社保单位CDMA1X网络互联方案.docx

社保单位CDMA1X网络互联方案.docx

《社保单位CDMA1X网络互联方案.docx》由会员分享，可在线阅读，更多相关《社保单位CDMA1X网络互联方案.docx（29页珍藏版）》请在冰豆网上搜索。

社保单位CDMA1X网络互联方案

社保单位网络互联方案

2007年12月

神州数码网络有限公司

目录

项目背景3

一、总体网络方案4

1.1网络结构示意图5

1.2方案实现5

1.2.1定点医院和药店5

1.2.2社保数据中心6

1.2.3CDMA1X网络6

1.2.4联通光纤专线7

1.2.5网络管理7

二、无线接入优势8

2.1覆盖范围广，扩容无限制8

2.2数据传输速率高、通信费用低8

2.3系统的传输容量大8

2.4 良好的实时响应与处理能力8

2.5安全、专有的应用网络。

8

2.6布放迅速、维护简单9

2.7灵活机动、随时移机9

三、无线传输方案设备清单9

四、相关产品介绍10

4.1DCBI-IMSI500认证计费管理软件10

4.2DCFW-1800E-IPSEC加密防火墙15

4.3DCWL-280CR-VD无线路由器17

五、相关资质文件22

5.1公司营业执照22

5.2相关证书23

六、设备价格清单25

项目背景

我国目前实行的社会保险制度主要指的就是养老保险、医疗保险、失业保险、工伤保险和生育保险制度（简称五保）。

随着国家积极推进保险社会化，在全国范围内实行大社保计划的改革措施，目前各省市社会保障局所辖区域内的医保机构都已开展了社保卡刷卡购药业务，所有参加社保的人员只要使用社保局统一发给的社保卡即可在各药店和医院购药。

随着刷卡业务的开展和普及，为保障刷卡业务的真实性和统一性，建立实时交易系统已变得越来越重要。

基于城域范围的分散点联网一直是困扰社保中心的一个难题。

目前经常考虑的方式有：

●采用有线拨号方式

采用有线拨号方式而设立投注点需要先申请电话，后布线等复杂工作，实施周期长。

传统有线方式的线路费用较高，无法实现实时在线。

如果保持时时在线的话，电话专线的费用每月至少达两千元。

●基于常规地面链路连接方式，PSTN,ISDN,ADSL

这几种方式应用实施周期长，可重用性差，链路连接实时性差，链路连接不稳定，月租费用、使用费用也较高。

●基于电信DDN方式

这种方式可以实现数据的采集和可靠控制功能，但初装费用与租用费用比较高。

城域数据采集特点是数据量小（基于K级,大多数情况小于10K），租用DDN专线浪费带宽，性能价格比低。

一经敷设，工作面范围移动不灵活，不利于办公地点的灵活易地，同时线缆敷设工期长，成本高。

●自己敷设电缆

很少项目会在复杂的城区自己敷设电缆，先不考虑成本，只看市政实施与施工进度就足够让人头疼。

敷设宽带的专有电缆不可行，为了传输几Kbps的数据浪费了大量的人力和物力，影响工程进度并大大提高了工程预算。

综上不难发现，从通信速度、稳定性、线路布设、申请手续，还是实际开支各方面考虑，有线连接方式都不是理想的解决方案 。

有线布网方式的诸多不足之处，使人们将目光投向了日益发展完善的无线网络技术。

如今，无线应用突出的便捷性、安全性和稳定性渐渐受到青睐，已经在越来越多的领域开始替代传统的有线技术了。

神州数码社保无线传输解决方案的核心是其DCWL-280无线路由器系列产品。

该系列产品采用的是2.5代的移动通信技术。

相对于传统的有线连接方式而言，无线网络方案具有实时在线、按数据流量计费、登录时间短、数据传输速度快、覆盖范围广、线路租金低、不受地域环境制约等诸多优势，可以通过无线方式较好地解决数据传输问题。

