专利名称:宽带网络接入智能控制系统及控制方法
技术领域:
本发明涉及一种针对IP宽带网络的安全和管理的方法及控制系统。
本发明提供一种宽带网络接入智能控制系统,包括双向连接的终端用户计算机、交换机,所述的交换机与internet相连接,其还包括依次与终端用户计算机双向连接的NAS服务器,和对NAS服务器传送过来的用户信息进行认证的RADIUS服务器,所述的NAS服务器根据认证结果控制交换机相应端口是否开放。所述终端用户计算机包括终端用户接口模块,其有两个网络接口,一个网络接口连NAS服务器,另一个网络接口连接被控制的交换机。所述的NAS服务器包括服务器用户接口模块、网络资源访问控制子系统和RADIUS客户端模块,所述的服务器用户接口模块分别与终端用户接口模块、网络资源访问控制子系统、RADIUS客户端模块双向连接。所述RADIUS服务器包括双向连接的RADIUS服务器端模块和认证计费数据库,所述的RADIUS服务器端模块还与RADIUS客户端模块双向连接。
本发明同时提供一种宽带网络接入智能控制方法,包括如下步骤NAS服务器接收终端用户计算机的用户信息,并将该用户信息传送给RADIUS服务器;RADIUS服务器采用RADIUS协议对用户信息进行认证;RADIUS服务器将认证结果传送给NAS服务器;NAS服务器利用简单网络管理协议控制交换机实现访问控制,即控制相应端口是否开放。
采用上述技术方案具备以下优点·认证效率高。将一般用于拨号网络的RADIUS协议运用于以太网中,实现IP宽带网络的认证和计费。结果证明这种尝试是可行的,运行效果很好。
·灵活性好。保留原有网络投资,不用更换交换机即可实现基于端口的认证,将网络访问控制和认证计费功能与交换机功能分离开。
·提高网络性能。一旦用户获得了网络资源的访问权,则不需要通过接入服务器系统就可以直接访问Internet,减轻了系统负担,减少网络性能的损失,避免网络瓶颈的出现;·适用性广。通过SNMP(简单网络管理协议)控制交换机,即通过设置网络设备中SNMP管理信息库的MIB值来实现对交换机端口的状态的控制。因此对于所有支持SNMP的网络设备都适用;采用RADIUS认证服务器有如下优越性RADIUS协议采用UDP数据报,在一定时间内未收到响应后可以马上重发一个UDP报文而不需要关心前一个报文是否到达,这比采用TCP效率高。RADIUS认证协议对认证口令部分采用MD5加密,保护了数据的机密性。RADIUS定义的数据报文比较简单,通常RADIUS中用户的认证信息和配置信息释放在同一个数据库中的,实现的结构简单明了。
图2是终端用户信息提交模块的程序流程图。
图3是服务器的用户接口模块的程序流程图。
图4是服务器的用户接口模块中线程的程序流程图。
图5是RADIUS客户端主程序实现流程。
图6是宽带网络接入智能控制系统的结构示意图。
根据建立的网络系统架构,我们自主开发的功能模块有终端用户计算机1中的终端用户接口模块11,NAS服务器2中的服务器用户接口模块21、网络资源访问控制子系统22和RADIUS客户端模块23。采用Java作为整体开发语言,并选用了高效率的JBuilder软件作为系统开发工具。需要进行安装配置的是RADIUS服务器中的RADIUS服务器端模块和认证计费数据库。下面分别进行详细介绍。1、终端用户接口模块11终端用户计算机1中的终端用户接口模块11的主要功能为与终端用户进行的交互提供用户友好的界面,从中获取用户的用户名和口令等认证信息;返回服务器端接收到的认证响应给终端用户。与服务器用户接口模块进行交互将用户提供的认证信息发送给服务器用户接口模块;等待由服务器用户接口模块传递的认证信息。
终端用户接口模块11的信息提交程序流程如图2所示紧接开始步骤100之后,依次执行如下步骤步骤101,生成面向终端用户的认证界面;步骤102,等侍用户录入信息;步骤103,等侍用户触发按钮事件;步骤104,建立socket连接;步骤105,生成通信字符串;步骤106,发送通信字符串;步骤107,接收响应信息;步骤108,返回响应信息给用户;此时,如果响应信息为“BYE”,则执行步骤110,退出流程;如果响应信息不是“BYE”,则返回执行步骤102。2、服务器用户接口模块21服务器的用户接口模块21的主要功能为与终端用户进行交互接收终端用户提交的用户信息,将认证系统的响应返回给终端用户;与访问控制子系统进行交互根据认证响应向访问控制子系统提出网络资源的控制请求;与认证子系统模块进行交互向认证服务器提交用户信息并接收响应信息。服务器的用户接口模块的程序流程如图3所示在开始步骤200之后,依次执行步骤201,建立ServerSocket侦听;步骤202,等待用户请求;步骤203,生成一个Socket;步骤204,为用户建立一个线程;步骤205,启动线程;再返回执行步骤202,并重复上述步骤。上述步骤中的线程的程序流程图如图4所示在开始步骤2040之后,依次执行步骤2041,建立一个Socket连接;步骤2042,接收终端用户的认证信息;步骤2043,分析终端用户的认证信息;步骤2044,提交用户信息给认证计费子系统;步骤2045,判断用户状态,如果判断结果为上线,则执行步骤2046,判断用户认证是否通过,如果判断结果为是,则执行步骤2047,为用户开放网络资源,然后执行步骤2050,退出流程。如果步骤2046的判断结果为否,则直接执行步骤2050,退出流程。如果步骤2045的判断结果为离线,则执行步骤2048,判断用户认证是否通过,如果判断结果为是,则执行步骤2049,用户正常退出网络资源,然后执行步骤2050,退出流程。如果步骤2048的判断结果为否,则直接执行步骤2050,退出流程。3、网络资源访问控制子系统网络资源访问控制子系统的主要功能是对用户提出的访问申请、批准、执行、撤销全过程进行控制。用户访问控制按事先确定的规则决定一个用户是否有权对某一特定资源的使用或访问。具体到IP宽带接入系统中,主要指在认证的前提下,确保只有合法用户才能合法的访问、使用和配置网络资源,保证网络的通畅和安全运营。
通过对各种访问控制技术的分析和比较,本系统采用多层VLAN+ACL方案作为访问控制实现的主要手段。利用简单网络管理协议(Simple NetworkManagement Protocol,SNMP),控制交换机硬件端口实现访问控制。系统为每一个交换机基于端口进行VLAN划分,每一个端口都是一个单独的VLAN,这样有效的保证了用户信息数据的安全性。同时系统根据访问控制的不同等级划分相应的虚拟子网,只有具备相应访问权限的用户才能访问相应的虚拟局域网并使用相应的网络资源。
本系统访问控制部分的具体实现可分为两个部分(1)接入层交换机端口的控制对接入层交换机端口的控制主要采用了基于端口划分的虚拟局域网技术。系统根据用户认证信息,确定用户的访问权限和要求,配置其相应交换设备端口参数,将其划分到相应的VLAN,使其获得相应合法的权限,使用网络资源访问外部Internet。(2)数据包过滤控制通过访问控制列表ACL实现VLAN间数据包过滤,从而控制VLAN之间的网络通讯安全。4、RADIUS客户端模块23RADIUS客户端模块23主要完成以下功能接受由服务器用户接口模块传递的用户终端发出的信息(用户名和口令等认证请求、要求下线请求等),并将接收到的用户信息发给RADIUS服务器请求认证;接受RADIUS服务器的认证信息,并将认证信息转发给服务器用户接口模块。RADIUS客户端主程序实现流程如图5所示在开始步骤300之后,依次执行步骤301,用户信息录入;步骤302,向服务器端提交用户认证请求;步骤303,判断用户是否通过认证,如果判断结果为是,则依次执行步骤304,授权该用户使用网络资源;步骤305,向服务器端提交计费请求;然后执行步骤306,退出流程。如果步骤303的判断结果为否,则直接执行步骤306,退出流程。5、RADIUS服务器3本系统采用运行于Linux操作系统下的FreeRADIUS 0.2版本。RADIUS服务器软件有许多版本,其中最著名的商业版本是Livingston公司的RADIUS Server。然而现在自由软件FreeRADIUS Server成为了RADIUS开发的新宠。FreeRADIUS服务器与Livingston′s 2.0 Server十分类似,它是Cistron RADIUS服务器的一个变体。但是它的特性远胜于Cistron和Livingston,而且更加容易配置。
FreeRADIUS Server有如下特性√限制每一个用户同时发生的登录数;√多个默认的条目,每个条目都可以随意地登录;√可以基于用户所在的组(huntgroup)对用户进行授权;√当用户通过认证可以执行一个外部程序;√可以作为代理服务器向远程服务器传送请求。
FreeRADIUS Server运行于Linux操作系统下,其安装文件为二进制文件形式,安装前需要编译。其安装过程如下(1)下载FreeRADIUS Server for Linux安装文件。
(2)在Linux下对该安装文件进行解压和安装。
(3)配置RADIUS认证服务器。
本系统的最终实现是以产品化的方式,系统的产品化结构如图6所示终端用户计算机1中安装终端用户接口模块11,NAS服务器2中安装服务器用户接口模块21、网络资源访问控制子系统22和RADIUS客户端模块23,RADIUS服务器3中配置RADIUS服务器端模块31和认证计费数据库32。
终端用户计算机1有两个网络接口,一个网络接口连NAS服务器2(网络访问服务器),另一个网络接口连接被控制的交换机4,该交换机4连接Internet。终端用户只有通过NAS服务器2的认证,被控制的交换机4的相应端口开放,才能访问Internet。
权利要求
1.一种宽带网络接入智能控制系统,包括双向连接的终端用户计算机(1)、交换机(4),所述的交换机(4)与internet相连接,其特征在于,还包括依次与终端用户计算机(1)双向连接的NAS服务器(2),和对NAS服务器(2)传送过来的用户信息进行身份认证的RADIUS服务器(3),所述的NAS服务器(2)根据认证结果控制交换机(4)的相应端口是否开放。
2.根据权利要求1所述的宽带网络接入智能控制系统,其特征在于,所述终端用户计算机(1)包括终端用户接口模块(11),其有两个网络接口,一个网络接口连NAS服务器(2),另一个网络接口连接被控制的交换机(4)。
3.根据权利要求1所述的宽带网络接入智能控制系统,其特征在于,所述的NAS服务器(2)包括服务器用户接口模块(21)、网络资源访问控制子系统(22)和RADIUS客户端模块(23),所述的服务器用户接口模块(21)分别与终端用户接口模块(11)、网络资源访问控制子系统(22)、RADIUS客户端模块(23)双向连接。
4.根据权利要求1所述的宽带网络接入智能控制系统,其特征在于,所述RADIUS服务器(3)包括双向连接的RADIUS服务器端模块(31)和认证计费数据库(32),所述的RADIUS服务器端模块(31)还与RADIUS客户端模块(23)双向连接。
5.一种宽带网络接入智能控制方法,其特征在于,包括如下步骤NAS服务器(2)接收终端用户计算机(1)的用户信息,并将该用户信息传送给RADIUS服务器;RADIUS服务器(3)采用RADIUS协议对用户信息进行身份认证;RADIUS服务器(3)将认证结果传送给NAS服务器(2);NAS服务器(2)利用简单网络管理协议控制交换机(4)实现访问控制,即控制相应端口是否开放。
6.根据权利要求5所述的宽带网络接入智能控制方法,其特征在于,所述的终端用户计算机(1)与NAS服务器(2)之间交互通信执行如下步骤向用户提供友好的界面,通过与终端用户进行交互,从中获取用户名和口令等认证信息;返回服务器端接收到的认证响应给终端用户;与服务器用户接口模块进行交互将用户提供的认证信息发送给服务器用户接口模块;等待由服务器用户接口模块传递的认证信息。
7.根据权利要求5所述的宽带网络接入智能控制方法,其特征在于,所述的NAS服务器执行如下步骤与终端用户进行交互接收终端用户提交的用户信息,将认证系统的响应返回给终端用户;与访问控制子系统进行交互根据认证响应向访问控制子系统提出网络资源的控制请求;与认证子系统模块进行交互向认证服务器提交用户信息并接收响应信息。
8.根据权利要求5所述的宽带网络接入智能控制方法,其特征在于,所述的NAS服务器还执行如下步骤对用户提出的访问申请、批准、执行、撤销全过程进行访问控制。
9.根据权利要求8所述的宽带网络接入智能控制法,其特征在于,所述的访问控制采用多层VLAN+ACL方案。
10.根据权利要求8所述的宽带网络接入智能控制方法,其特征在于,所述的访问控制包括接入层交换机端口的控制及数据包过滤控制。
11.根据权利要求5所述的宽带网络接入智能控制方法,其特征在于,所述NAS服务器还执行如下步骤接受用户终端计算机发出的信息,并将接收到的用户信息发给RADIUS服务器请求认证;接受RADIUS服务器的认证信息,并将认证信息转发给服务器用户接口模块。
全文摘要
本发明提供一种宽带网络接入智能控制系统,包括双向连接的终端用户计算机(1)、交换机(4),所述的交换机(4)与internet相连接,还包括依次与终端用户计算机(1)双向连接的NAS服务器(2),和对NAS服务器(2)传送过来的用户信息进行身份认证的RADIUS服务器(3),所述的NAS服务器(2)根据认证结果控制交换机(4)的相应端口是否开放。采用上述技术方案具备以下优点认证效率高;灵活性好;提高网络性能;适用性广。同时由于采用RADIUS认证服务器有如下优越性在一定时间内未收到响应后可以马上重发一个UDP报文而不需要关心前一个报文是否到达;更好地保护了数据的机密性;实现的结构简单明了。
文档编号H04L12/24GK1455551SQ0312890
公开日2003年11月12日 申请日期2003年5月28日 优先权日2003年5月28日
发明者郭放, 杨焕宇, 李红, 石金华, 蒲芳 申请人:东华大学