2、Internet +VPN隧道
图2 Internte +VPN隧道
3G路由器配置3G模块,使用公用的APN名称、用户名密码,通过运用商无线基站接入Internet网络,对于需要访问公网资源的数据流,经过配置NAT地址转换后直接与Internet进行通讯。对于需要访问总部机构私网资源的数据流(如:公司VOIP语音电话、视频会议系统、内部办公OA系统等),通过3G路由器与总部路由器建立的Ipsec VPN加密隧道进行直接通信。
3、3G VPDN专网
图3 3G VPDN专网
如上图,为了保证企业大客户3G接入网的业务安全需求,运营商可向用户提供专线APN(Access Point Name)传输方式,为用户提供专用的接入点名称,并可提供用户名、密码、IMSI的多重安全认证功能。LNS为用户总部端设备(路由器、VPN设备)通过专线与运营商网络互连,分支网点的3G路由器配置3G模块,使用企业申请的专用APN名称、用户名密码接入3G网络,运营商通过APN名称或用户名密码判断该用户为企业专网用户后,交由LAC设备触发与用户端LNS设备的L2TP 认证协商,并最终由LNS设备为分支网点3G路由器分配私网IP地址,实现与分支网点与总部私网的专线互通。
基于3G VPDN专网是运营商为行业用户主推的模式,本文将着重分析基于3G VPDN专网应用的安全部署问题,首先看看3G无线有哪些安全机制。
3G无线安全简介
无线通信本身的特点是,既容易让合法用户接入,也容易被潜在的非法用户窃取,因此,安全问题总是同移动通信网络密切相关。
针对无线通信存在的安全问题,3G系统进行了如下优化:
1. 实现了双向认证。不但提供基站对MS的认证,也提供了MS对基站的认证,可有效防止伪基站攻击。
2. 提供了接入链路信令数据的完整性保护。
3. 密钥长度增加为128 bit,改进了算法。
4. 3GPP接入链路数据加密延伸至无线接入控制器(RNC)。
5. 3G的安全机制还具有可拓展性,为将来引入新业务提供安全保护措施。
6. 3G能向用户提供安全可视性操作,用户可随时查看自己所用的安全模式及安全级别。
7. 在密钥长度、加密算法选定、鉴别机制和数据完整性检验等方面,3G的安全性能远远优于2G。
但是3G的这些安全机制仅仅局限于无线部分,针对基于3G接入的无线企业网而言,无线部分的安全是远远不够的,需要保证数据在整个传输过程中的安全性,即端到端的安全性。
