APN络安全技术简介.ppt

《APN络安全技术简介.ppt》由会员分享，可在线阅读，更多相关《APN络安全技术简介.ppt（23页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中国联通中国联通目录目录APN技术简介技术简介简介：简介：APNAPN（Access Point Name Access Point Name 接入点名称）网络又称接入点名称）网络又称VPDN(VirtualPrivateDialupNetworks)VPDN(VirtualPrivateDialupNetworks)网络，是虚拟拨号专网网络，是虚拟拨号专网技术的简称，它是基于拨号用户的技术的简称，它是基于拨号用户的虚拟专用网络虚拟专用网络，利用，利用IPIP网络的承网络的承载功能，结合相应的认证载功能，结合相应的认证、加密、加密和授权机制，在公用网络中建立专和授权机制，在公用网络中建立专用的

2、虚拟数据通信网络。用的虚拟数据通信网络。 利用第三代移动通信网络，APN可作为远程访问和网络互联的高效低价、快速、安全可靠的解决方案，集灵活性、安全性、经济性以及可扩展性于一身，可充分满足政府、企业分支机构、移动办公安全通信的需求，已成为一项相当普及的网络业务。APN网络结构图示网络结构图示APN网络拓扑网络拓扑实质：实质：利用无线资源替代部分有线资源，构建用户数据通信网络。利用无线资源替代部分有线资源，构建用户数据通信网络。终端：终端：可以是手机、笔记本、无线可以是手机、笔记本、无线Modem等，根据客户不同的需求选用不同的终端。等，根据客户不同的需求选用不同的终端。GGSN：网关网关GPR

3、S支持节点支持节点, 起网关作用，和不同数据网络连接。起网关作用，和不同数据网络连接。客户通过客户通过WCDMA网络网络接入到接入到GGSN，GGSN判断是判断是APN用户，向指定的客户侧路由器发起用户，向指定的客户侧路由器发起GRE/L2TP连接，可分配连接，可分配IP地址。地址。SGSN：GPRS服务支持节点，主要完成分组数据包的路由转发、移动性管理、会话管理、逻辑链路管理服务支持节点，主要完成分组数据包的路由转发、移动性管理、会话管理、逻辑链路管理、鉴权和加密、话单产生和输出等功能、鉴权和加密、话单产生和输出等功能HLR：归属位置寄存器。保存的是用户的基本信息，并负责对客户的域名进行鉴权

4、认证。归属位置寄存器。保存的是用户的基本信息，并负责对客户的域名进行鉴权认证。VLR：拜访者拜访者位置寄存器位置寄存器。保存的是用户的动态信息和状态信息，以及从。保存的是用户的动态信息和状态信息，以及从HLR下载的用户的签约信息。下载的用户的签约信息。专线：专线：通常采用通常采用物理物理专线（专线（如如MSTP/SDH），此专线将联通的），此专线将联通的WCDMA网关和客户侧路由器连接起来。网关和客户侧路由器连接起来。客户侧路由器：客户侧路由器：需支持需支持GRE/L2TP协议，要与协议，要与GGSN建立建立GRE/L2TP隧道隧道客户客户AAA服务器：服务器：又称客户又称客户Radius，用

5、于认证、授权，实现对拨号用户名、密码和用于认证、授权，实现对拨号用户名、密码和IP地址的管理，此服地址的管理，此服务器为可选配置，用于提高网络的安全性。务器为可选配置，用于提高网络的安全性。APN技术可靠性技术可靠性无线接入部分：无线接入部分： 1、无线接入不需要铺设铜线或光缆，可以避免道路施工、楼宇装修等损、无线接入不需要铺设铜线或光缆，可以避免道路施工、楼宇装修等损坏。坏。 2、无线接入容易受环境影响，在弱覆盖或干扰较大的区域稳定性较差。、无线接入容易受环境影响，在弱覆盖或干扰较大的区域稳定性较差。核心网络部分：核心网络部分： 1、核心网网络设备全部是双平面配置，可以保证任何一台设备故障都

6、不、核心网网络设备全部是双平面配置，可以保证任何一台设备故障都不中断业务。中断业务。 2、SGSN、GGSN部署部署POOL，可以实现设备级冗余。，可以实现设备级冗余。客户网络部分：客户网络部分： 1、客户可根据需要选择租用一条或多条专线。如果租用多条专线，可以、客户可根据需要选择租用一条或多条专线。如果租用多条专线，可以配置负荷分担或主备链路。配置负荷分担或主备链路。组网方案对比组网方案对比使用成本使用成本应用范围应用范围网络稳定性网络稳定性可扩展性可扩展性 数据安全数据安全 网络结构简网络结构简单单传统传统VPNAPN技技术术网络特性对比网络特性对比1、APN技术只需要一条能够联通技术只需

7、要一条能够联通GGSN与用户核心机房专线即可与用户核心机房专线即可。2、APN技术也可以使用传统技术也可以使用传统VPN的的相关安全策略。相关安全策略。3、用户新增外围通信节点无需新增、用户新增外围通信节点无需新增物理线路。物理线路。4、无线网络状况决定、无线网络状况决定APN技术的稳技术的稳定性。定性。5、传统、传统VPN可以使用的均可引入可以使用的均可引入APN6、APN总体使用成本比专线组网低总体使用成本比专线组网低APN技术与传统专线业务对比技术与传统专线业务对比APN接入方式接入方式1GREGREGRE（通用路由封装）接入方式：（通用路由封装）接入方式：n 需要客户内部网具有能够与联

8、通行业应用需要客户内部网具有能够与联通行业应用GGSNGGSN互通的物理通路（互通的物理通路（APNAPN专线），专线），是对某些是对某些网络层协议（如网络层协议（如IP和和IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如层协议（如IP）中传输，即）中传输，即在在GGSNGGSN与客户路由器间建立与客户路由器间建立GREGRE隧道。其优点在于实施便捷隧道。其优点在于实施便捷，对用户设备要求较低，具有较高的安全性。但，对用户设备要求较低，具有较高的安全性。但GREGRE无线侧可扩展性有限，一张无线侧可扩展性有限，一张

9、USIMUSIM或或SIMSIM卡只能用于一个无线侧数据设备与核心侧的互联互通，或仅用于多个无线侧数据设备卡只能用于一个无线侧数据设备与核心侧的互联互通，或仅用于多个无线侧数据设备主动访问核心侧的业务模式。主动访问核心侧的业务模式。客户内网客户内网 GGSNSGSNHLRBSS地市汇聚地市汇聚路由器或路由器或交换机交换机GREGRE隧道隧道SDH/MSTPWCDMA3G客户客户AAAAPN接入方式接入方式2L2TPL2TPL2TP（二层隧道协议）接入方式：（二层隧道协议）接入方式：n 需要客户内部网具有能够与联通行业应用需要客户内部网具有能够与联通行业应用GGSNGGSN互通的物理通路（互通的

10、物理通路（APNAPN专线），并由专线），并由GGSNGGSN上的上的L2TPL2TP访问集中器（访问集中器（LACLAC）与客户专用支持）与客户专用支持L2TPL2TP协议路由器（协议路由器（LNSLNS）为每个）为每个PPPPPP连接建立连接建立L2TPL2TP二层隧道。其优点在于用户对于网络控制程度高，具有高安全性，无线侧可二层隧道。其优点在于用户对于网络控制程度高，具有高安全性，无线侧可扩展性强，一张扩展性强，一张USIMUSIM或或SIMSIM卡可用于多个无线侧数据设备与核心侧的互联互通业务。但卡可用于多个无线侧数据设备与核心侧的互联互通业务。但L2TPL2TP需要用户拥有较高的路由

11、交换技术能力，对于需要用户拥有较高的路由交换技术能力，对于L2TPL2TP组网有较好的理解，并且对于其自组网有较好的理解，并且对于其自身网络及网络规划有清晰的了解。身网络及网络规划有清晰的了解。目录目录n提供提供专享的专享的APNAPN鉴权接入鉴权接入( (只有符合客户专用只有符合客户专用APNAPN域名的无线卡才能接入域名的无线卡才能接入，该域名的申请和绑定都需要经过特定流程），该域名的申请和绑定都需要经过特定流程）n使用使用专用行业网关专用行业网关GGSNGGSN，与互联网，与互联网GGSNGGSN网关互相独立网关互相独立nSGSNSGSN和和GGSNGGSN基于基于PDPPDP（分组数据

12、报文）上下文转发报文，不同客户之（分组数据报文）上下文转发报文，不同客户之间以及同一客户不同用户之间完全隔离间以及同一客户不同用户之间完全隔离n核心网报文转发全部经过核心网报文转发全部经过GTPGTP隧道封装，终端和客户网络都无法进入核心隧道封装，终端和客户网络都无法进入核心网络网络n支持支持GRE/L2TPGRE/L2TP隧道接入方式隧道接入方式，GGSNGGSN可可与与客户客户接入路由器间建立接入路由器间建立GREGRE或或L2TPL2TP隧道隧道并支持多种安全加密方式并支持多种安全加密方式核心网安全核心网安全APN技术安全性技术安全性总体安全保障（总体安全保障（1）GGSNSGSNHLR

13、联通基站联通基站GRE/L2TPGRE/L2TP隧道隧道APN专线专线WCDMA3G客户客户AAA移动终端区移动终端区移动通信网移动通信网移动接入管理区移动接入管理区业务平台区业务平台区防火墙防火墙客户业务平台客户业务平台路由器路由器路由器路由器n客户内网出口至联通移动网间，采用客户内网出口至联通移动网间，采用物理专线物理专线进行数据传输，进行数据传输，与互联网与互联网隔离隔离，确保数据在全封闭环境内传递，不受影响，确保数据在全封闭环境内传递，不受影响数据专线安全数据专线安全nWCDMAWCDMA来自于军事级扩频技术、快速功率控制将信号隐藏在噪声中，来自于军事级扩频技术、快速功率控制将信号隐藏

14、在噪声中，无法被监听无法被监听n增强的增强的128128位位5 5元组（随机数元组（随机数RANDRAND、期望响应、期望响应XRESXRES、加密密钥、加密密钥CKCK、完整、完整性密钥性密钥IKIK和认证令牌和认证令牌AUTNAUTN）鉴权密码算法）鉴权密码算法。n网络以临时识别码（网络以临时识别码（TMSITMSI）给用户在传输信息中）给用户在传输信息中屏蔽用户真实身份屏蔽用户真实身份n128128位加密密钥位加密密钥(CK)(CK)，通过，通过KASUMIKASUMI分组加密算法函数分组加密算法函数f8f8对数据进行加密对数据进行加密n采用信令完整性保护，采用信令完整性保护，防止消息被

15、恶意篡改和伪造防止消息被恶意篡改和伪造n提供了提供了双向认证双向认证。不但提供基站对移动终端。不但提供基站对移动终端(MS)(MS)的认证，也提供了移动的认证，也提供了移动终端对基站的认证，可有效防止伪基站攻击终端对基站的认证，可有效防止伪基站攻击n接入链路接入链路数据加密延伸至无线网络控制器数据加密延伸至无线网络控制器（RNCRNC）；）；n无线接入网络（无线接入网络（RANRAN）是运营商的网络，主要负责从无线信号中提取信）是运营商的网络，主要负责从无线信号中提取信息向分组域或电路域转发，数据在其中传输也会有加密，压缩等步骤。息向分组域或电路域转发，数据在其中传输也会有加密，压缩等步骤。而

