專利名稱:寬帶接入安全及控制保障系統(tǒng)及其方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種寬帶接入保障系統(tǒng)及方法���,特別涉及一種寬帶接入安全及控制保障系統(tǒng)及方法����。
背景技術(shù):
當(dāng)前,以ADSL為代表的寬帶接入技術(shù)發(fā)展得如火如荼。寬帶接入技術(shù)給用戶帶來(lái)高帶寬便利的同時(shí)��,也為用戶帶來(lái)了信息安全方面的嚴(yán)重威脅,尤其是那些使用固定IP上網(wǎng)的用戶或者經(jīng)常將計(jì)算機(jī)長(zhǎng)時(shí)間聯(lián)網(wǎng)的非固定IP用戶。
以ADSL用戶為例,他們的網(wǎng)絡(luò)安全問(wèn)題比使用普通Modem撥號(hào)上網(wǎng)的用戶要嚴(yán)重得多��,原因就在于ADSL的高帶寬——網(wǎng)絡(luò)攻擊者(例如黑客����、病毒)在攻擊普通Modem撥號(hào)上網(wǎng)用戶時(shí)(例如采用端口掃描�、密碼窮舉、DDOS/DOS攻擊)��,普通Modem較慢的連接速度可以降低破壞者的效率�����,從而相對(duì)提高了用戶計(jì)算機(jī)的安全性��,而且這種情況下用戶比較容易察覺(jué)到網(wǎng)絡(luò)速度的變化�����,從而提高警惕����。
由于ADSL帶寬很高,網(wǎng)絡(luò)攻擊者的入侵行為效率較高�����,同時(shí)ADSL較高的帶寬也使得用戶不容易察覺(jué)到入侵行為。
為了解決寬帶安全問(wèn)題�����,現(xiàn)有技術(shù)是在用戶計(jì)算機(jī)上安裝軟件防火墻���、硬件防火墻或者其它安全產(chǎn)品��。這種方法可以在某種程度上緩解用戶的網(wǎng)絡(luò)安全威脅�����,但是安全系數(shù)并不高��。因?yàn)槠胀ㄓ脩敉痪邆渥銐蜇S富的網(wǎng)絡(luò)安全知識(shí)�,他們對(duì)于自己計(jì)算機(jī)上所安裝的上述產(chǎn)品進(jìn)行版本升級(jí)�、負(fù)載調(diào)節(jié)、參數(shù)配置等操作的時(shí)候往往會(huì)留有安全漏洞��。
即使用戶可以在自己的計(jì)算機(jī)上阻擋網(wǎng)絡(luò)攻擊者�,但是因?yàn)槟壳按蠖鄶?shù)寬帶服務(wù)提供商給用戶提供的帶寬有限(例如512Kbps、2Mbps)��,有的甚至是按照流量收費(fèi)�����,如果只是在客戶端進(jìn)行安全防范,還是會(huì)導(dǎo)致大量無(wú)效信息(例如DOS攻擊��、端口掃描)擠占用戶所用的帶寬�,這對(duì)于有視頻應(yīng)用需求或者大文件下載需求的用戶而言是個(gè)嚴(yán)重的問(wèn)題���。
發(fā)明內(nèi)容
有鑒于此��,本發(fā)明為解決上述問(wèn)題而提供一種寬帶接入安全及控制保障系統(tǒng)及其方法�,主要目的在于對(duì)網(wǎng)絡(luò)安全進(jìn)行有效的監(jiān)控��,從根本上解決寬帶安全問(wèn)題���,提高寬帶用戶的安全系數(shù)��,同時(shí)避免大量的無(wú)效信息擠占用戶帶寬����。
本發(fā)明的另一目的是提供一種寬帶接入安全及控制保障系統(tǒng)及其方法����,使用戶通過(guò)服務(wù)綁定的方式��,取得接受服務(wù)的資格�,使自己的寬帶接入得到更好的安全保障��。
本發(fā)明提供一種寬帶接入安全及控制保障系統(tǒng)����,其可在寬帶運(yùn)營(yíng)商網(wǎng)絡(luò)中實(shí)現(xiàn)對(duì)特定用戶的安全管理及控制,包括服務(wù)管理模塊以及安全服務(wù)模塊�����,服務(wù)管理模塊用以接收服務(wù)類型���,并將該服務(wù)類型與相應(yīng)用戶網(wǎng)絡(luò)IP綁定���,安全服務(wù)模塊位于該寬帶運(yùn)營(yíng)商的安全服務(wù)網(wǎng)關(guān),根據(jù)該服務(wù)類型對(duì)該用戶網(wǎng)絡(luò)的上下行數(shù)據(jù)流進(jìn)行安全檢查��,以實(shí)現(xiàn)在網(wǎng)絡(luò)邊界處提供實(shí)時(shí)的安全保護(hù)��。
所述服務(wù)管理模塊還包括用戶數(shù)據(jù)庫(kù)�,其用以存儲(chǔ)用戶數(shù)據(jù),認(rèn)證服務(wù)模塊,其用以對(duì)用戶身份進(jìn)行認(rèn)證����,從而確定其可使用的網(wǎng)絡(luò)服務(wù),以及服務(wù)綁定模塊��,其根據(jù)該認(rèn)證結(jié)果���,將通過(guò)認(rèn)證用戶ID標(biāo)識(shí)映射到相應(yīng)的IP地址�����,根據(jù)該IP地址將相應(yīng)的網(wǎng)絡(luò)服務(wù)與該IP地址綁定,從而開放相應(yīng)的網(wǎng)絡(luò)服務(wù)給該用戶網(wǎng)絡(luò)IP��。
所述服務(wù)管理模塊還包括計(jì)費(fèi)服務(wù)模塊���,其記錄用戶網(wǎng)絡(luò)服務(wù)的用量�����,并根據(jù)該網(wǎng)絡(luò)服務(wù)用量計(jì)算使用費(fèi)用����。
所述IP地址包括動(dòng)態(tài)分配的IP地址以及靜態(tài)IP地址。
所述安全服務(wù)模塊包括病毒檢測(cè)及清除單元����,其用以檢測(cè)并清除網(wǎng)絡(luò)中的病毒,防攻擊安全服務(wù)單元�,其位于用戶網(wǎng)絡(luò)節(jié)點(diǎn)處,用以集中防范網(wǎng)絡(luò)攻擊�����,垃圾郵件過(guò)濾單元���,其在封堵垃圾郵件發(fā)送者來(lái)源的同時(shí)���,在郵件接收用戶的線路上進(jìn)行過(guò)濾,URL/內(nèi)容過(guò)濾單元���,其可根據(jù)用戶設(shè)定的參數(shù)對(duì)網(wǎng)絡(luò)信息進(jìn)行過(guò)濾�����,時(shí)間控制單元����,用以根據(jù)用戶時(shí)間控制需求制定相應(yīng)的安全控制策略,以及防火墻服務(wù)單元�;其根據(jù)用戶的安全政策控制出入網(wǎng)絡(luò)的信息流,提供信息安全服務(wù)�,保障網(wǎng)絡(luò)信息安全。
所述安全服務(wù)模塊還包括對(duì)該用戶網(wǎng)絡(luò)的上行數(shù)據(jù)流進(jìn)行安全檢查���,以實(shí)現(xiàn)對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)進(jìn)行安全保護(hù)�。
