GPRS數(shù)據(jù)專網(wǎng)探討

福建省泉州移動公司IT中心 張汀

　　當我們不在辦公室時，又需要象在辦公室一樣地辦公時，我們可以用傳統(tǒng)的撥號方式遠程訪問公司或企業(yè)內(nèi)部專用網(wǎng)絡(luò)。但采用傳統(tǒng)的遠程訪問的方式不但通訊費用比較高，而且在與內(nèi)部專用網(wǎng)絡(luò)中的計算機進行數(shù)據(jù)傳輸時，不能保證通信的安全性。為了有效實現(xiàn)需求，通過撥號與企業(yè)內(nèi)部專用網(wǎng)絡(luò)建立VPN連接是一個理想的選擇。



　　移動推出GPRS業(yè)務(wù)后，我們技術(shù)實現(xiàn)的空間進一步加大。GPRS為我們提供了隨時隨地接入網(wǎng)絡(luò)的方便性。類似于原有的數(shù)據(jù)專網(wǎng)需求，我們可以提供專用APN接入或通過GPRS實現(xiàn)虛擬數(shù)據(jù)專網(wǎng)（VPN）接入的方式，本文旨在對兩種技術(shù)方案進行探討。



一．什么是VPN



　　VPN（Virtual Private Network）即虛擬數(shù)據(jù)專用網(wǎng)絡(luò)，是一門網(wǎng)絡(luò)新技術(shù)，為我們提供了一種通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部專用網(wǎng)絡(luò)進行遠程訪問的連接方式。我們知道一個網(wǎng)絡(luò)連接通常由三個部分組成：客戶機、傳輸介質(zhì)和服務(wù)器。VPN同樣也由這三部分組成，不同的是VPN連接使用隧道作為傳輸通道，這個隧道是建立在公共網(wǎng)絡(luò)或?qū)Ｓ镁W(wǎng)絡(luò)基礎(chǔ)之上的，如：Internet或Intranet。



　　要實現(xiàn)VPN連接，企業(yè)內(nèi)部網(wǎng)絡(luò)中必須配置有一臺基于Windows NT或Windows2000 Server的VPN服務(wù)器，VPN服務(wù)器一方面連接企業(yè)內(nèi)部專用網(wǎng)絡(luò)，另一方面要連接到Internet，也就是說VPN服務(wù)器必須擁有一個公用的IP地址。當客戶機通過VPN連接與專用網(wǎng)絡(luò)中的計算機進行通信時，先由ISP（Internet服務(wù)提供商）將所有的數(shù)據(jù)傳送到VPN服務(wù)器，然后再由VPN服務(wù)器負責將所有的數(shù)據(jù)傳送到目標計算機。VPN使用三個方面的技術(shù)保證了通信的安全性：隧道協(xié)議、身份驗證和數(shù)據(jù)加密�？蛻魴C向VPN服務(wù)器發(fā)出請求，VPN服務(wù)器響應(yīng)請求并向客戶機發(fā)出身份質(zhì)詢，客戶機將加密的響應(yīng)信息發(fā)送到VPN服務(wù)器，VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，如果賬戶有效，VPN服務(wù)器將檢查該用戶是否具有遠程訪問權(quán)限，如果該用戶擁有遠程訪問的權(quán)限，VPN服務(wù)器接受此連接。在身份驗證過程中產(chǎn)生的客戶機和服務(wù)器公有密鑰將用來對數(shù)據(jù)進行加密。VPN連接的示意圖如下所示。







二．VPN的特點



　　1．增強的安全性 VPN通過使用點到點協(xié)議（PPP）用戶級身份驗證的方法進行驗證，這些驗證方法包括：密碼身份驗證協(xié)議 (PAP)、質(zhì)詢握手身份驗證協(xié)議 (CHAP)、Shiva 密碼身份驗證協(xié)議 (SPAP)、Microsoft 質(zhì)詢握手身份驗證協(xié)議 (MS-CHAP) 和可選的可擴展身份驗證協(xié)議 (EAP)；并且采用微軟點對點加密算法（MPPE）和網(wǎng)際協(xié)議安全（IPSec）機制對數(shù)據(jù)進行加密。以上的身份驗證和加密手段由遠程VPN服務(wù)器強制執(zhí)行。對于敏感的數(shù)據(jù)，可以使用VPN連接通過VPN服務(wù)器將高度敏感的數(shù)據(jù)服務(wù)器物理地進行分隔，只有企業(yè)Intranet上擁有適當權(quán)限的用戶才能通過遠程訪問建立與VPN服務(wù)器的VPN連接，并且可以訪問敏感部門網(wǎng)絡(luò)中受到保護的資源。



　　2．網(wǎng)絡(luò)協(xié)議支持 VPN支持最常用的網(wǎng)絡(luò)協(xié)議，基于IP、IPX和NetBEUI協(xié)議網(wǎng)絡(luò)中的客戶機都可以很容易地使用VPN。這意味著通過VPN連接可以遠程運行依賴于特殊網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。



　　3．IP地址安全 因為VPN是加密的， VPN數(shù)據(jù)包在Internet中傳輸時，Internet上的用戶只看到公用的IP地址，看不到數(shù)據(jù)包內(nèi)包含的專有網(wǎng)絡(luò)地址。因此遠程專用網(wǎng)絡(luò)上指定的地址是受到保護的。



