此外,可进一步通过3G路由器设置SIM卡的PIN码保护功能,只有知道SIM卡的PIN密码才能触发3G拨号,防止非法用户获取到用户SIM卡后进行的非法操作,保证了SIM卡的使用安全。
L2TP+IPSEC VPN私有隧道
为了保证3G接入网点的数据业务在运营商IP核心网中传输的的私有性,用户向运营商申请企业集团用户3G的VPDN业务,基于3G无线接入方式的虚拟专用拨号网业务,它是利用安全的L2TP隧道传输协议,就可以在现有的拨号网络上构建一条虚拟的、不受外界干扰的专用通道,从而安全访问企业内部网资源。
运营商会为行业用户的3G VPDN业务提供L2TP的LAC端路由器及配套的AAA服务器。金融、政府行业一级网或二级网汇聚层采用一台路由器作为L2TP的LNS端,并部署一台AAA服务器。LAC路由器主要负责对3G用户的接入认证,与该用户所属企业的专有LNS建立L2TP隧道。金融、政府行业一级网或二级网汇聚的AAA服务器主要存放网点路由器建立连接时所需要的用户名和密码。用户名的格式为XX@XX.COM,其中@前面的字符串可以由用户端自行定义,@后面的字符串即域名。运营商AAA服务器通过域名确认该用户的接入权限。运营商AAA服务器与企业AAA服务器的用户名和密码必须一致。
L2TP私有隧道建立过程如下:
网点路由器通过3G网络在完成对接入用户的APN认证后,路由器启动PPP拨号向LAC发出认证请求。
LAC把认证请求转至运营商LAC AAA服务器。
AAA服务器将会回复认证结果并返回该用户所属的LNS地址、VPDN隧道属性等信息。
LAC向返回的LNS地址发出L2TP隧道建立请求,隧道建立成功(请求建立隧道的认证可选)。
LNS对网点路由器的用户名和密码进行重新认证(LNS对网点路由器的重认证可选)。
L2TP隧道建立完成。网点路由器对应的拨号接口UP,建立正常私有隧道通信。
如果网点发起了能够触发IPSEC VPN的流量,则IPSEC VPN隧道建立过程启动。网点路由器与LNS发起IPSEC VPN连接请求。
图7 加密隧道建立过程
IPSEC安全加密
图8 IPSEC安全加密
针对端到端的安全加密原则, 如前文所述,3G技术有自身的加密验证技术,但是3G的加密验证技术只针对无线部分,而在IP核心网部分,从LAC到LNS之间的L2TP隧道是不加密的,数据还是明文传送。而从LAC到网络中间还有可能经过运营商的IP网络,为了达到端到端的加密传输,需要在网点和总部路由器之间,采用IPSEC 实现端到端的加密,如图8所示:
IPSEC通过AH、ESP协议保证了数据的安全传输:
私有性:用户的敏感数据以密文形式传送
