GPRS传输协议平台如图3所示。
图3 GPRS传输协议平台
LLC(Logical Link Control)协议基于HDLC(高级数据链路控制规程)协议,LLC帧包含帧头、临时地址字段、可变长度信息字段和帧检测序列,为MS和SGSN之间提供高可靠的逻辑链路,可传输确认帧和非确认帧,对中断帧可检测重发,支持点对点和点对多点数据传输。利用同一个物理信道实现网络和多个MS之间传输信息,LLC层允许信息传送有不同优先级。
SNDCP(SubNetwork Dependent Convergence Protocol)协议属于网络层协议,从移动台MS到SGSN,数据分组被分成几个子网相关的收敛数据单元,SNDCP协议执行用户数据的分段处理、用户数据的压缩、TCP/IP头的压缩和加密功能。
BSSGP(Base SubSystem GPRS Protocol)协议支持基站和SGSN之间传送路由信息和QoS信息,及执行SGSN和BSC(基站控制器)之间信令管理和分组确认功能。Network Service(NS)网络服务层用来传输BSSGP PDUs,它是基于BSS和SGSN间的帧中继连接,可以采用直联方式,也可经过帧中继网络进行连接。
GTP(GPRS Tunnelling Protocol)协议在GPRS骨干网中在GSNs之间(如SGSN和GGSN)提供协议信道,所有的PTP分组数据协议的PDUs应由GTP协议进行封装。
TCP/UDP,其中TCP是承载需要可靠数据链路(如X25)的GPRS骨干网的GTP PDUs的协议,而UDP是承载不需可靠数据链路 (如IP)的GPRS骨干网的GPT PDUs的协议。TCP提供流量控制和保护GTP PDUs避免数据丢失和崩溃功能,而UDP仅提供避免GTP PDUs崩溃的功能。
IP是GPRS骨干网协议,用于用户数据和控制信令的路由协议,GPRS第一阶段采用Ipv4,最终要采用Ipv6协议。
L1bis,L1,L2底层协议,在GPRS规范中没有明确规定,各厂商的解决方法可能不同。
在MS和SGSN之间,由SNDCP/LLC协议来路由转发分组数据单元PDU,通过TLLI/NSAPI标识来唯一识别特定用户的PDU。在 SGSN和GGSN之间,利用GTP头中的TID和IP头中的GSN地址来唯一标识特定用户的PDU传输隧道。GPRS中的分组数据传输主要分为MS- PDN、MS-MS两种类型。图5描述了分组数据的路由传输方式。
(1)MS-PDN分组路由传输
当MS在归属网络中时,分组数据路由方式,如图5中“1”所示。由MS发出的PDU通过SNDCP/LLC协议传输到SGSN,SGSN通过 GPRS内部骨干网,采用GTP协议,将PDU以隧道方式路由传输到GGSN,由GGSN互联PDN网,将PDU最终转发给TE。
当MS在拜访网络中时,根据PDP地址由归属网络分配,还是由拜访网络分配,分为两种方式。当由拜访网络分配时,其路由过程类似于MS在归属网络中的情况。当PDP地址由归属网络分配时,其路由过程如图5中“2”所示。MS发出的PDU需通过BG网关转发回归属网络的GGSN,由归属网络的 GGSN接入外部PDN。这两种方式各有优缺点,前者效率较高,可避免PDU跨GPRS骨干网络传输,大大减少GPRS骨干网互联的带宽需求,但要求不同网络运营者和PDU业务提供者达成相关漫游协议,增加了网络建设的复杂性。后者实现简单,当漫游用户较少时,不失为一种快捷方便的实现方式。
(2)MS-MS分组路由传输
MS-MS分组路由传输根据两个MS是否属于同一GPRS内部骨干网分为两种情况。当两个MS属于同一GGSN时,其路由传输方式如图5中 “3”所示。MS1发出的PDU送达GGSN后,GGSN发现目的地址在GGSN内,又将该PDU封装后发给MS2所在的SGSN,从而到达MS2。
当两个MS属于两个不同的GPRS骨干网时,根据GGSN之间是否存在路由,又分为两种路由传输方式。当GGSN之间存在路由时,如图5中 “4”所示,MS1发出PDU到达GGSN,GGSN发现与目的地址对应的GGSN之间有GPRS可达路由,则将PDU经PLMN间骨干网送往目的 GGSN,进而转发给MS2。如没有GPRS可达路由,则如图中“5”所示,将PDU经由外部PDN发往目的GGSN。
图4 GPRS分组数据路由传输方式
2.信令协议平台
GPRS信令协议平台由控制协议以及支持传输协议平台组成,主要实现如下功能:
