CN101511086A - 金融网点终端无线安全组网系统及方法 - Google Patents

Abstract

一种金融网点终端无线安全组网系统及方法，它包括：接口路由器、中心端VPN加密防火墙、AAA软件认证服务器、无线CDMA路由器，其中：所述的接口路由器，它是金融中心和CDMA运营商建立专线连接的网络设备，它与无线CDMA路由器建立L2TP VPN安全连接；所述的中心端VPN加密防火墙，它是保护金融中心网络安全的设备；它与无线CDMA路由器建立IPSEC VPN安全连接；所述的AAA软件认证服务器，它负责对请求联入金融中心的无线CDMA路由器做安全认证；所述的无线CDMA路由器，它是提供CDMA联网功能的设备，它与路由器建立L2TP VPN安全连接；并与防火墙建立IPSEC VPN安全连接。本发明具有较高的安全性；安装部署迅速；覆盖范围广，资源要求低；网络建设、维护成本低。

Description

金融网点终端无线安全组网系统及方法

发明领域

本发明涉及一种金融行业的业务终端无线安全组网的系统及方法。

背景技术

随着移动信息化关键技术创新应用的发展，拓展移动增值业务范围和市场，面向社会、面向个人的服务终端，已形成随时在线随时服务的移动信息社会，而金融网点的信息化是社会信息化的重要组成部分。

当前，金融业的主干网络已经覆盖全国，而城镇银行、社区街道、商务楼和农村银行、镇村等金融网点终端的组网方式仍旧采用帧中继、DDN、电话线拨号等十年前就存在的有线组网方式。有线宽带发展得比较好的城镇也有采用ADSL、FTTB+LAN宽带作为金融网点终端组网的辅肋手段。但是有线组网存在线路到位周期长、安装和使用成本高、不可移动、易被截取线缆而非法入侵金融网络等缺点，无人值守的金融网点终端还易受到物业、号线等人为因素的干扰，而导致业务中断和不连续性。

当前银行ATM网络环境中ATM、CDM、信用卡POS仍采用专线或MODEM电话线拨号的方式来接入金融网络，它包括：

专线方式：采用DDN或帧中继专线的方式接入，通讯质量好，24小时在线。其缺点在于：线路到位的周期长、成本高、不可移动；还有在复杂的离行环境里容易受到物业、号线等人为因素的干扰导致业务不能持续。

电话线拨号：采用MODEM接入，灵活性高，任何有电话的地方就可以建立业务。其缺点在于：业务繁忙时经常忙线掉线、电话线易被侦听，导致安全性不高而且业务负荷也不能太高。

其主要问题包括：

1)、设备成本较高：由于离行式自助设备无从借助本行营业场所的通讯线路，所以必须另需采购数据通讯设备和网络设备。设备虽然经过供应商竞标，但采购成本仍偏高(总价约13000元)。

2)、申请时间较长：申请帧中继专线涉及到电信和安装当地的物业，电信内部又涉及线路施工和数据施工等不同的部门，一般至少需要一个月的时间。

3)、无线路资源无法开通：有些地区因所处地区话局无线路资源无法开通专线，一直使用电话拔号的通讯方式，不但线路不稳定且通信费用较高。

4)、故障较多、维修耗时较长：为保证每台自助设备的交易笔数，设备的安装地点往往在靠近大门、楼梯口等人流密集处。这些地点一般都没有现成的通讯信息点和电源，需要临时施工，线路铺设质量难以保证，再加上使用环境较差，因此离行式自助设备的通讯故障率，据统计一般要占到所有故障的三分之一，占到所有停机时间的二分之一。通讯线路故障维修时需要多方人员到现场会诊才能解决，故维修时间也较长。

5)、设备迁移困难：根据业务发展的需要，已投用的离行式ATM经常需要移动位置，而有线通讯的方式决定了一旦移动位置后，要有一个较长的周期才能重新投入使用。如在内部移动，则要重新铺设内部线路，如移动到别的地点，则申请线路的过程又要重复一遍。

上述有线联网方式，无论是帧中继专线，还是拔号都是有线的通讯方式应用在离行式自助设备上都暴露出许多不足之处。

面对以上有线联网方式的诸多不足，采用移动通信技术实现金融业务终端无线安全组网会更有优势。

目前，世界上成熟使用的移动通信网络主要有两种：GSM和CDMA。与GSM相比，CDMA网络系统在安全保密方面具有很大优势。CDMA本来就是起源军事保密技术，在战争期间广泛应用于军事领域，具有抗干扰、安全通信、保密性好的特性。CDMA通信技术有三个特点。首先，CDMA系统采用扩频技术，经过扩频以后的有用信号的频谱被大大地展宽了，用户信号隐蔽在互不相关的信号中，要想捕捉到这一有用信号非常困难。其次，CDMA采用快速切换功率控制技术，使窃听者很难锁定有用信号。第三，CDMA采用伪随机码技术，每次通信都有4.4万亿种可能的排列，窃听器很难破译出CDMA的编码。所以，金融行业的业务终端无线组网，采用CDMA通信方式更为安全。

但是，普通CDMA技术无线组网仍存在安全隐患，包括：无线拨号的用户名、密码控制权在CDMA网络运营商；用户名密码未绑定无线设备；无线端设备未绑定后端金融机具；业务数据对运营商透明；无线端如采用串口设备无法应对线路信号等环境问题；无线端设备无固定IP。

发明内容

本发明目的在于提供一种金融网点终端无线安全组网系统及方法，以解决金融网点终端无线组网系统的安全性问题和适合金融网点终端无线组网系统的成套性技术问题。

CDMA网络侧的AAA认证是指认证(Authentication)授权(Authorization)计费(Accounting)三个过程：认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益，又能有效地保障网络系统安全可靠地运行。CDMA网络侧的AAA认证过程是对用户的域名进行鉴权认证，其中数据网的用户(VPDN成员)是以username@xxx.133vpdn.xx形式登录的。CDMA网络侧的AAA软件认证服务器对登录用户的域名和该用户的IMSI进行核对验证。验证通过后，方可接入CDMA网络。

CDMA网络和用户网络之间可以采用专线链接，也可以使用Internet链接。使用Internet链接必须考虑安全性，因此，可以使用VPN将二者利用Internet链接起来。

VPN技术非常复杂涉及到通信技术、密码技术和现代认证技术。主要包含两种技术：隧道技术与安全技术。隧道技术的基本过程是在源局域网域公网接口处将数据封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，被封装的数据包在互联网上传播时的所经过的路径被称为“隧道”。常用的隧道协议有：1.点到点隧道协议—PPTP(现已基本淘汰)；2.第二层隧道协议—L2TP，该协议是国际标准隧道协议，PPTP协议以及第二层转发L2F协议的优点，以隧道方式使PPP包通过各种网络协议，包括ATM、SONET、帧中继。但没有任何加密措施；3.IPSec协议，该协议是一个范围广泛、开放的VPN安全协议，工作在网络层。它提供所有在网络层上的数据保护和透明的安全通信。可以在两种模式下运行：一种是隧道模式，一种是传输模式。在隧道模式下IPSec把IPv4数据包封装在安全的IP帧中；传输模式是为了保护端到端的安全性。

防火墙技术是目前用来实现网络安全措施的一种主要手段，主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍地访问网络资源。防火墙实际上是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问，也可以使用防火墙阻止保密信息从受保护网络上被非法输出。

用户网络侧的AAA鉴权认证可以实现对VPDN成员的身份认证。本级的AAA软件认证服务器将鉴别VPDN成员的用户名和密码的正确性。username@xxx.133vpdn.xx中的域名将是CDMA运营商提供给专网接入用户的专有统一域名，用户名可以根据用户自身特点来命名。VPDN中成员的用户名和密码等资料将保存在专网侧的AAA软件认证服务器，具有很好的安全性和灵活的管理性。而且本发明采用本申请人生产销售的DCBI-3000-IMSIAAA服务软件，该软件具有认证、授权、计费功能，在本发明中负责对无线联入金融网络的设备进行认证，在验证用户名和密码的同时，复合验证该帐户绑定的CDMA UIM卡的IMSI串号，这就杜绝了用户名和密码被单独盗用的风险，从而使安全系数成倍提高。

