CN104427013B - 运营级地址转换设备及其对用户地址映射关系的处理方法 - Google Patents

Abstract

本发明实施例公开了一种运营级地址转换设备及其对用户地址映射关系的处理方法，方法包括：配置用户地址池、IPv4公有地址池、端口块大小与端口范围参数；根据配置参数计算用户地址总数N、IPv4公有地址总数m与可用端口块总数n；依次为N个用户地址中的k*m+1～(k+1)*m个用户地址，分配由m个IPv4公有地址与n个可用端口块组成的m*n矩阵中第k＋1列各行元素（公有地址，端口块）对应的IPv4公有地址与端口块，创建用户地址映射关系；根据用户报文中用户地址查询用户地址映射关系，获取用户地址对应的IPv4公有地址与端口块并据此对用户报文做运营级地址转换处理。本发明实施例可以降低用户地址映射关系被非法用户发现的机会，避免恶意抢占端口对合法用户访问应用的影响。

Description

运营级地址转换设备及其对用户地址映射关系的处理方法

技术领域

本发明涉及通信技术，尤其是一种运营级地址转换设备及其对用户地址映射关系的处理方法。

背景技术

全球第四版互联网协议（IPv4）地址资源已经分配完毕，运营商网络和业务都需要引入第六版互联网协议（IPv6）过渡技术，逐步向IPv6演进。目前，主流的IPv6过渡技术，例如私网双栈网络地址转换（Network Address Translator，NAT）444、轻型双栈（DS-Lite）、64互通技术等，采用了运营级地址转换设备，支持IPv4地址共享和向IPv6演进。其中，NAT444的运营级地址转换功能由运营级地址转换装置（Carrier Grade NAT，CGN）负责，实现运营级地址转换；DS-Lite的运营级地址转换功能由地址簇转换装置（Address FamilyTransition Router，AFTR）负责，在终结用户的IPv6隧道的同时，实现运营级地址转换。64互通技术由NAT64网关提供运营级地址转换和协议翻译功能。

在NAT444、DS-Lite和64互通技术中，CGN、AFTR、NAT64网关设备为用户地址分配对应的IPv4公有地址和端口块，从而建立用户地址映射关系。在用户上线或访问互联网的过程中，CGN、AFTR和NAT64网关为用户一直维护该地址映射关系，并从维护的用户地址映射关系表中为用户会话选择端口块。当用户下线或者用户的所有会话表项都超时，CGN、AFTR和NAT64网关设备才删除该用户地址映射关系。

现有技术通常采用两种方式为用户地址分配IPv4公有地址和端口块。第一种方式是随机选择方式，采用这种方式分配的公有地址和端口块与用户地址之间没有任何关系，只在需要时建立临时的对应关系。采用这种映射关系的创建方式存在以下问题：一方面保证用户地址与公有地址和端口块之间的对应关系不容易被人发现和利用，具有较高的安全性；另一方面，当这种对应关系被用于支持溯源用户、进行实时认证时，用户地址映射关系的随机创建方式要求相关系统必须采用复杂的方式或者额外的系统才能及时获得准确的对应关系，从而增加实现的复杂性，也增加了投资，严重时也会影响用户体验。

第二种方式是按照用户地址从小到大的顺序建立用户地址与（公有地址、端口块）之间的固定映射关系。当用户地址池、公有地址池、端口块大小和范围等信息不变，这种映射关系一旦建立起来就会长期存在，无论该用户地址是否被使用，该映射关系都不会改变。对于能够获得用户地址池、公有地址池、端口块大小和范围等信息的各种装置，可以简单利用排序的方式确定用户，完成实时认证等工作。与此相对，由于固定映射关系采用了相对简单的排序方式，这种创建方式会带来以下问题：较小的用户地址优先选择较小的公有地址，只有在一个公有地址对应的端口块被用完时，才会为用户地址指定下一个IPv4公有地址及其端口块。当配置的用户地址相对连续，容易导致相邻的几个用户地址集中使用在相对集中的地址。当这些地址被长期使用，其对应关系容易被人发现，并被利用，例如发起攻击。在网络设备为管辖区域的用户分配地址时，在某些情况下可能为处于同一个逻辑端口（例如同一虚拟局域网（Virtual Local Area Network，VLAN）子端口）下的同一个区域的用户分配连续的IP地址的多个连续的端口块，当该地址受到攻击时，受到影响的用户群就变得较大，增加安全风险。

发明内容

本发明实施例所要解决的一个技术问题是：针对上述第二种方式建立固定映射关系存在的安全风险，提供一种运营级地址转换设备及其对用户地址映射关系的处理方法，为用户地址近似随机分配IPv4公有地址和端口块，以降低用户地址映射关系被非法用户发现的机会，避免恶意抢占端口对合法用户访问应用的影响。

本发明实施例提供的一种对用户地址映射关系的处理方法，包括：

根据运营级地址转换装置覆盖区域的用户信息，配置用户地址池、第四版互联网协议IPv4公有地址池、端口块大小与端口范围参数；其中，用户地址池包括N个用户地址，IPv4公有地址池包括m个IPv4公有地址，m、N为大于1的整数，m小于N；

根据配置的用户地址池、IPv4公有地址池、端口块大小与端口范围信息计算用户地址总数N、IPv4公有地址总数m与可用端口块总数n；其中，n为大于或等于1的整数；

依次为N个用户地址中的k*m+1～(k+1)*m个用户地址，分配由m个IPv4公有地址与n个可用端口块组成的m*n矩阵中第k＋1列各行元素（公有地址，端口块）对应的IPv4公有地址与端口块，创建用户地址与分配的（公有地址，端口块）之间的映射关系；其中，k为从0开始取值的整数，且k的最大值小于n-1；m*n矩阵的元素（公有地址，端口块）由IPv4公有地址池中的一个IPv4公有地址与一个可用端口块组成；

