联通无线联网方案-金融业.doc

银行无线联网方案
我们更用心服务！
银行
无线网络联网方案
中国联合网络通信有限公司
大客户部
二○一○年十二月
一方面负责接收用户发送过来的数据，并进行用户身份的验证，然后将数据通过专线送给企业数据中心，另一方面接收企业数据中心的指令或者数据，将其发送给行业终端。
C、企业用户应用服务器
通过专线与WCDMA核心网络中的GGSN相连，负责接收从HSPA网络传输过来的数据，签权后，根据企业的实际特点，对数据进行处理和存储；或者向企业终端发送各种信息或指令，通过专线和HSPA网络进行传输。
联通公司专线APN传输方式
根据企业对网络安全的特殊要求，基于联通GPRS网络的数据传输方案，采用了多种安全措施，主要包括：
1）专线互联
通过一条10M 专线接入联通公司WCDMA网络，双方互联路由器之间采用私有IP地址进行广域连接，在GGSN与联通公司互联路由器之间采用GRE隧道。
2）专用APN
银行无线联网方案
我们更用心服务！
为客户分配专用的APN，普通用户不得申请该APN。用于GPRS专网的SIM卡仅开通该专用APN，限制使用其他APN。
3）RADIUS认证
客户可自建一套RADIUS服务器和DHCP服务器，GGSN向RADIUS服务器提供用户主叫号码，采用主叫号码和用户账号相结合的认证方式；用户通过认证后由DHCP服务器分配企业内部的静态IP地址。
4）端到端加密
无线数据传输终端和服务器平台之间采用端到端加密，避免信息在整个传输过程中可能的泄漏。
5）防火墙隔离
双方采用防火墙进行隔离，并在防火墙上进行IP地址和端口过滤。
无线 APN业务流程
用户发出WCDMA登录请求，请求中包括由联通公司为WCDMA专网系统专门分配的专网APN；
根据请求中的APN，SGSN向DNS服务器发出查询请求，找到与企业服务器平台连接的GGSN，并将用户请求通过GTP隧道封装送给GGSN；
GGSN将用户认证信息（包括手机号码、用户账号、密码等）通过专线送至Radius进行认证；
Radius认证服务器看到手机号等认证信息，确认是合法用户发来的请求，向DHCP服务器请求分配用户地址；
Radius认证通过后，由Radius向GGSN发送携带用户地址的确认信息；
用户得到了IP地址，就可以携带数据包，对WCDMA专网系统信息查询和业务处理平台进行访问。
安全方案
1）第一级：安全的网络接入层
使用联通公司分配的专门的APN进行无线网络接入；
分配特定的手机号：手机主叫号在联通GSM交换机生成，已经进行了加密，资深的网络黑客也是很难伪造手机号的。
联通在网络侧HLR网元给手机号和APN做了绑定，只有属于行业的手机号才能访问专用APN。黑客拿着其他手机号的GPRS终端根本无法呼叫专门的APN。
银行无线联网方案
我们更用心服务！
2）第二级：安全的终端认证
企业的数据中心可以给每个GPRS终端分配特有的用户ID和密码，交换机资深黑客即使伪造了合法的手机号，但