1 概述

    移動信息化可以理解為“無線通信技術(shù)及移動計算技術(shù)在信息化中的應(yīng)用。目前我國移動用戶數(shù)接近8 億，人均持有移動終端基本實現(xiàn)了一人一部，甚至是一人多部。以手機、PDA、平板電腦為載體，利用3G技術(shù)作為通信手段連接內(nèi)部業(yè)務(wù)系統(tǒng)，將業(yè)務(wù)信息處理從固定辦公環(huán)境向固/移融合辦公環(huán)境發(fā)展，實現(xiàn)管理、業(yè)務(wù)以及服務(wù)的移動化、信息化、電子化和網(wǎng)絡(luò)化，提高辦公效率，解放生產(chǎn)力，是政府、企業(yè)等單位信息化發(fā)展的一個重要趨勢。但移動網(wǎng)絡(luò)的安全風險遠高于固網(wǎng)安全風險，因此，有必要建立一個安全接入平臺。為提高移動信息化接入的安全級別，保障內(nèi)部業(yè)務(wù)的安全運作，本文通過對移動信息化接入的各個環(huán)節(jié)進行分析，提出一個基于第二層隧道協(xié)議(Layer 2 Tunneling Protocol,L2TP)和混合加密技術(shù)建設(shè)安全接入平臺的方法。

2 移動信息化安全需求分析

    本文討論的網(wǎng)絡(luò)特指各企業(yè)、機構(gòu)為了滿足自身內(nèi)部業(yè)務(wù)需求而建設(shè)的專用網(wǎng)絡(luò)，是內(nèi)部系統(tǒng)的一部分，傳輸?shù)氖莾?nèi)部業(yè)務(wù)數(shù)據(jù)，不涉及對外公共互聯(lián)網(wǎng)服務(wù)。在實際工作中，內(nèi)部業(yè)務(wù)平臺和對外公共服務(wù)也往往是2 個不同的系統(tǒng)。傳統(tǒng)的內(nèi)部業(yè)務(wù)平臺的網(wǎng)絡(luò)安全通常由總部、傳輸網(wǎng)絡(luò)、分支機構(gòu)等幾個環(huán)節(jié)構(gòu)成，如圖1 所示。其中，總部部署防火墻、入侵檢測等網(wǎng)絡(luò)安全設(shè)備，進行網(wǎng)絡(luò)防御；傳輸網(wǎng)絡(luò)采用專網(wǎng)實現(xiàn)對外的物理隔離；分支機構(gòu)通過安裝相關(guān)監(jiān)控客戶端，實現(xiàn)對終端的監(jiān)控。在這種網(wǎng)絡(luò)環(huán)境下，由于專網(wǎng)的隔絕，用戶呈現(xiàn)單一，即使產(chǎn)生攻擊，也是源于內(nèi)部，很容易通過IP、路由及監(jiān)控客戶端識別和定位。

圖1 傳統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)

    在移動信息化環(huán)境下，用戶具有漫游的特殊性，很難通過固定IP、專用電路等方式界定用戶的真實身份，存在外網(wǎng)用戶接入內(nèi)網(wǎng)的情況。因此，采用移動通信技術(shù)接入內(nèi)部業(yè)務(wù)信息化系統(tǒng)必須建立安全接入平臺，實現(xiàn)更高級別、更多手段的安全保障。當前3G技術(shù)已成為移動通信技術(shù)的主流方向，本文結(jié)合相關(guān)技術(shù)，探討一種針對3G移動用戶的安全接入平臺的建設(shè)方式。

    隨著大量3G移動數(shù)據(jù)服務(wù)的迅速發(fā)展，這些數(shù)據(jù)業(yè)務(wù)比固網(wǎng)數(shù)據(jù)業(yè)務(wù)更容易受到安全威脅。為了提高移動通信的安全性，為移動化用戶提供更好的通信環(huán)境，需要更為先進和完善的移動安全機制。

    由風險和威脅催生的安全問題需要更可靠的移動信息化解決方案，移動信息化平臺的安全建設(shè)應(yīng)采用統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一規(guī)劃、統(tǒng)一標準的原則，本著安全可靠、高效運行的方針，把安全技術(shù)和安全管理相結(jié)合，實現(xiàn)移動信息化移動辦公的實用性、先進性、經(jīng)濟性和可擴展性。其主要滿足以下安全需求：

    (1)實現(xiàn)用戶身份的匿名性�，F(xiàn)有移動通信網(wǎng)絡(luò)內(nèi)的移動終端在接入網(wǎng)絡(luò)的過程中，要求移動終端以明文方式發(fā)送自己的國際移動用戶標識號IMSI，這樣很容易造成用戶身份的暴露，給用戶帶來受到攻擊的可能性。

    (2)實現(xiàn)雙向認證�；�于單向認證的第2 代移動網(wǎng)絡(luò)安全機制沒有考慮用戶對網(wǎng)絡(luò)的認證。并且在安全性要求較高的增值業(yè)務(wù)中，雙向認證的需要尤為迫切。

    (3)實現(xiàn)數(shù)據(jù)機密性。根據(jù)現(xiàn)有SIM 卡計算能力和終端低能耗的要求，對稱密鑰加密算法仍然是最現(xiàn)實的；密碼體制需符合移動終端的計算能力和能源消耗。

    (4)實現(xiàn)數(shù)據(jù)完整性。完整性能夠保證消息在傳輸過程中不被篡改。

    (5)實現(xiàn)數(shù)據(jù)新鮮性。新鮮性是防止重傳攻擊的重要手段，可以采用時間戳服務(wù)來保證消息的新鮮性。

    (6)實現(xiàn)不可抵賴性。不可抵賴性可以防止接收方或發(fā)送方抵賴其所傳輸?shù)南�息�?/p>

3 移動信息化安全接入平臺實現(xiàn)

    移動信息化應(yīng)用是傳統(tǒng)電子商務(wù)(政務(wù))網(wǎng)絡(luò)平臺的一種延伸。移動信息化安全接入平臺是移動電子商務(wù)(政務(wù))建設(shè)的安全基礎(chǔ)和保證，所有移動業(yè)務(wù)系統(tǒng)和信息資源庫的安全性都依賴于移動信息化安全接入平臺的，移動信息化安全接入平臺設(shè)計的優(yōu)劣直接關(guān)系到整個移動信息化系統(tǒng)管理和服務(wù)功能的實現(xiàn)。為此，移動信息化建設(shè)在對移動信息化安全接入平臺的結(jié)構(gòu)設(shè)計上應(yīng)有嚴格的要求。

    在當前環(huán)境下的移動信息化網(wǎng)絡(luò)設(shè)計中，移動業(yè)務(wù)應(yīng)用所需的數(shù)據(jù)和服務(wù)應(yīng)放在業(yè)務(wù)內(nèi)網(wǎng)，移動終端通過移動接入安全平臺內(nèi)的應(yīng)用代理功能獲得數(shù)據(jù)服務(wù)。這種模式提供信息的新鮮度比較高，應(yīng)用范圍很大，基本可還原原有業(yè)務(wù)系統(tǒng)內(nèi)的所有應(yīng)用。但也正因此，該網(wǎng)絡(luò)架構(gòu)中需加強對移動業(yè)務(wù)接入平臺的安全性以及移動終端的安全性，以保障移動環(huán)境下實時辦公、信息查詢、信息采集的安全，同時保證業(yè)務(wù)內(nèi)網(wǎng)與外部公網(wǎng)連接時相關(guān)網(wǎng)絡(luò)資源的安全目標。從內(nèi)到外，依次需要建立軟硬件平臺安全、移動網(wǎng)絡(luò)接入安全、與業(yè)務(wù)內(nèi)網(wǎng)數(shù)據(jù)交換安全、安全控制與管理的多層次安全保障體系。

    3.1 移動信息化的安全區(qū)域分類

    根據(jù)移動信息化的各個環(huán)節(jié)，將其分成5 個安全區(qū)域，每個區(qū)域?qū)��?yīng)各自的安全需求，如圖2 所示。

圖2 移動信息化安全區(qū)域及需求

    第1 類為終端用戶區(qū)，是指用戶在移動無線條件下使用相關(guān)業(yè)務(wù)系統(tǒng)時所用的移動設(shè)備，其安全需求包括手機、PDA、車載移動設(shè)備、便攜電腦等各種移動終端設(shè)備的數(shù)據(jù)安全。這一區(qū)域主要考慮終端數(shù)據(jù)存儲的安全性，例如：為了防止因終端設(shè)備的丟失、病毒和木馬的入侵導(dǎo)致移動終端內(nèi)的數(shù)據(jù)被非法查看、復(fù)制和刪除。第1 類區(qū)域的安全策略如表1 所示。

表1 第1 類區(qū)域的安全策略

    第2 類為電信運營商服務(wù)區(qū)，是指無線通信網(wǎng)絡(luò)的領(lǐng)域。它由電信運營商提供各種移動網(wǎng)絡(luò)，如GPRS、CDMA、3G網(wǎng)絡(luò)以及傳統(tǒng)固網(wǎng)服務(wù)的網(wǎng)絡(luò)基礎(chǔ)運營平臺。這一區(qū)域分別由無線接入網(wǎng)和有線傳輸網(wǎng)組成，主要考慮網(wǎng)絡(luò)非法竊聽、網(wǎng)絡(luò)用戶身份冒用等。第2 類區(qū)域的安全策略如表2 所示。

表2 第2 類區(qū)域的安全策略

    第3 類為安全認證區(qū)接入?yún)^(qū)，包括用戶接入和網(wǎng)絡(luò)安全控制。該區(qū)域主要考慮身份認證、數(shù)據(jù)加密和安全訪問控制服務(wù)的提供。第3 類區(qū)域的安全策略如表3 所示。

表3 第3 類區(qū)域的安全策略

    求傳遞到內(nèi)網(wǎng)之前的應(yīng)用服務(wù)的區(qū)域，包括移動業(yè)務(wù)平臺和內(nèi)網(wǎng)平臺的數(shù)據(jù)交換接口、統(tǒng)一移動終端的驗證服務(wù)、用戶身份注冊或注銷、用戶分權(quán)分域、會話管理、安全審計等系統(tǒng)管理服務(wù)模塊。第4 類區(qū)域的安全策略如表4 所示。

表4 第4 類區(qū)域的安全策略

    第5 類為業(yè)務(wù)內(nèi)網(wǎng)區(qū)，是指位于內(nèi)網(wǎng)隔離區(qū)內(nèi)包括移動數(shù)據(jù)同步模塊、標準接口、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)中間件等組件在內(nèi)的區(qū)域。第5 類區(qū)域的安全策略如表5 所示。

表5 第5 類區(qū)域的安全策略

    通過對這5 類安全區(qū)域的劃分，結(jié)合業(yè)務(wù)的安全保障體系、運行管理體系和標準規(guī)范體系，展現(xiàn)了移動信息化建設(shè)過程中的各個區(qū)域。移動信息化安全接入平臺主要以第3 類和第4 類區(qū)域為主體，涵蓋了第2 類和第5 類區(qū)域部分內(nèi)容。

    3.2 移動信息化安全接入平臺拓撲圖結(jié)構(gòu)

    由于終端的移動性、使用場景的開放性和不可監(jiān)督性、無線傳輸安全的脆弱性、網(wǎng)絡(luò)環(huán)境的復(fù)雜性，因此要求移動信息化安全接入采用終端加固、信道加密、認證接入、訪問控制、網(wǎng)閘隔離、級聯(lián)監(jiān)控和安全管理等七大安全措施，七項措施環(huán)環(huán)相扣，缺一不可，共同構(gòu)成獨立完整的安全接入體系，如圖3 所示，其中的移動信息化安全接入平臺拓撲結(jié)構(gòu)如圖4 所示。

圖3 安全接入體系

圖4 移動信息化安全接入平臺拓撲結(jié)構(gòu)

    移動信息化安全接入平臺由傳輸接入設(shè)備、網(wǎng)絡(luò)安全設(shè)備、數(shù)據(jù)加密設(shè)備、管理安全設(shè)備、內(nèi)網(wǎng)隔離設(shè)備等5 個設(shè)備構(gòu)成：

    (1)傳輸接入設(shè)備

    傳輸接入設(shè)備部署了LNS 路由器和AAA 服務(wù)器。3G移動用戶數(shù)據(jù)在電信運營商傳輸網(wǎng)中傳輸，可使用L2TP 協(xié)議，建立VPN 隧道，保障傳輸?shù)陌踩�性。L2TP 協(xié)議由終端用戶發(fā)起PPP 協(xié)商，終端用戶既是PPP 2 層鏈路的一端，又是PPP 會話的一端；隧道建立在LAC(L2TP Access Concentrator)和LNS(L2TP Network Server)之間。其中，LAC 端是直接接受用戶呼叫的一端，是PPP 2 層鏈路的一端，在某些組網(wǎng)情況下LAC 和用戶終端可以合并為一個端點，其他情況下一般都是由NAS 作為LAC，3G移動用戶移動信息化安全接入的LAC 通常在PDSN 側(cè)。LNS 端是接受PPP 會話的另一端，一般位于私網(wǎng)與公網(wǎng)邊界，通過LNS，用戶就可以登錄到私網(wǎng)上，訪問私網(wǎng)資源。移動信息化安全接入平臺在傳輸方面通過LNS 路由器接入電信運營商的MPLS VPN 專線電路，并終結(jié)L2TP 隧道。AAA 服務(wù)器為L2TP 第2 次認證的服務(wù)器，可部署在電信側(cè)，也可部署在用戶側(cè)。

    (2)網(wǎng)絡(luò)安全設(shè)備

    網(wǎng)絡(luò)安全設(shè)備部署了防火墻和入侵檢測設(shè)備。通過LNS和AAA 認證服務(wù)器，可對移動用戶根據(jù)業(yè)務(wù)類型進行分組，并按分組分配IP，防火墻和入侵檢測設(shè)備根據(jù)IP 對客戶訪問進行甄別。

    (3)數(shù)據(jù)加密設(shè)備

    數(shù)據(jù)加密設(shè)備部署SM1 加密網(wǎng)關(guān)，結(jié)合移動終端內(nèi)放置的TF 智能身份認證卡，實現(xiàn)密鑰長度為128 位的對稱加密。

    (4)管理安全設(shè)備

    管理安全設(shè)備由部署移動辦公服務(wù)器實現(xiàn)。

    (5)內(nèi)網(wǎng)隔離設(shè)備

    內(nèi)網(wǎng)隔離設(shè)備由部署網(wǎng)閘設(shè)備實現(xiàn)。

    3.3 移動信息化安全接入平臺安全策略實現(xiàn)

    移動信息化安全接入平臺的安全策略是移動信息化整體安全策略中的一部分，它必須和終端用戶區(qū)、電信運營商服務(wù)區(qū)相關(guān)安全策略進行配合使用，比如通過終端用戶區(qū)的TF智能身份認證卡實現(xiàn)數(shù)據(jù)加密傳輸，通過電信運營商服務(wù)區(qū)實現(xiàn)基于L2TP 的隧道建立[4]。具體策略如圖5 所示。對應(yīng)的安全策略如表6 所示。

圖5 基于移動信息化的安全接入平臺整體安全策略表6安全策略

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.vmgcyvh.cn/

本文標題：基于移動信息化的安全接入平臺建設(shè)(上)

本文網(wǎng)址：http://www.vmgcyvh.cn/html/support/1112156335.html