一种基于用户帐号的网络访问控制方法

1、一种基于用户帐号的网络访问控制方法，其特征在于，包括：
网络接入设备中设置将用户的网络访问权限划分为不同的等级，设置 不同等级的权限与不同的网络IP地址或网络IP地址段对应的访问控制关 系，以及设置用户帐号与网络访问等级的对应关系，及设置连接信息表 UCIB、规则表Rule、用户访问控制表UCL，并设置与用户的网络访问权限等 级相对应的用户访问控制UCL组；
在用户进行网络访问时，根据用户帐号将用户划分到不同的UCL组，根 据UCL组获取用户的网络访问权限等级，根据所述等级和上述访问控制关系 对用户的网络访问进行控制。
2、根据权利要求1所述的基于用户帐号的网络访问控制方法，其特征 在于，所述根据用户帐号将用户划分到不同的UCL组，根据UCL组获取用户 的网络访问权限等级，以及根据所述等级和该等级与网络IP地址或IP地址 段对应的访问控制关系对用户的网络访问进行控制，是根据用户帐号将用 户划分到相应的UCL组，再根据所述UCL组去匹配用户网络访问目的地址对 应的网络IP地址或IP地址段，如果匹配的结果为允许用户访问，则转发用 户的报文，否则丢弃用户报文。
3、根据权利要求2所述的基于用户帐号的网络访问控制方法，其特征 在于，
所述UCIB表，包括用户IP地址、UCL组字段，用于为每个在线用户建立 一个网络连接记录；
所述Rule表，包括规则和IP地址或网段二个字段，用于将不同的IP地 址或IP地址段定义为不同的网络访问控制规则；
所述UCL表，用于描述UCL组与不同Rule的对应访问控制关系。
4、根据权利要求3所述的基于用户帐号的网络访问控制方法，其特征 在于，所述方法还包括：在用户上网认证成功后，由认证端根据用户帐号 将用户划分到相应的UCL组，同时通知网络接入设备将用户的UCL组信息写 入到UCIB表的相应记录中。
5、根据权利要求3所述的基于用户帐号的网络访问控制方法，其特征 在于：在根据UCL组匹配用户网络访问目的地址对应的网络IP地址或IP地址 段的控制过程中，网络接入设备按用户网络访问报文的源IP地址，通过UCIB 表得到用户所属的UCL组号，再用报文的目的IP地址，通过Rule表得到目的 地址对应的Rule，通过UCL组号和Rule的组合，查找UCL表，根据该UCL表 判断用户是否允许访问报文指定的目的IP地址，如果允许，转发该报文，否 则丢弃该报文。

技术领域\n本发明涉及用户的网络访问控制方法。\n背景技术\n在目前宽带网络的宽带接入服务器(BAS)中，不可避免地要涉及到 对宽带数据报文的转发，即涉及到报文的转发控制问题，或者说涉及到用 户的网络访问控制问题。例如，在需要对访问某一IP地址网站的用户进行 限制时，如果访问该IP地址网站的用户满足受限制的条件，则在用户网络 接入时切断该接入操作。再例如，运营商根据运营的需要，将网络访问划 分为多个层次，同时使不同的用户具有不同层次的网络访问权限，这就是 说，在进行网络的管理时，需要根据用户的访问权限控制其进行的网络访 问。为实现上述控制要求，目前主要采用两种控制方法：一是基于认证的 控制方法。该方法以用户是否通过网络认证为标准，将用户划分为两部 分，通过认证的用户，可以对网络进行几乎无限制的访问，未通过的用 户，则不许进行任何的网络访问或只能进行有限的访问，如仅访问某个门 户服务器的网页。显然，上述控制方式的控制精度太低，认证通过的用户 往往权限都是一致的，不能体现用户的级别，控制上没有灵活性，因此不 可能满足所要求的网络访问的多层次可控的要求。\n作为上述网络访问控制方法的替代，第二种是基于用户端口号和IP地 址的控制方法，该方法通过用户的端口号和IP地址划分用户的网络访问权 限，以实现网络访问控制的灵活性和多层次性。在这种控制方式中，用户 的端口号通常是固定的，但实际中一个端口下可能挂接多个用户，因此这 种方法的控制精度最多只能到端口级；另一方面，当用户为属于动态IP地 址用户时，在其网络接入过程中，需要通过动态主机配置协议(DHCP)中 请一个IP地址，利用该IP地址进行网络的访问。由于用户每次上网时，通 过DHCP过程获取的IP地址通常是不同的，这就使得对用户进行网络访问的 控制变得复杂和困难。尽管上述控制方法的精度有所提高，仍然也不能实 现用户级的控制精度和层次性的控制要求。\n发明内容\n本发明的目的在于提供一种控制精度较高的基于用户帐号的网络访问 控制方法，使用该方法能够实现网络访问控制的多层次性。\n为达到上述目的，本发明提供的基于用户帐号的网络访问控制方法， 包括：\n网络接入设备中设置将用户的网络访问权限划分为不同的等级，设置 不同等级的权限与不同的网络IP地址或网络IP地址段对应的访问控制关 系，以及设置用户帐号与网络访问等级的对应关系，及设置连接信息表 UCIB、规则表Rule、用户访问控制表UCL，并设置与用户的网络访问权限等 级相对应的用户访问控制UCL组；\n在用户进行网络访问时，根据用户帐号将用户划分到不同的UCL组，根 据UCL组获取用户的网络访问权限等级，根据所述等级和上述访问控制关系 对用户的网络访问进行控制。\n所述根据用户帐号将用户划分到不同的UCL组，根据UCL组获取用户的网 络防问权限等级，以及根据所述等级和该等级与网络IP地址或IP地址段对 应的访问控制关系对用户的网络访问进行控制，是根据用户帐号将用户划 分为相应的UCL组，再根据所述UCL组去匹配用户网络访问目的地址对应的 网络IP地址或IP地址段，如果匹配的结果为允许用户访问，则转发用户的 报文，否则丢弃用户报文。\n所述UCIB表，包括用户IP地址、UCL组字段，用于为每个在线用户建立 一个网络连接记录；\n所述Rule表，包括规则和IP地址或网段二个字段，用于将不同的IP地 址或IP地址段定义为不同的网络访问控制规则；\n所述UCL表，用于描述UCL组与不同Rule的对应访问控制关系。\n所述方法还包括：在用户上网认证成功后，由认证端根据用户帐号将 用户划分到相应的UCL组，同时通知网络接入设备将用户的UCL组信息写入 到UCIB表的相应记录中。\n在根据UCL组匹配用户网络访问目的地址对应的网络IP地址或IP地址 段的控制过程中，网络接入设备按用户网络访问报文的源IP地址，通过UCIB 表得到用户所属的UCL组号，再用报文的目的IP地址，通过Rule表得到目的 地址对应的Rule，通过UCL组号和Rule的组合，查找UCL表，根据该UCL表判 断用户是否允许访问报文指定的目的IP地址，如果允许，转发该报文，否 则丢弃该报文。\n由于本发明将用户的网络访问权限划分为不同的等级或网络访问控 制组，并且设置不同等级的权限或网络访问控制组对应的网络IP地址或地 址段，以及设置用户帐号与网络访问等级或网络访问控制组之间的对应关 系，这样，在用户进行网络访问时，根据用户帐号获取用户的网络访问权 限等级或网络访问控制组，即可对用户的网络访问进行控制；很显然，这 种控制方法可以控制到用户级，由于具体控制所依赖的基础是用户的帐号， 而帐号是具有唯一性的，无论用户获得什么样的IP地址或是挂接到哪个端 口，都可以针对具体的用户实施网络接入控制，因此，本发明具有较高的 控制精度和灵活性，能够满足网络访问多层次性的控制要求。\n附图说明\n图1是典型的用户网络登录过程示意图；\n图2是本发明所述方法的控制原理图；\n图3是本发明方法的控制过程第一部分流程图；\n图4是本发明方法的控制过程第二部分流程图。\n具体实施方式\n依据前述对现有的用户网络访问控制方法的分析，在对用户的网络访 问进行控制时，最简单的控制依据就是以认证是否通过为标准，但由于这 种标准的控制精度太低而不能满足实际应用的要求。事实上，在对用户进 行网络访问控制时，无论是采用本地认证还是采用远端的认证服务器认 证，在认证端都存储有对用户进行认证和管理的信息，因此，用户一旦通 过网络认证，网络就会获得该用户的详细签约信息，如用户帐号(指用户 名或口令等唯一标识用户的信息)等。可见，如果能将用户的网络访问权 限作为用户的签约信息也保存在网络的认证端，那么在用户认证通过后即 可使网络接入设备，如BAS，利用该权限对用户的网络访问进行控制。在 上述信息中，用户帐号信息是唯一能够标识该用户的信息，因此将该信息 和用户的网络访问权限结合起来，就能够满足对用户的网络访问控制的高 精度、多层次的控制要求。\n通过上面所述，在具体实现本发明时，首先网络将用户的网络访问权 限划分为不同的等级，不同等级的权限对应不同的网络IP地址或网络IP地 址段。在每个用户开户或变更签约信息时，将该用户的网络访问权限与其 它信息一起设置在认证端，以便认证通过后使用该信息对用户进行网络访 问控制。为实现上述控制要求，可以将不同等级的网络访问权限划分为不 同的等级或不同的网络访问控制组(UCL组)，通过对UCL组的管理或网 络访问等级的管理即可管理具有相同网络访问权限的一个群体的用户。这 样，就可以在认证端配置用户信息时，将用户登记的网络访问权限登记为 权限等级或UCL组号，使该权限等级或UCL组号与用户的帐号及其它与用 户有关的信息共同记录在认证端的用户授权信息中。同时，在网络的接入 设备中，如BAS中，设置用户连接信息表(UCIB)，每个在线用户与 UCIB表中的一个具体的连接控制信息相对应。在UCIB中，包括对用户进 行控制和管理使用的物理信息、二层信息、三层信息以及权限，如用户接 入端口号、用户接入VLAN号、用户IP地址、用户MAC地址、用户的服务 质量(QOS)以及用户所属的UCL组或网络访问等级。此外，在BAS中， 还要设置网络访问规则(Rule)表和用户网络访问控制表(UCL)。 Rule表用于定义某一IP地址或IP地址网段，即将需要控制访问的目的IP地 址或网段一一定义为名称不同的规则(Rule)，例如门户服务器、非法网 站等等；UCL表用于建立UCL组或网络访问等级与Rule的对应访问控制关 系，这里所述的访问控制关系就是UCL组是否被允许访问相应Rule对应的 '地址或网段。基于在上述网络接入设备中建立的三个控制表即可实现基 于用户帐号的网络访问控制的要求。\n上述UCIB表在用户认证通过后由认证端通知网络接入设备填写，而 Rule表和UCL表则是事先根据控制需求在网络接入设备中设置。\n下面是上述三个表的结构举例：\n表1(UCIB表)：\n  端口号   VLAN号   IP地址  MAC地址  QoS  UCL组   ......   ......   ......  ......  ......  ......   ......   ......   ......  ......  ......  ......   ......   ......   ......  ......  ......  ......\n表2(Rule表)：\n  规则   IP地址或网段   Rule0   全网段   Rule1   10.0.0.0/0.255.255.255\n  Rule2   10.0.1.0/0.0.255.255   ......   ......\n表3(UCL表)：\n  UCL组\Rule   0   1   2   3  ...   255   0   √   √   √   √ √   √   1   ×   ×   ×   × ×   ×   2   ×   ×   ×   × ×   ×   3   √   ×   ×   √ √   √   ...   255   √   ×   ×   × ×   ×\n在上述表1中，与本发明有关的控制信息是“IP地址”和“UCL组”两 个字段，其余字段为其它控制信息。在表3中，“√”表示允许相应的 UCL组访问对应的规则代表的IP地址或地址段，而“×”表示不允许。\n下面结合附图对本发明作进一步详细的描述。\n假设对用户的网络访问采用UCL组的方式进行，在表1中，当用户认 证通过时，可以根据认证端对用户的授权信息填写表的具体内容。例如， 在图1所示的用户上线过程中，假设网络接入设备为BAS，为用户分配 IP地址的服务器为DHCP服务器，认证端为远端的RADIUS服务器(或本 地认证模块)，则在用户上线过程中，用户经过步骤1到步骤3利用 DHCP过程从DHCP服务器获取到自己的IP地址后，对于BAS设备来说， 在A位置给用户在UCIB中分配一条记录，并记录一些简单的信息，如用户 通过认证前默认的UCL组号(假设为255)以及用户得到的IP地址(假设 为1.1.1.1)。在经过步骤4将用户得到的IP地址通知给用户后，用户在步 骤5、6开始认证，这时一直到B位置以前，用户访问网络的权限为默认未 上线的权限，与帐号无关，所有用户都一样；当用户认证通过后，到B位 置，用户通过某一帐号认证通过，RADIUS服务器给BAS设备发送过来该 用户帐号的权限，其中的UCL组假设为组号是100的UCL组，BAS把这些 权限记录于对应的UCIB表的记录中，这时用户的IP地址(1.1.1.1)与 UCIB中的该条记录关联，而UCIB中该条记录记载的用户UCL组号以及其 他权限又是根据用户帐号分配的，不同的用户帐号有不同的UCL组，那么 用户IP地址就和UCL组号关联，但是这个关联只是在这一次接入中起作 用，即，此时，IP地址1.1.1.1与组号为100的UCL组相对应。然后用户下 线，BAS释放此对应关系。\n在过了一段时间后，用户第二次上线(登录网络)，走同样的如图 1所示的流程并且申请到了一个不同于前一次的IP地址1.1.1.2，尽管这次 得到的IP地址不同，但还是用同一帐号去认证，获得同样的授权(UCL组 号依然为100)，那么此次连接就会在UCIB中存在一条记录，记载IP地址 与组号的对应关系，即IP地址1.1.1.2与组号为100的UCL组的对应关系， 访问权限不变。\n由上可以看出，两次用户上网的IP地址变化了，但是其对应的UCL组 不变，那么它的访问权限也就没有变化，这就是UCL组(等同于访问权 限)能够不随用户IP地址变化而变化，而是能够基于帐号而相对稳定不 变。这样，通过记载于表2的网络访问规则，以及记录于表3的UCL组与 Rule的对应关系，就能够实现基于用户帐号的网络访问控制。\n以上述表3的控制为例，第一行的第0组被允许访问所有规则(Rule )，即Rule0到Rule255所定义的IP地址或网段；而第二行的第1组不允许 访问所有规则，即Rule0到Rule255所定义的IP地址或网段；而第四行的 第3组不允许访问规则2、3，即Rule2、3，所定义的IP地址或网段而允许 访问其它所有规则，即Rule0、Rule3到Rule255所定义的IP地址或网段。\n具体的控制原理参考图2。在用户网络访问报文经过网络接入设备 时，首先，按报文的源IP地址分类，通过UCIB表得到用户信息并进一步 得到该用户所属的UCL组，再用报文的目的IP地址作分类，通过Rule表得 目的地址所属的Rule，通过UCL组和Rule的组合，查找事先通过配置生成 的UCL表，即可得到用户是否允许访问目的IP地址；当然，针对网络侧来 的访问控制，如果目的为某一普通用户则仍然使用和上面对称的流程。\n依据上述原理的具体的控制过程包括两部分，分别于图3、4进行描 述，并且假设采用用户的UCL组作为用户的网络访问权限，当然实际中也 可以采用网络访问的优先级的方式描述用户的网络访问权限。第一部分参 考图3，该部分用于形成UCIB表的控制信息。按照图3，首先用户在步骤 11上网获取IP地址以及应用自己的帐号进行认证，然后认证端在步骤12判 断该用户的认证是否通过，如果不通过，结束该用户的网络接入操作，否 则在步骤13根据用户帐号确定用户的UCL组，并将对该用户记录包括用户 的UCL组和IP地址信息的授权信息通知网络接入设备，由网络接入设备在 UCIB表中建立与该用户有关的记录。\n图4是本发明对用户具体的网络接入进行控制的流程图。按照图4，当 用户在步骤21接收到用户网络访问的报文后，从所述报文中获取用户的源 IP地址和目的IP地址，然后在步骤22按报文的源IP地址分类，查找UCIB 表，通过UCIB表得到用户信息以及得到该用户所属的UCL组信息，再按 报文的目的IP地址作分类，查找Rule表，通过Rule表得目的地址所属的 Rule所定义的网段，接着在步骤23将UCL组和Rule进行组合，去查找事先 通过配置生成的UCL表，通过UCL表即可得到用户是否允许访问报文指定 的目的IP地址，最后在步骤24根据上述信息对用户的网络访问进行控制， 即，如果允许用户访问所述目的地址，则正常进行报文的转发，否则丢弃 该网络访问报文。\n需要说明，在具体的控制过程中，由于预连接用户(没有通过认证， 只是通过DHCP过程获得IP地址的用户)没有帐号，对其的控制可以较粗 略，即预先给所有预连接用户一个默认的UCLGroup组号，比如255组，这 个时候所有预连接用户可以统一使用255组所有已经设置的权限访问网 络，相对于普通接入服务器所采用的非受控路由，这样会增加控制的灵活 性。\n总之，采用基于用户帐号的UCL控制方法可以有效地对用户的网络访 问进行所需要的控制，控制精度达到了用户级的控制要求，针对不同的用 户实施按需控制。例如，在某公司的内部网络中使用本发明能够很好的区 分混坐在一起工作的外部人员与内部人员，使得他们访问外部网络的权限 不一致，产生了协作与隔离并存的效果。