Система и способ управления доступом к сети

Изобретение относится к способам осуществления удаленного доступа к локальной сети устройств.

Из уровня техники известен способ удаленного доступа к локальной сети (патент RU 2760035, МПК H04L 29/06, опубл. 22.11.2021), осуществляют запрос на осуществление доступа к домашнему маршрутизатору на удаленный сервер, через удаленный сервер осуществляют обмен сертификатами безопасности с домашним маршрутизатором после того, как администратор даст разрешение на осуществление доступа к домашнему маршрутизатору, принимают с удаленного сервера информацию о возможности осуществления связи для домашнего маршрутизатора, устанавливают прямую и зашифрованную VPN с домашним маршрутизатором и функционировать в качестве локальной точки доступа с использованием беспроводной радиостанции, причем локальная точка доступа распространяет вычислительную сеть домашнего маршрутизатора через прямую и зашифрованную VPN.

Недостатком данной системы следует считать исключительную возможность обеспечивать удаленный доступ при помощи VPN, при этом описанная сеть - сеть Интернет. При этом описана только одна домашняя сеть, которая не имеет возможности подключения по открытому протоколу различных пользователей, находящихся не на равноудаленных точках от самого сервера, обеспечивающего трафиком пользователей и их устройств.

Известна система (патент RU 2575812, МПК H04L 12/12, опубл. 20.06.2016), содержащая: приемопередатчик; процессорную схему; блок доступа к локальной пакетной сети передачи данных, функционирующий на процессорной схеме, чтобы: планировать передачу с приемопередатчика на узел управления мобильностью (запроса доступа к локальной сети от пользовательского оборудования; вырабатывать запрос идентификации для отправки на абонентское оборудование; и получать данные идентификации, отправленные в ответ на запрос идентификации; и проводной интерфейс для связи системы с локальной сетью.

Недостатком данного изобретения следует считать отсутствие сервера, который может хранить информацию более чем об одном пользователе и его устройствах, также отсутствует агрегатор, который распределяет интернет трафик между зарегистрированными устройствами. При этом регистрация устройств происходит за счет введения пароля в одном из случаев и путем идентификации в виде запроса на подключение, что снижает безопасность подключения и его автономность.

Известен способ и система управления сетью (патент RU 2616169, МПК H04W 40/02, опубл. 12.04.2017), согласно которому осуществляют: определение, разгружать или нет трафик для базовой сети; когда выполняют разгрузку, конфигурирование пути разгрузки для обхода упомянутой базовой сети и соединения со средством коммутации, размещенным между базовой сетью и сетью пакетной передачи данных; коммутацию, посредством средства коммутации, соединения сети пакетной передачи данных из базовой сети в путь разгрузки, когда трафик разгружают; и пересылку пакета, подлежащего разгрузке, между путем разгрузки и сетью пакетной передачи данных через упомянутое средство коммутации, когда трафик для базовой сети разгружают.

Недостаток способа и системы выражается в отсутствие инструментария в виде распределителя трафика, который будет контролировать распределение трафика между устройствами, а также сервера, дающего команды распределителю трафика при изменения условий пользования трафиком.

Технический результат заявляемой группы изобретений направлен на управление доступом к сети, а также на управление доступом к сети Интернет из любой точки мира через мобильное приложение.

Технический результат достигается за счет способа управления доступом к сети, выполняемый системой для доступа к сети, который характеризуется тем, что

- при появлении в сети устройства, выполненного с возможностью выхода в сеть, его данные поступают одновременно в блоки “определение конкретного bs/port” и “определение адреса устройства”, а далее записываются на DHCP-сервер, который сохраняет эти данные в базе данных Memoria;

- одновременно с этим устройство направляет запрос через коммутатор на получение доступа, с которого при помощи программного обеспечения DHCP Discover + 82opt, установленного на DHCP-сервере, устанавливается соединение с сетью при помощи передачи пакетной коммутации посредством DR маршрутизатора, а именно данные попадают на DHCP-сервер, который их записывает в базы данных Memoria и Memcache, после чего отвечает о “регистрации” данного устройства в сети;

- одновременно с этим информация о данных устройства с коммутатора поступает через распределитель трафика AGG направляется на IP-сервер, через который будет отправлен запрос на авторизацию и аутентификацию пользователя на сервер AUTH, после чего запрос отправляется в базу данных информации о пользователе Main DB, а также в базу данных Memcache для получения связки bs/port после чего таким же путем возвращается в DHCP-сервер, где происходит связка mac- и IP-адресов устройств.

