專利名稱:一種對用戶進行訪問控制的方法和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡通信技術�����,特別涉及一種對用戶進行訪問控制的方法和系統(tǒng)���。
背景技術:
隨著互聯(lián)網(wǎng)技術的迅猛發(fā)展��,各種互聯(lián)網(wǎng)應用層出不窮���,為我們的工作
和生活帶來極大便利,但與此同時也帶來一些負面影響�����。例如在企業(yè)網(wǎng)絡 中員工使用點對點(P2P��, Pointto Point)應用會占用大量的網(wǎng)絡資源�,不但 對企業(yè)網(wǎng)絡的容量造成壓力,也對其他員工的合法應用造成嚴重影響�;即時 通訊���、網(wǎng)上炒股�、網(wǎng)上購物等上網(wǎng)行為雖然占用的網(wǎng)絡資源不大��,但是會使 得員工的工作效率下降�����;對非法網(wǎng)站的訪問容易感染病毒和蠕蟲,對企業(yè)網(wǎng) 絡造成破壞����;使用Email等應用向外部隨意發(fā)送文件會造成內(nèi)部信息的泄漏 對企業(yè)造成重大損失等等?����?梢钥闯?����,通過訪問控制策略實時地對用戶進行 訪問控制成為目前一個重要的需求����。
現(xiàn)有技術中通過在匯聚交換機與出口路由器之間部署 一 臺控制網(wǎng)關來 實現(xiàn)對用戶的訪問控制,如圖l所示��,用戶上線訪問互聯(lián)網(wǎng)時���,控制網(wǎng)關通 過預先配置的訪問控制策略對用戶進行訪問控制并根據(jù)控制結果輸出審計 報表���。但是,由于控制網(wǎng)關無法獲取用戶信息�,只能基于用戶終端的IP地 址進行訪問控制��,無法與具體的用戶相結合��,由于用戶所采用用戶終端的IP 地址會發(fā)生變化�����,因此���,基于IP地址的訪問控制方式并不能夠滿足實際的 訪問控制需求。
針對上述情況��,目前提出了一種方法在控制網(wǎng)關上實現(xiàn)簡單的認證功 能�����,在對用戶進行認證后獲取用戶信息�,從而結合用戶信息和用戶終端的IP地址實現(xiàn)對用戶的訪問控制。但這種方法需要在控制網(wǎng)關上配置用戶的認證 信息對用戶進行管理���,但通常網(wǎng)絡設備的CPU處理能力較弱,當控制網(wǎng)關 需要管理的用戶數(shù)量較大時����,會對控制網(wǎng)關造成較大的壓力��,會造成控制網(wǎng) 關配置復雜�����,故障率提高��,嚴重時會控制網(wǎng)關的正??刂铺幚?����;并且���,由于 用戶在登錄過程中也需要在用戶網(wǎng)絡中進行認證�����,這種方式顯然會帶來兩次 登錄的問題�����,實現(xiàn)起來較為麻煩����。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提供了一種對用戶進行訪問控制的方法和系統(tǒng)�����,以便 于�����,簡單地實現(xiàn)對用戶的訪問控制�����,且不會對控制網(wǎng)關造成壓力�����。
一種對用戶進行訪問控制的方法���,在接入網(wǎng)絡中預先設置報文分析裝置 和策略管理裝置�,且所述策略管理裝置中配置有用戶信息與訪問控制策略之
間的對應關系��;該方法包括
所述報文分析裝置在用戶登錄過程中獲取用戶信息和用戶所使用終端的IP 地址信息�����,并將獲取的用戶信息和用戶所使用終端的IP地址信息發(fā)送給所述策 略管理裝置�����;
所述策略管理裝置根據(jù)所述用戶信息與訪問控制策略之間的對應關系�, 確定與接收到的用戶信息對應的訪問控制策略信息,并將確定的訪問控制策 略信息和所述用戶所使用終端的IP地址信息發(fā)送給控制網(wǎng)關���,以便控制網(wǎng) 關利用所述訪問控制策略信息對所述用戶所使用終端進行訪問控制��。
一種對用戶進行訪問控制的系統(tǒng)���,該系統(tǒng)包括^^艮文分析裝置和策略管理 裝置,且所述策略管理裝置中配置有用戶信息與訪問控制策略之間的對應關系����;
所述報文分析裝置,用于在用戶登錄過程中獲取用戶信息和用戶所使用終 端的DP地址信息�����,并將獲取的用戶信息和用戶所使用終端的IP地址信息發(fā)送 給所述策略管理裝置��;
所述策略管理裝置,用于根據(jù)所述用戶信息與訪問控制策略之間的對應 關系���,確定與接收到的用戶信息對應的訪問控制策略信息����,并將確定的訪問
6控制策略信息和接收到的所述用戶所使用終端的IP地址信息發(fā)送給控制網(wǎng) 關�����,以便控制網(wǎng)關利用所述訪問控制策略信息對所述用戶所使用終端進行訪
問控制���。
由以上技術方案可以看出��,本發(fā)明通過在接入網(wǎng)中設置報文分析裝置和 策略管理裝置���,其中報文分析裝置在用戶登錄過程獲取用戶信息和用戶所使 用終端的IP地址信息��,并將獲取的用戶信息和用戶所使用終端的IP地址信 息發(fā)送給策略管理裝置����,策略管理裝置根據(jù)預先配置的用戶信息與訪問控制 策略之間的對應關系����,確定與接收到的用戶信息對應的訪問控制策略信息�����, 并將確定的訪問控制策略信息和所述用戶所使用終端的IP地址信息發(fā)送給 控制網(wǎng)關,以便控制網(wǎng)關利用訪問控制策略信息對用戶所使用終端進行訪 問。即通過報文分析裝置和策略管理裝置的配合,實現(xiàn)基于用戶信息的訪問
控制策略下發(fā)��,使得控制網(wǎng)關能夠基于用戶實現(xiàn)訪問控制�;并且��,在策略管 理裝置中實現(xiàn)各用戶的管理,控制網(wǎng)關僅用于進行訪問控制����,將用戶管理和 訪問控制分離,減小了對控制網(wǎng)關造成的壓力�,使得控制網(wǎng)關的配置更加簡 單����。
并且,本發(fā)明基于用戶的訪問控制實現(xiàn)�,只需要在用戶登錄過程中進行 一次認證處理,報文分析裝置和策略管理裝置在用戶登錄過程的一次認證處 理中獲取用戶信息并確定用戶信息對應的訪問控制策略�����,并提供給控制網(wǎng) 關�,使得控制網(wǎng)關不需要通過二次認證來獲取用戶信息,避免了實現(xiàn)過程的麻煩�。
圖1為現(xiàn)有技術中實現(xiàn)用戶訪問控制的示意圖2為本發(fā)明實施例提供的應用于遠程用戶撥號認證系統(tǒng)的組網(wǎng)結構
圖3為本發(fā)明實施例提供的基于圖2所示組網(wǎng)的方法流程圖; 圖4為本發(fā)明實施例提供的應用于域登錄認證組網(wǎng)的結構圖���;圖5為本發(fā)明實施例提供的基于圖4所示組網(wǎng)的方法流程圖; 圖6a為本發(fā)明實施例提供的第一種系統(tǒng)結構圖�����; 圖6b為本發(fā)明實施例提供的第二種系統(tǒng)結構圖��。
具體實施例方式
為了使本發(fā)明的目的、技術方案和優(yōu)點更加清楚,下面結合附圖和具體 實施例對本發(fā)明進行詳細描述��。
本發(fā)明提供的方法在接入網(wǎng)絡中設置報文分析裝置和策略管理裝置���,且 該策略管理裝置中配置有用戶信息與訪問控制策略之間的對應關系;該方法 主要包括報文分析裝置在用戶登錄過程中獲取用戶信息和用戶所使用終端 的IP地址信息�����,并將獲取的用戶信息和用戶所使用終端的IP地址發(fā)送給策 略管理裝置�;策略管理裝置確定與該用戶信息對應的訪問控制策略信息,并 將該訪問控制策略信息和用戶所使用終端的IP地址發(fā)送給控制網(wǎng)關���。
下面分別舉兩個實施例對上述方法進行詳細描述�����。
