无锡电信警务通无线接入解决方案.doc

无线接入认证解决方案（CDMA 1x网络VPDN）联创科技（南京）有限公司2023年2月目 录1技术介绍41.1VPDN是什么41.2VPDN技术发展由来51.3为什么会采用L2TP51.4基于二层隧道的VPDN模型61.5VPDN的身份验证方法61.5.1口令验证协议（PAP）61.1.2挑战握手验证协议（CHAP）71.1.3IMSI号验证72组网方式83VPDN的实现过程93.1系统构成部分93.2实现过程94VPDN系统特点104.1支持企业端托管和独立的管理方式104.2支持漫游114.3简单方便的客户端软件114.4高度扩展和伸缩性115方案建议125.1系统整体方案125.2建立在线互备的E-Securer3.2身份认证系统135.3利用IMSI卡号认证135.4访问控制135.5全国漫游145.6接口设计155.6.1与用户的接口155.6.2与政务网的接口155.6.3与应用系统的接口156方案优势166.1基于域名的线路选择166.2第二层加密隧道L2TP VPN166.3基于IMSI卡号的用户身份鉴别176.4基于ACL的访问控制177系统部署及配置187.1系统部署187.2系统配置197.2.1专线197.2.2本地网络服务（LNS）197.2.3联创身份认证服务器197.3配置清单208工程进度计划219联创VPN应用的成功案例229.1楚雄州政务网VPDN接入229.2江苏省高速公路管理处无线电路备份认证系统229.3苏州电力公司VPN接入认证系统229.4光大银行ATM机接入安全认证系统239.5其他成功案例231 技术介绍随着CDMA 1X网络用户的发展和各项增值业务的顺利推广，市场对无线VPDN业务的需求越来越强烈。CDMA 1X分组网的VPDN业务，是利用CDMA 1X高速分组数据网络为无线移动用户构建虚拟专用网络，从而使集团用户在任何地点都能够通过CDMA 1X网络访问集团的私有网络，实现为职员和商业伙伴提供无缝和安全的连接，从而真正做到“让一切自由连通”。但在CDMA 1X分组域的VPDN业务发展中，一些对安全需求高的用户需要进行特别的安全措施进行安全保障。同时，一站式服务和全套端对端的系统解决方案正为用户所青睐。因此我们针对政府办公网安全性的需求，提供出端对端的CDMA专网整体安全解决方案。联创E-Securer安全身份认证系统是针对政府、电信、金融、公安等对安全级别要求较高的企业用户的远程接入认证需求而开发的安全产品，通过双因素认证等高科技加密及安全技术达到高性能、高安全级别的作用。1.1 VPDN是什么VPDN全称是Virtual Private Dial-up Network，又称为虚拟专用（或私有）拨号网，是VPN业务的一种，亦即以拨号接入方式上网，通过在 CDMA 1x分组网络上传输数据，并对网络数据进行封包和加密，可以传输私有数据，达到私有网络的安全级别。它是利用IP网络的承载功能结合相应的认证和授权机制建立起来的安全的虚拟专用网（VPN），是近年来随着Internet的发展而迅速发展起来的一种技术。VPDN的具体实现是采用隧道技术，即将企业网的数据封装在隧道中进行传输。隧道技术的基本过程是在源局域网与公网的接口处将数据（是OSI七层模型中的网络层数据）作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。1.2 VPDN技术发展由来目前VPN隧道协议可分为第三层隧道协议和第二层隧道协议。第二层隧道协议有点对点隧道协议（PPTP）、第二层转发（L2F）、第二层隧道协议（L2TP）三种。 PPTP是PPP的扩展，它增加了一个新的安全等级，并且可以通过Internet进行多协议通信，它支持通过公共网络（如Internet）建立按需的、多协议的、虚拟专用网络。通过启用PPTP的VPN传输数据就像在企业的一个局域网内那样安全。另外还可以使用PPTP建立专用LAN到LAN的网络。L2F（第二层转发）协议是由Cisco公司提出的可以在多种媒质如ATM、帧中继、IP网上建立多协议的全VPN通信方式。远端用户能够透过任何支持用户采用拨号方式接入公共IP网络，首先按常规方式拨号到ISP的接入服务器NAS，建立PPP连接；NAS根据用户名等信息，发起第二重连接，通向HGW 服务器。在这种情况下隧道的配置、建立对用户是完全透明的。L2TP（第二层隧道协议）结合了L2F和PPTP的优点，是一个工业标准的Internet隧道协议，它和PPTP的功能大致相同。L2TP也会压缩PPP的帧，从而压缩IP、IPX或NetBEUI协议，同样允许用户远程运行依赖特定网络协议的应用程序。目前L2TP只支持通过IP网络建立隧道，不支持通过X.25、帧中继或ATM网络的本地隧道。1.3 为什么会采用L2TPVPDN主要是采用第二层隧道协议（L2TP），为什么会采用L2TP？有以下几点原因：（1）对于GRE及IPSec这些三层隧道协议，区分用户将比较困难；因为在三层（IP层），一般只能通过IP 地址来区分用户。对于VPN来说，用户的地址是可以重复的，这样，三层隧道协议不适合区分用户。（2）L2TP 是二层（链路层）的隧道协议，是作为PPP 的扩展提出来的。PPP适合区分不同的用户，比如拨号用户、采取专线直连的对端路由器等等，因为PPP 可以得到对端的用户名和更多用户信息。对于拨号用户接入这种情况来说，需要区分不同的VPN 用户，使用L2TP进行VPDN组建是最理想的。（3）采用L2TP隧道协议，只分配企业网内部IP地址，而PPTP等第二层的隧道协议，要求有正式的IP地址，在拨入拨号服务器时，由拨号服务器提供，在二次拨入企业网关时，由企业网关分配内部网地址。（4）采用L2TP隧道协议的VPDN，电信运营商主要维护运营商和企业之间的二层隧道。不同企业之间的二层隧道是区分开来的，相互独立的二层隧道将保证各企业VPDN网的完全私有性和绝对安全性。1.4 基于二层隧道的VPDN模型集团VPDN接入CDMA 1X分组网考虑安全性，主要采用专线接入。专线接入：对于实时性、安全性要求较高的集团，如政府和公安的集团用户，既要考虑CDMA 1X分组网到集团网的带宽需求，又要考虑传输数据的安全保密性，因此采用专网接入的方式是最安全的选择，既可以保证流量带宽又可以保证数据的安全，此种接入方式需要集团提供专线的租用费用，与第一种方式相比集团要增加租用专线的投资。1.5 VPDN的身份验证方法1.5.1 口令验证协议（PAP）PAP是一种简单的明文验证方式。NAS要求用户提供用户名和口令，PAP以明文方式返回用户信息。很明显，这种验证方式的安全性较差，第三方可以很容易地获取被传送的用户名和口令，并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以，一旦用户密码被第三方窃取，PAP无法提供避免受到第三方攻击的保障措施。1.5.2 挑战握手验证协议（CHAP） CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令（challenge），其中包括会话ID和一个任意生成的挑战字串（arbitrary challenge string）。远程客户必须使用MD5单向散列算法（one-way hashing algorithm）返回用户名和加密的挑战口令，会话ID以及用户口令，其中用户名以非散列方式发送。CHAP对PAP进行了改进，不再直接通过链路发送明文口令，而是使用挑战口令以散列算法对口令进行加密。因为服务器端存有客户的明文口令，所以服务器可以重复客户端进行的操作，并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击（replay attack）。在整个连接过程中，CHAP将不定时地向客户端重复发送挑战口令，从而避免第三方冒充远程客户（remoteclient impersonation）进行攻击。1.5.3 IMSI号验证IMSI号是IUM卡的全球唯一标识，当一个用户得到IUM卡的同时就有了与这个卡相关的IMSI号，这个号可以视为用户所拥有的资产，所以这个信息就可以作为身份鉴别的一个因素。用户在发起一个VPDN拨号请求时，输入自己的账号和域名、静态密码，在通过CDMA1x网络验证通过后会进入联通内网，如果内网中部署了身份认证系统，那么身份认证系统就可以取得用户的IMSI号，送到系统的认证模块来进行用户身份的鉴别，如果这个号和输入的账号不一致，那么这个用户的拨号请求将被拒绝。反之，则认证成功，进入内部网络中。2 组网方式该方案主要特点为各个企业单独购买自己的Radius 认证服务器，单独实施自己的安全身份认证系统。用户通过CDMA 1x 上网的具体流程是这样的：用户使用自己的CDMA 1x 卡，使用联通提供的1x 拨号客户端，在拨号客户端输入用户名加域名的方式，例如 test.同时输入静态口令， 用户的认证信息通过1x 网络送到联通的PDSN 上，PDSN 在收到用户的认证请求包后，判断该请求包的域名（通过Radius 认证服务器）。然后根据域名（每个企业一个独立的域名,指到企业的接入网关，需要事先在CDMA1x网络的AAA服务器上配置好数据），将该包送到对应的企业接入网关（LNS）。企业侧接入网关在收到用户的 认证请求包后将用户的认证请求包送给企业的E-Scecurer安全身份认证服务器，认证服务器在收到认证请求包后判断用户的用户名，口令，IMSI号信息是否正确，若这三项信息完全正确，则用户认证通过，否则认证失败。用户认证通过后，用户就通过这样的L2TP 的隧道，建立了自己和企业的虚拟专用连接，用户如同置身于企业内网了。整个操作流程非常简单。同时用户仍然可以通过原来的用户名口令上Internet. 这儿需要强调指出的是由于IMSI 号的唯一性，保证了没有卡的用户即使知道了你的用户名，密码也无法登陆，这就极大地提高了系统的安全性。3 VPDN的实现过程3.1 系统构成部分VPDN服务主要由CDMA1X路由器、LAC和LNS(防火墙或者cisco接入路由器如C2600 Series)、AAA服务器组成，以下是各部分功能。CDMA1X路由器: 连接在远程网络上的访问终端，是VPDN呼叫的发起者。LAC: 是“第二层隧道协议（L2TP）访问集中器”（Layer 2 tunnel protocol Access Concentrator）的缩写，在CDMA1X分组网中是PDSN节点。它是L2TP隧道的其中一个端点，也是LNS的对端。LAC处于LNS和Client的中间，负责转发双方的数据包。从LAC发往LNS的数据包需要封装到L2TP隧道中，而从LAC到Client的连接则使用CDMA1X无线分组传输技术。LNS: 是“第二层隧道协议网络服务器”（Layer 2 tunnel protocol Network Server）的缩写。它是L2TP隧道的另一个端点，也是LAC的对端。它是PPP会话的逻辑终点，而PPP会话被LAC封装成隧道形式，是从Client端开始的。AAA server：AAA是认证（Authentication）、授权（Authorization）和记账（Accounting）的缩写。AAA服务器负责对Client的身份进行验证。3.2 实现过程远程无线CDMA1X终端（手机、笔记本）通过CDMA1X网络连入拜访地LAC。LAC服务器通过用户名或接入号码识别出该用户为VPDN用户后，就和用户的目的VPDN服务器（企业内部服务器）建立一条连接，这条连接称为隧道，然后将用户数据包封装成IP报文后从该隧道传送给VPDN服务器，VPDN服务器收到数据包并拆封后就可以读到真正有意义的报文了。详细实现过程如下：用户（客户机）通过拨特服号777呼叫，拨号时采用企业专有域名进行，用户将拨入运营商的LAC服务器，客户机和LAC进行LCP（Link Control Protocol，链路控制协议）协商。若协商成功，则LAC将用户名、域名、手机号国际码等信息送至AAA认证服务器对用户进行认证。AAA使用CHAP或PAP来确定该用户是否VPDN的客户。AAA根据相关信息进行认证判别，如果发现用户VPDN的客户，AAA认证服务器根据用户注册的信息向LAC发送建立L2TP隧道的对应参数，LAC也就从AAA服务器返回的信息中获得企业LNS的信息。LAC利用所获得的企业LNS信息向LNS申请建立L2TP隧道。基于从LAC请求中获得的名字和隧道密钥，LNS会通过查找本地的VPDN配置，检查该LAC是否允许建立隧道。另外，LAC和LNS会互相认证。然后LAC和LNS之间的隧道就会被建立起来。在这个隧道中会进行一些VPDN的会话（session）。在建立了隧道后，LAC和LNS之间会触发一个关于客户机的用户名域名的VPDN会话，一个VPDN会话对应一个客户机。在LNS和终端之间进行LCP的重协商。如果协商成功，则进入用户认证阶段，终端向LNS发送认证相关信息。LNS向终端返回认证信息。如果认证通过后，终端和LNS之间进入IPCP（IP Control Protocol，IP控制协议）阶段，路由被建立起来，PPP对话也开始在Client和LNS之间进行。LAC负责转发PPP数据帧。LAC和LNS之间的PPP数据帧会在VPDN隧道中被传输。VPDN用户与LNS成功建立PPP连接，开始进行通信。这样，VPDN客户就实现了与企业内部服务器的通信。4 VPDN系统特点4.1 支持企业端托管和独立的管理方式企业端的管理采用企业托管和企业独立管理方式。企业托管方式也称为VPDN Hosting，是指将企业端用户身份信息统一放在联通来维护，企业端不需要安装认证系统。企业端管理员，只需要登录到联通为企业指定的位置登录上来进行维护自己的企业和员工信息即可。企业独立管理方式和托管方式正好相反，即企业需要独立的安装一套管理系统，包括认证服务器、用户资料、数据库等。这种方式的优点是企业单独维护自己的认证系统，企业的关键用户信息完全由自己管理。相比于托管的方式更加安全可靠。目前全省大部分企业选择这种方式。企业托管的方式的优点是由运营商集中管理，可在一套系统上同时提供多个VPDN企业的管理，减少了企业的投资。对于比较规模比较小的企业和维护力量相对比较弱的4.2 支持漫游系统不仅为本省用户提供服务，同时也为其它省份用户提供服务。其它省份用户通过本省系统进行拨号认证时，系统判断如果时外省全国性用户时，则认证服务器会将域名信息发送至全国认证服务器，全国认证服务器根据省级认证服务器转发来的用户信息向LAC发送建立L2TP隧道的对应参数。4.3 简单方便的客户端软件系统为最终用户提供了统一的VPN接入拨号客户端软件，此客户端软件配置简单、使用方便。客户端软件内部预置了与VPN网关连接的参数，用户安装后无需配置，直接输入用户名和密码就可以很方便创建VPN连接，同时客户端软件支持“获取动态密码”选项，增强了系统安全性。4.4 高度扩展和伸缩性扩展性是指系统采用了先进的设计理念和技术，与平台无关性java开发，高度标准开放的对外接口和二次开发接口，保证了系统将来的功能扩展快速、方便，为运营商业务的推出争取了宝贵的时间。伸缩性是指在服务请求数量增加时，系统有维持其平均性能的能力。系统采用了网络和服务负载均衡技术在表现层、应用服务层、数据层都进行了优良的设计和考虑。负载均衡可以将多个用户请求均分到每一个web服务器上，同时当系统中的一台应用服务器发生故障时，其它服务器会迅速的接管并继续访问数据库服务器。5 方案建议5.1 系统整体方案无锡交警配备“移动警务通”,这种只能手机并非一般的手机,而是可以查询全市驾驶员和车辆档案的手机;无锡交警只要通过咋手机上点击拨号进行认证,通过认证后可以打开无锡警务通页面,打开页面后,交警们便可以格根据自己的工作需要,查询各种警务信息.如:交管信息查询、犯罪信息查询、人口信息查询、基本信息查询、110电话查询等。系统整体由两个部分组成： 电信CDMA无线网络与无锡公安网络，这两个部分之间通过专线连接。系统部署图如下：如上图所示，无锡交警警务通手机是VPDN接入端的设备，是用户进入无线网络的接口。首先无锡交警无线终端移动电话发起VPDN连接请求，这一请求首先由CDMA 1x网络到达PDSN，请求中包含了账号、用户口令、域名及IMSI号的认证信息，在PDSN经过AAA认证后，它将通过专线和LNS建立L2TP通信隧道，同时由LNS将认证数据包转发给认证服务器，认证服务器认证用户的账号、口令和IMSI号，通过认证后认证服务器反馈认证成功信息给LNS，这样LNS将会顺利与PDSN建立VPDN连接。在建立了VPDN连接后，无线终端通过建立好的L2TP隧道与内部网络进行数据交换，访问内部资源，这样就可以将信息传到无锡交警内部网络。5.2 建立在线互备的E-Securer3.2身份认证系统E-Securer身份认证服务器主要功能为检验用户的账号合法性和权限，并提供一定的审计功能。我们建议这个系统才用双机热备的方式实现，因为双机可以有效的避免系统单点故障，消除系统因无法认证而带来的系统风险。5.3 利用IMSI卡号认证利用IMSI号认证是解决动态密码认证带来的不便，用户同样利用CDMA 1x网络发起VPDN拨号，由PDSN与用户本地LNS协商专用通信隧道，由E-Securer3.2身份认证系统根据用户名、静态密码、IMSI号进行身份认证。IMSI号认证方式是E-Securer3.2身份认证系统特有的认证功能，管理员只要在系统中配置IMSI卡号用户的账号和密码及关联的IMSI号，用户就可以正常的使用这一功能进行认证。但是因为IMSI号是专网内的特征号，如果使用Internet转发这个特征号有可能被过滤，或者到达目的地而无法识别，所以在采用IMSI号做用户鉴别的时候需要保证网络是专网，不经过Internet。5.4 访问控制当客户端发起VPDN接入请求时，这一请求首先由CDMA 1x网络到达PDSN，请求中包含了域名及IMSI号的认证信息，在PDSN经过AAA认证后，它将和LNS建立L2TP通信隧道，同时由LNS将认证数据包转发给认证服务器，认证服务器通过识别用户账号后，到系统相应的地址池为用户准备分配一个IP地址，通常是一个或几个固定的IP地址段中的地址，在认证通过后，认证系统将返回给用户一个IP地址，这样客户端将用这个IP地址访问内部的应用系统；如果这时在内部路由器上配置一定的ACL（访问控制列表），这样就可以利用ACL控制特定地址池内的用户访问特定的应用系统利。5.5 全国漫游用户在漫游状态下VPDN的工作过程为：本省用户到其它省份发起VPDN认证时，系统判断如果是外省全国性用户，则认证服务器会将域名信息发送至全国认证服务器，全国认证服务器根据省级认证服务器转发来的用户信息向目标LAC发送建立L2TP隧道的对应参数。目标省的LAC在收到用来建立L2TP的对应数据时，就发起拨号请求与LNS建立通信隧道，通信的隧道建立好后，LNS将这个请求发给认证服务器，等待认证服务器通过用户身份鉴别和授权，如果认证服务器通过了身份鉴别和授权，则返回给LNS通过信号，LNS开始转发用户数据包到内部网络中，与应用系统通信，详细连接图如下图。从以上的流程可以看出，漫游的关键技术在于外省认证服务器、全国认证服务器、目标省认证服务器之间的通信，如果这个通道可以顺利建立，那么剩下的就和在本省建立VPDN拨号的过程一样了。5.6 接口设计5.6.1 与用户的接口用户在使用VPDN拨号时，首先需要拨号设备，本方案中提供的有移动PC和移动电话两种方式；用户在使用这两种拨号工具时，不管是在本省内还是在外省，均需要配备CDMA1x卡，接入到CDMA 1x网络。用户与VPDN之间的接口就是移动PC和移动电话加上CDMA卡。CDMA无线网卡是配备在移动终端上的设备，用户通过CDMA卡和拨号软件拨入无线网络，再进行第二次拨号，才能进入到政务网中。这里的移动终端包括手机、笔记本电脑、移动POS等。5.6.2 与政务网的接口政务网网络在这里视为一个数据中心，当用户远程通过VPDN连接到数据中心时，就是一种成功的连接。那么如果要得到这种成功的连接，在政务网和无线网络中需要有一个接口。这个接口可以通过专线来实现，即在电信公司和政务网之间敷设专线来连接CDMA1x网和政务网。在政务网一侧，和LNS实际相连的是政务网中的路由器，这样就把政务网网络和CDMA1x无线网络连接在一起，这样就提供了一个物理的通道连接内网和线接入网。5.6.3 与应用系统的接口用户在使用VPDN连接的时候，当加密隧道建立成功，用户身份认证成功后，就具备了进入政务网的条件。这时在用户终端和内网之间有一条通过CDMA无线连接的加密通道，这个通道可以使用户觉得像是在内网中操作一样简便。政务网中的各应用系统是独立于VPDN拨号网络的，就是说这种拨号网络接入政务网的方式存在与否和应用系统没有关系，对用户是透明的，只要用户完成相应的拨号就可以了。所以应用系统不需要进行相应的改造就可以对VPDN拨入用户提供服务。6 方案优势6.1 基于域名的线路选择方案中采用专线的方式和联通网络相连接，由于和联通网络对连的企业LNS 可能有若干个，因为联通可能为若干个用户提供VPDN接入。但如何保证这些LNS之间不被互相访问？这也是方案考虑的一个优势所在。首先一个用户有自己的UIM卡、拥有自己的用户名称和密码，这个用户名就是命名规则如：test1gdyh.133vpdn.yn，可以看出这个一个基于域名的命名方式，从域名上可以读出这是广大银行的test1用户。当这个用户在发起VPDN连接请求时，这个请求会被无线网络传送到联通PDSN，PDSN将这个域名传送给联通AAA服务器，由AAA服务器返回这个域名对应的LNS地址，PDSN在收到这个地址后将与这个地址的LNS协商L2TP隧道。这个隧道将保证每个LNS之间不能被访问。这就保证了线路之间是相互独立、相互隔离、经过加密（这点在下节中讨论）的。从而保证了各线路的安全性。6.2 第二层加密隧道L2TP VPN方案中VPDN连接是建立在L2TP协议之上的，也就是说要建立VPDN连接，在联通无线网络和企业网络之间需要利用L2TP二层隧道协议。这样在无线端和企业内部网络之间建立的是二层隧道，这个二层隧道对于用户来说是透明的。因为在无线网络到企业内网之间的传输需要经过很多网络设备，其中需要穿越CDMA 1x网络，并且利用L2TP协议，那么设备与设备之间是基于二层的透传，它们之间如何进行协商、如何通信对于用户来说不是至关重要的。用户需要关心的是接入内部网络二层协议端与端的安全，也就是方案中描述的PDNS与企业LNS之间的安全。如下图所示：L2TP隧道是由PDSN与企业LNS进行协商建立的，它们在建立隧道时需要协商加密和解密的密钥，这个密钥在协商时是动态生成的，也就是每次建立的二层隧道的密钥是不一样的，所以在传输上保证了数据的加密性，从而保证安全性。6.3 基于IMSI卡号的用户身份鉴别 无线终端要接入到CDMA 1x无线网络，必须使用UIM卡，而UIM卡在网络中的唯一标识就是IMSI号。每张卡有一个号，并且这个号是全球唯一的，不易被仿造。 方案中，我们建议使用联创的ESecurer身份认证系统，这样鉴别用户身份的方法是，在身份认证系统中既对比用户使用的IMSI号，也要对比用户的账号和密码，从三分方面进行用户身份的鉴别。在系统中，不仅IMSI号是唯一的，而且一个账号帮定一个IMSI号，这样就防止了UIM卡的窃取、盗用。如果不法分子窃取到UIM卡后，在不知道用户的账号及口令的情况下，依然不能连接进入网络。 用户身份的鉴别，我们建议由用户方进行管理。包括用户账号的维护、账号与IMSI号帮定、可访问的内部资源、访问日志及身份认证日志等。这样一切访问内部网络的人员都有用户内部进行分配，有利于用户的账号控制及访问控制。6.4 基于ACL的访问控制 ACL是访问控制列表，常用在网络层的访问控制。它可以定义一些规则，使得一定的源IP地址能够访问一定的目标IP地址。方案中我们可以对请求建立VPDN连接的无线终端分配IP地址，这样终端的接入IP就在用户的管理范围之内。内部网络的资源，例如一台服务器，也具有用户分配的IP地址。这些终端的IP地址可以定义为ACL的源地址，这些服务器的IP地址就可以定义为ACL的目的地址，这样我们只要将访问控制列表添加在本地LNS上，内网中不同的服务器，只有符合ACL规则的IP地址才能访问得到。所以利用第三层的ACL就完成了用户内部资源的访问控制。方案的优点在于无线接入终端无法穿越这样的访问控制体系，因为IP地址是系统分配，如果没有采用系统分配的IP地址，就无法连接到网络；另一方面，利用系统分配的IP地址经过LNS服务器时就必须受ACL的规则管理。所以方案在访问控制上是非常安全的。7 系统部署及配置7.1 系统部署系统部署图如下：图中，标有红色星的表明这些设备需要新增，这些设备的工作流程在此不再赘述。这些设备的由实际线路连接的均以实线标明，各设备的功能和配置将在后续章节内简要介绍。7.2 系统配置7.2.1 专线专线是物理连接CDMA无线网络和政务网的通道。这里的专线需要省公司和楚雄电信联通；需要楚雄电信和楚雄政府间联通。7.2.2 本地网络服务（LNS）这是企业端内部网络和无线网络连接的一个设备，主要处理无线网和政务网VPDN隧道的协商、建立和通信。我们采用业界比较成熟的LNS设备Cisco 2811。其配置如下表：序号名称描述数量备注1Cisco 2811VPDN功能路由器12VWIC2-2MFT-T1/E12端口卡13CAB-E1-RJ45BNCE1 Cable RJ45 to Dual BNC24CAB-ACAPlug,Power Cord,Australian,10A17.2.3 联创身份认证服务器联创E-Securer3.2身份认证系统对系统硬件资源要求比较低，普通的PC服务器就可以运行。但对服务器平台有如下建议：Ø 服务器CPU：至少P4 1G，推荐P4 2G 以上或多个CPU；Ø 服务器内存：至少512M，推荐1G 以上；Ø 服务器光驱：必须有一个光盘驱动器来读取系统软件发布介质。Ø 磁盘空间：程序占100MB，数据库空间取决于用户数、设备数及日志；推荐配置20G 以上硬盘。Ø 服务器网卡：以太网卡100/1000；Ø 操作系统平台：RedHat Linux 8、AS 4.0；建议新购性能优良的服务器安装E-Securer3.2身份认证系统，用作主服务器与另外一个旧的服务器形成双机热备，在一台设备出现故障的时候，另一台设备可以接管认证系统的运行，不影响用户正常的身份认证。构建双机热备平台的配置如下：序号项目说明数量备注1主服务器新购服务器1台新增2备服务器新购服务器1台新增3E-Securer3.2 认证系统软件双机版2套新增4RedHat Linux 8、AS 4.0操作系统2免费7.3 配置清单序号名称描述数量备注1ES-Base-MS安全身份认证系统软件多服务器版1双机热备 2Dell 2950 ServerDell服务器2安装身份认证软件3Cisco 2811VPDN功能路由器（LNS）1416口交换机用来集成认证服务器和LNS18 工程进度计划序号项目工作时间进度第一月第二月第三月第四月1周2周3周4周1周2周3周4周1周2周3周4周1周2周3周4周1设备采购2现场调研、系统设计3专线敷设4认证服务器集成5LNS路由器集成、调试6网络系统调试7无线用户配置8集成应用系统联合调试9访问控制设定、调试10用户培训11系统初步验收12系统优化、调试13最终验收9 联创VPN应用的成功案例9.1 楚雄州政务网VPDN接入楚雄州政府办公网络的无线接入目前系统已经成功上线运行，其用户规模达到2000，目标规模将达到20000。目前主要实现的功能包括利用CDMA1x网络无线接入楚雄州政务网，为政府部门用户提供WAP通讯录和短信发送等功能。方便用户通过无线连接到办公网络，及时处理政务、文件、邮件等。尤其有利于出差情况下的远程政务处理；政务网用户可以利用手机、笔记本等无线终端在漫游状态下连接到政务网，例如在火车上、宾馆、其他单位，都可以方便的处理政务。另外，平台还提供增值的业务，政务网用户可以通过WAP通信录查找政务网的用户地址，可以通过政务网群发短信通知等功能。系统运行稳定、可靠，为政务网用户提供了极大的方便。9.2 无锡警务通CMDA 1X无线接入认证解决方案无锡交警配备“移动警务通”,这种只能手机并非一般的手机,而是可以查询全市驾驶员和车辆档案的手机;无锡交警通过使用CDMA 1X无线接入，在手机上点击拨号进行认证,通过认证后可以打开无锡警务通页面,打开页面后,交警们便可以格根据自己的工作需要,查询各种警务信息.如:交管信息查询、犯罪信息查询、人口信息查询、基本信息查询、110电话查询等。9.3 江苏省高速公路管理处无线电路备份认证系统江苏省高速公路管理处是全省高速公路网络管理维护中心。其所属的全省高速公路的几百个收费站点需要和省中心连接办理各种业务。为了保证高速公路各种业务的稳定不间断运行，防止出现因为网络连接不通而造成业务中断，高速公路管理处使用联通CDMA 1x 无线接入作为线路备份，一旦出现原有网络无法使用的情况，可以迅速切换到联通 CDMA 1x 卡拨号接入，使得业务不受任何影响。由于CDMA 1x 无线拨号接入采用了联创E-Securer 安全身份认证系统，保证了用户身份的合法性，同时由于CDMA 1X 拨号接入方案的安全性，保证了用户业务数据流的安全性。系统投入使用后，运行良好。9.4 苏州电力公司VPN接入认证系统苏州电力公司作为苏州供电系统的维护，管理中心，其所属辖区内包含几百台远程抄表，监控终端。原来需要人工操作，非常麻烦。在使用CDMA 1x 无线拨号接入后，在每个终端安装一个CDMA 1x 拨号终端，定时拨号接入，向中心发送当前终端所示数据。这样不仅大大节约了人力成本，而且使得使用，监控都比原来更加方便，准确。9.5 光大银行ATM机接入安全认证系统光大银行各营业网点拥有多台ATM机，原先大部分使用专线方式接入，代价昂贵且工程实施麻烦，并且不利于搬迁。使用CDMA 1x VPDN无线接入后，再增加ATM机的时候只需要购买一个CDMA 1x终端即可实现无线安全接入的需求。不仅价格低廉而且实施极其方便。 9.6 其他成功案例江苏联通CDMA 1X VPDN拨号接入系统在全省20多家单位先后投入使用。系统以低廉的价格解决了用户无线接入自己企业内网的需求。在建设这样的系统后，企业用户智要在CDMA 网络覆盖的地方便可以方便，安全的访问自己的企业内网。对于有线网络无法覆盖的地方，对于无人值守的地方，对于一些移动办公的设备，采用CDMA 1x VPDN 进行拨号接入无疑是最佳的，安全的解决方案。联创VPN 安全认证管理系统先后在中国联通总部，江苏联通，浙江联通，安徽联通，云南联通，黑龙江联通，苏州联通，江苏电信，安徽移动，天津移动等多家运营商使用。产品的成熟度和稳定性得到了充分的验证。产品以优越的性能和方便的使用获得了客户的一致认可。该产品早在2003年就获得了公安部安全产品销售许可证。