控制用戶使用代理上網的方法及系統

2006年7月19日，中國網際網路信息中心（CNNIC）在北京發布《第十八次中國網際網路發展狀況統計報告》。報告表明，中國網際網路發展再次提速，在多個方面呈現出蓬勃發展的勢頭，進入了又一個快速發展期。截止到2006年6月30日，中國網民人數達到了12300萬人，與去年同期相比增長了19.4％，其中寬頻上網網民人數為7700萬人，在所有網民中的比例接近2/3。為了承載這么多的用戶正常使用網路，運營商花費了大量的人力、物力，並且寬頻市場競爭激烈，利潤率非常的底，而對於運營商利潤的流失也是影響運營商的發展，而其中主要的原因就是用戶通過一台代理，可以多人使用一個賬號上網，這樣將大大降低運營商的利潤，制約著運營商的進一步發展，所以本方法主要解決運營商控制用戶使用代理上網的方法，可以為運營商帶來更大的利潤，加快運營商的發展。

隨著計算機技術的發展，代理和反代理一直進行著激勵的鬥爭，可以用道高一尺，魔高一丈來形容，不同的代理方式，方法，層次花樣繁多，一般分為，安裝代理伺服器，路由，網路連線共享這幾種代理方式；一直以來反代理都是一個非常棘手的事情，所以運營商需要一整套完整有效的解決方案。

截至2006年12月，接入伺服器在對用戶的數據報文進行處理的時候，在判斷該報文是有合法的IP位址發來後，都對他進行轉發。但是，當一個用戶申請了一個合法的賬號後（即對應一個合法的IP位址，可能通過靜態分配，也可能是動態分配。）如果該用戶在具有合法的IP位址的主機上安裝了代理伺服器，然後為多個沒有申請合法賬號的主機提供代理服務，按照代理伺服器的實現原理，在接入伺服器上是無法區分一個數據包是由合法的IP位址發來的，還是有合法的地址所代理的非授權用戶主機發來的。因為非授權的主機發來的數據包在通過代理伺服器實現代理操作的過程中，他的源IP位址變成了代理伺服器的合法的IP位址，因此通過代理伺服器能得到正常轉發。而由於接入伺服器在性能上要求對用戶數據包進行線速轉發，因此也就決定了它不能對每個數據包進行深入的分析處理，因此導致了多個非授權用戶同時上網時占用的網路頻寬要高於單個用戶時的情況；因此，如果對這種通過安裝代理軟體上網方式不加限制的話，這部分非授權用戶將占用大量網路頻寬，嚴重影響正常用戶的網路性能，並給網路運營商帶來損失。

《控制用戶使用代理上網的方法及系統》提供一種控制用戶使用代理上網的方法及系統。以達到一個賬號只允許一台主機上網的目的。

《控制用戶使用代理上網的方法及系統》控制用戶使用代理上網的方法，包括如下步驟：

步驟A，管理平台為用戶設定代理上網許可權；並將該代理上網許可權傳送給網關；

步驟B，客戶端定時監控用戶上網狀況，發信息給網關；網關根據用戶代理上網許可權判斷當前用戶是否允許使用代理；

步驟C，如果允許，保持網路連線；如果不允許，把當前用戶踢下線，同時傳送下網通知給客戶端；客戶端接到通知後，斷開當前用戶的網路連線。

優選的：在所述的控制用戶使用代理上網的方法中，所述代理上網許可權為用戶是否允許使用代理程式、用戶是否允許使用路由器、用戶是否允許使用網路連線共享。

優選的：在所述的控制用戶使用代理上網的方法中，步驟A具體為：

步驟A-11，管理平台定時將最新的代理程式傳送給網關；

步驟A-12，網關將最新的代理程式添加到代理程式資料庫；

步驟A-13，管理平台將用戶是否允許使用代理程式的許可權傳送給網關；

步驟A-14，網關將用戶是否允許使用代理程式的許可權添加到許可權資料庫。

優選的：在所述的控制用戶使用代理上網的方法中，步驟B具體為：

步驟B-11，客戶端定時採集用戶的進程，然後匯總傳送給網關。

步驟B-12，網關將當前用戶的進程與代理程式資料庫進行比較，判斷用戶是否開啟了代理程式；

步驟B-13，如果啟用代理程式，再到許可權資料庫查找當前用戶是否允許使用所述代理程式。

優選的：在所述的控制用戶使用代理上網的方法中，步驟A-1具體為：

步驟A-111，客戶端定時採集用戶的所有進程，並對進程的名稱，進程檔案的位置及相關的檔案名稱稱，匯總傳送到網關；

A-112，網關把所有的客戶端收集的信息進行再次的收集，去除重複，定時傳送到管理平台；

A-113，管理平台接收到網關的信息後，去除重複信息，從中找出最新的代理程式連同使用許可權轉發給網關。

優選的：在所述的控制用戶使用代理上網的方法中，步驟A-11具體為：管理平台通過INTERNET查找最新的代理程式，將其定時傳送給網關。

優選的：在所述的控制用戶使用代理上網的方法中，步驟A具體為：

步驟A-21，管理平台將用戶是否允許使用路由器的許可權傳送給網關；

步驟A-22，管理平台禁止客戶端使用路由器上網。

優選的：在所述的控制用戶使用代理上網的方法中，步驟B具體為：

步驟B-21，當用戶通過客戶端傳送認證信息到管理平台，管理平台回饋認證授權信息時，如果允許使用路由器，則不修改回放數據包生存時間值；

步驟B-22，如果為禁止當前用戶使用路由器，網關將把所有的回放數據包的生存時間值修改為0，也就是從網關到用戶的所有數據包的生存時間值都要修改為0。

優選的：在所述的控制用戶使用代理上網的方法中，步驟A具體為：

步驟A-31，管理平台為用戶設定用戶是否允許使用網路連線共享的許可權；並將該許可權傳送給網關；

步驟A-32，網關將該許可權添加到許可權資料庫。

優選的：在所述的控制用戶使用代理上網的方法中，步驟B具體為：

步驟B-31，客戶端定時檢查用戶是否開啟了網路連線共享，如果發現馬上傳送信息給網關；

步驟B-32，網關接收到信息後，判斷該用戶是否有許可權使用網路連線共享。

控制用戶使用代理上網的系統，包括：

管理平台，用於為用戶設定代理上網許可權，並將該代理上網許可權傳送給網關；

客戶端，用於定時監控用戶上網狀況，發信息給網關；

網關，根據管理平台為用戶設定代理上網許可權，判斷當前用戶是否允許使用代理；如果允許，保持網路連線；如果不允許，把當前用戶踢下線，同時傳送下網通知給客戶端；客戶端接到通知後，斷開當前用戶的網路連線。

在所述控制用戶使用代理上網的系統中，所述代理上網許可權包括：用戶是否允許使用代理程式的許可權、用戶是否允許使用路由器的許可權和用戶是否允許使用網路連線共享的許可權。

《控制用戶使用代理上網的方法及系統》為使用代理上網的用戶設定許可權，限制用戶使用代理上網。該許可權由管理平台下放給網關，網關決定並實施是否允許用戶訪問INTERNET網路。客戶端會定時收集用戶是否使用代理上網的信息，並將該信息傳送該網關，網關根據管理平台下放的許可權決定是否允許用戶使用代理。如果允許，保持網路連線；如果不允許，把當前用戶踢下線，同時傳送下網通知給客戶端；客戶端接到通知後，斷開當前用戶的網路連線。《控制用戶使用代理上網的方法及系統》避免了大量非授權用戶通過以合法賬號的用戶為代理上網的情況，保障了授權的合法用戶的利益和運營商的利益，維護了正常的網路性能。

《控制用戶使用代理上網的方法及系統》涉及一種控制用戶上網的方法及系統，尤其涉及一種控制用戶使用代理上網的方法及系統。

1.控制用戶使用代理上網的方法，包括如下步驟：

步驟A，管理平台為用戶設定代理上網許可權；並將該代理上網許可權傳送給網關；

步驟B，客戶端定時監控用戶上網狀況，發信息給網關；網關根據用戶代理上網許可權判斷當前用戶是否允許使用代理；

步驟C，如果允許，保持網路連線；如果不允許，把當前用戶踢下線，同時傳送下網通知給客戶端；客戶端接到通知後，斷開當前用戶的網路連線。

2.根據權利要求1所述的控制用戶使用代理上網的方法，其特徵在於：所述代理上網許可權為用戶是否允許使用代理程式、用戶是否允許使用路由器、用戶是否允許使用網路連線共享。