- завершив процесс регистрации/авторизации устройства, данные о его трафике с коммутатора направляются в распределитель трафика AGG, который обращается в IP-сервер, который в свою очередь через сервер AUTH обращается в базу данных Main DB, из которой получает информацию о трафике, который необходим конкретному устройству, при этом для осуществления широкополосности трафика используют программное обеспечение ZEROD, установленное на IP-сервере, после чего данные устройства направляются на DR маршрутизатор, а потом на DHCP-сервер, который выдает аренду IP-адреса на ограниченное время.

В частном случае исполнения устройство, подключенное к сети, каждые n-минут будет испрашивать и продлевать аренду IP-адреса.

В другом частном случае исполнения способа, является создание запасного, резервного канала, если IP-сервер выйдет из строя, тогда информация из распределителя трафика AGG будет передаваться напрямую в DR маршрутизатор.

В частном случае исполнения способа с использованием мобильного приложения в разделе включение/выключение интернета пользователь устанавливает тайминг его работы, при этом данные через интерфейс мобильного приложения “запрос на прерывание интернета” записываются на сервер мобильного приложения, после чего данные поступают на IP-сервер и через сервер AUTH поступает в базу данных Main DB, после для чего формируется “задание”, которое поступает на as5-chel-сервер для обработки и перенаправлении ее на IP-сервер, в котором будут отображены изменения в Интернет трафике и его подаче, то есть происходит переавторизация.

При этом новые “правила” пользования Интернета распространяется на все устройства в сети. Таким образом ставится заглушка. Также новая информация будет записана в базу данных memcache.

В частном случае исполнения способа с использованием мобильного приложения при переходе в модуль WIFI в интерфейсе мобильного приложения появляется модальное окно, требующее авторизацию, после которой доступ в интернет пользователю будет разрешен на определенный срок; при этом по завершении этого времени процедуру авторизации необходимо повторить.

Однако, для пользователей мобильного приложения данная функция доступна на более длинный срок от суток, за счет того, что в базе данных имеется уже номер пользователя (его логин), mac-адрес и время регистрации. Таким образом не нужно постоянно продлевать сессию.

Согласно другому аспекту изобретению обеспечивается система управления доступом к сети, содержащая:

- средство коммутации, соединенное посредством двусторонней связи с DR маршрутизатором, а также соединенное с распределителем трафика AGG, при этом последние соединены между собой двусторонней связью;

- DHCP-сервер, соединенный с DR маршрутизатором, а также с базой данных Memoria, которая соединена с Web-интерфейсом и базой данных Memcache, соединенной с As5-chel -сервером, выполненным с возможностью обрабатывать задания, полученные от пользователя из мобильного приложения;

- IP-сервер, через который проходит трафик, обеспечивающий аутентификацию, авторизацию, отправку аккаунтинга пользователя и выставления правил широкополосного доступа, при этом на данном сервере предустановлено программное обеспечение ZEROD, осуществляющее функцию широкополосного удаленного доступа BRAS, IP-сервер соединен односторонней связью с As5-chel -сервером и сервером мобильного приложения, а двусторонней связью с DR маршрутизатором и распределителем трафика AGG;

- также IP-сервер двусторонней связью соединен через AUTH-сервер, обеспечивающий обработку авторизации, аутентификации и аккаунтинга пользователя, с базой данных Main DB, содержащей все данные о пользователе, включая пакет предоставляемых услуг, которая соединена в свою очередь с As5-chel -сервером.

Система, управления доступом к сети может быть реализована, как система, обеспечивающая стабильную связь для партнеров, которым необходимо использовать какую-либо независимую связь для коммуникаций; как система, разрешающая и/или запрещающая подключение к сети Интернет нескольких устройств; как система, разрешающая и/или запрещающая доступ к открытой сети WiFi устройств, находящийся в зоне действия данной сети.

В контексте настоящего описания, если специально не указано иное, под компьютерной системой, электронным устройством, мобильным устройством, устройством, сервером, удаленным сервером и компьютерной системой понимаются любые аппаратные и/или программные средства, подходящие для решения данной задачи. Таким образом, некоторые не имеющие ограничительного характера примеры аппаратных и/или программных средств включают в себя компьютеры (серверы, настольные компьютеры, ноутбуки, нетбуки и т.п.), смартфоны, планшеты и т.д.

В контексте настоящего описания ниже представлены основные определения и термины, применяемые в описании:

- коммутатор - устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного или нескольких сегментов сети;

- DR - District Router (Районный маршрутизатор) - устанавливает соединение между локальной сетью и Интернетом путем передачи информации в сети с пакетной коммутацией и из них.

- AGG - распределитель трафика между VLAN-сетями с последующей фильтрацией по ACL-протоколу. Такие устройства ориентированы на описание политики сети для конечного потребителя. Они же формируют широковещательные потоки Broadcast и Multicast-доменов и рассылок.

- DHCP-сервер представляет собой фоновый процесс, использующий в качестве транспорта UDP-порт 67 и ожидающий запросы от клиентов, которые хотят подключиться к сети. Применение технологии DHCP-сервера дает возможность прописывать на каждом клиенте: IP-адрес, маску сети или подсети - адресацию сети или узла в пределах IP-адреса, шлюз - компонент, который создает соединение между двумя системами, адрес DNS-сервера, который отвечает на запросы о разрешении имен в Интернете, время (NTP) - сервис синхронизации внутреннего времени компьютера. При этом на данном сервере предустановлено программное обеспечение isdhcpd, представляющее собой софт, который выполняет функции DHCP-сервера и предоставляет "особую" обработку opt82, которая упрощает процесс доступа к сети для устройств.

- AUTH -сервер, обеспечивающий обработку авторизации, аутентификации и аккаунтинга клиентов.

- Main DB - база данных, содержащая все данные о пользователе, включая пакет предоставляемых услуг,

- IP-сервер - сервер, через которые проходит трафик, обеспечивающий аутентификацию, авторизацию, отправку аккаунтинга клиентов и выставления правил широкополосного доступа (фильтрация + пропускная способность интернет-канала). При этом на данном сервере предустановлено программное обеспечение ZEROD, осуществляющее функцию BRAS (широкополосный удаленный доступ)

- Memcache - база данных, собирающая данные о пользователе, а именно об устройстве, откуда работает пользователь, а именно, IP-адрес, коммутатор, порт коммутатора, соответствии mac-адреса коммутатора и его имени.

- Memoria - база данных включающая в себя информацию из DHCP-сервера, которая впоследствии формируется в карточке пользователя (сетевая информация).

- Web-интерфейс - страница, в которой интерпретированы данные из Main DB и memoria в виде карточки абонента.

- As5-chel -сервер - сервер обрабатывающий “задания”, полученные от пользователя из мобильного приложения, прошедшие обработку через Main DB, либо напрямую из Main DB.

- Сервер мобильного приложения - сервер, с предустановленным программным обеспечением, осуществляющий работу мобильного приложения, в контексте данной заявки (функции “родительский контроль” (включение/ выключение интернета), а также “Бесплатный WIFI”.

Сущность заявленной группы изобретений поясняется графическими материалами, где на фиг. 1 представлена блок-схема способа управления доступа к сети, на фиг. 2 - частный пример реализации способа, на фиг. 3 - блок-схема системы управления доступом к сети.

Способ управления доступом к сети, выполняемый системой для доступа к сети, осуществляется следующим образом. При появлении в сети устройства, выполненного с возможностью выхода в сеть, это может быть как стационарный компьютер 8.1 (фиг. 3), так и роутер 8, его данные поступают одновременно в блок “определение конкретного bs/port” 2.1 и блок “определение адреса устройства” 2.2, а далее записываются на DHCP-сервер 12, который сохраняет эти данные в базе данных Memoria 14.

Одновременно с этим устройство 8.1 или 8 направляет запрос через коммутатор 9, например коммутатор bs00001, на получение доступа, с которого при помощи программного обеспечения DHCP Discover + 82opt, установленного на DHCP-сервере 12, устанавливается соединение с сетью при помощи передачи пакетной коммутации посредством DR маршрутизатора 11, за счет того, что данные попадают на DHCP-сервер 12, который их записывает в базы данных Memoria 14 и Memcache 13, после чего DHCP-сервер 12 отвечает о регистрации данного устройства в сети.

Оснащение дополнительной опцией 82opt, позволяет получить необходимые данные для разрешения доступа в сеть с исходного устройства за единый шаг, тем самым сокращается время получения запроса и получения ответа с устройства к серверу и обратно для предоставления доступа в сеть.

Одновременно с этим информация о данных устройства 8.1 или 8 с коммутатора 9 поступает через распределитель трафика AGG 10 и направляется на IP-сервер 17, через который отправляется запрос на авторизацию и аутентификацию пользователя на сервер AUTH 18, после чего запрос отправляется в базу данных информации о пользователе Main DB 19, и одновременно с этим в базу данных Memcache 13, через распределитель трафика AGG 10 на IP-сервер 17, затем на DR маршрутизатор 11, далее на DHCP-сервер 12, для получения связки bs/port после чего таким же путем возвращается в DHCP-сервер, где происходит связка mac- и IP-адресов устройств. Это обеспечивает точное обозначения устройства в сети, а также информации по трафику, который необходимо выделить для этого устройства при предоставлении доступа в сеть, например, в сеть Интернет. Причем для каждого устройства может быть свой уникальный пакет трафика. Наличие прямой связи между распределителем трафика AGG 10 и DR маршрутизатора 11 позволяет производить обмен данными между данными блоками напрямую, а не только через связь: распределитель трафика AGG 10 - IP-сервер 17 - DR маршрутизатора 11. Данная опция является резервным каналом при выходе IP-сервер 17 из строя по каким-либо причинам.

Завершив процесс регистрации и авторизации устройства, данные о его трафике с коммутатора 9 bs00001 направляются в распределитель трафика AGG 10, который обращается в IP-сервер 17, который в свою очередь через сервер AUTH 18 обращается в базу данных Main DB 19, из которой получает информацию о трафике, который необходим конкретному устройству (каждому конкретному пользователю), при этом для осуществления широкополосности трафика используют программное обеспечение ZEROD, установленное на IP-сервере 17, после чего данные устройства направляются на DR маршрутизатор 11, а потом на DHCP-сервер 12, который выдает аренду IP - адреса на ограниченное время.

В частном случае исполнения устройство, подключенное к сети, каждые n-минут, например 15 минут, будет испрашивать и продлевать аренду IP-адреса.

В другом частном случае исполнения способа, является создание запасного, резервного канала, если IP-сервер 17 выйдет из строя, тогда информация из распределителя трафика AGG 10 будет передаваться напрямую в DR маршрутизатор 11.

В частном случае исполнения способа (фиг. 2, позиции 7, 7.1, 7.2-7.8)) при использовании мобильного приложения в разделе включение/выключение интернета 22 пользователь устанавливает тайминг его работы, при этом данные через интерфейс мобильного приложения 21 “запрос на прерывание интернета” записываются на сервер мобильного приложения 20, после чего данные поступают на IP-сервер 17 и через сервер AUTH 18 поступает в базу данных Main DB 19, после для чего формируется задание, которое поступает на as5-chel-сервер 15 для обработки и перенаправлении ее на IP-сервер 17, в котором будут отображены изменения в Интернет трафике и его подаче, то есть происходит переавторизация.

При этом новые “правила” пользования Интернета распространяется на все устройства в сети. Таким образом ставится заглушка, представляющая собой “остановку” подачи Интернет трафика, которая будет прекращена после прохождения процесса авторизации. Данная процедура осуществляется в виду того, чтобы понять, реально ли устройство для выхода в Интернет использует его настоящий хозяин. При этом, на незарегистрированное устройство в сети, без связки mac и ip адресов подача Интернет трафика невозможна.Также новая информация будет записана в базу данных memcache 13.

При подключении к сети WIFI 23 (фиг. 2) с использованием мобильного приложения в интерфейсе мобильного приложения 21 появляется модальное окно, требующее авторизацию, после которой доступ в интернет пользователю будет разрешен на определенный срок; при этом по завершении этого времени процедуру авторизации необходимо повторить.

Однако, для пользователей мобильного приложения данная функция доступна на более длинный срок от суток, за счет того, что в базе данных Main DB 19 имеется уже номер пользователя (его логин), mac-адрес и время регистрации. Таким образом не нужно постоянно продлевать сессию.

1. Способ управления доступом к сети, характеризующийся тем, что

при появлении в сети устройства, выполненного с возможностью выхода в сеть, его данные записываются на DHCP - сервер, который сохраняет эти данные в базе данных Memoria;

одновременно с этим устройство направляет запрос через коммутатор на получение доступа, с которого при помощи программного обеспечения DHCP Discover + 82opt, установленного на DHCP-сервере, устанавливается соединение с сетью при помощи передачи пакетной коммутации посредством DR маршрутизатора, а именно данные попадают на DHCP-сервер, который их записывает в базы данных Memoria и Memcache, после чего отвечает о "регистрации" данного устройства в сети; 

одновременно с этим информация о данных устройства с коммутатора поступает через распределитель трафика AGG на IP-сервер, через который будет отправлен запрос на авторизацию и аутентификацию пользователя на сервер AUTH, после чего запрос отправляется в базу данных информации о пользователе Main DB, а также в базу данных Memcache для получения связки bs/port, после чего таким же путем возвращается в DHCP-сервер, где происходит связка mac- и IP-адресов устройств;

завершив процесс регистрации/авторизации устройства, данные о его трафике с коммутатора направляются в распределитель трафика AGG, который обращается в IP-сервер, который, в свою очередь, через сервер AUTH обращается в базу данных Main DB, из которой получает информацию о трафике, который необходим конкретному устройству, при этом для осуществления широкополосности трафика используют программное обеспечение ZEROD, установленное на IP-сервере, после чего данные устройства направляются на DR маршрутизатор, а потом на DHCP-сервер, который выдает аренду IP-адреса на ограниченное время.

2. Способ по п.1, отличающийся тем, что устройство, подключенное к сети, каждые n-минут испрашивает и продлевает аренду IP-адреса.

3. Способ по п.1, отличающийся тем, что осуществляется создание запасного, резервного канала, если IP-сервер выйдет из строя, тогда информация из распределителя трафика AGG передается напрямую в DR маршрутизатор.

4. Способ по п.1, отличающийся тем, что при использовании мобильного приложения в разделе включение/выключение интернета пользователь устанавливает тайминг его работы, при этом данные через интерфейс мобильного приложения "запрос на прерывание интернета" записываются на сервер мобильного приложения, после чего данные поступают на IP-сервер и через сервер AUTH поступает в базу данных Main DB, после для чего формируется "задание", которое поступает на as5-chel-сервер для обработки и перенаправлении ее на IP-сервер, в котором будут отображены изменения в Интернет трафике и его подаче, то есть происходит переавторизация.

5. Способ по п.1, отличающийся тем, что при использовании мобильного приложения при переходе в модуль WIFI в интерфейсе мобильного приложения появляется модальное окно, требующее авторизацию, после которой доступ в интернет пользователю будет разрешен на определенный срок; при этом по завершении этого времени процедуру авторизации необходимо повторить. 

6. Система управления доступом к сети, содержащая: коммутатор, соединенный посредством двусторонней связи с DR маршрутизатором, а также соединенный с распределителем трафика AGG, при этом последние соединены между собой двусторонней связью; DHCP-сервер, соединенный с DR маршрутизатором, а также с базой данных Memcache и базой данных Memoria, которая соединена с Web-интерфейсом, при этом база данных Memcache соединена с As5-chel-сервером, выполненным с возможностью обрабатывать задания, полученные от пользователя из мобильного приложения; IP-сервер, через который проходит трафик, обеспечивающий аутентификацию, авторизацию, отправку аккаунтинга пользователя и выставления правил широкополосного доступа, при этом на данном сервере предустановлено программное обеспечение ZEROD, осуществляющее функцию широкополосного удаленного доступа BRAS, IP-сервер соединен односторонней связью с As5-chel-сервером и сервером мобильного приложения, а двусторонней связью с DR маршрутизатором и распределителем трафика AGG; также IP-сервер двусторонней связью соединен через AUTH-сервер, обеспечивающий обработку авторизации, аутентификации и аккаунтинга пользователя, с базой данных Main DB, содержащей все данные о пользователе, включая пакет предоставляемых услуг, которая соединена, в свою очередь, с As5-chel-сервером.