本发明的技术方案是：

1)、用户名密码权：

由于普通个人无线用户在CDMA运营商内部仅认证UIM卡号，并对应计费；而所有的个人用户在登陆运营商网络的过程都使用统一的用户名密码。因此需要向运营商申请VPDN的移动专网业务，一方面将金融机构的无线网点在运营商内部独立划分出一个只允许内部通讯的专有网络；另一方面申请了VPDN业务后，运营商会向申请机构分发一个用户识别码，例如CDMA运营商会下发一个@companyname.133vpdn.bj的域名，而用xxxx@companyname.133vpdn.bj这样含有指定后缀域名的用户名登陆CDMA1X网络的，则运营商就会把这样的用户名包括密码转交用户自己的AAA软件认证服务器来验证。本发明以此种方式将用户名密码权交给到金融机构自己手里。

2)、用户名密码绑定无线设备：

由于用户名密码毕竟只是几个不同复杂程度的字符串，总有意外泄露的可能性。如果金融机构的AAA软件认证服务器仅验证用户名密码，那么就无法控制利用泄露的正常用户名密码使用非法终端入侵的情况。

在运营商的网络里其实每个133的CDMA卡号并不是物理唯一的，而是每张UIM卡拥有一个唯一的串号，例如UIM卡的串号称为IMSI串号。金融机构在申请无线业务时可从运营商获得自己使用的UIM卡的唯一串号。故本发明在AAA软件认证服务器上实现在认证用户名密码的同时附加认证IMSI串号的功能。由于UIM卡都装载在无线终端设备里，如果要获得指定IMSI串号的UIM卡只能拆开或拿走无线终端设备，这样很容易被附带的监控系统发现，用户在中心端也可以随时将出现意外情况的UIM卡相对应的用户名禁用停用，甚至可以联系运营商通过对开启该IMSI串号UIM卡的设备进行全球定位。

3)、无线端设备绑定后端金融机具：

上面介绍的是无线拨号帐户/密码绑定无线端的设备，那么把金融终端的机具和无线端的设备连接线缆拔开换上非法终端呢？对于这样的安全问题，本发明一方面在无线端的设备的IP子网采用30位的掩码，如此每个子网除了无线端的设备占用一个IP，只剩一个IP可以供金融终端的机具使用，防止篡改IP的问题；本发明另一方面在无线端的设备里增加绑定金融终端的机具IP和MAC地址的功能；那么则无线端金融终端的机具必须IP和MAC地址都符合配置才能接入。

4)、加密业务数据对运营商非透明化：其中包括

采用数据加密手段，在无线端和用户中心的路由器之间建立基于3DES算法的IPSEC隧道，所有的业务数据都在此加密隧道里传输，以达到避免运营商内部人员恶意或意外获得金融数据。不允许非加密数据在网内传输。

对于用户名密码传输加密，在运营商将用户名密码转给金融机构自己的AAA软件认证服务器的传输过程中存在安全盲点，本发明可以在运营商将无线信号转化成IP分组信息的设备和用户中心的路由器之间建立L2TP加密隧道，用户名密码就在这个L2TP加密隧道内传输以达到安全级别。

5)、无线端设备无固定IP：

动态IP的接入方式会导致中心端无法从IP数据报文上确认远程无线端的金融终端，有些项目中也有变通的在所有的金融终端传输的数据报文中添加终端号的方式来解决，仍增加了很多工作量，一旦有新的金融终端型号加入，则仍需附加工作。在本发明中金融机构内部采用了自己的AAA软件认证服务器，所以在AAA软件认证服务器上针对每个用户分发指定的IP即可解决此问题。所有的数据都可回朔查询，可以快速的定位问题。

一种金融网点终端无线安全组网系统，其特征在于：它包括：接口路由器、中心端VPN加密防火墙、AAA软件认证服务器、无线CDMA路由器，其中：

所述的接口路由器，它主要接收由CDMA运营商转发来的业务数据和无线CDMA路由器发起认证请求；该接口路由器应根据业务的数量，即远程联入的无线CDMA路由器数量来配备相适应的宽带DDN数据链路；至少要求2M的专线链路；CDMA运营商的认证请求是通过L2TP的加密协议转发到用户网络，接口路由器支持L2TP的加密协议。

所述的中心端VPN加密防火墙，它主要和无线CDMA路由器之间建立一个IPSEC+3DES加密的隧道，使业务数据在加密隧道内安全传输；该防火墙的关键参数是能够稳定接入无线CDMA路由器发起IPSEC+3DES加密隧道的数量。

所述的AAA软件认证服务器，它包括：

A)、由用户分配无线CDMA路由器私有IP地址，而非通常的公网IP，这样使整个业务网络脱离公网传输形成一个用户独立的VPN网络，以保证业务数据的安全；

B)、根据CDMA UIM卡唯一的IMSI串号来区别用户的合法性，通过IMSI串号+用户名+密码的认证方式，通过软件硬件相结合来确认远端用户的合法性。如，可选用本申请人开发的DCBI-IMSI AAA软件认证服务器，它具有IMSI认证的功能；

C)、固定用户登陆业务网络的IP地址，保证其唯一性；保证无线CDMA路由器和其传输的业务的唯一对应关系，以符合金融业务对业务的追述要求。

所述的无线CDMA路由器，支持3DES加密功能，以保证端到端业务安全。选用由本申请人生产的DCWL-280CR-VD支持对后端连接的ATM、POS等金融设备的硬件绑定，可阻止非法的设备在业务生产网内传输任何数据。

在本发明中采用了VPDN技术，它是利用隧道技术，通过在专用或公用网络上建立逻辑隧道，对网络层进行加密以及采用口令保护、身份验证等措施而实现的。CDMA1X分组网的VPDN业务是以高速分组数据网为承载，为金融机构建立VPDN虚拟专用内部网络，使金融业务网点无论布放到何处，均可采用无线CDMA路由器+金融终端方式进入机构内部专网。金融业务网点通过CDMA1X分组域的接入认证，在PDSN和金融机构信息中心之间建立起专用隧道，然后通过3A软件认证平台的认证后，3A软件认证平台为拨入用户分配指定的内网IP地址，无线CDMA路由器经过分组网的PDSN与中心的LNS路由器间建立起PPP连接，在无线CDMA路由器和中心加密防火墙再建立一个基于3DES算法的IPSEC的加密隧道，用户传输的数据流通过隧道到达金融机构信息中心，业务网点就像直接通过专线连接到中心网络一样。

本发明的优点在于：

1)、本发明具有较高的安全性：通过采用多种技术和设备，实现了多级安全措施，完全可以保证企业电子银行应用的安全性。比传统窄带模拟拨号的安全性有极大的提高，即便与安全性本已很高的专线方式相比，因为增加了IPSec加密隧道一级的措施，安全性也更高，可以说，数据被窃取的可能性几乎为零。

2)、安装部署迅速，维护简单：对金融机构来说，针对所有的业务网点，只需要一次性开通与运营商的专线，并在银行安装L2TP路由器、IPSec防火墙和AAA软件认证服务器，以后新开通网点所需的工作量只是在AAA软件认证服务器上维护用户名、密码、IMSI和IP地址，很少对路由器和防火墙进行配置调整，而AAA软件认证服务器提供Web界面，易学易用。专线方式下，新的网点增加时，需要开通调试专线，重新配置路由器，这些工作都需要专业技术人员完成，而且很容易对已开通用户造成影响。拨号方式下，可能需要增加中继线，对路由器也需要重新配置。对业务网点来说，与有线方式不同，没有布线、申请拨号电话线、申请专线的过程，部署所需的工作只是用网线将金融终端的物理机具和无线CDMA路由器连接，通过WEB配置界面对路由器的VPDN用户名、密码等很少几项参数进行配置，基本即插即用，任何一个稍具计算机知识的人员都可完成，无需专业的网络技术人员。而无线方式下，很多的网络管理工作都由运营商来完成，金融机构和业务网点需要做的工作较少。

3)、网络建设、维护成本低：对金融机构来说，若使用无线安全组网方式，新建金融网点时，金融中心不必增加和升级硬件设备，而且维护简单，工作量少，也节约了网络管理人员的成本支出。而原有专线或拨号方式联网方式下，新建金融网点时，金融中心设备也需要增加或扩容，而且新增专线和配套设备的成本也很高。尤其对于建立临时金融网点和金融网点搬迁时，采用无线安全组网方式更能大幅节约费用。

4)、覆盖范围广，资源要求低：CDMA无线网络经过多年的发展，覆盖范围很广，几乎任何办公地点都可使用，不存在拨号方式和专线方式经常遇到的没有线路资源的问题。由于无线网络固有的特性，排除了物业、现场、人员等许多环境因素的干扰，可迅速开通使用，缩短了实施周期。

本发明能使无法铺设电缆的边远地区和有线盲区实现网络连接，促进金融网点的大覆盖，加速金融业务的边缘化、个性化拓展，尤其目前市民正在呼唤银行增加网点，减少排队时间。本发明组网快、成本低、可移动使用，是金融网点终端组网一种好的选择。

附图说明

图1为本发明金融网点终端无线安全组网系统拓扑示意图。

图2为本发明中金融网点终端无线安全接入流程图。

具体实施方式

下面结合实施例及附图对本发明作进一步的说明。

如图1所示，本发明金融网点终端无线安全组网系统，它包括：

金融机具1，它包括：自动提款机、金融查询机等；

无线CDMA路由器2，它是提供CDMA联网功能的设备，它与路由器3建立L2TP VPN安全连接；并与防火墙建立IPSEC VPN安全连接；

接口路由器3，它是金融中心和CDMA运营商建立专线连接的网络设备，它与无线CDMA路由器2建立L2TP VPN安全连接；

中心端VPN加密防火墙4，它是保护金融中心网络安全的设备；它与无线CDMA路由器2建立工PSEC VPN安全连接；

AAA软件认证服务器5，它负责对请求联入金融中心的无线CDMA路由器2做安全认证。

其中，所述的无线CDMA路由器2，支持IPSEC VPN功能以保证端到端业务安全。采用的本申请人生产的DCWL-280CR-VD无线CDMA路由器支持对后端连接的ATM、POS等金融设备的硬件绑定，可阻止非法的设备在业务生产网内传输任何数据。

所述的接口路由器3，它主要接收由CDMA运营商转发来的业务数据和无线CDMA路由器2发起认证请求，该接口路由器3应根据业务的数量，即远程联入的无线CDMA路由器2数量来配备相适应的宽带DDN数据链路；至少要求2M的专线链路；而CDMA运营商的认证请求是通过L2TP的加密协议转发到用户网络，由此可见接口路由器3必须支持L2TP VPN。

所述的中心端VPN加密防火墙4，它主要和无线CDMA路由器2之间建立一个IPSEC+3DES加密的隧道，使业务数据在加密隧道内安全传输；该防火墙的关键参数是能够稳定接入无线CDMA路由器2发起IPSEC+3DES加密隧道的数量。

所述的AAA软件认证服务器5，可由用户分配无线CDMA路由器2私有IP地址，而非通常的公网IP，这样使整个业务网络脱离公网传输形成一个用户独立的VPN网络，保证了业务数据的安全；可以根据CDMA UIM卡唯一的IMSI串号来区别用户的合法性，通过IMSI串号+用户名+密码的认证方式，通过软件硬件相结合来确认远端用户的合法性；可以固定用户登陆业务网络的IP地址，保证其唯一性；保证了无线CDMA路由器2和其传输的业务的唯一对应关系，符合了金融机构对业务的追述要求。

如图2所示，本发明金融网点终端无线安全组网系统处理方法步骤是：

A)、无线CDMA路由器设备拨号；

B)、基站和基站控制中心负责为此次连接分配各种资源，并建立用户和PDSN的连接；PDSN和用户终端开始建立PPP协商，并选用认证方式PAP或CHAP；

C)、运营商的AAA认证服务器根据PDSN打包发送的用户信息，判断是否为VPDN用户；如果是，就返回相应的LNS地址以及建立隧道用的共享密钥；如果不是，就终止认证流程；

D)、PDSN根据收到的LNS信息，和中心LNS路由器建立L2TP隧道；无线CDMA路由器设备和中心LNS路由器之间建立PPP协商；

E)、随后，银行数据中心的AAA认证授权服务器对用户名密码和IMSI串号进行验证；若认证通过，银行AAA认证授权服务器会为用户终端分配银行专网IP地址；若认证未通过，就终止认证流程；

