摘要

營業網點客戶身份主動識別，已上升到營業廳最迫切的需求。使用掌上電腦（PDA）裝備大堂經理，使得大堂經理能實時監控網點客戶到達情況，因此也就能對網點服務提供有益的指導。本方案主要描述平安力合公司營業廳PDA應用的原理，以說明該應用在安全上所做的特殊處理。

?2.解決方案

?2.1 串口服務器NC601

讓單個串口設備與網絡連接。NC601單串口通訊服務器為多個串口設備同時連接到網絡提供了方便的軟硬件平臺，是連接RS- 232 設備的IP-Based 網絡的最佳選擇。

?標準TCP/IP 接口和多樣的操作模式。NC601串口通訊服務器提供了TCP SERVER， TCP CLIENT和UDP，它們使用了統一標準的網絡 API（Winsock，BSD Sockets）來確保網絡軟件的兼容性。

2.2 網絡結構及物理安全設計

排隊機通過串口（RS232）和串口服務器連接，串口服務器通過網線和無線路由器連接，無線路由器和PDA通過WIFI連接，從而實現了排隊機和PDA的雙向通訊。排隊機程序操作本機串口，PDA通過WIFI進行socket通訊。PDA與排隊機之間交互的所有信息只能通過排隊機的串口以加密字節流的方式由排隊機程序進行接收。PDA和無線路由器組成的小局域網和排隊機所在地銀行業務網之間沒有基于TCP/IP的連接途徑。

基于串口的通訊相對于TCP/IP而言，更加底層，更加安全可控。串口的通訊速率可設為115200 bps，足以滿足PDA和排隊機之間傳輸通訊指令的響應速度和數據帶寬的要求。

無線路由器本身通過關閉SSID 廣播和采用WPA 或 PSK加密算法等手段，保障與PDA組成的小局域網的接入安全。

基于串口服務器的方案，即使第三方侵入PDA所在的局域網，從原理上可以看出，第三方根本無法通過該局域網進一步入侵排隊機所在的業務網。

2.3 應用安全設計

PDA程序和排隊機之間的交互指令采用RSA算法進行數據加密。RSA算法是最流行的公鑰密碼算法，使用長度可以變化的密鑰。RSA是既能用于數據加密也能用于數字簽名的算法。

RSA算法原理如下：

1．隨機選擇兩個大質數p和q，p不等于q，計算N=pq；

2．選擇一個大于1小于N的自然數e，e必須與(p-1)(q-1)互素。

3．用公式計算出d：d×e = 1 (mod (p-1)(q-1)) 。

4．銷毀p和q。

最終得到的N和e就是“公鑰”，d就是“私鑰”，發送方使用N去加密數據，接收方只有使用d才能解開數據內容。