APN网络安全技术简介

格式：ppt
大小：8.14 MB
文档页数：23

下载文档原格式

/ 23

APN专网组网模式与设置

精心整理4.2APN 专网组网模式与设置(现用平升GPRS 系统)4.2.1组网要求数据在移动公司数据网络内部传递，不进入INTERNET 网络。

VPN 专网组网模式适合安全性要求高，数据点比较少，时时性要求高，资金投入比较大的地方。

组网要求：1）所用数据卡必须开通短信功能、GPRS 功能。

2）移动公司提供一个APN 接入点，并为每张数据卡绑定固定IP 。

3）数据中心使用A 型GPRS 模块，现场使用B 型GPRS 模块。

41个A 型GPRS 4.2.24.2.2.14.2.2.2测点测点1、点击确定然后退出。

点击专网演示在16进制接收、16进制发送前打钩，在选择目标地址中选择现场模块的卡号。

在发送数据区填写符合协议的命令，点发送，如果通讯正常，在接收数据区能返回数据。

有必要时，关掉本地防火墙：开始---控制面板选出现端口1028只是一种尝试。

测试过程提高电脑速度的方法先看一下电脑的“系统资源”是多少，右键单击“我的电脑”，选择“属性”，再选择“性能”，看一下“系统资源”是多少，一般应该达到95%左右还差不多。

1、电脑桌面上的东西越少越好，我的电脑桌面上就只有“我的电脑”和“回收站”。

东西多了占系统资源。

虽然在桌面上方便些，但是是要付出占用系统资源和牺牲速度的代价。

解决办法是，将桌面上快捷方式都删了，因为在“开始”菜单和“程序”栏里都有。

将不是快捷方式的其他文件都移到D盘或E盘，不要放在C盘。

C盘只放WINDOWS的文件和一些程序安装必须安装在C盘的，其他一律不要放在C盘，放在D盘或E盘。

2文件系统””改为“1283、“Temp 文件夹文件夹”4、“开始”“开始”菜单里也全有。

可以将最常用的软件的快捷方式添加在开始菜单，将次常用的添加在程序菜单。

5、将桌面墙纸和屏幕保护程序都设置为“无”.6、选择左下角的“开始”——“程序”——“附件”——“系统工具”——“维护向导”，选择“修改我的维护设置或安排”确定，再选择“自定义”，下一步，“自定义”，再下一步，出现一个对话框“更加快速地启动Windows”，将里面的对勾全部取消啊，这是开机时启动的程序，有的根本不用的，如果用再启动也很快的。

APN产品手册

10元
50MB
0.25元/MB
20元
100MB
0.2元/MB
30元
150MB
0.2元/MB
40元
300MB
0.13元/MB
50元
500MB
0.1元/MB
移动视频监控行业应用资费解决方案（3G上网卡）
3G上网卡大流量套餐
档位/月费
套内流量
套内单价
套外单价
150元
5GB
0.03元/MB
0.1元/MB
200元
二、智能公交扩展套餐（扩展套餐必须要和共享基本套餐叠加使用）
套餐月费（元）
包含定向共享流量
超出报内共享流量后收费
说明
1600
40GB
0.1元/MB
超过“基本套餐包内流量”与“叠加包套餐内流量”之和后，按照0.1元/M收费
3240
90GB
4800
150GB
8400
300GB
21600
900GB
30000
7GB
0.03元/MB
300元
15GB
0.02元/MB
500元
25GB
0.02元/MB
3G智能公交套餐
一、共享流量基本套餐（必选）
套餐月费（元）
包含定向共享流量
超出保内共享流量后收费
说明
600Hale Waihona Puke 12GB0.1元/MB
起步套餐(n<20)
nx30
nx600MB
n>=20
备注：n为行业客户使用的USIM卡数量
中国联通网上营业厅：7x24小时客户服务专线
8、成功案例
8.1案例一
某银行进行ATM机部署工作，由于传统ATM机部署受到有线网络限制部署工作周期长，难度大。通过联通WCDMA无线APN业务接入,无线ATM机设置灵活便捷，根据银行的业务需求灵活增减、调配大大缩短了部署周期，降低了部署成本。

APN网络和WIFI网络环境的安全系统搭建

APN网络和WIFI网络环境的安全系统搭建作者：郝伟来源：《中国科技纵横》2012年第08期摘要：在APN网络和WIFI网络环境下的安全系统的搭建,主要为新的一种网络架构和防护措施,通过这种安全网络环境,实现安全可靠的接入内网系统。

关键词：APN网络和WIFI网络安全网络系统搭建郝伟1、背景目前,国家电网公司主要业务系统(安全生产、营销、物资、应急指挥、移动办公等)在逐步采用移动作业终端通过GPRS/CDMA/3G等无线接入技术与信息内、外网进行数据交换系统。

但此类接入在终端侧、传输通道和业务访问等方面都存在安全风险。

随着智能电网和SG-ERP(国家电网资源计划)的建设,对国家电网公司信息安全的机密性、完整性和可用性提出了更高要求。

国家电网公司主要业务系统已逐步采用PC终端接入方式通过公用移动通信网络与信息内、外网进行数据交换,且接入数量将会持续快速增长。

在这种形势下,如何保证PC终端安全、可信地接入电力信息网络,同时保证机密数据不会遭到泄露,并实现对接入对象和操作的监控与审计,已成为国家电网公司智能电网和SG-ERP信息化建设过程中的迫切需要解决的问题。

同时,未来智能电网更加复杂的接入环境、多样灵活的接入方式、数量庞大的接入终端对信息的安全、可信、可控的接入都提出了新的要求。

2、安全风险WIFI,是一种无线互联技术,它可以将个人电脑、手持设备(如PDA、手机)等终端以无线方式互相连接。

由于采用无线互联技术,所以使用WIFI技术主要存在如下几方面的安全风险:范围广,不可控;信号容易被捕捉,密码容易被破解;用户身份被冒用等高等安全风险。

采用无线公网的传输通道(APN)和虚拟私有拨号网络(VPDN),都是使用公共线路传输数据,线路没有完全与其它用户进行物理隔离。

使用APN和VPDN主要存在如下几方面的安全风险:传输数据机密性易被破坏;传输数据完整性易被破坏;传输数据真实性易被破坏;传输数据容易被篡改,用户身份容易被冒用。

APN销售FAQ

APN销售FAQ一、APN产品相关 (2)1.什么是APN？ (2)2.什么是VPN？ (2)3.APN能作什么？ (2)4.APN产品属于哪一层的设备？ (2)5.APN的防火墙有什么功能？ (2)6.APN防火墙是基于哪一层工作的？有什么局限性？ (2)7.APN的产品型号如何划分的，客户如何选择？ (2)8.如果ADSL的IP地址改变了，要怎么连接建立隧道，APN怎么设置？ (3)9.在使用应用软件时如何设置APN才能正常使用？ (3)10.使用APN以后，想实现语音和视频功能怎么办？ (4)一、APN产品相关1.什么是APN？APN中的A是Anytime、Anywhere、Anyconnection、Advance的意思。

APN GW是基于VPN技术的一种网络安全设备。

是基于智能化的新一代VPN，SMART VPN。

2.什么是VPN？VPN的英文全称是Virtual Private Network，中文就叫虚拟私有网络。

VPN可以将不同的地方的局域网通过Internet连接成一个大的局域网，局域网之间的计算机可以互相访问共享文件夹等。

这跟使用DDN连接两个局域网相似，用户向运营商（如中国电信）申请了DDN后，就享有了这条DDN的专用权。

但VPN是通过Internet传送的，Internet是公共的，所以我们只能称为虚拟和私有。

3.APN能作什么？APN是基于互联网进行安全数据通讯的网关型硬件产品，能够保证数据安全通过互联网隧道进行数据传输，同时提供防火墙和局域网监控功能，在隧道建立完毕以后能够运基于TCP/IP的任何运用，包括软件、VOIP、视频会议等运用。

4.APN产品属于哪一层的设备？APN产品是基于TCP/IP七层的第三层进行工作，是属于网络层的设备，能够处理基于网络层的各种运用，支持TCP/IP协议运用。

5.APN的防火墙有什么功能？APN集成的防火墙有两个版本，APN GW200/2000是基于2.5版本，APN GW2500/5000是基于3.0版本的设备，同时APN GW2500有公安部的防火墙认证防火墙支持带宽管理、流量监控、DMZ管理、对外网访问的控制、对内网和VPN网络的控制，详细功能见说明书。

XX市交警大队太阳能测速APN组网方案

XX市交警大队太阳能测速APN组网方案一、APN技术简介APN（Access Point Name 接入点服务商名称）是中国移动GPRS 针对数据专网用户所提供的无线DDN服务。

当用户没有申请专用APN时，登陆GPRS网缺省APN为“CMNET”，登录后，获取10.xxx.xxx.xxx的IP，通过此IP可访问Internet。

没有申请专用APN的用户都将登录CMNET域，但所有SIM卡之间不能通信。

申请APN成功后，需在拨号前，将无线终端里将缺省的APN名称“CMNET”，改为申请的APN名称，如：XXjd@yz.js 。

用户在申请APN后，移动公司将在GGSN节点上为用户专门分配一个域，并将用户申请的SIM卡绑定在此域内。

当域内SIM卡在GGSN 上登录时，GGSN需核对SIM卡的IMEI号码及APN名称，正确无误后，将分配域内SIM卡指定的IP地址。

如：192.168.1.xxx 如果此时APN名称填入的是“CMNET”，则将此卡作为普通用户处理，分配10.xxx.xxx.xxx 的IP。

注意，采用专网APN登录成功后，所有域内SIM 卡之间可以相互通信。

但不能访问域以外的其它IP，包括Internet。

APN应用实例GPRS拨号上网时，移动GGSN分配手机模块一个IP地址（静态或动态、公用或私有），目前中国移动提供的是动态的IP。

为了提高数据传输的可靠性和稳定性，我们可以向移动公司申请APN服务。

移动公司可以为接入用户建立VPN（X虚拟专用网），而且移动公司为每个APN客户提供一个绑定网内IP的SIM卡。

以扬州移动公司为例：申请APN服务时，可以申请接入YZTEST01测试网，并由此获得扬州移动提供的网内IP，它是10.101.X.X网段的一个固定IP。

这样，系统的所有数据都是在YZTEST01测试网传输。

该系统的管理中心也用一个GPRS Modem来接入GPRS网内。

其实，GZTEST01测试网可以理解为一个大型的无线GPRS局域网，而且这个无线局域网给每个GPRS终端用户提供的是一个动态的IP地址，当GPRS 数据采集终端想要实现点对点的数据传输时，就必须知道对方分配到的动态IP地址。

简单概述APN-VPDN实现GPRS DTU无线数传方案

基于APN/VPDN专网业务实现GPRS DTU无线数据传输方案1、前言利用GPRS无线传输技术，基于GPRS 网络，通过APN/VPDN专网业务，利用才茂通信DTU 无线传输终端设备，可以为电力、水利、热网、环保、交通等行业提供实时的数据传输、采集、发布、远程管理与控制、实现远程无线数据传输的完美解决方案。

2、关于GPRS、APN与VPDN2.1、GPRS（General Packet Radio Service）通用无线分组业务所谓GPRS，是一种基于GSM系统的无线分组交换技术，提供端到端的、广域的无线IP 连接。

GPRS充分利用共享无线信道，采用IP Over PPP实现数据终端的高速、远程接入。

作为现有GSM网络向第三代移动通信演变的过渡技术（2.5G），GPRS在许多方面都具有显著的优势。

GPRS有下列特点及优点：1）、可充分利用现有资源------中国移动全国范围的GSM电信网络，灵活、方便、快速、低建设成本地为用户数据终端提供远程接入网络的部署；2）、传输速率高，GPRS数据传输速度可达到57.6Kbps，最高可达到115Kbps—170Kbps，完全可以满足用户应用的需求，下一代GPRS业务的速度可以达到384Kbit/s；3）、接入时间短，GPRS接入等待时间短，可快速建立连接，平均为两秒；4）、提供实时在线功能“alwaysonline”，用户将始终处于连线和在线状态，这将使访问服务变得非常简单、快速；5）、资费便宜，计费合理：GPRS是按流量计费的，GPRS用户只有在发送或接收数据期间才占用资源，用户可以一直在线，按照用户接收和发送数据包的数量来收取费用，没有数据流量的传递时，用户即使挂在网上也是不收费的。

GPRS业务，具有接入迅速、永远在线、流量计费等特点，在远程突发性数据实时传输中有不可比拟的优势，特别适合于频发小数据量的实时传输,因而GPRS业务在某些行业上有特殊的应用。

apn用户名规则

apn用户名规则
APN (Access Point Name) 是移动网络的接入点，它允许设备连接到互联网。

在使用移动网络时，每个用户都需要一个唯一的APN用户名来进行身份验证。

下面是关于APN用户名规则的说明。

1. 格式规则：APN用户名通常是一个字符串，可以包含字母、数字和一些特殊字符。

一般情况下，它必须满足以下要求：
- 只能由大小写字母、数字和特殊字符组成；
- 没有空格或其他空字符；
- 通常长度限制在15到20个字符之间。

2. 唯一性：每个用户的APN用户名必须是唯一的。

这是因为APN用户名用于身份验证和区分不同的用户。

如果两个用户使用相同的APN用户名，可能会导致连接问题或者数据冲突。

3. 定制规则：有些运营商可能会对APN用户名有额外的定制规则，以便更好地管理和识别用户。

这些规则可能包括：
- 必须以特定字符开头或结尾；
- 不能重复使用特定的字符串；
- 不允许使用特定的敏感词或字符。

4. 更新和重置：在某些情况下，用户可能需要更新或重置APN用户名。

这可能是因为安全性原因、遇到连接问题或者更换新的移动网络计划。

在这种情况下，用户需要按照运营商提供的流程进行操作，以便更改或重置他们的APN用户名。

总的来说，APN用户名规则是确保每个用户在移动网络上具有唯一身份的重要规则。

用户需要遵守相关规定，并按照需要更新或重置他们的APN用户名。

这将确保他们能够顺利地连接到移动网络并享受到互联网的便利。

APN业务介绍

1）用户防火墙配置映射功能将规划的服务器IP（如192.168.0.2）和实际使用IP（如172.16.0.2）进行映射用户访问业务时仍然访问规划的服务器IP（如192.168.0.2）
二、APN业务模式——普通APN模式默认开通的都是普通APN模式，适用情形： 2、用户已有服务器，且IP与规划不符。
五、MPLS VPN介绍——什么是MPLS VPN？
MPLS VPN是指采用MPLS（多协议标签交换）技术在骨干的宽带IP网络上构建企业IP专网，实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信，并结合差别服务、流量工程等相关技术，将公众网可靠的性能、良好的扩展性、丰富的功能与专用网设备”到“用户防火墙”之间拉了一条网线。客户需要准备： 1、支持GRE隧道功能的防火墙。 2、配置GRE隧道。
二、APN业务模式——L2TP拨号银行类客户因安全要求，需要进行二次拨号身份系省公司共同完成业务配置。
二、APN业务模式——普通APN模式默认开通的都是普通APN模式，适用情形： 1、用户使用预先分配的IP作为服务器IP
用户的服务器直接和专线互联，服务器配置的IP是预先分配好的，适用于全新业务。
二、APN业务模式——普通APN模式默认开通的都是普通APN模式，适用情形： 2、用户已有服务器，且IP与规划不符。
四、短彩信业务
排障： 1、ping网关，网关设备位于临城机房，看是否通。 2、tcping省公司网关地址（端口号7890）看是否通，如有不通可换其他的。
五、MPLS VPN介绍——数字电路早期的专线业务（即数字电路），主要通过传输设备将用户两端网络连接起来。
缺点： 1、永久占据带宽，传输网压力大。 2、价格相对较高。 3、需要传输光缆布放到位，无法利用GPON网络。

APN基础知识

APN基础知识⼀．APN的简介APN的完整说明在3GPP规范TS23.003 Clause 9中进⾏了详细定义。

MCCMNC的定义在3GPP规范TS23.003 Clause 2的IMSI定义中。

APN在GPRS⾻⼲⽹中⽤来标识要使⽤的外部PDN（Packet data network，分组数据⽹，即常说的Internet），在GPRS⽹络中代表外部数据⽹络的总称。

APN由以下两部分组成：APN⽹络标识：是⽤户通过GGSN/PGW（Gateway GPRS Support Node，GPRS⽹关⽀持节点/PDN Gateway ，分组数据⽹⽹关）可连接到外部⽹络的标识，该标识由⽹络运营者分配给ISP（Internet Service Provider，因特⽹业务提供者）或公司，与其固定Internet域名⼀致，是APN的必选组成部分。

例如，定义移动⽤户通过该接⼊某公司的企业⽹，则APN的⽹络标识可以规划为“”。

APN运营者标识：⽤于标识GGSN/PGW所归属的⽹络，是APN的可选组成部分。

其形式为“MNCxxxx.MCCyyyy.gprs”（3G⽹络中），或者“（4G⽹络中）。

APN实际上就是对⼀个外部PDN的标识，这些PDN包括企业内部⽹、Internet、WAP⽹站、⾏业内部⽹等专⽤⽹络。

⼆．Apn参数的组成例：移动apn，把所有的属性都放在⼀起如下Carrier：apn的名字，可为空，只⽤来显⽰apn列表中此apn的显⽰名字。

Mcc：由三位数组成。

⽤于识别移动⽤户的所在国家;Mnc：由两位或三位组成。

⽤于识别移动⽤户的归属PLMN。

MNC的长度（两位或三位数）取决于MCC的值。

Apn：APN⽹络标识（接⼊点名称），是APN参数中的必选组成部分。

此标识由运营商分配。

Proxy：代理服务器的地址Port：代理服务器的端⼝号Mmsc：MMS中继服务器/多媒体消息业务中⼼，是彩信的交换服务器。

Mmsproxy：彩信代理服务器的地址Mmsport：彩信代理服务器的端⼝号Protocol：⽀持的协议，不配置默认为IPV4。

5g中apn的作用

在5G网络中，APN（Access Point Name）的作用是指定了设备或用户连接到电信运营商网络时需要使用的网络访问点名称。

APN是一个标识符，可以理解为一个网络接入的标签或者地址。

具体来说，APN用于标识用户数据通信业务的接入点和访问网络的方式，它包含了访问点的信息，例如：网络类型、访问协议、IP地址等。

1.APN在5G网络中的主要作用有以下几个方面：
1.数据传输：APN用于指定设备或用户连接到5G网络时用于数据传输的网络接入点，确
保数据能够正确地从设备发送到运营商的网络。

2.安全访问：APN可以用于设定特定的安全策略和网络设置，以确保数据传输的安全性和
隐私性。

3.服务区域：APN可以用于区分不同的服务区域，根据用户所在的地理位置或所需的服务
类型来选择合适的网络接入点和服务配置。

4.流量控制：运营商可以根据设备或用户所使用的APN来控制数据流量，例如限制带宽、
设置优先级等。

总之，APN在5G网络中起到了指定设备或用户连接到网络的访问点和配置相关网络参数的作用，确保数据传输的稳定性、安全性和可控性。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

身网络及网络规划有清晰的了解。
目录
APN 技术原理 APN技术安全性组网方案对比业务应用实例
9
APN技术安全性——总体安全保障（1）
客户AAA 客户业务平台 HLR 路由器防火墙
WCDMA 3G
联通基站移动终端区移动通信网 SGSN GGSN APN专线路由器移动接入管理区使用的APN是否合法进行判定用户自行将认证消息由路由器转向RADIUS后: 3、客户AAA对于用户号码或IMSI是否合法进行判定（路由器无法使用该项） 4、客户AAA对于用户名、密码是否合法进行判定
14
APN技术测评
目前，中国联通 APN 专网（即 VPDN 专网）的安全认
客户内网
2、联通侧对于卡使用的APN是否合法进行判定 3、客户AAA对于用户号码是否合法进行判定； 4、客户AAA对于用户名、密码是否合法进行判定
13
APN技术安全性——L2TP组网方式
• L2TP组网业务安全性
数据通道建立地市汇聚路由器或交换机
GGSN
客户AAA
HLR WCDMA 3G SGSN
•典型案例：广东省公安厅、广东省边防总队、江门交警、惠州交警、汕头公安局、揭阳交警……
19
业务应用实例——消防灭火救援指挥系统
在省消防总队同样利用APN接入网络实现了视频、语音、定位数据、消防信息等的交互，大大提高了灭火救援效率，手机、笔记本等移动办公等系统也得到了好的应用。
APN专网
20
业务应用实例——公安无线视频监控系统

APN技术安全性——总体安全保障（3）
华为HDMP 管理平台客户AAA 客户业务平台安全TF卡 HLR 路由器 WCDMA 3G 安全TF卡移动终端区联通基站移动通信网 SGSN GGSN APN专线路由器移动接入管理区业务平台区防火墙
GRE/L2TP隧道
主动访问核心侧的业务模式。
APN接入方式2——L2TP
MS BSC/RNC
企业网1
SGSN Gn GGSN Gi LNS 防火墙
LAC
LNS
企业网2
PPP协议
L2TP（二层隧道协议）接入方式：
L2TP隧道
需要客户内部网具有能够与联通行业应用 GGSN 互通的物理通路（ APN 专线），并由 GGSN 上的 L2TP访问集中器（ LAC ）与客户专用支持 L2TP 协议路由器（ LNS）为每个 PPP 连接建立L2TP二层隧道。其优点在于用户对于网络控制程度高，具有高安全性，无线侧可扩展性强，一张 USIM 或 SIM 卡可用于多个无线侧数据设备与核心侧的互联互通业务。但 L2TP需要用户拥有较高的路由交换技术能力，对于L2TP组网有较好的理解，并且对于其自 8
L2TP隧道方式
1、可以使用RADIUS认证 2、地址绑定只在用户侧实现 3、用户号码或IMSI中任意一个一个无线终端下挂多个 IP 设备，并可以实现用户核心侧主动访问这些 IP设备 1 、大多数工业用路由器、部分防火墙支持该功能 2 、业务支持度取决于路由器性能，吞吐能力与设备所支持会话数密切相关支持多隧道备份
GRE/L2TP隧道
•核心网安全

提供专享的APN鉴权接入(只有符合客户专用APN域名的无线卡才能接入，该域名的申请和绑定都需要经过特定流程）使用专用行业网关GGSN，与互联网GGSN网关互相独立 SGSN和 GGSN基于PDP（分组数据报文）上下文转发报文，不同客户之间以及同一客户不同用户之间完全隔离核心网报文转发全部经过GTP隧道封装，终端和客户网络都无法进入核心网络支持GRE/L2TP 隧道接入方式， GGSN可与客户接入路由器间建立GRE或 L2TP隧道并支持多种安全加密方式
网络结构简单数据安全
可扩展性网络稳定性应用范围
使用成本
6
APN接入方式1——GRE
客户AAA
HLR WCDMA 3G SGSN GGSN
地市汇聚路由器或交换机
SDH/MSTP
BSS
GRE隧道
客户内网
GRE（通用路由封装）接入方式：需要客户内部网具有能够与联通行业应用 GGSN互通的物理通路（APN专线），是对某些网络层协议（如IP和IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输，即在GGSN与客户路由器间建立GRE隧道。其优点在于实施便捷，对用户设备要求较低，具有较高的安全性。但 GRE 无线侧可扩展性有限，一张 USIM 或 SIM卡只能用于一个无线侧数据设备与核心侧的互联互通，或仅用于多个无线侧数据设备7
。在省技术侦察局及省内包括佛山、深圳等几个公安局都使用 APN接入网络进行3G无线视频监控
5
组网方案对比
APN技术与传统专线业务对比
1 、 APN 技术只需要一条能够联通 GGSN与用户核心机房专线即可。 2、APN技术也可以使用传统VPN的相关安全策略。 3、用户新增外围通信节点无需新增物理线路。 4、无线网络状况决定APN技术的稳定性。 5 、传统 VPN 可以使用的均可引入 APN 6、APN总体使用成本比专线组网低网络特性对比 APN技术传统VPN
SDH/MSTP
联通基站
L2TP隧道
SGSN根据APN 终端发起激活请求用户接入路由器完成 GGSN 发起到用户接查询 DNS 指向用户业务安全性保障点： APN 与GGSN的PPP协商并将激活请求用户激活入路由器的PPP协商用户名 1、联通侧对卡是否合法进行判定；并下发地址给终端发送到GGSN 密码
APN网络安全技术简介
中国联通
目录
APN 技术原理 APN技术安全性组网方案对比业务应用实例
2
APN技术简介
简介： APN （ Access Point Name 接入点名称）网络又称 VPDN(Virtual Private Dialup Networks)网络，是虚拟拨号专网技术的简称，它是基于拨号用户的虚拟专用网络，利用IP网络的承载功能，结合相应的认证、加密和授权机制，在公用网络中建立专
4
APN技术可靠性
无线接入部分： 1、无线接入不需要铺设铜线或光缆，可以避免道路施工、楼宇装修等损坏。 2、无线接入容易受环境影响，在弱覆盖或干扰较大的区域稳定性较差。 • 核心网络部分： 1、核心网网络设备全部是双平面配置，可以保证任何一台设备故障都不中断业务。 2、SGSN、GGSN部署POOL，可以实现设备级冗余。 • 客户网络部分： 1、客户可根据需要选择租用一条或多条专线。如果租用多条专线，可以配置负荷分担或主备链路。 •
安全性
可扩展性设备复杂度
可靠性性能
小流量业务与GRE区别不明显
17
目录
APN 技术原理 APN技术安全性组网方案对比业务应用实例
18
业务应用实例——公安移动警务
利用APN接入网络，结合公安无线安全接入平台及终端安全 TF卡/USB卡等加密认证措施，实现手机、平板、笔记本等移动终端的随时随地办公和执法。
用的虚拟数据通信网络。
利用第三代移动通信网络，APN可作为远程访问和网络互联的高效低价、快速、安全可靠的解决方案，集灵活性、安全性、经济性以及可扩展性于一身，可充分满足政府、企业分支机构、移动办公安全通信的需求，已成为一项相当普及的网络业务。
3
APN网络拓扑
实质：利用无线资源替代部分有线资源，构建用户数据通信网络。
•叠加安全措施

支持客户自建 AAA的接入鉴权方式，实现对每个拨入的号码进行账号和密码认证，并可捆绑手机串号（IMEI）、手机卡串号（IMSI）、用户名、密码进行认证，客户可自行分配IP地址和拨入服务器主机IP地址和域名，其他人无法知晓客户可以在其内网部署防火墙或网闸设备，对不同网络间的通信进行限制或隔离处理，将APN网络系统受外界影响的风险降到最低。可叠加对终端或端对端的加密安全措施、如 CA 认证、 TF 卡加密、 SSL/IPSec VPN加密等 12 可叠加终端及应用管理平台（如华为 HDMP ）措施，综合实现对终端、网络传输、应用等多方面的安全保障
10
APN技术安全性——总体安全保障（2）
•数据专线安全 •无线网络安全 WCDMA 来自于军事级扩频技术、快速功率控制将信号隐藏在噪声中，无法被监听增强的128位5元组（随机数RAND、期望响应XRES、加密密钥CK、完整性密钥IK和认证令牌AUTN）鉴权密码算法。网络以临时识别码（TMSI）给用户在传输信息中屏蔽用户真实身份 128位加密密钥(CK)，通过KASUMI分组加密算法函数f8对数据进行加密采用信令完整性保护，防止消息被恶意篡改和伪造提供了双向认证。不但提供基站对移动终端(MS)的认证，也提供了移动终端对基站的认证，可有效防止伪基站攻击接入链路数据加密延伸至无线网络控制器（RNC）；无线接入网络（ RAN）是运营商的网络，主要负责从无线信号中提取信息向分组域或电路域转发，数据在其中传输也会有加密，压缩等步骤。而且 RAN都是底层设备，数据在上层的含义对这些设备来说是抽象的， RAN设备本身不会带来安全隐患。 11 WCDMA 安全机制具有可拓展性，可为将来引入新业务提供安全保护措施客户内网出口至联通移动网间，采用物理专线进行数据传输，与互联网隔离，确保数据在全封闭环境内传递，不受影响
证通过“国家信息安全认证
中心”测评，并取得《信息系统安全测评证书》（信息
系统安全保障级二级）。
15
目录
APN 技术原理 APN技术安全性组网方案对比业务应用实例