專利名稱：網(wǎng)絡(luò)地址轉(zhuǎn)換中私網(wǎng)用戶訪問資源分配方法
技術(shù)領(lǐng)域：
本發(fā)明涉及NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)，尤其涉及網(wǎng)絡(luò)地址轉(zhuǎn)換中私網(wǎng)用戶訪問資源分配方法。
現(xiàn)有技術(shù)的解決方法是在NAT設(shè)備前加專用的防火墻設(shè)備，由防火墻設(shè)備提供通用的保護措施，而設(shè)置專有防火墻設(shè)備增加了網(wǎng)絡(luò)設(shè)備管理的復雜度，同時增加了成本。其實現(xiàn)安全保護的方法主要是網(wǎng)絡(luò)層數(shù)據(jù)包過濾，進行在網(wǎng)絡(luò)協(xié)議第三層，它是對TCP/IP(互聯(lián)網(wǎng)協(xié)議)數(shù)據(jù)包的目的IP地址、目的端口號、源IP地址、源端口號、協(xié)議號等內(nèi)容通過預(yù)先設(shè)定的規(guī)則進行過濾，將不滿足條件的報文丟棄，該方法由于不能區(qū)分具體的應(yīng)用，導致安全性較差。
為達到上述目的，本發(fā)明采用的技術(shù)方案是一種網(wǎng)絡(luò)地址轉(zhuǎn)換中私網(wǎng)用戶訪問資源分配方法，首先設(shè)定私網(wǎng)用戶在線的訪問外部網(wǎng)絡(luò)會話數(shù)量的最大值，當私網(wǎng)用戶發(fā)起訪問外部網(wǎng)絡(luò)會話時，執(zhí)行包括以下步驟的操作(1)、判斷該會話是否存在有效的在線網(wǎng)絡(luò)地址轉(zhuǎn)換記錄，如果有，轉(zhuǎn)步驟(5)；如果無，繼續(xù)步驟(2)；(2)、判斷該用戶訪問外部網(wǎng)絡(luò)會話數(shù)量是否超過最大值，如果是，丟棄該用戶報文，如果否，繼續(xù)步驟(3)；(3)、執(zhí)行地址轉(zhuǎn)換處理；(4)、執(zhí)行包括修改相應(yīng)會話數(shù)量記錄的操作；(5)、按地址轉(zhuǎn)換轉(zhuǎn)發(fā)報文。
由于采用以上技術(shù)方案，當用戶訪問外部網(wǎng)絡(luò)會話數(shù)量超過最大值時，用戶報文被丟棄，防止了公網(wǎng)地址的非法占用。
圖2是本發(fā)明具體實施方式
中統(tǒng)計表查找流程圖；圖3是本發(fā)明具體實施方式
中統(tǒng)計表處理過程示圖。


圖1所示為本發(fā)明方法的總體流程，首先設(shè)定私網(wǎng)用戶在線的訪問外部網(wǎng)絡(luò)會話數(shù)量的最大值，當私網(wǎng)用戶發(fā)起訪問外部網(wǎng)絡(luò)會話時，執(zhí)行包括以下步驟的操作A、判斷該會話是否存在有效的在線網(wǎng)絡(luò)地址轉(zhuǎn)換記錄，如果有，轉(zhuǎn)步驟E；如果無，繼續(xù)步驟B；B、判斷該用戶訪問外部網(wǎng)絡(luò)會話數(shù)量是否超過最大值，如果是，丟棄該用戶報文，如果否，繼續(xù)步驟C；C、執(zhí)行地址轉(zhuǎn)換處理；D、執(zhí)行包括修改相應(yīng)會話數(shù)量記錄的操作；E、按地址轉(zhuǎn)換轉(zhuǎn)發(fā)報文。
作為本發(fā)明方法的進一步改進，參照圖2、圖3，可另外設(shè)定私網(wǎng)用戶在線的訪問外部網(wǎng)絡(luò)會話數(shù)量的最小值，設(shè)置用于記錄私網(wǎng)用戶發(fā)起訪問外部網(wǎng)絡(luò)會話信息的統(tǒng)計表，該統(tǒng)計表可以發(fā)起訪問外部網(wǎng)絡(luò)會話的源IP地址為索引，統(tǒng)計表的表項包括以下記錄1)用于標識該統(tǒng)計表項是否處于使用狀態(tài)的標志U；具體實施中，標志U可采用布爾變量，U＝1時，表示該表項正在使用，U＝0時，表示該表項沒有使用。
2)用于標識該用戶在線會話數(shù)量是超過最大值還是低于最小值的標志Count；具體實施中，標志Count可采用布爾變量，Count＝1時，表示該IP地址發(fā)起訪問外部網(wǎng)絡(luò)會話的數(shù)量超出最大值，Count＝0時，表示該IP地址發(fā)起訪問外部網(wǎng)絡(luò)會話的數(shù)量低于最小值。
3)當前該用戶在線會話數(shù)量M；創(chuàng)建表項時，M初始值為1。
4)該用戶單位時間發(fā)起新會話數(shù)量允許值N；5)該用戶當前單位時間允許發(fā)起新會話剩余計數(shù)器n；具體實施中，計數(shù)器n可在每個單位時間起始時拷貝允許值N的值，每當從IP地址發(fā)起訪問外部網(wǎng)絡(luò)新會話時n值減1，遞減到0后，再發(fā)起的訪問外部網(wǎng)絡(luò)新會話為非法會話。
6)用于標識該用戶當前單位時間是否發(fā)起超過允許值N的新會話請求的標志I；具體實施中，標志I可以是n值遞減到0后非法會話計數(shù)器，在每個單位時間初始值為0。
在所述步驟B前執(zhí)行下屬步驟A1、查找相應(yīng)用戶的統(tǒng)計表項；A2、判斷查表是否命中，如果否，轉(zhuǎn)步驟C，如果是，繼續(xù)；A3、通過U判斷，如不處于使用狀態(tài)，轉(zhuǎn)步驟C，如處于使用狀態(tài)，繼續(xù)；A4、通過n判斷當前單位時間是否可以發(fā)起新會話，如果是，相應(yīng)修改計數(shù)器n的值后轉(zhuǎn)步驟B；如果否，繼續(xù)；A5、相應(yīng)修改標志I的值后將報文丟棄。
所述步驟D的執(zhí)行內(nèi)容有D1、查找相應(yīng)用戶的統(tǒng)計表項；D2、判斷查表是否命中，如果否，轉(zhuǎn)步驟D6，如果是，繼續(xù)；D3、通過U判斷，如不處于使用狀態(tài)，對統(tǒng)計表項作恢復初始狀態(tài)數(shù)據(jù)的操作后轉(zhuǎn)步驟E，如處于使用狀態(tài)，繼續(xù)；D4、給當前該用戶會話數(shù)量M一個增加值；D5、判斷M是否超過最大值，如果是，相應(yīng)設(shè)置標志Count后轉(zhuǎn)步驟E；如果否，轉(zhuǎn)步驟E；D6、執(zhí)行加入該用戶統(tǒng)計表項的操作；且在每次所述單位時間超時后執(zhí)行包括對計數(shù)器n依據(jù)允許值N重新賦值的操作F；在標準網(wǎng)絡(luò)地址轉(zhuǎn)換程序?qū)κмD(zhuǎn)換關(guān)系作老化處理時對相應(yīng)的統(tǒng)計表項執(zhí)行老化操作。計數(shù)器n的設(shè)置起到了對用戶發(fā)起會話速率的限制，有效防止惡意用戶以反復發(fā)起并取消會話的方式逃避會話數(shù)量最大值的限制而達到占用公有地址池資源的目的。
