从表6 可以看出,基于移动信息化安全接入平台的安全策略是比较丰富的,可以根据应用情况,具体采用以下策略:
(1)传输安全策略
首先使用L2TP 技术建立VPN 隧道,在此基础上,结合终端的多接口安全智能卡(TF 卡),通过加密网关实现传输数据SM1加密,此外还使用SSL VPN 技术对登录业务系统的用户名和密码进行加密。最后在接入段使用MPLS VPN 专网传输。
(2)网络防御策略
使用防火墙和入侵检测系统实现对网络安全的基本防范。
(3)安全认证策略
首先利用独立的AAA 认证服务器实现L2TP 的身份认证,确保只有被许可的终端才能接入这个移动VPN 网。通过发送短信炸弹的手段,及时删除遗失终端内的数据信息;使用停用禁止机制,及时注销用户;使用防穷举攻击机制,限制对用户名及密码的穷举攻击。
(4)管理安全性策略
使用重登录、分权分域机制约束用户的业务行为,最后使用安全审计策略记录用户的使用痕迹。
(5)内网安全性策略
使用网闸设备实现对外网的隔离。
4 移动信息化安全接入平台部分关键技术
在安全领域中,防火墙技术、入侵检测技术、网闸技术已较为成熟,这里不再赘述。下面给出基于L2TP 的隧道建立、混合加密等技术的实现。
4.1 基于L2TP 的隧道建立
L2TP 是建立在传输层的隧道协议,其通过头压缩、隧道验证的方式保护传输的报文。本平台使用VPDN 方式通过L2TP 协议建立隧道,主要有以下3 点好处:
(1)L2TP 属于2 层隧道协议,相对于其他隧道协议,涉及到的层次越低,网络传输效率就越高,考虑到还需要对传输数据进行加密传送,使用传输效率高的隧道协议能切实有效地提高网络性能。
(2)L2TP 支持多种协议,可以很方便地应用在IP、帧中继、永久虚拟电路(Permanent Virtual Circuits, PVC)、X.25 虚拟电路(Virtual Circui, VC)或ATMVCS(Asynchronous TransferMode Virtual Circuit Switch)等多种广域网环境中。
(3)L2TP 二次认证策略配合AAA 服务器,能确保用户实现可控的认证机制,从接入层杜绝非法用户的侵入。
4.2 认证策略的实现
数据报在无线VPDN 网络传送过程中要经过2 次AAA认证。
(1)第1 次认证过程如下:
1)终端用户拔号连接到PDSN。
2)PDSN 给分组网AAA 发送认证请求。
3)分组网AAA 判断请求包中用户名的域名后缀,域名后缀为vpdn.gd 的请求包转发给无线VPDN AAA。
4) VPDN AAA 识别VPDN 认证请求属性。
5) VPDN AAA 校验域名合法性。
6) VPDN AAA 校验域名与IMSI 池的绑定。
7)VPDN AAA 生成包含VPDN 隧道参数的认证响应包转发给分组网AAA。
8)分组网AAA 把认证响应下发给PDSN。
9)PDSN 根据下发的LNS 地址和隧道参数,与LNS 建立隧道连接。
(2)第2 次认证过程如下:
1)LNS 将认证请求发送给无线VPDN AAA 认证系统。
2)认证系统识别请求来自LNS。
3)认证系统校验用户名、密码。
4)认证系统校验用户名与IMSI 号码绑定。
5)认证系统根据域名和LNS 标识下发绑定地址池标识(IP-POOL)。
LNS 配置代码举例如下,其中,相关IP 地址均为举例,实际使用时需根据实际情况具体配置。
使用共享AAA 认证配置:
aaa new-model
aaa authentication login default local
aaaauthentication ppp default group radius local
//先radius 认证再本地认证
aaa authorization exec default local
aaa session-id common
radius-server host 10.230.85.32 auth-port 18125 acct-port 1812key cisco
//配置AAA 地址和认证key
hostname city-user-lns-2811
使用LNS 配置:
ip subnet-zero
no ip domain-lookup
vpdn enable //使用VPDN 功能
vpdn-group cisco //配置VPDN 属性
accept-dialin
protocol l2tp
virtual-template 1
lcp renegotiation on-mismatch
local name cisco
l2tp tunnel password *****
配置互连端口:
interface FastEthernet0/0 //该端口为用户和电信互联的端口
des To China Telecom Network
ip address 202.192.72.1 255.255.255.252 //其地址为 LNS IP
//地址
no ip directed-brOAdcast
interface FastEthernet0/1 //用户网内端口
des To user-private-network
ip address 192.166.36.2 255.255.255.0
no ip directed-broadcast
interface Virtual-Template1
ip unnumbered FastEthernet0/1 //用户内网互连的端口号
no keepalive
peer default ip address pool lns-pool //指定拨号用户的地址池
ppp authentication chap pap ms-chap //指定PPP 等认证方式
指定用户IP POOL:
ip local pool lns-pool 192.166.34.2 192.166.36.254
ip classless
配置路由:
ip route 10.123.5.0 255.255.255.0 192.9.8.1 //上联到外网的路由
Ip route 0.0.0.0 0.0.0.0 192.166.36.1 //用户内部网络路由
LAC 配置代码:
interface virtual-template 1
ppp authentication-mode chap
quit //配置虚模板接口1
interface gigabitethernet 7/0/0.100 ①②
start l2tp 220.192.72.1 //配置LNS 地址
tunnel load-sharing //启用LNS 的负载均衡
tunnel source loopback 220.192.72.1 //配置隧道源接口
l2tp aging 360 //配置LNS 锁定时间
tunnel authentication //启用隧道验证
tunnel timer hello 90 //配置 hello 报文发送间隔
tunnel retransmit 8 //控制报文重传次数
tunnel idle-cut 100 //隧道闲置切断时间
4.3 混合加密技术的实现
目前为了便于密码设备的规模化生产,往往公布其加密的算法,加密信息的安全程度主要依赖于密钥(在未知密钥的情况下,即使知晓加密的算法,也是不能对其解密的)。通常使用的有对称加密(SM1)和非对称加密(SM2)2 种方式,其中,对称加密算法的密钥随机性高,但密钥传递是一个很大的问题;非对称加密方式,算法加密强度大,但运算速度较慢。在业务中需要将这2 种加密算法搭配使用,各取其长。通常非对称加密作为移动用户和接入平台的私钥,用于双方初期会话的建立以及传输密钥的传递,即通过非对称加密算法加密传输密钥,使传输密钥能够安全到达移动用户的手中。传输数据采用对称加密方式,提高数据加密传送效率,传输密钥采用签到会话机制实现,保证了传输密钥的时间性,实现一日一密,甚至一次一密。整个加密流程如图6 所示,其中使用的密钥包括:
(1)S-PubKey:加密网关公钥,用于移动终端加密向加密网关发起的签到会话,存储于移动终端。
(2)S-PriKey:加密网关私钥,用于加密网关解密移动终端发来的签到会话,存储于加密网关。
(3)PubKey:移动终端公钥,用于加密网关加密向移动终端发送的Tkey,存储于加密网关。
(4)PriKey:移动终端私钥,用于移动终端解密发送来的Tkey,存储于移动终端。
(5)Tkey:传输密钥,实际数据传输所用的临时密钥,存储于加密网关和移动终端。
图6 加密流程
加密流程如下:
(1)平台主机保留PubKey 和S-PriKey,其中,PubKey 和智能终端设备号(IMSI)建立对应表。
(2)智能终端的TF 卡中存有S-PubKey 和PriKey。
(3)智能终端每次启用前将自己的IMSI 号用S-PubKey 加密后发到平台主机。
(4)平台主机用S-PriKey 解密后,根据IMSI 号找到其对应的PubKey。
(5)平台主机随机生成Tkey,并建立Tkey 和IMSI 的对应表。
(6)平台主机将Tkey 利用PubKey 加密后,转发到智能终端上。
(7)智能终端用PriKey 解密获得Tkey。
(8)智能终端用Tkey 加密生成密文。
(9)智能终端将密文和自己的IMSI 号用S-PubKey 加密后发到平台主机。
(10)平台主机通过该移动终端的IMSI 找到其使用Tkey,并通过这个Tkey 解密传输数据,然后将数据传给移动业务服务器。
(11)平台主机收到移动业务服务器回传的业务数据后,仍然用这个Tkey 发回给移动终端。
(12)移动终端收到回复的密文,并用Tkey 进行解密。该Tkey 可多次使用,实现业务数据的加密交换。
(13)当智能终端掉电或使用了指定时间周期后(如24 h),平台主机自动触发要求智能终端执行步骤(3),获得一个新的Tkey。
5 结束语
随着3G技术的飞速发展,未来将是移动互联的世界,使用无线终端接入的数据用户将远远超过有线终端接入的数据用户,业务终端的无线移动化接入是信息化技术发展的趋势。本文根据移动业务终端的接入特性,从传输渠道到业务使用等各方面结合多种安全技术,设计了基于3G移动用户的移动信息化安全接入平台,为政府、企业的无线信息化安全接入提供参考。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:基于移动信息化的安全接入平台建设(下)