一种基于WLAN的信令获取与关联的方法及系统与流程

本发明涉及WLAN网络安全及WLAN网络优化领域，更具体地说，涉及一种基于WLAN的信令获取与关联的方法及系统。

背景技术：

随着移动互联网的发展，WLAN作为一种低成本、高带宽接入方式得到了国内外运营商的广泛应用，同时，也存在非法入侵、网页被篡改、非法用户的接入、发布一些不良信息等安全事件的发生，从而导致合法用户的服务和性能被严重限制，无法确保WLAN网络安全。

然而，当前，针对上述WLAN网络安全事件发生，并没有一套有效地方法可对造成网络安全事件的人员进行追溯、定位及管理。

同时，传统的WLAN网络优化技术主要侧重于WLAN网络信号覆盖范围的优化，比如无线信号的强弱、网络速率和网络容量等方面，而无法对WLAN网络中的业务进行多维度的精细化分析以及精确地故障定位。

技术实现要素：

本发明要解决的技术问题在于，针对现有WLAN网络安全问题以及WLAN网络优化的不足，提供一种基于WLAN的信令获取与关联的方法及系统，获取到的数据能为解决故障处理、业务分流效果监测和网络业务多角度的挖掘分析提供可靠的依据。

本发明解决上述问题的技术方案是提供了一种基于WLAN的信令获取与关联的方法，其特征在于，该方法包括以下步骤：

S1、采集WLAN用户与Radius服务器交互的数据流量；

S2、对所述数据流量进行过滤，分别得到Radius信令数据和应用业务数据；

S3、通过主键关联所述Radius信令数据，并提取关键字段信息；

S4、将所述关键字段信息生成CDR记录数据，并存储在数据库中；

S5、将所述CDR记录数据与所述应用业务数据进行关联。

优选地，所述步骤S2包括：

通过判断UDP端口是否是1812端口、1813端口、1645端口和1646端口对所述数据流量进行过滤，若是，则过滤出第一信令数据，若否，则过滤出第一应用业务数据；

通过判断UDP端口是否是1812端口和1645端口对所述第一信令数据进行过滤，若是，则过滤出接入认证信令数据，若否，则过滤出计费信令数据；

对所述第一应用业务数据进行协议解析，得到所述应用业务数据。

优选地，所述步骤S3包括：

S31、通过第一主键关联认证请求消息与认证响应消息；

S32、判断所述认证请求消息是否关联到所述认证接收消息，若是，则执行步骤S33，若否，则执行步骤S34；

S33、提取所述认证请求消息中的第一关键字段信息；

S34、提取所述认证拒绝消息中的第二关键字段信息，并存储在数据库中。

优选地，所述步骤S3进一步包括：

提取计费请求消息中的第三关键字段信息。

优选地，所述步骤S4包括：

通过第二主键将所述第一关键字段信息和所述第三关键字段信息进行关联，形成一条完整的所述CDR记录数据。

本发明还提供了一种基于WLAN的信令获取与关联的系统，其特征在于，该系统包括TAP设备和探针服务器，其中，所述TAP设备用于采集WLAN用户与Radius服务器交互的数据流量；所述探针服务器用于对所述数据流量进行过滤、提取关键字段信息及关联。

优选地，所述探针服务器包括用于对所述数据流量进行过滤分别得到Radius信令数据和应用业务数据的过滤模块，其中，所述过滤模块包括：

第一判断模块，用于通过判断UDP端口是否是1812端口、1813端口、1645 端口和1646端口对数据流量进行过滤，若是，则过滤出第一信令数据，若否，则过滤出第一应用业务数据；

第二判断模块，用于通过判断UDP端口是否是1812端口和1645端口对第一信令数据进行过滤，若是，则过滤出接入认证信令数据，若否则过滤出计费信令数据；

解析模块，用于对第一应用业务数据进行协议解析，得到应用业务数据。

优选地，所述探针服务器还包括：

第一关联模块，用于通过第一主键关联认证请求消息与认证响应消息，并判断所述认证请求消息是否关联到所述认证接收消息；

第一提取模块，用于分别提取所述认证请求消息中的第一关键字段信息和所述认证拒绝消息中的第二关键字段信息。

优选地，所述探针服务器还包括第二提取模块，用于提取计费请求消息中的第三关键字段信息。

优选地，所述探针服务器还包括生成模块，用于通过第二主键将所述第一关键字段信息和所述第三关键字段信息进行关联，形成一条完整的CDR记录数据。

实施本发明的基于WLAN的信令获取与关联的方法及系统，可以获取不同WLAN运营商不同组网下的信令数据，并通过信令的解析及相应的主键将消息与消息，消息与业务之间进行有效地关联，可完整反映出WLAN用户的应用行为与用户的身份、位置，从而为WLAN网络安全事件发生后进行溯源取证、管理以及WLAN网络优化过程中针对用户业务和流量的多维度分析及故障分析提供强用力的支撑。

附图说明

图1是移动WLAN组网架构的结构示意图。

图2是联通和电信WLAN组网架构的结构示意图。

图3是本发明实施例的基于WLAN的信令获取与关联的方法的流程图。

图4是本发明实施例的基于WLAN的信令获取与关联的系统的结构图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

如图1所示，是移动WLAN组网架构的结构示意图，该网络结构包括用户设备1、AP设备2、AC设备3、汇聚交换机4、核心路由器5、Radius服务器6、Portal服务器设备7，其中：

用户设备1主要是指接入WLAN的PC机或者移动手机、PDA等设备，通过无线与AP设备2连接；

AP设备2，即WLAN用户接入时的无线接入点，功能相当于一个无线网络中的无线交换机的功能，该设备的一端与用户设备1经无线连接、另一端与AC设备3通过有线以太网互联；

AC设备3，即Access Control接入点的控制设备，用于管理与其连接的AP设备2、与Portal服务器7和Radius服务器6进行信令交互以及完成WLAN用户的登陆、认证、计费、用户IP地址的分配等功能，该设备的一端通过以太网与一个区域中的多个AP设备2连接、另一端与汇聚交换机4连接；

汇聚交换机4用于汇聚该地区所有AC设备3上的WLAN网络中的信令及用户业务数据，该设备的一端通过以太网与多个区域中的AC设备3连接、另一端与该地区的核心路由器设备8；

核心路由器5用于转发本地区所有的业务数据包括WLAN网络中的信令和用户业务数据，并兼做NAT转换的功能，该设备的一端与该地区的多个汇聚交换机设备4连接，另一端与省公司的核心路由设备(图中未示出)；

Radius服务器6用于负责WLAN用户的认证、鉴权、计费；

Portal服务器7用于强制推送用户登录界面，完成用户的登陆；

可以看出，移动WLAN网络采用数据集中转发式组网，WLAN用户的信令及业务数据都经AC设备3集中转发至汇聚交换机4。

如图2所示，是联通和电信WLAN组网架构的结构示意图，该网络结构与 图1中的不同之处在于，该网络结构还包括BRAS(Broadband Remote Access Server，宽带远程接入服务器)设备0，用于给用户分配IP地址，集中专发WLAN用户的数据；汇聚交换机设备4通过以太网与一个区域中的多个AP设备2连接，上接BRAS设备0；AC设备3用于管理与其对接的AP设备2，并与Radius服务器和Portal服务器进行信令交互，完成用户的认证、鉴权、计费、登陆等功能。其他内容与图1中的相同，在此不再赘述。

可以看出，在联通、电信运营商中WLAN网络采用数据本地转发式组网，WLAN用户的业务数据不经过AC设备，而是直接由汇聚交换机设备4到BRAS设备0进行会聚，而信令数据则由AC设备发起依次经过汇聚交换机设备4和BRAS设备0。

下面将详细说明本发明的基于WLAN的信令获取与关联的方法：

如图3所示，是本发明实施例的基于WLAN的信令获取与关联的方法的流程图，该方法应用于图1和图2中所示的WLAN中，该方法包括以下步骤：

S100、采集WLAN用户与Radius服务器交互的数据流量；

在此步骤中，根据不同的WLAN组网构架而选择不同的采集点，以采集WLAN用户与Radius服务器交互的数据流量，在图1中所示的移动WLAN组网架构中，采集点设置在在汇聚交换机4与核心路由器5之间，在该采集点上根据链路类型放置电口或光口TAP设备进行采集；在图2中所示的联通和电信WLAN组网架构中，采集点设置在BRAS设备0与核心路由器5之间的链路上。

在本实施例中，步骤S100还包括：

接收采集到的数据流量，并进行转发。

S200、对数据流量进行过滤，分别得到Radius信令数据和应用业务数据；

在此步骤中，进一步包括以下步骤：

S201、通过判断UDP(User Datagram Protocol，用户数据报协议)端口是否是1812端口、1813端口、1645端口和1646端口对数据流量进行过滤，若是，则过滤出第一信令数据，若否，则过滤出第一应用业务数据；

其中，第一信令数据包括接入认证信令数据和计费信令数据，1812端口和1645端口传送的是接入认证信令数据，1813端口和1643端口传送的是计费信令 数据；第一应用业务数据包括其他信令数据和应用业务数据。

S202、通过判断UDP端口是否是1812端口和1645端口对第一信令数据进行过滤，若是，则过滤出接入认证信令数据，若否则过滤出计费信令数据；

S203、对第一应用业务数据进行协议解析，得到应用业务数据。

在本实施例中，通过上述过滤之后，得到的Radius信令数据包括接入认证信令数据和计费信令数据。

S300、通过主键关联Radius信令数据，并提取关键字段信息；

在此步骤中，Radius信令数据为经上述步骤的过滤之后得到的，包括接入认证信令数据和计费信令数据，而接入认证信令数据包括认证请求消息和认证响应消息，计费信令数据包括计费请求消息，这些消息均是由code(编码)、Packet identifier、Length(字长)、Authenticator(请求认证码)、Attribute(属性)五部分组成，该步骤包括：

S301、通过第一主键关联认证请求消息与认证响应消息；

其中，第一主键(key)包括AC/BRAS的IP地址、Radius服务器的IP地址及Packet Identifier(分组标识)；Radius.code＝1表示认证请求消息，认证响应消息包括认证接收消息和认证拒绝消息，Radius.code＝2表示认证接收消息，Radius.code＝3表示认证拒绝消息。

S302、判断认证请求消息是否关联到认证接收消息，若是，则执行步骤S303，若否，则执行步骤S304；

S303、提取认证请求消息中的第一关键字段信息；

其中，第一关键字段信息包括开始时间、用户账号、热点区域、AC的IP地址、Radius服务器的IP地址、AP的MAC地址。

S304、提取认证拒绝消息中的第二关键字段信息，并存储在数据库中；

其中，第二关键字段信息包括开始时间、用户账号、热点区域、AC的IP地址、拒绝原因。

步骤S300进一步还包括：

提取计费请求消息中的第三关键字段信息，其中，第三关键字段信息包括账号、Acct-status-Type(上下线标识)、开始时间；Radius.code＝4表示计费请 求数据，Acct-status-Type的值表示WLAN用户是否是处于在线状态。

S400、将关键字段信息生成CDR记录数据，并存储在数据库中；

在此步骤中，CDR(Call Detail Record，呼叫详细记录)，该步骤包括：

S401、通过第二主键将第一关键字段信息和第三关键字段信息进行关联，形成一条完整的CDR记录数据；

其中，第二主键包括开始时间和账号。

S402、将CDR记录数据存储在数据库中，并转发该CDR记录数据。

S500、将CDR记录数据与应用业务数据进行关联。

在此步骤中，通过WLAN用户的IP地址和时间进行关联，其中，WLAN用户的IP地址是从计费请求消息中提取出来的。

本发明的基于WLAN的信令获取与关联的方法，可完整反映出WLAN用户的应用行为与用户的身份、位置，从而为WLAN网络安全及网络优化提供了基础分析数据的目的。

如图4所示，是本发明实施例的基于WLAN的信令获取与关联的系统的结构图，该系统400包括：TAP设备401和探针服务器402，其中，TAP设备401用于采集WLAN用户与Radius服务器交互的数据流量，根据不同的WLAN组网构架而TAP设备设置在不同位置上，在图1中所示的移动WLAN组网架构中，其设置在在汇聚交换机与核心路由器之间的链路上；在图2中所示的联通和电信WLAN组网架构中，其设置在BRAS设备与核心路由器之间的链路上。

探针服务器402用于对采集到的数据流量进行过滤、提取关键字段信息及关联，其包括：

过滤模块4021，用于对数据流量进行过滤，分别得到Radius信令数据和应用业务数据，过滤模块4031包括第一判断模块、第二判断模块及解析模块，其中，第一判断模块用于通过判断UDP端口是否是182端口、1813端口、1645端口和1646端口对数据流量进行过滤，若是，则过滤出第一信令数据，若否，则过滤出第一应用业务数据；第二判断模块用于通过判断UDP端口是否是1812端口和1645端口对第一信令数据进行过滤，若是，则过滤出接入认证信令数据，若否则过滤出计费信令数据；解析模块用于对第一应用业务数据进行协议解 析，得到应用业务数据；

第一关联模块4022，用于通过第一主键关联认证请求消息与认证响应消息，并判断认证请求消息是否关联到认证接收消息，其中，第一主键包括AC/BRAS的IP地址、Radius服务器的IP地址及Packet Identifier；

第一提取模块4023，用于分别提取认证请求消息中的第一关键字段信息和认证拒绝消息中的第二关键字段信息，其中，第一关键字段信息、第二关键字段信息的内容均在上文说明，在此步不再赘述。

探针服务器402还包括第二提取模块4027，用于提取计费请求消息中的第三关键字段信息，其中，第三关键字段信息的内容均在上文说明，在此步不再赘述。

探针服务器402还包括：

生成模块4024，用于通过第二主键将第一关键字段信息和第三关键字段信息进行关联，形成一条完整的CDR记录数据，其中，第二主键包括开始时间和账号；

数据库4025，用于存储CDR记录数据和第二关键字段信息；

第二关联模块4026，用于将CDR记录数据与应用业务数据进行关联。

在本实施例中，该系统400还包括流量均衡设备403，该流量均衡设备403的一端与TAP设备401连接、另一端与探针服务器402连接，用于接收采集到的数据流量，并转发数据流量至探针服务器402。

本发明的基于WLAN的信令获取与关联的系统，可完整反映出WLAN用户的应用行为与用户的身份、位置，从而为WLAN网络安全及网络优化提供了基础分析数据的目的。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。