[摘 要] 网络 银行作为网络 经济 在 金融 领域应用与延伸的产物,网络安全问题对网络银行的 发展 提出了严峻挑战｡信息安全是金融消费者最关心的,也是网络银行发展中最为敏感的问题｡vpn这一虚拟的专用网络技术是理想的银行 电子 网络远程访问解决方案｡其关键技术有隧道协议技术､加密技术､认证技术､存取控制等,并可以多种方式实现私有隧道通信｡
　　[关键词] 网络银行;网络安全;vpn技术
　　
　　一､网络银行及现状分析
　　
　　1.网络银行的概念｡网络银行是指银行利用因特网技术,通过因特网向客户提供各种金融服务的银行,是利用 计算 机､网络､银行的三合一,通过网络上的虚拟银行柜台向客户提供全天候的网络金融服务,又称网上银行｡网络银行的运行环境与传统环境不同,网络银行生存在虚拟的网络世界中,突破传统银行经营所受到的时间与空间的限制,按照开放的原则为客户提供数字化和高附加值的不间断服务｡
　　2.网络银行的发展阶段｡网络银行的发展可以划分为3个阶段:第一阶段是计算机辅助银行管理阶段,这个阶段始于20世纪50年代,直到80年代中后期｡早期的金融电子化基础技术是简单的脱机处理,只是用于分支机构及各营业网点的记账和结算｡到了20世纪60年代,金融电子化开始从脱机处理发展为联机处理系统,以满足银行之间的汇兑业务发展的需要｡20世纪60年代末兴起的电子资金转账技术及网络,为网络银行发展奠定了技术基础｡第二阶段是银行电子化或金融信息化阶段,这个阶段是从20世纪80年代后期至90年代中期｡随着计算机普及率的提高,商业银行逐渐将发展重点调整为pc机银行,即个人电脑为基础的电子银行业务｡20世纪80年代中后期,在我国国内不同银行之间的网络化金融服务系统基础上,又形成了在不同国家之间､不同银行之间的电子信息网络,进而促进了全球金融通讯网络的产生,在此基础上,出现了各种新型的电子网络服务,如自助方式为主的在线银行服务(网上银行)､自助柜员机系统(atm)､销售终端系统(pos)等｡第三阶段是网络银行阶段,时间是从20世纪90年代中期至今｡20世纪90年代中期以来,网络银行或因特网银行出现,使银行服务完成了从传统银行到 现代 银行的一次变革｡
　　3.我国网上银行业务发展的特点
　　(1)网上银行业务持续增长｡有关报告表明:在2007年调查的我国10个经济发达的城市中,有37.8%的个人正在使用网上银行服务,较2006年增加了4.2个百分点;有31.7%的 企业 正在使用网上银行服务,较2006年增加了1.7个百分点｡2007年,各收入人群的网上银行成长指数均上涨｡其中,月收入500元以下和2000-2999元的人群增长幅度最多,分别为14.45%和10.36%｡个人收入在7000-9999元/月的群体网上银行成长指数最高,为68.91;个人收入在500-999元/月的群体成长指数最低,为54.96｡除安全指数外,其余一级指标基本呈现出收入越高､指数越高的趋势｡可以看出,个人网上银行成长指数随着收入增加而上升｡
　　(2)外资银行开始进入网上银行领域｡目前,获准在

　　三､vpn技术
　　
　　1.vpn的关键技术
　　(1)隧道协议技术｡隧道协议技术将原始报文在a地进行封装,到达b地后去掉封装,还原成原始报文,形成一条由a到b的专用通信隧道｡该技术分为:①端对端隧道技术｡从用户的pc延伸到用户所连接的服务器,每个端点的vpn设备都必须负责隧道的建立及端点之间资料的加密和解密等工作｡②点对点隧道技术｡主要是连接不同地区的局域 网络 ｡在局域网络内部传送的资料并不需做任何改动｡一旦资料必须经由网络外围的设备传送到不同的局域网络时,这些数据才会被加密且经由隧道传送给下一个节点的对应设备｡当节点收到资料后,vpn设备将这些资料解密,还原成原来的格式,再传送到内部局域网络｡利用软件隧道覆盖在一个实体网络之上,构成虚拟特性,让其上任何一个连接看起来像是线路上唯一的 交通 ｡隧道也将使内部网络的安全性和优先性得以维持,提供交通控制能力｡
　　(2)加密技术｡vpn支持目前市场上主要的几种加密技术,如rivest cipher技术､des及triple-des(三重des)等｡密钥长度的选择主要取决于资料机密的重要程度以及资料所流经的网络安全性等｡一旦vpn采用加密技术后,系统必须为用户提供一套取得密钥的方法｡最常见的密钥管理技术为点对点协议(ppp)中的加密控制协议(ecp)､具备密钥管理功能的点对点加密技术(mppe)等｡对于特别敏感的业务信息通信,通过加装硬件加密模块予以解决｡
