1 概述
移动信息化可以理解为“无线通信技术及移动计算技术在信息化中的应用。目前我国移动用户数接近8 亿,人均持有移动终端基本实现了一人一部,甚至是一人多部。以手机、PDA、平板电脑为载体,利用3G技术作为通信手段连接内部业务系统,将业务信息处理从固定办公环境向固/移融合办公环境发展,实现管理、业务以及服务的移动化、信息化、电子化和网络化,提高办公效率,解放生产力,是政府、企业等单位信息化发展的一个重要趋势。但移动网络的安全风险远高于固网安全风险,因此,有必要建立一个安全接入平台。为提高移动信息化接入的安全级别,保障内部业务的安全运作,本文通过对移动信息化接入的各个环节进行分析,提出一个基于第二层隧道协议(Layer 2 Tunneling Protocol,L2TP)和混合加密技术建设安全接入平台的方法。
2 移动信息化安全需求分析
本文讨论的网络特指各企业、机构为了满足自身内部业务需求而建设的专用网络,是内部系统的一部分,传输的是内部业务数据,不涉及对外公共互联网服务。在实际工作中,内部业务平台和对外公共服务也往往是2 个不同的系统。传统的内部业务平台的网络安全通常由总部、传输网络、分支机构等几个环节构成,如图1 所示。其中,总部部署防火墙、入侵检测等网络安全设备,进行网络防御;传输网络采用专网实现对外的物理隔离;分支机构通过安装相关监控客户端,实现对终端的监控。在这种网络环境下,由于专网的隔绝,用户呈现单一,即使产生攻击,也是源于内部,很容易通过IP、路由及监控客户端识别和定位。
图1 传统网络结构
在移动信息化环境下,用户具有漫游的特殊性,很难通过固定IP、专用电路等方式界定用户的真实身份,存在外网用户接入内网的情况。因此,采用移动通信技术接入内部业务信息化系统必须建立安全接入平台,实现更高级别、更多手段的安全保障。当前3G技术已成为移动通信技术的主流方向,本文结合相关技术,探讨一种针对3G移动用户的安全接入平台的建设方式。
随着大量3G移动数据服务的迅速发展,这些数据业务比固网数据业务更容易受到安全威胁。为了提高移动通信的安全性,为移动化用户提供更好的通信环境,需要更为先进和完善的移动安全机制。
由风险和威胁催生的安全问题需要更可靠的移动信息化解决方案,移动信息化平台的安全建设应采用统一领导、统一规划、统一标准的原则,本着安全可靠、高效运行的方针,把安全技术和安全管理相结合,实现移动信息化移动办公的实用性、先进性、经济性和可扩展性。其主要满足以下安全需求:
(1)实现用户身份的匿名性。现有移动通信网络内的移动终端在接入网络的过程中,要求移动终端以明文方式发送自己的国际移动用户标识号IMSI,这样很容易造成用户身份的暴露,给用户带来受到攻击的可能性。
(2)实现双向认证。基于单向认证的第2 代移动网络安全机制没有考虑用户对网络的认证。并且在安全性要求较高的增值业务中,双向认证的需要尤为迫切。
(3)实现数据机密性。根据现有SIM 卡计算能力和终端低能耗的要求,对称密钥加密算法仍然是最现实的;密码体制需符合移动终端的计算能力和能源消耗。
(4)实现数据完整性。完整性能够保证消息在传输过程中不被篡改。
(5)实现数据新鲜性。新鲜性是防止重传攻击的重要手段,可以采用时间戳服务来保证消息的新鲜性。
(6)实现不可抵赖性。不可抵赖性可以防止接收方或发送方抵赖其所传输的消息。
3 移动信息化安全接入平台实现
移动信息化应用是传统电子商务(政务)网络平台的一种延伸。移动信息化安全接入平台是移动电子商务(政务)建设的安全基础和保证,所有移动业务系统和信息资源库的安全性都依赖于移动信息化安全接入平台的,移动信息化安全接入平台设计的优劣直接关系到整个移动信息化系统管理和服务功能的实现。为此,移动信息化建设在对移动信息化安全接入平台的结构设计上应有严格的要求。
在当前环境下的移动信息化网络设计中,移动业务应用所需的数据和服务应放在业务内网,移动终端通过移动接入安全平台内的应用代理功能获得数据服务。这种模式提供信息的新鲜度比较高,应用范围很大,基本可还原原有业务系统内的所有应用。但也正因此,该网络架构中需加强对移动业务接入平台的安全性以及移动终端的安全性,以保障移动环境下实时办公、信息查询、信息采集的安全,同时保证业务内网与外部公网连接时相关网络资源的安全目标。从内到外,依次需要建立软硬件平台安全、移动网络接入安全、与业务内网数据交换安全、安全控制与管理的多层次安全保障体系。
3.1 移动信息化的安全区域分类
根据移动信息化的各个环节,将其分成5 个安全区域,每个区域对应各自的安全需求,如图2 所示。
图2 移动信息化安全区域及需求
第1 类为终端用户区,是指用户在移动无线条件下使用相关业务系统时所用的移动设备,其安全需求包括手机、PDA、车载移动设备、便携电脑等各种移动终端设备的数据安全。这一区域主要考虑终端数据存储的安全性,例如:为了防止因终端设备的丢失、病毒和木马的入侵导致移动终端内的数据被非法查看、复制和删除。第1 类区域的安全策略如表1 所示。
表1 第1 类区域的安全策略
第2 类为电信运营商服务区,是指无线通信网络的领域。它由电信运营商提供各种移动网络,如GPRS、CDMA、3G网络以及传统固网服务的网络基础运营平台。这一区域分别由无线接入网和有线传输网组成,主要考虑网络非法窃听、网络用户身份冒用等。第2 类区域的安全策略如表2 所示。
表2 第2 类区域的安全策略
第3 类为安全认证区接入区,包括用户接入和网络安全控制。该区域主要考虑身份认证、数据加密和安全访问控制服务的提供。第3 类区域的安全策略如表3 所示。
表3 第3 类区域的安全策略
求传递到内网之前的应用服务的区域,包括移动业务平台和内网平台的数据交换接口、统一移动终端的验证服务、用户身份注册或注销、用户分权分域、会话管理、安全审计等系统管理服务模块。第4 类区域的安全策略如表4 所示。
表4 第4 类区域的安全策略
第5 类为业务内网区,是指位于内网隔离区内包括移动数据同步模块、标准接口、业务应用系统、数据中间件等组件在内的区域。第5 类区域的安全策略如表5 所示。
表5 第5 类区域的安全策略
通过对这5 类安全区域的划分,结合业务的安全保障体系、运行管理体系和标准规范体系,展现了移动信息化建设过程中的各个区域。移动信息化安全接入平台主要以第3 类和第4 类区域为主体,涵盖了第2 类和第5 类区域部分内容。
3.2 移动信息化安全接入平台拓扑图结构
由于终端的移动性、使用场景的开放性和不可监督性、无线传输安全的脆弱性、网络环境的复杂性,因此要求移动信息化安全接入采用终端加固、信道加密、认证接入、访问控制、网闸隔离、级联监控和安全管理等七大安全措施,七项措施环环相扣,缺一不可,共同构成独立完整的安全接入体系,如图3 所示,其中的移动信息化安全接入平台拓扑结构如图4 所示。
图3 安全接入体系
图4 移动信息化安全接入平台拓扑结构
移动信息化安全接入平台由传输接入设备、网络安全设备、数据加密设备、管理安全设备、内网隔离设备等5 个设备构成:
(1)传输接入设备
传输接入设备部署了LNS 路由器和AAA 服务器。3G移动用户数据在电信运营商传输网中传输,可使用L2TP 协议,建立VPN 隧道,保障传输的安全性。L2TP 协议由终端用户发起PPP 协商,终端用户既是PPP 2 层链路的一端,又是PPP 会话的一端;隧道建立在LAC(L2TP Access Concentrator)和LNS(L2TP Network Server)之间。其中,LAC 端是直接接受用户呼叫的一端,是PPP 2 层链路的一端,在某些组网情况下LAC 和用户终端可以合并为一个端点,其他情况下一般都是由NAS 作为LAC,3G移动用户移动信息化安全接入的LAC 通常在PDSN 侧。LNS 端是接受PPP 会话的另一端,一般位于私网与公网边界,通过LNS,用户就可以登录到私网上,访问私网资源。移动信息化安全接入平台在传输方面通过LNS 路由器接入电信运营商的MPLS VPN 专线电路,并终结L2TP 隧道。AAA 服务器为L2TP 第2 次认证的服务器,可部署在电信侧,也可部署在用户侧。
(2)网络安全设备
网络安全设备部署了防火墙和入侵检测设备。通过LNS和AAA 认证服务器,可对移动用户根据业务类型进行分组,并按分组分配IP,防火墙和入侵检测设备根据IP 对客户访问进行甄别。
(3)数据加密设备
数据加密设备部署SM1 加密网关,结合移动终端内放置的TF 智能身份认证卡,实现密钥长度为128 位的对称加密。
(4)管理安全设备
管理安全设备由部署移动办公服务器实现。
(5)内网隔离设备
内网隔离设备由部署网闸设备实现。
3.3 移动信息化安全接入平台安全策略实现
移动信息化安全接入平台的安全策略是移动信息化整体安全策略中的一部分,它必须和终端用户区、电信运营商服务区相关安全策略进行配合使用,比如通过终端用户区的TF智能身份认证卡实现数据加密传输,通过电信运营商服务区实现基于L2TP 的隧道建立[4]。具体策略如图5 所示。对应的安全策略如表6 所示。
图5 基于移动信息化的安全接入平台整体安全策略表6安全策略
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:基于移动信息化的安全接入平台建设(上)