中国联通移动警务解决方案

中国联通移动警务解决方案中国联通移动警务解决方案中国联通广东省分公司产品创新部2010 年 10 月 目 录1方案背景方案背景.32移动警务需求移动警务需求.32.1移动警务需求 .32.1.1警务综合查询.32.1.2警务取证上报.52.1.3交警移动执法.52.1.4警务无线 OA.62.1.5警务信息发布.62.1.6位置服务.63移动警务解决方案移动警务解决方案.73.1公安信息移动接入及应用系统建设要求.73.1.1系统组成.73.1.2系统总体架构.83.2中国联通移动警务总体解决方案.93.3移动警务系统的部署.103.4移动警务应用平台 .113.4.1警务信息查询.113.4.2警务取证上报.133.4.3交警移动执法.143.4.4警务无线 OA.153.4.5警务信息发布.163.4.6位置服务.173.5移动警务网络对接方式.183.6安全平台 .183.6.1安全平台的建设原则.193.6.2移动接入安全需求.19 中国联通移动警务系统解决方案23.6.3安全体系结构.203.6.4安全体系功能.213.6.5硬件设备要求.233.7移动通信网络系统 .233.7.1联通网络.233.7.2VPDN 网络.234服务支撑服务支撑.264.1主要支撑工作内容 .264.2支撑合作单位 .264.2.1北京天舟通信有限公司.264.2.2大唐电信科技股份有限公司 .27 中国联通移动警务系统解决方案31 方案背景方案背景公安机关是国家的重要组成部分，不仅承担着户政、交通、消防、特种行业、国籍、出入境等重要事务，还担负着防恐应急处理，保护国家财产和人民生命安全的重要职责，工作职能尤为关键，责任极其重大。因此，通过信息化手段，实时掌握社会治安情况、交通信息、警力部署情况对于公安机关提高执法水平与管理效率十分必要。由于公安部门工作的移动性、突发性、紧迫性等特点，如果广大民警在移动执行侦破案件、抓捕逃犯、核查车辆、打击和预防犯罪时，能够及时地利用公安部门内部的警务信息来辅助破案和执行公务，必将极大地提高公安干警的高科技办案水平和效率。因此建立移动警务系统已成为当前“科技强警”工作的重要内容，也是金盾工程的主要建设内容之一。移动警务具有安全、可靠、高速、使用方便、投资少见效快和不受网络地域限制的特点，可以成功运用于公安系统各个警种、并且可以实现跨警种信息共享和综合业务处理。移动警务终端支持精确查询，模糊查询，关联查询、现场罚单打印、现场信息录入、紧急呼叫等多种移动警务功能，并具有中文手写输入 、无线传输（GPRSWCDMA（3G） ） 、移动办公软件和 GPS 定位等功能。可在几秒钟内快速搜索、查找车辆、驾驶员、全国在逃、公安法规 、社区警务信息，也可以节省大量的无线数据连结的费用。2 移动警务需求移动警务需求2.12.1移动警务需求移动警务需求2.1.1警务综合查询警务综合查询公安干警需要通过移动终端对各类公安业务信息进行查询和检索，这些信息主要包括（例举）： 中国联通移动警务系统解决方案4全国在逃人员信息查询常住人口信息查询暂住人口信息查询嫌疑人员信息查询出租房主信息查询重点人口信息查询失踪人员信息查询监管人员信息查询工作对象信息查询违法人员信息查询人员信息查询从业人员信息查询一般物品信息查询出租房屋信息查询自行车信息查询被盗自行车信息查询物品信息查询被盗车辆信息查询治安案件信息查询刑事案件信息查询案件信息查询警情信息查询辖区单位信息查询公共场所信息查询内保单位信息查询民爆单位信息查询枪支单位信息查询剧毒化学品单位信息查询涉外单位信息查询机构信息查询涉案单位信息查询 中国联通移动警务系统解决方案5特种行业信息查询机动车辆信息查询驾驶员信息查询交通管理信息查询驾驶员违章信息查询其他信息查询输入的查询条件包括姓名、条码、证件号码、身份证号码或者车牌号码等，系统应能够返回人员、车辆的详细信息及其彩色照片。2.1.2警务取证上报警务取证上报出警执法是公安干警的重要工作内容，公安干警需要在脱离了内网信息服务环境的执法现场，完成各种执法工作。这些执法工作包括：1）可以采用先进的可拍照手机和无线打印设备，现场拍照、取证，打印有效单证，并将现场图片、视频等信息通过移动通信网络传送到公安机关数据库。2）出租户身份证查验、犯罪嫌疑人指纹采集和比对、小型旅店业管理等工作。3）居民户籍资料更新。取证上报需求包括如下信息的采集：暂住人口信息采集出租房屋信息采集可疑人员信息采集特殊行业信息采集2.1.3交警移动执法交警移动执法交警需要专业的执法终端，通过无线网络，实时查询和检索车辆、驾驶员信息、违章信息，并可进行违章现场的处理。交警移动执法需求包括如下功能： 中国联通移动警务系统解决方案6处罚记分拒签操作重新打印罚单2.1.4警务无线警务无线 OA摆脱时间和空间的限制，通过无线网络实现 OA 办公是也是公安部门的重要需求。警务无线 OA 的需求包括：短信群发语音群发文档共享单位公告会议通知日程提醒彩信通缉令2.1.5警务信息发布警务信息发布公安机关需要将各类警务信息及时高效地统一发布到警员，这些警务信息主要包含：警务报道协查通报机构动态通知通告2.1.6位置服务位置服务及时准确地掌握公安干警和机动车辆的位置信息对于公安指挥调度工作至关重要,公安机关对位置信息服务有很多迫切的需求,如：当发生突发情况，执 中国联通移动警务系统解决方案7法干警需要了解自己周围同伴的位置进行协同作战。3 移动警务解决方案移动警务解决方案3.13.1公安信息移动接入及应用系统建设要求公安信息移动接入及应用系统建设要求2008 年 11 月，公安部向全国各省公安厅下发公安信息移动应用系统建设技术指导书 ，对系统组成和总体架构提出如下指导意见：3.1.1系统组成系统组成公安信息移动接入及应用系统由移动终端、移动通信网络、移动接入网、网络安全隔离层、公安信息网等五大部分组成。公安信息移动接入及应用系统组成示意图公安信息移动接入及应用系统组成示意图移动终端包括智能手机、具备无线功能的 PDA、便携电脑、车载移动设备等可移动的智能终端；移动通信网为各种公共移动通信网或公安专用移动通信网；移动接入网由移动接入服务平台和移动应用服务平台组成，实现移动安全接入及移动应用服务；安全隔离层是采用经国家保密部门认证并由公安部有关部门同意使用的安全隔离产品；公安信息网为移动应用提供信息和服务支持。 中国联通移动警务系统解决方案83.1.2系统总体架构系统总体架构公安信息移动接入及应用系统总体架构公安信息移动接入及应用系统总体架构第一层是公安信息移动应用的使用者所使用移动设备，包括手机、PDA、车载移动设备、便携电脑等各种移动终端设备。第二层是移动通信网络，包括各种公网，如 GPRS、CDMA 等，并支持向 3G网络平滑过渡。第三层是移动应用接入平台，负责警务移动终端的安全接入，同时将移动终端的各种业务请求传递到接入网的应用服务平台，并转换成网络安全隔离设备要求的数据格式，提交给网络安全隔离设备，进入公安内网的应用服务平台实现直接访问服务，同时还提供身份验证、安全审计、防病毒、入侵检测等网络安全服务。第四层是放在移动接入网内的移动应用服务平台，位于网络安全隔离层外，由网络安全隔离数据接口、移动接入服务平台数据接口、统一移动终端验证、用户身份认证代理、数据包封装/解析、会话管理、安全审计、数据接口、服务接口、系统管理等功能模块构成，负责处理来自移动接入平台的移动应用请求 中国联通移动警务系统解决方案9的转递和应答。第五层是网络安全隔离层，它使得公安信息网与移动接入网在任何一个时刻都不会直接相互连接。它在实现公安信息网和移动接入网的隔离的同时，还负责公安信息网和移动接入网之间的数据传递和转发。第六层是放在公安信息网内的移动应用服务平台和移动数据同步模块。位于网络安全隔离层内，移动应用服务平台响应并处理来自移动接入网的移动应用请求，移动数据同步模块向外网应用数据库提供数据。移动应用服务平台依托各类公安信息应用系统，共同完成各种移动业务的处理。公安信息移动接入及应用系统也可通过请求服务或者数据接口的方式获得公安信息网内已有应用系统的服务支持。第七层是应用支撑平台，它是面向应用程序的，是为应用系统提供运行环境。应用支撑平台中的认证系统对用户提供统一认证，实现一点登录全网漫游。第八层是系统运行环境：包括计算机网络、主机、数据库、应用中间件环境，它为公安公网移动接入及应用系统提供了物理上的保证。图中左、右、中三部分分别为安全保障体系、运行管理体系和标准规范体系，它们始终贯穿于该图的各个层面。对各层面的访问操作、运行管理、开发设计进行有效的控制和规范，保证和维护各个层次正常有序地工作。3.23.2中国联通移动警务总体解决方案中国联通移动警务总体解决方案根据公安信息系统的建设现状和需求，结合公安信息移动接入及应用系统建设技术指导书要求，联通移动警务整体解决方案主要包含：移动警务应用平台系统、安全平台系统、移动通信网络系统以及智能终端。移动警务应用平台是建立在公安数据中心现有各类信息资源或是现有 WEB信息系统基础上，实现公安内网现有业务到移动智能终端的业务应用。 安全平台解决移动终端通过公用移动通信网络接入移动警务应用平台访问公安信息网的安全接入问题以及移动接入网与公安信息网的安全隔离问题，为开放环境下的移动应用提供安全支撑。 中国联通移动警务系统解决方案10移动智能终端，安装移动警务客户端软件，通过WCDMA/GPRS网络接入移动警务应用平台。中国联通移动通信网络是移动警务的无线承载网络，考虑到移动警务对移动通信网络的高安全性要求，联通移动警务采用 VPDN 专网承载。3.33.3移动警务系统的部署移动警务系统的部署根据公安信息移动接入及应用系统建设技术指导书要求，移动警务系统由部、省、市三级系统构成。部级系统依托公安部信息中心，省级系统依托省级公安机关信息中心，地市级系统根据本地实际情况建设。省级系统的建设分三种情况：第一种是全省只建设一套移动警务系统（含安全平台和移动警务应用平台） ，用于本省各地市警务终端的移动安全接入服务和移动应用服务；第二种是在省厅和地市分别建设独立的系统（含安全平台和移动警务应用平台） ，本省各地市警务终端的安全接入服务和移动应用服务分别在各地市安全平台和移动警务应用平台进行；第三种是全省建立一套安全平台，各地市建设独立的移动警务应用平台，各地市公安干警的移动安全接入服务从省级安全平台接入，通过专网接入本地市移动警务应用平台。 中国联通移动警务系统解决方案113.43.4移动警务应用平台移动警务应用平台移动警务应用平台是建立在公安数据中心现有各类信息资源基础上，实现公安内网现有业务到移动智能终端的移动信息化应用。移动警务应用平台由网络安全隔离数据接口、安全平台接入服务数据接口、统一移动终端验证、用户身份认证代理、数据包封装/解析、会话管理、安全审计、数据接口、服务接口、系统管理等功能模块构成，响应并处理来自移动接入网的移动应用请求。并依托各类公安信息应用系统，共同完成各种移动业务的处理。平台可灵活加载应用模块，主要功能包括：3.4.1警务信息查询警务信息查询系统提供丰富的警务信息查询功能，方便民警随时随地查询各类警务信息，为民警执法提供准确的办案依据。以下各类查询功能需要市公安局协调后提供数据查询接口，下面对各种查询信息进行详细的阐述。3.4.1.1人员信息查询人员信息查询 办案民警通过登录系统可以查询各类人员信息，方便快捷，易于使用。办案民警只需要输入姓名、身份证号码等情况即可查询的相关人员的详细信息及其彩色照片。具体可以查询的信息共分为一下七种。 全国在逃人员信息查询 常住人口信息查询 暂住人口信息查询 嫌疑人员信息查询 出租房主信息查询 失踪人员信息查询 违法人员信息查询 中国联通移动警务系统解决方案12 网吧信息查询 旅馆信息查询3.4.1.2案件信息查询案件信息查询 除了人员信息以外，系统还提供案件信息的查询功能，为办案民警提供准确的办案依据。案件信息查询共分为三种。 治安案件信息查询 刑事案件信息查询 警情信息查询3.4.1.3交通管理信息查询交通管理信息查询 交通管理信息查询是协助交警办案的功能模块，交通警察可以通过这里查询车辆以及驾驶员信息。 机动车辆信息查询 驾驶员信息查询 被盗车辆信息查询 中国联通移动警务系统解决方案133.4.2警务取证上报警务取证上报 出警执法是公安干警的重要工作内容，公安干警需要在脱离了内网信息服务环境的执法现场完成各种执法工作，现场取证、指纹采集、信息采集等操作需要利用 3G 移动网络来完成。警务取证上报平台提供以下功能供公安干警使用，协助办案。3.4.2.1现场拍照取证现场拍照取证使用 3G 可拍照手机和无线打印设备，现场拍照、取证、打印有效单据，并将现场图片、处理信息通过移动通信网络传送到公安机关数据库。 中国联通移动警务系统解决方案143.4.2.2警务信息采集警务信息采集 警务信息采集公安民警对出租户、暂住人口、小型旅店业管理等工作，数据由民警通过手机录入，再经过移动通信网络传送到公安机关数据库中。 暂住人口信息采集 出租房屋信息采集 可疑人员信息采集 特殊行业信息采集3.4.3交警移动执法交警移动执法利用“警务通系统” ，一线执勤民警可以实现多种业务的自动化处理，一方面可以实时将相关采集的信息传递到公安网内部的业务数据库中，另一方面可以利用微型打印机现场快速打印出业务处理通知书，结果自动上传，从而大大提高业务处理的速度和效率。交警现场执法需要专业的执法终端，通过 3G 网络，实时查询和检索车辆、驾驶员信息、违章记录，并可以进行违章现场的处理。交警移动执法包裹如下功能： 处罚积分 拒签操作 重新打印罚单 中国联通移动警务系统解决方案153.4.4警务无线警务无线 OA 无线 OA 也可称为“3A 办公”，即办公人员可在任何时间（Anytime） 、任何地点（Anywhere）处理与业务相关的任何事情 （Anything） 。这种全新的办公模式，可以让办公人员摆脱时间和空间的束缚。单位信息可以随时随地通畅地进行交互流动，工作将更加轻松有效，整体运 作更加协调。警务通的无线 OA采用 3G-WCDMA 手机作为用户终端，利用联通快速稳定的 3G 网络，实现以下功能： 短信群发 可按时间，范围群发短信，内容可以为日常信息，突发状况，人员调度信息等。 单位公告 公告由系统管理员或信息发布员录入，警员通过使用手机登录平台，可获得最新的公告信息。 会议通知 可结合短信群发实现主动提醒。 彩信通缉令 中国联通移动警务系统解决方案16将嫌犯照片，图像等多媒体信息以彩信方式发送给办案人员。 3.4.5警务信息发布警务信息发布公安机关需要将各类警务信息及时高效地统一发布到警员，这些警务信息主要包含： 警务报道 协查通报 通知通告系统将建立统一的信息发布平台，信息经录入后，可以以被动方式在手机终端查看，也可以通过短信，彩信方式主动发送，使一线警员在执勤时能准确，有效掌握最新信息。 中国联通移动警务系统解决方案173.4.6位置服务位置服务定位业务要开展得理想应具备 3 个要素：满足业务需求的定位精度、最小的网络成本投人和最大的用户覆盖范围。目前可以实现定位功能的技术有：GPS全球定位系统、移动运营网络定位(基站定位)、移动辅助定位（A-GPS） 、GPSone 定位技术。就目前来说，GPS 全球定位系统应用最为成熟、广泛，市场上可以选择的产品和种类也很多。而本次采用的华为 8220WCDMA 手机内置了 GPS 芯片，故在公安移动警务系统版本中也将采用 GPS 定位技术。通过融入 GPS 定位: 警员能确定自己所在的位置及自己周围同伴的位置进行协同作战 警员能知道自己团队在线伙伴所在的位置； 指挥中心能确定团队在线成员的位置，成员分布情况，及时准确调动警力 中国联通移动警务系统解决方案18 3.53.5移动警务网络对接方式移动警务网络对接方式 移动终端数据加密后通过 WCDMA/GPRS 网络以 IP 地址指向的方式接入联通后台。基于 IP 请求，联通后台通过数据专线访问公安专线系统的接口服务器，并通过安全认证服务器、网络安全隔离数据接口、安全平台接入服务数据接口、统一移动终端验证、用户身份认证代理、数据包封装/解析来完成数据的访问及回传。公安网内数据通过统一的数据综合平台接口，对外实现数据的交互访问，该平台已通过公安部金盾工程一期工作完成。3.63.6 安全平台安全平台 安全平台负责警务移动终端的安全接入，同时将移动终端的各种业务请求传递到接入网的移动警务应用平台，并完成公安内外网数据格式的转换。安全平台解决了移动终端、公网传输、移动应用、安全兼容等方面的安全需求，更重视移动接入作为一个系统整体的安全需求。安全平台系统建立的是一个全方位、多层次的安全服务体系，可确保系统的身份认证、访问控制、信息安全、网络隔离、日志审计、病毒防范以及系统管理的安全。 中国联通移动警务系统解决方案193.6.13.6.1 安全平台的建设原则安全平台的建设原则根据已通过验收的公安部公网(GPRS/CDMA)移动数据接入系统试点项目（公金盾2005007 号）实施方案、 公安信息移动接入及应用系统建设技术指导书和公安信息移动接入及应用系统安全管理暂行规定 （公信通2006541 号）的要求，联通移动警务系统的安全解决方案是采用信息加密技术、公开密钥技术实现移动终端通过公用移动网络与公安信息网进行信息交换。移动接入安全不仅要解决移动终端、公网传输、移动应用、安全兼容等方面的安全需求，更要重视移动接入作为一个系统整体的安全需求。移动警务系统的安全系统建设必须采用公安部确认的安全解决方案，采用国家密码管理局指定给公安部的用于移动安全接入的密码算法，采用通过国家密码管理局安全性审查的安全产品。在终端设备方面，可采用配有国家密码管理局指定给公安部的密码算法并符合国家商用密码产品标准的安全手机卡、安全 PCMCIA 卡等终端安全产品，终端设备可采用笔记本电脑、PDA、智能手机、普通手机等。 3.6.23.6.2 移动接入安全需求移动接入安全需求 (1) 移动终端的安全接入端到端数据加密传输适合移动终端的认证措施主流移动终端的支持(2) 明显的网络边界划分和相应的安全保障措施公安信息网和移动接入网的边界划分和安全隔离移动接入网和公用通信网络的边界划分和安全连接移动终端通过虚拟专网（移动运营商提供）连接到公安移动接入网(3) 适合我国密码管理策略的密码算法配置硬实现的加密机制商用密码算法(4) 系统的网络安全方案 中国联通移动警务系统解决方案20端到端身份认证数据加密完整性检验抗重放攻击抗 DOS、DDOS 攻击公网段全程安全防病毒和木马入侵防内部敏感信息非授权外流(5) 支持多种安全接入方式加密短消息GPRS/CDMAIP 接入(6) 支持主流通信设备普通手机PDA、智能手机笔记本3.6.33.6.3 安全体系结构安全体系结构根据公安信息移动接入及应用系统建设技术指导书的要求，公安信息移动接入系统的安全体系如图：安全体系结构图安全体系结构图(1)(1) 软硬件平台安全软硬件平台安全软硬件平台安全通过公安信息系统公钥基础设施与授权管理体系以及本系 软软硬硬件件平平台台安安全全 （证证书书、算算法法） 身份认证 访问控制 存储加密 数据加密 移动应用网关 移移动动网网络络接接入入安安全全 防火墙 VPN 网关 安安全全控控制制与与管管理理 证书管理 入侵检测管理与控制 审计管理 网网络络设设备备安安全全 授权管理 密码管理 隔离网闸 PKI 中国联通移动警务系统解决方案21统配置的密码算法及其硬件实现，采用对密码资源的存储加密、对设备使用者的身份认证和访问控制，保证软硬件平台的安全。(2)(2) 网络设备安全网络设备安全通过本系统配置的移动接入安全设备实现移动安全终端的身份认证和访问控制，通过数据加密机制保证传输数据的机密性。(3)(3) 移动接入安全移动接入安全配置网关和网络防火墙，实现用户终端设备身份认证和接入控制。(4)(4) 安全控制管理安全控制管理采用证书管理、授权管理、密码管理、审计管理以及入侵检测管理与控制等安全机制，实现系统全面的安全管理与控制。3.6.43.6.4 安全体系功能安全体系功能(1)(1)专用接入专用接入(APN)(APN)联通 3G 业务使用的 APN 为行业专用的 APN,通过一条数据专线接入运营商GPRS 网络，双方互联路由器之间采用私用 IP 地址进行广域连接，为用户分配专用的 APN，普通用户不得申请该 APN，用户可自建一套 RADIUS 服务器和 DHCP服务器，GGSN 向 RADIUS 服务器提供用户主要号码，采用主叫号码和用户帐号相结合的认证凡是，移动终端和服务器平台之间采用端到端加密，避免传输信息在整个传输过程中可能的泄漏，双反采用防火墙进行隔离，并在防火墙上进行 IP 地址和端口的过滤，以保证整体信息传输认证的安全完整性。(2)(2)身份认证功能身份认证功能根据移动终端本机串码、手机号加密传输认证确认移动终端接入的合法性。提供移动终端和移动接入网关之间的相互身份认证功能；提供移动应用系统对移动用户的身份认证功能。 中国联通移动警务系统解决方案22(2)(2) 数据保密传输功能数据保密传输功能为各种公安移动应用系统提供公网路段（从移动终端到安全移动接入系统之间）的数据保密传输功能。在移动终端通过公钥对数据进行加密后，可通过互联网对数据进行安全传输，接受端用私钥对传输数据包进行解密，并在传输过程中只传递公钥及加密后的数据包，以确保数据和私钥的安全，所有终端认证密码不做本地保存，以确保密码的中央管理及防止丢失。(3)(3) 数据完整性保护功能数据完整性保护功能在数据传输前对数据进行 SSL（Secure Sockets Layer）认证加密以保证数据的完整性和安全性，解密后的数据回读可检测和发现数据在公网路段传输过程中是否被修改。(4)(4) 抵抗各种网络攻击的能力抵抗各种网络攻击的能力安全接入系统和包过滤防火墙配合可抵抗来自公网的 IP 层以上（包括应用层）的各种攻击。安全接入系统和包过滤防火墙配合可抵抗来自公网的应用层的攻击。移动终端登录采用访问专用网络（VPDN）模式连接后台，保证网络资源的保密性，利用网络监控系统对网络进行实时监控，及时发现系统安全漏洞，跟踪、监控非法系统访问，从“打击”的角度完善系统的网络安全体系。(5)(5) 访问日志访问日志防火墙、短消息安全接入系统、GPRS/CDMA 安全接入系统、IP 安全接入系统、CA 服务器、各种移动应用服务器等都应具备全面的访问日志，以方便系统管理员对访问该服务器的行为进行有效的审计和分析，以便发现攻击、非法访问的来源，及时调整系统安全策略，确保整个公安信息移动接入系统的安全。 中国联通移动警务系统解决方案233.6.53.6.5 硬件设备要求硬件设备要求 依据公安信息移动接入及应用系统建设技术指导书要求和国家密码管理局对公安信息移动接入及应用系统安全接入设备的安全性审查批复，采用安全接入系统及其他相关网络边界设备。3.73.7 移动通信网络系统移动通信网络系统3.7.13.7.1 联通网络联通网络联通 WCDMA 是目前全球最成熟的 3G 技术，无论是技术本身，还是终端和产业链方面都占据绝对优势。中国联通 3G 全网采用了先进的 HSPA 技术，网络下行和上行速率分别达到 14.4Mbps 和 5.76Mbps，硬件支持 HSPA+演进。凭借高速率 HSPA 技术和各类增值业务平台，联通将为移动警务应用提供高速、稳定的移动通信网络保障。3.7.23.7.2 VPDNVPDN 网络网络考虑到公安移动警务的高安全性要求，联通移动警务采用VPDN方式承载，将移动警务网络与公共互联网隔离，保证了运营商侧的高安全专网的接入与承载。VPDN，即无线虚拟专用拨号网络（Virtual Private Dialup Network）的缩写，也称网中数据网，联通VPDN采用专用的网络加密和通信协议，为各企事业单位提供无线接入的专用网络，并在这个专用网络中开展各种行业应用。借助WCDMA移动网络，VPDN可以为用户提供一个可移动和无线接入的虚拟企业专用网络平台，实现企业的各个子用户无论何时何地都可与企业内部数据系统进行数据交互。在VPDN平台上，只有经过合法认证的子用户才能够与企业专网系统进行数据检索、数据传输等操作。 中国联通移动警务系统解决方案24VPDNVPDN 网络拓扑图网络拓扑图所有无线终端设备都处于一个公安专用网络内，各级公安部门可以给无线终端设备自己来分配 IP 地址。终端设备获得的是内网的 IP 地址，节省日渐紧张的公网 IP 资源。同时，公安私网和互联网完全隔离，数据保密性好。公安专网不会受到来自互联网上的黑客及病毒的侵袭，能够有效保证稳定的传输速率和带宽。下面分别对图中各个设备进行介绍。 终端：可以是手机、笔记本、无线 Modem 等，根据各地公安部门不同的需求选用不同的终端。 联通 GGSN：网关支持节点, 公安用户通过 WCDMA/GPRS 接入到GGSN，GGSN 判断是 VPN 用户，向指定的 LNS 发起 L2TP 连接。 联通 AAA 服务器：负责对公安的域名进行鉴权认证，AAA 服务器对登录公安的域名和用户名密码核对验证。验证通过后，方可接入联通 GPRS 网络。 专线：通常采用联通的 2M 专线，此专线将联通的 GPRS 网关和公安的LNS 设备连接起来。 用户侧路由器（LNS）：需要支持 L2TP 协议，RADIUS 协议,要与 GGSN建立 L2TP 隧道。 防火墙：为提高网络安全性建议架设防火墙，可利用公安部门现有设备。 中国联通移动警务系统解决方案25 企业 AAA 服务器：用于认证、授权、计费，实现对拨号用户名、密码和IP 地址的管理，此服务器为可选配置，用于提高网络的安全性。 VPDN 建立流程建立流程 SGSNGGSNVPDN 连接建立流程1、用户拨号请求到达 GGSN2、GGSN 访问联通 AAA，检查域名3、L2TP 隧道请求4、用户与 LNS 建立 PPP 连接5、访问用户 AAA，安全验证6、专网为用户分配 IP 地址7、用户成功访问专网用户的拨号呼叫流程如下：1）当用户通过拨号呼叫到 SGSN 时，SGSN 通过 DNS 解析 APN 接入归属 GGSN的 IP 地址，然后 GPRS 网络在 SGSN 和 GGSN 间启动相应的 GTP 隧道协议，实现GPRS 骨干网内的安全传输。2）在用户认证阶段，GGSN 向联通 AAA 发送访问请求。3）联通 AAA 检查域名，发现这是专网的域名，依据域名确定 LNS 设备的IP 地址，并将 L2TP 隧道请求消息转发给专网的 LNS。LNS 设备对 L2TP 隧道建立请求进行通过处理，隧道建立。4）移动终端与用户侧的 LNS 设备协商请求建立 PPP 连接。 中国联通移动警务系统解决方案265）专网的 AAA 对用户名进行认证，返回相应的认证信息。6）同时由专网给用户分配 IP 地址。7）移动终端与用户内网建立了连接。简单来说，上图移动终端通过无线网络接入 GGSN 分组域，由分组域中AAA 进行接入认证，业务授权，在 GGSN 和移动警务的安全平台之间利用 L2TP协议建立起专用隧道，并可以在隧道中利用工作在传输模式下的 IPSec 协议把IP 数据包加密，从而保护隧道中的数据安全。移动终端通过公安网络 AAA 的认证后，终端经过分组网的 GGSN 与公安网的 LNS 间建立起 PPP 连接，用户传输的数据流通过隧道到达安全平台。终端用户拨号成功后，通过空中接口和隧道连接与公安网 LNS 设备(路由器)相连，实现数据通信。此外，该系统中的用户 AAA 服务器可通过手机号码或者用户名密码绑定终端用户 IP 地址，依据 IP 地址建立访问控制机制。拨号终端由于被分配的是局域网的地址，就好像通过 WCDMA 无线网络被联入了用户的局域网，因此可以说 WCDMA 辅助 VPDN 的技术可以将公安内网安全地进行了无线延伸。4 服务支撑服务支撑4.14.1 主要支撑工作内容主要支撑工作内容地市分公司负责与潜在客户的前期交流与业务咨询，如果属于重大项目，需要合作单位提供上门支撑服务，请按照相关的支撑流程向省公司上报支撑需求，由省公司协调合作单位对地市的重要项目进行支撑。