一种实现网络访问控制的方法

1.一种实现网络访问控制的方法，其特征在于包括：
a、网络接入设备接收网络终端传输来的请求报文；
b、根据所述请求报文承载的信息确定所述网络终端的接入位置信息；
c、所述网络接入设备仅根据所述网络终端的接入位置信息对该网络终端进行认证，并根据认证结果对所述网络终端进行网络访问控制。
2.如权利要求1所述的一种实现网络访问控制的方法，其特征在于所述的网络接入设备包括交换机，所述的请求报文包括超文本传输协议请求报文。
3.如权利要求1所述的一种实现网络访问控制的方法，其特征在于当所述的请求报文为请求认证的报文时，所述的步骤a包括：
环球网服务器或网络拨号设备接收网络终端传输来的请求认证报文，并将其传输至所述网络接入设备。
4.如权利要求1所述的一种实现网络访问控制的方法，其特征在于所述的接入位置信息包括：端口信息、槽位信息、请求报文所属虚拟局域网信息。
5.如权利要求1所述的一种实现网络访问控制的方法，其特征在于所述的步骤c包括：
根据所述网络终端的接入位置信息判断该网络终端是否有预定网络访问权限；
如果有预定网络访问权限，允许该网络终端的网络访问；
如果没有预定网络访问权限，禁止该网络终端的网络访问。
6.如权利要求5所述的一种实现网络访问控制的方法，其特征在于所述的步骤c还包括：
允许该网络终端的网络访问时对该网络终端开始计时。
7.如权利要求6所述的一种实现网络访问控制的方法，其特征在于所述的方法还包括：
根据网络终端传输来的拆除连接请求停止对该网络终端的计时。
8.如权利要求6所述的一种实现网络访问控制的方法，其特征在于所述的方法还包括：
d、根据预定周期检测网络终端的连接状态，当检测到该网络终端处于断开状态时，停止对该网络终端的计时。
9.如权利要求8所述的一种实现网络访问控制的方法，其特征在于所述的步骤d包括：
根据预定周期向网络终端发送需要回应的报文，将在预定时间内未接收到回应报文的网络终端确定为处于断开状态的网络终端，停止对该网络终端的计时；
所述需要回应的报文包括地址解析协议报文、点对点协议回应报文、心跳报文。
10.如权利要求5所述的一种实现网络访问控制的方法，其特征在于所述的方法还包括：
为允许网络访问的网络终端自动生成用户名称信息和密码信息；
所述的用户名称信息为根据网络接入设备的位置、名称信息和/或网络接入设备的端口信息和/或槽位信息和/或虚拟局域网信息和/或该网络终端的域信息生成。
11.如权利要求10所述的一种实现网络访问控制的方法，其特征在于所述的方法还包括：
根据所述自动生成的用户名称信息和密码信息为相应的网络终端用户进行远端认证；
所述的远端认证包括远程用户拨号认证。

技术领域
本发明涉及网络通讯技术领域，具体涉及一种实现网络访问控制的方法。
背景技术
随着计算机、计算机通讯网络的迅速发展，利用计算机上网，在网络中进行信息交互已经成为人们工作、生活中的一个重要组成部分。
计算机网络终端用户可通过宽带、拨号等方式上网，网络终端用户上网时，可对其进行认证，认证通过后允许其进行网络访问；也可不对其进行认证直接允许其进行网络访问。
需要对网络终端用户进行认证一般是根据网络终端用户输入的用户名称信息，如用户名和密码等信息进行认证的，用户名可作为网络终端用户上网的帐号信息；网络终端用户可以通过到网络运营商处购买上网卡，从中得知用户名和密码，并通过拨号设备拨号或者WEB(环球网)认证将用户名和密码输入到网络运营商指定的位置，在该位置根据该网络终端用户输入的用户名和密码对其进行该网络终端用户是否合法的认证，并根据认证结果决定是否允许其上网，如果网络终端用户输入的用户名和密码正确、合法，则认证通过，允许该网络终端用户上网并记录其上网的开始时间、结束时间以及上网过程中的流量等信息。
采用这种认证的方式，在某些环境中就不太适合，例如在酒店中，网络终端用户必须从酒店服务员处获得用户名和密码才可以上网，而在该环境中是不需要知道用户名和密码，只需要知道网络终端用户上网的起止时间和相应的流量信息就可以了。在这种情况下，网络终端用户输入用户名和密码并对其进行认证就显得比较多余了。
不需要对网络终端用户进行认证在实际应用中一般为网络终端用户采用包月制或类似于包月制等方式上网，这种方式在小区用户中比较普及，即网络终端用户申请开通这种上网方式并且一次性支付一定的资金后，网络运营商即允许其在一段时间内无需进行认证就可以直接上网。
采用这种无须认证即可上网的方式，由于网络终端用户是包月或者包年，网络运营商不对其进行认证，这样网络运营商在对网络终端用户的监控方面就比较薄弱，网络运营商很难知道网络终端用户何时开始上网，何时停止上网及网络终端用户在其上网期间的流量等信息。因此，该上网方式虽然不需要对网络终端用户进行用户名和密码进行认证，对于上述的酒店环境仍不适用。而且对于网络运营商来说，清晰的知道网络的运营、使用状况也是非常重要的，这些未知的因素影响了网络运营商对网络的可控管理。
发明内容
本发明的目的在于，提供一种实现网络访问控制的方法，使对网络终端的认证过程方便快捷，使网络终端的上网信息清晰明了，从而实现了方便、快捷、清晰的实现网络访问控制的目的。
为达到上述目的，本发明提供的一种实现网络访问控制的方法，包括：
a、网络接入设备接收网络终端传输来的请求报文；
b、根据所述请求报文承载的信息确定所述网络终端的接入位置信息；
c、所述网络接入设备仅根据所述网络终端的接入位置信息对该网络终端进行认证，并根据认证结果对所述网络终端进行网络访问控制。
所述的网络接入设备包括交换机，所述的请求报文包括超文本传输协议请求报文。
当所述的请求报文为请求认证的报文时，所述的步骤a包括：
环球网服务器或网络拨号设备将网络终端传输来的请求认证报文传输至所述网络接入设备。
所述的接入位置信息包括：端口信息、槽位信息、请求报文所属虚拟局域网信息。
所述的步骤c包括：
根据所述网络终端的接入位置信息判断该网络终端是否有预定网络访问权限；
如果有预定网络访问权限，允许该网络终端的网络访问；
如果没有预定网络访问权限，禁止该网络终端的网络访问。
所述的步骤c还包括：
允许该网络终端的网络访问时对该网络终端开始计时。
所述的方法还包括：
根据网络终端传输来的拆除连接请求停止对该网络终端的计时。
所述的方法还包括：
d、根据预定周期检测网络终端的连接状态，当检测到该网络终端处于断开状态时，停止对该网络终端的计时。
所述的步骤d包括：
根据预定周期向网络终端发送需要回应的报文，将在预定时间内未接收到回应报文的网络终端确定为处于断开状态的网络终端，停止对该网络终端的计时；
所述需要回应的报文包括地址解析协议报文、点对点协议回应报文、心跳报文。
所述的方法还包括：
为允许网络访问的网络终端自动生成用户名称信息和密码信息；
所述的用户名称信息为根据网络接入设备的位置、名称信息和/或网络接入设备的端口信息和/或槽位信息和/或虚拟局域网信息和/或该网络终端的域信息生成。
所述的方法还包括：
根据所述自动生成的用户名称信息和密码信息为相应的网络终端用户进行远端认证；
所述的远端认证包括远程用户拨号认证。
利用本发明，不需要根据网络终端用户的用户名称信息，如用户名和密码，进行认证，可仅仅根据网络终端的接入位置信息对其进行认证，这样网络终端用户可在不输入用户名称信息的情况下，可采用仅点击认证界面中的“连接”按钮等方法直接进行认证，使网络终端用户的认证过程方便快捷；由于对网络终端用户进行了认证所以可对网络终端的网络访问时间进行计时，同时还可获得该网络终端上网期间的流量信息，使网络终端的上网信息透明化，因此，网络运营商可清晰的知道网络的运营、使用状况，使网络运营商可对网络进行进一步的可控管理；本发明还提供为通过认证的网络终端自动生成用户名称信息和密码信息的功能，使对网络终端的管理更加灵活方便，从而实现了方便、快捷、清晰的实现网络访问控制的目的。
附图说明
图1是本发明的环球网服务器认证界面示意图；
图2是本发明的通过环球网服务器实现网络访问控制的流程图；
图3是本发明的拨号设备客户端认证界面示意图；
图4是本发明的拨号设备客户端的网络终端用户上网信息示意图；
图5是本发明的通过拨号设备实现网络访问控制的流程图。
具体实施方式
本发明的核心思想为：在不需要对网络终端用户的上网帐号和密码等信息进行管理，只需要对其上网信息等方面进行管理的情况下，我们可简化认证过程，采用一种不需要输入网络终端用户的用户名称信息和密码等信息而同样可以实现认证的一种方便快捷的认证方式来对网络终端用户的上网权限、上网信息进行管理，从而实现对网络终端用户的网络访问控制。
本发明的具体实现方法为：网络终端用户将请求报文传输至网络接入设备，网络接入设备可以为交换机等，请求报文可以为HTTP(超文本传输协议)请求报文，如网络终端用户点击IE浏览器，申请打开某个网页。网络接入设备接收到该请求报文后，根据请求连接报文承载的信息确定网络终端用户的接入位置信息，接入位置信息包含的内容如报文进入网络接入设备的槽位信息、端口信息、该报文所属的虚拟局域网等信息，如果网络接入设备由接入位置信息确定该网络终端用户为一个合法的用户，则允许该网络终端进入网络；如果网络接入设备确定该网络终端用户不是一个合法的用户，则不允许该网络终端进入网络。
在对网络终端的认证过程中由于不需要网络终端用户输入用户名称、密码等信息，所以本发明提供的这种认证方法简化了认证过程，可以称之为一种快速认证的方法。
基于本发明的核心思想还可以实现对网络终端的上网信息进行监测，如记录该网络终端的上网时间，下网时间，流量等信息。
实现上述记录网络终端的上网信息的一种方法为：设定网络终端用户在未经过快速认证之前，只能访问WEB(环球网)服务器，WEB服务器支持用户名称信息和密码信息为空的认证请求。网络终端用户首先访问WEB服务器，WEB服务器为之提供一个认证界面，在该界面上也同样不需输入用户名称等信息，可通过只点击“连接”按扭等方法而直接进入快速认证过程。由网络接入设备根据该网络终端的接入位置信息对其进行快速认证。
网络接入设备可以设定对从某位置进入的请求认证报文进行快速认证，如设定从1号端口带VLAN 2标识的的请求认证报文进行快速认证；也可以设定对所有进入该网络接入设备的请求认证报文都进行快速认证。设置部分需要快速认证的，可根据实际需要设定。
在认证通过后，网络终端可以访问其他网站。网络接入设备同时为该网络终端进行计时，并获取该网络终端的流量信息；当网络终端需要下网，断开网络不再需要访问其他网站时，网络终端用户应到WEB服务器处通知其需要断开网络，WEB服务器通知网络接入设备禁止网络终端设备访问其他网站，网络接入设备限制该网络终端用户的访问其他网站的权限，并停止对该网络终端的计时。
如果网络终端用户未到WEB服务器处去通知其需要下网而关机或因意外原因如断电等而关机，网络接入设备可通过定时检测网络终端的连接状态来实现结束为该网络终端的计时。其具体实现方法为：网络接入设备可根据预定周期向网络终端用户定时发送需要回应的预定报文，如ARP(地址解析协议)报文、PPP ECHO(点对点协议回应报文)、WEB服务器发送的心跳报文等，当在预定时间内或预定几个周期内未收到该网络终端的回应报文，则认为该网络终端已处于断开连接状态时，停止对该网络终端的计时。
实现上述记录网络终端的上网信息的另一种方法为：设定网络终端需要经过拨号才能上网，那么为网络终端提供的拨号客户端认证界面中同样不需输入用户名称等信息，而采用直接点击“连接”按扭等方法直接进入快速认证过程，由网络接入设备根据该网络终端的接入位置信息对其进行快速认证。
网络接入设备设定对从某位置进入的请求认证报文进行快速认证的方法和上述方法相同。
在认证通过后，网络终端可以访问网络，网络接入设备为该网络终端进行计时并可同时获取其流量信息。当网络终端需要下网，断开网络不再需要访问网络时，到拨号客户端处通知其需要断开网络，拨号客户端通知网络接入设备禁止网络终端设备访问网络，网络接入设备限制该网络终端的访问权限，并停止对该网络终端的计时。
如果网络终端用户未到拨号客户端处去通知其需要下网而关机或因意外原因如断电等而关机，网络接入设备同样可通过定时检测网络终端的连接状态来实现结束为该网络终端的计时。可采用发送需要回应的报文来实现，发送需要回应的报文的方法和上述描述过程相同。
下面结合附图对本发明作进一步详细说明。
本发明WEB服务器提供的认证界面如附图1所示，本发明通过WEB服务器来实现网络访问控制的流程图如附图2所示。
在图1中，网络终端用户在未经过快速认证前只能访问WEB服务器，WEB服务器为网络终端提供如图所示的快速认证界面。网络终端用户可通过只点击“连接”按扭而直接进入快速认证过程。
在图2中，在步骤2-1，网络终端用户在未经过快速认证前访问其它网站，网络接入设备确定该网络终端用户没有经过快速认证，没有访问其它网站的权限，禁止该网络终端用户访问其它网站。
在步骤2-2，网络终端用户访问WEB服务器，点击图1所示的“连接”按扭，WEB服务器向网络接入设备发送请求认证报文，通知网络接入设备该网络终端需要上网，需要网络接入设备对其进行快速认证。由网络接入设备根据该网络终端的接入位置信息对其进行快速认证，在认证通过后，允许网络终端访问其他网站。网络接入设备同时为该网络终端进行计时，并获取该网络终端的流量信息。到步骤2-4，网络终端访问其它网站。
如果网络终端需要下网，到步骤2-5，网络终端访问WEB服务器，点击图1所示的“断开”按扭，到步骤2-6，WEB服务器根据网络终端的拆除连接请求，通知网络接入设备禁止该网络终端访问其他网站，网络接入设备限制该网络终端访问其他网站的权限，并停止对该网络终端的计时。
本发明的拨号客户端提供的认证界面如附图3所示，本发明的拨号设备客户端的网络终端上网信息如附图4所示，本发明通过拨号设备实现网络访问控制的流程图如附图5所示。
在图3中，网络终端用户在未经过快速认证前不能够访问网络，网络终端用户只能通过拨号客户端提供的如图所示的快速认证界面进入快速认证过程。网络终端用户可不输入图3中的用户名和密码信息，通过只点击图3中的“连接”按扭而直接进入快速认证过程。
在图5中，在步骤5-1，网络终端用户在未经过快速认证前访问网站，网络接入设备确定该网络终端用户没有经过快速认证，没有访问网站的权限，禁止该网络终端用户访问网站。
在步骤5-2，网络终端用户打开拨号客户端的快速认证界面，不输入图3中的用户名和密码信息，直接点击图3所示的“连接”按扭，拨号客户端向网络接入设备发送请求认证报文，通知网络接入设备该网络终端需要上网，需要网络接入设备对其进行快速认证。由网络接入设备根据该网络终端的接入位置信息对其进行快速认证，在认证通过后，允许网络终端访问网络，并同时为该网络终端进行计时，获取该网络终端的流量信息。到步骤5-3，网络终端访问网络。网络终端用户可通过拨号设备客户端的网络终端上网信息得知其上网的相关信息，其示意图如图4所示。
如果网络终端需要下网，到步骤5-4，网络终端访问拨号设备客户端提供的网络终端上网信息界面，点击图4中的“断开”按扭，拨号客户端根据网络终端的拆除连接请求，通知网络接入设备禁止该网络终端访问网络，网络接入设备限制该网络终端的访问权限，并停止对该网络终端的计时。
上述两种方法都可以实现本发明的目的，如果还希望对快速认证的网络终端进行用户名称和密码的相关管理，本发明还提供为网络终端自动生成用户名称信息和密码信息的功能。
利用该功能为网络终端用户生成相应的用户名称和密码，可对该网络终端进行管理，如实现对该网络终端的远端认证，如RADIUS(远程用户拨号认证)等，使对网络终端的管理更加灵活。
为网络终端生成的用户名可根据网络终端的接入位置信息和网络接入设备的位置、名称信息生成，例如，网络终端用户从名为nanjing的网络接入设备的1号槽的2端口接入，网络终端用户的报文带有VLAN 3标识，网络接入设备可将该接入位置的快速网络终端用户自动添加域名fast，添加密码为verygood，则该网络终端的用户名nanjing-01-02-0003@fast，密码为verygood。
虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化。