目前很多互联网用户是从接入商申请一个接入帐号，让内部局域网上的 多台计算机共享上网。局域网多机共享上网通常都是利用网络地址转换NAT (Network Address Translation)方式进行：即从接入商处只得到一个合法的互 联网协议IP(Internet Protocol)地址，而局域网上各台计算机则使用内部的私 网IP地址。将局域网内各计算机的私网IP地址经过网络地址转换，变成局域 网出口端的NAT设备或计算机的合法IP地址，并且局域网上所有的计算机对 互联网Intemet的访问都通过局域网出口端的NAT设备或计算机完成，这样 局域网内各计算机发送的数据报文在IP层以下(包括IP层)看起来都是由同 一台得到合法IP地址的主机发出的。
接入商出于各种原因考虑，限制多机共享上网，设置了用户多机监测和 限制系统，如网络尖兵Netsniper系统。当用户多机监测和限制系统中的监测 设备检测到用户使用了多台计算机共享一个接入帐号上网时候，就会向该系 统中的网管设备发送消息，由网管设备自动切断此帐号的访问互联网权限。 具体为，监测设备监听用户出口端发出的所有数据报文IP层以上的内容，从 中解析出发送端计算机的IP地址或主机名信息。如果解析出数据报文中含有 的源IP地址或主机名多于1，则可以判定用户使用了多台计算机上网。此时 监测设备向网管设备发送报告消息，网管设备自动切断此帐号的访问互联网 权限，不允许该帐号用户上网。
但是，目前很多用户都有多机共享上网的需求，单纯采用上述方法限制 用户进行多机共享上网，相当于忽略了用户这方面的需求，而且用户可能会 采用各种方法突破接入商的限制，如果接入商能够将此类用户与仅有一台计 算机上网的用户加以区分并提供差异化的服务，将可以实现业务增值。

本发明实施例解决的技术问题是提供细分用户上网类型的方法及网络系 统，能够区分用户上网的类型，为用户提供差异化服务。
为解决上述技术问题，本发明是通过以下技术方案实现的：
根据本发明的一方面，提供一种细分用户上网类型的方法，包括：部署 监测设备检测用户出口端传输的数据报文，在判定用户出口端为多机共享上 网时由网管设备禁止该用户出口端访问互联网资源；对申请多机共享上网业 务的用户，提供由服务器与用户出口端建立的加密隧道传输加密的数据报文， 服务器和用户出口端对各自接收的数据报文相应解密，并由服务器完成对网 络资源的访问。
所述加密及解密包括采用公钥算法或密钥算法。
所述用户出口端与服务器配置相同的隧道协议后建立起加密隧道。
所述隧道协议包括安全外壳SSH协议或安全互联网隧道模式IPSec协议。
所述用户出口端与服务器间配置安全外壳SSH协议时，用户出口端通过 安全外壳SSH协议的客户端程序配置代理服务端口。
所述用户出口端为计算机或专用出口网络设备。
根据本发明的另一方面，提供一种细分用户上网类型的网络系统：包括 监测设备、网管设备、用户出口端和服务器；监测设备，用于检测用户出口 端传输的数据报文，在判定用户出口端为多机共享上网时，上报消息给网管 设备；网管设备，用于接收所述上报消息后禁止该用户出口端访问互联网资 源；用户出口端，用于在申请多机共享上网业务后对数据报文进行加密，与 服务器建立加密隧道传输加密的数据报文，接收服务器传输的加密的数据报 文并相应解密；服务器，用于对数据报文进行加密，与申请多机共享上网业 务后的用户出口端建立加密隧道传输加密的数据报文，接收用户出口端传输 的加密的数据报文并相应解密，完成对网络资源的访问。
所述用户出口端包括第一加密单元、配置单元、第一传输单元和第一解 密单元，第一加密单元，用于采用公钥算法或密钥算法对将发送的数据报文 进行加密；配置单元，用于配置与服务器相同的隧道协议，建立起与服务器 间的加密隧道；第一传输单元，用于将所述由第一加密单元加密的数据报文 经所述加密隧道发送给服务器，并接收服务器发送的加密的数据报文；第一 解密单元，用于根据服务器所采用的加密算法对接收的加密的数据报文进行 解密。
