GPRSCDMA网络传输银行交易数据安全性考虑.doc

GPRSCDMA网络传输银行交易数据安全性考虑 （深圳宏电技术开发有限公司 刘秋勇 2005年12月） 关键词：GPRS、CDMA、VPN、ATM、POS、IPSc、LAS、LNS、L2TP 引言 随着经济的发展，20世纪银行业在中国得到了高速的发展，但与此同时，同质化的产品、相近的服务内容也使得国内银行业面临越来越严重竞争危机，随着中国加入世贸组织，有着先进的管理经验和高度的信息化技术的国外银行不断介入国内市场，国内银行业不得不开始慎重考虑自身的持续性发展的可能以及维持这种发展的途径。 目前银行的自助终端走进了大型超市、商场、社区，在带给人们便利时，也让银行感到了搬迁方便、费用低和安全可靠等特点；让银行自助终端借助现有移动GPRS和联通CDMA网络平台风风光光到会场、集市、企业等处 “潇洒走一回”，把银行金融服务便捷地带到了任何一个GPRSCDMA网络所覆盖的地方。 那么如何能够保证在GPRSCDMA无线网络中的数据传输的安全性，对数据的有效保护和高效利用是其中最重要的因素之一，数据是一个银行的基础，银行为客户提供的服务就是为客户提供一个可靠的环境以确保客户数据资料的准确性和服务的连贯性，由此，银行业开始关注数据备份的可靠性、安全性、高可管理性等。 应用 无线传输摆脱了线缆的束缚，银行利用无线网络平台在许多场合发挥了独特的优势，如无线银行ATM自助终端、无线银行POS自助终端、无线银行营业网点联网、无线银行自助联网终端、无线移动办公联网、无线个人网上银行业务等；如图1所示为各种银行终端利用无线网络平台接入的应用。 目前GPRSCDMA无线网络在业得到了快速发展，由于业对数据传输的安全性要求苛刻，所以解决系统安全问题是GPRSCDMA无线网络银行交易系统应用的关键，采用GPRSCDMA无线移动数据传输方式必须有效阻止黑客入侵、防止信息安全事故、简化网络应用安全保障主要是防止来自系统内外的有意无意的破坏，进行身份认证、身份鉴别、数字签名防止抵赖和篡改，以及交易数据的加密解密等是保障网络安全的重要手段。 图1 网络安全 现行的GPRSCDMA传输编码方式均对传输数据都有加密保护，因此GPRSCDMA通道本身是安全的另GPRSCDMA均可以利用VPN技术在移动数据公网上建立银行交易系统内部虚拟专用网,保证了银行终端无线接入的可靠性和安全性。 图2 如上图2所示为银行终端利用现有GPRSCDMA网络VPN技术组网，GPRS网络VPN技术叫“专用APNAccess Point Name)”，CDMA网络VPN技术叫“VPDNVirtual Private Dialup Network)”，无线网络VPN技术是在公共的无线网络中给用户分配一个子网，用户只能在这个子网内进行通讯，用户无法跨越出这个子网，不是这个子网下的用户也无法跨越进这个子网，相当于在公共的无线网络上给用户架设了个局域网，只有在这个局域网内的用户之间才可以通讯，所有数据均与Internet 隔离大大增强了信息的安全性这种方式下最终给用户带来了非常可靠的安全性，但组网费用高，另不能跨网组网。 图3 如上图3所示为银行终端利用宏电Galaxy H7921 VPN路由器无线设备进行VPN技术组网，宏电Galaxy H7921 VPN路由器内置VPN Client和Server功能，为用户跨区域组网提供了极大的方便，同时内置的IPSec加密功能，采用IPSec加密机制，具有很强的安全特性，为用户数据传输的安全性提供了有力的保障。 图4 在上图中，银行ATM通过目前的GPRSCDMA网络，实现网络连接，移动/联通等运营商提供了接入服务器LAC，通过无线终端设备向运营商接入服务器LAC发起PPP拨号，实现与银行中心接入服务器LNS之间的L2TP隧道的建立，并将无线终端的PPP拨号转向银行接入服务器LNS，最终实现无线终端与LNS之间的PPP会话的建立在银行网络核心，部署一台安全VPN服务器，接受来自网络的IPSec会话请求通过与ATM无线VPN终端之间建议IPSec隧道，实现相互之间数据传输的安全加密。 图5宏电H7921 VPN路由器与ATM柜员机的通过RJ45以太网口连接，宏电H7921 VPN路由器能够实现无线网络的PPP拨号功能，能够通过PPP拨号终结到银行中心的接入服务器上，并提供了IPSec的VPN隧道建立和数据加密功能，满足银行应用的需求。 IPSec原理 IPSec包括安全协议部分和密钥协商部分，安全协议部分定义了对通信的各种保护方式；密钥协商部分则定义了如何为安全协议协商保护参数，以及如何对通信实体的身份进行鉴别IETF的IPSec工作组已经制定了12个RFC，对IPSec的方方面面都进行了定义，但其核心由其中的三个最基本的协议组成即：认证协议头（AH）、安全载荷封