一、总体网络方案

开展社保卡刷卡业务的定点药店和医院数量众多，分布在全市范围内，地理位置分散，部分乡镇医院和药店位于偏远地区。

针对社保实时刷卡业务的以上特点，联通公司在组网方面提出“有线＋无线”的方案，在具备线路资源、施工条件的医院和药店采用2M光纤线路，对于部分无法敷设光纤的医院药店，采用联通具备优势的CDMA1X无线传输方案。

CDMA1X无线网络传输速率80－120Kbps，完全可以满足社保刷卡对系统响应时间的要求；5级安全保证措施，安全性高；覆盖范围广，系统容量大，只要有CDMA手机信号的地方都可使用；施工和维护简单灵活，开通迅速，并可根据需要随时移机。

1.1网络结构示意图

1.2方案实现

本方案由四个部分组成：

（1）每个定点医院或者药店至少安装一台CDMA无线路由器。

（2）社保数据中心安装一套固网设备，所有前端定点医院和药店共享这套固网设备接入社保中心应用系统。

固网设备包括L2TP路由器、防火墙和AAA服务器各一台。

我们建议，为提高系统的可靠性，固网设备中的防火墙和AAA服务器可以各增加一台，搭建双机热备份系统。

（3）中国联通CDMA1x网络。

（4）联通专线。

从联通PDSN路由器到社保中心机房敷设光缆，开通大带宽专线。

此专线既可用于2M光纤站点访问中心应用系统，也可做为采用无线传输的站点访问中心应用系统。

1.2.1定点医院和药店

定点医院和药店通过以太网接口连接DCWL-280CRCDMA无线路由器，由联通公司负责开通VPDN业务。

当同一地点有有超过一台以上的电脑时，可以先通过交换机组成局域网，然后上联到CDMA路由器，以共享带宽方式访问总部数据中心。

考虑CDMA的实际带宽为80-120Kbps，建议共享同一台CDMA路由器的电脑不超过3台，如果多于3台，可以考虑再增加一台CDMA路由器分担流量。

1.2.2社保数据中心

社保数据中心需要配置一台支持L2TP协议的路由器、一台支持IPSEC功能的防火墙和一台AAA服务器。

L2TP路由器接入联通专线，提供稳定和高速的传输链路，同时在L2TP隧道体系中做为LNS，终结L2TP隧道，完成与医院和药店无线路由器的PPP协商和认证；AAA服务器分配和储存用户名、密码，并实现用户名/密码与联通UIM卡的绑定，AAA服务器接收L2TP路由器的认证请求并返回认证结果；存储无线路由器的上下线情况，对所有采用CDMA无线传输方式的站点进行管理。

防火墙用来隔离前端无线网络和社保数据中心服务器，提供对数据中心服务器的安全控制，防止非法访问和攻击，建议在防火墙上只开放与业务相关的特定端口，关闭其他端口，尽可能减少被攻击的可能性。

1.2.3CDMA1X网络

中国联通为企业用户提供VPDN业务，采用L2TP隧道技术为用户建立虚拟专用网络。

在L2TP实现体系中，联通的PDSN做为LAC，放在社保数据中心的L2TP接入路由器做为LNS，整个VPDN业务的身份认证采用“二次认证”模式。

当无线路由器进行PPP拨号时，将用户名和密码发送到联通PDSN，首先与PDSN进行部分认证，PDSN根据用户名的域名和UIM的IMSI号，部分识别是特定的集团用户，并据此解析出相应用户LNS的IP地址，将PPP协商数据包转发到社保数据中心的LNS路由器，路由器通过查询AAA服务器，以便确认收到的用户名、密码以及UIM卡号是否合法，如果合法，L2TP路由器建立与前端无线路由器的PPP连接并为无线路由器分配IP地址，同时记录无线路由器上线时间。

至此，无线路由器已经建立与社保数据中心应用系统的通讯链路，可以开始业务操作。

1.2.4联通光纤专线

从联通机房PDSN到社保数据中心的专线应考虑远端站点数量和同时并发带宽的要求，通过此专线，采用2M有线方式的站点和采用CDMA1X无线方式的站点都可访问社保数据中心应用系统。

无线方式对社保数据中心专线带宽的估算：

以采用CDMA1X无线方式的站点（包括医院和药店）数量为50个计算，考虑定点药店刷卡传输数据的非持续性特点，其中同时并发传输数据的站点可按照20个计算，每个站点所占带宽按照100Kbps（CDMA1X最大实际传输速率）计算，因此为所有采用无线方式的站点应预留至少2Mbps的带宽。

有线方式站点汇聚后的带宽需求单独计算。

1.2.5网络管理

神州数码网络提供的DCBI-3000-IMSI是一套可跨平台管理（支持Linux和Windows系统）、基于专用硬件的、更加成熟稳定的第3代安全接入控制与认证计费综合管理系统。

除具备通常的AAA（认证、授权、计费）服务器功能外，还根据中国联通VPDN业务的特殊要求进行了定制，安全性和可靠性更高，可对采用无线传输方式的定点医院和药店无线路由器进行远程管理。

●支持对联通UIM卡IMSI号码的认证，并可与用户名/密码绑定，确保终端合法性

●支持联通UIM卡与IP地址的绑定，保证同一个终端每次登录得到相同的IP地址

●可提供终端上下线情况统计报告

二、无线接入优势

2.1覆盖范围广，扩容无限制

构建社保实时交易系统要求数据通信覆盖范围广，扩容无限制，接入地点无限制，能满足城区、乡镇和跨地区的接入需求。

由于开展社保卡刷卡业务的药房和医院数量众多，分布在全市范围内，而且地理位置分散，大范围推广应用时，还要考虑很大部分乡镇医院和药房的位于偏僻地区，采用有线组网方式难度较大。

 另外，还必须考虑今后系统扩充的可能，必须具有良好的可扩展性。

由于目前CDMA无线广域网已覆盖绝大部分地区，能够满足社保实时交易系统对覆盖范围的要求。

2.2数据传输速率高、通信费用低

每个刷卡设备每次刷卡业务的数据传输量在几K至10Kbps之间，目前CDMA实际数据传输速率在80-120Kbps左右，完全能满足本系统数据传输速率（≥10Kbps）的需求。

各药店和医院的通信费用必须与其承受能力相适应，否则，将给推广工作带来困难。

如果采用传统的有线方式建立社保实时交易系统，必须租用专线或电话线进行连接。

    由于业务点必须与中心随时保持连线状态，而每次刷卡业务的数据量很小（在几K至10K之间），线路资源利用率很低，平均每一个销售点每月的线路费用为800～1200元。

而如果采用CDMA通信方式，由于CDMA采用按数据流量计费的方式，资源利用率高，月通信费用将在200元之内。

2.3系统的传输容量大

社会保障系统要和每一个社保认证的药店、医院和银行等实现实时连接，以实现社保用户数据的统一性、交易的实时性。

由于药店和医院数量众多，系统要求能满足突发性数据传输的需要，而CDMA技术能很好地满足传输突发性数据的需要。

DCBI-IMSI可以容纳上万个终端同时在线。

2.4 良好的实时响应与处理能力

由于CDMA具有“始终在线”特性，无需拨号，使业务认证访问服务变得非常简单、快速。

2.5安全、专有的应用网络。

上述CDMA无线接入方案应用先进的网络加密手段，使用了CDMA、L2TP、IPSEC、3DES等技术对数据传输任何一个环节都进行安全加密处理。

2.6布放迅速、维护简单

无线项目工期短、网络结构简单、建设成本合理、维护成本低廉，网络具有良好的拓展能力，能够根据将来需求平滑快速升级。

对现有应用及系统不做任何更改，以免影响现有系统运行，可以根据项目需要在应用上适当拓展。

而且现场需要维护的仅一台无线路由器和一台业务终端，随时可以根据情况更换增加设备，达到对业务即开即用的水平。

2.7灵活机动、随时移机

对于医院、药店等用户来说，由于通信费用较低，享受到了实惠。

另外，由于接入设备可以移动，当药店搬迁时设备可随之迁移并可继续使用，可以保护用户原有投资，适合于药店等的经营特点。

三、无线传输方案设备清单

型号：

产品描述：

定点医院和药店（每个医院/药店至少1台）

DCWL-280CR

CDMA无线路由器。

路由器（1台）

DCR-2650E-VPN路由器

支持L2TP。

2个10/100Base-TXLAN口，2个WAN固化接口，2个接口卡扩展插槽，1个备份口，1个配置口，模块化路由器

防火墙（1台。

双机热备需同型号2台）

DCFW-1800E-IPSEC

神州数码防火墙（无线应用增强型）

性能参数：

吞吐量400M、并发连接数1,000,000、每秒新建连接数19,000、MTBF：

8万小时

物理参数:

1U机架式硬件产品,内置4个10/100M自适应以太网电口，适合多种复杂网络链路下的接入需求。

神州数码统一威胁管理系统集合了防火墙、防病毒网关、IPS/IDS入侵防御、防垃圾邮件网关、VPN网关、流量整形网关、Anti-Dos网关、用户身份认证网关、审计网关为一体。

专为中型网络的功能性用户而设计，神州数码统一威胁管理系统适合于各种用户的安全需求，在未部署安全边界产品的网络中提供全面的安全防护，而在已有FW/IDS/IPS的网络中提供更为强大的病毒防护（11万病毒库,在线更新）、垃圾邮件防护、流量整形、VPN等功能。

AAA认证服务器（1台。

双机热备需同型号2台）

DCBI-3000-IMSI500企业版

AAA高可靠安全接入综合系统企业版（500用户）

功能特性：

神州数码企业级高可靠性AAA服务器，具有增强的AAA功能。

包含500用户。

支持增强无线数传、VPN、802.1X、增强Web、PPPoE等认证方式，并可实现在数据和运行时的双机热备功能，确保企业级关键应用的可靠运行。

四、相关产品介绍

4.1DCBI-IMSI500认证计费管理软件

 神州数码网络有限公司DCBI-IMSI是一种可跨平台管理的、基于专用硬件的、更加成熟稳定的第3代安全接入控制与认证计费综合管理服务器。

该系统采用标准Radius协议、扩展Radius协议和神州数码为园区网安全运营特点所扩展的增强型802.1x协议，来实现对标准/增强型的802.1x、PPPoE、联通IMSI协议、Web+DHCP的认证授权计费等功能，并与神州数码增强型802.1x、PPPoE、Web+DHCP的系列设备结合，实现灵活、安全的用户认证、管理和计费。

主要特征

支持802.1X、web、联通IMSI等认证协议

实现队用户帐号、PC机IP地址、PC机MAC地址、交换机IP地址、交换机端口、V1anID、用户Email帐号等多属性的任何绑定，实现精确的用户管理

防止用户私设ProxyServer

防止用户私设DHCPServer

防止用户私设IP地址冲突

防止非法用户接入，防止帐号盗用

支持强制用户下线功能

支持帐号漫游

账号唯一性

在线用户实时查询功能

支持批量用户处理

支持对非法用户的实时管理，如实时下线

支持用户自服务功能，包括用户在线修改密码、修改资料、查询上网记录等

支持时段接入控制功能，可以设置用户在不同的时间对网络的访问权限

支持内网802.1x安全控制、外网DCBA-3000/8000认证计费的二次转一次认证

1. 快速高效的并发认证计费处理能力

每秒可处理认证计费报文的能力为1500-2000个用户/秒。

在开户2万人的情况下，实测处理认证的能力最小值为1538个用户/秒。

而市场上的一般同类产品的处理能力在20-50个用户/秒。

DCBI-3000之所以有如此之高的处理能力，是因为采用独特的全内存方式的Hash算法，并且采用了多线程并发处理方式。

2. 运营商级的可靠性

DCBI-IMSI是一款电信运营级的产品，采用操作系统级任务对认证计费服务进程的状态进行监控。

如果DCBI-IMSI的各个主要进程出现进程状态错误、或进程死掉等问题，会由系统监控模块进行修正，从而保证了系统电信级的高可靠性及稳定性。

3. 海量用户处理能力

由于DCBI-3000在快速并发能力和稳定性上的优势，使得DCBI-IMSI对海量用户进行认证计费管理成为可能。

本系统可支持多达10万用户以上的开户量，而处理效率却丝毫不受影响，与其他同类产品的开户量和处理效率形成鲜明对比。

4. 方便的基于组的用户管理和基于模板的多种开户方式

为实现对用户管理上的方便，DCBI-IMSI采用了用户组的管理方式，这些用户组可以按地址位置的不同进行划分，也可以按用户的计费类别等等进行划分。

此外，在开户方式上，可以采用单用户开户、集体从文件中批量导入开户、卡开户等方式。

对于单用户开户的方式，还可以采用方便的开户模板，这样可以省去很多开户时重复性的工作，提供管理人员的工作效率。

5. 灵活安全的用户认证授权机制

在采用神州数码802.1x增强型协议进行认证时，DCBI-IMSI不仅提供了用户名、密码、用户IP、用户MAC、交换机IP、交换机端口、所在VLAN等6元素绑定策略，还在这些绑定规则的基础上，提供了对单一用户的多条绑定策略的列表功能，从而实现了某些特殊用户在园区网的不同子网里可以移动上网认证的能力。

此外，DCBI-IMSI还可以实现对上网PC机本身IP地址的绑定功能，从而实现了公共用机的IP地址绑定。

在对合法接入用户的授权方式上，可实现是否允许使用代理、上下行带宽、VLAN、用户动态IP地址等多种授权管理方式。

注册用户

后付费

包月

没有时长流量限制，每月缴纳定额费用

时长

每月根据上网时长收费

流量

每月根据上网流量收费

有限时长包月

每月有规定的上网时间和包月金额。

如果上网时间在规定时长以内，缴纳包月费；如果超出规定的时长，超出部分另外付费。

预付费

预付包天

可按天进行计费，从而灵活解决学生假期收费的问题。

预付时长

预先缴纳费用购买时长，帐户剩余时长大于0时才能上网

预付流量

预先缴纳费用购买流量，帐户剩余流量大于0时才能上网

卡用户

预付费

包月卡

该类卡是一次性卡，从第一次上网算起，在一个月内可以随意上网，一个月以后该卡失效

预付时长卡

该类卡可以是一次性卡或储值卡，卡面有一定的时长，如20小时等。

一次性卡在使用完时长或到达截止日期后失效，不能充值。

储值卡可以在失效前在网上充值。

7. 跨平台和多点远程管理能力

DCBI-IMSI的管理工具提供了跨平台的管理能力，无论对DCBI-IMSI的管理用机是Windows、Linux、还是Solaris等Unix系统，都可以实现风格界面一致的DCBI-IMSI认证计费服务器的管理。

此外，还可以将DCBI-IMSI管理工具安装在多台远程计算机上，实现通过网络对DCBI-IMSI服务器的远程多点并发管理能力。

保证管理员在身处异地时，对DCBI-IMSI的管理操作。

8. 丰富的在线用户管理能力

DCBI-3000对在线用户提供的强大的管理功能，不仅可以将不受欢迎的用户进行强制下线操作，而且还可以对指定的单独用户、指定的用户组、指定的交换机上的所有用户、指定的计费类型中在线用户发送实时消息通知功能。

这种方式极大地方便了网络运营者与终端用户之间的沟通。

比如：

活动通知、广告发布、催缴费用等。

9.绑定数据自学习和批量用户的绑定设置功能

在用户上网后，DCBI-IMSI可以通过自学习用户的参数的功能，学习到用户最近一次上网的参数，这些参数包括用户的：

用户IP、用户MAC、用户的VLAN、用户的边的交换机IP、用户所边交换机的端口号等。

然后通过批量用户的绑定功能来用这些数据对用户进行认证的绑定设置。

这样做的好处是可以不用对成千上万的用户的MAC、IP等认证绑定数据进行手动设置，而完成可以通过简单的几步设置操作来全部分完成绑定数据的提取及设置工作，极大地减轻了网络管理人员的工作量。

10.上网时间段的控制功能

对于网络运营来说，必须能够对上网用户何时能够上网何时不允许上网进行控制。

DCBI-IMSI提供了强大的上网时段控制功能。

对于校园网来说，用此功能可以禁止学生在学习时间段上网看电影、聊天等做一些与学习无关的活动。

11.更加安全的用户WEB自服务功能

用户可以通过DCBI-IMSI提供的“用户WEB自服务”模块进行多种操作（详见后面）。

用户WEB自服务功能提供上网上银行级的安全特性，用户通过Web网页发出的报文，都要使用Webserver发来的随机数进行MD5等多种方式进行安全加密，并在用户WEB自服务的服务器上进行安全验证，这种随机数加密的方式绝对地保证了用户数据的安全，从而绝对防止了网络攻击者通过监听、截包、假冒、篡改报文来破坏用户数据。

12.方便的用户自开户注册功能

用户Web自服务功能中的“用户自开户注册”功能，可以极大地减轻上网用户开户时的工作量。

申请上网的用户可以通过该功能在Web网页上将自己的用户名、密码、MAC等信息首先注册到DCBI-IMSI的用户数据库中，然后到网络中心申请开户，管理人员不需要再次输入该用户的相关信息就可以将该用户开通。

极大地减轻了网络管理人员的工作量。

主要功能

1.  设备管理

网络结构拓扑图显示

每个设备的在线用户

网络设备的Ping和Telnet操作

2. 用户管理

多种开户方式

绑定数据自学习功能及批量用户的自动绑定功能

用户停机、销户

用户缴费或者预付时长、流量用户充值

用户资料查询和修改

用户分组管理

卡用户和充值卡管理

用户上网记录查询

批量用户处理

认证时广告通知功能

按用户组或个别用户进行消息通知功能

开户模板功能

3.  证与授权管理

帐号的唯一性认证

基于MAC地址的上网认证，可以有效防止MAC地址盗用

在对用户进行认证时，支持6元素绑定规则

在对用户进行认证时，支持多条附加绑定规则列表功能

支持与用户名无关的主机与IP地址绑定功能

支持账号到期自动停用

对非法用户强制下线

授权用户的上下行带宽、VLANID、用户IP地址

允许/禁止客户端做为上网代理

支持用户上网的时段控制

支持802.1xclient版本合法性控制功能（强制用户使用新版本的802.1xclient）

4. 帐务管理

引入会计科目管理机制，使帐务管理更加规范灵活

注册用户可以在自己帐户预存金额，后台扣费、提取现金等

引入模拟结帐，可以随时检查帐单情况

支持用户随时缴费

用户批量后台缴费

预付时长、预付流量用户充值

用户帐单查询

5. 计费原型和计费类别管理

计费策略自由定制，满足用户各种需求

计费原型包括：

包月、时长、流量、有限时长包月、预付时长、预付流量、包月卡、预付时长卡

6. 管理员和权限组管理

不同权限组拥有不同的权限

将操作员归于权限组，从而实现对操作员权限的灵活管理

操作员操作历史记录功能

7. 日志和数据库管理

完整记录用户上网日志和操作员操作日志

日志的查询、日志导出为文本文件、日志删除

数据库的在线备份与恢复

8. Web自服务系统

修改用户密码

查询上网记录

查询帐单的服务

充值卡用户充值、余额查询

用户自开户注册功能

技术指标

项目

属性

规格

硬件规范

外观尺寸

433mmx440mmx89mm，2U高度

网络接口

2个10/100/1000M电口

串口

1个串行接口

工作环境

温度：

0-50℃、相对湿度：

5-95%，不凝结

电源

120V～240V交流电源

硬件性能

支持10万用户的管理能力，认证处理能力1500次/秒

软件规范

用户数许可

自带100~2000个用户许可，扩展用户可购买License获取

购买信息

产品型号

产品描述

DCBI-IMSI

安全接入与认证计费的管理系统，自带两个10/100/1000M电口，包含100用户，通过购买DCBI-Licence可升级到最多十万用户。

支持增强802.1X、增强Web、PPPoE等认证方式，管理前台支持Windows、Linux等系统，支持MySQL数据库。

DCBI-IMSI500

安全接入与认证计费的管理系统，自带两个10/100/1000M电口，包含500用户，通过购买DCBI-Licence可升级到最多十万用户。

支持增强802.1X、增强Web、PPPoE等认证方式，管理