賈衛(wèi)平.艷（陜西廣電網(wǎng)絡(luò)傳媒<集團(tuán)>股份有限公司，陜西 西安. 7006；西安出版社，陜西 西安7006）

銀行營業(yè)網(wǎng)點(diǎn)無線網(wǎng)絡(luò)覆蓋解決方案

賈衛(wèi)平1.艷2
（1陜西廣電網(wǎng)絡(luò)傳媒<集團(tuán)>股份有限公司，陜西 西安. 710061；2西安出版社，陜西 西安710061）

摘 要：本文介紹了銀行營業(yè)網(wǎng)點(diǎn)無線網(wǎng)絡(luò)覆蓋的背景意義、組網(wǎng)方案、安全保障。

關(guān)鍵詞：銀行網(wǎng)點(diǎn)；無線覆蓋；網(wǎng)絡(luò)安全

一、項(xiàng)目背景

無線局域網(wǎng)技術(shù)于90年代逐步成熟并投入商用，隨著智能終端的普及，無線網(wǎng)絡(luò)接入需求日益旺盛。有數(shù)據(jù)分析認(rèn)為，銀行營業(yè)網(wǎng)點(diǎn)部署無線上網(wǎng)系統(tǒng)，可分流20%客戶通過手機(jī)網(wǎng)上銀行辦理業(yè)務(wù)，平均節(jié)省30%的等候時間。當(dāng)客戶在等候時，使用WIFI免費(fèi)上網(wǎng)可分散注意力，從而減少客戶抱怨，提升客戶滿意度。銀行營業(yè)網(wǎng)點(diǎn)無線網(wǎng)絡(luò)覆蓋產(chǎn)品是指利用無線網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)銀行營業(yè)網(wǎng)點(diǎn)的全信息化覆蓋，優(yōu)化網(wǎng)點(diǎn)網(wǎng)絡(luò)環(huán)境，使得等候區(qū)的儲戶能夠方便高效地使用WIFI網(wǎng)絡(luò)，提升儲戶服務(wù)體驗(yàn)。

《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》（公安部令第82號）要求，提供互聯(lián)網(wǎng)接入服務(wù)的單位使用內(nèi)部網(wǎng)絡(luò)地址與互聯(lián)網(wǎng)網(wǎng)絡(luò)地址轉(zhuǎn)換方式為用戶提供接入服務(wù)的，需要記錄并留存用戶使用的互聯(lián)網(wǎng)網(wǎng)絡(luò)地址和內(nèi)部網(wǎng)絡(luò)地址對應(yīng)關(guān)系以及網(wǎng)絡(luò)運(yùn)行狀態(tài)，監(jiān)測、記錄網(wǎng)絡(luò)安全事件等安全審計(jì)功能，記錄留存應(yīng)當(dāng)保存六十天。但通過調(diào)查發(fā)現(xiàn)，90%的用戶不清楚網(wǎng)絡(luò)的法律法規(guī)，67%的人都沒聽說過網(wǎng)絡(luò)違規(guī)違法。個體通過組織網(wǎng)絡(luò)發(fā)生的網(wǎng)絡(luò)違規(guī)違法行為，若因?yàn)榻M織沒有采取相關(guān)的防御措施，違法事件發(fā)生后不能通過技術(shù)手段查出當(dāng)事人，那么只能由組織為此違規(guī)違法事件承擔(dān)相應(yīng)的責(zé)任。因此，如何利用技術(shù)手段保障公共區(qū)域無線網(wǎng)絡(luò)使用的安全性是銀行必須考慮的問題。

二、解決方案

（一）系統(tǒng)架構(gòu)

省中心集中部署Portal Server服務(wù)器、認(rèn)證服務(wù)器、短信網(wǎng)關(guān)各一臺，部署一臺用戶上網(wǎng)行為管理軟件，統(tǒng)實(shí)現(xiàn)用戶的集中管理、集中認(rèn)證。各營業(yè)網(wǎng)點(diǎn)AP通過廣域網(wǎng)鏈路與AC/無線控制器連接。銀行網(wǎng) 點(diǎn)訪客可通過選擇網(wǎng)點(diǎn)內(nèi)部提供的無線SSID登錄頁，用戶在登錄頁面上輸入自己的手機(jī)號并獲取動態(tài)密碼完成認(rèn)證。通過配置無線控制器的Portal+Radius認(rèn)證，與中心化部署DKEY WMS無線認(rèn)證軟件互操作，實(shí)現(xiàn)對銀行多個網(wǎng)點(diǎn)的無線接入實(shí)現(xiàn)集中式認(rèn)證，并能夠根據(jù)不同網(wǎng)點(diǎn)實(shí)現(xiàn)統(tǒng)一或個性化的宣傳頁。通過設(shè)計(jì)多種認(rèn)證方式及賬號管理策略，最終實(shí)現(xiàn)企業(yè)對訪客、員工、臨時工安全接入無線網(wǎng)絡(luò)，并能夠?qū)`規(guī)上網(wǎng)可追溯，加強(qiáng)無線網(wǎng)絡(luò)安全，節(jié)約無線管理成本。

系統(tǒng)架構(gòu)如圖1：

圖1　 無線覆蓋系統(tǒng)平臺架構(gòu)

（二）安全保障

營業(yè)網(wǎng)點(diǎn)無線主要服務(wù)于儲戶，是規(guī)模的公眾型網(wǎng)絡(luò)，此時網(wǎng)絡(luò)安全問題在建網(wǎng)時必須考慮問題，安全方式主要側(cè)重幾個方面：用戶安全、網(wǎng)絡(luò)安全，這樣無線網(wǎng)絡(luò)中著重考慮使用無線網(wǎng)絡(luò)的空口信息的安全機(jī)制，同時也要考慮與無線相關(guān)的有線網(wǎng)絡(luò)的安全問題。

第一，MAC地址過濾。通過MAC地址的過濾，限制具有某種類型的MAC地址特征的終端才能進(jìn)入網(wǎng)絡(luò)中。

第二，SSID管理。將網(wǎng)絡(luò)進(jìn)行一個邏輯化標(biāo)識，對終端上發(fā)的報(bào)文都要求進(jìn)行上帶SSID，如果沒有SSID標(biāo)識則不能進(jìn)入網(wǎng)絡(luò)。

第三，WEP加密。WEP加密是一種靜態(tài)加密的機(jī)制，通信雙方具有一個共同的密鑰，終端發(fā)送的空口信息報(bào)文必須使用共同的密鑰進(jìn)行加密。

第四，AES加密。AES安全機(jī)制是一種動態(tài)密鑰管理機(jī)制，同時密鑰生成也基于不對稱密鑰機(jī)制來實(shí)現(xiàn)的，同時密鑰的管理也定期更新，具有體的時間由系統(tǒng)可以設(shè)定，一般情況都設(shè)定為5分鐘左右，這樣非法用戶要想在5分鐘之內(nèi)進(jìn)行獲取足夠數(shù)量的報(bào)文進(jìn)行匹配出密鑰出來，從無線空口的流量來看，基本上是不可能的。

（三）用戶上網(wǎng)流程

第一，儲戶通過手機(jī)登錄無線網(wǎng)絡(luò)，手機(jī)終端通過DHCP獲取IP地址和網(wǎng)關(guān)后，打開瀏覽器時，會強(qiáng)制彈出如下提示界面，提示用戶輸入手機(jī)號。

第二，用戶輸入手機(jī)號并點(diǎn)擊獲取認(rèn)證碼后，日志審計(jì)設(shè)備隨機(jī)生成一個驗(yàn)證碼，通過短信貓將短信發(fā)到用戶手機(jī)上，短信中會告之用戶此次驗(yàn)證操作不產(chǎn)生任何費(fèi)用。

第三，用戶輸入手機(jī)上收到的驗(yàn)證碼后即可正常上網(wǎng)，用戶所有上網(wǎng)記錄都?xì)w到收取驗(yàn)證碼的手機(jī)號上。

（四）用戶驗(yàn)證流程

第一，上網(wǎng)設(shè)備與AP進(jìn)行無線連接。

第二，打開瀏覽器輸入任意網(wǎng)址，AC通過隧道控制AP將用戶強(qiáng)制指向portal頁面。

第三，在portal頁面填寫手機(jī)號碼，點(diǎn)擊或許密碼，portal server將此請求發(fā)送至無線認(rèn)證服務(wù)。

第四，無線認(rèn)證服務(wù)創(chuàng)建以手機(jī)號碼為用戶名的賬戶，并產(chǎn)生動態(tài)密碼。

第五，無線認(rèn)證服務(wù)將該用戶信息同時同步給AC和短信網(wǎng)關(guān)。

第六，短信網(wǎng)關(guān)將生成的動態(tài)密碼已短信的形式發(fā)送至該用戶填寫的手機(jī)號碼。

第七，用戶手機(jī)收到密碼后，在portal頁面填寫密碼，點(diǎn)擊登陸。如果用戶填寫的手機(jī)號碼（用戶名）與密碼如果與認(rèn)證服務(wù)器創(chuàng)建的用戶名密碼一致，則驗(yàn)證通過。

三、小結(jié)

通過銀行營業(yè)網(wǎng)點(diǎn)的無線網(wǎng)絡(luò)覆蓋，有效改善了儲戶的服務(wù)體驗(yàn)，提升了銀行的服務(wù)水平。同時可以通過Portal認(rèn)真頁面對銀行業(yè)務(wù)進(jìn)行主動推送，實(shí)現(xiàn)個性化營銷需求，為儲戶體驗(yàn)提供優(yōu)質(zhì)、全方位、多層次的一攬子金融服務(wù)，帶動銀行自身業(yè)務(wù)的增長。對于運(yùn)營商而言，利用銀行網(wǎng)點(diǎn)生產(chǎn)網(wǎng)空余纖芯提供增值服務(wù)，有效提高了客戶價值，形成了多方共贏的局面。目前無線網(wǎng)絡(luò)覆蓋已經(jīng)在越來越多的銀行網(wǎng)點(diǎn)進(jìn)行了推廣應(yīng)用。

中圖分類號：TP393.08....

文獻(xiàn)標(biāo)志碼：A..

文章編號：1674-8883（2015）16-0305-01