一、 前言

    随着金融行业的飞速发展，传统的金融业务呈现出多元化的发展模式，网上银行、电话银行、移动银行等各种新兴金融业务悄然兴起，同时全国数据大集中系统建设也提到了日程上来，种种迹象都预示着我国金融行业正在朝国际化方向发展，创新服务模式成为了必然趋势。 

     在银行系统中，现有ATM终端多数采用有线网络接入方式。这种接入方式，使自助设备受有线网络覆盖面的影响，只能设置在金融机构营业网点和大型商业机构内部，束缚了服务模式。同时，终端设备仍与有形营业场结合的布设方式，削弱了自助设备的便捷、方便的特点，无法实现利用自助交易方式扩大营业网点业务覆盖面的初衷。相反无线网络不受网络物理因素的影响。依托于各无线网络平台，金融机构可以将自助服务设备布设到无线网络覆盖的任何区域，能够有效的扩大业务覆盖面，从而为提高业务交易量提供良好的网络平台目前的无线网络GPRS/CDMA/EDGE/WCDMA/HSDPA/HSUPA,TD-SCDMA/CDMA20001X EVDO。

    此外，利用无线接入方式，金融机构可直接将自助设备设置于高质量客户集中的高档社区中的社区服务机构、社区小型商业设施内，有效解决社区银行和店中网络接入问题，为高端用户提供了高效的金融服务。

二、 项目分析

2．1 系统组成

2．1．1 终端ATM机

为终端客户提供存取款、查询、转帐等各种银行业务服务。

2．1．2 无线通讯设备

    鉴于对终端ATM机设备的通讯接口的需求，我们选择德传技术的R20无线路由器，它具有体积小、功耗低、配置使用简单、即插即用。支持L2TP、PPTP、GRE、IPSEC等VPN连接，支持APN网络接入等功能不仅可以保障数据安全可靠，还能让客户根据需传输节省资费,保障数据安全可靠性，实时在线和按需在线多种工作方式，它的四重看门狗设计，保障设备24×365小时连续工作永不死机；支持1/4口以太网接口方便与无线终端设备连接；采用VPN技术与银行系统中心连接，确保数据的安全性；并且其强大的技术支持和售后团队，可提供良好、高效的技术支持服务，让客户从电话联系开始一直都有“我的事情就是四信的事情”的感觉，使客户不用再为系统调试、售后服务等感到苦恼。

2．1．3 银行中心系统

    负责处理各项银行数据，为终端ATM机提供服务平台

2．2 系统总架构

     终端ATM机通过以太网接口与路由器连接,银行中心系统可以使用专线、ADSL等作为网络接入方式。路由器R20通过GPRS/CDMA/WCDMA/EDGE/EBDO/TD-SCDMA等无线网络接入Internet，并与银行中心系统建立VPN连接，使终端ATM机与银行中心系统组成同一网络，终端ATM机可直接与银行中心系统服务器直接进行通信。终端ATM机产生的业务数据将直接通过路由器与中心服务器建立的通信通道传送到中心服务器的银行中心系统。

三、 项目实施架构方案

3．1 终端ATM机与路由器连接

     终端ATM机通过以太网接口跟无线路由器连接，如下图：

3．2 银行中心服务器接入方式

    银行中心服务器承载着整个银行系统的所有的各项业务数据处理与用户数据的存储，是整个银行系统所有环节的重中之重，因此既要充分考虑网络的稳定性、可靠性、安全性，满足银行业务的特殊需求，同时也要兼顾银行业务今后的发展，注重网络的先进性和可扩展性。

3．2．1帧中继线路

    帧中继线路属于窄带接入，数据服务商提供的可使用带宽为16K--2M，主要由中国电信提供，但是资费偏高。根据营业网点的业务量分析，在只有基本银行业务的营业网点，使用64K接入/32K PVC的帧中继线路就可以满足近几年内业务发展的需要；对于有企业网应用需求的城区内支行和一部分县支行，建议直接采用光纤接入方式，在这条线路上开两条PVC：一条32K PVC的电路用做营业类数据传输；一条为64K PVC的电路用做企业网数据传输。 这样的电路既可以保证营业类和管理类数据都有足够的带宽，又不会因为管理类的突发大数据量影响营业类数据的通信。根据以后我行网络应用的发展，又可以随时提高线路带宽，保护现有的投资。而且光纤线路传输质量远高于铜线，可以保证线路的稳定性和传输数据的可靠性。二级行中心根据各地情况的不同，不使用原有一级骨干网线路，重新申请多条2M 的线路，分别接入到两台骨干网路由器上。

3．2．2 宽带IP线路

    宽带IP是近期网络发展的热点，它具有带宽高、接入灵活、和价格相对低廉等特点，在不需要更换任何设备的情况下，就可以轻易将带宽从1M 提高到10M 甚至100M（视接入端口速率而定）。在网点使用一条1M 带宽的线路，不但可以满足目前营业类和管理类业务的需要，而且可以满足将来新业务发展的需要。 但由于宽带IP线路在实现上有多种方式，所以在安全性方面需要多慎重考虑，在使用上比较复杂，目前只有少数金融部门将它作为业务专网来使用。二级行中心只需使用一条足够带宽的宽带IP线路就可以与所有也使用宽带IP线路的网点相连。

3．2．3 裸光纤

   对于一些数据服务商发展比较快的地市，如果性价比合适，可以采用裸光纤作为接入方式。不管采用哪种接入方式，网点原来的线路可作为备份线路，保证接入网平台的可靠性，但由于原有线路速率的限制，而管理类业务的实时性要求又不高，所以一旦主线路出现故障，备份线路只保证营业类业务的可靠性，不进行管理类业务的传输。

四、 网络安全连接

    在银行系统中，数据传输的安全性要求非常苛刻，因此解决系统安全问题是3G无线网络银行交易系统应用的关键，采用3G无线移动数据传输方式必须有效保证数据的安全、可靠，确保系统的安全稳定运行。安全保障主要是防止来自系统内外的各种破坏，进行身份认证、身份鉴别、数字签名防止抵赖和篡改，以及交易数据的加密解密等是保障网络安全的重要手段。

   现行的3G无线网络信道传输编码方式均对传输数据都有加密保护，因而3G无能传输通道本身是安全的，另外可以利用VPN技术在3G无线网络上建立银行交易系统内部占据专网，保证银行终端无线接入的可靠性和安全性。

图1

     如上图1所示，ATM终端利用现有3G网络VPN技术组网，3G无线网络VPN技术是在公共的无线网络中给银行用户分配一个专用子网，相当于在公共无线网络上为用户架设了一个局域网，只有在这个局域网内的用户才能通信，子网外的用户也无法进入这个子网，所有数据与Internet隔离，从而增强了信息的安全性，这种方式下最终给用户带来了非常可靠的安全性，但是组网费用高，不能跨网组网。

图2

     如上图2所示，ATM终端利用德传R20路由器进行VPN技术组网，德传R20路由器内置了VPN Client功能，为用户跨区域组网提供了方便，同时内置IPSEC加密功能采用IPSEC加密机制，具有很强的安全特性，为用户数据传输的安全提供了有力的保障。

图3

     如上图3所示，ATM终端通过3G无线网络接入终端，实现网络连接，移动/联通等运营商提供了接入服务器LAC，通过无线终端设备向运营商接入服务器LAC发起PPP拔号，实现与银行中心接入服务器LNS之间的L2TP隧道的建立，并将无线终端的PPP拨号转向银行接入服务器LNS，最终实现无线终端与LNS之间的PPP会话的建立，在银行网络核心，部署一台安全VPN服务器，接受来自无线网络接入终端的IPSec会话请求，通过与ATM自助终端无线VPN终端之间建议IPSec隧道，实现相互之间数据传输的安全加密

。

    如上图4 德传R20路由器能够实现无线网络PPP拔号功能，通过PPP拔号连接到银行中心接入服务器，并提供IPSEC的VPN隧道建立和数据加密功能，满足银行对数据安全的应用需求。