專利名稱:用于提供有害站點連接阻攔服務的系統和方法
技術領域:
本發明涉及通過使用隧道協議、包鏡像模式、以及ACL(AccessControl List,訪問控制表)提供有害站點連接阻攔服務的系統和方法,尤其涉及一種提供有害站點連接阻攔服務的系統和方法,其中采用隧道協議和包鏡像模式提供有害站點連接阻攔服務給被認證為服務訂戶的用戶,同時提供普通互聯網服務給沒有被認證為訂戶的其他用戶。
背景技術:
圖1示出用于有害站點連接阻攔的傳統系統的構造。現在將參看此圖描述傳統的連接阻攔系統。
所有流量信號(traffic signal)都路由通過阻攔系統中的L4交換機(layer 4 switch,第四層交換機)30。在沒有將有害站點連接阻攔服務的訂戶20與非訂戶10區分開的情況下,高速互聯網流量輸入阻攔系統中的L4交換機30。在將訂戶20與非訂戶10區分開后,非訂戶的流量直接耦合或連接到互聯網,同時將訂戶20的流量提供給阻攔服務器40a和40b,然后在根據L4交換機30中定義的規則進行過濾后連接到互聯網。
由于在提供有害站點連接阻攔服務的過程中不區分訂戶20和非訂戶10,從而,由于在L4交換機30上造成大量負荷,該系統可能出現故障。
也就是,在現有技術中存在以下問題,由于提供阻攔服務而不區分阻攔服務的訂戶與非訂戶,所有流量都集中在L4交換機30上,所以在L4交換機30上造成了巨大的負荷。
發明內容
因此,在考慮到上述問題的情況下提出了本發明,本發明的目的之一是提供一種用于提供有害站點連接阻攔服務的系統和方法,其中采用隧道協議將連接阻攔服務的訂戶的流量與非訂戶的流量分開,從而將非訂戶的流量耦合或連接到互聯網,而僅將訂戶的流量聚集在一個位置,并允許其通過阻攔系統,其中提供了連接阻攔服務但不影響互聯網用戶的流量,并且即使阻攔系統出現故障也不會出現難以使用互聯網的問題。
根據本發明的一個方面,通過提供基于隧道協議和包鏡像模式阻攔有害站點連接的服務的系統,實現了上述及其它目的,該系統包括NAS(Network Access Server,網絡訪問服務器),該NAS用于檢查關于連接阻攔服務的用戶ID,將用戶ID分為連接阻攔服務的訂戶ID和非訂戶ID,相應地執行路由選擇;認證服務器,該認證服務器用于認證高速互聯網用戶的ID和連接阻攔服務訂戶的ID;路由器,該路由器用于基于隧道協議傳送從NAS接收的互聯網流量,其中該隧道協議包括以下至少一種L2TP(Layer 2 TunnelingProtocol,第二層隧道協議)、GRE(Generic Routing Encapsulation,通用路由封裝)隧道協議、MPLS(Multi Protocol Label Switching,多協議標記交換)隧道協議、以及IPSec(IP Security,IP安全)隧道協議;以及具有有害站點連接阻攔功能的阻攔系統。
根據本發明的另一方面,提供了用于提供有害站點連接阻攔服務的方法,包括以下步驟a)加入有害站點連接阻攔服務,并分配服務的訂戶ID,然后試圖訪問提供該服務的系統;b)如果高速互聯網用戶ID得到認證,在認證服務器中檢查服務的訂戶ID和非訂戶ID,如果其不能被認證,則不允許訪問互聯網;c)在用戶具有服務的訂戶ID的情況下,如果用戶訪問有害站點,則通過采用隧道方案將“訪問阻攔”消息傳送給用戶,如果用戶不訪問有害站點,則允許用戶瀏覽互聯網,然后終止該方法或返回步驟a);d)如果在采用隧道方案期間由于系統過載造成系統故障,系統難以正常工作,則激活包鏡像模式;以及e)如果用戶具有非訂戶ID,則允許用戶瀏覽互聯網,并終止該方法。
結合附圖,根據以下詳細描述,將更清楚地理解本發明的上述和其它目的、特點、以及其它優點。在附圖中圖1示出用于有害站點連接阻攔的傳統系統結構的框圖;圖2示出根據本發明的用于提供有害站點連接阻攔服務的網絡結構的框圖,所述網絡結構采用L2TP(Layer 2 Tunneling Protocol,第二層隧道協議);圖3示出根據本發明的用于提供有害站點連接阻攔服務的網絡結構的框圖,所述網絡結構采用GRE(Generic RoutingEncapsulation,通用路由封裝)隧道協議;圖4示出根據本發明的用于提供有害站點連接阻攔服務的網絡結構的框圖,所述網絡結構采用MPLS(Multi Protocol LabelSwitching,多協議標記交換)隧道協議;
圖5示出根據本發明的用于提供有害站點連接阻攔服務的網絡結構的框圖,所述網絡結構采用IPSec(IP Security,IP安全)隧道協議;圖6示出根據本發明的用于提供有害站點連接阻攔服務的系統結構,所述系統在包鏡像模式下工作;圖7示出根據本發明的用于提供有害站點連接阻攔服務的網絡結構,所述網絡在包鏡像模式下工作并采用L3交換機;圖8示出根據本發明的用于提供有害站點連接阻攔服務的方法的流程圖;以及圖9示出當有害站點阻攔系統由于采用隧道方案時系統過載而不能正常工作時,根據本發明的用于提供有害站點連接阻攔服務的方法的流程圖。
具體實施例方式
現在將參看附圖描述本發明的優選實施例。
首先,將描述根據本發明的隧道協議的基本概念。可將隧道技術定義為是一種在發送器和接收器之間鉆出隧道,從而在它們之間創建用于防止第三方訪問的秘密通道的技術。根據該隧道技術,將數據封裝后從發送器傳送,從而使得不同于發送器的他方不能識別該數據。
隧道方案能容納任何有效載荷,且允許很多用戶同時訪問各種類型的有效載荷,還能夠進行多協議處理和安全認證,并且還提供高安全性或完整性服務。
在本發明中,這樣的隧道協議包括L2TP(Layer 2 TunnelingProtocol,第二層隧道協議);GRE(Generic Routing Encapsulation,通用路由封裝)隧道協議;MPLS(Multi Protocol Label Switching,多協議標記交換)隧道協議;和IPSec(IP Security,IP安全)隧道協議。用于實現用于提供有害站點連接阻攔服務的系統。
圖2示出根據本發明的用于基于L2TP提供有害站點連接阻攔服務的系統結構的框圖。如此圖所示,用于提供該服務的系統包括網絡訪問服務器(NAS)120、認證服務器130、路由器140、路由器或LNS(第二層隧道協議網絡服務器)140-1、以及有害站點阻攔系統150。該網絡訪問服務器120檢查關于有害站點連接阻攔服務的用戶ID,并將用戶ID分為訂戶ID 110(是有害站點連接阻攔服務的對象)和非訂戶ID 100,然后相應地執行路由選擇。認證服務器130執行對高速互聯網用戶ID和有害站點連接阻攔服務的訂戶ID的認證。路由器140和140-1執行用于互聯網流量的路由選擇(routing)。阻攔系統150起到阻攔有害站點連接的作用。現在將參看圖2詳細描述用于提供有害站點阻攔服務的系統。
每個網絡訪問服務器120都將作為阻攔服務對象的用戶ID的流量通過L2TP(第二層隧道協議)隧道傳送給LNS(第二層隧道協議網絡服務器)140-1,且LNS 140-1將該流量發送給阻攔系統150。
當互聯網訪問用戶已經請求阻攔連接到有害站點并試圖訪問互聯網時,網絡訪問服務器120通過認證服務器130將用戶認證為有害站點阻攔服務的訂戶,并相應地通過LNS 140-1執行到阻攔系統150的發送。在此過程期間,在NAS 120和LSN 140-1之間創建L2TP隧道,其中訂戶流量通過該L2TP隧道發送。
如果互聯網訪問用戶不是有害站點阻攔服務的訂戶,試圖訪問互聯網,則訪問服務器(NAS)120通過認證服務器130將用戶認證為不是有害站點阻攔服務的訂戶,然后允許用戶通過另一路由器使用互聯網服務或通用通信服務。
具體而言,位于POP(Point Of Presence,接駁站)處的網絡訪問服務器(NAS)接收和發送訂戶流量,且將從互聯網接收的流量聚集并以點對點的形式傳輸給訂戶。在訪問服務器處激活L2TP(第二層隧道協議)功能,以使訪問服務器作為LAC(第二層隧道協議訪問集中器)工作。用于LNS的路由器通過L2TP隧道連接到起到LAC作用的NAS,路由服務器起到LAC的終止系統的作用。這種終止系統相應于上述LNS。
認證服務器(RADIUS)130具有認證互聯網服務用戶的ID和連接阻攔服務用戶的ID的功能。有害站點連接阻攔系統150包括L4交換機151和阻攔服務器152,用以執行連接阻攔功能。
如上所述,用于提供有害站點連接阻攔服務的系統采用L2TP,將NAS 120用作LAC,并允許路由器140-1起到LNS的作用。因此,有害站點阻攔系統連接到或應用到LNS。在作為有害站點連接阻攔服務的對象的ID得到認證后,將其數據通過NAS和LNS之間的L2TP隧道傳送,從而將數據發送給阻攔系統。
圖3示出根據本發明的用于提供有害站點連接阻攔服務的系統的構造的框圖,所述系統采用GRE(通用路由封裝)隧道協議。如此圖所示,用于提供該服務的系統包括網絡訪問服務器(NAS)120a、認證服務器130、路由器140、路由器(GRE終點)140-1、以及有害站點阻攔系統150。該NAS 120a相對于有害站點連接阻攔服務檢查用戶ID,并將用戶ID分為阻攔服務的訂戶ID 110和非訂戶ID 100,然后相應地執行路由選擇(routing)。認證服務器130認證高速互聯網用戶ID和有害站點連接阻攔服務的訂戶ID。路由器140和140-1執行對互聯網流量的發送。阻攔系統150起到防止連接到有害站點的作用。現在將參看圖3詳細描述用于提供有害站點阻攔服務的系統。
每個網絡訪問服務器(NAS)120a都作為GRE起始點工作,并以GRE包封裝作為阻攔服務對象的訂戶ID的流量,然后將GRE包通過GRE(通用路由封裝)隧道傳送給GRE終點。GRE終點分析GRE包并將其發送給阻攔系統150。
當互聯網訪問用戶已經要求阻攔連接到有害站點并試圖訪問互聯網時,網絡訪問服務器120a通過認證服務器130將用戶認證為有害站點阻攔服務的訂戶,并相應地通過GRE終點執行到阻攔系統150的發送。在此過程期間,在起到GRE起點作用的NAS 120a和起到GRE終點作用的路由器140-1之間創建GRE隧道。此處,對于阻攔服務,僅有訂戶的上游流量通過GRE隧道,而由于下游流量使用與阻攔服務的非訂戶相同的通道,所以不通過GRE隧道和阻攔系統150。
如果互聯網訪問用戶不是有害站點阻攔服務的訂戶,試圖訪問互聯網,則訪問服務器(NAS)120a通過認證服務器130將用戶認證為不是有害站點阻攔服務的訂戶,然后允許用戶通過路由器140使用互聯網服務或通用通信服務。
如上所述,用于提供有害站點連接阻攔服務的系統采用GRE隧道協議,將NAS 120a用作GRE起始點,并允許路由器140-1起到GRE終點的作用。相應地,有害站點阻攔系統150連接到或應用到GRE終點。在有害站點連接阻攔服務的對象的ID得到認證后,將其數據通過GRE起始點(或網絡訪問服務器)120a和GRE終點之間的GRE隧道傳送,從而將數據發送給阻攔系統150。
圖4示出根據本發明的用于提供有害站點連接阻攔服務的系統結構的框圖,該系統采用MPLS(Multi Protocol Label Switching,多協議標記交換)隧道協議。如此圖所示,用于提供該服務的系統包括網絡訪問服務器(NAS)120b、認證服務器130、路由器140、路由器(MPLS終點)140-2、以及有害站點阻攔系統150。該NAS120b檢查關于有害站點連接阻攔服務的用戶ID,并將用戶ID分為阻攔服務的訂戶ID 110和非訂戶ID 100,然后相應地執行路由選擇。認證服務器130認證高速互聯網用戶ID和有害站點連接阻攔服務的訂戶ID。路由器140和140-2執行互聯網流量的發送。阻攔系統150用于防止連接到有害站點。現在將參看圖4詳細描述用于提供有害站點阻攔服務的系統。
