一種apn訪問限制方法及ggsn的制作方法
【技術領域】
[0001]本發(fā)明涉及通信技術領域,尤指一種接入點名稱(Access Point Name, APN)訪問限制方法及網(wǎng)關通用分組無線系統(tǒng)支持節(jié)點(Gate GPRS Support Node,GGSN)。
【背景技術】
[0002]移動運營商開展通用分組無線系統(tǒng)(General Packet Rad1 System,GPRS)業(yè)務,為用戶終端提供移動分組的互聯(lián)網(wǎng)協(xié)議(Internet Protocol,IP)連接,用戶終端接入不同的網(wǎng)絡是通過不同的接入點名稱(Access Point Name, APN)進行區(qū)分的,例如用戶終端要接入互聯(lián)網(wǎng)(Internet),可以接入對應的中國移動網(wǎng)絡(CMNET) /中國移動無線應用協(xié)議(CMWAP)的APN。同時,移動各省都會根據(jù)自身情況發(fā)展一些自有業(yè)務,對這些自有業(yè)務,也可以專門創(chuàng)建一個APN來實現(xiàn),這些APN被稱為專網(wǎng)APN。不同的業(yè)務覆蓋面決定了專網(wǎng)APN的不同接入范圍,根據(jù)其接入的地域特性,專網(wǎng)APN可以分為不可漫游的專網(wǎng)APN和可漫游的專網(wǎng)APN。不同的業(yè)務方式牽涉到不同的資費,因此,從技術層面來說,需要保證不可漫游的專網(wǎng)APN只能在本地使用,而可漫游的專網(wǎng)APN能夠在允許的漫游區(qū)域使用。
[0003]用戶終端進行APN訪問接入網(wǎng)絡的流程如圖1所示,具體包括:
[0004]1、用戶終端附著到GPRS網(wǎng)絡的服務通用分組無線系統(tǒng)支持節(jié)點(ServiceGPRS Support Node,SGSN)上,SGSN通過與用戶終端的歸屬位置寄存器(Home Locat1nRegister,HLR)進行交互,獲取用戶的鑒權(quán)數(shù)據(jù)和簽約的APN信息,并反饋給用戶終端。
[0005]2、用戶終端發(fā)起攜帶APN信息的APN訪問請求消息,SGSN將APN信息送到域名系統(tǒng)(Domain Name System, DNS)解析出 GGSN 的地址。
[0006]3、SGSN創(chuàng)建到相應的GGSN的分組數(shù)據(jù)協(xié)議(Packet Data Protocol, PDP)上下文。
[0007]4、GGSN根據(jù)APN信息和路由信息配置路由數(shù)據(jù)。
[0008]5、防火墻執(zhí)行安全策略后將APN訪問請求消息路由到相應的GGSN地址,從而實現(xiàn)用戶終端對互聯(lián)網(wǎng)或?qū)>W(wǎng)進行訪問。
[0009]目前,對用戶終端進行APN訪問限制的方法有以下兩種:
[0010]第一種是DNS通過識別SGSN的IP地址來進行APN訪問限制,在DNS上對不同的SGSN配置與其對應的GGSN的地址,對于全國范圍內(nèi)漫游的APN,在DNS上將全國的SGSN地址段都配置對應的GGSN的地址;對于本省范圍漫游的APN,在DNS上只對本省的SGSN的IP地址配置對應的GGSN的地址。
[0011]第二種是在HLR中可以設置用戶可以登錄的SGSN的E164地址的允許列表,在用戶終端進行附著時進行SGSN的E164地址的識別,如果存在于允許列表中則允許用戶終端進行APN訪問,如果不存在于在允許列表中,則限制用戶終端進行APN訪問。
[0012]上述兩種方法都存在一些突出的問題:
[0013]對于第一種方法,當用戶終端在使用業(yè)務過程中進行SGSN切換后,并不需要再到DNS進行解析,即使切換后的SGSN不允許進行APN訪問,由于切換后不會再到DNS進行解析,用戶終端仍然可以使用切換后的SGSN進行APN訪問,APN訪問限制失效;非APN歸屬省的HLR可以為該HLR上的用戶制作它省的APN,此時APN訪問限制也失效,安全性無法保障;現(xiàn)有的SGSN的設備容量較大,一般都覆蓋有多個地市,無法針對單個地市級別進行APN訪問限制。
[0014]對于第二種方法,非APN歸屬省的HLR可以為該HLR上的用戶制作它省的APN,此時APN訪問限制也失效,安全性無法保障;現(xiàn)有的SGSN的設備容量較大,一般都覆蓋有多個地市,無法針對單個地市級別進行APN訪問限制。
[0015]因此,目前的APN訪問限制方法都存在安全性和精確度較差的問題。
【發(fā)明內(nèi)容】
