行业需求分析

为应对加入WTO和经济全球化所带来的挑战，为实现成品油零售系统电子化的目标，石油石化行业都开始利用先进的电子信息技术，以IC卡为载体，实现成品油零售系统的改造。通过在加油站中安装IC卡系统，以IC卡这一现代支付工具取代传统的现金、油票等结算方式，实现加油款的电子支付和交易数据的自动采集；在各级石油公司和加油站安装零售业务管理信息系统，提高加油站经营管理的科技含量和服务水平，从而进一步提高工作效率，降低成本，增强抵御市场风险的能力，使石油石化企业在市场竞争中处于有利的地位。

加油IC卡交易系统以省作为运行和数据处理、管理的基本单位，它通过省级数据中心联接各个地级前置系统，再通过地级前置系统连接辖内加油站、加油卡发卡网点和POS，构成了以省为单位的加油IC卡的交易体系。同时，通过数据交换总中心和各省级数据中心相连，负责数据交换，实现异地资金清算，从而实现 “一卡在手，各地加油”的建设目标。

在整个加油IC卡交易系统中，加油站是成品油零售业务的最末端产生地点，客户加油的交易过程在加油站内部完成。加油站负责接受IC卡加油，交易数据每天通过地级前置系统，上送到省级数据中心。加油站能够接受各级管理中心下达的管理信息的控制，包括油价调整、黑名单、灰名单；实现对每个加油员工的加油业务对帐处理；管理信息及黑、灰名单等通过地级前置系统下传。

加油站联网技术方案选择

在加油站联网上，目前有租用运营商专线（DDN/SDH）、PSTN/ISDN拨号、通过Internet构建VPN三种技术方案可以选择，下面分别描述如下：

租用运营商专线（DDN/SDH）

租用运营商专线（DDN/SDH）在链路质量上具有最高品质的保证，同时也能提供高安全的保证，但其最大的缺点就是链路租用费用高昂。而加油站往往数量巨大，每个省往往都有数千个加油站；如果所有加油站都通过租用专线方式进行联网，其资金的代价是无法承受的，不是一种可行的解决方案。

PSTN/ISDN拨号

加油站联网的另外一种方式是通过拨号的方式，通过利用PSTN/ISDN的模拟电话线路，在加油站通过配置的调制解调器，采用拨号的方式，登录到公司内部的拨号服务器，实现远程对公司内部资源的访问。这种方式的优点在于比较灵活，PSTN电话线路资源比较容易获得。缺点在于网络连接性能低，不提供 QOS保障，无法保证对实时业务的支持，无法满足复杂业务处理的需求；网络数据在PSTN传输，没有任何安全措施，数据在传输过程中存在很大的安全风险；缺少足够的访问控制能力以及日志记录能力，不能满足事后审计需求。

通过Internet构建VPN

VPN（Virtual Private Network，虚拟私有网）是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络。

VPN有别于传统网络，它并不实际存在，而是利用现有公共网络，通过资源配置而成的虚拟网络，是一种逻辑上的网络。VPN只为特定的企业或用户群体所专用。从VPN用户角度看来，使用VPN与传统专网没有区别。VPN作为私有专网，一方面与底层承载网络之间保持资源独立性，即在一般情况下，VPN资源不会被承载网络中的其它VPN或非该VPN用户的网络成员所使用；另一方面，VPN提供足够安全性，确保VPN内部信息不受外部的侵扰。

VPN特点之一：廉价。加油站只需将VPN网关接入当地的Internet，然后通过和总部的VPN网关建立VPN隧道，就可以接入异地的企业总部网络，从而可以实现加油IC卡业务的应用。由于目前各种宽带接入技术的普及，使得宽带Internet接入的月租费十分便宜。

VPN特点之二：组网灵活。加油站只要能够接入Internet，就可以构建VPN网络。同时，加油站VPN设备即可以采用专用的VPN网关；针对部分数据量小的加油站，也可以采用PC+VPN软件的方式进行构建。同时，对于加油站的IP地址，即可以支持静态地址，也可以为动态地址，方便了企业组网。

VPN特点之三：扩充性好。用VPN组网，总部只需一台高性能的VPN网关（考虑到高可靠性，也可以配置两台）。通过配置，一台中心的VPN网关可以和上千个加油站建立VPN隧道。如果是专线或PSTN/ISDN组网，则由于接口数目的限制，可能需要随着加油站的增多，要不断的增加中心的网络设备或板卡。因此说，VPN组网的扩充性比较好。

综上所述，推荐采用VPN的方式实现加油站联网，同时通过VPN网络的建设，在VPN网络上承载数据、语音等业务。

H3C加油站联网VPN解决方案

H3C的Quidway系列VPN设备可以很好地适应加油站联网的网络特点要求。其VPN特性包括：产品系列齐全；支持IPSEC/GRE/L2TP/SSL VPN以及华为DVPN功能；提供硬件加速的加密技术，满足高性能的VPN接入需求。其特点如下：

安全便捷的用户认证

为保证VPN网络的安全性，必须保证接入用户身份的合法性。Quidway SecPath VPN安全网关提供本地口令验证、RADIUS、X.509数字证书及SecurID一次密钥验证功能；可以配合Radius服务器、数字证书服务器以及RSA的验证服务器实现用户身份认证。其中一次性密钥验证采用双因素密钥机制，采用静态密码加一次性动态密码机制有效提高用户密码安全性，减少了用户密码泄漏的风险。

随着网络应用的复杂，用户需要处理和记忆的信息也越来越多：访问不同应用系统，需要安装不同的应用软件，而且需要复杂的配置；登录不同应用系统，需要记忆不同的用户名和密码。这种状况对用户有效应用网络是一个非常大的障碍，为解决这个问题，推出了Quidway SecKey的USB Key产品。USB KEY芯片存储的信息可以包括用户名密码、证书、系统配置等信息，利用计算机提供的USB接口进行信息的读取，极大简化用户需要记忆的信息，即插即用。并把此芯片封装成钥匙大小，非常便于携带，应用安全便捷。

动态地址建立IPSEC VPN连接

在使用IPSEC建立VPN时，一般要求两端设备都配置对端IP地址信息，这样就带来一个问题：IP地址不固定的用户设备（如拨号用户），每次建立VPN连接时需要对端修改其IP地址，这就给网络运营维护带来难以解决的问题。而Quidway SecPath VPN安全网关可以很好地解决这个问题，设备支持IPSEC Aggressive模式（需要两端设备都支持该模式），允许IPSEC协商时分支端不使用固定IP地址。分支节点使用动态IP地址，中心节点设备使用固定IP地址，由分支节点主动发起IPSEC隧道连接，中心节点通过设备ID名进行协商而不再需要地址信息检查，就可以顺利地建立IPSEC VPN连接。这样就解决了动态IP地址的用户接入IPSEC VPN的问题。