隨著運營商對3G的投入不斷增加,,其業(yè)務成熟度及信號服務質(zhì)量也將會不斷增強,。應運而生的3G路由器憑借其強大的靈活部署能力,、低廉的線路成本,、不斷加強的帶寬在多個行業(yè)得到了廣泛應用,,但是隨之而來的安全擔憂也從未間斷,。本文從3G安全機制,、3G網(wǎng)絡在數(shù)據(jù)通信中的應用,、3G路由器安全部署原則和3G路由器安全部署方案,,詳細闡述了基于3G網(wǎng)絡開展企業(yè)數(shù)據(jù)通信應用的安全解決思路,。
前言
3G即第三代移動通信技術,,是指支持高速數(shù)據(jù)傳輸?shù)姆涓C移動通訊技術,。目前3G存在四種標準:CDMA2000,WCDMA,,TD-SCDMA,,WiMAX。國內(nèi)三大運營商支持情況如下:
電信:CDMA2000,,可達3.1Mbps,;
移動:TD-SCDMA,2.8Mbps,;
聯(lián)通:WCDMA,,可達7.2Mbps。
如銀行這樣的企業(yè)用戶在傳統(tǒng)的有線模式下,,無法滿足離行ATM,、移動網(wǎng)點靈活部署的需求,主要是無長期固定地點,,受地域和有線網(wǎng)絡限制無法靈活部署,,且業(yè)務量也小租賃專線的成本過高,,存在著高速無線的需求,而3G無線部署是目前最好的解決方案,。
隨著3G網(wǎng)絡業(yè)務的不斷普及,,運營商針對企業(yè)用戶對“3G移動專用網(wǎng)”的需求推出了3G的VPDN(Virtual Private Dial-Network)業(yè)務,即:基于3G無線接入方式的虛擬專用撥號網(wǎng)業(yè)務,,它是利用L2TP隧道傳輸協(xié)議,,就可以在現(xiàn)有的撥號網(wǎng)絡上構建一條虛擬的、不受外界干擾的專用通道,,從而實現(xiàn)類似采用有線專用網(wǎng)絡的方式訪問企業(yè)內(nèi)部網(wǎng)資源,。
數(shù)據(jù)通信設備廠商也及時推出了3G路由器來適應行業(yè)用戶的這個應用趨勢,企業(yè)網(wǎng)已經(jīng)進入3G聯(lián)網(wǎng)時代,。
當金融,、政府這類網(wǎng)點眾多,又擁有大量離行ATM接入,、邊遠鄉(xiāng)鎮(zhèn)接入和移動網(wǎng)點接入的需求的行業(yè)用戶,,也把目光放到3G接入時,基于3G網(wǎng)絡開展企業(yè)數(shù)據(jù)通信的安全性,,成為這些對數(shù)據(jù)安全性要求較高的行業(yè)大規(guī)模應用3G網(wǎng)絡的最大障礙,。
3G網(wǎng)絡數(shù)據(jù)通信應用概述
基于3G的數(shù)據(jù)通信應用有以下幾種組網(wǎng)模式:
1、訪問internet
圖1 訪問internet
3G路由器配置3G模塊,,使用公用的APN名稱,、用戶名密碼,通過運營商無線基站接入Internet網(wǎng)絡,,配置NAT地址轉換功能,,3G路由器內(nèi)網(wǎng)PC通過3G網(wǎng)絡訪問公網(wǎng)資源,如網(wǎng)頁瀏覽,、公網(wǎng)郵箱,、及時通信、網(wǎng)絡下載等資源,。
2,、Internet +VPN隧道
圖2 Internte +VPN隧道
3G路由器配置3G模塊,使用公用的APN名稱,、用戶名密碼,,通過運用商無線基站接入Internet網(wǎng)絡,對于需要訪問公網(wǎng)資源的數(shù)據(jù)流,,經(jīng)過配置NAT地址轉換后直接與Internet進行通訊,。對于需要訪問總部機構私網(wǎng)資源的數(shù)據(jù)流(如:公司VOIP語音電話、視頻會議系統(tǒng),、內(nèi)部辦公OA系統(tǒng)等),,通過3G路由器與總部路由器建立的Ipsec VPN加密隧道進行直接通信,。
