CN105376339B - Nat444用户溯源的方法、设备、服务器和系统 - Google Patents
Nat444用户溯源的方法、设备、服务器和系统 Download PDFInfo
- Publication number
- CN105376339B CN105376339B CN201410433360.0A CN201410433360A CN105376339B CN 105376339 B CN105376339 B CN 105376339B CN 201410433360 A CN201410433360 A CN 201410433360A CN 105376339 B CN105376339 B CN 105376339B
- Authority
- CN
- China
- Prior art keywords
- address
- mapping relations
- operator
- private
- distribution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了NAT444用户溯源的方法、设备、服务器和系统。该方法包括:路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系;路由型CPE将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器;AAA服务器根据数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号。本发明可以根据用户终端IPv4地址定位到具体的用户终端。
Description
技术领域
本发明涉及网络安全技术,尤其是一种NAT444用户溯源的方法、设备、服务器和系统。
背景技术
NAT444作为一种部署在城域网内的私网双栈IPv6过渡技术,在技术风险、对用户影响、成本管控等方面有着明显优势,能够实现运营商网络从IPv4平滑过渡到IPv6。目前,NAT444技术成为了运营商向下一代互联网过渡的热点。
现有NAT444的认证溯源方案的总体思路如下:
在完成了NAT444方案部署后,AAA服务器和NAT444网关维护了相同的用户地址映射关系。应用服务器或溯源主机只需要把用户地址等信息提交AAA服务器,完成认证溯源相关流程。
当用户上线访问应用服务器,应用服务器把用户认证信息提交给AAA服务器,AAA服务器根据用户公有地址查询分配给用户的私有地址、认证信息,并自动完成用户认证,并把认证结果返回应用服务器。
用户溯源的原理类似用户认证原理。AAA服务器和NAT444网关维护了相同的用户地址映射关系。用户溯源报文仅需要把查询提交给AAA服务器,由AAA服务器完成用户信息的查询、关联和响应,可以直接完成用户溯源任务。
用户上线,完成用户认证和地址分配,这个过程是标准的用户接入流程。BRAS为用户地址随机选择公有地址、端口块、创建用户地址映射关系。BRAS采用的选择算法可以是hash算法,只需要保证不同用户地址选择不同的公有地址和端口块。BRAS在accouting-start消息中上报用户地址对应的公有地址、端口块等信息。这种上报方法要求RADIUS协议属性支持。RADIUS服务器获得用户地址、公有地址、端口块等信息,并维持与用户信息的关联关系。
在路由型CPE(CustomerPremise Equipment,客户端设备)NAT444部署场景中,现在的溯源方法对IPv4用户只能定位到用户网关CPE,不能定位到具体的用户终端。
发明内容
本发明要解决的技术问题是在路由型CPE NAT444部署场景中,现在的溯源方法对IPv4用户只能定位到用户网关CPE,不能定位到具体的用户终端。
根据本发明一方面,提出一种NAT444用户溯源的方法,包括:
路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系;
路由型CPE将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器;
其中,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
进一步,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系;
其中,AAA服务器根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号。
进一步,终端类型指终端的操作系统类型。
根据本发明一方面,提出一种NAT444用户溯源的设备,包括:
映射关系生成单元,用于根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系;
数据包发送单元,用于将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器;
其中,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
进一步,映射关系生成单元根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系;
其中,AAA服务器根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号。
进一步,终端类型指终端的操作系统类型。
进一步,映射关系生成单元和数据包发送单元设置在家庭网关。
根据本发明一方面,提出一种NAT444用户溯源的服务器,包括:
数据包接收单元,用于从BRAS接收携带有映射关系的数据包,该映射关系包括用户终端IPv4地址与运营商分配的私有IP地址;
映射关系更新单元,用于保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包;
其中,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系,将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到服务器。
进一步,数据包接收单元用于从BRAS接收携带有映射关系的数据包,该映射关系包括用户终端IPv4地址、终端类型以及运营商分配的私有IP地址;
映射关系更新单元用于保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号;
其中,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系,将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到服务器。
进一步,终端类型指终端的操作系统类型。
根据本发明一方面,提出一种NAT444用户溯源的系统,包括上述任一所述设备以及任一所述服务器。
本发明由于保存了用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPE NAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址定位到具体的用户终端。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1为本发明一种NAT444用户溯源的方法的实施例的示意图。
图2为本发明一种NAT444用户溯源的方法的另一实施例的示意图。
图3为本发明一种NAT444用户溯源的设备的实施例的示意图。
图4为本发明一种NAT444用户溯源的服务器的实施例的示意图。
图5为本发明一种NAT444用户溯源的系统的实施例的示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
本发明提出了一种在部署了路由型CPE的NAT444私网双栈IPv6过渡技术的城域网场景下,增强用户溯源能力的方法、设备和系统。能够在用户终端发起网络攻击时,快速准确的溯源到具体的某一个IPv4终端。
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
图1为本发明一种NAT444用户溯源的方法的实施例的示意图。该方法包括以下步骤:
在步骤110,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系。其中,运营商分配的私有IP地址是由BRAS分配给路由型CPE的。路由型CPE具有路由功能。
在步骤120,路由型CPE将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器。
在步骤130,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,该映射关系可以由运营商事先配置好。根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
在该实施例中,由于保存了用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPE NAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址定位到具体的用户终端。
例如,路由型CPE为用户终端1,2,3分配的用户终端IPv4地址是192.168.1.1,192.168.1.2,192.168.1.3,运营商为用户分配的私有IPv4地址是10.1.1.1,则会在路由型CPE上生成并保存如下映射关系:
192.168.1.1<->10.1.1.1。
192.168.1.2<->10.1.1.1
192.168.1.3<->10.1.1.1
将上述映射关系组合成一个IP包,发送到认证服务器BRAS,当BRAS一收到这个数据包立刻转发至AAA服务器。
AAA服务器根据收到的数据包中的运营商分配的私有IPv4地址10.1.1.1查找是否存在匹配项,经查找发现匹配项,则更新AAA服务器的映射条目为:
(192.168.1.1,10.1.1.1)<->(120.1.1.1,【1024,2047】)
(192.168.1.2,10.1.1.1)<->(120.1.1.1,【2048,3071】)
(192.168.1.3,10.1.1.1)<->(120.1.1.1,【3072,4095】)
由于映射条目上记录了家庭网关CPE分配给各用户终端的IPv4地址、运营商分配给用户的私有IP地址、运营商分配给用户的公有IP地址及端口块,所以当网络上存在由用户终端发起的攻击的时候,能获取用户终端的IPv4地址,根据用户终端的IPv4地址,通过原溯源流程也能快速定位到CPE下的用户终端。
图2为本发明一种NAT444用户溯源的方法的另一实施例的示意图。该方法包括以下步骤:
在步骤210,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系。其中,运营商分配的私有IP地址是由BRAS分配给路由型CPE的。终端类型指终端的操作系统类型,包括windows、linux、安卓、苹果IOS等各种版本,例如PC是window7,手机是android4.3等。路由型CPE具有路由功能。
在步骤220,路由型CPE将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器。
在步骤230,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,该映射关系可以由运营商事先配置好。根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
在该实施例中,由于保存了用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPENAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址以及终端类型定位到具体的用户终端,更加方便追踪溯源。
例如,路由型CPE为用户终端1,2,3分配的用户终端IPv4地址是192.168.1.1,192.168.1.2,192.168.1.3,运营商为用户分配的私有IPv4地址是10.1.1.1,用户终端1,2,3的操作系统类型分别是windows XP,windows7,CentOS Linux,则会在路由型CPE上生成并保存如下映射关系:
(192.168.1.1,windows XP,10.1.1.1)
(192.168.1.2,windows7,10.1.1.1)
(192.168.1.3,CentOS Linux,10.1.1.1)
将上述映射关系组合成一个IP包,发送到认证服务器BRAS,当BRAS一收到这个数据包立刻转发至AAA服务器。
AAA服务器根据收到的数据包中的运营商分配的私有IPv4地址10.1.1.1查找是否存在匹配项,经查找发现匹配项,则更新AAA服务器的映射条目为:
(192.168.1.1,windows XP,10.1.1.1)<->(120.1.1.1,【1024,2047】)
(192.168.1.2,windows7,10.1.1.1)<->(120.1.1.1,【2048,3071】)
(192.168.1.3,CentOS Linux,10.1.1.1)<->(120.1.1.1,【3072,4095】)
由于映射条目上记录了家庭网关CPE分配给各用户终端的IPv4地址、终端类型、运营商分配给用户的私有IP地址、运营商分配给用户的公有IP地址及端口块,所以当网络上存在由用户终端发起的攻击的时候,能获取用户终端的IPv4地址以及终端类型,根据用户终端的IPv4地址以及终端类型,通过原溯源流程也能快速定位到CPE下的用户终端,更加方便追踪溯源。
图3为本发明一种NAT444用户溯源的设备的实施例的示意图。该设备包括:映射关系生成单元310和数据包发送单元320。在本发明一实施例中,映射关系生成单元310和数据包发送单元320设置在家庭网关。
映射关系生成单元310,用于根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系。其中,运营商分配的私有IP地址是由BRAS分配给路由型CPE的。路由型CPE具有路由功能。
数据包发送单元320,用于将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器。
其中,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,该映射关系可以由运营商事先配置好。根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
在该实施例中,由于保存了用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPE NAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址定位到具体的用户终端。
例如,映射关系生成单元310为用户终端1,2,3分配的用户终端IPv4地址是192.168.1.1,192.168.1.2,192.168.1.3,运营商为用户分配的私有IPv4地址是10.1.1.1,则会在映射关系生成单元310上生成并保存如下映射关系:
192.168.1.1<->10.1.1.1。
192.168.1.2<->10.1.1.1
192.168.1.3<->10.1.1.1
将上述映射关系组合成一个IP包,发送到认证服务器BRAS,当BRAS一收到这个数据包立刻转发至AAA服务器。
AAA服务器根据收到的数据包中的运营商分配的私有IPv4地址10.1.1.1查找是否存在匹配项,经查找发现匹配项,则更新AAA服务器的映射条目为:
(192.168.1.1,10.1.1.1)<->(120.1.1.1,【1024,2047】)
(192.168.1.2,10.1.1.1)<->(120.1.1.1,【2048,3071】)
(192.168.1.3,10.1.1.1)<->(120.1.1.1,【3072,4095】)
由于映射条目上记录了家庭网关CPE分配给各用户终端的IPv4地址、运营商分配给用户的私有IP地址、运营商分配给用户的公有IP地址及端口块,所以当网络上存在由用户终端发起的攻击的时候,能获取用户终端的IPv4地址,根据用户终端的IPv4地址,通过原溯源流程也能快速定位到CPE下的用户终端。
在本发明另一实施例中,映射关系生成单元310用于根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系。其中,运营商分配的私有IP地址是由BRAS分配给路由型CPE的。终端类型指终端的操作系统类型,包括windows、linux、安卓、苹果IOS等各种版本,例如PC是window7,手机是android4.3等。路由型CPE具有路由功能。
数据包发送单元320用于将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器。
其中,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,该映射关系可以由运营商事先配置好。根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
在该实施例中,由于保存了用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPENAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址以及终端类型定位到具体的用户终端,更加方便追踪溯源。
例如,映射关系生成单元310为用户终端1,2,3分配的用户终端IPv4地址是192.168.1.1,192.168.1.2,192.168.1.3,运营商为用户分配的私有IPv4地址是10.1.1.1,用户终端1,2,3的操作系统类型分别是windows XP,windows7,CentOS Linux,则会在映射关系生成单元310上生成并保存如下映射关系:
(192.168.1.1,windows XP,10.1.1.1)
(192.168.1.2,windows7,10.1.1.1)
(192.168.1.3,CentOS Linux,10.1.1.1)
将上述映射关系组合成一个IP包,发送到认证服务器BRAS,当BRAS一收到这个数据包立刻转发至AAA服务器。
AAA服务器根据收到的数据包中的运营商分配的私有IPv4地址10.1.1.1查找是否存在匹配项,经查找发现匹配项,则更新AAA服务器的映射条目为:
(192.168.1.1,windows XP,10.1.1.1)<->(120.1.1.1,【1024,2047】)
(192.168.1.2,windows7,10.1.1.1)<->(120.1.1.1,【2048,3071】)
(192.168.1.3,CentOS Linux,10.1.1.1)<->(120.1.1.1,【3072,4095】)
由于映射条目上记录了家庭网关CPE分配给各用户终端的IPv4地址、终端类型、运营商分配给用户的私有IP地址、运营商分配给用户的公有IP地址及端口块,所以当网络上存在由用户终端发起的攻击的时候,能获取用户终端的IPv4地址以及终端类型,根据用户终端的IPv4地址以及终端类型,通过原溯源流程也能快速定位到CPE下的用户终端,更加方便追踪溯源。
图4为本发明一种NAT444用户溯源的服务器的实施例的示意图。该服务器包括:数据包接收单元410和映射关系更新单元420。
数据包接收单元410,用于从BRAS接收携带有映射关系的数据包,该映射关系包括用户终端IPv4地址与运营商分配的私有IP地址。
映射关系更新单元420,用于保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,该映射关系可以由运营商事先配置好。根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
其中,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系,将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器。其中,运营商分配的私有IP地址是由BRAS分配给路由型CPE的。路由型CPE具有路由功能。
在该实施例中,由于保存了用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPE NAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址定位到具体的用户终端。
在本发明另一实施例中,数据包接收单元410用于从BRAS接收携带有映射关系的数据包,该映射关系包括用户终端IPv4地址、终端类型以及运营商分配的私有IP地址。终端类型指终端的操作系统类型,包括windows、linux、安卓、苹果IOS等各种版本,例如PC是window7,手机是android4.3等。
映射关系更新单元420用于保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,该映射关系可以由运营商事先配置好。根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
其中,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系,将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器。
在该实施例中,由于保存了用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPENAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址以及终端类型定位到具体的用户终端,更加方便追踪溯源。
图5为本发明一种NAT444用户溯源的系统的实施例的示意图。该系统包括:NAT444用户溯源的设备510以及NAT444用户溯源的服务器520。这里所说的设备以及服务器如上述的各个实施例所述。
至此,已经详细描述了本发明。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本发明的方法以及装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发明的范围由所附权利要求来限定。
Claims (11)
1.一种NAT444用户溯源的方法,其特征在于,包括:
路由型客户端设备CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系;
路由型CPE将携带有所述映射关系的数据包发到宽带远程接入服务器BRAS,再由BRAS转发到AAA服务器;
其中,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
2.根据权利要求1所述NAT444用户溯源的方法,其特征在于,包括以下步骤:
路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系;
其中,AAA服务器根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号。
3.根据权利要求2所述NAT444用户溯源的方法,其特征在于,包括以下步骤:
终端类型指终端的操作系统类型。
4.一种NAT444用户溯源的设备,其特征在于,包括:
映射关系生成单元,用于根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系;
数据包发送单元,用于将携带有所述映射关系的数据包发到宽带远程接入服务器BRAS,再由BRAS转发到AAA服务器;
其中,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
5.根据权利要求4所述NAT444用户溯源的设备,其特征在于,包括:
映射关系生成单元根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系;
其中,AAA服务器根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号。
6.根据权利要求5所述NAT444用户溯源的设备,其特征在于,包括:
终端类型指终端的操作系统类型。
7.根据权利要求4所述NAT444用户溯源的设备,其特征在于,
所述NAT444用户溯源的设备是家庭网关。
8.一种NAT444用户溯源的服务器,其特征在于,包括:
数据包接收单元,用于从宽带远程接入服务器BRAS接收携带有映射关系的数据包,该映射关系包括用户终端IPv4地址与运营商分配的私有IP地址;
映射关系更新单元,用于保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包;
其中,路由型客户端设备CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系,将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到服务器。
9.根据权利要求8所述NAT444用户溯源的服务器,其特征在于,包括:
数据包接收单元用于从BRAS接收携带有映射关系的数据包,该映射关系包括用户终端IPv4地址、终端类型以及运营商分配的私有IP地址;
映射关系更新单元用于保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号;
其中,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系,将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到服务器。
10.根据权利要求9所述NAT444用户溯源的服务器,其特征在于,包括:
终端类型指终端的操作系统类型。
11.一种NAT444用户溯源的系统,其特征在于,包括权利要求4至7任一所述设备以及8至10任一所述服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410433360.0A CN105376339B (zh) | 2014-08-29 | 2014-08-29 | Nat444用户溯源的方法、设备、服务器和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410433360.0A CN105376339B (zh) | 2014-08-29 | 2014-08-29 | Nat444用户溯源的方法、设备、服务器和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105376339A CN105376339A (zh) | 2016-03-02 |
