工商局对GPRS的应用主要在：移动办公、信息系统查询。工商人员携带具有GPRS/GSM无线数据功能的手持终端到各商家进行巡查，需要在线查询时，使用手持终端(PDA)接入GPRS网络，访问单位内部网页，进行数据查询。工商人员移动性强，查询数据主要是下行数据传输，要求数据安全。因此无线数据传输将在工商局人员工作中起较大作用，通过GPRS网络实现实时查询信息系统，实现“随身携带”互联网，实现移动办公。

现阶段有三种方案，但由于第三种方案在现有条件下不成熟，暂不考虑，除非有特殊要求。目前推荐企业使用第二种方案。

方案一(internet接入方式)特点：1、 企业已有稳定的、永久的连接到互联网的接入；2、 GRE 两端地址、RADIUS SERVER 地址和企业路由器端口地址都必须是公有的。考虑到IP地址广播，企业端的路由器端口地址，GRE 隧道端地址，RADIUS Server 地址应由为该企业提供Internet连接的ISP提供；3、 不存在跨市的问题，企业在任一城市都可到达顺德GGSN。

方案二(专线接入)特点：1、此种方案适于企业没有接入Internet或企业对安全方面考虑较高；2、企业通过专线接入GMCC 7513 路由器，用户端的接入路由器必须提供公有的IP地址。

方案三(直接接入)特点：1、此种方案适用于没有接入Internet、而且对安全要求极高的企业；2、企业在运营商一端放置GRE路由器，路由器不经过GPRS防火墙直接接入GPRS内部网络；3、此种方案对GPRS网络构成安全威胁暂不考虑。

工商局移动信息查询系统网络方案

随着移动互联网GPRS网络建设完成，移动互联网上同时支持传统电路交换CSD和GPRS两种方式的移动接入。配合移动互联网的IP骨干网的IDC服务、VPN服务、认证服务、安全服务等，可以为工商分局的移动信息查询系统提供最为有力的支撑。

工商局移动信息查询系统网络逻辑结构

工商局工作人员使用移动终端接入中国移动GPRS网络，顺德移动为工商局分配专用APN(GPRS接入号，只需在GPRS系统上开通新的接入号码即可)，所有工商局GPRS用户通过特定的APN接入号接入到中国移动GPRS网络。顺德工商局内部网通过2M DDN链路接入到CISCO 7513接入路由器，实现工商局的GPRS网络的专网接入。中国移动网络在通信和传输过程中，已经对GSM数据进行加密处理。同时为了更好地保证网络数据传输的安全性，GGSN和工商局路由器之间建立GRE隧道。通过设置在工商局内部网的RADIUS认证服务器实现工商局用户身份认证。GPRS网络和CMNET网络之间通过防火墙进行隔离；GPRS网络和工商局内部网络之间通过防火墙进行隔离。同时构建工商局移动信息查询系统的VPN以保证工商局专有系统的安全性。

工商局移动信息查询系统VPN方案

工商局移动用户以“calling-number@apn”(CALLINGNUBMER是移动终端手机主叫号；APN即代表不同的VPN，具体实施时会分配特定APN)的形式给出移动用户名及密码，接入GPRS网络上，GPRS网络设备发现这种形式的用户名，根据特定的APN数据送到特定的GGSN设备上。通过GGSN和工商局路由器之间建立到GRE隧道，如果APN是GGSN已知的，它会将“calling-number@apn”部分送往同APN对应的Radius服务器去验证，验证通过后将用户数据包封装进GRE隧道中，工商局移动用户APN的数据包同工商局内部网相连的GRE隧道对应。工商局移动信息查询系统数据将走在VPN的安全通道上。GPRS网络和工商局内部网络之间通过防火墙进行隔离。

RADIUS认证服务

工商局内部网内的RADIUS服务器为工商局的移动用户提供身份认证服务。由于顺德移动目前还没有建立为企业提供接入身份认证服务的RADIUS认证服务中心，因此需要工商局建立自己的内部RADIUS认证服务器。工商局需要管理RADIUS认证服务器，并对用户进行管理，设置用户的接入权限。考虑到低成本和易用性，我们建议工商局采用一套基于Windows 2000 Server平台的RADIUS服务器。

GPRS企业接入的安全性能

顺德工商局包括其他各企业，对企业内部网接入广东移动GPRS网络时都十分关心网络的安全性。针对这方面的要求，我们以企业使用DDN或E1专线接入到移动公司的专线接入路由器为例，对企业网络的安全作以下的保护。

第一层保护：合法用户的保护

只有合法的移动终端(MS或POS机)才能通过GPRS网络登陆企业内部网。

第二层保护：数据包的保护。

第三层保护：企业内部服务器的保护。