CDMA_VPDN技術(shù)方案.doc

案例單位cdma vpdn技術(shù)方案案例單位移動(dòng)辦公之cdma vpdn技術(shù)方案中國電信股份有限公司江蘇分公司2010年04月08日1 定義和縮寫aaaauthentication/authorization/accounting認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)adslasymetric digital subscriber loop非對(duì)稱數(shù)字用戶環(huán)路atmautomatic teller machine自動(dòng)柜員機(jī)bscbase station controller基站控制器btsbase transceiver subsystem移動(dòng)基站cdmacode-division multiple access碼分多址evdo evolution-data optimized ddndigital data network數(shù)字?jǐn)?shù)據(jù)網(wǎng)ipsecinternet protocol security ip安全協(xié)議isdnintegrated service digital network綜合業(yè)務(wù)數(shù)字網(wǎng)msmobile station移動(dòng)終端（手機(jī)）l2tplayer two tunnelling protocol二層隧道協(xié)議lnsl2tp network serverl2tp網(wǎng)絡(luò)服務(wù)器pcfpacket control function分組控制功能子系統(tǒng)pdsnpacket data serving node數(shù)據(jù)服務(wù)節(jié)點(diǎn)ppp point to point protocol點(diǎn)對(duì)點(diǎn)協(xié)議pstnpublic switched telephone network公共交換電話網(wǎng)絡(luò)vpdnvirtual private dial-network虛擬撥號(hào)專用網(wǎng)2 中國電信cdma數(shù)據(jù)業(yè)務(wù)及應(yīng)用2.1 cdma行業(yè)應(yīng)用概述中國電信江蘇公司是國際著名的通信企業(yè)，一直以來，為國內(nèi)外眾多證券客戶提供優(yōu)質(zhì)的通信與綜合信息服務(wù)，憑借著多年來積累的網(wǎng)絡(luò)優(yōu)勢(shì)和技術(shù)優(yōu)勢(shì)，結(jié)合多年服務(wù)于證券業(yè)用戶的豐富經(jīng)驗(yàn)，為客戶提供vpdn解決方案，目前已經(jīng)在眾多領(lǐng)域得到廣泛應(yīng)用。vpdn是為各企事業(yè)單位提供無線接入的專用網(wǎng)絡(luò)。vpdn為用戶提供了一個(gè)移動(dòng)虛擬企業(yè)網(wǎng)平臺(tái)，企業(yè)或集團(tuán)用戶通過vpdn系統(tǒng)與企業(yè)專網(wǎng)數(shù)據(jù)系統(tǒng)進(jìn)行數(shù)據(jù)交互，只有經(jīng)過合法認(rèn)證的用戶才能夠與專網(wǎng)系統(tǒng)進(jìn)行數(shù)據(jù)通信。cdma vpdn典型的實(shí)現(xiàn)方案圖2.1所示。圖2.1 cdma vpdn業(yè)務(wù)意圖用戶通過移動(dòng)終端接入cdma網(wǎng)絡(luò)后，先后經(jīng)過cdma網(wǎng)絡(luò)側(cè)和用戶網(wǎng)絡(luò)側(cè)的aaa認(rèn)證，然后接入用戶的內(nèi)部網(wǎng)，從而解決企業(yè)內(nèi)部的遠(yuǎn)程通信問題，這種組網(wǎng)方式既可以如企業(yè)內(nèi)部上網(wǎng)一樣安全快捷，又同時(shí)可以兼?zhèn)湟苿?dòng)網(wǎng)絡(luò)的方便性和移動(dòng)性。中國電信cdma網(wǎng)絡(luò)在技術(shù)上完全支持vpdn全國漫游，且用戶漫游使用時(shí)不用做任何其它設(shè)置。