基于3G網(wǎng)絡(luò)的企業(yè)數(shù)據(jù)通信安全方案

圖5 3G接入安全部署

3G路由器安全接入解決方案

圖6 3G安全接入解決方案

如上圖所示，網(wǎng)點的3G安全接入部署方案，分別通過專有APN+綁定接入認證、L2TP私有隧道、IPSEC安全加密技術(shù)來實現(xiàn)3G部署時對接入認證、端到端的私有性、端到端安全加密的安全原則，具體部署方案如下：

專有APN+綁定接入認證

在進行網(wǎng)點的3G無線接入部署時，需要先向運營商申請分配的專網(wǎng)APN(Access Point Name，類似行業(yè)專用的3G無線局域網(wǎng)，保證網(wǎng)點接入3G網(wǎng)絡(luò)后，只能訪問行業(yè)專用網(wǎng)絡(luò)，保證無法與其他網(wǎng)絡(luò)進行通信)。網(wǎng)點采用3G路由器接入，運營商會將網(wǎng)點用戶的IMSI信息(IMSI是在運營商網(wǎng)絡(luò)中唯一識別一個移動用戶的號碼，由15位數(shù)字組成，存于SIM卡中)、終端用戶的賬號和密碼事先配置在運營商認證服務器上。當網(wǎng)點的3G路由器發(fā)起無線連接時，只允許綁定信息合法的用戶通過用戶名、密碼的AAA認證后接入3G專用網(wǎng)絡(luò)，防止非法SIM卡用戶撥入用戶3G專網(wǎng)。

此外，可進一步通過3G路由器設(shè)置SIM卡的PIN碼保護功能，只有知道SIM卡的PIN密碼才能觸發(fā)3G撥號，防止非法用戶獲取到用戶SIM卡后進行的非法操作，保證了SIM卡的使用安全。

L2TP+IPSEC VPN私有隧道

為了保證3G接入網(wǎng)點的數(shù)據(jù)業(yè)務在運營商IP核心網(wǎng)中傳輸?shù)牡乃接行?，用戶向運營商申請企業(yè)集團用戶3G的VPDN業(yè)務，基于3G無線接入方式的虛擬專用撥號網(wǎng)業(yè)務，它是利用安全的L2TP隧道傳輸協(xié)議，就可以在現(xiàn)有的撥號網(wǎng)絡(luò)上構(gòu)建一條虛擬的、不受外界干擾的專用通道，從而安全訪問企業(yè)內(nèi)部網(wǎng)資源。

運營商會為行業(yè)用戶的3G VPDN業(yè)務提供L2TP的LAC端路由器及配套的AAA服務器。金融、政府行業(yè)一級網(wǎng)或二級網(wǎng)匯聚層采用一臺路由器作為L2TP的LNS端，并部署一臺AAA服務器。LAC路由器主要負責對3G用戶的接入認證，與該用戶所屬企業(yè)的專有LNS建立L2TP隧道。金融、政府行業(yè)一級網(wǎng)或二級網(wǎng)匯聚的AAA服務器主要存放網(wǎng)點路由器建立連接時所需要的用戶名和密碼。用戶名的格式為XX@XX.COM，其中@前面的字符串可以由用戶端自行定義，@后面的字符串即域名。運營商AAA服務器通過域名確認該用戶的接入權(quán)限。運營商AAA服務器與企業(yè)AAA服務器的用戶名和密碼必須一致。

L2TP私有隧道建立過程如下：

網(wǎng)點路由器通過3G網(wǎng)絡(luò)在完成對接入用戶的APN認證后，路由器啟動PPP撥號向LAC發(fā)出認證請求。

LAC把認證請求轉(zhuǎn)至運營商LAC AAA服務器。

AAA服務器將會回復認證結(jié)果并返回該用戶所屬的LNS地址、VPDN隧道屬性等信息。

LAC向返回的LNS地址發(fā)出L2TP隧道建立請求，隧道建立成功(請求建立隧道的認證可選)。

LNS對網(wǎng)點路由器的用戶名和密碼進行重新認證(LNS對網(wǎng)點路由器的重認證可選)。

L2TP隧道建立完成。網(wǎng)點路由器對應的撥號接口UP，建立正常私有隧道通信。

如果網(wǎng)點發(fā)起了能夠觸發(fā)IPSEC VPN的流量，則IPSEC VPN隧道建立過程啟動。網(wǎng)點路由器與LNS發(fā)起IPSEC VPN連接請求。

圖7 加密隧道建立過程

IPSEC安全加密

圖8 IPSEC安全加密

針對端到端的安全加密原則， 如前文所述，3G技術(shù)有自身的加密驗證技術(shù)，但是3G的加密驗證技術(shù)只針對無線部分，而在IP核心網(wǎng)部分，從LAC到LNS之間的L2TP隧道是不加密的，數(shù)據(jù)還是明文傳送。而從LAC到網(wǎng)絡(luò)中間還有可能經(jīng)過運營商的IP網(wǎng)絡(luò)，為了達到端到端的加密傳輸，需要在網(wǎng)點和總部路由器之間，采用IPSEC 實現(xiàn)端到端的加密，如圖8所示：

IPSEC通過AH、ESP協(xié)議保證了數(shù)據(jù)的安全傳輸：

私有性：用戶的敏感數(shù)據(jù)以密文形式傳送

完整性：對接收的數(shù)據(jù)進行驗證，判斷數(shù)據(jù)是否被篡改

真實性：驗證數(shù)據(jù)源，判斷數(shù)據(jù)來自真實的發(fā)送者

防重放：防止惡意用戶通過重復發(fā)送捕獲到的數(shù)據(jù)包所進行的攻擊，即接收方會拒絕舊的或重復的數(shù)據(jù)包。

按照IPSEC VPN技術(shù)要求支持的加密算法主要有： DES、DES、AES128、AES192、AES256等 ，要求支持的HASH算法為MD5和SHA等。此外，擁有國家商用密碼管理辦公室頒發(fā)的商用密碼產(chǎn)品資質(zhì)的設(shè)備商，除了常見的加密算法外，還能夠為金融、政府行業(yè)用戶的3G接入提供符合國密辦加密算法支持，并遵照國密辦IPSEC VPN技術(shù)規(guī)范要求對路由器進行設(shè)計，能進一步確保國家信息安全。

結(jié)束語

3G技術(shù)宣告企業(yè)網(wǎng)進入無線聯(lián)網(wǎng)時代，更加完善的網(wǎng)絡(luò)安全有利于基于3G接入的無線企業(yè)網(wǎng)真正得到規(guī)模應用。在信息安全已經(jīng)上升到國家戰(zhàn)略的今天，如何在通信技術(shù)不斷發(fā)展的情況下，始終維持一個相稱的、可控的安全機制，也將是一個持續(xù)討論下去的話題。相信在政府和國內(nèi)民族企業(yè)的推動下，堅持中國人建設(shè)自己的安全網(wǎng)絡(luò)，牢牢把握住信息安全競爭中的主動權(quán)，3G網(wǎng)絡(luò)在企業(yè)數(shù)據(jù)通信應用中將得到蓬勃發(fā)展。