流量处理方法、装置、设备及存储介质与流程

本申请涉及通信技术领域，特别涉及流量处理方法、装置、设备及存储介质。

背景技术：

随着移动网络的快速发展，移动终端用户也呈爆发式增长，相应带来移动网络流量的激增。通常移动网络包含接入网和核心网。其中，接入网向核心网传输的流量包括控制面流量和数据面流量，例如，控制面流量可以包括由接入网中的ue或者enb向核心网传输的第一类控制面报文(例如，s1ap报文)，为了保证空口安全，第一类控制面报文中通常不包含imsi(internationalmobilesubscriberidentificationnumber，国际移动用户识别码)，以及核心网内部不同实体间传输的第二类控制面报文(例如，s6a报文和s11报文)，第二类控制面报文中通常包含imsi；数据面流量可以包括由接入网中的enb向核心网传输的数据面报文(例如，s1u报文)。在对移动流量进行分析和监控时，通过部署分流设备对流量进行预处理，以便将分流出的控制面报文和数据面报文输出给后端系统进行进一步分析。

相关技术中，分流设备在识别第一类控制面报文时，可以分析第一类控制面报文和第二类控制面报文的报文事件，将报文事件的发生时间差在预设时间阈值内的第二类控制面报文中的imsi确认为第一类控制面报文的imsi，并将该imsi回填到第一类控制面报文中，以此生成ue事件话单。由此可知，由于同一时间有大量控制面报文在核心网内，以及接入网和核心网之间传输，因此通过时间差识别需要回填到第一类控制面报文中的imsi，可能存在时间关联误差，从而导致生成的ue事件话单出现错误；并且由于需要通过分析大量控制面报文才能生成ue事件话单，因此容易消耗分流设备的性能。

技术实现要素：

本申请提供流量识别方法、装置、设备及存储介质，以提高用户信息回填效率和准确度。

具体地，本申请是通过如下技术方案实现的：

第一方面，提供一种流量处理方法，所述方法应用在分流设备上，包括：

获取接入网向核心网传输的第一类控制面报文，以及核心网内部传输的第二类控制面报文；

如果所述第一类控制面报文和第二类控制面报文中的随机rand信息一致，则获取所述第二类控制面报文中的用户标识；

将所述用户标识回填到所述第一类控制面报文中。

第二方面，提供一种流量处理装置，所述装置应用于分流设备，包括：

获取单元，用于获取接入网向核心网传输的第一类控制面报文，以及核心网内部传输的第二类控制面报文；

比较单元，用于如果所述第一类控制面报文和第二类控制面报文中的rand信息一致，则获取所述第二类控制面报文中的用户标识；

回填单元，用于将所述用户标识回填到所述第一类控制面报文中。

第三方面，提供一种分流设备，所述设备包括：内部总线，以及通过内部总线连接的存储器、处理器和外部接口；其中，

所述外部接口，用于连接核心网；

所述存储器，用于存储流量处理控制逻辑对应的机器可读指令；

所述处理器，用于读取所述存储器上的所述机器可读指令，并执行所述指令以实现如下操作：

获取接入网向核心网传输的第一类控制面报文，以及核心网内部传输的第二类控制面报文；

如果所述第一类控制面报文和第二类控制面报文中的rand信息一致，则获取所述第二类控制面报文中的用户标识；

将所述用户标识回填到所述第一类控制面报文中。

第四方面，提供一种机器可读存储介质，所述机器可读存储介质上存储有若干计算机指令，所述计算机指令被执行时进行如下处理：所述机器可读存储介质上存储有若干计算机指令，所述计算机指令被执行时进行如下处理：

获取接入网向核心网传输的第一类控制面报文，以及核心网内部传输的第二类控制面报文；

如果所述第一类控制面报文和第二类控制面报文中的rand信息一致，则获取所述第二类控制面报文中的用户标识；

将所述用户标识回填到所述第一类控制面报文中。

应用本申请提供的实施例，在获取到接入网向核心网传输的第一类控制面报文，以及核心网内部传输的第二类控制面报文后，如果第一类控制面报文和第二类控制面报文中的rand信息一致，则获取第二类控制面报文中的用户标识，并将用户标识回填到第一类控制面报文中。本申请实施例与现有技术相比，避免了基于时间关联回填用户信息造成的误差，提高了生成ue事件话单的准确性，并且基于rand信息与用户标识的对应关系，当再次接收到第一类控制面报文时，可以直接从对应关系中获得用户标识进行回填，因此可以减少分流设备的资源消耗。

附图说明

图1是本申请实施例示出的一种4g网络拓扑结构示意图；

图2是本申请流量处理方法的一个实施例流程图；

图3是本申请流量处理方法的另一个实施例流程图；

图4是本申请流量处理装置的实施例示意图；

图5是本申请分流设备的实施例示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

参见图1，为本申请实施例示出的一种4g网络拓扑结构示意图：

通常移动网络包含接入网和核心网。其中，接入网向核心网传输的流量包括控制面流量和数据面流量。本申请实施例中，控制面流量可以包括：由接入网中的ue或者enb向核心网中的mme(mobilitymanagemententity，移动性管理实体)传输的第一类控制面报文，例如，s1ap报文，为了保证空口安全，第一类控制面报文中通常不包含imsi；还包括核心网内部不同实体间传输的第二类控制面报文，例如，mme与hss(homesubscriberserver，归属地管理服务器)之间传输的s6a报文和sgw(servinggateway，服务网关)与mme之间传输的s11报文，第二类控制面报文中通常包含imsi；数据面流量可以包括：由接入网中的enb向核心网传输的数据面报文，例如，enb向sgw传输的s1u报文。在对移动流量进行分析和监控时，可以通过旁路部署分流设备，以获取并预处理从核心网中复制的s11报文流量、s1ap报文流量、s6a报文流量和s1u报文流量，以便将预处理后的控制面报文和数据面报文输出给后端系统进行进一步分析。

相关技术中，由于同一时间有大量控制面报文在核心网内，以及接入网和核心网之间传输，因此分流设备通过时间差识别需要回填到第一类控制面报文中的imsi，可能存在时间关联误差，从而导致生成的ue事件话单出现错误；并且由于需要通过分析大量控制面报文才能生成ue事件话单，因此容易消耗分流设备的性能。基于此，本申请实施例在获取到接入网向核心网传输的第一类控制面报文，以及核心网内部传输的第二类控制面报文后，如果第一类控制面报文和第二类控制面报文中的rand信息一致，则获取第二类控制面报文中的用户标识，并将用户标识回填到第一类控制面报文中，由此提高了生成ue事件话单的准确性，并且基于rand信息与用户标识的对应关系，当再次接收到第一类控制面报文时，可以直接从对应关系中获得用户标识进行回填，因此可以减少分流设备的资源消耗。

下面结合图1对本申请流量处理方法的实施例进行详细描述。

参见图2，为本申请流量处理方法的一个实施例流程图，该实施例可以包括以下步骤：

在步骤201中，获取接入网向核心网传输的第一类控制面报文，以及核心网内部传输的第二类控制面报文。

接入网向核心网传输的第一类控制面报文可以包括：接入网中的ue或者enb向核心网中的mme传输的s1ap报文；第二类控制面报文可以包括：核心网中的mme向hss发送的s6a认证请求报文，以及hss向mme返回的s6a认证应答报文。

本申请实施例中，分流设备旁路部署，其可以从核心网中复制上述第一类控制面报文和第二类控制面报文进行分析。

在步骤202中，如果第一类控制面报文和第二类控制面报文中的rand信息一致，则获取第二类控制面报文中的用户标识。

在本步骤一个可选的实现方式中，假设第一类控制面报文为s1ap报文，第二类控制面报文为s6a报文，其中，在ue或enb与mme进行鉴权过程中，传输上述s1ap报文，mme与hss之间进行鉴权的过程中，传输上述s6a报文。

其中，在ue或enb与mme进行鉴权过程中，mme首先向hss发送s6a认证请求报文，此时分流设备可以获取s6a认证请求报文，并解析该s6a认证请求报文获得其中携带的imsi；当hss向mme返回s6a认证应答报文时，分流设备获取该s6a认证应答报文，并解析该s6a认证应答报文，从其加解密信息中的rand字段中读取rand信息，本实施例中称为第二rand信息。

在ue或enb与mme进行鉴权过程中，ue或enb向mme传输s1ap报文，此时分流设备获取该s1ap报文，解析该s1ap报文后获得rand字段中的rand信息，本实施例中称为第一rand信息。

其中，在移动通信领域，各种报文中携带的rand信息可以是一个随机数。分流设备将上述第一rand信息与第二rand信息进行比较，如果二者一致，则可以将s6a认证请求报文中的imsi确定为待回填到s1ap报文中的imsi。

在步骤203中，将用户标识回填到第一类控制面报文中。

在一个可选的实现方式中，本实施例还可以包括以下步骤204和步骤205：

在步骤204中，将用户标识更新到第一类控制面报文表中，该报文表用于保存用户标识与第一类控制面报文的rand信息的对应关系。

本步骤中，仍然以用户标识为imsi为例，由于本申请实施例中的分流设备基于比较rand信息获得待回填的imsi，并且由于同一ue的imsi相同，因此要回填的针对同一ue传输的若干第一类控制面报文中的imsi也应该相同。基于此，分流设备可以维护第一类控制面报文表，该报文表保存用户标识与rand信息的对应关系，例如，imsi与rand信息的对应关系。

当分流设备对某个ue的首个s1ap报文进行imsi回填后，即在执行完步骤201至步骤203后，将上述imsi与rand信息的对应关系保存到第一类控制面报文表。

在步骤205中，当再次获取到该第一类控制面报文时，基于该第一类控制面报文的rand信息从报文表中获取对应的用户标识进行回填。

本实施例中，分流设备在接收到某个ue的s1ap报文后，可以基于该s1ap报文中携带的rand信息查找第一类控制面报文表，如果未查找到对应的imsi，可以确定该s1ap报文为ue的首个s1ap报文，按照步骤201至步骤203进行imsi回填；如果查找到对应的imsi，可以直接将查找到的imsi回填到s1ap报文中，以生成ue事件话单。

由上述实施例可见，该实施例与现有技术相比，避免了基于时间关联回填用户信息造成的误差，提高了生成ue事件话单的准确性，并且基于rand信息与用户标识的对应关系，当再次接收到第一类控制面报文时，可以直接从对应关系中获得用户标识进行回填，因此可以减少分流设备的资源消耗。

参见图3，为本申请流量处理方法的另一个实施例流程图，该实施例可以包括以下步骤：

在步骤301中，获取sgw与mme之间传输的s11报文。

核心网内部传输的第二类控制面报文可以包括：sgw与mme之间传输的s11报文。分流设备从核心网中复制到s11报文后，需要将s11报文分流给不同的线程进行处理，通常s11报文中包含五元组信息，即源ip地址、目的ip地址、源端口号、目的端口号、以及协议号。

在步骤302中，对s11报文的f-teid进行哈希运算，得到哈希结果值。

相关技术中，分流设备通过对s11报文中的五元组信息进行哈希计算，根据计算的结果值将s11报文分流到不同的线程，但是由于核心网中的mme数量不多，因此mme对应的ip地址也数量不多，且由于ip地址不离散，将导致s11报文分流不均匀。

基于此，本实施例中可以利用控制面的f-teid(fullqualifiedteid，全量隧道端点标识)进行分流运算。f-teid可以包括mme的ip地址(即控制面ip地址)和teid(tunnelendpointidentifier，隧道端点标识)。

在步骤303中，根据哈希结果值将s11报文分发到对应的处理线程。

本实施例中，当分流设备获取到s11报文后，可以对该报文的f-teid进行哈希运算，获得哈希结果值。与仅利用五元组信息进行哈希运算并分流的方式相比，可以将s11报文均衡分发到不同的处理线程进行处理，并且由于在哈希运算过程中，利用了teid信息，因此也能够保证同一控制隧道的s11报文流量分发给同一线程进行处理。

与前述流量处理方法的实施例相对应，本申请还提供了流量处理装置及分流设备的实施例。

参见图4，为本申请流量处理装置的一个实施例框图，该装置可以应用在分流设备中，该装置包括：获取单元410、比较单元420和回填单元430。

其中，获取单元410，用于获取接入网向核心网传输的第一类控制面报文，以及核心网内部传输的第二类控制面报文；

比较单元420，用于如果所述第一类控制面报文和第二类控制面报文中的rand信息一致，则获取所述第二类控制面报文中的用户标识；

回填单元430，用于将所述用户标识回填到所述第一类控制面报文中。

在一个可选的实现方式中：

所述第二类控制面报文可以包括：所述核心网中的mme向hss发送的s6a认证请求报文，以及所述hss向所述mme返回的s6a认证应答报文；

所述第一类控制面报文可以包括：所述接入网中的ue或者enb向所述核心网中的mme传输的s1ap报文。

相应的，所述比较单元420可以包括(图4中未示出)：

在另一个可选的实现方式中：

信息获取子单元，用于在所述ue或enb与所述mme进行鉴权过程中，获取所述s1ap报文中的第一rand信息；

信息比较子单元，用于将所述第一rand信息与所述s6a认证应答报文中的第二rand信息进行比较；

imsi获取子单元，用于如果所述第一rand信息与第二radn信息一致，则获取所述s6a认证请求报文中的imsi。

在另一个可选的实现方式中：

所述装置还可以包括(图4中未示出)：

更新单元，用于将所述用户标识更新到第一类控制面报文表中，所述报文表用于保存用户标识与所述第一类控制面报文的rand信息的对应关系；

所述回填单元430，还用于当再次获取到所述第一类控制面报文时，基于所述第一类控制面报文的rand信息从所述报文表中获取对应的用户标识进行回填。

在另一个可选的实现方式中：

所述第二类控制面报文可以包括：sgw与mme之间传输的s11报文；

所述获取单元410，还可以用于获取所述s11报文；

所述装置还可以包括(图4中未示出)：

运算单元，用于对所述s11报文的f-teid进行哈希运算，得到哈希结果值；

分发单元，用于根据所述哈希结果值将所述s11报文分发到对应的处理线程。

参见图5，为本申请分流设备的一个实施例示意图，该设备包括：内部总线510，以及通过内部总线510连接的存储器520、处理器530和外部接口540。

其中，所述外部接口540，用于连接核心网；

所述存储器520，用于用于存储流量处理控制逻辑对应的机器可读指令；

所述处理器530，用于读取所述存储器上的所述机器可读指令，并执行所述指令以实现如下操作：

获取接入网向核心网传输的第一类控制面报文，以及核心网内部传输的第二类控制面报文；

如果所述第一类控制面报文和第二类控制面报文中的rand信息一致，则获取所述第二类控制面报文中的用户标识；

将所述用户标识回填到所述第一类控制面报文中。

此外，本申请实施例示出的流量处理流程还可以被包括在计算机可读存储介质中，该存储介质可以与执行指令的处理设备连接，该存储介质上存储有流量处理控制逻辑对应的机器可读指令，这些指令能够被处理设备执行，上述机器可读指令用于实现如下操作：

获取接入网向核心网传输的第一类控制面报文，以及核心网内部传输的第二类控制面报文；

如果所述第一类控制面报文和第二类控制面报文中的rand信息一致，则获取所述第二类控制面报文中的用户标识；

将所述用户标识回填到所述第一类控制面报文中。

在本申请实施例中，计算机可读存储介质可以是多种形式，比如，在不同的例子中，所述机器可读存储介质可以是：ram(radomaccessmemory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。特殊的，所述的计算机可读介质还可以是纸张或者其他合适的能够打印程序的介质。使用这些介质，这些程序可以被通过电学的方式获取到(例如，光学扫描)、可以被以合适的方式编译、解释和处理，然后可以被存储到计算机介质中。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。