專(zhuān)利名稱(chēng):一種用戶身份處理裝置及識(shí)別裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通信領(lǐng)域���,尤其涉及一種用戶身份處理方法及裝置����。
背景技術(shù):
網(wǎng)絡(luò)應(yīng)用已經(jīng)深入人類(lèi)工作生活各個(gè)方面���,網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)自身的可管理性顯得日益重要�����。用戶行為分析是網(wǎng)絡(luò)用戶及網(wǎng)絡(luò)自身管理的重要技術(shù)手段����。通過(guò)用戶行為分析�����,可以統(tǒng)計(jì)大規(guī)模用戶行為的模式��、訪問(wèn)習(xí)慣�,進(jìn)而指導(dǎo)網(wǎng)絡(luò)流量管理的策略制定,同時(shí)增強(qiáng)網(wǎng)絡(luò)流量的安全監(jiān)測(cè)能力。現(xiàn)有的技術(shù)方案通?��;贗P報(bào)文頭部中的源IP進(jìn)行用戶流量的識(shí)別�。由于每一個(gè)用戶擁有自己獨(dú)立的IP地址�����,因此網(wǎng)絡(luò)服務(wù)器可以根據(jù)源IP唯一確定一個(gè)用戶����,以實(shí)現(xiàn)用戶識(shí)別功能。隨著接入互聯(lián)網(wǎng)的計(jì)算機(jī)及其他終端數(shù)量的爆炸性增長(zhǎng)��,IP地址資源也就顯得愈加緊張��。在IPv4還占據(jù)主流的今天�����,一般用戶幾乎申請(qǐng)不到公網(wǎng)IP地址��。當(dāng)企業(yè)向運(yùn)營(yíng)商ISP申請(qǐng)IP地址時(shí)�,所分配的地址也不過(guò)只有幾個(gè)或十幾個(gè)IP地址�����。顯然,這些少量的IP地址根本無(wú)法滿足網(wǎng)絡(luò)用戶的需求����。為了緩解供給和需求不可調(diào)和的矛盾,使用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)便成為了企業(yè)和ISP的必然選擇�。NAT在處理報(bào)文時(shí)會(huì)將該報(bào)文內(nèi)部的私網(wǎng)IP地址轉(zhuǎn)換為公網(wǎng)IP地址發(fā)送到互聯(lián)網(wǎng),而來(lái)自互聯(lián)網(wǎng)的數(shù)據(jù)報(bào)文則由NAT將其公網(wǎng)IP地址轉(zhuǎn)換為私有IP地址���。具體實(shí)現(xiàn)上NAT是通過(guò)TCP或UDP端口號(hào)來(lái)標(biāo)示內(nèi)網(wǎng)用戶的��。由互聯(lián)網(wǎng)發(fā)送過(guò)來(lái)的報(bào)文雖然目的IP地址是一致的���,但由于發(fā)送給每個(gè)用戶報(bào)文的端口號(hào)不同的,因此可以用端口號(hào)標(biāo)識(shí)內(nèi)網(wǎng)用戶���。這樣一來(lái)就可以多個(gè)內(nèi)網(wǎng)用戶共用一個(gè)公網(wǎng)IP進(jìn)行網(wǎng)絡(luò)訪問(wèn)��。雖然NAT設(shè)備可以識(shí)別用戶來(lái)進(jìn)行報(bào)文分發(fā)�,但對(duì)于典型的客戶端-服務(wù)器模型來(lái)說(shuō)�����,在服務(wù)端上用戶的不可識(shí)別性可能會(huì)引發(fā)安全隱患。請(qǐng)參考圖1所示��,內(nèi)網(wǎng)用戶通過(guò)一臺(tái)開(kāi)啟NAT功能的設(shè)備上網(wǎng)���,此時(shí)網(wǎng)絡(luò)服務(wù)器收到的所有用戶報(bào)文的源IP都是同一個(gè)(NAT上的公網(wǎng)地址)����,網(wǎng)絡(luò)服務(wù)器根本沒(méi)有辦法識(shí)別用戶���。