中联信通社保卡实时交易系统应用方案

1、数据中心
社保信息中心通过光纤直接和联通中心机房的CDMA1X 网络连接，中心的数据吞吐率大，数据安全保密性强。同时远程点和中心点均处于同一网段IP 地址，通信双方处于对等位置，便于多种业务的开展。
2、远程网点
远程网点采用RW2000-C CDMA路由器，各药店电脑通过 RJ45 接口与RW2000-C相连，刷卡信息由RW2000-C CDMA 路由器对数据进行处理、协议封装后发送到 CDMA VPDN网络。网络对用户的接入地点、时间、数量没有限制，可以随时增减。可以满足乡镇药店、医院和跨地区接入的需求。
3、安全措施
本系统涉及资金交易需要极高的系统安全保障和稳定性。安全保障主要是防止来自系统内外的有意和无意的破环，网络安全防护措施包括信道加密、信源加密、登录防护、访问防护、接入防护、防火墙等。稳定是指系统能够 7 × 24 小时不间断运行，即使出现硬件和软件故障，系统也不能中断运行。数据中心可通过到中国联通 CDMA VPDN 接入，采用 VPDN 方式成本比较低，安全性比较高，可充分保障速度和网络服务质量。我们的解决方案提供 5 级业务安全保障，从而充分保证网络中数据的安全。
（1）第一级安全保证： CDMA 网络本身的安全性
CDMA 本来就是起源军事保密技术，在战争期间广泛应用于军事领域，具有抗干扰、安全通信、保密性好的特性。进行移动手机信号的窃听一般使用以下三种方法。首先，需要捕捉到通信信号。在空间中充满了各种各样的无线电波，用户手机信号就混杂在其中。要想窃听某一个用户的通话，首先必须捕捉到这个用户手机发出的特定的电磁波。由于 CDMA 系统采用扩频技术，经过扩频以后的有用信号的频谱被大大地展宽了，用户信号隐蔽在互不相关的信号中，要想捕捉到这一有用信号非常困难。因此，窃听器捕捉不到，也无法识别出哪些是 CDMA 手机用户的通信信号，哪些是噪音。其次，窃听器必须锁定手机用户通信的信号，继而才能分析和破　解信息。而 CDMA 采用快速切换功率控制技术，即便是窃听设备捕捉到了用户手机信号，也不能锁定快速功率切换下的有用信号，因此，快速功率切换让 CDMA 信号很难锁定。第三，需要破　解用户信息编码。而 CDMA 采用伪随机码技术，用长达 42 位的伪随机码来标识区分用户，每次通话都有 4.4 万亿种可能的排列，窃听器很难破译出 CDMA 的编码。所以 CDMA 技术本身就很安全。
 
（2）第二级安全保证： CDMA 网络侧的 AAA 认证
AAA 是指认证（ Authentication ）、授权（ Authorization ）、计费（ Accounting ）三个过程，其中：
认证是，用户在使用网络系统中的资源时对用户身份的确认。这一过程，通过与用户的交互获得身份信息（像用户名－口令、生物特征信息等），然后提交给认证服务器；认证服务器对身份信息与存储在数据库里的用户信息进行核对处理，然后根据处理结果确认用户身份是否正确。
授权是，网络系统授权用户以特定的权限使用其资源，这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限，如授予 IP 地址，准许访问时间等。
计费是，网络系统收集、记录用户对网络资源的使用信息，以便向用户收取资源使用费。以互联网业务提供商 ISP 为例，用户的网络接入使用情况可以按流量或者时间准确地记录下来。
认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益，又能有效地保障网络系统安全可*地运行。
CDMA 网络侧的 AAA 认证过程是对用户的域名进行鉴权认证，网中数据网的用户（ VPDN 成员）是以 username@xxx.133vpdn.qd 形式登录的（用户在联通登记入网时，联通分配其一个域名 xxx.133vpdn.qd ）。 CDMA 网络侧的 AAA 服务器对登录用户的域名和该用户的 IMSI 进行绑定审核验证。验证通过后，方可接入联通 CDMA 网络。
 
（3）第三级安全保证： CDMA 网络和用户网络之间的 VPN 链接
第二层隧道协议— L2TP ，该协议是国际CDMA 网络和用户网络之间可以采用专线链接，也可以使用 Internet 链接。使用 Internet 链接必须考虑安全性，因此，可以使用 VPN 将二者利用 Internet 链接起来。
VPN 技术非常复杂，涉及到通信技术、密码技术和现代认证技术。主要包含两种技术：隧道技术与安全技术。
隧道技术的基本过程是在源局域网与公网接口处将数据封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，被封装的数据包在互联网上传播时的所经过的路径被称为“隧道”。常用的隧道协议有：
      点到点隧道协议— PPTP （现已基本淘汰）；　
       标准隧道协议，具有 PPTP 协议以及第二层转发协议（ L 2F ）的优点，可以使 PPP 包以隧道方式通过各种网络，包括 ATM 、 SONET 、帧中继。但没有任何加密措施；
       IPSec 协议，该协议是一个范围广泛、开放的 VPN 安全协议，工作在网络层。它提供所有在网络层上的数据保护和透明的安全通信。可以在两种模式下运行：一种是隧道模式，一种是传输模式。在隧道模式下 IPSec 把 IPv4 数据包封装在安全的 IP 帧中；传输模式是为了保护端到端的安全性，不会隐藏路由信息。 目前一种趋势是将 L2TP 和 IPSec 结合起来：用 L2TP 作为隧道协议，用 IPSec 协议保护数据。市场上大部分 VPN 采用这类技术。
       SOCKS v5 协议， SOCKS v5 工作在 OSI 模型中的第五层——会话层，可作为建立高度安全的 VPN 的基础。 SOCKS v5 协议的优势在访问控制，因此适用于安全性较高的 VPN ， SOCKS v5 现在被 IETF 建议作为 VPN 的标准。
         VPN 是在不安全的 Internet 上传输的，传输内容可能涉及到企业的机密数据，因此安全性非常重要。 VPN 中的安全技术通常由加密、认证及密钥交换与管理组成。主要有认证技术，加密技术，秘钥管理与交换技术。
 
（4）第四级安全保证：用户网络侧的安全防火墙
防火墙技术是目前用来实现网络安全措施的一种主要手段，主要是用来拒绝非法用户的访问，阻止非法用户存取敏感数据，同时允许合法用户顺利访问网络资源。防火墙实际上是一种访问控制技术，在某个机构的内部网络和不安全网络之间设置障碍，阻止对信息资源的非法访问，也可以使用防火墙阻止保密信息从受保护网络上的非法输出。
实现防火墙的主要技术有：数据包过滤，应用网关和代理服务等。包过滤（ Packet Filter ）技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、 TCP/UDP 源端口号、 TCP/UDP 目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过，其核心是安全策略即过滤算法的设计。应用网关（ Application Gateway ）技术是建立在网络应用层上的协议过滤，它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关可以严格控制某些易于登录和控制的所有的输出输入通信环境，以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录，如什么样的用户在什么时间连接了什么站点。在实际工作中，应用网关一般使用专用工作站系统。代理服务器（ Proxy Server ）作用在应用层，用来提供应用层服务的控制，起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求，拒绝外部网络其它节点的直接请求。用户网络可<