[发明专利]金融网点终端无线安全组网系统及方法

权利要求书

1、一种金融网点终端无线安全组网系统，其特征在于：它包括：接口路由器、中心端VPN加密防火墙、AAA软件认证服务器、无线CDMA路由器，其中：所述的接口路由器，它是金融中心和CDMA运营商建立专线连接的网络设备，它与无线CDMA路由器建立L2TP VPN安全连接；所述的中心端VPN加密防火墙，它是保护金融中心网络安全的设备；它与无线CDMA路由器建立IPSEC VPN安全连接；所述的AAA软件认证服务器，它负责对请求联入金融中心的无线CDMA路由器做安全认证；所述的无线CDMA路由器，它是提供CDMA联网功能的设备，它与路由器建立L2TP VPN安全连接；并与防火墙建立IPSEC VPN安全连接。

2、根据权利要求1所述的金融网点终端无线安全组网系统，其特征在于：所述的接口路由器，它主要接收由CDMA运营商转发来的业务数据和无线CDMA路由器发起认证请求；该接口路由器应根据业务的数量，即远程联入的无线CDMA路由器数量来配备相适应的宽带DDN数据链路；至少要求2M的专线链路；CDMA运营商的认证请求是通过L2TP的加密协议转发到用户网络，接口路由器支持L2TP的加密协议。

3、根据权利要求1所述的金融网点终端无线安全组网系统，其特征在于：所述的中心端VPN加密防火墙，它主要和无线CDMA路由器之间建立一个IPSEC+3DES加密的隧道，使业务数据在加密隧道内安全传输；该防火墙的关键参数是能够稳定接入无线CDMA路由器发起IPSEC+3DES加密隧道的数量。

4、根据权利要求1所述的金融网点终端无线安全组网系统，其特征在于：所述的AAA软件认证服务器，它包括：

A)、由用户分配无线CDMA路由器私有IP地址，而非通常的公网IP，这样使整个业务网络脱离公网传输形成一个用户独立的VPN网络，保证了业务数据的安全；

B)、根据CDMA UIM卡唯一的IMSI串号来区别用户的合法性，通过IMSI串号+用户名+密码的认证方式，通过软件硬件相结合来确认远端用户的合法性；它具有IMSI认证的功能；

C)、固定用户登陆业务网络的IP地址，保证其唯一性；保证无线CDMA路由器和其传输的业务的唯一对应关系，符合金融业务对业务的追述要求。

5、根据权利要求1所述的金融网点终端无线安全组网系统，其特征在于：所述的无线CDMA路由器，支持3DES加密功能，以保证端到端业务安全。

6、根据权利要求1所述的金融网点终端无线安全组网系统，其特征在于：该系统与金融机具相连接；所述的金融机具，它包括：自动提款机、金融查询机。

7、一种实施金融网点终端无线安全组网系统的方法，其特征在于：该步骤包括：

A)、无线CDMA路由器设备拨号；

B)、基站和基站控制中心负责为此次连接分配各种资源，并建立用户和PDSN的连接；PDSN和用户终端开始建立PPP协商，并选用认证方式PAP或CHAP；

C)、运营商的AAA软件认证服务器根据PDSN打包发送的用户信息，判断是否为VPDN用户；如果是，就返回相应的LNS地址以及建立隧道用的共享密钥；如果不是，就终止认证流程；

D)、PDSN根据收到的LNS信息，和接口路由器建立L2TP隧道；无线CDMA路由器设备和中心LNS路由器之间建立PPP协商；

E)、随后，银行数据中心的AAA软件认证服务器对用户名密码和IMSI串号进行验证；若认证通过，银行AAA软件认证服务器会为用户终端分配银行专网IP地址；若认证未通过，就终止认证流程；

F)、无线CDMA路由器设备向中心端VPN加密防火墙发起IPSEC隧道请求；

G)、无线CDMA路由器设备与中心端VPN加密防火墙协商IPSEC隧道及加密算法；

H)、IPSEC隧道建立，金融终端远程安全联入银行数据中心，实现金融业务远程安全办理。