所述寬帶網(wǎng)絡(luò)為ADSL網(wǎng)絡(luò)����,該安全服務(wù)模塊位于該寬帶網(wǎng)絡(luò)的寬帶接入服務(wù)器(BRAS)與邊界路由網(wǎng)絡(luò)之間。(該系統(tǒng)可以用于ADSL����、WLAN等多種寬帶網(wǎng)絡(luò)����,此處以ADSL為例進(jìn)行介紹。)所述寬帶網(wǎng)絡(luò)為ADSL網(wǎng)絡(luò)����,該安全服務(wù)模塊位于寬帶接入服務(wù)器(BRAS)與ADSL局端設(shè)備之間。(該系統(tǒng)可以用于ADSL��、WLAN等多種寬帶網(wǎng)絡(luò),此處以ADSL為例進(jìn)行介紹�。)所述服務(wù)管理模塊還包括解除綁定模塊,用以解除與該用戶綁定的網(wǎng)絡(luò)安全服務(wù)�。
本發(fā)明還公開了一種寬帶接入安全控制保障方法,在寬帶運(yùn)營(yíng)商網(wǎng)絡(luò)中實(shí)現(xiàn)對(duì)特定用戶的安全管理及控制��,該方法包括設(shè)置一服務(wù)管理模塊的步驟���,以接收服務(wù)類型�����,并將該服務(wù)類型與相應(yīng)該用戶網(wǎng)絡(luò)綁定�����;設(shè)置一安全服務(wù)模塊的步驟����,其位于該寬帶運(yùn)營(yíng)商的安全服務(wù)網(wǎng)關(guān)�,根據(jù)該服務(wù)類型對(duì)該用戶網(wǎng)絡(luò)的下行數(shù)據(jù)流進(jìn)行安全檢查及控制,以在網(wǎng)絡(luò)邊界處提供實(shí)時(shí)的安全保護(hù)以及控制����。
所述設(shè)置一服務(wù)管理模塊的步驟還包括設(shè)置一用戶數(shù)據(jù)庫(kù)的步驟�,其用以存儲(chǔ)用戶數(shù)據(jù)���;設(shè)置一認(rèn)證服務(wù)模塊的步驟��,其用以對(duì)用戶身份進(jìn)行認(rèn)證��,從而確定其可使用的網(wǎng)絡(luò)服務(wù)����;及設(shè)置一服務(wù)綁定模塊的步驟�,其根據(jù)該認(rèn)證結(jié)果,將通過(guò)認(rèn)證用戶ID標(biāo)識(shí)映射到相應(yīng)的IP地址��,根據(jù)該IP地址將相應(yīng)的網(wǎng)絡(luò)服務(wù)與該IP地址綁定�����,從而開放相應(yīng)的網(wǎng)絡(luò)服務(wù)給該用戶網(wǎng)絡(luò)����。
所述設(shè)置一服務(wù)綁定模塊的步驟包括如下步驟步驟1接受輸入的用戶ID標(biāo)識(shí)�����,對(duì)用戶身份進(jìn)行認(rèn)證,確定其定制的網(wǎng)絡(luò)安全服務(wù)類型�����;步驟2將該用戶ID標(biāo)識(shí)映射到相應(yīng)的IP地址���,并將該IP地址與該服務(wù)類型綁定后���,共同發(fā)送至該寬帶運(yùn)營(yíng)商的安全服務(wù)網(wǎng)關(guān);及步驟3更新當(dāng)前該安全服務(wù)網(wǎng)關(guān)的配置���,根據(jù)該安全服務(wù)類型在該寬帶運(yùn)營(yíng)商的安全服務(wù)網(wǎng)關(guān)對(duì)該用戶網(wǎng)絡(luò)的下行數(shù)據(jù)流進(jìn)行安全檢查及實(shí)時(shí)控制�����。
所述設(shè)置一服務(wù)管理模塊的步驟還包括設(shè)置一計(jì)費(fèi)服務(wù)模塊的步驟�����,其記錄用戶網(wǎng)絡(luò)服務(wù)的用量����,并根據(jù)該網(wǎng)絡(luò)服務(wù)用量計(jì)算使用費(fèi)用�����。
所述設(shè)置一安全服務(wù)模塊的步驟包括設(shè)置一病毒檢測(cè)及清除單元的步驟,其用以檢測(cè)并清除網(wǎng)絡(luò)中的病毒��;設(shè)置一防攻擊安全服務(wù)單元的步驟�,其位于用戶網(wǎng)絡(luò)節(jié)點(diǎn)處,用以集中防范網(wǎng)絡(luò)攻擊��;設(shè)置一垃圾郵件過(guò)濾單元的步驟�����,其在封堵垃圾郵件發(fā)送者來(lái)源的同時(shí)�,在郵件接收用戶的線路上進(jìn)行過(guò)濾;設(shè)置一URL/內(nèi)容過(guò)濾單元的步驟�,其可根據(jù)用戶設(shè)定的參數(shù)對(duì)網(wǎng)絡(luò)信息進(jìn)行過(guò)濾;設(shè)置一時(shí)間控制單元的步驟����,用以根據(jù)用戶時(shí)間控制需求制定相應(yīng)的安全控制策略;及設(shè)置一防火墻服務(wù)單元的步驟��;其根據(jù)用戶的安全政策控制出入網(wǎng)絡(luò)的信息流���,提供信息安全服務(wù)��,保障網(wǎng)絡(luò)信息安全�。
所述的寬帶接入安全控制保障方法�����,還包括對(duì)在該寬帶運(yùn)營(yíng)商的安全服務(wù)網(wǎng)關(guān)對(duì)該用戶網(wǎng)絡(luò)的上下行數(shù)據(jù)流進(jìn)行安全檢查的步驟���。
所述安全服務(wù)類型包括病毒檢測(cè)及清除�����、防攻擊安全服務(wù)��、垃圾郵件過(guò)濾�����、URL/內(nèi)容過(guò)濾��、時(shí)間控制���、防火墻服務(wù)、網(wǎng)絡(luò)服務(wù)質(zhì)量控制����、以及流量控制��。
所述設(shè)置一服務(wù)管理模塊的步驟還包括設(shè)置一解除綁定模塊的步驟��,用以解除與該用戶綁定的網(wǎng)絡(luò)安全服務(wù)����。
設(shè)置一解除綁定模塊的步驟包括如下步驟步驟1接受退出寬帶系統(tǒng)的用戶信息包�����;步驟2解析該用戶信息包�,確定用戶ID標(biāo)識(shí)以及其綁定的網(wǎng)絡(luò)安全服務(wù)類型;及步驟3將綁定在該IP用戶上的服務(wù)解除���。
