论文部分内容阅读
摘要:随着克拉玛依政府专网的不断建设,其网络的范围已经延伸到政府的各个部门,但是在许多地方没有铺设光缆,或者光缆建设成本过高以及对周围的环境造成破坏,为了及时把握这些地市政公共安全和服务部门对城域无线网络实际上有着强烈的实现需求,无线VPN专网孕育而生。在政府专网引进了无线VPN技术,通过中国电信组建的无线VPN专网既能实现视频监控、应急求援、安全管理、政府执法和城市突发事件现场视频数据传输,也能满足移动办公的需求。该方案采用IPSec隧道模式组建VPN专网,对VPN关键技术与方案的具体实施及应用进行了阐述。
关键词: VPN技术、组网、安全性
1. 引言
目前克拉玛依政府专网覆盖面相当广,对于光缆铺设不到的地方,可用无线VPN来扩大监测网覆盖范围。VPN即虚拟专用网络,就是两个具有VPN发起连接能力的设备通过电信传输网形成的一条安全隧道。在隧道发起端,用户的私有数据通过封装和加密之后在电信城域网上传输,到了隧道的接收端,接收到的数据经过拆封和解密之后安全地到达用户端。此种方式让远程遥测点和移动用户接入网络,能够远程使用内部服务器的应用系统,在非安全的互联网上安全地传送私有数据。与数据专线相比,VPN无需铺设线路,能够利用电信城域网资源建立安全、可靠、经济、高效的移动办公专网,大大地减少了花费在城域网和远程网络连接上的费用,易于新的办,也简化了网络的设计和治理,进一步扩大了广播电视监测在广电中的监督和治理范围。
2. VPN技术特点
随着互联网技术的发展及Internet接入方式的多样化,为VPN应用提供了条件,不同地区的政府部分可通过CDMA1X或EVDO等各种网络连接方式连入电信城域网,无需固定公网IP地址,由中心的VPN网关为认证用户分配一个内部私网地址,通过远程认证,实现与监测内部网络的互连,从而组成一个高效统一的虚拟专用网络。
目前无线VPN技术相当成熟,应用相当广泛,主要采用四种技术:隧道技术、加解密技术、密钥治理技术和使用者与设备身份认证技术。
3.1无线VPN应用概况
中国电信提供的无线VPDN接入技术,一次拨号,二次认证,具有很高的安全性,目前已经通过中国信息安全测评中心的测评,获得信息系统安全保障级二级的信息系统安全测评证书。
3.2无线VPN传输方式
1)CDMA1X的传输方式
主要应用在无3G网络覆盖区域,如移动性较大的勘探井。
2)3G EVDO的传输方式
对于克拉玛依区信息中心各井队开发井采用3G EVDO方式
3)VAST卫星通讯传输方式
对于信号盲区采用卫星通讯方式
3.3无线VPN组网设计
网络示意图如下:
逻辑示意图如下:
3.4无线VPN组网设计要点
1、克拉玛依某单位接入点使用PC或业务终端通过装载EVDO或CDMA1X无线网卡,使用中国电信克拉玛依分公司UIM卡,具备CDMA无线接受/发送数据能力(EVDO向下兼容,如果在EVDO尚未覆盖或信号不好的地方,可以自动识别并使用CDMA 1X作为载体传输数据);
2、每张UIM卡上开通中国电信EVDO或CDMA 1X数据业务,利用其传输速率高、高安全性实现无线接入和数据传输;
3、克拉玛依区信息中心新增一条基于电信CN2 网络的MPLS-VPN专线电路及一台支持L2TP技术的LNS设备,以此来构建VPDN网络;
4、用户可以在LNS侧再架设一台Radius服务器,用来做AAA二次认证。电信网络侧的AAA服务器、用来识别拨入用户是否是企业VPDN用户,并将相应的LNS地址、密码等必要信息发送给PDSN,PDSN再与LNS协商建立L2TP隧道。在隧道建立以后,企业内部的AAA对企业用户的用户名和密码及IMSI进行验证鉴别,这样用户管理方便,而且与网络运营商无关,接入权限都掌握在企业。
(如果用户数量不多或多用户使用统一用户名/密码登陆,也可以考虑在LNS设备上通过本地认证的方式实现)
3.5安全性:
企业数据中心可通过到中国电信CDMA网中数据网(VPN)接入,采用VPN方式成本比较低,安全性比较高,可充分保障速度和网络服务质量。
网中数据网(VPN)业务如下图所示。
按照上述网中数据网的示意图,中国电信网中数据网可以提供5级业务安全保障,从而充分保证网络中数据的安全。
第一级安全保证:CDMA网络本身的安全性
目前世界上使用的移动通信网络主要有两种:GSM和CDMA。与GSM相比,CDMA网络系统在安全保密方面具有很大优势。
CDMA本来就是起源军事保密技术,在战争期间广泛应用于军事领域,具有抗干扰、安全通信、保密性好的特性。进行移动手机信号的窃听一般使用以下三种方法:
首先,需要捕捉到通信信号。在空间中充满了各种各样的无线电波,用户手机信号就混杂在其中。要想窃听某一个用户的通话,首先必须捕捉到这个用户手机发出的特定的电磁波。由于CDMA系统采用扩频技术,经过扩频以后的有用信号的频谱被大大地展宽了,用户信号隐蔽在互不相关的信号中,要想捕捉到这一有用信号非常困难。因此,窃听器捕捉不到,也无法识别出哪些是CDMA手机用户的通信信号,哪些是噪音。
其次,窃听器必须锁定手机用户通信的信号,继而才能分析和破解信息。而CDMA采用快速切换功率控制技术,即便是窃听设备捕捉到了用户手机信号,也不能锁定快速功率切换下的有用信号,因此,快速功率切换让CDMA信號很难锁定。
第三,需要破解用户信息编码。而CDMA采用伪随机码技术,用长达42位的伪随机码来标识区分用户,每次通话都有4.4万亿种可能的排列,窃听器很难破译出CDMA的编码。所以CDMA技术本身就很安全。
第二级安全保证:CDMA网络侧的AAA认证
AAA是指认证(Authentication)、授权(Authorization)、计费(Accounting)三个过程,其中:
认证:是用户在使用网络系统中的资源时对用户身份的确认。这一过程,通过与用户的交互获得身份信息(像用户名-口令、生物特征信息等),然后提交给认证服务器;认证服务器对身份信息与存储在数据库里的用户信息进行核对处理,然后根据处理结果确认用户身份是否正确。
授权:是网络系统授权用户以特定的权限使用其资源,这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限,如授予IP地址,准许访问时间等。
计费:是网络系统收集、记录用户对网络资源的使用信息,以便向用户收取资源使用费。以互联网业务提供商ISP为例,用户的网络接入使用情况可以按流量或者时间准确地记录下来。
认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益,又能有效地保障网络系统安全可靠地运行。
CDMA网络侧的AAA认证过程是对用户的域名进行鉴权认证,网中数据网的用户(VPN成员)是以username@xxx.vpdn.xj形式登录的(用户在中国电信登记入网时,中国电信分配其一个域名xxx.vpdn.xj)。CDMA网络侧的AAA服务器对登录用户的域名和该用户的IMSI进行绑定审核验证。验证通过后,方可接入中国电信CDMA网络。
第三级安全保证:CDMA网络和用户网络之间的VPN链接
CDMA网络和用户网络之间可以采用专线链接,也可以使用Internet链接。使用Internet链接必须考虑安全性,因此,可以使用VPN将二者利用Internet链接起来。
VPN技术非常复杂,涉及到通信技术、密码技术和现代认证技术。主要包含两种技术:隧道技术与安全技术。
VPN是在不安全的Internet上传输的,传输内容可能涉及到企业的机密数据,因此安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。主要有认证技术,加密技术,秘钥管理与交换技术。
此次中国电信新疆公司为宏源证券提过的中心接入电路采用基于CN2 网络的MPLS-VPN专线链接,与互联网隔离,本身提供了安全性,而且在专线基础上,又加入了VPDN二层隧道技术,更增强了网络的安全性。
第四级安全保证:用户网络侧的安全防火墙(FW)
防火墙技术是目前用来实现网络安全措施的一种主要手段,主要是用来拒绝非法用户的访问,阻止非法用户存取敏感数据,同时允许合法用户顺利访问网络资源。防火墙实际上是一种访问控制技术,在某个机构的内部网络和不安全网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上的非法输出。
用户网络可以选用适合于本单位的防火墙产品来保证自己网络数据的安全。
第五级安全保证:用户网络侧的AAA鉴权认证
用户网络侧的AAA鉴权认证可以实现对VPDN成员的身份认证。与第二级的安全保证不同,本级的AAA服务器将鉴别VPDN成员的用户名和密码的正确性。
username@xxx.vpdn.qd中的域名将是中国中国电信公司提供给专网接入用户的专有统一域名,用户名(username)可以是VPDN中每个成员的手机号码或者其它标识。VPDN中成员的用户名和密码等资料将保存在用户专网侧的AAA服务器,具有很好的安全性和管理的灵活性。
4.VPN技术在克拉玛依政府专网实施的优势
采用廉价的接入方式,实现各远程遥测点、移动用户与整個广播电视监测网络的无缝连接和安全连接,在任何地点、任何上网方式都可以接入政府专网,减少在设备、人员和治理上的投资,保护了现有硬件和软件系统上的投资,有效地降低了运营成本。
通过防火墙内部策略控制体系,VPN能够答应授权移动用户或已授权的用户在任何时间任何地点访问政府专网,对VPN数据可以进行有效的控制和治理,使VPN专网的数据通信具有良好的安全性和治理性。VPN采用了目前先进的压缩算法,带宽利用率达130%,大大提高系统数据的访问传输速度,为政府办公系统提供高效快速的VPN虚拟网络平台。
5.结束语
利用VPN技术上的优势,把政府专网拓展到了偏远的县、乡、镇,建立了一个规模大,覆盖省、市、县、乡、镇的政府专网,将极大的降低了电子政务网的建设成本,提高了建设速度。为克拉玛依区政府提供应急通信接入,政府执法和城市突发事件现场视频回传提供一个安全可靠的传输网络,为数字克拉玛依的建设提供了有利的支持,加快了数字化克拉玛依的建设。
参考文献
[1] [美]MarkLucas等著.防火墙策略与VPN配置[M].北京:水利水电出版社,2008.
[2]高海英,薛元星,辛阳等著.VPN技术[M].北京:机械工业出版社,2004.
[3]王达等著。虚拟专用网精解[M].北京:清华大学出版社,2005.
注:文章内所有公式及图表请用PDF形式查看。
关键词: VPN技术、组网、安全性
1. 引言
目前克拉玛依政府专网覆盖面相当广,对于光缆铺设不到的地方,可用无线VPN来扩大监测网覆盖范围。VPN即虚拟专用网络,就是两个具有VPN发起连接能力的设备通过电信传输网形成的一条安全隧道。在隧道发起端,用户的私有数据通过封装和加密之后在电信城域网上传输,到了隧道的接收端,接收到的数据经过拆封和解密之后安全地到达用户端。此种方式让远程遥测点和移动用户接入网络,能够远程使用内部服务器的应用系统,在非安全的互联网上安全地传送私有数据。与数据专线相比,VPN无需铺设线路,能够利用电信城域网资源建立安全、可靠、经济、高效的移动办公专网,大大地减少了花费在城域网和远程网络连接上的费用,易于新的办,也简化了网络的设计和治理,进一步扩大了广播电视监测在广电中的监督和治理范围。
2. VPN技术特点
随着互联网技术的发展及Internet接入方式的多样化,为VPN应用提供了条件,不同地区的政府部分可通过CDMA1X或EVDO等各种网络连接方式连入电信城域网,无需固定公网IP地址,由中心的VPN网关为认证用户分配一个内部私网地址,通过远程认证,实现与监测内部网络的互连,从而组成一个高效统一的虚拟专用网络。
目前无线VPN技术相当成熟,应用相当广泛,主要采用四种技术:隧道技术、加解密技术、密钥治理技术和使用者与设备身份认证技术。
3.1无线VPN应用概况
中国电信提供的无线VPDN接入技术,一次拨号,二次认证,具有很高的安全性,目前已经通过中国信息安全测评中心的测评,获得信息系统安全保障级二级的信息系统安全测评证书。
3.2无线VPN传输方式
1)CDMA1X的传输方式
主要应用在无3G网络覆盖区域,如移动性较大的勘探井。
2)3G EVDO的传输方式
对于克拉玛依区信息中心各井队开发井采用3G EVDO方式
3)VAST卫星通讯传输方式
对于信号盲区采用卫星通讯方式
3.3无线VPN组网设计
网络示意图如下:
逻辑示意图如下:
3.4无线VPN组网设计要点
1、克拉玛依某单位接入点使用PC或业务终端通过装载EVDO或CDMA1X无线网卡,使用中国电信克拉玛依分公司UIM卡,具备CDMA无线接受/发送数据能力(EVDO向下兼容,如果在EVDO尚未覆盖或信号不好的地方,可以自动识别并使用CDMA 1X作为载体传输数据);
2、每张UIM卡上开通中国电信EVDO或CDMA 1X数据业务,利用其传输速率高、高安全性实现无线接入和数据传输;
3、克拉玛依区信息中心新增一条基于电信CN2 网络的MPLS-VPN专线电路及一台支持L2TP技术的LNS设备,以此来构建VPDN网络;
4、用户可以在LNS侧再架设一台Radius服务器,用来做AAA二次认证。电信网络侧的AAA服务器、用来识别拨入用户是否是企业VPDN用户,并将相应的LNS地址、密码等必要信息发送给PDSN,PDSN再与LNS协商建立L2TP隧道。在隧道建立以后,企业内部的AAA对企业用户的用户名和密码及IMSI进行验证鉴别,这样用户管理方便,而且与网络运营商无关,接入权限都掌握在企业。
(如果用户数量不多或多用户使用统一用户名/密码登陆,也可以考虑在LNS设备上通过本地认证的方式实现)
3.5安全性:
企业数据中心可通过到中国电信CDMA网中数据网(VPN)接入,采用VPN方式成本比较低,安全性比较高,可充分保障速度和网络服务质量。
网中数据网(VPN)业务如下图所示。
按照上述网中数据网的示意图,中国电信网中数据网可以提供5级业务安全保障,从而充分保证网络中数据的安全。
第一级安全保证:CDMA网络本身的安全性
目前世界上使用的移动通信网络主要有两种:GSM和CDMA。与GSM相比,CDMA网络系统在安全保密方面具有很大优势。
CDMA本来就是起源军事保密技术,在战争期间广泛应用于军事领域,具有抗干扰、安全通信、保密性好的特性。进行移动手机信号的窃听一般使用以下三种方法:
首先,需要捕捉到通信信号。在空间中充满了各种各样的无线电波,用户手机信号就混杂在其中。要想窃听某一个用户的通话,首先必须捕捉到这个用户手机发出的特定的电磁波。由于CDMA系统采用扩频技术,经过扩频以后的有用信号的频谱被大大地展宽了,用户信号隐蔽在互不相关的信号中,要想捕捉到这一有用信号非常困难。因此,窃听器捕捉不到,也无法识别出哪些是CDMA手机用户的通信信号,哪些是噪音。
其次,窃听器必须锁定手机用户通信的信号,继而才能分析和破解信息。而CDMA采用快速切换功率控制技术,即便是窃听设备捕捉到了用户手机信号,也不能锁定快速功率切换下的有用信号,因此,快速功率切换让CDMA信號很难锁定。
第三,需要破解用户信息编码。而CDMA采用伪随机码技术,用长达42位的伪随机码来标识区分用户,每次通话都有4.4万亿种可能的排列,窃听器很难破译出CDMA的编码。所以CDMA技术本身就很安全。
第二级安全保证:CDMA网络侧的AAA认证
AAA是指认证(Authentication)、授权(Authorization)、计费(Accounting)三个过程,其中:
认证:是用户在使用网络系统中的资源时对用户身份的确认。这一过程,通过与用户的交互获得身份信息(像用户名-口令、生物特征信息等),然后提交给认证服务器;认证服务器对身份信息与存储在数据库里的用户信息进行核对处理,然后根据处理结果确认用户身份是否正确。
授权:是网络系统授权用户以特定的权限使用其资源,这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限,如授予IP地址,准许访问时间等。
计费:是网络系统收集、记录用户对网络资源的使用信息,以便向用户收取资源使用费。以互联网业务提供商ISP为例,用户的网络接入使用情况可以按流量或者时间准确地记录下来。
认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益,又能有效地保障网络系统安全可靠地运行。
CDMA网络侧的AAA认证过程是对用户的域名进行鉴权认证,网中数据网的用户(VPN成员)是以username@xxx.vpdn.xj形式登录的(用户在中国电信登记入网时,中国电信分配其一个域名xxx.vpdn.xj)。CDMA网络侧的AAA服务器对登录用户的域名和该用户的IMSI进行绑定审核验证。验证通过后,方可接入中国电信CDMA网络。
第三级安全保证:CDMA网络和用户网络之间的VPN链接
CDMA网络和用户网络之间可以采用专线链接,也可以使用Internet链接。使用Internet链接必须考虑安全性,因此,可以使用VPN将二者利用Internet链接起来。
VPN技术非常复杂,涉及到通信技术、密码技术和现代认证技术。主要包含两种技术:隧道技术与安全技术。
VPN是在不安全的Internet上传输的,传输内容可能涉及到企业的机密数据,因此安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。主要有认证技术,加密技术,秘钥管理与交换技术。
此次中国电信新疆公司为宏源证券提过的中心接入电路采用基于CN2 网络的MPLS-VPN专线链接,与互联网隔离,本身提供了安全性,而且在专线基础上,又加入了VPDN二层隧道技术,更增强了网络的安全性。
第四级安全保证:用户网络侧的安全防火墙(FW)
防火墙技术是目前用来实现网络安全措施的一种主要手段,主要是用来拒绝非法用户的访问,阻止非法用户存取敏感数据,同时允许合法用户顺利访问网络资源。防火墙实际上是一种访问控制技术,在某个机构的内部网络和不安全网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上的非法输出。
用户网络可以选用适合于本单位的防火墙产品来保证自己网络数据的安全。
第五级安全保证:用户网络侧的AAA鉴权认证
用户网络侧的AAA鉴权认证可以实现对VPDN成员的身份认证。与第二级的安全保证不同,本级的AAA服务器将鉴别VPDN成员的用户名和密码的正确性。
username@xxx.vpdn.qd中的域名将是中国中国电信公司提供给专网接入用户的专有统一域名,用户名(username)可以是VPDN中每个成员的手机号码或者其它标识。VPDN中成员的用户名和密码等资料将保存在用户专网侧的AAA服务器,具有很好的安全性和管理的灵活性。
4.VPN技术在克拉玛依政府专网实施的优势
采用廉价的接入方式,实现各远程遥测点、移动用户与整個广播电视监测网络的无缝连接和安全连接,在任何地点、任何上网方式都可以接入政府专网,减少在设备、人员和治理上的投资,保护了现有硬件和软件系统上的投资,有效地降低了运营成本。
通过防火墙内部策略控制体系,VPN能够答应授权移动用户或已授权的用户在任何时间任何地点访问政府专网,对VPN数据可以进行有效的控制和治理,使VPN专网的数据通信具有良好的安全性和治理性。VPN采用了目前先进的压缩算法,带宽利用率达130%,大大提高系统数据的访问传输速度,为政府办公系统提供高效快速的VPN虚拟网络平台。
5.结束语
利用VPN技术上的优势,把政府专网拓展到了偏远的县、乡、镇,建立了一个规模大,覆盖省、市、县、乡、镇的政府专网,将极大的降低了电子政务网的建设成本,提高了建设速度。为克拉玛依区政府提供应急通信接入,政府执法和城市突发事件现场视频回传提供一个安全可靠的传输网络,为数字克拉玛依的建设提供了有利的支持,加快了数字化克拉玛依的建设。
参考文献
[1] [美]MarkLucas等著.防火墙策略与VPN配置[M].北京:水利水电出版社,2008.
[2]高海英,薛元星,辛阳等著.VPN技术[M].北京:机械工业出版社,2004.
[3]王达等著。虚拟专用网精解[M].北京:清华大学出版社,2005.
注:文章内所有公式及图表请用PDF形式查看。