彩票行业实时数据交换与监测组网解决方案

彩票行业实时数据交换与监测组网解决方案：    

一、体育彩票中心销售网点现状
体育彩票中心现有网点分散在全国各省、各市、州、县，以及经济条件较好的乡镇，需将所有销售网点进行联网，实现数据的实时交换，以及对各网点的在线监控。现今体育彩票中心销售网点现状如下：

1 、各网点与中心之间使用 MODEM 通过电话线点对点拨号连接，需要在中心机房设置 1000 多 MODEM 点，占用空间较大，设备维护困难，不利于进一步扩大网点数；

2 、由于使用拨号上网，长时间在网，通信费用较高，且成都以外地区拨号为长途，成本更高，为降低成本，各网点只有每天两次定时登录中心服务器下载交换所需数据，中心对各销售网点的销售数据不能及时收集整理和实时监控。

二、解决方案设计原则
北京泰亚东方通信设备有限公司将依托于中国移动高质量的网络及丰富的运营经验，本着：方案设计上体现一个 " 新 " ，功能应用上体现一个 " 全 " ，性能价格比体现一个 " 省 " ，服务方面要体现一个 " 优 " 的原则，为体育彩票系统提供质量好、安全性高的综合电信行业应用整体解决方案。

1 、先进性

网络建设应有高起点、充分采用先进成熟的网络技术，实现实时数据、非实时数据、语音与视频的综合应用。网络设计以满足当前的业务功能为主，兼顾考虑未来的发展趋势，在方案中采用新技术、新功能，既要满足当前信息交流与资源共享，同时又能满足今后一段时间内业务发展的需求。

2 、可靠性

网络设计必须保证网络中的设备、电路均安全可靠，关键设备、电路要有备份，并采用先进的容错技术和故障处理技术，保证数据传输的安全可靠，保证网络可用率达到使用要求，为科技信息资源的畅通利用，为科学化管理提供有效的计算机网络保证。

3 、安全保密性

网络设计必须制定出一套完善的网络传输安全和信息安全保证和防范措施，以保证数据在传输和处理过程中的安全性。

4 、可扩充性

现有网络应能够在不影响网络用户正常使用的情况下，灵活、方便地进行网络扩容。要考虑具备未来升速方便、调整网络结构配置灵活，以满足业务的不断发展、业务量的逐步增加，并为体育彩票中心其它业务提供网络服务。

三、体育彩票销售机 CDMA 联网应用
北京泰亚东方通信设备有限公司经过长期的摸索和实践，总结出了一个通信稳定、低成本的无线传输解决方案。

•  组网图如下：

体育彩票销售机 CDMA 联网网络结构图

2 、彩票机传输数据采用 CDMA 1x 无线数据业务承载平台，此设计方案可以在全省实现覆盖，以保证所有销售网点时实数据交换。根据体育彩票中心的需求和特点，推荐采用 VPN 专用网方式进行组网，其优点是安全性和保密性强；

3 、彩票机终端需要装备 CDMA 1x Module ，即一张 CDMA 1x 数据卡，并开发相应程序，实现连接；联通可协助体彩中心一起完成该工作。

4 、彩票中心服务器采用 2M 数据专线方式与联通连接；采用 2M 专线方式，将能有效保证信息的绝对安全和可靠。 彩票中心除设有接收来自彩票机终端的信息的服务器外，还需要建设 VPN AAA 服务器。

示例如下：

终端机              PDSN                 AAA                VPN 服务器                 

四、无线传输方式的优势
北京泰亚东方通信设备有限公司充分利用中国联通 CDMA 1X 网络，有 CDMA 网络覆盖的地方就能够传输数据。跟传统体育彩票销售机联网系统相比，无线传输具有如下优势：

（ 1 ） 网络架构稳定。

（ 2 ）设备安装简单。

（ 3 ） CDMA 1X 资费便宜，计费合理。 CDMA1X 资费包月比有线电话网络资费还便宜。

（ 4 ） CDMA 1X 能最好地支持频繁的、少量突发型数据业务。通信质量稳定可靠，永不掉线。

（ 5 ） CDMA1X 网络接入速度快，提供了与现有数据网的无缝连接。由于 CDMA1X 网本身就是一个分组型数据网 , 支持 TCP/IP 、 X.25 协议，因此无需经过 PSTN 等网络的转接，直接与分组数据网（ IP 网或 X.25 网）互通，接入速度仅几秒钟，快于电路型数据业务。采用 TCP/IP 协议，较以前的无线数据网络（集群，双向传呼， GSM 短信息）而言，网络接入更加直接方便。

