CN105376339B - Nat444用户溯源的方法、设备、服务器和系统 - Google Patents

Nat444用户溯源的方法、设备、服务器和系统 Download PDF

Info

Publication number
CN105376339B
CN105376339B CN201410433360.0A CN201410433360A CN105376339B CN 105376339 B CN105376339 B CN 105376339B CN 201410433360 A CN201410433360 A CN 201410433360A CN 105376339 B CN105376339 B CN 105376339B
Authority
CN
China
Prior art keywords
address
mapping relations
operator
private
distribution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410433360.0A
Other languages
English (en)
Other versions
CN105376339A (zh
Inventor
肖宇峰
汪来富
刘东鑫
金华敏
沈军
黄维龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN201410433360.0A priority Critical patent/CN105376339B/zh
Publication of CN105376339A publication Critical patent/CN105376339A/zh
Application granted granted Critical
Publication of CN105376339B publication Critical patent/CN105376339B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了NAT444用户溯源的方法、设备、服务器和系统。该方法包括:路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系;路由型CPE将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器;AAA服务器根据数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号。本发明可以根据用户终端IPv4地址定位到具体的用户终端。

Description

NAT444用户溯源的方法、设备、服务器和系统
技术领域
本发明涉及网络安全技术,尤其是一种NAT444用户溯源的方法、设备、服务器和系统。
背景技术
NAT444作为一种部署在城域网内的私网双栈IPv6过渡技术,在技术风险、对用户影响、成本管控等方面有着明显优势,能够实现运营商网络从IPv4平滑过渡到IPv6。目前,NAT444技术成为了运营商向下一代互联网过渡的热点。
现有NAT444的认证溯源方案的总体思路如下:
在完成了NAT444方案部署后,AAA服务器和NAT444网关维护了相同的用户地址映射关系。应用服务器或溯源主机只需要把用户地址等信息提交AAA服务器,完成认证溯源相关流程。
当用户上线访问应用服务器,应用服务器把用户认证信息提交给AAA服务器,AAA服务器根据用户公有地址查询分配给用户的私有地址、认证信息,并自动完成用户认证,并把认证结果返回应用服务器。
用户溯源的原理类似用户认证原理。AAA服务器和NAT444网关维护了相同的用户地址映射关系。用户溯源报文仅需要把查询提交给AAA服务器,由AAA服务器完成用户信息的查询、关联和响应,可以直接完成用户溯源任务。
用户上线,完成用户认证和地址分配,这个过程是标准的用户接入流程。BRAS为用户地址随机选择公有地址、端口块、创建用户地址映射关系。BRAS采用的选择算法可以是hash算法,只需要保证不同用户地址选择不同的公有地址和端口块。BRAS在accouting-start消息中上报用户地址对应的公有地址、端口块等信息。这种上报方法要求RADIUS协议属性支持。RADIUS服务器获得用户地址、公有地址、端口块等信息,并维持与用户信息的关联关系。
在路由型CPE(CustomerPremise Equipment,客户端设备)NAT444部署场景中,现在的溯源方法对IPv4用户只能定位到用户网关CPE,不能定位到具体的用户终端。
发明内容
本发明要解决的技术问题是在路由型CPE NAT444部署场景中,现在的溯源方法对IPv4用户只能定位到用户网关CPE,不能定位到具体的用户终端。
根据本发明一方面,提出一种NAT444用户溯源的方法,包括:
路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系;
路由型CPE将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器;
其中,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
进一步,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系;
其中,AAA服务器根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号。
进一步,终端类型指终端的操作系统类型。
根据本发明一方面,提出一种NAT444用户溯源的设备,包括:
映射关系生成单元,用于根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系;
数据包发送单元,用于将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器;
其中,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
进一步,映射关系生成单元根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系;
其中,AAA服务器根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号。
进一步,终端类型指终端的操作系统类型。
进一步,映射关系生成单元和数据包发送单元设置在家庭网关。
根据本发明一方面,提出一种NAT444用户溯源的服务器,包括:
数据包接收单元,用于从BRAS接收携带有映射关系的数据包,该映射关系包括用户终端IPv4地址与运营商分配的私有IP地址;
映射关系更新单元,用于保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包;
其中,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系,将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到服务器。
进一步,数据包接收单元用于从BRAS接收携带有映射关系的数据包,该映射关系包括用户终端IPv4地址、终端类型以及运营商分配的私有IP地址;
映射关系更新单元用于保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号;
其中,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系,将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到服务器。
进一步,终端类型指终端的操作系统类型。
根据本发明一方面,提出一种NAT444用户溯源的系统,包括上述任一所述设备以及任一所述服务器。
本发明由于保存了用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPE NAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址定位到具体的用户终端。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1为本发明一种NAT444用户溯源的方法的实施例的示意图。
图2为本发明一种NAT444用户溯源的方法的另一实施例的示意图。
图3为本发明一种NAT444用户溯源的设备的实施例的示意图。
图4为本发明一种NAT444用户溯源的服务器的实施例的示意图。
图5为本发明一种NAT444用户溯源的系统的实施例的示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
本发明提出了一种在部署了路由型CPE的NAT444私网双栈IPv6过渡技术的城域网场景下,增强用户溯源能力的方法、设备和系统。能够在用户终端发起网络攻击时,快速准确的溯源到具体的某一个IPv4终端。
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
图1为本发明一种NAT444用户溯源的方法的实施例的示意图。该方法包括以下步骤:
在步骤110,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系。其中,运营商分配的私有IP地址是由BRAS分配给路由型CPE的。路由型CPE具有路由功能。
在步骤120,路由型CPE将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器。
在步骤130,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,该映射关系可以由运营商事先配置好。根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
在该实施例中,由于保存了用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPE NAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址定位到具体的用户终端。
例如,路由型CPE为用户终端1,2,3分配的用户终端IPv4地址是192.168.1.1,192.168.1.2,192.168.1.3,运营商为用户分配的私有IPv4地址是10.1.1.1,则会在路由型CPE上生成并保存如下映射关系:
192.168.1.1<->10.1.1.1。
192.168.1.2<->10.1.1.1
192.168.1.3<->10.1.1.1
将上述映射关系组合成一个IP包,发送到认证服务器BRAS,当BRAS一收到这个数据包立刻转发至AAA服务器。
AAA服务器根据收到的数据包中的运营商分配的私有IPv4地址10.1.1.1查找是否存在匹配项,经查找发现匹配项,则更新AAA服务器的映射条目为:
(192.168.1.1,10.1.1.1)<->(120.1.1.1,【1024,2047】)
(192.168.1.2,10.1.1.1)<->(120.1.1.1,【2048,3071】)
(192.168.1.3,10.1.1.1)<->(120.1.1.1,【3072,4095】)
由于映射条目上记录了家庭网关CPE分配给各用户终端的IPv4地址、运营商分配给用户的私有IP地址、运营商分配给用户的公有IP地址及端口块,所以当网络上存在由用户终端发起的攻击的时候,能获取用户终端的IPv4地址,根据用户终端的IPv4地址,通过原溯源流程也能快速定位到CPE下的用户终端。
图2为本发明一种NAT444用户溯源的方法的另一实施例的示意图。该方法包括以下步骤:
在步骤210,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系。其中,运营商分配的私有IP地址是由BRAS分配给路由型CPE的。终端类型指终端的操作系统类型,包括windows、linux、安卓、苹果IOS等各种版本,例如PC是window7,手机是android4.3等。路由型CPE具有路由功能。
在步骤220,路由型CPE将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器。
在步骤230,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,该映射关系可以由运营商事先配置好。根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
在该实施例中,由于保存了用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPENAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址以及终端类型定位到具体的用户终端,更加方便追踪溯源。
例如,路由型CPE为用户终端1,2,3分配的用户终端IPv4地址是192.168.1.1,192.168.1.2,192.168.1.3,运营商为用户分配的私有IPv4地址是10.1.1.1,用户终端1,2,3的操作系统类型分别是windows XP,windows7,CentOS Linux,则会在路由型CPE上生成并保存如下映射关系:
(192.168.1.1,windows XP,10.1.1.1)
(192.168.1.2,windows7,10.1.1.1)
(192.168.1.3,CentOS Linux,10.1.1.1)
将上述映射关系组合成一个IP包,发送到认证服务器BRAS,当BRAS一收到这个数据包立刻转发至AAA服务器。
AAA服务器根据收到的数据包中的运营商分配的私有IPv4地址10.1.1.1查找是否存在匹配项,经查找发现匹配项,则更新AAA服务器的映射条目为:
(192.168.1.1,windows XP,10.1.1.1)<->(120.1.1.1,【1024,2047】)
(192.168.1.2,windows7,10.1.1.1)<->(120.1.1.1,【2048,3071】)
(192.168.1.3,CentOS Linux,10.1.1.1)<->(120.1.1.1,【3072,4095】)
由于映射条目上记录了家庭网关CPE分配给各用户终端的IPv4地址、终端类型、运营商分配给用户的私有IP地址、运营商分配给用户的公有IP地址及端口块,所以当网络上存在由用户终端发起的攻击的时候,能获取用户终端的IPv4地址以及终端类型,根据用户终端的IPv4地址以及终端类型,通过原溯源流程也能快速定位到CPE下的用户终端,更加方便追踪溯源。
图3为本发明一种NAT444用户溯源的设备的实施例的示意图。该设备包括:映射关系生成单元310和数据包发送单元320。在本发明一实施例中,映射关系生成单元310和数据包发送单元320设置在家庭网关。
映射关系生成单元310,用于根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系。其中,运营商分配的私有IP地址是由BRAS分配给路由型CPE的。路由型CPE具有路由功能。
数据包发送单元320,用于将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器。
其中,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,该映射关系可以由运营商事先配置好。根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
在该实施例中,由于保存了用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPE NAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址定位到具体的用户终端。
例如,映射关系生成单元310为用户终端1,2,3分配的用户终端IPv4地址是192.168.1.1,192.168.1.2,192.168.1.3,运营商为用户分配的私有IPv4地址是10.1.1.1,则会在映射关系生成单元310上生成并保存如下映射关系:
192.168.1.1<->10.1.1.1。
192.168.1.2<->10.1.1.1
192.168.1.3<->10.1.1.1
将上述映射关系组合成一个IP包,发送到认证服务器BRAS,当BRAS一收到这个数据包立刻转发至AAA服务器。
AAA服务器根据收到的数据包中的运营商分配的私有IPv4地址10.1.1.1查找是否存在匹配项,经查找发现匹配项,则更新AAA服务器的映射条目为:
(192.168.1.1,10.1.1.1)<->(120.1.1.1,【1024,2047】)
(192.168.1.2,10.1.1.1)<->(120.1.1.1,【2048,3071】)
(192.168.1.3,10.1.1.1)<->(120.1.1.1,【3072,4095】)
由于映射条目上记录了家庭网关CPE分配给各用户终端的IPv4地址、运营商分配给用户的私有IP地址、运营商分配给用户的公有IP地址及端口块,所以当网络上存在由用户终端发起的攻击的时候,能获取用户终端的IPv4地址,根据用户终端的IPv4地址,通过原溯源流程也能快速定位到CPE下的用户终端。
在本发明另一实施例中,映射关系生成单元310用于根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系。其中,运营商分配的私有IP地址是由BRAS分配给路由型CPE的。终端类型指终端的操作系统类型,包括windows、linux、安卓、苹果IOS等各种版本,例如PC是window7,手机是android4.3等。路由型CPE具有路由功能。
数据包发送单元320用于将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器。
其中,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,该映射关系可以由运营商事先配置好。根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
在该实施例中,由于保存了用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPENAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址以及终端类型定位到具体的用户终端,更加方便追踪溯源。
例如,映射关系生成单元310为用户终端1,2,3分配的用户终端IPv4地址是192.168.1.1,192.168.1.2,192.168.1.3,运营商为用户分配的私有IPv4地址是10.1.1.1,用户终端1,2,3的操作系统类型分别是windows XP,windows7,CentOS Linux,则会在映射关系生成单元310上生成并保存如下映射关系:
(192.168.1.1,windows XP,10.1.1.1)
(192.168.1.2,windows7,10.1.1.1)
(192.168.1.3,CentOS Linux,10.1.1.1)
将上述映射关系组合成一个IP包,发送到认证服务器BRAS,当BRAS一收到这个数据包立刻转发至AAA服务器。
AAA服务器根据收到的数据包中的运营商分配的私有IPv4地址10.1.1.1查找是否存在匹配项,经查找发现匹配项,则更新AAA服务器的映射条目为:
(192.168.1.1,windows XP,10.1.1.1)<->(120.1.1.1,【1024,2047】)
(192.168.1.2,windows7,10.1.1.1)<->(120.1.1.1,【2048,3071】)
(192.168.1.3,CentOS Linux,10.1.1.1)<->(120.1.1.1,【3072,4095】)
由于映射条目上记录了家庭网关CPE分配给各用户终端的IPv4地址、终端类型、运营商分配给用户的私有IP地址、运营商分配给用户的公有IP地址及端口块,所以当网络上存在由用户终端发起的攻击的时候,能获取用户终端的IPv4地址以及终端类型,根据用户终端的IPv4地址以及终端类型,通过原溯源流程也能快速定位到CPE下的用户终端,更加方便追踪溯源。
图4为本发明一种NAT444用户溯源的服务器的实施例的示意图。该服务器包括:数据包接收单元410和映射关系更新单元420。
数据包接收单元410,用于从BRAS接收携带有映射关系的数据包,该映射关系包括用户终端IPv4地址与运营商分配的私有IP地址。
映射关系更新单元420,用于保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,该映射关系可以由运营商事先配置好。根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
其中,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系,将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器。其中,运营商分配的私有IP地址是由BRAS分配给路由型CPE的。路由型CPE具有路由功能。
在该实施例中,由于保存了用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPE NAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址定位到具体的用户终端。
在本发明另一实施例中,数据包接收单元410用于从BRAS接收携带有映射关系的数据包,该映射关系包括用户终端IPv4地址、终端类型以及运营商分配的私有IP地址。终端类型指终端的操作系统类型,包括windows、linux、安卓、苹果IOS等各种版本,例如PC是window7,手机是android4.3等。
映射关系更新单元420用于保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,该映射关系可以由运营商事先配置好。根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
其中,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系,将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到AAA服务器。
在该实施例中,由于保存了用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,因此,在路由型CPENAT444部署场景中,当发生网络攻击时,可以根据用户终端IPv4地址以及终端类型定位到具体的用户终端,更加方便追踪溯源。
图5为本发明一种NAT444用户溯源的系统的实施例的示意图。该系统包括:NAT444用户溯源的设备510以及NAT444用户溯源的服务器520。这里所说的设备以及服务器如上述的各个实施例所述。
至此,已经详细描述了本发明。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本发明的方法以及装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发明的范围由所附权利要求来限定。

Claims (11)

1.一种NAT444用户溯源的方法,其特征在于,包括:
路由型客户端设备CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系;
路由型CPE将携带有所述映射关系的数据包发到宽带远程接入服务器BRAS,再由BRAS转发到AAA服务器;
其中,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
2.根据权利要求1所述NAT444用户溯源的方法,其特征在于,包括以下步骤:
路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系;
其中,AAA服务器根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号。
3.根据权利要求2所述NAT444用户溯源的方法,其特征在于,包括以下步骤:
终端类型指终端的操作系统类型。
4.一种NAT444用户溯源的设备,其特征在于,包括:
映射关系生成单元,用于根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系;
数据包发送单元,用于将携带有所述映射关系的数据包发到宽带远程接入服务器BRAS,再由BRAS转发到AAA服务器;
其中,AAA服务器已保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包。
5.根据权利要求4所述NAT444用户溯源的设备,其特征在于,包括:
映射关系生成单元根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系;
其中,AAA服务器根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号。
6.根据权利要求5所述NAT444用户溯源的设备,其特征在于,包括:
终端类型指终端的操作系统类型。
7.根据权利要求4所述NAT444用户溯源的设备,其特征在于,
所述NAT444用户溯源的设备是家庭网关。
8.一种NAT444用户溯源的服务器,其特征在于,包括:
数据包接收单元,用于从宽带远程接入服务器BRAS接收携带有映射关系的数据包,该映射关系包括用户终端IPv4地址与运营商分配的私有IP地址;
映射关系更新单元,用于保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号,如果不匹配就丢弃数据包;
其中,路由型客户端设备CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址与运营商分配的私有IP地址之间的映射关系,将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到服务器。
9.根据权利要求8所述NAT444用户溯源的服务器,其特征在于,包括:
数据包接收单元用于从BRAS接收携带有映射关系的数据包,该映射关系包括用户终端IPv4地址、终端类型以及运营商分配的私有IP地址;
映射关系更新单元用于保存运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号之间的映射关系,根据所述数据包中携带的映射关系中的运营商分配的私有IP地址查找是否有匹配项,如果有,则将映射关系更新为:用户终端IPv4地址、终端类型、运营商分配的私有IPv4地址、公有IPv4地址、开始端口号以及结束端口号;
其中,路由型CPE根据用户终端的对外访问请求,生成并保存用户终端IPv4地址、终端类型以及运营商分配的私有IP地址之间的映射关系,将携带有所述映射关系的数据包发到BRAS,再由BRAS转发到服务器。
10.根据权利要求9所述NAT444用户溯源的服务器,其特征在于,包括:
终端类型指终端的操作系统类型。
11.一种NAT444用户溯源的系统,其特征在于,包括权利要求4至7任一所述设备以及8至10任一所述服务器。
CN201410433360.0A 2014-08-29 2014-08-29 Nat444用户溯源的方法、设备、服务器和系统 Active CN105376339B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410433360.0A CN105376339B (zh) 2014-08-29 2014-08-29 Nat444用户溯源的方法、设备、服务器和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410433360.0A CN105376339B (zh) 2014-08-29 2014-08-29 Nat444用户溯源的方法、设备、服务器和系统

Publications (2)

Publication Number Publication Date
CN105376339A CN105376339A (zh) 2016-03-02
CN105376339B true CN105376339B (zh) 2018-12-04

Family

ID=55378133

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410433360.0A Active CN105376339B (zh) 2014-08-29 2014-08-29 Nat444用户溯源的方法、设备、服务器和系统

Country Status (1)

Country Link
CN (1) CN105376339B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108123807B (zh) * 2016-11-29 2020-09-04 中国电信股份有限公司 宽带网络中用户身份溯源的系统和方法
CN109150566B (zh) * 2017-06-19 2022-07-15 中兴通讯股份有限公司 一种业务路径还原方法及装置
CN108449392B (zh) * 2018-03-01 2021-10-08 深圳市创梦天地科技有限公司 设备识别装置、方法、电子设备以及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103209159A (zh) * 2012-01-13 2013-07-17 中国电信股份有限公司 门户认证方法和系统
CN103825763A (zh) * 2014-02-26 2014-05-28 中国联合网络通信集团有限公司 一种用户溯源的方法和系统
CN103916491A (zh) * 2014-04-04 2014-07-09 杭州华三通信技术有限公司 基于nat444架构的动态地址映射方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100886550B1 (ko) * 2002-09-17 2009-03-02 삼성전자주식회사 아이피 어드레스 할당 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103209159A (zh) * 2012-01-13 2013-07-17 中国电信股份有限公司 门户认证方法和系统
CN103825763A (zh) * 2014-02-26 2014-05-28 中国联合网络通信集团有限公司 一种用户溯源的方法和系统
CN103916491A (zh) * 2014-04-04 2014-07-09 杭州华三通信技术有限公司 基于nat444架构的动态地址映射方法及装置

Also Published As

Publication number Publication date
CN105376339A (zh) 2016-03-02

Similar Documents

Publication Publication Date Title
CN110800331B (zh) 网络验证方法、相关设备及系统
CN108667780B (zh) 一种身份认证的方法、系统及服务器和终端
WO2015101125A1 (zh) 网络接入控制方法和设备
US9246872B2 (en) Methods and arrangements for enabling data transmission between a mobile device and a static destination address
CN107026813B (zh) WiFi网络的接入认证方法、系统以及门户服务器
CN106464654B (zh) 配置文件的获取方法、装置和系统
JP2018173921A (ja) ネットワークデバイス、認証管理システム、これらの制御方法及び制御プログラム
CN106101067B (zh) 绑定智能设备的方法和终端
US11765164B2 (en) Server-based setup for connecting a device to a local area network
CN113518348B (zh) 业务处理方法、装置、系统及存储介质
KR20190051326A (ko) 블록 체인 기반 사물 인터넷 장치 제어 시스템 및 방법
CN109769249B (zh) 一种认证方法、系统及其装置
CN100542089C (zh) 非ims终端应用增强型通用鉴权架构的方法
US20110238975A1 (en) Information processing device, route control device, and data relay method
CN108259460B (zh) 设备控制方法和装置
WO2017080333A1 (zh) 上网认证方法、认证服务器及其所在认证系统
CN105376339B (zh) Nat444用户溯源的方法、设备、服务器和系统
US20160191482A1 (en) System and method for providing authenticated communications from a remote device to a local device
CN104967590A (zh) 一种传输通信消息的方法、装置和系统
WO2018076675A1 (zh) 一种网络接入方法、路由设备和终端和计算机存储介质
CN112039905B (zh) 基于反向连接的网络通信方法、装置及电子设备和介质
CN105933322A (zh) 插件服务获取方法、插件服务提供方法及装置
CN109120611B (zh) 用于地址生成服务器的用户认证方法、设备、系统及介质
CN113965425B (zh) 物联网设备的接入方法、装置、设备及计算机可读存储介质
CN105743649A (zh) 一种用户签名、解用户签名的方法、装置和系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant