銀行營業(yè)網(wǎng)點無線網(wǎng)絡覆蓋解決方案

賈衛(wèi)平.艷（陜西廣電網(wǎng)絡傳媒<集團>股份有限公司，陜西 西安. 7006；西安出版社，陜西 西安7006）

銀行營業(yè)網(wǎng)點無線網(wǎng)絡覆蓋解決方案

賈衛(wèi)平1.艷2
（1陜西廣電網(wǎng)絡傳媒<集團>股份有限公司，陜西 西安. 710061；2西安出版社，陜西 西安710061）

摘 要：本文介紹了銀行營業(yè)網(wǎng)點無線網(wǎng)絡覆蓋的背景意義、組網(wǎng)方案、安全保障。

關鍵詞：銀行網(wǎng)點；無線覆蓋；網(wǎng)絡安全

一、項目背景

無線局域網(wǎng)技術于90年代逐步成熟并投入商用，隨著智能終端的普及，無線網(wǎng)絡接入需求日益旺盛。有數(shù)據(jù)分析認為，銀行營業(yè)網(wǎng)點部署無線上網(wǎng)系統(tǒng)，可分流20%客戶通過手機網(wǎng)上銀行辦理業(yè)務，平均節(jié)省30%的等候時間。當客戶在等候時，使用WIFI免費上網(wǎng)可分散注意力，從而減少客戶抱怨，提升客戶滿意度。銀行營業(yè)網(wǎng)點無線網(wǎng)絡覆蓋產(chǎn)品是指利用無線網(wǎng)絡技術實現(xiàn)銀行營業(yè)網(wǎng)點的全信息化覆蓋，優(yōu)化網(wǎng)點網(wǎng)絡環(huán)境，使得等候區(qū)的儲戶能夠方便高效地使用WIFI網(wǎng)絡，提升儲戶服務體驗。

《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》（公安部令第82號）要求，提供互聯(lián)網(wǎng)接入服務的單位使用內部網(wǎng)絡地址與互聯(lián)網(wǎng)網(wǎng)絡地址轉換方式為用戶提供接入服務的，需要記錄并留存用戶使用的互聯(lián)網(wǎng)網(wǎng)絡地址和內部網(wǎng)絡地址對應關系以及網(wǎng)絡運行狀態(tài)，監(jiān)測、記錄網(wǎng)絡安全事件等安全審計功能，記錄留存應當保存六十天。但通過調查發(fā)現(xiàn)，90%的用戶不清楚網(wǎng)絡的法律法規(guī)，67%的人都沒聽說過網(wǎng)絡違規(guī)違法。個體通過組織網(wǎng)絡發(fā)生的網(wǎng)絡違規(guī)違法行為，若因為組織沒有采取相關的防御措施，違法事件發(fā)生后不能通過技術手段查出當事人，那么只能由組織為此違規(guī)違法事件承擔相應的責任。因此，如何利用技術手段保障公共區(qū)域無線網(wǎng)絡使用的安全性是銀行必須考慮的問題。

二、解決方案

（一）系統(tǒng)架構

省中心集中部署Portal Server服務器、認證服務器、短信網(wǎng)關各一臺，部署一臺用戶上網(wǎng)行為管理軟件，統(tǒng)實現(xiàn)用戶的集中管理、集中認證。各營業(yè)網(wǎng)點AP通過廣域網(wǎng)鏈路與AC/無線控制器連接。銀行網(wǎng) 點訪客可通過選擇網(wǎng)點內部提供的無線SSID登錄頁，用戶在登錄頁面上輸入自己的手機號并獲取動態(tài)密碼完成認證。通過配置無線控制器的Portal+Radius認證，與中心化部署DKEY WMS無線認證軟件互操作，實現(xiàn)對銀行多個網(wǎng)點的無線接入實現(xiàn)集中式認證，并能夠根據(jù)不同網(wǎng)點實現(xiàn)統(tǒng)一或個性化的宣傳頁。通過設計多種認證方式及賬號管理策略，最終實現(xiàn)企業(yè)對訪客、員工、臨時工安全接入無線網(wǎng)絡，并能夠對違規(guī)上網(wǎng)可追溯，加強無線網(wǎng)絡安全，節(jié)約無線管理成本。

