基于移动VPDN的应急通信平台方案设计

胡荣健曾 萍张希波

基于移动VPDN的应急通信平台方案设计

胡荣健1*曾 萍2张希波1

1．中国人民解放军61416部队，北京 100036 2．北京电子科技学院，北京 100070

本文提出一种基于移动VPDN网络建设应急通信平台的设计方案，对其实现机制、网络结构及接入鉴权、业务访问等流程进行了研究论述，对其具体的应用种类及建设原则进行了探讨，为建设基于移动VPDN的应急通信平台提供了切实可行的参考依据。该方案具有广域覆盖、信道资源及业务种类丰富、安全保密、经济成本低等显著优势。

移动通信;VPDN;应急通信

引言

VPDN(Virtual Private Dial Network)是指利用公共网络(如ISDN和PSTN)的拨号功能及接入网来实现虚拟专用网，为企业、事业单位办公人员提供接入服务;移动VPDN业务是利用移动通信网络的无线覆盖接入，实现手机或专用移动数据终端与企事业总部网络之间的虚拟专用数据业务。目前国内以中国电信推出的“V信通”业务为代表，具有覆盖面广、资源丰富、性能稳定、可管可控、安全保密等特点，在企业网、校园网中有着广泛的应用。但在移动VPDN业务与应急通信相结合方面，国内实践案例尚且为数不多，随着国家抢先救灾、防恐维稳等任务越来越多，对于应急通信的需求也越来越高，而在全国建设专用应急通信网络存在造价高、资源紧缺等无法弥补的缺陷，所以开展移动VPDN业务在应急通信方面的应用研究及实践具有十分重要的意义。

1 移动VPDN实现机制与方案选择

VPDN按照建立L2TP隧道的实现机制可以分为三种:Client-Initialed(客户端触发)、NAS-Initialed(接入服务器触发)和LAC-Auto-Initialed(访问集中器自动触发)［1］。

三种机制的主要技术特点及区别如下:

1.1 Client-Initialed(客户端触发)

Client-Initialed(客户端触发)机制是指在数据终端上安装L2TP客户端软件，数据终端与总部网络建立隧道时无需通过NAS接入，而是通过客户端软件直接拨号与总部网络的LNS建立L2TP隧道。其应用场景如图1所示。

1.2 NAS-Initialed(接入服务器触发)

NAS-Initialed(接入服务器触发)机制是指数据终端与总部网络建立隧道时需要先到NAS鉴权，鉴权通过后数据终端与NAS之间建立PPP会话，然后由NAS向总部网络LNS发起建立L2TP隧道的请求，NAS和LNS之间成功建立L2TP隧道后，数据终端通过此隧道建立与LNS之间的PPP连接，其应用场景如图2所示。

1.3 LAC-Auto-Initialed(访问集中器自动触发)

LAC-Auto-Initialed(访问集中器自动触发)机制是在系统建设时对LAC配置完成后，LAC就自动向总部网络的LNS发起L2TP隧道建立请求，隧道一旦建立就长期存在，分支机构用户只要能连接LAC就可以通过L2TP隧道访问总部网络，其应用场景如图3所示。

需要特别指出，一般情况下NAS与LAC是同一个物理实体，NAS是VPDN里的概念，LAC和LNS是L2TP协议里的概念，上述第二种机制为了突出实际网络中NAS对数据终端提供的接入服务功能，沿袭了NAS-Initialed的惯用叫法。

上述三种机制，如果在移动VPDN网络采用Client-Initialed机制，也就是在每部手机上安装L2TP客户端，让每部手机直接和总部网络LNS建立隧道，则会大大增加移动通信网络的资源消耗和管理难度;而在LAC-Auto-Initialed机制中，在建立L2TP隧道时LNS只对LAC进行认证，不对用户进行认证，降低了网络的安全性。所以从网络安全、网络资源和用户管理三个方面综合考虑，移动VPDN采用NAS-Initialed机制。

2 基于移动VPDN的应急通信平台方案设计

2.1 网络架构

目前中国移动、联通和电信都提供虚拟专用数据网络的业务，三者网络结构类似，本文主要对依托电信cdma2000－EVDO网络建设应急通信平台展开研究，其参考网络架构如图4所示。

为描述完整的移动终端的鉴权接入过程，本文在图4上半部分给出了cdma2000－EVDO无线接入网络及分组核心网的网络结构［2］，下半部分为应急通信平台内网的网络结构。

在小型的应急通信平台建设中，系统对用户的UIM卡和数据业务权限的鉴权可以完全依托网络运营商，应急平台只负责对用户的VPDN属性进行鉴权，在大型的应急通信平台建设中，加强对系统用户的控制，AN-AAA(接入鉴权、授权、计费服务器)和Home-AAA(归属鉴权、授权、计费服务器)也可以自行建设，在建设这些网元的时候必须和运营商商定好接口协议。

在应急通信平台内网中，除LNS(二层隧道协议网络服务器)和VPDN-AAA(虚拟拨号数据网鉴权、授权、计费服务器)为单部设备外，其他三个子系统应该包括多台设备。一般情况下，保密子系统应包括KDC(密钥分发中心)和IPSec网关;应用子系统应包括DNS域名服务器和应急通信所需的应用服务(下文将对应急通信所必需的应用服务详细论述);安全子系统应包括流量控制、入侵检测、漏洞扫描、防病毒等服务器。

2.2 业务流程

基于移动VPDN的应急通信平台业务流程共分为6个阶段，按照时间顺序分别为:ANAAA接入鉴权、Home-AAA接入鉴权、建立L2TP隧道、VPDN-AAA接入鉴权、加密鉴权及加密通道建立、访问应用服务。

1．AN-AAA接入鉴权流程

移动终端每次开机时都需要进行AN-AAA鉴权，主要目的是鉴别UIM卡是否为本网合法用户。AN-AAA接入鉴权流程如图5所示［3］。

(1)a、b是AT与AN使用空中接口进行业务信道分配和协商交互接入流数据的过程。

(2)c是AT与AN发起PPP连接及用于接入认证的LCP协商。

(3)d～h是AN-AAA的接入认证过程，该过程基于RADIUS协议。AN通过PPP/CHAP消息向AT发起随机查询，AT向AN发送查询响应，响应消息包含“IMSI@mycdma．cn”信息。AN此时作为RADIUS客户端通过A12接口向RADIUS服务器AN-AAA发送接入请求消息，AN-AAA对该UIM卡信息鉴权通过后，返回接入允许信息。AN向AT返回鉴权成功信息。

(4)i、j是AT与AN完成位置更新及业务流准备过程，为下一步Home-AAA鉴权做好准备。

2．Home-AAA接入鉴权流程

Home-AAA鉴权的目的是鉴别用户的数据业务权限和VPDN属性。Home-AAA接入鉴权流程如图6［4］。

(1)a～d是AN通过PCF请求建立与PDSN之间的A8、A10链路的过程，在AT与AN业务流传输准备就绪的基础上，进一步为建立AT与PDSN之间的PPP链路做好准备。

(2)e是AT与PDSN之间发起PPP连接及用于接入认证的LCP协商。

(3)f～k是Home-AAA的接入认证过程，该过程也是基于RADIUS协议。PDSN通过PPP/CHAP消息向 AT发起随机查询，AT向PDSN发送查询响应，响应消息包含“VPDN账号@VPDN域名”信息。PDSN此时作为RADIUS客户端向RADIUS服务器Home-AAA发送接入请求消息。如果该用户的Home-AAA与PDSN没有直连链路，则该消息必须通过VAAA转接。Home-AAA对用户的数据业务权限和VPDN域名进行鉴权，鉴权通过后，根据VPDN域名向PDSN返回对应的隧道属性，包括LNS IP、隧道类型、隧道密码等信息。

PDSN收到Home-AAA的Access-Accept消息后，并不向AT返回鉴权成功的消息，而是按照Home-AAA返回的LNS IP直接和LNS建立隧道，这是移动VPDN业务流程和普通移动数据业务流程的重要区别。

3．L2TP隧道建立流程

建立L2TP隧道主要是确定隧道ID和会话ID，详细流程如图7所示［1］:

(1)a～c是隧道ID的确立过程。PDSN根据隧道属性向LNS发起建立隧道请求，LNS返回响应消息，该消息中携带隧道ID信息，PDSN返回确认，该消息中携带相同的隧道ID予以确认。

(2)e～f是会话ID的确立过程。PDSN向LNS发起建立会话请求，该请求携带隧道ID信息，明确在哪一条隧道建立会话，LNS返回响应消息，该消息中携带隧道ID、会话ID信息，PDSN返回确认，该消息中携带相同的隧道ID、会话ID予以确认。

4．VPDN-AAA接入鉴权流程

VPDN-AAA鉴权的目的是鉴别用户是否为本VPDN的合法用户，VPDN-AAA接入鉴权流程如图8所示。

(1)a、b是LNS向AT发起PPP/LCP重新协商过程。

(2)c～g是VPDN-AAA的接入认证过程，该过程也是基于RADIUS协议。LNS通过PPP/ CHAP消息向AT发起随机查询，AT向LNS发送查询响应，响应消息仍然包含“VPDN账号@ VPDN域名”信息。LNS此时作为RADIUS客户端向RADIUS服务器VPDN-AAA发送接入请求消息。VPDN-AAA对用户的VPDN合法身份进行鉴权，鉴权通过后，向LNS返回允许接入信息，该消息包含了VPDN网络为该用户分配的IP地址。LNS向AT返回鉴权成功的消息。

(3)h、i是AT请求IP地址分配的过程。AT向LNS发起PPP/IPCP配置请求消息申请IP地址，LNS根据VPDN-AAA指定的IP地址为用户分配IP地址，向用户返回响应信息反馈IP地址及相关信息。

5．加密鉴权及加密通道建立流程

为确保专用网数据安全，移动终端与VPDN平台内网通信必须采用IPSec VPN技术，对信息进行加密处理。IPSec VPN的密钥配置方式分为手工方式和智能管理方式。当应急通信平台内终端数量较少时，可以采取手工方式配置密钥，这种方式配置的密钥安全等级最高，不会在线路上被侦破。智能管理方式采用IKE协议通过终端与KDC的自动协商动态建立IPSec SA，可以在网络中安全地分发密钥、验证身份。如图1所示，a步骤是采用智能管理方式时 AT向KDC申请加密鉴权和加密密钥的过程，如果采取手工方式配置密钥，此过程可以省略。b步骤是AT获得密钥后与网络中的IPSec网关建立IPSec隧道的过程。

6．访问应用服务流程

在上述4次鉴权与L2TP隧道、IPSec隧道建立完成后，剩余流程就和普通计算机上网一样，先到DNS进行域名解析，解析出应用服务器IP地址后，终端到对应的应用服务器进行应用访问。如图10所示。

2.3 方案分析

基于移动VPDN建设应急通信平台的突出优势在于广域覆盖和专网专用的结合，除此之外，它还有业务丰富、指挥高效，可管可控、安全保密，实现方便、经济性好等特点。

第一，广域覆盖、专网专用。在以往的专用应急通信平台建设中，是很难在全国都实现无缝覆盖的，而基于移动VPDN网络建设应急通信平台，依托既有移动通信网络的基站信号接入，可以在全国范围内都实现无缝覆盖，提供应急通信服务。同时，移动VPDN又有着较好的独立性和安全性，其使用效果与专网相同，这就同时兼顾了广域覆盖和专网专用的特点。

第二，业务丰富、指挥高效。当前，各类移动数据应用层出不穷，可以说通过移动数据应用的开发能够实现各种各样的服务。对基于移动VPDN的应急通信平台而言，不但可以高质量地实现移动视频监控、集群调度等业务，只要资源充足，还可以实现信息资料库、态势信息共享等高层次的应急指挥服务，使得应急指挥更加高效顺畅。

第三，可管可控、安全保密。VPDN的核心技术主要在于隧道技术和安全技术［5］。在基于移动VPDN的应急通信平台中，可以自行管理所属拨号用户，进行开户、销户、设置用户、权限等操作［6］，对虚拟专网的用户实现接入鉴权和加密鉴权，甚至可以通过与网络运营商的商定，自己制卡开号，从而实现对本网用户的完全管理。通过IPSec加密技术进行数据保密传输及定期更换密钥等机制，确保了应急平台通信的安全保密，对于抢险救灾、处突维稳等非战争行动应急处置已经足够使用。

第四，实现方便、经济性好。相比专用应急通信平台而言，建设基于移动VPDN的应急通信平台只需要集中建设各类鉴权服务器及应用服务器，不需要进行大量的基站建设和通信线缆敷设，实现起来比较方便，大量地节省了建网经济成本和人力资源。

3 基于移动VPDN的应急通信方案的典型应用

应急通信平台与普通VPDN网络的最大区别在于其内网应用服务的针对性。应急通信平台的应用服务主要是针对于应急指挥的通信保障，所以不必要包括新闻资讯、影音娱乐甚至邮件办公等内容，其最主要功能如下:

3.1 移动视频监控

移动视频监控是应急通信平台必需的应用服务，主要用于敌情、灾情的侦察，保证指挥中心与现场的应急通信畅通，使应急指挥中心能够第一时间对现场情况进行直观的了解［7］。突发事件发生后，通过单兵视频终端和车载视频终端实现视频采集，通过流媒体技术，可将现场图像实时上传至应急通信平台移动视频监控服务器，应急指挥部从服务器下载视频完成监控［8］。建设应急移动视频监控服务，要优先考虑实时性和视频质量，视频侦察如果做不到实时准确，那就失去了意义。基于移动VPDN的应急通信平台与其他应急平台相比，其信道资源相对充足，在满足时效性和视频质量要求的基础上，再综合考虑统一处理多点突发事件时，增补信道或视频通道数量。

3.2 广域集群调度

集群调度是传统的应急指挥通信手段，基于移动VPDN的应急通信平台可以在全国范围内实现集群调度功能，这是其他专用集群网络或移动通信网络的单点通信不能相比的。建设广域集群调度服务，必须做到操作简捷和多组守听。操作简捷是集群调度通信的通用要求，为提高应急指挥效率，应该尽最大努力做到操作简捷，最好是做到一键呼叫、一键应答。多组守听是指同一部通信终端可以随时接收到来自不同编组的呼叫，区别于以往一个指挥员必须使用多部终端，或者一部终端选择不同频率的方式实现多组指挥的操作复杂、指挥效率低下的问题。

3.3 多方音视频会议

多方音视频会议通常用于突发事件处置的阶段性部署。突发事件初期，一般通过视频监控和集群调度边行动边部署，在事件处置告一段落后，采用多方音视频会议对下一步行动中需要各方密切配合的事项提出明确要求。建设多方音视频会议服务，需要注意压缩带宽、音频优先，在移动通信网络中移动数据带宽是比较宝贵的资源，而多方音视频会议的重点在于音频，要优先考虑音频时效性和质量，带宽资源不足时，甚至可以完全取消视频，只召开音频会议。

除上述应用服务外，在应急通信平台中还可以建设全国范围内地理信息、气象水文、社情民俗等各类资料库，以提升应急通信平台的全面保障能力。

4 结束语

应急通信保障是一项涉及管理、网络和技术等多个层面的系统工程［9］。本文提出了基于移动VPDN网络进行应急通信平台设计的理念，论证了基于VPDN建设应急通信平台的实现机制，给出了移动VPDN应急通信平台的设计方案，包括网络结构和完整的业务流程，并对应急通信平台应提供的应用服务进行了探讨，针对性、实用性强，为建设基于移动VPDN的应急通信平台提供了切实可行的参考依据。

应急平台建设是应急管理的一项基础性工作，对于建立和健全统一指挥、功能齐全、反应灵敏、运转高效的应急机制，预防和应对自然灾害、事故灾难、公共卫生事件和社会安全事件，减少突发公共事件造成的损失，具有重要意义［7］。当前，我国应急通信平台建设远远不够完善，基于移动VPDN建设广域覆盖、业务丰富、指挥高效、安全保密的应急通信平台需求十分迫切。随着移动通信网络的不断发展，特别是我国4G移动数据业务的普及，无线网络传输速率大幅提高，使基于移动VPDN网络实现应急通信平台更加可行，通信效果更加顺畅，应用前景十分可观。

［1］徐慧洋，白杰，卢宏旺．华为防火墙技术漫谈［M］．北京:人民邮电出版社，2015:158－175．

［2］中国电信股份有限公司．中国电信cdma2000核心网络设备技术规范 －ANAAA(v2.0)［Z］．2008－5－27．

［3］雒江涛，舒忠玲，梁燕．移动数据业务透视［M］．北京:人民邮电出版社，2014:94－97．

［4］中国电信股份有限公司．中国电信cdma2000核心网络接口技术规范－分组域协议(v1.6)［Z］．2010－4－12．

［5］高丽敏．基于L2TP的VPDN技术研究与应用［J］．大众科技，2010(5):25－26．

［6］刘劲松，王东方．基于L2TP的VPDN技术在校园网中的应用［J］．网络通讯与安全，2007(4):967－968．

［7］作者不详．政府应急指挥系统解决方案［EB/OL］．［2010－05－21］．http://wk．baidu．com/view/0d94cddfa58da0116c1749c5 #1

［8］黄翠兰．基于VPDN的企业网络视频会议系统应用研究［J］．厦门理工学院学报，2008，16(3):35－38．

［9］王海涛．应急通信的发展现状和技术手段分析［J］．中国无线电，2010(11):49－51．

The Scheme Design of Emergency Communication Platform Based on Mobile VPDN

Hu R ongjian1Zeng Ping2Zhang Xibo1

1．Unit 61416，PLA，Beijing 100036，China 2．Beijing Electronic Science and Technology Institute，Beijing 100070，China

A scheme of emergency communication platform based on mobile VPDN is proposed in the paper．And its implementation mechanism，network structure，the access processes，authentication and authorization are discussed．The application types and construction principles of the scheme are expounded．The research results provide a practical reference for the construction of emergency communication platform based on mobile VPDN．The scheme has significant advantages of wide area coverage，rich channel resources and service types，security and confidentiality，low economic cost and so on．

Mobile communication;VPDN;Emergency communication;

TN929.5

A

1672－464X(2016)2－65－08

(责任编辑:鞠 磊)

胡荣健(1980－)，男，河北人，硕士，工程师，主要研究领域为移动通信;曾萍(1969－)，女，河南人，博士，教授，主要研究方向为无线网络、信息安全。