<meter id="pryje"><nav id="pryje"><delect id="pryje"></delect></nav></meter>
          <label id="pryje"></label>

          新聞中心

          EEPW首頁(yè) > 手機(jī)與無(wú)線通信 > 設(shè)計(jì)應(yīng)用 > 基于3G網(wǎng)絡(luò)的企業(yè)數(shù)據(jù)通信安全方案

          基于3G網(wǎng)絡(luò)的企業(yè)數(shù)據(jù)通信安全方案

          作者: 時(shí)間:2012-08-16 來(lái)源:網(wǎng)絡(luò) 收藏

          圖5 接入部署

          本文引用地址:http://www.ex-cimer.com/article/154129.htm

          路由器接入解決

          圖6 接入解決

          如上圖所示,網(wǎng)點(diǎn)的3G安全接入部署,分別通過(guò)專有APN+綁定接入認(rèn)證、L2TP私有隧道、IPSEC安全加密技術(shù)來(lái)實(shí)現(xiàn)3G部署時(shí)對(duì)接入認(rèn)證、端到端的私有性、端到端安全加密的安全原則,具體部署方案如下:

          專有APN+綁定接入認(rèn)證

          在進(jìn)行網(wǎng)點(diǎn)的3G無(wú)線接入部署時(shí),需要先向運(yùn)營(yíng)商申請(qǐng)分配的專網(wǎng)APN(Access Point Name,類似行業(yè)專用的3G無(wú)線局域網(wǎng),保證網(wǎng)點(diǎn)接入3G后,只能訪問(wèn)行業(yè)專用,保證無(wú)法與其他進(jìn)行通信)。網(wǎng)點(diǎn)采用3G路由器接入,運(yùn)營(yíng)商會(huì)將網(wǎng)點(diǎn)用戶的IMSI信息(IMSI是在運(yùn)營(yíng)商網(wǎng)絡(luò)中唯一識(shí)別一個(gè)移動(dòng)用戶的號(hào)碼,由15位數(shù)字組成,存于SIM卡中)、終端用戶的賬號(hào)和密碼事先配置在運(yùn)營(yíng)商認(rèn)證服務(wù)器上。當(dāng)網(wǎng)點(diǎn)的3G路由器發(fā)起無(wú)線連接時(shí),只允許綁定信息合法的用戶通過(guò)用戶名、密碼的AAA認(rèn)證后接入3G專用網(wǎng)絡(luò),防止非法SIM卡用戶撥入用戶3G專網(wǎng)。

          此外,可進(jìn)一步通過(guò)3G路由器設(shè)置SIM卡的PIN碼保護(hù)功能,只有知道SIM卡的PIN密碼才能觸發(fā)3G撥號(hào),防止非法用戶獲取到用戶SIM卡后進(jìn)行的非法操作,保證了SIM卡的使用安全。

          L2TP+IPSEC VPN私有隧道

          為了保證3G接入網(wǎng)點(diǎn)的數(shù)據(jù)業(yè)務(wù)在運(yùn)營(yíng)商IP核心網(wǎng)中傳輸?shù)牡乃接行裕脩粝蜻\(yùn)營(yíng)商申請(qǐng)集團(tuán)用戶3G的VPDN業(yè)務(wù),3G無(wú)線接入方式的虛擬專用撥號(hào)網(wǎng)業(yè)務(wù),它是利用安全的L2TP隧道傳輸協(xié)議,就可以在現(xiàn)有的撥號(hào)網(wǎng)絡(luò)上構(gòu)建一條虛擬的、不受外界干擾的專用通道,從而安全訪問(wèn)內(nèi)部網(wǎng)資源。

          運(yùn)營(yíng)商會(huì)為行業(yè)用戶的3G VPDN業(yè)務(wù)提供L2TP的LAC端路由器及配套的AAA服務(wù)器。金融、政府行業(yè)一級(jí)網(wǎng)或二級(jí)網(wǎng)匯聚層采用一臺(tái)路由器作為L(zhǎng)2TP的LNS端,并部署一臺(tái)AAA服務(wù)器。LAC路由器主要負(fù)責(zé)對(duì)3G用戶的接入認(rèn)證,與該用戶所屬的專有LNS建立L2TP隧道。金融、政府行業(yè)一級(jí)網(wǎng)或二級(jí)網(wǎng)匯聚的AAA服務(wù)器主要存放網(wǎng)點(diǎn)路由器建立連接時(shí)所需要的用戶名和密碼。用戶名的格式為XX@XX.COM,其中@前面的字符串可以由用戶端自行定義,@后面的字符串即域名。運(yùn)營(yíng)商AAA服務(wù)器通過(guò)域名確認(rèn)該用戶的接入權(quán)限。運(yùn)營(yíng)商AAA服務(wù)器與企業(yè)AAA服務(wù)器的用戶名和密碼必須一致。

          L2TP私有隧道建立過(guò)程如下:

          網(wǎng)點(diǎn)路由器通過(guò)3G網(wǎng)絡(luò)在完成對(duì)接入用戶的APN認(rèn)證后,路由器啟動(dòng)PPP撥號(hào)向LAC發(fā)出認(rèn)證請(qǐng)求。

          LAC把認(rèn)證請(qǐng)求轉(zhuǎn)至運(yùn)營(yíng)商LAC AAA服務(wù)器。

          AAA服務(wù)器將會(huì)回復(fù)認(rèn)證結(jié)果并返回該用戶所屬的LNS地址、VPDN隧道屬性等信息。

          LAC向返回的LNS地址發(fā)出L2TP隧道建立請(qǐng)求,隧道建立成功(請(qǐng)求建立隧道的認(rèn)證可選)。

          LNS對(duì)網(wǎng)點(diǎn)路由器的用戶名和密碼進(jìn)行重新認(rèn)證(LNS對(duì)網(wǎng)點(diǎn)路由器的重認(rèn)證可選)。

          L2TP隧道建立完成。網(wǎng)點(diǎn)路由器對(duì)應(yīng)的撥號(hào)接口UP,建立正常私有隧道通信。

          如果網(wǎng)點(diǎn)發(fā)起了能夠觸發(fā)IPSEC VPN的流量,則IPSEC VPN隧道建立過(guò)程啟動(dòng)。網(wǎng)點(diǎn)路由器與LNS發(fā)起IPSEC VPN連接請(qǐng)求。

          圖7 加密隧道建立過(guò)程

          IPSEC安全加密

          圖8 IPSEC安全加密

          針對(duì)端到端的安全加密原則, 如前文所述,3G技術(shù)有自身的加密驗(yàn)證技術(shù),但是3G的加密驗(yàn)證技術(shù)只針對(duì)無(wú)線部分,而在IP核心網(wǎng)部分,從LAC到LNS之間的L2TP隧道是不加密的,數(shù)據(jù)還是明文傳送。而從LAC到網(wǎng)絡(luò)中間還有可能經(jīng)過(guò)運(yùn)營(yíng)商的IP網(wǎng)絡(luò),為了達(dá)到端到端的加密傳輸,需要在網(wǎng)點(diǎn)和總部路由器之間,采用IPSEC 實(shí)現(xiàn)端到端的加密,如圖8所示:

          IPSEC通過(guò)AH、ESP協(xié)議保證了數(shù)據(jù)的安全傳輸:

          私有性:用戶的敏感數(shù)據(jù)以密文形式傳送

          完整性:對(duì)接收的數(shù)據(jù)進(jìn)行驗(yàn)證,判斷數(shù)據(jù)是否被篡改

          真實(shí)性:驗(yàn)證數(shù)據(jù)源,判斷數(shù)據(jù)來(lái)自真實(shí)的發(fā)送者

          防重放:防止惡意用戶通過(guò)重復(fù)發(fā)送捕獲到的數(shù)據(jù)包所進(jìn)行的攻擊,即接收方會(huì)拒絕舊的或重復(fù)的數(shù)據(jù)包。

          按照IPSEC VPN技術(shù)要求支持的加密算法主要有: DES、DES、AES128、AES192、AES256等 ,要求支持的HASH算法為MD5和SHA等。此外,擁有國(guó)家商用密碼管理辦公室頒發(fā)的商用密碼產(chǎn)品資質(zhì)的設(shè)備商,除了常見(jiàn)的加密算法外,還能夠?yàn)榻鹑凇⒄袠I(yè)用戶的3G接入提供符合國(guó)密辦加密算法支持,并遵照國(guó)密辦IPSEC VPN技術(shù)規(guī)范要求對(duì)路由器進(jìn)行設(shè)計(jì),能進(jìn)一步確保國(guó)家信息安全。

          結(jié)束語(yǔ)

          3G技術(shù)宣告企業(yè)網(wǎng)進(jìn)入無(wú)線聯(lián)網(wǎng)時(shí)代,更加完善的網(wǎng)絡(luò)安全有利于3G接入的無(wú)線企業(yè)網(wǎng)真正得到規(guī)模應(yīng)用。在信息安全已經(jīng)上升到國(guó)家戰(zhàn)略的今天,如何在通信技術(shù)不斷發(fā)展的情況下,始終維持一個(gè)相稱的、可控的安全機(jī)制,也將是一個(gè)持續(xù)討論下去的話題。相信在政府和國(guó)內(nèi)民族企業(yè)的推動(dòng)下,堅(jiān)持中國(guó)人建設(shè)自己的安全網(wǎng)絡(luò),牢牢把握住信息安全競(jìng)爭(zhēng)中的主動(dòng)權(quán),3G網(wǎng)絡(luò)在企業(yè)應(yīng)用中將得到蓬勃發(fā)展。


          上一頁(yè) 1 2 下一頁(yè)

          評(píng)論


          相關(guān)推薦

          技術(shù)專區(qū)

          關(guān)閉
          看屁屁www成人影院,亚洲人妻成人图片,亚洲精品成人午夜在线,日韩在线 欧美成人 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();