CN1423461A - 宽带接入网关 - Google Patents
宽带接入网关 Download PDFInfo
- Publication number
- CN1423461A CN1423461A CN 01129952 CN01129952A CN1423461A CN 1423461 A CN1423461 A CN 1423461A CN 01129952 CN01129952 CN 01129952 CN 01129952 A CN01129952 A CN 01129952A CN 1423461 A CN1423461 A CN 1423461A
- Authority
- CN
- China
- Prior art keywords
- client
- network
- module
- server
- gateway server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
基于IP路由的宽带接入网关,提供基于网络第三层的宽带网络接入认证体系,其硬件包括客户端主机、宽带网络连接线、网关服务器及其配件,其特征在于:A.客户端主机所在的局域网通过强制或策略路由连接至宽带接入网关服务器,并对路由器进行设置,将客户端输出的数据包指向网关服务器;B.有一套宽带网管理软件,在客户端主机安装运行宽带网管理客户端程序,在网关服务器安装运行宽带网管理服务器端程序:C.从外面广域网进入客户端的IP包不通过网关服务器。与现有的技术对比,本发明具有如下的实质性特点和显著的进步:1.发明解决了宽带网的认证计费问题,从而克服了现有宽带网中IP地址被盗用、资源滥用等问题;2.实现本发明客户端无需改造已有的接入网络环境;3.本发明可以很方便地进行扩展,可以由多个网关组成网关群;4.本发明可以结合现有的Radius服务器和相应的计费系统使用,可以做到一个帐号既可以拨号上网,又可以局域宽带接入上网。
Description
本发明涉及计算机网络系统,特别是涉及一种对接入宽带网的用户进行认证与计费的宽带接入网关。
宽带网络是一个大数据量的网络应用环境,在客户至上、服务至上的市场理念下,一个好的用户认证与计费系统必然对网络运营商的生存发展起着至关重要的作用,计费管理的透明度、准确度、计费方式和服务方式是一个计费系统以及运营商制胜的重要指标。
目前宽带网络的接入方式有多种,而在计费方面则主要还是基于网管系统或基于代理软件进行计费,这种方式统计的数据一方面不够详细准确,另一方面又很难对使用者的身份进行认证,存在IP地址被盗用的问题,因此多数运营商都采用包月制计费方式,这种方式在开始时尚能吸引一些用户,但很快就会暴露出其致命的弱点,主要表现在资源的滥用和对用户收费不公平,具体的情形是:超级网虫们的肆意滥用,别有用心人士的恶意滥用,大部分用户抱着“不用白不用”的心态滥用资源,而许多用户包括潜在用户对“用不用都要交钱”感到不公平。
本发明的目的是提出一种解决宽带网中用户的认证和计费问题的技术方案,从而克服现有宽带网中IP地址被盗用、资源滥用等问题,提供一个安全的、合理的、快速的宽带网使用环境。
本发明是通过硬件和软件两个方面来实现的:
硬件方面:在网络供应商设有网关服务器,然后对客户机进行设置,使用户直接或通过路由器进入广域网时必须经过网关服务器。
软件方面:设计一套包括有认证、监听、计费、转发等模块的宽带网管理程序,并分别将其有关的部分安装在网关服务器和客户端上,其中各模块的功能如下:
认证模块__实现对进入宽带网的用户的身份认证,拒绝非法用户使用该网络,该模块有客户端和服务器端两部分构成。
监听模块__安装在客户端的软件,对用户经网卡进出的数据包进行监听,并对相关的数据包进行第三层封装处理,存放于缓冲区。
计费模块__负责收集客户端通过网卡的有效信息量并报告、计费,该模块有客户端和服务器端两部分构成。
转发模块__负责检查缓冲内的数据包并发送到网关服务器,再由服务器将数据包向外发送,该模块有客户端和服务器端两部分构成。
下面通过具体的实施例对本发明作更详细的说明:
图1是本发明的宽带接入网关实际应用连接示意图;
图2为本发明的宽带网管理程序工作流程图;
图3为本发明的宽带网管理程序中的认证模块工作流程图;
图4为本发明的宽带网管理程序中的监听模块工作流程图;
图5为本发明的宽带网管理程序中的计费模块工作流程图;
图6为本发明的宽带网管理程序中的转发模块工作流程图。
各图中的标号含义如下:
各图中:
A_区域网或专用网
B_A中的子网
1_接入用户,或称客户端(即一般的计算机用户)
2_用户1所在子网与外部的连接路由器
3_Internet广域网
4_区域网与Internet广域网连接的路由器
5_宽带接入网关服务器
6_Radius认证服务器
R_认证模块;R1~R14_认证模块的流程;
J_监听模块;J1~J4_监听模块的流程;
F_计费模块;F1~F5_计费模块的流程;
Z_转发模块;Z1~Z3_转发模块的流程。
