解决方案

您现在的位置:首页 >> 商密应用 >> 解决方案

金融领域 3G 无线安全接入解决方案

发布日期:2014/10/23  

1.背景及业务需求

近年来,金融服务经营理念逐渐以账务为中客户为中 转变,流动银行、金融便利店、离 ATM/VTM、多媒体自助终 端和传统网点灾备加固等一系“紧随客户而动的渠道拓展措施正在各企业全方位开展。从计算机网络支撑角度来看3G 相比传统有 线专线具备可随时随地接入开通周线路成本低等优势成为 金融企业渠道拓展工作中流动银行行自助机具线路备份等众多场景的首选。

  

1. 3G 开展的金融企业渠道拓展

 

2.金 3G 应用中的安全挑战

 

从安全性上考虑3G 相比传统有线专线最大的变化包括两方面: z 非专线环境传输导致数据存在被截获的可能以往无论是金融核心业务数据,还是 OA、视频监控类的数据,

均采用租用运营商有线专线的方式承载。3G 线路中,运营商仅能提


VPDN 的方式,但并不提供端到的数据加密,业务数据有被截

 

取和破解的可能涉及现金交易客户敏感信息等重要信息一旦泄漏,后果不堪设想在此种环境下部署端到端的 IPSec VPN用国密算 法,是确保网络层面数据安全的必要保障。

z 随时随地接入导致终端被窃取盗用的可能传统的金融企业网点设备依于运营商部署于固定场所的线路,

拥有较好的安保措施及管理保障 3G 的应用则可以摆脱固定场所 的限制随时随地接入如出 SIM 卡被盗3G 路由器被盗等情况, 则将会对金融企业的信息安全造成巨大威胁 IPSec VPN 采用数 字证书方式进行双向认证是确保 3G 接入身份合法可查可控的重 要保证。

3.金 3G 安全接入解决方案

 

 

 

 

 

2. 基于国密算法 3G 安全接入解决方案


基于金融企业业务组网需求,企业网点采用加密路由器 3G 链路

 

上连,运营商提供相应的 3G VPDN 线路资源。企业总部部署汇聚加 密路由器LNS、专线、AAA 服务器 CA 服务器。

解决方案工作过程如下:

 

1) 网点端加密路由器 3G modem 通过无线信号找到运营商 基站并注册连接;

2) 网点端加密路由器启动 PPP 拨号向运营商 LAC 发出认证 请求;

3) 运营 LAC 把认证请求转至运营 LAC AAA 服务器;

 

4) AAA 器将会回复认证结果并返回该用户所属的 LNS

 

地址、VPDN 隧道属性等信息;

 

5) 运营 LAC 向返回 LNS 地址发出 L2TP 隧道建立请求, 隧道建立成功;

6) LNS 对加密路由器的用户名和密码进行重新认证;

 

7) L2TP 隧道建立完成;

 

8) 如果网点加密路由器发起了能够触发 IPSec VPN 的流量, IPSec VPN 隧道建立过程启动网点加密路由器与 LNS 端加密路由器发 IPSec VPN 连接请求。


 

 

 

3. 基于国密算法的加密传输通道示意图

 

在企业网点和企业总部之间,采用 IPSec VPN 实现端到端的加 IPSec VPN 采用密钥的机制提供身份认证数据保密和完 整性的服务。IPSec 主要提供针对数据层面的加密功能,网点路由器 和 LNS 建立连接时,需要协商双方加密密钥,提供身份的认证、加密和完整性保护。

为了保证金融生产环境的安全严格参照国家密码管理IPSec VPN 技术规范》进行组网设计。网点和 LNS 端分别采用相应级别的 支持国密算法的加密路由器建立端到端的 IPSec VPN使用国密算 法。针对数据安全性的需求,采用对称密码算法使用 SM1 分组密码 算法。针对数字证书的双向认证,采用非对称密码算法使用 SM2 椭 圆曲线密码算法。密码杂凑算法使用 SM3 密码杂凑算法。


4.应用案例

 

基于国密算法的金融 3G 安全接入方案自 2010 年推出以来,受 到包括国有大型商业银行股份制银行城市商业银行农信等行业 用户的关注和认可并得到广泛应用在企业业务拓展中正发挥着重要 作用于国密算法 IPSec VPN企业业务提供了完善的安全机 制。

某商业银行上海市分行自 2010 年起,采用基于商用密码的金融

 

3G 安全接入解决方案部署在流动银行服务 ATM 等多个场地。

 

 

 

 

 

 

4. 上海分 3G 应用示例

 

z 按照国家密码管理局发布IPSec VPN 技术规范行方案 设计,确保业务数据端到端的安全

z 采用国家密码管理局批准的加密路由器产品并采用国密算法


5.商用密码产品清单

 

1)加密路由器

 

2)数字证书认证系统

 

 

 

 

建星网锐捷网络有限公司供稿)

热点新闻

  • 江苏商用密码企业集体亮相“全国商用密码展览会”受关注

    江苏商用密码企业集体...

    2015年12月10日至12日,由中国密码学会...更多>>
  • 中国密码学会江苏省工作站密码学术交流活动在南京大学成功举办

    中国密码学会江苏省工...

    3月22日,中国密码学会江苏省工作站...更多>>
  • 省密码管理局在宁组织召开全省金融领域密码应用研讨会

    省密码管理局在宁组织...

    3月21日,省国家密码管理局在南京...更多>>
  • 中国密码学会密码科普基地在江苏沭阳揭牌

    中国密码学会密码科普...

      10月20日,首家“中国密...更多>>
主办:江苏省国家密码管理局返回顶部