接收到用户报文后，获取用户报文中的用户地址；

查询创建的映射关系，获取用户报文中的用户地址对应的IPv4公有地址与端口块；

根据用户地址对应的IPv4公有地址与端口块，从用户地址对应的端口块中选择端口号，并对用户报文做运营级地址转换处理。

上述方法的一个具体实施例中，所述用户地址池包括多个IPv4地址段、多个IPv6地址或者多个IPv6前缀。

上述方法的一个具体实施例中，根据配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数计算用户地址总数N、IPv4公有地址总数与可用端口块总数n包括：

根据用户地址池信息计算用户地址总数N；

根据IPv4公有地址池信息计算IPv4公有地址总数m；

根据端口块大小B与端口范围【ps，pe】信息计算可用端口块总数n；其中，B为大于0的整数，ps、pe为大于或等于0的整数，ps小于pe。

上述方法的一个具体实施例中，根据端口块大小B与端口范围【ps，pe】信息计算可用端口块总数n包括：

通过n=int((pe-ps+1)/B)计算可用端口块总数n；其中，int((pe-ps+1)/B)表示对(pe-ps+1)/B取整，则计算得到的n个可用端口块构成的可用端口块列表中，第j个端口块表示为：[ps+(j-1)*B,ps+j*B-1]，j=1,......,n。

上述方法的一个具体实施例中，IPv4公有地址池中的m个IPv4公有地址按照特定顺序排列为如下公有地址列表：IPp_0，IPp_1,....,IPp_(m-1)；

所述m*n矩阵中第i行第j列的元素（公有地址，端口块）为：[IPp_i,[ps+(j-1)*B,ps+j*B-1]],i=0,......(m-1),j=1,......,n。

上述方法的一个具体实施例中，计算用户地址总数N、IPv4公有地址总数m与可用端口块总数n之后，还包括：

判断配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数是否合理；

若配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数合理，执行所述依次为N个用户地址中的k*m+1～(k+1)*m个用户地址，分配由m个IPv4公有地址与n个可用端口块组成的m*n矩阵中第k＋1列各行元素（公有地址，端口块）对应的IPv4公有地址与端口块的操作；

否则，若配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数不合理，重新执行所述根据运营级地址转换装置覆盖区域的用户信息，配置用户地址池、IPv4公有地址池、端口块大小与端口范围参数的操作。

上述方法的一个具体实施例中，当N<=m*n，每个用户地址都有一个对应的IPv4公有地址与端口块，配置参数合理；

否则，当N>m*n，配置参数不合理。

上述方法的一个具体实施例中，查询建立的映射关系，获取用户报文中的用户地址对应的IPv4公有地址与端口块包括：

查询用户报文中的用户地址在所述用户地址池中的序号P；

根据用户地址在所述用户地址池中的序号P计算该用户地址对应的IPv4公有地址与端口块m*n矩阵中的元素位置（I，J）；

读取m*n矩阵中的元素位置（I，J）上元素包括的IPv4公有地址与端口块，得到用户报文中的用户地址对应的IPv4公有地址与端口块。

上述方法的一个具体实施例中，根据用户地址在所述用户地址池中的序号P计算该用户地址对应的IPv4公有地址与端口块m*n矩阵中的元素位置（I，J）包括：

通过如下方式计算元素位置（I，J）：I=(P-1)mod(m)，J=int(P/m)+1；其中，(P-1)mod(m)表示对（P-1）求模，int(P/m)表示对P/m取整；

所述得到用户报文中的用户地址对应的IPv4公有地址与端口块为：(IPp_I，[ps+(J-1)*B,ps+J*B-1])。

本发明实施例提供的一种运营级地址转换设备，包括：

配置单元，用于根据所述运营级地址转换设备覆盖区域的用户信息，配置用户地址池、IPv4公有地址池、端口块大小与端口范围参数；其中，用户地址池包括N个用户地址，IPv4公有地址池包括m个IPv4公有地址，m、N为大于1的整数，m小于N；

创建单元，用于根据配置的用户地址池、IPv4公有地址池、端口块大小与端口范围信息计算用户地址总数N、IPv4公有地址总数m与可用端口块总数n；其中，n为大于或等于1的整数；依次为N个用户地址中的k*m+1～(k+1)*m个用户地址，分配由m个IPv4公有地址与n个可用端口块组成的m*n矩阵中第k＋1列各行元素（公有地址，端口块）对应的IPv4公有地址与端口块，创建用户地址与分配的（公有地址，端口块）之间的映射关系；其中，k为从0开始取值的整数，m*n矩阵的元素（公有地址，端口块）由IPv4公有地址池中的一个IPv4公有地址与一个可用端口块组成；

接收单元，用于在接收到用户报文后，获取用户报文中的用户地址；

查询单元，用于查询由创建单元创建的映射关系，获取用户报文中的用户地址对应的IPv4公有地址与端口块；

发送单元，用于根据查询单元查询到的用户地址对应的IPv4公有地址与端口块，从用户地址对应的端口块中选择端口号，并对用户报文做运营级地址转换处理。

上述设备的一个具体实施例中，所述用户地址池包括多个IPv4地址段、多个IPv6地址或者多个IPv6前缀。

上述设备的一个具体实施例中，所述创建单元具体根据用户地址池信息计算用户地址总数N，根据IPv4公有地址池信息计算IPv4公有地址总数m，以及根据端口块大小B与端口范围【ps，pe】信息计算可用端口块总数n；其中，B为大于0的整数，ps、pe为大于或等于0的整数，ps小于pe。