三．什么是GPRS



　　GPRS—General Packet Radio Service，通用無線分組業(yè)務(wù)是一種基于GSM系統(tǒng)的無線分組交換技術(shù)，提供端到端的、廣域的無線IP連接。GPRS充分利用共享無線信道，采用IP Over PPP實現(xiàn)數(shù)據(jù)終端的高速、遠程接入。作為現(xiàn)有GSM網(wǎng)絡(luò)向第三代移動通信演變的過渡技術(shù)（2.5G），GPRS在許多方面都具有顯著的優(yōu)勢。








四．GPRS數(shù)據(jù)專網(wǎng)實現(xiàn)方案



1、通過專用APN接入方式



　　企業(yè)通過專線和移動公司GPRS網(wǎng)的GGSN相連，在移動GGSN網(wǎng)元上為企業(yè)設(shè)置一個專用的接入APN點，從而在企業(yè)使用的移動設(shè)備和企業(yè)內(nèi)部網(wǎng)絡(luò)之間構(gòu)成一條無線虛擬專網(wǎng)（VPN）通道，解決了企業(yè)提出的內(nèi)部網(wǎng)絡(luò)安全性及數(shù)據(jù)私密性的要求。



　　移動終端在進行GPRS附著時，SGSN首先向HLR查詢移動終端所允許使用的APN，然后通過DNS將APN解析成相應(yīng)的IP地址。專用的APN在GGSN上將體現(xiàn)為專用的網(wǎng)絡(luò)地址段。由于企業(yè)通過專線和移動公司連接，此時移動終端己通過此種方式通過GPRS相接到企業(yè)專網(wǎng)上了。



　　目前移動與某交警等合作的移動執(zhí)法系統(tǒng)就是采用此種方式。



2、 采用原有VPN接入方式



　　如果借鑒原有固定上網(wǎng)方式下的VPN接入方式，則企業(yè)需設(shè)置VPN服務(wù)器，并將擁有公網(wǎng)IP地址的服務(wù)器連接到互聯(lián)網(wǎng)上；而移動公司只是為移動用戶提供一個公網(wǎng)平臺就可以了。移動終端只是類似于固定上網(wǎng)用戶通過GPRS連接到公網(wǎng)上，并進行二次虛擬撥號建立VPN連接即可。







五．兩種方案的比較



Ⅰ、專用APN



1．這是通過GPRS為企業(yè)建設(shè)了一個專用網(wǎng)。



2．移動手機或PDA等可以接入。



3．整個數(shù)據(jù)傳送過程未進行加密。



4．企業(yè)需租用專線接入到移動公司的GGSN設(shè)備上。



5．普通的可連接到互聯(lián)網(wǎng)的設(shè)備沒有接入該系統(tǒng)的方式。



6．可對移動終端進行鑒權(quán)。



Ⅱ、VPN方式



1．這是一種虛擬專網(wǎng)的方式。在這種方案里，我們只是把GPRS做為原有寬帶、撥號上網(wǎng)方式的一種擴展方式。



2．目前尚無GPRS手機進行VPN二次虛擬撥號的功能，故只能通過GPRS加電腦終端的方式接入。



3．通過VPN方式，整個數(shù)據(jù)傳送過程得到了加密保護。



4．企業(yè)不用租用專線。只需將VPN服務(wù)器接入到互聯(lián)網(wǎng)上即可。



5．原有的接入方式均可保持不變。



6．目前無法對終端進行鑒權(quán)。



六．結(jié)束語



　　數(shù)據(jù)專網(wǎng)在互聯(lián)網(wǎng)出現(xiàn)沒多久就開始有了市場需求；有不少企業(yè)都己有自己的數(shù)據(jù)專網(wǎng)。移動公司憑借GPRS手段，可以為用戶提供一個立體化全方位的互聯(lián)網(wǎng)世界，移動公司具有技術(shù)先進的優(yōu)勢；但我們在業(yè)務(wù)推廣的過程中，應(yīng)注意到用戶投資的問題。如果采用VPN方式，則用戶不用重新租用專線，而可以利舊使用原有的VPN設(shè)備；移動公司只為客戶提供了一種有益的加強手段，即GPRS接入方式。



　　當然我們還可以考慮今后手機終端上要有VPN二次虛擬撥號軟件，或通過專用APN方式接入時如何解決普通終端接入的問題。但在新的市場需求的驅(qū)動下，相信這些技術(shù)問題都能很輕易地得到解決。



　　本文不在于否定哪種實現(xiàn)方式，只是客觀地將兩種實現(xiàn)方式進行比較。當不同的市場需求出現(xiàn)時，我們可以憑借多樣化的實現(xiàn)方案來盡可能多的滿足業(yè)務(wù)。除了以上兩種方案之外，我們還可以考慮在專用APN接入的基礎(chǔ)上再加上VPN方式或把APN做為VPN接入的另一種補充接入等混合方式。以上，通過對兩種實現(xiàn)方式的比較，我們可以了解到應(yīng)用實現(xiàn)上還有哪些不足，從而在下一步的建設(shè)中可以通過新的技術(shù)手段來彌補和擴充。



摘自《計算機世界》