|
隨著無線電技術的發展,無線傳輸技術得到了廣泛的應用:衛星、無線電、微波、蜂窩式電話等網絡技術被廣泛的應用在軍事、氣象、地震、消防、傳統意義上的無線傳輸技術已從原來的只為用戶終端提供服務發展到現在能夠為企事業單位提供安全、穩定的數字交換平臺。企事業單位在此平臺上不僅可以實現以前傳統電信專線上使用的所有應用,而且在地域上突破了專線點對點的限制,使的應企事業單位做到有手機信號覆蓋的地方就能進行數字網絡接入應用。
對于金融系統,目前全國省、市、縣各級金融通信專網的骨干網已經基本建成,地、市、縣級各種業務的接入網也在建設中。各級接入網相對于骨干網,具有網元多、支線多、分布廣、投資低等特點,所以無線接入網是最佳選擇之一。金融通信行業曾經選擇過多種無線通信方式,但是都由于建網費用、頻點管理、傳輸質量、帶寬限制、維護能力等諸多因素的影響,沒有得以長期使用和推廣。而電信的CDMA1X網和不久即將開通的3G網絡,正好可以揚長避短,彌補金融通信專網中無線通信的缺憾。
銀行網絡目前主要建設于傳統的電信數字網基礎之上,通過DDN、FR、遠程撥號等實現,其主要缺點是網絡結構固定變更困難且費用較高。構建在CDMA1X無線網絡平臺上的數字交換系統充分解決了這個問題,銀行總行、各支行及結算中心之間可以沿用以前高帶寬的專線網絡,針對于數量眾多、分散布局的營業網點、銀行POS機、ATM機則可以從以前的遠程撥號的網絡上過渡到CDMA1X網絡上來,CDMA1X網絡通過發卡控制號段使一個企業的所有無線終端接入網絡處在同一個封閉VPN專網中,進入VPN專網以后終端還需通過銀行的AAA認證才能進入結算數據庫,通過一系列的安全措施可以充分保證交易網絡的安全性。無線終端可以在銀行網絡系統結構不作任何修改的基礎上完成平滑過渡。
三、CDMA 1X無線接入銀行應用案例
中國電信提供的CDMA 1X網絡可以為銀行營業網點、ATM機和POS機提供數據通信服務。在CDMA網絡的覆蓋區中,ATM機可以架設在任何地點。而對于營業網點來說使用CDMA無線網絡作為備份鏈路的應用非常適合,在有效保證接通率的前提下,通信成本將
大大降低。
典型的CDMA1X無線應用案例拓撲圖如下:
基于IPSec的VPDN解決方案
在銀行聯網業務方面,以前經常采用專線DDN方式連接到地區銀行結算中心,現在則可以使用CDMA1X無線數據網絡構建的VPDN安全隧道進行數據結算。相對于DDN等接入方式,具有以下優勢:
1)CDMA1X用戶可隨意分布和移動自己的網點,無需擔心線路的維護或有線在移機時導致的通訊中斷。建設新的營業廳無需進行拉線、埋線等工作。較光纖或專線系統投資較少,設備安裝方便。
2)終端價格比較低。與DDN專線 Modem相比,終端設備成本價格較低。
3)CDMA1X資費便宜,計費合理。CDMA1X 資費包月比有線電話網絡資費還便宜。銀行聯網業務沒有大數據量的信息傳輸,不必要采用資費很高的專線(DDN、幀中繼)。CDMA1X還可根據通信的數據量和提供的服務質量進行計費。在CDMA1X網中,用戶只需與網絡建立一次連接,就可長時間的保持這種連接,并只在傳輸數據時才占用信道并被計費,保持時不占用信道不計費。這樣,營業廳既不用頻繁建立連接,也不必支付傳輸間隙時的費用。
4)CDMA1X能最好地支持頻繁的、少量突發型數據業務。通信質量穩定可靠,永不掉線。
5)CDMA1X網絡接入速度快,提供了與現有數據網的無縫連接。由于CDMA1X網本身就是一個分組型數據網, 支持TCP/IP、X.25協議,因此無需經過PSTN等網絡的轉接,直接與分組數據網(IP網或X.25網)互通,接入速度僅幾秒鐘,快于電路型數據業務。采用TCP/IP協議,較以前的無線數據網絡(集群,雙向傳呼,GSM短信息)而言,網絡接入更加直接方便。
6)數據集中,易于管理。傳統的銀行網點之間采用級聯的方式,縣級銀行、市級銀行分別接入當地電信或網通固網運營商,數據逐級上傳,分散不易管理;采用電信CDMA1X無線接入,全省一個數據中心,即可完成數據的集中與統一管理,極大地提高了效率,降低了傳輸成本。
7)覆蓋好。比較很多無線數據網絡(集群,雙向傳呼,CDPD)而言,其網絡覆蓋是最好的。
