【正文】 種方式相比集團(tuán)要增加租用專線的投資。 VPDN的身份驗(yàn)證方法 口令驗(yàn)證協(xié)議（PAP）PAP是一種簡(jiǎn)單的明文驗(yàn)證方式。NAS要求用戶提供用戶名和口令，PAP以明文方式返回用戶信息。很明顯，這種驗(yàn)證方式的安全性較差，第三方可以很容易地獲取被傳送的用戶名和口令，并利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以，一旦用戶密碼被第三方竊取，PAP無(wú)法提供避免受到第三方攻擊的保障措施。 挑戰(zhàn)—握手驗(yàn)證協(xié)議（CHAP） CHAP是一種加密的驗(yàn)證方式，能夠避免建立連接時(shí)傳送用戶的真實(shí)密碼。NAS向遠(yuǎn)程用戶發(fā)送一個(gè)挑戰(zhàn)口令（challenge），其中包括會(huì)話ID和一個(gè)任意生成的挑戰(zhàn)字串（arbitrary challenge string）。遠(yuǎn)程客戶必須使用MD5單向散列算法（oneway hashing algorithm）返回用戶名和加密的挑戰(zhàn)口令，會(huì)話ID以及用戶口令，其中用戶名以非散列方式發(fā)送。CHAP對(duì)PAP進(jìn)行了改進(jìn)，不再直接通過(guò)鏈路發(fā)送明文口令，而是使用挑戰(zhàn)口令以散列算法對(duì)口令進(jìn)行加密。因?yàn)榉?wù)器端存有客戶的明文口令，所以服務(wù)器可以重復(fù)客戶端進(jìn)行的操作，并將結(jié)果與用戶返回的口令進(jìn)行對(duì)照。CHAP為每一次驗(yàn)證任意生成一個(gè)挑戰(zhàn)字串來(lái)防止受到再現(xiàn)攻擊（replay attack）。在整個(gè)連接過(guò)程中，CHAP將不定時(shí)地向客戶端重復(fù)發(fā)送挑戰(zhàn)口令，從而避免第三方冒充遠(yuǎn)程客戶（remoteclient impersonation）進(jìn)行攻擊。 IMSI號(hào)驗(yàn)證IMSI號(hào)是IUM卡的全球唯一標(biāo)識(shí)，當(dāng)一個(gè)用戶得到IUM卡的同時(shí)就有了與這個(gè)卡相關(guān)的IMSI號(hào)，這個(gè)號(hào)可以視為用戶所擁有的資產(chǎn)，所以這個(gè)信息就可以作為身份鑒別的一個(gè)因素。用戶在發(fā)起一個(gè)VPDN撥號(hào)請(qǐng)求時(shí)，輸入自己的賬號(hào)和域名、靜態(tài)密碼，在通過(guò)CDMA1x網(wǎng)絡(luò)驗(yàn)證通過(guò)后會(huì)進(jìn)入聯(lián)通內(nèi)網(wǎng)，如果內(nèi)網(wǎng)中部署了身份認(rèn)證系統(tǒng)，那么身份認(rèn)證系統(tǒng)就可以取得用戶的IMSI號(hào)，送到系統(tǒng)的認(rèn)證模塊來(lái)進(jìn)行用戶身份的鑒別，如果這個(gè)號(hào)和輸入的賬號(hào)不一致，那么這個(gè)用戶的撥號(hào)請(qǐng)求將被拒絕。反之，則認(rèn)證成功，進(jìn)入內(nèi)部網(wǎng)絡(luò)中。2 組網(wǎng)方式該方案主要特點(diǎn)為各個(gè)企業(yè)單獨(dú)購(gòu)買自己的Radius 認(rèn)證服務(wù)器，單獨(dú)實(shí)施自己的安全身份認(rèn)證系統(tǒng)。用戶通過(guò)CDMA 1x 上網(wǎng)的具體流程是這樣的：用戶使用自己的CDMA 1x 卡，使用聯(lián)通提供的1x 撥號(hào)客戶端，在撥號(hào)客戶端輸入用戶名加域名的方式，例如 test@， 用戶的認(rèn)證信息通過(guò)1x 網(wǎng)絡(luò)送到聯(lián)通的PDSN 上，PDSN 在收到用戶的認(rèn)證請(qǐng)求包后，判斷該請(qǐng)求包的域名（通過(guò)Radius 認(rèn)證服務(wù)器）。（每個(gè)企業(yè)一個(gè)獨(dú)立的域名,指到企業(yè)的接入網(wǎng)關(guān)，需要事先在CDMA1x網(wǎng)絡(luò)的AAA服務(wù)器上配置好數(shù)據(jù)），將該包送到對(duì)應(yīng)的企業(yè)接入網(wǎng)關(guān)（LNS）。企業(yè)側(cè)接入網(wǎng)關(guān)在收到用戶的 認(rèn)證請(qǐng)求包后將用戶的認(rèn)證請(qǐng)求包送給企業(yè)的EScecurer安全身份認(rèn)證服務(wù)器，認(rèn)證服務(wù)器在收到認(rèn)證請(qǐng)求包后判斷用戶的用戶名，口令，IMSI號(hào)信息是否正確，若這三項(xiàng)信息完全正確，則用戶認(rèn)證通過(guò)，否則認(rèn)證失敗。用戶認(rèn)證通過(guò)后，用戶就通過(guò)這樣的L2TP 的隧道，建立了自己和企業(yè)的虛擬專用連接，用戶如同置身于企業(yè)內(nèi)網(wǎng)了。整個(gè)操作流程非常簡(jiǎn)單。同時(shí)用戶仍然可以通過(guò)原來(lái)的用戶名口令上Internet. 這兒需要強(qiáng)調(diào)指出的是由于IMSI 號(hào)的唯一性，保證了沒有卡的用戶即使知道了你的用戶名，密碼也無(wú)法登陸，這就極大地提高了系統(tǒng)的安全性。3 VPDN的實(shí)現(xiàn)過(guò)程 系統(tǒng)構(gòu)成部分VPDN服務(wù)主要由CDMA1X路由器、LAC和LNS(防火墻或者cisco接入路由器如C2600 Series)、AAA服務(wù)器組成，以下是各部分功能。CDMA1X路由器: 連接在遠(yuǎn)程網(wǎng)絡(luò)上的訪問終端，是VPDN呼叫的發(fā)起者。LAC: 是“第二層隧道協(xié)議（L2TP）訪問集中器”（Layer 2 tunnel protocol Access Concentrator）的縮寫，在CDMA1X分組網(wǎng)中是PDSN節(jié)點(diǎn)。它是L2TP隧道的其中一個(gè)端點(diǎn)，也是LNS的對(duì)端。LAC處于LNS和Client的中間，負(fù)責(zé)轉(zhuǎn)發(fā)雙方的數(shù)據(jù)包。從LAC發(fā)往LNS的數(shù)據(jù)包需要封裝到L2TP隧道中，而從LAC到Client的連接則使用CDMA1X無(wú)線分組傳輸技術(shù)。LNS: 是“第二層隧道協(xié)議網(wǎng)絡(luò)服務(wù)器”（Layer 2 tunnel protocol Network Server）的縮寫。它是L2TP隧道的另一個(gè)端點(diǎn)，也是LAC的對(duì)端。它是PPP會(huì)話的邏輯終點(diǎn)，而PPP會(huì)話被LAC封裝成隧道形式，是從Client端開始的。AAA server：AAA是認(rèn)證（Authentication）、授權(quán)（Authorization）和記賬（Accounting）的縮寫。AAA服務(wù)器負(fù)責(zé)對(duì)Client的身份進(jìn)行驗(yàn)證。 實(shí)現(xiàn)過(guò)程遠(yuǎn)程無(wú)線CDMA1X終端（手機(jī)、筆記本）通過(guò)CDMA1X網(wǎng)絡(luò)連入拜訪地LAC。LAC服務(wù)器通過(guò)用戶名或接入號(hào)碼識(shí)別出該用戶為VPDN用戶后，就和用戶的目的VPDN服務(wù)器（企業(yè)內(nèi)部服務(wù)器）建立一條連接，這條連接稱為隧道，然后將用戶數(shù)據(jù)包封裝成IP報(bào)文后從該隧道傳送給VPDN服務(wù)器，VPDN服務(wù)器收到數(shù)據(jù)包并拆封后就可以讀到真正有意義的報(bào)文了。詳細(xì)實(shí)現(xiàn)過(guò)程如下：用戶（客戶機(jī)）通過(guò)撥特服號(hào)＃777呼叫，撥號(hào)時(shí)采用企業(yè)專有域名進(jìn)行，用戶將撥入運(yùn)營(yíng)商的LAC服務(wù)器，客戶機(jī)和LAC進(jìn)行LCP（Link Control Protocol，鏈路控制協(xié)議）協(xié)商。若協(xié)商成功，則LAC將用戶名、域名、手機(jī)號(hào)國(guó)際碼等信息送至AAA認(rèn)證服務(wù)器對(duì)用戶進(jìn)行認(rèn)證。AAA使用CHAP或PAP來(lái)確定該用戶是否VPDN的客戶。AAA根據(jù)相關(guān)信息進(jìn)行認(rèn)證判別，如果發(fā)現(xiàn)用戶VPDN的客戶，AAA認(rèn)證服務(wù)器根據(jù)用戶注冊(cè)的信息向LAC發(fā)送建立L2TP隧道的對(duì)應(yīng)參數(shù)，LAC也就從AAA服務(wù)器返回的信息中獲得企業(yè)LNS的信息。LAC利用所獲得的企業(yè)LNS信息向LNS申請(qǐng)建立L2TP隧道。基于從LAC請(qǐng)求中獲得的名字和隧道密鑰，LNS會(huì)通過(guò)查找本地的VPDN配置，檢查該LAC是否允許建立隧道。另外，LAC和LNS會(huì)互相認(rèn)證。然后LAC和LNS之間的隧道就會(huì)被建立起來(lái)。在這個(gè)隧道中會(huì)進(jìn)行一些VPDN的會(huì)話（session）。在建立了隧道后，LAC和LNS之間會(huì)觸發(fā)一個(gè)關(guān)于客戶機(jī)的用戶名@域名的VPDN會(huì)話，一個(gè)VPDN會(huì)話對(duì)應(yīng)一個(gè)客戶機(jī)。在LNS和終端之間進(jìn)行LCP的重協(xié)商。如果協(xié)商成功，則進(jìn)入用戶認(rèn)證階段，終端向LNS發(fā)送認(rèn)證相關(guān)信息。LNS向終端返回認(rèn)證信息。如果認(rèn)證通過(guò)后，終端和LNS之間進(jìn)入I