一����、需求分析
傳統的煙草聯網系統主要針對全省各鄉鎮煙葉站數據傳送為主����,各鄉鎮煙葉站數據采集系統一般采用電話線MODEN撥號為數據傳輸通道,但長期以來數據傳送存在著下列問題:
1 各鄉鎮電話線路質量差����,傳送速率底,常出現數據誤碼丟包現象���;
2 各鄉鎮煙葉站管理人員流動辦公性強,常出現當天數據無法上報����;
3 部分煙葉站點無電話線路����,數據上報周期長����。
針對這些問題,我們采用了基于CDMA/GPRS/3G無線通訊技術的煙草系統聯網應用解決方案���。
二、解決方案
2.1系統簡介
煙草系統無線通信聯網解決方案是集計算機技術����、無線通信技術及數據采集技術于一體綜合系統���,通過數據采集器(PC)���,獲取各煙葉站數據���,采用通信接口及傳輸設備將其傳輸到煙草數據業務中心����,實現對各煙葉站的全面監控����。同時���,利用無線數據通信網絡���,可提供各種速率的高質量����、透明數據傳輸電路,為客戶建立自己的專用數據傳輸網。
基于無線數傳系統主要由三大部分組成:
(1) 數據終端設備:數據采集終端設備(PC)和無線數據終端(路由器)設備���;
(2) 傳輸網絡: CDMA /GPRS/3G無線網絡;
(3) 數據業務中心:實時數據收發服務器、實時數據庫服務器及用戶控制操作界面等����。
2.2煙草系統聯網應用方案
(4) 如下圖所示���,各鄉鎮煙葉站配備無線路由器設備���,在無線路由器設備中配備LAN(RJ45)/USB接口與計算機連接����,通過無線路由器將數據傳送到數據中心。
(5) 在煙草公司設置數據業務中心,各站點通過無線路由器與數據中心主機以無線方式進行數據通訊。
(6) 將采用各站點設置不同用戶權限進行內網的訪問����。
(7) 優先推薦數據中心使用2M專線接入方式���。
三����、設備推薦
1���、在成都中聯CDMA/GPRS路由器的選擇上:
RW2600無線路由器是成都中聯信通科技有限公司推出的無線數據通信產品���,主要應用于行業用戶的無線數據傳輸業務以及無線路由上網等���。無線產品采用標準TCP/IP協議����,安裝簡單����、易于維護、使用方便����。
(RW2600正面)
)
網絡協議全���,路由協議多����,功能強����。
具備行業需要的TELNET客戶端、TRACEROUTE、SNMP等網管協議����,在集中網絡管理方面有較大優勢���。
以上功能均具有的目前只有中聯信通一家����。
具有PPP鏈路層IP地址客戶端協議功能���,客戶端根據需要可主動向中心申請固定IP地址���,主要為方便管理的需要���。
具有PPP鏈路層IP地址中心端強制固定功能����,一方面配合中心接入路由器的精確路由表設定避免了無線廣播帶來的延遲和帶寬浪費����;另一方面主要是為安全管理的需要,由中心強制分配每個終端的IP���。配合中心的防火墻,可實現IP權限及應用分級的安全措施。目前該功能為國內廠商獨家擁有����。特別滿足金融行業的需要����。
具有PPP鏈路層壓縮協議MPPC功能支持。該功能是直接在鏈路層上實現數據壓縮����,一方面通過壓縮屏蔽了明文����,更重要的大大提高了無線鏈路的效率����。一般可提高50%左右的帶寬���,在無線鏈路吞吐性能方面有較強優勢����。目前該功能為國內廠商獨家擁有。
可通過FTP協議實現升級和管理功能,符合行業的習慣����。
2����、在成都中聯專網認證服務器的選擇上:
針對目前企業VPDN專網存在的缺陷:IP地址與CDMA號碼綁定的局限性和不能限制非私有用戶撥入私有網絡����,我們提供完整的解決方案彌補這些缺陷。我們提供從終端到企業端的端到端解決方案����,完全滿足企業用戶各方面的需求����。我們推薦企業采用基于二層的VPDN網絡����,將確保企業內網的完全私有性。
RW5000專網認證服務器針對L2TP VPDN的信令流程����,加強了安全控制和地址管理,確保用戶安全需要和特有的管理需要����。實現IMSI和用戶名/密碼/IP綁定
路由器支持RADIUS認證����,和中聯信通公司提供的中心產品專網認證服務器配合����,能實現IMSI、用戶����、密碼和IP地址的四綁定功能���,目前是國內惟一能提供中心端和路由器整體安全解決的廠商���。
四 安全措施
由于金融系統的特殊性����,本系統需要極高的系統安全保障和穩定性����。安全保障主要是防止來自系統內外的有意和無意的破環,網絡安全防護措施包括信道加密����、信源加密���、登錄防護����、訪問防護����、接入防護、防火墻等����。穩定是指系統能夠 7 × 24 小時不間斷運行����,即使出現硬件和軟件故障����,系統也不能中斷運行。數據中心可通過到運營商數據網 (VPDN) 接入���,采用 VPDN 方式成本比較低,安全性比較高����,可充分保障速度和網絡服務質量����。我們的解決方案提供 5 級業務安全保障���,從而充分保證網絡中數據的安全����。
第一級安全保證: CDMA 網絡本身的安全性
目前世界上使用的移動通信網絡主要有兩種: GSM 和 CDMA 。與 GSM 相比����, CDMA 網絡系統在安全保密方面具有很大優勢。 CDMA 本來就是起源軍事保密技術����,在戰爭期間廣泛應用于軍事領域����,具有抗干擾����、安全通信、保密性好的特性����。進行移動手機信號的竊聽一般使用以下三種方法����。首先����,需要捕捉到通信信號。在空間中充滿了各種各樣的無線電波���,用戶手機信號就混雜在其中。要想竊聽某一個用戶的通話����,首先必須捕捉到這個用戶手機發出的特定的電磁波����。由于 CDMA 系統采用擴頻技術����,經過擴頻以后的有用信號的頻譜被大大地展寬了,用戶信號隱蔽在互不相關的信號中,要想捕捉到這一有用信號非常困難����。因此����,竊聽器捕捉不到���,也無法識別出哪些是 CDMA 手機用戶的通信信號���,哪些是噪音���。其次����,竊聽器必須鎖定手機用戶通信的信號,繼而才能分析和破 解信息���。而 CDMA 采用快速切換功率控制技術,即便是竊聽設備捕捉到了用戶手機信號����,也不能鎖定快速功率切換下的有用信號���,因此���,快速功率切換讓 CDMA 信號很難鎖定���。第三���,需要破 解用戶信息編碼。而 CDMA 采用偽隨機碼技術���,用長達 42 位的偽隨機碼來標識區分用戶,每次通話都有 4.4 萬億種可能的排列,竊聽器很難破譯出 CDMA 的編碼���。所以 CDMA 技術本身就很安全。
第二級安全保證: CDMA 網絡側的 AAA 認證
AAA 是指認證( Authentication )、授權( Authorization )���、計費( Accounting )三個過程,其中:
認證是,用戶在使用網絡系統中的資源時對用戶身份的確認����。這一過程���,通過與用戶的交互獲得身份信息(像用戶名-口令���、生物特征信息等)���,然后提交給認證服務器����;認證服務器對身份信息與存儲在數據庫里的用戶信息進行核對處理����,然后根據處理結果確認用戶身份是否正確。
授權是���,網絡系統授權用戶以特定的權限使用其資源,這一過程指定了被認證的用戶在接入網絡后能夠使用的業務和擁有的權限���,如授予 IP 地址,準許訪問時間等���。
計費是����,網絡系統收集、記錄用戶對網絡資源的使用信息���,以便向用戶收取資源使用費���。以互聯網業務提供商 ISP 為例���,用戶的網絡接入使用情況可以按流量或者時間準確地記錄下來���。
認證���、授權和計費一起實現了網絡系統對特定用戶的網絡資源使用情況的準確記錄���。這樣既在一定程度上有效地保障了合法用戶的權益����,又能有效地保障網絡系統安全可*地運行����。
CDMA 網絡側的 AAA 認證過程是對用戶的域名進行鑒權認證,網中數據網的用戶( VPDN 成員)是以 username@xxx.133vpdn.qd 形式登錄的(用戶在電信登記入網時����,電信分配其一個域名 xxx.133vpdn.qd )���。 CDMA 網絡側的 AAA 服務器對登錄用戶的域名和該用戶的 IMSI 進行綁定審核驗證���。驗證通過后,方可接入電信 CDMA 網絡����。
移動通信從電路交換���,發展到 CDMA 1X 分組網絡���,再到第三代移動通信網絡����,用于認證����、授權和計費的協議也在隨之演進,從基于 7 號信令的協議���,到部分采用 RADIUS ,再發展到 Diameter ,這主要是由越來越豐富的業務決定的���。 Diameter 協議由 IETF 的 AAA 工作組在 2002 年 3 月提出的認證計費協議草案。 Diameter 協議支持移動 IP 、 NAS 請求和移動代理的認證����、授權和計費工作����。協議的實現和 RADIUS 類似����,也是采用 Attribute-Length-value 三元組來實現,但是其中詳細規定了錯誤處理等內容���。它在設計過程中���,不僅保持了與廣為使用的 RADIUS 協議的兼容����,更克服了 RADIUS 協議的許多不足,而且它不僅僅被互聯網采用,更被下一代移動通信網( 3G )采用。在第三代移動網絡和業務開展初期���,為了和已有的設備和傳統業務互通,需要采用 Diameter 與 RADIUS 之間的協議轉換器����,但是最終還是統一使用 AAA Diameter 協議���。
第三級安全保證: CDMA 網絡和用戶網絡之間的 VPN 鏈接
CDMA 網絡和用戶網絡之間可以采用專線鏈接����,也可以使用 Internet 鏈接。使用 Internet 鏈接必須考慮安全性,因此����,可以使用 VPN 將二者利用 Internet 鏈接起來���。
VPN 技術非常復雜����,涉及到通信技術���、密碼技術和現代認證技術���。主要包含兩種技術:隧道技術與安全技術���。
隧道技術的基本過程是在源局域網與公網接口處將數據封裝在一種可以在公網
