网络会话管理方法

文档序号:7920003阅读:349来源:国知局
专利名称:网络会话管理方法
技术领域
本发明涉及网络会话的管理方法,特别涉及通过代理(PROXY)进行网络会话时的管理方法。
背景技术
近几年来,Internet(因特网)业务已经越来越广泛地深入到人们的工作和生活中。在目前的Internet技术中,系统向用户提供上网权限,并通过认证确定用户的上网权限,由此分配相应的网络资源。另一方面,用户能够动态选择个性化Internet业务类型。
一般的用户往往通过因特网服务提供商(Internet Service Provider,简称“ISP”)接入Internet,ISP提供接入服务并对用户进行认证和计费。图1示出了通过ISP上网的原理图。ISP20中有许多网络设备,用于接入、计费功能等。每一个用户10都有一个自己的账号,用户使用帐号登录到ISP 20,ISP 20对用户认证通过后允许用户通过自身的网络设备访问Internet。对于不同的用户10会有不同的权限,例如部分用户10只能访问规定的Internet站点。对用户10每一次访问的权限控制是由ISP 20的网络设备中的访问控制列表(Access Control List,简称“ACL”)实现的。其大致工作流程如下当用户10向ISP 20的网络设备发起一次会话请求后,网络设备根据该用户的ACL规则检查该会话的五元组(源IP地址,目的IP地址,源端口号,目的端口号,协议类型)判断其是否有权限转发和相应的业务处理,如果有有权限,那么根据该会话的五元组建立会话表项、允许其通过以及完成相应的业务处理,否则丢弃该报文。
ISP 20一般还有相应的管理收费的设备,例如收费服务器,用于统计每一个用户10应该收取的费用,收费的方式很多,例如根据流量计费或根据上网时间计费等等。
因为每一个用户10的权限和收费方式可能各不相同,部分低权限的用户10为了能够享受高权限用户10的接入服务,可能会使用代理的方式绕过ISP对用户10的认证。
图2示出了使用代理通过ISP上网的原理图。如图所示,在ISP 20的一个用户处可以设立一个代理服务器11,该服务器可以通过集线器(HUB)或交换机会话若干代理用户12,这些代理用户12与代理服务器11共用一个IP地址。当代理用户12上网发起会话请求时,报文经过代理服务器11并被其截获,代理服务器11给该用户分配一个端口号,再以本身的IP地址向ISP 20发起会话请求。此后的过程和一个普通的用户10通过ISP 20上网的过程一致。在使用代理以前,因为代理用户12直接发起的会话请求中源IP地址无法满足ACL中规则的要求,所以代理用户12本来不具有通过ISP 20上网的权限。使用代理以后,利用拥有通过ISP 20上网权限的代理服务器11,通过地址转换,代理用户12成功地绕过了ISP 20的权限检查。
在实际应用中,上述方案存在以下问题无法防止用户私自设置代理。网络运营商无法有效验证和限制代理下挂的用户数,不利于诸如计费等管理。
造成这种情况的一个主要原因在于,虽然每一个代理用户通过不同的源端口进行会话,但是每一个代理用户的IP地址是相同的,这样,对于网络设备而言是一个用户。

发明内容
本发明要解决的技术问题是提供一种网络会话管理方法,使得防止用户私自设置代理,或通过代理恶意会话,便于网络运营商更有效地管理用户上网权限,并进行有效计费。另外,也可防止网络设备受到攻击。
为了解决上述技术问题,本发明提供了一种网络会话管理方法,包含以下步骤A判断用户请求的网络会话是否是新的会话,如果是,则进入步骤B,否则,进入步骤C;B判断所述用户与网络建立会话的总数是否超过最大允许值,如果否,进入步骤C;C对所述用户提出的网络会话请求进行转发和相关业务处理。
该方法在步骤A之前还包含以下步骤判断所述用户是否有权限发起网络会话,是则进入步骤A。
另外,所述步骤A中,因特网服务提供商的网络设备根据用户报文中包含的信息,判断在已经建立的会话表项中是否存在相同的信息,如果否,则判定用户请求的网络会话是新的会话,否则,不是新的会话。
所述用户报文中包含的信息包括目的网间互联协议地址、源网间互联协议地址、目的端口号、源端口号和协议类型。
所述步骤B中,因特网服务提供商的网络设备判断会话表项中记录的所述用户已经建立的网络会话数加1后是否超过所述最大允许值,如果否,进入步骤C。
所述最大允许值预先设定在用户会话上限表中。
所述步骤B中,如果判定所述用户与网络建立会话的总数未超过所述最大允许值,则更新所述用户的会话表项,将所述用户已经建立的网络会话数加1,进入步骤C。
所述方法还包含以下步骤当因特网服务提供商的网络设备判断用户无权与网络会话,或所述用户与网络建立会话的总数超过最大允许值时,丢弃所述用户的报文。
还包含以下步骤,当所述会话结束时,更新所述用户的会话表项,将所述用户已经建立的网络会话数减1。
通过比较可以发现,本发明的技术方案与现有技术的区别在于,网络设备判断需要与网络会话的用户已经建立的会话是否超过了服务商预先设定的最大允许值。如果超过,则不再允许该用户建立与网络的会话。另外,通过判断用户请求的网络会话是新的会话还是已有会话的后需,确保仅针对新的会话进行控制。
这种技术方案上的区别,带来了较为明显的有益效果,即有效防止了用户通过私自设置代理增加实际上网的用户,避免不法用户通过代理进行恶意会话。同时使网络运营商更好地管理用户上网权限,还能够进行较有效的计费。本技术方案之所以能够达成限制代理的目的,是因为绝大多数情况下一个普通用户同时发起的会话数目是相当有限的,而一旦用户私自设置了代理,该用户同时发起的会话数目会和代理用户的数目成正比增加,因此限制了一个用户同时发起会话的最大数目就可以限制用户私设代理所造成的不良影响。


图1是目前通过ISP上网的系统原理示意图;图2是目前在ISP的用户处通过代理上网的系统原理示意图;图3是根据本发明的一个实施例的网络会话管理方法的流程图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
图2示出根据本发明的一个实施例的流程图,如图所示,在本实施中过程如下。
步骤100用户10向ISP 20中的网络设备发起会话;在此步骤中,需要与Internet网络30会话的用户10向ISP 20中的网络设备发送会话请求,该请求中包含用户报文,用户报文中有此次Internet会话的源IP地址,目的IP地址,源端口号,目的端口号,协议类型这五元组。
此后进入步骤200ISP 20中的网络设备判断该用户10是否有权限与网络30会话。
在本实施里中,本步骤实现方式如下ISP 20中的网络设备在ACL中检查是否有与包含在上述用户报文中的,该Internet会话的五元组,即源IP地址,目的IP地址,源端口号,目的端口号,协议类型一致的五元组。如果有,则可以判定该用户10有此权限,进入步骤400;如果不一致,则判定该用户10没有此权限,进入步骤300,即丢弃该报文,会话失败。
在步骤400中,由于在步骤200已经判定该用户10有权限与网络30会话,因此,接下来ISP 20中的网络设备进一步判断该会话是否是新发起的会话。
具体的说,ISP 20中具有会话表项,用于记录已经建立的会话情况。该表项中包含已经建立会话的五元组信息。ISP 20中的网络设备根据用户报文中包含的五元组信息,在已经建立的会话表项中进行总和算法,查找已经存在的五元组信息。如果在该会话表项中查到用户报文中包含的五元组信息,则表示该会话为已有会话的后续报文,进入步骤500;否则是新发起的会话,进入步骤600。
在步骤500,由于在步骤400判定用户10要建立的会话是已有会话的后续报文,因此,根据会话表项,进行相应的转发和业务处理;在步骤600,由于在步骤400判定用户10是要建立新的会话,因此在本步骤中,ISP 20中的网络设备进一步判断该用户10要建立的总的会话数是否超过服务商赋予的最大允许值。
在本实施例中,为了实现上述步骤,ISP 20中的网络设备检查已经建立的会话表项,确定该用户10当前已经建立的会话数,判断该于用户10要建立的会话数,即已经建立的会话数加1,是否超过最大允许值。最大允许值表示网络服务商允许该用户10建立的最大会话数,是由网络设备预先设置的。在本实施例中,最大允许值记录在用户10会话上限表中,每一个用户10的ID对应一个最大允许值。
如果ISP 20中的网络设备经过判断,判定用户10要建立的会话数超过服务商赋予的最大允许值,则进入步骤300,ISP 20中的网络设备丢弃该用户报文,会话失败;如果判定用户10要建立的会话数未超过上述最大允许值,则进入步骤700,更新上述会话表项,即在已经建立的网络会话数上加1,此后进入步骤500,由ISP 20中的网络设备根据该用户报文的五元组建立会话表项,进行相应的转发和业务处理。
此外,当用户的一个会话结束时,需要更新该用户的会话表项,将该用户已经建立的网络会话数减1。这样做的目的是使会话表项中的该用户已经建立的网络会话数与实际情况完全一致。
虽然通过参照本发明的某些优选实施例,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种各样的改变,而不偏离所附权利要求书所限定的本发明的精神和范围。
权利要求
1.一种网络会话管理方法,其特征在于,包含以下步骤A判断用户请求的网络会话是否是新的会话,如果是,则进入步骤B,否则,进入步骤C;B判断所述用户与网络建立会话的总数是否超过最大允许值,如果否,进入步骤C;C对所述用户提出的网络会话请求进行转发和相关业务处理。
2.根据权利要求1所述的网络会话管理方法,其特征在于,在步骤A之前还包含以下步骤判断所述用户是否有权限发起网络会话,是则进入步骤A。
3.根据权利要求1所述的网络会话管理方法,其特征在于,所述步骤A中,因特网服务提供商的网络设备根据用户报文中包含的信息,判断在已经建立的会话表项中是否存在相同的信息,如果否,则判定用户请求的网络会话是新的会话,否则,不是新的会话。
4.根据权利要求3所述的网络会话管理方法,其特征在于,所述用户报文中包含的信息包括目的网间互联协议地址、源网间互联协议地址、目的端口号、源端口号和协议类型。
5.根据权利要求1所述的网络会话管理方法,其特征在于,所述步骤B中,因特网服务提供商的网络设备判断会话表项中记录的所述用户已经建立的网络会话数加1后是否超过所述最大允许值,如果否,进入步骤C。
6.根据权利要求1所述的网络会话管理方法,其特征在于,所述最大允许值预先设定在用户会话上限表中。
7.根据权利要求1所述的网络会话管理方法,其特征在于,所述步骤B中,如果判定所述用户与网络建立会话的总数未超过所述最大允许值,则更新所述用户的会话表项,将所述用户已经建立的网络会话数加1,进入步骤C。
8.根据权利要求1或2所述的网络会话管理方法,其特征在于,还包含以下步骤当因特网服务提供商的网络设备判断用户无权与网络会话,或所述用户与网络建立会话的总数超过最大允许值时,丢弃所述用户的报文。
9.根据权利要求1所述的网络会话管理方法,其特征在于,还包含以下步骤,当所述会话结束时,更新所述用户的会话表项,将所述用户已经建立的网络会话数减1。
全文摘要
本发明涉及网络会话的管理方法,公开了一种网络会话管理方法,可以防止用户私自设置代理,或通过代理恶意会话,便于网络运营商更有效地管理用户上网权限,并进行有效计费。另外,也可防止网络设备受到攻击。这种网络会话管理方法包含以下步骤A判断用户请求的网络会话是否是新的会话,如果是,则进入步骤B,否则,进入步骤C;B判断用户与网络建立会话的总数是否超过最大允许值,如果否,进入步骤C;C对用户提出的网络会话请求进行转发和相关业务处理。
文档编号H04L12/24GK1585341SQ0315524
公开日2005年2月23日 申请日期2003年8月23日 优先权日2003年8月23日
发明者程荣, 邹旭东, 欧阳伟龙 申请人:华为技术有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1