用户溯源方法、装置及宽带接入服务器的制造方法

文档序号:8000153阅读:282来源:国知局
用户溯源方法、装置及宽带接入服务器的制造方法
【专利摘要】本发明提供一种用户溯源方法、装置及宽带接入服务器,方法包括:接收溯源请求,根据所述溯源请求,查询当前存储的第一日志记录,所述第一日志记录包括所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、私网IP地址、所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配时间范围,获得对应的私网IP地址;根据所述溯源时间戳和所述私网IP地址,查询当前存储的第二日志记录,所述第二日志记录包括所述私网IP地址、用户标识和所述用户标识对应的用户使用所述私网IP地址的使用时间范围,获得对应的用户标识。通过本方案实现有效准确地对用户进行溯源,加强对互联网网络安全的监管。
【专利说明】用户溯源方法、装置及宽带接入服务器

【技术领域】
[0001] 本发明涉及通信领域,尤其涉及一种用户溯源方法、装置及宽带接入服务器。

【背景技术】
[0002] 随着互联网用户的数量不断增加,如何解决公网IP地址不足成为研究重点,为此 网络地址转换(Network Address Translation,简称NAT)技术,又称为运营级网络地址转 换(Carrier-Grade NAT,简称CGN)技术被提出。具体的,CGN设备根据接收到的包括私网 IP地址的公网访问请求,通过为所述私网IP地址分配同一公网IP地址对应的不同端口的 方式,将私有IP地址转换为公有IP地址,从而实现多个私网用户可以共用一个公网IP地 址进行外网连接。
[0003] 现有的一种NAT方案为,当CGN设备接收到包括私网IP地址的公网访问请求时, 若当前没有与所述私网IP地址对应的可用端口段,则为其分配端口段。例如,若当前没有 与所述私网IP地址对应的公网IP地址和端口段,则为所述私网IP地址分配公网IP地址 和对应的端口段;再例如,若当前与所述私网IP地址对应的端口段中没有空闲端口,则为 所述私网IP地址分配其它端口段。进一步的,当该端口段中的端口均被释放时,则收回所 述端口段,以便CGN设备将其分配给其它私网IP地址。
[0004] 但与此同时,随着互联网覆盖面的不断扩大和网络安全重要性的不断增加,越来 越需要实现对访问公网的私网用户进行溯源,而现有技术中还没有针对NAT技术进行用户 溯源的方法。


【发明内容】

[0005] 本发明提供一种用户溯源方法、装置及宽带接入服务器,用以针对NAT技术实现 有效准确地对用户进行溯源。
[0006] 本发明的第一个方面是提供一种用户溯源方法,包括:
[0007] 接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端口标识;
[0008] 根据所述溯源请求,查询当前存储的第一日志记录,所述第一日志记录包括所述 公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、私网IP地 址、所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配时间范围,获得与 所述溯源时间戳所属分配时间范围、所述公网IP地址和所述端口标识所属端口段对应的 私网IP地址;
[0009] 根据所述溯源时间戳和所述私网IP地址,查询当前存储的第二日志记录,所述第 二日志记录包括所述私网IP地址、用户标识和所述用户标识对应的用户使用所述私网IP 地址的使用时间范围,获得与所述溯源时间戳所属使用时间范围和所述私网IP地址对应 的用户标识。
[0010] 本发明的另一个方面是提供另一种用户溯源方法,包括:
[0011] 接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端口标识;
[0012] 根据所述溯源请求,查询当前存储的日志记录,所述日志记录包括用户标识、所述 公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公 网IP地址和所述端口段被同时分配给所述用户标识的分配时间范围,获得与所述溯源时 间戳所属分配时间范围、所述公网IP地址和所述端口标识所属端口段对应的用户标识。
[0013] 本发明的又一个方面是提供又一种用户溯源方法,包括:
[0014] 宽带接入服务器BRAS接收包括用户标识的上线请求,为所述用户标识分配私网 IP地址并记录用户上线消息,所述用户上线消息包括所述用户标识、所述私网IP地址和用 户上线时间戳;
[0015] 接收端口段分配消息,所述端口段分配消息包括所述私网IP地址、公网IP地址、 所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和 所述端口段被同时分配给所述私网IP地址的分配起始时间戳,所述端口段分配消息是运 营级网络地址转换CGN设备为所述私网IP地址分配所述公网IP地址和所述端口段后发送 的;
[0016] 接收包括所述用户标识的下线请求,收回所述私网IP地址并记录用户下线消息, 所述用户下线消息包括所述用户标识、所述私网IP地址和用户下线时间戳;
[0017] 根据所述用户上线消息、所述端口段分配消息和所述用户下线消息,获得日志记 录,所述日志记录包括所述用户标识、所述公网IP地址、所述公网IP地址对应的端口段的 起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配给所述用 户标识的分配时间范围;
