日本老熟妇一二三区-麻豆视频精品一区-人妻中文字幕xx-一区二区美女少妇-日本成人一级在线

一、需求分析
某省會城市社會保障局是社會保險的業(yè)務(wù)管理單位，所轄區(qū)域九區(qū)十二縣范圍內(nèi)共有近20000多家藥店和醫(yī)院。隨著國家積極推進(jìn)保險社會化，在全國范圍內(nèi)實行大社保計劃的改革措施，目前該省會城市社會保障局所轄區(qū)域內(nèi)的藥店和醫(yī)院都已開展了社?？ㄋ⒖ㄙ徦帢I(yè)務(wù)，所有參加社保的人員只要使用社保局統(tǒng)一發(fā)給的社?？纯稍诟魉幍旰歪t(yī)院購藥，極大地方便了參保群眾。
隨著刷卡業(yè)務(wù)的開展和普及，大量的中小型藥店也納入了社?？ㄋ⒖ㄙ徦帢I(yè)務(wù)系統(tǒng)，特別是農(nóng)村社會保障體系的建立，社?？ㄋ⒖ㄙ徦帢I(yè)務(wù)將向農(nóng)村地區(qū)延伸。在“大社保”的背景和要求下，傳統(tǒng)的有線或微波通訊因為高昂的通訊費用難以被中小型藥店接受，同時廣大農(nóng)村地區(qū)也是有線和微波難以完全覆蓋的。    
為解決這些矛盾，社會保障局選擇了費用低廉、傳輸速率高、城鄉(xiāng)地區(qū)覆蓋好的CDMA1X無線數(shù)據(jù)通信方式作為通訊模式的補充。藥店和醫(yī)院的刷卡設(shè)備通過CDMA無線通訊網(wǎng)絡(luò)與社保中心的主機保持實時連接，刷卡設(shè)備將獲得的持卡人信息通過CDMA無線通訊網(wǎng)絡(luò)傳給社保中心主機，社保中心主機對信息進(jìn)行處理，并將處理后的信息通過CDMA無線通訊網(wǎng)絡(luò)返回，完成實時交易。
 
二、CDMA VPDN社?？▽崟r交易系統(tǒng)應(yīng)用方案
2.1 CDMA1X無線通訊的特點
1、CDMA1X用戶可隨意分布和移動自己的網(wǎng)點，無需擔(dān)心線路的維護(hù)或有線在移機時導(dǎo)致的通訊中斷。建設(shè)新點無需進(jìn)行拉線、埋線等工作，設(shè)備安裝方便。
2、CDMA1X資費便宜，計費合理，使用成本低。
3、CDMA1X能最好地支持頻繁的、少量突發(fā)型數(shù)據(jù)業(yè)務(wù)，通信質(zhì)量穩(wěn)定可靠。
4、CDMA1X網(wǎng)絡(luò)接入速度快，提供了與現(xiàn)有數(shù)據(jù)網(wǎng)的無縫連接。
5、覆蓋較好。
2.2 方案描述
CDMA社?？▽崟r交易系統(tǒng)結(jié)構(gòu)如下圖所示：

1、數(shù)據(jù)中心
社保信息中心通過光纖直接和聯(lián)通中心機房的CDMA1X 網(wǎng)絡(luò)連接，中心的數(shù)據(jù)吞吐率大，數(shù)據(jù)安全保密性強。同時遠(yuǎn)程點和中心點均處于同一網(wǎng)段IP 地址，通信雙方處于對等位置，便于多種業(yè)務(wù)的開展。
2、遠(yuǎn)程網(wǎng)點
遠(yuǎn)程網(wǎng)點采用RW2000-C CDMA路由器，各藥店電腦通過 RJ45 接口與RW2000-C相連，刷卡信息由RW2000-C CDMA 路由器對數(shù)據(jù)進(jìn)行處理、協(xié)議封裝后發(fā)送到 CDMA VPDN網(wǎng)絡(luò)。網(wǎng)絡(luò)對用戶的接入地點、時間、數(shù)量沒有限制，可以隨時增減。可以滿足鄉(xiāng)鎮(zhèn)藥店、醫(yī)院和跨地區(qū)接入的需求。
3、安全措施
本系統(tǒng)涉及資金交易需要極高的系統(tǒng)安全保障和穩(wěn)定性。安全保障主要是防止來自系統(tǒng)內(nèi)外的有意和無意的破環(huán)，網(wǎng)絡(luò)安全防護(hù)措施包括信道加密、信源加密、登錄防護(hù)、訪問防護(hù)、接入防護(hù)、防火墻等。穩(wěn)定是指系統(tǒng)能夠 7 × 24 小時不間斷運行，即使出現(xiàn)硬件和軟件故障，系統(tǒng)也不能中斷運行。數(shù)據(jù)中心可通過到中國聯(lián)通 CDMA VPDN 接入，采用 VPDN 方式成本比較低，安全性比較高，可充分保障速度和網(wǎng)絡(luò)服務(wù)質(zhì)量。我們的解決方案提供 5 級業(yè)務(wù)安全保障，從而充分保證網(wǎng)絡(luò)中數(shù)據(jù)的安全。
（1）第一級安全保證： CDMA 網(wǎng)絡(luò)本身的安全性
CDMA 本來就是起源軍事保密技術(shù)，在戰(zhàn)爭期間廣泛應(yīng)用于軍事領(lǐng)域，具有抗干擾、安全通信、保密性好的特性。進(jìn)行移動手機信號的竊聽一般使用以下三種方法。首先，需要捕捉到通信信號。在空間中充滿了各種各樣的無線電波，用戶手機信號就混雜在其中。要想竊聽某一個用戶的通話，首先必須捕捉到這個用戶手機發(fā)出的特定的電磁波。由于 CDMA 系統(tǒng)采用擴頻技術(shù)，經(jīng)過擴頻以后的有用信號的頻譜被大大地展寬了，用戶信號隱蔽在互不相關(guān)的信號中，要想捕捉到這一有用信號非常困難。因此，竊聽器捕捉不到，也無法識別出哪些是 CDMA 手機用戶的通信信號，哪些是噪音。其次，竊聽器必須鎖定手機用戶通信的信號，繼而才能分析和破　解信息。而 CDMA 采用快速切換功率控制技術(shù)，即便是竊聽設(shè)備捕捉到了用戶手機信號，也不能鎖定快速功率切換下的有用信號，因此，快速功率切換讓 CDMA 信號很難鎖定。第三，需要破　解用戶信息編碼。而 CDMA 采用偽隨機碼技術(shù)，用長達(dá) 42 位的偽隨機碼來標(biāo)識區(qū)分用戶，每次通話都有 4.4 萬億種可能的排列，竊聽器很難破譯出 CDMA 的編碼。所以 CDMA 技術(shù)本身就很安全。
 
（2）第二級安全保證： CDMA 網(wǎng)絡(luò)側(cè)的 AAA 認(rèn)證
AAA 是指認(rèn)證（ Authentication ）、授權(quán)（ Authorization ）、計費（ Accounting ）三個過程，其中：
認(rèn)證是，用戶在使用網(wǎng)絡(luò)系統(tǒng)中的資源時對用戶身份的確認(rèn)。這一過程，通過與用戶的交互獲得身份信息（像用戶名－口令、生物特征信息等），然后提交給認(rèn)證服務(wù)器；認(rèn)證服務(wù)器對身份信息與存儲在數(shù)據(jù)庫里的用戶信息進(jìn)行核對處理，然后根據(jù)處理結(jié)果確認(rèn)用戶身份是否正確。
授權(quán)是，網(wǎng)絡(luò)系統(tǒng)授權(quán)用戶以特定的權(quán)限使用其資源，這一過程指定了被認(rèn)證的用戶在接入網(wǎng)絡(luò)后能夠使用的業(yè)務(wù)和擁有的權(quán)限，如授予 IP 地址，準(zhǔn)許訪問時間等。
計費是，網(wǎng)絡(luò)系統(tǒng)收集、記錄用戶對網(wǎng)絡(luò)資源的使用信息，以便向用戶收取資源使用費。以互聯(lián)網(wǎng)業(yè)務(wù)提供商 ISP 為例，用戶的網(wǎng)絡(luò)接入使用情況可以按流量或者時間準(zhǔn)確地記錄下來。
認(rèn)證、授權(quán)和計費一起實現(xiàn)了網(wǎng)絡(luò)系統(tǒng)對特定用戶的網(wǎng)絡(luò)資源使用情況的準(zhǔn)確記錄。這樣既在一定程度上有效地保障了合法用戶的權(quán)益，又能有效地保障網(wǎng)絡(luò)系統(tǒng)安全可*地運行。
CDMA 網(wǎng)絡(luò)側(cè)的 AAA 認(rèn)證過程是對用戶的域名進(jìn)行鑒權(quán)認(rèn)證，網(wǎng)中數(shù)據(jù)網(wǎng)的用戶（ VPDN 成員）是以 username@xxx.133vpdn.qd 形式登錄的（用戶在聯(lián)通登記入網(wǎng)時，聯(lián)通分配其一個域名 xxx.133vpdn.qd ）。 CDMA 網(wǎng)絡(luò)側(cè)的 AAA 服務(wù)器對登錄用戶的域名和該用戶的 IMSI 進(jìn)行綁定審核驗證。驗證通過后，方可接入聯(lián)通 CDMA 網(wǎng)絡(luò)。
 
（3）第三級安全保證： CDMA 網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間的 VPN 鏈接
第二層隧道協(xié)議— L2TP ，該協(xié)議是國際CDMA 網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間可以采用專線鏈接，也可以使用 Internet 鏈接。使用 Internet 鏈接必須考慮安全性，因此，可以使用 VPN 將二者利用 Internet 鏈接起來。
VPN 技術(shù)非常復(fù)雜，涉及到通信技術(shù)、密碼技術(shù)和現(xiàn)代認(rèn)證技術(shù)。主要包含兩種技術(shù)：隧道技術(shù)與安全技術(shù)。
隧道技術(shù)的基本過程是在源局域網(wǎng)與公網(wǎng)接口處將數(shù)據(jù)封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳播時的所經(jīng)過的路徑被稱為“隧道”。常用的隧道協(xié)議有：
      點到點隧道協(xié)議— PPTP （現(xiàn)已基本淘汰）；　
       標(biāo)準(zhǔn)隧道協(xié)議，具有 PPTP 協(xié)議以及第二層轉(zhuǎn)發(fā)協(xié)議（ L 2F ）的優(yōu)點，可以使 PPP 包以隧道方式通過各種網(wǎng)絡(luò)，包括 ATM 、 SONET 、幀中繼。但沒有任何加密措施；
       IPSec 協(xié)議，該協(xié)議是一個范圍廣泛、開放的 VPN 安全協(xié)議，工作在網(wǎng)絡(luò)層。它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信?？梢栽趦煞N模式下運行：一種是隧道模式，一種是傳輸模式。在隧道模式下 IPSec 把 IPv4 數(shù)據(jù)包封裝在安全的 IP 幀中；傳輸模式是為了保護(hù)端到端的安全性，不會隱藏路由信息。 目前一種趨勢是將 L2TP 和 IPSec 結(jié)合起來：用 L2TP 作為隧道協(xié)議，用 IPSec 協(xié)議保護(hù)數(shù)據(jù)。市場上大部分 VPN 采用這類技術(shù)。
       SOCKS v5 協(xié)議， SOCKS v5 工作在 OSI 模型中的第五層——會話層，可作為建立高度安全的 VPN 的基礎(chǔ)。 SOCKS v5 協(xié)議的優(yōu)勢在訪問控制，因此適用于安全性較高的 VPN ， SOCKS v5 現(xiàn)在被 IETF 建議作為 VPN 的標(biāo)準(zhǔn)。
         VPN 是在不安全的 Internet 上傳輸?shù)模瑐鬏攦?nèi)容可能涉及到企業(yè)的機密數(shù)據(jù)，因此安全性非常重要。 VPN 中的安全技術(shù)通常由加密、認(rèn)證及密鑰交換與管理組成。主要有認(rèn)證技術(shù)，加密技術(shù)，秘鑰管理與交換技術(shù)。
 
（4）第四級安全保證：用戶網(wǎng)絡(luò)側(cè)的安全防火墻
防火墻技術(shù)是目前用來實現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，主要是用來拒絕非法用戶的訪問，阻止非法用戶存取敏感數(shù)據(jù)，同時允許合法用戶順利訪問網(wǎng)絡(luò)資源。防火墻實際上是一種訪問控制技術(shù)，在某個機構(gòu)的內(nèi)部網(wǎng)絡(luò)和不安全網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問，也可以使用防火墻阻止保密信息從受保護(hù)網(wǎng)絡(luò)上的非法輸出。
實現(xiàn)防火墻的主要技術(shù)有：數(shù)據(jù)包過濾，應(yīng)用網(wǎng)關(guān)和代理服務(wù)等。包過濾（ Packet Filter ）技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯，檢查數(shù)據(jù)流中每個數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址、 TCP/UDP 源端口號、 TCP/UDP 目的端口號及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來確定是否允許數(shù)據(jù)包通過，其核心是安全策略即過濾算法的設(shè)計。應(yīng)用網(wǎng)關(guān)（ Application Gateway ）技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾，它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。應(yīng)用網(wǎng)關(guān)可以嚴(yán)格控制某些易于登錄和控制的所有的輸出輸入通信環(huán)境，以防有價值的程序和數(shù)據(jù)被竊取。它的另一個功能是對通過的信息進(jìn)行記錄，如什么樣的用戶在什么時間連接了什么站點。在實際工作中，應(yīng)用網(wǎng)關(guān)一般使用專用工作站系統(tǒng)。代理服務(wù)器（ Proxy Server ）作用在應(yīng)用層，用來提供應(yīng)用層服務(wù)的控制，起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請求，拒絕外部網(wǎng)絡(luò)其它節(jié)點的直接請求。用戶網(wǎng)絡(luò)可<