CDMA_VPDN技术方案.doc

案例单位cdma vpdn技术方案案例单位移动办公之cdma vpdn技术方案中国电信股份有限公司江苏分公司2010年04月08日1 定义和缩写aaaauthentication/authorization/accounting认证、授权和计费服务adslasymetric digital subscriber loop非对称数字用户环路atmautomatic teller machine自动柜员机bscbase station controller基站控制器btsbase transceiver subsystem移动基站cdmacode-division multiple access码分多址evdo evolution-data optimized ddndigital data network数字数据网ipsecinternet protocol security ip安全协议isdnintegrated service digital network综合业务数字网msmobile station移动终端（手机）l2tplayer two tunnelling protocol二层隧道协议lnsl2tp network serverl2tp网络服务器pcfpacket control function分组控制功能子系统pdsnpacket data serving node数据服务节点ppp point to point protocol点对点协议pstnpublic switched telephone network公共交换电话网络vpdnvirtual private dial-network虚拟拨号专用网2 中国电信cdma数据业务及应用2.1 cdma行业应用概述中国电信江苏公司是国际著名的通信企业，一直以来，为国内外众多证券客户提供优质的通信与综合信息服务，凭借着多年来积累的网络优势和技术优势，结合多年服务于证券业用户的丰富经验，为客户提供vpdn解决方案，目前已经在众多领域得到广泛应用。vpdn是为各企事业单位提供无线接入的专用网络。vpdn为用户提供了一个移动虚拟企业网平台，企业或集团用户通过vpdn系统与企业专网数据系统进行数据交互，只有经过合法认证的用户才能够与专网系统进行数据通信。cdma vpdn典型的实现方案图2.1所示。图2.1 cdma vpdn业务意图用户通过移动终端接入cdma网络后，先后经过cdma网络侧和用户网络侧的aaa认证，然后接入用户的内部网，从而解决企业内部的远程通信问题，这种组网方式既可以如企业内部上网一样安全快捷，又同时可以兼备移动网络的方便性和移动性。中国电信cdma网络在技术上完全支持vpdn全国漫游，且用户漫游使用时不用做任何其它设置。目前cdma vpdn的主要行业应用有：l银行业应用：如无线atm机、移动pos机等，为关键交易提供数据传输的保证。l移动办公：企业分散点通过vpdn通讯模块与笔记本计算机连接，实现无线连接企业内部网络的应用，实施简单，办公可移动。l工业控制等分散数据采集：跨区的大型企业工业数据采集及控制系统，如石油天然汽、石油管道阀门、罐等参数的采集；环保、气象等相关分散点数据采集监控应用；供电及电力系统远程抄表及数据采集控制等；l分散地点的电子认证：关键地点、位置的集中门禁控制系统；以及其它分散地点集中认证有关的认证服务等。l其它基于分散点数据采集的系统：其它涉及商务，连锁的应用数据采集，比如连锁商店销售，配货信息的采集和调度；物流公司相关业务的数据采集；地铁、公交站点票务支付等。2.2 cdma的应用与优势cdma应用于移动办公领域，优势是十分明显的，主要体现在：l网络覆盖范围广：目前cdma无线广域网的覆盖范围已遍布全国，可满足移动终端在全国部署的要求，能够满足案例单位办公系统对覆盖范围的要求。l数据传输速率高：目前的cdma已经升级为evdo网络，是第3代移动通信技术，理论传输速率为3.1mps,为中国最大3g数据业务网络；实际数据传输速率可达2mbps左右，实测结果大幅领先竞争对手。目前每个移动oa办公终端每次的数据传输量在几k至100kbps之间，evdo网络可完全能满足oa系统数据传输速率（10kbps）的需求。l安全、专有的应用网络：应用先进网络加密手段，对数据传输任何一个环节都进行加密处理，提供了高级别的安全性。l项目工期短、网络结构简单、建设成本合理、维护成本低廉，网络具有良好的拓展能力，能够根据将来需求平滑快速升级，可以根据项目需要在应用上适当拓展。 3 案例单位移动办公项目技术方案建议根据案例单位的业务需求，结合中国电信江苏公司在3g数据通信领域的业务提供能力，我们提出了案例单位移动vpdn解决方案。3.1 系统设计原则由于案例单位对办公业务的稳定性和安全性非常高，因此在方案设计中遵循以下几个重要的原则：l统一规划，统一部署，统一设计，分布实施。l兼顾先进性、成熟性、可靠性、开放性与安全性的需要，建设高性能、高可靠、高可用的无线网络。l保证系统具有较高的灵活性和扩展性，充分考虑系统的长远发展和建设。3.2 cdma vpdn方案设计案例单位aaa服务器案例单位主机oa应用服务器案例单位数据中心案例单位（lns）2m数据专线电信路由器电信aaa服务器vpdn隧道cdma数据专网vpdn隧道pdsnbsc/pcf本地bsc/pcfbtsbtscdma手机cdma手机图3.3 基于cdma vpdn技术的案例单位移动oa方案网络拓扑首先中国电信江苏公司将为案例单位开通cdma vpdn域名，建议名称为jsht.133vpdn.sh（案例单位）。