3G路由器接入安全部署探讨
随着3G数据通信应用的发展,业界专业的数据通信厂家推出了3G安全路由器,能够很好的解决3G网络数据安全传输问题。下面以3G安全路由器在金融离行ATM应用为例做一个分析。
图4 3G接入
如上图所示,金融离行ATM网点使用3G 路由器无线接入3G无线网络,通过运营商3G无线基站及IP核心网连接金融一级或二级网汇聚路由器,实现了离行ATM与金融一级网或二级网的业务互访。
根据应用模式,3G接入安全部署基于以下几点考虑:
接入认证安全
要求在进行3G网络登录时,提供基于用户名、密码、IMSI(international mobile subscriber identity, 国际移动用户识别码)的多重身份认证绑定功能,保证接入用户的唯一性,防止非法用户利用3G网络接入用户专用网络。
端到端的私有性
为了保证用户业务的私密性,必须要求解决方案从网点3G路由器到金融、政府行业一级或二级网汇聚路由器提供端到端的私有专用通道,以保证网点业务在运营商网络传输过程中的私有性。
端到端的安全加密
为了进一步保证网点业务数据在运营商3G无线网络以及IP核心网传输过程中的安全,防止黑客利用其他非法手段截取金融、政府等行业敏感数据,要求安全解决方案必须提供网点3G路由器到金融、政府行业一级或二级网汇聚路由器端到端的加密安全。特别是金融和政府此类信息敏感行业,这种加密安全更需要国密办加密算法的支持,以保障国家信息安全的高度机密性。
图5 3G接入安全部署
3G路由器安全接入解决方案
图6 3G安全接入解决方案
如上图所示,网点的3G安全接入部署方案,分别通过专有APN+绑定接入认证、L2TP私有隧道、IPSEC安全加密技术来实现3G部署时对接入认证、端到端的私有性、端到端安全加密的安全原则,具体部署方案如下:
专有APN+绑定接入认证
在进行网点的3G无线接入部署时,需要先向运营商申请分配的专网APN(Access Point Name,类似行业专用的3G无线局域网,保证网点接入3G网络后,只能访问行业专用网络,保证无法与其他网络进行通信)。网点采用3G路由器接入,运营商会将网点用户的IMSI信息(IMSI是在运营商网络中唯一识别一个移动用户的号码,由15位数字组成,存于SIM卡中)、终端用户的账号和密码事先配置在运营商认证服务器上。当网点的3G路由器发起无线连接时,只允许绑定信息合法的用户通过用户名、密码的AAA认证后接入3G专用网络,防止非法SIM卡用户拨入用户3G专网。
