神州数码无线传输解决方案

第1页/共20页神州数码网络（北京）有限公司DigitalChinaNetworksLtd.中国北京海淀区上地东路5号神州数码大厦邮编：100085DigitalChinaBuilding,5ShangdiDonglu,HaidianDistrict,Beijing100085,China电话Tel:(010)82707777传真Fax:(010)82707776networks.digitalchina.com神州数码CDMA无线数据传输－税务解决方案第2页/共20页神州数码网络（北京）有限公司DigitalChinaNetworksLtd.中国北京海淀区上地东路5号神州数码大厦邮编：100085DigitalChinaBuilding,5ShangdiDonglu,HaidianDistrict,Beijing100085,China电话Tel:(010)82707777传真Fax:(010)82707776networks.digitalchina.com神州数码无线传输解决方案的核心是其DCWL-280CR无线路由器系列产品。该系列产品采用的是2.5代的移动通信技术。相对于传统的有线连接方式而言，无线网络方案具有实时在线、按数据流量计费、登录时间短、数据传输速度快、覆盖范围广、线路租金低、不受地域环境制约等诸多优势，可以通过无线方式较好地解决数据传输问题。无线联网方案主要优点是：1、构建实时交易系统要求数据通信覆盖范围广，扩容无限制，接入地点无限制，能满足城区和跨地区的接入需求。由于目前CDMA无线广域网已覆盖绝大部分地区，能够满足实时交易系统对覆盖范围的要求。2、数据传输速率高。3、通信费用低。4、良好的实时响应与处理能力。由于CDMA具有“始终在线”特性，无需拨号，使业务认证访问服务变得非常简单、快速。5、安全、专有的应用网络。应用先进网络加密手段，对数据传输任何一个环节都进行加密处理。6、项目工期短、网络结构简单、建设成本合理、维护成本低廉，网络具有良好的拓展能力，能够根据将来需求平滑快速升级。对现有应用及系统不做任何更改，以免影响现有系统运行，可以根据项目需要在应用上适当拓展。税务业务的特性，决定了无线ATM系统的设计需要遵循以下几个重要的原则：正确性，系统保证业务完全符合税务处理的要求；可靠性，系统在运行过程中，不存在意外或不可预测的错误或故障；安全性，系统能满足业务安全的要求，不存在如泄露客户密码等情况；兼容性，系统在尽量少改动现有系统后台的情况下完成，保证程序的稳定性。DCWL280CR无线路由器不改变原有业务处理方式，并保障数据的准确性，业务处理的要求。网络带宽要满足用户现有需求，响应时间短。产品内置硬件看门狗，自监测自复位，网络断线自动重连，保障系统可靠运行。提供安全、专有的应用网络。应用先进网络加密手段，对数据传输任何一个环节都进行加密处理。（安全的详细介绍见附件1）DCWL280CR无线路由器本身内置系统，无需安装驱动，对现有银行应用及系统不做任何更改，以免影响现有系统运行。可以根据项目需要在应用上适第3页/共20页神州数码网络（北京）有限公司DigitalChinaNetworksLtd.中国北京海淀区上地东路5号神州数码大厦邮编：100085DigitalChinaBuilding,5ShangdiDonglu,HaidianDistrict,Beijing100085,China电话Tel:(010)82707777传真Fax:(010)82707776networks.digitalchina.com当拓展，项目实施工期短、网络结构简单、建设成本合理、维护成本低廉，网络具有良好的拓展能力，能够根据将来需求平滑快速升级。四方案简介图示说明：图1中心侧网络为银行数据中心，各个无线ATM与数据中心进行数据交互。无线运营商提供安全和稳定的数据传输通道，银行和运营商间用专线联通。（银行侧防火墙及认证系统介绍见附件2、3）每个营业点都加上神州数码DCWL280CR无线路由器以无线接入的方式组成一个无线专网。营业网点营业网点营业网点中心网点税务行业无线网络拓扑图第4页/共20页神州数码网络（北京）有限公司DigitalChinaNetworksLtd.中国北京海淀区上地东路5号神州数码大厦邮编：100085DigitalChinaBuilding,5ShangdiDonglu,HaidianDistrict,Beijing100085,China电话Tel:(010)82707777传真Fax:(010)82707776networks.digitalchina.com附录1：安全保障第一级安全保证：CDMA网络本身的安全性目前世界上使用的移动通信网络主要有两种：GSM和CDMA。与GSM相比，CDMA网络系统在安全保密方面具有很大优势。CDMA本来就是起源军事保密技术，在战争期间广泛应用于军事领域，具有抗干扰、安全通信、保密性好的特性。第二级安全保证：CDMA网络侧的AAA认证AAA是指认证(Authentication)授权(Authorization)计费(Accounting)三个过程，认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益，又能有效地保障网络系统安全可靠地运行。CDMA网络侧的AAA认证过程是对用户的域名进行鉴权认证，网中数据网的用户（VPDN成员）是以username@xxx.133vpdn.xx形式登录的。CDMA网络侧的AAA服务器对登录用户的域名和该用户的IMSI进行核对验证。验证通过后，方可接入联通CDMA网络。第5页/共20页神州数码网络（北京）有限公司DigitalChinaNetworksLtd.中国北京海淀区上地东路5号神州数码大厦邮编：100085DigitalChinaBuilding,5ShangdiDonglu,HaidianDistrict,Beijing100085,China电话Tel:(010)82707777传真Fax:(010)82707776networks.digitalchina.com第三级安全保证：CDMA网络和用户网络之间的VPN链接CDMA网络和用户网络之间可以采用专线链接，也可以使用Internet链接。使用Internet链接必须考虑安全性，因此，可以使用VPN将二者利用Internet链接起来。VPN技术非常复杂涉及到通信技术、密码技术和现代认证技术。主要包含两种技术：隧道技术与安全技术。隧道技术的基本过程是在源局域网域公网接口处将数据封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，被封装的数据包在互联网上传播时的所经过的路径被称为“隧道”。常用的隧道协议有1．点到点隧道协议—PPTP（现已基本淘汰）；2．第二层隧道协议—L2TP，该协议是国际标准隧道协议，PPTP协议以及第二层转发L2F协议的优点，以隧道方式使PPP包通过各种网络协议，包括ATM、SONET、帧中继。但没有任何加密措施；3．IPSec协议，该协议是一个范围广泛、开放的VPN安全协议，工作在网络层。它提供所有在网络层上的数据保护和透明的安全通信。可以在两种模式下运行：一种是隧道模式，一种是传输模式。在隧道模式下IPSec把IPv4数据包封装在安全的IP帧中；传输模式是为了保护端到端的安全性。第四级安全保证：用户网络侧的安全防火墙（FW）防火墙技术是目前用来实现网络安全措施的一种主要手段，主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍地访问网络资源。防火墙实际上是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上被非法输出。用户网络可以选用适合于本单位的防火墙产品来保证自己网络数据的安全。第五级安全保证：用户网络侧的AAA鉴权认证用户网络侧的AAA鉴权认证可以实现对VPDN成员的身份认证。与第二级的安全保证不同，本级的AAA服务器将鉴别VPDN成员的用户名和密码的正确性。username@xxx.133vpdn.xx中的域名将是中国联通公司提供给专网接入用户的专有统一域名，用户名可以根据用户自身特点来命名。VPDN中成员的用户名和密码等资料将保存在专网侧的AAA服务器，具有很好的安全性和灵活的管理性。第6页/共20页神州数码网络（北京）有限公司DigitalChinaNetworksLtd.中国北京海淀区上地东路5号神州数码大厦邮编：100085DigitalChinaBuilding,5ShangdiDonglu,HaidianDistrict,Beijing100085,China电话Tel:(010)82707777传真Fax:(010)82707776networks.digitalchina.com附录2：DCBI-3000(EN)认证计费管理系统神州数码网络有限公司DCBI-3000(EN)是一套可跨平台管理的、基于专用硬件的、更加成熟稳定的第3代安全接入控制与认证计费综合管理系统。该系统采用标准Radius协议、扩展Radius协议和神州数码为园区网安全运营特点所扩展的增强型802.1x协议，来实现对标准/增强型的802.1x、PPPoE、Web+DHCP的认证授权计费等功能，并与神州数码增强型802.1x、PPPoE、Web+DHCP的系列设备结合，实现灵活、安全的用户认证、管理和计费。产品特点1.快速高效的并发认证计费处理能力每秒可处理认证计费报文的能力为1500-2000个用户/秒。在开户2万人的情况下，实测处理认证的能力最小值为1538个用户/秒。而市场上的一般同类产品的处理能力在20-50个用户/秒。DCBI-3000之所以有如此之高的处理能力，是因为采用独特的全内存方式的Hash算法，并且采用了多线程并发处理方式。2.运营商级的可靠性DCBI-3000是一款电信运营级的产品，采用操作系统级任务对认证计费服务进程的状态进行监控。如果DCBI-3000的各个主要进程出现进程状态错误、或进程死掉等问题，会由系统监控模块进行修正，从而保证了系统电信级的高可靠性及稳定性。3.海量用户处理能力第7页/共20页神州数码网络（北京）有限公司DigitalChinaNetworksLtd.中国北京海淀区上地东路5号神州数码大厦邮编：100085DigitalChinaBuilding,5ShangdiDonglu,HaidianDistrict,Beijing100085,China电话Tel:(010)82707777传真Fax:(010)82707776networks.digitalchina.com由于DCBI-3000在快速并发能力和稳定性上的优势，使得DCBI-3000对海量用户进行认证计费管理成为可能。本系统可支持多达10万用户以上的开户量，而处理效率却丝毫不受影响，与其他同类产品的开户量和处理效率形成鲜明对比。4.方便的基于组的用户管理和基于模板的多种开户方式为实现对用户管理上的方便，DCBI-3000采用了用户组的管理方式，这些用户组可以按地址位置的不同进行划分，也可以按用户的计费类别等等进行划分。此外，在开户方式上，可以采用单用户开户、集体从文件中批量导入开户、卡开户等方式。对于单用户开户的方式，还可以采用方便的开户模板，这样可以省去很多开户时重复性的工作，提供管理人员的工作效率。5.灵活安全的用户认证授权机制在采用神州数码802.1x增强型协议进行认证时，DCBI-3000不仅提供了用户名、密码、用户IP、用户MAC、交换机IP、交换机端口、所在VLAN等6元素绑定策略，还在这些绑定规则的基础上，提供了对单一用户的多条绑定策略的列表功能，从而实现了某些特殊用户在园区网的不同子网里可以移动上网认证的能力。此外，DCBI-3000还可以实现对上网PC机本身IP地址的绑定功能，从而实现了公共