基于3G网络的企业数据通信安全方案讨论[3]

  3、3G VPDN专网

  如下图，为了保证企业大客户3G接入网的业务安全需求，运营商可向用户提供专线APN（Access Point Name）传输方式，为用户提供专用的接入点名称，并可提供用户名、密码、IMSI的多重安全认证功能。LNS为用户总部端设备（路由器、VPN设备）通过专线与运营商网络互连，分支网点的3G路由器配置3G模块，使用企业申请的专用APN名称、用户名密码接入3G网络，运营商通过APN名称或用户名密码判断该用户为企业专网用户后，交由LAC设备触发与用户端LNS设备的L2TP 认证协商，并最终由LNS设备为分支网点3G路由器分配私网IP地址，实现与分支网点与总部私网的专线互通。

图3  3G VPDN专网

  基于3G VPDN专网是运营商为行业用户主推的模式，本文将着重分析基于3G VPDN专网应用的安全部署问题，首先看看3G无线有哪些安全机制。

  3G无线安全简介

  无线通信本身的特点是，既容易让合法用户接入，也容易被潜在的非法用户窃取，因此，安全问题总是同移动通信网络密切相关。

  针对无线通信存在的安全问题，3G系统进行了如下优化：

  1. 实现了双向认证。不但提供基站对MS的认证，也提供了MS对基站的认证，可有效防止伪基站攻击。

  2. 提供了接入链路信令数据的完整性保护。

  3. 密钥长度增加为128 bit，改进了算法。

  4. 3GPP接入链路数据加密延伸至无线接入控制器（RNC）。

[1]  [2]  [3]  [4]  [5]  [6]  [7]  [8]