基于3G的移动销售终端的设计及实现

摘要：该文基于运行商提供的3g VPDN服务支持，在网点销售终端系统的基础上与第三方数据加密公司合作开发设计适用于除现金业务不能办理的移动销售终端系统，此设计方案着重介绍通信中加密防范措施。

关键词：3G 移动通信；加密；销售终端

中图法分类号：TP311文献标识码：A文章编号：1009-3044(2011)15-3599-03

3G Mobile Sale Terminal Design and Realization

ZHENG Jie

(Changsha Aeronautical Vocational and Technical College, Changsha 410014, China)

Abstract: This paper according to the operation's airtime-resale 3G VPDN support services, in the site sale terminal system with a third party data encryption based on companies to develop design suitable for except the cash business cannot handle the mobile sales terminal system design scheme introduced emphatically communications encryption preventive measures.

Key words: 3G mobile communication; encryption; sale terminal

以往银行都是在网点为上门来的客户办理业务、提供服务，随着市场竞争的加剧，以及营销理念的转变，银行还要主动走出网点，走进企业、校园、社区，在更广大的外部环境中去发现客户、营销产品、展示服务。为了适应日益激烈的市场竞争和满足产品营销需求，部分二级分行使用拨号线路在网点外为机构客户设立临时柜台，因安全性低而为审计部门查获。

通过移动销售终端系统营销模式能大力推进理财业务，积极营销电子渠道基金定投业务，对维护和拓展高中端客户、持续创造中间业务收入、提高金融市场竞争力、减轻网点服务压力有着极其重要的意义。

原来研发的移动POS，提供了电子渠道签约、借记卡发卡等业务功能，利用联通公司的CDMA1X移动通信网络，部分解决了客户经理外出营销的问题。但移动POS本身是一种商户收单的机具，对于产品营销这种较复杂的流程，存在着界面不友好、柜员不能实名、操作不方便等问题，也不能很好地代表银行的企业形象。

将网点销售终端设备通过中国电信CDMA2000 3G移动通信技术接入银行网络，作为客户经理在外部环境销售的渠道。该模式如能成功，只要适当增加投入，就能带来较大的业务发展机会。

1 技术方案

银行采用电信CDMA2000无线VPDN专网接入方式，利用电信3G网络强大的数据业务功能及网络覆盖优势，结合安全、稳定的IPSecVPN技术做为PBCS系统的网络传输技术。

原联通CDMA1X+VPDN业务系统于2006年5月16日获中国信息安全产品测评认证中心颁发的“中华人民共和国国家信息安全认证”证书，达到信息系统安全综合保障二级水平,为银行移动POS无线网络接入方案所采用。电信接收联通CDMA网络后开始升级为3G网络。

如图1所示。

在便携式计算机、Windows瘦客户机、Windows终端等终端机器上安装银行销售系统所需的软硬件（以下统称为销售终端）和CDMA2000通信模块，VPN安全网关客户端及USB智能卡阅读器。在银行外联网DMZ区部署VPN安全网关。在银行企业网段部署端口映射服务器。工作时首先由电信CDMA2000网络的接入服务器NAS通过电信的数字电路专线接入银行的LNS接入网关形成第一重VPN链路，然后启动VPN安全网关客户端在电信VPN隧道内建立第二重VPN抵达银行外联网络DMZ区。双重隧道建立后即可通过服务器访问总行销售终端系统后端Web服务器。

1.1 接入过程

1.1.1 基于VPDN的3G拨号

销售终端用户首先进行电信无线宽带拨号操作，通过3G分组域的接入认证，在PDSN和银行LNS之间建立起专用L2TP隧道，通过运营商卡检验和银行AAA认证后，移动终端经过分组网的PDSN与银行LNS间建立起PPP连接；移动终端用户传输的数据流通过L2TP隧道可到达银行外联网DMZ的VPN安全网关。

银行用户在拨号进行认证时，运营商AAA检查卡的有效性，判断出是VPDN业务的用户，运营商AAA将此终端用户对应的银行LNS地址告诉PDSN，使PDSN与银行LNS之间建立隧道；由银行AAA对无线拨入做AAA认证，进行银行用户的LCP协商，认证成功后进入PPP的IPCP阶段，由银行LNS分配用户一个IP地址，至此从移动终端到银行外联网平台的PPP连接建立。

1.1.2 建立VPN隧道

VPDN拨号完成后，终端用户须插入USBKey，启动VPN客户端，与部署于外联网DMZ区的安全网关之间建立第二重基于IPSec的安全隧道，该隧道实际上是嵌套在VPDN隧道之内，实现了对运营商的数据加密隔离。

