銳捷3G無線VPDN解決方案

1、3g 無線 vpdn 解決方案 第 1 頁 共 14 頁 3g3g 無線無線 vpdnvpdn 解決方案解決方案 銳捷網(wǎng)絡(luò)銳捷網(wǎng)絡(luò) 3g 無線 vpdn 解決方案 第 2 頁 共 14 頁 目目錄錄 、項目背景概述、項目背景概述.3 、3g3g 數(shù)據(jù)業(yè)務(wù)介紹數(shù)據(jù)業(yè)務(wù)介紹.3 、3g3g 應(yīng)用設(shè)計方案應(yīng)用設(shè)計方案.6 vpdn 解決方案.6 無線安全措施.9 ipsec vpn 安全措施 .13 、測試方案、測試方案.14 3g 無線 vpdn 解決方案 第 3 頁 共 14 頁 、項目背景概述、項目背景概述 2009 年月份國家工業(yè)與信息化部正式向移動、聯(lián)通、電信三 家運(yùn)營商分別頒發(fā)了 cdm

2、a2000、td-scdma、wcdma 三張牌照。隨著 運(yùn)營商對 3g 的投入不斷增加，其業(yè)務(wù)成熟度及信號服務(wù)質(zhì)量也將會 不斷增強(qiáng)。 在傳統(tǒng)的有線模式下，滿足移動式服務(wù)車、大客戶上門服務(wù)、 臨時 atm 點(diǎn)等環(huán)境存在通訊的困難，主要是無長期固定地點(diǎn)且業(yè)務(wù) 量也小，租賃專線的成本過高，存在著高速無線的需求，而 3g 是目 前最有可能滿足這種應(yīng)用的技術(shù)。 本項目主要研究適用于的 3g 解決方案。 、3g3g 數(shù)據(jù)業(yè)務(wù)數(shù)據(jù)業(yè)務(wù)介紹介紹 3g 最大的變化，只是在最后一公里無線連接速率上的提升，以 及在無線信號部分安全性的增強(qiáng)。后端的有線網(wǎng)，除進(jìn)行必要的提 速之外，其它均無實質(zhì)性的變化。3g 用于企業(yè)

3、數(shù)據(jù)通訊業(yè)務(wù)可以歸 結(jié)為兩種：一種是普通互聯(lián)網(wǎng)業(yè)務(wù)；一種是無線 vpdn 業(yè)務(wù)（或無線 ddn） 。相對應(yīng)就有兩種解決方案： 3g 無線 vpdn 解決方案 第 4 頁 共 14 頁 （1自建 vpn） （2.運(yùn)營商 vpdn） 第一種，通過互聯(lián)網(wǎng)自建 vpn 的方案。網(wǎng)點(diǎn)路由器通過 3g 撥到普通互聯(lián)網(wǎng)，總部出口需要準(zhǔn)備一根到互聯(lián)網(wǎng)線路，且 分配公有地址。網(wǎng)點(diǎn)和總部的路由器之間直接建立 ipsec vpn 加密隧道。由于有些運(yùn)營商為 3g 分配私有地址，運(yùn)營 商內(nèi)部要經(jīng)過 nat，所有需要采用 ipsec vpn 穿越 nat 的機(jī) 制。 第二種，利用運(yùn)營商提供的 vpdn 方案。網(wǎng)點(diǎn)路由器

4、通過 3g 撥號至運(yùn)營商的 lac 設(shè)備，然后 lac 設(shè)備通過專線和總部出 口的路由器（即 lns）建立 l2tp vpn 隧道。然后網(wǎng)點(diǎn)路由 器再與總部路由器，在 l2tp 基礎(chǔ)之上建立 ipsec vpn 加密 隧道。運(yùn)營商可以通過策略使網(wǎng)點(diǎn) 3g sim 卡，只能撥到總 3g 無線 vpdn 解決方案 第 5 頁 共 14 頁 部內(nèi)網(wǎng)，而不能到互聯(lián)網(wǎng)，這樣即保證安全又可以防止員工 非法使用。運(yùn)營商和總部之間可以采用專線、城域網(wǎng) vpn 等 線路，針對銀行一般采用 sdh/mstp 等專線更加安全。 兩種方案優(yōu)劣勢的分析對比如下： 第一種方案網(wǎng)點(diǎn) 3g 和總部出口鏈路都連接普通互聯(lián)網(wǎng)，安

5、 全性較差，成本較低，網(wǎng)點(diǎn)的 3g 和總部的鏈路不一定是同 一家運(yùn)營商組網(wǎng)靈活性好。 第二種方案網(wǎng)點(diǎn)的 3g 只能撥到總部，總部采用專線，兩端 都和互聯(lián)網(wǎng)隔離，安全性高，成本較高，網(wǎng)點(diǎn)的 3g 必須和 總部的專線隸屬同一家運(yùn)營商靈活性較差。 我們主要考慮 3g 在生產(chǎn)環(huán)境，如臨時網(wǎng)點(diǎn)、離行 atm、大客戶 上門服務(wù)、柜面網(wǎng)點(diǎn)備份等，對安全性要求高，所以本文主要介紹 3g vpdn 設(shè)計方案及測試方案。 3g 無線 vpdn 解決方案 第 6 頁 共 14 頁 、3g3g 應(yīng)用設(shè)計方案應(yīng)用設(shè)計方案 vpdnvpdn 解決方案解決方案 如上圖所示，網(wǎng)點(diǎn)采用路由器+3g modem，運(yùn)營商需要有 l

6、ac 及 配套的 aaa 服務(wù)器。總部需要準(zhǔn)備一臺路由器（lns） ，一條專線， 一臺 aaa 服務(wù)器。lac 主要負(fù)責(zé)對 3g 用戶的認(rèn)證（并在認(rèn)證的過程 中區(qū)分是普通互聯(lián)網(wǎng)用戶還是企業(yè)用戶） ，及與該用戶所屬企業(yè)的 lns 建立隧道的作用。網(wǎng)點(diǎn)路由器的 ip 地址，可由運(yùn)營商動態(tài)分配， 也可由 lns 分配（注：中國移動的 3g，用戶不能隨意分配 ip 地址， 有可能存在和其它移動用戶沖突的可能，因此用戶內(nèi)部自行規(guī)劃分 配的地址段必須獲得移動的確認(rèn)） ，建議采用靜態(tài) ip 地址?？偛柯?3g 無線 vpdn 解決方案 第 7 頁 共 14 頁 由器的 ip 地址，必須是靜態(tài)配置。 運(yùn)營商

7、aaa 服務(wù)器中配置用戶 imsi 信息（imsi 是在運(yùn)營商網(wǎng) 絡(luò)中唯一識別一個移動用戶的號碼，由 15 位數(shù)字組成，存于 sim 卡 中） 、終端用戶的賬號和密碼、對應(yīng) lns 地址、vpdn 隧道屬性?？?部 aaa 服務(wù)器主要存放網(wǎng)點(diǎn)路由器建立連接時所需要的用戶名和密 碼。用戶名的格式為 xxxx.com.cn，其中前面的字符串可以由用 戶端自行定義，后面的字符串即域名，必須由運(yùn)營商分配。運(yùn)營 商 aaa 服務(wù)器通過域名，確認(rèn)該用戶的權(quán)限。運(yùn)營商 aaa 服務(wù)器與 總部 aaa 服務(wù)器的用戶名和密碼必須一致。 工作過程如下： 1) 網(wǎng)點(diǎn)路由器 3gmodem 通過無線信號找到運(yùn)營商基站

8、并 注冊連接（對 sim 卡認(rèn)證、并協(xié)商雙方加密密鑰） 。 2) 路由器啟動 ppp 撥號向 lac 發(fā)出認(rèn)證請求。 3) lac 把認(rèn)證請求轉(zhuǎn)至運(yùn)營商 lac aaa 服務(wù)器。 4) aaa 服務(wù)器將會回復(fù)認(rèn)證結(jié)果并返回該用戶所屬的 lns 地址、vpdn 隧道屬性等信息。 5) lac 向返回的 lns 地址發(fā)出 l2tp 隧道建立請求，隧道建 立成功（請求建立隧道的認(rèn)證可選） 。 6) lns 對網(wǎng)點(diǎn)路由器的用戶名和密碼進(jìn)行重新認(rèn)證（lns 對 網(wǎng)點(diǎn)路由器的重認(rèn)證可選） 。 7) l2tp 隧道建立完成。網(wǎng)點(diǎn)路由器對應(yīng)的撥號接口 up。 8) 如果網(wǎng)點(diǎn)發(fā)起了能夠觸發(fā) ipsec vpn

9、的流量，則 ipsec 3g 無線 vpdn 解決方案 第 8 頁 共 14 頁 vpn 隧道建立過程啟動。網(wǎng)點(diǎn)路由器與 lns 發(fā)起 ipsec vpn 連接請求。 安全措施，主要有以下幾個方面： 1) 無線信號：網(wǎng)點(diǎn)路由器 3g modem 通過信號找到基站后，有 一個注冊的過程，在這個過程中運(yùn)營商側(cè)需要對接入的 3g sim 卡身份通過密鑰機(jī)制進(jìn)行確認(rèn)（這個過程也稱為鑒權(quán)） 。 在身份確認(rèn)的過程中，雙方還會協(xié)商用于通訊加密的密鑰， 并在通信過程中采用該密鑰對數(shù)據(jù)和話音進(jìn)行加密，以避免 被監(jiān)聽。同時在對數(shù)據(jù)加密完成之后，還會附加上校驗碼， 對方在收到之后會重新計算和核對校驗碼是否正確，以此

10、判 斷信息是否在無線傳輸過程中被篡改。 2) 訪問控制：運(yùn)營商 lac 設(shè)備綁定賬號和 sim 卡中的 imsi 標(biāo) 識號，保證賬號不會被其它 3g 用戶盜用（即用戶拿其它的 3g 卡，用賬號進(jìn)行撥號，運(yùn)營商側(cè)可以把賬號和 sim 卡的唯 一標(biāo)識碼進(jìn)行綁定，避免被盜用） 。lac 設(shè)備可以對不同的用 3g 無線 vpdn 解決方案 第 9 頁 共 14 頁 戶加載網(wǎng)絡(luò)訪問權(quán)限，當(dāng)發(fā)現(xiàn)是的賬號時，就只允許該用戶 訪問 vpdn，而不能訪問互聯(lián)網(wǎng)； 3) 數(shù)據(jù)加密：3g 的加密，只針對無線的部分，從 lac 到 lns 之 間雖然有 l2tp 隧道，但是該隧道并不加密，還是明文傳送， 而從 lac

11、 到專線網(wǎng)中間還有可能經(jīng)過不可信任的網(wǎng)絡(luò)，所以 在網(wǎng)點(diǎn)和總部路由器之間，采用 ipsec vpn 實現(xiàn)端到端的加 密。ipsec vpn 同樣采用密鑰的機(jī)制，提供身份認(rèn)證、數(shù)據(jù) 保密和完整性的服務(wù)； 安全措施的詳細(xì)說明，請看后續(xù)章節(jié)。 無線安全措施無線安全措施 2g 的 cdma 和 gsm 時，就有針對終端入網(wǎng)時身份合法性確認(rèn)的鑒權(quán) 功能，和利用內(nèi)置在 sim 卡中的密鑰對無線信號進(jìn)行加密的功能。 3g 在 2g 的基礎(chǔ)上進(jìn)行延續(xù)并做了安全性增強(qiáng)。 鑒權(quán)簡介鑒權(quán)簡介 鑒權(quán)就是指身份認(rèn)證，是對請求進(jìn)入 3g 網(wǎng)絡(luò)的終端進(jìn) 行身份合法性的確認(rèn)，3g 終端也會對運(yùn)營商網(wǎng)絡(luò)的身份進(jìn) 行確認(rèn)。 用戶和

12、運(yùn)營商網(wǎng)絡(luò)之間進(jìn)行雙向認(rèn)證&在互相確認(rèn)對方 身份的基礎(chǔ)上生成數(shù)據(jù)加密密鑰 ck, 和數(shù)據(jù)完整性密鑰 ik,為 下一步的數(shù)據(jù)傳輸做準(zhǔn)備。 3g 無線 vpdn 解決方案 第 10 頁 共 14 頁 原理如下： ms 即指用戶，sn/vlr、he/hlr 可以簡單理解為運(yùn)營商中的兩種不同的設(shè)備， 下面還會提到 usim 也可以簡單理解為是用戶側(cè)。 用戶 sim 卡和運(yùn)營商側(cè)保存著一個相同的密鑰 k。在 運(yùn)營商內(nèi)部會為每個用戶生成多組的認(rèn)證向量 av（randxresckikautn）： 序列號 1. randxresckikautn 序列號 2. randxresckikautn 序列號 3. r

13、andxresckikautn . autn 表示認(rèn)證令牌（即一組字符串，有三種字符串組成， sqn+ak、amf、消息認(rèn)證碼，其中的 sqn 是指 av 組序列號, ak 是密鑰）；res 和 xres 分別表示用戶的應(yīng)答信息和運(yùn)營 商的應(yīng)答信息；rand 表示生成的隨機(jī)數(shù)；ck 和 ik 分別表 示數(shù)據(jù)保密密鑰和數(shù)據(jù)完整性密鑰。大致過程如下： 3g 無線 vpdn 解決方案 第 11 頁 共 14 頁 運(yùn)營商收到用戶的接入請求時從一組認(rèn)證向量中選擇 一組 av（i），將 av（i）中的 rand（i）和 autn（i）發(fā) 送給用戶的 usim 進(jìn)行認(rèn)證。用戶收到 rand 和 autn 后

14、計算 出消息認(rèn)證碼 xmac（見下圖），并與 autn 中包含的 mac 相比較，如果二者不同，usim 將向 vlrsgsn 發(fā)送拒絕認(rèn) 證消息。這個過程其實是用戶在認(rèn)證運(yùn)營商網(wǎng)絡(luò) 的合法性。 f1、f2、f3、f4、f5 是一種加解密算法，該算法由運(yùn)營商掌握不對外公開， 在用戶辦理入網(wǎng)時，由運(yùn)營商把算法及密鑰 k 存入 sim 卡中。 如果二者相同，usim 計算應(yīng)答信息 xres（i），發(fā)送 給 sn（運(yùn)營商側(cè)的設(shè)備）。sn 在收到應(yīng)答信息后，比較 xres（i）和 res（i）的值。如果相等則通過認(rèn)證，否則 不建立連接。這樣就完成了雙向的鑒權(quán)。 加密簡介加密簡介 3g 無線 vpdn

15、解決方案 第 12 頁 共 14 頁 在鑒權(quán)通過的基礎(chǔ)上，msusim 根據(jù) rand（i）和它在入 網(wǎng)時的共享密鑰 ki 來計算數(shù)據(jù)保密密鑰 cki 和數(shù)據(jù)完整性 密鑰 ik（i）。sn 根據(jù)發(fā)送的 av 選擇對應(yīng)的 ck 和 ik。 在 3g 系統(tǒng)中，網(wǎng)絡(luò)接入部分的數(shù)據(jù)保密性主要提供 4 個安 全特性：加密算法協(xié)商、加密密鑰協(xié)商、用戶數(shù)據(jù)加密和 信令數(shù)據(jù)加密。其中加密密鑰協(xié)商在鑒權(quán)過程中完成。加 密算法協(xié)商由用戶與運(yùn)營商網(wǎng)間的安全模式協(xié)商機(jī)制完成。 在無線接入鏈路上仍然采用分組密碼流對原始數(shù)據(jù)加密， 采用了 f8 算法，如下圖所示。它有 5 個輸入：count 是 密鑰序列號；bearer

16、 是鏈路身份指示；direction 是 上下行鏈路指示；length 是密碼流長度指示；ck 是長 度位 128 bit 的加密密鑰。 2g 加密密鑰為 64 位，3g 為 128 位；2g 加密采用預(yù)先共享的密鑰， 3g 通過協(xié)商算出密鑰，所以 3g 的安全性更強(qiáng)。 完整性簡介完整性簡介 鑒權(quán)過程中，雙方不僅協(xié)商了用于加密密鑰 ck，還協(xié)商了 數(shù)據(jù)完整性密鑰 ik。完整性保證，工作原理如下： 3g 無線 vpdn 解決方案 第 13 頁 共 14 頁 發(fā)送方把要傳送的數(shù)據(jù)用完整性密鑰 ik 經(jīng)過 f9 算法 產(chǎn)生消息認(rèn)證碼 mac，將其附加在發(fā)出的消息后面。在接 收方把收到的消息用同樣的方法計算得到 xmac。接收方把 收到的 mac 與 xmac 相比較，如二者相同就說明收到的消息