從表6 可以看出，基于移動信息化安全接入平臺的安全策略是比較豐富的，可以根據(jù)應(yīng)用情況，具體采用以下策略：

    (1)傳輸安全策略

    首先使用L2TP 技術(shù)建立VPN 隧道，在此基礎(chǔ)上，結(jié)合終端的多接口安全智能卡(TF 卡)，通過加密網(wǎng)關(guān)實現(xiàn)傳輸數(shù)據(jù)SM1加密，此外還使用SSL VPN 技術(shù)對登錄業(yè)務(wù)系統(tǒng)的用戶名和密碼進行加密。最后在接入段使用MPLS VPN 專網(wǎng)傳輸。

    (2)網(wǎng)絡(luò)防御策略

    使用防火墻和入侵檢測系統(tǒng)實現(xiàn)對網(wǎng)絡(luò)安全的基本防范。

    (3)安全認(rèn)證策略

    首先利用獨立的AAA 認(rèn)證服務(wù)器實現(xiàn)L2TP 的身份認(rèn)證，確保只有被許可的終端才能接入這個移動VPN 網(wǎng)。通過發(fā)送短信炸彈的手段，及時刪除遺失終端內(nèi)的數(shù)據(jù)信息；使用停用禁止機制，及時注銷用戶；使用防窮舉攻擊機制，限制對用戶名及密碼的窮舉攻擊。

    (4)管理安全性策略

    使用重登錄、分權(quán)分域機制約束用戶的業(yè)務(wù)行為，最后使用安全審計策略記錄用戶的使用痕跡。

    (5)內(nèi)網(wǎng)安全性策略

    使用網(wǎng)閘設(shè)備實現(xiàn)對外網(wǎng)的隔離。

4 移動信息化安全接入平臺部分關(guān)鍵技術(shù)

    在安全領(lǐng)域中，防火墻技術(shù)、入侵檢測技術(shù)、網(wǎng)閘技術(shù)已較為成熟，這里不再贅述。下面給出基于L2TP 的隧道建立、混合加密等技術(shù)的實現(xiàn)。

    4.1 基于L2TP 的隧道建立

    L2TP 是建立在傳輸層的隧道協(xié)議，其通過頭壓縮、隧道驗證的方式保護傳輸?shù)膱笪摹１酒脚_使用VPDN 方式通過L2TP 協(xié)議建立隧道，主要有以下3 點好處：

    (1)L2TP 屬于2 層隧道協(xié)議，相對于其他隧道協(xié)議，涉及到的層次越低，網(wǎng)絡(luò)傳輸效率就越高，考慮到還需要對傳輸數(shù)據(jù)進行加密傳送，使用傳輸效率高的隧道協(xié)議能切實有效地提高網(wǎng)絡(luò)性能。

    (2)L2TP 支持多種協(xié)議，可以很方便地應(yīng)用在IP、幀中繼、永久虛擬電路(Permanent Virtual Circuits, PVC)、X.25 虛擬電路(Virtual Circui, VC)或ATMVCS(Asynchronous TransferMode Virtual Circuit Switch)等多種廣域網(wǎng)環(huán)境中。

    (3)L2TP 二次認(rèn)證策略配合AAA 服務(wù)器，能確保用戶實現(xiàn)可控的認(rèn)證機制，從接入層杜絕非法用戶的侵入。

    4.2 認(rèn)證策略的實現(xiàn)

    數(shù)據(jù)報在無線VPDN 網(wǎng)絡(luò)傳送過程中要經(jīng)過2 次AAA認(rèn)證。

    (1)第1 次認(rèn)證過程如下：

    1)終端用戶拔號連接到PDSN。

    2)PDSN 給分組網(wǎng)AAA 發(fā)送認(rèn)證請求。

    3)分組網(wǎng)AAA 判斷請求包中用戶名的域名后綴，域名后綴為vpdn.gd 的請求包轉(zhuǎn)發(fā)給無線VPDN AAA。

    4) VPDN AAA 識別VPDN 認(rèn)證請求屬性。

    5) VPDN AAA 校驗域名合法性。

    6) VPDN AAA 校驗域名與IMSI 池的綁定。

    7)VPDN AAA 生成包含VPDN 隧道參數(shù)的認(rèn)證響應(yīng)包轉(zhuǎn)發(fā)給分組網(wǎng)AAA。

    8)分組網(wǎng)AAA 把認(rèn)證響應(yīng)下發(fā)給PDSN。

    9)PDSN 根據(jù)下發(fā)的LNS 地址和隧道參數(shù)，與LNS 建立隧道連接。

    (2)第2 次認(rèn)證過程如下：

    1)LNS 將認(rèn)證請求發(fā)送給無線VPDN AAA 認(rèn)證系統(tǒng)。

    2)認(rèn)證系統(tǒng)識別請求來自LNS。

    3)認(rèn)證系統(tǒng)校驗用戶名、密碼。

    4)認(rèn)證系統(tǒng)校驗用戶名與IMSI 號碼綁定。

    5)認(rèn)證系統(tǒng)根據(jù)域名和LNS 標(biāo)識下發(fā)綁定地址池標(biāo)識(IP-POOL)。

    LNS 配置代碼舉例如下，其中，相關(guān)IP 地址均為舉例，實際使用時需根據(jù)實際情況具體配置。

    使用共享AAA 認(rèn)證配置：

aaa new-model
aaa authentication login default local
aaaauthentication ppp default group radius local
//先radius 認(rèn)證再本地認(rèn)證
aaa authorization exec default local
aaa session-id common
radius-server host 10.230.85.32 auth-port 18125 acct-port 1812key cisco
//配置AAA 地址和認(rèn)證key
hostname city-user-lns-2811
使用LNS 配置：
ip subnet-zero
no ip domain-lookup
vpdn enable //使用VPDN 功能
vpdn-group cisco //配置VPDN 屬性
accept-dialin
protocol l2tp
virtual-template 1
lcp renegotiation on-mismatch
local name cisco
l2tp tunnel password *****
配置互連端口：
interface FastEthernet0/0 //該端口為用戶和電信互聯(lián)的端口
des To China Telecom Network
ip address 202.192.72.1 255.255.255.252 //其地址為 LNS IP
//地址
no ip directed-brOAdcast
interface FastEthernet0/1 //用戶網(wǎng)內(nèi)端口
des To user-private-network
ip address 192.166.36.2 255.255.255.0
no ip directed-broadcast
interface Virtual-Template1
ip unnumbered FastEthernet0/1 //用戶內(nèi)網(wǎng)互連的端口號
no keepalive
peer default ip address pool lns-pool //指定撥號用戶的地址池
ppp authentication chap pap ms-chap //指定PPP 等認(rèn)證方式
指定用戶IP POOL：
ip local pool lns-pool 192.166.34.2 192.166.36.254
ip classless
配置路由：
ip route 10.123.5.0 255.255.255.0 192.9.8.1 //上聯(lián)到外網(wǎng)的路由
Ip route 0.0.0.0 0.0.0.0 192.166.36.1 //用戶內(nèi)部網(wǎng)絡(luò)路由
LAC 配置代碼：
interface virtual-template 1
ppp authentication-mode chap
quit //配置虛模板接口1
interface gigabitethernet 7/0/0.100 ①②
start l2tp 220.192.72.1 //配置LNS 地址
tunnel load-sharing //啟用LNS 的負(fù)載均衡
tunnel source loopback 220.192.72.1 //配置隧道源接口
l2tp aging 360 //配置LNS 鎖定時間
tunnel authentication //啟用隧道驗證
tunnel timer hello 90 //配置 hello 報文發(fā)送間隔
tunnel retransmit 8 //控制報文重傳次數(shù)
tunnel idle-cut 100 //隧道閑置切斷時間

    4.3 混合加密技術(shù)的實現(xiàn)

    目前為了便于密碼設(shè)備的規(guī)�；�生產(chǎn)，往往公布其加密的算法，加密信息的安全程度主要依賴于密鑰(在未知密鑰的情況下，即使知曉加密的算法，也是不能對其解密的)。通常使用的有對稱加密(SM1)和非對稱加密(SM2)2 種方式，其中，對稱加密算法的密鑰隨機性高，但密鑰傳遞是一個很大的問題；非對稱加密方式，算法加密強度大，但運算速度較慢。在業(yè)務(wù)中需要將這2 種加密算法搭配使用，各取其長。通常非對稱加密作為移動用戶和接入平臺的私鑰，用于雙方初期會話的建立以及傳輸密鑰的傳遞，即通過非對稱加密算法加密傳輸密鑰，使傳輸密鑰能夠安全到達移動用戶的手中。傳輸數(shù)據(jù)采用對稱加密方式，提高數(shù)據(jù)加密傳送效率，傳輸密鑰采用簽到會話機制實現(xiàn)，保證了傳輸密鑰的時間性，實現(xiàn)一日一密，甚至一次一密。整個加密流程如圖6 所示，其中使用的密鑰包括：

    (1)S-PubKey：加密網(wǎng)關(guān)公鑰，用于移動終端加密向加密網(wǎng)關(guān)發(fā)起的簽到會話，存儲于移動終端。

    (2)S-PriKey：加密網(wǎng)關(guān)私鑰，用于加密網(wǎng)關(guān)解密移動終端發(fā)來的簽到會話，存儲于加密網(wǎng)關(guān)。

    (3)PubKey：移動終端公鑰，用于加密網(wǎng)關(guān)加密向移動終端發(fā)送的Tkey，存儲于加密網(wǎng)關(guān)。

    (4)PriKey：移動終端私鑰，用于移動終端解密發(fā)送來的Tkey，存儲于移動終端。

    (5)Tkey：傳輸密鑰，實際數(shù)據(jù)傳輸所用的臨時密鑰，存儲于加密網(wǎng)關(guān)和移動終端。

圖6 加密流程

    加密流程如下：

    (1)平臺主機保留PubKey 和S-PriKey，其中，PubKey 和智能終端設(shè)備號(IMSI)建立對應(yīng)表。

    (2)智能終端的TF 卡中存有S-PubKey 和PriKey。

    (3)智能終端每次啟用前將自己的IMSI 號用S-PubKey 加密后發(fā)到平臺主機。

    (4)平臺主機用S-PriKey 解密后，根據(jù)IMSI 號找到其對應(yīng)的PubKey。

    (5)平臺主機隨機生成Tkey，并建立Tkey 和IMSI 的對應(yīng)表。

    (6)平臺主機將Tkey 利用PubKey 加密后，轉(zhuǎn)發(fā)到智能終端上。

    (7)智能終端用PriKey 解密獲得Tkey。

    (8)智能終端用Tkey 加密生成密文。

    (9)智能終端將密文和自己的IMSI 號用S-PubKey 加密后發(fā)到平臺主機。

    (10)平臺主機通過該移動終端的IMSI 找到其使用Tkey，并通過這個Tkey 解密傳輸數(shù)據(jù)，然后將數(shù)據(jù)傳給移動業(yè)務(wù)服務(wù)器。

    (11)平臺主機收到移動業(yè)務(wù)服務(wù)器回傳的業(yè)務(wù)數(shù)據(jù)后，仍然用這個Tkey 發(fā)回給移動終端。

    (12)移動終端收到回復(fù)的密文，并用Tkey 進行解密。該Tkey 可多次使用，實現(xiàn)業(yè)務(wù)數(shù)據(jù)的加密交換。

    (13)當(dāng)智能終端掉電或使用了指定時間周期后(如24 h)，平臺主機自動觸發(fā)要求智能終端執(zhí)行步驟(3)，獲得一個新的Tkey。

5 結(jié)束語

    隨著3G技術(shù)的飛速發(fā)展，未來將是移動互聯(lián)的世界，使用無線終端接入的數(shù)據(jù)用戶將遠(yuǎn)遠(yuǎn)超過有線終端接入的數(shù)據(jù)用戶，業(yè)務(wù)終端的無線移動化接入是信息化技術(shù)發(fā)展的趨勢。本文根據(jù)移動業(yè)務(wù)終端的接入特性，從傳輸渠道到業(yè)務(wù)使用等各方面結(jié)合多種安全技術(shù)，設(shè)計了基于3G移動用戶的移動信息化安全接入平臺，為政府、企業(yè)的無線信息化安全接入提供參考。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：基于移動信息化的安全接入平臺建設(shè)(下)

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112156336.html