ASG5000系列上网行为管理产品技术白皮书

1、华为 ASG5000 系列上网行为管理产品无线非经技术白皮书目录 HYPERLINK l _bookmark0 技术背景2 HYPERLINK l _bookmark1 概念及原理3 HYPERLINK l _bookmark2 非经的概念3 HYPERLINK l _bookmark3 非经对接的原理4 HYPERLINK l _bookmark4 终端认证、场所、AP 信息获取4 HYPERLINK l _bookmark5 用户行为、终端指纹和其它关键信息获取4 HYPERLINK l _bookmark6 信息写入设备本地4 HYPERLINK l _bookmark7 数据关联5 H

2、YPERLINK l _bookmark8 根据后端厂商规范进行数据拼接5 HYPERLINK l _bookmark9 根据后端场所规范进行数据上报6 HYPERLINK l _bookmark10 认证的概念6 HYPERLINK l _bookmark11 认证的原理6 HYPERLINK l _bookmark12 审计的概念7 HYPERLINK l _bookmark13 审计的原理7 HYPERLINK l _bookmark14 运营与部署9 HYPERLINK l _bookmark15 非经的部署方式9 HYPERLINK l _bookmark16 非经对接支持情况10

3、HYPERLINK l _bookmark17 非经对接方式总结11华为 ASG5000 系列上网行为管理产品 技术白皮书关键词：ASG摘要：本文详细介绍了华为ASG5000上网行为管理产品的特点、技术特性和部署模式。名称缩写完整拼写中文解释ASGApplication Security Gateway应用安全网关 1技术背景从 2006 年开始，互联网安全保护技术措施规定（公安部第 82 号令）一直是互联网安全建设的指导文件，对于上网行为审计方面，公安部第 82 号令主要强调“留存”：需要将用户实名信息、用户登录和退出时间、主叫号码、账号、互联网地址或域名、网络运行状态、网络安全事件、系统维

4、护日志等关键信息进行留存备用，留存周期为 3 个月、Internet非经前端设备非经后端平台6 个月或 1 年不等。2015 年 4 月，公安部十一局发布实施了“公共场所无线上网安全管理系统无线上网接入安全技术要求”技术规范，此规范主要针对对象为非经营性上网场所（除网吧以外的如餐饮、金融、购物、旅店宾馆等不经营但提供互联网服务的场所），该技术规范是针对“留存”的方案升级，需要前端设备将采集到的信息加工后实时上传到后端平台，我们将这一应用场景称为无线非经，示意图如下。序号数据类型序号数据类型1认证类型1APP类型2认证账号2APP登陆ID3终端IP3搜索关键字4终端MAC4发帖内容5上线时间5经

5、度6下线时间6维度7场所信息7IMEI8AP MAC8认证账号9相对于公安部第 82 号令，无线非经场景除了将静态的留存升级成了动态的实时上传以外，在数据层面也进行了升级，主要体现在了以下两个方面：首先是与 WLAN 相关的信息参数，例如 AP MAC、场所信息等，主要是对WiFi 环境的特定信息采集；其次是范围更广更详细的数据，例如位置信息（经纬度）、移动终端的 IMEI 串号等，举例来说， 当某台终端使用叫车软件时，乘车人出发和到达的位置信息可以做到实时上传到非经后端平台。总结来说，无线非经是 82 号令的进一步实时化、精细化、场景化的升级版，以数据采集、数据组织、数据上传为基础架构的强制

6、性执行规范，而华为ASG5000 系列产品在无线非经场景中扮演了前端设备的角色。 2概念及原理非经的概念了解了无线非经的技术背景后，我们知道了无线非经的基本概念是按照规范将采集到的实名信息实时上传到后端平台，在进入非经对接的原理部分之前，我们需要了解几个在执行非经对接之前需要拿到的重要信息，也涉及到一些重要概念。后端平台厂商对接文档无线非经是以地市为单位进行执行的，每个地市对应一套后端平台，后端平台厂商有很多家，且每家都可能有多个平台版本，最终完成上报的数据，必须与特定的后端厂商的特定版本的规定保持一致，下文章节中将会详细介绍后端平台的规范要求。所以，在开始进行无线非经对接之前，首要需要获取并

7、确认的就是后端平台厂商对接文档。认证方式和认证服务器非经的其中一个核心要素就是实名身份，所以在对接的过程中一定会有身份认证的环 节，对于大多数非经对接的场景，身份认证都会采用第三方服务器来执行，此时就需要确定整体方案流程中如何执行身份认证、使用何种认证协议、第三方认证服务器的对接规范等重要信息，以便前端设备进行配合。部署方式和部署点在不同的对接模式中，前端设备的部署点和部署方式都不尽相同，在项目前期沟通中， 需要首先了解是整体方案新建还是在已有网络中加入非经前端设备，如果是已有网络需要了解目前网络的拓扑结构和流量转发情况。在了解基本信息后，可以根据实际情况设计部署方式和部署点，设计时要注意通用

8、的原则，例如在较大型网络中放置前端设备时， 可能有多套分流器设备，也有多个认证服务器，此时就需要确保相同用户的流量与认证信息需要确保都能够在同一台前端设备上执行采集，否则就可能会出现信息无法关联的情况。AC 和 AP 信息无线非经场景基于 WLAN 网络，在很多信息的获取上需要依赖于 AC、AP 等WLAN 设备的配合，所以在开始对接之前，最好了解一下 AC、AP 设备的品牌、型号、特性列表， 以便在进行方案设计时能够针对不同品牌、不同档次的WLAN 产品给出不同的对接方案。非经对接的原理在非经对接的整体流程中，ASG5000 前端设备需要执行以下几项主要任务，来完成最终的信息上报。终端认证、

9、场所、AP 信息获取在上报的日志中，不论是哪家后端厂商，基本都会在各类上报的日志中携带以下关键信息：终端认证账号终端账号类型终端 IP 地址终端 MAC 地址AP MAC 地址接入时间为了获取这些信息，一般使用以下方式进行获取：设备的本地配置：即将关键信息通过配置的方式写入。通用报文解析：例如Radius 报文，在其中含有上述关键信息的，ASG5000 设备收到报文后可以解析关键字。API 获取：例如用户上下线时，由 AAA 系统或 NAS 设备（一般是 AC）将关键信息通过 API 接口的传递给ASG5000 设备，一般方式是已经调试过的私有协议报文。SNMP 读取：通过SNMP 协议对目标

10、设备进行读取，以便取得关键信息。用户行为、终端指纹和其它关键信息获取上报给后端平台的日志中，需要携带用户连接互联网的行为、终端等信息，例如用户手机的 IMEI 串号、用户的虚拟身份账号（例如 QQ、微信、淘宝账户）、用户的上网行为（例如用户的发帖内容、社交网络上下线消息），这部分信息依赖于 ASG5000 系列设备自身强大的行为识别和审计能力，可参考 ASG5000 系列产品技术白皮书和下文审计部分的详细描述。信息写入设备本地对于终端、场所、AP 等信息，其在设备里进行暂存后主要用于信息拼接后进行上报， 属于中间形态信息，故会对这部分信息进行写入的同时进行老化时间设置，在老化时间超出后便不会再

11、进行存储。对于中间形态信息，为了方便定位故障问题，会对部分信息进行 Web 界面呈现，例如终端上下线和上网日志，而对其它信息则不进行呈现。数据关联完成关键信息搜集后，ASG5000 设备将会按照以下主要逻辑进行数据关联：使用认证用户上的IP 地址、用户 MAC 和AP MAC 信息作为基础。使用认证用户的AP MAC 信息对所有场所中的 AP MAC 地址信息进行关联，将认证用户关联到对应的场所和 AP，关联对应场所和 AP 的信息。对于上网行为类的审计日志，通过源 IP 地址关联到认证用户，进而关联到场所和AP 信息。至此，认证用户+场所+AP+上网日志的主要数据关联完成，可以进行下一步的拼

12、接预备上传。要进行特别说明的是，当使用胖 AP 方案时，由于此时可能在 AP 上已经完成了NAT 转换，将会导致无法获取到用户和终端的信息（只能看到 NAT 后的 IP），无法通过普通方法完成数据关联。此时的解决方案需要通过多方配合的方式完成数据关联动作， 下面举一例说明：胖 AP 需要支持NAT44 功能，使用NAT44 功能将用户获取到的 NAT 前 IP 和NAT后 IP+端口范围进行对应关联关系在认证流程中，ASG5000 设备通过报文解析或 API 必须能够获取到以下几个关键信息：用户账号、终端 IP 地址、终端 MAC 地址、胖 AP IP 地址、胖 AP MAC 地址、数据包的唯

13、一标识等，这些信息的传递需要第三方认证系统和 NAS 设备的配合。对于其它场景的胖 AP 应用情况，还需要根据具体的情况商定方案，但无论如何在胖 AP部署的情况下进行数据关联都会存在较大的困难，需要进行特定的方案设计。根据后端厂商规范进行数据拼接完成数据关联后，接下来ASG5000 设备需要对数据进行拼接，这一步工作的主要依据就是后端厂商平台的数据规范文档（不同后端厂商的数据规范相差较大），为了使读者明白数据拼接时的工作，这里举两个主要工作为例。第一部分主要的工作是编号、编码或代码的定制工作，每家后端厂商都会根据不同的平台版本给出不同的规范，包括但不限于场所编号命名规范、设备编号命名规范、场所

14、服务类型代码表、采集设备类型代码、无线访问点加密方式代码表、认证信息代码表、场所经营性质代码表、场所网络接入服务商代码表、应用服务类型代码表、APP UID 编码命名规则、营业场所接入方式代码表、厂商场所代码表、身份类型代码表、地区行政区划代码表等等，对于前端设备采集到的信息，同样的信息对应不同的厂商需要套用不同的编号、编码或代码进行绑定，此外也存在很多厂商、地区特定要求的字段，这些数据都需要再进行加工和拼接。第二部分主要的工作是文件生成，所有最终加工拼接完毕的数据，会被要求按照一定的格式组织成为文件并上传，常见的文件格式包括 BCP 文件、ZIP 文件等，厂商会规定文件的规范、规格、存储方式

15、、编码格式等信息，以及具体的字段信息例如类型、最大字符长度、是否必填等等。另外，还可能需要索引文件等。除此之外，还可能有其它的拼接工作需要完成，组织的数据需要完全符合后端厂商要求的规范。ASG5000 设备上根据软件版本的不同会携带不同厂商的格式要求，在数据拼接的过程中，根据配置中指定的厂商情况执行不同的拼接操作。根据后端场所规范进行数据上报完成所有数据拼接组织后，最后一步需要进行数据的传输上报。传输的具体方式需要根据后端厂商提出的要求完成，一般传输规范包括：传输协议（FTPS、FTP、SFTP、TCP、UDP 等）、传输策略（哪一方主动发起、上传周期等）、后端身份认证（指定的账户密码）、传输

16、协议的端口和传输模式、目录约定、安全规范、加密方式（加密算法、密码模式、秘钥规则等）。ASG5000 设备上根据软件版本的不同会携带不同厂商的格式要求，在数据上报的过程中，根据配置中指定的厂商情况执行不同的上报操作。所有组织好的数据， 按照规定的格式上传以后，非经上报的流程基本完成。认证的概念一般而言，在大型网络建设中我们经常提到 AAA 服务，而 AAA 的概念包括认证、计费和授权，其中围绕着身份认证相关的产品和解决方案多种多样，在 WLAN 网络中较为常见的身份认证方式包括Portal 认证（网页方式）、802.1X 认证、微信认证、短信认证、APP 认证等，使用到的协议包括 Portal

17、 协议（如 CMCC 规范）、Radius 协议、LDAP 协议等，这里的身份认证主要指准入认证。目前，无线非经建设中绝大部分都使用短信认证作为认证方式。不论使用何种认证方式，其核心目的就是为了让用户使用网络之前进行身份鉴别，拿到用户的实名 ID，并在后续的网络使用中使用该 ID 标识用户。同样，在无线非经场景中也需要得到用户的实名 ID（即用户账户）。此外，还需要获取一些用户的必要信息，例如用户的 IP 地址、MAC 地址、AP MAC、用户接入时间等，以便完成后续的数据关联工作。总结来说，在无线非经场景中的认证工作，目的就是为了获取到用户名+用户 IP 地址+ 用户 MAC 地址+AP M

18、AC 地址+接入时间的关键信息。认证的原理在设计认证方案时，一般可以分为以下几种模式：前端设备执行本地认证此时的模式是由ASG5000 前端设备拦截用户的访问并验证用户的认证信息，例如在ASG5000 设备上开启本地Web 认证或者本地微信认证，此时 ASG5000 设备可以直接获取到用户名（认证账户、微信的 OpenID）。而对于用户 IP 地址、用户 MAC 地址和AP MAC地址这三个关键信息，又有很多种获取的方式，例如区分设备作为网关或者跨三层部署时各自有不同的办法去获取的用户 IP 和 MAC 地址，特殊情况下可能会使用SNMP 读取的方式或 NAT44 的模式进行获取，这里不展开详

19、细阐述。而对于 AP MAC 地址，可以由 AP 设备通过API 接口上传给ASG5000 设备，但更多时候是静态配置。对于用户接入时间信息，设备本地是可以直接得到的。这种模式是使用较少的一种，一般用于规模非常小的网络。前端设备作为 NAS 设备当 ASG5000 前端设备作为 NAS 设备时，会执行对网络访问的拦截和参与认证，而身份的验证一般在第三方服务器上执行完成，再将认证结果同步到 NAS 设备。所以此种模式与第 1 种模式基本相同，即设备可以直接获取到用户名，而需要使用其他手段获取用户 IP 地址、用户MAC 地址和AP MAC 地址三个关键字段。对于用户接入时间信息， 设备本地是可以

20、直接得到的。这种模式约占整体项目比例的 10%，一般在新建方案中较常见。前端设备不参与认证这种模式也比较常见，即ASG5000 前端设备完全不参与身份认证的任何流程，此时就需要第三方将信息同步到ASG5000 设备上，目前主流的方式大概有两种。第一种是由 ASG5000 设备解析报文，例如将网络中BRAS 设备的Radius 报文镜像到ASG5000 设备上，此时 ASG5000 设备可以按照Radius 协议约定的格式进行解析，如果Radius 报文的属性中携带了用户 IP 地址、用户 MAC 地址、AP MAC 地址等属性，设备就可以解析和保存，此时用户接入时间可以按照系统收到上下线报文的

21、时间来计算。第二种是API 接口对接，当用户上下线时，由 AAA 服务器或 NAS 设备推送信息到ASG5000 设备，例如使用 Radius 协议时，可以构造特殊端口的 UDP 报文并在属性中携带用户 IP、用户 MAC、AP MAC、用户上下线时间等信息，ASG5000 设备收到报文时就可以解析和保存。总体上看，这种模式下前端设备需要依赖第三方来获取关键信息，在项目建设中这种模式占绝大多数比例。审计的概念在无线非经场景中，与上网行为管理产品的典型应用场景一样，都要求 ASG5000 设备需要机遇流量信息，能够识别出七层应用的具体行为内容，并将这些关键信息上报到后端平台。例如，在无线非经后端

22、要求的审计内容中，就包括了电子邮件类、即时通讯类、网络论坛类、博客类、网购类、微博类等应用类型，ASG5000 设备必须通过用户的上网流量解析，将上述应用的交互内容和关键信息全部采集下来，例如 QQ 号、上下线时间、论坛发帖内容、网购搜索内容等等。审计的原理关于应用审计的原理，可以大概用以下几个流程来描述：协议识别当 ASG5000 设备开始识别流量时，会首先对流量进行高层协议分析，除了基本的TCP/UDP 协议，还支持HTTP、FTP、SMTP、POP3、IMAP 等 20 多种协议解析，对于不同的协议可以分析出不同的信息，例如获取报文的 IP 地址、端口号，对于HTTP 协议，可以获取请求

23、的 URL，请求头部的Host 字段信息等。此时，对于SSL 加密流量， 在识别前需要进行 SSL 解密工作。扫描识别关键信息审计进行初步的协议识别后，对于流量会进行进一步的分析，主要手段有DPI（深度报文检测）和 DFI（深度流检测）两种。其中DPI 方面主要是进行Payload 的扫描识别，通过AC 算法、正则匹配等多种方法对静态报文进行内容解析，提取报文中的关键字或其他需要的信息；而 DFI 方面，提供跨报文识别的解决方案（例如依据包长序列识别迅雷） 和流量关联识别（例如通过 FTP 控制通道关联数据通道）。当完成应用识别工作以后，ASG5000 设备基于不同的应用类型去匹配应用特征库，

24、使用各类技术手段对获取的信息进行解码和还原，从而能够获取到关键信息的明文，并将审计结果存储到数据库中。 3运营与部署非经的部署方式无线非经场景的部署方式分为单点旁路对接、多点集中对接、多点分布式对接等方式， 其部署方式和方案设计如下图所示。单点旁路对接某省移动“无线非经”项目（单点旁路对接）公安网监ASG拓扑解析：无线AC统一管理市级AP；平台CR分光器BRASAAA认证服务器AC上网用户于AAA服务器认证，无线AC作为NAS设备；ASG镜像部署，解析用户上网流量；AC将用户信息（用户IP、MAC）和AP信息（AP的IP和MAC）发送至ASG；ASG将上网日志、用户信息和AP信息整合上报至网监

25、平台。商户AAP商户B商户CAPAP 认证流量 上网流量 非经流量多点集中对接某国有银行来宾WiFi 建设项目（多点集中对接）防火墙核心交换机市级总行核心交换机拓扑解析：银行内网有两套网络，业务网（专线连接）， 来宾网（VPN连接），相互独立；总部与支行ASG均是网关部署，总部ASG作用为建立VPN，支行ASG作用为建立VPN和上 传Syslog日志；公安网监平台 非 经 平台ASGASG专网ASGManagerAAA认证服AC务器各支行的来宾通过VPN统一在总行AAA服务器认证，以及在总行出口上网；各支行出口部署ASG，由ASG审计上网行为；ASGAP县级支行AASGAP县级支行B县级支行CASGAP“非经”平台汇总上网行为、认证信息、AP信息，向地市网监上报日志。 认证