CN105376339B true CN105376339B (zh) | 2018-12-04 |
Family
ID=55378133
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410433360.0A Active CN105376339B (zh) | 2014-08-29 | 2014-08-29 | Nat444用户溯源的方法、设备、服务器和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105376339B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108123807B (zh) * | 2016-11-29 | 2020-09-04 | 中国电信股份有限公司 | 宽带网络中用户身份溯源的系统和方法 |
CN109150566B (zh) * | 2017-06-19 | 2022-07-15 | 中兴通讯股份有限公司 | 一种业务路径还原方法及装置 |
CN108449392B (zh) * | 2018-03-01 | 2021-10-08 | 深圳市创梦天地科技有限公司 | 设备识别装置、方法、电子设备以及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103209159A (zh) * | 2012-01-13 | 2013-07-17 | 中国电信股份有限公司 | 门户认证方法和系统 |
CN103825763A (zh) * | 2014-02-26 | 2014-05-28 | 中国联合网络通信集团有限公司 | 一种用户溯源的方法和系统 |
CN103916491A (zh) * | 2014-04-04 | 2014-07-09 | 杭州华三通信技术有限公司 | 基于nat444架构的动态地址映射方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100886550B1 (ko) * | 2002-09-17 | 2009-03-02 | 삼성전자주식회사 | 아이피 어드레스 할당 장치 및 방법 |
-
2014
- 2014-08-29 CN CN201410433360.0A patent/CN105376339B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103209159A (zh) * | 2012-01-13 | 2013-07-17 | 中国电信股份有限公司 | 门户认证方法和系统 |
CN103825763A (zh) * | 2014-02-26 | 2014-05-28 | 中国联合网络通信集团有限公司 | 一种用户溯源的方法和系统 |
CN103916491A (zh) * | 2014-04-04 | 2014-07-09 | 杭州华三通信技术有限公司 | 基于nat444架构的动态地址映射方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN105376339A (zh) | 2016-03-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
CN108667780B (zh) | 一种身份认证的方法、系统及服务器和终端 | |
WO2015101125A1 (zh) | 网络接入控制方法和设备 | |
CN107026813B (zh) | WiFi网络的接入认证方法、系统以及门户服务器 | |
US9246872B2 (en) | Methods and arrangements for enabling data transmission between a mobile device and a static destination address | |
CN109120611B (zh) | 用于地址生成服务器的用户认证方法、设备、系统及介质 | |
CN106464654B (zh) | 配置文件的获取方法、装置和系统 | |
CN106101067B (zh) | 绑定智能设备的方法和终端 | |
US11765164B2 (en) | Server-based setup for connecting a device to a local area network | |
CN105306485B (zh) | 上网认证方法、认证服务器及其所在认证系统 | |
CN109769249B (zh) | 一种认证方法、系统及其装置 | |
CN100542089C (zh) | 非ims终端应用增强型通用鉴权架构的方法 | |
CN108259460B (zh) | 设备控制方法和装置 | |
CN105376339B (zh) | Nat444用户溯源的方法、设备、服务器和系统 | |
US20160191482A1 (en) | System and method for providing authenticated communications from a remote device to a local device | |
CN104967590A (zh) | 一种传输通信消息的方法、装置和系统 | |
WO2018076675A1 (zh) | 一种网络接入方法、路由设备和终端和计算机存储介质 | |
CN112039905B (zh) | 基于反向连接的网络通信方法、装置及电子设备和介质 | |
CN104883339B (zh) | 一种用户隐私保护的方法、设备和系统 | |
CN105933322A (zh) | 插件服务获取方法、插件服务提供方法及装置 | |
US20160105407A1 (en) | Information processing apparatus, terminal, information processing system, and information processing method | |
CN113965425B (zh) | 物联网设备的接入方法、装置、设备及计算机可读存储介质 | |
CN105743649A (zh) | 一种用户签名、解用户签名的方法、装置和系统 | |
CN105790944A (zh) | 一种基于微信的网络认证方法及装置 | |
CN105208140A (zh) | 用于发送数据的方法、装置和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |