WCDMA网络技术在银行通信系统中的应用

爱卫生

本文摘自《微型电脑应用》2012年11期。【作者简介】：赵博（1984-)，男，山西太原，上海交通大学计算机科学与工程系，工程硕士，研宄方向：网络安全技术

【机构】 上海交通大学计算机科学与工程系；

【摘要】 WCDMA是宽带码分多址(Wideband Code Division Multiple Access)技术的缩写。银行在传统有线网络模式下,无法满足的离行ATM、移动网点的灵活调配、部署要求,主要是没有长期固定的位置,受到地域的有线网络限制,如企业用户部署有线网络,存在租用在线服务量小,成本太高的缺点,故有高速无线网络需求,WCDMA无线部署是最佳的解决方案。本文介绍的VPDN隧道技术和认证技术,并为银行无线ATM机提供了一个安全的访问解决方案。

【关键词】 WCDMA； VPDN； 隧道；

0 引言

3G(3rd-generation)是第三代移动通信技术的缩写，指的是支持高速数据传输的蜂窝移动通信技术。3G服务能够同时传送语音和数据信息，速度一般能够超过几百kbps。三大国内电信运营商支持如下：电信：CDMA2000，速度高达3.1Mbps；移动：TD-SCDMA，速度高达2.8Mbps；联通:WCDMA，速度高达7.2Mbps。联通的WCDMA技术有较高的扩频增益，发展空间更大，全球漫游能力较强，技术成熟度高效益好，得到广泛应用。
随着3G网络服务的日益普及，运营商针对企业用户对“3G移动专用网络”的需求推出3G的VPDN服务，它使用了L2TP隧道传输协议，在现有的拨号网络上的划分出一条虚拟通道，该专用通道不受外界干扰，用这样的方式，使用类似有线专用网络来接入到企业内部网并访问资源。而数据通信设备制造商也推出了3G路由器，以适应行业的发展趋势，企业网络己经进入了3G网络时代。

1基于WCDMA的VPDN的核心技术

VPDN(Virtual Private Dial-up Network)，又称为虚拟拨号专用网络。WCDMA分组域的VPDN服务，特点是无线上网，其使用中国联通WCDMA高速分组数据网络，为无线网络用户构建虚拟专用网络，使移动用户在任何地点都能够实现无缝和安全的网络连接。

1.1 VPDN的隧道技术

VPDN主要使用了二层隧道协议（L2TP)，这个协议相对于GRE和IPSec隧道这些三层协议来说，用户之间的区分会比较简单。因为，在三层（网络层），一般只能通过IP地址来区分用户。而对于VPN用户来说，他们的地址可以重复，所以，三层的隧道协议并不适合区分用户。而作为第二层（数据链路层）隧道协议，L2TP是作为PPP的扩展而被提出来的。PPP合适区分不同的用户，如拨号上网的用户，直接连接到对端路由器的用户等，因为PPP可以得到对端用户的用户名和更多的用户信息。对于拨号接入的用户访问这种情况下，需要区分不同的VPN用户，使用的L2TP最为理想。使用隧道协议L2TP协议的VPDN，主要电信运营商会维护运营商和企业之间保持的二层隧道。不同企业之间的二层隧道是分开的，独立的VPDN隧道将确保所有企业业务网络的完整性、私密性和安全性。

1.2 VPDN的身份验证方法

1.2.1 口令验证协议（PAP)

PAP是一种简单的明文验证方式。很明显，这种验证方法是安全性较差，第三方可以很容易地将要发送的用户名和密码获取到，并利用这些信息建立与NAS的连接并访问NAS提供的所有资源。一旦用户密码被第三方窃取，PAP无法提供避免由第三方攻击的保障。

1.2.2挑战一握手验证协议（CHAP）

CHAP是一种加密的身份验证机制，以避免连接时传输用户的真正的密码。NAS发送一个挑战口令给远程用户，包括会话ID和一个随机生成的挑战字串。远程客户必须使用MD5单向哈希算法返回用户名、加密的挑战口令、会话ID和用户口令。CHAP对PAP进行了改善，不是直接通过链路发送明文口令，而是使用挑战口令散列算法对口令进行加密。在整个连接过程中，CHAP将不定时向客户端重复发送挑战口令，以避免第三方冒充远程客户端攻击。

2 基于WCDMA的数据通信应用的组网模式

2.1 访问Internet

如图1所示:

3G路由器配置WCDMA模块，使用公用的APN名称、用户名、密码，通过网络运营商的无线基站访问Internet，通过3G网络配置的NAT地址转换功能，3G路由器内网的PC通过3G路由器访问公共网络资源，如网页浏览，公共网络邮件，即时通讯，网络下载和其他资源。

2.2 Internet+VPN隧道

如图2所示：

3G路由器配置WCDMA模块，使用公用的APN名称、用户名、密码，通过网络运营商的无线基站访问Internet，对于需要访问公共网络资源的数据流，通过直接配置NAT地址转换与互联网通信。对于需要访问总部内部网络资源的数据流（如：企业VoIP语音通话，视频会议系统，内部OA系统等），通过总部路由器与3G路由器建立IPsecVPN加密隧道进行直接通信。

2.3 WCDMAVPDN专网

如图3所示：

为了确保大型商业客户的WCDMA接入网络业务的安全需求，运营商可以向用户提供专用的APN(AccessPointName)传输模式，为用户提供一个专门的接入点名称，并可以提供一个用户名，密码，IMSI的多重安全认证功能。总部LNS的用户端设备（路由器，VPN设备）通过专线和运营商的网络互连，分支机构的3G路由器配置WCDMA模块，使用企业特定的APN名称，用户名，密码接入3G网络，运营商通过APN名或用户名密码确定是企业的专用网络用户后，设备触发LAC和LNS设备L2TP客户端身份验证协商，最终由LNS设备的分行网络3G路由器分配私网IP地址，以实现分支机构网络与总部的内部网络的互联互通。

基于WCDMA的VPDN专用网络是运营商为行业用户首推的模式。

3 无线侧网络安全

无线通信本身的特点是：既方便合法用户访问，但也容易让一个潜在的未经授权的用户访问，所以安全问题总是与移动通信网络密切相关。

用于无线通信的安全问题，3G系统进行了优化如下：实现双向认证。不但提供基站对MS的认证，而且还提供了MS对基站的认证，可以有效地防止虚假基站的攻击。提供数据链路信令的完整性保护。

密钥长度增加为128位，改进了算法。

3G接入链路数据加密延伸至无线接入控制器（RNC)。3G的安全机制也具有了为未来推出的新服务提供安全保护措施的可扩展性。

3G可以向用户提供安全可视性，用户可以随时看到自己的安全模型和安全级别。

在密钥长度、加密算法的选择、认证机制、数据完整性检查等方面，3G的性能远远优于2G。

因此，基于WCDMA的中国联通无线VPDN业务可以在无线侧严格确保客户资料的保密性、完整性，具有安全保障能力。

4 银行无线ATM自动取款机应用

以基于联通的WCDMA网络为银行ATM(Automatic Teller Machine自动取款机）无线接入系统提供了一个全新的平台，以解决银行的ATM机的移动问题，从而扩大使用ATM机服务的范围和人群问题，使得银行的ATM机服务可以达到随时随地的效果，是银行业务和通信技术结合的一个典型的应用组合。WCDMA无线ATM机银行卡网络是按照银行的网络平台共同的技术标准和业务规范，接着银行的网络平台，将WCDMA的无线数据传输技术应用于无线支付服务领域的一个新的具有容易携带，交易简单、高稳定性，高安全性的特点的应用。中国联通的WCDMA网络的VPDN专用网络数据传输通道，实现ATM线路的安全、可靠、快速的无线数据传输，摆脱了传统ATM机受到的制约。WCDMA网络的传输速率高，银行可以在很短时间内接收ATM机传回的数据，消费者操作的等待时间也大大减少。

5 银行无线ATM自动取款机安全接入解决方案

如图4所示

银行ATM机网络上使用3G路由器提供3G无线网络的访问，通过运营商3G无线基站和IP核心网络的汇聚路由器，实现离行式ATM机与金融网络的访问。
根据不同的应用模式，3G接入的安全部署基于以下考虑：

访问安全认证：

在3G网络登录，基于用户名、密码、IMSI(international mobile subscriber identity，国际移动用户识别码）的多重身份认证绑定功能。要求确保用户访问的唯一性，以防止未经授权的用户使用3G网络访问用户特定的网络。

端到端的隐私性：

为了确保用户服务的隐私，必须要求解决方案从网点3G路由器到金融、政府行业一级或二级网汇聚路由器提供端到端的私有专用通道，以保证网点业务在运营商网络传输过程中的私有性。

端到端安全加密：

为了进一步确保业务数据网络，在3G无线网络运营商和IP核心网络传输的安全性，防止黑客利用其他非法手段获取金融和政府部门的敏感数据，安全解决方案要求3G的路由器到金融、政府行业一级或二级网汇聚路由器端到端的加密安全。

3G路由器安全访问解决方案，如图5所示：

3G网络的访问安全部署方案，分别由专有的APN+接入认证，L2TP的私有隧道，IPSec安全加密技术来实现3G接入认证，端到端的私密性，端到端安全加密安全性原则，具体的部署方案如下：

5.1专有APN+绑定接入认证

在进行3G无线接入网络部署时，首先需要向运营商申请分配的专用网络的APN(AccessPointName，类似行业专用的3G无线局域网，保证网点接入3G网络后，只能访问行业专用网络，保证无法与其他网络进行通信）。网络访问使用3G路由器接入，网络运营商将用户的IMSI信息(IMSI是在运营商网络中唯一识别一个移动用户的号码，由15位数字组成，存于SIM卡中）最终用户的帐号和密码会预先在运营商的认证服务器上进行配置。当分支机构的3G路由器发起无线连接时，只允许绑定信息合法的用户通过用户名、密码的AAA认证后接入3G专用网络，防止非法SIM卡用户拨入用户3G专网。

此外，可通过3G路由器进一步设置SIM卡的PIN码保护功能，只有知道的SIM卡的PIN代码来触发拨号，以防止未经授权的用户获取到SIM卡后，访问合法用户的资源，保证了SIM卡的使用安全。

5.2 L2TP+IPSECVPN私有隧道

为了保证3G接入网点的数据业务在运营商IP核心网中传输的的私有性，用户向运营商申请企业集团用户3G的VPDN业务，基于3G无线接入方式的虚拟专用拨号网业务，它是利用安全的L2TP隧道传输协议，就可以在现有的拨号网络上构建一条虚拟的、不受外界干扰的专用通道，从而安全访问企业内部网资源。

运营商会为行业用户的3GVPDN业务提供L2TP的LAC端路由器及配套的AAA服务器。金融、政府行业一级网或二级网汇聚层采用一台路由器作为L2TP的LNS端，并部署一台AAA服务器。LAC路由器主要负责对3G用户的接入认证，与该用户所属企业的专有LNS建立L2TP隧道。金融、政府行业一级网或二级网汇聚的AAA服务器主要存放网点路由器建立连接时所需要的用户名和密码。用户名的格式为XX@XX.COM，其中@前面的字符串可以由用户端自行定义，@后面的字符串即域名。运营商AAA服务器通过域名确认该用户的接入权限。运营商AAA服务器与企业AAA服务器的用户名和密码必须一致。

L2TP私有隧道建立过程如下：

网点路由器通过3G网络在完成对接入用户的APN认证后，路由器启动PPP拨号向LAC发出认证请求。

LAC把认证请求转至运营商LACAAA服务器。

AAA服务器将会回复认证结果并返回该用户所属的LNS地址、VPDN隧道属性等信息。

LAC向返回的LNS地址发出L2TP隧道建立请求，隧道建立成功（请求建立隧道的认证可选）。

LNS对网点路由器的用户名和密码进行重新认证(LNS对网点路由器的重认证可选）。

L2TP隧道建立完成。网点路由器对应的拨号接口UP，建立正常私有隧道通信。

如果网点发起了能够触发IPSecVPN的流量，则IPSecVPN隧道建立过程启动。网点路由器与LNS发起IPSecVPN连接请求。

IPSec安全加密：

针对端到端的安全加密原则，如前文所述，3G技术有自身的加密验证技术，但是3G的加密验证技术只针对无线部分，而在IP核心网部分，从LAC到LNS之间的L2TP隧道是不加密的，数据还是明文传送。而从LAC到网络中间还有可能经过运营商的IP网络，为了达到端到端的加密传输，需要在网点和总部路由器之间，采用IPSec实现端到端的加密：

IPSec通过AH、ESP协议保证了数据的安全传输：私有性：用户的敏感数据以密文形式传送完整性：对接收的数据进行验证，判断数据是否被篡改真实性：验证数据源，判断数据来自真实的发送者防重放：防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。

按照IPSec VPN技术要求支持的加密算法主要有：DES、AES128、AES192、AES256等，要求支持的HASH算法为MD5和SHA等。此外，拥有国家商用密码管理办公室颁发的商用密码产品资质的设备商，除了常见的加密算法外，还能够为金融、政府行业用户的3G接入提供符合国密办加密算法支持，并遵照国密办IPSecVPN技术规范要求对路由器进行设计，能进一步确保安全性。

6 结论

3G技术宣告无线网络业务的网络时代的来临，更完善的网络安全有利于WCDMA无线接入网络真正得到大规模的应用。在信息安全己上升到国家战略的今天，如何在不断发展的通信技术的情况下，始终保持一个可控制的安全机制也将是一个问题。相信在政府和国家的推动下，促进民族企业建立自己的网络，牢牢把握信息安全的主动权，WCDMA网络在企业数据通信中的应用将蓬勃发展。

参考文献：
[1]李稷楠、王欣、朱旭明、朱伟峰，浅谈基于WCDMA分组域的行业应用接入方案，[M]邮电设计技术，2010.03
[2].姜学东、周宇飞，基于CDMA 1XVPDN的银联无线POS系统应用，[M]安徽大学学报，2007.03
[3]唐启涛、陶滔，无线传感器网络综述，应用安全，2008