上述设备的一个具体实施例中，所述创建单元根据端口块大小B与端口范围【ps，pe】信息计算可用端口块总数n时，具体通过n=int((pe-ps+1)/B)计算可用端口块总数n；其中，int((pe-ps+1)/B)表示对(pe-ps+1)/B取整，则计算得到的n个可用端口块构成的可用端口块列表中，第j个端口块表示为：[ps+(j-1)*B,ps+j*B-1]，j=1,......,n。

上述设备的一个具体实施例中，IPv4公有地址池中的m个IPv4公有地址按照特定顺序排列为如下公有地址列表：IPp_0，IPp_1,....,IPp_(m-1)；

所述m*n矩阵中第i行第j列的元素（公有地址，端口块）为：[IPp_i,[ps+(j-1)*B,ps+j*B-1]],i=0,......(m-1),j=1,......,n。

上述设备的一个具体实施例中，所述创建单元还用于在计算用户地址总数N、IPv4公有地址总数m与可用端口块总数n之后，判断配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数是否合理；若配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数合理，执行所述依次为N个用户地址中的k*m+1～(k+1)*m个用户地址，分配由m个IPv4公有地址与n个可用端口块组成的m*n矩阵中第k＋1列各行元素（公有地址，端口块）对应的IPv4公有地址与端口块的操作；否则，若配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数不合理，指示所述配置单元重新执行所述根据运营级地址转换设备覆盖区域的用户信息，配置用户地址池、IPv4公有地址池、端口块大小与端口范围参数的操作。

上述设备的一个具体实施例中，当N<=m*n，每个用户地址都有一个对应的IPv4公有地址与端口块，配置参数合理；

否则，当N>m*n，配置参数不合理。

上述设备的一个具体实施例中，所述查询单元具体查询用户报文中的用户地址在所述用户地址池中的序号P；根据用户地址在所述用户地址池中的序号P计算该用户地址对应的IPv4公有地址与端口块m*n矩阵中的元素位置（I，J）；以及读取m*n矩阵中的元素位置（I，J）上元素包括的IPv4公有地址与端口块，得到用户报文中的用户地址对应的IPv4公有地址与端口块。

上述设备的一个具体实施例中，所述查询单元根据用户地址在所述用户地址池中的序号P计算该用户地址对应的IPv4公有地址与端口块m*n矩阵中的元素位置（I，J）时，具体通过如下方式计算元素位置（I，J）：I=(P-1)mod(m)，J=int(P/m)+1；其中，(P-1)mod(m)表示对（P-1）求模，int(P/m)表示对P/m取整；

所述得到用户报文中的用户地址对应的IPv4公有地址与端口块为：(IPp_I，[ps+(J-1)*B,ps+J*B-1])。

基于本发明上述实施例提供的运营级地址转换设备及其对用户地址映射关系的处理方法，依次为N个用户地址中的k*m+1～(k+1)*m个用户地址，分配由m个IPv4公有地址与n个可用端口块组成的m*n矩阵中第k＋1列各行元素（公有地址，端口块）对应的IPv4公有地址与端口块，创建用户地址与分配的（公有地址，端口块）之间的映射关系，将连续的用户地址对应的IPv4公有地址及端口块分散到整个IPv4公有地址池，使连续的用户地址尽量使用不同的IPv4公有地址，并使用户地址对应的IPv4公有地址与端口块近似随机关系，不易被非法用户发现和利用，与现有技术第二种方式建立固定映射关系存在的安全风险相比，从而提高了用户地址映射关系的安全性，将恶意抢占端口号等攻击行为的影响降到最小。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

构成说明书的一部分的附图描述了本发明的实施例，并且连同描述一起用于解释本发明的原理。

参照附图，根据下面的详细描述，可以更加清楚地理解本发明，其中：

图1为本发明对用户地址映射关系的处理方法一个实施例的流程图。

图2为本发明对用户地址映射关系的处理方法另一个实施例的流程图。

图3为本发明对用户地址映射关系的处理方法又一个实施例的流程图。

图4为本发明运营级地址转换设备一个实施例的结构示意图。

具体实施方式

现在将参照附图来详细描述本发明的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。

以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。

在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

图1为本发明对用户地址映射关系的处理方法一个实施例的流程图。如图1所示，该实施例对用户地址映射关系的处理方法包括：

110，根据运营级地址转换设备覆盖区域的用户信息，配置用户地址池、IPv4公有地址池、端口块大小与端口范围参数。

其中，用户地址池包括N个用户地址，IPv4公有地址池包括m个IPv4公有地址，m、N为大于1的整数，m小于N。

120，根据配置的用户地址池、IPv4公有地址池、端口块大小与端口范围信息计算用户地址总数N、IPv4公有地址总数m与可用端口块总数n。

其中，n为大于或等于1的整数。

具体地，该操作120中，可以根据用户地址池信息计算用户地址总数N；根据IPv4公有地址池信息计算IPv4公有地址总数m；根据端口块大小B与端口范围【ps，pe】信息计算可用端口块总数n。其中，B为大于0的整数，ps、pe分别表示开始端口号和结束端口号，为大于或等于0的整数，ps小于pe。

130，依次为N个用户地址中的k*m+1～(k+1)*m个用户地址，分配由m个IPv4公有地址与n个可用端口块组成的m*n矩阵中第k＋1列各行元素（公有地址，端口块）对应的IPv4公有地址与端口块，创建用户地址与分配的（公有地址，端口块）之间的映射关系。

其中，k为从0开始取值的整数，m*n矩阵也称为（公有地址，端口块）矩阵，m*n矩阵中的各元素（公有地址，端口块）由IPv4公有地址池中的一个IPv4公有地址与一个可用端口块组成。

140，接收到用户报文后，获取用户报文中的用户地址。

150，查询创建的映射关系，获取用户报文中的用户地址对应的IPv4公有地址与端口块。

160，根据用户地址对应的IPv4公有地址与端口块，从用户地址对应的端口块中选择端口号，并对用户报文做运营级地址转换处理。

本发明上述实施例提供的对用户地址映射关系的处理方法，依次为N个用户地址中的k*m+1～(k+1)*m个用户地址，分配由m个IPv4公有地址与n个可用端口块组成的m*n矩阵中第k＋1列各行元素（公有地址，端口块）对应的IPv4公有地址与端口块，创建用户地址与分配的（公有地址，端口块）之间的映射关系，将连续的用户地址对应的IPv4公有地址及端口块分散到整个IPv4公有地址池，使连续的用户地址尽量使用不同的IPv4公有地址，并使用户地址对应的IPv4公有地址与端口块近似随机关系，不易被非法用户发现和利用，与现有技术第二种方式建立固定映射关系存在的安全风险相比，从而提高了用户地址映射关系的安全性，将恶意抢占端口号等攻击行为的影响降到最小。

本发明实施例中的用户地址池指所有用户地址组成的集合。用户地址池代表可以分配给用户使用的地址，例如，由网络设备分配给用户主机使用。例如，当用户上线，宽带接入服务器（BRAS）为用户分配地址。用户地址池的地址可以包括运营级地址转换装置覆盖区域的所有可用的用户地址。

本发明实施例中的用户地址指，在用户接入网络后，网络设备（例如BRAS）为用户终端分配的IP地址。该IP地址作为用户主机（或称为用户终端）访问互联网的源地址或者标识用户的源地址。

当向用户分配的IP地址作为用户主机访问互联网的源地址，IPv4用户地址通常是IPv4私有地址，需要经过运营级地址转换设备才能访问互联网；IPv6地址通常是全局地址。当分配的IPv6地址由路由型家庭网关LAN侧主机使用，该地址是IPv6前缀。当分配的IP地址用于标识用户，该地址是IPv4时用于代表用户侧的IPv4隧道端点；该地址是IPv6时用于代表用户侧的IPv6隧道端点。因此，本发明中，用户地址池可以包括多个IPv4地址段、多个IPv6地址或者多个IPv6前缀，相应的用户地址可以是IPv4私有地址、IPv6地址或者IPv6前缀。

操作160中，当用户地址是IPv4私有地址时，用户报文需要做运营级地址转换，用IPv4公有地址替换IPv4私有地址，并从对应的端口块中选择一个端口号替换用户报文中的源端口，才能访问互联网。当用户地址是IPv6地址或前缀，并被用于标识用户，用户地址可以代表DS-Lite等技术中的隧道起点，需要对用户报文做隧道封装，即把用户地址作为报文源地址，网络侧端点地址作为报文目的地址，内层封装其他报文（即在IPv6隧道中封装IPv4报文），例如IPv4报文；当用户地址是IPv6地址或IPv6前缀，被用作报文源地址，则用户报文需要做IPv6到IPv4的地址转换或翻译，即用IPv4公有地址代替IPv6用户地址，用IPv4头代替IPv6头，再发送到互联网上。

本发明各实施例对用户地址映射关系的处理方法中，主要包括用户地址映射关系创建过程（对应操作110～130）和用户地址映射关系查询过程（对应操作150）。

在本发明对用户地址映射关系的处理方法的另一个实施例中，执行完操作120后，可以判断配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数是否合理。若合理，执行操作130；否则，重新执行操作110配置用户地址池、IPv4公有地址池、端口块大小与端口范围参数。

图2为本发明对用户地址映射关系的处理方法另一个实施例的流程图。该实施例以一个具体实例为例对本发明实施例中用户地址映射关系创建过程进行示例性说明，并不对本发明实施例构成限制。如图2所示，该实施例包括：

210，根据运营级地址转换设备覆盖区域的用户信息，配置用户地址池User_Pool、IPv4公有地址池IPv4_Pool、端口块大小B与端口范围【ps，pe】参数。

配置的各参数具有多种形式，以下举例描述各参数的形式：

User_Pool：由多个IPv4地址段组成，例如，【a1，b1】，【a2，b2】,.......，或者，由多个IPv6前缀组成，例如，aaaa1:aaaa2::/前缀长度1,bbbb1:bbbb2::/前缀长度2,......。User_Pool只允许采用IPv4地址段组成的地址集合或者由IPv6前缀组成前缀集合，不允许同时采用IPv4地址集合和IPv6前缀作为用户地址池中的用户地址。

IPv4_Pool：由多个IPv4公有地址段组成，例如，【c1,d1】，【c2,d2】，......。

220，根据用户地址池信息计算用户地址总数N；根据IPv4公有地址池信息计算IPv4公有地址总数m；根据端口块大小B与端口范围【ps，pe】信息计算可用端口块总数n。

当用户地址池是IPv4地址池，用户地址总数N计算方式如下：

N=（b1-a1+1）+（b2-a2+1）+......

