基于CDMA的銀行系統(tǒng)

摘    要：本文提出了一種基于CDMA的銀行系統(tǒng)設(shè)計(jì)原理和實(shí)現(xiàn)方案，簡(jiǎn)要介紹了CDMA技術(shù)的基本知識(shí)，描述了CDMA 無(wú)線傳輸應(yīng)用于金融數(shù)據(jù)傳輸?shù)膶?shí)現(xiàn)方法。通過(guò)實(shí)際應(yīng)用，獲得了理想的效果。

關(guān)鍵詞：CDMA；VPDN；ATM機(jī)；銀行；POS機(jī)；金融；無(wú)線；營(yíng)業(yè)廳；組網(wǎng)；

一、背景介紹

隨著中國(guó)經(jīng)濟(jì)高速發(fā)展，外資銀行在國(guó)內(nèi)紛紛開(kāi)立相關(guān)機(jī)構(gòu)，攜其實(shí)力、技術(shù)和管理上的優(yōu)勢(shì)，迅速拓展其對(duì)華業(yè)務(wù)，中資銀行正面臨激烈的競(jìng)爭(zhēng)，市場(chǎng)空間被迅速壓縮。此外，隨著新的技術(shù)的不斷應(yīng)用和金融界相互之間融合、滲透的不斷加深，傳統(tǒng)銀行業(yè)的經(jīng)營(yíng)模式正面臨非銀行金融機(jī)構(gòu)、新興IT技術(shù)公司和新的技術(shù)手段應(yīng)用的沖擊和挑戰(zhàn)。
這一切都決定了中國(guó)銀行業(yè)正面臨著一場(chǎng)深刻的變革，通信技術(shù)正日益成為銀行的核心競(jìng)爭(zhēng)力，銀行要充分利用通信技術(shù)，對(duì)現(xiàn)有的技術(shù)架構(gòu)進(jìn)行一次大的全面調(diào)整，建設(shè)新的綜合業(yè)務(wù)系統(tǒng)，加強(qiáng)客戶關(guān)系管理和維護(hù)，利用通信技術(shù)加快新業(yè)務(wù)品種的開(kāi)發(fā)。

二、行業(yè)分析

對(duì)銀行無(wú)線數(shù)據(jù)業(yè)務(wù)需求進(jìn)行分析。

1、無(wú)線ATM 

由于實(shí)線施工條件難度較大的原因,銀行希望在寫字樓、住宅小區(qū)等人口密集區(qū)安裝ATM的計(jì)劃難以實(shí)現(xiàn)。利用無(wú)線數(shù)據(jù)業(yè)務(wù)可以幫助銀行實(shí)現(xiàn)ATM入住寫字樓、住宅小區(qū)的計(jì)劃。

2、無(wú)線營(yíng)業(yè)廳

由于城市規(guī)劃、施工環(huán)境等原因，銀行營(yíng)業(yè)網(wǎng)點(diǎn)在部分地區(qū)無(wú)法建立，同時(shí)考慮到建設(shè)成本等因素，銀行方面希望可以通過(guò)無(wú)線傳輸將營(yíng)業(yè)網(wǎng)點(diǎn)延伸到有線傳輸不能或不適宜建設(shè)營(yíng)業(yè)網(wǎng)點(diǎn)的地區(qū)，通過(guò)無(wú)線傳輸將銀行網(wǎng)點(diǎn)進(jìn)行拓展、延伸。

3、用無(wú)線傳輸作備份電路、

銀行各營(yíng)業(yè)網(wǎng)點(diǎn)與銀行數(shù)據(jù)中心之間均采用實(shí)線連接（DDN或2M專線）。為了保證在實(shí)線傳輸中斷的情況下，營(yíng)業(yè)網(wǎng)點(diǎn)與銀行數(shù)據(jù)中心能夠正常通訊，銀行方面希望采用無(wú)線傳輸鏈路作為備份鏈路，以保證在實(shí)線傳輸中斷的情況下?tīng)I(yíng)業(yè)網(wǎng)點(diǎn)能夠正常工作。

以上的銀行無(wú)線數(shù)據(jù)傳輸需求，利用電信CDMA網(wǎng)絡(luò)強(qiáng)大的數(shù)據(jù)業(yè)務(wù)功能，采用VPDN業(yè)務(wù)均可以滿足銀行的要求。

三、VPDN介紹

根據(jù)銀行無(wú)線數(shù)據(jù)傳輸?shù)男枨螅秒娦臗DMA網(wǎng)絡(luò)強(qiáng)大的數(shù)據(jù)業(yè)務(wù)功能，將銀行營(yíng)業(yè)網(wǎng)點(diǎn)與銀行數(shù)據(jù)中心組成一個(gè)VPDN網(wǎng)，采用VPDN業(yè)務(wù)來(lái)實(shí)現(xiàn)無(wú)線數(shù)據(jù)傳輸。不僅可以滿足銀行一次投資小，網(wǎng)點(diǎn)部署靈活簡(jiǎn)便，易于維護(hù)的要求，而且可以大大節(jié)約鏈路租用費(fèi)，設(shè)備購(gòu)置費(fèi)以及網(wǎng)絡(luò)維護(hù)費(fèi)，減少企業(yè)的運(yùn)營(yíng)成本。

VPDN全稱是Virtual Private Dial-up Network，又稱為虛擬專用（或私有）撥號(hào)網(wǎng)，是VPN業(yè)務(wù)的一種，是基于撥號(hào)用戶的虛擬專用撥號(hào)網(wǎng)（VPN）業(yè)務(wù)。亦即以撥號(hào)接入方式上網(wǎng)，通過(guò)利用電信公司CDMA分組網(wǎng)絡(luò)上傳輸數(shù)據(jù)時(shí)，對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封包和加密，可以傳輸私有數(shù)據(jù)，達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別。它是利用IP網(wǎng)絡(luò)的承載功能結(jié)合相應(yīng)的認(rèn)證和授權(quán)機(jī)制建立起來(lái)的安全的虛擬專用網(wǎng)（VPN），是近年來(lái)隨著Internet的發(fā)展而迅速發(fā)展起來(lái)的一種技術(shù)。

VPDN的具體實(shí)現(xiàn)是采用隧道技術(shù)，即將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中進(jìn)行傳輸。隧道技術(shù)的基本過(guò)程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)（是OSI七層模型中的網(wǎng)絡(luò)層數(shù)據(jù)）作為負(fù)載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，取出負(fù)載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時(shí)所經(jīng)過(guò)的邏輯路徑被稱為“隧道”。要使數(shù)據(jù)順利地被封裝、傳送及解封裝，通信協(xié)議是保證的核心。目前VPN隧道協(xié)議可分為第三層隧道協(xié)議和第二層隧道協(xié)議。第二層隧道協(xié)議有點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP），第二層轉(zhuǎn)發(fā)（L2F），第二層隧道協(xié)議（L2TP）三種。 

VPDN主要是采用第二層隧道協(xié)議（L2TP），為什么會(huì)采用L2TP？有以下幾點(diǎn)原因：

1、對(duì)于GRE及IPSec這些三層隧道協(xié)議，區(qū)分用戶將比較困難；因?yàn)樵谌龑樱↖P層），一般只能通過(guò)IP 地址來(lái)區(qū)分用戶。對(duì)于VPN來(lái)說(shuō)，用戶的地址是可以重復(fù)的，這樣，三層隧道協(xié)議不適合區(qū)分用戶。

2、L2TP 是二層（鏈路層）的隧道協(xié)議，是作為PPP 的擴(kuò)展提出來(lái)的。PPP適合區(qū)分不同的用戶，比如撥號(hào)用戶采取專線直連的對(duì)端路由器等等，因?yàn)镻PP 可以得到對(duì)端的用戶名。對(duì)于撥號(hào)用戶接入這種情況來(lái)說(shuō)，需要區(qū)分不同的VPN 用戶，使用L2TP進(jìn)行VPDN組建。

3、采用L2TP隧道協(xié)議，只分配企業(yè)網(wǎng)內(nèi)部IP地址，而PPTP等第二層的隧道協(xié)議，要求有正式的IP地址，在撥入撥號(hào)服務(wù)器時(shí)，由撥號(hào)服務(wù)器提供，再二次撥入企業(yè)網(wǎng)關(guān)時(shí)，由企業(yè)網(wǎng)關(guān)分配內(nèi)部網(wǎng)地址。

四、系統(tǒng)交易過(guò)程

（圖）基于CDMA的銀行系統(tǒng)示意圖

 1、系統(tǒng)構(gòu)成部分

VPDN服務(wù)主要由CDMA路由，LAC和LNS(防火墻或者cisco接入路由器如C2600 Series)，還有AAA和內(nèi)部服務(wù)器，以下是各部分功能。
客戶機(jī): 連接在遠(yuǎn)程網(wǎng)絡(luò)上的訪問(wèn)終端，是VPDN呼叫的發(fā)起者。

LAC: 是“第二層隧道協(xié)議（L2TP）訪問(wèn)集中器”（Layer 2 tunnel protocol Access Concentrator）的縮寫，在CDMA分組網(wǎng)中是PDSN節(jié)點(diǎn)。它是L2TP隧道的其中一個(gè)端點(diǎn)，也

LNS的對(duì)端。LAC處于LNS和Client的中間，負(fù)責(zé)轉(zhuǎn)發(fā)雙方的數(shù)據(jù)包。從LAC發(fā)往LNS的數(shù)據(jù)包需要封裝到L2TP隧道中，而從LAC到Client的連接則使用CDMA無(wú)線分組傳輸技術(shù)。

LNS: 是“第二層隧道協(xié)議網(wǎng)絡(luò)服務(wù)器”（Layer 2 tunnel protocol Network Server）的縮寫。它是L2TP隧道的另一個(gè)端點(diǎn)，也是LAC的對(duì)端。它是PPP會(huì)話的邏輯終點(diǎn)，而PPP會(huì)話被LAC封裝成隧道形式，是從Client端開(kāi)始的。

AAA server：AAA是認(rèn)證（Authentication）、授權(quán)（Authorization）和記帳（Accounting）的縮寫。AAA服務(wù)器負(fù)責(zé)對(duì)Client的身份進(jìn)行驗(yàn)證。

2、實(shí)現(xiàn)過(guò)程

VPDN通常包括多種多樣的協(xié)議實(shí)現(xiàn)方式，我們主要采用L2TP協(xié)議方式的VPDN。

企業(yè)遠(yuǎn)程用戶（無(wú)線客戶端）通過(guò)CDMA連入拜訪地LAC。AAA服務(wù)器通過(guò)對(duì)域名和IMSI的認(rèn)證識(shí)別出該用戶為VPDN用戶后，就和用戶的目的VPDN服務(wù)器（企業(yè)內(nèi)部服務(wù)器）建立一條連接，稱為隧道，然后將用戶數(shù)據(jù)包封裝成IP報(bào)文后從該隧道傳送給VPDN服務(wù)器，VPDN服務(wù)器收到數(shù)據(jù)包并拆封后就可以讀到真正有意義的報(bào)文了。典型的L2TP-VPDN呼叫流程如下：

（1）遠(yuǎn)程用戶（客戶端）使用CDMA通過(guò)撥特服號(hào)呼叫接入服務(wù)器LAC（PDSN），例如用CDMA 1x modem卡撥號(hào)＃777，并輸入username@XXX.133VPDN.SX和密碼進(jìn)行呼叫。

