专利名称:一种管理网络用户访问权限的系统和方法
技术领域:
本发明涉及一种管理网络用户访问权限的系统和方法。
目前人们采用防火墙技术对用户访问进行管理和控制,限制对特定网络站点的访问。防火墙对访问内容的过滤技术,基于对用户网络出口的控制,基本可归结为两种方法一是对所访问的服务器进行过滤。二是对访问路径进行过滤。防火墙技术只能用于防火墙设备或代理服务器,选择将其内部网络用户的IP报文全部做过滤或不做过滤,或选择针对特定IP地址做或不做过滤,其不足之处在于不能根据用户上网身份进行过滤,不能定制不同级别访问的多级卡号,不能实现同一IP地址访问权限的差异,防火墙设置只是针对本防火墙或代理服务器设备配置有效,不能支持用户访问权限的漫游。
发明内容
本发明的目的就是为了解决以上问题,提供一种管理网络用户访问权限的系统和方法,实现同一IP地址访问权限的差异,并且支持上网者访问权限的漫游。
为实现上述目的,本发明提出一种管理网络用户访问权限的系统,包括1)设置于接入网与骨干网之间的用户接入与管理设备,用于截获用户端上传的对具体域名或IP地址的访问请求,并接收用户端发来的卡号;2)用户访问权限管理数据库,用于存储所述用户卡号与用户等级和访问权限的对应关系表;3)可与所述用户接入与管理设备交换信息的业务控制平台,用于根据所述用户访问权限管理数据库中的内容决定是否允许用户的访问请求。
一种管理网络用户访问权限的方法,包括如下步骤A.截获用户(User)发送的用户卡号和浏览某ICP网站的请求报文;B.分析出所述用户请求访问的目的地址和用户卡号;C.根据所述用户卡号和用户访问权限管理数据库的内容,判断是否允许所述用户的所述访问请求;D.如果允许所述用户的所述访问请求,则完成所述用户的所述访问请求的连接,否则丢弃用户的所述访问请求。
作为优选方案,本发明还可以包括以下特征在所述用户接入与管理设备上对每一个所述用户卡号设置用以保存所述用户最近访问过的IP地址的高速缓冲存储器(Cache);在所述业务控制平台上设置保存域名和IP地址的对应关系的高速缓冲存储器(Cache),同时对所述高速缓冲存储器(Cache)中的内容设置为定时刷新用的超时标志。
本发明通过设置用户接入与管理设备和业务控制平台,为每一位上网者分配特定的上网卡号,采用URL(Uniform Resource Locator指定信息位置)过滤技术,根据用户卡号所对应的等级,查询用户访问权限管理数据库,对用户的上网访问请求进行过滤。由于采用了以上的方案,与现有技术比较,本发明对用户访问权限的管理针对上网者,因此可以实现同一IP地址访问权限的差异,也即在同一IP地址持不同的上网卡号上网可以具有不同的访问权限,本发明还能支持上网者访问权限的漫游。本发明可以实现域名和IP的自动对应,当用户直接访问IP地址时也可以进行管理和控制。
图2是本发明过滤用户的DNS请求的流程示意图。
图3是本发明中用户接入与管理设备发送给业务控制平台的私有协议报文的结构框图。
图4是本发明中业务控制平台发送给用户接入与管理设备的私有协议报文的结构框图。
图5是本发明过滤用户的HTTP连接请求的流程示意图。
本发明管理网络用户访问权限的系统见
图1,包括设置于接入网与骨干网之间的用户接入与管理网络设备(简称为用户接入与管理设备)、可以与用户接入与管理设备交互信息的并保存用户相关数据信息的业务控制平台、DNS SERVER(Domain Name Server,域名服务器)。用户(User)通过接入网发送用户卡号和浏览某ICP网站的请求;用户接入与管理设备截获用户的浏览某特定网页的请求后,转发给业务控制平台,业务控制平台根据用户卡号对应的用户等级和用户访问权限管理数据库的内容,决定是否允许该用户的该访问请求;如果允许该用户的该访问请求,则业务控制平台将相关信息转发给用户接入与管理设备,用户接入与管理设备协助该用户通过具有DNS SERVER(Domain NameServer,域名服务器)的骨干网连接所请求的某ICP网站;如果不允许该用户的该访问请求,则该用户的访问请求被业务控制平台丢弃,并通过用户接入与管理设备返回用户不能访问的信息。
业务控制平台是一台运行有相关软件的服务器,能够根据用户卡号和该卡号对应的等级对用户的浏览某特定网页的请求进行过滤,还具有认证和卡号业务定制功能,可以对卡号的合法性和卡号对应的业务等级进行认证,还可以根据用户个性定制所喜爱的访问站点、业务等,还可以定制广告。
业务控制平台具有保存一个以上用户的各种信息(包括用户卡号和该卡号对应等级)的用户访问权限管理数据库,存储所述用户卡号与用户等级和访问权限的对应关系表。用户访问权限管理数据库中可以存储有允许用户访问的域名,也可以存储有允许用户访问的IP地址;用户访问权限管理数据库中还可以存储有不允许用户访问的域名和不允许用户访问的IP地址。
在用户权限已先定义好的情况下,业务控制平台也可以将定义的等级限制下发用户接入与管理设备,此时在用户接入与管理设备上也具有保存一个以上用户的各种信息(包括用户卡号和该卡号对应等级)的用户访问权限管理数据库。由用户接入与管理设备根据卡号等级进行访问权限的控制,这样做可以更节省时间和资源。
在业务控制平台上设置有高速缓冲存储器(Cache),用于存储用户最近访问过的IP地址与域名对照表;该高速缓冲存储器(Cache)被定时刷新。
接入与控制设备上针对每一个用户设置高速缓冲存储器装置(cache),用于存储相应用户最近访问过的IP地址。
用户上网时会出现强制PORTAL要求用户输入卡号。用户上网卡号由用户向发卡运营商购买,根据用户上网卡号用户被分为多个等级,对不同的等级进行不同的限制,用户使用时,由管理员或父卡号在PORTAL(入口)上为其定义等级。
用户浏览网页时,可能会首先发送DNS请求(即通过输入域名的方式请求接入指定网站),此时通过过滤DNS请求即可以达到限制用户上网的目的;但用户也可能直接输入IP地址,而且在用户端还可能存在域名缓存(DNS Cache),其中存有域名与IP地址的对应关系,这样用户端计算机有可能会自动将域名转换成IP地址上传,所以仅过滤DNS请求无法达到完全过滤的目的。下面对这两种情况分别进行分析。
一、当用户通过发送DNS请求发起连接时(即用户输入的是域名),过滤用户的DNS请求的流程见图2,包括如下主要步骤1.用户发送DNS请求(DNS Request)。
2.用户接入与管理设备截获用户的DNS请求后,对DNS请求报文不作任何修改,封装为私有协议,发送给业务控制平台。
私有协议报文的结构见图3,包括UDP报文头、私有协议报文头和用户DNS请求报文共三部分。其中UDP是User Datagram Protocol的缩写,指用户数据报协议。私有协议报文头中包括用户身份信息,例如用户卡号,和用户接入设备编号等信息。
3.业务控制平台收到上述私有协议报文后,将用户的DNS请求报文取出,分析出域名、用户DNS Server的地址,根据用户访问权限管理数据库中的用户的等级查询数据库,根据数据库中的纪录判断是否允许该用户访问该域名。
4.如果用户的DNS请求没有超出用户卡号对应的用户等级的限制,则业务控制平台向DNS Server(域名服务器)发送对这个域名的DNS请求,业务控制平台收到DNS Server的应答后,将应答报文中的目的地址修改为用户的地址,然后把应答报文封装在如图2的私有协议中,发送给用户接入与管理设备,同时刷新本地Cache。业务控制平台也可以先检查Cache和超时标志,Cache缓存中保存用户最近访问过的网站的信息,包括域名与IP地址的对应关系,如果在Cache中找到相关域名和IP地址,即可直接封装为私有协议发给用户接入与管理设备,不需要再去DNSSERVER查询该域名的对应的IP地址,采用Cache缓存可以提高用户访问速度。
包含DNS应答报文的私有协议报文的结构见图4,包括UDP报文头、私有协议报文头和DNS应答报文共三部分。
5.用户接入与管理设备收到上述包含DNS应答报文的私有协议报文后,将DNS应答报文取出并发送给用户。
6.如果用户的DNS请求被用户等级所限制,则该请求被业务控制平台丢弃,用户接入与管理设备自动返回用户的信息为无法访问。
用户接入与管理设备仅对DNS请求进行限制不能完全控制用户的访问,还需要检查HTTP(Hypertext Transfer Protocol,WWW服务程序所用的协议)连接的建立,即对TCP 80(Transfer Control Protocol,传输控制协议)端口的SYN(Synchronize同步)报文进行检查。
二、过滤用户的HTTP连接(SYN)请求(即用户端直接上传具体IP地址的访问请求)的流程见图5,包括如下主要步骤1.用户发起HTTP连接(SYN)时,用户接入与管理设备截获该报文,封装为私有协议,利用私有协议将SYN报文的目的地址和用户卡号转发给业务控制平台,同时检查Cache。
2.业务控制平台收到上述私有协议后,根据用户等级查询数据库,假定数据库中保存的是允许该等级用户访问的IP,如果查询到SYN报文中的目的IP,即表示允许该用户访问该IP,并通过私有协议把查询结果发送给用户接入与管理设备;3.如果业务控制平台查询不到SYN报文中的目的IP,则存在两种可能情况,一个是不允许用户访问这个IP,另一个可能是允许用户访问这个IP,但SYN报文中的目的IP在数据库中是以域名的形式保存的,为了确认是哪一种可能,业务控制平台向DNS Server发起一个DNS指针查询(DNS Pointer Query),利用这个IP地址查询该地址对应的域名,收到DNS指针查询的应答后,根据域名查询数据库,根据查询结果决定是否允许该用户访问该IP。
在实际中存在一个IP地址不存在域名的可能,这种情况下,不会收到DNS指针查询结果,此时可通过超时机制判断,所设置的超时时间小于用户TCP连接建立的超时时间,如果大于用户TCP连接建立的超时时间,用户端将发起新的TCP连接,分析本次连接将无意义。如果超时机制判断一个IP地址不存在域名,除在PORTAL定制的外,则不允许该用户访问该IP。
4.如果业务控制平台的查询结果是允许访问,通过私有协议发送该结果给用户接入与管理设备,用户接入与管理设备根据业务控制平台返回的查询结果,正常转发SYN报文。
5.如果业务控制平台的查询结果是不允许访问,则该请求被丢弃。
数据库中保存的也可以是不允许该等级用户访问的IP,则如果查询到SYN报文中的目的IP,即表示不允许该用户访问该IP,如果查询不到SYN报文中的目的IP,即表示允许该用户访问该IP,并通过私有协议把查询结果发送给用户接入与管理设备。
前面提到,在业务控制平台上有一个Cache,事实上,用户接入与管理设备在TCP 80端口建立连接时,每次都查询SYN报文是否允许访问,而网上TCP连接非常多,这会大大降低转发效率,为了改善这种情况,可以在用户接入与管理设备和业务控制平台上都设置Cache,来提高效率。用户接入与管理设备上对每一个用户卡号设置一个Cache,保存用户最近访问的IP地址(也包括IP地址与域名的对应关系),如果用户下次再访问这些网站,就可以直接由用户接入与管理设备通过查询Cache进行用户权限的判断,由于用户访问一个网站,是连续和这个网站的地址进行TCP连接,这样Cache命中的几率非常的高,可以大大提高效率。
在业务控制平台上设置的Cache中,保存的是域名和IP地址的对应关系。域名和IP地址的对应并不是固定不变的,因此对Cache中的内容设置超时标志,如果Cache中存在域名和IP的对应关系并且超时标志没有置位,就不进行DNS或DNS指针查询,否则进行查询。超时标志是作为定时刷新和及时刷新所用。通过在用户接入与管理设备和业务控制平台上设置两级Cache,可提高过滤性能。
权利要求
1.一种管理网络用户访问权限的系统,其特征是包括1)用户接入与管理设备,用于截获用户端上传的对具体域名或IP地址的访问请求,并接收用户端发来的用户卡号;2)用户访问权限管理数据库,用于存储至少一个所述用户卡号与用户等级和访问权限的对应关系表;3)可与所述用户接入与管理设备交换信息的业务控制平台,用于根据所述用户访问权限管理数据库中的内容决定是否允许用户的访问请求。
2.如权利要求1所述的管理网络用户访问权限的系统,其特征是所述用户接入与管理设备和所述业务控制平台通过私有协议通讯交换信息。
3.如权利要求1或2所述的管理网络用户访问权限的系统,其特征是在业务控制平台上有高速缓冲存储器(Cache),用于存储IP地址与域名对照表;还设置有对高速缓冲存储器(Cache)定时刷新用的超时标志装置。
4.如权利要求1或2所述的管理网络用户访问权限的系统,其特征是所述用户接入与管理设备上有高速缓冲存储器(cache),用于存储用户最近访问过的IP地址和/或域名。
5.一种管理网络用户访问权限的方法,其特征是包括如下步骤A.截获用户(User)发送的用户卡号和浏览某ICP网站的请求报文;B.分析出所述用户请求访问的目的地址和用户卡号;C.根据所述用户卡号和用户访问权限管理数据库的内容,判断是否允许所述用户的所述访问请求;D.如果允许所述用户的所述访问请求,则完成所述用户的所述访问请求的连接,否则丢弃用户的所述访问请求。
6.如权利要求5所述的方法,其特征是所述步骤A是在用户接入与管理设备中进行的;所述步骤B、C是在业务控制平台中进行的;用户接入与管理设备和业务控制平台之间相互发送数据时先封装为私有协议。
7.如权利要求5所述的方法,其特征是所述步骤A、B、C均是在用户接入与管理设备中进行的;该设备中存储有业务控制平台事先定义并下发的对应所述用户卡号的等级限制。
8.如权利要求6所述的方法,其特征是,所述步骤D中所述业务控制平台先向用户的域名服务器(DNS Server)发送所述用户发起的域名服务器请求,并接受所述域名服务器的应答报文;将所述域名服务器的应答报文中的目的地址修改为用户的地址后再封装在所述私有协议中,发送给所述用户接入与管理设备;所述用户接入与管理设备收到包含所述域名服务器的应答报文的私有协议后,将所述域名服务器的应答报文取出并发送给用户。
9.如权利要求6所述的方法,其特征是,所述步骤C中所述业务控制平台先发起一个域名服务器指针查询(DNS Pointer Query),利用所述用户的所述访问请求的目的IP地址查询对应的域名,再根据所述对应域名查询所述用户访问权限管理数据库,并根据查询结果决定是否允许所述用户访问所述目的IP。
10.如权利要求7所述的方法,其特征在于,在所述用户接入与管理设备上对每一个所述用户卡号设置用以保存所述用户最近访问过的IP地址的高速缓冲存储器(Cache)。
11.如权利要求6、8或9所述的方法,其特征在于,在所述业务控制平台上设置保存域名和IP地址的对应关系的高速缓冲存储器(Cache),同时在所述高速缓冲存储器(Cache)中的内容设置定时刷新用的超时标志。
12.如权利要求6所述的方法,其特征在于,用户接入与管理设备发往业务控制平台的私有协议报文包括用户数据报协议(UDP)报文头、私有协议报文头和用户域名服务器(DNS)请求报文,所述私有协议报文头中包括用户卡号,和用户接入设备编号。
13.如权利要求6所述的方法,其特征在于,业务控制平台发往用户接入与管理设备的私有协议报文包括UDP报文头、私有协议报文头和DNS应答报文。
14.如权利要求9所述的方法,其特征在于,所述业务控制平台设置有超时时间小于用户传输控制协议(TCP)连接建立的超时时间的超时机制,如果在所述超时机制限制的超时时间内未获得所述IP地址对应的域名,则不允许该用户访问该IP。
全文摘要
本发明涉及管理网络用户访问权限的系统和方法,可以实现同一IP地址访问权限的差异,支持上网者访问权限的漫游。包括设置于接入网与骨干网之间的用户接入与管理设备、可以与用户接入与管理设备交互信息的业务控制平台、和保存至少一个用户卡号与用户等级和访问权限的对应关系表。用户通过接入网发送用户卡号和浏览某ICP网站的请求;用户接入与管理设备截获用户请求后转发给业务控制平台,业务控制平台根据用户卡号对应的用户等级和用户访问权限管理数据库的内容,决定是否允许该用户请求;如果允许,则业务控制平台将相关信息转发给用户接入与管理设备,完成该连接;否则该访问请求被丢弃,并返回用户不能访问的信息。
文档编号H04L12/24GK1453954SQ0211871
公开日2003年11月5日 申请日期2002年4月22日 优先权日2002年4月22日
发明者王靖宇 申请人:华为技术有限公司