一、需求分析
传统的烟草联网系统主要针对全省各乡镇烟叶站数据传送为主，各乡镇烟叶站数据采集系统一般采用电话线MODEN拨号为数据传输通道，但长期以来数据传送存在着下列问题：
1  各乡镇电话线路质量差，传送速率底，常出现数据误码丟包现象；
2  各乡镇烟叶站管理人员流动办公性强，常出现当天数据无法上报；
3   部分烟叶站点无电话线路，数据上报周期长。
针对这些问题，我们采用了基于CDMA/GPRS/3G无线通讯技术的烟草系统联网应用解决方案。
 
二、解决方案
2.1系统简介
烟草系统无线通信联网解决方案是集计算机技术、无线通信技术及数据采集技术于一体综合系统，通过数据采集器（PC），获取各烟叶站数据，采用通信接口及传输设备将其传输到烟草数据业务中心，实现对各烟叶站的全面监控。同时，利用无线数据通信网络，可提供各种速率的高质量、透明数据传输电路，为客户建立自己的专用数据传输网。
基于无线数传系统主要由三大部分组成：
(1)  数据终端设备：数据采集终端设备（PC）和无线数据终端（路由器）设备；
(2)  传输网络： CDMA /GPRS/3G无线网络；
(3)  数据业务中心：实时数据收发服务器、实时数据库服务器及用户控制操作界面等。
2.2烟草系统联网应用方案
(4)  如下图所示，各乡镇烟叶站配备无线路由器设备，在无线路由器设备中配备LAN(RJ45)/USB接口与计算机连接，通过无线路由器将数据传送到数据中心。
(5)  在烟草公司设置数据业务中心，各站点通过无线路由器与数据中心主机以无线方式进行数据通讯。
(6)  将采用各站点设置不同用户权限进行内网的访问。
(7)  优先推荐数据中心使用2M专线接入方式。
          

    
三、设备推荐

1、在成都中联CDMA/GPRS路由器的选择上：
RW2600无线路由器是成都中联信通科技有限公司推出的无线数据通信产品，主要应用于行业用户的无线数据传输业务以及无线路由上网等。无线产品采用标准TCP/IP协议，安装简单、易于维护、使用方便。

（RW2600正面）
)
网络协议全，路由协议多，功能强。
具备行业需要的TELNET客户端、TRACEROUTE、SNMP等网管协议，在集中网络管理方面有较大优势。
以上功能均具有的目前只有中联信通一家。
具有PPP链路层IP地址客户端协议功能，客户端根据需要可主动向中心申请固定IP地址，主要为方便管理的需要。
具有PPP链路层IP地址中心端强制固定功能，一方面配合中心接入路由器的精确路由表设定避免了无线广播带来的延迟和带宽浪费；另一方面主要是为安全管理的需要，由中心强制分配每个终端的IP。配合中心的防火墙，可实现IP权限及应用分级的安全措施。目前该功能为国内厂商独家拥有。特别满足金融行业的需要。
具有PPP链路层压缩协议MPPC功能支持。该功能是直接在链路层上实现数据压缩，一方面通过压缩屏蔽了明文，更重要的大大提高了无线链路的效率。一般可提高50%左右的带宽，在无线链路吞吐性能方面有较强优势。目前该功能为国内厂商独家拥有。
可通过FTP协议实现升级和管理功能，符合行业的习惯。

2、在成都中联专网认证服务器的选择上：
针对目前企业VPDN专网存在的缺陷：IP地址与CDMA号码绑定的局限性和不能限制非私有用户拨入私有网络，我们提供完整的解决方案弥补这些缺陷。我们提供从终端到企业端的端到端解决方案，完全满足企业用户各方面的需求。我们推荐企业采用基于二层的VPDN网络，将确保企业内网的完全私有性。
          

 
RW5000专网认证服务器针对L2TP VPDN的信令流程，加强了安全控制和地址管理，确保用户安全需要和特有的管理需要。实现IMSI和用户名/密码/IP绑定
路由器支持RADIUS认证，和中联信通公司提供的中心产品专网认证服务器配合，能实现IMSI、用户、密码和IP地址的四绑定功能，目前是国内惟一能提供中心端和路由器整体安全解决的厂商。

