扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛管理 来源:zdnet安全频道 2009年1月11日
关键字: 无线网络
概述
随着科技的高速发展,无线数字技术得到了广泛的应用,其已从原来的只为用户终端提供服务发展到现在能够为企业提供安全、稳定的数字交换平台。企业在此平台上不仅可以实现以前传统电信专线上使用的所有应用,而且在地域上突破了专线点对点的限制,使企业的应用做到有手机信号覆盖的地方就能进行数字网络接入。
银行网络状况分析
银行网络目前主要建设于传统的电信数字网基础之上,通过 DDN 、 FR 、远程拨号等实现,其主要缺点是网络结构固定变更困难且费用较高。构建在 CDMA1X 无线网络平台上的数字交换系统充分解决了这个问题,银行总行、各支行及结算中心之间可以沿用以前高带宽的专线网络,针对于数量众多、分散布局的营业网点、银行 POS 机、 ATM 机则可以从以前的远程拨号的网络上过渡到 CDMA1X 网络上来, CDMA1X 网络通过发卡控制号段使一个企业的所有无线终端接入网络以后处在同一个封闭 VPN 专网中,进入 VPN 专网以后终端还需通过银行的 AAA 认证
CDMA1X 无线接入银行应用案例
中国联通提供的 CDMA 1X 网络可以为银行营业网点、 ATM 机和 POS 机提供数据通信服务。在 CDMA 网络的覆盖区中, ATM 机可以架设在任何地点。而对于营业网点来说使用 CDMA 无线网络作为备份链路的应用非常适合,在有效保证接通率的前提下,通信成本将 大大降低。典型的 CDMA1X 无线应用案例拓扑图如下:
图一:基于L2TP 的 VPDN 安全解决方案
图二:基于 IPSec 的 VPDN 解决方案
CDMA1X 传输方式的优势 在银行联网业务方面, 以前经常采用专线 DDN 方式连接到地区银行结算中心,现在则可以使用 CDMA1X 无线数据网络构建的 VPDN 安全隧道进行数据结算。 相对于 DDN 等接入方式,具有以下优势 :
1 ) CDMA1X 用户可随意分布和移动自己的网点,无需担心线路的维护或有线在移机时导致的通讯中断。建设新的营业厅无需进行拉线、埋线等工作。较光纤或专线系统投资较少,设备安装方便。
2 )终端价格比较低。与 DDN 专线 Modem 相比,终端设备成本价格较低。
3 ) CDMA1X 资费便宜,计费合理。 CDMA1X 资费包月比有线电话网络资费还便宜。银行联网业务没有大数据量的信息传输,不必要采用资费很高的专线( DDN 、帧中继)。 CDMA1X 还可根据通信的数据量和提供的服务质量进行计费。在 CDMA1X 网中,用户只需与网络建立一次连接,就可长时间的保持这种连接,并只在传输数据时才占用信道并被计费,保持时不占用信道不计费。这样,营业厅既不用频繁建立连接,也不必支付传输间隙时的费用。
4 ) CDMA1X 能最好地支持频繁的、少量突发型数据业务。通信质量稳定可靠,永不掉线。
5 ) CDMA1X 网络接入速度快,提供了与现有数据网的无缝连接。由于 CDMA1X 网本身就是一个分组型数据网 , 支持 TCP/IP 、 X.25 协议,因此无需经过 PSTN 等网络的转接,直接与分组数据网( IP 网或 X.25 网)互通,接入速度仅几秒钟,快于电路型数据业务。采用 TCP/IP 协议,较以前的无线数据网络(集群,双向传呼, GSM 短信息)而言,网络接入更加直接方便。
6 )数据集中,易于管理。传统的银行网点之间采用级联的方式,县级银行、市级银行分别接入当地电信或网通固网运营商,数据逐级上传,分散不易管理;采用联通 CDMA1X 无线接入,全省一个数据中心,即可完成数据的集中与统一管理,极大地提高了效率,降低了传输成本。
7 )覆盖好。比较很多无线数据网络(集群,双向传呼, CDPD )而言,其网络覆盖是最好的。
CDMA1X 无线接入的安全性
1. CDMA1X 无线接入的工作流程:
在联通完成网络侧配置后,银行网点通过无线设备接入 CDMA1X 网络后, CDMA1X 分组接入设备 PDSN 上通过 L2TP 隧道路由连到银行系统中心内的 LNS 路由器上,中间经过联通骨干网和专线。整个隧道的开启和通过均在联通网络内部,作为大型的电信运营商,有严格的安全管理和保护措施,确保网内的数据安全可靠,具有很高的安全性保障,而且不存在互连互通瓶颈,可以有效保证用户使用性能。
安全性保障
CDMA1X 采用脱胎于军用技术的无线扩频技术,用户端到无线网络接入设备间的无线空中通道目前不可能被破解;无线分组设备到用户终端设备间,采用隧道穿过专线接入,可以有效保证整个系统的安全。要保护整体系统的安全,首先要保证网络本身的安全。必须尽可能地屏蔽外部非法访问及非法数据,对从外部网络连入的终端进行严格的用户认证及控制。针对 CDMA1X 的各环节,我们分别分析其安全性。
1) CDMA 1X 空中信道
CDMA 采用的是军事级防窃听技术:长 PN 编码、扩频技术、加密算法、快功率控制, CDMA 无线网络以空气为介质,并且 CDMA 系统采用编码技术,其编码有4.4亿种数字排列,每一个 SIM 卡的编码还随时变化,这使得盗码只能成为理论上的可能。客观地讲, CDMA1X 技术的优于目前的 GPRS 技术, 其不足之处在于边远地区的网络覆盖不全。网络目前在网的 CDMA1X 手机用户的正常使用,也从另一方面证明 CDMA1X 的稳定性和安全性。
2 ) VPDN 方式
从客户端发起连接开始, CDMA 移动办公连接就以强制 VPN 隧道的方式与用户侧网络进行隧道传输,可以通过联通的数据专线连接用户网络,整个传输过程透明于外部网络,保证传输过程的私有性。
数据传输专线
所有的数据传输都基于联通领先的全光纤网络里面,该网络能有效地隔离专线与互联网的互通性,其中联通互联网 165 数据专线更是连续三年被中国互联网官方组织评为最佳网络。所有数据传输都在联通数据专网之内,可以确保数据在专线传输中的安全性和可靠性。
路由访问控制
无论是何种移动办公方式,所有客户端访问必须经过路由器访问控制。对于非法的登陆或者来自其它 IP 的连接都被路由器拒绝在外面,不能进入内网。
5)联通网络与银行网络间的安全性
CDMA1X 网络无线接入方式存在联通的数据专网与银行专网之间的专线连接,作为两个相对独立的专网,存在重新认证的要求,通过联通 AAA 服务器验证的连接,在进入银行网络前,需要再次验证,确认身份合法。目前有两种方案可以解决银行上述需求:
方案一:联通和银行联合分别验证(如图一) 。
在银行接入路由器部分连接专用 AAA 服务器,通过与联通专线上建立基于 L2TP over IPSec 的 VPDN ,灵活配置帐号 / 口令策略。由联通 NAS 验证域名、用户名、 UIM 卡号;联通公司为银行提供 客户端帐号界面,由银行 AAA 服务器验证用户名、密码,配合路由器绑定 IP 地址 , 完全保护合法用户登陆。该种运营模式已经成功在各地银行运营实施,目前运行正常。
方案二:使用具有 VPN 功能 CDMA1X 无线接入设备(如图二) 。
在用户侧接入路由器与中心内网间 , 安装支持 IPSec 功能的防火墙 , 银行网点连接 IPSec 功能的加密机 +CDMA 无线路由器,或者将 IPSec 功能集成在 CDMA 路由器中;通过 VPN 专用帐号登陆防火墙,建立安全隧道。该种方案安全级别高,但是对无线 CDMA 路由器技术要求高,开发难度大,成本相对较高。
泰亚 CDMA 路由器的特点泰亚 CDMA 路由器提供 RJ45 以太网接口,组网简单、迅速、灵活。泰亚 CDMA 路由器无线数据通信系统可以不依赖于运营商交换中心的数据接口设备,通过 Internet 网络随时随地构建覆盖全中国的虚拟无线数据通信专用网络。
产品功能:
● 内嵌了完整、稳定的 TCP/IP 协议栈,包括 TCP 、 UDP 、 FTP 、 SOCKTE 、 TELNET 、 HTTP 等;