系統(tǒng)架構如圖1：

圖1　 無線覆蓋系統(tǒng)平臺架構

（二）安全保障

營業(yè)網(wǎng)點無線主要服務于儲戶，是規(guī)模的公眾型網(wǎng)絡，此時網(wǎng)絡安全問題在建網(wǎng)時必須考慮問題，安全方式主要側重幾個方面：用戶安全、網(wǎng)絡安全，這樣無線網(wǎng)絡中著重考慮使用無線網(wǎng)絡的空口信息的安全機制，同時也要考慮與無線相關的有線網(wǎng)絡的安全問題。

第一，MAC地址過濾。通過MAC地址的過濾，限制具有某種類型的MAC地址特征的終端才能進入網(wǎng)絡中。

第二，SSID管理。將網(wǎng)絡進行一個邏輯化標識，對終端上發(fā)的報文都要求進行上帶SSID，如果沒有SSID標識則不能進入網(wǎng)絡。

第三，WEP加密。WEP加密是一種靜態(tài)加密的機制，通信雙方具有一個共同的密鑰，終端發(fā)送的空口信息報文必須使用共同的密鑰進行加密。

第四，AES加密。AES安全機制是一種動態(tài)密鑰管理機制，同時密鑰生成也基于不對稱密鑰機制來實現(xiàn)的，同時密鑰的管理也定期更新，具有體的時間由系統(tǒng)可以設定，一般情況都設定為5分鐘左右，這樣非法用戶要想在5分鐘之內進行獲取足夠數(shù)量的報文進行匹配出密鑰出來，從無線空口的流量來看，基本上是不可能的。

（三）用戶上網(wǎng)流程

第一，儲戶通過手機登錄無線網(wǎng)絡，手機終端通過DHCP獲取IP地址和網(wǎng)關后，打開瀏覽器時，會強制彈出如下提示界面，提示用戶輸入手機號。

第二，用戶輸入手機號并點擊獲取認證碼后，日志審計設備隨機生成一個驗證碼，通過短信貓將短信發(fā)到用戶手機上，短信中會告之用戶此次驗證操作不產(chǎn)生任何費用。

第三，用戶輸入手機上收到的驗證碼后即可正常上網(wǎng)，用戶所有上網(wǎng)記錄都歸到收取驗證碼的手機號上。

（四）用戶驗證流程

第一，上網(wǎng)設備與AP進行無線連接。

第二，打開瀏覽器輸入任意網(wǎng)址，AC通過隧道控制AP將用戶強制指向portal頁面。

第三，在portal頁面填寫手機號碼，點擊或許密碼，portal server將此請求發(fā)送至無線認證服務。

第四，無線認證服務創(chuàng)建以手機號碼為用戶名的賬戶，并產(chǎn)生動態(tài)密碼。

第五，無線認證服務將該用戶信息同時同步給AC和短信網(wǎng)關。

第六，短信網(wǎng)關將生成的動態(tài)密碼已短信的形式發(fā)送至該用戶填寫的手機號碼。

第七，用戶手機收到密碼后，在portal頁面填寫密碼，點擊登陸。如果用戶填寫的手機號碼（用戶名）與密碼如果與認證服務器創(chuàng)建的用戶名密碼一致，則驗證通過。

三、小結

通過銀行營業(yè)網(wǎng)點的無線網(wǎng)絡覆蓋，有效改善了儲戶的服務體驗，提升了銀行的服務水平。同時可以通過Portal認真頁面對銀行業(yè)務進行主動推送，實現(xiàn)個性化營銷需求，為儲戶體驗提供優(yōu)質、全方位、多層次的一攬子金融服務，帶動銀行自身業(yè)務的增長。對于運營商而言，利用銀行網(wǎng)點生產(chǎn)網(wǎng)空余纖芯提供增值服務，有效提高了客戶價值，形成了多方共贏的局面。目前無線網(wǎng)絡覆蓋已經(jīng)在越來越多的銀行網(wǎng)點進行了推廣應用。

中圖分類號：TP393.08....

文獻標志碼：A..

文章編號：1674-8883（2015）16-0305-01