CN1332535C - 用户上网行为控制系统 - Google Patents

用户上网行为控制系统 Download PDF

Info

Publication number
CN1332535C
CN1332535C CNB2004100479879A CN200410047987A CN1332535C CN 1332535 C CN1332535 C CN 1332535C CN B2004100479879 A CNB2004100479879 A CN B2004100479879A CN 200410047987 A CN200410047987 A CN 200410047987A CN 1332535 C CN1332535 C CN 1332535C
Authority
CN
China
Prior art keywords
user
information
packet
data
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
CNB2004100479879A
Other languages
English (en)
Other versions
CN1716865A (zh
Inventor
李黎军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Aotian Technology Co ltd
Original Assignee
AOTIAN COMMUNICATION Co Ltd SHENZHEN
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AOTIAN COMMUNICATION Co Ltd SHENZHEN filed Critical AOTIAN COMMUNICATION Co Ltd SHENZHEN
Priority to CNB2004100479879A priority Critical patent/CN1332535C/zh
Publication of CN1716865A publication Critical patent/CN1716865A/zh
Application granted granted Critical
Publication of CN1332535C publication Critical patent/CN1332535C/zh
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种用户上网行为控制系统,它由设置在服务器端的网络策略管理单元、策略服务设置单元及边缘采集控制单元三部分构成;网络策略管理单元是系统的调度管理中心,它负责用户资料、实时上下线、策略定制信息、和分类信息等数据的存储,与边缘采集控制单元之间的实时同步调度、分类信息等数据分发;策略服务设置单元,提供最终用户输入/输出界面,可用于服务申请/撤销,设置控制策略,查询日志信息;边缘采集控制单元负责最终用户访问互联网数据包的采集、分析和控制实施;它使用方便、灵活,不会增加单机维护费用,且非常易于实现对网吧等经营场所的访问限制。

