專利名稱:控制用戶只能在特定區(qū)域上網(wǎng)的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)認(rèn)證授權(quán)記賬(AAA,Authentication����、Authorization�����、Accounting)管理的方法及系統(tǒng)���,特別是涉及一種用戶登錄授權(quán)認(rèn)證的方法及系統(tǒng)。
背景技術(shù):
隨著國家信息化工作的深入開展����,提高教育系統(tǒng)信息化水平成為當(dāng)前工作的重點(diǎn)。而校園網(wǎng)建設(shè)則是教育系統(tǒng)信息化建設(shè)的關(guān)鍵���,尤其是高校校園網(wǎng)建設(shè)���。在信息化的建設(shè)過程中,校園網(wǎng)能促進(jìn)教師和學(xué)生盡快提高應(yīng)用信息技術(shù)的水平�。校園網(wǎng)為教師提供了一種先進(jìn)的輔助教學(xué)工具、提供了豐富的教學(xué)資源庫��,校園網(wǎng)為科研人員及研究生提供了大量的研究資源和學(xué)術(shù)資料�;為學(xué)生提供了多種形式的網(wǎng)絡(luò)課堂和專業(yè)背景知識(shí)。對于不同用戶的網(wǎng)絡(luò)登錄管理,現(xiàn)有技術(shù)中一般采用認(rèn)證授權(quán)記賬系統(tǒng)的方式來進(jìn)行�。
一個(gè)典型的AAA系統(tǒng)結(jié)構(gòu)簡圖如圖1所示,該系統(tǒng)包括多個(gè)用戶PC1�����、一個(gè)或更多接入服務(wù)器(NAS�,Network Access Server)2�、匯聚交換機(jī)3、服務(wù)端系統(tǒng)4和防火墻5��,用戶在用戶PC1上輸入用戶帳號(hào)��、密碼等信息����,發(fā)送給接入服務(wù)器2,由接入服務(wù)器2將這些信息發(fā)送給匯聚交換機(jī)3���,匯聚交換機(jī)3是多臺(tái)接入服務(wù)器2的匯聚點(diǎn)�����,它必須能夠處理來自接入服務(wù)器2的所有通信量�����,并提供數(shù)據(jù)上行鏈路���;匯聚交換機(jī)3發(fā)送認(rèn)證信息給服務(wù)端系統(tǒng)4�,由服務(wù)端系統(tǒng)4完成認(rèn)證功能����,如果用戶帳號(hào)密碼認(rèn)證通過,則服務(wù)端系統(tǒng)4通過匯聚交換機(jī)3發(fā)送認(rèn)證通過的報(bào)文給接入服務(wù)器2���,由此完成了認(rèn)證授權(quán)功能�。
用戶授權(quán)認(rèn)證常采用遠(yuǎn)程用戶撥號(hào)認(rèn)證服務(wù)(RADIUS�����,RemoteAuthentication Dial In User Service)協(xié)議��,在服務(wù)端系統(tǒng)4和通過匯聚交換機(jī)與接入服務(wù)器2之間發(fā)送的RADIUS包結(jié)構(gòu)如圖2所示����,其中代碼域表明該數(shù)據(jù)包的類型是認(rèn)證請求數(shù)據(jù)包還是響應(yīng)請求數(shù)據(jù)包,或者是計(jì)費(fèi)信息數(shù)據(jù)包����,而標(biāo)識(shí)域表示RADIUS包是請求包還是響應(yīng)包����,長度域包含整個(gè)數(shù)據(jù)包的長度信息��,而屬性域可以填入多種屬性�,其長度可以根據(jù)所選擇屬性自由調(diào)整,所述屬性可以包括用戶帳號(hào)��、密碼�、IP地址等內(nèi)容��。認(rèn)證域的內(nèi)容用于驗(yàn)證服務(wù)器端系統(tǒng)的應(yīng)答�,另外還用于填入用戶口令的加密內(nèi)容。當(dāng)代碼域內(nèi)容為1時(shí)�,表示該數(shù)據(jù)包為接入服務(wù)器向服務(wù)端系統(tǒng)發(fā)送的接入驗(yàn)證請求,當(dāng)代碼域內(nèi)容為2時(shí)�����,表示該數(shù)據(jù)包為服務(wù)端系統(tǒng)向接入服務(wù)器發(fā)送的驗(yàn)證結(jié)果通過數(shù)據(jù)包�。
現(xiàn)有AAA系統(tǒng)中,對于用戶信息認(rèn)證主要集中在用戶帳號(hào)和密碼上���,這種系統(tǒng)會(huì)帶來一些問題�,例如,某些學(xué)生用戶在學(xué)校實(shí)驗(yàn)室上課時(shí)��,可能會(huì)上網(wǎng)瀏覽與學(xué)習(xí)無關(guān)的信息���,影響學(xué)習(xí)�����;或者某些學(xué)生使用筆記本電腦在教學(xué)樓上網(wǎng)�����,這樣會(huì)影響其他學(xué)生的學(xué)習(xí)����,另外���,在一些需要保密的核心區(qū)域���,本不具有上網(wǎng)權(quán)限的用戶如果能夠在這些區(qū)域內(nèi)上網(wǎng),就可能通過網(wǎng)絡(luò)監(jiān)聽等方式獲取機(jī)密信息�����,造成網(wǎng)絡(luò)安全管理的隱患。因此�,現(xiàn)有AAA系統(tǒng)的問題在于無法控制用戶所能夠上網(wǎng)的區(qū)域,造成上網(wǎng)管理上的混亂和安全性難以保證���。
發(fā)明內(nèi)容
有鑒于此����,本發(fā)明的主要目的在于提供一種控制用戶只能在特定區(qū)域上網(wǎng)的方法�����,該方法能夠把用戶帳號(hào)和接入服務(wù)器的唯一屬性與登錄域進(jìn)行綁定�,由此控制用戶所能夠上網(wǎng)的區(qū)域��。本發(fā)明的目的還在于提供一種控制用戶只能在特定區(qū)域上網(wǎng)的系統(tǒng)����。
為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種控制用戶只能在特定區(qū)域上網(wǎng)的方法�,該方法包括A、劃分登錄域����,記錄登錄域中接入服務(wù)器與該登錄域的對應(yīng)關(guān)系���,該關(guān)系記錄為接入服務(wù)器的一種能夠區(qū)別于其他接入服務(wù)器的唯一屬性和登錄域的對應(yīng)關(guān)系,并將用戶帳號(hào)與登錄域綁定����;B、用戶將包含用戶帳號(hào)的登錄認(rèn)證信息發(fā)送至接入服務(wù)器���,接入服務(wù)器在登錄認(rèn)證信息中添加該接入服務(wù)器的唯一屬性����,生成認(rèn)證信息�,然后將認(rèn)證信息發(fā)送給服務(wù)端系統(tǒng),服務(wù)端系統(tǒng)從認(rèn)證信息中取出接入服務(wù)器的唯一屬性�����,如果服務(wù)端系統(tǒng)確定對應(yīng)于用戶帳號(hào)登錄域的接入服務(wù)器中包括有從認(rèn)證信息中取出的接入服務(wù)器�,則用戶的分區(qū)域登錄認(rèn)證通過。
其中���,所述步驟A中劃分登錄域的操作的依據(jù)是根據(jù)地理位置的不同建立不同登錄域�����。
其中�,上述步驟A之后進(jìn)一步包括將數(shù)個(gè)登錄域組合成一個(gè)登錄域組,將用戶帳號(hào)與登錄域組綁定����;相應(yīng)地,步驟B中所述用戶將分區(qū)域登錄認(rèn)證信息發(fā)送至服務(wù)端系統(tǒng)之后����,還包括從用戶帳號(hào)所對應(yīng)的登錄域組中取出各個(gè)登錄域名,取出各登錄域名所包含接入服務(wù)器的唯一屬性�����。
上述步驟A之后進(jìn)一步包括將登錄域名�����、與用戶帳號(hào)綁定的登錄域信息以及登錄域所包含的接入服務(wù)器的唯一屬性存入數(shù)據(jù)庫中�;相應(yīng)地����,步驟B中所述用戶將分區(qū)域登錄認(rèn)證信息發(fā)送至服務(wù)端系統(tǒng)之后���,還包括服務(wù)端系統(tǒng)從數(shù)據(jù)庫中取得用戶帳號(hào)所對應(yīng)的登錄域名,以及該登錄域所包含的接入服務(wù)器的唯一屬性�。
其中,所述接入服務(wù)器的唯一屬性包括接入服務(wù)器的IP地址���。
所述用戶登錄認(rèn)證信息按照遠(yuǎn)程用戶撥號(hào)認(rèn)證服務(wù)協(xié)議的方式發(fā)送至服務(wù)端系統(tǒng)�����,所述接入服務(wù)器的唯一屬性包含在遠(yuǎn)程用戶撥號(hào)認(rèn)證服務(wù)數(shù)據(jù)包的屬性域中����。
一種控制用戶只能在特定區(qū)域上網(wǎng)的系統(tǒng)���,該系統(tǒng)包括用戶PC���、接入服務(wù)器和服務(wù)端系統(tǒng),其中所述用戶PC用于向接入服務(wù)器發(fā)送包含用戶帳號(hào)的登錄認(rèn)證信息�;所述接入服務(wù)器用于在所述登錄認(rèn)證信息中添加該接入服務(wù)器的唯一屬性,生成認(rèn)證信息�,并向服務(wù)端系統(tǒng)發(fā)送該認(rèn)證信息;所述服務(wù)端系統(tǒng)用于從認(rèn)證信息中取出接入服務(wù)器的唯一屬性���,確定對應(yīng)于用戶帳號(hào)登錄域的接入服務(wù)器中包括有從認(rèn)證信息中取出的接入服務(wù)器時(shí)����,用戶PC通過分區(qū)域登錄認(rèn)證本發(fā)明的控制用戶只能在特定區(qū)域上網(wǎng)的方法,通過綁定用戶帳號(hào)和接入服務(wù)器的唯一屬性到特定登錄域���,能夠有效防止在特定區(qū)域內(nèi)無權(quán)限的用戶在該區(qū)域上網(wǎng)�����,加強(qiáng)了網(wǎng)絡(luò)的登錄管理��,促進(jìn)網(wǎng)絡(luò)安全性���。本發(fā)明提供的方案應(yīng)用于校園網(wǎng)時(shí),能夠促進(jìn)教育信息系統(tǒng)的使用者合理使用網(wǎng)絡(luò)���,促進(jìn)學(xué)習(xí)����、教學(xué)和科研��。
圖1為現(xiàn)有技術(shù)的AAA系統(tǒng)結(jié)構(gòu)簡圖����;圖2為現(xiàn)有技術(shù)的RADIUS數(shù)據(jù)包結(jié)構(gòu)圖;圖3為現(xiàn)有技術(shù)的AAA系統(tǒng)用戶與操作員授權(quán)認(rèn)證信息的設(shè)置�����、存儲(chǔ)及獲取方法示意圖���;圖4為本發(fā)明操作員預(yù)設(shè)步驟流程圖��;圖5為本發(fā)明用戶分區(qū)域登錄認(rèn)證步驟流程圖��;具體實(shí)施方式
下面結(jié)合附圖及具體實(shí)施例對本發(fā)明再作進(jìn)一步詳細(xì)的說明�。
