锐捷3G无线VPDN解决方案

3G 无线 VPDN 解决方案 第 1 页 共 14 页 3G 无线 VPDN 解决方案 锐捷网络3G 无线 VPDN 解决方案 第 2 页 共 14 页 目 录 、项目背景概述 . 3 、 3G 数据业务 介绍 . 3 、 3G 应用设计方案 . 6 VPDN 解决方案 . 6 无线安全措施 . 9 IPSEC VPN 安全措施 .13 、测试方案 . 14 3G 无线 VPDN 解决方案 第 3 页 共 14 页 、 项目背景概述 2009 年月份国家工业与信息化部正式向移动、联通 、电信 三家运营商分别颁发了 CDMA2000、 TD-SCDMA、 WCDMA 三张牌照。随着运营商对 3G 的投入不断增加，其业务成熟度及信号服务质量也 将会 不断增强。 在传统的有线模式下，满足移动式服务车、大客户上门服务、临时 ATM 点等环境存在通讯的困难，主要是无 长期固定地点且业务量也小， 租赁专线的成本过高 ，存在着 高速无线 的需求 ， 而 3G 是目前最有可能满足这种应用的技术 。 本项目主要研究适用于的 3G 解决方案。 、 3G数据业务介绍 3G 最大的变化，只是在最后一公里无线连接速率上的提升 ，以及在无线信号部分安全性的增强 。后端的有线网， 除进行必要的提速之外，其它 均无实质性的变化。 3G 用于企业数据通讯业务可以归结为两种 ： 一种是普通互联网业务；一种是无线 VPDN业务（或无线 DDN）。相对应就有两种解决方案： 3G 无线 VPDN 解决方案 第 4 页 共 14 页 （ 1 自建 VPN） （ 2.运营商 VPDN） 第一种， 通过互联网 自建 VPN 的方案。 网点路由器通过 3G 拨到普通互联网，总部出口需要准备一根到互联网 线路， 且 分配 公有地址。网点和总部的路由器之间 直接 建立 IPSEC VPN加密隧道。 由于有些运营商为 3G 分配私有地址，运营商内部要经过 NAT，所有需要采用 IPSEC VPN 穿越 NAT 的机制。 第二种，利用运营商提供的 VPDN 方案 。网点路由器通过 3G拨号至运营商的 LAC 设备，然后 LAC 设备通过专线和总部出口的路由器（即 LNS）建立 L2TP VPN 隧道。 然后网点路由器再与总部路由器 ，在 L2TP基础之上 建立 IPSEC VPN加密隧道。运营商可 以通过策略使 网点 3G SIM 卡，只能拨到总部内网，而不能到互联网，这样即保证安全又可以防止员工非法 使用 。3G 无线 VPDN 解决方案 第 5 页 共 14 页 运营商 和总部 之间可以采用专线 、 城域网 VPN 等线路 ， 针对银行一般采用 SDH/MSTP 等专线更加安全 。 两种方案优劣势的分析对比如下： 第一种 方案网点 3G 和总部出口链路都连接普通互联网，安全性较差，成本较低，网点的 3G 和总部的链路不一定是同一家运营商组网灵活性好。 第二种方案网点的 3G 只能拨到总部，总部采用专线，两端都和互联网隔离，安全性高，成本较高，网点的 3G 必须和总部的专线隶属同一家运营 商 灵活性较差 。 我们主要考虑 3G 在生产环境，如 临时 网点、离行 ATM、 大客户上门服务、柜面网点备份 等 ， 对安全性要求高，所以本文 主要介绍3G VPDN 设计 方案 及测试方案 。 3G 无线 VPDN 解决方案 第 6 页 共 14 页 、 3G应用设计方案 VPDN 解决方案 如上图所示，网点采用路由器 +3G MODEM，运营商需要有 LAC 及配套的 AAA 服务器 。总部需要准备一台路由器 （ LNS） ，一条专线，一台 AAA 服务器。 LAC 主要负责对 3G 用户的认证 （并在认证的过程中区分是普通互联网用户还是企业用户），及与该 用户所属企业的 LNS建立隧道的作用。 网点路由器的 IP 地址， 可 由运营商 动态分配 ，也可由 LNS 分配 （注：中国移动的 3G，用户不能随意分配 IP 地址，有可能存在和其它移动用户冲突的可能，因此 用户内部自行规划分配的地址段必须获得 移动 的确认 ） ，建议采用静态 IP 地址 。总部路由器的3G 无线 VPDN 解决方案 第 7 页 共 14 页 IP 地址，必须是静态配置。 运营商 AAA 服务器 中配置用户 IMSI 信息 （ IMSI 是在 运营商 网 络中唯一识别一个移动用户的号码，由 15 位数字组成 ，存于 SIM 卡中） 、终端用户的账号和密码、对应 LNS 地址、 VPDN 隧道属性 。总部 AAA服务器主要存放网点路由器建立连接时所需要的 用户名 和密码。 用户名的格式为 XXXX.COM.CN，其中 前面的字符串可以由用户端自行定义，后面 的字符串 即域名， 必须 由运营商分配。 运营商 AAA 服务器通过 域名， 确认该用户的权限。 运营商 AAA 服务器与总部 AAA 服务器的用户名和密码必须一致。 工作过程 如下： 1) 网点路由器 3G modem 通过 无线信号找到运营商基站并注册 连接 （ 对 SIM 卡认证、并协商双方 加密 密钥 ） 。 2) 路由器启动 PPP 拨号向 LAC 发出认证请求 。 3) LAC 把认证请求转至 运营商 LAC AAA 服务器。 4) AAA服务器将会 回复认证结果并返回该用户所属的 LNS地址、 VPDN 隧道属性等信息。 5) LAC 向返回的 LNS 地址发出 L2TP 隧道建立请求，隧道建立成功 （请求建立隧道的认证可选）。 6) LNS 对网点路由器的用户名和密码进行 重新认证 （ LNS 对网点路由器的重认证可选 ） 。 7) L2TP 隧道建立完成。网点路由器 对应的 拨号 接口 UP。 8) 如果网点发起了能够触发 IPSEC VPN的流量，则 IPSEC VPN3G 无线 VPDN 解决方案 第 8 页 共 14 页 隧道建立过程 启动 。 网点路由器与 LNS 发起 IPSEC VPN 连接请求。 安全措施，主要 有以下 几个方面 ： 1) 无线信号 ： 网点路由器 3G MODEM 通过信 号找到 基站 后，有一个注册的过程 ， 在这个过程中运营商侧需要对接入的 3G SIM卡身份 通过密钥机制 进行确认 （这个过程也称为鉴权）。在身份确认的过程中，双方还会协商用于通讯加密的密钥，并在通信过程中采用该密钥对数据和话音进行加密，以避免被监听。同时在对数据加密完成之后，还会附加上校验码，对方在收到之后会重新计算和核对校验码是否正确，以此判断信息是否在无线传输过程中被篡改。 2) 访问控制 ：运营商 LAC 设备绑定 账 号和 SIM 卡中的 IMSI 标识号，保证 账 号不会被其它 3G 用户盗用 （即用户拿其它的 3G卡，用 账号进行拨号，运营商侧可以把账号和 SIM 卡的唯一标识码进行绑定，避免被盗用） 。 LAC 设备可以对不同的用户3G 无线 VPDN 解决方案 第 9 页 共 14 页 加载网络访问权限 ， 当发现是的账号时，就只允许该用户访问 VPDN，而不能访问互联网 ； 3) 数据加密： 3G 的加密，只针对无线的部分，从 LAC 到 LNS 之间虽然有 L2TP 隧道，但是该隧道并不加密，还是明文传送，而从 LAC 到专线网中间还有可能经过不可信任的网络，所以在 网点和总部路由器之间，采用 IPSEC VPN 实现端到端的加密 。 IPSEC VPN 同样采用密钥的机制，提供身份认证、数据保密和完整性的服务 ； 安全措施的详细 说明， 请看后续章节。 无线安全措施 2G 的 CDMA 和 GSM 时，就有针对终端入网时身份合法性确认的鉴权功能，和利用内置在 SIM 卡中的密钥对无线信号进行加密的功能。 3G在 2G的基础上进行延续并做了安全性增强。 鉴权 简介 鉴权就是指身份认证，是对请求进入 3G 网络的终端进行身份合法性的确认 ， 3G 终端也会对运营商网络的身份进行确认 。 用户 和 运营商 网络之间进行双向认证 &在互相确认对方身份的基础上生成数据加密密钥 CK, 和数据完整性密钥 IK,为下一步的数据 传输做准备。 3G 无线 VPDN 解决方案 第 10 页 共 14 页 原理如下 ： MS 即指用户， SN/VLR、 HE/HLR 可以简单理解为运营商中的两种不同的设 备 ，下面还会提到 USIM 也可以简单理解为是用户侧。 用户 SIM 卡 和运营商侧保存着 一个 相同的 密钥 K。在运营商内部会为每个用户生成 多组的 认证向量 AV（ RANDXRES CK IK AUTN） ： 序列号 1. RAND XRES CK IK AUTN 序列号 2. RAND XRES CK IK AUTN 序列号 3. RAND XRES CK IK AUTN . AUTN 表示认证令牌 （即一组 字符串 ， 有三种字符串组成，SQN+AK、 AMF、消息认证码，其中的 SQN 是指 AV 组序列号 ,AK是密钥 ） ； RES 和 XRES 分别表示用户的应答信息和 运营商的应答信息； RAND 表示生成的随机数； CK 和 IK 分别表示数据保密密钥和数据完整性密钥。 大致过程如下： 3G 无线 VPDN 解决方案 第 11 页 共 14 页 运营商收到用户的接入请求时 从一组认证向量中选择一 组 AV（ i），将 AV（ i）中的 RAND（ i）和 AUTN（ i）发送给用户的 USIM 进行认证。用 户收到 RAND 和 AUTN 后计算出消息认证码 XMAC（见 下 图），并与 AUTN 中包含的 MAC 相比较，如果二者不同， USIM 将向 VLR SGSN 发送拒绝认证消息。 这个过程其实是用户在认证运营商网络的合法性。 f1、 f2、 f3、 f4、 f5 是一种加解密算法 ， 该算法 由运营商掌握 不对外公开， 在用户办理入网时，由运营商把算法及密 钥 K 存入 SIM 卡中 。 如果二者相同， USIM 计算应答信息 XRES（ i），发送给SN（运营商侧的设备） 。 SN 在收到应答信息后，比较 XRES（ i）和 RES（ i）的值。如果相等则通过认证，否则不建立连接。 这样就完成了双向的鉴权。 加密 简介 3G 无线 VPDN 解决方案 第 12 页 共 14 页 在 鉴权 通过的基础上， MS USIM 根据 RAND（ i）和它在入网时的共享密钥 Ki 来计算数据保密密钥 CKi 和数据完整性密钥 IK（ i）。 SN根据发送的 AV 选择对应的 CK和 IK。 在 3G 系统中，网络接入部分的数据保密性主要提供 4 个安全特性：加密算法协商、加密密钥协商、用户数据加密 和信令数据加密。其中加密密钥协商在 鉴权过程 中完成。加密算法协商由用户与 运营商 网间的安全模式协商机制完成。在无线接入链路上仍然采用分组密码流对原始数据加密，采用了f8 算法 ，如下图所示 。它有 5个输入： COUNT 是密钥序列号； BEARER 是链路身份指示； DIRECTION 是上下行链路指示； LENGTH 是密码流长度指示； CK 是长度位 128 bit的加密密钥。 2G 加密密钥为 64位 ， 3G 为 128 位； 2G加密采用预先共享的密钥，3G 通过协商算出密钥 ，所以 3G的安全性更强 。 完整性简介 鉴权过程中，双方不仅协商了用于加密密钥 CK，还协商了数据完整性密钥 IK。完整性保证，工作原理如下： 3G 无线 VPDN 解决方案 第 13 页 共 14 页 发送方把要传送的数据用完整性密钥 IK经 过 f9算法产生消息认证码 MAC，将其附加在发出的消息后面。在接收方把收到的消息用同样的方法计算得到 XMAC。接收方把收到的 MAC 与 XMAC 相比较