產(chǎn)品品牌：?？担╤iklife）

設備類型：VPN路由器

網(wǎng)絡接口：其它

本公司供應?？担╤iklife）ATM機監(jiān)控系統(tǒng)質(zhì)量保證，歡迎咨詢洽談。

基于EVDO 3G 專網(wǎng)系統(tǒng)的銀行ATM 終端無線接入系統(tǒng)方案

本系統(tǒng)由銀行設備（ATM 或自助設備等），海康EVDO 3G 路由器，EVDO網(wǎng)絡，電信和銀行間專線，銀行路由器，銀行服務器等設備組成。數(shù)據(jù)流向過程如下：銀行的ATM 設備通過?？礒VDO 路由器，把數(shù)據(jù)傳輸?shù)紼VDO 無線網(wǎng)絡EVDO 無線網(wǎng)絡通過DDN 或幀中繼等專線把數(shù)據(jù)傳輸?shù)姐y行的路由器，然后通過路由器路由到銀行的服務器上。如果銀行為了過更加安全的控制，銀行里面可以增加Radius 認證服務器（可以選用，因為EVDO 無線接入時已有AAA 服務器進行認證）

EVDO 專網(wǎng)接入VPDN/APN銀行通過一條2M DDN 或幀中繼專線接入電信公司EVDO 網(wǎng)絡，雙方互聯(lián)路由器之間采用私有IP 地址進行廣域連接，在電信認證路由器與用戶認證路由器之間建立加密隧道。電信為銀行分配專用的 VPDN/APN，普通用戶不能進入VPDN/APN。只有電信分配的EVDO 專網(wǎng)卡才能進入該VPDN/APN 網(wǎng)絡，防止其他非法用戶的進入。
用戶在其內(nèi)部網(wǎng)絡建立 Radius 服務器，作為內(nèi)部用戶接入的遠程認證服務器。只有通過認證的用戶才允許接入，用以保證用戶內(nèi)部安全。端到端加密：ATM 終端和服務器平臺之間采用端到端加密，避免信息在整個傳輸過程中可能的泄漏。

雙方采用防火墻進行隔離，并在防火墻上進行IP 地址和端口過濾。EVDO 專網(wǎng)系統(tǒng)終端上網(wǎng)登錄服務器平臺的流程如下：
1，用戶發(fā)出EVDO 登錄請求，請求中包括由電信公司為EVDO 專網(wǎng)系統(tǒng)專
門分配的專網(wǎng)VPDN/APN

2，根據(jù)請求中的VPDN/APN，電信網(wǎng)絡向其DNS 服務器發(fā)出查詢請求，找到與企業(yè)服務器平臺連接的GGSN，并將用戶請求通過GTP 隧道封裝送給GGSN；
3，GGSN 將用戶認證信息（包括手機號碼、用戶賬號、密碼等）通過專線送至Radius 進行認證；
4，Radius 認證服務器看到手機號等認證信息，確認是合法用戶發(fā)來的請求，向DHCP 服務器請求分配用戶地址；
5，Radius 認證通過后，由Radius 向GGSN 發(fā)送攜帶用戶地址的確認信息；
6，用戶得到了IP 地址，就可以攜帶數(shù)據(jù)包，對EVDO 專網(wǎng)系統(tǒng)信息查詢和業(yè)務處理平臺進行訪問。
VPDN 安全性
1，終端用戶入網(wǎng)認證EVDO 無線路由器在發(fā)起數(shù)據(jù)呼叫前，會在電信的VLR/HLR 中對IMSI 號碼進行鑒權(quán)，判斷是否為合法用戶，否則EVDO 網(wǎng)絡將不允許該終端登錄網(wǎng)絡。
2，EVDO 空中無線接入安全保護作為為軍方通信所需而研發(fā)和使用的擴頻通信技術，EVDO 在無線信道安全上，具有極其可靠的安全性，以保障無線網(wǎng)絡的傳輸安全。加密算法動態(tài)協(xié)商移動臺（無線路由器）和交換網(wǎng)絡能夠安全地協(xié)商隨后的加密通信算法的功能,加密密鑰動態(tài)協(xié)商,移動臺（無線路由器）和交換網(wǎng)絡對所使用的加密密鑰動態(tài)協(xié)商。加密算法與密鑰的動態(tài)協(xié)商保證了信令數(shù)據(jù)與用戶上層數(shù)據(jù)的安全性。
3，用戶賬號和EVDO 卡號綁定
賬號與卡號（IMSI 號）綁定，保證了唯一性的安全。
4，電信AAA 認證
終端路由器發(fā)起數(shù)據(jù)呼叫時，所使用的登錄名和密碼均需要AAA 服務器中
得到認證。
5，專線接入及加密隧道
采用 3G 無線路由器，兼容原有前端ATM 機以及POS 機已有應用。同時，從電信LAC 和客戶LNS 之間仍然采用的是通過專線的鏈接，并同時建立了,L2TP IPsec 的加密隧道（或采取以往所使用的隧道及加密技術），保障了數(shù)據(jù)的可靠加密傳輸?；?EVDO 3G 專網(wǎng)系統(tǒng)的銀行ATM 終端無線接入系統(tǒng)方案，根據(jù)采用無線的終端接入方式，在系統(tǒng)安全機制上對空中接口的安全性做了調(diào)整，采用了信道加密的需要動態(tài)認證的VPDN 的接入方式。而對于有線側(cè)，并沒有做太大的
調(diào)整，仍然采用L2TP IPsec 的認證及加密方式（或其他之前使用的如SSL 的方式，無需調(diào)整），保證了系統(tǒng)安全的向前兼容。

部分案例：

中國鐵通云南分公司、中國互聯(lián)網(wǎng)信息中心、深圳市政府數(shù)字中心、中國電信成都分公司、四川省氣象局、中國農(nóng)業(yè)銀行青海分行、杭州國家安全局、河北省教育廳、?？低晹?shù)字中心、中鐵港航局、深圳龍騰高級中學、山西太原社會與信息化局、中國地質(zhì)監(jiān)測中心、中國銀行廣東分行、福州電信、深圳移動等，排名不分先后