用戶上網行為控制系統的製作方法
2023-04-28 16:15:41 2
專利名稱:用戶上網行為控制系統的製作方法
技術領域:
本發明涉及一種與網際網路有關的技術,特別是一種用戶上網行為控制系統。
背景技術:
網際網路上豐富的資信內容自網際網路誕生以來一直為人們所津津樂道,但網際網路上紛亂的內容,特別是一些包含色情、賭博等不良信息的事情,越來越引起人們的關注,如何有效地控制這些信息的傳播一直以來都是網絡衛士們注意的焦點。特別針對未成年人,在各類網絡信息對未成年人世界觀的影響與日俱增地現實環境中,對開放性的網絡信息內容進行有效管理,可以為廣大未成年人提供內容健康、形式生動、具有吸引力的上網環境。
目前,針對上述問題多採用基於客戶端的網絡過濾軟體,雖然其可以實現對部分網絡信息內容訪問的限制,但存在如下弊端
1)、基於客戶端的方式,要求上網監管人(如家長)具備一定的電腦知識基礎,這在一定程度上限制了使用的普及性;
2)、對於一些提供上網服務的場所,如網吧等,源於其商業目的,不願意實施內容限制功能,僅靠行政手段進行監管只可起到治標不治本的功效;
3)、客戶端軟體的維護成本高昂,軟體本身和作業系統的升級對客戶端軟體有制約的作用;
4)、客戶端軟體佔用大量有限的PC資源。
發明內容
本發明的目的是提供一種可以有效克服上述問題發生的用戶上網行為控制系統,它無須在客戶端進行特定軟體安裝,不佔用PC機自身資源,使用方便、靈活,不會增加單機維護費用;此外,通過它非常易於實現對網吧等經營場所的訪問限制。
本發明的目的是這樣實現的它由設置在伺服器端的網絡策略管理單元、策略服務設置單元及邊緣採集控制單元三部分構成;網絡策略管理單元是系統的調度管理中心,它負責用戶資料、實時上下線、策略定製信息、和分類信息等數據的存儲,與邊緣採集控制單元之間的實時同步調度、分類信息等數據分發;策略服務設置單元,提供最終用戶輸入/輸出界面,可用於服務申請/撤銷,設置控制策略,查詢日誌信息;邊緣採集控制單元負責最終用戶訪問網際網路數據包的採集、分析和控制實施;
網絡策略管理單元包括以下內容
用於接收和處理第三方發送的用戶資料的用戶資料接口和用戶資料處理模塊;
用於接收和處理用戶實時上下線(即登錄和退出網絡)信息的認證接口和登錄信息處理模塊;
根據接收管理信息數據包的內容,從資料庫中獲取相應的管理信息內容並進行處理的管理信息處理單元;
用於將需要同步的信息發送到邊緣採集控制單元的同步處理模塊,同步處理模塊接收來自登錄信息處理模塊和管理信息處理模塊的數據信息;
用於存儲用戶資料處理模塊、登錄信息處理模塊、管理信息處理模塊、策略服務設置單元產生的數據信息的資料庫;
邊緣採集控制單元包括以下內容
用來從連接的網絡設備上採集數據信息的採集接口;
用來對採集到的數據信息進行解析的數據包解析模塊;
用來對數據包解析模塊解析後的數據進行處理的邏輯分析模塊;
根據邏輯分析模塊的結果進行控制處理的控制處理模塊;
存儲分類信息、用戶控制策略定製信息及用戶/IP對應表的內存資料庫;
策略服務設置單元採用C/S體系結構,由ASP.NET實現,提供最終用戶進行操作的輸入/輸出界面;包括用戶註冊管理、用戶登錄驗證、密碼恢復管理、用戶資料管理、服務申請/撤銷、控制策略設置、日誌查詢;
上述內容中,用戶資料處理模塊對通過用戶資料接口接收第三方(如網絡提供商計費系統或網絡提供商運營系統)發送的用戶資料進行完整性校驗,並做相應的格式轉換後,將最終用戶的資料保存在資料庫中;
上述內容中,登錄信息處理模塊對通過認證接口採集用戶的實時上下線(即登錄網絡和退出網絡)信息,提取Radius包中的用戶(上網帳號)與IP對應關係(該信息可用於識別用戶身份,即確定上網帳號與動態分配的IP的對應關係),以及用戶的其他信息,如用戶的登錄地點、上線時間、下線時間、寬窄帶屬性等信息,將上述實時信息保存在資料庫中,以便統計和查詢;
上述內容中,管理信息處理模塊根據管理接口收到的管理信息數據包的內容,從資料庫中獲取相應的管理信息內容進行處理;經過處理後提交給同步處理模塊,由同步處理模快即時同步到相應的邊緣採集控制單元;
上述內容中,數據包解析模塊對採集到的IP數據包進行解析,如果該數據包是網絡接入伺服器發送的用戶上線/下線的Radius包,並且系統需要從邊緣採集控制單元採集這類數據包,則邊緣採集控制單元將該數據包轉發到網絡策略管理單元的認證接口;如果該數據包是用戶訪問Internet的訪問請求包,則將該數據包提交給邏輯分析模塊進行處理;如果是其他的數據包,則中止流程,處理下個IP數據包;
上述內容中,邏輯分析模塊對用戶的訪問請求進行分析,主要包含對以下邏輯關係的分析
用戶是否開通網絡信息內容控制功能;
用戶訪問的目的地是否在控制的範圍之內;
用戶當前上網時間是否在允許的時間段內;
用戶的總上網時長是否超過允許的時長。
邏輯分析模塊將需要控制的用戶訪問請求提交給控制處理模塊進行處理;對於不需要控制的訪問請求,則中止流量,繼續處理下個IP數據包;
上述內容中,控制處理模塊處理不同的訪問請求,並給最終用戶發送中斷連接的響應包,達到控制的目的。
下面簡述本發明的具體工作原理
網絡策略管理單元通過用戶資料接口,獲取第三方提供的詳細用戶資料,並保存在資料庫中;
最終用戶在登錄策略服務設置單元之前,必須先進行用戶註冊操作,以核對用戶的有效身份,並填寫服務密碼等內容;
最終用戶用上網帳號和服務密碼登錄到策略服務設置單元中進行服務申請操作,在服務申請過程中,用戶可選擇系統預設設置的控制策略;
用戶開通服務後,可使用系統預設設置的控制策略,也可以通過策略服務設置單元定製個性化的控制內容;
最終用戶撥號上網後,網絡策略管理單元從認證接口接收到用戶的上線登錄信息,從中解析得到用戶的上網帳號和動態分配給該用戶的IP位址。登錄信息處理模塊根據用戶的上網帳號,從資料庫中取出用戶資料和定製的控制策略信息,以及該IP位址進行處理後,提交給同步處理模塊;
同步處理模塊將上述信息發送到邊緣採集控制單元,並將這部分信息插入到內存資料庫中;
之後,最終用戶訪問Internet時,邊緣採集控制單元從採集接口可採集到從網絡路由器、交換機轉發過來的數據包;
數據包解析模塊對數據包進行解析,如果該數據包不是一個訪問請求包,則中止處理流程,繼續處理下一個數據包;
如果該數據包是一個訪問請求包,邏輯分析模塊則根據該數據包的源IP位址在內存資料庫的用戶/IP對應表中查找對應的用戶及該用戶的相關信息;
根據用戶開通的服務內容,從內存資料庫的用戶策略定製數據中讀取該用戶定製的控制策略;
判斷該用戶當前的上網時間是否在允許的時間段內,如果不在,則中止流程,繼續處理下一個數據包;
判斷該用戶當天的累計上網時間是否已經超過定製的上網時長,如果是,則中止流程,繼續處理下一個數據包;
搜索數據包中的目的地址(目的IP、目的埠、或目的URL)所屬的信息分類是否在用戶的控制策略中,如果不屬於控制內容,中止流程,繼續處理下一個數據包;
如果在控制範圍內,則提交給控制處理模塊進行處理,控制處理模塊根據不同的訪問請求類型,回應不同的響應包;
控制流程結束,繼續處理下一個數據包;
