本文主要介绍在原有的华为终端接入服务器特性基础上推出的增强安全性能的终端接入解决方案。本文描述和实现的安全解决方案是对基于华为路由器终端接入服务器功能的一种扩展和补充，它提供了从终端设备到Unix前置机之间的端到端的数据加密，同时也提供华为终端接入路由器和Unix前置机之间的数据加密。这样，用户可以在采用华为路由器提供的IPSec安全加密的基础上再利用该增强的安全方案实现终端到Unix前置机或华为终端接入路由器到Unix前置机之间的增强加密功能以提高终端接入业务的安全性能；也可以只使用该增强的安全特性实现终端到Unix前置机或华为终端接入路由器到Unix前置机之间的安全加密功能来保障业务的安全。

　　

　　1 需求背景

　　

　　终端接入主要是指营业网点的终端通过Quidway路由器连接到中心的Unix前置机及后台主机上，Quidway路由器完成从终端串行数据流到IP网络数据包的转换。各种业务运行于中心的Unix服务器上，它通过Quidway路由器把业务画面推送到网点的终端并完成业务交互处理。它主要应用于银行、邮政、税务、海关和民航等拥有大量营业网点的系统。终端接入的典型组网如下图所示：

　　

　　

 

　　

　　基于华为路由器的终端接入功能很好地满足了用户终端接入的应用需求，并且用户可以通过路由器提供的硬件和软件方式的IPSec加密功能对数据进行加密，保证了终端业务的安全。采用IPSec加密功能实现的是终端接入路由器和Unix前置机前端的路由器之间的数据加密，因此，这种安全加密方式仍然存在两个“安全死角”：终端设备到终端接入路由器之间的数据没有加密和前置机前端路由器到前置机之间的数据没有加密；另外，当用户出于某种原因不能采用或不愿采用路由器提供的IPSec方式进行数据加密的情况下，原有的终端接入方式不能满足终端接入业务的安全要求。

　　

　　

　　华为公司为了及时满足用户的迫切需求，并出于对用户业务的安全考虑，在原有的终端接入功能特性的基础上新开发了两种增强的安全特性，即实现终端设备到Unix前置机之间的软硬件加密和身份验证特性，以及终端接入路由器到Unix前置机之间的软件加密。这样在整个终端接入的起始设备即终端设备和终点设备即Unix前置机之间均能实现数据的安全加密，消除了整个链路中的存在“安全死角”，用户还可以在该安全加密的基础上再采用IPSec加密实现更高安全级别的终端接入业务。
2 终端接入路由器到Unix前置机之间的软件加密

　　

　　这种安全加密方案是对原有终端接入功能特性的一种增强和扩展，它不需要增加任何别的硬件设备，利用软件实现了终端接入路由器到前置机之间的数据加密，这样不仅保证了终端接入路由器和Unix前置机前端路由器之间的加密，也保证了Unix前置机前端路由器到Unix前置机之间数据加密，从而消除了终端接入业务中的一个“安全死角”。

　　

　　

　　2.1 加密方案介绍

　　

　　该加密方案是通过对路由器端的终端接入服务器软件程序和运行在Unix前置机上的ttyd程序进行加密改造来实现的，在实现的这个加密过程中采用了先进的加密机制和流加密算法，保证终端接入业务的数据流很难被破解。加密过程如下示意图所示：

　　

　　

 

　　

　　在上图所示的软件价加密过程中，终端接入路由器和Unix前置机之间的数据流是采用密文传输的，数据加/解密的处理分别由终端接入路由器和前置机上运行的ttyd程序来完成。

　　

　　

　　2.2 该加密方案的特点

　　

　　

　　这种加密方式的特点如下：

　　

　　本解决方案中采用了先进的加密机制和流加密算法，同时采用了可靠的密钥分发和密钥同步技术，很好地保证了加密/解密通信的稳定性、可靠性和准确性；

　　

　　这种加密方式不仅保证了终端接入路由器与Unix前置机前端路由器之间的数据加密，而且也保证了Unix前置机前端路由器到Unix前置机这个“安全死角”的加密，但这种加密方式不能保证终端到终端接入路由器这个“安全死角”之间的加密，在整个终端接入业务中仍留有安全隐患。

　　

　　这种加密方式不需要增加任何硬件设备，节省了投资，减少了维护的工作量。

　　

　　提供链路的自动恢复功能。当通信链路因某种原因造成加解密数据丢失后，能自动恢复链路以保证业务的正常进行。

　　

　　该加密方案对路由器提供的IPSec加密方式没有任何影响，两者可以叠加使用以提高数据通信的安全性能。

3 终端设备到Unix前置机之间的软硬件加密

　　

　　

　　3.1 终端接入业务的安全隐患

　　

　　目前银行系统的终端接入业务是通过连接到终端接入路由器的本地终端或远程终端设备来完成的，本地终端是指终端通过其RS-232串口直接与终端接入路由器异步接口相连的终端，连接距离一般在二三十米左右，当连接距离较远时也有采用长线驱动器进行连接的；远程终端是指终端设备距离终端接入路由器很远的终端，该终端设备不能直接通过串口电缆连接到终端接入路由器，需要通过Modem拨号方式进行连接和通信。

　　

　　

　　在目前的终端设备到终端接入路由器之间存在如下的几个安全隐患：

　　

　　

　　柜员签到认证机制存在安全漏洞。目前一般采用操作员口令和磁条卡来登录签到，磁条卡容易被复制伪造，造成操作员被冒用。

　　

　　

　　RS－232串行通信线路上明码传输，很容易被窃听和获取数据。

　　

　　

　　本地终端和远程终端设备都很容易让人进行搭线窃听和搭线外接终端，伪造业务。

　　

　　

　　终端接入业务中存在的另一个安全隐患就是前面提到的从Unix前置机前端的路由器到Unix前置机之间的数据通信。即使终端接入路由器到Unix前置机前端的路由器之间采用IPSec通信，但IPSec加密的终点终结在Unix前置机前端的路由器，该路由器与前置机之间是采用明文通信的，其中的数据是很容易被截获和识别的。

　　

　　

　　因此，在从终端设备到终端接入路由器和从Unix前置机前端的路由器到Unix前置机这两个“安全死角”中存在极危险的安全隐患，如果在这个安全隐患不加以排除，就随时有可能让不法分子获得可乘之机，造成极大的经济损失。华为公司为解决这个安全问题，并积极响应用户的的迫切需求，开发了从终端设备到Unix前置机之间的软硬件加密功能特性，很好地解决了目前存在的安全隐患问题。

　　

　　

　　3.2 加密方案介绍

　　

　　该加密方案是采用硬件和软件设备结合的方式来保证终端设备到Unix前置机之间的数据安全的。在终端设备的一侧，采用一个硬件加密盒实现硬件的加/解密和身份认证，而前置机端采用华为公司提供的ttyd程序实现数据的加/解密，这样保证了从终端设备到前置机之间端到端的数据加密和安全。其组网结构如下图所示：

　　

　　

 

　　

　　从上图中可以看出，对于本地终端，只要在终端设备后面（一般在主接口上）安装一个加密盒即可，对于Modem拨号的远程终端，只要在终端的后面Modem的前面安装一个加密盒即可。加密盒完成身份验证和数据的加/解密工作，前置机一端的数据加解密采用华为的终端接入程序ttyd来完成。

　　

　　

　　3.3 该加密方案的特点

　　

　　

　　该加密方案有如下特点：

　　

　　该加密方案保证了终端设备到Unix前置机之间的端到端的数据安全，在整个终端接入业流程中没有遗漏“安全死角”。

　　

　　机密盒采用IC卡身份认证和口令验证，保证了终端设备不易被非法进入和伪造业务。

　　

　　本解决方案中采用了先进的加密机制和流加密算法，同时采用了可靠的密钥分发和密钥同步技术，很好地保证了加密/解密通信稳定性、可靠性和准确性；

　　

　　该加密方案不需要在两端而是在一端采用硬件机密盒，适用于目前银行的IP化的网络体系结构，同时，节省了投资成本，也方便了维护工作。

　　

　　该加密方案对路由器提供的IPSec加密方式没有任何影响，两者可以叠加使用以提高数据通信的安全性能。

　　

　　提供链路的自动恢复功能。当通信链路因某种原因造成加解密数据丢失后，通信链路能自动恢复以保证业务的正常进行。