中國(guó)電信股份有限公司江蘇分公司中國(guó)電信股份有限公司江蘇分公司江蘇省環(huán)境保護(hù)廳移動(dòng)辦公解決方案中國(guó)電信股份有限公司江蘇分公司TIME\@"yyyy年M月"2016年4月目錄1項(xiàng)目背景 32需求分析 33方案設(shè)計(jì) 43.1設(shè)計(jì)原則 43.1.1安全性 43.1.2易操作性 43.1.3可擴(kuò)充性 43.2總體設(shè)計(jì) 43.2.1網(wǎng)絡(luò)結(jié)構(gòu)圖 53.2.2組網(wǎng)說(shuō)明 54無(wú)線VPDN方案 64.14GVPDN業(yè)務(wù)特征 64.24GVPDN業(yè)務(wù)實(shí)現(xiàn)原理 84.3省環(huán)保廳4GVPDN組網(wǎng)方式 95智能手機(jī)配置 106配套增值服務(wù) 126.1定向流量 126.2后向流量 126.3點(diǎn)擊撥號(hào) 126.44GQOS保障 137成功案例 13

項(xiàng)目背景2015年，國(guó)家提出“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃，并上升為國(guó)家戰(zhàn)略。李克強(qiáng)總理提出在政府公共服務(wù)領(lǐng)域，通過(guò)信息化引領(lǐng)政府服務(wù)模式轉(zhuǎn)型，對(duì)內(nèi)提高辦公效率，對(duì)外提高服務(wù)效率。十三五期間，江蘇省環(huán)保廳（以下簡(jiǎn)稱“省環(huán)保廳”）響應(yīng)國(guó)家和省政府要求，著力打造“智慧環(huán)?！?，推進(jìn)全省環(huán)境監(jiān)測(cè)和保護(hù)工作向信息化、智能化方向發(fā)展。當(dāng)前，協(xié)同辦公系統(tǒng)已在省環(huán)保廳內(nèi)部編織起一套高效、暢通的信息互聯(lián)體系，但傳統(tǒng)的應(yīng)用系統(tǒng)由于受限于辦公地點(diǎn)，辦公人員只能通過(guò)電腦進(jìn)行訪問(wèn)，處理日常事物都必須在電腦的面前，這種局限性使得辦公人員離開(kāi)了辦公室，就處于一種“信息孤島”狀態(tài)。隨著4G時(shí)代的到來(lái)，智能終端的普及，信息化擺脫了對(duì)固定的辦公場(chǎng)所、固定的辦公配套設(shè)備、固定工作時(shí)間的依賴，打破這些時(shí)空上的信息束縛限制，跳出固化的信息化建設(shè)窠臼，將信息化無(wú)縫延展到每個(gè)人手中。省環(huán)保廳擬使用移動(dòng)終端進(jìn)行移動(dòng)辦公，解決內(nèi)部人員出差、休假、外出或其他特殊情況時(shí)不能及時(shí)處理重要辦公事宜的問(wèn)題，使得單位人員能夠隨時(shí)隨地、及時(shí)有效的進(jìn)行移動(dòng)化信息處理，提高生產(chǎn)運(yùn)作和管理的效率。需求分析1、搭建移動(dòng)辦公平臺(tái)，將最新行業(yè)動(dòng)態(tài)、業(yè)務(wù)信息、通知郵件、內(nèi)部資料等從固定辦公平臺(tái)平移至移動(dòng)辦公平臺(tái)。2、局內(nèi)工作人員在外出、休假時(shí)，可即時(shí)查看和處理內(nèi)部的公文、郵件等信息。3、根據(jù)政府安全保密要求，移動(dòng)辦公系統(tǒng)的網(wǎng)絡(luò)需要具備安全、穩(wěn)定的環(huán)境，避免在公網(wǎng)泄密的風(fēng)險(xiǎn)。方案設(shè)計(jì)設(shè)計(jì)原則安全性移動(dòng)辦公系統(tǒng)應(yīng)能提供有效的安全保障，具備完善的身份認(rèn)證、訪問(wèn)控制、日志管理、系統(tǒng)審計(jì)、數(shù)據(jù)加密等安全保密機(jī)制，保證網(wǎng)絡(luò)系統(tǒng)、主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)的安全，為省環(huán)保廳工作人員進(jìn)行移動(dòng)辦公時(shí)提供全面的安全保密防護(hù)。易操作性移動(dòng)辦公系統(tǒng)應(yīng)保證在功能和人機(jī)交互界面上貼近使用人員的日常辦公習(xí)慣，功能模塊和功能按鈕的說(shuō)明應(yīng)定義清晰、命名直觀，達(dá)到簡(jiǎn)單易用、提高工作效率的目的?？蓴U(kuò)充性移動(dòng)辦公系統(tǒng)采用符合國(guó)際標(biāo)準(zhǔn)和適應(yīng)國(guó)際發(fā)展潮流的移動(dòng)化信息系統(tǒng)技術(shù)、可平滑擴(kuò)展的系統(tǒng)硬件體系結(jié)構(gòu)、開(kāi)放式的系統(tǒng)軟件平臺(tái)、模塊化的應(yīng)用軟件結(jié)構(gòu)，確保系統(tǒng)在處理能力和業(yè)務(wù)功能方面可靈活擴(kuò)充，并可與其它系統(tǒng)進(jìn)行無(wú)縫集成?？傮w設(shè)計(jì)中國(guó)電信提供一整套基于3G/4G網(wǎng)絡(luò)的移動(dòng)辦公解決方案。移動(dòng)辦公系統(tǒng)部署在省環(huán)保廳的內(nèi)網(wǎng)。對(duì)內(nèi)與現(xiàn)有的的OA辦公系統(tǒng)進(jìn)行對(duì)接；對(duì)外，以專線方式連接至中國(guó)電信CN2網(wǎng)絡(luò)，并通過(guò)電信4GVPDN專用通道實(shí)現(xiàn)與手機(jī)端的信息交互，完成省環(huán)保廳OA系統(tǒng)的移動(dòng)化辦公需求。網(wǎng)絡(luò)結(jié)構(gòu)圖組網(wǎng)說(shuō)明移動(dòng)辦公系統(tǒng)由四部分組成：省環(huán)保廳移動(dòng)辦公平臺(tái)、專用通信網(wǎng)絡(luò)、智能終端、APP應(yīng)用。省環(huán)保廳移動(dòng)辦公平臺(tái)包括移動(dòng)OA服務(wù)器、防火墻、數(shù)據(jù)庫(kù)等，提供資料解析、數(shù)據(jù)擷取、文檔壓縮解析等功能?？紤]到移動(dòng)辦公平臺(tái)已有第三方負(fù)責(zé)實(shí)施，本方案不再贅述。專用通信網(wǎng)絡(luò)可采用互聯(lián)網(wǎng)、專線兩種方式。基于政府安全保密的要求，我們建議采用電信無(wú)線VPDN電路提供專業(yè)、安全的服務(wù)保障。本方案將詳細(xì)說(shuō)明無(wú)線VPDN的組網(wǎng)方式。智能終端為當(dāng)前主流4GLTE手機(jī)和PAD?？紤]到安全保密要求，建議不使用IOS終端。APP應(yīng)用為智能手機(jī)裝載的移動(dòng)辦公應(yīng)用，由第三方負(fù)責(zé)開(kāi)發(fā)，本方案不再贅述。無(wú)線VPDN方案中國(guó)電信無(wú)線VPDN技術(shù)是基于CDMA1X/EVDO、LTE/eHRPD高速分組數(shù)據(jù)網(wǎng)絡(luò)，利用L2TP技術(shù)為客戶構(gòu)建與公眾互聯(lián)網(wǎng)隔離的虛擬專用網(wǎng)絡(luò)。4GVPDN業(yè)務(wù)特征1.可移動(dòng)、覆蓋廣用戶可以在移動(dòng)環(huán)境下進(jìn)行無(wú)線數(shù)據(jù)傳輸，用戶在高速移動(dòng)中也能確保持續(xù)連接，真正地滿足用戶移動(dòng)辦公的需求。只要有中國(guó)電信CDMA1X/EVDO、LTE/eHRPD信號(hào)覆蓋的地方，用戶就能使用無(wú)線VPDN業(yè)務(wù)。2.高安全性針對(duì)4GVPDN組網(wǎng)的各環(huán)節(jié)，中國(guó)電信提供了5級(jí)業(yè)務(wù)安全保障，從而充分保證網(wǎng)絡(luò)中數(shù)據(jù)的安全。第一級(jí)安全保障：4G網(wǎng)絡(luò)本身的安全性4G本來(lái)就是起源軍事保密技術(shù)，在戰(zhàn)爭(zhēng)期間廣泛應(yīng)用于軍事領(lǐng)域，具有抗干擾、安全通信、保密性好的特性。移動(dòng)手機(jī)信號(hào)的竊聽(tīng)一般使用以下三種方法。首先，需要捕捉到通信信號(hào)。在空間中充滿了各種各樣的無(wú)線電波，用戶手機(jī)信號(hào)就混雜在其中。由于4G系統(tǒng)采用擴(kuò)頻技術(shù)，經(jīng)過(guò)擴(kuò)頻以后的有用信號(hào)的頻譜被大大地展寬了，用戶信號(hào)隱蔽在互不相關(guān)的信號(hào)中，要想捕捉到這一有用信號(hào)非常困難。