根據(jù)本發(fā)明的寬帶接入安全及控制保障系統(tǒng)及方法����,提高了寬帶接入服務(wù)的安全系數(shù)����,在保護(hù)運(yùn)營(yíng)商網(wǎng)絡(luò)免受來(lái)自其寬帶用戶的攻擊、病毒感染等干擾的同時(shí),以IP地址為辨別標(biāo)識(shí)為使用寬帶網(wǎng)絡(luò)的特定用戶提供特定的安全及控制服務(wù)���。同時(shí)維護(hù)了寬帶用戶以及寬帶運(yùn)營(yíng)商的網(wǎng)絡(luò)安全。本發(fā)明可以將垃圾郵件����、端口掃描、網(wǎng)絡(luò)攻擊等不良行為抵擋在寬帶運(yùn)營(yíng)商的網(wǎng)絡(luò)上����,使得用戶所受到的干擾盡可能小。應(yīng)用本發(fā)明的系統(tǒng)用戶無(wú)需自行購(gòu)買防火墻��、防病毒網(wǎng)關(guān)���,殺毒軟件等�����,通過(guò)在運(yùn)營(yíng)商服務(wù)器端部署安全與認(rèn)證策略����,實(shí)現(xiàn)互聯(lián)網(wǎng)接入安全����。用戶可以定制垃圾郵件過(guò)濾服務(wù)��,系統(tǒng)按照用戶用求定義垃圾郵件內(nèi)容��,從而持續(xù)降低用戶垃圾郵件的數(shù)量��。同時(shí)定制URL過(guò)濾服務(wù)�����,按照用戶用求定義的URL內(nèi)容阻斷互聯(lián)網(wǎng)病毒傳播��,在服務(wù)器端攔截病毒進(jìn)入與輸出���。本發(fā)明還可以按照用戶要求定制定期病毒檢查與殺毒服務(wù),以及針對(duì)家庭用戶的上網(wǎng)時(shí)段與上網(wǎng)內(nèi)容定制��。
圖1是本發(fā)明實(shí)施例的模塊架構(gòu)圖�;圖2是本發(fā)明應(yīng)用于ADSL系統(tǒng)的總體架構(gòu)圖;圖3是本發(fā)明實(shí)施例安全服務(wù)網(wǎng)關(guān)結(jié)構(gòu)示意圖�����;圖4是本發(fā)明服務(wù)綁定示意圖��;圖5是本發(fā)明解除服務(wù)綁定示意圖;及圖6是本發(fā)明應(yīng)用于WLAN的系統(tǒng)架構(gòu)圖�。
具體實(shí)施例方式
本發(fā)明通過(guò)策略控制自動(dòng)更新安全服務(wù)網(wǎng)關(guān)配置的服務(wù)認(rèn)證/綁定及解除綁定,進(jìn)行動(dòng)態(tài)實(shí)時(shí)的服務(wù)認(rèn)證/綁定及解除��。用戶登錄到接入網(wǎng)����,服務(wù)管理單元會(huì)根據(jù)用戶定制的服務(wù)�����、IP形成相應(yīng)的策略之后發(fā)送到安全服務(wù)網(wǎng)關(guān)�����,這些策略可以即時(shí)更新安全服務(wù)網(wǎng)關(guān)的配置���。當(dāng)用戶退出互聯(lián)網(wǎng)的時(shí)候��,服務(wù)管理單元會(huì)從安全服務(wù)網(wǎng)關(guān)刪除該用戶所對(duì)應(yīng)的策略��。服務(wù)管理單元通過(guò)IP通信向安全服務(wù)網(wǎng)關(guān)發(fā)送策略��,安全服務(wù)網(wǎng)關(guān)接收到格式正確的策略之后即可進(jìn)行策略更新����。
本發(fā)明可用于任何寬帶接入網(wǎng)絡(luò),該寬帶接入網(wǎng)絡(luò)采用TCP/IP協(xié)議進(jìn)行通信����,每個(gè)用戶均具有IP即可。如xDSL(包括ADSL�、SDSL、HDSL��、G.SHDSL��、IDSL以及發(fā)展中的VDSL����、ADSL2+等)以及無(wú)線接入網(wǎng)絡(luò)(WLAN)等。
本發(fā)明寬帶接入安全及控制保障系統(tǒng)位于寬帶接入網(wǎng)與匯聚網(wǎng)的接口處���,一般為邊界路由器附近��,其由兩部分構(gòu)成安全服務(wù)模塊以及服務(wù)管理模塊����。其中安全服務(wù)模塊位于該寬帶運(yùn)營(yíng)商網(wǎng)絡(luò)上�,包括安全服務(wù)網(wǎng)關(guān)���,在網(wǎng)絡(luò)邊界處提供實(shí)時(shí)的安全保護(hù)。服務(wù)管理模塊通過(guò)IP通信與該安全服務(wù)模塊建立連接�����,并對(duì)該安全服務(wù)模塊進(jìn)行控制��。
下面以ADSL為例���,對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明。請(qǐng)參見圖1�����,為本發(fā)明實(shí)施例模塊架構(gòu)圖���。如圖所示���,安全服務(wù)模塊110與服務(wù)管理模塊200相連。安全服務(wù)模塊的核心是安全服務(wù)網(wǎng)關(guān)110�����。安全服務(wù)模塊可以部署到BRAS和邊界路由網(wǎng)絡(luò)之間,也可以安裝在BRAS與DSLAM之間�,它具備100/1000M接口,可以采用路由模式或者透明模式����,并且支持多種接入方式光纖或者銅纜等。
服務(wù)管理模塊部署在網(wǎng)管中心����,與安全服務(wù)網(wǎng)關(guān)通過(guò)IP通信管理安全服務(wù)模塊。借助HTTP���、HTTPS�、Telnet�����、SNMP等管理模式��,服務(wù)管理模塊通過(guò)策略控制自動(dòng)更新安全服務(wù)模塊的配置���。服務(wù)管理模塊和認(rèn)證服務(wù)器�、計(jì)費(fèi)服務(wù)器通信�����,保證對(duì)用戶的身份驗(yàn)證和安全增值服務(wù)收費(fèi)。服務(wù)管理模塊200包括用戶數(shù)據(jù)庫(kù)210�,認(rèn)證服務(wù)模塊220,服務(wù)綁定模塊230以及計(jì)費(fèi)服務(wù)模塊240�。其中用戶數(shù)據(jù)庫(kù)210用以存儲(chǔ)用戶數(shù)據(jù),包括其定制的服務(wù)類型以及計(jì)費(fèi)信息等��。認(rèn)證服務(wù)模塊220用以對(duì)用戶進(jìn)行身份認(rèn)證����,從而確定其可使用的網(wǎng)絡(luò)服務(wù),服務(wù)綁定模塊230根據(jù)該認(rèn)證結(jié)果�,將通過(guò)認(rèn)證用戶的ID實(shí)時(shí)映射到相應(yīng)的IP地址,根據(jù)該IP地址�,將相應(yīng)的服務(wù)與該IP地址綁定�,從而開放相應(yīng)的網(wǎng)絡(luò)服務(wù)給相應(yīng)用戶,以及計(jì)費(fèi)服務(wù)模塊240記錄用戶對(duì)各種網(wǎng)絡(luò)服務(wù)的用量���,并根據(jù)該網(wǎng)絡(luò)服務(wù)用量計(jì)算使用費(fèi)用��。
請(qǐng)參見圖2�,其為本發(fā)明應(yīng)用于ADSL寬帶網(wǎng)絡(luò)的系統(tǒng)架構(gòu)圖���,如圖所示��,本發(fā)明的安全服務(wù)模塊100與服務(wù)管理模塊200位于邊界路由器10與寬帶接入服務(wù)器20之間�����,運(yùn)營(yíng)商的寬帶接入服務(wù)器連接有一個(gè)或多個(gè)DSLAM30��,DSLAM30通過(guò)電話線連接到用戶����。
