一种数据业务的用户标识获取方法、系统及装置转让专利
申请号 : CN200910093308.4
文献号 : CN102036227B
文献日 : 2013-11-06
发明人 : 毕娅娜 , 张炎 , 倪伟 , 段晓东 , 张娟
申请人 : 中国移动通信集团公司
摘要 :
本发明实施例公开了一种数据业务的用户标识获取方法,包括:用户信息注册服务器接收AS发送的用户标识查询请求,用户标识查询请求中携带NAPT转换后的公网IP地址;用户信息注册服务器从NAPT服务器获取公网IP地址与私网IP地址的映射关系,根据映射关系及公网IP地址获得私网IP地址;用户信息注册服务器根据用户私网IP地址,查询本地存储的用户标识与私网IP地址的映射关系,获得用户标识,并通过查询响应方式或主动推送方式将用户标识送至AS。本发明有效解决分配私网IP地址的终端访问公网AS,AS难以获取用户标识的问题,从而实现数据业务平台对用户身份的认证、鉴权及计费,为数据业务的可运营、可管理提供良好支撑。
权利要求 :
1.一种数据业务的用户标识获取方法,其特征在于,包括以下步骤:
用户信息注册服务器接收应用服务器AS发送的用户标识查询请求,所述用户标识查询请求中携带网络地址端口转换NAPT后的公网IP地址;
所述用户信息注册服务器从NAPT服务器获取公网IP地址与私网IP地址的映射关系,根据所述映射关系及所述公网IP地址获得私网IP地址;
所述用户信息注册服务器根据所述私网IP地址,查询本地存储的用户标识与私网IP地址的映射关系,获得用户标识,并通过用户标识查询响应返回给所述AS;
其中,所述用户信息注册服务器与所述应用服务器通信,用于获取公网IP地址、私网IP地址和用户标识的对应关系,并通过查询响应方式或主动推送方式将用户标识提供给所述应用服务器。
2.如权利要求1所述的方法,其特征在于,所述用户信息注册服务器从NAPT服务器获取公网IP地址与私网IP地址的映射关系,具体包括:所述用户信息注册服务器向NAPT服务器发送地址转换查询请求,所述请求中携带用户公网IP地址;
所述NAPT服务器根据所述公网IP地址,查询得到所述公网IP地址与私网IP地址的映射关系;
所述NAPT服务器将所述公网IP地址与私网IP地址的映射关系发送给所述用户信息注册服务器。
3.如权利要求1所述的方法,其特征在于,所述用户信息注册服务器从NAPT服务器获取公网IP地址与私网IP地址的映射关系,具体包括:所述NAPT服务器对用户的业务访问请求进行IP地址映射后,将所述IP地址映射关系构造为用户信息同步消息发送至所述用户信息注册服务器。
4.如权利要求1所述的方法,其特征在于,从所述用户信息注册服务器获取所述用户的用户标识,具体包括:AS向用户信息注册服务器发送用户标识查询请求,所述请求中携带用户标识查询请求中携带NAPT转换后的公网IP地址;或AS接收到NAPT服务器发送的业务访问请求消息时开始计时,当时延超过第一阈值之后,定时触发AS按照正常流程向用户信息注册服务器发起用户标识查询请求,所述请求中携带用户的公网IP地址;
如果AS在向用户信息注册服务器发送超过预设次查询请求消息,并均收到查询失败响应消息后,所述AS终止查询,并向用户发送无法获取用户标识的响应消息,提示所属用户重新发起业务访问请求。
5.一种数据业务的用户标识获取方法,其特征在于,包括以下步骤:
用户信息注册服务器从NAPT服务器获取公网IP地址和用户标识的映射关系;
所述用户信息注册服务器向完成订阅请求的AS发送公网IP地址和用户标识的映射关系;
所述AS根据所述公网IP地址和用户标识的映射关系,及从业务请求中的公网IP地址,得到用户标识;
其中,所述用户信息注册服务器与应用服务器通信,用于获取公网IP地址、私网IP地址和用户标识的对应关系,并通过查询响应方式或主动推送方式将用户标识提供给所述应用服务器。
6.如权利要求5所述的方法,其特征在于,所述用户信息注册服务器向完成订阅请求的AS发送公网IP地址和用户标识的映射关系,之前还包括:AS向用户信息注册服务器发送用户信息订阅请求,请求中至少包含AS的IP地址;
所述用户信息注册服务器接收到所述AS发送的订阅请求,将所述AS的数据保存在所述用户信息注册服务器的Watcher列表中。
7.如权利要求5所述的方法,其特征在于,所述用户信息注册服务器从NAPT服务器获取公网IP地址和用户标识的映射关系,具体包括:所述用户信息注册服务器主动向NAPT服务器发送请求查询公网IP地址和用户标识的映射关系;或所述NAPT服务器对用户的业务访问请求进行IP地址映射后,将所述IP地址映射关系构造为用户信息同步消息发送至所述用户信息注册服务器。
8.一种数据业务的用户标识获取系统,其特征在于,包括:
应用服务器,用于接收用户发送的业务访问请求,并从用户信息注册服务器获取用户标识,根据所述用户标识对所述业务访问请求进行认证鉴权,为用户提供数据应用的服务能力;
用户信息注册服务器,与所述应用服务器通信,用于获取公网IP地址、私网IP地址和用户标识的对应关系,并通过查询响应方式或主动推送方式将用户标识提供给所述应用服务器;
NAPT服务器,与所述用户信息注册服务器通信,用于接收所述用户信息注册服务器的请求,查询存储器模块获得用户信息,并发送至用户信息注册服务器;或在NAPT转换后立刻,或由定时器触发间隔一定时间向用户信息注册服务器发送用户的地址数据。
9.一种应用服务器AS,其特征在于,包括:
网络接入模块,用于接收用户发送的业务访问请求,并向用户终端发送业务响应数据包;
数据处理模块,与所述网络接入模块连接,用于从用户信息注册服务器获取用户标识,根据所述用户标识对所述业务访问请求进行认证鉴权,并为用户提供数据应用的服务能力;
定时触发模块,与所述数据处理模块连接,用于接收到NAPT服务器发送的业务访问请求消息时开始计时,当时延超过第一阈值之后,定时触发AS按照正常流程向用户信息注册服务器发起用户标识查询请求,所述请求中携带用户的公网IP地址;
其中,所述用户信息注册服务器与应用服务器通信,用于获取公网IP地址、私网IP地址和用户标识的对应关系,并通过查询响应方式或主动推送方式将用户标识提供给所述应用服务器。
10.如权利要求9所述的AS,其特征在于,
所述数据处理模块,具体用于向用户信息注册服务器发送用户信息查询请求,所述请求中携带用户公网IP地址,并接收所述用户信息注册服务器返回的用户标识;或接收所述用户信息注册服务器主动推送的用户标识;或向用户信息注册服务器发送用户信息订阅请求,请求中至少包含AS的IP地址,使所述用户信息注册服务器与NAPT同步完成后,向完成订阅请求的AS发送公网IP地址对应的用户标识。
11.如权利要求9所述的AS,其特征在于,所述定时触发模块还用于:当AS在向用户信息注册服务器发送超过预设次查询请求消息,并均收到查询失败响应消息时,终止查询,并向用户发送无法获取用户标识的响应消息,提示用户重新发起业务访问请求。
12.一种用户信息注册服务器,其特征在于,包括:
接入控制模块,用于对发送用户信息数据的AG进行合法性认证,对发送查询请求的AS进行接入认证与控制,与通过认证的AS和AG通信;
数据处理模块,与所述接入控制模块连接,用于获取公网IP地址、私网IP地址和用户标识的对应关系,并为AS提供对应的用户标识;
数据库模块,与所述数据处理模块连接,用于存储用户的公网IP地址、私网IP地址和用户标识的对应关系。
13.如权利要求12所述的用户信息注册服务器,其特征在于,所述数据处理模块,具体用于向NAPT服务器发送地址转换查询请求,所述请求中携带用户公网IP地址;接收所述NAPT服务器返回的所述公网IP地址与私网IP地址的映射关系;或接收所述NAPT服务器对用户的业务访问请求进行IP地址映射后,主动发送根据所述IP地址映射关系构造的用户信息同步消息;或接收所述AS发送的用户标识查询请求,所述请求中携带用户访问请求的公网IP地址,在所述数据库模块中查找所述公网IP地址对应的用户标识,返回给所述AS;或与NAPT服务器同步完成后,向完成订阅的AS发送公网IP地址和用户标识。
14.一种网络地址端口转换NAPT服务器,其特征在于,包括:
网络接入模块,用于接收AG发送的业务访问请求,由接入控制逻辑对IP报文的源地址进行认证,将合法的用户IP报文发送至地址映射模块;
地址映射模块,用于在地址池中选择公网IP地址,重写从用户接收IP报文中的私网IP地址为公网IP地址,并将该公网IP地址与私网IP地址的转换关系保存至存储器模块;
用户信息处理模块,与所述地址映射模块连接,用于接收用户信息注册服务器的请求,查询存储器模块获得用户信息,并发送至用户信息注册服务器;或在NAPT转换后立刻,或由定时器触发间隔一定时间向用户信息注册服务器发送用户的地址数据;
其中,所述用户信息注册服务器与应用服务器通信,用于获取公网IP地址、私网IP地址和用户标识的对应关系,并通过查询响应方式或主动推送方式将用户标识提供给所述应用服务器。
说明书 :
一种数据业务的用户标识获取方法、系统及装置
技术领域
[0001] 本发明实施例涉及数据业务技术领域,尤其涉及一种数据业务的用户标识获取方法、系统及装置。
背景技术
[0002] 随着通信技术和互联网技术的进步,各类移动数据业务蓬勃发展,手机上网、音乐下载、视频通话、流媒体、PushMail(邮件推送服务)、在线游戏等数据业务正成为用户关注的焦点。在开展数据业务时,用户身份的识别是重要前提,数据业务服务器只有获取真实有效的用户标识,才能对用户进行认证、鉴权和计费管理。
[0003] 为了保证数据业务服务器所获得真实有效的用户标识,一般仅会信赖从网络侧设备获取的用户标识。例如在移动数据业务中最重要的用户标识是用户的MSISDN(Mobile Station international Integrated Services Digital Networknumber,移动台国际综合业务数字网号码),使用MSISDN作为用户标识免除了用户手工输入用户名与口令的过程,具有身份认证方便性的优势。
[0004] 在移动数据业务应用中,通常由GGSN(Gateway General Packet RadioService Supporting,通用无线分组业务网关支持节点)为用户动态分配私网IP地址,如图1所示。私网IP地址和用户标识相对应,在用户的一次上线流程中保持不变。由于目前常见的移动数据业务都承载于开放的Internet之上,用户通过该私网IP地址不能直接访问公网的数据业务平台,当用户数据包到达公网之前,通常由NAPT(Network Address Port Translation,网络地址端口转换)设备进行NAPT转换,将IP数据包头内的用户私网IP地址和端口转换为公网IP地址和端口。当数据业务服务器返回响应消息时,首先根据NAPT后的公网IP地址将IP数据包路由至NAPT设备,由NAPT设备将数据包中的公网IP地址替换为原有的私网IP地址,将消息送回UE。通常而言,NAPT功能可以集成于路由器、防火墙、网关等设备中,也可以作为单独的网元实体部署在业务网络中。
[0005] 现有的用户标识获取方法可以采用以下方案:
[0006] 一,通过WAP(Wireless Application Protocol,无线应用协议)网关插入用户标识。以移动数据业务为例,在移动终端PDP(Packet Data Protocol,分组数据协议)建立阶段,由GGSN获取用户IP地址和MSISDN的对应关系,并把这个对应关系推送给该GGSN对应的WAP网关。WAP网关保存用户的MSISDN与IP地址的对应关系,当用户向业务平台发起访问请求时,WAP网关收到用户数据包后,根据该数据包的源IP地址,查询本地数据库中保存的用户IP地址和MSISDN号码对应关系,得到该用户的MSISDN号,并将用户的MSISDN号插入HTTP(HyperText Transfer Protocol,超文本传输协议)数据包头的特殊字段中,再将该数据包转发给业务平台。因此业务平台在收到用户的业务请求数据包后,可通过解析数据包头中的特定字段获得用户MSISDN号码,从而实现对用户身份的识别与认证。
