[发明专利]运营级地址转换设备及其对用户地址映射关系的处理方法

说明书

本发明实施例公开了一种运营级地址转换设备及其对用户地址映射关系的处理方法，方法包括：配置用户地址池、IPv4公有地址池、端口块大小与端口范围参数；根据配置参数计算用户地址总数N、IPv4公有地址总数m与可用端口块总数n；依次为N个用户地址中的k*m+1～(k+1)*m个用户地址，分配由m个IPv4公有地址与n个可用端口块组成的m*n矩阵中第k＋1列各行元素（公有地址，端口块）对应的IPv4公有地址与端口块，创建用户地址映射关系；根据用户报文中用户地址查询用户地址映射关系，获取用户地址对应的IPv4公有地址与端口块并据此对用户报文做运营级地址转换处理。本发明实施例可以降低用户地址映射关系被非法用户发现的机会，避免恶意抢占端口对合法用户访问应用的影响。

技术领域

本发明涉及通信技术，尤其是一种运营级地址转换设备及其对用户地址映射关系的处理方法。

背景技术

全球第四版互联网协议（IPv4）地址资源已经分配完毕，运营商网络和业务都需要引入第六版互联网协议（IPv6）过渡技术，逐步向IPv6演进。目前，主流的IPv6过渡技术，例如私网双栈网络地址转换（Network Address Translator，NAT）444、轻型双栈（DS-Lite）、64互通技术等，采用了运营级地址转换设备，支持IPv4地址共享和向IPv6演进。其中，NAT444的运营级地址转换功能由运营级地址转换装置（Carrier Grade NAT，CGN）负责，实现运营级地址转换；DS-Lite的运营级地址转换功能由地址簇转换装置（Address FamilyTransition Router，AFTR）负责，在终结用户的IPv6隧道的同时，实现运营级地址转换。64互通技术由NAT64网关提供运营级地址转换和协议翻译功能。

在NAT444、DS-Lite和64互通技术中，CGN、AFTR、NAT64网关设备为用户地址分配对应的IPv4公有地址和端口块，从而建立用户地址映射关系。在用户上线或访问互联网的过程中，CGN、AFTR和NAT64网关为用户一直维护该地址映射关系，并从维护的用户地址映射关系表中为用户会话选择端口块。当用户下线或者用户的所有会话表项都超时，CGN、AFTR和NAT64网关设备才删除该用户地址映射关系。

现有技术通常采用两种方式为用户地址分配IPv4公有地址和端口块。第一种方式是随机选择方式，采用这种方式分配的公有地址和端口块与用户地址之间没有任何关系，只在需要时建立临时的对应关系。采用这种映射关系的创建方式存在以下问题：一方面保证用户地址与公有地址和端口块之间的对应关系不容易被人发现和利用，具有较高的安全性；另一方面，当这种对应关系被用于支持溯源用户、进行实时认证时，用户地址映射关系的随机创建方式要求相关系统必须采用复杂的方式或者额外的系统才能及时获得准确的对应关系，从而增加实现的复杂性，也增加了投资，严重时也会影响用户体验。

第二种方式是按照用户地址从小到大的顺序建立用户地址与（公有地址、端口块）之间的固定映射关系。当用户地址池、公有地址池、端口块大小和范围等信息不变，这种映射关系一旦建立起来就会长期存在，无论该用户地址是否被使用，该映射关系都不会改变。对于能够获得用户地址池、公有地址池、端口块大小和范围等信息的各种装置，可以简单利用排序的方式确定用户，完成实时认证等工作。与此相对，由于固定映射关系采用了相对简单的排序方式，这种创建方式会带来以下问题：较小的用户地址优先选择较小的公有地址，只有在一个公有地址对应的端口块被用完时，才会为用户地址指定下一个IPv4公有地址及其端口块。当配置的用户地址相对连续，容易导致相邻的几个用户地址集中使用在相对集中的地址。当这些地址被长期使用，其对应关系容易被人发现，并被利用，例如发起攻击。在网络设备为管辖区域的用户分配地址时，在某些情况下可能为处于同一个逻辑端口（例如同一虚拟局域网（Virtual Local Area Network，VLAN）子端口）下的同一个区域的用户分配连续的IP地址的多个连续的端口块，当该地址受到攻击时，受到影响的用户群就变得较大，增加安全风险。

发明内容