第一篇:SIM卡+ESAM实现终端的无线充值方案
SIM卡+ESAM实现终端的无线充值方案
PANCOS 智能卡产品涉及的领域包括金融, 建设事业,税控,数字电视CA, 移动通讯等,具有多个符合不同应用的版本。其中金融PBOC版本在2006年通过了银行卡检测中心的PBOC2.0检测。
在水电气表、数字电视领域,已经给客户提供了多种卡片和ESAM产品。
针对水电气表、数字电视的无线充值方案,我公司有在一张智能卡上实现SIM+ ESAM的方案。其中,ESAM功能具有以下特性:
-符合带触点的集成电路卡标准《ISO/IEC 7816-1/2/3/4》
-符合《中国金融集成电路(IC)卡规范》
-支持一卡多应用,各应用之间相互独立(多应用、防火墙功能)
-支持多级目录管理。
-支持多种文件类型,包括透明文件、记录文件、安全文件、循环文件
-支持安全数据传输,提供明文、加密、校验和加密校验四种传输模式
-支持多种安全访问方式和权限(认证功能和口令保护)
-支持中国人民银行认可的Single DES、Triple DES 算法,可进行加解密/MAC计算
-支持多种容量选择,可选择8K、16K、32K 字节EEPROM 空间
0年以上数据保持时间,10万次以上重复擦写
SIM卡功能具有以下特性:
-符合GSM11.11 ,GSM11.14 规范
-支持超级号簿、短信宝典、短信群发、一卡多号、电话本扩展、自编菜单、主副卡、手机银行等多种特殊应用
-ESAM和SIM具有各自的存贮数据空间,并可分别建立自己的文件系统,ESAM具有独立的密钥系统
-ESAM数据空间可选8-16K
-GSM SIM可选8-16K空间
第二篇:宝界终端准入系统实现无线网络实名认证解决方案
宝界终端准入控制系统保障无线网络安全解决方案
一、应用背景
由于无线网络通过无线电波在空中传输数据, 在数据发射机覆盖区域内的几乎所有的无线网络用户都能接触到这些数据。只要具有相同接收频率就可能获取所传递的信息。要将无线网络环境中传递的数据仅仅传送给一个目标接收者是不可能的。另一方面, 由于无线移动设备在存储能力、计算能力和电源供电时间方面的局限性, 使得原来在有线环境下的许多安全方案和安全技术不能直接应用于无线环境, 例如: 防火墙对通过无线电波进行的网络通讯起不了作用, 任何人在区域范围之内都可以截获和插入数据。计算量大的加密、解密算法不适宜用于移动设备等。因此, 需要研究新的适合于无线网络环境的安全理论、安全方法和安全技术。与有线网络相比, 无线网络所面临的安全威胁更加严重。所有常规有线网络中存在的安全威胁和隐患都依然存在于无线网络中;外部人员可以通过无线网络绕过防火墙, 对专用网络进行非授权访问;无线网络传输的信息容易被窃取、篡改和插入;无线网络容易受到拒绝服务攻击(DoS)和干扰;内部员工可以设置无线网卡以端对端模式与外部员工直接连接。此外, 无线网络的安全技术相对比较新, 安全产品还比较少。以无线局域网(WLAN)为例, 移动节点、A P 等每一个实体都有可能是攻击对象或攻击者。由于无线网络在移动设备和传输媒介方面的特殊性, 使得一些攻击更容易实施, 对无线网络安全技术的研究比有线网络的限制更多, 难度更大。常见的无线网络安全技术有以下几种
1、服务集标识符(SSID)
通过对多个无线接入点AP(Access Point)设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。因此可以认为SSID是一个简单的口令,从而提供一定的安全,但如果配置AP向外广播其SSID,那么安全程度还将下降。由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。目前有的厂家支持“任何(ANY)”SSID方式,只要无线工作站在任何AP范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。
2、物理地址过滤(MAC)
由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
3、连线对等保密(WEP)
在链路层采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的,要手工维护,扩展能力差。目前为了提高安全性,建议采用128位加密钥匙。
4、Wi-Fi保护接入(WPA)
WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据,要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法,而且有更为丰富的内涵。作为802.11i标准的子集,WPA包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案。
5、端口访问控制技术(802.1x)
