CN102469078A - 一种校园网接入外部网络的实现方法、系统及装置 - Google Patents
一种校园网接入外部网络的实现方法、系统及装置 Download PDFInfo
- Publication number
- CN102469078A CN102469078A CN2010105390142A CN201010539014A CN102469078A CN 102469078 A CN102469078 A CN 102469078A CN 2010105390142 A CN2010105390142 A CN 2010105390142A CN 201010539014 A CN201010539014 A CN 201010539014A CN 102469078 A CN102469078 A CN 102469078A
- Authority
- CN
- China
- Prior art keywords
- authentication
- network
- user
- account
- campus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种校园网接入外部网络的实现方法、系统及装置:A、认证网关接收到终端发送的网络访问请求,如果该请求的目的地址为校园网内地址,执行步骤B,否则,执行步骤C;B、认证网关将该终端访问网络的数据包路由指向校园网内;C、认证网关向使用该终端的用户推送web认证页,接收用户通过该页面返回的账号类别及账号,如果是I类账号,则执行步骤D;否则执行步骤E;D、认证网关向本地认证计费服务器发起认证请求,认证通过后,控制用户通过校园网的第一出口访问外部网络;E、认证网关向远程认证计费服务器发起认证请求,认证通过后,控制该用户通过校园网的第二出口访问外部网络。本发明用于实现一种合作运营的校园网。
Description
技术领域
本发明涉及不同网络之间的互联技术,特别涉及一种校园网接入外部网络的实现方法、系统及装置。
背景技术
随着高校网络需求不断提高,高校校园网通常在中国教育和科研计算机网(CERNET,China Education&Research Net)出口之外另增运营商网络出口;高校与其他社会力量合作建设和运营校园网同样成为趋势。校园网开始从过去的单出口(CERNET)、单认证计费管理方(校方),逐步向多出口(CERNET出口以及一到多个运营商网络出口)、多认证计费管理方(校方及合作运营方)发展,出现了校园网多出口、多认证、多方对网络运营进行管理监督的复杂情况。
在此情况下,对于校园网接入外部网络,期望实现以下预设规则:不认证用户能够使用校园网免费资源,两类认证用户账号均可在校园网接入网上使用,其中仅校方认证的用户账号能够通过CERNET出口链路访问外部网络,仅合作运营方认证的用户账号能够通过校园网第二出口链路访问外部网络,两类认证用户都能够通过CERNET出口直接访问CERNET中的指定范围的IP地址,以便于使用CERNET范围内的学术数据库等资源,此外校方与合作运营方均可对相关账号和网络出口进行监督管理。
对于校园网的多出口、多认证计费管理方的情况,现有的实现方法为:简化的校园网网络结构,采用二层网络结构和基于以太网的端到端协议(PPPOE)认证方式,将数据交换负担集中在宽带接入服务器(BAS)设备上;简化的认证管理,由学校或合作运营方单独进行全部认证计费管理,或将校园网分离为两个平面,分别由校方和合作运营方进行认证、管理和计费。
但是,目前这些校园网接入外部网络的实现方法存在问题,这是因为:
对于简化的校园网的网络结构,由于校园网用户和家庭网络用户的网络使用情况不同,校园网内存在大量的内部数据交换与资源共享情况,采用二层网络及PPPOE认证使得BAS负担过重,而且不利于校园网的安全;
对于简化的认证管理,多方共同建立的校园网,由一方独立认证计费,即使给另一方以客户端查询权限,由于工作量的原因仍然不易做到全面监督;如果由两个认证方各自对所投资建设的部分校园网进行独立管理,则存在重复建设、资源无法共享、校方对部分校园网使用情况无法管理监督的问题,对于校方购买的基于学校IP地址认证的学术数据库资源,非校方认证的用户则难以访问。
综上,对于多出口及多认证的校园网,现有方法无法在上文所设定的规则下接入外部网络。
发明内容
有鉴于此,本发明提供一种校园网接入外部网络的实现方法,该方法能够实现具有多出口及多认证的校园网,使得该校园网在设定规则下接入外部网络。
本发明还提供一种校园网接入外部网络的系统,该系统能够实现具有多出口及多认证的校园网,使得该校园网在设定规则下接入外部网络。
本发明还提供一种校园网接入外部网络的认证网关,该认证网关能够实现具有多出口及多认证的校园网,使得该校园网在设定规则下接入外部网络。
为达到上述目的,本发明实施例的技术方案具体是这样实现的:
一种校园网接入外部网络的实现方法,在校园网中设置认证网关,根据账号类别进行认证和路由,该方法还包括:
A、认证网关接收到校园网内终端发送的网络访问请求,根据目的地址确定是否为校园网内地址,如果是,执行步骤B,否则,执行步骤C;
B、认证网关将该终端访问网络的数据包路由指向校园网内;
C、认证网关向该终端推送web认证登陆页,接收该用户通过该页面返回的账号类别、账号及密码,确认账号类别如果是校方认证的I类账号,则执行步骤D;否则执行步骤E;
D、认证网关向校方的本地认证计费服务器发起认证请求,提供用户的账号及密码,认证通过后,将该终端访问网络的数据包路由指向校园网第一出口,控制用户通过校园网的第一出口访问外部网络中国教育和科研计算机网CERNET;
