1 概述
移動信息化可以理解為“無線通信技術及移動計算技術在信息化中的應用。目前我國移動用戶數接近8 億,人均持有移動終端基本實現了一人一部,甚至是一人多部。以手機、PDA、平板電腦為載體,利用3G技術作為通信手段連接內部業務系統,將業務信息處理從固定辦公環境向固/移融合辦公環境發展,實現管理、業務以及服務的移動化、信息化、電子化和網絡化,提高辦公效率,解放生產力,是政府、企業等單位信息化發展的一個重要趨勢。但移動網絡的安全風險遠高于固網安全風險,因此,有必要建立一個安全接入平臺。為提高移動信息化接入的安全級別,保障內部業務的安全運作,本文通過對移動信息化接入的各個環節進行分析,提出一個基于第二層隧道協議(Layer 2 Tunneling Protocol,L2TP)和混合加密技術建設安全接入平臺的方法。
2 移動信息化安全需求分析
本文討論的網絡特指各企業、機構為了滿足自身內部業務需求而建設的專用網絡,是內部系統的一部分,傳輸的是內部業務數據,不涉及對外公共互聯網服務。在實際工作中,內部業務平臺和對外公共服務也往往是2 個不同的系統。傳統的內部業務平臺的網絡安全通常由總部、傳輸網絡、分支機構等幾個環節構成,如圖1 所示。其中,總部部署防火墻、入侵檢測等網絡安全設備,進行網絡防御;傳輸網絡采用專網實現對外的物理隔離;分支機構通過安裝相關監控客戶端,實現對終端的監控。在這種網絡環境下,由于專網的隔絕,用戶呈現單一,即使產生攻擊,也是源于內部,很容易通過IP、路由及監控客戶端識別和定位。
圖1 傳統網絡結構
在移動信息化環境下,用戶具有漫游的特殊性,很難通過固定IP、專用電路等方式界定用戶的真實身份,存在外網用戶接入內網的情況。因此,采用移動通信技術接入內部業務信息化系統必須建立安全接入平臺,實現更高級別、更多手段的安全保障。當前3G技術已成為移動通信技術的主流方向,本文結合相關技術,探討一種針對3G移動用戶的安全接入平臺的建設方式。
隨著大量3G移動數據服務的迅速發展,這些數據業務比固網數據業務更容易受到安全威脅。為了提高移動通信的安全性,為移動化用戶提供更好的通信環境,需要更為先進和完善的移動安全機制。
由風險和威脅催生的安全問題需要更可靠的移動信息化解決方案,移動信息化平臺的安全建設應采用統一領導、統一規劃、統一標準的原則,本著安全可靠、高效運行的方針,把安全技術和安全管理相結合,實現移動信息化移動辦公的實用性、先進性、經濟性和可擴展性。其主要滿足以下安全需求:
(1)實現用戶身份的匿名性。現有移動通信網絡內的移動終端在接入網絡的過程中,要求移動終端以明文方式發送自己的國際移動用戶標識號IMSI,這樣很容易造成用戶身份的暴露,給用戶帶來受到攻擊的可能性。
(2)實現雙向認證。基于單向認證的第2 代移動網絡安全機制沒有考慮用戶對網絡的認證。并且在安全性要求較高的增值業務中,雙向認證的需要尤為迫切。
(3)實現數據機密性。根據現有SIM 卡計算能力和終端低能耗的要求,對稱密鑰加密算法仍然是最現實的;密碼體制需符合移動終端的計算能力和能源消耗。
(4)實現數據完整性。完整性能夠保證消息在傳輸過程中不被篡改。
(5)實現數據新鮮性。新鮮性是防止重傳攻擊的重要手段,可以采用時間戳服務來保證消息的新鮮性。
(6)實現不可抵賴性。不可抵賴性可以防止接收方或發送方抵賴其所傳輸的消息。
3 移動信息化安全接入平臺實現
移動信息化應用是傳統電子商務(政務)網絡平臺的一種延伸。移動信息化安全接入平臺是移動電子商務(政務)建設的安全基礎和保證,所有移動業務系統和信息資源庫的安全性都依賴于移動信息化安全接入平臺的,移動信息化安全接入平臺設計的優劣直接關系到整個移動信息化系統管理和服務功能的實現。為此,移動信息化建設在對移動信息化安全接入平臺的結構設計上應有嚴格的要求。
在當前環境下的移動信息化網絡設計中,移動業務應用所需的數據和服務應放在業務內網,移動終端通過移動接入安全平臺內的應用代理功能獲得數據服務。這種模式提供信息的新鮮度比較高,應用范圍很大,基本可還原原有業務系統內的所有應用。但也正因此,該網絡架構中需加強對移動業務接入平臺的安全性以及移動終端的安全性,以保障移動環境下實時辦公、信息查詢、信息采集的安全,同時保證業務內網與外部公網連接時相關網絡資源的安全目標。從內到外,依次需要建立軟硬件平臺安全、移動網絡接入安全、與業務內網數據交換安全、安全控制與管理的多層次安全保障體系。
3.1 移動信息化的安全區域分類
根據移動信息化的各個環節,將其分成5 個安全區域,每個區域對應各自的安全需求,如圖2 所示。
圖2 移動信息化安全區域及需求
第1 類為終端用戶區,是指用戶在移動無線條件下使用相關業務系統時所用的移動設備,其安全需求包括手機、PDA、車載移動設備、便攜電腦等各種移動終端設備的數據安全。這一區域主要考慮終端數據存儲的安全性,例如:為了防止因終端設備的丟失、病毒和木馬的入侵導致移動終端內的數據被非法查看、復制和刪除。第1 類區域的安全策略如表1 所示。
表1 第1 類區域的安全策略
第2 類為電信運營商服務區,是指無線通信網絡的領域。它由電信運營商提供各種移動網絡,如GPRS、CDMA、3G網絡以及傳統固網服務的網絡基礎運營平臺。這一區域分別由無線接入網和有線傳輸網組成,主要考慮網絡非法竊聽、網絡用戶身份冒用等。第2 類區域的安全策略如表2 所示。
表2 第2 類區域的安全策略
第3 類為安全認證區接入區,包括用戶接入和網絡安全控制。該區域主要考慮身份認證、數據加密和安全訪問控制服務的提供。第3 類區域的安全策略如表3 所示。
表3 第3 類區域的安全策略
求傳遞到內網之前的應用服務的區域,包括移動業務平臺和內網平臺的數據交換接口、統一移動終端的驗證服務、用戶身份注冊或注銷、用戶分權分域、會話管理、安全審計等系統管理服務模塊。第4 類區域的安全策略如表4 所示。
表4 第4 類區域的安全策略
第5 類為業務內網區,是指位于內網隔離區內包括移動數據同步模塊、標準接口、業務應用系統、數據中間件等組件在內的區域。第5 類區域的安全策略如表5 所示。
表5 第5 類區域的安全策略
通過對這5 類安全區域的劃分,結合業務的安全保障體系、運行管理體系和標準規范體系,展現了移動信息化建設過程中的各個區域。移動信息化安全接入平臺主要以第3 類和第4 類區域為主體,涵蓋了第2 類和第5 類區域部分內容。
3.2 移動信息化安全接入平臺拓撲圖結構
由于終端的移動性、使用場景的開放性和不可監督性、無線傳輸安全的脆弱性、網絡環境的復雜性,因此要求移動信息化安全接入采用終端加固、信道加密、認證接入、訪問控制、網閘隔離、級聯監控和安全管理等七大安全措施,七項措施環環相扣,缺一不可,共同構成獨立完整的安全接入體系,如圖3 所示,其中的移動信息化安全接入平臺拓撲結構如圖4 所示。
圖3 安全接入體系
圖4 移動信息化安全接入平臺拓撲結構
移動信息化安全接入平臺由傳輸接入設備、網絡安全設備、數據加密設備、管理安全設備、內網隔離設備等5 個設備構成:
(1)傳輸接入設備
傳輸接入設備部署了LNS 路由器和AAA 服務器。3G移動用戶數據在電信運營商傳輸網中傳輸,可使用L2TP 協議,建立VPN 隧道,保障傳輸的安全性。L2TP 協議由終端用戶發起PPP 協商,終端用戶既是PPP 2 層鏈路的一端,又是PPP 會話的一端;隧道建立在LAC(L2TP Access Concentrator)和LNS(L2TP Network Server)之間。其中,LAC 端是直接接受用戶呼叫的一端,是PPP 2 層鏈路的一端,在某些組網情況下LAC 和用戶終端可以合并為一個端點,其他情況下一般都是由NAS 作為LAC,3G移動用戶移動信息化安全接入的LAC 通常在PDSN 側。LNS 端是接受PPP 會話的另一端,一般位于私網與公網邊界,通過LNS,用戶就可以登錄到私網上,訪問私網資源。移動信息化安全接入平臺在傳輸方面通過LNS 路由器接入電信運營商的MPLS VPN 專線電路,并終結L2TP 隧道。AAA 服務器為L2TP 第2 次認證的服務器,可部署在電信側,也可部署在用戶側。
(2)網絡安全設備
網絡安全設備部署了防火墻和入侵檢測設備。通過LNS和AAA 認證服務器,可對移動用戶根據業務類型進行分組,并按分組分配IP,防火墻和入侵檢測設備根據IP 對客戶訪問進行甄別。
(3)數據加密設備
數據加密設備部署SM1 加密網關,結合移動終端內放置的TF 智能身份認證卡,實現密鑰長度為128 位的對稱加密。
(4)管理安全設備
管理安全設備由部署移動辦公服務器實現。
(5)內網隔離設備
內網隔離設備由部署網閘設備實現。
3.3 移動信息化安全接入平臺安全策略實現
移動信息化安全接入平臺的安全策略是移動信息化整體安全策略中的一部分,它必須和終端用戶區、電信運營商服務區相關安全策略進行配合使用,比如通過終端用戶區的TF智能身份認證卡實現數據加密傳輸,通過電信運營商服務區實現基于L2TP 的隧道建立[4]。具體策略如圖5 所示。對應的安全策略如表6 所示。
圖5 基于移動信息化的安全接入平臺整體安全策略表6安全策略
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:基于移動信息化的安全接入平臺建設(上)