APN网络安全技术简介.ppt

APN网络安全技术简介,中国联通,目录,APN 技术原理 APN技术安全性 组网方案对比 业务应用实例,2,APN技术简介,简介：APN（Access Point Name 接入点名称）网络又称VPDN(Virtual Private Dialup Networks)网络，是虚拟拨号专网技术的简称，它是基于拨号用户的虚拟专用网络，利用IP网络的承载功能，结合相应的认证、加密和授权机制，在公用网络中建立专用的虚拟数据通信网络。,3,利用第三代移动通信网络，APN可作为远程访问和网络互联的高效低价、快速、安全可靠的解决方案，集灵活性、安全性、经济性以及可扩展性于一身，可充分满足政府、企业分支机构、移动办公安全通信的需求，已成为一项相当普及的网络业务。,APN网络结构图示,APN网络拓扑,实质：利用无线资源替代部分有线资源，构建用户数据通信网络。,4,终端：可以是手机、笔记本、无线Modem等，根据客户不同的需求选用不同的终端。 GGSN：网关GPRS支持节点, 起网关作用，和不同数据网络连接。客户通过WCDMA网络接入到GGSN，GGSN判断是APN用户，向指定的客户侧路由器发起GRE/L2TP连接，可分配IP地址。 SGSN：GPRS服务支持节点，主要完成分组数据包的路由转发、移动性管理、会话管理、逻辑链路管理、鉴权和加密、话单产生和输出等功能 HLR：归属位置寄存器。保存的是用户的基本信息，并负责对客户的域名进行鉴权认证。 VLR：拜访者位置寄存器。保存的是用户的动态信息和状态信息，以及从HLR下载的用户的签约信息。 专线：通常采用物理专线（如MSTP/SDH），此专线将联通的WCDMA网关和客户侧路由器连接起来。 客户侧路由器：需支持GRE/L2TP协议，要与GGSN建立GRE/L2TP隧道 客户AAA服务器：又称客户Radius，用于认证、授权，实现对拨号用户名、密码和IP地址的管理，此服务器为可选配置，用于提高网络的安全性。,APN技术可靠性,无线接入部分： 1、无线接入不需要铺设铜线或光缆，可以避免道路施工、楼宇装修等损坏。 2、无线接入容易受环境影响，在弱覆盖或干扰较大的区域稳定性较差。 核心网络部分： 1、核心网网络设备全部是双平面配置，可以保证任何一台设备故障都不中断业务。 2、SGSN、GGSN部署POOL，可以实现设备级冗余。 客户网络部分： 1、客户可根据需要选择租用一条或多条专线。如果租用多条专线，可以配置负荷分担或主备链路。,5,组网方案对比,使用成本,应用范围,网络稳定性,可扩展性,数据安全,网络结构简单,传统VPN,APN技术,网络特性对比,1、APN技术只需要一条能够联通GGSN与用户核心机房专线即可。 2、APN技术也可以使用传统VPN的相关安全策略。 3、用户新增外围通信节点无需新增物理线路。 4、无线网络状况决定APN技术的稳定性。 5、传统VPN可以使用的均可引入APN 6、APN总体使用成本比专线组网低,APN技术与传统专线业务对比,6,APN接入方式1GRE,GRE（通用路由封装）接入方式： 需要客户内部网具有能够与联通行业应用GGSN互通的物理通路（APN专线），是对某些网络层协议（如IP和IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输，即在GGSN与客户路由器间建立GRE隧道。其优点在于实施便捷，对用户设备要求较低，具有较高的安全性。但GRE无线侧可扩展性有限，一张USIM或SIM卡只能用于一个无线侧数据设备与核心侧的互联互通，或仅用于多个无线侧数据设备主动访问核心侧的业务模式。,7,APN接入方式2L2TP,L2TP（二层隧道协议）接入方式： 需要客户内部网具有能够与联通行业应用GGSN互通的物理通路（APN专线），并由GGSN上的L2TP访问集中器（LAC）与客户专用支持L2TP协议路由器（LNS）为每个PPP连接建立L2TP二层隧道。其优点在于用户对于网络控制程度高，具有高安全性，无线侧可扩展性强，一张USIM或SIM卡可用于多个无线侧数据设备与核心侧的互联互通业务。但L2TP需要用户拥有较高的路由交换技术能力，对于L2TP组网有较好的理解，并且对于其自身网络及网络规划有清晰的了解。,8,APN 技术原理 APN技术安全性 组网方案对比 业务应用实例,目录,9,提供专享的APN鉴权接入(只有符合客户专用APN域名的无线卡才能接入，该域名的申请和绑定都需要经过特定流程） 使用专用行业网关GGSN，与互联网GGSN网关互相独立 SGSN和GGSN基于PDP（分组数据报文）上下文转发报文，不同客户之间以及同一客户不同用户之间完全隔离 核心网报文转发全部经过GTP隧道封装，终端和客户网络都无法进入核心网络 支持GRE/L2TP隧道接入方式，GGSN可与客户接入路由器间建立GRE或L2TP隧道并支持多种安全加密方式,核心网安全,APN技术安全性总体安全保障（1）,10,客户内网出口至联通移动网间，采用物理专线进行数据传输，与互联网隔离，确保数据在全封闭环境内传递，不受影响,数据专线安全,WCDMA来自于军事级扩频技术、快速功率控制将信号隐藏在噪声中，无法被监听 增强的128位5元组（随机数RAND、期望响应XRES、加密密钥CK、完整性密钥IK和认证令牌AUTN）鉴权密码算法。 