网站首页  词典首页

请输入您要查询的论文:

 

标题 人民银行业务网5G无线网络方案设计与灾备思考
范文

    史晓宇

    

    随着云计算、移动互联网、国密SM算法等技术日臻完善,以5G移动网络为基础平台的各类业务应用得以蓬勃发展。政府部门的移动执法终端、政务云平台、移动办公等,有效推动了政务公开、便民服务。商业银行的离行式ATM、PAD金融终端、手机银行、微信银行等产品,丰富了金融服务内容,有效提升了普惠金融的覆盖率、有效性和满意度。

    目前,人民银行业务网通信网络是租用通信运营商地面专线,作为唯一数据传输渠道,有碍于无线业务的发展。为进一步满足人民银行移动办公、政务公开、现场执法检查、无线备份网络的业务发展需要,助推人民银行业务转型升级,结合政府及商业银行成熟的5G无线网络部署模式,研究部署人民银行省级5G无线网络平台。具体可行性方案研究如下:

    一、必要性

    (一)移动办公和执法检查的必要性

    当前,人民银行没有建设无线网络,综合办公、账户、征信、外汇等系统只能依托有线网络开展工作,导致领导在非办公区内不能处理紧急公务,也不能及时掌握决策辅助信息;执法人员在现场执法过程中不能实时查阅数据、录入证据、当场签写法律文书等。由此看来,无无线网络阻碍了人民银行业务的架构转型升级。

    构建一套基于5G无线通讯平台,实现人民银行业务向移动终端延伸和拓展,可以为决策者随时随地提供提供准确、可靠和快捷的移动信息服务和技术支撑;也可以为现场执法人员提供信息上传、信息检索、监督现场执法、监督检查文书出具与接收等。

    (二)备份网络的必要性

    据悉,城市地下管道、强电、弱电有统一的规范,由此决定了不同运营商的通信线路均铺设在道路的同侧,且水平距离较近,一般情况下不超过2米,一旦城市开展地下轨道、管道改造建设,就会存在2条线路同时被挖断的情况,届时将严重影响业务系统的连续性,因此有必要建设部署无线网络备份,保障业务系统的连续性。

    在发生区域重大自然灾害后,移动运营商会基于5G无线网络的简便、快捷、高适应性等优势,迅速架设5G网络,保障电话畅通和数据传输,人民银行可利用此时的无线网络,建立应急保障网络通道,及时有效办理资金往来业务,进而保障灾后恢复工作。

    二、5G网络优势研究

    随着5G 移动网络的迅速普及,各大移动运营商在提供更多基于5G 多媒体业务的同时,也给个人用户及企业客户带来更好的无线接入体验,5G 作为灵活、快速、安全、高效的广域网接入方式,已逐步成为用户广域网接入的新兴主流选择。其无线网络具有不可比拟的三大优势:

    (一)能够满足多类业务应用

    5G无线网络是集5G与WLAN于一体,并能够快速传输数据、高质量音频、视频和图像等。

    (二)运营成本低廉

    无线网络鉴于无需铺设线路,通过无线传输,因此可较快、低成本建设5G通信网络。

    (三)具备快速恢复能力

    在发生区域性地震、火灾等自然灾害后,移动运营商原则上优先恢复无线网络,其次再逐步恢复地面有线网络。

    三、5G网络的风险及解决方案分析

    (一)安全风险

    安全风险 应对方案

    1、如何避免非法烧制5G卡? 双向鉴权,A-KEY不可读。

    2、如何防范5G环境下的数据窃听? 运营商密钥、算法不公开,用户两端基于IPSEC对数据加密,密鑰是用户颁发。

    3、如何避免其它5G用户非法接入到自己的专网? IMSI+域名绑定

    4、如何隔离5G与internet? 关闭internet。

    5、如何防范内部用户盗用帐号? IMSI+用户名+密码绑定

    6、如何防范数据篡改风险? 高强度国密算法+IPSEC+CA

    7、如何防范终端随意接入? IP+MAC绑定、基于时间ACL

    (二)可靠性风险

    可靠性风险 应对方案

    1、如何应对运营商信5G信号覆盖不稳定的现象? 双制式5G卡,轻松切换

    2、如何应对5G链路中断? 断线自动重连

    3、5G信号消失,业务无法办理? 切换到4G,尝试应急连接

    4、机房、机柜屏蔽信号? 延长全向天线

    5、单LNS,可靠性低? 双peer、双5G卡实现

    四、人民银行省级5G网络建设方案研究

    以移动运营商已建成的5G无线网络为基础,结合当前较成熟的安全保障措施和SSL、IPSEC和SM国密算法等技术,在省级部署一套VPDN 拨号网络和IPSEC技术的虚拟无线专网,满足移动办公、现场执法、无线备份网络等需要。

    (一)组网概述

    在省级二级节点部署1台SSL VPN路由器,能够满足全省的移动终端和5G无线路由器的接入;部署1套用户认证服务器和证书服务器,用于身份鉴别和认证,对用户帐号进行整体的安全控制。

    移动终端的IP地址由运营商的LAC设备统一进行分配,但IP地址由省级二级节点统一规划,使用私有专用的IP地址段。

    5G 路由器与LNS(L2TP Network Server)之间建立采用SM1 算法加密的IPSecVPN,实现安全接入人民银行省级网络。

    LNS 侧安全路由器:L2TP Network Server,接受5G 终端的拔号连接,并与远端建立IPSecVPN,实现远端的安全接入。

    (二)安全策略设计

    1.无线信号加密。SIM卡有运算功能,运营商算法保密,会以加密的形式内置一个密钥,用户与基站双向鉴权,防止数据被非法窃听、篡改。

    2.屏蔽非法用户。IMSI号是每张SIM卡的唯一标识,IMSI号+域名绑定,实现非授权卡无法拨入专网。

    3.关闭internet服务。限制授权5G卡的访问,关闭Internet服务,做到“专卡专用”,与互联网逻辑隔离。

    4.防止内部用户盗用。在AAA服务器上设置,通过IMSI和用户的IP、用户名绑定,有效防止内部盗用,进一步做到“专卡、专人、专用”,便于控制安全风险,加强安全管理。

    5.端到端数据加密。为保护业务数据流,采用L2TP+IPSEC+SM1对数据流进行端到端加密,进而防止数据被窃听、盗取、篡改,保证数据的一致性、可用性。

    6.严格访问控制。在防火墙中配置严格的访问控制,包括限定访问时间、IP地址、服务端口等,以确保合法终端合规使用各业务系统。

    五、后续工作展望

    鉴于现有办公、业务系统均不兼容Android、苹果IOS等移动终端操作系统,先期可通过部署移动“云”终端,将现有的办公类系统快速部署并延伸到移动PAD、智能手机等移动终端,开展移动办公业务,然后再统筹规划,分步实施对各类系统进行升级、改造,逐步将更多的应用系统兼容移动终端操作系统,为人民银行更广泛地推进移动办公业务夯实基础。

    作者单位:中国人民银行银川中心支行网络科
随便看

 

科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。

 

Copyright © 2004-2023 puapp.net All Rights Reserved
更新时间:2025/3/24 22:53:52