WVPDN技术在数字化血站建设中的应用_血站技术比武试题

　　[摘要]目的本文首先介绍了WVPDN的概念和基本原理。根据福建省龙岩市中心血站局域网的特点和龙岩市中心血站各科室对VPN 网络的需求,阐述了WVPDN技术在福建省龙岩市中心血站“数字化血站”建设中的应用。该技术的应用,不仅使血站内部网络具有开放性,同时保证了血站信息资源的安全性。
　　[关键词]WVPDN; 数字化血站; L2TP
　　[中图分类号] R197.6[文献标识码]A [文章编号] 1005-0515(2010)-9-001-03
　　
　　Application of WVPDN Networking Technology in the digitization of Blood Stations BusinessLin Yan-rong
　　(Center Blood Station of Longyan, Fujian 364000,China)
　　[Abstract]ObjectiveFirst of all, this paper introduces the background knowledge and related techniques of the WVPDN. After that, according to the feature of LAN of blood station and the requirement analysis, this paper concentrates on the application of networking scheme in in Blood Stations Business Data Networks(BSBDN).Then the paper describes the application of WVPDN in the digitization of Blood Stations Business in detail. The application of WVPDN networking technology not only make Blood Stations Business Data network open ,but also ensure the security of blood station information resources.
　　[Keywords]Wireless virtual private dialup network(WVPDN) ; Digital blood stations layer 2 tunneling protocol
　　
　　引言
　　随着血站业务规模日益扩大,人员数量和组织结构不断膨胀,血站业务数据网(Blood Stations Business Data Networks,BSBDN)与英特网(Internet)的互通成为数字化血站发展的必然要求。传统的VPDN组网技术是租用专用线路,将血站业务数据网延伸到员工较为集中的办公区域。这种组网技术存在两个弊端:一是资金投入较大,需要专门的维护人员;二是专用线路不可能铺设到每位员工的所处的地方,特别是在员工工作较为分散的情况下,难以满足群体需求。另一种组网方法是允许BSBDN与Internet的互访,实现BSBDN网络能力的开放,将不再有传统局域网的局限性,可以支持多方业务的交互及资源共享,对促进血站业务的成长具有重大意义。然而由于站内部分资源不适合对外开放,如穿越血液信息管理系统、站内办公自动化系统、财务管理系统等,因此这种开放式网络带来了一系列的安全问题,从而使BSBDN资源的安全难以得到保障。
　　基于上述原因,本文提出一种基于BSBDN的WVPDN 技术应用,该技术应用突破了BSBDN地域性的限制,优化了BSBDN的应用和管理,解决了血站数据的安全性和保密性问题,同时也降低了组网成本。实际运行情况表明,该技术应用切实可行。
　　1WVPDN 的基本概念
　　WVPDN是无线虚拟拨号专用网络(Wireless Virtual Private Dialup Network)的缩写,与普通的VPDN不同之处在于,CDMA 2000分组网的VPDN业务,体现的是无线上网的概念,是利用中国电信CDMA 2000高速分组数据网络为无线移动用户构建虚拟专用网络,从而使集团用户在任何地点都能够通过CDMA 2000网络,实现为员工和业务伙伴提供无缝和安全的连接,真正做到不受时间和空间限制的集团网。CDMA 2000分组域根据网络自身的特点和企业事业单位的不同需求,为企业事业单位VPDN用户提供有差异化的、安全可靠的解决方案。
　　BSMDN(Blood Stations Mobile Data Nodes): 血站移动数据节点,具备接通宽带的条件。
