搜索
广东联通移动安全解决方案中国联通广东省分公司联通移动安全解决方案简介2近年来,随着移动互联网的发展以及3G网络、移动终端的不断普及,一些对安全要求极高的政府单位也逐步开始对在移动终端上使用业务的安全性进行研究或使用。广东联通充分结合国内知名安全厂家技术优势以及联通3GAPN无线专网的网络安全优势,为政府单位提供移动安全解决方案,实现安全移动信息化。终端侧网络侧客户侧硬件安全操作系统安全应用软件安全数据安全……无线网络安全核心网安全有线网络安全……接入安全管理安全应用安全数据安全……联通移动安全解决方案网络侧安全保障•34APN网络简介联通APN网络可以为用户提供一个可移动和无线接入的虚拟专用网络平台(又称VPDN网络),实现政府单位的各个子用户无论何时何地都可安全地与其内部数据系统进行数据交互。•终端:可以是手机、笔记本、无线Modem等,根据客户不同的需求选用不同的终端。•GGSN:网关GPRS支持节点,起网关作用,和不同数据网络连接。客户通过WCDMA网络接入到GGSN,GGSN判断是APN用户,向指定的客户侧路由器发起GRE/L2TP连接,可分配IP地址。•SGSN:GPRS服务支持节点,主要完成分组数据包的路由转发、移动性管理、会话管理、逻辑链路管理、鉴权和加密、话单产生和输出等功能•HLR:归属位置寄存器。保存的是用户的基本信息,并负责对客户的域名进行鉴权认证。•VLR:拜访者位置寄存器。保存的是用户的动态信息和状态信息,以及从HLR下载的用户的签约信息。•专线:通常采用物理专线(如MSTP/SDH),此专线将联通的WCDMA网关和客户侧路由器连接起来。•客户侧路由器:需支持GRE/L2TP协议,要与GGSN建立GRE/L2TP隧道•客户AAA服务器:又称客户Radius,用于认证、授权,实现对拨号用户名、密码和IP地址的管理,此服务器为可选配置,用于提高网络的安全性。联通APN专线联通WCDMA3G网络联通基站移动终端区移动接入管理区智能终端移动通信网业务平台业务平台区防火墙路由器路由器客户AAASGSNGGSNHLRVLR提供专享的APN鉴权接入(只有符合客户专用APN域名的无线卡才能接入,该域名的申请和绑定都需要经过特定流程)使用专用行业网关GGSN,与互联网GGSN网关互相独立SGSN和GGSN基于PDP(分组数据报文)上下文转发报文,不同客户之间以及同一客户不同用户之间完全隔离核心网报文转发全部经过GTP隧道封装,终端和客户网络都无法进入核心网络支持GRE/L2TP隧道接入方式,GGSN可与客户接入路由器间建立GRE或L2TP隧道并支持多种安全加密方式核心网网络设备全部是双平面配置,可以保证任何一台设备故障都不中断业务•核心网安全APN网络安全保障(1)5GGSNSGSNHLR联通基站GRE/L2TP隧道APN专线WCDMA3G客户AAA移动终端区移动通信网移动接入管理区业务平台区防火墙客户业务平台路由器路由器客户内网出口至联通移动网间,采用物理专线进行数据传输,与互联网隔离,确保数据在全封闭环境内传递,不受影响•数据专线安全WCDMA来自于军事级扩频技术、快速功率控制将信号隐藏在噪声中,无法被监听增强的128位5元组(随机数RAND、期望响应XRES、加密密钥CK、完整性密钥IK和认证令牌AUTN)鉴权密码算法。网络以临时识别码(TMSI)给用户在传输信息中屏蔽用户真实身份128位加密密钥(CK),通过KASUMI分组加密算法函数f8对数据进行加密采用信令完整性保护,防止消息被恶意篡改和伪造提供了双向认证。不但提供基站对移动终端(MS)的认证,也提供了移动终端对基站的认证,可有效防止伪基站攻击接入链路数据加密延伸至无线网络控制器(RNC);无线接入网络(RAN)是运营商的网络,主要负责从无线信号中提取信息向分组域或电路域转发,数据在其中传输也会有加密,压缩等步骤。而且RAN都是底层设备,数据在上层的含义对这些设备来说是抽象的,RAN设备本身不会带来安全隐患。WCDMA安全机制具有可拓展性,可为将来引入新业务提供安全保护措施•无线网络安全APN网络安全保障(2)67使用成本应用范围网络稳定性可扩展性数据安全网络结构简单传统VPNAPN技术网络特性对比1、APN技术只需要一条能够联通GGSN与用户核心机房专线即可。2、APN技术也可以使用传统VPN的相关安全策略。3、用户新增外围通信节点无需新增物理线路。4、无线网络状况决定APN技术的稳定性。5、传统VPN可以使用的均可引入APN6、APN总体使用成本比专线组网低APN技术与传统专线业务对比APN网络与传统专线、VPN对比APN网络技术测评8目前,中国联通APN专网(即VPDN专网)的安全认证通过“国家信息安全认证中心”测评,并取得《信息系统安全测评证书》(信息系统安全保障级二级)。联通移动安全解决方案终端及客户侧安全保障•9客户侧可叠加基础安全措施10支持客户自建AAA的接入鉴权方式,实现对每个拨入的号码进行账号和密码认证,并可捆绑手机串号(IMEI)、手机卡串号(IMSI)、用户名、密码进行认证,客户可自行分配IP地址和拨入服务器主机IP地址和域名,其他人无法知晓客户可以在其内网部署防火墙,对不同网络间的通信进行限制或隔离处理,将APN网络系统受外界影响的风险降到最低。可叠加对终端或端对端的加密安全措施、如CA认证、TF卡加密、SSL/IPSecVPN加密等可叠加终端及应用管理平台措施,综合实现对终端、网络传输、应用等多方面的安全保障GGSNSGSNHLR联通基站GRE/L2TP隧道APN专线WCDMA3G客户AAA移动终端区移动通信网移动接入管理区业务平台区防火墙客户业务平台路由器路由器•叠加安全措施11终端及客户侧安全保障解决方案1•解决方案1——移动安全接入平台方式121.简介主要通过部署在客户机房的移动安全接入平台,结合插在移动终端里的安全TF卡、安全USB卡在联通APN网络的基础上使用国家SM1、SSL、IPSec等加密算法进行硬件加密、身份认证,并通过一系列安全措施从而实现对客户内网的安全访问。联通APN专线联通WCDMA3G网络联通基站移动终端区移动接入区移动通信网客户业务平台客户内网区防火墙路由器路由器SGSNGGSN安全接入平台网闸代理服务器代理服务器HLR132.安全体系移动安全接入平台安全保障措施包括终端加固、链路保护、信道加密、认证接入、访问控制、网闸隔离、安全管理等七方面。安全体系143.接入流程移动终端数据在经过联通APN网络后需要先经安全接入网关认证、协商密钥、建立加密通道后才能安全接入客户内网。15终端及客户侧安全保障解决方案2•解决方案2——终端及应用管理平台方式161.简介这种安全解决方案侧重对移动终端及应用的管理,从终端安全、网络安全、安全管理及应用安全几方面着手,实现可信赖的端对端的安全架构。通过该方案,可实现对政府单位移动终端及移动应用的管控,进一步加强移动终端及应用使用的安全性。172.安全机制移动终端上需要安装安全客户端软件,以配合移动安全接入网关、移动设备管理(MDM)服务器、移动应用商店等组成的终端及应用管理平台实现平台安全管理功能。终端数据需要经过移动安全接入网关才能接入客户内网,该网关具有加解密及认证、访问控制等功能,MDM服务器可实现对移动终端的管理控制,而移动应用商店实现应用白名单控制。183.功能列表终端及应用安全管理平台主要功能包括远程控制、安全管理、应用管理、资产管理及平台管理。平台管理日志管理资产管理资产注册与注销移动设备管理远程控制设备信息管理设备功能控制设备定位应用管理应用控制企业应用商店设备root检测安全管理SD卡控制用户数据安全安全策略网页黑白名单License管理菜单管理数据擦除红色表示重要安全功能平台用户管理终端用户自主管理注:移动设备安全管理功能中的大部分功能还能细致的划分出来,如:设备功能控制,可以控制硬件如:蓝牙、wifi等;软件如:wifi共享、usb连接等,支持客户定制功能。运维功能终端管理功能系统升级通知多操作系统支持统一帐号服务远程重启终端消息状态监控应用使用流量统计应用使用频率统计设备报修管理对比项移动安全接入平台方式终端及应用管理平台方式备注可维护性可通过培训实现客户对安全卡进行证书及安全策略写入与修改可通过培训实现客户自己对平台及终端、应用的管理可扩展性在平台容量范围内,增加终端仅需增加安全卡及后台配置,可支持数万用户及上万并发,容量与网关设备、网络带宽、证书服务器等相关在平台容量范围内,增加终端仅需后台配置,容量与网关设备、网络带宽等相关可作负载均衡远程擦除功能支持远程擦除证书支持远程数据擦除,支持离线策略终端选型支持安卓(主要)、IOS、WindowsMobile操作系统终端,需要终端支持硬件安全卡,可进行终端适配支持安卓、IOS操作系统终端,针对华为终端还可进一步从硬件底层及操作系统提高系统安全性,可进行终端适配安全机制通过终端加固、链路保护、信道加密、认证接入、访问控制、网闸隔离、安全管理准入控制,侧重安全接入管理及安全策略通过终端沙箱保护、操作系统定制及平台的通道加密、设备权限控制、安全策略控制、应用超市白名单等进行安全管控,支持客户定制加密算法及安全卡加密、证书,侧重终端硬件管控及应用管控19安全解决方案比较谢谢