基於用戶終端ip的第三代移動通信核心網數據分流方法

2023-06-05 06:25:41

專利名稱：基於用戶終端ip的第三代移動通信核心網數據分流方法
技術領域：
本發明涉及第三代移動互聯核心網(也稱3G核心網)鏈路下的高速網絡流量監控領域，特別是涉及一種根據用戶終端網絡互聯協議IP (Internet Protocol)地址進行核心網數據分流的方法。
背景技術：
在中國，移動網際網路通信經歷了兩代的發展之後，第三代移動通信3G (3rdGeneration)已經成熟並開始商用，3G的目標是為用戶提供質量更佳的移動語音、寬帶移動數據和移動多媒體服務，提供更大的系統容量和更高的頻譜利用率，滿足人們對通信個性 化的需求。目前 3G 的主流技術標準包括 CDMA2000 (Code Division Multiple Access2000,石馬分多址 2000)，WCDMA (Wideband Code Division Multiple Access,寬帶碼分多址)和TD-SCDMA (Time Division-Synchronous Code Division Multiple Access,時分同步碼分多址)，可以說三種技術標準在實際應用中各有所長。但不管是哪種技術標準，最終的應用目的都是讓移動終端與Internet相連。隨著3G移動網際網路的不斷普及，以往許多只在固網網際網路中發生的安全事件正不斷地向移動網際網路中蔓延，針對移動網際網路用戶的攻擊手段正呈現出層出不窮的趨勢。因此對3G核心網中的流量進行採集並分析，以對攻擊行為進行監測和追蹤變得十分有意義。CDMA2000核心網絡主要由PCF (Packet ControlFunction,分組控制功能)節點和F1DSN (Packet Data Serving Node,分組數據服務節點)組成。兩者之間的接口稱為AlO和All接口 ；連結PCF和I3DSN的邏輯鏈路分為上行鏈路和下行鏈路，上行鏈路為PCF端往I3DSN端通信的鏈路，下行鏈路為I3DSN端往PCF端通信的鏈路。所有經過AlO接口的數據報文都會被加上GRE(Generic Routing Encapsulation,通用路由封裝協議)隧道封裝，以進行隧道傳輸。同時根據PCF端和roSN端協商的結果，數據報文會存在VJ (Van Jacobson,壓縮TCP協議)數據報文，MPPC (MicrosoftPoint-To-Point Compression,微軟點對點壓縮)數據報文，以及不可避免的分片報文，因此在分流前必須對其進行解封裝、解壓縮以及分片重組的處理，以還原最初的用戶數據報文。WCDMA和TD-SCDMA在核心網域採用了相同的構建方式，兩者核心網絡結構相同。WCDMA和TD-SCDMA核心網絡主要由GPRS服務支持節點(SGSN)和網關GPRS支持節點(GGSN)組成，這裡的GPRS指General Packet Radio Service,即通用分組無線服務技術。兩者之間的接口稱為Gn接口 ；連結SGSN和GGSN的邏輯鏈路也分為上行鏈路和下行鏈路，上行鏈路為SGSN端往GGSN端通信的鏈路，下行鏈路為GGSN端往SGSN端通信的鏈路。所有經過Gn接口的數據報文都會被加上GTP (GPRS Tunnel Protocol，GPRS隧道協議)隧道封裝，以進行隧道傳輸。與CDMA2000協議不同的是，在WCDMA或TD-SCDMA協議中傳輸的數據報文，只需要對其進行解封裝和分片重組的處理，不需要解壓縮，以還原最初的用戶數據報文。高速流量監控設備均放置在三大主流技術標準核心網域接口處。高速流量監控設備一般由前端數據處理分流設備和多個後端分析系統組成。前端數據處理分流設備與3G核心網和多個後端分析系統通過光纖相連，對從3G核心網鏈路進入的報文進行預處理並對報文分流。前端數據處理分流設備由解封裝模塊和分流模塊組成。