3.根據權利要求2所述的控制用戶使用代理上網的方法，其特徵在於步驟A具體為：

步驟A-11，管理平台定時將最新的代理程式傳送給網關；

步驟A-12，網關將最新的代理程式添加到代理程式資料庫；

步驟A-13，管理平台將用戶是否允許使用代理程式的許可權傳送給網關；

步驟A-14，網關將用戶是否允許使用代理程式的許可權添加到許可權資料庫。

4.根據權利要求3所述的控制用戶使用代理上網的方法，其特徵在於步驟B具體為：

步驟B-11，客戶端定時採集用戶的進程，然後匯總傳送給網關，

步驟B-12，網關將當前用戶的進程與代理程式資料庫進行比較，判斷用戶是否開啟了代理程式；

步驟B-13，如果啟用代理程式，再到許可權資料庫查找當前用戶是否允許使用所述代理程式。

5.根據權利要求3所述的控制用戶使用代理上網的方法，其特徵在於步驟A-11具體為：

步驟A-111，客戶端定時採集用戶的所有進程，並對進程的名稱，進程檔案的位置及相關的檔案名稱稱，匯總傳送到網關；

A-112，網關把所有的客戶端收集的信息進行再次的收集，去除重複信息，定時傳送到管理平台；

A-113，管理平台接收到網關的信息後，去除重複信息，從中找出最新的代理程式連同使用許可權轉發給網關。

6.根據權利要求3所述的控制用戶使用代理上網的方法，其特徵在於步驟A-11具體為：管理平台通過INTERNET查找最新的代理程式，將其定時傳送給網關。

7.根據權利要求2所述的控制用戶使用代理上網的方法，其特徵在於步驟A具體為：

步驟A-21，管理平台將用戶是否允許使用路由器的許可權傳送給網關；

步驟A-22，管理平台禁止客戶端使用路由器上網。

8.根據權利要求7所述的控制用戶使用代理上網的方法，其特徵在於步驟B具體為：

步驟B-21，當用戶通過客戶端傳送認證信息時到管理平台，管理平台回饋認證授權信息時，如果允許使用路由器，則不修改回放數據包生存時間值；

步驟B-22，如果為禁止當前用戶使用路由器，網關將把所有的回放數據包的生存時間值修改為0，也就是從網關到用戶的所有數據包的生存時間值都要修改為0。

9.根據權利要求2所述的控制用戶使用代理上網的方法，其特徵在於步驟A具體為：

步驟A-31，管理平台為用戶設定用戶是否允許使用網路連線共享的許可權；並將該許可權傳送給網關；

步驟A-32，網關將該許可權添加到許可權資料庫。

10.根據權利要求9所述的控制用戶使用代理上網的方法，其特徵在於步驟B具體為：

步驟B-31，客戶端定時檢查用戶是否開啟了網路連線共享，如果發現馬上傳送信息給網關；

步驟B-32，網關接收到信息後，判斷該用戶是否有許可權使用網路連線共享。

11.控制用戶使用代理上網的系統，其特徵在於包括：

管理平台，用於為用戶設定代理上網許可權，並將該代理上網許可權傳送給網關；

客戶端，用於定時監控用戶上網狀況，發信息給網關；

網關，根據管理平台為用戶設定代理上網許可權，判斷當前用戶是否允許使用代理；如果允許，保持網路連線；如果不允許，把當前用戶踢下線，同時傳送下網通知給客戶端；客戶端接到通知後，斷開當前用戶的網路連線。

12.根據權利要求11所述的控制用戶使用代理上網的系統，其特徵在於所述代理上網許可權包括：用戶是否允許使用代理程式的許可權、用戶是否允許使用路由器的許可權和用戶是否允許使用網路連線共享的許可權。

《控制用戶使用代理上網的方法及系統》控制用戶使用代理上網的方法，利用方正寬頻2006年12月前的資源，通過管理平台、網關、客戶端（即控制用戶使用代理上網的系統）三個部分協同合作，完成對用戶的使用代理的控制：

管理平台：記錄了所有用戶的詳細信息、所有代理軟體的信息和為所有用戶設定的代理上網許可權；管理平台為用戶設定的代理上網許可權為：是否允許使用代理軟體，是否允許使用路由器，是否允許使用網路連線共享的信息；

網關：設有代理程式資料庫和許可權資料庫，能夠根據管理平台下放的許可權決定是否允許用戶使用代理上網。

客戶端：用戶端程式，是主要的信息收集工具，並判斷用戶是否開啟了代理上網。

用戶使用代理上網的情況分為三種：使用代理軟體上網，使用路由器上網，使用網路連線共享上網。針對上述三種情況，《控制用戶使用代理上網的方法及系統》控制用戶使用代理上網的方法分別作進一步詳細說明：

一、使用代理軟體上網

用戶上網使用的代理軟體，管理平台事先必須都要有記錄，並且為所有用戶能否使用這些軟體設定許可權，而且第一時間把這些代理軟體、代理上網許可權傳送給網關。當客戶端發現用戶使用代理軟體上網，並把給信息傳送給網關時，網關能夠及時作出判斷：當前用戶是否允許使用代理軟體。

為了有效控制用戶使用最新的代理軟體，管理平台應定時將最新的代理程式、及相應代理上網許可權傳送給網關；

（1）代理軟體的收集

當用戶啟動客戶端時，客戶端會定時採集用戶的所有進程，並對進程的名稱，進程檔案的位置及相關的檔案名稱稱，匯總傳送到網關，網關將把所有的客戶端收集的信息進行再次的收集，去除重複，然後每天定時傳送到管理平台，管理平台通過對網關的信息收集去除重複信息，然後由人為判斷是否為代理程式，將代理程式收集起來，並為每個用戶是否允許使用這些代理程式設定許可權。第一時間把這些代理軟體、代理上網許可權傳送給網關。

為了收集到最新的代理軟體：管理平台可以通過INTERNET查找代理軟體的相關信息，查到後將代理程式收集起來，並為每個用戶是否允許使用這些代理程式設定許可權。第一時間把這些代理軟體、代理上網許可權傳送給網關。

（2）用戶使用代理程式的控制

每天網關都會從管理平台下載、更新本地代理程式資料庫和許可權資料庫，保持網關代理程式資料庫為最新的信息；

客戶啟動客戶端時，客戶端會首先對正在運行的程式進行關鍵信息的採集，然後同用戶名、密碼，IP，MAC等認證信息一同傳送給網關，網關通過對與代理程式資料庫的比對，來判斷用戶是否開啟代理程式，並把判斷結果和用戶的其他信息，如：用戶名、密碼、IP、MAC等信息傳送到管理平台，管理平台最後決定用戶是否可以使用網路，並將用戶的授權信息或錯誤信息返回給網關，同時加代用戶是否允許使用代理的信息，網關收到信息後，針對管理平台返回的授權信息，進行詳細的處理，同時保存用戶是否允許使用代理的信息，然後傳送認證是否成功的信息給客戶端，如果沒有成功，客戶端將退出，用戶就不能訪問網路資源，完成對用戶開啟代理的限制；如果成功，客戶端將保留在用戶的啟動進程中，並啟動網路連線，用戶可以使用網路資源；

當啟動客戶端後，客戶端也會定時的採集用戶機器中的進程信息，檢查用戶是否在啟動客戶端後開啟了代理程式。然後將所有用戶的信息匯總傳送給網關，網關再通過和代理程式資料庫進行對比，判斷用戶是否在啟動客戶端後開啟了代理軟體，如果發現有用戶在啟動客戶端後開啟了代理程式，就再到許可權資料庫查找該用戶是否允許使用代理程式，如果發現為禁止使用代理，網關將傳送下網信息給客戶端，客戶端將關閉網路連線，然後退出，客戶端將關閉；如果允許，將不做任何動作，保持網路連線，用戶上網正常；

二、使用路由器上網

針對這種情況管理平台將用戶是否允許使用路由器的許可權傳送給網關；對於客戶端管理平台禁止其使用路由器上網。

（1）網關控制使用路由器

控制路由器的使用，根據網路傳輸TCP/IP協定，在網際網路中，數據包要經過網關傳輸，為了進行路由選擇，一般在每台主機和網關上都要保存一張路由表，對每個可能的目的網路，路由表給出IP數據包應送往的下一個網關。路由表中每個可能的目的網路包括三項內容：網路名、網路地址、路徑。路徑指名目的網路和主機或網關是直接相連還是間接相連。間接相連必須指明數據報文還應經過的網關和下一個網關的標識。路由表可以是靜態的，也可以是動態的。如果數據包在網間傳輸是動態的進行路由選擇，數據包有可能在網間無休止的循環而不能達到目的地。為了避免這種情況的出現，設計出每個數據包經過一個路由的三層設備時都要把生存時間值減1，當生存時間值為1時將不再對數據包進行轉發的原理，使用該原理來實現對路由器使用的控制；

