专利名称:网络资源共享的实现方法和系统的制作方法
技术领域:
本发明涉及通信领域,更具体地涉及一种网络资源共享的实现方法和系统。
背景技术:
INTERNET已经成为现代生活的一部分,人们越来越离不开INTERNET。人们可以通过办公室、公共场所/热点、宾馆或者家庭的宽带基础设施,接入INTERNET,以获得信息,进行交流,以及完成相关的工作任务或者其他各种网络操作,如网络游戏,等等。图I是典型的网络连接示意图。为简化起见,企业网络,可以是有关企业/事业单位的内部网络,宾馆的内部网络,以及热点地区网络,例如机场网络/茶社或者咖啡厅等等的提供网络接入的网络等,是一个统称,而不仅仅限定为企业的内部网络。
由于基础设施的建设水平,以及管理理念等方面的原因,目前的INTERNET接入,还受到一定的限制,或者说,普遍的网络接入目标,还没有实现。当然,这一方面有网络覆盖范围的限制、技术实现方面的问题;同时,在网络管理的思路/理念上,也有一定的限制。例如,在客户拜访一个企业时,一般而言,出于网络安全/信息保密等等方面的考虑,被拜访的企业不会为该用户提供网络连接,特别是偶尔拜访的客户。或者,仅仅通过网络隔离措施,提供基本的INTERNET连接。在这种情况下,客户的网络使用,受到比较大的限制,一方面在大多数情况下,根本是无网络可用,被访问的企业不提供这种功能;或者,仅仅可以访问INTERNET。而比较理想的情况是,客户通过拜访企业提供的网络连接,不仅可以接入其所属的自己的企业网络,同时也可以访问拜访企业的可以访问的网络部分,当然,这是由于工作的需要进行信息/资料交流所需要的网络访问。图2是典型的为客户提供INTERNET连接的网络示意图。如图2所示,网络需要进行专门的设计,主要是要满足网络安全的要求。客户只能在客户区,例如会客室/大堂,使用为他们专设的网络,且只可以访问INTERNET,而不可以访问网络的其他部分,当然,其他网络部分,也不可以访问客户的设备。这对大型企业,有比较大的空间(办公区域),以及有比较好的IT服务及网络管理的能力,才是可行的。而对小的公司或者小型网络,要实现这样的功能,还是有不小的代价的。甚至连基本的隔离措施,往往也是难以实现的。进一步,在另外的情况下,用户可以通过公共宽带接入网络,通过特定的程序,一般是拨号程序,接入其所属企业的网络。这一般是通过L2TP(Layer2Tunneling Protocol,第二层隧道协议)来实现。需要宽带业务提供商支持有关的功能;或者通过获得普通的INTERNET连接后,客户再通过IPsec等连接,建立和自己企业网络的连接,实现信息交互。图3,是典型的宽带拨号用户,接入企业网络的连接示意图。一般而言,这个网络连接的带宽会受到一定的限制,可能会影响到用户的使用效率。而且网络部署中需要比较多的功能,例如BRAS (BroadbandRemote Access Server,宽带接入服务器)的功能需求,用户的客户端软件的功能需求,等等。而且,这种功能也不是一种普遍的服务,而且相对成本也比较高。
目前比较普遍的做法是,用户在获得INTERNET接入后,通过企业的独特的程序,再远程拨号进入企业网络。但是,这种网络使用的功能往往是有限的,即用户并不能获得比较全面的企业内部资源的使用。随着网络技术和应用的发展,和网络部署的越来越普遍,以及在云计算发展的大的背景下,企业通过将自己的IT功能外包给第三方,或者租用云计算业务提供商的业务,来实现自己的IT功能的情况下,共享网络资源,提供普遍的网络连接,将是未来网络建设的一个重要需求。特别是在一些中小型企业的网络,本身就是基于云计算/网络业务提供商实现的情况下,更为发展共享接入的方案提供一定的技术支持和优势
发明内容
本发明要解决的技术问题是提供一种网络资源共享的实现方法和系统,以解决现有企业网络中无法实现网络资源共享的问题。为解决以上技术问题,本发明提供了一种网络资源共享的实现方法,适用于包括第一企业网络和第二企业网络的网络环境,所述第一企业网络和第二企业网络包括接入设备,该方法包括用户设备接入第一企业网络的接入设备,认证系统对所述用户设备的用户进行第一企业网络接入认证;若第一企业网络接入认证失败,认证系统对所述用户设备的用户进行网络资源共享接入认证;网络资源共享接入认证通过后,所述认证系统将用户设备的接入位置信息、用户的网络资源共享需求信息以及需接入网络的网络接入信息通知相应的业务网关;所述业务网关根据所述接入位置信息、网络资源共享需求信息以及需要接入的网络信息实现资源共享。进一步地,所述接入位置信息、网络资源共享需求信息和需接入网络的网络接入信息是预先配置的或在所述认证系统通知所述业务网关前,认证系统和用户设备交互获得,所述用户的网络资源共享需求信息包括用于表明需要接入因特网或第二企业网络的信息;实现资源共享指,所述用户设备通过第一企业网络的接入设备以及业务网关实现到因特网的网络连接,或者实现到第二企业网络的网络连接。进一步地,所述网络资源共享接入认证前,所述认证系统获取所述用户设备的接入位置信息,并根据所述用户设备的接入位置信息确定相应的业务网关,所述接入位置信息包括接入设备和/或业务网关的地址或编号。进一步地,由用户或由接入设备在检测到接口链路连接状态改变或接入用户改变时向所述认证系统发起对所述用户设备的用户进行第一企业网络接入认证,所述接入设备在用户通过认证前,禁止用户设备进行业务通信或仅仅处理与认证有关的协议报文。进一步地,所述需接入网络的网络接入信息包括所述需接入网络的VLAN信息和该VLAN的接入接口信息和/或虚拟接口信息;在所述网络资源共享需求信息表明需要接入因特网时,所述业务网关实现资源共享包括所述业务网关在所述业务网关和第一企业网络的接入设备的接入接口之间生成VLAN,所述业务网关实现因特网的接入;