五、CDMA 1X無線接入的安全性
1. CDMA1X無線接入的工作流程:
在電信完成網絡側配置后,銀行網點通過無線設備接入CDMA1X網絡后,CDMA1X分組接入設備PDSN上通過L2TP隧道路由連到銀行系統中心內的LNS路由器上,中間經過電信骨干網和專線。整個隧道的開啟和通過均在電信網絡內部,作為大型的電信運營商,有嚴格的安全管理和保護措施,確保網內的數據安全可靠,具有很高的安全性保障,而且不存在互連互通瓶頸,可以有效保證用戶使用性能。
2. 安全性保障
CDMA1X采用脫胎于軍用技術的無線擴頻技術,用戶端到無線網絡接入設備間的無線空中通道目前不可能被破解;無線分組設備到用戶終端設備間,采用隧道穿過專線接入,可以有效保證整個系統的安全。要保護整體系統的安全,首先要保證網絡本身的安全。必須盡可能地屏蔽外部非法訪問及非法數據,對從外部網絡連入的終端進行嚴格的用戶認證及控制。針對CDMA1X的各環節,我們分別分析其安全性,并提供5級業務安全保障,從而充分保證網絡中數據的安全。
1)第一級安全保障:CDMA網絡本身的安全性
目前世界上使用的移動通信網絡主要有兩種:GSM和CDMA。與GSM相比,CDMA網絡系統在安全保密方面具有很大優勢。CDMA本來就是起源軍事保密技術,在戰爭期間廣泛應用于軍事領域,具有抗干擾、安全通信、保密性好的特性。進行移動手機信號的竊聽一般使用以下三種方法。首先,需要捕捉到通信信號。在空間中充滿了各種各樣的無線電波,用戶手機信號就混雜在其中。要想竊聽某一個用戶的通話,首先必須捕捉到這個用戶手機發出的特定的電磁波。由于CDMA系統采用擴頻技術,經過擴頻以后的有用信號的頻譜被大大地展寬了,用戶信號隱蔽在互不相關的信號中,要想捕捉到這一有用信號非常困難。因此,竊聽器捕捉不到,也無法識別出哪些是CDMA手機用戶的通信信號,哪些是噪音。其次,竊聽器必須鎖定手機用戶通信的信號,繼而才能分析和破解信息。而CDMA采用快速切換功率控制技術,即便是竊聽設備捕捉到了用戶手機信號,也不能鎖定快速功率切換下的有用信號,因此,快速功率切換讓CDMA信號很難鎖定。第三,需要破解用戶信息編碼。而CDMA采用偽隨機碼技術,用長達42位的偽隨機碼來標識區分用戶,每次通話都有4.4萬億種可能的排列,竊聽器很難破譯出CDMA的編碼。所以CDMA技術本身就很安全。
2)第二級安全保障:CDMA網絡側的AAA認證
AAA是指認證(Authentication)、授權(Authorization)、計費(Accounting)三個過程,其中:
認證是,用戶在使用網絡系統中的資源時對用戶身份的確認。這一過程,通過與用戶的交互獲得身份信息(像用戶名-口令、生物特征信息等),然后提交給認證服務器;認證服務器對身份信息與存儲在數據庫里的用戶信息進行核對處理,然后根據處理結果確認用戶身份是否正確。
授權是,網絡系統授權用戶以特定的權限使用其資源,這一過程指定了被認證的用戶在接入網絡后能夠使用的業務和擁有的權限,如授予IP地址,準許訪問時間等。
計費是,網絡系統收集、記錄用戶對網絡資源的使用信息,以便向用戶收取資源使用費。以互聯網業務提供商ISP為例,用戶的網絡接入使用情況可以按流量或者時間準確地記錄下來。
認證、授權和計費一起實現了網絡系統對特定用戶的網絡資源使用情況的準確記錄。這樣既在一定程度上有效地保障了合法用戶的權益,又能有效地保障網絡系統安全可靠地運行。
CDMA網絡側的AAA認證過程是對用戶的域名進行鑒權認證,網中數據網的用戶(VPDN成員)是以username@xxx.133vpdn.bj形式登錄的(用戶在電信登記入網時,北京電信分配其一個域名xxx.133vpdn.bj)。CDMA網絡側的AAA服務器對登錄用戶的域名和該用戶的IMSI進行綁定審核驗證。驗證通過后,方可接入電信CDMA網絡。
