|
根据企业对网络安全的特殊要求,基于GPRS网络的数据传输方案,采用了多种安全措施,主要包括:
通过一条2M 专线接入移动企业GPRS网络,双方互联路由器之间采用私有IP地址进行广域连接,在GGSN与移动企业互联路由器之间采用GRE隧道。
为客户分配专用的APN,普通用户不得申请该APN。用于GPRS专网的SIM卡仅开通该专用APN,限制使用其他APN。
客户可自建一套RADIUS服务器和DHCP服务器,GGSN向RADIUS服务器提供用户主叫号码,采用主叫号码和用户账号相结合的认证方式;用户通过认证后由DHCP服务器分配企业内部的静态IP地址。
端到端加密:移动终端和服务器平台之间采用端到端加密,避免信息在整个传输过程中可能的泄漏。
双方采用防火墙进行隔离,并在防火墙上进行IP地址和端口过滤。
业务流程
GPRS专网系统终端上网登录服务器平台的流程为:
1) 用户发出GPRS登录请求,请求中包括由移动企业为GPRS专网系统专门分配的专网APN;
2) 根据请求中的APN,SGSN向DNS服务器发出查询请求,找到与企业服务器平台连接的GGSN,并将用户请求通过GTP隧道封装送给GGSN;
3) GGSN将用户认证信息(包括手机号码、用户账号、密码等)通过专线送至Radius进行认证;
4) Radius认证服务器看到手机号等认证信息,确认是合法用户发来的请求,向DHCP服务器请求分配用户地址;
5) Radius认证通过后,由Radius向GGSN发送携带用户地址的确认信息;
6) 用户得到了IP地址,就可以携带数据包,对GPRS专网系统信息查询和业务处理平台进行访问。 专有APN在功能上可以和Internet的VPN做类比,实际上他就是基于GPRS的VPN网络。 专有APN常见组网方式 1,运营商部署一条专线接入到企业的网络中,局端和企业端路由器之间采用私有IP进行连接。
2,局端互连路由器与GGSN采用GRE隧道连接。
专有APN的几个重要特点:
1,除非运营商分配一个Internet IP地址,否则计算机没有任何办法通过Internet访问该APN中的主机。
2,只有手机卡号在APN中的白名单之列,该手机才可以接入该APN。
3,企业客户可以建立一套RADIUS和DHCP服务器,GGSN向RADIUS服务器提供用户主叫号码,采用主叫号码和用户账号相结合的认证方式;用户通过认证后由DHCP服务器分配企业内部的静态IP地址。补充:该认证方式不一定适合于每个省的运营商,这取决于该省运营商的APN管理平台。
| 
发表于 2014-10-21 10:35:17