案例单位中心需要新增一台l2tp vpn接入设备lns，lns需要通过ip专线接入中国电信江苏公司的cdma数据网中，由中国电信江苏公司配置并开通一个案例单位专用的vpn。此外考虑到银行的机房环境及技术维护力量情况，为增强专网业务的可靠性，新增的l2tp vpn接入设备lns也可由电信代维并集中放置在电信机房。在实际的使用过程中，中国电信将根据案例单位业务需求分配一批cdma uim卡（cdma用户卡）。案例单位各分支机构用户的cdma手机发起ppp呼叫（接入号码#777），数据传递的流程见图3.4：案例单位aaa返回lns ip地址和参数(5)电信aaa案例单位内网lns/routerbsc/pcfc网手机用户认证 (9)认证请求(4)ip专线pdsn信道建立r-p接口建立(1)建立vpdn隧道(6)lns可由电信托管ppp认证请求(3)ppp lcp阶段(2)ppp 认证和鉴权(7)ipcp地址协商和分配(9)ppp通道建立(10)图3.4 cdma vpdn通信流程从图中可以看出，终端由cdma无线方式接入中国电信cdma网，连接到pdsn设备，由中国电信的aaa认证服务器提供接入认证，判断卡号和vpn的对应关系是否正确。通过验证后，pdsn将与案例单位的lns之间建立起专用隧道，将用户名和密码交由案例单位的aaa认证服务器验证用户的合法性，并分配私网ip地址，传输的数据流通过l2tp隧道到达企业网，就像用户直接通过专线连接到企业网一样。 3.3 网络安全考虑由于案例单位对安全的需要很高，在设计时候充分考虑二层接入为主要连接方式（非必要时不采用三层连接）。l分支侧安全性在分支侧使用cdma 手机直接拨号连接路由器，保证了二层连接。不存在三层路由信息泄露。l中心侧安全性lns路由器需要同时与cdma数据网（外网）和案例单位内网连接，因此安全性需要着重考虑。可根据图3.5的建议设置lns路由器以及拨入用户的安全性。l 仅允许aaa或特定的协议到达lnsl acl：仅允许lns地址池中的用户通过l l2tp地址池采用银行内网地址，由银行aaa统一认证后分配l acl：对外网仅允许l2tp协议进入，禁止其它协议l 仅允许lns相连接口或loopback接口的路由信息在外网中传播l 可实施acl控制静态路由，缺省路由静态路由案例单位内网cdma（外网）防火墙lns电信router图3.5 中心侧安全性建议3.4 cdma vpdn项目安全性分析cdma采用脱胎于军用技术的无线扩频技术，用户端到无线网络接入设备间的无线空中通道目前不可能被破解；无线分组设备到用户终端设备间，采用隧道穿过专线接入，可以有效保证整个系统的安全。要保护整体系统的安全，首先要保证网络本身的安全。必须尽可能地屏蔽外部非法访问及非法数据，对从外部网络连入的终端进行严格的用户认证及控制。针对cdma的各环节，提供了5 级业务安全保障，从而充分保证网络中数据的安全。1第一级安全保障：cdma网络本身的安全性cdma本来就是起源军事保密技术，在战争期间广泛应用于军事领域，具有抗干扰、安全通信、保密性好的特性。进行移动手机信号的窃听一般使用以下三种方法。首先，需要捕捉到通信信号。在空间中充满了各种各样的无线电波，用户手机信号就混杂在其中。由于cdma系统采用扩频技术，经过扩频以后的有用信号的频谱被大大地展宽了，用户信号隐蔽在互不相关的信号中，要想捕捉到这一有用信号非常困难。其次，窃听器必须锁定手机用户通信的信号，继而才能分析和破解信息。而cdma采用快速切换功率控制技术，即便是窃听设备捕捉到了用户手机信号，也不能锁定快速功率切换下的有用信号。第三，需要破解用户信息编码。而cdma 采用伪随机码技术，用长达42 位的伪随机码来标识区分用户，每次通话都有4.4 万亿种可能的排列，窃听器很难破译出cdma 的编码。所以cdma 技术本身就很安全。2第二级安全保障：cdma网络侧的aaa认证cdma网络侧的aaa 认证过程是对用户的域名进行鉴权认证，网中数据网的用户（vpdn 成员）是以usernamexxx.133vpdn.sh 形式登录的,与互联网是完全隔离的。cdma网络侧的aaa服务器对登录用户的域名和该用户的uim卡进行绑定审核验证。验证通过后，方可接入电信运营商cdma 网络。3第三级安全保障：cdma网络和用户网络之间的vpn 链接cdma网络和用户网络之间可以采用专线链接，并将l2tp 和ipsec 结合起来用：用l2tp 作为隧道协议，用户可以选择端到端的ipsec协议来进一步保护数据，安全性更高。4第四级安全保障：用户网络侧的安全防火墙（fw）防火墙技术是目前用来实现网络安全措施的一种主要手段，主要是用来拒绝非法用户的访问，阻止非法用户存取敏感数据，同时允许合法用户顺利访问网络资源。依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、tcp/udp 源端口号、tcp/udp 目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过，其核心是安全策略即过滤算法的设计。用户