CN109981572A - 一种基于运营商apn流量牵引方式的上网管控方法及系统 - Google Patents

Abstract

本发明公开了一种基于运营商APN流量牵引方式的上网管控方法及系统，该方法包括：用户通过发起签约业务的请求，绑定被守护用户的号码；通过指令处理模块向BOSS系统发起修改被守护用户的上网APN地址，由公众APN地址修改为业务专用APN地址；被守护用户上网时，通过APN方式将该用户的上网流量牵引至指定的核心网元；采集指定的核心网流量，获取原始要素数据；对原始要素数据进行分析；通过数据采集模块对接指定核心网的GI/SGI口，实现封堵能力；指令处理模块根据签约用户配置的规则，通过封堵方式阻断被守护用户上网，实现上网管控。本发明有效解决现有技术中的无法对用户的上网进行便捷及有效管控的问题。

Description

一种基于运营商APN流量牵引方式的上网管控方法及系统

技术领域

本发明属于计算机网络技术领域，具体涉及一种基于运营商APN流量牵引方式的上网管控方法及系统。

背景技术

随着智能手机的普及，现在中小学生使用智能手机的情况越来越普遍，但中小学生由于自控力的问题，对网络游戏，网络直播等容易形成网瘾，且网络上恶意软件日益泛滥，黄赌毒信息防不胜防。家长急需一款能帮助家长实现对孩子手机上网进行综合管控的系统。

但是目前给家长提供的上网管控方案都是基于在孩子手机上安装客户端软件方式实现，存在安装、适配难度，容易被孩子卸载等问题，不能有效进行进行管控。

发明内容

本发明的目的是提供一种基于运营商APN流量牵引方式的上网管控方法及系统，以有效解决现有技术中的无法对用户的上网进行便捷有效管控的问题。

本发明的第一方面提供了一种基于运营商APN流量牵引方式的上网管控方法，该方法包括如下步骤：

S11、用户通过业务交互模块发起签约业务的请求，绑定被守护用户的号码；

S12、业务交互模块通过指令处理模块向BOSS系统发起修改被守护用户的上网APN地址，由公众APN地址修改为业务专用APN地址；

S13、被守护用户上网时，通过APN方式将该用户的上网流量牵引至指定的核心网元；

S14、通过数据采集模块采集指定的核心网流量，获取原始要素数据；通过数据分析模块对原始要素数据进行分析；

S15、通过数据采集模块对接指定核心网的GI/SGI口，实现封堵能力；

S16、指令处理模块根据签约用户配置的规则，通过封堵方式阻断被守护用户上网，实现上网管控。

进一步地，在步骤S12中，被守护用户上网时，BOSS系统将APN由公众APN修改为专用APN，并限制被守护用户上网使用的APN限制为专用APN。

进一步地，在步骤S13中，通过DNS配置专属APN的DNS策略，并通过该DNS策略将用户上网流量牵引至指定核心网元。

进一步地，在步骤S14中，采集指定的核心网流量并进行分析，获取原始要素数据包括如下方式中的一种或多种：

采集网络中GN或PI+AAA口流量，获得2/3G流量；

采集网络中S11口流量，获得4G流量；

采集网络中S1-u口流量，获得4G流量；

采集网络中S2a口流量，获得4G流量。

进一步地，在步骤S15中，对接采集核心网元的GI/SGI口位于出口防火墙内侧，GI/SGI口配置有用户手机端的直连路由。

进一步地，所述步骤S16具体包括：

根据签约用户访问行为与用户策略进行匹配；

根据匹配的规则通过GI/SGI口执行封堵。

进一步地，网络阻断指令由被守护用户的守护者发起，守护者设置被守护者用户的网络使用时间后，业务处理平台依据设置的网络阻断时间，向指令处理模块下发网络阻断指令，指令处理模块依据阻断规则，向数据采集模块下发指令给指定的被守护者用户的网络连接发送中断指令，阻断被守护者的网络连接。

本发明的另一方面，提供了一种基于运营商APN流量牵引方式的上网管控系统，所述系统包括：

业务交互模块，用户通过该模块发起业务签约请求、绑定被守护者号码请求、修改APN指令；

指令处理模块，接收业务交互模块下发的APN修改指令，并将指令转发给BOSS系统执行APN修改；接收用户通过业务交互模块下发的规则配置指令，并将指令转发给数据采集模块执行；

