用于 PCP的标记及识别用户的方法及设备 本申请要求于 2010 年 10 月 15 日提交中国专利局、 申请号为 201010515229.0、 发明名称为 "用于 PCP 的标记及识别用户的方法及设备" 的 中国专利申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域 本发明涉及网络通信技术， 尤其涉及一种用于端口打洞控制协议（ Pinhole Control Protocol， PCP ) 的标记及识别用户的方法及设备。 背景技术 网洛地址转化 /网洛地址端口转换 ( Network Address Translation/Network Address Port Translation, NAT/NAPT, 以下统称为 NAT )是为了解决 IP地址不 足而引入的技术， 可以用于转换私网地址和公网地址， 也可以用于 IPv4地址和 IPv6地址的转换。 随着 IPv4地址耗尽， 运营商中也将出现地址短缺问题， 需要 在运营商网络中部署 NAT设备， 称为运营级 NAT ( Carrier Grade NAT, CGN ) 或者大规模 NAT ( Large Scale NAT, LSN )。 部署 NAT后需要考虑 NAT的穿越 问题， PCP是一种新的适用于 CGN场景的穿越 NAT协议， 用户可以直接或间 接通过 PCP与 PCP服务器（ PCP Server ) 交互， 请求 NAT配置， 实现 NAT穿 越。

为了便于运营， PCP操作简单， 没有握手过程， 很容易被用户攻击或者用 户的无意误操作所影响。 缺乏识别用户和 /或对用户认证使得 PCP很难部署， 特 别是计费的场合。而其他接入技术中的认证方 法通常较为复杂，并不适用于 PCP 简单易用的场合。 发明内容 本发明实施例是提供一种用于 PCP的标记及识别用户的方法及设备， 既保 证 PCP的简单易用，又能够增加 PCP的安全功能，大大减少网络攻击和误操作。 一方面， 本发明实施例提供了一种用于 PCP的标记用户的方法， 包括： 在 PCP请求报文中添加用户标识信息单元， 所述用户标识信息单元用于标 记用户；

将添加了所述用户标识信息单元的 PCP请求报文发送给 PCP服务器， 以便所 述 PCP服务器根据所述用户标识信息单元对用户进 行识别处理。

另一方面， 本发明实施例提供了一种用于 PCP的识别用户的方法， 包括： 接收 PCP请求报文；

如果所述 PCP请求报文中携带用户标识信息单元，根据所 述用户标识信息单 元对用户进行识别处理。

一方面， 本发明实施例提供了一种用于 PCP的标记用户的设备， 包括： 添加模块， 用于在 PCP请求报文中添加用户标识信息单元， 所述用户标识 信息单元用于标记用户；

发送模块， 用于将添加了所述用户标识信息单元的 PCP 请求报文发送给 PCP服务器， 以便所述 PCP服务器根据所述用户标识信息单元对用户进 行识别 处理。

另一方面， 本发明实施例提供了一种用于 PCP的识别用户的设备， 包括： 接收模块， 用于接收 PCP请求报文；

识别模块， 用于如果所述 PCP请求报文中携带用户标识信息单元， 根据所 述用户标识信息单元对用户进行识别处理。

由上述技术方案可知， 本发明实施例的用于 PCP的标记及识别用户的方法 及设备， 通过在 PCP请求报文中添加用户标识信息单元， 可以保证 PCP的简单 易用， 并实现 PCP的安全功能， 减少网络攻击和误操作。 附图说明 为了更清楚地说明本发明实施例中的技术方案 ， 下面将对实施例描述中所 需要使用的附图作一简单地介绍， 显而易见地， 下面描述中的附图是本发明的 一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附图。

图 1为本发明第一实施例的方法流程示意图；

图 2为本发明实施例中 PCP请求报文的格式一示意图；

图 3为本发明实施例中 PCP请求报文的格式二示意图；

图 4为本发明第二实施例的方法流程示意图；

图 5为本发明第三实施例的方法流程示意图；

图 6为本发明第三实施例对应的系统结构示意图� �

图 7为本发明第四实施例的方法流程示意图；

图 8为本发明第四实施例对应的系统结构示意图� �

图 9为本发明第五实施例的方法流程示意图；

图 10为本发明第五实施例对应的系统结构示意图� ��

图 11为本发明第六实施例的设备结构示意图；

图 12为本发明第七实施例的设备结构示意图。 具体实施方式 为使本发明实施例的目的、 技术方案和优点更加清楚， 下面将结合本发明 实施例中的附图， 对本发明实施例中的技术方案进行清楚、 完整地描述， 显然， 所描述的实施例是本发明一部分实施例， 而不是全部的实施例。 基于本发明中 的实施例， 本领域普通技术人员在没有做出创造性劳动前 提下所获得的所有其 他实施例， 都属于本发明保护的范围。

