GUO DAYONG (CN)
CN101188614A | 2008-05-28 | |||
CN101789906A | 2010-07-28 |
权利要求 1、一种用于端口打洞控制协议 PCP的标记用户的方法,其特征在于, 包括: 在 PCP请求报文中添加用户标识信息单元, 所述用户标识信息单元用于标 记用户; 将添加了所述用户标识信息单元的 PCP请求报文发送给 PCP服务器, 以便 所述 PCP服务器根据所述用户标识信息单元对用户进行识别处理。 2、 根据权利要求 1所述的方法, 其特征在于, 所述用户标识信息单元包括 如下项中的至少一项: 用户名和密码、 加密类型和加密信息、 PCP服务器预分 配给用户的随机数、 位置信息或者设备信息。 3、 根据权利要求 1或 2所述的方法, 其特征在于, 还包括: 在所述 PCP请求报文中添加类型标识信息, 所述类型标识信息用于标记所 述用户标识信息单元所属的类型。 4、根据权利要求 1〜3任一项所述的方法, 其特征在于, 所述在 PCP请求报 文中添加用户标识信息单元, 包括: 在自身生成的 PCP请求报文中添加用户标识信息单元; 或者, 在接收到的 PCP请求报文中添加用户标识信息单元。 5、一种用于端口打洞控制协议 PCP的识别用户的方法,其特征在于, 包括: 接收 PCP请求报文; 如果所述 PCP请求报文中携带用户标识信息单元, 根据所述用户标识信息 单元对用户进行识别处理。 6、 根据权利要求 5所述的方法, 其特征在于, 所述用户标识信息单元包括 如下项中的至少一项: 用户名和密码、 加密类型和加密信息、 PCP服务器预分 配给用户的随机数、 位置信息或者设备信息。 7、 根据权利要求 5或 6所述的方法, 其特征在于, 所述 PCP请求报文中还 包括类型标识信息, 所述类型标识信息用于标记所述用户标识信息单元所属的 类型。 8、 根据权利要求 5至 7中任一项所述的方法, 其特征在于, 所述根据所述 用户标识信息单元对用户进行识别处理, 包括: 如果可识别所述用户标识信息单元, 处理所述 PCP请求报文; 或者, 如果不可识别所述用户标识信息单元, 丟弃所述 PCP请求报文或者回应识 别不通过信息。 9、 根据权利要求 5至 8中任一项所述的方法, 其特征在于, 还包括: 如果所述 PCP请求报文中没有携带用户标识信息单元,回应错误响应报文, 通知用户携带用户标识信息单元。 10、根据权利要求 5至 9中任一项所述的方法, 其特征在于, 所述接收 PCP 请求报文, 包括: PCP服务器接收 PCP客户端或者 PCP中继器发送的 PCP请求报文。 11、 一种用于端口打洞控制协议 PCP的标记用户的设备, 其特征在于, 包 括: 添加模块, 用于在 PCP请求报文中添加用户标识信息单元, 所述用户标识 信息单元用于标记用户; 发送模块, 用于将添加了所述用户标识信息单元的 PCP 请求报文发送给 PCP服务器, 以便所述 PCP服务器根据所述用户标识信息单元对用户进行识别 处理。 12、 根据权利要求 11所述的设备, 其特征在于, 所述添加模块还用于在所 述 PCP请求报文中添加类型标识信息, 所述类型标识信息用于标记所述用户标 识信息单元所属的类型。 13、 根据权利要求 11或 12所述的设备, 其特征在于, 所述设备位于 PCP 客户端或者位于 PCP中继器中。 14、 一种用于端口打洞控制协议 PCP的识别用户的设备, 其特征在于, 包 括: 接收模块, 用于接收 PCP请求报文; 识别模块, 用于如果所述 PCP请求报文中携带用户标识信息单元, 根据所 述用户标识信息单元对用户进行识别处理。 15、 根据权利要求 14所述的设备, 其特征在于, 所述识别模块具体用于: 如果可识别所述用户标识信息单元, 处理所述 PCP请求报文; 或者, 如果不可识别所述用户标识信息单元, 丟弃所述 PCP请求报文或者回应识 别不通过信息。 16、 根据权利要求 14或 15所述的设备, 其特征在于, 所述识别模块还用 于如果所述 PCP请求报文中没有携带用户标识信息单元, 回应错误响应报文, 通知用户携带用户标识信息单元。 17、 根据权利要求 14〜16任一项所述的设备, 其特征在于, 所述设备位于 PCP服务器中, 所述接收模块具体用于接收 PCP客户端或者 PCP中继器发送的 PCP请求报文。 |