[0007] 然而,通过WAP网关在业务数据包中插入用户标识的方法不具备应用于多业务的普适性:WAP网关面向HTTP协议设计,对于非HTTP协议的业务,相应数据流并不经过WAP网关,而是直接通过WAP防火墙透传到公网域,因而也无法由WAP网关在数据包中植入用户的MSISDN号码;在数据业务网络中没有部署WAP网关的情况下,业务平台无法通过上述方式获取用户的MSISDN等标识,进而也不能实现用户的认证、鉴权和计费,不能支持数据业务的可运营、可管理;
[0008] 二,通过用户标识服务器实现用户标识查询
[0009] 设立开放的用户标识服务器,并且由用户标识服务器保存IP地址与用户标识的对应关系,提供用户标识的实时查询服务。以移动数据业务为例,在用户发起PDP激活阶段,由GGSN将用户的IP地址与其MSISDN号码的对应关系发送给用户标识服务器,并由用户标识服务器存储用户信息。业务平台收到UE(User Equipment,用户设备)发送的业务请求消息,从用户的业务请求数据包中获取用户的源IP地址,并用向用户标识服务器发起查询,获得对应的用户标识。
[0010] 然而,该方案无法应用于终端在NAPT后访问公网业务服务器,用户IP地址发生变化的情况。当用户访问位于公网的AS(Application Server,应用服务器)时,AS收到的IP报文源地址为NAPT后的公网IP地址,而用户标识服务器内存储了用户标识与原始私网IP地址的对应关系。所以AS通过该公网IP地址向用户标识服务器查询无法得到正确的用户信息,不能满足AS对用户身份识别、鉴权及计费的需求。
发明内容
[0011] 本发明实施例提供了一种数据业务的用户标识获取方法、系统及装置,针对移动数据业务和互联网应用中普遍存在的用户终端进行私有IP地址与公有IP地址NAPT转换后访问公网业务服务器的场景,使业务服务器可以实现获取用户有效标识,进而为数据业务平台根据用户身份进行认证、鉴权及计费奠定了基础。
[0012] 本发明实施例提供了一种数据业务的用户标识获取方法,包括以下步骤:
[0013] 用户信息注册服务器接收AS发送的用户标识查询请求,所述用户标识查询请求中携带用户网络地址端口转换NAPT后的公网IP地址;
[0014] 所述用户信息注册服务器从NAPT服务器获取公网IP地址与私网IP地址的映射关系,根据所述映射关系及公网IP地址获得私网IP地址;
[0015] 所述用户信息注册服务器根据所述用户私网IP地址,查询本地存储的用户标识与私网IP地址的映射关系,获得用户标识,并通过用户标识查询响应返回给AS。
[0016] 本发明实施例提供了一种数据业务的用户标识获取方法,包括以下步骤:
[0017] 用户信息注册服务器从NAPT服务器获取公网IP地址和用户标识的映射关系;
[0018] 所述用户信息注册服务器向完成订阅请求的AS发送公网IP地址和用户标识的映射关系;
[0019] 所述AS根据所述公网IP地址和用户标识的映射关系,及从业务请求中的公网IP地址,得到用户标识。
[0020] 本发明实施例提供了一种数据业务的用户标识获取系统,包括:
[0021] 应用服务器,用于接收用户发送的业务访问请求,并从用户信息注册服务器获取用户标识,根据所述用户标识对所述业务访问请求进行认证鉴权,为用户提供数据应用的服务能力;
[0022] 用户信息注册服务器,与所述应用服务器通信,用于获取公网IP地址、私网IP地址和用户标识的对应关系,并通过查询响应方式或主动推送方式将用户标识提供给所述应用服务器;
[0023] NAPT服务器,与所述用户信息注册服务器通信,用于接收所述用户信息注册服务器的请求,查询存储器模块获得用户信息,并发送至用户信息注册服务器;或在NAPT转换后立刻,或由定时器触发间隔一定时间向用户信息注册服务器发送用户的地址数据。
[0024] 本发明实施例提供了一种应用服务器AS,包括:
[0025] 网络接入模块,用于接收用户发送的业务访问请求,并向用户终端发送业务响应数据包;
[0026] 数据处理模块,与所述网络接入模块连接,用于从用户信息注册服务器获取用户标识,根据所述用户标识对所述业务访问请求进行认证鉴权,为用户提供数据应用的服务能力;
[0027] 本发明实施例提供了一种用户信息注册服务器,包括:
[0028] 接入控制模块,用于对发送用户信息数据的AG进行合法性认证,对发送查询请求的AS进行接入认证与控制,与通过认证的AS和AG通信;
[0029] 数据处理模块,与所述接入控制模块连接,用于获取公网IP地址、私网IP地址和用户标识的对应关系,并为AS提供对应的用户标识;
[0030] 数据库模块,与所述数据处理模块连接,用于存储用户的公网IP地址、私网IP地址和用户标识的对应关系。
[0031] 本发明实施例提供了一种网络地址端口转换NAPT服务器,包括:
[0032] 网络接入模块,用于接收AG发送的业务访问请求,由接入控制逻辑对IP报文的源地址进行认证,将合法的用户IP报文发送至地址映射模块;
[0033] 地址映射模块,用于在地址池中选择公网IP地址,重写从UE接收IP报文中的私网IP地址为公网IP地址,并将该公网IP地址=与私网IP地址=的转换关系保存至存储器模块;
[0034] 用户信息处理模块,与所述地址映射模块连接,用于接收用户信息注册服务器的请求,查询存储器模块获得用户信息,并发送至用户信息注册服务器;或在NAPT转换后立刻,或由定时器触发间隔一定时间向用户信息注册服务器发送用户的地址数据。
[0035] 与现有技术相比,本发明实施例具有以下优点:
[0036] 本发明实施例中,提出了用户标识推送方式(Push),用户注册信息服务器具备将用户信息主动推送至AS的能力,该种用户标识获取方式能有效降低AS通过开放接口频繁查询外部网元的消息流程开销,减少用户标识的获取时延;
[0037] 另外,在用户注册服务器与AS间采用订阅(Subscribe)机制,用户注册服务器仅向订阅用户信息的AS提供用户标识推送服务,能有效降低用户信息注册服务器的处理负荷。
附图说明
[0038] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0039] 图1是现有技术中数据业务服务系统结构图;
[0040] 图2是本发明实施例中一种数据业务服务系统结构图;
[0041] 图3是本发明实施例中一种用户信息注册服务器结构图;
[0042] 图4是本发明实施例中一种NAPT服务器结构图;
[0043] 图5是本发明实施例中一种数据业务服务器结构图;
[0044] 图6是本发明实施例中第一种场景数据业务流程图;
[0045] 图7是本发明实施例中第二种场景数据业务流程图;
[0046] 图8是本发明实施例中第三种场景数据业务流程图;
[0047] 图9是本发明实施例中查询失败重发流程图;
[0048] 图10是本发明实施例中用户信息订阅流程图;
[0049] 图11是本发明实施例中第四种场景数据业务流程图;
[0050] 图12是本发明实施例中用户信息更新流程图。
具体实施方式
[0051] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明实施例一部分实施例,而不是全部的实施例。基于本发明实施例中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明实施例保护的范围。
[0052] 本发明实施例提供了一种数据业务服务系统,如图2所示,包括:UE(终端设备)210、AG(Access Gateway,接入网关)220、UIR(User InformationRegistrar,用户信息注册服务器)230、NAPT Server(Network Address/PortTranslation Server,地址转换服务器)240、AS(Application Server,数据业务服务器)250。本发明实施例还涉及信息注册服务器、地址转换服务器、数据业务服务器3个网元之间的交互处理机制。本发明不仅适用于移动通信用户,也适用于通过WLAN(Wireless Local Area Network,无线局域网)、固定等方式接入的用户。
[0053] 其中,UE 210,包括手机终端、智能终端等以有线或者无线方式接入、可以发起数据业务请求的网络终端设备;
[0054] AG220,可以是GGSN、AC(Access Controller,接入控制器)、DSLAM(Digital Subscriber Line Access Multiplexer,数字用户线接入复用器)、BRAS(Broadband Remote Access Server,宽带接入服务器),用于将用户数据传送到外部数据网络,实现接入网络与承载业务应用网络之间的互通;
[0055] 数据业务服务器250,也称为AS(Application Server,应用服务器),由第三方或者运营商提供应用服务的网元;
[0056] 用户信息注册服务器230,用于用户信息在本地数据库的更新与维护,将用户标识和NAPT前后的IP地址的对应关系存入本地数据库中,为满足数据业务AS的计费和认证需求,提供用户标识和IP地址对应关系的查询服务和推送服务。另外,为保证用户信息不被非法获取,用户信息注册服务器需对访问自己的外部网元进行认证和鉴权,仅向有访问权限的合法网元提供用户信息。用户信息注册服务器230中的用户数据由网络侧的接入网关和NAPT服务器处获取,保证了信息的真实性准确性。
[0057] NAPT服务器240,用于负责IP数据报文的公网IP-私网IP地址映射功能,维护IP地址池空间、为将要建立的连接选择合适的地址、保持同一通信期间私网IP地址到公网IP地址的映射、维护已有映射的地址表、根据会话连接情况动态更新地址表、删除或添加地址映射等。除此之外,NAPT服务器还具备与用户信息注册服务器之间的开放查询/同步接口,用以向其它网元传送用户地址映射信息。
[0058] NAPT服务器具有两种工作模式:
[0059] 查询模式:接收用户信息注册服务器的查询请求消息,并返回查询响应消息,其中包含用户对应的公网/私网IP地址映射数据;
[0060] 推送模式:主动向用户信息注册服务器发送用户信息同步消息,并解析由用户信息注册服务器返回的处理状态响应消息;
[0061] 本发明实施例中用户信息注册服务器的结构如图3所示,包括:
[0062] 接入控制模块310,提供与AG,AS,NAPT服务器等外部网元的IP接入能力,对发送用户信息数据的AG进行合法性认证;对发送查询请求的数据业务AS进行接入认证与控制,只让ACL(Access Control List,访问控制表)中许可的AS请求数据包通过;将NAPT服务器发送的用户地址数据消息完全透传;
[0063] 数据处理模块320,通过接入控制模块310与AG,AS,NAPT服务器交互,接受定时触发模块330的定时逻辑控制,与数据库模块340交互实现本地用户数据的存储、更新和读取。具体包括:
[0064] AG数据处理子模块321,用于通过接入控制模块310接收AG发送的用户注册信息,对数据库模块340进行更新与维护,如果数据库模块340没有该用户的记录表项,将用户标识、私网IP地址、AG标识等信息作为记录表项保存至数据库模块340;如果数据库模块中已存在该用户标识的对应数据,则根据消息对数据库模块340中的记录进行更新;当接收到用户请求下网的消息,将数据库模块340中该用户标识对应的记录表项删除;
[0065] NAPT数据处理子模块322:支持两种工作模式,
[0066] 当支持查询模式时:通过接入控制模块310向NAPT服务器240发送用户IP地址查询请求,并解析NAPT服务器240通过接入控制模块310返回的响应消息,根据响应消息中的用户IP地址查询数据库模块340获得用户标识;
[0067] 当支持同步模式时:通过接入控制模块310接收并解析NAPT服务器240主动发送的用户信息同步请求消息,将用户数据同步更新至数据库模块340;
[0068] AS数据处理子模块323:支持3种工作模式:
[0069] 当支持查询模式时:通过接入控制模块310接收AS250发送的用户信息查询请求,将由NAPT数据处理子模块322查询得到的用户标识返回AS 250;
[0070] 当支持推送模式时:在用户数据更新后主动向AS250推送用户标识,并接收AS返回的响应消息;
[0071] 当支持订阅模式时:接收AS250发送的用户信息订阅请求,满足触发条件时主动向订阅该服务的AS250推送用户标识信息;
[0072] 定时触发模块330,与数据处理模块320连接,用于为数据处理提供计时和定时触发;
[0073] 数据库模块340,与数据处理模块320连接,用于接收NAPT数据处理子模块和AG数据处理子模块的处理请求,增加、删除、更新用户的各表项记录;接收AS数据处理子模块的请求,存储订阅用户信息的AS相关数据;并存储合法的AS,AG的接入控制和认证信息;
[0074] 管理模块350:包括配置管理、日志管理和监控管理等子模块,负责对设备实施具体管理与监控;
[0075] NAPT服务器内部结构如图4所示,包括:
[0076] 网络接入模块410,集成基于IP协议栈的Ingress入接口和Egress出接口,用于接收AG发送的用户IP报文,由接入控制逻辑对IP报文的源地址进行认证,将合法的用户IP报文发送至地址映射模块420,并将NAPT处理完毕后的IP报文通过Egress出接口发送至外部数据网络(可以通过队列管理模块,也可以不通过);
[0077] 地址映射模块420,与网络接入模块410连接,用于解析网络接入模块410传送的IP报文,在地址池中选择某公网IP地址/端口,重写UE发送IP报文中的私网IP地址/端口为公网IP地址/端口,并将该公网IP地址/端口与私网IP地址/端口的转换关系保存至存储器模块440中。地址映射模块420具备超时机制,在完成IP地址转换后立即触发定时器模块的定时逻辑开始计时,如果后续特定时间周期内没有再次收到源地址为该私网IP地址的报文,则收回所分配的公网地址以供其它终端使用,同时控制存储器模块440删除相应的IP地址映射数据;地址映射模块420还可以调用上层的应用层协议处理模块450实现IP报文的ALG(Appliance Layer Gateway)功能,以实现应用层协议的NAPT穿越;
[0078] 队列管理模块430,与地址映射模块420和网络接入模块410连接,用于对完成地址映射处理的IP报文实施特定的队列管理技术,根据报文参数(例如协议类型、源地址、目的地址等)按照特定策略暂时排队,再依据调度策略按照优先级顺序将IP报文从队列中取出并发送出去,以实现优化设备处理效率和网络传输效率的目的;
[0079] 存储器模块440,与地址映射模块420连接,用于存储所有UE的公网IP地址/端口与私网IP地址/端口的映射数据,接收地址映射模块的控制动态更新和维护NAPT服务器的IP地址空间及地址映射关系数据。UE在一定时间周期内没有发送IP报文,存储器模块440将删除对应的地址映射数据,当UE发送新数据包时,地址映射模块420为UE分配新的公有IP地址,并在数据库模块440中记录私网IP地址与新公有IP地址的映射关系。
[0080] 应用层处理模块450,与地址映射模块420连接,集成不同的应用层协议栈,接收地址映射模块420的请求,对3/4层以上的应用层信息进行解析和处理,实现ALG功能;地址映射模块420判断需要进行应用层处理,将IP报文向上传递至应用层处理模块450,应用层处理模块450对数据包解码获得应用层数据载荷,例如RTSP报文体或SIP报文体,并根据地址映射模块420设定的地址映射关系,将应用层数据载荷中的IP地址也替换为公有IP地址。
[0081] 用户信息处理模块460,内部与存储器模块440连接,外部通过网络接入模块与用户信息注册服务器通信,具有两种工作模式:
[0082] 1)接收用户信息注册服务器的请求,查询存储器模块440获得用户信息,并发送至用户信息注册服务器;
[0083] 2)在进行IP地址和端口转换后立刻,或由定时器触发间隔一定时间向用户信息注册服务器发送用户的地址数据;
[0084] 定时触发模块470,与存储器模块440连接,为NAPT服务器的其它模块提供计时能力和定时触发的能力。
[0085] AS是为用户提供具体的数据应用服务的核心网元,如图5所示,包括:
[0086] 网络接入模块510:包括基于IP协议栈的Ingress入接口和Egress出接口,用于接收外部网元发送的IP报文,并将业务响应数据包通过Egress出接口发送至外部数据网络;
[0087] 数据处理模块520,与网络接入模块510连接,具体包括:
[0088] 业务逻辑子模块521:为用户提供具体的数据应用服务能力,根据从用户信息注册服务器获得的用户标识对数据业务请求进行认证鉴权,对于没有订购业务或业务未开通的用户,将拒绝使用该数据应用;
[0089] 用户信息处理子模块522:具有2种工作模式:
[0090] 1)向用户信息注册服务器发送用户信息查询请求,并接收用户信息注册服务器返回的用户标识,送往业务逻辑子模块;
[0091] 2)接收用户信息注册服务器主动推送的用户标识,送往业务逻辑子模块;
[0092] AS与用户信息注册服务器之间具备用户信息订阅机制,该接口可基于SIP(Session Initiation Protocol,会话发起协议)或XCAP(XML ConfigurationAccess Protocol,XML配置访问协议)实现;
[0093] 数据库模块530,与数据处理模块520连接,用于接收数据处理模块的控制,存储由用户信息注册服务器主动推送的用户数据;
[0094] 定时触发模块540,与数据处理模块520连接,用于提供计时能力和触发用户信息处理逻辑的能力;
[0095] 管理模块550,与数据处理模块520连接,包括配置管理、日志管理和监控管理等子模块,负责对设备实施具体管理与监控。
[0096] 基于上述数据业务用户标识获取系统,本发明实施例一提出了一种数据业务处理和用户标识获取方法,如图6所示,具体包括以下步骤:
[0097] 步骤601,用户向AG发送上网请求,对于基于GPRS的移动数据业务接入方式,特指用户向SGSN/GGSN发送PDP激活请求;
[0098] 步骤602,AG为用户分配私网IP地址,并向用户信息注册服务器发送接入请求,其中包括用户私网IP地址、用户标识及AG标识等数据;
[0099] 步骤603,用户信息注册服务器收到接入请求后,首先经接入控制模块对AG进行认证,通过认证后根据接入请求中数据对数据库模块进行检查、更新。具体操作为:根据接入请求中的用户标识和私网IP地址查询数据库模块,如果数据库模块中不存在对应的记录,将获得的用户标识和私网IP地址作为新的记录表项插入数据库模块;若已存在相应的记录,则按照得到的用户标识和私网IP地址将数据库模块更新;随后向AG发送接入响应;
[0100] 步骤604,AG向UE发送PDP激活响应,至此UE已经具备了访问数据业务服务器的条件;
[0101] 步骤605,UE向AG发送业务访问请求;
[0102] 步骤606,AG将业务访问请求直接发送至NAPT服务器;
[0103] 步骤607,NAPT服务器对用户的业务访问请求进行IP地址/端口映射后,将业务访问请求发送至公网AS,业务访问请求的源IP地址为NAPT映射后的公网IP地址;
[0104] 步骤608,AS收到用户的业务访问请求,以业务访问请求的源公网IP地址为参数向用户信息注册服务器发送用户标识查询请求;
[0105] 步骤609,用户信息注册服务器接收并解析查询请求消息,以其中的源公网IP地址为参数,向NAPT服务器发送地址转换查询请求;
[0106] 步骤610,NAPT服务器依据该公网IP地址,查询服务器存储器模块,得到该公网IP地址与私网IP地址的映射关系;
[0107] 步骤611,NAPT服务器向用户信息注册服务器发送地址转换查询响应,返回用户私网IP/公网IP地址映射数据;
[0108] 步骤612,用户信息注册服务器根据返回的用户私网IP地址,查询数据库模块中的用户标识—私网IP地址表项记录,获得用户标识,并向AS返回用户标识查询响应;
[0109] 步骤613,AS收到用户信息注册服务器的用户标识查询响应,解析后得到用户标识,后续可利用该标识对用户进行认证、鉴权或计费;向用户下发用户访问响应消息,目的IP地址为NAPT之后的用户公网IP地址,响应消息被路由至NAPT服务器;
[0110] 步骤614-步骤615,NAPT服务器根据存储器模块中保存的公网IP地址与私网IP地址之间的映射关系,将IP数据包中的目的IP地址替换为用户的私网IP地址,将业务响应数据包经AG发送至UE;
[0111] 在上述步骤608-步骤612描述了AS、用户信息注册服务器、NAPT服务器3个网元进行处理及交互的流程,是本发明实施例业务流程1的核心创新点。利用该方法可以为位于公网的AS获取NAPT后的用户标识提供良好的解决方案。
[0112] 基于上述数据业务用户标识获取系统,本发明实施例二提出了一种数据业务处理和用户标识获取方法,如图7所示,包括以下步骤:
[0113] 步骤701,用户向AG发送上网请求,对于基于GPRS的移动数据业务接入方式,特指用户向SGSN/GGSN发送PDP激活请求;
[0114] 步骤702,AG为用户分配私网IP地址,并向用户信息注册服务器发送接入请求,其中包括用户私网IP地址、用户标识及AG标识等数据;
[0115] 步骤703,用户信息注册服务器收到接入请求后,首先经接入控制模块对AG进行认证,通过认证后根据接入请求中数据对数据库模块进行检查、更新,具体操作为:根据接入请求中的用户标识和私网IP地址查询数据库模块,如果数据库模块中不存在对应的记录,将获得的用户标识和私网IP地址作为新的记录表项插入数据库模块;若已存在相应的记录,则按照得到的用户标识和私网IP地址将数据库模块更新;随后向AG发送接入响应消息;
[0116] 步骤704,AG向UE发送PDP激活响应,至此UE已经具备了访问数据业务服务器的条件;
[0117] 步骤705,UE向AG发送业务访问请求;
[0118] 步骤706,AG将业务访问请求直接发送至NAPT服务器;
[0119] 步骤707,NAPT服务器对用户的业务访问请求进行IP地址/端口映射后,将该IP地址映射关系构造为用户信息同步消息发送至用户信息注册服务器;
[0120] 步骤708,用户信息注册服务器收到NAPT的用户信息同步消息,根据消息中的IP地址/端口映射数据对本地数据库模块进行检查更新,根据用户的私网IP地址查询数据库模块,将用户NAPT转换后的公网IP地址插入数据库模块的对应表项记录中,此时数据库模块中具备了用户相关的私网IP地址、公网IP地址与用户标识的映射数据;
[0121] 步骤709,用户信息注册服务器向NAPT设备发送用户信息同步响应;
[0122] 步骤710,用户访问请求经NAPT设备进行地址映射后发送至AS,此时源IP地址是NAPT转换后的公网IP地址/端口;
[0123] 步骤711,AS接收到用户的用户访问请求,并以用户公网IP地址为参数向用户信息注册服务器发送查询请求;
[0124] 步骤712,用户信息注册服务器解析上述查询请求,在数据库模块中查找该公网IP地址所对应的用户标识,构造响应消息发送至AS,其中含有对应的用户标识;
[0125] 步骤713,AS解析用户信息注册服务器发送的响应消息,得到用户标识,后续可利用该标识直接对用户进行认证、鉴权或计费;AS向用户下发业务响应数据包,目的地址为NAPT之后的公网IP地址,数据包被发送至NAPT服务器;
[0126] 步骤714-步骤715,NAPT根据保存的公网IP地址与私网IP地址之间的映射关系,获得UE私网IP地址,将业务响应数据包经AG发送至UE;
[0127] 在上述流程中,步骤707-步骤709描述了NAPT设备向用户信息注册服务器同步用户私网IP地址与公网IP地址映射数据以及响应的流程,是本发明实施例的核心创新点。利用上述方法可以为位于公网的AS在NAPT后获取用户标识提供良好的解决方案。
[0128] 基于上述数据业务用户标识获取系统,本发明实施例三提出了一种数据业务处理和用户标识获取方法,在实施例二的交互机制下,NAPT服务器在接收到用户信息注册服务器发送的信息同步响应消息后才向数据业务AS发送业务访问请求,保证了AS查询用户信息的成功率,但是在大业务并发量的条件下难以保证用户访问时延可控。为提高业务访问效率,改善用户业务访问体验,本发明实施例还提出了一种新的交互方式,即步骤707-步骤709(用户信息更新过程)可与步骤710(用户业务请求转发)并行发送;为保证AS发送用户标识查询请求至用户信息注册服务器时,服务器中的用户信息已更新,本发明实施例提出了AS中的定时触发机制。如图8所示,包括以下步骤:
[0129] 步骤801-步骤805与步骤701-步骤705相同;
[0130] 步骤806,AG将用户业务访问请求送至NAPT服务器,源地址为用户私网IP地址;
[0131] 步骤807,NAPT服务器对用户的业务请求进行IP地址/端口映射后,将该IP地址映射关系(私网IP地址/端口与公网IP地址/端口)构造为用户信息同步消息发送至用户信息注册服务器;
[0132] 步骤808,NAPT服务器向AS转发用户的业务访问请求,此时源IP地址是NAPT转换后的公网IP地址/端口;本步骤由NAPT服务器在地址转换完毕后立即发送,与NAPT服务器是否收到用户信息注册服务器的响应消息无关;AS中内置定时触发模块,在接收到NAPT服务器发送的业务访问请求时立刻开始计时;
[0133] 步骤809,用户信息注册服务器收到NAPT服务器的用户信息同步消息,根据消息中的IP地址/端口对本地数据库模块进行检查更新,根据用户的私网IP地址查询数据库模块,将用户NAPT转换后的公网IP地址插入数据库模块的对应表项记录中,此时数据库模块中具备了用户相关的“私网IP地址/端口—公网IP地址/端口—用户标识”的映射数据,以及AG标识等数据;
[0134] 步骤810,用户信息注册服务器向NAPT设备发送用户信息同步响应;
[0135] 步骤811,AS在定时器小于设定的时间阈值Thresh1时不进行消息交互,当时延超过时间阈值Thresh1之后,定时触发模块激活AS中的用户信息处理模块;AS按照正常流程向用户信息注册服务器发起用户标识查询请求,请求参数为用户的公网IP地址;
[0136] 根据查询请求是否成功,后续的流程可分为如下两类:
[0137] 当查询成功时,包括步骤812,用户信息注册服务器中用户信息数据已经更新同步成功,此时服务器解析步骤811中的查询请求,在数据库模块中查找该公网IP地址所对应的用户标识,并向AS发送查询成功响应消息,其中含有对应的用户标识;
[0138] 当查询失败时,包括:
[0139] 步骤813,用户信息注册服务器中用户信息数据尚未同步,此时服务器无法从数据库模块中查询得到该公网IP地址所对应的用户标识,向AS返回查询失败响应消息;
[0140] 步骤814,AS接收到查询失败响应消息,启动定时触发模块开始计时;当时延超过阈值Thresh2之后,定时触发模块再次激活AS中的查询逻辑功能模块;AS再次向用户信息注册服务器发送用户标识查询请求,请求参数为用户的公网IP地址;
[0141] 步骤815,服务器解析查询请求,在数据库模块中查找该公网IP地址所对应的用户标识,如果存在相应的用户信息则,由服务器向AS发送查询成功响应消息,其中含有对应的用户标识;
[0142] 步骤816,AS解析用户信息注册服务器发送的业务访问响应,得到用户标识,后续可利用该标识直接对用户进行认证、鉴权或计费;AS向用户下发业务访问响应数据包,目的地址为NAPT之后的公网IP地址,数据包被发送至NAPT服务器;
[0143] 步骤817-步骤818,NAPT服务器根据维护的用户公网IP地址与私网IP地址之间的映射关系,使用用户私网IP地址重写IP报文目的地址,将业务访问响应数据包经AG发送至UE;
[0144] 在上述流程中,步骤807-步骤815描述了NAPT服务器向用户信息注册服务器与AS同步发送消息的流程,以及AS受定时触发模块控制,以一定时间周期为触发条件发起查询请求的延时机制,是本发明实施例的核心创新点。利用上述方法可以为位于公网的AS在NAPT后获取用户标识提供良好的解决方案。
[0145] 查询失败重发流程如图9所示,步骤912-步骤916描述了AS在查询失败条件下与用户信息注册服务器之间的交互机制。如果AS在向用户信息注册服务器发送N(例如3)次查询请求消息,并均收到查询失败响应消息后,此时AS终止查询,并向UE发送无法获取UE合法标识的响应消息,提示用户重新发起业务访问请求。
[0146] 基于上述数据业务用户标识获取系统,本发明实施例四提出了一种用户标识查询方法,该方法基于AS与用户信息注册服务器之间的订阅机制,通过用户信息订阅,系统能够实现用户标识向订阅用户信息的AS主动推送与定时更新。具体流程可分为两个阶段:
[0147] (1)用户信息订阅流程,如图10所示,
[0148] 步骤1001,AS向用户信息注册服务器发送用户信息订阅请求,请求中包含AS的IP地址,业务类型等内容;
[0149] 步骤1002,用户信息注册服务器接收到AS发送的订阅请求,并将该AS的数据保存在用户信息注册服务器的Watcher列表中;
[0150] 步骤1003,用户信息注册服务器向AS发送订阅请求成功响应消息;
[0151] 用户注册信息服务器可支持多个AS的订阅请求。
[0152] (2)数据业务访问流程,如图11所示,包括以下步骤:
[0153] 步骤1101-步骤1109,与步骤701-步骤709相同;
[0154] 步骤1110,用户注册信息服务器同步完成后,检查自身的Watcher列表,将用户公网IP地址和用户标识等信息构造为用户信息同步请求,发送至所有使用用户标识订阅服务的AS;
[0155] 步骤1111,AS接收到用户信息注册服务器的用户信息同步请求,并将其中的用户公网IP地址和用户标识等信息保存在本地数据库模块中,至此AS就获得了该用户的用户标识与公网IP地址,后续可以利用该用户标识完成后续的认证、鉴权和计费操作;
[0156] 步骤1112,AS向用户信息注册服务器返回用户信息更新成功响应消息;
[0157] 步骤1113,NAPT服务器向AS转发用户的业务访问请求,其源IP地址为NAPT后的公网IP地址;
[0158] 步骤1114,AS解析数据包,根据公网IP地址查询本地用户信息数据库模块获得对应的用户标识;AS向用户下发业务访问响应,目的地址为NAPT之后的公网IP地址,业务访问响应被发送至NAPT服务器;
[0159] 步骤1115-步骤1116,NAPT服务器根据保存的公网IP地址与私网IP地址之间的映射关系,获得用户私网IP地址,将业务响应数据包经AG发送至UE。
[0160] 5.用户信息更新流程
[0161] NAPT服务器对于用户的IP地址转换具有一定的TTL(Time To Live,生存周期),即某个私网IP地址在转换为公网IP地址后在有效的TTL时间内没有后续数据包发送,则该地址映射关系将会被NAPT服务器清除,不再使用。若后续该用户的数据请求再次出现时,NAPT服务器将会为用户建立新的地址转换关系。在上述情况下,NAPT服务器需要增加与用户信息注册服务器的同步与更新机制,实现用户数据的删除与更新。具体流程如图12所示,包括以下步骤:
[0162] 步骤1201,UE向AG发送访问业务请求;
[0163] 步骤1202,AG发送用户的访问业务请求至NAPT服务器,NAPT服务器将访问业务请求中的源地址/端口转换为公网IP地址/端口,此时NAPT服务器的定时触发模块开始启动计时;
[0164] 步骤1203,NAPT服务器将地址转换后的访问业务请求发往访问的目的AS;
[0165] 步骤1204,在有效TTL(Time To Live,存活时间)超时后NAPT服务器将存储器模块内该用户的地址转换信息删除;
[0166] 步骤1205,NAPT服务器发送用户信息清除请求消息至用户信息注册服务器,告知用户IP地址转换数据已失效;
[0167] 步骤1206,用户信息注册服务器接收到数据清除请求消息,根据消息中的IP地址数据查询本地数据库模块,并删除相应的用户公网IP地址数据;
[0168] 步骤1207,用户信息注册服务器向NAPT服务器发送用户信息清除成功响应消息;
[0169] 步骤1208,UE向AG发送新的访问业务请求;
[0170] 步骤1209,AG将新的访问业务请求发送至NAPT服务器,NAPT服务器生成新的地址转换关系,同时定时触发模块开始启动计时;
[0171] 步骤1210,NAPT服务器立即将用户的IP地址数据发送用户信息同步请求消息至用户信息注册服务器;
[0172] 步骤1211,用户信息注册服务器收到NAPT的数据同步请求消息,根据消息中的IP地址/端口数据对本地数据库模块进行检查更新,根据用户的私网IP地址查询数据库模块,将用户NAPT转换后的公网IP地址插入数据库模块的对应表项记录中;
[0173] 步骤1212,用户信息注册服务器向NAPT服务器返回数据同步成功响应消息。
[0174] 本发明实施例中,用户信息注册服务器在删除或更新本地的用户信息后,还需要向已经订阅用户信息的AS发送用户信息同步消息,告知订阅用户信息的AS更新数据库模块中的用户数据。
[0175] 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明实施例可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
[0176] 本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明实施例所必须的。
[0177] 本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
[0178] 上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
[0179] 以上公开的仅为本发明的几个具体实施例,但是,本发明实施例并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明实施例的保护范围。