16、且而且RANRAN都是底层设备，数据在上层的含义对这些设备来说是抽象的，都是底层设备，数据在上层的含义对这些设备来说是抽象的，RANRAN设备本身不会带来安全隐患。设备本身不会带来安全隐患。nWCDMAWCDMA安全机制具有可拓展性安全机制具有可拓展性，可可为将来引入新业务提供安全保护措为将来引入新业务提供安全保护措施施无线网络安全无线网络安全APN技术安全性技术安全性总体安全保障（总体安全保障（2）APN技术安全性技术安全性总体安全保障（总体安全保障（3）n支持客户自建支持客户自建AAAAAA的接入鉴权方式，实现对每个拨入的号码进行账号和的接入鉴权方式，实现对每个拨入的号码进行账号和密码认证

17、，并密码认证，并可捆绑手机串号（可捆绑手机串号（IMEIIMEI）、手机卡串号（）、手机卡串号（IMSIIMSI）、用户名、）、用户名、密码进行认证密码进行认证， 客户客户可自行分配可自行分配IPIP地址地址和拨入服务器主机和拨入服务器主机IPIP地址和域名地址和域名，其他人无法知晓，其他人无法知晓n客户客户可以在其内网部署防火墙或网闸设备可以在其内网部署防火墙或网闸设备，对不同网络间的通信进行限，对不同网络间的通信进行限制或隔离处理，将制或隔离处理，将APNAPN网络系统受外界影响的风险降到最低。网络系统受外界影响的风险降到最低。n可可叠加对终端或端对端的加密安全措施叠加对终端或端对端的加密

18、安全措施、如、如CACA认证、认证、TFTF卡加密、卡加密、SSL/SSL/IPSecIPSec VPN VPN加密等加密等n可叠加终端及应用管理平台（如华为可叠加终端及应用管理平台（如华为HDMPHDMP）措施，综合实现对终端、）措施，综合实现对终端、网络传输、应用等多方面的安全保障网络传输、应用等多方面的安全保障GGSNSGSNHLR联通基站联通基站GRE/L2TPGRE/L2TP隧道隧道APN专线专线WCDMA3G客户客户AAA移动终端区移动终端区移动通信网移动通信网移动接入管理区移动接入管理区业务平台区业务平台区防火墙防火墙华为华为HDMP管理平台管理平台客户业务平台客户业务平台路由器

19、路由器路由器路由器叠加安全措施叠加安全措施安全安全TF卡卡安全安全TF卡卡APN技术安全性技术安全性GRE组网方式组网方式GRE组网业务安全性组网业务安全性GGSNSGSN客户内网客户内网 HLR联通基站联通基站地市汇聚地市汇聚路由器或路由器或交换机交换机GREGRE隧道隧道SDH/MSTPWCDMA3G终端发起激活请求终端发起激活请求APN用户名用户名密码密码SGSN根据根据APN查询查询DNS指向指向并将激活请求并将激活请求发送到发送到GGSNGGSN判断是否需要判断是否需要进行进行RADIUS认证，认证，是否需要是否需要RADIUS下发地址下发地址客户客户AAA根据根据号码、用户名、密码

20、号码、用户名、密码进行认证，并反馈进行认证，并反馈给给GGSN用户激活用户激活用户业务安全性保障点：用户业务安全性保障点：1 1、联通侧对卡是否合法进行判定；、联通侧对卡是否合法进行判定；2 2、联通侧对于卡使用的、联通侧对于卡使用的APNAPN是否合法进行判定是否合法进行判定3 3、客户、客户AAAAAA对于用户号码是否合法进行判定；对于用户号码是否合法进行判定；4 4、客户、客户AAAAAA对于用户名、密码是否合法进行判定对于用户名、密码是否合法进行判定数据通道建立数据通道建立客户客户AAAGGSNSGSN客户内网客户内网 HLR联通基站联通基站L2TPL2TP隧道隧道SDH/MSTPWC

21、DMA3GAPN技术安全性技术安全性L2TP组网方式组网方式地市汇聚地市汇聚路由器或路由器或交换机交换机L2TP组网业务安全性组网业务安全性终端发起激活请求终端发起激活请求APN用户名用户名密码密码SGSN根据根据APN查询查询DNS指向指向并将激活请求并将激活请求发送到发送到GGSNGGSN发起到用户接发起到用户接入路由器的入路由器的PPP协商协商用户接入路由器完成用户接入路由器完成与与GGSN的的PPP协商协商并下发地址给终端并下发地址给终端用户激活用户激活用户业务安全性保障点：用户业务安全性保障点：1 1、联通侧对卡是否合法进行判定；、联通侧对卡是否合法进行判定；2 2、联通侧对于卡使用

22、的、联通侧对于卡使用的APNAPN是否合法进行判定是否合法进行判定用户自行将认证消息由路由器转向用户自行将认证消息由路由器转向RADIUSRADIUS后后: :3 3、客户、客户AAAAAA对于用户号码或对于用户号码或IMSIIMSI是否合法进行判定（路由器无法使用该项）是否合法进行判定（路由器无法使用该项）4 4、客户、客户AAAAAA对于用户名、密码是否合法进行判定对于用户名、密码是否合法进行判定数据通道建立数据通道建立客户客户AAAAPN技术测评技术测评 目前，中国联通目前，中国联通APNAPN专网专网（即（即VPDNVPDN专网）专网）的安全认的安全认证通过证通过“国家信息安全认证国家

23、信息安全认证中心中心”测评测评，并取得，并取得信息信息系统安全测评证书系统安全测评证书（信息（信息系统系统安全保障安全保障级级二级二级）。目录目录组网方案对比组网方案对比1、大多数工业用路由器、部分防火墙支持该功能2、业务支持度取决于路由器性能，吞吐能力与设备所支持会话数密切相关1、大多数工业用路由器、部分防火墙均支持该功能2、业务支持度高，吞吐能力仅决定于设备处理带宽设备复杂度设备复杂度一个无线终端下挂多个IP设备，并可以实现用户核心侧主动访问这些IP设备一个无线终端仅对应一个IP设备时，才可以实现用户核心侧主动访问这些IP设备可扩展性可扩展性1、可以使用RADIUS认证2、地址绑定只在用户

24、侧实现3、用户号码或IMSI中任意一个1、可以使用RADIUS认证2、地址绑定联通或用户侧实现3、RADIUS消息中仅携带用户号码安全性安全性L2TP隧道方式隧道方式GRE隧道方式隧道方式组网方式组网方式网络特性网络特性GRE隧道方式与隧道方式与L2TP隧道方式技术实现对比隧道方式技术实现对比支持多隧道备份支持多隧道备份可靠性可靠性小流量业务与GRE区别不明显大流量业务支持较好，小流量业务与L2TP区别不明显性能性能目录目录业务应用实例业务应用实例公安移动警务公安移动警务典型案例：广东省公安厅、广东省边防总队、江门交警、惠州典型案例：广东省公安厅、广东省边防总队、江门交警、惠州交警、汕头公安局

25、、揭阳交警交警、汕头公安局、揭阳交警 利用APN接入网络，结合公安无线安全接入平台及终端安全TF卡/USB卡等加密认证措施，实现手机、平板、笔记本等移动终端的随时随地办公和执法。业务应用实例业务应用实例消防灭火救援指挥系统消防灭火救援指挥系统 在省消防总队同样利用APN接入网络实现了视频、语音、定位数据、消防信息等的交互，大大提高了灭火救援效率，手机、笔记本等移动办公等系统也得到了好的应用。APN专网专网实时监控、录像回放对讲定位、记录报警、联动双向安全通道双向安全通道业务应用实例业务应用实例公安无线视频监控系统公安无线视频监控系统 在省技术侦察局及省内包括佛山、深圳等几个公安局都使用APN接入网络进行3G无线视频监控。业务应用实例业务应用实例省武警总队可视化指挥平台省武警总队可视化指挥平台 在广东省武警总队的可视化指挥平台实现了PTT对讲终端与指挥中心实时的视频、语音、定位数据、文本信息等的交互，其中也使用APN网络接入。