[0018] 向用户溯源装置发送所述日志记录,以使所述用户溯源装置根据接收到的溯源请 求和所述日志记录进行溯源。
[0019] 本发明的又一个方面是提供一种用户溯源装置,包括:
[0020] 接收模块,用于接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端 口标识;
[0021 ] 第一处理模块,用于根据所述溯源请求,查询当前存储的第一日志记录,所述第一 日志记录包括所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端 口标识、私网IP地址、所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分 配时间范围,获得与所述溯源时间戳所属分配时间范围、所述公网IP地址和所述端口标识 所属端口段对应的私网IP地址;
[0022] 第二处理模块,用于根据所述溯源时间戳和所述私网IP地址,查询当前存储的第 二日志记录,所述第二日志记录包括所述私网IP地址、用户标识和所述用户标识对应的用 户使用所述私网IP地址的使用时间范围,获得与所述溯源时间戳所属使用时间范围和所 述私网IP地址对应的用户标识。
[0023] 本发明的又一个方面是提供另一种用户溯源装置,包括:
[0024] 接收模块,用于接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端 口标识;
[0025] 处理模块,用于根据所述溯源请求,查询当前存储的日志记录,所述日志记录包括 用户标识、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标 识、以及所述公网IP地址和所述端口段被同时分配给所述用户标识的分配时间范围,获得 与所述溯源时间戳所属分配时间范围、所述公网IP地址和所述端口标识所属端口段对应 的用户标识。
[0026] 本发明的又一个方面是提供一种宽带接入服务器,包括:
[0027] 接收模块,用于接收包括用户标识的上线请求,为所述用户标识分配私网IP地址 并记录用户上线消息,所述用户上线消息包括所述用户标识、所述私网IP地址和用户上线 时间戳;
[0028] 所述接收模块,还用于接收端口段分配消息,所述端口段分配消息包括所述私网 IP地址、公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以 及所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配起始时间戳,所述 端口段分配消息是运营级网络地址转换CGN设备为所述私网IP地址分配所述公网IP地址 和所述端口段后发送的;
[0029] 所述接收模块,还用于接收包括所述用户标识的下线请求,收回所述私网IP地址 并记录用户下线消息,所述用户下线消息包括所述用户标识、所述私网IP地址和用户下线 时间戳;
[0030] 处理模块,用于根据所述用户上线消息、所述端口段分配消息和所述用户下线消 息,获得日志记录,所述日志记录包括所述用户标识、所述公网IP地址、所述公网IP地址对 应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时 分配给所述用户标识的分配时间范围;
[0031] 发送模块,用于向用户溯源装置发送所述日志记录,以使所述用户溯源装置根据 接收到的溯源请求和所述日志记录进行溯源。
[0032] 本发明提供的用户溯源方法、装置及宽带接入服务器,根据接收到的溯源请求,通 过查询当前存储的日志记录,获得所述溯源请求对应的用户标识,从而针对NAT技术实现 有效准确地对用户进行溯源,加强对互联网网络安全的监管。

【专利附图】

【附图说明】
[0033] 图1为本发明实施例一提供的一种用户溯源方法的流程示意图;
[0034] 图2为本发明实施例二提供的另一种用户溯源方法的流程示意图;
[0035] 图3为本发明实施例三提供的又一种用户溯源方法的流程示意图;
[0036] 图4为本发明实施例四提供的一种用户溯源装置的结构示意图;
[0037] 图5为本发明实施例五提供的另一种用户溯源装置的结构示意图;
[0038] 图6为本发明实施例六提供的宽带接入服务器的结构示意图。

【具体实施方式】
[0039] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
[0040] 图1为本发明实施例一提供的一种用户溯源方法的流程示意图,如图1所示,所述 方法包括:
[0041] 101、接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端口标识;
[0042] 102、根据所述溯源请求,查询当前存储的第一日志记录,所述第一日志记录包括 所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、私网IP 地址、所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配时间范围,获得 与所述溯源时间戳所属分配时间范围、所述公网IP地址和所述端口标识所属端口段对应 的私网IP地址;
[0043] 103、根据所述溯源时间戳和所述私网IP地址,查询当前存储的第二日志记录,所 述第二日志记录包括所述私网IP地址、用户标识和所述用户标识对应的用户使用所述私 网IP地址的使用时间范围,获得与所述溯源时间戳所属使用时间范围和所述私网IP地址 对应的用户标识。
[0044] 其中,本实施例的执行主体可以为用户溯源装置,所述用户溯源装置可以设置在 认证、鉴权和计费(Authentication Authorization and Accounting,简称AAA)服务器上。
[0045] 具体的,所述使用时间范围包括用户上线时间戳和用户下线时间戳,也就是说,所 述用户标识对应的用户使用所述私网IP地址的使用时间范围为,所述用户上线时间戳和 所述用户下线时间戳对应的时段;所述分配时间范围包括分配起始时间戳和分配终止时间 戳,也就是说,所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配时间范 围为,所述分配起始时间戳和所述分配终止时间戳对应的时段;相应的,为了预先建立所述 第二日志记录,在101之前,还包括:
[0046] 接收用户上线消息,所述用户上线消息包括所述用户标识、所述私网IP地址和 所述用户上线时间戳,所述用户上线消息是宽带接入服务器(Broadband Remote Access Server,简称BRAS)为所述用户标识分配所述私网IP地址后发送的;
[0047] 接收端口段分配消息,所述端口段分配消息包括所述私网IP地址、所述公网IP地 址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、所述公网IP地址和所 述端口段被同时分配给所述私网IP地址的分配起始时间戳,所述端口段分配消息是运营 级网络地址转换(Carrier-Grade NAT,简称CGN)设备为所述私网IP地址分配所述公网IP 地址和端口段后发送的;
[0048] 接收用户下线消息,所述用户下线消息包括所述用户标识、所述私网IP地址和用 户下线时间戳,所述用户下线消息是所述BRAS收回所述私网IP地址后发送的;
[0049] 根据所述用户上线消息和所述用户下线消息,获得所述第二日志记录并存储。
[0050] 进一步的,为了预先建立所述第一日志记录,所述方法还包括:
[0051] 将所述用户下线时间戳作为所述公网IP地址和所述端口段被同时分配给所述私 网IP地址的分配终止时间戳,根据所述端口段分配消息和所述分配终止时间戳,获得所述 第一日志记录并存储;或者,
[0052] 在所述接收所述用户的用户下线消息之前,接收端口段收回消息,所述端口段收 回消息包括所述私网IP地址、所述公网IP地址、所述公网IP地址对应的端口段的起始端 口标识和结束端口标识、以及所述端口段的收回时间戳,所述端口段收回消息是所述CGN 设备收回分配给所述私网IP地址的所述端口段后发送的;
[0053] 将所述端口段的收回时间戳作为所述公网IP地址和所述端口段被同时分配给所 述私网IP地址的分配终止时间戳,根据所述端口段分配消息和所述分配终止时间戳,获得 所述第一日志记录并存储。
[0054] 可选的,本实施例中所述CGN设备可以相对于所述BRAS独立设置,也就是说,所述 CGN设备无法与所述BRAS直接进行信令交互,例如,所述CGN设备为独立式CGN设备或者路 由器插卡CGN设备;可选的,所述CGN设备也可以设置在所述BRAS上,也就是说,所述CGN 设备可以与所述BRAS直接进行信令交互,例如,所述CGN设备可以为BRAS插卡CGN设备。
[0055] 本实施例提供的用户溯源方法,根据接收到的溯源请求,通过查询当前存储的第 一日志记录和第二日志记录,进行用户溯源,实现有效准确地对用户进行溯源,加强对互联 网网络安全的监管。
[0056] 图2为本发明实施例二提供的另一种用户溯源方法的流程示意图,如图2所示,所 述方法包括:
[0057] 201、接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端口标识;
[0058] 202、根据所述溯源请求,查询当前存储的日志记录,所述日志记录包括用户标识、 所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所 述公网IP地址和所述端口段被同时分配给所述用户标识的分配时间范围,获得与所述溯 源时间戳所属分配时间范围、所述公网IP地址和所述端口标识所属端口段对应的用户标 识。
[0059] 其中,本实施例的执行主体可以为用户溯源装置,所述用户溯源装置可以设置在 AAA服务器中。具体的,所述分配时间范围包括分配起始时间戳和分配终止时间戳;相应 的,为了预先建立所述日志记录,在201之前还包括:
[0060] 接收并存储宽带接入服务器BRAS发送的所述日志记录,所述日志记录是所述 BRAS根据记录的用户上线消息和用户下线消息、以及运营级网络地址转换CGN设备发送的 端口段分配消息获得的。
[0061] 其中,本实施例和后述实施例三中的所述CGN设备可以设置在所述BRAS中。具体 的,所述公网IP地址和所述端口段被同时分配给所述用户标识为,所述公网IP地址和所述 端口段被同时分配给为所述用户标识分配的私网IP地址,后续实施例中对此不再赘述。
[0062] 本实施例提供的用户溯源方法,根据接收到的溯源请求,通过查询当前存储的日 志记录,进行用户溯源,实现有效准确地对用户进行溯源,加强对互联网网络安全的监管。
[0063] 图3为本发明实施例三提供的又一种用户溯源方法的流程示意图,如图3所示,所 述方法包括:
[0064] 301、宽带接入服务器BRAS接收包括用户标识的上线请求,为所述用户标识分配 私网IP地址并记录用户上线消息,所述用户上线消息包括所述用户标识、所述私网IP地址 和用户上线时间戳;
