首页 新闻 工控搜 论坛 厂商论坛 产品 方案 厂商 人才 文摘 下载 展览
中华工控网首页
  P L C | 变频器与传动 | 传感器 | 现场检测仪表 | 工控软件 | 人机界面 | 运动控制
  D C S | 工业以太网 | 现场总线 | 显示调节仪表 | 数据采集 | 数传测控 | 工业安全
  电 源 | 嵌入式系统 | PC based | 机柜箱体壳体 | 低压电器 | 机器视觉
北京合力万通基于CDMA2000网络银行ATM机应用方案
收藏本文     查看收藏

 

 一、概述

随着无线电技术的发展,无线传输技术得到了广泛的应用:卫星、无线电、微波、蜂窝式电话等网络技术被广泛的应用在军事、气象、地震、消防、传统意义上的无线传输技术已从原来的只为用户终端提供服务发展到现在能够为企事业单位提供安全、稳定的数字交换平台。企事业单位在此平台上不仅可以实现以前传统电信专线上使用的所有应用,而且在地域上突破了专线点对点的限制,使的应企事业单位做到有手机信号覆盖的地方就能进行数字网络接入应用。

二、银行网络状况分析

    对于金融系统,目前全国省、市、县各级金融通信专网的骨干网已经基本建成,地、市、县级各种业务的接入网也在建设中。各级接入网相对于骨干网,具有网元多、支线多、分布广、投资低等特点,所以无线接入网是最佳选择之一。金融通信行业曾经选择过多种无线通信方式,但是都由于建网费用、频点管理、传输质量、带宽限制、维护能力等诸多因素的影响,没有得以长期使用和推广。而电信的CDMA1X网和不久即将开通的3G网络,正好可以扬长避短,弥补金融通信专网中无线通信的缺憾。
银行网络目前主要建设于传统的电信数字网基础之上,通过DDN、FR、远程拨号等实现,其主要缺点是网络结构固定变更困难且费用较高。构建在CDMA1X无线网络平台上的数字交换系统充分解决了这个问题,银行总行、各支行及结算中心之间可以沿用以前高带宽的专线网络,针对于数量众多、分散布局的营业网点、银行POS机、ATM机则可以从以前的远程拨号的网络上过渡到CDMA1X网络上来,CDMA1X网络通过发卡控制号段使一个企业的所有无线终端接入网络处在同一个封闭VPN专网中,进入VPN专网以后终端还需通过银行的AAA认证才能进入结算数据库,通过一系列的安全措施可以充分保证交易网络的安全性。无线终端可以在银行网络系统结构不作任何修改的基础上完成平滑过渡。

三、CDMA 1X无线接入银行应用案例

    中国电信提供的CDMA 1X网络可以为银行营业网点、ATM机和POS机提供数据通信服务。在CDMA网络的覆盖区中,ATM机可以架设在任何地点。而对于营业网点来说使用CDMA无线网络作为备份链路的应用非常适合,在有效保证接通率的前提下,通信成本将
大大降低。
典型的CDMA1X无线应用案例拓扑图如下:
 
基于IPSec的VPDN解决方案
 
 
 四、CDMA 1X传输方式的优势
    在银行联网业务方面,以前经常采用专线DDN方式连接到地区银行结算中心,现在则可以使用CDMA1X无线数据网络构建的VPDN安全隧道进行数据结算。相对于DDN等接入方式,具有以下优势:
1)CDMA1X用户可随意分布和移动自己的网点,无需担心线路的维护或有线在移机时导致的通讯中断。建设新的营业厅无需进行拉线、埋线等工作。较光纤或专线系统投资较少,设备安装方便。
2)终端价格比较低。与DDN专线 Modem相比,终端设备成本价格较低。
3)CDMA1X资费便宜,计费合理。CDMA1X 资费包月比有线电话网络资费还便宜。银行联网业务没有大数据量的信息传输,不必要采用资费很高的专线(DDN、帧中继)。CDMA1X还可根据通信的数据量和提供的服务质量进行计费。在CDMA1X网中,用户只需与网络建立一次连接,就可长时间的保持这种连接,并只在传输数据时才占用信道并被计费,保持时不占用信道不计费。这样,营业厅既不用频繁建立连接,也不必支付传输间隙时的费用。
4)CDMA1X能最好地支持频繁的、少量突发型数据业务。通信质量稳定可靠,永不掉线。
5)CDMA1X网络接入速度快,提供了与现有数据网的无缝连接。由于CDMA1X网本身就是一个分组型数据网, 支持TCP/IP、X.25协议,因此无需经过PSTN等网络的转接,直接与分组数据网(IP网或X.25网)互通,接入速度仅几秒钟,快于电路型数据业务。采用TCP/IP协议,较以前的无线数据网络(集群,双向传呼,GSM短信息)而言,网络接入更加直接方便。
6)数据集中,易于管理。传统的银行网点之间采用级联的方式,县级银行、市级银行分别接入当地电信或网通固网运营商,数据逐级上传,分散不易管理;采用电信CDMA1X无线接入,全省一个数据中心,即可完成数据的集中与统一管理,极大地提高了效率,降低了传输成本。
7)覆盖好。比较很多无线数据网络(集群,双向传呼,CDPD)而言,其网络覆盖是最好的。

