L2TP＋IPSEC VPN私有隧道

    为了保证3G接入网点的数据业务在运营商IP核心网中传输的的私有性，用户向运营商申请企业集团用户3G的VPDN业务，基于3G无线接入方式的虚拟专用拨号网业务，它是利用安全的L2TP隧道传输协议，就可以在现有的拨号网络上构建一条虚拟的、不受外界干扰的专用通道，从而安全访问企业内部网资源。

    运营商会为行业用户的3G VPDN业务提供L2TP的LAC端路由器及配套的AAA服务器。金融、政府行业一级网或二级网汇聚层采用一台路由器作为L2TP的LNS端，并部署一台AAA服务器。LAC路由器主要负责对3G用户的接入认证，与该用户所属企业的专有LNS建立L2TP隧道。金融、政府行业一级网或二级网汇聚的AAA服务器主要存放网点路由器建立连接时所需要的用户名和密码。用户名的格式为XX@XX.COM，其中@前面的字符串可以由用户端自行定义，＠后面的字符串即域名。运营商AAA服务器通过域名确认该用户的接入权限。运营商AAA服务器与企业AAA服务器的用户名和密码必须一致。
 L2TP私有隧道建立过程如下：

    网点路由器通过3G网络在完成对接入用户的APN认证后，路由器启动PPP拨号向LAC发出认证请求。

    LAC把认证请求转至运营商LAC AAA服务器。

    AAA服务器将会回复认证结果并返回该用户所属的LNS地址、VPDN隧道属性等信息。

    LAC向返回的LNS地址发出L2TP隧道建立请求，隧道建立成功（请求建立隧道的认证可选）。

    LNS对网点路由器的用户名和密码进行重新认证（LNS对网点路由器的重认证可选）。

    L2TP隧道建立完成。网点路由器对应的拨号接口UP，建立正常私有隧道通信。

    如果网点发起了能够触发IPSEC VPN的流量，则IPSEC VPN隧道建立过程启动。网点路由器与LNS发起IPSEC VPN连接请求。

    图7  加密隧道建立过程

    IPSEC安全加密

    图8  IPSEC安全加密
 针对端到端的安全加密原则， 如前文所述，3G技术有自身的加密验证技术，但是3G的加密验证技术只针对无线部分，而在IP核心网部分，从LAC到LNS之间的L2TP隧道是不加密的，数据还是明文传送。而从LAC到网络中间还有可能经过运营商的IP网络，为了达到端到端的加密传输，需要在网点和总部路由器之间，采用IPSEC 实现端到端的加密，如图8所示：

    IPSEC通过AH、ESP协议保证了数据的安全传输：

    私有性：用户的敏感数据以密文形式传送

    完整性：对接收的数据进行验证，判断数据是否被篡改

    真实性：验证数据源，判断数据来自真实的发送者

    防重放：防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。

    按照IPSEC VPN技术要求支持的加密算法主要有： DES、DES、AES128、AES192、AES256等 ，要求支持的HASH算法为MD5和SHA等。此外，拥有国家商用密码管理办公室颁发的商用密码产品资质的设备商，除了常见的加密算法外，还能够为金融、政府行业用户的3G接入提供符合国密办加密算法支持，并遵照国密办IPSEC VPN技术规范要求对路由器进行设计，能进一步确保国家信息安全。

    结束语

    3G技术宣告企业网进入无线联网时代，更加完善的网络安全有利于基于3G接入的无线企业网真正得到规模应用。在信息安全已经上升到国家战略的今天，如何在通信技术不断发展的情况下，始终维持一个相称的、可控的安全机制，也将是一个持续讨论下去的话题。相信在政府和国内民族企业的推动下，坚持中国人建设自己的安全网络，牢牢把握住信息安全竞争中的主动权，3G网络在企业数据通信应用中将得到蓬勃发展。