GPRS 无线接入的安全性

GPRS 无线接入的工作流程： 银行通过专线和移动公司 GPRS 网的 GGSN 相连，在移动 GGSN 网元上为银行设置一个专用的接入 APN 点，从而在企业使用的移动设备和银行内部网络之间构成一条无线虚拟专网（ VPN ）通道，解决了企业提出的内部网络安全性及数据私密性的要求。 　　移动终端在进行 GPRS 附着时， SGSN 首先向 HLR 查询移动终端所允许使用的 APN ，然后通过 DNS 将 APN 解析成相应的 IP 地址。专用的 APN 在 GGSN 上将体现为专用的网络地址段。由于银行通过专线和移动公司连接，此时移动终端己通过此种方式通过 GPRS 相接到企业专网上了。 安全性保障 第一级安全保障： GPRS 网络本身的安全性 用户认证 GPRS 将使用 GSM 定义的认证过程，其差异是： 该过程是从 SGSN 执行的。 GPRS 认证过程执行用户认证、选择加密算法和加密起始时刻的同步。认证三重系存于 SGSN 中。一旦附着 IMSI ， MSC/VLR 将不通过 SGSN 对移动台认证，也不能位置更新，但在 CS 连接建立期间可以认证移动台。 用户识别码保密 临时逻辑链路识别码（ TLLI ）用来识别一个 GPRS 用户。 TLLI 和 IMSI 之间的管理只有在移动台和 SGSN 内才能知道。 TLLI 根据 SGSN 安排的 P-TMSI 得到，或者由移动台创建。当移动台处于就绪状态时， SGSN 任何时候都可以重新安排 P-TMSI 。重新安排过程根据 P-TMSI 重新安排过程来执行，或者也可以包含在附着或路由更新过程中。 2 第二级安全保障： GPRS 网络侧的 AAA 认证 AAA 是指认证（ Authentication ）、授权（ Authorization ）、计费（ Accounting ）三个过程，其中： 认证是，用户在使用网络系统中的资源时对用户身份的确认。这一过程，通过与用户的交互获得身份信息（像用户名－口令、生物特征信息等），然后提交给认证服务器；认证服务器对身份信息与存储在数据库里的用户信息进行核对处理，然后根据处理结果确认用户身份是否正确。 授权是，网络系统授权用户以特定的权限使用其资源，这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限，如授予 IP 地址，准许访问时间等。 计费是，网络系统收集、记录用户对网络资源的使用信息，以便向用户收取资源使用费。以互联网业务提供商 ISP 为例，用户的网络接入使用情况可以按流量或者时间准确地记录下来。 认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益，又能有效地保障网络系统安全可靠地运行。 GPRS 网络侧的 AAA 认证过程是对用户的域名进行鉴权认证。 GPRS 网络侧的 AAA 服务器对登录用户的域名和该用户的 IMSI 进行绑定审核验证。验证通过后，方可接入 GPRS 网络。 第三级安全保障： GPRS 网络和用户网络之间的 VPN 链接 GPRS 网络和用户网络之间可以采用专线链接，也可以使用 Internet 链接。使用 Internet 链接必须考虑安全性，因此，可以使用 VPN 将二者利用 Internet 链接起来。 VPN 是在不安全的 Internet 上传输的，传输内容可能涉及到企业的机密数据，因此安全性非常重要。 VPN 中的安全技术通常由加密、认证及密钥交换与管理组成。主要有认证技术，加密技术，秘钥管理与交换技术。 第四级安全保障：用户网络侧的安全防火墙（ FW ） 防火墙技术是目前用来实现网络安全措施的一种主要手段，主要是用来拒绝非法用户的访问，阻止非法用户存取敏感数据，同时允许合法用户顺利访问网络资源。防火墙实际上是一种访问控制技术，在某个机构的内部网络和不安全网络之间设置障碍，阻止对信息资源的非法访问，也可以使用防火墙阻止保密信息从受保护网络上的非法输出。 用户网络可以选用适合于本单位的防火墙产品来保证自己网络数据的安全。 第五级安全保障：用户网络侧的 AAA 鉴权认证 用户网络侧的 AAA 鉴权认证可以实现对 VPDN 成员的身份认证。与第二级的安全保障不同，本级的 AAA 服务器将鉴别 VPDN 成员的用户名和密码的正确性。