1 概述

    移動(dòng)信息化可以理解為“無(wú)線(xiàn)通信技術(shù)及移動(dòng)計(jì)算技術(shù)在信息化中的應(yīng)用。目前我國(guó)移動(dòng)用戶(hù)數(shù)接近8 億，人均持有移動(dòng)終端基本實(shí)現(xiàn)了一人一部，甚至是一人多部。以手機(jī)、PDA、平板電腦為載體，利用3G技術(shù)作為通信手段連接內(nèi)部業(yè)務(wù)系統(tǒng)，將業(yè)務(wù)信息處理從固定辦公環(huán)境向固/移融合辦公環(huán)境發(fā)展，實(shí)現(xiàn)管理、業(yè)務(wù)以及服務(wù)的移動(dòng)化、信息化、電子化和網(wǎng)絡(luò)化，提高辦公效率，解放生產(chǎn)力，是政府、企業(yè)等單位信息化發(fā)展的一個(gè)重要趨勢(shì)。但移動(dòng)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)遠(yuǎn)高于固網(wǎng)安全風(fēng)險(xiǎn)，因此，有必要建立一個(gè)安全接入平臺(tái)。為提高移動(dòng)信息化接入的安全級(jí)別，保障內(nèi)部業(yè)務(wù)的安全運(yùn)作，本文通過(guò)對(duì)移動(dòng)信息化接入的各個(gè)環(huán)節(jié)進(jìn)行分析，提出一個(gè)基于第二層隧道協(xié)議(Layer 2 Tunneling Protocol,L2TP)和混合加密技術(shù)建設(shè)安全接入平臺(tái)的方法。

2 移動(dòng)信息化安全需求分析

    本文討論的網(wǎng)絡(luò)特指各企業(yè)、機(jī)構(gòu)為了滿(mǎn)足自身內(nèi)部業(yè)務(wù)需求而建設(shè)的專(zhuān)用網(wǎng)絡(luò)，是內(nèi)部系統(tǒng)的一部分，傳輸?shù)氖莾?nèi)部業(yè)務(wù)數(shù)據(jù)，不涉及對(duì)外公共互聯(lián)網(wǎng)服務(wù)。在實(shí)際工作中，內(nèi)部業(yè)務(wù)平臺(tái)和對(duì)外公共服務(wù)也往往是2 個(gè)不同的系統(tǒng)。傳統(tǒng)的內(nèi)部業(yè)務(wù)平臺(tái)的網(wǎng)絡(luò)安全通常由總部、傳輸網(wǎng)絡(luò)、分支機(jī)構(gòu)等幾個(gè)環(huán)節(jié)構(gòu)成，如圖1 所示。其中，總部部署防火墻、入侵檢測(cè)等網(wǎng)絡(luò)安全設(shè)備，進(jìn)行網(wǎng)絡(luò)防御；傳輸網(wǎng)絡(luò)采用專(zhuān)網(wǎng)實(shí)現(xiàn)對(duì)外的物理隔離；分支機(jī)構(gòu)通過(guò)安裝相關(guān)監(jiān)控客戶(hù)端，實(shí)現(xiàn)對(duì)終端的監(jiān)控。在這種網(wǎng)絡(luò)環(huán)境下，由于專(zhuān)網(wǎng)的隔絕，用戶(hù)呈現(xiàn)單一，即使產(chǎn)生攻擊，也是源于內(nèi)部，很容易通過(guò)IP、路由及監(jiān)控客戶(hù)端識(shí)別和定位。

圖1 傳統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)

    在移動(dòng)信息化環(huán)境下，用戶(hù)具有漫游的特殊性，很難通過(guò)固定IP、專(zhuān)用電路等方式界定用戶(hù)的真實(shí)身份，存在外網(wǎng)用戶(hù)接入內(nèi)網(wǎng)的情況。因此，采用移動(dòng)通信技術(shù)接入內(nèi)部業(yè)務(wù)信息化系統(tǒng)必須建立安全接入平臺(tái)，實(shí)現(xiàn)更高級(jí)別、更多手段的安全保障。當(dāng)前3G技術(shù)已成為移動(dòng)通信技術(shù)的主流方向，本文結(jié)合相關(guān)技術(shù)，探討一種針對(duì)3G移動(dòng)用戶(hù)的安全接入平臺(tái)的建設(shè)方式。

    隨著大量3G移動(dòng)數(shù)據(jù)服務(wù)的迅速發(fā)展，這些數(shù)據(jù)業(yè)務(wù)比固網(wǎng)數(shù)據(jù)業(yè)務(wù)更容易受到安全威脅。為了提高移動(dòng)通信的安全性，為移動(dòng)化用戶(hù)提供更好的通信環(huán)境，需要更為先進(jìn)和完善的移動(dòng)安全機(jī)制。

    由風(fēng)險(xiǎn)和威脅催生的安全問(wèn)題需要更可靠的移動(dòng)信息化解決方案，移動(dòng)信息化平臺(tái)的安全建設(shè)應(yīng)采用統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)的原則，本著安全可靠、高效運(yùn)行的方針，把安全技術(shù)和安全管理相結(jié)合，實(shí)現(xiàn)移動(dòng)信息化移動(dòng)辦公的實(shí)用性、先進(jìn)性、經(jīng)濟(jì)性和可擴(kuò)展性。其主要滿(mǎn)足以下安全需求：

    (1)實(shí)現(xiàn)用戶(hù)身份的匿名性�，F(xiàn)有移動(dòng)通信網(wǎng)絡(luò)內(nèi)的移動(dòng)終端在接入網(wǎng)絡(luò)的過(guò)程中，要求移動(dòng)終端以明文方式發(fā)送自己的國(guó)際移動(dòng)用戶(hù)標(biāo)識(shí)號(hào)IMSI，這樣很容易造成用戶(hù)身份的暴露，給用戶(hù)帶來(lái)受到攻擊的可能性。

    (2)實(shí)現(xiàn)雙向認(rèn)證�；�于單向認(rèn)證的第2 代移動(dòng)網(wǎng)絡(luò)安全機(jī)制沒(méi)有考慮用戶(hù)對(duì)網(wǎng)絡(luò)的認(rèn)證。并且在安全性要求較高的增值業(yè)務(wù)中，雙向認(rèn)證的需要尤為迫切。

    (3)實(shí)現(xiàn)數(shù)據(jù)機(jī)密性。根據(jù)現(xiàn)有SIM 卡計(jì)算能力和終端低能耗的要求，對(duì)稱(chēng)密鑰加密算法仍然是最現(xiàn)實(shí)的；密碼體制需符合移動(dòng)終端的計(jì)算能力和能源消耗。

    (4)實(shí)現(xiàn)數(shù)據(jù)完整性。完整性能夠保證消息在傳輸過(guò)程中不被篡改。

    (5)實(shí)現(xiàn)數(shù)據(jù)新鮮性。新鮮性是防止重傳攻擊的重要手段，可以采用時(shí)間戳服務(wù)來(lái)保證消息的新鮮性。

    (6)實(shí)現(xiàn)不可抵賴(lài)性。不可抵賴(lài)性可以防止接收方或發(fā)送方抵賴(lài)其所傳輸?shù)南�息�?/p>

3 移動(dòng)信息化安全接入平臺(tái)實(shí)現(xiàn)

    移動(dòng)信息化應(yīng)用是傳統(tǒng)電子商務(wù)(政務(wù))網(wǎng)絡(luò)平臺(tái)的一種延伸。移動(dòng)信息化安全接入平臺(tái)是移動(dòng)電子商務(wù)(政務(wù))建設(shè)的安全基礎(chǔ)和保證，所有移動(dòng)業(yè)務(wù)系統(tǒng)和信息資源庫(kù)的安全性都依賴(lài)于移動(dòng)信息化安全接入平臺(tái)的，移動(dòng)信息化安全接入平臺(tái)設(shè)計(jì)的優(yōu)劣直接關(guān)系到整個(gè)移動(dòng)信息化系統(tǒng)管理和服務(wù)功能的實(shí)現(xiàn)。為此，移動(dòng)信息化建設(shè)在對(duì)移動(dòng)信息化安全接入平臺(tái)的結(jié)構(gòu)設(shè)計(jì)上應(yīng)有嚴(yán)格的要求。

    在當(dāng)前環(huán)境下的移動(dòng)信息化網(wǎng)絡(luò)設(shè)計(jì)中，移動(dòng)業(yè)務(wù)應(yīng)用所需的數(shù)據(jù)和服務(wù)應(yīng)放在業(yè)務(wù)內(nèi)網(wǎng)，移動(dòng)終端通過(guò)移動(dòng)接入安全平臺(tái)內(nèi)的應(yīng)用代理功能獲得數(shù)據(jù)服務(wù)。這種模式提供信息的新鮮度比較高，應(yīng)用范圍很大，基本可還原原有業(yè)務(wù)系統(tǒng)內(nèi)的所有應(yīng)用。但也正因此，該網(wǎng)絡(luò)架構(gòu)中需加強(qiáng)對(duì)移動(dòng)業(yè)務(wù)接入平臺(tái)的安全性以及移動(dòng)終端的安全性，以保障移動(dòng)環(huán)境下實(shí)時(shí)辦公、信息查詢(xún)、信息采集的安全，同時(shí)保證業(yè)務(wù)內(nèi)網(wǎng)與外部公網(wǎng)連接時(shí)相關(guān)網(wǎng)絡(luò)資源的安全目標(biāo)。從內(nèi)到外，依次需要建立軟硬件平臺(tái)安全、移動(dòng)網(wǎng)絡(luò)接入安全、與業(yè)務(wù)內(nèi)網(wǎng)數(shù)據(jù)交換安全、安全控制與管理的多層次安全保障體系。

    3.1 移動(dòng)信息化的安全區(qū)域分類(lèi)

    根據(jù)移動(dòng)信息化的各個(gè)環(huán)節(jié)，將其分成5 個(gè)安全區(qū)域，每個(gè)區(qū)域?qū)��?yīng)各自的安全需求，如圖2 所示。

圖2 移動(dòng)信息化安全區(qū)域及需求

    第1 類(lèi)為終端用戶(hù)區(qū)，是指用戶(hù)在移動(dòng)無(wú)線(xiàn)條件下使用相關(guān)業(yè)務(wù)系統(tǒng)時(shí)所用的移動(dòng)設(shè)備，其安全需求包括手機(jī)、PDA、車(chē)載移動(dòng)設(shè)備、便攜電腦等各種移動(dòng)終端設(shè)備的數(shù)據(jù)安全。這一區(qū)域主要考慮終端數(shù)據(jù)存儲(chǔ)的安全性，例如：為了防止因終端設(shè)備的丟失、病毒和木馬的入侵導(dǎo)致移動(dòng)終端內(nèi)的數(shù)據(jù)被非法查看、復(fù)制和刪除。第1 類(lèi)區(qū)域的安全策略如表1 所示。

表1 第1 類(lèi)區(qū)域的安全策略

    第2 類(lèi)為電信運(yùn)營(yíng)商服務(wù)區(qū)，是指無(wú)線(xiàn)通信網(wǎng)絡(luò)的領(lǐng)域。它由電信運(yùn)營(yíng)商提供各種移動(dòng)網(wǎng)絡(luò)，如GPRS、CDMA、3G網(wǎng)絡(luò)以及傳統(tǒng)固網(wǎng)服務(wù)的網(wǎng)絡(luò)基礎(chǔ)運(yùn)營(yíng)平臺(tái)。這一區(qū)域分別由無(wú)線(xiàn)接入網(wǎng)和有線(xiàn)傳輸網(wǎng)組成，主要考慮網(wǎng)絡(luò)非法竊聽(tīng)、網(wǎng)絡(luò)用戶(hù)身份冒用等。第2 類(lèi)區(qū)域的安全策略如表2 所示。

表2 第2 類(lèi)區(qū)域的安全策略

    第3 類(lèi)為安全認(rèn)證區(qū)接入?yún)^(qū)，包括用戶(hù)接入和網(wǎng)絡(luò)安全控制。該區(qū)域主要考慮身份認(rèn)證、數(shù)據(jù)加密和安全訪(fǎng)問(wèn)控制服務(wù)的提供。第3 類(lèi)區(qū)域的安全策略如表3 所示。

表3 第3 類(lèi)區(qū)域的安全策略

    求傳遞到內(nèi)網(wǎng)之前的應(yīng)用服務(wù)的區(qū)域，包括移動(dòng)業(yè)務(wù)平臺(tái)和內(nèi)網(wǎng)平臺(tái)的數(shù)據(jù)交換接口、統(tǒng)一移動(dòng)終端的驗(yàn)證服務(wù)、用戶(hù)身份注冊(cè)或注銷(xiāo)、用戶(hù)分權(quán)分域、會(huì)話(huà)管理、安全審計(jì)等系統(tǒng)管理服務(wù)模塊。第4 類(lèi)區(qū)域的安全策略如表4 所示。

表4 第4 類(lèi)區(qū)域的安全策略

    第5 類(lèi)為業(yè)務(wù)內(nèi)網(wǎng)區(qū)，是指位于內(nèi)網(wǎng)隔離區(qū)內(nèi)包括移動(dòng)數(shù)據(jù)同步模塊、標(biāo)準(zhǔn)接口、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)中間件等組件在內(nèi)的區(qū)域。第5 類(lèi)區(qū)域的安全策略如表5 所示。

表5 第5 類(lèi)區(qū)域的安全策略

    通過(guò)對(duì)這5 類(lèi)安全區(qū)域的劃分，結(jié)合業(yè)務(wù)的安全保障體系、運(yùn)行管理體系和標(biāo)準(zhǔn)規(guī)范體系，展現(xiàn)了移動(dòng)信息化建設(shè)過(guò)程中的各個(gè)區(qū)域。移動(dòng)信息化安全接入平臺(tái)主要以第3 類(lèi)和第4 類(lèi)區(qū)域?yàn)橹黧w，涵蓋了第2 類(lèi)和第5 類(lèi)區(qū)域部分內(nèi)容。

    3.2 移動(dòng)信息化安全接入平臺(tái)拓?fù)鋱D結(jié)構(gòu)

    由于終端的移動(dòng)性、使用場(chǎng)景的開(kāi)放性和不可監(jiān)督性、無(wú)線(xiàn)傳輸安全的脆弱性、網(wǎng)絡(luò)環(huán)境的復(fù)雜性，因此要求移動(dòng)信息化安全接入采用終端加固、信道加密、認(rèn)證接入、訪(fǎng)問(wèn)控制、網(wǎng)閘隔離、級(jí)聯(lián)監(jiān)控和安全管理等七大安全措施，七項(xiàng)措施環(huán)環(huán)相扣，缺一不可，共同構(gòu)成獨(dú)立完整的安全接入體系，如圖3 所示，其中的移動(dòng)信息化安全接入平臺(tái)拓?fù)浣Y(jié)構(gòu)如圖4 所示。

圖3 安全接入體系

圖4 移動(dòng)信息化安全接入平臺(tái)拓?fù)浣Y(jié)構(gòu)

    移動(dòng)信息化安全接入平臺(tái)由傳輸接入設(shè)備、網(wǎng)絡(luò)安全設(shè)備、數(shù)據(jù)加密設(shè)備、管理安全設(shè)備、內(nèi)網(wǎng)隔離設(shè)備等5 個(gè)設(shè)備構(gòu)成：

    (1)傳輸接入設(shè)備

    傳輸接入設(shè)備部署了LNS 路由器和AAA 服務(wù)器。3G移動(dòng)用戶(hù)數(shù)據(jù)在電信運(yùn)營(yíng)商傳輸網(wǎng)中傳輸，可使用L2TP 協(xié)議，建立VPN 隧道，保障傳輸?shù)陌踩�性。L2TP 協(xié)議由終端用戶(hù)發(fā)起PPP 協(xié)商，終端用戶(hù)既是PPP 2 層鏈路的一端，又是PPP 會(huì)話(huà)的一端；隧道建立在LAC(L2TP Access Concentrator)和LNS(L2TP Network Server)之間。其中，LAC 端是直接接受用戶(hù)呼叫的一端，是PPP 2 層鏈路的一端，在某些組網(wǎng)情況下LAC 和用戶(hù)終端可以合并為一個(gè)端點(diǎn)，其他情況下一般都是由NAS 作為L(zhǎng)AC，3G移動(dòng)用戶(hù)移動(dòng)信息化安全接入的LAC 通常在PDSN 側(cè)。LNS 端是接受PPP 會(huì)話(huà)的另一端，一般位于私網(wǎng)與公網(wǎng)邊界，通過(guò)LNS，用戶(hù)就可以登錄到私網(wǎng)上，訪(fǎng)問(wèn)私網(wǎng)資源。移動(dòng)信息化安全接入平臺(tái)在傳輸方面通過(guò)LNS 路由器接入電信運(yùn)營(yíng)商的MPLS VPN 專(zhuān)線(xiàn)電路，并終結(jié)L2TP 隧道。AAA 服務(wù)器為L(zhǎng)2TP 第2 次認(rèn)證的服務(wù)器，可部署在電信側(cè)，也可部署在用戶(hù)側(cè)。

    (2)網(wǎng)絡(luò)安全設(shè)備

    網(wǎng)絡(luò)安全設(shè)備部署了防火墻和入侵檢測(cè)設(shè)備。通過(guò)LNS和AAA 認(rèn)證服務(wù)器，可對(duì)移動(dòng)用戶(hù)根據(jù)業(yè)務(wù)類(lèi)型進(jìn)行分組，并按分組分配IP，防火墻和入侵檢測(cè)設(shè)備根據(jù)IP 對(duì)客戶(hù)訪(fǎng)問(wèn)進(jìn)行甄別。

    (3)數(shù)據(jù)加密設(shè)備

    數(shù)據(jù)加密設(shè)備部署SM1 加密網(wǎng)關(guān)，結(jié)合移動(dòng)終端內(nèi)放置的TF 智能身份認(rèn)證卡，實(shí)現(xiàn)密鑰長(zhǎng)度為128 位的對(duì)稱(chēng)加密。

    (4)管理安全設(shè)備

    管理安全設(shè)備由部署移動(dòng)辦公服務(wù)器實(shí)現(xiàn)。

    (5)內(nèi)網(wǎng)隔離設(shè)備

    內(nèi)網(wǎng)隔離設(shè)備由部署網(wǎng)閘設(shè)備實(shí)現(xiàn)。

    3.3 移動(dòng)信息化安全接入平臺(tái)安全策略實(shí)現(xiàn)

    移動(dòng)信息化安全接入平臺(tái)的安全策略是移動(dòng)信息化整體安全策略中的一部分，它必須和終端用戶(hù)區(qū)、電信運(yùn)營(yíng)商服務(wù)區(qū)相關(guān)安全策略進(jìn)行配合使用，比如通過(guò)終端用戶(hù)區(qū)的TF智能身份認(rèn)證卡實(shí)現(xiàn)數(shù)據(jù)加密傳輸，通過(guò)電信運(yùn)營(yíng)商服務(wù)區(qū)實(shí)現(xiàn)基于L2TP 的隧道建立[4]。具體策略如圖5 所示。對(duì)應(yīng)的安全策略如表6 所示。

圖5 基于移動(dòng)信息化的安全接入平臺(tái)整體安全策略表6安全策略

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：基于移動(dòng)信息化的安全接入平臺(tái)建設(shè)(上)

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112156335.html