彩票投注通信解决方案

沈阳移动通信分公司数据业务中心厦门四信通信科技有限公司1基于GPRS专网系统彩票投注通信解决方案沈阳移动通信分公司数据业务中心厦门四信通信科技有限公司2一、需求分析近年来，信息技术的飞速发展，特别是以计算机互联网络Internet为代表的计算机信息网络及其应用系统在全世界的迅速推广和使用，使人们获取、交流和处理信息的手段发生了巨大的变化，深刻地影响着人们的交流、工作、学习、生活和娱乐的方式。移动信息化正是适应时代变化的企业信息全面解决方案，使企业获得全面的信息化服务，实现企业信息的智能管理，提高企业管理与生产效率，更有效的适应市场竞争的需要。辽宁移动提出的移动信息化全面解决方案是以涵盖数据通信、信息服务、增值业务的全数据观念为基础，利用移动通信网、移动智能网及移动互联网，针对行业的具体需求和应用提供的一体化解决方案。移动信息化是以移动通信网和移动互联网集成的综合通信平台。移动信息化涵盖集团移动电话网（VPMN）、语音专线、会议通、语音信息通知、移动办公助理、车辆调度、国际移动互联网专线、GPRS专网等服务内容。GPRS是目前解决移动通信信息服务的一种较完美的业务，它是以数据流量计费、覆盖范围广泛、数据传输速度更快。GPRS的推出，为行业和企业用户开展无线办公提供了基础设施平台，为推动移动办公的应用和发展创造了有利条件。与有线网络相比，GPRS网络具有租用费用低、移动办公，不受地域制约等优点。GPRS的出现为企业和行业用户开展无线办公提供了一种新的选择。GPRS通信方式更适合于彩票投注业务，目前彩票的业务中心与各营业点采用DDN或者电话线传送数据。彩票业务单笔流量很小，采用DDN或IDSL专线月租费太高，用电话线传送数据按时间计费，带来诸多不便，费用也不便宜。因此，许多省市彩票中心都考虑对传统通信方式进行改造，GPRS无线传输数据有以下优势：1．GPRS用户可随意分布和移动自己的网络点，无须担心线路的维护或有线在移机时导致的通讯中断。建设新的营业点无需进行拉线，埋线等工作。较光纤，或专线系统投资较少，设备安装方便。2．终端价格比较低，与DDN相比，较DTU或基带Modem(DDN专线Modem)其终端沈阳移动通信分公司数据业务中心厦门四信通信科技有限公司3价格便宜很多。3．GPRS资费便宜，计费合理。GPRS资费包月比有线电话网络资费还便宜。彩票投注没有大数据量的信息传输，不必要采用资费很高的专线（DDN、帧中继）。GPRS还可根据通信的数据量和提供的服务质量进行计费。在GPRS网中，用户只需与网络建立一次连接，就可长时间的保持这种连接，并只在传输数据时才占用信道并被计费，保持时不占用信道也不计费。这样，营业点即不用频繁建立连接，也不必支付传输间隙时的费用。4．GPRS能最好地支持频繁的、少量突发型数据业务。通信质量稳定可靠，永不掉线。5．GPRS网络接入速度快，提供了与现有数据网的无缝连接。由于GPRS网本身就是一个分组型数据网,支持TCP/IP、X.25协议，因此无需经过PSTN等网络的转接，直接与分组数据网（IP网或X.25网）互通，接入速度仅几秒钟，快于电路型数据业务。采用TCP/IP协议，较以前的无线数据网络（集群，双向传呼，GSM短信息）而言，网络接入更加直接方便。6．覆盖较好，比较很多无线数据网络（集群，双向传呼，CDPD，CDMA）而言，其网络覆盖是最好的。沈阳移动通信分公司数据业务中心厦门四信通信科技有限公司二、解决方案1．系统结构图2．系统组成1）终端设备用户端：采用厦门四信通信科技有限公司的GPRS路由器，采用以太网\串口和彩票机相连，完成用户系统的构成，其中用户的计算机运行用户的系统软件和应用软件。4沈阳移动通信分公司数据业务中心厦门四信通信科技有限公司5局端：采用辽宁移动提供的线路和接口。随着科技的不断发展，便携式PC\台式机功能日渐强大，对于企业的员工而言操作更方便。用户系统：用户采用PC机，利用以太网\串口和本终端相连，实现系统的通信。厦门四信提供的F3123GPRS路由器通用的操作环境和强大的处理能力使得终端设备能够通过对GPRS网络及后台应用服务的支持，迅速完成数据查询及业务处理。应用服务主要由四层软件组成:前端软件：前端软件运行于终端上，支持本地业务数据的查询及业务事务处理；同时管理无线通讯网络，完成拨号、挂断及状态监测；对于事务处理请求与确认，实现可靠的传输控制，保证与局端的协作。外网服务软件：外网服务软件完成与前端软件的安全认证及加解密，协同外网查询数据库完成数据查询请求的处理及应答；处理内网服务器产生的数据同步命令维护外网查询数据库；为内网服务软件与前端软件提供穿透物理隔离的传输，使业务处理请求可以安全有效地到达内网并进行处理。内网服务软件：内网服务软件完成与外网服务软件的隔离传输，及与前端软件的安全认证和加解密，对前端产生的事务处理请求进行解释、执行，依靠数据库适配层软件，将各业务数据库同步至外网查询服务软件。局端数据库适配层软件：局端数据库适配层软件对存在于多体系异种数据库平台的业务数据库提供抽象接口，支持内网服务软件完成事务处理及数据同步。沈阳移动通信分公司数据业务中心厦门四信通信科技有限公司6用于GPRS网络的无线数据传输经过数年多的建设，辽宁移动GPRS网实现了沿海地区的全面覆盖和山区地区的地市覆盖，并且于2002年5.17正式向用户提供服务。GPRS业务的高速数据传输、“永远在线”、“流量计费”和“全国漫游”的特性以及中国移动的优质网络，满足了不同层次客户的需求，也为发展行业应用奠定了坚实的基础。3．专线APN传输方式根据企业对网络安全的特殊要求，沈阳移动通信分公司和厦门四信通信科技有限公司合作设计了基于GPRS网络的数据传输方案，采用了多种安全措施，主要包括：z通过一条2M专线接入辽宁移动GPRS网络，双方互联路由器之间采用私有IP地址进行广域连接，在GGSN与辽宁移动互联路由器之间采用GRE隧道。z为辽宁移动的客户分配专用的APN，普通用户不得申请该APN。用于GPRS专网的SIM卡仅开通该专用APN，限制使用其他APN。z客户可自建一套RADIUS服务器和DHCP服务器，GGSN向RADIUS服务器提供用户主叫号码，采用主叫号码和用户账号相结合的认证方式；用户通过认证后由DHCP服务器分配企业内部的静态IP地址。z端到端加密：移动终端和服务器平台之间采用端到端加密，避免信息在整个传输过程中可能的泄漏。z双方采用防火墙进行隔离，并在防火墙上进行IP地址和端口过滤。4．业务流程GPRS专网系统终端上网登录服务器平台的流程为：1）用户发出GPRS登录请求，请求中包括由辽宁移动为GPRS专网系统专门分配的专网APN；2）根据请求中的APN，SGSN向DNS服务器发出查询请求，找到与企业服务器平台连接的GGSN，并将用户请求通过GTP隧道封装送给GGSN；3）GGSN将用户认证信息（包括手机号码、用户账号、密码等）通过专线送至Radius进行认证；4）Radius认证服务器看到手机号等认证信息，确认是合法用户发来的请求，向DHCP服务器请求分配用户地址；沈阳移动通信分公司数据业务中心厦门四信通信科技有限公司75）Radius认证通过后，由Radius向GGSN发送携带用户地址的确认信息；6）用户得到了IP地址，就可以携带数据包，对GPRS专网系统信息查询和业务处理平台进行访问。三、网络安全1．安全方案的设计原则在设计GPRS彩票系统网络的安全系统时，我们将遵循以下原则：z体系化设计原则通过分析信息网络的层次关系，提出科学的安全体系和安全框架，并根据安全体系分析存在的各种安全风险，从而最大限度地解决可能存在的安全问题。z全局性、均衡性、综合性设计原则从全局出发，综合考虑各种安全风险，采取相应的安全措施，并根据风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。z可行性、可靠性、安全性在采用安全系统之后，不会对GPRS彩票系统网络原有的网络和应用系统有大的影响。在保证网络和应用系统正常运转的前提下，保证系统的安全。z统一规划、分布实施原则针对整个GPRS彩票系统网络统一制定技术方案，采取相同的技术路线，这样有利于统一安全策略的制定，有利于保护整个GPRS彩票系统网络的安全，并且可以节约投资，减少浪费。在统一规划的基础上，可以采取分步实施的策略，在资金允许条件下，先解决有迫切安全需求、而且技术成熟的问题。2．安全体系安全方案的科学性、可行性是其可顺利实施的保障。安全方案必须架构在科学的安全体系和安全框架之上，因为安全框架是安全方案设计和分析的基础。为了系统、科学地分析安全方案涉及的各种安全问题，在大量调查研究的基础上，我们提出了下面的安全体系（见下图），它反映了信息系统安全需求和体系结构的共性。具体说明如下：沈阳移动通信分公司数据业务中心厦门四信通信科技有限公司安全体系是一个三维结构：z第一维（X轴）是安全服务特性，给出了7种安全属性；z第二维（Y轴）是系统单元，给出了信息网络系统的组成；z第三维（Z轴）是协议层次，给出了国际标准化组织ISO的开放系统互连（OSI）模型。安全体系的具体模型和介绍如下：协议层次安全服务系统单元安全管理安全管理身份认证访问控制数据完整性数据保密性抗抵赖安全审计可用性可靠性通信平台网络平台系统平台应用平台物理环境安理管全层用应传层层层层链络网输理物路安全管理贯穿于上述三个方面各个层次的是安全管理。通过技术手段和行政管理手段，安全管理将涉及到各系统单元在各个协议层次提供的各种安全服务。安全技术体系通过对网络应用的全面了解，安全风险存在于网络系统的各个层次，那么，在网络系统的各个层次之中都应有相应的安全解决技术，包括：物理层安全、链路层安全、网络层安全、操作系统安全以及管理安全。只有这样的安全技术体系才是完整的、全面的。下图列出了各网络安全设备在网络安全三维体系中的应用。8沈阳移动通信分公司数据业务中心厦门四信通信科技有限公司9授权管理子系统用户和对象的授权策略：应用层信息处理单元访问控制安全防御子系统网络防火墙：网络层信息处理单元、通信网络访问控制身份认证子系统Kerberos或X509：传输层~网络层信息处理单元、安全管理身份鉴别安全检测子系统安全扫描、攻击报警：网络层、传输层信息处理单元、通信网络、安全管理审计管理网络层次系统单元安全特性图1：安全子系统和在三维体系结构中的位置3．安全子系统划分在安全方案设计中，首先要确定安全方案所涉及到的系统单元，其次要考虑该系统单元在各个层次所提供的安全服务（功能），最后还应考虑这些单元系统之间的逻辑关系，在整体安全体系框架下，划分成不同的安全子系统，分别提供相应的安全解决方案，才能提供全面的、合理的、有机的安全服务。因在GPRS专网系统中以包含RADIUS身份认证系统，本方案中针对GPRS彩票系统的网络层安全系统（包括防火墙和入侵检测系统）进行论述网络层安全系统：主要通过防火墙分布式隔离来实现，即在彩票总部数据中心网络和各营业点均通过防火墙进行安全隔离，将危险区域进行分划到每个区域子网，使危险区域控制在小的区域区间内。对某一个区域的攻击不会影响到别的区域，同时通过安全规则的细化，尽量避免了各区域子网之间的攻击扩散。同时，对于彩票总部数据中心网络重要的服务器子网采用入侵检测系统，作为实时的访问监控，及时的对外来攻击作出报警及阻断的响应。沈阳移动通信分公司数据业务中心厦门四信通信科技有限公司4．总体网络安全逻辑结构示意根据以上分析，我们得出GPRS彩票系统网络安全如下：1）网络安全示意图：GPRS彩票系统网络安全示意图5．安全方案的选型1）网络系统安全系统主要依靠防火墙、基本入侵检测等技术，在网络层构筑一道安全屏障，并依靠分布式的产品部署，集成在同一个安全管理平台上，实现网络层的统一、集中的安全管理。2)网络层安全管理平台选择网络层安全管理平台时主要考虑这个安全管理平台能否与其它相关的网络安全产品集成，能否对这些安全产品进行统一的管理，包括配置各相关安全产品的安全策略、维护相关安