[发明专利]一种虚拟拨号安全接入的方法和系统

说明书

技术领域

本发明涉及互联网技术领域，特别是指一种基于城域网的流量分流、按需防护的虚拟拨号安全接入方法和系统。 

背景技术

UTM(United Threat Management，统一威胁管理)是由硬件、软件和网络技术组成的具有专门用途的设备，主要提供一项或多项安全功能，它将多种安全特性集成于一个硬件设备里，构成一个标准的统一管理平台。一个典型的UTM产品整合了防火墙、防病毒、IPS、反垃圾邮件等很多常用的安全功能，用户可以选择具备全面功能的UTM设备，也可以根据自己的需要选择某几个方面的功能。UTM产品为用户提供了一种更加灵活也更易于管理的选择。用户可以在一个更加统一的架构上建立自己的安全基础设施，而以往困扰用户的安全产品联动性等问题也能够得到很大的缓解。 

L2TP是一种基于点对点协议PPP的二层隧道协议，它可以允许用户和远程办公者连接到他们公司的内网(Intranet)或外网(Extranet)。在由L2TP构建的VPN中，有两种类型的服务器，一种是L2TP访问集中器LAC(L2TP Access Concentrator)，负责发起L2TP隧道，LAC一般就是一个网络接入服务器，用于为用户提供网络接入服务；另一种是L2TP网络服务器LNS(L2TP Network Server)，对隧道进行终结。 

目前，我国互联网(Internet)已经进入宽带时期，网络用户和网络资源持续增长，同时我国互联网产业已初具规模并快速发展。但是，互联网的开放性和应用系统的复杂性带来的安全风险也随之增多，信息系统安全漏洞是各种安全威胁的主要根源之一，恶意代码成为黑客入侵 用户主机、构建僵尸网络，进而窃取用户重要信息并控制受害计算机发动大规模攻击的重要手段。网络攻击行为日趋复杂，各种方法相互融合后的定向性和专业性攻击使网络安全防御更加困难。此外，大肆泛滥的垃圾邮件与病毒、木马等结合也越来越密切，给正常的互联网使用者带来严重的安全问题。 

目前，我国的宽带用户以虚拟拨号用户为主，但安全技术普遍薄弱，无法采取有效的措施保证网络终端的安全，而国内运营商在提供安全接入方面，主要从以下几个方面进行： 

1、通过在城域网组网设备上配置ACL，实现简单的IP地址和TCP端口限制。 

2、部分接入服务商为其客户提供防火墙代维服务，但是仅仅局限于防火墙功能。 

3、已经开展的部分安全防护业务目前只能提供内容过滤服务。 

因此，目前尚没有提供包括防病毒、防火墙、入侵防护、防垃圾邮件等全面安全防护的安全接入服务。 

发明内容

有鉴于此，本发明针对互联网安全现状和宽带用户的安全需求，提出一种基于城域网的流量分流、按需防护的虚拟拨号安全接入方法和系统，为宽带用户提供全面的网络安全防护服务，保护用户网络和数据安全。 

基于上述目的本发明提供的虚拟拨号安全接入的方法，在接入网络系统中设置有宽带接入服务器BAS、认证、授权和计费AAA系统、以及安全接入业务中心，并包括： 

用户终端发送互联网接入的认证请求； 

用户的认证请求到达接入网中的BAS后，BAS将该认证请求发往AAA系统，AAA系统根据用户认证请求中的域名查询保存的域名与接入方式的对应关系，选择对应的接入方式，如果接入方式是普通宽带接入方式，认证通过后接入网按照普通宽带接入方式正常处理用户流量；如果是安全宽带接入方式，认证通过后，接入网将使用安全接入服务的用户流量牵引汇聚到安全接入业务中心。

可选的，该方法中如果是普通宽带接入方式，认证通过后进一步包括：AAA系统直接给用户分配IP地址，并将此IP地址返回BAS。 

可选的，该方法所述安全接入业务中心包括第二层隧道协议L2TP网络服务器LNS设备和统一威胁管理UTM设备； 

如果是安全宽带接入方式，认证通过后进一步包括：AAA系统返回BAS限速和隧道信息，BAS根据所返回的限速和隧道信息与LNS设备建立L2TP隧道； 

LNS设备向AAA系统发送第二次认证请求，AAA系统根据预先保存的用户认证请求中的账号信息与安全策略的对应关系，返回该安全策略对应地址池给LNS，由LNS在相应的地址池中为用户分配IP地址，并返回BAS； 

UTM设备根据用户IP地址，以及本地保存的用户的IP地址与安全策略的对应关系，确定用户定制的具体安全策略，对用户应用相应的安全策略。