最終用戶在上網上網過程中,如果需要更改設置(如上網角色切換),則可在策略服務設置單元進行操作;
網絡策略管理單元中的管理信息處理模塊接收到上述信息後,從資料庫讀取相應的數據進行處理,並提交給同步處理模塊;
同步處理模塊將上述信息發送給邊緣採集控制單元,邊緣採集控制單元更改內存資料庫相應的用戶設置內容;
同步完成後,用戶的下一個訪問Internet的請求包,將按更新後的設置進行處理,從而實現即時控制;
最終用戶下線後,網絡策略管理單元從認證接口接收到用戶的下線信息,處理後提交給同步處理模塊;
同步處理模塊將該信息發送給相應的邊緣採集控制單元,邊緣採集控制單元刪除對應的IP/用戶對應關係,控制結束。
綜上所述,採用以上系統,最終用戶無須安裝任何客戶端,只需要向網絡提供者申請控制功能即可,零維護費用;本系統採用旁路監聽的方式,只對需要控制的內容進行幹預,不影響其他正常上網行為;通過對策略服務設置單元的設置,可以對禁止用戶訪問的信息內容、需要放行或過濾的信息內容、上網時間的上限等多項內容進行靈活控制;此外,它還可以可有效提高網絡帶寬的利用率,屏蔽垃圾信息內容消耗網絡系統資源。
下面結合附圖詳述本發明的具體內容
圖1為本發明基本構成原理方框圖
圖2為本發明構成原理方框詳圖
圖3為本發明策略服務設置單元WEB頁面圖
具體實施例方式
如圖1及2所示,本發明由設置在伺服器端的網絡策略管理單元、策略服務設置單元及邊緣採集控制單元三部分構成;網絡策略管理單元是系統的調度管理中心,它負責用戶資料、實時上下線、策略定製信息、和分類信息等數據的存儲,與邊緣採集控制單元之間的實時同步調度、分類信息等數據分發;策略服務設置單元,提供最終用戶輸入/輸出界面,可用於服務申請/撤銷,設置控制策略,查詢日誌信息;邊緣採集控制單元負責最終用戶訪問網際網路數據包的採集、分析和控制實施;
網絡策略管理單元構成及工作原理
網絡策略管理單元由用戶資料處理模塊、登錄信息處理模塊、管理信息處理模塊、同步處理模塊及相應接口和用於上述模塊產生的數據信息的資料庫構成;
1、用戶資料處理模塊
網絡策略管理單元採用標準的FTP協議,通過用戶資料接口接收第三方(如網絡提供商計費系統或網絡提供商運營系統)發送的用戶資料文件,用戶資料處理模塊,對接收到的文件進行完整性校驗,並做相應的格式轉換後,將最終用戶的資料保存在資料庫中。
2、登錄信息處理模塊
最終用戶訪問網際網路信息之前,必須執行上線操作(登錄網絡),服務提供商要求用戶輸入用戶名/密碼進行身份認證,身份認證通過後,接入伺服器給認證伺服器發送一個Radius計費開始包,該數據包中包含用戶上網帳號和分配給用戶的IP位址,以及其他信息。用戶下線(退出)後,接入伺服器給認證伺服器發送一個Radius計費結束包。網絡策略管理單元通過認證接口採集上述用戶的實時上下線(即登錄網絡和退出網絡)信息,信息來源有以下兩種方式1)、網絡提供商的用戶認證系統轉發用戶的上線/下線Radius包;2)、邊緣採集控制單元採集到的用戶上線/下線Radius包;
登錄信息處理模塊從上線Radius包中提取用戶(上網帳號)與IP對應關係(該信息可用於識別用戶身份,即確定上網帳號與動態分配的IP的對應關係),以及用戶的其他信息,如用戶的登錄地點、上線時間、下線時間、寬窄帶屬性等信息進行處理;從下線Radius包中提取用戶上網時長、上下行流量等信息進行處理。登錄信息處理模塊處理分為兩個步驟
將這些實時信息保存在資料庫中,以便統計和查詢;
二、從資料庫中讀取該用戶的相關資料、用戶預先定製好的用戶服務定製信息,以及這些實時信息本身通過同步處理模塊同步到用戶登錄地點所在的邊緣採集控制單元的用戶/IP對應表中。
