网络访问控制方法及系统

技术领域

本发明涉及通信领域，更具体地涉及一种网络访问控制方法及 系统。

背景技术

随着互联网的发展，互联网提供的内容呈爆炸级的增长。互联 网为人们提供了各方各面的信息，并成为人们生活、工作、以及娱 乐中不可缺少的因素。但凡事有利就有弊，互联网的知识包罗万象， 其健康的知识、及时的信息确实可以给人们带来帮助、让人们获益 匪浅。但与此同时，互联网也存在暴力淫秽内容，从而影响人们的 正常生活，甚至让未成年人走向歧途。能否设计一种机制来控制用 户所接触的互联网内容，让人们只接受健康的信息呢？结果是肯定 的。目前，业界已经存在一种绿上网业务，这种业务利用运营商 的接入设备把用户的上网行为监控起来，并且为用户提供两个帐号 (正常上网帐号、绿上网帐号)。当家长上网时，采用正常帐号 上网，而小孩上网时，采用绿上网帐号。业务商在接入设备这一 侧监控绿上网帐号访问的互联网内容，一旦发现用户访问受限内 容，则立即通过非法报文攻击的办法，限制用户继续访问该限制级 的网络内容。尽管这种业务可以解决过滤互联网内容的问题，但是 由于机制上的缺陷，使用起来存在很多问题。如，该方法不能解决 家里有多种用户同时上网的问题，如父母和小孩不能同时访问互联 网等。

针对上述问题，本发明提出了一种新的绿上网业务模式：在 现有的绿上网基础上，利用网关设备进行用户识别，并利用多个 拨号接口，采用策略路由的方法，彻底解决多种用户同时上网的问 题。

发明内容

本发明的目的在于提供一种网络访问控制方法及系统，以实现 对用户的上网行为的管理。

根据本发明的网络访问控制方法包括以下步骤：S102，网关设 备建立到网管设备的普通网络连接；S104，网关设备接收来自网管 设备的有关网关设备申请地业务类型的参数信息，并根据参数信 息，在普通网络连接的基础上建立到网管设备的与网关设备申请的 业务类型匹配的网络连接；以及S106，网关设备根据用户类型控制 选择普通网络连接或与网关设备申请的业务类型匹配的网络连接， 从而进行网络访问控制。

其中，步骤S104包括：S1042，网关设备接收来自网关设备的 有关网关设备申请的业务类型的参数信息；S1044，网关设备从参 数信息中获取与网关设备申请的业务类型匹配的网络连接的连接 参数和网络访问控制参数；以及S1046，网关设备根据连接参数， 在普通网络连接的基础上，建立与网关设备申请的业务类型匹配的 网络连接。

其中，步骤S106包括以下步骤：S1062，网关设备通过用户信 息来识别用户类型；S1064，网关设备根据用户类型选择普通网络 连接或与网关设备申请的业务类型匹配的网络连接；S1066，网关 设备通过与网关设备申请的业务类型匹配的网络连接的网络访问 控制参数来进行网络访问控制。

其中，用户类型至少包括以下两种中的至少一种：普通用户和 网络访问受限用户。普通网络连接和与网关设备申请的业务类型匹 配的网络连接都是拨号式网络连接。在网络连接过程中，网关设备 仅对用户类型进行一次识别。

根据本发明的网络访问控制系统包括：第一网络连接设备，用 于建立从网关设备到网管设备的普通网络连接；第二网络连接设 备，用于接收来自网管设备的有关网关设备申请的业务类型的参数 信息，并根据参数信息，在普通网络连接的基础上，建立到网管设 备的与网关设备申请的业务类型匹配的网络连接；以及网络访问控 制设备，用于根据用户类型控制选择普通网络连接或与网关设备申 请的业务类型匹配的网络连接，从而进行网络访问控制。

其中，第二网络连接设备包括：信息接收装置，用于接收来自 网管设备的有关网关设备申请的业务类型的参数信息；参数获取装 置，用于从参数信息中获取与网关设备申请的业务类型匹配的网络 连接的连接参数和网络访问控制参数；以及网络连接装置，用于根 据连接参数，在普通网络连接的基础上，建立与网关设备申请的业 务类型匹配的网络连接。

其中，网络访问控制设备包括：类型识别装置，用于通过用户 信息来识别用户类型；连接选择装置，用于根据用户类型选择普通 网络连接或与网关设备申请的业务类型匹配的网络连接；访问控制 装置，用于通过与网关设备申请的业务类型匹配的网络连接的网络 访问控制参数来进行网络访问控制。

其中，用户类型至少包括以下两种中的至少一种：普通用户和 网络访问受限用户。普通网络连接和与网关设备申请的业务类型匹 配的网络连接都是拨号式网络连接。在网络连接过程中，网络访问 控制系统仅对用户类型进行一次识别。

通过本发明，可以充分利用现有局方和业务提供方的网络设 备，节约新增业务投资，同时可以解决多种用户同时上网的问题(如 父母和小孩可以同时访问互联网)。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申 请的一部分，本发明的示意性实施例及其说明用于解释本发明，并 不构成对本发明的不当限定。在附图中：

图1a至图1c是根据本发明实施例的网络访问控制方法及其步 骤的流程图；

图2是用于实现图1a至图1c所示的网络访问控制方法及其步 骤的网络访问控制系统的框图；

图3是根据本发明又一实施例的网络访问控制方法的流程示意 图；

图4是用于实现图3所示的网络访问控制方法的网络访问控制 系统的框图；以及

图5是图4中所示的网络访问控制系统中的家庭网关设备的详 细框图。

具体实施方式

参考图1a，说明根据本发明实施例的网络访问控制方法。如图 1所示，该网络访问控制方法包括以下步骤：S102，网关设备建立 到网管设备的普通网络连接；S104，网关设备接收来自网管设备的 有关网关设备申请的业务类型的参数信息，并根据参数信息，在普 通网络连接的基础上建立到网管设备的与网关设备申请的业务类 型匹配的网络连接；以及S106，网关设备根据用户类型控制选择普 通网络连接或与网关设备申请的业务类型匹配的网络连接，从而进 行网络访问控制。

其中，如图1b所示，步骤S104包括：S1042，网关设备接收 来自网关设备的有关网关设备申请的业务类型的参数信息；S1044， 网关设备从参数信息中获取与网关设备申请的业务类型匹配的网 络连接的连接参数和网络访问控制参数；以及S1046，网关设备根 据连接参数，在普通网络连接的基础上，建立与网关设备申请的业 务类型匹配的网络连接。

其中，如图1c所示，步骤S106包括以下步骤：S1062，网关 设备通过用户信息来识别用户类型；S1064，网关设备根据用户类 型选择普通网络连接或与网关设备申请的业务类型匹配的网络连 接；S1066，网关设备通过与网关设备申请的业务类型匹配的网络 连接的网络访问控制参数来进行网络访问控制。

其中，用户类型至少包括以下两种中的至少一种：普通用户和 网络访问受限用户。普通网络连接和与网关设备申请的业务类型匹 配的网络连接都是拨号式网络连接。在网络连接过程中，网关设备 仅对用户类型进行一次识别。

参考图2，说明用于实现图1a至图1c所示的网络访问控制方 法及其步骤的网络访问控制系统。如图2所示，该网络访问控制系 统包括：第一网络连接设备202，用于建立从网关设备到网管设备 的普通网络连接；第二网络连接设备204，用于接收来自网管设备 的有关网关设备申请的业务类型的参数信息，并根据参数信息，在 普通网络连接的基础上，建立到网管设备的与网关设备申请的业务 类型匹配的网络连接；以及网络访问控制设备206，用于根据用户 类型控制选择普通网络连接或与网关设备申请的业务类型匹配的 网络连接，从而进行网络访问控制。

其中，第二网络连接设备204包括：信息接收装置2042，用于 接收来自网管设备的有关网关设备申请的业务类型的参数信息；参 数获取装置2044，用于从参数信息中获取与网关设备申请的业务类 型匹配的网络连接的连接参数和网络访问控制参数；以及网络连接 装置2046，用于根据连接参数，在普通网络连接的基础上，建立与 网关设备申请的业务类型匹配的网络连接。

其中，网络访问控制设备206包括：类型识别装置2062，用于 通过用户信息来识别用户类型；连接选择装置2064，用于根据用户 类型选择普通网络连接或与网关设备申请的业务类型匹配的网络 连接；访问控制装置2066，用于通过与网关设备申请的业务类型匹 配的网络连接的网络访问控制参数来进行网络访问控制。

其中，用户类型至少包括以下两种中的至少一种：普通用户和 网络访问受限用户。普通网络连接和与网关设备申请的业务类型匹 配的网络连接都是拨号式网络连接。在网络连接过程中，网络访问 控制系统仅对用户类型进行一次识别。

参考图3，说明根据本发明又一实施例的网络访问控制方法。 图3所示的网络访问控制业务需要用户到局方开通业务，并且需要 局方网管设备、业务服务设备、以及网关设备的共同配合才能实现 完整的网络访问控制流程。下面将以用户开通业务为起点，描述整 个业务流程。如图3所示，该流程包括以下步骤：

S302，用户把家庭网关设备上电，并用局方提供的普通帐号进 行拨号，建立普通连接。

S304，网关设备根据其上保存的网管设备的配置信息，自动到 局方网管设备上进行注册操作。

S306，网管设备完成网关的注册鉴权后，查询该网关设备所申 请的业务，发现绿上网业务，这时，网管设备自动把绿上网的 参数信息(如绿上网帐号、用户名、和密码)推送到家庭网关设 备上。

S308，网关设备收到该信息后，立即用该信息中的绿上网帐 号进行拨号；同时，家庭网关设备中的用户管理模块根据该信息中 的用户信息建立用户帐号；绿上网管理模块根据该信息建立用户 的网络过滤策略，并且在网关的网络层配置缺省不能通过的过滤规 则。

S310，用户开始访问互联网，这时用户的浏览器终端发出Http 报文。

S312，家庭网关设备收到该报文后，由于无法判定发送该报文 的用户类型，所以首先把报文丢弃，并返回Http重定向报文，将用 户的浏览器重定向到网关设备的用户权限配置页面上。

S314，用户在用户权限配置页面提示的指导下，输入用户名和 密码，然后网关设备的用户管理模块对该信息进行鉴权操作。

S316，鉴权成功后，用户管理模块通过报文获得用户终端的IP 或MAC地址等信息，并和用户名绑定，并把该IP或MAC信息内 容一起通知绿上网管理模块，绿上网管理模块根据该IP/MAC 信息和用户的绑定关系，把该用户的策略建立在对应的IP和MAC 地址上；同时，网关策略路由模块就该IP/MAC地址信息生成策略 路由规则。

S318，用户再次上网，该报文进入网关设备的网络层时，首先 是进入路由处理部分进行选路操作，由于有了步骤S216中配置的 策略路由信息，所以该报文自动选择所需要的Wan接口(普通接口 或绿上网接口)。选路结束后，报文进入绿上网控制的过滤部 分，由于网关设备的网络层根据该用户的IP/MAC建立了新的规则， 所以网关的网络层不再强制返回Http重定向报文，而是让用户的 Http报文在网络层顺利通过，最后该报文进入对应的Wan连接模块 发送出去。

S320，报文通过局方接入设备，业务服务提供方在此处获取用 户的报文，并取出该报文的访问内容，并和该报文的源地址、拨号 帐号等信息绑定在一起，发送到业务服务提供方的策略服务器。

S322，策略服务器根据该用户信息以及报文内容，判断该报文 是否在该用户的访问权限之内，如果访问没有越权，则不处理；否 则立即执行步骤S324。

S324，判断该用户访问越权后，业务服务提供方在接入设备侧 向网关发送TCP中止连接的欺骗报文，当用户浏览器收到后，误认 为连接已经中断，则不再进行正常工作，从而实现整个网络访问控 制流程。

参考图4、图5，说明用于实现图3所示的网络访问控制方法 的网络访问控制系统。如图4所示，该网络访问控制系统主要包括 绿上网门户网站402、策略服务器404、内容服务器406、网管设 备408、接入设备410、以及家庭网关设备412、互联网服务器414 等。其中：

绿上网门户网站402由业务服务提供方提供，供用户设定网 络过滤策略。

内容服务器406提供互联网上URL地址的分级信息，以供策 略服务器查询，判断报文类型。

网管设备408是局方的业务管理、受理设备的总称，具体包含 很多部分(如前台设备、97系统、访问控制服务器(Access Control Server，简称ACS)等)。网管设备为用户开通业务，并把用户信息 发送到业务服务提供方以及家庭网关设备上。

接入设备410也是局方(业务方)在接入端的设备总称，包含 数字用户线接入服务器(DSL Acess Multiplexer，Dslam)、宽带接 入服务器(Broadband Remote Access Server，简称BRAS)、交换机、 镜像交换机等。该部分的主要功能包括：建立用户的拨号连接；镜 像用户传输的报文；提取报文中的关键信息(如报文访问URL地 址、报文IP、对应用户信息等)；同后方的策略服务器通讯，分析 判断用户是否有权访问；以及发送伪造的禁止访问报文等工作。

家庭网关设备412是绿上网业务中多种用户功能的主要实现 者，该网关实现用户鉴权、用户选路、用户访问内容过滤等工作。

其中，如图5所示，用于实现用户权限鉴定、报文动态路由等 功能的网关设备412包括用户管理模块4122、策略路由模块4124、 绿上网模块4126、拨号(Wan)连接模块4128等。网关设备实 现用户权限鉴定、报文动态路由等功能的流程为：用户到局方申请 绿上网业务，业务开通后，局方网管设备自动把业务参数信息推 送到用户的网关设备上；网关设备的Wan连接模块根据绿上网的 参数信息，在已建立的普通Wan连接的基础上，再建立绿上网拨 号连接；用户管理模块根据该信息中的用户信息，建立绿上网用 户，如家长，小孩等；绿上网管理模块在网关网络层配置缺省不 可访问互联网的规则，同时，配置家长和小孩的过滤策略；用户开 始访问互联网，Http报文到达网关设备，立即被网关设备的缺省策 略丢弃，并将用户重定向到网络权限配置页面上，用户在页面提示 的指导下，输入用户名和密码；用户管理模块进行鉴权操作，鉴权 成功后，用户管理模通过报文获取用户的IP或MAC信息，并通知 策略路由模块，就该IP/MAC建立策略路由规则；同时通知绿上 网管理模块，将该用户的策略生效。

当用户完成认证页面的工作，再次访问互联网时，Http报文到 达网关设备的协议栈，首先通过策略路由处理部分选择对应的普通 连接或绿上网连接，然后经过网络层过滤部分，进入新的处理策 略，不再被丢弃，而是直接通过，最后通过普通Wan连接或者绿 上网Wan连接发送出去，从而完成对用户权限的鉴权管理流程。

通过以上流程，实现了用户鉴权功能，并解决了多种用户同时 上网的管理问题。

本发明利用局方、业务服务提供方、以及用户的网关设备的共 同作用，实现了网络访问控制功能。在这个业务中，局方负责用户 业务权限受理，业务服务提供方提供网络访问过滤服务，用户网关 设备实现用户管理，从而解决了多用户同时上网的问题。

本领于技术人员将很容易了解到本发明其它优点和修改。因 此，本发明更广泛的方面并不限于本文中示出以及描述的特定细节 和典型实施例。因此，可在不脱离由权利要求及其等效物所限定的 本发明的精神或范围的条件下做出各种修改。