銀行營業網點無線網絡覆蓋解決方案

賈衛平.艷（陜西廣電網絡傳媒<集團>股份有限公司，陜西 西安. 7006；西安出版社，陜西 西安7006）

銀行營業網點無線網絡覆蓋解決方案

賈衛平1.艷2
（1陜西廣電網絡傳媒<集團>股份有限公司，陜西 西安. 710061；2西安出版社，陜西 西安710061）

摘 要：本文介紹了銀行營業網點無線網絡覆蓋的背景意義、組網方案、安全保障。

關鍵詞：銀行網點；無線覆蓋；網絡安全

一、項目背景

無線局域網技術于90年代逐步成熟并投入商用，隨著智能終端的普及，無線網絡接入需求日益旺盛。有數據分析認為，銀行營業網點部署無線上網系統，可分流20%客戶通過手機網上銀行辦理業務，平均節省30%的等候時間。當客戶在等候時，使用WIFI免費上網可分散注意力，從而減少客戶抱怨，提升客戶滿意度。銀行營業網點無線網絡覆蓋產品是指利用無線網絡技術實現銀行營業網點的全信息化覆蓋，優化網點網絡環境，使得等候區的儲戶能夠方便高效地使用WIFI網絡，提升儲戶服務體驗。

《互聯網安全保護技術措施規定》（公安部令第82號）要求，提供互聯網接入服務的單位使用內部網絡地址與互聯網網絡地址轉換方式為用戶提供接入服務的，需要記錄并留存用戶使用的互聯網網絡地址和內部網絡地址對應關系以及網絡運行狀態，監測、記錄網絡安全事件等安全審計功能，記錄留存應當保存六十天。但通過調查發現，90%的用戶不清楚網絡的法律法規，67%的人都沒聽說過網絡違規違法。個體通過組織網絡發生的網絡違規違法行為，若因為組織沒有采取相關的防御措施，違法事件發生后不能通過技術手段查出當事人，那么只能由組織為此違規違法事件承擔相應的責任。因此，如何利用技術手段保障公共區域無線網絡使用的安全性是銀行必須考慮的問題。

二、解決方案

（一）系統架構

省中心集中部署Portal Server服務器、認證服務器、短信網關各一臺，部署一臺用戶上網行為管理軟件，統實現用戶的集中管理、集中認證。各營業網點AP通過廣域網鏈路與AC/無線控制器連接。銀行網 點訪客可通過選擇網點內部提供的無線SSID登錄頁，用戶在登錄頁面上輸入自己的手機號并獲取動態密碼完成認證。通過配置無線控制器的Portal+Radius認證，與中心化部署DKEY WMS無線認證軟件互操作，實現對銀行多個網點的無線接入實現集中式認證，并能夠根據不同網點實現統一或個性化的宣傳頁。通過設計多種認證方式及賬號管理策略，最終實現企業對訪客、員工、臨時工安全接入無線網絡，并能夠對違規上網可追溯，加強無線網絡安全，節約無線管理成本。

系統架構如圖1：

圖1　 無線覆蓋系統平臺架構

（二）安全保障

營業網點無線主要服務于儲戶，是規模的公眾型網絡，此時網絡安全問題在建網時必須考慮問題，安全方式主要側重幾個方面：用戶安全、網絡安全，這樣無線網絡中著重考慮使用無線網絡的空口信息的安全機制，同時也要考慮與無線相關的有線網絡的安全問題。

第一，MAC地址過濾。通過MAC地址的過濾，限制具有某種類型的MAC地址特征的終端才能進入網絡中。

第二，SSID管理。將網絡進行一個邏輯化標識，對終端上發的報文都要求進行上帶SSID，如果沒有SSID標識則不能進入網絡。

第三，WEP加密。WEP加密是一種靜態加密的機制，通信雙方具有一個共同的密鑰，終端發送的空口信息報文必須使用共同的密鑰進行加密。

第四，AES加密。AES安全機制是一種動態密鑰管理機制，同時密鑰生成也基于不對稱密鑰機制來實現的，同時密鑰的管理也定期更新，具有體的時間由系統可以設定，一般情況都設定為5分鐘左右，這樣非法用戶要想在5分鐘之內進行獲取足夠數量的報文進行匹配出密鑰出來，從無線空口的流量來看，基本上是不可能的。

（三）用戶上網流程

第一，儲戶通過手機登錄無線網絡，手機終端通過DHCP獲取IP地址和網關后，打開瀏覽器時，會強制彈出如下提示界面，提示用戶輸入手機號。

第二，用戶輸入手機號并點擊獲取認證碼后，日志審計設備隨機生成一個驗證碼，通過短信貓將短信發到用戶手機上，短信中會告之用戶此次驗證操作不產生任何費用。

第三，用戶輸入手機上收到的驗證碼后即可正常上網，用戶所有上網記錄都歸到收取驗證碼的手機號上。

（四）用戶驗證流程

第一，上網設備與AP進行無線連接。

第二，打開瀏覽器輸入任意網址，AC通過隧道控制AP將用戶強制指向portal頁面。

第三，在portal頁面填寫手機號碼，點擊或許密碼，portal server將此請求發送至無線認證服務。

第四，無線認證服務創建以手機號碼為用戶名的賬戶，并產生動態密碼。

第五，無線認證服務將該用戶信息同時同步給AC和短信網關。

第六，短信網關將生成的動態密碼已短信的形式發送至該用戶填寫的手機號碼。

第七，用戶手機收到密碼后，在portal頁面填寫密碼，點擊登陸。如果用戶填寫的手機號碼（用戶名）與密碼如果與認證服務器創建的用戶名密碼一致，則驗證通過。

三、小結

通過銀行營業網點的無線網絡覆蓋，有效改善了儲戶的服務體驗，提升了銀行的服務水平。同時可以通過Portal認真頁面對銀行業務進行主動推送，實現個性化營銷需求，為儲戶體驗提供優質、全方位、多層次的一攬子金融服務，帶動銀行自身業務的增長。對于運營商而言，利用銀行網點生產網空余纖芯提供增值服務，有效提高了客戶價值，形成了多方共贏的局面。目前無線網絡覆蓋已經在越來越多的銀行網點進行了推廣應用。

中圖分類號：TP393.08....

文獻標志碼：A..

文章編號：1674-8883（2015）16-0305-01