其中，a1,a2,......；b1,b2,......是用户IPv4地址对应的十进制数值。

当用户地址池是IPv6前缀池，用户地址总数N的计算方式如下（这里按照不同用户终端分配不同的64长度的IPv6前缀）：

N=2^（64-前缀长度1）+2^（64-前缀长度2）+......

其中，2^（64-前缀长度1）表示2的（64-前缀长度1）次幂。当不同用户终端分配的前缀长度为其他值，比如T（T小于等于128），用户地址总数N的计算方式如下：

N=2^（T-前缀长度1）+2^（T-前缀长度2）+......

其中，2^（T-前缀长度1）表示2的（T-前缀长度1）次幂。

所有用户地址按照预设特定顺序排列，例如，按照从小到大、从大到小或者其他指定顺序，可以生成如下列表：IP1，IP2，......,IPN。

IPv4公有地址池中的IPv4公有地址总数m计算方式如下：

m=（d1-c1+1）+（d2-c2+1）+......

所有IPv4公有地址按照特定顺序排列，例如，按照从小到大、从大到小或者其他指定顺序排列，可以生成如下列表：

IPp_0，IPp_1,....,IPp_(m-1)。

可用端口块数的计算方法如下：

n=int((pe-ps+1)/B)

其中，int((pe-ps+1)/B)表示对(pe-ps+1)/B取整。所有按照这种方式生成的可用端口块列表如下：

第j个端口块为：[ps+(j-1)*B,ps+j*B-1]，j=1,......,n。

IPv4公有地址池中的所有用户地址，可用端口块构成m*n矩阵，矩阵中第i行第j列的的一个元素（公有地址，端口块）可以表示如下：

[IPp_i,[ps+(j-1)*B,ps+j*B-1]],i=0,......(m-1),j=1,......,n

其中，i表示矩阵行号，j表示矩阵列号，上述元素表示矩阵中第i行第j列的IPv4公有地址与端口块。

230，判断配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数是否合理。

示例性地，可以计算并比较用户地址、IPv4公有地址、端口范围及端口块大小等参数的合理性。

当N<=m*n，即每个用户地址都可以找到一个对应的IPv4公有地址及其端口块，认为配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数合理，执行240的操作。否则，当N>m*n，配置参数不合理，认为配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数不合理，返回执行210的操作，重新根据运营级地址转换设备覆盖区域的用户信息，配置用户地址池、IPv4公有地址池、端口块大小与端口范围参数。

240，依次为N个用户地址中的k*m+1～(k+1)*m个用户地址，分配由m个IPv4公有地址与n个可用端口块组成的m*n矩阵中第k＋1列各行元素（公有地址，端口块）对应的IPv4公有地址与端口块，创建用户地址与分配的（公有地址，端口块）之间的映射关系。

其中，k为从0开始取值的整数，m*n矩阵中的各元素（公有地址，端口块）由IPv4公有地址池中的一个IPv4公有地址与一个可用端口块组成。

示例性地，为用户地址选择对应的IPv4公有地址和端口块，选择的方法是：（公有地址，端口块）矩阵按列与用户地址创建映射关系，即：用前m个用户地址对应用（公有地址，端口块）矩阵的第1列，第m+1个用户地址对应矩阵的第2列，依次类推，直到所有用户地址都确定了对应的IPv4公有地址和端口块。

当确定了为用户地址从（公有地址，端口块）矩阵中选择IPv4公有地址和端口块的方法，各用户地址对应的（公有地址，端口块）就确定了，也就为用户地址池的所有地址创建了用户地址映射关系。具体方法如下：

对于用户地址列表IP1，IP2，......,IPN中的第x个地址（x=1，......，N），用户地址IPx对应的用户地址和端口块序号如下：

I=(x-1)mod(m)；

J=int(x/m)+1；

x=1,......,N；

其中，(x-1)mod(m)，x=1,......,N表示对x-1进行求模运算，即（x-1）/m的余数；int（x/m）表示对x/m做取整运算。这里的I，J表示对应的IP地址和端口块序号，即：用户地址IP的对应关系如下：

IPx<——>(IPp_I，[ps+(J-1)*B,ps+J*B-1])。

图3为本发明对用户地址映射关系的处理方法又一个实施例的流程图。该实施例中，继续参考图2中的具体实例，对本发明实施例中用户地址映射关系查询过程进行示例性说明。接收到用户报文后，从用户报文中获得用户地址信息，根据已经创建的用户地址映射关系，可以直接确定用户地址对应的IPv4公有地址和端口块等信息。如图3所示，该实施例包括：

310，查询用户报文中的用户地址在用户地址池中的序号P。

将用户报文中的用户地址IP依次与用户地址池中的用户地址列表IP1，IP2,......,IPN的地址进行比较：

当IP=IP1，则P=1；否则

当IP=IP2，则P=2；否则

当IP=IPx，则P=x；否则

当IP=IPN，则P=N；否则

返回错误信息。

320，根据用户地址在用户地址池中的序号P计算该用户地址对应的IPv4公有地址与端口块m*n矩阵中的元素位置（I，J）。具体的计算方法与图2所示实施例用户地址映射关系创建过程方法相应。

示例性地，可以通过如下方式计算元素位置（I，J）：I=(P-1)mod(m)，J=int(P/m)+1。

其中，(P-1)mod(m)表示对P-1进行求模运算，即（P-1）/m的余数；int（P/m）表示对P/m做取整运算。这里的I，J表示对应的IP地址和端口块序号。

