一种apn访问限制方法及ggsn的制作方法
【技术领域】
[0001]本发明涉及通信技术领域,尤指一种接入点名称(Access Point Name, APN)访问限制方法及网关通用分组无线系统支持节点(Gate GPRS Support Node,GGSN)。
【背景技术】
[0002]移动运营商开展通用分组无线系统(General Packet Rad1 System,GPRS)业务,为用户终端提供移动分组的互联网协议(Internet Protocol,IP)连接,用户终端接入不同的网络是通过不同的接入点名称(Access Point Name, APN)进行区分的,例如用户终端要接入互联网(Internet),可以接入对应的中国移动网络(CMNET) /中国移动无线应用协议(CMWAP)的APN。同时,移动各省都会根据自身情况发展一些自有业务,对这些自有业务,也可以专门创建一个APN来实现,这些APN被称为专网APN。不同的业务覆盖面决定了专网APN的不同接入范围,根据其接入的地域特性,专网APN可以分为不可漫游的专网APN和可漫游的专网APN。不同的业务方式牵涉到不同的资费,因此,从技术层面来说,需要保证不可漫游的专网APN只能在本地使用,而可漫游的专网APN能够在允许的漫游区域使用。
[0003]用户终端进行APN访问接入网络的流程如图1所示,具体包括:
[0004]1、用户终端附着到GPRS网络的服务通用分组无线系统支持节点(ServiceGPRS Support Node,SGSN)上,SGSN通过与用户终端的归属位置寄存器(Home Locat1nRegister,HLR)进行交互,获取用户的鉴权数据和签约的APN信息,并反馈给用户终端。
[0005]2、用户终端发起携带APN信息的APN访问请求消息,SGSN将APN信息送到域名系统(Domain Name System, DNS)解析出 GGSN 的地址。
[0006]3、SGSN创建到相应的GGSN的分组数据协议(Packet Data Protocol, PDP)上下文。
[0007]4、GGSN根据APN信息和路由信息配置路由数据。
[0008]5、防火墙执行安全策略后将APN访问请求消息路由到相应的GGSN地址,从而实现用户终端对互联网或专网进行访问。
[0009]目前,对用户终端进行APN访问限制的方法有以下两种:
[0010]第一种是DNS通过识别SGSN的IP地址来进行APN访问限制,在DNS上对不同的SGSN配置与其对应的GGSN的地址,对于全国范围内漫游的APN,在DNS上将全国的SGSN地址段都配置对应的GGSN的地址;对于本省范围漫游的APN,在DNS上只对本省的SGSN的IP地址配置对应的GGSN的地址。
[0011]第二种是在HLR中可以设置用户可以登录的SGSN的E164地址的允许列表,在用户终端进行附着时进行SGSN的E164地址的识别,如果存在于允许列表中则允许用户终端进行APN访问,如果不存在于在允许列表中,则限制用户终端进行APN访问。
[0012]上述两种方法都存在一些突出的问题:
[0013]对于第一种方法,当用户终端在使用业务过程中进行SGSN切换后,并不需要再到DNS进行解析,即使切换后的SGSN不允许进行APN访问,由于切换后不会再到DNS进行解析,用户终端仍然可以使用切换后的SGSN进行APN访问,APN访问限制失效;非APN归属省的HLR可以为该HLR上的用户制作它省的APN,此时APN访问限制也失效,安全性无法保障;现有的SGSN的设备容量较大,一般都覆盖有多个地市,无法针对单个地市级别进行APN访问限制。
[0014]对于第二种方法,非APN归属省的HLR可以为该HLR上的用户制作它省的APN,此时APN访问限制也失效,安全性无法保障;现有的SGSN的设备容量较大,一般都覆盖有多个地市,无法针对单个地市级别进行APN访问限制。
[0015]因此,目前的APN访问限制方法都存在安全性和精确度较差的问题。
【发明内容】
[0016]本发明实施例提供一种APN访问限制及GGSN,用以解决现有的APN访问限制方法都存在安全性和精确度较差的问题。
[0017]因此,根据本发明实施例提供一种APN访问限制方法,包括:
