实名审计方法、设备和系统
技术领域
本发明涉及通信领域,尤其涉及一种实名审计方法、设备和系统。
背景技术
提供互联网访问出口的单位要求进行实名审计,以满足公安部82号令及互联网非经营性互联网信息服务要求。当前的无线互联网服务,终端用户基于802.1X进行账户认证,并且使用单独的行为审计网关,由于终端用户的账户认证信息无法传递给行为审计网关,使得行为审计网关无法对终端用户的上网行为进行实名审计。
发明内容
本发明的实施例提供一种实名审计方法、设备和系统,用于解决行为审计网关无法对终端用户的上网行为进行实名审计的问题。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,提供了一种实名审计方法,包括:
接入点AP获取对应的行为审计网关的IP地址;
终端连接无线接入点AP,并向所述AP发送终端认证信息,所述终端认证信息包含所述终端的账号信息和特征信息;
所述AP将所述终端认证信息和所述行为审计网关的IP地址发送给接入控制器AC;
所述AC将获取的行为审计网关的IP地址和所述终端认证信息发送给远程访问拨号用户服务RADIUS服务器;
所述RADIUS服务器在完成对所述终端的认证后向所述AC反馈认证成功消息,根据所述行为审计网关的IP地址将所述终端的认证信息发送给所述行为审计网关;
所述终端访问网络,所述行为审计网关根据所述终端访问网络所生成的访问信息以及所述终端认证信息产生行为审计日志。
第二方面,提供了另一种实名审计方法,应用于无线接入点AP中,该方法包括:
所述AP获取对应的行为审计网关的IP地址;
所述AP从终端接收终端认证信息,所述终端认证信息包含终端的账号信息和特征信息;
所述AP将所述审计网关的IP地址和所述终端认证信息发送给接入控制器AC;
所述AP接收所述AC发送的认证成功消息。
第三方面,提供了又一种实名审计方法,应用于接入控制器AC中,该方法包括:
所述AC从无线接入点AP接收所述AP对应的行为审计网关的IP地址和终端的终端认证信息,所述终端认证信息包含所述终端的账号信息和特征信息;
所述AC将所述终端认证信息和所述行为审计网关的IP地址发送给远程访问拨号用户服务RADIUS服务器,用于所述RADIUS服务器根据所述行为审计网关的IP地址将所述终端的认证信息发送给所述行为审计网关;
所述AC从所述RADIUS服务器接收认证成功消息后通知所述AP认证成功。
第四方面,提供了又一种实名审计方法,应用于远程访问拨号用户服务RADIUS服务器,该方法包括:
所述RADIUS服务器从接入控制器AC接收终端的终端认证信息和行为审计网关的IP地址,所述终端认证信息包含所述终端的账号信息和特征信息;
所述RADIUS服务器在完成对所述终端的认证后向所述AC反馈认证成功消息,并根据所述行为审计网关的IP地址将所述终端认证信息发送给行为审计网关,以便由所述行为审计网关根据所述终端访问网络所生成的访问信息以及所述终端认证信息产生行为审计日志。
第五方面,提供了又一种实名审计方法,应用于行为审计网关,该方法包括:
所述行为审计网关从远程访问拨号用户服务RADIUS服务器接收终端认证信息,所述终端认证信息包含所述终端的账号信息和特征信息;
所述行为审计网关根据所述终端访问网络所生成的访问信息以及所述终端认证信息产生行为审计日志。
第六方面,提供了一种接入点AP,包括:
获取单元,用于获取对应的行为审计网关的IP地址;
接收单元,用于从终端接收终端认证信息,所述终端认证信息包含终端的账号信息和特征信息;
发送单元,用于将所述审计网关的IP地址和所述终端认证信息发送给接入控制器AC;
所述接收单元,还用于接收所述AC发送的认证成功消息。
第七方面,提供了一种接入控制器AC,包括:
接收单元,用于从接入点AP所述AP对应的行为审计网关的IP地址和终端的终端认证信息,所述终端认证信息包含所述终端的账号信息和特征信息;
发送单元,用于将所述终端认证信息和所述行为审计网关的IP地址发送给远程访问拨号用户服务RADIUS服务器,用于所述RADIUS服务器将所述终端的认证信息发送给所述行为审计网关;