每個網絡訪問服務器(NAS)120b都作為MPLS起始點工作,并作為阻攔服務對象的訂戶ID的流量封裝到MPLS包,然后將MPLS包通過MPLS(Multi Protocol Label Switching,多協議標記交換)隧道傳送到MPLS終點。MPLS終點分析MPLS包并將其發送給阻攔系統150。
當互聯網訪問用戶已經要求阻攔連接到有害站點并試圖訪問互聯網時,網絡訪問服務器120b通過認證服務器130將用戶認證為有害站點阻攔服務的訂戶,并通過MPLS終點相應地執行到阻攔系統150的路由選擇。在此過程期間,在作為MPLS起始點工作的NAS 120b和作為MPLS終點工作的路由器140-2之間創建MPLS隧道。此處,對于阻攔服務,僅有訂戶的上游流量通過MPLS隧道,而由于下游流量使用與阻攔服務的非訂戶相同的通道,所以不通過MPLS隧道和阻攔系統150。
如果互聯網訪問用戶不是有害站點阻攔服務的訂戶,試圖訪問互聯網,則訪問服務器(NAS)120b通過認證服務器130將用戶認證為不是有害站點阻攔服務的訂戶,然后允許用戶通過路由器140使用互聯網服務或通用通信服務。
如上所述,用于提供有害站點連接阻攔服務的系統采用MPLS隧道協議,將NAS 120b用作MPLS起始點,并允許路由器140-2作為MPLS終點工作。相應地,有害站點阻攔系統150連接到或應用到MPLS終點。在有害站點連接阻攔服務的對象的ID得以認證后,將其數據通過MPLS起始點(或網絡訪問服務器)120b和MPLS終點之間的MPLS隧道傳輸,從而將數據發送給阻攔系統150。
圖5示出根據本發明的用于提供有害站點連接阻攔服務的系統的結構的框圖,所述系統采用IPSec(IP安全)隧道協議。
存在兩種用于IPSec的模式隧道模式和傳輸模式。在隧道模式中,將IPv4包封裝到安全的IP幀中,以使安全信息從一個阻攔系統傳輸到另一阻攔系統。在輸送模式中,封裝信息以便將其從一個終點安全地傳輸到另一終點(即,由阻攔系統所保護的內部網絡上的一個點)。
使用IPSec隧道協議的這些特征,根據本發明的系統提供了有害站點連接阻攔服務,且如圖5所示,包括網絡訪問服務器(NAS)120c、認證服務器130、路由器140、路由器(終點到終點)140-3、以及有害站點阻攔系統150。該NAS 120c檢查關于有害站點連接阻攔服務的用戶ID,并將用戶ID分為阻攔服務的訂戶ID 110和非訂戶ID 100,然后相應地執行路由選擇。認證服務器130認證高速互聯網用戶ID和有害站點連接阻攔服務的訂戶ID。路由器140和140-3執行對互聯網流量的路由選擇。阻攔系統150起到阻攔連接到有害站點的作用。現在將參看圖5詳細描述用于提供有害站點阻攔服務的系統。
每個網絡訪問服務器(NAS)120c首先以隧道模式工作,以將作為阻攔服務對象的訂戶ID的流量通過IPv4包封裝進安全的IPv4幀,接著以傳輸模式工作,以將其傳輸至一個終點(即,由阻攔系統保護的內部網絡上的一個點)。另一終點分析IPv4包并將其傳輸至阻攔系統150。
當互聯網訪問用戶已經要求阻攔連接到有害站點并試圖訪問互聯網時,網絡訪問服務器(NAS)120c通過認證服務器130將用戶認證為有害站點阻攔服務的訂戶,并相應地將數據經由端到端點傳輸至阻攔系統150。在此過程期間,訂戶流量通過IPv4包傳輸,該IPv4包在作為一個終點工作的NAS 120c和作為另一終點工作的路由器140-3之間以隧道模式創建。此處,對于阻攔服務,僅有訂戶的上游流量通過隧道模式,而下游流量由于使用與阻攔服務的非訂戶相同的通道,所以不通過隧道模式和阻攔系統150。
如果互聯網訪問用戶不是有害站點阻攔服務的訂戶,試圖訪問互聯網,則訪問服務器(NAS)120c通過認證服務器130將用戶認證為不是有害站點阻攔服務的訂戶,然后允許用戶通過另一路由器140使用互聯網服務或通用通信服務。
如上所述,用于提供有害站點連接阻攔服務的系統采用IPSec隧道協議,將NAS 120c用作第一終點,并允許路由器140-3作為第二終點(作為NAS 120c的第一終點的對應端)工作。相應地,有害站點阻攔系統150連接到或應用到第一終點。在作為有害站點連接阻攔服務的對象的ID得到認證后,將其數據通過位于第一終點(或網絡訪問服務器)120c和第二終點之間的IPSec隧道傳送,從而將數據發送給阻攔系統150。
然而,這樣的用于提供有害站點連接阻攔服務的系統采用IPSec隧道協議,由于系統以隧道模式工作時基于IPv4包,從而造成系統過載。
當系統由于這樣的過載而發生故障時,激活根據本發明的包鏡像模式,以在不影響網絡負荷的情況下提供阻攔服務。
為了執行包鏡像模式,用于提供阻攔服務的系統包括鏡像裝置220、主干交換機230、和有害站點阻攔系統240,如圖6所示。將主干交換機230用于執行有害站點連接阻攔操作。鏡像裝置220反映通過主干交換機230和訂戶路由器210之間的光纖傳輸的流量。阻攔系統240接收所反映的流量并執行有害站點阻攔操作。鏡像裝置220包括鏡像標簽(mirroring tab)或集線器(hub)。現在將參看圖6和圖7詳細描述采用根據本發明的包鏡像模式的用于提供阻攔服務的系統的優選實施例。
圖6示出根據本發明的用于提供有害站點連接阻攔服務的系統的實施例的構造,所述系統在包鏡像模式下工作。如此圖所示,用于提供阻攔服務的系統包括鏡像裝置220(例如鏡像標簽或集線器等);以及阻攔系統240,包括有害站點阻攔交換機241和阻攔服務器242。鏡像裝置220反映通過主干交換機230和路由器210之間的光纖傳輸的流量。阻攔系統240從集線器或鏡像標簽接收所反映的流量,并阻攔連接到有害站點。
路由器(GSR)210具有發送用于有害站點連接阻攔服務的互聯網流量的功能,鏡像裝置220反映通過光纖傳輸的流量,阻攔系統240具有阻攔連接到有害站點的功能。
鏡像標簽反映通過光纖傳輸的所有流量,并將其傳輸給阻攔系統。阻攔系統中的有害站點阻攔交換機基于ACL(Access ControlList,訪問控制表)檢測是有害站點阻攔服務對象的IP,并將其傳輸給阻攔系統。當訪問有害站點時,阻攔系統中的阻攔服務器將有害站點阻攔包傳輸給交換機以便阻攔到有害站點的連接。
如果系統在以根據本發明的IPSec隧道協議工作時出現過載,則使用高速互聯網上的鏡像裝置(例如鏡像標簽或集線器等)激活鏡像模式。當系統以鏡像模式工作時,其反映所有互聯網用戶的流量,基于源IP確定相應的互聯網用戶是有害站點的訂戶還是非訂戶。丟棄非訂戶的流量,僅允許訂戶流量通過阻攔系統,以便為訂戶流量提供有害站點連接阻攔服務。
圖7示出根據本發明的用于提供有害站點連接阻攔服務的網絡系統的另一實施例的構造,其中所述網絡系統以圖6描述的包鏡像模式工作并采用L3交換機。如此圖所示,用于提供阻攔服務的系統包括鏡像裝置220,例如鏡像標簽或集線器等;阻攔系統240,包括有害站點阻攔交換機241和阻攔服務器242;匯集路由器(aggregation router)250;以及IP過濾路由器260。鏡像裝置220反映通過主干交換機230和路由器210之間的光纖傳輸的流量。阻攔系統240從集線器或鏡像標簽接收所反映的流量,并阻攔到有害站點的連接。匯集路由器250和IP過濾路由器260接收由集線器或鏡像標簽反映的流量,并檢測訂戶的流量。阻攔系統240接收來自匯集路由器250和IP過濾路由器260的流量,并執行有害站點阻攔操作。
