《APN接入系统资料》由会员分享,可在线阅读,更多相关《APN接入系统资料(18页珍藏版)》请在金锄头文库上搜索。
1、China unicpmi&IEKLfl联通APN资料Chinaunicorn中国联通中国联合网络通信有限公司广西壮族自治区分公司集团客户事业部二O二年二月diirraiuriicPfni&ElHiS联通APN资料、安全设计原则:安全设计是对APN接入给警务、银行等特殊系统时考虑的重点因素,也是系统设计 中最为重要的一环,但安全隐患除了技术因素,也包含很多人为因素,管理因素。要做 到对用户数据的全面保护,安全设计就从来不是孤立的,而是从各个层次的全面保障。所以本系统方案在设计之初,就分别从业务层面、用户层面、系统层面、网络层面、 外部层面多方面,考虑并设计安全方案。以下分别从各方面一一介绍。二
2、、 终端客户对接APN网络拓朴:AAA认Sun TSOOO巾畀6&SNNeTscrefnisg52DM三、客户手持式设备系统业务流程:客户手持终端发起PDP激活请求,并带上APN;1、SGSN收到终端的激活请求后,检查激活请求的合法性,如果合法则向GGSN请求PDP激活;2、GGSN收到PDP激活请求后,根据APN分析需要对用户进行认证/IP地址分配的Radius服务器,由Radius服务器对用户进行认证;(radius可绑定MSISDN号)3、如果认证成功,GGSN返回PDP激活应答给SGSN; SGSN反馈激活应答消息;4、终端收到激活成功应答后,完成IP地址配置等,开始通信。通信请求经S
3、GSN到GGSN;5、GGSN发起到相应企业的VPN连接。该隧道由GGSN发起,经省中心汇聚交换机、 地市接入交换机,终结到企业路由器。6、通信请求经该隧道接入到企业网内,实现终端与企业的通信。参见下图:PORTALLRWAP业务流隧道协议流管理业务流认证流四、用户层面安全保障GRE隧道vpimPortalInternetPortal1、专用的APN与互连网是完全隔离的,每个企业采用的是单独的APN隧道,用户必 须凭APN名称才可拨入,并访问企业。(例如:广西银商使用的APN号可以设计为 GXYS. GXAPN)2、用户拨入APN,必须通过AAA进行身份验证,非法用户无法接入,并且用户名与 手
4、机号及MSISDN号进行绑定,MSISDN号是联通系统里面唯一的,一个卡只有一个, 并且无法复制。3、安全绑定MSISDN与域名绑定关系维护a. MSISDN与域名绑定关系增加局方管理员通过营业系统的局端开户功能,新增企业域用户,录入此域名绑定的一个或 多个MSISDN号码;资料保存到数据库中b. MSISDN与域名绑定关系修改局方管理员通过营业系统局端的用户资料修改功能,修改/删除某个域名绑定的MSISDN号码列表;资料保存到数据库中企业管理员通过营业系统企业端的用户资料修改功能,修改本企业域绑定的MSISDN 号码列表;资料保存到数据库中c. MSISDN与域名绑定关系查询局方管理员通过营
5、业系统局端的用户信息查询功能,查询某个域名绑定的MSISDN号 码列表企业管理员通过营业系统企业端的用户资料修改功能,查询本企业域绑定的MSISDN 号码列表 MSISDN与域名绑定关系验证过程a. 在GPRS APN上网PPP连接建立过程中,GGSN获取拨号手机的MSISDN号码, 并发送给 GGSN Radius Serverb. GGSN Radius Server根据GGSN设备型号,从请求消息中解析出拨号终端的MSISDN 号码c. GGSN Radius Server连接数据库,查询此企业域绑定的MSISDN号码列表d. 若此企业域作了 MSISDN号码绑定,且拨号终端的MSISD
6、N号码不在绑定列表中, 则认证失败;若此企业域未作MSISDN号码绑定或拨号终端的IMSI号码在绑定列表中, 则认证完成; MSISDN与IP地址绑定功能实现a. MSISDN与IP绑定关系维护企业端管理员通过营业系统企业端的MSISDN与IP绑定维护功能,设置,修改或删除 某个MSISDN号码绑定的IP地址,已被绑定的IP地址将不能被再次绑定,一个MSISDN号码只能绑定一个IP地址;资料保存到数据库中b. MSISDN与IP绑定关系查询企业管理员通过营业系统企业端的MSISDN与IP绑定关系查询,查询某个MSISDN号 码绑定的IP地址,或某个IP地址对应的MSISDN号码 GPRS AP
7、N上网IP地址分配过程a. 在GPRS APN上网PPP连接建立过程中,GGSN获取拨号手机的MSISDN号码, 在用户认证请求和PPP参数中发送给GGSNb. GGSN将MSISDN号码作为一个Radius属性在认证请求中发送给GGSN Radius Serverc. GGSN Radius Server查询数据库,获得此MSISDN绑定的IP地址,在响应中返回 给 GGSNd. 若认证通过,则GGSN将此地址分配给拨号终端MSISDN与时间段的绑定 MSISDN与时间段绑定关系维护a. MSISDN与时间绑定关系维护企业端管理员通过营业系统企业端的MSISDN与时间段绑定维护功能,设置、修
8、改或 删除某个MSISDN号码绑定的时间段,一个MSISDN号允许绑定多个时间段;资料保 存到数据库中b. MSISDN与时间段绑定关系查询企业管理员通过营业系统企业端的MSISDN与时间段绑定关系查询,查询某个MSISDN号码绑定的时间段列表 GPRS APN上网时间段验证过程a.在GPRS APN上网PPP连接建立过程中,GGSN获取拨号手机的MSISDN号码, 在用户认证请求和PPP参数中发送给GGSNb. GGSN将MSISDN号码作为一个Radius属性在认证请求中发送给GGSN Radius Serverc. GGSN Radius Server查询数据库,获得此MSISDN绑定的
9、时间段列表,在响应中返 回给GGSNd. 若MSISDN在绑定时间段列表中,则认证通过五、系统层面安全保障AAA平台中对于安全的防范内容包括:非法访问、入侵、作弊(管理员作弊与用户作 弊)、不稳定运行、防灾等。安全性:为保障AAA平台系统能对整个网络系统的正常维护 和监控,必须在各个环节上提供安全措施防止非法侵入及非授权访问,避免控制信息丢失, 被篡改,导致维护和监控不能正常进行。采用的安全措施涉及以下五个方面:1、认证授权安全流程a)内建的NAS-RADIUS协议密钥安全性b)用户密码不可逆加密后的存储与传输(可选)c)授权机制拒绝非法用户的登录2、管理安全a)管理员权限:通过分级权限控制机
10、制,使得不同的管理员执行不同的工作。对管理 员访问的限制属性是多方位的(帐号/ 口令/IP/时间等等)b)操作界面安全:充分利用WEB服务器和浏览器本身的安全功能,如WEB页面不 可回退等机制,实现操作界面的安全。c)敏感操作的安全提示和操作记录(无须打开审计开关,系统自动记录)。d)充分利用操作系统级别和数据库级别的安全特性,如系统文件的执行权限和用户访 问特定表的权限控制等等。3、审计a)内建审计开关对系统操作进行记录unrcpvni&EiMLgb)事后审查故障和安全事故原因4、数据备份与恢复a)提供定期日常备份b)灾难恢复5、业务规程安全a)各个业务密码同步问题(用户EMAIL密码被攻破
11、将使入侵者得到上网密码,因此 不应当强制用户将这两个密码同步)b)特定的业务操作流程来防止用户进行非法操作。六、网络设备层面安全保障提供认证、授权、计费及防火墙等功能,根据不同的用户权限提供有差别的接入 服务,流量控制,确保网络运行的安全。1、在GGSN与企业之间增加了防火墙,可对用户访问权限进行控制。并且对企业内部 网络形成保护。2、对所有的网络设备进行安全防护,只有指定IP授权后才可维护这些网络资源。3、AAA服务器增加了防火墙,只允许有指定用户访问AAA管理系统。4、支持隧道认证、通过绑定IMSI方式防止盗用帐号保证隧道数据的安全性;5、支持GRE绑定关系的手工建立;6、支持PAP、CH
12、AP验证用户口令;7、基于用户的访问控制UCL/ACL;可以防止病毒攻击;8、用户联接数限制,防止用户私接用户、网络病毒;9、防止DOS拒绝服务攻击;10、网管口令和接入限制。11、防止针对BGATE1030-VRP的大流量数据攻击。Chino unicgmailDM广西联通APN资料12、可以不同VR的用户相互访问,通过ACL也可以禁止同一 VR中用户相互访七、BSS营帐上的操作说明集团选产品界面位置:客户评价管理-集团维系部分-集团业务受理-集团管理-集团选产品unicomct国噪H |:心 |宙F瞬前督It苦口圧就坯| F1旳TH |苦!=锻另思iairaf | ABliT苦H | 乐r
13、* | :噢慕廿S1回口回-KSva-菽B9HPEF艮增-正耳团工戸审口 tMitl*事:HIP产晶-afflntsfl-FTrf-mlUllr-mfflKSitBrjf*nntKHva 3 2 4 ftIDKB BHi| n*FWffl -.-. flOWP、. S*ARM -.rffum 田:ERd:! .足JRffiX.DBn4i 住K flQKPEI_U Il asEFMHZHpTPSIF-ATTPCEftptutzj1g.口範EMU.BBH.口竹衽p0K尸 1rs王 flawKsn1理池田JRfflX-.DQiSJRffiT.DV.!b.iGIEiHK;*.乃事ftAJEffsa-IfcAiEMifl斗1u得1見否上力p甲 ISESSUI:ATD1axtwsfrH工车顷UftJBH工车就扣轩ZlRffiT.a-|ii1ii-:轄和-is*(a-HPti质;D3WWE*se-方 Eiktt匚xtaTEU 3EM J Cftlf.AEFH 31:1 督養g t縮SER*fl H输入总部编码,点击查询,点击集团信息:善尸65匕IM 耐1号彌,ffliUHB鼻豪册尸.乘团百承K-越团雷显町卿H齧軒制$ 空 e 血 slLIJnpl
