中国海关WAPI无线网络建设解决方案

中国海关WAPI无线网络建设解决方案

一、行业背景

移动互联网的成熟和普及,海关业务对WLAN的需求日益增加,所以规划建设基于安全的WLAN技术的设施已经迫在眉睫。


海关单位无线网络解决方案


海关作为国家进出关境的监督管理机关,其信息网络系统必须安全可靠。同时考虑到不同用户对安全等级的需求及灵活使用接入网络的需求,所以选用WAPI标准作为无线接入网络平台的接入技术。


二、需求分析

·无线办公:海关人员需要使用支持WAPI接入的笔记本、PDA、手机等智能终端接入到WLAN中,实时进行货物的查验、数据的提取、业务通报等,解决在固网环境下只能在单一地点进行以上工作。


·身份安全:海关移动单兵系统无线接入网络平台需要采用WAPI进行双向身份鉴别,及客户端和WLAN设备相互身份鉴别;并且需要通过身份认证手段对接入业务网络的用户进行多因素身份认证和识别。


·授权访问:对接入用户进行授权,如果是已授权用户,可以接入海关网络,通过海关内网进行业务的办理、审批等应用,使人摆脱有线线缆的束缚,让网络为人服务,提高生产、办公效率。


海关单位无线网络建设需求分析


·终端安全:需要对接入无线网络的终端设备以及无线AP终端进行终端检查及终端识别验证。确保接入业务网终端的安全性。


·稳定可靠:无线AC设备采用1+1或者N+1备份,确保设备的可靠性;支持射频调优和补盲,业务续航,即使AC或者个别AP故障,最大限度的减少对网络的影响,增强网络可靠性。


·无线安全:针对无线网络中存在的安全风险,以及非法终端进行识别和控制。发现无线网络中出现安全风险。


·边界安全:由于出现了大量单兵终端及其他无线设备接入业务网络,需要对整个业务网的分支单位和昆明局边界进行安全防护手段,确保安全威胁不会扩散。


三、网络架构设计

无线网络接入平台方案主要目标是实现管理网基于WAPI的WLAN接入。WAPI安全措施完善并获得国家认可,且处于可控状态,因此可视为海关内网的部分区域最后终端接入范围的延伸。通过网络边界的扩展和延伸,实现移动终端接入海关内部网,满足内部开展移动业务需求。


海关单位无线网络建设整体架构设计


3.1互联网接入架构

用户可以使用移动终端,采用WAPI_PSK认证接入网络。WAPI_PSK方式为预共享密钥方式,所以只要知道互联网接入的预共享密钥,就可以实现STA设备接入。


海关单位无线网络建设接入网设计


接入后需要跳转到用户接入认证网关,用户需要输入与主体相关的身份信息,例如用户名密码、手机号、关员号等,也可以与三统一进行联动。当用户通过了用户接入认证网关认证后,便可以接入到单独的互联网区域,实现访问互联网的业务。


3.2业务网接入架构

WAPI网络架构主要基于不同网络采用不同安全防护措施,配有安全增补手段。统筹规划,在保证网络安全的前提下,实现移动客户端高效、稳定、便捷的接入WAPI网络,从而开展移动相关业务。


图片 3.png


图片 4.png


系统架构主要包括以下几个部分:

·用户终端(移动上网设备,单兵计划终端)

·WLAN无线接入控制器(简称AC)

·无线接入点(简称AP)

·AS服务器(设备接入认证)

·人员身份认证和授权(SSL VPN)

·安全监控和审计(终端设备管控)


接入管理网用户接入区流程:用户终端必须首先到AS服务器注册STA身份凭证,所有接入设备依据准入控制要求,进行授权管理,只有获得STA身份凭证的设备才能授权接入WLAN网络。证书认证方式为标准的WAPI身份凭证认证方式。


当设备完成管理网WAPI_CERT认证,实现设备身份凭证与设备的MAC和IMEI等硬件信息绑定,从而实现仅授权的设备可以WAPI接入。接入后用户会跳转到用户接入认证网关,用户需要提供与主体相关的身份信息,例如证书信息、用户名密码等。当用户通过了用户接入认证网关认证后,完成管理网接入控制,STA设备将接入管理网单独的用户接入区域,后续通过用户接入域边界实现访问管理网的业务。


3.3网络拓扑及集结号组网方式

在管理网访问业务模式下,AP部署在各监管场所,通过各分支AC管理,分支AC由总关部署的中心端AC统一管理,整体网络架构采用瘦AP+AC的模式。无线网络接入平台统一管控,实现AP配置监控、漫游管理和网管代理。AP和AC间建立CAPWAP隧道,数据由各AP汇集到AC,所有的数据(包括与AS的认证)均由AC流出,网络边界在AC后,直接面向访问控制措施区域。


瘦AP集中转发模式

本方案建议采用瘦AP集中转发组网模式进行设备部署和建设。瘦AP集中转发组网方式,所有AP统一通过AC管理和配置。无线控制器可以旁挂于核心交换机设备或串接于AP与核心交换设备中间,在这种组网方式下,AC负责AP的管理,业务数据统一由AP发往AC,由AC集中转发至用户接入域。


图片 5.png


四、网络安全设计

安全部分参考《全国海关移动安全建设指导方案》进行技术设计,由于终端设备的移动性、使用场景的开放性和不可监督性、无线传输安全的脆弱性、网络环境的复杂性,要求采用安全的接入方式,采用“终端加固”、“信道加密”、“认证接入”、“访问授权”、“安全隔离”、“安全监控”和“安全管理”等七大安全措施,七大安全措施环环相扣,缺一不可,共同构成独立完整的安全接入体系。


海关单位网络安全体系结构设计.png


4.1 接入认证

认证主要是实现WAPI网络环境的客体(移动设备)、主体(使用人员)进行身份认证,认证措施主要基于WAPI认证结构,结合海关特点,进行增强和补充,主要在业务网接入区实现。主要认证环节包括预共享密钥认证、设备MAC地址认证、设备STA身份凭证认证、人员用户身份认证、VPN身份凭证认证五个环节,其中根据接入网络安全级别不同和等保级别不同,采用不同的认证环节。


WAPI接入设备认证分为预共享密钥认证(后简称WAPI_PSK)和证书认证(后简称WAPI_CERT)两种方式。


对接WAPI服务器认证

WAPI安全系统采用公钥密码技术,无线客户端与无线接入点AP上都安装有AS颁发的公钥证书,作为自己的数字身份凭证。当无线客户端登录至无线接入点AP时,在访问网络之前必须通过鉴别服务器AS对双方进行身份验证。根据验证的结果,持有合法证书的移动终端才能接入持有合法证书的无线接入点AP,本次海关项目对接WAPI服务器厂商进行认证。


图片 7.png


4.2访问控制安全策略

所有接入终端只能与特定应用服务器通信,禁止WAPI接入终端相互通信。 WAPI设备接入后采用单独网段单独安全域模式,即接入终端联入网络为用户接入域的单独安全区,IP地址可以采用管理网单独地址段或者单独私网地址体系,并通过无线接入防火墙等安全访问控制措施实现NAT和访问目标的网络访问控制。


4.3安全监控审计

鉴于移动WAPI应用为新引入的业务场景,所以对于接入WAPI的设备,有必要进行特殊严格的监控,能够实现发现异常行为、阻断异常行为、回查异常行为,优化安全防护策略。


已知特征设备主要通过已经存在的特征库开展监控审计,能够及时准确发现异常行为;未知数据回溯监控审计主要通过对全部数据记录,实现对于历史数据回溯和未知事件的回查,能够反作用于已知特征库,最终做到通过未知数据的分析,抽象为已知监控审计特征,添加入已知特征监控审计中;日志监控审计主要通过记录设备接入日志和人员访问日志,实施对日志报警的监控。


4.4终端识别

通过本次的交换机+交换机控制器设备,能够实现终端类型识别库,对接入终端进行精确识别,防止出现AP被替换或其他设备被恶意更换的情况,同时又能够防止私接共享设备。


图片 8.png


设置一系列的交换机终端接入策略,可以实现:

1)  基于交换机接口定义终端接入类型

2)  基于IP地址,首次部署实现IP-MAC自动绑定,自定义免审批IP和强制审批IP地址

3)  实现终端基于接入位置绑定,防止非授权终端接入非授权区域

4)  基于MAC地址自定义白名单接入终端


对违反接入安全规则的终端,通过短信、APP告警,或者自定义将终端加入冻结黑名单。


海关守护国门,信锐WAPI守护海关。信锐致力提供安全可靠的无线网络解决方案,让连接更安全、更高效、更有价值。


图片 9.png

电话咨询 售前咨询 售后咨询 免费试用