一种保护用户信息的方法、装置和系统制造方法及图纸

技术编号:19702952 阅读:26 留言:0更新日期:2018-12-08 14:22
本文公开了一种保护用户信息的方法、装置和系统。所述应用于增强的网络地址转换eNAT设备的保护用户信息的方法包括:当用户上线时,从用户信息保护策略服务器上获取用户信息保护策略;接收到用户的数据流,当所述用户的用户信息保护策略指示需要进行用户信息保护时,将所述数据流发送到目的eNAT设备进行地址转换。本文的技术方案能够满足用户对个人身份和位置信息进行保护的需求。

【技术实现步骤摘要】
一种保护用户信息的方法、装置和系统
本专利技术涉及通信
,尤其涉及的是一种保护用户信息的方法、装置和系统。
技术介绍
在TCP(TransmissionControlProtocol,传输控制协议)/IP(InternetProtocol,因特网互联协议)网络环境中,移动终端访问互联网业务,需要先接入到分组数据网关(PacketDataGateway,简称PDGW),申请一个有效的IP地址,然后使用该IP地址通过该PDGW访问互联网。如图1-a所示,以移动通讯网络为例,终端通过无线网络接入拜访网络的PDGW,分配拜访网络的公网IP地址,或接入归属网络的PDGW,分配归属地的公网IP,直接访问Internet(因特网)。或者如图1-b所示,终端通过无线网络接入拜访网络的PDGW,分配拜访网络的私网IP地址,然后通过拜访网络的网络地址转换(NetworkAddressTranslation,简称NAT)设备转换成公网IP访问Internet,或接入归属网络的PDGW,分配归属地的私网IP,然后通过归属网络的NAT设备转换成公网IP访问Internet。公网IP地址携带有身份信息和位置信息,因此用户的身份信息、位置信息以及由此而形成的通信行为、活动轨迹等个人隐私,存在泄露的风险,以及下述信息安全问题:1)从公网IP可以分析出用户的当前位置或其所属归属区域;2)通过IP地址可以关联用户的访问行为,比如用户同时访问了网站1和网站2,则通过IP地址可以将对网站1和网站2的访问行为关联起来;3)利用IP地址所代表的身份信息,可以针对特定行业人群或重点用户,进行通信窃听、行为监控、位置跟踪;4)用户的数据流在同一PDGW或NAT设备出口,只要在这一出口部署监听设备,就可以监听用户的所有行为,安全程度较低。综上所述,相关技术无法满足特殊行业用户或重点用户对个人信息保护的需求。
技术实现思路
本专利技术所要解决的技术问题是提供一种保护用户信息的方法、装置和系统,能够满足用户对个人身份和位置信息进行保护的需求。本专利技术实施例提供一种保护用户信息的方法,应用于增强的网络地址转换eNAT设备,包括:当用户上线时,从用户信息保护策略服务器上获取用户信息保护策略;接收到用户的数据流,当所述用户的用户信息保护策略指示需要进行用户信息保护时,将所述数据流发送到目的eNAT设备进行地址转换。本专利技术实施例还提供保护用户信息的方法,应用于用户信息保护策略服务器,包括:确定用户的用户信息保护策略;将确定后的用户信息保护策略发送给所述用户附着的增强的网络地址转换eNAT设备。本专利技术实施例还提供一种保护用户信息的装置,应用于增强的网络地址转换eNAT设备,包括:策略获取模块,用于当用户上线时,从用户信息保护策略服务器上获取用户信息保护策略;信息保护模块,用于接收到用户的数据流,当所述用户的用户信息保护策略指示需要进行用户信息保护时,将所述数据流发送到目的eNAT设备进行地址转换。本专利技术实施例还提供一种保护用户信息的装置,应用于用户信息保护策略服务器,包括:策略确定模块,用于确定用户的用户信息保护策略;策略发送模块,用于将确定后的用户信息保护策略发送给所述用户附着的增强的网络地址转换eNAT设备。本专利技术实施例还提供一种保护用户信息的系统,包括:包含上述保护用户信息的装置的增强的网络地址转换eNAT设备和包含上述保护用户信息的装置的用户信息保护策略服务器。本专利技术实施例还提供一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令被处理器执行时实现上述方法。与现有技术相比,本专利技术提供的一种保护用户信息的方法、装置和系统,部署用户信息保护策略服务器(UIPS),并对NAT设备的功能进行增强形成增强型NAT设备(eNAT设备),源eNAT设备根据用户信息保护策略服务器制定的保护策略将用户的数据流转发到目的eNAT设备进行地址转换,达到隐藏用户信息的目的,能够满足用户对个人身份和位置信息进行保护的需求。附图说明图1-a为现有技术中一种互联网接入示意图;图1-b为现有技术中一种包含网络地址转换功能的互联网接入示意图;图2为本专利技术实施例1的一种保护用户信息的系统的互联网接入示意图;图3为本专利技术实施例2的一种保护用户信息的方法流程图(eNAT设备);图4为本专利技术实施例3的一种保护用户信息的方法流程图(用户信息保护策略服务器);图5为本专利技术实施例4的一种保护用户信息的装置示意图(eNAT设备);图6为本专利技术实施例5的一种保护用户信息的装置示意图(用户信息保护策略服务器);图7为本专利技术实施例6的一种保护用户信息的系统示意图;图8为本专利技术示例1的一种用户上线和下线流程示意图;图9为本专利技术示例2的一种数据流转发流程示意图;图10为本专利技术示例3的一种数据流转发流程示意图(带ALG功能)。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白,下文中将结合附图对本专利技术的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。实施例1如图2所示,一种保护用户信息的系统,主要包括:用户信息保护策略服务器(UserInformationprotectPolicyServer,简称UIPS),和增强的网络地址转换设备(EnhancedNetworkAddressTranslation,简称eNAT设备);其中,用户信息保护策略服务器(UIPS)的主要功能,包括:1)根据用户或用户群设定信息保护策略;2)根据eNAT设备请求,向eNAT设备下发信息保护策略;3)当在线用户的信息保护策略发生变化时,向服务用户的eNAT设备更新信息保护策略;其中,eNAT设备部署在不同区域,不同区域的eNAT设备实现互联,根据在网络地址转换过程中承担的角色不同,进一步区分为源eNAT设备和目的eNAT设备;源eNAT设备的主要功能,包括:1)接收用户的上/下线信息,获取用户身份;2)当用户上线时,向UIPS请求信息保护策略,并接收UIPS下发的更新保护策略;3)接收到上线用户的数据流时,匹配信息保护策略,选择对数据流执行本地转换,或者发送给目的eNAT设备进行转换,以及分流方式、应用层网关(ApplicationLayerGateway,简称ALG)功能的执行方式;其中,对于ALG功能的执行方式,如果由同一目的eNAT设备进行ALG功能,则源eNAT设备将与会话关联的数据流都发送给同一目的eNAT设备,否则可以发送到不同目的eNAT设备,并执行资源预留过程。目的eNAT设备的主要功能,包括:第一目的eNAT设备接收到数据流(第一数据流),执行NAT转换,如果需要执行ALG功能,且信息保护策略指示会话相关的数据流在不同目的eNAT设备,则第一目的eNAT设备通过源NAT设备向第二目的eNAT设备申请资源;第二目的eNAT设备根据请求预留资源,如果需要执行ALG功能,且会话相关的数据流(第二数据流)在本设备上,则在本设备上为第二数据流申请资源,执行ALG功能。其中,所述信息保护策略,包括但不限于:a)是否进行信息保护,如果不进行信息保护,则源eNAT设备进行本地地址转换,如果进行信息保护,则源eNAT设备转发到其他目的eNAT设备进行地址转换;本文档来自技高网
...

【技术保护点】
1.一种保护用户信息的方法,应用于增强的网络地址转换eNAT设备,包括:当用户上线时,从用户信息保护策略服务器上获取用户信息保护策略;接收到用户的数据流,当所述用户的用户信息保护策略指示需要进行用户信息保护时,将所述数据流发送到目的eNAT设备进行地址转换。

【技术特征摘要】
1.一种保护用户信息的方法,应用于增强的网络地址转换eNAT设备,包括:当用户上线时,从用户信息保护策略服务器上获取用户信息保护策略;接收到用户的数据流,当所述用户的用户信息保护策略指示需要进行用户信息保护时,将所述数据流发送到目的eNAT设备进行地址转换。2.如权利要求1所述的方法,其特征在于:所述用户信息保护策略包括以下信息的至少一种:a)是否对用户信息进行保护;b)是否对用户的不同数据流进行分流保护;c)是否对用户的同一会话的不同数据流执行应用层网关ALG功能;d)是否指定目的eNAT设备。3.如权利要求2所述的方法,其特征在于:所述将所述数据流发送到目的eNAT设备进行地址转换,包括:如果所述用户的用户信息保护策略指示需要对用户的不同数据流进行分流保护,则在接收到用户的不同数据流时,将不同的数据流发送到不同的目的eNAT设备进行地址转换;如果所述用户的用户信息保护策略指示不需要对用户的不同数据流进行分流保护,则在接收到用户的不同数据流时,将不同的数据流发送到同一个目的eNAT设备进行地址转换。4.如权利要求2所述的方法,其特征在于:所述将所述数据流发送到目的eNAT设备进行地址转换,包括:如果所述用户的用户信息保护策略指定了目的eNAT设备,则在接收到用户的数据流时,将所述数据流发送到所述指定的目的eNAT设备进行地址转换。5.如权利要求2所述的方法,其特征在于:所述将所述数据流发送到目的eNAT设备进行地址转换,包括:如果所述用户的用户信息保护策略指示对用户的同一会话的不同数据流执行应用层网关ALG功能且不对用户的不同数据流进行分流保护,则为所述用户会话的各数据流确定一个目的eNAT设备,指示所述目的eNAT设备执行应用层网关ALG功能并对数据流进行地址转换。6.如权利要求2所述的方法,其特征在于:所述将所述数据流发送到目的eNAT设备进行地址转换,包括:如果所述用户的用户信息保护策略指示对用户的同一会话的不同数据流执行应用层网关ALG功能且对用户的不同数据流进行分流保护,则确定第一目的eNAT设备,指示所述第一目的eNAT设备执行应用层网关ALG功能并对所述用户会话中的第一数据流进行地址转换,在接收到所述第一目的eNAT设备发送的资源预留申请后,为所述用户会话中除所述第一数据流之外的其他数据流确定其他目的eNAT设备,向所述其他目的eNAT设备发送资源预留申请,在接收到所述其他目的eNAT设备返回的资源预留响应后,将所述资源预留响应转发给所述第一目的eNAT设备;其中,所述其他目的eNAT设备接收到所述用户会话中的除第一数据流之外的其他数据流后进行地址转换。7.如权利要求2所述的方法,其特征在于:接收到用户的数据流,当所述用户的用户信息保护策略指示不需要进行用户信息保护时,对所述数据流进行本地地址转换。8.一种保护用户信息的方法,应用于用户信息保护策略服务器,包括:确定用户的用户信息保护策略;将确定后的用户信息保护策略发送给所述用户附着的增强的网络地址转换eNAT设备。9.如权利要求8所述的方法,其特征在于:所述用户信息保护策略包括以下信息的至少一种:a)是否对用户信息进行保护;b)是否对用户的不同数据流进行分流保护;c)是否对用户的同一会话的不同数据流执行应用层网关ALG功能;d)是否指定目的eNAT设备。10.一种保护用户信息的装置,应用于增强的网络地址转换eNAT设备,包括:策略获取模块,用于当用户上线时,从用户信息保护策略服务器上获取用户信息保护策略;信息保护模块,用于接收到用户的数据流,当所述用户的用户...

【专利技术属性】
技术研发人员:郝振武黄兵王建伟沈炯
申请(专利权)人:中兴通讯股份有限公司
类型:发明
国别省市:广东,44

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1