基于全网开放模式的线上安全充值复机的方法和系统与流程

1.本发明属于移动通信领域，具体涉及一种充值复机的方法和系统。


背景技术：

2.为提升电信欠费用户充值复机体验感知，中国电信着手利用线上充值能力，为欠费停机用户提供个性化充值服务，以便用户能够及时复机。
3.本领域以往技术存在的问题：首先是安全风险，现有开放域名白名单的模式，同时apn采用24小时不限制开放访问，所有停机用户(包括违章等)都具备对所有白名单的访问，故有安全漏洞隐患；其次是影响支付成功率。线上充缴支付依赖于第三方微信、支付宝，因此当第三方支付调整支付域名或ip，而网元侧白名单未及时更新，就会导致用户侧无法正常完成线上支付；再者就是白名单维护成本较大的问题。


技术实现要素：

4.本发明提供基于全网开放模式的线上安全充值复机的方法和系统，旨在解决上述存在的技术问题。
5.基于全网开放模式的线上安全充值复机的方法，其特征在于，包括：
6.s1：一欠费设备请求上网，重定向至一绿通服务专区，提示一用户已发生欠费，确认是否进行充值复机操作，若是，执行步骤s2，若否，程序结束；
7.s2：所述用户确认充值复机后，通过补全用户姓名进行一业务校验，所述业务校验通过后，将发送一全网开放的授权信息传至一流量处理模块；
8.s3：流量全网开放，对所述用户的欠费流量进行处理，然后对所述用户进行一上网约束限制，放通期间所述用户根据所述绿通服务专区提示完成账户充值。
9.优选地，步骤s2包括：
10.s21：一流量处理模块以白名单放通方式重定向至一业务模块；
11.s22：经业务认证通过后，所述业务模块向所述流量处理模块发送开放全网的指令，所述流量处理模块将流量再次打回一公网防火墙，所述公网防火墙进行公用数据网的原地址转换，然后进行全网开放。
12.优选地，步骤s21中，白名单应用在流量未放通前，仅放通业务入口一个白名单。
13.优选地，步骤s3中，全网开放期间，所述流量处理模块限制访问黑名单，同时所述流量处理模块根据实际业务情况通过从上网时长、占用带宽、频次、流量、在线设备数至少一个维度和组合进行所述欠费流量的策略配置，对所述用户的上网行为加以所述上网约束限制。
14.优选地，步骤s3中，全网开放期间，若账户充值复机成功，所述用户回归正常状态的公用数据网中，若全网开放的时长失效，所述用户仍未复机成功，继续保持欠费停机、无法上网的状态。
15.进一步地，步骤s3中，所述用户一旦再次发起上网请求，将再次被导入所述绿通服
务专区，所述上网约束限制采用的方法包括：
16.限制放通带宽；
17.限制每日放通公网次数；
18.设置放通所述黑名单进行拦截管控；
19.同一欠费分账下同时在放通的公用数据网上仅允许一台终端设备运行；
20.限制每个所述欠费分账每月使用的公用数据网的总流量的至少一种。
21.进一步地，基于全网开放模式的线上安全充值复机的系统，用于所述的基于全网开放模式的线上安全充值复机的方法，其特征在于，主要包括一绿通服务专区(1)，所述绿通服务专区(1)包括：
22.一网络服务器模块(11)，用于和一公用数据网协议转换器建立一第二层隧道协议隧道，通过所述网络服务器模块(11)进行所述欠费流量的导入；
23.所述流量处理模块(12)，连接所述网络服务器模块(11)，用于流量拦截重定向进行业务引导，执行流量管控策略，以及现网的远程访问拨号用户服务报文处理；
24.所述业务模块(13)，连接所述流量处理模块(12)，用于提供充值入口、充值能力、业务校验功能和相关业务日志服务的至少一种；
25.一日志服务模块(14)，连接所述流量处理模块(12)，用于对所述绿通服务专区(1)内所有的流量处理和一平台操作日志进行记录；
26.所述公网防火墙(15)，连接所述流量处理模块(12)，用于对流量开放时对公网网址转换进行安全防护。
27.有益效果：本发明通过对欠费用户进行针对性的线上充值复机引导，同时通过可配置的欠费用户安全防护策略对欠费用户进行上网行为范围的限制，避免诸如流量混淆等的安全风险的产生，通过新一代绿通服务专区，优化了现有白名单模式的绿通支付成功率，实现了欠费用户手机充值的快捷、安全的效果。
附图说明
28.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显然，以下描述中的附图仅为本发明的一些实施例，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可根据这些附图示出的结构获得其他的附图。
29.图1为本发明提供的一种充值复机方案的总体流程示意图；
30.图2为本发明提供的一种充值复机方案中，子步骤s2的流程示意图；
31.图3为本发明提供的一种绿通服务专区系统的总体框架示意图；
32.图4为本发明的一具体实施例中，一种充值复机的物理组框架示意图；
33.图5为本发明的一具体实施例中，应用于现网的充值复机的完整框架示意图；
34.图6为本发明的一具体实施例中，一种充值复机系统的最小化验证方案架构图。
35.附图标记说明：
36.1、绿通服务专区，11、网络服务器模块，12、流量处理模块，13、业务模块，14、日志服务模块，15、公网防火墙，3、新建绿通组网专区，31、pdg模块，32、lns模块，33、第一防火墙，34、流量处理服务器，35、日志服务器，4、epc-ce模块，41、第一epc-ce，42、第二epc-ce，
43、第一pgw，44、第二pgw，45、mme模块，46、第二防火墙，47、第三防火墙，48、第一epc后台交换机，49、第二epc后台交换机，50、业务平台集群，51、ip-ran，52、城域网，53、emi，6、epc模块，61、第一pgw模块，62、第二pgw模块，63、第一节点，631、第一lns防火墙模块，632、第一流量处理模块，64、第二节点，641、第二lns防火墙模块，642、第二流量处理模块，65、第三节点，651、第三lns防火墙模块，652、第三流量处理模块，66、第四节点，661、第四lns防火墙模块，662、第四流量处理模块，67、日志服务器模块，7、lns防火墙模块，8、绿通服务能力提升系统。
具体实施方式
37.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
38.需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。
39.下面结合附图和具体实施例对本发明作进一步说明，但不作为本发明的限定。
40.如图1～2所示，基于全网开放模式的线上安全充值复机的方法，应用于上述的系统，包括：
41.s1：一欠费设备请求上网，重定向至一绿通充值专区，提示一用户已发生欠费，确认是否进行充值复机操作，若是，执行步骤s2，若否，程序结束；
42.s2：该用户确认充值复机后，通过补全用户姓名进行一业务校验，该业务校验通过后，将发送一全网开放的授权信息传至一流量处理模块；
43.s3：流量放通全网，对该欠费流量进行处理，然后对该用户进行一上网约束限制，放通期间该用户根据该绿通充值页提示完成账户充值。
44.作为优选，步骤s2包括：
45.s21：该流量处理模块以白名单放通方式重定向至该业务模块；
46.s22：经业务认证通过后，该业务模块向该流量处理模块发送开放全网的指令，该流量处理模块将流量再次打回该防火墙，该防火墙进行公用数据网的原地址转换，然后进行全网开放。
47.作为优选，步骤s21中，白名单应用在流量未放通前，仅放通业务入口一个白名单。
48.作为优选，步骤s3中，全网开放期间，该流量处理模块限制访问黑名单，同时该流量处理模块根据实际业务情况通过从上网时长、占用带宽、频次、流量、在线设备数至少一个维度和组合进行该欠费流量的策略配置，对该用户的上网行为加以该约束限制。
49.作为优选，步骤s3中，全网开放期间，若账户充值复机成功，该用户回归正常状态的公用数据网中，若全网开放的时长失效，该用户仍未复机成功，继续保持欠费停机、无法上网的状态。
50.作为优选，步骤s3中，该用户一旦再次发起上网请求，将再次被导入该绿通服务专区，该上网约束限制采用的方法包括：
51.限制放通带宽，该带宽的网速仅确保支付流程页面正常浏览，该带宽设定为1mb/
s；
52.限制每日放通公网次数；
53.设置放通该黑名单进行拦截管控；
54.同一欠费分账下同时在放通的公用数据网上仅允许一台终端设备运行；
55.限制每个该欠费分账每月使用的公用数据网的总流量至少一种。
56.由此可见，采用上述方法克服了现有技术的单一化的白名单模式，通过采用上述采用白名单和黑名单组合 流量策略方式，在确保安全的前提下，针对欠费停机场景，首次开放全网，策略性地引导用户安全上网绿色充值，提升服务现有感知。同时在面向欠费停机用户，将流量策略实现全网开放模式，应用于线上充值业务，支持其完成复机。流量管控策略可配可控。业务校验通过前期以业务portal白名单对流量进行强制性重定向，引导用户进入充值页面。验证后放通上网过程中，采用黑名单方式拦截一定的无关网站，通过带宽、时长、频次、分账设备等多个维度及组合来进行放通策略的管控，有效避免通信资源浪费风险。
57.如图3所示，作为优选，在本实施例中，基于全网开放模式的线上安全充值复机的系统，主要包括一绿通服务专区1，包括：
58.一第二层隧道协议的网络服务器模块11，用于和一公用数据网协议转换器建立一第二层隧道协议隧道，用户通过该第二层隧道协议的网络服务器模块11进行欠费流量的导入；
59.一流量处理模块12，连接该第二层隧道协议的网络服务器模块11，用于流量拦截重定向进行业务引导，执行流量管控策略，以及现网的远程访问拨号用户服务报文处理；
60.一业务模块13，连接该流量处理模块12，用于提供充值入口、充值能力、业务校验功能和相关业务日志服务至少一种；
61.一日志服务模块14，连接该流量处理模块12，用于对该绿通服务专区1内所有的流量处理和一平台操作日志进行记录；
62.一公网防火墙15，连接该流量处理模块12，用于对流量开放时公网网址转换和整个系统进行安全防护。
63.于是，基于上述的系统，当电信用户的移动终端出现欠费后，网络服务器模块11将向公用数据网协议转换器lns发起l2tp隧道请求，认证通过后分配绿通服务专区的局域网地址(private net address)并将流量导入。
64.上述流量处理模块(服务器)12对以白名单(仅限业务服务portal)放通方式做重定向至上述13业务模块，其中，白名单应用在流量未放通前，且仅放通业务portal一个白名单，如此，就实现了有效降低白名单漏洞风险，尤其是在添加第三方如微信、支付宝等支付白名单场景下的安全隐患。
65.具体地，在本实施例中，上述的第二层隧道协议的网络服务器模块11，lns，也即l2tp网络服务器(l2tp network server)，是ppp点对点端系统上用于处理l2tp协议服务器端部分的设备。它作为l2tp隧道的另一侧端点，是lac的对端设备，是被lac进行隧道传输的ppp会话的逻辑终止端点。
66.进一步地，l2tp(layer2 tunneling protocol，二层隧道协议)是一种工业标准的internet隧道协议，作为上述网络服务器模块11应用的协议基础，其功能大致和另一种网
际互联协议——pptp协议(point to point tunneling protocol，点对点隧道协议)类似，如同样可以对网络数据流进行加密等。当然，l2tp和pptp这2种协议也有不同之处，如pptp要求网络为ip网络，l2tp要求面向数据包的点对点连接；pptp使用单一隧道，l2tp使用多隧道；l2tp提供ip数据包头的压缩、隧道验证，而pptp不支持。
67.具体地，在本领域实施例中，上述的公用数据网协议转换器，也即pgw(pdn gateway，public datanet gateway)，是在epc系统中引入的pgw网元实体，连接上述的第二层隧道协议的网络服务器模块11。pgw有着近似ggsn网元的功能，作为epc网络的边界网关，实现为电信端用户提供会话管理和承载控制、充值数据转发、ip地址分配以及非3gpp用户接入等功能。
68.具体地，在本实施例中，上述的充值通道也即portal，portal(入口)认证通常也称为web认证，一般将portal认证网站称为门户网站。其提供了一种较为便捷的用户认证方法，对电信端用户而言，相对于其它充值复机的认证方式，通过在portal页面的醒目位置设置认证窗口，用户开机获取ip地址后，通过登录portal认证页面进行认证，认证通过后直接访问internet，是更易于使用portal认证的基本方式。
69.进一步地，在本实施例中，上述的公网防火墙15(firewall)作为一种通过有机结合各类用于安全管理与筛选的软件和硬件设备，基于此所应用的防火墙技术帮助电信用户使用的计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息等无形资产的安全性。
70.防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供了更好、更安全的计算机网络使用体验。
71.进一步地，在本实施例中，上述公网防火墙15进行的公网网址转换，也即nat(networkaddress translation，网络地址转换)，在某些情况下，nat也称网络掩蔽或者ip掩蔽(ip masquerading)，是一种在ip数据包通过路由器或防火墙时重写来源ip地址或目的ip地址的技术。在此，nat用于替换ip报文头部的地址信息，其通常部署在一个组织的网络出口位置，通过将内部网络ip地址替换为出口的ip地址，以便实现用户使用公网的可达性和上层协议的连接能力。
72.基于上述图1～图3所说明的方法和系统，一种运用于上述绿通服务专区系统的优化版绿通安全复机业务流程，现将具体流程表述如下，包括：
73.首先，电信用户发起联网请求的讯号，此时绿通系统自动指引该用户的终端重定向自本系统的界面，接着向用户发起一“是否申请复机？”的判断指令，若用户选择“确认”，执行下一步，反之，退出系统，流程结束；接着查询用户设备的crm(customer relation management，客户关系管理)信息，补全该终端所属用户名称并对此发起校验指令，若信息准确，向该用户开放全网通道(限时10分钟)，接着进行现有充值通道，计时结束后顺势关闭该充值通道，退出程序；若信息有误，就进行有限次的重复校验然后判断校验次数是否超过5次，若是，就再次返回机主个人信息补充页面，若否，就向该用户发送其终端已关机或飞行模式重启的通知。
74.进一步地，如图4所示，本发明还提供一种物理网架构，应用于上述的方法和系统
中，如图，图中框内部分为新建绿通组网专区3(系统)，其余为现网，其中本专区3内设置有：
75.上述公用数据网协议转换器pdg，上述采用lns服务模块(也即lns服务集群，对应上述第二层隧道协议的网络服务器模块)11，上述流量处理模块12，上述日志服务模块14，上述公网防火墙(ltfw001)15，其中的协议转换器分别连接lns服务模块、流量处理模块、日志服务模块、公网防火墙，在实际应用中，现网网元(现网，也即电信运行商建立的网络，也称接入网，包括天线和基站)主要为pgw模块，经现网epc-ce与绿通服务专区进行交互，服务专区则统一通过一台交换机与外部交互，lns服务器、流量处理服务器可根据业务量情况，不断复制扩展。业务平台部署于noc云(noc，片上网络network-on-chip)。
76.基于上述的绿通专区，本物理网架构包括：
77.第一epc-ce41(evolved packet core-customer edge，基于核心分组网演进的用户边缘路由器，下同)和第二epc-ce42，对接ip-ran42(ip ran，即ip radioaccess network，无线接入网ip化网络，一种业务承载网络)和一城域网42，同时第一epc-ce41和第二epc-ce42都分别连接第一pgw43、第二pgw44和mme模块45(mme，mobility management entity，网络管理实体)，第一pgw43、第二pgw44和mme模块45分别和第一epc后台交换机48、第二epc后台交换机49进行交互，一第二、第三防火墙(46和47)连接第一epc后台交换机48和第二epc后台交换机49，同时还对接emi网络53和业务平台集群50，进一步地，第二epc后台交换机49连接本新建绿通组网专区3。
78.如图5所示的应用于现网的充值复机的完整框架示意图，作为优选，在某一实施例中，依据目前运营商网络的欠费停机情况及nodata承载量分析，预估服务专区的日常负载量在12w设备数左右，月初高峰期约为30w，共设4个服务节点，分别与现网的2台公网协议转换器pgw对接引流。建议的设备配置如下：
79.一第一pgw模块61连接第一lns防火墙模块631和第二lns防火墙模块641，第一lns防火墙模块631连接第一流量处理模块632，第二lns防火墙模块641第二流量处理模块连接第二流量处理模块642；一第二pgw模块62连接第三lns防火墙模块651和第四lns防火墙模块661，第三lns防火墙模块651连接第三流量处理模块652，第四lns防火墙模块661连接第四流量处理模块662，上述所有的流量处理模块都连接日志处理模块67。
80.进一步地，第一lns防火墙模块631和第一流量处理模块632属于第一节点63，第二lns防火墙模块641第二流量处理模块和第二流量处理模块642属于第二节点64，第三lns防火墙模块651和第三流量处理模块652属于第三节点65，第四lns防火墙模块661和第四流量处理模块662属于第四节点66。
81.如图6所示的最小化部署验证的线上安全复机充值系统的架构示意图，作为优选，本系统包括：epc-ce模块4，对接ip ran42和一城域网42，其连接上述的pgw模块5和mme模块45，pgw模块5和mme模块45连接epc模块(交换机)6，公网防火墙15连接epc模块6，同时还对接emi网络53和业务平台集群50，epc模块6连接一绿通服务能力提升系统8(即上述的绿通服务专区)的pdg模块31(也即交换机)，pdg模块31连接lns防火墙模块7和日志服务器35。
82.在此，本实施例中验证最小化部署的过程中，建议可在在现网上指定一台pgw网关(即上述的公网协议转换器)、epc-ce(即上述的基于核心分组网演进的用户边缘路由器)，服务专区内lns和防火墙合射一台使用，实现了上述系统设备使用的集约化，减小了设备配置的成本。
83.本发明和以往现有技术的区别特征在于：
84.1、较现行单一化的白名单模式，新方法采用白名单和黑名单组合 流量策略方式，在确保安全前提下，针对欠费停机场景，首次开放全网，策略性地引导用户安全上网绿色充值，提升服务现有感知。
85.2、首创面向欠费停机用户，将流量策略实现全网开放模式，应用于线上充值业务，支持其完成复机。流量管控策略可配可控。业务校验通过前期以仅开放业务portal白名单对流量进行强制性重定向，引导用户进入充值页面。验证后放通上网过程中，采用黑名单方式拦截无关网站，通过带宽、时长、频次、分账设备等多个维度及组合来进行放通策略的管控，有效避免通信资源浪费风险。同时，所有策略可根据实际业务情况进行调整。
86.3、解决第三方支付域名问题导致的支付成功率低的问题。全网放通模式下，用户可任意访问除黑名单以外的域名、网站等。
87.4、规避长期对业务第三方白名单维护问题。
88.以上表述仅为本发明较佳的实施例，并非因此限制本发明的实施方式及保护范围，对于本领域技术人员而言，应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案，均应当包含在本发明的保护范围内。