2024年1月20日发(作者：怀以晴)

中国联通

WCDMA无线VPDN解决方案

中国联合网络通信有限公司石家庄市分公司

中国联通WCDMA无线VPDN解决方案

目 录

一、WCDMA无线VPDN解决方案 .......................................................................... 1

1、联通VPDN业务简介 ..................................................................................... 1

2、VPDN业务技术实现方式 .............................................................................. 1

2.1、VPDN网络拓扑结构 ........................................................................... 1

2.2、VPDN建立流程 ................................................................................... 3

3、联通VPDN平台接入能力 ............................................................................. 3

4、联通VPDN业务使用条件 ............................................................................. 4

5、VPDN业务应用场景 ...................................................................................... 4

5.1、数据传送类........................................................................................... 4

5.2、移动办公类........................................................................................... 4

三、WCDMA技术优势 ............................................................................................... 5

1、技术优势.................................................................................................. 5

2、系统稳定及国际漫游优势...................................................................... 5

3、终端优势.................................................................................................. 6

四、联通VPDN产品资费 ........................................................................................... 6

4.1、VPDN功能费 ............................................................... 错误!未定义书签。

4.2、3G流量套餐 ................................................................. 错误!未定义书签。

4.3、专线费用....................................................................... 错误!未定义书签。

附件：WCDMA-VPDN安全机制说明....................................................................... 6

中国联通WCDMA无线VPDN解决方案

一、WCDMA无线VPDN解决方案

1、联通VPDN业务简介

VPDN(Virtual Private Dialup Networks)是虚拟拨号专网技术的简称，它是基于拨号用户的虚拟专用网络，利用IP网络的承载功能，结合相应的认证和授权机制，在公用网络中建立专用的虚拟数据通信网络。

联通的WCDMA无线VPDN网络是利用WCDMA第三代移动通信网络，结合无线上网卡和无线路由器等设备，为解决大客户内部办公网、生产网应用的无线数据传输业务。 相比GSM/CDMA的VPDN网络，WCDMA能够为客户提供更高的数据传输速率，满足客户各种应用。

VPDN作为远程访问和网络互联的高效低价、安全可靠的解决方案，集灵活性、安全性、经济性以及可扩展性于一身，可充分满足企业分支机构、移动办公安全通信的需求，已成为一项相当普及的网络业务。目前，无线VPDN技术已经在金融行业以及其他行业客户中得到了广泛应用。

联通VPDN产品是通过在客户端LNS和联通GGSN之间建立L2TP/GRE隧道的技术实现方式。其采用专用APN接入点接入客户内网。

2、VPDN业务技术实现方式

2.1、VPDN网络拓扑结构

客户的无线接入终端利用联通的WCDMA网络，接入联通VPDN平台，经过认证后，通过联通与客户的互联专线，实现无线接入终端与企业之间的数据传输。

在网络安全性方面，客户可以通过客户端的AAA服务器实现二次认证，并在联通与企业客户之间建立L2TP/GRE隧道，提高数据传输的安全性。

联通VPDN组网拓扑如下所示：

1

中国联通WCDMA无线VPDN解决方案

所有无线终端设备都处于一个客户专用网络内，客户可以给无线终端设备自己来分配IP地址。终端设备获得的是内网的IP地址，节省日渐紧张的公网IP资源。同时，客户私网和互联网完全隔离，数据保密性好。客户专网不会受到来自互联网上的黑客及病毒的侵袭，能够有效保证稳定的传输速率和带宽。下面分别对上图中各个设备进行介绍。

 终端：可以是手机、笔记本、无线Modem等，根据客户不同的需求选用不同的终端。

 联通GGSN：网关支持节点, 客户通过WCDMA接入到GGSN，GGSN判断是VPN用户，向指定的LNS发起L2TP/GRE连接。

 联通AAA服务器：负责对客户的域名进行鉴权认证。

 专线：通常采用联通的10M以太网专线（MSTP），此专线将联通的WCDMA网关和客户的LNS设备连接起来。

 客户侧路由器（LNS）：需支持L2TP/GRE协议，要与GGSN建立L2TP/GRE隧道。

 企业AAA服务器：用于认证、授权，实现对拨号用户名、密码和IP地址的管理，此服务器为可选配置，用于提高网络的安全性。

2

中国联通WCDMA无线VPDN解决方案

2.2、VPDN建立流程

SGSNGGSN

客户的拨号呼叫流程如下：

1、客户拨号请求到达GGSN

2、GGSN访问联通AAA，检查域名

3、L2TP隧道请求

4、客户与LNS建立PPP连接

5、访问客户AAA，安全验证

6、专网为客户分配IP地址

7、客户成功访问专网

简单来说，上图中移动终端通过无线网络接入GGSN分组域，由分组域中AAA进行接入认证，业务授权，在GGSN和客户平台之间利用L2TP协议建立起专用隧道。无线终端通过客户侧AAA的认证后，经过分组网的GGSN与客户的LNS间建立起PPP连接，客户传输的数据流通过隧道到达客户平台。

终端客户拨号成功后，通过空中接口和L2TP隧道，与客户侧LNS设备(路由器)相连，实现数据通信。此外，该系统中的客户AAA服务器可通过手机号码或者用户名密码绑定终端用户IP地址，依据IP地址建立访问控制机制。拨号终端由于被分配的是客户局域网的地址，因此可以说WCDMA的VPDN的技术可以将客户的内网安全地进行无线延伸。

3、联通VPDN平台接入能力

目前VPDN平台客户接入区可以提供E1、FE专线接入。未来，VPDN平

3

中国联通WCDMA无线VPDN解决方案

台客户接入区将支持GE、 POS等多种接口类型。

4、联通VPDN业务使用条件

客户使用联通VPDN业务时，需具备以下条件：

 至少一台支持L2TP/GRE隧道协议的网络接入设备。

 客户网络接入设备所在位置具备联通专线接入条件。

 具备一套AAA认证系统（此项非必选，如果客户侧无AAA认证服务器，可以使用联通提供的共享AAA认证服务器）。

5、VPDN业务应用场景

无线VPDN 是以公众移动分组数据网为基础，采用VPDN技术，为客户内部提供安全保密的无线数据传输的业务。可大致分为以下两大类：

5.1、数据传送类

此类业务属于客户内部的数据传送应用，例如，在总部有一个服务全局的网络或专业系统，有许多分支网点，各分支网点希望能与总部取得安全可靠的通信。

对于客户来说，可以通过中国联通无线VPDN组网的形式进行大规模的无线POS机、ATM机与相关缴费终端的布放与应用，利用无线组网接入方便、灵活，成本低等特点，满足各种环境下数据的传输需求。此外，无线接入作为原来有线接入的有效补充或可靠备份，从而给各机构带来了安全可靠的网络传输，支撑客户服务的开展。

5.2、移动办公类

移动办公系统主要是解决因外出开会、出差或下基层指导工作，无法及时阅办重要公文的现状问题。通过将公文流转系统的客户端移植到移动终端设备，利用无线VPDN网和移动终端设备的文档处理能力，达到随时随地查询、阅读、办理内网公文的目的，提升政务办理效率，同时共享信息资源，使相关人员实

4

中国联通WCDMA无线VPDN解决方案

时了解相关情况。主要实现公告通知、文件浏览审批、办公邮件。

三、WCDMA技术优势

1、技术优势

建网模式

载波带宽

接入速率

上行：5.76Mbps

全网引入HSDPA

热点引入HSUPA

上行：1.8Mbps

以CDMA1X作为底层承载，热点引入EVDO

热点引入EDGE

上行：384Kbps

中国联通

WCDMA+HSPA

5MHz

下行：14.4Mbps

中国电信 中国移动

CDMA2000+EVDO TDSCDMA+EDGE

1.25MHz

下行：3.1Mbps

1.6MHz

下行：2.8Mbps

建设区域

通过上述技术对比，WCDMA的数据业务承载能力全面领先于CDMA2000和TD-SCDMA。此外，中国联通将在未来对WCDMA网络升级为HSPA+，使无线接入速率达到28Mbps。

2、系统稳定及国际漫游优势

目前，全球采用WCDMA系统设备的商用网数量最多，已经达到了280多张网络，而CDMA2000和TD-SCDMA的网络分别只有21张和1张。在用户数量方面，WCDMA用户数量已经达到2.78亿户，而CDMA2000和TD-SCDMA的用户数量分别只有不到1亿户和30多万户。因此，WCDMA系统的技术成熟和系统稳定明显优于其他两种3G技术.

同时，客户选择中国联通的WCDMA服务，可以实现全球208个国家和地区的漫游，覆盖全球93%的国家和地区。

5

中国联通WCDMA无线VPDN解决方案

3、终端优势

全球主流手机终端厂商都已经参与WCDMA终端的研发和制造，WCDMA的终端成本相对较低，决定了WCDMA的市场适应能力更强。全球WCDMA手机终端已超过2000款，给客户带来了更多的选择空间，而CDMA2000和TD-SCDMA的手机终端分别只有220多款和30多款。

四、联通VPDN产品资费

联通3G VPDN业务资费包括VPDN功能费、3G流量套餐以及专线费用。

客户使用VPDN业务，需要开通从联通VPDN平台至客户端的互联专线，专线类型为SDH以太网电路，电路带宽根据VPDN业务使用量而定。

附件：WCDMA-VPDN安全机制说明

移动通信和互联网是两种革命性的信息技术。随着技术的发展，移动通信和互联网进一步结合，为人们提供了非常便捷的信息服务，改善了人们办公和生活的环境。在信息有效传输的同时，如何保证信息安全，越来越多的受到关注。VPDN（Virtual Private Dialup Network）是虚拟拨号专用网络的缩写，指利用隧道协议技术在拨号网络中为用户构建虚拟专用网络。隧道技术是在互联网中安全传输数据的成熟技术，这种隧道是经过加密的,数据在隧道中传输是安全的。随着GPRS行业应用的开展，尤其是3G网络的建设和开通，WCDMA网络可以提供更高的带宽，能够为行业用户提供更优质的服务，将吸引更多的行业用户基于移动网络实现企业内网的接入和业务访问。WCDMA与VPDN的结合可以达到在移动环境中安全接入企业内网和业务访问的目的。

下面通过分析移动终端接入企业网的流程来确定通信经过的通道，来说明各个环节是如何保证安全的。目前在业界较为成熟的安全手段有有对用户进行认证，通信两端设置加密隧道，在不同网络间设置防火墙。

6

中国联通WCDMA无线VPDN解决方案

移动终端接入企业内部网络的端到端的流程：

如上图所示移动终端向企业建立安全数据通道，首先需要向VPDN接入平台请求认证，认证通过后会得到建立分组数据环境的授权，然后终端所在SGSN会向终端归属GGSN建立GTP隧道，GGSN向企业的接入路由器建立GRE或L2TP隧道，所有的通道建立之后，数据会安全的在终端与企业网络间传输。

整个流程经过的通信通道有，WCDMA空中接口、无线接入网络（RAN）、SGSN、GGSN、VPDN接入平台、企业内网。

1、第一段安全保障——WCDMA空中接口：WCDMA第三代移动通信标准之一，是通过空中接口技术命名的，是宽带码分多址技术，码分多址技术由于其本身的安全性最早使用在军用通信。其主要安全机制有如下几方面：

 提供了双向认证。不但提供基站对MS的认证，也提供了MS对基站的认证，可有效防止伪基站攻击；

 提供了接入链路信令数据的完整性保护；

 密码长度增加为128bit，改进了算法；

 接入链路数据加密延伸至RNC；

 wcdma的安全机制还具有可拓展性，为将来引入新业务提供安全保护措施；

 向用户提供安全可视性操作，用户可随时查看自己所用的安全模式及安全级别

2、第二段安全保障——无线接入网络（RAN）：无线接入网络（RAN）是运营商的网络，主要负责从无线信号中提取信息向分组域或电路域转发，本身

7

中国联通WCDMA无线VPDN解决方案

就是安全的网络，数据在其中传输也会有加密，压缩等步骤。而且RAN都是底层设备，数据在上层的含义对这些设备来说是抽象的，RAN设备本身不会带来安全隐患。

3、第三段安全保障——SGSN与GGSN：SGSN、GGSN以及企业接入路由器都是上层设备，这些网元之间的通信通过建立加密隧道来保证数据安全。SGSN与GGSN建立GTP隧道，GGSN与企业接入路由器间建立GRE或L2TP隧道。隧道的建立保证了数据传输的安全。

4、第四段安全保障——防火墙：在VPDN系统中在不同网络之间设置了防火墙，核心网（GGSN、SGSN）和VPDN接入平台网络间设置了防火墙，核心网和公众网之间设置了防火墙，只有合法的设备和通信消息才能通过防火墙访问网络。这样就避免了整个网络内部的潜在威胁。

5、第五段安全保障——VPDN接入平台的AAA认证：此环节为VPDN系统中最重要的一环，VPDN接入平台的AAA服务器可以完成有效的接入控制，所有请求接入企业网的用户都需要经过AAA服务器的认证，认证通不过的，从终端到SGSN间的分组数据环境都会被拒绝建立，后面的流程就不再进行，有效拒绝非法用户进入企业网络的企图。

6、第六段安全保障——企业内网的AAA服务器与防火墙：为了进一步加强网络的安全性，企业可以再其内网部署第二台AAA服务器，对于申请接入内网的终端进行第二次的认证；同时，企业可以在其内网部署防火墙或网闸设备，对不同网络间的通信进行限制或隔离处理，将VPDN网络系统受外界影响的风险降到最低。

通过以上分析，可以看出WCDMA-VPDN可以在全程保证无线终端安全接入企业内网，实现业务访问。

8

2024年1月20日发(作者：怀以晴)

中国联通

WCDMA无线VPDN解决方案

中国联合网络通信有限公司石家庄市分公司

中国联通WCDMA无线VPDN解决方案

目 录

一、WCDMA无线VPDN解决方案 .......................................................................... 1

1、联通VPDN业务简介 ..................................................................................... 1

2、VPDN业务技术实现方式 .............................................................................. 1

2.1、VPDN网络拓扑结构 ........................................................................... 1

2.2、VPDN建立流程 ................................................................................... 3

3、联通VPDN平台接入能力 ............................................................................. 3

4、联通VPDN业务使用条件 ............................................................................. 4

5、VPDN业务应用场景 ...................................................................................... 4

5.1、数据传送类........................................................................................... 4

5.2、移动办公类........................................................................................... 4

三、WCDMA技术优势 ............................................................................................... 5

1、技术优势.................................................................................................. 5

2、系统稳定及国际漫游优势...................................................................... 5

3、终端优势.................................................................................................. 6

四、联通VPDN产品资费 ........................................................................................... 6

4.1、VPDN功能费 ............................................................... 错误!未定义书签。

4.2、3G流量套餐 ................................................................. 错误!未定义书签。

4.3、专线费用....................................................................... 错误!未定义书签。

附件：WCDMA-VPDN安全机制说明....................................................................... 6

中国联通WCDMA无线VPDN解决方案

一、WCDMA无线VPDN解决方案

1、联通VPDN业务简介

VPDN(Virtual Private Dialup Networks)是虚拟拨号专网技术的简称，它是基于拨号用户的虚拟专用网络，利用IP网络的承载功能，结合相应的认证和授权机制，在公用网络中建立专用的虚拟数据通信网络。

联通的WCDMA无线VPDN网络是利用WCDMA第三代移动通信网络，结合无线上网卡和无线路由器等设备，为解决大客户内部办公网、生产网应用的无线数据传输业务。 相比GSM/CDMA的VPDN网络，WCDMA能够为客户提供更高的数据传输速率，满足客户各种应用。

VPDN作为远程访问和网络互联的高效低价、安全可靠的解决方案，集灵活性、安全性、经济性以及可扩展性于一身，可充分满足企业分支机构、移动办公安全通信的需求，已成为一项相当普及的网络业务。目前，无线VPDN技术已经在金融行业以及其他行业客户中得到了广泛应用。

联通VPDN产品是通过在客户端LNS和联通GGSN之间建立L2TP/GRE隧道的技术实现方式。其采用专用APN接入点接入客户内网。

2、VPDN业务技术实现方式

2.1、VPDN网络拓扑结构

客户的无线接入终端利用联通的WCDMA网络，接入联通VPDN平台，经过认证后，通过联通与客户的互联专线，实现无线接入终端与企业之间的数据传输。

在网络安全性方面，客户可以通过客户端的AAA服务器实现二次认证，并在联通与企业客户之间建立L2TP/GRE隧道，提高数据传输的安全性。

联通VPDN组网拓扑如下所示：

1

中国联通WCDMA无线VPDN解决方案

所有无线终端设备都处于一个客户专用网络内，客户可以给无线终端设备自己来分配IP地址。终端设备获得的是内网的IP地址，节省日渐紧张的公网IP资源。同时，客户私网和互联网完全隔离，数据保密性好。客户专网不会受到来自互联网上的黑客及病毒的侵袭，能够有效保证稳定的传输速率和带宽。下面分别对上图中各个设备进行介绍。

 终端：可以是手机、笔记本、无线Modem等，根据客户不同的需求选用不同的终端。

 联通GGSN：网关支持节点, 客户通过WCDMA接入到GGSN，GGSN判断是VPN用户，向指定的LNS发起L2TP/GRE连接。

 联通AAA服务器：负责对客户的域名进行鉴权认证。

 专线：通常采用联通的10M以太网专线（MSTP），此专线将联通的WCDMA网关和客户的LNS设备连接起来。

 客户侧路由器（LNS）：需支持L2TP/GRE协议，要与GGSN建立L2TP/GRE隧道。

 企业AAA服务器：用于认证、授权，实现对拨号用户名、密码和IP地址的管理，此服务器为可选配置，用于提高网络的安全性。

2

中国联通WCDMA无线VPDN解决方案

2.2、VPDN建立流程

SGSNGGSN

客户的拨号呼叫流程如下：

1、客户拨号请求到达GGSN

2、GGSN访问联通AAA，检查域名

3、L2TP隧道请求

4、客户与LNS建立PPP连接

5、访问客户AAA，安全验证

6、专网为客户分配IP地址

7、客户成功访问专网

简单来说，上图中移动终端通过无线网络接入GGSN分组域，由分组域中AAA进行接入认证，业务授权，在GGSN和客户平台之间利用L2TP协议建立起专用隧道。无线终端通过客户侧AAA的认证后，经过分组网的GGSN与客户的LNS间建立起PPP连接，客户传输的数据流通过隧道到达客户平台。

终端客户拨号成功后，通过空中接口和L2TP隧道，与客户侧LNS设备(路由器)相连，实现数据通信。此外，该系统中的客户AAA服务器可通过手机号码或者用户名密码绑定终端用户IP地址，依据IP地址建立访问控制机制。拨号终端由于被分配的是客户局域网的地址，因此可以说WCDMA的VPDN的技术可以将客户的内网安全地进行无线延伸。

3、联通VPDN平台接入能力

目前VPDN平台客户接入区可以提供E1、FE专线接入。未来，VPDN平

3

中国联通WCDMA无线VPDN解决方案

台客户接入区将支持GE、 POS等多种接口类型。

4、联通VPDN业务使用条件

客户使用联通VPDN业务时，需具备以下条件：

 至少一台支持L2TP/GRE隧道协议的网络接入设备。

 客户网络接入设备所在位置具备联通专线接入条件。

 具备一套AAA认证系统（此项非必选，如果客户侧无AAA认证服务器，可以使用联通提供的共享AAA认证服务器）。

5、VPDN业务应用场景

无线VPDN 是以公众移动分组数据网为基础，采用VPDN技术，为客户内部提供安全保密的无线数据传输的业务。可大致分为以下两大类：

5.1、数据传送类

此类业务属于客户内部的数据传送应用，例如，在总部有一个服务全局的网络或专业系统，有许多分支网点，各分支网点希望能与总部取得安全可靠的通信。

对于客户来说，可以通过中国联通无线VPDN组网的形式进行大规模的无线POS机、ATM机与相关缴费终端的布放与应用，利用无线组网接入方便、灵活，成本低等特点，满足各种环境下数据的传输需求。此外，无线接入作为原来有线接入的有效补充或可靠备份，从而给各机构带来了安全可靠的网络传输，支撑客户服务的开展。

5.2、移动办公类

移动办公系统主要是解决因外出开会、出差或下基层指导工作，无法及时阅办重要公文的现状问题。通过将公文流转系统的客户端移植到移动终端设备，利用无线VPDN网和移动终端设备的文档处理能力，达到随时随地查询、阅读、办理内网公文的目的，提升政务办理效率，同时共享信息资源，使相关人员实

4

中国联通WCDMA无线VPDN解决方案

时了解相关情况。主要实现公告通知、文件浏览审批、办公邮件。

三、WCDMA技术优势

1、技术优势

建网模式

载波带宽

接入速率

上行：5.76Mbps

全网引入HSDPA

热点引入HSUPA

上行：1.8Mbps

以CDMA1X作为底层承载，热点引入EVDO

热点引入EDGE

上行：384Kbps

中国联通

WCDMA+HSPA

5MHz

下行：14.4Mbps

中国电信 中国移动

CDMA2000+EVDO TDSCDMA+EDGE

1.25MHz

下行：3.1Mbps

1.6MHz

下行：2.8Mbps

建设区域

通过上述技术对比，WCDMA的数据业务承载能力全面领先于CDMA2000和TD-SCDMA。此外，中国联通将在未来对WCDMA网络升级为HSPA+，使无线接入速率达到28Mbps。

2、系统稳定及国际漫游优势

目前，全球采用WCDMA系统设备的商用网数量最多，已经达到了280多张网络，而CDMA2000和TD-SCDMA的网络分别只有21张和1张。在用户数量方面，WCDMA用户数量已经达到2.78亿户，而CDMA2000和TD-SCDMA的用户数量分别只有不到1亿户和30多万户。因此，WCDMA系统的技术成熟和系统稳定明显优于其他两种3G技术.

同时，客户选择中国联通的WCDMA服务，可以实现全球208个国家和地区的漫游，覆盖全球93%的国家和地区。

5

中国联通WCDMA无线VPDN解决方案

3、终端优势

全球主流手机终端厂商都已经参与WCDMA终端的研发和制造，WCDMA的终端成本相对较低，决定了WCDMA的市场适应能力更强。全球WCDMA手机终端已超过2000款，给客户带来了更多的选择空间，而CDMA2000和TD-SCDMA的手机终端分别只有220多款和30多款。

四、联通VPDN产品资费

联通3G VPDN业务资费包括VPDN功能费、3G流量套餐以及专线费用。

客户使用VPDN业务，需要开通从联通VPDN平台至客户端的互联专线，专线类型为SDH以太网电路，电路带宽根据VPDN业务使用量而定。

附件：WCDMA-VPDN安全机制说明

移动通信和互联网是两种革命性的信息技术。随着技术的发展，移动通信和互联网进一步结合，为人们提供了非常便捷的信息服务，改善了人们办公和生活的环境。在信息有效传输的同时，如何保证信息安全，越来越多的受到关注。VPDN（Virtual Private Dialup Network）是虚拟拨号专用网络的缩写，指利用隧道协议技术在拨号网络中为用户构建虚拟专用网络。隧道技术是在互联网中安全传输数据的成熟技术，这种隧道是经过加密的,数据在隧道中传输是安全的。随着GPRS行业应用的开展，尤其是3G网络的建设和开通，WCDMA网络可以提供更高的带宽，能够为行业用户提供更优质的服务，将吸引更多的行业用户基于移动网络实现企业内网的接入和业务访问。WCDMA与VPDN的结合可以达到在移动环境中安全接入企业内网和业务访问的目的。

下面通过分析移动终端接入企业网的流程来确定通信经过的通道，来说明各个环节是如何保证安全的。目前在业界较为成熟的安全手段有有对用户进行认证，通信两端设置加密隧道，在不同网络间设置防火墙。

6

中国联通WCDMA无线VPDN解决方案

移动终端接入企业内部网络的端到端的流程：

如上图所示移动终端向企业建立安全数据通道，首先需要向VPDN接入平台请求认证，认证通过后会得到建立分组数据环境的授权，然后终端所在SGSN会向终端归属GGSN建立GTP隧道，GGSN向企业的接入路由器建立GRE或L2TP隧道，所有的通道建立之后，数据会安全的在终端与企业网络间传输。

整个流程经过的通信通道有，WCDMA空中接口、无线接入网络（RAN）、SGSN、GGSN、VPDN接入平台、企业内网。

1、第一段安全保障——WCDMA空中接口：WCDMA第三代移动通信标准之一，是通过空中接口技术命名的，是宽带码分多址技术，码分多址技术由于其本身的安全性最早使用在军用通信。其主要安全机制有如下几方面：

 提供了双向认证。不但提供基站对MS的认证，也提供了MS对基站的认证，可有效防止伪基站攻击；

 提供了接入链路信令数据的完整性保护；

 密码长度增加为128bit，改进了算法；

 接入链路数据加密延伸至RNC；

 wcdma的安全机制还具有可拓展性，为将来引入新业务提供安全保护措施；

 向用户提供安全可视性操作，用户可随时查看自己所用的安全模式及安全级别

2、第二段安全保障——无线接入网络（RAN）：无线接入网络（RAN）是运营商的网络，主要负责从无线信号中提取信息向分组域或电路域转发，本身

7

中国联通WCDMA无线VPDN解决方案

就是安全的网络，数据在其中传输也会有加密，压缩等步骤。而且RAN都是底层设备，数据在上层的含义对这些设备来说是抽象的，RAN设备本身不会带来安全隐患。

3、第三段安全保障——SGSN与GGSN：SGSN、GGSN以及企业接入路由器都是上层设备，这些网元之间的通信通过建立加密隧道来保证数据安全。SGSN与GGSN建立GTP隧道，GGSN与企业接入路由器间建立GRE或L2TP隧道。隧道的建立保证了数据传输的安全。

4、第四段安全保障——防火墙：在VPDN系统中在不同网络之间设置了防火墙，核心网（GGSN、SGSN）和VPDN接入平台网络间设置了防火墙，核心网和公众网之间设置了防火墙，只有合法的设备和通信消息才能通过防火墙访问网络。这样就避免了整个网络内部的潜在威胁。

5、第五段安全保障——VPDN接入平台的AAA认证：此环节为VPDN系统中最重要的一环，VPDN接入平台的AAA服务器可以完成有效的接入控制，所有请求接入企业网的用户都需要经过AAA服务器的认证，认证通不过的，从终端到SGSN间的分组数据环境都会被拒绝建立，后面的流程就不再进行，有效拒绝非法用户进入企业网络的企图。

6、第六段安全保障——企业内网的AAA服务器与防火墙：为了进一步加强网络的安全性，企业可以再其内网部署第二台AAA服务器，对于申请接入内网的终端进行第二次的认证；同时，企业可以在其内网部署防火墙或网闸设备，对不同网络间的通信进行限制或隔离处理，将VPDN网络系统受外界影响的风险降到最低。

通过以上分析，可以看出WCDMA-VPDN可以在全程保证无线终端安全接入企业内网，实现业务访问。

8