用戶啟動客戶端時，客戶端將用戶名、密碼，IP，MAC等認證信息通過網關傳送給管理平台，管理平台回饋認證授權信息，同時將用戶是否允許使用路由器的許可權傳送給網關，如果為禁止使用路由器，網關將把所有的回放數據包的生存時間值修改為0，也就是從網關到用戶的所有數據包都要修改生存時間值為0，這樣保證過網關後所有數據包就不能再通過路由器；如果允許使用路由器，則不進行修改生存時間值的操作；

（2）客戶端控制使用路由器

安裝客戶端，通過客戶端上網時，就不能使用路由器，因為想使用路由器的目的就是讓更多的人使用同一個賬號，因為客戶端不能安裝到路由器，如果使用一個用戶撥號的話，不做地址轉換（NAT），那么其他人就不能實現共享上網，如果做地址轉換的話，客戶端是自動獲取本機的IP位址作為源地址，本機的默認路由作為網關IP位址進行通訊的，正因為他的默認路由和網關不是一個地址，所以不能通訊，同時採用的私有協定進行通訊，無法穿透NAT，所以無法上網；

三、網路連線共享控制

網關連線共享是WINDOWS提供的一個功能，當機器安裝了雙網卡時，就可以使用網路連線共享功能並同時生成一個網路接口為橋接；當用戶使用了網路連線共享上網，客戶端可以以下方式進行確認：1、當一台主機有多個網關而且每個網關上都啟動並有IP位址；可以確認該用戶使用了網路共享上網。2、在同一個主機上同一個網卡上有多個地址；可以確認該用戶使用了網路共享上網。3、在同一個主機上是起用了橋接口可以確認該用戶使用了網路連線共享上網。

針對這種情況，管理平台為用戶設定用戶是否允許使用網路連線共享的許可權；並將該許可權傳送給網關。由網關控制是否允許用戶使用網路連線共享上網。

客戶端在啟動時，會對用戶機器的網路配置進行檢查，並同時遍歷系統中可用的網卡樹目，同時進行遍歷系統中的所有IP位址，如果客戶端發現用戶有以上三種情況的任意一種都認為是起用了網路連線共享，在進行認證時，把用戶已啟用網路連線共享的信息傳送到網關，網關再傳送到管理平台進行認證，此時管理平台需要做兩個判斷1、是否允許該用戶使用網路連線共享上網；2、該用戶是否滿足上網條件。如果該用戶沒有開啟網路連線共享或允許該用戶使用網路連線共享，並且該用戶滿足上網條件時，管理平台傳送授權信息，同時把是否允許該用戶使用網路連線共享的許可權傳送到網關，網關收到授權信息後，進行授權，同時將是否允許該用戶使用網路連線共享的許可權保存許可權資料庫。

客戶端啟動後，會隔一段時間進行檢查，用戶是否開啟了網路連線共享，如果發現會馬上傳送給網關，網關接收到信息後，從所述許可權資料庫中查找是否允許該用戶使用網路連線共享，以決定是否將用戶踢下線。如果允許使用，將不做任何操作，如果不允許，將把用戶踢下線，同時傳送下網通知給客戶端；客戶端收到信息後，將斷開網路連線，並退出。

《控制用戶使用代理上網的方法及系統》通過管理平台將是否允許用戶使用代理上網的許可權傳送給網關，網關將該許可權添加到許可權資料庫，當有用戶使用代理上網時，在所述許可權資料庫中查找是否允許該用戶使用代理上網。然後作相應處理。這樣避免了大量非授權用戶通過以合法賬號的用戶為代理上網的情況，保障了授權的合法用戶的利益和運營商的利益，維護了正常的網路性能。

2018年12月20日，《控制用戶使用代理上網的方法及系統》獲得第二十屆中國專利優秀獎。