安全网关的作用

    GAN系统中一个很关键的部分就是安全网关(SEGW)，它在移动电话和位于“不安全的”IP接入网另一端的运营商网络之间提供了一条安全的连接。

    在典型的GAN部署中，SEGW负责在手机和GANC所在的核心移动网之间建立并保持安全的(按IPSec/IKEv2标准加密)连接。在建立起GAN连接之后，手机必须采用已签名的公钥安全证书对安全网关进行认证。这是为了确保在用户通过公共IP接入网使用GAN时，不会在不知情的情况下被“诱骗”到其他恶意网络。

    SEGW还能作为手机和相连的计费、认证与授权服务器(AAA)之间的通信中介，对用户进行认证并允许他们使用网络提供的GAN服务时。AAA服务器以发向手机的请求/响应口令所得到的结果为基础进行认证判决，并迫使手机和网络都去证实用户SIM或USIM卡上的共享私秘“k”值和该AAA服务器连接的网络归属位置寄存器信息。除了对手机和网络进行认证之外，认证算法的结果还可用于推算通信双方所需的关键资料，以便对手机和SEGW之间的IPSec连接进行加密。

    手机与AAA服务器之间的认证协议在2G和3G网络中是不相同的。2G和3G网络使用的认证协议均基于现有的2G和3G认证技术，但为增强对往往更易受攻击的IP接入网的保护而做了很大改进。2G网络采用的是针对用户识别模块(EAP-SIM)的扩展认证协议，而3G网络采用的是针对UMTS认证和密匙协商(EAP-AKA)的扩展认证协议。

    当测试条件不允许禁止手机中的GAN安全功能时，必须在测试系统中部署带一定IPSec和EAP功能的SEGW与AAA服务器组件，这样手机才能连接到GAN网络并使用GAN服务。

    测试注意事项

    在尝试验证一部GAN手机的设计参数时，设计工程师需要回答以下几个问题。第一，在测试与标准的一致性时，哪些参数是必须测试的？其次，哪些实际使用情形的测试最能表明手机的设计是否达到目标？最后是在设计过程中要想减少重复工作和不必要的重复测试，最佳的测试时机在何时？

    就象纯蜂窝网络一样，在GAN网络中，呼叫建立、呼叫终止和切换功能最可能成为系统的弱点，从而增大服务故障和用户不满的几率。为了彻底地试验这些功能，设计工程师最好有一套具备测试功能的测试平台，并且最好靠近设计小组的其他成员。这样能够促进设计小组根据测试结果进行高效的决策。

    GAN系统引入了新的信令程序，这是一种被许多现有上层功能采用的接入层技术。3GPP在3GPPTS51.010-14中规定了许多一致性测试项目，具备GAN功能的手机必须经过这些测试才能上市。尽管这些测试规范对GAN专用的新程序测试给予了相当的关注，但对在GAN上部署的现有蜂窝通信技术的使用和用户体验却鲜有涉及。因此，设计工程师可以选择许多工作情景进行测试，包括：

    *GAN发现程序的成功或失败

    *包括寄存器更新在内的GAN注册程序的成功或失败

    *在GAN和GERAN/UTRAN操作之间的初始移动站模式选择

    *移动发起(MO)和移动终止(MT)的GAN话音呼叫

    *基于GAN的数据连接以及采用这些基础连接的设备带来的最终用户体验

    *基于GAN的双模传输(DTM)或SS(UTRAN)连接

    *通过GAN传送基于GSM的MO和MT点对点SMS短信

    *通过GAN传送基于GPRS的MO和MT点对点SMS短信

    *所有适用的出入蜂窝网络的情景包括：漫游入(从G/U到GAN网)、漫游出(从GAN到G/U)、切换入(从G/U到GAN)、切换出(从GAN到G/U)、蜂窝变更指令(从G/U到GAN)、在DTM或SS连接过程中的切换入/出(从GAN到G/U以及从G/U到GAN)