移动网NET—APN接入点访问取号技术

药晓蓉

移动网络手机号码获取存在问题

现网实际数据应用中，对于公网上的内容提供商，无法获得移动用户手机号码信息，因此很难实现对移动用户的计费和应用管理，主要原因是：在现在的移动数据业务中，用户业务数据多以IP包的方式进行发送，在移动运营商的网络内，每个用户可以分得一个唯一的私网IP地址和自己的MSISDN相对应。用户访问互联网需要经过防火墙，防火墙对用户的私有IP地址做NAT转换，数据包内携带的私有IP地址都被转换成公有IP地址。公网上的应用服务器只能获得用户的公网IP地址/端口号，无法获取用户的MSISDN号码。同时，受IP资源限制，防火墙对用户的私有IP地址做NAT转换时，存在同一个公网IP地址/端口号对应多个私网IP地址的情况，更增加了对用户进行有效识别的难度，公网上的应用服务器也就无法知道业务使用者信息。

移动互联网业务区分WAP和NET的APN接入方式，两种方式存在的问题是不相同的。当移动用户通过WAP-APN进行移动互联网业务接入时，WAP网关通过RADIUS（RemoteA.uthenticationDiallnUserService）消息获得用户MSISDN号与私网IP地址，并通过将用户号码插入到HTTP头的方式将用户号码传递给SP网站进行用户识别。但对于SOCKET、流媒体播放等不经WAP网关处理的业务，仍无法实现用户信息标识的功能。

当用户使用NET方式接入时，GPRS分组设备GGSN直接将用户请求送至互联网，NET-APN由于没有启用RADIUS计费鉴权流程，因此这部分业务请求，移动运营商无法获得当前业务下的用户移动标识MSISDN编码与用户IP地址的对应关系，更无法将移动用户的MSIDSN号前传给应用服务器，导致相应的应用服务器不能够对用户进行有效识别，也限制了移动互联网计费业务的发展。

解决方案原理

解决NET-APN用户号码获取成为了当务之急。要让公网CP/SP获取用户的手机号码，需要解决两个具体问题：

运营商如何在用户访问的过程中获得其手机号码：运营商如何将手机号码告知sP，并保证用户的手机号码与其访问行为是匹配的。

用户上网时，运营商可以通过RADIUS消息的分析来获取用户的手机号码，也可以根据Gn口的消息监听来获取用户的手机号码。

运营商可以通过将手机号码嵌入HTTP包头的方法，将用户手机号码前传给公网的CP/SP，因为是在用户的访问请求中附加其手机号码，所以不存在访问和手机号的匹配的问题。同时，CP/sP可以通过用户的标识来向运营商查询用户的手机号码，这个标识可以是用户的公网IP，也可以是和运营商约定的访问行为编号。

根据上述的分析，本文提出了三种解决方案，都可以解决现网用户NET-APN访问CP/SP获取不到手机号码的问题。

解决方案

用户完整访问记录方案。用户完整访问记录方案的原理是解决每个移动用户的公网IP地址/端口号与私网IP地址/MSISDN号的对应问题，CP/SP通过用户的公网IP地址和目的IP地址向新建系统发起查询，新建系统反馈用户手机号码。需要注意的是，要利用用户访问的目的地址来区分复用同一个公网IP地址/端口号的多个用户。

新建系统连接GGSN，通过解析用户RADIUS报文以取得用户MSISDN号码、私网IP地址与端口。新建系统连接Intemet出口防火墙，以取得用户私网IP地址和端口、NAT转换后的IP地址与端口和目的IP地址、端口号。

新建系统中维护用户完整访问记录，包括：用户手机号码、用户私网IP地址和端口、用户公网IP地址和端口、用户目的IP地址和端口、用户上线时间。系统实时维护该记录，并在用户下线后进行入库保存。

SP/CP通过用户公网IP和目的IP向新建系统进行查询，获取用户手机号码。

Gn口数据监听方案

该方案的原理是通过监听Gn口GTP信令来获取用户的访问信息。在用户访问过程中，新建系统与CP/SP共同约定一个特定的访问标识（KEY），CP/SP通过KEY向新建系统查询用户手机号码。实际应用中，CP/SP将KEY嵌入用户I-rITP头中重定向到新建系统，这样做的目的是为了减少新建系统的监听量，减轻系统的负荷。

GTP是一组基于IP的，用于在GSM和UMTS网络中支持通用分组无线服务（GPRS）的通讯协议。GTP-C信令解析可以获取用户的私网IP-手机号码信息。GTP-U信令解析可以获取用户的访问目的信息。通过对GTP信令的解析可以获取用户的完整访问记录。

基于以上原理，我们可通过对SGSN与GGSN之间Gn口的分光监听可以获取用户的GTP协议信令，进行DPI（深度包解析）获取用户私网IP、手机号码和目的IP等对应关系。

智能管道方案。新建系统接收GGSN服务器发送Radius消息并进行解析，在系统内部维护IP地址、MSISDN号码间对应关系。

新建系统对用户访问的数据包进行DPI解析，获取用户私网IP地址。根据RAIDUS消息中获取的IP-MSISIDN对应关系，获知用户的手机号码。新建系统将用户手机号码插入HTTP包头中，前传给CP/SP。

方案对比

通过以上的三种方案描述可以看出，对于NET号码获取的三种方案主要分成两类。一类是“并联”方案，包括了用户完整访问记录方案和Gn口监听方案。并联方案的特点是新建系统不在现有用户访问的业务流中、不承载用户的流量，SP以向新建系统查询的方式来获取用户的手机号码。智能管道方案属于“串联方案”，新建系统承载用户访问的流量，在原有的业务流程中增加了新建系统处理的环节。

串联方案在功能可扩展性上要优于并联方案。由于串联在业务流中，除用户号码的获取和前传外，还可进行有效的网络管理和为用户提供丰富的服务。包括对用户访问的路由控制，通过DPI结果分析做到网络可视，对用户页面进行内容植入和双语翻译，为用户访问进行病毒扫描，与OCS和BILLING系统配合实现内容计费等。更重要的是，本文所描述的串联方案可以与PCRF等策略控制系统配合，为用户提供个性化的差异服务，真正实现智能管道。串联方案的弊端在于投资较大，由于要承载用户的访问流量，需要新建较多的服务器和数通设备。若仅仅为了获得用户的手机号码，串联方案的性价比较低。

用户完整访问记录方案的优势在于对现网业务流程改动小、投资低，只需要GGSN将RADIUS消息送往新建系统，将业务出口防火墙SYSLOG通过内网发送至新建系统，即可实现对移动用户使用WAP-APN接入访问非浏览类业务，使用NET-APN接入访问互联网进行用户标识以及用户IP地址的溯源。对于不能提供防火墙SYSLOG的现网环境，可以选择Gn口监听方案。

综上所述，推荐采用智能管道的方案。智能管道方案架构更符合运营商在未来的发展趋势和业务需要。