CN104219334B - 用户溯源方法、装置及宽带接入服务器 - Google Patents
用户溯源方法、装置及宽带接入服务器 Download PDFInfo
- Publication number
- CN104219334B CN104219334B CN201310208040.0A CN201310208040A CN104219334B CN 104219334 B CN104219334 B CN 104219334B CN 201310208040 A CN201310208040 A CN 201310208040A CN 104219334 B CN104219334 B CN 104219334B
- Authority
- CN
- China
- Prior art keywords
- address
- user
- port
- message
- private network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000012545 processing Methods 0.000 claims description 22
- 238000013519 translation Methods 0.000 claims description 13
- 238000005516 engineering process Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000003993 interaction Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种用户溯源方法、装置及宽带接入服务器,方法包括:接收溯源请求,根据所述溯源请求,查询当前存储的第一日志记录,所述第一日志记录包括所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、私网IP地址、所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配时间范围,获得对应的私网IP地址;根据所述溯源时间戳和所述私网IP地址,查询当前存储的第二日志记录,所述第二日志记录包括所述私网IP地址、用户标识和所述用户标识对应的用户使用所述私网IP地址的使用时间范围,获得对应的用户标识。通过本方案实现有效准确地对用户进行溯源,加强对互联网网络安全的监管。
Description
技术领域
本发明涉及通信领域,尤其涉及一种用户溯源方法、装置及宽带接入服务器。
背景技术
随着互联网用户的数量不断增加,如何解决公网IP地址不足成为研究重点,为此网络地址转换(Network Address Translation,简称NAT)技术,又称为运营级网络地址转换(Carrier-Grade NAT,简称CGN)技术被提出。具体的,CGN设备根据接收到的包括私网IP地址的公网访问请求,通过为所述私网IP地址分配同一公网IP地址对应的不同端口的方式,将私有IP地址转换为公有IP地址,从而实现多个私网用户可以共用一个公网IP地址进行外网连接。
现有的一种NAT方案为,当CGN设备接收到包括私网IP地址的公网访问请求时,若当前没有与所述私网IP地址对应的可用端口段,则为其分配端口段。例如,若当前没有与所述私网IP地址对应的公网IP地址和端口段,则为所述私网IP地址分配公网IP地址和对应的端口段;再例如,若当前与所述私网IP地址对应的端口段中没有空闲端口,则为所述私网IP地址分配其它端口段。进一步的,当该端口段中的端口均被释放时,则收回所述端口段,以便CGN设备将其分配给其它私网IP地址。
但与此同时,随着互联网覆盖面的不断扩大和网络安全重要性的不断增加,越来越需要实现对访问公网的私网用户进行溯源,而现有技术中还没有针对NAT技术进行用户溯源的方法。
发明内容
本发明提供一种用户溯源方法、装置及宽带接入服务器,用以针对NAT技术实现有效准确地对用户进行溯源。
本发明的第一个方面是提供一种用户溯源方法,包括:
接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端口标识;
根据所述溯源请求,查询当前存储的第一日志记录,所述第一日志记录包括所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、私网IP地址、所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配时间范围,获得与所述溯源时间戳所属分配时间范围、所述公网IP地址和所述端口标识所属端口段对应的私网IP地址;
根据所述溯源时间戳和所述私网IP地址,查询当前存储的第二日志记录,所述第二日志记录包括所述私网IP地址、用户标识和所述用户标识对应的用户使用所述私网IP地址的使用时间范围,获得与所述溯源时间戳所属使用时间范围和所述私网IP地址对应的用户标识。
本发明的另一个方面是提供另一种用户溯源方法,包括:
接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端口标识;
根据所述溯源请求,查询当前存储的日志记录,所述日志记录包括用户标识、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配给所述用户标识的分配时间范围,获得与所述溯源时间戳所属分配时间范围、所述公网IP地址和所述端口标识所属端口段对应的用户标识。
本发明的又一个方面是提供又一种用户溯源方法,包括:
宽带接入服务器BRAS接收包括用户标识的上线请求,为所述用户标识分配私网IP地址并记录用户上线消息,所述用户上线消息包括所述用户标识、所述私网IP地址和用户上线时间戳;
接收端口段分配消息,所述端口段分配消息包括所述私网IP地址、公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配起始时间戳,所述端口段分配消息是运营级网络地址转换CGN设备为所述私网IP地址分配所述公网IP地址和所述端口段后发送的;
接收包括所述用户标识的下线请求,收回所述私网IP地址并记录用户下线消息,所述用户下线消息包括所述用户标识、所述私网IP地址和用户下线时间戳;
根据所述用户上线消息、所述端口段分配消息和所述用户下线消息,获得日志记录,所述日志记录包括所述用户标识、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配给所述用户标识的分配时间范围;
向用户溯源装置发送所述日志记录,以使所述用户溯源装置根据接收到的溯源请求和所述日志记录进行溯源。
本发明的又一个方面是提供一种用户溯源装置,包括:
接收模块,用于接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端口标识;
第一处理模块,用于根据所述溯源请求,查询当前存储的第一日志记录,所述第一日志记录包括所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、私网IP地址、所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配时间范围,获得与所述溯源时间戳所属分配时间范围、所述公网IP地址和所述端口标识所属端口段对应的私网IP地址;
第二处理模块,用于根据所述溯源时间戳和所述私网IP地址,查询当前存储的第二日志记录,所述第二日志记录包括所述私网IP地址、用户标识和所述用户标识对应的用户使用所述私网IP地址的使用时间范围,获得与所述溯源时间戳所属使用时间范围和所述私网IP地址对应的用户标识。
本发明的又一个方面是提供另一种用户溯源装置,包括:
接收模块,用于接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端口标识;
处理模块,用于根据所述溯源请求,查询当前存储的日志记录,所述日志记录包括用户标识、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配给所述用户标识的分配时间范围,获得与所述溯源时间戳所属分配时间范围、所述公网IP地址和所述端口标识所属端口段对应的用户标识。
本发明的又一个方面是提供一种宽带接入服务器,包括:
接收模块,用于接收包括用户标识的上线请求,为所述用户标识分配私网IP地址并记录用户上线消息,所述用户上线消息包括所述用户标识、所述私网IP地址和用户上线时间戳;
所述接收模块,还用于接收端口段分配消息,所述端口段分配消息包括所述私网IP地址、公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配起始时间戳,所述端口段分配消息是运营级网络地址转换CGN设备为所述私网IP地址分配所述公网IP地址和所述端口段后发送的;
所述接收模块,还用于接收包括所述用户标识的下线请求,收回所述私网IP地址并记录用户下线消息,所述用户下线消息包括所述用户标识、所述私网IP地址和用户下线时间戳;
处理模块,用于根据所述用户上线消息、所述端口段分配消息和所述用户下线消息,获得日志记录,所述日志记录包括所述用户标识、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配给所述用户标识的分配时间范围;
发送模块,用于向用户溯源装置发送所述日志记录,以使所述用户溯源装置根据接收到的溯源请求和所述日志记录进行溯源。
本发明提供的用户溯源方法、装置及宽带接入服务器,根据接收到的溯源请求,通过查询当前存储的日志记录,获得所述溯源请求对应的用户标识,从而针对NAT技术实现有效准确地对用户进行溯源,加强对互联网网络安全的监管。
附图说明
图1为本发明实施例一提供的一种用户溯源方法的流程示意图;
图2为本发明实施例二提供的另一种用户溯源方法的流程示意图;
图3为本发明实施例三提供的又一种用户溯源方法的流程示意图;
图4为本发明实施例四提供的一种用户溯源装置的结构示意图;
图5为本发明实施例五提供的另一种用户溯源装置的结构示意图;
图6为本发明实施例六提供的宽带接入服务器的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
图1为本发明实施例一提供的一种用户溯源方法的流程示意图,如图1所示,所述方法包括:
101、接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端口标识;
102、根据所述溯源请求,查询当前存储的第一日志记录,所述第一日志记录包括所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、私网IP地址、所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配时间范围,获得与所述溯源时间戳所属分配时间范围、所述公网IP地址和所述端口标识所属端口段对应的私网IP地址;
103、根据所述溯源时间戳和所述私网IP地址,查询当前存储的第二日志记录,所述第二日志记录包括所述私网IP地址、用户标识和所述用户标识对应的用户使用所述私网IP地址的使用时间范围,获得与所述溯源时间戳所属使用时间范围和所述私网IP地址对应的用户标识。
其中,本实施例的执行主体可以为用户溯源装置,所述用户溯源装置可以设置在认证、鉴权和计费(Authentication Authorization and Accounting,简称AAA)服务器上。
具体的,所述使用时间范围包括用户上线时间戳和用户下线时间戳,也就是说,所述用户标识对应的用户使用所述私网IP地址的使用时间范围为,所述用户上线时间戳和所述用户下线时间戳对应的时段;所述分配时间范围包括分配起始时间戳和分配终止时间戳,也就是说,所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配时间范围为,所述分配起始时间戳和所述分配终止时间戳对应的时段;相应的,为了预先建立所述第二日志记录,在101之前,还包括:
