通信工程-内蒙古移动CMNET网络建设方案探讨

《通信工程-内蒙古移动CMNET网络建设方案探讨》由会员分享，可在线阅读，更多相关《通信工程-内蒙古移动CMNET网络建设方案探讨（30页珍藏版）》请在装配图网上搜索。

1、 本科生毕业论文（设计）中文题目 内蒙古移动CMNET网络建设方案探讨 英文题目 Study of Inner Mongolia mobile CMNET network construction scheme 学生姓名 班级 19 学号 学 院 通信工程学院 专 业 通信工程 指导教师 职称 摘 要移动通信技术已经逐步成为21世纪通信领域的具有巨大经济价值的技术，并且随着科技的不断发展和进步，CMNET（中国移动互联网）已经开始走进用户的日常生活，CMNET是定位于一个开放的信息承载网络，是全球互联网的一部分，承载对安全性和QoS（服务质量）要求相对不高的业务。如今，互联网业务和移动通信服务

2、已经有了完美的结合，人们可以在自己的移动终端上来体验互联网提供的服务，这在方便用户的同时，也给中国移动带来了新的机遇和挑战。CMNET作为中国移动互联网业务和移动数据业务的承载平台提供各种业务的接入和承载。伴随着中国移动大力发展宽带接入业务，网络用户数量、业务类型和流量的急剧增加，中国移动急需对现有的CMNET网络进行扩容，在满足业务需要和发展的同时，还应具备对用户以及流量分布的精确统计及预测能力，并要保证移动互联网的相对安全性。本文从业务发展及流量增长两个方面对CMNET流量进行预测，综合考虑预测结果后得出相应结论。将从流量的分析与控制，安全机制，P2P的缓存机制与方法等几个方面来研究本期内

3、蒙古移动CMNET网络建设方案，并进行可行性的分析。关键词 CMNET 网络建设 流量的分析与控制 安全机制30AbstractMobile communication technology has gradually become the 21st century has great economic value in the field of communications technology, and with the continuous development and progress of science and technology, CMNET (China mobile In

4、ternet) have begun to walk into the daily life of the use.CMNET is located in an open information network, is a part of the global Internet, bearing on the safety and QoS（Quality of Service）requirements is not high relative to the business. Today, the Internet business and mobile services have been

5、the perfect combination, people can experience the Internet on their mobile terminal services, the convenient user at the same time, also brought new opportunities and challenges for China mobile. CMNET as the bearing platform of China Mobile Internet services and mobile data services provides acces

6、s to all kinds of business and bearing. Along with the development of China Mobile Broadband Access Services vigorously, a sharp increase in the number of Internet users, service types and traffic, network core layer network bandwidth can not meet the needs of business development, China mobile need

7、 to existing CMNET network expansion, to meet business needs and the development at the same time, also should have for users and accurate statistics and traffic distribution prediction ability, and to ensure that the relative safety of the mobile Internet.From the business development and growth in

8、 two aspects of traffic prediction of the CMNET flow, considering the prediction results to get the corresponding conclusion. This article from the analysis and control, traffic safety mechanism, several aspects of P2P cache mechanism and method to study the Inner Mongolia mobile CMNET network const

9、ruction scheme, and analyzed the feasibility of.Key words CMNET Network construction Analysis and control flow Security mechanism目 录第一章 绪 论61.1 论文的选题背景61.2 CMNET简介61.3 CMNET的现状发展及挑战6 1.3.1 业务发展7 1.3.2 中国移动互联网面临的挑战和问题8 1.3.3 其他运营商的竞争81.4 问题的分析9 1.4.1 应用场景的变迁带来挑战9 1.4.2 体系架构引发的问题91.5 网络现状9第2章 流量分析与控制系

10、统工程112.1 工程概况112.2系统现状11 2.2.1 目前存在的问题122.3本期工程建设方案132.4 本期工程系统完成功能14 2.4.1 流量分析14 2.4.2 流量分析16 2.4.3 VoIP监控与干扰功能18 2.4.4 不良网站封堵功能19第3章 未来移动互联网的建设及工程建设方案203.1 未来移动互联网的建设20 3.1.1 IP城域网建设20 3.1.2 业务发展定位203.2 工程建设方案23总 结30参 考 文 献33致 谢34第一章 绪 论1.1 论文的选题背景中国移动内蒙古公司已于2009、2010年进行了2009年全业务网络规划方案CMNET盟市业务控制

11、层与汇聚层建设工程、中国移动内蒙古公司2009互联网扩容和传送网扩容工程CMNET核心层第二阶段单项工程和中国移动内蒙古公司2010CMNET扩容工程，通过这三期工程，已经初步建设了比较完整的CMENT骨干网络和全业务接入网络。为了更好满足区公司原有业务发展和新业务的开展，本论文主要阐述对区公司及呼和浩特公司核心及汇聚层设备中继带宽进行扩容的方案。本方案的设计要满足未来几年内全区CMNET业务发展需求进行建设。保持现有CMNET网络基本架构，根据业务发展的需求进行设备和链路的扩容，对CMNET省网进行适度超前建设，以满足数据业务的迅猛发展。1.2 CMNET简介移动互联网主体的网络在2001年

12、得以完成，此网主要负责中国移动用户语音通话、无线局域网、统一专线、IP电话网的接入、通用分组无线服务技术等上网用户的上网服务外，另一方面还是移动额外附加业务提供支撑的平台。中国移动互联网主体网络网在网络层次从大到小分为：骨干网层、汇接层、一般骨干层、网间互相联系的节点。 （1）首先是骨干层网络是连接两个省级网络的重要枢纽。（2）其次是一班骨干层是在省内的各个地市之间进行网络转换。（3）网络间互相联系的节点是利用在网路间建设节点路由，使各个地市之间，各个省级之间以及国际网络出口可以进行自由的网络互通。每个节点的设置情况：（1）各个网间负责互相连接的节点设置在北上广这三个城市。（2) 设置在省级的

13、城市和一般的直辖市的是一般骨干层。（3) 另外在南京，武汉，成都等城池有各个汇接层的节点。（4) 骨干核心层节点主要设置在国内最发达的北上广三个城市。1.3 CMNET的现状发展及挑战在中国，目前有31个省级以上的城市都覆盖有中国移动互联网。中国移动互联网主体网络网在网络层次从大到小分为：骨干网层、汇接层、一般骨干层、网间互相联系的节点。其中的跨省业务是由北京、上海、广州、成都、等国内一流的中心城市负责，由他们实现省际间的网络互通，而省内的网络信息交流则是由一般的地级城市负责。正是因为中国移动互联网是拥有独立的并且是公有的区域，可以分配给各个省一个独立的私有的区域进行单独的管理，并配有独立的且

14、唯一的账号进行识别。中国移动互联网不断在与国际接轨，学习美国、韩国、日本的相关技术体制，并不断推出新型的业务供广大用户体验来提高用户感知和扩大用户群体。中国移动互联网的典型网络拓扑图如下所示：图 11.3.1 业务项目中国移动互联网技术现在提供的业务有：资源重组及出租类业务、网络互联接入业务、语音拨号业务、信息咨询服务类业务。自从2009年移动陆续推出了飞信、139邮箱、移动MM、以及移动微博等与时俱进的业务，极大的丰富了CMNET网络。 网络互联接入业务是中国移动通过无线，GPRS等技术手段为用户提供安全快捷的一站式上网服务，在网络飞速发展的今天，此项技术给用户带来了很大的便捷，各种移动终端

15、已经离不开网络的服务。语音类业务主要是指中国移动互联网能够提供基本的语音通话拨号业务。这其中主要包含主叫显示、呼叫等待、呼叫保持、语音信箱、会议电话等多种语音通信服务。信息咨询服务类业务主要是指中国移动互联网可以为用户提供多种便捷实用的增值服务。这其中包括语音平台12580提供的种种咨询服务，如彩铃更换、问路、移动打的服务、公交路线查询等等，以及基于中国移动互联网的梦网彩信、梦网短信、各种SP服务商提供的点播业务、手机视频及手机游戏等业务。这些都是极大的丰富了这个网络体系，同时也是移动利润的中流砥柱。资源的出租类业务是指移动通过对现有网络资源的出租来实现双赢，这样不仅能使第三方公司可以得到优质

16、的资源，同时对于用户来说这也能够获得更好的服务。1.3.2 未来发展依据互联网的发展模式，移动互联网在今后还会慢慢的渗透到我国国民经济的各个部门，也将对人类的生活还有生产的方式产生深刻的影响，不断推进社会科技化的演变历程。所以，将来的移动互联网还会是“点对点透明性”的体系结构，它的技术核心依然是会注重资源的开放性，用户平等性，管理的差异性，同时也会更关注用户的自主意愿和网络的交互性的功能，未来的移动互联网会将用户带到一个自由和谐的虚拟网络社会，而这个虚拟社会将会是更加安全可信的，具有更好的服务质量的。依据上面移动互联网的建设方案，今后各个运营商之间的核心竞争将主要体现在对网络资源的占有量上，这

17、其中包含网络内容、用户群体以及传输速率。作为中国移动IP专用的承载网的移动城域网，可以直接给用户提供相应的互联网业务。业务的核心在于对多种移动互联网业务的接入和承载，主要工作是给中国移动专网和CMNET骨干网络输送业务。所以，大力发展城域网已经成为CMNET今后的必然发展趋势，也是中国移动今后战略发展的需要，同时这也是中国移动向业务技术运营商的领头羊进军迈出的坚实的一步，可以提高自身的市场占有率和竞争力。只有现阶段不断积累城域网的运营管理经验，才可以为承载即将普及的3G、LTE技术打下夯实的底子。 继续以发展集团专线为重点，尽管我国专线上网用户、专线上网计算机首次出现了负增长，但是目前拥有网络

18、的企业还只占少部分，多数企业信息化应用还处于单机应用为主的状况，信息的共享程度不高，市场空间仍然很大，移动运营商仍然掌握数量庞大的移动集团客户。因此要更牢固地绑定现有集团客户，争取发展更多集团客户，集团客户IP专线接入无疑将是有力辅助手段。集团客户是收入的主要来源，对带宽和业务多样性的需求较大，从单一业务的提供到全业务运营客观上为中国移动提供了大量的机会。有条件地发展宽带用户，如前所述，在网民总数继续保持增长的情况下，使用专线及拨号上网网民数量呈现持续下降趋势，而宽带网民数依旧保持高速增长；因此，结合IP城域网的建设，在条件允许的小区发展宽带接入用户，提供综合业务，缩小和其它运营商的力量差距，

19、是CMNET业务发展的必然选择。这是一个长期的过程，需要持续的投入。1.4 内蒙古移动网络现状中国移动内蒙古公司现有CMNET骨干网节点路由器2台，型号为Juniper M320，到北京和西安带宽各为4*10G POS，M320之间互联带宽为3*10GE。中国移动内蒙古公司现有CMNET省网路由器两台，型号为华为NE5000E，两台NE5000E以口字形方式上行到骨干网节点M320路由器，上行带宽为4*10G POS，互联带宽为4*10GE。12个盟市各有2台NE80E作为核心路由器，其中呼和浩特2台NE80E分别以2*10Gpos链路上联至区公司NE5000E，并且以2*10GE链路互联；包

