一种网络访问控制方法及设备的制作方法

一种网络访问控制方法及设备的制作方法
【专利摘要】本发明提供了一种网络访问控制方法和设备，应用于一内部网络的计费网关，所述内部网络还包括有一接入服务器，所述接入服务器通过所述计费网关连接至外部网络，该方法包括：计费网关在接收到用户访问外部网络的首个报文时，向接入服务器发送用于查询所述用户的外部网络访问权限的查询报文；计费网关接收接入服务器返回的、携带有所述用户的外部网络访问权限的应答报文，其中，所述用户的外部网络访问权限是接入服务器从所述用户的一次认证授权过程获得的，所述一次认证授权过程对所述用户的内部网络和外部网络的访问权限均进行认证及授权；计费网关根据所述用户的外部网络访问权限，控制所述用户的外部网络访问。
【专利说明】一种网络访问控制方法及设备
【技术领域】
[0001]本发明涉及网络通信传输技术，特别是一种网络访问控制方法及设备。
【背景技术】
[0002]随着Internet市场的不断发展，人们对通信的需求已从传统的电话、传真、电报等低速业务逐渐向高速的Internet接入、可视电话、视频点播等宽带业务领域延伸,用户对上网速率的需求越来越高，传统拨号Modem的低速上网方式已无法满足用户需求。
[0003]与此同时，接入到城域网的用户越来越多，用户的业务需求也日益膨胀，宽带城域网面临着向多业务承载网方向的发展趋势。在这种情势下产生了 BRAS(Broadband RemoteAccess Server)，即宽带接入服务器。BRAS具有灵活的接入认证方式、有效的地址管理功能、强大的用户管理功能，并能提供丰富灵活的业务及控制功能，与其他通信产品组合在一起，可提供一个“可管理、可运营、可盈利”的宽带城域网解决方案。
[0004]如图1所示，BRAS系统包含如下几个功能组件:
[0005](I)用户接入识别
[0006]主要完成对用户各种接入协议报文的识别与处理、在用户认证过程中获取用户的物理信息以及用户名和密码，从而为实现用户接入提供信息依据和安全保障。
[0007](2)连接管理
[0008]BRAS的核心组件，它负责协调接入识别、地址管理、AAA和用户管理等组件之间的交互关系，协助完成用户连接的建立、维护及拆除等功能。
[0009](3) AAA及用户管理
[0010]认证是识别用户身份的过程；授权是根据认证识别后的用户情况授予对应的网络使用权限，包括QoS、带宽控制、访问权限、用户策略等；计费是根据认证后的用户身份采用对应的计费策略并记录、提供计费信息(时长、流量、位置等)。
[0011](4)地址分配与管理
[0012]负责为接入用户分配IP地址，并对用户IP地址进行管理，以确保IP地址资源得到合理使用。
[0013](5)业务控制
[0014]负责对用户接入业务和增值业务进行访问权限、带宽、QoS等的控制。
[0015](6)外部服务器
[0016]为便于运营商统一管理资源，BRAS需要与其他通信设备配合实现其功能，这些通信设备包括:
[0017]DHCP服务器，负责为用户分配IP地址。
[0018]AAA服务器，如RADIUS服务器，负责对接入用户进行认证、授权、计费。
[0019]策略服务器，如RADIUS服务器，负责为用户下发业务策略。
[0020]目前，在校园网、园区网、局域网等内部网络应用中，对用户上网有如下要求:
[0021](I)所有用户必须进行接入认证，只有认证通过的用户才允许接入内部网络。[0022](2)如果用户只是访问内部网络的公共资源，或内部网络用户间互访，不对用户收费。
[0023](3)如果内部网络用户访问外部网络资源，如Internet网、城域网等，要对用户收费。
[0024]因为BRAS设备无法区分开同一用户的流量哪些是在内部网络的，哪些是与外部网络通信产生的，所以，实际组网时，通常会在上行到外部网络的接口上再接一台计费网关设备，经过计费网关设备的流量都是与外部网络通信的。如图2所示组网，只有实线所示的流量需要收取费用。
[0025]内部网络用户通过接入交换机连接到BRAS设备。用户接入内部网络时，首先在BRAS设备上进行一次内部网络访问认证，认证通过后再从DHCP服务器上分配到IP地址，并被授予特定权限。之后，内部网络的用户间可以经过接入交换机或BRAS设备互相通信，也可以访问内部网络公共服务器。
[0026]如果用户想访问外部网络，用户流量经过计费网关设备时，计费网关对用户再进行一次外部网络访问认证，认证通过后即启动计费。计费网关根据用户实际访问外部网络的流量或时长收取费用。
[0027]通过目前内部网络访问认证和外部网络访问认证两次认证的方式，可以准确区分开一个用户的两类流量。但是有如下问题:
[0028]访问外部网络的用户，需要进行两次认证，得输两次用户名和密码，一次是内部网络访问认证，一次是外部网络访问认证，用户体验较差。
[0029]因为内部网络用户的权限不同，有些允许访问外部网络，有些不允许，所以内部网络访问认证服务器和外部网络访问认证服务器不能部署在同一台上，至少得部署两台，提高了网络组建成本。
[0030]内部网络访问认证服务器和外部网络访问认证服务器上的用户信息要人工实时保持一致，网络用户管理的工作量比较大。

【发明内容】

[0031]有鉴于此，本发明提供了一种网络访问控制方法及设备，解决了内部网络和外部网络访问认证组网中用户需要两次认证的问题，本发明提出的技术方案是:
[0032]一种网络访问控制方法，应用于一内部网络的计费网关，所述内部网络还包括有一接入服务器，所述接入服务器通过所述计费网关连接至外部网络，该方法包括:
[0033]计费网关在接收到用户访问外部网络的首个报文时，向接入服务器发送用于查询所述用户的外部网络访问权限的查询报文；
[0034]计费网关接收接入服务器返回的、携带有所述用户的外部网络访问权限的应答报文，其中，所述用户的外部网络访问权限是接入服务器从所述用户的一次认证授权过程获得的，所述一次认证授权过程对所述用户的内部网络和外部网络的访问权限均进行认证及授权；
[0035]计费网关根据所述用户的外部网络访问权限，控制所述用户的外部网络访问。
[0036]上述方案中，所述计费网关根据所述用户的外部网络访问权限，控制所述用户的外部网络访问，包括:[0037]如果所述用户的外部网络访问权限为允许，则所述计费网关向外部网络转发用户流量，并启动计费；如果所述用户的外部网络访问权限为禁止，则所述计费网关停止向外部网络转发用户流量。
[0038]一种网络访问控制方法，应用于一内部网络的宽带接入服务器，所述宽带接入服务器通过一计费网关连接至外部网络，该方法包括:
[0039]接入服务器在一用户的一次认证授权过程中，对所述用户的内部网络和外部网络的访问权限均进行认证及授权，获得所述用户的内部网络和外部网络的访问授权信息；
[0040]接入服务器接收计费网关在收到所述用户访问外部网络的首个报文后发送的权限查询报文，所述权限查询报文用于查询所述用户的外部网络访问权限；
[0041]接入服务器根据所述访问授权信息，确定所述用户的外部网络访问权限，并向计费网关返回携带有所述用户的外部网络访问权限的访问权限应答报文，以供所述计费网关根据所述用户的外部网络访问权限，控制所述用户的外部网络访问。
[0042]上述方案中，所述在一用户的一次认证授权过程中，对所述用户的内部网络和外部网络的访问权限均进行认证及授权，包括:
[0043]接入服务器发送针对一用户的认证授权请求报文给认证授权服务器，请求对所述用户的内部网络和外部网络的访问权限均进行认证及授权；
[0044]接入服务器接收认证授权服务器返回的认证授权应答报文，获取所述认证授权应答报文携带的所述用户的访问授权信息。
[0045]一种计费网关设备，应用于一内部网络，所述内部网络还包括有一接入服务器，所述接入服务器通过所述计费网关连接至外部网络，该设备包括:
[0046]报文接收模块，用于接收用户访问外部网络的首个报文，还用于接收接入服务器返回的、携带有所述用户的外部网络访问权限的应答报文，其中，所述用户的外部网络访问权限是接入服务器从所述用户的一次认证授权过程获得的，所述一次认证授权过程对所述用户的内部网络和外部网络的访问权限均进行认证及授权；
[0047]报文发送模块，用于向接入服务器发送用于查询所述用户的外部网络访问权限的查询报文；
[0048]外部网络访问控制模块，用于根据所述用户的外部网络访问权限，控制所述用户的外部网络访问。
[0049]上述方案中，所述外部网络访问控制模块进一步包括:
[0050]判断模块，用于判断所述用户的外部网络访问权限是允许还是禁止；
[0051]计费模块，如果所述用户的外部网络访问权限是允许，则用于启动计费；
[0052]流量转发模块，如果所述用户的外部网络访问权限是允许，则用于向外部网络转发用户流量，如果所述用户的外部网络访问权限为禁止，则停止向外部网络转发用户流量。
[0053]一种宽带接入服务器设备，应用于一内部网络，所述宽带接入服务器通过一计费网关连接至外部网络，该设备包括:
[0054]报文接收模块，用于获得所述用户的内部网络和外部网络的访问授权信息，还用于接收计费网关在收到所述用户访问外部网络的首个报文后发送的权限查询报文，所述权限查询报文用于查询所述用户的外部网络访问权限；
[0055]查询模块，用于根据所述访问授权信息，确定所述用户的外部网络访问权限；[0056]报文发送模块，用于在一用户的一次认证授权过程中，对所述用户的内部网络和外部网络的访问权限均进行认证及授权，还用于向计费网关发送携带有所述用户的外部网络访问权限的访问权限应答报文，以供所述计费网关根据所述用户的外部网络访问权限，控制所述用户的外部网络访问。
[0057]上述方案中，所述在一用户的一次认证授权过程中，
[0058]报文发送模块进一步用于，发送针对一用户的认证授权请求报文给认证授权服务器，请求对所述用户的内部网络和外部网络的访问权限均进行认证及授权；
[0059]报文接收模块进一步用于，接收认证授权服务器返回的认证授权应答报文，获取所述认证授权应答报文携带的所述用户的访问授权信息。
[0060]综上所述，本发明提出的技术方案，用户只需要一次认证，就可实现内部网络访问和外部网络访问控制，用户体验较好，且无需专门部署外部网络访问认证授权服务器，只需要一台认证授权服务器即可，降低了网络成本，用户的内部网络和外部网络的访问权限信息集中在一台认证授权服务器上，开通宽带或退订时，管理员只需要操作一台认证服务器，方便了管理用户信息。
【专利附图】

【附图说明】
[0061 ]图1为BRAS系统架构图。
[0062]图2为现有技术中BRAS设备实际组网应用图。
[0063]图3为改进后的BRAS设备组网应用图。
[0064]图4为方法实施例的流程图。
[0065]图5为本发明实施例中的计费网关设备结构示意图。
[0066]图6为本发明实施例中的宽带接入服务器BRAS设备结构示意图。
【具体实施方式】
[0067]为使本发明的目的、技术方案和优点更加清楚，下面结合附图及具体实施例对本发明作进一步的详细描述。
[0068]本发明的技术方案是:计费网关在接收到用户访问外部网络的首个报文时，向接入服务器发送用于查询所述用户的外部网络访问权限的查询报文；
[0069]计费网关接收接入服务器返回的、携带有所述用户的外部网络访问权限的应答报文，其中，所述用户的外部网络访问权限是接入服务器从所述用户的一次认证授权过程获得的，所述一次认证授权过程对所述用户的内部网络和外部网络的访问权限均进行认证及授权；
[0070]计费网关根据所述用户的外部网络访问权限，控制所述用户的外部网络访问。