接收用户上线消息,所述用户上线消息包括所述用户标识、所述私网IP地址和所述用户上线时间戳,所述用户上线消息是宽带接入服务器(Broadband Remote AccessServer,简称BRAS)为所述用户标识分配所述私网IP地址后发送的;
接收端口段分配消息,所述端口段分配消息包括所述私网IP地址、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配起始时间戳,所述端口段分配消息是运营级网络地址转换(Carrier-Grade NAT,简称CGN)设备为所述私网IP地址分配所述公网IP地址和端口段后发送的;
接收用户下线消息,所述用户下线消息包括所述用户标识、所述私网IP地址和用户下线时间戳,所述用户下线消息是所述BRAS收回所述私网IP地址后发送的;
根据所述用户上线消息和所述用户下线消息,获得所述第二日志记录并存储。
进一步的,为了预先建立所述第一日志记录,所述方法还包括:
将所述用户下线时间戳作为所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配终止时间戳,根据所述端口段分配消息和所述分配终止时间戳,获得所述第一日志记录并存储;或者,
在所述接收所述用户的用户下线消息之前,接收端口段收回消息,所述端口段收回消息包括所述私网IP地址、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述端口段的收回时间戳,所述端口段收回消息是所述CGN设备收回分配给所述私网IP地址的所述端口段后发送的;
将所述端口段的收回时间戳作为所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配终止时间戳,根据所述端口段分配消息和所述分配终止时间戳,获得所述第一日志记录并存储。
可选的,本实施例中所述CGN设备可以相对于所述BRAS独立设置,也就是说,所述CGN设备无法与所述BRAS直接进行信令交互,例如,所述CGN设备为独立式CGN设备或者路由器插卡CGN设备;可选的,所述CGN设备也可以设置在所述BRAS上,也就是说,所述CGN设备可以与所述BRAS直接进行信令交互,例如,所述CGN设备可以为BRAS插卡CGN设备。
本实施例提供的用户溯源方法,根据接收到的溯源请求,通过查询当前存储的第一日志记录和第二日志记录,进行用户溯源,实现有效准确地对用户进行溯源,加强对互联网网络安全的监管。
图2为本发明实施例二提供的另一种用户溯源方法的流程示意图,如图2所示,所述方法包括:
201、接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端口标识;
202、根据所述溯源请求,查询当前存储的日志记录,所述日志记录包括用户标识、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配给所述用户标识的分配时间范围,获得与所述溯源时间戳所属分配时间范围、所述公网IP地址和所述端口标识所属端口段对应的用户标识。
其中,本实施例的执行主体可以为用户溯源装置,所述用户溯源装置可以设置在AAA服务器中。具体的,所述分配时间范围包括分配起始时间戳和分配终止时间戳;相应的,为了预先建立所述日志记录,在201之前还包括:
接收并存储宽带接入服务器BRAS发送的所述日志记录,所述日志记录是所述BRAS根据记录的用户上线消息和用户下线消息、以及运营级网络地址转换CGN设备发送的端口段分配消息获得的。
其中,本实施例和后述实施例三中的所述CGN设备可以设置在所述BRAS中。具体的,所述公网IP地址和所述端口段被同时分配给所述用户标识为,所述公网IP地址和所述端口段被同时分配给为所述用户标识分配的私网IP地址,后续实施例中对此不再赘述。
本实施例提供的用户溯源方法,根据接收到的溯源请求,通过查询当前存储的日志记录,进行用户溯源,实现有效准确地对用户进行溯源,加强对互联网网络安全的监管。
图3为本发明实施例三提供的又一种用户溯源方法的流程示意图,如图3所示,所述方法包括:
301、宽带接入服务器BRAS接收包括用户标识的上线请求,为所述用户标识分配私网IP地址并记录用户上线消息,所述用户上线消息包括所述用户标识、所述私网IP地址和用户上线时间戳;
302、接收端口段分配消息,所述端口段分配消息包括所述私网IP地址、公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配起始时间戳,所述端口段分配消息是运营级网络地址转换CGN设备为所述私网IP地址分配所述公网IP地址和所述端口段后发送的;
303、接收包括所述用户标识的下线请求,收回所述私网IP地址并记录用户下线消息,所述用户下线消息包括所述用户标识、所述私网IP地址和用户下线时间戳;
304、根据所述用户上线消息、所述端口段分配消息和所述用户下线消息,获得日志记录,所述日志记录包括所述用户标识、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配给所述用户标识的分配时间范围;
305、向用户溯源装置发送所述日志记录,以使所述用户溯源装置根据接收到的溯源请求和所述日志记录进行溯源。
其中,301具体可以包括:宽带接入服务器BRAS接收包括用户标识的上线请求,若所述用户标识通过AAA服务器认证成功,则为所述用户标识分配私网IP地址并记录用户上线消息。其具体认证方法在此不再赘述。
可选的,在本实施例的一种可实施方式中,若所述用户下线则所述CGN设备将收回为所述用户分配的公网IP地址和端口段,也就是说,可以将用户下线时刻作为所述公网IP地址和所述端口段被同时分配给所述用户标识的分配终止时刻,故304中所述获得日志记录具体可以包括:
将所述用户下线时间戳作为所述公网IP地址和所述端口段被同时分配给所述用户标识的分配终止时间戳,根据所述用户上线消息、所述端口段分配消息和所述分配终止时间戳,获得所述日志记录。
可选的,在本实施例的另一种可实施方式中,在所述用户下线之前,若所述CGN设备检测到为该用户分配的端口段对应的端口中,某个端口空闲超时,例如,该端口处于空闲状态的时长超过预设的时长,则释放该端口;进一步的,若所述端口段对应的端口均被释放,则所述CGN设备收回为所述用户分配的该端口段,也就是说,可以将所述CGN设备收回该端口段的时刻作为所述公网IP地址和所述端口段被同时分配给所述用户标识的分配终止时刻;则在303之前,还包括:
接收端口段收回消息,所述端口段收回消息包括所述私网IP地址、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述端口段的收回时间戳,所述端口段收回消息是所述CGN设备收回分配给所述私网IP地址的所述端口段后发送的;
相应的,304中所述获得日志记录具体可以包括:
将所述端口段的收回时间戳作为所述公网IP地址和所述端口段被同时分配给所述用户标识的分配终止时间戳,根据所述用户上线消息、所述端口段分配消息、所述用户下线消息和所述分配终止时间戳,获得所述日志记录。
本实施例提供的用户溯源方法,根据记录的用户上线消息和所述用户下线消息、以及接收到的端口段分配消息,获得日志记录并发送给用户溯源装置,以使其进行用户溯源,实现有效准确地对用户进行溯源,加强对互联网网络安全的监管。
图4为本发明实施例四提供的一种用户溯源装置的结构示意图,如图4所示,所述装置包括:
接收模块41,用于接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端口标识;
第一处理模块42,用于根据所述溯源请求,查询当前存储的第一日志记录,所述第一日志记录包括所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、私网IP地址、所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配时间范围,获得与所述溯源时间戳所属分配时间范围、所述公网IP地址和所述端口标识所属端口段对应的私网IP地址;
第二处理模块43,用于根据所述溯源时间戳和所述私网IP地址,查询当前存储的第二日志记录,所述第二日志记录包括所述私网IP地址、用户标识和所述用户标识对应的用户使用所述私网IP地址的使用时间范围,获得与所述溯源时间戳所属使用时间范围和所述私网IP地址对应的用户标识。
其中,所述用户溯源装置可以设置在AAA服务器中。具体的,所述使用时间范围包括用户上线时间戳和用户下线时间戳;所述分配时间范围包括分配起始时间戳和分配终止时间戳;
相应的,为了预先建立所述第二日志记录,接收模块41,还用于接收用户上线消息,所述用户上线消息包括所述用户标识、所述私网IP地址和所述用户上线时间戳,所述用户上线消息是宽带接入服务器BRAS为所述用户标识分配所述私网IP地址后发送的;
接收模块41,还用于接收端口段分配消息,所述端口段分配消息包括所述私网IP地址、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配起始时间戳,所述端口段分配消息是运营级网络地址转换CGN设备为所述私网IP地址分配所述公网IP地址和端口段后发送的;
接收模块41,还用于接收用户下线消息,所述用户下线消息包括所述用户标识、所述私网IP地址和用户下线时间戳,所述用户下线消息是所述BRAS收回所述私网IP地址后发送的;
第二处理模块43,还用于根据所述用户上线消息和所述用户下线消息,获得所述第二日志记录并存储。
进一步的,为了预先建立所述第一日志记录,第一处理模块42,还用于将所述用户下线时间戳作为所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配终止时间戳,根据所述端口段分配消息和所述分配终止时间戳,获得所述第一日志记录并存储;或者,
接收模块41,还用于在所述接收所述用户的用户下线消息之前,接收端口段收回消息,所述端口段收回消息包括所述私网IP地址、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述端口段的收回时间戳,所述端口段收回消息是所述CGN设备收回分配给所述私网IP地址的所述端口段后发送的;
第一处理模块42,还用于将所述端口段的收回时间戳作为所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配终止时间戳,根据所述端口段分配消息和所述分配终止时间戳,获得所述第一日志记录并存储。
可选的,本实施例中所述CGN设备可以相对于所述BRAS独立设置,或者可以设置在所述BRAS上。
本实施例提供的用户溯源装置,根据接收到的溯源请求,通过查询当前存储的第一日志记录和第二日志记录,进行用户溯源,实现有效准确地对用户进行溯源,加强对互联网网络安全的监管。
图5为本发明实施例五提供的另一种用户溯源装置的结构示意图,如图5所示,所述装置包括:
接收模块51,用于接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端口标识;
处理模块52,用于根据所述溯源请求,查询当前存储的日志记录,所述日志记录包括用户标识、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配给所述用户标识的分配时间范围,获得与所述溯源时间戳所属分配时间范围、所述公网IP地址和所述端口标识所属端口段对应的用户标识。
其中,所述用户溯源装置可以设置在AAA服务器中。具体的,所述分配时间范围包括分配起始时间戳和分配终止时间戳;
相应的,为了预先建立所述日志记录,接收模块51,还用于接收宽带接入服务器BRAS发送的所述日志记录,所述日志记录是所述BRAS根据记录的用户上线消息和用户下线消息、以及运营级网络地址转换CGN设备发送的端口段分配消息获得的;处理模块52,还用于存储所述日志记录。其中,本实施例中的所述CGN设备设置在所述BRAS上。
本实施例提供的用户溯源装置,根据接收到的溯源请求,通过查询当前存储的日志记录进行用户溯源,实现有效准确地对用户进行溯源,加强对互联网网络安全的监管。
图6为本发明实施例六提供的宽带接入服务器的结构示意图,如图6所示,所述宽带接入服务器包括:
