专利名称:控制用户只能在特定区域上网的方法及系统的利记博彩app
技术领域:
本发明涉及网络认证授权记账(AAA,Authentication、Authorization、Accounting)管理的方法及系统,特别是涉及一种用户登录授权认证的方法及系统。
背景技术:
随着国家信息化工作的深入开展,提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键,尤其是高校校园网建设。在信息化的建设过程中,校园网能促进教师和学生尽快提高应用信息技术的水平。校园网为教师提供了一种先进的辅助教学工具、提供了丰富的教学资源库,校园网为科研人员及研究生提供了大量的研究资源和学术资料;为学生提供了多种形式的网络课堂和专业背景知识。对于不同用户的网络登录管理,现有技术中一般采用认证授权记账系统的方式来进行。
一个典型的AAA系统结构简图如图1所示,该系统包括多个用户PC1、一个或更多接入服务器(NAS,Network Access Server)2、汇聚交换机3、服务端系统4和防火墙5,用户在用户PC1上输入用户帐号、密码等信息,发送给接入服务器2,由接入服务器2将这些信息发送给汇聚交换机3,汇聚交换机3是多台接入服务器2的汇聚点,它必须能够处理来自接入服务器2的所有通信量,并提供数据上行链路;汇聚交换机3发送认证信息给服务端系统4,由服务端系统4完成认证功能,如果用户帐号密码认证通过,则服务端系统4通过汇聚交换机3发送认证通过的报文给接入服务器2,由此完成了认证授权功能。
用户授权认证常采用远程用户拨号认证服务(RADIUS,RemoteAuthentication Dial In User Service)协议,在服务端系统4和通过汇聚交换机与接入服务器2之间发送的RADIUS包结构如图2所示,其中代码域表明该数据包的类型是认证请求数据包还是响应请求数据包,或者是计费信息数据包,而标识域表示RADIUS包是请求包还是响应包,长度域包含整个数据包的长度信息,而属性域可以填入多种属性,其长度可以根据所选择属性自由调整,所述属性可以包括用户帐号、密码、IP地址等内容。认证域的内容用于验证服务器端系统的应答,另外还用于填入用户口令的加密内容。当代码域内容为1时,表示该数据包为接入服务器向服务端系统发送的接入验证请求,当代码域内容为2时,表示该数据包为服务端系统向接入服务器发送的验证结果通过数据包。
现有AAA系统中,对于用户信息认证主要集中在用户帐号和密码上,这种系统会带来一些问题,例如,某些学生用户在学校实验室上课时,可能会上网浏览与学习无关的信息,影响学习;或者某些学生使用笔记本电脑在教学楼上网,这样会影响其他学生的学习,另外,在一些需要保密的核心区域,本不具有上网权限的用户如果能够在这些区域内上网,就可能通过网络监听等方式获取机密信息,造成网络安全管理的隐患。因此,现有AAA系统的问题在于无法控制用户所能够上网的区域,造成上网管理上的混乱和安全性难以保证。
发明内容
有鉴于此,本发明的主要目的在于提供一种控制用户只能在特定区域上网的方法,该方法能够把用户帐号和接入服务器的唯一属性与登录域进行绑定,由此控制用户所能够上网的区域。本发明的目的还在于提供一种控制用户只能在特定区域上网的系统。
为达到上述目的,本发明的技术方案是这样实现的一种控制用户只能在特定区域上网的方法,该方法包括A、划分登录域,记录登录域中接入服务器与该登录域的对应关系,该关系记录为接入服务器的一种能够区别于其他接入服务器的唯一属性和登录域的对应关系,并将用户帐号与登录域绑定;B、用户将包含用户帐号的登录认证信息发送至接入服务器,接入服务器在登录认证信息中添加该接入服务器的唯一属性,生成认证信息,然后将认证信息发送给服务端系统,服务端系统从认证信息中取出接入服务器的唯一属性,如果服务端系统确定对应于用户帐号登录域的接入服务器中包括有从认证信息中取出的接入服务器,则用户的分区域登录认证通过。
其中,所述步骤A中划分登录域的操作的依据是根据地理位置的不同建立不同登录域。
其中,上述步骤A之后进一步包括将数个登录域组合成一个登录域组,将用户帐号与登录域组绑定;相应地,步骤B中所述用户将分区域登录认证信息发送至服务端系统之后,还包括从用户帐号所对应的登录域组中取出各个登录域名,取出各登录域名所包含接入服务器的唯一属性。