如图1所示,本发明在客户端1和Internet广域网3之间设置有宽带接入网关服务器5,该网关服务器5也可以由现有网络在配置的Radius认证服务器6代替或两者配合使用。
将客户端1的输出口通过路由器2指向宽带接入网关服务器5,具体操作是在专线局域网出口上的路由器2的路由表中增加一条指向宽带接入网关5静态IP地址的强制路由,这样便可保证由子网B向外发送的IP数据包都必须先到宽带接入网关服务器5上。
硬件设置好后,在网关服务器5和客户端1上安装宽带网管理程序,我们将在网关服务器5上安装的部分称为宽带网管理服务器端程序,在客户端1上安装的部分称为宽带网管理客户端程序。
宽带网管理程序包括有连接认证,监听,计费、转发四个程序模块,其功能及工作流程如图2所示,下面对该程序的功能及操作过程作详细的说明:
认证模块(如图3所示):实现对进入宽带网的用户的身份认证,拒绝非法用户使用该网络。
该模块包括有客户端部分和网关服务器部分。下面以其操作实例对本模块的功能加以描述:
操作时,客户端1上首先生成一个交互对话框,开启程序;然后经过
R1用户输入经注册的帐号和密码;
R2由客户端1随机产生一对非对称密钥,并且将非对称密钥中的公钥通过标准网络Socket机制传递给网关服务器5;
R3网关服务器5接收到客户端1传送过来的公钥后随机产生一对对称密钥;
R4网关服务器5自身随机产生的对称密钥;
R5网关服务器5用所接收到的非对称公钥加密自身随机产生的对称密钥后传回客户端1,完成第一次通讯(R2~R5);
R6客户端1接收到由网关服务器5传回的经加密后的对称密钥,解密出该对称密钥;
R7客户端1再用该对称密钥将先前用户输入的帐号和密码加密后,再次通过标准网络Socket机制传给网关服务器5;
R8网关服务器5将帐号及密码解密并验证(此流程也可通过R9网关服务器5将解密后的帐号及密码通过Radius协议发送给Radius服务器6进行验证);
R10验证通过后,网关服务器5将新生成一个作为客户端唯一标识的随机认证码;
R11网关服务器5用第一次通讯时自身产生的对称密钥将该认证码加密后传递给客户端1,完成第二次通讯((R7~R11)。
R12客户端1解密得到随机认证码ID;
R13客户端1启动监听,转发,及计费报告三个模块并退出运行。
监听模块(如图4所示):监听模块主要进行如下工作及流程:
J1监听经客户端网卡进出的数据包;
J2截获通信数据包;
J3对相关的数据包进行第三层封装处理,即对本机发出的每个IP包都进行认证码信息封装:
对IP包进行封装的具体过程为:
●根据IP头,得到3个字节A、B、C;
●将含有四个字节的认证码与A、B、C这三个字节相组合后分别写入标志段的第1-4个字节内;
●标志段第5和第6字节分别置特定标识;
●在第三层将该标志段封装到IP包上。
J4将封装后的IP包写入缓冲区,等待转发到网关服务器。
计费报告模块:安装在客户端1上的计费报告模块的工作流程如图5所示:
F1首先是采集客户端计费信息;
F2每隔6秒会与网关5通信一次,一方面通知网关该客户端还“处于在线状态”,另一方面将最新的时长和流量数据加密传送给网关5;
F5一旦用户在客户端软件中选择下网,网关5会生成一个Stop包传递给Radius服务器6,Stop包中包含该用户的上网时长和流量等计费信息,同时该认证码(ID号)失效。
如果用户非正常下网(比如直接关机或掉电),当网关连续6次未收到“处于在线状态”的通知,则认为该用户已经下网,于是将最后一次收到的计费信息包含在Stop包中,发送给Radius服务器,同时该认证码(1D号)失效。
转发模块(如图6所示):安装在客户端1上的转发模块以线程形式运行,其工作流程如图4所示,
Z1客户端1负责检查缓冲区,发现如有经监听模块处理过的IP数据包,读取数据包;
Z2客户端将该数据包发到网关服务器5;
Z3网关服务器5将数据包向广域网发送,直到客户端1断开连接。
与现有的技术对比,本发明具有如下的实质性特点和显著的进步:
1、本发明解决了宽带网的认证计费问题,从而克服了现有宽带网中IP地址被盗用、资源滥用等问题,可提供一个安全的、合理的、快速的宽带网使用环境。
2、实现本发明无需改造已有的接入网络,客户端无需添置新的硬件,只需安装一个客户端软件,该软件不会对客户端的操作系统和其他任何应用系统带来影响。
3、本发明可以很方便地进行扩展,可以由多个网关组成网关群,这样当存在不同子网或多个子网时,网关群可以更好的提供服务,而对认证的负载分担完全可以通过策略路由的配置来实现。
4、本发明可以结合现有的Radius服务器和相应的计费系统使用,可以做到一个帐号既可以拨号上网,又可以局域宽带接入上网。
Claims (3)
1、基于IP路由的宽带接入网关,提供基于网络第三层的宽带网络接入认证体系,其硬件包括客户端主机、宽带网络连接线、网关服务器及其配件,其特征在于:
A、客户端主机所在的局域网通过强制或策略路由连接至宽带接入网关服务器,并对路由器进行设置,将客户端输出的数据包指向网关服务器;
B、有一套宽带网管理软件,在客户端主机安装运行宽带网管理客产端程序,在网关服务器安装运行宽带网管理服务器端程序。
2、根据权利要求1所述的宽带接入网关,其特征在于所述的宽带网管理软件包括有认证、监听、计费和转发四个模块,其中各模块的功能如下:
认证模块——实现对进入宽带网的用户的身份认证,拒绝非法用户进入该网络;
监听模块——对用户经网卡进出的数据包进行监听,并对相关的数据包进行第三层封装处理并存放于缓冲区;
计费模块——负责收集客户通过网卡的有效信息量并报告、计费:
转发模块——负责检查并转发缓冲内的数据包到网关服务器,再由网关服务器向广域网发送。
3、根据权利要求1所述的宽带接入网关,其特征在于:从外面进入客户端的IP包不通过网关服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 01129952 CN1423461A (zh) | 2001-11-23 | 2001-11-23 | 宽带接入网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 01129952 CN1423461A (zh) | 2001-11-23 | 2001-11-23 | 宽带接入网关 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1423461A true CN1423461A (zh) | 2003-06-11 |
Family
ID=4669589
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 01129952 Pending CN1423461A (zh) | 2001-11-23 | 2001-11-23 | 宽带接入网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1423461A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005057848A1 (fr) * | 2003-12-08 | 2005-06-23 | Huawei Technologies Co., Ltd. | Passerelle d'acces a un reseau local sans fil et procede permettant de garantir la securite du reseau au moyen de ladite passerelle d'acces |
| WO2007009401A1 (fr) * | 2005-07-22 | 2007-01-25 | Huawei Technologies Co., Ltd. | Mode de facturation sur le client de cadran d'autorisation eloigne dans un service d'utilisateur |
| CN100377525C (zh) * | 2005-08-02 | 2008-03-26 | 华为技术有限公司 | 流媒体业务服务实现方法、业务提供系统及运营支撑系统 |
| CN100417146C (zh) * | 2005-04-30 | 2008-09-03 | 华为技术有限公司 | 一种鉴权和计费的方法及外部用户接口网关 |
| CN100425041C (zh) * | 2004-06-25 | 2008-10-08 | 腾讯科技(深圳)有限公司 | 一种企业即时通信方法及系统 |
| CN101364936B (zh) * | 2007-08-08 | 2011-01-26 | 中国电信股份有限公司 | 多边缘宽带接入网业务区分和质量控制系统及方法 |
| CN102291459A (zh) * | 2005-04-14 | 2011-12-21 | 阿尔卡特朗讯公司 | 网络服务基础设施系统和方法 |
| CN101527677B (zh) * | 2005-12-12 | 2012-07-18 | 株式会社日立制作所 | 数据包传送装置 |
-
2001
- 2001-11-23 CN CN 01129952 patent/CN1423461A/zh active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005057848A1 (fr) * | 2003-12-08 | 2005-06-23 | Huawei Technologies Co., Ltd. | Passerelle d'acces a un reseau local sans fil et procede permettant de garantir la securite du reseau au moyen de ladite passerelle d'acces |
| US7224699B2 (en) | 2003-12-08 | 2007-05-29 | Huawei Technologies Co., Ltd. | Wireless local area network access gateway and method for ensuring network security therewith |
| CN100425041C (zh) * | 2004-06-25 | 2008-10-08 | 腾讯科技(深圳)有限公司 | 一种企业即时通信方法及系统 |
| CN102291459A (zh) * | 2005-04-14 | 2011-12-21 | 阿尔卡特朗讯公司 | 网络服务基础设施系统和方法 |
| CN102291459B (zh) * | 2005-04-14 | 2015-02-11 | 阿尔卡特朗讯公司 | 网络服务基础设施系统和方法 |
| CN100417146C (zh) * | 2005-04-30 | 2008-09-03 | 华为技术有限公司 | 一种鉴权和计费的方法及外部用户接口网关 |
| WO2007009401A1 (fr) * | 2005-07-22 | 2007-01-25 | Huawei Technologies Co., Ltd. | Mode de facturation sur le client de cadran d'autorisation eloigne dans un service d'utilisateur |
| CN100377525C (zh) * | 2005-08-02 | 2008-03-26 | 华为技术有限公司 | 流媒体业务服务实现方法、业务提供系统及运营支撑系统 |
| CN101527677B (zh) * | 2005-12-12 | 2012-07-18 | 株式会社日立制作所 | 数据包传送装置 |
| CN101364936B (zh) * | 2007-08-08 | 2011-01-26 | 中国电信股份有限公司 | 多边缘宽带接入网业务区分和质量控制系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN200962604Y (zh) | 电力专用纵向加密认证网关设备 | |
| CN101447907A (zh) | Vpn安全接入方法及系统 | |
| CN110535653A (zh) | 一种安全的配电终端及其通讯方法 | |
| CN1949765B (zh) | 获得被管设备的ssh主机公开密钥的方法和系统 | |
| CN1765079A (zh) | 分组密码处理代理装置 | |
| KR20030019356A (ko) | 이동 데이터 통신용 보안 동적 링크 할당 시스템 | |
| CN110753344B (zh) | 基于NB-IoT的智能表安全接入系统 | |
| CN1913474A (zh) | 捕获网络中的网络附属请求方的连接信息的方法和系统 | |
| CN101651597B (zh) | 一种地址分离映射网络中IPSec-VPN的部署方法 | |
| US20090198996A1 (en) | System and method for providing cellular access points | |
| US20090249067A1 (en) | System and Method for Pre-Placing Secure Content on an End User Storage Device | |
| CN101834864B (zh) | 一种三层虚拟专用网中攻击防范的方法及装置 | |
| CN1340940A (zh) | 用于处理分组业务的接入-请求消息的方法 | |
| GB2411542A (en) | Method of data gathering of a user network | |
| CN107135206A (zh) | 一种互联网环境下接口调用的安全防范方法和系统 | |
| CN1423461A (zh) | 宽带接入网关 | |
| CN1314221C (zh) | 一种安全代理方法 | |
| CN1881878A (zh) | 在可控因特网网络环境下基于智能卡业务安全认证方法 | |
| CN100512108C (zh) | 入网终端物理唯一性识别方法和终端接入认证系统 | |
| CN1659558A (zh) | 使用分层证书的基于中介器的交互工作 | |
| CN101640614A (zh) | 一种配置ipsec安全策略的方法及装置 | |
| CN1231847C (zh) | 一种网络设备身份认证装置及方法 | |
| CN111064752A (zh) | 一种基于公网的预置密钥共享系统及方法 | |
| CN1937572A (zh) | 接入设备远程验证拨号用户服务代理认证的实现方法 | |
| CN108400967A (zh) | 一种鉴权方法及鉴权系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |