APN网络安全技术简介
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
身网络及网络规划有清晰的了解。
目录
APN 技术原理 APN技术安全性 组网方案对比 业务应用实例
9
APN技术安全性——总体安全保障(1)
客户AAA 客户业务平台 HLR 路由器 防火墙
WCDMA 3G
联通基站 移动终端区 移动通信网 SGSN GGSN APN专线 路由器 移动接入管理区 使用的APN是否合法进行判定 用户自行将认证消息由路由器转向RADIUS后: 3、客户AAA对于用户号码或IMSI是否合法进行判定(路由器无法使用该项) 4、客户AAA对于用户名、密码是否合法进行判定
14
APN技术测评
目前,中国联通 APN 专网 (即 VPDN 专网)的安全认
客户内网
2、联通侧对于卡使用的APN是否合法进行判定 3、客户AAA对于用户号码是否合法进行判定; 4、客户AAA对于用户名、密码是否合法进行判定
13
APN技术安全性——L2TP组网方式
• L2TP组网业务安全性
数据通道建立 地市汇聚 路由器或 交换机
GGSN
客户AAA
HLR WCDMA 3G SGSN
•典型案例:广东省公安厅、广东省边防总队、江门交警、惠州 交警、汕头公安局、揭阳交警……
19
业务应用实例——消防灭火救援指挥系统
在省消防总队同样利用APN接入网络实现了视频、语音、定位数据、消防信息等的交互,大大提 高了灭火救援效率,手机、笔记本等移动办公等系统也得到了好的应用。
APN专网
20
业务应用实例——公安无线视频监控系统
APN技术安全性——总体安全保障(3)
华为HDMP 管理平台 客户AAA 客户业务平台 安全TF卡 HLR 路由器 WCDMA 3G 安全TF卡 移动终端区 联通基站 移动通信网 SGSN GGSN APN专线 路由器 移动接入管理区 业务平台区 防火墙
GRE/L2TP隧道
主动访问核心侧的业务模式。
APN接入方式2——L2TP
MS BSC/RNC
企业网1
SGSN Gn GGSN Gi LNS 防火墙
LAC
LNS
企业网2
PPP协议
L2TP(二层隧道协议)接入方式:
L2TP隧道
需要客户内部网具有能够与联通行业应用 GGSN 互通的物理通路( APN 专线),并由 GGSN 上的 L2TP访问集中器( LAC )与客户专用支持 L2TP 协议路由器( LNS)为每个 PPP 连接建立L2TP二层隧道。其优点在于用户对于网络控制程度高,具有高安全性,无线侧可 扩展性强,一张 USIM 或 SIM 卡可用于多个无线侧数据设备与核心侧的互联互通业务。但 L2TP需要用户拥有较高的路由交换技术能力,对于L2TP组网有较好的理解,并且对于其自 8
L2TP隧道方式
1、可以使用RADIUS认证 2、地址绑定只在用户侧实现 3、用户号码或IMSI中任意一个 一个无线终端下挂多个 IP 设备,并 可以实现用户核心侧主动访问这些 IP设备 1 、 大多数工业用路由器、部分防 火墙支持该功能 2 、业务支持度取决于路由器性能 ,吞吐能力与设备所支持会话数密 切相关 支持多隧道备份
GRE/L2TP隧道
•核心网安全
提供专享的APN鉴权接入(只有符合客户专用APN域名的无线卡才能接入 ,该域名的申请和绑定都需要经过特定流程) 使用专用行业网关GGSN,与互联网GGSN网关互相独立 SGSN和 GGSN基于PDP(分组数据报文)上下文转发报文,不同客户之 间以及同一客户不同用户之间完全隔离 核心网报文转发全部经过GTP隧道封装,终端和客户网络都无法进入核心 网络 支持GRE/L2TP 隧道接入方式, GGSN可与客户接入路由器间建立GRE或 L2TP隧道并支持多种安全加密方式
网络结构简单 数据安全
可扩展性 网络稳定性 应用范围
使用成本
6
APN接入方式1——GRE
客户AAA
HLR WCDMA 3G SGSN GGSN
地市汇聚 路由器或 交换机
SDH/MSTP
BSS
GRE隧道
