4G業務安全接入需求

隨著業務的快速發展及客戶服務模式的轉變，金融行業需要加快自助服務渠道建設、提供移動金融服務、緩解網點排隊現象，在推動金融業務進入便利化服務時代同時不斷降低業務運營成本。

4G技術的迅速發展，解決了傳統有線線路在快速靈活部署、移動接入、網絡延續等方面的諸多難題，幫助金融機構實現各類應用的快速靈活部署及各類新業務應用。

安全問題一直是金融客戶最為擔心的問題，4G移動業務利用靈活便捷的空中傳輸通道，在安全性上需更加關注。

4G安全解決方案

4G無線側安全

4G接口空中加密，實現了雙向認證。不但提供基站對MS的認證，也提供了MS對基站的認證，可有效防止偽基站攻擊。提供接入鏈路信令數據的完整性保護，同時密鑰長度增加為128 bit，改進了算法。

用戶接入安全

? 運用商對4G用戶的SIM卡信息（ IMSI“的國際移動用戶識別碼”）進行綁定，只允許綁定后的SIM用戶通過用戶名、密碼認證后接入銀行4G專用網絡，防止非法SIM卡用戶撥入銀行4G專網進行非法活動。

? 通過網點4G路由器設置SIM卡的PIN碼保護功能，只有知道SIM卡的PIN密碼才能觸發4G撥號，防止非法用戶獲取到銀行SIM卡后進行的非法操作，保證了SIM的使用安全。

? 通過AAA服務器能夠對4G用戶進行擴展認證（包含用戶名、密碼和IMSI信息）。

接入網絡私有性

為了保證分支4G路由器的數據業務在運營商IP核心網中傳輸的的私有性，用戶向運營商申請企業集團用戶4G的VPDN(Virtual Private Dial-Network)業務，基于4G無線接入方式的虛擬專用撥號網業務，它是利用安全的L2TP隧道傳輸協議，就可以在現有的撥號網絡上構建一條虛擬的、不受外界干擾的專用通道，從而安全訪問企業內部網資源。

端到端的數據加密

針對端到端的安全加密原則，其實4G技術是有自身的加密驗證技術，但是4G的加密驗證技術只針對無線的部分，而在IP核心網部分，從LAC到LNS之間雖然有L2TP隧道是不加密的，數據還是明文傳送，而從LAC到專線網中間還有可能經過運營商的網絡，為了達到端到端的安全加密原則，需要在網點和總部路由器之間，采用IPSEC 實現端到端的加密。

IPSEC通過AH、ESP協議保證了數據的：

? 私有性：用戶的敏感數據以密文形式傳送

? 完整性：對接收的數據進行驗證，判斷數據是否被篡改

? 真實性：驗證數據源，判斷數據來自真實的發送者

? 防重放：防止惡意用戶通過重復發送捕獲到的數據包所進行的攻擊，即接收方會拒絕舊的或重復的數據包。

目前路由器支持的標準加密和hash算法主要有：加密算法――DES,3DES,AES128,AES192,AES256, hash算法―― MD5和SHA 。另外，通過支持國密SM1/SM2加密算法，為客戶提供安全，滿足國內監管趨勢審計要求的4G安全接入。