基于3G網絡的企業(yè)數據通信安全方案

隨著3G網絡業(yè)務的不斷普及，運營商針對企業(yè)用戶對“3G移動專用網”的需求推出了3G的VPDN(Virtual Private Dial-Network)業(yè)務，即：基于3G無線接入方式的虛擬專用撥號網業(yè)務，它是利用L2TP隧道傳輸協議，就可以在現有的撥號網絡上構建一條虛擬的、不受外界干擾的專用通道，從而實現類似采用有線專用網絡的方式訪問企業(yè)內部網資源。

數據通信設備廠商也及時推出了3G路由器來適應行業(yè)用戶的這個應用趨勢，企業(yè)網已經進入3G聯網時代。

當金融、政府這類網點眾多，又擁有大量離行ATM接入、邊遠鄉(xiāng)鎮(zhèn)接入和移動網點接入的需求的行業(yè)用戶，也把目光放到3G接入時，基于3G網絡開展企業(yè)數據通信的安全性，成為這些對數據安全性要求較高的行業(yè)大規(guī)模應用3G網絡的最大障礙。

3G網絡數據通信應用概述

基于3G的數據通信應用有以下幾種組網模式：

1、訪問internet

圖1 訪問internet

3G路由器配置3G模塊，使用公用的APN名稱、用戶名密碼，通過運營商無線基站接入Internet網絡，配置NAT地址轉換功能，3G路由器內網PC通過3G網絡訪問公網資源，如網頁瀏覽、公網郵箱、及時通信、網絡下載等資源。

2、Internet +VPN隧道

圖2 Internte +VPN隧道

3G路由器配置3G模塊，使用公用的APN名稱、用戶名密碼，通過運用商無線基站接入Internet網絡，對于需要訪問公網資源的數據流，經過配置NAT地址轉換后直接與Internet進行通訊。對于需要訪問總部機構私網資源的數據流(如：公司VOIP語音電話、視頻會議系統(tǒng)、內部辦公OA系統(tǒng)等)，通過3G路由器與總部路由器建立的Ipsec VPN加密隧道進行直接通信。

3、3G VPDN專網

圖3 3G VPDN專網

如上圖，為了保證企業(yè)大客戶3G接入網的業(yè)務安全需求，運營商可向用戶提供專線APN(Access Point Name)傳輸方式，為用戶提供專用的接入點名稱，并可提供用戶名、密碼、IMSI的多重安全認證功能。LNS為用戶總部端設備(路由器、VPN設備)通過專線與運營商網絡互連，分支網點的3G路由器配置3G模塊，使用企業(yè)申請的專用APN名稱、用戶名密碼接入3G網絡，運營商通過APN名稱或用戶名密碼判斷該用戶為企業(yè)專網用戶后，交由LAC設備觸發(fā)與用戶端LNS設備的L2TP 認證協商，并最終由LNS設備為分支網點3G路由器分配私網IP地址，實現與分支網點與總部私網的專線互通。

基于3G VPDN專網是運營商為行業(yè)用戶主推的模式，本文將著重分析基于3G VPDN專網應用的安全部署問題，首先看看3G無線有哪些安全機制。

3G無線安全簡介

無線通信本身的特點是，既容易讓合法用戶接入，也容易被潛在的非法用戶竊取，因此，安全問題總是同移動通信網絡密切相關。

針對無線通信存在的安全問題，3G系統(tǒng)進行了如下優(yōu)化：

1. 實現了雙向認證。不但提供基站對MS的認證，也提供了MS對基站的認證，可有效防止偽基站攻擊。

2. 提供了接入鏈路信令數據的完整性保護。

3. 密鑰長度增加為128 bit，改進了算法。

4. 3GPP接入鏈路數據加密延伸至無線接入控制器(RNC)。

5. 3G的安全機制還具有可拓展性，為將來引入新業(yè)務提供安全保護措施。

6. 3G能向用戶提供安全可視性操作，用戶可隨時查看自己所用的安全模式及安全級別。

7. 在密鑰長度、加密算法選定、鑒別機制和數據完整性檢驗等方面，3G的安全性能遠遠優(yōu)于2G。

但是3G的這些安全機制僅僅局限于無線部分，針對基于3G接入的無線企業(yè)網而言，無線部分的安全是遠遠不夠的，需要保證數據在整個傳輸過程中的安全性，即端到端的安全性。

3G路由器接入安全部署探討

隨著3G數據通信應用的發(fā)展，業(yè)界專業(yè)的數據通信廠家推出了3G安全路由器，能夠很好的解決3G網絡數據安全傳輸問題。下面以3G安全路由器在金融離行ATM應用為例做一個分析。

圖4 3G接入

如上圖所示，金融離行ATM網點使用3G 路由器無線接入3G無線網絡，通過運營商3G無線基站及IP核心網連接金融一級或二級網匯聚路由器，實現了離行ATM與金融一級網或二級網的業(yè)務互訪。

根據應用模式，3G接入安全部署基于以下幾點考慮：

接入認證安全

要求在進行3G網絡登錄時，提供基于用戶名、密碼、IMSI(international mobile subscriber identity, 國際移動用戶識別碼)的多重身份認證綁定功能，保證接入用戶的唯一性，防止非法用戶利用3G網絡接入用戶專用網絡。

端到端的私有性

為了保證用戶業(yè)務的私密性，必須要求解決方案從網點3G路由器到金融、政府行業(yè)一級或二級網匯聚路由器提供端到端的私有專用通道，以保證網點業(yè)務在運營商網絡傳輸過程中的私有性。

端到端的安全加密

為了進一步保證網點業(yè)務數據在運營商3G無線網絡以及IP核心網傳輸過程中的安全，防止黑客利用其他非法手段截取金融、政府等行業(yè)敏感數據，要求安全解決方案必須提供網點3G路由器到金融、政府行業(yè)一級或二級網匯聚路由器端到端的加密安全。特別是金融和政府此類信息敏感行業(yè)，這種加密安全更需要國密辦加密算法的支持，以保障國家信息安全的高度機密性。

上一頁 1 2 下一頁