一种基于内容和/或IP地址的数据业务监控方法

摘要

本发明公开了一种基于内容和/或IP地址的数据业务监控方法，可以基于数据信息内容和/或IP地址对不确定的用户群体进行监控。包括以下步骤：(a)监控中心LIC与分组数据服务节点PDSN建立连接；(b)所述LIC向PDSN发送监控请求消息，所述监控请求消息包括LIC唯一性标识和监控信息，所述监控信息包括被监控内容和/或被监控IP及其相对应的监控操作；(c)所述PDSN收到监控请求消息后，根据所述消息中的监控信息对所有的或某一组或几组移动台MS进行监控。

说明书

技术领域

本发明涉及CDMA2000(码分多址)网络分组数据服务系统，特别涉及在分组数据服务系统中对MS(移动台)数据信息的监控方法。

背景技术

CDMA2000(码分多址)系统是第三代移动通信系统的主要模式之一，第三代移动通信系统与第二代移动通信系统的一个主要区别在于前者能提供更高带宽的数据服务，从而使提供更丰富多彩的移动业务成为可能。

图1为CDMA2000的网络结构示意图。

无线网络(RN)包括基站控制器(BSC)、基站收发机(BTS)和分组控制功能(PCF)模块。移动交换中心(MSC)通过RN控制位于它管辖区域内的移动台(MS)。用户位置归属寄存器(HLR)是一个数据库，存储用户的参数信息和有关用户目前所处位置的信息。拜访位置寄存器(VLR)也是一个数据库，为MSC管辖区域内MS的呼叫接续检索信息，存储用户的号码、所处位置区的识别和向用户提供的服务等参数。

分组网络包括分组数据服务节点(PDSN)、鉴权授权计费系统(AAA)和监控中心(LIC)。CDMA2000系统为移动台(MS)提供访问因特网的服务，各功能实体介绍如下：

PCF：分组控制功能模块，是基站控制器中负责分组控制的单元，为无线网络和分组网路提供接口。

PDSN：分组数据服务节点，作为分组数据接入网关，提供移动台(MS)IP接入方式，负责为移动台(MS)分配IP地址，管理用户的状态，转发用户的分组数据，接入因特网。

归属AAA：对用户鉴权、授权和计费。

拜访AAA：转发用户的鉴权、授权和计费报文给归属AAA。

中间AAA：转发拜访AAA和归属AAA之间的鉴权、授权和计费报文。

监控中心(LIC)：警用设备，完成被控目标的管理，收集上报的被控目标的事件和通信内容，并对收集到的信息进行处理。

CDMA2000分组数据网络中，PDSN与AAA之间的接口符合远程拨号用户认证服务(RADIUS)协议，可以参见因特网工程任务组(IETF)标准：RFC2865、RFC2866、RFC2869以及第三代移动通信标准化伙伴项目2(3GPP2)协议《(3GPP2P.S0001-A Wireless IP Network Standard)》。PDSN与LIC之间的接口可以参见《cdma2000数字蜂窝移动通信系统警用接口技术规范)》。

分组数据业务作为由2G向3G演进过程中最为突出的优势业务，包括信息浏览、上传、下载，邮件，游戏等丰富多彩的数据类业务，必将为广大用户远程办公、移动办公、访问internet所依赖。而信息快速自由传播和共享提高了工作效率，带来了各种便利，同时也会衍生多样化问题，现有CDMA2000分组网络还没有完善的协议，监控中心需要结合AAA完成监控，LIC指定MS然后根据AAA上报MS上线情况和SERVING PDSN布控，PDSN上报指定MS所有数据业务，LIC只能监控某几个MS，不能根据分组信息的内容和/或IP地址监控终端用户群体使用数据服务的行为，无法满足警用需求的多样化。

发明内容

本发明所要解决的技术问题是提供一种基于内容和/或IP地址的数据业务监控方法，可以基于数据信息内容和/或IP地址对不确定的用户群体进行监控。

为了解决上述技术问题，本发明提供了一种基于内容和/或IP地址的数据业务监控方法，包括以下步骤：

(a)监控中心LIC与分组数据服务节点PDSN建立连接；

(b)所述LIC向PDSN发送监控请求消息，所述监控请求消息包括LIC唯一性标识和监控信息，所述监控信息包括被监控内容和/或被监控IP及其相对应的监控操作；

(c)所述PDSN收到监控请求消息后，根据所述消息中的监控信息对所有的或某一组或几组移动台MS进行监控。

进一步地，上述方法还可具有以下特点：在所述步骤(a)中，所述监控中心LIC与分组数据服务节点PDSN建立连接包括以下步骤：(a1)LIC向PDSN发起TCP/IP连接请求；(a2)PDSN收到所述连接请求后，检查该连接请求的源IP地址是否合法，即该LIC是否合法，如果是，建立连接，否则，PDSN不响应。

进一步地，上述方法还可具有以下特点：在所述步骤(b)中，所述监控请求消息中还包括以下的一种或几种：MS的国际移动用户识别码IMSI，LIC与PDSN的安全扩展，指定设备IP地址。

进一步地，上述方法还可具有以下特点：所述步骤(c)中，所述根据所述消息中的监控信息对移动台MS进行监控是指，PDSN监控MS收到/发出的数据报文和/或MS发出的数据报文的目标IP地址，发现与被监控内容/IP相匹配的数据报文，则执行该被监控内容/IP相对应的监控操作。

进一步地，上述方法还可具有以下特点：所述步骤(c)中，所述PDSN收到监控请求消息后，判断所述监控请求消息是否正确，如果是，保存监控信息，向LIC发送监控请求响应消息，开始进行监控，直到链路空闲时间超过预设值或LIC主动发送命令停止时PDSN停止监控，否则，返回监控请求响应失败消息。

进一步地，上述方法还可具有以下特点：所述PDSN对移动台MS进行监控进一步包括：(i)PDSN使用算法过滤MS的数据报文，根据保存的监控信息，判断是否有被监控内容和/或IP地址，如果有，执行下一步，否则，返回本步骤继续监测；(ii)PSDN对MS执行该被监控内容和/或IP相对应的监控操作，向LIC发出监控报告消息，所述监控报告消息至少包括PDSN唯一性标识。

进一步地，上述方法还可具有以下特点：所述算法为正则表达式。

进一步地，上述方法还可具有以下特点：所述监控操作包括以下的一种或几种：向LIC上报MS的加密/非加密IMSI；向LIC上报MS的加密/非加密数据报文；丢弃涉及被监控信息的数据报文；重定向数据报文到指定IP地址；中断MS的数据服务，断开与MS的连接。

进一步地，上述方法还可具有以下特点：所述监控报告消息还包括以下的一种或几种：MS加密/非加密的IMSI，MS加密/非加密的数据报文，监控操作成功，监控操作失败。

进一步地，上述方法还可具有以下特点：其特征在于，所述LIC唯一性标识包括LIC服务器IP地址和服务器ID；所述PDSN唯一性标识包括PDSN服务器IP地址和服务器ID。

本发明提供了CDMA2000网络中分组数据服务系统对移动台(MS)的数据信息基于内容和/或IP地址的监控方法，应用本方法，通过对警用协议属性的扩展，可以加强对数据业务的监控力度，同时监控所有MS的敏感数据业务。基于IP地址的监控，比如法轮功网站的IP地址；基于内容的监控，比如“XX码头”，另外还可以控制移动台的上下线、重定向等。

附图说明

图1为CDMA2000的网络结构示意图；

图2为本实施例LIC通知PDSN对MS实施监控的流程图；

图3为本实施例PDSN对MS实施监控的流程图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细说明。

本实施例提供的基于内容和/或IP地址的监控方法利用LIC(监控中心)与多个PDSN(分组数据服务节点)之间建立的TCP/IP链接，采用协议消息交互，使PDSN监控所有的或某一组或几组MS(移动台)的数据信息，控制MS的数据转发、状态等，由PDSN将MS的数据信息和状态上报给LIC，LIC通过与PDSN之间的协议消息，由PDSN限制MS的数据服务。

LIC通知PDSN对MS实施监控的流程如图2所示，包括以下步骤：

步骤110，LIC向PDSN发起TCP/IP连接请求；

步骤120，PDSN收到连接请求后，检查该连接请求的源IP地址是否合法，即该LIC是否合法，如果是，执行下一步，否则，PDSN不响应；

PDSN不允许未知IP地址向它建连接，PDSN本地保存的列表中若没有发出连接请求的源IP地址，则认为该IP地址不合法。

步骤130，PDSN接受连接请求，返回确认消息，LIC与PDSN之间的TCP/IP连接建立成功；

基于内容和/或IP地址的监控持续不断的监控所有的或某一组或几组MS，TCP/IP连接持续保持，直到链路空闲时间超过预设值或管理原因LIC主动发送命令停止时为止。

步骤140，LIC向PDSN发送监控请求消息，所述消息中至少包括LIC唯一性标识和监控信息，所述监控信息包括被监控内容和/或被监控IP地址及其相对应的监控操作；

所述LIC唯一性标识包括LIC服务器IP地址和服务器ID，IP地址为二进制32位数，服务器ID类似hostname、LIC-ID，二者配合使用可以保证LIC的唯一性；

所述监控操作包括以下的一种或几种：向LIC上报MS的加密/非加密IMSI；向LIC上报MS的加密/非加密数据报文；丢弃涉及被监控信息的数据报文；重定向数据报文到指定IP地址，即改变数据报文的目的地址；中断MS的数据服务，断开与MS的连接；

所述监控请求消息除上述内容外，还可包括：MS的国际移动用户识别码IMSI，用于兼容以前的监控方法指定IMSI监控；LIC与PDSN的安全扩展，用于验证双方身份，为了防止被第三方截取，提高安全性；指定设备IP地址，用于重定向数据报文。

步骤150，PDSN判断所述监控请求消息是否正确(如格式是否正确等)，如果是，执行下一步，否则，返回监控请求响应失败消息(包括以下一种或几种情况：LIC唯一性标识错误；对MS控制操作错误；LIC与PDSN的安全扩展验证不通过)；

步骤160，PDSN保存监控信息，向LIC发送监控请求响应消息；

PDSN可将监控信息保存为列表形式或其他形式。

所述监控请求响应消息至少包括PDSN唯一性标识(包括PDSN服务器IP地址和服务器ID)，或者还包括PDSN与LIC的安全扩展。

PDSN可以监控MS收到/发出的数据报文，和/或MS发出的数据报文的目标IP地址，发现与被监控内容/IP相匹配的数据报文，则执行该被监控内容/IP相对应的监控操作。PDSN对MS实施监控的流程如图3所示，包括以下步骤：

步骤210，PDSN使用算法(如正则表达式)过滤MS的数据报文，根据保存的监控信息，判断是否有被监控内容和/或IP，如果有，执行下一步，否则，返回本步骤继续监测；

步骤220，PSDN对MS执行监控操作，向LIC发出监控报告消息，所述监控报告消息至少包括PDSN唯一性标识；

所述监控报告消息还可包括PDSN与LIC的安全扩展。

根据被监控内容/IP地址相对应的监控操作的不同，PDSN执行不同的操作，包括以下一种或几种情况：

(1)所述监控操作为：向LIC上报MS的加密/非加密IMSI；

如果PDSN监测到与被监控内容/IP相匹配的数据报文，则将该数据报文涉及的源IMSI或目标IMSI上报给LIC。将IMSI号码加密后传输是为了避免因数据包被截取而将内容泄漏给第三方，如果LIC指示需要加密的IMSI，则PDSN将该IMSI加密后再上报LIC。

(2)所述监控操作为：向LIC上报MS的加密/非加密数据报文；

如果PDSN监测到与被监控内容/IP相匹配的数据报文，将该数据报文或者还有涉及该数据报文的IMSI上报给LIC。将数据报文加密传输是为了避免因数据包被截取而将内容泄漏给第三方，PDSN将该数据报文加密后再上报LIC。

(3)所述监控操作为：丢弃涉及被监控信息的数据报文；

如果PDSN监测到发送给某MS的数据报文或者某MS发出的数据报文中包含被监控内容，则将该报文丢弃。另外，如果LIC只是不允许访问敏感内容，而并不关心到底谁在访问，可以将涉及被监控信息的数据报文默默的丢弃(silent discard)。

(4)所述监控操作为：重定向数据报文到指定IP地址，即改变数据报文的目的地址；

如果某MS的数据报文目的地址涉及被监控IP地址，重定向该数据报文到指定IP地址，所述指定IP是LIC在监控请求消息中携带的另一IP地址。重新定向以后MS是否能收到数据报文取决于重定向后的IP地址的反应，该IP地址设备可以设置PDSN将该数据报文仍发送给MS，或者不再发给MS。

(5)所述监控操作为：中断MS的数据服务，断开与MS的连接；

如果PDSN监测到某MS收到/发出的数据报文与被监控内容相匹配，或者，某MS数据报文的目的地址涉及被监控IP地址，则中断该MS的数据服务，断开与该MS的连接。

因此，由上可知，根据监控操作的不同，监控报告消息所包含的内容也不同，例如：如果执行的监控操作是向LIC上报MS的加密/非加密IMSI，或向LIC上报MS的加密/非加密数据报文，则在监控报告消息中携带有MS加密/非加密的IMSI或MS加密/非加密的数据报文。如果执行的监控操作是丢弃MS涉及被监控信息的数据报文，或重定向数据报文到指定IP地址，或中断MS的数据服务，断开与MS的连接，则在所述监控报告消息中还包含该监控操作成功或失败的指示。

步骤230，LIC收到监控报告消息后，向PDSN发送监控报告响应消息，监控报告响应消息至少包括LIC唯一性标识，还可包括LIC与PDSN的安全扩展。

本发明还可有其它实施例，在不背离本发明的情况下，熟悉本领域的技术人员可根据本发明作出相应的改变，但这些相应的改变都应属于本发明所附的权利要求的保护范围。