E、认证网关向合作运营方的远程认证计费服务器发起认证请求,提供用户的账号及密码,认证通过后,将该终端访问网络的数据包路由指向校园网第二出口,控制该用户通过校园网的第二出口访问外部网络运营商网络。
所述步骤E在将该终端访问网络的数据包路由指向校园网第二出口前,还包括:
判断该终端访问网络的数据包的目的地址是否属于CERNET内的指定地址,是则将路由指向校园网第一出口;如果否,则该终端访问网络的数据包路由指向校园网第二出口。
所述校园网的第二出口设置接入控制网关,步骤E所述控制该用户通过校园网的第二出口访问外部网络的过程为:
接入控制网关在线侦听远程认证计费服务器的认证成功信息,根据侦听的认证成功信息确定认证成功用户的数据包,透传认证成功用户的数据包,阻断未认证用户数据包。
一种校园网接入外部网络的实现系统,包括:校园网接入网、认证网关、核心交换机、本地认证计费服务器、校园网第一出口、校园网第二出口、远程认证计费服务器及接入控制网关,其中,
校园网接入网,采用三层网络结构,用于为用户提供网络服务;
认证网关,用于接收校园网内终端发送的网络访问请求,当网络访问的目的地址为校园网外部地址时,向该终端推送web认证登陆页,接收用户通过该页面返回的账号类别及账号,确认账号类别如果账号类别是校方认证的I类账号,向本地认证计费服务器发起认证请求,认证通过后,将该终端访问网络的数据包路由指向校园网第一出口,如果否,向远程计费服务器发起认证,通过后,将该终端访问网络的数据包路由指向校园网第二出口;
校园网核心交换机,用于根据设定的路由策略将数据包传输到相应网络中;
校园网第一出口,归属于校方,用于连接校园网和外部网络CERNET,传输校园网的数据包;
校园网第二出口,归属于合作运营方,用于连接校园网和外部网络运营商网络,传输校园网的数据包;
本地认证计费服务器,归属于校方,用于对I类账号用户进行认证计费;
远程认证计费服务器,归属于合作运营方,用于对II类账号进行认证计费。
该系统还包括接入控制网关,用于在线侦听远程认证计费服务器的认证成功信息,透传认证成功用户的数据包,阻断未认证用户数据包。
所述认证网关,还用于当网络访问的目的地址为校园内地址时,将该终端访问网络的数据包通过校园网核心交换机转发至校园网内的目的地址。
一种校园网接入外部网络的实现装置认证网关,包括:接入控制模块、Web认证页服务、认证鉴权、路由模块,其中,
接入控制模块,用于检测使用发起网络访问请求的终端的用户是否已通过身份认证,如果否,则拦截未授权用户的访问请求,通知Web认证页服务模块;如果是,则放行,根据从认证鉴权模块接收的控制策略,将对该终端的数据包的路由策略发给路由模块。
Web认证页服务模块,用于向终端推送web认证登录界面,接收该用户提交的账号类别、帐户及密码,识别该用户的帐号类别,转发该用户的账号及密码到认证鉴权模块,将认证鉴权模块返回的认证结果通过推送web页方式通知该用户;
认证鉴权模块,用于接收来自web认证页服务模块的该用户的账号及密码,提交到相应的认证计费服务器进行认证,根据返回的认证结果,结合不同用户类型下发相应的控制策略到接入控制模块,同时将认证结果返回给web认证页服务模块;
路由模块,根据预置路由策略原则,结合接入控制模块提供的该终端的路由策略,进行路由选择。
所述路由模块,还用于维护通过认证的用户账号的在线列表信息,包括该账号的账号名称、登录对应使用的源IP地址,及对应的认证标识,根据在线列表信息中账号的认证标识与源IP地址,依据目的地址和预设的基于账号类型的路由策略原则,进行路由选择及转发。
由上述技术方案可见,本发明在校园网接入网具有三层网络结构的基础上,保证不认证用户能够使用校园网的免费网络资源,保证两类认证用户账号可同时在校园网接入网上使用,两类用户都能够通过CERNET出口直接访问CERNET网内的指定范围的IP地址,以便于使用CERNET范围内的学术数据库等资源。本发明在校园网设置认证网关,向提出访问外部网络的校园网用户推送web认证页,根据用户提交的账号类型向不同认证方提交认证请求,根据用户账号认证结果及目标地址进行路由选择与转发,使两类账号分别使用不同的校园网出口访问外部网络,也使校方通过设置在本地的认证网关可以全面监督校园网两类用户情况。本发明在校园网的第二出口设置接入控制网关,实时侦听认证情况,阻断未认证数据包,从而使合作运营方不仅能够对II类账号用户进行认证管理,还可以限制仅有认证过的II类账号用户数据流通过校园网第二出口。因此,本发明提供的方法、系统及装置实现多出口、多认证的校园网,使得该校园网在满足上文所述预设规则的情况下接入外部网络,使得校园网在需要多认证管理的情况下,能够基于用户账号进行路由控制,精确解决认证与路由相关问题,保证了校园网资源开放共享、灵活控制及合理管理监督,也避免了现有方法的BAS负担过重及合作双方无法管理监督的问题。
附图说明
图1为本发明提供的校园网接入外部网络的实现系统结构示意图;
图2为本发明提供的认证网关功能模块示意图;
图3为本发明提供的校园网接入外部网络的实现系统实施例示意图;
图4为本发明提供的校园网接入外部网络的方法流程图;
图5为本发明提供的校园网接入外部网络的方法实施例流程图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明作进一步详细说明。
从现有技术可以看出,在校园网中采用二层网络结构和PPPOE认证方式,导致了所有数据包都经过BAS进行交换处理,BAS负担过重,同时也只能由一个认证方统一进行认证计费管理,另一合作运营方无法进行有效监督,更不可能实现不同类认证用户的网络访问数据流使用不同出口链路的需求。因此,目前无法真正在校园网中实现多外部网络出口、及多认证的统一融合管理。
因此,本发明为了解决这个问题,在校园网设置认证网关,该认证网关可跨越三层网络对提出访问校外网络资源的用户推送web认证页,根据用户提供的账号类别确定认证计费服务器,由认证计费服务器认证通过后,根据用户账号及目的地址确定到外部网络的路由。
