锐捷3G无线VPDN解决方案.doc

上传人:文库蛋蛋多 文档编号:4131681 上传时间:2023-04-06 格式:DOC 页数:14 大小:602.50KB
返回 下载 相关 举报
锐捷3G无线VPDN解决方案.doc_第1页
第1页 / 共14页
锐捷3G无线VPDN解决方案.doc_第2页
第2页 / 共14页
锐捷3G无线VPDN解决方案.doc_第3页
第3页 / 共14页
锐捷3G无线VPDN解决方案.doc_第4页
第4页 / 共14页
锐捷3G无线VPDN解决方案.doc_第5页
第5页 / 共14页
点击查看更多>>
资源描述

《锐捷3G无线VPDN解决方案.doc》由会员分享,可在线阅读,更多相关《锐捷3G无线VPDN解决方案.doc(14页珍藏版)》请在三一办公上搜索。

1、3G无线VPDN解决方案锐捷网络目录、项目背景概述3、3G数据业务介绍3、3G应用设计方案6VPDN解决方案6无线安全措施9IPSEC VPN安全措施13、测试方案14、项目背景概述2009年月份国家工业与信息化部正式向移动、联通、电信三家运营商分别颁发了CDMA2000、TD-SCDMA、WCDMA三张牌照。随着运营商对3G的投入不断增加,其业务成熟度及信号服务质量也将会不断增强。在传统的有线模式下,满足移动式服务车、大客户上门服务、临时ATM点等环境存在通讯的困难,主要是无长期固定地点且业务量也小,租赁专线的成本过高,存在着高速无线的需求,而3G是目前最有可能满足这种应用的技术。本项目主要

2、研究适用于的3G解决方案。、3G数据业务介绍3G最大的变化,只是在最后一公里无线连接速率上的提升,以及在无线信号部分安全性的增强。后端的有线网,除进行必要的提速之外,其它均无实质性的变化。3G用于企业数据通讯业务可以归结为两种:一种是普通互联网业务;一种是无线VPDN业务(或无线DDN)。相对应就有两种解决方案:(1 自建VPN)(2.运营商VPDN)l 第一种,通过互联网自建VPN的方案。网点路由器通过3G拨到普通互联网,总部出口需要准备一根到互联网线路,且分配公有地址。网点和总部的路由器之间直接建立IPSEC VPN加密隧道。由于有些运营商为3G分配私有地址,运营商内部要经过NAT,所有需

3、要采用IPSEC VPN穿越NAT的机制。l 第二种,利用运营商提供的VPDN方案。网点路由器通过3G拨号至运营商的LAC设备,然后LAC设备通过专线和总部出口的路由器(即LNS)建立L2TP VPN隧道。然后网点路由器再与总部路由器,在L2TP基础之上建立IPSEC VPN加密隧道。运营商可以通过策略使网点3G SIM卡,只能拨到总部内网,而不能到互联网,这样即保证安全又可以防止员工非法使用。运营商和总部之间可以采用专线、城域网VPN等线路,针对银行一般采用SDH/MSTP等专线更加安全。两种方案优劣势的分析对比如下:l 第一种方案网点3G和总部出口链路都连接普通互联网,安全性较差,成本较低

4、,网点的3G和总部的链路不一定是同一家运营商组网灵活性好。l 第二种方案网点的3G只能拨到总部,总部采用专线,两端都和互联网隔离,安全性高,成本较高,网点的3G必须和总部的专线隶属同一家运营商灵活性较差。我们主要考虑3G在生产环境,如临时网点、离行ATM、大客户上门服务、柜面网点备份等,对安全性要求高,所以本文主要介绍3G VPDN设计方案及测试方案。、3G应用设计方案VPDN解决方案如上图所示,网点采用路由器+3G MODEM,运营商需要有LAC及配套的AAA服务器。总部需要准备一台路由器(LNS),一条专线,一台AAA服务器。LAC主要负责对3G用户的认证(并在认证的过程中区分是普通互联网

5、用户还是企业用户),及与该用户所属企业的LNS建立隧道的作用。网点路由器的IP地址,可由运营商动态分配,也可由LNS分配(注:中国移动的3G,用户不能随意分配IP地址,有可能存在和其它移动用户冲突的可能,因此用户内部自行规划分配的地址段必须获得移动的确认),建议采用静态IP地址。总部路由器的IP地址,必须是静态配置。运营商AAA服务器中配置用户IMSI信息(IMSI是在运营商网络中唯一识别一个移动用户的号码,由15位数字组成,存于SIM卡中)、终端用户的账号和密码、对应LNS地址、VPDN隧道属性。总部AAA服务器主要存放网点路由器建立连接时所需要的用户名和密码。用户名的格式为XXXX.COM

6、.CN,其中前面的字符串可以由用户端自行定义,后面的字符串即域名,必须由运营商分配。运营商AAA服务器通过域名,确认该用户的权限。运营商AAA服务器与总部AAA服务器的用户名和密码必须一致。工作过程如下:1) 网点路由器3Gmodem通过无线信号找到运营商基站并注册连接(对SIM卡认证、并协商双方加密密钥)。2) 路由器启动PPP拨号向LAC发出认证请求。3) LAC把认证请求转至运营商LAC AAA服务器。4) AAA服务器将会回复认证结果并返回该用户所属的LNS地址、VPDN隧道属性等信息。5) LAC向返回的LNS地址发出L2TP隧道建立请求,隧道建立成功(请求建立隧道的认证可选)。6)

7、 LNS对网点路由器的用户名和密码进行重新认证(LNS对网点路由器的重认证可选)。7) L2TP隧道建立完成。网点路由器对应的拨号接口UP。8) 如果网点发起了能够触发IPSEC VPN的流量,则IPSEC VPN隧道建立过程启动。网点路由器与LNS发起IPSEC VPN连接请求。安全措施,主要有以下几个方面:1) 无线信号:网点路由器3G MODEM通过信号找到基站后,有一个注册的过程,在这个过程中运营商侧需要对接入的3G SIM卡身份通过密钥机制进行确认(这个过程也称为鉴权)。在身份确认的过程中,双方还会协商用于通讯加密的密钥,并在通信过程中采用该密钥对数据和话音进行加密,以避免被监听。同

8、时在对数据加密完成之后,还会附加上校验码,对方在收到之后会重新计算和核对校验码是否正确,以此判断信息是否在无线传输过程中被篡改。2) 访问控制:运营商LAC设备绑定账号和SIM卡中的IMSI标识号,保证账号不会被其它3G用户盗用(即用户拿其它的3G卡,用账号进行拨号,运营商侧可以把账号和SIM卡的唯一标识码进行绑定,避免被盗用)。LAC设备可以对不同的用户加载网络访问权限,当发现是的账号时,就只允许该用户访问VPDN,而不能访问互联网;3) 数据加密:3G的加密,只针对无线的部分,从LAC到LNS之间虽然有L2TP隧道,但是该隧道并不加密,还是明文传送,而从LAC到专线网中间还有可能经过不可信

9、任的网络,所以在网点和总部路由器之间,采用IPSEC VPN实现端到端的加密。IPSEC VPN同样采用密钥的机制,提供身份认证、数据保密和完整性的服务;安全措施的详细说明,请看后续章节。无线安全措施2G的CDMA和GSM时,就有针对终端入网时身份合法性确认的鉴权功能,和利用内置在SIM卡中的密钥对无线信号进行加密的功能。3G在2G的基础上进行延续并做了安全性增强。鉴权简介鉴权就是指身份认证,是对请求进入3G网络的终端进行身份合法性的确认,3G终端也会对运营商网络的身份进行确认。用户和运营商网络之间进行双向认证&在互相确认对方身份的基础上生成数据加密密钥CK, 和数据完整性密钥IK,为下一步的

10、数据传输做准备。原理如下:MS即指用户,SN/VLR、HE/HLR可以简单理解为运营商中的两种不同的设备,下面还会提到USIM也可以简单理解为是用户侧。用户SIM卡和运营商侧保存着一个相同的密钥K。在运营商内部会为每个用户生成多组的认证向量AV(RANDXRESCKIKAUTN):序列号1. RANDXRESCKIKAUTN序列号2. RANDXRESCKIKAUTN序列号3. RANDXRESCKIKAUTN.AUTN表示认证令牌(即一组字符串,有三种字符串组成,SQN+AK、AMF、消息认证码,其中的SQN是指AV组序列号,AK是密钥);RES和XRES分别表示用户的应答信息和运营商的应答

11、信息;RAND表示生成的随机数;CK和IK分别表示数据保密密钥和数据完整性密钥。大致过程如下:运营商收到用户的接入请求时从一组认证向量中选择一组AV(i),将AV(i)中的RAND(i)和AUTN(i)发送给用户的USIM进行认证。用户收到RAND和AUTN后计算出消息认证码XMAC(见下图),并与AUTN中包含的MAC相比较,如果二者不同,USIM将向VLRSGSN发送拒绝认证消息。这个过程其实是用户在认证运营商网络的合法性。f1、f2、f3、f4、f5是一种加解密算法,该算法由运营商掌握不对外公开,在用户办理入网时,由运营商把算法及密钥K存入SIM卡中。如果二者相同,USIM计算应答信息X

12、RES(i),发送给SN(运营商侧的设备)。SN在收到应答信息后,比较XRES(i)和RES(i)的值。如果相等则通过认证,否则不建立连接。这样就完成了双向的鉴权。加密简介在鉴权通过的基础上,MSUSIM根据RAND(i)和它在入网时的共享密钥Ki来计算数据保密密钥CKi和数据完整性密钥IK(i)。SN根据发送的AV选择对应的CK和IK。在3G系统中,网络接入部分的数据保密性主要提供4个安全特性:加密算法协商、加密密钥协商、用户数据加密和信令数据加密。其中加密密钥协商在鉴权过程中完成。加密算法协商由用户与运营商网间的安全模式协商机制完成。在无线接入链路上仍然采用分组密码流对原始数据加密,采用了

13、f8算法,如下图所示。它有5个输入:COUNT是密钥序列号;BEARER是链路身份指示;DIRECTION是上下行链路指示;LENGTH是密码流长度指示;CK是长度位128 bit的加密密钥。 2G加密密钥为64位,3G为128位;2G加密采用预先共享的密钥,3G通过协商算出密钥,所以3G的安全性更强。完整性简介鉴权过程中,双方不仅协商了用于加密密钥CK,还协商了数据完整性密钥IK。完整性保证,工作原理如下:发送方把要传送的数据用完整性密钥IK经过f9算法产生消息认证码MAC,将其附加在发出的消息后面。在接收方把收到的消息用同样的方法计算得到XMAC。接收方把收到的MAC与XMAC相比较,如二者相同就说明收到的消息是完整的,中间未被篡改。IPSEC VPN安全措施IPSEC主要提供针对数据层面的加密功能,网点路由器和LNS建立连接时,需要协商双方的加密密钥,提供身份的认证、加密、完整性保护。目前锐捷RSR20路由器支持的加密和hash算法主要有:加密算法des,3des,aes128,aes192,aes256 hash;算法 md5和sha。具体的工作过程不再赘述。、测试方案见附件。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 办公文档 > 其他范文


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号