五、CDMA 1X无线接入的安全性

1. CDMA1X无线接入的工作流程:
   在电信完成网络侧配置后,银行网点通过无线设备接入CDMA1X网络后,CDMA1X分组接入设备PDSN上通过L2TP隧道路由连到银行系统中心内的LNS路由器上,中间经过电信骨干网和专线。整个隧道的开启和通过均在电信网络内部,作为大型的电信运营商,有严格的安全管理和保护措施,确保网内的数据安全可靠,具有很高的安全性保障,而且不存在互连互通瓶颈,可以有效保证用户使用性能。
2.   安全性保障
   CDMA1X采用脱胎于军用技术的无线扩频技术,用户端到无线网络接入设备间的无线空中通道目前不可能被破解;无线分组设备到用户终端设备间,采用隧道穿过专线接入,可以有效保证整个系统的安全。要保护整体系统的安全,首先要保证网络本身的安全。必须尽可能地屏蔽外部非法访问及非法数据,对从外部网络连入的终端进行严格的用户认证及控制。针对CDMA1X的各环节,我们分别分析其安全性,并提供5级业务安全保障,从而充分保证网络中数据的安全。
1)第一级安全保障:CDMA网络本身的安全性
     目前世界上使用的移动通信网络主要有两种:GSM和CDMA。与GSM相比,CDMA网络系统在安全保密方面具有很大优势。CDMA本来就是起源军事保密技术,在战争期间广泛应用于军事领域,具有抗干扰、安全通信、保密性好的特性。进行移动手机信号的窃听一般使用以下三种方法。首先,需要捕捉到通信信号。在空间中充满了各种各样的无线电波,用户手机信号就混杂在其中。要想窃听某一个用户的通话,首先必须捕捉到这个用户手机发出的特定的电磁波。由于CDMA系统采用扩频技术,经过扩频以后的有用信号的频谱被大大地展宽了,用户信号隐蔽在互不相关的信号中,要想捕捉到这一有用信号非常困难。因此,窃听器捕捉不到,也无法识别出哪些是CDMA手机用户的通信信号,哪些是噪音。其次,窃听器必须锁定手机用户通信的信号,继而才能分析和破解信息。而CDMA采用快速切换功率控制技术,即便是窃听设备捕捉到了用户手机信号,也不能锁定快速功率切换下的有用信号,因此,快速功率切换让CDMA信号很难锁定。第三,需要破解用户信息编码。而CDMA采用伪随机码技术,用长达42位的伪随机码来标识区分用户,每次通话都有4.4万亿种可能的排列,窃听器很难破译出CDMA的编码。所以CDMA技术本身就很安全。
2)第二级安全保障:CDMA网络侧的AAA认证
   AAA是指认证(Authentication)、授权(Authorization)、计费(Accounting)三个过程,其中:
认证是,用户在使用网络系统中的资源时对用户身份的确认。这一过程,通过与用户的交互获得身份信息(像用户名-口令、生物特征信息等),然后提交给认证服务器;认证服务器对身份信息与存储在数据库里的用户信息进行核对处理,然后根据处理结果确认用户身份是否正确。
授权是,网络系统授权用户以特定的权限使用其资源,这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限,如授予IP地址,准许访问时间等。
计费是,网络系统收集、记录用户对网络资源的使用信息,以便向用户收取资源使用费。以互联网业务提供商ISP为例,用户的网络接入使用情况可以按流量或者时间准确地记录下来。
认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益,又能有效地保障网络系统安全可靠地运行。
CDMA网络侧的AAA认证过程是对用户的域名进行鉴权认证,网中数据网的用户(VPDN成员)是以username@xxx.133vpdn.bj形式登录的(用户在电信登记入网时,北京电信分配其一个域名xxx.133vpdn.bj)。CDMA网络侧的AAA服务器对登录用户的域名和该用户的IMSI进行绑定审核验证。验证通过后,方可接入电信CDMA网络。
移动通信从电路交换,发展到CDMA 1X分组网络,再到第三代移动通信网络,用于认证、授权和计费的协议也在随之演进,从基于7号信令的协议,到部分采用RADIUS,再发展到Diameter,这主要是由越来越丰富的业务决定的。Diameter协议由IETF的AAA工作组在2002年3月提出的认证计费协议草案。Diameter协议支持移动IP、NAS请求和移动代理的认证、授权和计费工作。协议的实现和RADIUS类似,也是采用Attribute-Length-Value三元组来实现,但是其中详细规定了错误处理等内容。它在设计过程中,不仅保持了与广为使用的RADIUS协议的兼容,更克服了RADIUS协议的许多不足,而且它不仅仅被互联网采用,更被下一代移动通信网(3G)采用。在第三代移动网络和业务开展初期,为了和已有的设备和传统业务互通,需要采用Diameter与RADIUS之间的协议转换器,但是最终还是统一使用AAA Diameter协议。
3)第三级安全保障:CDMA网络和用户网络之间的VPN链接
    CDMA网络和用户网络之间可以采用专线链接,也可以使用Internet链接。使用Internet链接必须考虑安全性,因此,可以使用VPN将二者利用Internet链接起来。
VPN技术非常复杂,涉及到通信技术、密码技术和现代认证技术。主要包含两种技术:隧道技术与安全技术。
隧道技术的基本过程是在源局域网与公网接口处将数据封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,被封装的数据包在互联网上传播时的所经过的路径被称为“隧道”。常用的隧道协议有:1.点到点隧道协议—PPTP(现已基本淘汰); 2.第二层隧道协议—L2TP,该协议是国际标准隧道协议,具有PPTP协议以及第二层转发协议(L2F)的优点,可以使PPP包以隧道方式通过各种网络,包括ATM、SONET、帧中继。但没有任何加密措施;3.IPSec协议,该协议是一个范围广泛、开放的VPN安全协议,工作在网络层。它提供所有在网络层上的数据保护和透明的安全通信。可以在两种模式下运行:一种是隧道模式,一种是传输模式。在隧道模式下IPSec把IPv4数据包封装在安全的IP帧中;传输模式是为了保护端到端的安全性,不会隐藏路由信息。目前一种趋势是将L2TP和IPSec结合起来:用L2TP作为隧道协议,用IPSec协议保护数据。市场上大部分VPN采用这类技术。 4.SOCKS v5协议,SOCKS v5工作在OSI模型中的第五层——会话层,可作为建立高度安全的VPN的基础。SOCKS v5协议的优势在访问控制,因此适用于安全性较高的VPN,SOCKS v5现在被IETF建议作为VPN的标准。
VPN是在不安全的Internet上传输的,传输内容可能涉及到企业的机密数据,因此安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。主要有认证技术,加密技术,秘钥管理与交换技术。
在用户侧接入路由器与中心内网间,安装支持IPSec功能的防火墙,银行网点连接IPSec功能的加密机+CDMA无线路由器,或者将IPSec功能集成在CDMA路由器中;通过VPN专用帐号登陆防火墙,建立安全隧道。该种方案安全级别高,但是对无线CDMA路由器技术要求高,开发难度大,成本相对较高,我公司CDMA无线路由器产品成功的将IPsec功能集成在设备中,并完成了与市面多种VPN终端的兼容性。
4)第四级安全保障:用户网络侧的安全防火墙(FW)
   防火墙技术是目前用来实现网络安全措施的一种主要手段,主要是用来拒绝非法用户的访问,阻止非法用户存取敏感数据,同时允许合法用户顺利访问网络资源。防火墙实际上是一种访问控制技术,在某个机构的内部网络和不安全网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上的非法输出。
实现防火墙的主要技术有:数据包过滤,应用网关和代理服务等。包过滤(Packet Filter)技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过,其核心是安全策略即过滤算法的设计。应用网关(Application Gateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关可以严格控制某些易于登录和控制的所有的输出输入通信环境,以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中,应用网关一般使用专用工作站系统。代理服务器(Proxy Server)作用在应用层,用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。
用户网络可以选用适合于本单位的防火墙产品来保证自己网络数据的安全。
5)第五级安全保障:用户网络侧的AAA鉴权认证
   用户网络侧的AAA鉴权认证可以实现对VPDN成员的身份认证。与第二级的安全保障不同,本级的AAA服务器将鉴别VPDN成员的用户名和密码的正确性。
username@xxx.133vpdn.bj中的域名将是中国电信公司提供给专网接入用户的专有统一域名,用户名(username)可以是VPDN中每个成员的手机号码或者其它标识。VPDN中成员的用户名和密码等资料将保存在用户专网侧的AAA服务器,具有很好的安全性和管理的灵活性。

六、合力万通CDMA路由器的特点

合力万通CDMA路由器提供RJ45以太网接口,组网简单、迅速、灵活。合力万通CDMA路由器无线数据通信系统可以不依赖于运营商交换中心的数据接口设备,通过Internet网络随时随地构建覆盖全中国的虚拟无线数据通信专用网络。
1)、产品特点
  • 稳定可靠
²        独立的硬件监控电路,使系统有可靠的手段保证恢复。
²        多重在线监测机制。支持在线检测、ICMP检测(PING检测),可检测出任何网络不通的情况。
²        严格的高低温测试:常温5天5夜,高/低温24小时
²        真正实现了“无人值守”
  • 平台性能优越,可扩展性好
²        采用ARM9 嵌入式主板,真正的32位嵌入式平台;
²        主板主频:200MHZ;内存:32M;闪存:16M
²        Linux 2.6 内核操作系统,最稳定linux内核。
²        速度快,时延小。
  • 功能完备,配置简单,小巧灵活。
²        支持L2TP/PPTP/IPSec VPN;
²        支持端口映射和DMZ主机;
²        支持动态域名;
²        支持防火墙;
²        支持远程升级;
²        支持MPPC,Predictor压缩协议,可以缩小时延;
²        支持cisico管理界面;
2)、详细产品功能
  • 支持CDMA 2000 1X网络
  • 支持互联网、虚拟专用拨号数据网 (VPDN)
  • 支持自动获得/指定PPP上线IP地址、DNS地址
  • 支持PAP、CHAP、MS-CHAP多种PPP验证机制
  • 支持永远在线、按需拨号、短信激活、拨号激活多种上网方式
  • 支持在线检测与断线自动重拨
  • 支持PPP LCP 保活机制
  • 支持ICMP报文检测保活机制
  • 支持NAT、Routing Mode 工作方式
  • 支持DHCP服务
  • 支持CDMA网络时间同步、网络时间同步
  • 支持以太网接口或RS-232接口
  • 支持WEB页面配置、串口配置、Telnet配置、CLI配置
  • 支持远程配置、配置文件导入导出
  • 支持动态域名自动注册
  • 支持静态路由表配置
  • 内嵌L2TP VPN
  • 内嵌PPTP VPN
  • 内嵌IPSec VPN
  • 内嵌PPPoE Server功能
  • 支持PPP链路的压缩传输(MPPC和predictor方式)
  • 支持DMZ主机、端口映射功能
  • 支持防火墙
  • 支持远程升级
  • 支持cisico管理界面
3)、技术参数:
  • 主板参数:   主频:200M;内存:32M;闪存(flash):16M。
  • 无线模块参数
CDMA2000 1X:频率范围:接收869 ~ 894MHz,发送824 ~ 849MHz
      数据速率(最大):上下行153.6Kbps。 
  • 通讯接口
以太网接口:10M/100M自适应,接插件为RJ45
串行通信口:2400Kbps——115200 Kbps,N-8-1方式,接插件为DB9孔
天线接口:50Ω/SMA阴头;可外接50Ω增强天线
UIM卡:抽屉式式卡座,电压3V,6触点
  • 工作电源
        直流单孔插座,5V输入;
    外置220V转5V电源配适器。
  • 整机功耗
典型功耗:2.5W
最大功耗:3.5W;
  • 机壳尺寸
 长×宽×高=113mm×77mm×27mm
  • 重量
 300克(单卡)。
  • 环境温度
工作温度:-25℃~60℃
存储温度:-40℃~80℃
环境湿度:小于90%


 

状 态: 离线

公司简介
产品目录
供应信息

公司名称: 北京合力万通科技有限公司
联 系 人: 王智
电  话: 010-82083818
传  真: 010-82083822
地  址: 北京市昌平区回龙观东大街北回归线1-415
邮  编: 100222
主  页:
 
该厂商相关解决方案:
电子警察3G无线组网解决方案
3G无线传输在远程图像监控系统中的应用
电力无线调度组网解决方案
无线监控应用方案
基于3G网络的温度湿度监控
合力万通HT-4756自动售货机解决方案
更多方案...
立即发送询问信息在线联系该解决方案厂商:
用户名: 密码: 免费注册为中华工控网会员
请留下您的有效联系方式,以方便我们及时与您联络

关于我们 | 联系我们 | 广告服务 | 本站动态 | 友情链接 | 法律声明 | 不良信息举报
工控网客服热线:0755-86369299
版权所有 中华工控网 Copyright©2022 Gkong.com, All Rights Reserved