APN接入系统资料

广西联通APN资料中国联通广西分公司地址：南宁市金浦路8号邮编：530000客服电话：100101联通APN资料中国联合网络通信有限公司广西壮族自治区分公司集团客户事业部二〇一二年二月广西联通APN资料中国联通广西分公司地址：南宁市金浦路8号邮编：530000客服电话：100102联通APN资料一、安全设计原则：安全设计是对APN接入给警务、银行等特殊系统时考虑的重点因素，也是系统设计中最为重要的一环，但安全隐患除了技术因素，也包含很多人为因素，管理因素。要做到对用户数据的全面保护，安全设计就从来不是孤立的，而是从各个层次的全面保障。所以本系统方案在设计之初，就分别从业务层面、用户层面、系统层面、网络层面、外部层面多方面，考虑并设计安全方案。以下分别从各方面一一介绍。二、终端客户对接APN网络拓朴：三、客户手持式设备系统业务流程：客户手持终端发起PDP激活请求，并带上APN；1、SGSN收到终端的激活请求后，检查激活请求的合法性，如果合法则向GGSN请求PDP激活；2、GGSN收到PDP激活请求后，根据APN分析需要对用户进行认证/IP地址分配的Radius服务器，由Radius服务器对用户进行认证；（radius可绑定MSISDN号）广西联通APN资料中国联通广西分公司地址：南宁市金浦路8号邮编：530000客服电话：1001033、如果认证成功，GGSN返回PDP激活应答给SGSN；SGSN反馈激活应答消息；4、终端收到激活成功应答后，完成IP地址配置等，开始通信。通信请求经SGSN到GGSN；5、GGSN发起到相应企业的VPN连接。该隧道由GGSN发起，经省中心汇聚交换机、地市接入交换机，终结到企业路由器。6、通信请求经该隧道接入到企业网内，实现终端与企业的通信。参见下图：GRE隧道四、用户层面安全保障1、专用的APN与互连网是完全隔离的，每个企业采用的是单独的APN隧道，用户必须凭APN名称才可拨入，并访问企业。（例如：广西银商使用的APN号可以设计为GXYS．GXAPN）2、用户拨入APN，必须通过AAA进行身份验证，非法用户无法接入，并且用户名与手机号及MSISDN号进行绑定，MSISDN号是联通系统里面唯一的，一个卡只有一个，并且无法复制。3、安全绑定MSISDN与域名绑定关系维护a.MSISDN与域名绑定关系增加广西联通APN资料中国联通广西分公司地址：南宁市金浦路8号邮编：530000客服电话：100104局方管理员通过营业系统的局端开户功能，新增企业域用户，录入此域名绑定的一个或多个MSISDN号码；资料保存到数据库中b.MSISDN与域名绑定关系修改局方管理员通过营业系统局端的用户资料修改功能，修改/删除某个域名绑定的MSISDN号码列表；资料保存到数据库中企业管理员通过营业系统企业端的用户资料修改功能，修改本企业域绑定的MSISDN号码列表；资料保存到数据库中c.MSISDN与域名绑定关系查询局方管理员通过营业系统局端的用户信息查询功能，查询某个域名绑定的MSISDN号码列表企业管理员通过营业系统企业端的用户资料修改功能，查询本企业域绑定的MSISDN号码列表MSISDN与域名绑定关系验证过程a．在GPRSAPN上网PPP连接建立过程中，GGSN获取拨号手机的MSISDN号码，并发送给GGSNRadiusServerb．GGSNRadiusServer根据GGSN设备型号，从请求消息中解析出拨号终端的MSISDN号码c．GGSNRadiusServer连接数据库，查询此企业域绑定的MSISDN号码列表d．若此企业域作了MSISDN号码绑定，且拨号终端的MSISDN号码不在绑定列表中，则认证失败；若此企业域未作MSISDN号码绑定或拨号终端的IMSI号码在绑定列表中，则认证完成；MSISDN与IP地址绑定功能实现a.MSISDN与IP绑定关系维护企业端管理员通过营业系统企业端的MSISDN与IP绑定维护功能，设置，修改或删除某个MSISDN号码绑定的IP地址，已被绑定的IP地址将不能被再次绑定，一个MSISDN广西联通APN资料中国联通广西分公司地址：南宁市金浦路8号邮编：530000客服电话：100105号码只能绑定一个IP地址；资料保存到数据库中b.MSISDN与IP绑定关系查询企业管理员通过营业系统企业端的MSISDN与IP绑定关系查询，查询某个MSISDN号码绑定的IP地址，或某个IP地址对应的MSISDN号码GPRSAPN上网IP地址分配过程a．在GPRSAPN上网PPP连接建立过程中，GGSN获取拨号手机的MSISDN号码，在用户认证请求和PPP参数中发送给GGSNb．GGSN将MSISDN号码作为一个Radius属性在认证请求中发送给GGSNRadiusServerc．GGSNRadiusServer查询数据库，获得此MSISDN绑定的IP地址，在响应中返回给GGSNd．若认证通过，则GGSN将此地址分配给拨号终端MSISDN与时间段的绑定MSISDN与时间段绑定关系维护a.MSISDN与时间绑定关系维护企业端管理员通过营业系统企业端的MSISDN与时间段绑定维护功能，设置、修改或删除某个MSISDN号码绑定的时间段，一个MSISDN号允许绑定多个时间段；资料保存到数据库中b.MSISDN与时间段绑定关系查询企业管理员通过营业系统企业端的MSISDN与时间段绑定关系查询，查询某个MSISDN号码绑定的时间段列表GPRSAPN上网时间段验证过程a．在GPRSAPN上网PPP连接建立过程中，GGSN获取拨号手机的MSISDN号码，在用户认证请求和PPP参数中发送给GGSN广西联通APN资料中国联通广西分公司地址：南宁市金浦路8号邮编：530000客服电话：100106b．GGSN将MSISDN号码作为一个Radius属性在认证请求中发送给GGSNRadiusServerc．GGSNRadiusServer查询数据库，获得此MSISDN绑定的时间段列表，在响应中返回给GGSNd．若MSISDN在绑定时间段列表中，则认证通过五、系统层面安全保障AAA平台中对于安全的防范内容包括：非法访问、入侵、作弊（管理员作弊与用户作弊）、不稳定运行、防灾等。安全性：为保障AAA平台系统能对整个网络系统的正常维护和监控，必须在各个环节上提供安全措施防止非法侵入及非授权访问，避免控制信息丢失，被篡改，导致维护和监控不能正常进行。采用的安全措施涉及以下五个方面：1、认证授权安全流程a)内建的NAS-RADIUS协议密钥安全性b)用户密码不可逆加密后的存储与传输（可选）c)授权机制拒绝非法用户的登录2、管理安全a)管理员权限：通过分级权限控制机制，使得不同的管理员执行不同的工作。对管理员访问的限制属性是多方位的（帐号/口令/IP/时间等等）b)操作界面安全：充分利用WEB服务器和浏览器本身的安全功能，如WEB页面不可回退等机制，实现操作界面的安全。c)敏感操作的安全提示和操作记录（无须打开审计开关，系统自动记录）。d)充分利用操作系统级别和数据库级别的安全特性，如系统文件的执行权限和用户访问特定表的权限控制等等。3、审计a)内建审计开关对系统操作进行记录广西联通APN资料中国联通广西分公司地址：南宁市金浦路8号邮编：530000客服电话：100107b)事后审查故障和安全事故原因4、数据备份与恢复a)提供定期日常备份b)灾难恢复5、业务规程安全a)各个业务密码同步问题（用户EMAIL密码被攻破将使入侵者得到上网密码，因此不应当强制用户将这两个密码同步）b)特定的业务操作流程来防止用户进行非法操作。六、网络设备层面安全保障提供认证、授权、计费及防火墙等功能，根据不同的用户权限提供有差别的接入服务，流量控制，确保网络运行的安全。1、在GGSN与企业之间增加了防火墙，可对用户访问权限进行控制。并且对企业内部网络形成保护。2、对所有的网络设备进行安全防护，只有指定IP授权后才可维护这些网络资源。3、AAA服务器增加了防火墙，只允许有指定用户访问AAA管理系统。4、支持隧道认证、通过绑定IMSI方式防止盗用帐号保证隧道数据的安全性；5、支持GRE绑定关系的手工建立；6、支持PAP、CHAP验证用户口令；7、基于用户的访问控制UCL/ACL；可以防止病毒攻击；8、用户联接数限制，防止用户私接用户、网络病毒；9、防止DOS拒绝服务攻击；10、网管口令和接入限制。11、防止针对BGATE1030-VRP的大流量数据攻击。广西联通APN资料中国联通广西分公司地址：南宁市金浦路8号邮编：530000客服电话：10010812、可以不同VR的用户相互访问，通过ACL也可以禁止同一VR中用户相互访问七、BSS营帐上的操作说明集团选产品界面位置：客户评价管理-集团维系部分-集团业务受理-集团管理-集团选产品输入总部编码，点击查询，点击集团信息：产品类型选择APN专用流量，点击集团产品可选框后面的按钮，选择产品，点击确定广西联通APN资料中国联通广西分公司地址：南宁市金浦路8号邮编：530000客服电话：100109输入集团名称，勾选需要开通的特服包依次点击号段信息、网外号码组、闭合群信息、集团账户、经办人及费用最后点击保存，操作完成。成员选产品具体操作类似手机组网，请参照以前的操作说明。集团成员选择对应的APN流量包即可。界面位置：客户评价管理-集团维系部分-集团业务受理-成员管理-成员产品增删改输入手机号码，点击查询广西联通APN资料中国联通广西分公司地址：南宁市金浦路8号邮编：530000客服电话：1001010点击选产品点击确定选择集团套餐包，点击服务套餐广西联通APN资料中国联通广西分公司地址：南宁市金浦路8号邮编：530000客服电话：1001011点击确定广西联通APN资料中国联通广西分公司地址：南宁市金浦路8号邮编：530000客服电话：1001012点击确定，操作完成八、APN平台配置如何使用APN平台：广西联通APN资料中国联通广西分公司地址：南宁市金浦路8号邮编：530000客服电话：1001013广西联通APN资料中国联通广西分公司地址：南宁市金浦路8号邮编：530000客服电话：1001014广西联通APN资料中国联通广西分公司地址：南宁市金浦路8号邮编：530000客服电话：1001015九、上网卡拨号配置1．安装软件2．广西联通APN资料中国联通广西分公司地址：南宁市金浦路8号邮编：530000客服电话：10010163．登陆界面自动弹出4．新增一个连接设置广西联通APN资料中国联通广西分公司地址：南宁市金浦路8号邮编：530000客服电话：10010175．填入账号密码6．应用广西联通APN资料中国联通广西分公司地址：南宁市金浦路8号邮编：530000客服电话：10010187．点“网络链接”8．验证密码建立连接。