摘要:本文提出了一种基于CDMA的银行系统设计原理和实现方案,简要介绍了CDMA技术的基本知识,描述了CDMA 无线传输应用于金融数据传输的实现方法。通过实际应用,获得了理想的效果。
关键词:CDMA;VPDN;ATM机;银行;POS机;金融;无线;营业厅;组网;
一、背景介绍
随着中国经济高速发展,外资银行在国内纷纷开立相关机构,携其实力、技术和管理上的优势,迅速拓展其对华业务,中资银行正面临激烈的竞争,市场空间被迅速压缩。此外,随着新技术的不断应用和金融界相互之间融合、渗透的不断加深,传统银行业的经营模式正面临非银行金融机构、新兴IT技术公司和新的技术手段应用的冲击和挑战。
这一切都决定了中国银行业正面临着一场深刻的变革,通信技术正日益成为银行的核心竞争力,银行要充分利用通信技术,对现有的技术架构进行一次大的全面调整,建设新一代的综合业务系统,加强客户关系管理和维护,利用通信技术加快新业务品种的开发。
二、行业分析
对银行无线数据业务需求进行分析。
1、无线ATM
由于实线施工条件难度较大的原因,银行希望在写字楼、住宅小区等人口密集区安装ATM的计划难以实现。利用无线数据业务可以帮助银行实现ATM入住写字楼、住宅小区的计划。
2、无线营业厅
由于城市规划、施工环境等原因,银行营业网点在部分地区无法建立,同时考虑到建设成本等因素,银行方面希望可以通过无线传输将营业网点延伸到有线传输不能或不适宜建设营业网点的地区,通过无线传输将银行网点进行拓展、延伸。
3、用无线传输作备份电路
银行各营业网点与银行数据中心之间均采用实线连接(DDN或2M专线)。为了保证在实线传输中断的情况下,营业网点与银行数据中心能够正常通讯,银行方面希望采用无线传输链路作为备份链路,以保证在实线传输中断的情况下营业网点能够正常工作。
以上的银行无线数据传输需求,利用电信CDMA网络强大的数据业务功能,采用VPDN业务均可以满足银行的要求。
三、VPDN介绍
根据银行无线数据传输的需求,利用电信CDMA网络强大的数据业务功能,将银行营业网点与银行数据中心组成一个VPDN网,采用VPDN业务来实现无线数据传输。不仅可以满足银行一次性投资小,网点部署灵活简便,易于维护的要求,而且可以大大节约链路租用费,设备购置费以及网络维护费,减少企业的运营成本。
VPDN全称是Virtual Private Dial-up Network,又称为虚拟专用(或私有)拨号网,是VPN业务的一种,是基于拨号用户的虚拟专用拨号网(VPN)业务。亦即以拨号接入方式上网,通过利用电信公司CDMA分组网络上传输数据时,对网络数据的封包和加密,可以传输私有数据,达到私有网络的安全级别。它是利用IP网络的承载功能结合相应的认证和授权机制建立起来的安全的虚拟专用网(VPN),是近年来随着Internet的发展而迅速发展起来的一种技术。
VPDN的具体实现是采用隧道技术,即将企业网的数据封装在隧道中进行传输。隧道技术的基本过程是在源局域网与公网的接口处将数据(是OSI七层模型中的网络层数据)作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。目前VPN隧道协议可分为第三层隧道协议和第二层隧道协议。第二层隧道协议有点对点隧道协议(PPTP),第二层转发(L2F),第二层隧道协议(L2TP)三种。
VPDN主要是采用第二层隧道协议(L2TP),为什么会采用L2TP?有以下几点原因:
1、对于GRE及IPSec这些三层隧道协议,区分用户将比较困难;因为在三层(IP层),一般只能通过IP 地址来区分用户。对于VPN来说,用户的地址是可以重复的,这样,三层隧道协议不适合区分用户。
2、L2TP 是二层(链路层)的隧道协议,是作为PPP 的扩展提出来的。PPP适合区分不同的用户,比如拨号用户采取专线直连的对端路由器等等,因为PPP 可以得到对端的用户名。对于拨号用户接入这种情况来说,需要区分不同的VPN 用户,使用L2TP进行VPDN组建。
3、采用L2TP隧道协议,只分配企业网内部IP地址,而PPTP等第二层的隧道协议,要求有正式的IP地址,在拨入拨号服务器时,由拨号服务器提供,再二次拨入企业网关时,由企业网关分配内部网地址。
四、系统交易过程
(图)基于CDMA的银行系统示意图
1、系统构成部分
VPDN服务主要由CDMA路由,LAC和LNS(防火墙或者cisco接入路由器如C2600 Series),还有AAA和内部服务器,以下是各部分功能。
客户机: 连接在远程网络上的访问终端,是VPDN呼叫的发起者。
LAC: 是“第二层隧道协议(L2TP)访问集中器”(Layer 2 tunnel protocol Access Concentrator)的缩写,在CDMA分组网中是PDSN节点。它是L2TP隧道的其中一个端点,也是LNS的对端。LAC处于LNS和Client的中间,负责转发双方的数据包。从LAC发往LNS的数据包需要封装到L2TP隧道中,而从LAC到Client的连接则使用CDMA无线分组传输技术。
LNS: 是“第二层隧道协议网络服务器”(Layer 2 tunnel protocol Network Server)的缩写。它是L2TP隧道的另一个端点,也是LAC的对端。它是PPP会话的逻辑终点,而PPP会话被LAC封装成隧道形式,是从Client端开始的。
