一種用戶上網行為審計方法及審計設備與流程
2023-06-16 23:49:51
本發明涉及數據通信領域,尤其涉及一種用戶上網行為審計方法及審計設備。
背景技術:
在傳統上網行為的審計過程中,部署在網絡中的審計設備一般首先需要獲取用戶終端的公有IP位址以及介質訪問控制(Media Access Control,MAC)地址等信息,然後根據公有IP位址截獲用戶上網行為的網絡流量包,並將該網絡流量包與MAC地址所對應的用戶進行關聯,從而實現對用戶上網行為進行審計的目的。
目前,為了給用戶提供無線保真(Wireless Fidelity,WiFi)網絡,許多公共場所都通過採用在主幹網絡中部署無線路由器等WiFi設備來實現上述目的。在公有IP位址有限的條件下,同時為有效地保護網絡內部的設備避免受到來自網絡外部的攻擊,這些WiFi設備通常會採用網絡地址轉換(Network Address Translation,NAT)方式進行部署,這樣既可以減少對網絡維護和管理的複雜度,又可以提高網絡的穩定性。然而,在WiFi設備採用NAT方式部署的情況下,部署在NAT設備後面的審計設備對於網絡流量包只能看到公有IP位址,無法將網絡流量包與具體用戶進行關聯,從而無法對用戶的上網行為進行審計。
技術實現要素:
有鑑於此,本發明實施例期望提供一種用戶上網行為審計方法及審計設備,實現部署在NAT設備後面的審計設備能夠審計用戶的上網行為的目的。
為達到上述目的,本發明的技術方案是這樣實現的:
本發明提供了一種用戶上網行為審計方法,包括:
接收用戶終端的MAC地址、轉換後的公有IP位址和埠標識;
記錄所述用戶終端的MAC地址至所述用戶終端的轉換後的公有IP位址和埠標識所組成的映射關係表;
對所述用戶終端的當前用戶進行識別,獲取所述用戶終端的當前用戶的個人信息;
記錄所述用戶終端的當前用戶的個人信息至所述映射關係表,對當前用戶的上網行為進行審計。
上述方案中,所述記錄所述用戶終端的MAC地址至所述用戶終端的轉換後的公有IP位址和埠標識所組成的映射關係表之前,所述方法還包括:
建立所述用戶終端的轉換後的公有IP位址和埠標識所組成的映射關係表。
上述方案中,所述對所述用戶終端的當前用戶進行識別,包括:
根據所述映射關係表中記錄的所述用戶終端的MAC地址,從第三方設備中讀取與所述用戶終端的MAC地址相對應的當前用戶的個人信息。
上述方案中,所述對所述用戶終端的當前用戶進行識別,包括:
根據所述映射關係表中記錄的所述用戶終端的MAC地址、轉換後的公有IP位址和埠標識,向所述用戶終端發送當前用戶的識別請求消息,並獲取所述用戶終端發送的包含有所述用戶終端的當前用戶的個人信息的識別反饋消息。
上述方案中,所述方法還包括:
接收用戶終端的私有IP位址;
記錄所述用戶終端的私有IP位址至所述映射關係表。
本發明提供了一種審計設備,所述審計設備包括::接收模塊、記錄模塊、識別模塊、審計模塊;其中,
所述接收模塊,用於接收用戶終端的MAC地址、轉換後的公有IP位址和埠標識;
所述記錄模塊,用於記錄所述用戶終端的MAC地址至所述用戶終端的轉換後的公有IP位址和埠標識所組成的映射關係表;記錄所述用戶終端的當前用戶的個人信息至所述映射關係表;
所述識別模塊,用於對所述用戶終端的當前用戶進行識別,獲取所述用戶終端的當前用戶的個人信息;
所述審計模塊,用於根據所述包含有所述用戶終端的當前用戶的個人信息的映射關係表,對當前用戶的上網行為進行審計。
上述方案中,所述審計設備還包括:關係表建立模塊,用於建立所述用戶終端的轉換後的公有IP位址和埠標識所組成的映射關係表。
上述方案中,所述識別模塊,具體用於:根據所述映射關係表中記錄的所述用戶終端的MAC地址,從第三方設備中讀取與所述用戶終端的MAC地址相對應的當前用戶的個人信息。
上述方案中,所述識別模塊,具體用於:根據所述映射關係表中記錄的所述用戶終端的MAC地址、轉換後的公有IP位址和埠標識,向所述用戶終端發送當前用戶的識別請求消息,並獲取所述用戶終端發送的包含有所述用戶終端的當前用戶的個人信息的識別反饋消息。
上述方案中,所述接收模塊,還用於接收用戶終端的私有IP位址;
所述記錄模塊,還用於記錄所述用戶終端的私有IP位址至所述映射關係表。
本發明實施例提供的用戶上網行為審計方法及審計設備,接收用戶終端的MAC地址、轉換後的公有IP位址和埠標識;記錄所述用戶終端的MAC地址至所述用戶終端的轉換後的公有IP位址和埠標識所組成的映射關係表;對所述用戶終端的當前用戶進行識別,獲取所述用戶終端的當前用戶的個人信息;記錄所述用戶終端的當前用戶的個人信息至所述映射關係表,對當前用戶的上網行為進行審計;可見,本發明實施例通過將用戶終端的MAC地址、當前用戶的個人信息、轉換後的公有IP位址和埠標識關聯起來,從而能夠實現部署在NAT設備後面的審計設備能夠對用戶的上網行為進行審計的目的。
附圖說明
圖1為本發明實施例用戶上網行為審計方法的實現流程示意圖;
圖2為本發明實施例審計設備的組成結構示意圖。
具體實施方式
下面結合附圖及具體實施例對本發明再作進一步詳細的說明。
本實施例中,用戶上網行為審計方法的實現流程示意圖如圖1所示,所述方法包括以下步驟:
步驟101:接收用戶終端的MAC地址、轉換後的公有IP位址和埠標識;
具體的,NAT設備在用戶終端連接NAT設備內網時,根據用戶終端的私有IP位址指定所述用戶終端的轉換後的公有IP位址和埠標識,並記錄所述用戶終端的MAC地址;NAT設備將所述用戶終端的MAC地址、私有IP位址、轉換後的公有IP位址和埠標識發送給審計設備,審計設備接收所述NAT設備發送的所述用戶終端的MAC地址、私有IP位址、轉換後的公有IP位址和埠標識。
這裡,所述用戶終端的私有IP位址可以是用戶終端自身所設置的或自動獲取的,也可以是由NAT設備分配的;所述公有IP位址對於同一NAT設備而言是唯一的,即對於連接於同一NAT設備的多個用戶終端,多個用戶終端的不相同私有IP位址經該NAT設備轉換後所獲得的公有IP位址是相同的;所述埠標識是NAT設備給所述用戶終端分配的源埠段,每個NAT設備包含有多個源埠段,而每個源埠段中包含有多個源埠號;當NAT設備同時對多個用戶終端的不相同私有IP位址進行轉換時,將給每個用戶終端分配不同的源埠段,從而對不相同的用戶終端進行區分。
進一步地,所述方法還包括:建立所述用戶終端的轉換後的公有IP位址和埠標識所組成的映射關係表。
具體地,審計設備根據步驟101中接收到的所述用戶終端的轉換後的公有IP位址和埠標識,建立所述用戶終端的轉換後的公有IP位址和埠標識之間的映射關係表。
這裡,所述建立所述用戶終端的轉換後的公有IP位址和埠標識所組成的映射關係表,也可以是:審計設備根據NAT設備所對應的公有IP位址和源埠段,建立公有IP位址和源埠段之間的映射關係庫,所述公有IP位址和源埠段之間的映射關係庫中包含多個公有IP位址和源埠段之間的映射關係表。
步驟102:記錄所述用戶終端的MAC地址至所述用戶終端的轉換後的公網IP位址和埠標識所組成的映射關係表;
具體地,審計設備將在步驟101中接收到的所述用戶終端的MAC地址記錄到已建立的所述用戶終端的轉換後的公有IP位址和埠標識所組成的映射關係表中。
步驟103:對所述用戶終端的當前用戶進行識別,獲取所述用戶終端的當前用戶的個人信息;
具體地,審計設備根據步驟102中所述用戶終端的轉換後的公有IP位址和埠標識組成的映射關係表中所記錄的用戶終端的MAC地址,從第三方設備中讀取與所述用戶終端的MAC地址相對應的當前用戶的個人信息。
這裡,所述第三方設備中已存儲有與所述用戶終端的MAC地址相對應的當前用戶的個人信息,所述第三方設備可以是能夠與所述審計設備進行交互的存儲器;所述個人信息包括姓名、身份證號碼、用戶帳號、聯繫電話、電子郵箱、微信號、微博號、QQ號碼中的一種或多種。
這裡,所述對所述用戶終端的當前用戶進行識別,也可以是:審計設備根據步驟102中所述用戶終端的轉換後的公有IP位址和埠標識組成的映射關係表中所記錄的用戶終端的MAC地址,從審計設備自身所存儲的用戶的個人信息中讀取與所述用戶終端的MAC地址相對應的當前用戶的個人信息。
這裡,所述對所述用戶終端的當前用戶進行識別,還可以是:審計設備根據步驟102中所述用戶終端的轉換後的公有IP位址和埠標識組成的映射關係表中所記錄的用戶終端的MAC地址、轉換後的公有IP位址和埠標識,向所述用戶終端發送當前用戶的識別請求消息,並獲取所述用戶終端發送的包含有所述用戶終端的當前用戶的個人信息的識別反饋消息。
例如,審計設備根據映射關係表中記錄的終端A的MAC地址、轉換後的公有IP位址和埠標識,向終端A發送包含手機號碼和驗證信息的用戶識別界面,請求終端A的當前用戶B通過輸入手機號碼獲取驗證信息;當終端A的當前用戶B在所述用戶識別界面輸入手機號碼X之後,審計設備根據手機號碼X向所述手機號碼X所歸屬的設備發送驗證信息XX;當終端A的當前用戶B在所述用戶識別界面輸入驗證信息後,審計設備判斷出終端A的當前用戶B在所述用戶識別界面所輸入的驗證信息為XX時,將終端A的當前用戶B在所述用戶識別界面輸入的手機號碼X作為終端A的當前用戶B的個人信息。
例如,審計設備根據映射關係表中記錄的終端C的MAC地址、轉換後的公有IP位址和埠標識,向終端C發送二維碼掃描識別界面;當終端C的當前用戶D通過手機微信掃描所述識別界面中的二維碼後,審計設備獲取所述手機微信的用戶名,並將所述手機微信的用戶名作為終端C的當前用戶D的個人信息。
步驟104:記錄所述用戶終端的當前用戶的個人信息至所述映射關係表,對當前用戶的上網行為進行審計。
具體地,審計設備將步驟103中獲取的所述用戶終端的當前用戶的個人信息記錄到包含有所述用戶終端的MAC地址、轉換後的公有IP位址和埠標識的映射關係表中,並根據包含有所述用戶終端的MAC地址、當前用戶的個人信息、轉換後的公有IP位址和埠標識的映射關係表對當前用戶的上網行為進行審計。
這裡,當前用戶在後續網絡訪問時,由於NAT設備將指定具有同一私有IP位址的用戶終端使用相同的埠標識即源埠段進行流量包轉換,因此,審計設備可以將從網絡中截獲的流量包所包含的公有IP位址和埠標識與步驟104中的映射關係表進行匹配,識別出當前用戶,達到審計用戶上網行為的目的。
這裡,當用戶終端斷開NAT設備內網時,NAT設備會將所述用戶終端的MAC地址以及離線消息發送給審計設備,告知審計設備所述用戶終端已離線;審計設備接收到所述NAT設備發送的所述用戶終端的離線消息後,根據時間信息將與所述用戶終端的當前用戶相關的信息存入資料庫,並對所述用戶終端的MAC地址所對應的映射關係表進行更新,從而刪除所述映射關係表中所述用戶終端的當前用戶的個人信息。
為實現上述方法,對應的本發明實施例還提供了一種審計設備,如圖2所示,所述審計設備包括:接收模塊21、記錄模塊23、識別模塊24、審計模塊25;其中,
所述接收模塊21,用於接收用戶終端的MAC地址、轉換後的公有IP位址和埠標識;
所述記錄模塊23,用於記錄所述用戶終端的MAC地址至所述用戶終端的轉換後的公網IP位址和埠標識所組成的映射關係表;並記錄所述用戶終端的當前用戶的個人信息至所述映射關係表;
所述識別模塊24,用於對所述用戶終端的當前用戶進行識別,獲取所述用戶終端的當前用戶的個人信息;
所述審計模塊25,用於根據所述包含有所述用戶終端的當前用戶的個人信息的映射關係表,對當前用戶的上網行為進行審計。
這裡,NAT設備在用戶終端連接NAT設備內網時,根據用戶終端的私有IP位址指定所述用戶終端的轉換後的公有IP位址和埠標識,並記錄所述用戶終端的MAC地址;NAT設備將所述用戶終端的MAC地址、私有IP位址、轉換後的公有IP位址和埠標識發送給接收模塊21,接收模塊21接收所述NAT設備發送的所述用戶終端的MAC地址、私有IP位址、轉換後的公有IP位址和埠標識。
這裡,所述用戶終端的私有IP位址可以是用戶終端自身所設置的或自動獲取的,也可以是由NAT設備分配的;所述公有IP位址對於同一NAT設備而言是唯一的,即對於連接於同一NAT設備的多個用戶終端,多個用戶終端的不相同私有IP位址經該NAT設備轉換後所獲得的公有IP位址是相同的;所述埠標識是NAT設備給所述用戶終端分配的源埠段,每個NAT設備包含有多個源埠段,而每個源埠段包含有多個源埠號;當NAT設備同時對多個用戶終端的不相同私有IP位址進行轉換時,將給每個用戶終端分配不同的源埠段,從而對不相同的用戶終端進行區分。
進一步地,所述審計設備還包括:關係表建立模塊22,用於建立所述用戶終端的轉換後的公有IP位址和埠標識之間的映射關係表。
所述關係表建立模塊22,具體用於:根據接收模塊21接收到的所述用戶終端的轉換後的公有IP位址和埠標識,建立所述用戶終端的轉換後的公有IP位址和埠標識之間的映射關係表。
這裡,所述關係表建立模塊22建立所述用戶終端的轉換後的公有IP位址和埠標識之間的映射關係表,也可以是:根據NAT設備所對應的公有IP位址和源埠段,建立公有IP位址和源埠段之間的映射關係庫,所述公有IP位址和源埠段之間的映射關係庫中包含有多個公有IP位址和源埠段之間的映射關係表。
所述記錄模塊23,具體用於:將接收模塊21接收到的所述用戶終端的MAC地址記錄到所述關係表建立模塊22所建立的所述用戶終端的轉換後的公有IP位址和埠標識組成的映射關係表中。
所述識別模塊24,具體用於:根據所述用戶終端的轉換後的公有IP位址和埠標識組成的映射關係表中所記錄的用戶終端的MAC地址,從第三方設備中讀取與所述用戶終端的MAC地址相對應的當前用戶的個人信息。
這裡,所述第三方設備中已存儲有與所述用戶終端的MAC地址相對應的用戶的個人信息,所述第三方設備可以是能夠與所述審計設備進行交互的存儲器;所述個人信息包括姓名、身份證號碼、用戶帳號、聯繫電話、電子郵箱、微信號、微博號、QQ號碼中的一種或多種。
這裡,所述識別模塊24對所述用戶終端的當前用戶進行識別,也可以是:根據所述用戶終端的轉換後的公有IP位址和埠標識組成的映射關係表中所記錄的用戶終端的MAC地址,從自身所存儲的用戶的個人信息中讀取與所述用戶終端的MAC地址相對應的當前用戶的個人信息。
這裡,所述識別模塊24對所述用戶終端的當前用戶進行識別,還可以是:根據所述用戶終端的轉換後的公有IP位址和埠標識組成的映射關係表中所記錄的用戶終端的MAC地址、轉換後的公有IP位址和埠標識,向所述用戶終端發送當前用戶的識別請求消息,並獲取所述用戶終端發送的包含有所述用戶終端的當前用戶的個人信息的識別反饋消息。
例如,識別模塊24根據映射關係表中記錄的終端A的MAC地址、轉換後的公有IP位址和埠標識,向終端A發送包含手機號碼和驗證信息的用戶識別界面,請求終端A的當前用戶B通過輸入手機號碼獲取驗證信息;當終端A的當前用戶B在所述用戶識別界面輸入手機號碼X之後,識別模塊24根據手機號碼X向所述手機號碼X所歸屬的設備發送驗證信息XX;當終端A的當前用戶B在所述用戶識別界面輸入驗證信息後,識別模塊24判斷出終端A的當前用戶B在所述用戶識別界面所輸入的驗證信息為XX時,將終端A的當前用戶B在所述用戶識別界面輸入的手機號碼X作為終端A的當前用戶B的個人信息。
例如,識別模塊24根據映射關係表中記錄的終端C的MAC地址、轉換後的公有IP位址和埠標識,向終端C發送二維碼掃描識別界面;當終端C的當前用戶D通過手機微信掃描所述識別界面中的二維碼後,識別模塊24獲取所述手機微信的用戶名,並將所述手機微信的用戶名作為終端C的當前用戶D的個人信息。
所述記錄模塊23,具體用於:將識別模塊24中獲取的所述用戶終端的當前用戶的個人信息記錄到包含有所述用戶終端的MAC地址、轉換後的公有IP位址和埠標識的映射關係表中。
所述審計模塊25,具體用於:根據包含有所述用戶終端的MAC地址、當前用戶的個人信息、轉換後的公有IP位址和埠標識的映射關係表對當前用戶的上網行為進行審計。
這裡,當前用戶在後續網絡訪問時,由於NAT設備將指定具有同一私有IP位址的用戶終端使用相同的埠標識即源埠段進行流量包轉換,因此,審計模塊25可以將從網絡中截獲的流量包所包含的公有IP位址和埠標識與所述關係表建立模塊22建立的映射關係表進行匹配,識別出當前用戶,達到審計用戶上網行為的目的。
這裡,當用戶終端斷開NAT設備內網時,NAT設備會將所述用戶終端的MAC地址以及離線消息發送給接收模塊21,接收模塊21將所述用戶終端的MAC地址以及離線消息轉發至審計模塊25,告知審計模塊25所述用戶終端已離線;審計模塊25接收到所述NAT設備發送的所述用戶終端的離線消息後,根據時間信息將與所述用戶終端的當前用戶相關的信息存入資料庫,並對所述用戶終端的MAC地址所對應的映射關係表進行更新,從而刪除所述映射關係表中所述用戶終端的當前用戶的個人信息。
在實際應用中,所述接收模塊21、關係表建立模塊22、記錄模塊23、識別模塊24、審計模塊25均可由位於終端的中央處理器(CPU)、微處理器(MPU)、數位訊號處理器(DSP)、或現場可編程門陣列(FPGA)等實現。
以上所述,僅為本發明的較佳實施例而已,並非用於限定本發明的保護範圍。凡在本發明的精神和範圍之內所作的任何修改、等同替換和改進等,均包含在本發明的保護範圍之內。