當(dāng)前位置:首頁 > 通信技術(shù) > 通信技術(shù)
[導(dǎo)讀]隨著3G網(wǎng)絡(luò)業(yè)務(wù)的不斷普及,運(yùn)營商針對企業(yè)用戶對“3G移動專用網(wǎng)”的需求推出了3G的VPDN(Virtual Private Dial-Network)業(yè)務(wù),即:基于3G無線接入方式的虛擬專用撥號網(wǎng)業(yè)務(wù),它是利用L2TP隧道傳輸協(xié)議,就

隨著3G網(wǎng)絡(luò)業(yè)務(wù)的不斷普及,運(yùn)營商針對企業(yè)用戶對“3G移動專用網(wǎng)”的需求推出了3G的VPDN(Virtual Private Dial-Network)業(yè)務(wù),即:基于3G無線接入方式的虛擬專用撥號網(wǎng)業(yè)務(wù),它是利用L2TP隧道傳輸協(xié)議,就可以在現(xiàn)有的撥號網(wǎng)絡(luò)上構(gòu)建一條虛擬的、不受外界干擾的專用通道,從而實(shí)現(xiàn)類似采用有線專用網(wǎng)絡(luò)的方式訪問企業(yè)內(nèi)部網(wǎng)資源。

數(shù)據(jù)通信設(shè)備廠商也及時推出了3G路由器來適應(yīng)行業(yè)用戶的這個應(yīng)用趨勢,企業(yè)網(wǎng)已經(jīng)進(jìn)入3G聯(lián)網(wǎng)時代。

當(dāng)金融、政府這類網(wǎng)點(diǎn)眾多,又擁有大量離行ATM接入、邊遠(yuǎn)鄉(xiāng)鎮(zhèn)接入和移動網(wǎng)點(diǎn)接入的需求的行業(yè)用戶,也把目光放到3G接入時,基于3G網(wǎng)絡(luò)開展企業(yè)數(shù)據(jù)通信的安全性,成為這些對數(shù)據(jù)安全性要求較高的行業(yè)大規(guī)模應(yīng)用3G網(wǎng)絡(luò)的最大障礙。

3G網(wǎng)絡(luò)數(shù)據(jù)通信應(yīng)用概述

基于3G的數(shù)據(jù)通信應(yīng)用有以下幾種組網(wǎng)模式:

1、訪問internet

圖1 訪問internet

3G路由器配置3G模塊,使用公用的APN名稱、用戶名密碼,通過運(yùn)營商無線基站接入Internet網(wǎng)絡(luò),配置NAT地址轉(zhuǎn)換功能,3G路由器內(nèi)網(wǎng)PC通過3G網(wǎng)絡(luò)訪問公網(wǎng)資源,如網(wǎng)頁瀏覽、公網(wǎng)郵箱、及時通信、網(wǎng)絡(luò)下載等資源。

2、Internet +VPN隧道

圖2 Internte +VPN隧道

3G路由器配置3G模塊,使用公用的APN名稱、用戶名密碼,通過運(yùn)用商無線基站接入Internet網(wǎng)絡(luò),對于需要訪問公網(wǎng)資源的數(shù)據(jù)流,經(jīng)過配置NAT地址轉(zhuǎn)換后直接與Internet進(jìn)行通訊。對于需要訪問總部機(jī)構(gòu)私網(wǎng)資源的數(shù)據(jù)流(如:公司VOIP語音電話、視頻會議系統(tǒng)、內(nèi)部辦公OA系統(tǒng)等),通過3G路由器與總部路由器建立的Ipsec VPN加密隧道進(jìn)行直接通信。

3、3G VPDN專網(wǎng)

圖3 3G VPDN專網(wǎng)

如上圖,為了保證企業(yè)大客戶3G接入網(wǎng)的業(yè)務(wù)安全需求,運(yùn)營商可向用戶提供專線APN(Access Point Name)傳輸方式,為用戶提供專用的接入點(diǎn)名稱,并可提供用戶名、密碼、IMSI的多重安全認(rèn)證功能。LNS為用戶總部端設(shè)備(路由器、VPN設(shè)備)通過專線與運(yùn)營商網(wǎng)絡(luò)互連,分支網(wǎng)點(diǎn)的3G路由器配置3G模塊,使用企業(yè)申請的專用APN名稱、用戶名密碼接入3G網(wǎng)絡(luò),運(yùn)營商通過APN名稱或用戶名密碼判斷該用戶為企業(yè)專網(wǎng)用戶后,交由LAC設(shè)備觸發(fā)與用戶端LNS設(shè)備的L2TP 認(rèn)證協(xié)商,并最終由LNS設(shè)備為分支網(wǎng)點(diǎn)3G路由器分配私網(wǎng)IP地址,實(shí)現(xiàn)與分支網(wǎng)點(diǎn)與總部私網(wǎng)的專線互通。

基于3G VPDN專網(wǎng)是運(yùn)營商為行業(yè)用戶主推的模式,本文將著重分析基于3G VPDN專網(wǎng)應(yīng)用的安全部署問題,首先看看3G無線有哪些安全機(jī)制。

3G無線安全簡介

無線通信本身的特點(diǎn)是,既容易讓合法用戶接入,也容易被潛在的非法用戶竊取,因此,安全問題總是同移動通信網(wǎng)絡(luò)密切相關(guān)。

針對無線通信存在的安全問題,3G系統(tǒng)進(jìn)行了如下優(yōu)化:

1. 實(shí)現(xiàn)了雙向認(rèn)證。不但提供基站對MS的認(rèn)證,也提供了MS對基站的認(rèn)證,可有效防止偽基站攻擊。

2. 提供了接入鏈路信令數(shù)據(jù)的完整性保護(hù)。

3. 密鑰長度增加為128 bit,改進(jìn)了算法。

4. 3GPP接入鏈路數(shù)據(jù)加密延伸至無線接入控制器(RNC)。

5. 3G的安全機(jī)制還具有可拓展性,為將來引入新業(yè)務(wù)提供安全保護(hù)措施。

6. 3G能向用戶提供安全可視性操作,用戶可隨時查看自己所用的安全模式及安全級別。

7. 在密鑰長度、加密算法選定、鑒別機(jī)制和數(shù)據(jù)完整性檢驗(yàn)等方面,3G的安全性能遠(yuǎn)遠(yuǎn)優(yōu)于2G。

但是3G的這些安全機(jī)制僅僅局限于無線部分,針對基于3G接入的無線企業(yè)網(wǎng)而言,無線部分的安全是遠(yuǎn)遠(yuǎn)不夠的,需要保證數(shù)據(jù)在整個傳輸過程中的安全性,即端到端的安全性。

3G路由器接入安全部署探討

隨著3G數(shù)據(jù)通信應(yīng)用的發(fā)展,業(yè)界專業(yè)的數(shù)據(jù)通信廠家推出了3G安全路由器,能夠很好的解決3G網(wǎng)絡(luò)數(shù)據(jù)安全傳輸問題。下面以3G安全路由器在金融離行ATM應(yīng)用為例做一個分析。

圖4 3G接入

如上圖所示,金融離行ATM網(wǎng)點(diǎn)使用3G 路由器無線接入3G無線網(wǎng)絡(luò),通過運(yùn)營商3G無線基站及IP核心網(wǎng)連接金融一級或二級網(wǎng)匯聚路由器,實(shí)現(xiàn)了離行ATM與金融一級網(wǎng)或二級網(wǎng)的業(yè)務(wù)互訪。

根據(jù)應(yīng)用模式,3G接入安全部署基于以下幾點(diǎn)考慮:

接入認(rèn)證安全

要求在進(jìn)行3G網(wǎng)絡(luò)登錄時,提供基于用戶名、密碼、IMSI(international mobile subscriber identity, 國際移動用戶識別碼)的多重身份認(rèn)證綁定功能,保證接入用戶的唯一性,防止非法用戶利用3G網(wǎng)絡(luò)接入用戶專用網(wǎng)絡(luò)。

端到端的私有性

為了保證用戶業(yè)務(wù)的私密性,必須要求解決方案從網(wǎng)點(diǎn)3G路由器到金融、政府行業(yè)一級或二級網(wǎng)匯聚路由器提供端到端的私有專用通道,以保證網(wǎng)點(diǎn)業(yè)務(wù)在運(yùn)營商網(wǎng)絡(luò)傳輸過程中的私有性。

端到端的安全加密

為了進(jìn)一步保證網(wǎng)點(diǎn)業(yè)務(wù)數(shù)據(jù)在運(yùn)營商3G無線網(wǎng)絡(luò)以及IP核心網(wǎng)傳輸過程中的安全,防止黑客利用其他非法手段截取金融、政府等行業(yè)敏感數(shù)據(jù),要求安全解決方案必須提供網(wǎng)點(diǎn)3G路由器到金融、政府行業(yè)一級或二級網(wǎng)匯聚路由器端到端的加密安全。特別是金融和政府此類信息敏感行業(yè),這種加密安全更需要國密辦加密算法的支持,以保障國家信息安全的高度機(jī)密性。

圖5 3G接入安全部署

3G路由器安全接入解決方案

圖6 3G安全接入解決方案

如上圖所示,網(wǎng)點(diǎn)的3G安全接入部署方案,分別通過專有APN+綁定接入認(rèn)證、L2TP私有隧道、IPSEC安全加密技術(shù)來實(shí)現(xiàn)3G部署時對接入認(rèn)證、端到端的私有性、端到端安全加密的安全原則,具體部署方案如下:

專有APN+綁定接入認(rèn)證

在進(jìn)行網(wǎng)點(diǎn)的3G無線接入部署時,需要先向運(yùn)營商申請分配的專網(wǎng)APN(Access Point Name,類似行業(yè)專用的3G無線局域網(wǎng),保證網(wǎng)點(diǎn)接入3G網(wǎng)絡(luò)后,只能訪問行業(yè)專用網(wǎng)絡(luò),保證無法與其他網(wǎng)絡(luò)進(jìn)行通信)。網(wǎng)點(diǎn)采用3G路由器接入,運(yùn)營商會將網(wǎng)點(diǎn)用戶的IMSI信息(IMSI是在運(yùn)營商網(wǎng)絡(luò)中唯一識別一個移動用戶的號碼,由15位數(shù)字組成,存于SIM卡中)、終端用戶的賬號和密碼事先配置在運(yùn)營商認(rèn)證服務(wù)器上。當(dāng)網(wǎng)點(diǎn)的3G路由器發(fā)起無線連接時,只允許綁定信息合法的用戶通過用戶名、密碼的AAA認(rèn)證后接入3G專用網(wǎng)絡(luò),防止非法SIM卡用戶撥入用戶3G專網(wǎng)。

此外,可進(jìn)一步通過3G路由器設(shè)置SIM卡的PIN碼保護(hù)功能,只有知道SIM卡的PIN密碼才能觸發(fā)3G撥號,防止非法用戶獲取到用戶SIM卡后進(jìn)行的非法操作,保證了SIM卡的使用安全。

L2TP+IPSEC VPN私有隧道

為了保證3G接入網(wǎng)點(diǎn)的數(shù)據(jù)業(yè)務(wù)在運(yùn)營商IP核心網(wǎng)中傳輸?shù)牡乃接行?,用戶向運(yùn)營商申請企業(yè)集團(tuán)用戶3G的VPDN業(yè)務(wù),基于3G無線接入方式的虛擬專用撥號網(wǎng)業(yè)務(wù),它是利用安全的L2TP隧道傳輸協(xié)議,就可以在現(xiàn)有的撥號網(wǎng)絡(luò)上構(gòu)建一條虛擬的、不受外界干擾的專用通道,從而安全訪問企業(yè)內(nèi)部網(wǎng)資源。

運(yùn)營商會為行業(yè)用戶的3G VPDN業(yè)務(wù)提供L2TP的LAC端路由器及配套的AAA服務(wù)器。金融、政府行業(yè)一級網(wǎng)或二級網(wǎng)匯聚層采用一臺路由器作為L2TP的LNS端,并部署一臺AAA服務(wù)器。LAC路由器主要負(fù)責(zé)對3G用戶的接入認(rèn)證,與該用戶所屬企業(yè)的專有LNS建立L2TP隧道。金融、政府行業(yè)一級網(wǎng)或二級網(wǎng)匯聚的AAA服務(wù)器主要存放網(wǎng)點(diǎn)路由器建立連接時所需要的用戶名和密碼。用戶名的格式為XX@XX.COM,其中@前面的字符串可以由用戶端自行定義,@后面的字符串即域名。運(yùn)營商AAA服務(wù)器通過域名確認(rèn)該用戶的接入權(quán)限。運(yùn)營商AAA服務(wù)器與企業(yè)AAA服務(wù)器的用戶名和密碼必須一致。

L2TP私有隧道建立過程如下:

網(wǎng)點(diǎn)路由器通過3G網(wǎng)絡(luò)在完成對接入用戶的APN認(rèn)證后,路由器啟動PPP撥號向LAC發(fā)出認(rèn)證請求。

LAC把認(rèn)證請求轉(zhuǎn)至運(yùn)營商LAC AAA服務(wù)器。

AAA服務(wù)器將會回復(fù)認(rèn)證結(jié)果并返回該用戶所屬的LNS地址、VPDN隧道屬性等信息。

LAC向返回的LNS地址發(fā)出L2TP隧道建立請求,隧道建立成功(請求建立隧道的認(rèn)證可選)。

LNS對網(wǎng)點(diǎn)路由器的用戶名和密碼進(jìn)行重新認(rèn)證(LNS對網(wǎng)點(diǎn)路由器的重認(rèn)證可選)。

L2TP隧道建立完成。網(wǎng)點(diǎn)路由器對應(yīng)的撥號接口UP,建立正常私有隧道通信。

如果網(wǎng)點(diǎn)發(fā)起了能夠觸發(fā)IPSEC VPN的流量,則IPSEC VPN隧道建立過程啟動。網(wǎng)點(diǎn)路由器與LNS發(fā)起IPSEC VPN連接請求。

圖7 加密隧道建立過程

IPSEC安全加密

圖8 IPSEC安全加密

針對端到端的安全加密原則, 如前文所述,3G技術(shù)有自身的加密驗(yàn)證技術(shù),但是3G的加密驗(yàn)證技術(shù)只針對無線部分,而在IP核心網(wǎng)部分,從LAC到LNS之間的L2TP隧道是不加密的,數(shù)據(jù)還是明文傳送。而從LAC到網(wǎng)絡(luò)中間還有可能經(jīng)過運(yùn)營商的IP網(wǎng)絡(luò),為了達(dá)到端到端的加密傳輸,需要在網(wǎng)點(diǎn)和總部路由器之間,采用IPSEC 實(shí)現(xiàn)端到端的加密,如圖8所示:

IPSEC通過AH、ESP協(xié)議保證了數(shù)據(jù)的安全傳輸:

私有性:用戶的敏感數(shù)據(jù)以密文形式傳送

完整性:對接收的數(shù)據(jù)進(jìn)行驗(yàn)證,判斷數(shù)據(jù)是否被篡改

真實(shí)性:驗(yàn)證數(shù)據(jù)源,判斷數(shù)據(jù)來自真實(shí)的發(fā)送者

防重放:防止惡意用戶通過重復(fù)發(fā)送捕獲到的數(shù)據(jù)包所進(jìn)行的攻擊,即接收方會拒絕舊的或重復(fù)的數(shù)據(jù)包。

按照IPSEC VPN技術(shù)要求支持的加密算法主要有: DES、DES、AES128、AES192、AES256等 ,要求支持的HASH算法為MD5和SHA等。此外,擁有國家商用密碼管理辦公室頒發(fā)的商用密碼產(chǎn)品資質(zhì)的設(shè)備商,除了常見的加密算法外,還能夠?yàn)榻鹑凇⒄袠I(yè)用戶的3G接入提供符合國密辦加密算法支持,并遵照國密辦IPSEC VPN技術(shù)規(guī)范要求對路由器進(jìn)行設(shè)計,能進(jìn)一步確保國家信息安全。

結(jié)束語

3G技術(shù)宣告企業(yè)網(wǎng)進(jìn)入無線聯(lián)網(wǎng)時代,更加完善的網(wǎng)絡(luò)安全有利于基于3G接入的無線企業(yè)網(wǎng)真正得到規(guī)模應(yīng)用。在信息安全已經(jīng)上升到國家戰(zhàn)略的今天,如何在通信技術(shù)不斷發(fā)展的情況下,始終維持一個相稱的、可控的安全機(jī)制,也將是一個持續(xù)討論下去的話題。相信在政府和國內(nèi)民族企業(yè)的推動下,堅持中國人建設(shè)自己的安全網(wǎng)絡(luò),牢牢把握住信息安全競爭中的主動權(quán),3G網(wǎng)絡(luò)在企業(yè)數(shù)據(jù)通信應(yīng)用中將得到蓬勃發(fā)展。

 

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險,如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運(yùn)營商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學(xué)會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團(tuán))股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