移動通信從電路交換,發展到CDMA 1X分組網絡,再到第三代移動通信網絡,用于認證、授權和計費的協議也在隨之演進,從基于7號信令的協議,到部分采用RADIUS,再發展到Diameter,這主要是由越來越豐富的業務決定的。Diameter協議由IETF的AAA工作組在2002年3月提出的認證計費協議草案。Diameter協議支持移動IP、NAS請求和移動代理的認證、授權和計費工作。協議的實現和RADIUS類似,也是采用Attribute-Length-Value三元組來實現,但是其中詳細規定了錯誤處理等內容。它在設計過程中,不僅保持了與廣為使用的RADIUS協議的兼容,更克服了RADIUS協議的許多不足,而且它不僅僅被互聯網采用,更被下一代移動通信網(3G)采用。在第三代移動網絡和業務開展初期,為了和已有的設備和傳統業務互通,需要采用Diameter與RADIUS之間的協議轉換器,但是最終還是統一使用AAA Diameter協議。
3)第三級安全保障:CDMA網絡和用戶網絡之間的VPN鏈接
CDMA網絡和用戶網絡之間可以采用專線鏈接,也可以使用Internet鏈接。使用Internet鏈接必須考慮安全性,因此,可以使用VPN將二者利用Internet鏈接起來。
VPN技術非常復雜,涉及到通信技術、密碼技術和現代認證技術。主要包含兩種技術:隧道技術與安全技術。
隧道技術的基本過程是在源局域網與公網接口處將數據封裝在一種可以在公網上傳輸的數據格式中,在目的局域網與公網的接口處將數據解封裝,被封裝的數據包在互聯網上傳播時的所經過的路徑被稱為“隧道”。常用的隧道協議有:1.點到點隧道協議—PPTP(現已基本淘汰); 2.第二層隧道協議—L2TP,該協議是國際標準隧道協議,具有PPTP協議以及第二層轉發協議(L2F)的優點,可以使PPP包以隧道方式通過各種網絡,包括ATM、SONET、幀中繼。但沒有任何加密措施;3.IPSec協議,該協議是一個范圍廣泛、開放的VPN安全協議,工作在網絡層。它提供所有在網絡層上的數據保護和透明的安全通信。可以在兩種模式下運行:一種是隧道模式,一種是傳輸模式。在隧道模式下IPSec把IPv4數據包封裝在安全的IP幀中;傳輸模式是為了保護端到端的安全性,不會隱藏路由信息。目前一種趨勢是將L2TP和IPSec結合起來:用L2TP作為隧道協議,用IPSec協議保護數據。市場上大部分VPN采用這類技術。 4.SOCKS v5協議,SOCKS v5工作在OSI模型中的第五層——會話層,可作為建立高度安全的VPN的基礎。SOCKS v5協議的優勢在訪問控制,因此適用于安全性較高的VPN,SOCKS v5現在被IETF建議作為VPN的標準。
VPN是在不安全的Internet上傳輸的,傳輸內容可能涉及到企業的機密數據,因此安全性非常重要。VPN中的安全技術通常由加密、認證及密鑰交換與管理組成。主要有認證技術,加密技術,秘鑰管理與交換技術。
在用戶側接入路由器與中心內網間,安裝支持IPSec功能的防火墻,銀行網點連接IPSec功能的加密機+CDMA無線路由器,或者將IPSec功能集成在CDMA路由器中;通過VPN專用帳號登陸防火墻,建立安全隧道。該種方案安全級別高,但是對無線CDMA路由器技術要求高,開發難度大,成本相對較高,我公司CDMA無線路由器產品成功的將IPsec功能集成在設備中,并完成了與市面多種VPN終端的兼容性。
4)第四級安全保障:用戶網絡側的安全防火墻(FW)
防火墻技術是目前用來實現網絡安全措施的一種主要手段,主要是用來拒絕非法用戶的訪問,阻止非法用戶存取敏感數據,同時允許合法用戶順利訪問網絡資源。防火墻實際上是一種訪問控制技術,在某個機構的內部網絡和不安全網絡之間設置障礙,阻止對信息資源的非法訪問,也可以使用防火墻阻止保密信息從受保護網絡上的非法輸出。
實現防火墻的主要技術有:數據包過濾,應用網關和代理服務等。包過濾(Packet Filter)技術是在網絡層中對數據包實施有選擇的通過。依據系統內事先設定的過濾邏輯,檢查數據流中每個數據包后,根據數據包的源地址、目的地址、TCP/UDP源端口號、TCP/UDP目的端口號及數據包頭中的各種標志位等因素來確定是否允許數據包通過,其核心是安全策略即過濾算法的設計。應用網關(Application Gateway)技術是建立在網絡應用層上的協議過濾,它針對特別的網絡應用服務協議即數據過濾協議,并且能夠對數據包分析并形成相關的報告。應用網關可以嚴格控制某些易于登錄和控制的所有的輸出輸入通信環境,以防有價值的程序和數據被竊取。它的另一個功能是對通過的信息進行記錄,如什么樣的用戶在什么時間連接了什么站點。在實際工作中,應用網關一般使用專用工作站系統。代理服務器(Proxy Server)作用在應用層,用來提供應用層服務的控制,起到內部網絡向外部網絡申請服務時中間轉接作用。內部網絡只接受代理提出的服務請求,拒絕外部網絡其它節點的直接請求。
