WLAN助力銀行網點無線信息化改造建設

孫捷

摘 要：目前，銀行的電話銀行、個人網上銀行、手機銀行和電視銀行均已面向社會公眾開放。為了向客戶提供更好的電子金融服務，打造“四位一體”的電子銀行體驗區，銀行要求在各營業網點部署WLAN，實現Wi-Fi無線網絡覆蓋。

關鍵詞：WLAN；銀行；無線；信息

中圖分類號：F832.29；TN926+.3 文獻標識碼：A 文章編號：2095-6835（2014）10-0123-02

1 項目需求

WLAN作為有線網絡的延伸，為終端提供快速、便捷、靈活的網絡接入方式。

在網點覆蓋無線網絡（WLAN），能夠將實體營業廳升級為“無線營業廳”，實現柜面金融服務和網上金融服務的無縫對接。對于營業廳內不愿意在柜面排隊辦理業務的客戶，可以推薦其使用體驗區的終端設備或自己的手機等上網設備，通過營業廳內提供的免費Wi-Fi，登錄網上銀行或手機銀行，輕松處理金融交易。大堂經理、客戶經理和理財經理也可以使用iPad等工具，隨時、隨地展示業務，提高服務質量。

營業網點實現無線網絡（WLAN）覆蓋，有利于進一步提升電子銀行的激活率和使用率，提高市場競爭力；有利于進一步分流柜面業務，緩解營業窗口的壓力，提高服務水平；有利于宣傳郵儲銀行各項業務，提高郵政知名度；有利于減少經營成本，提高收益水平。因此，各分支機構要高度重視并積極落實網點無線網絡覆蓋工作。

2 無線接入方案設計

2.1 銀行自建方案

本方案是省行作為統一互聯網出口，通過廣域網技術連接到各個銀行網點，并在分行端部署無線控制器、上網行為審計、身份認證和安全設備，在各金融網點通過部署無線AP，實現接入終端的集中管理。具體網絡拓撲架構如圖1所示。

在該方案中，考慮到無線網絡中多媒體業務對帶寬大規模占用的特點和上千臺AP的大流量處理要求，因此，采用分布式轉發模式。控制、管理報文通過無線控制器進行統一處理，數據報文在無線AP上直接轉化為以太網格式的報文，不需要通過隧道封裝交無線交換機處理，從而解決了無線控制器的數據轉發性能的瓶頸問題。

2.2 安全設計

2.2.1 概述

網絡安全主要分為兩方面：①身份接入安全，可以通過身份認證來實現。②數據傳輸安全，主要靠數據傳輸加密來實現。

2.2.2 身份接入安全

身份接入安全主要分為以下幾點：①網點來賓身份接入。銀行在數據中心部署認證服務器，通過認證服務器對網點來賓用戶做身份認證，例如Web Portal﹢短信的方式。②網點3G撥號鏈路建立。運營商LAC對網點撥入的3G卡做身份認證，認證通過后3G鏈路成功建立。③網點ADSL撥號鏈路建立。運營商對網點ADSL撥入做身份認證，認證通過后成功接入運營商內部網絡。

2.2.3 數據傳輸安全

數據傳輸安全主要通過對傳輸的數據進行加密來實現.在本次Wi-Fi系統的部署中，數據傳輸需要考慮以下幾個層面，具體如圖2所示，由下往上分析：①網點Wi-Fi接入部分。網點黃色部分為網點用戶終端到網點AP接入點的Wi-Fi部分，這部分可通過WEP，WPA和WPA2等方式進行加密。建議銀行使用WPA2的方式進行加密，WPA2是目前最強的無線加密技術。②Wi-Fi熱點線路接入部分。這部分復用運營商Wi-Fi熱點有線鏈路，數據在運營商內部傳輸，暫無加密機制。③3G鏈路部分。這部分屬于3G無線傳輸層，其加密依賴于3G傳輸的空口協議，比如WCDMA的UMTS加密（通用移動通信系統）。④ADSL接入部分。通過ADSL撥入運營商網絡，數據在運營商內部傳輸，暫無加密機制。⑤運營商內部網絡。當數據經過運營商內部網絡時，無加密機制。⑥運營商與銀行專線鏈路。無加密機制，可以保障專線連接的安全。

②③④⑤部分的數據處于明文傳輸，數據泄露將無法保證其安全性。因此，運營商在網點接入AP端到運營商專線端使用IPsec VPN隧道進行加密，這樣可以防止數據泄露產生的安全隱患，如圖3所示。

3 結束語

在網點開通Wi-Fi網絡，對于提升網點服務能力，促進網點渠道與電子渠道有效結合，推動手機銀行業務快速發展有著重要意義。一方面，方便大堂經理等工作人員幫助客戶下載、安裝和激活手機銀行，指導客戶操作，有效培養客戶使用習慣。另一方面，能夠使部分網點排隊客戶通過手機等終端快速辦理部分業務，有效分流柜臺客戶；客戶也可以在排隊的同時，用手機瀏覽銀行的最新優惠和理財產品等信息。

〔編輯：李玨〕endprint

摘 要：目前，銀行的電話銀行、個人網上銀行、手機銀行和電視銀行均已面向社會公眾開放。為了向客戶提供更好的電子金融服務，打造“四位一體”的電子銀行體驗區，銀行要求在各營業網點部署WLAN，實現Wi-Fi無線網絡覆蓋。

關鍵詞：WLAN；銀行；無線；信息

中圖分類號：F832.29；TN926+.3 文獻標識碼：A 文章編號：2095-6835（2014）10-0123-02

1 項目需求

WLAN作為有線網絡的延伸，為終端提供快速、便捷、靈活的網絡接入方式。

在網點覆蓋無線網絡（WLAN），能夠將實體營業廳升級為“無線營業廳”，實現柜面金融服務和網上金融服務的無縫對接。對于營業廳內不愿意在柜面排隊辦理業務的客戶，可以推薦其使用體驗區的終端設備或自己的手機等上網設備，通過營業廳內提供的免費Wi-Fi，登錄網上銀行或手機銀行，輕松處理金融交易。大堂經理、客戶經理和理財經理也可以使用iPad等工具，隨時、隨地展示業務，提高服務質量。

營業網點實現無線網絡（WLAN）覆蓋，有利于進一步提升電子銀行的激活率和使用率，提高市場競爭力；有利于進一步分流柜面業務，緩解營業窗口的壓力，提高服務水平；有利于宣傳郵儲銀行各項業務，提高郵政知名度；有利于減少經營成本，提高收益水平。因此，各分支機構要高度重視并積極落實網點無線網絡覆蓋工作。

2 無線接入方案設計

2.1 銀行自建方案

本方案是省行作為統一互聯網出口，通過廣域網技術連接到各個銀行網點，并在分行端部署無線控制器、上網行為審計、身份認證和安全設備，在各金融網點通過部署無線AP，實現接入終端的集中管理。具體網絡拓撲架構如圖1所示。

在該方案中，考慮到無線網絡中多媒體業務對帶寬大規模占用的特點和上千臺AP的大流量處理要求，因此，采用分布式轉發模式。控制、管理報文通過無線控制器進行統一處理，數據報文在無線AP上直接轉化為以太網格式的報文，不需要通過隧道封裝交無線交換機處理，從而解決了無線控制器的數據轉發性能的瓶頸問題。

2.2 安全設計

2.2.1 概述

網絡安全主要分為兩方面：①身份接入安全，可以通過身份認證來實現。②數據傳輸安全，主要靠數據傳輸加密來實現。

2.2.2 身份接入安全

身份接入安全主要分為以下幾點：①網點來賓身份接入。銀行在數據中心部署認證服務器，通過認證服務器對網點來賓用戶做身份認證，例如Web Portal﹢短信的方式。②網點3G撥號鏈路建立。運營商LAC對網點撥入的3G卡做身份認證，認證通過后3G鏈路成功建立。③網點ADSL撥號鏈路建立。運營商對網點ADSL撥入做身份認證，認證通過后成功接入運營商內部網絡。

2.2.3 數據傳輸安全

數據傳輸安全主要通過對傳輸的數據進行加密來實現.在本次Wi-Fi系統的部署中，數據傳輸需要考慮以下幾個層面，具體如圖2所示，由下往上分析：①網點Wi-Fi接入部分。網點黃色部分為網點用戶終端到網點AP接入點的Wi-Fi部分，這部分可通過WEP，WPA和WPA2等方式進行加密。建議銀行使用WPA2的方式進行加密，WPA2是目前最強的無線加密技術。②Wi-Fi熱點線路接入部分。這部分復用運營商Wi-Fi熱點有線鏈路，數據在運營商內部傳輸，暫無加密機制。③3G鏈路部分。這部分屬于3G無線傳輸層，其加密依賴于3G傳輸的空口協議，比如WCDMA的UMTS加密（通用移動通信系統）。④ADSL接入部分。通過ADSL撥入運營商網絡，數據在運營商內部傳輸，暫無加密機制。⑤運營商內部網絡。當數據經過運營商內部網絡時，無加密機制。⑥運營商與銀行專線鏈路。無加密機制，可以保障專線連接的安全。

②③④⑤部分的數據處于明文傳輸，數據泄露將無法保證其安全性。因此，運營商在網點接入AP端到運營商專線端使用IPsec VPN隧道進行加密，這樣可以防止數據泄露產生的安全隱患，如圖3所示。

3 結束語

在網點開通Wi-Fi網絡，對于提升網點服務能力，促進網點渠道與電子渠道有效結合，推動手機銀行業務快速發展有著重要意義。一方面，方便大堂經理等工作人員幫助客戶下載、安裝和激活手機銀行，指導客戶操作，有效培養客戶使用習慣。另一方面，能夠使部分網點排隊客戶通過手機等終端快速辦理部分業務，有效分流柜臺客戶；客戶也可以在排隊的同時，用手機瀏覽銀行的最新優惠和理財產品等信息。

〔編輯：李玨〕endprint

摘 要：目前，銀行的電話銀行、個人網上銀行、手機銀行和電視銀行均已面向社會公眾開放。為了向客戶提供更好的電子金融服務，打造“四位一體”的電子銀行體驗區，銀行要求在各營業網點部署WLAN，實現Wi-Fi無線網絡覆蓋。

關鍵詞：WLAN；銀行；無線；信息

中圖分類號：F832.29；TN926+.3 文獻標識碼：A 文章編號：2095-6835（2014）10-0123-02

1 項目需求

WLAN作為有線網絡的延伸，為終端提供快速、便捷、靈活的網絡接入方式。

在網點覆蓋無線網絡（WLAN），能夠將實體營業廳升級為“無線營業廳”，實現柜面金融服務和網上金融服務的無縫對接。對于營業廳內不愿意在柜面排隊辦理業務的客戶，可以推薦其使用體驗區的終端設備或自己的手機等上網設備，通過營業廳內提供的免費Wi-Fi，登錄網上銀行或手機銀行，輕松處理金融交易。大堂經理、客戶經理和理財經理也可以使用iPad等工具，隨時、隨地展示業務，提高服務質量。

營業網點實現無線網絡（WLAN）覆蓋，有利于進一步提升電子銀行的激活率和使用率，提高市場競爭力；有利于進一步分流柜面業務，緩解營業窗口的壓力，提高服務水平；有利于宣傳郵儲銀行各項業務，提高郵政知名度；有利于減少經營成本，提高收益水平。因此，各分支機構要高度重視并積極落實網點無線網絡覆蓋工作。

2 無線接入方案設計

2.1 銀行自建方案

本方案是省行作為統一互聯網出口，通過廣域網技術連接到各個銀行網點，并在分行端部署無線控制器、上網行為審計、身份認證和安全設備，在各金融網點通過部署無線AP，實現接入終端的集中管理。具體網絡拓撲架構如圖1所示。

在該方案中，考慮到無線網絡中多媒體業務對帶寬大規模占用的特點和上千臺AP的大流量處理要求，因此，采用分布式轉發模式。控制、管理報文通過無線控制器進行統一處理，數據報文在無線AP上直接轉化為以太網格式的報文，不需要通過隧道封裝交無線交換機處理，從而解決了無線控制器的數據轉發性能的瓶頸問題。

2.2 安全設計

2.2.1 概述

網絡安全主要分為兩方面：①身份接入安全，可以通過身份認證來實現。②數據傳輸安全，主要靠數據傳輸加密來實現。

2.2.2 身份接入安全

身份接入安全主要分為以下幾點：①網點來賓身份接入。銀行在數據中心部署認證服務器，通過認證服務器對網點來賓用戶做身份認證，例如Web Portal﹢短信的方式。②網點3G撥號鏈路建立。運營商LAC對網點撥入的3G卡做身份認證，認證通過后3G鏈路成功建立。③網點ADSL撥號鏈路建立。運營商對網點ADSL撥入做身份認證，認證通過后成功接入運營商內部網絡。

2.2.3 數據傳輸安全

數據傳輸安全主要通過對傳輸的數據進行加密來實現.在本次Wi-Fi系統的部署中，數據傳輸需要考慮以下幾個層面，具體如圖2所示，由下往上分析：①網點Wi-Fi接入部分。網點黃色部分為網點用戶終端到網點AP接入點的Wi-Fi部分，這部分可通過WEP，WPA和WPA2等方式進行加密。建議銀行使用WPA2的方式進行加密，WPA2是目前最強的無線加密技術。②Wi-Fi熱點線路接入部分。這部分復用運營商Wi-Fi熱點有線鏈路，數據在運營商內部傳輸，暫無加密機制。③3G鏈路部分。這部分屬于3G無線傳輸層，其加密依賴于3G傳輸的空口協議，比如WCDMA的UMTS加密（通用移動通信系統）。④ADSL接入部分。通過ADSL撥入運營商網絡，數據在運營商內部傳輸，暫無加密機制。⑤運營商內部網絡。當數據經過運營商內部網絡時，無加密機制。⑥運營商與銀行專線鏈路。無加密機制，可以保障專線連接的安全。

②③④⑤部分的數據處于明文傳輸，數據泄露將無法保證其安全性。因此，運營商在網點接入AP端到運營商專線端使用IPsec VPN隧道進行加密，這樣可以防止數據泄露產生的安全隱患，如圖3所示。

3 結束語

在網點開通Wi-Fi網絡，對于提升網點服務能力，促進網點渠道與電子渠道有效結合，推動手機銀行業務快速發展有著重要意義。一方面，方便大堂經理等工作人員幫助客戶下載、安裝和激活手機銀行，指導客戶操作，有效培養客戶使用習慣。另一方面，能夠使部分網點排隊客戶通過手機等終端快速辦理部分業務，有效分流柜臺客戶；客戶也可以在排隊的同時，用手機瀏覽銀行的最新優惠和理財產品等信息。

〔編輯：李玨〕endprint