基于3G网络的企业数据通信安全方案

随着3G网络业务的不断普及，运营商针对企业用户对“3G移动专用网”的需求推出了3G的VPDN(Virtual Private Dial-Network)业务，即：基于3G无线接入方式的虚拟专用拨号网业务，它是利用L2TP隧道传输协议，就可以在现有的拨号网络上构建一条虚拟的、不受外界干扰的专用通道，从而实现类似采用有线专用网络的方式访问企业内部网资源。

数据通信设备厂商也及时推出了3G路由器来适应行业用户的这个应用趋势，企业网已经进入3G联网时代。

当金融、政府这类网点众多，又拥有大量离行ATM接入、边远乡镇接入和移动网点接入的需求的行业用户，也把目光放到3G接入时，基于3G网络开展企业数据通信的安全性，成为这些对数据安全性要求较高的行业大规模应用3G网络的最大障碍。

3G网络数据通信应用概述

基于3G的数据通信应用有以下几种组网模式：

1、访问internet

图1 访问internet

3G路由器配置3G模块，使用公用的APN名称、用户名密码，通过运营商无线基站接入Internet网络，配置NAT地址转换功能，3G路由器内网PC通过3G网络访问公网资源，如网页浏览、公网邮箱、及时通信、网络下载等资源。

2、Internet +VPN隧道

图2 Internte +VPN隧道

3G路由器配置3G模块，使用公用的APN名称、用户名密码，通过运用商无线基站接入Internet网络，对于需要访问公网资源的数据流，经过配置NAT地址转换后直接与Internet进行通讯。对于需要访问总部机构私网资源的数据流(如：公司VOIP语音电话、视频会议系统、内部办公OA系统等)，通过3G路由器与总部路由器建立的Ipsec VPN加密隧道进行直接通信。

3、3G VPDN专网

图3 3G VPDN专网

如上图，为了保证企业大客户3G接入网的业务安全需求，运营商可向用户提供专线APN(Access Point Name)传输方式，为用户提供专用的接入点名称，并可提供用户名、密码、IMSI的多重安全认证功能。LNS为用户总部端设备(路由器、VPN设备)通过专线与运营商网络互连，分支网点的3G路由器配置3G模块，使用企业申请的专用APN名称、用户名密码接入3G网络，运营商通过APN名称或用户名密码判断该用户为企业专网用户后，交由LAC设备触发与用户端LNS设备的L2TP 认证协商，并最终由LNS设备为分支网点3G路由器分配私网IP地址，实现与分支网点与总部私网的专线互通。

基于3G VPDN专网是运营商为行业用户主推的模式，本文将着重分析基于3G VPDN专网应用的安全部署问题，首先看看3G无线有哪些安全机制。

3G无线安全简介

无线通信本身的特点是，既容易让合法用户接入，也容易被潜在的非法用户窃取，因此，安全问题总是同移动通信网络密切相关。

针对无线通信存在的安全问题，3G系统进行了如下优化：

1. 实现了双向认证。不但提供基站对MS的认证，也提供了MS对基站的认证，可有效防止伪基站攻击。

2. 提供了接入链路信令数据的完整性保护。

3. 密钥长度增加为128 bit，改进了算法。

4. 3GPP接入链路数据加密延伸至无线接入控制器(RNC)。

5. 3G的安全机制还具有可拓展性，为将来引入新业务提供安全保护措施。

6. 3G能向用户提供安全可视性操作，用户可随时查看自己所用的安全模式及安全级别。

7. 在密钥长度、加密算法选定、鉴别机制和数据完整性检验等方面，3G的安全性能远远优于2G。

但是3G的这些安全机制仅仅局限于无线部分，针对基于3G接入的无线企业网而言，无线部分的安全是远远不够的，需要保证数据在整个传输过程中的安全性，即端到端的安全性。

3G路由器接入安全部署探讨

随着3G数据通信应用的发展，业界专业的数据通信厂家推出了3G安全路由器，能够很好的解决3G网络数据安全传输问题。下面以3G安全路由器在金融离行ATM应用为例做一个分析。

图4 3G接入

如上图所示，金融离行ATM网点使用3G 路由器无线接入3G无线网络，通过运营商3G无线基站及IP核心网连接金融一级或二级网汇聚路由器，实现了离行ATM与金融一级网或二级网的业务互访。

根据应用模式，3G接入安全部署基于以下几点考虑：

接入认证安全

要求在进行3G网络登录时，提供基于用户名、密码、IMSI(international mobile subscriber identity, 国际移动用户识别码)的多重身份认证绑定功能，保证接入用户的唯一性，防止非法用户利用3G网络接入用户专用网络。

端到端的私有性

为了保证用户业务的私密性，必须要求解决方案从网点3G路由器到金融、政府行业一级或二级网汇聚路由器提供端到端的私有专用通道，以保证网点业务在运营商网络传输过程中的私有性。

端到端的安全加密

为了进一步保证网点业务数据在运营商3G无线网络以及IP核心网传输过程中的安全，防止黑客利用其他非法手段截取金融、政府等行业敏感数据，要求安全解决方案必须提供网点3G路由器到金融、政府行业一级或二级网汇聚路由器端到端的加密安全。特别是金融和政府此类信息敏感行业，这种加密安全更需要国密办加密算法的支持，以保障国家信息安全的高度机密性。

上一页 1 2 下一页