3、3G VPDN專網(wǎng)
圖3 3G VPDN專網(wǎng)
如上圖,,為了保證企業(yè)大客戶3G接入網(wǎng)的業(yè)務安全需求,,運營商可向用戶提供專線APN(Access Point Name)傳輸方式,為用戶提供專用的接入點名稱,,并可提供用戶名,、密碼、IMSI的多重安全認證功能,。LNS為用戶總部端設備(路由器,、VPN設備)通過專線與運營商網(wǎng)絡互連,分支網(wǎng)點的3G路由器配置3G模塊,,使用企業(yè)申請的專用APN名稱,、用戶名密碼接入3G網(wǎng)絡,運營商通過APN名稱或用戶名密碼判斷該用戶為企業(yè)專網(wǎng)用戶后,,交由LAC設備觸發(fā)與用戶端LNS設備的L2TP 認證協(xié)商,,并最終由LNS設備為分支網(wǎng)點3G路由器分配私網(wǎng)IP地址,實現(xiàn)與分支網(wǎng)點與總部私網(wǎng)的專線互通,。
基于3G VPDN專網(wǎng)是運營商為行業(yè)用戶主推的模式,,本文將著重分析基于3G VPDN專網(wǎng)應用的安全部署問題,首先看看3G無線有哪些安全機制,。
3G無線安全簡介
無線通信本身的特點是,,既容易讓合法用戶接入,,也容易被潛在的非法用戶竊取,,因此,安全問題總是同移動通信網(wǎng)絡密切相關,。
針對無線通信存在的安全問題,,3G系統(tǒng)進行了如下優(yōu)化:
1. 實現(xiàn)了雙向認證。不但提供基站對MS的認證,,也提供了MS對基站的認證,,可有效防止偽基站攻擊。
2. 提供了接入鏈路信令數(shù)據(jù)的完整性保護,。
3. 密鑰長度增加為128 bit,,改進了算法。
4. 3GPP接入鏈路數(shù)據(jù)加密延伸至無線接入控制器(RNC),。
5. 3G的安全機制還具有可拓展性,,為將來引入新業(yè)務提供安全保護措施。
6. 3G能向用戶提供安全可視性操作,,用戶可隨時查看自己所用的安全模式及安全級別,。
7. 在密鑰長度,、加密算法選定、鑒別機制和數(shù)據(jù)完整性檢驗等方面,,3G的安全性能遠遠優(yōu)于2G,。
但是3G的這些安全機制僅僅局限于無線部分,針對基于3G接入的無線企業(yè)網(wǎng)而言,,無線部分的安全是遠遠不夠的,,需要保證數(shù)據(jù)在整個傳輸過程中的安全性,即端到端的安全性,。
3G路由器接入安全部署探討
隨著3G數(shù)據(jù)通信應用的發(fā)展,,業(yè)界專業(yè)的數(shù)據(jù)通信廠家推出了3G安全路由器,能夠很好的解決3G網(wǎng)絡數(shù)據(jù)安全傳輸問題,。下面以3G安全路由器在金融離行ATM應用為例做一個分析,。
圖4 3G接入
如上圖所示,金融離行ATM網(wǎng)點使用3G 路由器無線接入3G無線網(wǎng)絡,,通過運營商3G無線基站及IP核心網(wǎng)連接金融一級或二級網(wǎng)匯聚路由器,,實現(xiàn)了離行ATM與金融一級網(wǎng)或二級網(wǎng)的業(yè)務互訪。
根據(jù)應用模式,,3G接入安全部署基于以下幾點考慮:
接入認證安全
要求在進行3G網(wǎng)絡登錄時,,提供基于用戶名、密碼,、IMSI(international mobile subscriber identity, 國際移動用戶識別碼)的多重身份認證綁定功能,,保證接入用戶的唯一性,防止非法用戶利用3G網(wǎng)絡接入用戶專用網(wǎng)絡,。
端到端的私有性
為了保證用戶業(yè)務的私密性,,必須要求解決方案從網(wǎng)點3G路由器到金融、政府行業(yè)一級或二級網(wǎng)匯聚路由器提供端到端的私有專用通道,,以保證網(wǎng)點業(yè)務在運營商網(wǎng)絡傳輸過程中的私有性,。
端到端的安全加密
為了進一步保證網(wǎng)點業(yè)務數(shù)據(jù)在運營商3G無線網(wǎng)絡以及IP核心網(wǎng)傳輸過程中的安全,防止黑客利用其他非法手段截取金融,、政府等行業(yè)敏感數(shù)據(jù),,要求安全解決方案必須提供網(wǎng)點3G路由器到金融、政府行業(yè)一級或二級網(wǎng)匯聚路由器端到端的加密安全,。特別是金融和政府此類信息敏感行業(yè),,這種加密安全更需要國密辦加密算法的支持,以保障國家信息安全的高度機密性,。
圖5 3G接入安全部署
3G路由器安全接入解決方案
圖6 3G安全接入解決方案
如上圖所示,,網(wǎng)點的3G安全接入部署方案,分別通過專有APN+綁定接入認證、L2TP私有隧道,、IPSEC安全加密技術來實現(xiàn)3G部署時對接入認證,、端到端的私有性、端到端安全加密的安全原則,,具體部署方案如下:
專有APN+綁定接入認證
在進行網(wǎng)點的3G無線接入部署時,,需要先向運營商申請分配的專網(wǎng)APN(Access Point Name,類似行業(yè)專用的3G無線局域網(wǎng),,保證網(wǎng)點接入3G網(wǎng)絡后,,只能訪問行業(yè)專用網(wǎng)絡,保證無法與其他網(wǎng)絡進行通信),。網(wǎng)點采用3G路由器接入,,運營商會將網(wǎng)點用戶的IMSI信息(IMSI是在運營商網(wǎng)絡中唯一識別一個移動用戶的號碼,由15位數(shù)字組成,,存于SIM卡中),、終端用戶的賬號和密碼事先配置在運營商認證服務器上。當網(wǎng)點的3G路由器發(fā)起無線連接時,,只允許綁定信息合法的用戶通過用戶名,、密碼的AAA認證后接入3G專用網(wǎng)絡,防止非法SIM卡用戶撥入用戶3G專網(wǎng),。
此外,,可進一步通過3G路由器設置SIM卡的PIN碼保護功能,只有知道SIM卡的PIN密碼才能觸發(fā)3G撥號,,防止非法用戶獲取到用戶SIM卡后進行的非法操作,,保證了SIM卡的使用安全。
L2TP+IPSEC VPN私有隧道
為了保證3G接入網(wǎng)點的數(shù)據(jù)業(yè)務在運營商IP核心網(wǎng)中傳輸?shù)牡乃接行?,用戶向運營商申請企業(yè)集團用戶3G的VPDN業(yè)務,,基于3G無線接入方式的虛擬專用撥號網(wǎng)業(yè)務,它是利用安全的L2TP隧道傳輸協(xié)議,,就可以在現(xiàn)有的撥號網(wǎng)絡上構建一條虛擬的,、不受外界干擾的專用通道,,從而安全訪問企業(yè)內(nèi)部網(wǎng)資源,。
運營商會為行業(yè)用戶的3G VPDN業(yè)務提供L2TP的LAC端路由器及配套的AAA服務器。金融,、政府行業(yè)一級網(wǎng)或二級網(wǎng)匯聚層采用一臺路由器作為L2TP的LNS端,,并部署一臺AAA服務器。LAC路由器主要負責對3G用戶的接入認證,,與該用戶所屬企業(yè)的專有LNS建立L2TP隧道,。金融、政府行業(yè)一級網(wǎng)或二級網(wǎng)匯聚的AAA服務器主要存放網(wǎng)點路由器建立連接時所需要的用戶名和密碼。用戶名的格式為[email protected],,其中@前面的字符串可以由用戶端自行定義,,@后面的字符串即域名。運營商AAA服務器通過域名確認該用戶的接入權限,。運營商AAA服務器與企業(yè)AAA服務器的用戶名和密碼必須一致,。