（2）LAC將用戶名、域名、密碼、IMSI信息送至AAA認(rèn)證服務(wù)器對(duì)用戶進(jìn)行認(rèn)證，來(lái)確定該用戶是否是VPDN的用戶。

（3）如果信息為正確的VPDN用戶信息，AAA認(rèn)證服務(wù)器根據(jù)用戶注冊(cè)的信息向LAC（PDSN）發(fā)送建立L2TP隧道的對(duì)應(yīng)參數(shù)（用戶網(wǎng)關(guān)LNS信息，包括LNS IP地址等）。

（4）LAC用所獲得的客戶信息與LNS之間進(jìn)行L2TP隧道建立，并將username@XXX.133VPDN.SX全部送給LNS，由LNS進(jìn)行認(rèn)證。

（5）LNS將username@XXX.133VPDN.SX送給自己的RADIUS服務(wù)器(認(rèn)證服務(wù)器)。如果是合法用戶則允許接入并保持L2TP隧道。

（6）LAC把客戶機(jī)提供的用戶名username@DomainName和相應(yīng)的密碼轉(zhuǎn)發(fā)給LNS。LNS通過(guò)本地VPDN配置或者AAA服務(wù)器對(duì)客戶提供的認(rèn)證信息進(jìn)行驗(yàn)證。認(rèn)證通過(guò)，VPDN本身與LNS之間進(jìn)行PPP握手，并由LNS向用戶分配IP地址。

完成VPDN操作，用戶可以利用PPP協(xié)議透過(guò)L2TP隧道進(jìn)行互聯(lián)并開(kāi)始進(jìn)行通信。

五、安全性

1、CDMA無(wú)線接入的工作流程：

在電信完成網(wǎng)絡(luò)側(cè)配置后，銀行網(wǎng)點(diǎn)通過(guò)無(wú)線設(shè)備接入CDMA網(wǎng)絡(luò)后，CDMA分組接入設(shè)備PDSN上通過(guò)L2TP隧道路由連到銀行系統(tǒng)中心內(nèi)的LNS路由器上，中間經(jīng)過(guò)電信骨干網(wǎng)和線。  

整個(gè)隧道的開(kāi)啟和通過(guò)均在電信網(wǎng)絡(luò)內(nèi)部，作為大型的電信運(yùn)營(yíng)商，有嚴(yán)格的安全管理和保護(hù)措施，確保網(wǎng)內(nèi)的數(shù)據(jù)可靠，具有很高的安全性保障，而且不存在互連互通瓶頸，可以有效保證用戶使用性能。

2、安全性保障

CDMA采用脫胎于軍用技術(shù)的無(wú)線擴(kuò)頻技術(shù)，用戶端到無(wú)線網(wǎng)絡(luò)接入設(shè)備間的無(wú)線空中通道目前不可能被破解；無(wú)線分組設(shè)備到用戶終端設(shè)備間，采用隧道穿過(guò)專線接入，可以有效保證整個(gè)系統(tǒng)的安全。要保護(hù)整體系統(tǒng)的安全，首先要保證網(wǎng)絡(luò)本身的安全。必須盡可能地屏蔽外部非法訪問(wèn)及非法數(shù)據(jù)，對(duì)從外部網(wǎng)絡(luò)連入的終端進(jìn)行嚴(yán)格的用戶認(rèn)證及控制。針對(duì)CDMA的各環(huán)節(jié)，我們分別分析其安全性，并提供5級(jí)安全保障，從而充分保證網(wǎng)絡(luò)中數(shù)據(jù)的安全。

