金融行业3G无线安全接入解决方案.doc
《金融行业3G无线安全接入解决方案.doc》由会员分享,可在线阅读,更多相关《金融行业3G无线安全接入解决方案.doc(13页珍藏版)》请在咨信网上搜索。
1、3G 无线安全接入解决方案3G无线安全接入解决方案锐捷网络目录、客户存在的困惑3、3G数据业务介绍3、解决方案6整体方案概述6安全保障措施8、附 3G无线安全介绍9、客户存在的困惑长期以来SDH/ATM/DDN等专线做为银行柜面网点、自助银行、离行式ATM、上门服务业务接入的唯一选择,很好地保障了金融业务的开展。但是这几年银行以下几点的变化,使得传统的专线存在一些不足:1、 近年来银行部署了大量的离行式ATM机、查询机、自助银行,让客户体验到无处不在的便利服务。但是这些网点分散在大街小巷、商场社区、甚至沿海省份海岛上、西北省份大型油田/电力/军队系统中,外部专线难以进入,影响布放点的选择和业务
2、开展。2、 银行为VIP客户提供上门办理业务的服务,需要移动网点。银行在学校/企业/大型会议提供的临时服务,需要临时网点。这两种需求都有一个共同的特点,机动灵活,但专线开通的周期长,机动灵活性不足。3、 集约化已经成为银行经营管理的主旋律,银行更加关注成本及收益,大量的柜面网点由于重要性高,都要求采用双线路保证更高的可靠性,采用双专线线路备份成本高。尤其是备份线路,只在主线路故障时才启用,长期闲置,投资利用率低。、3G数据业务介绍3G飞速发展2009年月份国家工业与信息化部正式向移动、电信、联通三家运营商分别颁发了TD-SCDMA、 CDMA2000、WCDMA三张牌照,3G开始正式拉开序幕。
3、通过3G用户可以实现无线宽带接入,在速度方面和2.5G相比有质的飞越,这使得3G在更多企业通讯场合中替代有线成为了可能。目前三种3G的理论速率如下:中国联通:WCDMA,下行7.2M,上行5.76M;中国移动:TD-SCDMA,下行2M,上行384K;中国电信:WCDMA2000,下行3.1M,上行1.8M;经过近一年的发展,3G无线信号已经覆盖了众多的城市,并且运营商仍不断在扩大覆盖的范围,优化信号质量。目前情况大致如下:中国联通:覆盖全国285个城市(截止2009年9月)中国移动:覆盖全国238个城市(截止2009年底)中国电信:覆盖全国342个城市(截止2009年9月)3G的飞速发展为银
4、行通过无线技术解决目前有线专线存在的问题,成为可能。3G两种数据业务3G用于企业数据通讯的业务可以归结为两种:一种是普通互联网业务;一种是无线VPDN业务(或无线DDN)。相对应就有两种解决方案:(1 自建VPN)(2.运营商VPDN)l 第一种,通过互联网自建VPN的方案。网点路由器通过3G拨到普通互联网,总部出口架设一条直通互联网的专线,且分配公有地址。网点和总部的路由器之间直接建立IPSEC VPN加密隧道。由于有些运营商为3G分配私有地址,运营商内部要经过NAT,所以需要采用IPSEC VPN穿越NAT的机制。l 第二种,利用运营商提供的VPDN方案。网点路由器通过3G拨号至运营商的L
5、AC设备,然后LAC设备通过专线和总部出口的路由器(即LNS)建立L2TP VPN隧道。然后网点路由器再与总部路由器,在L2TP基础之上建立IPSEC VPN加密隧道。运营商可以通过策略使网点3G SIM卡,只开通VPDN服务,禁止互联网服务,这样即保证安全又可以防止员工非法使用。运营商和总部之间可以采用专线、城域网VPN等线路,针对银行一般采用SDH/MSTP等专线更加安全。两种方案优劣势的分析对比如下:l 第一种方案网点3G和总部出口链路都连接普通互联网,成本较低,但安全性较差,网点的3G和总部的链路不一定是同一家运营商,组网灵活性好。因此,适用于移动办公等应用场合。l 第二种方案网点的3
6、G只能拨到总部,总部采用专线,两端都和互联网隔离,安全性高,成本较高,网点的3G必须和总部的专线隶属同一家运营商,灵活性较差。因此适用于生产环境下的应用场合。、解决方案整体方案概述如上图所示,网点采用路由器+3G MODEM,运营商需要有LAC及配套的AAA服务器。总部需要准备一台路由器(LNS),一条专线,一台AAA服务器。AAA服务器负责对3G用户进行认证并向LAC下发该用户对应的LNS信息,LAC负责与LNS建立隧道。网点路由器的IP地址,可以静态指定也可以由AAA服务器分配(注:中国移动VPDN的3G用户地址空间不能随意分配,须按照移动的统一规划,使用地址空间)。解决方案建议网点端采用
7、静态IP地址。LNS端路由器必须采用静态IP地址。锐捷RSR10/20可以直接扩展内置的3G卡,满足柜面网点、临时网点、上门服务车等环境中应用需求。为了增强安全性RSR10/20可以扩展国密办的加密算法卡,这样在涉及到现金生产交易业务的环境中,如离行式ATM、柜面网点,可以保证生产业务安全。同时,为满足离行式ATM机,上门服务车等应用场合,锐捷定制了RSR10的小尺寸机箱路由器,其重量只有1KG,轻便易于携带,而且可以轻松地放入自助机具中,不需专门的机柜,部署方便。同时,整个解决方案还可以兼容柜面业务延伸应用,在柜面业务延伸应用中柜员只携带一台笔记本电脑或终端上门服务,只需要普通的USB 3G
8、卡采用操作系统自带的IPSEC VPN客户端拨号,锐捷的LNS路由器RSR30/50同样可以兼容这种模式。工作原理如下:运营商AAA服务器中配置用户IMSI信息(IMSI是在运营商网络中唯一识别一个移动用户的号码,由15位数字组成,存于SIM卡中)、终端用户的账号和密码、对应LNS地址、VPDN隧道属性。总部AAA服务器主要存放网点路由器建立连接时所需要的用户名和密码。用户名的格式为XXXX.COM.CN,其中前面的字符串可以由用户端自行定义,后面的字符串即域名,必须由运营商分配。运营商AAA服务器通过域名,确认该用户的权限。运营商AAA服务器与总部AAA服务器的用户名和密码必须一致。以下是主
9、要的报文交互过程:1) 网点路由器3Gmodem通过无线信号找到运营商基站并注册连接(对SIM卡认证、并协商双方加密密钥)。2) 路由器启动PPP拨号向LAC发出认证请求。3) LAC把认证请求转至运营商LAC AAA服务器。4) AAA服务器将会回复认证结果并返回该用户所属的LNS地址、VPDN隧道属性等信息。5) LAC向返回的LNS地址发出L2TP隧道建立请求,隧道建立成功(请求建立隧道的认证可选)。6) LNS对网点路由器的用户名和密码进行重新认证(LNS对网点路由器的重认证可选)。7) L2TP隧道建立完成。网点路由器对应的拨号接口UP。8) 如果网点发起了能够触发IPSEC VPN
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 金融 行业 3G 无线 安全 接入 解决方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【w****g】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【w****g】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。