3G安全接入解决方案
3G移动通信系统安全的探讨
3G移动通信系统安全的探讨摘要本文对3g系统的安全威胁做了详尽的阐述,概述了3g的安全原则、目标和要求,分析了3g的安全特征,最后还给出了3g 的安全结构。
关键词 3g;通信;系统;安全中图分类号tn929 文献标识码a 文章编号 1674-6708(2011)52-0181-020 引言3g移动通信系统是一个在全世界范围内都覆盖和运用的网络系统,它即通过开放的全球有线网络,也通过全开放的无线链路进行信息传输。
越来越多的人使用第三代移动通信系统(3g)进行信息交流,使得3g和网络资源使用的安全性变得更加重要了。
1 3g移动通信系统的安全威胁对3g系统的安全威胁可以分为以下几个方面:1)通过对敏感数据进行非法操作,以达到对消息的完整性进行攻击的目的。
它主要包括:对消息的重放、插入、篡改或删除等;2)通过对敏感数据进行非法获取,以达到对系统信息的保密性进行攻击的目的。
它主要包括:伪装、浏览、侦听、流量分析、试探和泄露等;3)否认,它是指网络或用户对曾经发生的动作进行否认;4)通过对网络服务进行干扰或滥用,从而造成系统拒绝服务或者系统服务质量的下降。
它主要包括:资源耗尽、干扰、服务滥用和特权滥用等;5)对服务的非法访问。
它主要包括:网络或者用户通过滥用访问权利,从而非法获得未授权服务。
攻击者通过伪造成用户和网络实体,从而对系统服务进行非法访问。
2 3g移动通信系统的安全原则3g移动通信系统是在2g的基础上发展起来的,它应该继承和发扬2g系统中的安全优点,同时要克服2g系统中存在的安全缺陷,为了更加完善的安全服务和安全特性。
3g系统安全应遵循以下的原则:1)3g都应该采用在2g中被证明是必须的和具有相当强的安全特性;2)在2g系统中潜在的和存在的安全缺陷3g都应该改进;3)对3g新服务提供新的安全服务和安全特性。
3 3g移动通信系统的安全要求3.1 要能够确保业务接入的需求对于接入3g系统的除了紧急呼叫这种业务外都需要一个usim (全球用户识别卡)。
浅析3G网络安全
浅析3G网络安全在当今数字化的时代,3G 网络已经成为人们生活和工作中不可或缺的一部分。
它为我们带来了便捷的通信、高速的数据传输以及丰富的多媒体服务。
然而,随着 3G 网络的广泛应用,网络安全问题也日益凸显。
3G 网络安全不仅关系到个人的隐私和财产安全,也对企业的商业机密保护和国家的信息安全构成了挑战。
3G 网络的安全威胁主要来自多个方面。
首先,无线信道的开放性使得信号容易被截获和监听。
与传统的有线网络不同,3G 网络的无线信号在空中传播,任何人只要在信号覆盖范围内,使用适当的设备就有可能获取这些信号。
这就为黑客和不法分子提供了可乘之机,他们可以通过监听信号来窃取用户的通信内容,如短信、语音通话等。
其次,移动终端的多样性和复杂性也增加了 3G 网络的安全风险。
如今,市面上的 3G 移动终端种类繁多,包括手机、平板电脑等。
这些设备的操作系统、应用软件等存在着各种漏洞和安全隐患。
黑客可以利用这些漏洞,对终端进行攻击,植入恶意软件,从而获取用户的个人信息或者控制终端设备。
再者,网络协议的漏洞也是 3G 网络安全的一个重要问题。
3G 网络的协议在设计时可能没有充分考虑到安全因素,或者随着技术的发展,原本安全的协议出现了新的漏洞。
这些漏洞可能被攻击者利用,进行拒绝服务攻击、中间人攻击等,从而影响 3G 网络的正常运行。
此外,用户的安全意识淡薄也是导致3G 网络安全问题的一个因素。
很多用户在使用 3G 网络时,没有采取必要的安全措施,如设置复杂的密码、不随意连接未知的无线网络等。
这使得他们的设备和个人信息更容易受到攻击。
为了保障 3G 网络的安全,需要采取一系列的技术措施。
加密技术是其中最为重要的手段之一。
通过对通信内容进行加密,可以有效地防止信息被窃取和篡改。
目前,3G 网络中广泛采用了加密算法,如AES 等,来保护用户的通信安全。
身份认证技术也是保障 3G 网络安全的关键。
在用户接入 3G 网络时,需要进行严格的身份认证,以确保只有合法的用户能够使用网络资源。
中国联通3G手机上网设置方法
中国联通3G手机上网设置方法一、诺基亚系列1、3G业务internet接入点设置菜单—设置—手机设置—连接—接入点连接名称:“3gnet”数据承载方式:“分组数据”连接点名称:“3gnet”用户名:“无”提示输入密码:“否”密码:“无”签定:“安全”主页:“无”点屏幕左下角“选项”,选择“高级设置”网络类型“IPV4”手机IP地址“自动”域名服务器“自动”代理服务器地址“无”代理端口号码“无”2、3G业务wap接入点设置菜单—设置—手机设置—连接—接入点连接名称:“3gwap”数据承载方式:“分组数据”连接点名称:“3gwap”用户名:“无”提示输入密码:“否”密码:“无”签定:“安全”主页:“无”点屏幕左下角“选项”,选择“高级设置”网络类型“IPV4”手机IP地址“自动”域名服务器“自动”代理服务器地址“10.0.0.172”代理端口号码“80”3、3G业务彩信接入点设置菜单—设置—手机设置—连接—接入点连接名称:“3gmms”数据承载方式:“分组数据”连接点名称:“3gwap”用户名:“无”提示输入密码:“否”密码:“无”签定:“安全”主页:“.c n”点屏幕左下角“选项”,选择“高级设置”网络类型“IPV4”手机IP地址“自动”域名服务器“自动”代理服务器地址“10.0.0.172”代理端口号码“80”4、接入点连接方式设置菜单—网络—选项—设置接入点“总是询问”5、创建internet书签设置菜单—网络—选项—书签管理器—新增书签名称:“google”地址:“”接入点:“默认”用户名:“无”密码:“无”6、创建wap书签设置菜单—网络—选项—书签管理器—新增书签名称:“ wap baidu”地址:“[url=http://***/]http://***”接入点:“默认”用户名:“无”密码:“无”7、登录3G门户设置:接入点设置完成(3gwap)菜单—应用程序—影音工具—realplayer点屏幕左下角“选项”,选择设置,选择流媒体,选择网络默认接入点:“3gwap”在线时间:“无限制”最低UDP端口:“6970”最高UDP端口:“32000”点屏幕左下角“选项”,选择高级设置GPRS宽带:“28.14kbit/s”EGPRS宽带:“84.42kbit/s”UMTS宽带:“1.34 Mbit/s”WLAN宽带:“3.01 Mbit/s”返回主菜单—网络—选项—书签管理器—新增书签名称:“3G门户”地址:“.c n”接入点:“3gwap”用户名:“无”密码:“无”点屏幕左下角“选项”,选择设置,选择标准接入点:“总是询问”主页:“书签”缩略图:“开”历史记录:“开”安全警告:“显示”Java/ECMA脚本:“启动”点屏幕右下角返回,进入“书签”,选择“3G门户”,选择“联通3G门户”8、3G门户手机电视观看方法通过以上方式进入“联通3G门户”,选择右下方“手机电视”,下翻至“直拨”,选择“CCTV1”,点“播放”,进入下一页面,下翻至多频道,选择订购方式,点击“订购”,如已订购,订购项为“退订”,订购后可直接观看所选择频道。
3G无线安全接入技术在金融业的应用
与推广’ 其高 带宽 、 易部署 、 高安 全 的特性使金融企业实现新业务渠道
快 速 拓 展成 为可能 。
小区物业谈判难的问题 。 ( ) 二 有线专线开通周期长 , 临
时性 服 务难 以开展
国 际 电 联 批 准 的 种 3 制 式 G 全 部 是 基 于C MA 术 发 展 而来 。 D 技
( 有线专线备份, 四) 可靠性未
必 能保 证 , 可能 造 成投 资浪 费 还 首先 , 如果 双 线 同一 管 道 入 机 房, 然 不 可避 免 会 因施 工 原 因, 仍 造 成 双 线 同时中断 的可能 。 实践 证明 ,
户、 型企业等优质客户提 供更好 大
服 务 体 验的上 门服 务类 业 务。
自然 灾 害 , 面 网 点有 线 专 线 的 可 柜 靠 性 也 无 法 保 证 。 次 , 果 金 融 再 如 业 是 采用 主备 模 式使 用 两 条线 路 ,
化部正 式 向移动 、 电信 、 联通 家 运营 商分 别颁 发了T — C MA, D S D
C DMA2 0 , DMA三 张牌 照 , 0 0 WC 国
达也可能 存 在 外 部进 线 需要 与 大厦 /
务为 中心” 向以 “ 客户为 中心” 转变 ,
式 的转 变, 业务对带宽的要求越来 越高, 管部 门对应用风 险控制要 监
求 进 一 步 提 升, 随着 3 技 术 的诞 生 G
表现在各 银行新 一代核心银行 系统
相 继 投 产 , 力 发 展 零 售 业 务 和 拓 大 展 服 务 渠 道 以赢 得 更 多 的 客 户。 面 对 客户多样 化 、 个性 化 的服务 需 求 , 银 行 对服 务 渠道 拓展 的 重 视 程 度 越
关于3G移动通信系统的网络安全分析(有用)
关于3G移动通信系统的⽹络安全分析(有⽤)1、引⾔移动通信的发展⼤致经历了三代。
第⼀代模拟蜂窝移动通信系统⼏乎没有采取安全措施,移动台把其电⼦序列号(ESN)和⽹络分配的移动台识别号(MIN)以明⽂⽅式传送⾄⽹络,若⼆者相符,即可实现⽤户的接⼊,结果造成⼤量的克隆⼿机,使⽤户和运营商深受其害;第⼆代数字蜂窝移动通信系统(2G)主要有基于时分多址(TDMA)的GSM系统、DAMPS 系统及基于码分多址(CDMA)的CDMAone系统,这两类系统的安全机制的实现虽然有很⼤区别,但是,它们都是基于私钥密码体制,采⽤共享秘密数据(私钥)的安全协议,来实现对接⼊⽤户的认证和数据信息的保密,因⽽在⾝份认证及加密算法等⽅⾯存在着许多安全隐患;第三代移动通信系统(3G)在2G的基础上进⾏了改进,继承了2G系统安全的优点,同时针对3G系统的新特性,定义了更加完善的安全特征与鉴权服务。
未来的移动通信系统除了能够提供传统的语⾳、数据、多媒体业务外,还应当能⽀持电⼦商务、电⼦⽀付、股票交易、互联⽹业务等,个⼈智能终端将获得⼴泛使⽤,移动通信⽹络最终会演变成开放式的⽹络,能向⽤户提供开放式的应⽤程序接⼝,以满⾜⽤户的个性化需求。
因此,⽹络的开放性以及⽆线传输的特性,使安全问题将成为整个移动通信系统的核⼼问题之⼀。
2、移动通信系统的安全威胁安全威胁产⽣的原因来⾃于⽹络协议和系统的弱点,攻击者可以利⽤⽹络协议和系统的弱点⾮授权访问和处理敏感数据,或是⼲扰、滥⽤⽹络服务,对⽤户和⽹络资源造成损失。
按照攻击的物理位置,对移动通信系统的安全威胁可以分为⽆线链路的威胁、对服务⽹络的威胁和对移动终端的威胁。
主要威胁⽅式有以下⼏种:(1)窃听,即在⽆线链路或服务⽹内窃听⽤户数据、信令数据及控制数据;(2)伪装,即伪装成⽹络单元截取⽤户数据、信令数据及控制数据,伪终端欺骗⽹络获取服务;(3)流量分析,即主动或被动流量分析以获取信息的时间、速率、长度、来源及⽬的地;(4)破坏数据的完整性,即修改、插⼊、重放、删除⽤户数据或信令数据以破坏数据的完整性;(5)拒绝服务,即在物理上或协议上⼲扰⽤户数据、信令数据及控制数据在⽆线链路上的正确传输,以实现拒绝服务攻击;(6)否认,即⽤户否认业务费⽤、业务数据来源及发送或接收到的其他⽤户的数据,⽹络单元否认提供的⽹络服务;(7)⾮授权访问服务,即⽤户滥⽤权限获取对⾮授权服务的访问,服务⽹滥⽤权限获取对⾮授权服务的访问;(8)资源耗尽,即通过使⽹络服务过载耗尽⽹络资源,使合法⽤户⽆法访问。
当前移动通信的安全隐患与解决方案
当前移动通信的安全隐患与解决方案一、引言从最初的第一代蜂窝模拟技术到第二代数字通信技术和目前的3G,移动通信技术主要经历了三代的发展。
3G与之前的移动通信技术相比,具有频谱利用更高、速率更高、业务更丰富、网络业务更开放、终端更智能等优点,其新技术、新业务无疑可为用户提供方便、快捷的通信服务。
与此同时,3G网络采取了诸多安全策略和措施,比以往技术提供了更强健的安全特性。
然而任何新技术、新业务都会带来新的安全保密问题。
3G的信号软切换,接入速率的提高和接入地点、应用的不停变换带来网络各种参数不断变化,使得对网络和移动终端的安全监控和管理更为困难,考虑到网络本身的技术特点和业务特点,我们可以看到,利用3G进行通信仍存在一定的安全隐患。
二、 3G的安全隐患(一) 3G的无线网络特性的空中开放性对信息安全构成了潜在威胁。
所有通信内容,大量数据包括信令、协议认证和密钥交换算法等都通过无线信道开放传送,任何具备接收一定频率的设备均可以获取无线信道上传输的内容。
终端设备和网络之间的无线接口是易受攻击的薄弱点,入侵者可能在无线接口上窃听、篡改和删除数据,还可通过物理干涉或协议干涉来实施拒绝或阻塞业务等攻击。
一旦攻击者破解了认证加密算法,可能出现手机SIM 卡被复制和盗号。
有研究资料表明,美国国家情报部门利用间谍卫星接收我国内陆电话信号,并有选择地对重要通话进行监听,所以通过无线网络传输重要数据仍存在很大的风险。
(二) 3G核心网络的IP化给安全带来了巨大挑战。
首先IP网络尽力而为的服务不能充分保障网络传输的质量。
目前广泛应用的VoIP语音业务,从安全角度看还达不到电信级服务,其可追溯性(即对电话来源的跟踪和控制)没有得到有效解决。
其次IP网络的开放性使应用开发商以及互动性业务会对核心网和数据库进行更多的接入,传统IP网络的各种安全威胁都可能随之而来,如爆发性的蠕虫与病毒侵袭、大流量分布式拒绝服务(DDOS)攻击、垃圾流量以及专门针对电信支撑和业务系统的攻击等。
基于3G网络的企业数据通信安全方案
・
密钥长度增加为 18b , 2 i 改进了算法; t
3P G P接人链路数据加密延伸至无线接入控制器
(N ) RC ;
用 A N名称、 P 用户名密码接人 3 G网络。运营商通过 A N P
名称或用户名密码判断该用户是否为企业专网用户, 之后
・
交由L C设备触发与用户端 L S A N 设备的LT 2P认证协商,
题。 下面以3 G安全路由器在金融离行 A M的应用为例做 T
观 察 舞 交 流
一
个分析。
点3 G路 由器到金融 、政 府行业一级或二级 网汇聚路 由器
如图 4 所示 。 金融离行 A M网点使用 3 T G路由器无线
大规模应用 3 G网络的最大障碍
V N加密隧道进行直接通信。如图2 P 所示。
()G V D 33 P N专网 如图3所示。为保证企业大客户 3 G接入网的业务安 全需求 ,运 营商可 向用户提供专线 A N (ce o t P acs pi s n
2 3 网络 数 据 通 信 应 用 概 述 G
3 G路由器配置 3 G模块 , 使用公用的 A N名称 、 P 用户
名密码 , 通过运营商无线基站接入 It e 网络, nmt e 配置 N T A
地址转换功能,G路由器内网P 3 C通过 3 G网络访问公网
用网” 的需求 . 运营商推 出了 3 G的 V D v t l ra P N(i a p vt r i e u
进行 了如下优 化 :
・
4 3 路 由器 接 入 安 全 部 署 探 讨 G
随着 3 G数据通信应用的发展。数据通信厂家推出了
3 G安全路由器 . 能够很好地解决 3 G网络数据安全传输问
3G网络安全问题探讨
。
UT A 网络 中的 网元 种类较 少 ,主要包 括 B S和 R R T NC。B S与 G M 系统 中的基站 相 问 ,是 无线 T S
信号 收发的基 本单冗 ,它可 以支持 WC DMA 的编码 方式 ;RN ( 线 网络控制 器 )的功能 相 当于 G M C 无 S
(G) 3 的重 要组成 部分 。UMT S系统将 整个 网络 划分 为 2部 分 ,即核 心 控 制部 分 和无 线 接入 部分 。在 核 心控 制部分采 用 ATM 技术 及 相应 的接 口技术 ,达 到 同时支持 电路交 换 、包交换 2种方 式 的 目的。在 无
线 接入部 分采用 UTRA ( UMT reti a i Aces STersr l do c s)作 为全 球 地 面无 线接 人 的标 准 。UMT aR S系 统 除支持现 有 的语 音 、数 据业 务外 ,还 可 以为移动 用户提 供全新 的交 互式 多媒体 业务 ,它 的高容量 系统 可提 供 2 / 的数据 传输速 率 。 MB s UMTS整体 网络结 构分 为 UT RA 网络 和核心 网络 2大部 分 。
系统 中 B C与 G R S P S的 P U 两 者 的 结 合 ,它 承担 无 线 资 源 管 理 、B S控 制 以 及 切 换 管 理 等 功 能 。 C T
RNC之 间采用 AT 方 式连 接 。整 个无 线 接入 网络 的 主要 功 能 包括 :① 无 线 资源 管 理 ( M 功 能 ) M RR ;
[ 收稿 日期 ] 2 1 —0 0 0 6—2 0 [ 作者 简介 ] 王 秀 芬 (9 1一 ,女 ,2 0 18 ) 0 5年 大学 毕 业 ,助 教 ,现 主要 从 事 计 算 机 教学 与 管 理 方 面 的 教学 与 研 究 工 作 。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
RG-SMP解决之道: 1、后台静默安装方式;
2、抓屏时间间隔可自定制;
3、每张图片100K左右
Page30
锐捷3G安全接入解决方案总结
最安全的解决方案: 1、支持各种绑定策略实现与卡、与 人、与用, 2、内置支持国内商用领域保密性最 好的加密算法SM1, 3、支持数字证书不3G路由器绑定 保证身份安全
RG-RSR10-01G 内置自劣终端中 自劣网点 场景:自劣服务终端 柜面网点 场景:柜面业务延伸
RG-RSR10/20 现有设备支持 柜面业务延伸 场景:网点备份/灾备
3G接入安全保障模型
应用安全保障 过滤 加密
认证
授权
接入用户
3G无线接入安全保障模型 安全是一项系统工程,需从多角度、维度综合考虑!
安全风险(7个)
可靠性风险(5个)
如何应对运营商信3G信号覆盖不稳定的现象? 如何应对3G链路中断? 3G信号消失,业务无法办理? 如何应对封闭空间的信号质量不好现象? 单LNS,可靠性低?
3G—面临(3大类,20个)风险
运维风险(8个)
如何监管3G链路、VPN链路状态?
报表管理 集成管理
Netcool平台
3G网络管理平台为NETCOOL提供北向接口,和NETCOOL 平台迚行事件共享,告警事件经短信平台发送到运维人员。
Page28
3G网管优化功能-劢态定位
3G TOPO 流量管理 告警管理
用户 xuliang@ 发生链路切换!
授权用户、服务
AAA 服务器 AAA 服务器 授权SIM CLIENT
× × internet
LNS CA 服务器
非授权SIM
S
屏蔽非法用户:IMSI号是每张SIM卡的唯一标识,IMSI号+域名绑定。 实现非授权卡无法拨入与网。
S
关闭internet服务:限制授权3G卡的访问,关闭internet服务,做到 “与卡与用”
4、如何隔离3G与internet?
5、如何防范内部用户盗用帐号? 6、如何防范数据篡改风险? 7、如何防范终端随意接入?
关闭internet
IMSI+用户名+密码绑定 高强度国密办算法+IPSEC+CA IP+MAC绑定、基于时间ACL
3G接入可靠性保障模型
稳定性保证
3G接入稳定性保障模型
Page14
双3G卡切换
AAA 服务器 AAA 服务器
×
CLIENT
运营商A
LNS 运营商B AAA 服务器
CA 服务器
S
Page15
当某个运营商的无线基站出现故障时,可以拨到另外运营商的基站, 建立通讯连接,保证业务的持续性。
防止内部盗用、混用-多元素绑定
授权SIM盗用账号 授权SIM正常使用 CLIENT
AAA 服务器
×
LNS
AAA 服务器
CA 服务器
internet
S
防内部盗用:在分行AAA服务器上设置,通过IMSI和用户的用户名、密 码绑定,有效防止内部盗用。迚一步实现“与卡、与人、与用”
设备资产管理
报表管理 集成管理 流量TOPN排名:
1、VPN隧道实时流入、流出速率统计;
2、VPN隧道累计流入、流出流量统计;
Page24
告警管理
3G TOPO 流量管理 告警管理 设备资产管理 报表管理
集成管理
告警范围:性能超阀值、非正常断线等事件迚行告警
告警方式:email、IMS、声音等。
拓扑管理界面
3G TOPO 流量管理 告警管理
设备资产管理
报表管理 集成管理 所有在线或丌在线的用户列表显示:3G用户名、接入设备名
称、在线状态、3G信号强度、累计流量、在线时长。
Page23
流量管理
3G TOPO 流量管理 告警管理
3G网管设计要点
1、 VPN拓扑管理
VPN隧道名、状态、IP地址、登录时间、在线时长、流量、3G信号强度 2、网络设备资产统计
3、设备归属管理(按支行/片区等模式分类)
4、3G资费统计(欠费提醒)、流量统计 5、运营商3G网络服务质量 3G信号强度统计、断线重拨次数统计、登录日志统计
劢态路由(RIP/OSPF)
L2TP+IPSec
L2TP+IPSec
3G—面临(3大类,20个)风险
如何避免非法烧制3G卡? 如何防范3G环境下的数据窃听? 如何避免其它3G用户非法接入到自己的丏网? 如何隔离3G与internet? 如何防范内部用户盗用、混用帐号? 如何防范数据篡改风险? 如何防范终端随意接入?
断线重连功能
AAA 服务器
AAA 服务器
CLIENT
×
① PPP拨号
LNS
CA 服务器
S
断线重连功能:当无线信号意外消失又恢复之后,路由器可以自劢发 起重拨,无需人工干预即可恢复业务。
Page16
2G/3G切换功能
3G网络
AAA 服务器
AAA 服务器
CLIENT ① PPP拨号
3G安全接入解决方案
安全.可靠.易用
华南区 康彦军
提纲
1 2 3
3G安全接入解决方案 案例分享 产品技术介绍
新技术、新应用
业务应用
工商银行 外派终端业务
3G接入区域
二级分行外联区
路由规划
静态路由
VPN规划
L2TP+IPSec
加密算法
SM SM SM SM SM SM SM SM
数字证书认证支持:锐捷网络3G接入路由器产品支持导入外部证书、 在线申请证书、离线申请证书三种证书管理方式。
安全性保证小结
安全风险 1、如何避免非法烧制3G卡? 2、如何防范3G环境下的数据窃听? 3、如何避免其它3G用户非法接入到自己的丏网? 应对方案 双向鉴权,A-KEY不可读。 运营商密钥、算法不公开。 IMSI+域名绑定
Page7
防范非法复制3G卡-鉴权
• 由制卡中心、运营商共同完成,流程如下:
制卡: 随机产生A-KEY,连同IMSI 信息写入SIM卡,对于外部 程序物理隔离。
信息导入: A-KEY(加密)后导入 HLR/AC设备,有权限者完 成。
加密密钥 K4 以及加/解密 算法 对资源文件迚行加密 。 运营商
报表管理
3G TOPO 流量管理 告警管理
设备资产管理
报表管理 集成管理 流量、资费统计表(按流量计费): 设备名称、设备IP地址、设备所属域(分行)、区域(行政 机构划分)、总流量、资费
Page27
集成管理
3G TOPO 流量管理 告警管理
3G网络管理
设备资产管理
防数据窃取-端到端SM1加密与CA支持
AAA 服务器
AAA 服务器
CLIENT 端到端数据加密(SM1)
LNS
CA 服务器
S S
端到端数据加密(SM1):针对银行高度敏感的业务数据流,采用国 家密码管理局与门开发的商用加密算法SM1,该算法保密性高,加密 强度及安全性优于标准加密算法。
LNS A+VPN 与线1 LAC AAA LNS B+VPN 与线2
1、每运营商单与线到分行,分 别和对应LNS建立L2TP。 2、配合运营商技术实现,接入
LAC AAA
路由器配置双3G卡,当其中一
个运营商丌可用时,切换到另运 营商。
接入网点
Page20
可靠性保证小结
CA服务器 IPsec VPN通道 SM1 AAA服务器 RG-SNC-BANK
LNS
VPN网关 AAA服务器
LAC
RG-RSR10 RG-RSR10-02 内置ATM机具中 离行ATM 场景:离行ATM
Page6
RG-RSR20
与线
RG-RSR10-01G 与线 现有设备丌支持 柜面业务延伸 场景:网点备份/灾备
农业银行
柜面业务延伸 一级分行 静态路由 L2TP+IPSec 提升业务部署效率、突破运营商线路资源的束缚、提升资源利用率 网点灾备 柜面业务延伸
中国银行
离行ATM 新建3G接入区 柜面延伸业务、移劢网点的开展 自劣服务终端 支行/网点备份
建设银行
离行ATM
网点备份
二级分行广域网区
一级分行广域网区
劢态路由(RIP/OSPF)
自劣查询机
离行ATM
二级分行外联区
一、二级分行 数据中心、分行 新建3G接入区 新建3G接入区 新建3G接入区
劢态路由(RIP)
劢态路由OSPF 劢态路由OSPF 静态路由 劢态路由(OSPF) 劢态路由(OSPF) 劢态路由(OSPF)
L2TP+IPSec
L2TP+IPSec L2TP+IPSec L2TP+IPSec L2TP+IPSec L2TP+IPSec L2TP+IPSec
Page18
双LNS技术-同一运营商
AAA CA 网络管理
稳定性需求:
为提高网络高可用性,采用双LNS
冗余的技术,实现主备切换。
分行网络中心
解决方案:
LNSA+VPN 与线1 LNSB+VPN 与线2
1、运营商侧:AAA可告知LAC 丌同的LNS属性,返回属性 LNSA,LNSB主备方式或轮询方 式。
可靠性风险 1、如何应对运营商信3G信号覆盖不稳定 的现象? 2、如何应对3G链路中断? 3、3G信号消失,业务无法办理? 4、离行ATM机具屏蔽信号? 5、单LNS,可靠性低? 断线自劢重连。 切换到2G,尝试应急连接 3米延长全向天线 双peer、双3G卡实现 应对方案 双制式3G卡,轻松切换