所述网络资源共享需求信息表明需要接入第二企业网络时,所述业务网关实现资源共享包括判断所述用户设备接入的第一企业网络与所述第二企业网络是否共址;若不共址,则在所述业务网关和第一企业网络的接入设备的接入接口之间生成所述VLAN,并建立到所述第二企业网络的隧道,并将所述隧道与生成的VLAN对应实现网络连接;若共址,则将所述第一企业网络的接入设备的接入接口加入与其共址的所述第二企业网络的VLAN ;或者,使用前述不共址的实现方法;生成VLAN的方式包括动态配置VLAN或将所述接入接口加入已配置的VLAN ;所述动态配置是指,通过将VLAN生成/加入配置模板发送给对应的接入设备和VLAN所在接口的设备来实现。
进一步地,所述需接入网络的网络接入信息还包括所述需接入网络的接入位置信息,所述业务网关比较所述用户设备的接入位置信息与所述需接入网络的接入位置信息是否一致,若一致则为共址,否则非共址。进一步地,所述认证系统包括第一 /第二企业网络的认证系统和业务提供商/运营商的认证系统;所述业务网关是在宽带接入服务器(BRAS)上扩展实现的;所述业务网关包括第一/第二企业网络和业务提供商的业务网关。进一步地,所述用户设备需要接入所述因特网时,生成的VLAN的用户接入接口只包括所述用户设备接入的接入接口。进一步地,所述第一企业网络包括用于负责资源管理的资源管理模块,所述网络资源共享认证通过后,所述认证系统还通知所述第一企业网络的资源管理模块记录被共享占用的接入资源信息。为解决以上技术问题,本发明还提供了一种网络资源共享的实现系统,该系统运行于包括第一企业网络和第二企业网络的网络环境中,该系统包括第一企业网络的接入设备,用于接入用户设备,以及向认证系统发送接入认证请求;认证系统,用于接收所述第一企业网络的接入设备的接入认证请求,并对所述用户设备的用户进行第一企业网络的接入认证,所述第一企业网络的接入认证失败后,对所述用户设备的用户进行网络资源共享接入认证;还用于在网络资源共享接入认证通过后,将用户设备的接入位置信息、用户的网络资源共享需求信息以及需接入网络的网络接入信息通知相应的业务网关;所述业务网关,用于根据所述接入位置信息、网络资源共享需求信息以及需接入网络的网络接入信息实现资源共享。进一步地,所述接入位置信息、网络资源共享需求信息及其需接入网络的网络接入信息是预先配置的或在所述认证系统通知所述业务网关前,所述认证系统和用户进行交互获得,所述用户的网络资源共享需求信息包括用于表明需要接入因特网或第二企业网络的信息;实现资源共享指,所述用户设备通过第一企业网络的接入设备以及业务网关实现到因特网的网络连接,或者实现到第二企业网络的网络连接。
进一步地,所述网络资源共享接入认证前,所述认证系统还用于获取所述用户设备的接入位置信息,并根据所述用户设备的接入位置信息确定相应的业务网关,所述接入位置信息包括接入设备和/或业务网关的地址或编号。进一步地,所述需接入网络的网络接入信息还包括所述需接入网络的接入位置信息,所述共址判断模块比较所述用户设备的接入位置信息与所述需接入网络的接入位置信息是否一致,若一致则为共址,否则非共址。采用本发明方法和系统,第二企业网络用户设备可以通过第一企业网络的接入设备实现到因特网的网络连接,或者实现到第二企业网络的网络连接,而不影响第一企业网络的安全,同时第二企业网络的用户和安全也不受到第一网络的影响。
图I为典型的网络连接示意图;
图2为典型的为客户提供INTERNET连接的网络示意图;图3为典型的宽带拨号用户,接入企业网络的连接示意图;图4本发明网络资源共享的实现方法示意图;图5为本发明网络资源共享的实现系统实施例的架构示意图;图6为本发明网络资源共享的实现系统另一实施例的架构示意图;图7为本发明网络资源共享的实现系统具体示例示意图;图8为本发明网络资源共享的实现系统另一具体示例示意图;图9为本发明网络资源共享的实现系统中业务网关的位置示意图;图10为本发明接入设备的模块结构示意图;图11为业务网关的模块结构示意图;图12为接入企业网络2的网络资源共享流程示意图;图13为实现INTERNET接入的网络资源共享流程示意图。
具体实施例方式本发明网络资源共享的实现方法,适用于包括第一企业网络和第二企业网络的网络环境,所述第一企业网络和第二企业网络分别连接运营商网络、实现INTERNET接入。第一企业网络和第二企业网络,包括各种组成网络的设备,包括但不限于交换机,路由器,防火墙,各种服务器等等。所述实现资源共享指,第二企业网络用户设备可以通过第一企业网络的接入设备实现到因特网的网络连接,或者实现到第二企业网络的网络连接,而不影响第一企业网络的安全,同时第二企业网络的用户和安全也不受到第一网络的影响。本发明的方法,既适用于企业自己部署的网络,也适用于企业利用业务提供商/运营商部署的网络。如图4所示,网络资源共享的实现方法包括以下步骤步骤401 :用户设备接入第一企业网络的接入设备后,认证系统对所述用户设备的用户进行第一企业网络接入认证;为实现所述的资源共享,并实现网络的安全接入,特别是在共享资源的情况下,核心的问题是要分析有哪些潜在的安全威胁。例如,一个用户在非常短的时间内,进行网络拔插,并进行设备更换,这样就可能导致网络被非法接入,即通过配置和合法用户一样的MAC(Medium/MediaAccess Control,介质访问控制)地址以及IP地址等来假冒合法的用户。所述接入设备在用户通过认证前,禁止用户设备进行业务通信或仅仅处理与认证有关的协议报文;只有在用户通过身份认证后,才允许用户设备的业务流量通过,否则拒绝所有业务流量。另外,需要限制是,接入设备的接入接口上只能接入用户设备(如PC机),而不能接入交换机等设备。如果不能区分接入的是交换机,则可以出现这样的情况,即通过交换机接入的用户设备,在其中一个用户设备通过认证后,都可以接入网络。这将严重威胁到网络安全。优选地,通过对交换机接口上禁止STP (Spanning Tree Protocol,生成树协议)协议报文BPDU (BridgeProtocol Data Unit,桥接协议数据单元)的处理以及和/或相关的其他
机制-例如将交换机端口设置为边缘接口等,从而可以防止通过交换机的接入。一般地,可由用户向认证系统发起接入认证,也可以由接入设备发起。由于用户在没有通过认证前,不能进行通信,因此一般情况下,需要用户主动发起认证。现有认证方法,在一个用户独占资源的情况下,可以满足有关的安全需求。但是,在共享资源的情况下,必须对一些情况进行处理。典型的情况是,在某个接口上用户设备通过接入认证后,在进行正常通信的情况下,如果突然被更换成另外的设备,则可能形成安全的漏洞,因此需要对这种情况进行处理。具体的,在接入设备的接口状态发生改变时,需要立即报告认证系统,重新进行用户的身份认证,以保证网络的安全接入和使用。对以太网接口而言,优选地,接入设备可以通过检测接口链路连接状态来识别是否有用户设备接入或检测接入用户是否改变,并在检测到接口链路连接状态改变或接入用户改变时,向所述认证系统发起接入认证,优选地,有以下检测方法通过接口的LINK D0WN/UP机制(即通过检测连接状态)来识别是否有用户设备的接入。具体的,在链路LINK DOWN再LINK UP后,需要对接入设备/用户身份进行重新认证,以防止假冒接入。步骤402 :若第一企业网络接入认证失败,认证系统对所述用户设备的用户进行网络资源共享接入认证;本发明中,用于实现接入认证的认证系统从功能角度可以分成两个部分,一是针对企业网络(如企业的内部网络)内部用户设备的认证;二是,针对网络资源共享用户设备的认证。具体的,包括,公司/企业内部网络用户的身份认证,以及通过业务提供商/运营商网络的支持,实现对资源共享的用户的身份进行认证。根据不同的网络部署策略需要有不同的实现方案。具体地,认证系统包括但不限于以下两种方案方案一,是每个企业网络使用一套自己的独立的认证系统。对本企业的网络用户/使用者,一般情况下,都可以通过身份认证。对不能通过当前企业认证的用户(包括用户名或密码等认证信息输入错误的当前企业网络用户及非当前企业用户)则将有关的认证功能,转到一个可以进行认证的机构进行。这里,这个机构一般而言是业务提供商(也可以是网络运营商/INTERNET接入服务提供商),即转到共享业务提供商网络的认证系统进行认证;并且进一步,可选的,可能需要通过第二企业网络的认证系统,实现对用户的身份认证。如图5和图7所示。方案二,通过一个统一的用户认证系统,即企业网络的认证系统和业务提供商的认证系统是同一套系统,进行认证,通过认证后,将用户转接到相应的网络上去。如图6所
/Jn o可理解地,以上两个方案只是物理设置上的不同,但基于本发明进行认证的思路是相同的,即先进行接入设备当前的企业网络的认证,认证不通过时,再进行网路资源共享接入认证。这两种方案,各有优缺点,可以根据具体的部 署情况加以选择。对安全性要求较高,或者企业想比较独立地进行网络的管理,而比较少地借助于业务提供商的能力时,可以选择方案一。如果企业想节约成本,或者有关网络已经外包给业务提供商,则可以采取方案
--o在资源共享的情况下,企业网络内部的所有网络接入接口,都可以开放给企业外部用户、实现资源共享接入,或通过配置仅使得某些特定的网络接口可实现资源共享接入。为实现共享,需要对每一个接入的用户设备进行验证,以保证网络接入的安全性。即,在实现网络资源共享的情况下,最基本的要求是,不能接错网络,即用户设备通过当前企业网络的接入认证后,表明是该企业网络的用户,才可以接入该企业网络,否则,都应该是拒绝的,不可访问网络资源。这个情况,与现有的企业自己构建网络的情况是不同的。一般而言,企业网络,物理上部署在自己企业办公室的内部,外部人员,一般不可以/基本上也是不能随意进入网络,而且一般也不对外部提供网络接入,因此,可以对接入的终端设备不做身份认证。因为,接入的都是本企业的员工,用户的身份是可信的。当然,对信息进行保护,是另外的问题,并不是说每一个接入企业网络的员工,都可以访问所有的信息,这是网络部署中的常识。当然,为了对用户实现更强的管理,也可以对用户的接入进行身份认证,只是增加了成本,以及管理的复杂性,一般企业并不这样做。接入设备通过网络接入接口接入用户设备,并支持实现对用户的身份认证。例如,通过接入用户的交换机的接口 /电缆接口接入用户,并支持实现对用户的认证。在支持实现用户认证时,需要提供用户设备的接入位置信息,如具体的接入设备的位置和端口 /接
口号等。而对具体用户设备的认证,主要是基于接入设备的接入接口做接入认证,本发明所说的接入接口,是指用户设备可以接入网络的接入点,排除了用户设备在接入接口通过其他设备(例如交换机)进行转接的情况。具体的,可以通过用户名/密码机制,来实现认证。当然,也可以通过USB (Universal Serial BUS,通用串行总线)Key等机制,来加强有关认证的强度。根据接入的措施不同,可以通过不同的方案来实现资源的共享,例如通过WLAN (Wireless LAN (Local Area Network),无线企业网络),和企业的内部以太网接口,等等。对前者,可以通过WLAN的用户名/ 口令进行限制;而对企业的内部网络接口,特别是以太网接口,在实现认证上,需要进行全面的考虑,以防止非法接入,特别是在管理的措施上不到位,非公司雇员,接入到公司的网络中,其危害不言自明,因此在网络的安全措施上,需要严格设计。在目前的技术背景下,可选地,有多种实现用户身份认证的方案,包括PPPoE (Point-to-Point Protocol over Ethernet,以太网上的点到点协议),802. Ix,以及IPoE (IP over Ethernet,有时也称 DHCP+Web Portal (强制界面))等等。具体的说,PPPoE需要专门的设备和有关的客户端的拨号程序来进行认证;而802. Ix需要接入的交换机支持。因此,从成本的考虑上,会增加网络实现的成本。而IPoE方案,可以通过软件系统,以及硬件的支持,来进行实现;相对而言,IPoE对现有的网络接入影响不是很大,因此对下面的讨论,主要是基于IPoE来进行说明。对选择其他的认证方案,会也做了简要说明。基本的认证过程是,如图7所示,一台上电的用户PC(计算机)1,通过企业网络I的交换机I的以太网接口,进行网络接入。这里假设,系统已经通过有关机制禁止端口上的交换机接入;以及在支持虚拟机的情况下,多台虚拟机每台占一个虚拟的端口。为保证不被用户假冒接入,对现有用户认证机制中,要额外增加一个新的认证触发条件,即在端口发生、插拔后,防止被假冒接入,所以要触发对接入设备/用户的重新认证。此时,交换机I通过LINK UP获知接口状态发生了变化,需要将这个事件通知上层应用,具体的是要通知当前企业网络1(第一企业网络)的认证系统(下面的描述,采用前述认证系统的方案一,即企业网络,和业务提供商都部署有认证系统),需要进行认证工作。交换机I需要携带有关该用户设备的接入位置信息,主要包括对应的接入接口。企业网络I的认证系统,发起对接入设备的用户身份认证,在IPoE的情况下是弹出有关进行用户身份认证的界面,提示用户进行认证。对企业网络I的认证系统,仅支持对本企业用户的身份认证;但是,在网络资源共享方案中,企业网络I的认证系统,需要和外部的网络业务提供商的认证系统进行交互,网络业务提供商的认证系统也会对发生异常认证的企业网络I的用户进行认证处理。在具体的实现上,通过交换机的软件升级,交换机可以配置将其接口划分给其他特定的企业用户网络。这样,可以优化地首先到达本地/企业的认证系统,而不需要到运营商的认证系统去认证,从而节约时间。对共享接入用户,由于不是公司内部网络的用户,(这里有一个前提是,业务提供商和企业有一个协议,一般情况下,某些交换机的特定端口,设定一些属性,例如某些接口,是交由该公司的网络进行用户认证,当然,同时支持这些端口的共享接入),一般而言,他(也可能是她,后续不再说明,意思相同)不能通过本公司的网络认证,因此,根据假设,他可能是其他企业的共享用户,因此需要进一步和业务提供商进行交互,以进行资源共享身份认证。这里有一个问题,如果是本地企业的用户,但是他尝试密码失败,而导致将有关认证,转移到业务提供商网络中去,导致大量的异常认证。当然,在随后的操作中,他同样不能通过认证。可以认为是非法的尝试,从而不予进一步的处理。如果不能通过认证,则认为是非法用户,拒绝该用户的接入。步骤403 :网络资源共享接入认证通过后,所述认证系统将用户设备的接入位置信息、用户的网络资源共享需求信息以及需接入网络的网络接入信息通知相应的业务网关;在资源共享认证前,认证系统获取所述用户设备的接入位置信息,并根据所述用户设备的接入位置信息确定相应的业务网关,在资源共享认证通过后,将用户设备的接入位置信息、网络资源共享需求信息及需接入网络的网络接入信息发送给所处位置的业务网关。可理解地,在未指明的情形下,本发明所说的业务网关是一个逻辑功能,在具体的网络环境架构中,逻辑业务网关功能可以由一个或多个具有业务网关功能的模块(每个功能模块可以由一个物理实体实现)实现。若只有一个业务网关功能模块,则在企业网络是通过业务提供商部署的情况下,由于接入设备和该业务网关功能、模块或设备进行统一的编号,业务网关的具体位置可以通过用户的接入设备的编号直接获得,或者通过简单的变换获得;或者在(第一)企业网络是用户自己部署的网络的情况下,或者采用PPPoE认证方案时,企业网络中需要部署自己的业务网关功能模块(可由BRAS设备扩展实现),第一企业网络认证系统中已经配置有有关该业务网关功能模块的位置信息,在资源共享接入认证时,将该信息发送给资源共享认证系统。 需接入网络的网络接入信息包括所述需接入网络的接入位置信息(比如相应的业务网关编号或区域编号)和/或具体的网络接入/连接信息,如接入的VLAN信息及其接入接口信息和/或虚拟接口信息,所述虚拟接口信息包括但不限于接口位置定义信息及其有关的IP地址信息。用户的网络资源共享需求信息是预先配置的或者在接入认证过程中交互获得。步骤404:所述业务网关根据所述接入位置信息、网络资源共享需求信息以及需接入网络的信息实现资源共享。业务网关在网络中的位置,可以进一步通过图7加以说明。一般而言,现行的网络都采取模块化设计方案,一台业务网关,一般下接2台核心的交换机,在层次性的下接多台汇聚交换机、接入交换机。为了表示用户设备的接入位置信息,可以对这样的一个业务网关模块进行编号。如果用户设备的接入位置信息对应的业务网关模块的编号与用户设备需接入的企业网络对应的业务网关的编号相同,简称是共址的,否则称为非共址的。如果用户需要接入的企业网络(第二企业网络),和经由接入的企业网络(第一企业网络)是共址的,则只需要在该业务网关模块中,根据返回的接入VLAN及其网络接入接口信息,生成一个接入VLAN即可实现接入。具体的,业务网关根据用户需要接入的企业网络信息,判断是否与业务网关同址(对大型网络,可能有多个地址)。如果同址,则根据收到的网络接入VLAN信息,将第一企业网络的接入接口和第二企业网络接入接口之间配置生成该VLAN来实现接入。具体的方法,可以是动态的进行配置生成,或者预先配置好有关的VLAN,将接入接口配置进该VLAN,从而实现连接。如果不同址,则需要进一步的处理,首先在所述业务网关和第一企业网络的接入设备的接入接口之间生成一个本地的VLAN,实现本地的安全连接,再进一步通过隧道技术,建立一个隧道,并将该VLAN和该隧道进行对应,从而实现(第二企业网络)用户到第二企业网络的接入。如果业务网关根据得到的用户需求信息,知道用户是要求实现INTERNET接入。则根据返回的INTERNET接入的VLAN及其对应的接入接口信息,生成一个VLAN,或者通过一个预先设置好的VLAN,将接入设备的接口加入该VLAN,从而直接接入INTERNET。为保证接入的安全性,以及防止不同用户在接入INTERNET的情况下,实现L2互通,因此对每个接入INTERNET的用户,可以使用一个独立的/不同的VLAN来实现。本发明网络资源共享的实现系统,运行于包括第一企业网络和第二企业网络的网络环境中,与本发明特别相关地,如图5、6所示,该系统包括第一企业网络的接入设备,用于接入用户设备,以及向认证系统发送接入认证请求;认证系统,用于接收所述第一企业网络的接入设备的接入认证请求,对所述用户设备的用户进行第一企业网络的接入认证,若第一企业网络接入认证失败,再对所述用户设备的用户进行网络资源共享接入认证;还用于在网络资源共享接入认证通过后,将所述用户设备的接入位置信息、用户的网络资源共享需求信息以及需接入网络的网络接入信息通知相应的业务网关;所述接入位置信息、网络资源共享需求信息及其需接入网络的网络接入信息是预先配置的或在所述认证系统通知所述业务网关前,所述认证系统和用户进行交互获得。所述业务网关,用于根据所述接入位置信息、网络资源共享需求信息以及需接入网络的网络接入信息实现资源共享。用户的网络资源共享需求信息包括用于表明需要接入因特网的信息,即普通的INTERNET接入;或者是表明需要接入其所属企业网络的信息。实现资源共享指,所述第二企业网络的用户设备通过第一企业网络的接入设备实现到因特网的连接,或者实现到第二企业网络的网络连接。图7给出了一个实现网络资源共享的网络结构实例图。其中,企业I和2通过业务提供商实现其网络。企业3的网络,是自己实现的网络。对具体的企业网络,如企业网络1/2/3,都可以由交换机、路由器、防火墙,以及服务器等设备和应用程序组成,根据企业具体的需求等情况可以使用所列设备中的一种或者多种且具体的数量也没有什么限制。通过本发明的系统和方法,可以实现企业网络的网络资源共享。以下对各功能网元进行具体说明接入设备包括但不限于交换机,与本发明特别相关地,如图10所示,所述接入设备包括但不限于接入接口、检测模块,认证发起模块,其中检测模块,用于检测接口链路连接状态是否改变,以识别是否有用户设备接入或者检测接入用户是否改变。 认证发起模块,用于在检测到接口链路连接状态改变或接入用户改变时,向所述认证系统发起接入认证。业务网关可以在宽带接入服务器(BRAS)上扩展实现,其在系统中的位置如图7所示,也可设置如图8或图9所示。其中,图7主要示意该业务网关位于业务提供商架构的运营商网络。图8主要示意由企业网络I (第一企业网络)的业务网关和运营商的业务网关两个物理实体来共同实现本发明网络资源共享的实现系统的逻辑业务网关,且该两个业务网关(模块)在IP层是互通的,可以通过建立起有关的IP隧道来保证第二企业网络的用户可以在第一企业网络中获得安全的资源共享服务。可理解地,逻辑的业务网关功能还可以由多个不同的物理设备组合实现,以上图7、图8只是两个不同的具体示例,不能作为对本发明中逻辑业务网关的限定。本文中未特别说明的地方,均是针对一个物理实体实现的逻辑业务网关的情形进行说明的。图9主要示意业务网关与交换机或骨干交换机的连接关系。如图11所示,所述业务网关按功能模块划分包括但不限于同址判断模块、VLAN生成模块、隧道建立模块及对应模块,其中共址判断模块,用于在所述网络资源共享需求信息表明需要接入第二企业网络时,判断所述用户设备接入的第一企业网络与所述第二企业网络是否共址,具体地,比较用户设备的接入位置信息与需接入网络的接入位置信息是否一致,若一致则为共址,否则非共址;
VLAN生成模块,用于在共址时,在所述第二企业网络接入接口和第一企业网络的接入设备的接入接口之间生成VLAN ;不共址时,在所述业务网关和第一企业网络的接入设备的接入接口之间生成VLAN,生成VLAN的方式包括动态配置生成VLAN或将所述接入接口加入已配置生成的VLAN ;具体的VLAN生成方法,可以是动态的进行配置生成,或者预先配置好有关的VLAN,将接入接口配置进该VLAN。而动态配置生成VLAN,可以通过将VLAN生成模板发送给对应的接入设备和VLAN所在接口的设备来实现。所述用户设备需要接入所述因特网时,为防止该用户和其他用户在本地二层相通,VLAN生成模块生成的VLAN的用户接入接口只包括所述用户设备接入的接入接口,并且终止在业务网关上,并进一步由业务网关进行IP地址的提供支持,实现INTERNET接入。隧道建立模块,用于在所述网络资源共享需求信息表明需要接入第二企业网络且所述共址判断模块判断不共址时,建立到所述第二企业网络的隧道;特别地,当第一企业网络是第一企业自己部署的网络时,建立第一企业网络业务网关到运营商的业务网关之间的隧道,并通过运营商的业务网关实现INTERNET接入,或者实现到第二企业网络的连接。这种情形下,是由第一企业网络的业务网关和运营商的业务网关一起实现逻辑业务网关功能的。具体的实现,业务网关通过收到的第二企业网络的连接接口信息,一般而言,这是一个虚接口 /虚拟接口,在该虚接口和业务网关之间建立隧道,以实现用户的第二企业网络接入。而具体的隧道技术,可以是GRE隧道,或者MPLS隧道等。这是现有技术,只要给出有关的参数,以及企业网络支持这种共享接入的网络接口,即可以实现。对应模块,用于在所述网络资源共享需求信息表明需要接入第二企业网络且所述共址判断模块判断不共址时,将生成的VLAN和建立的隧道对应;在所述网络资源共享需求信息表明需要接入因特网,将生成的VLAN接入因特网。特别地,如果逻辑业务网关有两个实体实现,且两个实体通过隧道连接,在还需要将该两个实体之间的隧道与到第二企业网络之间的隧道对应,即两个实体之间的隧道和两个实体一起构成逻辑业务网关。下面结合附图和具体实施方式
对本发明作进一步详细的说明。本实施方法只是实现本发明的具体实例。下面通过两个具体的实施例,详细说明具体的实现方案。实施例I在该实施例中,基于图7所示的架构,用户设备通过企业网络I的接入接口实现接入到企业网络2的网络资源共享。如图12所示,该流程基于IPoE,具体实现流程和关键的技术点包括S1201,用户设备通 过接入设备(如交换机)接口,例如以太网接口(电缆),实现接入;S1202,交换机检测到用户设备接入;交换机通过接口上的LINK UP过程,检测到有用户设备进行接入。这里假设,系统已经通过有关机制禁止端口上的交换机接入;以及在支持虚拟机的情况下,多台虚拟机每台占一个虚拟的端口,保证接入接口的唯一性,从而保证任何用户接入,都必须通过身份认证。S1203,交换机根据接口的预先配置信息(配置信息包括所属企业网络以及端口状态)发送认证请求到(预先配置的)企业网络I的认证系统;本发明中,端口也称为接口或接入接口,端口状态包括企业网络状态和共享状态。一般地,端口初始状态配置为企业网络状态。该认证请求可以通过事件报告的方式通知企业网络I的认证系统。S1204,企业网络I的认证系统与用户设备交互实现对用户的接入认证;具体的,可以通过向用户设备强制推送用户认证界面,和用户进行认证信息交互,例如用户名/密码等信息。S1205,如果用户通过企业网络I的接入认证,则说明该用户属于本地企业网络1,是非共享资源用户,如果端口状态的状态为企业网络,则直接接入企业网络I ;否则,如果端口状态的状态为共享,则需要更改端口状态为企业网络,并将该端口重新加入到企业网络I的VLAN中去,处理流程结束,否则,如果没有通过认证,则执行S106 ;企业网络I中设置的VLAN可以有多个,当端口状态为企业网络时,不同的端口可以配置入不同的VLAN。本发明所要考虑的是,对共享资源用户,该用户一般不能通过企业网络认证系统的认证,需要继续下一步的操作;S1206,企业网络I的认证系统向共享认证系统发起接入认证;在企业网络I认证失败的情况下,则有可能该用户是共享网络用户,企业网络I的认证系统,向业务提供商的共享认证系统发送用户认证请求。认证请求中,携带有用户设备的MAC地址,以及有关的接入点信息,包括但不限于接入设备和/或业务网关的地址/编号信息。S1207,业务提供商的共享认证系统对用户进行共享接入认证;S1208,业务提供商的共享认证系统,可能需要和用户所属企业网络2(第二企业网络)的认证系统进行交互,以实施对用户的身份认证;根据对共享认证系统的具体配置的不同,步骤S108可选。S1209,如果认证通过,则获得用户设备的接入位置信息、用户需接入的企业网络2的网络接入信息,包括企业网络2的位置信息、接入的VLAN信息以及第二企业网络的VLAN的接口信息,或/和虚拟接口信息等,以及进一步的资源共享需求信息,包括接入INTERNET,或者接入企业网络等;这些信息,一般是根据业务开展的具体情况,通过配置进行设置的。可选的,对用户的需求信息,可以通过和用户进行交互来获得;S1210,共享认证系统发送接入位置信息、网络资源共享需求信息以及企业网络2的网络接入信息给企业网络I的认证系统和业务网关;如果用户设备没有通过认证,则不向业务网关发送信息,只向企业网络I的认证系统发送信息,并且拒绝用户设备的接入,过程结束。S1211,企业网络2和企业网络I共址,则根据返回的接入VLAN及第二企业网络接入接口信息,和企业网络I的接入接口之间,生成一个接入VLAN即可实现接入,转S1213 ;业务网关根据返回的网络资源共享需求信息,首先判断用户设备是要接入其企业的网络即企业网络2。则业务网关根据得到的信息判断在本地是否有该企业网络2,即判断是否企业网络2与业务网关是否共址(对大型网络,可能有多个地址),如果本地有企业网络2,则本发明称为共址。否则称为不共址,执行S1212。、
共址的本质是,企业网络2和企业网络1,有共同的接入或者至少有共同的汇聚/核心交换机(如图5)等网络设施。只要进行简单的VLAN划分/配置即可。如果共址,则根据收到的网络接入企业网络2的VLAN信息在企业网络2接入接口和企业网络I的接入设备的接入接口之间生成VLAN,生成VLAN的方式包括动态配置生成VLAN或将所述接入接口加入已配置生成的VLAN ;具体的VLAN生成方法,可以是动态的进行配置生成,或者预先配置好有关的VLAN,将接入接口配置进该VLAN。而动态配置生成VLAN,可以通过将VLAN生成/加入配置模板发送给对应的接入设备和VLAN所在接口的设备来实现。另外,共址的情况下,也可以根据以下步骤S1212所述的方式实现连接。S1212,业务网关与企业网络2不共址,则生成企业网络I的接入设备接入接口到该业务网关的VLAN,并建立到企业网络2的隧道,并将生成或配置的VLAN与隧道对应,实现网络连接,转S1213 ;首先如共址的情况,生成一个本地的VLAN,实现本地的连接;再进一步通过隧道技术,建立一个隧道,连接到其非共址的企业网络2。具体的实现,通过收到的网络连接接口信息,一般而言,这是一个虚/虚拟接口,在该虚接口和业务网关之间建立隧道,并将该VLAN和该隧道进行对应,从而实现用户的企业网络接入。而具体的隧道技术可选地包括但不限于GRE (Generic RoutingEncapsulation,通用路由协议封装)或者MPLS (Multiprotocol Label Switching,多协议标签交换)隧道。这是现有技术,通过有关的参数,以及企业网络支持这种共享接入的网络接口,即可以实现。值得说明的是,这里所建的隧道一般需要通过运营商网络。步骤1211和步骤1212是不同情况下业务网关实现所述第一企业网络的接入设备到第二企业网络的网络连接的方法。S1213,企业网络I的认证系统根据返回的认证结果,进行一些设置和处理工作;从实现的简单性和同一性上看,通过企业网络I的认证系统来处理比较好,即即使在有关的端口被共享出去以后,对下一次的认证,仍然通过企业网络I来实现。如果改变为企业网络2的认证系统来进行处理,需要有有关的状态,特别是有关的链路信息需要保存在那里,或者需要临时进行建立,可能有处理上的延时,因此,不太合理。但是,可以做一些标记,特别是,企业网络I中有资源被共享用户设备所占用,在精确计费方面,保留有有关的状态信息。而在具体的实现方面,需要将企业网络I的流量做限制。当某接口被共享,即该端口所属的VLAN已经重新配置,将该端口从该VLAN中删除,此时,企业网络I的其他网络流量,则不能再被转发到该端口上去。从接口上看,要关闭有关接口上的流量。记录被共享的端口的状态信息。该端口已经被作为共享资源进行使用,则端口的状态信息被标记为共享。在本企业网络(企业网络I)用户再次使用该端口时,也需要进行端口状态的修改,并需要将该端口加入到企业网络VLAN中去,当然,这些操作是在企业网络用户通过身份认证后。 S1214,用户设备与企业网络2进行通信。实施例2该实施例中,其他企业网络(第二企业网络)的用户设备通过企业网络I的接入接口实现接入到因特网的网络资源共享。如图13所示,该流程的具体实现流程和关键的技术点包括步骤S1301-S1310,分别与步骤S1201-S1210相同;所不同的是,返回的用户网络需求不同以及接入INTERNET的VLAN信息及其有关的接口信息,具体的情况参加下述步骤。S1311,业务网关生成企业网络I的接入交换机(接入设备)的接入接口到该业务网关的VLAN ;业务网关根据得到的用户需求信息,知道用户是要求INTERNET接入。通过一个预先设置好的VLAN,直接接入INTERNET。具体的,业务提供商,通过将该用户端口加入,一个特定的VLAN即可实现。为防止该用户和其他用户在本地二层相通,因此,该VLAN的用户接入接口只包括该用户的接入接口,并且终止在业务网关上,并进一步由业务网关进行IP地址的提供支持,由业务网关实现INTERNET接入。S1312,业务网关接入 INTERNET ;一般而言,业务网关有接入INTERNET的能力,因此可以保证实现INTERNET的接入,将生成的VLAN对应接入INTERNET ;S1313,同 S1213 ;S1314,用户实现到INTERNET的接入。前述两个实施例主要针对IPoE的情况,而对于PPPoE和802. Ix的身份认证方案的资源共享方案,简单描述如下。由于PPPoE认证,可以针对用户实施比较严格的认证和管理,特别是在流量控制方面以及在宽带接入网络中,通过每个用户一个VLAN来对用户实现隔离,因此PPPoE认证方案更适合支持实现网络资源的共享。在具体的实现方面,在用户通过身份认证后,由BRAS(PPPoE的终结设备),直接实现INTERNET的接入。而对接入企业网络的需求,可以通过BRAS(实际上,可以就是前述的业务网关的功能体现)使用隧道技术,接入到企业网络中,而不需要再进一步区分共址,或者非共址的情况。802. Ix是基于端口的用户认证方案,在端口上的接入设备通过身份认证后,打开端口,放行用户的流量,否则拒绝所有用户的业务流量,而只处理与身份认证有关的信令流量。这看上去,更适合于本发明的资源共享的实现。但是,要实现本发明,针对802. Ix认证方案,还需要做许多进一步的工作。具体的,用户通过802. Ix身份认证后,还需要具体的实现有关INTERNET连接,以及接入企业网络的具体连接工作。
这两种认证方案的一个需要增强的点是,在接入接口发生状态改变后,需要进行强制的接入认证,即通过接入设备的接口的状态改变时间来触发。其他的具体实现内容和前述IPoE的相同/类似,可参考实现。前述实施例主要是针对企业网络I和2是通过运营商网络实现的情况(主要特征是企业网络I和企业网络2之间,可以直接通过VLAN来进行连接,以及可以共用业务网关)。但是,还有另外的情况是,即企业网络是企业自己实现的网络,而不是采用业务提供商实现的网络。则在网络部署上,就没有运营商 网络的业务网关来做相应的处理。如图8所示,在企业网络I中需要增加一个业务网关。而具体的处理流程,包括接入认证的方法和流程是类似的,不同点包括下列一 )、认证结果信息返回给企业网络I的业务网关;二 )、采用不共址的建立VLAN和隧道的方法,实现资源的共享。本发明,针对目前网络部署中的一些具体的限制,提供了一种网络资源共享的实现方法,该方法和系统可以提供普遍的宽带接入INTERNET方法,或直接接入其企业网络。
权利要求
1.一种网络资源共享的实现方法,适用于包括第一企业网络和第二企业网络的网络环境,所述第一企业网络和第二企业网络包括接入设备,其特征在于,该方法包括 用户设备接入第一企业网络的接入设备,认证系统对所述用户设备的用户进行第一企业网络接入认证; 若第一企业网络接入认证失败,认证系统对所述用户设备的用户进行网络资源共享接入认证; 网络资源共享接入认证通过后,所述认证系统将用户设备的接入位置信息、用户的网络资源共享需求信息以及需接入网络的网络接入信息通知相应的业务网关; 所述业务网关根据所述接入位置信息、网络资源共享需求信息以及需要接入的网络信息实现资源共享。
2.如权利要求I所述的方法,其特征在于 所述接入位置信息、网络资源共享需求信息和需接入网络的网络接入信息是预先配置的或在所述认证系统通知所述业务网关前,认证系统和用户设备交互获得,所述用户的网络资源共享需求信息包括用于表明需要接入因特网或第二企业网络的信息;实现资源共享指,所述用户设备通过第一企业网络的接入设备以及业务网关实现到因特网的网络连接,或者实现到第二企业网络的网络连接。
3.如权利要求I所述的方法,其特征在于所述网络资源共享接入认证前,所述认证系统获取所述用户设备的接入位置信息,并根据所述用户设备的接入位置信息确定相应的业务网关,所述接入位置信息包括接入设备和/或业务网关的地址或编号。
4.如权利要求I所述的方法,其特征在于由用户或由接入设备在检测到接口链路连接状态改变或接入用户改变时向所述认证系统发起对所述用户设备的用户进行第一企业网络接入认证,所述接入设备在用户通过认证前,禁止用户设备进行业务通信或仅仅处理与认证有关的协议报文。
5.如权利要求I所述的方法,其特征在于所述需接入网络的网络接入信息包括所述需接入网络的VLAN信息和该VLAN的接入接口信息和/或虚拟接口信息;在所述网络资源共享需求信息表明需要接入因特网时,所述业务网关实现资源共享包括所述业务网关在所述业务网关和第一企业网络的接入设备的接入接口之间生成VLAN,所述业务网关实现因特网的接入; 所述网络资源共享需求信息表明需要接入第二企业网络时,所述业务网关实现资源共享包括 判断所述用户设备接入的第一企业网络与所述第二企业网络是否共址; 若不共址,则在所述业务网关和第一企业网络的接入设备的接入接口之间生成所述VLAN,并建立到所述第二企业网络的隧道,并将所述隧道与生成的VLAN对应实现网络连接; 若共址,则将所述第一企业网络的接入设备的接入接口加入与其共址的所述第二企业网络的VLAN ;或者,使用前述不共址的实现方法; 生成VLAN的方式包括动态配置VLAN或将所述接入接口加入已配置的VLAN ;所述动态配置是指,通过将VLAN生成/加入配置模板发送给对应的接入设备和VLAN所在接口的设备来实现。
6.如权利要求5所述的方法,其特征在于所述需接入网络的网络接入信息还包括所述需接入网络的接入位置信息,所述业务网关比较所述用户设备的接入位置信息与所述需接入网络的接入位置信息是否一致,若一致则为共址,否则非共址。
7.如权利要求5所述的方法,其特征在于所述认证系统包括第一/第二企业网络的认证系统和业务提供商/运营商的认证系统;所述业务网关是在宽带接入服务器(BRAS)上扩展实现的;所述业务网关包括第一/第二企业网络和业务提供商的业务网关。
8.如权利要求5所述的方法,其特征在于所述用户设备需要接入所述因特网时,生成的VLAN的用户接入接口只包括所述用户设备接入的接入接口。
9.如权利要求I所述的方法,其特征在于所述第一企业网络包括用于负责资源管理的资源管理模块,所述网络资源共享认证通过后,所述认证系统还通知所述第一企业网络的资源管理模块记录被共享占用的接入资源信息。
10.一种网络资源共享的实现系统,其特征在于,该系统运行于包括第一企业网络和第二企业网络的网络环境中,该系统包括 第一企业网络的接入设备,用于接入用户设备,以及向认证系统发送接入认证请求; 认证系统,用于接收所述第一企业网络的接入设备的接入认证请求,并对所述用户设备的用户进行第一企业网络的接入认证,所述第一企业网络的接入认证失败后,对所述用户设备的用户进行网络资源共享接入认证;还用于在网络资源共享接入认证通过后,将用户设备的接入位置信息、用户的网络资源共享需求信息以及需接入网络的网络接入信息通知相应的业务网关; 所述业务网关,用于根据所述接入位置信息、网络资源共享需求信息以及需接入网络的网络接入信息实现资源共享。
11.如权利要求10所述的系统,其特征在于 所述接入位置信息、网络资源共享需求信息及其需接入网络的网络接入信息是预先配置的或在所述认证系统通知所述业务网关前,所述认证系统和用户进行交互获得,所述用户的网络资源共享需求信息包括用于表明需要接入因特网或第二企业网络的信息;实现资源共享指,所述用户设备通过第一企业网络的接入设备以及业务网关实现到因特网的网络连接,或者实现到第二企业网络的网络连接。
12.如权利要求10所述的系统,其特征在于所述网络资源共享接入认证前,所述认证系统还用于获取所述用户设备的接入位置信息,并根据所述用户设备的接入位置信息确定相应的业务网关,所述接入位置信息包括接入设备和/或业务网关的地址或编号。
13.如权利要求10所述的系统,其特征在于,所述接入设备在用户通过认证前,禁止用户设备进行业务通信或仅处理与认证有关的协议报文,包括 接入接口 ; 检测模块,用于检测接口链路连接状态是否改变,以识别是否有用户设备接入或者检测接入用户的是否改变; 认证发起模块,用于在检测到接口链路连接状态改变或接入用户改变时,向所述认证系统发起接入认证。
14.如权利要求10所述的系统,其特征在于,所述需接入网络的网络接入信息包括所述需接入网络的VLAN信息以及VLAN的接口信息和/或虚拟接口信息;所述业务网关包括同址判断模块、VLAN生成模块、隧道建立对应模块,其中 共址判断模块,用于在所述网络资源共享需求信息表明需要接入第二企业网络时,判断所述用户设备接入的第一企业网络与所述第二企业网络是否共址; VLAN生成模块,用于在共址时,在所述第二企业网络接入接口和第一企业网络的接入设备的接入接口之间生成VLAN ;不共址时,在所述业务网关和第一企业网络的接入设备的接入接口之间生成VLAN,生成VLAN的方式包括动态配置生成VLAN或将所述接入接口加入已配置生成的VLAN ; 隧道建立模块,用于在所述网络资源共享需求信息表明需要接入第二企业网络且所述共址判断模块判断不共址时,建立到所述第二企业网络的隧道; 对应模块,用于在所述网络资源共享需求信息表明需要接入第二企业网络且所述共址判断模块判断不共址时,将生成的VLAN和建立的隧道对应; 在所述网络资源共享需求信息表明需要接入因特网,将生成的VLAN对应接入因特网。
15.如权利要14所述的系统,其特征在于所述需接入网络的网络接入信息还包括所述需接入网络的接入位置信息,所述共址判断模块比较所述用户设备的接入位置信息与所述需接入网络的接入位置信息是否一致,若一致则为共址,否则非共址。
16.如权利要求14所述的系统,其特征在于所述用户设备需要接入所述因特网时,所述VLAN生成模块生成的VLAN的用户接入接口只包括所述用户设备接入的接入接口。
17.如权利要求10所述的系统,其特征在于所述系统还包括位于第一企业网络的资源管理模块,所述网络资源共享认证通过后,所述认证系统还用于通知所述第一企业网络的资源管理模块记录被共享占用的接入资源信息。
全文摘要
本发明涉及一种网络资源共享的实现方法和系统,该方法包括用户设备接入第一企业网络的接入设备,认证系统对用户进行第一企业网络接入认证;若第一企业网络接入认证失败,认证系统对用户进行网络资源共享接入认证;网络资源共享接入认证通过后,认证系统将用户设备的接入位置信息、用户的网络资源共享需求信息以及需接入网络的网络接入信息通知相应的业务网关;业务网关实现资源共享。本发明方法和系统在不影响第一企业网络安全的情况下,第二企业网络用户设备可以通过第一企业网络的接入设备实现到因特网的网络连接,或者实现到第二企业网络的网络连接。
文档编号H04L29/06GK102724087SQ201110077269
公开日2012年10月10日 申请日期2011年3月29日 优先权日2011年3月29日
发明者顾忠禹 申请人:中兴通讯股份有限公司