智能排隊管理系統(tǒng)無線應(yīng)用安全技術(shù)方案

1. 摘要

       營業(yè)網(wǎng)點客戶身份主動識別，已上升到營業(yè)廳zui迫切的需求。使用掌上電腦（PDA）裝備大堂，使得大堂能實時監(jiān)控網(wǎng)點客戶到達情況，因此也就能對網(wǎng)點服務(wù)提供有益的指導。本方案主要描述平安力合公司營業(yè)廳PDA應(yīng)用的原理，以說明該應(yīng)用在安全上所做的特殊處理。

2.解決方案

2.1 串口服務(wù)器NC601

       讓單個串口設(shè)備與網(wǎng)絡(luò)連接。NC601單串口通訊服務(wù)器為多個串口設(shè)備同時連接到網(wǎng)絡(luò)提供了方便的軟硬件平臺，是連接RS- 232 設(shè)備的IP-Based 網(wǎng)絡(luò)的不錯的選擇。

       標準TCP/IP 接口和多樣的操作模式。NC601串口通訊服務(wù)器提供了TCP SERVER， TCP CLIENT和UDP，它們使用了統(tǒng)一標準的網(wǎng)絡(luò) API（Winsock，BSD Sockets）來確保網(wǎng)絡(luò)軟件的兼容性。

2.2 網(wǎng)絡(luò)結(jié)構(gòu)及物理安全設(shè)計

       排隊機通過串口（RS232）和串口服務(wù)器連接，串口服務(wù)器通過網(wǎng)線和無線路由器連接，無線路由器和PDA通過WIFI連接，從而實現(xiàn)了排隊機和PDA的雙向通訊。排隊機程序操作本機串口，PDA通過WIFI進行socket通訊。PDA與排隊機之間交互的所有信息只能通過排隊機的串口以加密字節(jié)流的方式由排隊機程序進行接收。PDA和無線路由器組成的小局域網(wǎng)和排隊機所在地銀行業(yè)務(wù)網(wǎng)之間沒有基于TCP/IP的連接途徑。

       基于串口的通訊相對于TCP/IP而言，更加底層，更加安全可控。串口的通訊速率可設(shè)為115200 bps，足以滿足PDA和排隊機之間傳輸通訊指令的響應(yīng)速度和數(shù)據(jù)帶寬的要求。

       無線路由器本身通過關(guān)閉SSID 廣播和采用WPA 或 PSK加密算法等手段，保障與PDA組成的小局域網(wǎng)的接入安全。

       基于串口服務(wù)器的方案，即使第三方侵入PDA所在的局域網(wǎng)，從原理上可以看出，第三方根本無法通過該局域網(wǎng)進一步入侵排隊機所在的業(yè)務(wù)網(wǎng)。

2.3 應(yīng)用安全設(shè)計

       PDA程序和排隊機之間的交互指令采用RSA算法進行數(shù)據(jù)加密。RSA算法是zui流行的公鑰密碼算法，使用長度可以變化的密鑰。RSA是既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。

       RSA算法原理如下：

       1．隨機選擇兩個大質(zhì)數(shù)p和q，p不等于q，計算N=pq；

       2．選擇一個大于1小于N的自然數(shù)e，e必須與(p-1)(q-1)互素。

       3．用公式計算出d：d×e = 1 (mod (p-1)(q-1)) 。

       4．銷毀p和q。

       zui終得到的N和e就是“公鑰”，d就是“私鑰”，發(fā)送方使用N去加密數(shù)據(jù)，接收方只有使用d才能解開數(shù)據(jù)內(nèi)容