中国联通GSM/WCDMA数字蜂窝移动通信网技术体制

拜访GPRS省网 MS BSS/RNC 拜访SGSN 对应地区GPRS省网 对应地区GGSN 外部数据网 图26 用户漫游到拜访GPRS省网使用区域性APN的路由 3) 拜访PLMN GPRS网路由

在接收到用户的激活PDP上下文请求之后， SGSN根据10.2.1节所述的选择方式之一选定APN，如果是通用APN，进行域名解析之后获得联通GGSN代理网关 IP地址，GGSN代理网关重定向到用户归属省GGSN，如图28。如果是区域性APN，进行域名解析之后获得对应地区的GGSN地址，如图29。

用户通过拜访GPRS网SGSN、联通归属省GGSN外部数据网或业务平台。拜访GPRS网SGSN和联通归属省GGSN经由双方的边界网关（BG）连接。 拜访PLMN GPRS网 MS BSS/RNC 拜访SGSN 拜访BG GGSN代理网关 归属BG 归属GGSN 外部数据网 中国联通 GPRS网 图27 用户漫游到拜访GPRS网使用通用APN的路由

拜访PLMN GPRS网 MS BSS/RNC 拜访SGSN 拜访BG 中国联通 GPRS网 联通BG 对应地区GGSN 外部数据网 图28 用户漫游到拜访GPRS网使用区域性APN的路由

11.3 信令网互通

中国联通通过国际信令网关实现与其他国家运营商No.7信令的互联，为实现国际漫游业务，国际No.7信令网应支持MAP协议的互通。

11.4 短消息、多媒体消息业务互通

中国联通GSM/WCDMA网络实现与其他运营商短消息、多媒体消息业务，通过短消息、多媒体消息互联网关进行互通。 12 安全体系

12.1 用户接入GSM/WCDMA网的安全功能

48

中国联通GSM/WCDMA数字蜂窝移动通信网技术体制

12.1.1 用户鉴权与密钥协商

鉴权的目的是为了保证用户和网络间相互身份的可靠，并防止无权用户对系统的非法接入。GSM/WCDMA网提供鉴权，避免伪基站攻击。为支持鉴权和完整性保护，使用三元组、五元鉴权参数组。

鉴权信息由SIM/USIM卡和HLR/AuC产生，SIM/USIM卡和注册的HLR/AuC应使用一致的鉴权算法，用户漫游不应受到鉴权算法制约。

在电路域，每次登记，呼叫建立尝试（UE主叫或被叫），或执行某些补充业务的激活、去活、登记、删除等情况下，由SIM/USIM卡、UE、VLR和HLR配合对用户进行鉴权和认证，移动用户都必须通过HLR的鉴权和认证才有权使用GSM/WCDMA网络的电路域业务。

在分组域工作过程中，在用户使用IMSI的附着、路由区更新、业务请求等情况下，UE、SGSN和HLR可以配合对用户进行鉴权和认证，移动用户都必须通过HLR的鉴权和认证才有权使用GSM/WCDMA网络的分组域业务。系统可以根据中国联通的需要，对鉴权和认证的场合进行配置。

12.1.2 空口信息的加密和完整性保护

为了保护终端到网络间通过空中接口无线链路所传递信息的安全，WCDMA系统提供了加密和完整性功能，其中完整性功能是必选功能，加密功能是可选功能。具体包括：

- 提供对业务和信令消息的加密（可选） - 提供对无线接口RRC消息的完整性保护

WCDMA网络应提供加密和完整性算法使用的密钥，系统和终端都应实现相应的算法。目前3GPP只提供了一种完整性保护算法和一种加密算法。

12.2 核心网的安全体系 12.2.1 电路域网络安全

电路域网络在接入IP传输网上，应能采用相应的措施与IP传输网上其他业务相隔离，并利用IP传输网所提供的安全机制和QoS保障机制，保证必要的安全性和服务质量。 12.2.2 分组域网络安全

在分组域网络安全方面，中国联通GSM/WCDMA还应考虑到以下几个方面：

? 与外部数据网的隔离：中国联通GSM/WCDMA网在与外部数据网互连的Gi接口上应设置防? ?

火墙。

与其它PLMN网的隔离：中国联通GSM/WCDMA网在与其它PLMN GRPS网互连时应在BG处设置必要的安全机制，如防火墙。

与其IP传输网上其它业务的隔离：中国联通GSM/WCDMA网络节点之间通过GTP隧道协议进行通信，可使中国联通GSM/WCDMA网在逻辑上与IP传输网上的其它业务相隔离；根据技术和业务的发展情况，中国联通GSM/WCDMA网应尽量利用IP传输网所能提供的适当安全机制和QoS保障机制（如VPN、MPLS等），或组建PS域内部IP骨干网，以实现与IP传

输网上其它业务更有效的隔离，保证必要的安全性和服务质量。

中国联通GSM/WCDMA网PS域为用户提供透明接入和非透明接入两种接入外部数据网的方式，对应有两种鉴权与认证机制：

? 透明接入：即中国联通GSM/WCDMA网本身作为ISP向移动用户提供接入服务。UE使用中

国联通GSM/WCDMA网用户地址空间的地址，该地址可以是静态分配的，也可以是通过激活PDP上下文而动态分配的。UE在激活PDP上下文中可不需发送任何接入认证请求，GGSN也?

不参与任何接入认证过程。

非透明接入：即中国联通GSM/WCDMA网与其它ISP/企业内部网相连，由其它ISP/企业内部

49