專利名稱:一種對(duì)用戶進(jìn)行訪問控制的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)����,特別涉及一種對(duì)用戶進(jìn)行訪問控制的方法和系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展�,各種互聯(lián)網(wǎng)應(yīng)用層出不窮��,為我們的工作
和生活帶來極大便利���,但與此同時(shí)也帶來一些負(fù)面影響�����。例如在企業(yè)網(wǎng)絡(luò) 中員工使用點(diǎn)對(duì)點(diǎn)(P2P�����, Pointto Point)應(yīng)用會(huì)占用大量的網(wǎng)絡(luò)資源�,不但 對(duì)企業(yè)網(wǎng)絡(luò)的容量造成壓力���,也對(duì)其他員工的合法應(yīng)用造成嚴(yán)重影響���;即時(shí) 通訊�����、網(wǎng)上炒股����、網(wǎng)上購(gòu)物等上網(wǎng)行為雖然占用的網(wǎng)絡(luò)資源不大�,但是會(huì)使 得員工的工作效率下降;對(duì)非法網(wǎng)站的訪問容易感染病毒和蠕蟲��,對(duì)企業(yè)網(wǎng) 絡(luò)造成破壞���;使用Email等應(yīng)用向外部隨意發(fā)送文件會(huì)造成內(nèi)部信息的泄漏 對(duì)企業(yè)造成重大損失等等����?��?梢钥闯?,通過訪問控制策略實(shí)時(shí)地對(duì)用戶進(jìn)行 訪問控制成為目前一個(gè)重要的需求。
現(xiàn)有技術(shù)中通過在匯聚交換機(jī)與出口路由器之間部署 一 臺(tái)控制網(wǎng)關(guān)來 實(shí)現(xiàn)對(duì)用戶的訪問控制��,如圖l所示�,用戶上線訪問互聯(lián)網(wǎng)時(shí),控制網(wǎng)關(guān)通 過預(yù)先配置的訪問控制策略對(duì)用戶進(jìn)行訪問控制并根據(jù)控制結(jié)果輸出審計(jì) 報(bào)表��。但是�����,由于控制網(wǎng)關(guān)無法獲取用戶信息�����,只能基于用戶終端的IP地 址進(jìn)行訪問控制�����,無法與具體的用戶相結(jié)合���,由于用戶所采用用戶終端的IP 地址會(huì)發(fā)生變化,因此��,基于IP地址的訪問控制方式并不能夠滿足實(shí)際的 訪問控制需求���。
針對(duì)上述情況���,目前提出了一種方法在控制網(wǎng)關(guān)上實(shí)現(xiàn)簡(jiǎn)單的認(rèn)證功 能����,在對(duì)用戶進(jìn)行認(rèn)證后獲取用戶信息�,從而結(jié)合用戶信息和用戶終端的IP地址實(shí)現(xiàn)對(duì)用戶的訪問控制。但這種方法需要在控制網(wǎng)關(guān)上配置用戶的認(rèn)證 信息對(duì)用戶進(jìn)行管理���,但通常網(wǎng)絡(luò)設(shè)備的CPU處理能力較弱�����,當(dāng)控制網(wǎng)關(guān) 需要管理的用戶數(shù)量較大時(shí)�,會(huì)對(duì)控制網(wǎng)關(guān)造成較大的壓力����,會(huì)造成控制網(wǎng) 關(guān)配置復(fù)雜,故障率提高���,嚴(yán)重時(shí)會(huì)控制網(wǎng)關(guān)的正?��?刂铺幚恚徊⑶遥捎?用戶在登錄過程中也需要在用戶網(wǎng)絡(luò)中進(jìn)行認(rèn)證�,這種方式顯然會(huì)帶來兩次 登錄的問題,實(shí)現(xiàn)起來較為麻煩����。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提供了一種對(duì)用戶進(jìn)行訪問控制的方法和系統(tǒng)�����,以便 于����,簡(jiǎn)單地實(shí)現(xiàn)對(duì)用戶的訪問控制,且不會(huì)對(duì)控制網(wǎng)關(guān)造成壓力�。
一種對(duì)用戶進(jìn)行訪問控制的方法�����,在接入網(wǎng)絡(luò)中預(yù)先設(shè)置報(bào)文分析裝置 和策略管理裝置����,且所述策略管理裝置中配置有用戶信息與訪問控制策略之
間的對(duì)應(yīng)關(guān)系;該方法包括
所述報(bào)文分析裝置在用戶登錄過程中獲取用戶信息和用戶所使用終端的IP 地址信息���,并將獲取的用戶信息和用戶所使用終端的IP地址信息發(fā)送給所述策 略管理裝置;
所述策略管理裝置根據(jù)所述用戶信息與訪問控制策略之間的對(duì)應(yīng)關(guān)系�, 確定與接收到的用戶信息對(duì)應(yīng)的訪問控制策略信息���,并將確定的訪問控制策 略信息和所述用戶所使用終端的IP地址信息發(fā)送給控制網(wǎng)關(guān),以便控制網(wǎng) 關(guān)利用所述訪問控制策略信息對(duì)所述用戶所使用終端進(jìn)行訪問控制�����。
一種對(duì)用戶進(jìn)行訪問控制的系統(tǒng)���,該系統(tǒng)包括^^艮文分析裝置和策略管理 裝置�,且所述策略管理裝置中配置有用戶信息與訪問控制策略之間的對(duì)應(yīng)關(guān)系;
所述報(bào)文分析裝置,用于在用戶登錄過程中獲取用戶信息和用戶所使用終 端的DP地址信息����,并將獲取的用戶信息和用戶所使用終端的IP地址信息發(fā)送 給所述策略管理裝置;
所述策略管理裝置�����,用于根據(jù)所述用戶信息與訪問控制策略之間的對(duì)應(yīng) 關(guān)系�����,確定與接收到的用戶信息對(duì)應(yīng)的訪問控制策略信息,并將確定的訪問
6控制策略信息和接收到的所述用戶所使用終端的IP地址信息發(fā)送給控制網(wǎng) 關(guān)�����,以便控制網(wǎng)關(guān)利用所述訪問控制策略信息對(duì)所述用戶所使用終端進(jìn)行訪
問控制�����。
由以上技術(shù)方案可以看出�����,本發(fā)明通過在接入網(wǎng)中設(shè)置報(bào)文分析裝置和 策略管理裝置����,其中報(bào)文分析裝置在用戶登錄過程獲取用戶信息和用戶所使 用終端的IP地址信息�����,并將獲取的用戶信息和用戶所使用終端的IP地址信 息發(fā)送給策略管理裝置���,策略管理裝置根據(jù)預(yù)先配置的用戶信息與訪問控制 策略之間的對(duì)應(yīng)關(guān)系�,確定與接收到的用戶信息對(duì)應(yīng)的訪問控制策略信息���, 并將確定的訪問控制策略信息和所述用戶所使用終端的IP地址信息發(fā)送給 控制網(wǎng)關(guān)�,以便控制網(wǎng)關(guān)利用訪問控制策略信息對(duì)用戶所使用終端進(jìn)行訪 問�����。即通過報(bào)文分析裝置和策略管理裝置的配合,實(shí)現(xiàn)基于用戶信息的訪問
控制策略下發(fā)����,使得控制網(wǎng)關(guān)能夠基于用戶實(shí)現(xiàn)訪問控制;并且���,在策略管 理裝置中實(shí)現(xiàn)各用戶的管理,控制網(wǎng)關(guān)僅用于進(jìn)行訪問控制����,將用戶管理和 訪問控制分離,減小了對(duì)控制網(wǎng)關(guān)造成的壓力�����,使得控制網(wǎng)關(guān)的配置更加簡(jiǎn) 單���。
并且�����,本發(fā)明基于用戶的訪問控制實(shí)現(xiàn)����,只需要在用戶登錄過程中進(jìn)行 一次認(rèn)證處理,報(bào)文分析裝置和策略管理裝置在用戶登錄過程的一次認(rèn)證處 理中獲取用戶信息并確定用戶信息對(duì)應(yīng)的訪問控制策略����,并提供給控制網(wǎng) 關(guān),使得控制網(wǎng)關(guān)不需要通過二次認(rèn)證來獲取用戶信息���,避免了實(shí)現(xiàn)過程的麻煩���。
圖1為現(xiàn)有技術(shù)中實(shí)現(xiàn)用戶訪問控制的示意圖2為本發(fā)明實(shí)施例提供的應(yīng)用于遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)的組網(wǎng)結(jié)構(gòu)
圖3為本發(fā)明實(shí)施例提供的基于圖2所示組網(wǎng)的方法流程圖; 圖4為本發(fā)明實(shí)施例提供的應(yīng)用于域登錄認(rèn)證組網(wǎng)的結(jié)構(gòu)圖�����;圖5為本發(fā)明實(shí)施例提供的基于圖4所示組網(wǎng)的方法流程圖���; 圖6a為本發(fā)明實(shí)施例提供的第一種系統(tǒng)結(jié)構(gòu)圖����; 圖6b為本發(fā)明實(shí)施例提供的第二種系統(tǒng)結(jié)構(gòu)圖��。
具體實(shí)施例方式
為了使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面結(jié)合附圖和具體 實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述�����。
本發(fā)明提供的方法在接入網(wǎng)絡(luò)中設(shè)置報(bào)文分析裝置和策略管理裝置���,且 該策略管理裝置中配置有用戶信息與訪問控制策略之間的對(duì)應(yīng)關(guān)系���;該方法 主要包括報(bào)文分析裝置在用戶登錄過程中獲取用戶信息和用戶所使用終端 的IP地址信息,并將獲取的用戶信息和用戶所使用終端的IP地址發(fā)送給策 略管理裝置�����;策略管理裝置確定與該用戶信息對(duì)應(yīng)的訪問控制策略信息���,并 將該訪問控制策略信息和用戶所使用終端的IP地址發(fā)送給控制網(wǎng)關(guān)。
下面分別舉兩個(gè)實(shí)施例對(duì)上述方法進(jìn)行詳細(xì)描述����。
實(shí)施例一對(duì)于如圖2所示的遠(yuǎn)程用戶撥號(hào)認(rèn)i正系統(tǒng)(RADIUS, Remote Authentication Dial In User Service )的組網(wǎng)結(jié)構(gòu)時(shí),可以在該組網(wǎng)中設(shè)置報(bào) 文分析裝置和策略管理裝置��,其中��,策略管理裝置中預(yù)先配置了用戶信息與 訪問控制策略之間的對(duì)應(yīng)關(guān)系。該方法的實(shí)現(xiàn)流程可以如圖3所示���,包括以 下步驟
步驟301:用戶通過所使用的終端向認(rèn)證設(shè)備發(fā)送認(rèn)證請(qǐng)求�����。
認(rèn)證請(qǐng)求���,該iU正請(qǐng)求中可以包含用戶信息和終端的IP地址信息。例如�����, 用戶可以通過認(rèn)證設(shè)備推送的Portal頁(yè)面輸入用戶名�����、登錄標(biāo)識(shí)或用戶密碼 等用戶信息���。
或者�,認(rèn)證請(qǐng)求中僅包含用戶信息和終端的MAC地址信息���,認(rèn)證設(shè)備 利用終端的MAC地址信息進(jìn)行地址解析協(xié)i義(ARP, Address Resolution Protocol)偵聽或動(dòng)態(tài)主才幾配置協(xié)i義(DHCP, Dynamic Host ConfigurationProtocol)偵聽����,從而獲取用戶所使用終端的IP地址信息。
步驟302:認(rèn)證設(shè)備接收到用戶發(fā)送的認(rèn)證請(qǐng)求后�,將終端的IP地址
信息和用戶信息攜帶在RADIUS認(rèn)證請(qǐng)求中發(fā)送給RADIUS服務(wù)器。 上述兩步驟與現(xiàn)有技術(shù)中相同�����,在此不再贅述����。
步驟303:認(rèn)證設(shè)備發(fā)送的RADIUS認(rèn)證請(qǐng)求被前端交換機(jī)鏡像發(fā)送給 報(bào)文分析裝置。
可以在認(rèn)證設(shè)備和RADIUS服務(wù)器所連接的前端交換機(jī)上預(yù)先配置鏡 像端口�,并配置一條命令,使得認(rèn)證設(shè)備將終端的IP地址信息和用戶信息 攜帶在RADIUS認(rèn)證請(qǐng)求中后���,除了發(fā)送給RADIUS服務(wù)器之外,還鏡像 發(fā)送給報(bào)文分析裝置�。將RADIUS認(rèn)證請(qǐng)求發(fā)送給RADIUS服務(wù)器和報(bào)文 分析裝置不存在限定的先后順序,可以先后發(fā)送���,也可以同時(shí)發(fā)送�。
步驟304: RADIUS服務(wù)器接收到RADIUS認(rèn)證請(qǐng)求后��,根據(jù)其中攜帶 的用戶信息對(duì)用戶進(jìn)行認(rèn)證,并在認(rèn)證成功后�����,向RADIUS服務(wù)器發(fā)送認(rèn)證 成功響應(yīng)����。
步驟305:報(bào)文分析裝置從接收到的RADIUS認(rèn)證請(qǐng)求中分析出用戶信 息和用戶所^使用終端的IP地址。
步驟301�����、 302和304是用戶在接入網(wǎng)絡(luò)之前的登錄過程��,報(bào)文分析裝 置在該登錄過程中采用抓包的形式獲取RADIUS認(rèn)證請(qǐng)求來分析用戶信息 和用戶所使用終端的IP地址���?;蛘?,報(bào)文分析裝置還可以在登錄過程中通 過獲取計(jì)費(fèi)請(qǐng)求報(bào)文或計(jì)費(fèi)更新報(bào)文等來分析用戶信息和用戶所使用終端 的IP地址。通常將認(rèn)證請(qǐng)求���、計(jì)費(fèi)請(qǐng)求或計(jì)費(fèi)更新請(qǐng)求等在登錄過程中的 報(bào)文統(tǒng)稱為認(rèn)證計(jì)費(fèi)報(bào)文��。
步驟306:將分析出的用戶信息和用戶所使用終端的IP地址發(fā)送給策 略管理裝置�����。
步驟307:策略管理裝置存儲(chǔ)接收到的用戶信息和用戶所使用終端的IP 地址之間的對(duì)應(yīng)關(guān)系���,并確定用戶信息對(duì)應(yīng)的訪問控制策略�。
步驟308:策略管理裝置將確定的訪問控制策略與用戶所使用的終端的IP地址發(fā)送給控制網(wǎng)關(guān)���,以便控制網(wǎng)關(guān)根據(jù)該訪問控制策略對(duì)用戶所使用的終端對(duì)互聯(lián)網(wǎng)的訪問進(jìn)4亍控制�����。
在本發(fā)明中涉及的訪問控制策略可以包括但不限于URL過濾策略���、應(yīng)用控制策略、關(guān)鍵字過濾策略等�。在策略管理裝置中配置的用戶信息和訪問控制策略之間的對(duì)應(yīng)關(guān)系中,訪問控制策略可以采用策略類型和策略標(biāo)識(shí)對(duì)(type, ID)等形式標(biāo)識(shí)����,在確定用戶信息對(duì)應(yīng)的訪問控制策略后���,將該策略的(type, ID)發(fā)送給控制網(wǎng)關(guān)�。在策略管理裝置上可以不配置各訪問控制策略的具體內(nèi)容,而僅配置(type��, ID),而在控制網(wǎng)關(guān)上配置各(type��,ID)所對(duì)應(yīng)訪問控制策略的具體內(nèi)容�,控制網(wǎng)關(guān)接收到(type, ID)后可以確定采用的具體訪問控制策略內(nèi)容。
由于對(duì)于一個(gè)用戶可能會(huì)通式采用多個(gè)訪問控制策略�,因此,策略管理裝置在發(fā)送給控制網(wǎng)關(guān)的一個(gè)IP地址可能會(huì)對(duì)應(yīng)多個(gè)(type, ID)的集合�����。
控制網(wǎng)關(guān)接收到訪問控制策略與用戶所使用的終端的IP地址后�����,將兩者的對(duì)應(yīng)關(guān)系存儲(chǔ)在控制網(wǎng)關(guān)的數(shù)據(jù)庫(kù)中����,用戶使用終端對(duì)互聯(lián)網(wǎng)進(jìn)行訪問時(shí),控制網(wǎng)關(guān)可以才艮據(jù)該終端的IP地址采用該IP地址對(duì)應(yīng)的訪問控制策略對(duì)該用戶所使用的終端進(jìn)行訪問控制�。
另外,如果用戶初次登錄��,則按照上述流程執(zhí)行���。用戶下線后�,策略管理裝置保留存儲(chǔ)的用戶信息和IP地址之間的對(duì)應(yīng)關(guān)系。如果用戶下線后再次登錄�����,如果用戶所使用終端的IP地址發(fā)生變化�����,則策略管理裝置重新下發(fā)控制策略和用戶所使用終端的IP地址給控制網(wǎng)關(guān)��;如果用戶所使用終端的IP地址不發(fā)生變化����,則策略管理裝置可以不下發(fā)控制策略和用戶所使用終端的IP地址給控制網(wǎng)關(guān)。即在步驟306和步驟307之間�,還可以進(jìn)一步包括策略管理裝置判斷接收到的用戶信息是否已經(jīng)包含在自身存儲(chǔ)的對(duì)應(yīng)關(guān)系中,如果否�����,則繼續(xù)執(zhí)行步驟307;如果是���,則進(jìn)一步判斷自身存儲(chǔ)的該用戶信息對(duì)應(yīng)的IP地址是否和接收到的IP地址相同���,如果是,則不執(zhí)行步驟307和步驟308��,否則���,策略管理裝置利用接收到的用戶信息和IP地址信息更新存儲(chǔ)的對(duì)應(yīng)關(guān)系�����,并向控制網(wǎng)關(guān)發(fā)送訪問控制策略和當(dāng)前的IP地址信息���。
實(shí)施例二對(duì)于圖4所示的域登錄認(rèn)證組網(wǎng)結(jié)構(gòu)中,同樣在該組網(wǎng)中設(shè)置報(bào)文分析裝置和策略管理裝置�����。其中����,策略管理裝置中預(yù)先配置了用戶信息與訪問控制策略之間的對(duì)應(yīng)關(guān)系。該方法的實(shí)現(xiàn)流程可以如圖5所示�,包括以下步驟
步驟501:用戶通過所使用的終端向域控制器發(fā)送包含用戶信息和終端IP地址信息的域登錄請(qǐng)求。
步驟502:域控制器接收到域登錄請(qǐng)求后,利用該域登錄請(qǐng)求中的用戶信息進(jìn)行認(rèn)證��,并且該域登錄請(qǐng)求被前端交換機(jī)重定向到報(bào)文分析裝置���。
可以在域控制器和報(bào)文分析裝置連接的前端交換機(jī)上預(yù)先配置鏡像端口���,并配置一條命令,接收到域登錄請(qǐng)求后將該登錄請(qǐng)求通過預(yù)先配置的鏡像端口重定向到報(bào)文分析裝置��。
步驟503:域控制器在認(rèn)證成功后向用戶所使用的終端回復(fù)認(rèn)證成功響應(yīng)����。
以上過程是用戶在接入網(wǎng)絡(luò)之前的登錄過程,與現(xiàn)有技術(shù)相同���,在此不
再贅述�����。
步驟504:報(bào)文分析裝置從接收到的域登錄請(qǐng)求中分析出用戶信息和用戶所-使用終端的IP地址�。
步驟505:報(bào)文分析裝置將分析出的用戶信息和用戶所使用的終端的IP地址發(fā)送策略管理裝置�����。
步驟506:策略管理裝置存儲(chǔ)接收到的用戶信息和用戶所使用終端的IP地址之間的對(duì)應(yīng)關(guān)系,并確定用戶信息對(duì)應(yīng)的訪問控制策略��。
步驟507:策略管理裝置將確定的訪問控制策略與用戶所使用的終端的IP地址發(fā)送給控制網(wǎng)關(guān)�,以便控制網(wǎng)關(guān)根據(jù)該訪問控制策略對(duì)用戶所使用的終端對(duì)互聯(lián)網(wǎng)的訪問進(jìn)行控制。
同樣����,在本發(fā)明中涉及的訪問控制策略可以包括但不限于URL過濾
策略��、應(yīng)用控制策略��、關(guān)鍵字過濾策略等����。在策略管理裝置中配置的用戶信
ii息和訪問控制策略之間的對(duì)應(yīng)關(guān)系中,訪問控制策略可以采用策略類型和策
略標(biāo)識(shí)對(duì)(type����, ID)等形式標(biāo)識(shí),在確定用戶信息對(duì)應(yīng)的訪問控制策略后�����,將該策略的(type���, ID)發(fā)送給控制網(wǎng)關(guān)���。在策略管理裝置上可以不配置各訪問控制策略的具體內(nèi)容�,而僅配置(type, ID),而在控制網(wǎng)關(guān)上配置各(type, ID)所對(duì)應(yīng)訪問控制策略的具體內(nèi)容��,控制網(wǎng)關(guān)接收到(type, ID)后可以確定采用的具體訪問控制策略內(nèi)容�。
由于對(duì)于一個(gè)用戶可能會(huì)通式采用多個(gè)訪問控制策略,因此�,策略管理裝置在發(fā)送給控制網(wǎng)關(guān)的一個(gè)IP地址可能會(huì)對(duì)應(yīng)多個(gè)(type, ID)的集合。
控制網(wǎng)關(guān)接收到訪問控制策略與用戶所使用的終端的IP地址后���,將兩者的對(duì)應(yīng)關(guān)系存儲(chǔ)在控制網(wǎng)關(guān)的數(shù)據(jù)庫(kù)中��,用戶使用終端對(duì)互聯(lián)網(wǎng)進(jìn)行訪問時(shí)�����,控制網(wǎng)關(guān)可以才艮據(jù)該終端的IP地址采用該IP地址對(duì)應(yīng)的訪問控制策略對(duì)該用戶所使用的終端進(jìn)行訪問控制���。
同樣,如果用戶初次登錄����,則按照上述流程執(zhí)行��。用戶下線后�,策略管理裝置保留存儲(chǔ)的用戶信息和IP地址之間的對(duì)應(yīng)關(guān)系�����。如果用戶下線后再次登錄���,如果用戶所使用終端的IP地址發(fā)生變化,則策略管理裝置重新下發(fā)控制策略和用戶所使用終端的IP地址給控制網(wǎng)關(guān)���;如果用戶所使用終端的IP地址不發(fā)生變化�����,則策略管理裝置可以不下發(fā)控制策略和用戶所使用終端的IP地址給控制網(wǎng)關(guān)��。即在步驟505和步驟506之間����,還可以進(jìn)一步包括策略管理裝置判斷接收到的用戶信息是否已經(jīng)包含在自身存儲(chǔ)的對(duì)應(yīng)關(guān)系中�,如果否,則繼續(xù)執(zhí)行步驟307;如果是�����,則進(jìn)一步判斷自身存儲(chǔ)的該用戶信息對(duì)應(yīng)的IP地址是否和接收到的IP地址相同,如果是�����,則不執(zhí)行步驟506和步驟507,否則��,策略管理裝置利用接收到的用戶信息和IP地址信息更新存儲(chǔ)的對(duì)應(yīng)關(guān)系��,并向控制網(wǎng)關(guān)發(fā)送新的訪問控制策略和IP地址信息�。
本發(fā)明除了可以應(yīng)用于以上兩個(gè)實(shí)施例的認(rèn)證協(xié)議之外,還可以應(yīng)用于輕量目錄^方問切����、i義(LDAP, Lightweight Directory Access Protocol)等其他
認(rèn)證協(xié)議��。
12以上是對(duì)本發(fā)明所提供的方法進(jìn)行的詳細(xì)描述��,下面對(duì)本發(fā)明所提供的系
統(tǒng)進(jìn)行詳細(xì)描述��。圖6a為本發(fā)明實(shí)施例提供的系統(tǒng)結(jié)構(gòu)圖��,如圖6所示�����,該系統(tǒng)包括報(bào)文分析裝置601和策略管理裝置602,且策略管理裝置602中配置有用戶信息與訪問控制策略之間的對(duì)應(yīng)關(guān)系。
其中�����,報(bào)文分析裝置601����,用于在用戶登錄過程中獲取用戶信息和用戶所使用終端的IP地址信息,并將獲取的用戶信息和用戶所使用終端的IP地址信息發(fā)送給策略管理裝置602����。
策略管理裝置602��,用于根據(jù)用戶信息與訪問控制策略之間的對(duì)應(yīng)關(guān)系�����,確定與接收到的用戶信息對(duì)應(yīng)的訪問控制策略信息���,并將確定的訪問控制策略信息和接收到的用戶所使用終端的IP地址信息發(fā)送給控制網(wǎng)關(guān)�,以便控制網(wǎng)關(guān)利用訪問控制策略信息對(duì)用戶所使用終端進(jìn)行訪問控制����。
對(duì)應(yīng)于不同的認(rèn)證協(xié)議�����,該系統(tǒng)可以包括不同的組成結(jié)構(gòu)����,對(duì)應(yīng)于RADIUS認(rèn)證協(xié)議��,該系統(tǒng)還可以包括第一前端交換才幾603�����,用于將認(rèn)證設(shè)備在用戶登錄過程中發(fā)送給RADIUS服務(wù)器的認(rèn)證計(jì)費(fèi)報(bào)文鏡像發(fā)送給報(bào)文分析裝置601��。
報(bào)文分析裝置601用于通過認(rèn)證計(jì)費(fèi)報(bào)文獲取用戶信息和用戶所使用終端的IP地址信息����。
此時(shí)對(duì)應(yīng)的組網(wǎng)結(jié)構(gòu)可以如圖2所示。其中的認(rèn)證計(jì)費(fèi)才艮文可以是認(rèn)證設(shè)備603發(fā)送給RADIUS服務(wù)器的RADIUS認(rèn)證請(qǐng)求���、計(jì)費(fèi)請(qǐng)求或計(jì)費(fèi)更新請(qǐng)求��。
當(dāng)對(duì)應(yīng)于域登錄認(rèn)證協(xié)議時(shí)��,該系統(tǒng)的結(jié)構(gòu)可以如圖6b所示���,此時(shí)該系統(tǒng)還可以包括第二前端交換機(jī)604���,用于將將用戶所使用終端在用戶登錄過程中發(fā)送的域登錄報(bào)文重定向到報(bào)文分析裝置601。
報(bào)文分析裝置601通過域登錄報(bào)文獲取用戶信息和用戶所使用終端的IP地址信息����。
此時(shí)的組網(wǎng)結(jié)構(gòu)可以如圖4所示。
另外����,策略管理裝置602,還可以用于存儲(chǔ)接收到的用戶信息和用戶所使用終端的IP地址信息之間的對(duì)應(yīng)關(guān)系�,并在接收到用戶信息和用戶所使用終端
13的IP地址信息之后,判斷自身存儲(chǔ)的用戶信息和用戶所使用終端的IP地址信息之間的對(duì)應(yīng)關(guān)系中是否已經(jīng)包含接收到的用戶信息�����,如果否����,則繼續(xù)執(zhí)行確
定與接收到的用戶信息對(duì)應(yīng)的訪問控制策略信息的操作�����;如果是,則進(jìn)一步判
斷存儲(chǔ)的對(duì)應(yīng)關(guān)系中�����,接收到的用戶信息對(duì)應(yīng)的IP地址信息是否與接收到的用
戶所使用終端的IP地址信息相同�,如果是,則結(jié)束操作�;否則,繼續(xù)執(zhí)行確定與接收到的用戶信息對(duì)應(yīng)的訪問控制策略信息的操作���,并利用接收到的用戶所使用終端的IP地址信息更新策略管理裝置存儲(chǔ)的用戶信息和用戶所使用終端的IP地址信息之間的對(duì)應(yīng)關(guān)系��。
另外�,該系統(tǒng)還可以包括控制網(wǎng)關(guān)605,用于存儲(chǔ)接收到的訪問控制策略信息和用戶所使用終端的IP地址信息之間的對(duì)應(yīng)關(guān)系�,并在用戶所使用終端對(duì)互聯(lián)網(wǎng)進(jìn)行訪問時(shí),才艮據(jù)用戶所使用終端的IP地址確定對(duì)應(yīng)的訪問控制策略��,并利用確定的訪問控制策略對(duì)用戶所使用終端進(jìn)行訪問控制�。
上述系統(tǒng)中的報(bào)文分析裝置601和策略管理裝置602可以分別設(shè)置為獨(dú)立的裝置,也可以設(shè)置在RADIUS服務(wù)器或域控制器中����。
由以上描述可以看出���,本發(fā)明提供的方法和系統(tǒng)與現(xiàn)有技術(shù)相比,具有以下優(yōu)點(diǎn)
1)本發(fā)明通過在接入網(wǎng)中設(shè)置報(bào)文分析裝置和策略管理裝置�����,其中報(bào)文分析裝置在用戶登錄過程獲取用戶信息和用戶所使用終端的IP地址信息����,并將獲取的用戶信息和用戶所使用終端的IP地址信息發(fā)送給策略管理裝置,策略管理裝置根據(jù)預(yù)先配置的用戶信息與訪問控制策略之間的對(duì)應(yīng)關(guān)系�����,確定與接收到的用戶信息對(duì)應(yīng)的訪問控制策略信息���,并將確定的訪問控制策略信息和所述用戶所使用終端的IP地址信息發(fā)送給控制網(wǎng)關(guān)��,以便控制網(wǎng)關(guān)利用訪問控制策略信息對(duì)用戶所使用終端進(jìn)行訪問�。即通過報(bào)文分析裝置和策略管理裝置的配合�����,實(shí)現(xiàn)基于用戶信息的訪問控制策略下發(fā)���,使得控制網(wǎng)關(guān)能夠基于用戶實(shí)現(xiàn)訪問控制���;并且,在策略管理裝置中實(shí)現(xiàn)各用戶的管理����,控制網(wǎng)關(guān)僅用于進(jìn)行訪問控制,將用戶管理和訪問控制分離����,減小了對(duì)控制網(wǎng)關(guān)造成的壓力,使得控制網(wǎng)關(guān)的配置更加簡(jiǎn)單��。2) 本發(fā)明基于用戶的訪問控制實(shí)現(xiàn)���,只需要在用戶登錄過程中進(jìn)行一 次認(rèn)證處理�,報(bào)文分析裝置和策略管理裝置在用戶登錄過程的一次認(rèn)證處理 中獲取用戶信息并確定用戶信息對(duì)應(yīng)的訪問控制策略�,并提供給控制網(wǎng)關(guān), 使得控制網(wǎng)關(guān)不需要通過二次認(rèn)證來獲取用戶信息�����,避免了實(shí)現(xiàn)過程的麻煩。
3) 由于控制網(wǎng)關(guān)無需參與認(rèn)證過程�,使得控制網(wǎng)關(guān)可以按照原有的位
置進(jìn)行部署,避免了給網(wǎng)絡(luò)部署帶來的麻煩����。
4) 由于控制網(wǎng)關(guān)僅需要根據(jù)接收到的訪問控制策略和用戶所使用終端 的IP地址進(jìn)行訪問控制操作,無需在控制網(wǎng)關(guān)上進(jìn)行大量訪問控制策略管 理信息的配置�����,因此���,可以實(shí)現(xiàn)策略管理裝置對(duì)控制網(wǎng)關(guān)的統(tǒng)一管理��,而不 需登錄到每臺(tái)控制網(wǎng)關(guān)上進(jìn)行逐一配置��。
以上所述僅為本發(fā)明的較佳實(shí)施例而已�,并不用以限制本發(fā)明�����,凡在本 發(fā)明的精神和原則之內(nèi)�����,所做的任何修改、等同替換��、改進(jìn)等�,均應(yīng)包含在 本發(fā)明保護(hù)的范圍之內(nèi)����。
1權(quán)利要求
1、一種對(duì)用戶進(jìn)行訪問控制的方法����,其特征在于,在接入網(wǎng)絡(luò)中預(yù)先設(shè)置報(bào)文分析裝置和策略管理裝置���,且所述策略管理裝置中配置有用戶信息與訪問控制策略之間的對(duì)應(yīng)關(guān)系���;該方法包括所述報(bào)文分析裝置在用戶登錄過程中獲取用戶信息和用戶所使用終端的IP地址信息,并將獲取的用戶信息和用戶所使用終端的IP地址信息發(fā)送給所述策略管理裝置�;所述策略管理裝置根據(jù)所述用戶信息與訪問控制策略之間的對(duì)應(yīng)關(guān)系,確定與接收到的用戶信息對(duì)應(yīng)的訪問控制策略信息���,并將確定的訪問控制策略信息和所述用戶所使用終端的IP地址信息發(fā)送給控制網(wǎng)關(guān)�����,以便控制網(wǎng)關(guān)利用所述訪問控制策略信息對(duì)所述用戶所使用終端進(jìn)行訪問控制���。
2����、 根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述報(bào)文分析裝置在用戶登 錄過程中獲取用戶信息和用戶所使用終端的IP地址信息具體包括所述接入網(wǎng) 絡(luò)中前端交換機(jī)將認(rèn)證設(shè)備在用戶登錄過程中發(fā)送給遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng) RADIUS服務(wù)器的認(rèn)證計(jì)費(fèi)報(bào)文鏡像發(fā)送給所述報(bào)文分析裝置�,所述報(bào)文分析 裝置通過所述認(rèn)證計(jì)費(fèi)報(bào)文獲取所述用戶信息和用戶所使用終端的IP地址信 息;或者�����,所述接入網(wǎng)絡(luò)中的前端交換機(jī)將所述用戶所使用終端在用戶登錄過程中發(fā) 送給域控制器的域登錄報(bào)文重定向到所述報(bào)文分析裝置�;所述報(bào)文分析裝置通 過所述域登錄報(bào)文獲取所述用戶信息和用戶所使用終端的IP地址信息。
3�����、 根據(jù)權(quán)利要求2所述的方法����,其特征在于��,所述認(rèn)證計(jì)費(fèi)報(bào)文包括 RADIUS認(rèn)證請(qǐng)求�����、計(jì)費(fèi)請(qǐng)求或計(jì)費(fèi)更新請(qǐng)求。
4�����、 根據(jù)權(quán)利要求1所述的方法��,其特征在于��,該方法還包括所述策略管 理裝置存儲(chǔ)接收到的用戶信息和用戶所使用終端的IP地址信息之間的對(duì)應(yīng)關(guān) 系��;在所述確定與接收到的用戶信息對(duì)應(yīng)的訪問控制策略信息之前還包括所述策略管理裝置判斷自身存儲(chǔ)的所述用戶信息和用戶所使用終端的IP地址信 息之間的對(duì)應(yīng)關(guān)系中是否已經(jīng)包含所述接收到的用戶信息�,如果否,則繼續(xù)執(zhí) 行所述確定與接收到的用戶信息對(duì)應(yīng)的訪問控制策略信息�;如果是,則進(jìn)一步 判斷存儲(chǔ)的所述對(duì)應(yīng)關(guān)系中所述接收到的用戶信息對(duì)應(yīng)的IP地址信息是否與接收到的所述用戶所使用終端的IP地址信息相同�,如果是,則結(jié)束流程��;否貝'J�����, 繼續(xù)執(zhí)行所述確定與接收到的用戶信息對(duì)應(yīng)的訪問控制策略信息,并利用接收 到的所述用戶所使用終端的IP地址信息更新所述策略管理裝置存儲(chǔ)的所述用 戶信息和用戶所使用終端的IP地址信息之間的對(duì)應(yīng)關(guān)系��。
5�、 根據(jù)權(quán)利要求1至4任一權(quán)項(xiàng)所述的方法,其特征在于���,該方法還包括 所述控制網(wǎng)關(guān)存儲(chǔ)接收到的所述訪問控制策略信息和所述用戶所使用終端的IP 地址信息之間的對(duì)應(yīng)關(guān)系�,所述用戶所使用終端對(duì)互聯(lián)網(wǎng)進(jìn)行訪問時(shí)���,所述控 制網(wǎng)關(guān)根據(jù)所述用戶所使用終端的IP地址確定對(duì)應(yīng)的訪問控制策略�����,并利用確 定的訪問控制策略對(duì)所述用戶所使用終端進(jìn)行訪問控制���。
6、 一種對(duì)用戶進(jìn)行訪問控制的系統(tǒng)����,其特征在于,該系統(tǒng)包括報(bào)文分析 裝置和策略管理裝置,且所述策略管理裝置中配置有用戶信息與訪問控制策略 之間的對(duì)應(yīng)關(guān)系�;所述報(bào)文分析裝置,用于在用戶登錄過程中獲取用戶信息和用戶所使用終 端的IP地址信息����,并將獲取的用戶信息和用戶所使用終端的IP地址信息發(fā)送 給所述策略管理裝置;所述策略管理裝置����,用于根據(jù)所述用戶信息與訪問控制策略之間的對(duì)應(yīng)關(guān) 系,確定與接收到的用戶信息對(duì)應(yīng)的訪問控制策略信息�����,并將確定的訪問控制 策略信息和接收到的所述用戶所使用終端的IP地址信息發(fā)送給控制網(wǎng)關(guān)���,以便 控制網(wǎng)關(guān)利用所述訪問控制策略信息對(duì)所述用戶所使用終端進(jìn)行訪問控制。
7��、 根據(jù)權(quán)利要求6所述的系統(tǒng)����,其特征在于,該系統(tǒng)還包括第一前端交 換機(jī)�����,用于將認(rèn)證設(shè)備在用戶登錄過程中發(fā)送給RADIUS服務(wù)器的認(rèn)證計(jì)費(fèi)報(bào) 文鏡像發(fā)送給所述報(bào)文分析裝置;所述報(bào)文分析裝置用于通過所述認(rèn)證計(jì)費(fèi)報(bào)文獲取所述用戶信息和用戶所使用終端的IP地址信息�。
8、 根據(jù)權(quán)利要求6所述的系統(tǒng)�,其特征在于,該系統(tǒng)還包括第二前端交換機(jī)���,用于將所述用戶所使用終端在用戶登錄過程中發(fā)送給域控制器的域登錄報(bào)文重定向到所述報(bào)文分析裝置���;所述報(bào)文分析裝置通過所述域登錄報(bào)文獲取所述用戶信息和用戶所使用終 端的IP地址信息。
9��、 根據(jù)權(quán)利要求6所述的系統(tǒng)���,其特征在于��,所述策略管理裝置�,還用于 存儲(chǔ)接收到的所述用戶信息和所述用戶所使用終端的IP地址信息之間的對(duì)應(yīng) 關(guān)系����,并在接收到所述用戶信息和所述用戶所使用終端的IP地址信息之后,判 斷自身存儲(chǔ)的所述用戶信息和用戶所使用終端的IP地址信息之間的對(duì)應(yīng)關(guān)系 中是否已經(jīng)包含所述接收到的用戶信息��,如果否,則繼續(xù)執(zhí)行所述確定與接收 到的用戶信息對(duì)應(yīng)的訪問控制策略信息的操作��;如果是�,則進(jìn)一步判斷存儲(chǔ)的 所述對(duì)應(yīng)關(guān)系中,所述接收到的用戶信息對(duì)應(yīng)的IP地址信息是否與接收到的所 述用戶所使用終端的IP地址信息相同��,如果是�����,則結(jié)束操作���;否則���,繼續(xù)執(zhí)行 所述確定與接收到的用戶信息對(duì)應(yīng)的訪問控制策略信息的操作��,并利用接收到 的所述用戶所使用終端的IP地址信息更新所述策略管理裝置存儲(chǔ)的所述用戶 信息和用戶所使用終端的IP地址信息之間的對(duì)應(yīng)關(guān)系����。
10、 根據(jù)權(quán)利要求6至9任一權(quán)項(xiàng)所述的系統(tǒng)�����,其特征在于,該系統(tǒng)還包 括控制網(wǎng)關(guān)���,用于存儲(chǔ)接收到的所述訪問控制策略信息和所述用戶所使用終 端的IP地址信息之間的對(duì)應(yīng)關(guān)系�,并在所述用戶所使用終端對(duì)互聯(lián)網(wǎng)進(jìn)行訪問 時(shí)���,根據(jù)所述用戶所使用終端的IP地址確定對(duì)應(yīng)的訪問控制策略���,并利用確定 的訪問控制策略對(duì)所述用戶所使用終端進(jìn)行訪問控制。
全文摘要
本發(fā)明提供了一種對(duì)用戶進(jìn)行訪問控制的方法和系統(tǒng)��,在接入網(wǎng)絡(luò)中預(yù)先設(shè)置報(bào)文分析裝置和策略管理裝置����,且策略管理裝置中配置有用戶信息與訪問控制策略之間的對(duì)應(yīng)關(guān)系;報(bào)文分析裝置在用戶登錄過程中獲取用戶信息和用戶所使用終端的IP地址信息��,并將獲取的用戶信息和用戶所使用終端的IP地址信息發(fā)送給策略管理裝置���;策略管理裝置根據(jù)配置的對(duì)應(yīng)關(guān)系�,確定與接收到的用戶信息對(duì)應(yīng)的訪問控制策略信息�����,并將確定的訪問控制策略信息和用戶所使用終端的IP地址信息發(fā)送給控制網(wǎng)關(guān),以便控制網(wǎng)關(guān)利用訪問控制策略信息對(duì)用戶所使用終端進(jìn)行訪問控制��。本發(fā)明能夠更加簡(jiǎn)單地實(shí)現(xiàn)對(duì)用戶的訪問控制�,且不會(huì)對(duì)控制網(wǎng)關(guān)造成壓力。
文檔編號(hào)H04L29/06GK101465856SQ20081024745
公開日2009年6月24日 申請(qǐng)日期2008年12月31日 優(yōu)先權(quán)日2008年12月31日
發(fā)明者喬肖桉 申請(qǐng)人:杭州華三通信技術(shù)有限公司