路由器(GSR)210具有發送用于有害站點連接阻攔服務的互聯網流量的功能,鏡像裝置220反映通過光纖傳輸的流量,阻攔系統240具有阻攔連接到有害站點的功能。
鏡像標簽反映通過光纖傳輸的所有流量,并將復制的流量的MA設置到匯集路由器250的端口。接著,鏡像標簽將PBR應用到所接收的流量并相應地執行發送。然后,鏡像標簽僅將訂戶的網絡流量沿發送路徑經由匯集路由器250和IP過濾路由器260傳輸給阻攔系統。阻攔系統中的有害站點阻攔交換機將所接收的流量傳輸給阻攔系統。當訪問有害站點時,阻攔系統中的阻攔服務器將有害站點阻攔包傳輸給交換機以便阻攔到有害站點的連接。
簡言之,將高速互聯網絡中的鏡像裝置(例如千兆標簽或集線器等)用于反映所有互聯網用戶的流量,并將根據相應的IP發送流量。接著,將匯集路由器和IP過濾路由器用于僅允許訂戶網絡流量通過阻攔系統,以便為訂戶網絡流量提供有害站點連接阻攔服務。
圖8示出根據本發明用于提供有害站點連接阻攔服務的方法的流程圖。所述方法如下所述。
認證服務器檢查有害站點連接阻攔服務的訂戶和非訂戶ID(S300和S310)。
如果將互聯網用戶認證為有害站點服務的訂戶(S320和S330),則用戶通過使用隧道方案訪問阻攔系統(S340)。否則,用戶被識別為普通或特殊服務訂戶,以便NAS分配不同的流量路徑給用戶(S335)。
如果有害站點阻攔系統由于采用隧道方案時系統過載而不能正常工作,則激活包鏡像模式(S350)。
當服務訂戶試圖訪問經過阻攔系統后的站點時,如果站點是有害站點,則將通知訪問有害站點的消息傳輸給訂戶(S360和S370)。
另一方面,如果互聯網用戶被認證為不是有害站點連接阻攔服務的訂戶,則允許用戶立即訪問互聯網(S380)。
此外,如果擁有作為有害站點阻攔服務對象的ID的用戶試圖訪問的站點包含有害內容,則阻攔訪問,并將“連接阻攔”的消息傳送給用戶;否則,允許用戶訪問該站點(S380)。
如上所述,本發明采用隧道協議將有害站點阻攔服務的訂戶的流量與其非訂戶的流量分開,從而將非訂戶的流量立即連接到互聯網,而將訂戶流量聚集在一個位置,然后允許訂戶流量通過阻攔系統。
圖9示出在圖8的方法中,有害站點阻攔系統由于采用隧道方案時系統過載造成不能正常工作時,根據本發明的用于提供有害站點連接阻攔服務的方法的流程圖。
首先,將所有用戶的流量通過主干交換機傳輸給光纖,且在此傳輸期間,鏡像裝置反映所有流量(S351)。
接著,根據所反映的包是相應于訂戶IP還是相應于非訂戶IP,將所反映的包分類,丟棄將未預訂阻攔服務的非訂戶IP的包,僅將預訂阻攔服務的訂戶IP的包傳輸給阻攔服務器(S351到S355)。
如果訂戶IP試圖訪問有害站點,則將“訪問阻攔”的消息傳輸給具有訂戶IP的用戶;否則,丟棄IP包(S355到S357)另一方面,如果用戶試圖訪問的站點是有害站點,則檢查用戶IP是否是有害站點阻攔服務的訂戶IP。如果用戶IP是訂戶IP,則將“訪問被阻攔”的消息傳輸給訂戶IP,并終止該程序;否則,允許用戶IP訪問互聯網(S358到S360-1)如上所述,以以下方式執行用于提供有害站點連接阻攔服務的方法,其中所述方法采用根據本發明的包鏡像模式。以此方式,將交換機裝置的ACL(訪問控制表)用于檢查反映的包的IP并確定其是阻攔服務的訂戶IP還是非訂戶IP,然后僅將訂戶IP包傳輸給阻攔服務器。
此外,以此方式,即將阻攔包從阻攔系統傳輸給交換機裝置以便當擁有阻攔服務的訂戶IP的用戶試圖訪問站點時,根據站點所包含的內容類型阻攔訪問或不阻攔訪問,可根據包的目的IP地址以及認證結果執行流量處理。
根據以上描述,顯而易見的是,根據本發明的用于提供有害站點連接阻攔服務的系統和方法具有以下優點。使用隧道協議僅收集有害站點連接阻攔服務的訂戶流量。因此,將連接阻攔服務提供給服務訂戶,而將通用互聯網服務提供給非訂戶,從而使得在不影響非訂戶業務的情況下提高訂戶的流量處理效率成為可能。此外,即使在IPSec(IP安全)隧道協議工作時出現過載,也可以激活包鏡像模式,從而使得將有害站點連接阻攔服務更安全地提供給用戶成為可能。
盡管已經出于解釋目的披露了本發明的優選實施例,本領域的技術人員將理解,可對其進行各種修改、添加、和替換,而不偏離所附的權利要求書中披露的本發明的范圍和精神。
權利要求
1.一種用于根據隧道協議和包鏡像模式提供有害站點連接阻攔服務的系統,所述系統包括NAS(Network Access Server,網絡訪問服務器),所述NAS用于相對于所述連接阻攔服務檢查用戶ID,并將所述用戶ID分為所述連接阻攔服務的訂戶ID和非訂戶ID,然后相應地執行路由選擇;認證服務器,所述認證服務器用于認證高速互聯網用戶的ID和所述連接阻攔服務的訂戶的ID;路由器,所述路由器用于基于隧道協議發送從所述NAS接收的互聯網流量,其中所述隧道協議包括以下至少一種L2TP(Layer 2 Tunneling Protocol,第二層隧道協議)、GRE(Generic Routing Encapsulation,通用路由封裝)隧道協議、MPLS(Multi Protocol Label Switching,多協議標記交換)隧道協議、以及IPSec(IP Security,IP安全)隧道協議;以及阻攔系統,所述阻攔系統具有有害站點連接阻攔功能。
2.根據權利要求1所述的系統,其中當采用所述L2TP時,用于提供所述有害站點連接阻攔服務的系統將所述NAS用作LAC(L2TP Access Concentrator,L2TP訪問集中器),并允許所述路由器起到LNS(L2TP Network Server,L2TP網絡服務器)的作用,從而將用于提供所述連接阻攔服務的系統應用于所述LNS,以及其中在作為所述有害站點連接阻攔服務的對象的ID得到認證后,通過位于所述NAS和所述LNS之間的L2TP隧道傳輸其數據,從而將所述數據發送給所述阻攔系統。
3.根據權利要求1所述的系統,其中在采用所述GRE隧道協議時,用于提供所述有害站點連接阻攔服務的系統將所述NAS用作GRE起始點,并允許所述路由器起到GRE終點的作用,從而將所述有害站點阻攔系統應用于所述GRE終點,其中在作為所述有害站點連接阻攔服務的對象的ID得到認證后,通過位于所述GRE起始點(或網絡訪問服務器)和所述GRE終點之間的GRE隧道傳輸其數據,從而將所述數據發送給所述阻攔系統,以及其中僅將其上游流量通過所述GRE隧道處理,而其下游流量通過與所述連接阻攔服務的非訂戶相同的路徑處理,從而極大地減少了通過所述阻攔系統和所述GRE隧道的流量,以使處理效率達到最大。
4.根據權利要求1所述的系統,其中在采用所述MPLS隧道協議時,用于提供所述有害站點連接阻攔服務的系統將所述NAS用作MPLS起始點,并允許所述路由器起到MPLS終點的作用,從而將所述有害站點阻攔系統應用于所述MPLS終點,其中在作為所述有害站點連接阻攔服務的對象的ID得到認證后,通過位于所述MPLS起始點(或網絡訪問服務器)和所述MPLS終點之間的MPLS隧道傳輸其數據,從而將所述數據發送給所述阻攔系統,以及其中僅將其上游流量通過所述MPLS隧道處理,而其下游流量通過與所述連接阻攔服務的非訂戶相同的路徑處理,從而極大地減少了通過所述阻攔系統和所述MPLS隧道的流量,以使處理效率達到最大。
5.根據權利要求1所述的系統,其中在用于提供所述有害站點連接阻攔服務的系統采用所述IPSec隧道協議時,所述網絡訪問服務器(NAS)首先以隧道模式工作,以將作為阻攔服務對象的訂戶ID的流量通過IPv4包封裝進安全的IPv4幀,接著,以傳輸模式工作,將其傳輸至一個終點,即由阻攔系統保護的內部網絡上的一個點,且另一終點分析所述IPv4包并將其傳輸至所述阻攔系統,以及其中僅將其上游流量通過所述隧道模式處理,而其下游流量通過與所述連接阻攔服務的非訂戶相同的路徑處理,從而極大地減少了通過所述阻攔系統和所述隧道模式的流量,以使處理效率達到最大。
6.根據權利要求5所述的系統,其中在采用所述IPSec隧道協議期間所述系統發生故障時,激活對網絡負荷無影響的包鏡像模式,以提供所述有害站點連接阻攔服務。
7.根據權利要求6所述的系統,其中為了執行所述包鏡像模式,用于提供所述阻攔服務的所述系統包括主干交換機,所述主干交換機用于阻攔到有害站點的連接;鏡像裝置,所述鏡像裝置包括鏡像標簽和集線器,用于反映通過位于所述主干交換機和路由器之間的光纖傳輸的流量;以及阻攔系統,所述阻攔系統用于接收所述反映的流量,并執行有害站點阻攔操作。
8.根據權利要求7所述的系統,其中所述鏡像標簽反映通過所述光纖傳輸的所有流量,并將其傳輸給所述阻攔系統,其中所述阻攔系統中的有害站點阻攔交換機允許根據所接收的流量的目的地MAC將由所述阻攔交換機接收的流量傳輸給阻攔服務器所連接的端口,其中基于ACL(Access Control List,訪問控制表)檢測作為所述連接阻攔服務的對象的IP,并將其數據傳輸給所述阻攔服務器,以及其中所述阻攔服務器使用L2交換機功能,當有害站點被訪問時,將有害站點阻攔流量信號傳輸給所述交換機,并阻攔到所述有害站點的連接。
9.一種用于提供有害站點連接阻攔服務的方法,包括以下步驟a)加入所述有害站點連接阻攔服務,并分配所述服務的訂戶ID,然后試圖訪問用于提供所述服務的系統;b)如果高速互聯網用戶ID得到認證,在認證服務器中檢查所述服務的訂戶ID和非訂戶ID,且如果所述高速互聯網用戶ID沒有得到認證,則不允許其訪問互聯網;c)在用戶具有所述服務的訂戶ID的情況下,如果所述用戶訪問有害站點,則采用隧道方案將“訪問阻攔”消息傳送給所述用戶,如果不訪問有害站點,則允許用戶瀏覽互聯網,然后終止所述方法或返回所述步驟a);d)如果由于在采用隧道方案期間系統過載而造成系統故障,所述系統難以正常工作,則激活包鏡像模式;以及e)如果所述用戶具有非訂戶ID,則允許所述用戶瀏覽互聯網并終止所述方法。
10.根據權利要求9所述的方法,其中所述激活包鏡像模式的步驟包括以下步驟f)通過主干交換機傳輸所有流量給光纖,并在傳輸給所述光纖期間通過所述鏡像裝置反映所有流量;g)根據所反映的包是相應于訂戶IP還是相應于非訂戶IP,將所反映的包進行分類,并丟棄不經受阻攔服務的非訂戶IP的包,同時僅將待經受所述阻攔服務的訂戶IP的包傳輸給所述阻攔服務器;h)如果所述訂戶IP試圖訪問有害站點,則將“訪問阻攔”消息傳送給具有所述訂戶IP的用戶,否則,丟棄所述IP包;以及i)如果所述用戶試圖訪問的站點是有害站點,則在所述步驟f),檢查所述用戶IP是否是所述有害站點阻攔服務的訂戶IP;如果所述用戶IP是訂戶IP,則將“訪問阻攔”的消息傳輸給所述用戶IP,并終止所述方法;否則,允許所述用戶IP訪問互聯網。
全文摘要
本發明披露了一種用于提供有害站點連接阻攔服務的系統和方法,其中所述系統采用隧道協議和包鏡像協議。當將連接阻攔服務有選擇地提供給互聯網用戶時,采用包括諸如L2TP(第二層隧道協議)、GRE(通用路由封裝)、MPLS(多協議標記交換)、和IPSec(IP安全)等的隧道協議有效防止連接到用戶請求的諸如黃色站點或賭博站點等的有害站點。因此,將互聯網用戶分為連接阻攔服務的訂戶和非訂戶,以執行有害站點連接阻攔功能。當由于系統過載造成系統故障時,激活對網絡負荷沒有影響的包鏡像模式,以提供連接阻攔服務。
文檔編號H04L29/06GK1638330SQ20041000319
公開日2005年7月13日 申請日期2004年2月26日 優先權日2003年12月29日
發明者金成國, 吳采炯 申請人:普蘭蒂網絡有限公司