基于3G網絡的企業數據通信安全方案
加入技術交流群
如上圖所示,網點的3G安全接入部署方案,分別通過專有APN+綁定接入認證、L2TP私有隧道、IPSEC安全加密技術來實現3G部署時對接入認證、端到端的私有性、端到端安全加密的安全原則,具體部署方案如下:
專有APN+綁定接入認證
在進行網點的3G無線接入部署時,需要先向運營商申請分配的專網APN(Access Point Name,類似行業專用的3G無線局域網,保證網點接入3G網絡后,只能訪問行業專用網絡,保證無法與其他網絡進行通信)。網點采用3G路由器接入,運營商會將網點用戶的IMSI信息(IMSI是在運營商網絡中唯一識別一個移動用戶的號碼,由15位數字組成,存于SIM卡中)、終端用戶的賬號和密碼事先配置在運營商認證服務器上。當網點的3G路由器發起無線連接時,只允許綁定信息合法的用戶通過用戶名、密碼的AAA認證后接入3G專用網絡,防止非法SIM卡用戶撥入用戶3G專網。
此外,可進一步通過3G路由器設置SIM卡的PIN碼保護功能,只有知道SIM卡的PIN密碼才能觸發3G撥號,防止非法用戶獲取到用戶SIM卡后進行的非法操作,保證了SIM卡的使用安全。
L2TP+IPSEC VPN私有隧道
為了保證3G接入網點的數據業務在運營商IP核心網中傳輸的的私有性,用戶向運營商申請企業集團用戶3G的VPDN業務,基于3G無線接入方式的虛擬專用撥號網業務,它是利用安全的L2TP隧道傳輸協議,就可以在現有的撥號網絡上構建一條虛擬的、不受外界干擾的專用通道,從而安全訪問企業內部網資源。
運營商會為行業用戶的3G VPDN業務提供L2TP的LAC端路由器及配套的AAA服務器。金融、政府行業一級網或二級網匯聚層采用一臺路由器作為L2TP的LNS端,并部署一臺AAA服務器。LAC路由器主要負責對3G用戶的接入認證,與該用戶所屬企業的專有LNS建立L2TP隧道。金融、政府行業一級網或二級網匯聚的AAA服務器主要存放網點路由器建立連接時所需要的用戶名和密碼。用戶名的格式為XX@XX.COM,其中@前面的字符串可以由用戶端自行定義,@后面的字符串即域名。運營商AAA服務器通過域名確認該用戶的接入權限。運營商AAA服務器與企業AAA服務器的用戶名和密碼必須一致。
L2TP私有隧道建立過程如下:
網點路由器通過3G網絡在完成對接入用戶的APN認證后,路由器啟動PPP撥號向LAC發出認證請求。
LAC把認證請求轉至運營商LAC AAA服務器。
AAA服務器將會回復認證結果并返回該用戶所屬的LNS地址、VPDN隧道屬性等信息。
LAC向返回的LNS地址發出L2TP隧道建立請求,隧道建立成功(請求建立隧道的認證可選)。
LNS對網點路由器的用戶名和密碼進行重新認證(LNS對網點路由器的重認證可選)。
L2TP隧道建立完成。網點路由器對應的撥號接口UP,建立正常私有隧道通信。
如果網點發起了能夠觸發IPSEC VPN的流量,則IPSEC VPN隧道建立過程啟動。網點路由器與LNS發起IPSEC VPN連接請求。
圖7 加密隧道建立過程
IPSEC安全加密
圖8 IPSEC安全加密
針對端到端的安全加密原則, 如前文所述,3G技術有自身的加密驗證技術,但是3G的加密驗證技術只針對無線部分,而在IP核心網部分,從LAC到LNS之間的L2TP隧道是不加密的,數據還是明文傳送。而從LAC到網絡中間還有可能經過運營商的IP網絡,為了達到端到端的加密傳輸,需要在網點和總部路由器之間,采用IPSEC 實現端到端的加密,如圖8所示:
IPSEC通過AH、ESP協議保證了數據的安全傳輸:
私有性:用戶的敏感數據以密文形式傳送
完整性:對接收的數據進行驗證,判斷數據是否被篡改
真實性:驗證數據源,判斷數據來自真實的發送者
防重放:防止惡意用戶通過重復發送捕獲到的數據包所進行的攻擊,即接收方會拒絕舊的或重復的數據包。
按照IPSEC VPN技術要求支持的加密算法主要有: DES、DES、AES128、AES192、AES256等 ,要求支持的HASH算法為MD5和SHA等。此外,擁有國家商用密碼管理辦公室頒發的商用密碼產品資質的設備商,除了常見的加密算法外,還能夠為金融、政府行業用戶的3G接入提供符合國密辦加密算法支持,并遵照國密辦IPSEC VPN技術規范要求對路由器進行設計,能進一步確保國家信息安全。
結束語
3G技術宣告企業網進入無線聯網時代,更加完善的網絡安全有利于基于3G接入的無線企業網真正得到規模應用。在信息安全已經上升到國家戰略的今天,如何在通信技術不斷發展的情況下,始終維持一個相稱的、可控的安全機制,也將是一個持續討論下去的話題。相信在政府和國內民族企業的推動下,堅持中國人建設自己的安全網絡,牢牢把握住信息安全競爭中的主動權,3G網絡在企業數據通信應用中將得到蓬勃發展。
評論