330，读取m*n矩阵中的元素位置（I，J）上元素包括的IPv4公有地址与端口块，得到用户报文中的用户地址对应的IPv4公有地址与端口块。

基于320中的示例，可以得到用户报文中的用户地址对应的IPv4公有地址与端口块为：(IPp_I，[ps+(J-1)*B,ps+J*B-1])。

图4为本发明运营级地址转换设备一个实施例的结构示意图。该实施例的运营级地址转换设备可用于实现本发明上述各对用户地址映射关系的处理方法实施例。如图4所示，其包括配置单元、创建单元、接收单元、查询单元与发送单元。其中：

配置单元，用于根据运营级地址转换设备覆盖区域的用户信息，配置用户地址池、IPv4公有地址池、端口块大小与端口范围参数。其中，用户地址池包括N个用户地址，IPv4公有地址池包括m个IPv4公有地址，m、N为大于1的整数，m小于N。

示例性地，用户地址池包括多个IPv4地址段、多个IPv6地址或者多个IPv6前缀。

创建单元，用于根据配置单元配置的用户地址池、IPv4公有地址池、端口块大小与端口范围信息计算用户地址总数N、IPv4公有地址总数m与可用端口块总数n；其中，n为大于或等于1的整数；依次为N个用户地址中的k*m+1～(k+1)*m个用户地址，分配由m个IPv4公有地址与n个可用端口块组成的m*n矩阵中第k＋1列各行元素（公有地址，端口块）对应的IPv4公有地址与端口块，创建用户地址与分配的（公有地址，端口块）之间的映射关系。其中，k为从0开始取值的整数，m*n矩阵的元素（公有地址，端口块）由IPv4公有地址池中的一个IPv4公有地址与一个可用端口块组成。

接收单元，用于在接收到用户报文后，获取用户报文中的用户地址。

查询单元，用于查询由创建单元创建的映射关系，获取用户报文中的用户地址对应的IPv4公有地址与端口块。

当用户报文到达运营级地址转换设备，查询单元可以利用用户报文携带的用户地址查询对应的公有地址、端口块；在融合BRAS功能与运营级地址转换功能的运营级地址转换设备中，当用户上线，BRAS为用户分配地址，运营级地址转换设备可以直接查询该地址对应的公有地址、端口块，从而支持用户访问。

发送单元，用于根据查询单元查询到的用户地址对应的IPv4公有地址与端口块，从用户地址对应的端口块中选择端口号，并对用户报文做运营级地址转换处理。

本发明上述实施例提供的运营级地址转换设备，依次为N个用户地址中的k*m+1～(k+1)*m个用户地址，分配由m个IPv4公有地址与n个可用端口块组成的m*n矩阵中第k＋1列各行元素（公有地址，端口块）对应的IPv4公有地址与端口块，创建用户地址与分配的（公有地址，端口块）之间的映射关系，将连续的用户地址对应的IPv4公有地址及端口块分散到整个IPv4公有地址池，使连续的用户地址尽量使用不同的IPv4公有地址，并使用户地址对应的IPv4公有地址与端口块近似随机关系，不易被非法用户发现和利用，与现有技术第二种方式建立固定映射关系存在的安全风险相比，从而提高了用户地址映射关系的安全性，将恶意抢占端口号等攻击行为的影响降到最小。

根据本发明运营级地址转换设备实施例的一个具体示例而非限制，创建单元具体可以根据用户地址池信息计算用户地址总数N，根据IPv4公有地址池信息计算IPv4公有地址总数m，以及根据端口块大小B与端口范围【ps，pe】信息计算可用端口块总数n；其中，B为大于0的整数，ps、pe为大于或等于0的整数，ps小于pe。

进一步示例性地，创建单元根据端口块大小B与端口范围【ps，pe】信息计算可用端口块总数n时，具体可以通过n=int((pe-ps+1)/B)计算可用端口块总数n；其中，int((pe-ps+1)/B)表示对(pe-ps+1)/B取整，则计算得到的n个可用端口块构成的可用端口块列表中，第j个端口块表示为：[ps+(j-1)*B,ps+j*B-1]，j=1,......,n。

示例性地，IPv4公有地址池中的m个IPv4公有地址按照特定顺序排列为如下公有地址列表：IPp_0，IPp_1,....,IPp_(m-1)。相应地，m*n矩阵中第i行第j列的元素（公有地址，端口块）具体可以表示为：[IPp_i,[ps+(j-1)*B,ps+j*B-1]],i=0,......(m-1),j=1,......,n。

在本发明运营级地址转换设备的另一个实施例中，创建单元还可以用于在计算用户地址总数N、IPv4公有地址总数m与可用端口块总数n之后，判断配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数是否合理；若配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数合理，执行依次为N个用户地址中的k*m+1～(k+1)*m个用户地址，分配由m个IPv4公有地址与n个可用端口块组成的m*n矩阵中第k＋1列各行元素（公有地址，端口块）对应的IPv4公有地址与端口块的操作；否则，若配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数不合理，指示配置单元重新执行根据运营级地址转换设备覆盖区域的用户信息，配置用户地址池、IPv4公有地址池、端口块大小与端口范围参数的操作。

示例性地，当N<=m*n，每个用户地址都有一个对应的IPv4公有地址与端口块，配置参数合理；否则，当N>m*n，配置参数不合理。

根据本发明运营级地址转换设备实施例的另一个具体示例而非限制，查询单元具体可以查询用户报文中的用户地址在用户地址池中的序号P；根据用户地址在用户地址池中的序号P计算该用户地址对应的IPv4公有地址与端口块m*n矩阵中的元素位置（I，J）；以及读取m*n矩阵中的元素位置（I，J）上元素包括的IPv4公有地址与端口块，得到用户报文中的用户地址对应的IPv4公有地址与端口块。

示例性地，查询单元根据用户地址在用户地址池中的序号P计算该用户地址对应的IPv4公有地址与端口块m*n矩阵中的元素位置（I，J）时，具体可以通过如下方式计算元素位置（I，J）：I=(P-1)mod(m)，J=int(P/m)+1；得到用户报文中的用户地址对应的IPv4公有地址与端口块为：(IPp_I，[ps+(J-1)*B,ps+J*B-1])。

本说明书中各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似的部分相互参见即可。对于设备实施例而言，由于其与方法实施例基本对应，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

可能以许多方式来实现本发明的方法和设备。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和设备。用于所述方法的步骤的上述顺序仅是为了进行说明，本发明的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本发明实施为记录在记录介质中的程序，这些程序包括用于实现根据本发明的方法的机器可读指令。因而，本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

本发明实施例可以提高用户地址映射关系的安全性，避免抢占端口对用户访问应用的影响。其中的运营级地址转换设备可以是如CGN/AFTR/NAT64等，可以适用于NAT444、DS-Lite、NAT64等下一代互联网过渡技术部署的场景。

本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。

Claims (16)

1.一种对用户地址映射关系的处理方法，其特征在于，包括：

根据运营级地址转换装置覆盖区域的用户信息，配置用户地址池、第四版互联网协议IPv4公有地址池、端口块大小与端口范围参数；其中，用户地址池包括N个用户地址，IPv4公有地址池包括m个IPv4公有地址，m、N为大于1的整数，m小于N；

根据配置的用户地址池、IPv4公有地址池、端口块大小与端口范围信息计算用户地址总数N、IPv4公有地址总数m与可用端口块总数n；其中，n为大于或等于1的整数；

依次为N个用户地址中的k*m+1～(k+1)*m个用户地址，分配由m个IPv4公有地址与n个可用端口块组成的m*n矩阵中第k+1列各行元素对应的IPv4公有地址与端口块，创建用户地址与分配的IPv4公有地址与端口块之间的映射关系；其中，k为从0开始取值的整数，且k的最大值小于n-1；m*n矩阵的元素由IPv4公有地址池中的一个IPv4公有地址与一个可用端口块组成；

接收到用户报文后，获取用户报文中的用户地址；

查询创建的映射关系，获取用户报文中的用户地址对应的IPv4公有地址与端口块；

根据用户地址对应的IPv4公有地址与端口块，从用户地址对应的端口块选择端口号，并对用户报文做运营级地址转换处理；

其中，根据配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数计算用户地址总数N、IPv4公有地址总数与可用端口块总数n包括：

根据用户地址池信息计算用户地址总数N；

根据IPv4公有地址池信息计算IPv4公有地址总数m；

根据端口块大小B与端口范围[ps，pe]信息计算可用端口块总数n；其中，B为大于0的整数，ps、pe为大于或等于0的整数，ps小于pe。

2.根据权利要求1所述的方法，其特征在于，所述用户地址池包括多个IPv4地址段、多个IPv6地址或者多个IPv6前缀。

3.根据权利要求1至2任意一项所述的方法，其特征在于，根据端口块大小B与端口范围[ps，pe]信息计算可用端口块总数n包括：

通过n＝int((pe-ps+1)/B)计算可用端口块总数n；其中，int((pe-ps+1)/B)表示对(pe-ps+1)/B取整，则计算得到的n个可用端口块构成的可用端口块列表中，第j个端口块表示为：[ps+(j-1)*B,ps+j*B-1]，j＝1,……,n。

4.根据权利要求3所述的方法，其特征在于，IPv4公有地址池中的m个IPv4公有地址按照特定顺序排列为如下公有地址列表：IPp_0，IPp_1,….,IPp_(m-1)；

所述m*n矩阵中第i行第j列的元素为：[IPp_i,[ps+(j-1)*B,ps+j*B-1]],i＝0,……(m-1),j＝1,……,n。

5.根据权利要求4所述的方法，其特征在于，计算用户地址总数N、IPv4公有地址总数m与可用端口块总数n之后，还包括：

判断配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数是否合理；

若配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数合理，执行所述依次为N个用户地址中的k*m+1～(k+1)*m个用户地址，分配由m个IPv4公有地址与n个可用端口块组成的m*n矩阵中第k+1列各行元素对应的IPv4公有地址与端口块的操作；

否则，若配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数不合理，重新执行所述根据运营级地址转换装置覆盖区域的用户信息，配置用户地址池、IPv4公有地址池、端口块大小与端口范围参数的操作。

6.根据权利要求5所述的方法，其特征在于，当N<＝m*n，每个用户地址都有一个对应的IPv4公有地址与端口块，配置参数合理；

否则，当N>m*n，配置参数不合理。

7.根据权利要求6所述的方法，其特征在于，查询建立的映射关系，获取用户报文中的用户地址对应的IPv4公有地址与端口块包括：

查询用户报文中的用户地址在所述用户地址池中的序号P；

根据用户地址在所述用户地址池中的序号P计算该用户地址对应的IPv4公有地址与端口块m*n矩阵中的元素位置(I，J)；

读取m*n矩阵中的元素位置(I，J)上元素包括的IPv4公有地址与端口块，得到用户报文中的用户地址对应的IPv4公有地址与端口块。

8.根据权利要求7所述的方法，其特征在于，根据用户地址在所述用户地址池中的序号P计算该用户地址对应的IPv4公有地址与端口块m*n矩阵中的元素位置(I，J)包括：

