專利名稱:寬帶網(wǎng)絡(luò)接入智能控制系統(tǒng)及控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種針對IP寬帶網(wǎng)絡(luò)的安全和管理的方法及控制系統(tǒng)。
本發(fā)明提供一種寬帶網(wǎng)絡(luò)接入智能控制系統(tǒng),包括雙向連接的終端用戶計算機、交換機,所述的交換機與internet相連接,其還包括依次與終端用戶計算機雙向連接的NAS服務(wù)器,和對NAS服務(wù)器傳送過來的用戶信息進(jìn)行認(rèn)證的RADIUS服務(wù)器,所述的NAS服務(wù)器根據(jù)認(rèn)證結(jié)果控制交換機相應(yīng)端口是否開放。所述終端用戶計算機包括終端用戶接口模塊,其有兩個網(wǎng)絡(luò)接口,一個網(wǎng)絡(luò)接口連NAS服務(wù)器,另一個網(wǎng)絡(luò)接口連接被控制的交換機。所述的NAS服務(wù)器包括服務(wù)器用戶接口模塊、網(wǎng)絡(luò)資源訪問控制子系統(tǒng)和RADIUS客戶端模塊,所述的服務(wù)器用戶接口模塊分別與終端用戶接口模塊、網(wǎng)絡(luò)資源訪問控制子系統(tǒng)、RADIUS客戶端模塊雙向連接。所述RADIUS服務(wù)器包括雙向連接的RADIUS服務(wù)器端模塊和認(rèn)證計費數(shù)據(jù)庫,所述的RADIUS服務(wù)器端模塊還與RADIUS客戶端模塊雙向連接。
本發(fā)明同時提供一種寬帶網(wǎng)絡(luò)接入智能控制方法,包括如下步驟NAS服務(wù)器接收終端用戶計算機的用戶信息,并將該用戶信息傳送給RADIUS服務(wù)器;RADIUS服務(wù)器采用RADIUS協(xié)議對用戶信息進(jìn)行認(rèn)證;RADIUS服務(wù)器將認(rèn)證結(jié)果傳送給NAS服務(wù)器;NAS服務(wù)器利用簡單網(wǎng)絡(luò)管理協(xié)議控制交換機實現(xiàn)訪問控制,即控制相應(yīng)端口是否開放。
采用上述技術(shù)方案具備以下優(yōu)點·認(rèn)證效率高。將一般用于撥號網(wǎng)絡(luò)的RADIUS協(xié)議運用于以太網(wǎng)中,實現(xiàn)IP寬帶網(wǎng)絡(luò)的認(rèn)證和計費。結(jié)果證明這種嘗試是可行的,運行效果很好。
·靈活性好。保留原有網(wǎng)絡(luò)投資,不用更換交換機即可實現(xiàn)基于端口的認(rèn)證,將網(wǎng)絡(luò)訪問控制和認(rèn)證計費功能與交換機功能分離開。
·提高網(wǎng)絡(luò)性能。一旦用戶獲得了網(wǎng)絡(luò)資源的訪問權(quán),則不需要通過接入服務(wù)器系統(tǒng)就可以直接訪問Internet,減輕了系統(tǒng)負(fù)擔(dān),減少網(wǎng)絡(luò)性能的損失,避免網(wǎng)絡(luò)瓶頸的出現(xiàn);·適用性廣。通過SNMP(簡單網(wǎng)絡(luò)管理協(xié)議)控制交換機,即通過設(shè)置網(wǎng)絡(luò)設(shè)備中SNMP管理信息庫的MIB值來實現(xiàn)對交換機端口的狀態(tài)的控制。因此對于所有支持SNMP的網(wǎng)絡(luò)設(shè)備都適用;采用RADIUS認(rèn)證服務(wù)器有如下優(yōu)越性RADIUS協(xié)議采用UDP數(shù)據(jù)報,在一定時間內(nèi)未收到響應(yīng)后可以馬上重發(fā)一個UDP報文而不需要關(guān)心前一個報文是否到達(dá),這比采用TCP效率高。RADIUS認(rèn)證協(xié)議對認(rèn)證口令部分采用MD5加密,保護(hù)了數(shù)據(jù)的機密性。RADIUS定義的數(shù)據(jù)報文比較簡單,通常RADIUS中用戶的認(rèn)證信息和配置信息釋放在同一個數(shù)據(jù)庫中的,實現(xiàn)的結(jié)構(gòu)簡單明了。
圖2是終端用戶信息提交模塊的程序流程圖。
圖3是服務(wù)器的用戶接口模塊的程序流程圖。
圖4是服務(wù)器的用戶接口模塊中線程的程序流程圖。
圖5是RADIUS客戶端主程序?qū)崿F(xiàn)流程。
圖6是寬帶網(wǎng)絡(luò)接入智能控制系統(tǒng)的結(jié)構(gòu)示意圖。
根據(jù)建立的網(wǎng)絡(luò)系統(tǒng)架構(gòu),我們自主開發(fā)的功能模塊有終端用戶計算機1中的終端用戶接口模塊11,NAS服務(wù)器2中的服務(wù)器用戶接口模塊21、網(wǎng)絡(luò)資源訪問控制子系統(tǒng)22和RADIUS客戶端模塊23。采用Java作為整體開發(fā)語言,并選用了高效率的JBuilder軟件作為系統(tǒng)開發(fā)工具。需要進(jìn)行安裝配置的是RADIUS服務(wù)器中的RADIUS服務(wù)器端模塊和認(rèn)證計費數(shù)據(jù)庫。下面分別進(jìn)行詳細(xì)介紹。1、終端用戶接口模塊11終端用戶計算機1中的終端用戶接口模塊11的主要功能為與終端用戶進(jìn)行的交互提供用戶友好的界面,從中獲取用戶的用戶名和口令等認(rèn)證信息;返回服務(wù)器端接收到的認(rèn)證響應(yīng)給終端用戶。與服務(wù)器用戶接口模塊進(jìn)行交互將用戶提供的認(rèn)證信息發(fā)送給服務(wù)器用戶接口模塊;等待由服務(wù)器用戶接口模塊傳遞的認(rèn)證信息。
終端用戶接口模塊11的信息提交程序流程如圖2所示緊接開始步驟100之后,依次執(zhí)行如下步驟步驟101,生成面向終端用戶的認(rèn)證界面;步驟102,等侍用戶錄入信息;步驟103,等侍用戶觸發(fā)按鈕事件;步驟104,建立socket連接;步驟105,生成通信字符串;步驟106,發(fā)送通信字符串;步驟107,接收響應(yīng)信息;步驟108,返回響應(yīng)信息給用戶;此時,如果響應(yīng)信息為“BYE”,則執(zhí)行步驟110,退出流程;如果響應(yīng)信息不是“BYE”,則返回執(zhí)行步驟102。2、服務(wù)器用戶接口模塊21服務(wù)器的用戶接口模塊21的主要功能為與終端用戶進(jìn)行交互接收終端用戶提交的用戶信息,將認(rèn)證系統(tǒng)的響應(yīng)返回給終端用戶;與訪問控制子系統(tǒng)進(jìn)行交互根據(jù)認(rèn)證響應(yīng)向訪問控制子系統(tǒng)提出網(wǎng)絡(luò)資源的控制請求;與認(rèn)證子系統(tǒng)模塊進(jìn)行交互向認(rèn)證服務(wù)器提交用戶信息并接收響應(yīng)信息。服務(wù)器的用戶接口模塊的程序流程如圖3所示在開始步驟200之后,依次執(zhí)行步驟201,建立ServerSocket偵聽;步驟202,等待用戶請求;步驟203,生成一個Socket;步驟204,為用戶建立一個線程;步驟205,啟動線程;再返回執(zhí)行步驟202,并重復(fù)上述步驟。上述步驟中的線程的程序流程圖如圖4所示在開始步驟2040之后,依次執(zhí)行步驟2041,建立一個Socket連接;步驟2042,接收終端用戶的認(rèn)證信息;步驟2043,分析終端用戶的認(rèn)證信息;步驟2044,提交用戶信息給認(rèn)證計費子系統(tǒng);步驟2045,判斷用戶狀態(tài),如果判斷結(jié)果為上線,則執(zhí)行步驟2046,判斷用戶認(rèn)證是否通過,如果判斷結(jié)果為是,則執(zhí)行步驟2047,為用戶開放網(wǎng)絡(luò)資源,然后執(zhí)行步驟2050,退出流程。如果步驟2046的判斷結(jié)果為否,則直接執(zhí)行步驟2050,退出流程。如果步驟2045的判斷結(jié)果為離線,則執(zhí)行步驟2048,判斷用戶認(rèn)證是否通過,如果判斷結(jié)果為是,則執(zhí)行步驟2049,用戶正常退出網(wǎng)絡(luò)資源,然后執(zhí)行步驟2050,退出流程。如果步驟2048的判斷結(jié)果為否,則直接執(zhí)行步驟2050,退出流程。3、網(wǎng)絡(luò)資源訪問控制子系統(tǒng)網(wǎng)絡(luò)資源訪問控制子系統(tǒng)的主要功能是對用戶提出的訪問申請、批準(zhǔn)、執(zhí)行、撤銷全過程進(jìn)行控制。用戶訪問控制按事先確定的規(guī)則決定一個用戶是否有權(quán)對某一特定資源的使用或訪問。具體到IP寬帶接入系統(tǒng)中,主要指在認(rèn)證的前提下,確保只有合法用戶才能合法的訪問、使用和配置網(wǎng)絡(luò)資源,保證網(wǎng)絡(luò)的通暢和安全運營。
通過對各種訪問控制技術(shù)的分析和比較,本系統(tǒng)采用多層VLAN+ACL方案作為訪問控制實現(xiàn)的主要手段。利用簡單網(wǎng)絡(luò)管理協(xié)議(Simple NetworkManagement Protocol,SNMP),控制交換機硬件端口實現(xiàn)訪問控制。系統(tǒng)為每一個交換機基于端口進(jìn)行VLAN劃分,每一個端口都是一個單獨的VLAN,這樣有效的保證了用戶信息數(shù)據(jù)的安全性。同時系統(tǒng)根據(jù)訪問控制的不同等級劃分相應(yīng)的虛擬子網(wǎng),只有具備相應(yīng)訪問權(quán)限的用戶才能訪問相應(yīng)的虛擬局域網(wǎng)并使用相應(yīng)的網(wǎng)絡(luò)資源。
本系統(tǒng)訪問控制部分的具體實現(xiàn)可分為兩個部分(1)接入層交換機端口的控制對接入層交換機端口的控制主要采用了基于端口劃分的虛擬局域網(wǎng)技術(shù)。系統(tǒng)根據(jù)用戶認(rèn)證信息,確定用戶的訪問權(quán)限和要求,配置其相應(yīng)交換設(shè)備端口參數(shù),將其劃分到相應(yīng)的VLAN,使其獲得相應(yīng)合法的權(quán)限,使用網(wǎng)絡(luò)資源訪問外部Internet。(2)數(shù)據(jù)包過濾控制通過訪問控制列表ACL實現(xiàn)VLAN間數(shù)據(jù)包過濾,從而控制VLAN之間的網(wǎng)絡(luò)通訊安全。4、RADIUS客戶端模塊23RADIUS客戶端模塊23主要完成以下功能接受由服務(wù)器用戶接口模塊傳遞的用戶終端發(fā)出的信息(用戶名和口令等認(rèn)證請求、要求下線請求等),并將接收到的用戶信息發(fā)給RADIUS服務(wù)器請求認(rèn)證;接受RADIUS服務(wù)器的認(rèn)證信息,并將認(rèn)證信息轉(zhuǎn)發(fā)給服務(wù)器用戶接口模塊。RADIUS客戶端主程序?qū)崿F(xiàn)流程如圖5所示在開始步驟300之后,依次執(zhí)行步驟301,用戶信息錄入;步驟302,向服務(wù)器端提交用戶認(rèn)證請求;步驟303,判斷用戶是否通過認(rèn)證,如果判斷結(jié)果為是,則依次執(zhí)行步驟304,授權(quán)該用戶使用網(wǎng)絡(luò)資源;步驟305,向服務(wù)器端提交計費請求;然后執(zhí)行步驟306,退出流程。如果步驟303的判斷結(jié)果為否,則直接執(zhí)行步驟306,退出流程。5、RADIUS服務(wù)器3本系統(tǒng)采用運行于Linux操作系統(tǒng)下的FreeRADIUS 0.2版本。RADIUS服務(wù)器軟件有許多版本,其中最著名的商業(yè)版本是Livingston公司的RADIUS Server。然而現(xiàn)在自由軟件FreeRADIUS Server成為了RADIUS開發(fā)的新寵。FreeRADIUS服務(wù)器與Livingston′s 2.0 Server十分類似,它是Cistron RADIUS服務(wù)器的一個變體。但是它的特性遠(yuǎn)勝于Cistron和Livingston,而且更加容易配置。
FreeRADIUS Server有如下特性√限制每一個用戶同時發(fā)生的登錄數(shù);√多個默認(rèn)的條目,每個條目都可以隨意地登錄;√可以基于用戶所在的組(huntgroup)對用戶進(jìn)行授權(quán);√當(dāng)用戶通過認(rèn)證可以執(zhí)行一個外部程序;√可以作為代理服務(wù)器向遠(yuǎn)程服務(wù)器傳送請求。
FreeRADIUS Server運行于Linux操作系統(tǒng)下,其安裝文件為二進(jìn)制文件形式,安裝前需要編譯。其安裝過程如下(1)下載FreeRADIUS Server for Linux安裝文件。
(2)在Linux下對該安裝文件進(jìn)行解壓和安裝。
(3)配置RADIUS認(rèn)證服務(wù)器。
本系統(tǒng)的最終實現(xiàn)是以產(chǎn)品化的方式,系統(tǒng)的產(chǎn)品化結(jié)構(gòu)如圖6所示終端用戶計算機1中安裝終端用戶接口模塊11,NAS服務(wù)器2中安裝服務(wù)器用戶接口模塊21、網(wǎng)絡(luò)資源訪問控制子系統(tǒng)22和RADIUS客戶端模塊23,RADIUS服務(wù)器3中配置RADIUS服務(wù)器端模塊31和認(rèn)證計費數(shù)據(jù)庫32。
終端用戶計算機1有兩個網(wǎng)絡(luò)接口,一個網(wǎng)絡(luò)接口連NAS服務(wù)器2(網(wǎng)絡(luò)訪問服務(wù)器),另一個網(wǎng)絡(luò)接口連接被控制的交換機4,該交換機4連接Internet。終端用戶只有通過NAS服務(wù)器2的認(rèn)證,被控制的交換機4的相應(yīng)端口開放,才能訪問Internet。
權(quán)利要求
1.一種寬帶網(wǎng)絡(luò)接入智能控制系統(tǒng),包括雙向連接的終端用戶計算機(1)、交換機(4),所述的交換機(4)與internet相連接,其特征在于,還包括依次與終端用戶計算機(1)雙向連接的NAS服務(wù)器(2),和對NAS服務(wù)器(2)傳送過來的用戶信息進(jìn)行身份認(rèn)證的RADIUS服務(wù)器(3),所述的NAS服務(wù)器(2)根據(jù)認(rèn)證結(jié)果控制交換機(4)的相應(yīng)端口是否開放。
2.根據(jù)權(quán)利要求1所述的寬帶網(wǎng)絡(luò)接入智能控制系統(tǒng),其特征在于,所述終端用戶計算機(1)包括終端用戶接口模塊(11),其有兩個網(wǎng)絡(luò)接口,一個網(wǎng)絡(luò)接口連NAS服務(wù)器(2),另一個網(wǎng)絡(luò)接口連接被控制的交換機(4)。
3.根據(jù)權(quán)利要求1所述的寬帶網(wǎng)絡(luò)接入智能控制系統(tǒng),其特征在于,所述的NAS服務(wù)器(2)包括服務(wù)器用戶接口模塊(21)、網(wǎng)絡(luò)資源訪問控制子系統(tǒng)(22)和RADIUS客戶端模塊(23),所述的服務(wù)器用戶接口模塊(21)分別與終端用戶接口模塊(11)、網(wǎng)絡(luò)資源訪問控制子系統(tǒng)(22)、RADIUS客戶端模塊(23)雙向連接。
4.根據(jù)權(quán)利要求1所述的寬帶網(wǎng)絡(luò)接入智能控制系統(tǒng),其特征在于,所述RADIUS服務(wù)器(3)包括雙向連接的RADIUS服務(wù)器端模塊(31)和認(rèn)證計費數(shù)據(jù)庫(32),所述的RADIUS服務(wù)器端模塊(31)還與RADIUS客戶端模塊(23)雙向連接。
5.一種寬帶網(wǎng)絡(luò)接入智能控制方法,其特征在于,包括如下步驟NAS服務(wù)器(2)接收終端用戶計算機(1)的用戶信息,并將該用戶信息傳送給RADIUS服務(wù)器;RADIUS服務(wù)器(3)采用RADIUS協(xié)議對用戶信息進(jìn)行身份認(rèn)證;RADIUS服務(wù)器(3)將認(rèn)證結(jié)果傳送給NAS服務(wù)器(2);NAS服務(wù)器(2)利用簡單網(wǎng)絡(luò)管理協(xié)議控制交換機(4)實現(xiàn)訪問控制,即控制相應(yīng)端口是否開放。
6.根據(jù)權(quán)利要求5所述的寬帶網(wǎng)絡(luò)接入智能控制方法,其特征在于,所述的終端用戶計算機(1)與NAS服務(wù)器(2)之間交互通信執(zhí)行如下步驟向用戶提供友好的界面,通過與終端用戶進(jìn)行交互,從中獲取用戶名和口令等認(rèn)證信息;返回服務(wù)器端接收到的認(rèn)證響應(yīng)給終端用戶;與服務(wù)器用戶接口模塊進(jìn)行交互將用戶提供的認(rèn)證信息發(fā)送給服務(wù)器用戶接口模塊;等待由服務(wù)器用戶接口模塊傳遞的認(rèn)證信息。
7.根據(jù)權(quán)利要求5所述的寬帶網(wǎng)絡(luò)接入智能控制方法,其特征在于,所述的NAS服務(wù)器執(zhí)行如下步驟與終端用戶進(jìn)行交互接收終端用戶提交的用戶信息,將認(rèn)證系統(tǒng)的響應(yīng)返回給終端用戶;與訪問控制子系統(tǒng)進(jìn)行交互根據(jù)認(rèn)證響應(yīng)向訪問控制子系統(tǒng)提出網(wǎng)絡(luò)資源的控制請求;與認(rèn)證子系統(tǒng)模塊進(jìn)行交互向認(rèn)證服務(wù)器提交用戶信息并接收響應(yīng)信息。
8.根據(jù)權(quán)利要求5所述的寬帶網(wǎng)絡(luò)接入智能控制方法,其特征在于,所述的NAS服務(wù)器還執(zhí)行如下步驟對用戶提出的訪問申請、批準(zhǔn)、執(zhí)行、撤銷全過程進(jìn)行訪問控制。
9.根據(jù)權(quán)利要求8所述的寬帶網(wǎng)絡(luò)接入智能控制法,其特征在于,所述的訪問控制采用多層VLAN+ACL方案。
10.根據(jù)權(quán)利要求8所述的寬帶網(wǎng)絡(luò)接入智能控制方法,其特征在于,所述的訪問控制包括接入層交換機端口的控制及數(shù)據(jù)包過濾控制。
11.根據(jù)權(quán)利要求5所述的寬帶網(wǎng)絡(luò)接入智能控制方法,其特征在于,所述NAS服務(wù)器還執(zhí)行如下步驟接受用戶終端計算機發(fā)出的信息,并將接收到的用戶信息發(fā)給RADIUS服務(wù)器請求認(rèn)證;接受RADIUS服務(wù)器的認(rèn)證信息,并將認(rèn)證信息轉(zhuǎn)發(fā)給服務(wù)器用戶接口模塊。
全文摘要
本發(fā)明提供一種寬帶網(wǎng)絡(luò)接入智能控制系統(tǒng),包括雙向連接的終端用戶計算機(1)、交換機(4),所述的交換機(4)與internet相連接,還包括依次與終端用戶計算機(1)雙向連接的NAS服務(wù)器(2),和對NAS服務(wù)器(2)傳送過來的用戶信息進(jìn)行身份認(rèn)證的RADIUS服務(wù)器(3),所述的NAS服務(wù)器(2)根據(jù)認(rèn)證結(jié)果控制交換機(4)的相應(yīng)端口是否開放。采用上述技術(shù)方案具備以下優(yōu)點認(rèn)證效率高;靈活性好;提高網(wǎng)絡(luò)性能;適用性廣。同時由于采用RADIUS認(rèn)證服務(wù)器有如下優(yōu)越性在一定時間內(nèi)未收到響應(yīng)后可以馬上重發(fā)一個UDP報文而不需要關(guān)心前一個報文是否到達(dá);更好地保護(hù)了數(shù)據(jù)的機密性;實現(xiàn)的結(jié)構(gòu)簡單明了。
文檔編號H04L12/24GK1455551SQ0312890
公開日2003年11月12日 申請日期2003年5月28日 優(yōu)先權(quán)日2003年5月28日
發(fā)明者郭放, 楊煥宇, 李紅, 石金華, 蒲芳 申請人:東華大學(xué)