AAA server:AAA是认证(Authentication)、授权(Authorization)和记帐(Accounting)的缩写。AAA服务器负责对Client的身份进行验证。
2、实现过程
VPDN通常包括多种多样的协议实现方式,我们主要采用L2TP协议方式的VPDN。
企业远程用户(无线客户端)通过CDMA连入拜访地LAC。AAA服务器通过对域名和IMSI的认证识别出该用户为VPDN用户后,就和用户的目的VPDN服务器(企业内部服务器)建立一条连接,称为隧道,然后将用户数据包封装成IP报文后从该隧道传送给VPDN服务器,VPDN服务器收到数据包并拆封后就可以读到真正有意义的报文了。典型的L2TP-VPDN呼叫流程如下:
(1)远程用户(客户端)使用CDMA通过拨特服号呼叫接入服务器LAC(PDSN),例如用CDMA 1x modem卡拨号#777,并输入username@XXX.133VPDN.SX和密码进行呼叫。
(2)LAC将用户名、域名、密码、IMSI信息送至AAA认证服务器对用户进行认证,来确定该用户是否是VPDN的用户。
(3)如果信息为正确的VPDN用户信息,AAA认证服务器根据用户注册的信息向LAC(PDSN)发送建立L2TP隧道的对应参数(用户网关LNS信息,包括LNS IP地址等)。
(4)LAC用所获得的客户信息与LNS之间进行L2TP隧道建立,并将username@XXX.133VPDN.SX全部送给LNS,由LNS进行认证。
(5)LNS将username@XXX.133VPDN.SX送给自己的RADIUS服务器(认证服务器)。如果是合法用户则允许接入并保持L2TP隧道。
(6)LAC把客户机提供的用户名username@DomainName和相应的密码转发给LNS。LNS通过本地VPDN配置或者AAA服务器对客户提供的认证信息进行验证。认证通过,VPDN本身与LNS之间进行PPP握手,并由LNS向用户分配IP地址。
完成VPDN操作,用户可以利用PPP协议透过L2TP隧道进行互联并开始进行通信。
五、安全性
1、CDMA无线接入的工作流程:
在电信完成网络侧配置后,银行网点通过无线设备接入CDMA网络后,CDMA分组接入设备PDSN上通过L2TP隧道路由连到银行系统中心内的LNS路由器上,中间经过电信骨干网和线。
整个隧道的开启和通过均在电信网络内部,作为大型的电信运营商,有严格的安全管理和保护措施,确保网内的数据可靠,具有很高的安全性保障,而且不存在互连互通瓶颈,可以有效保证用户使用性能。
2、安全性保障
CDMA采用脱胎于军用技术的无线扩频技术,用户端到无线网络接入设备间的无线空中通道目前不可能被破解;无线分组设备到用户终端设备间,采用隧道穿过专线接入,可以有效保证整个系统的安全。要保护整体系统的安全,首先要保证网络本身的安全。必须尽可能地屏蔽外部非法访问及非法数据,对从外部网络连入的终端进行严格的用户认证及控制。针对CDMA的各环节,我们分别分析其安全性,并提供5级安全保障,从而充分保证网络中数据的安全。
(1)第一级安全保障:CDMA网络本身的安全性
目前世界上使用的移动通信网络主要有两种:GSM和CDMA。与GSM相比,CDMA网络系统在安全保密方面具有很大优势。CDMA本来就是起源军事保密技术,在战争期间广泛应用于军事领域,具有抗干扰、安全通信、保密性好的特性。进行移动手机信号的窃听一般使用以下三种方法。首先,需要捕捉到通信信号。在空间中充满了各种各样的无线电波,用户手机信号就混杂在其中。要想窃听某一个用户的通话,首先必须捕捉到这个用户手机发出的特定的电磁波。由于CDMA系统采用扩频技术,经过扩频以后的有用信号的频谱被大大地展宽了,用户信号隐蔽在互不相关的信号中,要想捕捉到这一有用信号非常困难。因此,窃听器捕捉不到,也无法识别出哪些是CDMA手机用户的通信信号,哪些是噪音。其次,窃听器必须锁定手机用户通信的信号,继而才能分析和破解信息。而CDMA采用快速切换功率控制技术,即便是窃听设备捕捉到了用户手机信号,也不能锁定快速功率切换下的有用信号,因此,快速功率切换让CDMA信号很难锁定。第三,需要破解用户信息编码。而CDMA采用伪随机码技术,用长达42位的伪随机码来标识区分用户,每次通话都有4.4万亿种可能的排列,窃听器很难破译出CDMA的编码。所以CDMA技术本身就很安全。
(2)第二级安全保障:CDMA网络侧的AAA认证
AAA是指认证(Authentication)、授权(Authorization)、计费(Accounting)三个过程,其中:认证是,用户在使用网络系统中的资源时对用户身份的确认。这一过程,通过与用户的交互获得身份信息(像用户名-口令、生物特征信息等),然后提交给认证服务器;认证服务器对身份信息与存储在数据库里的用户信息进行核对处理,然后根据处理结果确认用户身份是否正确。
授权是网络系统授权用户以特定的权限使用其资源,这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限,如授予IP地址,准许访问时间等。
计费是网络系统收集、记录用户对网络资源的使用信息,以便向用户收取资源使用费。以互联网业务提供商ISP为例,用户的网络接入使用情况可以按流量或者时间准确地记录下来。
认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益,又能有效地保障网络系统可靠地运行。
CDMA网络的AAA认证过程是对用户的域名进行鉴权认证,网中数据网的用户(VPDN成员)是以username@xxx.133vpdn.bj形式登录的(用户在电信登记入网时,北京电信分配其一个域名xxx.133vpdn.bj)。CDMA网络侧的AAA服务器对登录用户的域名和该用户的IMSI进行绑定审核验证。验证通过后,方可接入电信CDMA网络。
(3)第三级安全保障:CDMA网络和用户网络之间的VPN链接
CDMA网络和用户网络之间可以采用专线链接,也可以使用Internet链接。使用Internet链接必须考虑安全性,因此,可以使用VPN将二者利用Internet链接起来。
VPN技术非常复杂,涉及到通信技术、密码技术和现代认证技术。主要包含两种技术:隧道技术与安全技术。
隧道技术的基本过程是在源局域网与公网接口处将数据封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,被封装的数据包在互联网上传播时的所经过的路径被称为“隧道”。常用的隧道协议有:
①点到点隧道协议—PPTP(现已基本淘汰)。
②第二层隧道协议—L2TP,该协议是国际标准隧道协议,具有PPTP协议以及第二层转发协议(L2F)的优点,可以使PPP包以隧道方式通过各种网络,包括ATM,SONET,帧中继,但没有任何加密措施。
③IPSec协议,该协议是一个范围广泛、开放的VPN安全协议,工作在网络层。它提供所有在网络层上的数据保护和透明的安全通信。可以在两种模式下运行:一种是隧道模式,一种是传输模式。在隧道模式下IPSec把IPv4数据包封装在安全的IP帧中;传输模式是为了保护端到端的安全性,不会隐藏路由信息。 目前一种趋势是将L2TP和IPSec结合起来:用L2TP作为隧道协议,用IPSec协议保护数据。市场上大部分VPN采用这类技术。
④SOCKS v5协议,SOCKS v5工作在OSI模型中的第五层——会话层,可作为建立高度安全的VPN的基础。SOCKS v5协议的优势在访问控制,因此适用于安全性较高的VPN,SOCKS v5现在被IETF建议作为VPN的标准。
VPN是在不安全的Internet上传输的,传输内容可能涉及到企业的机密数据,因此安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。主要有认证技术,加密技术,秘钥管理与交换技术。
(4)第四级安全保障:用户网络侧的安全防火墙
防火墙技术是目前用来实现网络安全措施的一种主要手段,主要是用来拒绝非法用户的访问,阻止非法用户存取敏感数据,同时允许合法用户顺利访问网络资源。防火墙实际上是一种访问控制技术,在某个机构的内部网络和不安全网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上的非法输出。
实现防火墙的主要技术有:数据包过滤,应用网关和代理服务等。包过滤(Packet Filter)技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过,其核心是安全策略即过滤算法的设计。应用网关(Application Gateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关可以严格控制某些易于登录和控制的所有的输出输入通信环境,以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中,应用网关一般使用专用工作站系统。代理服务器(Proxy Server)作用在应用层,用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。用户网络可以选用适合于本单位的防火墙产品来保证自己网络数据的安全。
(5)第五级安全保障:用户网络侧的AAA鉴权认证
用户网络侧的AAA鉴权认证可以实现对VPDN成员的身份认证。与第二级的安全保障不同,本级的AAA服务器将鉴别VPDN成员的用户名和密码的正确性。
username@xxx.133vpdn.bj中的域名将是中国电信公司提供给专网接入用户的专有统一域名,用户名(username)可以是VPDN中每个成员的手机号码或者其它标识。VPDN中成员的用户名和密码等资料将保存在用户专网侧的AAA服务器,具有很好的安全性和管理的灵活性。
六、总结
通过推出CDMA无线业务,可进一步提高服务质量,扩大服务范围,使客户摆脱空间、时间的限制,随时随地获得银行的服务,并通过交互形式自行操作,自我服务。有效地实施无线服务,对于拓宽服务地域和时域,方便持卡客户,增加存款余额度,尽快抢占市场,缩短客户与银行的距离,树立和提高银行形象,增强市场竞争力,大力加速金融电子化建设步伐,有着十分重要的意义。