用戶網絡可以選用適合于本單位的防火墻產品來保證自己網絡數據的安全。
5)第五級安全保障:用戶網絡側的AAA鑒權認證
用戶網絡側的AAA鑒權認證可以實現對VPDN成員的身份認證。與第二級的安全保障不同,本級的AAA服務器將鑒別VPDN成員的用戶名和密碼的正確性。
username@xxx.133vpdn.bj中的域名將是中國電信公司提供給專網接入用戶的專有統一域名,用戶名(username)可以是VPDN中每個成員的手機號碼或者其它標識。VPDN中成員的用戶名和密碼等資料將保存在用戶專網側的AAA服務器,具有很好的安全性和管理的靈活性。
合力萬通CDMA路由器提供RJ45以太網接口,組網簡單、迅速、靈活。合力萬通CDMA路由器無線數據通信系統可以不依賴于運營商交換中心的數據接口設備,通過Internet網絡隨時隨地構建覆蓋全中國的虛擬無線數據通信專用網絡。
1)、產品特點
² 獨立的硬件監控電路,使系統有可靠的手段保證恢復。
² 多重在線監測機制。支持在線檢測、ICMP檢測(PING檢測),可檢測出任何網絡不通的情況。
² 嚴格的高低溫測試:常溫5天5夜,高/低溫24小時
² 真正實現了“無人值守”
² 采用ARM9 嵌入式主板,真正的32位嵌入式平臺;
² 主板主頻:200MHZ;內存:32M;閃存:16M
² Linux 2.6 內核操作系統,最穩定linux內核。
² 速度快,時延小。
² 支持L2TP/PPTP/IPSec VPN;
² 支持端口映射和DMZ主機;
² 支持動態域名;
² 支持防火墻;
² 支持遠程升級;
² 支持MPPC,Predictor壓縮協議,可以縮小時延;
² 支持cisico管理界面;
2)、詳細產品功能
- 支持CDMA 2000 1X網絡
- 支持互聯網、虛擬專用撥號數據網 (VPDN)
- 支持自動獲得/指定PPP上線IP地址、DNS地址
- 支持PAP、CHAP、MS-CHAP多種PPP驗證機制
- 支持永遠在線、按需撥號、短信激活、撥號激活多種上網方式
- 支持在線檢測與斷線自動重撥
- 支持PPP LCP 保活機制
- 支持ICMP報文檢測保活機制
- 支持NAT、Routing Mode 工作方式
- 支持DHCP服務
- 支持CDMA網絡時間同步、網絡時間同步
- 支持以太網接口或RS-232接口
- 支持WEB頁面配置、串口配置、Telnet配置、CLI配置
- 支持遠程配置、配置文件導入導出
- 支持動態域名自動注冊
- 支持靜態路由表配置
- 內嵌L2TP VPN
- 內嵌PPTP VPN
- 內嵌IPSec VPN
- 內嵌PPPoE Server功能
- 支持PPP鏈路的壓縮傳輸(MPPC和predictor方式)
- 支持DMZ主機、端口映射功能
- 支持防火墻
- 支持遠程升級
- 支持cisico管理界面
3)、技術參數:
- 主板參數: 主頻:200M;內存:32M;閃存(flash):16M。
- 無線模塊參數
CDMA2000 1X:頻率范圍:接收869 ~ 894MHz,發送824 ~ 849MHz
數據速率(最大):上下行153.6Kbps。
以太網接口:10M/100M自適應,接插件為RJ45
串行通信口:2400Kbps——115200 Kbps,N-8-1方式,接插件為DB9孔
天線接口:50Ω/SMA陰頭;可外接50Ω增強天線
UIM卡:抽屜式式卡座,電壓3V,6觸點
直流單孔插座,5V輸入;
外置220V轉5V電源配適器。
典型功耗:2.5W
最大功耗:3.5W;
長×寬×高=113mm×77mm×27mm
300克(單卡)。
工作溫度:-25℃~60℃
存儲溫度:-40℃~80℃
環境濕度:小于90%
|