这样,本发明保证了校园网接入网可以具有三层网络结构,数据交换无需集中到BAS上,解决了校园网内共享数据多造成BAS负担过重的问题。
同时,在保证不认证用户能够使用校园网内的免费网络资源的基础上,保证了校园网接入网上可存在两类分别由不同认证方进行认证计费的用户账号,两类用户的网络访问数据流能够准确通过不同出口链路访问外部网络,两类用户都能够通过CERNET出口直接访问CERNET网内的指定范围的IP地址,保证了各类校园网用户都能够使用CERNET范围内的学术数据库等资源。
此外,校方通过设置在校内的认证网关可以监测到所有认证用户情况;合作运营方通过设置在校园网第二出口的接入控制网关,阻断非法使用校园网第二出口的数据包,从而使合作运营方不仅能够对II类账号用户进行认证管理,还可以限制仅有合作运营方认证通过的用户可以使用校园网第二出口链路。因此校方和合作运营方均较好的实现了对网络的监督管理权限。
图1为本发明提供的校园网接入外部网络的实现系统结构示意图,如图所示,包括:校园网接入网、认证网关、核心交换机、本地认证计费服务器、校园网第一出口、校园网第二出口、远程认证计费服务器及接入控制网关,其中,
校园网接入网,采用三层网络结构,用于为用户提供网络服务;
认证网关,用于接收校园网内终端发送的网络访问请求,当网络访问的目的地址为校园网外部地址时,向该终端推送web认证登陆页,接收用户通过该页面返回的账号类别及账号,确认账号类别如果账号类别是校方认证的I类账号,向本地认证计费服务器发起认证请求,认证通过后,将该终端访问网络的数据包路由指向校园网第一出口,如果否,向远程计费服务器发起认证,通过后,将该终端访问网络的数据包路由指向校园网第二出口;
校园网核心交换机,用于根据设定的路由策略将数据包传输到相应网络中;
校园网第一出口,归属于校方,用于连接校园网和外部网络CERNET,传输校园网的数据包;
校园网第二出口,归属于合作运营方,用于连接校园网和外部网络运营商网络,传输校园网的数据包;
本地认证计费服务器,归属于校方,用于对I类账号用户进行认证计费;
远程认证计费服务器,归属于合作运营方,用于对II类账号进行认证计费。
接入控制网关,用于在线侦听远程认证计费服务器的认证成功信息,透传认证成功用户的数据包,阻断未认证用户数据包。
在该系统中,也可以不包括接入控制网关,不对第二出口的数据包认证情况进行进一步的监督。
在该系统中,认证网关,还用于当网络访问的目的地址为校园内地址时,将该终端访问网络的数据包通过校园网核心交换机转发至校园网内的目的地址。
在该系统中,还包括校内服务器,代表校内网络资源,当网络访问的目的地址为校内服务器的地址时,认证网关将该终端的数据包转向校园网核心交换机,继而转发到校内服务器上。
在本发明实施例中,本地认证计费服务器即校方的认证计费服务器,将其认证的用户称为I类帐号用户;远程认证计费服务器即合作运营方的认证计费服务器,将其认证的用户称为II类账号用户。
在本发明实施例中,接入控制网关根据用户的数据包是否属于远程认证计费服务器认证通过的II类账号用户的数据包,决定是否允许其通过,从而保障合作运营方的对第二出口链路资源使用的控制,仅经远程认证计费服务器认证通过的用户的数据包能够通过校园网第二出口。
图2为本发明提供的认证网关功能模块示意图,包括:接入控制模块、Web认证页服务、认证鉴权、路由模块,其中,
接入控制模块,用于检测使用发起网络访问请求的终端的用户是否已通过身份认证,如果否,则拦截未授权用户的访问请求,通知Web认证页服务模块;如果是,则放行,根据从认证鉴权模块接收的控制策略,将对该终端的数据包的路由策略发给路由模块。
Web认证页服务模块,用于向用户终端推送web认证登录界面,接收该用户提交的账号类别、帐户及密码,识别该用户的帐号类别,转发该用户的账号及密码到认证鉴权模块,将认证鉴权模块返回的认证结果通过推送web页方式通知该用户;
认证鉴权模块,用于接收来自web认证页服务模块的该用户的账号及密码,提交到相应的认证计费服务器进行认证,根据返回的认证结果,结合不同用户类型下发相应的控制策略到接入控制模块,同时将认证结果返回给web认证页服务模块;
路由模块,根据预置路由策略原则,结合接入控制模块提供的该终端的路由策略,进行路由选择。
在该实施例中,路由模块的具体实施方式为:维护通过认证的用户账号的在线列表信息,包括该账号的账号名称、登录对应使用的源IP地址,及对应的认证标识,根据在线列表信息中账号的认证标识与源IP地址,判断目的地址,依据预设的基于账号类型的路由策略原则,进行路由选择及转发。
图3为本发明提供的校园网接入外部网络的实现系统实施例示意图,如图所示,该示意图包括了校园接入网,在校园接入网中具有接入网核心交换机;认证网关;作为核心交换机的校园网核心交换机,可以由校园网服务器群组成;作为本地认证计费服务器的校园认证服务器;接入控制网关;作为远程认证计费服务器的运营商认证服务器;校园网第一出口及校园网第二出口,该系统的交互方式与图1所述的方式相同。
在该实施例中,校园网接入网分为有线局域网(LAN)和无线局域网(WLAN),I类账号用户可使用LAN,由校方在本地认证,II类账号用户可使用LAN和WLAN,由合作运营方远程认证。
在该实施例中,对于LAN接入用户推送双选Web认证界面,要求用户选择所持账号类型为I类账号还是II类账号,对WLAN接入用户终端推送单选Web认证界面,即默认WLAN接入的用户为II类账号,不允许I类账号用户使用WLAN,由此对两类账号的权限在接入服务上也进行了区别。
在本发明实施例中,校园网中的各类型用户的权限和出口路由如表一所示:
表一
图4为本发明提供的校园网接入外部网络的方法流程图,其具体步骤为:
步骤401、校园网内的终端发起网络访问请求;
步骤402、认证网关接收到终端的网络访问请求,检测其目的地址是否属于校内IP地址范围,如果是,向校园网核心交换机转发用户数据包,并转入步骤403,否则,转入步骤404;
步骤403、校园网核心交换机接收到来自认证网关的数据包,转发至校内服务器,使得使用该终端的用户可以访问校园内网络资源;
步骤404、认证网关向使用该终端的用户推送web认证登陆页,要求该用户选择账号类别,并输入账号名和密码;
步骤405、该用户选择账号类别,并输入账号和密码;
步骤406、认证网关判断用户账号类别,如果是II类账号,转入步骤407,否则转入步骤417;
步骤407、认证网关将账号密码发给远程认证计费服务器,发起认证请求;
步骤408、远程认证计费服务器收到认证请求,判断账号合法性,将认证鉴权结果返回给认证网关;
认证计费服务器如何进行认证和计费的具体过程有多种,由于是本领域人员的公知常识,这里不再累述;
步骤409、认证网关收到认证鉴权结果,如果认证通过,转入步骤411、否则,转入步骤410;
步骤410、认证网关向该用户返回认证结果,提示非法账号名和密码,禁止该用户访问外部网络;
步骤411、该用户收到认证成功提示,开始访问外部网络;
步骤412、认证网关判断用户要访问的目标地址是否属于CERNET内的指定地址范围,如果是,向校园网核心交换机转发数据包,转入步骤413,否则,转入步骤414;
步骤413、该用户通过通过校园网第一出口访问外部网络;
步骤414、接入控制网关判断经过的数据包的源IP地址是否属于认证通过的用户,是则放行,转入步骤416,否则转入步骤415;
接入控制网关对于认证请求报文给予放行,并通过侦听远程认证计费服务器的认证成功报文,维护在线用户列表,对于经过的数据包,根据在线用户列表判断其源IP地址是否属于认证成功的用户,如果是则透传,否则禁止通过;
步骤415、接入控制网关禁止数据包通过;
步骤416、该用户通过校园网第二出口访问外部网络;
此后接入控制网关将透传此用户对应的源IP地址的数据包;
步骤417、认证网关将账号密码发给校园本地认证计费服务器,发起认证请求;
步骤418、校园本地认证计费服务器收到认证请求,判断用户合法性,将结果返回给认证网关;
认证计费服务器如何进行认证和计费的具体过程有多种,由于是本领域人员的公知常识,这里不再累述;
步骤419、认证网关收到认证鉴权结果,如果认证通过,转入步骤421、否则转入步骤420;
步骤420、认证网关向终端返回认证结果,提示非法账号名和密码,禁止此终端访问外部网络;
步骤421、该用户收到认证成功提示,通过校园网第二出口访问外部网络。
这样,就可以在校园网在多出口(CERNET出口和运营商网络出口)、多认证(校方和合作运营方)情况下,满足预设规则:不认证用户能够使用校园网免费资源,两类认证用户账号可均可在校园网接入网上使用,其中仅校方认证的用户能够主要通过CERNET出口链路访问外部网络,仅合作运营方认证的用户能够通过校园网第二出口链路访问外部网络。
在本发明中,两类认证用户都能够通过CERNET出口直接访问CERNET网内的指定范围的IP地址,以便于使用CERNET范围内的学术数据库等资源,校方与合作运营方均可对相关账号和网络出口进行监督管理,实现以下功能:
1)实现校园网资源充分共享:无论用户是否通过认证,都可以访问校园内的免费服务器资源;对于高校用户,需要访问CERNET内一些特有资源,如某些学术数据库,本方法中,无论认证终端使用哪类账号,都可以直接通过校园网访问属于CERNET内指定的IP地址范围内的资源;
2)实现了三层网络的多方认证,采用web认证方式跨越三层网络,通过认证网关根据账号类型及目的地址决定连路由,准确控制不同类账号使用不同出口链路资源访问外部网络;
3)实现校方对校内所有网络用户的监督管理,以及对合作运营方开户情况的有效监督:认证网关位于校内,无论I类账号还是II类账号用户,都通过认证网关发起认证请求;
4)实现合作运营方校园网第二出口链路资源的管控:接入控制网关属于合作运营方,对己方认证通过的用户数据流给予放行,阻断非法数据流,防止对第二出口链路资源的非法使用。
图5为本发明基于图3提供的实现系统实施例示意图,提供的校园网接入外部网络的方法实施例流程图,实施例中校园网中的各种用户的权限参见表一,其具体步骤为:
步骤501、用户发起网络访问请求;
步骤502、认证网关接收到校园网内的终端发送的网络访问请求,检测其目的地址是否属于校内IP地址范围,如果是,向校园网核心交换机转发用户数据包,并转入步骤503,否则转入步骤504;
步骤503、校园网核心交换机接收到来自认证网关的数据包,转发至校内服务器;
步骤504、认证网关判断数据包源地址是否属于WLAN接入的IP地址范围,如果是,则转入步骤505,否则转入步骤517;
步骤505、认证网关向使用该终端的用户推送单选web认证登陆界面(默认用户账号类型为合作运营方认证的II类账号),要求用户输入账号名和密码;
步骤506、用户在web认证登陆页输入账号名和密码;
步骤507、认证网关将账号密码发给运营商认证服务器,发起认证请求;
步骤508、运营商认证服务器收到认证请求,判断用户合法性,将结果返回给认证网关;
步骤509、认证网关收到认证鉴权结果,如果认证通过,转入步骤511;否则,转入步骤510;
步骤510、认证网关向终端返回认证结果,提示非法账号名和密码,禁止此终端访问外部网络;
步骤511、用户收到认证成功提示,开始访问外部网络;
步骤512、认证网关判断用户要访问的目标地址是否属于CERNET内的指定地址范围,如果是,向校园网核心交换机转发数据包,转入步骤513,否则转入步骤514;
