通信工程內(nèi)蒙古移動CMNET網(wǎng)絡(luò)建設(shè)方案探討

1、1 本科生畢業(yè)論文（設(shè)計）本科生畢業(yè)論文（設(shè)計）中文題目中文題目 內(nèi)蒙古移動內(nèi)蒙古移動 CMNET 網(wǎng)絡(luò)建設(shè)方案探討網(wǎng)絡(luò)建設(shè)方案探討 英文題目英文題目 Study of Inner Mongolia mobile CMNET network construction scheme 學(xué)生姓名學(xué)生姓名 班級班級 19 學(xué)號學(xué)號 學(xué)學(xué) 院院 通信工程學(xué)院通信工程學(xué)院 專專 業(yè)業(yè) 通信工程通信工程 指導(dǎo)教師指導(dǎo)教師 職稱職稱 2摘摘 要要移動通信技術(shù)已經(jīng)逐步成為21世紀(jì)通信領(lǐng)域的具有巨大經(jīng)濟價值的技術(shù)，并且隨著科技的不斷發(fā)展和進步，CMNET（中國移動互聯(lián)網(wǎng)）已經(jīng)開始走進用戶的日常生活，CMNET是定

2、位于一個開放的信息承載網(wǎng)絡(luò)，是全球互聯(lián)網(wǎng)的一部分，承載對安全性和QoS（服務(wù)質(zhì)量）要求相對不高的業(yè)務(wù)。如今，互聯(lián)網(wǎng)業(yè)務(wù)和移動通信服務(wù)已經(jīng)有了完美的結(jié)合，人們可以在自己的移動終端上來體驗互聯(lián)網(wǎng)提供的服務(wù)，這在方便用戶的同時，也給中國移動帶來了新的機遇和挑戰(zhàn)。CMNET作為中國移動互聯(lián)網(wǎng)業(yè)務(wù)和移動數(shù)據(jù)業(yè)務(wù)的承載平臺提供各種業(yè)務(wù)的接入和承載。伴隨著中國移動大力發(fā)展寬帶接入業(yè)務(wù)，網(wǎng)絡(luò)用戶數(shù)量、業(yè)務(wù)類型和流量的急劇增加，中國移動急需對現(xiàn)有的CMNET網(wǎng)絡(luò)進行擴容，在滿足業(yè)務(wù)需要和發(fā)展的同時，還應(yīng)具備對用戶以及流量分布的精確統(tǒng)計及預(yù)測能力，并要保證移動互聯(lián)網(wǎng)的相對安全性。本文從業(yè)務(wù)發(fā)展及流量增長兩個方面對

3、CMNET流量進行預(yù)測，綜合考慮預(yù)測結(jié)果后得出相應(yīng)結(jié)論。將從流量的分析與控制，安全機制，P2P的緩存機制與方法等幾個方面來研究本期內(nèi)蒙古移動CMNET網(wǎng)絡(luò)建設(shè)方案，并進行可行性的分析。關(guān)鍵詞關(guān)鍵詞 CMNET 網(wǎng)絡(luò)建設(shè) 流量的分析與控制 安全機制3AbstractMobile communication technology has gradually become the 21st century has great economic value in the field of communications technology, and with the continuous develo

4、pment and progress of science and technology, CMNET (China mobile Internet) have begun to walk into the daily life of the use.CMNET is located in an open information network, is a part of the global Internet, bearing on the safety and QoS（Quality of Service）requirements is not high relative to the b

5、usiness. Today, the Internet business and mobile services have been the perfect combination, people can experience the Internet on their mobile terminal services, the convenient user at the same time, also brought new opportunities and challenges for China mobile. CMNET as the bearing platform of Ch

6、ina Mobile Internet services and mobile data services provides access to all kinds of business and bearing. Along with the development of China Mobile Broadband Access Services vigorously, a sharp increase in the number of Internet users, service types and traffic, network core layer network bandwid

7、th can not meet the needs of business development, China mobile need to existing CMNET network expansion, to meet business needs and the development at the same time, also should have for users and accurate statistics and traffic distribution prediction ability, and to ensure that the relative safet

8、y of the mobile Internet.From the business development and growth in two aspects of traffic prediction of the CMNET flow, considering the prediction results to get the corresponding conclusion. This article from the analysis and control, traffic safety mechanism, several aspects of P2P cache mechani

9、sm and method to study the Inner Mongolia mobile CMNET network construction scheme, and analyzed the feasibility of.Key words CMNET Network construction Analysis and control flow Security mechanism4目目 錄錄第一章 緒 論.61.1 論文的選題背景.61.2 CMNET 簡介 .61.3 CMNET 的現(xiàn)狀發(fā)展及挑戰(zhàn) .6 1.3.1 業(yè)務(wù)發(fā)展.7 1.3.2 中國移動互聯(lián)網(wǎng)面臨的挑戰(zhàn)和問題.8 1

10、.3.3 其他運營商的競爭.81.4 問題的分析 .9 1.4.1 應(yīng)用場景的變遷帶來挑戰(zhàn).9 1.4.2 體系架構(gòu)引發(fā)的問題.91.5 網(wǎng)絡(luò)現(xiàn)狀.9第 2 章 流量分析與控制系統(tǒng)工程.112.1 工程概況.112.2 系統(tǒng)現(xiàn)狀.11 2.2.1 目前存在的問題.122.3 本期工程建設(shè)方案.132.4 本期工程系統(tǒng)完成功能.14 2.4.1 流量分析.14 2.4.2 流量分析.16 2.4.3 VoIP 監(jiān)控與干擾功能.18 2.4.4 不良網(wǎng)站封堵功能.19第 3 章 未來移動互聯(lián)網(wǎng)的建設(shè)及工程建設(shè)方案.203.1 未來移動互聯(lián)網(wǎng)的建設(shè).20 3.1.1 IP 城域網(wǎng)建設(shè).20 3.1.

11、2 業(yè)務(wù)發(fā)展定位.203.2 工程建設(shè)方案.23總 結(jié).30參 考 文 獻.33致 謝.345第一章第一章 緒緒 論論1.1 論文的選題背景論文的選題背景中國移動內(nèi)蒙古公司已于2009、2010年進行了2009年全業(yè)務(wù)網(wǎng)絡(luò)規(guī)劃方案CMNET盟市業(yè)務(wù)控制層與匯聚層建設(shè)工程、中國移動內(nèi)蒙古公司2009互聯(lián)網(wǎng)擴容和傳送網(wǎng)擴容工程CMNET核心層第二階段單項工程和中國移動內(nèi)蒙古公司2010CMNET擴容工程，通過這三期工程，已經(jīng)初步建設(shè)了比較完整的CMENT骨干網(wǎng)絡(luò)和全業(yè)務(wù)接入網(wǎng)絡(luò)。為了更好滿足區(qū)公司原有業(yè)務(wù)發(fā)展和新業(yè)務(wù)的開展，本論文主要闡述對區(qū)公司及呼和浩特公司核心及匯聚層設(shè)備中繼帶寬進行擴容的方案

12、。本方案的設(shè)計要滿足未來幾年內(nèi)全區(qū)CMNET業(yè)務(wù)發(fā)展需求進行建設(shè)。保持現(xiàn)有CMNET網(wǎng)絡(luò)基本架構(gòu)，根據(jù)業(yè)務(wù)發(fā)展的需求進行設(shè)備和鏈路的擴容，對CMNET省網(wǎng)進行適度超前建設(shè)，以滿足數(shù)據(jù)業(yè)務(wù)的迅猛發(fā)展。1.2 CMNET 簡介簡介移動互聯(lián)網(wǎng)主體的網(wǎng)絡(luò)在2001年得以完成，此網(wǎng)主要負責(zé)中國移動用戶語音通話、無線局域網(wǎng)、統(tǒng)一專線、IP電話網(wǎng)的接入、通用分組無線服務(wù)技術(shù)等上網(wǎng)用戶的上網(wǎng)服務(wù)外，另一方面還是移動額外附加業(yè)務(wù)提供支撐的平臺。中國移動互聯(lián)網(wǎng)主體網(wǎng)絡(luò)網(wǎng)在網(wǎng)絡(luò)層次從大到小分為：骨干網(wǎng)層、匯接層、一般骨干層、網(wǎng)間互相聯(lián)系的節(jié)點。 （1）首先是骨干層網(wǎng)絡(luò)是連接兩個省級網(wǎng)絡(luò)的重要樞紐。（2）其次是一班骨

13、干層是在省內(nèi)的各個地市之間進行網(wǎng)絡(luò)轉(zhuǎn)換。（3）網(wǎng)絡(luò)間互相聯(lián)系的節(jié)點是利用在網(wǎng)路間建設(shè)節(jié)點路由，使各個地市之間，各個省級之間以及國際網(wǎng)絡(luò)出口可以進行自由的網(wǎng)絡(luò)互通。每個節(jié)點的設(shè)置情況：（1）各個網(wǎng)間負責(zé)互相連接的節(jié)點設(shè)置在北上廣這三個城市。（2) 設(shè)置在省級的城市和一般的直轄市的是一般骨干層。（3) 另外在南京，武漢，成都等城池有各個匯接層的節(jié)點。（4) 骨干核心層節(jié)點主要設(shè)置在國內(nèi)最發(fā)達的北上廣三個城市。1.3 CMNET 的現(xiàn)狀發(fā)展及挑戰(zhàn)的現(xiàn)狀發(fā)展及挑戰(zhàn)在中國，目前有31個省級以上的城市都覆蓋有中國移動互聯(lián)網(wǎng)。中國移動互聯(lián)網(wǎng)主體網(wǎng)6絡(luò)網(wǎng)在網(wǎng)絡(luò)層次從大到小分為：骨干網(wǎng)層、匯接層、一般骨干層、網(wǎng)

14、間互相聯(lián)系的節(jié)點。其中的跨省業(yè)務(wù)是由北京、上海、廣州、成都、等國內(nèi)一流的中心城市負責(zé)，由他們實現(xiàn)省際間的網(wǎng)絡(luò)互通，而省內(nèi)的網(wǎng)絡(luò)信息交流則是由一般的地級城市負責(zé)。正是因為中國移動互聯(lián)網(wǎng)是擁有獨立的并且是公有的區(qū)域，可以分配給各個省一個獨立的私有的區(qū)域進行單獨的管理，并配有獨立的且唯一的賬號進行識別。中國移動互聯(lián)網(wǎng)不斷在與國際接軌，學(xué)習(xí)美國、韓國、日本的相關(guān)技術(shù)體制，并不斷推出新型的業(yè)務(wù)供廣大用戶體驗來提高用戶感知和擴大用戶群體。中國移動互聯(lián)網(wǎng)的典型網(wǎng)絡(luò)拓撲圖如下所示：圖 11.3.1 業(yè)務(wù)項目中國移動互聯(lián)網(wǎng)技術(shù)現(xiàn)在提供的業(yè)務(wù)有：資源重組及出租類業(yè)務(wù)、網(wǎng)絡(luò)互聯(lián)接入業(yè)務(wù)、語音撥號業(yè)務(wù)、信息咨詢服務(wù)類

15、業(yè)務(wù)。自從2009年移動陸續(xù)推出了飛信、139郵箱、移動MM、以及移動微博等與時俱進的業(yè)務(wù)，極大的豐富了CMNET網(wǎng)絡(luò)。 網(wǎng)絡(luò)互聯(lián)接入業(yè)務(wù)是中國移動通過無線，GPRS等技術(shù)手7段為用戶提供安全快捷的一站式上網(wǎng)服務(wù)，在網(wǎng)絡(luò)飛速發(fā)展的今天，此項技術(shù)給用戶帶來了很大的便捷，各種移動終端已經(jīng)離不開網(wǎng)絡(luò)的服務(wù)。語音類業(yè)務(wù)主要是指中國移動互聯(lián)網(wǎng)能夠提供基本的語音通話撥號業(yè)務(wù)。這其中主要包含主叫顯示、呼叫等待、呼叫保持、語音信箱、會議電話等多種語音通信服務(wù)。信息咨詢服務(wù)類業(yè)務(wù)主要是指中國移動互聯(lián)網(wǎng)可以為用戶提供多種便捷實用的增值服務(wù)。這其中包括語音平臺12580提供的種種咨詢服務(wù)，如彩鈴更換、問路、移動打的

16、服務(wù)、公交路線查詢等等，以及基于中國移動互聯(lián)網(wǎng)的夢網(wǎng)彩信、夢網(wǎng)短信、各種SP服務(wù)商提供的點播業(yè)務(wù)、手機視頻及手機游戲等業(yè)務(wù)。這些都是極大的豐富了這個網(wǎng)絡(luò)體系，同時也是移動利潤的中流砥柱。資源的出租類業(yè)務(wù)是指移動通過對現(xiàn)有網(wǎng)絡(luò)資源的出租來實現(xiàn)雙贏，這樣不僅能使第三方公司可以得到優(yōu)質(zhì)的資源，同時對于用戶來說這也能夠獲得更好的服務(wù)。 1.3.2 未來發(fā)展依據(jù)互聯(lián)網(wǎng)的發(fā)展模式，移動互聯(lián)網(wǎng)在今后還會慢慢的滲透到我國國民經(jīng)濟的各個部門，也將對人類的生活還有生產(chǎn)的方式產(chǎn)生深刻的影響，不斷推進社會科技化的演變歷程。所以，將來的移動互聯(lián)網(wǎng)還會是“點對點透明性”的體系結(jié)構(gòu)，它的技術(shù)核心依然是會注重資源的開放性，用

17、戶平等性，管理的差異性，同時也會更關(guān)注用戶的自主意愿和網(wǎng)絡(luò)的交互性的功能，未來的移動互聯(lián)網(wǎng)會將用戶帶到一個自由和諧的虛擬網(wǎng)絡(luò)社會，而這個虛擬社會將會是更加安全可信的，具有更好的服務(wù)質(zhì)量的。依據(jù)上面移動互聯(lián)網(wǎng)的建設(shè)方案，今后各個運營商之間的核心競爭將主要體現(xiàn)在對網(wǎng)絡(luò)資源的占有量上，這其中包含網(wǎng)絡(luò)內(nèi)容、用戶群體以及傳輸速率。作為中國移動IP專用的承載網(wǎng)的移動城域網(wǎng)，可以直接給用戶提供相應(yīng)的互聯(lián)網(wǎng)業(yè)務(wù)。業(yè)務(wù)的核心在于對多種移動互聯(lián)網(wǎng)業(yè)務(wù)的接入和承載，主要工作是給中國移動專網(wǎng)和CMNET骨干網(wǎng)絡(luò)輸送業(yè)務(wù)。所以，大力發(fā)展城域網(wǎng)已經(jīng)成為CMNET今后的必然發(fā)展趨勢，也是中國移動今后戰(zhàn)略發(fā)展的需要，同時這也

18、是中國移動向業(yè)務(wù)技術(shù)運營商的領(lǐng)頭羊進軍邁出的堅實的一步，可以提高自身的市場占有率和競爭力。只有現(xiàn)階段不斷積累城域網(wǎng)的運營管理經(jīng)驗，才可以為承載即將普及的3G、LTE技術(shù)打下夯實的底子。 繼續(xù)以發(fā)展集團專線為重點，盡管我國專線上網(wǎng)用戶、專線上網(wǎng)計算機首次出現(xiàn)了負增長，但是目前擁有網(wǎng)絡(luò)的企業(yè)還只占少部分，多數(shù)企業(yè)信息化應(yīng)用還處于單機應(yīng)用為主的狀8況，信息的共享程度不高，市場空間仍然很大，移動運營商仍然掌握數(shù)量龐大的移動集團客戶。因此要更牢固地綁定現(xiàn)有集團客戶，爭取發(fā)展更多集團客戶，集團客戶IP專線接入無疑將是有力輔助手段。集團客戶是收入的主要來源，對帶寬和業(yè)務(wù)多樣性的需求較大，從單一業(yè)務(wù)的提供到全

19、業(yè)務(wù)運營客觀上為中國移動提供了大量的機會。有條件地發(fā)展寬帶用戶，如前所述，在網(wǎng)民總數(shù)繼續(xù)保持增長的情況下，使用專線及撥號上網(wǎng)網(wǎng)民數(shù)量呈現(xiàn)持續(xù)下降趨勢，而寬帶網(wǎng)民數(shù)依舊保持高速增長；因此，結(jié)合IP城域網(wǎng)的建設(shè)，在條件允許的小區(qū)發(fā)展寬帶接入用戶，提供綜合業(yè)務(wù)，縮小和其它運營商的力量差距，是CMNET業(yè)務(wù)發(fā)展的必然選擇。這是一個長期的過程，需要持續(xù)的投入。1.4 內(nèi)蒙古移動內(nèi)蒙古移動網(wǎng)絡(luò)現(xiàn)狀網(wǎng)絡(luò)現(xiàn)狀中國移動內(nèi)蒙古公司現(xiàn)有 CMNET 骨干網(wǎng)節(jié)點路由器 2 臺，型號為 Juniper M320，到北京和西安帶寬各為 4*10G POS，M320 之間互聯(lián)帶寬為 3*10GE。中國移動內(nèi)蒙古公司現(xiàn)有CM

20、NET 省網(wǎng)路由器兩臺，型號為華為 NE5000E，兩臺 NE5000E 以口字形方式上行到骨干網(wǎng)節(jié)點 M320 路由器，上行帶寬為 4*10G POS，互聯(lián)帶寬為 4*10GE。12 個盟市各有 2 臺 NE80E 作為核心路由器，其中呼和浩特 2 臺 NE80E 分別以2*10Gpos 鏈路上聯(lián)至區(qū)公司 NE5000E，并且以 2*10GE 鏈路互聯(lián)；包頭、呼倫貝爾、通遼、赤峰、烏蘭察布、鄂爾多斯、巴彥淖爾等 7 個盟市每臺 NE80E 分別以 1*10Gpos 鏈路上聯(lián)至區(qū)公司 NE5000E，并且以 1*10GE 鏈路互聯(lián)；興安盟、錫盟、烏海、阿盟 4 個盟市每臺NE80E 分別以 1

21、*2.5G+155M 鏈路上聯(lián)至區(qū)公司 NE5000E，并且以 2*GE 鏈路互聯(lián)。區(qū)公司在移動一樞紐現(xiàn)有 2 臺 NE80E、移動二樞紐現(xiàn)有 2 臺 NE40E、網(wǎng)通二樞紐現(xiàn)有1 臺 NE40E 作為區(qū)公司核心路由器，移動一樞紐 2 臺 NE80E 分別以 2*10Gpos 鏈路上聯(lián)至區(qū)公司 NE5000E，并且以 2*10GE 鏈路互聯(lián)，移動二樞紐 2 臺 NE40E 分別以 1*10Gpos 鏈路上聯(lián)至區(qū)公司 NE5000E，并且以 1*10GE 鏈路互聯(lián)，網(wǎng)通二樞紐 1 臺 NE40E 以 1*2.5G 鏈路上聯(lián)至區(qū)公司一樞紐 NE5000E，以 1*GE 鏈路上聯(lián)至區(qū)公司移動二樞紐

22、NE5000E。1.5 問題的分析問題的分析 隨著互聯(lián)網(wǎng)業(yè)務(wù)的飛快發(fā)展，移動的業(yè)務(wù)平臺已經(jīng)開始承受越來越大的壓力，一方面新興的各種互聯(lián)網(wǎng)業(yè)務(wù)如移動微博、號簿管家、移動郵箱等對網(wǎng)絡(luò)流量的需求越來越大，現(xiàn)有設(shè)備以及系統(tǒng)已經(jīng)很難滿足這方面的要求，這對省際網(wǎng)絡(luò)交換的以及省內(nèi)各個地市之間的網(wǎng)9絡(luò)互聯(lián)又提出了新的挑戰(zhàn)，不僅要對現(xiàn)有網(wǎng)絡(luò)帶寬以及系統(tǒng)進行擴容，同時也要對新的系統(tǒng)提出更多的功能性的要求。既要滿足現(xiàn)有網(wǎng)絡(luò)流量的承載能力，也要具有前瞻性可以保證近期互聯(lián)網(wǎng)業(yè)務(wù)迅猛發(fā)展所帶來的網(wǎng)絡(luò)流量激增，同時也要有一套完善的流量監(jiān)控以及控制體系來保證系統(tǒng)的正常運行，并對現(xiàn)有數(shù)據(jù)進行分析來統(tǒng)計互聯(lián)網(wǎng)用戶使用情況，并對互

23、聯(lián)網(wǎng)業(yè)務(wù)發(fā)展進行預(yù)測。另外，如今的互聯(lián)網(wǎng)業(yè)務(wù)的公開性方便用戶的同時，也造成了很大的安全隱患。網(wǎng)絡(luò)攻擊者在對傳統(tǒng)網(wǎng)絡(luò)發(fā)起攻擊的同時，也將移動互聯(lián)網(wǎng)設(shè)成他們進攻的目標(biāo)。尤其是現(xiàn)在智能手機當(dāng)中的很多應(yīng)用，都出現(xiàn)過被攻擊的事情，這不僅引起了用戶的注意，同時作為普遍的移動互聯(lián)網(wǎng)的安全問題，不但是牽制了新興互聯(lián)網(wǎng)業(yè)務(wù)的正常發(fā)展，同時也涉及了國家網(wǎng)絡(luò)信息安全的問題。很多的互聯(lián)網(wǎng)應(yīng)用都可以輕易的獲得用戶的個人信息甚至是隱私，這也對中國移動互聯(lián)網(wǎng)的安全機制發(fā)起了挑戰(zhàn)。在現(xiàn)有的系統(tǒng)如果想要承載更多更開放的互聯(lián)網(wǎng)業(yè)務(wù)，必須要保證用戶使用的是安全可靠的網(wǎng)絡(luò)。 伴隨著互聯(lián)網(wǎng)業(yè)務(wù)的迅猛發(fā)展，基于 P2P 的流媒體系統(tǒng)應(yīng)用

24、將更多的通信負載帶給了互聯(lián)網(wǎng)，在通常的緩存方案中，當(dāng)在距離用戶最近的服務(wù)器上沒有用戶要訪問的文件時，無論該文件是不是被瀏覽過，都會把這個文件的緩存放到最近的服務(wù)器上，然而在實際運用中，這種緩存方案不能夠輕易地對復(fù)雜的實際情況做出正確的調(diào)整，這樣就會減少緩存的命中率。特別是像 P2P 這樣的流媒體應(yīng)用，其中所包含的文件容量一般都是比較大，這也很難發(fā)揮網(wǎng)絡(luò)緩存的效率，這樣一來，對于移動互聯(lián)網(wǎng)來說，基于 P2P 的緩存機制也亟待完善。10第第 2 章章 CMNET 流量分析與控制系統(tǒng)流量分析與控制系統(tǒng)2.1 方案概況方案概況隨著網(wǎng)絡(luò)技術(shù)的發(fā)展、終端的豐富、平臺應(yīng)用的多樣化，未來業(yè)務(wù)類型更加豐富，新型

25、業(yè)務(wù)呈現(xiàn)高帶寬、高可靠性、實時性、互動性等特征。實時視頻、在線游戲、遠程控制、物聯(lián)網(wǎng)等業(yè)務(wù)不斷涌現(xiàn)，而業(yè)務(wù)發(fā)展帶來的流量壓力巨大。2011 到 2016 年全球移動數(shù)據(jù)流量預(yù)測如下圖所示：圖 2數(shù)據(jù)流量如此巨大的增幅，一方面對運營商承載網(wǎng)絡(luò)提出了新的要求，承載網(wǎng)絡(luò)不僅需要傳送更多的數(shù)據(jù)量，更需要不斷提升響應(yīng)速度和服務(wù)質(zhì)量，增強用戶黏性和應(yīng)用體驗。另一方面又給整個格局帶來新的產(chǎn)業(yè)形態(tài)和分工協(xié)作，以視頻、搜索、音樂、支付、游戲平臺等為主業(yè)的經(jīng)營主體大量出現(xiàn)，全新的多邊市場運營模式不斷產(chǎn)生。在傳統(tǒng)的運營模式中，運營商通過與 SP 合作提供廣泛的內(nèi)容和服務(wù)，SP 通過運營商的增值接口接入，用戶通過11

26、通信費，包括手機費、寬帶費等對服務(wù)進行付費，最后運營商和 SP 根據(jù)合同對收入分成，占主導(dǎo)地位的仍是運營商。而隨著谷歌、蘋果、騰訊等終端廠商和信息服務(wù)提供商通過以用戶為中心的服務(wù)創(chuàng)新能力，發(fā)展成為產(chǎn)業(yè)鏈最具活力和競爭力的環(huán)節(jié)，以蘋果 iPhone 為代表的 App Store 網(wǎng)商店模式為例，蘋果公司主導(dǎo)移動內(nèi)容服務(wù)市場，通過開放的平臺吸引了 35 款應(yīng)用，下載數(shù)突破百億，2010 年蘋果利潤達到 140 億美元，運營商逐漸失去對業(yè)務(wù)和利潤的控制，運營商與消費者的系同步弱化。當(dāng)終端、平臺、內(nèi)容制造商在賺得盆滿缽滿的同時，原本極其強勢的運營商由于無法推出更具吸引力的產(chǎn)品和服務(wù)而開始喪失對客戶的控

27、制權(quán)，只變成了一個獲得低利潤的管道工。在傳統(tǒng)電信業(yè)務(wù)時代，運營商主要是話務(wù)量經(jīng)營，語音折算為分鐘數(shù)，短信折算為條數(shù)，擴大話務(wù)量規(guī)模是唯一的價值提升手段。而在互聯(lián)網(wǎng)時代，流量經(jīng)營是以聚合平臺和智能管和為基礎(chǔ)，以提升網(wǎng)絡(luò)承載流量、提升流量區(qū)分層次、豐富流量內(nèi)涵為經(jīng)營方向，最終以提升流量價值為目的的一系列措施和策略的集合。流量經(jīng)營要達到的三個層次如下：1） 流量規(guī)模：如何提升流量規(guī)模是經(jīng)營上的一個重要課題，同時，流量規(guī)模與網(wǎng)絡(luò)預(yù)算之間保持平衡也是后端部門最為關(guān)注的課題，流量規(guī)模是流量經(jīng)營的重要方向之一。2） 流量可控：是針對流量的策略控制，為用戶提供個性化服務(wù)。3） 流量價值：讓流量可控的目的是要讓

28、可控的流量帶來增量的收入。當(dāng)然，價值流量仍然需要提升流量規(guī)模。流量經(jīng)營只是商業(yè)構(gòu)想，背后需要能力的有力支撐。而這集中體現(xiàn)為智能管道，根據(jù)以上流量經(jīng)營的理念，智能管道的操作步驟如下：第一，具備感知能力。對業(yè)務(wù)感知，一是對傳統(tǒng)業(yè)務(wù)影響比較大的，如 MSN、QQ 等及時通信類業(yè)務(wù)，如 KIK 類微信類業(yè)務(wù)；二是對占用流量大的，如網(wǎng)頁視頻廣告類、視頻類服務(wù)、三維地圖類、大型游戲類；三是安全性要求高的，如電子商務(wù)類；四是普通游覽類；五是其它類。目前，深度包檢測（DPI）技術(shù)，全稱是“Deep Packet Inspection”，是一種針對應(yīng)用層的技術(shù)，“深度”是相對于普通報文分析層次而言，普通報文僅僅

29、分析 IP 包的源地址、目的地址、源端口、目的端口以及協(xié)議類型等 4 層以下的內(nèi)容，深度報文分析其主要是分析 IP 報文的 4-7 層。DPI 系統(tǒng)具備使用分析、12流量優(yōu)化、安全業(yè)務(wù)、業(yè)務(wù)分級和訪問控制、基于內(nèi)容收費、高級業(yè)務(wù)支持等 6 個關(guān)鍵功能。它能更精細地識別網(wǎng)絡(luò)中的各種應(yīng)用，區(qū)分不同的業(yè)務(wù)。另外還需感知用戶、感知流量等，主要通過終端管理系統(tǒng) DM、用戶識別技術(shù)以及網(wǎng)管系統(tǒng)等實現(xiàn)。第二，定標(biāo)準(zhǔn)和策略控制技術(shù)，包括接口標(biāo)準(zhǔn)、收費標(biāo)準(zhǔn)、收費方式、管理標(biāo)準(zhǔn)、安全標(biāo)準(zhǔn)。具體包括定義優(yōu)先級策略，即根據(jù)業(yè)務(wù)需求，同時結(jié)合網(wǎng)絡(luò)、用戶、業(yè)務(wù)等多個維度，進行動態(tài)資源調(diào)整，根據(jù)定義好的優(yōu)先級策略，動態(tài)調(diào)整

30、業(yè)務(wù)的 QOS；契約關(guān)系改變，即根據(jù)不同的業(yè)務(wù)類型、用戶類型采取不同的計費費率、以及流量、時長等不同的計費方式。例如，運營商通過發(fā)布的應(yīng)用中設(shè)置流標(biāo)記，擁有此標(biāo)記的業(yè)務(wù)應(yīng)用的流量能夠被檢測，并具備加速、QOS 保障、流量打折等特點。目前，移動網(wǎng)的主要是3GPP 在 R7 版本中提出了 PCC 架構(gòu)，通過該架構(gòu)實現(xiàn)網(wǎng)絡(luò)檢測不同的業(yè)務(wù)流，實現(xiàn)時間、用戶等級、累計流量、區(qū)域、使用時長、帶寬、業(yè)務(wù)類型等各個維度的控制，以精細化的運營占據(jù)價值鏈的一席之地。固網(wǎng)方面，BBF、TISPAN、ITU 分別制定了BPCF、RACS、RACF 等策略控制體系，但目前只有 RACS 較為成熟和完善。第三，搭建開放平

31、臺，以用戶為中心的，搭建一個開放、公平的平臺，讓用戶享受到最好的應(yīng)用和最好的技術(shù)。同時面向合作伙伴，具備開放的、標(biāo)準(zhǔn)的能力界面。目前應(yīng)用平臺已有中國電信的天翼空間、中國移動的 MM （Mobile Market） 應(yīng)用商店和中國聯(lián)通的 UniStore 等為代表。應(yīng)用平臺策略效果不是很理想，主要是運營商選擇了自己在應(yīng)用商城上打拼，而較少與應(yīng)用開發(fā)商進行合作，以致于運營商的渠道得不到拓寬，業(yè)務(wù)應(yīng)用不夠吸引用 戶，效果也就不太明顯。本文將為中國移動內(nèi)蒙古公司CMNET流量分析與控制系統(tǒng)討論可行性方案，近幾年來，隨著中國移動通信集團內(nèi)蒙古有限公司（以下簡稱“內(nèi)蒙古移動”）CMNET網(wǎng)絡(luò)的迅速發(fā)展，越

32、來越多類型的網(wǎng)絡(luò)應(yīng)用出現(xiàn)。新業(yè)務(wù)的出現(xiàn)，為網(wǎng)絡(luò)的發(fā)展帶來了機遇也帶來了挑戰(zhàn)。在增長速度方面，網(wǎng)絡(luò)流量的增長已經(jīng)遠遠超過了用戶群體的增加，所以移動互聯(lián)網(wǎng)絡(luò)帶寬擴容變得越來越迫切。要更好地了解中國移動內(nèi)蒙古公司網(wǎng)絡(luò)中各類業(yè)務(wù)的具體情況，對網(wǎng)絡(luò)進行精細化管理，中國移動內(nèi)蒙古公司需要在各級出口鏈路部署流量監(jiān)控設(shè)備。通過對中國移動內(nèi)蒙古公司CMNET網(wǎng)絡(luò)流量進行分析，可以掌握VoIP（模擬信號數(shù)字化）應(yīng)用、P2P應(yīng)用、共享接入等應(yīng)用在網(wǎng)絡(luò)中的使用和分布情況，對移動用戶的行為及終端類型進行13分析，以便更好的對網(wǎng)絡(luò)流量進行精細化管理，提升業(yè)務(wù)收入。2.2 系統(tǒng)現(xiàn)狀系統(tǒng)現(xiàn)狀目前內(nèi)蒙古移動CMNET國干路由器

33、配置了兩臺Juniper M320，兩臺路由器到北京和西安帶寬各為210G POS鏈路，M320之間互聯(lián)帶寬為210G POS鏈路。CMNET省網(wǎng)路由器配置了兩臺華為NE5000E，兩臺路由器以口字形方式上行到國干M320路由器上，上行帶寬和互聯(lián)帶寬均為210G POS鏈路。兩臺NE5000E路由器至第三方業(yè)務(wù)系統(tǒng)兩臺Eudemon 8080E防火墻的帶寬均為110G POS。內(nèi)蒙古移動CMNET系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)情況如圖3所示。內(nèi)圖 3 內(nèi)蒙古移動CMNET系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)示意圖2.2.1 目前存在的問題當(dāng)前，移動網(wǎng)絡(luò)逐步走向IP化、寬帶化，移動通信與互聯(lián)網(wǎng)日漸融合。在內(nèi)蒙古移動為用戶提供更加豐富多彩

34、的業(yè)務(wù)的同時，移動業(yè)務(wù)以及計費支撐系統(tǒng)面臨著一系列新的挑戰(zhàn)。同時，目前在CMNET核心路由器至鐵通及第三方系統(tǒng)的防火墻上做了大量的封堵非法IP地址的工作，大大降低了設(shè)備的工作性能，內(nèi)蒙古移動為了能夠在產(chǎn)業(yè)鏈中保持住自己的主體地位，以逃避邊緣化的危險，急切的需要把握移動互聯(lián)網(wǎng)中的各種應(yīng)用服務(wù)以及業(yè)務(wù)，急切地需要互聯(lián)網(wǎng)中對網(wǎng)絡(luò)流量的分析及控制，達到對業(yè)務(wù)類別的區(qū)分，從而對中國移動互聯(lián)網(wǎng)中新興的業(yè)務(wù)進行安全的流量控制和14管理。移動網(wǎng)絡(luò)的不斷發(fā)展和開放，給內(nèi)蒙古移動帶來的不僅是有帶寬資源被利用的危險，隨著各種應(yīng)用軟件對用戶信息的采集、逐步普及的網(wǎng)絡(luò)攻擊及破譯技術(shù)，這些最終都會威脅用戶的個人隱私并干擾

35、網(wǎng)絡(luò)的安全性，這也使得安全管理移動網(wǎng)絡(luò)變得更難，成本更高，包括：無監(jiān)管的VoIP業(yè)務(wù)和無法控制的P2P應(yīng)用。此外，在CMNET到第三方系統(tǒng)的防火墻E8080E上，做了近10000條ACL訪問控制策略，以實現(xiàn)集團要求的不良網(wǎng)站IP地址的封堵工作。從目前來看，所需封堵的IP還在不斷增加，如果繼續(xù)使用防火墻來完成此項工作將大量占用設(shè)備資源，影響設(shè)備性能，所以迫切的需要建立一套獨立的分析控制系統(tǒng)來完成此部分工作，從而提高設(shè)備的利用率。2.3 方案方案探討探討2.3.1 方案概述通過分光器及光纖放大器設(shè)備對省出口和至第三方出口的鏈路進行分光，將10G POS鏈路的流量復(fù)制一份到SIG前臺系統(tǒng)。2臺SIG

36、9280E分別部署在移動一樞紐和移動二樞紐兩個節(jié)點，實現(xiàn)數(shù)據(jù)的采集和處理，然后將分析后的數(shù)據(jù)上報到本期在移動二樞紐新增的后臺管理服務(wù)器群，同時按照管理中心下發(fā)的策略對共享接入、VOIP、P2P等行為控制以及執(zhí)行Web頁面推送等動作。2.3.2 設(shè)計目標(biāo)對移動互聯(lián)網(wǎng)中的網(wǎng)絡(luò)流量進行深入的分析，并為互聯(lián)網(wǎng)業(yè)務(wù)提供網(wǎng)絡(luò)和系統(tǒng)支撐，通過對網(wǎng)絡(luò)流量的分布以及使用情況的深入分析，來預(yù)測用戶的使用習(xí)慣、對心業(yè)務(wù)的感知以及相關(guān)業(yè)務(wù)未來的發(fā)展方向等。一方面可以根據(jù)不同用戶群體的網(wǎng)絡(luò)資源使用情況的不同來定制相應(yīng)的符合其習(xí)慣的應(yīng)用，另一方面也可以根據(jù)流量發(fā)展趨勢圖來規(guī)劃未來的網(wǎng)絡(luò)擴容計劃。同時如果網(wǎng)絡(luò)有安全或者擁堵

37、問題可以直觀的實時發(fā)現(xiàn)，更快的將問題解決，實現(xiàn)對網(wǎng)絡(luò)的全方位監(jiān)控。本方案計劃對中國移動內(nèi)蒙古公司CMNET網(wǎng)絡(luò)進行監(jiān)控，達到的目標(biāo)如下：（1）網(wǎng)絡(luò)及用戶可視化：流量流向分析、用戶行為分析等。（2）業(yè)務(wù)控制：虛擬運營VoIP檢測與控制、共享接入監(jiān)控、P2P控制和不良網(wǎng)站封堵等。2.3.3 網(wǎng)絡(luò)結(jié)構(gòu)15根據(jù)CMNET網(wǎng)絡(luò)現(xiàn)狀情況，本方案在CMNET網(wǎng)絡(luò)省網(wǎng)出口處4條10G POS鏈路、CMNET省網(wǎng)核心設(shè)備至第三方防火墻的2條10G POS鏈路上部署流量監(jiān)控設(shè)備，網(wǎng)絡(luò)結(jié)構(gòu)如圖4所示。圖 4 CMNET流量分析與控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)示意圖2.4 系統(tǒng)完成功能系統(tǒng)完成功能本方案中將系統(tǒng)功能分為4個部分，分

38、別是：流量分析功能，流量控制功能和VOIP監(jiān)控與干擾功能和不良網(wǎng)站封堵功能。2.4.1 流量分析（1）識別業(yè)務(wù)類別的能力（2）對流量進行分析統(tǒng)計，對用戶使用情況進行統(tǒng)計。（3）要使用DPI和DFI技術(shù)，同時要支持序列化累計，流量特征等識別技術(shù)。（4）至少要適用VLAN、MPLS封裝。要支持各種封裝格式適應(yīng)各種錯綜復(fù)雜的網(wǎng)絡(luò)環(huán)境16（5）可以提供省際間和各個運營商之間的網(wǎng)絡(luò)互通的流量監(jiān)控，并可以對各個省級地市節(jié)點的流量轉(zhuǎn)接實施流量監(jiān)控。（6）各種互聯(lián)網(wǎng)業(yè)務(wù)的識別能力，要支持飛信語聊，飛信視頻，飛信短信，網(wǎng)絡(luò)視頻點播，手機郵箱等多種實時的即時溝通。（7）支持多種互聯(lián)網(wǎng)業(yè)務(wù)的體制上還要實現(xiàn)對小業(yè)務(wù)的

39、精確服務(wù)，如基于網(wǎng)絡(luò)視頻點播的優(yōu)酷土豆、愛奇藝等，基于網(wǎng)絡(luò)電視流媒體的PPS，基于網(wǎng)絡(luò)下載業(yè)務(wù)的迅雷、電驢、快車等。細化到小業(yè)務(wù)可以更好的為用戶分級，提供差異化的優(yōu)質(zhì)服務(wù)。（8）系統(tǒng)不是建立在某個信令協(xié)議的基礎(chǔ)上，可以對各種語音流媒體進行分析識別。（9）可以不間斷的追蹤網(wǎng)絡(luò)軟件的發(fā)展以及使用情況，實現(xiàn)標(biāo)準(zhǔn)化的流程，從而可以從容應(yīng)對未來新興的移動互聯(lián)網(wǎng)絡(luò)應(yīng)用。（10） 用戶群組劃分（11） 用戶群組劃分（12） 以IP地址段按類別定義用戶群組。（13） 基于源/目的網(wǎng)絡(luò)設(shè)備IP地址，監(jiān)測特定設(shè)備流入/流出流量，并提供其流向、協(xié)議、應(yīng)用分布。（14） 支持各種過濾和查詢條件，支持各類圖形和表格，支

40、持統(tǒng)計報表輸出。統(tǒng)計報表應(yīng)能提供對不同時段的統(tǒng)計查詢，包括：（15） 當(dāng)前流量：最近5分鐘的統(tǒng)計值；（16） 任意時段的統(tǒng)計：小時、日、周、月、季度、年、自定義時段等；（17） 統(tǒng)計值包括：平均值、最大值、基線值等。統(tǒng)計報表均以流量曲線圖或餅圖及列表格式顯示，并提供XML、CSV、JPEG等格式的下載功能。報表提供靈活定制功能。已定制報表應(yīng)提供定期自動生成功能。同時系統(tǒng)能提供3年以上的報表存貯功能，以滿足日常運維工作的需要。（18） 支持對異常流量的歷史數(shù)據(jù)統(tǒng)計。（19） 系統(tǒng)具備對所關(guān)心流量進行實時分析能力，可以隨時靈活指定分析條件(要求支17持復(fù)雜邏輯運算),并可依據(jù)所需分析的條件在10秒

41、內(nèi)得到分析結(jié)果。（20） 用戶行為分析系統(tǒng)要支持域名訪問分析，可以對網(wǎng)站進行排名來發(fā)掘熱門站點，還可以分析域名訪問中的其他有價值信息，包括點擊率、訪問網(wǎng)站的具體頻道、訪問的用戶帳號等，通過積累這些附加信息，可以在下列幾個方面做進一步的挖掘嘗試：（21） 搜索關(guān)鍵字分析，要求支持baidu、google、yahoo等主流搜索引擎的關(guān)鍵字分析。（22） 重點業(yè)務(wù)和自有業(yè)務(wù)的深入分析，例如針對WAP、彩信、飛信業(yè)務(wù)等進行分析。2.4.2 流量控制（23） 信息推送，通過主動網(wǎng)頁推送技術(shù)對向用戶發(fā)布通知和告警信息，例如余額告知、優(yōu)惠活動和商業(yè)廣告。（24） 非法共享檢測功能（25） 對用戶報文進行深入

42、分析，完成共享接入檢測功能。（26） 系統(tǒng)支持主動檢測方式，通過使用專有的動態(tài)標(biāo)簽技術(shù)，對用戶主機進行標(biāo)識，即不會影響用戶上網(wǎng)感受，檢測準(zhǔn)確性也較高。（27） 綜合檢測和分析多種用戶上網(wǎng)流量特征，準(zhǔn)確識別用戶下掛主機數(shù)目，不依賴于用戶使用的主機類型和操作系統(tǒng)類型。（28） 系統(tǒng)提供每個用戶帳號準(zhǔn)確的分時段下掛主機數(shù)目分析，分時段按照帳號數(shù)、下掛主機數(shù)進行分析，按照下掛主機數(shù)對帳號進行排名，找出共享比較嚴(yán)重的可疑用戶，進行進一步的管控。（29） 對于可疑共享用戶，系統(tǒng)提供靈活的多層次管控方式，可將需要管控的可疑用戶加入黑名單中，并針對每個用戶或者批量配置管控策略，可提供單純推送警告頁面、按比例隨

43、機干擾上網(wǎng)連接、全面封堵上網(wǎng)連接。并提供按照時段進行管控的能力。（30） 系統(tǒng)支持對于動態(tài)撥號用戶和靜態(tài)IP地址用戶的檢測和封堵操作。（31） 對于不進行管控的用戶，系統(tǒng)應(yīng)提供白名單功能，對于加入白名單的用戶系統(tǒng)不進行任何管控操作。182.4.3 VoIP 監(jiān)控與干擾功能（32） 支持QQ、MSN、Yahoo 、Skype等主流即時通信軟件的語音通話監(jiān)控。（33） 支持黑名單制度，支持對特定號碼及中繼的封堵。2.4.4 不良網(wǎng)站封堵功能支持監(jiān)管用戶的網(wǎng)絡(luò)行為，過濾控制客戶對黃、賭、毒等不良網(wǎng)站的訪問，滿足國家相關(guān)部門的監(jiān)管要求。（34） 非法網(wǎng)站、域名和IP的封堵。（35） 封堵條數(shù)為2萬條以

44、上。第第 3 章章 移動互聯(lián)網(wǎng)移動互聯(lián)網(wǎng)安全機制安全機制3.1 兩網(wǎng)融合帶來新的安全問題兩網(wǎng)融合帶來新的安全問題兩網(wǎng)指的是移動通信網(wǎng)和互聯(lián)網(wǎng)，兩網(wǎng)融合成為移動互聯(lián)網(wǎng)，由此帶來的網(wǎng)絡(luò)與信息安全問題逐漸凸現(xiàn)。移動互聯(lián)網(wǎng)的概念是相對傳統(tǒng)互聯(lián)網(wǎng)而言，強調(diào)可以隨時隨地，并且可以在移動中接入互聯(lián)網(wǎng)并使用業(yè)務(wù)。與此類似的還有無線互聯(lián)網(wǎng)的概念，強調(diào)以無線方式而非同軸、雙絞線和光纖等有線方式接入互聯(lián)網(wǎng)并使用互聯(lián)網(wǎng)業(yè)務(wù)。一般來說，移動互聯(lián)網(wǎng)與無線互聯(lián)網(wǎng)并不完全等同：移動互聯(lián)網(wǎng)強調(diào)使用蜂窩移動通信網(wǎng)接入互聯(lián)網(wǎng)，因此常常特指手機終端采用移動通信網(wǎng)( 如 2G、3Gt 和 E3G) 接入互聯(lián)網(wǎng)并使用互聯(lián)網(wǎng)業(yè)務(wù)；而無線互

45、聯(lián)網(wǎng)強調(diào)接入互聯(lián)網(wǎng)的方式是無線接入，除了蜂窩網(wǎng)外還包括各種無線接入技術(shù)，例如便攜式計算機采用 802.11(Wi-Fi) 技術(shù)接入互聯(lián)網(wǎng)并使用互聯(lián)網(wǎng)業(yè)務(wù)。據(jù)最新資料顯示，中國手機用戶已經(jīng)達到了 7 億人，通過移動終端上網(wǎng)的人數(shù)也已超過 1.5 億人。隨之而來的是短信騷擾、惡意軟件、網(wǎng)絡(luò)詐騙及黃賭毒泛濫。針對智能終端的安全漏洞產(chǎn)生的問題日趨嚴(yán)重，已嚴(yán)重威脅到個人隱私、個人財務(wù)信息的安全，甚至威脅著社會穩(wěn)定和國家安全。3.2 移動互聯(lián)網(wǎng)帶來新的安全問題移動互聯(lián)網(wǎng)帶來新的安全問題權(quán)威數(shù)據(jù)顯示，移動互聯(lián)網(wǎng)駛?cè)肓烁咚侔l(fā)展快車道，中國移動互聯(lián)網(wǎng)市場也已成為擁有全球最多的手機用戶數(shù)和具有最大發(fā)展?jié)摿Φ囊苿踊?/p>

46、聯(lián)網(wǎng)市場。但是，移動互聯(lián)網(wǎng)的信息安全問題也日益凸顯。黑客在對傳統(tǒng)互聯(lián)網(wǎng)服務(wù)發(fā)起挑戰(zhàn)的同時，移動互聯(lián)網(wǎng)也成為了黑客新的攻擊目標(biāo)，特別是 iPhone4 和 iPad 這類如日中天的移動互聯(lián)網(wǎng)服務(wù)，出現(xiàn)被攻擊的案19例，更值得用戶關(guān)注。移動互聯(lián)網(wǎng)的安全問題，不僅影響了移動互聯(lián)網(wǎng)產(chǎn)能釋放和正面價值的發(fā)揮，也牽涉國家和民族信息安全產(chǎn)業(yè)。因此，研究移動互聯(lián)網(wǎng)安全的整體架構(gòu)和安全部署，研究移動互聯(lián)網(wǎng)可能存在的流量攻擊、不健康內(nèi)容等問題，通過安全設(shè)計、安全部署保證移動互聯(lián)網(wǎng)安全，通過監(jiān)控和內(nèi)容過濾的技術(shù)手段，保障相關(guān)內(nèi)容的安全與健康，是擺在人們面前的一些關(guān)鍵問題。移動通信與互聯(lián)網(wǎng)的融合打破了其相對平衡的網(wǎng)絡(luò)

47、安全環(huán)境，大大削弱了通信網(wǎng)原有的安全特性。一方面，由于原有的移動通信網(wǎng)相對封閉、信息傳輸和管理控制平面分離、網(wǎng)絡(luò)行為可溯源、終端的類型單一且非智能，以及用戶鑒權(quán)嚴(yán)格，因此其安全性相對較高，而 IP 化后的移動通信網(wǎng)作為移動互聯(lián)網(wǎng)的一部分，這些安全優(yōu)勢將所剩無幾，“圍墻花園”模式正在逐步瓦解。另一方面，移動互聯(lián)網(wǎng)也是互聯(lián)網(wǎng)的一部分，時刻面臨著互聯(lián)網(wǎng)的種種安全威脅和挑戰(zhàn)，需要及時提升自身的安全防護能力。同時，由于移動用戶數(shù)量眾多、參差不齊，面臨的安全威脅會急劇增加，帶來的安全危害會層出不窮，輕則影響用戶的正常使用，重則影響社會的穩(wěn)定、國家的安全。這些問題具體體現(xiàn)在以下方面： 移動互聯(lián)網(wǎng)環(huán)境下，應(yīng)用

48、更加豐富。從最初的文本瀏覽、下載等方式逐漸對傳統(tǒng)互聯(lián)網(wǎng)形式進行靠攏和融合；移動互聯(lián)網(wǎng)固有的隨身性、身份可識別等特性產(chǎn)生了更加豐富、獨特的業(yè)務(wù)形態(tài)，結(jié)合位置信息、彩信、短信等移動特色的各種服務(wù)將不斷涌現(xiàn)；移動互聯(lián)網(wǎng)逐漸向應(yīng)用類和行業(yè)信息化的方向發(fā)展，移動辦公、移動電子商務(wù)對安全提出了比較高的要求。應(yīng)用威脅包括非法訪問系統(tǒng)、非法訪問數(shù)據(jù)、拒絕服務(wù)攻擊、垃圾信息的泛濫、不良信息的傳播、個人隱私和敏感信息的泄露、內(nèi)容版權(quán)盜用和不合理的使用等問題； 移動互聯(lián)網(wǎng)環(huán)境下，終端的發(fā)展對安全提出了巨大挑戰(zhàn)。終端的智能化，內(nèi)存和芯片處理能力的增強，帶來了非法篡改信息、非法訪問、病毒和惡意代碼新的安全威脅。隨著移動

49、通信技術(shù)和應(yīng)用的演進，移動終端逐漸由通信工具向個人的信息處理中心轉(zhuǎn)變，終端中存載著很多個人信息，一旦丟失或被竊取會造成很大的損失，因此，移動互聯(lián)網(wǎng)必須保護用戶行為及隱私不受干擾； 移動互聯(lián)網(wǎng)所處的環(huán)境也比傳統(tǒng)互聯(lián)網(wǎng)更為復(fù)雜，一方面是威脅的來源以及脆弱性的分布更加廣泛，同時移動互聯(lián)網(wǎng)的使用者對安全性的防護要求也更為多樣化，包括對終端的安全防護，對接入的安全防護，對數(shù)據(jù)機密性、完整性的防護，對拒絕服務(wù)攻擊的抵御，防止利用各種手段產(chǎn)生數(shù)據(jù)包造成網(wǎng)絡(luò)負荷過重，防止利用嗅探工具、系統(tǒng)漏洞、程序漏洞進行攻擊。20綜上所述，移動互聯(lián)網(wǎng)面臨 3 個安全威脅：終端的安全威脅、網(wǎng)絡(luò)的安全威脅和業(yè)務(wù)的安全威脅。不難

50、看出，移動互聯(lián)網(wǎng)安全呈現(xiàn)出兩個發(fā)展趨勢：一是更多的互聯(lián)網(wǎng)應(yīng)用通過移動終端承載，使得移動終端安全成為了新的安全熱點；二是移動電子商務(wù)、移動辦公等新型應(yīng)用對安全提出了更高的要求。3.3 移動互聯(lián)網(wǎng)安全面臨的關(guān)鍵問題移動互聯(lián)網(wǎng)安全面臨的關(guān)鍵問題針對安全威脅，移動互聯(lián)網(wǎng)也有相對應(yīng)的安全機制。因為移動互聯(lián)網(wǎng)接入部分是移動通信網(wǎng)絡(luò)，無論是采用 2G 還是 3G 接入，3GPP( 第三代合作伙伴計劃)、OMA( 開放移動體系架構(gòu))等組織都制定了完善的安全機制1，如下所述： 終端安全機制：終端應(yīng)具有身份認證的功能，具有對各種系統(tǒng)資源、業(yè)務(wù)應(yīng)用的訪問控制能力。對于身份認證，可以通過口令或者智能卡方式、實體鑒別機

51、制等手段保證安全性；對于數(shù)據(jù)信息的安全性保護和訪問控制，可以通過設(shè)置訪問控制策略來保證其安全性；對于終端內(nèi)部存儲的一些數(shù)據(jù)，可以通過分級存儲和隔離，以及檢測數(shù)據(jù)完整性等手段來保證安全性； 網(wǎng)絡(luò)的安全機制：目前，在移動互聯(lián)網(wǎng)接入方面，3G 有一套完整的安全機制。3G 在2G 的基礎(chǔ)上進行了改進，繼承了 2G 系統(tǒng)安全的優(yōu)點，同時針對 3G 系統(tǒng)的新特性，定義了更加完善的安全特征與安全服務(wù)，3G 移動通信網(wǎng)絡(luò)的安全機制包括 3GPP 和 3GPP2 兩個類別； 業(yè)務(wù)的安全機制：對于業(yè)務(wù)方面，3GPP 和 3GPP2 都有相應(yīng)業(yè)務(wù)標(biāo)準(zhǔn)的機制。比如，WAP 安全機制、Presence 業(yè)務(wù)安全機制、定

52、位業(yè)務(wù)安全機制及移動支付業(yè)務(wù)安全機制等，還包括垃圾短消息的過濾機制、防止版權(quán)盜用的 DRM 標(biāo)準(zhǔn)等。移動互聯(lián)網(wǎng)業(yè)務(wù)紛繁復(fù)雜，需要通過多種手段，不斷健全業(yè)務(wù)方面的安全機制。盡管 3GPP 和 OMA 已經(jīng)提供了相應(yīng)的安全機制，但由于它們都是從機制上提出了可供利用的技術(shù)手段，屬于基礎(chǔ)層面。這些機制并未自動解決移動互聯(lián)網(wǎng)安全的整體架構(gòu)和安全部署，移動互聯(lián)網(wǎng)可能存在的流量攻擊、不健康內(nèi)容等關(guān)鍵技術(shù)問題。因此，要面臨的任務(wù)是：研究移動互聯(lián)網(wǎng)安全總體架構(gòu)，設(shè)計移動互聯(lián)網(wǎng)中的安全能力；通過安全算法、安全協(xié)議保證移動互聯(lián)網(wǎng)基礎(chǔ)安全；研究移動互聯(lián)網(wǎng)網(wǎng)絡(luò)監(jiān)控技術(shù)，提高對異常流量、攻擊流量的防控能力；研究內(nèi)容過濾技

53、術(shù)，提高對非法內(nèi)容的管控力度，特別是針對使用點到點(P2P) 及加密方式傳播的不良內(nèi)容的識別、獲取、21分析和控制技術(shù)，并開展內(nèi)容安全管理配套機制研究；研發(fā)移動互聯(lián)網(wǎng)信息安全監(jiān)管試驗系統(tǒng)。3.4 移動互聯(lián)網(wǎng)安全應(yīng)對策略移動互聯(lián)網(wǎng)安全應(yīng)對策略在人類發(fā)展的歷史中，我們曾通過建城堡、長城這樣的機制來進行防御，隨著人類社會的發(fā)展，人口增加、社會經(jīng)濟活動范圍擴大，原來建城堡、修長城的方式已無法提供良好的安全保障了。同樣，從移動互聯(lián)網(wǎng)安全的新挑戰(zhàn)可以看到，移動互聯(lián)網(wǎng)中將大量采用分布式的網(wǎng)絡(luò)結(jié)構(gòu)，隨著智能終端的廣泛應(yīng)用和業(yè)務(wù)種類的增多，傳統(tǒng)建城堡、修長城的網(wǎng)絡(luò)安全機理將面臨成本、效率等各種問題，我們需要一些

54、新的機制來保障安全性。目前對于移動互聯(lián)網(wǎng)安全方面的研究才剛剛起步，本文依據(jù)對移動互聯(lián)網(wǎng)安全挑戰(zhàn)分析以及當(dāng)前研究現(xiàn)狀，提出作者認為在移動互聯(lián)網(wǎng)安全設(shè)計時應(yīng)當(dāng)考慮的問題。3.4.1 以服務(wù)方式提供統(tǒng)一的身份管理及認證移動聯(lián)網(wǎng)具有用戶角色不惟一（普通訪問者、資源提供者、應(yīng)用開發(fā)者等）、終端異構(gòu)性、應(yīng)用多樣性特點。在移動互聯(lián)網(wǎng)中，身份管理的意義可進一步延伸到更廣泛的 ID，包括智能終端 ID，用戶 ID，應(yīng)用 ID 等。同時，認證也不再限于系統(tǒng)對用戶的認證，還包括“用戶智能終端”，“智能終端智能終端”，“用戶智能終端應(yīng)用”等更復(fù)雜的認證需求。由各個應(yīng)用系統(tǒng)提供獨立的身份管理和認證已經(jīng)不能滿足需求，亟待

55、實現(xiàn)一種以服務(wù)方式提供的統(tǒng)一身份管理和認證機制。在移動互聯(lián)網(wǎng)中，可以把身份管理和認證作為網(wǎng)絡(luò)提供的安全服務(wù)之一， 實現(xiàn)對上述多種類型 ID 的統(tǒng)一分配、存儲和管理，提出適合于移動互聯(lián)網(wǎng)的節(jié)點認證服務(wù)模型以及相關(guān)的流程和協(xié)議，實現(xiàn)單點登錄以及節(jié)點間認證信息的安全傳遞。另外，這種安全服務(wù)形式能夠進一步將節(jié)點認證與 ID 分配結(jié)合，以實現(xiàn)用戶單點接入享受全網(wǎng)服務(wù)， 單用戶多終端接入，享受統(tǒng)一用戶體驗。這種統(tǒng)一的節(jié)點認證也利于業(yè)務(wù)創(chuàng)新和透明計費。3.4.2 等級的數(shù)據(jù)安全傳輸互聯(lián)網(wǎng)環(huán)境下， 由于數(shù)據(jù)量遠大于傳統(tǒng)網(wǎng)絡(luò)， 如果借鑒傳統(tǒng)的點到點數(shù)據(jù)安全機制在每兩點之間都建立 TLS 或 IPSec 安全通道

56、， 可能會存在時延和計算開銷較大的情況， 不利于保證實時性及提高網(wǎng)絡(luò)性能。同時，節(jié)點間交互的信息包括控制、路由、管理以及業(yè)務(wù)數(shù)據(jù)信息，這些信息需要不同等級的安全保護。在移動互聯(lián)網(wǎng)數(shù)據(jù)安全方面，需要研究提供不同安全等級的、可滿足移動互聯(lián)網(wǎng)要求的數(shù)據(jù)通信安全通道，提供機密性、消息認證、完22整性保障?？梢栽谕ㄟ^節(jié)點認證后，節(jié)點獲取安全通道加解密密鑰，憑借密鑰加入相應(yīng)的安全通道。數(shù)據(jù)在安全通道中進行傳輸達到確保數(shù)據(jù)安全的目的。3.4.3 用戶自定義的細粒度訪問控制著云服務(wù)與移動互聯(lián)網(wǎng)的結(jié)合，更多的用戶將個人信息和數(shù)據(jù)在云中存儲和共享，這對用戶隱私保護提出更高的要求。同時，海量異構(gòu)終端接入移動互聯(lián)網(wǎng)并

57、獲取服務(wù)，有必要通過訪問控制保證合法終端的服務(wù)質(zhì)量，保障網(wǎng)絡(luò)帶寬、服務(wù)器不受到來自惡意終端的非法占用和攻擊。另外，為了降低第三方開發(fā)者應(yīng)用開發(fā)門檻，移動互聯(lián)網(wǎng)有必要以安全服務(wù)的形式提供訪問控制能力，當(dāng)?shù)谌介_發(fā)應(yīng)用時無須再設(shè)計自己單獨的訪問控制系統(tǒng)，而是可以直接調(diào)用系統(tǒng)提供的訪問控制能力，經(jīng)過簡單的個性化配置即可投入運營。傳統(tǒng)的MAC，DAC，RBAC 等訪問控制模型， 由于其或者粗粒度、或者開銷大、效率低等缺點，已經(jīng)無法滿足移動互聯(lián)網(wǎng)對安全的需求。在設(shè)計移動互聯(lián)網(wǎng)訪問控制機制時，需要綜合考慮時間、地點、終端能力、網(wǎng)絡(luò)流量等上下文因素，并提供用戶、應(yīng)用能夠自定義訪問權(quán)限、訪問粒度的，適合移動互

58、聯(lián)網(wǎng)新業(yè)務(wù)環(huán)境下的訪問控制模型。通過提供統(tǒng)一的策略管理，分布式策略實施的用戶可自定義的細粒度權(quán)限分配管理方案，防止特權(quán)用戶濫用權(quán)限，滿足職權(quán)分離要求等。3.4.4 節(jié)點自免疫由于移動互聯(lián)網(wǎng)的全 IP 化趨勢，網(wǎng)絡(luò)邊界將擴展到智能終端層面。根據(jù)第二章安全威脅的介紹，由于智能終端的安全防護能力薄弱， 終端本身操作系統(tǒng)、防病毒軟件可能存在安全漏洞，更容易遭受病毒感染或入侵威脅。移動互聯(lián)網(wǎng)網(wǎng)絡(luò)對智能終端的安全保護能力有限，可以考慮通過終端中間件、智能網(wǎng)關(guān)等途徑，在智能終端上或其本地提供一定的攻擊檢測和防御能力，對智能終端實現(xiàn)安全保護。對于自身軟硬件條件較好的終端設(shè)備，可以在終端上安裝終端中間件；對于自

59、身軟硬件條件較差的終端設(shè)備，則可以通過智能網(wǎng)關(guān)實現(xiàn)本地的安全防護。以上兩種情況，我們統(tǒng)稱為終端節(jié)點自免疫。此處終端節(jié)點是指能夠?qū)崿F(xiàn)自免疫功能的智能終端或智能網(wǎng)關(guān)。具體實現(xiàn)上，可以通過分析移動互聯(lián)網(wǎng)中多源多形式的安全威脅，研究各種安全威脅之間的關(guān)聯(lián)，進一步研究低代價的適合于移動互聯(lián)網(wǎng)的異常和攻擊檢測模型及算法，使終端節(jié)點具有自動發(fā)現(xiàn)網(wǎng)絡(luò)中異常狀態(tài)和事件、并自動避免這種狀態(tài)和事件進一步擴散的能力，實現(xiàn)自免疫功能。并通過保護節(jié)點的安全防御能力提高全網(wǎng)的安全性能。3.4.5 構(gòu)建移動互聯(lián)網(wǎng)中的信任模型23在傳統(tǒng)的網(wǎng)絡(luò)安全防護措施中， 基于信任模型的安全域劃分及其之上的等級保護、邊界防護可以說是最重要的

60、安全措施， 信任模型極大地降低了整體安全成本。在移動互聯(lián)網(wǎng)環(huán)境中，需要研究新的信任模型建立方法，可以通過構(gòu)建多安全等級的虛擬安全域，不同虛擬安全域維護不同信任值區(qū)間的節(jié)點， 在域內(nèi)和域間實施不同的安全保護機制，以保證節(jié)點安全。在信任值更新方面， 除了傳統(tǒng)的通過服務(wù)交互過程相互評價外，還可以制定指標(biāo)體系，綜合考慮移動互聯(lián)網(wǎng)中的各類業(yè)務(wù)應(yīng)用，以及 SNS 等社交關(guān)系進行評定。移動互聯(lián)網(wǎng)很好地將信息空間與現(xiàn)實社會聯(lián)系起來，因此在設(shè)計移動互聯(lián)網(wǎng)安全機制時，除了技術(shù)上的考慮，應(yīng)當(dāng)充分借鑒和利用現(xiàn)實社會中在安全方面的經(jīng)驗，特別是在安全需求分析、安全模型建立、安全機制的伸縮性、靈活性方面以及安全法規(guī)方面。當(dāng)