專利名稱::一種穿越nat下發(fā)策略的方法和一種通信裝置的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及通信
技術(shù)領(lǐng)域:
,尤其是涉及一種穿越NAT下發(fā)策略的方法和一種通信裝置。
背景技術(shù):
:目前,以信息技術(shù)為基礎(chǔ)構(gòu)建的應(yīng)用系統(tǒng)在各個(gè)領(lǐng)域、企業(yè)正在被廣泛應(yīng)用,而安全認(rèn)證和策略管理是保證這些應(yīng)用系統(tǒng)能夠正常運(yùn)轉(zhuǎn)的重要基礎(chǔ)。如圖l所示,是目前一種典型的在企業(yè)內(nèi)部部署認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖。在該系統(tǒng)中,服務(wù)器承擔(dān)著身份認(rèn)證以及策略的管理和下發(fā)等工作。首先,用戶通過終端登錄服務(wù)器,在通過用戶身份認(rèn)證后,服務(wù)器根據(jù)該用戶的屬性直接向接入設(shè)備下發(fā)相應(yīng)的安全策略,接入設(shè)備根據(jù)安全策略對用戶端口執(zhí)行相關(guān)的安全服務(wù)操作。服務(wù)器通過與設(shè)備(路由器、交換機(jī)等)的聯(lián)動(dòng),可以完成對用戶接入終端進(jìn)行檢查、隔離、修復(fù)、管理和監(jiān)控等操作,使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、變分散管理為集中策略管理,提升了網(wǎng)絡(luò)對網(wǎng)絡(luò)安全威脅的整體防御能力。在圖1示出的部署模式中,服務(wù)器和用戶終端均位于企業(yè)局域網(wǎng)內(nèi),但隨著應(yīng)用的逐漸廣泛和深入,越來越需要服務(wù)器能夠提供遠(yuǎn)程的安全認(rèn)證和策略管理,而不是^l局限于局域網(wǎng)內(nèi)部。如圖2所示,是一種跨越公網(wǎng)的安全策略部署模式的系統(tǒng)架構(gòu)圖,在該模式下,企業(yè)網(wǎng)內(nèi)部的用戶通過Internet與遠(yuǎn)端的服務(wù)器進(jìn)行通信完成安全認(rèn)證。由于企業(yè)內(nèi)通常使用私網(wǎng)地址,為實(shí)現(xiàn)與公網(wǎng)的通信,需在內(nèi)網(wǎng)出口設(shè)備(如,出口路由器)上啟動(dòng)NAT(NetworkAddressTranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換)功能。NAT是一個(gè)IETF標(biāo)準(zhǔn),該標(biāo)準(zhǔn)允許一個(gè)機(jī)構(gòu)以一個(gè)地址出現(xiàn)在Internet上。當(dāng)局域網(wǎng)內(nèi)的節(jié)點(diǎn)訪問外部資源時(shí),NAT將數(shù)據(jù)包中與該節(jié)點(diǎn)相應(yīng)的內(nèi)網(wǎng)IP地址轉(zhuǎn)換成該機(jī)構(gòu)對外統(tǒng)一的IP地址,反之亦然。這樣一來,可將內(nèi)網(wǎng)IP地址隱藏起來不被外界發(fā)現(xiàn),使外界無法直接訪問網(wǎng)絡(luò)設(shè)備。下面,我們用一個(gè)例子介紹一下NAT實(shí)現(xiàn)的基本原理sl,內(nèi)網(wǎng)節(jié)點(diǎn)將IP數(shù)據(jù)包發(fā)送至NAT設(shè)備,該數(shù)據(jù)包中包括源IP地址、源端口、目的IP地址、目的端口,其中源IP為該節(jié)點(diǎn)在內(nèi)網(wǎng)的IP地址,目的IP地址和目的端口為需要訪問的外網(wǎng)設(shè)備的IP和端口;s2,NAT為該數(shù)據(jù)包分配新的端口號(hào)以替換數(shù)據(jù)包中的源端口,用NAT的IP地址替換該數(shù)據(jù)包中的源IP地址,同時(shí),NAT設(shè)備將節(jié)點(diǎn)在內(nèi)網(wǎng)中的IP地址、端口與外網(wǎng)設(shè)備IP地址、端口的映射關(guān)系保存在映射表當(dāng)中。之后,根據(jù)目的端IP地址重新發(fā)送替換后的數(shù)據(jù)包;s3,當(dāng)NAT收到外部設(shè)備返回的數(shù)據(jù)包后,根據(jù)映射表將數(shù)據(jù)包中目的IP地址(即NAT的IP地址)和端口替換為所述節(jié)點(diǎn)在內(nèi)網(wǎng)中的IP地址和端口,之后,將該數(shù)據(jù)包發(fā)送至該內(nèi)網(wǎng)節(jié)點(diǎn)。通過上述描述可知,外部設(shè)備之所以能夠穿越NAT訪問內(nèi)網(wǎng)的節(jié)點(diǎn),是因?yàn)镹AT能夠按照存儲(chǔ)的映射表轉(zhuǎn)換數(shù)據(jù)包中的IP地址和端口。但是,目前應(yīng)用的NAT設(shè)備,通常會(huì)定期更新映射表,清除過期的映射關(guān)系,以避免造成過多的資源消耗、影響NAT轉(zhuǎn)換效率、降低設(shè)備的性能。在圖2所示的部署模式中,服務(wù)器往往也需要訪問內(nèi)部網(wǎng)絡(luò),以便主動(dòng)下發(fā)相應(yīng)的策略,例如定期向內(nèi)網(wǎng)中的節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包以判斷其是否在線。但是,由于NAT設(shè)備動(dòng)態(tài)刷新映射表的機(jī)制,若在映射關(guān)系被清除后收到服務(wù)器的請求,則會(huì)由于無法找到相應(yīng)的映射關(guān)系而拒絕該請求,導(dǎo)致-沐問失敗。
