CDMA_VPDN技術(shù)方案

案例單位 移動辦公之 CDMA VPDN 技術(shù)方案 中國電信股份有限公司江蘇分公司 2010 年 04 月 08 日 案例單位 CDMA VPDN 技術(shù)方案 第 2 頁 1 定義和縮寫 AAA Authentication/Authorization/Accounting 認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù) ADSL Asymetric Digital Subscriber Loop 非對稱數(shù)字用戶環(huán)路 ATM Automatic Teller Machine 自動柜員機(jī) BSC Base Station Controller 基站控制器 BTS Base Transceiver Subsystem 移動基站 CDMA Code-Division Multiple Access 碼分多址 EVDO Evolution-Data Optimized DDN Digital Data Network 數(shù)字?jǐn)?shù)據(jù)網(wǎng) IPSec Internet Protocol Security IP 安全協(xié)議 ISDN Integrated Service Digital Network 綜合業(yè)務(wù)數(shù)字網(wǎng) MS Mobile Station 移動終端（手機(jī)） L2TP Layer Two Tunnelling Protocol 二層隧道協(xié)議 LNS L2TP Network Server L2TP 網(wǎng)絡(luò)服務(wù)器 PCF Packet Control Function 分組控制功能子系統(tǒng) PDSN Packet Data Serving Node 數(shù)據(jù)服務(wù)節(jié)點(diǎn) PPP Point to Point Protocol 點(diǎn)對點(diǎn)協(xié)議 PSTN Public Switched Telephone Network 公共交換電話網(wǎng)絡(luò) VPDN Virtual Private Dial-Network 虛擬撥號專用網(wǎng) 2 中國電信 CDMA 數(shù)據(jù)業(yè)務(wù)及應(yīng)用 2.1 CDMA 行業(yè)應(yīng)用概述 中國電信江蘇公司是國際著名的通信企業(yè)，一直以來，為國內(nèi)外眾多證券客戶提供優(yōu)質(zhì)的通信與綜合信息服務(wù)，憑借著多年來積累的網(wǎng)絡(luò)優(yōu)勢和技術(shù)優(yōu)勢，結(jié)合多年服務(wù)于證券業(yè)用戶的豐富經(jīng)驗(yàn)，為客戶提供 VPDN 解決方案，目前已經(jīng)在眾多領(lǐng)域得到廣泛應(yīng)用。 VPDN 是為各企事業(yè)單位提供無線接入的專用網(wǎng)絡(luò)。 VPDN 為用戶提供了一個移動虛擬企業(yè)網(wǎng)平臺，企業(yè)或集團(tuán)用戶通過 VPDN 系統(tǒng)與企業(yè)專網(wǎng)數(shù)據(jù)系統(tǒng)進(jìn)行數(shù)據(jù)交互，只有經(jīng)過合法認(rèn)證的用戶才能夠與專網(wǎng)系統(tǒng)進(jìn)行 數(shù)據(jù)通信。 CDMA VPDN典型的實(shí)現(xiàn)方案圖 2.1 所示。 案例單位 CDMA VPDN 技術(shù)方案 第 3 頁 圖 2.1 CDMA VPDN 業(yè)務(wù)意圖 用戶通過移動終端接入 CDMA 網(wǎng)絡(luò)后，先后經(jīng)過 CDMA 網(wǎng)絡(luò)側(cè)和用戶網(wǎng)絡(luò)側(cè)的AAA 認(rèn)證，然后接入用戶的內(nèi)部網(wǎng)，從而解決企業(yè)內(nèi)部的遠(yuǎn)程通信問題，這種組網(wǎng)方式既可以如企業(yè)內(nèi)部上網(wǎng)一樣安全快捷，又同時可以兼?zhèn)湟苿泳W(wǎng)絡(luò)的方便性和移動性。 中國電信 CDMA 網(wǎng)絡(luò)在技術(shù)上完全支持 VPDN 全國漫游，且用戶漫游使用時不用做任何其它設(shè)置。 目前 CDMA VPDN 的主要行業(yè)應(yīng)用有： 銀行業(yè)應(yīng)用：如無線 ATM 機(jī)、移動 POS 機(jī)等，為關(guān)鍵交易提供數(shù)據(jù)傳輸?shù)谋ＷC。 移動辦公：企業(yè)分散點(diǎn)通過 VPDN 通訊模塊與筆記本計(jì)算機(jī)連接，實(shí)現(xiàn)無線連接企業(yè)內(nèi)部網(wǎng)絡(luò)的應(yīng)用，實(shí)施簡單，辦公可移動。 工業(yè)控制等分散數(shù)據(jù)采集：跨區(qū)的大型企業(yè)工業(yè)數(shù)據(jù)采集及控制系統(tǒng)，如石油天然汽、石油管道閥門、罐等參數(shù)的采集；環(huán)保、氣象等相關(guān)分散點(diǎn)數(shù)據(jù)采集監(jiān)控應(yīng)用；供電及電力系統(tǒng)遠(yuǎn)程抄表及數(shù)據(jù)采集控制等； 分散地點(diǎn)的電子認(rèn)證：關(guān)鍵地點(diǎn)、位置的集中門禁控制系統(tǒng)；以及其它分散地點(diǎn)集中認(rèn)證有關(guān)的認(rèn)證服務(wù)等。 其它基于分散點(diǎn) 數(shù)據(jù)采集的系統(tǒng)：其它涉及商務(wù)，連鎖的應(yīng)用數(shù)據(jù)采集，比如連鎖商店銷售，配貨信息的采集和調(diào)度；物流公司相關(guān)業(yè)務(wù)的數(shù)據(jù)采集；地鐵、公交站點(diǎn)票務(wù)支付等。 2.2 CDMA 的應(yīng)用與優(yōu)勢 CDMA 應(yīng)用于移動辦公領(lǐng)域，優(yōu)勢是十分明顯的，主要體現(xiàn)在： 網(wǎng)絡(luò)覆蓋范圍廣：目前 CDMA 無線廣域網(wǎng)的覆蓋范圍已遍布全國，可滿足移動終端在全國部署的要求，能夠滿足 案例單位 辦公系統(tǒng)對覆蓋范圍的要求。 數(shù)據(jù)傳輸速率高：目前的 CDMA 已經(jīng)升級為 EVDO 網(wǎng)絡(luò)，是第 3 代移動通信技術(shù)，理論傳輸速率為 3.1Mps,為中國最大 3G 數(shù)據(jù)業(yè)務(wù)網(wǎng)絡(luò)；實(shí)際數(shù) 據(jù)傳輸速率可達(dá) 2Mbps 左右，實(shí)測結(jié)果大幅領(lǐng)先競爭對手。目前每個移動 OA 辦公終端每次案例單位 CDMA VPDN 技術(shù)方案 第 4 頁 的數(shù)據(jù)傳輸量在幾 K 至 100Kbps 之間， EVDO 網(wǎng)絡(luò)可完全能滿足 OA 系統(tǒng)數(shù)據(jù)傳輸速率（ 10Kbps）的需求。 安全、專有的應(yīng)用網(wǎng)絡(luò)：應(yīng)用先進(jìn)網(wǎng)絡(luò)加密手段，對數(shù)據(jù)傳輸任何一個環(huán)節(jié)都進(jìn)行加密處理，提供了高級別的安全性。 項(xiàng)目工期短、網(wǎng)絡(luò)結(jié)構(gòu)簡單、建設(shè)成本合理、維護(hù)成本低廉，網(wǎng)絡(luò)具有良好的拓展能力，能夠根據(jù)將來需求平滑快速升級，可以根據(jù)項(xiàng)目需要在應(yīng)用上適當(dāng)拓展。 3 案例單位 移動辦公項(xiàng)目技術(shù)方案建議 根據(jù) 案例單位 的業(yè)務(wù) 需求，結(jié)合中國電信江蘇公司在 3G 數(shù)據(jù)通信領(lǐng)域的業(yè)務(wù)提供能力，我們提出了 案例單位 移動 VPDN 解決方案。 3.1 系統(tǒng)設(shè)計(jì)原則 由于 案例單位 對辦公業(yè)務(wù)的穩(wěn)定性和安全性非常高，因此在方案設(shè)計(jì)中遵循以下幾個重要的原則： 統(tǒng)一規(guī)劃，統(tǒng)一部署，統(tǒng)一設(shè)計(jì)，分布實(shí)施。 兼顧先進(jìn)性、成熟性、可靠性、開放性與安全性的需要，建設(shè)高性能、高可靠、高可用的無線網(wǎng)絡(luò)。 保證系統(tǒng)具有較高的靈活性和擴(kuò)展性，充分考慮系統(tǒng)的長遠(yuǎn)發(fā)展和建設(shè)。 3.2 CDMA VPDN 方案設(shè)計(jì) 案例單位 CDMA VPDN 技術(shù)方案 第 5 頁 圖 3.3 基于 CDMA VPDN 技術(shù)的 案例單位 移動 OA 方案網(wǎng)絡(luò)拓?fù)?首先中國電信江蘇公司將為 案例單位 開通 CDMA VPDN 域名，建議名稱為jsht.133vpdn.sh（ 案例單位 ）。 案例單位 中心需要新增一臺 L2TP VPN 接入設(shè)備LNS， LNS 需要通過 IP 專線接入中國電信江蘇公司的 CDMA 數(shù)據(jù)網(wǎng)中，由中國電信江蘇公司配置并開通一個 案例單位 專用的 VPN。此外考慮到銀行的機(jī)房環(huán)境及技術(shù)維護(hù)力量情況，為增強(qiáng)專網(wǎng)業(yè)務(wù)的可靠性，新增 的 L2TP VPN 接入設(shè)備 LNS也可由電信代維并集中放置在電信機(jī)房。在實(shí)際的使用過程中，中國電信將根據(jù)CDMA 數(shù)據(jù)專網(wǎng) 案例單位 （ LNS） BSC/PCF VPDN 隧道 VPDN 隧道 BTS BTS OA 應(yīng)用服務(wù)器 電信 路由器 電信 AAA 服務(wù)器 案例單位 AAA 服務(wù)器 2M 數(shù)據(jù)專線 本地 BSC/PCF 案 例 單 位主機(jī) PDSN 案例單位 數(shù)據(jù)中心 CDMA 手機(jī) CDMA 手機(jī) 案例單位 CDMA VPDN 技術(shù)方案 第 6 頁 案例單位 業(yè)務(wù)需求分配一批 CDMA UIM 卡（ CDMA 用戶卡）。 案例單位 各分支機(jī)構(gòu)用戶的 CDMA 手機(jī)發(fā)起 PPP 呼叫（接入號碼 #777），數(shù)據(jù)傳遞的流程見圖 3.4： 圖 3.4 CDMA VPDN 通信流程 從圖中可以看出，終端由 CDMA 無線方式接入中國電信 CDMA 網(wǎng)，連接到 PDSN 設(shè)備，由中國電信的 AAA 認(rèn)證服務(wù)器提供接入認(rèn)證，判斷卡號和 VPN 的對應(yīng)關(guān)系是否正確。通過驗(yàn)證后， PDSN 將與 案例單位 的 LNS 之間建立起專用隧道，將用戶名和密碼交由 案例單位 的 AAA 認(rèn)證服務(wù)器驗(yàn)證用戶的合法性，并分配私網(wǎng) IP 地址，傳輸?shù)臄?shù)據(jù)流通過 L2TP 隧道到達(dá)企業(yè)網(wǎng)，就像用戶直接通過專線連接到企業(yè)網(wǎng)一樣。 3.3 網(wǎng)絡(luò)安全考慮 由于 案例單位 對安全的需要很高，在設(shè)計(jì)時候充分考慮二層接入為主要連接方式（非必要時不采用三層連接）。 分支側(cè)安全 性 在分支側(cè)使用 CDMA 手機(jī)直接撥號連接路由器，保證了二層連接。不存在三層路由信息泄露。 中心側(cè)安全性 LNS 路由器需要同時與 CDMA 數(shù)據(jù)網(wǎng)（外網(wǎng)）和 案例單位 內(nèi)網(wǎng)連接，因此安全性需要著重考慮?？筛鶕?jù)圖 3.5 的建議設(shè)置 LNS 路由器以及撥入用戶的安全性。 信道建立 PDSN LNS/ ROUTER IP 專線 電信 AAA 案例單位AAA 案例單位內(nèi)網(wǎng) R-P 接口建立 (1) PPP LCP 階段 (2) PPP 認(rèn)證請求 (3) 認(rèn)證請求 (4) 返回 LNS IP 地址和參數(shù) (5) 建立 VPDN 隧道 (6)LNS 可由電信托管 用戶認(rèn)證 (9) PPP 認(rèn)證和鑒權(quán) (7) IPCP 地址協(xié)商和分配 (9) PPP 通道建立 (10) BSC/PCF C 網(wǎng)手機(jī) 案例單位 CDMA VPDN 技術(shù)方案 第 7 頁 圖 3.5 中心側(cè)安全性建議 3.4 CDMA VPDN 項(xiàng)目安全性分析 CDMA 采用脫胎于軍用技術(shù)的無線擴(kuò)頻技術(shù)，用戶端到無線網(wǎng)絡(luò)接入設(shè)備間的無線空中通道目前不可能被破解；無線分組設(shè)備到用戶終端設(shè)備間，采用 隧道穿過專線接入，可以有效保證整個系統(tǒng)的安全。要保護(hù)整體系統(tǒng)的安全，首先要保證網(wǎng)絡(luò)本身的安全。必須盡可能地屏蔽外部非法訪問及非法數(shù)據(jù)，對從外部網(wǎng)絡(luò)連入的終端進(jìn)行嚴(yán)格的用戶認(rèn)證及控制。針對 CDMA 的各環(huán)節(jié)，提供了 5 級業(yè)務(wù)安全保障，從而充分保證網(wǎng)絡(luò)中數(shù)據(jù)的安全。 1第一級安全保障： CDMA 網(wǎng)絡(luò)本身的安全性 CDMA 本來就是起源軍事保密技術(shù)，在戰(zhàn)爭期間廣泛應(yīng)用于軍事領(lǐng)域，具有抗干擾、安全通信、保密性好的特性。進(jìn)行移動手機(jī)信號的竊聽一般使用以下三種方法。 首先，需要捕捉到通信信號。在空間中充滿了各種各樣的無線電 波，用戶手機(jī)信號就混雜在其中。由于 CDMA 系統(tǒng)采用擴(kuò)頻技術(shù)，經(jīng)過擴(kuò)頻以后的有用信號的頻譜被大大地展寬了，用戶信號隱蔽在互不相關(guān)的信號中，要想捕捉到這一有用信號非常困難。其次，竊聽器必須鎖定手機(jī)用戶通信的信號，繼而才能分析和破解信息。而 CDMA 采用快速切換功率控制技術(shù)，即便是竊聽設(shè)備捕捉到了用戶手機(jī)信號，也不能鎖定快速功率切換下的有用信號。第三，需要破解用戶信息編碼。而 CDMA 采用偽隨機(jī)碼技術(shù)，用長達(dá) 42 位的偽隨機(jī)碼來標(biāo)識區(qū)分用戶，每次通話都有 4.4 萬億種可能的排列，竊聽器很難破譯出 CDMA 的編碼。所 以 CDMA 技術(shù)本身就很安全。 2第二級安全保障： CDMA 網(wǎng)絡(luò)側(cè)的 AAA 認(rèn)證 CDMA 網(wǎng)絡(luò)側(cè)的 AAA 認(rèn)證過程是對用戶的域名進(jìn)行鑒權(quán)認(rèn)證，網(wǎng)中數(shù)據(jù)網(wǎng)的CDMA （外網(wǎng)） LNS 電信 Router 靜態(tài)路由，缺省路由 靜態(tài)路由 僅允許 LNS相連接口或 Loopback 接口的路由信息在外網(wǎng)中傳播 可實(shí)施 ACL 控制 L2TP 地址池采用銀行內(nèi)網(wǎng)地址，由銀行 AAA 統(tǒng)一認(rèn)證后分配 ACL：對外網(wǎng)僅允許 L2TP協(xié)議進(jìn)入 ，禁止其它協(xié)議 僅允許 AAA 或特定的協(xié)議到達(dá)LNS ACL：僅允許 LNS地址池中的用戶通過 防火墻 案例單位 內(nèi)網(wǎng) 案例單位 CDMA VPDN 技術(shù)方案 第 8 頁 用戶（ VPDN 成員）是以 usernamexxx.133vpdn.sh 形式登錄的 ,與互聯(lián)網(wǎng)是完全隔離的。 CDMA 網(wǎng)絡(luò)側(cè)的 AAA 服務(wù)器對登錄用戶的域名和該用戶的 UIM 卡進(jìn)行綁定審核驗(yàn)證。驗(yàn)證通過后，方可接入電信運(yùn)營商 CDMA 網(wǎng)絡(luò)。 3第三級安全保障： CDMA 網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間的 VPN 鏈接 CDMA 網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間可以采用專線鏈接，并將 L2TP 和 IPSec 結(jié)合起來用：用 L2TP 作為隧道協(xié)議，用戶可以選擇端到端的 IPSec 協(xié)議來進(jìn)一步保護(hù)數(shù)據(jù)，安全性更高。 4第四級安全保障：用戶網(wǎng)絡(luò)側(cè)的安全防火墻（ FW） 防火墻技術(shù)是目前用來實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，主要是用來拒絕非法用戶的訪問，阻止非法用戶存取敏感數(shù)據(jù)，同時允許合法用戶順利訪問網(wǎng)絡(luò)資源。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯，檢查數(shù)據(jù)流中每個數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址、 TCP/UDP 源端口號、 TCP/UDP 目的端口號及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來確定是否允許數(shù)據(jù)包通過，其核心是安 全