如果網(wǎng)絡(luò)服務(wù)器想識(shí)別用戶�����,只能到具體的NAT設(shè)備查找NAT轉(zhuǎn)換的對(duì)應(yīng)關(guān)系�����,然而這樣的技術(shù)實(shí)現(xiàn)和應(yīng)用都很復(fù)雜。另外在實(shí)際網(wǎng)絡(luò)中�����,ISP經(jīng)常會(huì)運(yùn)用多級(jí)NAT技術(shù)�,這更是大大增加了定位用戶的復(fù)雜度,在這樣的場(chǎng)景下服務(wù)器端識(shí)別用戶變得越來(lái)越困難。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明提供一種用戶身份處理裝置��,其應(yīng)用在接入設(shè)備上�����,該裝置包括第一報(bào)文轉(zhuǎn)發(fā)單元�、第一會(huì)話處理單元以及第一標(biāo)識(shí)處理單元�,其中第一會(huì)話處理單元,用于從接收到的用戶業(yè)務(wù)報(bào)文中獲取該用戶業(yè)務(wù)報(bào)文的會(huì)話特征�;并根據(jù)該會(huì)話特征查找會(huì)話表,如果沒(méi)有查找到���,則將該會(huì)話特征添加到會(huì)話表中并轉(zhuǎn)第一標(biāo)識(shí)處理單元處理��; 第一標(biāo)識(shí)處理單元,用于修改該用戶業(yè)務(wù)報(bào)文�,向該用戶業(yè)務(wù)報(bào)文的IP層載荷中添加用戶身份標(biāo)識(shí)���;
第一報(bào)文轉(zhuǎn)發(fā)單元�����,用于將修改后的用戶業(yè)務(wù)報(bào)文轉(zhuǎn)發(fā)出去�。本發(fā)明還提供一種用戶身份識(shí)別裝置,其應(yīng)用在核心設(shè)備上�,該裝置包括該裝置包括第二報(bào)文轉(zhuǎn)發(fā)單元以及第二會(huì)話處理單元,其中第二會(huì)話處理單元���,用于從接收到用戶業(yè)務(wù)報(bào)文中獲取該用戶業(yè)務(wù)報(bào)文的會(huì)話特征���;并根據(jù)該會(huì)話特征查找會(huì)話表,如果沒(méi)有查找到��,則將該會(huì)話特征以及該用戶業(yè)務(wù)報(bào)文IP層載荷中攜帶的用戶身份標(biāo)識(shí)對(duì)應(yīng)添加到會(huì)話表中以建立會(huì)話特征與用戶身份標(biāo)識(shí)的對(duì)應(yīng)關(guān)系����;第二報(bào)文轉(zhuǎn)發(fā)單元,用于將用戶業(yè)務(wù)報(bào)文轉(zhuǎn)發(fā)出去��。本發(fā)明通過(guò)簡(jiǎn)單有效的方式巧妙利用會(huì)話處理機(jī)制將用戶身份標(biāo)識(shí)攜帶在通常不會(huì)被更改的位置上傳遞到網(wǎng)絡(luò)的遠(yuǎn)端�����,使得用戶身份的識(shí)別變得更加簡(jiǎn)單可靠�。
圖1是一種典型的含有NAT設(shè)備的組網(wǎng)圖����。圖2是本發(fā)明一種典型應(yīng)用場(chǎng)景的組網(wǎng)圖����。圖3是本發(fā)明一種實(shí)施方式接入設(shè)備側(cè)與核心設(shè)備側(cè)的邏輯結(jié)構(gòu)組合示意圖�。圖4是一種IP報(bào)文頭部格式的示意圖。圖5是一種TCP報(bào)文頭部格式的不意圖�。圖6是一種UDP報(bào)文頭部格式的不意圖。
具體實(shí)施例方式本發(fā)明在IP報(bào)文載荷中引入用戶身份標(biāo)識(shí)��,在前端接入設(shè)備側(cè)打上用戶身份標(biāo)識(shí)��,在后端核心設(shè)備側(cè)就可根據(jù)用戶身份標(biāo)識(shí)識(shí)別出用戶身份��,結(jié)合會(huì)話處理機(jī)制�,讓用戶身份能夠有效地穿過(guò)NAT設(shè)備而不會(huì)被更改,為后端處理提供了極大便利�,并可在識(shí)別出用戶身份的基礎(chǔ)上開(kāi)發(fā)出各種應(yīng)用。以下通過(guò)具體實(shí)施方式
介紹本發(fā)明的一般實(shí)現(xiàn)流程����。請(qǐng)參考圖2至圖3,本發(fā)明通過(guò)在接入設(shè)備側(cè)以及核心設(shè)備側(cè)做相應(yīng)的改動(dòng)來(lái)實(shí)現(xiàn)本發(fā)明����。所謂接入設(shè)備與核心設(shè)備是相對(duì)而言的�,接入設(shè)備是更加靠近用戶的設(shè)備�����,比如低端以太網(wǎng)交換機(jī)��;核心設(shè)備通常是相對(duì)遠(yuǎn)離用戶的網(wǎng)絡(luò)設(shè)備�����,比如更大容量的以太網(wǎng)交換機(jī)或者大型路由器等�����。請(qǐng)參考圖3��,以計(jì)算機(jī)軟件實(shí)現(xiàn)為例����,本實(shí)施方式提供一種用戶身份處理裝置,其應(yīng)用在接入設(shè)備上�����,該裝置包括第一報(bào)文轉(zhuǎn)發(fā)單元�、第一會(huì)話處理單元以及第一標(biāo)識(shí)處理單元。在核心設(shè)備側(cè)�����,本發(fā)明同樣提供一種相應(yīng)的用戶身份識(shí)別裝置�,該裝置包括第二報(bào)文轉(zhuǎn)發(fā)單元、第二會(huì)話處理單元��、第二標(biāo)識(shí)處理單元以及審計(jì)處理單元�����。在軟件實(shí)現(xiàn)方式中�����,上述兩個(gè)裝置運(yùn)行兩個(gè)對(duì)應(yīng)的設(shè)備��,參與實(shí)現(xiàn)以下處理流程��。步驟101���,接入設(shè)備接收來(lái)自用戶的業(yè)務(wù)報(bào)文�;步驟102��,第一會(huì)話處理單元獲取用戶業(yè)務(wù)報(bào)文的會(huì)話特征;步驟103���,第一會(huì)話處理單元根據(jù)會(huì)話特征查找會(huì)話表�����,如果查找到繼續(xù)后續(xù)處理�����,否則將該會(huì)話特征添加到會(huì)話表中并轉(zhuǎn)步驟104 �����;步驟104�,第一標(biāo)識(shí)處理單元修改該業(yè)務(wù)報(bào)文���,向該業(yè)務(wù)報(bào)文的IP層載荷中添加用戶身份標(biāo)識(shí)�;
步驟105�,第一報(bào)文轉(zhuǎn)發(fā)單元將修改后的業(yè)務(wù)報(bào)文轉(zhuǎn)發(fā)出去;步驟106�����,NAT設(shè)備對(duì)業(yè)務(wù)報(bào)文進(jìn)行NAT轉(zhuǎn)換;步驟107��,核心設(shè)備接收到從接入設(shè)備轉(zhuǎn)發(fā)過(guò)來(lái)的用戶業(yè)務(wù)報(bào)文�����;步驟108��,第二會(huì)話處理單元獲取該用戶業(yè)務(wù)報(bào)文的會(huì)話特征�;步驟109�����,第二會(huì)話處理單元根據(jù)會(huì)話特征查找第二會(huì)話表�,如果查找到繼續(xù)后續(xù)處理,否則將該會(huì)話特征以及對(duì)應(yīng)的用戶身份標(biāo)識(shí)添加到第二會(huì)話表中并轉(zhuǎn)步驟110處理�;步驟110,第二標(biāo)識(shí)處理單元���,將該業(yè)務(wù)報(bào)文中攜帶的用戶身份標(biāo)識(shí)清除以還原該業(yè)務(wù)報(bào)文����;步驟111,審計(jì)處理單元將包括用戶身份標(biāo)識(shí)的審計(jì)信息發(fā)送給審計(jì)服務(wù)器��;步驟112�����,第二報(bào)文轉(zhuǎn)發(fā)單元將還原后的業(yè)務(wù)報(bào)文轉(zhuǎn)發(fā)出去�����;請(qǐng)參考圖3��,用戶訪問(wèn)網(wǎng)絡(luò)時(shí)發(fā)出的業(yè)務(wù)報(bào)文(也可抽象地稱(chēng)為用戶流量)會(huì)通過(guò)接入設(shè)備從局域網(wǎng)絡(luò)轉(zhuǎn)發(fā)到廣域網(wǎng)絡(luò)上去��。在這一過(guò)程中�,用戶業(yè)務(wù)報(bào)文可能會(huì)經(jīng)過(guò)NAT處理。而NAT處理會(huì)導(dǎo)致用戶的源IP地址發(fā)生變化����。由于現(xiàn)在流行的NAT處理中,通常是多個(gè)用戶共享一個(gè)公網(wǎng)IP地址�����,在本地通過(guò)TCP/UDP端口號(hào)來(lái)區(qū)分用戶�。這樣的處理導(dǎo)致了經(jīng)過(guò)NAT以后多個(gè)用戶的源IP地址是相同的�����,無(wú)法通過(guò)源IP地址加以區(qū)分��,也無(wú)法通過(guò)端口號(hào)區(qū)分����,因?yàn)槎丝谔?hào)的區(qū)分只在NAT設(shè)備本地有效�。在本發(fā)明中��,報(bào)文在到達(dá)接入設(shè)備后����,接入設(shè)備可以按照會(huì)話為單位來(lái)插入用戶身份標(biāo)識(shí)。事實(shí)上���,用戶身份標(biāo)識(shí)本身的選取是非常靈活的�,可以使用用戶終端的MAC地址或CPU等硬件標(biāo)識(shí)�����,也可以是用戶賬號(hào)等邏輯意義上的標(biāo)識(shí)�。考慮到三層設(shè)備以及NAT設(shè)備的存在以及整體設(shè)計(jì)的便利性,本發(fā)明中用戶身份標(biāo)識(shí)通常是添加在IP報(bào)文的載荷(即IP報(bào)文的數(shù)據(jù)部分)中��,也就是IP以上的層面中����。以下提供兩種效果較佳的實(shí)現(xiàn)方式作為示例,本領(lǐng)域普通技術(shù)人員可參考以下示例根據(jù)需要設(shè)計(jì)其他同樣構(gòu)思的具體實(shí)現(xiàn)用戶身份標(biāo)識(shí)的添加�����。示例1:請(qǐng)參考圖4以及5���,假設(shè)IP報(bào)文(用戶業(yè)務(wù)報(bào)文)中承載的是TCP報(bào)文(相當(dāng)于IP報(bào)文的載荷)��,此時(shí)用戶身份標(biāo)識(shí)可以添加在TCP頭部的Option (選項(xiàng))字段中�。Option字段通常是預(yù)留的�����,供開(kāi)發(fā)者使用�����。在報(bào)文沿途的經(jīng)歷的三層轉(zhuǎn)發(fā)以及NAT處理過(guò)程���,Option字段通常不會(huì)修改���,因此用戶身份標(biāo)識(shí)可以順利地?cái)y帶在報(bào)文中通過(guò)網(wǎng)絡(luò)傳輸?shù)竭_(dá)核心設(shè)備����。示例2 :請(qǐng)參考圖4以及圖6���,假設(shè)IP報(bào)文中承載的是UDP報(bào)文(IP報(bào)文的載荷)�����,此時(shí)用戶身份標(biāo)識(shí)可以添加在UDP報(bào)文載荷的尾部�����,用戶身份標(biāo)識(shí)需要占用的長(zhǎng)度可以自定義,比如8個(gè)字節(jié)等�。在這種方式中,由于UDP的載荷長(zhǎng)度增加�����,相應(yīng)地IP報(bào)文頭部以及m)P報(bào)文頭部中的長(zhǎng)度信息也需要修改����。但在優(yōu)選的方式中���,本發(fā)明相應(yīng)修改IP報(bào)文頭部的長(zhǎng)度信息,而UDP頭部中的長(zhǎng)度信息則可以不修改�����。這樣做的好處是由于沿途設(shè)備通常僅在IP層面進(jìn)行處理����,比如三層轉(zhuǎn)發(fā)或者NAT,在傳輸層面最多會(huì)涉及端口號(hào)的修改�����,因此修改IP報(bào)文頭部的長(zhǎng)度值可以確保報(bào)文基本不會(huì)被丟棄����,如此一來(lái)可以提高接入設(shè)備的處理效率。由此可見(jiàn)����,在本實(shí)施方式中雖然m)P頭部的長(zhǎng)度信息沒(méi)有修改為正確的值,但是到達(dá)核心設(shè)備之前����,并不會(huì)對(duì)沿途設(shè)備的處理造成任何影響�����。因此用戶身份標(biāo)識(shí)通?��?梢皂樌?cái)y帶在報(bào)文中到達(dá)核心設(shè)備。
用戶業(yè)務(wù)報(bào)文到達(dá)接入設(shè)備時(shí)����,接入設(shè)備可以輕易知道用戶的MAC地址或者M(jìn)AC地址+源IP地址的組合,假設(shè)用戶身份標(biāo)識(shí)是MAC地址��,接入設(shè)備可以輕松完成標(biāo)識(shí)添加工作�,如果是其他類(lèi)的標(biāo)識(shí)則可以通過(guò)手工或者服務(wù)器協(xié)助的方式來(lái)實(shí)現(xiàn)。在優(yōu)選的方式中�����,考慮到如果每個(gè)報(bào)文都添加標(biāo)識(shí)會(huì)引發(fā)處理效率的下降��,因此本發(fā)明將會(huì)話機(jī)制引入����,用戶身份標(biāo)識(shí)可以僅僅添加在會(huì)話的第一個(gè)報(bào)文中。以會(huì)話特征是五元組(源IP��、目的IP�����、協(xié)議類(lèi)型����、源端口、目的端口)為例�����,如果接入設(shè)備與核心設(shè)備之間有NAT的存在���,由于源IP地址會(huì)被修改�����,那么接入設(shè)備上的會(huì)話特征與核心設(shè)備的會(huì)話特征肯定不一樣�。但是很顯然的是��,兩個(gè)設(shè)備上的會(huì)話特征都可以在本地唯一標(biāo)識(shí)該會(huì)話�。本發(fā)明考慮到會(huì)話特征在本地的唯一性這一特點(diǎn)���,因此設(shè)計(jì)了會(huì)話第一個(gè)報(bào)文中插入用戶身份標(biāo)識(shí)的機(jī)制。這樣可以很好地跟現(xiàn)有的會(huì)話處理機(jī)制兼容起來(lái)����。目前很多網(wǎng)絡(luò)設(shè)備都會(huì)建立會(huì)話表項(xiàng)。其處理過(guò)程則是處理報(bào)文時(shí)根據(jù)該報(bào)文的會(huì)話特征查找會(huì)話表��,如果能夠命中一條表項(xiàng)���,則說(shuō)明該報(bào)文是已經(jīng)存在的會(huì)話的后續(xù)報(bào)文�����,如果沒(méi)有命中則說(shuō)明當(dāng)前的業(yè)務(wù)報(bào)文是一個(gè)新的會(huì)話中的首報(bào)文����,此時(shí)需要將會(huì)話特征提取出來(lái)添加到會(huì)話表中���。本發(fā)明巧妙復(fù)用這一成熟設(shè)計(jì)����,在向會(huì)話表中添加會(huì)話表項(xiàng)的時(shí)候進(jìn)一步向當(dāng)前這個(gè)會(huì)話首報(bào)文添加用戶身份標(biāo)識(shí)�����。