YD/T 2526-2013
基本信息
标准号: YD/T 2526-2013
中文名称:数字蜂窝移动通信网 Web 网关设备技术要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2526-2013.Technical requirements for digital cellular mobile telecommunication network web gateway.
1范围
YD/T 2526对Web网关系统总体结构、网络架构、设备功能进行规定,并针对Web网关系统的网管、安全等方面提出相关的要求。
YD/T 2526适用于数字蜂窝移动通信网Web网关设备。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 4943.1信息技术设备安全第1部分:通用要求
YD/T 1392-2005 WAP网关设备技术要求
YD/T 2055-2009 WAP网关内容过滤技术要求
ISO/IEC 14496 信息技术-音视频对象编码(Information technology-Coding of audio-visual objects)
IETF RFC 1951 简化压缩数据格式规范1.3版(DEFLATE Compressed Data Format Specification version 1.3)
IETF RFC 1952 GZIP文件格式(GZIP file format specifcation)
IETF RFC 2616 超文本传输协议-HTTP/1.1 (Hypertext Transfer Protocol - HTTP/1.1)
ITU-T H.264 用于通用音视频服务的增强视频编码(Advanced video coding for generic audiovisual services)
3术语、定义和缩略语
3.1 术语和定义
下列术语和定义适用于本文件。
1范围
YD/T 2526对Web网关系统总体结构、网络架构、设备功能进行规定,并针对Web网关系统的网管、安全等方面提出相关的要求。
YD/T 2526适用于数字蜂窝移动通信网Web网关设备。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 4943.1信息技术设备安全第1部分:通用要求
YD/T 1392-2005 WAP网关设备技术要求
YD/T 2055-2009 WAP网关内容过滤技术要求
ISO/IEC 14496 信息技术-音视频对象编码(Information technology-Coding of audio-visual objects)
IETF RFC 1951 简化压缩数据格式规范1.3版(DEFLATE Compressed Data Format Specification version 1.3)
IETF RFC 1952 GZIP文件格式(GZIP file format specifcation)
IETF RFC 2616 超文本传输协议-HTTP/1.1 (Hypertext Transfer Protocol - HTTP/1.1)
ITU-T H.264 用于通用音视频服务的增强视频编码(Advanced video coding for generic audiovisual services)
3术语、定义和缩略语
3.1 术语和定义
下列术语和定义适用于本文件。
标准图片预览
标准内容
ICS33.060.01
中华人民共和国通信行业标准
YD/T2526-2013
数字蜂窝移动通信网
Web网关设备技术要求
Technical requirements for digital cellular mobiletelecommunicationnetworkwebgateway2013-04-25发布
2013-06-01实施
中华人民共和国工业和信息化部发布前言
1范围·
2规范性引用文件·
3术语、定义和缩略语
3.1术语和定义
3.2缩略语
4概述
Web网关在网络中的位置·
Web网关功能要求
协议处理功能·
管理控制功能
内容加速功能·
内容适配功能
内容增强功能
6.6内容过滤功能…
性能指标和可靠性要求
可扩展性
7.2可靠性要求·
8接口要求·
网管要求
网络管理对象
网管接口协议
网管接口信息模型·
网管功能·
日志管理·
10计费·
话单要求·
10.2计费支持
11软硬件要求.
11.1Web网关设备的软件和资源要求11.2Web网关设备的硬件要求
12操作维护要求·
12.1安全性·
YD/T2526-2013
…·23
YD/T2526-2013
可管理性·
可维护性
易用性
设备安全要求
物理安全…
网络安全·
系统安全
信息安全
安全防护
14电源要求
本标准是数字蜂窝移动通信网Web网关系列标准之一,该系列标准的名称如下:a)YD/T2526-2013《数字蜂窝移动通信网Web网关设备技术要求》;b)YD/T2527-2013《数字蜂窝移动通信网Web网关设备测试方法》。本标准按照GB/T1.1-2009给出的规则起草。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、华为技术有限公司。本标准主要起草人:崔媛媛、李克鹏。YD/T2526-2013
1范围
数字蜂窝移动通信网Web网关设备技术要求YD/T2526-2013
本标准对Web网关系统总体结构、网络架构、设备功能进行规定,并针对Web网关系统的网管、安全等方面提出相关的要求。
本标准适用于数字蜂窝移动通信网Web网关设备。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB4943.1
信息技术设备安全第1部分:通用要求YD/T1392-2005WAP网关设备技术要求YD/T2055-2009
ISO/IEC14496
IETFRFC1951
version1.3)
IETFRFC1952
IETFRFC2616
ITU-TH.264
services)
WAP网关内容过滤技术要求
信息技术-音视频对象编码(Informationtechnology-Codingofaudio-visualobjects)简化压缩数据格式规范1.3版(DEFLATECompressedDataFormatSpecificationGZIP文件格式(GZIPfileformatspecification)超文本传输协议-HTTP/1.1(HypertextTransferProtocol-HTTP/1.1)用于通用音视频服务的增强视频编码(Advancedvideocodingforgenericaudiovisual3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
Web网关WebGateway
为终端用户提供的Internet应用服务的接入设备,位于终端与Internet应用服务器之间,为用户提供增强的Web服务。
用户代理.User-Agent
浏览器用来向被访服务器表明“身份”的一个字符串,服务器可以根据这一信息向不同浏览器传送不同类型的信息。
互联网访问增强引擎AdvancedEngineforInternetVisit1
YD/T2526-2013
由一些功能软件模块组成,负责浏览协议的优化、内容加速/压缩、内容过滤、内容增强和内容适配等。
轻量级目录访问协议LightweightDirectoryAccessProtocol(LDAP)根据用户标识查询用户数据库,得到用户档案,网关基于用户档案处理业务请求。3.1.5
网络时间协议NetworktimeProcotol在网络上指定若干时钟源网站,为用户提供授时服务,并且这些网站间应该能够相互比对,提高准确度的协议。NTP的目的是在国际互联网上传递统一、标准的时间。3.1.6
通用路由封装GenericroutingEncapsulation(GRE)一种隧道协议,能封装广泛的网络层协议在IP包里,通过IP网和远端创建虚拟点对点连接。3.2缩略语
下列缩略语适用于本文件。
Radius
4概述
Bitmap
Content Provider
Domain Name System
JointPhotographicExpertsGROUPGraphics Interchange Format免费标准bzxz.net
HyperText Transfer Protocol
InternetContentAdaptationProtocolInternet WatchFoundation
KeyPerformanceIndicator
Moving Pictures Experts GroupMobileSiteAwareness
PortableNetworkGraphicFormatRemoteAuthenticationDialInUserServiceSimpleNetworkManagementProtocolService Provider
Secure Sockets Layer
TransportLayerSecurityProtocolUniform Resource Locator
WirelessApplication Protocol比特图像
因特网内容提供商
域名系统
联合图像专家组
图形交换格式
超文本传送协议
互联网内容匹配协议
互联网观察基金会
关键性能指标
动态图像专家组
移动网站识别
可移植的网络图形格式
远程用户拨号认证系统
简单网络管理协议
服务提供商
套接字安全层
安全传输层协议
统一资源定位
无线应用协议。
3G用户对互联网业务的需求越来越大,对于用户的不同的互联网业务需求,网络中需要有-个功能实体来做手机用户访问的Web业务和WAP业务的“交通枢纽”,起到代理服务器的作用,于是引入“Web网关”。Web网关可以面向所有移动终端用户提供浏览类业务的内容加速、内容适配、内容过滤等功能,2
YD/T2526-2013
以提高终端用户的网页浏览体验。Web网关在移动数据业务中起着非常重要的作用,旨在解决各式的移动设备终端在访问互联网时,得到符合其移动设备属性的最佳用户体验,并且可以在此基础上开展业务。5Web网关在网络中的位置
Web网关位于移动网络和互联网应用系统之间,可部署在WAP网关之后或与WAP网关并行部署。运营商和设备商可根据情况选取合适的部署方式。Web网关在网络中的位置如图1所示。在Web网关部署于WAP网关之后的情况下,Web网关可以从WAP网关的HTTP消息中获取到用户号码,用户IP地址,用户归属网络等信息。在Web网关独立建设的情况下,Web网关可以从核心网侧Radius消息中获取用户号码与IP地址之问的对应关系,并且获得用户归属网络的信息。
WAP应
协议处理
内容加速
内容适配
管理控制
Web网关
图1Web网关在网络中的位置
Web网关与互联网应用之间采用HTTP协议。6Web网关功能要求
6.1协议处理功能
6.1.1HTTP协议支持要求
内容增强
内容过滤
Web网关应能够准确识别HTTP1.0/1.1(IETFRFC2616),能够进行HTTP代理访问,统计数据流量。Web网关对HTTP协议的支持包括:Web网关应准确识别HTTP1.0/1.1(IETFRFC2616)流量。一Web网关可以识别HTTP协议流量,统计数据流量,从而生成事务和计费记录。一Web网关应支持HTTP客户端功能,包括GET、POST和OPTIONS;支持HTTP服务器功能,包括GET、HEAD、POST、CONNECT和OPTIONS。-Web网关应准确识别PULL和PUSH两种业务应用。PULL使用HTTP/1.1的请求/响应机制来实现,而PUSH功能则由终端承担HTTP服务器的角色。Web网关应支持响应消息体压缩,包括IETFRFC1951中规定的deflate压缩编码方式、gzip(IETFRFC1952)。
YD/T2526-2013
一Web网关应支持使用CONNECT方式建立TLS安全隧道,以解决端到端的安全问题。一Web网关为了实现内容增强、内容适配等功能,在与HTTP服务器交互的过程中,能够对HTTP头进行增强处理。具体表现在如下的HTTP请求阶段和HTTP响应阶段:·在HTTP请求阶段,Web网关应支持:·HTTP请求合法检查,包括检查Accept头、Accept-Charset头和Accept-Encoding头,进行必要的过滤。检查将依据HTTP1.1/1.0规范;·HTTP头修正,参照终端属性数据,对Accept头、Accept-Charset头和Accept-Encoding头进行适当的增减:
·HTTP头增强,参照网关能力,对HTTP头进行增强,从而支持更加广泛的数据格式及类型。·在HTTP响应阶段,Web网关应支持:·HTTP响应检查,与终端的原始请求进行对照,从而判断是否对接收到的数据进行转换或是否可以直接转发给终端;
·HTTP响应转换,当需要进行数据转换时,网关需要将数据转换为终端支持的格式。如果数据是被压缩过的,则首先要解压缩;。HTTP响应合法性检查,参照终端属性数据,对HTTP头进行合法性检查,然后将响应转发给终端。
-Web网关应支持HTTP管道线处理(HTTPpipelining),并行处理来自终端的多个请求:也支持HTTP内容管道线处理(contentpipelining),只要得到的信息足够(如一些HTTP头已经得到),网关就转发消息,而不需要等到所有消息到达。6.1.2HTTPS加密协议支持
对于HTTPS应用,Web网关应能够识别并进行代理访问,同时记录统计该部分流量。6.1.3WAP协议支持要求
6.1.3.1WAP协议栈支持
Web网关要求支持WAP2.0协议栈,能够将识别出的WAP2.0协议的流量进行处理。6.1.3.2WAP2.0协议要求
基于WAP2.0的协议要求见YD/T1392-2005。6.1.4TCP报文处理功能
Web网关具备处理用户数据包、TCP和应用协议的软件,应支持对已定义的应用协议包括HTTP/HTTPS等进行协议优化处理。6.2管理控制功能
6.2.1控制功能
6.2.1.1适配重构控制
Web网关应支持可配置的适配重构控制。通过URL/IP白名单以及HTTP头字段匹配,来控制是否对报文进行适配重构。
一通过URL/IP白名单进行控制:Web网关应提供适配重构白名单,在白名单中的内容Web网关不进行处理,白名单通过URL/P进行配置。如报文的目的IP/URL在白名单中,则Web网关不进行适配重构,直接透传。4
根据HTTP头字段进行控制:
YD/T2526-2013
Web网关应能通过HTTP头字段适配确定是否对报文进行重构适配。Web网关能够根据头信息字段确定是否对报文进行处理,提供灵活的配置机制。举例说明,对于采用HTTP协议传输的彩信应用,在实际应用中要求Web网关不予处理,则可在Web网关上通过配置过滤规则,不对报文进行处理,直接转发,确保其不受任何影响。6.2.1.2接入控制功能
Web网关应能对用户的上下线进行管理。Web网关需要内置Radius功能,能够识别和处理GGSN发送过来的Radius消息,并通过Radius实现对用户上下线的管理和控制。Web网关对用户上下线控制功能要求包括:
一黑名单控制功能—提供黑名单功能,黑名单中记录禁止上线用户的MSISDN,利用黑名单机制对用户的上线请求进行控制,处于黑名单中的用户禁止任何访问。一用户一次上线时长控制功能一一Web网关提供用户上线时长配置表。在配置表中,可以限制某一MSISDN的上线时长。当该用户一次上线若干时间后,Web网关则清除用户在线信息,并对用户的请求返回错误响应,引导用户重新上线。一用户上下线频率控制功能—-Web网关提供可配置的用户上下线频率。当发现用户单位时间问隔内上下线频率达到设定的阅值时,则Web网关在其后的一段时间内禁止该用户再次上线。-一多维度组合控制策略Web网关提供可配置的控制策略。对于用户接入,通过用户号码、协议类型、时间段、流量等四个维度的组合产生控制策略,Web网关根据该控制策略进行接入控制。6.2.1.3连接控制功能
Web网关可以限制用户在同一个业务中的连接数。Web网关提供设定业务的单用户连接数阀值的功能,通过设定阀值限制每个用户在特定业务上的最大连接数。此外,Web网关还可根据不同的维度产生控制策略控制用户连接数。
Web网关通过记录同一用户使用业务及连接数的信息,发现该用户为使用同一业务而发起的连接数超过Web网关设定的为该业务设定的阅值时,Web网关应禁止用户后续的连接请求,并返回提示页面。Web网关限制连接数的业务类型包括:http浏览业务和ftp业务。Web网关可以对每类业务设置连接数阀值。
Web网关应提供可配置的控制策略,对于连接数控制,通过用户号码、协议类型、时间段等维度的组合产生控制策略。如:用户号码为13512345678的http浏览业务在15:00~16:00的最大连接数为20。
6.2.1.4带宽控制功能(可选)
Web网关提供带宽策略配置、管理和控制功能。Web网关提供多维度组合控制策略,根据多个维度组合所产生的策略控制分配给用户的流量。Web网关提供如下带宽控制能力a)支持的控制维度包括且不限于以下几个维度:用户、协议、时间段、流量、APN、承载类型。Web网关可根据以上维度进行组合所产生的策略来控制带宽。b)支持区分协议的总带宽控制功能。对于以下四种协议:HTTP、HTTPS、Mail、FTP,Web网关可以限制各协议的总带宽。使所有以这四种协议流过Web网关的总带宽在限定的范围内。5
YD/T2526-2013
c)QoS控制功能。
Web网关可包括有业务会话检测单元,用于检测业务会话请求及释放,还包括有:QoS协商单元用于在业务会话检测单元检测到业务会话请求时,向综合业务数据平台申请并获取QoS信息,及根据该QoS信息向策略决策功能实体请求QoS对应的业务服务所需资源,在业务检测单元检测到业务会话结束时,向策略决策功能实体请求释放QoS对应的业务服务资源。6.2.1.5访问控制
Web网关应支持对用户的访问请求进行控制。包括:支持URL分级功能:Web网关能对互联网上网站的URL进行分级配置,以便于对访问目的地址进行管理。
一URL过滤功能:支持直接与URL分级数据库交互或者集成第三方URL过滤程序。得到分类分级结果后与用户Profile(至少包括General、Adult、Child三类)综合,得到允许访问或禁止访问的结果。
支持配置URL黑名单:配置URL黑名单列表,直接禁止访问,不再进行其他访问控制规则匹配。
一支持配置URL白名单:配置URL白名单列表,允许访问,不再进行其他访问控制规则匹配。一支持URL替换:配置替换URL列表,独立于其他访问控制,最先进行处理。替换URL和目标URL都包括域名(可能包含端口),并且可以包括多个路径。如:目标URL:http://aaa.bbb.ccc/ddd替换URL:http://mmm.nnn.ooo/ppp/qqg替换结果:http://aaa.bbb.ccc/ddd/eee替换为http://mmm.nnn.ooo/ppp/qqq/eee。一支持URL重定向:配置重定向URL列表,当匹配到后,进行URL重定向。如:目标URLhttp://aaa.bbb.ccc/重定向URL:http://mmm.nnn.ooo/index.jsp重定向结果:http://aaa.bbb.ccc/重定向到http://mmm.nnn.ooo/index.jsphttp://aaa.bbb.ccc/ddd重定向到http://mmm.nnn.ooo/index.jsp。一支持强制SSL:为避免部分网站访问的安全问题,对一些网站进行强制SSL。可以配置强制SSLURL列表,当匹配到后,进行强制SSL。如:目标URL:http://payment.bank.com/强制SSL,重定向到https://payment.bank.com/。
一支持主页推送:当用户在一次PDP会话中首次访问HTTP浏览类业务,进行主页推送。一支持对隐藏URL进行访问控制:存在一些代理服务器,由代理服务器访问原始服务器,真正目标URL在参数中。如:http://google.com/gwt/n?u=http%3A%2F%2Fabc.com,目标URL为http://abc.com。访问控制的URL应该为http://abc.com。一支持对URL进行关键字过滤:配置关键字列表,当URL匹配到后,禁止访问。一支持User-Agent访问控制:当User-Agent符合配置的规则时,禁止访问。支持通配符匹配。一支持针对协议层访问控制:根据承载信息、用户Profile配置协议层访问控制规则,允许或禁止用户访问指定协议。
一支持针对业务层访问控制:根据承载信息、用户Profile配置业务层访问控制规则,允许或禁止用户访问指定业务。
一支持访问内容控制:可以接收到用户终端发起的携带目标地址的访问请求,判断所述目标地址6
YD/T2526-2013
与内容控制服务器的地址是否相同,若不相同,根据预先设置的内容控制规则判断是否对所述访问请求进行内容控制,将需进行内容控制的访问请求发送至负责内容控制的服务器进行内容控制处理。一支持对特定用户的访问控制:包括针对URL、访问时间段、特定SP的业务来进行访问控制。6.2.1.6控制功能配置要求
Web网关应具备应提供对控制功能的配置管理。对控制功能的配置管理主要包括以下方面:一一接入控制策略配置:提供接入控制策略的配置界面,能够根据接入控制功能要求的中的各个维度,让管理员方便配置产生各种控制策略。—一连接控制策略配置:提供连接控制策略配置置界面,让管理员根据用户号码、协议类型(业务类型)、流量等维度等配置并产生连接控制策略。一带宽控制策略配置:提供带宽控制策略配置界面,使管理员能根据带宽控制要求中的各维度配置并产生相应的带宽控制配置策略。一适配重构URL白名单配置:提供URL/IP的白名单配置,在白名单内的地址和URL,Web网关不进行管理。
一适配重构头字段配置:提供头字段匹配策略配置,如果HTTP报文的头字段符合预定策略,则不进行适配重构。
一访问控制策略配置:提供访问控制配置界面,根据访问控制功能要求配置各种策略。6.2.2日志管理记录功能要求
6.2.2.1事件日志
Web网关的事件日志文件应至少包含以下内容:一一控制功能相关事件:记录Web网关控制功能相关的事件。如某用户不允许介入,某用户连接数达到阀值,连接被拒绝等。
一互联网访问增强引擎相关事件:Web网关模块在进行互联网访问增强过程中发生的相关事件。一异常事件:记录Web网关在流量处理过程中发生的异常事件(网络异常、处理过程异常等)的日志信息。
6.2.2.2系统日志
Web网关的系统日志文件应至少包含以下内容:一告警信息:记录Web网关运行过程中出现的系统异常信息。包括告警信息名称,发生时间,告警信息类型,告警信息级别等内容。一进程启动/停止信息:记录Web网关运行过程涉及到的重点进程的启动及停止的日志信息。包括进程名称和进程启动/停止时间、完成情况等内容。一系统配置变更信息:记录对Web网关的系统配置信息进行变更的日志情况。包括配置信息内容、变更时间、系统管理员名称、变更完成情况等内容。6.2.2.3管理员日志
Web网关的管理员日志文件应至少包含以下内容:一一管理员操作信息:记录管理员对Web网关进行操作和维护的相关日志信息。6.2.2.4报文处理日志
对于所有HTTP协议的访问,每次请求/响应都需要进行记录,记录的主要内容至少应包含:7
YD/T2526-2013
一承载类型;
一用户手机号:
-用户IP地址:
一用户请求的URL;
用户请求的目的IP地址;
目的地址的端口号:
网关收到请求的时间:
网关转发请求的时间;
一网关收到URL响应时间;
一网关转发响应到手机的时间;上行信息内容长度;
下行信息内容长度;
信息内容类型;
CP响应状态码;
网关的IP地址;
一请求方法;
-业务种类;
-协议类型;
一返回状态代码;
GGSNIP地址。
而对于非HTTP访问,Web网关在不做任何适配加速处理保证应用正常使用情况下,对其进行透传。
日志保留与格式要求
对于原始日志,应支持至少在线存储90天,脱机存储6个月,能够支持磁盘容量告警。能够将业务使用原始日志记录生成日志文件,定时定量传送给外部网元,时间长度和文件大小应可配置。文件传送接口支持FTP协议。6.2.3用户信息统计分析功能
6.2.3.1统计范围
Web网关应能统计每一用户的详细使用情况,记录信息内容至少包括:源IP,端口;
一目的IP,端口;
-MSISDN:
一终端型号:
一浏览器User-Agent信息:
一原始的和优化后的数据包大小;-http状态码:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T2526-2013
数字蜂窝移动通信网
Web网关设备技术要求
Technical requirements for digital cellular mobiletelecommunicationnetworkwebgateway2013-04-25发布
2013-06-01实施
中华人民共和国工业和信息化部发布前言
1范围·
2规范性引用文件·
3术语、定义和缩略语
3.1术语和定义
3.2缩略语
4概述
Web网关在网络中的位置·
Web网关功能要求
协议处理功能·
管理控制功能
内容加速功能·
内容适配功能
内容增强功能
6.6内容过滤功能…
性能指标和可靠性要求
可扩展性
7.2可靠性要求·
8接口要求·
网管要求
网络管理对象
网管接口协议
网管接口信息模型·
网管功能·
日志管理·
10计费·
话单要求·
10.2计费支持
11软硬件要求.
11.1Web网关设备的软件和资源要求11.2Web网关设备的硬件要求
12操作维护要求·
12.1安全性·
YD/T2526-2013
…·23
YD/T2526-2013
可管理性·
可维护性
易用性
设备安全要求
物理安全…
网络安全·
系统安全
信息安全
安全防护
14电源要求
本标准是数字蜂窝移动通信网Web网关系列标准之一,该系列标准的名称如下:a)YD/T2526-2013《数字蜂窝移动通信网Web网关设备技术要求》;b)YD/T2527-2013《数字蜂窝移动通信网Web网关设备测试方法》。本标准按照GB/T1.1-2009给出的规则起草。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、华为技术有限公司。本标准主要起草人:崔媛媛、李克鹏。YD/T2526-2013
1范围
数字蜂窝移动通信网Web网关设备技术要求YD/T2526-2013
本标准对Web网关系统总体结构、网络架构、设备功能进行规定,并针对Web网关系统的网管、安全等方面提出相关的要求。
本标准适用于数字蜂窝移动通信网Web网关设备。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB4943.1
信息技术设备安全第1部分:通用要求YD/T1392-2005WAP网关设备技术要求YD/T2055-2009
ISO/IEC14496
IETFRFC1951
version1.3)
IETFRFC1952
IETFRFC2616
ITU-TH.264
services)
WAP网关内容过滤技术要求
信息技术-音视频对象编码(Informationtechnology-Codingofaudio-visualobjects)简化压缩数据格式规范1.3版(DEFLATECompressedDataFormatSpecificationGZIP文件格式(GZIPfileformatspecification)超文本传输协议-HTTP/1.1(HypertextTransferProtocol-HTTP/1.1)用于通用音视频服务的增强视频编码(Advancedvideocodingforgenericaudiovisual3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
Web网关WebGateway
为终端用户提供的Internet应用服务的接入设备,位于终端与Internet应用服务器之间,为用户提供增强的Web服务。
用户代理.User-Agent
浏览器用来向被访服务器表明“身份”的一个字符串,服务器可以根据这一信息向不同浏览器传送不同类型的信息。
互联网访问增强引擎AdvancedEngineforInternetVisit1
YD/T2526-2013
由一些功能软件模块组成,负责浏览协议的优化、内容加速/压缩、内容过滤、内容增强和内容适配等。
轻量级目录访问协议LightweightDirectoryAccessProtocol(LDAP)根据用户标识查询用户数据库,得到用户档案,网关基于用户档案处理业务请求。3.1.5
网络时间协议NetworktimeProcotol在网络上指定若干时钟源网站,为用户提供授时服务,并且这些网站间应该能够相互比对,提高准确度的协议。NTP的目的是在国际互联网上传递统一、标准的时间。3.1.6
通用路由封装GenericroutingEncapsulation(GRE)一种隧道协议,能封装广泛的网络层协议在IP包里,通过IP网和远端创建虚拟点对点连接。3.2缩略语
下列缩略语适用于本文件。
Radius
4概述
Bitmap
Content Provider
Domain Name System
JointPhotographicExpertsGROUPGraphics Interchange Format免费标准bzxz.net
HyperText Transfer Protocol
InternetContentAdaptationProtocolInternet WatchFoundation
KeyPerformanceIndicator
Moving Pictures Experts GroupMobileSiteAwareness
PortableNetworkGraphicFormatRemoteAuthenticationDialInUserServiceSimpleNetworkManagementProtocolService Provider
Secure Sockets Layer
TransportLayerSecurityProtocolUniform Resource Locator
WirelessApplication Protocol比特图像
因特网内容提供商
域名系统
联合图像专家组
图形交换格式
超文本传送协议
互联网内容匹配协议
互联网观察基金会
关键性能指标
动态图像专家组
移动网站识别
可移植的网络图形格式
远程用户拨号认证系统
简单网络管理协议
服务提供商
套接字安全层
安全传输层协议
统一资源定位
无线应用协议。
3G用户对互联网业务的需求越来越大,对于用户的不同的互联网业务需求,网络中需要有-个功能实体来做手机用户访问的Web业务和WAP业务的“交通枢纽”,起到代理服务器的作用,于是引入“Web网关”。Web网关可以面向所有移动终端用户提供浏览类业务的内容加速、内容适配、内容过滤等功能,2
YD/T2526-2013
以提高终端用户的网页浏览体验。Web网关在移动数据业务中起着非常重要的作用,旨在解决各式的移动设备终端在访问互联网时,得到符合其移动设备属性的最佳用户体验,并且可以在此基础上开展业务。5Web网关在网络中的位置
Web网关位于移动网络和互联网应用系统之间,可部署在WAP网关之后或与WAP网关并行部署。运营商和设备商可根据情况选取合适的部署方式。Web网关在网络中的位置如图1所示。在Web网关部署于WAP网关之后的情况下,Web网关可以从WAP网关的HTTP消息中获取到用户号码,用户IP地址,用户归属网络等信息。在Web网关独立建设的情况下,Web网关可以从核心网侧Radius消息中获取用户号码与IP地址之问的对应关系,并且获得用户归属网络的信息。
WAP应
协议处理
内容加速
内容适配
管理控制
Web网关
图1Web网关在网络中的位置
Web网关与互联网应用之间采用HTTP协议。6Web网关功能要求
6.1协议处理功能
6.1.1HTTP协议支持要求
内容增强
内容过滤
Web网关应能够准确识别HTTP1.0/1.1(IETFRFC2616),能够进行HTTP代理访问,统计数据流量。Web网关对HTTP协议的支持包括:Web网关应准确识别HTTP1.0/1.1(IETFRFC2616)流量。一Web网关可以识别HTTP协议流量,统计数据流量,从而生成事务和计费记录。一Web网关应支持HTTP客户端功能,包括GET、POST和OPTIONS;支持HTTP服务器功能,包括GET、HEAD、POST、CONNECT和OPTIONS。-Web网关应准确识别PULL和PUSH两种业务应用。PULL使用HTTP/1.1的请求/响应机制来实现,而PUSH功能则由终端承担HTTP服务器的角色。Web网关应支持响应消息体压缩,包括IETFRFC1951中规定的deflate压缩编码方式、gzip(IETFRFC1952)。
YD/T2526-2013
一Web网关应支持使用CONNECT方式建立TLS安全隧道,以解决端到端的安全问题。一Web网关为了实现内容增强、内容适配等功能,在与HTTP服务器交互的过程中,能够对HTTP头进行增强处理。具体表现在如下的HTTP请求阶段和HTTP响应阶段:·在HTTP请求阶段,Web网关应支持:·HTTP请求合法检查,包括检查Accept头、Accept-Charset头和Accept-Encoding头,进行必要的过滤。检查将依据HTTP1.1/1.0规范;·HTTP头修正,参照终端属性数据,对Accept头、Accept-Charset头和Accept-Encoding头进行适当的增减:
·HTTP头增强,参照网关能力,对HTTP头进行增强,从而支持更加广泛的数据格式及类型。·在HTTP响应阶段,Web网关应支持:·HTTP响应检查,与终端的原始请求进行对照,从而判断是否对接收到的数据进行转换或是否可以直接转发给终端;
·HTTP响应转换,当需要进行数据转换时,网关需要将数据转换为终端支持的格式。如果数据是被压缩过的,则首先要解压缩;。HTTP响应合法性检查,参照终端属性数据,对HTTP头进行合法性检查,然后将响应转发给终端。
-Web网关应支持HTTP管道线处理(HTTPpipelining),并行处理来自终端的多个请求:也支持HTTP内容管道线处理(contentpipelining),只要得到的信息足够(如一些HTTP头已经得到),网关就转发消息,而不需要等到所有消息到达。6.1.2HTTPS加密协议支持
对于HTTPS应用,Web网关应能够识别并进行代理访问,同时记录统计该部分流量。6.1.3WAP协议支持要求
6.1.3.1WAP协议栈支持
Web网关要求支持WAP2.0协议栈,能够将识别出的WAP2.0协议的流量进行处理。6.1.3.2WAP2.0协议要求
基于WAP2.0的协议要求见YD/T1392-2005。6.1.4TCP报文处理功能
Web网关具备处理用户数据包、TCP和应用协议的软件,应支持对已定义的应用协议包括HTTP/HTTPS等进行协议优化处理。6.2管理控制功能
6.2.1控制功能
6.2.1.1适配重构控制
Web网关应支持可配置的适配重构控制。通过URL/IP白名单以及HTTP头字段匹配,来控制是否对报文进行适配重构。
一通过URL/IP白名单进行控制:Web网关应提供适配重构白名单,在白名单中的内容Web网关不进行处理,白名单通过URL/P进行配置。如报文的目的IP/URL在白名单中,则Web网关不进行适配重构,直接透传。4
根据HTTP头字段进行控制:
YD/T2526-2013
Web网关应能通过HTTP头字段适配确定是否对报文进行重构适配。Web网关能够根据头信息字段确定是否对报文进行处理,提供灵活的配置机制。举例说明,对于采用HTTP协议传输的彩信应用,在实际应用中要求Web网关不予处理,则可在Web网关上通过配置过滤规则,不对报文进行处理,直接转发,确保其不受任何影响。6.2.1.2接入控制功能
Web网关应能对用户的上下线进行管理。Web网关需要内置Radius功能,能够识别和处理GGSN发送过来的Radius消息,并通过Radius实现对用户上下线的管理和控制。Web网关对用户上下线控制功能要求包括:
一黑名单控制功能—提供黑名单功能,黑名单中记录禁止上线用户的MSISDN,利用黑名单机制对用户的上线请求进行控制,处于黑名单中的用户禁止任何访问。一用户一次上线时长控制功能一一Web网关提供用户上线时长配置表。在配置表中,可以限制某一MSISDN的上线时长。当该用户一次上线若干时间后,Web网关则清除用户在线信息,并对用户的请求返回错误响应,引导用户重新上线。一用户上下线频率控制功能—-Web网关提供可配置的用户上下线频率。当发现用户单位时间问隔内上下线频率达到设定的阅值时,则Web网关在其后的一段时间内禁止该用户再次上线。-一多维度组合控制策略Web网关提供可配置的控制策略。对于用户接入,通过用户号码、协议类型、时间段、流量等四个维度的组合产生控制策略,Web网关根据该控制策略进行接入控制。6.2.1.3连接控制功能
Web网关可以限制用户在同一个业务中的连接数。Web网关提供设定业务的单用户连接数阀值的功能,通过设定阀值限制每个用户在特定业务上的最大连接数。此外,Web网关还可根据不同的维度产生控制策略控制用户连接数。
Web网关通过记录同一用户使用业务及连接数的信息,发现该用户为使用同一业务而发起的连接数超过Web网关设定的为该业务设定的阅值时,Web网关应禁止用户后续的连接请求,并返回提示页面。Web网关限制连接数的业务类型包括:http浏览业务和ftp业务。Web网关可以对每类业务设置连接数阀值。
Web网关应提供可配置的控制策略,对于连接数控制,通过用户号码、协议类型、时间段等维度的组合产生控制策略。如:用户号码为13512345678的http浏览业务在15:00~16:00的最大连接数为20。
6.2.1.4带宽控制功能(可选)
Web网关提供带宽策略配置、管理和控制功能。Web网关提供多维度组合控制策略,根据多个维度组合所产生的策略控制分配给用户的流量。Web网关提供如下带宽控制能力a)支持的控制维度包括且不限于以下几个维度:用户、协议、时间段、流量、APN、承载类型。Web网关可根据以上维度进行组合所产生的策略来控制带宽。b)支持区分协议的总带宽控制功能。对于以下四种协议:HTTP、HTTPS、Mail、FTP,Web网关可以限制各协议的总带宽。使所有以这四种协议流过Web网关的总带宽在限定的范围内。5
YD/T2526-2013
c)QoS控制功能。
Web网关可包括有业务会话检测单元,用于检测业务会话请求及释放,还包括有:QoS协商单元用于在业务会话检测单元检测到业务会话请求时,向综合业务数据平台申请并获取QoS信息,及根据该QoS信息向策略决策功能实体请求QoS对应的业务服务所需资源,在业务检测单元检测到业务会话结束时,向策略决策功能实体请求释放QoS对应的业务服务资源。6.2.1.5访问控制
Web网关应支持对用户的访问请求进行控制。包括:支持URL分级功能:Web网关能对互联网上网站的URL进行分级配置,以便于对访问目的地址进行管理。
一URL过滤功能:支持直接与URL分级数据库交互或者集成第三方URL过滤程序。得到分类分级结果后与用户Profile(至少包括General、Adult、Child三类)综合,得到允许访问或禁止访问的结果。
支持配置URL黑名单:配置URL黑名单列表,直接禁止访问,不再进行其他访问控制规则匹配。
一支持配置URL白名单:配置URL白名单列表,允许访问,不再进行其他访问控制规则匹配。一支持URL替换:配置替换URL列表,独立于其他访问控制,最先进行处理。替换URL和目标URL都包括域名(可能包含端口),并且可以包括多个路径。如:目标URL:http://aaa.bbb.ccc/ddd替换URL:http://mmm.nnn.ooo/ppp/qqg替换结果:http://aaa.bbb.ccc/ddd/eee替换为http://mmm.nnn.ooo/ppp/qqq/eee。一支持URL重定向:配置重定向URL列表,当匹配到后,进行URL重定向。如:目标URLhttp://aaa.bbb.ccc/重定向URL:http://mmm.nnn.ooo/index.jsp重定向结果:http://aaa.bbb.ccc/重定向到http://mmm.nnn.ooo/index.jsphttp://aaa.bbb.ccc/ddd重定向到http://mmm.nnn.ooo/index.jsp。一支持强制SSL:为避免部分网站访问的安全问题,对一些网站进行强制SSL。可以配置强制SSLURL列表,当匹配到后,进行强制SSL。如:目标URL:http://payment.bank.com/强制SSL,重定向到https://payment.bank.com/。
一支持主页推送:当用户在一次PDP会话中首次访问HTTP浏览类业务,进行主页推送。一支持对隐藏URL进行访问控制:存在一些代理服务器,由代理服务器访问原始服务器,真正目标URL在参数中。如:http://google.com/gwt/n?u=http%3A%2F%2Fabc.com,目标URL为http://abc.com。访问控制的URL应该为http://abc.com。一支持对URL进行关键字过滤:配置关键字列表,当URL匹配到后,禁止访问。一支持User-Agent访问控制:当User-Agent符合配置的规则时,禁止访问。支持通配符匹配。一支持针对协议层访问控制:根据承载信息、用户Profile配置协议层访问控制规则,允许或禁止用户访问指定协议。
一支持针对业务层访问控制:根据承载信息、用户Profile配置业务层访问控制规则,允许或禁止用户访问指定业务。
一支持访问内容控制:可以接收到用户终端发起的携带目标地址的访问请求,判断所述目标地址6
YD/T2526-2013
与内容控制服务器的地址是否相同,若不相同,根据预先设置的内容控制规则判断是否对所述访问请求进行内容控制,将需进行内容控制的访问请求发送至负责内容控制的服务器进行内容控制处理。一支持对特定用户的访问控制:包括针对URL、访问时间段、特定SP的业务来进行访问控制。6.2.1.6控制功能配置要求
Web网关应具备应提供对控制功能的配置管理。对控制功能的配置管理主要包括以下方面:一一接入控制策略配置:提供接入控制策略的配置界面,能够根据接入控制功能要求的中的各个维度,让管理员方便配置产生各种控制策略。—一连接控制策略配置:提供连接控制策略配置置界面,让管理员根据用户号码、协议类型(业务类型)、流量等维度等配置并产生连接控制策略。一带宽控制策略配置:提供带宽控制策略配置界面,使管理员能根据带宽控制要求中的各维度配置并产生相应的带宽控制配置策略。一适配重构URL白名单配置:提供URL/IP的白名单配置,在白名单内的地址和URL,Web网关不进行管理。
一适配重构头字段配置:提供头字段匹配策略配置,如果HTTP报文的头字段符合预定策略,则不进行适配重构。
一访问控制策略配置:提供访问控制配置界面,根据访问控制功能要求配置各种策略。6.2.2日志管理记录功能要求
6.2.2.1事件日志
Web网关的事件日志文件应至少包含以下内容:一一控制功能相关事件:记录Web网关控制功能相关的事件。如某用户不允许介入,某用户连接数达到阀值,连接被拒绝等。
一互联网访问增强引擎相关事件:Web网关模块在进行互联网访问增强过程中发生的相关事件。一异常事件:记录Web网关在流量处理过程中发生的异常事件(网络异常、处理过程异常等)的日志信息。
6.2.2.2系统日志
Web网关的系统日志文件应至少包含以下内容:一告警信息:记录Web网关运行过程中出现的系统异常信息。包括告警信息名称,发生时间,告警信息类型,告警信息级别等内容。一进程启动/停止信息:记录Web网关运行过程涉及到的重点进程的启动及停止的日志信息。包括进程名称和进程启动/停止时间、完成情况等内容。一系统配置变更信息:记录对Web网关的系统配置信息进行变更的日志情况。包括配置信息内容、变更时间、系统管理员名称、变更完成情况等内容。6.2.2.3管理员日志
Web网关的管理员日志文件应至少包含以下内容:一一管理员操作信息:记录管理员对Web网关进行操作和维护的相关日志信息。6.2.2.4报文处理日志
对于所有HTTP协议的访问,每次请求/响应都需要进行记录,记录的主要内容至少应包含:7
YD/T2526-2013
一承载类型;
一用户手机号:
-用户IP地址:
一用户请求的URL;
用户请求的目的IP地址;
目的地址的端口号:
网关收到请求的时间:
网关转发请求的时间;
一网关收到URL响应时间;
一网关转发响应到手机的时间;上行信息内容长度;
下行信息内容长度;
信息内容类型;
CP响应状态码;
网关的IP地址;
一请求方法;
-业务种类;
-协议类型;
一返回状态代码;
GGSNIP地址。
而对于非HTTP访问,Web网关在不做任何适配加速处理保证应用正常使用情况下,对其进行透传。
日志保留与格式要求
对于原始日志,应支持至少在线存储90天,脱机存储6个月,能够支持磁盘容量告警。能够将业务使用原始日志记录生成日志文件,定时定量传送给外部网元,时间长度和文件大小应可配置。文件传送接口支持FTP协议。6.2.3用户信息统计分析功能
6.2.3.1统计范围
Web网关应能统计每一用户的详细使用情况,记录信息内容至少包括:源IP,端口;
一目的IP,端口;
-MSISDN:
一终端型号:
一浏览器User-Agent信息:
一原始的和优化后的数据包大小;-http状态码:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。