L2TP与Portal在小微金融接入认证中的应用

近年来，小微金融机构的发展，人民银行积极为小微金融机构的成长创造有利条件。各小微金融机构由于征信、支付等方面的业务需要，对接入人民银行金融城域网的需求迫切。在总行的统一部署下，各省会人行机构大多设立小微金融机构接入中心，为各机构提供接入服务。人民银行长沙中心支行高度重视湖南省内小微金融机构的接入工作，创新提出在小微金融机构接入中心采用L2TP+PORTAL双重认证机制，较好地解决了小微金融机构接入认证的问题。

一、应用背景

　　自2011年7月长沙金融城域网小微金融网络接入中心正式投入使用以来，陆续有10余家村镇银行、小贷公司接入长沙金融城域网。随着小微机构数量的不断增加，申请接入机构也不断增加，风险也不断增加，主要原因是因为小贷公司、担保公司等为主构成的小微金融机构，科技人员缺乏，技术实力薄弱，设备相对简单，导致信息安全风险更大，管理的难度更大。

　　为提高长沙金融城域网的风险防范能力，长沙中支将小微机构认证系统建设纳入2014年度重点工作计划。通过调研兄弟行产品功能并征求业务部门需求建议，系统需求被明确为“对人认证、对设备认证、传输加密、操作审计”四部分内容。技术部门通过对多个产品开展测试，认为H3C IMC系列产品的PORTAL认证方式能较好地满足功能需求。但在进一步的部署测试中发现，部分接入机构端设备上采用了NAT转换，存在着客户端真实MAC地址无法传递的问题。此外，部署过程中对原有接入路由器、防火墙的配置变更较大，操作繁琐。

　　针对项目实施中遇到的难点，长沙中支技术人员与H3C工程师进行了深入探讨，提出了小微金融机构L2TP+Portal的双重认证机制，实现了预期的目标，且进一步增强了接入中心的安全性。

二、技术原理分析

　　1．Portal

　　Portal在英语中是入口的意。Portal认证通常也称为Web认证，未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其他信息时，必须在门户网站进行认证，只有认证通过后才可以使用资源。此外，Portal的扩展功能通过强制接入终端实施补丁和防病毒策略，加强了网络终端对病毒攻击的主动防御能力。与现有的802.lx、PPPoE等认证技术相比，Portal认证技术具有以下优势。

　　(1)不需要部署客户端，直接使用Web页面认证，使用方便；

　　(2)可以定制“VLAN+端口+IP地址池”粒度级别的个性化认证页面，同时可以在Portal页面上开展广告业务、服务选择和信息发布等内容，进行业务拓展，实现IP网络的运营；

　　(3)关注对用户的管理，可基于用户名与VLAN ID/IP/MAC的捆绑识别来认证，并采用Portal server和Portal client之间，BAS和Portal client之间定期发送握手报文的方式来进行断网检测；

　　(4)二次地址方式可以实现灵活的地址分配策略和计费策略,且能节省公网IP地址；

　　(5)三层认证方式可以跨越网络层对用户作认证，可以在企业网络出口或关键数据的入口作访问控制。

　　2．L2TP

　　二层隧道协议(Layer 2Tunneling Protocol，L2TP)是虚拟私有拨号网(Virtual Private Dial—up Network．VPDN)隧道协议的一种。L2TP可以对网络数据流进行加密，要求面向数据包的点对点连接，使用多隧道，提供包头压缩、隧道验证。相对于其他隧道协议，L2TP具有如下特点。

　　(1)灵活的身份验证机制以及高度的安全性

　　L2TP协议本身并不提供连接的安全性，但它可依赖于PPP提供的认证(比如CHAP、PAP等)，因此具有PPP所具有的所有安全特性。L2TP可与IPsec结合起来实现数据安全，这使得通过L2TP所传输的数据更难被攻击。L2TP还可根据特定的网络安全要求在L2TP之上采用隧道加密技术、端对端数据加密或应用层数据加密等方案来提高数据的安全性。

　　(2)多协议传输

　　L2TP传输PPP数据包，在PPP数据包内可以封装多种协议。

　　(3)支持RADIUS服务器的验证

　　可以将用户名和密码发往RADIUS服务器进行验证申请，RADIUS服务器负责接收用户的验证请求，完成验证。

　　(4)支持内部地址分配

　　可以对远端用户的地址进行动态的分配和管理，可支持私有地址应用。为远端用户所分配的地址不是Internet地址而是企业内部的私有地址，这样方便了地址的管理并可以增加安全性。

　　(5)网络计费的灵活性

　　L2TP能够提供数据传输的出入包数、字节数以及连接的起始、结束时间等计费数据，可根据这些数据方便地进行网络计费。

　　(6)可靠性

　　L2TP协议具备备份机制，增加了VPN服务的可靠性和容错性。

三、应用方案介绍

　　本系统由认证网关路由器、VPN网关路由器、认证服务器以及流量探针服务器构成(系统架构如图1所示)。

　　小微金融机构访问人行系统的终端PC上需要安装iNode客户端，并新建1个基于L2TP VPN协议的连接和1个基于Portal协议的连接，类似于拨号上网的方式。访问人行系统的过程分为三步。第一步，建立VPN通道。点击L2TP VPN连接，输入认证信息，认证通过后，在小微金融机构接入设备与VPN路由器之间建立一条VPN通道，通道建立成功后，终端设备将从VPN地址池中获得—个浮动的IP地址。第二步，Portal认证。点击Portal连接，将本机的USB key信息、硬盘序列号等认证信息通过VPN路由器发往认证网关，再由认证网关发至认证服务器上交互，由设置的认证策略决定是否放行。认证成功后，小微金融网络接入中心路由器到小微讥构接入路由器的链路打通。第三步，防火墙过滤。若防火墙上的访问控制策略允许该终端发起的数据包通过，则实现了从终端到人行服务器的访问。此外，流量探针能够监测访问流量中的业务信息，为认证系统的审计功能提供数据来源。

　　本方案中，小微金融机构网络设备不需做任何更改。人民银行端设备也仅需在接入路由器上配置路由，并在防火墙上开放对VPN地址池的访问控制策略，无须变更网络拓扑，且配置改动小，操作简单便捷。

四、应用特色

　　采用L2TP和Portal双重认证机制的小微机构认证系统具有如下特点。

　　一是安全系数高。系统采用L2TP十Portal双重认证机制，为小微机构接入提供了强大的安全保障。一方面网络接入采用L2TP VPN模式，在接入终端与VPN网关路由器之间建立VPN隧道，并采用CHAP方式进行加密，可靠性高。另一方面，所有小微金融机构访问人行系统，都经过Portal+证书方式认证，通过身份认证、安全认证、硬盘序列号的比对等流程后，允许用户访问被管理员授权的网络资源。从用户、设备、线路三个方面进一步提升了金融城域网的风险防范能力。

　　二是管理功能强。系统的上线运行，成功实现了将金融城域网的安全管理延伸至接入机构的用户终端。一直以来，由于缺乏接入终端的管理工具，对小微机构终端无法有效管理，无法及时发现双网卡、无杀毒软件等违规现象。通过在Portal身份认证的基础上增加安全认证机制，可以检测接入终端是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等，并且能够对使用多网卡、修改MAC地址、开设代理服务器等违规行为进行强制下线，从而实现对接入终端的有效管控，保障终端安全达到规定要求。

　　三是审计功能全。通过使用流量分析与审计功能，能够对用户行为、Web访问、邮件、文件传输提供全方位的审计。通过用户行为审计，能够掌握用户访问的时间、IP、端口、协议、应用、流量等信息；通过Web访问审计，能够进一步了解用户访问站点、URI、标题等详情，完全满足认证审计的需求。全面的审计功能，既填补了科技部门对小微机构日常操作无法审计的空白，又为业务部门强化小微机构日常管理提供了有力的工具。

(文章来源：《中国金融电脑》杂志)

扫码即可手机
阅读转发此文