解封裝模塊與3G核心網鏈路以及分流模塊相連，對鏈路上所有的數據報文進行解封裝、解壓縮以及分片重組的處理，然後將處理完成的報文發送給分流模塊。分流模塊與解封裝模塊以及後端分析系統相連，對經過解封裝模塊處理的報文按需求進行分流，最後將分流完成的報文發送給後端分析系統。後端分析系統對前端數據處理分流設備輸出的報文進一步分析，實現網絡行為審計、網絡內容審計和入侵檢測。然而隨著核心網鏈路速度的不斷提升，這種高速流量監控系統往往需要較多的後端分析系統來完成對龐大用戶數據量的並行分析監測，同時為了不丟失任何的有用信息，還需要保證用戶數據流具有「流完整性」，即將屬於同一用戶的所有數據流都分發到同一臺後端分析系統上。因此，這就需要一種新的分流方式將從前端數 據處理分流設備捕獲的用戶數據報文準確地按用戶均勻地分流到每一臺後端分析系統中，以實現監測還原的效率最大化。目前3G核心網用戶數據分流方法主要是根據五元組規則進行分流，即根據報文的源IP位址、目的IP位址、源埠、目的埠和協議號進行用戶數據報文的分流，使用的算法主要為散列算法。所謂散列算法，又稱為哈希算法，是一種基本的數據索引方法，也是當前設備在處理3G核心網數據報文後將其分流到後端分析設備的一種主要分流算法。它建立一個從報文的關鍵字集合到散列表地址集合的映射，即在散列表地址和報文的關鍵字之間建立一個確定的對應關係f，使每個關鍵字和一個唯一的存儲位置(即散列表地址)相對應。在查找時，首先根據這個對應關係f查找給定關鍵字K的映射f (K)，若散列表中存在和f (K)相等的記錄，則關鍵字K必定在f (K)的存儲位置上。由此，不需要進行比較便可直接取得所查記錄，映射f (K)就是哈希函數。根據f (K)即可由關鍵字K確定f (K)在散列表中的唯一存放地址。因為一段明文在經過哈希映射後將產生唯一的值，在計算上不存在哈希為同一值的不同輸入，所以在網絡分流設備中，這個關鍵字K通常被設置為報文的源IP位址、目的IP位址、埠號等數據報文的重要信息，產生一個較小的二進位值後再與後端分析設
備的MAC (Medium/Media Access Control,介質訪問控制)地址進行--對應，達成分流效
果。圖2為基於散列算法的數據報文五元組分流方法，步驟如下第一步，高速流量監控設備初始化，分流模塊建立表項為M項的哈希表，M是設備管理員根據後端分析系統的數量。哈希表的每個表項包括索引值、MAC地址值兩個域，索引值域表明MAC地址在表中的位置，MAC地址值用來存放設備管理員輸入的目的MAC地址，每個目的MAC地址對應一臺後端分析系統。同時，分流模塊建立表項為L項的五元組地址表，L由設備管理員根據存儲空間的大小決定。五元組地址表的每個表項包括ID號、源IP位址域、目的IP位址域、源埠域、目的埠域和協議域五個域，ID號表明存放的五元組信息在五元組地址表中的位置，其餘五個域用來存放從數據報文中提取出的五元組信息。第二步，解封裝模塊接收來自3G核心網鏈路的原始數據報文，對原始數據報文進行解封裝、解壓縮及分片重組，還原其封裝內的用戶數據報文，將還原後的用戶數據報文發送給分流模塊。第三步，分流模塊中的分流軟體從還原後的用戶數據報文中提取出五元組信息即源IP位址、目的IP位址、源埠號、目埠號以及協議號，將五元組信息寫入五元組地址表中。第四步，分流軟體根據分流需求(分流需求通過指令下達給分流軟體，如要求按源IP位址進行分流)，從五元組地址表中提取出與分流要求對應的源IP位址。第五步，分流軟體對源IP位址進行哈希運算得到哈希值，將此哈希值與哈希表項數N的二進位數進行與運算，得到針對此源IP的索引值，然後將此索引值與哈希表中的每一個索引值域進行比較，得到此索引值域所對應的MAC地址。第六步，分流軟體根據第五步對應的MAC地址值給數據報文填上目的MAC地址，將 報文發送到目的MAC地址所對應的的後端分析設備，返回第三步繼續接收下一個報文。根據上文所述，3G核心網的邏輯鏈路分為上行鏈路和下行鏈路，上行鏈路報文為PCF端發往roSN端的報文(或SGSN端往GGSN端的報文)，即用戶終端發往Internet網絡的報文；下行鏈路為I3DSN端發往PCF端的報文(或GGSN端往SGSN端的報文)，即Internet網絡回復給用戶終端的報文。由此可知上行鏈路報文的源IP位址和下行鏈路報文的目的IP位址都為用戶終端IP。如果採用五元組的分流方式，只能保證所有相同五元組內容的報文進入同一臺後端分析系統，而無法區別用戶。即假設有一條用戶數據流在用戶終端IP位址A和Internet地址B之間進行通信，因為鏈路分為上行鏈路和下行鏈路，在上行鏈路中用戶終端IP位址A出現在源IP位址域，而在下行鏈路中用戶終端IP位址A則出現在了目的IP位址域，同理Internet地址B也是這樣。採用五元組的分流方法時，因為A和B的值不可能相等，得到的哈希值也肯定不一樣，因此分流時通過哈希值經過與運算獲取的索引值很可能不一樣，那麼得到的MAC地址就會不同，從而使兩個方向的報文被分流到不同的後端分析設備中，若是A請求向B發送報文，若B收到報文，則B會向A發送響應報文，這種情況下A到B和B到A這兩個通行方向的報文都應該屬於用戶終端IP位址A。因此使用五元組的分流方法將無法保證將屬於同一用戶的數據報文都分流到同一臺後端分析設備中，這將導致每臺分析設備在還原用戶數據內容時因只獲取了部分用戶數據而失去用戶數據報文之間的關聯性，從而無法完整還原用戶信息。因此，如何使得屬於同一用戶的所有數據準確完整地分流到同一臺後端分析設備是3G核心網數據處理分流領域急於解決的技術問題。

發明內容
本發明要解決的技術問題是提供一種高速、可靠的數據分流方法，能夠將所有數據報文按用戶IP位址均勻分流到與該用戶IP位址對應的後端分析設備中，使得後端分析設備能夠獲取每一條完整的用戶數據流，從而保證用戶數據還原的準確性。為實現上述分流的目的，本發明的技術方案是第一步，改進高速流量監控設備中的前端數據處理分流設備，前端數據處理分流設備與3G核心網和多個後端分析系統通過光纖相連。前端數據處理分流設備的改進方法是1.1在前端數據處理分流設備增加學習模塊和上下行判定模塊1.1.1學習模塊與3G核心網鏈路和上下行判定模塊相連，從3G核心網鏈路獲取用戶數據報文和各類控制報文，對All接口控制報文和Gn接口控制報文中攜帶的I3DSN或GGSN地址進行提取並存儲，並將所有報文發送給上下行判定模塊。當3G核心網是CDMA2000核心網鏈路時，學習模塊初始化時構建一張表項為N的I3DSN地址表，然後獲取CDMA2000核心網鏈路中控制報文攜帶的I3DSN地址，並將其儲存到I3DSN地址表中；當3G核心網是WCDMA或TD-SCDMA核心網鏈路時，學習模塊初始化時構建一張表項為N的GGSN地址表，然後獲取WCDMA或TD-SCDMA核心網鏈路中控制報文攜帶的GGSN地址，並將其存儲到GGSN地址表中。PDSN或GGSN地址表的項數N根據實際鏈路情況決定，N為正整數且128彡N彡32。PDSN或GGSN地址表的每個表項由ID號和地址值兩個域組成，ID號表明每個I3DSN或GGSN地址在表中的位置，地址值用來存放學習到的控制報文中攜帶的I3DSN或GGSN地址。1.1. 2上下行判定模塊與學習模塊和解封裝模塊相連，上下行判定模塊從學習模塊獲得報文後，對所有報文進行鏈路上下行狀態的判定，並將經過判定的數據報文發送給解封裝模塊。1. 2改進分流模塊去掉五元組地址表，分流模塊由哈希表和分流軟體組成。在分 流軟體中增加對所有報文用戶終端IP的判定功能，並在哈希運算時採用用戶終端IP作為關鍵字進行查表，不再使用五元組規則。分流模塊在初始化時在存儲空間內建立表項為M項的哈希表用於存儲目的MAC地址，M等於後端分析設備的數目。哈希表與背景技術基於散列算法的數據報文五元組分流方法中的相同。第二步，前端數據處理分流設備初始化2.1初始化學習模塊構建表項為N項的I3DSN或GGSN地址表。2. 2初始化分流模塊初始化哈希表，將每臺後端分析設備的MAC地址寫入哈希表的MAC地址值域。第三步，學習模塊接收來自3G核心網鏈路的用戶數據報文和各類控制報文，若3G核心網鏈路是CDMA2000核心網鏈路，對All接口控制報文中的I3DSN地址進行提取並存儲，若3G核心網鏈路是WCDMA或TD-SCMDA核心網鏈路，則對Gn接口控制報文中攜帶的GGSN地址進行提取並存儲，並將所有報文發送給上下行判定模塊，流程如下3.1從3G核心網接收報文並判定報文類型。如果是數據報文或其它控制報文(指All接口控制報文和Gn接口控制報文以外的控制報文)，轉3. 5 ;如果是All接口控制報文或Gn接口控制報文，轉3. 2。3. 2如果與學習模塊相連的是CDMA2000核心網鏈路，學習模塊提取下一個到達的All接口控制報文中攜帶的roSN地址，如果與學習模塊相連的是WCDMA或TD-SCDMA核心網鏈路，學習模塊則提取下一個到達的Gn接口控制報文中攜帶的GGSN地址。3. 3如果與學習模塊相連的是CDMA2000核心網鏈路，學習模塊將提取到的I3DSN地址與rosN地址表中的每一個表項進行比對，如果有任何一個表項跟提取到的rosN地址相同，則返回步驟3.1;如果跟所有表項都不匹配，則將此rosN地址寫入rosN地址表中尚空缺的表項中，轉3. 5。3. 4如果與學習模塊相連的是WCDMA或TD-SCDMA核心網鏈路，學習模塊將提取到的GGSN地址與GGSN地址表中的每一個表項進行比對，如果有任何一個表項跟提取到的GGSN地址相同，則返回步驟3.1 ;如果跟所有表項都不匹配，則將此GGSN地址寫入GGSN地址表中尚空缺的表項中,執行3. 5。
3. 5將報文發送給上下行判定模塊，轉第四步。第四步，上下行判定模塊收到來自學習模塊的報文後，判定報文是上行鏈路報文還是下行鏈路報文，並將判定結果寫入該報文源MAC地址的特定位中，流程如下4.1接收報文，提取報文中的源IP位址和目的IP位址。4. 2如果與學習模塊相連的是CDMA2000核心網鏈路，將報文的源IP位址和目的IP位址與學習模塊中rosN地址表中的每一個表項的地址值域進行逐項比對。4. 3如果發現報文的源IP位址與I3DSN地址表中的I3DSN地址匹配，說明此報文為下行鏈路報文，將此報文的源MAC地址中的任意兩個比特位寫為下行特定值，可為0x01，轉步驟4. 8。·4. 4如果發現報文的目的IP位址與表中的I3DSN地址匹配，說明此報文為上行鏈路報文，將此報文的源MAC地址中的任意兩個比特位寫為上行特定值，上行特定值可為0x10，轉步驟4. 8。4. 5如果與學習模塊相連的是WCDMA或TD-SCDMA核心網鏈路，將報文的源IP位址和目的IP位址與學習模塊中GGSN地址表中的每一個表項的地址值域進行逐項比對。4. 6如果發現報文的源IP位址與GGSN地址表中的GGSN地址匹配，說明此報文為下行鏈路報文，將此報文的源MAC地址中的兩個比特位寫為下行特定值，可為0x01，轉步驟4. 8。4. 7如果發現報文的目的IP位址與表中的GGSN地址匹配，說明此報文為上行鏈路報文，將此報文的源MAC地址中的兩個比特位寫為上行特定值，上行特定值可為0x10，轉步驟 4. 8。 4. 8將報文發往解封裝模塊。第五步，由於3G核心網鏈路上的報文除All接口控制報文和Gn接口控制報文外都被加上了一層特定的隧道封裝(這種報文稱為封裝報文)，為了完整還原用戶本身的數據內容，解封裝模塊接收來自上下行判定模塊的所有報文，對封裝報文進行解封裝、解壓縮及分片重組，還原其封裝內的報文，將還原後的報文送給分流模塊。對於All接口控制報文和Gn接口控制報文，因其沒有隧道封裝，將不作任何處理直接發送至分流模塊。解封裝模塊的結構與工作流程與背景技術基於散列算法的數據報文五元組分流方法中的一樣。第六步，分流模塊收到從經過解封裝處理的報文後，先進行報文中用戶終端IP的判定，再按照用戶終端IP對所有報文進行分流，流程如下6.1收到來自解封裝模塊的報文後，分流軟體首先根據被上下行判定模塊寫為特定值的比特位來判斷報文的源IP位址和目的IP位址哪個是用戶終端IP位址，方法如下6.1.1如果特定值的比特位中寫入的是上行特定值，可知此報文為用戶終端發往Internet網絡的報文，判定此報文的源IP位址即為用戶終端IP位址，轉6. 2。6.1.1如果特定值的比特位中寫入的是下行特定值，可知此報文為Internet網絡回復給用戶終端的報文，判定此報文的目的IP位址即為用戶終端IP位址，轉6. 2。6. 2分流軟體對得到的用戶終端IP位址進行哈希運算得到哈希值，將此哈希值與哈希表項數N的二進位數進行與運算，得到針對此源IP的索引值，然後將此索引值與哈希表中的每一個索引值域進行比較，得到此索引值域所對應的MAC地址值域中的MAC地址值。6. 3分流軟體根據6. 2得到的MAC地址值給報文的目的MAC地址域填上目的MAC地址，然後將報文發送到目的MAC地址所對應的後端分析設備，轉第三步，繼續接收下一個報文。整個處理流程根據報文持續到達而循環運行，以達到處理每個3G核心網鏈路報文的目的，直到強制結束程序或者斷電為止。採用本發明可以達到以下技術效果本發明提供了在CDMA2000、WCDMA和TD-SCDMA三大主流標準核心網鏈路中基於用戶終端IP的用戶數據報文分流方法。採用本分流方法，可以保證同一用戶產生的所有數據都能在同一臺後端設備中進行分析還原，確保後端設備中用戶數據的完整性以及還原的準確性。


圖1是背景技術公布的高速網絡內容監控系統的總體結構圖。
圖2為背景技術中根據五元組規則進行分流的數據分流流程圖。圖3是本發明改進後的前端數據處理分流設備結構圖。圖4為本發明總體流程圖。
具體實施例方式圖1是背景技術公布的高速網絡內容監控系統的總體結構圖。高速流量監控設備均放置在三大主流技術標準核心網域接口處。高速流量監控設備一般由前端數據處理分流設備和多個後端分析系統組成。前端數據處理分流設備與3G核心網和多個後端分析系統通過光纖相連，對從3G核心網鏈路進入的報文進行預處理並對報文分流。前端數據處理分流設備由解封裝模塊和分流模塊組成。解封裝模塊與3G核心網鏈路以及分流模塊相連，對鏈路上所有的數據報文進行解封裝、解壓縮以及分片重組的處理，然後將處理完成的報文發送給分流模塊。分流模塊與解封裝模塊以及後端分析系統相連，分流模塊由哈希表、五元組地址表、分流軟體組成，由分流軟體對經過解封裝模塊處理的報文按需求進行分流，並將分流完成的報文發送給後端分析系統。後端分析系統對前端數據處理分流設備輸出的報文進一步分析，實現網絡行為審計、網絡內容審計和入侵檢測。圖2是背景技術所述基於散列算法的數據報文五元組分流方法的流程圖。第一步，高速流量監控設備初始化，分流模塊建立表項為M項的哈希表，M為後端分析系統的數量。哈希表的每個表項包括索引值、MAC地址值兩個域，索引值域表明MAC地址在表中的位置，MAC地址值用來存放設備管理員輸入的目的MAC地址，每個MAC地址對應一臺後端分析系統。同時，分流模塊建立表項為L項的五元組地址表，L由設備管理員根據存儲空間的大小決定。五元組地址表的每個表項包括ID號、源IP位址域、目的IP位址域、源埠域、目的埠域和協議域五個域，ID號表明存放的五元組信息在五元組地址表中的位置，其餘五個域用來存放從數據報文中提取出的五元組信息。第二步，解封裝模塊接收來自3G核心網鏈路的原始數據報文，對原始數據報文進行解封裝、解壓縮及分片重組，還原其封裝內的用戶數據報文，將還原後的用戶數據報文發送給分流模塊。第三步，分流模塊中的分流軟體從還原後的用戶數據報文中提取出五元組信息即源IP位址、目的IP位址、源埠號、目埠號以及協議號，將五元組信息寫入五元組地址表中。第四步，分流軟體根據分流需求(分流需求通過指令下達給分流軟體，如要求按源IP位址進行分流)，從五元組地址表中提取出與分流要求對應的源IP位址。第五步，分流軟體對源IP位址進行哈希運算得到哈希值，將此哈希值與哈希表項數N的二進位數進行與運算，得到針對此源IP的索引值，然後將此索引值與哈希表中的每一個索引值域進行比較，得到此索引值域所對應的MAC地址。第六步，分流軟體根據第五步對應的MAC地址值給數據報文填上目的MAC地址，將報文發送到目的MAC地址所對應的的後端分析設備，返回第三步繼續接收下一個報文。圖3是本發明改進後的前端數據處理分流設備結構圖。
