用于订户感知服务的应用的网络地址转换的制作方法

用于订户感知服务的应用的网络地址转换的制作方法
【专利摘要】总体上，描述了用于向服务节点通知专用网络地址信息以便利用该服务节点应用订户感知服务的技术。在一些示例中，服务节点包括认知、授权和记账（AAA）接口以接收AAA消息，其中该AAA消息已经从AAA协议进行扩展以指定被AAA服务器针对接入网络进行了认证并且被指定以不可在该接入网络之外进行路由的专用网络地址的订户设备的专用网络地址。映射模块将订户数据业务的公共网络地址与AAA消息所接收的专用网络地址相关联。一个或多个服务模块使用相关联的专用网络地址选择多个订户策略中的一个或多个，并且依据所选择的订户策略向订户数据业务应用服务。
【专利说明】用于订户感知服务的应用的网络地址转换
[0001]本申请要求于2012年9月28日提交的美国申请第13/631704号的权益，其全部内容通过引用结合于此。
【技术领域】
[0002]本发明涉及计算机网络，并且更具体地，涉及计算机网络中的网络地址转换。
【背景技术】
[0003]计算机网络通常包括多个互连的网络设备。诸如互联网之类的大型网络通常包括多个互连的计算机网络，该计算机网络在这种上下中经常被称之为子网络或子网。这些子网均被指派以能够被分配给处于相应子网中的个体网络设备的网络地址的一个范围。每个子网中的服务器或其它设备可以负责依据诸如动态主机配置协议(DHCP)之类的网络地址分配协议来分配这些网络地址。
[0004]接入网络经常向其消费者所使用的订户设备(例如，有线调制解调器、DLS调制解调器、移动设备)分配专用网络地址。例如，DHCP服务器或RADIUS服务器可以在为订户设备建立网络连接时向订户设备动态分配专用地址。当没有处于使用时，网络连接卸载并且专用地址被返回至接入网络内所采用的提供方地址的池。这些专用地址可能无法在接入网络之外进行路由。相反，网络地址转换(NAT)设备将订户设备所使用的专用地址转换为可在诸如互联网之类的公共网络中进行路由的公共网络地址。

【发明内容】

[0005]总体上，描述了一种向服务节点通知专用网络地址信息以便利用该服务节点应用订户感知服务的技术。该技术例如可适用于服务节点定位于接入网络上游的接入网络，并且因此将订户业务内的公共网络地址与个体订户的专用网络地址或其它标识符相关联，以应用订户感知服务。
[0006]作为一个说明性示例，接入网络的网络接入网关或其它设备可以向附接至接入网络的每个新的订户设备分配用于该接入网络的专用网络地址，该专用网络地址由网络接入网关映射至公共网络地址以便在该接入网络之外对订户数据业务进行路由时使用。该网络接入网关在一些情况下可以以这种方式将多个专用网络地址映射到公共网络地址。该网络接入网关在认证、授权和记账(AAA)消息中将该映射公布至AAA服务器。该AAA服务器被配置为例如向包括服务节点在内的任意请求设备反映该映射。服务节点使用该映射来确定用于通过该服务节点的订户数据业务的专用网络地址和相对应的订户。作为结果，尽管在逻辑上位于接入网络之外并且尽管订户数据业务源自于/去往公共网络地址，但是服务节点可以向订户数据业务应用订户感知的服务，即根据订户的身份或订户群组所区分的服务。
[0007]在一个方面，一种向订户数据业务应用订户服务的方法包括利用服务节点接收符合认证、授权和记账(AAA)协议的AAA消息，其中该AAA消息已经从AAA协议进行扩展以指定针对接入网络进行了认证，并且被分配以无法在接入网络之外进行路由的专用网络地址的订户设备的专用网络地址。该方法还包括接收源自于或者去往可由分组数据网络进行路由的公共网络地址的订户数据业务。还方法还包括将订户数据业务的公共网络地址与AAA消息所接收的专用网络地址相关联。该方法进一步包括使用该专用网络地址选择一种或多种策略。该方法还包括依据该策略将服务应用于与该专用网络地址相关联的订户数据业务。
[0008]在另一个方面，一种用于发布专用网络地址信息的方法包括利用接入网络的网络接入网关接收来自订户设备的针对与分组数据网络的服务会话的会话请求。该方法还包括将公共网络地址与订户设备的专用网络地址相关联，其中该公共网络地址可在分组数据网络内进行路由。该方法进一步包括在认证、授权和记账(AAA)消息中向AAA服务器发送专用网络地址和公共网络地址，其中该AAA消息符合AAA协议，其已经从AAA协议进行延伸以指定用于该订户设备的专用网络服务。该方法还包括接收与关联于该订户设备的公共网络地址相关联的订户数据业务。该方法进一步包括根据公共网络地址与该订户设备的专用网络地址的关联而将该公共网络地址转换为专用网络地址。该方法包括响应于将该公共网络地址转换为专用网络地址而向该专用网络地址转发订户数据业务。
[0009]在另一个方面，一种用于向服务节点发布专用网络地址信息的方法包括利用认证、授权和记账(AAA)服务器接收AAA消息，该AAA消息包括附接至接入网络的订户设备的专用网络地址。该方法还包括将来自AAA服务器的AAA消息作为反射AAA消息而反射至位于接入网络和分组数据网楼之间的接口上的服务节点以向该服务节点声明该订户设备的专用网络地址。
[0010]在另一个方面，一种服务节点包括具有处理器的控制单元。该控制单元的认证、授权和记账(AAA)接口接收符合AAA协议的AAA消息，其中该AAA消息已经从AAA协议进行扩展以指定由AAA服务器针对接入网络进行了认证并且被分配以无法在该接入网络之外进行路由的专用网络地址的订户设备的专用网络地址。该服务节点还包括一个或多个网络接口卡以接收源自于或去往可由分组数据网络进行路由的公共网络地址的订户数据业务。该服务节点还包括该控制单元的映射模块以将该订户数据业务的公共网络地址与AAA消息所接收的专用网络地址相关联。该服务节点还包括一种或多种订户策略。该服务节点还包括一个或多个服务模块以使用相关联的专用网络地址选择一种或多种订户策略，并且依据所选择的订户策略向与专用网络地址相关联的订户数据业务应用多个服务中的一个或多个。
[0011]在另一个方面，一种用于接入网络的网络接入网关包括具有处理器的控制单元。该网络接入网关还包括一个或多个网络接口卡，其接收来自订户设备的针对于分组数据网络的服务会话的会话请求。该控制单元将公共网络地址与该订户设备的专用网络地址相关联，其中该公共网络地址可在分组数据网络中进行路由。该网络接入网关还包括认证、授权和记账(AAA)接口以在AAA消息中向AAA服务器发送专用网络地址和公共网络地址，其中该AAA消息符合AAA协议，其已经从AAA协议进行延伸以指定用于该订户设备的专用网络服务。该网络接口卡接收与关联于该订户设备的公共网络地址相关联的订户数据业务。该控制单元根据公共网络地址与该订户设备的专用网络地址的关联而将该公共网络地址转换为专用网络地址。该控制单元响应于将该公共网络地址转换为专用网络地址而向该专用网络地址转发至订户数据业务。[0012]本发明的一个或多个实施例的细节在以下的附图和描述中给出。本发明的其它特征、目的和优势将由于该描述和附图以及权利要求而是显而易见的。
【专利附图】

【附图说明】
[0013]图1是图示网络系统的框图，该网络系统具有在逻辑上位于接入网络的专用网络地址空间之外的服务节点，并且依据本公开所描述的技术将订户数据业务的公共网络地址映射至专用网络地址以应用订户感知服务。
[0014]图2是详细图示在逻辑上位于接入网络之外的接口上的服务节点的示例性实例的框图，其根据本公开所描述的技术而推断接入网络内用于订户设备的专用网络地址。
[0015]图3是图示依据这里所描述的技术的映射表的示例性实例的关联数据结构。
[0016]图4是图示依据这里所描述的包括专用网络地址和公共网络地址的示例性认证、授权和记账消息的框图。
[0017]图5是图示依据本公开所描述的技术的系统的示例性操作模式的流程图，该系统包括在认证、授权和记账消息中发布用于订户设备的专用网络地址并且将订户数据业务的公共网络地址转换为专用网络地址以应用订户感知服务的网络设备。
[0018]图6是图示根据这里所描述的技术的服务节点的示例性操作模式的流程图，该服务节点用于将公共网络地址/公共端口转换为专用网络地址/专用端口以向订户数据业务应用订户感知服务。
[0019]贯穿示图和文本，相同的参考字符而表示相同的元件。
【具体实施方式】
[0020]图1是图示示例网络系统的框图，该网络系统具有位于接入网络4的上游的服务节点10。在图1的示例中，服务节点10可以被视为在逻辑上位于接入网络4之外。然而，图1仅是示例性的，并且这里所描述的技术可以在其它网络配置中被用来向服务节点发布网络地址转换信息，诸如其中一个或多个服务节点位于与订户设备6相同的专用网络地址子网内的网络配置。在图1的示例中，服务节点10利用通过RADIUS服务器16所发布的网络地址信息将订户数据业务内的公共网络地址映射至订户设备6的专用网络地址，以便应用订户感知服务。在该示例中，网了系统2包括通过接口 24经由网络接入网关8耦合至接入网络4的多个分组数据网络(PDN) 12A-12M (共同为“PDN12”)。
[0021]PDN12支持可由订户设备6A-6N (共同为“订户设备6”)所请求并使用的一个或多个基于分组的服务。作为示例，每个TON12可以提供互联网接入、块数据传输、互联网协议语音传输(VoIP)、互联网协议电视(IPTV)、短消息服务(SMS)、无线应用协议(WAP)接入、Telnet和/或特定于消费者的应用服务。每个PDN12例如可以包括局域网(LAN)、广域网(WAN)、互联网、虚拟LAN (VLAN)、企业LAN、第3层虚拟专用网络(VPN)、由同样运营接入网络4的网络服务提供商所运营的互联网协议(IP)内部网、企业IP网络，或者它们的一些组合。在各个实施例中，一个或多个TON12可被连接至公共WAN，因特网，或其他网络。每个PDNl2执行诸如(IPv4和/或IPv6)、X.25或点对点协议(PPP)的一个或多个分组数据协议(PDP)，以使得能够进行对TON12的服务的基于分组的传输。可替换地，一个或多个TON12可以被称作“Gi网络”或“SGi网络”，其中接口 24用于移动网络连接的表示Gi或SGi接口(或“基准点”)。
[0022]网络系统2还包括服务节点10，其向通过网络接入网关8和TON12之间的接口 24的订户数据应用订户感知服务。在一些实例中，由于每个TON12可以被部署为提供互联网服务、企业服务、智能电话服务、视频服务(例如，视频点播、有线电视)等之一，所以每个TON可能需要不同的服务集合。服务节点10应用这些服务，例如，其可以包括电信级网络地址转换(电信级NAT)、防火墙、入侵防护、服务器负载平衡、多协议标签交换(MPLS)虚拟专用网络(VPN)、交换和路由、视频优化和/或数据压缩。一个或多个这样的实例可能需要深度分组检查(DPI)。服务节点10可以表示均应用由服务节点10所应用的服务的不同子集的多个不同的网络设备。服务节点10可以从策略服务器(未示出)接收基于订户的策略，诸如策略控制和计费规则功能(PCRF)设备，其对所应用服务的应用进行控制。
[0023]网络接入网关8用作针对TON12所提供的服务的网关。因此，在该示例中，网络接入网关8是向TON12提供接入的设备。例如，网络接入网关8可以表示和/或整合将来自一个或多个数字订户线路接入多路复用器(DSLAM)的输出整合到去往一个或多个TON12的高速上行链路之中的向企业LAN、远程接入服务器(例如，宽带远程接入服务器)或宽带路由器提供拨号或虚拟专用网络(VPN)服务的网络接入网关，向一个或多个TON12提供无线物理层接入的无线接入点(WAP)，或者使用其它基于LAN (例如，以太网)的技术向一个或多个PDN提供无线物理层接入的交换机。在另一个示例中，网络接入网关8可以是移动网关设备，其包括实施用于大量订户设备6的订户管理的分布式控制面的多个服务卡。具有分散式控制面的示例网络网关在于2011年9月29日提交的题为“HIGH-AVAILABILITY MOBILEGATEWAYS HAVING INTERCHASSIS NON-UNIFORM SERVICE UNIT REDUNDANCY” 美国专利申请号13/248825中有所描述，其全部内容结合于此。
[0024]订户设备6经由接入网络4连接至网络接入网关8以接收到用于订户设备6所宿主的应用的PDN12服务的连接。每个订户设备6例如可以表示工作站、台式计算机、膝上计算机、蜂窝或其它移动设备、个人数字助理(PDA)、游戏控制台、电视机顶盒、智能电话、平板计算机或者能够经由无线和/或有线连接接入计算机网络的任意其它设备。每个订户设备6可以与订户(例如，人)相关联。接入TON12所提供的服务的应用可以可替换地被称之为“订户代理”。在该示例中，任意订户设备6可以连接至任意的一个或多个TON12。
[0025]网络服务提供商(或者管理PDN12的其它实体)运营或者在一些情况下出租接入网络4的元件以在订户设备6和网络接入网关8之间提供分组传输。接入网络4可以包括宽带接入网络、蜂窝接入网络、无线LAN、公共交换电话网(PSTN)或者其它类型的接入网络。蜂窝接入网络的示例包括符合通用移动电信系统(UMTS)架构、被称作长期演进(LTE)的UMTS演进、由互联网工程任务组(IETF)进行标准化的移动IP，以及第三代合作伙伴工程(3GPP)、第三代合作伙伴工程2 (3GPP/2)和全球微波接入互操作性(WiMAX)论坛所提出的其它标准的网络。
[0026]在包括作为接入网络4的蜂窝接入网络的网络系统2的示例中，网络接入网关8可以表示移动网关，例如网关通用分组无线业务(GPRS)网关支持节点(GGSN)、接入网关(aGW)或分组网关(P-GW)。在这样的示例中，接口 24表示在去往TON12的用于移动网络连接的通信链路上进行操作的Gi或SGi接口。与移动网关和SGi/Gi基准点相关的另外细节在 “3GPP TS23.401-General Packet Radio Service (GPRS) enhancements for EvolvedUniversal Terrestrial Radio Access Network”(版本 10.0.0,第三代合作伙伴计划，Technical Specification Group Services and System Aspects, 2010 年 6 月)中给出，其全部内容通过引用结合于此。在包括有线/宽带接入网络的网络系统2的示例中，网络接入网关8例如可以表示宽带服务路由器(BSR)或宽带远程接入服务器(BRAS)。
[0027]接入网络4可以包括将接入网络(例如，DSLAM)的元件划分为逻辑上不同的网络的多个服务虚拟LAN(SVLAN)。接入网络4的元件可以支持各种协议中的任意一种或多种，除其它之外，诸如互联网协议(IP)、帧中继、异步传输模式(ATM)、以太网、以太网/MPLS、点对点协议(PPP)、通过以太网传输点对点协议(PPPoE)、GPRS隧道协议(GTP)和虚拟局域网(VLAN)相关协议。使用这些协议中的任意的一种或多种，任意订户设备6向网络接入网关8发出会话请求以请求对TON12的服务进行接入。例如，订户设备6A可以向网络接入网关8广播诸如用户名和密码的凭证以请求对TON12A所提供的服务进行接入。订户设备6例如可以使用作为PPPoE主动发现发起(PADI)分组的会话请求向网络接入网关8广播凭证。在一些实例中，订户设备6直接将凭证单播至网络接入网关8以请求服务。在一些实例中，例如在接入网络4包括蜂窝接入网络的实例中，订户设备6通过向接入网络4发出会话请求而附接至接入网络4,该接入请求是LTE的创建会话请求(Create Session Request)或UMTS的PDP上下文请求(Context Request)。对于接入网络4的其它移动网络架构实施例而言，会话请求表示针对该架构的相对应会话请求消息。
[0028]每个这样的会话请求包括识别发出该会话请求的订户6的订户标识符。该订户标识符例如可以表示互联网移动订户身份(MSI)、临时移动订户身份(TMSI)、P-TMS1、系统架构演进(SAE)TASI或S-TMS1、国际移动设备身份(MEI)、订户的用户名、MSISDN号(例如，“移动订户综合服务数字网络编号”)，或者识别订户设备6的其它数据。
[0029]在所图示的示例中，订户设备6N向接入网络4发出会话请求20。网络接入网关8接收会话请求20并且针对订户设备6N建立订户会话以使得能够连接至PDN12之一。每个订户设备6可以与网络接入网关8进行多个会话以从任意一个或多个PDN12接收服务。换句话说，订户可以具有在时间上并行和/或串行的多个会话。网络接入网关8向订户提供的每个服务可以构成会话，其中会话的开始被定义为该服务首次提供之时并且会话的结束则被定义为服务结束的时刻。
[0030]虽然被图示为从订户设备6N到网络接入网关8的单个消息，但是会话请求20可以表示通过接入网络4的中间网络设备以向网络接入网关8标示出订户设备6N的多个消息。例如，在LTE体系架构中，会话请求20可以表示由订户设备6N向eNodeB所发出的初始附接请求(Attach Request)消息,该eNodeB将该请求转发至MME。该MME可以将在附接请求消息中所接收的包括设备身份在内的信息整合到第一创建会话请求消息中，该MME随后将该第一创建会话请求请求消息发送到服务网关(S-GW)并且其也由服务请求20所表示。该S-GW生成第二创建会话请求消息，其将S-GW所接收的诸如无线设备身份之类的信息整合在第一创建会话请求消息中。由S-GW发送至网络接入网关8所表示的P-GW的第二创建会话请求消息也由会话请求20所表示。作为另一个示例，会话请求20可以表示从订户设备6N到SGSN的激活PDP上下文请求消息以及从SGSN到作为GGSN进行操作的网络接入网关8的创建PDP上下文请求消息。其它移动网络体系架构可以具有作为附接过程或者用于建立所请求会话的其它过程的一部分的类似的用于向网络接入网关标示订户设备6N的消息发送机制。此外，初始的附接请求或激活PDP上下文请求消息可以响应于网络接入网关8对订户设备6N所进行的请求而发起与网络接入网关8的会话。
[0031]在图1的示例中，网络接入网关8被网络服务提供商(或其它管理实体)配置为远程认证拨入用户服务(RADIUS)客户端以指示网络接入网关8将认证、授权和记账(AAA)功能外包给所指定的RADIUS服务器16，这是接收网络接入网关所发送的连接请求或记账消息并对其进行处理的AAA服务器。认证是对订户身份进行验证的过程。授权时确定所认证的订户是否有权接入任意TON12以及进行接入的形式的过程。记账是为订户生成会话统计的记录以便例如进行计费和监视的过程。虽然关于RADIUS服务器16和RADIUS协议进行了描述，但是本公开的技术可类似应用于诸如Diameter的其它AAA协议。网络服务提供商通常部署一个或多个服务器以管理向一个或多个订户提供服务的网络的AAA功能。RADIUS协议在 Carl Rigney 等人的“Remote Authentication Dial In User Service (RADIUS)，，(互联网工程任务组(IETF)中的网络工作组，请求评议(Request for Comments) 2865, 2000年6月)中有所描述。RADIUS记账在Carl Rigney的“RADIUS Accounting”(IETF的网络工作组，请求评议2865，2000年6月)中有所描述，其全文通过引用结合于此。在另一个示例中，RADIUS服务器16可以支持一种或多种用于AAA功能的其它协议，诸如在Calhoun等人的“Diameter Base Protocol”(请求评议3588，互联网工程任务组中的网络工作组)中所描述的Diameter协议，其通过引用结合于此。
[0032]当网络接入网关8接收到来自订户设备6N的用于接入TON12M的会话请求20时，网络接入网关8从属于接入网络4的专用网络地址空间的专用网络地址池中向进行请求的订户设备分配专用网络地址。在图1的示例中，服务节点10并不是接入网络4的专用网络地址空间的成员，无法对源自于/去往接入网络4的专用网络地址空间内的地址的分组进行路由，并且因此就该意义而言，其在逻辑上位于接入网4之外。在一些示例中，网络接入网关8将专用网络地址分配外包给动态主机配置协议(DHCP)服务器、RADIUS服务器16或另一 AAA服务器。网络接入网关8将分配给订户设备6N的专用网络地址与可在被请求的PDN12内进行路由的公共网络地址以及与该公共网络地址相关联的端口范围进行关联。网络接入网关8可以从网络接入网关8所存储的池中分配公共网络地址，或者通过将分配外包给DHCP服务器、RADIUS服务器16或被请求的TON12的另一 AAA服务器来进行分配。当网络接入网关8接收针对响应于会话请求20而建立的会话的上游订户数据业务26时，网络接入网关8或位于网络接入网关8和服务节点10之间的上游NAT设备执行网络地址转换(NAT)/网络地址和端口转换(NAPT)以将订户设备6N的专用网络地址转换为可在用于该会话的TON12内进行路由的相关联的公共网络地址和端口，并且反之对于以订户设备6N为目的地的下游订户数据业务26亦是如此。如这里所使用的，“NAT”可以是指NAT或NAPT。
[0033]在一个示例中，网络接入网关8包括网络地址转换(NAT )元件，其提供可在服务提供商网络内进行路由的专用网络地址到可在分组数据网络12内“内联地(inline)”进行转换的公共网络地址的转换。在一个示例中，网络接入网关8在网络接入网关8的数据面内应用源网络地址和端口转换(NAPT)机制。例如，当对来自接入网的去往分组数据网络12内的目的地地址的订户数据业务的主站分组进行路由时，网络接入网关8的数据面内(例如，网络转发ASIC内)的NAT元件应用将该出站分组的专用源地址映射至公共地址和端口的绑定。NAT元件随后执行网络地址转换以将分组内的专用源网络地址转换为绑定至特定订户通信会话的公共网络地址和端口编号。在该过程期间，网络接入网关8的数据面内的NAT元件可以在将分组转发至分组数据网络12之前替换分组的全部或部分报头(例如，IP或UDP报头)。在从分组数据网络中的一个分组数据网络12接收进站分组时，网络接入网关8的NAT元件识别用于通信会话的当前NAT条目，并且将公共目的地网络地址和目的地端口映射至用于该通信会话的相对应的专用网络地址和端口。该NAT元件随后可以在将分组转发至接入网络4之间替换该分组内的所有或部分报头(例如，IP或UDP报头)。
[0034]在一个示例中，在接收与订户相关联的任何数据业务之前，在响应于会话请求20建立网络连接时预先分配订户的公共网络地址和端口范围。例如，在登录和认证期间，专用网络地址被从专用地址的池被分配至订户设备6。此时，预先分配公共网络地址和端口范围以便针对网络连接的后续通信会话(分组流)进行NAT绑定。例如，DHCP服务器可以在为请求新的订户会话的认证订户设备6N分配专用网络地址时预先分配公共网络地址和端口范围。可替换地，将订户管理服务单元锚定(anchor)在网络接入网关8内，以便订户会话可以从数据库或公共地址池预先分配公共网络地址和端口范围。使用预先分配的公共网络地址和端口范围在网络接入网关8的数据面内执行联机NAT的进一步的示例细节在于2012年5 月 14 日提交的题为“INLINE NETWORK ADDRESS TRANSLATION WITHIN A MOBILE GATEWAYROUTER”的美国专利申请号13/471252中有所描述，其通过引用全文结合于此。
[0035]会话请求20可以进一步包括识别PDN12之一并且在一些实例中可以进一步识别所识别PDN提供的所请求服务(例如，互联网，WAP或多媒体消息服务(MMS))的接入点名称(APN)。在这样的实例中，即在基于APN的实施方式中，APN是确定用于订户设备6N的适当网络接入网关(例如，GGSN或P-GW)的逻辑名称，并且被网络接入网关用来确定订户所请求的服务和/或应当向其转发来自订户设备6N的订户数据业务26的外部TON12中的接入点的地址。APN有效地识别在该APN的一个相关联TON12中具有其自己的地址空间的移动VPN0就该意义而言，接口 24可以表示各个APN的相应Gi/SGi接口。有关移动VPN的另外的细节在于 2011 年 12 月 20 日提交的题为 “VIRTUAL PRIVATE NETWORKING WITH MOBILECOMMUNICATION CONTINUITY”的美国专利申请号13/332163中找到，其通过引用全文结合于此。因此,在基于APN的实施方式中，网络接入网关8接收在会话请求20中识别PDN12之一的APN，将为订户设备6N所分配的专用网络地址与可在所识别的一个Η)Ν12的VPN内进行路由的VPN地址(“公共”网络地址)相关联。网络接入网关8随后可以执行NAT以将订户设备6N的的专用网络地址转换为可在针对会话的上游订户数据业务26所识别的TON12之一进行路由的相关联VPN地址，并且反之对于去往订户设备6N的下游订户数据业务26亦是如此。
[0036]继续图1中响应于会话请求20而建立会话的示例，网络接入网关8向RADIUS服务器16发送的RADIUS协议接入请求，包含诸如订户标识符、网络接入网关8的网络地址之类的属性，并且在一些情况下包含进行请求的订户设备6N针对其请求服务会话的TON12之一(在所图示的示例中为PDN12M)的标识符。如果RADIUS服务器16包括订户的配置记录并且授权凭证蒸汽，则RADIUS服务器16向网络接入网关8返回RADIUS协议接入接受消息。如果未找到匹配或者发现了有关认证凭证的问题，则RADIUS服务器16返回接入拒绝消息。网络接入网关8随后建立或终止进行请求的订户设备6N与TON12之一的会话。订户设备6使用该会话与TON12M交换订户数据业务。[0037]在一些示例中，RADIUS服务器16可以将一些AAA功能外包给一个或多个后端服务器，诸如认证服务器、外部数据库和/或远程RADIUS服务器。该认证服务器可以是后端认证服务器，诸如RSA安全ID系统、结构查询语言或轻量级目录接入协议(LDAP)数据库服务器，或者存储订户账户和订户账户属性的列表的归属位置寄存器，该订户账户和订户账户属性的列表能够由RADIUS服务器16进行检查以验证认证凭证，并且由RADIUS服务器16进行查询以获得包含订户的授权和连接参数信息的订户账户属性。在一些情况下，认证服务器代表RADIUS服务器16对认证凭证进行验证。外部数据库是指RADIUS服务器16可以用来存储账户信息的后端数据库。在一些情况下，RADIUS服务器16是远程RADIUS服务器的代理服务器。
[0038]依据这里所描述的技术，作为会话设置的一部分，网络接入网关8向RADIUS服务器16发送包括为订户设备6N所分配的专用网络地址的AAA消息22A，诸如RADIUS记账请求和/或接入请求消息，并且RADIUS服务器16将该专用网络地址发布至公共网络中的任意进行请求的网络设备，包括发布至反射AAA消息22B中的服务节点10。RADIUS服务器16可以被配置为将反射AAA消息22B发送至服务节点10，或者可以将反射AAA消息22A发送至服务节点10，或者可以响应于来自服务节点10的请求，或者响应于服务节点10针对接收这样的信息而在之前所进行的注册来发送反射AAA消息22B。服务节点10的映射模块14基于通过服务节点10的订户数据业务26的公共网络地址而使用在反射AAA消息22B中所接收的所发布专用网络地址来识别订户设备6N。在一些示例中，网络接入网关8在AAA消息22A包括特定订户设备6N的附加网络地址和/或端口范围信息，RADIUS服务器16将该信息存储至映射表18并且在反射AAA消息22B中反射至服务节点10。例如，依据美国专利申请号13/471252，网络接入网关8可以包括分配至订户设备6N的公共网络地址以及端口范围，以便在针对与订户设备相关联的后续通信会话应用联机NAT时使用。服务节点10的映射模块14随后可以使用附加网络地址和/或端口范围从去往/源自于分配至订户设备6N的相关联公共网络地址和端口号的订户数据业务26来识别订户设备6N专用网络地址或其它标识符。在一些示例中，网络接入网关8使用确定性算法来执行NAT/NAPT (也被称作“确定性NAT”)以将专用网络地址和端口转换为公共网络地址和端口，反之亦然。在这样的示例中，映射模块14使用该确定性算法的逆算法从去往/源自于订户设备6N的相关联公共网络地址的订户数据业务26来确定订户设备6N的专用网络地址。
[0039]通过应用本公开中所描述的技术，尽管位于应用于源自于或去往个体订户设备6的订户业务的NAT操作的上游，但是服务节点10也可以向订户数据业务26应用订户感知的服务，即根据订户的身份进行区分的服务。以这种方式，如图1的示例所示，即使在服务节点10在逻辑上位于接入网络4之外的网络配置中以及尽管订户数据业务26源自于/去往TON12M的公共网络地址的情况下，该技术也可以被用来应用特定于订户的服务。此外，使用RADIUS服务器16或另一 AAA服务器利用专用网络地址以及一些实例中的订户设备6的其它地址/端口信息进行记录，并且将其进行发布允许RADIUS服务器16向在逻辑上位于接口 24上的任意请求设备发布该信息。这能够减少网络接入网关8和服务节点10之间在其它情况下向多个节点发布专用网络地址和其它地址/端口信息所需的信令业务。然而，在一些实例中，网络接入网关8可以直接向服务节点10发布公户设备6的专用网络地址以及一些实例中的其它地址/端口信息。[0040]图2是详细图示在逻辑上位于接入网络之外的接口上的服务节点的示例性实例的框图，该服务节点根据本公开所描述的技术确定接入网络内的订户设备的专用网络地址。服务节点10包括控制的那样30和网络接口卡(IFC)46。服务节点10的操作在图1的网络系统2的上下文中进行描述。网络接入网关8和RADIUS服务器16可以包括与诸如控制单元30、IFC46和AAA接口 32的关于服务节点10所描述的那些相类似的组件。
[0041]服务节点10的网络接口卡46与其经由通信链路与之耦合其它网络设备交换网络分组。网络接口卡46将所接收的网络分组提供至控制单元30以便进行处理并且输出从控制单元30所接收的经处理的网络分组。网络接口卡46可以表示多个IFC。
[0042]服务节点10的控制单元30为执行模块提供了操作环境，该执行模块在所图示的示例中包括AAA接口 32、映射模块14以及一个或多个服务模块41A-42N(服务模块42)。控制单元30可以包括一个或多个处理器(未示出)，其包括一个或多个微处理器、数字信号处理器(DSP)、应用特定集成电路(ASIC)、现场可编程门阵列(FPGA)，或者任意其它等同的集成或离线逻辑电路，以及这样的组件的任意组合，以便执行实施这里所描述的功能的模块。在该示例中，控制单元30还包括计算机可读存储媒体以存储映射表40和订户策略44的数据结构，其例如可以包括平面文件、数据库、表格和/或列表。
[0043]除其它功能之外，AAA接口 32实施RADIUS协议以接收并处理RADIUS消息，包括来自RADIUS服务器16的反射RADIUS消息36。反射RADIUS消息36可以表示图1的反射AAA消息22B的示例性实例。AAA接口 32将订户设备的专用网络地址连同反射RADIUS消息36中所包括的附加网络地址和/或端口范围信息一起存储到映射表40。
[0044]映射表40是存储订户的网络地址信息，以便由映射模块14在将服务节点10所接收的订户数据业务48的公共网络地址转换为相对应订户的专用网络地址时使用的数据结构。映射表40存储与反射RADIUS消息36相关联的订户设备的专用网络地址的记录，并且在一些实例中，存储与该专用网络地址相关联的公共网络地址和/或端口范围信息。映射表40可以针对其它订户设备存储这样的附加记录。
[0045]服务模块42构成了服务节点10的服务平面34，并且向服务节点10所接收的订户数据业务48应用订户感知服务。通常，控制单元30将订户数据业务48中继至服务模块42，该服务模块42依据订户策略44而有选择地将服务应用于订户数据业务48。订户策略44包括在不同订户设备之间进行区分以便指定由服务模块42所应用经区分的服务的一个或多个策略。服务提供商可以对订户策略44进行配置，或者服务节点10可以在检测到新的订户业务或接收相对应订户的诸如RADIUS消息36之类的订户设置通知时从策略服务器动态获取订户策略。订户策略44因此对服务模块42的操作进行指导。术语“策略”可以是指对服务模块42在特定于订户或特定于订户群组的基础上所进行的服务应用有所影响的任意数据。例如，订户策略44可以关于订户数据业务48规定有关加密、隧道传输、分组过滤、深度分组检查、入侵检测和防护等的附加操作。
[0046]服务模块42可以表示由控制单元30所执行以便执行相应服务的不同处理或软件丰旲块。例如，服务1旲块42A可以提供防火墙服务，服务I旲块42B可以提供电/[目级NAT,等等。在一些实例中，一个或多个服务模块42表示沿服务节点10的底板或其它互连所安装以便向订户数据业务48应用以上所提到的一个或多个服务的服务卡。通常，控制单元30将从IFC46所接收的订户数据业务中继至服务模块42。[0047]在一些实例中，控制单元30的控制和转发平面功能被分开以包括单独的控制/路由和转发单元。在这样的实例中，转发单元(或“转发引擎”)可以包括流转向单元以有选择地将分组指向服务模块42以便进行处理。例如，流转向单元可以接收订户数据业务的到来分组流并且确定是否通过服务模块42发送分组以便进行处理，或者是否绕过服务模块42。在综合服务路由器中用于将服务和转发分开的示例转发平面配置可以在于2009年4月 29 日提交的题为 “Scalable Security Services for Multicast in a Router HavingIntegrated Zone-Based Firewall”的美国专利申请序列号12/432366中找到，其全部内容通过引用结合于此。
[0048]订户数据业务48包括由网络接入网关8为了向订户设备6输送TON12的服务而建立的一个或多个订户会话的上游和下游订户数据业务。订户数据业务48包括均具有网络分组报头的网络分组，该网络分组报头具有可在网络接入网关8与一个或多个PDN12之间的接口上进行路由的公共源网络地址和公共目的地网络地址。
[0049]映射模块14将订户数据业务48的公共网络地址转换为专用网络地址，该专用网络地址在来自RADIUS服务器16的RADIUS消息(例如，RADIUS消息36)中被接收并且被存储到映射表40。例如，映射模块14可以检查与附接至接入网络4的某些订户设备相关联并且具有公共目的地网络地址的订户数据分组的网络分组。映射模块14依据这里所描述的技术使用映射表40将该公共目的地地址转换为例如在RADIUS消息36中所接收的订户设备的专用网络地址。以下参考图5至图6对转换技术更为详细地进行描述。
[0050]映射模块14向服务模块42通知所转换的专用网络地址，以允许服务模块42向订户数据业务48应用订户感知服务。例如，映射模块14可以向服务模块42提供公共网络地址和专用网络地址的关联；或者公共网络地址、公共端口范围信息和专用网络地址的关联。服务模块42随后可以使用该关联来快速确定订户数据业务48的专用网络地址以及相关联的订户设备而使得能够依据订户策略44来应用订户感知服务。例如，服务模块42可以在订户策略44中查找订户设备的专用网络地址以识别一个或多个特定于订户(或特定于订户群组)的策略以应用于具有相关联公共网络地址(或相关联的公共网络地址和公共端口范围)的订户数据业务48。在一些实例中，映射模块14和/或查找表40的实例可以被整合在一个或多个服务模块42中以实质上执行类似的转换功能。
[0051]图3是图示根据这里所描述的技术的映射表的示例实例的关联数据结构。图3的映射表60可以表示图2的服务节点10的映射表40或者图1的RADIUS服务器16的映射表18的示例。
[0052]在该示例中，映射表60包括多个映射记录64A-64N (共同为“映射记录64”)，它们均将帧IP地址栏62A中的订户的专用地址或其它位移标识符与公共IP地址栏62B中的公共网络地址相关联，并且在一些实例中，与公共端口范围栏62C中的公共端口范围相关联。例如，映射记录64A将专用网络地址Fl与公共网络地址Pl以及公共端口范围Rl相关联。然而，映射记录64B将专用网络地址F2与相同的公共网络地址Pl和不同的公共端口范围R2相关联。范围诸如可以由范围的最小值和最大值指定为范围的基点和长度，或者使用一些其它范围量词来指定。
[0053]映射模块14可以使用映射记录64A、64B来执行关于订户数据业务的NAPT。映射记录64C将专用网络地址F3与公共网络地址P2相关联，但是并不与公共端口范围相关联。映射模块14可以使用映射记录64C来执行关于订户数据业务的静态NAT。在一些实例中，映射表60包括专用网络地址的简单列表以便在获得订户策略44时使用或者在确定性NAT的一些实施方式中由映射模块14所使用。RADIUS服务器16可以使用映射表60的不例实例来存储映射记录以便发布至进行请求的设备，诸如服务节点10。
[0054]图4是图示依据这里所描述的技术的可以包括专用网络地址和公共网络地址的示例认证、授权和记账(AAA)消息的框图。RADIUS记账请求消息200 (此后，称作“记账请求消息200”)可以表示图1的AAA消息22A或反射AAA消息22B或者图2的AAA消息36的示例实例。虽然被描述为RADIUS记账请求消息，记账请求消息200在一些示例中可以是另一 RADIUS请求消息(例如，RADIUS接入请求消息)、另一种类型的RADIUS消息或者用于另一 AAA协议的消息(例如，Diameter消息)。
[0055]在所图示的示例中，记账请求消息200包括识别RADIUS消息的类型(在该示例中为记账请求)的代码字段202A。标识符字段202B有助于将RADIUS记账请求与相对应的RADIUS记账回复进行匹配。长度字段202C指示记账请求消息200的长度。请求认证字段202D可以使用双方已知的共享机密而对进行发布的RADIUS客户端(例如，RADIUS服务器16或网络接入网关8)和进行接收的RADIUS服务器(例如，RADIUS服务器16或服务节点10)之间的消息进行认证。账户请求消息200可以包括并未图示的其它字段。
[0056]字段204和206指定记账请求消息200的不同属性。帧IP地址字段204是包括接入网络的网络接入网关已经针对其发出了 RADIUS记账请求消息的订户设备的专用IP地址(即，专用网络地址)192.168.54.28的属性。依据这里所描述的技术，特定于供应商的属性(VSA)字段206包括指定供应商的标识符([VEND0R-1D])的初始类型长度数值(TLV)对象207以及扩展AAA协议的扩展属性208A-208B (例如，RADIUS)，包括RADIUS记账请求消息或其它AAA协议消息。VEND0R-1D例如可以识别出服务节点10和/或网络接入网关8的供应商。公共IP地址扩展属性208A为具有在帧IP地址字段204中所指定的专用IP地址的订户设备指定公共IP地址(即，公共网络地址)10.1.1.128。以这种方式，记账请求消息200将订户设备的专用网络地址与公共网络地址相关联。公共端口范围扩展属性208B是为具有在帧IP地址字段204中所指定的专用IP地址的订户设备指定公共端口范围的端口范围信息的示例，该公共端口范围及端口 1024-2047。以这种方式，记账请求消息200将订户设备的专用网络地址与公共端口范围相关联。在一些实例中，账户请求消息200并不包括公共IP地址扩展属性208A和/或公共端口范围扩展属性208B。
[0057]服务节点10可以接收记账请求200的实例，并且提取其中所包括的属性，即帧IP地址字段204、公共IP地址扩展属性208A和公共端口范围扩展属性208B。服务节点10随后将相对应的数值存储至映射表，诸如图2的映射表40，以便在将订户数据业务的公共网络地址转换为允许进行订户确认和应用订户感知服务的专用网络地址时使用。在一些实例中，网络接入网关8和服务节点10执行确定性NAT来将公共网络地址/公共端口转换为订户设备6的专用网络地址/专用端口。在这样的实例中，帧IP地址字段204包括订户设备的专用网络地址。
[0058]图5是图示系统的示例操作模式的流程图，该系统包括依据本公开所描述的技术在AAA消息中为订户设备发布专用网络地址并且将订户数据业务的公共网络地址转换为专用网络地址以应用订户感知服务的网络设备。出于说明的目的，该示例操作模式关于图I的网络系统2进行描述。
[0059]最初，接入网络4的网络接入网关8从请求TON12M的服务的订户设备6N接收会话请求20 (300)。网络接入网关8向订户设备6N针对所请求的服务会话而分配接入网络4的专用网络地址(302)，并且网络接入网关8在AAA消息22A中向RADIUS服务器16发送所分配的专用网络地址(304)。AAA消息22A可以包括附加的寻址信息，诸如单独的(S卩，与专用网络地址区分开来的)公共网络地址以及端口范围。
[0060]RADIUS服务器16将订户设备6N的专用网络地址存储至映射表18(306)。RADIUS服务器16将AAA消息22A作为反射AAA消息22B反射至在逻辑上处于接入网4之外，并且因此无法对指定了仅能够在接入网络4之内进行路由的专用网络地址的订户数据业务进行路由(308)。服务节点10随后接收所请求服务会话的订户数据业务，其源自于/去往反射AAA消息22B的字段或属性中所包括的公共网络地址(310)。如果该订户数据业务的公共网络地址也是反射AAA消息中所包括的专用网络地址(例如，在RADIUS消息中的帧IP地址字段中)(312的是分支)，则网络接入网关8并不对网络接入网关8为可在TON12M内进行路由的所请求服务会话所分配的专用网络地址执行NAT。服务节点10因此类似地并不执行关于该订户数据业务的NAT (314)。
[0061]如果公共网络地址不是反射消息22B中所包括的专用网络地址(312的否分支)，则公共网络地址作为公共网络地址包括在AAA消息22B，其与AAA消息22B中所包括的专用网络地址分开(例如，作为与RADIUS消息的帧IP地址分开的VSA)。如果反射AAA消息22B还包括端口范围信息(316的是分支)，则服务节点10执行反向NAPT以将订户数据业务的公共网络地址和端口映射至订户设备6N的专用网络地址，由此识别出该订户设备(318)。如果反射AAA消息22B并不包括端口范围信息(316的否分支)，则服务节点执行静态NAT以将公共网络地址映射至订户设备6N的专用网络地址(318)。在已经识别了订户设备6N的专用网络地址的情况下，服务节点10向与订户设备6N相关联的订户数据业务应用订户感知服务(320)。
[0062]图6是图示服务节点的示例操作模式的流程图，该服务节点用于根据这里所描述的技术将公共网络地址/端口转换为专用网络地址/端口以便向订户数据业务应用订户感知服务。该示例操作模式关于图1至图2的服务节点10进行描述。最初，服务提供商、管理员或其它实体对服务节点10配置以网络接入网关8的公共网络地址、公共端口范围和专用网络地址，该网络接入网关8执行确定性NAT以将公共网络地址范围/公共端口转换为专用网络地址/专用端口，反之亦然(400)。服务节点10将所配置的信息存储为配置数据。随后，服务节点10接收指定处于所配置的专用网络地址范围之内并且与附接至网络接入网关8的订户设备6之一相关联的专用网络地址(402)。服务节点10使用AAA消息中所接收的专用网络地址来获得订户设备6的特定于订户的策略，并且将该特定于订户的策略存储至订户策略44 (404)。
[0063]服务节点10随后接收源自于/去往处于所配置的公共网络地址范围中的公共网络地址的订户数据业务(406)。基于订户数据业务的公共网络地址/公共端口以及所配置的公共网络地址范围、公共端口范围和专用网络地址范围，映射模块14执行确定性NAT以计算或以其它方式识别订户设备6的专用网络地址(408)。在一些示例中，映射模块14执行确定性NAT以根据以下函数来计算订户设备6的专用网络地址:[0064]
【权利要求】
1.一种方法，包括: 利用认证、授权和记账(AAA)服务器接收AAA消息，所述AAA消息包括附着至接入网络的订户设备的专用网络地址；以及 将所述AAA消息作为反射AAA消息从所述AAA服务器反射至位于所述接入网络和分组数据网络之间的接口上的服务节点以向所述服务节点声明所述订户设备的所述专用网络地址。
2.根据权利要求1的方法， 其中所述AAA消息进一步包括公共网络地址， 其中所述AAA消息包括远程接入拨入订户服务(RADIUS)请求消息， 其中所述RADIUS请求消息在帧IP地址字段中包括所述专用网络地址，并且其中所述RADIUS请求消息在特定于供应商的属性字段中包括所述公共网络地址，所述方法进一步包括: 将所述专用网络地址与所述公共网络地址的关联存储至映射表，其中反射所述AAA消息包括反射所述AAA消息以声明所述公共网络地址。
3.根据权利要求1-2中任一项的方法， 其中所述AAA消息进一步包括所述订户设备的共用端口范围， 其中所述AAA消息进一步包括所述订户设备的公共网络地址，所述方法进一步包括:将所述专用网络地址、所述公共网络地址和所述公共端口范围的关联存储至映射表，其中确定专用网络地址包括使用所述关联执行网络地址和端口转换， 其中反射所述AAA消息包括反射所述AAA消息以声明所述公共网络地址和所述公共端口范围。
4.根据权利要求1-3中任一项的方法， 其中所述AAA消息包括符合远程接入拨入订户服务(RADIUS)协议的RADIUS请求消息，其中所述RADIUS请求消息在帧IP地址字段中包括所述专用网络地址，并且其中所述RADIUS请求消息从所述RADIUS协议进行扩展以在特定于供应商的属性字段的第一扩展属性中包括所述公共网络地址，并且在所述特定于供应商的属性字段的第二扩展属性中包括所述公共端口范围。
5.根据权利要求1-4中任一项的方法，进一步包括: 利用服务节点从所述AAA服务器接收所述反射AAA消息； 接收源自于或去往能够由所述分组数据网络进行路由的公共网络地址的订户数据业务; 将所述订户数据业务的所述公共网络地址与所述反射AAA消息中所接收的所述专用网络地址相关联； 使用所述专用网络地址选择一个或多个策略；以及 依据所选择的策略向与所述专用网络地址相关联的所述订户数据业务应用服务。
6.根据权利要求1-5中任一项的方法，其中所述反射AAA消息为对与所述订户设备相关联的所述订 户数据业务进行的网络地址转换操作指定所述公共网络地址，所述方法进一步包括: 将所述专用网络地址和所述公共网络地址的关联存储到服务节点的映射表，其中将所述订户数据业务的所述公共网络地址与所述专用网络地址相关联包括使用所述关联执行静态网络地址转换。
7.根据权利要求1-5中任一项的方法， 其中所述AAA消息包括符合远程接入拨入订户服务(RADIUS)协议的RADIUS请求消息，其中所述RADIUS请求消息在帧IP地址字段中包括所述专用网络地址，并且其中所述RADIUS请求消息从RADIUS协议进行扩展，以在特定于供应商的属性字段中包括对与所述订户设备相关联的所述订户数据业务进行的网络地址转换操作的所述公共网络地址。
8.根据权利要求1-5中任一项的方法，其中所述反射AAA消息为对与所述订户设备相关联的所述订户数据业务进行的网络地址转换操作指定所述公共网络地址和所述订户设备的公共端口范围，所述方法进一步包括: 将所述专用网络地址、所述公共网络地址和所述公共端口范围的关联存储到所述服务节点的映射表，其中将所述订户数据业务的公共网络地址与所述专用网络地址相关联包括使用所述关联执行网络地址和端口转换。
9.根据权利要求8的方法， 其中所述反射AAA消息包括符合远程接入拨入订户服务(RADIUS)协议的RADIUS请求消息， 其中所述RADIUS请求消息在帧IP地址字段中包括所述专用网络地址，并且其中所述RADIUS请求消息从所述RADIUS协议进行扩展，以在特定于供应商的属性字段的第一扩展属性中包括所述公共网络地址，并且在特定于供应商的属性字段的第二扩展属性中包括所述公共端口 范围。
10.根据权利要求1-9中任一项的方法，进一步包括: 利用所述接入网络的网络接入网关接收来自所述订户设备的针对与所述分组数据网络的服务会话的会话请求； 将公众网络地址与所述订户设备的专用网络地址相关联，其中所述公众网络地址能够在所述分组数据网络内进行路由； 在所述AAA消息中向所述AAA服务器发送所述专用网络地址和所述公众网络地址； 接收与关联于所述订户设备的所述公众网络地址相关联的订户数据业务； 根据所述公众网络地址与所述订户设备的所述专用网络地址的关联，将所述公众网络地址转换为所述专用网络地址；以及 响应于将所述公众网络地址转换为所述专用网络地址，向所述专用网络地址转发所述订户数据业务。
11.一种网络设备，包括: 控制单元，所述控制单元包括一个或多个处理器，所述处理器被配置为: 接收认证、授权和记账(AAA)消息，所述AAA消息包括附着至接入网络的订户设备的专用网络地址；以及 将所述AM消息作为反射AM消息从所述网络设备反射至位于所述接入网络和分组数据网络之间的接口上的服务节点，以向所述服务节点声明所述订户设备的所述专用网络地址。
12.根据权利要求11的网络设备，包括用于执行权利要求1-4中任一项的方法的部件。
【文档编号】H04L29/06GK103812960SQ201310451201
【公开日】2014年5月21日 申请日期:2013年9月27日 优先权日:2012年9月28日
【发明者】G·克里施纳, A·梅塔, A·萨斯雅纳拉雅纳, B·万达洛瑞, D·巴基亚拉杰, V·钦纳坎努 申请人:瞻博网络公司