Description

用户上网行为控制系统
技术领域
本发明涉及一种与互联网有关的技术,特别是一种用户上网行为控制系统。
背景技术
互联网上丰富的资信内容自互联网诞生以来一直为人们所津津乐道,但互联网上纷乱的内容,特别是一些包含色情、赌博等不良信息的事情,越来越引起人们的关注,如何有效地控制这些信息的传播一直以来都是网络卫士们注意的焦点。特别针对未成年人,在各类网络信息对未成年人世界观的影响与日俱增的现实环境中,对开放性的网络信息内容进行有效管理,可以为广大未成年人提供内容健康、形式生动、具有吸引力的上网环境。
目前,针对上述问题多采用基于客户端的网络过滤软件,虽然其可以实现对部分网络信息内容访问的限制,但存在如下弊端:
1)、基于客户端的方式,要求上网监管人(如家长)具备一定的电脑知识基础,这在一定程度上限制了使用的普及性;
2)、对于一些提供上网服务的场所,如网吧等,源于其商业目的,不愿意实施内容限制功能,仅靠行政手段进行监管只可起到治标不治本的功效;
3)、客户端软件的维护成本高昂,软件本身和操作系统的升级对客户端软件有制约的作用;
4)、客户端软件占用大量有限的PC资源。
发明内容
本发明的目的是提供一种可以有效克服上述问题发生的用户上网行为控制系统,它无须在客户端进行特定软件安装,不占用PC机自身资源,使用方便、灵活,不会增加单机维护费用;此外,通过它非常易于实现对网吧等经营场所的访问限制。
本发明的目的是这样实现的:它由设置在服务器端的网络策略管理单元、策略服务设置单元及边缘采集控制单元三部分构成;网络策略管理单元是系统的调度管理中心,它负责用户资料、实时上下线、策略定制信息、和分类信息等数据的存储,与边缘采集控制单元之间的实时同步调度、分类信息等数据分发;策略服务设置单元,提供最终用户输入/输出界面,可用于服务申请/撤销,设置控制策略,查询日志信息;边缘采集控制单元负责最终用户访问互联网数据包的采集、分析和控制实施;
网络策略管理单元包括以下内容:
用于接收和处理第三方发送的用户资料的用户资料接口和用户资料处理模块;
用于接收和处理用户实时上下线(即登录和退出网络)信息的认证接口和登录信息处理模块;
根据接收管理信息数据包的内容,从数据库中获取相应的管理信息内容并进行处理的管理信息处理单元;
用于将需要同步的信息发送到边缘采集控制单元的同步处理模块,同步处理模块接收来自登录信息处理模块和管理信息处理模块的数据信息;
用于存储用户资料处理模块、登录信息处理模块、管理信息处理模块、策略服务设置单元产生的数据信息的数据库;
边缘采集控制单元包括以下内容:
用来从连接的网络设备上采集数据信息的采集接口;
用来对采集到的数据信息进行解析的数据包解析模块;
用来对数据包解析模块解析后的数据进行处理的逻辑分析模块;
根据逻辑分析模块的结果进行控制处理的控制处理模块;
存储分类信息、用户控制策略定制信息及用户/IP对应表的内存数据库;
策略服务设置单元采用C/S体系结构,由ASP.NET实现,提供最终用户进行操作的输入/输出界面;包括用户注册管理、用户登录验证、密码恢复管理、用户资料管理、服务申请/撤销、控制策略设置、日志查询;
上述内容中,用户资料处理模块对通过用户资料接口接收第三方(如网络提供商计费系统或网络提供商运营系统)发送的用户资料进行完整性校验,并做相应的格式转换后,将最终用户的资料保存在数据库中;
上述内容中,登录信息处理模块对通过认证接口采集用户的实时上下线(即登录网络和退出网络)信息,提取Radius包中的用户(上网帐号)与IP对应关系(该信息可用于识别用户身份,即确定上网帐号与动态分配的IP的对应关系),以及用户的其他信息,如用户的登录地点、上线时间、下线时间、宽窄带属性等信息,将上述实时信息保存在数据库中,以便统计和查询;
上述内容中,管理信息处理模块根据管理接口收到的管理信息数据包的内容,从数据库中获取相应的管理信息内容进行处理;经过处理后提交给同步处理模块,由同步处理模快即时同步到相应的边缘采集控制单元;
上述内容中,数据包解析模块对采集到的IP数据包进行解析,如果该数据包是网络接入服务器发送的用户上线/下线的Radius包,并且系统需要从边缘采集控制单元采集这类数据包,则边缘采集控制单元将该数据包转发到网络策略管理单元的认证接口;如果该数据包是用户访问Internet的访问请求包,则将该数据包提交给逻辑分析模块进行处理;如果是其他的数据包,则中止流程,处理下个IP数据包;
上述内容中,逻辑分析模块对用户的访问请求进行分析,主要包含对以下逻辑关系的分析:
用户是否开通网络信息内容控制功能;
用户访问的目的地是否在控制的范围之内;
用户当前上网时间是否在允许的时间段内;
用户的总上网时长是否超过允许的时长。
逻辑分析模块将需要控制的用户访问请求提交给控制处理模块进行处理;对于不需要控制的访问请求,则中止流量,继续处理下个IP数据包;
上述内容中,控制处理模块处理不同的访问请求,并给最终用户发送中断连接的响应包,达到控制的目的。
下面简述本发明的具体工作原理
网络策略管理单元通过用户资料接口,获取第三方提供的详细用户资料,并保存在数据库中;
最终用户在登录策略服务设置单元之前,必须先进行用户注册操作,以核对用户的有效身份,并填写服务密码等内容;
最终用户用上网帐号和服务密码登录到策略服务设置单元中进行服务申请操作,在服务申请过程中,用户可选择系统缺省设置的控制策略;
用户开通服务后,可使用系统缺省设置的控制策略,也可以通过策略服务设置单元定制个性化的控制内容;
最终用户拨号上网后,网络策略管理单元从认证接口接收到用户的上线登录信息,从中解析得到用户的上网帐号和动态分配给该用户的IP地址。登录信息处理模块根据用户的上网帐号,从数据库中取出用户资料和定制的控制策略信息,以及该IP地址进行处理后,提交给同步处理模块;
同步处理模块将上述信息发送到边缘采集控制单元,并将这部分信息插入到内存数据库中;
之后,最终用户访问Internet时,边缘采集控制单元从采集接口可采集到从网络路由器、交换机转发过来的数据包;
数据包解析模块对数据包进行解析,如果该数据包不是一个访问请求包,则中止处理流程,继续处理下一个数据包;
如果该数据包是一个访问请求包,逻辑分析模块则根据该数据包的源IP地址在内存数据库的用户/IP对应表中查找对应的用户及该用户的相关信息;
根据用户开通的服务内容,从内存数据库的用户策略定制数据中读取该用户定制的控制策略;
判断该用户当前的上网时间是否在允许的时间段内,如果不在,则中止流程,继续处理下一个数据包;
判断该用户当天的累计上网时间是否已经超过定制的上网时长,如果是,则中止流程,继续处理下一个数据包;
搜索数据包中的目的地址(目的IP、目的端口、或目的URL)所属的信息分类是否在用户的控制策略中,如果不属于控制内容,中止流程,继续处理下一个数据包;
如果在控制范围内,则提交给控制处理模块进行处理,控制处理模块根据不同的访问请求类型,回应不同的响应包;
控制流程结束,继续处理下一个数据包;
最终用户在上网上网过程中,如果需要更改设置(如上网角色切换),则可在策略服务设置单元进行操作;
网络策略管理单元中的管理信息处理模块接收到上述信息后,从数据库读取相应的数据进行处理,并提交给同步处理模块;
同步处理模块将上述信息发送给边缘采集控制单元,边缘采集控制单元更改内存数据库相应的用户设置内容;
同步完成后,用户的下一个访问Internet的请求包,将按更新后的设置进行处理,从而实现即时控制;
最终用户下线后,网络策略管理单元从认证接口接收到用户的下线信息,处理后提交给同步处理模块;
同步处理模块将该信息发送给相应的边缘采集控制单元,边缘采集控制单元删除对应的IP/用户对应关系,控制结束。
综上所述,采用以上系统,最终用户无须安装任何客户端,只需要向网络提供者申请控制功能即可,零维护费用;本系统采用旁路监听的方式,只对需要控制的内容进行干预,不影响其他正常上网行为;通过对策略服务设置单元的设置,可以对禁止用户访问的信息内容、需要放行或过滤的信息内容、上网时间的上限等多项内容进行灵活控制;此外,它还可以可有效提高网络带宽的利用率,屏蔽垃圾信息内容消耗网络系统资源。
附图说明
下面结合附图详述本发明的具体内容
图1为本发明基本构成原理方框图
图2为本发明构成原理方框详图
图3为本发明策略服务设置单元WEB页面图
具体实施方式
如图1及2所示,本发明由设置在服务器端的网络策略管理单元、策略服务设置单元及边缘采集控制单元三部分构成;网络策略管理单元是系统的调度管理中心,它负责用户资料、实时上下线、策略定制信息、和分类信息等数据的存储,与边缘采集控制单元之间的实时同步调度、分类信息等数据分发;策略服务设置单元,提供最终用户输入/输出界面,可用于服务申请/撤销,设置控制策略,查询日志信息;边缘采集控制单元负责最终用户访问互联网数据包的采集、分析和控制实施;
