专利名称:用于认证系统的地址溯源方法和装置的制作方法
技术领域:
本发明涉及IT设备技术和认证技术领域,尤其涉及用于认证系统的地址溯源方法和装置。
背景技术:
随着公有IPv4地址即将枯竭,私有IPv4地址的应用将越来越广泛,而地址转换设备的部署也会变得越来越普遍。地址转换设备和认证系统中存在一个私有IP地址和公有IP地址映射表。用户上网时,通常转换设备根据用户的私有IP地址随机地从公有IP地址池分配一个地址,再随机分配一个端口,形成私有IP地址与公有IP地址、端口的映射关系,这种方式生成的映射关系实时地告知认证系统。上网使用业务需要单点认证时,业务系统会将用户的公有IP地址和端口送到认证系统进行合法性判断,如果认证系统存储有私有IP地址与公有IP地址、端口的映射关系表,则认证系统可以根据映射表得到用户的私有IP地址,根据私有IP地址查到用户的ID和用户的权限等信息。
发明内容
鉴于以上,本发明提出用于认证系统的地址溯源方法和装置。其中,本发明提出用于认证系统的地址溯源方法,包括以下步骤当需要认证时,业务平台获取公有IP地址和端口,发送给认证系统;认证系统将公有IP地址和端口传送给地址计算设备;在地址计算设备中配置私有IP地址池、配置公有IP地址池、配置映射后的公有地址端口块大小、以及配置用于映射的端口范围,根据已配置的参数、以及所述公有IP地址和端口,计算出私有IP地址,发送给认证系统。本发明还提出用于认证系统的地址溯源装置,包括业务平台,获取公有IP地址和端口,发送给认证系统;认证系统,与业务平台连接,将公有IP地址和端口传送给地址计算设备;地址计算设备,与认证系统连接,配置私有IP地址池、配置公有IP地址池、配置映射后的公有地址端口块大小、以及配置用于映射的端口范围,根据已配置的参数、以及所述公有IP地址和端口,计算出私有IP地址,发送给认证系统。根据配置的私有IP地址池、公有IP地址池等参数,计算出公有IP地址和端口对应的私有IP地址。本发明提出了固定映射的思想,并提出了快速的算法,减轻了认证系统存储负担,并消除了转换设备和认证系统之间的交互过程。
图I为本发明用于认证系统的地址溯源方法流程图。
图2为本发明地址溯源方法中,公有IP地址、端口与私有IP地址的映射关系计算流程图。图3为本发明公有IP地址和端口与私有IP地址之间映射关系示意4为本发明用于认证系统的地址溯源装置结构示意图。
具体实施例方式图I为本发明用于认证系统的地址溯源方法流程图,包括以下步骤在步骤101、当需要认证时,业务平台获取公有IP地址和端口,发送给认证系统。在步骤102、认证系统将业务平台发送的公有IP地址和端口传送给地址计算设备。在步骤103、在地址计算设备中配置私有IP地址池、配置公有IP地址池、配置映射后的公有地址端口块大小、以及配置用于映射的端口范围。在步骤104、根据已配置的参数、以及所述公有IP地址和端口,计算出私有IP地址,发送给认证系统。之后,认证系统获取地址计算设备返回的私有IP地址,可以根据所述私有IP地址进行认证。将结合图2对步骤104中,地址计算设备的计算过程进行说明,假设公有地址A和端口 W,对应的私有地址为a,即(A,w)_>a。具体的计算过程包括以下步骤在步骤201、配置私有IPv4地址池,地址池可以由多个不连续的私有IPv4地址段
组成,按照地址的大小对地址段从小到大进行排序(^Α),(a2,b2)......(au,bu),其中a、
b表示各地址段的开始、结束地址,可以采用二进制、十六进制或十进制表示。在步骤202、配置公有IP地址池,地址池可以由多个不连续的公有IPv4地址段组成,按照地址大小对地址段从小到大进行排序=(AnB1), (A2,B2). . . . . (Av, Bv)其中A、B表示各地址段的开始、结束地址,可以采用二进制、十六进制或十进制。在步骤203、配置端口块大小η。η是映射后的公有地址端口块大小,可以根据需要设置缺省端口块大小为4096。在步骤204、配置端口范围(Ii1, η2)。标识可以用于映射的端口范围,I^n2分别表示开始端口和结束端口。在步骤205、计算私有IP地址数地址段I内的地址数P1 = bi-a^l ;地址段2内的地址数p2 = b2-a2+l ;......地址段u内的地址数Pu = bu-au+l ;私有地址总数P = Pi+P2+......+pu。在步骤206、计算公有IP地址数地址段I内的地址数q: = B1-Afl ;地址段2内的地址数q2 = B2-A2+1 ;......地址段V内的地址数qv = Bv-Av+!;
公有地址总数q = q!+q2+......+qv。在步骤207、计算公有IP地址复用率公有地址复用率m = intUr^-r^+D/n);其中int表示向下取整运算。若m = O,产生出错信息!Unreasonable port range !在步骤208、计算需要的公有IP地址数按照复用率计算私有IP地址池中所有地址映射需要的公有地址数=int((p-l)/m)+l ;若qQ > q,产生出错信息Not enough public addresses !在步骤209、确定A所在的公有地址段比较A与B1的大小,若A ( B1,则A属于第I地址段;否则,比较A与B2的大小,若A彡B2,则A属于第2地址段;否则,......比较A与Bs的大小,若A ( Bs,则A属于第s地址段。确定A在公有地址段中的位置A是第s个地址段的第t个地址t = A-As+1。A在公有地址池中的排序为当s = I 时,Q = A-A1+!;当s > I 时,Q = q!+q2+......+q^!+(A-As+1);在步骤210、w在端口块中的排序为R = int ((w-nj/n)+l。在步骤211、确定a所在的私有地址段a在私有地址池中的私有排序P为P = (Q-I) Xn+R ;比较P与P1的大小,若P ( P1,则a属于第I地址段;否则,比较P与Pl+P2的大小,若P ( PfP2,则a属于第2地址段;否则,......比较P与P^P2+. . . +Pi的大小,如果P ( P!+P2+. · · +Pi,贝丨J a属于第i地址段,Pi为私有地址池中第i地址段内的地址。确定a在私有地址段中的位置a在第i个私有地址段中的位置j为当i = l 时,j=P;当i > I 时,j = P-(P!+P2+. . . +Ρη) ο在步骤212、确定对应的私有地址a:映射后的私有地址a为a = a^j-l, Bi为私有地址池中第i地址段的开始地址;当i = I、S = I 时,a = B1+ (A-A1) Xn+int ((W-Ii1) /n);当i = l、s> I 时,a = a1+(q1+q2+......+q^j+ (A-As)) Xn+int ((Wi1)/n);当i>l、s=l 时,a = aj+ (A-A1) Xn+int ((Wi1)/n) -(PfP2+. . . +P^1);当i > I、s > I 时,
a = aj+ (q^qj......+qs_!+ (A-As)) X n+int ((Wn1) /n) - (p!+p2+. . . +Ph)。本发明根据配置的私有IP地址池、公有IP地址池等参数,计算出公有IP地址和端口对应的私有IP地址,其映射关系示意图可以如图3所示。基于以上目的,本发明还提出用于认证系统的地址溯源装置,如图4所示,包括业务平台、认证系统以及地址计算设备,在该装置实施例中,还可以包括转换设备,其中业务平台,当需要认证时,获取公有IP地址和端口,发送给认证系统。认证系统,与业务平台连接,将业务平台发送的公有IP地址和端口传送给地址计算设备,并获取其返回的私有IP地址。地址计算设备,与认证系统连接,配置私有IP地址池、配置公有IP地址池、配置映 射后的公有地址端口块大小、以及配置用于映射的端口范围等参数,进行配置信息合理性检测、公网地址段排序、私网地址段排序、映射关系计算等操作,根据已配置的参数、以及所述公有IP地址和端口,计算出私有地址。本发明可以快速计算出公有地址和端口对应的私有地址,认证系统不生成地址映射表,也不存储映射关系,节省认证系统存储和查询的资源消耗,还消除了转换设备和认证系统之间的地址映射关系交互过程。下面将结合附图和实施例,对本发明作进一步说明。如图4所示,本发明应用于受限业务单点认证时用户权限的查询。转换设备预先采用本发明的逆向算法,计算私有IP地址与公有IP地址、端口块的映射关系,生成地址关系映射表。用户访问互联网时,通过查询转换设备的映射表,将数据包的源地址和端口转换成公有IP地址和对应端口块中的端口。用户访问互联网上的受限业务时,如果需要单点认证,业务平台获取用户的公有IP地址和端口后,向认证系统查询用户的权限,认证系统将公有IP地址和端口发送给地址计算设备。地址计算设备配置私有IPv4地址池、公有IPv4地址池、端口范围、端口块大小。根据配置的地址池和端口,由用户的公有地址和端口计算出用户分配的私有IP地址。认证系统根据私有地址确定用户的ID和权限,将用户的使用权限下发给业务平台,业务平台根据返回的用户权限,做出允许或拒绝用户访问的操作。在整个交互过程中,认证系统不需要存储私有IP地址与公有IP地址、端口的映射关系表,也不需要进行映射表的查询操作。本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
权利要求
1.用于认证系统的地址溯源方法,包括以下步骤 当需要认证时,业务平台获取公有IP地址和端口,发送给认证系统; 认证系统将公有IP地址和端口传送给地址计算设备; 在地址计算设备中配置私有IP地址池、配置公有IP地址池、配置映射后的公有地址端口块大小、以及配置用于映射的端口范围,根据已配置的参数、以及所述公有IP地址和端口,计算出私有IP地址,发送给认证系统。
2.根据权利要求I所述用于认证系统的地址溯源方法,根据已配置的参数、以及所述公有IP地址和端口,计算出私有IP地址,包括以下步骤 根据私有IP地址池各地址段的开始地址和结束地址计算各地址段内的私有IP地址数、根据公有IP地址池各地址段的开始地址和结束地址计算各地址段内的公有IP地址数; 计算公有地址所在的公有地址段、以及在公有地址段中的位置; 根据公有地址所在的公有地址段以及在公有地址段中的位置,计算所述公有地址在公有地址池中的公有排序、以及所述公有地址的端口在端口块中的端口排序; 根据所述公有排序、所述端口排序以及所述端口块大小,计算所述公有地址对应的私有地址在私有地址池中的私有排序,根据所述私有排序计算所述私有地址所属的私有地址段、以及在私有地址段中的位置; 根据私有地址段的开始地址以及在私有地址段中的位置,计算出与所述公有地址对应的私有地址。
3.根据权利要求2所述用于认证系统的地址溯源方法,计算所述公有地址在公有地址池中的公有排序、以及所述公有地址的端口在端口块中的端口排序,包括以下步骤 在公有地址池中的公有排序Q为 当s = I时,Q = A-A1+1, A为公有地址,A1为公有地址池中第一地址段的开始地址; 当s > I时,Q = q!+q2+......+q^+(A_AS+1) ,As为公有地址池中第s地址段的开始地址,qs-i为公有地址池中第s地址段内的地址数; 端口 w在端口块中的排序R为R= int( (w-nj AiHLn1为开始端口,η为端口块大小,int表示向下取整运算。
4.根据权利要求3所述用于认证系统的地址溯源方法,计算所述公有地址对应的私有地址在私有地址池中的私有排序,根据所述私有排序计算所述私有地址所属的私有地址段、以及在私有地址段中的位置,包括以下步骤 在私有地址池中的私有排序P为P = (Q-I) Xn+R ; 如果P ( Pl+P2+... +Pi,则所述私有地址属于第i地址段,Pi为私有地址池中第i地址段内的地址数; 在私有地址段中的位置j为当 i = I 时,j = P ;当 i > I 时,j = P- (p!+p2+. . . +Ρη) ο
5.根据权利要求4所述用于认证系统的地址溯源方法,根据私有地址段的开始地址以及在私有地址段中的位置,计算与所述公有地址对应的私有地址,包括以下步骤 映射后的私有地址a为a = ai+j-1, 为私有地址池中第i地址段的开始地址;当 i = I、s = I 时,a = at+ (A-A1) Xn+int ((W-Ii1) /n); 当 i = l、s>l 时, a = B1+(Q^q2+......+q,^+ (A-As)) Xn+int ((Wn1)/n); 当 i> I、s = I 时,a = (A-A1) X n+int ((Wn1) /n) - (p!+p2+. · · +Pi^1); 当 i>l、s>l 时,a = ai+(q1+q2+......+q,^+ (A-As)) X n+int ((Wn1) /n) - (p!+p2+. · · +Pi^1)。
6.根据权利要求5所述用于认证系统的地址溯源方法,计算各地址段内的公有IP地址数之后,还包括以下步骤 计算公有IP地址复用率,m= int((n2-n1+l)/n);其中int表示向下取整运算,若复用率为O,产生出错信息; 按照复用率计算私有IP地址池中所有地址映射需要的公有IP地址数,Q0 =int ((p-ι)/m)+l,若需要的公有IP地址数大于之前已计算的公有IP地址数,产生出错信肩、O
7.基于权利要求1-6任意一项所述方法的用于认证系统的地址溯源装置,包括 业务平台,获取公有IP地址和端口,发送给认证系统; 认证系统,与业务平台连接,将公有IP地址和端口传送给地址计算设备; 地址计算设备,与认证系统连接,配置私有IP地址池、配置公有IP地址池、配置映射后的公有地址端口块大小、以及配置用于映射的端口范围,根据已配置的参数、以及所述公有IP地址和端口,计算出私有IP地址,发送给认证系统。
8.根据权利要求7所述用于认证系统的地址溯源装置,其中 所述认证系统根据所述私有IP地址进行认证。
全文摘要
本发明公开用于认证系统的快速地址溯源方法和装置,在需要认证时,认证系统获取公有IP地址和端口并发送给地址计算设备,在地址计算设备配置私有IP地址池、配置公有IP地址池、配置映射后的公有地址端口块大小、以及配置用于映射的端口范围,根据已配置的参数、以及公有IP地址和端口,计算出私有IP地址。本发明提出了固定映射的思想,减轻了认证系统存储的负担,消除了转换设备和认证系统之间的交互过程。
文档编号H04L29/06GK102957753SQ20111024008
公开日2013年3月6日 申请日期2011年8月19日 优先权日2011年8月19日
发明者郑浩, 吴伟, 毛东峰, 李阳春, 束栋, 伍佑明, 王吉顺, 郭泓伟 申请人:中国电信股份有限公司