&

HT-3000 3G/4G物聯(lián)網(wǎng)無(wú)線接入的安全守護(hù)神！

2017/8/1 9:03:40

一 AAA服務(wù)器概述：

　　隨著物聯(lián)網(wǎng)的興起，2G/3G無(wú)線接入技術(shù)在金融、保險(xiǎn)、稅務(wù)、彩票、交通、環(huán)保、地震、電力、安防等重要行業(yè)的應(yīng)用越來(lái)越廣泛，無(wú)線接入系統(tǒng)的安全性也是不容忽視的重要課題，針對(duì)此需要，我公司研發(fā)推出了針對(duì)無(wú)線接入系統(tǒng)的安全AAA認(rèn)證服務(wù)器HT-3000，HT-3000可以確保只有身份合法的用戶名、合法的用戶密碼、全球唯一的IMSI號(hào)、指定的IP地址、指定的ID編號(hào)各項(xiàng)都正確，才可以接入客戶無(wú)線系統(tǒng)。HT-3000服務(wù)器杜絕了系統(tǒng)被非法入侵的可能，為無(wú)線接入系統(tǒng)的安全保駕護(hù)航。

?? ATM機(jī)無(wú)線認(rèn)證方案.png ??

圖1 無(wú)線接入的典型案例

　　在移動(dòng)通信系統(tǒng)中，用戶要訪問(wèn)網(wǎng)絡(luò)資源，首先要進(jìn)行用戶的入網(wǎng)認(rèn)證，這樣用戶才能保護(hù)網(wǎng)絡(luò)資源。鑒別的過(guò)程就是驗(yàn)證用戶身份的合法性；鑒別完成后，才能對(duì)用戶訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行授權(quán)，并對(duì)用戶訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行計(jì)費(fèi)管理。一般來(lái)講，鑒別過(guò)程由三個(gè)實(shí)體來(lái)完成的。用戶（Client）、認(rèn)證器（Authenticator）、AAA服務(wù)器（Authentication、Authorization和Accounting Server）。在第三代移動(dòng)通信系統(tǒng)的早期版本中，用戶也稱為MN（移動(dòng)節(jié)點(diǎn)），Authenticator在NAS（Network Access Server）中實(shí)現(xiàn)，它們之間采用PPP協(xié)議，認(rèn)證器和AAA服務(wù)器之間采用AAA協(xié)議（以前的方式采用遠(yuǎn)程訪問(wèn)撥號(hào)用戶服務(wù)RADIUS（RemoteAccess Dial up User Service）；Raduis（遠(yuǎn)程訪問(wèn)撥號(hào)接入用戶服務(wù)）英文原意為半徑，原先的目的是為撥號(hào)用戶進(jìn)行鑒別和計(jì)費(fèi)。后來(lái)經(jīng)過(guò)多次改進(jìn)，形成了一項(xiàng)通用的鑒別計(jì)費(fèi)協(xié)議）。

AAA

　　AAA是驗(yàn)證、授權(quán)和記賬（Authentication、Authorization、Accounting ）三個(gè)英文單詞的簡(jiǎn)稱。其主要目的是管理哪些用戶可以訪問(wèn)網(wǎng)絡(luò)服務(wù)器，具有訪問(wèn)權(quán)的用戶可以得到哪些服務(wù)，如何對(duì)正在使用網(wǎng)絡(luò)資源的用戶進(jìn)行記賬。具體為：

1、驗(yàn)證(Authentication): 驗(yàn)證用戶是否可以獲得訪問(wèn)權(quán)限；

?? ATM機(jī)無(wú)線認(rèn)證方案2.png 、

??圖2 AAA服務(wù)器銀行ATM機(jī)無(wú)線接入方案??

????2、授權(quán)(Authorization) : 授權(quán)用戶可以使用哪些服務(wù)；??

3、記賬(Accounting) : 記錄用戶使用網(wǎng)絡(luò)資源的情況。??

AAA服務(wù)器

　　AAA服務(wù)器（AAA server）是一個(gè)能夠處理用戶訪問(wèn)請(qǐng)求的服務(wù)器程序。提供驗(yàn)證授權(quán)以及帳戶服務(wù)。AAA服務(wù)器通常同網(wǎng)絡(luò)訪問(wèn)控制、網(wǎng)關(guān)服務(wù)器、數(shù)據(jù)庫(kù)以及用戶信息目錄等協(xié)同工作。同AAA服務(wù)器協(xié)作的網(wǎng)絡(luò)連接服務(wù)器接口是“遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(RADIUS)”。

RADIUS協(xié)議

協(xié)議概述

　　RADIUS（Remote Authentication Dial In User Service）協(xié)議是在IETF的RFC 2865和2866中定義的。RADIUS 是基于 UDP 的一種客戶機(jī)/服務(wù)器協(xié)議。RADIUS客戶機(jī)是網(wǎng)絡(luò)訪問(wèn)服務(wù)器，它通常是一個(gè)路由器、交換機(jī)或無(wú)線訪問(wèn)點(diǎn)。RADIUS服務(wù)器通常是在UNIX或Windows2000服務(wù)器上運(yùn)行的一個(gè)監(jiān)護(hù)程序。RADIUS 協(xié)議的認(rèn)證端口是1812 ，計(jì)費(fèi)端口是1813。

RADIUS協(xié)議的主要特點(diǎn)

概括的來(lái)說(shuō)，RADIUS 的主要特點(diǎn)如下：

1、客戶/服務(wù)模式(Client/Server)

RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是網(wǎng)絡(luò)接入服務(wù)器NAS（Network Access Server），現(xiàn)在運(yùn)行在任何硬件上的RADIUS客戶端軟件都可以成為RADIUS的客戶端?？蛻舳说娜蝿?wù)是把用戶信息（用戶名，口令等）傳遞給指定的RADIUS服務(wù)器，并負(fù)責(zé)執(zhí)行返回的響應(yīng)。

2、RADIUS服務(wù)器負(fù)責(zé)接收用戶的連接請(qǐng)求，對(duì)用戶身份進(jìn)行認(rèn)證，并為客戶端返回所有為用戶提供服務(wù)所必須的配置信息。

　　一個(gè)RADIUS服務(wù)器可以為其他的RADIUS Server或其他種類認(rèn)證服務(wù)器擔(dān)當(dāng)代理。

　　客戶端和RADIUS服務(wù)器之間的交互經(jīng)過(guò)了共享保密字的認(rèn)證。另外，為了避免某些人在不安全的網(wǎng)絡(luò)上監(jiān)聽獲取用戶密碼的可能性，在客戶端和RADIUS服務(wù)器之間的任何用戶密碼都是被加密后傳輸?shù)摹?/p>

3、靈活的認(rèn)證機(jī)制

　　RADIUS服務(wù)器可以采用多種方式來(lái)鑒別用戶的合法性。當(dāng)用戶提供了用戶名和密碼后，RADIUS服務(wù)器可以支持點(diǎn)對(duì)點(diǎn)的PAP認(rèn)證（PPPPAP）、點(diǎn)對(duì)點(diǎn)的CHAP認(rèn)證（PPP CHAP）、UNIX的登錄操作（UNIX Login）和其他認(rèn)證機(jī)制。

4．?dāng)U展協(xié)議

　　所有的交互都包括可變長(zhǎng)度的屬性字段。為滿足實(shí)際需要，用戶可以加入新的屬性值。新屬性的值可以在不中斷已存在協(xié)議執(zhí)行的前提下自行定義新的屬性。

RADIUS的工作過(guò)程

RADIUS協(xié)議旨在簡(jiǎn)化認(rèn)證流程。其典型認(rèn)證授權(quán)工作過(guò)程是：

1、用戶輸入用戶名、密碼等信息到客戶端或連接到NAS；

2、客戶端或NAS產(chǎn)生一個(gè)“接入請(qǐng)求（Access-Request）”報(bào)文到RADIUS服務(wù)器，其中包括用戶名、口令、客戶端（NAS）ID 和用戶訪問(wèn)端口的ID?？诹罱?jīng)過(guò)MD5算法進(jìn)行加密。

3、RADIUS服務(wù)器對(duì)用戶進(jìn)行認(rèn)證；

4、若認(rèn)證成功，RADIUS服務(wù)器向客戶端或NAS發(fā)送允許接入包（Access-Accept），否則發(fā)送拒絕加接入包（Access-Reject）；

　　5、若客戶端或NAS接收到允許接入包，則為用戶建立連接，對(duì)用戶進(jìn)行授權(quán)和提供服務(wù)，并轉(zhuǎn)入6；若接收到拒絕接入包，則拒絕用戶的連接請(qǐng)求，結(jié)束協(xié)商過(guò)程；

6、客戶端或NAS發(fā)送計(jì)費(fèi)請(qǐng)求包給RADIUS服務(wù)器；

7、RADIUS服務(wù)器接收到計(jì)費(fèi)請(qǐng)求包后開始計(jì)費(fèi)，并向客戶端或NAS回送開始計(jì)費(fèi)響應(yīng)包；

8、用戶斷開連接，客戶端或NAS發(fā)送停止計(jì)費(fèi)包給RADIUS服務(wù)器；

9、RADIUS服務(wù)器接收到停止計(jì)費(fèi)包后停止計(jì)費(fèi)，并向客戶端或NAS回送停止計(jì)費(fèi)響應(yīng)包，完成該用戶的一次計(jì)費(fèi)，記錄計(jì)費(fèi)信息，目前的2G/3G無(wú)線接入應(yīng)用基本采用包月或者包流量的方式，還沒(méi)有使用的計(jì)費(fèi)功能

二、進(jìn)行AAA認(rèn)證的必要性：??

1、系統(tǒng)運(yùn)行更安全。由于無(wú)線接入具有一定的移動(dòng)性，所以設(shè)備一旦丟失或被搬離監(jiān)控區(qū)域，由于無(wú)線設(shè)備已經(jīng)配置了接入用戶名和口令，任意電腦終端通過(guò)無(wú)線設(shè)備完全可以接入用戶系統(tǒng)進(jìn)行相關(guān)交易等工作，這是目前無(wú)線接入系統(tǒng)的安全性死穴。有了AAA認(rèn)證服務(wù)器之后，客戶可以第一時(shí)間將丟失的設(shè)備ID號(hào)、隨同設(shè)備的SIM卡號(hào)設(shè)置為非法，此設(shè)備再次發(fā)出接入請(qǐng)求時(shí)將被拒絕，系統(tǒng)可以最大限度的降低入侵危險(xiǎn)。

2、設(shè)備管理更方便。CISICO路由器等設(shè)備也可以通過(guò)配置用戶名和口令完成部分AAA認(rèn)證的功能，但不能完全適應(yīng)無(wú)線接入的實(shí)際需要，不能對(duì)換了手機(jī)卡的EMSI號(hào)、設(shè)備ID號(hào)等進(jìn)行認(rèn)證，安全性就會(huì)降低；另外CISICO命令行的配置方式使用起來(lái)不是很方便，HT-3000采用WEB方式進(jìn)行配置，管理方便，對(duì)于用戶數(shù)量巨大的用戶，添加用戶更為方便，免除了命令行的繁雜方式。

3、遠(yuǎn)程維護(hù)更簡(jiǎn)單。無(wú)線設(shè)備接入系統(tǒng)后，所有前端設(shè)備的工作信息、IP地址、上下線時(shí)間、工作日志等都在AAA服務(wù)器上有記錄，可以隨時(shí)通過(guò)遠(yuǎn)程登陸的方式對(duì)前段設(shè)備進(jìn)行管理和維護(hù)。

三．HT3000 AAA服務(wù)器基本功能

支持中國(guó)電信CDMA /中國(guó)聯(lián)通WCDMA/中國(guó)移動(dòng)GPRS虛擬專用撥號(hào)數(shù)據(jù)網(wǎng)（VPDN）支持用戶名+域名設(shè)置支持自動(dòng)獲得/指定PPP上線IP地址

支持UIM卡、用戶名、密碼、分配固定IP四綁定功能支持PAP、CHAP、MS-CHAP多種PPP 驗(yàn)證機(jī)制支持 IMSI （國(guó)際移動(dòng)用戶識(shí)別碼）驗(yàn)證及綁定支持 500 用戶（可擴(kuò)展至5000用戶）支持雙機(jī)熱備份，保證系統(tǒng)穩(wěn)定可靠工作

四．HT3000 AAA服務(wù)器功能特點(diǎn)

HT3000采用1U標(biāo)準(zhǔn)機(jī)架式設(shè)計(jì)，占用空間小，安裝靈活，移動(dòng)方便。

HT3000采用嵌入式無(wú)硬盤設(shè)計(jì)，故障率低，功耗小，環(huán)境適應(yīng)性強(qiáng)，安全穩(wěn)定。

HT3000 核心軟件針對(duì)中國(guó)電信VPDN網(wǎng)絡(luò)應(yīng)用定制設(shè)計(jì)，配置簡(jiǎn)單，容易維護(hù)。

HT3000 配置管理界面采用WEB方式，無(wú)需安裝客戶端軟件，部署管理靈活。

HT3000 系統(tǒng)配置文件和用戶列表文件可通過(guò)管理界面下載及上傳，方便備份與恢復(fù)。

HT3000 嵌入式操作系統(tǒng)，無(wú)慮盜版軟件和病毒侵襲。

HT3000支持實(shí)時(shí)雙機(jī)熱備份，確保數(shù)據(jù)同步。

ATM機(jī)無(wú)線認(rèn)證方案3.png