實施例一對于如圖2所示的遠程用戶撥號認i正系統(tǒng)(RADIUS, Remote Authentication Dial In User Service )的組網(wǎng)結構時,可以在該組網(wǎng)中設置報 文分析裝置和策略管理裝置���,其中��,策略管理裝置中預先配置了用戶信息與 訪問控制策略之間的對應關系�。該方法的實現(xiàn)流程可以如圖3所示,包括以 下步驟
步驟301:用戶通過所使用的終端向認證設備發(fā)送認證請求。
認證請求,該iU正請求中可以包含用戶信息和終端的IP地址信息。例如, 用戶可以通過認證設備推送的Portal頁面輸入用戶名��、登錄標識或用戶密碼 等用戶信息。
或者�,認證請求中僅包含用戶信息和終端的MAC地址信息�,認證設備 利用終端的MAC地址信息進行地址解析協(xié)i義(ARP, Address Resolution Protocol)偵聽或動態(tài)主才幾配置協(xié)i義(DHCP, Dynamic Host ConfigurationProtocol)偵聽���,從而獲取用戶所使用終端的IP地址信息���。
步驟302:認證設備接收到用戶發(fā)送的認證請求后,將終端的IP地址
信息和用戶信息攜帶在RADIUS認證請求中發(fā)送給RADIUS服務器����。 上述兩步驟與現(xiàn)有技術中相同����,在此不再贅述���。
步驟303:認證設備發(fā)送的RADIUS認證請求被前端交換機鏡像發(fā)送給 報文分析裝置。
可以在認證設備和RADIUS服務器所連接的前端交換機上預先配置鏡 像端口��,并配置一條命令,使得認證設備將終端的IP地址信息和用戶信息 攜帶在RADIUS認證請求中后�,除了發(fā)送給RADIUS服務器之外�����,還鏡像 發(fā)送給報文分析裝置。將RADIUS認證請求發(fā)送給RADIUS服務器和報文 分析裝置不存在限定的先后順序�����,可以先后發(fā)送�����,也可以同時發(fā)送。
步驟304: RADIUS服務器接收到RADIUS認證請求后�,根據(jù)其中攜帶 的用戶信息對用戶進行認證��,并在認證成功后�,向RADIUS服務器發(fā)送認證 成功響應。
步驟305:報文分析裝置從接收到的RADIUS認證請求中分析出用戶信 息和用戶所^使用終端的IP地址�����。
步驟301�����、 302和304是用戶在接入網(wǎng)絡之前的登錄過程,報文分析裝 置在該登錄過程中采用抓包的形式獲取RADIUS認證請求來分析用戶信息 和用戶所使用終端的IP地址����。或者,報文分析裝置還可以在登錄過程中通 過獲取計費請求報文或計費更新報文等來分析用戶信息和用戶所使用終端 的IP地址�����。通常將認證請求���、計費請求或計費更新請求等在登錄過程中的 報文統(tǒng)稱為認證計費報文�。
步驟306:將分析出的用戶信息和用戶所使用終端的IP地址發(fā)送給策 略管理裝置�。
步驟307:策略管理裝置存儲接收到的用戶信息和用戶所使用終端的IP 地址之間的對應關系����,并確定用戶信息對應的訪問控制策略�。
步驟308:策略管理裝置將確定的訪問控制策略與用戶所使用的終端的IP地址發(fā)送給控制網(wǎng)關�,以便控制網(wǎng)關根據(jù)該訪問控制策略對用戶所使用的終端對互聯(lián)網(wǎng)的訪問進4亍控制。
在本發(fā)明中涉及的訪問控制策略可以包括但不限于URL過濾策略、應用控制策略����、關鍵字過濾策略等�。在策略管理裝置中配置的用戶信息和訪問控制策略之間的對應關系中,訪問控制策略可以采用策略類型和策略標識對(type, ID)等形式標識�����,在確定用戶信息對應的訪問控制策略后,將該策略的(type, ID)發(fā)送給控制網(wǎng)關��。在策略管理裝置上可以不配置各訪問控制策略的具體內(nèi)容��,而僅配置(type, ID),而在控制網(wǎng)關上配置各(type����,ID)所對應訪問控制策略的具體內(nèi)容�����,控制網(wǎng)關接收到(type, ID)后可以確定采用的具體訪問控制策略內(nèi)容���。
