省质量监督局VPDN专网接入方案.doc

山东省质量技术监督局CDMA-1X公司专网接入方案 一、概述 随着公司用户远程办公、移动办公的需求日益增长，单靠公司自己很难构造和维护一个能满足不断增长需求的公司网络，而运用互联网的优势建设一个网络部署灵活简便、一次性投资较小、管理和维护成本低的虚拟专网VPN(Virtual Private Network)能很好地满足其需要。 虚拟专网（VPN）技术是指运用公众数据网络资源为公司构建虚拟专用网的一种业务。VPN有两层含义： 它是虚拟的网，即没有固定的物理连接，网路只有用户需要时才建立，“虚拟”的概念是相对传统私人专用网络的构建方式而言的，对于广域网连接，传统的组网方式是通过远程拨号和专线连接来实现的，而 VPN 是运用服务提供商所提供的公共网络来实现远程的广域连接； 它是运用公众网设施构成的专用网, 构建在这些公共网络上的 VPN 就象当前公司私有的网络同样提供安全性、可靠性和可管理性等。 VPN可认为公司带来以下益处： ●减少公司成本：可以大大节约链路租用费、设备购置费以及网络维护费，减少公司的运营成本。除此之外，更能将Internet、公司内部网络（Intranet）及远程接入功能(Remote Access)整合于同一条对外线路中，不需要像以前那样，同时管理Internet专线，长途数据专线等多种不同线路。 ● 建网快捷，易扩展：只需将各网络接点接入公用网络，并对网络进行相关配置即可迅速构建一个属于自己的专用网络，增进工作效率与员工生产力，提高公司整体的竞争力。 ● 安全可靠：VPN运用隧道技术，通过在公用网络上建立逻辑隧道、网络层的加密以及采用口令保护、身份验证、权限设立、防火墙等措施，保证数据的完整性、避免被非法窃取。VPN与传统的租用专线相比尚有一大优点，即Internet有一部分出现问题时，数据可重新选择路由，而专线一旦出故障则会导致相应的网络瘫痪。 ● 简化用户的网管。大量的网管及维护工作均由服务提供商完毕。 总之，VPN兼备了公众网和专用网的许多特点，将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起，是介于公众网与专用网之间的一种网。 VPN可以充足运用现有网路资源，提供经济、灵活的连网方式，为客户节省设备、人员和管理所需的投资，减少用户的电信费用，在近几年得到了迅速的应用。 根据初步探讨，济南联通和山东省质量技术监督局进行合作，运用联通公用CDMA 1X分组数据网与公用IP-VPN承载网构建省质监局私有网络，安全可靠地实现远程、移动接入，传送公司私有数据。 山东省质量技术监督局内部员工配备无线上网设备，通过CDMA 1X网络连接至省质监局私有网络，实现安全移动办公。 二、VPN相关技术介绍 2．1 一般VPN（Virtual Private Network）介绍 即虚拟数据专用网络，是一门网络新技术，为我们提供了一种通过公用网络安全地对公司内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成：客户机、传输介质和服务器。VPN同样也由这三部分组成，不同的是VPN连接使用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，如：Internet或Intranet。 　　VPN使用三个方面的技术保证了通信的安全性：隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求，VPN服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到VPN服务器，VPN服务器根据用户数据库检查该响应，假如账户有效，VPN服务器将检查该用户是否具有远程访问权限，假如该用户拥有远程访问的权限，VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。VPN连接的示意图如下所示。 VPN技术的特点： 　　1．增强的安全性 VPN通过使用点到点协议（PPP）用户级身份验证的方法进行验证，这些验证方法涉及：密码身份验证协议 (PAP)、质询握手身份验证协议 (CHAP)、Shiva 密码身份验证协议 (SPAP)、Microsoft 质询握手身份验证协议 (MS-CHAP) 和可选的可扩展身份验证协议 (EAP)；并且采用微软点对点加密算法（MPPE）和网际协议安全（IPSec）机制对数据进行加密。以上的身份验证和加密手段由远程VPN服务器强制执行。对于敏感的数据，可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔，只有公司Intranet上拥有适当权限的用户才干通过远程访问建立与VPN服务器的VPN连接，并且可以访问敏感部门网络中受到保护的资源。 　　2．网络协议支持： VPN支持最常用的网络协议，基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。 这意味着通过VPN连接可以远程运营依赖于特殊网络协议的应用程序。 　　3．IP地址安全：由于VPN是加密的， VPN数据包在Internet中传输时，Internet上的用户只看到公用的IP地址，看不到数据包内包含的专有网络地址。因此远程专用网络上指定的地址是受到保护的。 2．2 采用L2TP协议的VPDN VPDN即虚拟拨号专用网络，属于VPN的一种。运营商的VPN解决方案中，通常采用L2TP（Layer Two Tunneling Protocol ）协议组建VPDN网络实现用户的VPN需求。L2TP提供了对PPP链路层数据包的通道（Tunneling）传输支持，它结合了此外两个通道协议：Cisco的L2F和Microsoft的PPTP的各自优点，将成为IETF有关2层通道协议的工业标准。 应用L2TP所构建的典型VPN服务的结构如图2.1所示： 应用L2TP构建的VPN服务 其中，LAC表达L2TP 访问集中器（L2TP Access Concentrator ），是附属在互换网络上的具有PPP端系统和L2TP协议解决能力的设备，LAC一般是一个网络接入服务器NAS（Network Access Server），用于为用户通过PSTN/ISDN提供网络接入服务；LNS表达L2TP网络服务器（L2TP Network Server），是PPP端系统上用于解决L2TP协议服务器端部分的软件。 L2TP工作过程 L2TP协议的VPDN服务有以下几个特性： 灵活的身份验证机制以及高度的安全性 L2TP可以选择多种身份验证机制（CHAP、PAP等），具有PPP所具有的所有安全特性，L2TP还可以对通道端点进行验证，这使得通过L2TP所传输的数据更加难以被袭击。并且根据特定的网络安全规定还可以方便地在L2TP之上采用通道加密、端对端数据加密或应用层数据加密等方案来提高数据的安全性。 地址分派支持 LNS可以放置于公司网的防火墙之后，它可以对于远端用户的地址进行动态的分派和管理，可以支持DHCP和私有地址应用（RFC1918）等方案。远端用户所分派的地址不是Internet地址而是公司内部的私有地址，这样方便了地址的管理并可以增长安全性。 网络计费的灵活性 可以在LAC和LNS两处同时计费，即ISP处（用于产生帐单）及公司处（用于付费及审记）。L2TP可以提供数据传输的出入包数，字节数及连接的起始、结束时间等计费数据，可以根据这些数据方便地进行网络计费。 三． CDMA 1X网络介绍 1、移动通信市场的发展方向 互联网正在改变着我们访问信息、做出决策以及进行商业交易的方式。移动无线行业也正在改变着我们接入互联网的方式。到2023年，移动设备将在历史上初次超过PC设备。移动性为互联网内容供应商带来了新的机遇。 由于市场的需要，移动互联网接入技术也在不断的发展。3GPP2定义了在码分多址（CDMA）环境中实现分组数据业务一系列国际标准，为我们构建CDMA2023-1X网络提供了重要的理论依据，依次采用了CDMA2023-1X分组数据解决方案。 2、CDMA2023-1X网络简介 CDMA2023-1X分组数据网络的主体可以称为PDSN网络，大体描述如下： PDSN通过CDMA2023无线接入网络（RAN）为移动站（MS）提供到互联网、内联网以及无线应用协议（WAP）服务器的接入。PDSN可以用作接入网关，提供简朴IP和移动IP接入、外部代理（FA）支持以及虚拟专用网的分组传输。它还作为鉴权、授权和计费（AAA）服务器的客户机。 PDSN网络与传统的路由网络类似。移动站可以是带有无线适配器的个人计算机、个人数字助理（PDAs）或移动手持设备，它们是互联网协议（IP）的主机。像传统路由环境中的缺省路由器同样，PDSN可认为移动站提供到IP网络的网关功能。PDSN网络与传统路由网络的重要区别在于移动性。由于这种情况下的主机可以移动，从而必须提供一种查找主机的方法，以便把数据包转发到主机。 CDMA2023-1X体系结构概述： 图1介绍了CDMA2023网络的组件。移动站必须支持简朴IP或移动IP，它可以连接到与基站控制器（BSC）连接的无线塔和收发基站（BTS）。BSC通过名为分组控制功能（PCF）的功能或组件以及通用路由封装（GRE）隧道实现与PDSN的通信。PCF和PDSN可以使用名为“RAN到PDSN（R-P）接口”的标准接口互相通信，这种接口包含两个组件：用于控制信息的A11接口和用于用户数据的A10接口。 