3/4G无线接入安全解决方案
前言:
伴随着通信网络的高速发展,无线接入从最开始的解决最后一公里的问题,到当今的无线应用已经无所不在。无线接入方式也已从2G、2.5G、3G步入了4G时代。带宽的要求也将不再是主要瓶颈,取而代之的将是安全、稳定、易维护、快速布署及可靠性的要求。
北方博业作为全国首家自主研发无线路由器厂家,凭借多年来积极分析、探索、研究无线接入技术,从3G到4G的研发过程中取得了多项国家专利。获得了众多金融行业用户的支持与好评。
3G是第三代移动通信技术,是指支持高速数据传输的蜂窝移动通讯技术。3G服务能够同时传送声音及数据信息,速率一般在几百kbps以上。3G是指将无线通信与国际互联网等多媒体通信结合的新一代移动通信系统,目前3G存在3种标准:CDMA2000、WCDMA、TD-SCDMA。
4G是第四代移动通信及其技术的简称,是集3G与WLAN于一体并能够传输高质量视频图像以及图像传输质量与高清晰度电视不相上下的技术产品。4G系统能够以100Mbps的速度下载,比拨号上网快2000倍,上传的速度也能达到20Mbps,并能够满足几乎所有用户对于无线服务的要求。而在用户最为关注的价格方面,4G固定宽带网络价格相当,而且计费方式更加灵活机动,用户完全可以根据自身的需求确定所需的服务。此外,4G可以在没有DSL和有线电视调制解调器覆盖的地方部署,然后再扩展到整个地区。很明显,4G有着不可比拟的优越性。
新渠道业务拓展需求
大力开发新的金融产品,铺设新的金融服务渠道,是赢得竞争的首要条件。各种特色的渠道为提升客户体验打下了良好的基础,总体来说有以下几种:
发展自助网点和自助设备是金融企业快速提高服务河道覆盖率的最佳途径。
满足客户需求的灾难应急、大型展会、赛事活动、校园开学办卡等短期金融业务
为VIP个人客户、大型企业等优质客户更好服务体验的×××类业务
网点可靠性、灾备需求
为了保证柜面、网点网络的高可靠性,网点上联普通采用双专线的方式实现备分
为了应对不可抗拒的自然灾害,各金融企业相继开展以省分行为中心的灾备中心建设
有线专线的制约
有线专线覆盖范围有限,制约了网点、自助终端的布放。商场、学校等地方有自身的统一规划,有线抵达存在一定的困难。
专线开通周期长、机动性差的特点,制约了业务渠道的快速、灵活拓展,难以满足业务部门的要求。
有线专线备分,可靠性未必可以确保,并还可能造成浪费
首先,如果双线同一管道进入机房,仍然不可完全避免因施工等原因造成双线同时中断的可能。实践证明,网点的网络故障有80%的机率源于施工失误。
其次,如果出现不可抗拒的自然灾害,有线专线的可靠性无法保证。
再次,如果金融企业是采用主备模式使用两条线路的情况下,由于专线的稳定性高,备分线路就会长期处于闲置状态,造成投资浪费。假如以一条2M专线,每月租金1000元计算。每个网点每年要花费12000元来维持一个几乎并不使用的线路。
北方博业恒康无线安全接入解决方案主要从以下几个方面考虑:
组网结构
安全保证机制
稳定保证机制
统一管理与维护
方案基础
本方案依赖于运营商的网络。运营商与企业通讯解决方案如下图:
利用运营商提供的VPDN方案,在L2TP的基础上建立IPSEC ×××加密隧道。运营商可以通过策略使SIM卡只能进入VPDN专线,禁止登录互联网,从而保证与互联网隔离。
组网结构
接入端:HK3G路由器,可内置ATM机、自助查询机、网银体验机、网点机柜(单机、多机)等处,可满足离行设备及网点线路备分使用。
运营商:LAC及AAA认证服务器
汇聚端:LNS与×××加密网关分离或合一
管理端:、AAA认证服务器、CA证书服务器、HK-NAMS管理服务器
数据流向
由3G无线的组网结构可以得出,不同应用场景的数据流向如下图所示:
数据流分析
图示L2TP隧道的呼叫建立流程
解决方案数据流程图
如所示,L2TP隧道的呼叫建立流程过程为:
(1)远端系统Host发起呼叫连接请求;
(2)Host和LAC端(RouterA)进行PPP LCP协商;
(3)LAC对Host提供的用户信息进行PAP或CHAP认证;
(4)LAC将认证信息(用户名、密码)发送给RADIUS服务器进行认证;
(5)RADIUS服务器认证该用户,如果认证通过,LAC准备发起Tunnel连接请求;
(6)LAC端向指定LNS发起Tunnel连接请求;
(7)在需要对隧道进行认证的情况下,LAC端向指定LNS发送CHAP challenge信息,LNS回送该challenge响应消息CHAP response,并发送LNS侧的CHAP challenge,LAC返回该challenge的响应消息CHAP response;
(8)隧道验证通过;
(9)LAC端将用户CHAP response、response identifier和PPP协商参数传送给LNS;
(10)LNS将接入请求信息发送给RADIUS服务器进行认证;
(11)RADIUS服务器认证该请求信息,如果认证通过则返回响应信息;
(12)若用户在LNS侧配置强制本端CHAP认证,则LNS对用户进行认证,发送CHAP challenge,用户侧回应CHAP response;
(13)LNS再次将接入请求信息发送给RADIUS服务器进行认证;
(14)RADIUS服务器认证该请求信息,如果认证通过则返回响应信息;
(15)验证通过,LNS端会给远端用户分配一个企业网内部IP地址,用户即可以访问企业内部资源。
安全保证机制
用户身份保密
用户身份保密包含三方面的内客:一是用户的永久识别号(IMSI)在无线链路上不被窃听;二是用户的所处位置在无线链路上不被窃听;三是***者无法从窃听中推断出不同的服务是否发送给同一用户。为了满足上述需求,3G系统在用户与服务网之间采用临时身份机制(用户的IMSI由临时身份识别号TMSI代替),且用户的TMSI定期更换。但是为了2G向3G网络的平滑过渡,3G标准没有排斥用户直接使用IMSI进行身份识别。
实体间认证
实体间认证是指移动终端与服务网(SN)之间相互认证的过程。3G系统执行AKA(Authentication and Key Agreement)协议,在移动终端和服务网之间进行双向认证,在确认对方身份的基础上生成数据保密密钥CK和数据完整性密钥IK,为下一步的数据传输做准备。
数据保密性
网络接入部分的数据保密性主要提供四个安全特性:加密算法协商、加密密钥协商、用户数据加密和信令数据加密。其中加密密钥协商在实体间认证中完成;加密算法协商由用户与服务网间的安全模式协商机制完成。
数据完整性
网络接入部分的数据完整性主要提供三个安全特性:完整性算法协商,完整性密钥协商,数据和信令的完整性。其中完整性密钥协商在实体间认证中完成;完整性算法协商由用户与服务网间的安全模式协商机制完成。
非授权用户禁止拨入
屏蔽非法用户:IMSI号是每张SIM卡的唯一标识,IMSI号+域名绑定实现非授权卡号无法拨入专网。
授权用户关闭互联网服务
关闭互联网服务:限制授权用户的访问,关闭了互联网服务做到了与互联网隔离,专卡专用。
授权用户控制
防止非法盗用:在分行AAA服务器上设置,通过IMSI和用户的IP、用户名绑定、限制登录时间等管理方法,进一步做到专卡专用。使用控制安全风险,加强了管理。
端到端的数据加密
数字证书认证支持:
HK-3GR支持数字证书的认证方式,使安全保密性又得到了加强。
IPSEC ×××:
IPSEC ×××支持所有主流的加密算法,即使某一加密算法未来被淘汰了、或者升级了,不会影响到IPSEC ×××的使用。
统一管理
1、 ×××拓扑管理 ×××隧道名、状态、IP地址、登录时间、在线时长、流量等
2、网络设备资产统计
3、设备归属管理(按支行/片区等模式分类)
4、无线资费统计(欠费提醒)、流量统计
5、运营商无线网络服务质量、无线信号强度统计、断线重拨次数统计、登录日志统计
使用HK-NAMS对VPDN接入用户进行统一的管理,该系统可以对用户在线情况进行实时监控,同时,可以通过该系统监控无线路由器的在线情况,从而减轻配置、维护的工作强度,提高运维效率。通过报警系统的设置,提供安全保障,可以实现无人值守的管理。
无线接入稳定性保证机制
多运营商双链路支持
恒康从4G产品开始,均支持TDD/FDD/向下TD-SCDMA和GSM/GPRS/EDGE。多种制式,恒康系列产品同时支持两张SIM卡,当某个运营商的无线基站出现故障时,可以拨到另外运营商的基站,建立通讯连接,快速实现业务切换。恒康系列产品采用可锁紧弹出式SIM插槽,即保证了方便易用,又保证了SIM卡不会因外力而引起的接触问题。
断线自动重拨功能
恒康全系列路由器均支持断线自动重拨,当无线信号意外消失又恢复后,路由器可以自动重拨,无需人工干预即可恢复业务,很好的保证了业务的持续性。
解决方案价值分析
最安全的无线接入解决方案
为您提供最高的安全性。支持各种绑定策略实现专卡、专人、专用,内置支持国内商用领域保密性最好的加密算法SM1,支持数字证书与无线路由器绑定,保证身份安全。
最完整的无线接入解决方案
为您的接入端提供不同场景下不同的组网模式。使用恒康无线路由器可以满足各种场景下的应用需求。
最方便管理的无线接入解决方案
为您提供统一的管理界面。在管理端上可以方便的查看隧道情况、在线用户情况、流量情况、异常告警,帮您减轻管理维护的工作量。
功能实现
网点布署恒康3G通作为无线备分,默认自动启动拨号,保活链路,网点路由器设置默认路由指向恒康3G通,当网点上联发生灾备OSPF中断,无法获取路由,则以恒康3G通作为默认路由,通过省分行接入办理业务,当省分行发生灾备,链路中断,恒康3G通重拨数次无效后,则直接拨入总行灾备中心,通过总行办理业务。
相关文章