[0018]根据接收到的服务通用分组无线系统支持节点SGSN发送的分组数据协议PDP连接建立请求消息,获取用户终端的位置信息、所述用户终端的标识信息和所述用户终端请求访问的接入点名称APN信息;
[0019]将所述用户终端的位置信息、所述用户终端的标识信息、所述用户终端请求访问的APN信息与预设的对应关系表进行比对,判断是否允许所述用户终端进行APN访问,所述对应关系表存储的是APN信息分别与区域信息和用户终端的标识信息集合的对应关系;
[0020]若不允许所述用户终端进行APN访问,向所述SGSN发送PDP连接建立拒绝消息,用于限制所述用户终端的APN访问。
[0021]具体的,所述PDP连接建立请求消息是根据所述用户终端的APN访问请求或者所述用户终端正在进行的APN访问发送的。
[0022]具体的,根据接收到的SGSN发送的PDP连接建立请求消息,获取用户终端的位置信息、所述用户终端的标识信息和所述用户终端请求访问的APN信息,具体包括:
[0023]解析所述PDP连接建立请求消息,得到所述PDP连接建立请求消息中携带的位置Ih息、标识?目息和APN fg息;
[0024]将得到的位置信息、标识信息和APN信息分别作为所述用户终端的位置信息、所述用户终端的标识信息和所述用户终端请求访问的APN信息。
[0025]具体的,将所述用户终端的位置信息、所述用户终端的标识信息、所述用户终端请求访问的APN信息与预设的对应关系表进行比对,判断是否允许所述用户终端进行APN访问,具体包括:
[0026]从所述对应关系表中获取所述用户终端请求访问的APN信息对应的区域信息和用户终端的标识信息集合;
[0027]判断所述用户终端的位置信息所代表的位置是否落入所述用户终端请求访问的APN信息对应的区域信息所代表的区域中、以及所述用户终端的标识信息是否包含于所述用户终端请求访问的APN信息对应的用户终端的标识信息集合中;
[0028]若所述用户终端的位置信息所代表的位置未落入所述用户终端请求访问的APN信息对应的区域信息所代表的区域中或者所述用户终端的标识信息未包含于所述用户终端请求访问的APN信息对应的用户终端的标识信息集合中,则不允许所述用户终端进行APN访问。
[0029]可选的,还包括:
[0030]若所述用户终端的位置信息所代表的位置落入所述用户终端请求访问的APN信息对应的区域信息所代表的区域中且所述用户终端的标识信息包含于所述用户终端请求访问的APN信息对应的用户终端的标识信息集合中,则允许所述用户终端进行APN访问;
[0031]向所述SGSN发送PDP连接建立应答消息。
[0032]还提供一种GGSN,包括:
[0033]获取单元,用于根据接收到的服务通用分组无线系统支持节点SGSN发送的分组数据协议PDP连接建立请求消息,获取用户终端的位置信息、所述用户终端的标识信息和所述用户终端请求访问的接入点名称APN信息;
[0034]判断单元,用于将所述用户终端的位置信息、所述用户终端的标识信息、所述用户终端请求访问的APN信息与预设的对应关系表进行比对,判断是否允许所述用户终端进行APN访问,所述对应关系表存储的是APN信息分别与区域信息和用户终端的标识信息集合的对应关系;
[0035]执行单元,用于若所述判断单元判断出不允许所述用户终端进行APN访问,向所述SGSN发送PDP连接建立拒绝消息,用于限制所述用户终端的APN访问。
[0036]具体的,所述PDP连接建立请求消息是根据所述用户终端的APN访问请求或者所述用户终端正在进行的APN访问发送的。
[0037]具体的,所述获取单元,具体用于:
[0038]解析所述PDP连接建立请求消息,得到所述PDP连接建立请求消息中携带的位置Ih息、标识?目息和APN fg息;
[0039]将得到的位置信息、标识信息和APN信息分别作为所述用户终端的位置信息、所述用户终端的标识信息和所述用户终端请求访问的APN信息。
[0040]具体的,所述判断单元,具体用于:
[0041]从所述对应关系表中获取所述用户终端请求访问的APN信息对应的区域信息和用户终端的标识信息集合;
[0042]判断所述用户终端的位置信息所代表的位置是否落入所述用户终端请求访问的APN信息对应的区域信息所代表的区域中、以及所