一种数据业务的用户标识获取方法、系统及装置的制作方法

文档序号:7702969阅读:488来源:国知局
专利名称:一种数据业务的用户标识获取方法、系统及装置的制作方法
一种数据业务的用户标识获取方法、系统及装置技术领域
本发明实施例涉及数据业务技术领域,尤其涉及一种数据业务的用户标识获取方 法、系统及装置。
背景技术
随着通信技术和互联网技术的进步,各类移动数据业务蓬勃发展,手机上网、音乐 下载、视频通话、流媒体、PushMail (邮件推送服务)、在线游戏等数据业务正成为用户关注 的焦点。在开展数据业务时,用户身份的识别是重要前提,数据业务服务器只有获取真实有 效的用户标识,才能对用户进行认证、鉴权和计费管理。
为了保证数据业务服务器所获得真实有效的用户标识,一般仅会信赖从网络侧设 备获取的用户标识。例如在移动数据业务中最重要的用户标识是用户的MSISDN(Mobile Station international Integrated Services Digital Network number,移动台国际综 合业务数字网号码),使用MSISDN作为用户标识免除了用户手工输入用户名与口令的过 程,具有身份认证方便性的优势。
在移动数据业务应用中,通常由GGSN (Gateway General Packet Radio Service Supporting,通用无线分组业务网关支持节点)为用户动态分配私网IP地址,如图1所 示。私网IP地址和用户标识相对应,在用户的一次上线流程中保持不变。由于目前常见 的移动数据业务都承载于开放的hternet之上,用户通过该私网IP地址不能直接访问 公网的数据业务平台,当用户数据包到达公网之前,通常由NAPT(Network Address Port Translation,网络地址端口转换)设备进行NAPT转换,将IP数据包头内的用户私网IP地 址和端口转换为公网IP地址和端口。当数据业务服务器返回响应消息时,首先根据NAPT 后的公网IP地址将IP数据包路由至NAPT设备,由NAPT设备将数据包中的公网IP地址替 换为原有的私网IP地址,将消息送回UE。通常而言,NAPT功能可以集成于路由器、防火墙、 网关等设备中,也可以作为单独的网元实体部署在业务网络中。
现有的用户标识获取方法可以采用以下方案
一,通过WAP (Wireless Application Protocol,无线应用协议)网关插入用户标 识。以移动数据业务为例,在移动终端PDP (locket Data Protocol,分组数据协议)建立阶 段,由GGSN获取用户IP地址和MSISDN的对应关系,并把这个对应关系推送给该GGSN对应 的WAP网关。WAP网关保存用户的MSISDN与IP地址的对应关系,当用户向业务平台发起访 问请求时,WAP网关收到用户数据包后,根据该数据包的源IP地址,查询本地数据库中保存 的用户IP地址和MSISDN号码对应关系,得到该用户的MSISDN号,并将用户的MSISDN号插 入HTTP (HyperText Transfer Protocol,超文本传输协议)数据包头的特殊字段中,再将该 数据包转发给业务平台。因此业务平台在收到用户的业务请求数据包后,可通过解析数据 包头中的特定字段获得用户MSISDN号码,从而实现对用户身份的识别与认证。
然而,通过WAP网关在业务数据包中插入用户标识的方法不具备应用于多业务的 普适性WAP网关面向HTTP协议设计,对于非HTTP协议的业务,相应数据流并不经过WAP网关,而是直接通过WAP防火墙透传到公网域,因而也无法由WAP网关在数据包中植入用户 的MSISDN号码;在数据业务网络中没有部署WAP网关的情况下,业务平台无法通过上述方 式获取用户的MSISDN等标识,进而也不能实现用户的认证、鉴权和计费,不能支持数据业 务的可运营、可管理;
二,通过用户标识服务器实现用户标识查询
设立开放的用户标识服务器,并且由用户标识服务器保存IP地址与用户标识的 对应关系,提供用户标识的实时查询服务。以移动数据业务为例,在用户发起PDP激活阶 段,由GGSN将用户的IP地址与其MSISDN号码的对应关系发送给用户标识服务器,并由用 户标识服务器存储用户信息。业务平台收到UE (User Equipment,用户设备)发送的业务请 求消息,从用户的业务请求数据包中获取用户的源IP地址,并用向用户标识服务器发起查 询,获得对应的用户标识。
然而,该方案无法应用于终端在NAPT后访问公网业务服务器,用户IP地址发生变 化的情况。当用户访问位于公网的AS(Applicati0n Server,应用服务器)时,AS收到的IP 报文源地址为NAPT后的公网IP地址,而用户标识服务器内存储了用户标识与原始私网IP 地址的对应关系。所以AS通过该公网IP地址向用户标识服务器查询无法得到正确的用户 信息,不能满足AS对用户身份识别、鉴权及计费的需求。发明内容
本发明实施例提供了一种数据业务的用户标识获取方法、系统及装置,针对移动 数据业务和互联网应用中普遍存在的用户终端进行私有IP地址与公有IP地址NAPT转换 后访问公网业务服务器的场景,使业务服务器可以实现获取用户有效标识,进而为数据业 务平台根据用户身份进行认证、鉴权及计费奠定了基础。
本发明实施例提供了一种数据业务的用户标识获取方法,包括以下步骤
用户信息注册服务器接收AS发送的用户标识查询请求,所述用户标识查询请求 中携带用户网络地址端口转换NAPT后的公网IP地址;
