一
、概述
    隨(sui)著(zhe)國(guo)民(min)經(jing)濟(ji)的(de)飛(fei)速(su)發(fa)展(zhan)，城(cheng)市(shi)集(ji)中(zhong)供(gong)熱(re)規(gui)模(mo)不(bu)斷(duan)擴(kuo)大(da)。集(ji)中(zhong)供(gong)熱(re)是(shi)國(guo)家(jia)大(da)力(li)推(tui)廣(guang)的(de)節(jie)能(neng)和(he)環(huan)保(bao)措(cuo)施(shi)
，供(gong)熱(re)站(zhan)是(shi)連(lian)接(jie)供(gong)熱(re)子(zi)站(zhan)和(he)用(yong)戶(hu)極(ji)為(wei)重(zhong)要(yao)的(de)環(huan)節(jie)。
    zaigongrexitongzhong，changchangxuyaoduizhongduodegongrezizhandianjinxingshishijiance，dabufenjianceshujuxuyaoshishifasongdaoguanlizhongxindehouduanfuwuqijinxingchuli。youyujiancedianfensan，fenbufanweiguang
，tongguodianhuaxianchuansongshujuwangwangshibeigongban。tongguoCDMA無線網絡進行數據傳輸

，成為供熱部門選擇的通信手段之一。工業控製監測設備可將采集到的數據和告警信息通過CDMA網絡及時發送到供熱站數據中心，實現對供熱子站的及時管理，可以大大提高工作效率。
二

、項目需求分析
    按照傳統方式，供熱站數據中心與子站之間的數據通信主要采用現場采集或PSTNdianhuaxianchuanshu。caiyongdianhuaxianchuanshushujushi，meicicaijidouxuyaodengdaijianlibohaolianjie，suduman
，shouwaijiehuanjingyingxiangda，erqiefeiyongyejiaogao。tongshi，youyugezizhanfenbufanweiguang、數量多
、距離遠
，個別點還地處偏僻，因此需申請很多電話線，而且有些子站有線線路難以到達。
    CDMA具有實時在線、速度快
、使用費用低的特點

，其傳輸速度可達153kb/s。與有線通訊方式相比
，采用CDMA無線通信方式則顯得非常靈活，它具有組網靈活、擴展容易、運行費用低投，維護簡單、性價比高等優點。綜上所述

，采用CDMA無線傳輸方式解決數據同步傳輸問題是實現熱網現代化管理的必然途徑。
三、CDMA 1X 傳輸方式的優勢
供熱站CDMA無線數據同步係統具備如下特點：
1、實時性強：
與PSTN，短消息服務比較，由於CDMA具有實時在線特性，係統無時延
，無需輪巡就可以同步接收、處理多個/所有子站的各種數據。可很好的滿足係統對數據采集和傳輸實時性的要求。
2、可對各子站設備進行遠程控製：
通過CDMA雙向係統還可實現對儀器設備進行反向控製
，如：時間校正、狀態報告
、開關閥門等控製功能。
3、建設成本少低：
由於采用CDMA公網平台
，無需建設無線網絡
，隻需安裝好設備就可以
，建設成本低；
4、監控範圍廣：
構建無線數據傳輸係統要求數據通信覆蓋範圍廣

，擴容無限製，接入地點無限製
，能滿足海洋
、山區、鄉鎮和跨地區的接入需求。由於供熱子站數量眾多，分布在全市範圍內，部分子站位於偏僻地區
，而且地理位置分散。
5、具有良好的可擴展性：
由於目前CDMA網絡已覆蓋室內絕大部分地區及距海岸線120Km內的海域，對各子站基本不存在盲區，可實現大範圍的在線監控，滿足供熱站數據傳輸係統對覆蓋範圍的要求。
6、係統的傳輸容量大：
供熱數據中心站要和每一個子站實現實時連接。由於子站數量眾多
，係統要求能滿足突發性數據傳輸的需要，而CDMA技術能很好地滿足傳輸突發性數據的需要。
7
、數據傳送速率高：
每個供熱站子站每次數據傳輸對帶寬要求在10Kb/s之內。目前CDMA實際數據傳輸速率在80-120Kbps左右
，完全能滿足本係統數據傳輸速率（≥10Kbps）的需求。
8、通信費用低：
采用流量計費或包月計費方式，運營成本低。
四、北京飛旗VPDN（網中數據網）應用安全方案
    無論您在什麼地方，隻要您打開筆記本電腦或PDA就直接登錄到您的辦公網中去，就像您在辦公室一樣。查信息、看數據，網上辦公安全又便捷。您的計算機或PDA隻需要一張CDMA號卡，單位隻要提供一個路由器端口即可。
    您也不用為傳送分散在不同地點的數據而煩惱了
，VPDN為您建立了空中專線，您的設備隻需要插上一張CDMAhaoka，wuxuwagoulaxian，wulunzaiquanguofanhuadeshiqu，haishizaipianyuandeshanqu
，dounengjinxingkuaisuwendingdeshujuchuansong，ninyiqianxiangdoubuganxiangdeshiliantongbangninwanchengle
，erqieshengqian、省力
、快速實現。
4.1、VPDN技術簡介
    簡單地說，VPDN是基於SIP方式（也支持MIP）接入專網，並輔以VPN技術，有時候也稱Simple IP技術+ L2TP技術。下圖中企業用戶通過無線網絡接入分組域PDSN，由分組域中AAA進行接入認證，業務授權，在PDSN和企業網之間利用L2TP協議建立起專用隧道，並在隧道中利用工作在傳輸模式下的IPSec協議把IP數據包加密，從而保護隧道中的數據安全。接入用戶通過企業網AAA的認證後，終端經過分組網的PDSN與企業的LNS間建立起PPP連接
，用戶傳輸的數據流通過隧道到達企業網。
4.2、無線接入及VPDN的安全性
    北京飛旗自行設計的VPDN方案是基於聯通CDMA 1X網絡和和北京飛旗研發生產的TCR係列無線路由器

