文档介绍:3G安全接入解决方案
华南区康彦军
3G安全接入解决方案
案例分享
产品技术介绍
提纲
新技术、新应用
提升业务部署效率、突破运营商线路资源的束缚、提升资源利用率
柜面延伸业务、移动网点的开展
业务应用
3G接入区域
路由规划
VPN规划
加密算法
工商银行
外派终端业务
二级分行外联区
静态路由
L2TP+IPSec
SM
自助查询机
二级分行外联区
动态路由(RIP)
L2TP+IPSec
农业银行
离行ATM
一、二级分行
动态路由OSPF
L2TP+IPSec
SM
柜面业务延伸
一级分行
静态路由
L2TP+IPSec
SM
网点灾备
数据中心、分行
动态路由OSPF
L2TP+IPSec
SM
中国银行
柜面业务延伸
新建3G接入区
静态路由
L2TP+IPSec
SM
离行ATM
新建3G接入区
动态路由(OSPF)
L2TP+IPSec
SM
自助服务终端
新建3G接入区
动态路由(OSPF)
L2TP+IPSec
SM
支行/网点备份
新建3G接入区
动态路由(OSPF)
L2TP+IPSec
SM
建设银行
离行ATM
二级分行广域网区
动态路由(RIP/OSPF)
L2TP+IPSec
网点备份
一级分行广域网区
动态路由(RIP/OSPF)
L2TP+IPSec
如何应对运营商信3G信号覆盖不稳定的现象?
如何应对3G链路中断?
3G信号消失,业务无法办理?
如何应对封闭空间的信号质量不好现象?
单LNS,可靠性低?
如何避免非法烧制3G卡?
如何防范3G环境下的数据窃听?
如何避免其它3G用户非法接入到自己的专网?
?
如何防范内部用户盗用、混用帐号?
如何防范数据篡改风险?
如何防范终端随意接入?
安全风险(7个)
3G—面临(3大类,20个)风险
可靠性风险(5个)
如何监管3G链路、VPN链路状态?
如何获取在线设备详细信息?
如何统计现有网络设备资产信息?
如何快速判断3G设备的部署位置?
如何提前避免欠费?
如何精确统计业务对带宽的需求,判断套餐是否合理?
业务现在、未来需要多少带宽,现有套餐是否合理如何统计?
如何统计运营商提供3G网络的服务质量?
运维风险(8个)
3G—面临(3大类,20个)风险
3G安全接入解决方案
Page6
AAA服务器
CA服务器
AAA服务器
LAC
LNS
离行ATM
柜面业务延伸
柜面网点
自助网点
IPsec VPN通道
VPN网关
RG-RSR10-02
内置ATM机具中
RG-SNC-BANK
柜面业务延伸
场景:离行ATM
RG-RSR10-01G
内置自助终端中
场景:自助服务终端
场景:柜面业务延伸
RG-RSR10
RG-RSR20
场景:网点备份/灾备
场景:网点备份/灾备
专线
专线
RG-RSR10-01G
RG-RSR10/20
现有设备不支持
SM1
现有设备支持
3G接入安全保障模型
Page7
接入用户
认证
授权
加密
过滤
应用安全保障
3G无线接入安全保障模型
安全是一项系统工程,需从多角度、维度综合考虑!
防范非法复制3G卡-鉴权
由制卡中心、运营商共同完成,流程如下:
制卡:
随机产生A-KEY,连同IMSI信息写入SIM卡,对于外部程序物理隔离。
信息导入:
A-KEY(加密)后导入HLR/AC设备,有权限者完成。
加密密钥 K4 以及加/解密算法对资源文件进行加密。
运营商
制卡中心
复制前提: IMSI、ESN、A-KEY等元素同时复制才能成功。
S
双向鉴权:物理隔离密钥,外部程序无法读取A-KEY;非授权人员
无法查看;加密后直接导入HLR,运营商也无法获知。
无线信号加密
AAA 服务器
LNS
CLIENT
AAA 服务器
CA 服务器
S
无线信号加密:SIM卡有运算功能,密钥和算法运营商算法不公开,密
钥长度为128bit。相比2G ,延长了加密链路,延伸到交换设备。
授权用户、服务
AAA 服务器
LNS
CLIENT
AAA 服务器
CA 服务器
非授权SIM
×
S
屏蔽非法用户:IMSI号是每张SIM卡的唯一标识,IMSI号+域名绑定。
实现非授权卡无法拨入专网。
S
服务:限制授权3G卡的访问,服务,做到
“专卡专用”
×
授权SIM