APN网络安全技术交流20131015v5

10
APN技术安全性——总体安全保障（2）
•数据专线安全

•无线网络安全
客户内网出口至联通移动网间，采用物理专线进行数据传输，与互联网 隔离，确保数据在全封闭环境内传递，不受影响

WCDMA 来自于军事级扩频技术、快速功率控制将信号隐藏在噪声中， 无法被监听 增强的128位5元组（随机数RAND、期望响应XRES、加密密钥CK、完整 性密钥IK和认证令牌AUTN）鉴权密码算法。 网络以临时识别码（TMSI）给用户在传输信息中屏蔽用户真实身份 128位加密密钥(CK)，通过KASUMI分组加密算法函数f8对数据进行加密 采用信令完整性保护，防止消息被恶意篡改和伪造 提供了双向认证。不但提供基站对移动终端 (MS)的认证，也提供了移动 终端对基站的认证，可有效防止伪基站攻击 接入链路数据加密延伸至无线网络控制器（RNC）； 无线接入网络（ RAN）是运营商的网络，主要负责从无线信号中提取信 息向分组域或电路域转发，数据在其中传输也会有加密，压缩等步骤。 而且 RAN都是底层设备，数据在上层的含义对这些设备来说是抽象的， RAN设备本身不会带来安全隐患。 11 WCDMA安全机制具有可拓展性，可为将来引入新业务提供安全保护措 施
支持客户自建 AAA的接入鉴权方式，实现对每个拨入的号码进行账号和 密码认证，并可捆绑手机串号（IMEI）、手机卡串号（IMSI）、用户名、 密码进行认证， 客户可自行分配IP地址和拨入服务器主机IP地址和域名， 其他人无法知晓 客户可以在其内网部署防火墙或网闸设备，对不同网络间的通信进行限 制或隔离处理，将APN网络系统受外界影响的风险降到最低。 可 叠 加 对 终 端 或 端 对 端 的 加 密 安 全 措 施 、 如 CA 认 证 、 TF 卡 加 密 、 SSL/IPSec VPN加密等 12 可叠加终端及应用管理平台（如华为 HDMP ）措施，综合实现对终端、 网络传输、应用等多方面的安全保障
主动访问核心侧的业务模式。
APN接入方式2——L2TP
MS BSC/RNC
企业网1
SGSN Gn GGSN Gi LNS 防火墙
LAC
LNS
企业网2
PPP协议
L2TP（二层隧道协议）接入方式：
L2TP隧道
需要客户内部网具有能够与联通行业应用 GGSN 互通的物理通路（ APN 专线），并由 GGSN 上的 L2TP访问集中器（ LAC ）与客户专用支持 L2TP 协议路由器（ LNS）为每个 PPP 连接建立L2TP二层隧道。其优点在于用户对于网络控制程度高，具有高安全性，无线侧可 扩展性强，一张 USIM 或 SIM 卡可用于多个无线侧数据设备与核心侧的互联互通业务。但 L2TP需要用户拥有较高的路由交换技术能力，对于L2TP组网有较好的理解，并且对于其自 8
安全性
可扩展性
设备复杂度 可靠性
性能
大流量业务支持较好，小流量业务 与L2TP区别不明显
小流量业务与GRE区别不明显
17
目录
APN 技术原理 APN技术安全性 组网方案对比 业务应用实例
18
业务应用实例——公安移动警务
利用APN接入网络，结合公安无线安全接入平台及终端安全 TF卡/USB卡等加密认证措施，实现 手机、平板、笔记本等移动终端的随时随地办公和执法。
客户内网
2、联通侧对于卡使用的APN是否合法进行判定 3、客户AAA对于用户号码是否合法进行判定； 4、客户AAA对于用户名、密码是否合法进行判定
13
APN技术安全性——L2TP组网方式
• L2TP组网业务安全性
数据通道建立 地市汇聚 路由器或 交换机
GGSN
客户AAA
HLR WCDMA 3G SGSN
防火墙
GRE/L2TP隧道
•核心网安全

