金融行业3G无线安全接入解决方案.doc

《金融行业3G无线安全接入解决方案.doc》由会员分享，可在线阅读，更多相关《金融行业3G无线安全接入解决方案.doc（13页珍藏版）》请在咨信网上搜索。

3G 无线安全接入解决方案 3G无线安全接入解决方案 锐捷网络 目　　录 １、客户存在的困惑 3 ２、3G数据业务介绍 3 ３、解决方案 6 ３．１．整体方案概述 6 ３．２．安全保障措施 8 ４、附 3G无线安全介绍 9 １、客户存在的困惑 长期以来SDH/ATM/DDN等专线做为银行柜面网点、自助银行、离行式ATM、上门服务业务接入的唯一选择，很好地保障了金融业务的开展。但是这几年银行以下几点的变化，使得传统的专线存在一些不足： 1、 近年来银行部署了大量的离行式ATM机、查询机、自助银行，让客户体验到无处不在的便利服务。但是这些网点分散在大街小巷、商场社区、甚至沿海省份海岛上、西北省份大型油田/电力/军队系统中，外部专线难以进入，影响布放点的选择和业务开展。 2、 银行为VIP客户提供上门办理业务的服务，需要移动网点。银行在学校/企业/大型会议提供的临时服务，需要临时网点。这两种需求都有一个共同的特点，机动灵活，但专线开通的周期长，机动灵活性不足。 3、 集约化已经成为银行经营管理的主旋律，银行更加关注成本及收益，大量的柜面网点由于重要性高，都要求采用双线路保证更高的可靠性，采用双专线线路备份成本高。尤其是备份线路，只在主线路故障时才启用，长期闲置，投资利用率低。 ２、3G数据业务介绍 3G飞速发展 2009年１月份国家工业与信息化部正式向移动、电信、联通三家运营商分别颁发了TD-SCDMA、 CDMA2000、WCDMA三张牌照，3G开始正式拉开序幕。通过3G用户可以实现无线宽带接入，在速度方面和2.5G相比有质的飞越，这使得3G在更多企业通讯场合中替代有线成为了可能。目前三种3G的理论速率如下： 中国联通：WCDMA，下行7.2M，上行5.76M； 中国移动：TD-SCDMA，下行2M，上行384K； 中国电信：WCDMA2000，下行3.1M，上行1.8M； 经过近一年的发展，3G无线信号已经覆盖了众多的城市，并且运营商仍不断在扩大覆盖的范围，优化信号质量。目前情况大致如下： 中国联通：覆盖全国285个城市（截止2009年9月） 中国移动：覆盖全国238个城市（截止2009年底） 中国电信：覆盖全国342个城市（截止2009年9月） 3G的飞速发展为银行通过无线技术解决目前有线专线存在的问题，成为可能。 3G两种数据业务 3G用于企业数据通讯的业务可以归结为两种：一种是普通互联网业务；一种是无线VPDN业务（或无线DDN）。相对应就有两种解决方案： （1． 自建VPN） （2.运营商VPDN） l 第一种，通过互联网自建VPN的方案。网点路由器通过3G拨到普通互联网，总部出口架设一条直通互联网的专线，且分配公有地址。网点和总部的路由器之间直接建立IPSEC VPN加密隧道。由于有些运营商为3G分配私有地址，运营商内部要经过NAT，所以需要采用IPSEC VPN穿越NAT的机制。 l 第二种，利用运营商提供的VPDN方案。网点路由器通过3G拨号至运营商的LAC设备，然后LAC设备通过专线和总部出口的路由器（即LNS）建立L2TP VPN隧道。然后网点路由器再与总部路由器，在L2TP基础之上建立IPSEC VPN加密隧道。运营商可以通过策略使网点3G SIM卡，只开通VPDN服务，禁止互联网服务，这样即保证安全又可以防止员工非法使用。运营商和总部之间可以采用专线、城域网VPN等线路，针对银行一般采用SDH/MSTP等专线更加安全。 两种方案优劣势的分析对比如下： l 第一种方案网点3G和总部出口链路都连接普通互联网，成本较低，但安全性较差，网点的3G和总部的链路不一定是同一家运营商，组网灵活性好。因此，适用于移动办公等应用场合。 l 第二种方案网点的3G只能拨到总部，总部采用专线，两端都和互联网隔离，安全性高，成本较高，网点的3G必须和总部的专线隶属同一家运营商，灵活性较差。因此适用于生产环境下的应用场合。 ３、解决方案 ３．１．整体方案概述 如上图所示，网点采用路由器+3G MODEM，运营商需要有LAC及配套的AAA服务器。总部需要准备一台路由器（LNS），一条专线，一台AAA服务器。AAA服务器负责对3G用户进行认证并向LAC下发该用户对应的LNS信息，LAC负责与LNS建立隧道。网点路由器的IP地址，可以静态指定也可以由AAA服务器分配（注：中国移动VPDN的3G用户地址空间不能随意分配，须按照移动的统一规划，使用地址空间）。解决方案建议网点端采用静态IP地址。LNS端路由器必须采用静态IP地址。 锐捷RSR10/20可以直接扩展内置的3G卡，满足柜面网点、临时网点、上门服务车等环境中应用需求。为了增强安全性RSR10/20可以扩展国密办的加密算法卡，这样在涉及到现金生产交易业务的环境中，如离行式ATM、柜面网点，可以保证生产业务安全。同时，为满足离行式ATM机，上门服务车等应用场合，锐捷定制了RSR10的小尺寸机箱路由器，其重量只有1KG，轻便易于携带，而且可以轻松地放入自助机具中，不需专门的机柜，部署方便。同时，整个解决方案还可以兼容柜面业务延伸应用，在柜面业务延伸应用中柜员只携带一台笔记本电脑或终端上门服务，只需要普通的USB 3G卡采用操作系统自带的IPSEC VPN客户端拨号，锐捷的LNS路由器RSR30/50同样可以兼容这种模式。 工作原理如下： 运营商AAA服务器中配置用户IMSI信息（IMSI是在运营商网络中唯一识别一个移动用户的号码，由15位数字组成，存于SIM卡中）、终端用户的账号和密码、对应LNS地址、VPDN隧道属性。总部AAA服务器主要存放网点路由器建立连接时所需要的用户名和密码。用户名的格式为XX@XX.COM.CN，其中@前面的字符串可以由用户端自行定义，＠后面的字符串即域名，必须由运营商分配。运营商AAA服务器通过域名，确认该用户的权限。运营商AAA服务器与总部AAA服务器的用户名和密码必须一致。以下是主要的报文交互过程： 1) 网点路由器3G　modem通过无线信号找到运营商基站并注册连接（对SIM卡认证、并协商双方加密密钥）。 2) 路由器启动PPP拨号向LAC发出认证请求。 3) LAC把认证请求转至运营商LAC AAA服务器。 4) AAA服务器将会回复认证结果并返回该用户所属的LNS地址、VPDN隧道属性等信息。 5) LAC向返回的LNS地址发出L2TP隧道建立请求，隧道建立成功（请求建立隧道的认证可选）。 6) LNS对网点路由器的用户名和密码进行重新认证（LNS对网点路由器的重认证可选）。 7) L2TP隧道建立完成。网点路由器对应的拨号接口UP。 8) 如果网点发起了能够触发IPSEC VPN的流量，则IPSEC VPN隧道建立过程启动。网点路由器与LNS发起IPSEC VPN连接请求。 ３．２．安全保障措施 安全措施，主要有以下几个方面： 1) 无线加密：网点路由器3G MODEM通过信号找到基站后，有一个注册的过程，在这个过程中运营商侧需要对接入的3G SIM卡身份通过密钥机制进行确认（这个过程也称为鉴权）。在身份确认的过程中，双方还会协商用于通讯加密的密钥，并在通信过程中采用该密钥对数据和话音进行加密，以避免被监听。同时在对数据加密完成之后，还会附加上校验码，对方在收到之后会重新计算和核对校验码是否正确，以此判断信息是否在无线传输过程中被篡改。 2) 访问控制：访问控制分成三部分，1、针对企业外部用户的访问控制；2、针对企业内部用户的访问控制；3、针对互联网服务的访问控制。针对第一点，运营商AAA服务器上可以绑定账号和SIM卡中的IMSI标识号，由于不同的SIM卡IMSI标识号不同，所以企业外部用户不可以使用非指定的卡拨进企业中。针对第二点，在企业总部的LNS AAA服务器上，可以将账户信息与IMSI号绑定。这样可以防止企业内部用户之间互相盗用账号，导致定位和追溯的麻烦。针对第三点，运营商在开SIM卡时，同时也设置了SIM卡的访问权限，对于VPDN企业用户，关闭互联网服务，这样就不用担心与互联网耦合度过高而引入安全隐患； 3) 数据加密：主要针对上层数据层面。无线物理层面主要是运营商3G本身提供的加密服务，只针对无线信号的部分。从LAC到LNS之间虽然有L2TP隧道，但是该隧道并不加密，还是明文传送，且LAC到专线网中间还有可能经过安全度相对较低的网络，所以在网点和LNS路由器之间，采用IPSEC VPN实现数据层面的端到端加密。IPSEC VPN同样采用密钥的机制，提供身份认证、数据保密和完整性的服务； ４、附 3G无线安全介绍 鉴权简介 鉴权就是指身份认证，是对请求进入3G网络的终端进行身份合法性的确认，3G终端也会对运营商网络的身份进行确认。 用户和运营商网络之间进行双向认证&在互相确认对方身份的基础上生成数据加密密钥CK, 和数据完整性密钥IK,为下一步的数据传输做准备。 原理如下： MS即指用户，SN/VLR、HE/HLR可以简单理解为运营商中的两种不同的设备，下面还会提到USIM也可以简单理解为是用户侧。 用户SIM卡和运营商侧保存着一个相同的密钥K。在运营商内部会为每个用户生成多组的认证向量AV（RAND‖XRES‖CK‖IK‖AUTN）： 序列号1. RAND‖XRES‖CK‖IK‖AUTN 序列号2. RAND‖XRES‖CK‖IK‖AUTN 序列号3. RAND‖XRES‖CK‖IK‖AUTN ..... AUTN表示认证令牌（即一组字符串，有三种字符串组成，SQN+AK、AMF、消息认证码，其中的SQN是指AV组序列号,AK是密钥）；RES和XRES分别表示用户的应答信息和运营商的应答信息；RAND表示生成的随机数；CK和IK分别表示数据保密密钥和数据完整性密钥。大致过程如下： 运营商收到用户的接入请求时从一组认证向量中选择一组AV（i），将AV（i）中的RAND（i）和AUTN（i）发送给用户的USIM进行认证。用户收到RAND和AUTN后计算出消息认证码XMAC（见下图），并与AUTN中包含的MAC相比较，如果二者不同，USIM将向VLR／SGSN发送拒绝认证消息。――――这个过程其实是用户在认证运营商网络的合法性。 f1、f2、f3、f4、f5是一种加解密算法，该算法由运营商掌握不对外公开，在用户办理入网时，由运营商把算法及密钥K存入SIM卡中。 如果二者相同，USIM计算应答信息XRES（i），发送给SN（运营商侧的设备）。SN在收到应答信息后，比较XRES（i）和RES（i）的值。如果相等则通过认证，否则不建立连接。这样就完成了双向的鉴权。 加密简介 在鉴权通过的基础上，MS／USIM根据RAND（i）和它在入网时的共享密钥Ki来计算数据保密密钥CKi和数据完整性密钥IK（i）。SN根据发送的AV选择对应的CK和IK。 在3G系统中，网络接入部分的数据保密性主要提供4个安全特性：加密算法协商、加密密钥协商、用户数据加密和信令数据加密。其中加密密钥协商在鉴权过程中完成。加密算法协商由用户与运营商网间的安全模式协商机制完成。在无线接入链路上仍然采用分组密码流对原始数据加密，采用了f8算法，如下图所示。它有5个输入：①COUNT是密钥序列号；②BEARER是链路身份指示；③DIRECTION是上下行链路指示；④LENGTH是密码流长度指示；⑤CK是长度位128 bit的加密密钥。 　　2G加密密钥为64位，3G为128位；2G加密采用预先共享的密钥，3G通过协商算出密钥，所以3G的安全性更强。 完整性简介 鉴权过程中，双方不仅协商了用于加密密钥CK，还协商了数据完整性密钥IK。完整性保证，工作原理如下： 　　发送方把要传送的数据用完整性密钥IK经过f9算法产生消息认证码MAC，将其附加在发出的消息后面。在接收方把收到的消息用同样的方法计算得到XMAC。接收方把收到的MAC与XMAC相比较，如二者相同就说明收到的消息是完整的，中间未被篡改。 合同管理制度 1 范围 本标准规定了龙腾公司合同管理工作的管理机构、职责、合同的授权委托、洽谈、承办、会签、订阅、履行和变更、终止及争议处理和合同管理的处罚、奖励； 本标准适用于龙腾公司项目建设期间的各类合同管理工作，厂内各类合同的管理，厂内所属各具法人资格的部门，参照本标准执行。 2 规范性引用 《中华人民共和国合同法》 《龙腾公司合同管理办法》 3 定义、符号、缩略语 无 4 职责 4.1 总经理：龙腾公司经营管理的法定代表人。负责对厂内各类合同管理工作实行统一领导。以法人代表名义或授权委托他人签订各类合法合同，并对电厂负责。 4.2 工程部：是发电厂建设施工安装等工程合同签订管理部门；负责签订管理基建、安装、人工技术的工程合同。 4.3 经营部：是合同签订管理部门，负责管理设备、材料、物资的订购合同。 4.5 合同管理部门履行以下职责： 4.5.1 建立健全合同管理办法并逐步完善规范； 4.5.2 参与合同的洽谈、起草、审查、签约、变更、解除以及合同的签证、公证、调解、诉讼等活动，全程跟踪和检查合同的履行质量； 4.5.3 审查、登记合同对方单位代表资格及单位资质，包括营业执照、经营范围、技术装备、信誉、越区域经营许可等证件及履约能力（必要时要求对方提供担保），检查合同的履行情况； 4.5.4 保管法人代表授权委托书、合同专用章，并按编号归口使用； 4.5.5 建立合同管理台帐，对合同文本资料进行编号统计管理； 4.5.6 组织对法规、制度的学习和贯彻执行，定期向有关领导和部门报告工作； 4.5.7 在总经理领导下，做好合同管理的其他工作， 4.6 工程技术部：专职合同管理员及材料、燃料供应部兼职合同管理员履行以下职责： 4.6.1 在主任领导下，做好本部门负责的各项合同的管理工作，负责保管“法人授权委托书”； 4.6.2 签订合同时，检查对方的有关证件，对合同文本内容依照法规进行检查，检查合同标的数量、金额、日期、地点、质量要求、安全责任、违约责任是否明确，并提出补充及修改意见。重大问题应及时向有关领导报告，提出解决方案； 4.6.3 对专业对口的合同统一编号、登记、建立台帐，分类整理归档。对合同承办部门提供相关法规咨询和日常协作服务工作； 4.6.4 工程技术部专职合同管理员负责收集整理各类合同，建立合同统计台帐，并负责 第 13 页 共 13 页