-精选版APN网络安全技术简介.pptVIP

APN接入方式2——L2TP L2TP（二层隧道协议）接入方式： 需要客户内部网具有能够与联通行业应用GGSN互通的物理通路（APN专线），并由GGSN上的L2TP访问集中器（LAC）与客户专用支持L2TP协议路由器（LNS）为每个PPP连接建立L2TP二层隧道。其优点在于用户对于网络控制程度高，具有高安全性，无线侧可扩展性强，一张USIM或SIM卡可用于多个无线侧数据设备与核心侧的互联互通业务。但L2TP需要用户拥有较高的路由交换技术能力，对于L2TP组网有较好的理解，并且对于其自身网络及网络规划有清晰的了解。 * 目录 * 提供专享的APN鉴权接入(只有符合客户专用APN域名的无线卡才能接入，该域名的申请和绑定都需要经过特定流程） 使用专用行业网关GGSN，与互联网GGSN网关互相独立 SGSN和GGSN基于PDP（分组数据报文）上下文转发报文，不同客户之间以及同一客户不同用户之间完全隔离 核心网报文转发全部经过GTP隧道封装，终端和客户网络都无法进入核心网络 支持GRE/L2TP隧道接入方式，GGSN可与客户接入路由器间建立GRE或L2TP隧道并支持多种安全加密方式 核心网安全 APN技术安全性——总体安全保障（1） * GGSN SGSN HLR 联通基站 GRE/L2TP隧道 APN专线 WCDMA　3G 客户AAA 移动终端区 移动通信网 移动接入管理区 业务平台区 防火墙 客户业务平台 路由器 路由器 客户内网出口至联通移动网间，采用物理专线进行数据传输，与互联网隔离，确保数据在全封闭环境内传递，不受影响 数据专线安全 WCDMA来自于军事级扩频技术、快速功率控制将信号隐藏在噪声中，无法被监听 增强的128位5元组（随机数RAND、期望响应XRES、加密密钥CK、完整性密钥IK和认证令牌AUTN）鉴权密码算法。 网络以临时识别码（TMSI）给用户在传输信息中屏蔽用户真实身份 128位加密密钥(CK)，通过KASUMI分组加密算法函数f8对数据进行加密 采用信令完整性保护，防止消息被恶意篡改和伪造 提供了双向认证。不但提供基站对移动终端(MS)的认证，也提供了移动终端对基站的认证，可有效防止伪基站攻击 接入链路数据加密延伸至无线网络控制器（RNC）； 无线接入网络（RAN）是运营商的网络，主要负责从无线信号中提取信息向分组域或电路域转发，数据在其中传输也会有加密，压缩等步骤。而且RAN都是底层设备，数据在上层的含义对这些设备来说是抽象的，RAN设备本身不会带来安全隐患。 WCDMA安全机制具有可拓展性，可为将来引入新业务提供安全保护措施 无线网络安全 APN技术安全性——总体安全保障（2） * APN技术安全性——总体安全保障（3） * 支持客户自建AAA的接入鉴权方式，实现对每个拨入的号码进行账号和密码认证，并可捆绑手机串号（IMEI）、手机卡串号（IMSI）、用户名、密码进行认证， 客户可自行分配IP地址和拨入服务器主机IP地址和域名，其他人无法知晓 客户可以在其内网部署防火墙或网闸设备，对不同网络间的通信进行限制或隔离处理，将APN网络系统受外界影响的风险降到最低。 可叠加对终端或端对端的加密安全措施、如CA认证、TF卡加密、SSL/IPSec VPN加密等 可叠加终端及应用管理平台（如华为HDMP）措施，综合实现对终端、网络传输、应用等多方面的安全保障 GGSN SGSN HLR 联通基站 GRE/L2TP隧道 APN专线 WCDMA　3G 客户AAA 移动终端区 移动通信网 移动接入管理区 业务平台区 防火墙 华为HDMP管理平台 客户业务平台 路由器 路由器 叠加安全措施 安全TF卡 安全TF卡 APN技术安全性——GRE组网方式 GRE组网业务安全性 GGSN SGSN 客户内网 HLR 联通基站 地市汇聚路由器或交换机 GRE隧道 SDH/MSTP WCDMA　3G 终端发起激活请求 APN 用户名 密码 SGSN根据APN 查询DNS指向 并将激活请求 发送到GGSN GGSN判断是否需要 进行RADIUS认证， 是否需要RADIUS 下发地址 客户AAA根据 号码、用户名、密码 进行认证，并反馈 给GGSN 用户激活 用户业务安全性保障点： 1、联通侧对卡是否合法进行判定； 2、联通侧对于卡使用的APN是否合法进行判定 3、客户AAA对于用户号码是否合法进行判定； 4、客户AAA对于用户名、密码是否合法进行判定 数据通道建立 * 客户AAA GGSN SGSN 客户内网 HLR 联通基站 L2TP隧道 SDH/MSTP WCDMA　3G APN技术安全性——L2TP组网方式 地市汇聚路由器或交换机 L2TP组网业务安全性 终端发起激活请求 APN 用户名 密码 SGSN根据APN 查询D