（1）首級(jí)安全保障：CDMA網(wǎng)絡(luò)本身的安全性

目前世界上使用的移動(dòng)通信網(wǎng)絡(luò)主要有兩種：GSM和CDMA。與GSM相比，CDMA網(wǎng)絡(luò)系統(tǒng)在安全保密方面具有很大優(yōu)勢(shì)。CDMA本來(lái)就是起源軍事保密技術(shù)，在戰(zhàn)爭(zhēng)期間廣泛應(yīng)用于軍事領(lǐng)域，具有抗干擾、安全通信、保密性好的特性。進(jìn)行移動(dòng)手機(jī)信號(hào)的竊聽(tīng)一般使用以下三種方法。首先，需要捕捉到通信信號(hào)。在空間中充滿了各種各樣的無(wú)線電波，用戶手機(jī)信號(hào)就混雜在其中。要想竊聽(tīng)某一個(gè)用戶的通話，首先必須捕捉到這個(gè)用戶手機(jī)發(fā)出的特定的電磁波。由于CDMA系統(tǒng)采用擴(kuò)頻技術(shù)，經(jīng)過(guò)擴(kuò)頻以后的有用信號(hào)的頻譜被大大地展寬了，用戶信號(hào)隱蔽在互不相關(guān)的信號(hào)中，要想捕捉到這一有用信號(hào)非常困難。因此，竊聽(tīng)器捕捉不到，也無(wú)法識(shí)別出哪些是CDMA手機(jī)用戶的通信信號(hào)，哪些是噪音。其次，竊聽(tīng)器必須鎖定手機(jī)用戶通信的信號(hào)，繼而才能分析和破解信息。而CDMA采用快速切換功率控制技術(shù)，即便是竊聽(tīng)設(shè)備捕捉到了用戶手機(jī)信號(hào)，也不能鎖定快速功率切換下的有用信號(hào)，因此，快速功率切換讓CDMA信號(hào)很難鎖定。第三，需要破解用戶信息編碼。而CDMA采用偽隨機(jī)碼技術(shù)，用長(zhǎng)達(dá)42位的偽隨機(jī)碼來(lái)標(biāo)識(shí)區(qū)分用戶，每次通話都有4.4萬(wàn)億種可能的排列，竊聽(tīng)器很難破譯出CDMA的編碼。所以CDMA技術(shù)本身就很安全。

（2）第2級(jí)安全保障：CDMA網(wǎng)絡(luò)側(cè)的AAA認(rèn)證

AAA是指認(rèn)證（Authentication）、授權(quán)（Authorization）、計(jì)費(fèi)（Accounting）三個(gè)過(guò)程，其中：認(rèn)證是，用戶在使用網(wǎng)絡(luò)系統(tǒng)中的資源時(shí)對(duì)用戶身份的確認(rèn)。這一過(guò)程，通過(guò)與用戶的交互獲得身份信息（像用戶名－口令、生物特征信息等），然后提交給認(rèn)證服務(wù)器；認(rèn)證服務(wù)器對(duì)身份信息與存儲(chǔ)在數(shù)據(jù)庫(kù)里的用戶信息進(jìn)行核對(duì)處理，然后根據(jù)處理結(jié)果確認(rèn)用戶身份是否正確。

授權(quán)是網(wǎng)絡(luò)系統(tǒng)授權(quán)用戶以特定的權(quán)限使用其資源，這一過(guò)程指定了被認(rèn)證的用戶在接入網(wǎng)絡(luò)后能夠使用的業(yè)務(wù)和擁有的權(quán)限，如授予IP地址，準(zhǔn)許訪問(wèn)時(shí)間等。

計(jì)費(fèi)是網(wǎng)絡(luò)系統(tǒng)收集、記錄用戶對(duì)網(wǎng)絡(luò)資源的使用信息，以便向用戶收取資源使用費(fèi)。以互聯(lián)網(wǎng)業(yè)務(wù)提供商ISP為例，用戶的網(wǎng)絡(luò)接入使用情況可以按流量或者時(shí)間準(zhǔn)確地記錄下來(lái)。