控制GPRS网接入连接,如与GPRS网连接和断开;
控制网络接入连接的建立,如分组数据协议PDP(X25或IP)地址激活;
为了支持用户的移动性,控制建立网络连接的路径;
当用户的需求改变时,控制网络资源的分配。
GPRS中主要有如下信令协议平台:
MS-SGSN之间的信令协议平台。其中GMM/SM(GPRS Mobility Management and Session Management)协议支持移动管理功能,如GPRS连接、断开、安全管理、路由更新、位置更新、PDP文本激活和去激活等。
SGSN-HLR之间的信令协议平台,采用标准的MAP信令,支持SGSN和HLR之间的信令交换,是在GSM网的基础上,为GPRS的移动性管理增加的新功能。
SGSN-MSC/VLR之间的信令协议平台如图8所示,BSSAP+协议是BSSAP协议的子集,支持SGSN-MSC/VLR之间的信令,实现MSC和SGSN之间的互 *** 作。
GSN-GSN之间的信令协议平台如图9所示,GTP协议为GPRS骨干网中的SGSN和GGSN之间及SGSN之间的用户数据和信令信息提供隧道。
在GPRS中还有其它一些信令,如:SGSN-EIR之间的MAP信令,SGSN-SMS-SC之间的MAP信令等。
GPRS业务处理流程
GPRS的业务处理流程主要由移动性管理流程和PDP激活/去激活处理流程实现。GPRS移动性管理流程主要有附着、分离、位置管理等处理流程,每个处理流程中通常会加入登记、鉴权、IMEI校验、加密等接入控制与安全管理功能。PDP激活/去激活处理流程都分为MS发起和网络发起的两种处理流程。
四、GPRS业务及应用
1.业务特点及种类
GPRS网为移动数据用户主要提供突发性数据业务,能快速建立连接,无建链时延。GPRS特别适用于频繁传送小数据量的应用和非频繁传送大量数据。GPRS能提供的PTP(点对点)和PTM(点对多点)数据业务外,还能支持补充业务和短消息业务。
GPRS网提供的承载业务:
(1)点对点无连接网络业务(PTP-CLNS)
PTP-CLNS属于数据报类型业务,各个数据分组彼此互相独立,用户之间的信息传输不需要端到端的呼叫建立程序,分组的传送没有逻辑连接,分组的交付没有确认保护,主要支持突发非交互式应用业务,是由IP协议支持的业务。
(2)点对点面向连接的数据业务(PTP-CONS)
PTP-CONS属于虚电路型业务,它为两个用户或多个用户之间传送多路数据分组建立逻辑虚电路(PVC或SVC)。PTP-CONS业务要求有建立连接、数据传送和连接释放工作程序。PTP-CONS支持突发事件处理和交互式应用业务,是面向连接网络协议,如X25协议支持的业务,在无线接口,利用确认方式提高可靠性。
(3)点对多点数据业务(PTM)
GPRS提供的点对多点业务可根据某个业务请求者要求,把信息送给多个用户,又可细分为点对多点多信道广播业务(PTM-M)、点对多点群呼业务(PTM-G)、IP广播业务(IP-M)
(4)其它业务
包括GPRS补充业务、GSM短消息业务、匿名的接入业务和各种GPRS电信业务。
2.GPRS应用
GPRS应用主要分为面向个人用户的横向应用和面向集团用户的纵向应用两种。
对于横向应用,GPRS可提供网上冲浪、E-mail、文件传输、数据库查询、增强型短消息等业务。
对于纵向应用,GPRS可提供以下几类应用:
运输业:车辆及智能调度;
金融、证券和商业:无线POS、无线ATM、自动售货机、流动银行等;
PTM业务更可完美支持股市动态、天气预报、交通信息的实时发布;
公共安全业:随时随地接入远程数据库;
遥测、遥感、遥控:如气象、水文系统收集数据,对灾害进行遥测和告警,远程 *** 作;
提供业务,使企业员工能够随时随地与总部保持联系,降低公司建设自己的广域网的成本;
另外,还能提供种类繁多、功能强大的以GPRS承载业务为基础的网络应用业务和基于WAP的各种应用。
对GPRS应用举两个例子进行分析。如图6所示为GPRS手机与GPS联合提供车辆的实时调度、监控和管理,GPS探测到的车辆当前位置信息,由GPRS手机通过GPRS网络实时地传输到车辆调度中心,车辆调度中心的指示、命令也可以通知PTP或PTM方式发送给一个或多个驾驶员,完全可以取代现有的无线集群指挥调度系统,具有成本低廉、覆盖范围广、无需专人维护的优点。
采用远程拨号方式接入虚拟网,使用第二层隧道协议L2TP。移动用户接入提供功能的GGSN,GGSN首先通过自己的 Radius服务器对输入的公司名进行认证,然后启动到公司总部路由器的L2TP隧道协商,由总部和GGSN的Radius服务器对TID进行认证,通过后就建立起GGSN和公司总部路由器之间隧道连接。此时用户的PPP包可以直达公司总部路由器,由公司总部路由器通过公司的Radius服务器完成对用户级的认证,通过后,就建立起GPRS手机到达公司总部路由器的PPP链路,从而真正实现移动办公业务。
随着产业互联网时代各行业数字化转型的逐步深入,用户有越来越多的业务依托公有云承载。公有云为用户构建数字化业务带来了极大便利和效率提升,但同时也对用户安全体系的建设带来了新的挑战。根据咨询机构的调查显示,公有云上安全事件发生的原因主要有用户不当的云配置以及云上的不当 *** 作行为和越权 *** 作。用户在公有云上除了需要应对外部威胁外,也需要做好自身的安全配置及云上 *** 作的管理,防患于未然。
基于用户面临的云上安全挑战,腾讯安全即将发布腾讯云安全运营中心20,在原有安全运营中心的安全事件管理、泄漏监测及安全大屏等功能基础上新增资产安全中心、安全配置管理、云上用户行为智能分析、合规管理及安全评分等功能,帮助用户实现更全面的安全风险监测和一站式的自动化安全运营,提升用户在公有云上的整体安全水平。
安全评分
安全运营中心全新发布安全评分功能。基于安全运营中心的云上安全数据湖,从安全事件、漏洞及云安全配置风险等维度对云上安全情况进行整体评分,帮助云上用户直观了解自身腾讯云上业务的整体安全态势。
统一云上资产安全中心
资产安全运营是安全运营的基础。安全运营中心全新发布资产安全中心,实现12类云上资产的统一安全管理,涉及云服务器CVM、负载均衡LB、MySQL数据库、TDSQL数据库、Redis数据库、对象存储COS、云硬盘CBS及SSL证书等。资产安全中心可基于安全运营视角,从配置风险、漏洞及安全事件等角度对资产安全风险进行定位和管理,实现面向云资产的安全运营管理。针对云服务器,资产安全中心提供统一的漏洞运营平台,结合腾讯安全云鼎实验室提供的关键漏洞预警能力,帮助用户提升漏洞应对能力。
自动化云安全配置检查
针对云上各类型资产的配置风险,安全运营中心基于腾讯自身安全实践,为用户提供云原生的资产配置风险检查功能。从基础安全防护、身份认证与权限、网络访问控制、数据安全、日志审计及监控告警等维度,对云上12类资产进行自动化的配置风险检查;针对发现的风险问题提供相应的处置建议和快速修复方式,从源头提升云上风险应对水平。
云上用户行为智能分析(预览)
除了外部攻击及自身配置风险外,公有云业务面临的另一大安全风险来自于云上业务运营中的异常行为与风险 *** 作。安全运营中心的Cloud UBA功能模块通过可视化、统计分析和异常检测等方式可对用户在公有云上的 *** 作行为进行智能分析,识别安全风险。一方面,通过对 *** 作路径、 *** 作的云资源、 *** 作行为、以及用户登录趋势等的统计与可视化呈现,帮助安全管理人员高效、直观地掌握云资源 *** 作情况;另一方面,通过对云上的 *** 作行为进行异常检测与动态风险评估,实现云上 *** 作行为的风险智能化识别。
持续自动化的合规评估(预览)
合规是用户上云的基本安全要求。安全运营中心可为云上用户提供云原生的安全合规评估功能。针对用户公有云上的安全措施及安全体系建设情况,结合安全合规要求,安全运营中心通过自动化地、持续性地监测、评估来帮助用户实现云上业务的安全合规。目前已经覆盖了等级保护20标准中的部分安全通用要求及云计算安全扩展要求,并提供相应的解决方案建议,后续腾讯云将逐步提高对各类合规标准的覆盖。
IPSec 隧道模式对于保护不同网络之间的通信(当通信必须经过中间的不受信任的网络时)十分有用。隧道模式主要用来与不支持 L2TP/IPSec 或 PPTP 连接的网关或终端系统进行互 *** 作。可以在下列配置中使用隧道模式:
网关到网关
服务器到网关
服务器到服务器AH协议
隧道中报文的数据源鉴别
数据的完整性保护
对每组IP包进行认证,防止黑客利用IP进行攻击
AH 隧道模式使用 AH 与 IP 报头来封装 IP 数据包并对整个数据包进行签名以获得完整性并进行身份验证。
内网渗透之>
欢迎分享,转载请注明来源:内存溢出
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)