该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。本方案需要无线设备支持802.1X协议,并且接入PC需要安装802.1X客户端,设置烦锁,部置费用较高。
二、宝界解决方案
通过采用宝界局域网准入网关产品可以解决以上问题:
1、宝界局域网准入网关实现的功能
对用户按组、按部门、按人实现IP地址管理 对用户的IP地址实现实名制的分发和管理 强制安装健康检查客户端
兼容老旧网络(兼容非802.1x交换机、hub 等),实现实名IP地址管理 对IP地址的改变进行监管,防止非法篡改IP地址 新接入IP地址的侦测和自动收集 IP地址的实名查找 多网段的IP分配和管理
2、产品部署拓朴图
系统部署图
3、无线终端PC入网流程图
① 无线终端PC搜索无线路由器,选择接入点
② 接入终端接入PC可以将无线网卡设置成固定IP地址或DHCP动态获得IP地址,一般建议特权主机设定为固定IP地址,其他主机动态分配IP地址。
③ 对于固定IP地址的无线接入PC,系统检查其MAC地址、IP地址、主机名、网卡类型、对应交换机端口等信息,如果是非法主机,系统将阻止其入网;合法主机允许其入网,此类主机无需实名认证,无需健康检查。
④ 对于DHCP动态获取IP地址的无线接入PC,首先系统会临时分配一个隔离网段IP地址,允许它访问隔离网段服务器(例如:杀毒服务器、补丁服务器、实名认证服务器等)
⑤ 系统如果启动了实名认证模块,无线接入PC获取动态IP地址后,打开IE浏览器访问外网时,系统会自动推送实名认证网页,要求其输入管理员分配的用户名及密码,如果身份认证未通过,系统将不会分配内网IP地址,其无法访问内网任何资源。如果身份认证通过,并且系统没有启动健康检查模块,无线接入PC将获取管理员分配的内网合法IP地址,无线接入PC被允许访问内网应用服务器资源。
⑥ 系统如果启动了健康检查/桌面管理模块,无线接入PC实名认证通过后,系统在其打开IE浏览器访问外网时,会自动推送健康检查/桌面管理客户端下载网页,当其安装完健康检查/桌面管理客户端后,无线接入PC将获取管理员分配的内网合法IP地址,接入主机被允许访问内网应用服务器资源。
⑦ 系统运行过程中,将自动收集当前限制主机、允许主机、离线主机、在线主机列表,每台主机当前使用MAC地址、IP地址、组名/主机名、部门/用户名、接入交换机及端口号、接入时间等待信息,管理员可实时查看到对应交换机上接入主机的信息,并可手动/自动关闭其端口,完全隔离非法主机。
终端准入认证流程
三、解决方案价值
加强企业无线网络控制,实现每用户分别用自己的帐号登陆无线局域网,杜绝了共享密码的弊端,保证非授权主机不能进入无线局域网;
对无线网络的主机,也纳入了内网主机一样管理,不经过无线路由NAT地址转换,可以直接定位主机。加强内网IP地址管理,防止了IP地址随意修改,服务器与客户端IP地址冲突;
进入局域网的主机可强制安装健康检查客户端,集中查杀病毒木马,集中打补丁,保证了局域网安全
第三篇:ATM机自助服务终端无线组网方案
ATM机自助服务终端无线组网方案
一、背景
随着城区生活的不断丰富,金融服务业同步跟进,因此会增加ATM机的布点来满足民众的需要,由于时常遇到布点网络缺失,且信息安全的问题,银行ATM机、非金融自助产品,多布设在地铁口、超市、商场、医院等人流密集区,当原有有线网络不方便布设到自助终端时,就需要应用无线数传终端组建无线网络实现自助终端与管控中心的信息交互。3G/4G无线路由器得到了更广泛的应用。利用工业级3G/4G无线设备,结合专网通信卡网络以及无线设备本身具备的VPN加密功能,使得ATM机组网方便、数据安全可靠。
二、系统结构
ATM机内部有主控电脑,主控电脑通过网线和无线路由相连,无线路由器内部插有特殊APN专网卡,此专网与外网隔离与银行专网相同,且无线路由具备VPN加密功能,这样ATM主控电脑通过带加密的专网与银行系统进行数据对接。
计讯4G路由器通过联通4G网络接入Internet,并与银行中心系统建立VPN连接,使终端ATM机与银行中心系统组成虚拟局域网,终端ATM机可直接与银行中心系统服务器直接进行通信。终端ATM机产生的业务数据将直接通过路由器与中心服务器建立的通信通道传送到中心服务器的银行中心系统。
系统拓补图
在银行系统中,数据传输的安全性要求非常苛刻,因此解决系统安全问题是4G无线网络银行交易系统应用的关键,采用4G无线移动数据传输方式必须有效保证数据的安全、可靠,确保系统的安全稳定运行。安全保障主要是防止来自系统内外的各种破坏,进行身份认证、身份鉴别、数字签名防止抵赖和篡改,以及交易数据的加密解密等是保障网络安全的重要手段。
数据传输部分采用计讯TR341无线路由器
三、产品特点:
1、I/O监控功能,便于远程控制
2、支持PPPOE、4G/3G等多种网络接入方式
3、强大的VPN隧道技术,有效保证数据安全传输
4、高速WIFI网络接入,畅享极速联网
四、系统特点及优势
1、高规格工业级设计,稳定、可靠。
2、支持各运营商APN专网,具备各类型VPN数据加密。
3、标准化接口,即插即用。
4、体积小巧、操作维护简单易行。
五、项目意义
银行采用无线网络方式构建ATM自助服务终端无线系统,在安全可靠的组网条件下,助力银行无线交易行业系统,将会大大拓展了移动数据应用领域和银行业的进一步扩展。
第四篇:数字电视广播信号无线定位方案的实现
摘 要:随着 现代 数字信号处理、超大规模集成电路以及通信技术的迅速 发展,数字电视技术已经逐渐走向成熟,并将最终取代模拟电视技术,为我们提供更加优质的服务。数字电视地面广播作为数字电视标准中最为复杂的一个,在我国有着广阔的应用前景。从系统的总体结构、工作流程、软件接收机等方面描述了基于dtv的定位系统方案,对定位系统的基础——数字电视接收机的工作原理做了详细的分析,简要地给出了定位实现的原理。
关键词:无线定位;数字电视;信号;方案 1 数字电视广播信号无线定位概述 1.1 无线电定位的概念 同时接收多个已知空间坐标和时间基准的无线电发射源的辐射信号,可以确定接收端用户所在的地理位置,即经度、纬度和高程(海拔高度)。
随着超大规模集成电路(vlsi)工艺的进步,基于电缆或卫星传输的数字电视(dtv)系统已在全球范围广为使用。dtv地面广播系统也已开始大规模建设,在全球不同区域逐渐形成以各自广播标准为基础的数字电视和数字声音广播网。与gps相比,dtv定位有以下优点:定位误差小,可达1m量级;市区定位概率高,还可满足室内定位要求;定位实时性好;信号处理要求低,处理设备少,功耗低;可利用现有的dtv基础设施,无需改变就可用作定位。1.2 数字电视地面广播与标准
数字电视地面广播与数字卫星广播相比较,有容易普及、接收价格低廉的特点;与数字有线电视广播比较,则不易受城市施工建设、自然 灾害、战争等因素造成的 网络 中断影响,因此在传输状况、应用需求等方面,地面传输方式更加复杂,全球各地在地面数字电视传输系统方案的选择上争议也最大。
世界各国对于数字电视地面广播进行了长期研究。基本形成了美国的atsc,欧洲的dvb-t和日本的isdb-t三大标准。我国模拟电视采用的是欧洲的pal制式,因此要向数字电视过渡基于 dvb-t标准开发数字电视地面广播系统是切实可行的。基于dtv数字电视广播信号无线定位系统方案的实现
2.1 系统结构设计
整个系统的组建可以划分为两大部分:发射和接收。发射部分建在 dtv 地面广播信号发射台。对于按 dvb-t 标准发射的电视信号来说,首先要为不同发射台分配不同的系统标识码(id),再将发射台的空间坐标、发射时间和标识码等信息进行信道编码,最后通过 dtv 数字广播系统实现信号发射。而对于按 dmb-t 标准发射的信号来说,由于在发射信号中已经加入帧号、基站识别码、起始发射时间,只要将发射台的坐标预先存储在接收机的处理器中即可。
基于数字广播电视信号的无线定位系统特征在于通过接收多个空间坐标已知的数字地面发射台的信号,确定接收者的空间坐标。2.2 系统工作流程
本文定位方法是建立在无线电信号广播发射系统上的,系统的工作步骤如下:
(1)接收信号:由天线接收到的电视信号经射频放大后下变频为中频信号;(2)通过模拟/数字(a/d)变换完成中频信号的数字化;
(3)在数字信号处理器(dsp)内完成信号的同步跟踪、解调和解码任务,建立信号载波和码同步跟踪回路;
(4)将数字电视系统广播数据帧的时间间隔作为系统观测的基本时间单位,排定以数据帧间隔或其倍数作为观测间隔,确定观测时间序列;
(5)已预先排定的观测序列时间定时从同步跟踪环路提取出一个数字电视发射源的原始伪距观测值,以及通过解调和解码后的数据得到该发射源标识和空间坐标信息;
(6)重复步骤(5)观测跟踪所有在有效测量范围内的数字电视发射台;将所有得到的信息送入伪距解算方程,即从接收跟踪环路提取得到各发射源的伪距值和发射源空间坐标值,计算 出最终接收天线的空间位置坐标,并换算为接收系统的定位信息:包括位置、速度和加速度,这些信息为基本导航定位信息;
(7)测量随后各数字电视广播数据帧接收时刻,得到属于该观测时间点所有有效同步帧头的伪距信息;(8)以步骤(6)得到的基本导航定位信息,依次代入步骤(7)中的伪距信息和接收时间信息,完成基于顺序双滤波器平滑算法的计算,最终输出系统最优定位信息。
2.3 软件接收机的流程实现
对于 dvb-t标准来说,同步部分利用时域保护间隔和频域导频信号,估计并跟踪时域 fft 窗口位置,同时估计由于收发端上下变频引起的频偏;采样时钟同步估计得到收发晶振不能完全匹配带来的采样时钟误差,经数字锁相环使收发采样时钟同步。
对于dmb-t标准,将传统的dvb-t系统中的cp 由一段 pn序列取代,而在idft帧体中不插入任何导频。pn帧头既作为训练序列用于同步和信道估计,又在客观上起保护间隔的作用。dmb-t的每一帧采用不同的pn头作为帧标志,在发射端对pn头采用bpsk调制以获得可靠的传输效果;在接收端则通过同样的pn序列发生器产生本地pn序列,并与接收信号的pn码帧头进行时域相关,从而完成帧同步、频率同步、时间同步、信道传输特性估计等一系列同步运算。