基于CDMA1X的企业VPDN应用及研究
作者:佚名 来源:chinaitlab 添加时间:2006-5-26 12:00:36
三、解决方案概述
1.目前存在的问题
目前使用基于CDMA1X技术建立的企业VPDN网络存在两个问题:一是已有系统只验证用户名和密码,而没有将IMSI号码加入验证,这样只要知道用户名和密码,任何人都可以拨号进入企业的内网,这就造成了很大的安全隐患;二是已有系统不能根据用户名来分配固定IP地址,只能得到动态IP地址,所以每次拨号上来的用户终端IP地址都不同,这就造成了很多需要固定IP地址的应用不能正常工作。
从ISP提供服务方面来看,这两个问题是由于已有系统是为大众用户提供无线上Internet网的,为了方便使用,拨号上网的每个用户的用户名和密码都一样,通用的,用户名和密码都是card,它不需要根据IMSI认证,所以系统也就不对IMSI认证。
同样的原因,ISP的目的是为用户提供上网浏览服务,不需要固定IP地址,所以当用户拨号上网时,系统都是在预先配置好的地址池中动态的为用户分配IP地址。
从技术层面上来看,用户拨号接入网络有两步,当用户拨号时先连接到Radius服务器做请求接入认证;然后再向DHCP服务器请求IP地址。这两步都是独立的。现有的Radius服务器只提取属性用户名和密码,而不提取IMSI号码做验证。在使用企业VPDN业务时,由于现有的DHCP服务软件只能根据MAC地址分配IP地址,而无线上网设备却没有MAC地址,所以也只能为用户分配动态IP地址。而IMSI也不能和IP地址绑定,因为现有CDMA1X网络中的设备NAS不支持Radius分配IP地址,而且在用户拨号上来时只将用户名打包发送到DHCP服务器,所以DHCP服务器只能根据用户名绑定IP地址。
2.解决问题的办法
以上问题可归结为二次AAA认证和DHCP分配IP地址两个问题,是相互独立的两个过程。需要根据网络实际情况定制AAA服务和DHCP服务,将IMSI认证和用户名绑定IP的功能加入。这就可以软件方式来解决此问题。
1.目前存在的问题
目前使用基于CDMA1X技术建立的企业VPDN网络存在两个问题:一是已有系统只验证用户名和密码,而没有将IMSI号码加入验证,这样只要知道用户名和密码,任何人都可以拨号进入企业的内网,这就造成了很大的安全隐患;二是已有系统不能根据用户名来分配固定IP地址,只能得到动态IP地址,所以每次拨号上来的用户终端IP地址都不同,这就造成了很多需要固定IP地址的应用不能正常工作。
从ISP提供服务方面来看,这两个问题是由于已有系统是为大众用户提供无线上Internet网的,为了方便使用,拨号上网的每个用户的用户名和密码都一样,通用的,用户名和密码都是card,它不需要根据IMSI认证,所以系统也就不对IMSI认证。
同样的原因,ISP的目的是为用户提供上网浏览服务,不需要固定IP地址,所以当用户拨号上网时,系统都是在预先配置好的地址池中动态的为用户分配IP地址。
从技术层面上来看,用户拨号接入网络有两步,当用户拨号时先连接到Radius服务器做请求接入认证;然后再向DHCP服务器请求IP地址。这两步都是独立的。现有的Radius服务器只提取属性用户名和密码,而不提取IMSI号码做验证。在使用企业VPDN业务时,由于现有的DHCP服务软件只能根据MAC地址分配IP地址,而无线上网设备却没有MAC地址,所以也只能为用户分配动态IP地址。而IMSI也不能和IP地址绑定,因为现有CDMA1X网络中的设备NAS不支持Radius分配IP地址,而且在用户拨号上来时只将用户名打包发送到DHCP服务器,所以DHCP服务器只能根据用户名绑定IP地址。
2.解决问题的办法
以上问题可归结为二次AAA认证和DHCP分配IP地址两个问题,是相互独立的两个过程。需要根据网络实际情况定制AAA服务和DHCP服务,将IMSI认证和用户名绑定IP的功能加入。这就可以软件方式来解决此问题。
第 2 页,共 2 页 [1] [2]
站内搜索