无线GPRSATM系统方案简介-1-无线GPRSATM系统方案简介单位:广州广电运通金融电子股份有限公司地址:广州黄埔大道西平云路163号邮编:510656电话:(020)38699030传真:(020)386976522006年3月无线GPRSATM系统方案简介-2-目录前言..............................................................................................................................................3第一章系统目标............................................................................................................................3一、系统设计目的..................................................................................................................3二、系统设计原则..................................................................................................................4三、业务延伸..........................................................................................................................4第二章系统结构设计....................................................................................................................5一、系统网络拓扑结构..........................................................................................................5二、系统软件模块..................................................................................................................6三、系统安全控制模块..........................................................................................................6第三章系统所需硬件设备..........................................................................................................8无线GPRSATM系统方案简介-3-前言为了节省通讯线路成本、提升ATM等设备可移动性,打破自助设备区间局限制,推广银行卡的使用,方便客户取现、充值、缴费、转帐、查询等自助操作,同时增加银行卡的功能,提升银行卡的形象,广电运通结合银行自身特点,推出无线联网的ATM系统方案,利用银行现有的电脑系统设备和GPRS(PacketRadioService通用分组无线业务)网络设备,设计了基于GPRS网络的无线ATM自助服务系统。GPRS是一种基于GSM系统的无线分组交换技术,提供端到端的、广域的无线IP连接,具有网络覆盖面广、接入速度快、永远在线、传输速度快、计费合理、可灵活支持多种数据应用等特点。把企业专用APN(AccessPointName,接入点名称)和VPN(VirtualPrivate网)相结合的无线GPRS网关,利用隧道、IPSec协议、数据加密、密钥管理、防火墙和身份认证等技术,在直联ATM和企业内部网络之间构成一条无线虚拟专网通道,可满足企业内部网络对安全性及数据私密性的要求,并提高ATM应用的灵活性和移动性,具有稳定可靠、安全性高、实时性强、传输速度快、费用低等优点。在银行各营业网点、移动营业厅、中心商业区、社区等处安装ATM/自助缴费终端设备,持卡人可以24小时在自助设备上使用银行卡进行各项现金/非现金银行交易。同时为银企合作开辟了新的途径,系统的方便易用,将极大地推动了银行电子化进程。第一章系统目标一、系统设计目的打破传统通讯(专线)区间的局限,利用现有无线网络,打造移动银行;由于银行卡的发卡量的增加推广,目前传统营业厅的工作负载量不足以满足目前业务的需要,迫切需要自助缴费的解决方案,使柜员从低附加值业务中解脱出来,提高柜台服务质量;无线GPRSATM系统方案简介-4-增强银企合作,用较少的投资,灵活、快速地增加营业点,扩充银行业务能力,增强行业竞争力;为未来扩充银行卡的代收费业务,外汇业务、银证通等银行中间业务提供技术条件。二、系统设计原则稳定性:保证各种情况下系统的正常工作;安全性:利用工作密钥动态更新,防止网络外用户的入侵或对金融数据的非授权访问或更改保存信息和数据,采用数据加密、报文认证等多级防范措施;兼容性:整个应用软件完全遵循银行标准及ISO关于安全保密方面的标准,兼容未来的业务接入;扩充性:系统、网络、硬件、软件的升级和扩充方便,根据需要随意配置;经济性:提供GPRS解决方案,有效控制系统的运行成本。三、业务延伸自助式营业厅此自助式营业厅配备完整的自助服务设备,可以完成传统银行的各种主要业务,提供24小时服务。自助小区在大型商厦、公共场所、住宅小区等地设置,设计为组合式根据需要易于迁移的小的自助服务小区,配备自助服务设备,可完成的部分业务。无线GPRSATM系统方案简介-5-第二章系统结构设计系统采用数据集中方式。系统的设计采用CLIENT/SERVER结构,主要包括主机系统、中间业务前置服务机系统(大前置)、无线前置机系统、监控系统、管理系统、加密机、前台ATM、自助终端等,采用以太网技术、无线GPRS技术进行系统连接。一、系统网络拓扑结构说明:1、GGSN与银行网关之间通过DDN专线连接。2、系统采用银行的鉴权系统(对SIM卡上的用户号和密码进行验证),移动确保给银行分配特定IP地址空间,且所发行的SIM卡是银行移动支付业务的专用SIM卡。保证非银行移动支付业务专用SIM卡,不能登陆银行网关。3、防火墙是控制外部网络对平台系统的访问。4、移动支付平台前置机的功能是:ATM设备的接入、设备管理、设备操作员管理及系统的安全管理。无线GPRSATM系统方案简介-6-二、系统软件模块体系架构三、系统安全控制模块GPRS网络安全性无线ATM交易借助移动公司GPRS通讯网络,在移动ATMMODEM上插入GPRS数据功能SIM卡,通过GRPS拨号进行数据传输。该SIM卡属于移动公司为银行特别定制,每张卡绑定一个由银行提供网段地址中的一个IP地址,移动公司为银行设立一个专门的APN(Accesspointname,接入点名称),在移动ATM上需手工设置该APN。当ATM端发起PPP建链请求时,移动公司验证该SIM卡的合法性,并返回正确的IP地址给移动ATM。保证只有银行特别定制的SIM卡才可在移动ATM上做交易。防火墙从移动GGSN进来的数据经过网关后加入一道防火墙,可以防止黑客的攻击,在GPRS网络中,防火墙可将所有不属于GPRS用户发起连接的数据包排除在外。GPRSVPNATMATM银行主机系统ATM银行前置机无线GPRSATM系统方案简介-7-无线自助终端采用VPDN技术实现专网接入,通过防火墙、路由器配以隧道技术、加密协议和安全密钥等技术保证安全性。当移动ATM接入GPRS网络后,GGSN启动到银行路由器的L2TP协商(L2TP是目前IETF规定的第二层隧道协议),由银行Radius服务器对隧道标志(TID)进行认证,通过后便建立GGSN和银行路由器之间隧道连接。此时用户的PPP包直接送往银行路由器,由Radius服务器完成对用户的认证,通过后便建立起移动POS到银行路由器的PPP链路。数据安全措施(1)系统采用三级密钥管理,包括主密钥、传输密钥和工作密钥。主密钥用于加密传输密钥,存储在硬件加密机;传输密钥用于加密工作密钥并传送给ATM,每台ATM对应一个传输密钥;工作密钥包括PIN密钥和MAC密钥,PIN密钥用于对传输报文中的持卡人密码进行加密,MAC密钥用于对整个报文中的关键数据进行加密,产生报文鉴别代码(MAC,MessageAuthenticationCode)。(2)持卡人密码PIN在整个交易过程中始终以密文保存,不可出现明文,PIN的密-密转换也要求在硬件加密机中实现。(3)采用MAC进行交易报文来源正确性的鉴别。MAC是一种判别报文来源是否正确,以及报文在发送途中是否被篡改的算法。交易日志记录对于每一笔交易,都记录交易日志,方便以后查找,核对。利用数字签名(使用RSA算法)无线平台向利用加密机向各个ATM分发私有密钥,ATM则根据这个密钥得出一串数据(数字签名)和交易报文一同发送到无线平台,无线平台根据公用密钥验证数据。在每一笔交易都上送数字签名,加密机根据该签名判断该交易的合法性。在ATM上使用软件算法实现RSA算法,进行数字签名。在无线平台上通过加密机实现RSA算法,进行数字签名验证。注意:RSA算法速度比较慢,每一笔一般会延迟3-4秒,将会影响交易速度。无线GPRSATM系统方案简介-8-远程拨入用户认证(RADIUS)服务器RADIUS是RemoteAuthenticationDialInUserService即远程拨入用户认证服务的简写,基于UDP协议,以Client/Server模式工作,用以实现对远程拨号用户的身份认证。用户使用GPRS拨入系统时,需要用户名和密码,然后将密码和用户名发送到服务器上,经过验证后,才允许分配IP地址给无限设备。第三章系统所需硬件设备品名数量推荐配置备注平台服务器1前置机使用HPML570G2,配置为:XEONMP2.0G/1M/512M处理器沿用银行现有设备前置机RADIUS服务器1RADIUS为普通PC机,推荐配置为cpuP4,内存:256M,硬盘40G1台(RADIUS)服务器。防火墙1沿用银行现有设备路由器1沿用银行现有设备加密机1卫士通SJL05金融数据加密机沿用银行现有设备或可选ATM1广电运通E22/F16带GPRS无线MODEM和SIM卡GPRS技术在ATM网络系统中的应用,使ATM服务具有移动性,从而进一步满足了人们移动生活的需要,也为将来开发ATM个性化服务奠定了基础。