3g离行业务研讨文章：离行ATM接入建设面临的主要问题

近年来，金融业务已呈现出高度电子化和网络化的趋势，在金融电子化的构成中，ATM业务近年来在我国得到迅速的发展，目前我国银行卡发行数量已经超过了18亿张，人均银行卡数量达到近1.4张，在此背景下，ATM行业的投资正受到越来越多的关注。在大型超市、写字楼、商场等人流密集地方，大力建设离行ATM和自助服务终端，更好的为公众服务，已经成为大势所趋。

目前，我国ATM保有量已经超过20万台，并且大大高于世界平均增长水平的速度增长，但是我国每百万人拥有ATM数量仅为150台左右，远低于国际平均水平，且ATM分布状况极不均匀，如果加上地域分布因素，我国中西部地区每百万人拥有ATM数量更是大大低于世界平均水平。

离行式ATM是以自助服务作为竞争的手段。面对国内、外各家银行的竞争和发展，需要大规模扩展ATM网络，只有为消费者提供了优质方便的服务，才能牢牢的抓住客户，否则就可能流失客户。金融自助服务特别是ATM市场将具有巨大的增长潜力。

传统金融网点都采用专线方式联网，但离行ATM则不太可能采用专线方式，主要原因是：

1.       离行ATM数量众多，而且位置分散，专线方式线路投入成本过高。

2.       离行ATM多处于人流繁华的地带，专线方式铺线和施工都比较麻烦。

3.       离行ATM通常无人值守，出了问题，专线方式网络故障排查起来比较复杂。

在这样的背景下，越来越到的银行都开始尝试采用3G接入方式，3G接入的主要优势是线路费用低、部署方便、管理简单，但也存在一些比较突出的问题：

1.       第一个就是线路的备份问题。在有线传输时代，网络协议、设备的接口等都是标准的，不必担心不同的运营商带来的线路备份问题。但在3G时代，三家运营商3G标准是相互不兼容的，如何给看不见摸不着的3G链路上一个双保险是客户普遍关注的问题。

2.       密闭环境下的散热，是要考虑第二个重点问题。我们知道，离行ATM/自助服务终端都是封闭的，封闭环境的散热，是很多设备面临的一个重大挑战。今年4月份，工商银行总行在北京对3G在密闭环境下的测试，最终通过外置USB Modem提供3G接入的设备，在不到3天的时间内全烧毁。

3.       在安全性方面，则是第三个关键问题。由于线路上都是跑的与钱相关的业务，安全问题是重中之重。如何防止非法用户接入？如何保证传输数据的机密性？如何保障局端设备的安全性，这都是3G接入方式面临的基本安全问题。

迈普离行ATM接入解决方案

解决方案的拓扑图如下所示：

如上图所示，银行离行ATM网点的3G安全部署方案，分别通过运营商专有APN+接入认证、L2TP私有隧道、IPsec安全加密技术来实现3G部署时对接入认证、端到端的私有性、端到端安全加密的安全原则，具体部署如下：

Ø        专用APN+接入认证实现准入安全

在进行离行ATM网点的3G无线部署时，由银行先向运营商申请分配的专网APN（类似于银行专用的3G无线局域网，保证网点接入3G网络后，只能访问银行专用的APN资源，保证无法与其他网络进行通信）。离行ATM网点采用3G专业级路由器+3G 模块，运营商会将离行网点用户的IMSI信息（IMSI是在运营商网络中唯一识别一个移动用户的号码，由15位数字组成，存于SIM卡中）、终端用户的账号和密码事先配置在运营商RADIUS服务器上。

l    当离行ATM的3G专业级路由器发起3G无线连接时，运用商根据请求中的APN，向DNS服务器发出查询请求，找到与企业服务器平台连接的网关支持节点，并将用户请求通过GRE隧道封装送给网关支持节点；

l    网关支持节点将用户认证信息（包括手IMSI信息、用户账号、密码等）通过专线送至RADIUS进行认证；

l    RADIUS认证服务器看到IMSI等认证信息，确认是合法用户发来的请求，便向DHCP服务器请求分配用户地址；

l    RADIUS认证通过后，由RADIUS向网关支持节点发送携带用户地址的确认信息；用户得到了IP地址，就可以携带数据包，对3G专网资源进行访问。

Ø         L2TP专用隧道实现通道安全

为了保证银行离行ATM网点的数据业务在运营商IP核心网中传输的的私有性，银行向运营商申请企业集团用户3G的VPDN(Virtual Private Dial-Network)业务，基于3G无线接入方式的虚拟专用拨号网业务，它是利用安全的L2TP隧道传输协议，就可以在现有的拨号网络上构建一条虚拟的、不受外界干扰的专用通道，从而安全访问企业内部网资源。

运营商会为银行的3G VPDN业务提供L2TP的LAC端路由器及配套的AAA服务器。银行一级网或二级网汇聚需要准备一台路由器作为L2TP的LNS端和一台AAA服务器。LAC路由器主要负责对3G用户的接入认证，与该用户所属企业（银行）的LNS建立L2TP隧道。银行一级网或二级网汇聚的LNS AAA服务器主要存放网点路由器建立连接时所需要的用户名和密码。用户名的格式为XX@XX.COM.CN，其中@前面的字符串可以由用户端自行定义，＠后面的字符串即域名，必须由运营商分配。运营商AAA服务器通过域名，确认该用户的权限。运营商AAA服务器与总部AAA服务器的用户名和密码必须一致。

L2TP私有隧道建立过程如下：

1.       网点路由器通过3G网络在完成对接入用户的APN认证后，

2.       路由器启动PPP拨号向LAC发出认证请求。

3.       LAC把认证请求转至运营商LAC AAA服务器。

4.       AAA服务器将会回复认证结果并返回该用户所属LNS地址、VPDN隧道属性等信息。

5.       LAC向返回的LNS地址发出L2TP隧道建立请求，隧道建立成功。

6.       LNS对网点路由器的用户名和密码进行重新认证（LNS对网点路由器的重认证可选）。

7.       L2TP隧道建立完成。网点路由器对应的拨号接口UP，建立正常私有隧道通信。

8.       如果网点发起了能够触发IPsec VPN的流量，则IPsec VPN隧道建立过程启动。网点路由器与LNS发起IPsec VPN连接请求。

Ø         IPsec + SM1算法实现数据安全加密

离行ATM接入解决方案价值

本应用最突出的特点是专业级3G支持：

1.       全制式的3G。运营商设备的延续性问题，MP1800同时支持TD-SCDMA(中国移动)、CDMA2000(中国电信)、WCDMA(中国联通)三种制式解决方案，产品延续性很强，不会受到不同运营商的限制。

2.       灵活的3G。针对离行ATM机对信号的屏蔽问题，MP1800的3G天线可更换，在信号无法穿越的封闭环境中，可通过馈线将天线向室外(或离行ATM机外)延长，并置顶。这样接收的3G信号的强度就可以得到很好的保障。

3.       安全的3G。在3G链路的安全性方面，MP1800采用了多种措施。首先，MP1800