【文章內(nèi)容簡介】 移動POS系統(tǒng)、法院移動辦公系統(tǒng)、移動警務系統(tǒng)中，安全是完全有保障的。2． 易用性GPRS VPN是對私有網(wǎng)絡的無線擴展，為用戶提供開放、安全、易用的數(shù)據(jù)傳輸平臺，原有OA等系統(tǒng)無需做任何改動?？芍苯邮褂?，減少了工作量。設置電力集團專用APN的方式，即保證了專網(wǎng)數(shù)據(jù)的安全，也方便了用戶在公網(wǎng)和私網(wǎng)之間進行快速的切換。3． 實用性由于傳統(tǒng)的OA系統(tǒng)考慮安全的因素只能在企業(yè)內(nèi)部網(wǎng)內(nèi)登錄，不在辦公室就不能處理OA的批文。使信息化辦公的優(yōu)勢無法體現(xiàn)。GPRS VPN移動辦公系統(tǒng)正是解決了這一問題，真正提高了企業(yè)的工作效率。電力集團作為全省的電力供應商，其電網(wǎng)設備的監(jiān)控與數(shù)據(jù)采集利用移動的GPRS VPN系統(tǒng)將大大節(jié)省維護的人力和資金投入，同時也提高了電網(wǎng)維護的自動化程度。綜合特點GPRS VPN 系統(tǒng)滿足了企業(yè)將私有網(wǎng)絡擴展的要求，同時實現(xiàn)了信息的安全及公網(wǎng)私網(wǎng)的隔離。并且可為每臺GPRS 終端分配固定的私有IP地址，便于管理和控制。是辦公局域網(wǎng)和家庭寬帶網(wǎng)的有力補充，滿足了企業(yè)信息化辦公及即時聯(lián)絡的需求，而且具有充分的可擴展性，可隨傳輸網(wǎng)絡平滑過渡到3G。三 總體方案介紹基于GPRS VPN方式進行數(shù)據(jù)傳輸由于供電公司的營銷自動化業(yè)務點分布在全市的各個地方，并且覆蓋地方發(fā)展不平衡，而中國移動的GPRS網(wǎng)絡的覆蓋可以做到無縫覆蓋，保證了整個業(yè)務的整體接入。其接入方案如下圖所示： 組網(wǎng)方案組建VPN網(wǎng)絡比較簡單。電力集團只需要有一個支持GRE TUNNEL的路由器作為邊界路由器通過一條專用電路(根據(jù)前期供電公司提供的數(shù)據(jù)來看，一般2M即可)與濟南移動GPRS VPN邊界路由器相連，其拓撲圖為：業(yè)務描述 GPRS VPN可以為企業(yè)用戶提供GPRS網(wǎng)絡承載遠程訪問企業(yè)內(nèi)部網(wǎng)絡的功能。由于基于GPRS的企業(yè)VPN業(yè)務可以提供高速的移動數(shù)據(jù)網(wǎng)接入，因而，原先只能在辦公室內(nèi)才能進行的工作，現(xiàn)在可以在任何有GPRS覆蓋的區(qū)域開展。配合目前市場上已經(jīng)大量出現(xiàn)的GPRS無線網(wǎng)卡，可以給企業(yè)員工提供LANlike的工作環(huán)境。特別是對于流動性比較大，無法隨時獲得企業(yè)LAN接入的行業(yè)尤為具有吸引力。對于企業(yè)，可以獲得諸如：緊急告警、實時匯報、物流控制、遠程系統(tǒng)維護、電子商務等覆蓋多行業(yè)的遠程業(yè)務；大多數(shù)基于傳統(tǒng)Internet/Intranet的業(yè)務，也可經(jīng)驗證后引入移動VPN（mVPN）網(wǎng)絡。對于個人，也可獲得如Office工具、電子郵件、資料庫接入、web瀏覽等早已熟悉的應用?？梢姡苿覸PN（mVPN）可以為各行業(yè)的企業(yè)提供全天候的移動接入服務。 企業(yè)VPN接入方案：為每個企業(yè)（或者行業(yè)應用）分配專用的APN。該企業(yè)（或者行業(yè)）的終端使用其專用APN接入GPRS網(wǎng)絡。