金融行業(yè)3G無線安全接入解決方案

1、3G無線安全接入解決方案銳捷網(wǎng)絡(luò) TOC o 1-5 h z HYPERLINK l bookmark8 o Current Document 1、客戶存在的困惑3 HYPERLINK l bookmark15 o Current Document 2、3G數(shù)據(jù)業(yè)務(wù)介紹33、解決方案 63.1.整體方案概述6 HYPERLINK l bookmark32 o Current Document 3.2 .安全保障措施8 HYPERLINK l bookmark38 o Current Document 4、附3G無線安全介紹 91、客戶存在的困惑長期以來SDH/ATM/DDN等專線做為銀行柜面網(wǎng)

2、點、自助銀行、離行式ATM、上門服務(wù)業(yè) 務(wù)接入的唯一選擇，很好地保障了金融業(yè)務(wù)的開展。但是這幾年銀行以下幾點的變化，使得 傳統(tǒng)的專線存在一些不足：1、近年來銀行部署了大量的離行式ATM機(jī)、查詢機(jī)、自助銀行，讓客戶體驗到無處不 在的便利服務(wù)。但是這些網(wǎng)點分散在大街小巷、商場社區(qū)、甚至沿海省份海島上、 西北省份大型油田/電力/軍隊系統(tǒng)中，外部專線難以進(jìn)入，影響布放點的選擇和業(yè) 務(wù)開展。2、銀行為VIP客戶提供上門辦理業(yè)務(wù)的服務(wù)，需要移動網(wǎng)點。銀行在學(xué)校/企業(yè)/大型 會議提供的臨時服務(wù)，需要臨時網(wǎng)點。這兩種需求都有一個共同的特點，機(jī)動靈活， 但專線開通的周期長，機(jī)動靈活性不足。3、集約化已經(jīng)成為銀行

3、經(jīng)營管理的主旋律，銀行更加關(guān)注成本及收益，大量的柜面網(wǎng) 點由于重要性高，都要求采用雙線路保證更高的可靠性，采用雙專線線路備份成本 高。尤其是備份線路，只在主線路故障時才啟用，長期閑置，投資利用率低。2、3G數(shù)據(jù)業(yè)務(wù)介紹3G飛速發(fā)展2009年1月份國家工業(yè)與信息化部正式向移動、電信、聯(lián)通三家運營商分別頒發(fā)了 TD-SCDMA、CDMA2000、WCDMA三張牌照，3G開始正式拉開序幕。通過3G用戶可以實現(xiàn)無線 寬帶接入，在速度方面和2.5G相比有質(zhì)的飛越，這使得3G在更多企業(yè)通訊場合中替代有線 成為了可能。目前三種3G的理論速率如下：中國聯(lián)通：WCDMA，下行7.2M，上行5.76M；中國移動：

4、TD-SCDMA，下行2M，上行384K；中國電信：WCDMA2000，下行3.1M，上行1.8M；經(jīng)過近一年的發(fā)展，3G無線信號已經(jīng)覆蓋了眾多的城市，并且運營商仍不斷在擴(kuò)大覆 蓋的范圍，優(yōu)化信號質(zhì)量。目前情況大致如下：中國聯(lián)通：覆蓋全國285個城市（截止2009年9月）中國移動：覆蓋全國238個城市（截止2009年底）中國電信：覆蓋全國342個城市（截止2009年9月）3G的飛速發(fā)展為銀行通過無線技術(shù)解決目前有線專線存在的問題，成為可能。3G兩種數(shù)據(jù)業(yè)務(wù)3G用于企業(yè)數(shù)據(jù)通訊的業(yè)務(wù)可以歸結(jié)為兩種:一種是普通互聯(lián)網(wǎng)業(yè)務(wù);一種是無線VPDN業(yè)務(wù)（或無線DDN）。相對應(yīng)就有兩種解決方案:第一種，通過

5、互聯(lián)網(wǎng)自建VPN的方案。網(wǎng)點路由器通過3G撥到普通互聯(lián)網(wǎng)，總 部出口架設(shè)一條直通互聯(lián)網(wǎng)的專線，且分配公有地址。網(wǎng)點和總部的路由器之間 直接建立IPSEC VPN加密隧道。由于有些運營商為3G分配私有地址，運營商內(nèi) 部要經(jīng)過NAT，所以需要采用IPSEC VPN穿越NAT的機(jī)制。上 第二種，利用運營商提供的VPDN方案。網(wǎng)點路由器通過3G撥號至運營商的LAC 設(shè)備，然后LAC設(shè)備通過專線和總部出口的路由器（即LNS）建立L2TP VPN隧道。 然后網(wǎng)點路由器再與總部路由器，在L2TP基礎(chǔ)之上建立IPSEC VPN加密隧道。運營商可以通過策略使網(wǎng)點3G SIM卡，只開通VPDN服務(wù)，禁止互聯(lián)網(wǎng)服務(wù)

6、，這 樣即保證安全又可以防止員工非法使用。運營商和總部之間可以采用專線、城域 網(wǎng)VPN等線路，針對銀行一般采用SDH/MSTP等專線更加安全。兩種方案優(yōu)劣勢的分析對比如下：第一種方案網(wǎng)點3G和總部出口鏈路都連接普通互聯(lián)網(wǎng)，成本較低，但安全性較 差，網(wǎng)點的3G和總部的鏈路不一定是同一家運營商，組網(wǎng)靈活性好。因此，適 用于移動辦公等應(yīng)用場合。第二種方案網(wǎng)點的3G只能撥到總部，總部采用專線，兩端都和互聯(lián)網(wǎng)隔離，安 全性高，成本較高，網(wǎng)點的3G必須和總部的專線隸屬同一家運營商，靈活性較 差。因此適用于生產(chǎn)環(huán)境下的應(yīng)用場合。3、解決方案3.1.整體方案概述如上圖所示，網(wǎng)點采用路由器+3G MODEM，運

7、營商需要有LAC及配套的AAA服務(wù)器?？?部需要準(zhǔn)備一臺路由器（LNS），一條專線，一臺AAA服務(wù)器。AAA服務(wù)器負(fù)責(zé)對3G用戶進(jìn) 行認(rèn)證并向LAC下發(fā)該用戶對應(yīng)的LNS信息，LAC負(fù)責(zé)與LNS建立隧道。網(wǎng)點路由器的IP 地址，可以靜態(tài)指定也可以由AAA服務(wù)器分配（注：中國移動VPDN的3G用戶地址空間不能 隨意分配，須按照移動的統(tǒng)一規(guī)劃，使用地址空間）。解決方案建議網(wǎng)點端采用靜態(tài)IP地址。 LNS端路由器必須采用靜態(tài)IP地址。銳捷RSR10/20可以直接擴(kuò)展內(nèi)置的3G卡，滿足柜面網(wǎng)點、臨時網(wǎng)點、上門服務(wù)車等環(huán) 境中應(yīng)用需求。為了增強安全性RSR10/20可以擴(kuò)展國密辦的加密算法卡，這樣在涉及

8、到現(xiàn) 金生產(chǎn)交易業(yè)務(wù)的環(huán)境中，如離行式ATM、柜面網(wǎng)點，可以保證生產(chǎn)業(yè)務(wù)安全。同時，為滿 足離行式ATM機(jī)，上門服務(wù)車等應(yīng)用場合，銳捷定制了 RSR10的小尺寸機(jī)箱路由器，其重 量只有1KG，輕便易于攜帶，而且可以輕松地放入自助機(jī)具中，不需專門的機(jī)柜，部署方 便。同時，整個解決方案還可以兼容柜面業(yè)務(wù)延伸應(yīng)用，在柜面業(yè)務(wù)延伸應(yīng)用中柜員只攜帶 一臺筆記本電腦或終端上門服務(wù)，只需要普通的USB 3G卡采用操作系統(tǒng)自帶的IPSEC VPN客戶端撥號，銳捷的LNS路由器RSR30/50同樣可以兼容這種模式。工作原理如下:隧道屬性?？偛緼AA服務(wù)器主要存放網(wǎng)點路由器建立連接時所需要的用戶名和密碼。用戶名

9、的格式為 HYPERLINK mailto:XXXX.COM.CN XXXX.COM.CN,其中前面的字符串可以由用戶端自行定義，后面的字符串即域 名，必須由運營商分配。運營商AAA服務(wù)器通過域名，確認(rèn)該用戶的權(quán)限。運營商AAA服務(wù)器與總部AAA服務(wù)器的用戶名和密碼必須一致。以下是主要的報文交互過程：1）網(wǎng)點路由器3G modem通過無線信號找到運營商基站并注冊連接（對SIM卡 認(rèn)證、并協(xié)商雙方加密密鑰）。2）路由器啟動PPP撥號向LAC發(fā)出認(rèn)證請求。3）LAC把認(rèn)證請求轉(zhuǎn)至運營商LAC AAA服務(wù)器。4）AAA服務(wù)器將會回復(fù)認(rèn)證結(jié)果并返回該用戶所屬的LNS地址、VPDN隧道屬性 等信息。5）

10、LAC向返回的LNS地址發(fā)出L2TP隧道建立請求，隧道建立成功（請求建立隧 道的認(rèn)證可選）。6）LNS對網(wǎng)點路由器的用戶名和密碼進(jìn)行重新認(rèn)證（LNS對網(wǎng)點路由器的重認(rèn) 證可選）。7）L2TP隧道建立完成。網(wǎng)點路由器對應(yīng)的撥號接口 UP。8）如果網(wǎng)點發(fā)起了能夠觸發(fā)IPSEC VPN的流量，則IPSEC VPN隧道建立過程啟動。網(wǎng)點路由器與LNS發(fā)起IPSEC VPN連接請求。3.2 .安全保障措施安全措施，主要有以下幾個方面:無線如密；無線信號加密訪問控制=異招M卡的鑒 權(quán)，屏蔽非運營商授權(quán)卡訪問控制=IMS安全措施，主要有以下幾個方面:無線如密；無線信號加密訪問控制=異招M卡的鑒 權(quán)，屏蔽非運

11、營商授權(quán)卡訪問控制=IMS號+ 用戶名+IP地址。防1!內(nèi)部帳號/舊盜用。訪1同控制=運營商切 斷VPDNffl戶的 仍比儺防句極限。（電信根據(jù)域名，聯(lián) 通偕動袍據(jù)AP N號）訪偵控制=IMS I號+域名 綁定。防止非授權(quán)卡撥入 企業(yè)網(wǎng)。二1加密=幽點路由器與 LNS之間建立端到端的IPSEC VPN,對上層數(shù)據(jù) 進(jìn)行加密1）無線加密：網(wǎng)點路由器3G MODEM通過信號找到基站后，有一個注冊的過程，在這 個過程中運營商側(cè)需要對接入的3G SIM卡身份通過密鑰機(jī)制進(jìn)行確認(rèn)（這個過程 也稱為鑒權(quán)）。在身份確認(rèn)的過程中，雙方還會協(xié)商用于通訊加密的密鑰，并在通 信過程中采用該密鑰對數(shù)據(jù)和話音進(jìn)行加密，

12、以避免被監(jiān)聽。同時在對數(shù)據(jù)加密 完成之后，還會附加上校驗碼，對方在收到之后會重新計算和核對校驗碼是否正 確，以此判斷信息是否在無線傳輸過程中被篡改。2）訪問控制：訪問控制分成三部分，1、針對企業(yè)外部用戶的訪問控制；2、針對企 業(yè)內(nèi)部用戶的訪問控制；3、針對互聯(lián)網(wǎng)服務(wù)的訪問控制。針對第一點，運營商 AAA服務(wù)器上可以綁定賬號和SIM卡中的IMSI標(biāo)識號，由于不同的SIM卡IMSI 標(biāo)識號不同，所以企業(yè)外部用戶不可以使用非指定的卡撥進(jìn)企業(yè)中。針對第二點， 在企業(yè)總部的LNS AAA服務(wù)器上，可以將賬戶信息與IMSI號綁定。這樣可以防止 企業(yè)內(nèi)部用戶之間互相盜用賬號，導(dǎo)致定位和追溯的麻煩。針對第三點

13、，運營商在開SIM卡時，同時也設(shè)置了 SIM卡的訪問權(quán)限，對于VPDN企業(yè)用戶，關(guān)閉互聯(lián) 網(wǎng)服務(wù)，這樣就不用擔(dān)心與互聯(lián)網(wǎng)耦合度過高而引入安全隱患；3）數(shù)據(jù)加密：主要針對上層數(shù)據(jù)層面。無線物理層面主要是運營商3G本身提供的加 密服務(wù)，只針對無線信號的部分。從LAC到LNS之間雖然有L2TP隧道，但是該隧 道并不加密，還是明文傳送，且LAC到專線網(wǎng)中間還有可能經(jīng)過安全度相對較低 的網(wǎng)絡(luò)，所以在網(wǎng)點和LNS路由器之間，采用IPSEC VPN實現(xiàn)數(shù)據(jù)層面的端到端 加密。IPSEC VPN同樣采用密鑰的機(jī)制，提供身份認(rèn)證、數(shù)據(jù)保密和完整性的服 務(wù)；4、附3G無線安全介紹鑒權(quán)簡介鑒權(quán)就是指身份認(rèn)證，是對請

14、求進(jìn)入3G網(wǎng)絡(luò)的終端進(jìn)行身份合法性的確 認(rèn)，3G終端也會對運營商網(wǎng)絡(luò)的身份進(jìn)行確認(rèn)。用戶和運營商網(wǎng)絡(luò)之間進(jìn)行雙向認(rèn)證&在互相確認(rèn)對方身份的基礎(chǔ)上生成 數(shù)據(jù)加密密鑰CK,和數(shù)據(jù)完整性密鑰IK,為下一步的數(shù)據(jù)傳輸做準(zhǔn)備。原理如下:HE/EII.RSN/VLRS3認(rèn)征與卷協(xié)商HE/EII.RSN/VLRS3認(rèn)征與卷協(xié)商Bp- 3 ALntvntkflttcn 4ind l-y 由蝦emernMS即指用戶，SN/VLR、HE/HLR可以簡單理解為運營商中的兩種不同的設(shè)備，下 面還會提到USIM也可以簡單理解為是用戶側(cè)。用戶SIM卡和運營商側(cè)保存著一個相同的密鑰K。在運營商內(nèi)部會為每個 用戶生成多組的認(rèn)

15、證向量AV (RAND | XRES II CK | IK | AUTN)：序列號 1.RAND|XRESIICK|IK|AUTN序列號 2.RAND|XRESIICK|IK|AUTN序列號 3.RAND|XRESIICK|IK|AUTNAUTN表示認(rèn)證令牌(即一組字符串，有三種字符串組成，SQN+AK、AMF、消息 認(rèn)證碼，其中的SQN是指AV組序列號,AK是密鑰)；RES和XRES分別表示用戶 的應(yīng)答信息和運營商的應(yīng)答信息；RAND表示生成的隨機(jī)數(shù)；CK和IK分別表示 數(shù)據(jù)保密密鑰和數(shù)據(jù)完整性密鑰。大致過程如下：運營商收到用戶的接入請求時從一組認(rèn)證向量中選擇一組AV (i)，將AV (i)

16、中的RAND (i)和AUTN (i)發(fā)送給用戶的USIM進(jìn)行認(rèn)證。用戶收到RAND 和AUTN后計算出消息認(rèn)證碼XMAC (見下圖)，并與AUTN中包含的MAC相比較， 如果二者不同，USIM將向VLR / SGSN發(fā)送拒絕認(rèn)證消息。這個過程其實是用戶在認(rèn)證運營商網(wǎng)絡(luò)的合法性。f1、f2、f3、f4、f5是一種加解密算法，該算法由運營商掌握不對外公開，在 用戶辦理入網(wǎng)時，由運營商把算法及密鑰K存入SIM卡中。如果二者相同，USIM計算應(yīng)答信息XRES (i)，發(fā)送給SN (運營商側(cè)的設(shè) 備)。SN在收到應(yīng)答信息后，比較XRES (i)和RES (i)的值。如果相等則通 過認(rèn)證，否則不建立連接

17、。這樣就完成了雙向的鑒權(quán)。加密簡介在鑒權(quán)通過的基礎(chǔ)上，MS / USIM根據(jù)RAND (i)和它在入網(wǎng)時的共享密鑰Ki來 計算數(shù)據(jù)保密密鑰CKi和數(shù)據(jù)完整性密鑰IK (i)。SN根據(jù)發(fā)送的AV選擇對應(yīng) 的CK和IK。在3G系統(tǒng)中，網(wǎng)絡(luò)接入部分的數(shù)據(jù)保密性主要提供4個安全特性：加密算法協(xié) 商、加密密鑰協(xié)商、用戶數(shù)據(jù)加密和信令數(shù)據(jù)加密。其中加密密鑰協(xié)商在鑒權(quán) 過程中完成。加密算法協(xié)商由用戶與運營商網(wǎng)間的安全模式協(xié)商機(jī)制完成。在 無線接入鏈路上仍然采用分組密碼流對原始數(shù)據(jù)加密，采用了 f8算法，如下圖 所示。它有5個輸入：COUNT是密鑰序列號；BEARER是鏈路身份指示； DIRECTION是上下行鏈路指示;LENGTH是密碼流長度指示;CK是長度位128 bit的加密密鑰。cuwr DIRK Ft 隊HEARERLENGTHFix. “ JG ciKiphciiitKcuwr DIRK Ft 隊HEARERLENGTHFix. “ JG ciKiphciiitKRNC 或 tJE2G加密密鑰為64位，3G為128位；2G加密采用預(yù)先共享的密鑰，3G通過 協(xié)商算出密鑰，所以3G的安全