VPDN业务介绍 (2011-05-10 15:19:22)转载▼标签： 杂谈

http://blog.sina.com.cn/s/blog_7e64b91f0100uagl.html
  
无线数据专网（VPDN）是一个非常有实用价值的业务，它可以为各个行业提供无线的专用网络，进而在这个网络中开展行业应用。Simple IP技术与 L2TP技术结合起来也就是经常被提及的VPDN技术。

一、网络拓扑图及组成






图1 专线方式实现VPDN的网络拓扑图

    所有无线设备都处于一个专用网络内，各设备可以具有固定IP地址，各设备之间可以自由进行双向数据传递。此外，终端设备获得的是内网的IP地址，企业私网和Internet完全隔离，数据保密性好。不会受到来自互联网上的黑客及病毒的侵袭，能够有效保证稳定的传输速率和带宽。

● 终端：手机、笔记本、无线Modem等。

● GGSN：网关支持节点, 用户通过WCDMA接入到GGSN，GGSN判断是VPN用户，向指定的LNS发起L2TP连接。

● 运营商AAA服务器：负责对用户的域名进行鉴权认证，AAA服务器对登录用户的域名和该用户的用户名密码核对验证，验证通过后，方可接入运营商的GPRS/WCDMA网络。

● 专线：采用数据专线将运营商的GPRS/WCDMA网关和用户的LNS设备连接起来。

● 用户侧路由器（LNS）：需支持L2TP协议，RADIUS协议,要与GGSN建立L2TP隧道。

● 防火墙：为提高网络安全性建议架设防火墙，可利用用户现有设备。

● 企业AAA服务器：用于认证、授权、计费，实现对拨号用户名、密码和IP地址的管理，此服务器为可选配置，用于提高网络的安全性。

● 用户侧应用服务器：根据用户开展的不同业务，此服务器可以是数据库服务器、OA服务器、视频服务器等，在连接建立之后此服务器可以自由地与无线终端进行通信。





图2: VPDN连接建立流程

    简单来说，上图中企业用户通过无线网络接入GGSN分组域，由分组域中AAA进行接入认证，业务授权，在GGSN和企业网之间利用L2TP协议建立起专用隧道，并可以在隧道中利用工作在传输模式下的IPSec协议把IP数据包加密，从而保护隧道中的数据安全。接入用户通过企业网AAA的认证后，终端经过分组网的GGSN与企业的LNS间建立起PPP连接，用户传输的数据流通过隧道到达企业网。

    终端用户拨号成功后，通过空中接口和隧道连接与用户侧LNS设备(路由器)相连，实现数据通信。此外，该系统中的用户AAA服务器可通过手机号码或者用户名密码绑定终端用户IP地址，依据IP地址建立访问控制机制。拨号终端由于被分配的是局域网的地址，就好像通过WCDMA无线网络被联入了用户的局域网(图3)，因此可以说WCDMA网络辅助VPDN的技术可以将公司的内网安全地进行了无线延伸。





图3用户拨号成功后的逻辑网络结构图

二、 VPDN业务的安全性
2.1 WCDMA网络的安全保护

实现了双向认证，不但提供了基站对手机的认证，也提供了手机对基站的认证，可有效防止伪基站攻击；
提供了链路数据信令的完整性保护，加强了消息在网络内的传送安全，采用了以交换设备为核心的安全机制，加密链路延伸到交换设备，并提供基于端到端的全网范围内的加密；
根密钥、加密密钥、完整性密钥长度增加为128bit，改进了算法；
接入链路加密延伸至无线网络控制器（RNC）；
在移动通信中，用户和网络间的大多数信令信息是非常敏感的，WCDMA系统中采用了消息认证来保护用户和网络间的信令消息没有被篡改，使这些数据得到了完整性保护。
2.2 WCDMA网络接入认证

    用户申请接入时，WCDMA网络对用户是否已签约VPDN专用接入点名称进行鉴权，已签约用户才会被允许接入，进入下一步认证过程。

2.3 运营商侧AAA服务器认证

    VPDN业务平台通过不同的域名区分VPDN客户，同一VPDN客户域内的号码与域名绑定。即使域名被盗用但没有使用客户指定的号码发起接入请求，运营商侧AAA服务器判断为非法接入将拒绝此次申请。

2.4 客户侧认证机制

    VPDN业务要求在发起接入请求时必须使用用户名和密码，而且将对用户名、密码鉴权过程在客户侧完成。客户可使用路由器对用户名和密码的匹配关系进行简单的鉴权，也可部署一台AAA服务器，将用户名、密码、用户号码等信息捆绑进行跟复杂的鉴权，任何一个参数不匹配均认为是非法接入请求，拒绝接入。在认证通过后由客户侧分配IP地址，IP地址的管理权限由客户控制，便于对内部网络地址的整体规划。

2.5 L2TP隧道的安全保护

    在运营商侧GGSN与客户侧接入路由之间建立L2TP隧道，客户数据被封装在隧道内传输，受到L2TP隧道的保护。