[发明专利]一种虚拟拨号安全接入的方法和系统

权利要求书

1.一种虚拟拨号安全接入的方法，其特征在于，在接入网络系统中 设置有宽带接入服务器BAS、认证、授权和计费AAA系统、以及安全 接入业务中心，所述安全接入业务中心包括第二层隧道协议L2TP网络 服务器LNS设备和统一威胁管理UTM设备；所述方法包括：

用户终端发送互联网接入的认证请求；

用户的认证请求到达接入网中的BAS后，BAS将该认证请求发往 AAA系统，AAA系统根据用户认证请求中的域名查询保存的域名与接 入方式的对应关系，选择对应的接入方式，如果接入方式是普通宽带接 入方式，认证通过后接入网按照普通宽带接入方式正常处理用户流量； 如果是安全宽带接入方式，认证通过后，AAA系统返回BAS限速和隧 道信息，BAS根据所返回的限速和隧道信息与LNS设备建立L2TP隧 道；LNS设备向AAA系统发送第二次认证请求，AAA系统根据预先 保存的用户认证请求中的账号信息与安全策略的对应关系，返回该安全 策略对应地址池给LNS，由LNS在相应的地址池中为用户分配IP地 址，并返回BAS；UTM设备根据用户IP地址，以及本地保存的用户 的IP地址与安全策略的对应关系，确定用户定制的具体安全策略，对 用户应用相应的安全策略；

接入网将使用安全接入服务的用户流量牵引汇聚到安全接入业务中 心。

2.根据权利要求1所述的方法，其特征在于，如果是普通宽带接入 方式，认证通过后进一步包括：AAA系统直接给用户分配IP地址，并 将此IP地址返回BAS。

3.根据权利要求2所述的方法，其特征在于，所述当配置的UTM 设备数量大于一个时，所述安全接入业务中心还包括负载均衡设备用于 当配置的UTM设备数量大于一个时，对到各个UTM设备的流量进行 均衡调配。

4.根据权利要求2所述的方法，其特征在于，所述第二次认证请求 与所述用户终端发送的互联网接入认证请求内容相同。

5.根据权利要求2所述的方法，其特征在于，所述IP地址与安全 策略的对应关系是IP地址与安全策略的一一对应关系，或者是IP地址 段与安全策略的一一对应关系。

6.根据权利要求1所述的方法，其特征在于，所述认证请求中包含 账号名、密码和域名。

7.根据权利要求1所述的方法，其特征在于，所述用户终端发送互 联网接入的认证请求前，由用户选择接入方式，用户终端在生成认证请 求时填入该接入方式对应的域名。

8.一种实现虚拟拨号安全接入的接入网络系统，其特征在于，该系 统包括：宽带接入服务器BAS、认证、授权和计费AAA系统、以及安 全接入业务中心；所述安全接入业务中心包括：第二层隧道协议L2TP 网络服务器LNS设备和统一威胁管理UTM设备；

BAS，用于接收到用户互联网接入的认证请求后，将该认证请求发 往AAA系统，并且BAS根据AAA系统所返回的限速和隧道信息与 LNS设备建立L2TP隧道；

AAA系统，用于根据用户认证请求中的域名查询保存的域名与接 入方式的对应关系，选择对应的接入方式，如果接入方式是普通宽带接 入方式，认证通过后由接入网络系统接入网按照普通宽带接入方式正常 处理用户流量；如果是安全宽带接入方式，认证通过后，返回BAS限 速和隧道信息；

LNS设备，用于在认证通过并确认为安全宽带接入方式后，向 AAA系统发送第二次认证请求，AAA系统根据预先保存的用户认证请 求中的账号信息与安全策略的对应关系，返回该安全策略对应地址池给 LNS，由LNS在相应的地址池中为用户分配IP地址，并返回BAS，由 BAS返回给用户终端；

UTM设备，用于根据用户IP地址，以及本地保存的用户的IP地 址与安全策略的对应关系，确定用户定制的具体安全策略，对用户应用 相应的安全策略，接入网将使用安全接入服务的用户流量牵引汇聚到安 全接入业务中心。