CN1331328C - 一种基于身份认证的地址转换方法 - Google Patents
一种基于身份认证的地址转换方法 Download PDFInfo
- Publication number
- CN1331328C CN1331328C CNB03129121XA CN03129121A CN1331328C CN 1331328 C CN1331328 C CN 1331328C CN B03129121X A CNB03129121X A CN B03129121XA CN 03129121 A CN03129121 A CN 03129121A CN 1331328 C CN1331328 C CN 1331328C
- Authority
- CN
- China
- Prior art keywords
- address
- authentication
- user
- router gateway
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
一种基于身份认证的地址转换方法,其中,局域网主机经身份验证后,由路由器网关作地址转换后接入广域网,对于已在路由器网关内保存认证信息的局域网用户,路由器网关将其发送的数据报文进行地址转换后转发至广域网,对于路由器网关内无认证信息的局域网用户,所述方法包含如下步骤:(1)路由器网关将其无认证信息的局域网用户所发送的数据报文转发至认证服务器;(2)认证服务器经路由器网关对该局域网用户输入的身份信息进行认证,并且如果认证通过,则将该用户的认证信息送至路由器网关;以及(3)路由器网关根据该用户的认证信息对其发送的数据报文进行相关的地址转换后转发至广域网。
Description
技术领域
本发明涉及网络层设备的地址转换技术,具体而言,涉及一种融合用户身份认证的网络层地址转换方法。
背景技术
随着因特网(Internet)的发展,IP地址的短缺问题已经成为一个越来越严重的问题。为了解决该问题,Internet工程任务组(IETF)的RFC1631和RFC3022提出了网络地址转换技术(Network Address Translation),将网络中的地址分为私网地址和公网地址,并通过网络地址转换,即一个地址域至另一个地址域的映射,使得大量使用私网地址的用户可仅使用几个公网地址即可访问广域网,从而达到节省公网地址的目的。
图1是利用地址转换技术的组网示意图。如图1所示,多个局域网用户(图1中为简化起见,仅画出两个用户)通过因特网服务提供商(ISP)的路由器网关接入Internet或广域网。如果局域网采用TCP/IP协议连接,则局域网的每台机器都必须拥有一个IP地址,为了节约公网地址,局域网用户或主机被分配一个私网地址,当用户欲访问广域网时,路由器网关将该用户的私网地址转换为一定的公网地址后再接入广域网,因此私网地址实际上就是局域网内部的主机地址,而公网地址则是局域网的外部地址。
IANA组织在A、B、C类IP地址中各选出下列地址域作为“私网地址”:
255个C类网络的私网地址域:192.168.1.0~192.168.255.0
16个B类网络的私网地址域:172.16.0.0~172.31.0.0
1个A类网络的私网地址域:10.0.0.0
由上可见,私网地址有很大空间范围,而且在广域网上是不可见的,这就为私网地址的重叠(即私网地址至公网地址的多对一映射)提供了可能,从而可通过为局域网分配私网地址来节省公网地址。在上述网络地址转换中,为了实现大量私网地址至几个公网地址的映射,需要借助基于IP地址和四层端口(TCP、UDP、ICMP query、ID)的地址转换,即,采用“IP地址+端口”来区分内部局域网主机对外发起的不同连接。以下以图2所示情形为例对地址转换作进一步的描述。
如图2所示,假设为路由器网关分配一个公网地址池88.88.88.1~88.88.88.10,共计10个公网地址,并且网关通过局域网接入一个网段为10.0.0.0/8的A类私网网段,该网段内有100台主机,每台主机都分配一个属于该网段的私网地址。为了使100个私网地址能够映射到10个地址,可在网关中保存一张转换前“地址+端口”与转换后“地址+端口”的映射表,表1为这种映射表的一个示例,为简单起见,仅示出部分映射关系。
表1
| 用户 | 源地址 | 源端口号 | 转换后地址 | 转换后端口号 |
| 用户A | 10.0.0.2 | 10 | 88.88.88.1 | 500 |
| 用户A | 10.0.0.2 | 30 | 88.88.88.4 | 500 |
| 用户B | 10.0.0.3 | 10 | 88.88.88.1 | 700 |
| 用户C | 10.0.0.4 | 710 | 88.88.88.9 | 5100 |
| 用户D | 10.0.0.3 | 170 | 88.88.88.6 | 4000 |
从表1可见,用户报文中包含的“报文源地址(即该用户的私网地址)+源端口号”由网关变换为“转换后地址(即某一公网地址)+转换后端口号”后才发送至广域网,而对于从广域网返回到网关的报文,网关则通过查找上表将报文中包含的“公网目的IP地址+端口号”变换为“原来私网源地址+源端口号”即可正确找到源主机。
当网关接收的报文既有来自于公网又有来自于私网用户时可采用图3所示方式来控制地址转换。如图3所示,网关内保存一张访问控制列表(access-list),其记载了需要作地址转换和无需作地址转换的地址列表,网关可利用该列表来控制地址转换。例如,当来自公网地址77.77.77.1的用户需要经过网关访问广域网时,网关根据访问控制列表判断该地址无需作转换;而当属于10.0.0.0/8网段的私网地址用户需要访问广域网时,网关根据访问访问控制列表判断需作转换并利用映射关系表进行地址转换。
上述网络地址转换技术有效解决了网络地址短缺的问题,使得大量使用私网地址的用户可以经少量公网地址访问广域网,而且该技术由于在网络层设备上实现,因此对于终端用户来说都是透明的。此外,该技术利用访问控制列表对接入用户的IP地址及端口号进行有选择的地址转换,即,将用户的源IP地址、端口号和MAC地址等与给定的访问控制列表规则进行匹配,如果匹配成功,则进行地址转换,否则,不进行转换,这在一定程度上也解决了对用户接入的控制问题。
但是,上述网络地址转换方式对用户的可管理性很差,无法对用户的合法性进行判断。虽然可以利用访问控制列表的规则对接入进行控制,但是无法判断网关接收的报文信息是否来自一个合法的来源,换句话说,如果一个非法用户盗用了合法用户的IP地址,则由于访问控制列表无法对此加以区分,因此将不加选择地为该非法用户的报文进行地址转换处理,使得非法用户只要盗用合法的IP地址即可访问广域网。此外,这种方式没有用户帐号的概念,因此只能采取粗放式的记费方式,可运营性和可管理性都比较差,而且也无法根据用户的帐号为用户选择一定的地址转换方式(NAT及PAT和内部服务器三种地址转换方式),因此灵活性不够。
因此随着地址转换技术日益广泛的应用,迫切需要一种能够在网络层设备上实现用户身份认证功能的地址转换方法,以提供用户合法性的鉴别能力。此外,这种地址转换方法对于用户来说应该简单和透明。
发明内容
本发明的目的是提供一种基于身份认证的地址转换方法,其在保证使大量使用私网地址的局域网用户通过少数几个公网地址上网的同时,还提供对用户身份合法性的认证。
本发明的上述目的通过以下技术方案实现:
一种基于身份认证的地址转换方法,其中,局域网主机经路由器网关作地址转换后接入广域网,组网内设置与路由器网关相连并保存用户认证信息的认证服务器,对于已在路由器网关内保存认证信息的局域网用户,路由器网关将其发送的数据报文进行地址转换后转发至广域网,对于路由器网关内无认证信息的局域网用户,所述方法包含如下步骤:
(1)路由器网关将其内无认证信息的局域网用户所发送的数据报文转发至认证服务器;
(2)认证服务器经路由器网关对该局域网用户输入的身份信息进行认证,并且如果认证通过,则将该用户的认证信息送至路由器网关;以及
(3)路由器网关根据该用户的认证信息对其发送的数据报文进行地址转换后转发至广域网。
比较好的是,在上述基于身份认证的地址转换方法中,认证服务器以基于WEB的方式对该局域网用户输入的身份信息进行认证。
比较好的是,在上述基于身份认证的地址转换方法中,认证服务器以基于RADIUS的方式对该局域网用户输入的身份信息进行认证。
比较好的是,在上述基于身份认证的地址转换方法中,所述认证信息包含用户账号和密码,用于表明身份。
比较好的是,在上述基于身份认证的地址转换方法中,步骤(3)包含以下步骤:(3a)根据访问控制列表判断该局域网用户所发送数据报文内的源地址、用户IP地址、用户MAC地址、端口号以及协议号中的至少一种是否合法;
(3b)如果不合法,则删除该局域网用户的认证信息,否则,根据该局域网用户的账号信息选择相应的地址转换模式。
比较好的是,在上述基于身份认证的地址转换方法中,所述地址转换模式为只转换地址(NAT)模式、同时转换地址和端口(PAT)模式以及内部服务器模式这三种模式中的一种。
比较好的是,在上述基于身份认证的地址转换方法,组网内还设置有与路由器网关相连的记费服务器,并且当认证服务器认证通过时通知记费服务器对该局域网用户账号开始统计用户使用状态信息,而当路由器网关检测到该局域网用户下线时,通知记费服务器根据该局域网用户账号的使用状态信息进行记费。
比较好的是,在上述基于身份认证的地址转换方法中,所述用户使用状态信息为用户在线时间和/或数据流量。
比较好的是,在上述基于身份认证的地址转换方法中,所述使用状态信息为该局域网用户的网络地址转换日志信息。
在上述地址转换方法中,只有在用户身份认证通过时才允许用户进行地址转换,否则用户无法访问广域网。此外,由于采用认证信息采用用户帐号和密码等信息,因此可以对私网用户进行记费和授权访问。另外,用户账号还可被用于对用户地址转换模式进行选择,从而提供了对私网用户很可靠的管理性。
附图说明
通过以下结合附图对本发明较佳实施例的描述,可以进一步理解本发明的目的、特征和优点,其中:
图1为利用现有地址转换技术的组网示意图。
图2为现有地址转换技术的地址转换示意图。
图3为利用访问控制列表来控制地址转换的示意图。
图4示出了按照本发明一个较佳实施例的地址转换方法示意图。
具体实施方式
本发明的基本思想是当私网用户欲向广域网内某一地址的主机发起连接时,首先对该用户进行身份认证,并且只有在身份认证通过之后才可进行地址转换,从而允许其接入广域网。因此,即使非法用户盗用了合法用户的IP地址,只要其未获取合法用户的身份认证信息,就仍然无法接入广域网,由此提高了安全性。此外,由于引入了身份认证信息,因此可以对单个私网用户进行记费和授权,从而提高了可管理性。
为了实现上述发明思想,在本发明中,设置与路由器网关相连的认证服务器对用户身份进行认证,该服务器内保存所有合法用户的身份认证信息,例如用户的账号和密码。所谓认证,即由认证服务器将用户输入的账号和密码与存储的身份认证信息进行比较并且在认证通过时通知路由器网关。对于路由器网关,为了引入认证机制,其工作方式为:当私网用户欲向广域网内某一地址的主机发起连接时,路由器网关将接收到该用户发送的第一个数据报文,由于此时处于连接开始时,路由器网关内尚无该用户的身份认证信息,因此将数据报文转发至认证服务器进行身份认证。如果认证通过,路由器网关就将该用户发送的第一个数据报文以及后续数据报文内的源地址转换为公网地址,此与现有技术的地址转换方式相同,因此不再赘述。
以下借助图4描述本发明地址转换方法的一个较佳实施例。
如图4所示,假设在该实施例中,路由器网关分配一个公网地址池88.88.88.1~88.88.88.50,局域网用户的主机都以私网地址配置,其中,局域网A配置的网段为10.0.0.0/8,默认网关地址为路由器网关地址10.0.0.1/8,局域网B配置的网段为10.0.1.0/8,默认网关地址为路由器网关地址10.0.1.1/8,局域网用户的主机经路由器网关作地址转换后接入广域网。与图2不同的是,组网内设置与路由器网关相连的用户认证记费服务器,该服务器保存有相关的用户帐号和密码及相关的授权信息,并且除了具备上述身份认证功能以外,还可对每个用户的上网时间和/数据流量进行记费。
在本实施例中,当局域网A用户开始访问广域网时(例如用户打开WEB浏览器,向广域网中某一个地址发起一个超文本传送协议(http)连接时),路由器网关将接收到该私网地址用户的第一个数据报文,此时,由于路由器网关上尚未保存有该用户的验证及授权信息,因此该用户将交由用户认证记费服务器进行认证处理。为此,路由器网关将该用户的这个数据报文的目的地址强制修改为上述用户认证记费服务器的地址,从而使数据报文转发至该服务器。
该服务器在接收到数据报文后,将向该用户返回一个WEB页面,在该页面上提示用户输入帐号和密码,而用户则可通过WEB浏览器输入其账号和密码。用户输入的账号和密码信息被送至路由器网关,由路由器网关送至用户认证记费服务器进行相关的用户认证和授权处理。对用户的认证处理可以采用多种方式,例如基于WEB页面的方式或基于RADIUS协议的方式。基于Radius协议的AAA(认证(Authentication)授权(Authorization)记费(Accounting))技术是一种常用的用户身份验证技术,它提供了一个用来对认证、授权和记费这三种安全功能进行配置的一致性框架,当采用RADIUS协议方式时,用户认证记费服务器可以采用RADIUS服务器。
如果认证通过,则用户认证记费服务器将相关的用户信息(例如账号和密码等)及权限下载到路由器网关上加以保存,路由器网关将对数据报文作下述的地址转换处理。与此同时,用户认证记费服务器对该局域网用户账号开始统计其使用状态信息,例如用户的在线时间和/或数据流量。
当路由器网关接收到已通过认证处理的局域网A用户的后续报文时,如上所述,由于其上已经保存了该用户的验证和授权信息,路由器网关通过查表将判断该用户已经认证通过,因此将对数据报文进行下述的地址转换处理。
在地址转换处理中,与前述现有技术一样,路由器网关利用访问控制列表对局域网A用户的源地址、用户IP地址、用户MAC地址、端口号以及协议号中的至少一种与给定的访问控制列表规则进行匹配,如果匹配成功,则允许该用户通过地址转换访问广域网,否则,则删除该用户的验证和授权信息,禁止该用户访问广域网。
当匹配成功后,路由器网关可根据用户的帐号来选择为该用户服务的地址转换模式,例如只转换地址(NAT)模式、同时转换地址和端口(PAT)模式以及内部服务器模式这三种模式中的一种。
用户通过WEB浏览器向路由器网关发送下线通知,而路由器网关可通过定时对用户在线进行检测判断用户是否下线。如果检测到该用户已经下线,则路由器网关将关闭该用户的连接,并通知记费服务器根据该局域网用户账号的在线时间和/或数据流量进行记费。
另外,用户使用状态信息并不局限于上述在线时间和/或数据流量,还可以是该局域网用户的网络地址转换日志信息。
为了节省投资,在本实施例中,用户认证记费服务器与路由器网关可以集成在一起。
Claims (9)
1.一种基于身份认证的地址转换方法,其中,局域网主机经路由器网关作地址转换后接入广域网,其特征在于,组网内设置与路由器网关相连并保存用户认证信息的认证服务器,对于已在路由器网关内保存认证信息的局域网用户,路由器网关将其发送的数据报文进行地址转换后转发至广域网,对于路由器网关内无认证信息的局域网用户,所述方法包含如下步骤:
(1)路由器网关将其内无认证信息的局域网用户所发送的数据报文转发至认证服务器;
(2)认证服务器经路由器网关对该局域网用户输入的身份信息进行认证,并且如果认证通过,则将该用户的认证信息送至路由器网关;以及
(3)路由器网关根据该用户的认证信息对其发送的数据报文进行地址转换后转发至广域网。
2.如权利要求1所述的基于身份认证的地址转换方法,其特征在于,认证服务器以基于WEB的方式对该局域网用户输入的身份信息进行认证。
3.如权利要求1所述的基于身份认证的地址转换方法,其特征在于,认证服务器以基于RADIUS的方式对该局域网用户输入的身份信息进行认证。
4.如权利要求1~3中任意一项所述的基于身份认证的地址转换方法,其特征在于,所述认证信息包含用户账号和密码,用于表明身份。
5.如权利要求4所述的基于身份认证的地址转换方法,其特征在于,步骤(3)包含以下步骤:
(3a)根据访问控制列表判断该局域网用户所发送数据报文内的源地址、用户IP地址、用户MAC地址、端口号以及协议号中的至少一种是否合法;
(3b)如果不合法,则删除该局域网用户的认证信息,否则,根据该局域网用户的账号信息选择相应的地址转换模式。
6.如权利要求5所述的基于身份认证的地址转换方法,其特征在于,所述地址转换模式为只转换地址(NAT)模式、同时转换地址和端口(PAT)模式以及内部服务器模式这三种模式中的一种。
7.如权利要求5所述的基于身份认证的地址转换方法,其特征在于,组网内还设置有与路由器网关相连的记费服务器,并且当认证服务器认证通过时通知记费服务器对该局域网用户账号开始统计用户使用状态信息,而当路由器网关检测到该局域网用户下线时,通知记费服务器根据该局域网用户账号的使用状态信息进行记费。
8.如权利要求7所述的基于身份认证的地址转换方法,其特征在于,所述用户使用状态信息为用户在线时间和/或数据流量。
9.如权利要求7所述的基于身份认证的地址转换方法,其特征在于,所述使用状态信息为该局域网用户的网络地址转换日志信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB03129121XA CN1331328C (zh) | 2003-06-06 | 2003-06-06 | 一种基于身份认证的地址转换方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB03129121XA CN1331328C (zh) | 2003-06-06 | 2003-06-06 | 一种基于身份认证的地址转换方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1553638A CN1553638A (zh) | 2004-12-08 |
| CN1331328C true CN1331328C (zh) | 2007-08-08 |
Family
ID=34322369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB03129121XA Expired - Lifetime CN1331328C (zh) | 2003-06-06 | 2003-06-06 | 一种基于身份认证的地址转换方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1331328C (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101378358B (zh) * | 2008-09-19 | 2010-12-15 | 成都市华为赛门铁克科技有限公司 | 一种实现安全接入控制的方法及系统、服务器 |
| CN105262724B (zh) * | 2015-09-08 | 2019-05-14 | 上海上讯信息技术股份有限公司 | 一种用于身份验证的方法与设备 |
| CN114157653A (zh) * | 2021-12-07 | 2022-03-08 | 福建星网视易信息系统有限公司 | 一种上网方法、局域网服务器和计算机存储介质 |
| CN115242730A (zh) * | 2022-08-18 | 2022-10-25 | 广东软易通信息科技有限公司 | 基于正向代理技术的安全式互联网接入方法及其系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11298527A (ja) * | 1998-04-15 | 1999-10-29 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークアドレス変換方法及び装置並びにサーバ |
| WO2002007384A1 (en) * | 2000-07-03 | 2002-01-24 | Zimocom Inc. | Firewall system combined with embedded hardware and general-purpose computer |
| CN1408088A (zh) * | 2000-03-03 | 2003-04-02 | 能联有限公司 | 用于使用本地ip地址和不可转换端口地址的局域网的网址转换网关 |
| CN1426201A (zh) * | 2002-12-16 | 2003-06-25 | 北京朗通环球科技有限公司 | 在无线访问点上实现接入控制器功能的方法 |
-
2003
- 2003-06-06 CN CNB03129121XA patent/CN1331328C/zh not_active Expired - Lifetime
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11298527A (ja) * | 1998-04-15 | 1999-10-29 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークアドレス変換方法及び装置並びにサーバ |
| CN1408088A (zh) * | 2000-03-03 | 2003-04-02 | 能联有限公司 | 用于使用本地ip地址和不可转换端口地址的局域网的网址转换网关 |
| WO2002007384A1 (en) * | 2000-07-03 | 2002-01-24 | Zimocom Inc. | Firewall system combined with embedded hardware and general-purpose computer |
| CN1426201A (zh) * | 2002-12-16 | 2003-06-25 | 北京朗通环球科技有限公司 | 在无线访问点上实现接入控制器功能的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1553638A (zh) | 2004-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101415012B (zh) | 一种防御地址解析协议报文攻击的方法和系统 | |
| EP1987629B1 (en) | Techniques for authenticating a subscriber for an access network using dhcp | |
| US8104072B2 (en) | Apparatus and methods for authenticating voice and data devices on the same port | |
| US8139521B2 (en) | Wireless nodes with active authentication and associated methods | |
| CN100539501C (zh) | 基于域名的统一身份标识和认证方法 | |
| CN101119206B (zh) | 基于标识的一体化网络终端统一接入控制方法 | |
| US8561139B2 (en) | Method and appartus for network security using a router based authentication | |
| CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
| CN100594476C (zh) | 用于实现基于端口的网络访问控制的方法和装置 | |
| US7480933B2 (en) | Method and apparatus for ensuring address information of a wireless terminal device in communications network | |
| US20070101414A1 (en) | Method for stateful firewall inspection of ice messages | |
| MY142197A (en) | Transitive authentication authorization accounting in the interworking between access networks | |
| CN104601566B (zh) | 认证方法以及装置 | |
| WO2005024567A2 (en) | Network communication security system, monitoring system and methods | |
| CN104468619B (zh) | 一种实现双栈web认证的方法和认证网关 | |
| JPH11177582A (ja) | パケット転送方法および該方法に用いる基地局 | |
| US8406223B2 (en) | Mechanism for protecting H.323 networks for call set-up functions | |
| US20080034407A1 (en) | Apparatus and methods for supporting 802.1X in daisy chained devices | |
| US20060107310A1 (en) | Method for authorization of service requests to service hosts within a network | |
| CN102025769B (zh) | 一种分布式互联网接入方法 | |
| CN1331328C (zh) | 一种基于身份认证的地址转换方法 | |
| CN100591068C (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
| CN107612883A (zh) | 一种移动应用程序自动登录方法及系统 | |
| CN115314895B (zh) | 一种wapi用户的鉴别方法、系统及接入地as | |
| CN102014174A (zh) | 网络接入方法及网络设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20070808 |