由于對于一個用戶可能會通式采用多個訪問控制策略,因此����,策略管理裝置在發(fā)送給控制網(wǎng)關的一個IP地址可能會對應多個(type, ID)的集合。
控制網(wǎng)關接收到訪問控制策略與用戶所使用的終端的IP地址后����,將兩者的對應關系存儲在控制網(wǎng)關的數(shù)據(jù)庫中,用戶使用終端對互聯(lián)網(wǎng)進行訪問時�����,控制網(wǎng)關可以才艮據(jù)該終端的IP地址采用該IP地址對應的訪問控制策略對該用戶所使用的終端進行訪問控制。
另外,如果用戶初次登錄,則按照上述流程執(zhí)行����。用戶下線后,策略管理裝置保留存儲的用戶信息和IP地址之間的對應關系���。如果用戶下線后再次登錄�,如果用戶所使用終端的IP地址發(fā)生變化��,則策略管理裝置重新下發(fā)控制策略和用戶所使用終端的IP地址給控制網(wǎng)關����;如果用戶所使用終端的IP地址不發(fā)生變化��,則策略管理裝置可以不下發(fā)控制策略和用戶所使用終端的IP地址給控制網(wǎng)關��。即在步驟306和步驟307之間,還可以進一步包括策略管理裝置判斷接收到的用戶信息是否已經(jīng)包含在自身存儲的對應關系中�,如果否�,則繼續(xù)執(zhí)行步驟307;如果是����,則進一步判斷自身存儲的該用戶信息對應的IP地址是否和接收到的IP地址相同,如果是,則不執(zhí)行步驟307和步驟308���,否則,策略管理裝置利用接收到的用戶信息和IP地址信息更新存儲的對應關系�����,并向控制網(wǎng)關發(fā)送訪問控制策略和當前的IP地址信息����。
實施例二對于圖4所示的域登錄認證組網(wǎng)結構中,同樣在該組網(wǎng)中設置報文分析裝置和策略管理裝置����。其中���,策略管理裝置中預先配置了用戶信息與訪問控制策略之間的對應關系����。該方法的實現(xiàn)流程可以如圖5所示,包括以下步驟
步驟501:用戶通過所使用的終端向域控制器發(fā)送包含用戶信息和終端IP地址信息的域登錄請求�。
步驟502:域控制器接收到域登錄請求后�,利用該域登錄請求中的用戶信息進行認證���,并且該域登錄請求被前端交換機重定向到報文分析裝置�。
可以在域控制器和報文分析裝置連接的前端交換機上預先配置鏡像端口,并配置一條命令��,接收到域登錄請求后將該登錄請求通過預先配置的鏡像端口重定向到報文分析裝置。
步驟503:域控制器在認證成功后向用戶所使用的終端回復認證成功響應。
以上過程是用戶在接入網(wǎng)絡之前的登錄過程����,與現(xiàn)有技術相同,在此不
再贅述���。
步驟504:報文分析裝置從接收到的域登錄請求中分析出用戶信息和用戶所-使用終端的IP地址。
步驟505:報文分析裝置將分析出的用戶信息和用戶所使用的終端的IP地址發(fā)送策略管理裝置���。
步驟506:策略管理裝置存儲接收到的用戶信息和用戶所使用終端的IP地址之間的對應關系���,并確定用戶信息對應的訪問控制策略�。
步驟507:策略管理裝置將確定的訪問控制策略與用戶所使用的終端的IP地址發(fā)送給控制網(wǎng)關���,以便控制網(wǎng)關根據(jù)該訪問控制策略對用戶所使用的終端對互聯(lián)網(wǎng)的訪問進行控制。
同樣���,在本發(fā)明中涉及的訪問控制策略可以包括但不限于URL過濾
策略、應用控制策略�、關鍵字過濾策略等�����。在策略管理裝置中配置的用戶信
ii息和訪問控制策略之間的對應關系中�,訪問控制策略可以采用策略類型和策
略標識對(type��, ID)等形式標識��,在確定用戶信息對應的訪問控制策略后�����,將該策略的(type, ID)發(fā)送給控制網(wǎng)關�。在策略管理裝置上可以不配置各訪問控制策略的具體內(nèi)容��,而僅配置(type, ID),而在控制網(wǎng)關上配置各(type, ID)所對應訪問控制策略的具體內(nèi)容,控制網(wǎng)關接收到(type, ID)后可以確定采用的具體訪問控制策略內(nèi)容�。
由于對于一個用戶可能會通式采用多個訪問控制策略,因此��,策略管理裝置在發(fā)送給控制網(wǎng)關的一個IP地址可能會對應多個(type, ID)的集合���。
控制網(wǎng)關接收到訪問控制策略與用戶所使用的終端的IP地址后��,將兩者的對應關系存儲在控制網(wǎng)關的數(shù)據(jù)庫中���,用戶使用終端對互聯(lián)網(wǎng)進行訪問時,控制網(wǎng)關可以才艮據(jù)該終端的IP地址采用該IP地址對應的訪問控制策略對該用戶所使用的終端進行訪問控制�����。
同樣�,如果用戶初次登錄,則按照上述流程執(zhí)行�。用戶下線后,策略管理裝置保留存儲的用戶信息和IP地址之間的對應關系����。如果用戶下線后再次登錄�,如果用戶所使用終端的IP地址發(fā)生變化�����,則策略管理裝置重新下發(fā)控制策略和用戶所使用終端的IP地址給控制網(wǎng)關�;如果用戶所使用終端的IP地址不發(fā)生變化,則策略管理裝置可以不下發(fā)控制策略和用戶所使用終端的IP地址給控制網(wǎng)關����。即在步驟505和步驟506之間���,還可以進一步包括策略管理裝置判斷接收到的用戶信息是否已經(jīng)包含在自身存儲的對應關系中���,如果否,則繼續(xù)執(zhí)行步驟307;如果是�����,則進一步判斷自身存儲的該用戶信息對應的IP地址是否和接收到的IP地址相同�����,如果是,則不執(zhí)行步驟506和步驟507,否則���,策略管理裝置利用接收到的用戶信息和IP地址信息更新存儲的對應關系�,并向控制網(wǎng)關發(fā)送新的訪問控制策略和IP地址信息����。
本發(fā)明除了可以應用于以上兩個實施例的認證協(xié)議之外,還可以應用于輕量目錄^方問切�����、i義(LDAP���, Lightweight Directory Access Protocol)等其他
認證協(xié)議�。
12以上是對本發(fā)明所提供的方法進行的詳細描述��,下面對本發(fā)明所提供的系
統(tǒng)進行詳細描述�。圖6a為本發(fā)明實施例提供的系統(tǒng)結構圖,如圖6所示����,該系統(tǒng)包括報文分析裝置601和策略管理裝置602,且策略管理裝置602中配置有用戶信息與訪問控制策略之間的對應關系。
其中�,報文分析裝置601����,用于在用戶登錄過程中獲取用戶信息和用戶所使用終端的IP地址信息���,并將獲取的用戶信息和用戶所使用終端的IP地址信息發(fā)送給策略管理裝置602���。
策略管理裝置602,用于根據(jù)用戶信息與訪問控制策略之間的對應關系����,確定與接收到的用戶信息對應的訪問控制策略信息,并將確定的訪問控制策略信息和接收到的用戶所使用終端的IP地址信息發(fā)送給控制網(wǎng)關���,以便控制網(wǎng)關利用訪問控制策略信息對用戶所使用終端進行訪問控制。
對應于不同的認證協(xié)議�,該系統(tǒng)可以包括不同的組成結構,對應于RADIUS認證協(xié)議����,該系統(tǒng)還可以包括第一前端交換才幾603,用于將認證設備在用戶登錄過程中發(fā)送給RADIUS服務器的認證計費報文鏡像發(fā)送給報文分析裝置601����。
報文分析裝置601用于通過認證計費報文獲取用戶信息和用戶所使用終端的IP地址信息�。
此時對應的組網(wǎng)結構可以如圖2所示���。其中的認證計費才艮文可以是認證設備603發(fā)送給RADIUS服務器的RADIUS認證請求�、計費請求或計費更新請求�����。
當對應于域登錄認證協(xié)議時,該系統(tǒng)的結構可以如圖6b所示��,此時該系統(tǒng)還可以包括第二前端交換機604��,用于將將用戶所使用終端在用戶登錄過程中發(fā)送的域登錄報文重定向到報文分析裝置601����。
報文分析裝置601通過域登錄報文獲取用戶信息和用戶所使用終端的IP地址信息��。
此時的組網(wǎng)結構可以如圖4所示����。
另外,策略管理裝置602��,還可以用于存儲接收到的用戶信息和用戶所使用終端的IP地址信息之間的對應關系�����,并在接收到用戶信息和用戶所使用終端
13的IP地址信息之后,判斷自身存儲的用戶信息和用戶所使用終端的IP地址信息之間的對應關系中是否已經(jīng)包含接收到的用戶信息��,如果否�����,則繼續(xù)執(zhí)行確
定與接收到的用戶信息對應的訪問控制策略信息的操作���;如果是����,則進一步判
斷存儲的對應關系中���,接收到的用戶信息對應的IP地址信息是否與接收到的用
戶所使用終端的IP地址信息相同����,如果是�����,則結束操作���;否則�,繼續(xù)執(zhí)行確定與接收到的用戶信息對應的訪問控制策略信息的操作���,并利用接收到的用戶所使用終端的IP地址信息更新策略管理裝置存儲的用戶信息和用戶所使用終端的IP地址信息之間的對應關系�。
另外��,該系統(tǒng)還可以包括控制網(wǎng)關605,用于存儲接收到的訪問控制策略信息和用戶所使用終端的IP地址信息之間的對應關系�,并在用戶所使用終端對互聯(lián)網(wǎng)進行訪問時,才艮據(jù)用戶所使用終端的IP地址確定對應的訪問控制策略��,并利用確定的訪問控制策略對用戶所使用終端進行訪問控制�����。
上述系統(tǒng)中的報文分析裝置601和策略管理裝置602可以分別設置為獨立的裝置���,也可以設置在RADIUS服務器或域控制器中�����。
由以上描述可以看出�����,本發(fā)明提供的方法和系統(tǒng)與現(xiàn)有技術相比���,具有以下優(yōu)點
1)本發(fā)明通過在接入網(wǎng)中設置報文分析裝置和策略管理裝置�,其中報文分析裝置在用戶登錄過程獲取用戶信息和用戶所使用終端的IP地址信息����,并將獲取的用戶信息和用戶所使用終端的IP地址信息發(fā)送給策略管理裝置,策略管理裝置根據(jù)預先配置的用戶信息與訪問控制策略之間的對應關系���,確定與接收到的用戶信息對應的訪問控制策略信息���,并將確定的訪問控制策略信息和所述用戶所使用終端的IP地址信息發(fā)送給控制網(wǎng)關,以便控制網(wǎng)關利用訪問控制策略信息對用戶所使用終端進行訪問��。即通過報文分析裝置和策略管理裝置的配合����,實現(xiàn)基于用戶信息的訪問控制策略下發(fā),使得控制網(wǎng)關能夠基于用戶實現(xiàn)訪問控制��;并且���,在策略管理裝置中實現(xiàn)各用戶的管理��,控制網(wǎng)關僅用于進行訪問控制���,將用戶管理和訪問控制分離,減小了對控制網(wǎng)關造成的壓力�,使得控制網(wǎng)關的配置更加簡單。2) 本發(fā)明基于用戶的訪問控制實現(xiàn)����,只需要在用戶登錄過程中進行一 次認證處理,報文分析裝置和策略管理裝置在用戶登錄過程的一次認證處理 中獲取用戶信息并確定用戶信息對應的訪問控制策略�,并提供給控制網(wǎng)關, 使得控制網(wǎng)關不需要通過二次認證來獲取用戶信息�����,避免了實現(xiàn)過程的麻煩�����。
3) 由于控制網(wǎng)關無需參與認證過程��,使得控制網(wǎng)關可以按照原有的位
置進行部署���,避免了給網(wǎng)絡部署帶來的麻煩��。
4) 由于控制網(wǎng)關僅需要根據(jù)接收到的訪問控制策略和用戶所使用終端 的IP地址進行訪問控制操作��,無需在控制網(wǎng)關上進行大量訪問控制策略管 理信息的配置����,因此,可以實現(xiàn)策略管理裝置對控制網(wǎng)關的統(tǒng)一管理�,而不 需登錄到每臺控制網(wǎng)關上進行逐一配置。
以上所述僅為本發(fā)明的較佳實施例而已��,并不用以限制本發(fā)明���,凡在本 發(fā)明的精神和原則之內(nèi)�,所做的任何修改�����、等同替換�����、改進等���,均應包含在 本發(fā)明保護的范圍之內(nèi)�。
1權利要求
1、一種對用戶進行訪問控制的方法���,其特征在于,在接入網(wǎng)絡中預先設置報文分析裝置和策略管理裝置�����,且所述策略管理裝置中配置有用戶信息與訪問控制策略之間的對應關系�;該方法包括所述報文分析裝置在用戶登錄過程中獲取用戶信息和用戶所使用終端的IP地址信息,并將獲取的用戶信息和用戶所使用終端的IP地址信息發(fā)送給所述策略管理裝置����;所述策略管理裝置根據(jù)所述用戶信息與訪問控制策略之間的對應關系,確定與接收到的用戶信息對應的訪問控制策略信息�,并將確定的訪問控制策略信息和所述用戶所使用終端的IP地址信息發(fā)送給控制網(wǎng)關,以便控制網(wǎng)關利用所述訪問控制策略信息對所述用戶所使用終端進行訪問控制����。
2、 根據(jù)權利要求1所述的方法��,其特征在于���,所述報文分析裝置在用戶登 錄過程中獲取用戶信息和用戶所使用終端的IP地址信息具體包括所述接入網(wǎng) 絡中前端交換機將認證設備在用戶登錄過程中發(fā)送給遠程用戶撥號認證系統(tǒng) RADIUS服務器的認證計費報文鏡像發(fā)送給所述報文分析裝置����,所述報文分析 裝置通過所述認證計費報文獲取所述用戶信息和用戶所使用終端的IP地址信 息;或者�����,所述接入網(wǎng)絡中的前端交換機將所述用戶所使用終端在用戶登錄過程中發(fā) 送給域控制器的域登錄報文重定向到所述報文分析裝置����;所述報文分析裝置通 過所述域登錄報文獲取所述用戶信息和用戶所使用終端的IP地址信息。
3���、 根據(jù)權利要求2所述的方法�,其特征在于�,所述認證計費報文包括 RADIUS認證請求、計費請求或計費更新請求����。
4、 根據(jù)權利要求1所述的方法��,其特征在于���,該方法還包括所述策略管 理裝置存儲接收到的用戶信息和用戶所使用終端的IP地址信息之間的對應關 系�;在所述確定與接收到的用戶信息對應的訪問控制策略信息之前還包括所述策略管理裝置判斷自身存儲的所述用戶信息和用戶所使用終端的IP地址信 息之間的對應關系中是否已經(jīng)包含所述接收到的用戶信息,如果否�����,則繼續(xù)執(zhí) 行所述確定與接收到的用戶信息對應的訪問控制策略信息���;如果是,則進一步 判斷存儲的所述對應關系中所述接收到的用戶信息對應的IP地址信息是否與接收到的所述用戶所使用終端的IP地址信息相同���,如果是����,則結束流程�;否貝'J, 繼續(xù)執(zhí)行所述確定與接收到的用戶信息對應的訪問控制策略信息�,并利用接收 到的所述用戶所使用終端的IP地址信息更新所述策略管理裝置存儲的所述用 戶信息和用戶所使用終端的IP地址信息之間的對應關系。
5�、 根據(jù)權利要求1至4任一權項所述的方法,其特征在于�����,該方法還包括 所述控制網(wǎng)關存儲接收到的所述訪問控制策略信息和所述用戶所使用終端的IP 地址信息之間的對應關系,所述用戶所使用終端對互聯(lián)網(wǎng)進行訪問時����,所述控 制網(wǎng)關根據(jù)所述用戶所使用終端的IP地址確定對應的訪問控制策略,并利用確 定的訪問控制策略對所述用戶所使用終端進行訪問控制����。
6、 一種對用戶進行訪問控制的系統(tǒng)�,其特征在于,該系統(tǒng)包括報文分析 裝置和策略管理裝置�,且所述策略管理裝置中配置有用戶信息與訪問控制策略 之間的對應關系;所述報文分析裝置��,用于在用戶登錄過程中獲取用戶信息和用戶所使用終 端的IP地址信息��,并將獲取的用戶信息和用戶所使用終端的IP地址信息發(fā)送 給所述策略管理裝置�;所述策略管理裝置,用于根據(jù)所述用戶信息與訪問控制策略之間的對應關 系�����,確定與接收到的用戶信息對應的訪問控制策略信息���,并將確定的訪問控制 策略信息和接收到的所述用戶所使用終端的IP地址信息發(fā)送給控制網(wǎng)關���,以便 控制網(wǎng)關利用所述訪問控制策略信息對所述用戶所使用終端進行訪問控制���。
7、 根據(jù)權利要求6所述的系統(tǒng)���,其特征在于����,該系統(tǒng)還包括第一前端交 換機��,用于將認證設備在用戶登錄過程中發(fā)送給RADIUS服務器的認證計費報 文鏡像發(fā)送給所述報文分析裝置�����;所述報文分析裝置用于通過所述認證計費報文獲取所述用戶信息和用戶所使用終端的IP地址信息�����。
8���、 根據(jù)權利要求6所述的系統(tǒng),其特征在于���,該系統(tǒng)還包括第二前端交換機�����,用于將所述用戶所使用終端在用戶登錄過程中發(fā)送給域控制器的域登錄報文重定向到所述報文分析裝置�;所述報文分析裝置通過所述域登錄報文獲取所述用戶信息和用戶所使用終 端的IP地址信息。
9�、 根據(jù)權利要求6所述的系統(tǒng),其特征在于����,所述策略管理裝置,還用于 存儲接收到的所述用戶信息和所述用戶所使用終端的IP地址信息之間的對應 關系�����,并在接收到所述用戶信息和所述用戶所使用終端的IP地址信息之后����,判 斷自身存儲的所述用戶信息和用戶所使用終端的IP地址信息之間的對應關系 中是否已經(jīng)包含所述接收到的用戶信息,如果否����,則繼續(xù)執(zhí)行所述確定與接收 到的用戶信息對應的訪問控制策略信息的操作;如果是,則進一步判斷存儲的 所述對應關系中�����,所述接收到的用戶信息對應的IP地址信息是否與接收到的所 述用戶所使用終端的IP地址信息相同����,如果是,則結束操作�;否則,繼續(xù)執(zhí)行 所述確定與接收到的用戶信息對應的訪問控制策略信息的操作���,并利用接收到 的所述用戶所使用終端的IP地址信息更新所述策略管理裝置存儲的所述用戶 信息和用戶所使用終端的IP地址信息之間的對應關系���。
10、 根據(jù)權利要求6至9任一權項所述的系統(tǒng)�����,其特征在于�,該系統(tǒng)還包 括控制網(wǎng)關�,用于存儲接收到的所述訪問控制策略信息和所述用戶所使用終 端的IP地址信息之間的對應關系,并在所述用戶所使用終端對互聯(lián)網(wǎng)進行訪問 時��,根據(jù)所述用戶所使用終端的IP地址確定對應的訪問控制策略,并利用確定 的訪問控制策略對所述用戶所使用終端進行訪問控制�����。
全文摘要
本發(fā)明提供了一種對用戶進行訪問控制的方法和系統(tǒng)�,在接入網(wǎng)絡中預先設置報文分析裝置和策略管理裝置,且策略管理裝置中配置有用戶信息與訪問控制策略之間的對應關系���;報文分析裝置在用戶登錄過程中獲取用戶信息和用戶所使用終端的IP地址信息�����,并將獲取的用戶信息和用戶所使用終端的IP地址信息發(fā)送給策略管理裝置�����;策略管理裝置根據(jù)配置的對應關系���,確定與接收到的用戶信息對應的訪問控制策略信息,并將確定的訪問控制策略信息和用戶所使用終端的IP地址信息發(fā)送給控制網(wǎng)關�����,以便控制網(wǎng)關利用訪問控制策略信息對用戶所使用終端進行訪問控制��。本發(fā)明能夠更加簡單地實現(xiàn)對用戶的訪問控制,且不會對控制網(wǎng)關造成壓力��。
文檔編號H04L29/06GK101465856SQ20081024745
公開日2009年6月24日 申請日期2008年12月31日 優(yōu)先權日2008年12月31日
發(fā)明者喬肖桉 申請人:杭州華三通信技術有限公司