金融行业无线SSL VPDN 解决方案

1、金融行业无线SSL VPDN 解决方案专用术语： VPDN: Virtual Private DialUp Network 虚拟拨号专网 SSL：Secure Socket Layer 安全套接字协议 SSL-VPDN：SSL 加密拨号专网 PKI：Public Key Infrastructure 公钥基础设施 CA：Certificate Authentication 数字证书认证服务 SOE: SSL Over Ethernet 以太网协议封装 SGSN：Serving GPRS Support Node 服务GPRS 支持节点 GGSN：Gateway GPRS Support Nod

2、e 网关GPRS 支持节点 VRF：Virtual Routing Forwarding 虚拟路由转发 PDP：Packet Data Protocol 指分组数据规程 AAA 服务：认证（Authentication）、授权（Authorization）、审计 （Accounting）1、 概述 随着时代的发展、科技的进步，金融业已经成为信息技术和网络技术发展的 最大受益者之一。银行网络信息系统的建立，改善了整个银行业的经营环境，增 强了金融信息的可靠性，提高了管理水平，促成了各项新业务的开展，使金融服务于社会的手段更趋现代化。 近年来针对金融信息网络的计算机犯罪的案件呈逐年上升趋势，特别是

3、目前 银行全面进入业务系统整合、数据大集中的新的发展阶段，以及银行卡、网上银 行、电子商务等新的产品和新一代业务系统的迅速发展，现在不少银行开始将部分业务放到互联网上，今后几年内将迅速形成一个以基于TCP/IP 协议为主的复 杂的、全国性的网络应用环境，来自外部和内部的信息安全风险将不断增加，这就对金融系统的安全性提出了更高的要求。目前，金融行业单位内部一般建设有大量的信息系统，而出于安全的需要，金融行业的信息系统只能在单位专网中使用，而且单位专网与互联网采用物理隔 离的方式以防止来自互联网的入侵。在这种情况下，移动终端如何安全的接入单 位专网实现移动办公？通过互联网建立VPN 的方案显然不行

4、！3G 业务是第三代移动通讯业务，与第二代相比，具有高速的数据传输能力。 而中国联通获得的WCDMA 牌照，是目前世界上使用最为广泛、传输速度最快 的3G 标准。与其他运营商相比，中国联通更拥有专业的“数字证书认证服务中心（CA）” 并通过了国家密码管理局的安全审查，获得工信部的“社会认证服务资格证书”。中国联通公司推出的“SSL- VPDN”业务正是利用其特有的 WCDMA 无线数据传输技术和数字证书认证服务体系，通过建立无线拨号专线（VPDN ）接入单位专网，并通过建立SSL 隧道实现数据加密传输和基于数字证 书的身份鉴别，一方面保障了远程接入专线与互联网的物理隔离，同时又保障了 数据在传

5、输过程中的机密性、真实性和完整性以及远程终端身份的真实性。从而 在安全保障的基础上，实现移动办公、移动终端接入等应用。 2 方案目标： 移动终端以专线的方式，随时随地接入单位专网，,并确保信息的机密性、 完整性、真实性和可控性。 2.1 需求分析： 传输速度要求 由于金融系统有比较强的实时性要求，因此需要有较高的传输带宽，带宽不 低于100K 故障恢复要求 由于金融系统对网络具有依赖性，所以要求系统必须十分稳定并具有应急备 份机制。故障恢复时间不超过2 小时。 可扩展性要求 随着远程终端点（分支机构）的增加、拆除、迁移，能快速处理。 信息安全要求 A、强访问控制 防止非法用户访问金融专网 B、

6、强身份认证 鉴别身份的真实性，防止假冒身份 C、数据机密性、真实性要求 虽然采用专线方式，但是移动专线需要经过多个接入点，必须采用有效的机 制，防止非法用户通过侦听手段窃取信息。 D: 安全隔离 防止内部和外部用户对金融系统的攻击 3、无线SSL-VPDN 解决方案 3.1 建设方案 根据以上的需求分析，联通无线SSL-VPDN 采用WCDMA 专线拨号方 式，实现高速移动专线接入；采用PKI（public Key infrastructure 公钥基础设施） 体系，实现二级强身份认证和授权；通过SOE （SSL over Ethernet）技术，建立 加密传输通道，保障信息的机密性。如下图：

7、 3.2 方案说明： 单位专网内部署的信息安全平台以专线方式与本地联通的GNS(GRE Network Server)相连，并分配到一个私网地址，例如172.2.2.1。联通为单位分配一个专用APN(Access Point Name，接入点),远程合法用户 接入单位专用APN，即可连接到信息安全平台。 3.2.2 使用说明 远程终端使用联通3G上网卡，接入单位专用APN， 身份确认后，建立客户端到信息安全平台之间的 SSL加密隧道，同时根据用户的权限进行细粒度的访问控制，确保只有合法用户 才能访问其权限内的应用系统。 3.2.4 安全性分析： 1、 WCDMA 拨号专线+SSL 隧道保证链路

8、安全。从WCDMA 拨号到GGSN 再到随E 联信息安全平台，这些均保证了链路的专用，该专用链路与互联网物理隔离。而在此链路上，再通过SSL OVER ETHERNET技术建立SSL加密隧道，保障了信息传输的机密性。加密算法采用国家密码管理局认可的国产专用算法SM1对称算法。随E 联信息安全平台内置我国商用密码定点生产单位的专用PCI 加密卡。 2、 二级认证体系保障身份的真实性 1）一级认证：联通AAA 认证，远程用户要访问内部信息系统，首先需要建立与联通GGSN 的拨号连接，该连接由联通的AAA 服务器提供认证，该认证捆绑3G上网卡。确保只有合法用户才能接入专用APN。该授权由联通管理。此为一级认证 2）二级认证：SSL 数字证书双向认证 ，用户要与信息安全平台建设SSL 隧道，需要再经过信息安全平台的数字证书双向认证体系的认证，认证通过后，方能建立SSL 隧道，并产生虚拟IP地址（该虚拟IP地址，支持客户内部自有AAA 服务的绑定认证）。隧道建立后，还要根据其权限，控制用户可以访问的信息系统。该设置由单位管理员管理。 3）、 信息安全平台对单位转弯实现安全隔离 ， 单位专网与远程接入专线之间，有信息安全平台进行安全隔离，对单位专网实现钟罩式保护。确