[0065] 302、接收端口段分配消息,所述端口段分配消息包括所述私网IP地址、公网IP地 址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址 和所述端口段被同时分配给所述私网IP地址的分配起始时间戳,所述端口段分配消息是 运营级网络地址转换CGN设备为所述私网IP地址分配所述公网IP地址和所述端口段后发 送的;
[0066] 303、接收包括所述用户标识的下线请求,收回所述私网IP地址并记录用户下线 消息,所述用户下线消息包括所述用户标识、所述私网IP地址和用户下线时间戳;
[0067] 304、根据所述用户上线消息、所述端口段分配消息和所述用户下线消息,获得日 志记录,所述日志记录包括所述用户标识、所述公网IP地址、所述公网IP地址对应的端口 段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配给所 述用户标识的分配时间范围;
[0068] 305、向用户溯源装置发送所述日志记录,以使所述用户溯源装置根据接收到的溯 源请求和所述日志记录进行溯源。
[0069] 其中,301具体可以包括:宽带接入服务器BRAS接收包括用户标识的上线请求,若 所述用户标识通过AAA服务器认证成功,则为所述用户标识分配私网IP地址并记录用户上 线消息。其具体认证方法在此不再赘述。
[0070] 可选的,在本实施例的一种可实施方式中,若所述用户下线则所述CGN设备将收 回为所述用户分配的公网IP地址和端口段,也就是说,可以将用户下线时刻作为所述公网 IP地址和所述端口段被同时分配给所述用户标识的分配终止时刻,故304中所述获得日志 记录具体可以包括:
[0071] 将所述用户下线时间戳作为所述公网IP地址和所述端口段被同时分配给所述用 户标识的分配终止时间戳,根据所述用户上线消息、所述端口段分配消息和所述分配终止 时间戳,获得所述日志记录。
[0072] 可选的,在本实施例的另一种可实施方式中,在所述用户下线之前,若所述CGN设 备检测到为该用户分配的端口段对应的端口中,某个端口空闲超时,例如,该端口处于空闲 状态的时长超过预设的时长,则释放该端口;进一步的,若所述端口段对应的端口均被释 放,则所述CGN设备收回为所述用户分配的该端口段,也就是说,可以将所述CGN设备收回 该端口段的时刻作为所述公网IP地址和所述端口段被同时分配给所述用户标识的分配终 止时刻;则在303之前,还包括:
[0073] 接收端口段收回消息,所述端口段收回消息包括所述私网IP地址、所述公网IP地 址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述端口段的收 回时间戳,所述端口段收回消息是所述CGN设备收回分配给所述私网IP地址的所述端口段 后发送的;
[0074] 相应的,304中所述获得日志记录具体可以包括:
[0075] 将所述端口段的收回时间戳作为所述公网IP地址和所述端口段被同时分配给所 述用户标识的分配终止时间戳,根据所述用户上线消息、所述端口段分配消息、所述用户下 线消息和所述分配终止时间戳,获得所述日志记录。
[0076] 本实施例提供的用户溯源方法,根据记录的用户上线消息和所述用户下线消息、 以及接收到的端口段分配消息,获得日志记录并发送给用户溯源装置,以使其进行用户溯 源,实现有效准确地对用户进行溯源,加强对互联网网络安全的监管。
[0077] 图4为本发明实施例四提供的一种用户溯源装置的结构示意图,如图4所示,所述 装置包括:
[0078] 接收模块41,用于接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和 端口标识;
[0079] 第一处理模块42,用于根据所述溯源请求,查询当前存储的第一日志记录,所述第 一日志记录包括所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束 端口标识、私网IP地址、所述公网IP地址和所述端口段被同时分配给所述私网IP地址的 分配时间范围,获得与所述溯源时间戳所属分配时间范围、所述公网IP地址和所述端口标 识所属端口段对应的私网IP地址;
[0080] 第二处理模块43,用于根据所述溯源时间戳和所述私网IP地址,查询当前存储的 第二日志记录,所述第二日志记录包括所述私网IP地址、用户标识和所述用户标识对应的 用户使用所述私网IP地址的使用时间范围,获得与所述溯源时间戳所属使用时间范围和 所述私网IP地址对应的用户标识。
[0081] 其中,所述用户溯源装置可以设置在AAA服务器中。具体的,所述使用时间范围包 括用户上线时间戳和用户下线时间戳;所述分配时间范围包括分配起始时间戳和分配终止 时间戳;
[0082] 相应的,为了预先建立所述第二日志记录,接收模块41,还用于接收用户上线消 息,所述用户上线消息包括所述用户标识、所述私网IP地址和所述用户上线时间戳,所述 用户上线消息是宽带接入服务器BRAS为所述用户标识分配所述私网IP地址后发送的;
[0083] 接收模块41,还用于接收端口段分配消息,所述端口段分配消息包括所述私网IP 地址、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、 所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配起始时间戳,所述端 口段分配消息是运营级网络地址转换CGN设备为所述私网IP地址分配所述公网IP地址和 端口段后发送的;
[0084] 接收模块41,还用于接收用户下线消息,所述用户下线消息包括所述用户标识、所 述私网IP地址和用户下线时间戳,所述用户下线消息是所述BRAS收回所述私网IP地址后 发送的;
[0085] 第二处理模块43,还用于根据所述用户上线消息和所述用户下线消息,获得所述 第二日志记录并存储。
[0086] 进一步的,为了预先建立所述第一日志记录,第一处理模块42,还用于将所述用户 下线时间戳作为所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配终止 时间戳,根据所述端口段分配消息和所述分配终止时间戳,获得所述第一日志记录并存储; 或者,
[0087] 接收模块41,还用于在所述接收所述用户的用户下线消息之前,接收端口段收回 消息,所述端口段收回消息包括所述私网IP地址、所述公网IP地址、所述公网IP地址对应 的端口段的起始端口标识和结束端口标识、以及所述端口段的收回时间戳,所述端口段收 回消息是所述CGN设备收回分配给所述私网IP地址的所述端口段后发送的;
[0088] 第一处理模块42,还用于将所述端口段的收回时间戳作为所述公网IP地址和所 述端口段被同时分配给所述私网IP地址的分配终止时间戳,根据所述端口段分配消息和 所述分配终止时间戳,获得所述第一日志记录并存储。
[0089] 可选的,本实施例中所述CGN设备可以相对于所述BRAS独立设置,或者可以设置 在所述BRAS上。
[0090] 本实施例提供的用户溯源装置,根据接收到的溯源请求,通过查询当前存储的第 一日志记录和第二日志记录,进行用户溯源,实现有效准确地对用户进行溯源,加强对互联 网网络安全的监管。
[0091] 图5为本发明实施例五提供的另一种用户溯源装置的结构示意图,如图5所示,所 述装置包括:
[0092] 接收模块51,用于接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和 端口标识;
[0093] 处理模块52,用于根据所述溯源请求,查询当前存储的日志记录,所述日志记录包 括用户标识、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口 标识、以及所述公网IP地址和所述端口段被同时分配给所述用户标识的分配时间范围,获 得与所述溯源时间戳所属分配时间范围、所述公网IP地址和所述端口标识所属端口段对 应的用户标识。
[0094] 其中,所述用户溯源装置可以设置在AAA服务器中。具体的,所述分配时间范围包 括分配起始时间戳和分配终止时间戳;
[0095] 相应的,为了预先建立所述日志记录,接收模块51,还用于接收宽带接入服务器 BRAS发送的所述日志记录,所述日志记录是所述BRAS根据记录的用户上线消息和用户下 线消息、以及运营级网络地址转换CGN设备发送的端口段分配消息获得的;处理模块52,还 用于存储所述日志记录。其中,本实施例中的所述CGN设备设置在所述BRAS上。
[0096] 本实施例提供的用户溯源装置,根据接收到的溯源请求,通过查询当前存储的日 志记录进行用户溯源,实现有效准确地对用户进行溯源,加强对互联网网络安全的监管。
[0097] 图6为本发明实施例六提供的宽带接入服务器的结构示意图,如图6所示,所述宽 带接入服务器包括:
[0098] 接收模块61,用于接收包括用户标识的上线请求,为所述用户标识分配私网IP地 址并记录用户上线消息,所述用户上线消息包括所述用户标识、所述私网IP地址和用户上 线时间戳;
[0099] 接收模块61,还用于接收端口段分配消息,所述端口段分配消息包括所述私网IP 地址、公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及 所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配起始时间戳,所述端 口段分配消息是运营级网络地址转换CGN设备为所述私网IP地址分配所述公网IP地址和 所述端口段后发送的;
[0100] 接收模块61,还用于接收包括所述用户标识的下线请求,收回所述私网IP地址并 记录用户下线消息,所述用户下线消息包括所述用户标识、所述私网IP地址和用户下线时 间戳;
[0101] 处理模块62,用于根据所述用户上线消息、所述端口段分配消息和所述用户下线 消息,获得日志记录,所述日志记录包括所述用户标识、所述公网IP地址、所述公网IP地址 对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同 时分配给所述用户标识的分配时间范围;
[0102] 发送模块63,用于向用户溯源装置发送所述日志记录,以使所述用户溯源装置根 据接收到的溯源请求和所述日志记录进行溯源。
[0103] 具体的,所述分配时间范围可以包括分配起始时间戳和分配终止时间戳;可选的, 在本实施例的一种可实施方式中,若所述用户下线则所述CGN设备将收回为所述用户分配 的公网IP地址和端口段,则处理模块62,具体用于将所述用户下线时间戳作为所述公网 IP地址和所述端口段被同时分配给所述用户标识的分配终止时间戳,根据所述用户上线消 息、所述端口段分配消息和所述分配终止时间戳,获得所述日志记录。
[0104] 可选的,在本实施例的另一种可实施方式中,在所述用户下线之前,若所述CGN设备 检测到为该用户分配的端口段对应的端口均被释放,则收回为所述用户分配的该端口段;
[0105] 则相应的,接收模块61,还用于接收端口段收回消息,所述端口段收回消息包括所 述私网IP地址、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束 端口标识、以及所述端口段的收回时间戳,所述端口段收回消息是所述CGN设备收回分配 给所述私网IP地址的所述端口段后发送的;
