CN106067880B - 一种基于4g网络的ip地址的溯源方法 - Google Patents
一种基于4g网络的ip地址的溯源方法 Download PDFInfo
- Publication number
- CN106067880B CN106067880B CN201610412745.8A CN201610412745A CN106067880B CN 106067880 B CN106067880 B CN 106067880B CN 201610412745 A CN201610412745 A CN 201610412745A CN 106067880 B CN106067880 B CN 106067880B
- Authority
- CN
- China
- Prior art keywords
- user
- information
- network
- source
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000008569 process Effects 0.000 claims description 17
- 230000015572 biosynthetic process Effects 0.000 claims description 11
- 238000012544 monitoring process Methods 0.000 claims description 11
- 238000003786 synthesis reaction Methods 0.000 claims description 11
- 230000011664 signaling Effects 0.000 claims description 8
- 238000006243 chemical reaction Methods 0.000 claims description 4
- 238000013523 data management Methods 0.000 claims description 3
- 238000013500 data storage Methods 0.000 claims description 3
- 239000000284 extract Substances 0.000 claims description 3
- 230000006399 behavior Effects 0.000 abstract description 15
- 230000000694 effects Effects 0.000 abstract description 4
- 238000004458 analytical method Methods 0.000 abstract description 3
- 238000005516 engineering process Methods 0.000 description 9
- 239000013598 vector Substances 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000010295 mobile communication Methods 0.000 description 6
- 238000011161 development Methods 0.000 description 4
- 230000009466 transformation Effects 0.000 description 4
- 238000007621 cluster analysis Methods 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000013439 planning Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000013468 resource allocation Methods 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 101150012579 ADSL gene Proteins 0.000 description 1
- 102100020775 Adenylosuccinate lyase Human genes 0.000 description 1
- 108700040193 Adenylosuccinate lyases Proteins 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 210000004709 eyebrow Anatomy 0.000 description 1
- 210000000720 eyelash Anatomy 0.000 description 1
- 210000004209 hair Anatomy 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/302—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/69—Types of network addresses using geographic information, e.g. room number
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Evolutionary Computation (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于4G网络的IP地址的溯源方法,其包括,根据在4G‑LTE网络的S1‑U接口分光采集获取用户的访问信息,在S11接口分光获取用户的账号信息,在防火墙获取NAT地址信息,并进行关联,获取完整的用户访问日志,从而获取用户位置信息标识和用户访问行为;依托现有溯源系统的LAC、SAC信息(基站编号),获取移动用户基于物理位置的溯源信息和网络行为信息。本发明可以基于用户特定信息将物理位置信息和用户行为信息关联起来,从而可以为互联网安全事件溯源和应用等提供移动用户的特定信息,包括移动用户位置信息和网络访问信息,使互联网应用可以进行后续的用户行为分析以及精准营销等行为。
Description
技术领域
本发明属于互联网技术领域,具体涉及一种基于4G网络的IP地址的溯源方法。
背景技术
随着第四代移动通信技术的发展与大规模商用,4G网络的IP地址溯源也迫在眉睫,同时,由于4G网络相比2/3G网络扁平化,信令面与用户面承载分离,造成了用户访问数据采集与2/3G网络有很大的区别。同时3GPP规范定义了Non-3GPP接入网络接入3GPP EPC的架构,运营商在网络规划建设中也根据自身的实际情况选择了组网方案,这也也造成了采集方案的多样性与复杂性。
2014年是国内LTE商用元年,针对LTE网络的IP地址溯源技术还停留在2/3G网络的架构中,缺乏完整、系统的规划与验证,无论是从理论研究还是技术验证都未立足与4G网络技术与运营商的网络现状,因此,迫切需要展开4G网络IP地址溯源技术研究,规范和标准化4G网络溯源方案。
发明人在实现本发明过程中发现:在移动通信网络发展过程中,第二代和第三代通信网络IP地址溯源技术已经成熟,并在现网中大规模的部署。2/3G网络IP地址溯源技术以需要溯源的IP地址及行为特征(如源端口号、URL等)为索引,查找移动运营商所提供的所经营的IP地址范围,获得该IP地址对应网络设备的标识(如防火墙、GGSN、PDSN设备等),根据这些设备标识和该IP地址的移动用户行为特征查找得到对应的移动用户手机号。在具体方案上,GPRS/WCDMA/TDSCMA网络采集了Gn接口和防火墙的数据,CDMA 1X和CDMA2000网络采集了Pi接口,AAA设备的Radius日志以及防火墙数据,通过解析数据,分别得到用户的访问信息、账号信息、私网IP信息和公私网地址映射关系,再进行关联合成从而得到完整的溯源日志。然而,这些监测技术往往只能识别出2/3G网络网络安全事件,却无法对4G网络安全事件便捷的实现用户定位和用户画像等处理。
发明内容
有鉴于上述现有的互联网应用和网络安全存在的缺陷,本发明的目的是克服现有的IP地址溯源技术只能覆盖2/3G网络,无法对4G网络用户进行IP地址溯源造成的互联网应用和网络安全存在的缺陷,提供一种基于4G网络的IP地址的溯源方法,能够监测4G-LTE网络应用获知用户位置信息并可以进行用户定位,使其更具有实用性。
为解决上述技术问题,本发明所采用的技术方案如下:一种基于4G网络的IP地址的溯源方法,其包括:
4G网络用户面数据的采集,在4G-LTE网络的S1-U接口通过数据分光采集并获取用户的访问信息;
4G网络信令面数据的采集,在4G-LTE网络的S11接口通过数据分光采集用户的账户信息;
防火墙NAT地址数据的采集,获取用户公网IP地址和私网IP地址的NAT转换信息,将获取的用户账户信息、访问信息和NAT地址转换;
溯源日志的关联合成,对S11接口采集的用户账户信息和S1-U接口采集的用户访问信息进行关联和回填,将关联得到的带有用户身份信息的访问日志与防火墙NAT日志进行关联,生成完整的溯源日志;
用户位置信息生成,结合运营商网络基础数据中的物理位置和经纬度信息,通过大数据聚类分析,得到用户的访问位置区域和活跃位置区域,从而实现位置的溯源。
进一步地,在获取用户的溯源日志后,将该溯源日志通过安全监管网关上报给安全将中心进行数据存储和管理,此外,安全监管网关还将接收安全监管中心发来的IP溯源命令,并上报上报IP溯源网络中的IP溯源信息、特定用户上线信息和告警事件信息。
进一步地,采集用户的访问信息具体包括:通过数据分光采集E-NodeB和SGW之间的接口的S1-U接口数据,S1-U接口获得用户的上网地址、分配给用户的用户面TEID、E-NODEB地址和S1-MME接口的记录和用户互联网访问信息;采集用户的账户信息具体包括:通过数据分光采集MME和SGW之间的接口的S11接口数据,S11接口获得MSISDN、IMSI、IMEI及分配给用户的IP地址,eNB和SGW侧的TEID的账号信息。
进一步地,溯源日志的关联合成具体包括:以S1-U采集用户的上网地址、分配给用户的用户面TEID、E-NODEB地址和S1-MME接口的记录进行关联和回填,将S11接口获得MSISDN、IMSI、IMEI及分配给用户的IP地址,eNB和SGW侧的TEID信息和S1-U进行关联和回填,以IP五元组为key将带有用户身份信息的访问日志与防火墙NAT日志进行关联,生成完整的溯源日志。
进一步地,所述安全监管网关部署于IP溯源企业侧,所述安全监管中心部署于IP溯源网络外。
进一步地,所述IP溯源企业侧配置有用户账户信息监测接口,接收来自安全监管网关或安全监管中心的监测指令;还配置有告警信息上报接口,通过该上报接口,溯源网络侧的所有溯源设备的软件、硬件或者网络出现故障时,通过安全监管网关将告警信息上报给安全监管中心。
进一步地,S11接口采用GTP v2协议,Gn接口GTP-C和GTP-U采用GTP v1协议,S1-U接口采用GTP v1协议,在解析与关联过程中,需要对GTP v1和GTP v2进行混合采集和关联。
进一步地,在采用4G网络与2/3G网络进行切换溯源用户的访问信息时,在4G采集时同时接入Gn的流量并进行过滤,或者将2/3G采集解析设备设为支持GTPv2的解析能力。
进一步地,在获取用户的身份信息时,先在MME和HSS之间的接口S6a对NAS层进行解密。
进一步地,在使用临时身份信息进行2G/3G网络与4G网络之间切换时,需要在不同网络接口之间关联用户唯一身份信息,该唯一身份信息包含用户的手机号。
与现有技术相比,本发明所提供的基于4G网络的IP地址的溯源方法,是基于4G网络信令面和用户面的信息,将用户特定信息将物理位置信息和用户行为信息关联起来,从而可以为互联网安全事件溯源和应用等提供移动用户的特定信息,包括移动用户位置信息和网络访问信息,使互联网应用可以进行后续的用户行为分析以及精准营销等行为,且可以针对网络安全事件进行用户物理位置定位和行为画像等应用提供基础数据支撑。既能够实现对公共互联网上网用户进行身份溯源,也能够对特定帐号的上网行为进行监控。
附图说明
图1为本发明实施例所述的基于4G网络的IP地址的溯源方法的结构原理图。
图2为本发明实施例所述的对S6a数据解密的流程示意图。
图3为本发明实施例所述的针对联通和移动4G网络溯源数据的采集方案示意图。
图4为本发明实施例所述的针对电信4G网络溯源数据的采集方案示意图。
图5为本发明实施例所述的4G网络跨SGW场景溯源的采集方案示意图。
图6为本发明实施例所述的4G网络跨省漫游场景溯源的采集方案示意图。
图7为本发明实施例所述的4G网络与2/3G切换场景溯源的采集方案示意图。
图8为本发明实施例所述的用户位置信息合成的一个方案示意图。
具体实施方式
以下结合附图对本发明作进一步详细说明,但不作为对本发明的限定。
参照图1所示,本发明所公开的基于4G网络IP地址的溯源方法,具体工作流程如下:
4G网络信令面数据的采集:通过数据分光采集MME和SGW之间的接口的S11接口数据,S11接口获得MSISDN、IMSI、IMEI及分配给用户的IP地址,eNB和SGW侧的TEID等账号信息;
4G网络用户面数据的采集:通过数据分光采集E-NodeB和SGW之间的接口的S1-U接口数据,S1-U接口获得用户的上网地址、分配给用户的用户面TEID、E-NODEB地址和S1-MME接口的记录和用户互联网访问信息;
防火墙NAT地址数据的采集:获取用户公网IP地址和私网IP地址的NAT转换信息,将获取的用户账户信息、访问信息和NAT地址转换。
溯源日志的关联合成:以S1-U采集用户的上网地址、分配给用户的用户面TEID、E-NODEB地址和S1-MME接口的记录进行关联和回填,S11接口获得MSISDN、IMSI、IMEI及分配给用户的IP地址,eNB和SGW侧的TEID等信息可以和S1-U进行关联和回填。以IP五元组为key将带有用户身份信息的访问日志与防火墙NAT日志进行关联,生成完整的溯源日志;
用户位置信息生成:结合运营商上报网络基础数据中的物理位置、经纬度等信息,对用户的访问日志中的eNodeB IP,ECI等信息进行关联,并通过大数据聚类分析,从而得到用户的访问位置区域和活跃位置区域,从而实现位置的溯源。
SMCG(安全监管网关(溯源网关)):部署于IP溯源企业侧,接收企业的溯源日志信息,上报给SMCC,进行数据存储和管理;接收SMCC发来的IP溯源命令,并上报IP溯源网络中的IP溯源信息、特定用户上线信息和告警事件信息。
SMCC(安全监管中心):位于IP溯源网络外,通过SMCG与IP溯源网络相连。SMCC是溯源命令的初始发起者,也是IP溯源信息、特定用户上线信息和告警事件信息的最终接收者。
本发明所公开的一种基于4G网络的IP溯源方法,其包含企业侧溯源网络、分中心侧溯源网络和国家中心侧溯源网络三个网络系统,相互结合以实现对公共互联网上网用户进行身份溯源,对特定帐号的上网行为进行监控。具体为:根据公共互联网上网用户,根据某些数据线索找到有关人的联系信息。查询条件之一:需要捕获的上网用户使用的IP地址、上网用户的帐号、上网用户的手机号、查询时间段;结果信息:用户所在的物理位置或范围、用户联系信息、用户的上网行为等。针对特定用户的监控,系统业务使用人员,可以定义需要进行敏感监控的帐号或IP地址,每当有活跃的该项信息时,系统会主动通知操作终端用户对应的监控结果。
其中,国家中心侧溯源网络负责全国溯源业务的开展,记录来函情况,制定全国或部分省生效的用户帐号监测配置,查询用户帐号监测结果,查询固定电话网、移动电话网用户上网数据,统计业务数据流量。分中心侧溯源网络负责本省溯源业务的开展,记录来函情况,制定本省生效的用户帐号监测配置,同国家中心业务用户类似可以查询本地各类数据,统计业务数据流量;企业侧溯源网络实现本地用户数据的采集和统计工作。
本发明的溯源方法主要针对固网系统和移动网系统进行监管,并且监管操作不受互联网用户进行漫游操作的影响。其中固网的上网途径包括但不限于以下方式:ADSL、专线等;移动网的上网途径包括但不限于以下方式:4G移动上网方式。
下面来详述本发明技术方案的实现过程。
一、企业侧数据接口配置
为了实现3G到4G的组网过度,在企业侧需设置多个接口,4G-LTE网络溯源的企业侧需要采集如下几个方面的数据信息,具体包括:1、网元基础信息,包括eNODEB小区信息(ECI名称、物理地址、经纬度等),MME和SAEGW网元IP地址信息及对应pool池信息;2、访问日志信;3、用户账号监测接口,需在采集解析设备上配置用户账号监测接口,接收来自于SMCG(SMCC)的用户账号监测指令;4、告警信息上报接口,溯源网络所有溯源设备(包括防火墙前置机)的软件、硬件、网络故障时,由SMCG将告警信息上报给SMCC。
二、S6a数据解密
此外,根据3GPP规范,NAS层可以选择加密后,将无法直接获取到用户的身份信息,需要在S6a进行解密。
参照图2所示,本发明中对S6a接口进行解密的方法如下:
1、KASME提取:在S6a接口Diameter协议的AIR和AIA消息中提取IMSI,AUTN,KASME并关联;
2、加密算法提取:在S1-MME接口S1AP/NAS协议的Security mode command消息中提取加密算法并和MME S1AP ID,ENB S1AP ID建立关联AUTN提取:在S1-MME接口的S1AP/NAS协议的Authentication request消息中提取AUTN,并和MME S1AP ID,ENB S1AP ID建立关联;
3、解密关联:根据MME S1AP ID,ENB S1AP ID关联AUTN,再通过AUTN关联到KASME;
4、解密:通过KASME的密钥及解密算法对NAS信令进行解密。
参照图2,关于解密流程,具体描述如下:
第一步:关联收到的S1接口消息,形成s1流程
第二步:对s1流程检查是否为s1接口AUTH加密流程;如果不是,结束流程。
第三步:取得该s1接口AUTH加密流程初始UE消息到Security mode command消息之间收到的所有authentication vectors(在s6a处理的时候保存)
第四步:从第三步得到的authentication vectors中同步模糊匹配算法取出其中的一组或多组authentication vector(s)
第五步:用第四步取出的authentication vector(s)解密s1接口AUTH加密流程Security mode command消息之后的加密NAS包。
第六步:如果用authentication vector(s)解密成功,表示第四步模糊匹配算法选择的authentication vector是正确,解密成功的authentication vector为该s1接口AUTH加密流程的解密参数;如果没有解密成功,说明第三步模糊匹配算法选择的authentication vector为错误的,没有得到该s1接口AUTH加密流程的解密参数。
三、4G网络与2G/3G网络互操作场景用户身份信息回填
参照图7所示,由于用户在网络注册后,会分配临时身份信息,在使用临时身份信息进行2G/3G网络与4G网络之间切换时,由于真实身份信息与临时身份信息对应关系的缺失,会造成切换后无法获取用户的真实身份信息。需要在不同接口之间关联用户唯一身份信息(手机号)。
在互操作时,传统3G网络溯源信息采集会丢失回落的流量,4G溯源网络采集不到用户的访问信息,这是由于:1、4G网络下,信令面承载在S1-MME,用户面承载在S1-U;2、当回落到3G时,SGSN直接与PGW网元交互信息;3、正常3G网络,SGSN与GGSN网元交互信息
针对上述问题,本发明在4G采集时需要同时接入Gn的流量并进行过滤,或者设置3G采集解析设备支持GTPv2的解析能力。
四、GTPv1/v2混合采集
在运营商网络过渡中,MME由原SGSN改造升级,SGW由原GGSN改造升级,S11与Gn同物理链路,S11接口采用GTP v2,Gn接口GTP-C和GTP-U采用GTP v1,S1-U接口采用GTP v1,在解析与关联过程中,需要进行混合采集和关联。GTP v2与GTP v1相比:1、标识位变化,增加了P标识和T标识2、TEID为可选项;3、序列号由2字节扩展为3字节;4、不再使用扩展消息头。
五、防火墙日志解析
由于IPv4地址的短缺,在移动通信网络中都采用了NAT地址转换技术,用户在上网时,分配给用户一个私网地址,由NAT设备(移动通信网络由防火墙来承担)来实现私网地址和公网地址的映射。在用户访问过程中,防火墙会输出Session Create和Session Close日志,由防火墙数据解析设备进行解析,并送给关联程序进行关联处理。因开启Syslog对防火墙性能影响较大,不同厂家不同型号防火墙输出配置不一样。
六、日志关联合成
以S1-U采用用户的上网地址、分配给用户的用户面TEID、E-NODEB地址和S1-MME接口的记录进行关联和回填,S11接口获得MSISDN、IMSI、IMEI及分配给用户的IP地址,eNB和SGW侧的TEID等信息可以和S1-U进行关联和回填。
以IP五元组为key将带有用户身份信息的访问日志与防火墙NAT日志进行关联,生成完整的溯源日志。
七、用户位置信息生成
参见图8,结合运营商上报网络基础数据中的物理位置、经纬度等信息,对用户的访问日志中的eNodeB IP,ECI等信息进行关联,并通过大数据聚类分析,从而得到用户的访问位置区域和活跃位置区域,从而实现位置的溯源。
本发明的4G网络针对移动或联通信号的溯源数据采集方案简单归纳如下:
参照图3所示,对S1-U接口、S11接口和防火墙接口采集数据,S1-U采取用户的上网地址、分配给用户的用户面TEID、E-NODEB地址和S1-MME接口的记录进行关联和回填,S11接口获得MSISDN、IMSI、IMEI及分配给用户的IP地址,eNB和SGW侧的TEID等信息可以和S1-U进行关联和回填,防火墙接口获取用户公网IP地址和私网IP地址的NAT转换信息,将获取的用户账户信息、访问信息和NAT地址转换信息进行数据关联合成,生成溯源信息。
本发明的4G网络针对电信信号的溯源数据采集的一个方案如下:
参照图4所示,电信4G网络需要采集过渡网络S2a接口、Sta接口和防火墙数据,S2a接口获取用户的访问信息、Sta接口获取用户的账户信息、防火墙接口防火墙接口获取用户公网IP地址和私网IP地址的NAT转换信息。将采集的用户访问信息、用户账户信息、NAT地址转换信息进行关联合成,生成完整的溯源信息。
本发明的4G网络跨SGW场景溯源采集的一个方案如下:
参照图5所示,按照源小区和目标小区的从属关系和位置关系,一般LTE系统内部切换包括eNB站间切换和通过S1接口连接的eNB站间切换。S1接口的切换过程从信令流程上分为切换准备,切换资源分配,切换通知等过程,切换步骤如下:
切换准备过程由源eNB发起,通过核心网节点,要求目标eNB为本次切换准备资源。
切换资源分配过程由MME发起,在目标eNB中为本次切换准备和预留所需要的资源。
UE成功接入到目标eNB后,由目标eNB发起切换通知过程,通知MME这个UE已经成功转移到目标小区,S1切换协议:
目标SGW对UE数据进行判断,如果属于站间切换的数据,将根据报文中的PGW IP地址,通过核心网,将该UE的数据业务自动路由到源PGW网元设备。
采用本发明的4G网络跨省漫游场景的溯源采集的一个方案如下:
参照图6所示,以A省和B省为例,A省增加采集S5/S8接口数据,与防火墙NAT日志记录进行合成关联。
本发明的4G网络与2/3G切换场景溯源采集的一个方案如下:
参照图7所示,由于目前运营商2/3G与4G业务并存,用户访问数据采集对于不同的网络制式,采集点也不一样(2/3G网络溯源采集Gn口,4G网络溯源采集S1-U和S11口),所以关联key不一样。并且由于现网中存在2/3G与4G业务切换的场景,出现了GTP V1与GTP V2混合采集的需求,造成了数据采集、解析和关联困难。
在运营商网络过渡中,MME由原SGSN改造升级,SGW由原GGSN改造升级,S11与Gn同物理链路,S11接口采用GTP v2,Gn接口GTP-C和GTP-U采用GTP v1,S1-U接口采用GTP v1,在解析与关联过程中,需要进行混合采集和关联。
在业务切换操作时,传统3G网络溯源信息采集会丢失回落的流量,4G溯源网络采集不到用户的访问信息;此时,溯源数据采集方式建议如下:4G采集时需要同时接入Gn的流量并进行过滤;3G采集解析设备支持GTPv2的解析能力。
与现有技术相比,本发明可以基于用户特定信息将物理位置信息和用户行为信息关联起来,从而可以为互联网安全事件溯源和应用等提供移动用户的特定信息,包括移动用户位置信息和网络访问信息,使互联网应用可以进行后续的用户行为分析以及精准营销等行为,且可以针对网络安全事件进行用户物理位置定位和行为画像等应用提供基础数据支撑。
为了便于理解,下面来详述本发明的上述部分名词及缩写的含义:
MME是3GPP协议LTE接入网络的关键控制节点,它负责空闲模式的UE(UserEquipment)的定位,传呼过程,包括中继。它涉及到bearer激活/关闭过程,并且当一个UE初始化并且连接到时为这个UE选择一个SGW(Serving GateWay)。通过和HSS交互认证一个用户,为一个用户分配一个临时ID。MME同时支持在法律许可的范围内,进行拦截、监听。
SGW(Serving GateWay,服务网关)是移动通信网络EPC中的重要网元。EPC网络实际上是原3G核心网PS域的演进版本,而SGW的功能和作用与原3G核心网SGSN网元的用户面相当,即在新的EPC网络中,控制面功能和媒体面功能分离更加彻底,即信令面功能由MME网元负责,而用户数据转发的用户面功能由SGW网元接管。
PGW(PDN GateWay,PDN网关)是移动通信网络EPC中的重要网元。EPC网络实际上是原3G核心网PS域的演进版本,而PGW也相当于是一个演进了的GGSN网元,其功能和作用与原GGSN网元相当。
MSISDN是指主叫用户为呼叫GSM PLMN中的一个移动用户所需拨的号码,作用同于固定网PSTN号码,其是在公共电话网交换网络编号计划中,唯一能识别移动用户的号码。
IMSI(国际移动用户识别码)是区别移动用户的标志,储存在SIM卡中,可用于区别移动用户的有效信息。IMEI(移动设备国际身份码)是区别移动设备的标志,储存在移动设备中,可用于监控被窃或无效的移动设备。
Evolved Node B,即演进型Node B简称eNB,LTE中基站的名称,相比现有3G中的Node B,集成了部分RNC的功能,减少了通信时协议的层次。
GTP是一组基于IP的,用于在GSM和UMTS网络中支持通用分组无线服务(GPRS)的通讯协议。
LTE网络包含多个主要接口,S1-U接口,面向用户面的接口,用户面数据的隧道传输,包含Tunnel号可定位用户该业务对应的无线侧信息,用户业务数据类型如HTTP、IM、Video等。S11接口,面向信令面的接口,包括创建/删除会话、建立/删除承载消息。S6a接口,是MME和HSS之间的接口。Sta接口,是HSGW与3GPP AAA之间的接口。
上述说明示出并描述了本发明的若干优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (9)
1.一种基于4G网络的IP地址的溯源方法,其特征在于包括:
4G网络用户面数据的采集,在4G-LTE网络的S1-U接口通过数据分光采集并获取用户的访问信息;
4G网络信令面数据的采集,在4G-LTE网络的S11接口通过数据分光采集用户的账户信息;
防火墙NAT地址数据的采集,获取用户公网IP地址和私网IP地址的NAT转换信息,将获取的用户账户信息、访问信息和NAT地址转换;
溯源日志的关联合成,对S11接口采集的用户账户信息和S1-U接口采集的用户访问信息进行关联和回填,将关联得到的带有用户身份信息的访问日志与防火墙NAT日志进行关联,生成完整的溯源日志;
用户位置信息生成,结合运营商网络基础数据中的物理位置和经纬度信息,通过大数据聚类分析,得到用户的访问位置区域和活跃位置区域,从而实现位置的溯源;
其中,在获取用户的身份信息时,先在MME和HSS之间的接口S6a对NAS层进行解密,对S6a接口进行解密的过程如下:
KASME提取:在S6a接口Diameter协议的AIR和AIA消息中提取IMSI,AUTN,KASME并关联;
加密算法提取:在S1-MME接口S1AP/NAS协议的Security mode command消息中提取加密算法并和MME S1AP ID,ENB S1AP ID建立关联AUTN提取:在S1-MME接口的S1AP/NAS协议的Authentication request消息中提取AUTN,并和MME S1AP ID,ENB S1AP ID建立关联;
解密关联:根据MME S1AP ID,ENB S1AP ID关联AUTN,再通过AUTN关联到KASME;
解密:通过KASME的密钥及解密算法对NAS信令进行解密。
2.如权利要求1所述的IP地址的溯源方法,其特征在于,在获取用户的溯源日志后,将该溯源日志通过安全监管网关上报给安全将中心进行数据存储和管理,此外,安全监管网关还将接收安全监管中心发来的IP溯源命令,并上报IP溯源网络中的IP溯源信息、特定用户上线信息和告警事件信息。
3.如权利要求1所述的IP地址的溯源方法,其特征在于,采集用户的访问信息具体包括:通过数据分光采集E-NodeB和SGW之间的接口的S1-U接口数据,S1-U接口获得用户的上网地址、分配给用户的用户面TEID、E-NODEB地址和S1-MME接口的记录和用户互联网访问信息;采集用户的账户信息具体包括:通过数据分光采集MME和SGW之间的接口的S11接口数据,S11接口获得MSISDN、IMSI、IMEI及分配给用户的IP地址,eNB和SGW侧的TEID的账号信息。
4.如权利要求1所述的IP地址的溯源方法,其特征在于,溯源日志的关联合成具体包括:以S1-U采集用户的上网地址、分配给用户的用户面TEID、E-NODEB地址和S1-MME接口的记录进行关联和回填,将S11接口获得MSISDN、IMSI、IMEI及分配给用户的IP地址,eNB和SGW侧的TEID信息和S1-U进行关联和回填,以IP五元组为key将带有用户身份信息的访问日志与防火墙NAT日志进行关联,生成完整的溯源日志。
5.如权利要求2所述的IP地址的溯源方法,其特征在于,所述安全监管网关部署于IP溯源企业侧,所述安全监管中心部署于IP溯源网络外。
6.如权利要求1所述的IP地址的溯源方法,其特征在于,所述IP溯源企业侧配置有用户账户信息监测接口,接收来自安全监管网关或安全监管中心的监测指令;还配置有告警信息上报接口,通过该上报接口,溯源网络侧的所有溯源设备的软件、硬件或者网络出现故障时,通过安全监管网关将告警信息上报给安全监管中心。
7.如权利要求1所述的IP地址的溯源方法,其特征在于,S11接口采用GTP v2协议,S1-U接口采用GTP v1协议。
8.如权利要求7所述的IP地址的溯源方法,其特征在于,在采用4G网络与2/3G网络进行切换溯源用户的访问信息时,还配置有Gn接口,Gn接口的GTP-C和GTP-U采用GTP v1协议,在解析与关联过程中,需要对GTP v1和GTP v2进行混合采集和关联,在4G采集时选择同时接入Gn的流量并进行过滤,或者将2/3G采集解析设备设为支持GTPv2的解析能力。
9.如权利要求1所述的IP地址的溯源方法,其特征在于,在使用临时身份信息进行2G/3G网络与4G网络之间切换时,需要在不同网络接口之间关联用户唯一身份信息,该唯一身份信息包含用户的手机号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610412745.8A CN106067880B (zh) | 2016-06-13 | 2016-06-13 | 一种基于4g网络的ip地址的溯源方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610412745.8A CN106067880B (zh) | 2016-06-13 | 2016-06-13 | 一种基于4g网络的ip地址的溯源方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106067880A CN106067880A (zh) | 2016-11-02 |
| CN106067880B true CN106067880B (zh) | 2019-05-31 |
Family
ID=57420214
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610412745.8A Expired - Fee Related CN106067880B (zh) | 2016-06-13 | 2016-06-13 | 一种基于4g网络的ip地址的溯源方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106067880B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106941670A (zh) * | 2017-02-10 | 2017-07-11 | 北京浩瀚深度信息技术股份有限公司 | 一种lte系统内部信令面和用户面的关联方法及装置 |
| CN110019070A (zh) * | 2017-11-10 | 2019-07-16 | 北京安码科技有限公司 | 一种基于Hadoop的安全日志聚类方法与追责系统 |
| CN109474678B (zh) * | 2018-10-31 | 2021-04-02 | 新华三信息安全技术有限公司 | 一种信息传送方法及装置 |
| CN110839201B (zh) * | 2019-10-28 | 2021-01-15 | 宜通世纪科技股份有限公司 | 管道数据处理方法、发送装置、接收装置和存储介质 |
| CN113132170B (zh) * | 2019-12-30 | 2024-05-28 | 中兴通讯股份有限公司 | 数据管理方法及系统、关联子系统和计算机可读介质 |
| CN111182531B (zh) * | 2019-12-30 | 2022-08-30 | 中国移动通信集团江苏有限公司 | 关联信息的回填方法、装置、设备及存储介质 |
| CN111371628B (zh) * | 2020-03-24 | 2021-09-03 | 江苏省通信服务有限公司 | 一种在lte网络下用户面和控制面信息关联方法 |
| CN114221827A (zh) * | 2020-09-04 | 2022-03-22 | 华为技术有限公司 | 溯源信息获取方法、装置和系统 |
| CN114615682A (zh) * | 2020-12-04 | 2022-06-10 | 中国电信股份有限公司 | 信令面和用户面的关联方法、装置和系统 |
| CN112671949B (zh) * | 2020-12-29 | 2023-05-12 | 科来网络技术股份有限公司 | 一种根据syslog日志关联NAT前后会话的方法及系统 |
| CN112637229B (zh) * | 2020-12-29 | 2022-07-01 | 湖南文理学院 | 基于安全云的网络入侵协同检测方法 |
| CN113825129B (zh) * | 2021-09-14 | 2024-05-03 | 工业和信息化部北京互联网交换中心 | 一种5g网络环境下工业互联网资产测绘方法 |
| CN118071214B (zh) * | 2024-04-22 | 2024-07-02 | 山东临创数谷信息科技有限公司 | 一种基于大数据的农产品种植溯源分析管理系统及方法 |
| CN118200233B (zh) * | 2024-05-17 | 2024-07-23 | 长安通信科技有限责任公司 | 通信系统中用户IPv6地址的追踪方法、系统及电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252592A (zh) * | 2008-04-14 | 2008-08-27 | 信息产业部电信传输研究所 | 一种ip网络的网络溯源方法和系统 |
| CN103297561A (zh) * | 2013-05-31 | 2013-09-11 | 中国联合网络通信集团有限公司 | Ip地址溯源方法和装置 |
| CN104883736A (zh) * | 2015-05-27 | 2015-09-02 | 国家计算机网络与信息安全管理中心 | 终端的定位方法及装置 |
| CN104954410A (zh) * | 2014-03-31 | 2015-09-30 | 腾讯科技(北京)有限公司 | 消息推送方法、装置及服务器 |
| CN105578491A (zh) * | 2014-10-17 | 2016-05-11 | 任子行网络技术股份有限公司 | 一种4g用户信息与应用数据关联的方法及装置 |
| CN105635329A (zh) * | 2014-11-03 | 2016-06-01 | 中兴通讯股份有限公司 | 上网日志生成方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8924572B2 (en) * | 2010-12-21 | 2014-12-30 | Tektronix, Inc. | Topology detection of LTE nodes |
-
2016
- 2016-06-13 CN CN201610412745.8A patent/CN106067880B/zh not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252592A (zh) * | 2008-04-14 | 2008-08-27 | 信息产业部电信传输研究所 | 一种ip网络的网络溯源方法和系统 |
| CN103297561A (zh) * | 2013-05-31 | 2013-09-11 | 中国联合网络通信集团有限公司 | Ip地址溯源方法和装置 |
| CN104954410A (zh) * | 2014-03-31 | 2015-09-30 | 腾讯科技(北京)有限公司 | 消息推送方法、装置及服务器 |
| CN105578491A (zh) * | 2014-10-17 | 2016-05-11 | 任子行网络技术股份有限公司 | 一种4g用户信息与应用数据关联的方法及装置 |
| CN105635329A (zh) * | 2014-11-03 | 2016-06-01 | 中兴通讯股份有限公司 | 上网日志生成方法和装置 |
| CN104883736A (zh) * | 2015-05-27 | 2015-09-02 | 国家计算机网络与信息安全管理中心 | 终端的定位方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106067880A (zh) | 2016-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106067880B (zh) | 一种基于4g网络的ip地址的溯源方法 | |
| US20220030502A1 (en) | SIM Whitelisting and Multi-Operator Core Networks | |
| US20250031129A1 (en) | SIM Whitelisting and Multi-Operator Core Networks | |
| EP1472895B1 (en) | System for managing the identity of mobile stations roaming between mobile radio networks | |
| JP4758504B2 (ja) | 差別化されたネットワーク表示 | |
| Dabrowski et al. | The messenger shoots back: Network operator based IMSI catcher detection | |
| CN104811928B (zh) | 提高lte网络用户面数据imsi关联率的方法和系统 | |
| EP3596985B1 (en) | Method and apparatus for protection of privacy in paging of user equipment | |
| CN104168568A (zh) | 一种移动终端及其进行小区身份认证的方法 | |
| EP1523827A1 (en) | Informing a lawful interception system of the serving system serving an intercepted target | |
| CN105517066B (zh) | 一种lte s1-mme接口的海量数据用户识别的方法 | |
| WO2016177106A1 (zh) | 专用核心网的选择方法和装置 | |
| US20080240438A1 (en) | System and method for ciphering key forwarding and rrc packet deciphering in a umts monitoring system | |
| Lutu et al. | Insights from operating an ip exchange provider | |
| CN104768193A (zh) | Lte网络切换过程中的信令消息关联方法及系统 | |
| CN106304211B (zh) | 一种构建电路域回落csfb网络频点的方法及装置 | |
| CN203039916U (zh) | 一种客户端直接访问互联网的apn系统 | |
| CN106900004B (zh) | 关联lte网络无线测量报告mr记录归属imsi号的方法 | |
| de Carvalho Macedo et al. | Attacks to mobile networks using SS7 vulnerabilities: a real traffic analysis | |
| CN106664309B (zh) | 一种移动网络安全的处理方法、警示方法及用户终端 | |
| WO2004086793A1 (fr) | Procede de surveillance dependant de la localisation d'une cellule | |
| Sørseth | Location disclosure in lte networks by using imsi catcher | |
| CN113973293A (zh) | 一种侦听方法及装置 | |
| Cao et al. | Security analysis of DoS attack against the LTE-A system | |
| EP4290901B1 (en) | Systems and methods for associating supi and suci in 5g networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190531 Termination date: 20210613 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |