專利名稱:一種基于用戶帳號的網(wǎng)絡訪問控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用戶的網(wǎng)絡訪問控制方法。
背景技術(shù):
在目前寬帶網(wǎng)絡的寬帶接入服務器(BAS)中�,不可避免地要涉及到對寬帶數(shù)據(jù)報文的轉(zhuǎn)發(fā),即涉及到報文的轉(zhuǎn)發(fā)控制問題���,或者說涉及到用戶的網(wǎng)絡訪問控制問題����。例如���,在需要對訪問某一IP地址網(wǎng)站的用戶進行限制時����,如果訪問該IP地址網(wǎng)站的用戶滿足受限制的條件�,則在用戶網(wǎng)絡接入時切斷該接入操作。再例如�,運營商根據(jù)運營的需要,將網(wǎng)絡訪問劃分為多個層次���,同時使不同的用戶具有不同層次的網(wǎng)絡訪問權(quán)限��,這就是說�,在進行網(wǎng)絡的管理時,需要根據(jù)用戶的訪問權(quán)限控制其進行的網(wǎng)絡訪問�����。為實現(xiàn)上述控制要求����,目前主要采用兩種控制方法一是基于認證的控制方法。該方法以用戶是否通過網(wǎng)絡認證為標準����,將用戶劃分為兩部分,通過認證的用戶�,可以對網(wǎng)絡進行幾乎無限制的訪問,未通過的用戶����,則不許進行任何的網(wǎng)絡訪問或只能進行有限的訪問����,如僅訪問某個門戶服務器的網(wǎng)頁。顯然�����,上述控制方式的控制精度太低,認證通過的用戶往往權(quán)限都是一致的�����,不能體現(xiàn)用戶的級別�,控制上沒有靈活性,因此不可能滿足所要求的網(wǎng)絡訪問的多層次可控的要求�。
作為上述網(wǎng)絡訪問控制方法的替代,第二種是基于用戶端口號和IP地址的控制方法����,該方法通過用戶的端口號和IP地址劃分用戶的網(wǎng)絡訪問權(quán)限,以實現(xiàn)網(wǎng)絡訪問控制的靈活性和多層次性��。在這種控制方式中�,用戶的端口號通常是固定的,但實際中一個端口下可能掛接多個用戶����,因此這種方法的控制精度最多只能到端口級;另一方面�,當用戶為屬于動態(tài)IP地址用戶時,在其網(wǎng)絡接入過程中��,需要通過動態(tài)主機配置協(xié)議(DHCP)申請一個IP地址,利用該IP地址進行網(wǎng)絡的訪問�。由于用戶每次上網(wǎng)時,通過DHCP過程獲取的IP地址通常是不同的�����,這就使得對用戶進行網(wǎng)絡訪問的控制變得復雜和困難���。盡管上述控制方法的精度有所提高��,仍然也不能實現(xiàn)用戶級的控制精度和層次性的控制要求�����。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種控制精度較高的基于用戶帳號的網(wǎng)絡訪問控制方法����,實用該方法能夠?qū)崿F(xiàn)網(wǎng)絡訪問控制的多層次性��。
為達到上述目的���,本發(fā)明提供的基于用戶帳號的網(wǎng)絡訪問控制方法,包括將用戶的網(wǎng)絡訪問權(quán)限劃分為不同的等級�,設置不同等級的權(quán)限與不同的網(wǎng)絡IP地址或網(wǎng)絡IP地址段對應的訪問控制關(guān)系��,以及設置用戶帳號與網(wǎng)絡訪問等級的對應關(guān)系��;在用戶進行網(wǎng)絡訪問時����,根據(jù)用戶帳號獲取用戶的網(wǎng)絡訪問權(quán)限等級����,根據(jù)所述等級和上述訪問控制關(guān)系對用戶的網(wǎng)絡訪問進行控制。
所述方法還包括設置與用戶的網(wǎng)絡訪問權(quán)限相對應的用戶訪問控制(UCL)組���,以便在對用戶的網(wǎng)絡訪問控制過程中�,根據(jù)用戶帳號將用戶劃分為不同的UCL組��。