数据分析模块，分析用户的上网行为，主要分析守护者用户的网络使用时间；

数据采集模块，采集被守护用户原始要素数据，匹配用户策略，对接GI/SGI口并根据用户策略执行进行封堵，阻断被守护用户上网，实现上网管控。

BOSS系统，用于修改签约业务用户的上网APN地址，并将公众APN地址修改为业务专用APN地址。

与现有技术相比，本发明所公开的一种基于运营商APN流量牵引方式的上网管控方法及系统，达到了如下技术效果：

(1)通过用户签约，基于签约信息将用户上网APN由公众APN修改为专属APN，据此实现大流量下对签约用户流量覆盖的完整度。

(2)通过签约用户上网时使用APN方式将该用户的上网流量牵引至指定的核心网元，据此实现了特定用户流量的牵引。

(3)通过采集指定的核心网流量，获取原始要素数据，据此实现了对用户流量和访问请求的全面分析。

(4)通过对接指定核心网的GI/SGI口实现封堵能力，据此实现了对签约用户访问请求的处置能力。

(5)通过根据签约用户配置的规则，通过封堵方式阻断用户上网，实现上网管控，据此实现了基于网络侧、无需安装客户端、无需适配、无卸载风险方式下，通过签约用户自定义规则的上网管控能力。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例所述的基于运营商APN流量牵引方式的上网管控方法的步骤图。

图2为本发明实施例所述的基于运营商APN流量牵引方式的上网管控系统的架构原理图。

具体实施方式

为使本领域技术人员更好地理解本发明的技术方案，下面结合附图和具体实施方式对本发明作进一步详细描述。

1、定义

1.1互联网基础资源

是指由基础运营商和电信增值企业(接入企业)提供的包括机房、带宽、IP地址等支撑互联网运营的基本资源以及相关的网站、应用服务等互联网用户需要经常使用的相对固化的资源。

按照以上定义，互联网基础资源包括接入企业(含基础企业、增值企业)、IDC机房、链路带宽、IP地址、网站、域名、应用服务共7大类要素。

1.2APN

APN是在GPRS骨干网中用来标识要使用的外部PDN(Packet data network，分组数据网，即常说的Internet)，在GPRS网络中代表外部数据网络的总称。APN由以下两部分组成：

APN网络标识：是用户通过GGSN/PGW(Gateway GPRS Support Node，GPRS网关支持节点/PDN Gateway，分组数据网网关)可连接到外部网络的标识，该标识由网络运营者分配给ISP(Internet Service Provider，因特网业务提供者)或公司，与其固定Internet域名一致，是APN的必选组成部分。

APN运营者标识：用于标识GGSN/PGW所归属的网络，是APN的可选组成部分。其形式为“MNCxxxx.MCCyyyy.gprs”(3G网络中)，或者“MNCxxxx.MCCyyyy.3gppnetwork.org(4G网络中)。

APN实际上就是对一个外部PDN的标识，这些PDN包括企业内部网、Internet、WAP网站、行业内部网等专用网络。网络侧APN来确定手机激活以后要访问的网络。

1.3BOSS系统

BOSS是指业务运营支持系统(Business&Operation Support System)，面对客户是统一的；面对业务运营商，它融合了业务支撑系统(BSS)与运营支撑系统(OSS)，是一个综合的业务运营和管理支撑平台，同时也是真正融合业务的综合管理平台。该系统最早由电信部门的计费系统发展演变而来，基本功能包括客户资料管理、产品管理、用户订购管理、计费、出帐、结算等，负责登记客户资料、管理用户订购服务的提供、实时的根据不同产品、套餐的资费标准计算业务(手机、固定电话用户通话时、点播收视、宽带流量与时间等)的消费金额，准实时及定期计算用户帐单，实时或定期结算用户各种消费费用。后来又增加了用户信用控制功能，负责实时计算预付费用户现金余额，对欠费用户实施即时停机。随着电信企业的不断发展，BOSS也在逐渐完善并增强功能，逐渐包括了资源管理系统、客户服务系统、以及与银行等外界的接口等。

1.4封堵

通过采集用户的TCP建立连接的握手包，模拟握手包请求构造响应包，通过Reset响应包应答握手包，中断TCP连接。

参照图1所示，本发明实施例提供的一种基于运营商APN流量牵引方式的上网管控方法，包括如下步骤：

S11、用户发起签约业务的请求，绑定被守护用户的号码。

签约用户通过业务交互模块发起对被守护用户修改接入APN指令。

S12、通过BOSS系统修改被守护用户的上网APN地址，由公众APN地址修改为业务专用APN地址。

其中，在步骤S12中，在被守护用户上网时，BOSS系统将APN由公众APN修改为专用APN，同时，BOSS系统将被守护用户上网使用的APN限制为专用APN，据此实现大流量下对签约用户流量覆盖的完整度。

S13、被守护用户上网时，通过APN方式将该用户的上网流量牵引至指定的核心网元。

其中，在步骤S13中，用户正常上网时信令面数据在通过Enode-b网元后进入MME网元，信令面数据中包含在核心网侧生成的域名，MME网元通过DNS解析域名，指向用户上网数据的下一跳地址，及指定下一跳PGW网元。通过在核心网侧配置专属APN的DNS地址，该地址中将专属APN的地址替换原公众APN的地址，用户上网时在核心网侧DNS通过解析不同的域名实现对专属APN的定向流量牵引。

具体来说，在APN接入点修改完成后，用户所有上网流量将引入专有APN配置的流量接入点，数据采集模块在指定的接入点采集到被守护用户上网流量后，依据业务平台的筛选指令向业务交互模块输出所需要的话单数据。

例如，BOSS系统将被守护用户的上网APN地址由公众APN地址修改为专属APN地址后，用户在上网时信令面数据在通过MME网元时，由DNS解析信令面数据中包含APN地址的域名，根据DNS中配置的域名规则，将被守护用户的上网请求指向到指定的PGW网元，用户上网时用户面数据根据以上指定的地址，被牵引到指定的PGW并通过该PGW上网。

S14、采集指定的核心网流量，获取原始要素数据。

在步骤S14中，采集的的流量类型包括如下的一种或多种的组合：

采集网络中GN或PI+AAA口流量，获得2/3G流量；

采集网络中S11口流量，获得4G流量；

采集网络中S1-u口流量，获得4G流量；

采集网络中S2a口流量，获得4G流量。

APN修改完毕后，被守护用户的移动网络流量在通过指定的APN接入点时，由数据采集模块采集后进行分析处理。

通过采集指定的核心网流量，获取原始要素数据，据此实现了对用户流量和访问请求的全面分析。

S15、对接指定核心网的GI/SGI口，实现封堵能力。

在步骤S15中，对接采集核心网元对应的位于出口防火墙内侧的GI/SGI口，GI/SGI口配置有到用户手机端的直连路由。

指令处理模块根据签约用户配置的规则选择是否通过GI/SGI口封堵进行被守护用户上网的阻断操作。

业务交互模块具备对用户使用网络流量的阻断能力，阻断原理是通过指令处理模块的流量封堵功能，向数据采集模块接入网络所在的防火墙GI/SGI口发送中断TCP握手指令，实现对流量的阻断。

通过对接指定核心网的GI/SGI口实现封堵能力，据此实现了对签约用户访问请求的处置能力。

S16、根据签约用户配置的规则，通过封堵方式阻断被守护用户上网，实现上网管控。

所述步骤S16具体包括：

根据采集流量分析签约用户的访问行为；

根据被守护用户访问行为与用户策略进行匹配；

例如：被守护用户上网时，数据采集模块采集到上网流量，通过与守护用户设置的允许上网时间段进行比对，判断该时间是否允许上网。

根据匹配的规则通过GI/SGI口执行封堵。

守护者通过业务交互模块发起网络阻断功能，守护者在业务交互模块中设置被守护者的网络使用时间后，业务交互模块依据设置的网络阻断时间，向指令处理模块下发网络阻断指令，指令处理模块将指令转发给数据采集模块，数据采集模块依据封堵规则，给指定被守护用户上网时发送中断指令，阻断被守护者的网络连接，返回用户网络连接失败信息。

参照图2所示，本发明的另一实施例提供了一种基于运营商APN流量牵引方式的上网管控系统，该系统包括：

业务交互模块，用户通过该模块发起业务签约请求、绑定被守护者号码请求、修改APN指令；

指令处理模块，接收业务交互模块下发的APN修改指令，并将指令转发给BOSS系统执行APN修改；接以及收用户通过业务交互模块下发的规则配置指令，并将指令转发给数据采集模块执行；

数据分析模块，分析用户的上网行为，主要是被守护用户的上网时间；

数据采集模块，采集被守护用户原始要素数据，匹配用户策略，对接GI/SGI口并根据用户策略执行进行封堵，阻断被守护用户上网，实现上网管控。

BOSS系统，用于修改签约业务用户的上网APN地址，并将公众APN地址修改为业务专用APN地址。

被守护用户在业务交互模块中被绑定时，通过业务交互模块向BOSS系统发起APN修改指令，BOSS系统收到指令后，从网络侧修改核心网元上该用户对应的APN配置。修改成功后，被守护者连接网络时，使用的网络流量即被牵引至指定的核心网元。流量采集模块通过对指定的核心网元流量数据采集，使得流量采集模块可实时获取到被守护者流量数据，依据上网管控规则来调用数据封堵能力进行上网管控。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (8)

1.一种基于运营商APN流量牵引方式的上网管控方法，其特征在于，该方法包括步骤：

S11、用户通过业务交互模块发起签约业务的请求，绑定被守护用户的号码；

S12、业务交互模块通过指令处理模块向BOSS系统发起修改被守护用户的上网APN地址，由公众APN地址修改为业务专用APN地址；

S13、被守护用户上网时，通过APN方式将该用户的上网流量牵引至指定的核心网元；

S14、通过数据采集模块采集指定的核心网流量，获取原始要素数据；通过数据分析模块对原始要素数据进行分析

S15、通过数据采集模块对接指定核心网的G I/SG I口，实现封堵能力；

S16、指令处理模块根据签约用户配置的规则，通过封堵方式阻断被守护用户上网，实现上网管控。

2.根据权利要求1所述的上网管控方法，其特征在于，在步骤S12中，被守护用户上网时，BOSS系统将APN由公众APN修改为专用APN，并限制被守护用户上网使用的APN限制为专用APN。

3.根据权利要求1或2所述的上网管控方法，其特征在于，在步骤S13中，通过DNS配置专属APN的DNS策略，并通过该DNS策略将用户上网流量牵引至指定核心网元。

4.根据权利要求3所述的上网管控方法，其特征在于，在步骤S14中，采集指定的核心网流量并进行分析，获取原始要素数据包括如下方式中的一种或多种：

采集网络中GN或PI+AAA口流量，获得2/3G流量；

采集网络中S11口流量，获得4G流量；

采集网络中S1-u口流量，获得4G流量；

采集网络中S2a口流量，获得4G流量。

5.根据权利要求4所述的上网管控方法，其特征在于，在步骤S15中，对接采集核心网元的G I/SG I口位于出口防火墙内侧，G I/SG I口配置有用户手机端的直连路由。

6.根据权利要求5所述的上网管控方法，其特征在于，所述步骤S16具体包括：

根据签约用户访问行为与用户策略进行匹配；

根据匹配的规则通过G I/SG I口执行封堵。

7.根据权利要求6所述的上网管控方法，其特征在于，网络阻断指令由被守护用户的守护者发起，守护者设置被守护者用户的网络使用时间后，业务处理平台依据设置的网络阻断时间，向指令处理模块下发网络阻断指令，指令处理模块依据阻断规则，向数据采集模块下发指令给指定的被守护者用户的网络连接发送中断指令，阻断被守护者的网络连接。

8.一种基于运营商APN流量牵引方式的上网管控系统，其特征在于，所述系统包括：

业务交互模块，用户通过该模块发起业务签约请求、绑定被守护者号码请求、修改APN指令；

指令处理模块，接收业务交互模块下发的APN修改指令，并将指令转发给BOSS系统执行APN修改；接收用户通过业务交互模块下发的规则配置指令，并将指令转发给数据采集模块执行；

数据分析模块，分析用户的上网行为

数据采集模块，采集被守护用户原始要素数据，匹配用户策略，对接GI/SGI口并根据用户策略执行进行封堵，阻断被守护用户上网，实现上网管控；

BOSS系统，用于修改签约业务用户的上网APN地址，并将公众APN地址修改为业务专用APN地址。