAA服務(wù)器將鑒別VPDN成員的用戶名和密碼的正確性。

username@xxx.133vpdn.bj中的域名將是中國聯(lián)通公司提供給專網(wǎng)接入用戶的專有統(tǒng)一域名，用戶名（username）可以是VPDN中每個成員的手機(jī)號碼或者其它標(biāo)識。VPDN中成員的用戶名和密碼等資料將保存在用戶專網(wǎng)側(cè)的AAA服務(wù)器，具有很好的安全性和管理的靈活性。

目前有兩種方案可以解決銀行上述需求：

方案一：聯(lián)通和銀行聯(lián)合分別驗(yàn)證在銀行接入路由器部分連接專用AAA服務(wù)器，通過與聯(lián)通專線上建立基于L2TP over IPSec 的VPDN，靈活配置帳號/口令策略。由聯(lián)通NAS驗(yàn)證域名、用戶名、UIM卡號；聯(lián)通公司為銀行提供客戶端帳號界面，由銀行AAA服務(wù)器驗(yàn)證用戶名、密碼，配合路由器綁定IP地址,完全保護(hù)合法用戶登陸。該種運(yùn)營模式已經(jīng)成功在北京、山東兩地銀行運(yùn)營實(shí)施，目前運(yùn)行正常。

方案二：使用具有VPN功能CDMA1X無線接入設(shè)備

在用戶側(cè)接入路由器與中心內(nèi)網(wǎng)間,安裝支持IPSec功能的防火墻,銀行網(wǎng)點(diǎn)連接IPSec功能的加密機(jī)+CDMA無線路由器，或者將IPSec功能集成在CDMA路由器中；通過VPN專用帳號登陸防火墻，建立安全隧道。該種方案安全級別高，但是對無線CDMA路由器技術(shù)要求高，開發(fā)難度大，成本相對較高。

關(guān)鍵詞：

上一篇：多功能高速電子金屬雕刻機(jī) 下一篇：廣東少兒英語班投資多少