CDMA 1X無線接入的安全性

　　數(shù)據(jù)中心可通過到中國聯(lián)通CDMA網(wǎng)中數(shù)據(jù)網(wǎng)(VPDN)接入，采用VPDN方式成本比較低，安全性比較高，可充分保障速度和網(wǎng)絡(luò)服務(wù)質(zhì)量。

　　網(wǎng)中數(shù)據(jù)網(wǎng)（VPDN）業(yè)務(wù)提供方案如下圖所示。

　　按照上述網(wǎng)中數(shù)據(jù)網(wǎng)的示意圖，聯(lián)通網(wǎng)中數(shù)據(jù)網(wǎng)可以提供5級業(yè)務(wù)安全保障，從而充分保證網(wǎng)絡(luò)中數(shù)據(jù)的安全。

第一級安全保證：CDMA網(wǎng)絡(luò)本身的安全性

　　目前世界上使用的移動通信網(wǎng)絡(luò)主要有兩種：GSM和CDMA。與GSM相比，CDMA網(wǎng)絡(luò)系統(tǒng)在安全保密方面具有很大優(yōu)勢。CDMA本來就是起源軍事保密技術(shù)，在戰(zhàn)爭期間廣泛應(yīng)用于軍事領(lǐng)域，具有抗干擾、安全通信、保密性好的特性。進行移動手機信號的竊聽一般使用以下三種方法。首先，需要捕捉到通信信號。在空間中充滿了各種各樣的無線電波，用戶手機信號就混雜在其中。要想竊聽某一個用戶的通話，首先必須捕捉到這個用戶手機發(fā)出的特定的電磁波。由于CDMA系統(tǒng)采用擴頻技術(shù)，經(jīng)過擴頻以后的有用信號的頻譜被大大地展寬了，用戶信號隱蔽在互不相關(guān)的信號中，要想捕捉到這一有用信號非常困難。因此，竊聽器捕捉不到，也無法識別出哪些是CDMA手機用戶的通信信號，哪些是噪音。其次，竊聽器必須鎖定手機用戶通信的信號，繼而才能分析和破解信息。而CDMA采用快速切換功率控制技術(shù)，即便是竊聽設(shè)備捕捉到了用戶手機信號，也不能鎖定快速功率切換下的有用信號，因此，快速功率切換讓CDMA信號很難鎖定。第三，需要破解用戶信息編碼。而CDMA采用偽隨機碼技術(shù)，用長達42位的偽隨機碼來標識區(qū)分用戶，每次通話都有4.4萬億種可能的排列，竊聽器很難破譯出CDMA的編碼。所以CDMA技術(shù)本身就很安全。

第二級安全保證：CDMA網(wǎng)絡(luò)側(cè)的AAA認證

　　AAA是指認證（Authentication）、授權(quán)（Authorization）、計費（Accounting）三個過程，其中：
認證是，用戶在使用網(wǎng)絡(luò)系統(tǒng)中的資源時對用戶身份的確認。這一過程，通過與用戶的交互獲得身份信息（像用戶名－口令、生物特征信息等），然后提交給認證服務(wù)器；認證服務(wù)器對身份信息與存儲在數(shù)據(jù)庫里的用戶信息進行核對處理，然后根據(jù)處理結(jié)果確認用戶身份是否正確。
授權(quán)是，網(wǎng)絡(luò)系統(tǒng)授權(quán)用戶以特定的權(quán)限使用其資源，這一過程指定了被認證的用戶在接入網(wǎng)絡(luò)后能夠使用的業(yè)務(wù)和擁有的權(quán)限，如授予IP地址，準許訪問時間等。

　　計費是，網(wǎng)絡(luò)系統(tǒng)收集、記錄用戶對網(wǎng)絡(luò)資源的使用信息，以便向用戶收取資源使用費。以互聯(lián)網(wǎng)業(yè)務(wù)提供商ISP為例，用戶的網(wǎng)絡(luò)接入使用情況可以按流量或者時間準確地記錄下來。

 
　　認證、授權(quán)和計費一起實現(xiàn)了網(wǎng)絡(luò)系統(tǒng)對特定用戶的網(wǎng)絡(luò)資源使用情況的準確記錄。這樣既在一定程度上有效地保障了合法用戶的權(quán)益，又能有效地保障網(wǎng)絡(luò)系統(tǒng)安全可靠地運行。

　　CDMA網(wǎng)絡(luò)側(cè)的AAA認證過程是對用戶的域名進行鑒權(quán)認證，網(wǎng)中數(shù)據(jù)網(wǎng)的用戶（VPDN成員）是以形式登錄的（用戶在聯(lián)通登記入網(wǎng)時，聯(lián)通分配其一個域名）。CDMA網(wǎng)絡(luò)側(cè)的AAA服務(wù)器對登錄用戶的域名和該用戶的IMSI進行綁定審核驗證。驗證通過后，方可接入聯(lián)通CDMA網(wǎng)絡(luò)。

第三級安全保證：CDMA網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間的VPN鏈接

　　CDMA網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間可以采用專線鏈接，也可以使用Internet鏈接。使用Internet鏈接必須考慮安全性，因此，可以使用VPN將二者利用Internet鏈接起來。

　　VPN技術(shù)非常復(fù)雜，涉及到通信技術(shù)、密碼技術(shù)和現(xiàn)代認證技術(shù)。主要包含兩種技術(shù)：隧道技術(shù)與安全技術(shù)。
　　VPN是在不安全的Internet上傳輸?shù)?，傳輸?nèi)容可能涉及到企業(yè)的機密數(shù)據(jù)，因此安全性非常重要。VPN中的安全技術(shù)通常由加密、認證及密鑰交換與管理組成。主要有認證技術(shù)，加密技術(shù)，秘鑰管理與交換技術(shù)。

第四級安全保證：用戶網(wǎng)絡(luò)側(cè)的安全防火墻（FW）

　　防火墻技術(shù)是目前用來實現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，主要是用來拒絕非法用戶的訪問，阻止非法用戶存取敏感數(shù)據(jù)，同時允許合法用戶順利訪問網(wǎng)絡(luò)資源。防火墻實際上是一種訪問控制技術(shù)，在某個機構(gòu)的內(nèi)部網(wǎng)絡(luò)和不安全網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問，也可以使用防火墻阻止保密信息從受保護網(wǎng)絡(luò)上的非法輸出。

　　用戶網(wǎng)絡(luò)可以選用適合于本單位的防火墻產(chǎn)品來保證自己網(wǎng)絡(luò)數(shù)據(jù)的安全。

第五級安全保證：用戶網(wǎng)絡(luò)側(cè)的AAA鑒權(quán)認證

　　用戶網(wǎng)絡(luò)側(cè)的AAA鑒權(quán)認證可以實現(xiàn)對VPDN成員的身份認證。與第二級的安全保證不同，本級的AAA服務(wù)器將鑒別VPDN成員的用戶名和密碼的正確性。
username@中的域名將是中國聯(lián)通公司提供給專網(wǎng)接入用戶的專有統(tǒng)一域名，用戶名（username）可以是VPDN中每個成員的手機號碼或者其它標識。VPDN中成員的用戶名和密碼等資料將保存在用戶專網(wǎng)側(cè)的AAA服務(wù)器，具有很好的安全性和管理的靈活性。