發(fā)明內(nèi)容本發(fā)明的目的是提供一種穿越NAT下發(fā)策略的方法和一種通信裝置,以解決現(xiàn)有技術(shù)中由于NAT動(dòng)態(tài)更新映射表導(dǎo)致服務(wù)器無^為解決上述問題,本發(fā)明公開了一種穿越網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備下發(fā)策略的方法,所述方法包括節(jié)點(diǎn)按預(yù)置周期向服務(wù)器發(fā)送第一心跳報(bào)文,所述預(yù)置周期小于NAT更新周期;NAT接收所述第一心跳報(bào)文,根據(jù)該第一心跳報(bào)文建立所述節(jié)點(diǎn)與服務(wù)器的映射表;NAT按預(yù)定規(guī)則生成第二心跳報(bào)文;NAT將第二心跳報(bào)文轉(zhuǎn)發(fā)至對應(yīng)的服務(wù)器;服務(wù)器生成與所述第二心跳報(bào)文相應(yīng)的策略信息;服務(wù)器向所述節(jié)點(diǎn)發(fā)送策略信息;若NAT收到所述策略信息,則按照存儲(chǔ)的述映射表將該策略信息轉(zhuǎn)發(fā)至相應(yīng)的節(jié)點(diǎn)。其中,所述節(jié)點(diǎn)為接入設(shè)備或終端。其中,所述第一心跳報(bào)文中包括與所述節(jié)點(diǎn)相應(yīng)的第一地址標(biāo)識(shí),所述第二心跳報(bào)文中包括經(jīng)NAT按預(yù)定規(guī)則轉(zhuǎn)換的第二地址標(biāo)識(shí),所述影射表中存儲(chǔ)第一地址標(biāo)識(shí)和第二地址標(biāo)識(shí)的影射關(guān)系。優(yōu)選的,服務(wù)器生成與所述第二心跳報(bào)文相應(yīng)的策略信息之前還包括服務(wù)器保護(hù)現(xiàn)場;所述服務(wù)器向節(jié)點(diǎn)發(fā)送策略信息之后還包括服務(wù)器恢復(fù)現(xiàn)場。優(yōu)選的,所述方法還包括服務(wù)器向接入設(shè)備發(fā)送終端狀態(tài)查詢請求;接入設(shè)備獲取所述終端狀態(tài)信息,以及將該終端狀態(tài)信息返回至所述服務(wù)器;服務(wù)器生成與所述終端狀態(tài)信息相應(yīng)的策略信息。優(yōu)選的,所述方法還包括若服務(wù)器在指定期限內(nèi)能夠收到第二心跳報(bào)文,則按一定規(guī)則多次下發(fā)策略。優(yōu)選的,所述節(jié)點(diǎn)按預(yù)置周期向服務(wù)器發(fā)送第一心跳報(bào)文之前還包括終端向服務(wù)器發(fā)送認(rèn)證請求信息,若認(rèn)證通過,執(zhí)行后續(xù)步驟。本發(fā)明還公開了一種通信裝置,所述裝置包括存儲(chǔ)單元,用于存儲(chǔ)報(bào)文發(fā)送周期,該報(bào)文發(fā)送周期小于所述裝置對應(yīng)的NAT的映射表更新周期;心跳報(bào)文獲取單元,用于獲取第一心跳報(bào)文;報(bào)文發(fā)送單元,用于按存儲(chǔ)單元中的報(bào)文發(fā)送周期發(fā)送心跳報(bào)文獲取單元所獲取的第一心跳報(bào)文;策略通信單元,用于接收和/或發(fā)送策略信息。優(yōu)選的,所述裝置還包括查詢響應(yīng)單元,用于^^收狀態(tài)查詢請求;狀態(tài)信息獲取單元,用于獲取狀態(tài)信息;狀態(tài)信息發(fā)送單元,用于發(fā)送狀態(tài)信息獲取單元所獲取的狀態(tài)信息。本發(fā)明還公開了另一種通信裝置,所述裝置包括心跳報(bào)文獲取單元,用于獲取第二心跳報(bào)文;策略生成單元,用于生成與所述心跳報(bào)文獲取單元所獲取的第二心跳報(bào)文相應(yīng)的策略信息;策略發(fā)送單元,用于發(fā)送所述策略生成單元所生成的策略信息。優(yōu)選的,所述裝置還包括現(xiàn)場處理單元,用于保護(hù)或恢復(fù)現(xiàn)場。優(yōu)選的,所述裝置還包括狀態(tài)信息獲取單元,用于獲取狀態(tài)信息;所述策略生成單元還包括第二策略生成單元,用于根據(jù)狀態(tài)信息獲取單元所獲取的狀態(tài)信息生成相應(yīng)的策略信息。優(yōu)選的,所述裝置還包括認(rèn)證請求接收單元,用于接收認(rèn)證請求;認(rèn)證驗(yàn)證單元,用于驗(yàn)證認(rèn)證請求接收單元所接收的認(rèn)證請求是否合法;認(rèn)證與現(xiàn)有技術(shù)相比,本發(fā)明的上述一方案具有以下效果現(xiàn)有技術(shù)中由于NAT動(dòng)態(tài)更新映射表,造成服務(wù)器無法將策略信息發(fā)送至相應(yīng)的節(jié)點(diǎn),本發(fā)明提出由節(jié)點(diǎn)定期向服務(wù)器發(fā)送心跳報(bào)文;NAT根據(jù)該心跳報(bào)文建立節(jié)點(diǎn)與服務(wù)器的映射表;若NAT收到服務(wù)器下發(fā)的策略信息,則按照存儲(chǔ)的映射表將所述策略信息轉(zhuǎn)發(fā)至相應(yīng)的節(jié)點(diǎn)。這樣一來,使得服務(wù)器能夠主動(dòng)將策略信息發(fā)送至節(jié)點(diǎn),很好地解決了現(xiàn)有技術(shù)存在的上述問題。圖1現(xiàn)有技術(shù)中認(rèn)證系統(tǒng)部署結(jié)構(gòu)示意圖;圖2是一種跨越公網(wǎng)的安全策略部署模式的系統(tǒng)架構(gòu)圖;圖3是本發(fā)明所述方法的一實(shí)施例的步驟流程圖;圖4是現(xiàn)有技術(shù)中用戶終端上線的步驟流程圖;圖5是本發(fā)明所述方法的應(yīng)用實(shí)施例的步驟流程圖;圖6是本發(fā)明所述通信裝置的一實(shí)施例的結(jié)構(gòu)框圖;圖7是本發(fā)明另一種通信裝置的結(jié)構(gòu)框圖。具體實(shí)施方式為克服現(xiàn)有技術(shù)中由于NAT動(dòng)態(tài)更新映射表,造成服務(wù)器無法主動(dòng)下發(fā)策略的問題,本發(fā)明提出由節(jié)點(diǎn)定期向服務(wù)器發(fā)送心跳報(bào)文;NAT根據(jù)該心跳報(bào)文建立節(jié)點(diǎn)與服務(wù)器的映射表;若NAT收到服務(wù)器下發(fā)的策略信息,則按照存儲(chǔ)的映射表將所述策略信息轉(zhuǎn)發(fā)至相應(yīng)的節(jié)點(diǎn)。這樣一來,使得服務(wù)器能夠主動(dòng)將策略信息發(fā)送至節(jié)點(diǎn),很好地解決了現(xiàn)有技術(shù)存在的上述問題。概括而言,本發(fā)明所述方法包括以下步驟sl,節(jié)點(diǎn)按預(yù)置周期向服務(wù)器發(fā)送第一心跳報(bào)文,所述預(yù)置周期小于NAT更新周期;s2,NAT接收所述第一心跳報(bào)文,根據(jù)該第一心跳報(bào)文建立所述節(jié)點(diǎn)與服務(wù)器的映射表。s3,NAT按預(yù)定規(guī)則生成第二心跳報(bào)文。s4,NAT將第二心跳報(bào)文轉(zhuǎn)發(fā)至對應(yīng)的服務(wù)器。s5,服務(wù)器生成與所述第二心跳報(bào)文相應(yīng)的策略信息。s6,服務(wù)器向所述節(jié)點(diǎn)發(fā)送策略信息。s7,若NAT收到所述策略信息,則按照存儲(chǔ)的述映射表將該策略信息轉(zhuǎn)發(fā)至相應(yīng)的節(jié)點(diǎn)。本發(fā)明中將節(jié)點(diǎn)發(fā)送的心跳報(bào)文稱為第一心跳報(bào)文。本發(fā)明對于如何設(shè)置發(fā)送第一心跳報(bào)文的預(yù)置周期不做限制,可在實(shí)施本發(fā)明時(shí)根據(jù)需要自行決定,例如按照時(shí)間設(shè)定,或者按照流量設(shè)定等,但無論采用何種方式,該預(yù)置周期的設(shè)置均應(yīng)小于NAT更新周期,即小于NAT動(dòng)態(tài)更新映射表的周期,以保證NAT始終能夠有效地轉(zhuǎn)發(fā)來自服務(wù)器的策略信息。所述第一心跳才艮文中至少應(yīng)包含源地址標(biāo)識(shí)和目的地址標(biāo)識(shí),例如,若以IP地址和端口作為地址標(biāo)識(shí),則所述源地址標(biāo)識(shí)和目的地址標(biāo)識(shí)分別對應(yīng)于該節(jié)點(diǎn)在內(nèi)網(wǎng)中的IP地址和端口,以及位于外網(wǎng)中服務(wù)器的IP和端口。NAT根據(jù)收到的第一心跳報(bào)文建立節(jié)點(diǎn)與服務(wù)器的映射表,其內(nèi)容示例如表1所不<table>tableseeoriginaldocumentpage10</column></row><table>表lNAT收到第一心跳報(bào)文后,利用自身的IP和端口替換報(bào)文中的源IP和端口,該替換后生成的心跳報(bào)文即本發(fā)明所述的第二心跳報(bào)文。上述表l中的源地址標(biāo)識(shí)既本發(fā)明所述的第一地址標(biāo)識(shí),NAT地址標(biāo)識(shí)即本發(fā)明所述的第二i也址標(biāo)識(shí)。優(yōu)選的,若服務(wù)器在指定期限內(nèi)均能收到所述第二心跳報(bào)文,則可按一定規(guī)則多次下發(fā)策略。服務(wù)器能夠收到第二心跳報(bào)文,則說明所述NAT上建立了有效的映射表,因此保證了策略信息能夠正確下發(fā)。所述向服務(wù)器發(fā)送心跳報(bào)文的節(jié)點(diǎn)既可以是內(nèi)網(wǎng)中的終端,也可以是接入設(shè)備等其它能夠與外部服務(wù)器進(jìn)行通信的設(shè)備若所述節(jié)點(diǎn)為終端,NAT建立該終端與服務(wù)器的映射表;若NAT收到服務(wù)器下發(fā)的策略信息,則按照該映射表將策略信息轉(zhuǎn)發(fā)至相應(yīng)的終端。優(yōu)選的,以接入設(shè)備作為發(fā)送第一心跳報(bào)文的節(jié)點(diǎn),NAT建立該接入設(shè)備與服務(wù)器的映射關(guān)系表。在這種情況下,服務(wù)器即可以將策略信息下發(fā)至接入設(shè)備,也可以將策略信息直接下發(fā)至終端。若需要將策略信息直接下發(fā)至終端,接入設(shè)備需要預(yù)置終端標(biāo)識(shí)和終端地址的映射關(guān)系,服務(wù)器下發(fā)的策略信息中還需要包括指定的終端標(biāo)識(shí),接入設(shè)備收到該策略信息后,根據(jù)該信息中的終端標(biāo)識(shí)將策略信息轉(zhuǎn)發(fā)至相應(yīng)的終端。目前,4姿入設(shè)備通常與內(nèi)網(wǎng)中的兩個(gè)或多個(gè)用戶終端相連,其作用主要表現(xiàn)為兩個(gè)方面1)流量控制。終端與外部的通信都須經(jīng)過接入設(shè)備,因此接入設(shè)備能夠?qū)?nèi)網(wǎng)對服務(wù)器的通信流量控制在一個(gè)合理的范圍內(nèi),避免服務(wù)器過載。2)策略控制。按照一定的規(guī)則對內(nèi)網(wǎng)中的終端實(shí)現(xiàn)策略控制,如對用戶終端進(jìn)行檢查、隔離、監(jiān)控等。在實(shí)際應(yīng)用中根據(jù)用戶采用的接入認(rèn)證技術(shù)不同,接入設(shè)備可具有不同的形態(tài),比如在PPPoE(Point-to-PointProtocolOverEthernet,基于以太網(wǎng)點(diǎn)對點(diǎn)傳輸協(xié)議)認(rèn)證方式下,接入設(shè)備指BRAS(BroadbandRemoteAccessServer,寬帶遠(yuǎn)程接入服務(wù)器)或BAS(BroadbandAccessServer,寬帶接入服務(wù)器)設(shè)備。通常寬帶接入服務(wù)器是路由器設(shè)備或?qū)S玫木哂新酚晒δ艿木W(wǎng)關(guān)設(shè)備。在802.1x認(rèn)證方式下,接入設(shè)備指支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備。通常為以太網(wǎng)交換機(jī)設(shè)備。在Web/Portal(網(wǎng)絡(luò)/門戶)認(rèn)證方式下,接入設(shè)備指協(xié)助完成Portal認(rèn)證過程的控制設(shè)備,可以是專用的網(wǎng)關(guān)設(shè)備,也可以是支持Portal認(rèn)證功能的路由器、交換機(jī)設(shè)備。另夕卜,在WLAN(WirelessLocalAreaNetwork,無線局域網(wǎng))應(yīng)用中,WLANController(無線控制器設(shè)備)也是一種接入設(shè)備。下面,參見圖3,以接入設(shè)備發(fā)送心跳報(bào)文為例對本發(fā)明所述方法的一個(gè)實(shí)施例進(jìn)行描述。步驟301,接入i殳備按預(yù)置周期向服務(wù)器發(fā)送第一心跳報(bào)文,所述預(yù)置周期小于NAT更新周期。步驟302,若NAT收到所迷第一心跳報(bào)文,執(zhí)行下面的步驟步驟3021,建立接入設(shè)備與服務(wù)器的映射表。步驟3022,按預(yù)定規(guī)則生成第二心跳報(bào)文。步驟3023,將第二心跳報(bào)文發(fā)送至對應(yīng)的服務(wù)器。步驟303,若服務(wù)器收到第二心跳報(bào)文,執(zhí)行3031。步驟3031,向所述接入設(shè)備返回終端狀態(tài)查詢請求,該查詢請求中包括指定的終端標(biāo)識(shí)。在實(shí)際應(yīng)用中,終端的狀態(tài)可表現(xiàn)為多種形式,例如,終端是否通信正常、終端上運(yùn)行的操作系統(tǒng)、軟件版本等。步驟304,接入設(shè)備獲取終端的當(dāng)前狀態(tài)信息,以及將該狀態(tài)信息發(fā)送至對應(yīng)的服務(wù)器。接入設(shè)備可通過多種方式收集終端的當(dāng)前狀態(tài)信息,例如發(fā)送檢測報(bào)文,根據(jù)是否在指定期限內(nèi)收到應(yīng)答來判斷終端是否故障。優(yōu)選的,接入設(shè)備通過向終端發(fā)送查詢寺艮文獲取終端的當(dāng)前狀態(tài),其具體過程如步驟3041和3042。步驟3041,接入設(shè)備向終端發(fā)送狀態(tài)查詢請求。步驟3042,終端向接入設(shè)備返回狀態(tài)信息。步驟305,服務(wù)器根據(jù)收到的終端當(dāng)前狀態(tài)信息生成相應(yīng)的策略信息。步驟306,服務(wù)器向接入設(shè)備發(fā)送所述策略信息。步驟307,若NAT收到所述策略信息,則執(zhí)行步驟308。步驟308,NAT按照存儲(chǔ)的述映射表將該策略信息轉(zhuǎn)發(fā)至對應(yīng)的接入設(shè)備。現(xiàn)有技術(shù)中,由于NAT動(dòng)態(tài)更新映射表,服務(wù)器無法主動(dòng)訪問內(nèi)網(wǎng)中的終端、獲知該終端的狀態(tài),也就無法對終端進(jìn)行監(jiān)控和維護(hù)。在上述實(shí)施例中,接入設(shè)備按預(yù)定周期向服務(wù)器發(fā)送第一心跳報(bào)文,以及將終端的當(dāng)前狀態(tài)信息發(fā)送至服務(wù)器,因此,服務(wù)器可根據(jù)該終端的當(dāng)前狀態(tài)生成并下發(fā)相應(yīng)的策略信息,實(shí)現(xiàn)了對終端實(shí)時(shí)地、動(dòng)態(tài)地監(jiān)控和維護(hù),有效提高了內(nèi)網(wǎng)中設(shè)備運(yùn)行的可靠性和穩(wěn)定性。需要指出的是,上述由接入設(shè)備獲取終端的當(dāng)前狀態(tài)信息只是本發(fā)明優(yōu)選的方法,在實(shí)施本發(fā)明時(shí)也可采用別的方式獲取終端的狀態(tài)信息。例如,服務(wù)器直接向終端法送狀態(tài)查詢請求,該終端直接向服務(wù)器返回狀態(tài)信息。以上通過實(shí)施例介紹了本發(fā)明所述的一種穿越NAT主動(dòng)下發(fā)策略的方法,下面結(jié)合具體的應(yīng)用環(huán)境,對本發(fā)明所述方法做進(jìn)一步詳細(xì)說明。參見圖2,假設(shè)所述服務(wù)器為運(yùn)營商業(yè)務(wù)中心的服務(wù)器,該服務(wù)器承擔(dān)用戶認(rèn)證以及策略下發(fā)的任務(wù)。與服務(wù)器對應(yīng)的是企業(yè)內(nèi)網(wǎng),該內(nèi)網(wǎng)中接入設(shè)備與多個(gè)用戶終端相連接,所有用戶終端與服務(wù)器的通信都需經(jīng)過接入設(shè)備和NAT設(shè)備的轉(zhuǎn)換。在該運(yùn)營模式下,用戶終端上線后服務(wù)器開始計(jì)費(fèi)。下面,參見圖4,對現(xiàn)有技術(shù)中用戶終端上線、下線的過程作一簡單描述首先看上線過程步驟401,用戶終端向接入設(shè)備發(fā)送上線請求。步驟402,接入設(shè)備放開用戶上網(wǎng)權(quán)限。步驟403,用戶終端向接入設(shè)備發(fā)送用戶認(rèn)證請求信息。認(rèn)證請求信息包括用戶標(biāo)識(shí)、密碼等信息。步驟404,接入設(shè)備向服務(wù)器發(fā)送認(rèn)證請求信息。步驟4041,認(rèn)證請求信息經(jīng)過NAT時(shí),NAT建立接入設(shè)備與服務(wù)器的映射表。步驟4042,NAT發(fā)送認(rèn)證請求信息至服務(wù)器。步驟405,若認(rèn)證通過,服務(wù)器向接入設(shè)備返回應(yīng)答消息。步驟4051,所述應(yīng)答消息由NAT根據(jù)存儲(chǔ)的映射表轉(zhuǎn)發(fā)至該接入設(shè)備。步驟406,接入設(shè)備向服務(wù)器發(fā)送計(jì)費(fèi)開始報(bào)文。步驟407,若服務(wù)器收到計(jì)費(fèi)開始報(bào)文,則開始計(jì)費(fèi),同時(shí)返回計(jì)費(fèi)應(yīng)答消息和策略信息。步驟408,接入設(shè)備根據(jù)策略信息設(shè)置用戶終端的上網(wǎng)權(quán)限。至此,用戶上線,服務(wù)器開始計(jì)費(fèi)。用戶下線的過程與上線過程類似,區(qū)別在于該過程開始于用戶終端發(fā)送下線請求,若接入設(shè)備收到服務(wù)器返回的計(jì)費(fèi)結(jié)束報(bào)文則下線成功?;谏鲜龇绞?,在用戶終端成功上線后,若用戶終端在一段時(shí)間內(nèi)沒有主動(dòng)與服務(wù)器再次進(jìn)行通信,由于NAT動(dòng)態(tài)更新映射表,將導(dǎo)致服務(wù)器無法主動(dòng)訪問用戶終端或接入設(shè)備,造成策略下發(fā)失敗。在本發(fā)明的應(yīng)用實(shí)施例中,在用戶上線后,接入設(shè)備仍按預(yù)置周期向服務(wù)器發(fā)送第一心跳報(bào)文,從而很好的解決了現(xiàn)有運(yùn)營方式下存在的上述問題。參見圖5,圖5示出了該應(yīng)用實(shí)施例的步驟流程圖,其詳細(xì)過程描述如下步驟501,用戶上線。步驟502,接入設(shè)備按預(yù)置周期發(fā)送第一心跳報(bào)文。第一心跳報(bào)文也可以由用戶終端向接入設(shè)備發(fā)送,再由接入設(shè)備向服務(wù)器發(fā)送。本例中優(yōu)選的,所述第一心跳報(bào)文還用于通知服務(wù)器計(jì)費(fèi)更新,以避免該用戶終端實(shí)際上已經(jīng)掉線,但服務(wù)器仍然計(jì)費(fèi)的問題。本領(lǐng)域技術(shù)人員在實(shí)施本發(fā)明時(shí)可根據(jù)具體的應(yīng)用賦予第一心跳報(bào)文更多的作用,以盡可能有效地利用數(shù)據(jù)。在實(shí)施時(shí),所述第一心跳報(bào)文還應(yīng)符合相應(yīng)的認(rèn)證協(xié)議,例如RADIUS(RemoteAuthenticationDialInUserService,遠(yuǎn)禾呈拔號(hào)i人"i正)十辦i義才艮文才各式0123012345678901234567890123456789011CodeIIdentifier|Length|jAuthenticator|IAttributes...在屬性中標(biāo)明該報(bào)文為計(jì)費(fèi)更新報(bào)文。步驟503,NAT接收所述第一心跳報(bào)文,根據(jù)該第一心跳報(bào)文建立接入設(shè)備與服務(wù)器的映射表。步驟504,NAT按預(yù)定規(guī)則生成第二心跳報(bào)文。步驟505,NAT將第二心跳報(bào)文轉(zhuǎn)發(fā)至對應(yīng)的服務(wù)器。步驟506,啟動(dòng)延時(shí)定制器。當(dāng)服務(wù)器收到第二心跳報(bào)文后,保護(hù)現(xiàn)場,啟動(dòng)延時(shí)定時(shí)器,并觸發(fā)后續(xù)的主動(dòng)策略下發(fā)動(dòng)作。這里的保護(hù)現(xiàn)場可以是中止原有的程序、進(jìn)程,記錄相關(guān)的步驟、狀態(tài)信息等,相應(yīng)的,恢復(fù)現(xiàn)場就是恢復(fù)執(zhí)行被中止的程序、進(jìn)程等操作。在本例中,按照原有的程序,服務(wù)器收到第二心跳報(bào)文,也就是所述計(jì)費(fèi)更新報(bào)文后應(yīng)該立即返回報(bào)文應(yīng)答消息,但本發(fā)明通過啟動(dòng)延時(shí)定時(shí)器保護(hù)現(xiàn)場,在服務(wù)器返回應(yīng)答消息之前執(zhí)行策略下發(fā),在策略下發(fā)結(jié)束后,中止延時(shí)定時(shí)器、恢復(fù)現(xiàn)場,并執(zhí)行后續(xù)的返回應(yīng)答消息的步驟,這樣一來,用戶幾乎無法察覺服務(wù)器主動(dòng)下發(fā)策略下發(fā)對原有業(yè)務(wù)和流程產(chǎn)生的影響,大大降低了實(shí)施本發(fā)明的難度和成本。步驟507,用戶狀態(tài)查詢。服務(wù)器根據(jù)設(shè)置的安全策略向用戶發(fā)送狀態(tài)查詢請求,首先由服務(wù)器向接入設(shè)備發(fā)送"用戶狀態(tài)查詢"請求報(bào)文USER—STATUS—REQ,要求查詢用戶是否在線、用戶端口信息、用戶終端信息、當(dāng)前運(yùn)行是否正常等。內(nèi)容舉例<table>tableseeoriginaldocumentpage15</column></row><table>步驟5071,NAT根據(jù)存儲(chǔ)的映射表轉(zhuǎn)換USER^STATUS—REQ,然后將改報(bào)文發(fā)送至接入設(shè)備。步驟5072,接入i殳備向用戶端發(fā)送狀態(tài)查詢請求。接入設(shè)備向用戶側(cè)發(fā)送"用戶狀態(tài)查詢"請求報(bào)文USER—STATUS一REQ。步驟5073,用戶端向接入設(shè)備返回用戶狀態(tài)。用戶端的客戶端軟件根據(jù)查詢請求的要求,收集到用戶的狀態(tài)信息,通過USERSTATUSACK報(bào)文返回給接入設(shè)備。內(nèi)容舉例<table>tableseeoriginaldocumentpage16</column></row><table>步驟508:用戶狀態(tài)返回。接入設(shè)備將收到的用戶狀態(tài)信息通過USER—STATUS—ACKl艮文返回給服務(wù)器。步驟509,主動(dòng)策略下發(fā)。服務(wù)器根據(jù)收到的USER—STATUS_ACK才艮文生成與該用戶終端當(dāng)前狀態(tài)相應(yīng)的安全策略,然后主動(dòng)向用戶下發(fā)策略。一系列策略,包括用戶終端安全狀態(tài)評估配置、補(bǔ)丁檢查項(xiàng)配置、終端修復(fù)配置以及對終端用戶的隔離方式配置等。比如,安全策略要求^r查用戶配置情況,格式舉例<table>tableseeoriginaldocumentpage16</column></row><table><image>imageseeoriginaldocumentpage17</image>在該策略中包含了操作系統(tǒng)需要安裝的補(bǔ)丁號(hào)、殺毒軟件的版本號(hào)等,下發(fā)到用戶終端后由客戶端軟件按照策略要求執(zhí)行檢查并將結(jié)果上報(bào)服務(wù)器。服務(wù)器根據(jù)結(jié)果執(zhí)行相應(yīng)的操作。如果用戶配置不合格,將用戶強(qiáng)制隔離到獨(dú)立的網(wǎng)段中并發(fā)送消息告知用戶需要安裝的補(bǔ)丁所在的目錄,由用戶自行下載安裝。以下為隔離方式的格式舉例<image>imageseeoriginaldocumentpage17</image>步驟510:服務(wù)器返回心跳報(bào)文響應(yīng)消息。策略下發(fā)結(jié)束后,服務(wù)器恢復(fù)現(xiàn)場,將延時(shí)定時(shí)器歸位,然后返回心跳報(bào)文應(yīng)答消息。步驟511,策略執(zhí)行。接入設(shè)備按照收到的策略信息執(zhí)行相應(yīng)的策略。基于上述應(yīng)用,管理員通過服務(wù)器就能有效地對內(nèi)網(wǎng)中的用戶終端進(jìn)行安全控制。例如,管理員可以根據(jù)安全要求預(yù)先在服務(wù)器上設(shè)定相應(yīng)的安全策略,比如,設(shè)定限制用戶使用"BT"類軟件。當(dāng)服務(wù)器向接入設(shè)備發(fā)送"用戶狀態(tài)查詢"請求后,由接入設(shè)備向用戶終端發(fā)送"用戶狀態(tài)查詢"請求,用戶端通過安裝的端軟件收集該終端的狀態(tài)信息(包括用戶端正在啟用的進(jìn)程),并將狀態(tài)信息返回接入設(shè)備,接入設(shè)備收到用戶狀態(tài)信息后轉(zhuǎn)發(fā)給服務(wù)器。此時(shí)如果服務(wù)器檢查到用戶的進(jìn)程中包含有"BT"類軟件的進(jìn)程,則聲稱相應(yīng)的策略下發(fā)至接入設(shè)備或終端,強(qiáng)制終止"BT"進(jìn)程或強(qiáng)制斷開用戶的網(wǎng)絡(luò)連接使用戶下線。步驟512,用戶下線。以上通過具體的例子描述了本發(fā)明所述的一種穿越NAT下發(fā)策略的方法,下面參照上文所述內(nèi)容,同時(shí)參照圖6,對本發(fā)明所述的一種通信裝置的實(shí)施例進(jìn)行介紹。如圖6所示,所述裝置包括存儲(chǔ)單元,用于存儲(chǔ)報(bào)文發(fā)送周期,該報(bào)文發(fā)送周期小于所述裝置對應(yīng)的NAT的映射表更新周期;心跳報(bào)文獲取單元,用于獲取第一心跳報(bào)文;報(bào)取的第一心跳報(bào)文;策略通信單元,用于接收和/或發(fā)送策略信息。優(yōu)選的,所述裝置還包括查詢響應(yīng)單元,用于接收狀態(tài)查詢請求;狀態(tài)信息獲取單元,用于獲取狀態(tài)信息;狀態(tài)信息發(fā)送單元,用于發(fā)送狀態(tài)信息獲取單元所獲取的狀態(tài)信息。參見圖7,圖7示出了本發(fā)明另一種通信裝置的結(jié)構(gòu)框圖。所述裝置包括心跳報(bào)文獲取單元,用于獲取第二心跳報(bào)文;策略生成單元,用于生成與所述心跳報(bào)文獲取單元所獲取的第二心跳報(bào)文相應(yīng)的策略信息;策略發(fā)送單元,用于發(fā)送所述策略生成單元所生成的策略信息。優(yōu)選的,所述裝置還包括現(xiàn)場處理單元,用于保護(hù)或恢復(fù)現(xiàn)場。優(yōu)選的,所述裝置還包括狀態(tài)信息獲取單元,用于獲取狀態(tài)信息;所述策略生成單元還包括第二策略生成單元,用于根據(jù)狀態(tài)信息獲取單元所獲取的狀態(tài)信息生成相應(yīng)的策略信息。優(yōu)選的,所述裝置還包括認(rèn)證請求接收單元,用于接收認(rèn)證請求;認(rèn)證驗(yàn)證單元,用于驗(yàn)證認(rèn)證請求接收單元所接收的認(rèn)證請求是否合法;認(rèn)證應(yīng)答單元,用于根據(jù)認(rèn)證驗(yàn)證單元的認(rèn)證結(jié)果發(fā)送相應(yīng)的應(yīng)答消息。應(yīng)用上述裝置,本發(fā)明還公開了一種通信系統(tǒng),該系統(tǒng)包括服務(wù)器、接入設(shè)備,以及與所述接入設(shè)備相應(yīng)NAT和多個(gè)通信終端,其中,所述接入設(shè)備包括存儲(chǔ)單元,用于存儲(chǔ)報(bào)文發(fā)送周期,該報(bào)文發(fā)送周期小于所述裝置對應(yīng)的NAT的映射表更新周期;第一心跳報(bào)文獲取單元,用于獲取第一心跳報(bào)文;報(bào)文發(fā)送單元,用于按存儲(chǔ)單元中的報(bào)文發(fā)送周期發(fā)送第一心跳報(bào)文獲取單元所獲取的第一心跳報(bào)文;策略通信單元,用于接收和/或發(fā)送策略信息。其中,NAT按一定規(guī)則將報(bào)文發(fā)送單元所發(fā)送的第一心跳報(bào)文轉(zhuǎn)換為第二心跳報(bào)文。所述服務(wù)器包括心跳報(bào)文獲取單元,用于獲取第二心跳報(bào)文;策略生成單元,用于生成與所述心跳報(bào)文獲取單元所獲取的第二心跳報(bào)文相應(yīng)的策略信息;策略發(fā)送單元,用于發(fā)送所述策略生成單元所生成的策略信息。上述裝置和系統(tǒng)的實(shí)現(xiàn)細(xì)節(jié),請參見上文關(guān)于方法實(shí)施例的描述,這里不再贅述。本說明書中的各個(gè)實(shí)施例采用遞進(jìn)的方式描述,各個(gè)實(shí)施例之間相同相似的部分互相參見即可。通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn),當(dāng)然也可以通過硬件,但很多情況下前者是更佳的實(shí)施方式?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中,包括若干指令用以使得一臺(tái)終端設(shè)備執(zhí)行本發(fā)明各個(gè)實(shí)施例所迷的方法。以上對本發(fā)明所提供的一種穿越NAT下發(fā)策略的方法和一種通信裝行了闡述,以上實(shí)施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想;同時(shí),對于本領(lǐng)域的一^殳技術(shù)人員,依據(jù)本發(fā)明的思想,在具體實(shí)施方式及應(yīng)用范圍上均會(huì)有改變之處,綜上所述,說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。權(quán)利要求1、一種穿越網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備下發(fā)策略的方法,其特征在于,所述方法包括節(jié)點(diǎn)按預(yù)置周期向服務(wù)器發(fā)送第一心跳報(bào)文,所述預(yù)置周期小于NAT更新周期;NAT接收所述第一心跳報(bào)文,根據(jù)該第一心跳報(bào)文建立所述節(jié)點(diǎn)與服務(wù)器的映射表;NAT按預(yù)定規(guī)則生成第二心跳報(bào)文;NAT將第二心跳報(bào)文轉(zhuǎn)發(fā)至對應(yīng)的服務(wù)器;服務(wù)器生成與所述第二心跳報(bào)文相應(yīng)的策略信息;服務(wù)器向所述節(jié)點(diǎn)發(fā)送策略信息;若NAT收到所述策略信息,則按照存儲(chǔ)的述映射表將該策略信息轉(zhuǎn)發(fā)至相應(yīng)的節(jié)點(diǎn)。2、根據(jù)權(quán)利要求l所述的方法,其特征在于,所述節(jié)點(diǎn)為接入設(shè)備或終端。3、根據(jù)權(quán)利要求l所述的方法,其特征在于,所述第一心跳報(bào)文中包括與所述節(jié)點(diǎn)相應(yīng)的第一地址標(biāo)識(shí),所述第二心跳報(bào)文中包括經(jīng)NAT按預(yù)定規(guī)則轉(zhuǎn)換的第二地址標(biāo)識(shí),所述影射表中存儲(chǔ)第一地址標(biāo)識(shí)和第二地址標(biāo)識(shí)的影射關(guān)系。4、根據(jù)權(quán)利要求l所述的方法,其特征在于,服務(wù)器生成與所述第二心跳報(bào)文相應(yīng)的策略信息之前還包括服務(wù)器保護(hù)現(xiàn)場;所述服務(wù)器向節(jié)點(diǎn)發(fā)送策略信息之后還包括服務(wù)器恢復(fù)現(xiàn)場。5、根據(jù)權(quán)利要求1或4所述的方法,其特征在于,所述方法還包括服務(wù)器向接入設(shè)備發(fā)送終端狀態(tài)查詢請求;接入設(shè)備獲取所述終端狀態(tài)信息,以及將該終端狀態(tài)信息返回至所述服務(wù)器;服務(wù)器生成與所述終端狀態(tài)信息相應(yīng)的策略信息。6、根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括若服務(wù)器在指定期限內(nèi)能夠收到第二心跳報(bào)文,則按一定規(guī)則多次下發(fā)策略。7、根據(jù)權(quán)利要求1所述的方法,其特征在于,所述節(jié)點(diǎn)按預(yù)置周期向服務(wù)器發(fā)送第一心跳"l艮文之前還包括終端向服務(wù)器發(fā)送認(rèn)證請求信息,若認(rèn)證通過,執(zhí)行后續(xù)步驟。8、一種通信裝置,其特征在于,所述裝置包括存儲(chǔ)單元,用于存儲(chǔ)報(bào)文發(fā)送周期,該報(bào)文發(fā)送周期小于所述裝置對應(yīng)的NAT的映射表更新周期;心跳報(bào)文獲取單元,用于獲取第一心跳報(bào)文;報(bào)文發(fā)送單元,用于按存儲(chǔ)單元中的報(bào)文發(fā)送周期發(fā)送心跳報(bào)文獲取單元所獲取的第一心跳報(bào)文;策略通信單元,用于接收和/或發(fā)送策略信息。9、根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述裝置還包括查詢響應(yīng)單元,用于接收狀態(tài)查詢請求;狀態(tài)信息獲取單元,用于獲取狀態(tài)信息;狀態(tài)信息發(fā)送單元,用于發(fā)送狀態(tài)信息獲取單元所獲取的狀態(tài)信息。10、一種通信裝置,其特征在于,所述裝置包括心跳報(bào)文獲取單元,用于獲取第二心跳報(bào)文;策略生成單元,用于生成與所述心跳報(bào)文獲取單元所獲取的第二心跳報(bào)文相應(yīng)的策略信息;策略發(fā)送單元,用于發(fā)送所述策略生成單元所生成的策略信息。11、根據(jù)權(quán)利要求10所述的裝置,其特征在于,所述裝置還包括現(xiàn)場處理單元,用于保護(hù)或恢復(fù)現(xiàn)場。12、根據(jù)權(quán)利要求10或11所述的裝置,其特征在于,所述裝置還包括狀態(tài)信息獲:f又單元,用于獲取狀態(tài)信息;所述策略生成單元還包括第二策略生成單元,用于根據(jù)狀態(tài)信息獲取單元所獲取的狀態(tài)信息生成相應(yīng)的策略信息。13、根據(jù)權(quán)利要求IO所述的裝置,其特在于,所述裝置還包括認(rèn)證請求接收單元,用于接收認(rèn)證請求;認(rèn)證驗(yàn)證單元,用于驗(yàn)證認(rèn)證請求接收單元所接收的認(rèn)證請求是否合法;認(rèn)證應(yīng)答單元,用于根據(jù)認(rèn)證驗(yàn)證單元的認(rèn)證結(jié)果發(fā)送相應(yīng)的應(yīng)答消息。全文摘要本發(fā)明公開了一種穿越網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備下發(fā)策略的方法和一種通信裝置,所述方法包括NAT接收所述第一心跳報(bào)文,根據(jù)該第一心跳報(bào)文建立所述節(jié)點(diǎn)與服務(wù)器的映射表;NAT按預(yù)定規(guī)則生成第二心跳報(bào)文;NAT將第二心跳報(bào)文轉(zhuǎn)發(fā)至對應(yīng)的服務(wù)器;服務(wù)器生成與所述第二心跳報(bào)文相應(yīng)的策略信息;服務(wù)器向所述節(jié)點(diǎn)發(fā)送策略信息;若NAT收到所述策略信息,則按照存儲(chǔ)的所述映射表將該策略信息轉(zhuǎn)發(fā)至相應(yīng)的節(jié)點(diǎn)。這樣一來,克服了現(xiàn)有技術(shù)中由于NAT動(dòng)態(tài)更新映射表,造成服務(wù)器無法主動(dòng)下發(fā)策略的問題。文檔編號(hào)H04L12/56GK101217482SQ20081000412公開日2008年7月9日申請日期2008年1月18日優(yōu)先權(quán)日2008年1月18日發(fā)明者李晨博申請人:杭州華三通信技術(shù)有限公司