锐捷3G无线VPDN解决方案_第1页
锐捷3G无线VPDN解决方案_第2页
锐捷3G无线VPDN解决方案_第3页
锐捷3G无线VPDN解决方案_第4页
锐捷3G无线VPDN解决方案_第5页
已阅读5页,还剩9页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、3g 无线 vpdn 解决方案 第 1 页 共 14 页 3g3g 无线无线 vpdnvpdn 解决方案解决方案 锐捷网络锐捷网络 3g 无线 vpdn 解决方案 第 2 页 共 14 页 目目录录 、项目背景概述、项目背景概述.3 、3g3g 数据业务介绍数据业务介绍.3 、3g3g 应用设计方案应用设计方案.6 vpdn 解决方案.6 无线安全措施.9 ipsec vpn 安全措施 .13 、测试方案、测试方案.14 3g 无线 vpdn 解决方案 第 3 页 共 14 页 、项目背景概述、项目背景概述 2009 年月份国家工业与信息化部正式向移动、联通、电信三 家运营商分别颁发了 cdm

2、a2000、td-scdma、wcdma 三张牌照。随着 运营商对 3g 的投入不断增加,其业务成熟度及信号服务质量也将会 不断增强。 在传统的有线模式下,满足移动式服务车、大客户上门服务、 临时 atm 点等环境存在通讯的困难,主要是无长期固定地点且业务 量也小,租赁专线的成本过高,存在着高速无线的需求,而 3g 是目 前最有可能满足这种应用的技术。 本项目主要研究适用于的 3g 解决方案。 、3g3g 数据业务数据业务介绍介绍 3g 最大的变化,只是在最后一公里无线连接速率上的提升,以 及在无线信号部分安全性的增强。后端的有线网,除进行必要的提 速之外,其它均无实质性的变化。3g 用于企业

3、数据通讯业务可以归 结为两种:一种是普通互联网业务;一种是无线 vpdn 业务(或无线 ddn) 。相对应就有两种解决方案: 3g 无线 vpdn 解决方案 第 4 页 共 14 页 (1自建 vpn) (2.运营商 vpdn) 第一种,通过互联网自建 vpn 的方案。网点路由器通过 3g 拨到普通互联网,总部出口需要准备一根到互联网线路,且 分配公有地址。网点和总部的路由器之间直接建立 ipsec vpn 加密隧道。由于有些运营商为 3g 分配私有地址,运营 商内部要经过 nat,所有需要采用 ipsec vpn 穿越 nat 的机 制。 第二种,利用运营商提供的 vpdn 方案。网点路由器

4、通过 3g 拨号至运营商的 lac 设备,然后 lac 设备通过专线和总部出 口的路由器(即 lns)建立 l2tp vpn 隧道。然后网点路由 器再与总部路由器,在 l2tp 基础之上建立 ipsec vpn 加密 隧道。运营商可以通过策略使网点 3g sim 卡,只能拨到总 3g 无线 vpdn 解决方案 第 5 页 共 14 页 部内网,而不能到互联网,这样即保证安全又可以防止员工 非法使用。运营商和总部之间可以采用专线、城域网 vpn 等 线路,针对银行一般采用 sdh/mstp 等专线更加安全。 两种方案优劣势的分析对比如下: 第一种方案网点 3g 和总部出口链路都连接普通互联网,安

5、 全性较差,成本较低,网点的 3g 和总部的链路不一定是同 一家运营商组网灵活性好。 第二种方案网点的 3g 只能拨到总部,总部采用专线,两端 都和互联网隔离,安全性高,成本较高,网点的 3g 必须和 总部的专线隶属同一家运营商灵活性较差。 我们主要考虑 3g 在生产环境,如临时网点、离行 atm、大客户 上门服务、柜面网点备份等,对安全性要求高,所以本文主要介绍 3g vpdn 设计方案及测试方案。 3g 无线 vpdn 解决方案 第 6 页 共 14 页 、3g3g 应用设计方案应用设计方案 vpdnvpdn 解决方案解决方案 如上图所示,网点采用路由器+3g modem,运营商需要有 l

6、ac 及 配套的 aaa 服务器。总部需要准备一台路由器(lns) ,一条专线, 一台 aaa 服务器。lac 主要负责对 3g 用户的认证(并在认证的过程 中区分是普通互联网用户还是企业用户) ,及与该用户所属企业的 lns 建立隧道的作用。网点路由器的 ip 地址,可由运营商动态分配, 也可由 lns 分配(注:中国移动的 3g,用户不能随意分配 ip 地址, 有可能存在和其它移动用户冲突的可能,因此用户内部自行规划分 配的地址段必须获得移动的确认) ,建议采用静态 ip 地址。总部路 3g 无线 vpdn 解决方案 第 7 页 共 14 页 由器的 ip 地址,必须是静态配置。 运营商

7、aaa 服务器中配置用户 imsi 信息(imsi 是在运营商网 络中唯一识别一个移动用户的号码,由 15 位数字组成,存于 sim 卡 中) 、终端用户的账号和密码、对应 lns 地址、vpdn 隧道属性。总 部 aaa 服务器主要存放网点路由器建立连接时所需要的用户名和密 码。用户名的格式为 xxxx.com.cn,其中前面的字符串可以由用 户端自行定义,后面的字符串即域名,必须由运营商分配。运营 商 aaa 服务器通过域名,确认该用户的权限。运营商 aaa 服务器与 总部 aaa 服务器的用户名和密码必须一致。 工作过程如下: 1) 网点路由器 3gmodem 通过无线信号找到运营商基站

8、并 注册连接(对 sim 卡认证、并协商双方加密密钥) 。 2) 路由器启动 ppp 拨号向 lac 发出认证请求。 3) lac 把认证请求转至运营商 lac aaa 服务器。 4) aaa 服务器将会回复认证结果并返回该用户所属的 lns 地址、vpdn 隧道属性等信息。 5) lac 向返回的 lns 地址发出 l2tp 隧道建立请求,隧道建 立成功(请求建立隧道的认证可选) 。 6) lns 对网点路由器的用户名和密码进行重新认证(lns 对 网点路由器的重认证可选) 。 7) l2tp 隧道建立完成。网点路由器对应的拨号接口 up。 8) 如果网点发起了能够触发 ipsec vpn

9、的流量,则 ipsec 3g 无线 vpdn 解决方案 第 8 页 共 14 页 vpn 隧道建立过程启动。网点路由器与 lns 发起 ipsec vpn 连接请求。 安全措施,主要有以下几个方面: 1) 无线信号:网点路由器 3g modem 通过信号找到基站后,有 一个注册的过程,在这个过程中运营商侧需要对接入的 3g sim 卡身份通过密钥机制进行确认(这个过程也称为鉴权) 。 在身份确认的过程中,双方还会协商用于通讯加密的密钥, 并在通信过程中采用该密钥对数据和话音进行加密,以避免 被监听。同时在对数据加密完成之后,还会附加上校验码, 对方在收到之后会重新计算和核对校验码是否正确,以此

10、判 断信息是否在无线传输过程中被篡改。 2) 访问控制:运营商 lac 设备绑定账号和 sim 卡中的 imsi 标 识号,保证账号不会被其它 3g 用户盗用(即用户拿其它的 3g 卡,用账号进行拨号,运营商侧可以把账号和 sim 卡的唯 一标识码进行绑定,避免被盗用) 。lac 设备可以对不同的用 3g 无线 vpdn 解决方案 第 9 页 共 14 页 户加载网络访问权限,当发现是的账号时,就只允许该用户 访问 vpdn,而不能访问互联网; 3) 数据加密:3g 的加密,只针对无线的部分,从 lac 到 lns 之 间虽然有 l2tp 隧道,但是该隧道并不加密,还是明文传送, 而从 lac

11、 到专线网中间还有可能经过不可信任的网络,所以 在网点和总部路由器之间,采用 ipsec vpn 实现端到端的加 密。ipsec vpn 同样采用密钥的机制,提供身份认证、数据 保密和完整性的服务; 安全措施的详细说明,请看后续章节。 无线安全措施无线安全措施 2g 的 cdma 和 gsm 时,就有针对终端入网时身份合法性确认的鉴权 功能,和利用内置在 sim 卡中的密钥对无线信号进行加密的功能。 3g 在 2g 的基础上进行延续并做了安全性增强。 鉴权简介鉴权简介 鉴权就是指身份认证,是对请求进入 3g 网络的终端进 行身份合法性的确认,3g 终端也会对运营商网络的身份进 行确认。 用户和

12、运营商网络之间进行双向认证&在互相确认对方 身份的基础上生成数据加密密钥 ck, 和数据完整性密钥 ik,为 下一步的数据传输做准备。 3g 无线 vpdn 解决方案 第 10 页 共 14 页 原理如下: ms 即指用户,sn/vlr、he/hlr 可以简单理解为运营商中的两种不同的设备, 下面还会提到 usim 也可以简单理解为是用户侧。 用户 sim 卡和运营商侧保存着一个相同的密钥 k。在 运营商内部会为每个用户生成多组的认证向量 av(randxresckikautn): 序列号 1. randxresckikautn 序列号 2. randxresckikautn 序列号 3. r

13、andxresckikautn . autn 表示认证令牌(即一组字符串,有三种字符串组成, sqn+ak、amf、消息认证码,其中的 sqn 是指 av 组序列号, ak 是密钥);res 和 xres 分别表示用户的应答信息和运营 商的应答信息;rand 表示生成的随机数;ck 和 ik 分别表 示数据保密密钥和数据完整性密钥。大致过程如下: 3g 无线 vpdn 解决方案 第 11 页 共 14 页 运营商收到用户的接入请求时从一组认证向量中选择 一组 av(i),将 av(i)中的 rand(i)和 autn(i)发 送给用户的 usim 进行认证。用户收到 rand 和 autn 后

14、计算 出消息认证码 xmac(见下图),并与 autn 中包含的 mac 相比较,如果二者不同,usim 将向 vlrsgsn 发送拒绝认 证消息。这个过程其实是用户在认证运营商网络 的合法性。 f1、f2、f3、f4、f5 是一种加解密算法,该算法由运营商掌握不对外公开, 在用户办理入网时,由运营商把算法及密钥 k 存入 sim 卡中。 如果二者相同,usim 计算应答信息 xres(i),发送 给 sn(运营商侧的设备)。sn 在收到应答信息后,比较 xres(i)和 res(i)的值。如果相等则通过认证,否则 不建立连接。这样就完成了双向的鉴权。 加密简介加密简介 3g 无线 vpdn

15、解决方案 第 12 页 共 14 页 在鉴权通过的基础上,msusim 根据 rand(i)和它在入 网时的共享密钥 ki 来计算数据保密密钥 cki 和数据完整性 密钥 ik(i)。sn 根据发送的 av 选择对应的 ck 和 ik。 在 3g 系统中,网络接入部分的数据保密性主要提供 4 个安 全特性:加密算法协商、加密密钥协商、用户数据加密和 信令数据加密。其中加密密钥协商在鉴权过程中完成。加 密算法协商由用户与运营商网间的安全模式协商机制完成。 在无线接入链路上仍然采用分组密码流对原始数据加密, 采用了 f8 算法,如下图所示。它有 5 个输入:count 是 密钥序列号;bearer

16、 是链路身份指示;direction 是 上下行链路指示;length 是密码流长度指示;ck 是长 度位 128 bit 的加密密钥。 2g 加密密钥为 64 位,3g 为 128 位;2g 加密采用预先共享的密钥, 3g 通过协商算出密钥,所以 3g 的安全性更强。 完整性简介完整性简介 鉴权过程中,双方不仅协商了用于加密密钥 ck,还协商了 数据完整性密钥 ik。完整性保证,工作原理如下: 3g 无线 vpdn 解决方案 第 13 页 共 14 页 发送方把要传送的数据用完整性密钥 ik 经过 f9 算法 产生消息认证码 mac,将其附加在发出的消息后面。在接 收方把收到的消息用同样的方法计算得到 xmac。接收方把 收到的 mac 与 xmac 相比较,如二者相同就说明收到的消息

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论