在VPN客户端与安全网关之间建立第二条隧道过程中，使用USBkey存储个人数字证书，认证通过之后采用IKE密钥协商体系建立一条安全隧道，采用DH2（1024）密钥组、3DES数据加密和SHA验证。由于应用了IPSec技术，移动用户到达内网应用区的数据全部为加密数据。

1.1.3 使用服务器连接应用服务器

如下图所示，VPN安全网关部署于外联网DMZ区，并在企业网段设服务器实施端口映射。在PBCS终端通过两重嵌套的安全隧道接入省行外联网DMZ区的VPN安全网关后，销售终端仍不能直接访问总行销售终端系统后端，只能连接设在分行企业网段的服务器，通过端口映射方式间接访问销售终端系统（PBCS）的WEB服务器，如图2VPN隧道建立后的网络分区图。

作为一种移动技术解决方案，本方案主要强调网络安全性，针对应用系统因网络区域扩展到外网而引起的访问控制和数据保护两个方面的安全需求进行设计。

1.2 访问控制

1.2.1 用户角色

为实现VPDN和VPN的访问控制需设置VPDN用户、VPN用户、VPDN业务管理员、VPN业务管理员、VPDN技术管理员、VPN技术管理员六种角色。销售终端系统自身的用户管理体制不受影响。

1.2.2 用户管理

用户包括VPDN用户管理及VPN用户管理。 VPDN用户管理即VPDN技术管理员根据运营商提供的IMSI号表对AAA进行设置，在此基础上VPDN业务管理员可将3G卡（IMSI号）与VPDN用户绑定，按业务部门相关制度进一步管理。VPN用户管理即VPN业务管理员预先生成数字证书提交技术管理员预设VPN用户，在需要时制作USBKey按相关业务制度管理。

1.2.3 用户认证

本方案身份认证的基础是3G卡和USBKey的管理。从技术实现的角度对3G卡和USBKey数字证书有以下认证措施：运营商AAA认证、银行AAA认证、VPN认证。用户认证包括运营商AAA认证、银行AAA认证、VPN认证、应用系统认证。 运营商AAA根据拨号账户域名和3G卡信息检验拨号用户是否销售系统移动终端用户，不仅可隔离普通3G上网卡等非VPDN账户，而且可与其它银行移动应用区分开来。银行AAA与LNS配合可实现IMSI号、IP地址和拨号账户、口令四绑定，从而确保用户使用的3G卡为银行为销售系统移动终端发放给网点的合法3G卡。利用USBKey数字证书进行VPN身份验证，确保拨号用户同时得到了银行VPN授权。3G卡和USBKey分开认证也有利于保证管理制度得到切实执行。沿用销售终端系统自身的指纹认证。

1.2.4 会话控制

会话控制包含从客户端到VPN安全网关传输数据的IPSec隧道采用3DES算法进行全程数据加密控制，VPN安全网关设置在外联平台DMZ区，通过配置其源路由和目的路由使之只能访问LNS、服务器等必须的IP地址的路由控制，利用两次端口映射可将网络访问控制到端口级的端口控制、VPN安全网关设置了营业时间控制、会话数控制。

1.3 数据保护

销售终端系统本身符合应用数据保护规范，本方案主要涉及网络传输方面的数据保护。销售终端系统本身对重点业务数据有保护措施。本方案通过L2TP和IPSec双重隧道进一步提供公共网络上的数据保护，防止数据的泄露。通过L2TP和IPSec双重隧道可保护数据的完整性，实现防假冒、防篡改、防抵赖。

1.3.1 加密技术与服务

使用3DES对称加密算法，实现在终端到VPN安全网关的加密数据传输。用于信息传输加/解密的密钥由IKE动态协商，第三方无法获得。RSA算法支持模长为1024。

1.3.2 密钥管理

本方案采用非对称密钥、对称密钥相结合的密钥管理体系。采取第三方CA工具生成非对称密钥对，用于3DES对称密钥的IKE协商和SHA数字签名的管理，非对称密钥对的管理以数字证书为基础。使用第三方CA工具生成非对称密钥对，基于数字证书管理，根证书为CRT格式，个人数字证书为PFX格式。将根证书和个人数字证书导入VPN安全网关，其中个人数字证书与VPN用户绑定，用数字证书制作USBKey，形成USBKey与VPN用户的一一对应。利用数字证书包含的非对称密钥对通过IKE密钥协商过程产生3DES加解密的对称密钥。协商过程使用基于安全散列算法（SHA）和RSA的数字签名和加密技术。IKE协商产生的对称密钥用于3DES加解密。VPN客户端使用的含有私钥信息的数字证书存放在USBKey。VPN安全网关可通过配置的方式更换加密算法如AES等标准算法，但VPN客户端也需重新配置或重装。本方案不要求用动态协商的方式更换加密算法。

1.4 网络接入过程中的安全设计

本节综合访问控制和数据保护两个方面，详细描述网络接入过程各环节的风险控制措施。

1.4.1 VPDN拨号阶段

VPDN拨号过程中运营商和银行均对用户进行各自的身份认证，成功后建立L2TP隧道。运营商为银行VPDN接入路由器分配一个私网地址。运营商的3G接入服务器PDSN直接通过一条数字电路专线（从物理层提供单独的安全通道供用户使用）与银行VPDN接入路由器连接，建立L2TP TUNNEL。银行在内部建立AAA服务器，作为移动终端接入的认证服务器。银行AAA认证服务器内建有合法的通信模块内嵌号码（IMSI）集，只有在银行认证通过的上网卡IMSI号用户才能与银行网络建立连接，以防止普通未在银行认证的上网卡恶意尝试登录。上网卡IMSI认证通过后对IMSI号及终端登录所使用的拨号用户名与密码进行验证。限制用户在线数为1。

1.4.2 IKE密钥协商及IPSec VPN隧道建立阶段

VPN隧道建立阶段通过数字证书验证、IKE密钥协商和3DES加密传输，最终建立全程报文加密的IPSec VPN隧道。

在银行外联网平台部署VPN安全网关（VPN防火墙），用CA工具建立一组数字证书并制作USBKey，在VPN安全网关上建立相应的用户并导入证书，从而使数字证书、VPN用户、USBKey三绑定实现一一对应。

在销售系统终端启动VPN客户端与安全网关之间建立第二条隧道过程中，使用USBkey身份认证通过之后采用IKE密钥协商体系建立一条安全隧道，采用DH2（1024）密钥组、3DES加密算法和SHA验证。由于应用了IPSec技术，移动用户到达内网应用区的数据全部为加密数据。

在USBKey认证的同时，仍然可以设置用户输入用户口令的过程，注意此处的用户是与USBkey数字证书绑定的VPN用户，而不同于VPDN拨号用户。

1.4.3 应用系统连接阶段

将VPN安全网关部署于外联网DMZ区，并在企业网段设服务器实施端口映射。在PBCS终端通过两重嵌套的安全隧道接入省行外联网DMZ区的VPN安全网关后，销售系统终端仍不能直接访问总行销售系统后端，只能连接设在分行企业网段的服务器，通过端口映射方式间接访问销售系统的WEB服务器。此时可采取下列控制措施：

1)在安全网关上控制路由表，使特定拨入只能访问指定的网络节点（服务器），而不能从事无关的任何事情。

2)在安全网关和服务器上进行了两次地址端口映射，不仅解决了DMZ和内网之间的连接问题，也进一步将网络流控制到了端口级（应用层）。

3)销售系统自身的操作员指纹认证，可准确确定操作的自然人，非销售系统操作员即使能看到销售系统页面也无法进入系统进行操作。

4)可开启VPN安全网关的审计日志功能，从而可在后期检查相关的网络操作行为。（某些产品需要额外的资源，例如新版东软VPN防火墙的审计日志需要外部数据库服务器的支持）。

5)防火墙的端口级防护及IDS入侵检测系统的检测、统计、分析。

1.4.4 销售系统移动终端风险控制矩阵

表1

2 本方案的应用范围

本方案设计的出发点是满足销售系统外出营销的安全无线传输需求，技术特征可总结为：3G VPDN加IPSec VPN加端口映射服务器加自然人识别认证，这实际上是一种一般性的安全3G移动接入方案，可扩展应用于所有符合以下特征的应用系统及环境：总行允许在公共网络环境下使用；服务器在内部网络区域集中部署且IP地址、服务端口固定；使用自然人识别（如指纹和视网膜认证）进行用户认证。因此本设计方案可应用于金融、保险、通信、航空、铁路或公路运输等各业务销售系统方面。

参考文献：

[1] 李磊,陈华宝.基于SMS的移动终端销售追踪服务的设计与实现[J].现代电子技术,2008(7).

[2] 王宏光.基于移动终端技术的销售管理系统的开发与应用研究[D]上海:同济大学,2006.

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文