解决方案

您现在的位置:首页 >> 商密应用 >> 解决方案

企业网络中 3G 接入安全解决方案

发布日期:2014/10/23  

1 3G 联网的兴起

 

 

 

随着 3G 移动网络的迅速普及各大运营商在提供更多基于 3G 多 媒体业务的同时也给个人用户及企业客户带来更高带宽的无线接入 体验,3G 作为灵活、快速、安全、高效的广域网接入方式,已逐步 成为用户广域网接入的新兴主流选择。

3G 网络相对于传统网络具有不可比拟的三大优势:快速灵活部 低廉运营成本具备快恢复能力目前已经有成熟的解决方案用于满足移动银行城市移动监控企业分支接入电子政务网络接入以及商业移动办公等场合。

 

 

2 3G 联网的安全威胁与解决办法

 

 

 

2.1 普通 3G 联网方案

 

 

 

 

 

 

方案中企业需要部署的设备如

 

 业务终端:企业业务的处理终端;


 3G 路由器:将业务终端与 3G 网络互联;

 

 LNS 汇聚路由器汇聚 3G 路由器流量与企业内部核心业务系统互 联。

 

 

2.2 用户身份安全

 

 

胁:必须保证接入企业私有网络的 3G 终端是合法终端,防止 3G 终端接入企业私有网络盗取信息。

决:

 

 SIM 卡安过对 3G 用户的 SIM 卡信 IMSI“的国际移 动用户识别码)进行绑定,只允许绑定后的 SIM 用户通过用 户名、密码认证后接入企 3G 用网络,防止非 SIM 卡用 户拨入企业 3G 专网进行非法活动。

 3G 拔号安 3G 终端设置 SIM 卡的 PIN 码保护功能只 有知道 SIM 卡的 PIN 密码才能触发 3G 拨号,防止非法用户获 取到企业 SIM 卡后进行的非法操作保证了发起拔号的终端是 合法用户在使用。

 认证鉴权:通过 AAS/CMS 认证服务器能够对 3G 用户进行扩展 认证含用户名密码IMSI 信息端硬 ID 多关键 字的联合认证。

CMS 证书管理服务器中需要使用公钥密码算法进行安全保 证,通过采用经国家密码管理局批准的具有自主知识产权的 SM2 算法,增强了认证鉴权过程的安全性。


2.3 数据传输安全

 

 

威胁传统网络中使用的路由器主要提供网络接入路由控制等, 在安全性方面功能较弱在利用 3G 据网络传输 IP 据包时通常未 进行加密,若有非法用户在网络上探嗅到合法终端的正常通信数据 就会造成数据传输的安全事故这对 3G 接入场景下的 IP 据包 传输过程中的加密技术提出了新的要求。

设计一种安全路由器将路由器的功能和必要的网络安全功能综合到一套系统中,并使用 SM1 加密算法对数据包进行加解密, 为重要和关键行业系统提供一种安全可靠效能的网络综合接入 系统。

 

 

3 方案设计

 

 

3.1 总体方案

 

 

 

 

 

3.2 方案说明

 

 

企业网络中 3G 接入安解决方案使用了如下关键组件:


¾ TF 密码实现 SM1 法的 TF 卡安装于 PAD 终端通过 VRC(VPN

 

Remote Client) IPSecVPN 协议并采用 SM1 加密算法安全地 接入企业私有网络。

 接入侧安全路由器3G 由器与 LNS(L2TP Network Server) 之间建立采用 SM1 算法加密的 IPSecVPN,实现安全接入企业 私有网络。

 LNS 侧安全路由器L2TP Network Server,接受 3G 终端的拔 号连接,并与远端建立 IPSecVPN,实现远端的安全接入。

 密钥管理系统CMS,负责管理与颁发公钥数字证书实SM2 的证书管理,为 3G 端的接入认证提供证书管理支持。

 

 

4 应用案例

 

 

4.1 省级卫生厅二、三级医疗信息共享平台

 

 

 案例背景: 国务院颁布的《关于深化医卫生体制改革的意见》明确指出,

务必把卫生信息化建设作为保障医药卫生体系有效规范运转的八项 措施之一建立实用共享的医药卫生息系统大力推进医药卫生信 息化建设。

 方案目标: 在省卫生厅建设数据中心地市州建立二级中心共享医疗卫

生数据。

 

 总体方案:


 

 

 

 实施效果:

 

通过专线实现卫生所/社区服务中心与省厅数据中心的业务数据 传输,当专线故障或所在地域无法铺设专线时采用 3G 专网实现与 省厅数据中心连接,使用 3G 链路时 SM1 加密算法对数据传输进行加密保障基础网络架构能够满足生系统正常稳定安全可靠运行。

 

4.2 银行离行 ATM 3G 接入

 

 

 案例背景: 随着银行业业务竞争的加剧上门服务和移动营销已成为各银行

进行业务拓展和客户服务的重要手段银行业务部门也提出了柜面业务延伸终端、离行自助服务终端的需。在传统有线专线的环境下, 对上述特色的移动业务无法实现快速有效的部署同时进线受限的情 况下网络高可靠性的支持也难以满足迫切需要一种稳定性高安全


性好、自由度高的接入方案解决上述题,以便更好的为储户服务,

 

满足移动接入/灵活接入业务的需求需要进行离行 ATM 部署。

 

 方案目标:

 

在全行范围内实现离行式 ATM(ATM 机部署在商业圈住宅小区等 地不依托于银行分支机构联网),通过 3G 线路接入。

 总体方案:

 

 

 

 

 实施效果:

 

以安全、稳定、可靠的 3G 入方式实现了银行各省分行的离行业务快速部署实现了更大的网点覆服务满意度得到得升增 强了企业的竞争力。

 

 

5 商用密码产品清单

 

 

 

1)加密路由器

 

2)数字证书认证系统

 

 

 

 

(迈普通信技术股份有限公司供稿)

热点新闻

  • 江苏商用密码企业集体亮相“全国商用密码展览会”受关注

    江苏商用密码企业集体...

    2015年12月10日至12日,由中国密码学会...更多>>
  • 中国密码学会江苏省工作站密码学术交流活动在南京大学成功举办

    中国密码学会江苏省工...

    3月22日,中国密码学会江苏省工作站...更多>>
  • 省密码管理局在宁组织召开全省金融领域密码应用研讨会

    省密码管理局在宁组织...

    3月21日,省国家密码管理局在南京...更多>>
  • 中国密码学会密码科普基地在江苏沭阳揭牌

    中国密码学会密码科普...

      10月20日,首家“中国密...更多>>
主办:江苏省国家密码管理局返回顶部