基于CDMA1X网无线VPDN接入方案(081219)

1、基于CDMA1X网无线VPDN接入方案,1,总体解决方案,安全性分协,2,3,方案应用背景,提纲,特色及优势,4,实施建议,5,6,成功案例,客户对无线数据接入的需求强烈,传统固网络数据接入已经不能满足现代应用发展的需要 移动办公 移动上网 移动远程连接 移动定位 移动监测 掌上电脑、手机 对于水文监测，移动性车辆监测 、调度、定位，用电站终端监测，石油化工等行业生产环境的监测等应用，客户只能选择无线数据接入方式。,如何通过无线方式访问企业内网,大部分企业已经有了自己的信息系统，如何让用户通过无线的方式访问自己的企业内网，成为客户迫切希望解决的问题。,安全隐患和漏洞逐年增长 40% 的企业系统

2、曾被外界渗透 40% 的企业遭受到“拒绝服务”的攻击(denial of service attack) 78% 的企业内部员工滥用网络资源 85% 的企业侦测到电脑病毒 信息来源: 2006年 CSI/FBI 电脑犯罪和安全调查,安全性需求,用户通过无线方式访问企业内网需要解决的安全问题 -如何确认使用无线网络访问企业内网资源用户的身份 -如何保证用户业务数据流在传输过程中的安全,CDMA 1X 无线VPDN业务的由来,随着大部分的用户能够使用CDMA 1x 网络无线接入后，随之而来的一个问题是用户能不能通过无线网络接入自己的企业网呢？ 公司老总：出差的时候可以浏览企业的经营数据，财务报表吗

3、？ 公司业务员：可以随时随地在外办理业务吗？,CDMA1X网络优势,技术先进 CDMA1X 是一种新型的移动数据通信业务 是CDMA 网络的完善优化 可实现高速互联接入服务 性能优异 CDMA1X 传递速率高 较GPRS 具有突出的技术优势 平均速率可达60-120kbps ，是GPRS数据传输速率的2-3 倍 网络覆盖性好 基站已经覆盖了全国大多城市和地区 移动办公成为现实,应用领域,CDMA 1X VPDN可应用在电力、自来水、天然气等领域表计的 计量，自动测量读取、自动计量发送、远程信息处理、远程设 备监控，以及安防、车辆调度、公众流量业务、工业处理自动 化等任何需要统一管理服务终端的应

4、用方案中，可广泛用于金 融、保险、证券、商业、公安、交通、税务、气象、石油等行 业和领域。,1,总体解决方案,安全性分协,2,3,方案应用背景,提纲,特色及优势,4,实施建议,5,6,成功案例,方案整体思路,如何借助公用的无线网络传输私有的数据？ VPDN！ 隧道技术。 采用L2TP 协议，进行组网。对于安全性要求更高的用户，使用IPsec隧道。,体系结构,AAA服务器,PDSN,C网核心,专线接入设备,数据网络,专线,专线,专线,LNS,LNS,LNS,C网接入层,应用服务层,认证,认证,方案组成,CDMA 1x专用网络 无线基站 PDSN AAA服务器专用认证服务器 专线接入设备 接入层

5、LNS 专线 身份认证服务器（软、硬件） 企业内部网 主机、网络设备 应用系统,移动着的专线高度安全,传输通道的安全性 -CDMA 无线信道的安全 -专用L2TP通道的安全性,企业专线方式的安全性 企业租用专线实现了相互间信息的完全隔离。,用户身份鉴别的安全性 E-Securer身份认证系统实现用户身份和UIM卡的绑定 可以根据UIM卡分配地址，Acl等。,企业专用平台,CDMA1x网络,无线连接,无线连接,专线,AAA认证服务器,认证服务器,LNS,内部网络,本地交换机,PDSN,L2TP隧道,移动PC,移动电话,IUM卡,IUM卡,C网网络,企业、政务、公安内网,应用服务器,主,备,企业专

6、用平台方案介绍,该方案主要特点为各个企业单独购买自己的Radius 认证服务器，单独实施自己的安全身份认证系统。 如上图所示，移动电话和移动PC是VPDN接入端的设备，是用户进入无线网络的接口。 首先无线终端移动电话或移动PC发起VPDN连接请求，这一请求首先由CDMA 1x网络到达PDSN，请求中包含了账号、用户口令、域名及IMSI号的认证信息，在PDSN经过AAA认证后，它将通过专线和LNS建立L2TP通信隧道，同时由LNS将认证数据包转发给认证服务器，认证服务器认证用户的账号、口令和IMSI号，通过认证后认证服务器反馈认证成功信息给LNS，这样LNS将会顺利与PDSN建立VPDN连接。在

7、建立了VPDN连接后，无线终端通过建立好的L2TP隧道与内部网络进行数据交换，访问内部资源。,企业公用平台(短信挑战方式),internet,专线1,LNS,企业网1,本地交换机,VPN拨号（短信一次性口令）,ADSL、CDMA 1X、LAN、专线,泰州电信机房,专线2,LNS,本地交换机,企业网2,身份认证服务器,短信设备,主,备,企业公用平台方案介绍,该方案主要特点为在电信内部为企业建立一个公用的身份认证服务器，各个企业不需要购买自己的Radius 认证服务器，只需要购买一台LNS设备即可外网企业用户通过ADSL、LAN、CDMA 1X、专线等接入到外网，再通过联创VPN拨入客户端拨号进入

8、电信接入设备，电信接入和各个企业的LNS（cisco 2811）进行连接，如协商成功，则和企业的LNS路由器建立隧道，电信内部设备将用户名、密码信息送至AAA认证服务器对用户进行认证，认证通过，短信设备发送一次性口令给用户。,身份认证方式,帐号口令IMSI号,用户访问数据流程,专线,政务网路由器,交换机,身份认证服务器,LNS,企业、政府机房,CDMA1x,已有线路,双绞线,PDSN,专线接入设备,AAA服务器,电信市公司机房,无线连接,光缆,内部网,1、VPDN拨号,2、进入电信内网,3、AAA认证,4、建立隧道,5、身份认证,6、访问请求,7、数据交互,8、数据交互,9、数据交互,1,总体

9、解决方案,安全性分协,2,3,方案应用背景,提纲,特色及优势,4,实施建议,5,6,成功案例,身份认证优势,采用帐号口令IMSI认证，强用户鉴别 认证服务器双机热备，消除单点故障 支持强认证方式 令牌动态口令 短信动态口令 USBKey令牌 IMSI号 生物特征，指纹、虹膜等 支持地址分配，可为不同的用户分配不同的IP地址 支持审计 可纪录用户登录、上线时间 审计报表,二层加密隧道,CDMA1x网络,无线连接,无线连接,专线,AAA认证服务器,认证服务器,LNS,内部网络,本地交换机,PDSN,L2TP隧道,移动PC,移动电话,IUM卡,IUM卡,C网网络,企业、政务、公安内网,应用服务器,二

10、层加密隧道,方案中VPDN连接是建立在L2TP协议之上的，也就是说要建立VPDN连接，在联通无线网络和企业网络之间需要利用L2TP二层隧道协议。这样在无线端和企业内部网络之间建立的是二层隧道，这个二层隧道对于用户来说是透明的。因为在无线网络到企业内网之间的传输需要经过很多网络设备，其中需要穿越CDMA 1x网络，并且利用L2TP协议，那么设备与设备之间是基于二层的透传，它们之间如何进行协商、如何通信对于用户来说不是至关重要的。用户需要关心的是接入内部网络二层协议端与端的安全，也就是方案中描述的PDNS与企业LNS之间的安全。 L2TP隧道是由PDSN与企业LNS进行协商建立的，它们在建立隧道时

11、需要协商加密和解密的密钥，这个密钥在协商时是动态生成的，也就是每次建立的二层隧道的密钥是不一样的，所以在传输上保证了数据的加密性，从而保证安全性。,访问控制,指定IP,访问控制,ACL是访问控制列表，常用在网络层的访问控制。它可以定义一些规则，使得一定的源IP地址能够访问一定的目标IP地址。 方案中我们可以对请求建立VPDN连接的无线终端分配IP地址，这样终端的接入IP就在用户的管理范围之内。内部网络的资源，例如一台服务器，也具有用户分配的IP地址。这些终端的IP地址可以定义为ACL的源地址，这些服务器的IP地址就可以定义为ACL的目的地址，这样我们只要将访问控制列表添加在本地LNS上，内网中

12、不同的服务器，只有符合ACL规则的IP地址才能访问得到。,基于域名的线路选择,CDMA1x网络,无线连接,无线连接,专线,AAA认证服务器,LNS,内部网络,本地交换机,PDSN,移动PC,移动电话,IUM卡,IUM卡,LNS,内部网络,本地交换机,专线,多条线路,IP,IP,帐号：test1gdyh.133vpdn.yn 口令：123456 IMSI：234324908578234,域名鉴别，转化为LNS IP,基于域名的线路选择,首先一个用户有自己的UIM卡、拥有自己的用户名称和密码，这个用户名就是命名规则如：test1gdyh.133vpdn.yn，可以看出这个一个基于域名的命名方式，从

13、域名上可以读出这是广大银行的test1用户。当这个用户在发起VPDN连接请求时，这个请求会被无线网络传送到联通PDSN，PDSN将这个域名传送给电信AAA服务器，由AAA服务器返回这个域名对应的LNS地址，PDSN在收到这个地址后将与这个地址的LNS协商L2TP隧道。这个隧道将保证每个LNS之间不能被访问。这就保证了线路之间是相互独立、相互隔离、经过加密的。从而保证了各线路的安全性。,在线互备的E-Securer身份认证系统,E-Securer身份认证服务器主要功能为检验用户的账号合法性和权限，并提供一定的审计功能。我们建议这个系统才用双机热备的方式实现，因为双机可以有效的避免系统单点故障，消

14、除系统因无法认证而带来的系统风险。,1,总体解决方案,安全性分协,2,3,方案应用背景,提纲,特色及优势,4,实施建议,5,6,成功案例,数据通道安全性,CDMA1x网络,无线连接,无线连接,专线,AAA认证服务器,认证服务器,LNS,内部网络,本地交换机,PDSN,L2TP加密隧道,移动PC,移动电话,IUM卡,IUM卡,C网加密信道,线路安全性,CDMA1x网络,无线连接,无线连接,L2 TP 1,AAA认证服务器,LNS,内部网络,本地交换机,PDSN,移动PC,移动电话,IUM卡,IUM卡,LNS,内部网络,本地交换机,多条线路,采用专线而非互联网连接 每条L2TP隧道口令不同，难以攻

15、破隧道 线路间完全隔离,L2 TP N,用户帐号安全性,由于使用了IMSI 号用户名口令的身份认证方式 IMSI 号是全球唯一，不可伪造的 即使用户名/密码被别人看到，他人没法获得这个UIM 卡及其IMSI号 因此无法连接到企业内网,系统安全性,VPDN 拨号的时候，不能同时使用外网接入Internet VPDN 断线后，才能拨号进入Internet 进入内网和进入外网的过程是完全分离的 最大程度的保证了用户访问企业内网资源的安全性,用户访问安全性,基于ACL的访问控制 最大程度的控制一个帐号可以访问的企业、政务网内部资源 采用登录日志纪录，实现安全审计 杜绝身份冒用的不安全的访问,1,总体解

16、决方案,安全性分协,2,3,方案应用背景,提纲,特色及优势,4,实施建议,5,6,联创VPN应用的成功案例,网络测试,测试内容 VPDN连通性测试 用户身份认证测试帐号口令 地址分配测试 测试准备 LNS路由器 C网测试卡 用户名、域名准备并配置到AAA服务器 网络调试 C网网络与本地LNS联合调试 认证系统调试,建设工期安排,1,总体解决方案,安全性分协,2,3,方案应用背景,提纲,特色及优势,4,实施建议,5,6,成功案例,成功案例,云南楚雄州政府CDMA1X无线接入平台 江苏联通CDMA 1X VPDN无线接入平台，在全省20多家单位先后投入使用 江苏省高速公路管理处无线电路备份认证系统

17、 光大银行ATM机接入安全认证系统 无锡国税网上报税VPN远程接入安全身份认证系统 中国农业银行徐州分行CDMA1X无线接入认证系统 华夏银行无锡分行CDMA1X无线接入认证系统 中国人保南京分公司CDMA1X无线接入认证系统 无锡市公安局警务通CDMA1X无线接入认证系统 江苏省航道管理处CDMA1X无线接入认证系统 无锡建设银行CDMA1X无线接入认证系统,无锡市公安局警务通CDMA1X无线接入方案,无锡交警配备“移动警务通”,这种只能手机并非一般的手机,而是可以查询全市驾驶员和车辆档案的手机;无锡交警只要通过咋手机上点击拨号进行认证,通过认证后可以打开无锡警务通页面,打开页面后,交警们便

18、可以格根据自己的工作需要,查询各种警务信息.如:交管信息查询、犯罪信息查询、人口信息查询、基本信息查询、110电话查询等。 系统整体由两个部分组成： 电信CDMA无线网络与无锡公安网络，这两个部分之间通过专线连接。,无锡市公安局警务通CDMA1X无线接入方案,系统部署图如下：,成功案例华夏银行,L2TP,CDMA,PPP拨号,PDSN,加密/解密服务器,企业接入服务器,ATM,金融数据中心,ATM,ATM,ATM,华夏银行,E-Securer,成功案例徐州农行,L2TP,CDMA,PPP拨号,PDSN,加密/解密服务器,企业接入服务器,银行金融中心,徐州农行,POS,POS,POS,POS,E-Securer,成功案例苏州电力公司,L2TP,CDMA,PDSN,企业接入服务器,电力公司数据中心,终端抄表,终端抄表,终端抄表,终端抄表,CDMA,E-Securer,苏州电力公司,成功案例江苏省高速公路,L2TP,CDMA,PDSN,江苏省高速公路管理处 联网计费中心,车辆,CDMA,车辆,高速公路收费站,E-Securer,成功案例交通厅航道局,L2TP,CDMA,PDSN,航道局,CDMA,航道站,E-Securer,楚雄州政务网VPDN接入,楚雄州政府办公