CN105376339A - Nat444用户溯源的方法、设备、服务器和系统 - Google Patents
Nat444用户溯源的方法、设备、服务器和系统 Download PDFInfo
- Publication number
- CN105376339A CN105376339A CN201410433360.0A CN201410433360A CN105376339A CN 105376339 A CN105376339 A CN 105376339A CN 201410433360 A CN201410433360 A CN 201410433360A CN 105376339 A CN105376339 A CN 105376339A
- Authority
- CN
- China
- Prior art keywords
- address
- mapping relations
- private
- operator
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了NAT444用户溯源的方法、设备、服务器和系统。该方法包括:路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系;路由型CPE将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器;AAA服务器根据数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号。本发明可以根据用户终端IPv4地址定位到具体的用户终端。
Description
技术领域
本发明涉及网络安全技术,尤其是一种NAT444用户溯源的方法、设备、服务器和系统。
背景技术
NAT444作为一种部署在城域网内的私网双栈IPv6过渡技术,在技术风险、对用户影响、成本管控等方面有着明显优势,能够实现运营商网络从IPv4平滑过渡到IPv6。目前,NAT444技术成为了运营商向下一代互联网过渡的热点。
现有NAT444的认证溯源方案的总体思路如下:
在完成了NAT444方案部署后,AAA服务器和NAT444网关维护了相同的用户地址映射关系。应用服务器或溯源主机只需要把用户地址等信息提交AAA服务器,完成认证溯源相关流程。
当用户上线访问应用服务器,应用服务器把用户认证信息提交给AAA服务器,AAA服务器根据用户公有地址查询分配给用户的私有地址、认证信息,并自动完成用户认证,并把认证结果返回应用服务器。
用户溯源的原理类似用户认证原理。AAA服务器和NAT444网关维护了相同的用户地址映射关系。用户溯源报文仅需要把查询提交给AAA服务器,由AAA服务器完成用户信息的查询、关联和响应,可以直接完成用户溯源任务。
用户上线,完成用户认证和地址分配,这个过程是标准的用户接入流程。BRAS为用户地址随机选择公有地址、端口块、创建用户地址映射关系。BRAS采用的选择算法可以是hash算法,只需要保证不同用户地址选择不同的公有地址和端口块。BRAS在accouting-start消息中上报用户地址对应的公有地址、端口块等信息。这种上报方法要求RADIUS协议属性支持。RADIUS服务器获得用户地址、公有地址、端口块等信息,并维持与用户信息的关联关系。
在路由型CPE(CustomerPremiseEquipment,客户端设备)NAT444部署场景中,现在的溯源方法对IPv4用户只能定位到用户网关CPE,不能定位到具体的用户终端。
发明内容
本发明要解决的技术问题是在路由型CPENAT444部署场景中,现在的溯源方法对IPv4用户只能定位到用户网关CPE,不能定位到具体的用户终端。
根据本发明一方面,提出一种NAT444用户溯源的方法,包括:
路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系;
路由型CPE将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器;
其中,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
进一步,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系;
其中,AAA服务器根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号。
进一步,终端类型指终端的操作系统类型。
根据本发明一方面,提出一种NAT444用户溯源的设备,包括:
映射关系生成单元,用于根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系;
数据包发送单元,用于将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器;
其中,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
进一步,映射关系生成单元根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系;
其中,AAA服务器根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号。
进一步,终端类型指终端的操作系统类型。
进一步,映射关系生成单元和数据包发送单元设置在家庭网关。
根据本发明一方面,提出一种NAT444用户溯源的服务器,包括:
数据包接收单元,用于从BRAS接收携带有映射关系的数据包,该映射关系包括用户终端IPv4地址与运营商分配的私有IP地址;
映射关系更新单元,用于保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包;
其中,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系,将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到服务器。
进一步,数据包接收单元用于从BRAS接收携带有映射关系的数据包,该映射关系包括用户终端IPv4地址、终端类型以及运营商分配的私有IP地址;
映射关系更新单元用于保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号;
其中,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系,将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到服务器。
进一步,终端类型指终端的操作系统类型。
根据本发明一方面,提出一种NAT444用户溯源的系统,包括上述任一所述设备以及任一所述服务器。
本发明由于保存了用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPENAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址定位到具体的用户终端。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1为本发明一种NAT444用户溯源的方法的实施例的示意图。
图2为本发明一种NAT444用户溯源的方法的另一实施例的示意图。
图3为本发明一种NAT444用户溯源的设备的实施例的示意图。
图4为本发明一种NAT444用户溯源的服务器的实施例的示意图。
图5为本发明一种NAT444用户溯源的系统的实施例的示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
本发明提出了一种在部署了路由型CPE的NAT444私网双栈IPv6过渡技术的城域网场景下,增强用户溯源能力的方法、设备和系统。能够在用户终端发起网络攻击时,快速准确的溯源到具体的某一个IPv4终端。
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
图1为本发明一种NAT444用户溯源的方法的实施例的示意图。该方法包括以下步骤:
在步骤110,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系。其中,运营商分配的私有IP地址是由BRAS分配给路由型CPE的。路由型CPE具有路由功能。
在步骤120,路由型CPE将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器。
在步骤130,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,该映射关系可以由运营商事先配置好。根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
在该实施例中,由于保存了用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPENAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址定位到具体的用户终端。
例如,路由型CPE为用户终端1,2,3分配的用户终端IPv4地址是192.168.1.1,192.168.1.2,192.168.1.3,运营商为用户分配的私有IPv4地址是10.1.1.1,则会在路由型CPE上生成并保存如下映射关系:
192.168.1.1<->10.1.1.1。
192.168.1.2<->10.1.1.1
192.168.1.3<->10.1.1.1
将上述映射关系组合成一个IP包,发送到认证服务器BRAS,当BRAS一收到这个数据包立刻转发至AAA服务器。
AAA服务器根据收到的数据包中的运营商分配的私有IPv4地址10.1.1.1查找是否存在匹配项,经查找发现匹配项,则更新AAA服务器的映射条目为:
(192.168.1.1,10.1.1.1)<->(120.1.1.1,【1024,2047】)
(192.168.1.2,10.1.1.1)<->(120.1.1.1,【2048,3071】)
(192.168.1.3,10.1.1.1)<->(120.1.1.1,【3072,4095】)
由于映射条目上记录了家庭网关CPE分配给各用户终端的IPv4地址、运营商分配给用户的私有IP地址、运营商分配给用户的公有IP地址及端口块,所以当网络上存在由用户终端发起的攻击的时候,能获取用户终端的IPv4地址,根据用户终端的IPv4地址,通过原溯源流程也能快速定位到CPE下的用户终端。
图2为本发明一种NAT444用户溯源的方法的另一实施例的示意图。该方法包括以下步骤:
在步骤210,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系。其中,运营商分配的私有IP地址是由BRAS分配给路由型CPE的。终端类型指终端的操作系统类型,包括windows、linux、安卓、苹果IOS等各种版本,例如PC是window7,手机是android4.3等。路由型CPE具有路由功能。
在步骤220,路由型CPE将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器。
在步骤230,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,该映射关系可以由运营商事先配置好。根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
在该实施例中,由于保存了用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPENAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址以及终端类型定位到具体的用户终端,更加方便追踪溯源。
例如,路由型CPE为用户终端1,2,3分配的用户终端IPv4地址是192.168.1.1,192.168.1.2,192.168.1.3,运营商为用户分配的私有IPv4地址是10.1.1.1,用户终端1,2,3的操作系统类型分别是windowsXP,windows7,CentOSLinux,则会在路由型CPE上生成并保存如下映射关系:
(192.168.1.1,windowsXP,10.1.1.1)
(192.168.1.2,windows7,10.1.1.1)
(192.168.1.3,CentOSLinux,10.1.1.1)
将上述映射关系组合成一个IP包,发送到认证服务器BRAS,当BRAS一收到这个数据包立刻转发至AAA服务器。
AAA服务器根据收到的数据包中的运营商分配的私有IPv4地址10.1.1.1查找是否存在匹配项,经查找发现匹配项,则更新AAA服务器的映射条目为:
(192.168.1.1,windowsXP,10.1.1.1)<->(120.1.1.1,【1024,2047】)
(192.168.1.2,windows7,10.1.1.1)<->(120.1.1.1,【2048,3071】)
(192.168.1.3,CentOSLinux,10.1.1.1)<->(120.1.1.1,【3072,4095】)
由于映射条目上记录了家庭网关CPE分配给各用户终端的IPv4地址、终端类型、运营商分配给用户的私有IP地址、运营商分配给用户的公有IP地址及端口块,所以当网络上存在由用户终端发起的攻击的时候,能获取用户终端的IPv4地址以及终端类型,根据用户终端的IPv4地址以及终端类型,通过原溯源流程也能快速定位到CPE下的用户终端,更加方便追踪溯源。
图3为本发明一种NAT444用户溯源的设备的实施例的示意图。该设备包括:映射关系生成单元310和数据包发送单元320。在本发明一实施例中,映射关系生成单元310和数据包发送单元320设置在家庭网关。
映射关系生成单元310,用于根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系。其中,运营商分配的私有IP地址是由BRAS分配给路由型CPE的。路由型CPE具有路由功能。
数据包发送单元320,用于将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器。
其中,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,该映射关系可以由运营商事先配置好。根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
在该实施例中,由于保存了用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPENAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址定位到具体的用户终端。
例如,映射关系生成单元310为用户终端1,2,3分配的用户终端IPv4地址是192.168.1.1,192.168.1.2,192.168.1.3,运营商为用户分配的私有IPv4地址是10.1.1.1,则会在映射关系生成单元310上生成并保存如下映射关系:
192.168.1.1<->10.1.1.1。
192.168.1.2<->10.1.1.1
192.168.1.3<->10.1.1.1
将上述映射关系组合成一个IP包,发送到认证服务器BRAS,当BRAS一收到这个数据包立刻转发至AAA服务器。
AAA服务器根据收到的数据包中的运营商分配的私有IPv4地址10.1.1.1查找是否存在匹配项,经查找发现匹配项,则更新AAA服务器的映射条目为:
(192.168.1.1,10.1.1.1)<->(120.1.1.1,【1024,2047】)
(192.168.1.2,10.1.1.1)<->(120.1.1.1,【2048,3071】)
(192.168.1.3,10.1.1.1)<->(120.1.1.1,【3072,4095】)
由于映射条目上记录了家庭网关CPE分配给各用户终端的IPv4地址、运营商分配给用户的私有IP地址、运营商分配给用户的公有IP地址及端口块,所以当网络上存在由用户终端发起的攻击的时候,能获取用户终端的IPv4地址,根据用户终端的IPv4地址,通过原溯源流程也能快速定位到CPE下的用户终端。
在本发明另一实施例中,映射关系生成单元310用于根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系。其中,运营商分配的私有IP地址是由BRAS分配给路由型CPE的。终端类型指终端的操作系统类型,包括windows、linux、安卓、苹果IOS等各种版本,例如PC是window7,手机是android4.3等。路由型CPE具有路由功能。
数据包发送单元320用于将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器。
其中,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,该映射关系可以由运营商事先配置好。根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
在该实施例中,由于保存了用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPENAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址以及终端类型定位到具体的用户终端,更加方便追踪溯源。
例如,映射关系生成单元310为用户终端1,2,3分配的用户终端IPv4地址是192.168.1.1,192.168.1.2,192.168.1.3,运营商为用户分配的私有IPv4地址是10.1.1.1,用户终端1,2,3的操作系统类型分别是windowsXP,windows7,CentOSLinux,则会在映射关系生成单元310上生成并保存如下映射关系:
(192.168.1.1,windowsXP,10.1.1.1)
(192.168.1.2,windows7,10.1.1.1)
(192.168.1.3,CentOSLinux,10.1.1.1)
将上述映射关系组合成一个IP包,发送到认证服务器BRAS,当BRAS一收到这个数据包立刻转发至AAA服务器。
AAA服务器根据收到的数据包中的运营商分配的私有IPv4地址10.1.1.1查找是否存在匹配项,经查找发现匹配项,则更新AAA服务器的映射条目为:
(192.168.1.1,windowsXP,10.1.1.1)<->(120.1.1.1,【1024,2047】)
(192.168.1.2,windows7,10.1.1.1)<->(120.1.1.1,【2048,3071】)
(192.168.1.3,CentOSLinux,10.1.1.1)<->(120.1.1.1,【3072,4095】)
由于映射条目上记录了家庭网关CPE分配给各用户终端的IPv4地址、终端类型、运营商分配给用户的私有IP地址、运营商分配给用户的公有IP地址及端口块,所以当网络上存在由用户终端发起的攻击的时候,能获取用户终端的IPv4地址以及终端类型,根据用户终端的IPv4地址以及终端类型,通过原溯源流程也能快速定位到CPE下的用户终端,更加方便追踪溯源。
图4为本发明一种NAT444用户溯源的服务器的实施例的示意图。该服务器包括:数据包接收单元410和映射关系更新单元420。
数据包接收单元410,用于从BRAS接收携带有映射关系的数据包,该映射关系包括用户终端IPv4地址与运营商分配的私有IP地址。
映射关系更新单元420,用于保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,该映射关系可以由运营商事先配置好。根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
其中,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系,将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器。其中,运营商分配的私有IP地址是由BRAS分配给路由型CPE的。路由型CPE具有路由功能。
在该实施例中,由于保存了用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPENAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址定位到具体的用户终端。
在本发明另一实施例中,数据包接收单元410用于从BRAS接收携带有映射关系的数据包,该映射关系包括用户终端IPv4地址、终端类型以及运营商分配的私有IP地址。终端类型指终端的操作系统类型,包括windows、linux、安卓、苹果IOS等各种版本,例如PC是window7,手机是android4.3等。
映射关系更新单元420用于保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,该映射关系可以由运营商事先配置好。根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
其中,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系,将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器。
在该实施例中,由于保存了用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPENAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址以及终端类型定位到具体的用户终端,更加方便追踪溯源。
图5为本发明一种NAT444用户溯源的系统的实施例的示意图。该系统包括:NAT444用户溯源的设备510以及NAT444用户溯源的服务器520。这里所说的设备以及服务器如上述的各个实施例所述。
至此,已经详细描述了本发明。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本发明的方法以及装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发明的范围由所附权利要求来限定。
Claims (11)
1.一种NAT444用户溯源的方法,其特征在于,包括:
路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系;
路由型CPE将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器;
其中,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
2.根据权利要求1所述NAT444用户溯源的方法,其特征在于,包括以下步骤:
路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系;
其中,AAA服务器根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号。
3.根据权利要求2所述NAT444用户溯源的方法,其特征在于,包括以下步骤:
终端类型指终端的操作系统类型。
4.一种NAT444用户溯源的设备,其特征在于,包括:
映射关系生成单元,用于根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系;
数据包发送单元,用于将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器;
其中,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
5.根据权利要求4所述NAT444用户溯源的设备,其特征在于,包括:
映射关系生成单元根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系;
其中,AAA服务器根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号。
6.根据权利要求5所述NAT444用户溯源的设备,其特征在于,包括:
终端类型指终端的操作系统类型。
7.根据权利要求4所述NAT444用户溯源的设备,其特征在于,包括:
映射关系生成单元和数据包发送单元设置在家庭网关。
8.一种NAT444用户溯源的服务器,其特征在于,包括:
数据包接收单元,用于从BRAS接收携带有映射关系的数据包,该映射关系包括用户终端IPv4地址与运营商分配的私有IP地址;
映射关系更新单元,用于保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包;
其中,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系,将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到服务器。
9.根据权利要求8所述NAT444用户溯源的服务器,其特征在于,包括:
数据包接收单元用于从BRAS接收携带有映射关系的数据包,该映射关系包括用户终端IPv4地址、终端类型以及运营商分配的私有IP地址;
映射关系更新单元用于保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号;
其中,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系,将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到服务器。
10.根据权利要求9所述NAT444用户溯源的服务器,其特征在于,包括:
终端类型指终端的操作系统类型。
11.一种NAT444用户溯源的系统,其特征在于,包括权利要求4至7任一所述设备以及8至10任一所述服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410433360.0A CN105376339B (zh) | 2014-08-29 | 2014-08-29 | Nat444用户溯源的方法、设备、服务器和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410433360.0A CN105376339B (zh) | 2014-08-29 | 2014-08-29 | Nat444用户溯源的方法、设备、服务器和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105376339A true CN105376339A (zh) | 2016-03-02 |
CN105376339B CN105376339B (zh) | 2018-12-04 |
Family
ID=55378133
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410433360.0A Active CN105376339B (zh) | 2014-08-29 | 2014-08-29 | Nat444用户溯源的方法、设备、服务器和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105376339B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108123807A (zh) * | 2016-11-29 | 2018-06-05 | 中国电信股份有限公司 | 宽带网络中用户身份溯源的系统和方法 |
CN108449392A (zh) * | 2018-03-01 | 2018-08-24 | 深圳市创梦天地科技有限公司 | 设备识别装置、方法、电子设备以及存储介质 |
CN109150566A (zh) * | 2017-06-19 | 2019-01-04 | 中兴通讯股份有限公司 | 一种业务路径还原方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040052216A1 (en) * | 2002-09-17 | 2004-03-18 | Eung-Seok Roh | Internet protocol address allocation device and method |
CN103209159A (zh) * | 2012-01-13 | 2013-07-17 | 中国电信股份有限公司 | 门户认证方法和系统 |
CN103825763A (zh) * | 2014-02-26 | 2014-05-28 | 中国联合网络通信集团有限公司 | 一种用户溯源的方法和系统 |
CN103916491A (zh) * | 2014-04-04 | 2014-07-09 | 杭州华三通信技术有限公司 | 基于nat444架构的动态地址映射方法及装置 |
-
2014
- 2014-08-29 CN CN201410433360.0A patent/CN105376339B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040052216A1 (en) * | 2002-09-17 | 2004-03-18 | Eung-Seok Roh | Internet protocol address allocation device and method |
CN103209159A (zh) * | 2012-01-13 | 2013-07-17 | 中国电信股份有限公司 | 门户认证方法和系统 |
CN103825763A (zh) * | 2014-02-26 | 2014-05-28 | 中国联合网络通信集团有限公司 | 一种用户溯源的方法和系统 |
CN103916491A (zh) * | 2014-04-04 | 2014-07-09 | 杭州华三通信技术有限公司 | 基于nat444架构的动态地址映射方法及装置 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108123807A (zh) * | 2016-11-29 | 2018-06-05 | 中国电信股份有限公司 | 宽带网络中用户身份溯源的系统和方法 |
CN108123807B (zh) * | 2016-11-29 | 2020-09-04 | 中国电信股份有限公司 | 宽带网络中用户身份溯源的系统和方法 |
CN109150566A (zh) * | 2017-06-19 | 2019-01-04 | 中兴通讯股份有限公司 | 一种业务路径还原方法及装置 |
CN108449392A (zh) * | 2018-03-01 | 2018-08-24 | 深圳市创梦天地科技有限公司 | 设备识别装置、方法、电子设备以及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN105376339B (zh) | 2018-12-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103580980B (zh) | 虚拟网络自动发现和自动配置的方法及其装置 | |
JP5587512B2 (ja) | モバイル機器と静的宛先アドレスとの間のデータ伝送を可能にするための方法および装置 | |
CN101986665B (zh) | Ipv6地址分配方法和系统 | |
CN106878199B (zh) | 一种接入信息的配置方法和装置 | |
CN107547242B (zh) | Vm配置信息的获取方法及装置 | |
KR20150076041A (ko) | 가상 사설 클라우드망에서 사설 ip 주소 기반의 멀티 테넌트를 지원하기 위한 시스템 및 그 방법 | |
CN107547665B (zh) | 一种dhcp地址分配的方法、设备及系统 | |
CN111741039B (zh) | 会话请求处理方法、装置及电子设备 | |
CN109495594B (zh) | 一种数据传输方法、pnf sdn控制器、vnf sdn控制器及系统 | |
CN109769249B (zh) | 一种认证方法、系统及其装置 | |
WO2014101041A1 (zh) | Ipv6地址溯源方法、装置和系统 | |
CN106878278B (zh) | 一种报文处理方法及装置 | |
JP2019519146A (ja) | ルーティング確立、パケット送信 | |
WO2015000384A1 (zh) | 一种标签处理的方法及装置 | |
WO2014142258A1 (ja) | 通信システム、制御装置、アドレス割当方法及びプログラム | |
CN105376339A (zh) | Nat444用户溯源的方法、设备、服务器和系统 | |
CN107979619B (zh) | 一种twamp会话协商方法、客户端及服务端 | |
CN105049546A (zh) | 一种dhcp服务器为客户端分配ip地址的方法及装置 | |
CN105208140A (zh) | 用于发送数据的方法、装置和系统 | |
CN106375489B (zh) | 媒体访问控制mac地址的处理方法及装置 | |
CN105472054A (zh) | 一种报文发送方法及接入设备 | |
WO2016095751A1 (zh) | 一种域名解析方法及装置 | |
CN105282102A (zh) | 数据流处理方法和系统以及IPv6 数据处理设备 | |
JP2013243674A (ja) | 端末間の接続のための方法 | |
US20200344157A1 (en) | Receiver Directed Anonymization of Identifier Flows in Identity Enabled Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |