摘 要:本文提出了一種基于CDMA的銀行系統設計原理和實現方案,簡要介紹了CDMA技術的基本知識,描述了CDMA 無線傳輸應用于金融數據傳輸的實現方法。通過實際應用,獲得了理想的效果。
關鍵詞:CDMA;VPDN;ATM機;銀行;POS機;金融;無線;營業廳;組網;
一、背景介紹
隨著中國經濟高速發展,外資銀行在國內紛紛開立相關機構,攜其實力、技術和管理上的優勢,迅速拓展其對華業務,中資銀行正面臨激烈的競爭,市場空間被迅速壓縮。此外,隨著新的技術的不斷應用和金融界相互之間融合、滲透的不斷加深,傳統銀行業的經營模式正面臨非銀行金融機構、新興IT技術公司和新的技術手段應用的沖擊和挑戰。
這一切都決定了中國銀行業正面臨著一場深刻的變革,通信技術正日益成為銀行的核心競爭力,銀行要充分利用通信技術,對現有的技術架構進行一次大的全面調整,建設新的綜合業務系統,加強客戶關系管理和維護,利用通信技術加快新業務品種的開發。
二、行業分析
對銀行無線數據業務需求進行分析。
1、無線ATM
由于實線施工條件難度較大的原因,銀行希望在寫字樓、住宅小區等人口密集區安裝ATM的計劃難以實現。利用無線數據業務可以幫助銀行實現ATM入住寫字樓、住宅小區的計劃。
2、無線營業廳
由于城市規劃、施工環境等原因,銀行營業網點在部分地區無法建立,同時考慮到建設成本等因素,銀行方面希望可以通過無線傳輸將營業網點延伸到有線傳輸不能或不適宜建設營業網點的地區,通過無線傳輸將銀行網點進行拓展、延伸。
3、用無線傳輸作備份電路、
銀行各營業網點與銀行數據中心之間均采用實線連接(DDN或2M專線)。為了保證在實線傳輸中斷的情況下,營業網點與銀行數據中心能夠正常通訊,銀行方面希望采用無線傳輸鏈路作為備份鏈路,以保證在實線傳輸中斷的情況下營業網點能夠正常工作。
以上的銀行無線數據傳輸需求,利用電信CDMA網絡強大的數據業務功能,采用VPDN業務均可以滿足銀行的要求。
三、VPDN介紹
根據銀行無線數據傳輸的需求,利用電信CDMA網絡強大的數據業務功能,將銀行營業網點與銀行數據中心組成一個VPDN網,采用VPDN業務來實現無線數據傳輸。不僅可以滿足銀行一次投資小,網點部署靈活簡便,易于維護的要求,而且可以大大節約鏈路租用費,設備購置費以及網絡維護費,減少企業的運營成本。
VPDN全稱是Virtual Private Dial-up Network,又稱為虛擬專用(或私有)撥號網,是VPN業務的一種,是基于撥號用戶的虛擬專用撥號網(VPN)業務。亦即以撥號接入方式上網,通過利用電信公司CDMA分組網絡上傳輸數據時,對網絡數據的封包和加密,可以傳輸私有數據,達到私有網絡的安全級別。它是利用IP網絡的承載功能結合相應的認證和機制建立起來的安全的虛擬專用網(VPN),是近年來隨著Internet的發展而迅速發展起來的一種技術。
VPDN的具體實現是采用隧道技術,即將企業網的數據封裝在隧道中進行傳輸。隧道技術的基本過程是在源局域網與公網的接口處將數據(是OSI七層模型中的網絡層數據)作為負載封裝在一種可以在公網上傳輸的數據格式中,在目的局域網與公網的接口處將數據解封裝,取出負載。被封裝的數據包在互聯網上傳遞時所經過的邏輯路徑被稱為“隧道”。要使數據順利地被封裝、傳送及解封裝,通信協議是保證的核心。目前VPN隧道協議可分為第三層隧道協議和第二層隧道協議。第二層隧道協議有點對點隧道協議(PPTP),第二層轉發(L2F),第二層隧道協議(L2TP)三種。
VPDN主要是采用第二層隧道協議(L2TP),為什么會采用L2TP?有以下幾點原因:
1、對于GRE及IPSec這些三層隧道協議,區分用戶將比較困難;因為在三層(IP層),一般只能通過IP 地址來區分用戶。對于VPN來說,用戶的地址是可以重復的,這樣,三層隧道協議不適合區分用戶。
2、L2TP 是二層(鏈路層)的隧道協議,是作為PPP 的擴展提出來的。PPP適合區分不同的用戶,比如撥號用戶采取專線直連的對端路由器等等,因為PPP 可以得到對端的用戶名。對于撥號用戶接入這種情況來說,需要區分不同的VPN 用戶,使用L2TP進行VPDN組建。
3、采用L2TP隧道協議,只分配企業網內部IP地址,而PPTP等第二層的隧道協議,要求有正式的IP地址,在撥入撥號服務器時,由撥號服務器提供,再二次撥入企業網關時,由企業網關分配內部網地址。
四、系統交易過程
(圖)基于CDMA的銀行系統示意圖
1、系統構成部分
VPDN服務主要由CDMA路由,LAC和LNS(防火墻或者cisco接入路由器如C2600 Series),還有AAA和內部服務器,以下是各部分功能。
客戶機: 連接在遠程網絡上的訪問終端,是VPDN呼叫的發起者。
LAC: 是“第二層隧道協議(L2TP)訪問集中器”(Layer 2 tunnel protocol Access Concentrator)的縮寫,在CDMA分組網中是PDSN節點。它是L2TP隧道的其中一個端點,也
LNS的對端。LAC處于LNS和Client的中間,負責轉發雙方的數據包。從LAC發往LNS的數據包需要封裝到L2TP隧道中,而從LAC到Client的連接則使用CDMA無線分組傳輸技術。
LNS: 是“第二層隧道協議網絡服務器”(Layer 2 tunnel protocol Network Server)的縮寫。它是L2TP隧道的另一個端點,也是LAC的對端。它是PPP會話的邏輯終點,而PPP會話被LAC封裝成隧道形式,是從Client端開始的。
AAA server:AAA是認證(Authentication)、(Authorization)和記帳(Accounting)的縮寫。AAA服務器負責對Client的身份進行驗證。
2、實現過程
VPDN通常包括多種多樣的協議實現方式,我們主要采用L2TP協議方式的VPDN。
企業遠程用戶(無線客戶端)通過CDMA連入拜訪地LAC。AAA服務器通過對域名和IMSI的認證識別出該用戶為VPDN用戶后,就和用戶的目的VPDN服務器(企業內部服務器)建立一條連接,稱為隧道,然后將用戶數據包封裝成IP報文后從該隧道傳送給VPDN服務器,VPDN服務器收到數據包并拆封后就可以讀到真正有意義的報文了。典型的L2TP-VPDN呼叫流程如下:
(1)遠程用戶(客戶端)使用CDMA通過撥特服號呼叫接入服務器LAC(PDSN),例如用CDMA 1x modem卡撥號#777,并輸入username@XXX.133VPDN.SX和密碼進行呼叫。
(2)LAC將用戶名、域名、密碼、IMSI信息送至AAA認證服務器對用戶進行認證,來確定該用戶是否是VPDN的用戶。
(3)如果信息為正確的VPDN用戶信息,AAA認證服務器根據用戶注冊的信息向LAC(PDSN)發送建立L2TP隧道的對應參數(用戶網關LNS信息,包括LNS IP地址等)。
(4)LAC用所獲得的客戶信息與LNS之間進行L2TP隧道建立,并將username@XXX.133VPDN.SX全部送給LNS,由LNS進行認證。
(5)LNS將username@XXX.133VPDN.SX送給自己的RADIUS服務器(認證服務器)。如果是合法用戶則允許接入并保持L2TP隧道。
(6)LAC把客戶機提供的用戶名username@DomainName和相應的密碼轉發給LNS。LNS通過本地VPDN配置或者AAA服務器對客戶提供的認證信息進行驗證。認證通過,VPDN本身與LNS之間進行PPP握手,并由LNS向用戶分配IP地址。
完成VPDN操作,用戶可以利用PPP協議透過L2TP隧道進行互聯并開始進行通信。
五、安全性
1、CDMA無線接入的工作流程:
在電信完成網絡側配置后,銀行網點通過無線設備接入CDMA網絡后,CDMA分組接入設備PDSN上通過L2TP隧道路由連到銀行系統中心內的LNS路由器上,中間經過電信骨干網和線。
整個隧道的開啟和通過均在電信網絡內部,作為大型的電信運營商,有嚴格的安全管理和保護措施,確保網內的數據可靠,具有很高的安全性保障,而且不存在互連互通瓶頸,可以有效保證用戶使用性能。
2、安全性保障
CDMA采用脫胎于技術的無線擴頻技術,用戶端到無線網絡接入設備間的無線空中通道目前不可能被破解;無線分組設備到用戶終端設備間,采用隧道穿過專線接入,可以有效保證整個系統的安全。要保護整體系統的安全,首先要保證網絡本身的安全。必須盡可能地屏蔽外部非法訪問及非法數據,對從外部網絡連入的終端進行嚴格的用戶認證及控制。針對CDMA的各環節,我們分別分析其安全性,并提供5級安全保障,從而充分保證網絡中數據的安全。
(1)首級安全保障:CDMA網絡本身的安全性
目前世界上使用的移動通信網絡主要有兩種:GSM和CDMA。與GSM相比,CDMA網絡系統在安全保密方面具有很大優勢。CDMA本來就是起源軍事保密技術,在戰爭期間廣泛應用于軍事領域,具有抗干擾、安全通信、保密性好的特性。進行移動手機信號的一般使用以下三種方法。首先,需要捕捉到通信信號。在空間中充滿了各種各樣的無線電波,用戶手機信號就混雜在其中。要想某一個用戶的通話,首先必須捕捉到這個用戶手機發出的特定的電磁波。由于CDMA系統采用擴頻技術,經過擴頻以后的有用信號的頻譜被大大地展寬了,用戶信號隱蔽在互不相關的信號中,要想捕捉到這一有用信號非常困難。因捕捉不到,也無法識別出哪些是CDMA手機用戶的通信信號,哪些是噪音。必須鎖定手機用戶通信的信號,繼而才能分析和破解信息。而CDMA采用快速切換功率控制技術,即便是設備捕捉到了用戶手機信號,也不能鎖定快速功率切換下的有用信號,因此,快速功率切換讓CDMA信號很難鎖定。第三,需要破解用戶信息編碼。而CDMA采用偽隨機碼技術,用長達42位的偽隨機碼來標識區分用戶,每次通話都有4.4萬億種可能的排很難破譯出CDMA的編碼。所以CDMA技術本身就很安全。
(2)第2級安全保障:CDMA網絡側的AAA認證
AAA是指認證(Authentication)、(Authorization)、計費(Accounting)三個過程,其中:認證是,用戶在使用網絡系統中的資源時對用戶身份的確認。這一過程,通過與用戶的交互獲得身份信息(像用戶名-口令、生物特征信息等),然后提交給認證服務器;認證服務器對身份信息與存儲在數據庫里的用戶信息進行核對處理,然后根據處理結果確認用戶身份是否正確。
是網絡系統用戶以特定的權限使用其資源,這一過程了被認證的用戶在接入網絡后能夠使用的業務和擁有的權限,如授予IP地址,準許訪問時間等。
計費是網絡系統收集、記錄用戶對網絡資源的使用信息,以便向用戶收取資源使用費。以互聯網業務提供商ISP為例,用戶的網絡接入使用情況可以按流量或者時間準確地記錄下來。
認證、和計費一起實現了網絡系統對特定用戶的網絡資源使用情況的準確記錄。這樣既在一定程度上有效地保障了合法用戶的權益,又能有效地保障網絡系統可靠地運行。
CDMA網絡的AAA認證過程是對用戶的域名進行鑒權認證,網中數據網的用戶(VPDN成員)是以username@xxx.133vpdn.bj形式登錄的(用戶在電信登記入網時,北京電信分配其一個域名xxx.133vpdn.bj)。CDMA網絡側的AAA服務器對登錄用戶的域名和該用戶的IMSI進行綁定審核驗證。驗證通過后,方可接入電信CDMA網絡。
(3)第3級安全保障:CDMA網絡和用戶網絡之間的VPN鏈接
CDMA網絡和用戶網絡之間可以采用專線鏈接,也可以使用Internet鏈接。使用Internet鏈接必須考慮安全性,因此,可以使用VPN將二者利用Internet鏈接起來。
VPN技術非常復雜,涉及到通信技術、密碼技術和現代認證技術。主要包含兩種技術:隧道技術與安全技術。
隧道技術的基本過程是在源局域網與公網接口處將數據封裝在一種可以在公網上傳輸的數據格式中,在目的局域網與公網的接口處將數據解封裝,被封裝的數據包在互聯網上傳播時的所經過的路徑被稱為“隧道”。常用的隧道協議有:
①點到點隧道協議—PPTP(現已基本淘汰)。
②第二層隧道協議—L2TP,該協議是標準隧道協議,具有PPTP協議以及第二層轉發協議(L2F)的優點,可以使PPP包以隧道方式通過各種網絡,包括ATM,SONET,幀中繼,但沒有任何加密措施。
③IPSec協議,該協議是一個范圍廣泛、開放的VPN安全協議,工作在網絡層。它提供所有在網絡層上的數據保護和透明的安全通信。可以在兩種模式下運行:一種是隧道模式,一種是傳輸模式。在隧道模式下IPSec把*4數據包封裝在安全的IP幀中;傳輸模式是為了保護端到端的安全性,不會隱藏路由信息。 目前一種趨勢是將L2TP和IPSec結合起來:用L2TP作為隧道協議,用IPSec協議保護數據。市場上大部分VPN采用這類技術。
④SOCKS v5協議,SOCKS v5工作在OSI模型中的第五層——會話層,可作為建立高度安全的VPN的基礎。SOCKS v5協議的優勢在訪問控制,因此適用于安全性較高的VPN,SOCKS v5現在被IETF建議作為VPN的標準。
VPN是在不安全的Internet上傳輸的,傳輸內容可能涉及到企業的機密數據,因此安全性非常重要。VPN中的安全技術通常由加密、認證及密鑰交換與管理組成。主要有認證技術,加密技術,秘鑰管理與交換技術。
(4)第4級安全保障:用戶網絡側的安全防火墻
防火墻技術是目前用來實現網絡安全措施的一種主要手段,主要是用來阻擋非法用戶的訪問,阻止非法用戶存取敏感數據,同時允許合法用戶順利訪問網絡資源。防火墻實際上是一種訪問控制技術,在某個機構的內部網絡和不安全網絡之間設置障礙,阻止對信息資源的非法訪問,也可以使用防火墻阻止保密信息從受保護網絡上的非法輸出。
實現防火墻的主要技術有:數據包過濾,應用網關和代理服務等。包過濾(Packet Filter)技術是在網絡層中對數據包實施有選擇的通過。依據系統內事先設定的過濾邏輯,檢查數據流中每個數據包后,根據數據包的源地址、目的地址、TCP/UDP源端口號、TCP/UDP目的端口號及數據包頭中的各種標志位等因素來確定是否允許數據包通過,其核心是安全策略即過濾算法的設計。應用網關(Application Gateway)技術是建立在網絡應用層上的協議過濾,它針對特別的網絡應用服務協議即數據過濾協議,并且能夠對數據包分析并形成相關的報告。應用網關可以嚴格控制某些易于登錄和控制的所有的輸出輸入通信環境,以防有價值的程序和數據被竊取。它的另一個功能是對通過的信息進行記錄,如什么樣的用戶在什么時間連接了什么站點。在實際工作中,應用網關一般使用專用工作站系統。代理服務器(Proxy Server)作用在應用層,用來提供應用層服務的控制,起到內部網絡向外部網絡申請服務時中間轉接作用。內部網絡只接受代理提出的服務請求,阻擋外部網絡其它節點的直接請求。用戶網絡可以選用適合于本單位的防火墻產品來保證自己網絡數據的安全。
(5)第5級安全保障:用戶網絡側的AAA鑒權認證
用戶網絡側的AAA鑒權認證可以實現對VPDN成員的身份認證。與第二級的安全保障不同,本級的AAA服務器將鑒別VPDN成員的用戶名和密碼的正確性。
username@xxx.133vpdn.bj中的域名將是中國電信公司提供給專網接入用戶的專有統一域名,用戶名(username)可以是VPDN中每個成員的或者其它標識。VPDN中成員的用戶名和密碼等資料將保存在用戶專網側的AAA服務器,具有很好的安全性和管理的靈活性。
六、總結
通過推出CDMA無線業務,可進一步提高服務質量,擴大服務范圍,使客戶擺脫空間、時間的限制,隨時隨地獲得銀行的服務,并通過交互形式自行操作,自我服務。有效地實施無線服務,對于拓寬服務地域和時域,方便持卡客戶,增加存款余額度,盡快搶占市場,縮短客戶與銀行的距離,樹立和提高銀行形象,增強市場競爭力,大力加速金融電子化建設步伐,有著十分重要的意義。