APN接入系统资料

广西联通APN 资料联通APN 资料中国联合网络通信有限公司广西壮族自治区分公司 集团客户事业部 二〇一二年二月 地址：南宁市金浦路8号 邮编：530000 客服电话： 10010

广西联通APN 资料

联通APN 资料

中国联合网络通信有限公司广西壮族自治区分公司 集团客户事业部 二〇一二年二月 地址：南宁市金浦路8号 邮编：530000 客服电话： 10010 1 中国联通广西分公司

广西联通APN 资料

联通APN 资料

一、 安全设计原则：

安全设计是对APN 接入给警务、银行等特殊系统时考虑的重点因素，也是系统设计中最为重要的一环，但安全隐患除了技术因素，也包含很多人为因素，管理因素。要做到对用户数据的全面保护，安全设计就从来不是孤立的，而是从各个层次的全面保障。

所以本系统方案在设计之初，就分别从业务层面、用户层面、系统层面、网络层面、外部层面多方面，考虑并设计安全方案。以下分别从各方面一一介绍。

二、 终端客户对接APN 网络拓朴：

三、 客户手持式设备系统业务流程：

客户手持终端发起PDP 激活请求，并带上APN ；

1、SGSN 收到终端的激活请求后，检查激活请求的合法性，如果合法则向GGSN 请求

PDP 激活；

2、GGSN 收到PDP 激活请求后，根据APN 分析需要对用户进行认证/IP地址分配的

Radius 服务器，由Radius 服务器对用户进行认证；（radius 可绑定MSISDN 号） 中国联通广西分公司 地址：南宁市金浦路8号 邮编：530000 客服电话： 10010 2

广西联通APN 资料

3、如果认证成功，GGSN 返回PDP 激活应答给SGSN ；SGSN 反馈激活应答消息；

4、终端收到激活成功应答后，完成IP 地址配置等，开始通信。通信请求经SGSN 到

GGSN ；

5、GGSN 发起到相应企业的VPN 连接。该隧道由GGSN 发起，经省中心汇聚交换机、

地市接入交换机，终结到企业路由器。

6、通信请求经该隧道接入到企业网内，实现终端与企业的通信。参见下图：

GRE 隧道

四、 用户层面安全保障

1、专用的APN 与互连网是完全隔离的，每个企业采用的是单独的APN 隧道，用户必须凭APN 名称才可拨入，并访问企业。 （例如：广西银商使用的APN 号可以设计为GXYS ．GXAPN ）

2、用户拨入APN ，必须通过AAA 进行身份验证，非法用户无法接入，并且用户名与手机号及MSISDN 号进行绑定，MSISDN 号是联通系统里面唯一的，一个卡只有一个，并且无法复制。

3、安全绑定

MSISDN 与域名绑定关系维护

a. MSISDN与域名绑定关系增加

中国联通广西分公司 地址：南宁市金浦路8号 邮编：530000 客服电话： 10010 3

广西联通APN 资料

局方管理员通过营业系统的局端开户功能，新增企业域用户，录入此域名绑定的一个或多个MSISDN 号码；资料保存到数据库中

b. MSISDN与域名绑定关系修改

局方管理员通过营业系统局端的用户资料修改功能，修改/删除某个域名绑定的MSISDN 号码列表；资料保存到数据库中

企业管理员通过营业系统企业端的用户资料修改功能，修改本企业域绑定的MSISDN 号码列表；资料保存到数据库中

c. MSISDN与域名绑定关系查询

局方管理员通过营业系统局端的用户信息查询功能，查询某个域名绑定的MSISDN 号码列表

企业管理员通过营业系统企业端的用户资料修改功能，查询本企业域绑定的MSISDN 号码列表

● MSISDN 与域名绑定关系验证过程

a ．在GPRS APN 上网PPP 连接建立过程中，GGSN 获取拨号手机的MSISDN 号码，并发送给GGSN Radius Server

b ．GGSN Radius Server根据GGSN 设备型号，从请求消息中解析出拨号终端的MSISDN 号码

c ．GGSN Radius Server连接数据库，查询此企业域绑定的MSISDN 号码列表

d ．若此企业域作了MSISDN 号码绑定，且拨号终端的MSISDN 号码不在绑定列表中，则认证失败；若此企业域未作MSISDN 号码绑定或拨号终端的IMSI 号码在绑定列表中，则认证完成；

● MSISDN 与IP 地址绑定功能实现

a. MSISDN与IP 绑定关系维护

企业端管理员通过营业系统企业端的MSISDN 与IP 绑定维护功能，设置，修改或删除某个MSISDN 号码绑定的IP 地址，已被绑定的IP 地址将不能被再次绑定，一个MSISDN 中国联通广西分公司 地址：南宁市金浦路8号 邮编：530000 客服电话： 10010 4

广西联通APN 资料

号码只能绑定一个IP 地址；资料保存到数据库中

b. MSISDN与IP 绑定关系查询

企业管理员通过营业系统企业端的MSISDN 与IP 绑定关系查询，查询某个MSISDN 号码绑定的IP 地址，或某个IP 地址对应的MSISDN 号码

● GPRS APN上网IP 地址分配过程

a．在GPRS APN 上网PPP 连接建立过程中，GGSN 获取拨号手机的MSISDN 号码，在用户认证请求和PPP 参数中发送给GGSN

b．GGSN 将MSISDN 号码作为一个Radius 属性在认证请求中发送给GGSN Radius Server

c．GGSN Radius Server 查询数据库，获得此MSISDN 绑定的IP 地址，在响应中返回给GGSN

d．若认证通过，则GGSN 将此地址分配给拨号终端

MSISDN 与时间段的绑定

● MSISDN 与时间段绑定关系维护

a. MSISDN与时间绑定关系维护

企业端管理员通过营业系统企业端的MSISDN 与时间段绑定维护功能，设置、修改或删除某个MSISDN 号码绑定的时间段，一个MSISDN 号允许绑定多个时间段；资料保存到数据库中

b. MSISDN与时间段绑定关系查询

企业管理员通过营业系统企业端的MSISDN 与时间段绑定关系查询，查询某个MSISDN 号码绑定的时间段列表

● GPRS APN上网时间段验证过程

a．在GPRS APN 上网PPP 连接建立过程中，GGSN 获取拨号手机的MSISDN 号码，在用户认证请求和PPP 参数中发送给GGSN

中国联通广西分公司 地址：南宁市金浦路8号 邮编：530000 客服电话： 10010 5

广西联通APN 资料

b．GGSN 将MSISDN 号码作为一个Radius 属性在认证请求中发送给GGSN Radius Server

c．GGSN Radius Server查询数据库，获得此MSISDN 绑定的时间段列表，在响应中返回给GGSN

d．若MSISDN 在绑定时间段列表中，则认证通过

五、 系统层面安全保障

AAA 平台中对于安全的防范内容包括：非法访问、入侵、作弊（管理员作弊与用户作弊）、不稳定运行、防灾等。安全性：为保障AAA 平台系统能对整个网络系统的正常维护和监控，必须在各个环节上提供安全措施防止非法侵入及非授权访问，避免控制信息丢失，被篡改，导致维护和监控不能正常进行。

采用的安全措施涉及以下五个方面：

1、认证授权安全流程

a) 内建的NAS-RADIUS 协议密钥安全性

b) 用户密码不可逆加密后的存储与传输（可选）

c) 授权机制拒绝非法用户的登录

2、管理安全

a) 管理员权限：通过分级权限控制机制，使得不同的管理员执行不同的工作。对管理员访问的限制属性是多方位的（帐号/口令/IP/时间等等）

b) 操作界面安全：充分利用WEB 服务器和浏览器本身的安全功能，如WEB 页面不可回退等机制，实现操作界面的安全。

c) 敏感操作的安全提示和操作记录（无须打开审计开关，系统自动记录）。

d) 充分利用操作系统级别和数据库级别的安全特性，如系统文件的执行权限和用户访问特定表的权限控制等等。

3、审计

a) 内建审计开关对系统操作进行记录

中国联通广西分公司 地址：南宁市金浦路8号 邮编：530000 客服电话： 10010 6

广西联通APN 资料 b) 事后审查故障和安全事故原因

4、数据备份与恢复

a) 提供定期日常备份

b) 灾难恢复

5、业务规程安全

a) 各个业务密码同步问题（用户EMAIL 密码被攻破将使入侵者得到上网密码，因此不应当强制用户将这两个密码同步）

b) 特定的业务操作流程来防止用户进行非法操作。

六、 网络设备层面安全保障

提供认证、授权、计费及防火墙等功能，根据不同的用户权限提供有差别的接入服务，流量控制，确保网络运行的安全。

1、在GGSN 与企业之间增加了防火墙，可对用户访问权限进行控制。并且对企业内部

网络形成保护。

2、对所有的网络设备进行安全防护，只有指定IP 授权后才可维护这些网络资源。

3、AAA 服务器增加了防火墙，只允许有指定用户访问AAA 管理系统。

4、支持隧道认证、通过绑定IMSI 方式防止盗用帐号保证隧道数据的安全性；

5、支持GRE 绑定关系的手工建立；

6、支持PAP 、CHAP 验证用户口令；

7、基于用户的访问控制UCL/ACL；可以防止病毒攻击；

8、用户联接数限制，防止用户私接用户、网络病毒；

9、防止DOS 拒绝服务攻击；

10、

11、 网管口令和接入限制。 防止针对BGATE1030-VRP 的大流量数据攻击。

7 中国联通广西分公司 地址：南宁市金浦路8号 邮编：530000 客服电话： 10010

广西联通APN 资料

12、 可以不同VR 的用户相互访问，通过ACL 也可以禁止同一VR 中用户相互访

问

七、 BSS 营帐上的操作说明

集团选产品

界面位置：客户评价管理-集团维系部分-集团业务受理-集团管理-集团选产品

输入总部编码，点击查询，点击集团信息：

产品类型选择APN 专用流量，

点击集团产品可选框后面的按钮，选择产品，点击确定

中国联通广西分公司 地址：南宁市金浦路8号 邮编：530000 客服电话： 10010 8

广西联通APN 资料

输入集团名称，勾选需要开通的特服包

最后点击保存，操作完成。

成员选产品

具体操作类似手机组网，请参照以前的操作说明。集团成员选择对应的APN 流量包即可。 界面位置：客户评价管理-集团维系部分-集团业务受理-成员管理-成员产品增删改 输入手机号码，点击查询

中国联通广西分公司 地址：南宁市金浦路8号 邮编：530000 客服电话： 10010

9

广西联通APN 资料

点击选产品

点击确定

选择集团套餐包，点击服务套餐

地址：南宁市金浦路8号 邮编：530000 客服电话： 10010

10 中国联通广西分公司