所述用户信息注册服务器从NAPT服务器获取公网IP地址与私网IP地址的映射 关系,根据所述映射关系及公网IP地址获得私网IP地址;
所述用户信息注册服务器根据所述用户私网IP地址,查询本地存储的用户标识 与私网IP地址的映射关系,获得用户标识,并通过用户标识查询响应返回给AS。
本发明实施例提供了一种数据业务的用户标识获取方法,包括以下步骤
用户信息注册服务器从NAPT服务器获取公网IP地址和用户标识的映射关系;
所述用户信息注册服务器向完成订阅请求的AS发送公网IP地址和用户标识的映 射关系;
所述AS根据所述公网IP地址和用户标识的映射关系,及从业务请求中的公网IP 地址,得到用户标识。
本发明实施例提供了一种数据业务的用户标识获取系统,包括
应用服务器,用于接收用户发送的业务访问请求,并从用户信息注册服务器获取 用户标识,根据所述用户标识对所述业务访问请求进行认证鉴权,为用户提供数据应用的 服务能力;
用户信息注册服务器,与所述应用服务器通信,用于获取公网IP地址、私网IP地 址和用户标识的对应关系,并通过查询响应方式或主动推送方式将用户标识提供给所述应 用服务器;
NAPT服务器,与所述用户信息注册服务器通信,用于接收所述用户信息注册服务 器的请求,查询存储器模块获得用户信息,并发送至用户信息注册服务器;或在NAPT转换 后立刻,或由定时器触发间隔一定时间向用户信息注册服务器发送用户的地址数据。
本发明实施例提供了一种应用服务器AS,包括
网络接入模块,用于接收用户发送的业务访问请求,并向用户终端发送业务响应 数据包;
数据处理模块,与所述网络接入模块连接,用于从用户信息注册服务器获取用户 标识,根据所述用户标识对所述业务访问请求进行认证鉴权,为用户提供数据应用的服务 能力;
本发明实施例提供了一种用户信息注册服务器,包括
接入控制模块,用于对发送用户信息数据的AG进行合法性认证,对发送查询请求 的AS进行接入认证与控制,与通过认证的AS和AG通信;
数据处理模块,与所述接入控制模块连接,用于获取公网IP地址、私网IP地址和 用户标识的对应关系,并为AS提供对应的用户标识;
数据库模块,与所述数据处理模块连接,用于存储用户的公网IP地址、私网IP地 址和用户标识的对应关系。
本发明实施例提供了一种网络地址端口转换NAPT服务器,包括
网络接入模块,用于接收AG发送的业务访问请求,由接入控制逻辑对IP报文的源 地址进行认证,将合法的用户IP报文发送至地址映射模块;
地址映射模块,用于在地址池中选择公网IP地址,重写从UE接收IP报文中的私 网IP地址为公网IP地址,并将该公网IP地址=与私网IP地址=的转换关系保存至存储 器模块;
用户信息处理模块,与所述地址映射模块连接,用于接收用户信息注册服务器的 请求,查询存储器模块获得用户信息,并发送至用户信息注册服务器;或在NAPT转换后立 刻,或由定时器触发间隔一定时间向用户信息注册服务器发送用户的地址数据。
与现有技术相比,本发明实施例具有以下优点
本发明实施例中,提出了用户标识推送方式(Push),用户注册信息服务器具备将 用户信息主动推送至AS的能力,该种用户标识获取方式能有效降低AS通过开放接口频繁 查询外部网元的消息流程开销,减少用户标识的获取时延;
另外,在用户注册服务器与AS间采用订阅(Subscribe)机制,用户注册服务器仅 向订阅用户信息的AS提供用户标识推送服务,能有效降低用户信息注册服务器的处理负 荷。


为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可 以根据这些附图获得其他的附图。
图1是现有技术中数据业务服务系统结构图2是本发明实施例中一种数据业务服务系统结构图3是本发明实施例中一种用户信息注册服务器结构图4是本发明实施例中一种NAPT服务器结构图5是本发明实施例中一种数据业务服务器结构图6是本发明实施例中第一种场景数据业务流程图7是本发明实施例中第二种场景数据业务流程图8是本发明实施例中第三种场景数据业务流程图9是本发明实施例中查询失败重发流程图10是本发明实施例中用户信息订阅流程图11是本发明实施例中第四种场景数据业务流程图12是本发明实施例中用户信息更新流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例是本发明实施例一部分实施例,而不是全部的实施例。基 于本发明实施例中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的 所有其他实施例,都属于本发明实施例保护的范围。
本发明实施例提供了一种数据业务服务系统,如图2所示,包括UE(终端设 备)210、AG(Access Gateway,接入网关)220、UIR(User Information Registrar,用户信息 注册服务器)230、NAPT Server (Network Address/Port Translation Server,地址转换服 务器)240、AS (Application Server,数据业务服务器)250。本发明实施例还涉及信息注册 服务器、地址转换服务器、数据业务服务器3个网元之间的交互处理机制。本发明不仅适用 于移动通信用户,也适用于通过WLAN (Wireless Local Area Network,无线局域网)、固定 等方式接入的用户。
其中,UE 210,包括手机终端、智能终端等以有线或者无线方式接入、可以发起数 据业务请求的网络终端设备;
AG220,可以是 GGSN、AC (Access Controller,接入控制器)、DSLAM (Digital Subscriber Line Access Multiplexer,数字用户线接入复用器)、BRAS(Broadband Remote Access Server,宽带接入服务器),用于将用户数据传送到外部数据网络,实现接入网络与 承载业务应用网络之间的互通;
数据业务服务器250,也称为AS (Application Server,应用服务器),由第三方或 者运营商提供应用服务的网元;
用户信息注册服务器230,用于用户信息在本地数据库的更新与维护,将用户标识 和NAPT前后的IP地址的对应关系存入本地数据库中,为满足数据业务AS的计费和认证需 求,提供用户标识和IP地址对应关系的查询服务和推送服务。另外,为保证用户信息不被 非法获取,用户信息注册服务器需对访问自己的外部网元进行认证和鉴权,仅向有访问权8限的合法网元提供用户信息。用户信息注册服务器230中的用户数据由网络侧的接入网关 和NAPT服务器处获取,保证了信息的真实性准确性。
NAPT服务器M0,用于负责IP数据报文的公网IP-私网IP地址映射功能,维护IP 地址池空间、为将要建立的连接选择合适的地址、保持同一通信期间私网IP地址到公网IP 地址的映射、维护已有映射的地址表、根据会话连接情况动态更新地址表、删除或添加地址 映射等。除此之外,NAPT服务器还具备与用户信息注册服务器之间的开放查询/同步接口, 用以向其它网元传送用户地址映射信息。
NAPT服务器具有两种工作模式
查询模式接收用户信息注册服务器的查询请求消息,并返回查询响应消息,其中 包含用户对应的公网/私网IP地址映射数据;
推送模式主动向用户信息注册服务器发送用户信息同步消息,并解析由用户信 息注册服务器返回的处理状态响应消息;
本发明实施例中用户信息注册服务器的结构如图3所示,包括
接入控制模块310,提供与AG,AS,NAPT服务器等外部网元的IP接入能力,对发送 用户信息数据的AG进行合法性认证;对发送查询请求的数据业务AS进行接入认证与控制, 只让ACUAccess Control List,访问控制表)中许可的AS请求数据包通过;将NAPT服务 器发送的用户地址数据消息完全透传;
数据处理模块320,通过接入控制模块310与AG,AS, NAPT服务器交互,接受定时 触发模块330的定时逻辑控制,与数据库模块340交互实现本地用户数据的存储、更新和读 取。具体包括
AG数据处理子模块321,用于通过接入控制模块310接收AG发送的用户注册信 息,对数据库模块340进行更新与维护,如果数据库模块340没有该用户的记录表项,将用 户标识、私网IP地址、AG标识等信息作为记录表项保存至数据库模块340 ;如果数据库模块 中已存在该用户标识的对应数据,则根据消息对数据库模块340中的记录进行更新;当接 收到用户请求下网的消息,将数据库模块340中该用户标识对应的记录表项删除;
NAPT数据处理子模块322 支持两种工作模式,
当支持查询模式时通过接入控制模块310向NAPT服务器240发送用户IP地址 查询请求,并解析NAPT服务器240通过接入控制模块310返回的响应消息,根据响应消息 中的用户IP地址查询数据库模块340获得用户标识;
当支持同步模式时通过接入控制模块310接收并解析NAPT服务器240主动发送 的用户信息同步请求消息,将用户数据同步更新至数据库模块;340 ;
AS数据处理子模块323 支持3种工作模式
当支持查询模式时通过接入控制模块310接收AS250发送的用户信息查询请求, 将由NAPT数据处理子模块322查询得到的用户标识返回AS 250 ;
当支持推送模式时在用户数据更新后主动向AS250推送用户标识,并接收AS返 回的响应消息;
当支持订阅模式时接收AS250发送的用户信息订阅请求,满足触发条件时主动 向订阅该服务的AS250推送用户标识信息;
定时触发模块330,与数据处理模块320连接,用于为数据处理提供计时和定时触发;
数据库模块340,与数据处理模块320连接,用于接收NAPT数据处理子模块和AG 数据处理子模块的处理请求,增加、删除、更新用户的各表项记录;接收AS数据处理子模块 的请求,存储订阅用户信息的AS相关数据;并存储合法的AS,AG的接入控制和认证信息;
管理模块350 包括配置管理、日志管理和监控管理等子模块,负责对设备实施具 体管理与监控;
NAPT服务器内部结构如图4所示,包括
网络接入模块410,集成基于IP协议栈的hgress入接口和Egress出接口,用于 接收AG发送的用户IP报文,由接入控制逻辑对IP报文的源地址进行认证,将合法的用户 IP报文发送至地址映射模块420,并将NAPT处理完毕后的IP报文通过Egress出接口发送 至外部数据网络(可以通过队列管理模块,也可以不通过);
地址映射模块420,与网络接入模块410连接,用于解析网络接入模块410传送的 IP报文,在地址池中选择某公网IP地址/端口,重写UE发送IP报文中的私网IP地址/端 口为公网IP地址/端口,并将该公网IP地址/端口与私网IP地址/端口的转换关系保存 至存储器模块440中。地址映射模块420具备超时机制,在完成IP地址转换后立即触发定 时器模块的定时逻辑开始计时,如果后续特定时间周期内没有再次收到源地址为该私网IP 地址的报文,则收回所分配的公网地址以供其它终端使用,同时控制存储器模块440删除 相应的IP地址映射数据;地址映射模块420还可以调用上层的应用层协议处理模块450实 现IP报文的ALG(Appliance Layer Gateway)功能,以实现应用层协议的NAPT穿越;
队列管理模块430,与地址映射模块420和网络接入模块410连接,用于对完成地 址映射处理的IP报文实施特定的队列管理技术,根据报文参数(例如协议类型、源地址、目 的地址等)按照特定策略暂时排队,再依据调度策略按照优先级顺序将IP报文从队列中取 出并发送出去,以实现优化设备处理效率和网络传输效率的目的;
存储器模块440,与地址映射模块420连接,用于存储所有UE的公网IP地址/端 口与私网IP地址/端口的映射数据,接收地址映射模块的控制动态更新和维护NAPT服务 器的IP地址空间及地址映射关系数据。UE在一定时间周期内没有发送IP报文,存储器模 块440将删除对应的地址映射数据,当UE发送新数据包时,地址映射模块420为UE分配新 的公有IP地址,并在数据库模块440中记录私网IP地址与新公有IP地址的映射关系。
应用层处理模块450,与地址映射模块420连接,集成不同的应用层协议栈,接收 地址映射模块420的请求,对3/4层以上的应用层信息进行解析和处理,实现ALG功能;地 址映射模块420判断需要进行应用层处理,将IP报文向上传递至应用层处理模块450,应 用层处理模块450对数据包解码获得应用层数据载荷,例如RTSP报文体或SIP报文体,并 根据地址映射模块420设定的地址映射关系,将应用层数据载荷中的IP地址也替换为公有 IP地址。
用户信息处理模块460,内部与存储器模块440连接,外部通过网络接入模块与用 户信息注册服务器通信,具有两种工作模式
1)接收用户信息注册服务器的请求,查询存储器模块440获得用户信息,并发送 至用户信息注册服务器;
2)在进行IP地址和端口转换后立刻,或由定时器触发间隔一定时间向用户信息注册服务器发送用户的地址数据;
定时触发模块470,与存储器模块440连接,为NAPT服务器的其它模块提供计时能 力和定时触发的能力。
AS是为用户提供具体的数据应用服务的核心网元,如图5所示,包括
网络接入模块510 包括基于IP协议栈的hgress入接口和Egress出接口,用于 接收外部网元发送的IP报文,并将业务响应数据包通过Egress出接口发送至外部数据网
数据处理模块520,与网络接入模块510连接,具体包括
业务逻辑子模块521 为用户提供具体的数据应用服务能力,根据从用户信息注 册服务器获得的用户标识对数据业务请求进行认证鉴权,对于没有订购业务或业务未开通 的用户,将拒绝使用该数据应用;
用户信息处理子模块522 具有2种工作模式
1)向用户信息注册服务器发送用户信息查询请求,并接收用户信息注册服务器返 回的用户标识,送往业务逻辑子模块;
2)接收用户信息注册服务器主动推送的用户标识,送往业务逻辑子模块;
AS与用户信息注册服务器之间具备用户信息订阅机制,该接口可基于 SIP (Session Initiation Protocol,会话发起协议)或 XCAP (XML Configuration Access Protocol, XML配置访问协议)实现;
数据库模块530,与数据处理模块520连接,用于接收数据处理模块的控制,存储 由用户信息注册服务器主动推送的用户数据;
定时触发模块M0,与数据处理模块520连接,用于提供计时能力和触发用户信息 处理逻辑的能力;
管理模块550,与数据处理模块520连接,包括配置管理、日志管理和监控管理等 子模块,负责对设备实施具体管理与监控。
基于上述数据业务用户标识获取系统,本发明实施例一提出了一种数据业务处理 和用户标识获取方法,如图6所示,具体包括以下步骤
步骤601,用户向AG发送上网请求,对于基于GPRS的移动数据业务接入方式,特指 用户向SGSN/GGSN发送PDP激活请求;
步骤602,AG为用户分配私网IP地址,并向用户信息注册服务器发送接入请求,其 中包括用户私网IP地址、用户标识及AG标识等数据;
步骤603,用户信息注册服务器收到接入请求后,首先经接入控制模块对AG进行 认证,通过认证后根据接入请求中数据对数据库模块进行检查、更新。具体操作为根据接 入请求中的用户标识和私网IP地址查询数据库模块,如果数据库模块中不存在对应的记 录,将获得的用户标识和私网IP地址作为新的记录表项插入数据库模块;若已存在相应的 记录,则按照得到的用户标识和私网IP地址将数据库模块更新;随后向AG发送接入响应;
步骤604,AG向UE发送PDP激活响应,至此UE已经具备了访问数据业务服务器的 条件;
步骤605,UE向AG发送业务访问请求;
步骤606,AG将业务访问请求直接发送至NAPT服务器;
步骤607,NAPT服务器对用户的业务访问请求进行IP地址/端口映射后,将业务 访问请求发送至公网AS,业务访问请求的源IP地址为NAPT映射后的公网IP地址;
步骤608,AS收到用户的业务访问请求,以业务访问请求的源公网IP地址为参数 向用户信息注册服务器发送用户标识查询请求;
步骤609,用户信息注册服务器接收并解析查询请求消息,以其中的源公网IP地 址为参数,向NAPT服务器发送地址转换查询请求;
步骤610,NAPT服务器依据该公网IP地址,查询服务器存储器模块,得到该公网IP 地址与私网IP地址的映射关系;
步骤611,NAPT服务器向用户信息注册服务器发送地址转换查询响应,返回用户 私网IP/公网IP地址映射数据;
步骤612,用户信息注册服务器根据返回的用户私网IP地址,查询数据库模块中 的用户标识-私网IP地址表项记录,获得用户标识,并向AS返回用户标识查询响应;
步骤613,AS收到用户信息注册服务器的用户标识查询响应,解析后得到用户标 识,后续可利用该标识对用户进行认证、鉴权或计费;向用户下发用户访问响应消息,目的 IP地址为NAPT之后的用户公网IP地址,响应消息被路由至NAPT服务器;
步骤614-步骤615,NAPT服务器根据存储器模块中保存的公网IP地址与私网IP 地址之间的映射关系,将IP数据包中的目的IP地址替换为用户的私网IP地址,将业务响 应数据包经AG发送至UE;
在上述步骤608-步骤612描述了 AS、用户信息注册服务器、NAPT服务器3个网元 进行处理及交互的流程,是本发明实施例业务流程1的核心创新点。利用该方法可以为位 于公网的AS获取NAPT后的用户标识提供良好的解决方案。
基于上述数据业务用户标识获取系统,本发明实施例二提出了一种数据业务处理 和用户标识获取方法,如图7所示,包括以下步骤
步骤701,用户向AG发送上网请求,对于基于GPRS的移动数据业务接入方式,特指 用户向SGSN/GGSN发送PDP激活请求;
步骤702,AG为用户分配私网IP地址,并向用户信息注册服务器发送接入请求,其 中包括用户私网IP地址、用户标识及AG标识等数据;
步骤703,用户信息注册服务器收到接入请求后,首先经接入控制模块对AG进行 认证,通过认证后根据接入请求中数据对数据库模块进行检查、更新,具体操作为根据接 入请求中的用户标识和私网IP地址查询数据库模块,如果数据库模块中不存在对应的记 录,将获得的用户标识和私网IP地址作为新的记录表项插入数据库模块;若已存在相应的 记录,则按照得到的用户标识和私网IP地址将数据库模块更新;随后向AG发送接入响应消 息;
步骤704,AG向UE发送PDP激活响应,至此UE已经具备了访问数据业务服务器的 条件;
步骤705,UE向AG发送业务访问请求;
步骤706,AG将业务访问请求直接发送至NAPT服务器;
步骤707,NAPT服务器对用户的业务访问请求进行IP地址/端口映射后,将该IP 地址映射关系构造为用户信息同步消息发送至用户信息注册服务器;12
步骤708,用户信息注册服务器收到NAPT的用户信息同步消息,根据消息中的IP 地址/端口映射数据对本地数据库模块进行检查更新,根据用户的私网IP地址查询数据库 模块,将用户NAPT转换后的公网IP地址插入数据库模块的对应表项记录中,此时数据库模 块中具备了用户相关的私网IP地址、公网IP地址与用户标识的映射数据;
步骤709,用户信息注册服务器向NAPT设备发送用户信息同步响应;
步骤710,用户访问请求经NAPT设备进行地址映射后发送至AS,此时源IP地址是 NAPT转换后的公网IP地址/端口;
步骤711,AS接收到用户的用户访问请求,并以用户公网IP地址为参数向用户信 息注册服务器发送查询请求;
步骤712,用户信息注册服务器解析上述查询请求,在数据库模块中查找该公网 IP地址所对应的用户标识,构造响应消息发送至AS,其中含有对应的用户标识;
步骤713,AS解析用户信息注册服务器发送的响应消息,得到用户标识,后续可利 用该标识直接对用户进行认证、鉴权或计费;AS向用户下发业务响应数据包,目的地址为 NAPT之后的公网IP地址,数据包被发送至NAPT服务器;
步骤714-步骤715,NAPT根据保存的公网IP地址与私网IP地址之间的映射关 系,获得UE私网IP地址,将业务响应数据包经AG发送至UE ;
在上述流程中,步骤707-步骤709描述了 NAPT设备向用户信息注册服务器同步 用户私网IP地址与公网IP地址映射数据以及响应的流程,是本发明实施例的核心创新点。 利用上述方法可以为位于公网的AS在NAPT后获取用户标识提供良好的解决方案。
基于上述数据业务用户标识获取系统,本发明实施例三提出了一种数据业务处理 和用户标识获取方法,在实施例二的交互机制下,NAPT服务器在接收到用户信息注册服务 器发送的信息同步响应消息后才向数据业务AS发送业务访问请求,保证了 AS查询用户信 息的成功率,但是在大业务并发量的条件下难以保证用户访问时延可控。为提高业务访问 效率,改善用户业务访问体验,本发明实施例还提出了一种新的交互方式,即步骤707-步 骤709(用户信息更新过程)可与步骤710(用户业务请求转发)并行发送;为保证AS发送 用户标识查询请求至用户信息注册服务器时,服务器中的用户信息已更新,本发明实施例 提出了 AS中的定时触发机制。如图8所示,包括以下步骤
步骤801-步骤805与步骤701-步骤705相同;
步骤806,AG将用户业务访问请求送至NAPT服务器,源地址为用户私网IP地址;
步骤807,NAPT服务器对用户的业务请求进行IP地址/端口映射后,将该IP地址 映射关系(私网IP地址/端口与公网IP地址/端口 )构造为用户信息同步消息发送至用 户信息注册服务器;
步骤808,NAPT服务器向AS转发用户的业务访问请求,此时源IP地址是NAPT转换 后的公网IP地址/端口 ;本步骤由NAPT服务器在地址转换完毕后立即发送,与NAPT服务 器是否收到用户信息注册服务器的响应消息无关;AS中内置定时触发模块,在接收到NAPT 服务器发送的业务访问请求时立刻开始计时;
步骤809,用户信息注册服务器收到NAPT服务器的用户信息同步消息,根据消息 中的IP地址/端口对本地数据库模块进行检查更新,根据用户的私网IP地址查询数据库 模块,将用户NAPT转换后的公网IP地址插入数据库模块的对应表项记录中,此时数据库模块中具备了用户相关的“私网IP地址/端口 -公网IP地址/端口-用户标识”的映射数 据,以及AG标识等数据;
步骤810,用户信息注册服务器向NAPT设备发送用户信息同步响应;
步骤811,AS在定时器小于设定的时间阈值Threshl时不进行消息交互,当时延超 过时间阈值Threshl之后,定时触发模块激活AS中的用户信息处理模块;AS按照正常流程 向用户信息注册服务器发起用户标识查询请求,请求参数为用户的公网IP地址;
根据查询请求是否成功,后续的流程可分为如下两类
当查询成功时,包括步骤812,用户信息注册服务器中用户信息数据已经更新同步 成功,此时服务器解析步骤811中的查询请求,在数据库模块中查找该公网IP地址所对应 的用户标识,并向AS发送查询成功响应消息,其中含有对应的用户标识;
当查询失败时,包括
步骤813,用户信息注册服务器中用户信息数据尚未同步,此时服务器无法从数据 库模块中查询得到该公网IP地址所对应的用户标识,向AS返回查询失败响应消息;
步骤814,AS接收到查询失败响应消息,启动定时触发模块开始计时;当时延超过 阈值Thresh2之后,定时触发模块再次激活AS中的查询逻辑功能模块;AS再次向用户信息 注册服务器发送用户标识查询请求,请求参数为用户的公网IP地址;
步骤815,服务器解析查询请求,在数据库模块中查找该公网IP地址所对应的用 户标识,如果存在相应的用户信息则,由服务器向AS发送查询成功响应消息,其中含有对 应的用户标识;
步骤816,AS解析用户信息注册服务器发送的业务访问响应,得到用户标识,后续 可利用该标识直接对用户进行认证、鉴权或计费;AS向用户下发业务访问响应数据包,目 的地址为NAPT之后的公网IP地址,数据包被发送至NAPT服务器;
步骤817-步骤818,NAPT服务器根据维护的用户公网IP地址与私网IP地址之间 的映射关系,使用用户私网IP地址重写IP报文目的地址,将业务访问响应数据包经AG发 送至UE ;
在上述流程中,步骤807-步骤815描述了 NAPT服务器向用户信息注册服务器与 AS同步发送消息的流程,以及AS受定时触发模块控制,以一定时间周期为触发条件发起查 询请求的延时机制,是本发明实施例的核心创新点。利用上述方法可以为位于公网的AS在 NAPT后获取用户标识提供良好的解决方案。
查询失败重发流程如图9所示,步骤912-步骤916描述了 AS在查询失败条件下 与用户信息注册服务器之间的交互机制。如果AS在向用户信息注册服务器发送N(例如3) 次查询请求消息,并均收到查询失败响应消息后,此时AS终止查询,并向UE发送无法获取 UE合法标识的响应消息,提示用户重新发起业务访问请求。
基于上述数据业务用户标识获取系统,本发明实施例四提出了一种用户标识查询 方法,该方法基于AS与用户信息注册服务器之间的订阅机制,通过用户信息订阅,系统能 够实现用户标识向订阅用户信息的AS主动推送与定时更新。具体流程可分为两个阶段
(1)用户信息订阅流程,如图10所示,
步骤1001,AS向用户信息注册服务器发送用户信息订阅请求,请求中包含AS的IP 地址,业务类型等内容;
步骤1002,用户信息注册服务器接收到AS发送的订阅请求,并将该AS的数据保存 在用户信息注册服务器的Watcher列表中;
步骤1003,用户信息注册服务器向AS发送订阅请求成功响应消息;
用户注册信息服务器可支持多个AS的订阅请求。
(2)数据业务访问流程,如图11所示,包括以下步骤
步骤1101-步骤1109,与步骤701-步骤709相同;
步骤1110,用户注册信息服务器同步完成后,检查自身的Watcher列表,将用户公 网IP地址和用户标识等信息构造为用户信息同步请求,发送至所有使用用户标识订阅服 务的AS ;
步骤1111,AS接收到用户信息注册服务器的用户信息同步请求,并将其中的用户 公网IP地址和用户标识等信息保存在本地数据库模块中,至此AS就获得了该用户的用户 标识与公网IP地址,后续可以利用该用户标识完成后续的认证、鉴权和计费操作;
步骤1112,AS向用户信息注册服务器返回用户信息更新成功响应消息;
步骤1113,NAPT服务器向AS转发用户的业务访问请求,其源IP地址为NAPT后的 公网IP地址;
步骤1114,AS解析数据包,根据公网IP地址查询本地用户信息数据库模块获得对 应的用户标识;AS向用户下发业务访问响应,目的地址为NAPT之后的公网IP地址,业务 访问响应被发送至NAPT服务器;
步骤1115-步骤1116,NAPT服务器根据保存的公网IP地址与私网IP地址之间的 映射关系,获得用户私网IP地址,将业务响应数据包经AG发送至UE。
5.用户信息更新流程
NAPT服务器对于用户的IP地址转换具有一定的TTL (Time To Live,生存周期), 即某个私网IP地址在转换为公网IP地址后在有效的TTL时间内没有后续数据包发送,则 该地址映射关系将会被NAPT服务器清除,不再使用。若后续该用户的数据请求再次出现 时,NAPT服务器将会为用户建立新的地址转换关系。在上述情况下,NAPT服务器需要增加 与用户信息注册服务器的同步与更新机制,实现用户数据的删除与更新。具体流程如图12 所示,包括以下步骤
步骤1201,UE向AG发送访问业务请求;
步骤1202,AG发送用户的访问业务请求至NAPT服务器,NAPT服务器将访问业务 请求中的源地址/端口转换为公网IP地址/端口,此时NAPT服务器的定时触发模块开始 启动计时;
步骤1203,NAPT服务器将地址转换后的访问业务请求发往访问的目的AS ;
步骤1204,在有效TTL (Time To Live,存活时间)超时后NAPT服务器将存储器模 块内该用户的地址转换信息删除;
步骤1205,NAPT服务器发送用户信息清除请求消息至用户信息注册服务器,告知 用户IP地址转换数据已失效;
步骤1206,用户信息注册服务器接收到数据清除请求消息,根据消息中的IP地址 数据查询本地数据库模块,并删除相应的用户公网IP地址数据;
步骤1207,用户信息注册服务器向NAPT服务器发送用户信息清除成功响应消息;
步骤1208,UE向AG发送新的访问业务请求;
步骤1209,AG将新的访问业务请求发送至NAPT服务器,NAPT服务器生成新的地 址转换关系,同时定时触发模块开始启动计时;
步骤1210,NAPT服务器立即将用户的IP地址数据发送用户信息同步请求消息至 用户信息注册服务器;
步骤1211,用户信息注册服务器收到NAPT的数据同步请求消息,根据消息中的IP 地址/端口数据对本地数据库模块进行检查更新,根据用户的私网IP地址查询数据库模 块,将用户NAPT转换后的公网IP地址插入数据库模块的对应表项记录中;
步骤1212,用户信息注册服务器向NAPT服务器返回数据同步成功响应消息。
本发明实施例中,用户信息注册服务器在删除或更新本地的用户信息后,还需要 向已经订阅用户信息的AS发送用户信息同步消息,告知订阅用户信息的AS更新数据库模 块中的用户数据。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明实施例 可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理 解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一 个非易失性存储介质(可以是⑶-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台 计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的 方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流 程并不一定是实施本发明实施例所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分 布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上 述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明实施例并非局限于此,任 何本领域的技术人员能思之的变化都应落入本发明实施例的保护范围。
权利要求
1.一种数据业务的用户标识获取方法,其特征在于,包括以下步骤用户信息注册服务器接收应用服务器AS发送的用户标识查询请求,所述用户标识查 询请求中携带网络地址端口转换NAPT后的公网IP地址;所述用户信息注册服务器从NAPT服务器获取公网IP地址与私网IP地址的映射关系, 根据所述映射关系及所述公网IP地址获得私网IP地址;所述用户信息注册服务器根据所述私网IP地址,查询本地存储的用户标识与私网IP 地址的映射关系,获得用户标识,并通过用户标识查询响应返回给所述AS。
2.如权利要求1所述的方法,其特征在于,所述用户信息注册服务器从NAPT服务器获 取公网IP地址与私网IP地址的映射关系,具体包括所述用户信息注册服务器向NAPT服务器发送地址转换查询请求,所述请求中携带用 户公网IP地址;所述NAPT服务器根据所述公网IP地址,查询得到所述公网IP地址与私网IP地址的 映射关系;所述NAPT服务器将所述公网IP地址与私网IP地址的映射关系发送给所述用户信息 注册服务器。
3.如权利要求1所述的方法,其特征在于,所述用户信息注册服务器从NAPT服务器获 取公网IP地址与私网IP地址的映射关系,具体包括所述NAPT服务器对用户的业务访问请求进行IP地址映射后,将所述IP地址映射关系 构造为用户信息同步消息发送至所述用户信息注册服务器。
4.如权利要求1所述的方法,其特征在于,从所述用户信息注册服务器获取所述用户 的用户标识,具体包括AS向用户信息注册服务器发送用户标识查询请求,所述请求中携带用户标识查询请求 中携带NAPT转换后的公网IP地址;或AS接收到NAPT服务器发送的业务访问请求消息时开始计时,当时延超过第一阈值之 后,定时触发AS按照正常流程向用户信息注册服务器发起用户标识查询请求,所述请求中 携带用户的公网IP地址;如果AS在向用户信息注册服务器发送超过预设次查询请求消息,并均收到查询失败 响应消息后,所述AS终止查询,并向用户发送无法获取用户标识的响应消息,提示所属用 户重新发起业务访问请求。
5.一种数据业务的用户标识获取方法,其特征在于,包括以下步骤用户信息注册服务器从NAPT服务器获取公网IP地址和用户标识的映射关系;所述用户信息注册服务器向完成订阅请求的AS发送公网IP地址和用户标识的映射关系;所述AS根据所述公网IP地址和用户标识的映射关系,及从业务请求中的公网IP地 址,得到用户标识。
6.如权利要求5所述的方法,其特征在于,所述用户信息注册服务器向完成订阅请求 的AS发送公网IP地址和用户标识的映射关系,之前还包括AS向用户信息注册服务器发送用户信息订阅请求,请求中至少包含AS的IP地址;所述用户信息注册服务器接收到所述AS发送的订阅请求,将所述AS的数据保存在所述用户信息注册服务器的Watcher列表中。
