3G安全解决方案

3G无线侧安全

3G接口空中加密，实现了双向认证。不但提供基站对MS的认证，也提供了MS对基站的认证，可有效防止伪基站攻击。

提供了接入链路信令数据的完整性保护。

密钥长度增加为128 bit，改进了算法。

用户接入安全

运用商对3G用户的SIM卡信息（ IMSI“的国际移动用户识别码”）进行绑定，只允许绑定后的SIM用户通过用户名、密码认证后接入银行3G专用网络，防止非法SIM卡用户拨入银行3G专网进行非法活动。

通过网点3G路由器MP2816 设置SIM卡的PIN码保护功能，只有知道SIM卡的PIN密码才能触发3G拨号，防止非法用户获取到银行SIM卡后进行的非法操作，保证了SIM的使用安全。

通过迈普AAS软硬一体服务器能够对3G用户进行扩展认证（包含用户名、密码和IMSI信息）

接入网络私有性

为了保证分支3G路由器的数据业务在运营商IP核心网中传输的的私有性，用户向运营商申请企业集团用户3G的VPDN(Virtual Private Dial-Network)业务，基于3G无线接入方式的虚拟专用拨号网业务，它是利用安全的L2TP隧道传输协议，就可以在现有的拨号网络上构建一条虚拟的、不受外界干扰的专用通道，从而安全访问企业内部网资源。

运营商会为用户的3G VPDN业务提供L2TP的LAC端路由器及配套的AAA服务器。用户中心端需要一台路由器作为L2TP的LNS端和一台AAA服务器。LAC路由器主要负责对3G用户的接入认证，与该用户所属企业的LNS建立L2TP隧道。用户端LNS AAA服务器主要存放网点路由器建立连接时所需要的用户名和密码。用户名的格式为XX@XX.COM.CN，其中@前面的字符串可以由用户端自行定义，＠后面的字符串即域名，必须由运营商分配。运营商AAA服务器通过域名，确认该用户的权限。运营商AAA服务器与总部AAA服务器的用户名和密码必须一致。

L2TP私有隧道建立过程如下：

3G路由器通过3G网络在完成对接入用户的APN认证后，

路由器启动PPP拨号向LAC发出认证请求。

LAC把认证请求转至运营商LAC AAA服务器。

AAA服务器将会回复认证结果并返回该用户所属的LNS地址、VPDN隧道属性等信息。

LAC向返回的LNS地址发出L2TP隧道建立请求，隧道建立成功（请求建立隧道的认证可选）。

LNS对网点路由器的用户名和密码进行重新认证（LNS对网点路由器的重认证可选）。

L2TP隧道建立完成。网点路由器对应的拨号接口UP，建立正常私有隧道通信。

如果网点发起了能够触发IPSEC VPN的流量，则IPSEC VPN隧道建立过程启动。网点路由器与LNS发起IPSEC VPN连接请求。

端到端的数据加密

3G安全解决方案

针对端到端的安全加密原则，其实3G技术是有自身的加密验证技术，但是3G的加密验证技术只针对无线的部分，而在IP核心网部分，从LAC到LNS之间虽然有L2TP隧道是不加密的，数据还是明文传送，而从LAC到专线网中间还有可能经过运营商的网络，为了达到端到端的安全加密原则，需要在网点和总部路由器之间，采用IPSEC 实现端到端的加密。

IPSEC通过AH、ESP协议保证了数据的：

私有性：用户的敏感数据以密文形式传送

完整性：对接收的数据进行验证，判断数据是否被篡改

真实性：验证数据源，判断数据来自真实的发送者

防重放：防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。

目前迈普的MP1800、MP2800、MP3800和MP7500路由器支持的加密和hash算法主要有：加密算法――des,3des,aes128,aes192,aes256 hash；算法―― md5和sha ，具体的技术原理不在赘述。同时迈普路由器还支持国密办加密算法，具体见下文描述。

国密办算法支持

迈普历史上与商密相关的事件

2004年

迈普通信首次推出商密产品，并顺利获得《商用密码产品销售许可证》及《商用密码产品生产定点单位证书》两大商密认证，产品涵盖证书服务器和安全路由器。

2007年

在商密证书到期后，顺利通过换证评定，同时推出SRQ12系列、SJW12系列、SJW49系列等商密产品。系列产品在军队、公安、武警、边防、法院、机要、政府等的广域安全加密传输领域广泛使用。