賈衛(wèi)平.艷(陜西廣電網(wǎng)絡傳媒<集團>股份有限公司,陜西 西安. 7006;西安出版社,陜西 西安7006)
銀行營業(yè)網(wǎng)點無線網(wǎng)絡覆蓋解決方案
賈衛(wèi)平1.艷2
(1陜西廣電網(wǎng)絡傳媒<集團>股份有限公司,陜西 西安. 710061;2西安出版社,陜西 西安710061)
摘 要:本文介紹了銀行營業(yè)網(wǎng)點無線網(wǎng)絡覆蓋的背景意義、組網(wǎng)方案、安全保障。
關鍵詞:銀行網(wǎng)點;無線覆蓋;網(wǎng)絡安全
無線局域網(wǎng)技術于90年代逐步成熟并投入商用,隨著智能終端的普及,無線網(wǎng)絡接入需求日益旺盛。有數(shù)據(jù)分析認為,銀行營業(yè)網(wǎng)點部署無線上網(wǎng)系統(tǒng),可分流20%客戶通過手機網(wǎng)上銀行辦理業(yè)務,平均節(jié)省30%的等候時間。當客戶在等候時,使用WIFI免費上網(wǎng)可分散注意力,從而減少客戶抱怨,提升客戶滿意度。銀行營業(yè)網(wǎng)點無線網(wǎng)絡覆蓋產(chǎn)品是指利用無線網(wǎng)絡技術實現(xiàn)銀行營業(yè)網(wǎng)點的全信息化覆蓋,優(yōu)化網(wǎng)點網(wǎng)絡環(huán)境,使得等候區(qū)的儲戶能夠方便高效地使用WIFI網(wǎng)絡,提升儲戶服務體驗。
《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》(公安部令第82號)要求,提供互聯(lián)網(wǎng)接入服務的單位使用內部網(wǎng)絡地址與互聯(lián)網(wǎng)網(wǎng)絡地址轉換方式為用戶提供接入服務的,需要記錄并留存用戶使用的互聯(lián)網(wǎng)網(wǎng)絡地址和內部網(wǎng)絡地址對應關系以及網(wǎng)絡運行狀態(tài),監(jiān)測、記錄網(wǎng)絡安全事件等安全審計功能,記錄留存應當保存六十天。但通過調查發(fā)現(xiàn),90%的用戶不清楚網(wǎng)絡的法律法規(guī),67%的人都沒聽說過網(wǎng)絡違規(guī)違法。個體通過組織網(wǎng)絡發(fā)生的網(wǎng)絡違規(guī)違法行為,若因為組織沒有采取相關的防御措施,違法事件發(fā)生后不能通過技術手段查出當事人,那么只能由組織為此違規(guī)違法事件承擔相應的責任。因此,如何利用技術手段保障公共區(qū)域無線網(wǎng)絡使用的安全性是銀行必須考慮的問題。
(一)系統(tǒng)架構
省中心集中部署Portal Server服務器、認證服務器、短信網(wǎng)關各一臺,部署一臺用戶上網(wǎng)行為管理軟件,統(tǒng)實現(xiàn)用戶的集中管理、集中認證。各營業(yè)網(wǎng)點AP通過廣域網(wǎng)鏈路與AC/無線控制器連接。銀行網(wǎng) 點訪客可通過選擇網(wǎng)點內部提供的無線SSID登錄頁,用戶在登錄頁面上輸入自己的手機號并獲取動態(tài)密碼完成認證。通過配置無線控制器的Portal+Radius認證,與中心化部署DKEY WMS無線認證軟件互操作,實現(xiàn)對銀行多個網(wǎng)點的無線接入實現(xiàn)集中式認證,并能夠根據(jù)不同網(wǎng)點實現(xiàn)統(tǒng)一或個性化的宣傳頁。通過設計多種認證方式及賬號管理策略,最終實現(xiàn)企業(yè)對訪客、員工、臨時工安全接入無線網(wǎng)絡,并能夠對違規(guī)上網(wǎng)可追溯,加強無線網(wǎng)絡安全,節(jié)約無線管理成本。
系統(tǒng)架構如圖1:

圖1 無線覆蓋系統(tǒng)平臺架構
(二)安全保障
營業(yè)網(wǎng)點無線主要服務于儲戶,是規(guī)模的公眾型網(wǎng)絡,此時網(wǎng)絡安全問題在建網(wǎng)時必須考慮問題,安全方式主要側重幾個方面:用戶安全、網(wǎng)絡安全,這樣無線網(wǎng)絡中著重考慮使用無線網(wǎng)絡的空口信息的安全機制,同時也要考慮與無線相關的有線網(wǎng)絡的安全問題。
第一,MAC地址過濾。通過MAC地址的過濾,限制具有某種類型的MAC地址特征的終端才能進入網(wǎng)絡中。
第二,SSID管理。將網(wǎng)絡進行一個邏輯化標識,對終端上發(fā)的報文都要求進行上帶SSID,如果沒有SSID標識則不能進入網(wǎng)絡。
第三,WEP加密。WEP加密是一種靜態(tài)加密的機制,通信雙方具有一個共同的密鑰,終端發(fā)送的空口信息報文必須使用共同的密鑰進行加密。
第四,AES加密。AES安全機制是一種動態(tài)密鑰管理機制,同時密鑰生成也基于不對稱密鑰機制來實現(xiàn)的,同時密鑰的管理也定期更新,具有體的時間由系統(tǒng)可以設定,一般情況都設定為5分鐘左右,這樣非法用戶要想在5分鐘之內進行獲取足夠數(shù)量的報文進行匹配出密鑰出來,從無線空口的流量來看,基本上是不可能的。
(三)用戶上網(wǎng)流程
第一,儲戶通過手機登錄無線網(wǎng)絡,手機終端通過DHCP獲取IP地址和網(wǎng)關后,打開瀏覽器時,會強制彈出如下提示界面,提示用戶輸入手機號。
第二,用戶輸入手機號并點擊獲取認證碼后,日志審計設備隨機生成一個驗證碼,通過短信貓將短信發(fā)到用戶手機上,短信中會告之用戶此次驗證操作不產(chǎn)生任何費用。
第三,用戶輸入手機上收到的驗證碼后即可正常上網(wǎng),用戶所有上網(wǎng)記錄都歸到收取驗證碼的手機號上。
(四)用戶驗證流程
第一,上網(wǎng)設備與AP進行無線連接。
第二,打開瀏覽器輸入任意網(wǎng)址,AC通過隧道控制AP將用戶強制指向portal頁面。
第三,在portal頁面填寫手機號碼,點擊或許密碼,portal server將此請求發(fā)送至無線認證服務。
第四,無線認證服務創(chuàng)建以手機號碼為用戶名的賬戶,并產(chǎn)生動態(tài)密碼。
第五,無線認證服務將該用戶信息同時同步給AC和短信網(wǎng)關。
第六,短信網(wǎng)關將生成的動態(tài)密碼已短信的形式發(fā)送至該用戶填寫的手機號碼。
第七,用戶手機收到密碼后,在portal頁面填寫密碼,點擊登陸。如果用戶填寫的手機號碼(用戶名)與密碼如果與認證服務器創(chuàng)建的用戶名密碼一致,則驗證通過。
通過銀行營業(yè)網(wǎng)點的無線網(wǎng)絡覆蓋,有效改善了儲戶的服務體驗,提升了銀行的服務水平。同時可以通過Portal認真頁面對銀行業(yè)務進行主動推送,實現(xiàn)個性化營銷需求,為儲戶體驗提供優(yōu)質、全方位、多層次的一攬子金融服務,帶動銀行自身業(yè)務的增長。對于運營商而言,利用銀行網(wǎng)點生產(chǎn)網(wǎng)空余纖芯提供增值服務,有效提高了客戶價值,形成了多方共贏的局面。目前無線網(wǎng)絡覆蓋已經(jīng)在越來越多的銀行網(wǎng)點進行了推廣應用。
中圖分類號:TP393.08....
文獻標志碼:A..
文章編號:1674-8883(2015)16-0305-01