APN接入系統(tǒng)資料
廣西聯(lián)通APN 資料聯(lián)通APN 資料中國聯(lián)合網(wǎng)絡(luò)通信有限公司廣西壯族自治區(qū)分公司 集團(tuán)客戶事業(yè)部 二〇一二年二月 地址:南寧市金浦路8號(hào) 郵編:530000 客服電話: 10010
廣西聯(lián)通APN 資料
聯(lián)通APN 資料
中國聯(lián)合網(wǎng)絡(luò)通信有限公司廣西壯族自治區(qū)分公司 集團(tuán)客戶事業(yè)部 二〇一二年二月 地址:南寧市金浦路8號(hào) 郵編:530000 客服電話: 10010 1 中國聯(lián)通廣西分公司
,廣西聯(lián)通APN 資料
聯(lián)通APN 資料
一、 安全設(shè)計(jì)原則:
安全設(shè)計(jì)是對(duì)APN 接入給警務(wù)、銀行等特殊系統(tǒng)時(shí)考慮的重點(diǎn)因素,也是系統(tǒng)設(shè)計(jì)中最為重要的一環(huán),但安全隱患除了技術(shù)因素,也包含很多人為因素,管理因素。要做到對(duì)用戶數(shù)據(jù)的全面保護(hù),安全設(shè)計(jì)就從來不是孤立的,而是從各個(gè)層次的全面保障。
所以本系統(tǒng)方案在設(shè)計(jì)之初,就分別從業(yè)務(wù)層面、用戶層面、系統(tǒng)層面、網(wǎng)絡(luò)層面、外部層面多方面,考慮并設(shè)計(jì)安全方案。以下分別從各方面一一介紹。
二、 終端客戶對(duì)接APN 網(wǎng)絡(luò)拓樸:
三、 客戶手持式設(shè)備系統(tǒng)業(yè)務(wù)流程:
客戶手持終端發(fā)起PDP 激活請(qǐng)求,并帶上APN ;
1、SGSN 收到終端的激活請(qǐng)求后,檢查激活請(qǐng)求的合法性,如果合法則向GGSN 請(qǐng)求
PDP 激活;
2、GGSN 收到PDP 激活請(qǐng)求后,根據(jù)APN 分析需要對(duì)用戶進(jìn)行認(rèn)證/IP地址分配的
Radius 服務(wù)器,由Radius 服務(wù)器對(duì)用戶進(jìn)行認(rèn)證;(radius 可綁定MSISDN 號(hào)) 中國聯(lián)通廣西分公司 地址:南寧市金浦路8號(hào) 郵編:530000 客服電話: 10010 2
,廣西聯(lián)通APN 資料
3、如果認(rèn)證成功,GGSN 返回PDP 激活應(yīng)答給SGSN ;SGSN 反饋激活應(yīng)答消息;
4、終端收到激活成功應(yīng)答后,完成IP 地址配置等,開始通信。通信請(qǐng)求經(jīng)SGSN 到
GGSN ;
5、GGSN 發(fā)起到相應(yīng)企業(yè)的VPN 連接。該隧道由GGSN 發(fā)起,經(jīng)省中心匯聚交換機(jī)、
地市接入交換機(jī),終結(jié)到企業(yè)路由器。
6、通信請(qǐng)求經(jīng)該隧道接入到企業(yè)網(wǎng)內(nèi),實(shí)現(xiàn)終端與企業(yè)的通信。參見下圖:
GRE 隧道
四、 用戶層面安全保障
1、專用的APN 與互連網(wǎng)是完全隔離的,每個(gè)企業(yè)采用的是單獨(dú)的APN 隧道,用戶必須憑APN 名稱才可撥入,并訪問企業(yè)。 (例如:廣西銀商使用的APN 號(hào)可以設(shè)計(jì)為GXYS .GXAPN )
2、用戶撥入APN ,必須通過AAA 進(jìn)行身份驗(yàn)證,非法用戶無法接入,并且用戶名與手機(jī)號(hào)及MSISDN 號(hào)進(jìn)行綁定,MSISDN 號(hào)是聯(lián)通系統(tǒng)里面唯一的,一個(gè)卡只有一個(gè),并且無法復(fù)制。
3、安全綁定
MSISDN 與域名綁定關(guān)系維護(hù)
a. MSISDN與域名綁定關(guān)系增加
中國聯(lián)通廣西分公司 地址:南寧市金浦路8號(hào) 郵編:530000 客服電話: 10010 3
,廣西聯(lián)通APN 資料
局方管理員通過營業(yè)系統(tǒng)的局端開戶功能,新增企業(yè)域用戶,錄入此域名綁定的一個(gè)或多個(gè)MSISDN 號(hào)碼;資料保存到數(shù)據(jù)庫中
b. MSISDN與域名綁定關(guān)系修改
局方管理員通過營業(yè)系統(tǒng)局端的用戶資料修改功能,修改/刪除某個(gè)域名綁定的MSISDN 號(hào)碼列表;資料保存到數(shù)據(jù)庫中
企業(yè)管理員通過營業(yè)系統(tǒng)企業(yè)端的用戶資料修改功能,修改本企業(yè)域綁定的MSISDN 號(hào)碼列表;資料保存到數(shù)據(jù)庫中
c. MSISDN與域名綁定關(guān)系查詢
局方管理員通過營業(yè)系統(tǒng)局端的用戶信息查詢功能,查詢某個(gè)域名綁定的MSISDN 號(hào)碼列表
企業(yè)管理員通過營業(yè)系統(tǒng)企業(yè)端的用戶資料修改功能,查詢本企業(yè)域綁定的MSISDN 號(hào)碼列表
● MSISDN 與域名綁定關(guān)系驗(yàn)證過程
a .在GPRS APN 上網(wǎng)PPP 連接建立過程中,GGSN 獲取撥號(hào)手機(jī)的MSISDN 號(hào)碼,并發(fā)送給GGSN Radius Server
b .GGSN Radius Server根據(jù)GGSN 設(shè)備型號(hào),從請(qǐng)求消息中解析出撥號(hào)終端的MSISDN 號(hào)碼
c .GGSN Radius Server連接數(shù)據(jù)庫,查詢此企業(yè)域綁定的MSISDN 號(hào)碼列表
d .若此企業(yè)域作了MSISDN 號(hào)碼綁定,且撥號(hào)終端的MSISDN 號(hào)碼不在綁定列表中,則認(rèn)證失??;若此企業(yè)域未作MSISDN 號(hào)碼綁定或撥號(hào)終端的IMSI 號(hào)碼在綁定列表中,則認(rèn)證完成;
● MSISDN 與IP 地址綁定功能實(shí)現(xiàn)
a. MSISDN與IP 綁定關(guān)系維護(hù)
企業(yè)端管理員通過營業(yè)系統(tǒng)企業(yè)端的MSISDN 與IP 綁定維護(hù)功能,設(shè)置,修改或刪除某個(gè)MSISDN 號(hào)碼綁定的IP 地址,已被綁定的IP 地址將不能被再次綁定,一個(gè)MSISDN 中國聯(lián)通廣西分公司 地址:南寧市金浦路8號(hào) 郵編:530000 客服電話: 10010 4
,廣西聯(lián)通APN 資料
號(hào)碼只能綁定一個(gè)IP 地址;資料保存到數(shù)據(jù)庫中
b. MSISDN與IP 綁定關(guān)系查詢
企業(yè)管理員通過營業(yè)系統(tǒng)企業(yè)端的MSISDN 與IP 綁定關(guān)系查詢,查詢某個(gè)MSISDN 號(hào)碼綁定的IP 地址,或某個(gè)IP 地址對(duì)應(yīng)的MSISDN 號(hào)碼
● GPRS APN上網(wǎng)IP 地址分配過程
a.在GPRS APN 上網(wǎng)PPP 連接建立過程中,GGSN 獲取撥號(hào)手機(jī)的MSISDN 號(hào)碼,在用戶認(rèn)證請(qǐng)求和PPP 參數(shù)中發(fā)送給GGSN
b.GGSN 將MSISDN 號(hào)碼作為一個(gè)Radius 屬性在認(rèn)證請(qǐng)求中發(fā)送給GGSN Radius Server
c.GGSN Radius Server 查詢數(shù)據(jù)庫,獲得此MSISDN 綁定的IP 地址,在響應(yīng)中返回給GGSN
d.若認(rèn)證通過,則GGSN 將此地址分配給撥號(hào)終端
MSISDN 與時(shí)間段的綁定
● MSISDN 與時(shí)間段綁定關(guān)系維護(hù)
a. MSISDN與時(shí)間綁定關(guān)系維護(hù)
企業(yè)端管理員通過營業(yè)系統(tǒng)企業(yè)端的MSISDN 與時(shí)間段綁定維護(hù)功能,設(shè)置、修改或刪除某個(gè)MSISDN 號(hào)碼綁定的時(shí)間段,一個(gè)MSISDN 號(hào)允許綁定多個(gè)時(shí)間段;資料保存到數(shù)據(jù)庫中
b. MSISDN與時(shí)間段綁定關(guān)系查詢
企業(yè)管理員通過營業(yè)系統(tǒng)企業(yè)端的MSISDN 與時(shí)間段綁定關(guān)系查詢,查詢某個(gè)MSISDN 號(hào)碼綁定的時(shí)間段列表
● GPRS APN上網(wǎng)時(shí)間段驗(yàn)證過程
a.在GPRS APN 上網(wǎng)PPP 連接建立過程中,GGSN 獲取撥號(hào)手機(jī)的MSISDN 號(hào)碼,在用戶認(rèn)證請(qǐng)求和PPP 參數(shù)中發(fā)送給GGSN
中國聯(lián)通廣西分公司 地址:南寧市金浦路8號(hào) 郵編:530000 客服電話: 10010 5
,廣西聯(lián)通APN 資料
b.GGSN 將MSISDN 號(hào)碼作為一個(gè)Radius 屬性在認(rèn)證請(qǐng)求中發(fā)送給GGSN Radius Server
c.GGSN Radius Server查詢數(shù)據(jù)庫,獲得此MSISDN 綁定的時(shí)間段列表,在響應(yīng)中返回給GGSN
d.若MSISDN 在綁定時(shí)間段列表中,則認(rèn)證通過
五、 系統(tǒng)層面安全保障
AAA 平臺(tái)中對(duì)于安全的防范內(nèi)容包括:非法訪問、入侵、作弊(管理員作弊與用戶作弊)、不穩(wěn)定運(yùn)行、防災(zāi)等。安全性:為保障AAA 平臺(tái)系統(tǒng)能對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的正常維護(hù)和監(jiān)控,必須在各個(gè)環(huán)節(jié)上提供安全措施防止非法侵入及非授權(quán)訪問,避免控制信息丟失,被篡改,導(dǎo)致維護(hù)和監(jiān)控不能正常進(jìn)行。
采用的安全措施涉及以下五個(gè)方面:
1、認(rèn)證授權(quán)安全流程
a) 內(nèi)建的NAS-RADIUS 協(xié)議密鑰安全性
b) 用戶密碼不可逆加密后的存儲(chǔ)與傳輸(可選)
c) 授權(quán)機(jī)制拒絕非法用戶的登錄
2、管理安全
a) 管理員權(quán)限:通過分級(jí)權(quán)限控制機(jī)制,使得不同的管理員執(zhí)行不同的工作。對(duì)管理員訪問的限制屬性是多方位的(帳號(hào)/口令/IP/時(shí)間等等)
b) 操作界面安全:充分利用WEB 服務(wù)器和瀏覽器本身的安全功能,如WEB 頁面不可回退等機(jī)制,實(shí)現(xiàn)操作界面的安全。
c) 敏感操作的安全提示和操作記錄(無須打開審計(jì)開關(guān),系統(tǒng)自動(dòng)記錄)。
d) 充分利用操作系統(tǒng)級(jí)別和數(shù)據(jù)庫級(jí)別的安全特性,如系統(tǒng)文件的執(zhí)行權(quán)限和用戶訪問特定表的權(quán)限控制等等。
3、審計(jì)
a) 內(nèi)建審計(jì)開關(guān)對(duì)系統(tǒng)操作進(jìn)行記錄
中國聯(lián)通廣西分公司 地址:南寧市金浦路8號(hào) 郵編:530000 客服電話: 10010 6
,廣西聯(lián)通APN 資料 b) 事后審查故障和安全事故原因
4、數(shù)據(jù)備份與恢復(fù)
a) 提供定期日常備份
b) 災(zāi)難恢復(fù)
5、業(yè)務(wù)規(guī)程安全
a) 各個(gè)業(yè)務(wù)密碼同步問題(用戶EMAIL 密碼被攻破將使入侵者得到上網(wǎng)密碼,因此不應(yīng)當(dāng)強(qiáng)制用戶將這兩個(gè)密碼同步)
b) 特定的業(yè)務(wù)操作流程來防止用戶進(jìn)行非法操作。
六、 網(wǎng)絡(luò)設(shè)備層面安全保障
提供認(rèn)證、授權(quán)、計(jì)費(fèi)及防火墻等功能,根據(jù)不同的用戶權(quán)限提供有差別的接入服務(wù),流量控制,確保網(wǎng)絡(luò)運(yùn)行的安全。
1、在GGSN 與企業(yè)之間增加了防火墻,可對(duì)用戶訪問權(quán)限進(jìn)行控制。并且對(duì)企業(yè)內(nèi)部
網(wǎng)絡(luò)形成保護(hù)。
2、對(duì)所有的網(wǎng)絡(luò)設(shè)備進(jìn)行安全防護(hù),只有指定IP 授權(quán)后才可維護(hù)這些網(wǎng)絡(luò)資源。
3、AAA 服務(wù)器增加了防火墻,只允許有指定用戶訪問AAA 管理系統(tǒng)。
4、支持隧道認(rèn)證、通過綁定IMSI 方式防止盜用帳號(hào)保證隧道數(shù)據(jù)的安全性;
5、支持GRE 綁定關(guān)系的手工建立;
6、支持PAP 、CHAP 驗(yàn)證用戶口令;
7、基于用戶的訪問控制UCL/ACL;可以防止病毒攻擊;
8、用戶聯(lián)接數(shù)限制,防止用戶私接用戶、網(wǎng)絡(luò)病毒;
9、防止DOS 拒絕服務(wù)攻擊;
10、
11、 網(wǎng)管口令和接入限制。 防止針對(duì)BGATE1030-VRP 的大流量數(shù)據(jù)攻擊。
7 中國聯(lián)通廣西分公司 地址:南寧市金浦路8號(hào) 郵編:530000 客服電話: 10010
,廣西聯(lián)通APN 資料
12、 可以不同VR 的用戶相互訪問,通過ACL 也可以禁止同一VR 中用戶相互訪
問
七、 BSS 營帳上的操作說明
集團(tuán)選產(chǎn)品
界面位置:客戶評(píng)價(jià)管理-集團(tuán)維系部分-集團(tuán)業(yè)務(wù)受理-集團(tuán)管理-集團(tuán)選產(chǎn)品
輸入總部編碼,點(diǎn)擊查詢,點(diǎn)擊集團(tuán)信息:
產(chǎn)品類型選擇APN 專用流量,
點(diǎn)擊集團(tuán)產(chǎn)品可選框后面的按鈕,選擇產(chǎn)品,點(diǎn)擊確定
中國聯(lián)通廣西分公司 地址:南寧市金浦路8號(hào) 郵編:530000 客服電話: 10010 8
,廣西聯(lián)通APN 資料
輸入集團(tuán)名稱,勾選需要開通的特服包
最后點(diǎn)擊保存,操作完成。
成員選產(chǎn)品
具體操作類似手機(jī)組網(wǎng),請(qǐng)參照以前的操作說明。集團(tuán)成員選擇對(duì)應(yīng)的APN 流量包即可。 界面位置:客戶評(píng)價(jià)管理-集團(tuán)維系部分-集團(tuán)業(yè)務(wù)受理-成員管理-成員產(chǎn)品增刪改 輸入手機(jī)號(hào)碼,點(diǎn)擊查詢
中國聯(lián)通廣西分公司 地址:南寧市金浦路8號(hào) 郵編:530000 客服電話: 10010
9
,廣西聯(lián)通APN 資料
點(diǎn)擊選產(chǎn)品
點(diǎn)擊確定
選擇集團(tuán)套餐包,點(diǎn)擊服務(wù)套餐
地址:南寧市金浦路8號(hào) 郵編:530000 客服電話: 10010
10 中國聯(lián)通廣西分公司