，集合時下流行的L2TP+IPSec技術組網而成（簡稱北京飛旗VPDN方案），在安全性和經濟經方麵有著突出的優勢。
1. VPDN的安全保障
按照上述VPDN的示意圖，北京飛旗VPDN可以提供5級業務安全保障，從而充分保證網絡中數據的安全。
（1）第一級安全保證：CDMA網絡本身的安全性
    目前世界上使用的移動通信網絡主要有兩種：GSM和CDMA。與GSM相比
，CDMA網絡係統在安全保密方麵具有很大優勢。CDMA本來就是起源軍事保密技術
，在戰爭期間廣泛應用於軍事領域，具有抗幹擾、安全通信、保bao密mi性xing好hao的de特te性xing。進jin行xing移yi動dong手shou機ji信xin號hao的de竊qie聽ting一yi般ban使shi用yong以yi下xia三san種zhong方fang法fa。首shou先xian，需xu要yao捕bu捉zhuo到dao通tong信xin信xin號hao。在zai空kong間jian中zhong充chong滿man了le各ge種zhong各ge樣yang的de無wu線xian電dian波bo，用yong戶hu手shou機ji信xin號hao就jiu混hun雜za在zai其qi中zhong。要yao想xiang竊qie聽ting某mou一yi個ge用yong戶hu的de通tong話hua，首shou先xian必bi須xu捕bu捉zhuo到dao這zhe個ge用yong戶hu手shou機ji發fa出chu的de特te定ding的de電dian磁ci波bo。由you於yuCDMA係xi統tong采cai用yong擴kuo頻pin技ji術shu，經jing過guo擴kuo頻pin以yi後hou的de有you用yong信xin號hao的de頻pin譜pu被bei大da大da地di展zhan寬kuan了le，用yong戶hu信xin號hao隱yin蔽bi在zai互hu不bu相xiang關guan的de信xin號hao中zhong，要yao想xiang捕bu捉zhuo到dao這zhe一yi有you用yong信xin號hao非fei常chang困kun難nan。因yin此ci
，竊qie聽ting器qi捕bu捉zhuo不bu到dao
，也ye無wu法fa識shi別bie出chu哪na些xie是shiCDMA手機用戶的通信信號，哪些是噪音。其次，竊聽器必須鎖定手機用戶通信的信號，繼而才能分析和破解信息。而CDMA采用快速切換功率控製技術，即便是竊聽設備捕捉到了用戶手機信號，也不能鎖定快速功率切換下的有用信號，因此，快速功率切換讓CDMA信號很難鎖定。第三，需要破解用戶信息編碼。而CDMA采用偽隨機碼技術，用長達42位的偽隨機碼來標識區分用戶，每次通話都有4.4萬億種可能的排列，竊聽器很難破譯出CDMA的編碼。所以CDMA技術本身就很安全。
（2）第二級安全保證：CDMA網絡側的AAA認證
AAA是指認證（Authentication）
、授權（Authorization）、計費（Accounting）三個過程，其中：
    認證是，用戶在使用網絡係統中的資源時對用戶身份的確認。這一過程，通過與用戶的交互獲得身份信息（像用戶名－口令
、生物特征信息等）
，然後提交給認證服務器；認證服務器對身份信息與存儲在數據庫裏的用戶信息進行核對處理，然後根據處理結果確認用戶身份是否正確。
    授shou權quan是shi，網wang絡luo係xi統tong授shou權quan用yong戶hu以yi特te定ding的de權quan限xian使shi用yong其qi資zi源yuan
，這zhe一yi過guo程cheng指zhi定ding了le被bei認ren證zheng的de用yong戶hu在zai接jie入ru網wang絡luo後hou能neng夠gou使shi用yong的de業ye務wu和he擁yong有you的de權quan限xian，如ru授shou予yuIP地址，準許訪問時間等。
    計費是，網絡係統收集、記錄用戶對網絡資源的使用信息，以便向用戶收取資源使用費。以互聯網業務提供商ISP為例
，用戶的網絡接入使用情況可以按流量或者時間準確地記錄下來。
認    證、授shou權quan和he計ji費fei一yi起qi實shi現xian了le網wang絡luo係xi統tong對dui特te定ding用yong戶hu的de網wang絡luo資zi源yuan使shi用yong情qing況kuang的de準zhun確que記ji錄lu。這zhe樣yang既ji在zai一yi定ding程cheng度du上shang有you效xiao地di保bao障zhang了le合he法fa用yong戶hu的de權quan益yi，又you能neng有you效xiao地di保bao障zhang網wang絡luo係xi統tong安an全quan可ke靠kao地di運yun行xing。
    CDMA網絡側的AAA認證過程是對用戶的域名進行鑒權認證
，網中數據網的用戶（VPDN成員）是以形式登錄的（用戶在聯通登記入網時
，北京聯通分配其一個域名xxx.133vpdn.ln）。CDMA網絡側的AAA服務器對登錄用戶的域名和該用戶的IMSI進行綁定審核驗證。驗證通過後

，方可接入聯通CDMA網絡。
    移動通信從電路交換，發展到CDMA 1X分組網絡，再到第三代移動通信網絡

，用於認證、授權和計費的協議也在隨之演進，從基於7號信令的協議
，到部分采用RADIUS，再發展到Diameter
，這主要是由越來越豐富的業務決定的。Diameter協議由IETF的AAA工作組在2002年3月提出的認證計費協議草案。Diameter協議支持移動IP、NAS請求和移動代理的認證、授權和計費工作。協議的實現和RADIUS類似，也是采用Attribute-Length-Value三元組來實現，但是其中詳細規定了錯誤處理等內容。它在設計過程中
，不僅保持了與廣為使用的RADIUS協議的兼容
，更克服了RADIUS協議的許多不足，而且它不僅僅被互聯網采用
，更被下一代移動通信網（3G）采用。在第三代移動網絡和業務開展初期，為了和已有的設備和傳統業務互通
，需要采用Diameter與RADIUS之間的協議轉換器，但是最終還是統一使用AAA Diameter協議。
（3）第三級安全保證：CDMA網絡和用戶網絡之間的VPN鏈接
    CDMA網絡和用戶網絡之間可以采用專線鏈接，也可以使用Internet鏈接。使用Internet鏈接必須考慮安全性，因此，可以使用VPN將二者利用Internet鏈接起來。
    VPN技術非常複雜，涉及到通信技術、密碼技術和現代認證技術。主要包含兩種技術：隧道技術與安全技術。
    隧sui道dao技ji術shu的de基ji本ben過guo程cheng是shi在zai源yuan局ju域yu網wang與yu公gong網wang接jie口kou處chu將jiang數shu據ju封feng裝zhuang在zai一yi種zhong可ke以yi在zai公gong網wang上shang傳chuan輸shu的de數shu據ju格ge式shi中zhong，在zai目mu的de局ju域yu網wang與yu公gong網wang的de接jie口kou處chu將jiang數shu據ju解jie封feng裝zhuang，被bei封feng裝zhuang的de數shu據ju包bao在zai互hu聯lian網wang上shang傳chuan播bo時shi的de所suo經jing過guo的de路lu徑jing被bei稱cheng為wei“隧道”。常用的隧道協議有：1．點到點隧道協議―PPTP（現已基本淘汰）；　2．第二層隧道協議―L2TP，該協議是國際標準隧道協議，具有PPTP協議以及第二層轉發協議（L2F）的優點，可以使PPP包以隧道方式通過各種網絡，包括ATM、SONET、幀中繼。但沒有任何加密措施；3．IPSec協議，該協議是一個範圍廣泛

、開放的VPN安全協議，工作在網絡層。它提供所有在網絡層上的數據保護和透明的安全通信。可以在兩種模式下運行：一種是隧道模式


，一種是傳輸模式。在隧道模式下IPSec把IPv4數據包封裝在安全的IP幀中；傳輸模式是為了保護端到端的安全性，不會隱藏路由信息。目前一種趨勢是將L2TP和IPSec結合起來：用L2TP作為隧道協議

，用IPSec協議保護數據。市場上大部分VPN采用這類技術。 4．SOCKS v5協議
，SOCKS v5工作在OSI模型中的第五層――會話層，可作為建立高度安全的VPN的基礎。SOCKS v5協議的優勢在訪問控製，因此適用於安全性較高的VPN，SOCKS v5現在被IETF建議作為VPN的標準。
VPN是在不安全的Internet上傳輸的
，傳輸內容可能涉及到企業的機密數據，因此安全性非常重要。VPN中的安全技術通常由加密、認證及密鑰交換與管理組成。主要有認證技術，加密技術
，秘鑰管理與交換技術。
（4）第四級安全保證：用戶網絡側的安全防火牆（FW）
防fang火huo牆qiang技ji術shu是shi目mu前qian用yong來lai實shi現xian網wang絡luo安an全quan措cuo施shi的de一yi種zhong主zhu要yao手shou段duan，主zhu要yao是shi用yong來lai拒ju絕jue非fei法fa用yong戶hu的de訪fang問wen
，阻zu止zhi非fei法fa用yong戶hu存cun取qu敏min感gan數shu據ju，同tong時shi允yun許xu合he法fa用yong戶hu順shun利li訪fang問wen網wang絡luo資zi源yuan。防fang火huo牆qiang實shi際ji上shang是shi一yi種zhong訪fang問wen控kong製zhi技ji術shu，在zai某mou個ge機ji構gou的de內nei部bu網wang絡luo和he不bu安an全quan網wang絡luo之zhi間jian設she置zhi障zhang礙ai，阻zu止zhi對dui信xin息xi資zi源yuan的de非fei法fa訪fang問wen，也ye可ke以yi使shi用yong防fang火huo牆qiang阻zu止zhi保bao密mi信xin息xi從cong受shou保bao護hu網wang絡luo上shang的de非fei法fa輸shu出chu。
    實現防火牆的主要技術有：數據包過濾，應用網關和代理服務等。包過濾（Packet Filter）技術是在網絡層中對數據包實施有選擇的通過。依據係統內事先設定的過濾邏輯
，檢查數據流中每個數據包後，根據數據包的源地址

、目的地址、TCP/UDP源端口號


、TCP/UDP目的端口號及數據包頭中的各種標誌位等因素來確定是否允許數據包通過，其核心是安全策略即過濾算法的設計。應用網關（Application Gateway）技ji術shu是shi建jian立li在zai網wang絡luo應ying用yong層ceng上shang的de協xie議yi過guo濾lv，它ta針zhen對dui特te別bie的de網wang絡luo應ying用yong服fu務wu協xie議yi即ji數shu據ju過guo濾lv協xie議yi，並bing且qie能neng夠gou對dui數shu據ju包bao分fen析xi並bing形xing成cheng相xiang關guan的de報bao告gao。應ying用yong網wang關guan可ke以yi嚴yan格ge控kong製zhi某mou些xie易yi於yu登deng錄lu和he控kong製zhi的de所suo有you的de輸shu出chu輸shu入ru通tong信xin環huan境jing，以yi防fang有you價jia值zhi的de程cheng序xu和he數shu據ju被bei竊qie取qu。它ta的de另ling一yi個ge功gong能neng是shi對dui通tong過guo的de信xin息xi進jin行xing記ji錄lu
，如ru什shen麼me樣yang的de用yong戶hu在zai什shen麼me時shi間jian連lian接jie了le什shen麼me站zhan點dian。在zai實shi際ji工gong作zuo中zhong，應ying用yong網wang關guan一yi般ban使shi用yong專zhuan用yong工gong作zuo站zhan係xi統tong。代dai理li服fu務wu器qi（Proxy Server）zuoyongzaiyingyongceng，yonglaitigongyingyongcengfuwudekongzhi
，qidaoneibuwangluoxiangwaibuwangluoshenqingfuwushizhongjianzhuanjiezuoyong。neibuwangluozhijieshoudailitichudefuwuqingqiu，jujuewaibuwangluoqitajiediandezhijieqingqiu。
用戶網絡可以選用適合於本單位的防火牆產品來保證自己網絡數據的安全。
（5）第五級安全保證：用戶網絡側的AAA鑒權認證
用戶網絡側的AAA鑒權認證可以實現對VPDN成員的身份認證。與第二級的安全保證不同
，本級的AAA服務器將鑒別VPDN成員的用戶名和密碼的正確性。
中的域名將是中國聯通公司提供給專網接入用戶的專有統一域名，用戶名（username）可以是VPDN中每個成員的手機號碼或者其它標識。VPDN中成員的用戶名和密碼等資料將保存在用戶專網側的AAA服務器，具有很好的安全性和管理的靈活性。
2. VPDN係統鏈路及用戶所需接入資源
VPDN係統鏈路示意圖