APN接系统资料.doc

联通APN资料 中国联合网络通信有限公司广西壮族自治区分公司 集团客户事业部 二〇一二年二月 联通APN资料 安全设计原则： 安全设计是对APN接入给警务、银行等特殊系统时考虑的重点因素，也是系统设计中最为重要的一环，但安全隐患除了技术因素，也包含很多人为因素，管理因素。要做到对用户数据的全面保护，安全设计就从来不是孤立的，而是从各个层次的全面保障。 所以本系统方案在设计之初，就分别从业务层面、用户层面、系统层面、网络层面、外部层面多方面，考虑并设计安全方案。以下分别从各方面一一介绍。 终端客户对接APN网络拓朴： 客户手持式设备系统业务流程： 客户手持终端发起PDP激活请求，并带上APN； SGSN收到终端的激活请求后，检查激活请求的合法性，如果合法则向GGSN请求PDP激活； GGSN收到PDP激活请求后，根据APN分析需要对用户进行认证/IP地址分配的Radius服务器，由Radius服务器对用户进行认证；（radius 可绑定MSISDN号） 如果认证成功，GGSN返回PDP激活应答给SGSN；SGSN反馈激活应答消息； 终端收到激活成功应答后，完成IP地址配置等，开始通信。通信请求经SGSN到GGSN； GGSN发起到相应企业的VPN连接。该隧道由GGSN发起，经省中心汇聚交换机、地市接入交换机，终结到企业路由器。 通信请求经该隧道接入到企业网内，实现终端与企业的通信。参见下图： 用户层面安全保障 1、专用的APN与互连网是完全隔离的，每个企业采用的是单独的APN隧道，用户必须凭APN名称才可拨入，并访问企业。 （例如：广西银商使用的APN号可以设计为GXYS．GXAPN） 2、用户拨入APN，必须通过AAA进行身份验证，非法用户无法接入，并且用户名与手机号及MSISDN号进行绑定，MSISDN号是联通系统里面唯一的，一个卡只有一个，并且无法复制。 3、安全绑定 MSISDN与域名绑定关系维护 a. MSISDN与域名绑定关系增加 局方管理员通过营业系统的局端开户功能，新增企业域用户，录入此域名绑定的一个或多个MSISDN号码；资料保存到数据库中 b. MSISDN与域名绑定关系修改 局方管理员通过营业系统局端的用户资料修改功能，修改/删除某个域名绑定的MSISDN号码列表；资料保存到数据库中 企业管理员通过营业系统企业端的用户资料修改功能，修改本企业域绑定的MSISDN号码列表；资料保存到数据库中 c. MSISDN与域名绑定关系查询 局方管理员通过营业系统局端的用户信息查询功能，查询某个域名绑定的MSISDN号码列表 企业管理员通过营业系统企业端的用户资料修改功能，查询本企业域绑定的MSISDN号码列表 MSISDN与域名绑定关系验证过程 a．在GPRS APN上网PPP连接建立过程中，GGSN获取拨号手机的MSISDN号码，并发送给GGSN Radius Server b．GGSN Radius Server根据GGSN设备型号，从请求消息中解析出拨号终端的MSISDN号码 c．GGSN Radius Server连接数据库，查询此企业域绑定的MSISDN号码列表 d．若此企业域作了MSISDN号码绑定，且拨号终端的MSISDN号码不在绑定列表中，则认证失败；若此企业域未作MSISDN号码绑定或拨号终端的IMSI号码在绑定列表中，则认证完成； MSISDN与IP地址绑定功能实现 a. MSISDN与IP绑定关系维护 企业端管理员通过营业系统企业端的MSISDN与IP绑定维护功能，设置，修改或删除某个MSISDN号码绑定的IP地址，已被绑定的IP地址将不能被再次绑定，一个MSISDN号码只能绑定一个IP地址；资料保存到数据库中 b. MSISDN与IP绑定关系查询 企业管理员通过营业系统企业端的MSISDN与IP绑定关系查询，查询某个MSISDN号码绑定的IP地址，或某个IP地址对应的MSISDN号码 GPRS APN上网IP地址分配过程 a．在GPRS APN上网PPP连接建立过程中，GGSN获取拨号手机的MSISDN号码，在用户认证请求和PPP参数中发送给GGSN b．GGSN将MSISDN号码作为一个Radius属性在认证请求中发送给GGSN Radius Server c．GGSN Radius Server查询数据库，获得此MSISDN绑定的IP地址，在响应中返回给GGSN d．若认证通过，则GGSN将此地址分配给拨号终端 MSISDN与时间段的绑定 MSISDN与时间段绑定关系维护 a. MSISDN与时间绑定关系维护 企业端管理员通过营业系统企业端的MSISDN与时间段绑定维护功能，设置、修改或删除某个MSISDN号码绑定的时间段，一个MSISDN号允许绑定多个时