基于3G网络的企业数据通信安全方案

，能够很好的解决3G网络数据安全传输问题。下面以3G安全路由器在金融离行ATM应用为例做一个分析。

图4 3G接入

如上图所示，金融离行ATM网点使用3G 路由器无线接入3G无线网络，通过运营商3G无线基站及IP核心网连接金融一级或二级网汇聚路由器，实现了离行ATM与金融一级网或二级网的业务互访。

根据应用模式，3G接入安全部署基于以下几点考虑：

接入认证安全

要求在进行3G网络登录时，提供基于用户名、密码、IMSI（international mobile subscriber identity, 国际移动用户识别码）的多重身份认证绑定功能，保证接入用户的唯一性，防止非法用户利用3G网络接入用户专用网络。

端到端的私有性

为了保证用户业务的私密性，必须要求解决方案从网点3G路由器到金融、政府行业一级或二级网汇聚路由器提供端到端的私有专用通道，以保证网点业务在运营商网络传输过程中的私有性。

端到端的安全加密

为了进一步保证网点业务数据在运营商3G无线网络以及IP核心网传输过程中的安全，防止黑客利用其他非法手段截取金融、政府等行业敏感数据，要求安全解决方案必须提供网点3G路由器到金融、政府行业一级或二级网汇聚路由器端到端的加密安全。特别是金融和政府此类信息敏感行业，这种加密安全更需要国密办加密算法的支持，以保障国家信息安全的高度机密性。

图5 3G接入安全部署

3G路由器安全接入解决方案

图6 3G安全接入解决方案

如上图所示，网点的3G安全接入部署方案，分别通过专有APN＋绑定接入认证、L2TP私有隧道、IPSEC安全加密技术来实现3G部署时对接入认证、端到端的私有性、端到端安全加密的安全原则，具体部署方案如下：

专有APN+绑定接入认证

在进行网点的3G无线接入部署时，需要先向运营商申请分配的专网APN（Access Point Name，类似行业专用的3G无线局域网，保证网点接入3G网络后，只能访问行业专用网络，保证无法与其他网络进行通信）。网点采用3G路由器接入，运营商会将网点用户的IMSI信息（IMSI是在运营商网络中唯一识别一个移动用户的号码，由15位数字组成，存于SIM卡中）、终端用户的账号和密码事先配置在运营商认证服务器上。当网点的3G路由器发起无线连接时，只允许绑定信息合法的用户通过用户名、密码的AAA认证后接入3G专用网络，防止非法SIM卡用户拨入用户3G专网。

此外，可进一步通过3G路由器设置SIM卡的PIN码保护功能，只有知道SIM卡的PIN密码才能触发3G拨号，防止非法用户获取到用户SIM卡后进行的非法操作，保证了SIM卡的使用安全。

L2TP＋IPSEC VPN私有隧道

为了保证3G接入网点的数据业务在运营商IP核心网中传输的的私有性，用户向运营商申请企业集团用户3G的VPDN业务，基于3G无线接入方式的虚拟专用拨号网业务，它是利用安全的L2TP隧道传输协议，就可以在现有的拨号网络上构建一条虚拟的、不受外界干扰的专用通道，从而安全访问企业内部网资源。

运营商会为行业用户的3G VPDN业务提供L2TP的LAC端路由器及配套的AAA服务器。金融、政府行业一级网或二级网汇聚层采用一台路由器作为L2TP的LNS端，并部署一台AAA服务器。LAC路由器主要负责对3G用户的接入认证，与该用户所属企业的专有LNS建立L2TP隧道。金融、政府行业一级网或二级网汇聚的AAA服务器主要存放网点路由器建立连接时所需要的用户名和密码。用户名的格式为XX@XX.COM，其中@前面的字符串可以由用户端自行定义，＠后面的字符串即域名。运营商AAA服务器通过域名确认该用户的接入权限。运营商AAA服务器与企业AAA服务器的用户名和密码必须一致。

L2TP私有隧道建立过程如下：

网点路由器通过3G网络在完成对接入用户的APN认证后，路由器启动PPP拨号向LAC发出认证请求。

LAC把认证请求转至运营商LAC AAA服务器。

AAA服务器将会回复认证结果并返回该用户所属的LNS地址、VPDN隧道属性等信息。

LAC向返回的LNS地址发出L2TP隧道建立请求，隧道建立成功（请求建立隧道的认证可选）。

LNS对网点路由器的用户名和密码进行重新认证（LNS对网点路由器的重认证可选）。

L2TP隧道建立完成。网点路由器对应的拨号接口UP，建立正常私有隧道通信。

如果网点发起了能够触发IPSEC VPN的流量，则IPSEC VPN隧道建立过程启动。网点路由器与LNS发起IPSEC VPN连接请求。

图7 加密隧道建立过程

IPSEC安全加密

图8 IPSEC安全加密

针对端到端的安全加密原则， 如前文所述，3G技术有自身的加密验证技术，但是3G的加密验证技术只针对无线部分，而在IP核心网部分，从LAC到LNS之间的L2TP隧道是不加密的，数据还是明文传送。而从LAC到网络中间还有可能经过运营商的IP网络，为了