步骤513、用户通过通过校园网第一出口访问外部网络;
步骤514、接入控制网关判断经过的网络访问数据包的源IP地址是否属于认证通过的用户,是则放行,转入步骤516,否则转入步骤515;
接入控制网关对于认证请求报文给予放行,并通过侦听远程认证计费服务器的认证成功报文,维护在线用户列表,对于经过的网络访问数据包,根据在线用户列表判断其源IP地址是否属于认证成功的用户,如果是则透传,否则禁止通过;
步骤515、接入控制网关禁止数据包通过;
步骤516、用户通过校园网第二出口访问外部网络;
步骤517、认证网关向用户终端推送web认证登陆页,要求用户选择账号类别,并输入账号名和密码;
步骤518、用户选择账号类别,并输入账号和密码;
步骤519、认证网关判断用户账号类别,如果是II类账号,转入步骤507,否则,转入步骤520;
步骤520、认证网关将账号密码发给校内认证服务器,发起认证请求;
步骤521、校内认证服务器收到认证请求,判断用户合法性,将结果返回给认证网关;
步骤522、认证网关收到认证鉴权结果,如果认证通过,转入步骤524,否则转入步骤523;
步骤523、认证网关向终端返回认证结果,提示非法账号名和密码,禁止此终端访问外部网络;
步骤524、用户收到认证成功提示,通过校园网第二出口访问外部网络。
以上举较佳实施例,对本发明的目的、技术方案和优点进行了进一步详细说明,所应理解的是,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种校园网接入外部网络的实现方法,其特征在于,在校园网中设置认证网关,根据账号类别进行认证和路由,该方法还包括:
A、认证网关接收到校园网内终端发送的网络访问请求,根据目的地址确定是否为校园网内地址,如果是,执行步骤B,否则,执行步骤C;
B、认证网关将该终端访问网络的数据包路由指向校园网内;
C、认证网关向该终端推送web认证登陆页,接收该用户通过该页面返回的账号类别、账号及密码,确认账号类别如果是校方认证的I类账号,则执行步骤D;否则执行步骤E;
D、认证网关向校方的本地认证计费服务器发起认证请求,提供用户的账号及密码,认证通过后,将该终端访问网络的数据包路由指向校园网第一出口,控制用户通过校园网的第一出口访问外部网络中国教育和科研计算机网CERNET;
E、认证网关向合作运营方的远程认证计费服务器发起认证请求,提供用户的账号及密码,认证通过后,将该终端访问网络的数据包路由指向校园网第二出口,控制该用户通过校园网的第二出口访问外部网络运营商网络。
2.如权利要求1所述的方法,其特征在于,所述步骤E在将该终端访问网络的数据包路由指向校园网第二出口前,还包括:
判断该终端访问网络的数据包的目的地址是否属于CERNET内的指定地址,是则将路由指向校园网第一出口;如果否,则该终端访问网络的数据包路由指向校园网第二出口。
3.如权利要求1所述的方法,其特征在于,所述校园网的第二出口设置接入控制网关,步骤E所述控制该用户通过校园网的第二出口访问外部网络的过程为:
接入控制网关在线侦听远程认证计费服务器的认证成功信息,根据侦听的认证成功信息确定认证成功用户的数据包,透传认证成功用户的数据包,阻断未认证用户数据包。
4.一种校园网接入外部网络的实现系统,其特征在于,包括:校园网接入网、认证网关、核心交换机、本地认证计费服务器、校园网第一出口、校园网第二出口、远程认证计费服务器及接入控制网关,其中,
校园网接入网,采用三层网络结构,用于为用户提供网络服务;
认证网关,用于接收校园网内终端发送的网络访问请求,当网络访问的目的地址为校园网外部地址时,向该终端推送web认证登陆页,接收用户通过该页面返回的账号类别及账号,确认账号类别如果账号类别是校方认证的I类账号,向本地认证计费服务器发起认证请求,认证通过后,将该终端访问网络的数据包路由指向校园网第一出口,如果否,向远程计费服务器发起认证,通过后,将该终端访问网络的数据包路由指向校园网第二出口;
校园网核心交换机,用于根据设定的路由策略将数据包传输到相应网络中;
校园网第一出口,归属于校方,用于连接校园网和外部网络CERNET,传输校园网的数据包;
校园网第二出口,归属于合作运营方,用于连接校园网和外部网络运营商网络,传输校园网的数据包;
本地认证计费服务器,归属于校方,用于对I类账号用户进行认证计费;
远程认证计费服务器,归属于合作运营方,用于对II类账号进行认证计费。
5.如权利要求4所述的系统,其特征在于,该系统还包括接入控制网关,用于在线侦听远程认证计费服务器的认证成功信息,透传认证成功用户的数据包,阻断未认证用户数据包。
6.如权利要求5所述的系统,其特征在于,所述认证网关,还用于当网络访问的目的地址为校园内地址时,将该终端访问网络的数据包通过校园网核心交换机转发至校园网内的目的地址。
7.一种校园网接入外部网络的实现装置认证网关,其特征在于,包括:接入控制模块、Web认证页服务、认证鉴权、路由模块,其中,
接入控制模块,用于检测使用发起网络访问请求的终端的用户是否已通过身份认证,如果否,则拦截未授权用户的访问请求,通知Web认证页服务模块;如果是,则放行,根据从认证鉴权模块接收的控制策略,将对该终端的数据包的路由策略发给路由模块。
Web认证页服务模块,用于向终端推送web认证登录界面,接收该用户提交的账号类别、帐户及密码,识别该用户的帐号类别,转发该用户的账号及密码到认证鉴权模块,将认证鉴权模块返回的认证结果通过推送web页方式通知该用户;
认证鉴权模块,用于接收来自web认证页服务模块的该用户的账号及密码,提交到相应的认证计费服务器进行认证,根据返回的认证结果,结合不同用户类型下发相应的控制策略到接入控制模块,同时将认证结果返回给web认证页服务模块;
路由模块,根据预置路由策略原则,结合接入控制模块提供的该终端的路由策略,进行路由选择。