本發(fā)明的核心思想是本方法分為設(shè)置分區(qū)域登錄認(rèn)證規(guī)則的步驟和服務(wù)端系統(tǒng)按照上述所設(shè)置的規(guī)則對用戶登錄信息進(jìn)行分區(qū)域登錄認(rèn)證的步驟��,這里分別稱之為預(yù)設(shè)步驟和用戶分區(qū)域登錄認(rèn)證步驟�。
其中,預(yù)設(shè)步驟包括劃分登錄域���,記錄登錄域中所有的接入服務(wù)器與登錄域的對應(yīng)關(guān)系����,該關(guān)系可以記錄為接入服務(wù)器的一種能夠區(qū)別于其他接入服務(wù)器的唯一屬性和登錄域之間的對應(yīng)關(guān)系,并將用戶帳號(hào)與登錄域綁定�����;預(yù)設(shè)步驟中設(shè)置的各對應(yīng)關(guān)系可根據(jù)實(shí)際應(yīng)用做相應(yīng)調(diào)整����,這些調(diào)整步驟仍然屬于預(yù)設(shè)步驟之中。
用戶分區(qū)域登錄認(rèn)證步驟包括用戶將登錄認(rèn)證信息發(fā)送至接入服務(wù)器��,該登錄認(rèn)證信息中包括用戶帳號(hào)���、密碼等內(nèi)容��,接入服務(wù)器在登錄認(rèn)證信息中添加其唯一屬性�����,生成認(rèn)證信息���,然后將認(rèn)證信息經(jīng)匯聚交換機(jī)發(fā)送給服務(wù)端系統(tǒng),服務(wù)端系統(tǒng)從認(rèn)證信息中取出這些信息�,對比對應(yīng)于用戶帳號(hào)登錄域的接入服務(wù)器的唯一屬性和從認(rèn)證信息中取出的接入服務(wù)器的唯一屬性,如果對應(yīng)于用戶帳號(hào)登錄域的接入服務(wù)器中包括有從認(rèn)證信息中取出的接入服務(wù)器�����,則用戶的分區(qū)域登錄認(rèn)證通過�。
為了實(shí)現(xiàn)上述方法,本發(fā)明的分區(qū)域登錄認(rèn)證系統(tǒng)硬件上也采用圖1所示的結(jié)構(gòu)�����,其中��,可以按照地理位置或其它管理策略將網(wǎng)絡(luò)劃分為不同登錄域����,以校園網(wǎng)為例,可以劃分為宿舍區(qū)�����、教學(xué)區(qū)�、實(shí)驗(yàn)室區(qū)、圖書館區(qū)等����,根據(jù)實(shí)際管理需要也可以劃分成更粗略或更細(xì)致的登錄域,例如宿舍東區(qū)��、宿舍西區(qū)甚至具體到某宿舍樓等。每個(gè)登錄域中可以有一個(gè)或多個(gè)接入服務(wù)器2����,每個(gè)接入服務(wù)器2可以連接一個(gè)或更多用戶PC1,各個(gè)登錄域的接入服務(wù)器2連接至匯聚交換機(jī)3�,匯聚交換機(jī)3是多臺(tái)接入服務(wù)器2的匯聚點(diǎn),它必須能夠處理來自接入服務(wù)器2的所有通信量�����,并提供數(shù)據(jù)上行鏈路���;同時(shí)匯聚交換機(jī)3連接服務(wù)端系統(tǒng)4和防火墻5��。用戶在用戶PC1上使用客戶端登錄接入服務(wù)器�,傳遞用戶認(rèn)證授權(quán)記賬信息給接入服務(wù)器2����,接入服務(wù)器2將該用戶認(rèn)證授權(quán)記賬信息經(jīng)過匯聚交換機(jī)3匯聚之后發(fā)送給服務(wù)端系統(tǒng)4,由服務(wù)端系統(tǒng)4進(jìn)行分區(qū)域登錄認(rèn)證和其它認(rèn)證����,認(rèn)證通過之后,用戶即能夠獲得上網(wǎng)權(quán)限�。
但是本系統(tǒng)還具有以下特征本系統(tǒng)能夠記錄登錄域中所有的接入服務(wù)器與該登錄域的對應(yīng)關(guān)系��,該關(guān)系可以記錄為接入服務(wù)器的一種能夠區(qū)別于其他接入服務(wù)器的唯一屬性和登錄域的對應(yīng)關(guān)系��,也能夠記錄用戶帳號(hào)與登錄域的對應(yīng)關(guān)系�,接入服務(wù)器具有在登錄認(rèn)證信息中添加該接入服務(wù)器唯一屬性����、生成認(rèn)證信息的功能���,服務(wù)端系統(tǒng)具有根據(jù)對應(yīng)于用戶帳號(hào)登錄域的接入服務(wù)器的唯一屬性和從認(rèn)證信息中取出的接入服務(wù)器的唯一屬性是否能夠匹配來判斷用戶是否能夠在特定區(qū)域上網(wǎng)的功能�����。
本發(fā)明中�����,對于分區(qū)域認(rèn)證管理信息的設(shè)置與獲取方法類似于一般的認(rèn)證授權(quán)記賬系統(tǒng)����,其認(rèn)證信息的設(shè)置��、存儲(chǔ)及獲取方法如圖3所示���,操作員通過遠(yuǎn)程登錄的方式登錄營業(yè)管理系統(tǒng)���,建立和修改認(rèn)證授權(quán)記賬數(shù)據(jù)庫�����,該數(shù)據(jù)庫包含了分區(qū)域登錄認(rèn)證所必要的信息��,一般包括有各登錄域名����、各登錄域組名以及其包括的登錄域名���、各登錄域中的接入服務(wù)器的唯一屬性以及其與登錄域的對應(yīng)關(guān)系���、用戶帳號(hào)、用戶初始密碼�、用戶對應(yīng)的登錄域組名或者登錄域名等信息。所述操作員遠(yuǎn)程登錄的方法可以是通過網(wǎng)絡(luò)瀏覽器的方式來進(jìn)行�。用戶可以通過遠(yuǎn)程登錄的方式登錄用戶自助系統(tǒng),訪問該數(shù)據(jù)庫��,進(jìn)行一些用戶權(quán)限范圍內(nèi)的修改���,例如修改用戶密碼等���,所述用戶遠(yuǎn)程登錄的方法也可以是通過網(wǎng)絡(luò)瀏覽器的方式來進(jìn)行����。當(dāng)需要進(jìn)行分區(qū)域登錄認(rèn)證時(shí)�����,服務(wù)端系統(tǒng)從上述認(rèn)證授權(quán)記帳數(shù)據(jù)庫中取出信息進(jìn)行登錄認(rèn)證�����,判斷用戶是否在其特定區(qū)域內(nèi)上網(wǎng)�,另外服務(wù)端系統(tǒng)還可以根據(jù)需要進(jìn)行其他信息的認(rèn)證和處理�����。如果用戶認(rèn)證授權(quán)記賬系統(tǒng)采用RADIUS協(xié)議的方式進(jìn)行�����,則該服務(wù)端系統(tǒng)稱為RADUIS服務(wù)器��。
作為本發(fā)明的優(yōu)選實(shí)施例,本發(fā)明中分區(qū)域登錄認(rèn)證的方法采用RADIUS協(xié)議的方式來進(jìn)行�����,該方法包含操作員預(yù)設(shè)步驟和用戶分區(qū)域登錄認(rèn)證步驟���,其中操作員預(yù)設(shè)步驟的流程如圖4所示�,包括以下子步驟(301)操作員將學(xué)校分成幾個(gè)登錄域��,給每個(gè)登錄域命名�,比如將學(xué)校分為宿舍區(qū)、教學(xué)區(qū)����、實(shí)驗(yàn)室區(qū)、圖書館區(qū)�����。