概述
隨著科技的高速發展,無線數字技術得到了廣泛的應用,其已從原來的只為用戶終端提供服務發展到現在能夠為企業提供安全、穩定的數字交換平臺。企業在此平臺上不僅可以實現以前傳統電信專線上使用的所有應用,而且在地域上突破了專線點對點的限制,使企業的應用做到有手機信號覆蓋的地方就能進行數字網絡接入。
銀行網絡狀況分析
對于金融系統內部,目前全國省、市、縣各級金融通信專網的骨干網已經基本建成。地、市、縣級各種業務的接入網也在建設中。接入網相對于骨干網,具有網元多、支線多、分布廣、投資低等特點,所以無線接入網是最佳選擇之一。金融通信行業曾經選擇過多種無線通信方式,但是都由于建網費用、頻點管理、傳輸質量、帶寬限制、維護能力等諸多因素的影響,沒有得以長期使用和推廣。而聯通的 CDMA 網,正好可以揚長避短,彌補金融通信專網中無線通信的缺憾。
銀行網絡目前主要建設于傳統的電信數字網基礎之上,通過 DDN 、 FR 、遠程撥號等實現,其主要缺點是網絡結構固定變更困難且費用較高。構建在 CDMA1X 無線網絡平臺上的數字交換系統充分解決了這個問題,銀行總行、各支行及結算中心之間可以沿用以前高帶寬的專線網絡,針對于數量眾多、分散布局的營業網點、銀行 POS 機、 ATM 機則可以從以前的遠程撥號的網絡上過渡到 CDMA1X 網絡上來, CDMA1X 網絡通過發卡控制號段使一個企業的所有無線終端接入網絡以后處在同一個封閉 VPN 專網中,進入 VPN 專網以后終端還需通過銀行的 AAA 認證才能進入結算數據庫。通過一系列的安全措施可以充分保證交易網絡的安全性。無線終端可以在銀行網絡系統結構不作任何修改的基礎上完成平滑過渡。
CDMA1X 無線接入銀行應用案例
中國聯通提供的 CDMA 1X 網絡可以為銀行營業網點、 ATM 機和 POS 機提供數據通信服務。在 CDMA 網絡的覆蓋區中, ATM 機可以架設在任何地點。而對于營業網點來說使用 CDMA 無線網絡作為備份鏈路的應用非常適合,在有效保證接通率的前提下,通信成本將 大大降低。 典型的 CDMA1X 無線應用案例 拓撲圖如下: 
圖一:基于L2TP 的 VPDN 安全解決方案
圖二:基于 IPSec 的 VPDN 解決方案
CDMA1X 傳輸方式的優勢 在銀行聯網業務方面, 以前經常采用專線 DDN 方式連接到地區銀行結算中心,現在則可以使用 CDMA1X 無線數據網絡構建的 VPDN 安全隧道進行數據結算。 相對于 DDN 等接入方式,具有以下優勢 :
1 ) CDMA1X 用戶可隨意分布和移動自己的網點,無需擔心線路的維護或有線在移機時導致的通訊中斷。建設新的營業廳無需進行拉線、埋線等工作。較光纖或專線系統投資較少,設備安裝方便。 2 )終端價格比較低。與 DDN 專線 Modem 相比,終端設備成本價格較低。 3 ) CDMA1X 資費便宜,計費合理。 CDMA1X 資費包月比有線電話網絡資費還便宜。銀行聯網業務沒有大數據量的信息傳輸,不必要采用資費很高的專線( DDN 、幀中繼)。 CDMA1X 還可根據通信的數據量和提供的服務質量進行計費。在 CDMA1X 網中,用戶只需與網絡建立一次連接,就可長時間的保持這種連接,并只在傳輸數據時才占用信道并被計費,保持時不占用信道不計費。這樣,營業廳既不用頻繁建立連接,也不必支付傳輸間隙時的費用。 4 ) CDMA1X 能最好地支持頻繁的、少量突發型數據業務。通信質量穩定可靠,永不掉線。 5 ) CDMA1X 網絡接入速度快,提供了與現有數據網的無縫連接。由于 CDMA1X 網本身就是一個分組型數據網 , 支持 TCP/IP 、 X.25 協議,因此無需經過 PSTN 等網絡的轉接,直接與分組數據網( IP 網或 X.25 網)互通,接入速度僅幾秒鐘,快于電路型數據業務。采用 TCP/IP 協議,較以前的無線數據網絡(集群,雙向傳呼, GSM 短信息)而言,網絡接入更加直接方便。 6 )數據集中,易于管理。傳統的銀行網點之間采用級聯的方式,縣級銀行、市級銀行分別接入當地電信或網通固網運營商,數據逐級上傳,分散不易管理;采用聯通 CDMA1X 無線接入,全省一個數據中心,即可完成數據的集中與統一管理,極大地提高了效率,降低了傳輸成本。 7 )覆蓋好。比較很多無線數據網絡(集群,雙向傳呼, CDPD )而言,其網絡覆蓋是最好的。 CDMA1X 無線接入的安全性
1. CDMA1X 無線接入的工作流程:在聯通完成網絡側配置后,銀行網點通過無線設備接入 CDMA1X 網絡后, CDMA1X 分組接入設備 PDSN 上通過 L2TP 隧道路由連到銀行系統中心內的 LNS 路由器上,中間經過聯通骨干網和專線。整個隧道的開啟和通過均在聯通網絡內部,作為大型的電信運營商,有嚴格的安全管理和保護措施,確保網內的數據安全可靠,具有很高的安全性保障,而且不存在互連互通瓶頸,可以有效保證用戶使用性能。
安全性保障
CDMA1X 采用脫胎于軍用技術的無線擴頻技術,用戶端到無線網絡接入設備間的無線空中通道目前不可能被破解;無線分組設備到用戶終端設備間,采用隧道穿過專線接入,可以有效保證整個系統的安全。要保護整體系統的安全,首先要保證網絡本身的安全。必須盡可能地屏蔽外部非法訪問及非法數據,對從外部網絡連入的終端進行嚴格的用戶認證及控制。針對 CDMA1X 的各環節,我們分別分析其安全性。
1) CDMA 1X 空中信道
CDMA 采用的是軍事級防竊聽技術:長 PN 編碼、擴頻技術、加密算法、快功率控制, CDMA 無線網絡以空氣為介質,并且 CDMA 系統采用編碼技術,其編碼有4.4億種數字排列,每一個 SIM 卡的編碼還隨時變化,這使得盜碼只能成為理論上的可能。客觀地講, CDMA1X 技術的優于目前的 GPRS 技術, 其不足之處在于邊遠地區的網絡覆蓋不全。網絡目前在網的 CDMA1X 手機用戶的正常使用,也從另一方面證明 CDMA1X 的穩定性和安全性。
2 ) VPDN 方式
從客戶端發起連接開始, CDMA 移動辦公連接就以強制 VPN 隧道的方式與用戶側網絡進行隧道傳輸,可以通過聯通的數據專線連接用戶網絡,整個傳輸過程透明于外部網絡,保證傳輸過程的私有性。
數據傳輸專線
所有的數據傳輸都基于聯通領先的全光纖網絡里面,該網絡能有效地隔離專線與互聯網的互通性,其中聯通互聯網 165 數據專線更是連續三年被中國互聯網官方組織評為最佳網絡。所有數據傳輸都在聯通數據專網之內,可以確保數據在專線傳輸中的安全性和可靠性。
路由訪問控制
無論是何種移動辦公方式,所有客戶端訪問必須經過路由器訪問控制。對于非法的登陸或者來自其它 IP 的連接都被路由器拒絕在外面,不能進入內網。
5)聯通網絡與銀行網絡間的安全性
CDMA1X 網絡無線接入方式存在聯通的數據專網與銀行專網之間的專線連接,作為兩個相對獨立的專網,存在重新認證的要求,通過聯通 AAA 服務器驗證的連接,在進入銀行網絡前,需要再次驗證,確認身份合法。目前有兩種方案可以解決銀行上述需求:
方案一:聯通和銀行聯合分別驗證(如圖一) 。
在銀行接入路由器部分連接專用 AAA 服務器,通過與聯通專線上建立基于 L2TP over IPSec 的 VPDN ,靈活配置帳號 / 口令策略。由聯通 NAS 驗證域名、用戶名、 UIM 卡號;聯通公司為銀行提供 客戶端帳號界面,由銀行 AAA 服務器驗證用戶名、密碼,配合路由器綁定 IP 地址 , 完全保護合法用戶登陸。該種運營模式已經成功在各地銀行運營實施,目前運行正常。
方案二:使用具有 VPN 功能 CDMA1X 無線接入設備(如圖二) 。
在用戶側接入路由器與中心內網間 , 安裝支持 IPSec 功能的防火墻 , 銀行網點連接 IPSec 功能的加密機 +CDMA 無線路由器,或者將 IPSec 功能集成在 CDMA 路由器中;通過 VPN 專用帳號登陸防火墻,建立安全隧道。該種方案安全級別高,但是對無線 CDMA 路由器技術要求高,開發難度大,成本相對較高。
飛旗 CDMA 路由器的特點飛旗 CDMA 路由器提供 RJ45 以太網接口,組網簡單、迅速、靈活。飛旗 CDMA 路由器無線數據通信系統可以不依賴于運營商交換中心的數據接口設備,通過 Internet 網絡隨時隨地構建覆蓋全中國的虛擬無線數據通信專用網絡。
產品功能:
● 內嵌了完整、穩定的 TCP/IP 協議棧,包括 TCP 、 UDP 、 FTP 、 SOCKTE 、 TELNET 、 HTTP 等;
● 設備上電后自動撥號,無需人為的干預,配置及維護簡單;
● 提供基本的路由功能,可用于多臺設備共享上網;
● 支持 NAT/ 靜態路由兩種模式互相切換,方便用戶根據應用需求配置終端 IP 地址;
● 具有完善的心跳機制,用戶可以根據自身實際設置發送心跳包的間隔。
銀行GPRS無線接入 ATM機聯網應用解決方案
中國移動提供的 GPRS 網絡可以為銀行營業網點、 ATM 機和 POS 機提供數據通信服務。在 GPRS 網絡的覆蓋區中, ATM 機可以架設在任何地點。
典型的 GPRS 無線應用案例 拓撲圖如下:
圖一:基于 L2TP 的 VPDN 安全解決方案
圖二:基于 IPSec 的 VPDN 安全解決方案
名詞解釋:
GGSN : Gateway GPRS Supporting Node , GPRS 網關支持節點
SGSN : Serving GPRS Support Node , GPRS 服務支持節點
BSS : Base Station System ,基站系統
GPRS 傳輸方式的優勢
如果采用 GPRS 無線方式傳輸數據則有以下優勢:
1. 資費便宜,計費合理。 GPRS 包月資費很便宜(詳細資費標準請咨詢當地 GPRS 服務提供商),由于 ATM 業務沒有大數據量的傳輸,所以沒有必要采用資費很高的專線( DDN 等)。而 GPRS 可以根據通信的數據量和提供的服務質量進行計費。在 GPRS 網中,用戶只需與網絡建立一次連接,就可長時間的保持這種連接,并且只有在傳輸數據時才占用信道并被計費,沒有數據傳輸時是不占用信道也不計費的。所以營業網點不需要頻繁建 立連接,當然也不必支付傳輸空閑時的專線費用,而客戶再也不用不耐煩地等待電話撥號登陸的過程。
2. 設備投資低。傳統的 DDN 等專線,需要購買 DTU 或其他專線 Modem ,撥號方式則需要購買 Modem Pool 、普通 Modem 、 ISDN Modem 等設備。而采用 GPRS 無線方式只需要購買 GPRS 無線傳輸終端即可,投資要小得多。
3. 新增和改變網點方便。如果采用了 GPRS 方式,用戶可隨意改變自己的營業網點而無須擔心線路的維護或在移動時導致的通訊中斷。新增新的營業點時也無需進行布 線,埋線等牽涉多方的工作。
4. 線路穩定,永不掉線。 GPRS 采用的分組技術,所以能夠最好地支持頻繁的或少 量突發型的數據業務。
5. 網絡接入速度快。 GPRS 登錄網絡的時間很短暫,相對撥號方式的 1 、 2 分鐘,它只需要 30 秒,而且一旦連接,則時刻在線,因此可以提供與現有數據網的無縫連接。
6. 網絡覆蓋好。現在 GSM 的網絡覆蓋已經非常完善,而且在大部分的 GSM 網絡節點都分布了 GPRS 服務節點,保證無線接入的可行性。
GPRS 無線接入的安全性
1. GPRS 無線接入的工作流程:
銀行通過專線和移動公司 GPRS 網的 GGSN 相連,在移動 GGSN 網元上為銀行設置一個專用的接入 APN 點,從而在企業使用的移動設備和銀行內部網絡之間構成一條無線虛擬專網( VPN )通道,解決了企業提出的內部網絡安全性及數據私密性的要求。
移動終端在進行 GPRS 附著時, SGSN 首先向 HLR 查詢移動終端所允許使用的 APN ,然后通過 DNS 將 APN 解析成相應的 IP 地址。專用的 APN 在 GGSN 上將體現為專用的網絡地址段。由于銀行通過專線和移動公司連接,此時移動終端己通過此種方式通過 GPRS 相接到企業專網上了。
安全性保障
第一級安全保障: GPRS 網絡本身的安全性
用戶認證
GPRS 將使用 GSM 定義的認證過程,其差異是: 該過程是從 SGSN 執行的。 GPRS 認證過程執行用戶認證、選擇加密算法和加密起始時刻的同步。認證三重系存于 SGSN 中。一旦附著 IMSI , MSC/VLR 將不通過 SGSN 對移動臺認證,也不能位置更新,但在 CS 連接建立期間可以認證移動臺。
用戶識別碼保密
臨時邏輯鏈路識別碼( TLLI )用來識別一個 GPRS 用戶。 TLLI 和 IMSI 之間的管理只有在移動臺和 SGSN 內才能知道。 TLLI 根據 SGSN 安排的 P-TMSI 得到,或者由移動臺創建。當移動臺處于就緒狀態時, SGSN 任何時候都可以重新安排 P-TMSI 。重新安排過程根據 P-TMSI 重新安排過程來執行,或者也可以包含在附著或路由更新過程中。
2 )第二級安全保障: GPRS 網絡側的 AAA 認證
AAA 是指認證( Authentication )、授權( Authorization )、計費( Accounting )三個過程,其中:
認證是,用戶在使用網絡系統中的資源時對用戶身份的確認。這一過程,通過與用戶的交互獲得身份信息(像用戶名-口令、生物特征信息等),然后提交給認證服務器;認證服務器對身份信息與存儲在數據庫里的用戶信息進行核對處理,然后根據處理結果確認用戶身份是否正確。
授權是,網絡系統授權用戶以特定的權限使用其資源,這一過程指定了被認證的用戶在接入網絡后能夠使用的業務和擁有的權限,如授予 IP 地址,準許訪問時間等。
計費是,網絡系統收集、記錄用戶對網絡資源的使用信息,以便向用戶收取資源使用費。以互聯網業務提供商 ISP 為例,用戶的網絡接入使用情況可以按流量或者時間準確地記錄下來。
認證、授權和計費一起實現了網絡系統對特定用戶的網絡資源使用情況的準確記錄。這樣既在一定程度上有效地保障了合法用戶的權益,又能有效地保障網絡系統安全可靠地運行。
GPRS 網絡側的 AAA 認證過程是對用戶的域名進行鑒權認證。 GPRS 網絡側的 AAA 服務器對登錄用戶的域名和該用戶的 IMSI 進行綁定審核驗證。驗證通過后,方可接入 GPRS 網絡。
3 )第三級安全保障: GPRS 網絡和用戶網絡之間的 VPN 鏈接
GPRS 網絡和用戶網絡之間可以采用專線鏈接,也可以使用 Internet 鏈接。使用 Internet 鏈接必須考慮安全性,因此,可以使用 VPN 將二者利用 Internet 鏈接起來。
VPN 是在不安全的 Internet 上傳輸的,傳輸內容可能涉及到企業的機密數據,因此安全性非常重要。 VPN 中的安全技術通常由加密、認證及密鑰交換與管理組成。主要有認證技術,加密技術,秘鑰管理與交換技術。
4 )第四級安全保障:用戶網絡側的安全防火墻( FW )
防火墻技術是目前用來實現網絡安全措施的一種主要手段,主要是用來拒絕非法用戶的訪問,阻止非法用戶存取敏感數據,同時允許合法用戶順利訪問網絡資源。防火墻實際上是一種訪問控制技術,在某個機構的內部網絡和不安全網絡之間設置障礙,阻止對信息資源的非法訪問,也可以使用防火墻阻止保密信息從受保護網絡上的非法輸出。
用戶網絡可以選用適合于本單位的防火墻產品來保證自己網絡數據的安全。 <
5 )第五級安全保障:用戶網絡側的 AAA 鑒權認證
用戶網絡側的 AAA 鑒權認證可以實現對 VPDN 成員的身份認證。與第二級的安全保障不同,本級的 AAA 服務器將鑒別 VPDN 成員的用戶名和密碼的正確性。
飛旗GPRS 路由器的特點
飛旗 GPRS 路由器提供 RJ45 以太網接口,組網簡單、迅速、靈活。飛旗 GPRS 路由器無線數據通信系統可以不依賴于運營商交換中心的數據接口設備,通過 Internet 網絡隨時隨地構建覆蓋全中國的虛擬無線數據通信專用網絡。
產品功能:
● 內嵌了完整、穩定的 TCP/IP 協議棧,包括 TCP 、 UDP 、 FTP 、 SOCKET 、 TELNET 、 HTTP 等;
● 設備上電后自動撥號,無需人為的干預,配置及維護簡單;
● 提供基本的路由功能,可用于多臺設備共享上網;
● 支持 NAT/ 靜態路由兩種模式互相切換,方便用戶根據應用需求配置終端 IP 地址;
● 具有完善的心跳機制,用戶可以根據自身實際設置發送心跳包的間隔。
|