　　PDSN(Packet Data Serving Node):分组业务数据节点,相对于CDMAOne网络,与CDMA 2000系统相关联的PDSN是一个新部件。在处理所提供的分组数据业务时,PDSN是一个基本单元。其作用是支持分组数据业务,在分组数据的会话过程中,执行下列主要功能:①建立、维护和终断用户的PPP会话;②支持简单和移动IP分组业务;③通过无线分组接口建立、维持和终断与无线网络的逻辑链接;④进行移动台用户到AAA服务器的认证、授权和计费;⑤接受来自AAA服务器的对于移动用户的服务参数;⑥路由去往和来自外部分组数据网的数据包;⑦收集转接到AAA服务器的使用数据等。
　　L2TP(Layer2 Tunneling Protocol) :第二层隧道协议,在VPDN 建立的过程中,在LAC(L2TP access concentrator)和LNS(L2TP Network Server)间建立L2TP 隧道,对数据进行压缩、加密等操作。
　　LAC(L2TP access concentrator) :L2TP 访问集中器,是L2TP 隧道的起点,通常放置在运营商机房。
　　LNS(L2TP Network Server) :L2TP 网络服务器,是L2TP隧道的终点,是VPDN 与拨号用户所要访问资源所在网络的接口。
　　Radius(Remote Authentication Dial In User Service) :远程用户拨号认证系统,在VPDN 中,一般有两个Radius 系统,一个放置在运营商机房,执行第一次认证;另一个放置在拨号用户所要访问资源所在的机房,执行第二次认证。
　　CHAP(Challenge Handshake Authentication Protocol):询问握手认证协议,该认证协议为三次握手认证,口令为密文。CHAP拨号用户发送用户名到接入服务器,接入服务器发送一些随机产生的报文,交给被拨号用户,拨号用户用自己的口令用MD5算法进行加密,传回密文,接入服务器用从RADIUS服务器取得的用户口令及随机报文用MD5算法加密,比较二者的密文,根据比较结果返回认证成功或失败的响应。
　　WVPDN(Wireless Virtual Private Dial-up Network ,无线虚拟专用拨号网)是利用电信运营商的高速分组数据网络为无线移动用户构建虚拟专用网络,利用L2TP隧道技术为客户构建的与英特尔网隔离的虚拟专用网络,用户可使用移动终端或PC通过WVPDN网络安全地访问客户网络或应用系统。
　　使用WVPDN业务的用户根据其属性可分为如下两类:
　　(1)客户:通过专线等方式接入电信运营商WVPDN业务平台的政企客户;
　　(2)终端用户:通过WVPDN接入到客户网络或电信运营商应用平台的移动网用户。
　　WVPDN业务属全国性业务,全国有CDMA网络覆盖范围内均可通达,用户在全国范围内漫游仍能使用本业务。
　　2血站WVPDN业务实现原理
　　血站WVPDN业务实现机制如图2-1所示。
　　2.1 BSMDN用户使用用户名(XXX@域名)进行CHAP拨号,通过基站、无线侧设备BSC/PCF与PDSN发出连接请求。PDSN将用户接入请求转发给接入AAA,接入AAA根据用户域名判断用户是否为VPDN用户,是否具有接入权限。接入AAA认证通过后,向PDSN返回VPDN属性;
　　2.2 PDSN根据接入AAA返回的VPDN属性(包括LNS地址,隧道类型、L2TP隧道密钥等)和LNS建立L2TP隧道。PDSN向LNS传送用户名、密码、认证方式等信息;
　　2.3 VPDN AAA根据LNS传送过来的用户名、密码、认证方式等信息对终端用户进行二次认证,认证终端用户是否能接入用户网络;
　　2.4 认证通过后,LNS分配终端用户IP地址,终端用户和LNS建立PPP连接,完成客户网络的接入。
　　由以上VPDN业务的实现原理可以看出,VPDN业务主要基于L2TP 隧道技术实现BSMDN用户到BSBDN的安全接入,提供一个移动终端用户到BSBDN的虚拟隧道。
　　3血站WVPDN 组网方案
　　3.1WVPDN业务终端可以是任何支持CDMA无线上网功能的终端,包括:①智能终端:支持无线数据业务的手机、PDA、具有CDMA 1X上网卡的PC等;②无线网络设备:具备CDMA 无线接入功能的MODEM、交换机、路由器等;③专用数据传输设备:具备CDMA 无线接入功能的远程数据采集、工业控制等专用设备。
　　
　　如图3-1所示,WVPDN业务网络包括:业务终端、无线接入网(包括BTS、BSC/PCF等)、PDSN、接入AAA服务器、LNS、VPDN AAA、LNS接入VPN/专线/公网163、客户网络接入VPN/专线等。
　　无线接入网包括移动基站(BTS)、BSC/PCF等,负责VPDN业务终端的无线接入;PDSN作为VPDN业务的LAC设备,主要负责L2TP隧道的发起和建立;接入AAA主要完成业务终端的VPDN业务接入认证、授权、计费,并实现各种业务控制及用户终端的漫游等功能;VPDN AAA服务器主要完成业务终端访问客户网络的认证、授权;LNS设备是负责WVPDN客户接入的网络设备(如路由器),和PDSN一起完成L2TP隧道的建立,LNS设备部署在BSBDN网络中。
　　3.2 对于与CN2(Chinatelecom Next Carrier Network)跨域开放MPLS(Multi-protocol Label Switching,多协议标签交换) VPN业务的MAN(Metropolitan Area Network; 城域网),可以采用城域网接入CN2 VPN189。城域网内CN VPN189组网架构如下:
　　3.3 血站自备LNS,LNS设备放置于我站网络中心机房,BSBDN和LNS之间通过本地局域网连接,我站LNS通过CN2 VPN189接入MAN接口模块,优先通过城域网VPN189延伸PE接入CN2 VPN189(如下图3-3中①和②)。
　　3.4 针对龙岩市中心血站的WVPDN业务应用,必须经过由CHAP安全认证的加密链接,形成一条由BSMDN(如:献血车上的笔记本电脑)→BTS(无线基站)→BSC/PCF(无线分组交换网络)→PDSN(分组交换数据网)→CN2 VPN189(中国电信下一代承载网络)→MAN(城域网)→BSBDN(血站业务数据网)的VPDN安全链路。该安全链路经过实际验证使用,能够安全传输各种格式的数据流,突破血站各种业务软件使用的瓶颈限制,实现软件依托此链接进行日常工作,从而大大提高血站的工作效率、加强无偿献血工作的保密性、确保血液质量的安全性。
　　4结语
　　本文设计并实现一种基于L2TP的WVPDN构建一个虚拟私有网络的方案,借助WVPDN 技术实现了血站业务数据网、血站采供点VPN网与英特网的“三网合一”。通过对网络互联结构及覆盖现状进行深入调查,结合最新网络技术,实现了通过WVPDN 拨号远程访问血站内部网络资源,打破了地域限制,为更多的血站工作人员实时地提供关键数据,从而使血站运行更具敏捷性和灵活性。同时节省了大量的网络建设和维护费用,提高血站业务数据网的安全性和可靠性,同时该方案具有良好的可扩展性。实际运行表明,该技术方案切实可行,非常有助于血站工作效率及血液质量安全的提高,为实现数字化血站的建设目标起到关键性的作用。
　　参考文献
　　[1] R.J. Lihua, “Application in Private Network Based on CDMA1X VPDN ”[J]. Science & Technology Information, vol. 27, 2008.
　　[2] W. Huang and J. Yang, “New VPN Application in 3G Network,” 2009.
　　[3] D. Na, “The Applications of VPDN Group Net Based on ADSL.”
　　[4] J.M. Powell, “The Impact of Virtual Private Network (VPN) on a Company"s Network,” Undergraduate Honors Theses, 2010, p. 57.
　　[5] F. Xiang, “Virtual Private Dial Networks (VPDN) in the Application of Farm Informationization,” Agriculture Network Information, vol. 11, 2009.
　　[6] Z.J. Shengsheng and H. Yifeng, “VPDN Based on PPTP Realization&Security Analysis” [J]. Computer Engineering and Applications, vol. 15, 2003.
　　[7] Z. Jinquan, “VPDN Solutions for Enterprise,” Designing Teachniques of Posts and Telecom, 2002.
　　[8] C.A.I. Jie, “VPDN Technique and Its Application,” Dandong Textile College, 2003.