一種基于4g網(wǎng)絡(luò)的ip地址的溯源方法
【專利摘要】本發(fā)明公開了一種基于4G網(wǎng)絡(luò)的IP地址的溯源方法,其包括,根據(jù)在4G?LTE網(wǎng)絡(luò)的S1?U接口分光采集獲取用戶的訪問(wèn)信息,在S11接口分光獲取用戶的賬號(hào)信息,在防火墻獲取NAT地址信息,并進(jìn)行關(guān)聯(lián),獲取完整的用戶訪問(wèn)日志,從而獲取用戶位置信息標(biāo)識(shí)和用戶訪問(wèn)行為;依托現(xiàn)有溯源系統(tǒng)的LAC、SAC信息(基站編號(hào)),獲取移動(dòng)用戶基于物理位置的溯源信息和網(wǎng)絡(luò)行為信息。本發(fā)明可以基于用戶特定信息將物理位置信息和用戶行為信息關(guān)聯(lián)起來(lái),從而可以為互聯(lián)網(wǎng)安全事件溯源和應(yīng)用等提供移動(dòng)用戶的特定信息,包括移動(dòng)用戶位置信息和網(wǎng)絡(luò)訪問(wèn)信息,使互聯(lián)網(wǎng)應(yīng)用可以進(jìn)行后續(xù)的用戶行為分析以及精準(zhǔn)營(yíng)銷等行為。
【專利說(shuō)明】
一種基于4G網(wǎng)絡(luò)的IP地址的溯源方法
技術(shù)領(lǐng)域
[0001]本發(fā)明屬于互聯(lián)網(wǎng)技術(shù)領(lǐng)域,具體涉及一種基于4G網(wǎng)絡(luò)的IP地址的溯源方法。
【背景技術(shù)】
[0002]隨著第四代移動(dòng)通信技術(shù)的發(fā)展與大規(guī)模商用,4G網(wǎng)絡(luò)的IP地址溯源也迫在眉睫,同時(shí),由于4G網(wǎng)絡(luò)相比2/3G網(wǎng)絡(luò)扁平化,信令面與用戶面承載分離,造成了用戶訪問(wèn)數(shù)據(jù)采集與2/3G網(wǎng)絡(luò)有很大的區(qū)別。同時(shí)3GPP規(guī)范定義了Non-3GPP接入網(wǎng)絡(luò)接入3GPP EPC的架構(gòu),運(yùn)營(yíng)商在網(wǎng)絡(luò)規(guī)劃建設(shè)中也根據(jù)自身的實(shí)際情況選擇了組網(wǎng)方案,這也也造成了采集方案的多樣性與復(fù)雜性。
[0003]2014年是國(guó)內(nèi)LTE商用元年,針對(duì)LTE網(wǎng)絡(luò)的IP地址溯源技術(shù)還停留在2/3G網(wǎng)絡(luò)的架構(gòu)中,缺乏完整、系統(tǒng)的規(guī)劃與驗(yàn)證,無(wú)論是從理論研究還是技術(shù)驗(yàn)證都未立足與4G網(wǎng)絡(luò)技術(shù)與運(yùn)營(yíng)商的網(wǎng)絡(luò)現(xiàn)狀,因此,迫切需要展開4G網(wǎng)絡(luò)IP地址溯源技術(shù)研究,規(guī)范和標(biāo)準(zhǔn)化4G網(wǎng)絡(luò)溯源方案。
[0004]發(fā)明人在實(shí)現(xiàn)本發(fā)明過(guò)程中發(fā)現(xiàn):在移動(dòng)通信網(wǎng)絡(luò)發(fā)展過(guò)程中,第二代和第三代通信網(wǎng)絡(luò)IP地址溯源技術(shù)已經(jīng)成熟,并在現(xiàn)網(wǎng)中大規(guī)模的部署。2/3G網(wǎng)絡(luò)IP地址溯源技術(shù)以需要溯源的IP地址及行為特征(如源端口號(hào)、URL等)為索引,查找移動(dòng)運(yùn)營(yíng)商所提供的所經(jīng)營(yíng)的IP地址范圍,獲得該IP地址對(duì)應(yīng)網(wǎng)絡(luò)設(shè)備的標(biāo)識(shí)(如防火墻、GGSNJDSN設(shè)備等),根據(jù)這些設(shè)備標(biāo)識(shí)和該IP地址的移動(dòng)用戶行為特征查找得到對(duì)應(yīng)的移動(dòng)用戶手機(jī)號(hào)。在具體方案上,GPRS/WCDMA/TDSCMA網(wǎng)絡(luò)采集了Gn接口和防火墻的數(shù)據(jù),CDMA IX和CDMA2000網(wǎng)絡(luò)采集了Pi接口,AAA設(shè)備的Radius日志以及防火墻數(shù)據(jù),通過(guò)解析數(shù)據(jù),分別得到用戶的訪問(wèn)信息、賬號(hào)信息、私網(wǎng)IP信息和公私網(wǎng)地址映射關(guān)系,再進(jìn)行關(guān)聯(lián)合成從而得到完整的溯源日志。然而,這些監(jiān)測(cè)技術(shù)往往只能識(shí)別出2/3G網(wǎng)絡(luò)網(wǎng)絡(luò)安全事件,卻無(wú)法對(duì)4G網(wǎng)絡(luò)安全事件便捷的實(shí)現(xiàn)用戶定位和用戶畫像等處理。
【發(fā)明內(nèi)容】
[0005]有鑒于上述現(xiàn)有的互聯(lián)網(wǎng)應(yīng)用和網(wǎng)絡(luò)安全存在的缺陷,本發(fā)明的目的是克服現(xiàn)有的IP地址溯源技術(shù)只能覆蓋2/3G網(wǎng)絡(luò),無(wú)法對(duì)4G網(wǎng)絡(luò)用戶進(jìn)行IP地址溯源造成的互聯(lián)網(wǎng)應(yīng)用和網(wǎng)絡(luò)安全存在的缺陷,提供一種基于4G網(wǎng)絡(luò)的IP地址的溯源方法,能夠監(jiān)測(cè)4G-LTE網(wǎng)絡(luò)應(yīng)用獲知用戶位置信息并可以進(jìn)行用戶定位,使其更具有實(shí)用性。
[0006]為解決上述技術(shù)問(wèn)題,本發(fā)明所采用的技術(shù)方案如下:一種基于4G網(wǎng)絡(luò)的IP地址的溯源方法,其包括:
[0007 ] 4G網(wǎng)絡(luò)用戶面數(shù)據(jù)的采集,在4G-LTE網(wǎng)絡(luò)的S1-U接口通過(guò)數(shù)據(jù)分光采集并獲取用戶的訪問(wèn)信息;
[0008]4G網(wǎng)絡(luò)信令面數(shù)據(jù)的采集,在4G-LTE網(wǎng)絡(luò)的SI I接口通過(guò)數(shù)據(jù)分光采集用戶的賬戶信息;
[0009]防火墻NAT地址數(shù)據(jù)的采集,獲取用戶公網(wǎng)IP地址和私網(wǎng)IP地址的NAT轉(zhuǎn)換信息,將獲取的用戶賬戶信息、訪問(wèn)信息和NAT地址轉(zhuǎn)換;
[0010]溯源日志的關(guān)聯(lián)合成,對(duì)S11接口采集的用戶賬戶信息和S1-U接口采集的用戶訪問(wèn)信息進(jìn)行關(guān)聯(lián)和回填,將關(guān)聯(lián)得到的帶有用戶身份信息的訪問(wèn)日志與防火墻NAT日志進(jìn)tx關(guān)聯(lián),生成完整的溯源日志;
[0011]用戶位置信息生成,結(jié)合運(yùn)營(yíng)商網(wǎng)絡(luò)基礎(chǔ)數(shù)據(jù)中的物理位置和經(jīng)瑋度信息,通過(guò)大數(shù)據(jù)聚類分析,得到用戶的訪問(wèn)位置區(qū)域和活躍位置區(qū)域,從而實(shí)現(xiàn)位置的溯源。
[0012]進(jìn)一步地,在獲取用戶的溯源日志后,將該溯源日志通過(guò)安全監(jiān)管網(wǎng)關(guān)上報(bào)給安全將中心進(jìn)行數(shù)據(jù)存儲(chǔ)和管理,此外,安全監(jiān)管網(wǎng)關(guān)還將接收安全監(jiān)管中心發(fā)來(lái)的IP溯源命令,并上報(bào)上報(bào)IP溯源網(wǎng)絡(luò)中的IP溯源信息、特定用戶上線信息和告警事件信息。
[0013]進(jìn)一步地,采集用戶的訪問(wèn)信息具體包括:通過(guò)數(shù)據(jù)分光采集E-NodeB和SGW之間的接口的S1-U接口數(shù)據(jù),S1-U接口獲得用戶的上網(wǎng)地址、分配給用戶的用戶面TE ID、E-NODEB地址和Sl-MME接口的記錄和用戶互聯(lián)網(wǎng)訪問(wèn)信息;采集用戶的賬戶信息具體包括:通過(guò)數(shù)據(jù)分光采集MME和SGW之間的接口的S11接口數(shù)據(jù),S11接口獲得MSISDN、頂S1、MEI及分配給用戶的IP地址,eNB和SGW側(cè)的TEID的賬號(hào)信息。
[0014]進(jìn)一步地,溯源日志的關(guān)聯(lián)合成具體包括:以Sl-U采集用戶的上網(wǎng)地址、分配給用戶的用戶面TEID、E-N0DEB地址和S1-MME接口的記錄進(jìn)行關(guān)聯(lián)和回填,將S11接口獲得MSISDN、IMSI UMEI及分配給用戶的IP地址,eNB和SGW側(cè)的TEID信息和Sl-U進(jìn)行關(guān)聯(lián)和回填,以IP五元組為key將帶有用戶身份信息的訪問(wèn)日志與防火墻NAT日志進(jìn)行關(guān)聯(lián),生成完整的溯源日志。
[0015]進(jìn)一步地,所述安全監(jiān)管網(wǎng)關(guān)部署于IP溯源企業(yè)側(cè),所述安全監(jiān)管中心部署于IP溯源網(wǎng)絡(luò)外。
[0016]進(jìn)一步地,所述IP溯源企業(yè)側(cè)配置有用戶賬戶信息監(jiān)測(cè)接口,接收來(lái)自安全監(jiān)管網(wǎng)關(guān)或安全監(jiān)管中心的監(jiān)測(cè)指令;還配置有告警信息上報(bào)接口,通過(guò)該上報(bào)接口,溯源網(wǎng)絡(luò)側(cè)的所有溯源設(shè)備的軟件、硬件或者網(wǎng)絡(luò)出現(xiàn)故障時(shí),通過(guò)安全監(jiān)管網(wǎng)關(guān)將告警信息上報(bào)給安全監(jiān)管中心。
[0017]進(jìn)一步地,Sll接口采用GTP v2協(xié)議,Gn接口GTP-C和GTP-U采用GTP vl協(xié)議,Sl-U接口采用GTP vl協(xié)議,在解析與關(guān)聯(lián)過(guò)程中,需要對(duì)GTP vl和GTP v2進(jìn)行混合采集和關(guān)聯(lián)。
[0018]進(jìn)一步地,在采用4G網(wǎng)絡(luò)與2/3G網(wǎng)絡(luò)進(jìn)行切換溯源用戶的訪問(wèn)信息時(shí),在4G采集時(shí)同時(shí)接入Gn的流量并進(jìn)行過(guò)濾,或者將2/3G采集解析設(shè)備設(shè)為支持GTPv2的解析能力。
[0019]進(jìn)一步地,在獲取用戶的身份信息時(shí),先在MME和HSS之間的接口 S6a對(duì)NAS層進(jìn)行解密。
[0020]進(jìn)一步地,在使用臨時(shí)身份信息進(jìn)行2G/3G網(wǎng)絡(luò)與4G網(wǎng)絡(luò)之間切換時(shí),需要在不同網(wǎng)絡(luò)接口之間關(guān)聯(lián)用戶唯一身份信息,該唯一身份信息包含用戶的手機(jī)號(hào)。
[0021]與現(xiàn)有技術(shù)相比,本發(fā)明所提供的基于4G網(wǎng)絡(luò)的IP地址的溯源方法,是基于4G網(wǎng)絡(luò)信令面和用戶面的信息,將用戶特定信息將物理位置信息和用戶行為信息關(guān)聯(lián)起來(lái),從而可以為互聯(lián)網(wǎng)安全事件溯源和應(yīng)用等提供移動(dòng)用戶的特定信息,包括移動(dòng)用戶位置信息和網(wǎng)絡(luò)訪問(wèn)信息,使互聯(lián)網(wǎng)應(yīng)用可以進(jìn)行后續(xù)的用戶行為分析以及精準(zhǔn)營(yíng)銷等行為,且可以針對(duì)網(wǎng)絡(luò)安全事件進(jìn)行用戶物理位置定位和行為畫像等應(yīng)用提供基礎(chǔ)數(shù)據(jù)支撐。既能夠?qū)崿F(xiàn)對(duì)公共互聯(lián)網(wǎng)上網(wǎng)用戶進(jìn)行身份溯源,也能夠?qū)μ囟◣ぬ?hào)的上網(wǎng)行為進(jìn)行監(jiān)控。
【附圖說(shuō)明】
[0022]圖1為本發(fā)明實(shí)施例所述的基于4G網(wǎng)絡(luò)的IP地址的溯源方法的結(jié)構(gòu)原理圖。
[0023]圖2為本發(fā)明實(shí)施例所述的對(duì)S6a數(shù)據(jù)解密的流程示意圖。
[0024]圖3為本發(fā)明實(shí)施例所述的針對(duì)聯(lián)通和移動(dòng)4G網(wǎng)絡(luò)溯源數(shù)據(jù)的采集方案示意圖。
[0025]圖4為本發(fā)明實(shí)施例所述的針對(duì)電信4G網(wǎng)絡(luò)溯源數(shù)據(jù)的采集方案示意圖。
[0026]圖5為本發(fā)明實(shí)施例所述的4G網(wǎng)絡(luò)跨SGW場(chǎng)景溯源的采集方案示意圖。
[0027]圖6為本發(fā)明實(shí)施例所述的4G網(wǎng)絡(luò)跨省漫游場(chǎng)景溯源的采集方案示意圖。
[0028]圖7為本發(fā)明實(shí)施例所述的4G網(wǎng)絡(luò)與2/3G切換場(chǎng)景溯源的采集方案示意圖。
[0029]圖8為本發(fā)明實(shí)施例所述的用戶位置信息合成的一個(gè)方案示意圖。
【具體實(shí)施方式】
[0030]以下結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明,但不作為對(duì)本發(fā)明的限定。
[0031]參照?qǐng)D1所示,本發(fā)明所公開的基于4G網(wǎng)絡(luò)IP地址的溯源方法,具體工作流程如下:
[0032]4G網(wǎng)絡(luò)信令面數(shù)據(jù)的采集:通過(guò)數(shù)據(jù)分光采集MME和SGW之間的接口的SI I接口數(shù)據(jù),S11接口獲得MSISDN、IMS1、MEI及分配給用戶的IP地址,eNB和SGW側(cè)的TE ID等賬號(hào)信息;
[0033]4G網(wǎng)絡(luò)用戶面數(shù)據(jù)的采集:通過(guò)數(shù)據(jù)分光采集E-NodeB和SGW之間的接口的S1-U接口數(shù)據(jù),S1-U接口獲得用戶的上網(wǎng)地址、分配給用戶的用戶面TE ID、E-NODEB地址和S1-MME接口的記錄和用戶互聯(lián)網(wǎng)訪問(wèn)信息;
[0034]防火墻NAT地址數(shù)據(jù)的采集:獲取用戶公網(wǎng)IP地址和私網(wǎng)IP地址的NAT轉(zhuǎn)換信息,將獲取的用戶賬戶信息、訪問(wèn)信息和NAT地址轉(zhuǎn)換。
[0035]溯源日志的關(guān)聯(lián)合成:以Sl-U采集用戶的上網(wǎng)地址、分配給用戶的用戶面TEID、E-NODEB地址和Sl-MME接口的記錄進(jìn)行關(guān)聯(lián)和回填,SI I接口獲得MSISDN、IMS1、頂EI及分配給用戶的IP地址,eNB和SGW側(cè)的TEID等信息可以和Sl-U進(jìn)行關(guān)聯(lián)和回填。以IP五元組為key將帶有用戶身份信息的訪問(wèn)日志與防火墻NAT日志進(jìn)行關(guān)聯(lián),生成完整的溯源日志;
[0036]用戶位置信息生成:結(jié)合運(yùn)營(yíng)商上報(bào)網(wǎng)絡(luò)基礎(chǔ)數(shù)據(jù)中的物理位置、經(jīng)瑋度等信息,對(duì)用戶的訪問(wèn)日志中的eNodeB IP,ECI等信息進(jìn)行關(guān)聯(lián),并通過(guò)大數(shù)據(jù)聚類分析,從而得到用戶的訪問(wèn)位置區(qū)域和活躍位置區(qū)域,從而實(shí)現(xiàn)位置的溯源。
[0037]SMCG(安全監(jiān)管網(wǎng)關(guān)(溯源網(wǎng)關(guān))):部署于IP溯源企業(yè)側(cè),接收企業(yè)的溯源日志信息,上報(bào)給SMCC,進(jìn)行數(shù)據(jù)存儲(chǔ)和管理;接收SMCC發(fā)來(lái)的IP溯源命令,并上報(bào)IP溯源網(wǎng)絡(luò)中的IP溯源信息、特定用戶上線信息和告警事件信息。
[0038]SMCC(安全監(jiān)管中心):位于IP溯源網(wǎng)絡(luò)外,通過(guò)SMCG與IP溯源網(wǎng)絡(luò)相連。SMCC是溯源命令的初始發(fā)起者,也是IP溯源信息、特定用戶上線信息和告警事件信息的最終接收者。
[0039]本發(fā)明所公開的一種基于4G網(wǎng)絡(luò)的IP溯源方法,其包含企業(yè)側(cè)溯源網(wǎng)絡(luò)、分中心側(cè)溯源網(wǎng)絡(luò)和國(guó)家中心側(cè)溯源網(wǎng)絡(luò)三個(gè)網(wǎng)絡(luò)系統(tǒng),相互結(jié)合以實(shí)現(xiàn)對(duì)公共互聯(lián)網(wǎng)上網(wǎng)用戶進(jìn)行身份溯源,對(duì)特定帳號(hào)的上網(wǎng)行為進(jìn)行監(jiān)控。具體為:根據(jù)公共互聯(lián)網(wǎng)上網(wǎng)用戶,根據(jù)某些數(shù)據(jù)線索找到有關(guān)人的聯(lián)系信息。查詢條件之一:需要捕獲的上網(wǎng)用戶使用的IP地址、上網(wǎng)用戶的帳號(hào)、上網(wǎng)用戶的手機(jī)號(hào)、查詢時(shí)間段;結(jié)果信息:用戶所在的物理位置或范圍、用戶聯(lián)系信息、用戶的上網(wǎng)行為等。針對(duì)特定用戶的監(jiān)控,系統(tǒng)業(yè)務(wù)使用人員,可以定義需要進(jìn)行敏感監(jiān)控的帳號(hào)或IP地址,每當(dāng)有活躍的該項(xiàng)信息時(shí),系統(tǒng)會(huì)主動(dòng)通知操作終端用戶對(duì)應(yīng)的監(jiān)控結(jié)果。
[0040]其中,國(guó)家中心側(cè)溯源網(wǎng)絡(luò)負(fù)責(zé)全國(guó)溯源業(yè)務(wù)的開展,記錄來(lái)函情況,制定全國(guó)或部分省生效的用戶帳號(hào)監(jiān)測(cè)配置,查詢用戶帳號(hào)監(jiān)測(cè)結(jié)果,查詢固定電話網(wǎng)、移動(dòng)電話網(wǎng)用戶上網(wǎng)數(shù)據(jù),統(tǒng)計(jì)業(yè)務(wù)數(shù)據(jù)流量。分中心側(cè)溯源網(wǎng)絡(luò)負(fù)責(zé)本省溯源業(yè)務(wù)的開展,記錄來(lái)函情況,制定本省生效的用戶帳號(hào)監(jiān)測(cè)配置,同國(guó)家中心業(yè)務(wù)用戶類似可以查詢本地各類數(shù)據(jù),統(tǒng)計(jì)業(yè)務(wù)數(shù)據(jù)流量;企業(yè)側(cè)溯源網(wǎng)絡(luò)實(shí)現(xiàn)本地用戶數(shù)據(jù)的采集和統(tǒng)計(jì)工作。
[0041]本發(fā)明的溯源方法主要針對(duì)固網(wǎng)系統(tǒng)和移動(dòng)網(wǎng)系統(tǒng)進(jìn)行監(jiān)管,并且監(jiān)管操作不受互聯(lián)網(wǎng)用戶進(jìn)行漫游操作的影響。其中固網(wǎng)的上網(wǎng)途徑包括但不限于以下方式:ADSL、專線等;移動(dòng)網(wǎng)的上網(wǎng)途徑包括但不限于以下方式:4G移動(dòng)上網(wǎng)方式。
[0042]下面來(lái)詳述本發(fā)明技術(shù)方案的實(shí)現(xiàn)過(guò)程。
[0043]一、企業(yè)側(cè)數(shù)據(jù)接口配置
[0044]為了實(shí)現(xiàn)3G到4G的組網(wǎng)過(guò)度,在企業(yè)側(cè)需設(shè)置多個(gè)接口,4G_LTE網(wǎng)絡(luò)溯源的企業(yè)側(cè)需要采集如下幾個(gè)方面的數(shù)據(jù)信息,具體包括:1、網(wǎng)元基礎(chǔ)信息,包括eNODEB小區(qū)信息(ECI名稱、物理地址、經(jīng)瑋度等),MME和SAEGW網(wǎng)元IP地址信息及對(duì)應(yīng)pool池信息;2、訪問(wèn)日志信;3、用戶賬號(hào)監(jiān)測(cè)接口,需在采集解析設(shè)備上配置用戶賬號(hào)監(jiān)測(cè)接口,接收來(lái)自于SMCG(SMCC)的用戶賬號(hào)監(jiān)測(cè)指令;4、告警信息上報(bào)接口,溯源網(wǎng)絡(luò)所有溯源設(shè)備(包括防火墻前置機(jī))的軟件、硬件、網(wǎng)絡(luò)故障時(shí),由SMCG將告警信息上報(bào)給SMCC。
[0045]二、S6a數(shù)據(jù)解密
[0046]此外,根據(jù)3GPP規(guī)范,NAS層可以選擇加密后,將無(wú)法直接獲取到用戶的身份信息,需要在S6a進(jìn)行解密。
[0047]參照?qǐng)D2所示,本發(fā)明中對(duì)S6a接口進(jìn)行解密的方法如下:
[0048]1、以5腿提取:在563接口0丨311^^61協(xié)議的411?和414消息中提取1]\^1417^1^5]\?并關(guān)耳關(guān);
[0049]2、加密算法提取:在Sl-MME接口S1AP/NAS協(xié)議的Security mode command消息中提取加密算法并和MME SlAP ID1ENB SlAP ID建立關(guān)聯(lián)AUTN提取:在Sl-MME接口的SlAP/NAS協(xié)議的Authenticat1n request消息中提取AUTN,并和MME SlAP ID,ENB SlAP ID建立關(guān)耳關(guān);
[0050]3、解密關(guān)聯(lián):根據(jù)MME SlAP ID,ENB SlAP ID關(guān)聯(lián)AUTN,再通過(guò)AUTN關(guān)聯(lián)到KASME;[0051 ] 4、解密:通過(guò)KASME的密鑰及解密算法對(duì)NAS信令進(jìn)行解密。
[0052]參照?qǐng)D2,關(guān)于解密流程,具體描述如下:
[0053]第一步:關(guān)聯(lián)收到的SI接口消息,形成Si流程
[0054]第二步:對(duì)Si流程檢查是否為Si接口 AUTH加密流程;如果不是,結(jié)束流程。
[0055]第三步:取得該si接口AUTH加密流程初始UE消息到Security mode command消息之間收到的所有authenticat1n vectors(在s6a處理的時(shí)候保存)
[°°56] 第四步:從第三步得到的authenticat1n vectors中同步模糊匹配算法取出其中的一組或多組authenticat1n vector(s)
[0057]第五步:用第四步取出的authenticat1n vector(s)解密si接口AUTH加密流程Security mode command消息之后的加密NAS包。
[°°58] 第六步:如果用authenticat1n vector(s)解密成功,表示第四步模糊匹配算法選擇的8111:116111:;^&1:;[011 vector是正確,解密成功的authenticat1n vector為該si接口AUTH加密流程的解密參數(shù);如果沒有解密成功,說(shuō)明第三步模糊匹配算法選擇的authenticat1n vector為錯(cuò)誤的,沒有得到該si接口AUTH加密流程的解密參數(shù)。
[0059]三、4G網(wǎng)絡(luò)與2G/3G網(wǎng)絡(luò)互操作場(chǎng)景用戶身份信息回填
[0060]參照?qǐng)D7所示,由于用戶在網(wǎng)絡(luò)注冊(cè)后,會(huì)分配臨時(shí)身份信息,在使用臨時(shí)身份信息進(jìn)行2G/3G網(wǎng)絡(luò)與4G網(wǎng)絡(luò)之間切換時(shí),由于真實(shí)身份信息與臨時(shí)身份信息對(duì)應(yīng)關(guān)系的缺失,會(huì)造成切換后無(wú)法獲取用戶的真實(shí)身份信息。需要在不同接口之間關(guān)聯(lián)用戶唯一身份信息(手機(jī)號(hào))。
[0061]在互操作時(shí),傳統(tǒng)3G網(wǎng)絡(luò)溯源信息采集會(huì)丟失回落的流量,4G溯源網(wǎng)絡(luò)采集不到用戶的訪問(wèn)信息,這是由于:1、4G網(wǎng)絡(luò)下,信令面承載在S卜MME,用戶面承載在Sl-U;2、當(dāng)回落到3G時(shí),SGSN直接與PGW網(wǎng)元交互信息;3、正常3G網(wǎng)絡(luò),SGSN與GGSN網(wǎng)元交互信息
[0062]針對(duì)上述問(wèn)題,本發(fā)明在4G采集時(shí)需要同時(shí)接入Gn的流量并進(jìn)行過(guò)濾,或者設(shè)置3G采集解析設(shè)備支持GTPv2的解析能力。
[0063]四、GTPvl/v2混合采集
[0064]在運(yùn)營(yíng)商網(wǎng)絡(luò)過(guò)渡中,MME由原SGSN改造升級(jí),SGW由原GGSN改造升級(jí),SI I與Gn同物理鏈路,Sll接口采用GTP v2,Gn接口GTP-C和GTP-U采用GTP vl,Sl-U接口采用GTP vl,在解析與關(guān)聯(lián)過(guò)程中,需要進(jìn)行混合采集和關(guān)聯(lián)。GTP v2與GTP vl相比:1、標(biāo)識(shí)位變化,增加了 P標(biāo)識(shí)和T標(biāo)識(shí)2、TEID為可選項(xiàng);3、序列號(hào)由2字節(jié)擴(kuò)展為3字節(jié);4、不再使用擴(kuò)展消息頭。
[0065]五、防火墻日志解析
[0066]由于IPv4地址的短缺,在移動(dòng)通信網(wǎng)絡(luò)中都采用了NAT地址轉(zhuǎn)換技術(shù),用戶在上網(wǎng)時(shí),分配給用戶一個(gè)私網(wǎng)地址,由NAT設(shè)備(移動(dòng)通信網(wǎng)絡(luò)由防火墻來(lái)承擔(dān))來(lái)實(shí)現(xiàn)私網(wǎng)地址和公網(wǎng)地址的映射。在用戶訪問(wèn)過(guò)程中,防火墻會(huì)輸出Sess1n Create和Sess1n Close日志,由防火墻數(shù)據(jù)解析設(shè)備進(jìn)行解析,并送給關(guān)聯(lián)程序進(jìn)行關(guān)聯(lián)處理。因開啟Sy slog對(duì)防火墻性能影響較大,不同廠家不同型號(hào)防火墻輸出配置不一樣。
[0067]六、日志關(guān)聯(lián)合成
[0068]以S1-U采用用戶的上網(wǎng)地址、分配給用戶的用戶面TE ID、E-NODEB地址和S1-MME接口的記錄進(jìn)行關(guān)聯(lián)和回填,SI I接口獲得MSISDN、IMS1、頂EI及分配給用戶的IP地址,eNB和SGW側(cè)的TE ID等信息可以和S1-U進(jìn)行關(guān)聯(lián)和回填。
[0069]以IP五元組為key將帶有用戶身份信息的訪問(wèn)日志與防火墻NAT日志進(jìn)行關(guān)聯(lián),生成完整的溯源日志。
[0070]七、用戶位置信息生成
[0071]參見圖8,結(jié)合運(yùn)營(yíng)商上報(bào)網(wǎng)絡(luò)基礎(chǔ)數(shù)據(jù)中的物理位置、經(jīng)瑋度等信息,對(duì)用戶的訪問(wèn)日志中的eNodeB IP,ECI等信息進(jìn)行關(guān)聯(lián),并通過(guò)大數(shù)據(jù)聚類分析,從而得到用戶的訪問(wèn)位置區(qū)域和活躍位置區(qū)域,從而實(shí)現(xiàn)位置的溯源。
[0072]本發(fā)明的4G網(wǎng)絡(luò)針對(duì)移動(dòng)或聯(lián)通信號(hào)的溯源數(shù)據(jù)采集方案簡(jiǎn)單歸納如下:
[0073 ]參照?qǐng)D3所示,對(duì)S1-U接口、S11接口和防火墻接口采集數(shù)據(jù),S1-U采取用戶的上網(wǎng)地址、分配給用戶的用戶面TEID、E-NODEB地址和Sl-MME接口的記錄進(jìn)行關(guān)聯(lián)和回填,SI I接口獲得MSISDN、IMS1、頂EI及分配給用戶的IP地址,eNB和SGW側(cè)的TEID等信息可以和Sl-U進(jìn)行關(guān)聯(lián)和回填,防火墻接口獲取用戶公網(wǎng)IP地址和私網(wǎng)IP地址的NAT轉(zhuǎn)換信息,將獲取的用戶賬戶信息、訪問(wèn)信息和NAT地址轉(zhuǎn)換信息進(jìn)行數(shù)據(jù)關(guān)聯(lián)合成,生成溯源信息。
[0074]本發(fā)明的4G網(wǎng)絡(luò)針對(duì)電信信號(hào)的溯源數(shù)據(jù)采集的一個(gè)方案如下:
[0075]參照?qǐng)D4所示,電信4G網(wǎng)絡(luò)需要采集過(guò)渡網(wǎng)絡(luò)S2a接口、Sta接口和防火墻數(shù)據(jù),S2a接口獲取用戶的訪問(wèn)信息、Sta接口獲取用戶的賬戶信息、防火墻接口防火墻接口獲取用戶公網(wǎng)IP地址和私網(wǎng)IP地址的NAT轉(zhuǎn)換信息。將采集的用戶訪問(wèn)信息、用戶賬戶信息、NAT地址轉(zhuǎn)換信息進(jìn)行關(guān)聯(lián)合成,生成完整的溯源信息。
[0076]本發(fā)明的4G網(wǎng)絡(luò)跨SGW場(chǎng)景溯源采集的一個(gè)方案如下:
[0077]參照?qǐng)D5所示,按照源小區(qū)和目標(biāo)小區(qū)的從屬關(guān)系和位置關(guān)系,一般LTE系統(tǒng)內(nèi)部切換包括eNB站間切換和通過(guò)SI接口連接的eNB站間切換。SI接口的切換過(guò)程從信令流程上分為切換準(zhǔn)備,切換資源分配,切換通知等過(guò)程,切換步驟如下:
[0078]切換準(zhǔn)備過(guò)程由源eNB發(fā)起,通過(guò)核心網(wǎng)節(jié)點(diǎn),要求目標(biāo)eNB為本次切換準(zhǔn)備資源。
[0079]切換資源分配過(guò)程由MME發(fā)起,在目標(biāo)eNB中為本次切換準(zhǔn)備和預(yù)留所需要的資源。
[0080]UE成功接入到目標(biāo)eNB后,由目標(biāo)eNB發(fā)起切換通知過(guò)程,通知MME這個(gè)UE已經(jīng)成功轉(zhuǎn)移到目標(biāo)小區(qū),SI切換協(xié)議:
[0081]目標(biāo)SGW對(duì)UE數(shù)據(jù)進(jìn)行判斷,如果屬于站間切換的數(shù)據(jù),將根據(jù)報(bào)文中的PGWIP地址,通過(guò)核心網(wǎng),將該UE的數(shù)據(jù)業(yè)務(wù)自動(dòng)路由到源PGW網(wǎng)元設(shè)備。
[0082]采用本發(fā)明的4G網(wǎng)絡(luò)跨省漫游場(chǎng)景的溯源采集的一個(gè)方案如下:
[0083]參照?qǐng)D6所示,以A省和B省為例,A省增加采集S5/S8接口數(shù)據(jù),與防火墻NAT日志記錄進(jìn)行合成關(guān)聯(lián)。
[0084]本發(fā)明的4G網(wǎng)絡(luò)與2/3G切換場(chǎng)景溯源采集的一個(gè)方案如下:
[0085]參照?qǐng)D7所示,由于目前運(yùn)營(yíng)商2/3G與4G業(yè)務(wù)并存,用戶訪問(wèn)數(shù)據(jù)采集對(duì)于不同的網(wǎng)絡(luò)制式,采集點(diǎn)也不一樣(2/3G網(wǎng)絡(luò)溯源采集Gn口,4G網(wǎng)絡(luò)溯源采集Sl-U和Sll 口),所以關(guān)聯(lián)key不一樣。并且由于現(xiàn)網(wǎng)中存在2/3G與4G業(yè)務(wù)切換的場(chǎng)景,出現(xiàn)了GTP Vl與GTP V2混合采集的需求,造成了數(shù)據(jù)采集、解析和關(guān)聯(lián)困難。
[0086]在運(yùn)營(yíng)商網(wǎng)絡(luò)過(guò)渡中,MME由原SGSN改造升級(jí),SGW由原GGSN改造升級(jí),SI I與Gn同物理鏈路,Sll接口采用GTP v2,Gn接口GTP-C和GTP-U采用GTP vl,Sl-U接口采用GTP vl,在解析與關(guān)聯(lián)過(guò)程中,需要進(jìn)行混合采集和關(guān)聯(lián)。
[0087]在業(yè)務(wù)切換操作時(shí),傳統(tǒng)3G網(wǎng)絡(luò)溯源信息采集會(huì)丟失回落的流量,4G溯源網(wǎng)絡(luò)采集不到用戶的訪問(wèn)信息;此時(shí),溯源數(shù)據(jù)采集方式建議如下:4G采集時(shí)需要同時(shí)接入Gn的流量并進(jìn)行過(guò)濾;3G采集解析設(shè)備支持GTPv2的解析能力。
[0088]與現(xiàn)有技術(shù)相比,本發(fā)明可以基于用戶特定信息將物理位置信息和用戶行為信息關(guān)聯(lián)起來(lái),從而可以為互聯(lián)網(wǎng)安全事件溯源和應(yīng)用等提供移動(dòng)用戶的特定信息,包括移動(dòng)用戶位置信息和網(wǎng)絡(luò)訪問(wèn)信息,使互聯(lián)網(wǎng)應(yīng)用可以進(jìn)行后續(xù)的用戶行為分析以及精準(zhǔn)營(yíng)銷等行為,且可以針對(duì)網(wǎng)絡(luò)安全事件進(jìn)行用戶物理位置定位和行為畫像等應(yīng)用提供基礎(chǔ)數(shù)據(jù)支撐。
[0089]為了便于理解,下面來(lái)詳述本發(fā)明的上述部分名詞及縮寫的含義:
[0090]MME是3GPP協(xié)議LTE接入網(wǎng)絡(luò)的關(guān)鍵控制節(jié)點(diǎn),它負(fù)責(zé)空閑模式的UE (UserEquipment)的定位,傳呼過(guò)程,包括中繼。它涉及到bearer激活/關(guān)閉過(guò)程,并且當(dāng)一個(gè)UE初始化并且連接到時(shí)為這個(gè)UE選擇一個(gè)SGW(Serving GateWay)。通過(guò)和HSS交互認(rèn)證一個(gè)用戶,為一個(gè)用戶分配一個(gè)臨時(shí)ID13MME同時(shí)支持在法律許可的范圍內(nèi),進(jìn)行攔截、監(jiān)聽。
[0091]SGff(Serving GateWay,服務(wù)網(wǎng)關(guān))是移動(dòng)通信網(wǎng)絡(luò)EPC中的重要網(wǎng)元。EPC網(wǎng)絡(luò)實(shí)際上是原3G核心網(wǎng)PS域的演進(jìn)版本,而SGW的功能和作用與原3G核心網(wǎng)SGSN網(wǎng)元的用戶面相當(dāng),即在新的EPC網(wǎng)絡(luò)中,控制面功能和媒體面功能分離更加徹底,即信令面功能由MME網(wǎng)元負(fù)責(zé),而用戶數(shù)據(jù)轉(zhuǎn)發(fā)的用戶面功能由SGW網(wǎng)元接管。
[0092]PGff(PDN GateWayJDN網(wǎng)關(guān))是移動(dòng)通信網(wǎng)絡(luò)EPC中的重要網(wǎng)元。EPC網(wǎng)絡(luò)實(shí)際上是原3G核心網(wǎng)PS域的演進(jìn)版本,而PGW也相當(dāng)于是一個(gè)演進(jìn)了的GGSN網(wǎng)元,其功能和作用與原GGSN網(wǎng)元相當(dāng)。
[0093]MSISDN是指主叫用戶為呼叫GSM PLMN中的一個(gè)移動(dòng)用戶所需撥的號(hào)碼,作用同于固定網(wǎng)PSTN號(hào)碼,其是在公共電話網(wǎng)交換網(wǎng)絡(luò)編號(hào)計(jì)劃中,唯一能識(shí)別移動(dòng)用戶的號(hào)碼。
[0094]頂SI(國(guó)際移動(dòng)用戶識(shí)別碼)是區(qū)別移動(dòng)用戶的標(biāo)志,儲(chǔ)存在S頂卡中,可用于區(qū)別移動(dòng)用戶的有效信息。頂EI(移動(dòng)設(shè)備國(guó)際身份碼)是區(qū)別移動(dòng)設(shè)備的標(biāo)志,儲(chǔ)存在移動(dòng)設(shè)備中,可用于監(jiān)控被竊或無(wú)效的移動(dòng)設(shè)備。
[0095]Evolved Node B,即演進(jìn)型Node B簡(jiǎn)稱eNB,LTE中基站的名稱,相比現(xiàn)有3G中的Node B,集成了部分RNC的功能,減少了通信時(shí)協(xié)議的層次。
[0096]GTP是一組基于IP的,用于在GSM和UMTS網(wǎng)絡(luò)中支持通用分組無(wú)線服務(wù)(GPRS)的通訊協(xié)議。
[0097]LTE網(wǎng)絡(luò)包含多個(gè)主要接口,Sl-U接口,面向用戶面的接口,用戶面數(shù)據(jù)的隧道傳輸,包含Tunnel號(hào)可定位用戶該業(yè)務(wù)對(duì)應(yīng)的無(wú)線側(cè)信息,用戶業(yè)務(wù)數(shù)據(jù)類型如HTTP、IM、Video等。Sll接口,面向信令面的接口,包括創(chuàng)建/刪除會(huì)話、建立/刪除承載消息。S6a接口,是MME和HSS之間的接口。Sta接口,是HSGW與3GPP AAA之間的接口。
[0098]上述說(shuō)明示出并描述了本發(fā)明的若干優(yōu)選實(shí)施例,但如前所述,應(yīng)當(dāng)理解本發(fā)明并非局限于本文所披露的形式,不應(yīng)看作是對(duì)其他實(shí)施例的排除,而可用于各種其他組合、修改和環(huán)境,并能夠在本文所述發(fā)明構(gòu)想范圍內(nèi),通過(guò)上述教導(dǎo)或相關(guān)領(lǐng)域的技術(shù)或知識(shí)進(jìn)行改動(dòng)。而本領(lǐng)域人員所進(jìn)行的改動(dòng)和變化不脫離本發(fā)明的精神和范圍,則都應(yīng)在本發(fā)明所附權(quán)利要求的保護(hù)范圍內(nèi)。
【主權(quán)項(xiàng)】
1.一種基于4G網(wǎng)絡(luò)的IP地址的溯源方法,其特征在于包括: 4G網(wǎng)絡(luò)用戶面數(shù)據(jù)的采集,在4G-LTE網(wǎng)絡(luò)的S1-U接口通過(guò)數(shù)據(jù)分光采集并獲取用戶的訪問(wèn)信息; 4G網(wǎng)絡(luò)信令面數(shù)據(jù)的采集,在4G-LTE網(wǎng)絡(luò)的S11接口通過(guò)數(shù)據(jù)分光采集用戶的賬戶信息; 防火墻NAT地址數(shù)據(jù)的采集,獲取用戶公網(wǎng)IP地址和私網(wǎng)IP地址的NAT轉(zhuǎn)換信息,將獲取的用戶賬戶信息、訪問(wèn)信息和NAT地址轉(zhuǎn)換; 溯源日志的關(guān)聯(lián)合成,對(duì)S11接口采集的用戶賬戶信息和S1-U接口采集的用戶訪問(wèn)信息進(jìn)行關(guān)聯(lián)和回填,將關(guān)聯(lián)得到的帶有用戶身份信息的訪問(wèn)日志與防火墻NAT日志進(jìn)行關(guān)聯(lián),生成完整的溯源日志; 用戶位置信息生成,結(jié)合運(yùn)營(yíng)商網(wǎng)絡(luò)基礎(chǔ)數(shù)據(jù)中的物理位置和經(jīng)瑋度信息,通過(guò)大數(shù)據(jù)聚類分析,得到用戶的訪問(wèn)位置區(qū)域和活躍位置區(qū)域,從而實(shí)現(xiàn)位置的溯源。2.如權(quán)利要求1所述的IP地址的溯源方法,其特征在于,在獲取用戶的溯源日志后,將該溯源日志通過(guò)安全監(jiān)管網(wǎng)關(guān)上報(bào)給安全將中心進(jìn)行數(shù)據(jù)存儲(chǔ)和管理,此外,安全監(jiān)管網(wǎng)關(guān)還將接收安全監(jiān)管中心發(fā)來(lái)的IP溯源命令,并上報(bào)IP溯源網(wǎng)絡(luò)中的IP溯源信息、特定用戶上線信息和告警事件信息。3.如權(quán)利要求1所述的IP地址的溯源方法,其特征在于,采集用戶的訪問(wèn)信息具體包括:通過(guò)數(shù)據(jù)分光采集E-NodeB和SGW之間的接口的S1-U接口數(shù)據(jù),S1-U接口獲得用戶的上網(wǎng)地址、分配給用戶的用戶面TEID、E-N0DEB地址和Sl-MME接口的記錄和用戶互聯(lián)網(wǎng)訪問(wèn)信息;采集用戶的賬戶信息具體包括:通過(guò)數(shù)據(jù)分光采集MME和SGW之間的接口的SI I接口數(shù)據(jù),S11接口獲得MSISDN、MS1、IMEI及分配給用戶的IP地址,eNB和SGW側(cè)的TE ID的賬號(hào)信息。4.如權(quán)利要求1所述的IP地址的溯源方法,其特征在于,溯源日志的關(guān)聯(lián)合成具體包括:以Sl-U采集用戶的上網(wǎng)地址、分配給用戶的用戶面TEID、E-NODEB地址和Sl-MME接口的記錄進(jìn)行關(guān)聯(lián)和回填,將Sll接口獲得1^1301]31、^^1及分配給用戶的1?地址,6他和36¥側(cè)的TEID信息和Sl-U進(jìn)行關(guān)聯(lián)和回填,以IP五元組為key將帶有用戶身份信息的訪問(wèn)日志與防火墻NAT日志進(jìn)行關(guān)聯(lián),生成完整的溯源日志。5.如權(quán)利要求2所述的IP地址的溯源方法,其特征在于,所述安全監(jiān)管網(wǎng)關(guān)部署于IP溯源企業(yè)側(cè),所述安全監(jiān)管中心部署于IP溯源網(wǎng)絡(luò)外。6.如權(quán)利要求1所述的IP地址的溯源方法,其特征在于,所述IP溯源企業(yè)側(cè)配置有用戶賬戶信息監(jiān)測(cè)接口,接收來(lái)自安全監(jiān)管網(wǎng)關(guān)或安全監(jiān)管中心的監(jiān)測(cè)指令;還配置有告警信息上報(bào)接口,通過(guò)該上報(bào)接口,溯源網(wǎng)絡(luò)側(cè)的所有溯源設(shè)備的軟件、硬件或者網(wǎng)絡(luò)出現(xiàn)故障時(shí),通過(guò)安全監(jiān)管網(wǎng)關(guān)將告警信息上報(bào)給安全監(jiān)管中心。7.如權(quán)利要求1所述的IP地址的溯源方法,其特征在于,SII接口采用GTP v2協(xié)議,Sl-U接口采用GTP vl協(xié)議。8.如權(quán)利要求7所述的IP地址的溯源方法,其特征在于,在采用4G網(wǎng)絡(luò)與2/3G網(wǎng)絡(luò)進(jìn)行切換溯源用戶的訪問(wèn)信息時(shí),還配置有Gn接口,Gn接口的GTP-C和GTP-U采用GTP vl協(xié)議,在解析與關(guān)聯(lián)過(guò)程中,需要對(duì)GTP vl和GTP v2進(jìn)行混合采集和關(guān)聯(lián),在4G采集時(shí)選擇同時(shí)接入Gn的流量并進(jìn)行過(guò)濾,或者將2/3G采集解析設(shè)備設(shè)為支持GTPv2的解析能力。9.如權(quán)利要求1所述的IP地址的溯源方法,其特征在于,在獲取用戶的身份信息時(shí),先在MME和HSS之間的接口 S6a對(duì)NAS層進(jìn)行解密。10.如權(quán)利要求1所述的IP地址的溯源方法,其特征在于,在使用臨時(shí)身份信息進(jìn)行2G/3G網(wǎng)絡(luò)與4G網(wǎng)絡(luò)之間切換時(shí),需要在不同網(wǎng)絡(luò)接口之間關(guān)聯(lián)用戶唯一身份信息,該唯一身份信息包含用戶的手機(jī)號(hào)。
【文檔編號(hào)】H04L29/06GK106067880SQ201610412745
【公開日】2016年11月2日
【申請(qǐng)日】2016年6月13日 公開號(hào)201610412745.8, CN 106067880 A, CN 106067880A, CN 201610412745, CN-A-106067880, CN106067880 A, CN106067880A, CN201610412745, CN201610412745.8
【發(fā)明人】畢慧, 李超, 郭承青, 包秀國(guó), 陳曉光, 王 琦, 崔佳, 王魯華
【申請(qǐng)人】國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心