當(dāng)然操作員可以繼續(xù)細(xì)分區(qū)域���,登錄域的劃分由操作員自己定制�����,比如可以繼續(xù)將宿舍區(qū)分為宿舍東區(qū)�����、宿舍西區(qū)��、宿舍北區(qū)�、宿舍南區(qū)等;(302)將每個(gè)登錄域中的一個(gè)或多個(gè)接入服務(wù)器區(qū)別于其它接入服務(wù)器的唯一屬性與這個(gè)登錄域進(jìn)行綁定�,這種唯一屬性可以是接入服務(wù)器的IP地址,也可以是由操作員設(shè)置的一個(gè)能唯一標(biāo)識(shí)各接入服務(wù)器的屬性字段���;(303)根據(jù)需要可以將多個(gè)登錄域組合成一個(gè)登錄域組��,這種登錄域組的組合方式可以參照用戶類別以及各用戶類別所需要對應(yīng)的上網(wǎng)區(qū)域進(jìn)行劃分,比如�,根據(jù)用戶屬性將用戶歸入不同用戶組,例如將本科學(xué)生歸入本科區(qū)域組���,所有碩士����、博士研究生歸入碩士�、博士組�����,所有老師歸入老師組等��,然后根據(jù)各用戶組所具有的上網(wǎng)權(quán)限將登陸域組成登錄域組���,例如規(guī)定本科區(qū)域組能夠在宿舍區(qū)、圖書館區(qū)上網(wǎng)�����;碩士�����、博士組能夠在宿舍區(qū)�����、實(shí)驗(yàn)室區(qū)和圖書館區(qū)上網(wǎng)��;老師組能夠在宿舍區(qū)�、教學(xué)區(qū)、實(shí)驗(yàn)室區(qū)、圖書館區(qū)上網(wǎng)�,如果操作員設(shè)置所有用戶或用戶組都只能在一個(gè)特定登錄域組,則不需要設(shè)定登錄域組���,此時(shí)本子步驟可以省略���;(304)根據(jù)需要可以將用戶或者用戶組綁定一個(gè)登錄域組或一個(gè)登錄域;(305)將登錄域名�����、與用戶帳號(hào)綁定的登錄域信息以及登錄域所包含的接入服務(wù)器的唯一屬性存入數(shù)據(jù)庫中����。
相應(yīng)地,用戶分區(qū)域登錄認(rèn)證步驟包含有以下子步驟(401)用戶通過用戶PC登錄自助服務(wù)系統(tǒng)�����,向接入服務(wù)器發(fā)送RADIUS認(rèn)證數(shù)據(jù)包���,接入服務(wù)器經(jīng)匯聚交換機(jī)向服務(wù)端系統(tǒng)發(fā)送RADIUS數(shù)據(jù)包,并在包中填入接入服務(wù)器的唯一屬性���,這個(gè)唯一屬性可以是接入服務(wù)器的IP地址��,也可以由分區(qū)域登陸認(rèn)證系統(tǒng)選擇在RADIUS數(shù)據(jù)包中設(shè)置一個(gè)能標(biāo)識(shí)接入服務(wù)器唯一的屬性字段�,該唯一屬性應(yīng)該選擇和操作員預(yù)設(shè)步驟中相同的類型,接入服務(wù)器將這個(gè)報(bào)文通過匯聚交換機(jī)傳到RADIUS服務(wù)器進(jìn)行處理���;(402)RADIUS服務(wù)器從認(rèn)證數(shù)據(jù)包中取出這個(gè)用戶的帳號(hào)和接入服務(wù)器的唯一屬性����;(403)根據(jù)這個(gè)用戶的帳號(hào)��,從數(shù)據(jù)庫中取出這個(gè)帳號(hào)所綁定的登錄域組或登錄域名����;(404)根據(jù)登錄域組名取出各個(gè)登錄域名,如果步驟(403)中所取出的是單個(gè)登錄域名�����,則本子步驟可以省略���;(405)根據(jù)所取出的各個(gè)登錄域名可以取出各個(gè)登錄域中的多個(gè)接入服務(wù)器的唯一屬性�����;(406)對步驟(402)中的接入服務(wù)器的唯一屬性和步驟(405)中的取出的所有接入服務(wù)器的唯一屬性進(jìn)行匹配�,所謂匹配指的就是檢查步驟(405)中接入服務(wù)器的唯一屬性中是否包括有步驟(402)中的唯一屬性,如果包括有則匹配成功����;(407)如果匹配不成功,就說明用戶不在他所規(guī)定的區(qū)域中上網(wǎng)��;(408)如果用戶不在他所規(guī)定的區(qū)域中上網(wǎng)�����,就無法獲得在該區(qū)域的上網(wǎng)權(quán)限����,在用戶客戶端返回“不在規(guī)定的區(qū)域中上網(wǎng)”信息;(409)如果匹配成功���,就說明用戶在他所規(guī)定的區(qū)域中上網(wǎng)�����;
(410)如果用戶在他所規(guī)定的區(qū)域中上網(wǎng)����,還要進(jìn)行其他方面的認(rèn)證���,例如用戶帳號(hào)和用戶密碼是否正確��,用戶余額是否為零����,用戶帳號(hào)是否過期���,用戶狀態(tài)是否正常等���。
以上所述,僅為本發(fā)明的較佳實(shí)施例而已��,并非用來限定本發(fā)明的保護(hù)范圍�����。本領(lǐng)域內(nèi)技術(shù)人員應(yīng)該能夠聯(lián)想到��,選用其他協(xié)議的方法實(shí)現(xiàn)分區(qū)域登錄認(rèn)證功能����,或登錄認(rèn)證信息或認(rèn)證信息內(nèi)包含更多用戶信息內(nèi)容�����,或者用其它方式標(biāo)識(shí)接入服務(wù)器的唯一屬性�����,或者更精確的區(qū)域劃分方法采都應(yīng)該屬于本發(fā)明的保護(hù)范圍�。
權(quán)利要求
1.一種控制用戶只能在特定區(qū)域上網(wǎng)的方法���,該方法包括A����、劃分登錄域�,記錄登錄域中接入服務(wù)器與該登錄域的對應(yīng)關(guān)系,該關(guān)系記錄為接入服務(wù)器的一種能夠區(qū)別于其他接入服務(wù)器的唯一屬性和登錄域的對應(yīng)關(guān)系�,并將用戶帳號(hào)與登錄域綁定;B����、用戶將包含用戶帳號(hào)的登錄認(rèn)證信息發(fā)送至接入服務(wù)器,接入服務(wù)器在登錄認(rèn)證信息中添加該接入服務(wù)器的唯一屬性���,生成認(rèn)證信息�����,然后將認(rèn)證信息發(fā)送給服務(wù)端系統(tǒng)�����,服務(wù)端系統(tǒng)從認(rèn)證信息中取出接入服務(wù)器的唯一屬性�����,如果服務(wù)端系統(tǒng)確定對應(yīng)于用戶帳號(hào)登錄域的接入服務(wù)器中包括有從認(rèn)證信息中取出的接入服務(wù)器�����,則用戶的分區(qū)域登錄認(rèn)證通過���。
2.根據(jù)權(quán)利要求1所述的控制用戶只能在特定區(qū)域上網(wǎng)的方法,其特征在于�,所述步驟A中劃分登錄域的操作的依據(jù)是根據(jù)地理位置的不同建立不同登錄域。
3.根據(jù)權(quán)利要求1所述的控制用戶只能在特定區(qū)域上網(wǎng)的方法�,其特征在于,所述步驟A之后進(jìn)一步包括將數(shù)個(gè)登錄域組合成一個(gè)登錄域組�,將用戶帳號(hào)與登錄域組綁定;相應(yīng)地���,步驟B中所述用戶將分區(qū)域登錄認(rèn)證信息發(fā)送至服務(wù)端系統(tǒng)之后����,還包括從用戶帳號(hào)所對應(yīng)的登錄域組中取出各個(gè)登錄域名,取出各登錄域名所包含接入服務(wù)器的唯一屬性���。
4.根據(jù)權(quán)利要求1所述的控制用戶只能在特定區(qū)域上網(wǎng)的方法�����,其特征在于所述步驟A之后進(jìn)一步包括將登錄域名��、與用戶帳號(hào)綁定的登錄域信息以及登錄域所包含的接入服務(wù)器的唯一屬性存入數(shù)據(jù)庫中�;相應(yīng)地��,步驟B中所述用戶將分區(qū)域登錄認(rèn)證信息發(fā)送至服務(wù)端系統(tǒng)之后�����,還包括服務(wù)端系統(tǒng)從數(shù)據(jù)庫中取得用戶帳號(hào)所對應(yīng)的登錄域名�,以及該登錄域所包含的接入服務(wù)器的唯一屬性。
5.根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的控制用戶只能在特定區(qū)域上網(wǎng)的方法���,其特征在于所述接入服務(wù)器的唯一屬性包括接入服務(wù)器的IP地址��。
6.根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的控制用戶只能在特定區(qū)域上網(wǎng)的方法���,其特征在于所述用戶登錄認(rèn)證信息按照遠(yuǎn)程用戶撥號(hào)認(rèn)證服務(wù)協(xié)議的方式發(fā)送至服務(wù)端系統(tǒng)���,所述接入服務(wù)器的唯一屬性包含在遠(yuǎn)程用戶撥號(hào)認(rèn)證服務(wù)數(shù)據(jù)包的屬性域中。
7.一種控制用戶只能在特定區(qū)域上網(wǎng)的系統(tǒng)�,其特征在于�,該系統(tǒng)包括用戶PC、接入服務(wù)器和服務(wù)端系統(tǒng)���,所述用戶PC用于向接入服務(wù)器發(fā)送包含用戶帳號(hào)的登錄認(rèn)證信息�����;所述接入服務(wù)器用于在所述登錄認(rèn)證信息中添加該接入服務(wù)器的唯一屬性����,生成認(rèn)證信息���,并向服務(wù)端系統(tǒng)發(fā)送該認(rèn)證信息��;所述服務(wù)端系統(tǒng)用于從認(rèn)證信息中取出接入服務(wù)器的唯一屬性�,確定對應(yīng)于用戶帳號(hào)登錄域的接入服務(wù)器中包括有從認(rèn)證信息中取出的接入服務(wù)器時(shí),用戶PC通過分區(qū)域登錄認(rèn)證��。
全文摘要
本發(fā)明涉及一種控制用戶只能在特定區(qū)域上網(wǎng)的方法及系統(tǒng)����。本發(fā)明方法包括記錄登錄域中接入服務(wù)器與該登錄域的對應(yīng)關(guān)系,該關(guān)系記錄為接入服務(wù)器的唯一屬性和登錄域的對應(yīng)關(guān)系���,并將用戶帳號(hào)與登錄域綁定�����;用戶將包含用戶帳號(hào)的登錄認(rèn)證信息發(fā)送至接入服務(wù)器�����,接入服務(wù)器在登錄認(rèn)證信息中添加該接入服務(wù)器的唯一屬性����,生成認(rèn)證信息����,然后將認(rèn)證信息發(fā)送給服務(wù)端系統(tǒng)�,服務(wù)端系統(tǒng)從認(rèn)證信息中取出接入服務(wù)器的唯一屬性����,如果服務(wù)端系統(tǒng)確定對應(yīng)于用戶帳號(hào)登錄域的接入服務(wù)器中包括有從認(rèn)證信息中取出的接入服務(wù)器,則用戶的分區(qū)域登錄認(rèn)證通過�。本發(fā)明能夠有效防止在特定區(qū)域內(nèi)無權(quán)限的用戶在該區(qū)域上網(wǎng),加強(qiáng)了網(wǎng)絡(luò)的登錄管理�����,促進(jìn)網(wǎng)絡(luò)安全性��。
文檔編號(hào)H04L12/28GK101056179SQ20071011101
公開日2007年10月17日 申請日期2007年6月13日 優(yōu)先權(quán)日2007年6月13日
發(fā)明者周根華 申請人:中興通訊股份有限公司