所述服务器包括第二传输单元、第二解密单元、第二加密单元和访问单 元，第二传输单元，用于接收由用户出口端发送的加密的数据报文，并向用 户出口端发送由第二加密单元加密的数据报文；第二解密单元，用于根据用 户出口端所采用的加密算法对接收的加密的数据报文进行解密；第二加密单 元，用于采用公钥算法或密钥算法对将发送给用户出口端的数据报文进行加 密；访问单元，用于根据解密后的数据报文访问互联网资源。
所述用户出口端为计算机或专用出口网络设备。
从以上本发明实施例的技术方案可以看出：
本发明实施例通过部署监测设备检测用户出口端传输的数据报文，在判 定用户出口端为多机共享上网时由网管设备禁止该用户出口端访问互联网资 源，这样可以实现对非法多机共享上网用户的限制；而对申请多机共享上网 业务的用户，则提供由服务器与用户出口端建立的加密隧道传输加密的数据 报文，服务器和用户出口端对各自接收的数据报文相应解密，由服务器完成 对网络资源的访问，从而不受部署的监测设备和网管设备的影响。通过本发 明实施例提供的技术方案，接入商能够细分用户上网类型，区分了用户非法 共享上网和合法共享上网的情况，并为不同用户提供差异化服务，从而实现 业务增值。
附图说明
图1为本发明实施例细分用户上网类型方法流程图；
图2为本发明实施例细分用户上网类型方法中提供加密服务流程图；
图3为本发明实施例细分用户上网类型方法中提供加密服务实施例一流 程图；
图4为本发明实施例细分用户上网类型方法中提供加密服务实施例二流 程图；
图5为本发明实施例细分用户上网类型的网络系统结构示意图。

本发明实施例提供了细分用户上网类型的方法，能够区分用户上网的类 型，为用户提供差异化服务。
接入商在部署了用户多机监测和限制系统之后，可以为申请了多机共享 上网业务的用户又部署一个能够突破多机共享上网限制的系统，若用户有多 台计算机需要共享一个接入帐号上网，并付费申请开通多机共享上网的服务， 则为该用户提供安全加密隧道，保证他们可以正常上网，不受原来部署的用 户多机监测和限制系统的影响。至于用户最多可以同时使用多少台计算机共 享上网，则可以由接入商和用户签订服务协议进行约定。这样，仅有一台计 算机的普通用户和申请多机共享上网的服务的多机用户，都不受用户多机监 测和限制系统的影响，均能实现正常上网，而没有申请多机共享上网服务的 多机用户，则被部署的用户多机监测和限制系统检测出来，并被限制从而无 法上网。
本发明实施例为申请共享上网的用户提供安全加密隧道，是利用了虚拟 专用网络VPN(Virtual Private Networks)技术。VPN技术利用“加密”技术 和“隧道”技术来确保传输数据的安全性。隧道技术是一种通过使用互联网 络的基础设施在网络之间传递数据报文的方式。所谓隧道，是指被封装的数 据报文在公共互联网络上传递时所经过的逻辑路径。使用隧道传递的数据报 文可以是不同协议的数据帧或包。隧道两端的设备需配置相同的隧道协议。
本发明实施例方法在用户出口端和Internet上某处之间建立一个加密隧 道，在这一段路径上，所有的流量都被安全加密。用户出口端可以是局域网 的出口计算机或专用出口网络设备，例如交换机或路由器等。这里的某处是 接入商提供的加密服务器。接入商原来部署的用户多机监测和限制系统位于 这段路径上，当用户出口端与加密服务器的加密隧道建立后，用户多机监测 和限制系统所能检测到的是一堆经过加密的“乱码”，从而无法从上层应用协 议数据报文中得到能解析出用户是否进行多机共享上网的信息。
请参阅图1，是细分用户上网类型方法流程图，具体包括步骤：
A1、部署用户多机监测和限制系统限制用户出口端共享上网；
具体为，用户多机监测和限制系统中的监测设备监听用户出口端传输的 所有数据报文IP层以上的内容，从中解析出发送端计算机的IP地址或主机名 信息。如果解析出数据报文中含有的源IP地址或主机名多于1，则可以判定 用户使用了多台计算机上网。此时监测设备向用户多机监测和限制系统中的 网管设备发送报告消息，网管设备自动切断此帐号的访问互联网权限，不允 许该帐号用户上网。
A2、为申请共享上网业务的用户提供加密服务，实现共享上网。
对于申请了多机共享上网业务的用户，接入商为其提供加密服务，使此 类用户可以正常上网，不受原来部署的用户多机监测和限制系统的影响。
具体步骤同图2所述，包括步骤：
A21、对用户出口端和隧道服务器间传输的数据报文进行加密；
用户向接入商购买加密服务后，用户的用户出口端配置相应的VPN设置， 与接入商提供的加密服务器即隧道服务器建立加密隧道，并对由用户出口端 发出的数据报文进行加密，而隧道服务器也将对发送给用户出口端的数据报 文进行加密。在建立加密隧道时，用户出口端与接入商提供的隧道服务器两 端配置相同的隧道协议，具体可以采用各种不同的隧道协议，本发明并不加 以限定。例如可以利用SSH协议、IPSec协议或SSL协议等其他隧道协议建 立加密隧道。
对数据进行加密时可以选择各种加密算法，本发明并不加以限定。例如 可采用公钥算法或密钥算法。公钥算法例如RSA算法 (Rivest-Shamir-Adleman)、数字签名专用算法DSA(Digital Signature Algorithm)等；密钥算法例如数据加密标准算法DES(Data Encryption Standard)、分组密码算法RC5、国际数据加密算法IDEA(International Data Encryption Algorithm)和Blowfish算法等。
A22、将加密的数据报文通过用户出口端与隧道服务器间建立的加密隧道 传输；
用户出口端将加密后的数据报文通过加密隧道发送给隧道服务器，而隧 道服务器发送给用户出口端的加密后的数据报文也是通过加密隧道传输。
A23、由隧道服务器接收用户出口端加密的数据报文并解密后访问互联网 资源。
局域网内的各计算机的数据报文都在用户出口端加密后经加密隧道传输 到隧道服务器，最终由隧道服务器根据用户出口端所采用的加密算法对应进 行解密后完成对网络资源的访问。另外，用户出口端接收隧道服务器发送的 加密的数据报文后也相应根据隧道服务器所采用的加密算法进行解密。一般 来说，用户出口端和隧道服务器所采用的加密和解密的算法都是一样的。
因为用户出口端和隧道服务器间所有传输的数据报文都被加密，接入商 自身部署的用户多机监测和限制系统所能检测到的是一堆经过加密的“乱 码”，无法解析数据报文内容，分析不出用户使用了多台计算机上网。也就是 说，用户付费申请开通了多机共享上网业务，接入商另外为该用户提供安全 加密隧道，保证他们可以正常上网，不受原来部署的用户多机监测和限制系 统的影响。对接入商而言，同时采用和部署两种“互斥”的技术，细分了上 网用户类型，为仅有一台计算机上网和有多台计算机共享上网的不同用户提 供差异化的服务，实现了业务增值。
本发明为申请多机共享上网业务的用户提供加密服务可以有不同实现方 式，以下介绍各具体实施例。
先介绍实施例一，利用安全外壳SSH(Secure Shell)协议建立加密隧道， 实现共享上网。安全外壳SSH协议，是互联网工程任务组IETF(Internet Engineering Task Force)的网络工作组(Network Working Group)所制定的一 族协议，其目的是要在非安全网络上提供安全的远程登录和其他安全网络服 务。SSH协议支持身份认证和数据加密，对所有传输的数据进行加密处理。 SSH协议的实现方式有很多，比如公开源码的OpenSSH软件、商业的Tectia、 SecureCRT等软件。它们的配置和使用方法都比较简单，并且支持压缩功能， 使得实际的传输效率并不因为SSH协议的开销而下降。
请参阅图3，是提供加密服务实施例一的流程图，具体包括步骤：
B1、对用户出口端和SSH服务器间传输的数据报文进行加密；
在用户出口端上运行SSH协议的客户端程序，接入商在互联网上设置一 个SSH服务器。用户出口端与SSH服务器利用SSH协议建立加密隧道，并 对用户出口端和SSH服务器间传输的数据报文进行加密。
要建立隧道，首先SSH服务器运行SSH协议的服务程序，例如OpenSSH 的sshd程序；而客户方即用户出口端以“动态端口转发”模式运行SSH协议 的客户端程序。以OpenSSH的SSH应用为例，它的命令行及参数为：ssh-D 1080 server_name；其中server_name为SSH服务器的主机名或IP地址。这条 命令将打开用户出口端的1080端口，作为socks代理服务端口。对局域网内 的各计算机而言，使用的就是这个应用层的socks代理。上层应用程序只要支 持Socks代理都不受任何影响，例如常用的IE浏览器器/FireFox浏览器器/Netscape 浏览器，聊天工具MSN/QQ，邮箱软件Outlook Express/Foxmail等都能正常 运行。
对数据报文进行加密时可以选择各种加密算法，本发明并不加以限定。 例如可采用公钥算法或密钥算法。
B2、将加密的数据报文通过用户出口端与SSH服务器间建立的加密隧道 传输；
用户出口端将加密后的数据报文通过加密隧道发送给SSH服务器，而 SSH服务器发送给用户出口端的加密后的数据报文也是通过加密隧道传输。
B3、由SSH服务器接收用户出口端加密的数据报文并解密后访问互联网 资源。
局域网内的各计算机的数据报文都在用户出口端加密后经加密隧道传输 到SSH服务器，最终由SSH服务器根据用户出口端所采用的加密算法对应进 行解密后完成对网络资源的访问。另外，用户出口端接收SSH服务器发送的 加密的数据报文后也相应根据SSH服务器所采用的加密算法进行解密。
因为用户出口端与SSH服务器传输的所有的数据报文都被加密，接入商 的用户多机监测和限制系统所能检测到的是一堆经过加密的“乱码”，无法解 析数据报文内容，分析不出用户使用了多台计算机上网。
接着介绍实施例二，利用安全互联网隧道模式IPSec协议建立加密隧道， 实现共享上网。IPSec协议属于第3层隧道协议，支持IP网络上数据的安全 传输。IPSec协议支持对数据加密，同时确保数据的完整性。一个IPSec隧道 由一个隧道客户端和隧道服务器组成，两端都配置使用IPSec协议，采用协商 加密机制。
请参阅图4，是提供加密服务实施例二流程图，具体包括步骤：
C1、对由用户出口端和IPSec服务器间传输的数据报文进行加密；
接入商在互联网上设置一个IPSec服务器。用户出口端与IPSec服务器两 端都配置IPSec协议，利用IPSec协议建立加密隧道，并对由用户出口端和 IPSec服务器间传输的数据报文进行加密。
对数据报文进行加密时可以选择各种加密算法，本发明并不加以限定。 例如可采用公钥算法或密钥算法。
C2、将加密的数据报文通过用户出口端与IPSec服务器间建立的加密隧 道传输；
用户出口端将加密后的数据报文通过加密隧道发送给IPSec服务器，而 IPSec服务器发送给用户出口端的加密后的数据报文也是通过加密隧道传输。
C3、由IPSec服务器接收用户出口端加密的数据报文并解密后访问互联 网资源。
局域网内的各计算机的数据报文都在用户出口端加密后经加密隧道传输 到IPSec服务器，最终由IPSec服务器根据用户出口端所采用的加密算法对应 进行解密后完成对网络资源的访问。另外，用户出口端接收IPSec服务器发送 的加密的数据报文后也相应根据IPSec服务器所采用的加密算法进行解密。
因为用户出口端和IPSec服务器间传输的所有的数据报文都被加密，接入 商的用户多机监测和限制系统所能检测到的是一堆经过加密的“乱码”，无法 解析数据报文内容，分析不出用户使用了多台计算机上网。
需要说明的是，上述内容介绍了为申请了多机共享上网业务的用户建立 加密隧道，利用加密隧道在用户出口端和隧道服务器间传输加密的数据报文， 由隧道服务器最终完成对网络资源的访问，从而实现共享上网进行的两种具 体实现方式，但并不局限于此，还可以利用安全套接层协议层SSL(Secure Sockets Layer)协议等其他隧道协议建立加密隧道，实现共享上网，其原理是 一样的。
上述内容详细介绍了本发明细分用户上网类型的具体实施方法，相应的， 本发明实施例还提供一种细分用户上网类型的网络系统，能够区分用户上网 类型。
请参阅图5，是本发明实施例细分用户上网类型的网络系统结构示意图。
如图5所示，本发明实施例的网络系统包括用户出口端10、服务器20和 用户多机监测和限制系统30。
用户出口端10，用于在申请多机共享上网业务后对数据报文进行加密， 与服务器20建立加密隧道传输加密的数据报文，接收服务器20传输的加密 的数据报文并相应解密。服务器20，用于对数据报文进行加密，与申请多机 共享上网业务后的用户出口端10建立加密隧道传输加密的数据报文，接收用 户出口端10传输的加密的数据报文并相应解密，完成对网络资源的访问。
用户出口端10为计算机或专用出口网络设备，例如交换机和路由器等。 用户出口端10包括第一加密单元101、配置单元102、第一传输单元103和 第一解密单元104。第一加密单元101，用于采用公钥算法或密钥算法对将发 送的数据报文进行加密；配置单元102，用于配置与服务器20相同的隧道协 议，建立起与服务器20间的加密隧道，具体可以采用各种不同的隧道协议， 本发明并不加以限定，例如可以利用SSH协议、IPSec协议或SSL协议等其 他隧道协议建立加密隧道；第一传输单元103，用于将所述由第一加密单元 101加密的数据报文经所述加密隧道发送给服务器20，并接收服务器20发送 的加密的数据报文；第一解密单元104，用于根据服务器20所采用的加密算 法对接收的加密的数据报文进行解密。
服务器20由接入商提供，包括第二传输单元201、第二解密单元202、 第二加密单元203和访问单元204。第二传输单元201，用于接收由用户出口 端10发送的加密的数据报文，并向用户出口端10发送由第二加密单元203 加密的数据报文；第二解密单元202，用于根据用户出口端10所采用的加密 算法对接收的加密的数据报文进行解密；第二加密单元203，用于采用公钥算 法或密钥算法对将发送给用户出口端10的数据报文进行加密；访问单元204， 用于根据解密后的数据报文访问互联网资源。
用户多机监测和限制系统30，包括监测设备301和网管设备302。监测 设备301，用于检测用户出口端10发出的数据报文，并判定用户出口端10为 多机共享上网时，上报消息给网管设备302；网管设备302，用于接收所述上 报消息后禁止该用户出口端10访问互联网资源。监测设备301具体是监听用 户出口端10传输的所有数据报文IP层以上的内容，从中解析出发送端计算机 的IP地址或主机名信息。如果解析出数据报文中含有的源IP地址或主机名多 于1，则可以判定用户使用了多台计算机上网。
用户多机监测和限制系统30是由接入商部署的，用于限制用户只申请一 个上网接入帐号而实现多机共享上网。若用户有多台计算机需要共享一个接 入帐号上网，并付费申请开通多机共享上网业务，接入商可以为该用户提供 由服务器20与用户出口端10建立的加密隧道来传输加密的数据报文，由服 务器20最终完成对网络资源的访问。
因为服务器20与用户出口端10间传输的所有的数据报文都被加密，接 入商自身部署的用户多机监测和限制系统30所能检测到的是一堆经过加密的 “乱码”，无法解析数据报文内容，分析不出用户使用了多台计算机上网，从 而不受原来部署的用户多机监测和限制系统30的影响。若用户没有申请多机 共享上网业务，则被部署的用户多机监测和限制系统30检测出来，并被限制 从而无法上网。
对接入商而言，同时采用和部署两种“互斥”的系统，细分了上网用户 类型，为仅有一台计算机上网和有多台计算机共享上网的不同用户提供差异 化的服务，实现了业务增值。
以上对本发明所提供的细分用户上网类型的方法及网络系统进行了详细 介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上 实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本 领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均 会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。