五、 CDMA 1X 无线接入的安全性
数据中心可通过到中国联通 CDMA 网中数据网 (VPDN) 接入，采用 VPDN 方式成本比较低，安全性比较高，可充分保障速度和网络服务质量。

网中数据网（ VPDN ）业务提供方案如下图所示。

按照上述网中数据网的示意图，联通网中数据网可以提供 5 级业务安全保障，从而 充分保证网络中数据的安全。

第一级安全保证： CDMA 网络本身的安全性

目前世界上使用的移动通信网络主要有两种： GSM 和 CDMA 。与 GSM 相比， CDMA 网络系统在安全保密方面具有很大优势。 CDMA 本来就是起源军事保密技术，在战争期间广泛应用于军事领域，具有抗干扰、安全通信、保密性好的特性。进行移动手机信号的窃听一般使用以下三种方法。首先，需要捕捉到通信信号。在空间中充满了各种各样的无线电波，用户手机信号就混杂在其中。要想窃听某一个用户的通话，首先必须捕捉到这个用户手机发出的特定的电磁波。由于 CDMA 系统采用扩频技术，经过扩频以后的有用信号的频谱被大大地展宽了，用户信号隐蔽在互不相关的信号中，要想捕捉到这一有用信号非常困难。因此，窃听器捕捉不到，也无法识别出哪些是 CDMA 手机用户的通信信号，哪些是噪音。其次，窃听器必须锁定手机用户通信的信号，继而才能分析和破解信息。而 CDMA 采用快速切换功率控制技术，即便是窃听设备捕捉到了用户手机信号，也不能锁定快速功率切换下的有用信号，因此，快速功率切换让 CDMA 信号很难锁定。第三，需要破解用户信息编码。而 CDMA 采用伪随机码技术，用长达 42 位的伪随机码来标识区分用户，每次通话都有 4.4 万亿种可能的排列，窃听器很难破译出 CDMA 的编码。所以 CDMA 技术本身就很安全。

第二级安全保证： CDMA 网络侧的 AAA 认证

AAA 是指认证（ Authentication ）、授权（ Authorization ）、计费（ Accounting ）三个过程，其中：

认证是，用户在使用网络系统中的资源时对用户身份的确认。这一过程，通过与用户的交互获得身份信息（像用户名－口令、生物特征信息等），然后提交给认证服务器；认证服务器对身份信息与存储在数据库里的用户信息进行核对处理，然后根据处理结果确认用户身份是否正确。

授权是，网络系统授权用户以特定的权限使用其资源，这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限，如授予 IP 地址，准许访问时间等。

计费是，网络系统收集、记录用户对网络资源的使用信息，以便向用户收取资源使用费。以互联网业务提供商 ISP 为例，用户的网络接入使用情况可以按流量或者时间准确地记录下来。

认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益，又能有效地保障网络系统安全可靠地运行。

CDMA 网络侧的 AAA 认证过程是对用户的域名进行鉴权认证，网中数据网的用户（ VPDN 成员）是以 username@xxx.133vpdn.qd 形式登录的（用户在联通登记入网时，联通分配其一个域名 xxx.133vpdn.qd ）。 CDMA 网络侧的 AAA 服务器对登录用户的域名和该用户的 IMSI 进行绑定审核验证。验证通过后，方可接入联通 CDMA 网络。

第三级安全保证： CDMA 网络和用户网络之间的 VPN 链接

CDMA 网络和用户网络之间可以采用专线链接，也可以使用 Internet 链接。使用 Internet 链接必须考虑安全性，因此，可以使用 VPN 将二者利用 Internet 链接起来。

VPN 技术非常复杂，涉及到通信技术、密码技术和现代认证技术。主要包含两种技术：隧道技术与安全技术。

VPN 是在不安全的 Internet 上传输的，传输内容可能涉及到企业的机密数据，因此安全性非常重要。 VPN 中的安全技术通常由加密、认证及密钥交换与管理组成。主要有认证技术，加密技术，秘钥管理与交换技术。

第四级安全保证：用户网络侧的安全防火墙（ FW ）

防火墙技术是目前用来实现网络安全措施的一种主要手段，主要是用来拒绝非法用户的访问，阻止非法用户存取敏感数据，同时允许合法用户顺利访问网络资源。防火墙实际上是一种访问控制技术，在某个机构的内部网络和不安全网络之间设置障碍，阻止对信息资源的非法访问，也可以使用防火墙阻止保密信息从受保护网络上的非法输出。

用户网络可以选用适合于本单位的防火墙产品来保证自己网络数据的安全。

第五级安全保证：用户网络侧的 AAA 鉴权认证

用户网络侧的 AAA 鉴权认证可以实现对 VPDN 成员的身份认证。与第二级的安全保证不同，本级的 AAA 服务器将鉴别 VPDN 成员的用户名和密码的正确性。

username@xxx.133vpdn.qd 中的域名将是中国联通公司提供给专网接入用户的专有统一域名，用户名（ username ）可以是 VPDN 中每个成员的手机号码或者其它标识。 VPDN 中成员的用户名和密码等资料将保存在用户专网侧的 AAA 服务器，具有很好的安全性和管理的灵活性。

体育彩票销售机GPRS联网解决方案
一、体育彩票中心销售网点现状
体育彩票中心现有网点分散在全国各省、各市、州、县，以及经济条件较好的乡镇，需将所有销售网点进行联网，实现数据的实时交换，以及对各网点的在线监控。现今体育彩票中心销售网点现状如下：

1 、各网点与中心之间使用 MODEM 通过电话线点对点拨号连接，需要在中心机房设置 1000 多 MODEM 点，占用空间较大，设备维护困难，不利于进一步扩大网点数；

2 、由于使用拨号上网，长时间在网，通信费用较高，且成都以外地区拨号为长途，成本更高，为降低成本，各网点只有每天两次定时登录中心服务器下载交换所需数据，中心对各销售网点的销售数据不能及时收集整理和实时监控。

二、解决方案设计原则
北京泰亚东方通信设备有限公司将依托于中国移动高质量的网络及丰富的运营经验，本着：方案设计上体现一个 " 新 " ，功能应用上体现一个 " 全 " ，性能价格比体现一个 " 省 " ，服务方面要体现一个 " 优 " 的原则，为体育彩票系统提供质量好、安全性高的综合电信行业应用整体解决方案。

1 、先进性

网络建设应有高起点、充分采用先进成熟的网络技术，实现实时数据、非实时数据、语音与视频的综合应用。网络设计以满足当前的业务功能为主，兼顾考虑未来的发展趋势，在方案中采用新技术、新功能，既要满足当前信息交流与资源共享，同时又能满足今后一段时间内业务发展的需求。

2 、可靠性

网络设计必须保证网络中的设备、电路均安全可靠，关键设备、电路要有备份，并采用先进的容错技术和故障处理技术，保证数据传输的安全可靠，保证网络可用率达到使用要求，为科技信息资源的畅通利用，为科学化管理提供有效的计算机网络保证。

3 、安全保密性

网络设计必须制定出一套完善的网络传输安全和信息安全保证和防范措施，以保证数据在传输和处理过程中的安全性。

4 、可扩充性

现有网络应能够在不影响网络用户正常使用的情况下，灵活、方便地进行网络扩容。要考虑具备未来升速方便、调整网络结构配置灵活，以满足业务的不断发展、业务量的逐步增加，并为体育彩票中心其它业务提供网络服务。

三、 体育彩票销售机 GPRS 联网应用案例
北京泰亚东方通信设备有限公司经过长期的摸索和实践，总结出了一个通信稳定、低成本的无线传输解决方案。

体育彩票销售机 GPRS 联网网络结构图

名词解释：

GGSN ： Gateway GPRS Supporting Node ， GPRS 网关支持节点

SGSN ： Serving GPRS Support Node ， GPRS 服务支持节点

BSS ： Base Station System ，基站系统

四、无线传输方式的优势
北京泰亚东方通信设备有限公司充分利用中国移动 GPRS 网络，有 GPRS 网络覆盖的地方就能够传输数据。跟传统的模拟监控系统和现有的有线监控系统相比，无线传输具有如下优势：

1. 资费便宜，计费合理。 GPRS 包月资费很便宜（详细资费标准请咨询当地 GPRS 服务提供商）。而 GPRS 可以根据通信的数据量和提供的服务质量进行计费。在 GPRS 网中，用户只需与网络建立一次连接，就可长时间的保持这种连接，并且只有在传输数据时才占用信道并被计费，没有数据传输时是不占用信道也不计费的。

2. 设备投资低。传统的 DDN 等专线，需要购买 DTU 或其他专线 Modem ，拨号方式则需要购买 Modem Pool 、普通 Modem 、 ISDN Modem 等设备。而采用 GPRS 无线方式只需要购买 GPRS 无线传输终端即可，投资要小得多。

3. 新增和改变分站点方便。如果采用了 GPRS 方式，用户可随意改变自己的分站点而无须担心线路的维护或在移动时导致的通讯中断。新增新的分站点时也无需进行布线，埋线等牵涉多方的工作。

4. 线路稳定，永不掉线。 GPRS 采用的分组技术，所以能够最好地支持频繁的或少 量突发型的数据业务。

5. 网络接入速度快。 GPRS 登录网络的时间很短暂，相对拨号方式的 1 、 2 分钟，它只需要 30 秒，而且一旦连接，则时刻在线，因此可以提供与现有数据网的无缝连接。

6. 网络覆盖好。现在 GSM 的网络覆盖已经非常完善，而且在大部分的 GSM 网络节点都分布了 GPRS 服务节点，保证无线接入的可行性。

五、 GPRS 无线接入的安全性
1. GPRS无线接入的工作流程：

监控中心通过专线和移动公司 GPRS 网的 GGSN 相连，在移动 GGSN 网元上为煤矿企业设置一个专用的接入 APN 点，从而在矿井使用的移动设备和监控中心内部网络之间构成一条无线虚拟专网（ VPN ）通道，解决了企业提出的内部网络安全性及数据私密性的要求。
移动终端在进行 GPRS 附着时， SGSN 首先向 HLR 查询移动终端所允许使用的 APN ，然后通过 DNS 将 APN 解析成相应的 IP 地址。专用的 APN 在 GGSN 上将体现为专用的网络地址段。由于监控中心通过专线和移动公司连接，此时移动终端己通过此种方式通过 GPRS 相接到企业专网上了。

•  安全性保障

•  第一级安全保障： GPRS 网络本身的安全性

用户认证

GPRS 将使用 GSM 定义的认证过程，其差异是： 该过程是从 SGSN 执行的。 GPRS 认证过程执行用户认证、选择加密算法和加密起始时刻的同步。认证三重系存于 SGSN 中。一旦附着 IMSI ， MSC/VLR 将不通过 SGSN 对移动台认证，也不能位置更新，但在 CS 连接建立期间可以认证移动台。

用户识别码保密

    临时逻辑链路识别码（ TLLI ）用来识别一个 GPRS 用户。 TLLI 和 IMSI 之间的管理只有在移动台和 SGSN 内才能知道。 TLLI 根据 SGSN 安排的 P-TMSI 得到，或者由移动台创建。当移动台处于就绪状态时， SGSN 任何时候都可以重新安排 P-TMSI 。重新安排过程根据 P-TMSI 重新安排过程来执行，或者也可以包含在附着或路由更新过程中

2）第二级安全保障： GPRS 网络侧的 AAA 认证

AAA 是指认证（ Authentication ）、授权（ Authorization ）、计费（ Accounting ）三个过程，其中：

认证是，用户在使用网络系统中的资源时对用户身份的确认。这一过程，通过与用户的交互获得身份信息（像用户名－口令、生物特征信息等），然后提交给认证服务器；认证服务器对身份信息与存储在数据库里的用户信息进行核对处理，然后根据处理结果确认用户身份是否正确。

授权是，网络系统授权用户以特定的权限使用其资源，这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限，如授予 IP 地址，准许访问时间等。

计费是，网络系统收集、记录用户对网络资源的使用信息，以便向用户收取资源使用费。以互联网业务提供商 ISP 为例，用户的网络接入使用情况可以按流量或者时间准确地记录下来。

认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益，又能有效地保障网络系统安全可靠地运行。

GPRS 网络侧的 AAA 认证过程是对用户的域名进行鉴权认证。 GPRS 网络侧的 AAA 服务器对登录用户的域名和该用户的 IMSI 进行绑定审核验证。验证通过后，方可接入 GPRS 网络。

3）第三级安全保障： GPRS 网络和用户网络之间的 VPN 链接

GPRS 网络和用户网络之间可以采用专线链接，也可以使用 Internet 链接。使用 Internet 链接必须考虑安全性，因此，可以使用 VPN 将二者利用 Internet 链接起来。

VPN 是在不安全的 Internet 上传输的，传输内容可能涉及到企业的机密数据，因此安全性非常重要。 VPN 中的安全技术通常由加密、认证及密钥交换与管理组成。主要有认证技术，加密技术，秘钥管理与交换技术。

4 ）第四级安全保障：用户网络侧的安全防火墙（ FW ）

防火墙技术是目前用来实现网络安全措施的一种主要手段，主要是用来拒绝非法用户的访问，阻止非法用户存取敏感数据，同时允许合法用户顺利访问网络资源。防火墙实际上是一种访问控制技术，在某个机构的内部网络和不安全网络之间设置障碍，阻止对信息资源的非法访问，也可以使用防火墙阻止保密信息从受保护网络上的非法输出。

用户网络可以选用适合于本单位的防火墙产品来保证自己网络数据的安全。

5 ）第五级安全保障：用户网络侧的 AAA 鉴权认证

用户网络侧的 AAA 鉴权认证可以实现对 VPDN 成员的身份认证。与第二级的安全保障不同，本级的 AAA 服务器将鉴别 VPDN 成员的用户名和密码的正确性。