通过如下方式计算元素位置(I，J)：I＝(P-1)mod(m)，J＝int(P/m)+1；其中，(P-1)mod(m)表示对(P-1)求模，int(P/m)表示对P/m取整；

所述得到用户报文中的用户地址对应的IPv4公有地址与端口块为：(IPp_I，[ps+(J-1)*B,ps+J*B-1])。

9.一种运营级地址转换设备，其特征在于，包括：

配置单元，用于根据所述运营级地址转换设备覆盖区域的用户信息，配置用户地址池、IPv4公有地址池、端口块大小与端口范围参数；其中，用户地址池包括N个用户地址，IPv4公有地址池包括m个IPv4公有地址，m、N为大于1的整数，m小于N；

创建单元，用于根据配置的用户地址池、IPv4公有地址池、端口块大小与端口范围信息计算用户地址总数N、IPv4公有地址总数m与可用端口块总数n；其中，n为大于或等于1的整数；依次为N个用户地址中的k*m+1～(k+1)*m个用户地址，分配由m个IPv4公有地址与n个可用端口块组成的m*n矩阵中第k+1列各行元素对应的IPv4公有地址与端口块，创建用户地址与分配的IPv4公有地址与端口块之间的映射关系；其中，k为从0开始取值的整数，且k的最大值小于n-1；m*n矩阵的元素由IPv4公有地址池中的一个IPv4公有地址与一个可用端口块组成；所述创建单元具体根据用户地址池信息计算用户地址总数N，根据IPv4公有地址池信息计算IPv4公有地址总数m，以及根据端口块大小B与端口范围[ps，pe]信息计算可用端口块总数n；其中，B为大于0的整数，ps、pe为大于或等于0的整数，ps小于pe；

接收单元，用于在接收到用户报文后，获取用户报文中的用户地址；

查询单元，用于查询由创建单元创建的映射关系，获取用户报文中的用户地址对应的IPv4公有地址与端口块；

发送单元，用于根据查询单元查询到的用户地址对应的IPv4公有地址与端口块，从用户地址对应的端口块选择端口号，并对用户报文做运营级地址转换处理。

10.根据权利要求9所述的设备，其特征在于，所述用户地址池包括多个IPv4地址段、多个IPv6地址或者多个IPv6前缀。

11.根据权利要求9至10任意一项所述的设备，其特征在于，所述创建单元根据端口块大小B与端口范围[ps，pe]信息计算可用端口块总数n时，具体通过n＝int((pe-ps+1)/B)计算可用端口块总数n；其中，int((pe-ps+1)/B)表示对(pe-ps+1)/B取整，则计算得到的n个可用端口块构成的可用端口块列表中，第j个端口块表示为：[ps+(j-1)*B,ps+j*B-1]，j＝1,……,n。

12.根据权利要求11所述的设备，其特征在于，IPv4公有地址池中的m个IPv4公有地址按照特定顺序排列为如下公有地址列表：IPp_0，IPp_1,….,IPp_(m-1)；

所述m*n矩阵中第i行第j列的元素为：[IPp_i,[ps+(j-1)*B,ps+j*B-1]],i＝0,……(m-1),j＝1,……,n。

13.根据权利要求12所述的设备，其特征在于，所述创建单元还用于在计算用户地址总数N、IPv4公有地址总数m与可用端口块总数n之后，判断配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数是否合理；若配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数合理，执行所述依次为N个用户地址中的k*m+1～(k+1)*m个用户地址，分配由m个IPv4公有地址与n个可用端口块组成的m*n矩阵中第k+1列各行元素对应的IPv4公有地址与端口块的操作；否则，若配置的用户地址池、IPv4公有地址池、端口块大小与端口范围参数不合理，指示所述配置单元重新执行所述根据运营级地址转换设备覆盖区域的用户信息，配置用户地址池、IPv4公有地址池、端口块大小与端口范围参数的操作。

14.根据权利要求13所述的设备，其特征在于，当N<＝m*n，每个用户地址都有一个对应的IPv4公有地址与端口块，配置参数合理；

否则，当N>m*n，配置参数不合理。

15.根据权利要求14所述的设备，其特征在于，所述查询单元具体查询用户报文中的用户地址在所述用户地址池中的序号P；根据用户地址在所述用户地址池中的序号P计算该用户地址对应的IPv4公有地址与端口块m*n矩阵中的元素位置(I，J)；以及读取m*n矩阵中的元素位置(I，J)上元素包括的IPv4公有地址与端口块，得到用户报文中的用户地址对应的IPv4公有地址与端口块。

16.根据权利要求15所述的设备，其特征在于，所述查询单元根据用户地址在所述用户地址池中的序号P计算该用户地址对应的IPv4公有地址与端口块m*n矩阵中的元素位置(I，J)时，具体通过如下方式计算元素位置(I，J)：I＝(P-1)mod(m)，J＝int(P/m)+1；其中，(P-1)mod(m)表示对(P-1)求模，int(P/m)表示对P/m取整；

所述得到用户报文中的用户地址对应的IPv4公有地址与端口块为：(IPp_I，[ps+(J-1)*B,ps+J*B-1])。