注册
个人空间
1 需求背景
终端接入主要是指营业网点的终端通过Quidway路由器连接到中心的Unix前置机及后台主机上,Quidway路由器完成从终端串行数据流到IP 网络数据包的转换。各种业务运行于中心的Unix服务器上,它通过Quidway路由器把业务画面推送到网点的终端并完成业务交互处理。它主要应用于银行、邮政、税务、海关和民航等拥有大量营业网点的系统。终端接入的典型组网如下图所示:
基于华为路由器的终端接入功能很好地满足了用户终端接入的应用需求,并且用户可以通过路由器提供的硬件和软件方式的IPSec加密功能对数据进行加密,保证了终端业务的安全。采用IPSec加密功能实现的是终端接入路由器和Unix前置机前端的路由器之间的数据加密,因此,这种安全加密方式仍然存在两个“安全死角”:终端设备到终端接入路由器之间的数据没有加密和前置机前端路由器到前置机之间的数据没有加密;另外,当用户出于某种原因不能采用或不愿采用路由器提供的IPSec方式进行数据加密的情况下,原有的终端接入方式不能满足终端接入业务的安全要求。
华为公司为了及时满足用户的迫切需求,并出于对用户业务的安全考虑,在原有的终端接入功能特性的基础上新开发了两种增强的安全特性,即实现终端设备到 Unix前置机之间的软硬件加密和身份验证特性,以及终端接入路由器到Unix前置机之间的软件加密。这样在整个终端接入的起始设备即终端设备和终点设备即Unix前置机之间均能实现数据的安全加密,消除了整个链路中的存在“安全死角”,用户还可以在该安全加密的基础上再采用IPSec加密实现更高安全级别的终端接入业务。
2 终端接入路由器到Unix前置机之间的软件加密
这种安全加密方案是对原有终端接入功能特性的一种增强和扩展,它不需要增加任何别的硬件设备,利用软件实现了终端接入路由器到前置机之间的数据加密,这样不仅保证了终端接入路由器和Unix前置机前端路由器之间的加密,也保证了Unix前置机前端路由器到Unix前置机之间数据加密,从而消除了终端接入业务中的一个“安全死角”。
2.1 加密方案介绍
该加密方案是通过对路由器端的终端接入服务器软件程序和运行在Unix前置机上的ttyd程序进行加密改造来实现的,在实现的这个加密过程中采用了先进的加密机制和流加密算法,保证终端接入业务的数据流很难被破解。加密过程如下示意图所示:
在上图所示的软件价加密过程中,终端接入路由器和Unix前置机之间的数据流是采用密文传输的,数据加/解密的处理分别由终端接入路由器和前置机上运行的ttyd程序来完成。
| 论坛热门帖子: | [lch203] 写得蛮好的linux学习笔记(10-21) [黑马制造] 学习java的30个目标(10-19) [笑傲股林] 做测试半年了,有点迷茫,应该再学些什么提高自己的测试水平和测试能力呢?(10-19) [udp8589] 大家用google的来吱一声? 用百度的~~也来报道下?(10-18) [沂偌掳兆] 本人总结的一些认为C++比较经典的书籍,希望对大家有用(10-18) |
| TAG标签: | 性能 解决方案 安全 服务器 终端 接入 增强 加密 路由器 |
