2.3　邮箱系统在CDMA移动网络侧的安全方案

　　2.3.1　如意邮箱在CDMA手机上的工作流程

　　如意邮箱用户除使用电脑上网处理邮件外，还可利用CDMA手机的WAP上网功能处理邮件，其工作流程如图2所示。手机用户处理邮件要经过CDMA无线网络段的鉴权认证，进入cdma2000 1x无线分组网，再到达WAP门户，这时用户手机WAP界面将显示云南联通WAP门户“彩云之南”页面，其中一个栏目就是“如意邮箱”。用户点击该栏目后，系统通过简化的HTTP（WML规范）经过公网寻址到如意邮箱系统，其后过程基本与pc用户上网进入邮箱相同，用户由此实现了对自身手机邮箱的操作。

　　

　　 图2　如意邮箱WAP工作流程

　　2.3.2　在手机上处理邮件的安全考虑和方案

　　（1）CDMA无线网络段

　　在手机用户接入网络时，CDMA网络首先通过设置相关参数，对用户进行严格鉴权以防止非法用户接入网络，保证用户的安全和惟一性。

　　（2）cdma 2000 1x数据分组网段

　　如意邮箱系统针对CDMA上网用户提供的手机邮件处理功能，主要是基于cdma2000 1x数据分组网，为使系统安全可靠，有必要先对cdma2000 1x数据分组网的网络安全进行分析。

　　当前中国联通cdma2000 1x数据分组网存在以下特点：

　　●系统网络与用户网络并存；

　　●系统网络中存在运营商内部网络和对互联网的接口；

　　●专网与公网用户并存；

　　●无线网络与有线网络并存；

　　●私有地址空间与公用地址空间并存；

　　●同一网络上承载多种业务，同一网络连接到多个接入网。

　　从以上特点可以看出，分组网的组网比普通数据网络的组网更复杂。同时，cdma2000 1x网还可能受到来自各方面的众多安全威胁，包括：基于物理层的线路侦听、噪音引入、虚假MAC地址的攻击等。

　　基于以上安全问题。目前cdma2000 1x分组网的安全机制主要通过以下手段实现：

　　●内外网隔离；

　　●限制用户对设备的访问；

　　●对非法访问的侦测；

　　●对异常网络流量做到及时反应；

　　●制定有效的安全管理方案。

　　具体安全保证手段可分为系统的可靠性和抗攻击能力两方面：

　　●可靠性。分组网中通过RADIUS服务器对用户接入时使用的用户名、密码进行验证，必要时还可以结合用户的IMSI（international mobile subscriber identification number）。为保证PDSN的可靠性，PDSN设备采用主备方式进行负荷分担、备份。

　　●抗攻击能力。现分组网主要采取了以下抗攻击措施：通过在系统内网中构建MPLS VPN来加强内部网络的安全；在网络内部使用私有地址空间，做到内外网隔离；使用硬件防火墙、NAT方式及ACL控制策略，保证内网和公网的进一步隔离；通过三层交换的VLAN隔离和VLAN间路由技术，对不同子网间的路由访问进行有效的控制；通过NetFlow技术监控网络流量，对异常网络流量做到及时反应等，保障网络的安全。

　　通过以上的安全设计，中国联通的cdma2000 1x网络成为目前安全程度很高的移动数据网络。

　　（3）WAP门户段

　　由于在前两个网络段已有较严格的安全保障，在省级WAP门户的内网区域段，网络是比较安全的。但即使如此，WAP系统在公网和中国联通内网侧都配备了双宿主主机防火墙，保证该子系统设备的网络安全。

　　2.4　其他安全技术措施

　　如意邮箱在安全方面还有一系列反垃圾邮件技术措施（如SMTP首级邮件地址过滤、陷阱技术、人工反垃圾设置等），并与杀毒软件公司MaCfee合作解决病毒邮件查杀和快速升级难题。