移動互聯網用戶標識管理技術的研究

朱振祺，卜毅然 ，朱旭明(.中國聯通廣州分公司，廣東 廣州 50655；.北京中網華通設計咨詢有限公司，北京 00070；.中國聯通廣東分公司，廣東 廣州 5067)

0 前言

2009年，在各移動運營商3G網絡建成后，移動用戶的網絡訪問量大幅增長，越來越多的基于互聯網使用的業務，如流媒體、博客、即時通信、網游等，陸續轉移到移動終端上來。手機號碼在移動互聯網業務的應用中，起到了用戶身份的校驗作用，并可實現支付功能。這種特殊性給運營商和未來的網絡媒體帶來了全新的運營模式，使移動用戶的網絡應用點播、網絡支付等業務逐漸成為可能。

1 問題分析

在互聯網業務中，對用戶身份的認證有幾種方式。一般電子交易的用戶認證使用的是用戶名或ID+密碼方式；移動通信的用戶認證使用的是用戶手機號碼(MSISDN)，由網絡將MSISDN自動地傳遞給業務控制平臺，而不必由用戶輸入用戶名及口令。這種認證方式具有天然的方便性優勢，是移動運營商能主導整個價值鏈的一個關鍵技術手段，同時也極大地提高了用戶使用業務的感受。

但在實際應用中，對于公網上的內容提供商來說，由于其無法獲得移動用戶的身份信息，因此很難實現對移動用戶的計費和應用管理，主要原因是:在現在的移動數據業務中，用戶業務數據多以IP包的方式進行發送。在移動運營商的網絡內，每個用戶都可分得一個唯一的私網IP地址與自己的MSISDN相對應。用戶訪問互聯網時需經過防火墻，防火墻對用戶的私有IP地址做NAT轉換，數據包內攜帶的私有IP地址都被轉換成公有IP地址。公網上的應用服務器只能獲得用戶的公網IP地址/端口號，而無法獲取用戶的MSISDN號碼。加之受IP資源的限制，防火墻對用戶的私有IP地址做NAT轉換時，存在著同一公網IP地址/端口號對應多個私網IP地址的情況，這就更增加了對用戶進行有效識別的難度，公網上的應用服務器也就無法知道業務使用者的信息。因此，如果要實現對用戶的身份識別和計費，就要解決每個移動用戶的公網IP地址/端口號與私網IP地址/MSISDN號的對應問題。

當然，移動互聯網業務區分WAP和NET的APN接入方式存在的問題也不盡相同:當移動用戶通過WAP-APN進行移動互聯網業務接入時，WAP網關通過Radius消息獲得用戶MSISDN號與私網IP地址，并通過將用戶號碼插入到HTTP頭的方式將用戶號碼傳遞給SP網站進行用戶識別。但對于SOCKET、流媒體播放等不經WAP網關處理的業務，仍無法實現用戶信息標識的功能；當用戶使用NET方式接入時，GPRS分組設備GGSN直接將用戶請求送至互聯網，由于NET-APN沒有啟用Radius計費鑒權流程，因此這部分業務請求移動運營商無法獲得當前業務下的用戶移動標識MSISDN編碼與用戶IP地址的對應關系，更無法將移動用戶的MSISDN號傳給應用服務器，導致相應的應用服務器不能對用戶進行有效識別，也限制了移動互聯網計費業務的發展。

移動互聯網業務流向如圖1所示。

綜上所述，可對移動互聯網用戶計費標識技術的研究背景做出以下概括。

a)MSISDN號碼在移動用戶互聯網應用中具有獨特的應用優勢，因此移動互聯網用戶計費標識技術的研究應以用戶MSISDN號為核心。

b)用戶計費標識困難的核心問題在于運營商無法獲得一個用戶訪問的完整信息，因此解決現網問題的關鍵就在于用戶進行NAT轉換前后標識信息的獲取與匹配。

2 原理分析

經對現網實際情況的分析，會發現以下幾個問題。

a)Radius消息中包含用戶手機號碼與私網IP地址/端口的對應關系。通過配置GGSN，對用戶的WAP、NET接入均發起Radius鑒權。

b)防火墻syslog報文中包含用戶私網IP地址/端口號、用戶公網IP地址/端口號及用戶訪問的目的IP地址/端口號的對應關系。

c)通過私網IP地址/端口號將Radius消息信息與防火墻syslog報文信息進行匹配，通過目的IP地址/端口號區分復用同一公網IP/端口號的不同用戶，即可獲得用戶的完整訪問信息。

3 解決方案

移動互聯網用戶標識管理解決方案，就是基于上述原理提出來的，即在運營商移動互聯網結構中增加1個新的功能實體——移動互聯網用戶標識管理系統(I-UIM——Internet-User ID Manager)。該系統的主要功能是有效地維護移動互聯網用戶MSISDN編號與動態IP地址的實時綁定關系，且提供一套有效機制為移動互聯網應用服務器提供查詢服務。

I-UIM系統由系統管理模塊、日志模塊、業務邏輯處理模塊、統計模塊、Radius模塊、BSS接口模塊、NAT接口模塊及Webservice接口模塊組成(見圖2)。

圖2 I-UIM系統結構

a)系統管理模塊。主要包含屬地、部門、人員、角色等基礎數據的維護和管理。

b)日志模塊。管理員對數據操作的統計查詢。

c)業務邏輯處理模塊。可處理因Radius和NAT接口模塊丟包或異常導致的問題。

d)統計模塊。可實現系統統計報表的生成。

e)Radius模塊。可從用戶上線取得用戶信息、用戶下線清除用戶信息，是保證平臺對外提供數據準確性的核心模塊。

f)BSS接口模塊。是為保護用戶手機、用戶名等隱私信息，保證對外提供的查詢是用戶的偽碼信息，從BSS取得用戶手機和偽碼對應關系的接口模塊。

g)NAT接口模塊。可從防火墻上取用戶的外網地址、端口和內網地址、端口的對應關系，保證平臺對外提供數據準確性的核心模塊。

h)Webservice接口模塊。是給互聯網服務提供商查詢訪問本服務商提供服務的用戶信息接口。

增加了I-UIM功能實體后的移動互聯網業務網絡結構如圖3所示。

a)I-UIM系統連接GGSN，以取得用戶MSISDN號碼、源IP地址和端口。

b)用戶向GGSN發起PDP激活，不區分WAP或NET上網方式，GGSN均通過GRE隧道將Radius消息發送至I-UIM系統。系統通過對Radius消息進行解析，獲取用戶手機號碼和用戶上下線的實時信息及用戶上線時GGSN分配給用戶的私網IP地址和端口，并將獲得的信息進行實時維護，在用戶下線后將用戶信息入庫保存。

c)I-UIM系統連接Internet出口防火墻，以取得用戶NAT轉換后的IP地址和端口。

d)I-UIM系統通過運營商內部網絡連接WAP/NET出口防火墻獲取syslog報文，通過對防火墻syslog報文的解析獲取用戶的私網IP地址和端口、經防火墻NAT轉換后的公網IP地址和端口、用戶訪問的目的IP地址和端口。系統通過用戶的私網IP地址和端口來匹配用戶的syslog報文信息和Radius消息信息。由于防火墻可將不同私網IP地址和端口復用為相同公網IP地址和端口，所以需使用目的IP地址和端口來對用戶進行區分，并最終在系統中對用戶的使用形成1條包括用戶手機號碼、用戶私網IP地址和端口、用戶公網IP地址和端口、用戶目的IP地址和端口、用戶上線時間、用戶偽碼的記錄。系統實時維護該記錄，并在用戶下線后入庫保存。

e)I-UIM系統連接SP業務平臺，以完成對業務平臺的鑒權及對業務平臺的用戶標識信息。

f)I-UIM系統通過 Webservice接口與 SP相連通。SP向系統發出申請消息，以申請用戶信息。該申請消息包括被查詢用戶的公網IP地址和端口、目的IP地址和端口及SPID，該SPID為SP上線時由I-UIM系統分配給合法SP的唯一標識。系統首先對SP進行鑒權，鑒權成功后，系統根據用戶公網IP地址和端口、目的IP地址和端口查詢用戶偽碼，通過Webservice接口將用戶偽碼反饋回SP。對鑒權失敗的SP，返回非法SP提示。用戶信息查詢結束后，系統對SP的查詢進行記錄，并入庫保存。

該方案對現網業務流程改動較小，只需GGSN將Radius消息送往I-UIM系統，將業務出口防火墻syslog通過內網發送至I-UIM系統，即可實現對移動用戶使用WAP-APN接入訪問非瀏覽類業務、使用NET-APN接入訪問互聯網進行用戶標識及用戶IP地址的溯源。該方案具有以下主要功能。

a)Radius服務器計費鑒權功能。實現對移動用戶MSISDN編號與動態IP地址關系的獲取。

b)移動用戶NAT/PAT地址轉換后的查詢功能。據移動用戶終端IP地址及端口號，能向防火墻查詢對應的NAT/PAT后的業務訪問IP地址及端口號。

c)用戶標識管理功能。動態維護移動用戶MSISDN編號、移動用戶動態IP地址表，以及維護移動用戶MSISDN編號與用戶偽碼表。

d)業務平臺鑒權管理功能。支持對申請查詢的業務平臺進行鑒權管理，只許有權查詢的業務平臺進行用戶標識查詢。

e)業務平臺的移動用戶標識實時查詢功能。

(a)I-UIM提供Webservice接口。第三方業務平臺可通過用戶源IP地址+源端口號方式，向I-UIM進行該用戶手機號碼(偽碼)的實時查詢功能。

(b)I-UIM針對用戶特殊訪問維護唯一標識管理能力。當移動用戶訪問特殊HTTP頁面時，通過第三方服務器將該訪問重定向至I-UIM平臺，I-UIM平臺能對該用戶進行唯一性標識(KEY)，并與用戶手機號碼、當前源IP地址、目地IP地址進行關聯。然后，I-UIM能通過再重定向至第三方業務平臺，并將該KEY值通過HTTP頭送至業務平臺，業務平臺可通過用戶KEY進行用戶手機號碼的查詢。

f)話單管理功能。按移動用戶會話進行話單產生存儲，作為非實時業務的移動用戶MSISDN編號業務使用記錄。

g)營賬接口。作為用戶互聯網業務偽碼管理的預留接口。

4 結束語

移動互聯網用戶標識管理技術解決方案對現網系統改動小，不影響現有業務流程，可直接提升用戶業務使用感知。移動運營商基于此方案在為用戶提供移動互聯網豐富應用的同時，還可加強對用戶資源的保護和開發，并可配合國家信息安全管理部門進行有效的用戶身份識別。