接收模块61,用于接收包括用户标识的上线请求,为所述用户标识分配私网IP地址并记录用户上线消息,所述用户上线消息包括所述用户标识、所述私网IP地址和用户上线时间戳;
接收模块61,还用于接收端口段分配消息,所述端口段分配消息包括所述私网IP地址、公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配起始时间戳,所述端口段分配消息是运营级网络地址转换CGN设备为所述私网IP地址分配所述公网IP地址和所述端口段后发送的;
接收模块61,还用于接收包括所述用户标识的下线请求,收回所述私网IP地址并记录用户下线消息,所述用户下线消息包括所述用户标识、所述私网IP地址和用户下线时间戳;
处理模块62,用于根据所述用户上线消息、所述端口段分配消息和所述用户下线消息,获得日志记录,所述日志记录包括所述用户标识、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配给所述用户标识的分配时间范围;
发送模块63,用于向用户溯源装置发送所述日志记录,以使所述用户溯源装置根据接收到的溯源请求和所述日志记录进行溯源。
具体的,所述分配时间范围可以包括分配起始时间戳和分配终止时间戳;可选的,在本实施例的一种可实施方式中,若所述用户下线则所述CGN设备将收回为所述用户分配的公网IP地址和端口段,则处理模块62,具体用于将所述用户下线时间戳作为所述公网IP地址和所述端口段被同时分配给所述用户标识的分配终止时间戳,根据所述用户上线消息、所述端口段分配消息和所述分配终止时间戳,获得所述日志记录。
可选的,在本实施例的另一种可实施方式中,在所述用户下线之前,若所述CGN设备检测到为该用户分配的端口段对应的端口均被释放,则收回为所述用户分配的该端口段;
则相应的,接收模块61,还用于接收端口段收回消息,所述端口段收回消息包括所述私网IP地址、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述端口段的收回时间戳,所述端口段收回消息是所述CGN设备收回分配给所述私网IP地址的所述端口段后发送的;
处理模块62,具体用于将所述端口段的收回时间戳作为所述公网IP地址和所述端口段被同时分配给所述用户标识的分配终止时间戳,根据所述用户上线消息、所述端口段分配消息、所述用户下线消息和所述分配终止时间戳,获得所述日志记录。
本实施例提供的宽带接入服务器,根据记录的用户上线消息和所述用户下线消息、以及接收到的端口段分配消息,获得日志记录并发送给用户溯源装置,以使其进行用户溯源,实现有效准确地对用户进行溯源,加强对互联网网络安全的监管。
需要说明的是,在上述任一实施例中,运营级网络地址转换CGN设备接收包括BRAS为用户标识对应的用户分配的私网IP地址的访问请求,若当前所述私网IP地址对应的可用端口不足,则为该私网IP地址分配公网IP地址和所述公网IP地址对应的端口段。
与上述方案相比,目前存在的另一种NAT技术的具体方案为,CGN设备每接收到用户的包括私有IP地址的访问请求,则为其分配公网IP地址和端口,以使其使用该公网IP地址和端口进行访问。进一步的,基于该NAT技术的用户溯源方法为,每当CGN设备根据用户的访问请求,为该私有IP地址分配公网IP地址和端口时,就向用户溯源装置上报一条日志记录,该日志记录包括所述私网IP地址、所述公网IP地址、端口的端口标识、以及将所述公网IP地址和所述端口同时分配给所述私网IP地址的分配时间戳,从而使用户溯源装置根据溯源请求查询对应的私网IP地址,进而溯源到对应的用户。可以理解,在该方案中,CGN设备会产生大量的日志记录,日志的存储需要占用大量的存储资源,并且由于CGN设备上报日志记录的频率很高,因此可能发生漏报错报日志记录的情况,从而导致查询结果不成功或不准确。
而相比于上述用户溯源的方案,本发明实施例提供的用户溯源方法不需要在每次用户访问时,便上报一次日志记录,而只是在分配端口段时进行一次日志记录的上报,因而在有效节约存储资源的同时,大大减轻了CGN设备的日志吞吐压力。
最后,需要说明的是,上述实施例提供的用户溯源装置和宽带接入服务器可实现本发明实施例提供的相应的用户溯源方法的步骤,具体实现方法在此不再赘述。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (4)
1.一种用户溯源方法,其特征在于,包括:
接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端口标识;
根据所述溯源请求,查询当前存储的第一日志记录,所述第一日志记录包括所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、私网IP地址、所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配时间范围,获得与所述溯源时间戳所属分配时间范围、所述公网IP地址和所述端口标识所属端口段对应的私网IP地址;
根据所述溯源时间戳和所述私网IP地址,查询当前存储的第二日志记录,所述第二日志记录包括所述私网IP地址、用户标识和所述用户标识对应的用户使用所述私网IP地址的使用时间范围,获得与所述溯源时间戳所属使用时间范围和所述私网IP地址对应的用户标识;
所述使用时间范围包括用户上线时间戳和用户下线时间戳;所述分配时间范围包括分配起始时间戳和分配终止时间戳;所述接收溯源请求之前,还包括:接收用户上线消息,所述用户上线消息包括所述用户标识、所述私网IP地址和所述用户上线时间戳,所述用户上线消息是宽带接入服务器BRAS为所述用户标识分配所述私网IP地址后发送的;接收端口段分配消息,所述端口段分配消息包括所述私网IP地址、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配起始时间戳,所述端口段分配消息是运营级网络地址转换CGN设备为所述私网IP地址分配所述公网IP地址和端口段后发送的;接收用户下线消息,所述用户下线消息包括所述用户标识、所述私网IP地址和用户下线时间戳,所述用户下线消息是所述BRAS收回所述私网IP地址后发送的;根据所述用户上线消息和所述用户下线消息,获得所述第二日志记录并存储;
所述方法还包括:
将所述用户下线时间戳作为所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配终止时间戳,根据所述端口段分配消息和所述分配终止时间戳,获得所述第一日志记录并存储;或者,
在所述接收所述用户的用户下线消息之前,接收端口段收回消息,所述 端口段收回消息包括所述私网IP地址、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述端口段的收回时间戳,所述端口段收回消息是所述CGN设备收回分配给所述私网IP地址的所述端口段后发送的;
将所述端口段的收回时间戳作为所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配终止时间戳,根据所述端口段分配消息和所述分配终止时间戳,获得所述第一日志记录并存储。
2.一种用户溯源方法,其特征在于,包括:
宽带接入服务器BRAS接收包括用户标识的上线请求,为所述用户标识分配私网IP地址并记录用户上线消息,所述用户上线消息包括所述用户标识、所述私网IP地址和用户上线时间戳;
接收端口段分配消息,所述端口段分配消息包括所述私网IP地址、公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配起始时间戳,所述端口段分配消息是运营级网络地址转换CGN设备为所述私网IP地址分配所述公网IP地址和所述端口段后发送的;
接收包括所述用户标识的下线请求,收回所述私网IP地址并记录用户下线消息,所述用户下线消息包括所述用户标识、所述私网IP地址和用户下线时间戳;
根据所述用户上线消息、所述端口段分配消息和所述用户下线消息,获得日志记录,所述日志记录包括所述用户标识、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配给所述用户标识的分配时间范围;
向用户溯源装置发送所述日志记录,以使所述用户溯源装置根据接收到的溯源请求和所述日志记录进行溯源;
所述分配时间范围包括分配起始时间戳和分配终止时间戳;所述获得日志记录具体包括:
将所述用户下线时间戳作为所述公网IP地址和所述端口段被同时分配给所述用户标识的分配终止时间戳,根据所述用户上线消息、所述端口段分配消息和所述分配终止时间戳,获得所述日志记录;或者,
所述接收包括所述用户标识的下线请求之前,还包括:
接收端口段收回消息,所述端口段收回消息包括所述私网IP地址、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述端口段的收回时间戳,所述端口段收回消息是所述CGN设备收回分配给所述私网IP地址的所述端口段后发送的;
所述获得日志记录,具体包括:
将所述端口段的收回时间戳作为所述公网IP地址和所述端口段被同时分配给所述用户标识的分配终止时间戳,根据所述用户上线消息、所述端口段分配消息、所述用户下线消息和所述分配终止时间戳,获得所述日志记录。
3.一种用户溯源装置,其特征在于,包括:
接收模块,用于接收溯源请求,所述溯源请求包括溯源时间戳、公网IP地址和端口标识;
第一处理模块,用于根据所述溯源请求,查询当前存储的第一日志记录,所述第一日志记录包括所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、私网IP地址、所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配时间范围,获得与所述溯源时间戳所属分配时间范围、所述公网IP地址和所述端口标识所属端口段对应的私网IP地址;
第二处理模块,用于根据所述溯源时间戳和所述私网IP地址,查询当前存储的第二日志记录,所述第二日志记录包括所述私网IP地址、用户标识和所述用户标识对应的用户使用所述私网IP地址的使用时间范围,获得与所述溯源时间戳所属使用时间范围和所述私网IP地址对应的用户标识;
所述使用时间范围包括用户上线时间戳和用户下线时间戳;所述分配时间范围包括分配起始时间戳和分配终止时间戳;
所述接收模块,还用于接收用户上线消息,所述用户上线消息包括所述用户标识、所述私网IP地址和所述用户上线时间戳,所述用户上线消息是宽带接入服务器BRAS为所述用户标识分配所述私网IP地址后发送的;
所述接收模块,还用于接收端口段分配消息,所述端口段分配消息包括所述私网IP地址、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、所述公网IP地址和所述端口段被同时分配给所述 私网IP地址的分配起始时间戳,所述端口段分配消息是运营级网络地址转换CGN设备为所述私网IP地址分配所述公网IP地址和端口段后发送的;
所述接收模块,还用于接收用户下线消息,所述用户下线消息包括所述用户标识、所述私网IP地址和用户下线时间戳,所述用户下线消息是所述BRAS收回所述私网IP地址后发送的;
所述第二处理模块,还用于根据所述用户上线消息和所述用户下线消息,获得所述第二日志记录并存储;
所述第一处理模块,还用于将所述用户下线时间戳作为所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配终止时间戳,根据所述端口段分配消息和所述分配终止时间戳,获得所述第一日志记录并存储;或者,
所述接收模块,还用于在所述接收所述用户的用户下线消息之前,接收端口段收回消息,所述端口段收回消息包括所述私网IP地址、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述端口段的收回时间戳,所述端口段收回消息是所述CGN设备收回分配给所述私网IP地址的所述端口段后发送的;
所述第一处理模块,还用于将所述端口段的收回时间戳作为所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配终止时间戳,根据所述端口段分配消息和所述分配终止时间戳,获得所述第一日志记录并存储。
4.一种宽带接入服务器,其特征在于,包括:
接收模块,用于接收包括用户标识的上线请求,为所述用户标识分配私网IP地址并记录用户上线消息,所述用户上线消息包括所述用户标识、所述私网IP地址和用户上线时间戳;
所述接收模块,还用于接收端口段分配消息,所述端口段分配消息包括所述私网IP地址、公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配给所述私网IP地址的分配起始时间戳,所述端口段分配消息是运营级网络地址转换CGN设备为所述私网IP地址分配所述公网IP地址和所述端口段后发送的;
所述接收模块,还用于接收包括所述用户标识的下线请求,收回所述私网IP地址并记录用户下线消息,所述用户下线消息包括所述用户标识、所述私网IP地址和用户下线时间戳;
处理模块,用于根据所述用户上线消息、所述端口段分配消息和所述用户下线消息,获得日志记录,所述日志记录包括所述用户标识、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述公网IP地址和所述端口段被同时分配给所述用户标识的分配时间范围;
发送模块,用于向用户溯源装置发送所述日志记录,以使所述用户溯源装置根据接收到的溯源请求和所述日志记录进行溯源;
所述分配时间范围包括分配起始时间戳和分配终止时间戳;
所述处理模块,具体用于将所述用户下线时间戳作为所述公网IP地址和所述端口段被同时分配给所述用户标识的分配终止时间戳,根据所述用户上线消息、所述端口段分配消息和所述分配终止时间戳,获得所述日志记录;或者,
所述接收模块,还用于接收端口段收回消息,所述端口段收回消息包括所述私网IP地址、所述公网IP地址、所述公网IP地址对应的端口段的起始端口标识和结束端口标识、以及所述端口段的收回时间戳,所述端口段收回消息是所述CGN设备收回分配给所述私网IP地址的所述端口段后发送的;
所述处理模块,具体用于将所述端口段的收回时间戳作为所述公网IP地址和所述端口段被同时分配给所述用户标识的分配终止时间戳,根据所述用户上线消息、所述端口段分配消息、所述用户下线消息和所述分配终止时间戳,获得所述日志记录。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310208040.0A CN104219334B (zh) | 2013-05-30 | 2013-05-30 | 用户溯源方法、装置及宽带接入服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310208040.0A CN104219334B (zh) | 2013-05-30 | 2013-05-30 | 用户溯源方法、装置及宽带接入服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104219334A CN104219334A (zh) | 2014-12-17 |
CN104219334B true CN104219334B (zh) | 2017-09-29 |
Family
ID=52100458
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310208040.0A Active CN104219334B (zh) | 2013-05-30 | 2013-05-30 | 用户溯源方法、装置及宽带接入服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104219334B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105791448B (zh) | 2014-12-18 | 2019-10-25 | 华为技术有限公司 | 一种地址分配方法、cgn设备及cgn双主*** |
CN106484589B (zh) * | 2015-08-28 | 2020-06-30 | 腾讯科技(深圳)有限公司 | 端口访问的监测方法及装置 |
CN106549790B (zh) * | 2015-09-22 | 2019-11-05 | 华为技术有限公司 | 一种用于溯源的映射表的更新方法和装置 |
CN105939327A (zh) * | 2016-01-19 | 2016-09-14 | 杭州迪普科技有限公司 | 审计日志的生成方法及装置 |
CN108123807B (zh) * | 2016-11-29 | 2020-09-04 | 中国电信股份有限公司 | 宽带网络中用户身份溯源的***和方法 |
CN108900514B (zh) * | 2018-07-04 | 2021-04-23 | 杭州安恒信息技术股份有限公司 | 基于同源分析的攻击信息追踪溯源方法及装置 |
CN110933201B (zh) * | 2019-12-31 | 2021-11-26 | 北京金山云网络技术有限公司 | 一种ip地址溯源方法、装置、电子设备及存储介质 |
CN112511658B (zh) * | 2020-03-24 | 2024-04-30 | 中兴通讯股份有限公司 | 实现运营商级网络地址转换的方法、装置和*** |
CN112910863A (zh) * | 2021-01-19 | 2021-06-04 | 清华大学 | 一种网络溯源方法及*** |
CN115277827A (zh) * | 2022-07-26 | 2022-11-01 | 中国电信股份有限公司 | 云资源配置方法、***、装置、设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002013459A2 (en) * | 2000-08-04 | 2002-02-14 | Digital Envoy, Inc. | Determining geographic locations of private network internet users |
CN1825812A (zh) * | 2005-02-25 | 2006-08-30 | 华为技术有限公司 | 管理网络日志信息的***及方法 |
CN101056211A (zh) * | 2007-06-22 | 2007-10-17 | 中兴通讯股份有限公司 | 一种实现用户上网行为审计的方法及*** |
CN102036227A (zh) * | 2009-09-27 | 2011-04-27 | ***通信集团公司 | 一种数据业务的用户标识获取方法、***及装置 |
CN103118147A (zh) * | 2013-01-24 | 2013-05-22 | 中国联合网络通信集团有限公司 | 内网服务器访问方法、设备和*** |
-
2013
- 2013-05-30 CN CN201310208040.0A patent/CN104219334B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002013459A2 (en) * | 2000-08-04 | 2002-02-14 | Digital Envoy, Inc. | Determining geographic locations of private network internet users |
CN1825812A (zh) * | 2005-02-25 | 2006-08-30 | 华为技术有限公司 | 管理网络日志信息的***及方法 |
CN101056211A (zh) * | 2007-06-22 | 2007-10-17 | 中兴通讯股份有限公司 | 一种实现用户上网行为审计的方法及*** |
CN102036227A (zh) * | 2009-09-27 | 2011-04-27 | ***通信集团公司 | 一种数据业务的用户标识获取方法、***及装置 |
CN103118147A (zh) * | 2013-01-24 | 2013-05-22 | 中国联合网络通信集团有限公司 | 内网服务器访问方法、设备和*** |
Also Published As
Publication number | Publication date |
---|---|
CN104219334A (zh) | 2014-12-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104219334B (zh) | 用户溯源方法、装置及宽带接入服务器 | |
US10623516B2 (en) | Data cloud storage system, client terminal, storage server and application method | |
US9973399B2 (en) | IPV6 address tracing method, apparatus, and system | |
CN103108311B (zh) | 一种mtc设备与uicc绑定的方法、装置及*** | |
US9967254B2 (en) | Dynamically selecting a DHCP server for a client terminal | |
CN102143509B (zh) | Ap管理无线中继器的方法、装置及*** | |
CN101986665B (zh) | Ipv6地址分配方法和*** | |
US9590812B2 (en) | Method and device for charging local traffic on wireless side | |
CN103248724A (zh) | 一种基于sdn控制器的dhcp广播处理方法 | |
CN104010285A (zh) | 一种短信过滤方法、***以及短信服务中心和终端 | |
CN106101067B (zh) | 绑定智能设备的方法和终端 | |
EP3595297A1 (en) | Abnormality detection method, network video recorder (nvr) and video server | |
CA2745661A1 (en) | A method and system for subscriber base monitoring in ip data networks | |
WO2013177891A1 (zh) | 一种分配公网地址的方法及装置 | |
EP2615788A1 (en) | Method for dual stack user management and broadband access server | |
CN111182531A (zh) | 关联信息的回填方法、装置、设备及存储介质 | |
CN103532752A (zh) | 移动互联网络用户上网日志实现融合的管理装置和方法 | |
WO2012146120A1 (en) | Method for forwarding response packet from dhcp server, forwarding device and system | |
CN105323736A (zh) | Imsi获取方法及装置、信令监测*** | |
CN102868778B (zh) | IPv6地址生成方法和装置 | |
WO2016070633A1 (zh) | 上网日志生成方法和装置 | |
EP2555545A1 (en) | Method and system for selecting mobility management entity of terminal group | |
CN105591848A (zh) | 一种IPv6无状态自动配置的认证方法及装置 | |
CN105409288B (zh) | 一种共享网络的用户管理方法、相应的设备和*** | |
CN102244689B (zh) | 远程ip地址获取方法及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |