基于CDMA 1X接入网的VPDN网络安全技术分析.docVIP

基于CDMA 1X接入网的VPDN网络 安全技术分析 摘要 本文对基于CDMA 1X分组域的VPDN网络所采用的安全技术进行了分析，并针对认证过程中的缺陷给出了解决思路。 关键词 CDMA 1X、VPDN、PPTP、IPSec、L2TP、RADIUS 1.前言 VPDN（Virtual Private Dial-up Network虚拟拨号专用网络）技术是利用隧道技术，通过在公用网络上建立逻辑隧道，对网络层进行加密以及采用口令保护、身份验证等措施而实现的。CDMA 1X分组网的VPDN业务是以高速分组数据网为承载，为企业建立虚拟专用网络，使企业用户无论漫游到何处，均可采用无线上网卡（或手机配数据线）+笔记本方式进入企业专网。CDMA 1X分组网VPDN企业用户通过CDMA 1X分组域的接入认证，在PDSN和企业网之间建立起专用隧道，然后通过企业网的认证后，终端经过分组网的PDSN与企业的LNS间建立起PPP连接，用户传输的数据流通过隧道到达企业网，就像用户直接通过专线连接到企业网一样，详细业务流程见图1。 以全国性VPDN业务为例，用全国AAA作为VPDN业务的代理RADIUS，从图中可以看出，VPDN业务的流程与CDMA 1X分组网的正常呼叫建立过程不同之处在于，用户在拜访地认证时（4），拜访地AAA判断出是VPDN业务的用户，将转向全国AAA做RADIUS认证，当本次VPDN业务接入的认证通过后，全国AAA将此用户对应的企业LNS地址告诉PDSN，使PDSN与企业LNS之间建立隧道（8），然后进行企业用户的LCP协商，企业AAA对用户进行认证（11），认证成功后进入PPP的IPCP阶段（13），由企业网分配用户IP地址，至此从企业用户到企业网的PPP连接建立（14），用户的计费话单产生在拜访地。在制定具体实施方案时，运营商可以根据网络结构和结算原则，选取比较科学简便的认证、计费策略，保证业务流程简单合理。 VPDN的实现主要是利用隧道技术目前隧道技术有很多种，但从根本上来讲可分为两类：第二层隧道协议PPTP、L2F、L2TP和第三层隧道协议GRE、IPec。它们的本质区别在于提供的是第二层协议的穿透还是第三层协议的穿透。在这里将主要介绍三种常用的VPDN协议PPTP、IPec和L2TP。基于PPTP协议的VPDN业务PPTP协议于1996年由3Com公司、Ascend公司、ECI公司、U.SRobotics公司以及Microsoft公司合作开发，用于在Internet上为数据搭建隧道。目前PPTP协议已经内嵌到Windows95/98/NT/以及Windows2000/XP系统中。PPTP协议在一个已存在的IP连接上封装PPP会话，而不管IP连接是如何建立的，也就是说，只要网络层是连通的，就可以运行PPTP协议。PPTP协议将控制包与数据包分开，控制包采用TCP控制，用于严格的状态查询以及信令信息；数据包部分先封装在PPP协议中，然后封装到GRE V2协议中。 GRE是通用路由封装协议，用于在标准IP包中封装任何形式的数据包，因此PPTP可以支持所有的协议，包括IP，IPX，NetBEUI等等。除了搭建隧道，PPTP本身没有定义加密机制，但它继承了PPP的认证和加密机制，包括认证机制PAP/CHAP/MS-CHAP以及加密机制MPPE。PPTP VPDN适用于小型企业的一般接入需求，使用用户对网络安全有一定要求，但不十分严格，PPTP能通过PAP/CHAP提供用户认证；PPTPVPDN实现简单，能在较短时间内完成搭建工作。用户使用PPTPVPDN业务需要部署PPTP VPDN网关，根据不同要求还需要增加网关的集中管理系统，称为PPTP Server。该系统可集中在VPDN网关，也可单独配置一台服务器。PPTP Server支持对网关VPDN和安全策略集中管理、运行监控等功能，有效地简化了VPDN管理的复杂性。PPTP Server还可进行用户的开户、账号修改、账号删除等操作，并对所有账号进行集中统一管理。对于二级单位以及移动用户，不需要安装任何客户端软件，可以利用微软操作系统内嵌的PPTP协议，拨入PPTP VPN接入网关，即可建立一条加密隧道，实现数据的解密传输。用户身份的验证带有强制性质，只有通过VPDN安全接入网关身份验证的用户，才能进行安全访问。 基于IPec的VPDN业务IPSec是标准的第三层安全协议，用于保护IP数据包或上层数据，它可以定义哪些数据流需要保护，怎样保护以及应该将这些受保护的数据流转发给谁。由于它工作在网络层，因此可以用于两台主机之间，网络安全网关之间（如防火墙，路由器），或主机与网关之间。 IPec协议分两种：ESP和AH。这两种协议都可以提供网络安全，如数据源认证（确保接收到的数据是来自