上述步骤A之后进一步包括将登录域名、与用户帐号绑定的登录域信息以及登录域所包含的接入服务器的唯一属性存入数据库中;相应地,步骤B中所述用户将分区域登录认证信息发送至服务端系统之后,还包括服务端系统从数据库中取得用户帐号所对应的登录域名,以及该登录域所包含的接入服务器的唯一属性。
其中,所述接入服务器的唯一属性包括接入服务器的IP地址。
所述用户登录认证信息按照远程用户拨号认证服务协议的方式发送至服务端系统,所述接入服务器的唯一属性包含在远程用户拨号认证服务数据包的属性域中。
一种控制用户只能在特定区域上网的系统,该系统包括用户PC、接入服务器和服务端系统,其中所述用户PC用于向接入服务器发送包含用户帐号的登录认证信息;所述接入服务器用于在所述登录认证信息中添加该接入服务器的唯一属性,生成认证信息,并向服务端系统发送该认证信息;所述服务端系统用于从认证信息中取出接入服务器的唯一属性,确定对应于用户帐号登录域的接入服务器中包括有从认证信息中取出的接入服务器时,用户PC通过分区域登录认证本发明的控制用户只能在特定区域上网的方法,通过绑定用户帐号和接入服务器的唯一属性到特定登录域,能够有效防止在特定区域内无权限的用户在该区域上网,加强了网络的登录管理,促进网络安全性。本发明提供的方案应用于校园网时,能够促进教育信息系统的使用者合理使用网络,促进学习、教学和科研。
图1为现有技术的AAA系统结构简图;图2为现有技术的RADIUS数据包结构图;图3为现有技术的AAA系统用户与操作员授权认证信息的设置、存储及获取方法示意图;图4为本发明操作员预设步骤流程图;图5为本发明用户分区域登录认证步骤流程图;具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
本发明的核心思想是本方法分为设置分区域登录认证规则的步骤和服务端系统按照上述所设置的规则对用户登录信息进行分区域登录认证的步骤,这里分别称之为预设步骤和用户分区域登录认证步骤。
其中,预设步骤包括划分登录域,记录登录域中所有的接入服务器与登录域的对应关系,该关系可以记录为接入服务器的一种能够区别于其他接入服务器的唯一属性和登录域之间的对应关系,并将用户帐号与登录域绑定;预设步骤中设置的各对应关系可根据实际应用做相应调整,这些调整步骤仍然属于预设步骤之中。
用户分区域登录认证步骤包括用户将登录认证信息发送至接入服务器,该登录认证信息中包括用户帐号、密码等内容,接入服务器在登录认证信息中添加其唯一属性,生成认证信息,然后将认证信息经汇聚交换机发送给服务端系统,服务端系统从认证信息中取出这些信息,对比对应于用户帐号登录域的接入服务器的唯一属性和从认证信息中取出的接入服务器的唯一属性,如果对应于用户帐号登录域的接入服务器中包括有从认证信息中取出的接入服务器,则用户的分区域登录认证通过。
为了实现上述方法,本发明的分区域登录认证系统硬件上也采用图1所示的结构,其中,可以按照地理位置或其它管理策略将网络划分为不同登录域,以校园网为例,可以划分为宿舍区、教学区、实验室区、图书馆区等,根据实际管理需要也可以划分成更粗略或更细致的登录域,例如宿舍东区、宿舍西区甚至具体到某宿舍楼等。每个登录域中可以有一个或多个接入服务器2,每个接入服务器2可以连接一个或更多用户PC1,各个登录域的接入服务器2连接至汇聚交换机3,汇聚交换机3是多台接入服务器2的汇聚点,它必须能够处理来自接入服务器2的所有通信量,并提供数据上行链路;同时汇聚交换机3连接服务端系统4和防火墙5。用户在用户PC1上使用客户端登录接入服务器,传递用户认证授权记账信息给接入服务器2,接入服务器2将该用户认证授权记账信息经过汇聚交换机3汇聚之后发送给服务端系统4,由服务端系统4进行分区域登录认证和其它认证,认证通过之后,用户即能够获得上网权限。
但是本系统还具有以下特征本系统能够记录登录域中所有的接入服务器与该登录域的对应关系,该关系可以记录为接入服务器的一种能够区别于其他接入服务器的唯一属性和登录域的对应关系,也能够记录用户帐号与登录域的对应关系,接入服务器具有在登录认证信息中添加该接入服务器唯一属性、生成认证信息的功能,服务端系统具有根据对应于用户帐号登录域的接入服务器的唯一属性和从认证信息中取出的接入服务器的唯一属性是否能够匹配来判断用户是否能够在特定区域上网的功能。
本发明中,对于分区域认证管理信息的设置与获取方法类似于一般的认证授权记账系统,其认证信息的设置、存储及获取方法如图3所示,操作员通过远程登录的方式登录营业管理系统,建立和修改认证授权记账数据库,该数据库包含了分区域登录认证所必要的信息,一般包括有各登录域名、各登录域组名以及其包括的登录域名、各登录域中的接入服务器的唯一属性以及其与登录域的对应关系、用户帐号、用户初始密码、用户对应的登录域组名或者登录域名等信息。所述操作员远程登录的方法可以是通过网络浏览器的方式来进行。用户可以通过远程登录的方式登录用户自助系统,访问该数据库,进行一些用户权限范围内的修改,例如修改用户密码等,所述用户远程登录的方法也可以是通过网络浏览器的方式来进行。当需要进行分区域登录认证时,服务端系统从上述认证授权记帐数据库中取出信息进行登录认证,判断用户是否在其特定区域内上网,另外服务端系统还可以根据需要进行其他信息的认证和处理。如果用户认证授权记账系统采用RADIUS协议的方式进行,则该服务端系统称为RADUIS服务器。
作为本发明的优选实施例,本发明中分区域登录认证的方法采用RADIUS协议的方式来进行,该方法包含操作员预设步骤和用户分区域登录认证步骤,其中操作员预设步骤的流程如图4所示,包括以下子步骤(301)操作员将学校分成几个登录域,给每个登录域命名,比如将学校分为宿舍区、教学区、实验室区、图书馆区。当然操作员可以继续细分区域,登录域的划分由操作员自己定制,比如可以继续将宿舍区分为宿舍东区、宿舍西区、宿舍北区、宿舍南区等;(302)将每个登录域中的一个或多个接入服务器区别于其它接入服务器的唯一属性与这个登录域进行绑定,这种唯一属性可以是接入服务器的IP地址,也可以是由操作员设置的一个能唯一标识各接入服务器的属性字段;(303)根据需要可以将多个登录域组合成一个登录域组,这种登录域组的组合方式可以参照用户类别以及各用户类别所需要对应的上网区域进行划分,比如,根据用户属性将用户归入不同用户组,例如将本科学生归入本科区域组,所有硕士、博士研究生归入硕士、博士组,所有老师归入老师组等,然后根据各用户组所具有的上网权限将登陆域组成登录域组,例如规定本科区域组能够在宿舍区、图书馆区上网;硕士、博士组能够在宿舍区、实验室区和图书馆区上网;老师组能够在宿舍区、教学区、实验室区、图书馆区上网,如果操作员设置所有用户或用户组都只能在一个特定登录域组,则不需要设定登录域组,此时本子步骤可以省略;(304)根据需要可以将用户或者用户组绑定一个登录域组或一个登录域;(305)将登录域名、与用户帐号绑定的登录域信息以及登录域所包含的接入服务器的唯一属性存入数据库中。
相应地,用户分区域登录认证步骤包含有以下子步骤(401)用户通过用户PC登录自助服务系统,向接入服务器发送RADIUS认证数据包,接入服务器经汇聚交换机向服务端系统发送RADIUS数据包,并在包中填入接入服务器的唯一属性,这个唯一属性可以是接入服务器的IP地址,也可以由分区域登陆认证系统选择在RADIUS数据包中设置一个能标识接入服务器唯一的属性字段,该唯一属性应该选择和操作员预设步骤中相同的类型,接入服务器将这个报文通过汇聚交换机传到RADIUS服务器进行处理;(402)RADIUS服务器从认证数据包中取出这个用户的帐号和接入服务器的唯一属性;(403)根据这个用户的帐号,从数据库中取出这个帐号所绑定的登录域组或登录域名;(404)根据登录域组名取出各个登录域名,如果步骤(403)中所取出的是单个登录域名,则本子步骤可以省略;(405)根据所取出的各个登录域名可以取出各个登录域中的多个接入服务器的唯一属性;(406)对步骤(402)中的接入服务器的唯一属性和步骤(405)中的取出的所有接入服务器的唯一属性进行匹配,所谓匹配指的就是检查步骤(405)中接入服务器的唯一属性中是否包括有步骤(402)中的唯一属性,如果包括有则匹配成功;(407)如果匹配不成功,就说明用户不在他所规定的区域中上网;(408)如果用户不在他所规定的区域中上网,就无法获得在该区域的上网权限,在用户客户端返回“不在规定的区域中上网”信息;(409)如果匹配成功,就说明用户在他所规定的区域中上网;
(410)如果用户在他所规定的区域中上网,还要进行其他方面的认证,例如用户帐号和用户密码是否正确,用户余额是否为零,用户帐号是否过期,用户状态是否正常等。
以上所述,仅为本发明的较佳实施例而已,并非用来限定本发明的保护范围。本领域内技术人员应该能够联想到,选用其他协议的方法实现分区域登录认证功能,或登录认证信息或认证信息内包含更多用户信息内容,或者用其它方式标识接入服务器的唯一属性,或者更精确的区域划分方法采都应该属于本发明的保护范围。
权利要求
1.一种控制用户只能在特定区域上网的方法,该方法包括A、划分登录域,记录登录域中接入服务器与该登录域的对应关系,该关系记录为接入服务器的一种能够区别于其他接入服务器的唯一属性和登录域的对应关系,并将用户帐号与登录域绑定;B、用户将包含用户帐号的登录认证信息发送至接入服务器,接入服务器在登录认证信息中添加该接入服务器的唯一属性,生成认证信息,然后将认证信息发送给服务端系统,服务端系统从认证信息中取出接入服务器的唯一属性,如果服务端系统确定对应于用户帐号登录域的接入服务器中包括有从认证信息中取出的接入服务器,则用户的分区域登录认证通过。
2.根据权利要求1所述的控制用户只能在特定区域上网的方法,其特征在于,所述步骤A中划分登录域的操作的依据是根据地理位置的不同建立不同登录域。
3.根据权利要求1所述的控制用户只能在特定区域上网的方法,其特征在于,所述步骤A之后进一步包括将数个登录域组合成一个登录域组,将用户帐号与登录域组绑定;相应地,步骤B中所述用户将分区域登录认证信息发送至服务端系统之后,还包括从用户帐号所对应的登录域组中取出各个登录域名,取出各登录域名所包含接入服务器的唯一属性。
4.根据权利要求1所述的控制用户只能在特定区域上网的方法,其特征在于所述步骤A之后进一步包括将登录域名、与用户帐号绑定的登录域信息以及登录域所包含的接入服务器的唯一属性存入数据库中;相应地,步骤B中所述用户将分区域登录认证信息发送至服务端系统之后,还包括服务端系统从数据库中取得用户帐号所对应的登录域名,以及该登录域所包含的接入服务器的唯一属性。
5.根据权利要求1至4中任一项所述的控制用户只能在特定区域上网的方法,其特征在于所述接入服务器的唯一属性包括接入服务器的IP地址。
6.根据权利要求1至4中任一项所述的控制用户只能在特定区域上网的方法,其特征在于所述用户登录认证信息按照远程用户拨号认证服务协议的方式发送至服务端系统,所述接入服务器的唯一属性包含在远程用户拨号认证服务数据包的属性域中。
7.一种控制用户只能在特定区域上网的系统,其特征在于,该系统包括用户PC、接入服务器和服务端系统,所述用户PC用于向接入服务器发送包含用户帐号的登录认证信息;所述接入服务器用于在所述登录认证信息中添加该接入服务器的唯一属性,生成认证信息,并向服务端系统发送该认证信息;所述服务端系统用于从认证信息中取出接入服务器的唯一属性,确定对应于用户帐号登录域的接入服务器中包括有从认证信息中取出的接入服务器时,用户PC通过分区域登录认证。
全文摘要
本发明涉及一种控制用户只能在特定区域上网的方法及系统。本发明方法包括记录登录域中接入服务器与该登录域的对应关系,该关系记录为接入服务器的唯一属性和登录域的对应关系,并将用户帐号与登录域绑定;用户将包含用户帐号的登录认证信息发送至接入服务器,接入服务器在登录认证信息中添加该接入服务器的唯一属性,生成认证信息,然后将认证信息发送给服务端系统,服务端系统从认证信息中取出接入服务器的唯一属性,如果服务端系统确定对应于用户帐号登录域的接入服务器中包括有从认证信息中取出的接入服务器,则用户的分区域登录认证通过。本发明能够有效防止在特定区域内无权限的用户在该区域上网,加强了网络的登录管理,促进网络安全性。
文档编号H04L12/28GK101056179SQ20071011101
公开日2007年10月17日 申请日期2007年6月13日 优先权日2007年6月13日
发明者周根华 申请人:中兴通讯股份有限公司