趙 博

0 引言

3G（3rd-generation）是第三代移動(dòng)通信技術(shù)的縮寫，指的是支持高速數(shù)據(jù)傳輸?shù)姆涓C移動(dòng)通信技術(shù)。3G服務(wù)能夠同時(shí)傳送語音和數(shù)據(jù)信息，速度一般能夠超過幾百kbps。三大國內(nèi)電信運(yùn)營商支持如下：電信：CDMA2000，速度高達(dá)3.1Mbps；移動(dòng)：TD-SCDMA，速度高達(dá)2.8Mbps；聯(lián)通：WCDMA，速度高達(dá) 7.2Mbps。聯(lián)通的 WCDMA技術(shù)有較高的擴(kuò)頻增益，發(fā)展空間更大，全球漫游能力較強(qiáng)，技術(shù)成熟度高效益好，得到廣泛應(yīng)用。

隨著3G網(wǎng)絡(luò)服務(wù)的日益普及，運(yùn)營商針對企業(yè)用戶對“3G移動(dòng)專用網(wǎng)絡(luò)”的需求推出3G的VPDN服務(wù)，它使用了L2TP隧道傳輸協(xié)議，在現(xiàn)有的撥號網(wǎng)絡(luò)上的劃分出一條虛擬通道，該專用通道不受外界干擾，用這樣的方式，使用類似有線專用網(wǎng)絡(luò)來接入到企業(yè)內(nèi)部網(wǎng)并訪問資源。而數(shù)據(jù)通信設(shè)備制造商也推出了3G路由器，以適應(yīng)行業(yè)的發(fā)展趨勢，企業(yè)網(wǎng)絡(luò)已經(jīng)進(jìn)入了3G網(wǎng)絡(luò)時(shí)代。

1 基于WCDMA的VPDN的核心技術(shù)

VPDN（Virtual Private Dial-up Network），又稱為虛擬撥號專用網(wǎng)絡(luò)。WCDMA分組域的VPDN服務(wù)，特點(diǎn)是無線上網(wǎng)，其使用中國聯(lián)通WCDMA高速分組數(shù)據(jù)網(wǎng)絡(luò)，為無線網(wǎng)絡(luò)用戶構(gòu)建虛擬專用網(wǎng)絡(luò)，使移動(dòng)用戶在任何地點(diǎn)都能夠?qū)崿F(xiàn)無縫和安全的網(wǎng)絡(luò)連接。

1.1 VPDN的隧道技術(shù)

VPDN主要使用了二層隧道協(xié)議（L2TP），這個(gè)協(xié)議相對于GRE和IPSec隧道這些三層協(xié)議來說，用戶之間的區(qū)分會(huì)比較簡單。因?yàn)椋谌龑樱ňW(wǎng)絡(luò)層），一般只能通過IP地址來區(qū)分用戶。而對于VPN用戶來說，他們的地址可以重復(fù)，所以，三層的隧道協(xié)議并不適合區(qū)分用戶。而作為第二層（數(shù)據(jù)鏈路層）隧道協(xié)議，L2TP是作為PPP的擴(kuò)展而被提出來的。 PPP合適區(qū)分不同的用戶，如撥號上網(wǎng)的用戶，直接連接到對端路由器的用戶等，因?yàn)?PPP可以得到對端用戶的用戶名和更多的用戶信息。對于撥號接入的用戶訪問這種情況下，需要區(qū)分不同的 VPN用戶，使用的L2TP最為理想。使用隧道協(xié)議L2TP協(xié)議的VPDN，主要電信運(yùn)營商會(huì)維護(hù)運(yùn)營商和企業(yè)之間保持的二層隧道。不同企業(yè)之間的二層隧道是分開的，獨(dú)立的 VPDN隧道將確保所有企業(yè)業(yè)務(wù)網(wǎng)絡(luò)的完整性、私密性和安全性。

1.2 VPDN的身份驗(yàn)證方法

1.2.1 口令驗(yàn)證協(xié)議（PAP）

PAP是一種簡單的明文驗(yàn)證方式。很明顯，這種驗(yàn)證方法是安全性較差，第三方可以很容易地將要發(fā)送的用戶名和密碼獲取到，并利用這些信息建立與 NAS的連接并訪問NAS提供的所有資源。一旦用戶密碼被第三方竊取，PAP無法提供避免由第三方攻擊的保障。

1.2.2 挑戰(zhàn)—握手驗(yàn)證協(xié)議（CHAP）

CHAP是一種加密的身份驗(yàn)證機(jī)制，以避免連接時(shí)傳輸用戶的真正的密碼。 NAS發(fā)送一個(gè)挑戰(zhàn)口令給遠(yuǎn)程用戶，包括會(huì)話ID和一個(gè)隨機(jī)生成的挑戰(zhàn)字串。遠(yuǎn)程客戶必須使用MD5單向哈希算法返回用戶名、加密的挑戰(zhàn)口令、會(huì)話ID和用戶口令。CHAP對PAP進(jìn)行了改善，不是直接通過鏈路發(fā)送明文口令，而是使用挑戰(zhàn)口令散列算法對口令進(jìn)行加密。在整個(gè)連接過程中，CHAP將不定時(shí)向客戶端重復(fù)發(fā)送挑戰(zhàn)口令，以避免第三方冒充遠(yuǎn)程客戶端攻擊。

2 基于WCDMA的數(shù)據(jù)通信應(yīng)用的組網(wǎng)模式

2.1 訪問Internet

如圖1所示：

圖1 訪問Internet

3G路由器配置WCDMA模塊，使用公用的APN名稱、用戶名、密碼，通過網(wǎng)絡(luò)運(yùn)營商的無線基站訪問 Internet，通過3G網(wǎng)絡(luò)配置的NAT地址轉(zhuǎn)換功能，3G路由器內(nèi)網(wǎng)的PC通過3G路由器訪問公共網(wǎng)絡(luò)資源，如網(wǎng)頁瀏覽，公共網(wǎng)絡(luò)郵件，即時(shí)通訊，網(wǎng)絡(luò)下載和其他資源。

2.2 Internet+VPN隧道

如圖2所示：

圖2 Internet+VPN隧道

3G路由器配置WCDMA模塊，使用公用的APN名稱、用戶名、密碼，通過網(wǎng)絡(luò)運(yùn)營商的無線基站訪問 Internet，對于需要訪問公共網(wǎng)絡(luò)資源的數(shù)據(jù)流，通過直接配置 NAT地址轉(zhuǎn)換與互聯(lián)網(wǎng)通信。對于需要訪問總部內(nèi)部網(wǎng)絡(luò)資源的數(shù)據(jù)流（如：企業(yè)VoIP語音通話，視頻會(huì)議系統(tǒng)，內(nèi)部OA系統(tǒng)等），通過總部路由器與3G路由器建立IPsec VPN加密隧道進(jìn)行直接通信。

2.3 WCDMA VPDN專網(wǎng)

如圖3所示：

圖3 WCDMA VPDN專網(wǎng)

為了確保大型商業(yè)客戶的WCDMA接入網(wǎng)絡(luò)業(yè)務(wù)的安全需求，運(yùn)營商可以向用戶提供專用的APN（Access Point Name）傳輸模式，為用戶提供一個(gè)專門的接入點(diǎn)名稱，并可以提供一個(gè)用戶名，密碼，IMSI的多重安全認(rèn)證功能?？偛縇NS的用戶端設(shè)備（路由器，VPN設(shè)備）通過專線和運(yùn)營商的網(wǎng)絡(luò)互連，分支機(jī)構(gòu)的 3G路由器配置 WCDMA模塊，使用企業(yè)特定的 APN名稱，用戶名，密碼接入 3G網(wǎng)絡(luò)，運(yùn)營商通過APN名或用戶名密碼確定是企業(yè)的專用網(wǎng)絡(luò)用戶后，設(shè)備觸發(fā)LAC和LNS設(shè)備L2TP客戶端身份驗(yàn)證協(xié)商，最終由LNS設(shè)備的分行網(wǎng)絡(luò)3G路由器分配私網(wǎng)IP地址，以實(shí)現(xiàn)分支機(jī)構(gòu)網(wǎng)絡(luò)與總部的內(nèi)部網(wǎng)絡(luò)的互聯(lián)互通。

基于WCDMA的VPDN專用網(wǎng)絡(luò)是運(yùn)營商為行業(yè)用戶首推的模式。

3 無線側(cè)網(wǎng)絡(luò)安全

無線通信本身的特點(diǎn)是：既方便合法用戶訪問，但也容易讓一個(gè)潛在的未經(jīng)授權(quán)的用戶訪問，所以安全問題總是與移動(dòng)通信網(wǎng)絡(luò)密切相關(guān)。

用于無線通信的安全問題，3G系統(tǒng)進(jìn)行了優(yōu)化如下：

實(shí)現(xiàn)雙向認(rèn)證。不但提供基站對MS的認(rèn)證，而且還提供了MS對基站的認(rèn)證，可以有效地防止虛假基站的攻擊。

提供數(shù)據(jù)鏈路信令的完整性保護(hù)。

密鑰長度增加為128位，改進(jìn)了算法。

3G接入鏈路數(shù)據(jù)加密延伸至無線接入控制器（RNC）。

3G的安全機(jī)制也具有了為未來推出的新服務(wù)提供安全保護(hù)措施的可擴(kuò)展性。

3G可以向用戶提供安全可視性，用戶可以隨時(shí)看到自己的安全模型和安全級別。

在密鑰長度、加密算法的選擇、認(rèn)證機(jī)制、數(shù)據(jù)完整性檢查等方面，3G的性能遠(yuǎn)遠(yuǎn)優(yōu)于2G。

因此，基于WCDMA的中國聯(lián)通無線VPDN業(yè)務(wù)可以在無線側(cè)嚴(yán)格確保客戶資料的保密性、完整性，具有安全保障能力。

4 銀行無線ATM自動(dòng)取款機(jī)應(yīng)用

以基于聯(lián)通的 WCDMA網(wǎng)絡(luò)為銀行 ATM（Automatic Teller Machine 自動(dòng)取款機(jī)）無線接入系統(tǒng)提供了一個(gè)全新的平臺，以解決銀行的ATM機(jī)的移動(dòng)問題，從而擴(kuò)大使用ATM機(jī)服務(wù)的范圍和人群問題，使得銀行的ATM機(jī)服務(wù)可以達(dá)到隨時(shí)隨地的效果，是銀行業(yè)務(wù)和通信技術(shù)結(jié)合的一個(gè)典型的應(yīng)用組合。WCDMA無線ATM機(jī)銀行卡網(wǎng)絡(luò)是按照銀行的網(wǎng)絡(luò)平臺共同的技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)規(guī)范，接著銀行的網(wǎng)絡(luò)平臺，將WCDMA的無線數(shù)據(jù)傳輸技術(shù)應(yīng)用于無線支付服務(wù)領(lǐng)域的一個(gè)新的具有容易攜帶，交易簡單、高穩(wěn)定性，高安全性的特點(diǎn)的應(yīng)用。中國聯(lián)通的WCDMA網(wǎng)絡(luò)的VPDN專用網(wǎng)絡(luò)數(shù)據(jù)傳輸通道，實(shí)現(xiàn)ATM線路的安全、可靠、快速的無線數(shù)據(jù)傳輸，擺脫了傳統(tǒng) ATM 機(jī)受到的制約。WCDMA網(wǎng)絡(luò)的傳輸速率高，銀行可以在很短時(shí)間內(nèi)接收ATM機(jī)傳回的數(shù)據(jù)，消費(fèi)者操作的等待時(shí)間也大大減少。

5 銀行無線ATM自動(dòng)取款機(jī)安全接入解決方案

如圖4所示：

圖4 WCDMA 3G接入

銀行ATM機(jī)網(wǎng)絡(luò)上使用3G路由器提供3G無線網(wǎng)絡(luò)的訪問，通過運(yùn)營商3G無線基站和IP核心網(wǎng)絡(luò)的匯聚路由器，實(shí)現(xiàn)離行式ATM機(jī)與金融網(wǎng)絡(luò)的訪問。

根據(jù)不同的應(yīng)用模式，3G接入的安全部署基于以下考慮：

訪問安全認(rèn)證：

在3G網(wǎng)絡(luò)登錄，基于用戶名、密碼、IMSI（international mobile subscriber identity, 國際移動(dòng)用戶識別碼）的多重身份認(rèn)證綁定功能。要求確保用戶訪問的唯一性，以防止未經(jīng)授權(quán)的用戶使用3G網(wǎng)絡(luò)訪問用戶特定的網(wǎng)絡(luò)。

端到端的隱私性：

為了確保用戶服務(wù)的隱私，必須要求解決方案從網(wǎng)點(diǎn)3G路由器到金融、政府行業(yè)一級或二級網(wǎng)匯聚路由器提供端到端的私有專用通道，以保證網(wǎng)點(diǎn)業(yè)務(wù)在運(yùn)營商網(wǎng)絡(luò)傳輸過程中的私有性。

端到端安全加密：

為了進(jìn)一步確保業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)，在3G無線網(wǎng)絡(luò)運(yùn)營商和IP核心網(wǎng)絡(luò)傳輸?shù)陌踩裕乐购诳屠闷渌欠ㄊ侄潍@取金融和政府部門的敏感數(shù)據(jù)，安全解決方案要求3G的路由器到金融、政府行業(yè)一級或二級網(wǎng)匯聚路由器端到端的加密安全。

3G路由器安全訪問解決方案，如圖5所示：

圖5 3G安全接入解決方案

3G網(wǎng)絡(luò)的訪問安全部署方案，分別由專有的APN +接入認(rèn)證，L2TP的私有隧道，IPSec安全加密技術(shù)來實(shí)現(xiàn)3G接入認(rèn)證，端到端的私密性，端到端安全加密安全性原則，具體的部署方案如下：

5.1 專有APN+綁定接入認(rèn)證

在進(jìn)行3G無線接入網(wǎng)絡(luò)部署時(shí)，首先需要向運(yùn)營商申請分配的專用網(wǎng)絡(luò)的APN（Access Point Name，類似行業(yè)專用的3G無線局域網(wǎng)，保證網(wǎng)點(diǎn)接入3G網(wǎng)絡(luò)后，只能訪問行業(yè)專用網(wǎng)絡(luò)，保證無法與其他網(wǎng)絡(luò)進(jìn)行通信）。網(wǎng)絡(luò)訪問使用3G路由器接入，網(wǎng)絡(luò)運(yùn)營商將用戶的IMSI信息（IMSI是在運(yùn)營商網(wǎng)絡(luò)中唯一識別一個(gè)移動(dòng)用戶的號碼，由15位數(shù)字組成，存于SIM卡中）最終用戶的帳號和密碼會(huì)預(yù)先在運(yùn)營商的認(rèn)證服務(wù)器上進(jìn)行配置。當(dāng)分支機(jī)構(gòu)的3G路由器發(fā)起無線連接時(shí)，只允許綁定信息合法的用戶通過用戶名、密碼的AAA認(rèn)證后接入3G專用網(wǎng)絡(luò)，防止非法SIM 卡用戶撥入用戶3G專網(wǎng)。

此外，可通過3G路由器進(jìn)一步設(shè)置SIM卡的PIN碼保護(hù)功能，只有知道的SIM卡的PIN代碼來觸發(fā)撥號，以防止未經(jīng)授權(quán)的用戶獲取到 SIM 卡后，訪問合法用戶的資源，保證了SIM卡的使用安全。

5.2 L2TP+IPSEC VPN私有隧道

為了保證3G接入網(wǎng)點(diǎn)的數(shù)據(jù)業(yè)務(wù)在運(yùn)營商IP核心網(wǎng)中傳輸?shù)牡乃接行?，用戶向運(yùn)營商申請企業(yè)集團(tuán)用戶3G的VPDN業(yè)務(wù)，基于3G無線接入方式的虛擬專用撥號網(wǎng)業(yè)務(wù)，它是利用安全的L2TP隧道傳輸協(xié)議，就可以在現(xiàn)有的撥號網(wǎng)絡(luò)上構(gòu)建一條虛擬的、不受外界干擾的專用通道，從而安全訪問企業(yè)內(nèi)部網(wǎng)資源。

運(yùn)營商會(huì)為行業(yè)用戶的 3G VPDN業(yè)務(wù)提供 L2TP的LAC端路由器及配套的AAA服務(wù)器。金融、政府行業(yè)一級網(wǎng)或二級網(wǎng)匯聚層采用一臺路由器作為L2TP的LNS端，并部署一臺 AAA服務(wù)器。LAC路由器主要負(fù)責(zé)對3G用戶的接入認(rèn)證，與該用戶所屬企業(yè)的專有LNS建立L2TP隧道。金融、政府行業(yè)一級網(wǎng)或二級網(wǎng)匯聚的AAA服務(wù)器主要存放網(wǎng)點(diǎn)路由器建立連接時(shí)所需要的用戶名和密碼。用戶名的格式為XX@XX.COM，其中@前面的字符串可以由用戶端自行定義，@后面的字符串即域名。運(yùn)營商AAA服務(wù)器通過域名確認(rèn)該用戶的接入權(quán)限。運(yùn)營商AAA服務(wù)器與企業(yè)AAA服務(wù)器的用戶名和密碼必須一致。

L2TP私有隧道建立過程如下：

網(wǎng)點(diǎn)路由器通過3G網(wǎng)絡(luò)在完成對接入用戶的APN認(rèn)證后，路由器啟動(dòng)PPP撥號向LAC發(fā)出認(rèn)證請求。

LAC把認(rèn)證請求轉(zhuǎn)至運(yùn)營商LAC AAA服務(wù)器。

AAA服務(wù)器將會(huì)回復(fù)認(rèn)證結(jié)果并返回該用戶所屬的LNS地址、VPDN隧道屬性等信息。

LAC向返回的LNS地址發(fā)出L2TP隧道建立請求，隧道建立成功（請求建立隧道的認(rèn)證可選）。

LNS對網(wǎng)點(diǎn)路由器的用戶名和密碼進(jìn)行重新認(rèn)證（LNS對網(wǎng)點(diǎn)路由器的重認(rèn)證可選）。

L2TP隧道建立完成。網(wǎng)點(diǎn)路由器對應(yīng)的撥號接口UP，建立正常私有隧道通信。

如果網(wǎng)點(diǎn)發(fā)起了能夠觸發(fā)IPSec VPN的流量，則IPSec VPN隧道建立過程啟動(dòng)。網(wǎng)點(diǎn)路由器與LNS發(fā)起IPSec VPN連接請求。

IPSec安全加密：

針對端到端的安全加密原則，如前文所述，3G技術(shù)有自身的加密驗(yàn)證技術(shù)，但是3G的加密驗(yàn)證技術(shù)只針對無線部分，而在IP核心網(wǎng)部分，從LAC到LNS之間的L2TP隧道是不加密的，數(shù)據(jù)還是明文傳送。而從LAC到網(wǎng)絡(luò)中間還有可能經(jīng)過運(yùn)營商的IP網(wǎng)絡(luò)，為了達(dá)到端到端的加密傳輸，需要在網(wǎng)點(diǎn)和總部路由器之間，采用IPSec實(shí)現(xiàn)端到端的加密：

IPSec通過AH、ESP協(xié)議保證了數(shù)據(jù)的安全傳輸：

私有性：用戶的敏感數(shù)據(jù)以密文形式傳送

完整性：對接收的數(shù)據(jù)進(jìn)行驗(yàn)證，判斷數(shù)據(jù)是否被篡改

真實(shí)性：驗(yàn)證數(shù)據(jù)源，判斷數(shù)據(jù)來自真實(shí)的發(fā)送者

防重放：防止惡意用戶通過重復(fù)發(fā)送捕獲到的數(shù)據(jù)包所進(jìn)行的攻擊，即接收方會(huì)拒絕舊的或重復(fù)的數(shù)據(jù)包。

按照 IPSec VPN技術(shù)要求支持的加密算法主要有：DES、AES128、AES192、AES256等，要求支持的 HASH算法為MD5和SHA等。此外，擁有國家商用密碼管理辦公室頒發(fā)的商用密碼產(chǎn)品資質(zhì)的設(shè)備商，除了常見的加密算法外，還能夠?yàn)榻鹑?、政府行業(yè)用戶的3G接入提供符合國密辦加密算法支持，并遵照國密辦IPSec VPN技術(shù)規(guī)范要求對路由器進(jìn)行設(shè)計(jì)，能進(jìn)一步確保安全性。

6 結(jié)論

3G技術(shù)宣告無線網(wǎng)絡(luò)業(yè)務(wù)的網(wǎng)絡(luò)時(shí)代的來臨，更完善的網(wǎng)絡(luò)安全有利于WCDMA無線接入網(wǎng)絡(luò)真正得到大規(guī)模的應(yīng)用。在信息安全已上升到國家戰(zhàn)略的今天，如何在不斷發(fā)展的通信技術(shù)的情況下，始終保持一個(gè)可控制的安全機(jī)制也將是一個(gè)問題。相信在政府和國家的推動(dòng)下，促進(jìn)民族企業(yè)建立自己的網(wǎng)絡(luò)，牢牢把握信息安全的主動(dòng)權(quán)，WCDMA網(wǎng)絡(luò)在企業(yè)數(shù)據(jù)通信中的應(yīng)用將蓬勃發(fā)展。

[1]李稷楠、王欣、朱旭明、朱偉峰，淺談基于WCDMA分組域的行業(yè)應(yīng)用接入方案，[M]郵電設(shè)計(jì)技術(shù)，2010.03

[2]. 姜學(xué)東、周宇飛，基于CDMA 1X VPDN的銀聯(lián)無線POS系統(tǒng)應(yīng)用，[M]安徽大學(xué)學(xué)報(bào)，2007.03

[3]唐啟濤、陶滔，無線傳感器網(wǎng)絡(luò)綜述，應(yīng)用安全，2008