專(zhuān)利名稱(chēng):金融網(wǎng)點(diǎn)終端無(wú)線安全組網(wǎng)系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種金融行業(yè)的業(yè)務(wù)終端無(wú)線安全組網(wǎng)的系統(tǒng)及方法��。
背景技術(shù):
隨著移動(dòng)信息化關(guān)鍵技術(shù)創(chuàng)新應(yīng)用的發(fā)展,拓展移動(dòng)增值業(yè)務(wù)范圍和 市場(chǎng)��,面向社會(huì)�、面向個(gè)人的服務(wù)終端,已形成隨時(shí)在線隨時(shí)服務(wù)的移動(dòng) 信息社會(huì)�����,而金融網(wǎng)點(diǎn)的信息化是社會(huì)信息化的重要組成部分����。
當(dāng)前,金融業(yè)的主干網(wǎng)絡(luò)已經(jīng)覆蓋全國(guó)�,而城鎮(zhèn)銀行、社區(qū)街道��、商
務(wù)樓和農(nóng)村銀行�����、鎮(zhèn)村等金融網(wǎng)點(diǎn)終端的組網(wǎng)方式仍舊采用幀中繼�、DDN、 電話線撥號(hào)等十年前就存在的有線組網(wǎng)方式��。有線寬帶發(fā)展得比較好的城 鎮(zhèn)也有采用ADSL��、 FTTB+LAN寬帶作為金融網(wǎng)點(diǎn)終端組網(wǎng)的輔肋手段。但 是有線組網(wǎng)存在線路到位周期長(zhǎng)�����、安裝和使用成本高�����、不可移動(dòng)����、易被截 取線纜而非法入侵金融網(wǎng)絡(luò)等缺點(diǎn),無(wú)人值守的金融網(wǎng)點(diǎn)終端還易受到物 業(yè)�����、號(hào)線等人為因素的干擾���,而導(dǎo)致業(yè)務(wù)中斷和不連續(xù)性���。
當(dāng)前銀行ATM網(wǎng)絡(luò)環(huán)境中ATM ��、 CDM ��、信用卡P0S仍采用專(zhuān)線或 MODEM電話線撥號(hào)的方式來(lái)接入金融網(wǎng)絡(luò),它包括
專(zhuān)線方式采用DDN或幀中繼專(zhuān)線的方式接入��,通訊質(zhì)量好���,24小 時(shí)在線�。其缺點(diǎn)在于線路到位的周期長(zhǎng)��、成本高��、不可移動(dòng)�����;還有在復(fù)雜的離行環(huán)境里容易受到物業(yè)�����、號(hào)線等人為因素的干擾導(dǎo)致業(yè)務(wù)不能持續(xù)�。
電話線撥號(hào)采用MODEM接入,靈活性高����,任何有電話的地方就可以 建立業(yè)務(wù)。其缺點(diǎn)在于業(yè)務(wù)繁忙時(shí)經(jīng)常忙線掉線��、電話線易被偵聽(tīng),導(dǎo)
致安全性不高而且業(yè)務(wù)負(fù)荷也不能太高�。
其主要問(wèn)題包括
1)、設(shè)備成本較高由于離行式自助設(shè)備無(wú)從借助本行營(yíng)業(yè)場(chǎng)所的 通訊線路����,所以必須另需采購(gòu)數(shù)據(jù)通訊設(shè)備和網(wǎng)絡(luò)設(shè)備。設(shè)備雖然經(jīng)過(guò)供 應(yīng)商競(jìng)標(biāo)���,但采購(gòu)成本仍偏高(總價(jià)約13000元)���。
2)、申請(qǐng)時(shí)間較長(zhǎng)申請(qǐng)幀中繼專(zhuān)線涉及到電信和安裝當(dāng)?shù)氐奈飿I(yè)�����, 電信內(nèi)部又涉及線路施工和數(shù)據(jù)施工等不同的部門(mén)����, 一般至少需要一個(gè)月 的時(shí)間。
3) ��、無(wú)線路資源無(wú)法開(kāi)通有些地區(qū)因所處地區(qū)話局無(wú)線路資源無(wú) 法開(kāi)通專(zhuān)線�, 一直使用電話拔號(hào)的通訊方式,不但線路不穩(wěn)定且通信費(fèi)用 較高。
4) ���、故障較多、維修耗時(shí)較長(zhǎng)為保證每臺(tái)自助設(shè)備的交易筆數(shù)����, 設(shè)備的安裝地點(diǎn)往往在靠近大門(mén)、樓梯口等人流密集處�����。這些地點(diǎn)一般都 沒(méi)有現(xiàn)成的通訊信息點(diǎn)和電源�����,需要臨時(shí)施工�����,線路鋪設(shè)質(zhì)量難以保證���, 再加上使用環(huán)境較差���,因此離行式自助設(shè)備的通訊故障率,據(jù)統(tǒng)計(jì)一般要 占到所有故障的三分之一,占到所有停機(jī)時(shí)間的二分之一�����。通訊線路故障 維修時(shí)需要多方人員到現(xiàn)場(chǎng)會(huì)診才能解決�,故維修時(shí)間也較長(zhǎng)。
5) ��、設(shè)備遷移困難根據(jù)業(yè)務(wù)發(fā)展的需要����,已投用的離行式ATM經(jīng)常需要移動(dòng)位置,而有線通訊的方式?jīng)Q定了一旦移動(dòng)位置后��,要有一個(gè)較 長(zhǎng)的周期才能重新投入使用��。如在內(nèi)部移動(dòng)��,則要重新鋪設(shè)內(nèi)部線路���,如 移動(dòng)到別的地點(diǎn)�����,則申請(qǐng)線路的過(guò)程又要重復(fù)一遍��。
上述有線聯(lián)網(wǎng)方式���,無(wú)論是幀中繼專(zhuān)線���,還是拔號(hào)都是有線的通訊方 式應(yīng)用在離行式自助設(shè)備上都暴露出許多不足之處�。
面對(duì)以上有線聯(lián)網(wǎng)方式的諸多不足,采用移動(dòng)通信技術(shù)實(shí)現(xiàn)金融業(yè)務(wù) 終端無(wú)線安全組網(wǎng)會(huì)更有優(yōu)勢(shì)���。
目前���,世界上成熟使用的移動(dòng)通信網(wǎng)絡(luò)主要有兩種GSM和CDMA。與 GSM相比����,CDMA網(wǎng)絡(luò)系統(tǒng)在安全保密方面具有很大優(yōu)勢(shì)。C躍A本來(lái)就是起 源軍事保密技術(shù)�����,在戰(zhàn)爭(zhēng)期間廣泛應(yīng)用于軍事領(lǐng)域�����,具有抗干擾、安全通 信��、保密性好的特性��。C固A通信技術(shù)有三個(gè)特點(diǎn)����。首先,CDMA系統(tǒng)采用 擴(kuò)頻技術(shù)��,經(jīng)過(guò)擴(kuò)頻以后的有用信號(hào)的頻譜被大大地展寬了�����,用戶信號(hào)隱 蔽在互不相關(guān)的信號(hào)中��,要想捕捉到這一有用信號(hào)非常困難���。其次�����,CDMA 采用快速切換功率控制技術(shù)���,使竊聽(tīng)者很難鎖定有用信號(hào)�����。第三���,CDMA采 用偽隨機(jī)碼技術(shù),每次通信都有4.4萬(wàn)億種可能的排列�,竊聽(tīng)器很難破譯 出C固A的編碼。所以�,金融行業(yè)的業(yè)務(wù)終端無(wú)線組網(wǎng)��,采用CDMA通信方 式更為安全�����。
但是����,普通CDMA技術(shù)無(wú)線組網(wǎng)仍存在安全隱患,包括無(wú)線撥號(hào)的 用戶名�����、密碼控制權(quán)在CDMA網(wǎng)絡(luò)運(yùn)營(yíng)商��;用戶名密碼未綁定無(wú)線設(shè)備; 無(wú)線端設(shè)備未綁定后端金融機(jī)具�����;業(yè)務(wù)數(shù)據(jù)對(duì)運(yùn)營(yíng)商透明�����;無(wú)線端如采用 串口設(shè)備無(wú)法應(yīng)對(duì)線路信號(hào)等環(huán)境問(wèn)題���;無(wú)線端設(shè)備無(wú)固定IP��。
發(fā)明內(nèi)容
本發(fā)明目的在于提供一種金融網(wǎng)點(diǎn)終端無(wú)線安全組網(wǎng)系統(tǒng)及方法����,以 解決金融網(wǎng)點(diǎn)終端無(wú)線組網(wǎng)系統(tǒng)的安全性問(wèn)題和適合金融網(wǎng)點(diǎn)終端無(wú)線 組網(wǎng)系統(tǒng)的成套性技術(shù)問(wèn)題���。
CDMA網(wǎng)絡(luò)側(cè)的AAA認(rèn)證是指認(rèn)證(Authentication)授權(quán) (Authorization)計(jì)費(fèi)(Accounting)三個(gè)過(guò)程認(rèn)證�、授權(quán)禾口計(jì)費(fèi)一起 實(shí)現(xiàn)了網(wǎng)絡(luò)系統(tǒng)對(duì)特定用戶的網(wǎng)絡(luò)資源使用情況的準(zhǔn)確記錄����。這樣既在 一定程度上有效地保障了合法用戶的權(quán)益,又能有效地保障網(wǎng)絡(luò)系統(tǒng)安 全可靠地運(yùn)行���。CDMA網(wǎng)絡(luò)側(cè)的AAA認(rèn)證過(guò)程是對(duì)用戶的域名進(jìn)行鑒權(quán)認(rèn) 證�,其中數(shù)據(jù)網(wǎng)的用戶(VPDN成員)是以u(píng)sername@xxx. 133vpdn. xx形 式登錄的。CDMA網(wǎng)絡(luò)側(cè)的AAA軟件認(rèn)證服務(wù)器對(duì)登錄用戶的域名和該用 戶的頂SI進(jìn)行核對(duì)驗(yàn)證����。驗(yàn)證通過(guò)后,方可接入CDMA網(wǎng)絡(luò)�。
CDMA網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間可以采用專(zhuān)線鏈接,也可以使用Internet 鏈接����。使用Internet鏈接必須考慮安全性,因此���,可以使用VPN將二者 利用Internet鏈接起來(lái)。
VPN技術(shù)非常復(fù)雜涉及到通信技術(shù)�、密碼技術(shù)和現(xiàn)代認(rèn)證技術(shù)。主 要包含兩種技術(shù)隧道技術(shù)與安全技術(shù)��。隧道技術(shù)的基本過(guò)程是在源局 域網(wǎng)域公網(wǎng)接口處將數(shù)據(jù)封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中�, 在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝,被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng) 上傳播時(shí)的所經(jīng)過(guò)的路徑被稱(chēng)為"隧道"�����。常用的隧道協(xié)議有1.點(diǎn)到 點(diǎn)隧道協(xié)議一PPTP (現(xiàn)己基本淘汰);2.第二層隧道協(xié)議一L2TP����,該協(xié) 議是國(guó)際標(biāo)準(zhǔn)隧道協(xié)議,PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點(diǎn)����,以隧道方式使PPP包通過(guò)各種網(wǎng)絡(luò)協(xié)議,包括ATM��、 S0NET��、幀中繼��。但沒(méi) 有任何加密措施����;3. IPSec協(xié)議,該協(xié)議是一個(gè)范圍廣泛���、開(kāi)放的VPN 安全協(xié)議�,工作在網(wǎng)絡(luò)層�����。它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的 安全通信?����?梢栽趦煞N模式下運(yùn)行 一種是隧道模式��, 一種是傳輸模式�����。 在隧道模式下IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀中�;傳輸模式是 為了保護(hù)端到端的安全性。
防火墻技術(shù)是目前用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段��,主要是 用來(lái)拒絕未經(jīng)授權(quán)用戶的訪問(wèn)�,阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù),同時(shí) 允許合法用戶不受妨礙地訪問(wèn)網(wǎng)絡(luò)資源�����。防火墻實(shí)際上是一種訪問(wèn)控制 技術(shù)���,在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙,阻止對(duì)信息資 源的非法訪問(wèn)��,也可以使用防火墻阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法 輸出。
用戶網(wǎng)絡(luò)側(cè)的AAA鑒權(quán)認(rèn)證可以實(shí)現(xiàn)對(duì)VPDN成員的身份認(rèn)證����。本 級(jí)的AAA軟件認(rèn)證服務(wù)器將鑒別VPDN成員的用戶名和密碼的正確性。 username@xxx. 133vpdn. xx中的域名將是CDMA運(yùn)營(yíng)商提供給專(zhuān)網(wǎng)接入用 戶的專(zhuān)有統(tǒng)一域名����,用戶名可以根據(jù)用戶自身特點(diǎn)來(lái)命名。VPDN中成員 的用戶名和密碼等資料將保存在專(zhuān)網(wǎng)側(cè)的AAA軟件認(rèn)證服務(wù)器�����,具有很 好的安全性和靈活的管理性�。而且本發(fā)明采用本申請(qǐng)人生產(chǎn)銷(xiāo)售的 DCBI-3000-IMSI AAA服務(wù)軟件,該軟件具有認(rèn)證�����、授權(quán)���、計(jì)費(fèi)功能����,在
本發(fā)明中負(fù)責(zé)對(duì)無(wú)線聯(lián)入金融網(wǎng)絡(luò)的設(shè)備進(jìn)行認(rèn)證,在驗(yàn)證用戶名和密 碼的同時(shí)�����,復(fù)合驗(yàn)證該帳戶綁定的CDMA UIM卡的IMSI串號(hào)�����,這就杜絕
了用戶名和密碼被單獨(dú)盜用的風(fēng)險(xiǎn)�����,從而使安全系數(shù)成倍提高�。本發(fā)明的技術(shù)方案是
1) 、用戶名密碼權(quán)
由于普通個(gè)人無(wú)線用戶在CDMA運(yùn)營(yíng)商內(nèi)部?jī)H認(rèn)證U頂卡號(hào)���,并對(duì)應(yīng) 計(jì)費(fèi)�����;而所有的個(gè)人用戶在登陸運(yùn)營(yíng)商網(wǎng)絡(luò)的過(guò)程都使用統(tǒng)一的用戶名密 碼�����。因此需要向運(yùn)營(yíng)商申請(qǐng)VPDN的移動(dòng)專(zhuān)網(wǎng)業(yè)務(wù), 一方面將金融機(jī)構(gòu)的 無(wú)線網(wǎng)點(diǎn)在運(yùn)營(yíng)商內(nèi)部獨(dú)立劃分出一個(gè)只允許內(nèi)部通訊的專(zhuān)有網(wǎng)絡(luò);另一 方面申請(qǐng)了 VPDN業(yè)務(wù)后���,運(yùn)營(yíng)商會(huì)向申請(qǐng)機(jī)構(gòu)分發(fā)一個(gè)用戶識(shí)別碼��,例 如CDMA運(yùn)營(yíng)商會(huì)下發(fā)一個(gè)^ompanyname. 133vpdn. bj的域名�����,而用 xXXx@companyname. 133vpdn. b j這樣含有指定后綴域名的用戶名登陸 CDMA1X網(wǎng)絡(luò)的���,則運(yùn)營(yíng)商就會(huì)把這樣的用戶名包括密碼轉(zhuǎn)交用戶自己的 AAA軟件認(rèn)證服務(wù)器來(lái)驗(yàn)證。本發(fā)明以此種方式將用戶名密碼權(quán)交給到金 融機(jī)構(gòu)自己手里��。
2) ��、用戶名密碼綁定無(wú)線設(shè)備
由于用戶名密碼畢竟只是幾個(gè)不同復(fù)雜程度的字符串����,總有意外泄露
的可能性。如果金融機(jī)構(gòu)的AAA軟件認(rèn)證服務(wù)器僅驗(yàn)證用戶名密碼����,那么 就無(wú)法控制利用泄露的正常用戶名密碼使用非法終端入侵的情況。
在運(yùn)營(yíng)商的網(wǎng)絡(luò)里其實(shí)每個(gè)133的CDMA卡號(hào)并不是物理唯一的��,而 是每張UIM卡擁有一個(gè)唯一的串號(hào),例如UIM卡的串號(hào)稱(chēng)為IMSI串號(hào)�����。 金融機(jī)構(gòu)在申請(qǐng)無(wú)線業(yè)務(wù)時(shí)可從運(yùn)營(yíng)商獲得自己使用的UIM卡的唯一串 號(hào)���。故本發(fā)明在AAA軟件認(rèn)證服務(wù)器上實(shí)現(xiàn)在認(rèn)證用戶名密碼的同時(shí)附加 認(rèn)證IMSI串號(hào)的功能���。由于UIM卡都裝載在無(wú)線終端設(shè)備里,如果要獲 得指定IMSI串號(hào)的UIM卡只能拆開(kāi)或拿走無(wú)線終端設(shè)備��,這樣很容附帶的監(jiān)控系統(tǒng)發(fā)現(xiàn)�,用戶在中心端也可以隨時(shí)將出現(xiàn)意外情況的UIM卡 相對(duì)應(yīng)的用戶名禁用停用,甚至可以聯(lián)系運(yùn)營(yíng)商通過(guò)對(duì)開(kāi)啟該頂SI串號(hào)
u頂卡的設(shè)備進(jìn)行全球定位�����。
3) ��、無(wú)線端設(shè)備綁定后端金融機(jī)具
上面介紹的是無(wú)線撥號(hào)帳戶/密碼綁定無(wú)線端的設(shè)備���,那么把金融終 端的機(jī)具和無(wú)線端的設(shè)備連接線纜拔開(kāi)換上非法終端呢����?對(duì)于這樣的安
全問(wèn)題,本發(fā)明一方面在無(wú)線端的設(shè)備的IP子網(wǎng)采用30位的掩碼�,如此
每個(gè)子網(wǎng)除了無(wú)線端的設(shè)備占用一個(gè)IP��,只剩一個(gè)IP可以供金融終端的
機(jī)具使用���,防止篡改IP的問(wèn)題��;本發(fā)明另一方面在無(wú)線端的設(shè)備里增加 綁定金融終端的機(jī)具IP和MAC地址的功能��;那么則無(wú)線端金融終端的機(jī) 具必須IP和MAC地址都符合配置才能接入�。
4) ����、加密業(yè)務(wù)數(shù)據(jù)對(duì)運(yùn)營(yíng)商非透明化其中包括 采用數(shù)據(jù)加密手段,在無(wú)線端和用戶中心的路由器之間建立基于3DES
算法的IPSEC隧道����,所有的業(yè)務(wù)數(shù)據(jù)都在此加密隧道里傳輸,以達(dá)到避免 運(yùn)營(yíng)商內(nèi)部人員惡意或意外獲得金融數(shù)據(jù)��。不允許非加密數(shù)據(jù)在網(wǎng)內(nèi)傳 輸���。
對(duì)于用戶名密碼傳輸加密�����,在運(yùn)營(yíng)商將用戶名密碼轉(zhuǎn)給金融機(jī)構(gòu)自己 的AAA軟件認(rèn)證服務(wù)器的傳輸過(guò)程中存在安全盲點(diǎn)��,本發(fā)明可以在運(yùn)營(yíng)商 將無(wú)線信號(hào)轉(zhuǎn)化成IP分組信息的設(shè)備和用戶中心的路由器之間建立L2TP 加密隧道���,用戶名密碼就在這個(gè)L2TP加密隧道內(nèi)傳輸以達(dá)到安全級(jí)別��。
5) ����、無(wú)線端設(shè)備無(wú)固定IP:
動(dòng)態(tài)IP的接入方式會(huì)導(dǎo)致中心端無(wú)法從IP數(shù)據(jù)報(bào)文上確認(rèn)遠(yuǎn)程無(wú)線端的金融終端��,有些項(xiàng)目中也有變通的在所有的金融終端傳輸?shù)臄?shù)據(jù)報(bào)文 中添加終端號(hào)的方式來(lái)解決�����,仍增加了很多工作量�����, 一旦有新的金融終端
型號(hào)加入����,則仍需附加工作����。在本發(fā)明中金融機(jī)構(gòu)內(nèi)部采用了自己的AAA 軟件認(rèn)證服務(wù)器����,所以在AAA軟件認(rèn)證服務(wù)器上針對(duì)每個(gè)用戶分發(fā)指定的 IP即可解決此問(wèn)題�。所有的數(shù)據(jù)都可回朔査詢,可以快速的定位問(wèn)題�。
一種金融網(wǎng)點(diǎn)終端無(wú)線安全組網(wǎng)系統(tǒng),其特征在于它包括接口
路由器�、中心端VPN加密防火墻、AAA軟件認(rèn)證服務(wù)器�、無(wú)線CDMA路由
器,其中
所述的接口路由器����,它主要接收由CDMA運(yùn)營(yíng)商轉(zhuǎn)發(fā)來(lái)的業(yè)務(wù)數(shù)據(jù)和 無(wú)線CDMA路由器發(fā)起認(rèn)證請(qǐng)求;該接口路由器應(yīng)根據(jù)業(yè)務(wù)的數(shù)量����,即遠(yuǎn) 程聯(lián)入的無(wú)線CDMA路由器數(shù)量來(lái)配備相適應(yīng)的寬帶DDN數(shù)據(jù)鏈路;至少 要求2M的專(zhuān)線鏈路��;CDMA運(yùn)營(yíng)商的認(rèn)證請(qǐng)求是通過(guò)L2TP的加密協(xié)議轉(zhuǎn) 發(fā)到用戶網(wǎng)絡(luò)�,接口路由器支持L2TP的加密協(xié)議����。
所述的中心端VPN加密防火墻�,它主要和無(wú)線CDMA路由器之間建立 一個(gè)IPSEC+3DES加密的隧道,使業(yè)務(wù)數(shù)據(jù)在加密隧道內(nèi)安全傳輸�;該防 火墻的關(guān)鍵參數(shù)是能夠穩(wěn)定接入無(wú)線CDMA路由器發(fā)起IPSEC+3DES加密 隧道的數(shù)量。
所述的AAA軟件認(rèn)證服務(wù)器�����,它包括-
A)�����、由用戶分配無(wú)線CDMA路由器私有IP地址�,而非通常的公網(wǎng) IP,這樣使整個(gè)業(yè)務(wù)網(wǎng)絡(luò)脫離公網(wǎng)傳輸形成一個(gè)用戶獨(dú)立的VPN網(wǎng)絡(luò), 以保證業(yè)務(wù)數(shù)據(jù)的安全�;B) 、根據(jù)CDMA UIM卡唯一的頂SI串號(hào)來(lái)區(qū)別用戶的合法性��,通 過(guò)頂SI串號(hào)+用戶名+密碼的認(rèn)證方式����,通過(guò)軟件硬件相結(jié)合來(lái)確認(rèn)遠(yuǎn)端 用戶的合法性。如�,可選用本申請(qǐng)人開(kāi)發(fā)的DCBI-IMSI AAA軟件認(rèn)證服 務(wù)器����,它具有IMSI認(rèn)證的功能����;
C) 、固定用戶登陸業(yè)務(wù)網(wǎng)絡(luò)的IP地址����,保證其唯一性�����;保證無(wú)線 CDMA路由器和其傳輸?shù)臉I(yè)務(wù)的唯一對(duì)應(yīng)關(guān)系�,以符合金融業(yè)務(wù)對(duì)業(yè)務(wù)的 追述要求。
所述的無(wú)線CDMA路由器����,支持3DES加密功能,以保證端到端業(yè)務(wù)安 全�。選用由本申請(qǐng)人生產(chǎn)的DCWL-280CR-VD支持對(duì)后端連接的ATM、 POS 等金融設(shè)備的硬件綁定�,可阻止非法的設(shè)備在業(yè)務(wù)生產(chǎn)網(wǎng)內(nèi)傳輸任何數(shù) 據(jù)。
在本發(fā)明中采用了 VPDN技術(shù)����,它是利用隧道技術(shù)���,通過(guò)在專(zhuān)用或公 用網(wǎng)絡(luò)上建立邏輯隧道,對(duì)網(wǎng)絡(luò)層進(jìn)行加密以及采用口令保護(hù)��、身份驗(yàn)證 等措施而實(shí)現(xiàn)的���。CDMA1X分組網(wǎng)的VPDN業(yè)務(wù)是以高速分組數(shù)據(jù)網(wǎng)為承載�����, 為金融機(jī)構(gòu)建立VPDN虛擬專(zhuān)用內(nèi)部網(wǎng)絡(luò)��,使金融業(yè)務(wù)網(wǎng)點(diǎn)無(wú)論布放到何 處��,均可采用無(wú)線CDMA路由器+金融終端方式進(jìn)入機(jī)構(gòu)內(nèi)部專(zhuān)網(wǎng)����。金融業(yè) 務(wù)網(wǎng)點(diǎn)通過(guò)CDMA1X分組域的接入認(rèn)證����,在PDSN和金融機(jī)構(gòu)信息中心之間 建立起專(zhuān)用隧道,然后通過(guò)3A軟件認(rèn)證平臺(tái)的認(rèn)證后,3A軟件認(rèn)證平臺(tái) 為撥入用戶分配指定的內(nèi)網(wǎng)IP地址�����,無(wú)線CDMA路由器經(jīng)過(guò)分組網(wǎng)的PDSN 與中心的LNS路由器間建立起PPP連接����,在無(wú)線CDMA路由器和中心加密 防火墻再建立一個(gè)基于3DES算法的IPSEC的加密隧道,用戶傳輸?shù)臄?shù)據(jù) 流通過(guò)隧道到達(dá)金融機(jī)構(gòu)信息中心�,業(yè)務(wù)網(wǎng)點(diǎn)就像直接通過(guò)專(zhuān)線連接到中心網(wǎng)絡(luò)一樣。
本發(fā)明的優(yōu)點(diǎn)在于
1) ��、本發(fā)明具有較高的安全性通過(guò)采用多種技術(shù)和設(shè)備���,實(shí)現(xiàn)了多 級(jí)安全措施�����,完全可以保證企業(yè)電子銀行應(yīng)用的安全性。比傳統(tǒng)窄帶模擬 撥號(hào)的安全性有極大的提高��,即便與安全性本已很高的專(zhuān)線方式相比���,因 為增加了 IPSec加密隧道一級(jí)的措施��,安全性也更高����,可以說(shuō),數(shù)據(jù)被竊 取的可能性幾乎為零�。
2) 、安裝部署迅速�����,維護(hù)簡(jiǎn)單對(duì)金融機(jī)構(gòu)來(lái)說(shuō)���,針對(duì)所有的業(yè)務(wù)網(wǎng) 點(diǎn)����,只需要一次性開(kāi)通與運(yùn)營(yíng)商的專(zhuān)線����,并在銀行安裝L2TP路由器、IPSec 防火墻和AAA軟件認(rèn)證服務(wù)器���,以后新開(kāi)通網(wǎng)點(diǎn)所需的工作量只是在AAA 軟件認(rèn)證服務(wù)器上維護(hù)用戶名��、密碼���、IMSI和IP地址��,很少對(duì)路由器和 防火墻進(jìn)行配置調(diào)整����,而AAA軟件認(rèn)證服務(wù)器提供Web界面���,易學(xué)易用����。 專(zhuān)線方式下����,新的網(wǎng)點(diǎn)增加時(shí),需要開(kāi)通調(diào)試專(zhuān)線��,重新配置路由器���,這 些工作都需要專(zhuān)業(yè)技術(shù)人員完成,而且很容易對(duì)已開(kāi)通用戶造成影響��。撥 號(hào)方式下����,可能需要增加中繼線�,對(duì)路由器也需要重新配置����。對(duì)業(yè)務(wù)網(wǎng)點(diǎn) 來(lái)說(shuō),與有線方式不同����,沒(méi)有布線、申請(qǐng)撥號(hào)電話線�、申請(qǐng)專(zhuān)線的過(guò)程, 部署所需的工作只是用網(wǎng)線將金融終端的物理機(jī)具和無(wú)線CDMA路由器連 接�����,通過(guò)WEB配置界面對(duì)路由器的VPDN用戶名�����、密碼等很少幾項(xiàng)參數(shù)進(jìn) 行配置�,基本即插即用,任何一個(gè)稍具計(jì)算機(jī)知識(shí)的人員都可完成��,無(wú)霜 專(zhuān)業(yè)的網(wǎng)絡(luò)技術(shù)人員�����。而無(wú)線方式下,很多的網(wǎng)絡(luò)管理工作都由運(yùn)營(yíng)商來(lái) 完成�����,金融機(jī)構(gòu)和業(yè)務(wù)網(wǎng)點(diǎn)需要做的工作較少�。
3)、網(wǎng)絡(luò)建設(shè)����、維護(hù)成本低對(duì)金融機(jī)構(gòu)來(lái)說(shuō),若使用無(wú)線安網(wǎng)方式��,新建金融網(wǎng)點(diǎn)時(shí)���,金融中心不必增加和升級(jí)硬件設(shè)備����,而且維 護(hù)簡(jiǎn)單����,工作量少���,也節(jié)約了網(wǎng)絡(luò)管理人員的成本支出�。而原有專(zhuān)線或 撥號(hào)方式聯(lián)網(wǎng)方式下,新建金融網(wǎng)點(diǎn)時(shí)�����,金融中心設(shè)備也需要增加或擴(kuò) 容�����,而且新增專(zhuān)線和配套設(shè)備的成本也很高�����。尤其對(duì)于建立臨時(shí)金融網(wǎng) 點(diǎn)和金融網(wǎng)點(diǎn)搬遷時(shí)���,采用無(wú)線安全組網(wǎng)方式更能大幅節(jié)約費(fèi)用��。
4)��、覆蓋范圍廣�,資源要求低CDMA無(wú)線網(wǎng)絡(luò)經(jīng)過(guò)多年的發(fā)展�,覆 蓋范圍很廣,幾乎任何辦公地點(diǎn)都可使用���,不存在撥號(hào)方式和專(zhuān)線方式 經(jīng)常遇到的沒(méi)有線路資源的問(wèn)題�����。由于無(wú)線網(wǎng)絡(luò)固有的特性����,排除了物 業(yè)、現(xiàn)場(chǎng)����、人員等許多環(huán)境因素的干擾,可迅速開(kāi)通使用�����,縮短了實(shí)施 周期���。
本發(fā)明能使無(wú)法鋪設(shè)電纜的邊遠(yuǎn)地區(qū)和有線盲區(qū)實(shí)現(xiàn)網(wǎng)絡(luò)連接���,促 進(jìn)金融網(wǎng)點(diǎn)的大覆蓋,加速金融業(yè)務(wù)的邊緣化�、個(gè)性化拓展,尤其目前市 民正在呼喚銀行增加網(wǎng)點(diǎn),減少排隊(duì)時(shí)間�。本發(fā)明組網(wǎng)快、成本低����、可移 動(dòng)使用���,是金融網(wǎng)點(diǎn)終端組網(wǎng)一種好的選擇���。
圖1為本發(fā)明金融網(wǎng)點(diǎn)終端無(wú)線安全組網(wǎng)系統(tǒng)拓?fù)涫疽鈭D。
圖2為本發(fā)明中金融網(wǎng)點(diǎn)終端無(wú)線安全接入流程圖����。
具體實(shí)施例方式
下面結(jié)合實(shí)施例及附圖對(duì)本發(fā)明作進(jìn)一步的說(shuō)明。
如圖1所示���,本發(fā)明金融網(wǎng)點(diǎn)終端無(wú)線安全組網(wǎng)系統(tǒng)�����,它包括:金融機(jī)具l�����,它包括自動(dòng)提款機(jī)��、金融查詢機(jī)等�;
無(wú)線CDMA路由器2,它是提供CDMA聯(lián)網(wǎng)功能的設(shè)備�����,它與路由器3 建立L2TP VPN安全連接��;并與防火墻建立IPSEC VPN安全連接���;
接口路由器3���,它是金融中心和CDMA運(yùn)營(yíng)商建立專(zhuān)線連接的網(wǎng)絡(luò)設(shè) 備,它與無(wú)線CDMA路由器2建立L2TP VPN安全連接���;
中心端VPN加密防火墻4�����,它是保護(hù)金融中心網(wǎng)絡(luò)安全的設(shè)備��;它 與無(wú)線CDMA路由器2建立IPSEC VPN安全連接�;
AAA軟件認(rèn)證服務(wù)器5,它負(fù)責(zé)對(duì)請(qǐng)求聯(lián)入金融中心的無(wú)線CDMA路 由器2做安全認(rèn)證�����。
其中�,所述的無(wú)線CDMA路由器2,支持IPSEC VPN功能以保證端到 端業(yè)務(wù)安全�����。采用的本申請(qǐng)人生產(chǎn)的DCWL-280CR-VD無(wú)線CDMA路由器 支持對(duì)后端連接的ATM�、 POS等金融設(shè)備的硬件綁定���,可阻止非法的設(shè) 備在業(yè)務(wù)生產(chǎn)網(wǎng)內(nèi)傳輸任何數(shù)據(jù)��。
所述的接口路由器3�,它主要接收由CDMA運(yùn)營(yíng)商轉(zhuǎn)發(fā)來(lái)的業(yè)務(wù)數(shù)據(jù) 和無(wú)線CDMA路由器2發(fā)起認(rèn)證請(qǐng)求���,該接口路由器3應(yīng)根據(jù)業(yè)務(wù)的數(shù)量����, 即遠(yuǎn)程聯(lián)入的無(wú)線CDMA路由器2數(shù)量來(lái)配備相適應(yīng)的寬帶DDN數(shù)據(jù)鏈 路�����;至少要求2M的專(zhuān)線鏈路;而CDMA運(yùn)營(yíng)商的認(rèn)證請(qǐng)求是通過(guò)L2TP 的加密協(xié)議轉(zhuǎn)發(fā)到用戶網(wǎng)絡(luò)���,由此可見(jiàn)接口路由器3必須支持L2TP VPN���。
所述的中心端VPN加密防火墻4,它主要和無(wú)線C躍A路由器2之間 建立一個(gè)IPSEC+3DES加密的隧道���,使業(yè)務(wù)數(shù)據(jù)在加密隧道內(nèi)安全傳輸�; 該防火墻的關(guān)鍵參數(shù)是能夠穩(wěn)定接入無(wú)線CDMA路由器2發(fā)起 IPSEC+3DES加密隧道的數(shù)量��。所述的AAA軟件認(rèn)證服務(wù)器5���,可由用戶分配無(wú)線CDMA路由器2私有 IP地址��,而非通常的公網(wǎng)IP,這樣使整個(gè)業(yè)務(wù)網(wǎng)絡(luò)脫離公網(wǎng)傳輸形成一 個(gè)用戶獨(dú)立的VPN網(wǎng)絡(luò)�����,保證了業(yè)務(wù)數(shù)據(jù)的安全�;可以根據(jù)CDMAUIM卡 唯一的頂SI串號(hào)來(lái)區(qū)別用戶的合法性����,通過(guò)IMSI串號(hào)+用戶名+密碼的認(rèn) 證方式�,通過(guò)軟件硬件相結(jié)合來(lái)確認(rèn)遠(yuǎn)端用戶的合法性���;可以固定用戶登 陸業(yè)務(wù)網(wǎng)絡(luò)的IP地址����,保證其唯一性�����;保證了無(wú)線CDMA路由器2和其傳 輸?shù)臉I(yè)務(wù)的唯一對(duì)應(yīng)關(guān)系�����,符合了金融機(jī)構(gòu)對(duì)業(yè)務(wù)的追述要求�。
如圖2所示�,本發(fā)明金融網(wǎng)點(diǎn)終端無(wú)線安全組網(wǎng)系統(tǒng)處理方法步驟
是-
A) 、無(wú)線CDMA路由器設(shè)備撥號(hào)�����;
B) ����、基站和基站控制中心負(fù)責(zé)為此次連接分配各種資源����,并建立 用戶和PDSN的連接�����;PDSN和用戶終端開(kāi)始建立PPP協(xié)商�����,并選用認(rèn)證 方式PAP或CHAP;
C) ����、運(yùn)營(yíng)商的AAA認(rèn)證服務(wù)器根據(jù)PDSN打包發(fā)送的用戶信息,判 斷是否為VPDN用戶�;如果是,就返回相應(yīng)的LNS地址以及建立隧道用的
共享密鑰�;如果不是,就終止認(rèn)證流程��;
D) ����、 PDSN根據(jù)收到的LNS信息����,和中心LNS路由器建立L2TP隧 道����;無(wú)線CDMA路由器設(shè)備和中心LNS路由器之間建立PPP協(xié)商;
E) ��、隨后���,銀行數(shù)據(jù)中心的AAA認(rèn)證授權(quán)服務(wù)器對(duì)用戶名密碼和 IMSI串號(hào)進(jìn)行驗(yàn)證�����;若認(rèn)證通過(guò)�����,銀行AAA認(rèn)證授權(quán)服務(wù)器會(huì)為用戶終 端分配銀行專(zhuān)網(wǎng)IP地址;若認(rèn)證未通過(guò)�����,就終止認(rèn)證流F) �����、無(wú)線CDMA路由器設(shè)備向中心端VPN加密防火墻發(fā)起IPSEC隧 道請(qǐng)求;
G) �、無(wú)線CDMA路由器設(shè)備與中心端VPN加密防火墻協(xié)商IPSEC隧 道及加密算法;
H) ��、 IPSEC隧道建立���,金融終端遠(yuǎn)程安全聯(lián)入銀行數(shù)據(jù)中心�����,實(shí)現(xiàn) 金融業(yè)務(wù)遠(yuǎn)程安全辦理�����。
權(quán)利要求
1���、一種金融網(wǎng)點(diǎn)終端無(wú)線安全組網(wǎng)系統(tǒng),其特征在于它包括接口路由器�����、中心端VPN加密防火墻��、AAA軟件認(rèn)證服務(wù)器、無(wú)線CDMA路由器����,其中所述的接口路由器,它是金融中心和CDMA運(yùn)營(yíng)商建立專(zhuān)線連接的網(wǎng)絡(luò)設(shè)備��,它與無(wú)線CDMA路由器建立L2TP VPN安全連接��;所述的中心端VPN加密防火墻���,它是保護(hù)金融中心網(wǎng)絡(luò)安全的設(shè)備�����;它與無(wú)線CDMA路由器建立IPSEC VPN安全連接���;所述的AAA軟件認(rèn)證服務(wù)器,它負(fù)責(zé)對(duì)請(qǐng)求聯(lián)入金融中心的無(wú)線CDMA路由器做安全認(rèn)證����;所述的無(wú)線CDMA路由器�����,它是提供CDMA聯(lián)網(wǎng)功能的設(shè)備,它與路由器建立L2TP VPN安全連接�����;并與防火墻建立IPSEC VPN安全連接��。
2��、 根據(jù)權(quán)利要求1所述的金融網(wǎng)點(diǎn)終端無(wú)線安全組網(wǎng)系統(tǒng)����,其特征 在于所述的接口路由器,它主要接收由CDMA運(yùn)營(yíng)商轉(zhuǎn)發(fā)來(lái)的業(yè)務(wù)數(shù)據(jù) 和無(wú)線CDMA路由器發(fā)起認(rèn)證請(qǐng)求���;該接口路由器應(yīng)根據(jù)業(yè)務(wù)的數(shù)量����,即 遠(yuǎn)程聯(lián)入的無(wú)線CDMA路由器數(shù)量來(lái)配備相適應(yīng)的寬帶DDN數(shù)據(jù)鏈路����;至 少要求2M的專(zhuān)線鏈路;CDMA運(yùn)營(yíng)商的認(rèn)證請(qǐng)求是通過(guò)L2TP的加密協(xié)議 轉(zhuǎn)發(fā)到用戶網(wǎng)絡(luò)�����,接口路由器支持L2TP的加密協(xié)議。
3����、 根據(jù)權(quán)利要求1所述的金融網(wǎng)點(diǎn)終端無(wú)線安全組網(wǎng)系統(tǒng),其特征 在于所述的中心端VPN加密防火墻����,它主要和無(wú)線CDMA路由器之間建 立一個(gè)IPSEC+3DES加密的隧道,使業(yè)務(wù)數(shù)據(jù)在加密隧道內(nèi)安全傳輸��;該防火墻的關(guān)鍵參數(shù)是能夠穩(wěn)定接入無(wú)線CDMA路由器發(fā)起IPSEC+3DES加 密隧道的數(shù)量����。
4、根據(jù)權(quán)利要求1所述的金融網(wǎng)點(diǎn)終端無(wú)線安全組網(wǎng)系統(tǒng)����,其特 征在于所述的AAA軟件認(rèn)證服務(wù)器,它包括A) �、由用戶分配無(wú)線CDMA路由器私有IP地址,而非通常的公網(wǎng) IP�����,這樣使整個(gè)業(yè)務(wù)網(wǎng)絡(luò)脫離公網(wǎng)傳輸形成一個(gè)用戶獨(dú)立的VPN網(wǎng)絡(luò)����, 保證了業(yè)務(wù)數(shù)據(jù)的安全;B) �����、根據(jù)CDMA UIM卡唯一的頂SI串號(hào)來(lái)區(qū)別用戶的合法性���,通 過(guò)IMSI串號(hào)+用戶名+密碼的認(rèn)證方式��,通過(guò)軟件硬件相結(jié)合來(lái)確認(rèn)遠(yuǎn)端 用戶的合法性���;它具有頂SI認(rèn)證的功能;C) �����、固定用戶登陸業(yè)務(wù)網(wǎng)絡(luò)的IP地址�,保證其唯一性;保證無(wú)線 CDMA路由器和其傳輸?shù)臉I(yè)務(wù)的唯一對(duì)應(yīng)關(guān)系���,符合金融業(yè)務(wù)對(duì)業(yè)務(wù)的追 述要求�����。
5��、根據(jù)權(quán)利要求1所述的金融網(wǎng)點(diǎn)終端無(wú)線安全組網(wǎng)系統(tǒng)�����,其特征 在于所述的無(wú)線CDMA路由器��,支持3DES加密功能�,以保證端到端業(yè)務(wù)安全。
6�����、根據(jù)權(quán)利要求1所述的金融網(wǎng)點(diǎn)終端無(wú)線安全組網(wǎng)系統(tǒng)�,其特征 在于該系統(tǒng)與金融機(jī)具相連接;所述的金融機(jī)具����,它包括自動(dòng)提款 機(jī)、金融査詢機(jī)����。
7���、 一種實(shí)施金融網(wǎng)點(diǎn)終端無(wú)線安全組網(wǎng)系統(tǒng)的方法,其特征在于 該步驟包括A) ���、無(wú)線CDMA路由器設(shè)備撥號(hào);B) �����、基站和基站控制中心負(fù)責(zé)為此次連接分配各種資源��,并建立 用戶和PDSN的連接����;PDSN和用戶終端開(kāi)始建立PPP協(xié)商,并選用認(rèn)證 方式PAP或CHAP;C) ����、運(yùn)營(yíng)商的AAA軟件認(rèn)證服務(wù)器根據(jù)PDSN打包發(fā)送的用戶信息, 判斷是否為VPDN用戶�����;如果是�,就返回相應(yīng)的LNS地址以及建立隧道用 的共享密鑰��;如果不是�,就終止認(rèn)證流程��;D) �����、 PDSN根據(jù)收到的LNS信息��,和接口路由器建立L2TP隧道���; 無(wú)線CDMA路由器設(shè)備和中心LNS路由器之間建立PPP協(xié)商�����;E) �、隨后���,銀行數(shù)據(jù)中心的AAA軟件認(rèn)證服務(wù)器對(duì)用戶名密碼和 IMSI串號(hào)進(jìn)行驗(yàn)證����;若認(rèn)證通過(guò)����,銀行AAA軟件認(rèn)證服務(wù)器會(huì)為用戶終端分配銀行專(zhuān)網(wǎng)IP地址��;若認(rèn)證未通過(guò)�����,就終止認(rèn)證流程�;F) �����、無(wú)線CDMA路由器設(shè)備向中心端VPN加密防火墻發(fā)起IPSEC隧道i青求�;G) �����、無(wú)線CDMA路由器設(shè)備與中心端VPN加密防火墻協(xié)商IPSEC隧 道及加密算法�;H) 、 IPSEC隧道建立�,金融終端遠(yuǎn)程安全聯(lián)入銀行數(shù)據(jù)中心,實(shí)現(xiàn) 金融業(yè)務(wù)遠(yuǎn)程安全辦理����。
全文摘要
一種金融網(wǎng)點(diǎn)終端無(wú)線安全組網(wǎng)系統(tǒng)及方法���,它包括接口路由器、中心端VPN加密防火墻��、AAA軟件認(rèn)證服務(wù)器��、無(wú)線CDMA路由器���,其中所述的接口路由器�,它是金融中心和CDMA運(yùn)營(yíng)商建立專(zhuān)線連接的網(wǎng)絡(luò)設(shè)備�����,它與無(wú)線CDMA路由器建立L2TP VPN安全連接��;所述的中心端VPN加密防火墻�����,它是保護(hù)金融中心網(wǎng)絡(luò)安全的設(shè)備�;它與無(wú)線CDMA路由器建立IPSEC VPN安全連接;所述的AAA軟件認(rèn)證服務(wù)器�����,它負(fù)責(zé)對(duì)請(qǐng)求聯(lián)入金融中心的無(wú)線CDMA路由器做安全認(rèn)證;所述的無(wú)線CDMA路由器�,它是提供CDMA聯(lián)網(wǎng)功能的設(shè)備,它與路由器建立L2TP VPN安全連接��;并與防火墻建立IPSEC VPN安全連接����。本發(fā)明具有較高的安全性;安裝部署迅速����;覆蓋范圍廣,資源要求低�;網(wǎng)絡(luò)建設(shè)�、維護(hù)成本低。
文檔編號(hào)H04L9/32GK101511086SQ20091008130
公開(kāi)日2009年8月19日 申請(qǐng)日期2009年4月1日 優(yōu)先權(quán)日2009年4月1日
發(fā)明者李士強(qiáng), 林 梅 申請(qǐng)人:神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司