图 1为本发明第一实施例的方法流程示意图， 包括：

步骤 11 : 在 PCP请求报文中添加用户标识信息单元， 所述用户标识信息单 元用于标记用户；

其中， 所述用户标识信息单元可以包括如下项中的至 少一项： 用户名和密 码、 加密类型和加密信息、 PCP服务器预分配给用户的随机数、 位置信息或者 设备信息。 具体地， 图 2为本发明实施例中 PCP请求报文的格式一示意图， 参见图 2， 在 PCP请求报文中新增一个信息单元（Information Element, IE ) ， 该新增的信 息单元可以命名为"用户标识信息单元，，，� �用户标识信息单元中可以携带用户信 息字符串 （Subscriber-ID-information-string ) ， 其中， 字符串可以包括字符和 / 或数字， 该用户标识信息字符串可以具体为如下项中的 至少一项： 用户名和密 码、 加密类型和加密信息、 PCP服务器预分配给用户的随机数、 位置信息或者 设备信息。 可以理解的是， 图 2 中 的信息单元用户 标识编码 ( IE-Subscriber-ID-Code )、 信息单元长度 ( IE-Length )可以为现有 PCP请求报 文中 IE格式的固定字段。

进一步地， 可以在所述 PCP请求报文中添加类型标识信息， 参见图 3， 图 3 为本发明实施例中 PCP请求报文的格式二示意图， 在该 PCP请求报文中进一步 包括类型标识信息， 所述类型标识信息用于标记所述用户标识信息 单元所属的 类型。 例如， 在上述的"用户标识信息字符串 "字段之前新增一个字节， 用于标记 该标识用户信息字符串为如下项中的哪一项： 用户名和密码、 加密类型和加密 信息、 PCP服务器预分配给用户的随机数、 位置信息或者设备信息。

步骤 12:将添加了所述用户标识信息单元的 PCP请求报文发送给 PCP服务 器， 以便所述 PCP服务器根据所述用户标识信息单元对用户进 行识别处理。

其中， 本实施例的执行主体可以为 PCP客户端 （PCP Client ) ， 也可以为 PCP中继器（ PCP Relay )， 具体地， PCP客户端例如为用户终端设备（ Customer Premises Equipment, CPE )或主机， PCP中继器例如为宽带网关设备 ( Boardband Network Gateway, BNG )或 CGN， NAT等。

具体地，对于 PCP客户端， 则 PCP客户端在自身生成的 PCP请求报文中添 加用户标识信息单元；

对于 PCP中继器，则 PCP中继器在接收到的 PCP请求报文中添加用户标识 信息单元。

另外， PCP服务器可以利用自身的信息来识别用户， 也可以进一步向认证 授权计费 ( Authentication Authorization and Accounting, AAA )月良务器清求识另 'J 用户。

本实施例通过在 PCP请求报文中添加用户标识信息单元， 既可以保证 PCP 的简单易用， 又能够增加 PCP的安全功能， 大大减少网络攻击和误操作。

图 4为本发明第二实施例的方法流程示意图， 包括：

步骤 41 : 接收 PCP请求报文；

步骤 42: 如果所述 PCP请求报文中携带用户标识信息单元， 根据所述用户 标识信息单元对用户进行识别处理。

其中， 所述用户标识信息单元包括如下项中的至少一 项： 用户名和密码、 加密类型和加密信息、 PCP服务器预分配给用户的随机数、 位置信息或者设备 信息。

另外， 所述 PCP请求报文中还包括类型标识信息， 所述类型标识信息用于 标记所述用户标识信息单元所属的类型。

具体的 PCP请求报文中携带用户标识信息单元的格式可 以参见图 2或图 3。 其中， 根据所述用户标识信息单元对用户进行识别处 理可以包括： 如果可识别所述用户标识信息单元， 处理所述 PCP请求报文， 例如， PCP 根据自身或从 AAA服务器获取的信息确认该用户标识信息单元 对应的用户合 法， 则表明可识别， 否则不可识别；

或者，

如果不可识别所述用户标识信息单元， 丟弃所述 PCP请求报文或者回应识 别不通过信息。

另外， 本实施例的方法还可以包括：

如果所述 PCP请求报文中没有携带用户标识信息单元，回 应错误响应报文， 通知用户携带用户标识信息单元重新请求。

进一步地， PCP服务器可以接收 PCP客户端或者 PCP中继器发送的 PCP 请求报文。 本实施例通过接收携带用户标识信息单元的 PCP请求报文， 可以简单易用 地实现识别用户， 实现 PCP的安全功能， 减少网络攻击和误操作。 在识别用户 通过后可以对 PCP请求报文进行处理， 配置 NAT端口映射， 以实现 CGN场合 下的 NAT穿越。

图 5为本发明第三实施例的方法流程示意图， 图 6为本发明第三实施例对 应的系统结构示意图， 本实施例以 PCP客户端添加用户标识信息单元为例。 参 见图 6， 本实施例的系统包括 PCP客户端 61和 PCP服务器 62。

参见图 5， 本实施例的方法流程包括：

步骤 51 : PCP客户端在自身生成的 PCP请求报文中添加用户标识信息单元。 具体内容可以参见第一实施例。

步骤 52: PCP客户端将添加了用户标识信息单元的 PCP请求报文发送给 PCP服务器。

其中， PCP客户端可以直接将该 PCP请求报文发送给 PCP服务器， 或者， PCP客户端也可以通过 PCP中继器将该 PCP请求报文发送给 PCP服务器。

步骤 53: PCP服务器对接收的 PCP请求报文进行识别处理。

具体内容可以参见第二实施例。

本实施例通过在 PCP请求报文中添加用户标识信息单元， 可以在保证 PCP 的简单易用下， 实现 PCP的安全功能， 减少网络攻击和误操作； 在识别通过后 可以对 PCP请求报文进行处理，配置 NAT端口映射，以实现 CGN场合下的 NAT 穿越。 本实施例由 PCP客户端进行添加可以完成对 PCP客户端的识别。

图 7为本发明第四实施例的方法流程示意图， 图 8为本发明第四实施例对 应的系统结构示意图， 本实施例以 PCP中继器添加用户标识信息单元为例。 参 见图 8，本实施例的系统包括 PCP客户端 81、 PCP中继器 82和 PCP服务器 83。

参见图 7， 本实施例的方法流程包括：

步骤 71 : PCP客户端生成并发送 PCP请求报文给 PCP中继器。

步骤 72: PCP中继器在接收到的 PCP请求报文中添加用户标识信息单元。 具体内容可以参见第一实施例。 需要注意地是， PCP 中继器添加用户标识 信息单元时， 该用户标识信息单元为 PCP中继器的相关信息， 例如位置信息或 者设备信息为 PCP中继器的位置信息或者 PCP中继器的设备信息。

步骤 73 : PCP 中继器将添加了用户标识信息单元的 PCP请求报文发送给 PCP服务器。

步骤 74: PCP服务器对接收的 PCP请求报文进行识别处理。

具体内容可以参见第二实施例。

本实施例通过在 PCP请求报文中添加用户标识信息单元， 可以在保证 PCP 的简单易用下， 实现 PCP的安全功能， 减少网络攻击和误操作； 在识别用户通 过后可以对 PCP请求报文进行处理， 实现 NAT端口映射功能的开通， 以实现 CGN场合下的 NAT穿越。 本实施例由 PCP中继器进行添加用户标识信息， 实 现识别用户。

图 9为本发明第五实施例的方法流程示意图， 图 10为本发明第五实施例对 应的系统结构示意图， 本实施例以 AAA服务器进行识别为例。参见图 10， 本实 施例的系统包括 PCP客户端 101、 PCP服务器 102和 AAA服务器 103。

参见图 9， 本实施例的方法流程包括：

步骤 91 : PCP客户端发送 PCP请求报文给 PCP服务器， 该 PCP请求报文 中携带用户标识信息单元。

其中， 可以是 PCP客户端在自身生成的 PCP请求报文中添加用户标识信息 单元； 也可以是 PCP客户端将自身生成的 PCP请求报文发送给 PCP中继器， 由 PCP中继器在 PCP请求报文中添加用户标识信息单元并发送给 PCP服务器。

