金融行业3G随e联无线SSL-VPDN解决方案(APN物理隔离+双机热备模式)

1、yncVHi±QBIfl中国联通金融行业随 E联无线SSL VPDN解决方案（双机热备模式）Ch naunicorn（P国联诵金融行业3G随E联无线SSL-VPDN双机热备解决方案中国联通江苏省分公司江苏天益网络信息有限公司unoonutana4 -a?內占逞*中国联通金融行业随 E联无线SSL VPDN解决方案（双机热备模式）专用术语:VPDN: Virtual Private Dial Up Network 虚拟拨号专网SSL Secure Socket Layer 安全套接字协议SSL-VPDN SSL力口密拨号专网PKI: Public Key Infrastructure公

2、钥基础设施CA Certificate Authentication数字证书认证服务SOE: SSL Over Ethernet 以太网协议封装SGSN Serving GPRS Support Node 服务 GPRSfc持节点GGSN Gateway GPRS Support Node 网关 GPRSfc持节点VRF Virtual Rout ing Forwardi ng虚拟路由转发PDP Packet Data Protocol指分组数据规程AAA 服务:认证(Authentication )、授权(Authorization )、审计(Accounting )unoonutana4

3、-a?內占逞*中国联通金融行业随 E联无线SSL VPDN解决方案（双机热备模式）1、概述42方案目标： 52.1需求分析：53、随E联无线SSL-VPDN解决方案63.1建设方案63.2方案说明：63.2.1结构说明63.2.2使用说明73.2.4安全性分析:83.3方案特点84、项目实施94.1设备清单94.2项目实施9中国联通金融行业随 E联无线SSL VPDN解决方案（双机热备模式）1、概述随着时代的发展、科技的进步，金融业已经成为信息技术和网络技术发展的 最大受益者之一。银行网络信息系统的建立，改善了整个银行业的经营环境，增 强了金融信息的可靠性，提高了管理水平，促成了各项新业务的开

4、展，使金融服 务于社会的手段更趋现代化。近年来针对金融信息网络的计算机犯罪的案件呈逐年上升趋势，特别是目前银行全面进入业务系统整合、数据大集中的新的发展阶段，以及银行卡、网上银 行、电子商务等新的产品和新一代业务系统的迅速发展，现在不少银行开始将部 分业务放到互联网上，今后几年内将迅速形成一个以基于TCP/IP协议为主的复杂的、全国性的网络应用环境，来自外部和内部的信息安全风险将不断增加，这就对金融系统的安全性提出了更高的要求。目前，金融行业单位内部一般建设有大量的信息系统，而出于安全的需要， 金融行业的信息系统只能在单位专网中使用，而且单位专网与互联网采用物理隔 离的方式以防止来自互联网的入

5、侵。 在这种情况下，移动终端如何安全的接入单 位专网实现移动办公？通过互联网建立 VPN的方案显然不行！3G业务是第三代移动通讯业务，与第二代相比，具有高速的数据传输能力。 而中国联通获得的 WCDMA牌照，是目前世界上使用最为广泛、传输速度最快 的3G标准。与其他运营商相比，中国联通更拥有专业的“数字证书认证服务中心（CA）” 并通过了国家密码管理局的安全审查， 获得工信部的“社会认证服务资格证书”。中国联通江苏分公司推出的“随 E联SSL- VPDN ”业务正是利用其特有的 WCDMA无线数据传输技术和数字证书认证服务体系，通过建立无线拨号专线（VPDN ）接入单位专网，并通过建立SSL隧

6、道实现数据加密传输和基于数字证书的身份鉴别，一方面保障了远程接入专线与互联网的物理隔离，同时又保障了数据在传输过程中的机密性、真实性和完整性以及远程终端身份的真实性。从而 在安全保障的基础上，实现移动办公、移动终端接入等应用。该方案可广泛应用于除金融行业以外的社保、电力、区县政府等单位，实现unoonutana4 -a?內占逞*中国联通金融行业随 E联无线SSL VPDN解决方案（双机热备模式）移动办公、移动终端安全接入等应用2方案目标：移动终端以专线的方式，随时随地接入单位专网，并确保信息的机密性、 完整性、真实性和可控性。2.1需求分析：传输速度要求由于金融系统有比较强的实时性要求， 因此

7、需要有较高的传输带宽，带宽不低于100K故障恢复要求由于金融系统对网络具有依赖性，所以要求系统必须十分稳定并具有应急备 份机制。故障恢复时间不超过2小时。可扩展性要求随着远程终端点（分支机构）的增加、拆除、迁移，能快速处理。信息安全要求A、强访问控制防止非法用户访问金融专网B、强身份认证鉴别身份的真实性，防止假冒身份C、数据机密性、真实性要求虽然采用专线方式，但是移动专线需要经过多个接入点，必须采用有效的机 制，防止非法用户通过侦听手段窃取信息。D:安全隔离防止内部和外部用户对金融系统的攻击unocnutana4 曾占逞沖中国联通金融行业随 E联无线SSL VPDN解决方案（双机热备模式）3、

8、随E联无线SSL-VPDN解决方案3.1建设方案根据以上的需求分析，联通 随E联无线SSL-VPDN采用WCDMA专线拨号方 式，实现高速移动专线接入；采用 PKI （public Key infrastructure公钥基础设施） 体系，实现二级强身份认证和授权；通过 SOE（ SSL over Ethernel 技术，建立 加密传输通道，保障信息的机密性。如下图：55Lhl：帚 ffriJl3C 上KeyGGSH ( VJUAPtf>严地也按入点畢于陪11系的烧一舞阶认说，访问挖制和远和搖人网瓷（AM牆备、序冋桂制* 5SLVFN.瑕机热輻乩制】/ IH（Kadius）建务话捉供难于

9、客卢芳用3G好码爼认证余融行业联通3G随电联YPDN无线专网安全接入解决方案3.2方案说明:3.2.1结构说明如上图所示，移动终端上部署：3G随E联客户端，配合联通e盾（内置联通 颁发的数字证书）使用。单位内部部署：2台随E联信息安全平台，用于建立基于数字证书的身份认unocnutavifl4 祁曾占退詡中国联通金融行业随 E联无线SSL VPDN解决方案（双机热备模式）证、授权和访问控制；建立 SSL加密隧道，同时实现双机热备的功能单位专网内部署的随E联信息安全平台以专线方式与本地联通的 GNS（GRENetwork Server）相连，并分配到一个私网地址，例如172.221。联通为单位分

10、配一个专用 APN（Access Point Name，接入点）,远程合法用户接入单位专用APN即可连接到随E联信息安全平台3.2.2使用说明远程用户使用联通3G上网卡，接入单位专用APN如下图:连接成功后，启动联通随E联客户端，插入“联通E盾”（一种USE接口的电 子令牌）并输入PIN码后，随E联信息安全平台对客户端建立数字证书双向认证， 确认用户身份，身份确认后，建立随 E联客户端到随E联信息安全平台之间的 SSL加密隧道，同时根据用户的权限进行细粒度的访问控制，确保只有合法用户 才能访问其权限内的应用系统。中国联通金融行业随 E联无线SSL VPDN解决方案（双机热备模式）324安全性分

11、析:1、WCDM拨号专线+SSL隧道保证链路安全从WCDM拨号到GGS再到随E联信息安全平台，这些均保证了链路的专 用，该专用链路与互联网物理隔离。而在此链路上，再通过SSLOVEETHERNET 技术建立SSL加密隧道，保障了信息传输的机密性。加密算法采用国家密码 管理局认可的国产专用算法 SM1对称算法。随E联信息安全平台内置我国商 用密码定点生产单位的专用 PCI加密卡。2、二级认证体系保障身份的真实性1）一级认证：联通 AAA认证远程用户要访问内部信息系统，首先需要建立与联通GGSN勺拨号连接， 该连接由联通的AAAK务器提供认证，该认证捆绑 3G上网卡。确保只有合 法用户才能接入专用

12、APN该授权由联通管理。此为一级认证2）二级认证：随E联SSL数字证书双向认证用户要与随E联信息安全平台建设SSL隧道，需要再经过信息安全平台 的数字证书双向认证体系的认证，认证通过后，方能建立SSL隧道，并产生虚拟IP地址（该虚拟IP地址，支持客户内部自有 AAAK务的绑定认证）。 隧道建立后，还要根据其权限，控制用户可以访问的信息系统。该设置由单 位管理员管理。3、随E联信息安全平台对单位转弯实现安全隔离单位专网与远程接入专线之间，有：随E联信息安全平台进行安全隔离， 对单位专网实现钟罩式保护。确保只有被授权的合法用户才能访问其权限内 的应用系统3.3方案特点1、 高访问速度联通WCDMA

13、 3无线上网卡有着三大运营商中最大的带宽优势，下行接入速率达7.2M的无线高速带宽接入保证了移动办公能获得良好的使用效果。中国联通金融行业随 E联无线SSL VPDN解决方案（双机热备模式）2、多层安全性保障见“方案的安全性分析”3、一站式管理体系包括：移动用户管理、授权、访问控制策略等管理，采用统一的管理平台, 实现一站式管理4、项目实施4.1设备清单设备名称型号生产厂家数量单价总价备注WCDM数 据卡E1750华为随E联客 户端软件Freeli nk江苏联 通运营服务E盾Ipass江苏联 通随E联信 息安全平 台Freeli nk1000江苏天 益1WCDMA 带费江苏联 通运营服务联通宽带 专线费江苏联 通运营服 务总价：4.2项目实施工作名称工作内容实施单位部署周期备注宽带建设联通宽带专线江苏联