网络策略管理单元构成及工作原理
网络策略管理单元由用户资料处理模块、登录信息处理模块、管理信息处理模块、同步处理模块及相应接口和用于上述模块产生的数据信息的数据库构成;
1、用户资料处理模块
网络策略管理单元采用标准的FTP协议,通过用户资料接口接收第三方(如网络提供商计费系统或网络提供商运营系统)发送的用户资料文件,用户资料处理模块,对接收到的文件进行完整性校验,并做相应的格式转换后,将最终用户的资料保存在数据库中。
2、登录信息处理模块
最终用户访问互联网信息之前,必须执行上线操作(登录网络),服务提供商要求用户输入用户名/密码进行身份认证,身份认证通过后,接入服务器给认证服务器发送一个Radius计费开始包,该数据包中包含用户上网帐号和分配给用户的IP地址,以及其他信息。用户下线(退出)后,接入服务器给认证服务器发送一个Radius计费结束包。网络策略管理单元通过认证接口采集上述用户的实时上下线(即登录网络和退出网络)信息,信息来源有以下两种方式:1)、网络提供商的用户认证系统转发用户的上线/下线Radius包;2)、边缘采集控制单元采集到的用户上线/下线Radius包;
登录信息处理模块从上线Radius包中提取用户(上网帐号)与IP对应关系(该信息可用于识别用户身份,即确定上网帐号与动态分配的IP的对应关系),以及用户的其他信息,如用户的登录地点、上线时间、下线时间、宽窄带属性等信息进行处理;从下线Radius包中提取用户上网时长、上下行流量等信息进行处理。登录信息处理模块处理分为两个步骤:
将这些实时信息保存在数据库中,以便统计和查询;
二、从数据库中读取该用户的相关资料、用户预先定制好的用户服务定制信息,以及这些实时信息本身通过同步处理模块同步到用户登录地点所在的边缘采集控制单元的用户/IP对应表中。
内存数据库同步过程采用自定义的IM协议进行传送,IM协议是自定义的一种基于Socket方式的实时通信接口,主要用于各种设备之间进行实时通信,IM协议每一个通讯数据包由定长的包头和不定长的包体组成。
协议包头结构
字段名称   字段长度  字段类型 说明
协议版本号   1Byte  Unsigned char 填1
操作码编号   4Byte  Unsigned int 定义一种通信操作,每个操作码代表一种不同的操作。
应答标志   2Byte  Unsigned short 该字段值在发送和接收情况下含义不同。◆发送数据:0=表示后续没有数据包1=表示后续还有数据包◆接收数据:0=表示成功非0=表示出错后的错误码
保留1   1Byte  Unsigned char 保留未用,填0。
协议包的序列号   4Byte  Unsigned int 协议包的序列号,每个数据包的序列号要求不能重复。
包体长度   2Byte  Unsigned short 数据包体的长度
Md5的校验码   16Byte  Unsigned char[16] md5校验码,用[包体+MD5 KEY]后做MD5运算得到的校验码。
保留2   2Byte  Unsigned char[2] 保留未用,填0。
协议包头用C语言结构定义如下:
struct_im head_t
{
  unsigned char  cVersion;
     unsigned int iOperationCode;
    unsigned short  iFunctionCode;
    unsigned char   cReserved1;
    unsigned int iSeqno;
    unsigned short  isLength;
    unsigned char   cMd5[16];
    unsigned char   cReserved2[2];
};
3、管理信息处理模块
类似于一种外部消息通知机制,当通过管理接口收到一个通知包时,管理信息处理模块会根据数据包的内容(即IM协议的操作码编号),从数据库中获取相应的管理信息内容(即管理信息的内容是由其他管理工具、软件直接包存在数据库的操作表中)进行处理。
管理信息中包含用户服务定制信息的增加、删除和修改(如申请服务、撤销服务、服务内容变更、以及上网角色切换等信息),管理信息处理模块通过同步处理模块将这些信息同步到系统中的正在提供服务的边缘采集控制单元中进行处理,这样就保证了服务的实时性。
管理信息中还包含有控制策略信息的增加、删除和修改(如分类信息库、用户自定义分类信息、控制策略模板等内容),管理信息处理模块通过同步处理模块将这些信息同步到系统中的所有边缘采集控制单元中进行处理,这些内容保存在边缘采集控制单元的分类信息库中。
控制策略信息主要包含如下内容:
分类信息库:包括分类URL信息库、分类TCP端口信息库、分类目的IP信息库和分类过滤关键字信息库的增加、删除和修改;上述信息库由系统管理员统一维护;
用户自定义分类信息:用户可以根据需要增加、删除和修改需要控制的URL信息库、TCP端口、目的IP地址等信息和过滤关键字等;
控制策略模板:该模板包含一些标准的用户服务定制,这样用户只需要选择一个模板这样一个操作就可以实现基本的服务定制。
4、同步处理模块
同步处理模块将需要同步的信息发送到相应的边缘采集控制单元,具有重发处理机制,保证数据的完整性。
下面简述网络策略管理单元工作原理
首先从用户资料接口、认证接口及管理接口采集到相应的数据;
用户资料处理模块、登录信息处理模块和管理信息处理模块对采集到的数据进行处理;
将数据按数据库的表结构要求,保存在数据库中;
对于从认证接口接收到的用户上下线信息,网络策略管理单元从数据库中读取用户定制的控制策略信息、用户资料,以及分配给该用户IP地址同步到边缘采集控制单元;
对于从管理接口接收到的信息,如果是网络策略管理单元的配置信息,则动态调整系统的配置参数;如果是边缘采集控制单元的配置信息则同步到边缘采集控制单元,边缘采集控制单元根据收到的同步信息,动态调整系统内部配置参数;如果是分类信息库信息、用户自定义控制内容,或用户定制控制策略的增删改等,则同步到边缘采集控制单元相应的内存数据库中。
边缘采集控制单元构成及工作原理
边缘采集控制单元由内存数据库、采集接口、数据包解析模块、逻辑分析模块和控制处理模块五部分构成;
1、内存数据库
边缘采集控制单元采用高效的存储技术(平衡树、哈希算法等),将网络管理中心发送的同步信息保存在内存中,建立内存数据库,确保信息的快速准确定位;
2、采集接口
边缘采集控制单元从连接的网络设备(如路由器、交换机和光纤链路)上采集流量,并在采集流量的入口做必要的过滤,仅采集服务提供商所属用户访问Internet的访问请求,从而提高了采集效率。边缘采集控制单元支持的采集方式有以下五种方式:
a.端口镜像:端口镜像方式是交换机的一个基本功能,可将用户访问请求复制一份到边缘采集控制单元,该采集方式为旁路监听方式;
b.分光:采用分光器,将光纤链路上的信息,复制一份到边缘采集控制单元,该采集方式为旁路监听方式;
c.WCCP协议:WCCP是业界领先的Web快取重导协议,它能对网络传输的数据包进行本地的快取,并智能化的分配网络负载到多个边缘采集控制单元上。边缘采集控制单元在处理WCCP方式重导过来的数据包时,首先将该数据包重新导向到Internet上,然后再对需要处理的数据包进行分析处理,其采集方式也为旁路监听方式;
d.L2TP协议:在一个L2TP VPN网络中,LAC(L2TP AccessConcentrator)可以将目标用户的流量通过PPP封装后传送到LNS(L2TPNetwork Server)上,LNS一般为专用的路由器来担任,边缘采集控制单元采用旁路监听方式采集处理LNS上行流量;
e.策略路由:网络接入服务器NAS(Network Access Server)可为目标客户分配一个特定的IP地址,然后在网络路由器上根据策略路由的设置将该部分用户流量转发到边缘采集控制单元。边缘采集控制单元在处理该部分流量时,首先将该流量重新导向到Internet上,然后再对需要处理的数据包进行分析处理,其采集方式也为旁路监听方式;
综合以上五种采集方式,可有效地在任何网络环境下采集到用户的访问流量。
3、数据包解析模块
数据包解析模块对采集到的IP数据包进行解析,如果该数据包是网络接入服务器发送的用户上线/下线的Radius包,并且系统需要从边缘采集控制单元采集这类数据包,则边缘采集控制单元将该数据包转发到网络策略管理单元的认证接口;如果该数据包是用户访问Internet的访问请求包,则将该数据包提交给逻辑分析模块进行处理;如果是其他的数据包,则中止流程,处理下个IP数据包;
