公司产品 |
|
|
公司信用见证 |
|
我们典型客户 |
| 中国石油·渤海石油分公司 |
| 中国农业银行·延边分行 |
| 天津华夏未来少儿艺术中心 |
| 渤海石油、广州乐百氏 |
| 北方人才网、锡恩企业管理 |
| 金辉钻石珠宝有限公司 |
| 永真眼镜全国连锁 |
| 湖南省商务厅 |
| 台积电(上海)有限公司 |
| 深圳亚洲寿力 |
| 东易日盛装饰责任有限公司 |
|
| | 基于GPRS专网系统彩票投注通信解决方案[彩票投注] |
文:奥科企通科技 发表时间:2005-12-1 16:56:05
一、需求分析
GPRS是目前解决移动通信信息服务的一种较完美的业务,它是以数据流量计费、覆盖范围广泛、数据传输速度更快。GPRS的推出,为行业和企业用户开展无线办公提供了基础设施平台,为推动移动办公的应用和发展创造了有利条件。与有线网络相比,GPRS网络具有租用费用低、移动办公,不受地域制约等优点。GPRS的出现为企业和行业用户开展无线办公提供了一种新的选择。
GPRS通信方式更适合于彩票投注业务,目前彩票的业务中心与各营业点采用DDN或者电话线传送数据。彩票业务单笔流量很小,采用DDN或IDSL专线月租费太高,用电话线传送数据按时间计费,带来诸多不便,费用也不便宜。因此,许多省市彩票中心都考虑对传统通信方式进行改造,GPRS解决了过去数据存储和传递过程中出现的各种问题,实现实时交易。 售票时间得以延长,销售量增大。根据统计,在开奖前最后一天发售额是前两三天的总和,而在截止前的那段时间内发售最旺,离开奖越近购买量越大。传统的非热线系统在开奖前要留出半天时间汇总和处理信息,发售就截止了。“GPRS热线”系统可将这段预留时间缩短至一小时之内,从而争取到一个黄金时段。
GPRS无线传输数据有以下优势:
1.GPRS用户可随意分布和移动自己的网络点,无须担心线路的维护或有线在移机时导致的通讯中断。建设新的营业点无需进行拉线,埋线等工作。较光纤,或专线系统投资较少,设备安装方便。
2.终端价格比较低,与DDN相比,较DTU或基带Modem(DDN专线Modem)其终端价格便宜很多。
3.GPRS资费便宜,计费合理。GPRS 资费包月比有线电话网络资费还便宜。彩票投注没有大数据量的信息传输,不必要采用资费很高的专线(DDN、帧中继)。GPRS还可根据通信的数据量和提供的服务质量进行计费。在GPRS网中,用户只需与网络建立一次连接,就可长时间的保持这种连接,并只在传输数据时才占用信道并被计费,保持时不占用信道也不计费。这样,营业点即不用频繁建立连接,也不必支付传输间隙时的费用。
4.GPRS能最好地支持频繁的、少量突发型数据业务。通信质量稳定可靠,永不掉线。
5.GPRS网络接入速度快,提供了与现有数据网的无缝连接。
由于GPRS网本身就是一个分组型数据网, 支持TCP/IP、X.25协议,因此无需经过PSTN等网络的转接,直接与分组数据网(IP网或X.25网)互通,接入速度仅几秒钟,快于电路型数据业务。采用TCP/IP协议,较以前的无线数据网络(集群,双向传呼,GSM短信息)而言,网络接入更加直接方便。
6.覆盖较好,比较很多无线数据网络(集群,双向传呼,CDPD,CDMA)而言,其网络覆盖是最好的。
二、解决方案
1.系统结构图
2.系统组成
1)终端设备
用户端:
采用厦门桑荣科技有限公司的GPRS通信模块,采用PCMICA或串口和计算机相连,完成用户系统的构成,其中用户的计算机运行用户的系统软件和应用软件。
局端:
采用移动公司提供的线路和接口。
随着科技的不断发展,便携式PC\台式机功能日渐强大,对于企业的员工而言操作更方便。
用户系统:
用户采用PC机,利用PCMCIA \ 串口和本终端相连,实现系统的通信。
厦门桑荣科技有限公司提供的GPRS Modem(pcmcia卡式)与台式 Modem(RS232接口)通用的操作环境和强大的处理能力使得终端设备能够通过对GPRS网络及后台应用服务的支持,迅速完成数据查询及业务处理。
2)应用服务
主要由四层软件组成:
前端软件:
前端软件运行于终端上,支持本地业务数据的查询及业务事务处理;同时管理无线通讯网络,完成拨号、挂断及状态监测;对于事务处理请求与确认,实现可靠的传输控制,保证与局端的协作。
外网服务软件:
外网服务软件完成与前端软件的安全认证及加解密,协同外网查询数据库完成数据查询请求的处理及应答;处理内网服务器产生的数据同步命令维护外网查询数据库;为内网服务软件与前端软件提供穿透物理隔离的传输,使业务处理请求可以安全有效地到达内网并进行处理。
内网服务软件:
内网服务软件完成与外网服务软件的隔离传输,及与前端软件的安全认证和加解密,对前端产生的事务处理请求进行解释、执行,依靠数据库适配层软件,将各业务数据库同步至外网查询服务软件。
局端数据库适配层软件:
局端数据库适配层软件对存在于多体系异种数据库平台的业务数据库提供抽象接口,支持内网服务软件完成事务处理及数据同步。
用于GPRS网络的无线数据传输
经过数年多的建设,中国移动GPRS网实现了沿海地区的全面覆盖和山区地区的地市覆盖,并且于2002年5.17正式向用户提供服务。GPRS业务的高速数据传输、“永远在线”、“流量计费”和“全国漫游”的特性以及中国移动的优质网络,满足了不同层次客户的需求,也为发展行业应用奠定了坚实的基础。
3.专线APN传输方式
根据企业对网络安全的特殊要求,厦门桑荣科技有限公司设计了基于GPRS网络的数据传输方案,采用了多种安全措施,主要包括:
通过一条2M 专线接入移动公司GPRS网络,双方互联路由器之间采用私有IP地址进行广域连接,在GGSN与移动公司互联路由器之间采用GRE隧道。
为客户分配专用的APN,普通用户不得申请该APN。用于GPRS专网的SIM卡仅开通该专用APN,限制使用其他APN。
客户可自建一套RADIUS服务器和DHCP服务器,GGSN向RADIUS服务器提供用户主叫号码,采用主叫号码和用户账号相结合的认证方式;用户通过认证后由DHCP服务器分配企业内部的静态IP地址。
端到端加密:移动终端和服务器平台之间采用端到端加密,避免信息在整个传输过程中可能的泄漏。
双方采用防火墙进行隔离,并在防火墙上进行IP地址和端口过滤。
4.业务流程
GPRS专网系统终端上网登录服务器平台的流程为:
1)用户发出GPRS登录请求,请求中包括由移动公司为GPRS专网系统专门分配的专网APN;
2)根据请求中的APN,SGSN向DNS服务器发出查询请求,找到与企业服务器平台连接的GGSN,并将用户请求通过GTP隧道封装送给GGSN;
3)GGSN将用户认证信息(包括手机号码、用户账号、密码等)通过专线送至Radius进行认证;
4)Radius认证服务器看到手机号等认证信息,确认是合法用户发来的请求,向DHCP服务器请求分配用户地址;
5)Radius认证通过后,由Radius向GGSN发送携带用户地址的确认信息;
6)用户得到了IP地址,就可以携带数据包,对GPRS专网系统信息查询和业务处理平台进行访问
三、网络安全
1.安全方案的设计原则
在设计GPRS彩票系统网络的安全系统时,我们将遵循以下原则:
体系化设计原则
通过分析信息网络的层次关系,提出科学的安全体系和安全框架,并根据安全体系分析存在的各种安全风险,从而最大限度地解决可能存在的安全问题。
全局性、均衡性、综合性设计原则
从全局出发,综合考虑各种安全风险,采取相应的安全措施,并根据风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。
可行性、可靠性、安全性
在采用安全系统之后,不会对GPRS彩票系统网络原有的网络和应用系统有大的影响。在保证网络和应用系统正常运转的前提下,保证系统的安全。
统一规划、分布实施原则
针对整个GPRS彩票系统网络统一制定技术方案,采取相同的技术路线,这样有利于统一安全策略的制定,有利于保护整个GPRS彩票系统网络的安全,并且可以节约投资,减少浪费。
在统一规划的基础上,可以采取分步实施的策略,在资金允许条件下,先解决有迫切安全需求、而且技术成熟的问题。
2.安全体系
安全方案的科学性、可行性是其可顺利实施的保障。
安全方案必须架构在科学的安全体系和安全框架之上,因为安全框架是安全方案设计和分析的基础。
