基于3G网络的企业数据通信安全方案

邓霄博，杜 勇，朱伟光，陆自强

（迈普通信技术股份有限公司研究院 成都 610041）

1 前言

随着3G业务的不断普及，针对企业用户“3G移动专用网”的需求，运营商推出了3G的 VPDN（virtual private dial network）业务，即基于3G无线接入方式的虚拟专用拨号网业务，它是利用L2TP隧道传输协议，在现有的拨号网络上构建一条虚拟、不受外界干扰的专用通道，实现类似采用有线专用网络的方式访问企业内部网资源。数据通信设备厂商也及时地推出了3G路由器来适应行业用户的这个应用趋势，企业网已经全面进入3G联网时代。

类似金融、政府这类网点众多、拥有大量离行ATM接入、边远乡镇接入和移动网点接入需求的行业用户，都把目光放到了3G接入上，因此，如何提高基于3G网络开展企业数据通信的安全性，成为对数据安全性要求较高行业大规模应用3G网络的最大障碍。

2 3G网络数据通信应用概述

基于3G的数据通信应用有以下几种组网模式。

（1）访问 Internet

3G路由器配置3G模块，使用公用的APN名称、用户名密码，通过运营商无线基站接入Internet网络，配置NAT地址转换功能，3G路由器内网PC通过3G网络访问公网资源，如网页浏览、公网邮箱、即时通信、网络下载等资源，如图1所示。

（2）Internet+VPN 隧道

3G路由器配置3G模块，使用公用的APN名称、用户名密码，通过运营商无线基站接入Internet网络。对于需要访问公网资源的数据流，经过配置NAT地址转换后直接与Internet进行通信；对于需要访问总部机构私网资源的数据流（如公司VoIP语音电话、视频会议系统、内部办公OA系统等），通过3G路由器与总部路由器建立的IPSec VPN加密隧道进行直接通信。如图2所示。

（3）3G VPDN 专网

如图3所示，为保证企业大客户3G接入网的业务安全需求，运营商可向用户提供专线APN（access point name）传输方式，为用户提供专用的接入点名称，并可提供用户名、密码、IMSI的多重安全认证功能。LNS为用户总部端设备（路由器、VPN设备）通过专线与运营商网络互连，分支网点的3G路由器配置3G模块，使用企业申请的专用APN名称、用户名密码接入3G网络。运营商通过APN名称或用户名密码判断该用户是否为企业专网用户，之后交由LAC设备触发与用户端LNS设备的L2TP认证协商，并最终由LNS设备为分支网点3G路由器分配私网IP地址，实现与分支网点与总部私网的专线互通。

基于3G VPDN的专网是运营商主推的一种模式，本文将着重分析基于3G VPDN专网应用的安全部署问题，下面首先分析3G的安全机制。

3 3G的安全机制

无线通信本身的特点是既容易让合法用户接入，也容易被潜在的非法用户窃取，因此，安全问题总是同移动通信网络密切相关。针对无线通信存在的安全问题，3G系统进行了如下优化：

·实现了双向认证，不但提供了基站对MS的认证，也提供了MS对基站的认证，可有效地防止伪基站的攻击；·提供了接入链路信令数据的完整性保护；· 密钥长度增加为128 bit，改进了算法；

·3GPP接入链路数据加密延伸至无线接入控制器（RNC）；

·3G的安全机制具有可拓展性，为将来引入新业务提供安全保护措施；

·3G能向用户提供安全可视性操作，用户可随时查

看自己所用的安全模式及安全级别。

在密钥长度、加密算法选定、鉴别机制和数据完整性检验等方面，3G的安全性能远远优于2G。但是3G的这些安全机制仅仅局限于无线部分，针对基于3G接入的无线企业网而言，无线部分的安全是远远不够的，需要保证数据在整个传输过程中的安全性，即端到端的安全性。

4 3G路由器接入安全部署探讨

随着3G数据通信应用的发展，数据通信厂家推出了3G安全路由器，能够很好地解决3G网络数据安全传输问题。下面以3G安全路由器在金融离行ATM的应用为例做一个分析。

如图4所示，金融离行ATM网点使用3G路由器无线接入3G无线网络，通过运营商3G无线基站及IP核心网连接金融一级或二级网汇聚路由器，实现了离行ATM与金融一级或二级网的业务互访。

3G接入安全部署如图5所示。

根据应用模式，3G接入安全部署需要基于以下几点考虑。

（1）接入认证安全

要求在进行3G网络登录时，提供基于用户名、密码、IMSI（international mobile subscriber identity，国际移动用户识别码）的多重身份认证绑定功能，保证接入用户的惟一性，防止非法用户利用3G网络接入用户专用网络。

（2）端到端的私有性

为了保证用户业务的私密性，必须要求解决方案从网点3G路由器到金融、政府行业一级或二级网汇聚路由器提供端到端的私有专用通道，以保证网点业务在运营商网络传输过程中的私有性。

（3）端到端的安全加密

为了进一步保证网点业务数据在运营商3G无线网络以及IP核心网传输过程中的安全，防止黑客利用其他非法手段截取金融、政府等行业敏感数据，要求安全解决方案必须提供网点3G路由器到金融、政府行业一级或二级网汇聚路由器端到端的加密安全。特别是金融和政府类信息敏感行业，这种加密安全更需要国家密码管理委员会办公室（以下简称国密办）加密算法的支持，以保障国家信息安全的高度机密性。

5 3G路由器安全接入解决方案

如图6所示，网点的3G安全接入部署方案，分别通过专有APN＋绑定接入认证、L2TP私有隧道、IPSec安全加密技术来实现3G部署时对接入认证、端到端的私有性、端到端安全加密的安全原则，具体部署方案如下。

（1）专有APN+绑定接入认证

在进行网点的3G无线接入部署时，需要先向运营商申请分配的专网APN，类似行业专用的3G无线局域网，保证网点接入3G网络后，只能访问行业专用网络，保证无法与其他网络进行通信。网点采用3G路由器接入方式，运营商会将网点用户的IMSI信息（IMSI是在运营商网络中惟一识别移动用户的号码，由15位数字组成，存于SIM卡中）、终端用户的账号和密码事先配置在运营商的认证服务器上。当网点的3G路由器发起无线连接时，只允许绑定信息合法的用户通过用户名、密码的AAA认证后接入3G专用网络，防止非法SIM卡用户拨入用户3G专网。

此外，可进一步通过3G路由器设置SIM卡的PIN码保护功能，只有知道SIM卡的PIN码才能触发3G拨号，防止非法用户获取到用户SIM卡后进行非法操作，保证了SIM卡使用的安全。

（2）L2TP＋IPSec VPN 私有隧道

为了保证3G接入网点的数据业务在运营商IP核心网中传输的的私有性，用户向运营商申请企业集团用户3G的VPDN业务，基于3G无线接入方式的虚拟专用拨号网业务，它是利用安全的L2TP隧道传输协议，在现有的拨号网络上构建一条虚拟、不受外界干扰的专用通道，从而能够安全地访问企业内部网资源。

运营商会为行业用户的3G VPDN业务提供L2TP的LAC端路由器及配套的AAA服务器。金融、政府等行业一级或二级网汇聚层采用一台路由器作为L2TP的LNS端，并部署一台AAA服务器。LAC路由器主要负责对3G用户的接入认证，与该用户所属企业的专有LNS建立L2TP隧道。一级或二级网汇聚层的AAA服务器主要存放网点路由器建立连接时所需要的用户名和密码。用户名的格式为xx＠xx.com，其中＠前面的字符串可以由用户自行定义，＠后面的字符串即域名。运营商AAA服务器通过域名确认该用户的接入权限。运营商AAA服务器与企业AAA服务器的用户名和密码必须一致。

L2TP私有隧道建立过程如图7所示，过程如下：

·网点路由器通过3G网络完成对接入用户的APN认证；

·路由器启动PPP拨号向LAC发出认证请求；

·LAC把认证请求转至运营商LAC AAA服务器；

·AAA服务器将会回复认证结果并返回该用户所属的LNS地址、VPDN隧道属性等信息；

·LAC向返回的LNS地址发出L2TP隧道建立请求，隧道建立成功（请求建立隧道的认证可选）；

·LNS对网点路由器的用户名和密码进行重新认证（LNS对网点路由器的重认证可选）；

·L2TP隧道建立完成。网点路由器对应的拨号接口UP，建立正常私有隧道通信；

·如果网点发起了能够触发IPSec VPN的流量，则IPSec VPN隧道建立过程启动，网点路由器与LNS发起IPSec VPN连接请求。

（3）IPSec安全加密

针对端到端的安全加密原则，如前文所述，3G技术自身具有加密验证技术，但是3G的加密验证技术只针对无线部分，而在IP核心网部分，从LAC到LNS之间的L2TP隧道是不加密的，数据还是明文传送。而从LAC到网络中间还有可能经过运营商的IP网络，为了达到端到端的加密传输，需要在网点和总部路由器之间，采用IPSec实现端到端的加密，如图8所示。

IPSec通过AH、ESP协议保证了数据的安全传输。

·私有性：用户的敏感数据以密文形式传送；

·完整性：对接收的数据进行验证，判断数据是否被篡改；

·真实性：验证数据源，判断数据来自真实的发送者；

·防重放：防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。

按照IPSec VPN技术要求，支持的加密算法主要有DES、DES、AES128、AES192、AES256 等 ，要求支持的 HASH算法为MD5和SHA等。此外，拥有国家商用密码管理办公室颁发的商用密码产品资质的设备商，除了常见的加密算法外，还能够为金融、政府等行业用户的3G接入提供符合国密办加密算法的支持，并遵照国密办IPSec VPN技术规范要求对路由器进行设计，能进一步确保国家信息安全。

6 结束语

企业网进入3G无线联网时代，更加完善的网络安全解决方案有利于基于3G接入的无线企业网得到真正的规模应用。在信息安全已经上升到国家战略层面的今天，如何在通信技术不断发展的情况下，始终维持一个相称、可控的安全机制，是一个需要持续讨论的话题。相信在政府和企业的推动下，坚持建设自己的安全网络，牢牢把握住信息安全竞争中的主动权，更有利于基于3G网络的企业数据通信的蓬勃发展。