專利名稱:防火墻策略分發(fā)方法����、客戶端���、接入服務(wù)器及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,具體而言�����,涉及一種防火墻策略分發(fā)方法�、客戶端、接入服 務(wù)器及系統(tǒng)���。
背景技術(shù):
防火墻策略����,一般是指按用戶身份及其所歸屬的預(yù)定義域來限制用戶對(duì)某些信息 項(xiàng)的訪問或限制用戶對(duì)某些控制功能的使用,以達(dá)到對(duì)用戶網(wǎng)絡(luò)訪問控制的目的防火墻規(guī) 則�����。目前網(wǎng)絡(luò)運(yùn)維中對(duì)寬帶接入客戶端的訪問控制的方案主要有以下兩種1)通過 網(wǎng)管軟件���,利用 Tr069(廣域網(wǎng)管理協(xié)議)���,SNMP(Simple Network Management Protocol, 簡單網(wǎng)絡(luò)管理協(xié)議)等網(wǎng)管協(xié)議進(jìn)行手動(dòng)配置各個(gè)不同級(jí)別,不同預(yù)定義域客戶端的訪問 控制列表2)單獨(dú)架設(shè)防火墻策略分發(fā)服務(wù)器�,接入客戶端內(nèi)置通道和服務(wù)器通信,獲取防 火墻的信息��,或者服務(wù)器推送防火墻策略���。上述的兩種方案都存在一些不足第一種方案比較費(fèi)時(shí)費(fèi)力����,全程都需要人工操 作�;第二種方案則需要額外資源消耗�,如防火墻策略分發(fā)服務(wù)器��,客戶端軟件必須建立內(nèi)置 通道等��。
發(fā)明內(nèi)容
本發(fā)明的主要目的在于提供一種防火墻策略分發(fā)方法���、客戶端�����、接入服務(wù)器及系 統(tǒng)���,以至少解決上述的防火墻策略分發(fā)不方便以及需要額外資源的問題。根據(jù)本發(fā)明的一個(gè)方面���,提供了一種防火墻策略分發(fā)方法���,包括客戶端向接入服 務(wù)器發(fā)送接入?yún)f(xié)議報(bào)文����,其中,接入?yún)f(xié)議報(bào)文中攜帶有防火墻策略配置請求信息��;客戶端接 收接入服務(wù)器發(fā)送的響應(yīng)于接入?yún)f(xié)議報(bào)文的響應(yīng)報(bào)文,其中��,響應(yīng)報(bào)文中攜帶有與客戶端 的訪問權(quán)限相對(duì)應(yīng)的防火墻策略配置響應(yīng)信息�;客戶端根據(jù)防火墻策略配置響應(yīng)信息配置 自身的防火墻規(guī)則。根據(jù)本發(fā)明的另一方面���,提供了一種防火墻策略分發(fā)客戶端�����,包括第一發(fā)送模 塊��,用于向接入服務(wù)器發(fā)送接入?yún)f(xié)議報(bào)文����,其中����,接入?yún)f(xié)議報(bào)文中攜帶有防火墻策略配置請 求信息;第一接收模塊����,用于接收來自接入服務(wù)器的響應(yīng)報(bào)文,其中響應(yīng)報(bào)文中攜帶有與客 戶端的訪問權(quán)限相對(duì)應(yīng)的防火墻策略配置響應(yīng)信息;防火墻模塊��,用于根據(jù)防火墻策略配 置響應(yīng)信息配置客戶端的防火墻規(guī)則���。根據(jù)本發(fā)明的又一方面����,提供了一種防火墻策略分發(fā)接入服務(wù)器�����,包括第二接收 模塊��,用于接收來自客戶端的接入?yún)f(xié)議報(bào)文�,其中,所述接入?yún)f(xié)議報(bào)文中攜帶有防火墻策略 配置請求信息�;第二發(fā)送模塊,用于向客戶端發(fā)送響應(yīng)報(bào)文以響應(yīng)接入?yún)f(xié)議報(bào)文���,其中響應(yīng) 報(bào)文中攜帶有與客戶端的訪問權(quán)限相對(duì)應(yīng)的防火墻策略配置響應(yīng)信息����;權(quán)限模塊�,用于根 據(jù)接入?yún)f(xié)議報(bào)文中攜帶的客戶端的信息確定客戶端的訪問權(quán)限,其中客戶端的信息至少為 以下一種MAC(Media Access Control�����,媒體訪問控制)地址信息�����、運(yùn)營商代碼Vendor ID�、
4用戶分類代碼User Classified ID。根據(jù)本發(fā)明的再一方面��,提供了一種防火墻策略分發(fā)系統(tǒng)����,包括客戶端和接入服 務(wù)器,其中���,客戶端包括第一發(fā)送模塊����,用于向接入服務(wù)器發(fā)送接入?yún)f(xié)議報(bào)文��,其中����,接入 協(xié)議報(bào)文中攜帶有防火墻策略配置請求信息����;第一接收模塊���,用于接收來自接入服務(wù)器的 響應(yīng)報(bào)文����;防火墻模塊��,用于根據(jù)防火墻策略配置響應(yīng)信息配置客戶端的防火墻規(guī)則�。接 入服務(wù)器包括第二接收模塊,用于接收來自客戶端的接入?yún)f(xié)議報(bào)文�;第二發(fā)送模塊,用于 向客戶端發(fā)送響應(yīng)于接入?yún)f(xié)議報(bào)文的響應(yīng)報(bào)文�����,其中響應(yīng)報(bào)文中攜帶有與客戶端訪問權(quán)限 相對(duì)應(yīng)的防火墻策略配置響應(yīng)信息�����;權(quán)限模塊���,用于根據(jù)接入?yún)f(xié)議報(bào)文中所攜帶的客戶端 的信息確定客戶端的訪問權(quán)限�����,其中客戶端的信息至少包括以下一種MAC(Media Access Control��,媒體訪問控制)地址信息�����、運(yùn)營商代碼Vendor ID���、用戶分類代碼User Classified ID���。通過本發(fā)明,利用寬帶接入?yún)f(xié)議的網(wǎng)絡(luò)配置交互流程�����,接入服務(wù)器將與客戶端的 權(quán)限相應(yīng)的防火墻策略分發(fā)給客戶端�����,使得客戶端可以在寬帶接入時(shí)���,自動(dòng)動(dòng)態(tài)地配置自 身的防火墻規(guī)則�。由于利用了現(xiàn)有的寬帶接入?yún)f(xié)議,使得防火墻策略的分發(fā)非常方便��,并且 節(jié)省分發(fā)資源��。
此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解�����,構(gòu)成本申請的一部分�����,本發(fā) 明的示意性實(shí)施例及其說明用于解釋本發(fā)明�,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中圖1示出了本發(fā)明實(shí)施例的防火墻策略分發(fā)方法流程圖��;圖2示出了本發(fā)明實(shí)施例的防火墻策略分發(fā)客戶端結(jié)構(gòu)框圖�;圖3示出了本發(fā)明實(shí)施例的防火墻策略分發(fā)接入服務(wù)器結(jié)構(gòu)框圖;圖4示出了本發(fā)明實(shí)施例的防火墻策略分發(fā)系統(tǒng)結(jié)構(gòu)框圖�����;圖5示出了本發(fā)明實(shí)施例的DHCP協(xié)議的防火墻策略分發(fā)示意圖���;圖6示出了本發(fā)明實(shí)施例的DHCP協(xié)議的防火墻選項(xiàng)的報(bào)文格式示意圖��;圖7示出了本發(fā)明實(shí)施例的PPP協(xié)議的防火墻策略分發(fā)示意圖�;圖8示出了本發(fā)明實(shí)施例的PPP IPCP Configuration Request數(shù)據(jù)報(bào)文格式示 意圖;圖9示出了本發(fā)明實(shí)施例的PPP IPCP Configuration NAK數(shù)據(jù)報(bào)文格式示意圖�����; 以及圖10示出了本發(fā)明實(shí)施例的PPP IPCP防火墻選項(xiàng)數(shù)據(jù)報(bào)文格式示意圖��。
具體實(shí)施例方式下文中將參考附圖并結(jié)合實(shí)施例來詳細(xì)說明本發(fā)明����。需要說明的是�,在不沖突的 情況下,本申請中的實(shí)施例及實(shí)施例中的特征可以相互組合�����。在TCP/IP網(wǎng)絡(luò)中�����,每臺(tái)主機(jī)若要能訪問網(wǎng)絡(luò)上的資源�,首先必須進(jìn)行網(wǎng)絡(luò)接入��, 執(zhí)行基本的網(wǎng)絡(luò)配置��,諸如IP地址���、子網(wǎng)掩碼、網(wǎng)關(guān)���、DNS(Domain Name System����,域名系統(tǒng)) 服務(wù)器等這些參數(shù)的配置是必不可少����,這些配置信息都在寬帶接入?yún)f(xié)議報(bào)文中的option 選項(xiàng)中攜帶,例如����,DHCP (Dynamic Host ConfigurationProtocol,動(dòng)態(tài)主機(jī)配置協(xié)議)協(xié)議�、PPP IPCP (Point to point protocol Internet Protocol Control Protocol,點(diǎn)對(duì)點(diǎn)協(xié) 議因特網(wǎng)協(xié)議控制協(xié)議)協(xié)議。在本發(fā)明的實(shí)施例中���,防火墻策略信息將按一定格式封裝 在這些接入?yún)f(xié)議的option選項(xiàng)中�,在客戶端網(wǎng)絡(luò)接入時(shí),接入服務(wù)器端通過寬帶接入?yún)f(xié)議 自動(dòng)將防火墻策略分發(fā)給不同級(jí)別����,不同預(yù)定義域的用戶,使得防火墻策略的分發(fā)更直接 和方便�。圖1示出了本發(fā)明實(shí)施例的防火墻策略分發(fā)方法流程圖,如圖1所示���,包括步驟S102�,客戶端向接入服務(wù)器發(fā)送接入?yún)f(xié)議報(bào)文�,其中���,接入?yún)f(xié)議報(bào)文中攜帶有 防火墻策略配置請求信息����。步驟S104�,客戶端接收接入服務(wù)器發(fā)送的響應(yīng)于接入?yún)f(xié)議報(bào)文的響應(yīng)報(bào)文,其中�, 響應(yīng)報(bào)文中攜帶有與客戶端的訪問權(quán)限相對(duì)應(yīng)的防火墻策略配置響應(yīng)信息。步驟S106���,客戶端根據(jù)防火墻策略配置響應(yīng)信息配置自身的防火墻規(guī)則����。在上述方法中,通過利用寬帶接入?yún)f(xié)議的網(wǎng)絡(luò)配置交互流程�����,接入服務(wù)器將與客 戶端的權(quán)限相應(yīng)的防火墻策略分發(fā)給客戶端�,使得客戶端可以在寬帶接入時(shí),自動(dòng)動(dòng)態(tài)地 配置自身的防火墻規(guī)則�����。由于利用了現(xiàn)有的寬帶接入?yún)f(xié)議�����,使得防火墻策略的分發(fā)非常方 便����,并且節(jié)省分發(fā)資源。圖2示出了本發(fā)明實(shí)施例的防火墻策略分發(fā)客戶端結(jié)構(gòu)框圖���,如圖2所示��,該客戶 端100包括第一發(fā)送模塊102����、第一接收模塊104和防火墻模塊106。第一發(fā)送模塊102 分別與第一接收模塊104和防火墻模塊106相連����,第一發(fā)送模塊102用于向接入服務(wù)器發(fā) 送接入?yún)f(xié)議報(bào)文,在所發(fā)送的接入?yún)f(xié)議報(bào)文中攜帶有防火墻策略配置請求信息�����;第一接收 模塊104用于接收來自接入服務(wù)器的響應(yīng)報(bào)文����,其中響應(yīng)報(bào)文中攜帶有與客戶端的訪問權(quán) 限相對(duì)應(yīng)的防火墻策略配置響應(yīng)信息;防火墻模塊106分別與第一發(fā)送模塊102和第一接 收模塊104相連����,防火墻模塊106用于根據(jù)防火墻策略配置響應(yīng)信息配置客戶端的防火墻 規(guī)則���。通過上述的客戶端���,在接入?yún)f(xié)議報(bào)文中攜帶有防火墻策略配置請求信息,從而利 用寬帶接入?yún)f(xié)議的網(wǎng)絡(luò)配置交互流程實(shí)現(xiàn)防火墻策略的分發(fā),使得客戶端可以自動(dòng)動(dòng)態(tài)地 配置自身的防火墻規(guī)則�����。由于利用了現(xiàn)有的寬帶接入?yún)f(xié)議�����,使得防火墻策略的分發(fā)非常方 便�����,并且節(jié)省分發(fā)資源��。圖3示出了本發(fā)明實(shí)施例的防火墻策略分發(fā)接入服務(wù)器結(jié)構(gòu)框圖��,如圖3所示�����,該 接入服務(wù)器200包括第二發(fā)送模塊202��、第二接收模塊204和權(quán)限模塊206����。第二接收模 塊204分別與第二發(fā)送模塊202和權(quán)限模塊206相連��,第二接收模塊204用于接收來自客 戶端的接入?yún)f(xié)議報(bào)文�,其中���,接入?yún)f(xié)議報(bào)文中攜帶有防火墻策略配置請求信息�����;第二發(fā)送模 塊204用于向客戶端發(fā)送響應(yīng)報(bào)文以響應(yīng)接入?yún)f(xié)議報(bào)文��,其中響應(yīng)報(bào)文中攜帶有與客戶端 的訪問權(quán)限相對(duì)應(yīng)的防火墻策略配置響應(yīng)信息���;權(quán)限模塊206分別與第二發(fā)送模塊202和 第二接收模塊204相連,權(quán)限模塊106用于根據(jù)接入?yún)f(xié)議報(bào)文中封裝的客戶端的MAC地址 信息確定客戶端的訪問權(quán)限����。通過上述接入服務(wù)器,將與客戶端的訪問權(quán)限相對(duì)應(yīng)的防火墻策略配置響應(yīng)信息 封裝在接入?yún)f(xié)議報(bào)文的響應(yīng)報(bào)文中��,從而利用寬帶接入?yún)f(xié)議的網(wǎng)絡(luò)配置交互流程實(shí)現(xiàn)防火 墻策略的分發(fā)�,使得客戶端可以自動(dòng)動(dòng)態(tài)地配置自身的防火墻規(guī)則���。由于利用了現(xiàn)有的寬 帶接入?yún)f(xié)議�����,使得防火墻策略的分發(fā)非常方便���,并且節(jié)省分發(fā)資源���。
6
圖4示出了本發(fā)明實(shí)施例的防火墻策略分發(fā)系統(tǒng)結(jié)構(gòu)框圖,如圖4所示�,該分發(fā)系 統(tǒng)包括相互耦合的客戶端100和接入服務(wù)器200,其中����,客戶端100包括第一發(fā)送模塊 102,用于向接入服務(wù)器200發(fā)送接入?yún)f(xié)議報(bào)文�����,其中�,接入?yún)f(xié)議報(bào)文中攜帶有防火墻策略 配置請求信息;第一接收模塊104��,用于接收來自接入服務(wù)器200的響應(yīng)報(bào)文�����;防火墻模塊 106,用于根據(jù)防火墻策略配置響應(yīng)信息配置客戶端100的防火墻規(guī)則��。接入服務(wù)器200包 括第二接收模塊204����,用于接收來自客戶端100的接入?yún)f(xié)議報(bào)文;第二發(fā)送模塊202�,用于 向客戶端100發(fā)送響應(yīng)于接入?yún)f(xié)議報(bào)文的響應(yīng)報(bào)文,其中響應(yīng)報(bào)文中攜帶有與客戶端100 的訪問權(quán)限相對(duì)應(yīng)的防火墻策略配置響應(yīng)信息�����;權(quán)限模塊206����,用于根據(jù)客戶端100的MAC 地址信息確定客戶端100的網(wǎng)絡(luò)訪問權(quán)限。通過上述分發(fā)系統(tǒng)����,將防火墻策略配置請求信息和防火墻策略配置響應(yīng)信息分別 封裝在寬帶接入?yún)f(xié)議報(bào)文和響應(yīng)報(bào)文中,從而利用寬帶接入?yún)f(xié)議的網(wǎng)絡(luò)配置交互流程將與 客戶端的權(quán)限相應(yīng)的防火墻策略分發(fā)給客戶端�,使得客戶端可以在寬帶接入時(shí),自動(dòng)動(dòng)態(tài) 地配置自身的防火墻規(guī)則���。由于利用了現(xiàn)有的寬帶接入?yún)f(xié)議�����,使得防火墻策略的分發(fā)非常 方便�����,并且節(jié)省分發(fā)資源���。圖5示出了本發(fā)明實(shí)施例的DHCP協(xié)議的防火墻策略分發(fā)流程示意圖。終端設(shè)備 包括DHCP Client和防火墻模塊�����,終端設(shè)備通過DHCP方式接入Internet��,終端設(shè)備與DHCP Server的交互流程如圖5所示步驟S502至步驟S508為DHCP的協(xié)商階段�����,該協(xié)商過程為現(xiàn)有技術(shù)�,在此不詳 細(xì)描述。所不同的是����,在本實(shí)施例中�,在DHCPClient發(fā)送的DHCP Discovery報(bào)文和DHCP Request報(bào)文的Parameter Request List中攜帶有防火墻選項(xiàng)����,以請求DHCP Server下發(fā) 防火墻信息,如果DHCP Server不支持防火墻選項(xiàng)����,可以忽略此選項(xiàng)。DHCP Server在收到DHCP Discovery和DHCP Request報(bào)文后�,檢查參數(shù)請求列表 Parameter Request List,將相應(yīng)的防火墻信息以一定格式填入防火墻字段區(qū)域����,以DHCP Offer 及 DHCP ACK 報(bào)文下發(fā)給 DHCP Client。DHCP Client在接收到DHCP ACK后�����,將防火墻選項(xiàng)區(qū)域數(shù)據(jù)解析�����,通過步驟S510 將解析后的數(shù)據(jù)傳遞給防火墻模塊�,防火墻模塊在終端設(shè)備執(zhí)行防火墻規(guī)則,防火墻規(guī)則 有效時(shí)長為租約的一半。DHCP Client在租約時(shí)間的一半時(shí)��,通過步驟S512發(fā)送DHCPRequest報(bào)文給DHCP Server進(jìn)行續(xù)租��,DHCP Server在步驟S514中通過DHCPACK進(jìn)行租約響應(yīng)�,如果續(xù)租成功���, DHCP Client在步驟S516中通知防火墻模塊將相應(yīng)的防火墻規(guī)則有效時(shí)間延長為新租約 時(shí)間的一半�;如果續(xù)租失敗�,防火墻規(guī)則失效,進(jìn)行下一輪的DHCP交互�,交互步驟與上述步 驟相同。上述的防火墻續(xù)租在實(shí)際應(yīng)用中是與DHCP協(xié)議的IP地址續(xù)租同步進(jìn)行的�,只是 在DHCP Request報(bào)文中添加了防火墻續(xù)租選項(xiàng)。在上述步驟S502中�����,DHCP Client發(fā)送的DHCP Discovery報(bào)文攜帶option55選 項(xiàng)列表��,艮口參數(shù)請求列表 parameter request list, parameter request list 中包括諸 如子網(wǎng)掩碼 subnet mask (option 1)���、網(wǎng)關(guān) router (option 3)�����、域名月艮務(wù)器 domain name servers (option 6)����、主機(jī)名 host name (option 12)、域名 domain name (option 15)��、時(shí)間 服務(wù)器 time server (option 4)����、運(yùn)營商代碼 Vendor ID (option 60)、用戶分類代碼 User
7Classified ID (option 77)����、無類別靜態(tài)路由 Classless static route (option 121)等選 項(xiàng),在本實(shí)施例中����,在選項(xiàng)列表中增加了防火墻選項(xiàng)option(130)。在上述步驟S504中����,DHCP Server回復(fù)DHCP Offer報(bào)文,提供DHCP client相應(yīng) 的請求信息���。在本實(shí)施例中�,通過源MAC地址或Vendor ID或User Classified ID以及其 他主機(jī)信息判斷DCHP Client的級(jí)別,提供相應(yīng)option 130的防火墻信息���。在上述步驟S508至步驟SS510中�����,DHCP Client接受到DHCPserver的最終ACK 后,根據(jù)DHCP option中的防火墻選項(xiàng)信息����,動(dòng)態(tài)配置客戶端防火墻。圖6示出了本發(fā)明實(shí)施例的DHCP協(xié)議的防火墻選項(xiàng)的報(bào)文格式示意圖�����,如圖6所 示DHCP防火墻選項(xiàng)特征碼為130�,即0x82,占一個(gè)字節(jié)���,當(dāng)然該特征碼可以為DHCP標(biāo) 準(zhǔn)接入?yún)f(xié)議中0-255數(shù)值范圍內(nèi)未使用的任何數(shù)值�;DHCP防火墻選項(xiàng)可以同時(shí)包含防火墻 通過和拒絕兩個(gè)子選項(xiàng)��,子選項(xiàng)代碼分別為1和2,占一個(gè)字節(jié)���;子選項(xiàng)數(shù)據(jù)長度Len占2字 節(jié)��;防火墻數(shù)據(jù)Len字節(jié)����。在本實(shí)施例所示的防火墻數(shù)據(jù)中���,源地址/子網(wǎng)掩碼為5字節(jié)���,端口號(hào)為2字節(jié), 協(xié)議為2字節(jié)�,目的地址/子網(wǎng)掩碼為5字節(jié),總共數(shù)據(jù)長度為14字節(jié)���。其中����,IP地址/子 網(wǎng)掩碼的數(shù)據(jù)為類似192. 168. 1. 0/24的格式��。在上述防火墻選項(xiàng)數(shù)據(jù)中����,某個(gè)數(shù)據(jù)區(qū)���,如源地址/子網(wǎng)掩碼,端口號(hào)���,協(xié)議或目 的端口 /子網(wǎng)掩碼區(qū)域?yàn)槿?�����,則表示其對(duì)應(yīng)為任意值���,即任意源源地址/子網(wǎng)掩碼����,任意端 口號(hào),任意協(xié)議�,任意目的端口 /子網(wǎng)掩碼。當(dāng)然DHCP防火墻每個(gè)子選項(xiàng)可以包含多個(gè)連續(xù)規(guī)則����,子選項(xiàng)數(shù)據(jù)長度必須為14 字節(jié)的整數(shù)倍。防火墻選項(xiàng)置于所有DHCP選項(xiàng)末端�,以DHCP選項(xiàng)結(jié)束符“OxfT”為結(jié)束��。圖7示出了本發(fā)明實(shí)施例的PPP協(xié)議的防火墻策略分發(fā)示意圖���,PPP協(xié)議 的實(shí)現(xiàn)包括兩個(gè)階段LCP (Link Control Protocol,鏈路控制協(xié)議)和NCP (Network Control Protocol,網(wǎng)絡(luò)控制協(xié)議)階段��,網(wǎng)絡(luò)配置體現(xiàn)在NCP階段�����,例如DNS�����、 WINS(Windowslnternet Naming Server, Windows 網(wǎng)際命名服務(wù))等參數(shù)的配置�����; 本實(shí)例的防火墻策略的分發(fā)是通過在PPP客戶端的請求中增加兩個(gè)防火墻選項(xiàng) filter (Accept) 141和filter (DROP) 142,防火墻選項(xiàng)的長度均為2�����,包括選項(xiàng)碼和長度 區(qū)的字節(jié)數(shù)��。PPP服務(wù)器在收到的IPCP request中發(fā)現(xiàn)防火墻option字段后����,通過源 MAC地址信息����、賬號(hào)信息及其他主機(jī)信息判斷PPP Client的級(jí)別�����,通過發(fā)一個(gè)PPP IPCP configuration NAK包返回相應(yīng)防火墻選項(xiàng)信息��;信息格式包括特征碼��、長度和防火墻數(shù) 據(jù)����。當(dāng)PPP客戶端接收到該IPCPconfiguration NAK后,自動(dòng)配置IP����、DNS��、WINS以及防火 墻規(guī)則等網(wǎng)絡(luò)參數(shù)�。PPP協(xié)議的實(shí)現(xiàn)具體包括以下步驟步驟S702,LCP協(xié)商�,協(xié)商內(nèi)容包括RFC (Request ForComments���,請求注解)1661中 所定義的選項(xiàng)。步驟S704���,LCP協(xié)商過后就到了建立(Establish)階段�,開始PAP (Password Authentication Protocol, W 54 Λ ilH 十辦 Χ ) $ CHAP (Challenge Handshake Authentication Protocol����,詢問握手認(rèn)證協(xié)議)認(rèn)證。PAP為兩次握手認(rèn)證��,口令為明文���。PAP認(rèn)證過程如下發(fā)送用戶名同口令到認(rèn)證方�,認(rèn)證方查看是否有此用戶�,口令是否正 確,然后發(fā)送相應(yīng)的響應(yīng)�����。CHAP為三次握手認(rèn)證�����,口令為密文(密鑰)CHAP認(rèn)證由認(rèn)證方 發(fā)送一些隨機(jī)產(chǎn)生的報(bào)文,交給被認(rèn)證�,被認(rèn)證方用自己的口令字用MD5 (Message Digest Algorithm 5,消息摘要算法第五版)算法進(jìn)行加密���,傳回密文�����,認(rèn)證方用自己保存的口令 字及隨機(jī)報(bào)文用MD5算法加密����,比較二者的密文����,根據(jù)比較結(jié)果返回響應(yīng)的響應(yīng)。步驟S706����,認(rèn)證成功即進(jìn)行Network階段協(xié)商(NCP),在IP接入中主要是IPCP協(xié) 商(如IP地址和DNS地址的協(xié)商等)��。本實(shí)施例在該階段增加了防火墻協(xié)商��。步驟S708��,根據(jù)協(xié)商的結(jié)果進(jìn)行�,防火墻的配置,當(dāng)然同時(shí)也進(jìn)行IP地址���、DNS等 參數(shù)的配置����。步驟S710�����,協(xié)商成功����,則鏈路建立,可以開始傳輸網(wǎng)絡(luò)層數(shù)據(jù)報(bào)文����。圖8示出了本發(fā)明實(shí)施例的PPP IPCP Configuration Request數(shù)據(jù)報(bào)文格式示 意圖,如圖8所示報(bào)文的特征碼為0x01代表該報(bào)文為PPP IPCP conf igurationRequest報(bào)文�����;在特 征碼后為 IP 地址選項(xiàng) Option 1(IP Address) ;Option 129 為主 DNS 地址選項(xiàng)�����;option 131 為備用DNS地址選項(xiàng)��;上述各選項(xiàng)與現(xiàn)有的PPP IPCP協(xié)議標(biāo)準(zhǔn)是一致的(參考RFC 1877)��。在本實(shí)施例中��,增加了 option 141和option 142防火墻選項(xiàng)�,當(dāng)然防火墻選項(xiàng) 的選項(xiàng)編號(hào)可以為PPP接入?yún)f(xié)議中未使用的任何數(shù)值;其中����,option 141表示防火墻接受 (Accept)選項(xiàng),option 142 表示防火墻拒絕(Drop)選項(xiàng)�����。option 141 和 option 142 選項(xiàng) 均包括特征碼(code)字段和長度(Len)字段�����,code和Len字段共2bytes�����,請求時(shí)����,option 141和option 142選項(xiàng)的code和Len字段的數(shù)據(jù)默認(rèn)為0,這樣表示客戶端請求服務(wù)器端 的防火墻信息���。圖9示出了本發(fā)明實(shí)施例的PPP IPCP Configuration NAK數(shù)據(jù)報(bào)文格式示意圖���, 在PPP協(xié)議中,接入服務(wù)器通過PPP IPCPConfiguration NAK報(bào)文將配置信息傳遞給客戶 端����,PPP IPCPConfiguration NAK數(shù)據(jù)報(bào)文格式如圖9所示特征碼為0x03代表該報(bào)文為IPCP configuration NAK報(bào)文,特征碼后是配置數(shù)據(jù)域�,例如,IP Address域���、主DNS地址域和備用DNS地址域���。 在本實(shí)施例中,增加了 option 141和option 142的防火墻選項(xiàng)數(shù)據(jù)域���,并包括各自選項(xiàng)的 長度�����。防火墻選項(xiàng)區(qū)域的數(shù)據(jù)格式為防火墻選項(xiàng)特征碼1字節(jié)(141或142)�,子選項(xiàng)數(shù) 據(jù)長度1字節(jié),及防火墻數(shù)據(jù)Len-2字節(jié)���。圖10示出了本發(fā)明實(shí)施例的PPP IPCP防火墻選項(xiàng)數(shù)據(jù)報(bào)文格式示意圖���,如圖10 所示,防火墻數(shù)據(jù)選項(xiàng)的具體報(bào)文格式如下防火墻數(shù)據(jù)為源地址/子網(wǎng)掩碼(5字節(jié))���,端口號(hào)(2字節(jié))��,協(xié)議(2字節(jié))����,目的 地址/子網(wǎng)掩碼(5字節(jié))����,共14字節(jié)。IP地址/子網(wǎng)掩碼的數(shù)據(jù)為類似192. 168. 1. 0/24的格式��,防火墻選項(xiàng)數(shù)據(jù)長度 Len-2必須為14的整數(shù)倍,防火墻選項(xiàng)可以包含多個(gè)連續(xù)規(guī)則�����,防火墻選項(xiàng)數(shù)據(jù)中�����,某個(gè)數(shù) 據(jù)區(qū)���,例如,源地址/子網(wǎng)掩碼�����、端口號(hào)�、協(xié)議或目的端口 /子網(wǎng)掩碼區(qū)域?yàn)槿?,則表示其 對(duì)應(yīng)為任意值����,即任意源源地址/子網(wǎng)掩碼,任意端口號(hào)����,任意協(xié)議�����,任意目的端口 /子網(wǎng)掩 碼���。
在上述的實(shí)施例中,接入服務(wù)器可以通過以下方式來管理寬帶接入客戶端對(duì)特殊 業(yè)務(wù)的訪問寬帶接入?yún)f(xié)議服務(wù)器端將特殊業(yè)務(wù)(如MSN����、QQ、P2P�、特殊網(wǎng)站等)的常用服務(wù)器 地址填入響應(yīng)報(bào)文的目的IP地址,常用端口填入端口號(hào)區(qū)域���,協(xié)議填入?yún)f(xié)議區(qū)域�,防火墻 選項(xiàng)特征碼為0x82�。如果服務(wù)器不帶防火墻選項(xiàng)數(shù)據(jù),表示默認(rèn)允許這些服務(wù)�����,如果服務(wù)器 帶上防火墻拒絕選項(xiàng)(DROP)���,表示拒絕這些業(yè)務(wù)�����。上述實(shí)施例中的防火墻策略自動(dòng)配置既包括接入端對(duì)上層網(wǎng)絡(luò)的訪問控制�����,也 包括下游設(shè)備對(duì)接入端的訪問���。通過控制下游設(shè)備對(duì)接入端的控制,可以控制多用戶 NAT (Network Address Translate��,網(wǎng)絡(luò)地址轉(zhuǎn)換)共享上網(wǎng)�����。一般地��,接入端需要給下游分配地址���,服務(wù)器回復(fù)報(bào)文將該地址池中單個(gè)源IP地 址或源IP地址范圍填入源IP地址域�;客戶端根據(jù)回復(fù)報(bào)文��,通過配置單用戶或單地址對(duì)接 入端的訪問����,以達(dá)到控制多用戶共享上網(wǎng)的目的�。通過本發(fā)明的上述實(shí)施例�,利用寬帶接入?yún)f(xié)議的網(wǎng)絡(luò)配置過程,進(jìn)行防火墻策略 的分發(fā)��,實(shí)現(xiàn)在客戶端寬帶接入時(shí)動(dòng)態(tài)配置不同級(jí)別的客戶端的防火墻規(guī)則��,既可以方便 地實(shí)現(xiàn)防火墻策略的分發(fā)�����,又可以節(jié)省分發(fā)資源��。另外��,通過本發(fā)明的上述實(shí)施例�����,還提供 一種簡易方法對(duì)特定業(yè)務(wù)的開放和關(guān)閉的管理��,以及控制客戶端所在系統(tǒng)可支持接入主機(jī) 的容量���,提供一種控制多用戶共享上網(wǎng)的方法�����。顯然�����,本領(lǐng)域的技術(shù)人員應(yīng)該明白�����,上述的本發(fā)明的各模塊或各步驟可以用通用 的計(jì)算裝置來實(shí)現(xiàn)����,它們可以集中在單個(gè)的計(jì)算裝置上���,或者分布在多個(gè)計(jì)算裝置所組成 的網(wǎng)絡(luò)上����,可選地�����,它們可以用計(jì)算裝置可執(zhí)行的程序代碼來實(shí)現(xiàn)��,從而,可以將它們存儲(chǔ) 在存儲(chǔ)裝置中由計(jì)算裝置來執(zhí)行��,并且在某些情況下���,可以以不同于此處的順序執(zhí)行所示 出或描述的步驟�,或者將它們分別制作成各個(gè)集成電路模塊��,或者將它們中的多個(gè)模塊或 步驟制作成單個(gè)集成電路模塊來實(shí)現(xiàn)��。這樣�����,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合�����。以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已�����,并不用于限制本發(fā)明�,對(duì)于本領(lǐng)域的技 術(shù)人員來說,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi)����,所作的任何修 改、等同替換���、改進(jìn)等����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。
10
權(quán)利要求
一種用于寬帶接入?yún)f(xié)議的防火墻策略分發(fā)方法�����,其特征在于��,包括客戶端向接入服務(wù)器發(fā)送接入?yún)f(xié)議報(bào)文��,其中,所述接入?yún)f(xié)議報(bào)文中攜帶有防火墻策略配置請求信息���;所述客戶端接收所述接入服務(wù)器發(fā)送的響應(yīng)于所述接入?yún)f(xié)議報(bào)文的響應(yīng)報(bào)文���,其中���,所述響應(yīng)報(bào)文中攜帶有與所述客戶端的訪問權(quán)限相對(duì)應(yīng)的防火墻策略配置響應(yīng)信息;所述客戶端根據(jù)所述防火墻策略配置響應(yīng)信息配置自身的防火墻規(guī)則�����。
2.根據(jù)權(quán)利要求1所述的防火墻策略分發(fā)方法�����,其特征在于�����,在所述客戶端接收所述 接入服務(wù)器發(fā)送的響應(yīng)于所述接入?yún)f(xié)議報(bào)文的響應(yīng)報(bào)文之前�����,所述方法還包括所述接入服務(wù)器從所接收到的所述接入?yún)f(xié)議報(bào)文獲取所述客戶端的信息���,并根據(jù)所述 客戶端的信息確定所述客戶端的訪問權(quán)限���,其中所述客戶端的信息至少包括以下一種介 質(zhì)訪問控制地址MAC�����、運(yùn)營商代碼��、用戶分類代碼��;所述接入服務(wù)器將與所述客戶端的訪問權(quán)限相對(duì)應(yīng)的防火墻策略配置響應(yīng)信息封裝 在所述響應(yīng)報(bào)文中�,并發(fā)送至所述客戶端��。
3.根據(jù)權(quán)利要求2所述的防火墻策略分發(fā)方法�,其特征在于,所述寬帶接入?yún)f(xié)議為動(dòng) 態(tài)主機(jī)配置協(xié)議DHCP����。
4.根據(jù)權(quán)利要求3所述的防火墻策略分發(fā)方法,其特征在于����,所述接入?yún)f(xié)議報(bào)文為動(dòng) 態(tài)主機(jī)配置協(xié)議發(fā)現(xiàn)報(bào)文或動(dòng)態(tài)主機(jī)配置協(xié)議請求報(bào)文,所述防火墻策略配置請求信息封 裝在所述DHCP發(fā)現(xiàn)報(bào)文或所述DHCP請求報(bào)文的選項(xiàng)中���;所述響應(yīng)報(bào)文為動(dòng)態(tài)主機(jī)配置協(xié) 議提供報(bào)文或動(dòng)態(tài)主機(jī)配置協(xié)議確定報(bào)文�,所述防火墻策略配置響應(yīng)信息封裝在DHCP提 供報(bào)文或DHCP確認(rèn)報(bào)文的選項(xiàng)中�����。
5.根據(jù)權(quán)利要求3所述的防火墻策略分發(fā)方法���,其特征在于�,在所述客戶端根據(jù)所述 防火墻策略配置響應(yīng)信息配置自身的防火墻規(guī)則之后還包括在預(yù)定時(shí)間間隔內(nèi)���,所述客戶端向所述接入服務(wù)器發(fā)送防火墻策略續(xù)租請求報(bào)文����,其 中所述防火墻策略續(xù)租請求報(bào)文用于向所述接入服務(wù)器請求續(xù)租所述客服端的防火墻策 略�;所述客戶端接收所述接入服務(wù)器發(fā)送的響應(yīng)于所述防火墻策略續(xù)租請求報(bào)文的防火 墻策略租約響應(yīng)報(bào)文;所述客戶端根據(jù)所述防火墻策略租約響應(yīng)報(bào)文延長自身已配置的防火墻規(guī)則或使自 身已配置的防火墻規(guī)則失效��。
6.根據(jù)權(quán)利要求2所述的防火墻策略分發(fā)方法����,其特征在于,所述寬帶接入?yún)f(xié)議為點(diǎn) 對(duì)點(diǎn)協(xié)議PPP��。
7.根據(jù)權(quán)利要求6所述的防火墻策略分發(fā)方法�����,其特征在于,所述接入?yún)f(xié)議報(bào)文為點(diǎn) 對(duì)點(diǎn)IP控制協(xié)議PPP IPCP配置請求報(bào)文����,所述防火墻策略配置請求信息封裝在所述PPP IPCP配置請求報(bào)文的選項(xiàng)中;所述響應(yīng)報(bào)文為點(diǎn)對(duì)點(diǎn)IP控制協(xié)議PPPIPCP配置響應(yīng)報(bào)文����, 所述防火墻策略配置響應(yīng)信息封裝在PPPIPCP配置響應(yīng)報(bào)文的選項(xiàng)中。
8.一種用于寬帶接入?yún)f(xié)議的防火墻策略分發(fā)客戶端��,其特征在于��,包括第一發(fā)送模塊����,用于向接入服務(wù)器發(fā)送接入?yún)f(xié)議報(bào)文,其中�,所述接入?yún)f(xié)議報(bào)文中攜帶 有防火墻策略配置請求信息;第一接收模塊����,用于接收來自所述接入服務(wù)器的所述響應(yīng)報(bào)文,其中所述響應(yīng)報(bào)文中攜帶有與所述客戶端的訪問權(quán)限相對(duì)應(yīng)的防火墻策略配置響應(yīng)信息��;防火墻模塊�,用于根據(jù)所述防火墻策略配置響應(yīng)信息配置所述客戶端的防火墻規(guī)則����。
9.一種用于寬帶接入?yún)f(xié)議的防火墻策略分發(fā)接入服務(wù)器�����,其特征在于���,包括第二接收模塊,用于接收來自所述客戶端的接入?yún)f(xié)議報(bào)文�����,其中����,所述接入?yún)f(xié)議報(bào)文中 攜帶有防火墻策略配置請求信息;第二發(fā)送模塊�����,用于向所述客戶端發(fā)送響應(yīng)報(bào)文以響應(yīng)所述接入?yún)f(xié)議報(bào)文��,其中所述 響應(yīng)報(bào)文中攜帶有與所述客戶端的訪問權(quán)限相對(duì)應(yīng)的防火墻策略配置響應(yīng)信息��;權(quán)限模塊,用于根據(jù)所述接入?yún)f(xié)議報(bào)文中攜帶的所述客戶端的信息確定所述客戶端的 訪問權(quán)限��,其中��,所述客戶端的信息至少包括以下一種介質(zhì)訪問控制地址MAC����、運(yùn)營商代 碼、用戶分類代碼�����。
10.一種用于寬帶接入?yún)f(xié)議的防火墻策略分發(fā)系統(tǒng)�,包括客戶端和接入服務(wù)器,其特征 在于�,所述客戶端包括第一發(fā)送模塊,用于向所述接入服務(wù)器發(fā)送接入?yún)f(xié)議報(bào)文��,其中�,所述接入?yún)f(xié)議報(bào)文中 攜帶有防火墻策略配置請求信息;第一接收模塊���,用于接收來自所述接入服務(wù)器的所述響應(yīng)報(bào)文��;防火墻模塊�,用于根據(jù)所述防火墻策略配置響應(yīng)信息配置所述客戶端的防火墻規(guī)則;所述接入服務(wù)器包括第二接收模塊�����,用于接收來自所述客戶端的所述接入?yún)f(xié)議報(bào)文�; 第二發(fā)送模塊���,用于向所述客戶端發(fā)送響應(yīng)于所述接入?yún)f(xié)議報(bào)文的所述響應(yīng)報(bào)文�����,其 中所述響應(yīng)報(bào)文中攜帶有與所述客戶端訪問權(quán)限相對(duì)應(yīng)的防火墻策略配置響應(yīng)信息�����;權(quán)限模塊�����,用于根據(jù)所述接入?yún)f(xié)議報(bào)文中攜帶的所述客戶端的信息確定所述客戶端 的訪問權(quán)限����,其中所述客戶端的信息至少包括以下一種介質(zhì)訪問控制地址MAC����、運(yùn)營商代 碼��、用戶分類代碼���。
全文摘要
本發(fā)明公開了一種用于寬帶接入?yún)f(xié)議的防火墻策略分發(fā)方法、客戶端�����、接入服務(wù)器及系統(tǒng)�����。該防火墻策略分發(fā)方法包括客戶端向接入服務(wù)器發(fā)送接入?yún)f(xié)議報(bào)文�,其中,接入?yún)f(xié)議報(bào)文中攜帶有防火墻策略配置請求信息����;客戶端接收接入服務(wù)器發(fā)送的響應(yīng)于接入?yún)f(xié)議報(bào)文的響應(yīng)報(bào)文,其中��,響應(yīng)報(bào)文中攜帶有與客戶端的訪問權(quán)限相對(duì)應(yīng)的防火墻策略配置響應(yīng)信息�;客戶端根據(jù)防火墻策略配置響應(yīng)信息配置自身的防火墻規(guī)則。在本發(fā)明中,通過利用寬帶接入?yún)f(xié)議的網(wǎng)絡(luò)配置交互流程實(shí)現(xiàn)防火墻策略的分發(fā)��,使得客戶端動(dòng)態(tài)地配置自身的防火墻規(guī)則�。由于利用了現(xiàn)有的寬帶接入?yún)f(xié)議,使得防火墻策略的分發(fā)非常方便���,并且節(jié)省分發(fā)資源���。
文檔編號(hào)H04L12/24GK101977187SQ20101051406
公開日2011年2月16日 申請日期2010年10月20日 優(yōu)先權(quán)日2010年10月20日
發(fā)明者萬齊根 申請人:中興通訊股份有限公司