客户内网
GRE(通用路由封装)接入方式: 需要客户内部网具有能够与联通行业应用 GGSN互通的物理通路(APN专线),是对某些 网络层协议(如IP和IPX)的数据报进行封装,使这些被封装的数据报能够在另一个网络 层协议(如IP)中传输,即在GGSN与客户路由器间建立GRE隧道。其优点在于实施便捷 ,对用户设备要求较低,具有较高的安全性。但 GRE 无线侧可扩展性有限,一张 USIM 或 SIM卡只能用于一个无线侧数据设备与核心侧的互联互通,或仅用于多个无线侧数据设备7
。 在省技术侦察局及省内包括佛山、深圳等几个公安局都使用 APN接入网络进行3G无线视频监控
5
组网方案对比
APN技术与传统专线业务对比
1 、 APN 技术只需要一条能够联通 GGSN与用户核心机房专线即可 。 2、APN技术也可以使用传统VPN的 相关安全策略。 3、用户新增外围通信节点无需新增 物理线路。 4、无线网络状况决定APN技术的稳 定性。 5 、传统 VPN 可以使用的均可引入 APN 6、APN总体使用成本比专线组网低 网络特性对比 APN技 术 传统VPN
SDH/MSTP
联通基站
L2TP隧道
SGSN根据APN 终端发起激活请求 用户接入路由器完成 GGSN 发起到用户接 查询 DNS 指向 用户业务安全性保障点: APN 与GGSN的PPP协商 并将激活请求 用户激活 入路由器的PPP协商 用户名 1、联通侧对卡是否合法进行判定; 并下发地址给终端 发送到GGSN 密码
APN网络安全技术简介
中国联通
目录
APN 技术原理 APN技术安全性 组网方案对比 业务应用实例
2
APN技术简介
简 介 : APN ( Access Point Name 接 入 点 名 称 ) 网 络 又 称 VPDN(Virtual Private Dialup Networks)网络,是虚拟拨号专网 技术的简称,它是基于拨号用户的虚拟专用网络,利用IP网络的承 载功能,结合相应的认证、加密和授权机制,在公用网络中建立专
4
APN技术可靠性
无线接入部分: 1、无线接入不需要铺设铜线或光缆,可以避免道路施工、楼宇装修等损 坏。 2、无线接入容易受环境影响,在弱覆盖或干扰较大的区域稳定性较差。 • 核心网络部分: 1、核心网网络设备全部是双平面配置,可以保证任何一台设备故障都不 中断业务。 2、SGSN、GGSN部署POOL,可以实现设备级冗余。 • 客户网络部分: 1、客户可根据需要选择租用一条或多条专线。如果租用多条专线,可以 配置负荷分担或主备链路。 •
安全性
可扩展性 设备复杂度
可靠性 性能
小流量业务与GRE区别不明显
17
目录
APN 技术原理 APN技术安全性 组网方案对比 业务应用实例
18
业务应用实例——公安移动警务
利用APN接入网络,结合公安无线安全接入平台及终端安全 TF卡/USB卡等加密认证措施,实现 手机、平板、笔记本等移动终端的随时随地办公和执法。
用的虚拟数据通信网络。
利用第三代移动通信网络,APN可作为远程访问和网络互联的高效低价 、快速、安全可靠的解决方案,集灵活性、安全性、经济性以及可扩展性 于一身,可充分满足政府、企业分支机构、移动办公安全通信的需求,已 成为一项相当普及的网络业务。
3
APN网络拓扑
实质:利用无线资源替代部分有线资源,构建用户数据通信网络。
•叠加安全措施
支持客户自建 AAA的接入鉴权方式,实现对每个拨入的号码进行账号和 密码认证,并可捆绑手机串号(IMEI)、手机卡串号(IMSI)、用户名、 密码进行认证, 客户可自行分配IP地址和拨入服务器主机IP地址和域名, 其他人无法知晓 客户可以在其内网部署防火墙或网闸设备,对不同网络间的通信进行限 制或隔离处理,将APN网络系统受外界影响的风险降到最低。 可 叠 加 对 终 端 或 端 对 端 的 加 密 安 全 措 施 、 如 CA 认 证 、 TF 卡 加 密 、 SSL/IPSec VPN加密等 12 可叠加终端及应用管理平台(如华为 HDMP )措施,综合实现对终端、 网络传输、应用等多方面的安全保障
10
APN技术安全性——总体安全保障(2)
•数据专线安全 •无线网络安全 WCDMA 来自于军事级扩频技术、快速功率控制将信号隐藏在噪声中, 无法被监听 增强的128位5元组(随机数RAND、期望响应XRES、加密密钥CK、完整 性密钥IK和认证令牌AUTN)鉴权密码算法。 网络以临时识别码(TMSI)给用户在传输信息中屏蔽用户真实身份 128位加密密钥(CK),通过KASUMI分组加密算法函数f8对数据进行加密 采用信令完整性保护,防止消息被恶意篡改和伪造 提供了双向认证。不但提供基站对移动终端(MS)的认证,也提供了移动 终端对基站的认证,可有效防止伪基站攻击 接入链路数据加密延伸至无线网络控制器(RNC); 无线接入网络( RAN)是运营商的网络,主要负责从无线信号中提取信 息向分组域或电路域转发,数据在其中传输也会有加密,压缩等步骤。 而且 RAN都是底层设备,数据在上层的含义对这些设备来说是抽象的, RAN设备本身不会带来安全隐患。 11 WCDMA 安全机制具有可拓展性,可为将来引入新业务提供安全保护措 施 客户内网出口至联通移动网间,采用物理专线进行数据传输,与互联网 隔离,确保数据在全封闭环境内传递,不受影响
证通过“国家信息安全认证
中心”测评,并取得《信息 系统安全测评证书》(信息
系统安全保障级二级)。
15
目录
APN 技术原理 APN技术安全性 组网方案对比 业务应用实例
16
组网方案对比
• GRE隧道方式与L2TP隧道方式技术实现对比
组网方式
网络特性
GRE隧道方式
1、可以使用RADIUS认证 2、地址绑定联通或用户侧实现 3、RADIUS消息中仅携带用户号码 一个无线终端仅对应一个 IP 设备时 ,才可以实现用户核心侧主动访问 这些IP设备 1 、 大多数工业用路由器、部分防 火墙均支持该功能 2 、业务支持度高,吞吐能力仅决 定于设备处理带宽 支持多隧道备份 大流量业务支持较好,小流量业务 与L2TP区别不明显
APN技术安全性——GRE组网方式
• GRE组网业务安全性
数据通道建立 地市汇聚 路由器或 交换机
GGSN
客户AAA
HLR WCDMA 3G SGSN
SDH/MSTP
联通基站
GRE隧道
GGSN 客户 判断是否需要 AAA根据 SGSN根据APN 终端发起激活请求 进行RADIUS 号码、用户名、密码 认证, 查询DNS指向 APN 用户业务安全性保障点: 进行认证,并反馈 RADIUS 并将激活请求 用户激活 是否需要 用户名 下发地址 给GGSN 发送到GGSN 1、联通侧对卡是否合法进行判定; 密码
APN网络结构图示
VLR HLR 智 能 终 端
客户AAA 业务平台 联通APN专线
联通WCDMA 3G网络 GGSN 联通基站 SGSN
路由器
防火墙
路由器
移动终端区
移动通信网
移动接入 管理区
业务平台区
• 终端:可以是手机、笔记本、无线Modem等,根据客户不同的需求选用不同的终端。 • GGSN:网关GPRS支持节点, 起网关作用,和不同数据网络连接。客户通过WCDMA网络接入到GGSN, GGSN判断是APN用户,向指定的客户侧路由器发起GRE/L2TP连接,可分配IP地址。 • SGSN:GPRS服务支持节点,主要完成分组数据包的路由转发、移动性管理、会话管理、逻辑链路管理、 鉴权和加密、话单产生和输出等功能 • HLR:归属位置寄存器。保存的是用户的基本信息,并负责对客户的域名进行鉴权认证。 • VLR:拜访者位置寄存器。保存的是用户的动态信息和状态信息,以及从HLR下载的用户的签约信息。 • 专线:通常采用物理专线(如MSTP/SDH),此专线将联通的WCDMA网关和客户侧路由器连接起来。 • 客户侧路由器:需支持GRE/L2TP协议,要与GGSN建立GRE/L2TP隧道 • 客户AAA服务器:又称客户Radius,用于认证、授权,实现对拨号用户名、密码和IP地址的管理,此服务 器为可选配置,用于提高网络的安全性。