20、头、呼伦贝尔、通辽、赤峰、乌兰察布、鄂尔多斯、巴彦淖尔等7个盟市每台NE80E分别以1*10Gpos链路上联至区公司NE5000E，并且以1*10GE链路互联；兴安盟、锡盟、乌海、阿盟4个盟市每台NE80E分别以1*2.5G+155M链路上联至区公司NE5000E，并且以2*GE链路互联。区公司在移动一枢纽现有2台NE80E、移动二枢纽现有 2台NE40E、网通二枢纽现有1台NE40E作为区公司核心路由器，移动一枢纽2台NE80E分别以2*10Gpos链路上联至区公司NE5000E，并且以2*10GE链路互联，移动二枢纽2台NE40E分别以1*10Gpos链路上联至区公司NE5000E，并且以

21、1*10GE链路互联，网通二枢纽1台NE40E以1*2.5G链路上联至区公司一枢纽NE5000E，以1*GE链路上联至区公司移动二枢纽NE5000E。1.5 问题的分析随着互联网业务的飞快发展，移动的业务平台已经开始承受越来越大的压力，一方面新兴的各种互联网业务如移动微博、号簿管家、移动邮箱等对网络流量的需求越来越大，现有设备以及系统已经很难满足这方面的要求，这对省际网络交换的以及省内各个地市之间的网络互联又提出了新的挑战，不仅要对现有网络带宽以及系统进行扩容，同时也要对新的系统提出更多的功能性的要求。既要满足现有网络流量的承载能力，也要具有前瞻性可以保证近期互联网业务迅猛发展所带来的网络流量

22、激增，同时也要有一套完善的流量监控以及控制体系来保证系统的正常运行，并对现有数据进行分析来统计互联网用户使用情况，并对互联网业务发展进行预测。另外，如今的互联网业务的公开性方便用户的同时，也造成了很大的安全隐患。网络攻击者在对传统网络发起攻击的同时，也将移动互联网设成他们进攻的目标。尤其是现在智能手机当中的很多应用，都出现过被攻击的事情，这不仅引起了用户的注意，同时作为普遍的移动互联网的安全问题，不但是牵制了新兴互联网业务的正常发展，同时也涉及了国家网络信息安全的问题。很多的互联网应用都可以轻易的获得用户的个人信息甚至是隐私，这也对中国移动互联网的安全机制发起了挑战。在现有的系统如果想要承载更

23、多更开放的互联网业务，必须要保证用户使用的是安全可靠的网络。 伴随着互联网业务的迅猛发展，基于P2P的流媒体系统应用将更多的通信负载带给了互联网，在通常的缓存方案中，当在距离用户最近的服务器上没有用户要访问的文件时，无论该文件是不是被浏览过，都会把这个文件的缓存放到最近的服务器上，然而在实际运用中，这种缓存方案不能够轻易地对复杂的实际情况做出正确的调整，这样就会减少缓存的命中率。特别是像P2P这样的流媒体应用，其中所包含的文件容量一般都是比较大，这也很难发挥网络缓存的效率，这样一来，对于移动互联网来说，基于P2P的缓存机制也亟待完善。第2章 CMNET流量分析与控制系统2.1 方案概况随着网络

24、技术的发展、终端的丰富、平台应用的多样化，未来业务类型更加丰富，新型业务呈现高带宽、高可靠性、实时性、互动性等特征。实时视频、在线游戏、远程控制、物联网等业务不断涌现，而业务发展带来的流量压力巨大。2011到2016年全球移动数据流量预测如下图所示：图 2数据流量如此巨大的增幅，一方面对运营商承载网络提出了新的要求，承载网络不仅需要传送更多的数据量，更需要不断提升响应速度和服务质量，增强用户黏性和应用体验。另一方面又给整个格局带来新的产业形态和分工协作，以视频、搜索、音乐、支付、游戏平台等为主业的经营主体大量出现，全新的多边市场运营模式不断产生。在传统的运营模式中，运营商通过与SP 合作提供广

25、泛的内容和服务，SP 通过运营商的增值接口接入，用户通过通信费，包括手机费、宽带费等对服务进行付费，最后运营商和SP 根据合同对收入分成，占主导地位的仍是运营商。而随着谷歌、苹果、腾讯等终端厂商和信息服务提供商通过以用户为中心的服务创新能力，发展成为产业链最具活力和竞争力的环节，以苹果iPhone 为代表的App Store 网商店模式为例，苹果公司主导移动内容服务市场，通过开放的平台吸引了35 款应用，下载数突破百亿，2010 年苹果利润达到140 亿美元，运营商逐渐失去对业务和利润的控制，运营商与消费者的系同步弱化。当终端、平台、内容制造商在赚得盆满钵满的同时，原本极其强势的运营商由于无法

26、推出更具吸引力的产品和服务而开始丧失对客户的控制权，只变成了一个获得低利润的管道工。在传统电信业务时代，运营商主要是话务量经营，语音折算为分钟数，短信折算为条数，扩大话务量规模是唯一的价值提升手段。而在互联网时代，流量经营是以聚合平台和智能管和为基础，以提升网络承载流量、提升流量区分层次、丰富流量内涵为经营方向，最终以提升流量价值为目的的一系列措施和策略的集合。流量经营要达到的三个层次如下：1） 流量规模：如何提升流量规模是经营上的一个重要课题，同时，流量规模与网络预算之间保持平衡也是后端部门最为关注的课题，流量规模是流量经营的重要方向之一。2） 流量可控：是针对流量的策略控制，为用户提供个性

27、化服务。3） 流量价值：让流量可控的目的是要让可控的流量带来增量的收入。当然，价值流量仍然需要提升流量规模。流量经营只是商业构想，背后需要能力的有力支撑。而这集中体现为智能管道，根据以上流量经营的理念，智能管道的操作步骤如下：第一，具备感知能力。对业务感知，一是对传统业务影响比较大的，如MSN、QQ 等及时通信类业务，如KIK 类微信类业务；二是对占用流量大的，如网页视频广告类、视频类服务、三维地图类、大型游戏类；三是安全性要求高的，如电子商务类；四是普通游览类；五是其它类。目前，深度包检测（DPI）技术，全称是“Deep Packet Inspection”，是一种针对应用层的技术，“深度”

28、是相对于普通报文分析层次而言，普通报文仅仅分析IP 包的源地址、目的地址、源端口、目的端口以及协议类型等4 层以下的内容，深度报文分析其主要是分析IP报文的4-7 层。DPI 系统具备使用分析、流量优化、安全业务、业务分级和访问控制、基于内容收费、高级业务支持等6 个关键功能。它能更精细地识别网络中的各种应用，区分不同的业务。另外还需感知用户、感知流量等，主要通过终端管理系统DM、用户识别技术以及网管系统等实现。第二，定标准和策略控制技术，包括接口标准、收费标准、收费方式、管理标准、安全标准。具体包括定义优先级策略，即根据业务需求，同时结合网络、用户、业务等多个维度，进行动态资源调整，根据定义

29、好的优先级策略，动态调整业务的QOS；契约关系改变，即根据不同的业务类型、用户类型采取不同的计费费率、以及流量、时长等不同的计费方式。例如，运营商通过发布的应用中设置流标记，拥有此标记的业务应用的流量能够被检测，并具备加速、QOS 保障、流量打折等特点。目前，移动网的主要是3GPP 在R7 版本中提出了PCC 架构，通过该架构实现网络检测不同的业务流，实现时间、用户等级、累计流量、区域、使用时长、带宽、业务类型等各个维度的控制，以精细化的运营占据价值链的一席之地。固网方面，BBF、TISPAN、ITU 分别制定了BPCF、RACS、RACF 等策略控制体系，但目前只有RACS 较为成熟和完善。

30、第三，搭建开放平台，以用户为中心的，搭建一个开放、公平的平台，让用户享受到最好的应用和最好的技术。同时面向合作伙伴，具备开放的、标准的能力界面。目前应用平台已有中国电信的天翼空间、中国移动的MM （Mobile Market） 应用商店和中国联通的UniStore 等为代表。应用平台策略效果不是很理想，主要是运营商选择了自己在应用商城上打拼，而较少与应用开发商进行合作，以致于运营商的渠道得不到拓宽，业务应用不够吸引用 户，效果也就不太明显。本文将为中国移动内蒙古公司CMNET流量分析与控制系统讨论可行性方案，近几年来，随着中国移动通信集团内蒙古有限公司（以下简称“内蒙古移动”）CMNET网络的

31、迅速发展，越来越多类型的网络应用出现。新业务的出现，为网络的发展带来了机遇也带来了挑战。在增长速度方面，网络流量的增长已经远远超过了用户群体的增加，所以移动互联网络带宽扩容变得越来越迫切。要更好地了解中国移动内蒙古公司网络中各类业务的具体情况，对网络进行精细化管理，中国移动内蒙古公司需要在各级出口链路部署流量监控设备。通过对中国移动内蒙古公司CMNET网络流量进行分析，可以掌握VoIP（模拟信号数字化）应用、P2P应用、共享接入等应用在网络中的使用和分布情况，对移动用户的行为及终端类型进行分析，以便更好的对网络流量进行精细化管理，提升业务收入。2.2系统现状目前内蒙古移动CMNET国干路由器配

32、置了两台Juniper M320，两台路由器到北京和西安带宽各为210G POS链路，M320之间互联带宽为210G POS链路。CMNET省网路由器配置了两台华为NE5000E，两台路由器以口字形方式上行到国干M320路由器上，上行带宽和互联带宽均为210G POS链路。两台NE5000E路由器至第三方业务系统两台Eudemon 8080E防火墙的带宽均为110G POS。内蒙古移动CMNET系统网络结构情况如图3所示。内图 3 内蒙古移动CMNET系统网络结构示意图2.2.1 目前存在的问题当前，移动网络逐步走向IP化、宽带化，移动通信与互联网日渐融合。在内蒙古移动为用户提供更加丰富多彩的

33、业务的同时，移动业务以及计费支撑系统面临着一系列新的挑战。同时，目前在CMNET核心路由器至铁通及第三方系统的防火墙上做了大量的封堵非法IP地址的工作，大大降低了设备的工作性能，内蒙古移动为了能够在产业链中保持住自己的主体地位，以逃避边缘化的危险，急切的需要把握移动互联网中的各种应用服务以及业务，急切地需要互联网中对网络流量的分析及控制，达到对业务类别的区分，从而对中国移动互联网中新兴的业务进行安全的流量控制和管理。移动网络的不断发展和开放，给内蒙古移动带来的不仅是有带宽资源被利用的危险，随着各种应用软件对用户信息的采集、逐步普及的网络攻击及破译技术，这些最终都会威胁用户的个人隐私并干扰网络的

34、安全性，这也使得安全管理移动网络变得更难，成本更高，包括：无监管的VoIP业务和无法控制的P2P应用。此外，在CMNET到第三方系统的防火墙E8080E上，做了近10000条ACL访问控制策略，以实现集团要求的不良网站IP地址的封堵工作。从目前来看，所需封堵的IP还在不断增加，如果继续使用防火墙来完成此项工作将大量占用设备资源，影响设备性能，所以迫切的需要建立一套独立的分析控制系统来完成此部分工作，从而提高设备的利用率。2.3方案探讨2.3.1 方案概述通过分光器及光纤放大器设备对省出口和至第三方出口的链路进行分光，将10G POS链路的流量复制一份到SIG前台系统。2台SIG9280E分别部

35、署在移动一枢纽和移动二枢纽两个节点，实现数据的采集和处理，然后将分析后的数据上报到本期在移动二枢纽新增的后台管理服务器群，同时按照管理中心下发的策略对共享接入、VOIP、P2P等行为控制以及执行Web页面推送等动作。2.3.2 设计目标对移动互联网中的网络流量进行深入的分析，并为互联网业务提供网络和系统支撑，通过对网络流量的分布以及使用情况的深入分析，来预测用户的使用习惯、对心业务的感知以及相关业务未来的发展方向等。一方面可以根据不同用户群体的网络资源使用情况的不同来定制相应的符合其习惯的应用，另一方面也可以根据流量发展趋势图来规划未来的网络扩容计划。同时如果网络有安全或者拥堵问题可以直观的实

36、时发现，更快的将问题解决，实现对网络的全方位监控。本方案计划对中国移动内蒙古公司CMNET网络进行监控，达到的目标如下：（1）网络及用户可视化：流量流向分析、用户行为分析等。（2）业务控制：虚拟运营VoIP检测与控制、共享接入监控、P2P控制和不良网站封堵等。2.3.3 网络结构根据CMNET网络现状情况，本方案在CMNET网络省网出口处4条10G POS链路、CMNET省网核心设备至第三方防火墙的2条10G POS链路上部署流量监控设备，网络结构如图4所示。图 4 CMNET流量分析与控制系统网络结构示意图2.4 系统完成功能本方案中将系统功能分为4个部分，分别是：流量分析功能，流量控制功能

37、和VOIP监控与干扰功能和不良网站封堵功能。2.4.1 流量分析（1） 识别业务类别的能力（2） 对流量进行分析统计，对用户使用情况进行统计。（3） 要使用DPI和DFI技术，同时要支持序列化累计，流量特征等识别技术。（4） 至少要适用VLAN、MPLS封装。要支持各种封装格式适应各种错综复杂的网络环境（5） 可以提供省际间和各个运营商之间的网络互通的流量监控，并可以对各个省级地市节点的流量转接实施流量监控。（6） 各种互联网业务的识别能力，要支持飞信语聊，飞信视频，飞信短信，网络视频点播，手机邮箱等多种实时的即时沟通。（7） 支持多种互联网业务的体制上还要实现对小业务的精确服务，如基于网络视

38、频点播的优酷土豆、爱奇艺等，基于网络电视流媒体的PPS，基于网络下载业务的迅雷、电驴、快车等。细化到小业务可以更好的为用户分级，提供差异化的优质服务。（8） 系统不是建立在某个信令协议的基础上，可以对各种语音流媒体进行分析识别。（9） 可以不间断的追踪网络软件的发展以及使用情况，实现标准化的流程，从而可以从容应对未来新兴的移动互联网络应用。（10） 用户群组划分（11） 用户群组划分（12） 以IP地址段按类别定义用户群组。（13） 基于源/目的网络设备IP地址，监测特定设备流入/流出流量，并提供其流向、协议、应用分布。（14） 支持各种过滤和查询条件，支持各类图形和表格，支持统计报表输出。统

39、计报表应能提供对不同时段的统计查询，包括：（15） 当前流量：最近5分钟的统计值；（16） 任意时段的统计：小时、日、周、月、季度、年、自定义时段等；（17） 统计值包括：平均值、最大值、基线值等。统计报表均以流量曲线图或饼图及列表格式显示，并提供XML、CSV、JPEG等格式的下载功能。报表提供灵活定制功能。已定制报表应提供定期自动生成功能。同时系统能提供3年以上的报表存贮功能，以满足日常运维工作的需要。（18） 支持对异常流量的历史数据统计。（19） 系统具备对所关心流量进行实时分析能力，可以随时灵活指定分析条件(要求支持复杂逻辑运算),并可依据所需分析的条件在10秒内得到分析结果。（20

40、） 用户行为分析系统要支持域名访问分析，可以对网站进行排名来发掘热门站点，还可以分析域名访问中的其他有价值信息，包括点击率、访问网站的具体频道、访问的用户帐号等，通过积累这些附加信息，可以在下列几个方面做进一步的挖掘尝试：（21） 搜索关键字分析，要求支持baidu、google、yahoo等主流搜索引擎的关键字分析。（22） 重点业务和自有业务的深入分析，例如针对WAP、彩信、飞信业务等进行分析。2.4.2 流量控制（23） 信息推送，通过主动网页推送技术对向用户发布通知和告警信息，例如余额告知、优惠活动和商业广告。（24） 非法共享检测功能（25） 对用户报文进行深入分析，完成共享接入检测

41、功能。（26） 系统支持主动检测方式，通过使用专有的动态标签技术，对用户主机进行标识，即不会影响用户上网感受，检测准确性也较高。（27） 综合检测和分析多种用户上网流量特征，准确识别用户下挂主机数目，不依赖于用户使用的主机类型和操作系统类型。（28） 系统提供每个用户帐号准确的分时段下挂主机数目分析，分时段按照帐号数、下挂主机数进行分析，按照下挂主机数对帐号进行排名，找出共享比较严重的可疑用户，进行进一步的管控。（29） 对于可疑共享用户，系统提供灵活的多层次管控方式，可将需要管控的可疑用户加入黑名单中，并针对每个用户或者批量配置管控策略，可提供单纯推送警告页面、按比例随机干扰上网连接、全面封

42、堵上网连接。并提供按照时段进行管控的能力。（30） 系统支持对于动态拨号用户和静态IP地址用户的检测和封堵操作。（31） 对于不进行管控的用户，系统应提供白名单功能，对于加入白名单的用户系统不进行任何管控操作。2.4.3 VoIP监控与干扰功能（32） 支持QQ、MSN、Yahoo 、Skype等主流即时通信软件的语音通话监控。（33） 支持黑名单制度，支持对特定号码及中继的封堵。2.4.4 不良网站封堵功能支持监管用户的网络行为，过滤控制客户对黄、赌、毒等不良网站的访问，满足国家相关部门的监管要求。（34） 非法网站、域名和IP的封堵。（35） 封堵条数为2万条以上。第3章 移动互联网安全机

43、制3.1两网融合带来新的安全问题两网指的是移动通信网和互联网，两网融合成为移动互联网，由此带来的网络与信息安全问题逐渐凸现。移动互联网的概念是相对传统互联网而言，强调可以随时随地，并且可以在移动中接入互联网并使用业务。与此类似的还有无线互联网的概念，强调以无线方式而非同轴、双绞线和光纤等有线方式接入互联网并使用互联网业务。一般来说，移动互联网与无线互联网并不完全等同：移动互联网强调使用蜂窝移动通信网接入互联网，因此常常特指手机终端采用移动通信网( 如2G、3Gt和E3G) 接入互联网并使用互联网业务；而无线互联网强调接入互联网的方式是无线接入，除了蜂窝网外还包括各种无线接入技术，例如便携式计算

44、机采用802.11(Wi-Fi) 技术接入互联网并使用互联网业务。据最新资料显示，中国手机用户已经达到了7 亿人，通过移动终端上网的人数也已超过1.5 亿人。随之而来的是短信骚扰、恶意软件、网络诈骗及黄赌毒泛滥。针对智能终端的安全漏洞产生的问题日趋严重，已严重威胁到个人隐私、个人财务信息的安全，甚至威胁着社会稳定和国家安全。3.2移动互联网带来新的安全问题权威数据显示，移动互联网驶入了高速发展快车道，中国移动互联网市场也已成为拥有全球最多的手机用户数和具有最大发展潜力的移动互联网市场。但是，移动互联网的信息安全问题也日益凸显。黑客在对传统互联网服务发起挑战的同时，移动互联网也成为了黑客新的攻击

45、目标，特别是iPhone4 和iPad 这类如日中天的移动互联网服务，出现被攻击的案例，更值得用户关注。移动互联网的安全问题，不仅影响了移动互联网产能释放和正面价值的发挥，也牵涉国家和民族信息安全产业。因此，研究移动互联网安全的整体架构和安全部署，研究移动互联网可能存在的流量攻击、不健康内容等问题，通过安全设计、安全部署保证移动互联网安全，通过监控和内容过滤的技术手段，保障相关内容的安全与健康，是摆在人们面前的一些关键问题。移动通信与互联网的融合打破了其相对平衡的网络安全环境，大大削弱了通信网原有的安全特性。一方面，由于原有的移动通信网相对封闭、信息传输和管理控制平面分离、网络行为可溯源、终端

46、的类型单一且非智能，以及用户鉴权严格，因此其安全性相对较高，而IP 化后的移动通信网作为移动互联网的一部分，这些安全优势将所剩无几，“围墙花园”模式正在逐步瓦解。另一方面，移动互联网也是互联网的一部分，时刻面临着互联网的种种安全威胁和挑战，需要及时提升自身的安全防护能力。同时，由于移动用户数量众多、参差不齐，面临的安全威胁会急剧增加，带来的安全危害会层出不穷，轻则影响用户的正常使用，重则影响社会的稳定、国家的安全。这些问题具体体现在以下方面： 移动互联网环境下，应用更加丰富。从最初的文本浏览、下载等方式逐渐对传统互联网形式进行靠拢和融合；移动互联网固有的随身性、身份可识别等特性产生了更加丰富、

47、独特的业务形态，结合位置信息、彩信、短信等移动特色的各种服务将不断涌现；移动互联网逐渐向应用类和行业信息化的方向发展，移动办公、移动电子商务对安全提出了比较高的要求。应用威胁包括非法访问系统、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露、内容版权盗用和不合理的使用等问题； 移动互联网环境下，终端的发展对安全提出了巨大挑战。终端的智能化，内存和芯片处理能力的增强，带来了非法篡改信息、非法访问、病毒和恶意代码新的安全威胁。随着移动通信技术和应用的演进，移动终端逐渐由通信工具向个人的信息处理中心转变，终端中存载着很多个人信息，一旦丢失或被窃取会造成很大的损失，

48、因此，移动互联网必须保护用户行为及隐私不受干扰； 移动互联网所处的环境也比传统互联网更为复杂，一方面是威胁的来源以及脆弱性的分布更加广泛，同时移动互联网的使用者对安全性的防护要求也更为多样化，包括对终端的安全防护，对接入的安全防护，对数据机密性、完整性的防护，对拒绝服务攻击的抵御，防止利用各种手段产生数据包造成网络负荷过重，防止利用嗅探工具、系统漏洞、程序漏洞进行攻击。综上所述，移动互联网面临3 个安全威胁：终端的安全威胁、网络的安全威胁和业务的安全威胁。不难看出，移动互联网安全呈现出两个发展趋势：一是更多的互联网应用通过移动终端承载，使得移动终端安全成为了新的安全热点；二是移动电子商务、移动

49、办公等新型应用对安全提出了更高的要求。3.3移动互联网安全面临的关键问题针对安全威胁，移动互联网也有相对应的安全机制。因为移动互联网接入部分是移动通信网络，无论是采用2G 还是3G接入，3GPP( 第三代合作伙伴计划)、OMA( 开放移动体系架构)等组织都制定了完善的安全机制1，如下所述： 终端安全机制：终端应具有身份认证的功能，具有对各种系统资源、业务应用的访问控制能力。对于身份认证，可以通过口令或者智能卡方式、实体鉴别机制等手段保证安全性；对于数据信息的安全性保护和访问控制，可以通过设置访问控制策略来保证其安全性；对于终端内部存储的一些数据，可以通过分级存储和隔离，以及检测数据完整性等手段

50、来保证安全性； 网络的安全机制：目前，在移动互联网接入方面，3G有一套完整的安全机制。3G 在2G 的基础上进行了改进，继承了2G 系统安全的优点，同时针对3G 系统的新特性，定义了更加完善的安全特征与安全服务，3G 移动通信网络的安全机制包括3GPP 和3GPP2 两个类别； 业务的安全机制：对于业务方面，3GPP 和3GPP2 都有相应业务标准的机制。比如，WAP 安全机制、Presence 业务安全机制、定位业务安全机制及移动支付业务安全机制等，还包括垃圾短消息的过滤机制、防止版权盗用的DRM 标准等。移动互联网业务纷繁复杂，需要通过多种手段，不断健全业务方面的安全机制。尽管3GPP 和

51、OMA 已经提供了相应的安全机制，但由于它们都是从机制上提出了可供利用的技术手段，属于基础层面。这些机制并未自动解决移动互联网安全的整体架构和安全部署，移动互联网可能存在的流量攻击、不健康内容等关键技术问题。因此，要面临的任务是：研究移动互联网安全总体架构，设计移动互联网中的安全能力；通过安全算法、安全协议保证移动互联网基础安全；研究移动互联网网络监控技术，提高对异常流量、攻击流量的防控能力；研究内容过滤技术，提高对非法内容的管控力度，特别是针对使用点到点(P2P) 及加密方式传播的不良内容的识别、获取、分析和控制技术，并开展内容安全管理配套机制研究；研发移动互联网信息安全监管试验系统。3.4

52、移动互联网安全应对策略在人类发展的历史中，我们曾通过建城堡、长城这样的机制来进行防御，随着人类社会的发展，人口增加、社会经济活动范围扩大，原来建城堡、修长城的方式已无法提供良好的安全保障了。同样，从移动互联网安全的新挑战可以看到，移动互联网中将大量采用分布式的网络结构，随着智能终端的广泛应用和业务种类的增多，传统建城堡、修长城的网络安全机理将面临成本、效率等各种问题，我们需要一些新的机制来保障安全性。目前对于移动互联网安全方面的研究才刚刚起步，本文依据对移动互联网安全挑战分析以及当前研究现状，提出作者认为在移动互联网安全设计时应当考虑的问题。3.4.1 以服务方式提供统一的身份管理及认证移动联

53、网具有用户角色不惟一（普通访问者、资源提供者、应用开发者等）、终端异构性、应用多样性特点。在移动互联网中，身份管理的意义可进一步延伸到更广泛的ID，包括智能终端ID，用户ID，应用ID 等。同时，认证也不再限于系统对用户的认证，还包括“用户智能终端”，“智能终端智能终端”，“用户智能终端应用”等更复杂的认证需求。由各个应用系统提供独立的身份管理和认证已经不能满足需求，亟待实现一种以服务方式提供的统一身份管理和认证机制。在移动互联网中，可以把身份管理和认证作为网络提供的安全服务之一， 实现对上述多种类型ID 的统一分配、存储和管理，提出适合于移动互联网的节点认证服务模型以及相关的流程和协议，实现

54、单点登录以及节点间认证信息的安全传递。另外，这种安全服务形式能够进一步将节点认证与ID 分配结合，以实现用户单点接入享受全网服务， 单用户多终端接入，享受统一用户体验。这种统一的节点认证也利于业务创新和透明计费。3.4.2 等级的数据安全传输互联网环境下， 由于数据量远大于传统网络， 如果借鉴传统的点到点数据安全机制在每两点之间都建立TLS 或IPSec 安全通道， 可能会存在时延和计算开销较大的情况， 不利于保证实时性及提高网络性能。同时，节点间交互的信息包括控制、路由、管理以及业务数据信息，这些信息需要不同等级的安全保护。在移动互联网数据安全方面，需要研究提供不同安全等级的、可满足移动互联

55、网要求的数据通信安全通道，提供机密性、消息认证、完整性保障。可以在通过节点认证后，节点获取安全通道加解密密钥，凭借密钥加入相应的安全通道。数据在安全通道中进行传输达到确保数据安全的目的。3.4.3 用户自定义的细粒度访问控制着云服务与移动互联网的结合，更多的用户将个人信息和数据在云中存储和共享，这对用户隐私保护提出更高的要求。同时，海量异构终端接入移动互联网并获取服务，有必要通过访问控制保证合法终端的服务质量，保障网络带宽、服务器不受到来自恶意终端的非法占用和攻击。另外，为了降低第三方开发者应用开发门槛，移动互联网有必要以安全服务的形式提供访问控制能力，当第三方开发应用时无须再设计自己单独的访

56、问控制系统，而是可以直接调用系统提供的访问控制能力，经过简单的个性化配置即可投入运营。传统的MAC，DAC，RBAC 等访问控制模型， 由于其或者粗粒度、或者开销大、效率低等缺点，已经无法满足移动互联网对安全的需求。在设计移动互联网访问控制机制时，需要综合考虑时间、地点、终端能力、网络流量等上下文因素，并提供用户、应用能够自定义访问权限、访问粒度的，适合移动互联网新业务环境下的访问控制模型。通过提供统一的策略管理，分布式策略实施的用户可自定义的细粒度权限分配管理方案，防止特权用户滥用权限，满足职权分离要求等。3.4.4 节点自免疫由于移动互联网的全IP 化趋势，网络边界将扩展到智能终端层面。根

57、据第二章安全威胁的介绍，由于智能终端的安全防护能力薄弱， 终端本身操作系统、防病毒软件可能存在安全漏洞，更容易遭受病毒感染或入侵威胁。移动互联网网络对智能终端的安全保护能力有限，可以考虑通过终端中间件、智能网关等途径，在智能终端上或其本地提供一定的攻击检测和防御能力，对智能终端实现安全保护。对于自身软硬件条件较好的终端设备，可以在终端上安装终端中间件；对于自身软硬件条件较差的终端设备，则可以通过智能网关实现本地的安全防护。以上两种情况，我们统称为终端节点自免疫。此处终端节点是指能够实现自免疫功能的智能终端或智能网关。具体实现上，可以通过分析移动互联网中多源多形式的安全威胁，研究各种安全威胁之间

58、的关联，进一步研究低代价的适合于移动互联网的异常和攻击检测模型及算法，使终端节点具有自动发现网络中异常状态和事件、并自动避免这种状态和事件进一步扩散的能力，实现自免疫功能。并通过保护节点的安全防御能力提高全网的安全性能。3.4.5 构建移动互联网中的信任模型在传统的网络安全防护措施中， 基于信任模型的安全域划分及其之上的等级保护、边界防护可以说是最重要的安全措施， 信任模型极大地降低了整体安全成本。在移动互联网环境中，需要研究新的信任模型建立方法，可以通过构建多安全等级的虚拟安全域，不同虚拟安全域维护不同信任值区间的节点， 在域内和域间实施不同的安全保护机制，以保证节点安全。在信任值更新方面，

59、 除了传统的通过服务交互过程相互评价外，还可以制定指标体系，综合考虑移动互联网中的各类业务应用，以及SNS 等社交关系进行评定。移动互联网很好地将信息空间与现实社会联系起来，因此在设计移动互联网安全机制时，除了技术上的考虑，应当充分借鉴和利用现实社会中在安全方面的经验，特别是在安全需求分析、安全模型建立、安全机制的伸缩性、灵活性方面以及安全法规方面。当一个安全机制试图超越现实社会文明成就时，我们需要仔细分析一下， 这种安全机制的可行性和必要性，它的使用是否会增加系统复杂度或成为安全威胁的目标。第4章 P2P缓存机制4.1 P2P缓存简介随着多种P2P应用的普及，P2P技术现在已经是互联网应用中

60、不可分割的一部分，有许多人甚至预测未来互联网的定位将会向P2P方向发展，以它的客户端/服务器模式，P2P技术最明显的特点是边缘化。在P2P网络体制中，各种服务和网络资源分布在整个网络中，相互间地位平等的每个节点都是有客户端/服务器的这种特性，不仅可以作为服务的提供者，也可以作为服务的使用者。随着移动互联网技术的迅速发展，运营商和P2P之间的利益冲突越来越突出，这种隔阂也许能使P2P技术的发展收到牵绊。如今，网络运营商对使用其网络的用户进行结算的依据主要是在网的时间长短，然而负责这种结算模式的是传统的网络资源浏览模式，这也就是说用户在其所访问的时间段内不是所有时间都是活跃的，是不均匀分布的，所以

61、用户在网所占用的网络带宽是根据他的活跃程度而变化的，对带宽的上下行使用情况是不对等的。然而P2P技术的大众化已经干扰到了传统的网络业务访问的模式，自从用户开始访问直到结束在此期间用户是一直活跃的，而且具有稳定的带宽且上下行相等。对此，网络运营商也要不断的对网络带宽需求不断地进行扩容来应对这迅猛发展的网络。最致命的是这个时候的带宽已经不能带来相应的利润价值。这种矛盾的激化也给P2P今后的发展设置了障碍。P2P缓存系统是通过用网络边缘的缓存内容，筛选掉已经重复P2P内容，这样能缓解P2P服务所产生的带宽压力。一旦建立了P2P缓存系统，基础网络运营商可以利用较少的投资来维持不断增长的P2P业务需求，

62、从而来缓解目前P2P技术带来的带宽危机。另外，通过使用P2P缓存系统，可以增加移动互联网用户的实际应用体验，这样就会招徕更多的P2P用户，而这些用户最终也会成为运营商的中流砥柱，给运营商带来丰厚的利益。这么说来，对P2P缓存系统的设立不但可以解决网络运营商和P2P技术之间的矛盾冲突，还可以让双方实现利益的双赢。4.2 P2P缓存基本原理4.2.1 P2P缓存系统原理前面我们已经对P2P有了简单的认识和了解，但是P2P要正常高效的工作与P2P缓存是密不可分的。所谓的P2P缓存与大多数缓存一样，都是利用网络边缘进行存储，可别小看这个简单的缓存，因为它不但将服务后续各点P2P的请求，而且还会同时滤除

63、掉重复的内容，节省很多缓存空间。P2P的访问流程图如下：图 6 P2P缓存系统原理图大家可能对P2P的工作原理比较熟悉，但是对P2P缓存系统原理却存在些许的陌生感，下面我们就简单对P2P缓存系统原理做简单的介绍：假设有个A点要下载一个文件片段W，它会首先通过互联网向P2P缓存设备发送下载请求，P2P缓存设备接受到请求后会出现两种情况：一是P2P缓存设备已经缓存了文件片段W，这样P2P缓存设备就直接对点A提供对文件片段W的下载；二是P2P缓存设备没有缓存文件片段W，于是P2P缓存设备将请求发给了拥有文件片段W的点C，通过点C直接向P2P提供文件片段W，并且在此过程中，P2P缓存设备也不会闲着，将

64、会对文件片段W进行缓存，下次如果有点B需要下载文件片段W时，P2P缓存设备就可以直接提供给点B。通过此工程我们可以看到P2P缓存设备具有记忆功能，而且功能非常强大。P2P缓存系统还具有很多的优点，我将其做了简单的归纳总结如下：（1）很好的减少了P2P流量对网络带宽的占用。其实P2P技术已经问世并研究了很多年，其中其最大缺点就是对网络带宽占用太大，使网络速度太慢，而P2P缓存的出现则很好的解决了这个问题。（2）由于P2P技术将所有用户联系在一起，而且P2P缓存系统距离用户很近，用户可以很快很方便的访问网站，不用经过一些缺乏质量保证的网络，加快了响应时间。（3）P2P缓存系统使用户获得更好更快的用户体验，并且不断成长，进步，拥有美好的前景。4.2.2 系统架构和处理流程P2P缓存系统功能繁多，主要是处理一下几个方面