AAA-VPDN-IMSI码认证与手机号码绑定解决方案.docVIP

珠海市网佳科技有限公司

PAGE

PAGE1

AAAVPDNIMSI码认证与手机号码绑定解决方案

一、VPDN概述

???VPDN是虚拟拨号专用网络（VirtualPrivateDialupNetwork）的缩写，它基于拨号用户的虚拟专用拨号网业务，利用IP和其他网络的承载功能，结合相应的认证和授权机制，可以建立安全的虚拟专用网络。VPDN业务主要面向企业以及政府管理部门。企业申请该业务后，只需要将其企业内部网通过一条专线接入到互联网络，用户即可在国内任何地方拨号使用VPDN业务进入到该虚拟专用网中，安全地访问自己所需要的信息资源。用户可以方便灵活地自行对所属拨号用户进行开户、销户、设置用户权限等操作。

虚拟拨号专用网(VPDN)的特点有：

（1）安全性好，不易受攻击；

（2）保密性好，可有效防止非法访问；

（3）价格便宜，方便快捷；

（4）用户网络建设快；

（5）网络管理方便，可以自行生成和管理VPDN用户。

电信CDMAVPDN与普通的VPDN不同之处主要有两点。

（1）方便灵活不受地域限制。它采用了电信CDMA1X分组域的VPDN业务，体现的是无线上网的概念，并且利用CDMA1X高速分组数据网络为无线移动用户构建虚拟专用网络，从而使企业用户在任何地点都能够通过CDMA1X网络，实现为员工和商业伙伴提供无缝和安全的连接，从而大大提高了实用性和灵活性；

（2）高速的数据业务。CDMA1X无线数据网络能够为移动用户提供高速的数据业务，其上网速率比一般有线拨号上网速度更快，因此对于无线移动用户和企业的移动用户来说，CDMA1X网络的VPDN业务将会带给用户更方便、更快捷和更安全的无线上网解决方案。

二、CDMA1X分组域VPDN业务流程分析

???CDMA1XVPDN网络是利用L2TP隧道技术，通过在IP承载网上建立逻辑隧道，对网络层进行加密以及采用口令保护、身份验证等措施而实现的。企业用户通过CDMA1X分组域的接入认证，在PDSN和企业网之间建立起专用隧道，然后通过企业网的认证后，终端经过分组网的PDSN与企业的LNS之间建立起PPP连接，用户传输的数据流通过隧道到达企业网，就像用户直接通过专线连接到企业网一样，详细业务流程如图1所示。

图1

从图1可以看出，移动终端通过移动基站拨号接入CDMA1x，PCF主要是对移动用户所进行的分组数据业务进行转换、管理与控制。

工作流程

（1）用户请求认证时，本地AAA判断出是本地VPDN业务的用户后，将此用户对应的企业LNS地址和tunnel密码告诉PDSN，使PDSN与企业LNS之间建立隧道；

（2）PDSN然后和企业用户进行LCP协商；

（3）企业AAA对用户进行认证，认证成功后进入PPP的IPCP阶段；

（4）由企业网分配IP地址给用户，从用户到企业网的PPP连接建立；

（5）注意此时PPP两端是移动用户终端和企业LNS，用户的地址分配和权限管理都是在企业的LNS设备中实现的，ISP的PDSN只是一个中转站。

三、网络拓扑图

???

图2

???

(1)组网特点：由企业自行提供实现LNS终结的路由器和进行用户AAA认证的RADIUS服务器，企业对远端用户有较高的管理自主权和控制权，用户可以根据自己的实际情况对企业端的LNS和AAA进行配置和管理。

(2)接入条件：MPLSVPN专线接入，接入带宽要满足同时并发用户数需求。

(3)组网设备要求：

LNS路由器——在企业侧实现VPDN的网关功能，要求使用支持L2TP协议的路由器，目前有思科、华为、北电、中兴、港湾等厂商的主流路由器都支持L2TP协议；

RADIUS认证服务器(AAA)—实现登陆用户的鉴权与身份认证；

其他网络设备——对于专线接入的企业用户，必要时提供V.35转G.703的协议转换器或以太网口用的光电转换器设备。

已知的兼容LNS设备建议如下：

厂商名称

设备型号

软件版本

Cisco

2800系列

IOS12.2T,12.3T,12.4T及IOS12.SB

3800系列

7200系列

7600系列

华为

NE20/20E系列

推荐VRP5.1及以后版本

NE40/40E系列

NE80/80E系列

???

四、RadiusAAA认证

???把IMSI码作为身份识别认证条件。PDSN和LNS建立隧道过程中，当发送session请求时，PDSN把用户的IMSI做为一个参数calling-number发给LNS，因此通过LNS实现IMSI认证和地址绑定，IMSI号码在Radius的Request包的属性Callin