搜索
基于CDMA1X网无线VPDN接入方案1总体解决方案安全性分协23方案应用背景提纲特色及优势4实施建议56成功案例客户对无线数据接入的需求强烈传统固网络数据接入已经不能满足现代应用发展的需要移动办公移动上网移动远程连接移动定位移动监测掌上电脑、手机对于水文监测,移动性车辆监测、调度、定位,用电站终端监测,石油化工等行业生产环境的监测等应用,客户只能选择无线数据接入方式。如何通过无线方式访问企业内网大部分企业已经有了自己的信息系统,如何让用户通过无线的方式访问自己的企业内网,成为客户迫切希望解决的问题。安全隐患和漏洞逐年增长……40%的企业系统曾被外界渗透40%的企业遭受到“拒绝服务”的攻击(denialofserviceattack)78%的企业内部员工滥用网络资源85%的企业侦测到电脑病毒信息来源:2006年CSI/FBI电脑犯罪和安全调查安全性需求用户通过无线方式访问企业内网需要解决的安全问题-如何确认使用无线网络访问企业内网资源用户的身份-如何保证用户业务数据流在传输过程中的安全CDMA1X无线VPDN业务的由来随着大部分的用户能够使用CDMA1x网络无线接入后,随之而来的一个问题是用户能不能通过无线网络接入自己的企业网呢?公司老总:出差的时候可以浏览企业的经营数据,财务报表吗?公司业务员:可以随时随地在外办理业务吗?……CDMA1X网络优势技术先进CDMA1X是一种新型的移动数据通信业务是CDMA网络的完善优化可实现高速互联接入服务性能优异CDMA1X传递速率高较GPRS具有突出的技术优势平均速率可达60-120kbps,是GPRS数据传输速率的2-3倍网络覆盖性好基站已经覆盖了全国大多城市和地区移动办公成为现实应用领域CDMA1XVPDN可应用在电力、自来水、天然气等领域表计的计量,自动测量读取、自动计量发送、远程信息处理、远程设备监控,以及安防、车辆调度、公众流量业务、工业处理自动化等任何需要统一管理服务终端的应用方案中,可广泛用于金融、保险、证券、商业、公安、交通、税务、气象、石油等行业和领域。1总体解决方案安全性分协23方案应用背景提纲特色及优势4实施建议56成功案例方案整体思路如何借助公用的无线网络传输私有的数据?——VPDN!隧道技术。采用L2TP协议,进行组网。对于安全性要求更高的用户,使用IPsec隧道。体系结构AAA服务器PDSNC网核心专线接入设备数据网络专线专线专线LNSLNSLNSC网接入层应用服务层认证认证方案组成CDMA1x专用网络无线基站PDSNAAA服务器专用认证服务器专线接入设备接入层LNS专线身份认证服务器(软、硬件)企业内部网主机、网络设备应用系统移动着的专线——高度安全•传输通道的安全性-CDMA无线信道的安全-专用L2TP通道的安全性企业专线方式的安全性◦企业租用专线实现了相互间信息的完全隔离。用户身份鉴别的安全性◦E-Securer身份认证系统实现用户身份和UIM卡的绑定◦可以根据UIM卡分配地址,Acl等。企业专用平台CDMA1x网络无线连接无线连接专线AAA认证服务器认证服务器LNS内部网络本地交换机PDSNL2TP隧道移动PC移动电话IUM卡IUM卡C网网络企业、政务、公安内网应用服务器主备企业专用平台方案介绍该方案主要特点为各个企业单独购买自己的Radius认证服务器,单独实施自己的安全身份认证系统。如上图所示,移动电话和移动PC是VPDN接入端的设备,是用户进入无线网络的接口。首先无线终端移动电话或移动PC发起VPDN连接请求,这一请求首先由CDMA1x网络到达PDSN,请求中包含了账号、用户口令、域名及IMSI号的认证信息,在PDSN经过AAA认证后,它将通过专线和LNS建立L2TP通信隧道,同时由LNS将认证数据包转发给认证服务器,认证服务器认证用户的账号、口令和IMSI号,通过认证后认证服务器反馈认证成功信息给LNS,这样LNS将会顺利与PDSN建立VPDN连接。在建立了VPDN连接后,无线终端通过建立好的L2TP隧道与内部网络进行数据交换,访问内部资源。企业公用平台(短信挑战方式)internet专线1LNS企业网1本地交换机VPN拨号(短信一次性口令)ADSL、CDMA1X、LAN、专线泰州电信机房专线2LNS本地交换机企业网2身份认证服务器短信设备主备企业公用平台方案介绍该方案主要特点为在电信内部为企业建立一个公用的身份认证服务器,各个企业不需要购买自己的Radius认证服务器,只需要购买一台LNS设备即可外网企业用户通过ADSL、LAN、CDMA1X、专线等接入到外网,再通过联创VPN拨入客户端拨号进入电信接入设备,电信接入和各个企业的LNS(cisco2811)进行连接,如协商成功,则和企业的LNS路由器建立隧道,电信内部设备将用户名、密码信息送至AAA认证服务器对用户进行认证,认证通过,短信设备发送一次性口令给用户。身份认证方式帐号+口令+IMSI号用户访问数据流程专线政务网路由器交换机身份认证服务器LNS企业、政府机房CDMA1x已有线路双绞线PDSN专线接入设备AAA服务器电信市公司机房无线连接光缆内部网1、VPDN拨号2、进入电信内网3、AAA认证4、建立隧道5、身份认证6、访问请求7、数据交互8、数据交互9、数据交互1总体解决方案安全性分协23方案应用背景提纲特色及优势4实施建议56成功案例身份认证优势采用帐号+口令+IMSI认证,强用户鉴别认证服务器双机热备,消除单点故障支持强认证方式令牌动态口令短信动态口令USB-Key令牌IMSI号生物特征,指纹、虹膜等支持地址分配,可为不同的用户分配不同的IP地址支持审计可纪录用户登录、上线时间审计报表二层加密隧道CDMA1x网络无线连接无线连接专线AAA认证服务器认证服务器LNS内部网络本地交换机PDSNL2TP隧道移动PC移动电话IUM卡IUM卡C网网络企业、政务、公安内网应用服务器二层加密隧道方案中VPDN连接是建立在L2TP协议之上的,也就是说要建立VPDN连接,在联通无线网络和企业网络之间需要利用L2TP二层隧道协议。这样在无线端和企业内部网络之间建立的是二层隧道,这个二层隧道对于用户来说是透明的。因为在无线网络到企业内网之间的传输需要经过很多网络设备,其中需要穿越CDMA1x网络,并且利用L2TP协议,那么设备与设备之间是基于二层的透传,它们之间如何进行协商、如何通信对于用户来说不是至关重要的。用户需要关心的是接入内部网络二层协议端与端的安全,也就是方案中描述的PDNS与企业LNS之间的安全。L2TP隧道是由PDSN与企业LNS进行协商建立的,它们在建立隧道时需要协商加密和解密的密钥,这个密钥在协商时是动态生成的,也就是每次建立的二层隧道的密钥是不一样的,所以在传输上保证了数据的加密性,从而保证安全性。访问控制指定IP访问控制ACL是访问控制列表,常用在网络层的访问控制。它可以定义一些规则,使得一定的源IP地址能够访问一定的目标IP地址。方案中我们可以对请求建立VPDN连接的无线终端分配IP地址,这样终端的接入IP就在用户的管理范围之内。内部网络的资源,例如一台服务器,也具有用户分配的IP地址。这些终端的IP地址可以定义为ACL的源地址,这些服务器的IP地址就可以定义为ACL的目的地址,这样我们只要将访问控制列表添加在本地LNS上,内网中不同的服务器,只有符合ACL规则的IP地址才能访问得到。基于域名的线路选择CDMA1x网络无线连接无线连接专线AAA认证服务器LNS内部网络本地交换机PDSN移动PC移动电话IUM卡IUM卡LNS内部网络本地交换机专线多条线路IPIP帐号:test1@gdyh.133vpdn.yn口令:123456IMSI:234324908578234域名鉴别,转化为LNSIP基于域名的线路选择首先一个用户有自己的UIM卡、拥有自己的用户名称和密码,这个用户名就是命名规则如:test1@gdyh.133vpdn.yn,可以看出这个一个基于域名的命名方式,从域名上可以读出这是广大银行的test1用户。当这个用户在发起VPDN连接请求时,这个请求会被无线网络传送到联通PDSN,PDSN将这个域名传送给电信AAA服务器,由AAA服务器返回这个域名对应的LNS地址,PDSN在收到这个地址后将与这个地址的LNS协商L2TP隧道。这个隧道将保证每个LNS之间不能被访问。这就保证了线路之间是相互独立、相互隔离、经过加密的。从而保证了各线路的安全性。在线互备的E-Securer身份认证系统E-Securer身份认证服务器主要功能为检验用户的账号合法性和权限,并提供一定的审计功能。我们建议这个系统才用双机热备的方式实现,因为双机可以有效的避免系统单点故障,消除系统因无法认证而带来的系统风险。1总体解决方案安全性分协23方案应用背景提纲特色及优势4实施建议56成功案例数据通道安全性CDMA1x网络无线连接无线连接专线AAA认证服务器认证服务器LNS内部网络本地交换机PDSNL2TP加密隧道移动PC移动电话IUM卡IUM卡C网加密信道线路安全性CDMA1x网络无线连接无线连接L2TP1AAA认证服务器LNS内部网络本地交换机PDSN移动PC移动电话IUM卡IUM卡LNS内部网络本地交换机多条线路采用专线而非互联网连接每条L2TP隧道口令不同,难以攻破隧道线路间完全隔离L2TPN用户帐号安全性由于使用了IMSI号+用户名+口令的身份认证方式IMSI号是全球唯一,不可伪造的即使用户名/密码被别人看到,他人没法获得这个UIM卡及其IMSI号因此无法连接到企业内网系统安全性VPDN拨号的时候,不能同时使用外网接入InternetVPDN断线后,才能拨号进入Internet进入内网和进入外网的过程是完全分离的最大程度的保证了用户访问企业内网资源的安全性用户访问安全性基于ACL的访问控制最大程度的控制一个帐号可以访问的企业、政务网内部资源采用登录日志纪录,实现安全审计杜绝身份冒用的不安全的访问1总体解决方案安全性分协23方案应用背景提纲特色及优势4实施建议56联创VPN应用的成功案例网络测试测试内容VPDN连通性测试用户身份认证测试--帐号+口令地址分配测试测试准备LNS路由器C网测试卡用户名、域名准备并配置到AAA服务器网络调试C网网络与本地LNS联合调试认证系统调试建设工期安排序号项目工作时间进度第一月第二月第三月第四月1周2周3周4周1周2周3周4周1周2周3周4周1周2周3周4周1设备采购2现场调研、系统设计3专线敷设4认证服务器集成5LNS路由器集成6LNS路由器调试7网络系统调试8联合调试9无线用户配置10应用系统调试11访问控制设定、调试12用户培训13系统14系统优化、调试15最终验收1总体解决方案安全性分协23方案应用背景提纲特色及优势4实施建议56成功案例成功案例云南楚雄州政府CDMA1X无线接入平台江苏联通CDMA1XVPDN无线接入平台,在全省20多家单位先后投入使用江苏省高速公路管理处无线电路备份认证系统光大银行ATM机接入安全认证系统无锡国税网上报税VPN远程接入安全身份认证系统中国农业银行徐州分行CDMA1X无线接入认证系统华夏银行无锡分行CDMA1X无线接入认证系统中国人保南京分公司CDMA1X无线接入认证系统无锡市公安局警务通CDMA1X无线接入认证系统江苏省航道管理处CDMA1X无线接入认证系统无锡建设银行CDMA1X无线接入认证系统无锡市公安局警务通CDMA1X无线接入方案无锡交警配备“移动警务通”,这种只能手机并非一般的手机,而是可以查询全市驾驶员和车辆档案的手机;无锡交警只要通过咋手机上点击拨号进行认证,通过认证后可以打开无锡警务通页面,打开页面后,交警们便可以格根据自己的工作需要,查询各种警务信息.如:交管信息查询、犯罪信息查询、人口信息查询、基本信息查询、110电话