網(wǎng)絡根據(jù)終端的APN授權(quán)，對終端進行鑒權(quán)和認證；企業(yè)（或者行業(yè)）數(shù)據(jù)中心也可以配置Radius服務器，對終端進行附加的用戶名/口令認證?；蛘呤褂靡苿庸驹贕PRS核心網(wǎng)配置的公用RADUIS服務器實現(xiàn)。 GPRS網(wǎng)點接入綜合網(wǎng)的流程如下： （1） 網(wǎng)點向電力申請接入GPRS的VPN專網(wǎng)，電力管理員通過電力專網(wǎng)開通申請專用界面進行授權(quán)并開通服務，通過自動聯(lián)機指令在移動GSM網(wǎng)絡核心網(wǎng)元HLR(歸屬位置寄存器，用于移動用戶數(shù)據(jù)管理)中配置電力專網(wǎng)APN（Access point name，由海南移動為電力專門分配）及根據(jù)網(wǎng)點SIM號碼綁定電力內(nèi)部網(wǎng)絡的一個私有IP地址（電力管理員通過電力專網(wǎng)開通申請專用界面進行指配）；　?。?） 網(wǎng)點發(fā)出登錄請求，請求中包括電力專網(wǎng)APN；　?。?） 根據(jù)請求中的APN，SGSN（服務GPRS支持節(jié)點）找到與電力專網(wǎng)連接的GGSN（網(wǎng)關(guān)GPRS支持節(jié)點）；　?。?） GGSN根據(jù)APN及對應的靜態(tài)IP地址段尋找到預先配置好的GRE隧道路由策略進行選路及隧道打包發(fā)送, 并根據(jù)Radius安全認證策略首先發(fā)起經(jīng)加密的用戶名和密碼進行身份驗證；　?。?） GRE隧道數(shù)據(jù)包必須流過移動側(cè)的防火墻，這時移動側(cè)的防火墻僅允許數(shù)據(jù)包中的源、目的地址為GRE隧道數(shù)據(jù)包中的包頭IP地址（GGSN地址和電力側(cè)的GRE隧道路由器地址）流過，從而有效堵截來自任何其他主機的攻擊；　　（6） GRE隧道數(shù)據(jù)包到達隧道終點（電力側(cè)的GRE隧道路由器）后， GRE隧道路由器解包還原為網(wǎng)點發(fā)起的源數(shù)據(jù)包；　?。?） 用戶數(shù)據(jù)包必須流經(jīng)電力的防火墻，這時電力的防火墻可以采取白名單限制，僅允許已分配的IP地址攜帶的數(shù)據(jù)包通過；　?。?） 首先到達電力網(wǎng)的數(shù)據(jù)包是Radius安全驗證包，經(jīng)加密的網(wǎng)點名稱和密碼進行身份驗證通過后，網(wǎng)點才能成功接入GPRS電力專網(wǎng)；　?。?） 網(wǎng)點數(shù)據(jù)包通過以上層層關(guān)卡后進入電力網(wǎng)絡，再通過電力網(wǎng)絡內(nèi)部自行設置的其他安全方案（如根據(jù)IP地址進行權(quán)限控制等），網(wǎng)點才可以在電力的內(nèi)部網(wǎng)進行正常訪問?！　“踩呗裕骸　⊥ㄟ^在移動HLR（歸屬位置寄存器，用于對移動用戶的管理）上修改：讓特權(quán)SIM號碼、電力APN與電力分配的IP地址強行綁定，可以保證只有擁有電力權(quán)限的SIM才能登陸上電力專用APN?！　≡陔娏?nèi)部網(wǎng)建立一臺RADIUS 服務器。當SIM申請激活電力APN時，GGSN會將用戶名、密碼發(fā)給RADIUS服務器要求鑒權(quán)，在鑒權(quán)通過后才激活PDP CONTEXT，才允許用戶使用GPRS網(wǎng)絡?！　崿F(xiàn)技術(shù)　　GPRS己經(jīng)向公眾提供服務