基于3G網(wǎng)絡(luò )的企業(yè)數據通信安全方案

隨著(zhù)3G網(wǎng)絡(luò )業(yè)務(wù)的不斷普及，運營(yíng)商針對企業(yè)用戶(hù)對“3G移動(dòng)專(zhuān)用網(wǎng)”的需求推出了3G的VPDN(Virtual Private Dial-Network)業(yè)務(wù)，即：基于3G無(wú)線(xiàn)接入方式的虛擬專(zhuān)用撥號網(wǎng)業(yè)務(wù)，它是利用L2TP隧道傳輸協(xié)議，就可以在現有的撥號網(wǎng)絡(luò )上構建一條虛擬的、不受外界干擾的專(zhuān)用通道，從而實(shí)現類(lèi)似采用有線(xiàn)專(zhuān)用網(wǎng)絡(luò )的方式訪(fǎng)問(wèn)企業(yè)內部網(wǎng)資源。

數據通信設備廠(chǎng)商也及時(shí)推出了3G路由器來(lái)適應行業(yè)用戶(hù)的這個(gè)應用趨勢，企業(yè)網(wǎng)已經(jīng)進(jìn)入3G聯(lián)網(wǎng)時(shí)代。

當金融、政府這類(lèi)網(wǎng)點(diǎn)眾多，又擁有大量離行ATM接入、邊遠鄉鎮接入和移動(dòng)網(wǎng)點(diǎn)接入的需求的行業(yè)用戶(hù)，也把目光放到3G接入時(shí)，基于3G網(wǎng)絡(luò )開(kāi)展企業(yè)數據通信的安全性，成為這些對數據安全性要求較高的行業(yè)大規模應用3G網(wǎng)絡(luò )的最大障礙。

3G網(wǎng)絡(luò )數據通信應用概述

基于3G的數據通信應用有以下幾種組網(wǎng)模式：

1、訪(fǎng)問(wèn)internet

圖1 訪(fǎng)問(wèn)internet

3G路由器配置3G模塊，使用公用的APN名稱(chēng)、用戶(hù)名密碼，通過(guò)運營(yíng)商無(wú)線(xiàn)基站接入Internet網(wǎng)絡(luò )，配置NAT地址轉換功能，3G路由器內網(wǎng)PC通過(guò)3G網(wǎng)絡(luò )訪(fǎng)問(wèn)公網(wǎng)資源，如網(wǎng)頁(yè)瀏覽、公網(wǎng)郵箱、及時(shí)通信、網(wǎng)絡(luò )下載等資源。

2、Internet +VPN隧道

圖2 Internte +VPN隧道

3G路由器配置3G模塊，使用公用的APN名稱(chēng)、用戶(hù)名密碼，通過(guò)運用商無(wú)線(xiàn)基站接入Internet網(wǎng)絡(luò )，對于需要訪(fǎng)問(wèn)公網(wǎng)資源的數據流，經(jīng)過(guò)配置NAT地址轉換后直接與Internet進(jìn)行通訊。對于需要訪(fǎng)問(wèn)總部機構私網(wǎng)資源的數據流(如：公司VOIP語(yǔ)音電話(huà)、視頻會(huì )議系統、內部辦公OA系統等)，通過(guò)3G路由器與總部路由器建立的Ipsec VPN加密隧道進(jìn)行直接通信。

3、3G VPDN專(zhuān)網(wǎng)

圖3 3G VPDN專(zhuān)網(wǎng)

如上圖，為了保證企業(yè)大客戶(hù)3G接入網(wǎng)的業(yè)務(wù)安全需求，運營(yíng)商可向用戶(hù)提供專(zhuān)線(xiàn)APN(Access Point Name)傳輸方式，為用戶(hù)提供專(zhuān)用的接入點(diǎn)名稱(chēng)，并可提供用戶(hù)名、密碼、IMSI的多重安全認證功能。LNS為用戶(hù)總部端設備(路由器、VPN設備)通過(guò)專(zhuān)線(xiàn)與運營(yíng)商網(wǎng)絡(luò )互連，分支網(wǎng)點(diǎn)的3G路由器配置3G模塊，使用企業(yè)申請的專(zhuān)用APN名稱(chēng)、用戶(hù)名密碼接入3G網(wǎng)絡(luò )，運營(yíng)商通過(guò)APN名稱(chēng)或用戶(hù)名密碼判斷該用戶(hù)為企業(yè)專(zhuān)網(wǎng)用戶(hù)后，交由LAC設備觸發(fā)與用戶(hù)端LNS設備的L2TP 認證協(xié)商，并最終由LNS設備為分支網(wǎng)點(diǎn)3G路由器分配私網(wǎng)IP地址，實(shí)現與分支網(wǎng)點(diǎn)與總部私網(wǎng)的專(zhuān)線(xiàn)互通。

基于3G VPDN專(zhuān)網(wǎng)是運營(yíng)商為行業(yè)用戶(hù)主推的模式，本文將著(zhù)重分析基于3G VPDN專(zhuān)網(wǎng)應用的安全部署問(wèn)題，首先看看3G無(wú)線(xiàn)有哪些安全機制。

3G無(wú)線(xiàn)安全簡(jiǎn)介

無(wú)線(xiàn)通信本身的特點(diǎn)是，既容易讓合法用戶(hù)接入，也容易被潛在的非法用戶(hù)竊取，因此，安全問(wèn)題總是同移動(dòng)通信網(wǎng)絡(luò )密切相關(guān)。

針對無(wú)線(xiàn)通信存在的安全問(wèn)題，3G系統進(jìn)行了如下優(yōu)化：

1. 實(shí)現了雙向認證。不但提供基站對MS的認證，也提供了MS對基站的認證，可有效防止偽基站攻擊。

2. 提供了接入鏈路信令數據的完整性保護。

3. 密鑰長(cháng)度增加為128 bit，改進(jìn)了算法。

4. 3GPP接入鏈路數據加密延伸至無(wú)線(xiàn)接入控制器(RNC)。

5. 3G的安全機制還具有可拓展性，為將來(lái)引入新業(yè)務(wù)提供安全保護措施。

6. 3G能向用戶(hù)提供安全可視性操作，用戶(hù)可隨時(shí)查看自己所用的安全模式及安全級別。

7. 在密鑰長(cháng)度、加密算法選定、鑒別機制和數據完整性檢驗等方面，3G的安全性能遠遠優(yōu)于2G。

但是3G的這些安全機制僅僅局限于無(wú)線(xiàn)部分，針對基于3G接入的無(wú)線(xiàn)企業(yè)網(wǎng)而言，無(wú)線(xiàn)部分的安全是遠遠不夠的，需要保證數據在整個(gè)傳輸過(guò)程中的安全性，即端到端的安全性。

3G路由器接入安全部署探討

隨著(zhù)3G數據通信應用的發(fā)展，業(yè)界專(zhuān)業(yè)的數據通信廠(chǎng)家推出了3G安全路由器，能夠很好的解決3G網(wǎng)絡(luò )數據安全傳輸問(wèn)題。下面以3G安全路由器在金融離行ATM應用為例做一個(gè)分析。

圖4 3G接入

如上圖所示，金融離行ATM網(wǎng)點(diǎn)使用3G 路由器無(wú)線(xiàn)接入3G無(wú)線(xiàn)網(wǎng)絡(luò )，通過(guò)運營(yíng)商3G無(wú)線(xiàn)基站及IP核心網(wǎng)連接金融一級或二級網(wǎng)匯聚路由器，實(shí)現了離行ATM與金融一級網(wǎng)或二級網(wǎng)的業(yè)務(wù)互訪(fǎng)。

根據應用模式，3G接入安全部署基于以下幾點(diǎn)考慮：

接入認證安全

要求在進(jìn)行3G網(wǎng)絡(luò )登錄時(shí)，提供基于用戶(hù)名、密碼、IMSI(international mobile subscriber identity, 國際移動(dòng)用戶(hù)識別碼)的多重身份認證綁定功能，保證接入用戶(hù)的唯一性，防止非法用戶(hù)利用3G網(wǎng)絡(luò )接入用戶(hù)專(zhuān)用網(wǎng)絡(luò )。

端到端的私有性

為了保證用戶(hù)業(yè)務(wù)的私密性，必須要求解決方案從網(wǎng)點(diǎn)3G路由器到金融、政府行業(yè)一級或二級網(wǎng)匯聚路由器提供端到端的私有專(zhuān)用通道，以保證網(wǎng)點(diǎn)業(yè)務(wù)在運營(yíng)商網(wǎng)絡(luò )傳輸過(guò)程中的私有性。

端到端的安全加密

為了進(jìn)一步保證網(wǎng)點(diǎn)業(yè)務(wù)數據在運營(yíng)商3G無(wú)線(xiàn)網(wǎng)絡(luò )以及IP核心網(wǎng)傳輸過(guò)程中的安全，防止黑客利用其他非法手段截取金融、政府等行業(yè)敏感數據，要求安全解決方案必須提供網(wǎng)點(diǎn)3G路由器到金融、政府行業(yè)一級或二級網(wǎng)匯聚路由器端到端的加密安全。特別是金融和政府此類(lèi)信息敏感行業(yè)，這種加密安全更需要國密辦加密算法的支持，以保障國家信息安全的高度機密性。

上一頁(yè) 1 2 下一頁(yè)