CN1859249A - 一种过滤数据的方法及系统 - Google Patents
一种过滤数据的方法及系统 Download PDFInfo
- Publication number
- CN1859249A CN1859249A CNA2005101274974A CN200510127497A CN1859249A CN 1859249 A CN1859249 A CN 1859249A CN A2005101274974 A CNA2005101274974 A CN A2005101274974A CN 200510127497 A CN200510127497 A CN 200510127497A CN 1859249 A CN1859249 A CN 1859249A
- Authority
- CN
- China
- Prior art keywords
- filter plant
- access equipment
- network access
- user
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种数据过滤的方法,包括如下步骤:网络接入设备将用户终端的上网接入请求上报到AAA服务器请求认证,若通过认证,AAA服务器将该用户的业务属性下发给网络接入设备;网络接入设备根据AAA服务器下发的业务属性向过滤设备发送连接请求;过滤设备与网络接入设备建立连接,过滤设备允许用户终端接入网络并对用户数据流进行过滤。本发明同时还提供了一种数据过滤的系统,本发明可灵活扩展,具有了比传统的上网业务更细化、更明确的数据流过滤。
Description
技术领域
本发明涉及互联网接入技术,尤其涉及一种过滤数据的方法及系统。
背景技术
随着国内Internet业务量的增加,互联网宽带数据业务也在不断地发展,对于互联网上的丰富多彩的内容及业务也在不断的增加及更新。随着内容的不断发展,互联网上的内容也呈现出多极化,信息、资料、新闻、游戏等不断填充网络世界。对于网络内容的多样化,网络内容及信息也需要分类,有些信息不希望某类人群访问,或某此信息需对某些人保密,这样就需要在用户上网过程中对用户所访问的网站或内容进行过滤。这样才能为用户提供绿色上网功能。达到了网络信息的效用最大化,同时又限制了某此用户越界访问网络。
现有技术可以分为两个层面的控制。一是由网络接入设备BAS/NAS(BroadAccess System/Narrow Access System)上配置用户可访问的控制列表ACL(Access Control List),即某一个用户仅能访问ACL中的网站;二是由AAA(Authentication、Authorization、Accounting)服务器与网络接入设备配合动态完成用户可访问的列表,即用户接入认证时,由AAA服务器根据用户的属性,在认证成功的Radius(Remote Authentication Dial In User Service)消息中通过Filter-Id属性动态下发用户可以访问的控制列表,再由网络接入设备根据AAA服务器下发的控制列表控制用户可以访问的网站。
采用现有技术上网,运营商只在AAA服务器上设置此业务的ACL属性,当用户订购此业务时,用户才能使用接入,参照图1,其接入步骤如下
1、用户通过计算机终端拨号请求接入互联网;
2、BAS/NAS接收到来自用户终端的上网请求时,BAS/NAS会把用户的请求(包括用户名和密码)发送到AAA服务器请求认证;
3、AAA服务器检查用户信息,并查询业务;
4、AAA服务器查询用户合法后,把用户订购的业务信息(包含有ACL)下发给BAS/NAS;
5、BAS/NAS根据AAA服务器下发的业务属性,开放用户访问互联网的端口;
6、用户开始访问互联网,连接请求提交至BAS/NAS;
7、BAS/NAS根据连接请求访问相应的互联网站点;
8、上述响应互联网站点将数据流发给BAS/NAS;
9、BAS/NAS再将来自网络侧的数据流转发给用户终端。
在上述步骤中,BAS/NAS仅能控制用户访问的ACL列表网站,无法对用户访问的数据流进行过滤。
现有技术的缺点如下:
1、针对上述第一种层面由设备直接配置,缺乏灵活性。
2、针对上述第二种层面由AAA服务器配合控制,虽然可以提高灵活度,但无法做到对上网访问内容的过滤。
发明内容
本发明提供一种过滤数据的方法及系统,以解决现有技术无法对用户访问的数据流进行过滤的问题。
为实现上述目的,本发明可采用如下技术方案:
一种过滤数据的方法,其特征在于所述方法包括如下步骤:
A、网络接入设备将用户终端的上网接入请求上报到AAA服务器请求认证,若通过认证,AAA服务器将该用户的业务属性下发给网络接入设备,继续步骤B,否则,拒绝用户终端的请求;
B、网络接入设备根据AAA服务器下发的业务属性向过滤设备发送连接请求;
C、过滤设备与网络接入设备建立连接,过滤设备允许用户终端接入网络并对用户数据流进行过滤。
根据上述方法:
若用户的业务属性为仅对用户的上网数据流进行过滤,过滤设备则按设定的过滤规则对用户终端发往网络侧的数据流和由网络侧发往用户终端的数据流进行过滤。
若用户的业务属性为对用户终端的上网数据流进行过滤并采用ACL加以控制,网络接入设备还将所述上网接入请求发送给过滤设备,过滤设备根据该上网请求从AAA服务器请求ACL,并利用ACL对用户终端访问的网站进行控制以及对用户终端发往网络侧的数据流和由网络侧发往用户终端的数据流进行过滤。
若AAA服务器认证通过,AAA服务器则将ACL下发给过滤设备,否则发送认证失败,由过滤设备拒绝用户访问互联网。
所述过滤规则包括信息过滤、内容过滤、网站过滤。
网络接入设备与过滤设备建立的连接为基于第二层隧道协议的隧道连接。
本发明还提供一种过滤数据的系统,包括网络接入设备、AAA服务器,该系统还包括有用于过滤用户数据流的过滤设备,其中:
网络接入设备与过滤设备相连,用户终端与网络接入设备相连,整个上网过程中的数据流经由网络接入设备和过滤设备在用户终端与Internet之间收发与传送;
AAA服务器,其分别与网络接入设备和过滤设备相连,用于对网络接入设备和过滤设备上报上来的上网接入请求进行认证、授权、记账以及下发ACL。
网络接入设备与过滤设备之间的连接为基于第二层隧道协议的隧道连接。
所述过滤设备设置在网络接入设备中。
与现有技术相比,本发明不需要修改原有的组网及设备即可增加绿色上网业务,新开展绿色上网业务不影响基础上网业务,可灵活扩展,具有了比传统的上网业务更细化、更明确的数据流过滤。
附图说明
图1为现有技术用户终端接入示意图;
图2为本发明的过滤数据系统结构图;
图3为本发明第一种数据过滤方式的流程图;
图4为本发明第二种数据过滤方式的流程图。
具体实施方式
为了实现绿色上网,对用户上网过程中的用户数据流进行过滤管控,本发明提供了一种数据过滤系统,请参阅图2包括网络接入设备、AAA服务器、用于过滤用户数据流的过滤设备,其中:
过滤设备与网络接入设备相连,用户终端与网络接入设备相连,在整个上网过程中的数据流经由网络接入设备和过滤设备在用户终端与Internet之间收发与传送。对于需要过滤的数据由过滤设备进行过滤处理,对于不需要过滤的数据由过滤设备透传。
AAA服务器,其分别与网络接入设备和过滤设备相连,用于对网络接入设备和过滤设备上报上来的上网接入请求进行认证、授权、记账以及下发ACL。
本发明采用了公知的过滤设备,过滤设备可以过滤一些预先设定好允许或者禁止的数据流,过滤规则可以是信息过滤、内容过滤、网站过滤。
本发明所述的数据过滤系统的组网结构,用户终端为计算机,与BAS/NAS相连,BAS/NAS可与过滤设备Filtrate建立基于第二层隧道协议(L2TP,Layer2Tunnel Protocol的隧道连接,AAA服务器通过Radius消息与BAS/NAS和Filtrate进行通信。用户在正常上网时,用户数据流的路径通道为:计算机-BAS/NAS-Filtrate-Internet。
在上述结构中,过滤设备可以嵌套在网络接入设备中,也可以独立设置。
在本发明中,运营商需要在AAA服务器中设置2种绿色上网的业务属性,第一种是仅对用户终端的上网数据流进行过滤;第二种是对用户终端的上网数据流进行过滤,同时采用ACL加以控制。
以下针对第一种数据过滤方式进行实施例说明,请参阅图3:
1、用户终端拨号,发送接入请求给BAS/NAS;
2、BAS/NAS接收到来自用户终端的请求,并把该请求(包括用户名和密码)通过Radius认证请求消息发送到AAA服务器请求认证;
3、AAA服务器检查用户信息,并查询到业务属性为仅对用户终端的上网数据流进行过滤;
4、AAA服务器产生包含有绿色上网业务属性的认证成功响应消息并下发给BAS/NAS;
5、BAS/NAS向过滤设备Filtrate发送建立连接请求;
6、过滤设备Filtrate响应上述连接请求并与BAS/NAS建立基于L2TP的隧道连接,同时允许用户接入Internet;
7、用户将访问Internet网站的请求发送给BAS/NAS;
8、BAS/NAS然后将该请求通过上述隧道连接转发给过滤设备Filtrate;
9、过滤设备Filtrate将该请求接入Internet;
10、Internet响应用户上网请求并将用户数据流发送给过滤设备Filtrate;
11、过滤设备Filtrate对Internet发送的数据流按照预先设定的过滤规则进行过滤;
12、过滤设备Filtrate将过滤后的数据流通过上述隧道连接发送给BAS/NAS;
13、BAS/NAS接收上述过滤后的数据流并转发给用户终端。
第二种数据过滤方式是对用户终端的上网数据流进行过滤,同时采用ACL加以控制。以下针对该第二种数据过滤方式进行实施例说明,请参阅图4:
1、用户终端拨号,发送接入请求给BAS/NAS;
2、BAS/NAS接收到来自用户终端的请求,并把该请求(包括用户名和密码)通过Radius认证请求消息发送到AAA服务器请求认证;
3、AAA服务器查询用户信息,并查询到业务属性为对用户终端的上网数据流进行过滤同时采用ACL加以控制;
4、AAA服务器产生包含有绿色上网业务属性的认证成功响应消息并下发给BAS/NAS;
5、BAS/NAS向过滤设备Filtrate发送建立连接请求;
6、过滤设备Filtrate响应上述连接请求并与BAS/NAS建立基于L2TP的隧道连接;
7、过滤设备Filtrate再次将用户终端的上网接入请求通过上述已建立的隧道连接上报AAA服务器,进行二次认证;
8、AAA服务器查询用户业务信息;
9、AAA服务器对上述用户信息认证通过后,下发带有ACL的认证成功响应给过滤设备Filtrate;
10、过滤设备Filtrate发送认证成功消息给用户,允许用户接入Internet;
11、用户将访问Internet网站的请求发送给BAS/NAS;
12、BAS/NAS将该请求通过上述隧道连接转发给过滤设备Filtrate;
13、过滤设备Filtrate先在ACL中查找是否有用户请求访问的网站,若有,过滤设备Filtrate将该请求接入Internet,否则,拒绝该上网请求;
14、Internet响应用户访问Internet网站的请求并将用户数据流发送给过滤设备Filtrate;
15、过滤设备Filtrate对Internet发送的数据流按照预先设定的过滤规则进行过滤;
16、过滤设备Filtrate将过滤后的数据流发送给BAS/NAS;
17、BAS/NAS接收上述过滤后的数据流并转发给用户终端。
上述方案中,过滤设备根据预先设置的过滤条件对流经其自身的数据流进行过滤,加上ACL可对网站的控制,更有效更完善的控制了上网内容。例如对中小学生可禁止他们访问色情、暴力、游戏等网站,协助性地为学生家长管制了孩子的非健康休闲。在过滤设备中预先设置一些关键字内容来有效控制对不在ACL中网站的访问。
本发明在原有的组网及设备基础上增加过滤设备即可,或者在网络接入设备中增加过滤功能。
当然,以上所举的各种实施方式仅为本发明的较佳实施方式,对于本领域的普通技术人员来说,所作的针对本发明的等效变化,仍应包含在本发明权利要求所主张的范围中。
Claims (9)
1、一种过滤数据的方法,其特征在于所述方法包括如下步骤:
A、网络接入设备将用户终端的上网接入请求上报到鉴权、认证、计费(AAA)服务器请求认证,若通过认证,AAA服务器将该用户的业务属性下发给网络接入设备,继续步骤B,否则,拒绝用户终端的请求;
B、网络接入设备根据AAA服务器下发的业务属性向过滤设备发送连接请求;
C、过滤设备与网络接入设备建立连接,过滤设备允许用户终端接入网络并对用户数据流进行过滤。
2、如权利要求1所述的方法,其特征在于,若用户的业务属性为仅对用户的上网数据流进行过滤,过滤设备则按设定的过滤规则对用户终端发往网络侧的数据流和由网络侧发往用户终端的数据流进行过滤。
3、如权利要求1所述的方法,其特征在于,若用户的业务属性为对用户终端的上网数据流进行过滤并采用ACL加以控制,网络接入设备还将所述上网接入请求发送给过滤设备,过滤设备根据该上网请求从AAA服务器请求ACL,并利用ACL对用户终端访问的网站进行控制以及对用户终端发往网络侧的数据流和由网络侧发往用户终端的数据流进行过滤。
4、如权利要求3所述的方法,其特征在于,若AAA服务器认证通过,AAA服务器则将ACL下发给过滤设备,否则发送认证失败,由过滤设备拒绝用户访问互联网。
5、如权利要求2或3所述的方法,其特征在于,所述过滤规则包括信息过滤、内容过滤、网站过滤。
6、如权利要求1所述的方法,其特征在于,网络接入设备与过滤设备建立的连接为基于第二层隧道协议的隧道连接。
7、一种过滤数据的系统,包括网络接入设备、AAA服务器,其特征在于,该系统还包括有用于过滤用户数据流的过滤设备,其中:
网络接入设备与过滤设备相连,用户终端与网络接入设备相连,整个上网过程中的数据流经由网络接入设备和过滤设备在用户终端与Internet之间收发与传送;
AAA服务器,其分别与网络接入设备和过滤设备相连,用于对网络接入设备和过滤设备上报上来的上网接入请求进行认证、授权、记账以及下发ACL。
8、如权利要求7所述的系统,其特征在于,网络接入设备与过滤设备之间的连接为基于第二层隧道协议的隧道连接。
9、如权利要求7所述的系统,其特征在于,所述过滤设备设置在网络接入设备中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2005101274974A CN100372331C (zh) | 2005-12-12 | 2005-12-12 | 一种过滤数据的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2005101274974A CN100372331C (zh) | 2005-12-12 | 2005-12-12 | 一种过滤数据的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1859249A true CN1859249A (zh) | 2006-11-08 |
CN100372331C CN100372331C (zh) | 2008-02-27 |
Family
ID=37298114
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2005101274974A Active CN100372331C (zh) | 2005-12-12 | 2005-12-12 | 一种过滤数据的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100372331C (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101834846A (zh) * | 2010-03-30 | 2010-09-15 | 王兴强 | 一种未成年人健康网站认证系统及其认证方法 |
CN110475248A (zh) * | 2018-05-10 | 2019-11-19 | 中国移动通信集团浙江有限公司 | 一种无线网络架构及无线网络接入方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6317838B1 (en) * | 1998-04-29 | 2001-11-13 | Bull S.A. | Method and architecture to provide a secured remote access to private resources |
JP2001326696A (ja) * | 2000-05-18 | 2001-11-22 | Nec Corp | アクセス制御方法 |
FR2838843B1 (fr) * | 2002-04-23 | 2004-12-17 | Cit Alcatel | Dispositif d'adaptation dynamique de filtres de donnees |
JP4292802B2 (ja) * | 2003-01-08 | 2009-07-08 | 日本電気株式会社 | 移動通信網、無線ネットワーク制御装置、移動端末及びそれらに用いる輻輳低下方法 |
CN1551569A (zh) * | 2003-04-08 | 2004-12-01 | Adv通讯公司 | 网络传输多媒体数据的方法 |
CN1486025A (zh) * | 2003-08-22 | 2004-03-31 | 北京港湾网络有限公司 | PPPoE二层透传端口用户名绑定检查的方法 |
DE602004013377T2 (de) * | 2004-03-09 | 2009-05-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Netzwerk-mobilitäts-unterstützung und zugangsregelung für bewegliche netzwerke |
CN1705270A (zh) * | 2004-05-26 | 2005-12-07 | 华为技术有限公司 | 一种控制网络访问的系统及方法 |
-
2005
- 2005-12-12 CN CNB2005101274974A patent/CN100372331C/zh active Active
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101834846A (zh) * | 2010-03-30 | 2010-09-15 | 王兴强 | 一种未成年人健康网站认证系统及其认证方法 |
CN101834846B (zh) * | 2010-03-30 | 2012-10-17 | 王兴强 | 一种未成年人健康网站认证系统及其认证方法 |
CN110475248A (zh) * | 2018-05-10 | 2019-11-19 | 中国移动通信集团浙江有限公司 | 一种无线网络架构及无线网络接入方法 |
Also Published As
Publication number | Publication date |
---|---|
CN100372331C (zh) | 2008-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1815971A (zh) | 基于集中管理分布控制的绿色上网系统及方法 | |
CN1152333C (zh) | 基于认证、计费、授权协议的门户认证实现方法 | |
US9509752B2 (en) | Method, device and system for controlling web page access | |
CN100337229C (zh) | 网络认证、授权和计帐系统及方法 | |
WO2010111914A1 (zh) | 一种网络权限管理方法、装置和系统 | |
CN1863211A (zh) | 内容过滤系统及其方法 | |
CN1197297C (zh) | 一种信息交换平台 | |
CN1705270A (zh) | 一种控制网络访问的系统及方法 | |
CN1918885A (zh) | 当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和系统 | |
CN101039310A (zh) | 链路共享服务装置以及通信方法 | |
CN1666477A (zh) | 监测和控制通信网络中数据传输的方法、系统和装置 | |
CN1756155A (zh) | 用于网络访问的移动认证 | |
CN1713629A (zh) | 用户登录名和ip地址绑定的实现方法 | |
CN101039213A (zh) | 一种通信网络中对用户的接入访问进行控制的方法 | |
WO2008034355A1 (fr) | Procédé, dispositif et système d'authentification de service réseau | |
CN1142662C (zh) | 同时支持基于不同设备网络接入认证的方法 | |
WO2009105976A1 (zh) | 一种权限控制方法、系统及设备 | |
CN1859249A (zh) | 一种过滤数据的方法及系统 | |
CN1728646A (zh) | 一种通讯系统中网络访问控制的实现方法和装置 | |
CN103841557A (zh) | 一种泛在终端统一管理与控制方法及平台 | |
CN1197296C (zh) | 信息交换机 | |
CN1271816C (zh) | 包过滤的网络协议层用户认证方法 | |
CN1638358A (zh) | 用于网络应用上的多个管理服务器的统一会话控制方法和系统 | |
CN1794643A (zh) | 访问控制系统 | |
CN1581833A (zh) | 公共互联网连接服务系统及接入线连接设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |