廣西聯(lián)通APN 資料聯(lián)通APN 資料中國聯(lián)合網(wǎng)絡通信有限公司廣西壯族自治區(qū)分公司 集團客戶事業(yè)部 二〇一二年二月 地址：南寧市金浦路8號 郵編：530000 客服電話： 10010

廣西聯(lián)通APN 資料

聯(lián)通APN 資料

中國聯(lián)合網(wǎng)絡通信有限公司廣西壯族自治區(qū)分公司 集團客戶事業(yè)部 二〇一二年二月 地址：南寧市金浦路8號 郵編：530000 客服電話： 10010 1 中國聯(lián)通廣西分公司

廣西聯(lián)通APN 資料

聯(lián)通APN 資料

一、 安全設計原則：

安全設計是對APN 接入給警務、銀行等特殊系統(tǒng)時考慮的重點因素，也是系統(tǒng)設計中最為重要的一環(huán)，但安全隱患除了技術(shù)因素，也包含很多人為因素，管理因素。要做到對用戶數(shù)據(jù)的全面保護，安全設計就從來不是孤立的，而是從各個層次的全面保障。

所以本系統(tǒng)方案在設計之初，就分別從業(yè)務層面、用戶層面、系統(tǒng)層面、網(wǎng)絡層面、外部層面多方面，考慮并設計安全方案。以下分別從各方面一一介紹。

二、 終端客戶對接APN 網(wǎng)絡拓樸：

三、 客戶手持式設備系統(tǒng)業(yè)務流程：

客戶手持終端發(fā)起PDP 激活請求，并帶上APN ；

1、SGSN 收到終端的激活請求后，檢查激活請求的合法性，如果合法則向GGSN 請求

PDP 激活；

2、GGSN 收到PDP 激活請求后，根據(jù)APN 分析需要對用戶進行認證/IP地址分配的

Radius 服務器，由Radius 服務器對用戶進行認證；（radius 可綁定MSISDN 號） 中國聯(lián)通廣西分公司 地址：南寧市金浦路8號 郵編：530000 客服電話： 10010 2

廣西聯(lián)通APN 資料

3、如果認證成功，GGSN 返回PDP 激活應答給SGSN ；SGSN 反饋激活應答消息；

4、終端收到激活成功應答后，完成IP 地址配置等，開始通信。通信請求經(jīng)SGSN 到

GGSN ；

5、GGSN 發(fā)起到相應企業(yè)的VPN 連接。該隧道由GGSN 發(fā)起，經(jīng)省中心匯聚交換機、

地市接入交換機，終結(jié)到企業(yè)路由器。

6、通信請求經(jīng)該隧道接入到企業(yè)網(wǎng)內(nèi)，實現(xiàn)終端與企業(yè)的通信。參見下圖：

GRE 隧道

四、 用戶層面安全保障

1、專用的APN 與互連網(wǎng)是完全隔離的，每個企業(yè)采用的是單獨的APN 隧道，用戶必須憑APN 名稱才可撥入，并訪問企業(yè)。 （例如：廣西銀商使用的APN 號可以設計為GXYS ．GXAPN ）

2、用戶撥入APN ，必須通過AAA 進行身份驗證，非法用戶無法接入，并且用戶名與手機號及MSISDN 號進行綁定，MSISDN 號是聯(lián)通系統(tǒng)里面唯一的，一個卡只有一個，并且無法復制。

3、安全綁定

MSISDN 與域名綁定關系維護

a. MSISDN與域名綁定關系增加

中國聯(lián)通廣西分公司 地址：南寧市金浦路8號 郵編：530000 客服電話： 10010 3

廣西聯(lián)通APN 資料

局方管理員通過營業(yè)系統(tǒng)的局端開戶功能，新增企業(yè)域用戶，錄入此域名綁定的一個或多個MSISDN 號碼；資料保存到數(shù)據(jù)庫中

b. MSISDN與域名綁定關系修改

局方管理員通過營業(yè)系統(tǒng)局端的用戶資料修改功能，修改/刪除某個域名綁定的MSISDN 號碼列表；資料保存到數(shù)據(jù)庫中

企業(yè)管理員通過營業(yè)系統(tǒng)企業(yè)端的用戶資料修改功能，修改本企業(yè)域綁定的MSISDN 號碼列表；資料保存到數(shù)據(jù)庫中

c. MSISDN與域名綁定關系查詢

局方管理員通過營業(yè)系統(tǒng)局端的用戶信息查詢功能，查詢某個域名綁定的MSISDN 號碼列表

企業(yè)管理員通過營業(yè)系統(tǒng)企業(yè)端的用戶資料修改功能，查詢本企業(yè)域綁定的MSISDN 號碼列表

● MSISDN 與域名綁定關系驗證過程

a ．在GPRS APN 上網(wǎng)PPP 連接建立過程中，GGSN 獲取撥號手機的MSISDN 號碼，并發(fā)送給GGSN Radius Server

b ．GGSN Radius Server根據(jù)GGSN 設備型號，從請求消息中解析出撥號終端的MSISDN 號碼

c ．GGSN Radius Server連接數(shù)據(jù)庫，查詢此企業(yè)域綁定的MSISDN 號碼列表

d ．若此企業(yè)域作了MSISDN 號碼綁定，且撥號終端的MSISDN 號碼不在綁定列表中，則認證失?。蝗舸似髽I(yè)域未作MSISDN 號碼綁定或撥號終端的IMSI 號碼在綁定列表中，則認證完成；

● MSISDN 與IP 地址綁定功能實現(xiàn)

a. MSISDN與IP 綁定關系維護

企業(yè)端管理員通過營業(yè)系統(tǒng)企業(yè)端的MSISDN 與IP 綁定維護功能，設置，修改或刪除某個MSISDN 號碼綁定的IP 地址，已被綁定的IP 地址將不能被再次綁定，一個MSISDN 中國聯(lián)通廣西分公司 地址：南寧市金浦路8號 郵編：530000 客服電話： 10010 4

廣西聯(lián)通APN 資料

號碼只能綁定一個IP 地址；資料保存到數(shù)據(jù)庫中

b. MSISDN與IP 綁定關系查詢

企業(yè)管理員通過營業(yè)系統(tǒng)企業(yè)端的MSISDN 與IP 綁定關系查詢，查詢某個MSISDN 號碼綁定的IP 地址，或某個IP 地址對應的MSISDN 號碼

● GPRS APN上網(wǎng)IP 地址分配過程

a．在GPRS APN 上網(wǎng)PPP 連接建立過程中，GGSN 獲取撥號手機的MSISDN 號碼，在用戶認證請求和PPP 參數(shù)中發(fā)送給GGSN

b．GGSN 將MSISDN 號碼作為一個Radius 屬性在認證請求中發(fā)送給GGSN Radius Server

c．GGSN Radius Server 查詢數(shù)據(jù)庫，獲得此MSISDN 綁定的IP 地址，在響應中返回給GGSN

d．若認證通過，則GGSN 將此地址分配給撥號終端

MSISDN 與時間段的綁定

● MSISDN 與時間段綁定關系維護

a. MSISDN與時間綁定關系維護

企業(yè)端管理員通過營業(yè)系統(tǒng)企業(yè)端的MSISDN 與時間段綁定維護功能，設置、修改或刪除某個MSISDN 號碼綁定的時間段，一個MSISDN 號允許綁定多個時間段；資料保存到數(shù)據(jù)庫中

b. MSISDN與時間段綁定關系查詢

企業(yè)管理員通過營業(yè)系統(tǒng)企業(yè)端的MSISDN 與時間段綁定關系查詢，查詢某個MSISDN 號碼綁定的時間段列表

● GPRS APN上網(wǎng)時間段驗證過程

a．在GPRS APN 上網(wǎng)PPP 連接建立過程中，GGSN 獲取撥號手機的MSISDN 號碼，在用戶認證請求和PPP 參數(shù)中發(fā)送給GGSN

中國聯(lián)通廣西分公司 地址：南寧市金浦路8號 郵編：530000 客服電話： 10010 5

廣西聯(lián)通APN 資料

b．GGSN 將MSISDN 號碼作為一個Radius 屬性在認證請求中發(fā)送給GGSN Radius Server

c．GGSN Radius Server查詢數(shù)據(jù)庫，獲得此MSISDN 綁定的時間段列表，在響應中返回給GGSN

d．若MSISDN 在綁定時間段列表中，則認證通過

五、 系統(tǒng)層面安全保障

AAA 平臺中對于安全的防范內(nèi)容包括：非法訪問、入侵、作弊（管理員作弊與用戶作弊）、不穩(wěn)定運行、防災等。安全性：為保障AAA 平臺系統(tǒng)能對整個網(wǎng)絡系統(tǒng)的正常維護和監(jiān)控，必須在各個環(huán)節(jié)上提供安全措施防止非法侵入及非授權(quán)訪問，避免控制信息丟失，被篡改，導致維護和監(jiān)控不能正常進行。

采用的安全措施涉及以下五個方面：

1、認證授權(quán)安全流程

a) 內(nèi)建的NAS-RADIUS 協(xié)議密鑰安全性

b) 用戶密碼不可逆加密后的存儲與傳輸（可選）

c) 授權(quán)機制拒絕非法用戶的登錄

2、管理安全

a) 管理員權(quán)限：通過分級權(quán)限控制機制，使得不同的管理員執(zhí)行不同的工作。對管理員訪問的限制屬性是多方位的（帳號/口令/IP/時間等等）

b) 操作界面安全：充分利用WEB 服務器和瀏覽器本身的安全功能，如WEB 頁面不可回退等機制，實現(xiàn)操作界面的安全。

c) 敏感操作的安全提示和操作記錄（無須打開審計開關，系統(tǒng)自動記錄）。

d) 充分利用操作系統(tǒng)級別和數(shù)據(jù)庫級別的安全特性，如系統(tǒng)文件的執(zhí)行權(quán)限和用戶訪問特定表的權(quán)限控制等等。

3、審計

a) 內(nèi)建審計開關對系統(tǒng)操作進行記錄

中國聯(lián)通廣西分公司 地址：南寧市金浦路8號 郵編：530000 客服電話： 10010 6

廣西聯(lián)通APN 資料 b) 事后審查故障和安全事故原因

4、數(shù)據(jù)備份與恢復

a) 提供定期日常備份

b) 災難恢復

5、業(yè)務規(guī)程安全

a) 各個業(yè)務密碼同步問題（用戶EMAIL 密碼被攻破將使入侵者得到上網(wǎng)密碼，因此不應當強制用戶將這兩個密碼同步）

b) 特定的業(yè)務操作流程來防止用戶進行非法操作。

六、 網(wǎng)絡設備層面安全保障

提供認證、授權(quán)、計費及防火墻等功能，根據(jù)不同的用戶權(quán)限提供有差別的接入服務，流量控制，確保網(wǎng)絡運行的安全。

1、在GGSN 與企業(yè)之間增加了防火墻，可對用戶訪問權(quán)限進行控制。并且對企業(yè)內(nèi)部

網(wǎng)絡形成保護。

2、對所有的網(wǎng)絡設備進行安全防護，只有指定IP 授權(quán)后才可維護這些網(wǎng)絡資源。

3、AAA 服務器增加了防火墻，只允許有指定用戶訪問AAA 管理系統(tǒng)。

4、支持隧道認證、通過綁定IMSI 方式防止盜用帳號保證隧道數(shù)據(jù)的安全性；

5、支持GRE 綁定關系的手工建立；

6、支持PAP 、CHAP 驗證用戶口令；

7、基于用戶的訪問控制UCL/ACL；可以防止病毒攻擊；

8、用戶聯(lián)接數(shù)限制，防止用戶私接用戶、網(wǎng)絡病毒；

9、防止DOS 拒絕服務攻擊；

10、

11、 網(wǎng)管口令和接入限制。 防止針對BGATE1030-VRP 的大流量數(shù)據(jù)攻擊。

7 中國聯(lián)通廣西分公司 地址：南寧市金浦路8號 郵編：530000 客服電話： 10010

廣西聯(lián)通APN 資料

12、 可以不同VR 的用戶相互訪問，通過ACL 也可以禁止同一VR 中用戶相互訪

問

七、 BSS 營帳上的操作說明

集團選產(chǎn)品

界面位置：客戶評價管理-集團維系部分-集團業(yè)務受理-集團管理-集團選產(chǎn)品

輸入總部編碼，點擊查詢，點擊集團信息：

產(chǎn)品類型選擇APN 專用流量，

點擊集團產(chǎn)品可選框后面的按鈕，選擇產(chǎn)品，點擊確定

中國聯(lián)通廣西分公司 地址：南寧市金浦路8號 郵編：530000 客服電話： 10010 8

廣西聯(lián)通APN 資料

輸入集團名稱，勾選需要開通的特服包

最后點擊保存，操作完成。

成員選產(chǎn)品

具體操作類似手機組網(wǎng)，請參照以前的操作說明。集團成員選擇對應的APN 流量包即可。 界面位置：客戶評價管理-集團維系部分-集團業(yè)務受理-成員管理-成員產(chǎn)品增刪改 輸入手機號碼，點擊查詢

中國聯(lián)通廣西分公司 地址：南寧市金浦路8號 郵編：530000 客服電話： 10010

9

廣西聯(lián)通APN 資料

點擊選產(chǎn)品

點擊確定

選擇集團套餐包，點擊服務套餐

地址：南寧市金浦路8號 郵編：530000 客服電話： 10010

10 中國聯(lián)通廣西分公司