所述接收单元,还用于从所述RADIUS服务器接收认证成功消息;
所述发送单元,还用于将所述认证成功消息发送给所述AP。
第八方面,提供了一种远程访问拨号用户服务RADIUS服务器,包括:
接收单元,用于从接入控制器AC接收终端的终端认证信息和行为审计网关的IP地址,所述终端认证信息包含所述终端的账号信息和特征信息;
发送单元,用于在完成对所述终端的认证后向所述AC反馈认证成功消息,并根据所述行为审计网关的IP地址将所述终端认证信息发送给行为审计网关,以便由所述行为审计网关根据所述终端访问网络所生成的访问信息以及所述终端认证信息产生行为审计日志。
第九方面,提供了一种行为审计网关,包括:
接收单元,用于从远程访问拨号用户服务RADIUS服务器接收终端认证信息,所述终端认证信息包含所述终端的账号信息和特征信息;
审计单元,用于根据所述终端访问网络所生成的访问信息以及所述终端认证信息产生行为审计日志。
第十方面,提供了一种行为审计系统,包括如第六方面所述的AP,如第七方面所述的AC,如第八方面所述的RADIUS服务器和如第九方面所述的行为审计网关。
本发明实施例提供的实名审计方法、设备和系统,本发明实施例提供的实名审计方法、设备和系统,通过AP将所述终端认证信息和行为审计网关的IP地址发送给接入控制器AC,由AC传递给RADIUS服务器,当RADIUS服务器对终端认证成功后,由RADIUS服务器将终端认证信息发送给该IP地址对应的行为审计网关,由行为审计网关根据终端访问网络所生成的访问信息以及终端认证信息产生行为审计日志。由于RADIUS服务器通过AP和AC得到了行为审计网关的IP地址,因此可以将终端认证通过后终端的账号信息和特征信息发送给该IP地址对应的行为审计网关,由该行为审计网关对该终端的访问网络进行实名审计,解决了行为审计网关无法对终端用户的上网行为进行实名审计的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的实施例提供的行为审计系统的结构示意图;
图2为本发明的实施例提供的行为审计方法的流程示意图;
图3为本发明的实施例提供的AP的结构示意图;
图4为本发明的实施例提供的AC的结构示意图;
图5为本发明的实施例提供的RADIUS服务器的结构示意图;
图6为本发明的实施例提供的行为审计网关的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的实施例提供了一种行为审计系统,参照图1中所示,包括:AP(英文全称:access point,中文全称:接入点)11、AC(英文全称:access controller,中文全称:接入控制器)12、终端13、RADIUS(英文全称:remote authentication dial in user service,中文全称:远程访问拨号用户服务)服务器14和行为审计网关15。
本发明实施例提供的实名审计方法、设备和系统,通过AP将所述终端认证信息和行为审计网关的IP地址发送给接入控制器AC,由AC传递给RADIUS服务器,当RADIUS服务器对终端认证成功后,由RADIUS服务器将终端认证信息发送给该IP地址对应的行为审计网关,由行为审计网关根据终端访问网络所生成的访问信息以及终端认证信息产生行为审计日志。由于RADIUS服务器通过AP和AC得到了行为审计网关的IP地址,因此可以将终端认证通过后终端的账号信息和特征信息发送给该IP地址对应的行为审计网关,由该行为审计网关对该终端的访问网络进行实名审计,解决了行为审计网关无法对终端用户的上网行为进行实名审计的问题。
实施例1、
本发明的实施例提供了一种行为审计方法,应用于上述行为审计系统,参照图2中所示,该方法包括:
S101、AP获取对应的行为审计网关的IP地址,其中,AP的IP地址与对应的行为审计网关的IP地址位于同一个二层网络中。
具体的,AP可以通过扩展的DHCP(英文全称:dynamic host configurationprotocol,中文全称:动态主机配置协议)获取行为审计网关的IP地址。
进一步的,AP还可以通过扩展的DHCP获取AP的管理IP地址、子网掩码、网关IP地址、AC的IP地址。
S102、终端连接AP,通过向AP发送终端认证信息来发起802.1X认证,其中,终端认证信息包含终端的账号信息和特征信息。
S103、AP从终端接收终端认证信息。
S104、AP将行为审计网关的IP地址和终端认证信息发送给AC。
具体的,AP可以一并将行为审计网关的IP地址和终端认证信息发送给AC,或者分别发送给AC。示例性的,可以在AP向AC进行注册时所发送的注册信息中携带上述行为审计网关的IP地址,然后在AP从终端接收终端认证信息之后将终端认证信息转发给AC;或者,AP在将来自终端的终端认证信息转发给AC同时携带上述行为审计网关的IP地址。
具体的,AP可以通过CAPWAP(英文全称:control and provisioning of wirelessaccess points protocol specification的缩写,中文全称:无线接入点的控制和配置协议)隧道将终端认证信息发送给AC。
另外,AC可以存储该AP与行为审计网关IP地址的关联关系,并且可以在从AP接收信息时根据存储的AP与行为审计网关的IP地址关联关系得到行为审计网关的IP地址。
S105、AC从AP接收AP对应的行为审计网关的IP地址和终端的终端认证信息。
S106、AC将终端认证信息和行为审计网关的IP地址发送给RADIUS服务器。
具体的,AC可以通过扩展的RADIUS协议向RADIUS服务器发送RADIUS认证信息,其中,RADIUS认证信息包含终端认证信息和行为审计网关的IP地址。
S107、RADIUS服务器从AC接收终端认证信息和行为审计网关的IP地址。
S108、RADIUS服务器在完成对终端的认证后向AC反馈认证成功消息。
S109、AC从RADIUS服务器接收认证成功消息;
S110、AC通知AP认证成功。
AP对来自终端的访问网络的数据进行放行。
S111、终端获取IP地址,其中,终端的IP地址与行为审计网关的IP地址位于同一个二层网络中。
具体的,终端可以通过行为审计网关来获取IP地址,或者可以通过专门的DHCP服务器分配到IP地址,只要保证终端的IP地址与行为审计网关的IP地址位于同一个二层网络中。
S112、RADIUS服务器根据所述行为审计网关的IP地址将终端认证信息发送给行为审计网关。
具体的,RADIUS服务器根据行为审计网关的IP地址找到对应的行为审计网关,并将终端的账号信息和特征信息发送给该行为审计网关。
需要说明的是步骤S116与步骤S113-S115之间没有先后执行顺序。
S113、行为审计网关从RADIUS服务器接收终端认证信息。
S114、终端正常访问网络。
S115、行为审计网关根据终端正常访问网络所生成的访问信息以及终端认证信息产生行为审计日志。
具体的,行为审计网关将终端访问网络所生成的访问信息与终端的账号信息和特征信息进行关联,以产生行为审计日志。
本发明实施例提供的实名审计方法,通过AP将所述终端认证信息和行为审计网关的IP地址发送给接入控制器AC,由AC传递给RADIUS服务器。当终端向RADIUS服务器进行认证,并且RADIUS服务器对终端认证成功后,由RADIUS服务器将终端认证信息发送给行为审计网关的IP地址对应的行为审计网关,由行为审计网关根据终端访问网络所生成的访问信息以及终端认证信息产生行为审计日志。由于RADIUS服务器通过AP和AC得到了行为审计网关的IP地址,因此可以将终端认证通过后终端的账号信息和特征信息发送给该IP地址对应的行为审计网关,由该行为审计网关对该终端的访问网络进行实名审计,解决了行为审计网关无法对终端用户的上网行为进行实名审计的问题。
实施例2、
本发明实施例提供了一种AP,应用于上述实名审计方法,作为图1中所示的AP 11。参照图3中所示,该AP 11包括:
获取单元1101,用于获取对应的行为审计网关的IP地址;
接收单元1102,用于从终端接收终端认证信息,终端认证信息包含终端的账号信息和特征信息;
发送单元1103,用于将审计网关的IP地址和终端认证信息发送给接入控制器AC;
接收单元1102,还用于接收AC发送的认证成功消息。
由于本发明实施例中的AP可以应用于上述实名审计方法,因此,其所能获得的技术效果也可参考上述方法实施例,本发明实施例在此不再赘述。
需要说明的是,获取单元可以为单独设立的处理器,也可以集成在控制器的某一个处理器中实现,此外,也可以以程序代码的形式存储于控制器的存储器中,由控制器的某一个处理器调用并执行以上获取单元的功能。这里所述的处理器可以是一个中央处理器(英文全称:central processing unit,英文简称:CPU),或者是特定集成电路(英文全称:application specific integrated circuit,英文简称:ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路。
实施例3、
本发明实施例提供了一种AC,应用于上述实名审计方法,作为图1中所示的AC 12。参照图4中所示,该AC 12包括:
接收单元1201,用于从接入点AP接收AP对应的行为审计网关的IP地址和终端的终端认证信息,终端认证信息包含终端的账号信息和特征信息;
发送单元1202,用于将终端认证信息和行为审计网关的IP地址发送给远程访问拨号用户服务RADIUS服务器,用于RADIUS服务器将终端的认证信息发送给行为审计网关;
接收单元1201,还用于从RADIUS服务器接收认证成功消息;
发送单元1202,还用于将认证成功消息发送给AP
由于本发明实施例中的AC可以应用于上述实名审计方法,因此,其所能获得的技术效果也可参考上述方法实施例,本发明实施例在此不再赘述。
实施例4、
本发明实施例提供了一种RADIUS服务器,应用于上述实名审计方法,作为图1中所示的RADIUS服务器14。参照图5中所示,该RADIUS服务器14包括:
接收单元1401,用于从接入控制器AC接收终端的终端认证信息和行为审计网关的IP地址,终端认证信息包含终端的账号信息和特征信息。
发送单元1402,用于在完成对终端的认证后向AC反馈认证成功消息,并根据行为审计网关的IP地址将终端认证信息发送给行为审计网关,以便由行为审计网关根据终端访问网络所生成的访问信息以及终端认证信息产生行为审计日志。
由于本发明实施例中的RADIUS服务器可以应用于上述实名审计方法,因此,其所能获得的技术效果也可参考上述方法实施例,本发明实施例在此不再赘述。
实施例5、
本发明实施例提供了一种行为审计网关,应用于上述实名审计方法,作为图1中所示的行为审计网关15。参照图6中所示,该行为审计网关15包括:
接收单元1501,用于从远程访问拨号用户服务RADIUS服务器接收终端认证信息,终端认证信息包含终端的账号信息和特征信息。
审计单元1502,用于根据终端访问网络所生成的访问信息以及接收单元1501所接收的终端认证信息产生行为审计日志。
由于本发明实施例中的行为审计网关可以应用于上述实名审计方法,因此,其所能获得的技术效果也可参考上述方法实施例,本发明实施例在此不再赘述。
需要说明的是,审计单元可以为单独设立的处理器,也可以集成在控制器的某一个处理器中实现,此外,也可以以程序代码的形式存储于控制器的存储器中,由控制器的某一个处理器调用并执行以上审计单元的功能。这里所述的处理器可以是一个中央处理器(英文全称:central processing unit,英文简称:CPU),或者是特定集成电路(英文全称:application specific integrated circuit,英文简称:ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路。
应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文全称:read-only memory,英文简称:ROM)、随机存取存储器(英文全称:random access memory,英文简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。