[0071]本发明技术方案中，宽带接入服务器BRAS上只部署一台认证授权服务器，该认证授权服务器同时保存用户的内部网络和外部网络访问权限信息，集中管理用户的内部网络访问权限和外部网络访问权限。当用户第一次向BRAS发送账户密码进行内部网络访问认证授权时，所述认证授权服务器会将该用户的内部网络和外部网络访问权限信息一同携带于认证授权应答报文中发送给BRAS，使得BRAS同时记录用户的内部网络和外部网络访问权限信息。当用户需要访问外部网络时，不需要计费网关再次对用户进行外部网络访问权限认证，而只需计费网关向BRAS查询用户的外部网络访问权限信息即可，这样，避免了用户再次输入账号和密码进行外部网络访问权限认证，提升用户体验。
[0072]本实施例以图3中的PCl访问外部网络为例对本发明技术方案进行说明，假设所述PCl的内部网络和外部网络访问权限均为“允许”。图4为本实施例的流程图，如图4所示，包括以下步骤:
[0073]步骤401 =PCl发送账号密码给BRAS，请求内部网络访问授权认证。
[0074]本步骤中，PCl需要发送账号密码给BRAS请求内部网络访问认证，只有PCl的内部网络访问权限为“允许”时，PCI才能访问内部网络资源。
[0075]步骤402 =BRAS发送认证授权请求报文给认证授权服务器，所述认证授权请求报文携带PCi发送来的账号和密码。
[0076]步骤403:所述认证授权服务器查询PCl的内部网络和外部网络访问权限信息，并将其携带于认证授权应答报文中发送给BRAS。
[0077]本步骤中，所述认证授权应答报文同时携带所述PCl的内部网络和外部网络访问权限信息，用于告知BRAS所述PCl是否能够访问内部网络和外部网络。
[0078]步骤404:所述BRAS接收到所述认证授权应答报文后,记录所述认证授权应答报文携带的PCl的内部网络和外部网络访问权限信息。
[0079]本步骤中，由于PCl的内部网络访问权限为“允许”，因此此时PCl已经通过内部网络访问认证，可以访问内部网络资源，但其还未通过外部网络访问认证，尚不能访问外部网络资源。
[0080]步骤405 =PCl发送首个访问外部网络的报文给BRAS。
[0081]本步骤中，PCl发送的首个报文携带PCl的用户特征信息，如IP地址、MAC地址等。
[0082]步骤406:所述BRAS将所述PCl的首个报文转发给计费网关。
[0083]步骤407:计费网关解析所述PCl的首个报文，提取所述报文携带的PCl的用户特征信息，并将其携带于用户外部网络访问权限查询报文中发送给BRAS。
[0084]本步骤中，计费网关发送给BRAS的用户外部网络访问权限查询报文可以是普通的IP报文，但不限于普通的IP报文，只要BRAS与计费网关之间能互相识别所述用户外部网络访问权限查询报文即可，格式不限。
[0085]步骤408:BRAS接收所述用户外部网络访问权限查询报文，根据其携带的用户特征信息查询所述PCi的外部网络访问权限信息，并将查询到的外部网络访问权限信息携带于应答报文中发送给计费网关。
[0086]步骤409:计费网关接收到BRAS发送的应答报文，判断所述外部网络访问权限是否为“允许”，如果为“允许”，则转发PCl的首个报文，并启动计费；如果准出权限为“禁止”，则计费网关不转发PCl的首个报文。
[0087]本步骤中，如果PCl成功访问外部网络后，计费网关实时监控PC1，如果PCl闲置一段时间没有向外部网络发送访问流量，或者PCi异常下线，则计费网关停止计费。
[0088]应用本发明方案，BRAS只需要部署一台认证服务器，集中管理用户的内部网络和外部网络访问权限信息，降低了网络成本。当用户进行内部网络访问认证时，将用户的内部网络和外部网络访问权限信息一同发送给BRAS，以告知BRAS该用户访问内部网络和外部网络的权限。当用户需要访问外部网络时，计费网管不需要再次进行外部网络访问授权认证，只需向BRAS查询该用户的外部网络访问权限信息，进而判断是转发用户流量开始计费，还是停止转发用户流量。即用户只需输入一次账号密码即可完成内部网络和外部网络访问授权认证，提升了用户体验。
[0089]针对上述方法，本发明还提出一种计费网关设备，本发明提供的设备结构图如图5所示，包括:
[0090]报文接收模块510，用于接收用户访问外部网络的首个报文，还用于接收接入服务器返回的、携带有所述用户的外部网络访问权限的应答报文，其中，所述用户的外部网络访问权限是接入服务器从所述用户的一次认证授权过程获得的，所述一次认证授权过程对所述用户的内部网络和外部网络的访问权限均进行认证及授权。
[0091]报文发送模块520，用于向接入服务器发送用于查询所述用户的外部网络访问权限的查询报文。
[0092]外部网络访问控制模块530，用于根据所述用户的外部网络访问权限，控制所述用户的外部网络访问。
[0093]所述外部网络访问控制模块进一步包括:
[0094]判断模块531，用于判断所述用户的外部网络访问权限是允许还是禁止。
[0095]计费模块532，如果所述用户的外部网络访问权限是允许，则用于启动计费。
[0096]流量转发模块533，如果所述用户的外部网络访问权限是允许，则用于向外部网络转发用户流量，如果所述用户的外部网络访问权限为禁止，则停止向外部网络转发用户流量。
[0097]针对上述方法，本发明还提出一种宽带接入服务器设备，应用于一内部网络，所述宽带接入服务器通过一计费网关连接至外部网络，本发明提供的设备结构图如图6所示，该设备包括:
[0098]报文发送模块601，用于在一用户的一次认证授权过程中，对所述用户的内部网络和外部网络的访问权限均进行认证及授权，还用于向计费网关发送携带有所述用户的外部网络访问权限的访问权限应答报文，以供所述计费网关根据所述用户的外部网络访问权限，控制所述用户的外部网络访问。
[0099]报文接收模块602，用于获得所述用户的内部网络和外部网络的访问授权信息，还用于接收计费网关在收到所述用户访问外部网络的首个报文后发送的权限查询报文，所述权限查询报文用于查询所述用户的外部网络访问权限。
[0100]查询模块603，用于根据所述访问授权信息，确定所述用户的外部网络访问权限。[0101 ] 所述在一用户的一次认证授权过程中，
[0102]报文发送模块601进一步用于，发送针对一用户的认证授权请求报文给认证授权服务器，请求对所述用户的内部网络和外部网络的访问权限均进行认证及授权。
[0103]报文接收模块602进一步用于，接收认证授权服务器返回的认证授权应答报文，获取所述认证授权应答报文携带的所述用户的访问授权信息。
[0104]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。
【权利要求】
1.一种网络访问控制方法，应用于一内部网络的计费网关，所述内部网络还包括有一接入服务器，所述接入服务器通过所述计费网关连接至外部网络，其特征在于，该方法包括: 计费网关在接收到用户访问外部网络的首个报文时，向接入服务器发送用于查询所述用户的外部网络访问权限的查询报文； 计费网关接收接入服务器返回的、携带有所述用户的外部网络访问权限的应答报文，其中，所述用户的外部网络访问权限是接入服务器从所述用户的一次认证授权过程获得的，所述一次认证授权过程对所述用户的内部网络和外部网络的访问权限均进行认证及授权； 计费网关根据所述用户的外部网络访问权限，控制所述用户的外部网络访问。
2.根据权利要求1所述的方法，其特征在于，所述计费网关根据所述用户的外部网络访问权限，控制所述用户的外部网络访问，包括: 如果所述用户的外部网络访问权限为允许，则所述计费网关向外部网络转发用户流量，并启动计费；如果所述用户的外部网络访问权限为禁止，则所述计费网关停止向外部网络转发用户流量。
3.—种网络访问控制方法，应用于一内部网络的宽带接入服务器，所述宽带接入服务器通过一计费网关连接至外部网络，其特征在于，该方法包括: 接入服务器在一用户的一次认证授权过程中，对所述用户的内部网络和外部网络的访问权限均进行认证及授权，获得所述用户的内部网络和外部网络的访问授权信息； 接入服务器接收计费网关在收到所述用户访问外部网络的首个报文后发送的权限查询报文，所述权限查询报文用于查询所述用户的外部网络访问权限； 接入服务器根据所述访问授权信息，确定所述用户的外部网络访问权限，并向计费网关返回携带有所述用户的外部网络访问权限的访问权限应答报文，以供所述计费网关根据所述用户的外部网络访问权限，控制所述用户的外部网络访问。
4.根据权利要求3所述的方法，其特征在于，所述在一用户的一次认证授权过程中，对所述用户的内部网络和外部网络的访问权限均进行认证及授权，包括: 接入服务器发送针对一用户的认证授权请求报文给认证授权服务器，请求对所述用户的内部网络和外部网络的访问权限均进行认证及授权； 接入服务器接收认证授权服务器返回的认证授权应答报文，获取所述认证授权应答报文携带的所述用户的访问授权信息。
5.一种计费网关设备，应用于一内部网络，所述内部网络还包括有一接入服务器，所述接入服务器通过所述计费网关连接至外部网络，其特征在于，该设备包括: 报文接收模块，用于接收用户访问外部网络的首个报文，还用于接收接入服务器返回的、携带有所述用户的外部网络访问权限的应答报文，其中，所述用户的外部网络访问权限是接入服务器从所述用户的一次认证授权过程获得的，所述一次认证授权过程对所述用户的内部网络和外部网络的访问权限均进行认证及授权； 报文发送模块，用于向接入服务器发送用于查询所述用户的外部网络访问权限的查询报文； 外部网络访问控制模块，用于根据所述用户的外部网络访问权限，控制所述用户的外部网络访问。
6.根据权利要求5所述的设备，其特征在于，所述外部网络访问控制模块进一步包括: 判断模块，用于判断所述用户的外部网络访问权限是允许还是禁止； 计费模块，如果所述用户的外部网络访问权限是允许，则用于启动计费； 流量转发模块，如果所述用户的外部网络访问权限是允许，则用于向外部网络转发用户流量，如果所述用户的外部网络访问权限为禁止，则停止向外部网络转发用户流量。
7.一种宽带接入服务器设备，应用于一内部网络，所述宽带接入服务器通过一计费网关连接至外部网络，其特征在于，该设备包括: 报文接收模块，用于获得所述用户的内部网络和外部网络的访问授权信息，还用于接收计费网关在收到所述用户访问外部网络的首个报文后发送的权限查询报文，所述权限查询报文用于查询所述用户的外部网络访问权限； 查询模块，用于根据所述访问授权信息，确定所述用户的外部网络访问权限； 报文发送模块，用于在一用户的一次认证授权过程中，对所述用户的内部网络和外部网络的访问权限均进行认证及授权，还用于向计费网关发送携带有所述用户的外部网络访问权限的访问权限应答报文，以供所述计费网关根据所述用户的外部网络访问权限，控制所述用户的外部网络访问。
8.根据权利要求7所述的设备，其特征在于，所述在一用户的一次认证授权过程中， 报文发送模块进一步用于，发送针对一用户的认证授权请求报文给认证授权服务器，请求对所述用户的内部网络和`外部网络的访问权限均进行认证及授权； 报文接收模块进一步用于，接收认证授权服务器返回的认证授权应答报文，获取所述认证授权应答报文携带的所述用户的访问授权信息。
【文档编号】H04L29/06GK103825901SQ201410075819
【公开日】2014年5月28日 申请日期:2014年3月4日 优先权日:2014年3月4日
【发明者】邱元香 申请人:杭州华三通信技术有限公司