图1 CDMA2023网络组件 3、CDMA 1X网络工作原理 当移动站（MS）初次发出数据业务呼喊时，它与PDSN建立一个点到点协议（PPP）会话。PDSN与被访问的IP网络中的AAA服务器通信，以对MS鉴权；然后，AAA服务器会与归属IP网络中的AAA服务器通信（也许通过网络中的代理AAA服务器）。AAA服务器拟定用户是否为合法用户，决定用户可以使用何种业务，并对业务使用情况进行跟踪，以便计费。 当MS通过鉴权后，它可以使用IP控制协议（IPCP）来请求一个IP地址。在简朴IP路由环境中，MS由本地PDSN指定IP地址。在移动IP环境中，归属代理（HA）在移动IP注册过程中为移动节点（MN）分派IP地址。 当移动节点（MN）发现自身不在其归属网络中时，将向其归属代理（HA）进行注册。这是接受数据报所必需的，否则数据报不能直接到达主机当前的位置。MN通过PDSN中的外部代理（FA）与归属代理（HA）通信，这种通信使用IP-in-IP封装（RFC2023）或通用路由封装GRE（RFC1701）。 当MN不在其归属网络中时，它可以与一个相关地址（care-of-address）（通常为FA的地址）相相应。当用户访问其他位置时，这个地址可以用来标记MN。作为注册程序的一部份，HA可以把移动性绑定置入它的绑定表。这种移动性绑定将MN的归属地址与它的相关地址CoA相关联。 当MN通过鉴权后，它可以通过所有授权的IP网络与所有授权的IP设备通信。假如运营商提供虚拟专用网络（VPN）业务，那么，MS可以通过公用互联网或专用链路安全地访问私有资源。VPN隧道从PDSN扩展到归属IP网络（与网络地址标记（NAI）相相应的IP网络，例如，的归属IP网络是“cisco”）。 因此，这是一个直接转发的IP联网方案。当移动站开始移动时，情况将变得更加复杂。MS可以移动到不同的BTS或BSC。由于PPP会话位于PDSN和MS之间，如图2和图3所示，MS在BTS或BSC之间进行切换时，PDSN将保持PPP会话。然而，假如MS移动到超过PDSN服务范围，那么会话将切换到新的PDSN，并且开始对PPP会话进行重新协商。假如MS支持移动IP，那么HA将保持MS的IP地址，并且它 可以连接到任意的IP设备。假如MS仅支持简朴IP，它也许被指定新的IP地址，并且它拥有的所有应用层连接都也许断开。 图2 简朴IP的协议参考模型 图3 移动IP用户数据的协议参考模型 4、CDMA 1X网络优点 1） 系统容量大 同GSM网络比较，CDMA 1X网络的系统容量有极大的提高，比较详见下图： e1 e2 e3 f1 f2 f3 g1 h1 h2 h3 g2 g3 GSM 10 MHz 50个GSM载波(10MHz/200KHz) 每载波8个时隙(涉及控制信道和业务信道) 可配置的站型为S444 4*12频率复用系数=4 50载频基站支持的有效话音信道数 = 12*8-12(BCCH) = 84 f1 f1 f1 f1 f1 f1 f1 f1 f1 f1 f1 f1 CDMA 10 MHz •8个CDMA载波(10MHz/1.25MHz) •每载波、每扇区125个话音信道，3个信令信道 •每基站3个扇区 •频率复用系数=1 •8载频基站支持的有效话音信道数 = 8 * 125* 3 = 3000 2） 覆盖半径大 CDMA GSM 社区覆盖随负载的变化而变化 社区在加载的情况下，覆盖保持不变 在无负载的情况下: 社区半径是标准GSM的3倍 在每扇区128信道的负载条件下: 半径是标准GSM的2倍 CDMA超远基站 (Around150km) CDMA (Max. 60km) GSM (Max. 30km) 3） 网络质量好 软/更软切换有效减少掉话率，提高网络质量 其它无线系统 社区/扇区切换采用硬切换 切换是先中断再接续 容易产生掉话 CDMA系统 社区/扇区切换采用软/更软切换 切换是先接续再中断 有效减低掉话 Cell Site A H A N D O F F Cell Site B MAKE AMPS GSM B R E A K Cell Site A Cell Site B Cell Site A Cell Site B CDMA 中断 4） 可靠的保密性 长码用于括频（2E42），无法空中译码 RV Traffic from M.S. # System Access Attempt by M.S. # (on access channel #1) RV Traffic from M.S. # RV Traffic from M.S. # 5） 辐射小——绿色环保手机 极为精确的功率控制，使得手机低功率成为也许 最高200mW发射功率 更低的辐射损害 GSM手机 CDMA手机 