CN103036875B - 一种用户身份处理装置及识别装置 - Google Patents
一种用户身份处理装置及识别装置 Download PDFInfo
- Publication number
- CN103036875B CN103036875B CN201210517179.9A CN201210517179A CN103036875B CN 103036875 B CN103036875 B CN 103036875B CN 201210517179 A CN201210517179 A CN 201210517179A CN 103036875 B CN103036875 B CN 103036875B
- Authority
- CN
- China
- Prior art keywords
- message
- user identity
- customer service
- processing unit
- service message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明提供一种用户身份处理装置,其应用在接入设备上,该装置包括:第一会话处理单元,用于从接收到的用户业务报文中获取该用户业务报文的会话特征并查找会话表,若没有命中,则将该会话特征添加到会话表;第一标识处理单元,用于修改该用户业务报文,向该用户业务报文的IP层载荷中添加用户身份标识;第一报文转发单元,用于将修改后的用户业务报文转发出去。本发明还提供一种应用在核心设备上用户身份识别装置用于与该身份处理装置配合。本发明通过简单有效的方式巧妙利用会话处理机制将用户身份标识携带在通常不会被更改的位置上传递到网络的远端,使得用户身份的识别变得更加简单可靠。
Description
技术领域
本发明涉及数据通信领域,尤其涉及一种用户身份处理方法及装置。
背景技术
网络应用已经深入人类工作生活各个方面,网络用户和网络自身的可管理性显得日益重要。用户行为分析是网络用户及网络自身管理的重要技术手段。通过用户行为分析,可以统计大规模用户行为的模式、访问习惯,进而指导网络流量管理的策略制定,同时增强网络流量的安全监测能力。现有的技术方案通常基于IP报文头部中的源IP进行用户流量的识别。由于每一个用户拥有自己独立的IP地址,因此网络服务器可以根据源IP唯一确定一个用户,以实现用户识别功能。
随着接入互联网的计算机及其他终端数量的爆炸性增长,IP地址资源也就显得愈加紧张。在IPv4还占据主流的今天,一般用户几乎申请不到公网IP地址。当企业向运营商ISP申请IP地址时,所分配的地址也不过只有几个或十几个IP地址。显然,这些少量的IP地址根本无法满足网络用户的需求。为了缓解供给和需求不可调和的矛盾,使用网络地址转换NAT技术便成为了企业和ISP的必然选择。
NAT在处理报文时会将该报文内部的私网IP地址转换为公网IP地址发送到互联网,而来自互联网的数据报文则由NAT将其公网IP地址转换为私有IP地址。具体实现上NAT是通过TCP或UDP端口号来标示内网用户的。由互联网发送过来的报文虽然目的IP地址是一致的,但由于发送给每个用户报文的端口号不同的,因此可以用端口号标识内网用户。这样一来就可以多个内网用户共用一个公网IP进行网络访问。
虽然NAT设备可以识别用户来进行报文分发,但对于典型的客户端-服务器模型来说,在服务端上用户的不可识别性可能会引发安全隐患。请参考图1所示,内网用户通过一台开启NAT功能的设备上网,此时网络服务器收到的所有用户报文的源IP都是同一个(NAT上的公网地址),网络服务器根本没有办法识别用户。如果网络服务器想识别用户,只能到具体的NAT设备查找NAT转换的对应关系,然而这样的技术实现和应用都很复杂。另外在实际网络中,ISP经常会运用多级NAT技术,这更是大大增加了定位用户的复杂度,在这样的场景下服务器端识别用户变得越来越困难。
发明内容
有鉴于此,本发明提供一种用户身份处理装置,其应用在接入设备上,该装置包括第一报文转发单元、第一会话处理单元以及第一标识处理单元,其中:
第一会话处理单元,用于从接收到的用户业务报文中获取该用户业务报文的会话特征;并根据该会话特征查找会话表,如果没有查找到,则将该会话特征添加到会话表中并转第一标识处理单元处理;
第一标识处理单元,用于修改该用户业务报文,向该用户业务报文的IP层载荷中添加用户身份标识;
第一报文转发单元,用于将修改后的用户业务报文转发出去。
本发明还提供一种用户身份识别装置,其应用在核心设备上,该装置包括该装置包括第二报文转发单元以及第二会话处理单元,其中:
第二会话处理单元,用于从接收到用户业务报文中获取该用户业务报文的会话特征;并根据该会话特征查找会话表,如果没有查找到,则将该会话特征以及该用户业务报文IP层载荷中携带的用户身份标识对应添加到会话表中以建立会话特征与用户身份标识的对应关系;
第二报文转发单元,用于将用户业务报文转发出去。
本发明通过简单有效的方式巧妙利用会话处理机制将用户身份标识携带在通常不会被更改的位置上传递到网络的远端,使得用户身份的识别变得更加简单可靠。
附图说明
图1是一种典型的含有NAT设备的组网图。
图2是本发明一种典型应用场景的组网图。
图3是本发明一种实施方式接入设备侧与核心设备侧的逻辑结构组合示意图。
图4是一种IP报文头部格式的示意图。
图5是一种TCP报文头部格式的示意图。
图6是一种UDP报文头部格式的示意图。
具体实施方式
本发明在IP报文载荷中引入用户身份标识,在前端接入设备侧打上用户身份标识,在后端核心设备侧就可根据用户身份标识识别出用户身份,结合会话处理机制,让用户身份能够有效地穿过NAT设备而不会被更改,为后端处理提供了极大便利,并可在识别出用户身份的基础上开发出各种应用。以下通过具体实施方式介绍本发明的一般实现流程。
请参考图2至图3,本发明通过在接入设备侧以及核心设备侧做相应的改动来实现本发明。所谓接入设备与核心设备是相对而言的,接入设备是更加靠近用户的设备,比如低端以太网交换机;核心设备通常是相对远离用户的网络设备,比如更大容量的以太网交换机或者大型路由器等。
请参考图3,以计算机软件实现为例,本实施方式提供一种用户身份处理装置,其应用在接入设备上,该装置包括第一报文转发单元、第一会话处理单元以及第一标识处理单元。在核心设备侧,本发明同样提供一种相应的用户身份识别装置,该装置包括第二报文转发单元、第二会话处理单元、第二标识处理单元以及审计处理单元。在软件实现方式中,上述两个装置运行两个对应的设备,参与实现以下处理流程。
步骤101,接入设备接收来自用户的业务报文;
步骤102,第一会话处理单元获取用户业务报文的会话特征;
步骤103,第一会话处理单元根据会话特征查找会话表,如果查找到继续后续处理,否则将该会话特征添加到会话表中并转步骤104;
步骤104,第一标识处理单元修改该业务报文,向该业务报文的IP层载荷中添加用户身份标识;
步骤105,第一报文转发单元将修改后的业务报文转发出去;
步骤106,NAT设备对业务报文进行NAT转换;
步骤107,核心设备接收到从接入设备转发过来的用户业务报文;
步骤108,第二会话处理单元获取该用户业务报文的会话特征;
步骤109,第二会话处理单元根据会话特征查找第二会话表,如果查找到继续后续处理,否则将该会话特征以及对应的用户身份标识添加到第二会话表中并转步骤110处理;
步骤110,第二标识处理单元,将该业务报文中携带的用户身份标识清除以还原该业务报文;
步骤111,审计处理单元将包括用户身份标识的审计信息发送给审计服务器;
步骤112,第二报文转发单元将还原后的业务报文转发出去;
请参考图3,用户访问网络时发出的业务报文(也可抽象地称为用户流量)会通过接入设备从局域网络转发到广域网络上去。在这一过程中,用户业务报文可能会经过NAT处理。而NAT处理会导致用户的源IP地址发生变化。由于现在流行的NAT处理中,通常是多个用户共享一个公网IP地址,在本地通过TCP/UDP端口号来区分用户。这样的处理导致了经过NAT以后多个用户的源IP地址是相同的,无法通过源IP地址加以区分,也无法通过端口号区分,因为端口号的区分只在NAT设备本地有效。
在本发明中,报文在到达接入设备后,接入设备可以按照会话为单位来插入用户身份标识。事实上,用户身份标识本身的选取是非常灵活的,可以使用用户终端的MAC地址或CPU等硬件标识,也可以是用户账号等逻辑意义上的标识。考虑到三层设备以及NAT设备的存在以及整体设计的便利性,本发明中用户身份标识通常是添加在IP报文的载荷(即IP报文的数据部分)中,也就是IP以上的层面中。以下提供两种效果较佳的实现方式作为示例,本领域普通技术人员可参考以下示例根据需要设计其他同样构思的具体实现用户身份标识的添加。
示例1:请参考图4以及5,假设IP报文(用户业务报文)中承载的是TCP报文(相当于IP报文的载荷),此时用户身份标识可以添加在TCP头部的Option(选项)字段中。Option字段通常是预留的,供开发者使用。在报文沿途的经历的三层转发以及NAT处理过程,Option字段通常不会修改,因此用户身份标识可以顺利地携带在报文中通过网络传输到达核心设备。
示例2:请参考图4以及图6,假设IP报文中承载的是UDP报文(IP报文的载荷),此时用户身份标识可以添加在UDP报文载荷的尾部,用户身份标识需要占用的长度可以自定义,比如8个字节等。在这种方式中,由于UDP的载荷长度增加,相应地IP报文头部以及UDP报文头部中的长度信息也需要修改。但在优选的方式中,本发明相应修改IP报文头部的长度信息,而UDP头部中的长度信息则可以不修改。这样做的好处是:由于沿途设备通常仅在IP层面进行处理,比如三层转发或者NAT,在传输层面最多会涉及端口号的修改,因此修改IP报文头部的长度值可以确保报文基本不会被丢弃,如此一来可以提高接入设备的处理效率。由此可见,在本实施方式中虽然UDP头部的长度信息没有修改为正确的值,但是到达核心设备之前,并不会对沿途设备的处理造成任何影响。因此用户身份标识通常可以顺利地携带在报文中到达核心设备。
用户业务报文到达接入设备时,接入设备可以轻易知道用户的MAC地址或者MAC地址+源IP地址的组合,假设用户身份标识是MAC地址,接入设备可以轻松完成标识添加工作,如果是其他类的标识则可以通过手工或者服务器协助的方式来实现。在优选的方式中,考虑到如果每个报文都添加标识会引发处理效率的下降,因此本发明将会话机制引入,用户身份标识可以仅仅添加在会话的第一个报文中。
以会话特征是五元组(源IP、目的IP、协议类型、源端口、目的端口)为例,如果接入设备与核心设备之间有NAT的存在,由于源IP地址会被修改,那么接入设备上的会话特征与核心设备的会话特征肯定不一样。但是很显然的是,两个设备上的会话特征都可以在本地唯一标识该会话。本发明考虑到会话特征在本地的唯一性这一特点,因此设计了会话第一个报文中插入用户身份标识的机制。这样可以很好地跟现有的会话处理机制兼容起来。目前很多网络设备都会建立会话表项。其处理过程则是:处理报文时根据该报文的会话特征查找会话表,如果能够命中一条表项,则说明该报文是已经存在的会话的后续报文,如果没有命中则说明当前的业务报文是一个新的会话中的首报文,此时需要将会话特征提取出来添加到会话表中。本发明巧妙复用这一成熟设计,在向会话表中添加会话表项的时候进一步向当前这个会话首报文添加用户身份标识。当然如果一个报文的会话特征在会话表中能够找到,则无需添加用户身份标识。这样的处理方式可以大大降低接入设备(通常处理能力较低)的处理压力,有助于广泛的商业应用。
从核心设备侧来看,核心设备同样可以维护会话处理机制,与接入设备不同的是,核心设备的第二会话处理单元确定当前业务报文是新会话的首报文时,其除了将会话特征添加到会话表中之外,还需要该业务报文中携带的用户身份标识添加会话表中。这里所说的会话表是逻辑意义上的,实际上可能是多张表的存在形式。这样一来核心设备就可以建立起会话特征与用户身份标识的对应关系。由于这样的对应关系的存在,核心设备就可以准确地辨别出每个用户的身份,将之作为审计基础,开发者便可在此基础上可以设计开发出各种基于用户身份的应用。以审计应用为例,审计处理单元则可以依据会话特征组织各种审计信息,审计信息可以包括各种简单或者复杂的用户访问行为信息。在本发明中,审计处理单元可以将用户身份标识作为审计信息的一种加入进来,然后发送给远端的服务器。由于用户身份标识可以准确地标识出用户身份,因此后续审计处理的准确性大大提高。
如前所述,由于接入设备侧将用户身份标识添加到会话的首报文中,也就是说,这些用户业务报文实际上被修改了;为了业务服务器(比如Web服务器)能够更加可靠地接收这些报文。核心设备上的第二标识处理单元可以进一步做反向的用户身份标识清除处理。相应地,对于传输层是TCP报文的情况则相应清除TCP头部Option中的用户身份标识;对于UDP报文来说,则需要清除UDP载荷尾部的用户身份标识。由于接入设备修改了IP头部的长度信息,未修改UDP头部的长度信息,第二标识处理单元则同样需要再次修改IP头部长度信息,而UDP头部的长度信息则不需要修改,相当于还原了用户业务报文,即曾经被修改的会话首报文。
需要说明的是,第二标识处理单元也可以不做还原处理,因为很多业务服务器在IP层处理完成之后,会将修改后的IP报头剥离掉,而在UDP层面则会直接根据UDP长度信息来获取头部后面的数据,因此添加的用户标识对很多业务服务器的业务处理并没有影响。同样的道理,对于TCP报文来说不还原在很多情况下也可以被业务服务器所接受。是否需要还原业务报文取决于开发者如何看待处理效率和可靠性之间的平衡。当需要更高处理效率时,则不需要还原业务报文,减少核心设备处理压力。当开发者更为担心报文不还原可能引发处理出错时,则需要还原业务报文,提高可靠性。
本发明通过在IP报文的载荷中添加用户身份标识,能够在不影响用户业务报文在网络中传输的情况下,准确有效地协助后端的核心设备识别出用户身份,为各种基于用户身份的应用提供了良好的技术基础。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (11)
1.一种用户身份处理装置,其应用在接入设备上,该装置包括第一报文转发单元、第一会话处理单元以及第一标识处理单元,其特征在于:
第一会话处理单元,用于从接收到的用户业务报文中获取该用户业务报文的会话特征;并根据该会话特征查找会话表,如果没有查找到,则将该会话特征添加到会话表中并转第一标识处理单元处理;
第一标识处理单元,用于修改该用户业务报文,向该用户业务报文的IP层载荷中添加用户身份标识,以供核心设备在会话表中没有查找到该用户业务报文的会话特征时,将该用户业务报文IP层载荷中携带的所述用户身份标识对应添加到会话表中以建立会话特征与用户身份标识的对应关系,并将之作为审计基础;
第一报文转发单元,用于将修改后的用户业务报文转发出去。
2.如权利要求1所述的装置,其特征在于,当所述IP层载荷包括TCP报文时,第一标识处理单元进一步用于将所述用户身份标识添加到TCP报文头部的Option字段中。
3.如权利要求1所述的装置,其特征在于,当所述IP层载荷包括UDP报文时,第一标识处理单元进一步用于将所述用户身份标识添加到UDP报文载荷的尾部。
4.如权利要求3所述的装置,其特征在于,所述第一标识处理单元,进一步用于修改IP报文头部的长度信息。
5.如权利要求1所述的装置,其特征在于,所述会话特征为用户业务报文的五元组。
6.一种用户身份识别装置,其应用在核心设备上,该装置包括第二报文转发单元以及第二会话处理单元,其特征在于:
第二会话处理单元,用于从接收到用户业务报文中获取该用户业务报文的会话特征;并根据该会话特征查找会话表,如果没有查找到,则将该会话特征以及该用户业务报文IP层载荷中携带的用户身份标识对应添加到会话表中以建立会话特征与用户身份标识的对应关系;
第二报文转发单元,用于将用户业务报文转发出去;
审计处理单元,用于将包括用户身份标识的审计信息发送给审计服务器;
其中,所述用户身份标识为当接入设备在会话表中没有查找到该用户业务报文的会话特征时,向该用户业务报文的IP层载荷中添加的。
7.如权利要求6所述的装置,其特征在于,还包括第二标识处理单元,用于在将报文转发出去之前还原该用户业务报文,将该用户业务报文的IP层载荷中携带用户身份标识清除。
8.如权利要求7所述的装置,其特征在于,当所述IP层载荷包括TCP报文时,第二标识处理单元进一步用于将所述TCP报文头部的Option字段中的用户身份标识清除。
9.如权利要求7所述的装置,其特征在于,当所述IP层载荷包括UDP报文时,第二标识处理单元进一步用于将所述UDP报文载荷尾部的用户身份标识清除。
10.如权利要求9所述的装置,其特征在于,所述第二标识处理单元,进一步用于修改IP报文头部的长度信息。
11.如权利要求6所述的装置,其特征在于,所述会话特征为用户业务报文的五元组。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210517179.9A CN103036875B (zh) | 2012-12-04 | 2012-12-04 | 一种用户身份处理装置及识别装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210517179.9A CN103036875B (zh) | 2012-12-04 | 2012-12-04 | 一种用户身份处理装置及识别装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103036875A CN103036875A (zh) | 2013-04-10 |
CN103036875B true CN103036875B (zh) | 2016-11-09 |
Family
ID=48023358
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210517179.9A Active CN103036875B (zh) | 2012-12-04 | 2012-12-04 | 一种用户身份处理装置及识别装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103036875B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104734897B (zh) * | 2013-12-18 | 2018-04-06 | 国家计算机网络与信息安全管理中心 | 一种会话对准转发系统 |
CN105591765A (zh) * | 2014-10-20 | 2016-05-18 | 中国电信股份有限公司 | 一种流量定位方法、装置及系统 |
CN106059883A (zh) * | 2016-05-20 | 2016-10-26 | 浙江宇视科技有限公司 | 报文的传输方法及装置 |
CN108173695B (zh) * | 2017-12-29 | 2021-10-19 | 深信服科技股份有限公司 | 一种云环境下流量监控系统及方法 |
CN108449392B (zh) * | 2018-03-01 | 2021-10-08 | 深圳市创梦天地科技有限公司 | 设备识别装置、方法、电子设备以及存储介质 |
CN110519292B (zh) * | 2019-09-06 | 2022-01-25 | 赛尔网络有限公司 | 用于社交网络的编码方法、社交方法、装置、设备及介质 |
CN112261134B (zh) * | 2020-10-21 | 2023-06-30 | 阳光保险集团股份有限公司 | 网络数据访问审计方法、装置、设备及存储介质 |
CN113905364B (zh) * | 2021-10-25 | 2023-07-04 | 广州通则康威智能科技有限公司 | 路由器上行数据溯源方法、装置、计算机设备及存储介质 |
CN115037793B (zh) * | 2022-08-12 | 2022-11-04 | 南京中孚信息技术有限公司 | 用户数据报协议数据处理方法、装置及电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102055674A (zh) * | 2011-01-17 | 2011-05-11 | 工业和信息化部电信传输研究所 | Ip报文及基于该ip报文的信息处理方法及装置 |
CN101605093B (zh) * | 2009-04-22 | 2012-05-09 | 网经科技(苏州)有限公司 | 利用IP Option实现信息透传的方法 |
CN102547609A (zh) * | 2010-12-29 | 2012-07-04 | 中国移动通信集团公司 | 向业务平台传送用户信息的方法及装置 |
CN102546364A (zh) * | 2010-12-22 | 2012-07-04 | 深圳市恒扬科技有限公司 | 网络数据分流方法及其装置 |
-
2012
- 2012-12-04 CN CN201210517179.9A patent/CN103036875B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101605093B (zh) * | 2009-04-22 | 2012-05-09 | 网经科技(苏州)有限公司 | 利用IP Option实现信息透传的方法 |
CN102546364A (zh) * | 2010-12-22 | 2012-07-04 | 深圳市恒扬科技有限公司 | 网络数据分流方法及其装置 |
CN102547609A (zh) * | 2010-12-29 | 2012-07-04 | 中国移动通信集团公司 | 向业务平台传送用户信息的方法及装置 |
CN102055674A (zh) * | 2011-01-17 | 2011-05-11 | 工业和信息化部电信传输研究所 | Ip报文及基于该ip报文的信息处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN103036875A (zh) | 2013-04-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103036875B (zh) | 一种用户身份处理装置及识别装置 | |
CN104580168B (zh) | 一种攻击数据包的处理方法、装置及系统 | |
US9819551B2 (en) | Systems and methods for testing networks with a controller | |
EP3195535B1 (en) | Chaining of network service functions in a communication network | |
CN105634956B (zh) | 一种报文转发方法、装置和系统 | |
CN105340217B (zh) | 一种报文处理方法、装置及系统 | |
US8559429B2 (en) | Sequential frame forwarding | |
CN103621044B (zh) | 允许在推行网络策略过程中使用域名的方法和系统 | |
US20170085525A1 (en) | Method, device, and system for quickly informing cgn exception | |
US20070094394A1 (en) | Methods, systems, and computer program products for transmission control of sensitive application-layer data | |
US20160315809A1 (en) | METHODS, SYSTEMS, AND COMPUTER READABLE MEDIA FOR MULTI-LAYER ORCHESTRATION IN SOFTWARE DEFINED NETWORKS (SDNs) | |
CN107623663A (zh) | 处理网络流量的方法及装置 | |
CN106385365B (zh) | 基于开放流Openflow表实现云平台安全的方法和装置 | |
CN103139315A (zh) | 一种适用于家庭网关的应用层协议解析方法 | |
CN107124402A (zh) | 一种报文过滤的方法和装置 | |
US20210083974A1 (en) | Packet Processing Method and System, and Device | |
Škoberne et al. | IPv4 address sharing mechanism classification and tradeoff analysis | |
WO2012146120A1 (en) | Method for forwarding response packet from dhcp server, forwarding device and system | |
CN103763195B (zh) | 一种传输报文的方法及装置 | |
CN107846433A (zh) | 一种会话信息同步的方法、装置和系统 | |
CN104486244A (zh) | 一种服务质量QoS策略的执行方法及装置 | |
CN107547523A (zh) | 报文处理方法、装置、网络设备及机器可读存储介质 | |
EP4024771A1 (en) | Network measurement system and method, device and storage medium | |
CN112311672B (zh) | 一种路由表项获得方法、装置及设备 | |
CN104065688B (zh) | 一种调用底层服务的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Patentee after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Patentee before: Hangzhou Dipu Technology Co., Ltd. |