CN1455551A - 宽带网络接入智能控制系统及控制方法 - Google Patents
宽带网络接入智能控制系统及控制方法 Download PDFInfo
- Publication number
- CN1455551A CN1455551A CN 03128903 CN03128903A CN1455551A CN 1455551 A CN1455551 A CN 1455551A CN 03128903 CN03128903 CN 03128903 CN 03128903 A CN03128903 A CN 03128903A CN 1455551 A CN1455551 A CN 1455551A
- Authority
- CN
- China
- Prior art keywords
- server
- user
- authentication
- radius
- broadband network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种宽带网络接入智能控制系统,包括双向连接的终端用户计算机(1)、交换机(4),所述的交换机(4)与internet相连接,还包括依次与终端用户计算机(1)双向连接的NAS服务器(2),和对NAS服务器(2)传送过来的用户信息进行身份认证的RADIUS服务器(3),所述的NAS服务器(2)根据认证结果控制交换机(4)的相应端口是否开放。采用上述技术方案具备以下优点:认证效率高;灵活性好;提高网络性能;适用性广。同时由于采用RADIUS认证服务器有如下优越性:在一定时间内未收到响应后可以马上重发一个UDP报文而不需要关心前一个报文是否到达;更好地保护了数据的机密性;实现的结构简单明了。
Description
技术领域
本发明涉及一种针对IP宽带网络的安全和管理的方法及控制系统。
背景技术
随着网络技术的进一步发展,窄带网络环境已经不能满足人们对网络信息的需求,宽带网络建设成为了现在网络建设的热点。宽带网络发展中,IP已经占据了各种终端应用的主导地位,同时IP宽带网络的安全和管理问题也成为了网络发展的重点。以校园网为例,随着网络用户的增长和业务模式的复杂化,原有的用户管理模式逐渐显示出其局限性。主要问题集中在IP地址的盗用,局域网内部网络安全威胁增加,以及网络资源管理难度增加。除此之外,随着越来越多的校园办公业务及功能,网络教学、多媒体点播教学课件等转移到网上执行,各个方面都对网络管理及网络安全提出了更高的要求,要求对访问接入进行安全有效地控制,从而提高有限的网络带宽和资源使用效率。
发明内容
本发明所要解决的一个技术问题是提供一种宽带网络接入智能控制系统及控制方法,以有效地进行宽带网络管理及提高网络安全。
本发明提供一种宽带网络接入智能控制系统,包括双向连接的终端用户计算机、交换机,所述的交换机与internet相连接,其还包括依次与终端用户计算机双向连接的NAS服务器,和对NAS服务器传送过来的用户信息进行认证的RADIUS服务器,所述的NAS服务器根据认证结果控制交换机相应端口是否开放。所述终端用户计算机包括终端用户接口模块,其有两个网络接口,一个网络接口连NAS服务器,另一个网络接口连接被控制的交换机。所述的NAS服务器包括服务器用户接口模块、网络资源访问控制子系统和RADIUS客户端模块,所述的服务器用户接口模块分别与终端用户接口模块、网络资源访问控制子系统、RADIUS客户端模块双向连接。所述RADIUS服务器包括双向连接的RADIUS服务器端模块和认证计费数据库,所述的RADIUS服务器端模块还与RADIUS客户端模块双向连接。
本发明同时提供一种宽带网络接入智能控制方法,包括如下步骤:NAS服务器接收终端用户计算机的用户信息,并将该用户信息传送给RADIUS服务器;
RADIUS服务器采用RADIUS协议对用户信息进行认证;
RADIUS服务器将认证结果传送给NAS服务器;
NAS服务器利用简单网络管理协议控制交换机实现访问控制,即控制相应端口是否开放。
采用上述技术方案具备以下优点:
·认证效率高。将一般用于拨号网络的RADIUS协议运用于以太网中,
实现IP宽带网络的认证和计费。结果证明这种尝试是可行的,运行
效果很好。
·灵活性好。保留原有网络投资,不用更换交换机即可实现基于端口的
认证,将网络访问控制和认证计费功能与交换机功能分离开。
·提高网络性能。一旦用户获得了网络资源的访问权,则不需要通过接
入服务器系统就可以直接访问Internet,减轻了系统负担,减少网络
性能的损失,避免网络瓶颈的出现;
·适用性广。通过SNMP(简单网络管理协议)控制交换机,即通过设
置网络设备中SNMP管理信息库的MIB值来实现对交换机端口的状
态的控制。因此对于所有支持SNMP的网络设备都适用;
采用RADIUS认证服务器有如下优越性:RADIUS协议采用UDP数据报,在一定时间内未收到响应后可以马上重发一个UDP报文而不需要关心前一个报文是否到达,这比采用TCP效率高。RADIUS认证协议对认证口令部分采用MD5加密,保护了数据的机密性。RADIUS定义的数据报文比较简单,通常RADIUS中用户的认证信息和配置信息释放在同一个数据库中的,实现的结构简单明了。
附图说明
图1是宽带网络接入智能控制系统的逻辑结构框图。
图2是终端用户信息提交模块的程序流程图。
图3是服务器的用户接口模块的程序流程图。
图4是服务器的用户接口模块中线程的程序流程图。
图5是RADIUS客户端主程序实现流程。
图6是宽带网络接入智能控制系统的结构示意图。
具体实施方式
本发明的网络接入智能控制系统的总体逻辑结构如图1所示:其包括依次双向连接的终端用户计算机1、NAS服务器2(Network Access Server,网络访问服务器)和RADIUS服务器3(RADIUS,Remote Authentication DialIn User Service,远程拨号用户身份认证及计费服务协议)。终端用户计算机1包括终端用户接口模块11;NAS服务器2包括三大模块:服务器用户接口模块21、网络资源访问控制子系统22和RADIUS客户端模块23;所述的服务器用户接口模块21分别与终端用户接口模块11、网络资源访问控制子系统22、RADIUS客户端模块23双向连接。RADIUS服务器3包括双向连接的两大部分:RADIUS服务器端模块31和认证计费数据库32,所述的RADIUS服务器端模块31还与RADIUS客户端模块23双向连接。
根据建立的网络系统架构,我们自主开发的功能模块有:终端用户计算机1中的终端用户接口模块11,NAS服务器2中的服务器用户接口模块21、网络资源访问控制子系统22和RADIUS客户端模块23。采用Java作为整体开发语言,并选用了高效率的JBuilder软件作为系统开发工具。需要进行安装配置的是:RADIUS服务器中的RADIUS服务器端模块和认证计费数据库。下面分别进行详细介绍。1、终端用户接口模块11
终端用户计算机1中的终端用户接口模块11的主要功能为:与终端用户进行的交互:提供用户友好的界面,从中获取用户的用户名和口令等认证信息;返回服务器端接收到的认证响应给终端用户。与服务器用户接口模块进行交互:将用户提供的认证信息发送给服务器用户接口模块;等待由服务器用户接口模块传递的认证信息。
终端用户接口模块11的信息提交程序流程如图2所示:紧接开始步骤100之后,依次执行如下步骤:步骤101,生成面向终端用户的认证界面;步骤102,等侍用户录入信息;步骤103,等侍用户触发按钮事件;步骤104,建立socket连接;步骤105,生成通信字符串;步骤106,发送通信字符串;步骤107,接收响应信息;步骤108,返回响应信息给用户;此时,如果响应信息为“BYE”,则执行步骤110,退出流程;如果响应信息不是“BYE”,则返回执行步骤102。2、服务器用户接口模块21
服务器的用户接口模块21的主要功能为:与终端用户进行交互:接收终端用户提交的用户信息,将认证系统的响应返回给终端用户;与访问控制子系统进行交互:根据认证响应向访问控制子系统提出网络资源的控制请求;与认证子系统模块进行交互:向认证服务器提交用户信息并接收响应信息。服务器的用户接口模块的程序流程如图3所示:在开始步骤200之后,依次执行步骤201,建立ServerSocket侦听;步骤202,等待用户请求;步骤203,生成一个Socket;步骤204,为用户建立一个线程;步骤205,启动线程;再返回执行步骤202,并重复上述步骤。上述步骤中的线程的程序流程图如图4所示:在开始步骤2040之后,依次执行步骤2041,建立一个Socket连接;步骤2042,接收终端用户的认证信息;步骤2043,分析终端用户的认证信息;步骤2044,提交用户信息给认证计费子系统;步骤2045,判断用户状态,如果判断结果为上线,则执行步骤2046,判断用户认证是否通过,如果判断结果为是,则执行步骤2047,为用户开放网络资源,然后执行步骤2050,退出流程。如果步骤2046的判断结果为否,则直接执行步骤2050,退出流程。如果步骤2045的判断结果为离线,则执行步骤2048,判断用户认证是否通过,如果判断结果为是,则执行步骤2049,用户正常退出网络资源,然后执行步骤2050,退出流程。如果步骤2048的判断结果为否,则直接执行步骤2050,退出流程。3、网络资源访问控制子系统
网络资源访问控制子系统的主要功能是:对用户提出的访问申请、批准、执行、撤销全过程进行控制。用户访问控制按事先确定的规则决定一个用户是否有权对某一特定资源的使用或访问。具体到IP宽带接入系统中,主要指在认证的前提下,确保只有合法用户才能合法的访问、使用和配置网络资源,保证网络的通畅和安全运营。
通过对各种访问控制技术的分析和比较,本系统采用多层VLAN+ACL方案作为访问控制实现的主要手段。利用简单网络管理协议(Simple NetworkManagement Protocol,SNMP),控制交换机硬件端口实现访问控制。系统为每一个交换机基于端口进行VLAN划分,每一个端口都是一个单独的VLAN,这样有效的保证了用户信息数据的安全性。同时系统根据访问控制的不同等级划分相应的虚拟子网,只有具备相应访问权限的用户才能访问相应的虚拟局域网并使用相应的网络资源。
本系统访问控制部分的具体实现可分为两个部分:(1)接入层交换机端口的控制
对接入层交换机端口的控制主要采用了基于端口划分的虚拟局域网技术。系统根据用户认证信息,确定用户的访问权限和要求,配置其相应交换设备端口参数,将其划分到相应的VLAN,使其获得相应合法的权限,使用网络资源访问外部Internet。(2)数据包过滤控制
通过访问控制列表ACL实现VLAN间数据包过滤,从而控制VLAN之间的网络通讯安全。4、RADIUS客户端模块23
RADIUS客户端模块23主要完成以下功能:接受由服务器用户接口模块传递的用户终端发出的信息(用户名和口令等认证请求、要求下线请求等),并将接收到的用户信息发给RADIUS服务器请求认证;接受RADIUS服务器的认证信息,并将认证信息转发给服务器用户接口模块。RADIUS客户端主程序实现流程如图5所示:在开始步骤300之后,依次执行步骤301,用户信息录入;步骤302,向服务器端提交用户认证请求;步骤303,判断用户是否通过认证,如果判断结果为是,则依次执行步骤304,授权该用户使用网络资源;步骤305,向服务器端提交计费请求;然后执行步骤306,退出流程。如果步骤303的判断结果为否,则直接执行步骤306,退出流程。5、RADIUS服务器3
本系统采用运行于Linux操作系统下的FreeRADIUS 0.2版本。RADIUS服务器软件有许多版本,其中最著名的商业版本是Livingston公司的RADIUS Server。然而现在自由软件FreeRADIUS Server成为了RADIUS开发的新宠。FreeRADIUS服务器与Livingston′s 2.0 Server十分类似,它是Cistron RADIUS服务器的一个变体。但是它的特性远胜于Cistron和Livingston,而且更加容易配置。
FreeRADIUS Server有如下特性:
√限制每一个用户同时发生的登录数;
√多个默认的条目,每个条目都可以随意地登录;
√可以基于用户所在的组(huntgroup)对用户进行授权;
√当用户通过认证可以执行一个外部程序;
√可以作为代理服务器向远程服务器传送请求。
FreeRADIUS Server运行于Linux操作系统下,其安装文件为二进制文件形式,安装前需要编译。其安装过程如下:
(1)下载FreeRADIUS Server for Linux安装文件。
(2)在Linux下对该安装文件进行解压和安装。
(3)配置RADIUS认证服务器。
本系统的最终实现是以产品化的方式,系统的产品化结构如图6所示:终端用户计算机1中安装终端用户接口模块11,NAS服务器2中安装服务器用户接口模块21、网络资源访问控制子系统22和RADIUS客户端模块23,RADIUS服务器3中配置RADIUS服务器端模块31和认证计费数据库32。
终端用户计算机1有两个网络接口,一个网络接口连NAS服务器2(网络访问服务器),另一个网络接口连接被控制的交换机4,该交换机4连接Internet。终端用户只有通过NAS服务器2的认证,被控制的交换机4的相应端口开放,才能访问Internet。
Claims (11)
1、一种宽带网络接入智能控制系统,包括双向连接的终端用户计算机(1)、交换机(4),所述的交换机(4)与internet相连接,其特征在于,还包括依次与终端用户计算机(1)双向连接的NAS服务器(2),和对NAS服务器(2)传送过来的用户信息进行身份认证的RADIUS服务器(3),所述的NAS服务器(2)根据认证结果控制交换机(4)的相应端口是否开放。
2、根据权利要求1所述的宽带网络接入智能控制系统,其特征在于,所述终端用户计算机(1)包括终端用户接口模块(11),其有两个网络接口,一个网络接口连NAS服务器(2),另一个网络接口连接被控制的交换机(4)。
3、根据权利要求1所述的宽带网络接入智能控制系统,其特征在于,所述的NAS服务器(2)包括服务器用户接口模块(21)、网络资源访问控制子系统(22)和RADIUS客户端模块(23),所述的服务器用户接口模块(21)分别与终端用户接口模块(11)、网络资源访问控制子系统(22)、RADIUS客户端模块(23)双向连接。
4、根据权利要求1所述的宽带网络接入智能控制系统,其特征在于,所述RADIUS服务器(3)包括双向连接的RADIUS服务器端模块(31)和认证计费数据库(32),所述的RADIUS服务器端模块(31)还与RADIUS客户端模块(23)双向连接。
5、一种宽带网络接入智能控制方法,其特征在于,包括如下步骤:
NAS服务器(2)接收终端用户计算机(1)的用户信息,并将该用户信息传送给RADIUS服务器;
RADIUS服务器(3)采用RADIUS协议对用户信息进行身份认证;
RADIUS服务器(3)将认证结果传送给NAS服务器(2);
NAS服务器(2)利用简单网络管理协议控制交换机(4)实现访问控制,即控制相应端口是否开放。
6、根据权利要求5所述的宽带网络接入智能控制方法,其特征在于,所述的终端用户计算机(1)与NAS服务器(2)之间交互通信执行如下步骤:向用户提供友好的界面,通过与终端用户进行交互,从中获取用户名和口令等认证信息;返回服务器端接收到的认证响应给终端用户;与服务器用户接口模块进行交互:将用户提供的认证信息发送给服务器用户接口模块;等待由服务器用户接口模块传递的认证信息。
7、根据权利要求5所述的宽带网络接入智能控制方法,其特征在于,所述的NAS服务器执行如下步骤:与终端用户进行交互:接收终端用户提交的用户信息,将认证系统的响应返回给终端用户;与访问控制子系统进行交互:根据认证响应向访问控制子系统提出网络资源的控制请求;与认证子系统模块进行交互:向认证服务器提交用户信息并接收响应信息。
8、根据权利要求5所述的宽带网络接入智能控制方法,其特征在于,所述的NAS服务器还执行如下步骤:对用户提出的访问申请、批准、执行、撤销全过程进行访问控制。
9、根据权利要求8所述的宽带网络接入智能控制法,其特征在于,所述的访问控制采用多层VLAN+ACL方案。
10、根据权利要求8所述的宽带网络接入智能控制方法,其特征在于,所述的访问控制包括接入层交换机端口的控制及数据包过滤控制。
11、根据权利要求5所述的宽带网络接入智能控制方法,其特征在于,所述NAS服务器还执行如下步骤:接受用户终端计算机发出的信息,并将接收到的用户信息发给RADIUS服务器请求认证;接受RADIUS服务器的认证信息,并将认证信息转发给服务器用户接口模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031289037A CN100505633C (zh) | 2003-05-28 | 2003-05-28 | 宽带网络接入智能控制系统及控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031289037A CN100505633C (zh) | 2003-05-28 | 2003-05-28 | 宽带网络接入智能控制系统及控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1455551A true CN1455551A (zh) | 2003-11-12 |
| CN100505633C CN100505633C (zh) | 2009-06-24 |
Family
ID=29260392
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB031289037A Expired - Fee Related CN100505633C (zh) | 2003-05-28 | 2003-05-28 | 宽带网络接入智能控制系统及控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100505633C (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009089773A1 (fr) * | 2008-01-08 | 2009-07-23 | Huawei Technologies Co., Ltd. | Procédé et système d'authentification d'accès multi-hôte pour réseau wimax |
| CN102571729A (zh) * | 2010-12-27 | 2012-07-11 | 方正宽带网络服务股份有限公司 | Ipv6网络接入认证方法、装置及系统 |
| CN102594818A (zh) * | 2012-02-15 | 2012-07-18 | 北京星网锐捷网络技术有限公司 | 网络访问权限控制方法、装置及相关设备 |
| CN101938398B (zh) * | 2009-06-29 | 2012-12-19 | 深圳市联软科技有限公司 | 一种设备定位关系表的生成方法、系统及服务器 |
| CN101908967B (zh) * | 2009-06-02 | 2014-02-19 | 百度在线网络技术(北京)有限公司 | Linux虚拟服务器配置方法和系统 |
-
2003
- 2003-05-28 CN CNB031289037A patent/CN100505633C/zh not_active Expired - Fee Related
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009089773A1 (fr) * | 2008-01-08 | 2009-07-23 | Huawei Technologies Co., Ltd. | Procédé et système d'authentification d'accès multi-hôte pour réseau wimax |
| CN101908967B (zh) * | 2009-06-02 | 2014-02-19 | 百度在线网络技术(北京)有限公司 | Linux虚拟服务器配置方法和系统 |
| CN101938398B (zh) * | 2009-06-29 | 2012-12-19 | 深圳市联软科技有限公司 | 一种设备定位关系表的生成方法、系统及服务器 |
| CN102571729A (zh) * | 2010-12-27 | 2012-07-11 | 方正宽带网络服务股份有限公司 | Ipv6网络接入认证方法、装置及系统 |
| CN102594818A (zh) * | 2012-02-15 | 2012-07-18 | 北京星网锐捷网络技术有限公司 | 网络访问权限控制方法、装置及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100505633C (zh) | 2009-06-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103001999B (zh) | 用于公用云网络的私有云服务器、智能装置客户端及方法 | |
| CN100437550C (zh) | 一种以太网认证接入的方法 | |
| CN1191696C (zh) | 一种无线局域网移动设备安全接入及数据保密通信的方法 | |
| CA2573171C (en) | Host credentials authorization protocol | |
| TWI360781B (en) | Method for configuring a computer device using loa | |
| CN100512109C (zh) | 验证接入主机安全性的访问认证系统和方法 | |
| CN112261067A (zh) | 一种多级单包授权的方法及系统 | |
| CN1756148A (zh) | 用于网络访问的移动认证 | |
| CN1874226A (zh) | 终端接入方法及系统 | |
| CN1845491A (zh) | 802.1x的接入认证方法 | |
| CN107294952B (zh) | 一种实现零终端网络准入的方法 | |
| CN106534168A (zh) | 基于fpga的tcpip协议栈安全化处理系统 | |
| CN1450766A (zh) | 一种基于动态主机配置协议的用户管理方法 | |
| CN1142662C (zh) | 同时支持基于不同设备网络接入认证的方法 | |
| CN100505633C (zh) | 宽带网络接入智能控制系统及控制方法 | |
| CN105577686B (zh) | 基于网络控制器的局域网单点登录方法 | |
| CN110474922A (zh) | 一种通信方法、pc系统及接入控制路由器 | |
| CN112702736B (zh) | 一种基于区块链网关的工业设备授权服务系统及方法 | |
| CN1235382C (zh) | 一种基于802.1x协议的客户端认证方法 | |
| CN106878337A (zh) | 一种实现接入网源地址验证的Web认证方法与系统 | |
| CN1771753A (zh) | 使用移动终端的红外通信进行用户身份验证的方法和装置 | |
| EP1530343B1 (en) | Method and system for creating authentication stacks in communication networks | |
| CN1284331C (zh) | 网络计算机通信系统和面向用户的网络层安全通信方法 | |
| CN1688124A (zh) | 基于端口技术和认证协议的无线网络接入控制方法 | |
| CN1223155C (zh) | 一种基于集群管理的802.1x通信实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090624 Termination date: 20120528 |