內存資料庫同步過程採用自定義的IM協議進行傳送,IM協議是自定義的一種基於Socket方式的實時通信接口,主要用於各種設備之間進行實時通信,IM協議每一個通訊數據包由定長的包頭和不定長的包體組成。
協議包頭結構
協議包頭用C語言結構定義如下
struct im_head_t{unsigned char cVersion;unsigned int iOperationCode;<!-- SIPO -->unsigned short iFunctionCode;unsigned char cReservedl;unsigned int iSeqno;unsigned short isLength;unsigned char cMd5[16];unsigned char cReserved2[2];};
3、管理信息處理模塊
類似於一種外部消息通知機制,當通過管理接口收到一個通知包時,管理信息處理模塊會根據數據包的內容(即IM協議的操作碼編號),從資料庫中獲取相應的管理信息內容(即管理信息的內容是由其他管理工具、軟體直接包存在資料庫的操作表中)進行處理。
管理信息中包含用戶服務定製信息的增加、刪除和修改(如申請服務、撤銷服務、服務內容變更、以及上網角色切換等信息),管理信息處理模塊通過同步處理模塊將這些信息同步到系統中的正在提供服務的邊緣採集控制單元中進行處理,這樣就保證了服務的實時性。
管理信息中還包含有控制策略信息的增加、刪除和修改(如分類信息庫、用戶自定義分類信息、控制策略模板等內容),管理信息處理模塊通過同步處理模塊將這些信息同步到系統中的所有邊緣採集控制單元中進行處理,這些內容保存在邊緣採集控制單元的分類信息庫中。
控制策略信息主要包含如下內容
分類信息庫包括分類URL信息庫、分類TCP埠信息庫、分類目的IP信息庫和分類過濾關鍵字信息庫的增加、刪除和修改;上述信息庫由系統管理員統一維護;
用戶自定義分類信息用戶可以根據需要增加、刪除和修改需要控制的URL信息庫、TCP埠、目的IP位址等信息和過濾關鍵字等;
控制策略模板該模板包含一些標準的用戶服務定製,這樣用戶只需要選擇一個模板這樣一個操作就可以實現基本的服務定製。
4、同步處理模塊
同步處理模塊將需要同步的信息發送到相應的邊緣採集控制單元,具有重發處理機制,保證數據的完整性。
下面簡述網絡策略管理單元工作原理
首先從用戶資料接口、認證接口及管理接口採集到相應的數據;
用戶資料處理模塊、登錄信息處理模塊和管理信息處理模塊對採集到的數據進行處理;
將數據按資料庫的表結構要求,保存在資料庫中;
對於從認證接口接收到的用戶上下線信息,網絡策略管理單元從資料庫中讀取用戶定製的控制策略信息、用戶資料,以及分配給該用戶IP位址同步到邊緣採集控制單元;
對於從管理接口接收到的信息,如果是網絡策略管理單元的配置信息,則動態調整系統的配置參數;如果是邊緣採集控制單元的配置信息則同步到邊緣採集控制單元,邊緣採集控制單元根據收到的同步信息,動態調整系統內部配置參數;如果是分類信息庫信息、用戶自定義控制內容,或用戶定製控制策略的增刪改等,則同步到邊緣採集控制單元相應的內存資料庫中。
邊緣採集控制單元構成及工作原理
邊緣採集控制單元由內存資料庫、採集接口、數據包解析模塊、邏輯分析模塊和控制處理模塊五部分構成;
1、內存資料庫
邊緣採集控制單元採用高效的存儲技術(平衡樹、哈希算法等),將網絡管理中心發送的同步信息保存在內存中,建立內存資料庫,確保信息的快速準確定位;
2、採集接口
邊緣採集控制單元從連接的網絡設備(如路由器、交換機和光纖鏈路)上採集流量,並在採集流量的入口做必要的過濾,僅採集服務提供商所屬用戶訪問Internet的訪問請求,從而提高了採集效率。邊緣採集控制單元支持的採集方式有以下五種方式
a.埠鏡像埠鏡像方式是交換機的一個基本功能,可將用戶訪問請求複製一份到邊緣採集控制單元,該採集方式為旁路監聽方式;
b.分光採用分光器,將光纖鏈路上的信息,複製一份到邊緣採集控制單元,該採集方式為旁路監聽方式;
c.WCCP協議WCCP是業界領先的Web快取重導協議,它能對網絡傳輸的數據包進行本地的快取,並智能化的分配網絡負載到多個邊緣採集控制單元上。邊緣採集控制單元在處理WCCP方式重導過來的數據包時,首先將該數據包重新導向到Internet上,然後再對需要處理的數據包進行分析處理,其採集方式也為旁路監聽方式;
d.L2TP協議在一個L2TP VPN網絡中,LAC(L2TP AccessConcentrator)可以將目標用戶的流量通過PPP封裝後傳送到LNS(L2TPNetwork Server)上,LNS一般為專用的路由器來擔任,邊緣採集控制單元採用旁路監聽方式採集處理LNS上行流量;
e.策略路由網絡接入伺服器NAS(Network Access Server)可為目標客戶分配一個特定的IP位址,然後在網絡路由器上根據策略路由的設置將該部分用戶流量轉發到邊緣採集控制單元。邊緣採集控制單元在處理該部分流量時,首先將該流量重新導向到Internet上,然後再對需要處理的數據包進行分析處理,其採集方式也為旁路監聽方式;
綜合以上五種採集方式,可有效地在任何網絡環境下採集到用戶的訪問流量。
3、數據包解析模塊
數據包解析模塊對採集到的IP數據包進行解析,如果該數據包是網絡接入伺服器發送的用戶上線/下線的Radius包,並且系統需要從邊緣採集控制單元採集這類數據包,則邊緣採集控制單元將該數據包轉發到網絡策略管理單元的認證接口;如果該數據包是用戶訪問Internet的訪問請求包,則將該數據包提交給邏輯分析模塊進行處理;如果是其他的數據包,則中止流程,處理下個IP數據包;
4、邏輯分析模塊
邏輯分析模塊對用戶的訪問請求進行分析,主要包含以下各種邏輯關係的分析
用戶是否開通網絡信息內容控制功能;
用戶訪問的目的地是否在控制的範圍之內;
用戶當前上網時間是否在允許的時間段內;
用戶的總上網時長是否超過允許的時長。
邏輯分析模塊將需要控制的用戶訪問請求提交給控制處理模塊進行處理;對於不需要控制的訪問請求,則中止流量,繼續處理下個IP數據包。
5、控制處理模塊
控制處理模塊處理不同的訪問請求,並給最終用戶發送中斷連接的響應包,達到控制的目的。
下面簡述邊緣採集控制單元的工作原理
邊緣採集控制單元通過採集接口採集到用戶的訪問請求包;
數據包解析模塊對採集的包進行解析;
如果該數據包是radius數據包,並且系統需要由邊緣採集設備提供用戶的上線/下線信息,則轉發接入伺服器發起的Radius包,否則,中止該流程,並繼續處理下一個數據包;
在邏輯控制模塊根據數據包中的源IP位址,在內存資料庫中的用戶/IP對照表中,查找用戶信息,如果該用戶未申請該項服務,則中止該流程,繼續採集處理下一個數據包;
如果用戶申請了該服務,則從內存資料庫中的用戶策略定製表讀取用戶服務定製信息。
根據用戶服務定製信息查找用戶累計上網時間是否超過規定時間,用戶當前上網時間是否在規定的時間段內,在分類信息庫中查找用戶訪問目的(目的URL、目的TCP埠號、目的IP位址)是否在受限,目的URL是否包含受限的過濾關鍵字。根據上述查找結果進行判斷,如果用戶訪問不受限,則中止該流程,繼續採集處理下一個數據包;
如果用戶的訪問受限,則由控制處理模塊對該數據包進行處理,給最終用戶發送中斷連接的響應處理包。
策略服務設置單元的構成和實現方式
策略服務設置單元採用C/S體系結構,用ASP.NET實現。最終用戶可登錄到策略服務設置單元WEB網站上進行控制服務定製,增加、刪除和修改自定義控制策略內容,上網角色切換等。
策略服務設置單元包含以下內容
登錄校驗用戶名和密碼,確認登錄系統的身份;
註冊最終用戶在登錄本設置單元前,首先要進行註冊,註冊包含以下各步驟閱讀並接受服務條款;身份校驗;設置登錄密碼,用戶基本資料補充錄入等;
密碼恢復最終用戶可以根據註冊時提供的問題答案或郵件地址取回遺忘的密碼;
系統管理系統管理員可以設置管理員的操作權限,新增或修改管理員;
分類信息庫維護管理員可以維護分類庫信息內容,修改控制模板等操作;
用戶資料修改管理員和最終用戶可以修改自身的資料,重置密碼等功能;
控制策略設置包括服務申請/撤銷,上網角色切換,控制方式修改等,其具體內容如下
服務申請上網監管人可以通過該門戶申請分類信息控制服務,只有申請了服務的用戶流量系統才會進行處理;
服務撤銷上網監管人可以通過該門戶撤銷分類信息控制服務;
上網角色切換在一次上網過程中,監管人和被監管人的作為不同的控制角色,可以隨時進行切換。系統對上網監管人(一般為家長、教師等)不實施任何的控制措施,從被監管人受限控制方式切換到監管人非受限方式,需要輸入服務申請時監管人填寫的超級密碼。身份切換信息會通過網絡策略管理單元實時同步到邊緣採集控制單元中,即時生效。
暫停服務上網監管人可根據需要,在不撤銷服務的情況下,暫時停止分類信息控制的服務;
控制方式可選擇黑名單方式或白名單方式。
選擇黑名單方式時,用戶需指定需要被控制的信息分類,當用戶訪問這些信息分類(包括目的URL,目的TCP埠號、目的IP位址)時,邊緣採集控制單元將中斷這些訪問連接,達到控制目的;
選擇白名單方式時,用戶需指定需要被放行的信息分類,當用戶訪問的目的不在這些信息分類(包括目的URL,目的TCP埠號、目的IP位址)範圍內時,邊緣採集控制單元將中斷這些訪問連接,達到控制目的;
自定義控制信息用戶可自行添加不在標準信息分類庫中的信息,以彌補分類信息庫的不足,並且滿足特定的用戶控制需求。這些自定義控制信息通過網絡策略管理單元同步到邊緣採集控制單元,並保存在邊緣採集控制單元內存資料庫中的分類信息庫中;
上網時長控制可以指定每天累計的最長上網時間;
上網時間段控制可以指定每天允許上網的時間段。
權利要求
1、一種用戶上網行為控制系統,其特徵是它由設置在伺服器端的網絡策略管理單元、策略服務設置單元及邊緣採集控制單元三部分構成;網絡策略管理單元是系統的調度管理中心,它負責用戶資料、實時上下線、策略定製信息、和分類信息等數據的存儲,與邊緣採集控制單元之間的實時同步調度、分類信息等數據分發;策略服務設置單元,提供最終用戶輸入/輸出界面,可用於服務申請/撤銷,設置控制策略,查詢日誌信息;邊緣採集控制單元負責最終用戶訪問網際網路數據包的採集、分析和控制實施;
網絡策略管理單元包括以下內容
用於接收和處理第三方發送的用戶資料的用戶資料接口和用戶資料處理模塊;
用於接收和處理用戶實時登錄和退出網絡的上下線信息的認證接口和登錄信息處理模塊;
根據接收管理信息數據包的內容,從資料庫中獲取相應的管理信息內容並進行處理的管理信息處理單元;
用於將需要同步的信息發送到邊緣採集控制單元的同步處理模塊,同步處理模塊接收來自登錄信息處理模塊和管理信息處理模塊的數據信息;
用於存儲用戶資料處理模塊、登錄信息處理模塊及管理信息處理單元產生的數據信息的資料庫;
邊緣採集控制單元包括以下內容
用來從連接的網絡設備上採集數據信息的採集接口;
用來對採集到的數據信息進行解析的數據包解析模塊;
用來對數據包解析模塊解析後的數據進行處理的邏輯分析模塊;
根據邏輯分析模塊的結果進行控制處理的控制處理模塊;
存儲分類信息、用戶控制策略定製信息及用戶/IP對應表的內存資料庫;
策略服務設置單元採用C/S體系結構,由ASP.NET實現,提供最終用戶進行操作的輸入/輸出界面;包括用戶註冊管理、用戶登錄驗證、密碼恢復管理、用戶資料管理、服務申請/撤銷、控制策略設置、日誌查詢。
2、如權利要求1所述的用戶上網行為控制系統,其特徵是用戶資料處理模塊對通過用戶資料接口接收第三方發送的用戶資料進行完整性校驗,並做相應的格式轉換後,將最終用戶的資料保存在資料庫中。
3、如權利要求1所述的用戶上網行為控制系統,其特徵是登錄信息處理模塊對通過認證接口採集用戶的實時上下線信息,提取Radius包中的用戶與IP對應關係,以及用戶的其他信息,如用戶的登錄地點、上線時間、下線時間、寬窄帶屬性等信息,將上述實時信息保存在資料庫中,以便統計和查詢。
4、如權利要求1所述的用戶上網行為控制系統,其特徵是管理信息處理模塊根據管理接口收到的管理信息數據包的內容,從資料庫中獲取相應的管理信息內容進行處理;經過處理後提交給同步處理模塊,由同步處理模快即時同步到相應的邊緣採集控制單元。
5、如權利要求1所述的用戶上網行為控制系統,其特徵是數據包解析模塊對採集到的IP數據包進行解析,如果該數據包是網絡接入伺服器發送的用戶上線/下線的Radius包,並且系統需要從邊緣採集控制單元採集這類數據包,則邊緣採集控制單元將該數據包轉發到網絡策略管理單元的認證接口;如果該數據包是用戶訪問Internet的訪問請求包,則將該數據包提交給邏輯分析模塊進行處理;如果是其他的數據包,則中止流程,處理下個IP數據包。
6、如權利要求1所述的用戶上網行為控制系統,其特徵是邏輯分析模塊對用戶的訪問請求進行分析,主要包含對以下邏輯關係的分析
用戶是否開通網絡信息內容控制功能;
用戶訪問的目的地是否在控制的範圍之內;
用戶當前上網時間是否在允許的時間段內;
用戶的總上網時長是否超過允許的時長;
邏輯分析模塊將需要控制的用戶訪問請求提交給控制處理模塊進行處理;對於不需要控制的訪問請求,則中止流量,繼續處理下個IP數據包。
7、如權利要求1所述的用戶上網行為控制系統,其特徵是控制處理模塊處理不同的訪問請求,並給最終用戶發送中斷連接的響應包。
全文摘要
本發明公開一種用戶上網行為控制系統,它由設置在伺服器端的網絡策略管理單元、策略服務設置單元及邊緣採集控制單元三部分構成;網絡策略管理單元是系統的調度管理中心,它負責用戶資料、實時上下線、策略定製信息、和分類信息等數據的存儲,與邊緣採集控制單元之間的實時同步調度、分類信息等數據分發;策略服務設置單元,提供最終用戶輸入/輸出界面,可用於服務申請/撤銷,設置控制策略,查詢日誌信息;邊緣採集控制單元負責最終用戶訪問網際網路數據包的採集、分析和控制實施;它使用方便、靈活,不會增加單機維護費用,且非常易於實現對網吧等經營場所的訪問限制。
文檔編號H04L12/24GK1716865SQ20041004798
公開日2006年1月4日 申請日期2004年6月14日 優先權日2004年6月14日
發明者李黎軍 申請人:深圳市傲天通信有限公司