[0016]本發(fā)明實施例提供一種APN訪問限制及GGSN,用以解決現(xiàn)有的APN訪問限制方法都存在安全性和精確度較差的問題。
[0017]因此,根據(jù)本發(fā)明實施例提供一種APN訪問限制方法,包括:
[0018]根據(jù)接收到的服務通用分組無線系統(tǒng)支持節(jié)點SGSN發(fā)送的分組數(shù)據(jù)協(xié)議PDP連接建立請求消息,獲取用戶終端的位置信息、所述用戶終端的標識信息和所述用戶終端請求訪問的接入點名稱APN信息;
[0019]將所述用戶終端的位置信息、所述用戶終端的標識信息、所述用戶終端請求訪問的APN信息與預設的對應關系表進行比對,判斷是否允許所述用戶終端進行APN訪問,所述對應關系表存儲的是APN信息分別與區(qū)域信息和用戶終端的標識信息集合的對應關系;
[0020]若不允許所述用戶終端進行APN訪問,向所述SGSN發(fā)送PDP連接建立拒絕消息,用于限制所述用戶終端的APN訪問。
[0021]具體的,所述PDP連接建立請求消息是根據(jù)所述用戶終端的APN訪問請求或者所述用戶終端正在進行的APN訪問發(fā)送的。
[0022]具體的,根據(jù)接收到的SGSN發(fā)送的PDP連接建立請求消息,獲取用戶終端的位置信息、所述用戶終端的標識信息和所述用戶終端請求訪問的APN信息,具體包括:
[0023]解析所述PDP連接建立請求消息,得到所述PDP連接建立請求消息中攜帶的位置Ih息、標識?目息和APN fg息;
[0024]將得到的位置信息、標識信息和APN信息分別作為所述用戶終端的位置信息、所述用戶終端的標識信息和所述用戶終端請求訪問的APN信息。
[0025]具體的,將所述用戶終端的位置信息、所述用戶終端的標識信息、所述用戶終端請求訪問的APN信息與預設的對應關系表進行比對,判斷是否允許所述用戶終端進行APN訪問,具體包括:
[0026]從所述對應關系表中獲取所述用戶終端請求訪問的APN信息對應的區(qū)域信息和用戶終端的標識信息集合;
[0027]判斷所述用戶終端的位置信息所代表的位置是否落入所述用戶終端請求訪問的APN信息對應的區(qū)域信息所代表的區(qū)域中、以及所述用戶終端的標識信息是否包含于所述用戶終端請求訪問的APN信息對應的用戶終端的標識信息集合中;
[0028]若所述用戶終端的位置信息所代表的位置未落入所述用戶終端請求訪問的APN信息對應的區(qū)域信息所代表的區(qū)域中或者所述用戶終端的標識信息未包含于所述用戶終端請求訪問的APN信息對應的用戶終端的標識信息集合中,則不允許所述用戶終端進行APN訪問。
[0029]可選的,還包括:
[0030]若所述用戶終端的位置信息所代表的位置落入所述用戶終端請求訪問的APN信息對應的區(qū)域信息所代表的區(qū)域中且所述用戶終端的標識信息包含于所述用戶終端請求訪問的APN信息對應的用戶終端的標識信息集合中,則允許所述用戶終端進行APN訪問;
[0031]向所述SGSN發(fā)送PDP連接建立應答消息。
[0032]還提供一種GGSN,包括:
[0033]獲取單元,用于根據(jù)接收到的服務通用分組無線系統(tǒng)支持節(jié)點SGSN發(fā)送的分組數(shù)據(jù)協(xié)議PDP連接建立請求消息,獲取用戶終端的位置信息、所述用戶終端的標識信息和所述用戶終端請求訪問的接入點名稱APN信息;
[0034]判斷單元,用于將所述用戶終端的位置信息、所述用戶終端的標識信息、所述用戶終端請求訪問的APN信息與預設的對應關系表進行比對,判斷是否允許所述用戶終端進行APN訪問,所述對應關系表存儲的是APN信息分別與區(qū)域信息和用戶終端的標識信息集合的對應關系;
[0035]執(zhí)行單元,用于若所述判斷單元判斷出不允許所述用戶終端進行APN訪問,向所述SGSN發(fā)送PDP連接建立拒絕消息,用于限制所述用戶終端的APN訪問。
[0036]具體的,所述PDP連接建立請求消息是根據(jù)所述用戶終端的APN訪問請求或者所述用戶終端正在進行的APN訪問發(fā)送的。
[0037]具體的,所述獲取單元,具體用于:
[0038]解析所述PDP連接建立請求消息,得到所述PDP連接建立請求消息中攜帶的位置Ih息、標識?目息和APN fg息;
[0039]將得到的位置信息、標識信息和APN信息分別作為所述用戶終端的位置信息、所述用戶終端的標識信息和所述用戶終端請求訪問的APN信息。
[0040]具體的,所述判斷單元,具體用于:
[0041]從所述對應關系表中獲取所述用戶終端請求訪問的APN信息對應的區(qū)域信息和用戶終端的標識信息集合;
[0042]判斷所述用戶終端的位置信息所代表的位置是否落入所述用戶終端請求訪問的APN信息對應的區(qū)域信息所代表的區(qū)域中、以及所