提供专享的 APN鉴权接入(只有符合客户专用 APN域名的无线卡才能接入 ，该域名的申请和绑定都需要经过特定流程） 使用专用行业网关GGSN，与互联网GGSN网关互相独立 SGSN和 GGSN基于 PDP（分组数据报文）上下文转发报文，不同客户之 间以及同一客户不同用户之间完全隔离 核心网报文转发全部经过GTP隧道封装，终端和客户网络都无法进入核心 网络 支持 GRE/L2TP隧道接入方式，GGSN可与客户接入路由器间建立 GRE或 L2TP隧道并支持多种安全加密方式
•典型案例：广东省公安厅、广东省边防总队、江门交警、惠州 交警、汕头公安局、揭阳交警……
19
业务应用实例——消防灭火救援指挥系统
在省消防总队同样利用APN接入网络实现了视频、语音、定位数据、消防信息等的交互，大大提 高了灭火救援效率，手机、笔记本等移动办公等系统也得到了好的应用。
APN专网
20
业务应用实例——公安无线视频监控系统
SDH/MSTP
联通基站
L2TP隧道
SGSN根据APN 终端发起激活请求 用户接入路由器完成 GGSN 发起到用户接 查询 DNS 指向 用户业务安全性保障点： APN 与GGSN的PPP协商 并将激活请求 用户激活入路由器的PPP协商 用户名 1、联通侧对卡是否合法进行判定； 并下发地址给终端 发送到GGSN 密码
APN网络安全技术交流
中国联通广东省分公司 2013年10月
目录
APN 技术原理 APN技术安全性 组网方案对比 业务应用实例
2
APN技术简介
简 介 ： APN （ Access Point Name 接 入 点 名 称 ） 网 络 又 称 VPDN(Virtual Private Dialup Networks)网络，是虚拟拨号专网 技术的简称，它是基于拨号用户的虚拟专用网络，利用IP网络的承 载功能，结合相应的认证、加密和授权机制，在公用网络中建立专 用的虚拟数据通信网络。
4
APN技术可靠性
无线接入部分： 1、无线接入不需要铺设铜线或光缆，可以避免道路施工、楼宇装修等损 坏。 2、无线接入容易受环境影响，在弱覆盖或干扰较大的区域稳定性较差。 • 核心网络部分： 1、核心网网络设备全部是双平面配置，可以保证任何一台设备故障都不 中断业务。 2、SGSN、GGSN部署POOL，可以实现设备级冗余。 • 客户网络部分： 1、客户可根据需要选择租用一条或多条专线。如果租用多条专线，可以 配置负荷分担或主备链路。 •
APN技术安全性——GRE组网方式
• GRE组网业务安全性
数据通道建立 地市汇聚 路由器或 交换机
GGSN
客户AAA
HLR WCDMA 3G SGSN
SDH/MSTP
联通基站
GRE隧道
GGSN 客户 判断是否需要 AAA根据 SGSN根据APN 终端发起激活请求 进行RADIUS 号码、用户名、密码 认证， 查询DNS指向 APN 用户业务安全性保障点： 进行认证，并反馈 RADIUS 并将激活请求 用户激活 是否需要 用户名 下发地址 给GGSN 发送到GGSN 1、联通侧对卡是否合法进行判定； 密码
网络结构简单 数据安全
可扩展性 网络稳定性 应用范围
使用成本
6
APN接入方式1——GRE
客户AAA
HLR WCDMA 3G SGSN GGSN
地市汇聚 路由器或 交换机
SDH/MSTP
BSS
GRE隧道
客户内网
GRE（通用路由封装）接入方式： 需要客户内部网具有能够与联通行业应用GGSN互通的物理通路（APN专线），是对某些 网络层协议（如IP和IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络 层协议（如IP）中传输，即在GGSN与客户路由器间建立GRE隧道。其优点在于实施便捷 ，对用户设备要求较低，具有较高的安全性。但 GRE 无线侧可扩展性有限，一张 USIM 或 SIM卡只能用于一个无线侧数据设备与核心侧的互联互通，或仅用于多个无线侧数据设备7
APN网络结构图示
VLR HLR 智 能 终 端
客户AAA 业务平台 联通APN专线
联通WCDMA 3G网络 GGSN 联通基站 SGSN
路由器
防火墙
路由器
百度文库
移动终端区
移动通信网
移动接入 管理区
业务平台区
• 终端：可以是手机、笔记本、无线Modem等，根据客户不同的需求选用不同的终端。 • GGSN：网关GPRS支持节点, 起网关作用，和不同数据网络连接。客户通过WCDMA网络接入到GGSN， GGSN判断是APN用户，向指定的客户侧路由器发起GRE/L2TP连接，可分配IP地址。 • SGSN：GPRS服务支持节点，主要完成分组数据包的路由转发、移动性管理、会话管理、逻辑链路管理、 鉴权和加密、话单产生和输出等功能 • HLR：归属位置寄存器。保存的是用户的基本信息，并负责对客户的域名进行鉴权认证。 • VLR：拜访者位置寄存器。保存的是用户的动态信息和状态信息，以及从HLR下载的用户的签约信息。 • 专线：通常采用物理专线（如MSTP/SDH），此专线将联通的WCDMA网关和客户侧路由器连接起来。 • 客户侧路由器：需支持GRE/L2TP协议，要与GGSN建立GRE/L2TP隧道 • 客户AAA服务器：又称客户Radius，用于认证、授权，实现对拨号用户名、密码和IP地址的管理，此服务 器为可选配置，用于提高网络的安全性。
15
目录
APN 技术原理 APN技术安全性 组网方案对比 业务应用实例
16
组网方案对比
• GRE隧道方式与L2TP隧道方式技术实现对比
组网方式
网络特性
GRE隧道方式
1、可以使用RADIUS认证 2、地址绑定联通或用户侧实现 3、RADIUS消息中仅携带用户号码 一个无线终端仅对应一个 IP 设备时 ，才可以实现用户核心侧主动访问 这些IP设备 1 、 大多数工业用路由器、部分防 火墙均支持该功能 2 、业务支持度高，吞吐能力仅决 定于设备处理带宽 支持多隧道备份
L2TP隧道方式
1、可以使用RADIUS认证 2、地址绑定只在用户侧实现 3、用户号码或IMSI中任意一个 一个无线终端下挂多个 IP 设备，并 可以实现用户核心侧主动访问这些 IP设备 1 、 大多数工业用路由器、部分防 火墙支持该功能 2 、业务支持度取决于路由器性能 ，吞吐能力与设备所支持会话数密 切相关 支持多隧道备份
身网络及网络规划有清晰的了解。
目录
APN 技术原理 APN技术安全性 组网方案对比 业务应用实例
9
APN技术安全性——总体安全保障（1）
客户AAA 客户业务平台 HLR 路由器 WCDMA 3G 联通基站 移动终端区 移动通信网 SGSN GGSN APN专线 路由器 移动接入管理区 业务平台区
APN技术安全性——总体安全保障（3）
华为HDMP 管理平台 客户AAA 客户业务平台 安全TF卡 HLR 路由器 WCDMA 3G 安全TF卡 移动终端区 联通基站 移动通信网 SGSN GGSN APN专线 路由器 移动接入管理区 业务平台区 防火墙
GRE/L2TP隧道
•叠加安全措施


利用第三代移动通信网络，APN可作为远程访问和网络互联的高效低价 、快速、安全可靠的解决方案，集灵活性、安全性、经济性以及可扩展性 于一身，可充分满足政府、企业分支机构、移动办公安全通信的需求，已 成为一项相当普及的网络业务。
3
APN网络拓扑
实质：利用无线资源替代部分有线资源，构建用户数据通信网络。
5
组网方案对比
APN技术与传统专线业务对比
1 、 APN 技术只需要一条能够联通 GGSN与用户核心机房专线即可 。 2、APN技术也可以使用传统VPN的 相关安全策略。 3、用户新增外围通信节点无需新增 物理线路。 4、无线网络状况决定APN技术的稳 定性。 5 、传统 VPN 可以使用的均可引入 APN 6、APN总体使用成本比专线组网低 网络特性对比 APN技 术 传统VPN
客户内网
2、联通侧对于卡使用的APN是否合法进行判定 用户自行将认证消息由路由器转向RADIUS后: 3、客户AAA对于用户号码或IMSI是否合法进行判定（路由器无法使用该项） 4、客户AAA对于用户名、密码是否合法进行判定
14
APN技术测评
目前，中国联通 APN 专网 （即 VPDN 专网）的安全认 证通过“国家信息安全认证 中心”测评，并取得《信息 系统安全测评证书》（信息 系统安全保障级二级）。