[发明专利]基于用户终端IP的第三代移动通信核心网数据分流方法

说明书

技术领域

本发明涉及第三代移动互联核心网（也称3G核心网）链路下的高速网络流量监控领域，特别是涉及一种根据用户终端网络互联协议IP（Internet Protocol）地址进行核心网数据分流的方法。

背景技术

在中国，移动互联网通信经历了两代的发展之后，第三代移动通信3G（3rd Generation）已经成熟并开始商用，3G的目标是为用户提供质量更佳的移动语音、宽带移动数据和移动多媒体服务，提供更大的系统容量和更高的频谱利用率，满足人们对通信个性化的需求。

目前3G的主流技术标准包括CDMA2000（Code Division Multiple Access2000，码分多址2000）,WCDMA（Wideband Code Division Multiple Access，宽带码分多址）和TD-SCDMA（Time Division-Synchronous Code Division Multiple Access，时分同步码分多址），可以说三种技术标准在实际应用中各有所长。但不管是哪种技术标准，最终的应用目的都是让移动终端与Internet相连。随着3G移动互联网的不断普及，以往许多只在固网互联网络中发生的安全事件正不断地向移动互联网络中蔓延，针对移动互联网用户的攻击手段正呈现出层出不穷的趋势。因此对3G核心网中的流量进行采集并分析，以对攻击行为进行监测和追踪变得十分有意义。CDMA2000核心网络主要由PCF（Packet Control Function，分组控制功能）节点和PDSN（Packet Data Serving Node，分组数据服务节点）组成。两者之间的接口称为A10和A11接口；链接PCF和PDSN的逻辑链路分为上行链路和下行链路，上行链路为PCF端往PDSN端通信的链路，下行链路为PDSN端往PCF端通信的链路。

所有经过A10接口的数据报文都会被加上GRE（Generic Routing Encapsulation，通用路由封装协议）隧道封装，以进行隧道传输。同时根据PCF端和PDSN端协商的结果，数据报文会存在VJ（Van Jacobson，压缩TCP协议）数据报文，MPPC（Microsoft Point-To-Point Compression,微软点对点压缩）数据报文，以及不可避免的分片报文，因此在分流前必须对其进行解封装、解压缩以及分片重组的处理，以还原最初的用户数据报文。

WCDMA和TD-SCDMA在核心网域采用了相同的构建方式，两者核心网络结构相同。WCDMA和TD-SCDMA核心网络主要由GPRS服务支持节点（SGSN）和网关GPRS支持节点（GGSN）组成，这里的GPRS指General Packet Radio Service，即通用分组无线服务技术。两者之间的接口称为Gn接口；链接SGSN和GGSN的逻辑链路也分为上行链路和下行链路，上行链路为SGSN端往GGSN端通信的链路，下行链路为GGSN端往SGSN端通信的链路。

所有经过Gn接口的数据报文都会被加上GTP（GPRS Tunnel Protocol，GPRS隧道协议）隧道封装，以进行隧道传输。与CDMA2000协议不同的是，在WCDMA或TD-SCDMA协议中传输的数据报文，只需要对其进行解封装和分片重组的处理，不需要解压缩，以还原最初的用户数据报文。

高速流量监控设备均放置在三大主流技术标准核心网域接口处。高速流量监控设备一般由前端数据处理分流设备和多个后端分析系统组成。前端数据处理分流设备与3G核心网和多个后端分析系统通过光纤相连，对从3G核心网链路进入的报文进行预处理并对报文分流。前端数据处理分流设备由解封装模块和分流模块组成。解封装模块与3G核心网链路以及分流模块相连，对链路上所有的数据报文进行解封装、解压缩以及分片重组的处理，然后将处理完成的报文发送给分流模块。分流模块与解封装模块以及后端分析系统相连，对经过解封装模块处理的报文按需求进行分流，最后将分流完成的报文发送给后端分析系统。后端分析系统对前端数据处理分流设备输出的报文进一步分析，实现网络行为审计、网络内容审计和入侵检测。然而随着核心网链路速度的不断提升，这种高速流量监控系统往往需要较多的后端分析系统来完成对庞大用户数据量的并行分析监测，同时为了不丢失任何的有用信息，还需要保证用户数据流具有“流完整性”，即将属于同一用户的所有数据流都分发到同一台后端分析系统上。因此，这就需要一种新的分流方式将从前端数据处理分流设备捕获的用户数据报文准确地按用户均匀地分流到每一台后端分析系统中，以实现监测还原的效率最大化。