流动银行的安全解决方案.docVIP

流动银行的安全解决方案 本方案采用改进的PPP协议作为无线传输协议,网点也设有服务器,因此路由器只完成纯IP交换功能,为节省带宽,IP对TCP报头也需要压缩,PPP采用PREDICTOR算法对报文进行压缩. 改进的PPP协议是我公司在标准PPP协议的基础上开发出来的专用协议，具备标准PPP协议所有功能，实现在异步、低速串行连路上实现数据的可靠、安全传输。 本方案在解决信息安全方面有两个措施： 1．使用PPP协议的CHAP验证， PPP协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。PPP协议将IP，IPX和NETBEUI包封装在PP内通过点对点的链路发送。PPP协议主要应用于连接拨号用户和NAS。 PPP拨号会话过程可以分成4个不同的阶段。　　在第2阶段，客户会PC将用户的身份明发给远端的接入服务器。该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。挑战握手验证协议（CHAP）。挑战-握手验证协议（CHAP）　　CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令（challenge），其中包括会话ID和一个任意生成的挑战字串（arbitrary challengestring）。远程客户必须使用MD5单向哈希算法（one-wayhashingalgorithm）返回用户名和加密的挑战口令，会话ID以及用户口令，其中用户名以非哈希方式发送。　　CHAP不直接通过链路发送明文口令，而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令，所以服务器可以重复客户端进行的操作，并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击（replay attack）.在整个连接过程中，CHAP将不定时的向客户端重复发送挑战口令，从而避免第3方冒充远程客户（remoteclient impersonation）进行攻击。 2．对传输数据进行加密，可以防止在通信过程中数据被截获。数据加密后，即使在传输过程中被截获，由于没有密钥，截获者也看不到数据的明文，从而进一步保证了信息的安全。其中加密算法采用了北邮信息安全中心提供的128位加密算法，北邮信息安全中心国内信息安全方面的权威机构，中心主任杨义先教授，博士导师，长江学者特聘教授，国家级有突出贡献的中青年专家。杨教授及其所领导的课题组拥有众多的国家级和省部级科研项目（比如：国家“973”，国家“863”，国家自然科学基金项目等），到目前为止，杨教授及其所领导的课题组已经在国内外著名学术刊物上发表了高水平的学术论文300余篇，出版学术著作十余部，获得了包括国家发明奖在内的省部级科技大奖二十余项。 汽车上： B# % SYSTEM CURRENT OPERATING CONFIGURATIONS: ! hostname B ! enable password jjjddd ! chat-script gsm abort error abort no carrier at ok atd \t timeout 40 connect \c ! user center password 0 hello interface ethernet 1 ip address 14.1.1.1 255.0.0.0 ! interface serial 1 physical-layer async ip encrypt special ABCDE /*密钥 encapsulation lppp ppp chap host mobile keepalive 20 ip address 100.1.1.1 255.0.0.0 ip tcp header-compression no cdp enable dialer in-band dialer string 01062282679 ppp compression predictor ppp timeout retry 10 lapb k 7 lapb t1 5 lapb n2 8 line inact-timer 600 line speed 9600 line script dialer gsm ! interface serial 2 shutdown ! interface serial 3 shutdown ! interface async 1 ! interface async 2 line exec-timeout 30 0 ! line vty 0 35 ! ! ip route 13.0