L2TP私有隧道建立過程如下:
網(wǎng)點路由器通過3G網(wǎng)絡在完成對接入用戶的APN認證后,路由器啟動PPP撥號向LAC發(fā)出認證請求,。
LAC把認證請求轉至運營商LAC AAA服務器,。
AAA服務器將會回復認證結果并返回該用戶所屬的LNS地址、VPDN隧道屬性等信息,。
LAC向返回的LNS地址發(fā)出L2TP隧道建立請求,,隧道建立成功(請求建立隧道的認證可選)。
LNS對網(wǎng)點路由器的用戶名和密碼進行重新認證(LNS對網(wǎng)點路由器的重認證可選),。
L2TP隧道建立完成,。網(wǎng)點路由器對應的撥號接口UP,建立正常私有隧道通信,。
如果網(wǎng)點發(fā)起了能夠觸發(fā)IPSEC VPN的流量,,則IPSEC VPN隧道建立過程啟動。網(wǎng)點路由器與LNS發(fā)起IPSEC VPN連接請求,。
圖7 加密隧道建立過程
IPSEC安全加密
圖8 IPSEC安全加密
針對端到端的安全加密原則,,如前文所述,3G技術有自身的加密驗證技術,,但是3G的加密驗證技術只針對無線部分,,而在IP核心網(wǎng)部分,從LAC到LNS之間的L2TP隧道是不加密的,,數(shù)據(jù)還是明文傳送,。而從LAC到網(wǎng)絡中間還有可能經(jīng)過運營商的IP網(wǎng)絡,為了達到端到端的加密傳輸,,需要在網(wǎng)點和總部路由器之間,,采用IPSEC 實現(xiàn)端到端的加密,如圖8所示:
IPSEC通過AH,、ESP協(xié)議保證了數(shù)據(jù)的安全傳輸:
私有性:用戶的敏感數(shù)據(jù)以密文形式傳送
完整性:對接收的數(shù)據(jù)進行驗證,,判斷數(shù)據(jù)是否被篡改
真實性:驗證數(shù)據(jù)源,判斷數(shù)據(jù)來自真實的發(fā)送者
防重放:防止惡意用戶通過重復發(fā)送捕獲到的數(shù)據(jù)包所進行的攻擊,,即接收方會拒絕舊的或重復的數(shù)據(jù)包,。
按照IPSEC VPN技術要求支持的加密算法主要有: DES、DES,、AES128,、AES192、AES256等,要求支持的HASH算法為MD5和SHA等,。此外,,擁有國家商用密碼管理辦公室頒發(fā)的商用密碼產(chǎn)品資質(zhì)的設備商,除了常見的加密算法外,,還能夠為金融,、政府行業(yè)用戶的3G接入提供符合國密辦加密算法支持,并遵照國密辦IPSEC VPN技術規(guī)范要求對路由器進行設計,,能進一步確保國家信息安全,。
結束語
3G技術宣告企業(yè)網(wǎng)進入無線聯(lián)網(wǎng)時代,更加完善的網(wǎng)絡安全有利于基于3G接入的無線企業(yè)網(wǎng)真正得到規(guī)模應用,。在信息安全已經(jīng)上升到國家戰(zhàn)略的今天,,如何在通信技術不斷發(fā)展的情況下,始終維持一個相稱的,、可控的安全機制,,也將是一個持續(xù)討論下去的話題。相信在政府和國內(nèi)民族企業(yè)的推動下,,堅持中國人建設自己的安全網(wǎng)絡,,牢牢把握住信息安全競爭中的主動權,3G網(wǎng)絡在企業(yè)數(shù)據(jù)通信應用中將得到蓬勃發(fā)展,。