專利名稱:Ip共享器檢測和攔截系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及IP共享器檢測和攔截系統(tǒng)和方法���。更具體地說����,本發(fā)明 涉及用于對(duì)IP共享器用戶進(jìn)行檢測并且對(duì)提供給非法IP共享器用戶的服 務(wù)進(jìn)行攔截的IP共享器檢測和攔截系統(tǒng)和方法。
背景技術(shù):
在當(dāng)代知識(shí)信息社會(huì)中���,每個(gè)人都能夠容易地通過因特網(wǎng)來訪問世 界上所有國家的各種網(wǎng)站���,并且因特網(wǎng)已從低速高成本服務(wù)變?yōu)楦咚俚?成本服務(wù),從而使得高質(zhì)量的因特網(wǎng)服務(wù)得以發(fā)展�。此外,提供高質(zhì)量 服務(wù)的因特網(wǎng)服務(wù)供應(yīng)商(ISP)如今也通過高速網(wǎng)絡(luò)向包括大型公寓的 普通住宅提供因特網(wǎng)服務(wù)�,以滿足在家中仍需要因特網(wǎng)服務(wù)的用戶的需 求。近年來��,用于通過使用由ISP提供的單個(gè)高速因特網(wǎng)纜線來使多個(gè) 網(wǎng)絡(luò)設(shè)備對(duì)共享器進(jìn)行共享的網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT)型共享器的應(yīng)用 已大量增加����。NAT方案最初是為保護(hù)子網(wǎng)不受外部攻擊而開發(fā)的。即�,分配給計(jì) 算機(jī)的真實(shí)IP地址不為外部所知,因而無法竊取或破解�。因此,外部幾 乎無法嘗試獲知NAT型IP共享器的內(nèi)部用戶�����。然而,使用NAT方案對(duì)多個(gè)計(jì)算機(jī)進(jìn)行控制以使用單個(gè)認(rèn)證IP由 此使用因特網(wǎng)的方法����,近來己成為IP共享器的核心技術(shù)。隨著IP共享的增加����,高速因特網(wǎng)用戶的數(shù)量也隨之增加,并且通信量也相應(yīng)增加���。通信量的增加導(dǎo)致用戶的傳輸延時(shí)��,由此降低了服務(wù)質(zhì) 量。即��,當(dāng)假設(shè)針對(duì)每個(gè)用戶產(chǎn)生500 K比特的平均通信量�,并且假設(shè) 并發(fā)通信量產(chǎn)生率為12%時(shí),如果有10%的用戶使用基于五個(gè)用戶的平 均IP共享率的通信量��,則傳輸延時(shí)為兩倍或三倍����。在這種情況下,當(dāng)假
設(shè)并發(fā)訪問率為15%時(shí)����,傳輸延時(shí)增加到4.3倍����。因此���,雖然10%的用戶能夠獲益于通過共享IP而節(jié)省了使用費(fèi)用���,但是這降低了其他90%的用戶的服務(wù)質(zhì)量。 發(fā)明內(nèi)容本發(fā)明的一個(gè)優(yōu)點(diǎn)是提供一種IP共享器檢測和攔截系統(tǒng)和方法�,其 通過檢測非法IP共享器用戶來對(duì)提供給該非法IP共享器用戶的服務(wù)進(jìn)行 攔截,以防止用戶的服務(wù)質(zhì)量劣化��。在本發(fā)明的一個(gè)方面中�,在用于檢測IP共享器并對(duì)檢測出的IP共 享器用戶的因特網(wǎng)連接進(jìn)行攔截的系統(tǒng)中,所述IP共享器通過使用一個(gè)認(rèn)證IP向多個(gè)PC提供因特網(wǎng)服務(wù)�,用于檢測和攔截IP共享器的系統(tǒng)包 括分組檢測器,其用于檢測通過網(wǎng)絡(luò)發(fā)送的所有IP分組���;ID分析器��, 其用于從所檢測到的IP分組的ID頭部提取ID值�,并基于針對(duì)同一 IP 的ID值的狀態(tài)數(shù)來對(duì)IP共享器用戶進(jìn)行判斷�;共享器數(shù)據(jù)庫����,其用于 存儲(chǔ)分配給由分組檢測器所判斷出的IP共享器的IP地址和與所述IP地 址相對(duì)應(yīng)的用戶信息�����;通知發(fā)送器����,其用于生成關(guān)于所判斷出的IP共享 器用戶的通知分組,并根據(jù)通知發(fā)送規(guī)則來發(fā)送所生成的通知分組����;私 用IP檢測器,其用于在所發(fā)送的通知分組被輸出到IP共享器用戶的PC 時(shí)��,對(duì)設(shè)立給該P(yáng)C的私用IP進(jìn)行檢測�;訂戶攔截器��,其基于所檢測出 的私用IP來檢查IP共享器用戶是否使用IP共享器���,并對(duì)因特網(wǎng)的使用 進(jìn)行攔截�。在本發(fā)明的另一方面中�����,提供了一種用于對(duì)通過一個(gè)認(rèn)證IP向多個(gè) PC提供因特網(wǎng)服務(wù)的IP共享器進(jìn)行檢測并對(duì)所檢測出的IP共享器用戶 的因特網(wǎng)連接進(jìn)行攔截的方法,所述方法包括a)對(duì)通過網(wǎng)絡(luò)發(fā)送的所 有IP分組進(jìn)行檢測���;b)從檢測到的IP分組的IP頭部提取ID值����,并基 于針對(duì)同一 IP的ID值的狀態(tài)數(shù)來對(duì)IP共享器用戶進(jìn)行判斷�����;c)向所判 斷出的IP共享器用戶發(fā)送通知分組��,并檢測所述IP共享器用戶的私用IP; d)基于所檢測出的私用IP來檢查IP共享器用戶是否使用了 IP共享器���; 以及e)攔截所檢查出的IP共享器用戶的因特網(wǎng)連接����。
圖1示出了根據(jù)本發(fā)明實(shí)施方式的IP共享器檢測和攔截系統(tǒng)的結(jié)構(gòu)�����。圖2示出了根據(jù)本發(fā)明實(shí)施方式的IP共享器檢測和攔截系統(tǒng)的操作 過程�����。
具體實(shí)施方式
在下面的詳細(xì)描述中,簡單地通過例示出實(shí)現(xiàn)本發(fā)明的發(fā)明人所設(shè) 想的最佳模式����,來僅對(duì)本發(fā)明的優(yōu)選實(shí)施方式進(jìn)行圖示和描述。應(yīng)當(dāng)理 解�,能夠在各種顯而易見的方面對(duì)本發(fā)明進(jìn)行修改,而這些修改都沒有 脫離本發(fā)明的范圍����。因此,附圖和描述本質(zhì)上被認(rèn)為是示例性的而非限 制性的����。為了闡明本發(fā)明,略去說明中未描述的部分�����,并且描述相似的 部分具有相同的參考標(biāo)記���。將參照附圖對(duì)根據(jù)本發(fā)明實(shí)施方式的IP共享器檢測和攔截系統(tǒng)和方 法進(jìn)行詳細(xì)描述。首先���,參照附圖1對(duì)根據(jù)本發(fā)明實(shí)施方式的IP共享器檢測和攔截系 統(tǒng)進(jìn)行詳細(xì)描述��。圖1示出了根據(jù)本發(fā)明實(shí)施方式的IP共享器檢測和攔截系統(tǒng)的結(jié)構(gòu)�。如圖1所示,IP共享器檢測和攔截系統(tǒng)100包括分組檢測器110�、標(biāo)識(shí)(ID)分析器120、共享器數(shù)據(jù)庫130����、通知發(fā)送器140、私用IP檢 測器150以及訂戶攔截器160��。分組檢測器110提取經(jīng)由網(wǎng)絡(luò)200發(fā)送的以太網(wǎng)上的所有IP分組����, 并將這些IP分組發(fā)送給ID分析器120、通知發(fā)送器140和訂戶攔截器 160����。在這種情況下,分組檢測器110將所有IP分組發(fā)送給ID分析器120��, 將所有IP分組中的TCP分組目的地端口號(hào)為80的TCP分組發(fā)送給通知 發(fā)送器140��,并且還將所有分組中的所有TCP分組發(fā)送給訂戶攔截器160��。ID分析器120提取從分組檢測器110發(fā)送的IP分組的IP頭部的ID
值,檢查針對(duì)同一IP生成的ID值的狀態(tài)��,并確定是否使用第一IP共享器o
共享器數(shù)據(jù)庫130對(duì)分配給由ID分析器120所檢測出的IP共享器 的IP地址和與該IP地址相對(duì)應(yīng)的訂戶信息進(jìn)行存儲(chǔ)��。該訂戶信息可包括 訂戶名����、訂戶ID以及連接共享器的PC的數(shù)量。
通知發(fā)送器140從分組檢測器IIO接收使用TCP端口號(hào)80的分組��, 并針對(duì)HTTP連接設(shè)置請(qǐng)求生成通知分組�����。
私用IP檢測器150根據(jù)由通知發(fā)送器140所發(fā)送的通知分組來檢測 訂戶PC上的私用IP�����。
訂戶攔截器160基于由私用IP檢測器150所檢測出的私用IP來檢 查第一IP共享器用戶是否使用了 IP共享器�。訂戶攔截器160針對(duì)所檢查 出的IP共享器用戶對(duì)由分組檢測器110發(fā)送的所有TCP分組進(jìn)行分析, 并攔截因特網(wǎng)連接�����。
現(xiàn)在將參照?qǐng)D2對(duì)根據(jù)本發(fā)明實(shí)施方式的IP共享器撿測和攔截系統(tǒng) 的操作進(jìn)行描述�����。
圖2示出了根據(jù)本發(fā)明實(shí)施方式的IP共享器檢測和攔截系統(tǒng)的操作 過程���。
如圖2所示�,在步驟S202和S204中����,IP共享器檢測和攔截系統(tǒng)100 的分組檢測器110對(duì)經(jīng)由網(wǎng)絡(luò)200發(fā)送的以太網(wǎng)上的所有IP分組進(jìn)行檢 測,在步驟S206中將所有IP分組發(fā)送給ID分析器120�����,在步驟208中 將所有IP分組中的TCP分組目的地端口號(hào)為80的TCP分組發(fā)送給通知 發(fā)送器140��,并在步驟210中將所有分組中的所有TCP分組發(fā)送給訂戶 攔截器160����。
首先,在步驟S212中�,ID分析器110從來自分組檢測器110的IP 分組的IP頭部提取ID值,并且當(dāng)針對(duì)同一 IP生成了至少兩個(gè)ID值時(shí)�����, 在步驟214中將該用戶確定為第一 IP共享器用戶,并將狀態(tài)數(shù)限定為連 接到IP共享器的同時(shí)使用的PC的數(shù)量���,在步驟216中����,ID分析器llO 把分配給最初檢測到的IP共享器的IP地址和相對(duì)應(yīng)的訂戶信息存儲(chǔ)在共 享器數(shù)據(jù)庫130中���。
當(dāng)接收到由分組檢測器110發(fā)送的IP分組中的使用與共享器數(shù)據(jù)庫130中的IP共享器用戶相同的IP地址的分組時(shí)���,通知發(fā)送器140在步驟 S218和S220中確定該分組是否是HTTP連接設(shè)置請(qǐng)求分組。在這種情況 下����,HTTP連接設(shè)置請(qǐng)求分組可被確定為TCP分組目的地端口號(hào)為80的 分組。當(dāng)該分組是HTTP連接設(shè)置請(qǐng)求分組時(shí)�����,通知發(fā)送器140在步驟 S222中�,按照與所接收的HTTP連接設(shè)置請(qǐng)求分組相對(duì)應(yīng)的格式來生成 通知可發(fā)送HTTP分組,接著在步驟S224中根據(jù)預(yù)定通知發(fā)送規(guī)則將該 通知分組經(jīng)由網(wǎng)絡(luò)200發(fā)送給訂戶PC 300����。在步驟228中���,私用IP檢測器150對(duì)私用IP進(jìn)行檢測,所述私用 IP包括在從通知發(fā)送器140發(fā)送給訂戶PC 300的通知分組中��,當(dāng)在步驟 S226中將該通知輸出到PC300的網(wǎng)頁瀏覽器上時(shí)��,對(duì)所述私用IP進(jìn)行 檢測�;并且所述私用IP被設(shè)立在訂戶PC 300中��,在步驟S230中私用IP 檢測器50將所檢測到的私用IP發(fā)送給訂戶攔截器160����。在步驟S232和S234中,訂戶攔截器160基于由私用IP檢測器150 所檢測出的私用IP來檢查第一 IP共享器用戶是否使用IP共享器�����,接著 在步驟S236中對(duì)所檢查出的IP共享器用戶的因特網(wǎng)連接進(jìn)行攔截��。艮P��, 當(dāng)由分組檢測器110發(fā)送給訂戶攔截器160的所有TCP分組的TCP端口 號(hào)為80時(shí)����,訂戶攔截器160對(duì)其中TCP碼位是確認(rèn)(ACK)或確認(rèn)(ACK) 入棧(PSH)的分組進(jìn)行檢查��,檢測HTTP連接設(shè)置請(qǐng)求分組���,生成包括 用于對(duì)相對(duì)應(yīng)的HTTP連接進(jìn)行攔截的內(nèi)容的因特網(wǎng)攔截分組,并經(jīng)由 網(wǎng)絡(luò)200將該因特網(wǎng)攔截分組發(fā)送給訂戶PC 300�。此外,在分組的TCP 端口號(hào)不為80的情況下��,訂戶攔截器160檢查其TCP碼位為SYN的分 組�,生成用于攔截因特網(wǎng)連接的因特網(wǎng)攔截分組,并經(jīng)由網(wǎng)絡(luò)200將因 特網(wǎng)攔截分組發(fā)送給訂戶PC300�����。在此情況下����,TCPSYN分組是為使序 列號(hào)同步而發(fā)送的訪問連接請(qǐng)求分組,ACK分組是用于通知接收到對(duì)應(yīng) 分組的分組��,而PSH分組是數(shù)據(jù)發(fā)送分組�。此外,可由通知發(fā)送器140向所檢查出的IP共享器用戶發(fā)送用于引 入正規(guī)纜線入口的通知分組�,而不攔截所述IP共享器用戶的因特網(wǎng)連接��。 當(dāng)從發(fā)送了通知分組時(shí)起經(jīng)過預(yù)定時(shí)間幀后�����,仍檢測到具有同一 IP地址
的分組時(shí)�����,訂戶攔截器160可以對(duì)該IP共享器用戶的因特網(wǎng)連接進(jìn)行攔 截。以上配置的IP共享器檢測和攔截系統(tǒng)可自動(dòng)或人工操作�。 雖然結(jié)合當(dāng)前最實(shí)用和優(yōu)選的實(shí)施方式對(duì)本發(fā)明進(jìn)行了描述,但應(yīng)當(dāng)理解����,本發(fā)明不限于所公開的實(shí)施方式,相反旨在覆蓋落入所附權(quán)利要求的精神和范圍內(nèi)的各種修改及其等同設(shè)置�����。根據(jù)本發(fā)明�,可以在大規(guī)模的ISP網(wǎng)絡(luò)上有效檢測并攔截共享器用戶,并且通過檢測IP網(wǎng)絡(luò)的重要點(diǎn)處的共享器并對(duì)所檢測出的共享器進(jìn) 行自動(dòng)攔截可有效地管理用戶�。
權(quán)利要求
1、一種用于檢測IP共享器并對(duì)所檢測出的IP共享器用戶的因特網(wǎng)連接進(jìn)行攔截的系統(tǒng)���,所述IP共享器利用一個(gè)認(rèn)證IP為多個(gè)PC提供因特網(wǎng)服務(wù)�����,該用于檢測并攔截IP共享器的系統(tǒng)包括分組檢測器�����,其用于檢測經(jīng)由網(wǎng)絡(luò)發(fā)送的所有IP分組�;ID分析器,其用于從所檢測到的IP分組的ID頭部提取ID值��,并基于針對(duì)同一IP的ID值的狀態(tài)數(shù)來對(duì)IP共享器用戶進(jìn)行判斷�����;共享器數(shù)據(jù)庫�,其用于存儲(chǔ)分配給由所述分組檢測器判斷出的IP共享器的IP地址和對(duì)應(yīng)于所述IP地址的用戶信息;通知發(fā)送器��,其用于生成針對(duì)所判斷出的IP共享器用戶的通知分組���,并根據(jù)通知發(fā)送規(guī)則來發(fā)送所生成的通知分組�����;私用IP檢測器��,其用于在所發(fā)送的通知分組被輸出到所述IP共享器用戶的PC時(shí)����,檢測設(shè)立給所述PC的私用IP;以及訂戶攔截器��,其基于檢測到的所述私用IP來檢查所述IP共享器用戶是否使用所述IP共享器�����,并對(duì)因特網(wǎng)使用進(jìn)行攔截�。
2�、 根據(jù)權(quán)利要求1所述的系統(tǒng),其中�����,在對(duì)所檢査出的IP共享器 用戶的因特網(wǎng)使用進(jìn)行攔截之前���,通過所述通知發(fā)送器生成并發(fā)送用于 引入正規(guī)纜線入口的通知分組����。
3、 根據(jù)權(quán)利要求2所述的系統(tǒng)�����,其中����,所述分組檢測器將所有檢測 到的IP分組都發(fā)送給所述ID分析器,將所檢測到的IP分組中的所有TCP 分組都發(fā)送給所述訂戶攔截器�,并且將所檢測到的IP分組中的TCP分組 中的目的地端口號(hào)為80的分組發(fā)送給所述通知發(fā)送器。
4�、 根據(jù)權(quán)利要求3所述的系統(tǒng),其中��,所述通知發(fā)送器生成與針對(duì) 利用與所檢測出的IP共享器相同的IP地址的TC分組的目的地端口號(hào)80 的因特網(wǎng)連接設(shè)置請(qǐng)求相對(duì)應(yīng)的通知分組��。
5�、 根據(jù)權(quán)利要求3所述的系統(tǒng),其中�����,所述訂戶攔截器對(duì)所有TCP 分組進(jìn)行檢查����,以生成與所提取的因特網(wǎng)連接設(shè)置請(qǐng)求分組相對(duì)應(yīng)的因 特網(wǎng)攔截分組�����,并發(fā)送所述因特網(wǎng)攔截分組�����。
6�����、 根據(jù)權(quán)利要求1到5中任意一項(xiàng)所述的系統(tǒng)����,其中�,針對(duì)同一IP的ID值的狀態(tài)數(shù)對(duì)應(yīng)于連接到所述IP共享器的并存用戶PC的數(shù)量。
7���、 一種用于對(duì)利用一個(gè)認(rèn)證IP向多個(gè)PC提供因特網(wǎng)服務(wù)的IP共 享器進(jìn)行檢測并對(duì)檢測出的IP共享器用戶的因特網(wǎng)連接進(jìn)行攔截的方法,所述方法包括以下步驟a) 對(duì)通過網(wǎng)絡(luò)發(fā)送的所有IP分組進(jìn)行檢測�;b) 從檢測到的IP分組的IP頭部提取ID值,并基于針對(duì)同一 IP的 ID值的狀態(tài)數(shù)對(duì)IP共享器用戶進(jìn)行判斷���;c) 向所判斷出的IP共享器用戶發(fā)送通知分組����,并檢測所述IP共享 器用戶的私用IP;d) 基于檢測出的私用IP來檢查所述IP共享器用戶是否使用所述IP 共享器;以及e) 對(duì)檢查出的IP共享器用戶的因特網(wǎng)連接進(jìn)行攔截����。
8、 根據(jù)權(quán)利要求7所述的方法���,所述方法還包括以下步驟 在步驟e)之前�����,生成用于引入正規(guī)纜線入口的通知分組��,并將所述通知分組發(fā)送給所述檢查出的IP共享器用戶�。
9�����、 根據(jù)權(quán)利要求8所述的方法�����,其中,步驟b)包括所述ID值的 狀態(tài)數(shù)對(duì)應(yīng)于連接到所述IP共享器的并存PC用戶的數(shù)量�。
10、 根據(jù)權(quán)利要求8所述的方法�����,其中�,步驟c)包括 針對(duì)在步驟a)中檢測到的IP分組中的因特網(wǎng)連接設(shè)置請(qǐng)求分組來生成通知分組;根據(jù)預(yù)定發(fā)送規(guī)則來發(fā)送所生成的通知分組���;以及 當(dāng)所發(fā)送的通知分組被輸出到PC的web瀏覽器上時(shí)���,啟動(dòng)操作并 對(duì)私用IP進(jìn)行檢測。
11�����、 根據(jù)權(quán)利要求10所述的方法����,其中,所述因特網(wǎng)連接設(shè)置請(qǐng)求 分組是從所述IP分組中的使用TCP端口號(hào)80的分組中確定的��。
12�����、 根據(jù)權(quán)利要求8所述的方法�,其中步驟e)包括-e-1)對(duì)在步驟a)中檢測到的IP分組中的所有TCP分組進(jìn)行檢査, 并提取因特網(wǎng)連接設(shè)置請(qǐng)求分組����;e-2)生成與所提取的因特網(wǎng)連接設(shè)置請(qǐng)求分組相對(duì)應(yīng)的用于攔截因 特網(wǎng)連接的因特網(wǎng)攔截分組;以及e-3)將所生成的因特網(wǎng)攔截分組發(fā)送給所述IP共享器用戶�,并對(duì)因 特網(wǎng)進(jìn)行攔截。
13����、根據(jù)權(quán)利要求12所述的方法,其中��,步驟e-l)包括當(dāng)TCP 分組的端口號(hào)為80時(shí)�����,對(duì)具有TCP碼位ACK或PSH的分組進(jìn)行檢查���, 而當(dāng)端口號(hào)不為80時(shí)���,對(duì)具有碼位SYN的分組進(jìn)行檢查��。
全文摘要
本發(fā)明公開了一種IP共享器檢測和攔截系統(tǒng)和方法�����。根據(jù)所述IP共享器檢測和攔截方法���,對(duì)通過網(wǎng)絡(luò)發(fā)送的所有IP分組進(jìn)行檢測,從所檢測到的IP分組的IP頭部提取ID值�����,并且基于針對(duì)同一IP的ID值的狀態(tài)數(shù)來對(duì)IP共享器用戶進(jìn)行判斷��。向判斷出的IP共享器用戶發(fā)送通知分組以檢測該IP共享器用戶的私用IP����,基于所檢測到的私用IP來確定該IP共享器用戶是否使用了IP共享器,并且對(duì)所檢測出的IP共享器用戶的因特網(wǎng)連接進(jìn)行攔截��。在這種情況下�����,在對(duì)所檢測出的IP共享器用戶的因特網(wǎng)連接進(jìn)行攔截之前��,對(duì)該IP共享器用戶生成用于引入正規(guī)纜線入口的通知分組。
文檔編號(hào)H04L12/22GK101112046SQ200580047401
公開日2008年1月23日 申請(qǐng)日期2005年12月28日 優(yōu)先權(quán)日2004年12月28日
發(fā)明者崔永秀, 裵丙淑, 金垠浩, 金載東 申請(qǐng)人:株式會(huì)社Kt