热搜
您的位置:首页 >> 养生

基于3G网络的企业数据通信安全方案讨论

2019年04月25日 栏目:养生

前言3G即第三代移动通讯技术,是指支持高速数据传输的蜂窝移动通讯技术。目前3G存在4种标准:CDMA2000,WCDMA,TD-SCDM

前言

3G即第三代移动通讯技术,是指支持高速数据传输的蜂窝移动通讯技术。目前3G存在4种标准:CDMA2000,WCDMA,TD-SCDMA,WiMAX。国内3大运营商支持情况以下:

电信:CDMA2000,可达3.1Mbps;

移动:TD-SCDMA,2.8Mbps;

联通:WCDMA,可达7.2Mbps。

如银行这样的企业用户在传统的有线模式下,没法满足离行ATM、移动点灵活部署的需求,主要是无长时间固定地点,受地域和有线络限制没法灵活部署,且业务量也小租赁专线的本钱太高,存在着高速无线的需求,而3G无线部署是目前的解决方案。

随着3G络业务的不断普及,运营商针对企业用户对“3G移动专用”的需求推出了3G的VPDN(Virtual Private Dial-Network)业务,即:基于3G无线接入方式的虚拟专用拨号业务,它是利用L2TP隧道传输协议,就可以在现有的拨号络上构建一条虚拟的、不受外界干扰的专用通道,从而实现类似采取有线专用络的方式访问企业内部资源。

数据通信装备厂商也及时推出了3G路由器来适应行业用户的这个运用趋势,企业已进入3G联时期。

当金融、政府这类点众多,又具有大量离行ATM接入、边远乡镇接入和移动点接入的需求的行业用户,也把眼光放到3G接入时,基于3G络开展企业数据通信的安全性,成为这些对数据安全性要求较高的行业大规模运用3G络的障碍。

3G络数据通信应用概述

基于3G的数据通信运用有以下几种组模式:

1、访问internet

图1 访问internet

3G路由器配置3G模块,使用公用的APN名称、用户名密码,通过运营商无线基站接入Internet络,配置NAT地址转换功能,3G路由器内PC通过3G络访问公资源,如页浏览、公邮箱、及时通讯、络下载等资源。

2、Internet +VPN隧道

图2 Internte +VPN隧道

3G路由器配置3G模块,使用公用的APN名称、用户名密码,通过应用商无线基站接入Internet络,对于需要访问公资源的数据流,经过配置NAT地址转换后直接与Internet进行通讯。对需要访问总部机构私资源的数据流(如:公司VOIP语音、视频会议系统、内部办公OA系统等),通过3G路由器与总部路由器建立的Ipsec VPN加密隧道进行直接通讯。

3、3G VPDN专

图3 3G VPDN专

如上图,为了保证企业大客户3G接入的业务安全需求,运营商可向用户提供专线APN(Access Point Name)传输方式,为用户提供专用的接入点名称,并可提供用户名、密码、IMSI的多重安全认证功能。LNS为用户总部端设备(路由器、VPN设备)通过专线与运营商络互连,分支点的3G路由器配置3G模块,使用企业申请的专用APN名称、用户名密码接入3G络,运营商通过APN名称或用户名密码判断该用户为企业专用户后,交由LAC设备触发与用户端LNS设备的L2TP 认证协商,并终究由LNS设备为分支点3G路由器分配私IP地址,实现与分支点与总部私的专线互通。

基于3G VPDN专是运营商为行业用户主推的模式,本文将着重分析基于3G VPDN专应用的安全部署问题,首先看看3G无线有哪些安全机制。

3G无线安全简介

无线通信本身的特点是,既容易让合法用户接入,也容易被潜伏的非法用户盗取,因此,安全问题总是同移动通讯络密切相干。

针对无线通信存在的安全问题,3G系统进行了以下优化:

1.实现了双向认证。不但提供基站对MS的认证,也提供了MS对基站的认证,可有效防止伪基站攻击。

2.提供了接入链路信令数据的完整性保护。

3.密钥长度增加为128 bit,改进了算法。

4.3GPP接入链路数据加密延伸至无线接入控制器(RNC)。

5.3G的安全机制还具有可拓展性,为将来引入新业务提供安全保护措施。

6.3G能向用户提供安全可视性操作,用户可随时查看自己所用的安全模式及安全级别。

7.在密钥长度、加密算法选定、鉴别机制和数据完整性检验等方面,3G的安全性能远远优于2G。

但是3G的这些安全机制仅仅局限于无线部份,针对基于3G接入的无线企业而言,无线部分的安全是远远不够的,需要保证数据在整个传输进程中的安全性,即端到端的安全性。

3G路由器接入安全部署探讨

随着3G数据通信运用的发展,业界专业的数据通信厂家推出了3G安全路由器,能够很好的解决3G络数据安全传输问题。下面以3G安全路由器在金融离行ATM运用为例做一个分析。

图4 3G接入

如上图所示,金融离行ATM点使用3G 路由器无线接入3G无线络,通过运营商3G无线基站及IP核心连接金融一级或二级会聚路由器,实现了离行ATM与金融一级或二级的业务互访。

根据应用模式,3G接入安全部署基于以下几点考虑:

接入认证安全

要求在进行3G络登录时,提供基于用户名、密码、IMSI(international mobile subscriber identity, 国际移动用户识别码)的多重身份认证绑定功能,保证接入用户的性,避免非法用户利用3G络接入用户专用络。

端到端的私有性

为了保证用户业务的私密性,必须要求解决方案从点3G路由器到金融、政府行业一级或二级会聚路由器提供端到端的私有专用通道,以保证点业务在运营商络传输进程中的私有性。

端到端的安全加密

为了进一步保证点业务数据在运营商3G无线络以及IP核心传输进程中的安全,避免黑客利用其他非法手段截取金融、政府等行业敏感数据,要求安全解决方案必须提供点3G路由器到金融、政府行业一级或二级汇聚路由器端到端的加密安全。特别是金融和政府此类信息敏感行业,这类加密安全更需要国密办加密算法的支持,以保障国家信息安全的高度机密性。

图5 3G接入安全部署

3G路由器安全接入解决方案

图6 3G安全接入解决方案

如上图所示,点的3G安全接入部署方案,分别通过专有APN+绑定接入认证、L2TP私有隧道、IPSEC安全加密技术来实现3G部署时对接入认证、端到端的私有性、端到端安全加密的安全原则,具体部署方案以下:

专有APN+绑定接入认证

在进行点的3G无线接入部署时,需要先向运营商申请分配的专APN(Access Point Name,类似行业专用的3G无线局域,保证点接入3G络后,只能访问行业专用络,保证无法与其他络进行通讯)。点采取3G路由器接入,运营商会将点用户的IMSI信息(IMSI是在运营商络中辨认一个移动用户的号码,由15位数字组成,存于SIM卡中)、终端用户的账号和密码事先配置在运营商认证服务器上。当点的3G路由器发起无线连接时,只允许绑定信息合法的用户通过用户名、密码的AAA认证后接入3G专用络,避免非法SIM卡用户拨入用户3G专。

另外,可进一步通过3G路由器设置SIM卡的PIN码保护功能,只有知道SIM卡的PIN密码才能触发3G拨号,防止非法用户取得到用户SIM卡后进行的非法操作,保证了SIM卡的使用安全。

L2TP+IPSEC VPN私有隧道

为了保证3G接入点的数据业务在运营商IP核心中传输的的私有性,用户向运营商申请企业集团用户3G的VPDN业务,基于3G无线接入方式的虚拟专用拨号业务,它是利用安全的L2TP隧道传输协议,就可以在现有的拨号络上构建一条虚拟的、不受外界干扰的专用通道,从而安全访问企业内部资源。

运营商会为行业用户的3G VPDN业务提供L2TP的LAC端路由器及配套的AAA服务器。金融、政府行业一级或二级会聚层采取1台路由器作为L2TP的LNS端,并部署1台AAA服务器。LAC路由器主要负责对3G用户的接入认证,与该用户所属企业的专有LNS建立L2TP隧道。金融、政府行业一级或二级会聚的AAA服务器主要寄存点路由器建立连接时所需要的用户名和密码。用户名的格式为XX@,其中@前面的字符串可以由用户端自行定义,@后面的字符串即域名。运营商AAA服务器通过域名确认该用户的接入权限。运营商AAA服务器与企业AAA服务器的用户名和密码必须一致。

L2TP私有隧道建立进程如下:

点路由器通过3G络在完成对接入用户的APN认证后,路由器启动PPP拨号向LAC发出认证要求。

LAC把认证要求转至运营商LAC AAA服务器。

AAA服务器将会回复认证结果并返回该用户所属的LNS地址、VPDN隧道属性等信息。

LAC向返回的LNS地址发出L2TP隧道建立要求,隧道建立成功(请求建立隧道的认证可选)。

LNS对点路由器的用户名和密码进行重新认证(LNS对点路由器的重认证可选)。

L2TP隧道建立完成。点路由器对应的拨号接口UP,建立正常私有隧道通讯。

如果点发起了能够触发IPSEC VPN的流量,则IPSEC VPN隧道建立进程启动。点路由器与LNS发起IPSEC VPN连接要求。

图7 加密隧道建立进程

IPSEC安全加密

图8 IPSEC安全加密

针对端到端的安全加密原则, 如前文所述,3G技术有本身的加密验证技术,但是3G的加密验证技术只针对无线部分,而在IP核心部份,从LAC到LNS之间的L2TP隧道是不加密的,数据还是明文传送。而从LAC到络中间还有可能经过运营商的IP络,为了达到端到端的加密传输,需要在点和总部路由器之间,采取IPSEC 实现端到端的加密,如图8所示:

IPSEC通过AH、ESP协议保证了数据的安全传输:

私有性:用户的敏感数据以密文情势传送

完整性:对接收的数据进行验证,判断数据是否被篡改

真实性:验证数据源,判断数据来自真实的发送者

防重放:避免恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会谢绝旧的或重复的数据包。

依照IPSEC VPN技术要求支持的加密算法主要有: DES、DES、AES128、AES192、AES256等 ,要求支持的HASH算法为MD5和SHA等。另外,具有国家商用密码管理办公室颁发的商用密码产品资质的设备商,除常见的加密算法外,还能够为金融、政府行业用户的3G接入提供符合国密办加密算法支持,并遵照国密办IPSEC VPN技术规范要求对路由器进行设计,能进一步确保国家信息安全。

结束语

3G技术宣布企业进入无线联时代,更加完善的络安全有利于基于3G接入的无线企业真正得到范围应用。在信息安全已上升到国家战略的今天,如何在通讯技术不断发展的情况下,始终保持一个相称的、可控的安全机制,也将是一个持续讨论下去的话题。相信在政府和国内民族企业的推动下,坚持中国人建设自己的安全络,牢牢把握住信息安全竞争中的主动权,3G络在企业数据通信应用中将得到蓬勃发展。

治小便黄的中成药
风寒风热感冒的鉴别
血糖仪价格表