認(rèn)證、授權(quán)和計(jì)費(fèi)一起實(shí)現(xiàn)了網(wǎng)絡(luò)系統(tǒng)對(duì)特定用戶的網(wǎng)絡(luò)資源使用情況的準(zhǔn)確記錄。這樣既在一定程度上有效地保障了合法用戶的權(quán)益，又能有效地保障網(wǎng)絡(luò)系統(tǒng)可靠地運(yùn)行。

CDMA網(wǎng)絡(luò)的AAA認(rèn)證過(guò)程是對(duì)用戶的域名進(jìn)行鑒權(quán)認(rèn)證，網(wǎng)中數(shù)據(jù)網(wǎng)的用戶（VPDN成員）是以username@xxx.133vpdn.bj形式登錄的（用戶在電信登記入網(wǎng)時(shí)，北京電信分配其一個(gè)域名xxx.133vpdn.bj）。CDMA網(wǎng)絡(luò)側(cè)的AAA服務(wù)器對(duì)登錄用戶的域名和該用戶的IMSI進(jìn)行綁定審核驗(yàn)證。驗(yàn)證通過(guò)后，方可接入電信CDMA網(wǎng)絡(luò)。

（3）第3級(jí)安全保障：CDMA網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間的VPN鏈接

CDMA網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間可以采用專線鏈接，也可以使用Internet鏈接。使用Internet鏈接必須考慮安全性，因此，可以使用VPN將二者利用Internet鏈接起來(lái)。

VPN技術(shù)非常復(fù)雜，涉及到通信技術(shù)、密碼技術(shù)和現(xiàn)代認(rèn)證技術(shù)。主要包含兩種技術(shù)：隧道技術(shù)與安全技術(shù)。

隧道技術(shù)的基本過(guò)程是在源局域網(wǎng)與公網(wǎng)接口處將數(shù)據(jù)封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳播時(shí)的所經(jīng)過(guò)的路徑被稱為“隧道”。常用的隧道協(xié)議有：

①點(diǎn)到點(diǎn)隧道協(xié)議—PPTP（現(xiàn)已基本淘汰）。 

 ②第二層隧道協(xié)議—L2TP，該協(xié)議是國(guó)際標(biāo)準(zhǔn)隧道協(xié)議，具有PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)協(xié)議（L2F）的優(yōu)點(diǎn)，可以使PPP包以隧道方式通過(guò)各種網(wǎng)絡(luò)，包括ATM，SONET，幀中繼，但沒(méi)有任何加密措施。

③IPSec協(xié)議，該協(xié)議是一個(gè)范圍廣泛、開(kāi)放的VPN安全協(xié)議，工作在網(wǎng)絡(luò)層。它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信。可以在兩種模式下運(yùn)行：一種是隧道模式，一種是傳輸模式。在隧道模式下IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀中；傳輸模式是為了保護(hù)端到端的安全性，不會(huì)隱藏路由信息。 目前一種趨勢(shì)是將L2TP和IPSec結(jié)合起來(lái)：用L2TP作為隧道協(xié)議，用IPSec協(xié)議保護(hù)數(shù)據(jù)。市場(chǎng)上大部分VPN采用這類技術(shù)。 

④SOCKS v5協(xié)議，SOCKS v5工作在OSI模型中的第五層——會(huì)話層，可作為建立高度安全的VPN的基礎(chǔ)。SOCKS v5協(xié)議的優(yōu)勢(shì)在訪問(wèn)控制，因此適用于安全性較高的VPN，SOCKS v5現(xiàn)在被IETF建議作為VPN的標(biāo)準(zhǔn)。

VPN是在不安全的Internet上傳輸?shù)模瑐鬏攦?nèi)容可能涉及到企業(yè)的機(jī)密數(shù)據(jù)，因此安全性非常重要。VPN中的安全技術(shù)通常由加密、認(rèn)證及密鑰交換與管理組成。主要有認(rèn)證技術(shù)，加密技術(shù)，秘鑰管理與交換技術(shù)。

（4）第4級(jí)安全保障：用戶網(wǎng)絡(luò)側(cè)的安全防火墻

防火墻技術(shù)是目前用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，主要是用來(lái)阻擋非法用戶的訪問(wèn)，阻止非法用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶順利訪問(wèn)網(wǎng)絡(luò)資源。防火墻實(shí)際上是一種訪問(wèn)控制技術(shù)，在某個(gè)機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)和不安全網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪問(wèn)，也可以使用防火墻阻止保密信息從受保護(hù)網(wǎng)絡(luò)上的非法輸出。

實(shí)現(xiàn)防火墻的主要技術(shù)有：數(shù)據(jù)包過(guò)濾，應(yīng)用網(wǎng)關(guān)和代理服務(wù)等。包過(guò)濾（Packet Filter）技術(shù)是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過(guò)濾邏輯，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP/UDP源端口號(hào)、TCP/UDP目的端口號(hào)及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來(lái)確定是否允許數(shù)據(jù)包通過(guò)，其核心是安全策略即過(guò)濾算法的設(shè)計(jì)。應(yīng)用網(wǎng)關(guān)（Application Gateway）技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過(guò)濾，它針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過(guò)濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。應(yīng)用網(wǎng)關(guān)可以嚴(yán)格控制某些易于登錄和控制的所有的輸出輸入通信環(huán)境，以防有價(jià)值的程序和數(shù)據(jù)被竊取。它的另一個(gè)功能是對(duì)通過(guò)的信息進(jìn)行記錄，如什么樣的用戶在什么時(shí)間連接了什么站點(diǎn)。在實(shí)際工作中，應(yīng)用網(wǎng)關(guān)一般使用專用工作站系統(tǒng)。代理服務(wù)器（Proxy Server）作用在應(yīng)用層，用來(lái)提供應(yīng)用層服務(wù)的控制，起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請(qǐng)求，阻擋外部網(wǎng)絡(luò)其它節(jié)點(diǎn)的直接請(qǐng)求。用戶網(wǎng)絡(luò)可以選用適合于本單位的防火墻產(chǎn)品來(lái)保證自己網(wǎng)絡(luò)數(shù)據(jù)的安全。

（5）第5級(jí)安全保障：用戶網(wǎng)絡(luò)側(cè)的AAA鑒權(quán)認(rèn)證

用戶網(wǎng)絡(luò)側(cè)的AAA鑒權(quán)認(rèn)證可以實(shí)現(xiàn)對(duì)VPDN成員的身份認(rèn)證。與第二級(jí)的安全保障不同，本級(jí)的AAA服務(wù)器將鑒別VPDN成員的用戶名和密碼的正確性。

username@xxx.133vpdn.bj中的域名將是中國(guó)電信公司提供給專網(wǎng)接入用戶的專有統(tǒng)一域名，用戶名（username）可以是VPDN中每個(gè)成員的手機(jī)號(hào)碼或者其它標(biāo)識(shí)。VPDN中成員的用戶名和密碼等資料將保存在用戶專網(wǎng)側(cè)的AAA服務(wù)器，具有很好的安全性和管理的靈活性。

六、總結(jié)

通過(guò)推出CDMA無(wú)線業(yè)務(wù)，可進(jìn)一步提高服務(wù)質(zhì)量，擴(kuò)大服務(wù)范圍，使客戶擺脫空間、時(shí)間的限制，隨時(shí)隨地獲得銀行的服務(wù)，并通過(guò)交互形式自行操作，自我服務(wù)。有效地實(shí)施無(wú)線服務(wù)，對(duì)于拓寬服務(wù)地域和時(shí)域，方便持卡客戶，增加存款余額度，盡快搶占市場(chǎng)，縮短客戶與銀行的距離，樹(shù)立和提高銀行形象，增強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力，大力加速金融電子化建設(shè)步伐，有著十分重要的意義。