7.如权利要求5所述的方法,其特征在于,所述用户信息注册服务器从NAPT服务器获 取公网IP地址和用户标识的映射关系,具体包括所述用户信息注册服务器主动向NAPT服务器发送请求查询公网IP地址和用户标识的 映射关系;或所述NAPT服务器对用户的业务访问请求进行IP地址映射后,将所述IP地址映射关系 构造为用户信息同步消息发送至所述用户信息注册服务器。
8.一种数据业务的用户标识获取系统,其特征在于,包括应用服务器,用于接收用户发送的业务访问请求,并从用户信息注册服务器获取用户 标识,根据所述用户标识对所述业务访问请求进行认证鉴权,为用户提供数据应用的服务 能力;用户信息注册服务器,与所述应用服务器通信,用于获取公网IP地址、私网IP地址和 用户标识的对应关系,并通过查询响应方式或主动推送方式将用户标识提供给所述应用服 务器;NAPT服务器,与所述用户信息注册服务器通信,用于接收所述用户信息注册服务器的 请求,查询存储器模块获得用户信息,并发送至用户信息注册服务器;或在NAPT转换后立 刻,或由定时器触发间隔一定时间向用户信息注册服务器发送用户的地址数据。
9.一种应用服务器AS,其特征在于,包括网络接入模块,用于接收用户发送的业务访问请求,并向用户终端发送业务响应数据包;数据处理模块,与所述网络接入模块连接,用于从用户信息注册服务器获取用户标识, 根据所述用户标识对所述业务访问请求进行认证鉴权,并为用户提供数据应用的服务能 力。
10.如权利要求9所述的AS,其特征在于,所述数据处理模块,具体用于向用户信息注册服务器发送用户信息查询请求,所述请 求中携带用户公网IP地址,并接收所述用户信息注册服务器返回的用户标识;或接收所述用户信息注册服务器主动推送的用户标识;或向用户信息注册服务器发送用户信息订阅请求,请求中至少包含AS的IP地址,使所述 用户信息注册服务器与NAPT同步完成后,向完成订阅请求的AS发送公网IP地址对应的用 户标识。
11.如权利要求9所述的AS,其特征在于,还包括定时触发模块,与所述数据处理模块连接,用于接收到NAPT服务器发送的业务访问请 求消息时开始计时,当时延超过第一阈值之后,定时触发AS按照正常流程向用户信息注册 服务器发起用户标识查询请求,所述请求中携带用户的公网IP地址;如果AS在向用户信息 注册服务器发送超过预设次查询请求消息,并均收到查询失败响应消息后,所述AS终止查 询,并向用户发送无法获取用户标识的响应消息,提示用户重新发起业务访问请求。
12.—种用户信息注册服务器,其特征在于,包括接入控制模块,用于对发送用户信息数据的AG进行合法性认证,对发送查询请求的AS 进行接入认证与控制,与通过认证的AS和AG通信;数据处理模块,与所述接入控制模块连接,用于获取公网IP地址、私网IP地址和用户 标识的对应关系,并为AS提供对应的用户标识;数据库模块,与所述数据处理模块连接,用于存储用户的公网IP地址、私网IP地址和 用户标识的对应关系。
13.如权利要求12所述的用户信息注册服务器,其特征在于,所述数据处理模块,具体 用于向NAPT服务器发送地址转换查询请求,所述请求中携带用户公网IP地址;接收所述 NAPT服务器返回的所述公网IP地址与私网IP地址的映射关系;或接收所述NAPT服务器 对用户的业务访问请求进行IP地址映射后,主动发送根据所述IP地址映射关系构造的用 户信息同步消息;或接收所述AS发送的用户标识查询请求,所述请求中携带用户访问请求的公网IP地址, 在所述数据库模块中查找所述公网IP地址对应的用户标识,返回给所述AS ;或与NAPT服 务器同步完成后,向完成订阅的AS发送公网IP地址和用户标识。
14.一种网络地址端口转换NAPT服务器,其特征在于,包括网络接入模块,用于接收AG发送的业务访问请求,由接入控制逻辑对IP报文的源地址 进行认证,将合法的用户IP报文发送至地址映射模块;地址映射模块,用于在地址池中选择公网IP地址,重写从用户接收IP报文中的私网IP 地址为公网IP地址,并将该公网IP地址与私网IP地址的转换关系保存至存储器模块;用户信息处理模块,与所述地址映射模块连接,用于接收用户信息注册服务器的请求, 查询存储器模块获得用户信息,并发送至用户信息注册服务器;或在NAPT转换后立刻,或 由定时器触发间隔一定时间向用户信息注册服务器发送用户的地址数据。
全文摘要
本发明实施例公开了一种数据业务的用户标识获取方法,包括用户信息注册服务器接收AS发送的用户标识查询请求,用户标识查询请求中携带NAPT转换后的公网IP地址;用户信息注册服务器从NAPT服务器获取公网IP地址与私网IP地址的映射关系,根据映射关系及公网IP地址获得私网IP地址;用户信息注册服务器根据用户私网IP地址,查询本地存储的用户标识与私网IP地址的映射关系,获得用户标识,并通过查询响应方式或主动推送方式将用户标识送至AS。本发明有效解决分配私网IP地址的终端访问公网AS,AS难以获取用户标识的问题,从而实现数据业务平台对用户身份的认证、鉴权及计费,为数据业务的可运营、可管理提供良好支撑。
文档编号H04L29/12GK102036227SQ200910093308
公开日2011年4月27日 申请日期2009年9月27日 优先权日2009年9月27日
发明者倪伟, 张娟, 张炎, 段晓东, 毕娅娜 申请人:中国移动通信集团公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1