CDMA VPDN IMSI号认证与IP地址绑定解决方案

    合肥联通运维部 高 辉 王均

    一、VPDN概述

    VPDN是虚拟拨号专用网络（VirtualPrivateDialupNetwork）的缩写，它基于拨号用户的虚拟专用拨号网业务，利用IP和其他网络的承载功能，结合相应的认证和授权机制，可以建立安全的虚拟专用网络。VPDN业务主要面向企业以及政府管理部门。企业申请该业务后，只需要将其企业内部网通过一条专线接入到互联网络，用户即可在国内任何地方拨号使用VPDN业务进入到该虚拟专用网中，安全地访问自己所需要的信息资源。用户可以方便灵活地自行对所属拨号用户进行开户、销户、设置用户权限等操作。

    虚拟拨号专用网(VPDN)的特点有：（1）安全性好，不易受攻击；（2）保密性好，可有效防止非法访问；（3）价格便宜，方便快捷；（4）用户网络建设快；（5）网络管理方便，可以自行生成和管理VPDN用户。

    联通CDMAVPDN与普通的VPDN不同之处主要有两点。（1）方便灵活不受地域限制。它采用了联通CDMA1X分组域的VPDN业务，体现的是无线上网的概念，并且利用CDMA1X高速分组数据网络为无线移动用户构建虚拟专用网络，从而使企业用户在任何地点都能够通过CDMA 1X网络，实现为员工和商业伙伴提供无缝和安全的连接，从而大大提高了实用性和灵活性；（2）高速的数据业务。CDMA 1X无线数据网络能够为移动用户提供高速的数据业务，其上网最高速率达到153.6kbit/s，远比一般有线拨号上网速度快，因此对于无线移动用户和企业的移动用户来说，CDMA 1X网络的VPDN业务将会带给用户更方便、更快捷和更安全的无线上网解决方案。

    虽然基于CDMA的各项技术在不断地完善，但在工作中我们发现使用基于CDMA1X技术建立的VPDN主要存在两个问题：一是不能根据用户信息来分配固定IP地址，只能得到动态IP地址，所以用户终端每次拨号的IP地址都不同，这给用户的某些应用带来一定的不方便；二是已有系统只验证用户名和密码，而没有将IMSI号码加入验证，这样只要知道用户名和密码，任何人都可以拨号进入企业的内网，这就给安全带来了一定的隐患。下面我们就针对以上两个问题采取的解决方案做一个说明。

    二、CDMA1X分组域VPDN业务流程分析

    CDMA1XVPDN网络是利用L2tp隧道技术，通过在IP承载网上建立逻辑隧道，对网络层进行加密以及采用口令保护、身份验证等措施而实现的。企业用户通过CDMA 1X分组域的接入认证，在PDSN和企业网之间建立起专用隧道，然后通过企业网的认证后，终端经过分组网的PDSN与企业的LNS之间建立起PPP连接，用户传输的数据流通过隧道到达企业网，就像用户直接通过专线连接到企业网一样，详细业务流程如图1所示。

    从图1可以看出，移动终端通过移动基站拨号接入CDMA1x。PCF主要是对移动用户所进行的分组数据业务进行转换、管理与控制。通过R.P接口完成无线信道和有线信道的协议转换（1），用户请求认证时，本地AAA判断出是本地VPDN业务的用户后，将此用户对应的企业LNS地址和tunnel密码告诉PDSN（4）、（5），使PDSN与企业LNS之间建立隧道（6），然后和企业用户进行LCP协商（8），企业AAA对用户进行认证（9），认证成功后进入PPP的IPCP阶段（11），由企业网分配用户IP地址，至此从企业用户到企业网的PPP连接建立（12）。注意此时PPP两端是移动用户终端和企业LNS，用户的地址分配和权限管理都是在企业的LNS设备中实现的。ISP的PDSN只是一个中转站。因此通过PDSN绑定IMSI分配地址不合理，需要PDSN厂家增加特性软件来解决。

    通过分析PDSN和LNS建立隧道的过程，我们发现当建立session时，PDSN会把用户的IMSI做为一个参数calling-number发给LNS。因此通过LNS实现IMSI认证和地址绑定是可行和合理的。对此我们在实验环境建立测试网络，模拟企业网络找出解决方案。

    三、测试网络拓扑图

    （一）试验环境，如图2

    （二）设备配置

    CISCO2611MX路由器1台(内存64M,flash32M,配有一块串口卡)

    IOS版本：Version12.3(20)（支持VPDN）7460624byte

    终端PC一台：XP系统，安装FreeRadius

    （三）VPDN配置参数

    用户VPDN域：bank.133vpdn.ah

    l2TP Tunnel password:xxxx

    VPDN用户：test@bank.133vpdn.ah 口令：test

    LNS地址：192.168.2.6

    四、静态DHCP功能测试

    首先想到的方法是使用DHCP技术，在对客户端分配地址时，改用DHCP方式，通过对客户属性分配静态地址，实现地址捆绑。在实际测试中发现路由器发送的DHCPproxy请求包只含有用户名信息而没有IMSI，因此通过DHCP方式只能实现用户名和地址的捆绑。

    此方式虽不能完全解决本文提到的两个问题，但是该方式在不增加任何设备做到根据用户名进行地址分配，在有些情况下，如需要使用固定地址分配实现某些特殊应用时，还是有一定的实用意义的。

    五、Radius功能测试

    在试验网内架设1台Radius服务器，用来做AAA二次认证。由于IMSI号码不是Radius的标准属性，所以必须先要了解系统对它们的存放方式。通过用截包软件分析Radius数据包，发现IMSI号码在Radius的Request包的属性Calling-Station-Id域内，所以当Radius服务器收到Request包时，就可从中取出用户名、密码和IMSI号码，实现三位一体的认证。同时在Radius返回信息中添加Framed-IP-Address的属性，以实现静态地址分配，绑定IP地址。

    六、总结

    本文着重描述了基于CDMA1XVPDN网络具体连接建立的步骤和实际应用。对于在应用过程中因CDMA1X网络的自身特点而使得基于CDMA 1X的VPDN在应用中不能固定绑定IP和不能将IMSI号码加入验证这两个问题加以分析和讨论。并提出具体的解决IMSI认证和地址绑定的实现方案，提供了实验环境拓扑。其中IMSI认证实现的关键是利用Radius服务器，试验环境使用的软件是FreeRadius免费软件，正式组网时可利用企业现有的Radius服务器或安装免费的Radius软件，从而低成本的解决该问题。本文上述解决方案经过实验网测试，系统运行稳定，证明有效可行。

最新文章

虚拟局域网（VLAN）技术、管理与测试[12-29]

以软交换技术为核心 NGN的三大特征[12-29]

关于智能虚交换技术研究及其性能测试[12-29]

对城域传送网络技术及优化策略的探讨[12-29]

下一代网络的核心----软交换[12-29]

下一代网络（NGN）与认证技术[12-29]

相关文章

基于CDMA1X的移动流媒体系统的实现[12-29]

走近TD-SCDMA的终端[12-29]

TD-SCDMA的成本优势[12-29]

在命令提示符下更改ip地址[12-29]

WCDMA的高速引擎—细解HSDPA技术[12-29]

第三代移动通信系统WCDMA的业务信道支持[12-29]