3G无线VPDN技术的浅谈.doc

随着3G网络运营逐步完善，全国大部分地区已实现3G网络覆盖。在3G网络高速实时传输的大环境支持下，各种基于3G的客户应用也相继出现。3G无线VPDN是一种新兴的、基于3G网络并结合当前主流VPN技术的安全无线接入技术。通过3G的高传输速率，为有线线路无法到达或无长期固定地点且业务量小、租赁专线的成本过高、存在着高速无线网络接入的用户需求提供支持。VPDN概述VPDN(Virtual Private Dialup Network，虚拟专用拨号网)是VPN业务的一种，是基于拨号接入(PSTN、ISDN等)的虚拟专用拨号网业务，即以拨号接入方式上网，是利用IP网络的承载功能结合相应的认证和授权机制建立起来的安全虚拟专用网，是近年来随着网络的发展而迅速发展起来的一种技术。VPDN解决了出差员工在异地访问企业内部私有网的问题，提供了身份验证、授权和计费的功能，出差员工和外地客户甚至不必拥有本地ISP的上网权限就可以访问企业内部资源，原因是客户端直接与企业内部建立了VPN隧道，这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。企业开设VPDN服务所需的设备很少，只需在资源共享处放置一台支持VPDN的路由器即可，资源享用者通过PSTN等拨号网络连入所在地接入服务器后，直接呼叫企业的VPDN路由器，呼叫的方式和拥有PSTN连接的呼叫方式完全是一样的，只需按当地的电话收费标准交付费用。VPDN的具体实现是采用隧道技术，即将企业网的数据封装在隧道中进行传输。隧道技术的基本过程是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。目前，VPDN网络支持的隧道协议以L2TP为主，图1所示为VPDN典型的组网示意图。VPDN网络结构由局端(或称为中心端)和客户系统组成。VPDN客户系统包括两部分：企业端与远端。通常企业端是企业的内部局域网，以专线方式接入运营商VPDN业务承载网;远端是拨号客户，以拨号方式访问企业内部局域网。VPDN采用专用的网络安全和通信协议，可以使企业在公共网络上建立相对安全的虚拟专网。VPDN用户可以经过公共网络，通过虚拟的安全通道和内部网络进行连接，而公共网络上的用户则无法穿过虚拟通道访问用户网络内部的资源。3G无线VPDN在传统的有线模式下，要满足移动式服务车、大客户上门服务、临时ATM点等环境存在着困难，主要是由于无长期固定地点并且业务量较小，租赁专线的成本过高。因此，存在着高速无线的需求，而3G是目前最有可能满足这种应用的技术。3G无线VPDN是一种新兴的、基于3G网络并结合当前主流VPN技术的安全无线接入技术，是3G运营商在当前3G大网运营环境下独立划分出来的、专门针对行业应用提供的、与公众互联网隔离的虚拟专用拨号网络，该网络并入运营商的NGN骨干，简化传输节点，能够提供最优路由。其利用二层隧道技术为客户构建与公众互联网隔离的虚拟专网，用户可使用移动终端或PC通过无线宽带VPDN网络安全的访问客户网络或应用系统，从而满足移动办公、移动数据采集、无线数据传输等需求。图2所示为其结构示意图。3G最大的变化，只是在最后一公里无线连接速率上的提升，以及在无线信号部分安全性的增强。后端的有线网，除进行必要的提速之外，其它均无实质性的变化。3G用于企业数据VPN通讯业务可以归结为两种情况：一种是普通互联网业务;一种是无线VPDN业务。普通互联网第一种，企业通过互联网自建VPN进行数据连通的方案，其结构示意图如图3。企业自建VPN组网示意图该方案中，远端用户直接或者通过网点路由器使用3G 无线接口拨到普通互联网，总部同样准备一个或者多个出口，连接到互联网线路，且分配公有地址。网点和总部的路由器之间直接建立IPSEC VPN加密隧道。由于有些运营商为3G分配私有地址，运营商内部要经过NAT，所以需要采用IPSEC VPN穿越NAT的机制。这种方案实施较为简单，无需到运营商进行申请，但缺点是：用户数据透明性差，并且不支持手机、PDA等移动终端;企业数据完全暴露于公共互联网，安全性相对较低;同时如果数据跨网络传输，带宽和延时等要受限于Internet的网络情况，传输质量不能得到很好的保证。无线VPDN业务基于以上原因，运营商为企业用户提供了3G无线VPDN解决方案。其结构示意图如图4。组网中：LAC(L2TP Access Concentrator，L2TP访问集中器)作为接入服务器，主要负责L2TP隧道的发起和建立，以及与拨号终端建立PPP连接，把从终端收到的PPP数据转换成标准的IP数据，路由到IP网络，同时将网络中的IP数据封装在PPP里传送给终端;AAA服务器分为接入AAA和VPDN AAA，接入AAA主要完成终端的VPDN业务接入认证、授权、计费，并实现各种业务控制及用户终端的漫游等功能，VPDN AAA主要完成业务终端访问客户网络的认证、授权(也称二次认证)，其可以使用专用服务器，也可由LNS设备兼任;LNS(L2TP Network Server，L2TP网络服务器)是负责VPDN客户接入的网络设备，和LAC一起完成L2TP隧道的建立，LNS设备可部署在运营商机房中，也可部署在客户网络中，根据不同运营商及不同的运营模式具体实现，相关部署可参考运营商介绍文档。以上方案中，远端用户直接或者通过网点路由器使用3G无线接口拨号到运营商LAC接入服务器，运营商通过LAC对用户进行认证，如果发现是VPDN用户则通过承载网络和对应企业总部出口的路由器(即LNS)建立L2TP VPN隧道。之后，如果有需要，网点路由器会与总部路由器，在L2TP基础之上建立IPSEC VPN加密隧道。此时，运营商可以通过策略使远端网点3G卡只能拨到总部内网，而不能连接到互联网，这样即保证数据安全又可以防止员工非法使用。运营商和总部网络之间可以采用专线、城域网VPN等线路连接，针对银行可以采用SDH/MSTP等专线更加安全。该方案的优点是远端用户直接通过运营商VPDN业务承载网络连接到企业LNS网关，与Internet完全隔离，这样可以很好的保证数据安全传输;另外，该方案可以实现与UIM卡的绑定，只有认证的UIM卡才能接入到企业的VPDN中，使得数据安全性进一步提高;同时，企业开通VPDN业务后，远端网点和企业LNS网关存在于同一个运营商核心网络中，传输质量能得到很好的保证。3G无线VPDN实现过程通常，现代企业网采用保留IP建网形式，保留IP网络如果要使用公共核心IP网络，可以采用隧道技术。隧道技术的优点是相对简单、有效和易于管理。它既可以在ISP的节点完成，也可以在用户处完成，或者可以两者合作完成设置。而且，现有的许多网络接入交换设备、接入服务器和广域网路由器都支持相关的隧道技术标准。实现3G无线VPDN，对用户来说是透明的，用户端不需增加投资，只需企业向运营商申请该业务后，在接入服务器(LAC)和连接公司总部的网关路由器上作相关配置即可。采用VPDN技术进行VPN组网时，其用户应该使用一种有结构层次的用户名形式进行拨号，以便接入服务器能根据用户名的域名来进行处理。VPDN业务实现过程(1)无线终端或者网点拨号路由器通过无线信号找到运营商基站，并使用用户名(用户名域名)进行拨号，经由基站、无线侧接入设备与LAC发出连接请求。(2)终端用户与LAC进入PPP LCP协商阶段。(3)LAC与终端用户建立PAP/CHAP方式认证。首先LAC根据所设置的优选认证方式CHAP(或者PAP)向终端用户发出协商，如终端支持LAC的优选认证方式CHAP，则终端使用CHAP认证方式与AAA进行认证。如终端不支持LAC的优选方式CHAP，则使用次选方式PAP与AAA进行认证。(4)终端用户向LAC发出VPDN认证请求，LAC向AAA转发接入请求。(5)AAA根据用户IMSI、以及用户域名判断该用户是否为VPDN用户，是否具有接入权限。如果认证通过，则AAA向LAC返回此用户的相关信息以及VPDN属性，包括：LNS地址，隧道类型、LNS分布方式(单一LNS、主备、轮询)、L2TP隧道密钥等。(6)LAC根据认证结果以及返回信息与对应LNS开始建立L2TP隧道。(7)LNS向LAC返回隧道认证消息，LAC与LNS隧道建立成功。(8)LAC向LNS传送用户名、密码、认证方式等信息。如LNS不认可LAC所传来的信息或LNS配置强制LCP重协商，则LNS向终端发出LCP重协商请求，否则直接进入(13)。(9)终端用户和LNS进入PPP LCP重协商阶段。(10)VPDN AAA服务器根据LNS传送过来的用户名、密码、认证方式等信息对终端用户进行二次认证，认证终端用户是否能接入用户网络。(11)AAA服务器向LNS发出认证通过信息。(12)LNS将认证通过信息转发至终端用户。(13)终端用户和LNS进入PPP NCP阶段，进行网络参数的协商。(14)NCP协商完成，LNS向终端分配用户IP地址，终端用户和LNS建立PPP通信连接，此时终端用户可直接对内部网络进行访问。(15)如果在需要的情况下，网点发起了能够触发IPSEC VPN的流量，则网点路由器与LNS之间的IPSEC VPN隧道建立过程启动。3G无线VPDN安全措施VPDN的技术核心主要在于隧道技术和安全技术。因此，能否保证VPDN的安全性，也是VPDN网络能否实现的关键。一般VPDN系统可以采用下列技术保证系统安全性：口令保护、用户认证技术、一次性口令技术、用户权限设置、在传输中采用加密技术、采用防火墙把用户网络中的对外服务器和对内服务器隔离开等。具体就无线网络而言，2G的CDMA和GSM时，主要有针对终端入网时身份合法性确认的鉴权功能，和利用内置在SIM卡中的密钥对无线信号进行加密的功能。3G无线VPDN在2G的基础上进行延续并做了安全性增强。其安全措施，主要可以概括以下几个方面：无线信号：网点路由器的3G上网卡通过信号找到基站后，有一个注册的过程，在这个过程中运营商侧需要对接入的3G UIM卡身份通过密钥机制进行确认(这个过程也称为鉴权)。在身份确认的过程中，双方还会协商用于通讯加密的密钥，并在通信过程中采用该密钥对数据和话音进行加密，以避免被监听。同时在对数据加密完成之后，还会附加上校验码，对方在收到之后会重新计算和核对校验码是否正确，以此判断信息是否在无线传输过程中被篡改。访问控制：运营商LAC设备绑定账号和UIM卡的IMSI标识号，保证账号不会被其它3G用户盗用(即当用户通过其它的3G卡，利用账号进行拨号，由于运营商侧把账号和UIM卡的唯一标识码进行绑定，因此拨号不会成功)。LAC设备可以对不同的用户加载网络访问权限，当发现是VPDN账号时，就只允许该用户访问VPDN网络，而不能访问互联网。数据加密：3G的加密只针对无线的部分，从LAC到LNS之间虽然有L2TP隧道，但是该隧道并不加密，还是明文传送，而从LAC到专线网中间还有可能经过不可信任的网络，所以在网点和总部路由器之间，可以采用IPSEC VPN实现端到端的加密。IPSEC VPN同样采用密钥的机制，提供针对数据层面的加密功能，网点路由器和LNS建立连接时，需要协商双方的加密密钥，提供身份的认证、加密、完整性保护。就具体的运营商网络而言(以中国联通为例)，VPDN系统的业务安全主要是通过二层隧道协议在建立时的认证、拨号用户在企业内部网认证系统的用户名和口令认证与授权、分配企业内部网地址等方式提供。VPDN业务用户信息的安全，是通过用户由企业内部网授权后分配企业内部网地址、信息由L2TP协议封装后在联通IP网上传送、企业内部网对封装的用户信息内部地址进行认证等方式提供。典型应用方案3G无线广域网相对于传统有线广域网，还是一个比较新的概念，特别是应用到当前的商业领域。大部分的企业网关或路由器即便融合了3G的概念，但由于3G还没有一个成熟的规范来约束和验证此类接入产品，所以很多3G路由器从企业运营的角度讲，是不能接受的。为应对企业客户在互联网络上，特别是3G无线组网上的庞大需求，各别厂商结合自己在网络通信行业多年的运营经验及对客户使用偏好的了解，针对行业应用为各运营商提供了高、中和低端不同级别的企业网关接入产品，高、中、低端产品均支持3G上网卡，能够满足用户的3G上网和 VPDN接入需求，同时还在此基础上增加了支持有线和3G无线动态备份、TR069及SNMP网络管理协议、防病毒防攻击以及网络行为控制和审计等功能。企业网关系列产品，在已有成熟的VPN技术基础上，结合当前3G广域无线传输技术覆盖面广、传输速率高等优势，为众多需求低成本、高速率、高安全性但无法或不能即时接入传统有线线路的企业用户提供融合的解决方案，为用户提供端到端的3G无线VPDN传输通道，保证企业组网的安全性和高效性。用做分支节点3G VPDN拨号路由器：MSG系列网关产品内置USB接口模块，支持各主流厂商3G上网卡的即插即用。用户可方