步骤 92: PCP服务器发送该携带用户标识信息单元的 PCP请求报文给 AAA 服务器。

步骤 93 : AAA服务器对该 PCP请求报文进行识别处理。

具体内容可以参见第二实施例。

可以理解的是， 如果 AAA服务器向 PCP客户端回应报文， 该回应报文也 将通过 PCP服务器转发给 PCP客户端。

本实施例通过在 PCP请求报文中添加用户标识信息单元， 可以在保证 PCP 的简单易用下， 实现 PCP的安全功能， 减少网络攻击和误操作； 在识别用户通 过后可以对 PCP请求报文进行处理， 实现 NAT端口映射功能的开通， 以实现 CGN场合下的 NAT穿越。本实施例由 AAA服务器进行识别用户，可以减轻 PCP 服务器的工作负担， 实现与其他标识用户方式的集中识别处理。

图 11为本发明第六实施例的设备结构示意图， 包括添加模块 111和发送模 块 112; 添加模块 111用于在 PCP请求报文中添加用户标识信息单元， 所述用 户标识信息单元用于标记用户； 具体地， 所述用户标识信息单元可以包括如下 项中的至少一项： 用户名和密码、 加密类型和加密信息、 PCP服务器预分配给 用户的随机数、 位置信息或者设备信息。 发送模块 112用于将添加了所述用户 标识信息单元的 PCP请求报文发送给 PCP服务器，以便所述 PCP服务器根据所 述用户标识信息单元对用户进行识别处理。 进一步地， 发送模块 112还可以用 于在所述 PCP请求报文中添加类型标识信息， 所述类型标识信息用于标记所述 用户标识信息单元所属的类型。

具体地， 所述设备可以位于 PCP客户端， 也可以位于 PCP中继器中。

本实施例通过在 PCP请求报文中添加用户标识信息单元， 既可以保证 PCP 的简单易用， 又能够增加 PCP的安全功能， 大大减少网络攻击和误操作。

图 12为本发明第七实施例的设备结构示意图， 包括接收模块 121和识别模 块 122;接收模块 121用于接收 PCP请求报文；识别模块 122用于如果所述 PCP 请求报文中携带用户标识信息单元， 根据所述用户标识信息单元对用户进行识 别处理。 其中， 所述用户标识信息单元可以包括如下项中的至 少一项： 用户名 和密码、 加密类型和加密信息、 PCP服务器预分配给用户的随机数、 位置信息 或者设备信息。 进一步地， 所述 PCP请求报文中还可以包括类型标识信息， 所 述类型标识信息用于标记所述用户标识信息单 元所属的类型。

进一步地， 所述识别模块 122可以具体用于： 如果可识别所述用户标识信 息单元， 处理所述 PCP请求报文； 或者， 如果不可识别所述用户标识信息单元， 丟弃所述 PCP请求报文或者回应识别不通过信息。

另外， 所述识别模块 122还可以用于如果所述 PCP请求报文中没有携带用 户标识信息单元， 回应错误响应报文， 通知用户携带用户标识信息单元。

具体地，所述设备可以位于 PCP服务器中，所述接收模块具体用于接收 PCP 客户端或者 PCP中继器发送的 PCP请求报文； 当然， 该设备也可以位于 AAA 服务器中。

本实施例通过接收携带用户标识信息单元的 PCP请求报文， 可以简单易用 地实现识别用户， 实现 PCP的安全功能， 减少网络攻击和误操作。 在识别用户 通过后可以对 PCP请求报文进行处理， 实现 NAT端口映射功能的开通， 以实现 CGN场合下的 NAT穿越。

可以理解的是， 上述方法及设备中的相关特征可以相互参考。 另外， 上述 实施例中的"第一"、 "第二 "等是用于区分各实施例，而并不代表各实施� �的优劣。

本领域普通技术人员可以理解： 实现上述方法实施例的全部或部分步骤可 以通过程序指令相关的硬件来完成， 前述的程序可以存储于计算机可读取存储 介质中， 该程序在执行时， 执行包括上述方法实施例的步骤； 而前述的存储介 质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质 。

最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对其限 制； 尽管参照前述实施例对本发明进行了详细的说 明， 本领域的普通技术人员 应当理解： 其依然可以对前述各实施例所记载的技术方案 进行修改， 或者对其 中部分技术特征进行等同替换； 而这些修改或者替换， 并不使相应技术方案的 本质脱离本发明各实施例技术方案的精神和范 围。