基于3G网络的企业数据通信安全方案讨论[6]

  专有APN+绑定接入认证

  在进行网点的3G无线接入部署时，需要先向运营商申请分配的专网APN（Access Point Name，类似行业专用的3G无线局域网，保证网点接入3G网络后，只能访问行业专用网络，保证无法与其他网络进行通信）。网点采用3G路由器接入，运营商会将网点用户的IMSI信息（IMSI是在运营商网络中识别一个移动用户的号码，由15位数字组成，存于SIM卡中）、终端用户的账号和密码事先配置在运营商认证服务器上。当网点的3G路由器发起无线连接时，只允许绑定信息合法的用户通过用户名、密码的AAA认证后接入3G专用网络，防止非法SIM卡用户拨入用户3G专网。

  此外，可进一步通过3G路由器设置SIM卡的PIN码保护功能，只有知道SIM卡的PIN密码才能触发3G拨号，防止非法用户获取到用户SIM卡后进行的非法操作，保证了SIM卡的使用安全。

  L2TP＋IPSEC VPN私有隧道

  为了保证3G接入网点的数据业务在运营商IP核心网中传输的的私有性，用户向运营商申请企业集团用户3G的VPDN业务，基于3G无线接入方式的虚拟专用拨号网业务，它是利用安全的L2TP隧道传输协议，就可以在现有的拨号网络上构建一条虚拟的、不受外界干扰的专用通道，从而安全访问企业内部网资源。

  运营商会为行业用户的3G VPDN业务提供L2TP的LAC端路由器及配套的AAA服务器。金融、政府行业一级网或二级网汇聚层采用一台路由器作为L2TP的LNS端，并部署一台AAA服务器。LAC路由器主要负责对3G用户的接入认证，与该用户所属企业的专有LNS建立L2TP隧道。金融、政府行业一级网或二级网汇聚的AAA服务器主要存放网点路由器建立连接时所需要的用户名和密码。用户名的格式为XX@XX.COM，其中@前面的字符串可以由用户端自行定义，＠后面的字符串即域名。运营商AAA服务器通过域名确认该用户的接入权限。运营商AAA服务器与企业AAA服务器的用户名和密码必须一致。

[1]  [2]  [3]  [4]  [5]  [6]  [7]  [8]