所述根據(jù)用戶帳號獲取用戶的網(wǎng)絡訪問權(quán)限等級�����,以及根據(jù)所述等級和該等級與網(wǎng)絡IP地址或IP地址段對應的訪問控制關(guān)系對用戶的網(wǎng)絡訪問進行控制����,是根據(jù)用戶帳號將用戶劃分為相應的UCL組,再根據(jù)所述UCL組去匹配用戶網(wǎng)絡訪問目的地址對應的網(wǎng)絡IP地址或IP地址段����,如果匹配的結(jié)果為允許用戶訪問����,則轉(zhuǎn)發(fā)用戶的報文���,否則丟棄用戶報文���。
所述方法還包括在網(wǎng)絡接入設備中設置用戶連接信息表(UCIB)、規(guī)則(Rule)表和用戶訪問控制(UCL)表�����;所述UCIB表��,包括用戶IP地址���、UCL組字段���,用于為每個在線用戶建立一個網(wǎng)絡連接記錄;所述Rule表�����,包括規(guī)則和IP地址或網(wǎng)段二個字段���,用于將不同的IP地址或網(wǎng)段定義為不同的網(wǎng)絡訪問控制規(guī)則�����;所述UCL表�,用于描述UCL組與不同Rule的對應訪問控制關(guān)系����。
所述方法還包括在用戶上網(wǎng)認證成功后,由認證端根據(jù)用戶帳號將用戶劃分到相應的UCL組���,同時通知網(wǎng)絡接入設備將用戶的UCL組信息寫入到UCIB表的相應記錄中���。
在根據(jù)UCL組匹配用戶網(wǎng)絡訪問目的IP地址對應的網(wǎng)絡IP地址或IP地址段的控制過程中,網(wǎng)絡接入設備按用戶網(wǎng)絡訪問報文的源IP地址��,通過UCIB表得到用戶所屬的UCL組號�����,再用報文的目的IP地址���,通過Rule表得到目的地址對應的Rule�����,通過UCL組號和Rule的組合����,查找UCL表,根據(jù)該表判斷用戶是否允許訪問報文指定的目的IP地址�����,如果允許����,轉(zhuǎn)發(fā)該報文,否則丟棄該報文�����。
由于本發(fā)明將用戶的網(wǎng)絡訪問權(quán)限劃分為不同的等級或網(wǎng)絡訪問控制組���,并且設置不同等級的權(quán)限或網(wǎng)絡訪問控制組對應的網(wǎng)絡IP地址或地址段�����,以及設置用戶帳號與網(wǎng)絡訪問等級或網(wǎng)絡訪問控制組之間的對應關(guān)系����,這樣��,在用戶進行網(wǎng)絡訪問時�����,根據(jù)用戶帳號獲取用戶的網(wǎng)絡訪問權(quán)限等級或網(wǎng)絡訪問控制組�����,即可對用戶的網(wǎng)絡訪問進行控制�����;很顯然���,這種控制方法可以控制到用戶級�,由于具體控制所依賴的基礎是用戶的帳號��,而帳號是具有唯一性的,無論用戶獲得什么樣的IP地址或是掛接到哪個端口���,都可以針對具體的用戶實施網(wǎng)絡接入控制�,因此�,本發(fā)明具有較高的控制精度和靈活性,能夠滿足網(wǎng)絡訪問多層次性的控制要求����。
圖1是典型的用戶網(wǎng)絡登錄過程示意圖;圖2是本發(fā)明所述方法的控制原理圖�����;圖3是本發(fā)明方法的控制過程第一部分流程圖�;圖4是本發(fā)明方法的控制過程第二部分流程圖。
具體實施例方式
依據(jù)前述對現(xiàn)有的用戶網(wǎng)絡訪問控制方法的分析�����,在對用戶的網(wǎng)絡訪問進行控制時��,最簡單的控制依據(jù)就是以認證是否通過為標準����,但由于這種標準的控制精度太低而不能滿足實際應用的要求。事實上,在對用戶進行網(wǎng)絡訪問控制時�,無論是采用本地認證還是采用遠端的認證服務器認證,在認證端都存儲有對用戶進行認證和管理的信息����,因此,用戶一旦通過網(wǎng)絡認證��,網(wǎng)絡就會獲得該用戶的詳細簽約信息��,如用戶帳號(指用戶名或口令等唯一標識用戶的信息)等���。可見����,如果能將用戶的網(wǎng)絡訪問權(quán)限作為用戶的簽約信息也保存在網(wǎng)絡的認證端,那么在用戶認證通過后即可使網(wǎng)絡接入設備��,如BAS��,利用該權(quán)限對用戶的網(wǎng)絡訪問進行控制�。在上述信息中,用戶帳號信息是唯一能夠標識該用戶的信息���,因此將該信息和用戶的網(wǎng)絡訪問權(quán)限結(jié)合起來����,就能夠滿足對用戶的網(wǎng)絡訪問控制的高精度、多層次的控制要求���。
通過上面所述�����,在具體實現(xiàn)本發(fā)明時���,首先網(wǎng)絡將用戶的網(wǎng)絡訪問權(quán)限劃分為不同的等級,不同等級的權(quán)限對應不同的網(wǎng)絡IP地址或網(wǎng)絡IP地址段����。在每個用戶開戶或變更簽約信息時,將該用戶的網(wǎng)絡訪問權(quán)限與其它信息一起設置在認證端�,以便認證通過后使用該信息對用戶進行網(wǎng)絡訪問控制。為實現(xiàn)上述控制要求��,可以將不同等級的網(wǎng)絡訪問權(quán)限劃分為不同的等級或不同的網(wǎng)絡訪問控制組(UCL組)���,通過對UCL組的管理或網(wǎng)絡訪問等級的管理即可管理具有相同網(wǎng)絡訪問權(quán)限的一個群體的用戶���。這樣���,就可以在認證端配置用戶信息時,將用戶登記的網(wǎng)絡訪問權(quán)限登記為權(quán)限等級或UCL組號���,使該權(quán)限等級或UCL組號與用戶的帳號及其它與用戶有關(guān)的信息共同記錄在認證端的用戶授權(quán)信息中��。同時����,在網(wǎng)絡的接入設備中�����,如BAS中���,設置用戶連接信息表(UCIB),每個在線用戶與UCIB表中的一個具體的連接控制信息相對應����。在UCIB中,包括對用戶進行控制和管理使用的物理信息��、二層信息、三層信息以及權(quán)限�,如用戶接入端口號、用戶接入VLAN號���、用戶IP地址��、用戶MAC地址�����、用戶的服務質(zhì)量(QOS)以及用戶所屬的UCL組或網(wǎng)絡訪問等級�。此外�,在BAS中,還要設置網(wǎng)絡訪問規(guī)則(Rule)表和用戶網(wǎng)絡訪問控制表(UCL)����。Rule表用于定義某一IP地址或IP地址網(wǎng)段,即將需要控制訪問的目的IP地址或網(wǎng)段一一定義為名稱不同的規(guī)則(Rule)���,例如門戶服務器���、非法網(wǎng)站等等;UCL表用于建立UCL組或網(wǎng)絡訪問等級與Rule的對應訪問控制關(guān)系����,這里所述的訪問控制關(guān)系就是UCL組是否被允許訪問相應Rule對應的IP地址或網(wǎng)段�����?���;谠谏鲜鼍W(wǎng)絡接入設備中建立的三個控制表即可實現(xiàn)基于用戶帳號的網(wǎng)絡訪問控制的要求�。
上述UCIB表在用戶認證通過后由認證端通知網(wǎng)絡接入設備填寫,而Rule表和UCL表則是事先根據(jù)控制需求在網(wǎng)絡接入設備中設置���。
下面是上述三個表的結(jié)構(gòu)舉例表1(UCIB表)
表2(Rule表)
表3(UCL表)
在上述表1中���,與本發(fā)明有關(guān)的控制信息是“IP地址”和“UCL組”兩個字段,其余字段為其它控制信息����。在表3中�,“√”表示允許相應的UCL組訪問對應的規(guī)則代表的IP地址或地址段,而“×”表示不允許���。
下面結(jié)合附圖對本發(fā)明作進一步詳細的描述���。
假設對用戶的網(wǎng)絡訪問采用UCL組的方式進行�,在表1中�,當用戶認證通過時,可以根據(jù)認證端對用戶的授權(quán)信息填寫表的具體內(nèi)容�����。例如�����,在圖1所示的用戶上線過程中�����,假設網(wǎng)絡接入設備為BAS��,為用戶分配IP地址的服務器為DHCP服務器�,認證端為遠端的RADIUS服務器(或本地認證模塊),則在用戶上線過程中��,用戶經(jīng)過步驟1到步驟3利用DHCP過程從DHCP服務器獲取到自己的IP地址后���,對于BAS設備來說��,在A位置給用戶在UCIB中分配一條記錄��,并記錄一些簡單的信息�����,如用戶通過認證前默認的UCL組號(假設為255)以及用戶得到的IP地址(假設為1.1.1.1)��。在經(jīng)過步驟4將用戶得到的IP地址通知給用戶后��,用戶在步驟5����、6開始認證,這時一直到B位置以前��,用戶訪問網(wǎng)絡的權(quán)限為默認未上線的權(quán)限�����,與帳號無關(guān)��,所有用戶都一樣�;當用戶認證通過后����,到B位置����,用戶通過某一帳號認證通過��,RADIUS服務器給BAS設備發(fā)送過來該用戶帳號的權(quán)限����,其中的UCL組假設為組號是100的UCL組,BAS把這些權(quán)限記錄于對應的UCIB表的記錄中�,這時用戶的IP地址(1.1.1.1)與UCIB中的該條記錄關(guān)聯(lián),而UCIB中該條記錄記載的用戶UCL組號以及其他權(quán)限又是根據(jù)用戶帳號分配的��,不同的用戶帳號有不同的UCL組���,那么用戶IP地址就和UCL組號關(guān)聯(lián)���,但是這個關(guān)聯(lián)只是在這一次接入中起作用,即����,此時,IP地址1.1.1.1與組號為100的UCL組相對應。然后用戶下線��,BAS釋放此對應關(guān)系�����。
在過了一段時間后����,用戶第二次上線(登錄網(wǎng)絡),走同樣的如圖1所示的流程并且申請到了一個不同于前一次的IP地址1.1.1.2���,盡管這次得到的IP地址不同����,但還是用同一帳號去認證�,獲得同樣的授權(quán)(UCL組號依然為100),那么此次連接就會在UCIB中存在一條記錄�����,記載IP地址與組號的對應關(guān)系��,即IP地址1.1.1.2與組號為100的UCL組的對應關(guān)系�����,訪問權(quán)限不變����。
由上可以看出,兩次用戶上網(wǎng)的IP地址變化了��,但是其對應的UCL組不變�����,那么它的訪問權(quán)限也就沒有變化����,這就是UCL組(等同于訪問權(quán)限)能夠不隨用戶IP地址變化而變化,而是能夠基于帳號而相對穩(wěn)定不變�。這樣,通過記載于表2的網(wǎng)絡訪問規(guī)則����,以及記錄于表3的UCL組與Rule的對應關(guān)系,就能夠?qū)崿F(xiàn)基于用戶帳號的網(wǎng)絡訪問控制�����。
以上述表3的控制為例,第一行的第0組被允許訪問所有規(guī)則(Rule)�,即Rule0到Rule255所定義的IP地址或網(wǎng)段;而第二行的第1組不允許訪問所有規(guī)則���,即Rule0到Rule255所定義的IP地址或網(wǎng)段���;而第四行的第3組不允許訪問規(guī)則2、3���,即Rule2�、3�����,所定義的IP地址或網(wǎng)段而允許訪問其它所有規(guī)則�,即Rule0、Rule3到Rule255所定義的IP地址或網(wǎng)段����。
具體的控制原理參考圖2。在用戶網(wǎng)絡訪問報文經(jīng)過網(wǎng)絡接入設備時����,首先��,按報文的源IP地址分類�,通過UCIB表得到用戶信息并進一步得到該用戶所屬的UCL組��,再用報文的目的IP地址作分類����,通過Rule表得目的地址所屬的Rule����,通過UCL組和Rule的組合,查找事先通過配置生成的UCL表����,即可得到用戶是否允許訪問目的IP地址;當然����,針對網(wǎng)絡側(cè)來的訪問控制,如果目的為某一普通用戶則仍然使用和上面對稱的流程���。
依據(jù)上述原理的具體的控制過程包括兩部分��,分別于圖3���、4進行描述�����,并且假設采用用戶的UCL組作為用戶的網(wǎng)絡訪問權(quán)限�����,當然實際中也可以采用網(wǎng)絡訪問的優(yōu)先級的方式描述用戶的網(wǎng)絡訪問權(quán)限����。第一部分參考圖3���,該部分用于形成UCIB表的控制信息��。按照圖3���,首先用戶在步驟11上網(wǎng)獲取IP地址以及應用自己的帳號進行認證,然后認證端在步驟12判斷該用戶的認證是否通過��,如果不通過���,結(jié)束該用戶的網(wǎng)絡接入操作��,否則在步驟13根據(jù)用戶帳號確定用戶的UCL組�,并將對該用戶記錄包括用戶的UCL組和IP地址信息的授權(quán)信息通知網(wǎng)絡接入設備,由網(wǎng)絡接入設備在UCIB表中建立與該用戶有關(guān)的記錄���。
圖4是本發(fā)明對用戶具體的網(wǎng)絡接入進行控制的流程圖�。按照圖4��,當用戶在步驟21接收到用戶網(wǎng)絡訪問的報文后�,從所述報文中獲取用戶的源IP地址和目的IP地址��,然后在步驟22按報文的源IP地址分類�,查找UCIB表,通過UCIB表得到用戶信息以及得到該用戶所屬的UCL組信息�����,再按報文的目的IP地址作分類�����,查找Rule表�,通過Rule表得目的地址所屬的Rule所定義的網(wǎng)段,接著在步驟23將UCL組和Rule進行組合��,去查找事先通過配置生成的UCL表,通過UCL表即可得到用戶是否允許訪問報文指定的目的IP地址�����,最后在步驟24根據(jù)上述信息對用戶的網(wǎng)絡訪問進行控制�,即,如果允許用戶訪問所述目的地址�����,則正常進行報文的轉(zhuǎn)發(fā)�,否則丟棄該網(wǎng)絡訪問報文。
需要說明��,在具體的控制過程中���,由于預連接用戶(沒有通過認證�,只是通過DHCP過程獲得IP地址的用戶)沒有帳號���,對其的控制可以較粗略��,即預先給所有預連接用戶一個默認的UCLGroup組號���,比如255組��,這個時候所有預連接用戶可以統(tǒng)一使用255組所有已經(jīng)設置的權(quán)限訪問網(wǎng)絡����,相對于普通接入服務器所采用的非受控路由�����,這樣會增加控制的靈活性���。
總之�,采用基于用戶帳號的UCL控制方法可以有效地對用戶的網(wǎng)絡訪問進行所需要的控制����,控制精度達到了用戶級的控制要求��,針對不同的用戶實施按需控制���。例如�����,在某公司的內(nèi)部網(wǎng)絡中使用本發(fā)明能夠很好的區(qū)分混坐在一起工作的外部人員與內(nèi)部人員�,使得他們訪問外部網(wǎng)絡的權(quán)限不一致,產(chǎn)生了協(xié)作與隔離并存的效果����。
權(quán)利要求
1.一種基于用戶帳號的網(wǎng)絡訪問控制方法,包括將用戶的網(wǎng)絡訪問權(quán)限劃分為不同的等級�,設置不同等級的權(quán)限與不同的網(wǎng)絡IP地址或網(wǎng)絡IP地址段對應的訪問控制關(guān)系,以及設置用戶帳號與網(wǎng)絡訪問等級的對應關(guān)系����;在用戶進行網(wǎng)絡訪問時,根據(jù)用戶帳號獲取用戶的網(wǎng)絡訪問權(quán)限等級����,根據(jù)所述等級和上述訪問控制關(guān)系對用戶的網(wǎng)絡訪問進行控制。
2.根據(jù)權(quán)利要求1所述的基于用戶帳號的網(wǎng)絡訪問控制方法���,其特征在于��,所述方法還包括設置與用戶的網(wǎng)絡訪問權(quán)限相對應的用戶訪問控制(UCL)組�����,以便在對用戶的網(wǎng)絡訪問控制過程中�����,根據(jù)用戶帳號將用戶劃分到不同的UCL組��。