网络以临时识别码（TMSI）给用户在传输信息中屏蔽用户真实身份 128位加密密钥(CK)，通过KASUMI分组加密算法函数f8对数据进行加密 采用信令完整性保护，防止消息被恶意篡改和伪造 提供了双向认证。不但提供基站对移动终端(MS)的认证，也提供了移动终端对基站的认证，可有效防止伪基站攻击 接入链路数据加密延伸至无线网络控制器（RNC）； 无线接入网络（RAN）是运营商的网络，主要负责从无线信号中提取信息向分组域或电路域转发，数据在其中传输也会有加密，压缩等步骤。而且RAN都是底层设备，数据在上层的含义对这些设备来说是抽象的，RAN设备本身不会带来安全隐患。 WCDMA安全机制具有可拓展性，可为将来引入新业务提供安全保护措施,无线网络安全,APN技术安全性总体安全保障（2）,11,APN技术安全性总体安全保障（3）,12,支持客户自建AAA的接入鉴权方式，实现对每个拨入的号码进行账号和密码认证，并可捆绑手机串号（IMEI）、手机卡串号（IMSI）、用户名、密码进行认证， 客户可自行分配IP地址和拨入服务器主机IP地址和域名，其他人无法知晓 客户可以在其内网部署防火墙或网闸设备，对不同网络间的通信进行限制或隔离处理，将APN网络系统受外界影响的风险降到最低。 可叠加对终端或端对端的加密安全措施、如CA认证、TF卡加密、SSL/IPSec VPN加密等 可叠加终端及应用管理平台（如华为HDMP）措施，综合实现对终端、网络传输、应用等多方面的安全保障,叠加安全措施,安全TF卡,安全TF卡,APN技术安全性GRE组网方式,GRE组网业务安全性,GGSN,SGSN,客户内网,HLR,联通基站,地市汇聚路由器或交换机,GRE隧道,SDH/MSTP,WCDMA 3G,用户业务安全性保障点： 1、联通侧对卡是否合法进行判定； 2、联通侧对于卡使用的APN是否合法进行判定 3、客户AAA对于用户号码是否合法进行判定； 4、客户AAA对于用户名、密码是否合法进行判定,13,客户AAA,GGSN,SGSN,客户内网,HLR,联通基站,L2TP隧道,SDH/MSTP,WCDMA 3G,APN技术安全性L2TP组网方式,地市汇聚路由器或交换机,L2TP组网业务安全性,用户业务安全性保障点： 1、联通侧对卡是否合法进行判定； 2、联通侧对于卡使用的APN是否合法进行判定 用户自行将认证消息由路由器转向RADIUS后: 3、客户AAA对于用户号码或IMSI是否合法进行判定（路由器无法使用该项） 4、客户AAA对于用户名、密码是否合法进行判定,14,客户AAA,APN技术测评,15,目前，中国联通APN专网（即VPDN专网）的安全认证通过“国家信息安全认证中心”测评，并取得信息系统安全测评证书（信息系统安全保障级二级）。,APN 技术原理 APN技术安全性 组网方案对比 业务应用实例,目录,16,组网方案对比,1、大多数工业用路由器、部分防火墙支持该功能 2、业务支持度取决于路由器性能，吞吐能力与设备所支持会话数密切相关,1、大多数工业用路由器、部分防火墙均支持该功能 2、业务支持度高，吞吐能力仅决定于设备处理带宽,设备复杂度,一个无线终端下挂多个IP设备，并可以实现用户核心侧主动访问这些IP设备,一个无线终端仅对应一个IP设备时，才可以实现用户核心侧主动访问这些IP设备,可扩展性,1、可以使用RADIUS认证 2、地址绑定只在用户侧实现 3、用户号码或IMSI中任意一个,1、可以使用RADIUS认证 2、地址绑定联通或用户侧实现 3、RADIUS消息中仅携带用户号码,安全性,L2TP隧道方式,GRE隧道方式,组网方式,网络特性,GRE隧道方式与L2TP隧道方式技术实现对比,17,支持多隧道备份,支持多隧道备份,可靠性,小流量业务与GRE区别不明显,大流量业务支持较好，小流量业务与L2TP区别不明显,性能,APN 技术原理 APN技术安全性 组网方案对比 业务应用实例,目录,18,业务应用实例公安移动警务,19,典型案例：广东省公安厅、广东省边防总队、江门交警、惠州交警、汕头公安局、揭阳交警,利用APN接入网络，结合公安无线安全接入平台及终端安全TF卡/USB卡等加密认证措施，实现手机、平板、笔记本等移动终端的随时随地办公和执法。,20,业务应用实例消防灭火救援指挥系统,在省消防总队同样利用APN接入网络实现了视频、语音、定位