F)、无线CDMA路由器设备向中心端VPN加密防火墙发起IPSEC隧道请求；

G)、无线CDMA路由器设备与中心端VPN加密防火墙协商IPSEC隧道及加密算法；

H)、IPSEC隧道建立，金融终端远程安全联入银行数据中心，实现金融业务远程安全办理。

Claims (7)

1、一种金融网点终端无线安全组网系统，其特征在于：它包括：接口路由器、中心端VPN加密防火墙、AAA软件认证服务器、无线CDMA路由器，其中：所述的接口路由器，它是金融中心和CDMA运营商建立专线连接的网络设备，它与无线CDMA路由器建立L2TP VPN安全连接；所述的中心端VPN加密防火墙，它是保护金融中心网络安全的设备；它与无线CDMA路由器建立IPSEC VPN安全连接；所述的AAA软件认证服务器，它负责对请求联入金融中心的无线CDMA路由器做安全认证；所述的无线CDMA路由器，它是提供CDMA联网功能的设备，它与路由器建立L2TP VPN安全连接；并与防火墙建立IPSEC VPN安全连接。

2、根据权利要求1所述的金融网点终端无线安全组网系统，其特征在于：所述的接口路由器，它主要接收由CDMA运营商转发来的业务数据和无线CDMA路由器发起认证请求；该接口路由器应根据业务的数量，即远程联入的无线CDMA路由器数量来配备相适应的宽带DDN数据链路；至少要求2M的专线链路；CDMA运营商的认证请求是通过L2TP的加密协议转发到用户网络，接口路由器支持L2TP的加密协议。

3、根据权利要求1所述的金融网点终端无线安全组网系统，其特征在于：所述的中心端VPN加密防火墙，它主要和无线CDMA路由器之间建立一个IPSEC+3DES加密的隧道，使业务数据在加密隧道内安全传输；该防火墙的关键参数是能够稳定接入无线CDMA路由器发起IPSEC+3DES加密隧道的数量。

4、根据权利要求1所述的金融网点终端无线安全组网系统，其特征在于：所述的AAA软件认证服务器，它包括：

A)、由用户分配无线CDMA路由器私有IP地址，而非通常的公网IP，这样使整个业务网络脱离公网传输形成一个用户独立的VPN网络，保证了业务数据的安全；

B)、根据CDMA UIM卡唯一的IMSI串号来区别用户的合法性，通过IMSI串号+用户名+密码的认证方式，通过软件硬件相结合来确认远端用户的合法性；它具有IMSI认证的功能；

C)、固定用户登陆业务网络的IP地址，保证其唯一性；保证无线CDMA路由器和其传输的业务的唯一对应关系，符合金融业务对业务的追述要求。

5、根据权利要求1所述的金融网点终端无线安全组网系统，其特征在于：所述的无线CDMA路由器，支持3DES加密功能，以保证端到端业务安全。

6、根据权利要求1所述的金融网点终端无线安全组网系统，其特征在于：该系统与金融机具相连接；所述的金融机具，它包括：自动提款机、金融查询机。

7、一种实施金融网点终端无线安全组网系统的方法，其特征在于：该步骤包括：

A)、无线CDMA路由器设备拨号；

B)、基站和基站控制中心负责为此次连接分配各种资源，并建立用户和PDSN的连接；PDSN和用户终端开始建立PPP协商，并选用认证方式PAP或CHAP；

C)、运营商的AAA软件认证服务器根据PDSN打包发送的用户信息，判断是否为VPDN用户；如果是，就返回相应的LNS地址以及建立隧道用的共享密钥；如果不是，就终止认证流程；

D)、PDSN根据收到的LNS信息，和接口路由器建立L2TP隧道；无线CDMA路由器设备和中心LNS路由器之间建立PPP协商；

E)、随后，银行数据中心的AAA软件认证服务器对用户名密码和IMSI串号进行验证；若认证通过，银行AAA软件认证服务器会为用户终端分配银行专网IP地址；若认证未通过，就终止认证流程；

F)、无线CDMA路由器设备向中心端VPN加密防火墙发起IPSEC隧道请求；

G)、无线CDMA路由器设备与中心端VPN加密防火墙协商IPSEC隧道及加密算法；

H)、IPSEC隧道建立，金融终端远程安全联入银行数据中心，实现金融业务远程安全办理。

Images