目前cdma vpdn的主要行業(yè)應(yīng)用有：l銀行業(yè)應(yīng)用：如無線atm機(jī)、移動(dòng)pos機(jī)等，為關(guān)鍵交易提供數(shù)據(jù)傳輸?shù)谋ＷC。l移動(dòng)辦公：企業(yè)分散點(diǎn)通過vpdn通訊模塊與筆記本計(jì)算機(jī)連接，實(shí)現(xiàn)無線連接企業(yè)內(nèi)部網(wǎng)絡(luò)的應(yīng)用，實(shí)施簡(jiǎn)單，辦公可移動(dòng)。l工業(yè)控制等分散數(shù)據(jù)采集：跨區(qū)的大型企業(yè)工業(yè)數(shù)據(jù)采集及控制系統(tǒng)，如石油天然汽、石油管道閥門、罐等參數(shù)的采集；環(huán)保、氣象等相關(guān)分散點(diǎn)數(shù)據(jù)采集監(jiān)控應(yīng)用；供電及電力系統(tǒng)遠(yuǎn)程抄表及數(shù)據(jù)采集控制等；l分散地點(diǎn)的電子認(rèn)證：關(guān)鍵地點(diǎn)、位置的集中門禁控制系統(tǒng)；以及其它分散地點(diǎn)集中認(rèn)證有關(guān)的認(rèn)證服務(wù)等。l其它基于分散點(diǎn)數(shù)據(jù)采集的系統(tǒng)：其它涉及商務(wù)，連鎖的應(yīng)用數(shù)據(jù)采集，比如連鎖商店銷售，配貨信息的采集和調(diào)度；物流公司相關(guān)業(yè)務(wù)的數(shù)據(jù)采集；地鐵、公交站點(diǎn)票務(wù)支付等。2.2 cdma的應(yīng)用與優(yōu)勢(shì)cdma應(yīng)用于移動(dòng)辦公領(lǐng)域，優(yōu)勢(shì)是十分明顯的，主要體現(xiàn)在：l網(wǎng)絡(luò)覆蓋范圍廣：目前cdma無線廣域網(wǎng)的覆蓋范圍已遍布全國，可滿足移動(dòng)終端在全國部署的要求，能夠滿足案例單位辦公系統(tǒng)對(duì)覆蓋范圍的要求。l數(shù)據(jù)傳輸速率高：目前的cdma已經(jīng)升級(jí)為evdo網(wǎng)絡(luò)，是第3代移動(dòng)通信技術(shù)，理論傳輸速率為3.1mps,為中國最大3g數(shù)據(jù)業(yè)務(wù)網(wǎng)絡(luò)；實(shí)際數(shù)據(jù)傳輸速率可達(dá)2mbps左右，實(shí)測(cè)結(jié)果大幅領(lǐng)先競(jìng)爭(zhēng)對(duì)手。目前每個(gè)移動(dòng)oa辦公終端每次的數(shù)據(jù)傳輸量在幾k至100kbps之間，evdo網(wǎng)絡(luò)可完全能滿足oa系統(tǒng)數(shù)據(jù)傳輸速率（10kbps）的需求。l安全、專有的應(yīng)用網(wǎng)絡(luò)：應(yīng)用先進(jìn)網(wǎng)絡(luò)加密手段，對(duì)數(shù)據(jù)傳輸任何一個(gè)環(huán)節(jié)都進(jìn)行加密處理，提供了高級(jí)別的安全性。l項(xiàng)目工期短、網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單、建設(shè)成本合理、維護(hù)成本低廉，網(wǎng)絡(luò)具有良好的拓展能力，能夠根據(jù)將來需求平滑快速升級(jí)，可以根據(jù)項(xiàng)目需要在應(yīng)用上適當(dāng)拓展。 3 案例單位移動(dòng)辦公項(xiàng)目技術(shù)方案建議根據(jù)案例單位的業(yè)務(wù)需求，結(jié)合中國電信江蘇公司在3g數(shù)據(jù)通信領(lǐng)域的業(yè)務(wù)提供能力，我們提出了案例單位移動(dòng)vpdn解決方案。3.1 系統(tǒng)設(shè)計(jì)原則由于案例單位對(duì)辦公業(yè)務(wù)的穩(wěn)定性和安全性非常高，因此在方案設(shè)計(jì)中遵循以下幾個(gè)重要的原則：l統(tǒng)一規(guī)劃，統(tǒng)一部署，統(tǒng)一設(shè)計(jì)，分布實(shí)施。l兼顧先進(jìn)性、成熟性、可靠性、開放性與安全性的需要，建設(shè)高性能、高可靠、高可用的無線網(wǎng)絡(luò)。