3.根據(jù)權(quán)利要求2所述的基于用戶帳號的網(wǎng)絡訪問控制方法��,其特征在于�����,所述根據(jù)用戶帳號獲取用戶的網(wǎng)絡訪問權(quán)限等級�,以及根據(jù)所述等級和該等級與網(wǎng)絡IP地址或IP地址段對應的訪問控制關(guān)系對用戶的網(wǎng)絡訪問進行控制,是根據(jù)用戶帳號將用戶劃分到相應的UCL組�����,再根據(jù)所述UCL組去匹配用戶網(wǎng)絡訪問目的地址對應的網(wǎng)絡IP地址或IP地址段�����,如果匹配的結(jié)果為允許用戶訪問�,則轉(zhuǎn)發(fā)用戶的報文����,否則丟棄用戶報文。
4.根據(jù)權(quán)利要求2或3所述的基于用戶帳號的網(wǎng)絡訪問控制方法,其特征在于���,所述方法還包括在網(wǎng)絡接入設備中設置用戶連接信息表(UCIB)��、規(guī)則(Rule)表和用戶訪問控制(UCL)表�����;所述UCIB表���,包括用戶IP地址、UCL組字段�,用于為每個在線用戶建立一個網(wǎng)絡連接記錄;所述Rule表�����,包括規(guī)則和IP地址或網(wǎng)段二個字段�����,用于將不同的IP地址或IP地址段定義為不同的網(wǎng)絡訪問控制規(guī)則�;所述UCL表,用于描述UCL組與不同Rule的對應訪問控制關(guān)系�����。
5.根據(jù)權(quán)利要求4所述的基于用戶帳號的網(wǎng)絡訪問控制方法,其特征在于�,所述方法還包括在用戶上網(wǎng)認證成功后,由認證端根據(jù)用戶帳號將用戶劃分到相應的UCL組�,同時通知網(wǎng)絡接入設備將用戶的UCL組信息寫入到UCIB表的相應記錄中。
6.根據(jù)權(quán)利要求4所述的基于用戶帳號的網(wǎng)絡訪問控制方法�����,其特征在于在根據(jù)UCL組匹配用戶網(wǎng)絡訪問目的IP地址對應的網(wǎng)絡IP地址或IP地址段的控制過程中��,網(wǎng)絡接入設備按用戶網(wǎng)絡訪問報文的源IP地址����,通過UCIB表得到用戶所屬的UCL組號,再用報文的目的IP地址����,通過Rule表得到目的地址對應的Rule,通過UCL組號和Rule的組合����,查找UCL表,根據(jù)該表判斷用戶是否允許訪問報文指定的目的IP地址��,如果允許�,轉(zhuǎn)發(fā)該報文,否則丟棄該報文���。
全文摘要
本發(fā)明公開了一種基于用戶帳號的網(wǎng)絡訪問控制方法�����,該方法將用戶的網(wǎng)絡訪問權(quán)限劃分為不同的等級或控制組��,設置不同等級的權(quán)限對應的網(wǎng)絡IP地址或地址段�,以及設置用戶帳號與網(wǎng)絡訪問等級的對應關(guān)系���,這樣��,在用戶進行網(wǎng)絡訪問時��,根據(jù)用戶帳號獲取用戶的網(wǎng)絡訪問權(quán)限等級或所屬的控制組�����,再根據(jù)等級或控制組去匹配用戶網(wǎng)絡訪問目的地址對應的網(wǎng)絡IP地址或IP地址段�����,如果匹配的結(jié)果為允許用戶訪問�,則轉(zhuǎn)發(fā)用戶的報文,否則丟棄���。采用上述方案對用戶的網(wǎng)絡訪問進行控制���,具有較高的控制精度和靈活性,能夠滿足網(wǎng)絡訪問多層次性的控制要求�。
文檔編號H04L12/24GK1527209SQ0310695
公開日2004年9月8日 申請日期2003年3月6日 優(yōu)先權(quán)日2003年3月6日
發(fā)明者侯超, 管紅光, 王軍, 侯 超 申請人:華為技術(shù)有限公司