[0106] 处理模块62,具体用于将所述端口段的收回时间戳作为所述公网IP地址和所述 端口段被同时分配给所述用户标识的分配终止时间戳,根据所述用户上线消息、所述端口 段分配消息、所述用户下线消息和所述分配终止时间戳,获得所述日志记录。
[0107] 本实施例提供的宽带接入服务器,根据记录的用户上线消息和所述用户下线消 息、以及接收到的端口段分配消息,获得日志记录并发送给用户溯源装置,以使其进行用户 溯源,实现有效准确地对用户进行溯源,加强对互联网网络安全的监管。
[0108] 需要说明的是,在上述任一实施例中,运营级网络地址转换CGN设备接收包括 BRAS为用户标识对应的用户分配的私网IP地址的访问请求,若当前所述私网IP地址对应 的可用端口不足,则为该私网IP地址分配公网IP地址和所述公网IP地址对应的端口段。
[0109] 与上述方案相比,目前存在的另一种NAT技术的具体方案为,CGN设备每接收到用 户的包括私有IP地址的访问请求,则为其分配公网IP地址和端口,以使其使用该公网IP 地址和端口进行访问。进一步的,基于该NAT技术的用户溯源方法为,每当CGN设备根据用 户的访问请求,为该私有IP地址分配公网IP地址和端口时,就向用户溯源装置上报一条日 志记录,该日志记录包括所述私网IP地址、所述公网IP地址、端口的端口标识、以及将所 述公网IP地址和所述端口同时分配给所述私网IP地址的分配时间戳,从而使用户溯源装 置根据溯源请求查询对应的私网IP地址,进而溯源到对应的用户。可以理解,在该方案中, CGN设备会产生大量的日志记录,日志的存储需要占用大量的存储资源,并且由于CGN设备 上报日志记录的频率很高,因此可能发生漏报错报日志记录的情况,从而导致查询结果不 成功或不准确。
[0110] 而相比于上述用户溯源的方案,本发明实施例提供的用户溯源方法不需要在每次 用户访问时,便上报一次日志记录,而只是在分配端口段时进行一次日志记录的上报,因而 在有效节约存储资源的同时,大大减轻了 CGN设备的日志吞吐压力。
[0111] 最后,需要说明的是,上述实施例提供的用户溯源装置和宽带接入服务器可实现 本发明实施例提供的相应的用户溯源方法的步骤,具体实现方法在此不再赘述。
[0112] 本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通 过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程 序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟 或者光盘等各种可以存储程序代码的介质。
[0113] 最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制; 尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其 依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征 进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技 术方案的范围。
【权利要求】
1. 一种用户溯源方法,其特征在于,包括: 接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端口标识; 根据所述溯源请求,查询当前存储的第一日志记录,所述第一日志记录包括所述公网 IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、私网IP地址、所 述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配时间范围,获得与所述 溯源时间戳所属分配时间范围、所述公网IP地址和所述端口标识所属端口段对应的私网 IP地址; 根据所述溯源时间戳和所述私网IP地址,查询当前存储的第二日志记录,所述第二日 志记录包括所述私网IP地址、用户标识和所述用户标识对应的用户使用所述私网IP地址 的使用时间范围,获得与所述溯源时间戳所属使用时间范围和所述私网IP地址对应的用 户标识。
2. 根据权利要求1所述的方法,其特征在于,所述使用时间范围包括用户上线时间戳 和用户下线时间戳;所述分配时间范围包括分配起始时间戳和分配终止时间戳;所述接收 溯源请求之前,还包括: 接收用户上线消息,所述用户上线消息包括所述用户标识、所述私网IP地址和所述用 户上线时间戳,所述用户上线消息是宽带接入服务器BRAS为所述用户标识分配所述私网 IP地址后发送的; 接收端口段分配消息,所述端口段分配消息包括所述私网IP地址、所述公网IP地址、 所述公网IP地址对应的端口段的起始端口标识和结束端口标识、所述公网IP地址和所述 端口段被同时分配给所述私网IP地址的分配起始时间戳,所述端口段分配消息是运营级 网络地址转换CGN设备为所述私网IP地址分配所述公网IP地址和端口段后发送的; 接收用户下线消息,所述用户下线消息包括所述用户标识、所述私网IP地址和用户下 线时间戳,所述用户下线消息是所述BRAS收回所述私网IP地址后发送的; 根据所述用户上线消息和所述用户下线消息,获得所述第二日志记录并存储。
