基于3G網絡的企業數據通信安全方案

鄧霄博，杜 勇，朱偉光，陸自強

（邁普通信技術股份有限公司研究院 成都 610041）

1 前言

隨著3G業務的不斷普及，針對企業用戶“3G移動專用網”的需求，運營商推出了3G的 VPDN（virtual private dial network）業務，即基于3G無線接入方式的虛擬專用撥號網業務，它是利用L2TP隧道傳輸協議，在現有的撥號網絡上構建一條虛擬、不受外界干擾的專用通道，實現類似采用有線專用網絡的方式訪問企業內部網資源。數據通信設備廠商也及時地推出了3G路由器來適應行業用戶的這個應用趨勢，企業網已經全面進入3G聯網時代。

類似金融、政府這類網點眾多、擁有大量離行ATM接入、邊遠鄉鎮接入和移動網點接入需求的行業用戶，都把目光放到了3G接入上，因此，如何提高基于3G網絡開展企業數據通信的安全性，成為對數據安全性要求較高行業大規模應用3G網絡的最大障礙。

2 3G網絡數據通信應用概述

基于3G的數據通信應用有以下幾種組網模式。

（1）訪問 Internet

3G路由器配置3G模塊，使用公用的APN名稱、用戶名密碼，通過運營商無線基站接入Internet網絡，配置NAT地址轉換功能，3G路由器內網PC通過3G網絡訪問公網資源，如網頁瀏覽、公網郵箱、即時通信、網絡下載等資源，如圖1所示。

（2）Internet+VPN 隧道

3G路由器配置3G模塊，使用公用的APN名稱、用戶名密碼，通過運營商無線基站接入Internet網絡。對于需要訪問公網資源的數據流，經過配置NAT地址轉換后直接與Internet進行通信；對于需要訪問總部機構私網資源的數據流（如公司VoIP語音電話、視頻會議系統、內部辦公OA系統等），通過3G路由器與總部路由器建立的IPSec VPN加密隧道進行直接通信。如圖2所示。

（3）3G VPDN 專網

如圖3所示，為保證企業大客戶3G接入網的業務安全需求，運營商可向用戶提供專線APN（access point name）傳輸方式，為用戶提供專用的接入點名稱，并可提供用戶名、密碼、IMSI的多重安全認證功能。LNS為用戶總部端設備（路由器、VPN設備）通過專線與運營商網絡互連，分支網點的3G路由器配置3G模塊，使用企業申請的專用APN名稱、用戶名密碼接入3G網絡。運營商通過APN名稱或用戶名密碼判斷該用戶是否為企業專網用戶，之后交由LAC設備觸發與用戶端LNS設備的L2TP認證協商，并最終由LNS設備為分支網點3G路由器分配私網IP地址，實現與分支網點與總部私網的專線互通。

基于3G VPDN的專網是運營商主推的一種模式，本文將著重分析基于3G VPDN專網應用的安全部署問題，下面首先分析3G的安全機制。

3 3G的安全機制

無線通信本身的特點是既容易讓合法用戶接入，也容易被潛在的非法用戶竊取，因此，安全問題總是同移動通信網絡密切相關。針對無線通信存在的安全問題，3G系統進行了如下優化：

·實現了雙向認證，不但提供了基站對MS的認證，也提供了MS對基站的認證，可有效地防止偽基站的攻擊；·提供了接入鏈路信令數據的完整性保護；· 密鑰長度增加為128 bit，改進了算法；

·3GPP接入鏈路數據加密延伸至無線接入控制器（RNC）；

·3G的安全機制具有可拓展性，為將來引入新業務提供安全保護措施；

·3G能向用戶提供安全可視性操作，用戶可隨時查

看自己所用的安全模式及安全級別。

在密鑰長度、加密算法選定、鑒別機制和數據完整性檢驗等方面，3G的安全性能遠遠優于2G。但是3G的這些安全機制僅僅局限于無線部分，針對基于3G接入的無線企業網而言，無線部分的安全是遠遠不夠的，需要保證數據在整個傳輸過程中的安全性，即端到端的安全性。

4 3G路由器接入安全部署探討

隨著3G數據通信應用的發展，數據通信廠家推出了3G安全路由器，能夠很好地解決3G網絡數據安全傳輸問題。下面以3G安全路由器在金融離行ATM的應用為例做一個分析。

如圖4所示，金融離行ATM網點使用3G路由器無線接入3G無線網絡，通過運營商3G無線基站及IP核心網連接金融一級或二級網匯聚路由器，實現了離行ATM與金融一級或二級網的業務互訪。

3G接入安全部署如圖5所示。

根據應用模式，3G接入安全部署需要基于以下幾點考慮。

（1）接入認證安全

要求在進行3G網絡登錄時，提供基于用戶名、密碼、IMSI（international mobile subscriber identity，國際移動用戶識別碼）的多重身份認證綁定功能，保證接入用戶的惟一性，防止非法用戶利用3G網絡接入用戶專用網絡。

（2）端到端的私有性

為了保證用戶業務的私密性，必須要求解決方案從網點3G路由器到金融、政府行業一級或二級網匯聚路由器提供端到端的私有專用通道，以保證網點業務在運營商網絡傳輸過程中的私有性。

（3）端到端的安全加密

為了進一步保證網點業務數據在運營商3G無線網絡以及IP核心網傳輸過程中的安全，防止黑客利用其他非法手段截取金融、政府等行業敏感數據，要求安全解決方案必須提供網點3G路由器到金融、政府行業一級或二級網匯聚路由器端到端的加密安全。特別是金融和政府類信息敏感行業，這種加密安全更需要國家密碼管理委員會辦公室（以下簡稱國密辦）加密算法的支持，以保障國家信息安全的高度機密性。

5 3G路由器安全接入解決方案

如圖6所示，網點的3G安全接入部署方案，分別通過專有APN＋綁定接入認證、L2TP私有隧道、IPSec安全加密技術來實現3G部署時對接入認證、端到端的私有性、端到端安全加密的安全原則，具體部署方案如下。

（1）專有APN+綁定接入認證

在進行網點的3G無線接入部署時，需要先向運營商申請分配的專網APN，類似行業專用的3G無線局域網，保證網點接入3G網絡后，只能訪問行業專用網絡，保證無法與其他網絡進行通信。網點采用3G路由器接入方式，運營商會將網點用戶的IMSI信息（IMSI是在運營商網絡中惟一識別移動用戶的號碼，由15位數字組成，存于SIM卡中）、終端用戶的賬號和密碼事先配置在運營商的認證服務器上。當網點的3G路由器發起無線連接時，只允許綁定信息合法的用戶通過用戶名、密碼的AAA認證后接入3G專用網絡，防止非法SIM卡用戶撥入用戶3G專網。

此外，可進一步通過3G路由器設置SIM卡的PIN碼保護功能，只有知道SIM卡的PIN碼才能觸發3G撥號，防止非法用戶獲取到用戶SIM卡后進行非法操作，保證了SIM卡使用的安全。

（2）L2TP＋IPSec VPN 私有隧道

為了保證3G接入網點的數據業務在運營商IP核心網中傳輸的的私有性，用戶向運營商申請企業集團用戶3G的VPDN業務，基于3G無線接入方式的虛擬專用撥號網業務，它是利用安全的L2TP隧道傳輸協議，在現有的撥號網絡上構建一條虛擬、不受外界干擾的專用通道，從而能夠安全地訪問企業內部網資源。

運營商會為行業用戶的3G VPDN業務提供L2TP的LAC端路由器及配套的AAA服務器。金融、政府等行業一級或二級網匯聚層采用一臺路由器作為L2TP的LNS端，并部署一臺AAA服務器。LAC路由器主要負責對3G用戶的接入認證，與該用戶所屬企業的專有LNS建立L2TP隧道。一級或二級網匯聚層的AAA服務器主要存放網點路由器建立連接時所需要的用戶名和密碼。用戶名的格式為xx＠xx.com，其中＠前面的字符串可以由用戶自行定義，＠后面的字符串即域名。運營商AAA服務器通過域名確認該用戶的接入權限。運營商AAA服務器與企業AAA服務器的用戶名和密碼必須一致。

L2TP私有隧道建立過程如圖7所示，過程如下：

·網點路由器通過3G網絡完成對接入用戶的APN認證；

·路由器啟動PPP撥號向LAC發出認證請求；

·LAC把認證請求轉至運營商LAC AAA服務器；

·AAA服務器將會回復認證結果并返回該用戶所屬的LNS地址、VPDN隧道屬性等信息；

·LAC向返回的LNS地址發出L2TP隧道建立請求，隧道建立成功（請求建立隧道的認證可選）；

·LNS對網點路由器的用戶名和密碼進行重新認證（LNS對網點路由器的重認證可選）；

·L2TP隧道建立完成。網點路由器對應的撥號接口UP，建立正常私有隧道通信；

·如果網點發起了能夠觸發IPSec VPN的流量，則IPSec VPN隧道建立過程啟動，網點路由器與LNS發起IPSec VPN連接請求。

（3）IPSec安全加密

針對端到端的安全加密原則，如前文所述，3G技術自身具有加密驗證技術，但是3G的加密驗證技術只針對無線部分，而在IP核心網部分，從LAC到LNS之間的L2TP隧道是不加密的，數據還是明文傳送。而從LAC到網絡中間還有可能經過運營商的IP網絡，為了達到端到端的加密傳輸，需要在網點和總部路由器之間，采用IPSec實現端到端的加密，如圖8所示。

IPSec通過AH、ESP協議保證了數據的安全傳輸。

·私有性：用戶的敏感數據以密文形式傳送；

·完整性：對接收的數據進行驗證，判斷數據是否被篡改；

·真實性：驗證數據源，判斷數據來自真實的發送者；

·防重放：防止惡意用戶通過重復發送捕獲到的數據包所進行的攻擊，即接收方會拒絕舊的或重復的數據包。

按照IPSec VPN技術要求，支持的加密算法主要有DES、DES、AES128、AES192、AES256 等 ，要求支持的 HASH算法為MD5和SHA等。此外，擁有國家商用密碼管理辦公室頒發的商用密碼產品資質的設備商，除了常見的加密算法外，還能夠為金融、政府等行業用戶的3G接入提供符合國密辦加密算法的支持，并遵照國密辦IPSec VPN技術規范要求對路由器進行設計，能進一步確保國家信息安全。

6 結束語

企業網進入3G無線聯網時代，更加完善的網絡安全解決方案有利于基于3G接入的無線企業網得到真正的規模應用。在信息安全已經上升到國家戰略層面的今天，如何在通信技術不斷發展的情況下，始終維持一個相稱、可控的安全機制，是一個需要持續討論的話題。相信在政府和企業的推動下，堅持建設自己的安全網絡，牢牢把握住信息安全競爭中的主動權，更有利于基于3G網絡的企業數據通信的蓬勃發展。