论文部分内容阅读
摘要:文章在阐述VPDN工作原理的基础上,分析了无线VPDN接入方案中的L2TP隧道技术和安全保障措施,并对无线VPDN接入方案的优势和劣势进行了论述。
关键词:VPDN 无线接入 3G L2TP
1 概述
从目前通信市场上的热点产品来看,移动数据业务已经成为市场发展的主流和焦点。未来的市场将是一个移动互联网主宰的市场,移动终端无线上网将远远超过传统的有线上网方式。对于通信运营商而言,如何做好移动数据业务,将是在激烈的市场竞争中赢得优势地位的关键。无线VPDN业务是发展行业应用客户的重要业务产品,无线VPDN接入方案是运行维护人员做好技术支撑的重要课题。
2 VPDN介绍
VPDN(Virtual Private Dial Network,虚拟私有拨号网)是指在公共互联网络中,用通信运营商提供的拨号功能及接入网网络,实现虚拟的用户专用通信网络。VPDN采用加密通信协议,为企业建立安全的通信专网。异地机构、出差人员可由公共网络,通过加密隧道实现与企业内部局域网之间的连接,公共网络上的非VPDN用户则无法享受这种通信服务。
隧道技术是VPDN的优势,用户的数据在隧道中封装后进行传输。在起始设备与互联网的连接设备上,用户数据按照标准封装为一种特殊的传输数据格式。在企业内部网络与互联网的接口处,用户数据经过解封装的过程还原成具体的内容信息。被封装的数据信息,在互联网上传送时所经过的逻辑路径称之为隧道技术。隧道技术中的通信协议是确保用户信息封装、传送、解封装的关键,目前主要分为PPTP、L2F、L2TP三种,其中L2TP的使用最广泛。
3 无线VPDN接入方案介绍
3.1 无线VPDN接入方案 无线VPDN接入方案,是基于3G无线网络高速数据带宽,利用二层隧道技术专门针对特定行业用户,实现客户虚拟网络与公众互联网的隔离,实现远程内部网络访问的通信服务。该实现方案简化了传输节点,提供了最优路由,为用户提供了安全、高速、优质的网络接入解决方案,从而满足移动办公、移动数据采集、无线数据传输等多种不同通信服务的需求。根据用户需求的差异,无线VPDN接入方案,可分为人机通信(P2M,People to Machine)、物物通信(M2M,Machine to Machine)两大类应用。人机通信包括移动办公、移动商务、移动执法等应用;物物通信包括移动POS、ATM等金融终端,交通、环保、气象等行业的数据实时采集和监控。中国联通的WCDMA网络,在无线传输带宽和速率上具有独特的优势,无线VPDN接入产品在市场推广中得到广泛的认可。
3.2 L2TP协议 L2TP协议结合了L2F协议和PPTP协议的优点,成为无线VPDN接入方案中主要采用的方案标准。它能够在PPP链路层提供通道(Tunnel)传输,实现不同设备之间在二层链路的端点之间实现信息交互。在L2TP协议中对LAC(L2TP Access Concentrator,访问集中器)、LNS(L2TP Network Server,网络服务器)进行了特别的规定。LNS作为L2TP隧道的一侧端点,是对端LAC设备进行隧道PPP会话的逻辑终止端点。LAC位于拨号用户和LNS设备之间,它一方面利用L2TP协议在设备之间建立隧道,另一方面利用PPP链路与拨号用户进行数据传输。L2TP数据包分为两类:一类是控制信息,用于建立、保持、拆除隧道和呼叫,通过可靠的信道控制策略保证数据信息的传递,另一类是数据信息,当在传输过程中发生帧丢失现象时,不会发生数据包的重传。L2TP的控制信息与数据信息被封装在同一个PPP帧中进行传送,每一个控制信息都有相应的序列号,确保控制信息在控制信道中高速、可靠的传递。L2TP协议二重认证的机制、隧道加密功能、资源动态分配提升了安全性能,可以根据资费、需求的不同提供分级服务。
3.3 安全防护措施 无线VPDN接入方案具有信道加密、信源加密、身份认证、系统保护等信息防护措施机制。随着移动网络由2G网络向3G网络的发展,无线带宽资源更加充足,安全防护措施更加完善。安全防护措施主要体现在以下几个方面:
