2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩22頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、APN網(wǎng)絡(luò)安全技術(shù)簡介,中國聯(lián)通,目錄,,APN 技術(shù)原理APN技術(shù)安全性組網(wǎng)方案對比業(yè)務(wù)應(yīng)用實(shí)例,2,APN技術(shù)簡介,簡介:APN(Access Point Name 接入點(diǎn)名稱)網(wǎng)絡(luò)又稱VPDN(Virtual Private Dialup Networks)網(wǎng)絡(luò),是虛擬撥號專網(wǎng)技術(shù)的簡稱,它是基于撥號用戶的虛擬專用網(wǎng)絡(luò),利用IP網(wǎng)絡(luò)的承載功能,結(jié)合相應(yīng)的認(rèn)證、加密和授權(quán)機(jī)制,在公用網(wǎng)絡(luò)中建立專用

2、的虛擬數(shù)據(jù)通信網(wǎng)絡(luò)。,3,利用第三代移動(dòng)通信網(wǎng)絡(luò),APN可作為遠(yuǎn)程訪問和網(wǎng)絡(luò)互聯(lián)的高效低價(jià)、快速、安全可靠的解決方案,集靈活性、安全性、經(jīng)濟(jì)性以及可擴(kuò)展性于一身,可充分滿足政府、企業(yè)分支機(jī)構(gòu)、移動(dòng)辦公安全通信的需求,已成為一項(xiàng)相當(dāng)普及的網(wǎng)絡(luò)業(yè)務(wù)。,APN網(wǎng)絡(luò)結(jié)構(gòu)圖示,APN網(wǎng)絡(luò)拓?fù)?實(shí)質(zhì):利用無線資源替代部分有線資源,構(gòu)建用戶數(shù)據(jù)通信網(wǎng)絡(luò)。,4,終端:可以是手機(jī)、筆記本、無線Modem等,根據(jù)客戶不同的需求選用不同的終端。GGSN:網(wǎng)

3、關(guān)GPRS支持節(jié)點(diǎn), 起網(wǎng)關(guān)作用,和不同數(shù)據(jù)網(wǎng)絡(luò)連接。客戶通過WCDMA網(wǎng)絡(luò)接入到GGSN,GGSN判斷是APN用戶,向指定的客戶側(cè)路由器發(fā)起GRE/L2TP連接,可分配IP地址。SGSN:GPRS服務(wù)支持節(jié)點(diǎn),主要完成分組數(shù)據(jù)包的路由轉(zhuǎn)發(fā)、移動(dòng)性管理、會(huì)話管理、邏輯鏈路管理、鑒權(quán)和加密、話單產(chǎn)生和輸出等功能HLR:歸屬位置寄存器。保存的是用戶的基本信息,并負(fù)責(zé)對客戶的域名進(jìn)行鑒權(quán)認(rèn)證。VLR:拜訪者位置寄存器。保存的是用戶的動(dòng)態(tài)

4、信息和狀態(tài)信息,以及從HLR下載的用戶的簽約信息。專線:通常采用物理專線(如MSTP/SDH),此專線將聯(lián)通的WCDMA網(wǎng)關(guān)和客戶側(cè)路由器連接起來??蛻魝?cè)路由器:需支持GRE/L2TP協(xié)議,要與GGSN建立GRE/L2TP隧道客戶AAA服務(wù)器:又稱客戶Radius,用于認(rèn)證、授權(quán),實(shí)現(xiàn)對撥號用戶名、密碼和IP地址的管理,此服務(wù)器為可選配置,用于提高網(wǎng)絡(luò)的安全性。,,APN技術(shù)可靠性,無線接入部分: 1、無線接入不需要鋪設(shè)銅

5、線或光纜,可以避免道路施工、樓宇裝修等損壞。 2、無線接入容易受環(huán)境影響,在弱覆蓋或干擾較大的區(qū)域穩(wěn)定性較差。核心網(wǎng)絡(luò)部分: 1、核心網(wǎng)網(wǎng)絡(luò)設(shè)備全部是雙平面配置,可以保證任何一臺設(shè)備故障都不中斷業(yè)務(wù)。 2、SGSN、GGSN部署POOL,可以實(shí)現(xiàn)設(shè)備級冗余??蛻艟W(wǎng)絡(luò)部分: 1、客戶可根據(jù)需要選擇租用一條或多條專線。如果租用多條專線,可以配置負(fù)荷分擔(dān)或主備鏈路。,5,組網(wǎng)方案對比,,,使用成本,,,應(yīng)用

6、范圍,,,網(wǎng)絡(luò)穩(wěn)定性,,,可擴(kuò)展性,,,數(shù)據(jù)安全,,,網(wǎng)絡(luò)結(jié)構(gòu)簡單,傳統(tǒng)VPN,APN技術(shù),,網(wǎng)絡(luò)特性對比,,,,,,,,,,,,,,,,,,,,,,1、APN技術(shù)只需要一條能夠聯(lián)通GGSN與用戶核心機(jī)房專線即可。2、APN技術(shù)也可以使用傳統(tǒng)VPN的相關(guān)安全策略。3、用戶新增外圍通信節(jié)點(diǎn)無需新增物理線路。4、無線網(wǎng)絡(luò)狀況決定APN技術(shù)的穩(wěn)定性。5、傳統(tǒng)VPN可以使用的均可引入APN6、APN總體使用成本比專線組網(wǎng)低,APN技術(shù)

7、與傳統(tǒng)專線業(yè)務(wù)對比,6,APN接入方式1——GRE,GRE(通用路由封裝)接入方式:需要客戶內(nèi)部網(wǎng)具有能夠與聯(lián)通行業(yè)應(yīng)用GGSN互通的物理通路(APN專線),是對某些網(wǎng)絡(luò)層協(xié)議(如IP和IPX)的數(shù)據(jù)報(bào)進(jìn)行封裝,使這些被封裝的數(shù)據(jù)報(bào)能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議(如IP)中傳輸,即在GGSN與客戶路由器間建立GRE隧道。其優(yōu)點(diǎn)在于實(shí)施便捷,對用戶設(shè)備要求較低,具有較高的安全性。但GRE無線側(cè)可擴(kuò)展性有限,一張USIM或SIM卡只能用于一個(gè)無線

8、側(cè)數(shù)據(jù)設(shè)備與核心側(cè)的互聯(lián)互通,或僅用于多個(gè)無線側(cè)數(shù)據(jù)設(shè)備主動(dòng)訪問核心側(cè)的業(yè)務(wù)模式。,7,APN接入方式2——L2TP,L2TP(二層隧道協(xié)議)接入方式:需要客戶內(nèi)部網(wǎng)具有能夠與聯(lián)通行業(yè)應(yīng)用GGSN互通的物理通路(APN專線),并由GGSN上的L2TP訪問集中器(LAC)與客戶專用支持L2TP協(xié)議路由器(LNS)為每個(gè)PPP連接建立L2TP二層隧道。其優(yōu)點(diǎn)在于用戶對于網(wǎng)絡(luò)控制程度高,具有高安全性,無線側(cè)可擴(kuò)展性強(qiáng),一張USIM或SIM卡

9、可用于多個(gè)無線側(cè)數(shù)據(jù)設(shè)備與核心側(cè)的互聯(lián)互通業(yè)務(wù)。但L2TP需要用戶擁有較高的路由交換技術(shù)能力,對于L2TP組網(wǎng)有較好的理解,并且對于其自身網(wǎng)絡(luò)及網(wǎng)絡(luò)規(guī)劃有清晰的了解。,8,,APN 技術(shù)原理APN技術(shù)安全性組網(wǎng)方案對比業(yè)務(wù)應(yīng)用實(shí)例,目錄,9,提供專享的APN鑒權(quán)接入(只有符合客戶專用APN域名的無線卡才能接入,該域名的申請和綁定都需要經(jīng)過特定流程)使用專用行業(yè)網(wǎng)關(guān)GGSN,與互聯(lián)網(wǎng)GGSN網(wǎng)關(guān)互相獨(dú)立SGSN和GGSN基于PD

10、P(分組數(shù)據(jù)報(bào)文)上下文轉(zhuǎn)發(fā)報(bào)文,不同客戶之間以及同一客戶不同用戶之間完全隔離核心網(wǎng)報(bào)文轉(zhuǎn)發(fā)全部經(jīng)過GTP隧道封裝,終端和客戶網(wǎng)絡(luò)都無法進(jìn)入核心網(wǎng)絡(luò)支持GRE/L2TP隧道接入方式,GGSN可與客戶接入路由器間建立GRE或L2TP隧道并支持多種安全加密方式,,核心網(wǎng)安全,APN技術(shù)安全性——總體安全保障(1),10,,,,,客戶內(nèi)網(wǎng)出口至聯(lián)通移動(dòng)網(wǎng)間,采用物理專線進(jìn)行數(shù)據(jù)傳輸,與互聯(lián)網(wǎng)隔離,確保數(shù)據(jù)在全封閉環(huán)境內(nèi)傳遞,不受影響,,數(shù)

11、據(jù)專線安全,,WCDMA來自于軍事級擴(kuò)頻技術(shù)、快速功率控制將信號隱藏在噪聲中,無法被監(jiān)聽增強(qiáng)的128位5元組(隨機(jī)數(shù)RAND、期望響應(yīng)XRES、加密密鑰CK、完整性密鑰IK和認(rèn)證令牌AUTN)鑒權(quán)密碼算法。網(wǎng)絡(luò)以臨時(shí)識別碼(TMSI)給用戶在傳輸信息中屏蔽用戶真實(shí)身份128位加密密鑰(CK),通過KASUMI分組加密算法函數(shù)f8對數(shù)據(jù)進(jìn)行加密采用信令完整性保護(hù),防止消息被惡意篡改和偽造提供了雙向認(rèn)證。不但提供基站對移動(dòng)終端(M

12、S)的認(rèn)證,也提供了移動(dòng)終端對基站的認(rèn)證,可有效防止偽基站攻擊接入鏈路數(shù)據(jù)加密延伸至無線網(wǎng)絡(luò)控制器(RNC);無線接入網(wǎng)絡(luò)(RAN)是運(yùn)營商的網(wǎng)絡(luò),主要負(fù)責(zé)從無線信號中提取信息向分組域或電路域轉(zhuǎn)發(fā),數(shù)據(jù)在其中傳輸也會(huì)有加密,壓縮等步驟。而且RAN都是底層設(shè)備,數(shù)據(jù)在上層的含義對這些設(shè)備來說是抽象的,RAN設(shè)備本身不會(huì)帶來安全隱患。WCDMA安全機(jī)制具有可拓展性,可為將來引入新業(yè)務(wù)提供安全保護(hù)措施,無線網(wǎng)絡(luò)安全,APN技術(shù)安全性——

13、總體安全保障(2),11,APN技術(shù)安全性——總體安全保障(3),12,,支持客戶自建AAA的接入鑒權(quán)方式,實(shí)現(xiàn)對每個(gè)撥入的號碼進(jìn)行賬號和密碼認(rèn)證,并可捆綁手機(jī)串號(IMEI)、手機(jī)卡串號(IMSI)、用戶名、密碼進(jìn)行認(rèn)證, 客戶可自行分配IP地址和撥入服務(wù)器主機(jī)IP地址和域名,其他人無法知曉客戶可以在其內(nèi)網(wǎng)部署防火墻或網(wǎng)閘設(shè)備,對不同網(wǎng)絡(luò)間的通信進(jìn)行限制或隔離處理,將APN網(wǎng)絡(luò)系統(tǒng)受外界影響的風(fēng)險(xiǎn)降到最低??莎B加對終端或端對端的加

14、密安全措施、如CA認(rèn)證、TF卡加密、SSL/IPSec VPN加密等可疊加終端及應(yīng)用管理平臺(如華為HDMP)措施,綜合實(shí)現(xiàn)對終端、網(wǎng)絡(luò)傳輸、應(yīng)用等多方面的安全保障,疊加安全措施,,,安全TF卡,安全TF卡,,APN技術(shù)安全性——GRE組網(wǎng)方式,GRE組網(wǎng)業(yè)務(wù)安全性,,GGSN,SGSN,客戶內(nèi)網(wǎng),HLR,聯(lián)通基站,,地市匯聚路由器或交換機(jī),GRE隧道,,,SDH/MSTP,,,,WCDMA 3G,,,用戶業(yè)務(wù)安全性保障點(diǎn):1、聯(lián)通

15、側(cè)對卡是否合法進(jìn)行判定;2、聯(lián)通側(cè)對于卡使用的APN是否合法進(jìn)行判定3、客戶AAA對于用戶號碼是否合法進(jìn)行判定;4、客戶AAA對于用戶名、密碼是否合法進(jìn)行判定,13,,客戶AAA,,GGSN,SGSN,客戶內(nèi)網(wǎng),HLR,聯(lián)通基站,,L2TP隧道,,,SDH/MSTP,,,,WCDMA 3G,,,APN技術(shù)安全性——L2TP組網(wǎng)方式,地市匯聚路由器或交換機(jī),L2TP組網(wǎng)業(yè)務(wù)安全性,用戶業(yè)務(wù)安全性保障點(diǎn):1、聯(lián)通側(cè)對卡是否合法進(jìn)行判

16、定;2、聯(lián)通側(cè)對于卡使用的APN是否合法進(jìn)行判定用戶自行將認(rèn)證消息由路由器轉(zhuǎn)向RADIUS后:3、客戶AAA對于用戶號碼或IMSI是否合法進(jìn)行判定(路由器無法使用該項(xiàng))4、客戶AAA對于用戶名、密碼是否合法進(jìn)行判定,14,,客戶AAA,APN技術(shù)測評,15,目前,中國聯(lián)通APN專網(wǎng)(即VPDN專網(wǎng))的安全認(rèn)證通過“國家信息安全認(rèn)證中心”測評,并取得《信息系統(tǒng)安全測評證書》(信息系統(tǒng)安全保障級二級)。,,APN 技術(shù)原理APN技

17、術(shù)安全性組網(wǎng)方案對比業(yè)務(wù)應(yīng)用實(shí)例,目錄,16,組網(wǎng)方案對比,1、大多數(shù)工業(yè)用路由器、部分防火墻支持該功能2、業(yè)務(wù)支持度取決于路由器性能,吞吐能力與設(shè)備所支持會(huì)話數(shù)密切相關(guān),1、大多數(shù)工業(yè)用路由器、部分防火墻均支持該功能2、業(yè)務(wù)支持度高,吞吐能力僅決定于設(shè)備處理帶寬,設(shè)備復(fù)雜度,一個(gè)無線終端下掛多個(gè)IP設(shè)備,并可以實(shí)現(xiàn)用戶核心側(cè)主動(dòng)訪問這些IP設(shè)備,一個(gè)無線終端僅對應(yīng)一個(gè)IP設(shè)備時(shí),才可以實(shí)現(xiàn)用戶核心側(cè)主動(dòng)訪問這些IP設(shè)備,可擴(kuò)展

18、性,1、可以使用RADIUS認(rèn)證2、地址綁定只在用戶側(cè)實(shí)現(xiàn)3、用戶號碼或IMSI中任意一個(gè),1、可以使用RADIUS認(rèn)證2、地址綁定聯(lián)通或用戶側(cè)實(shí)現(xiàn)3、RADIUS消息中僅攜帶用戶號碼,安全性,L2TP隧道方式,GRE隧道方式,,,,,,,,組網(wǎng)方式,網(wǎng)絡(luò)特性,,GRE隧道方式與L2TP隧道方式技術(shù)實(shí)現(xiàn)對比,17,支持多隧道備份,支持多隧道備份,可靠性,小流量業(yè)務(wù)與GRE區(qū)別不明顯,大流量業(yè)務(wù)支持較好,小流量業(yè)務(wù)與L2TP區(qū)別不

19、明顯,性能,,,,,APN 技術(shù)原理APN技術(shù)安全性組網(wǎng)方案對比業(yè)務(wù)應(yīng)用實(shí)例,目錄,18,業(yè)務(wù)應(yīng)用實(shí)例——公安移動(dòng)警務(wù),19,典型案例:廣東省公安廳、廣東省邊防總隊(duì)、江門交警、惠州交警、汕頭公安局、揭陽交警……,,利用APN接入網(wǎng)絡(luò),結(jié)合公安無線安全接入平臺及終端安全TF卡/USB卡等加密認(rèn)證措施,實(shí)現(xiàn)手機(jī)、平板、筆記本等移動(dòng)終端的隨時(shí)隨地辦公和執(zhí)法。,20,業(yè)務(wù)應(yīng)用實(shí)例——消防滅火救援指揮系統(tǒng),在省消防總隊(duì)同樣利用APN接入網(wǎng)絡(luò)

20、實(shí)現(xiàn)了視頻、語音、定位數(shù)據(jù)、消防信息等的交互,大大提高了滅火救援效率,手機(jī)、筆記本等移動(dòng)辦公等系統(tǒng)也得到了好的應(yīng)用。,APN專網(wǎng),業(yè)務(wù)應(yīng)用實(shí)例——公安無線視頻監(jiān)控系統(tǒng),在省技術(shù)偵察局及省內(nèi)包括佛山、深圳等幾個(gè)公安局都使用APN接入網(wǎng)絡(luò)進(jìn)行3G無線視頻監(jiān)控。,21,22,業(yè)務(wù)應(yīng)用實(shí)例——省武警總隊(duì)可視化指揮平臺,在廣東省武警總隊(duì)的可視化指揮平臺實(shí)現(xiàn)了PTT對講終端與指揮中心實(shí)時(shí)的視頻、語音、定位數(shù)據(jù)、文本信息等的交互,其中也使用APN網(wǎng)絡(luò)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論