铁路站场局域网移动智能终端安全接入平台技术条件研究

铁路站场局域网移动智能终端安全接入平台技术条件研究

邬磊

邬磊

中国铁路呼和浩特局集团公司信息技术所内蒙古自治区呼和浩特市010050

摘要：移动通信技术的发展，为铁路运输生产组织带来了新的更加高效快捷的解决方案，铁路站场局域网移动智能终端的试点和推广，将更加迅速的推动铁路物流企业朝着信息化智能化的方向发展，然而如何保障无线局域网终端的接入安全和传输安全，成为了这一应用快速推广的瓶颈。移动终端作为移动互联网时代最主要的载体，面临着严峻的安全挑战。

关键词：无线局域网、移动智能终端、接入安全。

引言：本文结合铁路站场无线局域网移动智能终端接入安全基本情况，探讨铁路局域网移动智能终端安全接入平台建设基本技术要求。

1.术语和定义

1.1铁路专网Wi-Fi

铁路专网Wi-Fi是指为了满足铁路站场生产业务无线接入铁路综合信息网站场局域网的需要，在铁路站场区域内采用Wi-Fi技术构建的无线网络。

1.2铁路专网LTE

铁路专网LTE是指为了满足铁路站场生产业务无线接入铁路综合信息网站场局域网的需要，在铁路站场区域内釆用LTE技术构建的无线网络。

1.3铁路统一用户认证管理系统

铁路统一用户认证管理系统为应用系统提供安全服务机制，实现用户管理、用户数据同步、用户认证、用户授权、单点登录、数字签名/验签和数据加密/解密功能。

2.平台结构

2.1概述

铁路站场局域网移动智能终端安全接入平台（以下简称安全接入平台），实现铁路移动智能终端通过铁路专网Wi-Fi或铁路专网LTE接入铁路综合信息网站场局域网的安全防护相关功能。

2.2安全接入平台组成

一套完整的安全接入平台应由Wi-Fi接入认证服务器、Wi-Fi接入策略服务器、移动设备管理服务器、安全管理服务器、网络管理服务器、运维审计服务器、防火墙、IPS、WIPS等组成。根据业务系统性能需求、组网需求的不同，服务器可选择物理服务器、虚拟服务器、服务器集群等不同实现方式。各组成部分的部署与实现功能如下述：

在铁路局内部服务网的运维管理区部署Wi-Fi接入认证服务器、Wi-Fi接入策略服务器、移动设备管理服务器和安全管理服务器。Wi-Fi接入认证服务器和Wi-Fi接入策略服务器对接入的站场移动智能终端进行统一认证和授权，移动设备管理服务器与移动智能终端内的安全防护软件配合，对终端进行统一管理。安全管理服务器提供对铁路专网Wi-Fi/铁路专网LTE范围内安全设备进行安全事件管理、关联分析等。部署时结合自身实际需求，安全管理服务器可以采取集中式或分布式部署方式。

在站场运维管理区部署网络管理服务器和运维审计服务器，网络管理服务器提供对铁路专网Wi-Fi/铁路专网LTE范围内的网络设备、服务器、安全防护设备等统一管理。运维审计服务器提供对铁路专网Wi-Fi/铁路专网LTE的软硬件设备配置修改行为的记录和审计。

铁路专网Wi-Fi/铁路专网LTE接入到站场内部服务网，通过IPS实现入侵检测防御功能。铁路专网Wi-Fi采用WIPS设备对站场范围内的假冒AP和无线攻击行为进行识别告警，并具备阻断攻击的能力。铁路局及站场各区域之间采用防火墙实现分区隔离。

3.平台功能

3.1接入安全

3.1.1专网Wi-Fi接入安全

Wi-Fi接入认证服务器对站场移动智能终端进行身份识别，使用数字证书认证、用户名/口令绑定设备标识码认证等方式进行身份认证；Wi-Fi接入策略服务器根据终端认证后的身份进行访问授权；AP支持MAC地址白名单功能并隐藏SSID；能够对非法用户或恶意用户进行监测、阻断；支持无线用户二层隔离功能，使关联到同一个AP上的无线用户之间的二层报文不能相互转发，从而使无线用户之间不能互访。

3.1.2专网LTE接入安全

终端设备接入网络时，核心网认证设备对接入终端进行设备注册、身份认证；终端设备业务接入时，核心网认证设备根据终端请求的业务类型（QCI）进行业务确认并许可；对终端设备的设备序列号、MAC地址和IP地址进行绑定；能够对非法用户或恶意用户进行监测、阻断；应使用接入控制列表对IP地址、端口进行监测、过滤；应具有ACL报文过滤能力，支持白名单功能。

3.2传输安全

对于专网Wi-Fi传输安全，应对认证过程中的数据和传输过程中的数据进行加密，以保证数据的私密性和安全性。关键数据传输宜采用应用级SSLVPN加密传输。对于专网LTE传输安全，应采取加解密技术保证移动智能终端与基站之间传输数据的保密性和完整性。基站和核心网之间传输数据应支持ipsec协议，重要业务系统应在应用层对传输数据进行加密。

3.3边界安全

站场移动终端接入区与站场应用类服务器区之间，应通过防火墙进行逻辑逼离，控制粒度应为端口级；站场移动终端接入区与铁路局应用类服务器区之间，应通过防火墙进行逻辑隔离，控制粒度应为端口级；重要业务服务器边界应釆用应用防火墙。

3.4多业务承载

安全接入平台的AP应支持多SSID功能，并且SSID应支持与局域网VLAN绑定。当多个铁路生产业务用户需要在站场部署无线网络时，AP应可划分多个SSID实现业务隔离。不同SSID所对应的局域网VLAN之间应设置缺省为禁止互访，若有跨VLAN的互通需求，应通过防火墙或路由器设备进行访问控制。不同SSID、VLAN应具备设置区别化的QoS策略、最小带宽保障和带宽共享功能。

3.5网络攻击防御

采用IPS等安全设备对局域网内的ARP地址欺骗、DoS拒绝服务攻击、APT攻击等行为进行告警和防御，并能够对异常流量进行检测及报警；采用WIPS设备对无线网络中的非法AP、无线DoS攻击、无线中间人攻击等进行识别和告警，并具备阻断攻击的能力；在防火墙部署具有病毒防御功能的模块，提供对网络中的病毒进行识别、告警和阻止蔓延能力。

4.平台性能及主要设备技术要求

4.1基本性能要求

安全接入平台内时间同步应采用网络时间协议，相对误差不大于1s。安全接入平台应支持在线用户数不低于20000，并发用户数不低于3000，平均响应时间＜5秒。安全接入平台应支持双机部署架构，具备高可用性。全接入平台应具备良好扩展性。

4.2主要设备技术要求

Wi-Fi接入策略服务器要求支持基于用户身份的网络权限访问管理功能，可以在认证通过后下发用户的ACL、VLAN、QoS给接入设备，由设备动态控制用户的访问网络权限；支持一用户多策略授权，从同一地点可获取不同的接入权限；支持基于用户身份的网络带宽、QoS管理功能。Wi-Fi网络管理服务器要求对用户进行分权管理：可以为不同的管理员设置不同的用户名、密码，并限制管理员的管理权限和管理范围，实现用户分权管理。

5.结语

移动通信技术的发展移动智能终端技术的进步，已经很大程度上改变了人们的生活方式，正在进一步改变着人们的工作方式。移动通信和人工智能已经成为现代社会进步的核心动力，怎样让信息技术更加安全高效的服务于日常工作和生产，推动企业朝着信息化智能化的方向发展，是保证铁路物流企业提高竞争力，占据市场主导地位必须解决的问题。

参考文献：

[1]GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》

[2]GB/T25070-2010《信息安全技术信息系统等级保护安全设计技术要求》

[3]GB/T25058-2010《信息安全技术信息系统等级保护实施指南》