請(qǐng)參見圖3,安全服務(wù)網(wǎng)關(guān)110為一個(gè)硬件產(chǎn)品�,它可以在網(wǎng)絡(luò)邊界處提供了實(shí)時(shí)的保護(hù)——在不影響網(wǎng)絡(luò)性能情況下檢測(cè)出有害的病毒、蠕蟲及其他基于內(nèi)容的安全威脅�����。安全服務(wù)網(wǎng)關(guān)集成了防火墻��、入侵檢測(cè)���、內(nèi)容過(guò)濾和流量控制功能���,包括如下單元1��、病毒檢測(cè)及清除單元111�,其可檢測(cè)并清除網(wǎng)絡(luò)中的病毒���。大多數(shù)病毒���、垃圾郵件、網(wǎng)絡(luò)攻擊來(lái)自于互聯(lián)網(wǎng)�����,對(duì)于寬帶用戶而言它們是信息安全最大的風(fēng)險(xiǎn)之一��。本發(fā)明可以過(guò)濾掉來(lái)自網(wǎng)絡(luò)的病毒���、垃圾郵件以及網(wǎng)絡(luò)攻擊�����。根據(jù)統(tǒng)計(jì),絕大多數(shù)(幾乎99.99%)的病毒來(lái)自計(jì)算機(jī)網(wǎng)絡(luò)����。因此可以有效地保護(hù)寬帶用戶免受病毒干擾�����。
在用戶單機(jī)版防病毒措施的基礎(chǔ)上�����,在寬帶運(yùn)營(yíng)商網(wǎng)關(guān)部署的安全服務(wù)模塊內(nèi)置病毒檢測(cè)及清除單元����,可以在網(wǎng)關(guān)處集中檢測(cè)���、清除病毒�����,從而大大減輕用戶終端防病毒的壓力�;同時(shí)��,這樣處理可以把帶病毒的垃圾流量過(guò)濾掉���,保證用戶網(wǎng)絡(luò)流量的正常使用效率。
此外,考慮到用戶的計(jì)算機(jī)可能會(huì)遇到通過(guò)軟盤����、移動(dòng)硬盤等繞過(guò)網(wǎng)絡(luò)的途徑感染的病毒,本發(fā)明接入安全及控制系統(tǒng)還可以為用戶提供一套防病毒系統(tǒng)�。該系統(tǒng)可以安裝在用戶計(jì)算機(jī)上,也可以不安裝在用戶計(jì)算機(jī)上(用戶需要防病毒服務(wù)的時(shí)候從運(yùn)營(yíng)商服務(wù)器上調(diào)用)�。收費(fèi)模式可以是包月收費(fèi),也可以是按使用次數(shù)收費(fèi)�。
2、防攻擊安全服務(wù)單元112����,其位于用戶網(wǎng)絡(luò)節(jié)點(diǎn)處,用以集中防范網(wǎng)絡(luò)攻擊���;目前互聯(lián)網(wǎng)上的黑客活動(dòng)日益頻繁���,黑客破壞規(guī)模、破壞頻率和破壞后果越來(lái)越讓人們對(duì)互聯(lián)網(wǎng)充滿恐懼感和不安全感��。雖然大眾用戶的安全意識(shí)有所增加�,但是對(duì)安全技術(shù)和安全防護(hù)工具的缺乏讓很多用戶暴露在黑客攻擊的危險(xiǎn)中。本發(fā)明通過(guò)部署防攻擊安全服務(wù)單元���,在連接到用戶的網(wǎng)絡(luò)節(jié)點(diǎn)處集中防范攻擊�,能保證用戶免受來(lái)自互聯(lián)網(wǎng)的黑客攻擊威脅�����。
防攻擊安全服務(wù)單元主要是利用入侵防御來(lái)防范常規(guī)黑客攻擊行為�����,如果再配合防火墻安全服務(wù)模塊���,可以最大程度保護(hù)用戶的網(wǎng)絡(luò)安全���。借助入侵檢測(cè)和入侵防御功能,本發(fā)明可以防止DDOS/DOS攻擊�����、防止IP層的攻擊行為(總數(shù)>1300)�����、建立用戶化攻擊列表���。防攻擊安全服務(wù)單元能夠自動(dòng)更新攻擊數(shù)據(jù)庫(kù)�,保證具備最強(qiáng)的防攻擊效果。
3���、垃圾郵件過(guò)濾單元113����,其在封賭垃圾郵件發(fā)送者來(lái)源的同時(shí)�,在郵件接收用戶的線路上進(jìn)行過(guò)濾;目前��,垃圾郵件已經(jīng)成為繼病毒郵件問(wèn)題之后最令用戶感到頭疼�、困擾的難題。垃圾郵件浪費(fèi)了用戶大量的時(shí)間和精力���,又占據(jù)了網(wǎng)絡(luò)帶寬資源�。
在封堵垃圾郵件發(fā)送者來(lái)源的同時(shí)�,寬帶運(yùn)營(yíng)商最重要的工作是在垃圾郵件接收者的線路上進(jìn)行過(guò)濾,通過(guò)在用戶端網(wǎng)絡(luò)(一般在網(wǎng)關(guān))部署防垃圾郵件安全服務(wù)模塊����,本發(fā)明可以過(guò)濾掉盡量多的垃圾郵件,從而大大減輕用戶的壓力����。
4�、URL/內(nèi)容過(guò)濾單元114��,其可根據(jù)用戶設(shè)定的參數(shù)對(duì)網(wǎng)絡(luò)信息進(jìn)行過(guò)濾���;越來(lái)越多的色情網(wǎng)站、反動(dòng)網(wǎng)站�����、惡意非法網(wǎng)站正時(shí)刻威脅著用戶的安全���,很多IT技術(shù)缺乏�����、安全意識(shí)薄弱的用戶在瀏覽網(wǎng)頁(yè)的時(shí)候��,其計(jì)算機(jī)已經(jīng)在用戶不知情的情況下被安裝木馬����、控制系統(tǒng)����、中病毒甚至竊取�����、破壞用戶的重要數(shù)據(jù)和資料�����。本發(fā)明提供URL/內(nèi)容過(guò)濾�,可以利用其內(nèi)容過(guò)濾功能過(guò)濾色情網(wǎng)站����、反動(dòng)網(wǎng)站、惡意非法網(wǎng)站���。內(nèi)容過(guò)濾安全服務(wù)模塊主要采用基于策略控制�、URL過(guò)濾和屏蔽�、關(guān)鍵字/詞組屏蔽、阻塞Java小程序��、URL屏蔽列表�����、Cookie和Activex等技術(shù)手段來(lái)實(shí)現(xiàn),用戶可以根據(jù)自身情況靈活定制內(nèi)容過(guò)濾表����。該URL/內(nèi)容過(guò)濾單元還可以實(shí)現(xiàn)父母控制功能,對(duì)于很多ADSL用戶而言�����,他們對(duì)于子女的寬帶上網(wǎng)有時(shí)間控制需求�����,本發(fā)明可以提供時(shí)間控制功能����,以滿足用戶在不同時(shí)間段的網(wǎng)絡(luò)需求�。本發(fā)明還可以控制URL、IP以及應(yīng)用程序的訪問(wèn)權(quán)限����。通過(guò)友好的設(shè)置界面,父母可以阻止子女瀏覽不良網(wǎng)站�����、阻止子女沉迷于網(wǎng)絡(luò)游戲或者網(wǎng)絡(luò)聊天。