3. 根据权利要求2所述的方法,其特征在于,所述方法还包括: 将所述用户下线时间戳作为所述公网IP地址和所述端口段被同时分配给所述私网IP 地址的分配终止时间戳,根据所述端口段分配消息和所述分配终止时间戳,获得所述第一 日志记录并存储;或者, 在所述接收所述用户的用户下线消息之前,接收端口段收回消息,所述端口段收回消 息包括所述私网IP地址、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标 识和结束端口标识、以及所述端口段的收回时间戳,所述端口段收回消息是所述CGN设备 收回分配给所述私网IP地址的所述端口段后发送的; 将所述端口段的收回时间戳作为所述公网IP地址和所述端口段被同时分配给所述私 网IP地址的分配终止时间戳,根据所述端口段分配消息和所述分配终止时间戳,获得所述 第一日志记录并存储。
4. 一种用户溯源方法,其特征在于,包括: 接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端口标识; 根据所述溯源请求,查询当前存储的日志记录,所述日志记录包括用户标识、所述公网 IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP 地址和所述端口段被同时分配给所述用户标识的分配时间范围,获得与所述溯源时间戳所 属分配时间范围、所述公网IP地址和所述端口标识所属端口段对应的用户标识。
5. 根据权利要求4所述的方法,其特征在于,所述分配时间范围包括分配起始时间戳 和分配终止时间戳;所述接收溯源请求之前,还包括: 接收并存储宽带接入服务器BRAS发送的所述日志记录,所述日志记录是所述BRAS根 据记录的用户上线消息和用户下线消息、以及运营级网络地址转换CGN设备发送的端口段 分配消息获得的。
6. -种用户溯源方法,其特征在于,包括: 宽带接入服务器BRAS接收包括用户标识的上线请求,为所述用户标识分配私网IP地 址并记录用户上线消息,所述用户上线消息包括所述用户标识、所述私网IP地址和用户上 线时间戳; 接收端口段分配消息,所述端口段分配消息包括所述私网IP地址、公网IP地址、所述 公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述 端口段被同时分配给所述私网IP地址的分配起始时间戳,所述端口段分配消息是运营级 网络地址转换CGN设备为所述私网IP地址分配所述公网IP地址和所述端口段后发送的; 接收包括所述用户标识的下线请求,收回所述私网IP地址并记录用户下线消息,所述 用户下线消息包括所述用户标识、所述私网IP地址和用户下线时间戳; 根据所述用户上线消息、所述端口段分配消息和所述用户下线消息,获得日志记录,所 述日志记录包括所述用户标识、所述公网IP地址、所述公网IP地址对应的端口段的起始端 口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配给所述用户标识 的分配时间范围; 向用户溯源装置发送所述日志记录,以使所述用户溯源装置根据接收到的溯源请求和 所述日志记录进行溯源。
7. 根据权利要求6所述的方法,其特征在于,所述分配时间范围包括分配起始时间戳 和分配终止时间戳;所述获得日志记录具体包括: 将所述用户下线时间戳作为所述公网IP地址和所述端口段被同时分配给所述用户标 识的分配终止时间戳,根据所述用户上线消息、所述端口段分配消息和所述分配终止时间 戳,获得所述日志记录;或者, 所述接收包括所述用户标识的下线请求之前,还包括: 接收端口段收回消息,所述端口段收回消息包括所述私网IP地址、所述公网IP地址、 所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述端口段的收回 时间戳,所述端口段收回消息是所述CGN设备收回分配给所述私网IP地址的所述端口段后 发送的; 所述获得日志记录,具体包括: 将所述端口段的收回时间戳作为所述公网IP地址和所述端口段被同时分配给所述用 户标识的分配终止时间戳,根据所述用户上线消息、所述端口段分配消息、所述用户下线消 息和所述分配终止时间戳,获得所述日志记录。
8. -种用户溯源装置,其特征在于,包括: 接收模块,用于接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端口标 识; 第一处理模块,用于根据所述溯源请求,查询当前存储的第一日志记录,所述第一日志 记录包括所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标 识、私网IP地址、所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配时 间范围,获得与所述溯源时间戳所属分配时间范围、所述公网IP地址和所述端口标识所属 端口段对应的私网IP地址; 第二处理模块,用于根据所述溯源时间戳和所述私网IP地址,查询当前存储的第二日 志记录,所述第二日志记录包括所述私网IP地址、用户标识和所述用户标识对应的用户使 用所述私网IP地址的使用时间范围,获得与所述溯源时间戳所属使用时间范围和所述私 网IP地址对应的用户标识。
9. 根据权利要求8所述的装置,其特征在于,所述使用时间范围包括用户上线时间戳 和用户下线时间戳;所述分配时间范围包括分配起始时间戳和分配终止时间戳; 所述接收模块,还用于接收用户上线消息,所述用户上线消息包括所述用户标识、所述 私网IP地址和所述用户上线时间戳,所述用户上线消息是宽带接入服务器BRAS为所述用 户标识分配所述私网IP地址后发送的; 所述接收模块,还用于接收端口段分配消息,所述端口段分配消息包括所述私网IP地 址、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、所 述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配起始时间戳,所述端口 段分配消息是运营级网络地址转换CGN设备为所述私网IP地址分配所述公网IP地址和端 口段后发送的; 所述接收模块,还用于接收用户下线消息,所述用户下线消息包括所述用户标识、所述 私网IP地址和用户下线时间戳,所述用户下线消息是所述BRAS收回所述私网IP地址后发 送的; 所述第二处理模块,还用于根据所述用户上线消息和所述用户下线消息,获得所述第 二日志记录并存储。
10. 根据权利要求9所述的装置,其特征在于, 所述第一处理模块,还用于将所述用户下线时间戳作为所述公网IP地址和所述端口 段被同时分配给所述私网IP地址的分配终止时间戳,根据所述端口段分配消息和所述分 配终止时间戳,获得所述第一日志记录并存储;或者, 所述接收模块,还用于在所述接收所述用户的用户下线消息之前,接收端口段收回消 息,所述端口段收回消息包括所述私网IP地址、所述公网IP地址、所述公网IP地址对应的 端口段的起始端口标识和结束端口标识、以及所述端口段的收回时间戳,所述端口段收回 消息是所述CGN设备收回分配给所述私网IP地址的所述端口段后发送的; 所述第一处理模块,还用于将所述端口段的收回时间戳作为所述公网IP地址和所述 端口段被同时分配给所述私网IP地址的分配终止时间戳,根据所述端口段分配消息和所 述分配终止时间戳,获得所述第一日志记录并存储。
11. 一种用户溯源装置,其特征在于,包括: 接收模块,用于接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端口标 识; 处理模块,用于根据所述溯源请求,查询当前存储的日志记录,所述日志记录包括用户 标识、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、 以及所述公网IP地址和所述端口段被同时分配给所述用户标识的分配时间范围,获得与 所述溯源时间戳所属分配时间范围、所述公网IP地址和所述端口标识所属端口段对应的 用户标识。
12. 根据权利要求11所述的装置,其特征在于,所述分配时间范围包括分配起始时间 戳和分配终止时间戳; 所述接收模块,还用于接收宽带接入服务器BRAS发送的所述日志记录,所述日志记录 是所述BRAS根据记录的用户上线消息和用户下线消息、以及运营级网络地址转换CGN设备 发送的端口段分配消息获得的; 所述处理模块,还用于存储所述日志记录。
13. -种宽带接入服务器,其特征在于,包括: 接收模块,用于接收包括用户标识的上线请求,为所述用户标识分配私网IP地址并记 录用户上线消息,所述用户上线消息包括所述用户标识、所述私网IP地址和用户上线时间 戳; 所述接收模块,还用于接收端口段分配消息,所述端口段分配消息包括所述私网IP地 址、公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所 述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配起始时间戳,所述端口 段分配消息是运营级网络地址转换CGN设备为所述私网IP地址分配所述公网IP地址和所 述端口段后发送的; 所述接收模块,还用于接收包括所述用户标识的下线请求,收回所述私网IP地址并记 录用户下线消息,所述用户下线消息包括所述用户标识、所述私网IP地址和用户下线时间 戳; 处理模块,用于根据所述用户上线消息、所述端口段分配消息和所述用户下线消息,获 得日志记录,所述日志记录包括所述用户标识、所述公网IP地址、所述公网IP地址对应的 端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配 给所述用户标识的分配时间范围; 发送模块,用于向用户溯源装置发送所述日志记录,以使所述用户溯源装置根据接收 到的溯源请求和所述日志记录进行溯源。
14. 根据权利要求13所述的宽带接入服务器,其特征在于,所述分配时间范围包括分 配起始时间戳和分配终止时间戳; 所述处理模块,具体用于将所述用户下线时间戳作为所述公网IP地址和所述端口段 被同时分配给所述用户标识的分配终止时间戳,根据所述用户上线消息、所述端口段分配 消息和所述分配终止时间戳,获得所述日志记录;或者, 所述接收模块,还用于接收端口段收回消息,所述端口段收回消息包括所述私网IP地 址、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以 及所述端口段的收回时间戳,所述端口段收回消息是所述CGN设备收回分配给所述私网IP 地址的所述端口段后发送的; 所述处理模块,具体用于将所述端口段的收回时间戳作为所述公网IP地址和所述端 口段被同时分配给所述用户标识的分配终止时间戳,根据所述用户上线消息、所述端口段 分配消息、所述用户下线消息和所述分配终止时间戳,获得所述日志记录。
【文档编号】H04L29/12GK104219334SQ201310208040
【公开日】2014年12月17日 申请日期:2013年5月30日 优先权日:2013年5月30日
【发明者】宋盈, 马睿, 马季春, 鲁华伟, 张桂玉 申请人:中国联合网络通信集团有限公司, 中讯邮电咨询设计院有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1