一、需求分析
傳統(tǒng)的煙草聯(lián)網(wǎng)系統(tǒng)主要針對(duì)全省各鄉(xiāng)鎮(zhèn)煙葉站數(shù)據(jù)傳送為主��,各鄉(xiāng)鎮(zhèn)煙葉站數(shù)據(jù)采集系統(tǒng)一般采用電話線MODEN撥號(hào)為數(shù)據(jù)傳輸通道�,但長期以來數(shù)據(jù)傳送存在著下列問題:
1 各鄉(xiāng)鎮(zhèn)電話線路質(zhì)量差,傳送速率底�����,常出現(xiàn)數(shù)據(jù)誤碼丟包現(xiàn)象����;
2 各鄉(xiāng)鎮(zhèn)煙葉站管理人員流動(dòng)辦公性強(qiáng),常出現(xiàn)當(dāng)天數(shù)據(jù)無法上報(bào);
3 部分煙葉站點(diǎn)無電話線路���,數(shù)據(jù)上報(bào)周期長����。
針對(duì)這些問題�,我們采用了基于CDMA/GPRS/3G無線通訊技術(shù)的煙草系統(tǒng)聯(lián)網(wǎng)應(yīng)用解決方案。
二����、解決方案
2.1系統(tǒng)簡介
煙草系統(tǒng)無線通信聯(lián)網(wǎng)解決方案是集計(jì)算機(jī)技術(shù)、無線通信技術(shù)及數(shù)據(jù)采集技術(shù)于一體綜合系統(tǒng)�����,通過數(shù)據(jù)采集器(PC)���,獲取各煙葉站數(shù)據(jù)���,采用通信接口及傳輸設(shè)備將其傳輸?shù)綗煵輸?shù)據(jù)業(yè)務(wù)中心,實(shí)現(xiàn)對(duì)各煙葉站的全面監(jiān)控���。同時(shí)����,利用無線數(shù)據(jù)通信網(wǎng)絡(luò),可提供各種速率的高質(zhì)量�、透明數(shù)據(jù)傳輸電路,為客戶建立自己的專用數(shù)據(jù)傳輸網(wǎng)�����。
基于無線數(shù)傳系統(tǒng)主要由三大部分組成:
(1) 數(shù)據(jù)終端設(shè)備:數(shù)據(jù)采集終端設(shè)備(PC)和無線數(shù)據(jù)終端(路由器)設(shè)備����;
(2) 傳輸網(wǎng)絡(luò): CDMA /GPRS/3G無線網(wǎng)絡(luò)�;
(3) 數(shù)據(jù)業(yè)務(wù)中心:實(shí)時(shí)數(shù)據(jù)收發(fā)服務(wù)器、實(shí)時(shí)數(shù)據(jù)庫服務(wù)器及用戶控制操作界面等�����。
2.2煙草系統(tǒng)聯(lián)網(wǎng)應(yīng)用方案
(4) 如下圖所示��,各鄉(xiāng)鎮(zhèn)煙葉站配備無線路由器設(shè)備�����,在無線路由器設(shè)備中配備LAN(RJ45)/USB接口與計(jì)算機(jī)連接�,通過無線路由器將數(shù)據(jù)傳送到數(shù)據(jù)中心�。
(5) 在煙草公司設(shè)置數(shù)據(jù)業(yè)務(wù)中心���,各站點(diǎn)通過無線路由器與數(shù)據(jù)中心主機(jī)以無線方式進(jìn)行數(shù)據(jù)通訊����。
(6) 將采用各站點(diǎn)設(shè)置不同用戶權(quán)限進(jìn)行內(nèi)網(wǎng)的訪問��。
(7) 優(yōu)先推薦數(shù)據(jù)中心使用2M專線接入方式����。
三、設(shè)備推薦
1���、在成都中聯(lián)CDMA/GPRS路由器的選擇上:
RW2600無線路由器是成都中聯(lián)信通科技有限公司推出的無線數(shù)據(jù)通信產(chǎn)品�,主要應(yīng)用于行業(yè)用戶的無線數(shù)據(jù)傳輸業(yè)務(wù)以及無線路由上網(wǎng)等�。無線產(chǎn)品采用標(biāo)準(zhǔn)TCP/IP協(xié)議,安裝簡單��、易于維護(hù)��、使用方便���。
(RW2600正面)
)
網(wǎng)絡(luò)協(xié)議全�����,路由協(xié)議多��,功能強(qiáng)���。
具備行業(yè)需要的TELNET客戶端�����、TRACEROUTE����、SNMP等網(wǎng)管協(xié)議��,在集中網(wǎng)絡(luò)管理方面有較大優(yōu)勢(shì)�����。
以上功能均具有的目前只有中聯(lián)信通一家����。
具有PPP鏈路層IP地址客戶端協(xié)議功能���,客戶端根據(jù)需要可主動(dòng)向中心申請(qǐng)固定IP地址��,主要為方便管理的需要����。
具有PPP鏈路層IP地址中心端強(qiáng)制固定功能,一方面配合中心接入路由器的精確路由表設(shè)定避免了無線廣播帶來的延遲和帶寬浪費(fèi)����;另一方面主要是為安全管理的需要,由中心強(qiáng)制分配每個(gè)終端的IP�。配合中心的防火墻,可實(shí)現(xiàn)IP權(quán)限及應(yīng)用分級(jí)的安全措施�����。目前該功能為國內(nèi)廠商獨(dú)家擁有�。特別滿足金融行業(yè)的需要。
具有PPP鏈路層壓縮協(xié)議MPPC功能支持����。該功能是直接在鏈路層上實(shí)現(xiàn)數(shù)據(jù)壓縮,一方面通過壓縮屏蔽了明文�����,更重要的大大提高了無線鏈路的效率。一般可提高50%左右的帶寬���,在無線鏈路吞吐性能方面有較強(qiáng)優(yōu)勢(shì)����。目前該功能為國內(nèi)廠商獨(dú)家擁有���。
可通過FTP協(xié)議實(shí)現(xiàn)升級(jí)和管理功能���,符合行業(yè)的習(xí)慣。
2�����、在成都中聯(lián)專網(wǎng)認(rèn)證服務(wù)器的選擇上:
針對(duì)目前企業(yè)VPDN專網(wǎng)存在的缺陷:IP地址與CDMA號(hào)碼綁定的局限性和不能限制非私有用戶撥入私有網(wǎng)絡(luò)�,我們提供完整的解決方案彌補(bǔ)這些缺陷。我們提供從終端到企業(yè)端的端到端解決方案���,完全滿足企業(yè)用戶各方面的需求。我們推薦企業(yè)采用基于二層的VPDN網(wǎng)絡(luò)���,將確保企業(yè)內(nèi)網(wǎng)的完全私有性����。
RW5000專網(wǎng)認(rèn)證服務(wù)器針對(duì)L2TP VPDN的信令流程,加強(qiáng)了安全控制和地址管理�����,確保用戶安全需要和特有的管理需要�。實(shí)現(xiàn)IMSI和用戶名/密碼/IP綁定
路由器支持RADIUS認(rèn)證,和中聯(lián)信通公司提供的中心產(chǎn)品專網(wǎng)認(rèn)證服務(wù)器配合����,能實(shí)現(xiàn)IMSI、用戶���、密碼和IP地址的四綁定功能�,目前是國內(nèi)惟一能提供中心端和路由器整體安全解決的廠商�。
四 安全措施
由于金融系統(tǒng)的特殊性,本系統(tǒng)需要極高的系統(tǒng)安全保障和穩(wěn)定性���。安全保障主要是防止來自系統(tǒng)內(nèi)外的有意和無意的破環(huán)���,網(wǎng)絡(luò)安全防護(hù)措施包括信道加密、信源加密、登錄防護(hù)����、訪問防護(hù)、接入防護(hù)��、防火墻等�。穩(wěn)定是指系統(tǒng)能夠 7 × 24 小時(shí)不間斷運(yùn)行,即使出現(xiàn)硬件和軟件故障����,系統(tǒng)也不能中斷運(yùn)行。數(shù)據(jù)中心可通過到運(yùn)營商數(shù)據(jù)網(wǎng) (VPDN) 接入���,采用 VPDN 方式成本比較低��,安全性比較高�,可充分保障速度和網(wǎng)絡(luò)服務(wù)質(zhì)量����。我們的解決方案提供 5 級(jí)業(yè)務(wù)安全保障,從而充分保證網(wǎng)絡(luò)中數(shù)據(jù)的安全����。
第一級(jí)安全保證: CDMA 網(wǎng)絡(luò)本身的安全性
目前世界上使用的移動(dòng)通信網(wǎng)絡(luò)主要有兩種: GSM 和 CDMA �����。與 GSM 相比, CDMA 網(wǎng)絡(luò)系統(tǒng)在安全保密方面具有很大優(yōu)勢(shì)�����。 CDMA 本來就是起源軍事保密技術(shù)�,在戰(zhàn)爭(zhēng)期間廣泛應(yīng)用于軍事領(lǐng)域,具有抗干擾���、安全通信�����、保密性好的特性���。進(jìn)行移動(dòng)手機(jī)信號(hào)的竊聽一般使用以下三種方法。首先����,需要捕捉到通信信號(hào)。在空間中充滿了各種各樣的無線電波��,用戶手機(jī)信號(hào)就混雜在其中。要想竊聽某一個(gè)用戶的通話�����,首先必須捕捉到這個(gè)用戶手機(jī)發(fā)出的特定的電磁波���。由于 CDMA 系統(tǒng)采用擴(kuò)頻技術(shù)��,經(jīng)過擴(kuò)頻以后的有用信號(hào)的頻譜被大大地展寬了����,用戶信號(hào)隱蔽在互不相關(guān)的信號(hào)中�,要想捕捉到這一有用信號(hào)非常困難。因此���,竊聽器捕捉不到�����,也無法識(shí)別出哪些是 CDMA 手機(jī)用戶的通信信號(hào)��,哪些是噪音��。其次���,竊聽器必須鎖定手機(jī)用戶通信的信號(hào)�����,繼而才能分析和破 解信息。而 CDMA 采用快速切換功率控制技術(shù)��,即便是竊聽設(shè)備捕捉到了用戶手機(jī)信號(hào)�,也不能鎖定快速功率切換下的有用信號(hào),因此�,快速功率切換讓 CDMA 信號(hào)很難鎖定。第三�����,需要破 解用戶信息編碼�����。而 CDMA 采用偽隨機(jī)碼技術(shù)����,用長達(dá) 42 位的偽隨機(jī)碼來標(biāo)識(shí)區(qū)分用戶,每次通話都有 4.4 萬億種可能的排列�����,竊聽器很難破譯出 CDMA 的編碼。所以 CDMA 技術(shù)本身就很安全�����。
第二級(jí)安全保證: CDMA 網(wǎng)絡(luò)側(cè)的 AAA 認(rèn)證
AAA 是指認(rèn)證( Authentication )��、授權(quán)( Authorization )�、計(jì)費(fèi)( Accounting )三個(gè)過程,其中:
認(rèn)證是�,用戶在使用網(wǎng)絡(luò)系統(tǒng)中的資源時(shí)對(duì)用戶身份的確認(rèn)。這一過程�����,通過與用戶的交互獲得身份信息(像用戶名-口令�����、生物特征信息等)���,然后提交給認(rèn)證服務(wù)器���;認(rèn)證服務(wù)器對(duì)身份信息與存儲(chǔ)在數(shù)據(jù)庫里的用戶信息進(jìn)行核對(duì)處理��,然后根據(jù)處理結(jié)果確認(rèn)用戶身份是否正確���。
授權(quán)是,網(wǎng)絡(luò)系統(tǒng)授權(quán)用戶以特定的權(quán)限使用其資源��,這一過程指定了被認(rèn)證的用戶在接入網(wǎng)絡(luò)后能夠使用的業(yè)務(wù)和擁有的權(quán)限�����,如授予 IP 地址����,準(zhǔn)許訪問時(shí)間等�����。
計(jì)費(fèi)是��,網(wǎng)絡(luò)系統(tǒng)收集���、記錄用戶對(duì)網(wǎng)絡(luò)資源的使用信息�,以便向用戶收取資源使用費(fèi)���。以互聯(lián)網(wǎng)業(yè)務(wù)提供商 ISP 為例��,用戶的網(wǎng)絡(luò)接入使用情況可以按流量或者時(shí)間準(zhǔn)確地記錄下來��。
認(rèn)證��、授權(quán)和計(jì)費(fèi)一起實(shí)現(xiàn)了網(wǎng)絡(luò)系統(tǒng)對(duì)特定用戶的網(wǎng)絡(luò)資源使用情況的準(zhǔn)確記錄����。這樣既在一定程度上有效地保障了合法用戶的權(quán)益,又能有效地保障網(wǎng)絡(luò)系統(tǒng)安全可*地運(yùn)行���。
CDMA 網(wǎng)絡(luò)側(cè)的 AAA 認(rèn)證過程是對(duì)用戶的域名進(jìn)行鑒權(quán)認(rèn)證�,網(wǎng)中數(shù)據(jù)網(wǎng)的用戶( VPDN 成員)是以 username@xxx.133vpdn.qd 形式登錄的(用戶在電信登記入網(wǎng)時(shí)��,電信分配其一個(gè)域名 xxx.133vpdn.qd )���。 CDMA 網(wǎng)絡(luò)側(cè)的 AAA 服務(wù)器對(duì)登錄用戶的域名和該用戶的 IMSI 進(jìn)行綁定審核驗(yàn)證���。驗(yàn)證通過后,方可接入電信 CDMA 網(wǎng)絡(luò)����。
移動(dòng)通信從電路交換����,發(fā)展到 CDMA 1X 分組網(wǎng)絡(luò)���,再到第三代移動(dòng)通信網(wǎng)絡(luò)�,用于認(rèn)證��、授權(quán)和計(jì)費(fèi)的協(xié)議也在隨之演進(jìn)����,從基于 7 號(hào)信令的協(xié)議��,到部分采用 RADIUS �,再發(fā)展到 Diameter ,這主要是由越來越豐富的業(yè)務(wù)決定的�。 Diameter 協(xié)議由 IETF 的 AAA 工作組在 2002 年 3 月提出的認(rèn)證計(jì)費(fèi)協(xié)議草案。 Diameter 協(xié)議支持移動(dòng) IP ����、 NAS 請(qǐng)求和移動(dòng)代理的認(rèn)證、授權(quán)和計(jì)費(fèi)工作���。協(xié)議的實(shí)現(xiàn)和 RADIUS 類似�����,也是采用 Attribute-Length-value 三元組來實(shí)現(xiàn)�,但是其中詳細(xì)規(guī)定了錯(cuò)誤處理等內(nèi)容。它在設(shè)計(jì)過程中����,不僅保持了與廣為使用的 RADIUS 協(xié)議的兼容,更克服了 RADIUS 協(xié)議的許多不足��,而且它不僅僅被互聯(lián)網(wǎng)采用�,更被下一代移動(dòng)通信網(wǎng)( 3G )采用。在第三代移動(dòng)網(wǎng)絡(luò)和業(yè)務(wù)開展初期�����,為了和已有的設(shè)備和傳統(tǒng)業(yè)務(wù)互通���,需要采用 Diameter 與 RADIUS 之間的協(xié)議轉(zhuǎn)換器��,但是最終還是統(tǒng)一使用 AAA Diameter 協(xié)議�����。
第三級(jí)安全保證: CDMA 網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間的 VPN 鏈接
CDMA 網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間可以采用專線鏈接���,也可以使用 Internet 鏈接���。使用 Internet 鏈接必須考慮安全性,因此��,可以使用 VPN 將二者利用 Internet 鏈接起來����。
VPN 技術(shù)非常復(fù)雜,涉及到通信技術(shù)��、密碼技術(shù)和現(xiàn)代認(rèn)證技術(shù)���。主要包含兩種技術(shù):隧道技術(shù)與安全技術(shù)����。
隧道技術(shù)的基本過程是在源局域網(wǎng)與公網(wǎng)接口處將數(shù)據(jù)封裝在一種可以在公網(wǎng)
