CDMA数据网行业VPDN应用系统

CDMA数据网行业 VPDN应用系统 解决方案 Starent Networks Proprietary and Confidential 2 /webmoney L2TP 1.隧道： 借助于 L2TP技术，在对现有的透明数据进行再次封装，达到企业用户数据与其他用户数据隔离的安全目的。 2.连接： 在 Internet网络上，将企业内部网络无限的扩展。 3. 安全性： L2TP封装内的用户数据格式并未改变 VPDN 服务平台基本概念 Starent Networks Proprietary and Confidential 3 /webmoney IPSec: 1.安全性：强大 数据起源身份验证 ， 数据完整性 ， 重放保护 ， 数据机密性（ 64位 ,128位 的加密） 2.资源： 耗费较多的 CPU, Memory资源，不适于由客户端发起。 VPDN 服务平台基本概念 Starent Networks Proprietary and Confidential 4 /webmoney VR (虚拟路由器 ） 1.资源： PDSN的部分 CPU， Memory,端口组成逻辑路由器 2.处理选择： 依据 NAI中的域名选择处理连接的虚拟路由器 3. 安全： 处理资源，数据路径，相应的AAA处理可以完全独立 VPDN 服务平台基本概念 Starent Networks Proprietary and Confidential 5 /webmoney ST40 PDSN,VR,LAC, LNS AAA / VPDN管理平台 管理终端 CDMA 200 LAN PCF Public Internet Intranet1 Enterprise 3 Enterprise 2 VPDN服务方案 Starent Networks Proprietary and Confidential 6 /webmoney VPDN服务方案 Session Persistence 方案 ST40 HA,VR,LAC, LNS VPDN管理平台 管理终端 CDMA2000 Client GUI LAN WLAN ADSL PDSN/FA Public Internet Intranet1 Enterprise 3 Enterprise 2 MIP 隧道 Starent Networks Proprietary and Confidential 7 /webmoney ST40 PDSN, LAC VPDN管理平台 管理终端 LAN PCF Public Internet Intranet1 Enterprise 3 Enterprise 2 CDMA 2000 LNS VPDN 隧道方案 1 L2TP 方案 Starent Networks Proprietary and Confidential 8 /webmoney ST40 PDSN, LAC,EDC VPDN管理平台 管理终端 LAN PCF Public Internet Intranet1 Enterprise 3 Enterprise 2 CDMA2000 LNS VPDN 隧道方案 2 IPSec整合 L2TP方案 Starent Networks Proprietary and Confidential 9 /webmoney ST40 PDSN, VR VPDN管理平台 管理终端 LAN PCF Public Internet Intranet1 Enterprise 3 Enterprise 2 CDMA1x Router VPDN 隧道方案 3 VR配合专线方案 Starent Networks Proprietary and Confidential 10 /webmoney VPDN 隧道方案 共享 VR配合专线方案 Starent Networks Proprietary and Confidential 11 /webmoney FACN VPDN Management Platform (AAA) ST16 ( PDSN,LAC) MS L2TP VPDN Application Call Flow Establish TCH Check the Domain and IMSI with the Database LNS Negotiate the new PPP connection Access Request IMSI, Username, Domain name , Password Access Accept VPDN Tunnel attributes Establish L2TP Tunnel Authentication the username and password Assign the Intranet IP address to MS Intranet data Communication PCF A11 Register Response With code 0 Check the IMSI A11 Register Request IMSI A11 Register Request IMSI A11 Register Respones Code : 0x88 & ST16 IP Address PPP Negotiation 呼叫流程示意图 VPDN专用 PDSN+L2TP隧道方案 Starent Networks Proprietary and Confidential 12 /webmoney FACN VPDN Management Platform (AAA) ST16 ( PDSN,LAC) MS Establish TCH Check the Domain and IMSI with the Database LNS Access Request IMSI, Username, Domain name , Password Access Accept VR Name, Pool Name PCF A11 Register Response With code 0 Check the IMSI A11 Register Request IMSI A11 Register Request IMSI PPP Negotiation Negotiate the new PPP connection Assign the Intranet IP address to MS V R Leased Line Intranet data Communication VR+Leased line VPDN Application Call Flow A11 Register Respones Code : 0x88 & ST16 IP Address 呼叫流程示意图 VPDN专用 PDSN+VR配合专线方案 Starent Networks Proprietary and Confidential 13 /webmoney 呼叫流程示意图 Tunnel Switch+L2tp隧道方案 AAA1 VPDN Management Platform (AAA) ST16 ( LNS,VR) MS L2TP VPDN Application Call Flow LCP Negotiation Check the Domain and IMSI with the Database LNS Negotiate the new PPP connection Access Request IMSI, Username, Domain name , Password Access Accept VPDN Tunnel attributes Establish L2TP Tunnel Authentication the username and password Assign the Intranet IP address to MS Intranet data Communication PDSN Check the Domain Name in NAI Access Request Access Accept Tunnel Attributs Negotiates and Establishs L2TP Tunnel Starent Networks Proprietary and Confidential 14 /webmoney 呼叫流程示意图 Tunnel Switch+VR配合专线方案 AAA1 VPDN Management Platform (AAA) ST16 ( LNS,VR) MS Check the Domain and IMSI with the Database LNS Access Request IMSI, Username, Domain name , Password Access Accept VR Name, Pool Name PCF PPP Negotiation Negotiate the new PPP connection Assign the Intranet IP address to MS V R Leased Line Intranet data Communication VR+Leased line VPDN Application Call Flow LCP Negotiation Check the Domain Name in NAI Access Request Access Accept Tunnel Attributs Negotiates and Establishs L2TP Tunnel Starent Networks Proprietary and Confidential 15 /webmoney 呼叫流程示意图 L2TP整合 IPSec方案 1.A subscriber session arrives at the system. 2 The system attempts to authenticate the subscriber with the AAA server. 3 The profile attributes returned upon successful authentication by the AAA server indicate that session data is to be tunneled using L2TP. 4 The system determines that the crypto map name supplied matches a configured cryptomap. Starent Networks Proprietary and Confidential 16 /webmoney 呼叫流程示意图 L2TP整合 IPSec方案 5.From the crypto map, the system determines the following: The map type, in this case dynamic Whether perfect forward secrecy (PFS) should be enabled for the IPSec SA, and if so, what group should be used IPSec SA lifetime parameters The name of one or more configured transform set defining the IPSec SA 6 To initiate the IKE SA negotiation, the system performs a Diffie-Hellman exchange of the ISAKMP secret specified in the profile attribute with the specified peer LNS/security gateway. 7 The system and the LNS/security gateway negotiate an ISAKMP (IKE) policy to use to protect further communications. 8 Once the IKE SA has been negotiated, the system negotiates an IPSec SA with the LNS/security gateway using the transform method specified in the transform sets. 9 Once the IPSec SA has been negotiated, the system protects the L2TP encapsulated data Starent Networks Proprietary and Confidential 17 /webmoney 企业侧的解决方案 星运行业应用系统解决方案完全支持以下企业侧网络应用模式： 企业侧建设 AAA和 LNS 可部署 L2TP,IPSec,VR+专线等各种方案 。 企业侧建设 AAA，不建设 LNS 可部署 VR+专线等各种方案 企业侧建设 LNS，不建设 AAA 可部署 L2TP,IPSec,VR+专线等各种方案， 企业侧 LNS和 AAA都不建设 可部署 VR+专线等各种方案 Starent Networks Proprietary and Confidential 18 /webmoney 案例分析 -公安厅移动查询网示意图 PDSN CDMA2000-1X 无线网络 AAA Server 公安厅内部网络 专线 公安查询终端 VPDN管理系统 公安厅专用 VR 认证请求 判断为 VPDN应用， 转发给 VPDN管理系统 进行用户名 /域名认证 并进行 IMSI比对 返回相关的属性 新建 L2TP隧道 进行二次认证， 分配内部 IP地址 AAA Server Starent Networks Proprietary and Confidential 19 /webmoney 方案组成描述 呼叫建立过程： 1。 移动终端通过无限网络尝试建立 PPP到 PDSN 2。通过 LCP协商过程后， PDSN获得移动用户的用户名后通过分析其域名，由专用的 VR（专用CPU,Memory,端口等）来处理该用户的连接。 3。该 VR将认证请求发给 AAA服务器， AAA服务器在判断该次呼叫为 VPDN应用，则将其转发给 VPDN管理系统 4。 VPDN管理系统对于用户名进行认证，提取该用户 IMSI与数据库中属于公安厅的 IMSI段进行比对，如果在其中则返回建立隧道所需的属性。 Starent Networks Proprietary and Confidential 20 /webmoney 方案组成描述 呼叫建立过程： 5。 VR根据获得的属性后 ， 通过专用的端口及专线与公安厅的路由器协商并建立隧道。 6。移动用户的用户名及密码将会隧道送至公安厅内部网络，进行第二次认证。 7。认证通过后，公安厅的路由器将分配 IP地址给移动终端。 至此，移动终端便可以通过全程与其它用户隔离的通道来访问公安厅内部网络， VPDN接入达到了非常高的安全级别。 Starent Networks Proprietary and Confidential 21 /webmoney 1. L2TP , IPSec方案是通过公有网络资源来构建私有企业网络连接 ,技术本身就定义了私有网络数据与公共网络数据之间以及相互之间的隔离保障 .他们之间只是在数据安全性上的差异 . 2. VR+专线的方式可以达到企业网络数据与其他的网络完全物理隔离 . 不同 VPDN连接之间的数据隔离 Starent Networks Proprietary and Confidential 22 /webmoney 不同 VPDN连接之间的数据隔离 3. 对于共享 VR