第一篇:SIM卡+ESAM實現(xiàn)終端的無線充值方案
SIM卡+ESAM實現(xiàn)終端的無線充值方案
PANCOS 智能卡產(chǎn)品涉及的領(lǐng)域包括金融, 建設(shè)事業(yè),稅控,數(shù)字電視CA, 移動通訊等,具有多個符合不同應(yīng)用的版本。其中金融PBOC版本在2006年通過了銀行卡檢測中心的PBOC2.0檢測。
在水電氣表、數(shù)字電視領(lǐng)域,已經(jīng)給客戶提供了多種卡片和ESAM產(chǎn)品。
針對水電氣表、數(shù)字電視的無線充值方案,我公司有在一張智能卡上實現(xiàn)SIM+ ESAM的方案。其中,ESAM功能具有以下特性:
-符合帶觸點的集成電路卡標準《ISO/IEC 7816-1/2/3/4》
-符合《中國金融集成電路(IC)卡規(guī)范》
-支持一卡多應(yīng)用,各應(yīng)用之間相互獨立(多應(yīng)用、防火墻功能)
-支持多級目錄管理。
-支持多種文件類型,包括透明文件、記錄文件、安全文件、循環(huán)文件
-支持安全數(shù)據(jù)傳輸,提供明文、加密、校驗和加密校驗四種傳輸模式
-支持多種安全訪問方式和權(quán)限(認證功能和口令保護)
-支持中國人民銀行認可的Single DES、Triple DES 算法,可進行加解密/MAC計算
-支持多種容量選擇,可選擇8K、16K、32K 字節(jié)EEPROM 空間
0年以上數(shù)據(jù)保持時間,10萬次以上重復(fù)擦寫
SIM卡功能具有以下特性:
-符合GSM11.11 ,GSM11.14 規(guī)范
-支持超級號簿、短信寶典、短信群發(fā)、一卡多號、電話本擴展、自編菜單、主副卡、手機銀行等多種特殊應(yīng)用
-ESAM和SIM具有各自的存貯數(shù)據(jù)空間,并可分別建立自己的文件系統(tǒng),ESAM具有獨立的密鑰系統(tǒng)
-ESAM數(shù)據(jù)空間可選8-16K
-GSM SIM可選8-16K空間
第二篇:寶界終端準入系統(tǒng)實現(xiàn)無線網(wǎng)絡(luò)實名認證解決方案
寶界終端準入控制系統(tǒng)保障無線網(wǎng)絡(luò)安全解決方案
一、應(yīng)用背景
由于無線網(wǎng)絡(luò)通過無線電波在空中傳輸數(shù)據(jù), 在數(shù)據(jù)發(fā)射機覆蓋區(qū)域內(nèi)的幾乎所有的無線網(wǎng)絡(luò)用戶都能接觸到這些數(shù)據(jù)。只要具有相同接收頻率就可能獲取所傳遞的信息。要將無線網(wǎng)絡(luò)環(huán)境中傳遞的數(shù)據(jù)僅僅傳送給一個目標接收者是不可能的。另一方面, 由于無線移動設(shè)備在存儲能力、計算能力和電源供電時間方面的局限性, 使得原來在有線環(huán)境下的許多安全方案和安全技術(shù)不能直接應(yīng)用于無線環(huán)境, 例如: 防火墻對通過無線電波進行的網(wǎng)絡(luò)通訊起不了作用, 任何人在區(qū)域范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。計算量大的加密、解密算法不適宜用于移動設(shè)備等。因此, 需要研究新的適合于無線網(wǎng)絡(luò)環(huán)境的安全理論、安全方法和安全技術(shù)。與有線網(wǎng)絡(luò)相比, 無線網(wǎng)絡(luò)所面臨的安全威脅更加嚴重。所有常規(guī)有線網(wǎng)絡(luò)中存在的安全威脅和隱患都依然存在于無線網(wǎng)絡(luò)中;外部人員可以通過無線網(wǎng)絡(luò)繞過防火墻, 對專用網(wǎng)絡(luò)進行非授權(quán)訪問;無線網(wǎng)絡(luò)傳輸?shù)男畔⑷菀妆桓`取、篡改和插入;無線網(wǎng)絡(luò)容易受到拒絕服務(wù)攻擊(DoS)和干擾;內(nèi)部員工可以設(shè)置無線網(wǎng)卡以端對端模式與外部員工直接連接。此外, 無線網(wǎng)絡(luò)的安全技術(shù)相對比較新, 安全產(chǎn)品還比較少。以無線局域網(wǎng)(WLAN)為例, 移動節(jié)點、A P 等每一個實體都有可能是攻擊對象或攻擊者。由于無線網(wǎng)絡(luò)在移動設(shè)備和傳輸媒介方面的特殊性, 使得一些攻擊更容易實施, 對無線網(wǎng)絡(luò)安全技術(shù)的研究比有線網(wǎng)絡(luò)的限制更多, 難度更大。常見的無線網(wǎng)絡(luò)安全技術(shù)有以下幾種
1、服務(wù)集標識符(SSID)
通過對多個無線接入點AP(Access Point)設(shè)置不同的SSID,并要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接入,并對資源訪問的權(quán)限進行區(qū)別限制。因此可以認為SSID是一個簡單的口令,從而提供一定的安全,但如果配置AP向外廣播其SSID,那么安全程度還將下降。由于一般情況下,用戶自己配置客戶端系統(tǒng),所以很多人都知道該SSID,很容易共享給非法用戶。目前有的廠家支持“任何(ANY)”SSID方式,只要無線工作站在任何AP范圍內(nèi),客戶端都會自動連接到AP,這將跳過SSID安全功能。
2、物理地址過濾(MAC)
由于每個無線工作站的網(wǎng)卡都有唯一的物理地址,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。這個方案要求AP中的MAC地址列表必需隨時更新,可擴展性差;而且MAC地址在理論上可以偽造,因此這也是較低級別的授權(quán)認證。物理地址過濾屬于硬件認證,而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新,目前都是手工操作;如果用戶增加,則擴展能力很差,因此只適合于小型網(wǎng)絡(luò)規(guī)模。
3、連線對等保密(WEP)
在鏈路層采用RC4對稱加密技術(shù),用戶的加密密鑰必須與AP的密鑰相同時才能獲準存取網(wǎng)絡(luò)的資源,從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。WEP提供了40位(有時也稱為64位)和128位長度的密鑰機制,但是它仍然存在許多缺陷,例如一個服務(wù)區(qū)內(nèi)的所有用戶都共享同一個密鑰,一個用戶丟失鑰匙將使整個網(wǎng)絡(luò)不安全。而且40位的鑰匙在今天很容易被破解;鑰匙是靜態(tài)的,要手工維護,擴展能力差。目前為了提高安全性,建議采用128位加密鑰匙。
4、Wi-Fi保護接入(WPA)
WPA(Wi-Fi Protected Access)是繼承了WEP基本原理而又解決了WEP缺點的一種新技術(shù)。由于加強了生成加密密鑰的算法,因此即便收集到分組信息并對其進行解析,也幾乎無法計算出通用密鑰。其原理為根據(jù)通用密鑰,配合表示電腦MAC地址和分組信息順序號的編號,分別為每個分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用于RC4加密處理。通過這種處理,所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。無論收集到多少這樣的數(shù)據(jù),要想破解出原始的通用密鑰幾乎是不可能的。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認證功能。由于具備這些功能,WEP中此前倍受指責(zé)的缺點得以全部解決。WPA不僅是一種比WEP更為強大的加密方法,而且有更為豐富的內(nèi)涵。作為802.11i標準的子集,WPA包含了認證、加密和數(shù)據(jù)完整性校驗三個組成部分,是一個完整的安全性方案。
5、端口訪問控制技術(shù)(802.1x)
該技術(shù)也是用于無線局域網(wǎng)的一種增強性網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站STA與無線訪問點AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認證結(jié)果。如果認證通過,則AP為STA打開這個邏輯端口,否則不允許用戶上網(wǎng)。802.1x要求無線工作站安裝802.1x客戶端軟件,無線訪問點要內(nèi)嵌802.1x認證代理,同時它還作為Radius客戶端,將用戶的認證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認證系統(tǒng)及計費,特別適合于公共無線接入解決方案。本方案需要無線設(shè)備支持802.1X協(xié)議,并且接入PC需要安裝802.1X客戶端,設(shè)置煩鎖,部置費用較高。
二、寶界解決方案
通過采用寶界局域網(wǎng)準入網(wǎng)關(guān)產(chǎn)品可以解決以上問題:
1、寶界局域網(wǎng)準入網(wǎng)關(guān)實現(xiàn)的功能
? ? ? ? ? ? ? ? 對用戶按組、按部門、按人實現(xiàn)IP地址管理 對用戶的IP地址實現(xiàn)實名制的分發(fā)和管理 強制安裝健康檢查客戶端
兼容老舊網(wǎng)絡(luò)(兼容非802.1x交換機、hub 等),實現(xiàn)實名IP地址管理 對IP地址的改變進行監(jiān)管,防止非法篡改IP地址 新接入IP地址的偵測和自動收集 IP地址的實名查找 多網(wǎng)段的IP分配和管理
2、產(chǎn)品部署拓樸圖
系統(tǒng)部署圖
3、無線終端PC入網(wǎng)流程圖
① 無線終端PC搜索無線路由器,選擇接入點
② 接入終端接入PC可以將無線網(wǎng)卡設(shè)置成固定IP地址或DHCP動態(tài)獲得IP地址,一般建議特權(quán)主機設(shè)定為固定IP地址,其他主機動態(tài)分配IP地址。
③ 對于固定IP地址的無線接入PC,系統(tǒng)檢查其MAC地址、IP地址、主機名、網(wǎng)卡類型、對應(yīng)交換機端口等信息,如果是非法主機,系統(tǒng)將阻止其入網(wǎng);合法主機允許其入網(wǎng),此類主機無需實名認證,無需健康檢查。
④ 對于DHCP動態(tài)獲取IP地址的無線接入PC,首先系統(tǒng)會臨時分配一個隔離網(wǎng)段IP地址,允許它訪問隔離網(wǎng)段服務(wù)器(例如:殺毒服務(wù)器、補丁服務(wù)器、實名認證服務(wù)器等)
⑤ 系統(tǒng)如果啟動了實名認證模塊,無線接入PC獲取動態(tài)IP地址后,打開IE瀏覽器訪問外網(wǎng)時,系統(tǒng)會自動推送實名認證網(wǎng)頁,要求其輸入管理員分配的用戶名及密碼,如果身份認證未通過,系統(tǒng)將不會分配內(nèi)網(wǎng)IP地址,其無法訪問內(nèi)網(wǎng)任何資源。如果身份認證通過,并且系統(tǒng)沒有啟動健康檢查模塊,無線接入PC將獲取管理員分配的內(nèi)網(wǎng)合法IP地址,無線接入PC被允許訪問內(nèi)網(wǎng)應(yīng)用服務(wù)器資源。
⑥ 系統(tǒng)如果啟動了健康檢查/桌面管理模塊,無線接入PC實名認證通過后,系統(tǒng)在其打開IE瀏覽器訪問外網(wǎng)時,會自動推送健康檢查/桌面管理客戶端下載網(wǎng)頁,當(dāng)其安裝完健康檢查/桌面管理客戶端后,無線接入PC將獲取管理員分配的內(nèi)網(wǎng)合法IP地址,接入主機被允許訪問內(nèi)網(wǎng)應(yīng)用服務(wù)器資源。
⑦ 系統(tǒng)運行過程中,將自動收集當(dāng)前限制主機、允許主機、離線主機、在線主機列表,每臺主機當(dāng)前使用MAC地址、IP地址、組名/主機名、部門/用戶名、接入交換機及端口號、接入時間等待信息,管理員可實時查看到對應(yīng)交換機上接入主機的信息,并可手動/自動關(guān)閉其端口,完全隔離非法主機。
終端準入認證流程
三、解決方案價值
? 加強企業(yè)無線網(wǎng)絡(luò)控制,實現(xiàn)每用戶分別用自己的帳號登陸無線局域網(wǎng),杜絕了共享密碼的弊端,保證非授權(quán)主機不能進入無線局域網(wǎng); ? ? ?
對無線網(wǎng)絡(luò)的主機,也納入了內(nèi)網(wǎng)主機一樣管理,不經(jīng)過無線路由NAT地址轉(zhuǎn)換,可以直接定位主機。加強內(nèi)網(wǎng)IP地址管理,防止了IP地址隨意修改,服務(wù)器與客戶端IP地址沖突;
進入局域網(wǎng)的主機可強制安裝健康檢查客戶端,集中查殺病毒木馬,集中打補丁,保證了局域網(wǎng)安全
第三篇:ATM機自助服務(wù)終端無線組網(wǎng)方案
ATM機自助服務(wù)終端無線組網(wǎng)方案
一、背景
隨著城區(qū)生活的不斷豐富,金融服務(wù)業(yè)同步跟進,因此會增加ATM機的布點來滿足民眾的需要,由于時常遇到布點網(wǎng)絡(luò)缺失,且信息安全的問題,銀行ATM機、非金融自助產(chǎn)品,多布設(shè)在地鐵口、超市、商場、醫(yī)院等人流密集區(qū),當(dāng)原有有線網(wǎng)絡(luò)不方便布設(shè)到自助終端時,就需要應(yīng)用無線數(shù)傳終端組建無線網(wǎng)絡(luò)實現(xiàn)自助終端與管控中心的信息交互。3G/4G無線路由器得到了更廣泛的應(yīng)用。利用工業(yè)級3G/4G無線設(shè)備,結(jié)合專網(wǎng)通信卡網(wǎng)絡(luò)以及無線設(shè)備本身具備的VPN加密功能,使得ATM機組網(wǎng)方便、數(shù)據(jù)安全可靠。
二、系統(tǒng)結(jié)構(gòu)
ATM機內(nèi)部有主控電腦,主控電腦通過網(wǎng)線和無線路由相連,無線路由器內(nèi)部插有特殊APN專網(wǎng)卡,此專網(wǎng)與外網(wǎng)隔離與銀行專網(wǎng)相同,且無線路由具備VPN加密功能,這樣ATM主控電腦通過帶加密的專網(wǎng)與銀行系統(tǒng)進行數(shù)據(jù)對接。
計訊4G路由器通過聯(lián)通4G網(wǎng)絡(luò)接入Internet,并與銀行中心系統(tǒng)建立VPN連接,使終端ATM機與銀行中心系統(tǒng)組成虛擬局域網(wǎng),終端ATM機可直接與銀行中心系統(tǒng)服務(wù)器直接進行通信。終端ATM機產(chǎn)生的業(yè)務(wù)數(shù)據(jù)將直接通過路由器與中心服務(wù)器建立的通信通道傳送到中心服務(wù)器的銀行中心系統(tǒng)。
系統(tǒng)拓補圖
在銀行系統(tǒng)中,數(shù)據(jù)傳輸?shù)陌踩砸蠓浅?量蹋虼私鉀Q系統(tǒng)安全問題是4G無線網(wǎng)絡(luò)銀行交易系統(tǒng)應(yīng)用的關(guān)鍵,采用4G無線移動數(shù)據(jù)傳輸方式必須有效保證數(shù)據(jù)的安全、可靠,確保系統(tǒng)的安全穩(wěn)定運行。安全保障主要是防止來自系統(tǒng)內(nèi)外的各種破壞,進行身份認證、身份鑒別、數(shù)字簽名防止抵賴和篡改,以及交易數(shù)據(jù)的加密解密等是保障網(wǎng)絡(luò)安全的重要手段。
數(shù)據(jù)傳輸部分采用計訊TR341無線路由器
三、產(chǎn)品特點:
1、I/O監(jiān)控功能,便于遠程控制
2、支持PPPOE、4G/3G等多種網(wǎng)絡(luò)接入方式
3、強大的VPN隧道技術(shù),有效保證數(shù)據(jù)安全傳輸
4、高速WIFI網(wǎng)絡(luò)接入,暢享極速聯(lián)網(wǎng)
四、系統(tǒng)特點及優(yōu)勢
1、高規(guī)格工業(yè)級設(shè)計,穩(wěn)定、可靠。
2、支持各運營商APN專網(wǎng),具備各類型VPN數(shù)據(jù)加密。
3、標準化接口,即插即用。
4、體積小巧、操作維護簡單易行。
五、項目意義
銀行采用無線網(wǎng)絡(luò)方式構(gòu)建ATM自助服務(wù)終端無線系統(tǒng),在安全可靠的組網(wǎng)條件下,助力銀行無線交易行業(yè)系統(tǒng),將會大大拓展了移動數(shù)據(jù)應(yīng)用領(lǐng)域和銀行業(yè)的進一步擴展。
第四篇:數(shù)字電視廣播信號無線定位方案的實現(xiàn)
摘 要:隨著 現(xiàn)代 數(shù)字信號處理、超大規(guī)模集成電路以及通信技術(shù)的迅速 發(fā)展,數(shù)字電視技術(shù)已經(jīng)逐漸走向成熟,并將最終取代模擬電視技術(shù),為我們提供更加優(yōu)質(zhì)的服務(wù)。數(shù)字電視地面廣播作為數(shù)字電視標準中最為復(fù)雜的一個,在我國有著廣闊的應(yīng)用前景。從系統(tǒng)的總體結(jié)構(gòu)、工作流程、軟件接收機等方面描述了基于dtv的定位系統(tǒng)方案,對定位系統(tǒng)的基礎(chǔ)——數(shù)字電視接收機的工作原理做了詳細的分析,簡要地給出了定位實現(xiàn)的原理。
關(guān)鍵詞:無線定位;數(shù)字電視;信號;方案 1 數(shù)字電視廣播信號無線定位概述 1.1 無線電定位的概念 同時接收多個已知空間坐標和時間基準的無線電發(fā)射源的輻射信號,可以確定接收端用戶所在的地理位置,即經(jīng)度、緯度和高程(海拔高度)。
隨著超大規(guī)模集成電路(vlsi)工藝的進步,基于電纜或衛(wèi)星傳輸?shù)臄?shù)字電視(dtv)系統(tǒng)已在全球范圍廣為使用。dtv地面廣播系統(tǒng)也已開始大規(guī)模建設(shè),在全球不同區(qū)域逐漸形成以各自廣播標準為基礎(chǔ)的數(shù)字電視和數(shù)字聲音廣播網(wǎng)。與gps相比,dtv定位有以下優(yōu)點:定位誤差小,可達1m量級;市區(qū)定位概率高,還可滿足室內(nèi)定位要求;定位實時性好;信號處理要求低,處理設(shè)備少,功耗低;可利用現(xiàn)有的dtv基礎(chǔ)設(shè)施,無需改變就可用作定位。1.2 數(shù)字電視地面廣播與標準
數(shù)字電視地面廣播與數(shù)字衛(wèi)星廣播相比較,有容易普及、接收價格低廉的特點;與數(shù)字有線電視廣播比較,則不易受城市施工建設(shè)、自然 災(zāi)害、戰(zhàn)爭等因素造成的 網(wǎng)絡(luò) 中斷影響,因此在傳輸狀況、應(yīng)用需求等方面,地面?zhèn)鬏敺绞礁訌?fù)雜,全球各地在地面數(shù)字電視傳輸系統(tǒng)方案的選擇上爭議也最大。
世界各國對于數(shù)字電視地面廣播進行了長期研究。基本形成了美國的atsc,歐洲的dvb-t和日本的isdb-t三大標準。我國模擬電視采用的是歐洲的pal制式,因此要向數(shù)字電視過渡基于 dvb-t標準開發(fā)數(shù)字電視地面廣播系統(tǒng)是切實可行的。基于dtv數(shù)字電視廣播信號無線定位系統(tǒng)方案的實現(xiàn)
2.1 系統(tǒng)結(jié)構(gòu)設(shè)計
整個系統(tǒng)的組建可以劃分為兩大部分:發(fā)射和接收。發(fā)射部分建在 dtv 地面廣播信號發(fā)射臺。對于按 dvb-t 標準發(fā)射的電視信號來說,首先要為不同發(fā)射臺分配不同的系統(tǒng)標識碼(id),再將發(fā)射臺的空間坐標、發(fā)射時間和標識碼等信息進行信道編碼,最后通過 dtv 數(shù)字廣播系統(tǒng)實現(xiàn)信號發(fā)射。而對于按 dmb-t 標準發(fā)射的信號來說,由于在發(fā)射信號中已經(jīng)加入幀號、基站識別碼、起始發(fā)射時間,只要將發(fā)射臺的坐標預(yù)先存儲在接收機的處理器中即可。
基于數(shù)字廣播電視信號的無線定位系統(tǒng)特征在于通過接收多個空間坐標已知的數(shù)字地面發(fā)射臺的信號,確定接收者的空間坐標。2.2 系統(tǒng)工作流程
本文定位方法是建立在無線電信號廣播發(fā)射系統(tǒng)上的,系統(tǒng)的工作步驟如下:
(1)接收信號:由天線接收到的電視信號經(jīng)射頻放大后下變頻為中頻信號;(2)通過模擬/數(shù)字(a/d)變換完成中頻信號的數(shù)字化;
(3)在數(shù)字信號處理器(dsp)內(nèi)完成信號的同步跟蹤、解調(diào)和解碼任務(wù),建立信號載波和碼同步跟蹤回路;
(4)將數(shù)字電視系統(tǒng)廣播數(shù)據(jù)幀的時間間隔作為系統(tǒng)觀測的基本時間單位,排定以數(shù)據(jù)幀間隔或其倍數(shù)作為觀測間隔,確定觀測時間序列;
(5)已預(yù)先排定的觀測序列時間定時從同步跟蹤環(huán)路提取出一個數(shù)字電視發(fā)射源的原始偽距觀測值,以及通過解調(diào)和解碼后的數(shù)據(jù)得到該發(fā)射源標識和空間坐標信息;
(6)重復(fù)步驟(5)觀測跟蹤所有在有效測量范圍內(nèi)的數(shù)字電視發(fā)射臺;將所有得到的信息送入偽距解算方程,即從接收跟蹤環(huán)路提取得到各發(fā)射源的偽距值和發(fā)射源空間坐標值,計算 出最終接收天線的空間位置坐標,并換算為接收系統(tǒng)的定位信息:包括位置、速度和加速度,這些信息為基本導(dǎo)航定位信息;
(7)測量隨后各數(shù)字電視廣播數(shù)據(jù)幀接收時刻,得到屬于該觀測時間點所有有效同步幀頭的偽距信息;(8)以步驟(6)得到的基本導(dǎo)航定位信息,依次代入步驟(7)中的偽距信息和接收時間信息,完成基于順序雙濾波器平滑算法的計算,最終輸出系統(tǒng)最優(yōu)定位信息。
2.3 軟件接收機的流程實現(xiàn)
對于 dvb-t標準來說,同步部分利用時域保護間隔和頻域?qū)ьl信號,估計并跟蹤時域 fft 窗口位置,同時估計由于收發(fā)端上下變頻引起的頻偏;采樣時鐘同步估計得到收發(fā)晶振不能完全匹配帶來的采樣時鐘誤差,經(jīng)數(shù)字鎖相環(huán)使收發(fā)采樣時鐘同步。
對于dmb-t標準,將傳統(tǒng)的dvb-t系統(tǒng)中的cp 由一段 pn序列取代,而在idft幀體中不插入任何導(dǎo)頻。pn幀頭既作為訓(xùn)練序列用于同步和信道估計,又在客觀上起保護間隔的作用。dmb-t的每一幀采用不同的pn頭作為幀標志,在發(fā)射端對pn頭采用bpsk調(diào)制以獲得可靠的傳輸效果;在接收端則通過同樣的pn序列發(fā)生器產(chǎn)生本地pn序列,并與接收信號的pn碼幀頭進行時域相關(guān),從而完成幀同步、頻率同步、時間同步、信道傳輸特性估計等一系列同步運算。
點擊咨詢 