一、概述
随着科技的高速发展,无线数字技术得到了广泛的应用,其已从原来的只为用户终端提供基本服务发展到现在能够为企业提供安全、稳定的数字交换平台。企业在此平台上不仅可以实现以前传统电信专线上使用的所有应用,而且在地域上突破了专线点对点的限制,使企业的应用做到有CDMA网络覆盖的地方就能方便地进行数字网络接入。
二、银行网络状况分析
对于金融系统内部,目前全国省、市、县各级金融通信专网的骨干网已经基本建成。地、市、县级各种业务的接入网也在建设中。接入网相对于骨干网,具有网元多、支线多、分布广、投资少等特点,所以无线接入网是最佳选择之一。金融通信行业曾经选择过多种无线通信方式,但是都由于建网费用、频点管理、传输质量、带宽限制、维护能力等诸多因素的影响,没有得以长期使用和推广。而电信的 CDMA 1X数据通信网,正好可以扬长避短,弥补金融通信专网中无线通信的缺憾。
银行网络目前主要建设于传统的电信数字网基础之上,通过 DDN 、 FR 、远程拨号等实现,其主要缺点是网络结构固定变更困难且费用较高。构建在 CDMA1X 无线网络平台上的数字交换系统充分解决了这个问题,银行总行、各支行及结算中心之间可以沿用以前高带宽的专线网络,针对于数量众多、分散布局的营业网点、银行 POS 机、 ATM 机则可以从以前的远程拨号的网络上过渡到 CDMA 1X 网络上来, CDMA 1X 网络通过发卡控制号段使一个企业的所有无线终端接入网络以后处在同一个封闭 VPN 专网中,进入 VPN 专网以后终端还需通过银行的 AAA 认证才能进入结算数据库。通过一系列的安全措施可以充分保证交易网络的安全性。无线终端可以在银行网络系统结构不作任何修改的基础上完成平滑过渡。
三、CDMA1X 无线接入银行应用方案
中国电信提供的 CDMA 1X 网络可以为银行营业网点、 ATM 机和 POS 机提供数据通信服务。在 CDMA 网络的覆盖区中, ATM 机可以架设在任何地点。而对于营业网点来说使用 CDMA 无线网络作为备份链路的应用非常适合,在有效保证接通率的前提下,通信成本将大大降低。 典型的 CDMA1X 无线应用方案拓扑图如下:
四、CDMA1X 传输方式的优势
在银行联网业务方面, 以前经常采用专线 DDN 方式连接到地区银行结算中心,现在则可以使用 CDMA1X 无线数据网络构建的 VPDN 安全隧道进行数据结算。 相对于 DDN 等接入方式,具有以下优势:
1 )CDMA1X 用户可随意分布和移动自己的网点,无需担心线路的维护或有线在移机时导致的通讯中断。建设新的营业厅无需进行拉线、埋线等工作。较光纤或专线系统投资较少,设备安装方便。
2 )终端价格比较低。与 DDN 专线 Modem 相比,终端设备成本价格较低。
3 )CDMA1X 资费便宜,计费合理。 CDMA1X 资费包月比有线电话网络资费还便宜。银行联网业务没有大数据量的信息传输,不必要采用资费很高的专线( DDN 、帧中继)。 CDMA1X 还可根据通信的数据量和提供的服务质量进行计费。在 CDMA1X 网中,用户只需与网络建立一次连接,就可长时间的保持这种连接,并只在传输数据时才占用信道并被计费,保持时不占用信道不计费。这样,营业厅既不用频繁建立连接,也不必支付传输间隙时的费用。
4 ) CDMA1X 能最好地支持频繁的、少量突发型数据业务。通信质量稳定可靠,永不掉线。
5 ) CDMA1X 网络接入速度快,提供了与现有数据网的无缝连接。由于 CDMA1X 网本身就是一个分组型数据网 , 支持 TCP/IP 、 X.25 协议,因此无需经过 PSTN 等网络的转接,直接与分组数据网( IP 网或 X.25 网)互通,接入速度仅几秒钟,快于电路型数据业务。采用 TCP/IP 协议,较以前的无线数据网络(集群,双向传呼, GSM 短信息)而言,网络接入更加直接方便。
6 )数据集中,易于管理。传统的银行网点之间采用级联的方式,县级银行、市级银行分别接入当地电信或网通固网运营商,数据逐级上传,分散不易管理;采用电信 CDMA1X 无线接入,全市一个数据中心,即可完成数据的集中与统一管理,极大地提高了效率,降低了传输成本。
7 )覆盖好。比较很多无线数据网络(集群,双向传呼, CDPD )而言,其CDMA公众通信网络覆盖是最好的。
五、CDMA1X 无线接入的安全性
1、 CDMA1X 无线接入的工作流程:
在电信完成网络侧配置后,银行网点通过无线设备接入 CDMA1X 网络后, CDMA1X 分组接入设备 PDSN 上通过 L2TP 隧道路由连到银行系统中心内的 LNS 路由器上,中间经过电信骨干网和专线。整个隧道的开启和通过均在电信网络内部,作为大型的电信运营商,有严格的安全管理和保护措施,确保网内的数据安全可靠,具有很高的安全性保障,而且不存在互连互通瓶颈,可以有效保证用户使用性能。
安全性保障
CDMA1X 采用脱胎于军用技术的无线扩频技术,用户端到无线网络接入设备间的无线空中通道目前不可能被破 解;无线分组设备到用户终端设备间,采用隧道穿过专线接入,可以有效保证整个系统的安全。要保护整体系统的安全,首先要保证网络本身的安全。必须尽可能地屏蔽外部非法访问及非法数据,对从外部网络连入的终端进行严格的用户认证及控制。针对 CDMA1X 的各环节,我们分别分析其安全性。
1) CDMA 1X 空中信道
CDMA 采用的是军事级防窃听技术:长 PN 编码、扩频技术、加密算法、快功率控制, CDMA 无线网络以空气为介质,并且 CDMA 系统采用编码技术,其编码有4.4亿种数字排列,每一个 SIM 卡的编码还随时变化,这使得盗码只能成为理论上的可能。客观地讲, CDMA1X 技术的优于目前的 GPRS 技术, 其不足之处在于边远地区的网络覆盖不全。网络目前在网的 CDMA1X 手机用户的正常使用,也从另一方面证明 CDMA1X 的稳定性和安全性。
2)VPDN 方式
从客户端发起连接开始, CDMA 移动办公连接就以强制 VPN 隧道的方式与用户侧网络进行隧道传输,可以通过电信的数据专线连接用户网络,整个传输过程透明于外部网络,保证传输过程的私有性。
3)数据传输专线
所有的数据传输都基于电信领先的全光纤网络里面,该网络能有效地隔离专线与互联网的互通性,其中电信互联网 165 数据专线更是连续三年被中国互联网官方组织评为最佳网络。所有数据传输都在电信数据专网之内,可以确保数据在专线传输中的安全性和可靠性。
4)路由访问控制
无论是何种移动办公方式,所有客户端访问必须经过路由器访问控制。对于非法的登陆或者来自其它 IP 的连接都被路由器拒绝在外面,不能进入内网。
5)电信网络与银行网络间的安全性
CDMA1X 网络无线接入方式存在电信的数据专网与银行专网之间的专线连接,作为两个相对独立的专网,存在重新认证的要求,通过电信 AAA 服务器验证的连接,在进入银行网络前,需要再次验证,确认身份合法。目前有两种方案可以解决银行上述需求:
方案一:电信和银行联合分别验证。
在银行接入路由器部分连接专用 AAA 服务器,通过与电信专线上建立基于 L2TP over IPSec 的 VPDN ,灵活配置帐号 / 口令策略。由电信 NAS 验证域名、用户名、 UIM 卡号;电信公司为银行提供 客户端帐号界面,由银行 AAA 服务器验证用户名、密码,配合路由器绑定 IP 地址 , 完全保护合法用户登陆。该种运营模式已经成功在各地银行运营实施,目前运行正常。
方案二:使用具有 VPN 功能 CDMA1X 无线接入设备。
在用户侧接入路由器与中心内网间 , 安装支持 IPSec 功能的防火墙 , 银行网点连接 IPSec 功能的加密机 +CDMA 无线路由器,或者将 IPSec 功能集成在 CDMA 路由器中;通过 VPN 专用帐号登陆防火墙,建立安全隧道。该种方案安全级别高,但是对无线 CDMA 路由器技术要求高,开发难度大,成本相对较高。