品牌:海康(hiklife)
产品品牌:海康(hiklife)
设备类型:VPN路由器
网络接口:其它
本公司供应海康(hiklife)ATM机监控系统质量保证,欢迎咨询洽谈。
基于EVDO 3G 专网系统的银行ATM 终端无线接入系统方案
本系统由银行设备(ATM 或自助设备等),海康EVDO 3G 路由器,EVDO网络,电信和银行间专线,银行路由器,银行服务器等设备组成。数据流向过程如下:银行的ATM 设备通过海康EVDO 路由器,把数据传输到EVDO 无线网络EVDO 无线网络通过DDN 或帧中继等专线把数据传输到银行的路由器,然后通过路由器路由到银行的服务器上。如果银行为了过更加安全的控制,银行里面可以增加Radius 认证服务器(可以选用,因为EVDO 无线接入时已有AAA 服务器进行认证)
EVDO 专网接入VPDN/APN银行通过一条2M DDN 或帧中继专线接入电信公司EVDO 网络,双方互联路由器之间采用私有IP 地址进行广域连接,在电信认证路由器与用户认证路由器之间建立加密隧道。电信为银行分配专用的 VPDN/APN,普通用户不能进入VPDN/APN。只有电信分配的EVDO 专网卡才能进入该VPDN/APN 网络,防止其他非法用户的进入。
用户在其内部网络建立 Radius 服务器,作为内部用户接入的远程认证服务器。只有通过认证的用户才允许接入,用以保证用户内部安全。端到端加密:ATM 终端和服务器平台之间采用端到端加密,避免信息在整个传输过程中可能的泄漏。
双方采用防火墙进行隔离,并在防火墙上进行IP 地址和端口过滤。EVDO 专网系统终端上网登录服务器平台的流程如下:
1,用户发出EVDO 登录请求,请求中包括由电信公司为EVDO 专网系统专
门分配的专网VPDN/APN
2,根据请求中的VPDN/APN,电信网络向其DNS 服务器发出查询请求,找到与企业服务器平台连接的GGSN,并将用户请求通过GTP 隧道封装送给GGSN;
3,GGSN 将用户认证信息(包括手机号码、用户账号、密码等)通过专线送至Radius 进行认证;
4,Radius 认证服务器看到手机号等认证信息,确认是合法用户发来的请求,向DHCP 服务器请求分配用户地址;
5,Radius 认证通过后,由Radius 向GGSN 发送携带用户地址的确认信息;
6,用户得到了IP 地址,就可以携带数据包,对EVDO 专网系统信息查询和业务处理平台进行访问。
VPDN 安全性
1,终端用户入网认证EVDO 无线路由器在发起数据呼叫前,会在电信的VLR/HLR 中对IMSI 号码进行鉴权,判断是否为合法用户,否则EVDO 网络将不允许该终端登录网络。
2,EVDO 空中无线接入安全保护作为为军方通信所需而研发和使用的扩频通信技术,EVDO 在无线信道安全上,具有极其可靠的安全性,以保障无线网络的传输安全。加密算法动态协商移动台(无线路由器)和交换网络能够安全地协商随后的加密通信算法的功能,加密密钥动态协商,移动台(无线路由器)和交换网络对所使用的加密密钥动态协商。加密算法与密钥的动态协商保证了信令数据与用户上层数据的安全性。
3,用户账号和EVDO 卡号绑定
账号与卡号(IMSI 号)绑定,保证了唯一性的安全。
4,电信AAA 认证
终端路由器发起数据呼叫时,所使用的登录名和密码均需要AAA 服务器中
得到认证。
5,专线接入及加密隧道
采用 3G 无线路由器,兼容原有前端ATM 机以及POS 机已有应用。同时,从电信LAC 和客户LNS 之间仍然采用的是通过专线的链接,并同时建立了,L2TP IPsec 的加密隧道(或采取以往所使用的隧道及加密技术),保障了数据的可靠加密传输。基于 EVDO 3G 专网系统的银行ATM 终端无线接入系统方案,根据采用无线的终端接入方式,在系统安全机制上对空中接口的安全性做了调整,采用了信道加密的需要动态认证的VPDN 的接入方式。而对于有线侧,并没有做太大的
调整,仍然采用L2TP IPsec 的认证及加密方式(或其他之前使用的如SSL 的方式,无需调整),保证了系统安全的向前兼容。
部分案例:
中国铁通云南分公司、中国互联网信息中心、深圳市政府数字中心、中国电信成都分公司、四川省气象局、中国农业银行青海分行、杭州国家安全局、河北省教育厅、海康威视数字中心、中铁港航局、深圳龙腾高级中学、山西太原社会与信息化局、中国地质监测中心、中国银行广东分行、福州电信、深圳移动等,排名不分先后
