2.3　郵箱系統在CDMA移動網絡側的安全方案

　　2.3.1　如意郵箱在CDMA手機上的工作流程

　　如意郵箱用戶除使用電腦上網處理郵件外，還可利用CDMA手機的WAP上網功能處理郵件，其工作流程如圖2所示。手機用戶處理郵件要經過CDMA無線網絡段的鑒權認證，進入cdma2000 1x無線分組網，再到達WAP門戶，這時用戶手機WAP界面將顯示云南聯通WAP門戶“彩云之南”頁面，其中一個欄目就是“如意郵箱”。用戶點擊該欄目后，系統通過簡化的HTTP（WML規范）經過公網尋址到如意郵箱系統，其后過程基本與pc用戶上網進入郵箱相同，用戶由此實現了對自身手機郵箱的操作。

　　

　　 圖2　如意郵箱WAP工作流程

　　2.3.2　在手機上處理郵件的安全考慮和方案

　　（1）CDMA無線網絡段

　　在手機用戶接入網絡時，CDMA網絡首先通過設置相關參數，對用戶進行嚴格鑒權以防止非法用戶接入網絡，保證用戶的安全和惟一性。

　　（2）cdma 2000 1x數據分組網段

　　如意郵箱系統針對CDMA上網用戶提供的手機郵件處理功能，主要是基于cdma2000 1x數據分組網，為使系統安全可靠，有必要先對cdma2000 1x數據分組網的網絡安全進行分析。

　　當前中國聯通cdma2000 1x數據分組網存在以下特點：

　　●系統網絡與用戶網絡并存；

　　●系統網絡中存在運營商內部網絡和對互聯網的接口；

　　●專網與公網用戶并存；

　　●無線網絡與有線網絡并存；

　　●私有地址空間與公用地址空間并存；

　　●同一網絡上承載多種業務，同一網絡連接到多個接入網。

　　從以上特點可以看出，分組網的組網比普通數據網絡的組網更復雜。同時，cdma2000 1x網還可能受到來自各方面的眾多安全威脅，包括：基于物理層的線路偵聽、噪音引入、虛假MAC地址的攻擊等。

　　基于以上安全問題。目前cdma2000 1x分組網的安全機制主要通過以下手段實現：

　　●內外網隔離；

　　●限制用戶對設備的訪問；

　　●對非法訪問的偵測；

　　●對異常網絡流量做到及時反應；

　　●制定有效的安全管理方案。

　　具體安全保證手段可分為系統的可靠性和抗攻擊能力兩方面：

　　●可靠性。分組網中通過RADIUS服務器對用戶接入時使用的用戶名、密碼進行驗證，必要時還可以結合用戶的IMSI（international mobile subscriber identification number）。為保證PDSN的可靠性，PDSN設備采用主備方式進行負荷分擔、備份。

　　●抗攻擊能力。現分組網主要采取了以下抗攻擊措施：通過在系統內網中構建MPLS VPN來加強內部網絡的安全；在網絡內部使用私有地址空間，做到內外網隔離；使用硬件防火墻、NAT方式及ACL控制策略，保證內網和公網的進一步隔離；通過三層交換的VLAN隔離和VLAN間路由技術，對不同子網間的路由訪問進行有效的控制；通過NetFlow技術監控網絡流量，對異常網絡流量做到及時反應等，保障網絡的安全。

　　通過以上的安全設計，中國聯通的cdma2000 1x網絡成為目前安全程度很高的移動數據網絡。

　　（3）WAP門戶段

　　由于在前兩個網絡段已有較嚴格的安全保障，在省級WAP門戶的內網區域段，網絡是比較安全的。但即使如此，WAP系統在公網和中國聯通內網側都配備了雙宿主主機防火墻，保證該子系統設備的網絡安全。

　　2.4　其他安全技術措施

　　如意郵箱在安全方面還有一系列反垃圾郵件技術措施（如SMTP首級郵件地址過濾、陷阱技術、人工反垃圾設置等），并與殺毒軟件公司MaCfee合作解決病毒郵件查殺和快速升級難題。