其次，竊聽(tīng)器必須鎖定手機(jī)用戶通信的信號(hào)，繼而才能分析和破解信息。而4G采用快速切換功率控制技術(shù)，即便是竊聽(tīng)設(shè)備捕捉到了用戶手機(jī)信號(hào)，也不能鎖定快速功率切換下的有用信號(hào)。第三，需要破解用戶信息編碼。而4G采用偽隨機(jī)碼技術(shù)，用長(zhǎng)達(dá)42位的偽隨機(jī)碼來(lái)標(biāo)識(shí)區(qū)分用戶，每次通話都有4.4萬(wàn)億種可能的排列，竊聽(tīng)器很難破譯出4G的編碼。所以4G技術(shù)本身就很安全。第二級(jí)安全保障：4G網(wǎng)絡(luò)側(cè)的AAA認(rèn)證4G網(wǎng)絡(luò)側(cè)的AAA認(rèn)證過(guò)程是對(duì)用戶的域名進(jìn)行鑒權(quán)認(rèn)證，網(wǎng)中數(shù)據(jù)網(wǎng)的用戶（VPDN成員）是以u(píng)sername@xxx.vpdn.js形式登錄的,與互聯(lián)網(wǎng)是完全隔離的。4G網(wǎng)絡(luò)側(cè)的AAA服務(wù)器對(duì)登錄用戶的域名和該用戶的UIM卡進(jìn)行綁定審核驗(yàn)證。驗(yàn)證通過(guò)后，方可接入電信運(yùn)營(yíng)商4G網(wǎng)絡(luò)。第三級(jí)安全保障：4G網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間的VPN鏈接4G網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間可以采用專線鏈接，并將L2TP和IPSec結(jié)合起來(lái)用：用L2TP作為隧道協(xié)議，用戶可以選擇端到端的IPSec協(xié)議來(lái)進(jìn)一步保護(hù)數(shù)據(jù)，安全性更高。第四級(jí)安全保障：用戶網(wǎng)絡(luò)側(cè)的安全防火墻（FW）防火墻技術(shù)是目前用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，主要是用來(lái)拒絕非法用戶的訪問(wèn)，阻止非法用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶順利訪問(wèn)網(wǎng)絡(luò)資源。用戶網(wǎng)絡(luò)可以選用適合于本單位的防火墻產(chǎn)品來(lái)保證自己網(wǎng)絡(luò)數(shù)據(jù)的安全。第五級(jí)安全保障：用戶網(wǎng)絡(luò)側(cè)的AAA鑒權(quán)認(rèn)證用戶網(wǎng)絡(luò)側(cè)的AAA鑒權(quán)認(rèn)證可以實(shí)現(xiàn)對(duì)VPDN成員的身份認(rèn)證。與第二級(jí)的安全保障不同，本級(jí)的AAA服務(wù)器將鑒別VPDN成員的用戶名和密碼的正確性。目前中國(guó)電信為節(jié)約用戶投資，可以提供具有運(yùn)營(yíng)商基本的二次認(rèn)證AAA服務(wù)，用戶可以租用中國(guó)電信二次認(rèn)證AAA在實(shí)施對(duì)VPDN成員的身份認(rèn)證，可以實(shí)現(xiàn)基于賬號(hào)，用戶UIM標(biāo)識(shí)的嚴(yán)格控制，以及綁定固定IP地址的能力；3.高速率CDMA1X/EVDO、LET/eHRPD無(wú)線數(shù)據(jù)網(wǎng)絡(luò)能夠?yàn)橐苿?dòng)用戶提供高速的數(shù)據(jù)業(yè)務(wù)，LTE網(wǎng)絡(luò)數(shù)據(jù)傳輸速率最快可達(dá)到150Mbit/s。4.適用范圍廣終端用戶通過(guò)無(wú)線VPDN業(yè)務(wù)接入到客戶網(wǎng)絡(luò)，對(duì)各類應(yīng)用均可透明傳送。無(wú)線VPDN業(yè)務(wù)使用任何支持CDMA1X/EVDO、LET/eHRPD無(wú)線上網(wǎng)功能，可手工配置或安裝專用客戶端的終端，包括智能終端、具備CDMA1X/EVDO、LET/eHRPD接入功能的網(wǎng)絡(luò)設(shè)備和工控設(shè)備等。4GVPDN業(yè)務(wù)實(shí)現(xiàn)原理4GVPDN業(yè)務(wù)是基于4G網(wǎng)絡(luò)的VPDN業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)如圖所示：終端用戶在進(jìn)行VPDN撥號(hào)時(shí)，由電信設(shè)備進(jìn)行第一次接入認(rèn)證，認(rèn)證終端號(hào)碼訪問(wèn)VPDN的權(quán)限，VPDN鑒權(quán)服務(wù)器對(duì)用戶攜帶的用戶名、密碼等信息進(jìn)行透?jìng)鳎琇NSAAA負(fù)責(zé)VPDN用戶認(rèn)證（也稱為二次認(rèn)證）。LNSAAA既可使用專用的服務(wù)器，也可由LNS設(shè)備兼任。撥號(hào)流程圖如下所示：省環(huán)保廳4GVPDN組網(wǎng)方式省環(huán)保廳移動(dòng)辦公系統(tǒng)無(wú)線VPDN通道示意圖如下：需要增加的配置清單：省環(huán)保廳數(shù)據(jù)機(jī)房側(cè)需要增加一臺(tái)LNS路由器，由于和專線電路互聯(lián)。認(rèn)證服務(wù)器可有省環(huán)保廳自備，也可委托電信提供。需要開(kāi)通一條2MCN2專線，從LNS路由器連接至電信機(jī)房。省環(huán)保廳前期已開(kāi)通過(guò)一條CN2專線，可利舊。需要分配一段私網(wǎng)IP地址，作為智能手機(jī)通過(guò)專用通道連接移動(dòng)辦公系統(tǒng)后獲取私網(wǎng)地址。智能手機(jī)配置由于采用了加密的專用通道進(jìn)行數(shù)據(jù)傳輸，智能手機(jī)在首次使用移動(dòng)辦公APP時(shí)，需進(jìn)行APN設(shè)置，設(shè)置步驟如下（以華為MATE7為例）：注意事項(xiàng)：在使用移動(dòng)辦公APP時(shí)，需要將接入點(diǎn)切換至上述設(shè)置的APN上。正常通過(guò)手機(jī)上公網(wǎng)，需將接入點(diǎn)切換回ctlte（大部分終端桌面有快捷鍵進(jìn)行快速切換）?？紤]到安全性，使用移動(dòng)辦公APP時(shí)，不可通過(guò)WIFI方式。配套增值服務(wù)定向流量有了移動(dòng)辦公，手機(jī)流量不夠用？針對(duì)這種擔(dān)憂，中國(guó)電信推出了定向流量包業(yè)務(wù)，可為手機(jī)訪問(wèn)某個(gè)固定IP、固定內(nèi)容等提供專享套餐，提供更為低廉的流量資費(fèi)政策。如環(huán)保廳辦公人員在外使用移動(dòng)辦公APP，固定訪問(wèn)數(shù)據(jù)中心某個(gè)或某幾個(gè)固定IP地址的應(yīng)用，產(chǎn)生的流量將標(biāo)識(shí)為定向流量，按照定向流量資費(fèi)進(jìn)行結(jié)算。后向流量省環(huán)保廳可為所有辦公人員在使用移動(dòng)辦公APP時(shí)產(chǎn)生的流量統(tǒng)一付費(fèi)，不再需要各人支付移動(dòng)辦公APP的流量費(fèi)用。目前電信可提供此類后向流量的統(tǒng)計(jì)、查詢和套餐服務(wù)。點(diǎn)擊撥號(hào)移動(dòng)辦公APP的主要應(yīng)用之一為通信錄，當(dāng)需要和通信錄中成員發(fā)起通話時(shí)，傳統(tǒng)模式為查詢到電話號(hào)碼，手工進(jìn)行撥號(hào)操作，某些手機(jī)具備調(diào)用手機(jī)撥號(hào)盤(pán)代為撥號(hào)功能。該類方式操作比較繁瑣，話費(fèi)由主叫方支付（有時(shí)辦公人員為節(jié)省話費(fèi)使用固定電話進(jìn)行撥號(hào)）。目前電信可提供點(diǎn)擊撥號(hào)業(yè)務(wù)，主要功能如下：1、一鍵撥號(hào)：使用人員只要點(diǎn)擊一鍵撥號(hào)圖標(biāo)，由電信平臺(tái)分別向主叫方、被叫方進(jìn)行呼叫，并自動(dòng)建立連接，不再需要使用人員撥號(hào)。2、話費(fèi)集中計(jì)算：凡是通過(guò)點(diǎn)擊撥號(hào)功能發(fā)起的呼叫，話費(fèi)可統(tǒng)一由環(huán)保廳集中支付。該功能也可在PC的辦公系統(tǒng)中使用。4GQOS保障在信號(hào)忙時(shí)（如大型會(huì)議、演唱會(huì)等人群密集區(qū)域）