为了系统、科学地分析安全方案涉及的各种安全问题,在大量调查研究的基础上,我们提出了下面的安全体系(见下图),它反映了信息系统安全需求和体系结构的共性。具体说明如下:
安全体系是一个三维结构:
第一维(X轴)是安全服务特性,给出了7种安全属性;
第二维(Y轴)是系统单元,给出了信息网络系统的组成;
第三维(Z轴)是协议层次,给出了国际标准化组织ISO的开放系统互连(OSI)模型。
安全体系的具体模型和介绍如下:
安全管理
贯穿于上述三个方面各个层次的是安全管理。通过技术手段和行政管理手段,安全管理将涉及到各系统单元在各个协议层次提供的各种安全服务。
安全技术体系
通过对网络应用的全面了解,安全风险存在于网络系统的各个层次,那么,在网络系统的各个层次之中都应有相应的安全解决技术,包括:物理层安全、链路层安全、网络层安全、操作系统安全以及管理安全。只有这样的安全技术体系才是完整的、全面的。 下图列出了各网络安全设备在网络安全三维体系中的应用。
3.安全子系统划分
在安全方案设计中,首先要确定安全方案所涉及到的系统单元,其次要考虑该系统单元在各个层次所提供的安全服务(功能),最后还应考虑这些单元系统之间的逻辑关系,在整体安全体系框架下,划分成不同的安全子系统,分别提供相应的安全解决方案,才能提供全面的、合理的、有机的安全服务。
因在GPRS专网系统中以包含RADIUS身份认证系统,本方案中针对GPRS彩票系统的网络层安全系统(包括防火墙和入侵检测系统)进行论述
网络层安全系统:主要通过防火墙分布式隔离来实现,即在彩票总部数据中心网络和各营业点均通过防火墙进行安全隔离,将危险区域进行分划到每个区域子网,使危险区域控制在小的区域区间内。对某一个区域的攻击不会影响到别的区域,同时通过安全规则的细化,尽量避免了各区域子网之间的攻击扩散。同时,对于彩票总部数据中心网络重要的服务器子网采用入侵检测系统,作为实时的访问监控,及时的对外来攻击作出报警及阻断的响应。
4.总体网络安全逻辑结构示意
根据以上分析,我们得出GPRS彩票系统网络安全如下:
网络安全示意图:
5.安全方案的选型
1)网络系统安全系统
主要依靠防火墙、基本入侵检测等技术,在网络层构筑一道安全屏障,并依靠分布式的产品部署,集成在同一个安全管理平台上,实现网络层的统一、集中的安全管理。
2)网络层安全管理平台
选择网络层安全管理平台时主要考虑这个安全管理平台能否与其它相关的网络安全产品集成,能否对这些安全产品进行统一的管理,包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。
在这个前提下,我们建议在GPRS彩票系统网络中采用由清华得实公司提供的网络层安全管理平台。
3)安全网络拓扑结构划分
划分网络拓扑结构,一方面要保证网络的安全,另一方面,不能对原有网络结构做太大的更改。为此我们建议采用下图所示的支持非军事化区的三网段安全网络拓扑结构。
这种安全网络拓扑图主要从保护重要服务器的安全出发考虑,把网络划分成三个网段:外网、非军事化区网段和安全内网。
非军事化区网段(DMZ)主要放置一些对外提供服务的服务器,包括WEB服务器、DB、网管工作站。安全系统的一些安全服务器、管理服务器等也都放在非军事化区内。
安全内网主要放置一些不对外直接开放的重要服务器,如各种数据库服务器、WWW服务器等。在这种网络结构中,通过防火墙等安全设备的配置,可以确保:
可以拒绝从外网对安全内网的各种直接的访问连接;
可以在非军事化区内对外网开放一些服务器和服务端口,如WEB服务器的80端口等;
可以限制内网中用户能够访问外网的某些服务端口,如只允许访问HTTP、FTP等服务。
通过这种配置,可以保证在对外提供正常服务的同时,充分保证服务器和数据的安全。下面的防火墙配置将以这种支持非军事化区的三网段安全网络拓扑结构为基础。
4)防火墙配置
我们建议如“GPRS彩票系统网络安全示意图”所示配置防火墙设备:
A.选型原则
综合考虑到安全、性能、价格等因素,我们建议在配置防火墙时,采取国内防火墙产品。选择国内产品主要考虑自主研发的、具有自主版权的、技术成熟且安全可靠、性能优越的防火墙产品。所选产品经过国家有关部门的认证,有销售许可。
B.防火墙应满足的要求:
支持100Mbps线速状态检测。
防火墙满足网络间的单向访问需求、过滤不安全的服务。
最大并发连接数达到60,000个以上。
支持VPN功能。
可以针对协议、端口号、时间、流量等条件实现安全的访问控制。
可以根据如下信息进行过滤:
a)-源IP地址
b)-目的IP地址
c)-协议类型(IP、ICMP、TCP、UDP)
d)-源TCP/UDP端口
e)-目的TCP/UDP端口
f)-ICMP报文类型域和代码域
g)-碎片包
h)-其它标志位,如SYN、ACK位
自动扫描主机打开的端口。
防火墙支持高可用性和负载均衡。
防火墙初始状态应关闭所有端口,根据客户需要一个个打开。具备反端口扫描功能。
可以断开任一网络接口的连接。
网络地址转换NAT技术、MAC地址绑定技术。
有智能的过滤、拦截功能。
防火墙具有恶意入侵检测与报警。
防火墙具有强大的审计功能和统计报表功能。
防火墙具有集中管理的功能。
防火墙具有备份功能。
方便的升级方式。
支持DHCP功能。
C. 入侵检测系统配置
针对以上需求情况:我们在彩票中心网络中都设置一台入侵检测系统。
设置安全检测和攻击预警系统的目的是:运用成熟的攻击、反攻击技术,分析已知的系统安全漏洞和薄弱环节。安全检测可以在不安全因素被诱发之前,消除系统可能的安全隐患。攻击预警系统可以实时发现网络攻击,阻挠不安全用户进入系统。
D. 入侵检测系统的建设目标
根据彩票投注对安全的需求,我们认为对该系统入侵检测系统的建设目标应该是:
对外,需要能够及时发现针对彩票中心网的服务器以及内部网络的各种攻击能够及时被发现和阻断。
对内,要保证针对彩票中心网的重要服务器的各种攻击企图要能够及时被发现和阻断。
入侵检测系统有基于主机和基于网络的两种模式的技术和产品。
基于网络的入侵检测系统,通过在计算机网络中的某些点,被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中获取有用的信息,再与已知攻击特征相匹配,或与正常网络行为原型相比较,来识别攻击事件。
基于主机的产品只能针对某一个服务器的访问行为进行检测,一般是通过检查系统的访问日志进行判别,识别率较高,但实时性较差。此外,基于主机的产品与服务器的操作系统关系密切,一般只支持主流的操作系统(如Windows NT,Solaris等)。
为此,我们建议采用基于网络的入侵检测系统。我们建议入侵检测系统的配置是:
在内部网,配置入侵检测系统的监控中心,对彩票中心网的所有入侵检测系统的探测头进行集中、统一的管理和监控。
6)网络安全设备的实施效果
A. 防黑客功能实现
防黑客功能在网络安全中占据了主要的作用,几乎任何一个网络首先考虑的就是防黑客,在本方案中,各个点所采用的防黑客技术主要是防火墙系统的主要功能为:
防止来自外网的黑客攻击;
及时提供攻击报警和记录等响应
防止来自内网的恶意入侵、扫描;
对内网的服务器等作漏洞扫描,做到防患于未然。
当一个黑客或恶意入侵者想探测或攻击企业的服务器时,防火墙会阻挡这些攻击信息,并且记录该攻击者的IP、端口、采用的攻击手段等信息,使得黑客无法获得他想要得到的信息。
B.访问控制功能的实现
通过防火墙实现对访问主机IP进行过滤,防止非法访问。
有效控制访问端口,避免对内部网络的非授权端口受到攻击。
四、移动资费标准及设备费用
1、该业务包括开户费、安装调试费、GPRS专网使用费以及使用GPRS 产生流量的资费。
1)专网开户费以及安装调试费(专网应用)
开户费:1000元
安装调试费:500元
2)服务器端GPRS专网使用费(专网应用)
1000元/月或者10000元/年,对终端数目不限;
3)终端GPRS 流量资费(终端应用)
2、设备需要终端路由器一台在5000元左右(客户自行选择),每个点配备一台GPRS无线MODEM,大概在2000-2800元之间。
|
|
短信群发 网络营销专家 企业名录钢丝绳 chinese garlic chinese apple |