對于上述改進方法，還可設(shè)置用于存儲用戶配置信息的配置表，該配置表中對各特殊要求的用戶單獨記錄會話數(shù)量最大值和最小值以及單位時間發(fā)起新會話數(shù)量允許值N，對非特殊要求用戶將上述參數(shù)配置為默認值，所述步驟D6的操作包括D61、通過查配置表的結(jié)果判斷用戶是否為特殊要求用戶，如果是，按配置表中的配置信息設(shè)置相應(yīng)參數(shù)；如果否，按配置表中的默認值設(shè)置相應(yīng)參數(shù)。
在具體實施中，所述對計數(shù)器n依據(jù)允許值N重新賦值的操作F可包括下述步驟F1、讀取統(tǒng)計表項；F2、如果U表示不處于使用狀態(tài)或會話數(shù)量M為0，轉(zhuǎn)步驟F6；否則，繼續(xù)步驟F3；F3、通過I判斷是否有超限額會話請求，如果有，執(zhí)行步驟F5；如果無，執(zhí)行步驟F4；F4、以緩慢遞增方式對N重新賦值后轉(zhuǎn)步驟F7；F5、以快速遞減方式對N重新賦值后轉(zhuǎn)步驟F7；F6、刪除該表項；F7、查下一表項；F8、如果到達表尾，結(jié)束；否則，返回步驟F1。
所謂以緩慢遞增方式對N重新賦值可以是諸如N＝N+1的函數(shù)運算；所謂以快速遞減方式對N重新賦值可以是諸如N＝N/2的函數(shù)運算；經(jīng)過以上步驟后，再對計數(shù)器n依據(jù)N重新賦值，則起到根據(jù)本單位時間發(fā)起新會話速率影響下一個單位時間速率權(quán)限，更好地防止惡意用戶的發(fā)起會話請求，并保證在異常情況消失后，恢復發(fā)起會話權(quán)限。
另外，在標準NAT處理中，為防止失效的轉(zhuǎn)換關(guān)系占用轉(zhuǎn)換關(guān)系表而設(shè)有老化處理，針對上述改進方法，轉(zhuǎn)換關(guān)系老化處理可包括下述步驟
G1、讀取地址轉(zhuǎn)換關(guān)系表項；G2、如果該表項不需要老化，轉(zhuǎn)步驟G12；否則，繼續(xù)步驟G3；G3、查找相應(yīng)用戶的統(tǒng)計表項；G4、判斷查表是否命中，如果否，轉(zhuǎn)步驟G11，如果是，繼續(xù)步驟G5；G5、通過U判斷，如不處于使用狀態(tài)，轉(zhuǎn)步驟G11，如處于使用狀態(tài)，繼續(xù)步驟G6；G6、將該用戶會話數(shù)量M減1；G7、判斷M是否小于最小值，如果否，轉(zhuǎn)步驟G11，如果是，繼續(xù)步驟G8；G8、相應(yīng)設(shè)置Count標識；例如令Count＝0，表示該IP地址發(fā)起訪問外部網(wǎng)絡(luò)會話的數(shù)量低于最小值。
G9、判斷M是否為0，如果否，轉(zhuǎn)步驟G11，如果是，繼續(xù)步驟G10；G10、將U標識為非使用狀態(tài)；G11、刪除該地址轉(zhuǎn)換關(guān)系表項；G12、查下一地址轉(zhuǎn)換關(guān)系表項；G13、如果到達地址轉(zhuǎn)換關(guān)系表尾，結(jié)束；否則，返回步驟G1。
權(quán)利要求
1.一種網(wǎng)絡(luò)地址轉(zhuǎn)換中私網(wǎng)用戶訪問資源分配方法，其特征在于首先設(shè)定私網(wǎng)用戶在線的訪問外部網(wǎng)絡(luò)會話數(shù)量的最大值，當私網(wǎng)用戶發(fā)起訪問外部網(wǎng)絡(luò)會話時，執(zhí)行包括以下步驟的操作(1)、判斷該會話是否存在有效的在線網(wǎng)絡(luò)地址轉(zhuǎn)換記錄，如果有，轉(zhuǎn)步驟(5)；如果無，繼續(xù)步驟(2)；(2)、判斷該用戶訪問外部網(wǎng)絡(luò)會話數(shù)量是否超過最大值，如果是，丟棄該用戶報文，如果否，繼續(xù)步驟(3)；(3)、執(zhí)行地址轉(zhuǎn)換處理；(4)、執(zhí)行包括修改相應(yīng)會話數(shù)量記錄的操作；(5)、按地址轉(zhuǎn)換轉(zhuǎn)發(fā)報文。
2.如權(quán)利要求1所述的網(wǎng)絡(luò)地址轉(zhuǎn)換中私網(wǎng)用戶訪問資源分配方法，其特征在于設(shè)定私網(wǎng)用戶在線的訪問外部網(wǎng)絡(luò)會話數(shù)量的最小值，設(shè)置用于記錄私網(wǎng)用戶發(fā)起訪問外部網(wǎng)絡(luò)會話信息的統(tǒng)計表，統(tǒng)計表的表項包括以下記錄1)用于標識該統(tǒng)計表項是否處于使用狀態(tài)的標志U；2)用于標識該用戶在線會話數(shù)量是超過最大值還是低于最小值的標志Count；3)當前該用戶在線會話數(shù)量M；4)該用戶單位時間發(fā)起新會話數(shù)量允許值N；5)該用戶當前單位時間允許發(fā)起新會話剩余計數(shù)器n；6)用于標識該用戶當前單位時間是否發(fā)起超過允許值N的新會話請求的標志I；在所述步驟(2)前執(zhí)行下屬步驟(11)、查找相應(yīng)用戶的統(tǒng)計表項；(12)、判斷查表是否命中，如果否，轉(zhuǎn)步驟(3)，如果是，繼續(xù)；(13)、通過U判斷，如不處于使用狀態(tài)，轉(zhuǎn)步驟(3)，如處于使用狀態(tài)，繼續(xù)；(14)、通過n判斷當前單位時間是否可以發(fā)起新會話，如果是，相應(yīng)修改計數(shù)器n的值后轉(zhuǎn)步驟(2)；如果否，繼續(xù)；(15)、相應(yīng)修改標志I的值后將報文丟棄；所述步驟(4)的執(zhí)行內(nèi)容有(41)、查找相應(yīng)用戶的統(tǒng)計表項；(42)、判斷查表是否命中，如果否，轉(zhuǎn)步驟(46)，如果是，繼續(xù)；(43)、通過U判斷，如不處于使用狀態(tài)，對統(tǒng)計表項作恢復初始狀態(tài)數(shù)據(jù)的操作后轉(zhuǎn)步驟(5)，如處于使用狀態(tài)，繼續(xù)；(44)、給當前該用戶會話數(shù)量M一個增加值；(45)、判斷M是否超過最大值，如果是，相應(yīng)設(shè)置標志Cout后轉(zhuǎn)步驟(5)；如果否，轉(zhuǎn)步驟(5)；(46)、執(zhí)行加入該用戶統(tǒng)計表項的操作；且在每次所述單位時間超時后執(zhí)行包括對計數(shù)器n依據(jù)允許值N重新賦值的操作(6)；在標準網(wǎng)絡(luò)地址轉(zhuǎn)換程序?qū)κмD(zhuǎn)換關(guān)系作老化處理時對相應(yīng)的統(tǒng)計表項執(zhí)行老化操作。
3.如權(quán)利要求2所述的網(wǎng)絡(luò)地址轉(zhuǎn)換中私網(wǎng)用戶訪問資源分配方法，其特征在于設(shè)置用于存儲用戶配置信息的配置表，該配置表中對各特殊要求的用戶單獨記錄會話數(shù)量最大值和最小值以及單位時間發(fā)起新會話數(shù)量允許值N，對非特殊要求用戶將上述參數(shù)配置為默認值，所述步驟(46)的操作包括(461)、通過查配置表的結(jié)果判斷用戶是否為特殊要求用戶，如果是，按配置表中的配置信息設(shè)置相應(yīng)參數(shù)；如果否，按配置表中的默認值設(shè)置相應(yīng)參數(shù)。
4.如權(quán)利要求2所述的網(wǎng)絡(luò)地址轉(zhuǎn)換中私網(wǎng)用戶訪問資源分配方法，其特征在于所述操作(6)包括下述步驟(61)、讀取統(tǒng)計表項；(62)、如果U表示不處于使用狀態(tài)或會話數(shù)量M為0，轉(zhuǎn)步驟(66)；否則，繼續(xù)步驟(63)；(63)、通過I判斷是否有超限額會話請求，如果有，執(zhí)行步驟(65；如果無，執(zhí)行步驟(64)；(64)、以緩慢遞增方式對N重新賦值后轉(zhuǎn)步驟(67)；(65)、以快速遞減方式對N重新賦值后轉(zhuǎn)步驟(67)；(66)、刪除該表項；(67)、查下一表項；(68)、如果到達表尾，結(jié)束；否則，返回步驟(61)。
5.如權(quán)利要求2所述的網(wǎng)絡(luò)地址轉(zhuǎn)換中私網(wǎng)用戶訪問資源分配方法，其特征在于所述轉(zhuǎn)換關(guān)系老化處理包括下述步驟(71)、讀取地址轉(zhuǎn)換關(guān)系表項；(72)、如果該表項不需要老化，轉(zhuǎn)步驟(712)；否則，繼續(xù)步驟(73)；(73)、查找相應(yīng)用戶的統(tǒng)計表項；(74)、判斷查表是否命中，如果否，轉(zhuǎn)步驟(711)，如果是，繼續(xù)步驟(75)；(75)、通過U判斷，如不處于使用狀態(tài)，轉(zhuǎn)步驟(711)，如處于使用狀態(tài)，繼續(xù)步驟(76)；(76)、將該用戶會話數(shù)量M減1；(77)、判斷M是否小于最小值，如果否，轉(zhuǎn)步驟(711)，如果是，繼續(xù)步驟(78)；(78)、相應(yīng)設(shè)置Count標識；(79)、判斷M是否為0，如果否，轉(zhuǎn)步驟(711)，如果是，繼續(xù)步驟(710)；(710)、將U標識為非使用狀態(tài)；(711)、刪除該地址轉(zhuǎn)換關(guān)系表項；(712)、查下一地址轉(zhuǎn)換關(guān)系表項；(713)、如果到達地址轉(zhuǎn)換關(guān)系表尾，結(jié)束；否則，返回步驟(71)。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)地址轉(zhuǎn)換中私網(wǎng)用戶訪問資源分配方法，首先設(shè)定私網(wǎng)用戶在線的訪問外部網(wǎng)絡(luò)會話數(shù)量的最大值，當私網(wǎng)用戶發(fā)起訪問外部網(wǎng)絡(luò)會話時，判斷該會話是否存在有效的在線網(wǎng)絡(luò)地址轉(zhuǎn)換記錄，如果有，按地址轉(zhuǎn)換轉(zhuǎn)發(fā)報文；如果無，繼續(xù)判斷該用戶訪問外部網(wǎng)絡(luò)會話數(shù)量是否超過最大值，如果是，丟棄該用戶報文，如果否，繼續(xù)執(zhí)行地址轉(zhuǎn)換處理并執(zhí)行包括修改相應(yīng)會話數(shù)量記錄的操作，后按地址轉(zhuǎn)換轉(zhuǎn)發(fā)報文，防止了公網(wǎng)地址的非法占用。
文檔編號G06F9/44GK1463121SQ0212100
公開日2003年12月24日 申請日期2002年5月29日 優(yōu)先權(quán)日2002年5月29日
發(fā)明者呂民 申請人:華為技術(shù)有限公司