无线接入认证解决方案.docx
《无线接入认证解决方案.docx》由会员分享,可在线阅读,更多相关《无线接入认证解决方案.docx(22页珍藏版)》请在冰豆网上搜索。
无线接入认证解决方案
无线接入认证解决方案
(CDMA1x网络+VPDN)
1技术介绍4
1.1VPDN是什么4
1.2VPDN技术发展由来5
1.3为什么会采用L2TP5
1.4基于二层隧道的VPDN模型6
1.5VPDN的身份验证方法6
1.5.1口令验证协议(PAP)6
1.1.2挑战—握手验证协议(CHAP)7
1.1.3IMSI号验证7
2组网方式8
3VPDN的实现过程9
3.1系统构成部分9
3.2实现过程9
4VPDN系统特点10
4.1支持企业端托管和独立的管理方式10
4.2支持漫游11
4.3简单方便的客户端软件11
4.4高度扩展和伸缩性11
5方案建议12
5.1系统整体方案12
5.2建立在线互备的E-Securer3.2身份认证系统13
5.3利用IMSI卡号认证13
5.4访问控制13
5.5全国漫游14
5.6接口设计15
5.6.1与用户的接口15
5.6.2与政务网的接口15
5.6.3与应用系统的接口15
6方案优势16
6.1基于域名的线路选择16
6.2第二层加密隧道L2TPVPN16
6.3基于IMSI卡号的用户身份鉴别17
6.4基于ACL的访问控制17
7系统部署及配置18
7.1系统部署18
7.2系统配置19
7.2.1专线19
7.2.2本地网络服务(LNS)19
7.2.3联创身份认证服务器19
7.3配置清单20
8工程进度计划21
9联创VPN应用的成功案例22
9.1楚雄州政务网VPDN接入22
9.2江苏省高速公路管理处无线电路备份认证系统22
9.3苏州电力公司VPN接入认证系统22
9.4光大银行ATM机接入安全认证系统23
9.5其他成功案例23
1技术介绍
随着CDMA1X网络用户的发展和各项增值业务的顺利推广,市场对无线VPDN业务的需求越来越强烈。
CDMA1X分组网的VPDN业务,是利用CDMA1X高速分组数据网络为无线移动用户构建虚拟专用网络,从而使集团用户在任何地点都能够通过CDMA1X网络访问集团的私有网络,实现为职员和商业伙伴提供无缝和安全的连接,从而真正做到“让一切自由连通”。
但在CDMA1X分组域的VPDN业务发展中,一些对安全需求高的用户需要进行特别的安全措施进行安全保障。
同时,一站式服务和全套端对端的系统解决方案正为用户所青睐。
因此我们针对政府办公网安全性的需求,提供出端对端的CDMA专网整体安全解决方案。
联创E-Securer安全身份认证系统是针对政府、电信、金融、公安等对安全级别要求较高的企业用户的远程接入认证需求而开发的安全产品,通过双因素认证等高科技加密及安全技术达到高性能、高安全级别的作用。
1.1VPDN是什么
VPDN全称是VirtualPrivateDial-upNetwork,又称为虚拟专用(或私有)拨号网,是VPN业务的一种,亦即以拨号接入方式上网,通过在CDMA1x分组网络上传输数据,并对网络数据进行封包和加密,可以传输私有数据,达到私有网络的安全级别。
它是利用IP网络的承载功能结合相应的认证和授权机制建立起来的安全的虚拟专用网(VPN),是近年来随着Internet的发展而迅速发展起来的一种技术。
VPDN的具体实现是采用隧道技术,即将企业网的数据封装在隧道中进行传输。
隧道技术的基本过程是在源局域网与公网的接口处将数据(是OSI七层模型中的网络层数据)作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。
被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。
要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。
1.2VPDN技术发展由来
目前VPN隧道协议可分为第三层隧道协议和第二层隧道协议。
第二层隧道协议有点对点隧道协议(PPTP)、第二层转发(L2F)、第二层隧道协议(L2TP)三种。
PPTP是PPP的扩展,它增加了一个新的安全等级,并且可以通过Internet进行多协议通信,它支持通过公共网络(如Internet)建立按需的、多协议的、虚拟专用网络。
通过启用PPTP的VPN传输数据就像在企业的一个局域网内那样安全。
另外还可以使用PPTP建立专用LAN到LAN的网络。
L2F(第二层转发)协议是由Cisco公司提出的可以在多种媒质如ATM、帧中继、IP网上建立多协议的全VPN通信方式。
远端用户能够透过任何支持用户采用拨号方式接入公共IP网络,首先按常规方式拨号到ISP的接入服务器NAS,建立PPP连接;NAS根据用户名等信息,发起第二重连接,通向HGW服务器。
在这种情况下隧道的配置、建立对用户是完全透明的。
L2TP(第二层隧道协议)结合了L2F和PPTP的优点,是一个工业标准的Internet隧道协议,它和PPTP的功能大致相同。
L2TP也会压缩PPP的帧,从而压缩IP、IPX或NetBEUI协议,同样允许用户远程运行依赖特定网络协议的应用程序。
目前L2TP只支持通过IP网络建立隧道,不支持通过X.25、帧中继或ATM网络的本地隧道。
1.3为什么会采用L2TP
VPDN主要是采用第二层隧道协议(L2TP),为什么会采用L2TP?
有以下几点原因:
(1)对于GRE及IPSec这些三层隧道协议,区分用户将比较困难;因为在三层(IP层),一般只能通过IP地址来区分用户。
对于VPN来说,用户的地址是可以重复的,这样,三层隧道协议不适合区分用户。
(2)L2TP是二层(链路层)的隧道协议,是作为PPP的扩展提出来的。
PPP适合区分不同的用户,比如拨号用户、采取专线直连的对端路由器等等,因为PPP可以得到对端的用户名和更多用户信息。
对于拨号用户接入这种情况来说,需要区分不同的VPN用户,使用L2TP进行VPDN组建是最理想的。
(3)采用L2TP隧道协议,只分配企业网内部IP地址,而PPTP等第二层的隧道协议,要求有正式的IP地址,在拨入拨号服务器时,由拨号服务器提供,在二次拨入企业网关时,由企业网关分配内部网地址。
(4)采用L2TP隧道协议的VPDN,电信运营商主要维护运营商和企业之间的二层隧道。
不同企业之间的二层隧道是区分开来的,相互独立的二层隧道将保证各企业VPDN网的完全私有性和绝对安全性。
1.4基于二层隧道的VPDN模型
集团VPDN接入CDMA1X分组网考虑安全性,主要采用专线接入。
专线接入:
对于实时性、安全性要求较高的集团,如政府和公安的集团用户,既要考虑CDMA1X分组网到集团网的带宽需求,又要考虑传输数据的安全保密性,因此采用专网接入的方式是最安全的选择,既可以保证流量带宽又可以保证数据的安全,此种接入方式需要集团提供专线的租用费用,与第一种方式相比集团要增加租用专线的投资。
1.5VPDN的身份验证方法
1.5.1口令验证协议(PAP)
PAP是一种简单的明文验证方式。
NAS要求用户提供用户名和口令,PAP以明文方式返回用户信息。
很明显,这种验证方式的安全性较差,第三方可以很容易地获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。
所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。
1.1.1挑战—握手验证协议(CHAP)
CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。
NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串(arbitrarychallengestring)。
远程客户必须使用MD5单向散列算法(one-wayhashingalgorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非散列方式发送。
CHAP对PAP进行了改进,不再直接通过链路发送明文口令,而是使用挑战口令以散列算法对口令进行加密。
因为服务器端存有客户的明文口令,所以服务器可以重复客户端进行的操作,并将结果与用户返回的口令进行对照。
CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击(replayattack)。
在整个连接过程中,CHAP将不定时地向客户端重复发送挑战口令,从而避免第三方冒充远程客户(remoteclientimpersonation)进行攻击。
1.1.2IMSI号验证
IMSI号是IUM卡的全球唯一标识,当一个用户得到IUM卡的同时就有了与这个卡相关的IMSI号,这个号可以视为用户所拥有的资产,所以这个信息就可以作为身份鉴别的一个因素。
用户在发起一个VPDN拨号请求时,输入自己的账号和域名、静态密码,在通过CDMA1x网络验证通过后会进入联通内网,如果内网中部署了身份认证系统,那么身份认证系统就可以取得用户的IMSI号,送到系统的认证模块来进行用户身份的鉴别,如果这个号和输入的账号不一致,那么这个用户的拨号请求将被拒绝。
反之,则认证成功,进入内部网络中。
2组网方式
该方案主要特点为各个企业单独购买自己的Radius认证服务器,单独实施自己的安全身份认证系统。
用户通过CDMA1x上网的具体流程是这样的:
用户使用自己的CDMA1x卡,使用联通提供的1x拨号客户端,在拨号客户端输入用户名加域名的方式,例如test@.同时输入静态口令,用户的认证信息通过1x网络送到联通的PDSN上,PDSN在收到用户的认证请求包后,判断该请求包的域名(通过Radius认证服务器)。
然后根据域名(每个企业一个独立的域名,指到企业的接入网关,需要事先在CDMA1x网络的AAA服务器上配置好数据),将该包送到对应的企业接入网关(LNS)。
企业侧接入网关在收到用户的认证请求包后将用户的认证请求包送给企业的E-Scecurer安全身份认证服务器,认证服务器在收到认证请求包后判断用户的用户名,口令,IMSI号信息是否正确,若这三项信息完全正确,则用户认证通过,否则认证失败。
用户认证通过后,用户就通过这样的L2TP的隧道,建立了自己和企业的虚拟专用连接,用户如同置身于企业内网了。
整个操作流程非常简单。
同时用户仍然可以通过原来的用户名口令上Internet.这儿需要强调指出的是由于IMSI号的唯一性,保证了没有卡的用户即使知道了你的用户名,密码也无法登陆,这就极大地提高了系统的安全性。
3VPDN的实现过程
3.1系统构成部分
VPDN服务主要由CDMA1X路由器、LAC和LNS(防火墙或者cisco接入路由器如C2600Series)、AAA服务器组成,以下是各部分功能。
CDMA1X路由器:
连接在远程网络上的访问终端,是VPDN呼叫的发起者。
LAC:
是“第二层隧道协议(L2TP)访问集中器”(Layer2tunnelprotocolAccessConcentrator)的缩写,在CDMA1X分组网中是PDSN节点。
它是L2TP隧道的其中一个端点,也是LNS的对端。
LAC处于LNS和Client的中间,负责转发双方的数据包。
从LAC发往LNS的数据包需要封装到L2TP隧道中,而从LAC到Client的连接则使用CDMA1X无线分组传输技术。
LNS:
是“第二层隧道协议网络服务器”(Layer2tunnelprotocolNetworkServer)的缩写。
它是L2TP隧道的另一个端点,也是LAC的对端。
它是PPP会话的逻辑终点,而PPP会话被LAC封装成隧道形式,是从Client端开始的。
AAAserver:
AAA是认证(Authentication)、授权(Authorization)和记账(Accounting)的缩写。
AAA服务器负责对Client的身份进行验证。
3.2实现过程
远程无线CDMA1X终端(手机、笔记本)通过CDMA1X网络连入拜访地LAC。
LAC服务器通过用户名或接入号码识别出该用户为VPDN用户后,就和用户的目的VPDN服务器(企业内部服务器)建立一条连接,这条连接称为隧道,然后将用户数据包封装成IP报文后从该隧道传送给VPDN服务器,VPDN服务器收到数据包并拆封后就可以读到真正有意义的报文了。
详细实现过程如下:
用户(客户机)通过拨特服号#777呼叫,拨号时采用企业专有域名进行,用户将拨入运营商的LAC服务器,客户机和LAC进行LCP(LinkControlProtocol,链路控制协议)协商。
若协商成功,则LAC将用户名、域名、手机号国际码等信息送至AAA认证服务器对用户进行认证。
AAA使用CHAP或PAP来确定该用户是否VPDN的客户。
AAA根据相关信息进行认证判别,如果发现用户VPDN的客户,AAA认证服务器根据用户注册的信息向LAC发送建立L2TP隧道的对应参数,LAC也就从AAA服务器返回的信息中获得企业LNS的信息。
LAC利用所获得的企业LNS信息向LNS申请建立L2TP隧道。
基于从LAC请求中获得的名字和隧道密钥,LNS会通过查找本地的VPDN配置,检查该LAC是否允许建立隧道。
另外,LAC和LNS会互相认证。
然后LAC和LNS之间的隧道就会被建立起来。
在这个隧道中会进行一些VPDN的会话(session)。
在建立了隧道后,LAC和LNS之间会触发一个关于客户机的用户名@域名的VPDN会话,一个VPDN会话对应一个客户机。
在LNS和终端之间进行LCP的重协商。
如果协商成功,则进入用户认证阶段,终端向LNS发送认证相关信息。
LNS向终端返回认证信息。
如果认证通过后,终端和LNS之间进入IPCP(IPControlProtocol,IP控制协议)阶段,路由被建立起来,PPP对话也开始在Client和LNS之间进行。
LAC负责转发PPP数据帧。
LAC和LNS之间的PPP数据帧会在VPDN隧道中被传输。
VPDN用户与LNS成功建立PPP连接,开始进行通信。
这样,VPDN客户就实现了与企业内部服务器的通信。
4VPDN系统特点
4.1支持企业端托管和独立的管理方式
企业端的管理采用企业托管和企业独立管理方式。
企业托管方式也称为VPDNHosting,是指将企业端用户身份信息统一放在联通来维护,企业端不需要安装认证系统。
企业端管理员,只需要登录到联通为企业指定的位置登录上来进行维护自己的企业和员工信息即可。
企业独立管理方式和托管方式正好相反,即企业需要独立的安装一套管理系统,包括认证服务器、用户资料、数据库等。
这种方式的优点是企业单独维护自己的认证系统,企业的关键用户信息完全由自己管理。
相比于托管的方式更加安全可靠。
目前全省大部分企业选择这种方式。
企业托管的方式的优点是由运营商集中管理,可在一套系统上同时提供多个VPDN企业的管理,减少了企业的投资。
对于比较规模比较小的企业和维护力量相对比较弱的
4.2支持漫游
系统不仅为本省用户提供服务,同时也为其它省份用户提供服务。
其它省份用户通过本省系统进行拨号认证时,系统判断如果时外省全国性用户时,则认证服务器会将域名信息发送至全国认证服务器,全国认证服务器根据省级认证服务器转发来的用户信息向LAC发送建立L2TP隧道的对应参数。
4.3简单方便的客户端软件
系统为最终用户提供了统一的VPN接入拨号客户端软件,此客户端软件配置简单、使用方便。
客户端软件内部预置了与VPN网关连接的参数,用户安装后无需配置,直接输入用户名和密码就可以很方便创建VPN连接,同时客户端软件支持“获取动态密码”选项,增强了系统安全性。
4.4高度扩展和伸缩性
扩展性是指系统采用了先进的设计理念和技术,与平台无关性java开发,高度标准开放的对外接口和二次开发接口,保证了系统将来的功能扩展快速、方便,为运营商业务的推出争取了宝贵的时间。
伸缩性是指在服务请求数量增加时,系统有维持其平均性能的能力。
系统采用了网络和服务负载均衡技术在表现层、应用服务层、数据层都进行了优良的设计和考虑。
负载均衡可以将多个用户请求均分到每一个web服务器上,同时当系统中的一台应用服务器发生故障时,其它服务器会迅速的接管并继续访问数据库服务器。
5方案建议
5.1系统整体方案
无锡交警配备“移动警务通”,这种只能手机并非一般的手机,而是可以查询全市驾驶员和车辆档案的手机;无锡交警只要通过咋手机上点击拨号进行认证,通过认证后可以打开无锡警务通页面,打开页面后,交警们便可以格根据自己的工作需要,查询各种警务信息.如:
交管信息查询、犯罪信息查询、人口信息查询、基本信息查询、110电话查询等。
系统整体由两个部分组成:
电信CDMA无线网络与无锡公安网络,这两个部分之间通过专线连接。
系统部署图如下:
如上图所示,无锡交警警务通手机是VPDN接入端的设备,是用户进入无线网络的接口。
首先无锡交警无线终端移动电话发起VPDN连接请求,这一请求首先由CDMA1x网络到达PDSN,请求中包含了账号、用户口令、域名及IMSI号的认证信息,在PDSN经过AAA认证后,它将通过专线和LNS建立L2TP通信隧道,同时由LNS将认证数据包转发给认证服务器,认证服务器认证用户的账号、口令和IMSI号,通过认证后认证服务器反馈认证成功信息给LNS,这样LNS将会顺利与PDSN建立VPDN连接。
在建立了VPDN连接后,无线终端通过建立好的L2TP隧道与内部网络进行数据交换,访问内部资源,这样就可以将信息传到无锡交警内部网络。
5.2建立在线互备的E-Securer3.2身份认证系统
E-Securer身份认证服务器主要功能为检验用户的账号合法性和权限,并提供一定的审计功能。
我们建议这个系统才用双机热备的方式实现,因为双机可以有效的避免系统单点故障,消除系统因无法认证而带来的系统风险。
5.3利用IMSI卡号认证
利用IMSI号认证是解决动态密码认证带来的不便,用户同样利用CDMA1x网络发起VPDN拨号,由PDSN与用户本地LNS协商专用通信隧道,由E-Securer3.2身份认证系统根据用户名、静态密码、IMSI号进行身份认证。
IMSI号认证方式是E-Securer3.2身份认证系统特有的认证功能,管理员只要在系统中配置IMSI卡号用户的账号和密码及关联的IMSI号,用户就可以正常的使用这一功能进行认证。
但是因为IMSI号是专网内的特征号,如果使用Internet转发这个特征号有可能被过滤,或者到达目的地而无法识别,所以在采用IMSI号做用户鉴别的时候需要保证网络是专网,不经过Internet。
5.4访问控制
当客户端发起VPDN接入请求时,这一请求首先由CDMA1x网络到达PDSN,请求中包含了域名及IMSI号的认证信息,在PDSN经过AAA认证后,它将和LNS建立L2TP通信隧道,同时由LNS将认证数据包转发给认证服务器,认证服务器通过识别用户账号后,到系统相应的地址池为用户准备分配一个IP地址,通常是一个或几个固定的IP地址段中的地址,在认证通过后,认证系统将返回给用户一个IP地址,这样客户端将用这个IP地址访问内部的应用系统;如果这时在内部路由器上配置一定的ACL(访问控制列表),这样就可以利用ACL控制特定地址池内的用户访问特定的应用系统利。
5.5全国漫游
用户在漫游状态下VPDN的工作过程为:
本省用户到其它省份发起VPDN认证时,系统判断如果是外省全国性用户,则认证服务器会将域名信息发送至全国认证服务器,全国认证服务器根据省级认证服务器转发来的用户信息向目标LAC发送建立L2TP隧道的对应参数。
目标省的LAC在收到用来建立L2TP的对应数据时,就发起拨号请求与LNS建立通信隧道,通信的隧道建立好后,LNS将这个请求发给认证服务器,等待认证服务器通过用户身份鉴别和授权,如果认证服务器通过了身份鉴别和授权,则返回给LNS通过信号,LNS开始转发用户数据包到内部网络中,与应用系统通信,详细连接图如下图。
从以上的流程可以看出,漫游的关键技术在于外省认证服务器、全国认证服务器、目标省认证服务器之间的通信,如果这个通道可以顺利建立,那么剩下的就和在本省建立VPDN拨号的过程一样了。
5.6接口设计
5.6.1与用户的接口
用户在使用VPDN拨号时,首先需要拨号设备,本方案中提供的有移动PC和移动电话两种方式;用户在使用这两种拨号工具时,不管是在本省内还是在外省,均需要配备CDMA1x卡,接入到CDMA1x网络。
用户与VPDN之间的接口就是移动PC和移动电话加上CDMA卡。
CDMA无线网卡是配备在移动终端上的设备,用户通过CDMA卡和拨号软件拨入无线网络,再进行第二次拨号,才能进入到政务网中。
这里的移动终端包括手机、笔记本电脑、移动POS等。
5.6.2与政务网的接口
政务网网络在这里视为一个数据中心,当用户远程通过VPDN连接到数据中心时,就是一种成功的连接。
那么如果要得到这种成功的连接,在政务网和无线网络中需要有一个接口。
这个接口可以通过专线来实现,即在电信公司和政务网之间敷设专线来连接CDMA1x网和政务网。
在政务网一侧,和LNS实际相连的是政务网中的路由器,这样就把政务网网络和CDMA1x无线网络连接在一起,这样就提供了一个物理的通道连接内网和线接入网。
5.6.3与应用系统的接口
用户在使用VPDN连接的时候,当加密隧道建立成功,用户身份认证成功后,就具备了进入政务网的条件。
这时在用户终端和内网之间有一条通过CDMA无线连接的加密通道,这个通道可以使用户觉得像是在内网中操作一样简便。
政务网中的各应用系统是独立于VPDN拨号网络的,就是说这种拨号网络接入政务网的方式存在与否和应用系统没有关系,对用户是透明的,只要用户完成相应的拨号就可以了。
所以应用系统不需要进行相应的改造就可以对VPDN拨入用户提供服务。
6方案优势
6.1基于域名的线路选择
方案中采用专线的方式和联通网络相连接,由于和联通网络对连的企业LNS可能有若干个,因为联通可能为若干个用户提供VPDN接入。
但如何保证这些LNS之间不被互相访问?
这也是方案考虑的一个优势所在。
首先一个用户有自己的UIM卡、拥有自己的用户名称和密码,这个用户名就是命名规则如:
test1@gdyh.133vpdn.yn,可以看出这个一个基于域名的命名方式,从域名上可以读出这是广大银行的test1用户。
当这个用户在发起VPDN连接请求时,这个请求会被无线网络传送到联通PDSN,PDSN将这个域名传送给联通AAA服务器,由AAA服务器返回这个域名对应的LNS地址,PDSN在收到这个地址后将与这个地址的LNS协商L2TP隧道。
这个隧道将保证每个LNS之间不能被访问。
这就保证了线路之间是相互独立、相互隔离、经过加密(这点在下节中讨论)的。
从而保证了各线路的安全性。
6.2第二层加密隧道L2TPVPN
方案中VPDN连接是建立在L2TP协议之上的,也就是说要建立VPDN连接,在联通无线网络和企业网络之间需要利用L2TP二层隧道协议。
这样在无线端和企业内部网络之间建立的是二层隧道,这个二层隧道对于用户来说是透明的。
因为在无线网络到企业内网之间的传输需要经过很多网络设备,其中需要穿越CDMA1x网络,并且利用L2TP协议,那么设备与设备之间是基于二层的透传,它们之间如何进行协商、如何通信对于用户来说不是至关重要的。
用户需要关心的是接入内部网络二层协议端与端的安全,也就是方案中描述的PDNS与企业LNS之间的安全。
如下图所示:
L2TP隧道是由PDSN与企业LNS进行协商建立的,它
升级会员 