基于3G网络的企业数据通信安全方案
随着3g网络业务的不断普及,运营商针对企业用户对“3g移动专用网”的需求推出了3g的vpdn(virtual private dial-network)业务,即:基于3g无线接入方式的虚拟专用拨号网业务,它是利用l2tp隧道传输协议,就可以在现有的拨号网络上构建一条虚拟的、不受外界干扰的专用通道,从而实现类似采用有线专用网络的方式访问企业内部网资源。
数据通信设备厂商也及时推出了3g路由器来适应行业用户的这个应用趋势,企业网已经进入3g联网时代。
当金融、政府这类网点众多,又拥有大量离行atm接入、边远乡镇接入和移动网点接入的需求的行业用户,也把目光放到3g接入时,基于3g网络开展企业数据通信的安全性,成为这些对数据安全性要求较高的行业大规模应用3g网络的最大障碍。
3g网络数据通信应用概述
基于3g的数据通信应用有以下几种组网模式:
1、访问internet
图1 访问internet
3g路由器配置3g模块,使用公用的apn名称、用户名密码,通过运营商无线基站接入internet网络,配置nat地址转换功能,3g路由器内网pc通过3g网络访问公网资源,如网页浏览、公网邮箱、及时通信、网络下载等资源。
2、internet +vpn隧道
图2 internte +vpn隧道
3g路由器配置3g模块,使用公用的apn名称、用户名密码,通过运用商无线基站接入internet网络,对于需要访问公网资源的数据流,经过配置nat地址转换后直接与internet进行通讯。对于需要访问总部机构私网资源的数据流(如:公司voip语音电话、视频会议系统、内部办公oa系统等),通过3g路由器与总部路由器建立的ipsec vpn加密隧道进行直接通信。
3、3g vpdn专网
图3 3g vpdn专网
如上图,为了保证企业大客户3g接入网的业务安全需求,运营商可向用户提供专线apn(access point name)传输方式,为用户提供专用的接入点名称,并可提供用户名、密码、imsi的多重安全认证功能。lns为用户总部端设备(路由器、vpn设备)通过专线与运营商网络互连,分支网点的3g路由器配置3g模块,使用企业申请的专用apn名称、用户名密码接入3g网络,运营商通过apn名称或用户名密码判断该用户为企业专网用户后,交由lac设备触发与用户端lns设备的l2tp 认证协商,并最终由lns设备为分支网点3g路由器分配私网ip地址,实现与分支网点与总部私网的专线互通。
基于3g vpdn专网是运营商为行业用户主推的模式,本文将着重分析基于3g vpdn专网应用的安全部署问题,首先看看3g无线有哪些安全机制。
3g无线安全简介
无线通信本身的特点是,既容易让合法用户接入,也容易被潜在的非法用户窃取,因此,安全问题总是同移动通信网络密切相关。
针对无线通信存在的安全问题,3g系统进行了如下优化:
1. 实现了双向认证。不但提供基站对ms的认证,也提供了ms对基站的认证,可有效防止伪基站攻击。
2. 提供了接入链路信令数据的完整性保护。
3. 密钥长度增加为128 bit,改进了算法。
4. 3gpp接入链路数据加密延伸至无线接入控制器(rnc)。
5. 3g的安全机制还具有可拓展性,为将来引入新业务提供安全保护措施。
6. 3g能向用户提供安全可视性操作,用户可随时查看自己所用的安全模式及安全级别。
7. 在密钥长度、加密算法选定、鉴别机制和数据完整性检验等方面,3g的安全性能远远优于2g。
但是3g的这些安全机制仅仅局限于无线部分,针对基于3g接入的无线企业网而言,无线部分的安全是远远不够的,需要保证数据在整个传输过程中的安全性,即端到端的安全性。
3g路由器接入安全部署探讨
随着3g数据通信应用的发展,业界专业的数据通信厂家推出了3g安全路由器,能够很好的解决3g网络数据安全传输问题。下面以3g安全路由器在金融离行atm应用为例做一个分析。
图4 3g接入
如上图所示,金融离行atm网点使用3g 路由器无线接入3g无线网络,通过运营商3g无线基站及ip核心网连接金融一级或二级网汇聚路由器,实现了离行atm与金融一级网或二级网的业务互访。
根据应用模式,3g接入安全部署基于以下几点考虑:
接入认证安全
