移动互联网用户标识管理技术的研究

2011-11-17 07:39朱振祺卜毅然朱旭明中国联通广州分公司广东广州50655北京中网华通设计咨询有限公司北京00070中国联通广东分公司广东广州5067
邮电设计技术 2011年12期
关键词:IP地址端口模块

朱振祺,卜毅然 ,朱旭明(.中国联通广州分公司,广东 广州 50655;.北京中网华通设计咨询有限公司,北京 00070;.中国联通广东分公司,广东 广州 5067)

0 前言

2009年,在各移动运营商3G网络建成后,移动用户的网络访问量大幅增长,越来越多的基于互联网使用的业务,如流媒体、博客、即时通信、网游等,陆续转移到移动终端上来。手机号码在移动互联网业务的应用中,起到了用户身份的校验作用,并可实现支付功能。这种特殊性给运营商和未来的网络媒体带来了全新的运营模式,使移动用户的网络应用点播、网络支付等业务逐渐成为可能。

1 问题分析

在互联网业务中,对用户身份的认证有几种方式。一般电子交易的用户认证使用的是用户名或ID+密码方式;移动通信的用户认证使用的是用户手机号码(MSISDN),由网络将MSISDN自动地传递给业务控制平台,而不必由用户输入用户名及口令。这种认证方式具有天然的方便性优势,是移动运营商能主导整个价值链的一个关键技术手段,同时也极大地提高了用户使用业务的感受。

但在实际应用中,对于公网上的内容提供商来说,由于其无法获得移动用户的身份信息,因此很难实现对移动用户的计费和应用管理,主要原因是:在现在的移动数据业务中,用户业务数据多以IP包的方式进行发送。在移动运营商的网络内,每个用户都可分得一个唯一的私网IP地址与自己的MSISDN相对应。用户访问互联网时需经过防火墙,防火墙对用户的私有IP地址做NAT转换,数据包内携带的私有IP地址都被转换成公有IP地址。公网上的应用服务器只能获得用户的公网IP地址/端口号,而无法获取用户的MSISDN号码。加之受IP资源的限制,防火墙对用户的私有IP地址做NAT转换时,存在着同一公网IP地址/端口号对应多个私网IP地址的情况,这就更增加了对用户进行有效识别的难度,公网上的应用服务器也就无法知道业务使用者的信息。因此,如果要实现对用户的身份识别和计费,就要解决每个移动用户的公网IP地址/端口号与私网IP地址/MSISDN号的对应问题。

当然,移动互联网业务区分WAP和NET的APN接入方式存在的问题也不尽相同:当移动用户通过WAP-APN进行移动互联网业务接入时,WAP网关通过Radius消息获得用户MSISDN号与私网IP地址,并通过将用户号码插入到HTTP头的方式将用户号码传递给SP网站进行用户识别。但对于SOCKET、流媒体播放等不经WAP网关处理的业务,仍无法实现用户信息标识的功能;当用户使用NET方式接入时,GPRS分组设备GGSN直接将用户请求送至互联网,由于NET-APN没有启用Radius计费鉴权流程,因此这部分业务请求移动运营商无法获得当前业务下的用户移动标识MSISDN编码与用户IP地址的对应关系,更无法将移动用户的MSISDN号传给应用服务器,导致相应的应用服务器不能对用户进行有效识别,也限制了移动互联网计费业务的发展。

移动互联网业务流向如图1所示。

综上所述,可对移动互联网用户计费标识技术的研究背景做出以下概括。

a)MSISDN号码在移动用户互联网应用中具有独特的应用优势,因此移动互联网用户计费标识技术的研究应以用户MSISDN号为核心。

b)用户计费标识困难的核心问题在于运营商无法获得一个用户访问的完整信息,因此解决现网问题的关键就在于用户进行NAT转换前后标识信息的获取与匹配。

2 原理分析

经对现网实际情况的分析,会发现以下几个问题。

a)Radius消息中包含用户手机号码与私网IP地址/端口的对应关系。通过配置GGSN,对用户的WAP、NET接入均发起Radius鉴权。

b)防火墙syslog报文中包含用户私网IP地址/端口号、用户公网IP地址/端口号及用户访问的目的IP地址/端口号的对应关系。

c)通过私网IP地址/端口号将Radius消息信息与防火墙syslog报文信息进行匹配,通过目的IP地址/端口号区分复用同一公网IP/端口号的不同用户,即可获得用户的完整访问信息。

3 解决方案

移动互联网用户标识管理解决方案,就是基于上述原理提出来的,即在运营商移动互联网结构中增加1个新的功能实体——移动互联网用户标识管理系统(I-UIM——Internet-User ID Manager)。该系统的主要功能是有效地维护移动互联网用户MSISDN编号与动态IP地址的实时绑定关系,且提供一套有效机制为移动互联网应用服务器提供查询服务。

I-UIM系统由系统管理模块、日志模块、业务逻辑处理模块、统计模块、Radius模块、BSS接口模块、NAT接口模块及Webservice接口模块组成(见图2)。

图2 I-UIM系统结构

a)系统管理模块。主要包含属地、部门、人员、角色等基础数据的维护和管理。

b)日志模块。管理员对数据操作的统计查询。

c)业务逻辑处理模块。可处理因Radius和NAT接口模块丢包或异常导致的问题。

d)统计模块。可实现系统统计报表的生成。

e)Radius模块。可从用户上线取得用户信息、用户下线清除用户信息,是保证平台对外提供数据准确性的核心模块。

f)BSS接口模块。是为保护用户手机、用户名等隐私信息,保证对外提供的查询是用户的伪码信息,从BSS取得用户手机和伪码对应关系的接口模块。

g)NAT接口模块。可从防火墙上取用户的外网地址、端口和内网地址、端口的对应关系,保证平台对外提供数据准确性的核心模块。

h)Webservice接口模块。是给互联网服务提供商查询访问本服务商提供服务的用户信息接口。

增加了I-UIM功能实体后的移动互联网业务网络结构如图3所示。

a)I-UIM系统连接GGSN,以取得用户MSISDN号码、源IP地址和端口。

b)用户向GGSN发起PDP激活,不区分WAP或NET上网方式,GGSN均通过GRE隧道将Radius消息发送至I-UIM系统。系统通过对Radius消息进行解析,获取用户手机号码和用户上下线的实时信息及用户上线时GGSN分配给用户的私网IP地址和端口,并将获得的信息进行实时维护,在用户下线后将用户信息入库保存。

c)I-UIM系统连接Internet出口防火墙,以取得用户NAT转换后的IP地址和端口。

d)I-UIM系统通过运营商内部网络连接WAP/NET出口防火墙获取syslog报文,通过对防火墙syslog报文的解析获取用户的私网IP地址和端口、经防火墙NAT转换后的公网IP地址和端口、用户访问的目的IP地址和端口。系统通过用户的私网IP地址和端口来匹配用户的syslog报文信息和Radius消息信息。由于防火墙可将不同私网IP地址和端口复用为相同公网IP地址和端口,所以需使用目的IP地址和端口来对用户进行区分,并最终在系统中对用户的使用形成1条包括用户手机号码、用户私网IP地址和端口、用户公网IP地址和端口、用户目的IP地址和端口、用户上线时间、用户伪码的记录。系统实时维护该记录,并在用户下线后入库保存。

e)I-UIM系统连接SP业务平台,以完成对业务平台的鉴权及对业务平台的用户标识信息。

f)I-UIM系统通过 Webservice接口与 SP相连通。SP向系统发出申请消息,以申请用户信息。该申请消息包括被查询用户的公网IP地址和端口、目的IP地址和端口及SPID,该SPID为SP上线时由I-UIM系统分配给合法SP的唯一标识。系统首先对SP进行鉴权,鉴权成功后,系统根据用户公网IP地址和端口、目的IP地址和端口查询用户伪码,通过Webservice接口将用户伪码反馈回SP。对鉴权失败的SP,返回非法SP提示。用户信息查询结束后,系统对SP的查询进行记录,并入库保存。

该方案对现网业务流程改动较小,只需GGSN将Radius消息送往I-UIM系统,将业务出口防火墙syslog通过内网发送至I-UIM系统,即可实现对移动用户使用WAP-APN接入访问非浏览类业务、使用NET-APN接入访问互联网进行用户标识及用户IP地址的溯源。该方案具有以下主要功能。

a)Radius服务器计费鉴权功能。实现对移动用户MSISDN编号与动态IP地址关系的获取。

b)移动用户NAT/PAT地址转换后的查询功能。据移动用户终端IP地址及端口号,能向防火墙查询对应的NAT/PAT后的业务访问IP地址及端口号。

c)用户标识管理功能。动态维护移动用户MSISDN编号、移动用户动态IP地址表,以及维护移动用户MSISDN编号与用户伪码表。

d)业务平台鉴权管理功能。支持对申请查询的业务平台进行鉴权管理,只许有权查询的业务平台进行用户标识查询。

e)业务平台的移动用户标识实时查询功能。

(a)I-UIM提供Webservice接口。第三方业务平台可通过用户源IP地址+源端口号方式,向I-UIM进行该用户手机号码(伪码)的实时查询功能。

(b)I-UIM针对用户特殊访问维护唯一标识管理能力。当移动用户访问特殊HTTP页面时,通过第三方服务器将该访问重定向至I-UIM平台,I-UIM平台能对该用户进行唯一性标识(KEY),并与用户手机号码、当前源IP地址、目地IP地址进行关联。然后,I-UIM能通过再重定向至第三方业务平台,并将该KEY值通过HTTP头送至业务平台,业务平台可通过用户KEY进行用户手机号码的查询。

f)话单管理功能。按移动用户会话进行话单产生存储,作为非实时业务的移动用户MSISDN编号业务使用记录。

g)营账接口。作为用户互联网业务伪码管理的预留接口。

4 结束语

移动互联网用户标识管理技术解决方案对现网系统改动小,不影响现有业务流程,可直接提升用户业务使用感知。移动运营商基于此方案在为用户提供移动互联网丰富应用的同时,还可加强对用户资源的保护和开发,并可配合国家信息安全管理部门进行有效的用户身份识别。

猜你喜欢
IP地址端口模块
28通道收发处理模块设计
华为交换机端口Hybrid 模式的应用
“选修3—3”模块的复习备考
一种有源二端口网络参数计算方法
一种端口故障的解决方案
隔离型三端口变换器的H∞鲁棒控制
公安网络中IP地址智能管理的研究与思考
必修模块相关知识过关训练
《IP地址及其管理》教学设计
计算机的网络身份IP地址