论文部分内容阅读
[摘 要]VPDN(Virtual Private Dial-up Network,虚拟拨号专用网)采用专用的网络加密和通信协议,可以使企业在公共网络上建立安全的虚拟专网。企业部门远程接入点或出差人员可以远程经过公共网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问企业内部网络。如果采用VPDN接入技术,依托依托网络运营商无线CDMA 3G/4G网络,建设移动终端安全接入网络,使得公安民警在移动通信网络通达的任何地方,都能够安全并实时查询相关业务,可以大大提高警务工作效率。
[关键词]无线VPDN技术;警务工作
中图分类号:TN915.09 文献标识码:A 文章编号:1009-914X(2015)05-0216-01
为进一步发挥现有公安信息移动数据接入及应用系统作用,满足在实际应用中遇到的业务需求并充分给予实时的业务支持,拟计划依托网络运营商无线CDMA 3G/4G网络,建设移动终端安全接入网络,使得能够安全并实时查询相关业务,使信息能够覆盖凡是移动通信网络通达的任何地方,达到部“三A”要求,在确保业务数据安全的前提下,方便民警的警务工作。
一、设计原则
由于客户网络接入的重要性和特殊性,我们在设计网络方案时特别遵循了以下设计原则:
先进性与实用性原则:从较高的起点对网络建设进行规划,充分采用先进成熟的网络技术,满足贵单位相关业务数据传输需要。在方案中采用新技术、新功能,采用中国电信的网络和资源为贵单位网络提速提供全面的解决方案,形成统一、先进的通信系统。
可靠性原则:网络设计过程中从网络技术、骨干路由、电路保护、传输设备等多方面考虑贵单位网络的可靠性,保证数据传输的安全可靠。时在方案中通过对贵单位网络提供相关的服务保障,从技术和服务两方面保证贵单位通信网络的可用性达到使用要求。
高度的安全性:能防止网络的非法访问,保护关键数据不被非法窃取、篡改或泄露。使数据具有极高的可信性。
良好的管理性:提供网络及设备管理功能,可按要求和级别相应客户对网络及设备的管控,做到有故障及时发现、及时处理。简化日常维护工作,增强故障处理能力。
经济性原则:通过技术经济比较,性能价格比较,选择优化的网络结构和网络技术,尽可能利用和保护现有设备和投资,做到从实际出发,制定经济、合理的方案,以最小的网络建设和网络维护成本建设一个高可用、高安全的网络系统。在保证系统需求的前提下,尽量节约开支,降低运营成本。
灵活性和扩充性原则:在贵单位网络设计中须考虑未来带宽扩容的需要,从网络和设备的配置上都要保留一定的扩充余地,便于融入随着新技术发展带来的新功能,满足贵单位不断发展的业务需要。
二、VPDN网络建设技术说明
(一)VPDN技术。
VPDN是基于拨号接入(PSTN(公共交换电话网)、ISDN(综合业务数字网)、ADSL、EPON、CDMA)的虚拟专用拨号网业务,业务名称为“网中网”,可用于跨地域集团企业内部网、专业信息服务提供商专用网、金融大众业务网、银行存取业务网等业务。
VPDN采用专用的网络安全和通信协议(L2TP协议),可以使企业在公共网络上建立相对安全的虚拟专网。VPN用户可以经过公共网络,通过虚拟的安全通道和用户内部的用户网络进行连接,而公共网络上的用户则无法穿过虚拟通道访问用户网络内部的资源。
VPDN网络结构由局端(或称为中心端)和客户系统组成。VPDN客户系统包括两部分:企业端与远端。通常企业端是企业的内部局域网,以专线方式接入UNINET;远端是拨号客户,以拨号方式访问企业内部局域网。
(二)L2TP协议。L2TP(Layer 2 Tunneling Protocol)是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持;L2TP可以提供隧道验证,而PPTP则不支持隧道验证。它结合了PPTP和L2F两种二层隧道协议的优点,为众多公司所接受,已经成为IETF有关2层通道协议的工业标准。
(三)CDMA无线VPDN。CDMA2000是一项基于码分多址技术提供的无线高速数据传输服务。VPDN是Virtual Private Dial Network的简写,称为虚拟拨号专网。
对于传统的有线或专线接入方式,如采用CDMA VPDN技术将很好地解决偏远地区有线宽带质量无法实现以及移动安全接入的网络建设需求。主要原因有以下几个方面:
安全保密性高:由于CDMA通信技术源于军用通信,在设计之初就充分考虑了安全性,使用不同的伪随机码序来混合和分离无线通信的语音和数据信号,是一项安全的适合高信息量的数字传输技术。由于作为伪随机码的CDMA码址是个,而且共有4.4万亿种可能的排列,破译和窃听都十分困难。在通过VPDN专线接入,做到完全与公网隔离,预防可能发生的网络安全问题。
线路稳定:CDMA采用的分组技术可以最好地支持频繁的或者是少量突发性的数据传输。
设备投资低:采用CDMA无线方式只需购买CDMA无线设备,无需任何线路施工,投资相对要小得多。
网络接入速度快:相對拨号方式的10~20 秒,CDMA登录网络时间短,只需要3~5秒,并且一旦连接建立,则时刻在线,因此可以很好地满足突发的定时或不定时的通信需求。
三、整体组网解决方案
基于客户在VPDN网络上实现的业务和应用的重要性考虑,拟通过高品质的下一代网络CN2来承载全省移动警务平台业务。在省厅安全边界网络前部署一台LNS接入路由器,该路由器通过CN2专线接入江西电信CN2网络,全省市县区及乡镇基层网点或办案人员可以通过智能手机、掌上电脑/PDA手机、笔记本电脑等多种方式拨入LNS,通过身份验证后,在接入端与LNS之间建立一个加密的VPN隧道,接入节点可通过这条加密隧道访问网络资源,充分发挥现有信息移动数据接入及应用系统作用,其拓扑结构如下:
用户发起与LAC之间的PPP连接;LAC通过Radius对用户进行第一层Radius认证,对域名进行认证;Radius根据域名返回对应的隧道属性,包括LNS IP、隧道类型、隧道密码等;LAC根据隧道属性向LNS发起建立隧道请求;LAC与LNS间建立L2TP隧道;在隧道中为用户建立Session,LAC把和用户协商得到的LCP选项和验证信息送给LNS;LNS向二层Radius发起对用户帐号/密码的认证,并为用户分配IP地址;Radius认证通过返回相关信息给LNS;LNS为用户反馈IP地址及相关信息。
[关键词]无线VPDN技术;警务工作
中图分类号:TN915.09 文献标识码:A 文章编号:1009-914X(2015)05-0216-01
为进一步发挥现有公安信息移动数据接入及应用系统作用,满足在实际应用中遇到的业务需求并充分给予实时的业务支持,拟计划依托网络运营商无线CDMA 3G/4G网络,建设移动终端安全接入网络,使得能够安全并实时查询相关业务,使信息能够覆盖凡是移动通信网络通达的任何地方,达到部“三A”要求,在确保业务数据安全的前提下,方便民警的警务工作。
一、设计原则
由于客户网络接入的重要性和特殊性,我们在设计网络方案时特别遵循了以下设计原则:
先进性与实用性原则:从较高的起点对网络建设进行规划,充分采用先进成熟的网络技术,满足贵单位相关业务数据传输需要。在方案中采用新技术、新功能,采用中国电信的网络和资源为贵单位网络提速提供全面的解决方案,形成统一、先进的通信系统。
可靠性原则:网络设计过程中从网络技术、骨干路由、电路保护、传输设备等多方面考虑贵单位网络的可靠性,保证数据传输的安全可靠。时在方案中通过对贵单位网络提供相关的服务保障,从技术和服务两方面保证贵单位通信网络的可用性达到使用要求。
高度的安全性:能防止网络的非法访问,保护关键数据不被非法窃取、篡改或泄露。使数据具有极高的可信性。
良好的管理性:提供网络及设备管理功能,可按要求和级别相应客户对网络及设备的管控,做到有故障及时发现、及时处理。简化日常维护工作,增强故障处理能力。
经济性原则:通过技术经济比较,性能价格比较,选择优化的网络结构和网络技术,尽可能利用和保护现有设备和投资,做到从实际出发,制定经济、合理的方案,以最小的网络建设和网络维护成本建设一个高可用、高安全的网络系统。在保证系统需求的前提下,尽量节约开支,降低运营成本。
灵活性和扩充性原则:在贵单位网络设计中须考虑未来带宽扩容的需要,从网络和设备的配置上都要保留一定的扩充余地,便于融入随着新技术发展带来的新功能,满足贵单位不断发展的业务需要。
二、VPDN网络建设技术说明
(一)VPDN技术。
VPDN是基于拨号接入(PSTN(公共交换电话网)、ISDN(综合业务数字网)、ADSL、EPON、CDMA)的虚拟专用拨号网业务,业务名称为“网中网”,可用于跨地域集团企业内部网、专业信息服务提供商专用网、金融大众业务网、银行存取业务网等业务。
VPDN采用专用的网络安全和通信协议(L2TP协议),可以使企业在公共网络上建立相对安全的虚拟专网。VPN用户可以经过公共网络,通过虚拟的安全通道和用户内部的用户网络进行连接,而公共网络上的用户则无法穿过虚拟通道访问用户网络内部的资源。
VPDN网络结构由局端(或称为中心端)和客户系统组成。VPDN客户系统包括两部分:企业端与远端。通常企业端是企业的内部局域网,以专线方式接入UNINET;远端是拨号客户,以拨号方式访问企业内部局域网。
(二)L2TP协议。L2TP(Layer 2 Tunneling Protocol)是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持;L2TP可以提供隧道验证,而PPTP则不支持隧道验证。它结合了PPTP和L2F两种二层隧道协议的优点,为众多公司所接受,已经成为IETF有关2层通道协议的工业标准。
(三)CDMA无线VPDN。CDMA2000是一项基于码分多址技术提供的无线高速数据传输服务。VPDN是Virtual Private Dial Network的简写,称为虚拟拨号专网。
对于传统的有线或专线接入方式,如采用CDMA VPDN技术将很好地解决偏远地区有线宽带质量无法实现以及移动安全接入的网络建设需求。主要原因有以下几个方面:
安全保密性高:由于CDMA通信技术源于军用通信,在设计之初就充分考虑了安全性,使用不同的伪随机码序来混合和分离无线通信的语音和数据信号,是一项安全的适合高信息量的数字传输技术。由于作为伪随机码的CDMA码址是个,而且共有4.4万亿种可能的排列,破译和窃听都十分困难。在通过VPDN专线接入,做到完全与公网隔离,预防可能发生的网络安全问题。
线路稳定:CDMA采用的分组技术可以最好地支持频繁的或者是少量突发性的数据传输。
设备投资低:采用CDMA无线方式只需购买CDMA无线设备,无需任何线路施工,投资相对要小得多。
网络接入速度快:相對拨号方式的10~20 秒,CDMA登录网络时间短,只需要3~5秒,并且一旦连接建立,则时刻在线,因此可以很好地满足突发的定时或不定时的通信需求。
三、整体组网解决方案
基于客户在VPDN网络上实现的业务和应用的重要性考虑,拟通过高品质的下一代网络CN2来承载全省移动警务平台业务。在省厅安全边界网络前部署一台LNS接入路由器,该路由器通过CN2专线接入江西电信CN2网络,全省市县区及乡镇基层网点或办案人员可以通过智能手机、掌上电脑/PDA手机、笔记本电脑等多种方式拨入LNS,通过身份验证后,在接入端与LNS之间建立一个加密的VPN隧道,接入节点可通过这条加密隧道访问网络资源,充分发挥现有信息移动数据接入及应用系统作用,其拓扑结构如下:
用户发起与LAC之间的PPP连接;LAC通过Radius对用户进行第一层Radius认证,对域名进行认证;Radius根据域名返回对应的隧道属性,包括LNS IP、隧道类型、隧道密码等;LAC根据隧道属性向LNS发起建立隧道请求;LAC与LNS间建立L2TP隧道;在隧道中为用户建立Session,LAC把和用户协商得到的LCP选项和验证信息送给LNS;LNS向二层Radius发起对用户帐号/密码的认证,并为用户分配IP地址;Radius认证通过返回相关信息给LNS;LNS为用户反馈IP地址及相关信息。