l保證系統(tǒng)具有較高的靈活性和擴(kuò)展性，充分考慮系統(tǒng)的長遠(yuǎn)發(fā)展和建設(shè)。3.2 cdma vpdn方案設(shè)計(jì)案例單位aaa服務(wù)器案例單位主機(jī)oa應(yīng)用服務(wù)器案例單位數(shù)據(jù)中心案例單位（lns）2m數(shù)據(jù)專線電信路由器電信aaa服務(wù)器vpdn隧道cdma數(shù)據(jù)專網(wǎng)vpdn隧道pdsnbsc/pcf本地bsc/pcfbtsbtscdma手機(jī)cdma手機(jī)圖3.3 基于cdma vpdn技術(shù)的案例單位移動(dòng)oa方案網(wǎng)絡(luò)拓?fù)涫紫戎袊娦沤K公司將為案例單位開通cdma vpdn域名，建議名稱為jsht.133vpdn.sh（案例單位）。案例單位中心需要新增一臺(tái)l2tp vpn接入設(shè)備lns，lns需要通過ip專線接入中國電信江蘇公司的cdma數(shù)據(jù)網(wǎng)中，由中國電信江蘇公司配置并開通一個(gè)案例單位專用的vpn。此外考慮到銀行的機(jī)房環(huán)境及技術(shù)維護(hù)力量情況，為增強(qiáng)專網(wǎng)業(yè)務(wù)的可靠性，新增的l2tp vpn接入設(shè)備lns也可由電信代維并集中放置在電信機(jī)房。在實(shí)際的使用過程中，中國電信將根據(jù)案例單位業(yè)務(wù)需求分配一批cdma uim卡（cdma用戶卡）。案例單位各分支機(jī)構(gòu)用戶的cdma手機(jī)發(fā)起ppp呼叫（接入號(hào)碼#777），數(shù)據(jù)傳遞的流程見圖3.4：案例單位aaa返回lns ip地址和參數(shù)(5)電信aaa案例單位內(nèi)網(wǎng)lns/routerbsc/pcfc網(wǎng)手機(jī)用戶認(rèn)證 (9)認(rèn)證請(qǐng)求(4)ip專線pdsn信道建立r-p接口建立(1)建立vpdn隧道(6)lns可由電信托管ppp認(rèn)證請(qǐng)求(3)ppp lcp階段(2)ppp 認(rèn)證和鑒權(quán)(7)ipcp地址協(xié)商和分配(9)ppp通道建立(10)圖3.4 cdma vpdn通信流程從圖中可以看出，終端由cdma無線方式接入中國電信cdma網(wǎng)，連接到pdsn設(shè)備，由中國電信的aaa認(rèn)證服務(wù)器提供接入認(rèn)證，判斷卡號(hào)和vpn的對(duì)應(yīng)關(guān)系是否正確。通過驗(yàn)證后，pdsn將與案例單位的lns之間建立起專用隧道，將用戶名和密碼交由案例單位的aaa認(rèn)證服務(wù)器驗(yàn)證用戶的合法性，并分配私網(wǎng)ip地址，傳輸?shù)臄?shù)據(jù)流通過l2tp隧道到達(dá)企業(yè)網(wǎng)，就像用戶直接通過專線連接到企業(yè)網(wǎng)一樣。 3.3 網(wǎng)絡(luò)安全考慮由于案例單位對(duì)安全的需要很高，在設(shè)計(jì)時(shí)候充分考慮二層接入為主要連接方式（非必要時(shí)不采用三層連接）。l分支側(cè)安全性在分支側(cè)使用cdma 手機(jī)直接撥號(hào)連接路由器，保證了二層連接。不存在三層路由信息泄露。l中心側(cè)安全性lns路由器需要同時(shí)與cdma數(shù)據(jù)網(wǎng)（外網(wǎng)）和案例單位內(nèi)網(wǎng)連接，因此安全性需要著重考慮。可根據(jù)圖3.5的建議設(shè)置lns路由器以及撥入用戶的安全性。l 僅允許aaa或特定的協(xié)議到達(dá)lnsl acl：僅允許lns地址池中的用戶通過l l2tp地址池采用銀行內(nèi)網(wǎng)地址，由銀行aaa統(tǒng)一認(rèn)證后分配l acl：對(duì)外網(wǎng)僅允許l2tp協(xié)議進(jìn)入，禁止其它協(xié)議l 僅允許lns相連接口或loopback接口的路由信息在外網(wǎng)中傳播l 可實(shí)施acl控制靜態(tài)路由，缺省路由靜態(tài)路由案例單位內(nèi)網(wǎng)cdma（外網(wǎng)）防火墻lns電信router圖3.5 中心側(cè)安全性建議3.4 cdma vpdn項(xiàng)目安全性分析cdma采用脫胎于軍用技術(shù)的無線擴(kuò)頻技術(shù)，用戶端到無線網(wǎng)絡(luò)接入設(shè)備間的無線空中通道目前不可能被破解；無線分組設(shè)備到用戶終端設(shè)備間，采用隧道穿過專線接入，可以有效保證整個(gè)系統(tǒng)的安全。要保護(hù)整體系統(tǒng)的安全，首先要保證網(wǎng)絡(luò)本身的安全。必須盡可能地屏蔽外部非法訪問及非法數(shù)據(jù)，對(duì)從外部網(wǎng)絡(luò)連入的終端進(jìn)行嚴(yán)格的用戶認(rèn)證及控制。針對(duì)cdma的各環(huán)節(jié)，提供了5 級(jí)業(yè)務(wù)安全保障，從而充分保證網(wǎng)絡(luò)中數(shù)據(jù)的安全。1第一級(jí)安全保障：cdma網(wǎng)絡(luò)本身的安全性cdma本來就是起源軍事保密技術(shù)，在戰(zhàn)爭(zhēng)期間廣泛應(yīng)用于軍事領(lǐng)域，具有抗干擾、安全通信、保密性好的特性。進(jìn)行移動(dòng)手機(jī)信號(hào)的竊聽一般使用以下三種方法。首先，需要捕捉到通信信號(hào)。在空間中充滿了各種各樣的無線電波，用戶手機(jī)信號(hào)就混雜在其中。由于cdma系統(tǒng)采用擴(kuò)頻技術(shù)，經(jīng)過擴(kuò)頻以后的有用信號(hào)的頻譜被大大地展寬了，用戶信號(hào)隱蔽在互不相關(guān)的信號(hào)中，要想捕捉到這一有用信號(hào)非常困難。其次，竊聽器必須鎖定手機(jī)用戶通信的信號(hào)，繼而才能分析和破解信息。而cdma采用快速切換功率控制技術(shù)，即便是竊聽設(shè)備捕捉到了用戶手機(jī)信號(hào)，也不能鎖定快速功率切換下的有用信號(hào)。第三，需要破解用戶信息編碼。而cdma 采用偽隨機(jī)碼技術(shù)，用長達(dá)42 位的偽隨機(jī)碼來標(biāo)識(shí)區(qū)分用戶，每次通話都有4.4 萬億種可能的排列，竊聽器很難破譯出cdma 的編碼。所以cdma 技術(shù)本身就很安全。2第二級(jí)安全保障：cdma網(wǎng)絡(luò)側(cè)的aaa認(rèn)證cdma網(wǎng)絡(luò)側(cè)的aaa 認(rèn)證過程是對(duì)用戶的域名進(jìn)行鑒權(quán)認(rèn)證，網(wǎng)中數(shù)據(jù)網(wǎng)的用戶（vpdn 成員）是以u(píng)sernamexxx.133vpdn.sh 形式登錄的,與互聯(lián)網(wǎng)是完全隔離的。cdma網(wǎng)絡(luò)側(cè)的aaa服務(wù)器對(duì)登錄用戶的域名和該用戶的uim卡進(jìn)行綁定審核驗(yàn)證。驗(yàn)證通過后，方可接入電信運(yùn)營商cdma 網(wǎng)絡(luò)。3第三級(jí)安全保障：cdma網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間的vpn 鏈接cdma網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間可以采用專線鏈接，并將l2tp 和ipsec 結(jié)合起來用：用l2tp 作為隧道協(xié)議，用戶可以選擇端到端的ipsec協(xié)議來進(jìn)一步保護(hù)數(shù)據(jù)，安全性更高。4第四級(jí)安全保障：用戶網(wǎng)絡(luò)側(cè)的安全防火墻（fw）防火墻技術(shù)是目前用來實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，主要是用來拒絕非法用戶的訪問，阻止非法用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶順利訪問網(wǎng)絡(luò)資源。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址、tcp/udp 源端口號(hào)、tcp/udp 目的端口號(hào)及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來確定是否允許數(shù)據(jù)包通過，其核心是安全策略即過濾算法的設(shè)計(jì)。用戶