要求在进行3g网络登录时,提供基于用户名、密码、imsi(international mobile subscriber identity, 国际移动用户识别码)的多重身份认证绑定功能,保证接入用户的唯一性,防止非法用户利用3g网络接入用户专用网络。
端到端的私有性
为了保证用户业务的私密性,必须要求解决方案从网点3g路由器到金融、政府行业一级或二级网汇聚路由器提供端到端的私有专用通道,以保证网点业务在运营商网络传输过程中的私有性。
端到端的安全加密
为了进一步保证网点业务数据在运营商3g无线网络以及ip核心网传输过程中的安全,防止黑客利用其他非法手段截取金融、政府等行业敏感数据,要求安全解决方案必须提供网点3g路由器到金融、政府行业一级或二级网汇聚路由器端到端的加密安全。特别是金融和政府此类信息敏感行业,这种加密安全更需要国密办加密算法的支持,以保障国家信息安全的高度机密性。
3g路由器安全接入解决方案
图6 3g安全接入解决方案
如上图所示,网点的3g安全接入部署方案,分别通过专有apn+绑定接入认证、l2tp私有隧道、ipsec安全加密技术来实现3g部署时对接入认证、端到端的私有性、端到端安全加密的安全原则,具体部署方案如下:
专有apn+绑定接入认证
在进行网点的3g无线接入部署时,需要先向运营商申请分配的专网apn(access point name,类似行业专用的3g无线局域网,保证网点接入3g网络后,只能访问行业专用网络,保证无法与其他网络进行通信)。网点采用3g路由器接入,运营商会将网点用户的imsi信息(imsi是在运营商网络中唯一识别一个移动用户的号码,由15位数字组成,存于sim卡中)、终端用户的账号和密码事先配置在运营商认证服务器上。当网点的3g路由器发起无线连接时,只允许绑定信息合法的用户通过用户名、密码的aaa认证后接入3g专用网络,防止非法sim卡用户拨入用户3g专网。
此外,可进一步通过3g路由器设置sim卡的pin码保护功能,只有知道sim卡的pin密码才能触发3g拨号,防止非法用户获取到用户sim卡后进行的非法操作,保证了sim卡的使用安全。
l2tp+ipsec vpn私有隧道
为了保证3g接入网点的数据业务在运营商ip核心网中传输的的私有性,用户向运营商申请企业集团用户3g的vpdn业务,基于3g无线接入方式的虚拟专用拨号网业务,它是利用安全的l2tp隧道传输协议,就可以在现有的拨号网络上构建一条虚拟的、不受外界干扰的专用通道,从而安全访问企业内部网资源。
运营商会为行业用户的3g vpdn业务提供l2tp的lac端路由器及配套的aaa服务器。金融、政府行业一级网或二级网汇聚层采用一台路由器作为l2tp的lns端,并部署一台aaa服务器。lac路由器主要负责对3g用户的接入认证,与该用户所属企业的专有lns建立l2tp隧道。金融、政府行业一级网或二级网汇聚的aaa服务器主要存放网点路由器建立连接时所需要的用户名和密码。用户名的格式为xx@xx.com,其中@前面的字符串可以由用户端自行定义,@后面的字符串即域名。运营商aaa服务器通过域名确认该用户的接入权限。运营商aaa服务器与企业aaa服务器的用户名和密码必须一致。
l2tp私有隧道建立过程如下:
网点路由器通过3g网络在完成对接入用户的apn认证后,路由器启动ppp拨号向lac发出认证请求。
lac把认证请求转至运营商lac aaa服务器。
aaa服务器将会回复认证结果并返回该用户所属的lns地址、vpdn隧道属性等信息。
lac向返回的lns地址发出l2tp隧道建立请求,隧道建立成功(请求建立隧道的认证可选)。
lns对网点路由器的用户名和密码进行重新认证(lns对网点路由器的重认证可选)。
l2tp隧道建立完成。网点路由器对应的拨号接口up,建立正常私有隧道通信。
如果网点发起了能够触发ipsec vpn的流量,则ipsec vpn隧道建立过程启动。网点路由器与lns发起ipsec vpn连接请求。
图7 加密隧道建立过程
ipsec安全加密
图8 ipsec安全加密
针对端到端的安全加密原则, 如前文所述,3g技术有自身的加密验证技术,但是3g的加密验证技术只针对无线部分,而在ip核心网部分,从lac到lns之间的l2tp隧道是不加密的,数据还是明文传送。而从lac到网络中间还有可能经过运营商的ip网络,为了达到端到端的加密传输,需要在网点和总部路由器之间,采用ipsec 实现端到端的加密,如图8所示:
ipsec通过ah、esp协议保证了数据的安全传输:
私有性:用户的敏感数据以密文形式传送
完整性:对接收的数据进行验证,判断数据是否被篡改
真实性:验证数据源,判断数据来自真实的发送者
防重放:防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。
按照ipsec vpn技术要求支持的加密算法主要有: des、des、aes128、aes192、aes256等 ,要求支持的hash算法为md5和sha等。此外,拥有国家商用密码管理办公室颁发的商用密码产品资质的设备商,除了常见的加密算法外,还能够为金融、政府行业用户的3g接入提供符合国密办加密算法支持,并遵照国密办ipsec vpn技术规范要求对路由器进行设计,能进一步确保国家信息安全。
结束语
3g技术宣告企业网进入无线联网时代,更加完善的网络安全有利于基于3g接入的无线企业网真正得到规模应用。在信息安全已经上升到国家战略的今天,如何在通信技术不断发展的情况下,始终维持一个相称的、可控的安全机制,也将是一个持续讨论下去的话题。相信在政府和国内民族企业的推动下,坚持中国人建设自己的安全网络,牢牢把握住信息安全竞争中的主动权,3g网络在企业数据通信应用中将得到蓬勃发展。
FPGA的组成架构、类型及应用讲解
长江存储:3D NAND闪存获得第一笔订单,进入量产阶段
AMD 锐龙3600XT到底有何优势 能否称为“高端”
5G无线应用以三种方式解锁2019新技术时代
volatile变量定义的意义和该用在哪里
基于3G网络的企业数据通信安全方案
RISC-V内核RC遥控车拆解:空心杯电机+2.4G跳频控制,竟然可以“漂移”!
小米MIX2新机曝光!居然用一体化陶瓷机身!
谈谈被市场热捧“上天”的钙钛矿
MAX2163A 高度集成的调谐器IC,为ISDB-T 1段
意大利国际信息通讯技术及消费电子博览会Smau
电位计式位移传感器原理与应用简介
智能医疗 微软HoloLens化身视障者室内导航利器
实现新能源友好并网的关键技术:虚拟同步机
谷歌将开发能实现智能识别的手机芯片
华硕LCD屏幕销售告捷,占据日本市场第一
这波晶圆厂扩产浪潮对国产替代影响有多大?
全汉战神480电源评测:齐全线材 直指中高端
英特尔强推Ultrabook:Ultrabook=笔电未来?
浅谈一次性医疗连接器常用的4种接触互连技术
数据通信设备厂商也及时推出了3g路由器来适应行业用户的这个应用趋势,企业网已经进入3g联网时代。
当金融、政府这类网点众多,又拥有大量离行atm接入、边远乡镇接入和移动网点接入的需求的行业用户,也把目光放到3g接入时,基于3g网络开展企业数据通信的安全性,成为这些对数据安全性要求较高的行业大规模应用3g网络的最大障碍。
3g网络数据通信应用概述
基于3g的数据通信应用有以下几种组网模式:
1、访问internet
图1 访问internet
3g路由器配置3g模块,使用公用的apn名称、用户名密码,通过运营商无线基站接入internet网络,配置nat地址转换功能,3g路由器内网pc通过3g网络访问公网资源,如网页浏览、公网邮箱、及时通信、网络下载等资源。
2、internet +vpn隧道
图2 internte +vpn隧道
3g路由器配置3g模块,使用公用的apn名称、用户名密码,通过运用商无线基站接入internet网络,对于需要访问公网资源的数据流,经过配置nat地址转换后直接与internet进行通讯。对于需要访问总部机构私网资源的数据流(如:公司voip语音电话、视频会议系统、内部办公oa系统等),通过3g路由器与总部路由器建立的ipsec vpn加密隧道进行直接通信。
3、3g vpdn专网
图3 3g vpdn专网
如上图,为了保证企业大客户3g接入网的业务安全需求,运营商可向用户提供专线apn(access point name)传输方式,为用户提供专用的接入点名称,并可提供用户名、密码、imsi的多重安全认证功能。lns为用户总部端设备(路由器、vpn设备)通过专线与运营商网络互连,分支网点的3g路由器配置3g模块,使用企业申请的专用apn名称、用户名密码接入3g网络,运营商通过apn名称或用户名密码判断该用户为企业专网用户后,交由lac设备触发与用户端lns设备的l2tp 认证协商,并最终由lns设备为分支网点3g路由器分配私网ip地址,实现与分支网点与总部私网的专线互通。
基于3g vpdn专网是运营商为行业用户主推的模式,本文将着重分析基于3g vpdn专网应用的安全部署问题,首先看看3g无线有哪些安全机制。
3g无线安全简介
无线通信本身的特点是,既容易让合法用户接入,也容易被潜在的非法用户窃取,因此,安全问题总是同移动通信网络密切相关。
针对无线通信存在的安全问题,3g系统进行了如下优化:
1. 实现了双向认证。不但提供基站对ms的认证,也提供了ms对基站的认证,可有效防止伪基站攻击。
2. 提供了接入链路信令数据的完整性保护。
3. 密钥长度增加为128 bit,改进了算法。
4. 3gpp接入链路数据加密延伸至无线接入控制器(rnc)。
5. 3g的安全机制还具有可拓展性,为将来引入新业务提供安全保护措施。
6. 3g能向用户提供安全可视性操作,用户可随时查看自己所用的安全模式及安全级别。
7. 在密钥长度、加密算法选定、鉴别机制和数据完整性检验等方面,3g的安全性能远远优于2g。
但是3g的这些安全机制仅仅局限于无线部分,针对基于3g接入的无线企业网而言,无线部分的安全是远远不够的,需要保证数据在整个传输过程中的安全性,即端到端的安全性。
3g路由器接入安全部署探讨
随着3g数据通信应用的发展,业界专业的数据通信厂家推出了3g安全路由器,能够很好的解决3g网络数据安全传输问题。下面以3g安全路由器在金融离行atm应用为例做一个分析。
图4 3g接入
如上图所示,金融离行atm网点使用3g 路由器无线接入3g无线网络,通过运营商3g无线基站及ip核心网连接金融一级或二级网汇聚路由器,实现了离行atm与金融一级网或二级网的业务互访。
根据应用模式,3g接入安全部署基于以下几点考虑:
接入认证安全
要求在进行3g网络登录时,提供基于用户名、密码、imsi(international mobile subscriber identity, 国际移动用户识别码)的多重身份认证绑定功能,保证接入用户的唯一性,防止非法用户利用3g网络接入用户专用网络。
端到端的私有性
为了保证用户业务的私密性,必须要求解决方案从网点3g路由器到金融、政府行业一级或二级网汇聚路由器提供端到端的私有专用通道,以保证网点业务在运营商网络传输过程中的私有性。
端到端的安全加密
为了进一步保证网点业务数据在运营商3g无线网络以及ip核心网传输过程中的安全,防止黑客利用其他非法手段截取金融、政府等行业敏感数据,要求安全解决方案必须提供网点3g路由器到金融、政府行业一级或二级网汇聚路由器端到端的加密安全。特别是金融和政府此类信息敏感行业,这种加密安全更需要国密办加密算法的支持,以保障国家信息安全的高度机密性。
3g路由器安全接入解决方案
图6 3g安全接入解决方案
如上图所示,网点的3g安全接入部署方案,分别通过专有apn+绑定接入认证、l2tp私有隧道、ipsec安全加密技术来实现3g部署时对接入认证、端到端的私有性、端到端安全加密的安全原则,具体部署方案如下:
专有apn+绑定接入认证
在进行网点的3g无线接入部署时,需要先向运营商申请分配的专网apn(access point name,类似行业专用的3g无线局域网,保证网点接入3g网络后,只能访问行业专用网络,保证无法与其他网络进行通信)。网点采用3g路由器接入,运营商会将网点用户的imsi信息(imsi是在运营商网络中唯一识别一个移动用户的号码,由15位数字组成,存于sim卡中)、终端用户的账号和密码事先配置在运营商认证服务器上。当网点的3g路由器发起无线连接时,只允许绑定信息合法的用户通过用户名、密码的aaa认证后接入3g专用网络,防止非法sim卡用户拨入用户3g专网。
此外,可进一步通过3g路由器设置sim卡的pin码保护功能,只有知道sim卡的pin密码才能触发3g拨号,防止非法用户获取到用户sim卡后进行的非法操作,保证了sim卡的使用安全。
l2tp+ipsec vpn私有隧道
为了保证3g接入网点的数据业务在运营商ip核心网中传输的的私有性,用户向运营商申请企业集团用户3g的vpdn业务,基于3g无线接入方式的虚拟专用拨号网业务,它是利用安全的l2tp隧道传输协议,就可以在现有的拨号网络上构建一条虚拟的、不受外界干扰的专用通道,从而安全访问企业内部网资源。
运营商会为行业用户的3g vpdn业务提供l2tp的lac端路由器及配套的aaa服务器。金融、政府行业一级网或二级网汇聚层采用一台路由器作为l2tp的lns端,并部署一台aaa服务器。lac路由器主要负责对3g用户的接入认证,与该用户所属企业的专有lns建立l2tp隧道。金融、政府行业一级网或二级网汇聚的aaa服务器主要存放网点路由器建立连接时所需要的用户名和密码。用户名的格式为xx@xx.com,其中@前面的字符串可以由用户端自行定义,@后面的字符串即域名。运营商aaa服务器通过域名确认该用户的接入权限。运营商aaa服务器与企业aaa服务器的用户名和密码必须一致。
l2tp私有隧道建立过程如下:
网点路由器通过3g网络在完成对接入用户的apn认证后,路由器启动ppp拨号向lac发出认证请求。
lac把认证请求转至运营商lac aaa服务器。
aaa服务器将会回复认证结果并返回该用户所属的lns地址、vpdn隧道属性等信息。
lac向返回的lns地址发出l2tp隧道建立请求,隧道建立成功(请求建立隧道的认证可选)。
lns对网点路由器的用户名和密码进行重新认证(lns对网点路由器的重认证可选)。
l2tp隧道建立完成。网点路由器对应的拨号接口up,建立正常私有隧道通信。
如果网点发起了能够触发ipsec vpn的流量,则ipsec vpn隧道建立过程启动。网点路由器与lns发起ipsec vpn连接请求。
图7 加密隧道建立过程
ipsec安全加密
图8 ipsec安全加密
针对端到端的安全加密原则, 如前文所述,3g技术有自身的加密验证技术,但是3g的加密验证技术只针对无线部分,而在ip核心网部分,从lac到lns之间的l2tp隧道是不加密的,数据还是明文传送。而从lac到网络中间还有可能经过运营商的ip网络,为了达到端到端的加密传输,需要在网点和总部路由器之间,采用ipsec 实现端到端的加密,如图8所示:
ipsec通过ah、esp协议保证了数据的安全传输:
私有性:用户的敏感数据以密文形式传送
完整性:对接收的数据进行验证,判断数据是否被篡改
真实性:验证数据源,判断数据来自真实的发送者
防重放:防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。
按照ipsec vpn技术要求支持的加密算法主要有: des、des、aes128、aes192、aes256等 ,要求支持的hash算法为md5和sha等。此外,拥有国家商用密码管理办公室颁发的商用密码产品资质的设备商,除了常见的加密算法外,还能够为金融、政府行业用户的3g接入提供符合国密办加密算法支持,并遵照国密办ipsec vpn技术规范要求对路由器进行设计,能进一步确保国家信息安全。
结束语
3g技术宣告企业网进入无线联网时代,更加完善的网络安全有利于基于3g接入的无线企业网真正得到规模应用。在信息安全已经上升到国家战略的今天,如何在通信技术不断发展的情况下,始终维持一个相称的、可控的安全机制,也将是一个持续讨论下去的话题。相信在政府和国内民族企业的推动下,坚持中国人建设自己的安全网络,牢牢把握住信息安全竞争中的主动权,3g网络在企业数据通信应用中将得到蓬勃发展。
FPGA的组成架构、类型及应用讲解
长江存储:3D NAND闪存获得第一笔订单,进入量产阶段
AMD 锐龙3600XT到底有何优势 能否称为“高端”
5G无线应用以三种方式解锁2019新技术时代
volatile变量定义的意义和该用在哪里
基于3G网络的企业数据通信安全方案
RISC-V内核RC遥控车拆解:空心杯电机+2.4G跳频控制,竟然可以“漂移”!
小米MIX2新机曝光!居然用一体化陶瓷机身!
谈谈被市场热捧“上天”的钙钛矿
MAX2163A 高度集成的调谐器IC,为ISDB-T 1段
意大利国际信息通讯技术及消费电子博览会Smau
电位计式位移传感器原理与应用简介
智能医疗 微软HoloLens化身视障者室内导航利器
实现新能源友好并网的关键技术:虚拟同步机
谷歌将开发能实现智能识别的手机芯片
华硕LCD屏幕销售告捷,占据日本市场第一
这波晶圆厂扩产浪潮对国产替代影响有多大?
全汉战神480电源评测:齐全线材 直指中高端
英特尔强推Ultrabook:Ultrabook=笔电未来?
浅谈一次性医疗连接器常用的4种接触互连技术