APN网络安全技术简介

内部资料,注意保密,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,APN,网络安全技术简介,中国联通,目录,APN,技术原理,APN,技术安全性,组网方案对比,业务应用实例,2,APN技术简介,简介：,APN,（,Access Point Name,接入点名称）网络又称,VPDN(VirtualPrivateDialupNetworks),网络，是虚拟拨号专网技术的简称，它是基于拨号用户的,虚拟专用网络,，利用,IP,网络的承载功能，结合相应的认证,、加密,和授权机制，在公用网络中建立专用的虚拟数据通信网络。,3,利用第三代移动通信网络，,APN,可,作为远程访问和网络互联的高效低价、,快速、,安全可靠的解决方案，集灵活性、安全性、经济性以及可扩展性于一身，可充分满足,政府、,企业分支机构、移动办公安全通信的需求，已成为一项相当普及的网络业务。,APN,网络结构图示,APN网络拓扑,实质：,利用无线资源替代部分有线资源，构建用户数据通信网络。,4,终端：,可以是手机、笔记本、无线,Modem,等，根据客户不同的需求选用不同的终端。,GGSN,：,网关,GPRS,支持节点,起网关作用，和不同数据网络连接。,客户通过,WCDMA,网络,接入到,GGSN,，,GGSN,判断是,APN,用户，向指定的客户侧路由器发起,GRE/L2TP,连接，可分配,IP,地址。,SGSN,：,GPRS,服务支持节点，主要完成分组数据包的路由转发、移动性管理、会话管理、逻辑链路管理、鉴权和加密、话单产生和输出等功能,HLR,：,归属位置寄存器。保存的是用户的基本信息，并负责对客户的域名进行鉴权认证。,VLR,：,拜访者,位置寄存器,。保存的是用户的动态信息和状态信息，以及从,HLR,下载的用户的签约信息。,专线：,通常采用,物理,专线（,如,MSTP/SDH,），此专线将联通的,WCDMA,网关和客户侧路由器连接起来。,客户侧路由器：,需支持,GRE/L2TP,协议，要与,GGSN,建立,GRE/L2TP,隧道,客户,AAA,服务器：,又称客户,Radius,，,用于认证、授权，实现对拨号用户名、密码和,IP,地址的管理，此服务器为可选配置，用于提高网络的安全性。,APN技术可靠性,无线接入部分：,1,、无线接入不需要铺设铜线或光缆，可以避免道路施工、楼宇装修等损坏。,2,、无线接入容易受环境影响，在弱覆盖或干扰较大的区域稳定性较差。,核心网络部分：,1,、核心网网络设备全部是双平面配置，可以保证任何一台设备故障都不中断业务。,2,、,SGSN,、,GGSN,部署,POOL,，可以实现设备级冗余。,客户网络部分：,1,、客户可根据需要选择租用一条或多条专线。如果租用多条专线，可以配置负荷分担或主备链路。,5,组网方案对比,使用成本,应用范围,网络稳定性,可扩展性,数据安全,网络结构简单,传统,VPN,APN,技术,网络特性对比,1,、,APN,技术只需要一条能够联通,GGSN,与用户核心机房专线即可。,2,、,APN,技术也可以使用传统,VPN,的相关安全策略。,3,、用户新增外围通信节点无需新增物理线路。,4,、无线网络状况决定,APN,技术的稳定性。,5,、传统,VPN,可以使用的均可引入,APN,6,、,APN,总体使用成本比专线组网低,APN,技术与传统专线业务对比,6,APN接入方式1GRE,GRE,（通用路由封装）接入方式：,需要客户内部网具有能够与联通行业应用,GGSN,互通的物理通路（,APN,专线），,是对某些网络层协议（如,IP,和,IPX,）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如,IP,）中传输，即,在,GGSN,与客户路由器间建立,GRE,隧道。其优点在于实施便捷，对用户设备要求较低，具有较高的安全性。但,GRE,无线侧可扩展性有限，一张,USIM,或,SIM,卡只能用于一个无线侧数据设备与核心侧的互联互通，或仅用于多个无线侧数据设备主动访问核心侧的业务模式。,7,客户内网,GGSN,SGSN,HLR,BSS,地市汇聚路由器或交换机,GRE,隧道,SDH/MSTP,WCDMA,3G,客户,AAA,APN接入方式2L2TP,L2TP,（二层隧道协议）接入方式：,需要客户内部网具有能够与联通行业应用,GGSN,互通的物理通路（,APN,专线），并由,GGSN,上的,L2TP,访问集中器（,LAC,）与客户专用支持,L2TP,协议路由器（,LNS,）为每个,PPP,连接建立,L2TP,二层隧道。其优点在于用户对于网络控制程度高，具有高安全性，无线侧可扩展性强，一张,USIM,或,SIM,卡可用于多个无线侧数据设备与核心侧的互联互通业务。但,L2TP,需要用户拥有较高的路由交换技术能力，对于,L2TP,组网有较好的理解，并且对于其自身网络及网络规划有清晰的了解。,8,APN,技术原理,APN,技术安全性,组网方案对比,业务应用实例,目录,9,提供,专享的,APN,鉴权接入,(,只有符合客户专用,APN,域名的无线卡才能接入，该域名的申请和绑定都需要经过特定流程）,使用,专用行业网关,GGSN,，与互联网,GGSN,网关互相独立,SGSN,和,GGSN,基于,PDP,（分组数据报文）上下文转发报文，不同客户之间以及同一客户不同用户之间完全隔离,核心网报文转发全部经过,GTP,隧道封装，终端和客户网络都无法进入核心网络,支持,GRE/L2TP,隧道接入方式,，,GGSN,可,与,客户,接入路由器间建立,GRE,或,L2TP,隧道,并支持多种安全加密方式,核心网安全,APN技术安全性总体安全保障（1）,10,GGSN,SGSN,HLR,联通基站,GRE/L2TP,隧道,APN,专线,WCDMA,3G,客户,AAA,移动终端区,移动通信网,移动接入管理区,业务平台区,防火墙,客户业务平台,路由器,路由器,客户内网出口至联通移动网间，采用,物理专线,进行数据传输，,与互联网隔离,，确保数据在全封闭环境内传递，不受影响,数据专线安全,WCDMA,来自于军事级扩频技术、快速功率控制将信号隐藏在噪声中，,无法被监听,增强的,128,位,5,元组（随机数,RAND,、期望响应,XRES,、加密密钥,CK,、完整性密钥,IK,和认证令牌,AUTN,）鉴权密码算法,。,网络以临时识别码（,TMSI,）给用户在传输信息中,屏蔽用户真实身份,128,位加密密钥,(CK),，通过,KASUMI,分组加密算法函数,f8,对数据进行加密,采用信令完整性保护，,防止消息被恶意篡改和伪造,提供了,双向认证,。不但提供基站对移动终端,(MS),的认证，也提供了移动终端对基站的认证，可有效防止伪基站攻击,接入链路,数据加密延伸至无线网络控制器,（,RNC,）；,无线接入网络（,RAN,）是运营商的网络，主要负责从无线信号中提取信息向分组域或电路域转发，数据在其中传输也会有加密，压缩等步骤。而且,RAN,都是底层设备，数据在上层的含义对这些设备来说是抽象的，,RAN,设备本身不会带来安全隐患。,WCDMA,安全机制具有可拓展性,，,可,为将来引入新业务提供安全保护措施,无线网络安全,APN技术安全性总体安全保障（2）,11,APN技术安全性总体安全保障（3）,12,支持客户自建,AAA,的接入鉴权方式，实现对每个拨入的号码进行账号和密码认证，并,可捆绑手机串号（,IMEI,）、手机卡串号（,IMSI,）、用户名、密码进行认证,，客户,可自行分配,IP,地址,和拨入服务器主机,IP,地址和域名，其他人无法知晓,客户,可以在其内网部署防火墙或网闸设备,，对不同网络间的通信进行限制或隔离处理，将,APN,网络系统受外界影响的风险降到最低。,可,叠加对终端或端对端的加密安全措施,、如,CA,认证、,TF,卡加密、,SSL/IPSec VPN,加密等,可叠加终端及应用管理平台（如华为,HDMP,）措施，综合实现对终端、网络传输、应用等多方面的安全保障,GGSN,SGSN,HLR,联通基站,GRE/L2TP,隧道,APN,专线,WCDMA,3G,客户,AAA,移动终端区,移动通信网,移动接入管理区,业务平台区,防火墙,华为,HDMP,管理平台,客户业务平台,路由器,路由器,叠加安全措施,安全,TF,卡,安全,TF,卡,APN技术安全性GRE组网方式,GRE组网业务安全性,GGSN,SGSN,客户内网,HLR,联通基站,地市汇聚路由器或交换机,GRE,隧道,SDH/MSTP,WCDMA,3G,终端发起激活请求,APN,用户名,密码,SGSN,根据,APN,查询,DNS,指向,并将激活请求,发送到,GGSN,GGSN,判断是否需要,进行,RADIUS,认证，,是否需要,RADIUS,下发地址,客户,AAA,根据,号码、用户名、密码,进行认证，并反馈,给,GGSN,用户激活,用户业务安全性保障点：,1,、联通侧对卡是否合法进行判定；,2,、联通侧对于卡使用的,APN,是否合法进行判定,3,、客户,AAA,对于用户号码是否合法进行判定；,4,、客户,AAA,对于用户名、密码是否合法进行判定,数据通道建立,13,客户,AAA,GGSN,SGSN,客户内网,HLR,联通基站,L2TP,隧道,SDH/MSTP,WCDMA,3G,APN技术安全性L2TP组网方式,地市汇聚路由器或交换机,L2TP组网业务安全性,终端发起激活请求,APN,用户名,密码,SGSN,根据,APN,查询,DNS,指向,并将激活请求,发送到,GGSN,GGSN,发起到用户接,入路由器的,PPP,协商,用户接入路由器完成,与,GGSN,的,PPP,协商,并下发地址给终端,用户激活,用户业务安全性保障点：,1,、联通侧对卡是否合法进行判定；,2,、联通侧对于卡使用的,APN,是否合法进行判定,用户自行将认证消息由路由器转向,RADIUS,后,:,3,、客户,AAA,对于用户号码或,IMSI,是否合法进行判定（路由器无法使用该项）,4,、客户,AAA,对于用户名、密码是否合法进行判定,数据通道建立,14,客户,AAA,APN技术测评,15,目前，中国联通,APN,专网（即,VPDN,专网）,的安全认证通过,“,国家信息安全认证中心,”测评,，并取得,信息系统安全测评证书,（信息系统,安全保障,级,二级,）,。,APN,技术原理,APN,技术安全性,组网方案对比,业务应用实例,目录,16,组网方案对比,1,、,大多数工业用路由器、部分防火墙支持该功能,2,、业务支持度取决于路由器性能，吞吐能力与设备所支持会话数密切相关,1,、,大多数工业用路由器、部分防火墙均支持该功能,2,、业务支持度高，吞吐能力仅决定于设备处理带宽,设备复杂度,一个无线终端下挂多个,IP,设备，并可以实现用户核心侧主动访问这些,IP,设备,一个无线终端仅对应一个,IP,设备时，才可以实现用户核心侧主动访问这些,IP,设备,可扩展性,1,、可以使用,RADIUS,认证,2,、地址绑定只在用户侧实现,3,、用户号码或,IMSI,中任意一个,1,、可以使用,RADIUS,认证,2,、地址绑定联通或用户侧实现,3,、,RADIUS,消息中仅携带用户号码,安全性,L2TP,隧道方式,GRE,隧道方式,组网方式,网络特性,GRE,隧道方式与,L2TP,隧道方式技术实现对比,17,支持多隧道备份,支持多隧道备份,可靠性,小流量业务与,GRE,区别不明显,大流量业务支持较好，小流量业务与,L2TP,区别不明显,性能,APN,技术原理,APN,技术安全性,组网方案对比,业务应用实例,目录,18,业务应用实例公安移动警务,19,典型案例：广东省公安厅、广东省边防总队、江门交警、惠州交警、汕头公安局、揭阳交警,利用,APN,接入网络，结合公安无线安全接入平台及终端安全,TF,卡,/USB,卡等加密认证措施，实现手机、平板、笔记本等移动终端的随时随地办公和执法。,20,业务应用实例消防灭火救援指挥系统,在省消