　　(3)认证技术｡vpn采用了许多现有的用户认证技术,如密码认证协议(pap)､挑战性握手验证协议(chap)以及mi-crosoft chap的支持能力｡连接中一般都包括两种形式的认证:①用户身份认证｡在vpn连接建立之前,vpn服务器对请求建立连接的vpn客户机进行身份验证,核查其是否为合法的授权用户｡如果使用双向验证,还需进行vpn客户机对vpn服务器的身份验证,以防伪装的非法服务器提供错误信息｡②数据完整性和合法性认证｡检查链路上传输的数据是否出自源端,在传输过程中是否经过篡改｡vpn链路中传输的数据包含密码检查,密钥只由发送者和接收者双方共享｡
　　(4)存取控制｡在确认用户身份后,就要给不同用户授予不同的存取权限｡用户必须接受身份认证(authentication)和授权程序验证(authorization),让网络知道是谁发出的业务请求,让用户知道他们可以进行哪些操作｡一个完善的系统同时还能执行账户稽核(accounting),以追踪支出源｡
　　2.实现私有隧道通信的方法
　　(1)通过封装通用路由实现｡采用通用路由封装(gre)技术,为ip数据包加上一个ip头,将私有数据进行包装后,传送到其他地方｡因为银行私有网络的地址通常是自己规划的,因此无法与外部互联网建立正确的路由｡但在银行网络的出口,至少会有一个合法的地址,它在互联网中是唯一的｡gre就是将内部的目的ip地址和源地址的数据报文进行封装,加上一个远端机构互联网出口的ip地址(目的地址)和本地互联网出口的ip地址(源地址),即加上ip头｡通过互联网ip帧结构如图所示｡
　　(2)通过点对点隧道协议实现｡采用点对点隧道协议(pptp),将控制包与数据包分开｡控制包采用tcp控制,用于严格的状态查询和信令信息｡数据包先封装在ppp协议中,然后封装到gre协议中｡
　
　　(3)通过第二层隧道传输协议实现｡采用第二层隧道传输协议(l2tp),将二层协议ppp的报文封装在报文中进行传输｡用户可以通过拨号网络直接访问银行内部网络,在特定链路层实现vpn技术｡
　　(4)通过网络协议安全实现｡采用网络协议安全(ipsec)协议,运用互联网的验证､加密等功能,实现数据的安全传输｡同时,还可采用该协议构建vpn网络｡其原理也是对ip包进行封装(可提供多种方式)并进行加密,然后在互联网中进行传输｡与前面方法相比,这种技术提供了更好的安全性｡但是,协议的复杂性导致了处理ipsec的网络设备(如路由器)需要占用大量的资源,效率较低｡如果使用专门的加密硬件,又会增加成本｡
　　(5)通过多协议标记交换实现｡采用多协议标记交换(mpls),vpn实现底层标签自动分配,即为每个vpn分配一个独有的标识符,称为路由区分符(rd),在网络中的每个in-tranet或extranet的区分符都不同｡转发表包含独有的地址,称为vpn_ip地址,由rd 和用户的ip地址构成｡vpn_ip地址是网络中每个端点独有的,条目存储在vpn中每个节点的转发表中｡边界网关协议(bgp)是一个路由选择分配协议,它定义谁可以与使用多协议分支和群体属性的人对话｡在mpls的vpn中,bgp只向同一个vpn中的成员发布有关vpn的信息,通过业务分离来提供本机安全性｡这种基于标记
　　的模式保证了帧中继和atm连接中的私密性,也更容易实现跨运营网点骨干网服务质量的保证｡
　　
　　四､结束语
　　
　　网络银行作为 金融 服务信息化最集中､最突出的表现形式,代表着银行业 发展 的未来,是大势之所趋｡无论国际还
　　是国内,网络银行都面临着不少亟待解决的问题｡网络银行发展的关键就在于如何打破安全这个最大的瓶颈,在这个方面,显然还有很多工作要做｡
　　
　　 参考 文献 :
　　[1]孙玉石.浅析我国网上银行及发展对策[j]. 企业 技术开发,2007,(6).
　　[2]贺继东,商杰.网络银行安全威胁与对策[j].网络通讯与安全,2007,(2).
　　[3]宋士炯.基于vpn技术实现银行 电子 网络安全通信[j].技术交流, 2007,(6).
　　[4]郭晓菁,邝筱倩.对网络银行发展态势的分析及建议[j].企业 经济 ,2007,(5).