銳捷3G無線VPDN解決方案

1、3g3g 無線無線 vpdnvpdn 解決方案解決方案 銳捷網(wǎng)絡銳捷網(wǎng)絡 目目錄錄 、項目背景概述、項目背景概述.3 、3g3g 數(shù)據(jù)業(yè)務介紹數(shù)據(jù)業(yè)務介紹.3 、3g3g 應用設計方案應用設計方案.6 vpdn 解決方案.6 無線安全措施.9 ipsec vpn 安全措施 .13 、測試方案、測試方案.14 、項目背景概述、項目背景概述 2009 年月份國家工業(yè)與信息化部正式向移動、聯(lián)通、電信三 家運營商分別頒發(fā)了 cdma2000、td-scdma、wcdma 三張牌照。隨著 運營商對 3g 的投入不斷增加，其業(yè)務成熟度及信號服務質量也將會 不斷增強。 在傳統(tǒng)的有線模式下，滿足移動式服務車、

2、大客戶上門服務、 臨時 atm 點等環(huán)境存在通訊的困難，主要是無長期固定地點且業(yè)務 量也小，租賃專線的成本過高，存在著高速無線的需求，而 3g 是目 前最有可能滿足這種應用的技術。 本項目主要研究適用于的 3g 解決方案。 、3g3g 數(shù)據(jù)業(yè)務數(shù)據(jù)業(yè)務介紹介紹 3g 最大的變化，只是在最后一公里無線連接速率上的提升，以 及在無線信號部分安全性的增強。后端的有線網(wǎng)，除進行必要的提 速之外，其它均無實質性的變化。3g 用于企業(yè)數(shù)據(jù)通訊業(yè)務可以歸 結為兩種：一種是普通互聯(lián)網(wǎng)業(yè)務；一種是無線 vpdn 業(yè)務（或無線 ddn） 。相對應就有兩種解決方案： （1自建 vpn） （2.運營商 vpdn） 第

3、一種，通過互聯(lián)網(wǎng)自建 vpn 的方案。網(wǎng)點路由器通過 3g 撥到普通互聯(lián)網(wǎng)，總部出口需要準備一根到互聯(lián)網(wǎng)線路，且 分配公有地址。網(wǎng)點和總部的路由器之間直接建立 ipsec vpn 加密隧道。由于有些運營商為 3g 分配私有地址，運營 商內(nèi)部要經(jīng)過 nat，所有需要采用 ipsec vpn 穿越 nat 的機 制。 第二種，利用運營商提供的 vpdn 方案。網(wǎng)點路由器通過 3g 撥號至運營商的 lac 設備，然后 lac 設備通過專線和總部出 口的路由器（即 lns）建立 l2tp vpn 隧道。然后網(wǎng)點路由 器再與總部路由器，在 l2tp 基礎之上建立 ipsec vpn 加密 隧道。運營商可

4、以通過策略使網(wǎng)點 3g sim 卡，只能撥到總 部內(nèi)網(wǎng)，而不能到互聯(lián)網(wǎng)，這樣即保證安全又可以防止員工 非法使用。運營商和總部之間可以采用專線、城域網(wǎng) vpn 等 線路，針對銀行一般采用 sdh/mstp 等專線更加安全。 兩種方案優(yōu)劣勢的分析對比如下： 第一種方案網(wǎng)點 3g 和總部出口鏈路都連接普通互聯(lián)網(wǎng)，安 全性較差，成本較低，網(wǎng)點的 3g 和總部的鏈路不一定是同 一家運營商組網(wǎng)靈活性好。 第二種方案網(wǎng)點的 3g 只能撥到總部，總部采用專線，兩端 都和互聯(lián)網(wǎng)隔離，安全性高，成本較高，網(wǎng)點的 3g 必須和 總部的專線隸屬同一家運營商靈活性較差。 我們主要考慮 3g 在生產(chǎn)環(huán)境，如臨時網(wǎng)點、離行

5、 atm、大客戶 上門服務、柜面網(wǎng)點備份等，對安全性要求高，所以本文主要介紹 3g vpdn 設計方案及測試方案。 、3g3g 應用設計方案應用設計方案 vpdnvpdn 解決方案解決方案 如上圖所示，網(wǎng)點采用路由器+3g modem，運營商需要有 lac 及 配套的 aaa 服務器。總部需要準備一臺路由器（lns） ，一條專線， 一臺 aaa 服務器。lac 主要負責對 3g 用戶的認證（并在認證的過程 中區(qū)分是普通互聯(lián)網(wǎng)用戶還是企業(yè)用戶） ，及與該用戶所屬企業(yè)的 lns 建立隧道的作用。網(wǎng)點路由器的 ip 地址，可由運營商動態(tài)分配， 也可由 lns 分配（注：中國移動的 3g，用戶不能隨意

6、分配 ip 地址， 有可能存在和其它移動用戶沖突的可能，因此用戶內(nèi)部自行規(guī)劃分 配的地址段必須獲得移動的確認） ，建議采用靜態(tài) ip 地址?？偛柯?由器的 ip 地址，必須是靜態(tài)配置。 運營商 aaa 服務器中配置用戶 imsi 信息（imsi 是在運營商網(wǎng) 絡中唯一識別一個移動用戶的號碼，由 15 位數(shù)字組成，存于 sim 卡 中） 、終端用戶的賬號和密碼、對應 lns 地址、vpdn 隧道屬性?？?部 aaa 服務器主要存放網(wǎng)點路由器建立連接時所需要的用戶名和密 碼。用戶名的格式為 xxxx.com.cn，其中前面的字符串可以由用 戶端自行定義，后面的字符串即域名，必須由運營商分配。運營

7、商 aaa 服務器通過域名，確認該用戶的權限。運營商 aaa 服務器與 總部 aaa 服務器的用戶名和密碼必須一致。 工作過程如下： 1) 網(wǎng)點路由器 3gmodem 通過無線信號找到運營商基站并 注冊連接（對 sim 卡認證、并協(xié)商雙方加密密鑰） 。 2) 路由器啟動 ppp 撥號向 lac 發(fā)出認證請求。 3) lac 把認證請求轉至運營商 lac aaa 服務器。 4) aaa 服務器將會回復認證結果并返回該用戶所屬的 lns 地址、vpdn 隧道屬性等信息。 5) lac 向返回的 lns 地址發(fā)出 l2tp 隧道建立請求，隧道建 立成功（請求建立隧道的認證可選） 。 6) lns 對

8、網(wǎng)點路由器的用戶名和密碼進行重新認證（lns 對 網(wǎng)點路由器的重認證可選） 。 7) l2tp 隧道建立完成。網(wǎng)點路由器對應的撥號接口 up。 8) 如果網(wǎng)點發(fā)起了能夠觸發(fā) ipsec vpn 的流量，則 ipsec vpn 隧道建立過程啟動。網(wǎng)點路由器與 lns 發(fā)起 ipsec vpn 連接請求。 安全措施，主要有以下幾個方面： 1) 無線信號：網(wǎng)點路由器 3g modem 通過信號找到基站后，有 一個注冊的過程，在這個過程中運營商側需要對接入的 3g sim 卡身份通過密鑰機制進行確認（這個過程也稱為鑒權） 。 在身份確認的過程中，雙方還會協(xié)商用于通訊加密的密鑰， 并在通信過程中采用該密

9、鑰對數(shù)據(jù)和話音進行加密，以避免 被監(jiān)聽。同時在對數(shù)據(jù)加密完成之后，還會附加上校驗碼， 對方在收到之后會重新計算和核對校驗碼是否正確，以此判 斷信息是否在無線傳輸過程中被篡改。 2) 訪問控制：運營商 lac 設備綁定賬號和 sim 卡中的 imsi 標 識號，保證賬號不會被其它 3g 用戶盜用（即用戶拿其它的 3g 卡，用賬號進行撥號，運營商側可以把賬號和 sim 卡的唯 一標識碼進行綁定，避免被盜用） 。lac 設備可以對不同的用 戶加載網(wǎng)絡訪問權限，當發(fā)現(xiàn)是的賬號時，就只允許該用戶 訪問 vpdn，而不能訪問互聯(lián)網(wǎng)； 3) 數(shù)據(jù)加密：3g 的加密，只針對無線的部分，從 lac 到 lns

10、之 間雖然有 l2tp 隧道，但是該隧道并不加密，還是明文傳送， 而從 lac 到專線網(wǎng)中間還有可能經(jīng)過不可信任的網(wǎng)絡，所以 在網(wǎng)點和總部路由器之間，采用 ipsec vpn 實現(xiàn)端到端的加 密。ipsec vpn 同樣采用密鑰的機制，提供身份認證、數(shù)據(jù) 保密和完整性的服務； 安全措施的詳細說明，請看后續(xù)章節(jié)。 無線安全措施無線安全措施 2g 的 cdma 和 gsm 時，就有針對終端入網(wǎng)時身份合法性確認的鑒權 功能，和利用內(nèi)置在 sim 卡中的密鑰對無線信號進行加密的功能。 3g 在 2g 的基礎上進行延續(xù)并做了安全性增強。 鑒權簡介鑒權簡介 鑒權就是指身份認證，是對請求進入 3g 網(wǎng)絡的終

11、端進 行身份合法性的確認，3g 終端也會對運營商網(wǎng)絡的身份進 行確認。 用戶和運營商網(wǎng)絡之間進行雙向認證&在互相確認對方 身份的基礎上生成數(shù)據(jù)加密密鑰 ck, 和數(shù)據(jù)完整性密鑰 ik,為 下一步的數(shù)據(jù)傳輸做準備。 原理如下： ms 即指用戶，sn/vlr、he/hlr 可以簡單理解為運營商中的兩種不同的設備， 下面還會提到 usim 也可以簡單理解為是用戶側。 用戶 sim 卡和運營商側保存著一個相同的密鑰 k。在 運營商內(nèi)部會為每個用戶生成多組的認證向量 av（randxresckikautn）： 序列號 1. randxresckikautn 序列號 2. randxresckikautn

12、 序列號 3. randxresckikautn . autn 表示認證令牌（即一組字符串，有三種字符串組成， sqn+ak、amf、消息認證碼，其中的 sqn 是指 av 組序列號, ak 是密鑰）；res 和 xres 分別表示用戶的應答信息和運營 商的應答信息；rand 表示生成的隨機數(shù)；ck 和 ik 分別表 示數(shù)據(jù)保密密鑰和數(shù)據(jù)完整性密鑰。大致過程如下： 運營商收到用戶的接入請求時從一組認證向量中選擇 一組 av（i），將 av（i）中的 rand（i）和 autn（i）發(fā) 送給用戶的 usim 進行認證。用戶收到 rand 和 autn 后計算 出消息認證碼 xmac（見下圖），并

13、與 autn 中包含的 mac 相比較，如果二者不同，usim 將向 vlrsgsn 發(fā)送拒絕認 證消息。這個過程其實是用戶在認證運營商網(wǎng)絡 的合法性。 f1、f2、f3、f4、f5 是一種加解密算法，該算法由運營商掌握不對外公開， 在用戶辦理入網(wǎng)時，由運營商把算法及密鑰 k 存入 sim 卡中。 如果二者相同，usim 計算應答信息 xres（i），發(fā)送 給 sn（運營商側的設備）。sn 在收到應答信息后，比較 xres（i）和 res（i）的值。如果相等則通過認證，否則 不建立連接。這樣就完成了雙向的鑒權。 加密簡介加密簡介 在鑒權通過的基礎上，msusim 根據(jù) rand（i）和它在入

14、網(wǎng)時的共享密鑰 ki 來計算數(shù)據(jù)保密密鑰 cki 和數(shù)據(jù)完整性 密鑰 ik（i）。sn 根據(jù)發(fā)送的 av 選擇對應的 ck 和 ik。 在 3g 系統(tǒng)中，網(wǎng)絡接入部分的數(shù)據(jù)保密性主要提供 4 個安 全特性：加密算法協(xié)商、加密密鑰協(xié)商、用戶數(shù)據(jù)加密和 信令數(shù)據(jù)加密。其中加密密鑰協(xié)商在鑒權過程中完成。加 密算法協(xié)商由用戶與運營商網(wǎng)間的安全模式協(xié)商機制完成。 在無線接入鏈路上仍然采用分組密碼流對原始數(shù)據(jù)加密， 采用了 f8 算法，如下圖所示。它有 5 個輸入：count 是 密鑰序列號；bearer 是鏈路身份指示；direction 是 上下行鏈路指示；length 是密碼流長度指示；ck 是長 度位 128 bit 的加密密鑰。 2g 加密密鑰為 64 位，3g 為 128 位；2g 加密采用預先共享的密鑰， 3g 通過協(xié)商算出密鑰，所以 3g 的安全性更強。 完整性簡介完整性簡介 鑒權過程中，雙方不僅協(xié)商了用于加密密鑰 ck，還協(xié)商了 數(shù)據(jù)完整性密鑰 ik。完整性保證，工作原理如下： 發(fā)送方把要傳送的數(shù)據(jù)用完整性密鑰 ik 經(jīng)過 f9 算法 產(chǎn)生消息認證碼 mac，將其附加在發(fā)出的消息后面。在接 收方把收到的消息用同樣的方法計算得到 xmac。接收方把 收到的 mac 與 xmac 相比較，如二者