最高2W发射功率 更高的辐射损害 6）CDMA 1X无线上网速率高——最高可达153.6kbps 　 GPRS上网技术 CDMA1X上网技术 结论 实测上网速率 30Kbps，还不如市话拨号上网（56K）快 150Kbps，约为GPRS的5倍 CDMA1X上网可以在线播放电影，是真正的宽带无线上网 电磁辐射 干扰家用电器和精密仪表，影响身体健康 发射功率极小，仅为GPRS的1/80 CDMA1X上网是优质、健康生活方式的体现 越区切换方式 硬切换，先中断后连接，易掉线 软切换，保证连续连接，不掉线 CDMA1X上网技术是在高速移动中上网的最佳选择 系统容量 小于现有GSM基站 约为同类GSM基站的5倍以上 CDMA1X能支持更多的上网用户 上网方式 占用话音信道，周边打电话的人越多网速越慢 走独立的数据信道，不争夺话音信道资源 CDMA1X不受周边通话繁忙影响，随时随地上网有保证 单基站覆盖范围 最大半径35公里，覆盖范围有限 最大半径150-200公里，是GPRS基站的5倍以上 CDMA1X只需设立少量基站就可全省无缝覆盖 频谱运用率 过渡技术，频谱运用率较低 换代技术，频谱运用率约为GPRS的6倍 CDMA1X最大限度地运用无线频率资源 升级难度 大量舍弃现有设备，升级困难，GPRS手机需淘汰 平滑升级，费用很低，CDMA1X手机可继续使用 CDMA1X是您最安全、长期的选择！ 未来发展走向（3G） 第3代移动通信系统－宽带CDMA 第3代移动通信系统-宽带CDMA CDMA1X带您率先感受下一代网络！ 四、CDMA-1X无线VPDN接入方案 1、）山东省质量技术监督局端建设方案 本方案中，VPDN网关功能由公司网内部的路由器实现。选用同时具有路由器功能和VPDN功能的网络设备，配置成LNS路由器（可以和专线上网路由器合用，安装在省质监局网络信息中心，既完毕网络的连接功能，同时还完毕VPDN的网关功能）。该路由器通过本地专线连接至济南数据机房，与济南CDMA-1X分组网PDSN（作为LAC）建立L2TP隧道。移动用户通过CDMA系统PDSN和LNS路由器建立PPP连接，通过加密隧道进入公司专网并在LNS处得到公司私有IP地址，进入省质监局专网。 路由器的选型我们推荐了三种方案，分别是CISCO的3640、3660以及7204。这三种型号的路由器都可以完毕上述功能，但随着路由器型号的升高，其解决业务的能力也随之升高。3640可以同时解决500并发的VPDN用户，3660可以同时解决1000个并发用户，而7204则可以同时解决2023个并发用户。因此具体的路由器设备的选型还要根据业务量以及此后的发展来拟定。 2、）联通端建设方案 为节约公司投资，方便公司管理，山东联通建设了一套全省VPDN管理系统（VPNMS）。此系统可以划分独立的域，完毕各域的用户认证、计费、管理功能，出租给各VPDN公司使用。VPNMS软件分用户管理、认证、计费以及记录分析四大模块，软件采用组件化设计方法，可以根据客户的需求任意组合插件模块来满足客户的需求。系统提供专用的管理平台对用户进行管理，操作简朴，安全性高；提供公司级的认证、计费管理，支持大用户量的访问。 3、）省质监局端到联通端的连接方案 联通数据机房专用接入设备通过本地专线连接到省质监局信息中心VPDN网关上，分派相应带宽后可以同时提供省质监局专线上网和VPDN接入服务。假如不考虑专线上网需求，单纯提供CDMA移动终端接入公司专网的需要，可以采用2M专线将省质监局信息中心VPDN网关接入联通VPDN接入设备上。 4、）终端用户三种接入方式： A、CDMA1X上网卡，速率153.6K，即插即用，费用合理。该类卡有两种，一种是笔记本电脑专用的PCMCIA卡；另一种是USB接口的上网卡，台式机和笔记本电脑都可以使用。 B、CDMA1X上网手机，速率153.6K，即插即用，费用合理，既可以作为手机又可以作为无线上网的MODEM，专用数据线联接，台式机和笔记本电脑都可以使用。 C、普通电话拨号，账号全国漫游，只需拨本地165号码即可接入VPDN网络，费用低廉。 5、）终端接入流程 假设在联通VPDN系统中设立省质监局专网域名为“@sdluneng.vpdn”，每个移动终端的用户名为“、“”…..则具体的拨入流程如下： 1、 在联通公司AAA处配置域名、密码，如：“@sdluneng.vpdn”； 2、 公司VPDN管理AAA处配置每个移动用户的用户名、密码。 3、 在联通公司AAA处进行用户名认证时只要用户域名为“@sdluneng.vpdn”时，则认为这次呼喊为专用VPDN呼喊，继续接续该次呼喊。 4、 公司VPDN管理AAA处进行具体用户名、密码的认证，例如：“user1@sdluneng.vpdn ” 。 5、 认证通过后，为每个终端用户分派公司专网IP地址，建立安全连接。终端就和在公司内部网上同样，享受内部网终端的各种功能。 5、）组网方案示意图 省质监局专网 省质监局VPDN网关 2M专线/ L2TP 隧道 BTS PDSN / LAC/FA End host HA 济南联通AAA IP分组网 network CDMA基站 五、关于网络安全性问题的额外说明 如上文VPN技术介绍中所说，VPDN网络传输过程使用隧道技术，且全程使用私网IP地址，与互联网实现隔绝，保证专网信息安全、高速地传输。为使运用上述方案构建的专网具有更高的安全性，移动终端设备进入公司内部专网，还需通过多次认证和鉴权。 1） 无线网卡在发起数据呼喊前会在VLR/HLR中对IMSI号码进行鉴权，判断是否为合法用户(VLR/HLR中的数据需用户在联通营业厅开户注册，并出示相关用户身份证明)； 2） 终端发起呼喊时所使用的登陆名和密码需要在AAA服务器中认证； 3） 在公司LNS（或AAA）处会再次对客户进行认证（用户名和密码）。 通过多次鉴权和数据加密解决了公司提出的内部网络安全性及数据私密性的规定，联通LAC和公司LNS之间建立L2TP的加密隧道，数据在整个传输链路上加密传输，涉及运营商在内的其他方均不能破译传输内容，保障了数据的可靠传输。 本方案由运营商采用L2TP协议实现VPDN方案，不同于采用IPSEC技术的客户自建VPN方案，无须应用加密机。由于采用IPSEC技术的加密机解决方案中，终端分派共网IP地址，始终暴漏在共网上，无论从安全性还是管理性上来说，都远比不上采用L2TP技术的运营商解决方案。 此外，如CDMA技术介绍中所说，CDMA技术最先作为美国军方研发和使用的一项通信技术，自身具有极其可靠的安全性，保障无线网络的传输安全。 通过采用CDMA1X和VPDN技术组建省质监局虚拟专网，不仅节约了大量的投资，也安全的解决了上网、公司组网、移动办公融合问题。结合CDMA1X向3G的发展，以后移动视频的内容的提供，将使网络平滑的向宽带方向发展，使得网络具有良好的发展潜力。 四、省质监局投资及使用费用 1、）VPDN网关（专线接入路由器）投资： 根据业务量需要选择合适的路由器，根据上网或单纯CDMA移动终端接入不同需求选择合理的带宽接口，由省质监局购置安装。 2、）VPDN业务使用费： 100元/月/帐号 同一账号可以在CDMA1X上网卡、CDMA1X手机、拨号VPDN等三种接入方式中使用，但同一账号在同一时刻只能选用一种接入方式。 3、）VPDN帐户上网通信费： 通过CDMA1X上网卡上网的通信费按照掌中宽带业务现行资费标准执行。 l 交纳2400元，捆绑一张CDMA1X上网卡和6个月不限流量上网服务，捆绑结束后选择届时的资费套餐。 l 交纳3000元，捆绑一张CDMA1X上网卡和12个月不限流量上网服务，捆绑结束后选择届时的资费套餐。 l 以上两种捆绑方式，每月15日之前入网当月按整月计费，用户15日之后入网当月按半月计费，收取50元上网服务费。 4、）省质监局信息中心到济南联通机房联结的专线租用费 参照本地专线租线资费标准执行。 省质监局投资及使用费用登记表 序号 费用名称 费用类型 设备型号 单价 数量 费用 备注 1 VPDN网关 一次性投资 CISCO3640 100000 1 100000 E1、10/100M以太口 2 CDMA1X上网卡 一次性投资 MC310 3000 若干 含一年上网费 3 VPDN使用费 每月支出 月租费 100 若干 每月每帐号 4 CDMA1X上网通信费 每月支出 月租费 200 同卡数量 目前资费，第一年不需交纳 5 专线租用费 每月支出 2M专线 1800 1 6 VPDN-HOSTING软件租用费 每月 减免 7 VPDN开户费调测费 减免 第八部分、附录 附录一： 引用标准 3GPP2 P.S0001-A V3.0.0 Wireless IP Network Standard，July 2023 RFC 2023 IPv4 Mobility ，May 1995 RFC 2023 IP Encapsulation within IP，October 1996 RFC 2023 Minimal Encapsulation within IP，October 1996 RFC 2023 Applicability Statement for IP Mobility support，October 1995 RFC 2023 The Definitions of Managed Objects for IP Mobility Support Using SMIv2，October 1995 RFC 2344 Reverse Tunneling for Mobile IP, May 1998 RFC 3012 Mobile IPv4 Challenge/Response Extensions, November 2023 RFC 2794 Mobile NAI Extension，March 2023 RFC 1661 The Point to Point Protocol (PPP), July 1994 RFC 2290 Mobile-IPv4 Configuration Option for PPP IPCP, February 1998 RFC 1662 PPP in HDLC-like Framing, July 1994 RFC 1962 The PPP Compression Control Protocol (CCP), June 1996 RFC 1974 PPP Stac LZS Compression Protocol, August 1996 RFC 1979 PPP Deflate Protocol, August 1996 RFC 1994 PPP Challenge Handshake Authentication Protocol (CHAP), August 1996 RFC 1332 The PPP Internet Protocol Control Protocol (IPCP), May 1992 RFC 2118 Microsoft Point-To-Point Compression (MPPC) Protocol, March 1997 RFC 2484 PPP LCP Internationalization Configuration Option, January 1999 RFC 2474 Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers, December 1998 RFC 2475 An Architecture for Differentiated Services, December 1998 RFC 2597 Assured Forwarding PHB Group, June 1999 RFC 2598 An Expedited Forwarding PHB, June 1999 RFC 2139 RADIUS Accounting, April 1997 RFC 2138 Remote Authentication Dial In User Service (RADIUS), August 1997 RFC 1321 The MD5 Message-Digest Algorithm, April 1992 RFC 2868 RADIUS Attributes for Tunnel Support, June 2023 RFC 2401 Security Architecture for the Internet Protocol, November 1998 RFC 2406 IP Encapsulating Security Payload (ESP), November 1998 RFC 2402 IP Authentication Header, November 1998 RFC 768 User Datagram Protocol, August 1980 RFC 791 Internet Protocol, Sept. 1981 RFC 792 Internet Control Message Protocol, September 1981 RFC 793 Transmission Control Protocol, September 1981 RFC 1122 Requirements for Internet Hosts - Communication Layers, October 1989 RFC 1918 Address Allocation for Private Internets, February, 1996 RFC 1144 Compressing TCP/IP Headers for Low Speed Serial Links, February 1990 RFC 2409 The Internet Key Exchange (IKE), November 1998 ITU-T Recommendation E.212 The International Identification Plan for Mobile Terminals and Mobile Users. ITU-T Recommendation X.509 Public-key and attribute certificate frameworks 缩略语 AAA Authentication, Authorization, and Accounting 认证、授权、计费 ACCM Asynchronous Control Character Map 异步控制字符映射 AH Authentication Header 认证报头 CA Certificate Authority 证书认证 CCP Compression Control Protocol 压缩控制协议 CHAP Challenge Handshake Authentication Protocol 盘问握手认证协议 COA Care-of-Address 转发地址 CRL Certificate Revocation List 废止证书列表 DOI Domain of Interpretation 解析域 DSA Digital Signature Algorithm 数字署名算法 ESP Encapsulating Security Payload 封装安全载荷 FA Foreign Agent 拜访代理 FAC Foreign Agent Challenge 拜访代理盘问 GRE Generic Routing Encapsulation 通用路由封装 HA Home Agent 归属代理 IANA Internet Assigned Numbering Authority 互联网地址分派机构 IETF Internet Engineering Task Force 互联网工程任务组 IKE Internet Key Exchange 互联网密钥互换 IMT-2023 International Mobile Telecom-munication – 2023 国际移动通信-2023系统 IPCP IP Control Protocol IP控制协议 IPsec IP Security IP安全协议 ISAKMP Internet Security Association and Key Management Protocol 互联网SA和密钥管理协议 LAC L2TP Access Control L2TP接入集中器 LNS L2TP Network Server L2TP网络服务器 L2TP Layer Two Tunneling Protocol 二层隧道协议 LCP Link Control Protocol 链路控制协议 MIP Mobil IP 移动IP MAC Medium Access Control 媒体访问控制 NAI Network Access Identifier 网络访问标记 PAP Password Authentication Protocol 口令认证协议 PCF Packet Control Function 分组控制功能 PDSN Packet Data Serving Node 分组数据业务节点 PHB Per Hop Behavior 逐跳行为 PL Physical Layer 物理层 PPP Point-to-Point Protocol 点对点协议 PSI PCF Session ID 分组控制功能会话标记 QoS Quality of Service 服务质量 RADIUS Remote Authentication Dial In User Service 远程认证拨号接入服务 RN Radio Network 无线网络 RRP Mobile IP Registration Reply 移动IP注册应答 RRQ Mobile IP Registration Request 移动IP注册申请 RSA Rivest-Shamir-Adleman public key algorithm RSA公用密钥算法 SA Security Association 安全联盟 SHA Secure Hash Algorithm 安全Hash算法 SPI Security Parameter Index 安全参数索引 TCP Transmission Control Protocol 传输控制协议 UDR Usage Data Record 用户数据记录 UDP User Datagram Protocol 用户数据报协议 附录二： PDSN系统原理与移动IP技术 CDMA20231X系统是第三代移动通信系统的重要模式之一，它是在CDMA IS95系统的基础上发展演进而来的一个系统。CDMA20231X系统在继承CDMA IS95系统各种优点的基础上，进一步改善了系统性能，向用户提供更多的服务，并保持前向兼容性。 第三代移动通