鄧霄博，杜 勇，朱偉光，陸自強(qiáng)

（邁普通信技術(shù)股份有限公司研究院 成都 610041）

1 前言

隨著3G業(yè)務(wù)的不斷普及，針對(duì)企業(yè)用戶(hù)“3G移動(dòng)專(zhuān)用網(wǎng)”的需求，運(yùn)營(yíng)商推出了3G的 VPDN（virtual private dial network）業(yè)務(wù)，即基于3G無(wú)線接入方式的虛擬專(zhuān)用撥號(hào)網(wǎng)業(yè)務(wù)，它是利用L2TP隧道傳輸協(xié)議，在現(xiàn)有的撥號(hào)網(wǎng)絡(luò)上構(gòu)建一條虛擬、不受外界干擾的專(zhuān)用通道，實(shí)現(xiàn)類(lèi)似采用有線專(zhuān)用網(wǎng)絡(luò)的方式訪問(wèn)企業(yè)內(nèi)部網(wǎng)資源。數(shù)據(jù)通信設(shè)備廠商也及時(shí)地推出了3G路由器來(lái)適應(yīng)行業(yè)用戶(hù)的這個(gè)應(yīng)用趨勢(shì)，企業(yè)網(wǎng)已經(jīng)全面進(jìn)入3G聯(lián)網(wǎng)時(shí)代。

類(lèi)似金融、政府這類(lèi)網(wǎng)點(diǎn)眾多、擁有大量離行ATM接入、邊遠(yuǎn)鄉(xiāng)鎮(zhèn)接入和移動(dòng)網(wǎng)點(diǎn)接入需求的行業(yè)用戶(hù)，都把目光放到了3G接入上，因此，如何提高基于3G網(wǎng)絡(luò)開(kāi)展企業(yè)數(shù)據(jù)通信的安全性，成為對(duì)數(shù)據(jù)安全性要求較高行業(yè)大規(guī)模應(yīng)用3G網(wǎng)絡(luò)的最大障礙。

2 3G網(wǎng)絡(luò)數(shù)據(jù)通信應(yīng)用概述

基于3G的數(shù)據(jù)通信應(yīng)用有以下幾種組網(wǎng)模式。

（1）訪問(wèn) Internet

3G路由器配置3G模塊，使用公用的APN名稱(chēng)、用戶(hù)名密碼，通過(guò)運(yùn)營(yíng)商無(wú)線基站接入Internet網(wǎng)絡(luò)，配置NAT地址轉(zhuǎn)換功能，3G路由器內(nèi)網(wǎng)PC通過(guò)3G網(wǎng)絡(luò)訪問(wèn)公網(wǎng)資源，如網(wǎng)頁(yè)瀏覽、公網(wǎng)郵箱、即時(shí)通信、網(wǎng)絡(luò)下載等資源，如圖1所示。

（2）Internet+VPN 隧道

3G路由器配置3G模塊，使用公用的APN名稱(chēng)、用戶(hù)名密碼，通過(guò)運(yùn)營(yíng)商無(wú)線基站接入Internet網(wǎng)絡(luò)。對(duì)于需要訪問(wèn)公網(wǎng)資源的數(shù)據(jù)流，經(jīng)過(guò)配置NAT地址轉(zhuǎn)換后直接與Internet進(jìn)行通信；對(duì)于需要訪問(wèn)總部機(jī)構(gòu)私網(wǎng)資源的數(shù)據(jù)流（如公司VoIP語(yǔ)音電話(huà)、視頻會(huì)議系統(tǒng)、內(nèi)部辦公OA系統(tǒng)等），通過(guò)3G路由器與總部路由器建立的IPSec VPN加密隧道進(jìn)行直接通信。如圖2所示。

（3）3G VPDN 專(zhuān)網(wǎng)

如圖3所示，為保證企業(yè)大客戶(hù)3G接入網(wǎng)的業(yè)務(wù)安全需求，運(yùn)營(yíng)商可向用戶(hù)提供專(zhuān)線APN（access point name）傳輸方式，為用戶(hù)提供專(zhuān)用的接入點(diǎn)名稱(chēng)，并可提供用戶(hù)名、密碼、IMSI的多重安全認(rèn)證功能。LNS為用戶(hù)總部端設(shè)備（路由器、VPN設(shè)備）通過(guò)專(zhuān)線與運(yùn)營(yíng)商網(wǎng)絡(luò)互連，分支網(wǎng)點(diǎn)的3G路由器配置3G模塊，使用企業(yè)申請(qǐng)的專(zhuān)用APN名稱(chēng)、用戶(hù)名密碼接入3G網(wǎng)絡(luò)。運(yùn)營(yíng)商通過(guò)APN名稱(chēng)或用戶(hù)名密碼判斷該用戶(hù)是否為企業(yè)專(zhuān)網(wǎng)用戶(hù)，之后交由LAC設(shè)備觸發(fā)與用戶(hù)端LNS設(shè)備的L2TP認(rèn)證協(xié)商，并最終由LNS設(shè)備為分支網(wǎng)點(diǎn)3G路由器分配私網(wǎng)IP地址，實(shí)現(xiàn)與分支網(wǎng)點(diǎn)與總部私網(wǎng)的專(zhuān)線互通。

基于3G VPDN的專(zhuān)網(wǎng)是運(yùn)營(yíng)商主推的一種模式，本文將著重分析基于3G VPDN專(zhuān)網(wǎng)應(yīng)用的安全部署問(wèn)題，下面首先分析3G的安全機(jī)制。

3 3G的安全機(jī)制

無(wú)線通信本身的特點(diǎn)是既容易讓合法用戶(hù)接入，也容易被潛在的非法用戶(hù)竊取，因此，安全問(wèn)題總是同移動(dòng)通信網(wǎng)絡(luò)密切相關(guān)。針對(duì)無(wú)線通信存在的安全問(wèn)題，3G系統(tǒng)進(jìn)行了如下優(yōu)化：

·實(shí)現(xiàn)了雙向認(rèn)證，不但提供了基站對(duì)MS的認(rèn)證，也提供了MS對(duì)基站的認(rèn)證，可有效地防止偽基站的攻擊；·提供了接入鏈路信令數(shù)據(jù)的完整性保護(hù)；· 密鑰長(zhǎng)度增加為128 bit，改進(jìn)了算法；

·3GPP接入鏈路數(shù)據(jù)加密延伸至無(wú)線接入控制器（RNC）；

·3G的安全機(jī)制具有可拓展性，為將來(lái)引入新業(yè)務(wù)提供安全保護(hù)措施；

·3G能向用戶(hù)提供安全可視性操作，用戶(hù)可隨時(shí)查

看自己所用的安全模式及安全級(jí)別。

在密鑰長(zhǎng)度、加密算法選定、鑒別機(jī)制和數(shù)據(jù)完整性檢驗(yàn)等方面，3G的安全性能遠(yuǎn)遠(yuǎn)優(yōu)于2G。但是3G的這些安全機(jī)制僅僅局限于無(wú)線部分，針對(duì)基于3G接入的無(wú)線企業(yè)網(wǎng)而言，無(wú)線部分的安全是遠(yuǎn)遠(yuǎn)不夠的，需要保證數(shù)據(jù)在整個(gè)傳輸過(guò)程中的安全性，即端到端的安全性。

4 3G路由器接入安全部署探討

隨著3G數(shù)據(jù)通信應(yīng)用的發(fā)展，數(shù)據(jù)通信廠家推出了3G安全路由器，能夠很好地解決3G網(wǎng)絡(luò)數(shù)據(jù)安全傳輸問(wèn)題。下面以3G安全路由器在金融離行ATM的應(yīng)用為例做一個(gè)分析。

如圖4所示，金融離行ATM網(wǎng)點(diǎn)使用3G路由器無(wú)線接入3G無(wú)線網(wǎng)絡(luò)，通過(guò)運(yùn)營(yíng)商3G無(wú)線基站及IP核心網(wǎng)連接金融一級(jí)或二級(jí)網(wǎng)匯聚路由器，實(shí)現(xiàn)了離行ATM與金融一級(jí)或二級(jí)網(wǎng)的業(yè)務(wù)互訪。

3G接入安全部署如圖5所示。

根據(jù)應(yīng)用模式，3G接入安全部署需要基于以下幾點(diǎn)考慮。

（1）接入認(rèn)證安全

要求在進(jìn)行3G網(wǎng)絡(luò)登錄時(shí)，提供基于用戶(hù)名、密碼、IMSI（international mobile subscriber identity，國(guó)際移動(dòng)用戶(hù)識(shí)別碼）的多重身份認(rèn)證綁定功能，保證接入用戶(hù)的惟一性，防止非法用戶(hù)利用3G網(wǎng)絡(luò)接入用戶(hù)專(zhuān)用網(wǎng)絡(luò)。

（2）端到端的私有性

為了保證用戶(hù)業(yè)務(wù)的私密性，必須要求解決方案從網(wǎng)點(diǎn)3G路由器到金融、政府行業(yè)一級(jí)或二級(jí)網(wǎng)匯聚路由器提供端到端的私有專(zhuān)用通道，以保證網(wǎng)點(diǎn)業(yè)務(wù)在運(yùn)營(yíng)商網(wǎng)絡(luò)傳輸過(guò)程中的私有性。

（3）端到端的安全加密

為了進(jìn)一步保證網(wǎng)點(diǎn)業(yè)務(wù)數(shù)據(jù)在運(yùn)營(yíng)商3G無(wú)線網(wǎng)絡(luò)以及IP核心網(wǎng)傳輸過(guò)程中的安全，防止黑客利用其他非法手段截取金融、政府等行業(yè)敏感數(shù)據(jù)，要求安全解決方案必須提供網(wǎng)點(diǎn)3G路由器到金融、政府行業(yè)一級(jí)或二級(jí)網(wǎng)匯聚路由器端到端的加密安全。特別是金融和政府類(lèi)信息敏感行業(yè)，這種加密安全更需要國(guó)家密碼管理委員會(huì)辦公室（以下簡(jiǎn)稱(chēng)國(guó)密辦）加密算法的支持，以保障國(guó)家信息安全的高度機(jī)密性。

5 3G路由器安全接入解決方案

如圖6所示，網(wǎng)點(diǎn)的3G安全接入部署方案，分別通過(guò)專(zhuān)有APN＋綁定接入認(rèn)證、L2TP私有隧道、IPSec安全加密技術(shù)來(lái)實(shí)現(xiàn)3G部署時(shí)對(duì)接入認(rèn)證、端到端的私有性、端到端安全加密的安全原則，具體部署方案如下。

（1）專(zhuān)有APN+綁定接入認(rèn)證

在進(jìn)行網(wǎng)點(diǎn)的3G無(wú)線接入部署時(shí)，需要先向運(yùn)營(yíng)商申請(qǐng)分配的專(zhuān)網(wǎng)APN，類(lèi)似行業(yè)專(zhuān)用的3G無(wú)線局域網(wǎng)，保證網(wǎng)點(diǎn)接入3G網(wǎng)絡(luò)后，只能訪問(wèn)行業(yè)專(zhuān)用網(wǎng)絡(luò)，保證無(wú)法與其他網(wǎng)絡(luò)進(jìn)行通信。網(wǎng)點(diǎn)采用3G路由器接入方式，運(yùn)營(yíng)商會(huì)將網(wǎng)點(diǎn)用戶(hù)的IMSI信息（IMSI是在運(yùn)營(yíng)商網(wǎng)絡(luò)中惟一識(shí)別移動(dòng)用戶(hù)的號(hào)碼，由15位數(shù)字組成，存于SIM卡中）、終端用戶(hù)的賬號(hào)和密碼事先配置在運(yùn)營(yíng)商的認(rèn)證服務(wù)器上。當(dāng)網(wǎng)點(diǎn)的3G路由器發(fā)起無(wú)線連接時(shí)，只允許綁定信息合法的用戶(hù)通過(guò)用戶(hù)名、密碼的AAA認(rèn)證后接入3G專(zhuān)用網(wǎng)絡(luò)，防止非法SIM卡用戶(hù)撥入用戶(hù)3G專(zhuān)網(wǎng)。

此外，可進(jìn)一步通過(guò)3G路由器設(shè)置SIM卡的PIN碼保護(hù)功能，只有知道SIM卡的PIN碼才能觸發(fā)3G撥號(hào)，防止非法用戶(hù)獲取到用戶(hù)SIM卡后進(jìn)行非法操作，保證了SIM卡使用的安全。

（2）L2TP＋I(xiàn)PSec VPN 私有隧道

為了保證3G接入網(wǎng)點(diǎn)的數(shù)據(jù)業(yè)務(wù)在運(yùn)營(yíng)商IP核心網(wǎng)中傳輸?shù)牡乃接行?，用?hù)向運(yùn)營(yíng)商申請(qǐng)企業(yè)集團(tuán)用戶(hù)3G的VPDN業(yè)務(wù)，基于3G無(wú)線接入方式的虛擬專(zhuān)用撥號(hào)網(wǎng)業(yè)務(wù)，它是利用安全的L2TP隧道傳輸協(xié)議，在現(xiàn)有的撥號(hào)網(wǎng)絡(luò)上構(gòu)建一條虛擬、不受外界干擾的專(zhuān)用通道，從而能夠安全地訪問(wèn)企業(yè)內(nèi)部網(wǎng)資源。

運(yùn)營(yíng)商會(huì)為行業(yè)用戶(hù)的3G VPDN業(yè)務(wù)提供L2TP的LAC端路由器及配套的AAA服務(wù)器。金融、政府等行業(yè)一級(jí)或二級(jí)網(wǎng)匯聚層采用一臺(tái)路由器作為L(zhǎng)2TP的LNS端，并部署一臺(tái)AAA服務(wù)器。LAC路由器主要負(fù)責(zé)對(duì)3G用戶(hù)的接入認(rèn)證，與該用戶(hù)所屬企業(yè)的專(zhuān)有LNS建立L2TP隧道。一級(jí)或二級(jí)網(wǎng)匯聚層的AAA服務(wù)器主要存放網(wǎng)點(diǎn)路由器建立連接時(shí)所需要的用戶(hù)名和密碼。用戶(hù)名的格式為xx＠xx.com，其中＠前面的字符串可以由用戶(hù)自行定義，＠后面的字符串即域名。運(yùn)營(yíng)商AAA服務(wù)器通過(guò)域名確認(rèn)該用戶(hù)的接入權(quán)限。運(yùn)營(yíng)商AAA服務(wù)器與企業(yè)AAA服務(wù)器的用戶(hù)名和密碼必須一致。

L2TP私有隧道建立過(guò)程如圖7所示，過(guò)程如下：

·網(wǎng)點(diǎn)路由器通過(guò)3G網(wǎng)絡(luò)完成對(duì)接入用戶(hù)的APN認(rèn)證；

·路由器啟動(dòng)PPP撥號(hào)向LAC發(fā)出認(rèn)證請(qǐng)求；

·LAC把認(rèn)證請(qǐng)求轉(zhuǎn)至運(yùn)營(yíng)商LAC AAA服務(wù)器；

·AAA服務(wù)器將會(huì)回復(fù)認(rèn)證結(jié)果并返回該用戶(hù)所屬的LNS地址、VPDN隧道屬性等信息；

·LAC向返回的LNS地址發(fā)出L2TP隧道建立請(qǐng)求，隧道建立成功（請(qǐng)求建立隧道的認(rèn)證可選）；

·LNS對(duì)網(wǎng)點(diǎn)路由器的用戶(hù)名和密碼進(jìn)行重新認(rèn)證（LNS對(duì)網(wǎng)點(diǎn)路由器的重認(rèn)證可選）；

·L2TP隧道建立完成。網(wǎng)點(diǎn)路由器對(duì)應(yīng)的撥號(hào)接口UP，建立正常私有隧道通信；

·如果網(wǎng)點(diǎn)發(fā)起了能夠觸發(fā)IPSec VPN的流量，則IPSec VPN隧道建立過(guò)程啟動(dòng)，網(wǎng)點(diǎn)路由器與LNS發(fā)起IPSec VPN連接請(qǐng)求。

（3）IPSec安全加密

針對(duì)端到端的安全加密原則，如前文所述，3G技術(shù)自身具有加密驗(yàn)證技術(shù)，但是3G的加密驗(yàn)證技術(shù)只針對(duì)無(wú)線部分，而在IP核心網(wǎng)部分，從LAC到LNS之間的L2TP隧道是不加密的，數(shù)據(jù)還是明文傳送。而從LAC到網(wǎng)絡(luò)中間還有可能經(jīng)過(guò)運(yùn)營(yíng)商的IP網(wǎng)絡(luò)，為了達(dá)到端到端的加密傳輸，需要在網(wǎng)點(diǎn)和總部路由器之間，采用IPSec實(shí)現(xiàn)端到端的加密，如圖8所示。

IPSec通過(guò)AH、ESP協(xié)議保證了數(shù)據(jù)的安全傳輸。

·私有性：用戶(hù)的敏感數(shù)據(jù)以密文形式傳送；

·完整性：對(duì)接收的數(shù)據(jù)進(jìn)行驗(yàn)證，判斷數(shù)據(jù)是否被篡改；

·真實(shí)性：驗(yàn)證數(shù)據(jù)源，判斷數(shù)據(jù)來(lái)自真實(shí)的發(fā)送者；

·防重放：防止惡意用戶(hù)通過(guò)重復(fù)發(fā)送捕獲到的數(shù)據(jù)包所進(jìn)行的攻擊，即接收方會(huì)拒絕舊的或重復(fù)的數(shù)據(jù)包。

按照IPSec VPN技術(shù)要求，支持的加密算法主要有DES、DES、AES128、AES192、AES256 等 ，要求支持的 HASH算法為MD5和SHA等。此外，擁有國(guó)家商用密碼管理辦公室頒發(fā)的商用密碼產(chǎn)品資質(zhì)的設(shè)備商，除了常見(jiàn)的加密算法外，還能夠?yàn)榻鹑?、政府等行業(yè)用戶(hù)的3G接入提供符合國(guó)密辦加密算法的支持，并遵照國(guó)密辦IPSec VPN技術(shù)規(guī)范要求對(duì)路由器進(jìn)行設(shè)計(jì)，能進(jìn)一步確保國(guó)家信息安全。

6 結(jié)束語(yǔ)

企業(yè)網(wǎng)進(jìn)入3G無(wú)線聯(lián)網(wǎng)時(shí)代，更加完善的網(wǎng)絡(luò)安全解決方案有利于基于3G接入的無(wú)線企業(yè)網(wǎng)得到真正的規(guī)模應(yīng)用。在信息安全已經(jīng)上升到國(guó)家戰(zhàn)略層面的今天，如何在通信技術(shù)不斷發(fā)展的情況下，始終維持一個(gè)相稱(chēng)、可控的安全機(jī)制，是一個(gè)需要持續(xù)討論的話(huà)題。相信在政府和企業(yè)的推動(dòng)下，堅(jiān)持建設(shè)自己的安全網(wǎng)絡(luò)，牢牢把握住信息安全競(jìng)爭(zhēng)中的主動(dòng)權(quán)，更有利于基于3G網(wǎng)絡(luò)的企業(yè)數(shù)據(jù)通信的蓬勃發(fā)展。