多重密钥匹配:用户侧设备接入到WCDMA网络后,有一个注册协商的过程。在这个过程中,通信运营商对接入设备的UIM卡进行身份密钥确认。在身份确认的鉴权过程中,双方协商通讯加密的密钥,并在通信过程中对数据信息进行加密防护。此外,在对数据加密完成之后还会附加上校验码,对方在收到加密信息和校验码后,核对校验码并重新计算,并据此判断数据信息是否在传输过程中被篡改。
接入访问控制:通信运营商在LAC设备上绑定了用户账号与IMSI标识,确保账号不会被盗用。因此,即便用户通过其它UIM卡利用正确的账号进行拨号,所以也无法使用业务。此外,LAC设备还可以设定用户的网络访问权限,通过参数配置限定用户只访问专用网络,而不能访问互联网。
信息数据加密:无线网络的码资源加密,3G网络优于2G网络。此外,在用户侧与核心侧的设备之间,可以采用IPSec VPN实现端到端的加密保护。IPSec VPN需要协商双方针对数据层面提供完整的加密密钥,更稳固的密钥机制保证了接入设备和LNS之间的信息安全。
4 无线VPDN接入方案优劣势分析
4.1 无线VPDN接入方案的优势 无线VPDN接入方案相对于传统的有线传输接入方式,具有灵活方便、工程期短、成本低廉的特点。随着移动网络由2G网络向3G网络的发展,不仅在无线带宽资源上更加充足,而且安全防护措施也更加完善。其主要优势表现在以下几个方面:
传统接入方式的补充。在线路资源不能敷设到区域,可以通过无线网络信号提供无线VPDN接入。经过无线资源参数的调整,降低建筑物、自然气候等因素的影响,从而满足数据传输需求。 冗余备份线路的补充。备份线路的储备,是用户普遍的要求。在许多重要行业通常采用双线路、双路由的接入方式。无线VPDN接入方案不用比传统的物理线路备份那样简单、灵活,能够节省大量安装与维护的费用,是备份线路的最佳选择。
灵活的协议转换。部分特定的移动终端具备一定的路由功能,能够实现对TCP/IP上层协议的支持,能够通过串口等方式接入的非IP应用,可以平滑地接入IP应用。在银行行业的应用中,能够轻松实现无线POS机与后台系统的IP应用对接,方案的开发难度小、维护费用低,在无线POS机的接入市场中常常被采用。
4.2 无线VPDN接入方案的不足 随着无线VPDN接入方案在各行各业中日益广泛的应用,其独特的业务优势已得到广泛的认可。但是随着技术的发展、用户通信需求的提高,该接入方案的局限性也逐渐呈现出来。
无法绑定设备物理属性。在固网的互联网中,将IP地址能够与网卡MAC地址绑定,可以对登录设备的物理特性进行控制。如何将移动终端的MAC地址、用户账号、UIM卡的IMSI标识、固定IP地址等多种限定性元素系统捆绑,从而提供更高的安全级别,是方案优化时需要考虑的问题。
无法保证优质的传输带宽。无线网络的质量,常常受到楼宇阻挡、天气变化等因素的影响。在一些较恶劣的环境下,无线数据的传输带宽可能无法保证。此外,3G网络覆盖与市场发展之间的差距、网络资源调配与网络优化的能力,都是影响业务的因素。如何保证高质量的数据传送也是必须面对的问题。
业务漫游费用较高。无线数据的流量收费,是以地市级行政区域为界,离开归属地的业务使用要收漫游费。漫游资费目前还相对较高,超出了部分用户的心理预期。用户常常因为固有的使用习惯,在漫游地区产生了高昂的流量费,引发了业务使用的纠纷。
5 小结
无线VPDN的接入方案打破传统VPDN的限制,通过移动终端用户不受地点的限制,借助移动网络能够随时随地、方便灵活的实现企业内部网的访问。这种技术实现方案虽然已经广泛的应用于各行各业,但是仍需要专业技术人士不断进行研究和优化。
参考文献:
[1]徐益强.基于3G的无线VPDN业务网的设计与实现[J].环境监控与预警,2010(05).
[2]黄浩,谢冬青.L2TP下可信的VPN方案设计与实现[J].计算机工程,2006(20).
[3]许晶.IPSec中密钥交换协议的研究与实现[D].哈尔滨理工大学,2007.
[4]韦余红.无线POS机数据传输安全控制策略研究[J].通信技术,2009(02).
关键词:VPDN 无线接入 3G L2TP
1 概述
从目前通信市场上的热点产品来看,移动数据业务已经成为市场发展的主流和焦点。未来的市场将是一个移动互联网主宰的市场,移动终端无线上网将远远超过传统的有线上网方式。对于通信运营商而言,如何做好移动数据业务,将是在激烈的市场竞争中赢得优势地位的关键。无线VPDN业务是发展行业应用客户的重要业务产品,无线VPDN接入方案是运行维护人员做好技术支撑的重要课题。
2 VPDN介绍
VPDN(Virtual Private Dial Network,虚拟私有拨号网)是指在公共互联网络中,用通信运营商提供的拨号功能及接入网网络,实现虚拟的用户专用通信网络。VPDN采用加密通信协议,为企业建立安全的通信专网。异地机构、出差人员可由公共网络,通过加密隧道实现与企业内部局域网之间的连接,公共网络上的非VPDN用户则无法享受这种通信服务。
隧道技术是VPDN的优势,用户的数据在隧道中封装后进行传输。在起始设备与互联网的连接设备上,用户数据按照标准封装为一种特殊的传输数据格式。在企业内部网络与互联网的接口处,用户数据经过解封装的过程还原成具体的内容信息。被封装的数据信息,在互联网上传送时所经过的逻辑路径称之为隧道技术。隧道技术中的通信协议是确保用户信息封装、传送、解封装的关键,目前主要分为PPTP、L2F、L2TP三种,其中L2TP的使用最广泛。
3 无线VPDN接入方案介绍
3.1 无线VPDN接入方案 无线VPDN接入方案,是基于3G无线网络高速数据带宽,利用二层隧道技术专门针对特定行业用户,实现客户虚拟网络与公众互联网的隔离,实现远程内部网络访问的通信服务。该实现方案简化了传输节点,提供了最优路由,为用户提供了安全、高速、优质的网络接入解决方案,从而满足移动办公、移动数据采集、无线数据传输等多种不同通信服务的需求。根据用户需求的差异,无线VPDN接入方案,可分为人机通信(P2M,People to Machine)、物物通信(M2M,Machine to Machine)两大类应用。人机通信包括移动办公、移动商务、移动执法等应用;物物通信包括移动POS、ATM等金融终端,交通、环保、气象等行业的数据实时采集和监控。中国联通的WCDMA网络,在无线传输带宽和速率上具有独特的优势,无线VPDN接入产品在市场推广中得到广泛的认可。
3.2 L2TP协议 L2TP协议结合了L2F协议和PPTP协议的优点,成为无线VPDN接入方案中主要采用的方案标准。它能够在PPP链路层提供通道(Tunnel)传输,实现不同设备之间在二层链路的端点之间实现信息交互。在L2TP协议中对LAC(L2TP Access Concentrator,访问集中器)、LNS(L2TP Network Server,网络服务器)进行了特别的规定。LNS作为L2TP隧道的一侧端点,是对端LAC设备进行隧道PPP会话的逻辑终止端点。LAC位于拨号用户和LNS设备之间,它一方面利用L2TP协议在设备之间建立隧道,另一方面利用PPP链路与拨号用户进行数据传输。L2TP数据包分为两类:一类是控制信息,用于建立、保持、拆除隧道和呼叫,通过可靠的信道控制策略保证数据信息的传递,另一类是数据信息,当在传输过程中发生帧丢失现象时,不会发生数据包的重传。L2TP的控制信息与数据信息被封装在同一个PPP帧中进行传送,每一个控制信息都有相应的序列号,确保控制信息在控制信道中高速、可靠的传递。L2TP协议二重认证的机制、隧道加密功能、资源动态分配提升了安全性能,可以根据资费、需求的不同提供分级服务。
3.3 安全防护措施 无线VPDN接入方案具有信道加密、信源加密、身份认证、系统保护等信息防护措施机制。随着移动网络由2G网络向3G网络的发展,无线带宽资源更加充足,安全防护措施更加完善。安全防护措施主要体现在以下几个方面:
多重密钥匹配:用户侧设备接入到WCDMA网络后,有一个注册协商的过程。在这个过程中,通信运营商对接入设备的UIM卡进行身份密钥确认。在身份确认的鉴权过程中,双方协商通讯加密的密钥,并在通信过程中对数据信息进行加密防护。此外,在对数据加密完成之后还会附加上校验码,对方在收到加密信息和校验码后,核对校验码并重新计算,并据此判断数据信息是否在传输过程中被篡改。
接入访问控制:通信运营商在LAC设备上绑定了用户账号与IMSI标识,确保账号不会被盗用。因此,即便用户通过其它UIM卡利用正确的账号进行拨号,所以也无法使用业务。此外,LAC设备还可以设定用户的网络访问权限,通过参数配置限定用户只访问专用网络,而不能访问互联网。
信息数据加密:无线网络的码资源加密,3G网络优于2G网络。此外,在用户侧与核心侧的设备之间,可以采用IPSec VPN实现端到端的加密保护。IPSec VPN需要协商双方针对数据层面提供完整的加密密钥,更稳固的密钥机制保证了接入设备和LNS之间的信息安全。
4 无线VPDN接入方案优劣势分析
4.1 无线VPDN接入方案的优势 无线VPDN接入方案相对于传统的有线传输接入方式,具有灵活方便、工程期短、成本低廉的特点。随着移动网络由2G网络向3G网络的发展,不仅在无线带宽资源上更加充足,而且安全防护措施也更加完善。其主要优势表现在以下几个方面:
传统接入方式的补充。在线路资源不能敷设到区域,可以通过无线网络信号提供无线VPDN接入。经过无线资源参数的调整,降低建筑物、自然气候等因素的影响,从而满足数据传输需求。 冗余备份线路的补充。备份线路的储备,是用户普遍的要求。在许多重要行业通常采用双线路、双路由的接入方式。无线VPDN接入方案不用比传统的物理线路备份那样简单、灵活,能够节省大量安装与维护的费用,是备份线路的最佳选择。
灵活的协议转换。部分特定的移动终端具备一定的路由功能,能够实现对TCP/IP上层协议的支持,能够通过串口等方式接入的非IP应用,可以平滑地接入IP应用。在银行行业的应用中,能够轻松实现无线POS机与后台系统的IP应用对接,方案的开发难度小、维护费用低,在无线POS机的接入市场中常常被采用。
4.2 无线VPDN接入方案的不足 随着无线VPDN接入方案在各行各业中日益广泛的应用,其独特的业务优势已得到广泛的认可。但是随着技术的发展、用户通信需求的提高,该接入方案的局限性也逐渐呈现出来。
无法绑定设备物理属性。在固网的互联网中,将IP地址能够与网卡MAC地址绑定,可以对登录设备的物理特性进行控制。如何将移动终端的MAC地址、用户账号、UIM卡的IMSI标识、固定IP地址等多种限定性元素系统捆绑,从而提供更高的安全级别,是方案优化时需要考虑的问题。
无法保证优质的传输带宽。无线网络的质量,常常受到楼宇阻挡、天气变化等因素的影响。在一些较恶劣的环境下,无线数据的传输带宽可能无法保证。此外,3G网络覆盖与市场发展之间的差距、网络资源调配与网络优化的能力,都是影响业务的因素。如何保证高质量的数据传送也是必须面对的问题。
业务漫游费用较高。无线数据的流量收费,是以地市级行政区域为界,离开归属地的业务使用要收漫游费。漫游资费目前还相对较高,超出了部分用户的心理预期。用户常常因为固有的使用习惯,在漫游地区产生了高昂的流量费,引发了业务使用的纠纷。
5 小结
无线VPDN的接入方案打破传统VPDN的限制,通过移动终端用户不受地点的限制,借助移动网络能够随时随地、方便灵活的实现企业内部网的访问。这种技术实现方案虽然已经广泛的应用于各行各业,但是仍需要专业技术人士不断进行研究和优化。
参考文献:
[1]徐益强.基于3G的无线VPDN业务网的设计与实现[J].环境监控与预警,2010(05).
[2]黄浩,谢冬青.L2TP下可信的VPN方案设计与实现[J].计算机工程,2006(20).
[3]许晶.IPSec中密钥交换协议的研究与实现[D].哈尔滨理工大学,2007.
[4]韦余红.无线POS机数据传输安全控制策略研究[J].通信技术,2009(02).