基于3G網(wǎng)絡(luò)的企業(yè)數(shù)據(jù)通信安全方案
隨著3G網(wǎng)絡(luò)業(yè)務(wù)的不斷普及,運營商針對企業(yè)用戶對“3G移動專用網(wǎng)”的需求推出了3G的VPDN(Virtual Private Dial-Network)業(yè)務(wù),即:基于3G無線接入方式的虛擬專用撥號網(wǎng)業(yè)務(wù),它是利用L2TP隧道傳輸協(xié)議,就可以在現(xiàn)有的撥號網(wǎng)絡(luò)上構(gòu)建一條虛擬的、不受外界干擾的專用通道,從而實現(xiàn)類似采用有線專用網(wǎng)絡(luò)的方式訪問企業(yè)內(nèi)部網(wǎng)資源。
本文引用地址:http://cafeforensic.com/article/154129.htm數(shù)據(jù)通信設(shè)備廠商也及時推出了3G路由器來適應(yīng)行業(yè)用戶的這個應(yīng)用趨勢,企業(yè)網(wǎng)已經(jīng)進入3G聯(lián)網(wǎng)時代。
當金融、政府這類網(wǎng)點眾多,又擁有大量離行ATM接入、邊遠鄉(xiāng)鎮(zhèn)接入和移動網(wǎng)點接入的需求的行業(yè)用戶,也把目光放到3G接入時,基于3G網(wǎng)絡(luò)開展企業(yè)數(shù)據(jù)通信的安全性,成為這些對數(shù)據(jù)安全性要求較高的行業(yè)大規(guī)模應(yīng)用3G網(wǎng)絡(luò)的最大障礙。
3G網(wǎng)絡(luò)數(shù)據(jù)通信應(yīng)用概述
基于3G的數(shù)據(jù)通信應(yīng)用有以下幾種組網(wǎng)模式:
1、訪問internet
圖1 訪問internet
3G路由器配置3G模塊,使用公用的APN名稱、用戶名密碼,通過運營商無線基站接入Internet網(wǎng)絡(luò),配置NAT地址轉(zhuǎn)換功能,3G路由器內(nèi)網(wǎng)PC通過3G網(wǎng)絡(luò)訪問公網(wǎng)資源,如網(wǎng)頁瀏覽、公網(wǎng)郵箱、及時通信、網(wǎng)絡(luò)下載等資源。
2、Internet +VPN隧道
圖2 Internte +VPN隧道
3G路由器配置3G模塊,使用公用的APN名稱、用戶名密碼,通過運用商無線基站接入Internet網(wǎng)絡(luò),對于需要訪問公網(wǎng)資源的數(shù)據(jù)流,經(jīng)過配置NAT地址轉(zhuǎn)換后直接與Internet進行通訊。對于需要訪問總部機構(gòu)私網(wǎng)資源的數(shù)據(jù)流(如:公司VOIP語音電話、視頻會議系統(tǒng)、內(nèi)部辦公OA系統(tǒng)等),通過3G路由器與總部路由器建立的Ipsec VPN加密隧道進行直接通信。
3、3G VPDN專網(wǎng)
圖3 3G VPDN專網(wǎng)
如上圖,為了保證企業(yè)大客戶3G接入網(wǎng)的業(yè)務(wù)安全需求,運營商可向用戶提供專線APN(Access Point Name)傳輸方式,為用戶提供專用的接入點名稱,并可提供用戶名、密碼、IMSI的多重安全認證功能。LNS為用戶總部端設(shè)備(路由器、VPN設(shè)備)通過專線與運營商網(wǎng)絡(luò)互連,分支網(wǎng)點的3G路由器配置3G模塊,使用企業(yè)申請的專用APN名稱、用戶名密碼接入3G網(wǎng)絡(luò),運營商通過APN名稱或用戶名密碼判斷該用戶為企業(yè)專網(wǎng)用戶后,交由LAC設(shè)備觸發(fā)與用戶端LNS設(shè)備的L2TP 認證協(xié)商,并最終由LNS設(shè)備為分支網(wǎng)點3G路由器分配私網(wǎng)IP地址,實現(xiàn)與分支網(wǎng)點與總部私網(wǎng)的專線互通。
基于3G VPDN專網(wǎng)是運營商為行業(yè)用戶主推的模式,本文將著重分析基于3G VPDN專網(wǎng)應(yīng)用的安全部署問題,首先看看3G無線有哪些安全機制。
3G無線安全簡介
無線通信本身的特點是,既容易讓合法用戶接入,也容易被潛在的非法用戶竊取,因此,安全問題總是同移動通信網(wǎng)絡(luò)密切相關(guān)。
針對無線通信存在的安全問題,3G系統(tǒng)進行了如下優(yōu)化:
1. 實現(xiàn)了雙向認證。不但提供基站對MS的認證,也提供了MS對基站的認證,可有效防止偽基站攻擊。
2. 提供了接入鏈路信令數(shù)據(jù)的完整性保護。
3. 密鑰長度增加為128 bit,改進了算法。
4. 3GPP接入鏈路數(shù)據(jù)加密延伸至無線接入控制器(RNC)。
5. 3G的安全機制還具有可拓展性,為將來引入新業(yè)務(wù)提供安全保護措施。
6. 3G能向用戶提供安全可視性操作,用戶可隨時查看自己所用的安全模式及安全級別。
7. 在密鑰長度、加密算法選定、鑒別機制和數(shù)據(jù)完整性檢驗等方面,3G的安全性能遠遠優(yōu)于2G。
但是3G的這些安全機制僅僅局限于無線部分,針對基于3G接入的無線企業(yè)網(wǎng)而言,無線部分的安全是遠遠不夠的,需要保證數(shù)據(jù)在整個傳輸過程中的安全性,即端到端的安全性。
3G路由器接入安全部署探討
隨著3G數(shù)據(jù)通信應(yīng)用的發(fā)展,業(yè)界專業(yè)的數(shù)據(jù)通信廠家推出了3G安全路由器,能夠很好的解決3G網(wǎng)絡(luò)數(shù)據(jù)安全傳輸問題。下面以3G安全路由器在金融離行ATM應(yīng)用為例做一個分析。
圖4 3G接入
如上圖所示,金融離行ATM網(wǎng)點使用3G 路由器無線接入3G無線網(wǎng)絡(luò),通過運營商3G無線基站及IP核心網(wǎng)連接金融一級或二級網(wǎng)匯聚路由器,實現(xiàn)了離行ATM與金融一級網(wǎng)或二級網(wǎng)的業(yè)務(wù)互訪。
根據(jù)應(yīng)用模式,3G接入安全部署基于以下幾點考慮:
接入認證安全
要求在進行3G網(wǎng)絡(luò)登錄時,提供基于用戶名、密碼、IMSI(international mobile subscriber identity, 國際移動用戶識別碼)的多重身份認證綁定功能,保證接入用戶的唯一性,防止非法用戶利用3G網(wǎng)絡(luò)接入用戶專用網(wǎng)絡(luò)。
端到端的私有性
為了保證用戶業(yè)務(wù)的私密性,必須要求解決方案從網(wǎng)點3G路由器到金融、政府行業(yè)一級或二級網(wǎng)匯聚路由器提供端到端的私有專用通道,以保證網(wǎng)點業(yè)務(wù)在運營商網(wǎng)絡(luò)傳輸過程中的私有性。
端到端的安全加密
為了進一步保證網(wǎng)點業(yè)務(wù)數(shù)據(jù)在運營商3G無線網(wǎng)絡(luò)以及IP核心網(wǎng)傳輸過程中的安全,防止黑客利用其他非法手段截取金融、政府等行業(yè)敏感數(shù)據(jù),要求安全解決方案必須提供網(wǎng)點3G路由器到金融、政府行業(yè)一級或二級網(wǎng)匯聚路由器端到端的加密安全。特別是金融和政府此類信息敏感行業(yè),這種加密安全更需要國密辦加密算法的支持,以保障國家信息安全的高度機密性。
評論