 |
Cистема идентификации мобильных абонентов оператора связи |
|
|
Система m.DeNAT разработана для идентификации абонентов в процессе их подключений к ресурсам сети Интернет и хранения истории их действий. Технология предоставления интернет-доступа абонентом крупного оператора связи построена так, что внутренний ip-адрес, который предоставлен абоненту оператором, не эквивалентен внешнему ip-адресу, который фиксирует ресурс в сети Интернет при подключении к нему. Соответственно, для идентификации пользователя, пользующегося услугами ресурса, знание внешнего ip-адреса пользователя не достаточно. В процессе работы система m.DeNAT отслеживает преобразования IP-адреса терминала абонента, произведенные каналообразующим оборудованием оператора связи, после чего по найденному внутреннему ip-адресу идентифицирует абонента. Найденные идентификационные данные могут быть использованы для автоматической авторизации пользователей произвольных сервисов в сети Интернет (см. рисунок 1). |
|
||
|
|
||
|
Рисунок 1. Сбор и хранение фактов обращений абонентов к интернет-сервисам системами m.DeNAT и m.VRadius |
|
||
Сбор и хранение фактов обращений абонентов к интернет-сервисам. |
|
||
|
Пересылка пакета данных с мобильного терминала абонента на интернет-сервис производится по следующей схеме (см. рисунок 1). Для выхода в интернет терминала абонента, GGSN оператора присваивает ему внутрисетевой ip-адрес (IP1). Для пересылки запроса с терминала в глобальную сеть на Firewall оператора присвоенный адрес и порт подменяются (IP2, port 2). Данная процедура может проделываться неоднократно, например, на региональных и федеральных уровнях сети оператора связи. В итоге, интернет-сервис получает запрос с адреса IPn и порта PortN. Информацию о выделении GGSN ip-адреса (IP1) для терминала абонента (MSISDN) хранит система m.VRadius, получая ее в процессе взаимодействия с GGSN по протоколу Radius Accounting. Информацию о преобразованиях ip адресов и портов в процессе прохождения запросов через оборудование оператора хранит система m.DeNAT, получая ее в процессе обработки сообщений принимаемых от Firewall-ов по протоколу протокола Syslog. И выделение IP адреса и его преобразование имеют сессионную модель существования. При инициализации формируется информационного сообщение старта сессии, при окончании - сообщение о завершении сессии. m.DeNAT и m.VRadius при получении собщения о старте сессии, сохраняют информацию в БД активных сессий, при получении сообщения об окончании - удаляют сессионную информацию из соответствующей БД. В отличие от m.VRadius, архивная база m.DeNAT содержит данные и по активным и по завершенным сессиям, в виде полной информации из пакетов старта и завершения сессии. |
|
||
Идентификация абонента интернет-сервисом. |
|
||
|
|
||
|
Рисунок 2. Идентификация абонента интернет-сервисом и просмотр архива подключений абонентов |
|
||
|
Для подключения внешних потребителей в состав системы m.DeNAT включен моуль AuthGW. AuthGW предоставляет HTTP интерфейс на котором реализованы протоколы авторизации Open ID и OAuth. Дополнительно AuthGW поддерживает RESTful протокол, для реализации следующих функций:
Функции могут быть реализованы как для текущих подключений так и для завершенных подключений по заданному времени и параметрам подключения. AuthGW реализует политику доступа, где для каждого сервиса определяется:
|
|
||
Комплект поставки:
|
Дополнительно:
|
|
|