增强终端接入服务器安全性能解决方案-服务器(server)解决方案.doc

增强终端接入服务器安全性能解决方案 -服务器 (server)解决方案 本文主要介绍在原有的华为终端接入服务器特性基础上推出的增强安全性能的终端接入解决方案。本文描述和实现的安全解决方案是对基于华为路由器终端接入服务器功能的一种扩展和补充，它提供了从终端设备到 Unix 前置机之间的端到端的数据加密，同时也提供华为终端接入路由器和 Unix 前置机之间的数据加密。这样，用户可以在采用华为路由器提供的 IPSec 安全加密的基础上再利用该增强的安全方案实现终端到 Unix前置机或华为终端接入路由器到 Unix前置机之间的增强加密功能以提高终端接入业务的安全性能；也可以只使用该增强的安全特性实 现终端到 Unix前置机或华为终端接入路由器到 Unix前置机之间的安全加密功能来保障业务的安全。 1 需求背景 终端接入主要是指营业网点的终端通过 Quidway 路由器连接到中心的 Unix前置机及后台主机上， Quidway 路由器完成从终端串行数据流到 IP 网络数据包的转换。各种业务运行于中心的 Unix 服务器上，它通过 Quidway 路由器把业务画面推送到网点的终端并完成业务交互处理。它主要应用于银行、邮政、税务、海关和民航等拥有大量营业网点的系统。终端接入的典型组网如下图所示： 基于华为路由器的终端接入功能很好地满足了用户终端接入的应用需求，并且用户可以通过路由器提供的硬件和软件方式的 IPSec 加密功能对数据进行加密，保证了终端业务的安全。采用 IPSec 加密功能实现的是终端接入路由器和Unix 前置机前端的路由器之间的数据加密，因此，这种安全加密方式仍然存在两个“安全死角”：终端设备到终端接入路由器之间的数据没有加密和前置机前端路由器到前置机之间的数据没有加密；另外，当用户出于某种原因不能采用或不愿采用路由器 提供的 IPSec 方式进行数据加密的情况下，原有的终端接入方式不能满足终端接入业务的安全要求。 华为公司为了及时满足用户的迫切需求，并出于对用户业务的安全考虑，在原有的终端接入功能特性的基础上新开发了两种增强的安全特性，即实现终端设备到 Unix 前置机之间的软硬件加密和身份验证特性，以及终端接入路由器到Unix 前置机之间的软件加密。这样在整个终端接入的起始设备即终端设备和终点设备即 Unix 前置机之间均能实现数据的安全加密，消除了整个链路中