5���、時(shí)間控制單元115�,用以根據(jù)用戶時(shí)間控制需求制定相應(yīng)的安全控制策略�����。實(shí)現(xiàn)父母控制功能���,可以控制子女使用寬帶的日期����、時(shí)間�����。
6�、防火墻服務(wù)單元116,其根據(jù)用戶的安全政策控制出入網(wǎng)絡(luò)的信息流�,提供信息安全服務(wù),保障網(wǎng)絡(luò)信息安全����。防火墻作為網(wǎng)絡(luò)安全的第一道防線�,是把內(nèi)部網(wǎng)和公共網(wǎng)分隔的特殊網(wǎng)絡(luò)互連設(shè)備�,可以用于網(wǎng)絡(luò)用戶訪問(wèn)控制、認(rèn)證服務(wù)����、數(shù)據(jù)過(guò)濾等,利用防火墻可以按照安全級(jí)別劃分相應(yīng)安全區(qū)域�。防火墻服務(wù)單元,用戶可以享受相應(yīng)的防火墻安全服務(wù)�。防火墻把用戶的計(jì)算機(jī)和互聯(lián)網(wǎng)進(jìn)行安全隔離,隱藏用戶私人信息�����,只允許用戶需要的應(yīng)用程序和用戶進(jìn)行通信��,在保證用戶的正常使用互聯(lián)網(wǎng)相關(guān)應(yīng)用程序的基礎(chǔ)上�,防止來(lái)自互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊����,過(guò)濾掉垃圾流量,以保證用戶網(wǎng)絡(luò)安全性���、高效性�。
除了上述功能外,本發(fā)明的系統(tǒng)具有良好的可擴(kuò)展性�����,可以根據(jù)運(yùn)營(yíng)商���、用戶的需求增加新的安全服務(wù)項(xiàng)目�����。例如控制網(wǎng)絡(luò)服務(wù)質(zhì)量(quality ofservice�����,簡(jiǎn)稱QoS)�����、流量控制等�����。只要是可以根據(jù)用戶IP實(shí)施的服務(wù)����,都可以適用本發(fā)明。
安全服務(wù)網(wǎng)關(guān)提供了較高性價(jià)比��、方便的和強(qiáng)有力的解決方案來(lái)檢測(cè)����、阻止攻擊,防止不正常使用和改善關(guān)鍵網(wǎng)絡(luò)應(yīng)用的服務(wù)���。它可以很容易安裝在只使用防病毒和內(nèi)容過(guò)濾的現(xiàn)有網(wǎng)絡(luò)環(huán)境���。安全服務(wù)網(wǎng)關(guān)提供高可用性和冗余熱交換電源的支持,它確保運(yùn)營(yíng)商網(wǎng)絡(luò)不間斷的運(yùn)行�����。通過(guò)提供細(xì)粒度的安全策略���,安全服務(wù)網(wǎng)關(guān)支持獨(dú)立的安全區(qū)域和映射到VLAN的策略,能夠?qū)崟r(shí)地自動(dòng)更新攻擊數(shù)據(jù)庫(kù)�����。安全服務(wù)網(wǎng)關(guān)實(shí)時(shí)響應(yīng)服務(wù)器,提供持續(xù)的攻擊庫(kù)更新以保護(hù)網(wǎng)絡(luò)不受病毒���、蠕蟲����、木馬及其他攻擊��,使網(wǎng)絡(luò)隨時(shí)隨地得到安全保護(hù)����。
本發(fā)明根據(jù)認(rèn)證信息,對(duì)用戶提供定制化的服務(wù)���。提供這一服務(wù)的方法是服務(wù)管理模塊通過(guò)HTTP���、HTTPS、Telnet��、SNMP等管理模式���,通過(guò)策略控制自動(dòng)更新安全服務(wù)網(wǎng)關(guān)配置���。
以ADSL用戶為例����,所有ADSL用戶的上行數(shù)據(jù)流(從ADSL用戶出發(fā)���,流向互聯(lián)網(wǎng))��,安全服務(wù)網(wǎng)關(guān)默認(rèn)為“全部進(jìn)行安全檢查”���,這樣最大程度地保護(hù)寬帶運(yùn)營(yíng)商網(wǎng)絡(luò),避免來(lái)自ADSL用戶的對(duì)寬帶運(yùn)營(yíng)商網(wǎng)絡(luò)的破壞����,也可以防止黑客、病毒把ADSL用戶當(dāng)作代理����、跳板進(jìn)行攻擊。因此��,安全服務(wù)模塊的默認(rèn)外出策略是所有ADSL用戶的外出數(shù)據(jù)流都要接受安全檢查�。
安全服務(wù)網(wǎng)關(guān)對(duì)于所有ADSL用戶的默認(rèn)外出策略是免費(fèi)的,目的主要是為了保護(hù)運(yùn)營(yíng)商的網(wǎng)絡(luò)���。但是����,只有訂制了安全服務(wù)的ADSL用戶才有“進(jìn)入安全策略”��,接受安全服務(wù)網(wǎng)關(guān)的保護(hù)�;同時(shí),服務(wù)管理模塊根據(jù)進(jìn)入安全策略和計(jì)費(fèi)服務(wù)器配合對(duì)用戶進(jìn)行安全增值服務(wù)的收費(fèi)����。
根據(jù)ADSL用戶的不同類別,安全服務(wù)網(wǎng)關(guān)能夠應(yīng)用相應(yīng)不同的安全策略來(lái)實(shí)現(xiàn)安全服務(wù)功能�����,達(dá)到不同的安全效果�����。服務(wù)管理模塊可以將定制服務(wù)的用戶的ID映射到相應(yīng)的IP地址���。獲得IP地址之后���,可以從數(shù)據(jù)庫(kù)中提取到該用戶所定制的服務(wù)并把這些服務(wù)綁定到用戶的IP地址上。
對(duì)于下行數(shù)據(jù)流(從互聯(lián)網(wǎng)流向ADSL用戶)���,安全服務(wù)網(wǎng)關(guān)可以根據(jù)用戶的IP地址識(shí)別不同的寬帶用戶��,而后根據(jù)他所定制的服務(wù)產(chǎn)生的服務(wù)策略對(duì)其數(shù)據(jù)流進(jìn)行處理��。當(dāng)然���,對(duì)于沒(méi)有定制服務(wù)的用戶��,安全服務(wù)網(wǎng)關(guān)是不處理其網(wǎng)絡(luò)數(shù)據(jù)流的��。
對(duì)于訂制安全服務(wù)的ADSL用戶����,對(duì)其上行以及下行流量都進(jìn)行安全檢查����,用戶訂制的每一項(xiàng)安全服務(wù),安全服務(wù)網(wǎng)關(guān)都起作用�����,可以全面保護(hù)用戶�。根據(jù)已經(jīng)訂制安全服務(wù)的ADSL用戶的不同接入方式,安全服務(wù)網(wǎng)關(guān)和服務(wù)管理模塊有著不同的具體控制策略���。
每一個(gè)安全策略均基于用戶當(dāng)前分配到的IP地址�,這些IP地址可以是靜態(tài)IP地址����,也可以是動(dòng)態(tài)分配的IP地址。服務(wù)管理模塊可以將每個(gè)用戶所定制的服務(wù)同服務(wù)策略進(jìn)行綁定��,這些服務(wù)策略可以在用戶登錄ADSL寬帶接入系統(tǒng)的時(shí)候添加到安全服務(wù)網(wǎng)關(guān)�����,用戶退出ADSL寬帶接入系統(tǒng)的時(shí)候�����,服務(wù)管理模塊中的服務(wù)解除單元通知安全服務(wù)網(wǎng)關(guān)刪除相應(yīng)服務(wù)策略�����。對(duì)于靜態(tài)IP地址的ADSL用戶�,服務(wù)管理模塊直接根據(jù)ADSL用戶的IP地址以及ADSL用戶具體訂制的安全服務(wù)模塊,綜合控制指令形成相應(yīng)的進(jìn)入安全控制策略�,直接發(fā)送相應(yīng)進(jìn)入安全控制策略給安全服務(wù)模塊,更新其進(jìn)入安全控制策略(安全服務(wù)模塊只更新這一次)�����,這樣固定IP地址的ADSL用戶的進(jìn)入和外出流量均進(jìn)行安全檢查,用戶處于最強(qiáng)的安全防護(hù)之中�。對(duì)于DHCP動(dòng)態(tài)IP地址ADSL用戶的每次重新登錄網(wǎng)絡(luò),服務(wù)管理模塊都需要和認(rèn)證服務(wù)器進(jìn)行通信���,在確定用戶的合法身份后����,根據(jù)用戶此次DHCP得到的IP地址���,再根據(jù)用戶訂制的安全服務(wù)模塊��,綜合控制指令形成相應(yīng)的進(jìn)入安全控制策略����,然后發(fā)送相應(yīng)進(jìn)入安全控制策略給安全服務(wù)模塊��,更新其進(jìn)入安全控制策略���,ADSL用戶每次登陸網(wǎng)絡(luò)如果得到不同的IP地址�,進(jìn)入安全控制策略就需要更新、調(diào)整一次����,這樣動(dòng)態(tài)IP地址的ADSL用戶的進(jìn)入和外出流量均進(jìn)行安全檢查,用戶處于最強(qiáng)的安全防護(hù)之中���。
服務(wù)綁定模塊230的服務(wù)綁定過(guò)程如圖4所示,用戶通過(guò)用戶界面10發(fā)送登陸寬帶請(qǐng)求后�,提交用戶ID以及口令到寬帶接入服務(wù)器(BRAS)20,請(qǐng)求BRAS的認(rèn)證�,BRAS得到用戶ID以及口令后,請(qǐng)求Raduis服務(wù)器30進(jìn)行認(rèn)證請(qǐng)求�����。Raduis認(rèn)證用戶ID以及口令的合法性�����,認(rèn)證成功后��,把認(rèn)證成功信息發(fā)送給BRAS�����,如果認(rèn)證失敗則將失敗信息發(fā)送至用戶。BRAS得到Raduis服務(wù)器的認(rèn)證成功信息后�����,為用戶分配IP地址�,并向Raduis服務(wù)器30發(fā)送計(jì)費(fèi)開始包,Raduis服務(wù)器30得到計(jì)費(fèi)開始包后��,向SSM處理器50發(fā)送用戶信息包(信息包包括用戶ID���,IP地址����,BrasID����,BrasPortNum,用戶類型等)�,SSM處理器50對(duì)Raduis服務(wù)器30發(fā)送來(lái)的用戶信息包進(jìn)行解析,然后根據(jù)該用戶ID在用戶數(shù)據(jù)庫(kù)60中查詢?cè)撚脩粜枰壎ǖ姆?wù)信息�。如果檢索到需要綁定的服務(wù)信息,則將相關(guān)信息發(fā)送給SSM處理器50���,SSM處理器50通過(guò)解析BrasID���,BrasPortNum找到具體服務(wù)器選擇網(wǎng)關(guān)(SSG)40����,然后將具體服務(wù)綁定該用戶所使用的IP上���,從而實(shí)現(xiàn)服務(wù)成功綁定���。
服務(wù)解除綁定流程如圖5所示,當(dāng)用戶退出寬帶系統(tǒng)時(shí)�����,寬帶接入服務(wù)器20向Raduis服務(wù)器30發(fā)送計(jì)費(fèi)結(jié)束包�����,Raduis服務(wù)器得到BRAS發(fā)來(lái)的用戶計(jì)費(fèi)結(jié)束包后�,向SSM處理器50發(fā)送用戶退出系統(tǒng)信息包(信息包包括用戶ID���,IP地址���,BrasId,BrasPortNum,用戶類型等)��,SSM處理器50對(duì)Raduis服務(wù)器發(fā)送來(lái)的用戶信息包進(jìn)行解析��,然后根據(jù)該用戶ID查詢?cè)撚脩粢呀?jīng)綁定的服務(wù)信息��。如果檢索到用戶已經(jīng)綁定的服務(wù)信息��,則將相關(guān)信息發(fā)送給SSM處理器50�,SSM處理器50通過(guò)解析BrasId,BrasPortNum找到具體服務(wù)選擇網(wǎng)關(guān)(SSG)40�����,然后將具體服務(wù)綁定該用戶所使用的IP上���,從而實(shí)現(xiàn)服務(wù)成功綁定�����。如果沒(méi)有檢索到已經(jīng)綁定的服務(wù)信息�����,則自動(dòng)退出�。
對(duì)于沒(méi)有定制安全服務(wù)模塊的ADSL用戶,系統(tǒng)只執(zhí)行安全服務(wù)模塊的默認(rèn)策略(即外出策略)�����,ADSL用戶所有的外出流量都接受安全檢查����,但是對(duì)于進(jìn)入流量不進(jìn)行安全檢查。因此���,沒(méi)有定制安全服務(wù)模塊的ADSL用戶不具備安全服務(wù)模塊的保護(hù)����,隨時(shí)面臨著來(lái)自互聯(lián)網(wǎng)的安全威脅�����。不同的是�����,安全服務(wù)模塊會(huì)避免這些用戶把安全威脅傳染��、傳播到運(yùn)營(yíng)商的網(wǎng)絡(luò)中來(lái)�。
本發(fā)明的寬帶接入安全及控制保障系統(tǒng)可以按照“包月收費(fèi)”,也可以“按次數(shù)收費(fèi)”�����。當(dāng)用戶定制我們系統(tǒng)提供的服務(wù)之后�����,他們可以自行選擇如下的計(jì)費(fèi)方式1.包月收費(fèi)如果用戶選擇這種收費(fèi)模式����,系統(tǒng)會(huì)在設(shè)置所需服務(wù)之后開始按月計(jì)費(fèi)。
2.按次數(shù)收費(fèi)如果用戶選擇按服務(wù)次數(shù)收費(fèi)�����,系統(tǒng)只有在用戶應(yīng)用其已經(jīng)定制的服務(wù)的時(shí)候才開始收費(fèi)����,例如用戶在使用郵件殺毒、抵御DDOS攻擊之后針對(duì)相應(yīng)服務(wù)的類型���、使用次數(shù)計(jì)費(fèi)����。
安全服務(wù)模塊針對(duì)特定用戶的流量采取安全處理措施,它就會(huì)給服務(wù)管理模塊發(fā)送一個(gè)通知��。這樣�,服務(wù)管理模塊就會(huì)在數(shù)據(jù)庫(kù)日志中為這一用戶記錄下相應(yīng)的收費(fèi)記錄。當(dāng)計(jì)費(fèi)的時(shí)候����,只要統(tǒng)計(jì)每一個(gè)“按次數(shù)計(jì)費(fèi)”用戶相應(yīng)的收費(fèi)記錄就可以獲得他們的應(yīng)繳費(fèi)金額。
安全服務(wù)模塊是配置在運(yùn)營(yíng)商的網(wǎng)絡(luò)上面����,它可以阻止寬帶用戶計(jì)算機(jī)發(fā)送的網(wǎng)絡(luò)攻擊、垃圾郵件以及病毒�。這樣,安全服務(wù)模塊可以保護(hù)運(yùn)營(yíng)商的網(wǎng)絡(luò)資源����,使得運(yùn)營(yíng)商的網(wǎng)絡(luò)更有效地為用戶提供服務(wù),從而提高競(jìng)爭(zhēng)力�、獲得更多利潤(rùn)����。
本發(fā)明可以用于任何寬帶接入,請(qǐng)參見圖6對(duì)于WLAN而言��,本發(fā)明的安全服務(wù)模塊100以及服務(wù)管理單元200位于邊界路由器620與無(wú)線接入網(wǎng)關(guān)610之間。通過(guò)IP局域網(wǎng)630與互聯(lián)網(wǎng)640進(jìn)行通信�����。
權(quán)利要求
1.一種寬帶接入安全及控制保障系統(tǒng)�,其特征在于,在寬帶運(yùn)營(yíng)商網(wǎng)絡(luò)中實(shí)現(xiàn)對(duì)特定用戶的安全管理及控制��,包括服務(wù)管理模塊��,其用以接收服務(wù)類型�����,并將該服務(wù)類型與相應(yīng)該用戶網(wǎng)絡(luò)IP綁定��;安全服務(wù)模塊����,其位于該寬帶運(yùn)營(yíng)商的安全服務(wù)網(wǎng)關(guān),根據(jù)該服務(wù)類型對(duì)該用戶網(wǎng)絡(luò)的下行數(shù)據(jù)流進(jìn)行安全檢查及控制�����,以在網(wǎng)絡(luò)邊界處提供實(shí)時(shí)的安全保護(hù)以及控制。
2.如權(quán)利要求1所述的寬帶接入安全及控制保障系統(tǒng)���,其特征在于�����,所述服務(wù)管理模塊還包括用戶數(shù)據(jù)庫(kù)���,其用以存儲(chǔ)用戶數(shù)據(jù);認(rèn)證服務(wù)模塊����,其用以對(duì)用戶身份進(jìn)行認(rèn)證,從而確定其可使用的網(wǎng)絡(luò)服務(wù)�����;及服務(wù)綁定模塊���,其根據(jù)該認(rèn)證結(jié)果���,將通過(guò)認(rèn)證用戶ID標(biāo)識(shí)映射到相應(yīng)的IP地址,根據(jù)該IP地址將相應(yīng)的網(wǎng)絡(luò)服務(wù)與該IP地址綁定���,從而開放相應(yīng)的網(wǎng)絡(luò)服務(wù)給該用戶網(wǎng)絡(luò)��。
3.如權(quán)利要求1或2所述的寬帶接入安全及控制保障系統(tǒng)�����,其特征在于��,所述服務(wù)管理模塊還包括計(jì)費(fèi)服務(wù)模塊��,其記錄用戶網(wǎng)絡(luò)服務(wù)的用量�,并根據(jù)該網(wǎng)絡(luò)服務(wù)用量計(jì)算使用費(fèi)用��。
4.如權(quán)利要求2所述的寬帶接入安全及控制保障系統(tǒng)��,其特征在于����,所述IP地址包括動(dòng)態(tài)分配的IP地址以及靜態(tài)IP地址。
5.如權(quán)利要求1所述的寬帶接入安全及控制保障系統(tǒng)�,其特征在于,所述安全服務(wù)模塊包括病毒檢測(cè)及清除單元���,其用以檢測(cè)并清除網(wǎng)絡(luò)中的病毒���;防攻擊安全服務(wù)單元����,其位于用戶網(wǎng)絡(luò)節(jié)點(diǎn)處�����,用以集中防范網(wǎng)絡(luò)攻擊�����;垃圾郵件過(guò)濾單元�����,其在封賭垃圾郵件發(fā)送者來(lái)源的同時(shí)����,在郵件接收用戶的線路上進(jìn)行過(guò)濾;URL/內(nèi)容過(guò)濾單元����,其可根據(jù)用戶設(shè)定的參數(shù)對(duì)網(wǎng)絡(luò)信息進(jìn)行過(guò)濾;時(shí)間控制單元�����,用以根據(jù)用戶時(shí)間控制需求制定相應(yīng)的安全控制策略;及防火墻服務(wù)單元�����;其根據(jù)用戶的安全政策控制出入網(wǎng)絡(luò)的信息流����,提供信息安全服務(wù)�����,保障網(wǎng)絡(luò)信息安全���。
6.如權(quán)利要求1所述的寬帶接入安全及控制保障系統(tǒng)����,其特征在于����,所述安全服務(wù)模塊還包括對(duì)該用戶網(wǎng)絡(luò)的上行數(shù)據(jù)流進(jìn)行安全檢查,以實(shí)現(xiàn)對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)進(jìn)行安全保護(hù)��。
7.如權(quán)利要求1所述的寬帶接入安全及控制保障系統(tǒng),其特征在于����,所述寬帶網(wǎng)絡(luò)為ADSL網(wǎng)絡(luò),該安全服務(wù)模塊位于該寬帶網(wǎng)絡(luò)的寬帶接入服務(wù)器與邊界路由網(wǎng)絡(luò)之間�����。
8.如權(quán)利要求1所述的寬帶接入安全及控制保障系統(tǒng)�����,其特征在于���,所述寬帶網(wǎng)絡(luò)為ADSL網(wǎng)絡(luò)��,該安全服務(wù)模塊位于寬帶接入服務(wù)器與ADSL局端設(shè)備之間�。
9.如權(quán)利要求1所述的寬帶接入安全及控制保障系統(tǒng)�����,其特征在于�����,所述服務(wù)管理模塊還包括解除綁定模塊,用以解除與該用戶綁定的網(wǎng)絡(luò)安全服務(wù)�。
10.如權(quán)利要求1所述的寬帶接入安全及控制保障系統(tǒng),其特征在于��,所述控制包括時(shí)間控制��、網(wǎng)絡(luò)服務(wù)質(zhì)量控制���、流量控制。
11.一種寬帶接入安全及控制保障方法��,其特征在于��,在寬帶運(yùn)營(yíng)商網(wǎng)絡(luò)中實(shí)現(xiàn)對(duì)特定用戶的安全管理及控制��,該方法包括設(shè)置一服務(wù)管理模塊的步驟��,以接收服務(wù)類型�,并將該服務(wù)類型與相應(yīng)該用戶網(wǎng)絡(luò)綁定;設(shè)置一安全服務(wù)模塊的步驟�����,其位于該寬帶運(yùn)營(yíng)商的安全服務(wù)網(wǎng)關(guān)����,根據(jù)該服務(wù)類型對(duì)該用戶網(wǎng)絡(luò)的下行數(shù)據(jù)流進(jìn)行安全檢查及控制�,以在網(wǎng)絡(luò)邊界處提供實(shí)時(shí)的安全保護(hù)以及控制����。
12.如權(quán)利要求11所述的寬帶接入安全及控制保障方法,其特征在于��,所述設(shè)置一服務(wù)管理模塊的步驟還包括設(shè)置一用戶數(shù)據(jù)庫(kù)的步驟����,其用以存儲(chǔ)用戶數(shù)據(jù);設(shè)置一認(rèn)證服務(wù)模塊的步驟�����,其用以對(duì)用戶身份進(jìn)行認(rèn)證�����,從而確定其可使用的網(wǎng)絡(luò)服務(wù)���;及設(shè)置一服務(wù)綁定模塊的步驟�����,其根據(jù)該認(rèn)證結(jié)果�,將通過(guò)認(rèn)證用戶ID標(biāo)識(shí)映射到相應(yīng)的IP地址,根據(jù)該IP地址將相應(yīng)的網(wǎng)絡(luò)服務(wù)與該IP地址綁定��,從而開放相應(yīng)的網(wǎng)絡(luò)服務(wù)給該用戶網(wǎng)絡(luò)���。
13.如權(quán)利要求11所述的寬帶接入安全及控制保障方法�����,其特征在于,所述設(shè)置一服務(wù)綁定模塊的步驟包括如下步驟步驟1接受輸入的用戶ID標(biāo)識(shí)�,對(duì)用戶身份進(jìn)行認(rèn)證,確定其定制的網(wǎng)絡(luò)安全服務(wù)類型�����;步驟2將該用戶ID標(biāo)識(shí)映射到相應(yīng)的IP地址����,并將該IP地址與該服務(wù)類型綁定后,共同發(fā)送至該寬帶運(yùn)營(yíng)商的安全服務(wù)網(wǎng)關(guān)��;及步驟3更新當(dāng)前該安全服務(wù)網(wǎng)關(guān)的配置��,根據(jù)該安全服務(wù)類型在該寬帶運(yùn)營(yíng)商的安全服務(wù)網(wǎng)關(guān)對(duì)該用戶網(wǎng)絡(luò)的下行數(shù)據(jù)流進(jìn)行安全檢查及實(shí)時(shí)控制。
14.如權(quán)利要求11或12所述的寬帶接入安全及控制保障方法��,其特征在于����,所述設(shè)置一服務(wù)管理模塊的步驟還包括設(shè)置一計(jì)費(fèi)服務(wù)模塊的步驟,其記錄用戶網(wǎng)絡(luò)服務(wù)的用量���,并根據(jù)該網(wǎng)絡(luò)服務(wù)用量計(jì)算使用費(fèi)用�。
15.如權(quán)利要求11或12所述的寬帶接入安全及控制保障方法�����,其特征在于�,所述設(shè)置一安全服務(wù)模塊的步驟包括設(shè)置一病毒檢測(cè)及清除單元的步驟,其用以檢測(cè)并清除網(wǎng)絡(luò)中的病毒���;設(shè)置一防攻擊安全服務(wù)單元的步驟�,其位于用戶網(wǎng)絡(luò)節(jié)點(diǎn)處�,用以集中防范網(wǎng)絡(luò)攻擊;設(shè)置一垃圾郵件過(guò)濾單元的步驟��,其在封賭垃圾郵件發(fā)送者來(lái)源的同時(shí),在郵件接收用戶的線路上進(jìn)行過(guò)濾���;設(shè)置一URL/內(nèi)容過(guò)濾單元的步驟����,其可根據(jù)用戶設(shè)定的參數(shù)對(duì)網(wǎng)絡(luò)信息進(jìn)行過(guò)濾����;設(shè)置一時(shí)間控制單元的步驟,用以根據(jù)用戶時(shí)間控制需求制定相應(yīng)的安全控制策略���;及設(shè)置一防火墻服務(wù)單元的步驟����;其根據(jù)用戶的安全政策控制出入網(wǎng)絡(luò)的信息流�����,提供信息安全服務(wù)����,保障網(wǎng)絡(luò)信息安全���。
16.如權(quán)利要求11所述的寬帶接入安全及控制保障方法����,其特征在于,所述安全服務(wù)類型包括病毒檢測(cè)及清除�、防攻擊安全服務(wù)、垃圾郵件過(guò)濾�、URL/內(nèi)容過(guò)濾、時(shí)間控制����、防火墻服務(wù)、網(wǎng)絡(luò)服務(wù)質(zhì)量控制��、以及流量控制��。
17.如權(quán)利要求13所述的寬帶接入安全及控制保障方法���,其特征在于�,所述設(shè)置一服務(wù)管理模塊的步驟還包括設(shè)置一解除綁定模塊的步驟����,用以解除與該用戶綁定的網(wǎng)絡(luò)安全服務(wù)。
18.如權(quán)利要求17所述的寬帶接入安全及控制保障方法���,其特征在于�,所述解除綁定模塊的步驟包括如下步驟步驟1接受退出寬帶系統(tǒng)的用戶信息包;步驟2解析該用戶信息包����,確定用戶ID標(biāo)識(shí)以及其綁定的網(wǎng)絡(luò)安全服務(wù)類型;及步驟3將綁定在該用戶IP上的服務(wù)解除����。
全文摘要
本發(fā)明涉及一種寬帶接入安全及控制保障系統(tǒng)及其方法,其可在寬帶運(yùn)營(yíng)商網(wǎng)絡(luò)中實(shí)現(xiàn)對(duì)特定用戶的安全管理及控制�����,包括服務(wù)管理模塊以及安全服務(wù)模塊����,服務(wù)管理模塊用以接收服務(wù)類型,并將該服務(wù)類型與相應(yīng)該用戶網(wǎng)絡(luò)IP綁定��,安全服務(wù)模塊位于該寬帶運(yùn)營(yíng)商的安全服務(wù)網(wǎng)關(guān)��,根據(jù)該服務(wù)類型對(duì)該用戶網(wǎng)絡(luò)的上下行數(shù)據(jù)流進(jìn)行安全檢查����,以實(shí)現(xiàn)在匯聚層網(wǎng)絡(luò)邊界處提供實(shí)時(shí)的安全保護(hù)。
文檔編號(hào)H04L12/24GK1571361SQ20041000906
公開日2005年1月26日 申請(qǐng)日期2004年5月9日 優(yōu)先權(quán)日2004年5月9日
發(fā)明者謝漢東 申請(qǐng)人:北京聯(lián)信永益科技有限公司