在宽带接入服务器中跟踪限制用户共享上网的方法

摘要

本发明公开了一种在宽带接入服务器中跟踪限制用户共享上网的方法，涉及宽带接入技术，为解决目前限制用户共享上网时，处理负荷较大和容易造成误判的问题而发明。在宽带接入服务器中跟踪限制用户共享上网的方法包括：(1)宽带接入服务器中的控制平面接收到认证/授权/计费服务器发来的用户的授权信息后，将用户的授权信息发送到宽带接入服务器中的数据转发平面，所述授权信息至少包括允许建立的连接数；(2)数据转发平面依据该授权信息中的允许建立的连接数控制该用户的连接数。本发明在不增加任何设备和设备处理负荷的情况下，实现对用户共享上网的监控，可以应用在运营商对客户的共享上网进行监控，防止不法分子利用共享上网私设网吧。

说明书

技术领域

本发明涉及宽带接入技术，尤其涉及宽带接入服务器中跟踪限制用户共享上网的方法。

背景技术

随着宽带网络的进一步普及，运营商如何更好地管理用户，如何在为用户提供良好的网络服务的前提下，同时防止非法用户使用网络资源，造成运营商收入的流失是需要关注的问题。现在，运营商多采用宽带接入服务器对用户进行管理。常规的宽带接入服务器可以实现用户的接入、授权、计费等功能，其管理是基于用户的IP地址，可以满足一般的对用户进行管理的需求。但随着宽带技术的发展，一些用户利用上网代理，网络地址转换(NAT：NetworkAddress Translation)等技术实现多用户公享上网，特别是一些不法分子利用这些技术，私设网吧，这些都是运营商所不允许的。采用常规的基于用户的IP地址的管理手段很难对这些行为进行监控。

如何来监测这些行为并对之进行有效的控制，比较有效的手段是运用深度报文检测(DPI：Deep Packet Inspect)技术。即对用户的网络数据包进行深度检测，根据上网代理，NAT等技术的特点，找出这些不合法用户，从而进行控制。但这样存在以下问题：1、DPI监测属于对报文的深度监测，会较大地增加设备的处理负荷，如果开启了该功能，必然会影响到设备的处理能力；2、一些用户虽然也采用了NAT技术进行上网，但下挂的用户只有一个，对这样的用户，DPI设备也会认为是不合法用户，加以控制，这样就造成了误判；3、现在的网络技术发展日新月异，共享上网的方法也是层出不穷，跟踪这些新技术，并对DPI方法进行实时更新是比较困难的。

发明内容

为克服上述缺陷，本发明在宽带接入服务器中跟踪限制用户共享上网的方法的目的是实现对多用户共享上网进行监控。

为了达到上述发明目的，本发明在宽带接入服务器中跟踪限制用户共享上网的方法包括：

(1)宽带接入服务器中的控制平面接收到认证/授权/计费服务器发来的用户的授权信息后，将用户的授权信息发送到宽带接入服务器中的数据转发平面，所述授权信息至少包括允许建立的连接数；

(2)宽带接入服务器中的数据转发平面依据该授权信息中的允许建立的连接数控制该用户的连接数。

其中，步骤(1)具体为：

(11)用户请求接入到宽带接入服务器，经认证/授权/计费服务器认证通过后，认证/授权/计费服务器将该用户的授权信息发送到宽带接入服务器；

(12)宽带接入服务器中的控制平面根据该授权信息生成用户转发表；

(13)控制平面将该用户转发表发送到宽带接入服务器中的数据转发平面。

其中，步骤(2)具体为：

(21)数据转发平面收到数据包后，判断该数据包是否是新建连接，若是新建连接，执行步骤(22)；若不是新建连接，执行步骤(26)；

(22)数据转发平面判断已建立的连接数是否超过允许建立的连接数；若超过允许建立的连接数，执行步骤(23)；若未超过允许建立的连接数，执行步骤(24)；

(23)数据转发平面将该收到的数据包丢弃，流程结束；

(24)数据转发平面将标志该数据包的连接标识发送到控制平面；(25)控制平面根据该连接标识维护用户转发表，流程结束；

(26)按非新建连接处理。

其中，所述步骤(25)中的控制平面根据该连接标识维护用户转发表，具体为：

A1、控制平面收到数据转发平面发来的连接标识后分析该连接标识的属性，若是新建连接，执行步骤B1；若是删除连接，执行步骤C1；

B 1、控制平面新建一个该数据包连接标识对应的连接状态表，同时将该数据包对应的用户的已建立的连接数加一；

C1、控制平面删除一个该数据包连接标识对应的连接状态表，同时将该数据包对应的用户的已建立的连接数减一。

其中，步骤(26)具体为：

(261)数据转发平面判断该数据包是否为终止连接数据包，若是终止连接数据包，执行步骤(262)；若不是终止连接数据包，执行步骤(263)；

(262)数据转发平面将该数据包中的连接标识置删除标记，并将该连接标识发送到控制平面，返回执行步骤(25)；

(263)控制平面将该数据包中的连接标识对应的连接状态表中的使用标志位置位，用于连接状态表的老化。

其中，所述步骤(263)中的连接状态表的老化，具体为：

A2、控制平面定期判断连接状态表中的使用标志位是否被置位，若被置位，执行步骤B2；若未被置位，执行步骤C2；

B2、控制平面清除连接状态表中该数据包连接标识对应的使用标志位，流程结束；

C2、控制平面删除该数据包对应的连接状态表，并将该连接对应的已建立的连接数减一。

其中，所述的判断是否是新建连接具体为：判断在控制平面维护的连接状态表中是否有与标志该数据包的连接标识对应的信息，若有与标志该数据包的连接标识对应的信息，则该数据包不是新建连接；若没有与标志该数据包的连接标识对应的信息，则该数据包是新建连接。

其中，所述的连接状态表由控制平面依据连接标识建立并维护。

其中，所述的已建立的连接数由控制平面统计并记录在用户转发表中。

由上述方案可以看出，本发明在宽带接入服务器中跟踪限制用户共享上网的方法，通过控制用户的新建连接中的已建立连接数，实现对共享上网的监测和控制。使用该方法，可以在不增加任何设备的情况下，通过对宽带接入服务器功能的简单扩展，实现对共享上网的监测和控制。同时，考虑到网络数据的双向性，为了降低对设备的处理负荷，该方法可以在数据转发的一个方向上实现。

附图说明

图1为本发明在宽带接入服务器中跟踪限制用户共享上网的方法的用户上网过程图；

图2为本发明在宽带接入服务器中跟踪限制用户共享上网的方法的数据转发平面处理流程图；

图3为本发明在宽带接入服务器中跟踪限制用户共享上网的方法的控制平面新建删除处理流程；

图4为本发明在宽带接入服务器中跟踪限制用户共享上网的方法的控制平面老化处理流程。

具体实施方式

本发明在宽带接入服务器中跟踪限制用户共享上网的方法，其基本原理是：

无论是合法用户，还是采用代理、NAT转换等进行共享上网用户，其上网行为都是建立在IP层之上的四层连接的基础上的，这些连接是双向的，且正常的上网每个用户同时使用的四层连接数是有限的，如果多用户同时使用一个IP上网，则对应的该IP地址的四层连接数也会相应地增加。

本发明提供了一种在宽带接入服务器中利用数据转发平面和控制平面配合，结合宽带接入服务器的特点，为每个用户建立四层连接状态，对用户四层连接数进行跟踪和限制，从而监测和限制多用户共享上网的方法，包括如下步骤：

第一步、用户通过各种接入方法，接入到宽带接入服务器。宽带接入服务器在对用户进行认证时，如果认证通过，宽带接入服务器的控制平面则在授权属性中取出该用户的四层连接数属性，与其它授权属性组成用户转发表，发送到宽带接入服务器的数据转发平面。所述的用户转发表是数据转发平面对用户数据进行转发的依据，是宽带接入服务器进行用户管理的核心。

第二步、用户上网时，数据转发平面与控制平面相配合，建立并维护每个用户的四层连接状态，对用户同时建立的四层连接数进行监测。转发平面通过对比已经建立的连接数与用户的允许建立的连接数对四层连接数进行控制，具体如下：

数据转发平面收到数据包后，根据标志数据包四层连接的连接标识查找控制平面维护的用户连接状态表，此连接标识可为五元组，包括源IP，目的IP，协议类型，源端口号和目的端口号。依据是否能查到该数据包五元组对应的连接状态表来判断该数据包是否是新建连接，若能查到该数据包五元组对应的连接状态表，则不是新建连接；若不能查到该数据包五元组对应的连接状态表，则是新建连接。如果是新建连接，则判断用户已建连接是否已经超过允许的最大连接数，如果没有超过，则表示允许该用户建立新连接，数据转发平面将标志该连接的五元组送控制平面，控制平面用此信息创建表示该连接的状态表；如果超过允许建立的连接总数，则直接将该用于建立连接的数据包丢弃，从而限制用户的连接数。如果不是新建连接，将用于维护用户连接状态表的相应记录的使用标志位置位，并转发数据包。如果能够查到该数据包对应的连接状态表，但是是终止该连接的数据包，转发平面将该包的五元组置删除标记上送控制平面，用于删除四层连接。

控制平面接收到数据转发平面发送来的表示四层连接的五元组，分析该五元组的属性，如果是新建连接的五元组，则新建一个表示该连接的状态表，同时将该数据包对应的用户已经建立的四层连接数加一。如果足删除四层连接的五元组，则找到该五元组对应的四层连接状态，删除此记录，同时将该数据包对应的用户已经建立的四层连接数减一。

控制平面对维护的表示用户四层连接的连接状态表进行定期老化。定期去判断每个表示四层连接的连接状态表中的使用标志是否被置位过。如果未被置位过，则表示这段时间，该连接一直未使用，该连接已经断开，删除该记录，同时将该数据包对应的用户已经建立的四层连接数减一。如果该四层连接的连接状态表中的使用标志被置位过，则表示该连接一直处于活动状态。将该连接的使用标志清除，用于下一次老化。

另外，考虑到网络数据的双向性，上述的这些操作可在一个方向上进行。这样即能够实现功能，又可减少设备的处理负荷。

下面结合附图，对本发明所述的在宽带接入服务器中跟踪限制用户共享上网的方法做进一步描述。

如图1所示，是本发明在宽带接入服务器中跟踪限制用户共享上网的方法的用户接入认证过程：

(1)用户通过各种接入方法，请求接入到宽带接入服务器，向宽带接入服务器提供用户名和密码。这里的接入方法包括以太网上点对点协议(PPPOE：Point to Point Protocol overEthernet)，动态主机分配协议(DHCP：Dynamic Host Configuration Protocol)+web等接入手段；

(2)宽带接入服务器根据用户提供的用户名和密码，到认证/授权/计费(AAA)服务器进行认证。这里的AAA服务器不局限于远端，在本地认证方法中也可指宽带接入服务器本身的AAA功能模块；

(3)AAA服务器根据用户的用户名和密码，判断是否允许用户接入，如果允许用户接入，则给用户发送包含授权属性的授权信息，其中包括该用户允许同时建立的四层连接数，AAA服务器将这些授权信息发送给宽带接入服务器；如果不允许接入，则流程结束；

(4)宽带接入服务器的控制平面根据认证结果及授权信息，生成用户转发表，在授权信息和用户转发表中包括用户同时允许建立的四层连接数，宽带接入服务器中的控制平面同时将授权信息发送给宽带接入服务器中的数据转发平面；

(5)用户正常上网时，所有的数据包经过宽带接入服务器处理，宽带接入服务器跟踪限制用户的四层连接数。如果用户已建立的四层连接数没有超过配置的允许最大连接数，则用户的数据能够正常转发；如果超过的配置的允许最大连接数，则超过的部分新建连接数据将会被宽带接入服务器丢弃。从而达到了限制用户共享上网的目的；其它非新建连接数据包则进入非新建连接处理。

如图2所示，为了能够将用户的即时信息发送到控制平面进行处理，数据转发平面在本发明的方法中的处理过程包括：

(201)数据转发平面收到用户的数据包后，对用户的数据包进行类型判断，如果是TCP或者UDP包，则执行步骤(202)；如果不是TCP或者UDP包，则执行步骤(211)；

(202)数据转发平面取出数据包中标识四层连接的五元组(源IP，目的IP，协议类型，源端口号，目的端口号)，进行哈希(hash)运算，查找控制平面维护的用户转发表中的四层连接状态；

(203)数据转发平面对查表的结果进行判断，如果能够查到五元组对应的四层连接状态，则执行步骤(204)；如果不能够查到五元组对应的四层连接状态，则执行步骤(207)；

(204)数据转发平面判断该数据包是否是TCPfin(TCP结束标志)或者TCP rest(TCP复位标志)包，如果是TCP fin或者TCP rest包，则执行步骤(205)；如果不是TCP fin或者TCP rest包，则执行步骤(206)；

(205)数据转发平面将该数据包中的五元组组成消息，并置删除四层连接的标记，发送到控制平面，执行步骤(211)；

(206)数据转发平面将五元组对应的用户转发表中四层连接状态的使用标志位进行置位，执行步骤(211)；

(207)数据转发平面判断数据包是否是TCP fin或者TCP rest包，如果是TCP fin或者TCP rest包，则执行步骤(211)；如果不是TCP fin或者TCP rest包，则执行步骤(208)；

(208)数据转发平面判断该用户已经建立的四层连接数是否超过允许建立的最大四层连接数，如果超过允许建立的四层连接数，则执行步骤(210)；如果没有超过允许建立的四层连接数，则执行步骤(209)；

(209)数据转发平面将该数据包中的五元组组成消息，并置建立四层连接的标记，发送到控制平面，执行步骤(211)；

(210)数据转发平面将该数据包丢弃，流程结束；

(211)该数据包正常转发，进入后续处理。

如图3所示，为了实现对用户共享上网进行有效的限制，控制平面在本发明的方法中的处理过程包括：

(301)控制平面从数据转发平面接收到表示四层连接的五元组消息；

(302)控制平面判断该五元组消息是新建四层连接还是删除四层连接，如果是新建四层连接，则执行步骤(303)；如果是删除四层连接，则执行步骤(305)；

(303)控制平面根据该接收到的五元组消息建立一条新的连接状态表；

(304)控制平面找到该五元组对应的用户转发表，对其中的用户当前四层连接数进行加一操作，执行步骤(307)；

(305)控制平面删除该消息中五元组对应的连接状态表；

(306)控制平面找到该五元组对应的用户转发表，对其中的用户当前四层连接数进行减一操作；

(307)该消息处理结束，进入下一个消息处理。

如图4所示，为了保证及时处理一些已经不再连接的用户信息，控制平面在本发明的方法中的处理过程还包括老化处理流程：

(401)控制平面定义的用于老化的定时器到达；

(402)控制平面从维护的连接状态表中依次读取一条记录；

(403)控制平面判断该连接状态表中的使用标志位是否被置位，如果被置位，则执行步骤(404)；如果没有被置位，则执行步骤(405)；

(404)控制平面将该连接状态表中的使用标记清除，执行步骤(407)；

(405)控制平面删除该消息中五元组对应的连接状态表；

(406)控制平面找到该五元组对应的用户转发表，对其中的用户当前四层连接数进行减一操作；

(407)控制平面判断所有的连接状态表是否都进行了老化处理，如果没有，则执行步骤402；如果都已经进行了老化处理，则执行步骤(408)；

(408)进入下一个老化周期。

按照上述实施方式，本发明在宽带接入服务器中跟踪限制用户共享上网的方法，通过控制用户的新建连接中的已建立连接数，实现对共享上网的监测和控制。使用该方法，可以在不增加任何设备的情况下，通过对宽带接入服务器功能的简单扩展，实现对共享上网的监测和控制。同时，考虑到网络数据的双向性，为了降低对设备的处理负荷，该方法可以在数据转发的一个方向上实现。