CDMA_VPDN技術方案.doc

案例單位cdma vpdn技術方案案例單位移動辦公之cdma vpdn技術方案中國電信股份有限公司江蘇分公司2010年04月08日1 定義和縮寫aaaauthentication/authorization/accounting認證、授權和計費服務adslasymetric digital subscriber loop非對稱數字用戶環(huán)路atmautomatic teller machine自動柜員機bscbase station controller基站控制器btsbase transceiver subsystem移動基站cdmacode-division multiple access碼分多址evdo evolution-data optimized ddndigital data network數字數據網ipsecinternet protocol security ip安全協議isdnintegrated service digital network綜合業(yè)務數字網msmobile station移動終端（手機）l2tplayer two tunnelling protocol二層隧道協議lnsl2tp network serverl2tp網絡服務器pcfpacket control function分組控制功能子系統(tǒng)pdsnpacket data serving node數據服務節(jié)點ppp point to point protocol點對點協議pstnpublic switched telephone network公共交換電話網絡vpdnvirtual private dial-network虛擬撥號專用網2 中國電信cdma數據業(yè)務及應用2.1 cdma行業(yè)應用概述中國電信江蘇公司是國際著名的通信企業(yè)，一直以來，為國內外眾多證券客戶提供優(yōu)質的通信與綜合信息服務，憑借著多年來積累的網絡優(yōu)勢和技術優(yōu)勢，結合多年服務于證券業(yè)用戶的豐富經驗，為客戶提供vpdn解決方案，目前已經在眾多領域得到廣泛應用。vpdn是為各企事業(yè)單位提供無線接入的專用網絡。vpdn為用戶提供了一個移動虛擬企業(yè)網平臺，企業(yè)或集團用戶通過vpdn系統(tǒng)與企業(yè)專網數據系統(tǒng)進行數據交互，只有經過合法認證的用戶才能夠與專網系統(tǒng)進行數據通信。cdma vpdn典型的實現方案圖2.1所示。圖2.1 cdma vpdn業(yè)務意圖用戶通過移動終端接入cdma網絡后，先后經過cdma網絡側和用戶網絡側的aaa認證，然后接入用戶的內部網，從而解決企業(yè)內部的遠程通信問題，這種組網方式既可以如企業(yè)內部上網一樣安全快捷，又同時可以兼?zhèn)湟苿泳W絡的方便性和移動性。中國電信cdma網絡在技術上完全支持vpdn全國漫游，且用戶漫游使用時不用做任何其它設置。目前cdma vpdn的主要行業(yè)應用有：l銀行業(yè)應用：如無線atm機、移動pos機等，為關鍵交易提供數據傳輸的保證。l移動辦公：企業(yè)分散點通過vpdn通訊模塊與筆記本計算機連接，實現無線連接企業(yè)內部網絡的應用，實施簡單，辦公可移動。l工業(yè)控制等分散數據采集：跨區(qū)的大型企業(yè)工業(yè)數據采集及控制系統(tǒng)，如石油天然汽、石油管道閥門、罐等參數的采集；環(huán)保、氣象等相關分散點數據采集監(jiān)控應用；供電及電力系統(tǒng)遠程抄表及數據采集控制等；l分散地點的電子認證：關鍵地點、位置的集中門禁控制系統(tǒng)；以及其它分散地點集中認證有關的認證服務等。l其它基于分散點數據采集的系統(tǒng)：其它涉及商務，連鎖的應用數據采集，比如連鎖商店銷售，配貨信息的采集和調度；物流公司相關業(yè)務的數據采集；地鐵、公交站點票務支付等。2.2 cdma的應用與優(yōu)勢cdma應用于移動辦公領域，優(yōu)勢是十分明顯的，主要體現在：l網絡覆蓋范圍廣：目前cdma無線廣域網的覆蓋范圍已遍布全國，可滿足移動終端在全國部署的要求，能夠滿足案例單位辦公系統(tǒng)對覆蓋范圍的要求。l數據傳輸速率高：目前的cdma已經升級為evdo網絡，是第3代移動通信技術，理論傳輸速率為3.1mps,為中國最大3g數據業(yè)務網絡；實際數據傳輸速率可達2mbps左右，實測結果大幅領先競爭對手。目前每個移動oa辦公終端每次的數據傳輸量在幾k至100kbps之間，evdo網絡可完全能滿足oa系統(tǒng)數據傳輸速率（10kbps）的需求。l安全、專有的應用網絡：應用先進網絡加密手段，對數據傳輸任何一個環(huán)節(jié)都進行加密處理，提供了高級別的安全性。l項目工期短、網絡結構簡單、建設成本合理、維護成本低廉，網絡具有良好的拓展能力，能夠根據將來需求平滑快速升級，可以根據項目需要在應用上適當拓展。 3 案例單位移動辦公項目技術方案建議根據案例單位的業(yè)務需求，結合中國電信江蘇公司在3g數據通信領域的業(yè)務提供能力，我們提出了案例單位移動vpdn解決方案。3.1 系統(tǒng)設計原則由于案例單位對辦公業(yè)務的穩(wěn)定性和安全性非常高，因此在方案設計中遵循以下幾個重要的原則：l統(tǒng)一規(guī)劃，統(tǒng)一部署，統(tǒng)一設計，分布實施。l兼顧先進性、成熟性、可靠性、開放性與安全性的需要，建設高性能、高可靠、高可用的無線網絡。l保證系統(tǒng)具有較高的靈活性和擴展性，充分考慮系統(tǒng)的長遠發(fā)展和建設。3.2 cdma vpdn方案設計案例單位aaa服務器案例單位主機oa應用服務器案例單位數據中心案例單位（lns）2m數據專線電信路由器電信aaa服務器vpdn隧道cdma數據專網vpdn隧道pdsnbsc/pcf本地bsc/pcfbtsbtscdma手機cdma手機圖3.3 基于cdma vpdn技術的案例單位移動oa方案網絡拓撲首先中國電信江蘇公司將為案例單位開通cdma vpdn域名，建議名稱為jsht.133vpdn.sh（案例單位）。案例單位中心需要新增一臺l2tp vpn接入設備lns，lns需要通過ip專線接入中國電信江蘇公司的cdma數據網中，由中國電信江蘇公司配置并開通一個案例單位專用的vpn。此外考慮到銀行的機房環(huán)境及技術維護力量情況，為增強專網業(yè)務的可靠性，新增的l2tp vpn接入設備lns也可由電信代維并集中放置在電信機房。在實際的使用過程中，中國電信將根據案例單位業(yè)務需求分配一批cdma uim卡（cdma用戶卡）。案例單位各分支機構用戶的cdma手機發(fā)起ppp呼叫（接入號碼#777），數據傳遞的流程見圖3.4：案例單位aaa返回lns ip地址和參數(5)電信aaa案例單位內網lns/routerbsc/pcfc網手機用戶認證 (9)認證請求(4)ip專線pdsn信道建立r-p接口建立(1)建立vpdn隧道(6)lns可由電信托管ppp認證請求(3)ppp lcp階段(2)ppp 認證和鑒權(7)ipcp地址協商和分配(9)ppp通道建立(10)圖3.4 cdma vpdn通信流程從圖中可以看出，終端由cdma無線方式接入中國電信cdma網，連接到pdsn設備，由中國電信的aaa認證服務器提供接入認證，判斷卡號和vpn的對應關系是否正確。通過驗證后，pdsn將與案例單位的lns之間建立起專用隧道，將用戶名和密碼交由案例單位的aaa認證服務器驗證用戶的合法性，并分配私網ip地址，傳輸的數據流通過l2tp隧道到達企業(yè)網，就像用戶直接通過專線連接到企業(yè)網一樣。 3.3 網絡安全考慮由于案例單位對安全的需要很高，在設計時候充分考慮二層接入為主要連接方式（非必要時不采用三層連接）。l分支側安全性在分支側使用cdma 手機直接撥號連接路由器，保證了二層連接。不存在三層路由信息泄露。l中心側安全性lns路由器需要同時與cdma數據網（外網）和案例單位內網連接，因此安全性需要著重考慮?？筛鶕D3.5的建議設置lns路由器以及撥入用戶的安全性。l 僅允許aaa或特定的協議到達lnsl acl：僅允許lns地址池中的用戶通過l l2tp地址池采用銀行內網地址，由銀行aaa統(tǒng)一認證后分配l acl：對外網僅允許l2tp協議進入，禁止其它協議l 僅允許lns相連接口或loopback接口的路由信息在外網中傳播l 可實施acl控制靜態(tài)路由，缺省路由靜態(tài)路由案例單位內網cdma（外網）防火墻lns電信router圖3.5 中心側安全性建議3.4 cdma vpdn項目安全性分析cdma采用脫胎于軍用技術的無線擴頻技術，用戶端到無線網絡接入設備間的無線空中通道目前不可能被破解；無線分組設備到用戶終端設備間，采用隧道穿過專線接入，可以有效保證整個系統(tǒng)的安全。要保護整體系統(tǒng)的安全，首先要保證網絡本身的安全。必須盡可能地屏蔽外部非法訪問及非法數據，對從外部網絡連入的終端進行嚴格的用戶認證及控制。針對cdma的各環(huán)節(jié)，提供了5 級業(yè)務安全保障，從而充分保證網絡中數據的安全。1第一級安全保障：cdma網絡本身的安全性cdma本來就是起源軍事保密技術，在戰(zhàn)爭期間廣泛應用于軍事領域，具有抗干擾、安全通信、保密性好的特性。進行移動手機信號的竊聽一般使用以下三種方法。首先，需要捕捉到通信信號。在空間中充滿了各種各樣的無線電波，用戶手機信號就混雜在其中。由于cdma系統(tǒng)采用擴頻技術，經過擴頻以后的有用信號的頻譜被大大地展寬了，用戶信號隱蔽在互不相關的信號中，要想捕捉到這一有用信號非常困難。其次，竊聽器必須鎖定手機用戶通信的信號，繼而才能分析和破解信息。而cdma采用快速切換功率控制技術，即便是竊聽設備捕捉到了用戶手機信號，也不能鎖定快速功率切換下的有用信號。第三，需要破解用戶信息編碼。而cdma 采用偽隨機碼技術，用長達42 位的偽隨機碼來標識區(qū)分用戶，每次通話都有4.4 萬億種可能的排列，竊聽器很難破譯出cdma 的編碼。所以cdma 技術本身就很安全。2第二級安全保障：cdma網絡側的aaa認證cdma網絡側的aaa 認證過程是對用戶的域名進行鑒權認證，網中數據網的用戶（vpdn 成員）是以usernamexxx.133vpdn.sh 形式登錄的,與互聯網是完全隔離的。cdma網絡側的aaa服務器對登錄用戶的域名和該用戶的uim卡進行綁定審核驗證。驗證通過后，方可接入電信運營商cdma 網絡。3第三級安全保障：cdma網絡和用戶網絡之間的vpn 鏈接cdma網絡和用戶網絡之間可以采用專線鏈接，并將l2tp 和ipsec 結合起來用：用l2tp 作為隧道協議，用戶可以選擇端到端的ipsec協議來進一步保護數據，安全性更高。4第四級安全保障：用戶網絡側的安全防火墻（fw）防火墻技術是目前用來實現網絡安全措施的一種主要手段，主要是用來拒絕非法用戶的訪問，阻止非法用戶存取敏感數據，同時允許合法用戶順利訪問網絡資源。依據系統(tǒng)內事先設定的過濾邏輯，檢查數據流中每個數據包后，根據數據包的源地址、目的地址、tcp/udp 源端口號、tcp/udp 目的端口號及數據包頭中的各種標志位等因素來確定是否允許數據包通過，其核心是安全策略即過濾算法的設計。用戶