8.如权利要求7所述的认证网关,其特征在于,所述路由模块,还用于维护通过认证的用户账号的在线列表信息,包括该账号的账号名称、登录对应使用的源IP地址,及对应的认证标识,根据在线列表信息中账号的认证标识与源IP地址,依据目的地址和预设的基于账号类型的路由策略原则,进行路由选择及转发。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010539014.2A CN102469078B (zh) | 2010-11-08 | 2010-11-08 | 一种参与校园网运营的实现方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010539014.2A CN102469078B (zh) | 2010-11-08 | 2010-11-08 | 一种参与校园网运营的实现方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102469078A true CN102469078A (zh) | 2012-05-23 |
| CN102469078B CN102469078B (zh) | 2015-05-27 |
Family
ID=46072253
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010539014.2A Active CN102469078B (zh) | 2010-11-08 | 2010-11-08 | 一种参与校园网运营的实现方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102469078B (zh) |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532789A (zh) * | 2013-10-25 | 2014-01-22 | 北京直真科技股份有限公司 | 异网透传检测系统 |
| CN103716325A (zh) * | 2013-12-31 | 2014-04-09 | 网神信息技术(北京)股份有限公司 | 访问网络的安全控制方法、装置及系统 |
| CN104038482A (zh) * | 2014-05-23 | 2014-09-10 | 深信服网络科技(深圳)有限公司 | 多线路选路的方法和装置 |
| CN104348790A (zh) * | 2013-07-30 | 2015-02-11 | 华耀(中国)科技有限公司 | 一种实现自定义配置aaa框架的方法及系统 |
| CN104753854A (zh) * | 2013-12-25 | 2015-07-01 | 华耀(中国)科技有限公司 | 设置多种类型认证/授权服务器统一Web接口的方法 |
| CN104821902A (zh) * | 2015-05-06 | 2015-08-05 | 苏州工业职业技术学院 | 双出口模式的教育城域网系统 |
| CN105515797A (zh) * | 2015-12-15 | 2016-04-20 | 福建星网锐捷网络有限公司 | 一种园区网用户认证计费方法、装置及系统 |
| CN105933333A (zh) * | 2016-06-20 | 2016-09-07 | 锐捷网络股份有限公司 | 一种企业网认证计费的方法和出口网关 |
| CN106060814A (zh) * | 2016-05-18 | 2016-10-26 | 协同通信技术有限公司 | 一种卫星宽带网络服务设备、运营平台及鉴权方法 |
| CN107948199A (zh) * | 2017-12-27 | 2018-04-20 | 北京奇安信科技有限公司 | 一种对终端共享接入进行快速检测的方法及装置 |
| CN108712339A (zh) * | 2018-05-11 | 2018-10-26 | 四川斐讯信息技术有限公司 | 一种适用于校园的网络多出口管理方法及系统 |
| CN110753062A (zh) * | 2019-10-25 | 2020-02-04 | 赛尔网络有限公司 | 认证方法、装置、系统及介质 |
| CN111130960A (zh) * | 2019-12-25 | 2020-05-08 | 中国联合网络通信集团有限公司 | 宽带拨号处理方法和装置 |
| CN111541694A (zh) * | 2020-04-24 | 2020-08-14 | 戚海军 | 一种采用融合式技术解决网络安全的方法 |
| CN112118575A (zh) * | 2020-09-25 | 2020-12-22 | 国网江苏省电力有限公司 | 一种无线设备认证方法及其系统 |
| CN112152996A (zh) * | 2020-08-19 | 2020-12-29 | 杭州数梦工场科技有限公司 | 基于网关级联的数据传输方法、装置、设备和存储介质 |
| CN112491563A (zh) * | 2020-11-09 | 2021-03-12 | 华中师范大学 | 一种校园网免费流量计算方法、系统、服务器及存储介质 |
| CN114339483A (zh) * | 2021-11-09 | 2022-04-12 | 中时讯通信建设有限公司 | 基于层次结构优化模型的学校网络优化系统 |
| CN114598571A (zh) * | 2020-12-07 | 2022-06-07 | 上汽通用汽车有限公司 | 一种基于应用的车载多网关ip路由方法、系统及车辆 |
| CN115866598A (zh) * | 2023-02-27 | 2023-03-28 | 北京派网科技有限公司 | 一种5g双域专网的零信任安全可信接入方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1571383A (zh) * | 2003-07-19 | 2005-01-26 | 华为技术有限公司 | 一种校园网的实现方法 |
| CN1581770A (zh) * | 2003-08-13 | 2005-02-16 | 华为技术有限公司 | 一种三层用户的认证方法 |
| US7016331B1 (en) * | 2000-09-05 | 2006-03-21 | Cisco Technology, Inc. | Method of handoff control in an enterprise code division multiple access wireless system |
| CN101277308A (zh) * | 2008-05-23 | 2008-10-01 | 杭州华三通信技术有限公司 | 一种隔离内外网络的方法、认证服务器及接入交换机 |
-
2010
- 2010-11-08 CN CN201010539014.2A patent/CN102469078B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7016331B1 (en) * | 2000-09-05 | 2006-03-21 | Cisco Technology, Inc. | Method of handoff control in an enterprise code division multiple access wireless system |
| CN1571383A (zh) * | 2003-07-19 | 2005-01-26 | 华为技术有限公司 | 一种校园网的实现方法 |
| CN1581770A (zh) * | 2003-08-13 | 2005-02-16 | 华为技术有限公司 | 一种三层用户的认证方法 |
| CN101277308A (zh) * | 2008-05-23 | 2008-10-01 | 杭州华三通信技术有限公司 | 一种隔离内外网络的方法、认证服务器及接入交换机 |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104348790A (zh) * | 2013-07-30 | 2015-02-11 | 华耀(中国)科技有限公司 | 一种实现自定义配置aaa框架的方法及系统 |
| CN103532789B (zh) * | 2013-10-25 | 2017-02-15 | 北京直真科技股份有限公司 | 异网透传检测系统 |
| CN103532789A (zh) * | 2013-10-25 | 2014-01-22 | 北京直真科技股份有限公司 | 异网透传检测系统 |
| CN104753854A (zh) * | 2013-12-25 | 2015-07-01 | 华耀(中国)科技有限公司 | 设置多种类型认证/授权服务器统一Web接口的方法 |
| CN103716325A (zh) * | 2013-12-31 | 2014-04-09 | 网神信息技术(北京)股份有限公司 | 访问网络的安全控制方法、装置及系统 |
| CN104038482B (zh) * | 2014-05-23 | 2017-07-07 | 深信服网络科技(深圳)有限公司 | 多线路选路的方法和装置 |
| CN104038482A (zh) * | 2014-05-23 | 2014-09-10 | 深信服网络科技(深圳)有限公司 | 多线路选路的方法和装置 |
| CN104821902A (zh) * | 2015-05-06 | 2015-08-05 | 苏州工业职业技术学院 | 双出口模式的教育城域网系统 |
| CN105515797A (zh) * | 2015-12-15 | 2016-04-20 | 福建星网锐捷网络有限公司 | 一种园区网用户认证计费方法、装置及系统 |
| CN106060814A (zh) * | 2016-05-18 | 2016-10-26 | 协同通信技术有限公司 | 一种卫星宽带网络服务设备、运营平台及鉴权方法 |
| CN106060814B (zh) * | 2016-05-18 | 2020-05-29 | 协同通信技术有限公司 | 一种卫星宽带网络服务设备、运营平台及鉴权方法 |
| WO2017197730A1 (zh) * | 2016-05-18 | 2017-11-23 | 协同通信技术有限公司 | 一种卫星宽带网络服务设备、运营平台及鉴权方法 |
| CN105933333A (zh) * | 2016-06-20 | 2016-09-07 | 锐捷网络股份有限公司 | 一种企业网认证计费的方法和出口网关 |
| CN107948199A (zh) * | 2017-12-27 | 2018-04-20 | 北京奇安信科技有限公司 | 一种对终端共享接入进行快速检测的方法及装置 |
| CN108712339A (zh) * | 2018-05-11 | 2018-10-26 | 四川斐讯信息技术有限公司 | 一种适用于校园的网络多出口管理方法及系统 |
| CN110753062A (zh) * | 2019-10-25 | 2020-02-04 | 赛尔网络有限公司 | 认证方法、装置、系统及介质 |
| CN110753062B (zh) * | 2019-10-25 | 2022-01-04 | 赛尔网络有限公司 | 认证方法、装置、系统及介质 |
| CN111130960A (zh) * | 2019-12-25 | 2020-05-08 | 中国联合网络通信集团有限公司 | 宽带拨号处理方法和装置 |
| CN111541694A (zh) * | 2020-04-24 | 2020-08-14 | 戚海军 | 一种采用融合式技术解决网络安全的方法 |
| CN111541694B (zh) * | 2020-04-24 | 2022-09-27 | 戚海军 | 一种采用融合式技术解决网络安全的方法 |
| CN112152996B (zh) * | 2020-08-19 | 2022-09-20 | 杭州数梦工场科技有限公司 | 基于网关级联的数据传输方法、装置、设备和存储介质 |
| CN112152996A (zh) * | 2020-08-19 | 2020-12-29 | 杭州数梦工场科技有限公司 | 基于网关级联的数据传输方法、装置、设备和存储介质 |
| CN112118575B (zh) * | 2020-09-25 | 2022-06-28 | 国网江苏省电力有限公司 | 一种无线设备认证方法及其系统 |
| CN112118575A (zh) * | 2020-09-25 | 2020-12-22 | 国网江苏省电力有限公司 | 一种无线设备认证方法及其系统 |
| CN112491563A (zh) * | 2020-11-09 | 2021-03-12 | 华中师范大学 | 一种校园网免费流量计算方法、系统、服务器及存储介质 |
| CN114598571A (zh) * | 2020-12-07 | 2022-06-07 | 上汽通用汽车有限公司 | 一种基于应用的车载多网关ip路由方法、系统及车辆 |
| CN114339483A (zh) * | 2021-11-09 | 2022-04-12 | 中时讯通信建设有限公司 | 基于层次结构优化模型的学校网络优化系统 |
| CN115866598A (zh) * | 2023-02-27 | 2023-03-28 | 北京派网科技有限公司 | 一种5g双域专网的零信任安全可信接入方法 |
| CN115866598B (zh) * | 2023-02-27 | 2023-05-23 | 北京派网科技有限公司 | 一种5g双域专网的零信任安全可信接入方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102469078B (zh) | 2015-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102469078A (zh) | 一种校园网接入外部网络的实现方法、系统及装置 | |
| CN109302415B (zh) | 一种认证方法、区块链节点及存储介质 | |
| CN105763562B (zh) | 面向电力cps风险评估的电力信息网络模型建立方法及系统 | |
| CN104067591B (zh) | 用于全球实时远程通信的设备、系统及方法 | |
| CN1790980B (zh) | 安全验证通告协议 | |
| CN101212374A (zh) | 实现校园网资源远程访问的方法和系统 | |
| CN101123498B (zh) | 一种实现接入认证的方法、设备及系统 | |
| He et al. | Secure service provision in smart grid communications | |
| CN101094056B (zh) | 无线工业控制网络安全系统及安全策略实现方法 | |
| CN101414907B (zh) | 一种基于用户身份授权访问网络的方法和系统 | |
| CN105306483B (zh) | 一种安全快速的匿名网络通信方法及系统 | |
| CN114302402A (zh) | 一种基于5g的电力调控业务安全通信方法 | |
| CN106488525B (zh) | 一种ip动态绑定的无线网络构建方法及相应网络架构 | |
| CN102255892B (zh) | 支持无线接入和远程接入的企业网络系统 | |
| CN101047599B (zh) | 一种分布式ssl vpn系统构架方法 | |
| CN101771619A (zh) | 实现一体化安全服务的网络系统 | |
| CN104009972B (zh) | 网络安全接入的认证系统及其认证方法 | |
| CN109831752A (zh) | 一种通信流量控制方法和系统 | |
| CN103684958B (zh) | 提供弹性vpn服务的方法、系统和vpn服务中心 | |
| CN110855707A (zh) | 物联网通信管道安全控制系统和方法 | |
| CN106027491B (zh) | 基于隔离ip地址的独立链路式通信处理方法和系统 | |
| CN109617875A (zh) | 一种终端通信网的安全接入平台及其实现方法 | |
| CN108966216A (zh) | 一种应用于配电网的移动通信方法及装置 | |
| Hallingstad et al. | Protected core networking: an architectural approach to secure and flexible communications | |
| CN101511086A (zh) | 金融网点终端无线安全组网系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |