<4D F736F F D20D2F8D0D043444D41CEDECFDFBDD3C8EB41544DBBFAC1AACDF8D3A6D3C3BDE2BEF6B7BDB0B82DD0DEB8C4B0E62E646F63>

银行 CDMA 无线接入 ATM 机联网应用解决方案北京泰亚东方通信设备有限公司

公司介绍北京泰亚东方通信设备有限公司成立于 1992 年, 于 2002 年开始关注并进行 2.5G 无线数据传输产品的研发和生产, 目前已经自主拥有 GPRS 和 CDMA 无线传输等多款产品, 是一家以无线产品研发生产销售和通信网络产品分销系统集成软件开发及增值服务为主营业务的综合性企业, 年销售收入逾 3 亿元无线产品应用的广泛性便利性灵活性等使其蕴涵着大量的潜在需求和市场机会, 它使得机器对机器 (Machine to machine) 的通讯成为可能, 广泛应用于工业现场的数据采集和监控系统, 实现了控制中心对远程过程站全自动的数据采集和监控功能, 并使过程站之间通过移动网络的数据交换得以实现目前公司自主研发的 GPRS 和 CDMA1X 无线产品及解决方案已经在以下行业得到了广泛应用 : 电力石化环保金融交通气象煤矿自来水路灯等行业, 在提升科学管理水平的同时, 带来了可观的社会经济效益, 得到了客户的一致认可和好评泰亚东方现有员工 200 余人, 注册资金 1580 万人民币, 总部设在北京, 并在山东河北内蒙山西重庆等地设有 8 家分公司, 年销售收入逾 3 亿元人民币长期以来, 泰亚坚持以人为本应用为先服务为众的企业理念和团结勤奋谦虚创新的企业精神致力于为用户提供最优质的服务

目录一概述...1 二银行网络状况分析...1 三 CDMA 1X 无线接入银行应用案例...1 四 CDMA 1X 传输方式的优势...4 五 CDMA 1X 无线接入的安全性...5 六泰亚 CDMA 路由器的特点...9 附录 : 几种通信方式的比较...10

一概述随着科技的高速发展, 无线数字技术得到了广泛的应用, 其已从原来的只为用户终端提供服务发展到现在能够为企业提供安全稳定的数字交换平台企业在此平台上不仅可以实现以前传统电信专线上使用的所有应用, 而且在地域上突破了专线点对点的限制, 使企业的应用做到有手机信号覆盖的地方就能进行数字网络接入二银行网络状况分析对于金融系统内部, 目前全国省市县各级金融通信专网的骨干网已经基本建成地市县级各种业务的接入网也在建设中接入网相对于骨干网, 具有网元多支线多分布广投资低等特点, 所以无线接入网是最佳选择之一金融通信行业曾经选择过多种无线通信方式, 但是都由于建网费用频点管理传输质量带宽限制维护能力等诸多因素的影响, 没有得以长期使用和推广而联通的 CDMA 网, 正好可以扬长避短, 弥补金融通信专网中无线通信的缺憾银行网络目前主要建设于传统的电信数字网基础之上, 通过 DDN FR 远程拨号等实现, 其主要缺点是网络结构固定变更困难且费用较高构建在 CDMA1X 无线网络平台上的数字交换系统充分解决了这个问题, 银行总行各支行及结算中心之间可以沿用以前高带宽的专线网络, 针对于数量众多分散布局的营业网点银行 POS 机 ATM 机则可以从以前的远程拨号的网络上过渡到 CDMA1X 网络上来,CDMA1X 网络通过发卡控制号段使一个企业的所有无线终端接入网络以后处在同一个封闭 VPN 专网中, 进入 VPN 专网以后终端还需通过银行的 AAA 认证才能进入结算数据库通过一系列的安全措施可以充分保证交易网络的安全性无线终端可以在银行网络系统结构不作任何修改的基础上完成平滑过渡三 CDMA 1X 无线接入银行应用案例中国联通提供的 CDMA 1X 网络可以为银行营业网点 ATM 机和 POS 机提供数据通信服务在 CDMA 网络的覆盖区中,ATM 机可以架设在任何地点而对于营业网点来说使用 CDMA 无线网络作为备份链路的应用非常适合, 在有效保证接通率的前提下, 通信成本将 1

大大降低典型的 CDMA1X 无线应用案例拓扑图如下 : 图一 : 基于 L2TP 的 VPDN 安全解决方案 2

图二 : 基于 IPSec 的 VPDN 解决方案 3

四 CDMA 1X 传输方式的优势在银行联网业务方面, 以前经常采用专线 DDN 方式连接到地区银行结算中心, 现在则可以使用 CDMA1X 无线数据网络构建的 VPDN 安全隧道进行数据结算相对于 DDN 等接入方式, 具有以下优势 : 1)CDMA1X 用户可随意分布和移动自己的网点, 无需担心线路的维护或有线在移机时导致的通讯中断建设新的营业厅无需进行拉线埋线等工作较光纤或专线系统投资较少, 设备安装方便 2) 终端价格比较低与 DDN 专线 Modem 相比, 终端设备成本价格较低 3)CDMA1X 资费便宜, 计费合理 CDMA1X 资费包月比有线电话网络资费还便宜银行联网业务没有大数据量的信息传输, 不必要采用资费很高的专线 (DDN 帧中继 ) CDMA1X 还可根据通信的数据量和提供的服务质量进行计费在 CDMA1X 网中, 用户只需与网络建立一次连接, 就可长时间的保持这种连接, 并只在传输数据时才占用信道并被计费, 保持时不占用信道不计费这样, 营业厅既不用频繁建立连接, 也不必支付传输间隙时的费用掉线 4)CDMA1X 能最好地支持频繁的少量突发型数据业务通信质量稳定可靠, 永不 5)CDMA1X 网络接入速度快, 提供了与现有数据网的无缝连接由于 CDMA1X 网本身就是一个分组型数据网, 支持 TCP/IP X.25 协议, 因此无需经过 PSTN 等网络的转接, 直接与分组数据网 (IP 网或 X.25 网 ) 互通, 接入速度仅几秒钟, 快于电路型数据业务采用 TCP/IP 协议, 较以前的无线数据网络 ( 集群, 双向传呼,GSM 短信息 ) 而言, 网络接入更加直接方便 6) 数据集中, 易于管理传统的银行网点之间采用级联的方式, 县级银行市级银行分别接入当地电信或网通固网运营商, 数据逐级上传, 分散不易管理 ; 采用联通 CDMA1X 无线接入, 全省一个数据中心, 即可完成数据的集中与统一管理, 极大地提高了效率, 降低了传输成本 4

7) 覆盖好比较很多无线数据网络 ( 集群, 双向传呼,CDPD) 而言, 其网络覆盖是最好的五 CDMA 1X 无线接入的安全性 1. CDMA1X 无线接入的工作流程 : 在联通完成网络侧配置后, 银行网点通过无线设备接入 CDMA1X 网络后,CDMA1X 分组接入设备 PDSN 上通过 L2TP 隧道路由连到银行系统中心内的 LNS 路由器上, 中间经过联通骨干网和专线整个隧道的开启和通过均在联通网络内部, 作为大型的电信运营商, 有严格的安全管理和保护措施, 确保网内的数据安全可靠, 具有很高的安全性保障, 而且不存在互连互通瓶颈, 可以有效保证用户使用性能 2. 安全性保障 CDMA1X 采用脱胎于军用技术的无线扩频技术, 用户端到无线网络接入设备间的无线空中通道目前不可能被破解 ; 无线分组设备到用户终端设备间, 采用隧道穿过专线接入, 可以有效保证整个系统的安全要保护整体系统的安全, 首先要保证网络本身的安全必须尽可能地屏蔽外部非法访问及非法数据, 对从外部网络连入的终端进行严格的用户认证及控制针对 CDMA1X 的各环节, 我们分别分析其安全性, 并提供 5 级业务安全保障, 从而充分保证网络中数据的安全 1) 第一级安全保障 :CDMA 网络本身的安全性目前世界上使用的移动通信网络主要有两种 :GSM 和 CDMA 与 GSM 相比,CDMA 网络系统在安全保密方面具有很大优势 CDMA 本来就是起源军事保密技术, 在战争期间广泛应用于军事领域, 具有抗干扰安全通信保密性好的特性进行移动手机信号的窃听一般使用以下三种方法首先, 需要捕捉到通信信号在空间中充满了各种各样的无线电波, 用户手机信号就混杂在其中要想窃听某一个用户的通话, 首先必须捕捉到这个用户手机发出的特定的电磁波由于 CDMA 系统采用扩频技术, 经过扩频以后的有用信号的频谱被大大地展宽了, 用户信号隐蔽在互不相关的信号中, 要想捕捉到这一有用信号非常困难因此, 窃听器捕捉不到, 也无法识别出哪些是 CDMA 手机用户的通信信号, 5

哪些是噪音其次, 窃听器必须锁定手机用户通信的信号, 继而才能分析和破解信息而 CDMA 采用快速切换功率控制技术, 即便是窃听设备捕捉到了用户手机信号, 也不能锁定快速功率切换下的有用信号, 因此, 快速功率切换让 CDMA 信号很难锁定第三, 需要破解用户信息编码而 CDMA 采用伪随机码技术, 用长达 42 位的伪随机码来标识区分用户, 每次通话都有 4.4 万亿种可能的排列, 窃听器很难破译出 CDMA 的编码所以 CDMA 技术本身就很安全 2) 第二级安全保障 :CDMA 网络侧的 AAA 认证 AAA 是指认证 (Authentication) 授权 (Authorization) 计费 (Accounting) 三个过程, 其中 : 认证是, 用户在使用网络系统中的资源时对用户身份的确认这一过程, 通过与用户的交互获得身份信息 ( 像用户名 - 口令生物特征信息等 ), 然后提交给认证服务器 ; 认证服务器对身份信息与存储在数据库里的用户信息进行核对处理, 然后根据处理结果确认用户身份是否正确授权是, 网络系统授权用户以特定的权限使用其资源, 这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限, 如授予 IP 地址, 准许访问时间等计费是, 网络系统收集记录用户对网络资源的使用信息, 以便向用户收取资源使用费以互联网业务提供商 ISP 为例, 用户的网络接入使用情况可以按流量或者时间准确地记录下来认证授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录这样既在一定程度上有效地保障了合法用户的权益, 又能有效地保障网络系统安全可靠地运行 CDMA 网络侧的 AAA 认证过程是对用户的域名进行鉴权认证, 网中数据网的用户 (VPDN 成员 ) 是以 username@xxx.133vpdn.bj 形式登录的 ( 用户在联通登记入网时, 北京联通分配其一个域名 xxx.133vpdn.bj) CDMA 网络侧的 AAA 服务器对登录用户的域名和该用户的 IMSI 进行绑定审核验证验证通过后, 方可接入联通 CDMA 网络 6

移动通信从电路交换, 发展到 CDMA 1X 分组网络, 再到第三代移动通信网络, 用于认证授权和计费的协议也在随之演进, 从基于 7 号信令的协议, 到部分采用 RADIUS, 再发展到 Diameter, 这主要是由越来越丰富的业务决定的 Diameter 协议由 IETF 的 AAA 工作组在 2002 年 3 月提出的认证计费协议草案 Diameter 协议支持移动 IP NAS 请求和移动代理的认证授权和计费工作协议的实现和 RADIUS 类似, 也是采用 Attribute-Length-Value 三元组来实现, 但是其中详细规定了错误处理等内容它在设计过程中, 不仅保持了与广为使用的 RADIUS 协议的兼容, 更克服了 RADIUS 协议的许多不足, 而且它不仅仅被互联网采用, 更被下一代移动通信网 (3G) 采用在第三代移动网络和业务开展初期, 为了和已有的设备和传统业务互通, 需要采用 Diameter 与 RADIUS 之间的协议转换器, 但是最终还是统一使用 AAA Diameter 协议 3) 第三级安全保障 :CDMA 网络和用户网络之间的 VPN 链接 CDMA 网络和用户网络之间可以采用专线链接, 也可以使用 Internet 链接使用 Internet 链接必须考虑安全性, 因此, 可以使用 VPN 将二者利用 Internet 链接起来 VPN 技术非常复杂, 涉及到通信技术密码技术和现代认证技术主要包含两种技术 : 隧道技术与安全技术隧道技术的基本过程是在源局域网与公网接口处将数据封装在一种可以在公网上传输的数据格式中, 在目的局域网与公网的接口处将数据解封装, 被封装的数据包在互联网上传播时的所经过的路径被称为隧道常用的隧道协议有 :1. 点到点隧道协议 PPTP( 现已基本淘汰 ); 2. 第二层隧道协议 L2TP, 该协议是国际标准隧道协议, 具有 PPTP 协议以及第二层转发协议 (L2F) 的优点, 可以使 PPP 包以隧道方式通过各种网络, 包括 ATM SONET 帧中继但没有任何加密措施 ;3.IPSec 协议, 该协议是一个范围广泛开放的 VPN 安全协议, 工作在网络层它提供所有在网络层上的数据保护和透明的安全通信可以在两种模式下运行 : 一种是隧道模式, 一种是传输模式在隧道模式下 IPSec 把 IPv4 数据包封装在安全的 IP 帧中 ; 传输模式是为了保护端到端的安全性, 不会隐藏路由信息目前一种趋势是将 L2TP 和 IPSec 结合起来 : 用 L2TP 作为隧道协议, 用 IPSec 协议保护数据市场上大部分 VPN 采用这类技术 4.SOCKS v5 协议,SOCKS v5 工作在 OSI 模型中的第五层会话层, 可作为建立高度安全的 VPN 7

的基础 SOCKS v5 协议的优势在访问控制, 因此适用于安全性较高的 VPN,SOCKS v5 现在被 IETF 建议作为 VPN 的标准 VPN 是在不安全的 Internet 上传输的, 传输内容可能涉及到企业的机密数据, 因此安全性非常重要 VPN 中的安全技术通常由加密认证及密钥交换与管理组成主要有认证技术, 加密技术, 秘钥管理与交换技术 4) 第四级安全保障 : 用户网络侧的安全防火墙 (FW) 防火墙技术是目前用来实现网络安全措施的一种主要手段, 主要是用来拒绝非法用户的访问, 阻止非法用户存取敏感数据, 同时允许合法用户顺利访问网络资源防火墙实际上是一种访问控制技术, 在某个机构的内部网络和不安全网络之间设置障碍, 阻止对信息资源的非法访问, 也可以使用防火墙阻止保密信息从受保护网络上的非法输出实现防火墙的主要技术有 : 数据包过滤, 应用网关和代理服务等包过滤 (Packet Filter) 技术是在网络层中对数据包实施有选择的通过依据系统内事先设定的过滤逻辑, 检查数据流中每个数据包后, 根据数据包的源地址目的地址 TCP/UDP 源端口号 TCP/UDP 目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过, 其核心是安全策略即过滤算法的设计应用网关 (Application Gateway) 技术是建立在网络应用层上的协议过滤, 它针对特别的网络应用服务协议即数据过滤协议, 并且能够对数据包分析并形成相关的报告应用网关可以严格控制某些易于登录和控制的所有的输出输入通信环境, 以防有价值的程序和数据被窃取它的另一个功能是对通过的信息进行记录, 如什么样的用户在什么时间连接了什么站点在实际工作中, 应用网关一般使用专用工作站系统代理服务器 (Proxy Server) 作用在应用层, 用来提供应用层服务的控制, 起到内部网络向外部网络申请服务时中间转接作用内部网络只接受代理提出的服务请求, 拒绝外部网络其它节点的直接请求用户网络可以选用适合于本单位的防火墙产品来保证自己网络数据的安全 5) 第五级安全保障 : 用户网络侧的 AAA 鉴权认证用户网络侧的 AAA 鉴权认证可以实现对 VPDN 成员的身份认证与第二级的安全保 8

障不同, 本级的 AAA 服务器将鉴别 VPDN 成员的用户名和密码的正确性 username@xxx.133vpdn.bj 中的域名将是中国联通公司提供给专网接入用户的专有统一域名, 用户名 (username) 可以是 VPDN 中每个成员的手机号码或者其它标识 VPDN 中成员的用户名和密码等资料将保存在用户专网侧的 AAA 服务器, 具有很好的安全性和管理的灵活性目前有两种方案可以解决银行上述需求 : 方案一 : 联通和银行联合分别验证 ( 如图一 ) 在银行接入路由器部分连接专用 AAA 服务器, 通过与联通专线上建立基于 L2TP over IPSec 的 VPDN, 灵活配置帐号 / 口令策略由联通 NAS 验证域名用户名 UIM 卡号 ; 联通公司为银行提供客户端帐号界面, 由银行 AAA 服务器验证用户名密码, 配合路由器绑定 IP 地址, 完全保护合法用户登陆该种运营模式已经成功在北京山东两地银行运营实施, 目前运行正常方案二 : 使用具有 VPN 功能 CDMA1X 无线接入设备 ( 如图二 ) 在用户侧接入路由器与中心内网间, 安装支持 IPSec 功能的防火墙, 银行网点连接 IPSec 功能的加密机 +CDMA 无线路由器, 或者将 IPSec 功能集成在 CDMA 路由器中 ; 通过 VPN 专用帐号登陆防火墙, 建立安全隧道该种方案安全级别高, 但是对无线 CDMA 路由器技术要求高, 开发难度大, 成本相对较高六泰亚 CDMA 路由器的特点泰亚 CDMA 路由器提供 RJ45 以太网接口, 组网简单迅速灵活泰亚 CDMA 路由器无线数据通信系统可以不依赖于运营商交换中心的数据接口设备, 通过 Internet 网络随时随地构建覆盖全中国的虚拟无线数据通信专用网络产品功能 : 内嵌了完整稳定的 TCP/IP 协议栈, 包括 TCP UDP FTP SOCKET TELNET HTTP 等 ; 9

设备上电后自动拨号, 无需人为的干预, 配置及维护简单 ; 提供基本的路由功能, 可用于多台设备共享上网 ; 支持 NAT/ 静态路由两种模式互相切换, 方便用户根据应用需求配置终端 IP 地址 ; 具有完善的心跳机制, 用户可以根据自身实际设置发送心跳包的间隔附录 : 几种通信方式的比较通信方式建设运营维护覆盖传输可靠性施工成本成本成本范围速度难度电力载波低低极低有限 0.6k-1.2kbps 差极易 MODEM 电话线较高一般高窄 56kbps 一般较难 DDN 专线很高极高高窄 64k-2Mbps 极高难无线电台高低一般与网络有关 1.2k-9.6kbps 较差易 ( 需批准 ) 微波高低一般有限 64k-2Mbps 较高难蓝牙技术较高低低有限 10M-100Mbps 较高易 GPRS 网络低较低低较广 21.4k-85.6kbps 高易 CDMA1X 低较低低较广 60.5k-153.6kbps 高易北京泰亚东方通信设备有限公司地址 : 北京市海淀区学清路 8 号科技财富中心 B 座邮编 :100085 电话 :8610-82731188 传真 :8610-82736688 网址 :www.taiya.com.cn 10

<4D6963726F736F667420576F7264202D20D2F8D0D043444D41CEDECFDFBDD3C8EB41544DBBFAC1AACDF8D3A6D3C3BDE2BEF6B7BDB0B82DD0DEB8C4B0E62E646F63>