4、逻辑分析模块
逻辑分析模块对用户的访问请求进行分析,主要包含以下各种逻辑关系的分析:
用户是否开通网络信息内容控制功能;
用户访问的目的地是否在控制的范围之内;
用户当前上网时间是否在允许的时间段内;
用户的总上网时长是否超过允许的时长。
逻辑分析模块将需要控制的用户访问请求提交给控制处理模块进行处理;对于不需要控制的访问请求,则中止流量,继续处理下个IP数据包。
5、控制处理模块
控制处理模块处理不同的访问请求,并给最终用户发送中断连接的响应包,达到控制的目的。
下面简述边缘采集控制单元的工作原理
边缘采集控制单元通过采集接口采集到用户的访问请求包;
数据包解析模块对采集的包进行解析;
如果该数据包是radius数据包,并且系统需要由边缘采集设备提供用户的上线/下线信息,则转发接入服务器发起的Radius包,否则,中止该流程,并继续处理下一个数据包;
在逻辑控制模块根据数据包中的源IP地址,在内存数据库中的用户/IP对照表中,查找用户信息,如果该用户未申请该项服务,则中止该流程,继续采集处理下一个数据包;
如果用户申请了该服务,则从内存数据库中的用户策略定制表读取用户服务定制信息。
根据用户服务定制信息查找用户累计上网时间是否超过规定时间,用户当前上网时间是否在规定的时间段内,在分类信息库中查找用户访问目的(目的URL、目的TCP端口号、目的IP地址)是否在受限,目的URL是否包含受限的过滤关键字。根据上述查找结果进行判断,如果用户访问不受限,则中止该流程,继续采集处理下一个数据包;
如果用户的访问受限,则由控制处理模块对该数据包进行处理,给最终用户发送中断连接的响应处理包。
策略服务设置单元的构成和实现方式:
策略服务设置单元采用C/S体系结构,用ASP.NET实现。最终用户可登录到策略服务设置单元WEB网站上进行控制服务定制,增加、删除和修改自定义控制策略内容,上网角色切换等。
策略服务设置单元包含以下内容:
登录:校验用户名和密码,确认登录系统的身份;
注册:最终用户在登录本设置单元前,首先要进行注册,注册包含以下各步骤:阅读并接受服务条款;身份校验;设置登录密码,用户基本资料补充录入等;
密码恢复:最终用户可以根据注册时提供的问题答案或邮件地址取回遗忘的密码;
系统管理:系统管理员可以设置管理员的操作权限,新增或修改管理员;
分类信息库维护:管理员可以维护分类库信息内容,修改控制模板等操作;
用户资料修改:管理员和最终用户可以修改自身的资料,重置密码等功能;
控制策略设置:包括服务申请/撤销,上网角色切换,控制方式修改等,其具体内容如下:
服务申请:上网监管人可以通过该门户申请分类信息控制服务,只有申请了服务的用户流量系统才会进行处理;
服务撤销:上网监管人可以通过该门户撤销分类信息控制服务;
上网角色切换:在一次上网过程中,监管人和被监管人的作为不同的控制角色,可以随时进行切换。系统对上网监管人(一般为家长、教师等)不实施任何的控制措施,从被监管人受限控制方式切换到监管人非受限方式,需要输入服务申请时监管人填写的超级密码。身份切换信息会通过网络策略管理单元实时同步到边缘采集控制单元中,即时生效。
暂停服务:上网监管人可根据需要,在不撤销服务的情况下,暂时停止分类信息控制的服务;
控制方式:可选择黑名单方式或白名单方式。
选择黑名单方式时,用户需指定需要被控制的信息分类,当用户访问这些信息分类(包括目的URL,目的TCP端口号、目的IP地址)时,边缘采集控制单元将中断这些访问连接,达到控制目的;
选择白名单方式时,用户需指定需要被放行的信息分类,当用户访问的目的不在这些信息分类(包括目的URL,目的TCP端口号、目的IP地址)范围内时,边缘采集控制单元将中断这些访问连接,达到控制目的;
自定义控制信息:用户可自行添加不在标准信息分类库中的信息,以弥补分类信息库的不足,并且满足特定的用户控制需求。这些自定义控制信息通过网络策略管理单元同步到边缘采集控制单元,并保存在边缘采集控制单元内存数据库中的分类信息库中;
上网时长控制:可以指定每天累计的最长上网时间;
上网时间段控制:可以指定每天允许上网的时间段。

Claims (7)

1、一种用户上网行为控制系统,其特征是:它由设置在服务器端的网络策略管理单元、策略服务设置单元及边缘采集控制单元三部分构成;网络策略管理单元是系统的调度管理中心,它负责用户资料、实时上下线、策略定制信息、和分类信息等数据的存储,与边缘采集控制单元之间的实时同步调度、分类信息等数据的分发;策略服务设置单元,提供最终用户输入/输出界面,可用于服务申请/撤销,设置控制策略,查询日志信息;边缘采集控制单元负责最终用户访问互联网数据包的采集、分析和控制实施;
网络策略管理单元包括以下内容:
用于接收和处理第三方发送的用户资料的用户资料接口和用户资料处理模块;
用于接收和处理用户实时登录和退出网络的上下线信息的认证接口和登录信息处理模块;
根据接收的管理信息数据包的内容,从数据库中获取相应的管理信息内容并进行处理的管理信息处理单元;
用于将需要同步的信息发送到边缘采集控制单元的同步处理模块,同步处理模块接收来自登录信息处理模块和管理信息处理模块的数据信息;
用于存储用户资料处理模块、登录信息处理模块及管理信息处理单元产生的数据信息的数据库;
边缘采集控制单元包括以下内容:
用来从连接的网络设备上采集数据信息的采集接口;
用来对采集到的数据信息进行解析的数据包解析模块;
用来对数据包解析模块解析后的数据进行处理的逻辑分析模块;
根据逻辑分析模块的结果进行控制处理的控制处理模块;
存储分类信息、用户控制策略定制信息及用户/IP对应表的内存数据库;
策略服务设置单元采用C/S体系结构,由ASP.NET实现,提供最终用户进行操作的输入/输出界面;包括用户注册管理、用户登录验证、密码恢复管理、用户资料管理、服务申请/撤销、控制策略设置、日志查询。
2、如权利要求1所述的用户上网行为控制系统,其特征是:用户资料处理模块对通过用户资料接口接收第三方发送的用户资料进行完整性校验,并做相应的格式转换后,将最终用户的资料保存在数据库中。
3、如权利要求1所述的用户上网行为控制系统,其特征是:登录信息处理模块对通过认证接口采集用户的实时上下线信息,提取Radius包中的用户与IP对应关系,以及用户的其他信息,如用户的登录地点、上下时间、下线时间、宽窄带属性等信息,将上述实时信息保存在数据库中,以便统计和查询。
4、如权利要求1所述的用户上网行为控制系统,其特征是:管理信息处理模块根据管理接口收到的管理信息数据包的内容,从数据库中获取相应的管理信息内容进行处理;经过处理后提交给同步处理模块,由同步处理模块即时同步到相应的边缘采集控制单元。
5、如权利要求1所述的用户上网行为控制系统,其特征是:数据包解析模块对采集到的IP数据包进行解析,如果该数据包是网络接入服务器发送的用户上线/下线的Radius包,并且系统需要从边缘采集控制单元采集这类数据包,则边缘采集控制单元将该数据包转发到网络策略管理单元的认证接口;如果该数据包是用户访问Internet的反问请求包,则将该数据包提交给逻辑分析模块进行处理;如果是其他的数据包,则中止流程,处理下个IP数据包。
6、如权利要求1所述的用户上网行为控制系统,其特征是:逻辑分析模块对用户的访问请求进行分析,主要包含对以下逻辑关系的分析:
用户是否开通网络信息内容控制功能;
用户访问的目的地是否在控制的范围之内;
用户当前上网时间是否在允许的时间段内;
用户的总上网时长是否超过允许的时间长;
逻辑分析模块将需要控制的用户访问请求提交给控制处理模块进行处理;对于不需要控制的反问请求,则中止流量,继续处理下个IP数据包。
7、如权利要求1所述的用户上网行为控制系统,其特征是:控制处理模块处理不同的访问请求,并给最终用户发送中断连接的响应包。
CNB2004100479879A 2004-06-14 2004-06-14 用户上网行为控制系统 Expired - Lifetime CN1332535C (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNB2004100479879A CN1332535C (zh) 2004-06-14 2004-06-14 用户上网行为控制系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB2004100479879A CN1332535C (zh) 2004-06-14 2004-06-14 用户上网行为控制系统

Publications (2)

Publication Number Publication Date
CN1716865A CN1716865A (zh) 2006-01-04
CN1332535C true CN1332535C (zh) 2007-08-15

Family

ID=35822325

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2004100479879A Expired - Lifetime CN1332535C (zh) 2004-06-14 2004-06-14 用户上网行为控制系统

Country Status (1)

Country Link
CN (1) CN1332535C (zh)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101132391B (zh) * 2006-08-22 2010-07-21 华为技术有限公司 对应用进行控制的系统及方法
CN101005611B (zh) * 2006-12-31 2012-07-04 深圳市中科新业信息科技发展有限公司 一种网吧视频监控和实名拍照系统及装置
CN101572629B (zh) * 2009-05-31 2011-08-31 腾讯科技(深圳)有限公司 一种ip数据的处理方法及装置
CN102377585A (zh) * 2010-08-10 2012-03-14 深圳市傲天通信有限公司 青少年网络防沉迷系统及其方法
WO2012144203A1 (en) 2011-04-18 2012-10-26 Nec Corporation Terminal, control device, communication method, communication system, communication module,program, and information processing device
JP6028736B2 (ja) 2011-04-18 2016-11-16 日本電気株式会社 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
CN103516681B (zh) * 2012-06-26 2017-08-18 华为技术有限公司 网络访问控制方法以及装置
CN103699546B (zh) * 2012-09-28 2016-12-21 秒针信息技术有限公司 一种生成网吧ip数据库的方法及装置
CN103218554B (zh) * 2013-03-18 2015-10-28 卡巴斯基实验室封闭式股份公司 用于基于用户行为适应性控制用户动作的系统和方法
CN103546335A (zh) * 2013-09-16 2014-01-29 紫光股份有限公司 一种网络流量的预测方法及其装置
CN104486098A (zh) * 2014-11-26 2015-04-01 中国建设银行股份有限公司 一种访问故障监控方法及装置
CN106161353B (zh) * 2015-03-31 2019-05-17 国家计算机网络与信息安全管理中心 一种面向宽带网络侧的上网时间管理方法及系统
CN105515790A (zh) * 2015-11-25 2016-04-20 上海市共进通信技术有限公司 基于pon家庭终端实现上网时间控制的方法
CN109768935B (zh) * 2019-03-14 2023-10-10 海南梯易易智能科技有限公司 带智能识别与过滤功能的无线路由器及其安全运行方法
CN113014427B (zh) * 2021-02-22 2023-11-07 深信服科技股份有限公司 网络管理方法和设备,及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001024638A (ja) * 1999-07-08 2001-01-26 Fujitsu Ltd ネットワーク制御装置及び記憶媒体
CN1422473A (zh) * 2000-04-11 2003-06-04 国际商业机器公司 定义和控制网络处理器设备的总体行为的方法
US6591265B1 (en) * 2000-04-03 2003-07-08 International Business Machines Corporation Dynamic behavior-based access control system and method
CN1489335A (zh) * 2003-03-14 2004-04-14 吉林中软吉大信息技术有限公司 数据网集中监控监测系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001024638A (ja) * 1999-07-08 2001-01-26 Fujitsu Ltd ネットワーク制御装置及び記憶媒体
US6591265B1 (en) * 2000-04-03 2003-07-08 International Business Machines Corporation Dynamic behavior-based access control system and method
CN1422473A (zh) * 2000-04-11 2003-06-04 国际商业机器公司 定义和控制网络处理器设备的总体行为的方法
CN1489335A (zh) * 2003-03-14 2004-04-14 吉林中软吉大信息技术有限公司 数据网集中监控监测系统

Also Published As

Publication number Publication date
CN1716865A (zh) 2006-01-04

Similar Documents

Publication Publication Date Title
CN100365975C (zh) 互联网网页信息推送系统
CN1332535C (zh) 用户上网行为控制系统
CN102377585A (zh) 青少年网络防沉迷系统及其方法
CN101099345B (zh) 利用采样和试探在网络元件处解释应用消息的方法和设备
CN106096056B (zh) 一种基于分布式的舆情数据实时采集方法和系统
RU2554540C2 (ru) Система фильтра команд местной электрораспределительной сети
CN101371237B (zh) 在网络元件中代表应用执行消息有效载荷处理功能
CN1823514B (zh) 使用基于角色的访问控制来提供网络安全的方法和装置
CN103152352B (zh) 一种基于云计算环境的全信息安全取证监听方法和系统
CN101556609B (zh) 基于网页内容的客户行为分析和服务系统
CN104394211A (zh) 一种基于Hadoop用户行为分析系统设计与实现方法
CN101018259B (zh) 电信综合信息系统及方法
CN103428267B (zh) 一种智慧缓存系统及其区分用户喜好相关性的方法
CN100438435C (zh) 一种限制浏览器访问网络地址的方法
CN103546343B (zh) 网络流量分析系统的网络流量展示方法和系统
CN102724189B (zh) 一种控制用户url访问的方法及装置
CN104933188B (zh) 一种专利个性化库的数据同步系统及方法
CN105528728A (zh) 一种基于云计算的商城电商服务平台及其方法
CN102891877B (zh) 实现终端应用的在线处理系统及方法
CN101789887A (zh) 网络用户分类方法、装置和网络业务监控系统
CN107948027A (zh) 一种带有智能家居数据安全备份系统及工作方法
CN102833111B (zh) 一种可视化http数据监管方法及装置
CN107819742A (zh) 一种动态部署网络安全服务的系统架构及其方法
CN103001891B (zh) 一种用于提升局域网整体服务质量的方法
CN102571946B (zh) 一种基于对等网络的协议识别与控制系统的实现方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee
CP03 Change of name, title or address

Address after: 518057 Guangdong city of Shenzhen province Nanshan District Guangdong streets high technology two Road Software Park 3 Building 6 floor 601

Patentee after: SHENZHEN AOTIAN TECHNOLOGY CO.,LTD.

Address before: 518057 room 206, building A, R & D building, ten South Road, Shenzhen hi tech Zone, Nanshan District, Guangdong

Patentee before: SHENZHEN AOTIAN COMMUNICATION CO.,LTD.

CX01 Expiry of patent term
CX01 Expiry of patent term

Granted publication date: 20070815