高速流量監控設備還是由前端數據處理分流設備和後端分析系統組成，後端分析系統不變，前端數據處理分流設備與3G核心網和多個後端分析系統通過光纖相連。前端數據處理分流設備的改進方法是1.1在前端數據處理分流設備增加學習模塊和上下行判定模塊1.1.1學習模塊與3G核心網鏈路和上下行判定模塊相連，從3G核心網鏈路獲取用戶數據報文和各類控制報文，對All接口控制報文和Gn接口控制報文中攜帶的I3DSN或GGSN地址進行提取並存儲，並將所有報文發送給上下行判定模塊。當3G核心網是CDMA2000核心網鏈路時，學習模塊初始化時構建一張表項為N的I3DSN地址表，然後獲取CDMA2000核心網鏈路中控制報文攜帶的I3DSN地址，並將其儲存到I3DSN地址表中；當3G核心網是WCDMA或TD-SCDMA核心網鏈路時，學習模塊初始化時構建一張表項為N的GGSN地址表，然後獲取WCDMA或TD-SCDMA核心網鏈路中控制報文攜帶的GGSN地址，並將其存儲到GGSN地址表中。PDSN或GGSN地址表的項數N根據實際鏈路情況決定，N為正整數且128彡N彡32。PDSN或GGSN地址表的每個表項由ID號和地址值兩個域組成，ID號表明每個I3DSN或GGSN地址在表中的位置，地址值用來存放學習到的控制報文中攜帶的I3DSN或GGSN地址。1.1. 2上下行判定模塊與學習模塊和解封裝模塊相連，上下行判定模塊從學習模塊獲得報文後，對所有報文進行鏈路上下行狀態的判定，並將經過判定的數據報文發送給解封裝模塊。1. 2改進分流模塊去掉五元組地址表，分流模塊由哈希表和分流軟體組成。在分流軟體中增加對所有報文用戶終端IP的判定功能，並在哈希運算時採用用戶終端IP作為關鍵字進行查表，不再使用五元組規則。分流模塊在初始化時在存儲空間內建立表項為M項的哈希表用於存儲目的MAC地址，M等於後端分析設備的數目。哈希表與背景技術基於散列算法的數據報文五元組分流方法中的相同。圖4是本發明總體流程圖。第一步，改進高速流量監控設備中的前端數據處理分流設備，前端數據處理分流設備與3G核心網和多個後端分析系統通過光纖相連。第二步，前端數據處理分流設備初始化。第三步，學習模塊接收來自3G核心網鏈路的用戶數據報文和各類控制報文，若3G核心網鏈路是CDMA2000核心網鏈路，對All接口控制報文中的I3DSN地址進行提取並存儲，若3G核心網鏈路是WCDMA或TD-SCMDA核心網鏈路，則對Gn接口控制報文中攜帶的GGSN地址進行提取並存儲，並將所有報文發送給上下行判定模塊，
第四步，上下行判定模塊收到來自學習模塊的報文後，判定報文是上行鏈路報文還是下行鏈路報文，並將判定結果寫入該報文源MAC地址的特定位中，將報文發往解封裝模塊。第五步，解封裝模塊接收來自上下行判定模塊的報文，對封裝報文進行解封裝、解壓縮及分片重組，還原其封裝內的報文，將還原後的報文送給分流模塊。對於All接口控制·報文和Gn接口控制報文，因其沒有隧道封裝，將不作任何處理直接發送至分流模塊。第六步，分流模塊收到從經過解封裝處理的報文後，先進行報文中用戶終端IP的判定，再按照用戶終端IP對所有報文進行分流，分流完畢轉第三步，繼續接收下一個報文。
權利要求
1. 一種基於用戶終端IP的第三代移動通信核心網數據分流方法，其特徵在於包括以下步驟第一步，改進高速流量監控設備中的前端數據處理分流設備，前端數據處理分流設備與3G核心網即第三代移動通信核心網和多個後端分析系統通過光纖相連，前端數據處理分流設備的改進方法是1.1在前端數據處理分流設備增加學習模塊和上下行判定模塊1.1.1學習模塊與3G核心網鏈路和上下行判定模塊相連，從3G核心網鏈路獲取用戶數據報文和各類控制報文，對Al I接口控制報文和Gn接口控制報文中攜帶的I3DSN或GGSN 地址進行提取並存儲，並將所有報文發送給上下行判定模塊；當3G核心網是CDMA2000核心網鏈路時，學習模塊初始化時構建一張表項為N的I3DSN地址表，然後獲取CDMA2000核心網鏈路中控制報文攜帶的I3DSN地址，並將其儲存到I3DSN地址表中；當3G核心網是WCDMA 或TD-SCDMA核心網鏈路時，學習模塊初始化時構建一張表項為N的GGSN地址表，然後獲取 WCDMA或TD-SCDMA核心網鏈路中控制報文攜帶的GGSN地址，並將其存儲到GGSN地址表中； PDSN或GGSN地址表的項數N為正整數；H)SN或GGSN地址表的每個表項由ID號和地址值兩個域組成，ID號表明每個I3DSN或GGSN地址在表中的位置，地址值用來存放學習到的控制報文中攜帶的I3DSN或GGSN地址；所述PDSN是指CDMA2000核心網絡中的分組數據服務節點，GGSN是指WCDMA和TD-SCDMA核心網絡中的網關GPRS支持節點，GPRS指通用分組無線服務技術；1.1. 2上下行判定模塊與學習模塊和解封裝模塊相連，上下行判定模塊從學習模塊獲得報文後，對所有報文進行鏈路上下行狀態的判定，並將經過判定的數據報文發送給解封裝模塊；.1.2改進分流模塊分流模塊由哈希表和分流軟體組成；在分流軟體中增加對所有報文用戶終端IP的判定功能，並在哈希運算時採用用戶終端IP作為關鍵字進行查表，分流模塊在初始化時在存儲空間內建立表項為M項的哈希表用於存儲目的MAC地址，M等於後端分析設備的數目；哈希表的每個表項包括索引值、MAC地址值兩個域，索引值域表明MAC地址在表中的位置，MAC地址值用來存放目的MAC地址，每個目的MAC地址對應一臺後端分析系統；第二步，前端數據處理分流設備初始化.2.1初始化學習模塊構建表項為N項的roSN或GGSN地址表；.2.2初始化分流模塊初始化哈希表，將每臺後端分析設備的MAC地址寫入哈希表的 MAC地址值域；第三步，學習模塊接收來自3G核心網鏈路的用戶數據報文和各類控制報文，若3G核心網鏈路是CDMA2000核心網鏈路，對All接口控制報文中的I3DSN地址進行提取並存儲，若3G 核心網鏈路是WCDMA或TD-SCMDA核心網鏈路，則對Gn接口控制報文中攜帶的GGSN地址進行提取並存儲，並將所有報文發送給上下行判定模塊，流程如下.3.1從3G核心網接收報文並判定報文類型，如果是數據報文或其它控制報文即All接口控制報文和Gn接口控制報文以外的控制報文，轉3. 5 ;如果是Al I接口控制報文或Gn接口控制報文，轉3.2 ;.3.2如果與學習模塊相連的是CDMA2000核心網鏈路，學習模塊提取下一個到達的All接口控制報文中攜帶的I3DSN地址，如果與學習模塊相連的是WCDMA或TD-SCDMA核心網鏈路，學習模塊則提取下一個到達的Gn接口控制報文中攜帶的GGSN地址；.3. 3如果與學習模塊相連的是CDMA2000核心網鏈路，學習模塊將提取到的I3DSN地址與 PDSN地址表中的每一個表項進行比對，如果有任何一個表項跟提取到的I3DSN地址相同，則返回步驟3.1;如果跟所有表項都不匹配，則將此rosN地址寫入rosN地址表中尚空缺的表項中，轉3.5 ;.3.4如果與學習模塊相連的是WCDMA或TD-SCDMA核心網鏈路，學習模塊將提取到的 GGSN地址與GGSN地址表中的每一個表項進行比對，如果有任何一個表項跟提取到的GGSN 地址相同，則返回步驟3.1 ;如果跟所有表項都不匹配，則將此GGSN地址寫入GGSN地址表中尚空缺的表項中，執行3. 5 ；.3.5將報文發送給上下行判定模塊，轉第四步；第四步，上下行判定模塊收到來自學習模塊的報文後，判定報文是上行鏈路報文還是下行鏈路報文，並將判定結果寫入該報文源MAC地址的特定位中，流程如下.4.1接收報文,提取報文中的源IP位址和目的IP位址；.4.2如果與學習模塊相連的是CDMA2000核心網鏈路，將報文的源IP位址和目的IP位址與學習模塊中I3DSN地址表中的每一個表項的地址值域進行逐項比對；.4.3如果發現報文的源IP位址與I3DSN地址表中的I3DSN地址匹配，說明此報文為下行鏈路報文，將此報文的源MAC地址中的任意兩個比特位寫 為下行特定值，轉步驟4. 8 ；.4.4如果發現報文的目的IP位址與表中的H)SN地址匹配，說明此報文為上行鏈路報文，將此報文的源MAC地址中的任意兩個比特位寫為上行特定值，轉步驟4. 8 ；.4.5如果與學習模塊相連的是WCDMA或TD-SCDMA核心網鏈路，將報文的源IP位址和目的IP位址與學習模塊中GGSN地址表中的每一個表項的地址值域進行逐項比對；.4.6如果發現報文的源IP位址與GGSN地址表中的GGSN地址匹配，說明此報文為下行鏈路報文，將此報文的源MAC地址中的兩個比特位寫為下行特定值，轉步驟4. 8 ；.4.7如果發現報文的目的IP位址與表中的GGSN地址匹配，說明此報文為上行鏈路報文，將此報文的源MAC地址中的兩個比特位寫為上行特定值，轉步驟4. 8 ；.4.8將報文發往解封裝模塊；第五步，解封裝模塊接收來自上下行判定模塊的所有報文，對於All接口控制報文和 Gn接口控制報文，直接發送至分流模塊；對Al I接口控制報文和Gn接口控制報文以外的所有報文進行解封裝、解壓縮及分片重組，還原其封裝內的報文，將還原後的報文送給分流模塊；第六步，分流模塊收到從解封裝模塊送來的報文後，先進行報文中用戶終端IP的判定，再按照用戶終端IP對所有報文進行分流，流程如下.6.1收到來自解封裝模塊的報文後，分流軟體首先根據被上下行判定模塊寫為特定值的比特位來判斷報文的源IP位址和目的IP位址哪個是用戶終端IP位址，方法如下.6.1.1如果特定值的比特位中寫入的是上行特定值，可知此報文為用戶終端發往 Internet網絡的報文，判定此報文的源IP位址即為用戶終端IP位址，轉6. 2 ；.6.1.1如果特定值的比特位中寫入的是下行特定值，可知此報文為Internet網絡回復給用戶終端的報文，判定此報文的目的IP位址即為用戶終端IP位址，轉6. 2 ；.6.2分流軟體對得到的用戶終端IP位址進行哈希運算得到哈希值，將此哈希值與哈希表項數N的二進位數進行與運算，得到針對此源IP的索引值，然後將此索引值與哈希表中的每一個索引值域進行比較，得到此索引值域所對應的MAC地址值域中的MAC地址值；.6.3分流軟體根據MAC地址值給報文的目的MAC地址域填上目的MAC地址，然後將報文發送到目的MAC地址所對應的後端分析設備，轉第三步，繼續接收下一個報文。
2.如權利要求1所述的基於用戶終端IP的第三代移動通信核心網數據分流方法，其特徵在於所述PDSN或GGSN地址表的項數N滿足128彡N彡32。
3.如權利要求1所述的基於用戶終端IP的第三代移動通信核心網數據分流方法，其特徵在於所述下行特定值為0x01，上行特定值為0x10。
全文摘要
本發明公開了一種基於用戶終端IP的第三代移動通信核心網數據分流方法，目的是提供一種能夠將所有數據報文按用戶IP位址均勻分流到與該IP位址對應的後端分析設備的方法。技術方案是在前端數據處理分流設備中增加學習模塊和上下行判定模塊，改進分流模塊；學習模塊對信令報文中攜帶的PDSN或GGSN地址進行提取並存儲，並將報文發送給上下行判定模塊；上下行判定模塊判定報文是上行鏈路報文還是下行鏈路報文，將報文發往解封裝模塊；解封裝模塊還原被封裝了的報文，將報文送給分流模塊；分流模塊按照用戶終端IP對所有報文進行分流。採用本發明可以使後端分析設備獲取每一條完整的用戶數據流，保證用戶數據還原的準確性。
文檔編號H04W28/10GK103024819SQ20121019890
公開日2013年4月3日 申請日期2012年6月15日 優先權日2012年6月15日
發明者唐勇, 陳曙暉, 趙國鴻, 程冕, 蘇金樹, 盧澤新 申請人:中國人民解放軍國防科學技術大學