金融行業(yè)3G無(wú)線安全接入解決方案

1、3G無(wú)線安全接入解決方案銳捷網(wǎng)絡(luò) TOC o 1-5 h z HYPERLINK l bookmark8 o Current Document 1、客戶存在的困惑3 HYPERLINK l bookmark15 o Current Document 2、3G數(shù)據(jù)業(yè)務(wù)介紹33、解決方案 63.1.整體方案概述6 HYPERLINK l bookmark32 o Current Document 3.2 .安全保障措施8 HYPERLINK l bookmark38 o Current Document 4、附3G無(wú)線安全介紹 91、客戶存在的困惑長(zhǎng)期以來(lái)SDH/ATM/DDN等專線做為銀行柜面網(wǎng)

2、點(diǎn)、自助銀行、離行式ATM、上門服務(wù)業(yè) 務(wù)接入的唯一選擇，很好地保障了金融業(yè)務(wù)的開(kāi)展。但是這幾年銀行以下幾點(diǎn)的變化，使得 傳統(tǒng)的專線存在一些不足：1、近年來(lái)銀行部署了大量的離行式ATM機(jī)、查詢機(jī)、自助銀行，讓客戶體驗(yàn)到無(wú)處不 在的便利服務(wù)。但是這些網(wǎng)點(diǎn)分散在大街小巷、商場(chǎng)社區(qū)、甚至沿海省份海島上、 西北省份大型油田/電力/軍隊(duì)系統(tǒng)中，外部專線難以進(jìn)入，影響布放點(diǎn)的選擇和業(yè) 務(wù)開(kāi)展。2、銀行為VIP客戶提供上門辦理業(yè)務(wù)的服務(wù)，需要移動(dòng)網(wǎng)點(diǎn)。銀行在學(xué)校/企業(yè)/大型 會(huì)議提供的臨時(shí)服務(wù)，需要臨時(shí)網(wǎng)點(diǎn)。這兩種需求都有一個(gè)共同的特點(diǎn)，機(jī)動(dòng)靈活， 但專線開(kāi)通的周期長(zhǎng)，機(jī)動(dòng)靈活性不足。3、集約化已經(jīng)成為銀行

3、經(jīng)營(yíng)管理的主旋律，銀行更加關(guān)注成本及收益，大量的柜面網(wǎng) 點(diǎn)由于重要性高，都要求采用雙線路保證更高的可靠性，采用雙專線線路備份成本 高。尤其是備份線路，只在主線路故障時(shí)才啟用，長(zhǎng)期閑置，投資利用率低。2、3G數(shù)據(jù)業(yè)務(wù)介紹3G飛速發(fā)展2009年1月份國(guó)家工業(yè)與信息化部正式向移動(dòng)、電信、聯(lián)通三家運(yùn)營(yíng)商分別頒發(fā)了 TD-SCDMA、CDMA2000、WCDMA三張牌照，3G開(kāi)始正式拉開(kāi)序幕。通過(guò)3G用戶可以實(shí)現(xiàn)無(wú)線 寬帶接入，在速度方面和2.5G相比有質(zhì)的飛越，這使得3G在更多企業(yè)通訊場(chǎng)合中替代有線 成為了可能。目前三種3G的理論速率如下：中國(guó)聯(lián)通：WCDMA，下行7.2M，上行5.76M；中國(guó)移動(dòng)：

4、TD-SCDMA，下行2M，上行384K；中國(guó)電信：WCDMA2000，下行3.1M，上行1.8M；經(jīng)過(guò)近一年的發(fā)展，3G無(wú)線信號(hào)已經(jīng)覆蓋了眾多的城市，并且運(yùn)營(yíng)商仍不斷在擴(kuò)大覆 蓋的范圍，優(yōu)化信號(hào)質(zhì)量。目前情況大致如下：中國(guó)聯(lián)通：覆蓋全國(guó)285個(gè)城市（截止2009年9月）中國(guó)移動(dòng)：覆蓋全國(guó)238個(gè)城市（截止2009年底）中國(guó)電信：覆蓋全國(guó)342個(gè)城市（截止2009年9月）3G的飛速發(fā)展為銀行通過(guò)無(wú)線技術(shù)解決目前有線專線存在的問(wèn)題，成為可能。3G兩種數(shù)據(jù)業(yè)務(wù)3G用于企業(yè)數(shù)據(jù)通訊的業(yè)務(wù)可以歸結(jié)為兩種:一種是普通互聯(lián)網(wǎng)業(yè)務(wù);一種是無(wú)線VPDN業(yè)務(wù)（或無(wú)線DDN）。相對(duì)應(yīng)就有兩種解決方案:第一種，通過(guò)

5、互聯(lián)網(wǎng)自建VPN的方案。網(wǎng)點(diǎn)路由器通過(guò)3G撥到普通互聯(lián)網(wǎng)，總 部出口架設(shè)一條直通互聯(lián)網(wǎng)的專線，且分配公有地址。網(wǎng)點(diǎn)和總部的路由器之間 直接建立IPSEC VPN加密隧道。由于有些運(yùn)營(yíng)商為3G分配私有地址，運(yùn)營(yíng)商內(nèi) 部要經(jīng)過(guò)NAT，所以需要采用IPSEC VPN穿越NAT的機(jī)制。上 第二種，利用運(yùn)營(yíng)商提供的VPDN方案。網(wǎng)點(diǎn)路由器通過(guò)3G撥號(hào)至運(yùn)營(yíng)商的LAC 設(shè)備，然后LAC設(shè)備通過(guò)專線和總部出口的路由器（即LNS）建立L2TP VPN隧道。 然后網(wǎng)點(diǎn)路由器再與總部路由器，在L2TP基礎(chǔ)之上建立IPSEC VPN加密隧道。運(yùn)營(yíng)商可以通過(guò)策略使網(wǎng)點(diǎn)3G SIM卡，只開(kāi)通VPDN服務(wù)，禁止互聯(lián)網(wǎng)服務(wù)

6、，這 樣即保證安全又可以防止員工非法使用。運(yùn)營(yíng)商和總部之間可以采用專線、城域 網(wǎng)VPN等線路，針對(duì)銀行一般采用SDH/MSTP等專線更加安全。兩種方案優(yōu)劣勢(shì)的分析對(duì)比如下：第一種方案網(wǎng)點(diǎn)3G和總部出口鏈路都連接普通互聯(lián)網(wǎng)，成本較低，但安全性較 差，網(wǎng)點(diǎn)的3G和總部的鏈路不一定是同一家運(yùn)營(yíng)商，組網(wǎng)靈活性好。因此，適 用于移動(dòng)辦公等應(yīng)用場(chǎng)合。第二種方案網(wǎng)點(diǎn)的3G只能撥到總部，總部采用專線，兩端都和互聯(lián)網(wǎng)隔離，安 全性高，成本較高，網(wǎng)點(diǎn)的3G必須和總部的專線隸屬同一家運(yùn)營(yíng)商，靈活性較 差。因此適用于生產(chǎn)環(huán)境下的應(yīng)用場(chǎng)合。3、解決方案3.1.整體方案概述如上圖所示，網(wǎng)點(diǎn)采用路由器+3G MODEM，運(yùn)

7、營(yíng)商需要有LAC及配套的AAA服務(wù)器?？?部需要準(zhǔn)備一臺(tái)路由器（LNS），一條專線，一臺(tái)AAA服務(wù)器。AAA服務(wù)器負(fù)責(zé)對(duì)3G用戶進(jìn) 行認(rèn)證并向LAC下發(fā)該用戶對(duì)應(yīng)的LNS信息，LAC負(fù)責(zé)與LNS建立隧道。網(wǎng)點(diǎn)路由器的IP 地址，可以靜態(tài)指定也可以由AAA服務(wù)器分配（注：中國(guó)移動(dòng)VPDN的3G用戶地址空間不能 隨意分配，須按照移動(dòng)的統(tǒng)一規(guī)劃，使用地址空間）。解決方案建議網(wǎng)點(diǎn)端采用靜態(tài)IP地址。 LNS端路由器必須采用靜態(tài)IP地址。銳捷RSR10/20可以直接擴(kuò)展內(nèi)置的3G卡，滿足柜面網(wǎng)點(diǎn)、臨時(shí)網(wǎng)點(diǎn)、上門服務(wù)車等環(huán) 境中應(yīng)用需求。為了增強(qiáng)安全性RSR10/20可以擴(kuò)展國(guó)密辦的加密算法卡，這樣在涉及

8、到現(xiàn) 金生產(chǎn)交易業(yè)務(wù)的環(huán)境中，如離行式ATM、柜面網(wǎng)點(diǎn)，可以保證生產(chǎn)業(yè)務(wù)安全。同時(shí)，為滿 足離行式ATM機(jī)，上門服務(wù)車等應(yīng)用場(chǎng)合，銳捷定制了 RSR10的小尺寸機(jī)箱路由器，其重 量只有1KG，輕便易于攜帶，而且可以輕松地放入自助機(jī)具中，不需專門的機(jī)柜，部署方 便。同時(shí)，整個(gè)解決方案還可以兼容柜面業(yè)務(wù)延伸應(yīng)用，在柜面業(yè)務(wù)延伸應(yīng)用中柜員只攜帶 一臺(tái)筆記本電腦或終端上門服務(wù)，只需要普通的USB 3G卡采用操作系統(tǒng)自帶的IPSEC VPN客戶端撥號(hào)，銳捷的LNS路由器RSR30/50同樣可以兼容這種模式。工作原理如下:隧道屬性?？偛緼AA服務(wù)器主要存放網(wǎng)點(diǎn)路由器建立連接時(shí)所需要的用戶名和密碼。用戶名

9、的格式為 HYPERLINK mailto:XXXX.COM.CN XXXX.COM.CN,其中前面的字符串可以由用戶端自行定義，后面的字符串即域 名，必須由運(yùn)營(yíng)商分配。運(yùn)營(yíng)商AAA服務(wù)器通過(guò)域名，確認(rèn)該用戶的權(quán)限。運(yùn)營(yíng)商AAA服務(wù)器與總部AAA服務(wù)器的用戶名和密碼必須一致。以下是主要的報(bào)文交互過(guò)程：1）網(wǎng)點(diǎn)路由器3G modem通過(guò)無(wú)線信號(hào)找到運(yùn)營(yíng)商基站并注冊(cè)連接（對(duì)SIM卡 認(rèn)證、并協(xié)商雙方加密密鑰）。2）路由器啟動(dòng)PPP撥號(hào)向LAC發(fā)出認(rèn)證請(qǐng)求。3）LAC把認(rèn)證請(qǐng)求轉(zhuǎn)至運(yùn)營(yíng)商LAC AAA服務(wù)器。4）AAA服務(wù)器將會(huì)回復(fù)認(rèn)證結(jié)果并返回該用戶所屬的LNS地址、VPDN隧道屬性 等信息。5）

10、LAC向返回的LNS地址發(fā)出L2TP隧道建立請(qǐng)求，隧道建立成功（請(qǐng)求建立隧 道的認(rèn)證可選）。6）LNS對(duì)網(wǎng)點(diǎn)路由器的用戶名和密碼進(jìn)行重新認(rèn)證（LNS對(duì)網(wǎng)點(diǎn)路由器的重認(rèn) 證可選）。7）L2TP隧道建立完成。網(wǎng)點(diǎn)路由器對(duì)應(yīng)的撥號(hào)接口 UP。8）如果網(wǎng)點(diǎn)發(fā)起了能夠觸發(fā)IPSEC VPN的流量，則IPSEC VPN隧道建立過(guò)程啟動(dòng)。網(wǎng)點(diǎn)路由器與LNS發(fā)起IPSEC VPN連接請(qǐng)求。3.2 .安全保障措施安全措施，主要有以下幾個(gè)方面:無(wú)線如密；無(wú)線信號(hào)加密訪問(wèn)控制=異招M卡的鑒 權(quán)，屏蔽非運(yùn)營(yíng)商授權(quán)卡訪問(wèn)控制=IMS安全措施，主要有以下幾個(gè)方面:無(wú)線如密；無(wú)線信號(hào)加密訪問(wèn)控制=異招M卡的鑒 權(quán)，屏蔽非運(yùn)

11、營(yíng)商授權(quán)卡訪問(wèn)控制=IMS號(hào)+ 用戶名+IP地址。防1!內(nèi)部帳號(hào)/舊盜用。訪1同控制=運(yùn)營(yíng)商切 斷VPDNffl戶的 仍比儺防句極限。（電信根據(jù)域名，聯(lián) 通偕動(dòng)袍據(jù)AP N號(hào)）訪偵控制=IMS I號(hào)+域名 綁定。防止非授權(quán)卡撥入 企業(yè)網(wǎng)。二1加密=幽點(diǎn)路由器與 LNS之間建立端到端的IPSEC VPN,對(duì)上層數(shù)據(jù) 進(jìn)行加密1）無(wú)線加密：網(wǎng)點(diǎn)路由器3G MODEM通過(guò)信號(hào)找到基站后，有一個(gè)注冊(cè)的過(guò)程，在這 個(gè)過(guò)程中運(yùn)營(yíng)商側(cè)需要對(duì)接入的3G SIM卡身份通過(guò)密鑰機(jī)制進(jìn)行確認(rèn)（這個(gè)過(guò)程 也稱為鑒權(quán)）。在身份確認(rèn)的過(guò)程中，雙方還會(huì)協(xié)商用于通訊加密的密鑰，并在通 信過(guò)程中采用該密鑰對(duì)數(shù)據(jù)和話音進(jìn)行加密，

12、以避免被監(jiān)聽(tīng)。同時(shí)在對(duì)數(shù)據(jù)加密 完成之后，還會(huì)附加上校驗(yàn)碼，對(duì)方在收到之后會(huì)重新計(jì)算和核對(duì)校驗(yàn)碼是否正 確，以此判斷信息是否在無(wú)線傳輸過(guò)程中被篡改。2）訪問(wèn)控制：訪問(wèn)控制分成三部分，1、針對(duì)企業(yè)外部用戶的訪問(wèn)控制；2、針對(duì)企 業(yè)內(nèi)部用戶的訪問(wèn)控制；3、針對(duì)互聯(lián)網(wǎng)服務(wù)的訪問(wèn)控制。針對(duì)第一點(diǎn)，運(yùn)營(yíng)商 AAA服務(wù)器上可以綁定賬號(hào)和SIM卡中的IMSI標(biāo)識(shí)號(hào)，由于不同的SIM卡IMSI 標(biāo)識(shí)號(hào)不同，所以企業(yè)外部用戶不可以使用非指定的卡撥進(jìn)企業(yè)中。針對(duì)第二點(diǎn)， 在企業(yè)總部的LNS AAA服務(wù)器上，可以將賬戶信息與IMSI號(hào)綁定。這樣可以防止 企業(yè)內(nèi)部用戶之間互相盜用賬號(hào)，導(dǎo)致定位和追溯的麻煩。針對(duì)第三點(diǎn)

13、，運(yùn)營(yíng)商在開(kāi)SIM卡時(shí)，同時(shí)也設(shè)置了 SIM卡的訪問(wèn)權(quán)限，對(duì)于VPDN企業(yè)用戶，關(guān)閉互聯(lián) 網(wǎng)服務(wù)，這樣就不用擔(dān)心與互聯(lián)網(wǎng)耦合度過(guò)高而引入安全隱患；3）數(shù)據(jù)加密：主要針對(duì)上層數(shù)據(jù)層面。無(wú)線物理層面主要是運(yùn)營(yíng)商3G本身提供的加 密服務(wù)，只針對(duì)無(wú)線信號(hào)的部分。從LAC到LNS之間雖然有L2TP隧道，但是該隧 道并不加密，還是明文傳送，且LAC到專線網(wǎng)中間還有可能經(jīng)過(guò)安全度相對(duì)較低 的網(wǎng)絡(luò)，所以在網(wǎng)點(diǎn)和LNS路由器之間，采用IPSEC VPN實(shí)現(xiàn)數(shù)據(jù)層面的端到端 加密。IPSEC VPN同樣采用密鑰的機(jī)制，提供身份認(rèn)證、數(shù)據(jù)保密和完整性的服 務(wù)；4、附3G無(wú)線安全介紹鑒權(quán)簡(jiǎn)介鑒權(quán)就是指身份認(rèn)證，是對(duì)請(qǐng)

14、求進(jìn)入3G網(wǎng)絡(luò)的終端進(jìn)行身份合法性的確 認(rèn)，3G終端也會(huì)對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)的身份進(jìn)行確認(rèn)。用戶和運(yùn)營(yíng)商網(wǎng)絡(luò)之間進(jìn)行雙向認(rèn)證&在互相確認(rèn)對(duì)方身份的基礎(chǔ)上生成 數(shù)據(jù)加密密鑰CK,和數(shù)據(jù)完整性密鑰IK,為下一步的數(shù)據(jù)傳輸做準(zhǔn)備。原理如下:HE/EII.RSN/VLRS3認(rèn)征與卷協(xié)商HE/EII.RSN/VLRS3認(rèn)征與卷協(xié)商Bp- 3 ALntvntkflttcn 4ind l-y 由蝦emernMS即指用戶，SN/VLR、HE/HLR可以簡(jiǎn)單理解為運(yùn)營(yíng)商中的兩種不同的設(shè)備，下 面還會(huì)提到USIM也可以簡(jiǎn)單理解為是用戶側(cè)。用戶SIM卡和運(yùn)營(yíng)商側(cè)保存著一個(gè)相同的密鑰K。在運(yùn)營(yíng)商內(nèi)部會(huì)為每個(gè) 用戶生成多組的認(rèn)

15、證向量AV (RAND | XRES II CK | IK | AUTN)：序列號(hào) 1.RAND|XRESIICK|IK|AUTN序列號(hào) 2.RAND|XRESIICK|IK|AUTN序列號(hào) 3.RAND|XRESIICK|IK|AUTNAUTN表示認(rèn)證令牌(即一組字符串，有三種字符串組成，SQN+AK、AMF、消息 認(rèn)證碼，其中的SQN是指AV組序列號(hào),AK是密鑰)；RES和XRES分別表示用戶 的應(yīng)答信息和運(yùn)營(yíng)商的應(yīng)答信息；RAND表示生成的隨機(jī)數(shù)；CK和IK分別表示 數(shù)據(jù)保密密鑰和數(shù)據(jù)完整性密鑰。大致過(guò)程如下：運(yùn)營(yíng)商收到用戶的接入請(qǐng)求時(shí)從一組認(rèn)證向量中選擇一組AV (i)，將AV (i)

16、中的RAND (i)和AUTN (i)發(fā)送給用戶的USIM進(jìn)行認(rèn)證。用戶收到RAND 和AUTN后計(jì)算出消息認(rèn)證碼XMAC (見(jiàn)下圖)，并與AUTN中包含的MAC相比較， 如果二者不同，USIM將向VLR / SGSN發(fā)送拒絕認(rèn)證消息。這個(gè)過(guò)程其實(shí)是用戶在認(rèn)證運(yùn)營(yíng)商網(wǎng)絡(luò)的合法性。f1、f2、f3、f4、f5是一種加解密算法，該算法由運(yùn)營(yíng)商掌握不對(duì)外公開(kāi)，在 用戶辦理入網(wǎng)時(shí)，由運(yùn)營(yíng)商把算法及密鑰K存入SIM卡中。如果二者相同，USIM計(jì)算應(yīng)答信息XRES (i)，發(fā)送給SN (運(yùn)營(yíng)商側(cè)的設(shè) 備)。SN在收到應(yīng)答信息后，比較XRES (i)和RES (i)的值。如果相等則通 過(guò)認(rèn)證，否則不建立連接

17、。這樣就完成了雙向的鑒權(quán)。加密簡(jiǎn)介在鑒權(quán)通過(guò)的基礎(chǔ)上，MS / USIM根據(jù)RAND (i)和它在入網(wǎng)時(shí)的共享密鑰Ki來(lái) 計(jì)算數(shù)據(jù)保密密鑰CKi和數(shù)據(jù)完整性密鑰IK (i)。SN根據(jù)發(fā)送的AV選擇對(duì)應(yīng) 的CK和IK。在3G系統(tǒng)中，網(wǎng)絡(luò)接入部分的數(shù)據(jù)保密性主要提供4個(gè)安全特性：加密算法協(xié) 商、加密密鑰協(xié)商、用戶數(shù)據(jù)加密和信令數(shù)據(jù)加密。其中加密密鑰協(xié)商在鑒權(quán) 過(guò)程中完成。加密算法協(xié)商由用戶與運(yùn)營(yíng)商網(wǎng)間的安全模式協(xié)商機(jī)制完成。在 無(wú)線接入鏈路上仍然采用分組密碼流對(duì)原始數(shù)據(jù)加密，采用了 f8算法，如下圖 所示。它有5個(gè)輸入：COUNT是密鑰序列號(hào)；BEARER是鏈路身份指示； DIRECTION是上下行鏈路指示;LENGTH是密碼流長(zhǎng)度指示;CK是長(zhǎng)度位128 bit的加密密鑰。cuwr DIRK Ft 隊(duì)HEARERLENGTHFix. “ JG ciKiphciiitKcuwr DIRK Ft 隊(duì)HEARERLENGTHFix. “ JG ciKiphciiitKRNC 或 tJE2G加密密鑰為64位，3G為128位；2G加密采用預(yù)先共享的密鑰，3G通過(guò) 協(xié)商算出密鑰，所以3G的安全