[发明专利]一种识别NAT设备及确定NAT后终端数的方法

说明书

本发明公开有效识别NAT设备的方法，以及确定NAT后的终端数量的方法，基于网络准入控制的客户端与服务器端，通过判断客户端发送至服务器端的周期信息IP是否与客户端本身的IP相同，如果发生了改变，说明客户端的网络数据经过了NAT设备的转换，从而识别出NAT设备；同时，基于上述的NAT设备识别方法，提高终端数统计的准确性。

技术领域

本发明属于网络通信安全技术领域，尤其是涉及一种识别NAT设备与确定NAT后终端数的方法。

背景技术

为了对接入网络的终端进行管理，安全网关设备多采用客户端接入认证，一旦客户端被认证通过，对应的终端IP便允许接入互联网，网关即开始通过IP实现对终端的网络监控。但是，目前的这种方案存在一个问题，如果到达网关的数据包IP被事先修改，网关便无法识别该数据包的准确来源，例如NAT 设备可以将内网所有终端的本地IP转换为同一个对外IP，该网络内只要有一个终端通过认证，其他的终端也都可以接入网络了，容易被非法利用，带来安全隐患；特别是当大量的NAT设备接入时，更是增加了管理难度。

因此，如何准确识别出网络中的NAT设备，进而采取针对性措施就成为解决上述问题的主要方式；同时，如何确定在一个公网IP地址后面有多少个终端，即通过特定的方法来计算NAT设备后面的终端数，对于网络控制也非常有必要。现有的各种NAT设备识别及终端数统计方法，普遍依赖于网络数据包中的特殊字段，其识别效果主要取决于该字段，受到操作系统以及用户上网习惯的制约。

发明内容

鉴于以上现状，本发明旨在提出一种有效识别NAT设备的方法，以及确定NAT后的终端数量的方法，其技术方案如下所述。

一种识别NAT设备的方法，应用于包括客户端与服务器端的网络准入控制，其特征在于，包括：接收客户端发送的周期信息，判断所述周期信息的IP与客户端上报至服务器端的IP是否一致；若所述周期信息的IP与客户端上报至服务器端的IP不一致，则判断所述周期信息的IP对应NAT设备。

具体识别过程包括：所述服务器端预设终端的IP列表，每一个客户端接入网络时，将其对应的终端标识与终端IP上报至所述IP列表；客户端接入网络后周期性的向所述服务器端发送包括终端标识的数据信息，服务器端提取数据信息中的IP，并根据终端标识从所述IP列表查找对应的终端IP，判断所述周期数据信息中的IP与所述终端IP是否一致，若不一致则该周期数据信息的IP对应NAT设备。

作为一种优选的，若服务器端未接收到客户端的周期信息，判断同一IP的网络数据是否具有不同操作系统的特征，若同一IP的网络数据具有不同操作系统的特征，则该IP对应NAT设备。

或者，若同一IP的网络数据具有不同操作系统的特征，判断该IP为疑似NAT设备；进一步提取该IP的网络数据TCP头中的时间戳与端口数量，若所述时间戳跳变超出预设的阈值，和/或所述端口数量变化超出预设的阈值，则确定该IP对应NAT设备。

一种确定NAT后终端数的方法，包括：识别出NAT设备后，建立NAT设备IP与所述终端IP的关联表；继续获取来自该NAT设备的周期信息，根据周期信息中的终端标识确定其终端IP，判断该终端IP是否存在于所述关联表，若存在则结束，若不存在则将该终端IP加入所述关联表；统计所述关联表中的终端IP数量，则得到NAT设备后的终端数量。

另一种确定NAT后终端数的方法是：终端通过客户端被服务器端认证后，接入网络时访问预设的特定网站；统计来自同一NAT设备的数据包中的访问所述固定网站的CookieID，则得到该NAT设备后的终端数量。