● 设备上电后自动拨号,无需人为的干预,配置及维护简单;
● 提供基本的路由功能,可用于多台设备共享上网;
● 支持 NAT/ 静态路由两种模式互相切换,方便用户根据应用需求配置终端 IP 地址;
● 具有完善的心跳机制,用户可以根据自身实际设置发送心跳包的间隔。
银行GPRS无线接入 ATM机联网应用解决方案
中国移动提供的 GPRS 网络可以为银行营业网点、 ATM 机和 POS 机提供数据通信服务。在 GPRS 网络的覆盖区中, ATM 机可以架设在任何地点。
典型的 GPRS 无线应用案例 拓扑图如下:
图一:基于 L2TP 的 VPDN 安全解决方案
图二:基于 IPSec 的 VPDN 安全解决方案
名词解释:
GGSN : Gateway GPRS Supporting Node , GPRS 网关支持节点
BSS : Base Station System ,基站系统
GPRS 传输方式的优势
如果采用 GPRS 无线方式传输数据则有以下优势:
1. 资费便宜,计费合理。 GPRS 包月资费很便宜(详细资费标准请咨询当地 GPRS 服务提供商),由于 ATM 业务没有大数据量的传输,所以没有必要采用资费很高的专线( DDN 等)。而 GPRS 可以根据通信的数据量和提供的服务质量进行计费。在 GPRS 网中,用户只需与网络建立一次连接,就可长时间的保持这种连接,并且只有在传输数据时才占用信道并被计费,没有数据传输时是不占用信道也不计费的。所以营业网点不需要频繁建 立连接,当然也不必支付传输空闲时的专线费用,而客户再也不用不耐烦地等待电话拨号登陆的过程。
2. 设备投资低。传统的 DDN 等专线,需要购买 DTU 或其他专线 Modem ,拨号方式则需要购买 Modem Pool 、普通 Modem 、 ISDN Modem 等设备。而采用 GPRS 无线方式只需要购买 GPRS 无线传输终端即可,投资要小得多。
3. 新增和改变网点方便。如果采用了 GPRS 方式,用户可随意改变自己的营业网点而无须担心线路的维护或在移动时导致的通讯中断。新增新的营业点时也无需进行布 线,埋线等牵涉多方的工作。
4. 线路稳定,永不掉线。 GPRS 采用的分组技术,所以能够最好地支持频繁的或少 量突发型的数据业务。
5. 网络接入速度快。 GPRS 登录网络的时间很短暂,相对拨号方式的 1 、 2 分钟,它只需要 30 秒,而且一旦连接,则时刻在线,因此可以提供与现有数据网的无缝连接。
6. 网络覆盖好。现在 GSM 的网络覆盖已经非常完善,而且在大部分的 GSM 网络节点都分布了 GPRS 服务节点,保证无线接入的可行性。
1. GPRS 无线接入的工作流程:
银行通过专线和移动公司 GPRS 网的 GGSN 相连,在移动 GGSN 网元上为银行设置一个专用的接入 APN 点,从而在企业使用的移动设备和银行内部网络之间构成一条无线虚拟专网( VPN )通道,解决了企业提出的内部网络安全性及数据私密性的要求。
移动终端在进行 GPRS 附着时, SGSN 首先向 HLR 查询移动终端所允许使用的 APN ,然后通过 DNS 将 APN 解析成相应的 IP 地址。专用的 APN 在 GGSN 上将体现为专用的网络地址段。由于银行通过专线和移动公司连接,此时移动终端己通过此种方式通过 GPRS 相接到企业专网上了。
安全性保障
第一级安全保障: GPRS 网络本身的安全性
用户认证
GPRS 将使用 GSM 定义的认证过程,其差异是: 该过程是从 SGSN 执行的。 GPRS 认证过程执行用户认证、选择加密算法和加密起始时刻的同步。认证三重系存于 SGSN 中。一旦附着 IMSI , MSC/VLR 将不通过 SGSN 对移动台认证,也不能位置更新,但在 CS 连接建立期间可以认证移动台。
用户识别码保密
临时逻辑链路识别码( TLLI )用来识别一个 GPRS 用户。 TLLI 和 IMSI 之间的管理只有在移动台和 SGSN 内才能知道。 TLLI 根据 SGSN 安排的 P-TMSI 得到,或者由移动台创建。当移动台处于就绪状态时, SGSN 任何时候都可以重新安排 P-TMSI 。重新安排过程根据 P-TMSI 重新安排过程来执行,或者也可以包含在附着或路由更新过程中。
2 )第二级安全保障: GPRS 网络侧的 AAA 认证
AAA 是指认证( Authentication )、授权( Authorization )、计费( Accounting )三个过程,其中:
认证是,用户在使用网络系统中的资源时对用户身份的确认。这一过程,通过与用户的交互获得身份信息(像用户名-口令、生物特征信息等),然后提交给认证服务器;认证服务器对身份信息与存储在数据库里的用户信息进行核对处理,然后根据处理结果确认用户身份是否正确。
授权是,网络系统授权用户以特定的权限使用其资源,这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限,如授予 IP 地址,准许访问时间等。
计费是,网络系统收集、记录用户对网络资源的使用信息,以便向用户收取资源使用费。以互联网业务提供商 ISP 为例,用户的网络接入使用情况可以按流量或者时间准确地记录下来。
认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益,又能有效地保障网络系统安全可靠地运行。
GPRS 网络侧的 AAA 认证过程是对用户的域名进行鉴权认证。 GPRS 网络侧的 AAA 服务器对登录用户的域名和该用户的 IMSI 进行绑定审核验证。验证通过后,方可接入 GPRS 网络。
3 )第三级安全保障: GPRS 网络和用户网络之间的 VPN 链接
GPRS 网络和用户网络之间可以采用专线链接,也可以使用 Internet 链接。使用 Internet 链接必须考虑安全性,因此,可以使用 VPN 将二者利用 Internet 链接起来。
VPN 是在不安全的 Internet 上传输的,传输内容可能涉及到企业的机密数据,因此安全性非常重要。 VPN 中的安全技术通常由加密、认证及密钥交换与管理组成。主要有认证技术,加密技术,秘钥管理与交换技术。
4 )第四级安全保障:用户网络侧的安全防火墙( FW )
防火墙技术是目前用来实现网络安全措施的一种主要手段,主要是用来拒绝非法用户的访问,阻止非法用户存取敏感数据,同时允许合法用户顺利访问网络资源。防火墙实际上是一种访问控制技术,在某个机构的内部网络和不安全网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上的非法输出。
用户网络可以选用适合于本单位的防火墙产品来保证自己网络数据的安全。 <
5 )第五级安全保障:用户网络侧的 AAA 鉴权认证
用户网络侧的 AAA 鉴权认证可以实现对 VPDN 成员的身份认证。与第二级的安全保障不同,本级的 AAA 服务器将鉴别 VPDN 成员的用户名和密码的正确性。
泰亚GPRS 路由器的特点
泰亚 GPRS 路由器提供 RJ45 以太网接口,组网简单、迅速、灵活。泰亚 GPRS 路由器无线数据通信系统可以不依赖于运营商交换中心的数据接口设备,通过 Internet 网络随时随地构建覆盖全中国的虚拟无线数据通信专用网络。
产品功能:
● 内嵌了完整、稳定的 TCP/IP 协议栈,包括 TCP 、 UDP 、 FTP 、 SOCKET 、 TELNET 、 HTTP 等;
● 设备上电后自动拨号,无需人为的干预,配置及维护简单;
● 提供基本的路由功能,可用于多台设备共享上网;
● 支持 NAT/ 静态路由两种模式互相切换,方便用户根据应用需求配置终端 IP 地址;
● 具有完善的心跳机制,用户可以根据自身实际设置发送心跳包的间隔。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。