CDMA_VPDN技术方案

案例单位 移动办公之 CDMA VPDN 技术方案 中国电信股份有限公司江苏分公司 2010 年 04 月 08 日 案例单位 CDMA VPDN 技术方案 第 2 页 1 定义和缩写 AAA Authentication/Authorization/Accounting 认证、授权和计费服务 ADSL Asymetric Digital Subscriber Loop 非对称数字用户环路 ATM Automatic Teller Machine 自动柜员机 BSC Base Station Controller 基站控制器 BTS Base Transceiver Subsystem 移动基站 CDMA Code-Division Multiple Access 码分多址 EVDO Evolution-Data Optimized DDN Digital Data Network 数字数据网 IPSec Internet Protocol Security IP 安全协议 ISDN Integrated Service Digital Network 综合业务数字网 MS Mobile Station 移动终端（手机） L2TP Layer Two Tunnelling Protocol 二层隧道协议 LNS L2TP Network Server L2TP 网络服务器 PCF Packet Control Function 分组控制功能子系统 PDSN Packet Data Serving Node 数据服务节点 PPP Point to Point Protocol 点对点协议 PSTN Public Switched Telephone Network 公共交换电话网络 VPDN Virtual Private Dial-Network 虚拟拨号专用网 2 中国电信 CDMA 数据业务及应用 2.1 CDMA 行业应用概述 中国电信江苏公司是国际著名的通信企业，一直以来，为国内外众多证券客户提供优质的通信与综合信息服务，凭借着多年来积累的网络优势和技术优势，结合多年服务于证券业用户的丰富经验，为客户提供 VPDN 解决方案，目前已经在众多领域得到广泛应用。 VPDN 是为各企事业单位提供无线接入的专用网络。 VPDN 为用户提供了一个移动虚拟企业网平台，企业或集团用户通过 VPDN 系统与企业专网数据系统进行数据交互，只有经过合法认证的用户才能够与专网系统进行 数据通信。 CDMA VPDN典型的实现方案图 2.1 所示。 案例单位 CDMA VPDN 技术方案 第 3 页 图 2.1 CDMA VPDN 业务意图 用户通过移动终端接入 CDMA 网络后，先后经过 CDMA 网络侧和用户网络侧的AAA 认证，然后接入用户的内部网，从而解决企业内部的远程通信问题，这种组网方式既可以如企业内部上网一样安全快捷，又同时可以兼备移动网络的方便性和移动性。 中国电信 CDMA 网络在技术上完全支持 VPDN 全国漫游，且用户漫游使用时不用做任何其它设置。 目前 CDMA VPDN 的主要行业应用有： 银行业应用：如无线 ATM 机、移动 POS 机等，为关键交易提供数据传输的保证。 移动办公：企业分散点通过 VPDN 通讯模块与笔记本计算机连接，实现无线连接企业内部网络的应用，实施简单，办公可移动。 工业控制等分散数据采集：跨区的大型企业工业数据采集及控制系统，如石油天然汽、石油管道阀门、罐等参数的采集；环保、气象等相关分散点数据采集监控应用；供电及电力系统远程抄表及数据采集控制等； 分散地点的电子认证：关键地点、位置的集中门禁控制系统；以及其它分散地点集中认证有关的认证服务等。 其它基于分散点 数据采集的系统：其它涉及商务，连锁的应用数据采集，比如连锁商店销售，配货信息的采集和调度；物流公司相关业务的数据采集；地铁、公交站点票务支付等。 2.2 CDMA 的应用与优势 CDMA 应用于移动办公领域，优势是十分明显的，主要体现在： 网络覆盖范围广：目前 CDMA 无线广域网的覆盖范围已遍布全国，可满足移动终端在全国部署的要求，能够满足 案例单位 办公系统对覆盖范围的要求。 数据传输速率高：目前的 CDMA 已经升级为 EVDO 网络，是第 3 代移动通信技术，理论传输速率为 3.1Mps,为中国最大 3G 数据业务网络；实际数 据传输速率可达 2Mbps 左右，实测结果大幅领先竞争对手。目前每个移动 OA 办公终端每次案例单位 CDMA VPDN 技术方案 第 4 页 的数据传输量在几 K 至 100Kbps 之间， EVDO 网络可完全能满足 OA 系统数据传输速率（ 10Kbps）的需求。 安全、专有的应用网络：应用先进网络加密手段，对数据传输任何一个环节都进行加密处理，提供了高级别的安全性。 项目工期短、网络结构简单、建设成本合理、维护成本低廉，网络具有良好的拓展能力，能够根据将来需求平滑快速升级，可以根据项目需要在应用上适当拓展。 3 案例单位 移动办公项目技术方案建议 根据 案例单位 的业务 需求，结合中国电信江苏公司在 3G 数据通信领域的业务提供能力，我们提出了 案例单位 移动 VPDN 解决方案。 3.1 系统设计原则 由于 案例单位 对办公业务的稳定性和安全性非常高，因此在方案设计中遵循以下几个重要的原则： 统一规划，统一部署，统一设计，分布实施。 兼顾先进性、成熟性、可靠性、开放性与安全性的需要，建设高性能、高可靠、高可用的无线网络。 保证系统具有较高的灵活性和扩展性，充分考虑系统的长远发展和建设。 3.2 CDMA VPDN 方案设计 案例单位 CDMA VPDN 技术方案 第 5 页 图 3.3 基于 CDMA VPDN 技术的 案例单位 移动 OA 方案网络拓扑 首先中国电信江苏公司将为 案例单位 开通 CDMA VPDN 域名，建议名称为jsht.133vpdn.sh（ 案例单位 ）。 案例单位 中心需要新增一台 L2TP VPN 接入设备LNS， LNS 需要通过 IP 专线接入中国电信江苏公司的 CDMA 数据网中，由中国电信江苏公司配置并开通一个 案例单位 专用的 VPN。此外考虑到银行的机房环境及技术维护力量情况，为增强专网业务的可靠性，新增 的 L2TP VPN 接入设备 LNS也可由电信代维并集中放置在电信机房。在实际的使用过程中，中国电信将根据CDMA 数据专网 案例单位 （ LNS） BSC/PCF VPDN 隧道 VPDN 隧道 BTS BTS OA 应用服务器 电信 路由器 电信 AAA 服务器 案例单位 AAA 服务器 2M 数据专线 本地 BSC/PCF 案 例 单 位主机 PDSN 案例单位 数据中心 CDMA 手机 CDMA 手机 案例单位 CDMA VPDN 技术方案 第 6 页 案例单位 业务需求分配一批 CDMA UIM 卡（ CDMA 用户卡）。 案例单位 各分支机构用户的 CDMA 手机发起 PPP 呼叫（接入号码 #777），数据传递的流程见图 3.4： 图 3.4 CDMA VPDN 通信流程 从图中可以看出，终端由 CDMA 无线方式接入中国电信 CDMA 网，连接到 PDSN 设备，由中国电信的 AAA 认证服务器提供接入认证，判断卡号和 VPN 的对应关系是否正确。通过验证后， PDSN 将与 案例单位 的 LNS 之间建立起专用隧道，将用户名和密码交由 案例单位 的 AAA 认证服务器验证用户的合法性，并分配私网 IP 地址，传输的数据流通过 L2TP 隧道到达企业网，就像用户直接通过专线连接到企业网一样。 3.3 网络安全考虑 由于 案例单位 对安全的需要很高，在设计时候充分考虑二层接入为主要连接方式（非必要时不采用三层连接）。 分支侧安全 性 在分支侧使用 CDMA 手机直接拨号连接路由器，保证了二层连接。不存在三层路由信息泄露。 中心侧安全性 LNS 路由器需要同时与 CDMA 数据网（外网）和 案例单位 内网连接，因此安全性需要着重考虑。可根据图 3.5 的建议设置 LNS 路由器以及拨入用户的安全性。 信道建立 PDSN LNS/ ROUTER IP 专线 电信 AAA 案例单位AAA 案例单位内网 R-P 接口建立 (1) PPP LCP 阶段 (2) PPP 认证请求 (3) 认证请求 (4) 返回 LNS IP 地址和参数 (5) 建立 VPDN 隧道 (6)LNS 可由电信托管 用户认证 (9) PPP 认证和鉴权 (7) IPCP 地址协商和分配 (9) PPP 通道建立 (10) BSC/PCF C 网手机 案例单位 CDMA VPDN 技术方案 第 7 页 图 3.5 中心侧安全性建议 3.4 CDMA VPDN 项目安全性分析 CDMA 采用脱胎于军用技术的无线扩频技术，用户端到无线网络接入设备间的无线空中通道目前不可能被破解；无线分组设备到用户终端设备间，采用 隧道穿过专线接入，可以有效保证整个系统的安全。要保护整体系统的安全，首先要保证网络本身的安全。必须尽可能地屏蔽外部非法访问及非法数据，对从外部网络连入的终端进行严格的用户认证及控制。针对 CDMA 的各环节，提供了 5 级业务安全保障，从而充分保证网络中数据的安全。 1第一级安全保障： CDMA 网络本身的安全性 CDMA 本来就是起源军事保密技术，在战争期间广泛应用于军事领域，具有抗干扰、安全通信、保密性好的特性。进行移动手机信号的窃听一般使用以下三种方法。 首先，需要捕捉到通信信号。在空间中充满了各种各样的无线电 波，用户手机信号就混杂在其中。由于 CDMA 系统采用扩频技术，经过扩频以后的有用信号的频谱被大大地展宽了，用户信号隐蔽在互不相关的信号中，要想捕捉到这一有用信号非常困难。其次，窃听器必须锁定手机用户通信的信号，继而才能分析和破解信息。而 CDMA 采用快速切换功率控制技术，即便是窃听设备捕捉到了用户手机信号，也不能锁定快速功率切换下的有用信号。第三，需要破解用户信息编码。而 CDMA 采用伪随机码技术，用长达 42 位的伪随机码来标识区分用户，每次通话都有 4.4 万亿种可能的排列，窃听器很难破译出 CDMA 的编码。所 以 CDMA 技术本身就很安全。 2第二级安全保障： CDMA 网络侧的 AAA 认证 CDMA 网络侧的 AAA 认证过程是对用户的域名进行鉴权认证，网中数据网的CDMA （外网） LNS 电信 Router 静态路由，缺省路由 静态路由 仅允许 LNS相连接口或 Loopback 接口的路由信息在外网中传播 可实施 ACL 控制 L2TP 地址池采用银行内网地址，由银行 AAA 统一认证后分配 ACL：对外网仅允许 L2TP协议进入 ，禁止其它协议 仅允许 AAA 或特定的协议到达LNS ACL：仅允许 LNS地址池中的用户通过 防火墙 案例单位 内网 案例单位 CDMA VPDN 技术方案 第 8 页 用户（ VPDN 成员）是以 usernamexxx.133vpdn.sh 形式登录的 ,与互联网是完全隔离的。 CDMA 网络侧的 AAA 服务器对登录用户的域名和该用户的 UIM 卡进行绑定审核验证。验证通过后，方可接入电信运营商 CDMA 网络。 3第三级安全保障： CDMA 网络和用户网络之间的 VPN 链接 CDMA 网络和用户网络之间可以采用专线链接，并将 L2TP 和 IPSec 结合起来用：用 L2TP 作为隧道协议，用户可以选择端到端的 IPSec 协议来进一步保护数据，安全性更高。 4第四级安全保障：用户网络侧的安全防火墙（ FW） 防火墙技术是目前用来实现网络安全措施的一种主要手段，主要是用来拒绝非法用户的访问，阻止非法用户存取敏感数据，同时允许合法用户顺利访问网络资源。依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、 TCP/UDP 源端口号、 TCP/UDP 目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过，其核心是安 全