當(dāng)然如果一個(gè)報(bào)文的會(huì)話特征在會(huì)話表中能夠找到�����,則無(wú)需添加用戶身份標(biāo)識(shí)��。這樣的處理方式可以大大降低接入設(shè)備(通常處理能力較低)的處理壓力��,有助于廣泛的商業(yè)應(yīng)用�。從核心設(shè)備側(cè)來(lái)看,核心設(shè)備同樣可以維護(hù)會(huì)話處理機(jī)制�,與接入設(shè)備不同的是,核心設(shè)備的第二會(huì)話處理單元確定當(dāng)前業(yè)務(wù)報(bào)文是新會(huì)話的首報(bào)文時(shí)�����,其除了將會(huì)話特征添加到會(huì)話表中之外�,還需要該業(yè)務(wù)報(bào)文中攜帶的用戶身份標(biāo)識(shí)添加會(huì)話表中。這里所說(shuō)的會(huì)話表是邏輯意義上的��,實(shí)際上可能是多張表的存在形式����。這樣一來(lái)核心設(shè)備就可以建立起會(huì)話特征與用戶身份標(biāo)識(shí)的對(duì)應(yīng)關(guān)系����。由于這樣的對(duì)應(yīng)關(guān)系的存在�,核心設(shè)備就可以準(zhǔn)確地辨別出每個(gè)用戶的身份,將之作為審計(jì)基礎(chǔ)���,開(kāi)發(fā)者便可在此基礎(chǔ)上可以設(shè)計(jì)開(kāi)發(fā)出各種基于用戶身份的應(yīng)用���。以審計(jì)應(yīng)用為例,審計(jì)處理單元?jiǎng)t可以依據(jù)會(huì)話特征組織各種審計(jì)信息�����,審計(jì)信息可以包括各種簡(jiǎn)單或者復(fù)雜的用戶訪問(wèn)行為信息���。在本發(fā)明中��,審計(jì)處理單元可以將用戶身份標(biāo)識(shí)作為審計(jì)信息的一種加入進(jìn)來(lái)��,然后發(fā)送給遠(yuǎn)端的服務(wù)器�。由于用戶身份標(biāo)識(shí)可以準(zhǔn)確地標(biāo)識(shí)出用戶身份��,因此后續(xù)審計(jì)處理的準(zhǔn)確性大大提高。如前所述���,由于接入設(shè)備側(cè)將用戶身份標(biāo)識(shí)添加到會(huì)話的首報(bào)文中,也就是說(shuō)�,這些用戶業(yè)務(wù)報(bào)文實(shí)際上被修改了 ;為了業(yè)務(wù)服務(wù)器(比如Web服務(wù)器)能夠更加可靠地接收這些報(bào)文���。核心設(shè)備上的第二標(biāo)識(shí)處理單元可以進(jìn)一步做反向的用戶身份標(biāo)識(shí)清除處理����。相應(yīng)地��,對(duì)于傳輸層是TCP報(bào)文的情況則相應(yīng)清除TCP頭部Option中的用戶身份標(biāo)識(shí)�����;對(duì)于UDP報(bào)文來(lái)說(shuō)���,則需要清除UDP載荷尾部的用戶身份標(biāo)識(shí)�����。由于接入設(shè)備修改了 IP頭部的長(zhǎng)度信息���,未修改UDP頭部的長(zhǎng)度信息�,第二標(biāo)識(shí)處理單元?jiǎng)t同樣需要再次修改IP頭部長(zhǎng)度信息�����,而UDP頭部的長(zhǎng)度信息則不需要修改��,相當(dāng)于還原了用戶業(yè)務(wù)報(bào)文�����,即曾經(jīng)被修改的會(huì)話首報(bào)文����。需要說(shuō)明的是,第二標(biāo)識(shí)處理單元也可以不做還原處理�,因?yàn)楹芏鄻I(yè)務(wù)服務(wù)器在IP層處理完成之后,會(huì)將修改后的IP報(bào)頭剝離掉�,而在m)P層面則會(huì)直接根據(jù)UDP長(zhǎng)度信息來(lái)獲取頭部后面的數(shù)據(jù),因此添加的用戶標(biāo)識(shí)對(duì)很多業(yè)務(wù)服務(wù)器的業(yè)務(wù)處理并沒(méi)有影響�。同樣的道理,對(duì)于TCP報(bào)文來(lái)說(shuō)不還原在很多情況下也可以被業(yè)務(wù)服務(wù)器所接受���。是否需要還原業(yè)務(wù)報(bào)文取決于開(kāi)發(fā)者如何看待處理效率和可靠性之間的平衡����。當(dāng)需要更高處理效率時(shí),則不需要還原業(yè)務(wù)報(bào)文����,減少核心設(shè)備處理壓力�。當(dāng)開(kāi)發(fā)者更為擔(dān)心報(bào)文不還原可能引發(fā)處理出錯(cuò)時(shí),則需要還原業(yè)務(wù)報(bào)文����,提高可靠性。本發(fā)明通過(guò)在IP報(bào)文的載荷中添加用戶身份標(biāo)識(shí)�,能夠在不影響用戶業(yè)務(wù)報(bào)文在網(wǎng)絡(luò)中傳輸?shù)那闆r下,準(zhǔn)確有效地協(xié)助后端的核心設(shè)備識(shí)別出用戶身份�,為各種基于用戶身份的應(yīng)用提供了良好的技術(shù)基礎(chǔ)。以上所述僅為本發(fā)明的較佳實(shí)施例而已���,并不用以限制本發(fā)明����,凡在本發(fā)明的精神和原則之內(nèi)���,所做 的任何修改�、等同替換、改進(jìn)等�,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。
權(quán)利要求
1.一種用戶身份處理裝置�����,其應(yīng)用在接入設(shè)備上���,該裝置包括第一報(bào)文轉(zhuǎn)發(fā)單元����、第一會(huì)話處理單元以及第一標(biāo)識(shí)處理單元�,其特征在于 第一會(huì)話處理單元,用于從接收到的用戶業(yè)務(wù)報(bào)文中獲取該用戶業(yè)務(wù)報(bào)文的會(huì)話特征��;并根據(jù)該會(huì)話特征查找會(huì)話表����,如果沒(méi)有查找到,則將該會(huì)話特征添加到會(huì)話表中并轉(zhuǎn)第一標(biāo)識(shí)處理單元處理�����; 第一標(biāo)識(shí)處理單元�����,用于修改該用戶業(yè)務(wù)報(bào)文,向該用戶業(yè)務(wù)報(bào)文的IP層載荷中添加用戶身份標(biāo)識(shí)�����; 第一報(bào)文轉(zhuǎn)發(fā)單元�����,用于將修改后的用戶業(yè)務(wù)報(bào)文轉(zhuǎn)發(fā)出去����。
2.如權(quán)利要求1所述的裝置��,其特征在于�,當(dāng)所述IP層載荷包括TCP報(bào)文時(shí),第一標(biāo)識(shí)處理單元進(jìn)一步用于將所述用戶身份標(biāo)識(shí)添加到TCP報(bào)文頭部的Option字段中���。
3.如權(quán)利要求1所述的裝置���,其特征在于,當(dāng)所述IP層載荷包括UDP報(bào)文時(shí)���,第一標(biāo)識(shí)處理單元進(jìn)一步用于將所述用戶身份標(biāo)識(shí)添加到UDP報(bào)文載荷的尾部���。
4.如權(quán)利要求3所述的裝置��,其特征在于�����,所述第一標(biāo)識(shí)處理單元����,進(jìn)一步用于修改IP報(bào)文頭部的長(zhǎng)度信息�。
5.如權(quán)利要求1所述的裝置,其特征在于����,所述會(huì)話特征為用戶業(yè)務(wù)報(bào)文的五元組。
6.一種用戶身份識(shí)別裝置����,其應(yīng)用在核心設(shè)備上,該裝置包括該裝置包括第二報(bào)文轉(zhuǎn)發(fā)單元以及第二會(huì)話處理單元��,其特征在于 第二會(huì)話處理單元,用于從接收到用戶業(yè)務(wù)報(bào)文中獲取該用戶業(yè)務(wù)報(bào)文的會(huì)話特征�;并根據(jù)該會(huì)話特征查找會(huì)話表,如果沒(méi)有查找到��,則將該會(huì)話特征以及該用戶業(yè)務(wù)報(bào)文IP層載荷中攜帶的用戶身份標(biāo)識(shí)對(duì)應(yīng)添加到會(huì)話表中以建立會(huì)話特征與用戶身份標(biāo)識(shí)的對(duì)應(yīng)關(guān)系��; 第二報(bào)文轉(zhuǎn)發(fā)單元��,用于將用戶業(yè)務(wù)報(bào)文轉(zhuǎn)發(fā)出去��。
7.如權(quán)利要求6所述的裝置�,其特征在于,還包括第二標(biāo)識(shí)處理單元��,用于在將報(bào)文轉(zhuǎn)發(fā)出去之前還原該用戶業(yè)務(wù)報(bào)文���,將該用戶業(yè)務(wù)報(bào)文的IP層載荷中攜帶用戶身份標(biāo)識(shí)清除。
8.如權(quán)利要求7所述的裝置���,其特征在于����,當(dāng)所述IP層載荷包括TCP報(bào)文時(shí)����,第二標(biāo)識(shí)處理單元進(jìn)一步用于將所述TCP報(bào)文頭部的Option字段中的用戶身份標(biāo)識(shí)清除�。
9.如權(quán)利要求7所述的裝置���,其特征在于�����,當(dāng)所述IP層載荷包括UDP報(bào)文時(shí)��,第二標(biāo)識(shí)處理單元進(jìn)一步用于將所述UDP報(bào)文載荷尾部的用戶身份標(biāo)識(shí)清除�。
10.如權(quán)利要求9所述的裝置�����,其特征在于����,所述第二標(biāo)識(shí)處理單元,進(jìn)一步用于修改IP報(bào)文頭部的長(zhǎng)度信息����。
11.如權(quán)利要求6所述的裝置,其特征在于��,所述會(huì)話特征為用戶業(yè)務(wù)報(bào)文的五元組。
12.如權(quán)利要求6所述的裝置��,其特征在于���,還包括審計(jì)處理單元����,用于將包括用戶身份標(biāo)識(shí)的審計(jì)信息發(fā)送給審計(jì)服務(wù)器���。
全文摘要
本發(fā)明提供一種用戶身份處理裝置����,其應(yīng)用在接入設(shè)備上�����,該裝置包括第一會(huì)話處理單元�,用于從接收到的用戶業(yè)務(wù)報(bào)文中獲取該用戶業(yè)務(wù)報(bào)文的會(huì)話特征并查找會(huì)話表,若沒(méi)有命中�����,則將該會(huì)話特征添加到會(huì)話表�����;第一標(biāo)識(shí)處理單元����,用于修改該用戶業(yè)務(wù)報(bào)文,向該用戶業(yè)務(wù)報(bào)文的IP層載荷中添加用戶身份標(biāo)識(shí)���;第一報(bào)文轉(zhuǎn)發(fā)單元�,用于將修改后的用戶業(yè)務(wù)報(bào)文轉(zhuǎn)發(fā)出去�����。本發(fā)明還提供一種應(yīng)用在核心設(shè)備上用戶身份識(shí)別裝置用于與該身份處理裝置配合��。本發(fā)明通過(guò)簡(jiǎn)單有效的方式巧妙利用會(huì)話處理機(jī)制將用戶身份標(biāo)識(shí)攜帶在通常不會(huì)被更改的位置上傳遞到網(wǎng)絡(luò)的遠(yuǎn)端����,使得用戶身份的識(shí)別變得更加簡(jiǎn)單可靠。
文檔編號(hào)H04L12/70GK103036875SQ201210517179
公開(kāi)日2013年4月10日 申請(qǐng)日期2012年12月4日 優(yōu)先權(quán)日2012年12月4日
發(fā)明者代鑫 申請(qǐng)人:杭州迪普科技有限公司