为了便于运营, PCP操作简单, 没有握手过程, 很容易被用户攻击或者用 户的无意误操作所影响。 缺乏识别用户和 /或对用户认证使得 PCP很难部署, 特 别是计费的场合。而其他接入技术中的认证方 法通常较为复杂,并不适用于 PCP 简单易用的场合。 发明内容 本发明实施例是提供一种用于 PCP的标记及识别用户的方法及设备, 既保 证 PCP的简单易用,又能够增加 PCP的安全功能,大大减少网络攻击和误操作。 一方面, 本发明实施例提供了一种用于 PCP的标记用户的方法, 包括: 在 PCP请求报文中添加用户标识信息单元, 所述用户标识信息单元用于标 记用户;
将添加了所述用户标识信息单元的 PCP请求报文发送给 PCP服务器, 以便所 述 PCP服务器根据所述用户标识信息单元对用户进 行识别处理。
另一方面, 本发明实施例提供了一种用于 PCP的识别用户的方法, 包括: 接收 PCP请求报文;
如果所述 PCP请求报文中携带用户标识信息单元,根据所 述用户标识信息单 元对用户进行识别处理。
一方面, 本发明实施例提供了一种用于 PCP的标记用户的设备, 包括: 添加模块, 用于在 PCP请求报文中添加用户标识信息单元, 所述用户标识 信息单元用于标记用户;
发送模块, 用于将添加了所述用户标识信息单元的 PCP 请求报文发送给 PCP服务器, 以便所述 PCP服务器根据所述用户标识信息单元对用户进 行识别 处理。
另一方面, 本发明实施例提供了一种用于 PCP的识别用户的设备, 包括: 接收模块, 用于接收 PCP请求报文;
识别模块, 用于如果所述 PCP请求报文中携带用户标识信息单元, 根据所 述用户标识信息单元对用户进行识别处理。
由上述技术方案可知, 本发明实施例的用于 PCP的标记及识别用户的方法 及设备, 通过在 PCP请求报文中添加用户标识信息单元, 可以保证 PCP的简单 易用, 并实现 PCP的安全功能, 减少网络攻击和误操作。 附图说明 为了更清楚地说明本发明实施例中的技术方案 , 下面将对实施例描述中所 需要使用的附图作一简单地介绍, 显而易见地, 下面描述中的附图是本发明的 一些实施例, 对于本领域普通技术人员来讲, 在不付出创造性劳动性的前提下, 还可以根据这些附图获得其他的附图。
图 1为本发明第一实施例的方法流程示意图;
图 2为本发明实施例中 PCP请求报文的格式一示意图;
图 3为本发明实施例中 PCP请求报文的格式二示意图;
图 4为本发明第二实施例的方法流程示意图;
图 5为本发明第三实施例的方法流程示意图;
图 6为本发明第三实施例对应的系统结构示意图
图 7为本发明第四实施例的方法流程示意图;
图 8为本发明第四实施例对应的系统结构示意图
图 9为本发明第五实施例的方法流程示意图;
图 10为本发明第五实施例对应的系统结构示意图
图 11为本发明第六实施例的设备结构示意图;
图 12为本发明第七实施例的设备结构示意图。 具体实施方式 为使本发明实施例的目的、 技术方案和优点更加清楚, 下面将结合本发明 实施例中的附图, 对本发明实施例中的技术方案进行清楚、 完整地描述, 显然, 所描述的实施例是本发明一部分实施例, 而不是全部的实施例。 基于本发明中 的实施例, 本领域普通技术人员在没有做出创造性劳动前 提下所获得的所有其 他实施例, 都属于本发明保护的范围。
图 1为本发明第一实施例的方法流程示意图, 包括:
步骤 11 : 在 PCP请求报文中添加用户标识信息单元, 所述用户标识信息单 元用于标记用户;
其中, 所述用户标识信息单元可以包括如下项中的至 少一项: 用户名和密 码、 加密类型和加密信息、 PCP服务器预分配给用户的随机数、 位置信息或者 设备信息。 具体地, 图 2为本发明实施例中 PCP请求报文的格式一示意图, 参见图 2, 在 PCP请求报文中新增一个信息单元(Information Element, IE ) , 该新增的信 息单元可以命名为"用户标识信息单元,,, 用户标识信息单元中可以携带用户信 息字符串 (Subscriber-ID-information-string ) , 其中, 字符串可以包括字符和 / 或数字, 该用户标识信息字符串可以具体为如下项中的 至少一项: 用户名和密 码、 加密类型和加密信息、 PCP服务器预分配给用户的随机数、 位置信息或者 设备信息。 可以理解的是, 图 2 中 的信息单元用户 标识编码 ( IE-Subscriber-ID-Code )、 信息单元长度 ( IE-Length )可以为现有 PCP请求报 文中 IE格式的固定字段。
进一步地, 可以在所述 PCP请求报文中添加类型标识信息, 参见图 3, 图 3 为本发明实施例中 PCP请求报文的格式二示意图, 在该 PCP请求报文中进一步 包括类型标识信息, 所述类型标识信息用于标记所述用户标识信息 单元所属的 类型。 例如, 在上述的"用户标识信息字符串 "字段之前新增一个字节, 用于标记 该标识用户信息字符串为如下项中的哪一项: 用户名和密码、 加密类型和加密 信息、 PCP服务器预分配给用户的随机数、 位置信息或者设备信息。
步骤 12:将添加了所述用户标识信息单元的 PCP请求报文发送给 PCP服务 器, 以便所述 PCP服务器根据所述用户标识信息单元对用户进 行识别处理。
其中, 本实施例的执行主体可以为 PCP客户端 (PCP Client ) , 也可以为 PCP中继器( PCP Relay ), 具体地, PCP客户端例如为用户终端设备( Customer Premises Equipment, CPE )或主机, PCP中继器例如为宽带网关设备 ( Boardband Network Gateway, BNG )或 CGN, NAT等。
具体地,对于 PCP客户端, 则 PCP客户端在自身生成的 PCP请求报文中添 加用户标识信息单元;
对于 PCP中继器,则 PCP中继器在接收到的 PCP请求报文中添加用户标识 信息单元。
另外, PCP服务器可以利用自身的信息来识别用户, 也可以进一步向认证 授权计费 ( Authentication Authorization and Accounting, AAA )月良务器清求识另 'J 用户。
本实施例通过在 PCP请求报文中添加用户标识信息单元, 既可以保证 PCP 的简单易用, 又能够增加 PCP的安全功能, 大大减少网络攻击和误操作。
图 4为本发明第二实施例的方法流程示意图, 包括:
步骤 41 : 接收 PCP请求报文;
步骤 42: 如果所述 PCP请求报文中携带用户标识信息单元, 根据所述用户 标识信息单元对用户进行识别处理。
其中, 所述用户标识信息单元包括如下项中的至少一 项: 用户名和密码、 加密类型和加密信息、 PCP服务器预分配给用户的随机数、 位置信息或者设备 信息。
另外, 所述 PCP请求报文中还包括类型标识信息, 所述类型标识信息用于 标记所述用户标识信息单元所属的类型。
具体的 PCP请求报文中携带用户标识信息单元的格式可 以参见图 2或图 3。 其中, 根据所述用户标识信息单元对用户进行识别处 理可以包括: 如果可识别所述用户标识信息单元, 处理所述 PCP请求报文, 例如, PCP 根据自身或从 AAA服务器获取的信息确认该用户标识信息单元 对应的用户合 法, 则表明可识别, 否则不可识别;
或者,
如果不可识别所述用户标识信息单元, 丟弃所述 PCP请求报文或者回应识 别不通过信息。
另外, 本实施例的方法还可以包括:
如果所述 PCP请求报文中没有携带用户标识信息单元,回 应错误响应报文, 通知用户携带用户标识信息单元重新请求。
进一步地, PCP服务器可以接收 PCP客户端或者 PCP中继器发送的 PCP 请求报文。 本实施例通过接收携带用户标识信息单元的 PCP请求报文, 可以简单易用 地实现识别用户, 实现 PCP的安全功能, 减少网络攻击和误操作。 在识别用户 通过后可以对 PCP请求报文进行处理, 配置 NAT端口映射, 以实现 CGN场合 下的 NAT穿越。
图 5为本发明第三实施例的方法流程示意图, 图 6为本发明第三实施例对 应的系统结构示意图, 本实施例以 PCP客户端添加用户标识信息单元为例。 参 见图 6, 本实施例的系统包括 PCP客户端 61和 PCP服务器 62。
参见图 5, 本实施例的方法流程包括:
步骤 51 : PCP客户端在自身生成的 PCP请求报文中添加用户标识信息单元。 具体内容可以参见第一实施例。
步骤 52: PCP客户端将添加了用户标识信息单元的 PCP请求报文发送给 PCP服务器。
其中, PCP客户端可以直接将该 PCP请求报文发送给 PCP服务器, 或者, PCP客户端也可以通过 PCP中继器将该 PCP请求报文发送给 PCP服务器。
步骤 53: PCP服务器对接收的 PCP请求报文进行识别处理。
具体内容可以参见第二实施例。
本实施例通过在 PCP请求报文中添加用户标识信息单元, 可以在保证 PCP 的简单易用下, 实现 PCP的安全功能, 减少网络攻击和误操作; 在识别通过后 可以对 PCP请求报文进行处理,配置 NAT端口映射,以实现 CGN场合下的 NAT 穿越。 本实施例由 PCP客户端进行添加可以完成对 PCP客户端的识别。
图 7为本发明第四实施例的方法流程示意图, 图 8为本发明第四实施例对 应的系统结构示意图, 本实施例以 PCP中继器添加用户标识信息单元为例。 参 见图 8,本实施例的系统包括 PCP客户端 81、 PCP中继器 82和 PCP服务器 83。
参见图 7, 本实施例的方法流程包括:
步骤 71 : PCP客户端生成并发送 PCP请求报文给 PCP中继器。
步骤 72: PCP中继器在接收到的 PCP请求报文中添加用户标识信息单元。 具体内容可以参见第一实施例。 需要注意地是, PCP 中继器添加用户标识 信息单元时, 该用户标识信息单元为 PCP中继器的相关信息, 例如位置信息或 者设备信息为 PCP中继器的位置信息或者 PCP中继器的设备信息。
步骤 73 : PCP 中继器将添加了用户标识信息单元的 PCP请求报文发送给 PCP服务器。
步骤 74: PCP服务器对接收的 PCP请求报文进行识别处理。
具体内容可以参见第二实施例。
本实施例通过在 PCP请求报文中添加用户标识信息单元, 可以在保证 PCP 的简单易用下, 实现 PCP的安全功能, 减少网络攻击和误操作; 在识别用户通 过后可以对 PCP请求报文进行处理, 实现 NAT端口映射功能的开通, 以实现 CGN场合下的 NAT穿越。 本实施例由 PCP中继器进行添加用户标识信息, 实 现识别用户。
图 9为本发明第五实施例的方法流程示意图, 图 10为本发明第五实施例对 应的系统结构示意图, 本实施例以 AAA服务器进行识别为例。参见图 10, 本实 施例的系统包括 PCP客户端 101、 PCP服务器 102和 AAA服务器 103。
参见图 9, 本实施例的方法流程包括:
步骤 91 : PCP客户端发送 PCP请求报文给 PCP服务器, 该 PCP请求报文 中携带用户标识信息单元。
其中, 可以是 PCP客户端在自身生成的 PCP请求报文中添加用户标识信息 单元; 也可以是 PCP客户端将自身生成的 PCP请求报文发送给 PCP中继器, 由 PCP中继器在 PCP请求报文中添加用户标识信息单元并发送给 PCP服务器。
步骤 92: PCP服务器发送该携带用户标识信息单元的 PCP请求报文给 AAA 服务器。
步骤 93 : AAA服务器对该 PCP请求报文进行识别处理。
具体内容可以参见第二实施例。
可以理解的是, 如果 AAA服务器向 PCP客户端回应报文, 该回应报文也 将通过 PCP服务器转发给 PCP客户端。
本实施例通过在 PCP请求报文中添加用户标识信息单元, 可以在保证 PCP 的简单易用下, 实现 PCP的安全功能, 减少网络攻击和误操作; 在识别用户通 过后可以对 PCP请求报文进行处理, 实现 NAT端口映射功能的开通, 以实现 CGN场合下的 NAT穿越。本实施例由 AAA服务器进行识别用户,可以减轻 PCP 服务器的工作负担, 实现与其他标识用户方式的集中识别处理。
图 11为本发明第六实施例的设备结构示意图, 包括添加模块 111和发送模 块 112; 添加模块 111用于在 PCP请求报文中添加用户标识信息单元, 所述用 户标识信息单元用于标记用户; 具体地, 所述用户标识信息单元可以包括如下 项中的至少一项: 用户名和密码、 加密类型和加密信息、 PCP服务器预分配给 用户的随机数、 位置信息或者设备信息。 发送模块 112用于将添加了所述用户 标识信息单元的 PCP请求报文发送给 PCP服务器,以便所述 PCP服务器根据所 述用户标识信息单元对用户进行识别处理。 进一步地, 发送模块 112还可以用 于在所述 PCP请求报文中添加类型标识信息, 所述类型标识信息用于标记所述 用户标识信息单元所属的类型。
具体地, 所述设备可以位于 PCP客户端, 也可以位于 PCP中继器中。
本实施例通过在 PCP请求报文中添加用户标识信息单元, 既可以保证 PCP 的简单易用, 又能够增加 PCP的安全功能, 大大减少网络攻击和误操作。
图 12为本发明第七实施例的设备结构示意图, 包括接收模块 121和识别模 块 122;接收模块 121用于接收 PCP请求报文;识别模块 122用于如果所述 PCP 请求报文中携带用户标识信息单元, 根据所述用户标识信息单元对用户进行识 别处理。 其中, 所述用户标识信息单元可以包括如下项中的至 少一项: 用户名 和密码、 加密类型和加密信息、 PCP服务器预分配给用户的随机数、 位置信息 或者设备信息。 进一步地, 所述 PCP请求报文中还可以包括类型标识信息, 所 述类型标识信息用于标记所述用户标识信息单 元所属的类型。
进一步地, 所述识别模块 122可以具体用于: 如果可识别所述用户标识信 息单元, 处理所述 PCP请求报文; 或者, 如果不可识别所述用户标识信息单元, 丟弃所述 PCP请求报文或者回应识别不通过信息。
另外, 所述识别模块 122还可以用于如果所述 PCP请求报文中没有携带用 户标识信息单元, 回应错误响应报文, 通知用户携带用户标识信息单元。
具体地,所述设备可以位于 PCP服务器中,所述接收模块具体用于接收 PCP 客户端或者 PCP中继器发送的 PCP请求报文; 当然, 该设备也可以位于 AAA 服务器中。
本实施例通过接收携带用户标识信息单元的 PCP请求报文, 可以简单易用 地实现识别用户, 实现 PCP的安全功能, 减少网络攻击和误操作。 在识别用户 通过后可以对 PCP请求报文进行处理, 实现 NAT端口映射功能的开通, 以实现 CGN场合下的 NAT穿越。
可以理解的是, 上述方法及设备中的相关特征可以相互参考。 另外, 上述 实施例中的"第一"、 "第二 "等是用于区分各实施例,而并不代表各实施 的优劣。
本领域普通技术人员可以理解: 实现上述方法实施例的全部或部分步骤可 以通过程序指令相关的硬件来完成, 前述的程序可以存储于计算机可读取存储 介质中, 该程序在执行时, 执行包括上述方法实施例的步骤; 而前述的存储介 质包括: ROM、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质 。
最后应说明的是: 以上实施例仅用以说明本发明的技术方案, 而非对其限 制; 尽管参照前述实施例对本发明进行了详细的说 明, 本领域的普通技术人员 应当理解: 其依然可以对前述各实施例所记载的技术方案 进行修改, 或者对其 中部分技术特征进行等同替换; 而这些修改或者替换, 并不使相应技术方案的 本质脱离本发明各实施例技术方案的精神和范 围。