基于CDMA的銀行系統(tǒng)

摘    要：本文提出了一種基于CDMA的銀行系統(tǒng)設計原理和實現(xiàn)方案，簡要介紹了CDMA技術的基本知識，描述了CDMA 無線傳輸應用于金融數(shù)據(jù)傳輸?shù)膶崿F(xiàn)方法。通過實際應用，獲得了理想的效果。

關鍵詞：CDMA；VPDN；ATM機；銀行；POS機；金融；無線；營業(yè)廳；組網(wǎng)；

一、背景介紹

隨著中國經(jīng)濟高速發(fā)展，外資銀行在國內紛紛開立相關機構，攜其實力、技術和管理上的優(yōu)勢，迅速拓展其對華業(yè)務，中資銀行正面臨激烈的競爭，市場空間被迅速壓縮。此外，隨著新的技術的不斷應用和金融界相互之間融合、滲透的不斷加深，傳統(tǒng)銀行業(yè)的經(jīng)營模式正面臨非銀行金融機構、新興IT技術公司和新的技術手段應用的沖擊和挑戰(zhàn)。
這一切都決定了中國銀行業(yè)正面臨著一場深刻的變革，通信技術正日益成為銀行的核心競爭力，銀行要充分利用通信技術，對現(xiàn)有的技術架構進行一次大的全面調整，建設新的綜合業(yè)務系統(tǒng)，加強客戶關系管理和維護，利用通信技術加快新業(yè)務品種的開發(fā)。

二、行業(yè)分析

對銀行無線數(shù)據(jù)業(yè)務需求進行分析。

1、無線ATM 

由于實線施工條件難度較大的原因,銀行希望在寫字樓、住宅小區(qū)等人口密集區(qū)安裝ATM的計劃難以實現(xiàn)。利用無線數(shù)據(jù)業(yè)務可以幫助銀行實現(xiàn)ATM入住寫字樓、住宅小區(qū)的計劃。

2、無線營業(yè)廳

由于城市規(guī)劃、施工環(huán)境等原因，銀行營業(yè)網(wǎng)點在部分地區(qū)無法建立，同時考慮到建設成本等因素，銀行方面希望可以通過無線傳輸將營業(yè)網(wǎng)點延伸到有線傳輸不能或不適宜建設營業(yè)網(wǎng)點的地區(qū)，通過無線傳輸將銀行網(wǎng)點進行拓展、延伸。

3、用無線傳輸作備份電路、

銀行各營業(yè)網(wǎng)點與銀行數(shù)據(jù)中心之間均采用實線連接（DDN或2M專線）。為了保證在實線傳輸中斷的情況下，營業(yè)網(wǎng)點與銀行數(shù)據(jù)中心能夠正常通訊，銀行方面希望采用無線傳輸鏈路作為備份鏈路，以保證在實線傳輸中斷的情況下營業(yè)網(wǎng)點能夠正常工作。

以上的銀行無線數(shù)據(jù)傳輸需求，利用電信CDMA網(wǎng)絡強大的數(shù)據(jù)業(yè)務功能，采用VPDN業(yè)務均可以滿足銀行的要求。

三、VPDN介紹

根據(jù)銀行無線數(shù)據(jù)傳輸?shù)男枨?，利用電信CDMA網(wǎng)絡強大的數(shù)據(jù)業(yè)務功能，將銀行營業(yè)網(wǎng)點與銀行數(shù)據(jù)中心組成一個VPDN網(wǎng)，采用VPDN業(yè)務來實現(xiàn)無線數(shù)據(jù)傳輸。不僅可以滿足銀行一次投資小，網(wǎng)點部署靈活簡便，易于維護的要求，而且可以大大節(jié)約鏈路租用費，設備購置費以及網(wǎng)絡維護費，減少企業(yè)的運營成本。

VPDN全稱是Virtual Private Dial-up Network，又稱為虛擬專用（或私有）撥號網(wǎng)，是VPN業(yè)務的一種，是基于撥號用戶的虛擬專用撥號網(wǎng)（VPN）業(yè)務。亦即以撥號接入方式上網(wǎng)，通過利用電信公司CDMA分組網(wǎng)絡上傳輸數(shù)據(jù)時，對網(wǎng)絡數(shù)據(jù)的封包和加密，可以傳輸私有數(shù)據(jù)，達到私有網(wǎng)絡的安全級別。它是利用IP網(wǎng)絡的承載功能結合相應的認證和授權機制建立起來的安全的虛擬專用網(wǎng)（VPN），是近年來隨著Internet的發(fā)展而迅速發(fā)展起來的一種技術。

VPDN的具體實現(xiàn)是采用隧道技術，即將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中進行傳輸。隧道技術的基本過程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)（是OSI七層模型中的網(wǎng)絡層數(shù)據(jù)）作為負載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，取出負載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所經(jīng)過的邏輯路徑被稱為“隧道”。要使數(shù)據(jù)順利地被封裝、傳送及解封裝，通信協(xié)議是保證的核心。目前VPN隧道協(xié)議可分為第三層隧道協(xié)議和第二層隧道協(xié)議。第二層隧道協(xié)議有點對點隧道協(xié)議（PPTP），第二層轉發(fā)（L2F），第二層隧道協(xié)議（L2TP）三種。 

VPDN主要是采用第二層隧道協(xié)議（L2TP），為什么會采用L2TP？有以下幾點原因：

1、對于GRE及IPSec這些三層隧道協(xié)議，區(qū)分用戶將比較困難；因為在三層（IP層），一般只能通過IP 地址來區(qū)分用戶。對于VPN來說，用戶的地址是可以重復的，這樣，三層隧道協(xié)議不適合區(qū)分用戶。

2、L2TP 是二層（鏈路層）的隧道協(xié)議，是作為PPP 的擴展提出來的。PPP適合區(qū)分不同的用戶，比如撥號用戶采取專線直連的對端路由器等等，因為PPP 可以得到對端的用戶名。對于撥號用戶接入這種情況來說，需要區(qū)分不同的VPN 用戶，使用L2TP進行VPDN組建。

3、采用L2TP隧道協(xié)議，只分配企業(yè)網(wǎng)內部IP地址，而PPTP等第二層的隧道協(xié)議，要求有正式的IP地址，在撥入撥號服務器時，由撥號服務器提供，再二次撥入企業(yè)網(wǎng)關時，由企業(yè)網(wǎng)關分配內部網(wǎng)地址。

四、系統(tǒng)交易過程

（圖）基于CDMA的銀行系統(tǒng)示意圖

 1、系統(tǒng)構成部分

VPDN服務主要由CDMA路由，LAC和LNS(防火墻或者cisco接入路由器如C2600 Series)，還有AAA和內部服務器，以下是各部分功能。
客戶機: 連接在遠程網(wǎng)絡上的訪問終端，是VPDN呼叫的發(fā)起者。

LAC: 是“第二層隧道協(xié)議（L2TP）訪問集中器”（Layer 2 tunnel protocol Access Concentrator）的縮寫，在CDMA分組網(wǎng)中是PDSN節(jié)點。它是L2TP隧道的其中一個端點，也

LNS的對端。LAC處于LNS和Client的中間，負責轉發(fā)雙方的數(shù)據(jù)包。從LAC發(fā)往LNS的數(shù)據(jù)包需要封裝到L2TP隧道中，而從LAC到Client的連接則使用CDMA無線分組傳輸技術。

LNS: 是“第二層隧道協(xié)議網(wǎng)絡服務器”（Layer 2 tunnel protocol Network Server）的縮寫。它是L2TP隧道的另一個端點，也是LAC的對端。它是PPP會話的邏輯終點，而PPP會話被LAC封裝成隧道形式，是從Client端開始的。

AAA server：AAA是認證（Authentication）、授權（Authorization）和記帳（Accounting）的縮寫。AAA服務器負責對Client的身份進行驗證。

2、實現(xiàn)過程

VPDN通常包括多種多樣的協(xié)議實現(xiàn)方式，我們主要采用L2TP協(xié)議方式的VPDN。

企業(yè)遠程用戶（無線客戶端）通過CDMA連入拜訪地LAC。AAA服務器通過對域名和IMSI的認證識別出該用戶為VPDN用戶后，就和用戶的目的VPDN服務器（企業(yè)內部服務器）建立一條連接，稱為隧道，然后將用戶數(shù)據(jù)包封裝成IP報文后從該隧道傳送給VPDN服務器，VPDN服務器收到數(shù)據(jù)包并拆封后就可以讀到真正有意義的報文了。典型的L2TP-VPDN呼叫流程如下：

（1）遠程用戶（客戶端）使用CDMA通過撥特服號呼叫接入服務器LAC（PDSN），例如用CDMA 1x modem卡撥號＃777，并輸入username@XXX.133VPDN.SX和密碼進行呼叫。

（2）LAC將用戶名、域名、密碼、IMSI信息送至AAA認證服務器對用戶進行認證，來確定該用戶是否是VPDN的用戶。

（3）如果信息為正確的VPDN用戶信息，AAA認證服務器根據(jù)用戶注冊的信息向LAC（PDSN）發(fā)送建立L2TP隧道的對應參數(shù)（用戶網(wǎng)關LNS信息，包括LNS IP地址等）。

（4）LAC用所獲得的客戶信息與LNS之間進行L2TP隧道建立，并將username@XXX.133VPDN.SX全部送給LNS，由LNS進行認證。

（5）LNS將username@XXX.133VPDN.SX送給自己的RADIUS服務器(認證服務器)。如果是合法用戶則允許接入并保持L2TP隧道。

（6）LAC把客戶機提供的用戶名username@DomainName和相應的密碼轉發(fā)給LNS。LNS通過本地VPDN配置或者AAA服務器對客戶提供的認證信息進行驗證。認證通過，VPDN本身與LNS之間進行PPP握手，并由LNS向用戶分配IP地址。

完成VPDN操作，用戶可以利用PPP協(xié)議透過L2TP隧道進行互聯(lián)并開始進行通信。

五、安全性

1、CDMA無線接入的工作流程：

在電信完成網(wǎng)絡側配置后，銀行網(wǎng)點通過無線設備接入CDMA網(wǎng)絡后，CDMA分組接入設備PDSN上通過L2TP隧道路由連到銀行系統(tǒng)中心內的LNS路由器上，中間經(jīng)過電信骨干網(wǎng)和線。  

整個隧道的開啟和通過均在電信網(wǎng)絡內部，作為大型的電信運營商，有嚴格的安全管理和保護措施，確保網(wǎng)內的數(shù)據(jù)可靠，具有很高的安全性保障，而且不存在互連互通瓶頸，可以有效保證用戶使用性能。

2、安全性保障

CDMA采用脫胎于軍用技術的無線擴頻技術，用戶端到無線網(wǎng)絡接入設備間的無線空中通道目前不可能被破解；無線分組設備到用戶終端設備間，采用隧道穿過專線接入，可以有效保證整個系統(tǒng)的安全。要保護整體系統(tǒng)的安全，首先要保證網(wǎng)絡本身的安全。必須盡可能地屏蔽外部非法訪問及非法數(shù)據(jù)，對從外部網(wǎng)絡連入的終端進行嚴格的用戶認證及控制。針對CDMA的各環(huán)節(jié)，我們分別分析其安全性，并提供5級安全保障，從而充分保證網(wǎng)絡中數(shù)據(jù)的安全。

（1）首級安全保障：CDMA網(wǎng)絡本身的安全性

目前世界上使用的移動通信網(wǎng)絡主要有兩種：GSM和CDMA。與GSM相比，CDMA網(wǎng)絡系統(tǒng)在安全保密方面具有很大優(yōu)勢。CDMA本來就是起源軍事保密技術，在戰(zhàn)爭期間廣泛應用于軍事領域，具有抗干擾、安全通信、保密性好的特性。進行移動手機信號的竊聽一般使用以下三種方法。首先，需要捕捉到通信信號。在空間中充滿了各種各樣的無線電波，用戶手機信號就混雜在其中。要想竊聽某一個用戶的通話，首先必須捕捉到這個用戶手機發(fā)出的特定的電磁波。由于CDMA系統(tǒng)采用擴頻技術，經(jīng)過擴頻以后的有用信號的頻譜被大大地展寬了，用戶信號隱蔽在互不相關的信號中，要想捕捉到這一有用信號非常困難。因此，竊聽器捕捉不到，也無法識別出哪些是CDMA手機用戶的通信信號，哪些是噪音。其次，竊聽器必須鎖定手機用戶通信的信號，繼而才能分析和破解信息。而CDMA采用快速切換功率控制技術，即便是竊聽設備捕捉到了用戶手機信號，也不能鎖定快速功率切換下的有用信號，因此，快速功率切換讓CDMA信號很難鎖定。第三，需要破解用戶信息編碼。而CDMA采用偽隨機碼技術，用長達42位的偽隨機碼來標識區(qū)分用戶，每次通話都有4.4萬億種可能的排列，竊聽器很難破譯出CDMA的編碼。所以CDMA技術本身就很安全。

（2）第2級安全保障：CDMA網(wǎng)絡側的AAA認證

AAA是指認證（Authentication）、授權（Authorization）、計費（Accounting）三個過程，其中：認證是，用戶在使用網(wǎng)絡系統(tǒng)中的資源時對用戶身份的確認。這一過程，通過與用戶的交互獲得身份信息（像用戶名－口令、生物特征信息等），然后提交給認證服務器；認證服務器對身份信息與存儲在數(shù)據(jù)庫里的用戶信息進行核對處理，然后根據(jù)處理結果確認用戶身份是否正確。

授權是網(wǎng)絡系統(tǒng)授權用戶以特定的權限使用其資源，這一過程指定了被認證的用戶在接入網(wǎng)絡后能夠使用的業(yè)務和擁有的權限，如授予IP地址，準許訪問時間等。

計費是網(wǎng)絡系統(tǒng)收集、記錄用戶對網(wǎng)絡資源的使用信息，以便向用戶收取資源使用費。以互聯(lián)網(wǎng)業(yè)務提供商ISP為例，用戶的網(wǎng)絡接入使用情況可以按流量或者時間準確地記錄下來。

認證、授權和計費一起實現(xiàn)了網(wǎng)絡系統(tǒng)對特定用戶的網(wǎng)絡資源使用情況的準確記錄。這樣既在一定程度上有效地保障了合法用戶的權益，又能有效地保障網(wǎng)絡系統(tǒng)可靠地運行。

CDMA網(wǎng)絡的AAA認證過程是對用戶的域名進行鑒權認證，網(wǎng)中數(shù)據(jù)網(wǎng)的用戶（VPDN成員）是以username@xxx.133vpdn.bj形式登錄的（用戶在電信登記入網(wǎng)時，北京電信分配其一個域名xxx.133vpdn.bj）。CDMA網(wǎng)絡側的AAA服務器對登錄用戶的域名和該用戶的IMSI進行綁定審核驗證。驗證通過后，方可接入電信CDMA網(wǎng)絡。

（3）第3級安全保障：CDMA網(wǎng)絡和用戶網(wǎng)絡之間的VPN鏈接

CDMA網(wǎng)絡和用戶網(wǎng)絡之間可以采用專線鏈接，也可以使用Internet鏈接。使用Internet鏈接必須考慮安全性，因此，可以使用VPN將二者利用Internet鏈接起來。

VPN技術非常復雜，涉及到通信技術、密碼技術和現(xiàn)代認證技術。主要包含兩種技術：隧道技術與安全技術。

隧道技術的基本過程是在源局域網(wǎng)與公網(wǎng)接口處將數(shù)據(jù)封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳播時的所經(jīng)過的路徑被稱為“隧道”。常用的隧道協(xié)議有：

①點到點隧道協(xié)議—PPTP（現(xiàn)已基本淘汰）。 

 ②第二層隧道協(xié)議—L2TP，該協(xié)議是國際標準隧道協(xié)議，具有PPTP協(xié)議以及第二層轉發(fā)協(xié)議（L2F）的優(yōu)點，可以使PPP包以隧道方式通過各種網(wǎng)絡，包括ATM，SONET，幀中繼，但沒有任何加密措施。

③IPSec協(xié)議，該協(xié)議是一個范圍廣泛、開放的VPN安全協(xié)議，工作在網(wǎng)絡層。它提供所有在網(wǎng)絡層上的數(shù)據(jù)保護和透明的安全通信?？梢栽趦煞N模式下運行：一種是隧道模式，一種是傳輸模式。在隧道模式下IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀中；傳輸模式是為了保護端到端的安全性，不會隱藏路由信息。 目前一種趨勢是將L2TP和IPSec結合起來：用L2TP作為隧道協(xié)議，用IPSec協(xié)議保護數(shù)據(jù)。市場上大部分VPN采用這類技術。 

④SOCKS v5協(xié)議，SOCKS v5工作在OSI模型中的第五層——會話層，可作為建立高度安全的VPN的基礎。SOCKS v5協(xié)議的優(yōu)勢在訪問控制，因此適用于安全性較高的VPN，SOCKS v5現(xiàn)在被IETF建議作為VPN的標準。

VPN是在不安全的Internet上傳輸?shù)模瑐鬏攦热菘赡苌婕暗狡髽I(yè)的機密數(shù)據(jù)，因此安全性非常重要。VPN中的安全技術通常由加密、認證及密鑰交換與管理組成。主要有認證技術，加密技術，秘鑰管理與交換技術。

（4）第4級安全保障：用戶網(wǎng)絡側的安全防火墻

防火墻技術是目前用來實現(xiàn)網(wǎng)絡安全措施的一種主要手段，主要是用來阻擋非法用戶的訪問，阻止非法用戶存取敏感數(shù)據(jù)，同時允許合法用戶順利訪問網(wǎng)絡資源。防火墻實際上是一種訪問控制技術，在某個機構的內部網(wǎng)絡和不安全網(wǎng)絡之間設置障礙，阻止對信息資源的非法訪問，也可以使用防火墻阻止保密信息從受保護網(wǎng)絡上的非法輸出。

實現(xiàn)防火墻的主要技術有：數(shù)據(jù)包過濾，應用網(wǎng)關和代理服務等。包過濾（Packet Filter）技術是在網(wǎng)絡層中對數(shù)據(jù)包實施有選擇的通過。依據(jù)系統(tǒng)內事先設定的過濾邏輯，檢查數(shù)據(jù)流中每個數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP/UDP源端口號、TCP/UDP目的端口號及數(shù)據(jù)包頭中的各種標志位等因素來確定是否允許數(shù)據(jù)包通過，其核心是安全策略即過濾算法的設計。應用網(wǎng)關（Application Gateway）技術是建立在網(wǎng)絡應用層上的協(xié)議過濾，它針對特別的網(wǎng)絡應用服務協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠對數(shù)據(jù)包分析并形成相關的報告。應用網(wǎng)關可以嚴格控制某些易于登錄和控制的所有的輸出輸入通信環(huán)境，以防有價值的程序和數(shù)據(jù)被竊取。它的另一個功能是對通過的信息進行記錄，如什么樣的用戶在什么時間連接了什么站點。在實際工作中，應用網(wǎng)關一般使用專用工作站系統(tǒng)。代理服務器（Proxy Server）作用在應用層，用來提供應用層服務的控制，起到內部網(wǎng)絡向外部網(wǎng)絡申請服務時中間轉接作用。內部網(wǎng)絡只接受代理提出的服務請求，阻擋外部網(wǎng)絡其它節(jié)點的直接請求。用戶網(wǎng)絡可以選用適合于本單位的防火墻產(chǎn)品來保證自己網(wǎng)絡數(shù)據(jù)的安全。

（5）第5級安全保障：用戶網(wǎng)絡側的AAA鑒權認證

用戶網(wǎng)絡側的AAA鑒權認證可以實現(xiàn)對VPDN成員的身份認證。與第二級的安全保障不同，本級的AAA服務器將鑒別VPDN成員的用戶名和密碼的正確性。

username@xxx.133vpdn.bj中的域名將是中國電信公司提供給專網(wǎng)接入用戶的專有統(tǒng)一域名，用戶名（username）可以是VPDN中每個成員的手機號碼或者其它標識。VPDN中成員的用戶名和密碼等資料將保存在用戶專網(wǎng)側的AAA服務器，具有很好的安全性和管理的靈活性。

六、總結

通過推出CDMA無線業(yè)務，可進一步提高服務質量，擴大服務范圍，使客戶擺脫空間、時間的限制，隨時隨地獲得銀行的服務，并通過交互形式自行操作，自我服務。有效地實施無線服務，對于拓寬服務地域和時域，方便持卡客戶，增加存款余額度，盡快搶占市場，縮短客戶與銀行的距離，樹立和提高銀行形象，增強市場競爭力，大力加速金融電子化建設步伐，有著十分重要的意義。