四 安全措施
由于金融系统的特殊性，本系统需要极高的系统安全保障和稳定性。安全保障主要是防止来自系统内外的有意和无意的破环，网络安全防护措施包括信道加密、信源加密、登录防护、访问防护、接入防护、防火墙等。稳定是指系统能够 7 × 24 小时不间断运行，即使出现硬件和软件故障，系统也不能中断运行。数据中心可通过到运营商数据网 (VPDN) 接入，采用 VPDN 方式成本比较低，安全性比较高，可充分保障速度和网络服务质量。我们的解决方案提供 5 级业务安全保障，从而充分保证网络中数据的安全。
第一级安全保证： CDMA 网络本身的安全性
目前世界上使用的移动通信网络主要有两种： GSM 和 CDMA 。与 GSM 相比， CDMA 网络系统在安全保密方面具有很大优势。 CDMA 本来就是起源军事保密技术，在战争期间广泛应用于军事领域，具有抗干扰、安全通信、保密性好的特性。进行移动手机信号的窃听一般使用以下三种方法。首先，需要捕捉到通信信号。在空间中充满了各种各样的无线电波，用户手机信号就混杂在其中。要想窃听某一个用户的通话，首先必须捕捉到这个用户手机发出的特定的电磁波。由于 CDMA 系统采用扩频技术，经过扩频以后的有用信号的频谱被大大地展宽了，用户信号隐蔽在互不相关的信号中，要想捕捉到这一有用信号非常困难。因此，窃听器捕捉不到，也无法识别出哪些是 CDMA 手机用户的通信信号，哪些是噪音。其次，窃听器必须锁定手机用户通信的信号，继而才能分析和破　解信息。而 CDMA 采用快速切换功率控制技术，即便是窃听设备捕捉到了用户手机信号，也不能锁定快速功率切换下的有用信号，因此，快速功率切换让 CDMA 信号很难锁定。第三，需要破　解用户信息编码。而 CDMA 采用伪随机码技术，用长达 42 位的伪随机码来标识区分用户，每次通话都有 4.4 万亿种可能的排列，窃听器很难破译出 CDMA 的编码。所以 CDMA 技术本身就很安全。
第二级安全保证： CDMA 网络侧的 AAA 认证
AAA 是指认证（ Authentication ）、授权（ Authorization ）、计费（ Accounting ）三个过程，其中：
认证是，用户在使用网络系统中的资源时对用户身份的确认。这一过程，通过与用户的交互获得身份信息（像用户名－口令、生物特征信息等），然后提交给认证服务器；认证服务器对身份信息与存储在数据库里的用户信息进行核对处理，然后根据处理结果确认用户身份是否正确。
授权是，网络系统授权用户以特定的权限使用其资源，这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限，如授予 IP 地址，准许访问时间等。
计费是，网络系统收集、记录用户对网络资源的使用信息，以便向用户收取资源使用费。以互联网业务提供商 ISP 为例，用户的网络接入使用情况可以按流量或者时间准确地记录下来。
认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益，又能有效地保障网络系统安全可*地运行。
CDMA 网络侧的 AAA 认证过程是对用户的域名进行鉴权认证，网中数据网的用户（ VPDN 成员）是以 username@xxx.133vpdn.qd 形式登录的（用户在电信登记入网时，电信分配其一个域名 xxx.133vpdn.qd ）。 CDMA 网络侧的 AAA 服务器对登录用户的域名和该用户的 IMSI 进行绑定审核验证。验证通过后，方可接入电信 CDMA 网络。
移动通信从电路交换，发展到 CDMA 1X 分组网络，再到第三代移动通信网络，用于认证、授权和计费的协议也在随之演进，从基于 7 号信令的协议，到部分采用 RADIUS ，再发展到 Diameter ，这主要是由越来越丰富的业务决定的。 Diameter 协议由 IETF 的 AAA 工作组在 2002 年 3 月提出的认证计费协议草案。 Diameter 协议支持移动 IP 、 NAS 请求和移动代理的认证、授权和计费工作。协议的实现和 RADIUS 类似，也是采用 Attribute-Length-value 三元组来实现，但是其中详细规定了错误处理等内容。它在设计过程中，不仅保持了与广为使用的 RADIUS 协议的兼容，更克服了 RADIUS 协议的许多不足，而且它不仅仅被互联网采用，更被下一代移动通信网（ 3G ）采用。在第三代移动网络和业务开展初期，为了和已有的设备和传统业务互通，需要采用 Diameter 与 RADIUS 之间的协议转换器，但是最终还是统一使用 AAA Diameter 协议。
第三级安全保证： CDMA 网络和用户网络之间的 VPN 链接
CDMA 网络和用户网络之间可以采用专线链接，也可以使用 Internet 链接。使用 Internet 链接必须考虑安全性，因此，可以使用 VPN 将二者利用 Internet 链接起来。
VPN 技术非常复杂，涉及到通信技术、密码技术和现代认证技术。主要包含两种技术：隧道技术与安全技术。
隧道技术的基本过程是在源局域网与公网接口处将数据封装在一种可以在公网