WO2016127798A1 - 网络接入用户的追踪方法及装置 - Google Patents
网络接入用户的追踪方法及装置 Download PDFInfo
- Publication number
- WO2016127798A1 WO2016127798A1 PCT/CN2016/072156 CN2016072156W WO2016127798A1 WO 2016127798 A1 WO2016127798 A1 WO 2016127798A1 CN 2016072156 W CN2016072156 W CN 2016072156W WO 2016127798 A1 WO2016127798 A1 WO 2016127798A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- user
- identification information
- network
- service
- forwarding policy
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
Definitions
- Step S23 Obtain a corresponding protocol address and port from the reversible tracked service data according to the forwarding policy.
- the protocol address may be an IP address (a protocol address interconnected between networks).
- the resource After detecting that the identity information of the user to be revoked has been successfully revoked, the resource is reclaimed, the information of the user to be revoked in the database is cleared, and the forwarding policy of the user to be revoked is deleted.
- FIG. 8 is a schematic diagram of a refinement function module of an embodiment of an acquisition module.
- the obtaining module 20 includes: a second determining unit 21, an shaping unit 22, and a second obtaining unit 23,
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本文公布一种网络接入用户的追踪方法及装置,包括:在侦测到网络服务的接入操作时,生成所述接入操作对应的转发策略;在侦测到业务请求时,根据所述转发策略获取所述业务请求对应的协议地址和端口;根据所述协议地址和端口确定业务请求对应用户的身份识别信息。
Description
本申请涉及但不限于互联网数据处理技术领域。
随着移动互联网技术的快速发展,其应用范围已经大大超出了设计者当初的想像,用户不再单单是研究人员,还可以是全社会的人都参与进来。而且互联网的业务,不再局限于最初的Email(邮件)、文件传输等数据通信类的业务,而是扩展到信息服务、娱乐、商业交易、社区交流等,几乎延伸到人类生活的每一个方面。互联网相当于是一个虚拟社会,是一个全球性、开放性、透明性的无边界网络,因此,会增加互联网面对各种各样的威胁的风险(比如病毒、木马、网络欺诈、不良信息传播等),使得互联网逐渐暴露出其设计结构上的缺陷。
在互联网架构中,由于传统的Ipv4网络地址空间限制和网民的快速增加,公网地址数量已经不足于为每个人分配一个公网地址,目前国内运营商为宽带个人用户大都分配的为私有IP地址。这种IP地址的不唯一将导致用户溯源难以实现,而用户溯源难以实现则是目前互联网安全问题突出的主要原因。
在相关技术的互联网架构下,由于IP地址数量缺乏,用户不能分配到唯一的IP地址,难以逆向追踪用户,导致目前互联网不易管理,安全隐患逐步扩大。
上述内容仅用于辅助理解本申请的技术方案,并不代表承认上述内容是现有技术。
发明内容
以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求
的保护范围。
本文提供一种网络接入用户的追踪方法及装置,旨在解决相关技术的IP地址数量缺乏,用户不能分配到唯一的IP地址,难以逆向追踪用户,导致目前互联网不易管理,安全隐患逐步扩大的问题。
一种网络接入用户的追踪方法,包括:
在侦测到网络服务的接入操作时,生成所述接入操作对应的转发策略;
在侦测到业务请求时,根据所述转发策略获取所述业务请求对应的协议地址和端口;
根据所述协议地址和端口确定业务请求对应用户的身份识别信息。
可选地,所述在侦测到网络服务的接入操作时,生成所述接入操作对应的转发策略的步骤包括:
在侦测到网络服务的接入操作时,获取所述接入操作对应网络接入终端的特征值;
根据所述特征值确定所述网络接入终端对应用户的身份识别信息;
在获取到所述身份识别信息后,根据所述身份识别信息生成所述接入操作对应的转发策略。
可选地,所述的根据所述身份识别信息生成所述接入操作对应的转发策略步骤之后,还包括:
在侦测到网络服务的断开操作时,校验转发策略得到待撤销用户的身份识别信息;
撤销所述待撤销用户的身份识别信息;
在所述待撤销用户的身份识别信息撤销成功后,清除数据库中所述待撤销用户的信息,并删除所述待撤销用户的转发策略。
可选地,所述在侦测到业务请求时,根据所述转发策略获取所述业务请求对应的协议地址和端口的步骤包括:
在接收到业务请求时,确定所述业务请求对应的业务数据;
整形修改所述业务数据得到可逆向追踪的业务数据;
根据所述转发策略从所述可逆向追踪的业务数据中获取对应的协议地址和端口。
可选地,所述根据所述协议地址和端口确定业务请求对应用户的身份识别信息的步骤之后,还包括:
根据所述身份识别信息访问数据库,获取数据库中所述身份识别信息对应的用户记录信息。
一种网络接入用户的追踪装置,包括:
生成模块,设置为:在侦测到网络服务的接入操作时,生成所述接入操作对应的转发策略;
获取模块,设置为:在侦测到业务请求时,根据所述转发策略获取所述业务请求对应的协议地址和端口;
确定模块,设置为:根据所述协议地址和端口确定业务请求对应用户的身份识别信息。
可选地,所述生成模块包括第一获取单元、第一确定单元和生成单元,
所述第一获取单元,设置为:在侦测到网络服务的接入操作时,获取所述接入操作对应网络接入终端的特征值;
所述第一确定单元,设置为:根据所述特征值确定所述网络接入终端对应用户的身份识别信息;
所述生成单元,设置为:在获取到所述身份识别信息后,根据所述身份识别信息生成所述接入操作对应的转发策略。
可选地,所述网络接入用户的追踪装置还包括校验模块、撤销模块和删除模块,
所述校验模块,设置为:在侦测到网络服务的断开操作时,校验转发策略得到待撤销用户的身份识别信息;
所述撤销模块,设置为:撤销所述待撤销用户的身份识别信息;
所述删除模块,设置为:在所述待撤销用户的身份识别信息撤销成功
后,清除数据库中所述待撤销用户的信息,并删除所述待撤销用户的转发策略。
可选地,所述获取模块包括:第二确定单元、整形单元和第二获取单元,
所述第二确定单元,设置为:在接收到业务请求时,确定所述业务请求对应的业务数据;
所述整形单元,设置为:整形修改所述业务数据得到可逆向追踪的业务数据;
所述第二获取单元,设置为:根据所述转发策略从所述可逆向追踪的业务数据中获取对应的协议地址和端口。
可选地,所述网络接入用户的追踪装置还包括数据库访问模块,设置为:根据所述身份识别信息访问数据库,获取数据库中所述身份识别信息对应的用户记录信息。
一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行上述任一项的方法。
相对相关技术,本发明实施例通过侦测网络服务的接入操作,生成所述接入操作对应的转发策略;当侦测到业务请求时,根据所述转发策略获取所述业务请求对应的协议地址和端口;根据所述协议地址和端口确定业务请求对应用户的身份识别信息。能逆向追踪网络接入用户,快速锁定用户身份,提高网络可追踪的实施性和准确性,并维护网络安全。
在阅读并理解了附图和详细描述后,可以明白其他方面。
附图概述
图1为本发明网络接入用户的追踪方法第一实施例的流程示意图;
图2为图1中步骤S10一实施例的细化流程示意图;
图3为本发明网络接入用户的追踪方法第二实施例的流程示意图;
图4为本发明网络接入用户的追踪方法第三实施例的流程示意图;
图5为本发明网络接入用户的追踪装置的第一实施例的功能模块示意图;
图6为图5中生成模块一实施例的细化功能模块示意图;
图7为本发明网络接入用户的追踪装置的第二实施例的功能模块示意图;
图8为获取模块一实施例的细化功能模块示意图。
在本发明实施例中,通过侦测网络服务的接入操作,生成所述接入操作对应的转发策略;当侦测到业务请求时,根据所述转发策略获取所述业务请求对应的协议地址和端口;根据所述协议地址和端口确定业务请求对应用户的身份识别信息。有效避免相关技术的IP地址数量缺乏,用户不能分配到唯一的IP地址,导致目前互联网不易管理,安全隐患逐步扩大,难以逆向追踪用户的问题。在侦测到网络服务的接入操作时,生成所述接入操作对应的转发策略,能快速锁定网络接入用户身份,提高网络可追踪的实施性和准确性,并维护网络安全。
由于相关技术的IP地址数量缺乏,用户不能分配到唯一的IP地址,导致目前互联网不易管理,安全隐患逐步扩大,难以逆向追踪用户。
基于上述问题,为本发明实施例提供一种网络接入用户的追踪方法。
参照图1,图1为本发明网络接入用户的追踪方法的第一实施例的流程示意图。
在一实施例中,所述网络接入用户的追踪方法包括:
步骤S10,在侦测到网络服务的接入操作时,生成所述接入操作对应的转发策略;
为了保证能够准确和快速地追踪到网络接入用户,确定网络接入用户的身份,进而维护网络的安全。网络设备在侦测到网络服务的接入操作时,即用户成功接入到网络中,接收到获取网络接入用户的身份识别信息的请求,根据所述请求获取身份识别信息,并根据所述身份识别信息生成所述接入操作对应的可追踪的转发策略。
参考图2,所述生成接入操作对应的转发策略的过程可以包括:
步骤S11,在侦测到网络服务的接入操作时,获取所述接入操作对应网络接入终端的特征值;
所述网络设备在侦测到网络服务的接入操作时,接收建立第一次协议的指令,并根据所述指令建立第一次协议。在建立第一次协议时,根据所述第一次协议获取所述接入操作对应网络接入终端的特征值。所述特征值可以是IMSI、MAC、私网IP等唯一表示网络接入终端属性的值。
步骤S12,根据所述特征值确定所述网络接入终端对应用户的身份识别信息;
所述网络设备在获取到所述特征值后,接收建立第二次协议的指令,建立第二次协议,并根据所述特征值使用算法进行计算,确定网络接入终端对应用户的身份识别信息。所述算法可以是HASH算法,即哈希算法,哈希算法将任意长度的二进制值映射为较短的固定长度的二进制值,这个小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式。如果散列一段明文而且哪怕只更改该段落的一个字母,随后的哈希算法都将产生不同的值。要找到散列为同一个值的两个不同的输入,在计算上是不可能的,所以数据的哈希值可以检验数据的完整性。可以用于快速查找和加密算法。
所述身份识别信息包括用户IP地址、用户索引、端口号,端口范围,所述端口号用于网络设备之间的连接,在网络技术中,端口(port)有两种意思:一是物理意义上的端口,比如,集线器、交换机、路由器用于连接其他网络设备的接口,二是逻辑意义上的端口,一般是指TCP/IP协议中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口。所述端口范围可以任意调节,根据用户的需要设置。所
述网络设备根据所述第二次协议将所述身份识别信息传递,并保存到用户业务数据库。所述第一次协议、第二次协议为相同协议,可以是TCP协议,TCP协议是一种面向连接的、可靠的、基于字节流的传输层通信协议。在本发明其他实施例中,也还可以是通过建立其他协议来获取和保存身份识别信息,例如,IP协议,用于将多个包交换网络连接起来的,在源地址和目的地址之间传送数据报,根据用户的需要及网络设备的性能设置协议。
步骤S13,在获取到所述身份识别信息后,根据所述身份识别信息生成所述接入操作对应的转发策略。
所述网络设备在获取到所述身份识别信息后,根据业务数据的目的IP、目的端口号、源IP、源端口号、传输层协议类型,使用算法,生成所述接入操作对应的转发策略。所述传输层协议类型可以是UDP协议(用户数据报协议)、TCP协议等根据网络设备的性能设置。所述算法可以是HASH算法,与在获取到所述特征值后,根据所述特征值使用算法进行计算的算法相同,在此不再一一赘述。
步骤S20,在侦测到业务请求时,根据所述转发策略获取所述业务请求对应的协议地址和端口;
所述网络设备在生成所述接入操作对应的转发策略后,判断是否侦测到业务请求。在侦测到业务请求时,即在网络上出现大量需要逆向追踪的信息时,根据所述转发策略提取所述业务请求对应的协议地址和端口。所述协议地址可以是IP地址(网络之间互连的协议地址)。
步骤S30,根据所述协议地址和端口确定业务请求对应用户的身份识别信息。
所述网络设备根据协议地址和端口,反向计算得到用户的身份识别信息,并根据所述身份识别信息可以查询用户业务数据库中所述身份识别信息对应网络接入用户的记录信息。所述记录信息包括网络接入用户的接入位置、接入方式、使用设备、设备编号、所属区域等。
所述步骤S30之后,还可以包括:
根据所述身份识别信息访问数据库,获取数据库中所述身份识别信息对
应的用户记录信息。
所述网络设备在确定业务请求对应用户的身份识别信息后,根据所述身份识别信息通过客户端的方式口访问用户业务数据库,所述用户业务数据库缓存用户原始身份信息、位置信息、目前身份信息、位置信息、转发策略信息。在用户业务数据库中查询所述身份识别信息对应的用户记录信息,即可快速锁定用户的详细的位置、身份信息。
本实施例通过侦测网络服务的接入操作,生成所述接入操作对应的转发策略;当侦测到业务请求时,根据所述转发策略获取所述业务请求对应的协议地址和端口;根据所述协议地址和端口确定业务请求对应用户的身份识别信息。实现快速追踪到网络接入用户,提高网络可追踪的实施性和准确性,并维护网络安全。
参照图3,图3为本发明网络接入用户的追踪方法的第二实施例的流程示意图。基于上述网络接入用户的追踪方法的第一实施例,所述步骤S30之后,还可以包括:
步骤S40,在侦测到网络服务的断开操作时,校验转发策略得到待撤销用户的身份识别信息;
步骤S50,撤销所述待撤销用户的身份识别信息;
所述网络设备在侦测到网络服务的断开操作时,即网络接入用户成功离开网络,判断是否接收到撤销用户的身份识别信息指令,在接收到撤销用户的身份识别信息指令时,校验所述断开操作对应的转发策略确定待撤销用户的身份识别信息。所述网络设备在确定待撤销用户的身份识别信息后,撤销所述待撤销用户的身份识别信息。
步骤S60,在所述待撤销用户的身份识别信息撤销成功后,清除数据库中所述待撤销用户的信息,并删除所述待撤销用户的转发策略。
所述网络设备在侦测到已成功撤销所述待撤销用户的身份识别信息后,回收资源,清除数据库中所述待撤销用户的信息,并删除所述待撤销用户的转发策略。
本实施例在侦测到网络服务的断开操作时,校验转发策略得到待撤销用户的身份识别信息,撤销所述待撤销用户的身份识别信息,并清除数据库中所述待撤销用户的信息和删除所述待撤销用户的转发策略。能够在断开网络时,清除用户信息,提高网络可追踪的实施性,进一步维护网络安全。
参照图4,图4为本发明网络接入用户的追踪方法的第三实施例的流程示意图。基于上述网络接入用户的追踪方法的第二实施例,所述步骤S20可以包括:
步骤S21,在接收到业务请求时,确定所述业务请求对应的业务数据;
步骤S22,整形修改所述业务数据得到可逆向追踪的业务数据;
所述网络设备在接收到业务请求时,确定所述业务请求对应的业务数据,转发所述业务数据。在转发所述业务数据时,所述网络设备对所述业务数据进行整形处理,修改成可逆向追踪的业务数据。
步骤S23,根据所述转发策略从所述可逆向追踪的业务数据中获取对应的协议地址和端口。
所述网络设在得到所述可逆向追踪的业务数据时,根据所述接入操作对应的转发策略获取网络接入用户对应的协议地址和端口。
本实施例在接收到业务请求时,整形所述业务请求对应的业务数据,根据转发策略获取所述业务数据的协议地址和端口,并根据所述协议地址和端口确定业务请求对应用户的身份识别信息,在数据库中查询所述身份识别信息对应用户的记录信息。能快速锁定网络接入用户的身份、位置信息,以便快速、准确追踪到网络接入用户。
上述第一至第三实施例的网络接入用户的追踪方法的执行主体均可以为网络设备或与网络设备连接的追踪设备。更进一步地,该网络接入用户的追踪方法可以由安装在网络设备或网络设备上的客户端程序(例如,网络接入用户的追踪软件等)实现,其中,所述网络设备包括但不限于手机、pad、笔记本电脑等。
对应的,本发明实施例还提出一种网络接入用户的追踪装置。
参考图5,图5为本发明网络接入用户的追踪装置的第一实施例的功能模块示意图。所述网络接入用户的追踪装置包括:生成模块10、获取模块20和确定模块30。
所述生成模块10,设置为:在侦测到网络服务的接入操作时,生成所述接入操作对应的转发策略;
为了保证能够准确和快速地追踪到网络接入用户,确定网络接入用户的身份,进而维护网络的安全。在侦测到网络服务的接入操作时,即用户成功接入到网络中,接收到获取网络接入用户的身份识别信息的请求,根据所述请求获取身份识别信息,并根据所述身份识别信息生成所述接入操作对应的可追踪的转发策略。
参考图6,所述生成模块10可包括第一获取单元11、第一确定单元12和生成单元13,
所述第一获取单元11,设置为:在侦测到网络服务的接入操作时,获取所述接入操作对应网络接入终端的特征值;
在侦测到网络服务的接入操作时,接收建立第一次协议的指令,并根据所述指令建立第一次协议。在建立第一次协议时,根据所述第一次协议获取所述接入操作对应网络接入终端的特征值。所述特征值可以是IMSI、MAC、私网IP等唯一表示网络接入终端属性的值。
所述第一确定单元12,设置为:根据所述特征值确定网络接入终端对应用户的身份识别信息;
在获取到所述特征值后,接收建立第二次协议的指令,建立第二次协议,并根据所述特征值使用算法进行计算,确定网络接入终端对应用户的身份识别信息。所述算法可以是HASH算法,即哈希算法,哈希算法将任意长度的二进制值映射为较短的固定长度的二进制值,这个小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式。如果散列一段明文而且哪怕只更改该段落的一个字母,随后的哈希算法都将产生不同的值。要找到散列为同一个值的两个不同的输入,在计算上是不可能的,所以数据
的哈希值可以检验数据的完整性,可以用于快速查找和加密算法。
所述身份识别信息包括用户IP地址、用户索引、端口号,端口范围,所述端口号用于网络设备之间的连接,在网络技术中,端口(port)有两种意思:一是物理意义上的端口,比如,集线器、交换机、路由器用于连接其他网络设备的接口,二是逻辑意义上的端口,一般是指TCP/IP协议中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口。所述端口范围可以任意调节,根据用户的需要设置。所述网络设备根据所述第二次协议将所述身份识别信息传递,并保存到用户业务数据库。所述第一次协议、第二次协议为相同协议,可以是TCP协议,TCP协议是一种面向连接的、可靠的、基于字节流的传输层通信协议。在本发明其他实施例中,也还可以是通过建立其他协议来获取和保存身份识别信息,例如,IP协议,用于将多个包交换网络连接起来的,在源地址和目的地址之间传送数据报,根据用户的需要及网络设备的性能设置协议。
所述生成单元13,设置为:在获取身份识别信息后,根据所述身份识别信息生成所述接入操作对应的转发策略。
在获取到所述身份识别信息后,根据业务数据的目的IP、目的端口号、源IP、源端口号、传输层协议类型,使用算法,生成所述接入操作对应的转发策略。所述传输层协议类型可以是UDP协议(用户数据报协议)、TCP协议等根据网络设备的性能设置。所述算法可以是HASH算法,与在获取到所述特征值后,根据所述特征值使用算法进行计算的算法相同,在此不再一一赘述。
所述获取模块20,设置为:在侦测到业务请求时,根据所述转发策略获取所述业务请求对应的协议地址和端口;
在生成所述接入操作对应的转发策略后,判断是否侦测到业务请求。在侦测到业务请求时,即在网络上出现大量需要逆向追踪的信息时,根据所述转发策略提取所述业务请求对应的协议地址和端口。所述协议地址可以是IP地址(网络之间互连的协议地址)。
所述确定模块30,设置为:根据所述协议地址和端口确定业务请求对应用户的身份识别信息。
根据协议地址和端口,反向计算得到用户的身份识别信息,并根据所述身份识别信息可以查询用户业务数据库中所述身份识别信息对应网络接入用户的记录信息。所述记录信息包括网络接入用户的接入位置、接入方式、使用设备、设备编号、所属区域等。
所述网络接入用户的追踪装置还可以包括数据库访问模块40,设置为:根据所述身份识别信息访问数据库,获取数据库中所述身份识别信息对应的用户记录信息。
在确定业务请求对应用户的身份识别信息后,根据所述身份识别信息通过客户端的方式口访问用户业务数据库,所述用户业务数据库缓存用户原始身份信息、位置信息、目前身份信息、位置信息、转发策略信息。在用户业务数据库中查询所述身份识别信息对应的用户记录信息,即可快速锁定用户的详细的位置、身份信息。
本实施例通过侦测网络服务的接入操作,生成所述接入操作对应的转发策略;当侦测到业务请求时,根据所述转发策略获取所述业务请求对应的协议地址和端口;根据所述协议地址和端口确定业务请求对应用户的身份识别信息。实现快速追踪到网络接入用户,提高网络可追踪的实施性和准确性,维护网络安全。
参照图7,图7为本发明网络接入用户的追踪装置的第二实施例的功能模块示意图。基于上述网络接入用户的追踪装置的第一实施例,
所述网络接入用户的追踪装置还包括校验模块50、撤销模块60和删除模块70,
所述校验模块50,设置为:在侦测到网络服务的断开操作时,校验转发策略得到待撤销用户的身份识别信息;
所述撤销模块60,设置为:撤销所述待撤销用户的身份识别信息;
在侦测到网络服务的断开操作时,即网络接入用户成功离开网络,判断是否接收到撤销用户的身份识别信息指令,在接收到撤销用户的身份识别信息指令时,校验所述断开操作对应的转发策略确定待撤销用户的身份识别信
息。在确定待撤销用户的身份识别信息后,撤销所述待撤销用户的身份识别信息。
所述删除模块70,设置为:在所述待撤销用户的身份识别信息撤销成功后,清除数据库中所述待撤销用户的信息,并删除所述待撤销用户的转发策略。
在侦测到已成功撤销所述待撤销用户的身份识别信息后,回收资源,清除数据库中所述待撤销用户的信息,并删除所述待撤销用户的转发策略。
本实施例在侦测到网络服务的断开操作时,校验转发策略得到待撤销用户的身份识别信息,撤销所述待撤销用户的身份识别信息,并清除数据库中所述待撤销用户的信息和删除所述待撤销用户的转发策略。能够在断开网络时,清除用户信息,提高网络可追踪的实施性,进一步维护网络安全。
参考图8,图8为获取模块一实施例的细化功能模块示意图。获取模块20包括:第二确定单元21、整形单元22和第二获取单元23,
所述第二确定单元21,设置为:在接收到业务请求时,确定所述业务请求对应的业务数据;
所述整形单元22,设置为:整形修改所述业务数据得到可逆向追踪的业务数据;
所述第二获取单元23,设置为:根据所述转发策略从所述可逆向追踪的业务数据中获取对应的协议地址和端口。
在接收到业务请求时,确定所述业务请求对应的业务数据,转发所述业务数据。在转发所述业务数据时,所述网络设备对所述业务数据进行整形处理,修改成可逆向追踪的业务数据。在得到所述可逆向追踪的业务数据时,根据所述接入操作对应的转发策略获取网络接入用户对应的协议地址和端口。
本实施例在接收到业务请求时,整形所述业务请求对应的业务数据,根据转发策略获取所述业务数据的协议地址和端口,并根据所述协议地址和端口确定业务请求对应用户的身份识别信息,在数据库中查询所述身份识别信
息对应用户的记录信息。能快速锁定网络接入用户的身份、位置信息,以便快速、准确追踪到网络接入用户。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现,所述计算机程序可以存储于一计算机可读存储介质中,所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行,在执行时,包括方法实施例的步骤之一或其组合。
可选地,上述实施例的全部或部分步骤也可以使用集成电路来实现,这些步骤可以被分别制作成一个个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。
上述实施例中的装置/功能模块/功能单元可以采用通用的计算装置来实现,它们可以集中在单个的计算装置上,也可以分布在多个计算装置所组成的网络上。
上述实施例中的装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器,磁盘或光盘等。
本发明实施例能有效避免相关技术的IP地址数量缺乏,用户不能分配到唯一的IP地址,导致目前互联网不易管理,安全隐患逐步扩大,难以逆向追踪用户的问题。在侦测到网络服务的接入操作时,生成所述接入操作对应的转发策略,能快速锁定网络接入用户身份,提高网络可追踪的实施性和准确性,并维护网络安全。
Claims (11)
- 一种网络接入用户的追踪方法,包括:在侦测到网络服务的接入操作时,生成所述接入操作对应的转发策略;在侦测到业务请求时,根据所述转发策略获取所述业务请求对应的协议地址和端口;根据所述协议地址和端口确定业务请求对应用户的身份识别信息。
- 如权利要求1所述的网络接入用户的追踪方法,其中,所述在侦测到网络服务的接入操作时,生成所述接入操作对应的转发策略的步骤包括:在侦测到网络服务的接入操作时,获取所述接入操作对应网络接入终端的特征值;根据所述特征值确定所述网络接入终端对应用户的身份识别信息;在获取到所述身份识别信息后,根据所述身份识别信息生成所述接入操作对应的转发策略。
- 如权利要求2所述的网络接入用户的追踪方法,其中,所述的根据所述身份识别信息生成所述接入操作对应的转发策略步骤之后,还包括:在侦测到网络服务的断开操作时,校验转发策略得到待撤销用户的身份识别信息;撤销所述待撤销用户的身份识别信息;在所述待撤销用户的身份识别信息撤销成功后,清除数据库中所述待撤销用户的信息,并删除所述待撤销用户的转发策略。
- 如权利要求1至3任一项所述的网络接入用户的追踪方法,其中,所述在侦测到业务请求时,根据所述转发策略获取所述业务请求对应的协议地址和端口的步骤包括:在接收到业务请求时,确定所述业务请求对应的业务数据;整形修改所述业务数据得到可逆向追踪的业务数据;根据所述转发策略从所述可逆向追踪的业务数据中获取对应的协议地址和端口。
- 如权利要求1至3任一项所述的网络接入用户的追踪方法,其中,所述根据所述协议地址和端口确定业务请求对应用户的身份识别信息的步骤之后,还包括:根据所述身份识别信息访问数据库,获取数据库中所述身份识别信息对应的用户记录信息。
- 一种网络接入用户的追踪装置,包括:生成模块,设置为:在侦测到网络服务的接入操作时,生成所述接入操作对应的转发策略;获取模块,设置为:在侦测到业务请求时,根据所述转发策略获取所述业务请求对应的协议地址和端口;确定模块,设置为:根据所述协议地址和端口确定业务请求对应用户的身份识别信息。
- 如权利要求6所述的网络接入用户的追踪装置,其中,所述生成模块包括第一获取单元、第一确定单元和生成单元,所述第一获取单元,设置为:在侦测到网络服务的接入操作时,获取所述接入操作对应网络接入终端的特征值;所述第一确定单元,设置为:根据所述特征值确定所述网络接入终端对应用户的身份识别信息;所述生成单元,设置为:在获取到所述身份识别信息后,根据所述身份识别信息生成所述接入操作对应的转发策略。
- 如权利要求6所述的网络接入用户的追踪装置,还包括校验模块、撤销模块和删除模块,所述校验模块,设置为:在侦测到网络服务的断开操作时,校验转发策略得到待撤销用户的身份识别信息;所述撤销模块,设置为:撤销所述待撤销用户的身份识别信息;所述删除模块,设置为:在所述待撤销用户的身份识别信息撤销成功后,清除数据库中所述待撤销用户的信息,并删除所述待撤销用户的转发策 略。
- 如权利要求6至8任一项所述的网络接入用户的追踪装置,其中,所述获取模块包括:第二确定单元、整形单元和第二获取单元,所述第二确定单元,设置为:在接收到业务请求时,确定所述业务请求对应的业务数据;所述整形单元,设置为:整形修改所述业务数据得到可逆向追踪的业务数据;所述第二获取单元,设置为:根据所述转发策略从所述可逆向追踪的业务数据中获取对应的协议地址和端口。
- 如权利要求9所述的网络接入用户的追踪装置,还包括数据库访问模块,设置为:根据所述身份识别信息访问数据库,获取数据库中所述身份识别信息对应的用户记录信息。
- 一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行权利要求1-5任一项的方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510067916.3A CN105991785A (zh) | 2015-02-09 | 2015-02-09 | 网络接入用户的追踪方法及装置 |
| CN201510067916.3 | 2015-02-09 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2016127798A1 true WO2016127798A1 (zh) | 2016-08-18 |
Family
ID=56615331
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2016/072156 WO2016127798A1 (zh) | 2015-02-09 | 2016-01-26 | 网络接入用户的追踪方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN105991785A (zh) |
| WO (1) | WO2016127798A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110049106B (zh) * | 2019-03-22 | 2022-02-08 | 口碑(上海)信息技术有限公司 | 业务请求处理系统及方法 |
| CN112565159B (zh) * | 2019-09-25 | 2022-09-13 | 中国移动通信集团广东有限公司 | 一种封堵异常用户设备的方法和电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252592A (zh) * | 2008-04-14 | 2008-08-27 | 信息产业部电信传输研究所 | 一种ip网络的网络溯源方法和系统 |
| CN101710906A (zh) * | 2009-12-18 | 2010-05-19 | 工业和信息化部电信传输研究所 | IPv6地址的结构、分配及溯源的方法和装置 |
| US20130133057A1 (en) * | 2011-11-22 | 2013-05-23 | Electronics And Telecommunications Research Institute | System for managing virtual private network and method thereof |
| CN103139326A (zh) * | 2013-03-06 | 2013-06-05 | 中国联合网络通信集团有限公司 | Ip溯源方法、设备和系统 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102130887B (zh) * | 2010-01-20 | 2019-03-12 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| CN102238039A (zh) * | 2011-07-30 | 2011-11-09 | 华为技术有限公司 | Nat事件上报及ip地址溯源方法、及网络装置 |
| CN102868539B (zh) * | 2012-10-19 | 2016-04-13 | 中太数据通信(深圳)有限公司 | 一种全国计费标识网关的管理方法及系统 |
| CN103229488B (zh) * | 2012-12-27 | 2016-05-25 | 华为技术有限公司 | IPv6地址溯源方法、装置和系统 |
| US9407580B2 (en) * | 2013-07-12 | 2016-08-02 | Nicira, Inc. | Maintaining data stored with a packet |
| CN103441859A (zh) * | 2013-08-26 | 2013-12-11 | 暨南大学 | 用户计费业务使用标识生成管理方法及系统 |
| CN103532752A (zh) * | 2013-10-10 | 2014-01-22 | 北京首信科技股份有限公司 | 移动互联网络用户上网日志实现融合的管理装置和方法 |
| CN103561127A (zh) * | 2013-11-01 | 2014-02-05 | 中国联合网络通信集团有限公司 | 用户溯源的方法及系统 |
| CN103731515A (zh) * | 2014-01-15 | 2014-04-16 | 中国联合网络通信集团有限公司 | 一种ip溯源方法、设备及系统 |
-
2015
- 2015-02-09 CN CN201510067916.3A patent/CN105991785A/zh active Pending
-
2016
- 2016-01-26 WO PCT/CN2016/072156 patent/WO2016127798A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252592A (zh) * | 2008-04-14 | 2008-08-27 | 信息产业部电信传输研究所 | 一种ip网络的网络溯源方法和系统 |
| CN101710906A (zh) * | 2009-12-18 | 2010-05-19 | 工业和信息化部电信传输研究所 | IPv6地址的结构、分配及溯源的方法和装置 |
| US20130133057A1 (en) * | 2011-11-22 | 2013-05-23 | Electronics And Telecommunications Research Institute | System for managing virtual private network and method thereof |
| CN103139326A (zh) * | 2013-03-06 | 2013-06-05 | 中国联合网络通信集团有限公司 | Ip溯源方法、设备和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105991785A (zh) | 2016-10-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240121227A1 (en) | Content security at service layer | |
| US11470105B2 (en) | Attestation service gateway | |
| US11818142B2 (en) | Distributed data authentication and validation using blockchain | |
| US9722966B2 (en) | DNS-based determining whether a device is inside a network | |
| WO2020154865A1 (zh) | 一种支持多模标识网络寻址渐进去ip的方法、系统及存储介质 | |
| US9009778B2 (en) | Segmented network identity management | |
| Zhu et al. | A survey on blockchain-based identity management systems for the Internet of Things | |
| Beach et al. | Solutions to security and privacy issues in mobile social networking | |
| Luecking et al. | Decentralized identity and trust management framework for Internet of Things | |
| WO2017161706A1 (zh) | 一种局域网内网资源的访问控制方法、装置及网关设备 | |
| WO2023024742A1 (zh) | 一种数据处理方法、装置、计算机设备及存储介质 | |
| WO2014139444A1 (en) | Augmenting name/prefix based routing protocols with trust anchor in information-centric networks | |
| WO2008116416A1 (fr) | Procédé, dispositif et système pour qu'un système de nom de domaine se mette à jour de façon dynamique | |
| US11277442B2 (en) | Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods | |
| Luo et al. | Lightweight three factor scheme for real-time data access in wireless sensor networks | |
| Ma et al. | An architecture for accountable anonymous access in the internet-of-things network | |
| KR20200087327A (ko) | IoT 서비스를 위한 블록체인 기반 데이터 신뢰성 제공 시스템 및 방법 | |
| US11924043B2 (en) | Establishing trust relationships of IPv6 neighbors using attestation-based methods in IPv6 neighbor discovery | |
| WO2016127798A1 (zh) | 网络接入用户的追踪方法及装置 | |
| WO2020147854A1 (zh) | 认证方法、装置、系统以及存储介质 | |
| US20200322356A1 (en) | Systems and methods for pre-configuration attestation of network devices | |
| KR102271201B1 (ko) | 블록체인을 이용한 개인정보 관리 방법 및 그 방법이 적용된 블록체인 네트워크 관리자 | |
| CN108243190A (zh) | 一种网络标识的可信管理方法和系统 | |
| Gao et al. | Bc-aka: Blockchain based asymmetric authentication and key agreement protocol for distributed 5g core network | |
| He et al. | Design and formal analysis of a lightweight mipv6 authentication scheme |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 16748599 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 16748599 Country of ref document: EP Kind code of ref document: A1 |