專利名稱:服務(wù)登錄的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種服務(wù)登錄(SSO)方法。
對(duì)服務(wù)登錄的需要起因于寬帶IP網(wǎng)絡(luò)互連基礎(chǔ)結(jié)構(gòu)的使用����。寬帶IP網(wǎng)絡(luò)互連基礎(chǔ)結(jié)構(gòu)的例子包括有線電視基礎(chǔ)結(jié)構(gòu)上的或基于結(jié)構(gòu)化布線的智能大廈網(wǎng)絡(luò)上的高速IP網(wǎng)絡(luò)。這兩個(gè)例子都基于OSI模型的第2層中的無(wú)連接傳輸介質(zhì)����,一個(gè)是RF(無(wú)線電頻率)上的,另一個(gè)基于IEEE802.3����。用無(wú)連接的數(shù)據(jù)鏈路控制層��,在網(wǎng)絡(luò)本身(OSI模型第3層或以下)中就沒有一個(gè)用于在用戶開始使用網(wǎng)絡(luò)服務(wù)時(shí)進(jìn)行用戶驗(yàn)證的自然點(diǎn)�����。因此就難于計(jì)算用戶何時(shí)開始使用網(wǎng)絡(luò)和何時(shí)停止使用網(wǎng)絡(luò)����。
本發(fā)明的一個(gè)目的是克服或至少減輕這個(gè)問(wèn)題���。
本發(fā)明涉及一種服務(wù)登錄(SSO)方法��,由寬帶IP網(wǎng)絡(luò)互連基礎(chǔ)結(jié)構(gòu)中的因特網(wǎng)服務(wù)商(ISP)或網(wǎng)絡(luò)所有人用于用戶驗(yàn)證��,以允許接入設(shè)備能使用由該基礎(chǔ)結(jié)構(gòu)開通的網(wǎng)絡(luò)服務(wù)和隨后的接入記錄記載��,所述接入設(shè)備是相對(duì)于DHCP被配置的����,含有支持Java小應(yīng)用程序的軟件�����;該方法包含提供一個(gè)存儲(chǔ)用戶相關(guān)信息的數(shù)據(jù)庫(kù);提供一個(gè)DHCP服務(wù)器�����,用于通過(guò)基礎(chǔ)結(jié)構(gòu)中現(xiàn)有的網(wǎng)絡(luò)互連設(shè)備回答來(lái)自接入設(shè)備的DHCP包����,以建立接入設(shè)備通過(guò)網(wǎng)絡(luò)互連設(shè)備與SSO網(wǎng)絡(luò)服務(wù)器的通信�;提供SSO網(wǎng)絡(luò)服務(wù)器,用于向接入設(shè)備供應(yīng)登錄表單���,以開始用戶驗(yàn)證的登錄前狀態(tài)�����;提供SSO網(wǎng)絡(luò)服務(wù)器���,用于向接入設(shè)備供應(yīng)Java小應(yīng)用程序,以維持一個(gè)代表接入網(wǎng)絡(luò)服務(wù)的會(huì)話和/或自動(dòng)進(jìn)行DHCP IP地址租用的更新�����;提供SSO網(wǎng)絡(luò)服務(wù)器,用于控制向接入設(shè)備分配IP地址����;提供SSO網(wǎng)絡(luò)服務(wù)器,用于按用戶激活網(wǎng)絡(luò)互連設(shè)備上的接入和服務(wù)控制策略���;提供一個(gè)DNS服務(wù)器����,用于通過(guò)網(wǎng)絡(luò)互連設(shè)備回答來(lái)自接入設(shè)備的DNS查詢��,以接入設(shè)備使用網(wǎng)絡(luò)服務(wù)��;以及為記帳目的而監(jiān)視和接收有關(guān)該使用情況的記錄的手段�����。
網(wǎng)絡(luò)互連設(shè)備最好是一個(gè)由ISP或網(wǎng)絡(luò)所有人在接入設(shè)備與因特網(wǎng)或內(nèi)部服務(wù)器系統(tǒng)之間的通信通道中配置的電子設(shè)備或計(jì)算機(jī)系統(tǒng)����,能由SSO網(wǎng)絡(luò)服務(wù)器用IETF標(biāo)準(zhǔn)IP通信協(xié)議進(jìn)行控制,以按用戶激活接入和服務(wù)策略����。網(wǎng)絡(luò)互連設(shè)備最好由路由器來(lái)裝備���。
在此基礎(chǔ)上,路由器最好是與接入設(shè)備連接得最近的邊緣路由器���。
路由器可以是與接入設(shè)備連接得最近的邊緣路由器����。網(wǎng)絡(luò)互連設(shè)備可以是由ISP或網(wǎng)絡(luò)所有人在接入設(shè)備與因特網(wǎng)或內(nèi)部服務(wù)器系統(tǒng)之間的通信通道中配置的任何電子設(shè)備或計(jì)算機(jī)系統(tǒng)�,能由受信任的進(jìn)程-諸如SSO網(wǎng)絡(luò)服務(wù)器-用IETF標(biāo)準(zhǔn)IP通信協(xié)議進(jìn)行控制,以按用戶激活接入和服務(wù)策略��。
現(xiàn)在將結(jié)合各附圖舉例說(shuō)明本發(fā)明的服務(wù)登錄方法���。附圖簡(jiǎn)介
圖1是普通的用戶工作站啟動(dòng);圖2是服務(wù)登錄的階段1�����;圖3是服務(wù)登錄的階段2�;圖4是注銷(Sign Off)階段;圖5是超時(shí)階段����。
服務(wù)登錄方法為解決現(xiàn)行技術(shù)水平的困難而設(shè)計(jì)一種機(jī)制,它使因特網(wǎng)服務(wù)商(ISPs)或網(wǎng)絡(luò)所有人有可能a)控制用戶接入寬帶IP網(wǎng)絡(luò)-即使采用無(wú)連接的傳輸媒體;b)計(jì)算使用延續(xù)時(shí)間和其它與使用有關(guān)的參數(shù)��;c)實(shí)行關(guān)于用戶如何使用網(wǎng)絡(luò)資源的接入和服務(wù)策略����;d)獲得關(guān)于用戶所用接入設(shè)備的信息。
整個(gè)機(jī)制是在基于IETF的開放式標(biāo)準(zhǔn)IP通信協(xié)議上建立的����,能在商業(yè)硬件和軟件上實(shí)現(xiàn)。該機(jī)制中采用的一些開放式協(xié)議包括DHCP����、DNS、HTTP����、SNMP和TELNET。
假設(shè)用戶信息是由一個(gè)單獨(dú)的登記過(guò)程捕獲的���。這個(gè)用戶登記過(guò)程將至少把下列信息捕獲到中央數(shù)據(jù)儲(chǔ)存庫(kù)中a)用戶名和口令b)接入策略�,諸如從特定電纜調(diào)制解調(diào)器或物理端口的有限制的接入c)服務(wù)策略����,諸如所預(yù)訂的服務(wù)的級(jí)別和服務(wù)的類型使用過(guò)程1)用戶需要保證接入設(shè)備是相對(duì)于DHCP配置的���,安裝有支持Java小應(yīng)用程序的軟件,諸如瀏覽器��。
2)用戶將接入設(shè)備插到服務(wù)連接點(diǎn)��,諸如電纜調(diào)制解調(diào)器的以太網(wǎng)端口或與以太網(wǎng)集線器或轉(zhuǎn)換開關(guān)的RJ-45連接器��。
3)用戶啟動(dòng)接入設(shè)備(比如說(shuō)啟動(dòng)PC)����。
4)用戶打開瀏覽器并連接到服務(wù)登錄網(wǎng)址。
5)用戶在登錄之前只能接入登錄服務(wù)(SSO)網(wǎng)絡(luò)服務(wù)器��。所有其它交通都將被路由器堵塞��。
6)用戶被提示輸入用戶名和口令���。
7)用戶被要求等待服務(wù)登錄完成。
8)服務(wù)登錄完成����。
9)用戶開始使用其得到授權(quán)的網(wǎng)絡(luò)服務(wù)。
10)在登錄期間���,一個(gè)Java小應(yīng)用程序應(yīng)當(dāng)保持活動(dòng)����。
SSO機(jī)制采用能在不同計(jì)算機(jī)或同一個(gè)計(jì)算機(jī)中安裝的五種不同的系統(tǒng)部件。這五種部件是1)DHCP服務(wù)器2)用戶信息數(shù)據(jù)儲(chǔ)存庫(kù)3)SSO網(wǎng)絡(luò)服務(wù)器4)DNS服務(wù)器5)帳戶記錄數(shù)據(jù)儲(chǔ)存庫(kù)DHCP服務(wù)器回答來(lái)自登錄前和登錄后狀態(tài)中的接入設(shè)備的DHCP包�����。
用戶信息數(shù)據(jù)儲(chǔ)存庫(kù)含有所有與用戶有關(guān)的信息����,諸如用戶名、口令���、用戶的接入策略和服務(wù)策略�。
SSO網(wǎng)絡(luò)服務(wù)器執(zhí)行小服務(wù)程序(servlet)并向接入設(shè)備提供Java小應(yīng)用程序����。小服務(wù)程序驗(yàn)證用戶身份,檢查用戶權(quán)限���,啟動(dòng)路由器和/或其它網(wǎng)絡(luò)互連設(shè)備中的接入和/或服務(wù)策略��。
DNS服務(wù)器回答來(lái)自登錄前和登錄后狀態(tài)中的接入設(shè)備的DNS查詢�����。
帳戶記錄數(shù)據(jù)儲(chǔ)存庫(kù)由小服務(wù)程序或端口監(jiān)控程序生成的特定用戶會(huì)話的所有與連接有關(guān)的記錄�。
“登錄前”指的是接入設(shè)備還沒有觸發(fā)SSO機(jī)制。
“登錄后”指的是小服務(wù)程序以及完成了查驗(yàn)和策略實(shí)施過(guò)程���。
“會(huì)話”指的是小服務(wù)程序?yàn)閹粲涗洈?shù)據(jù)儲(chǔ)存庫(kù)生成的會(huì)話-開始記錄與會(huì)話-結(jié)束記錄之間的時(shí)期��。
整個(gè)SSO方法中有五個(gè)過(guò)程1)初始的接入設(shè)備激活過(guò)程2)瀏覽器到SSO網(wǎng)絡(luò)服務(wù)器過(guò)程3)小服務(wù)程序登錄查驗(yàn)過(guò)程4)登錄后的接入設(shè)備激活過(guò)程5)退出或超時(shí)過(guò)程初始的接入設(shè)備激活過(guò)程(過(guò)程1)如下1)接入設(shè)備啟動(dòng)并發(fā)出一個(gè)含有接入設(shè)備的一個(gè)MAC地址的DHCP DISCOVER包����。
2)DHCP服務(wù)器檢查其內(nèi)部數(shù)據(jù)庫(kù)�,查驗(yàn)該MAC是否是注冊(cè)的。在登錄前狀態(tài)中���,該MAC地址是沒有向DHCP注冊(cè)過(guò)的����。
3)DHCP服務(wù)器建立一個(gè)DHCP OFFER��,向接入設(shè)備提供一個(gè)臨時(shí)IP地址和DNS服務(wù)器的IP地址����。
4)接入設(shè)備發(fā)出一個(gè)DHCP REQUEST,請(qǐng)求該臨時(shí)IP地址�����。
5)DHCP服務(wù)器再次執(zhí)行步驟2和3并建立一個(gè)DHCP ACK包���。
瀏覽器到SSO網(wǎng)絡(luò)服務(wù)器過(guò)程(過(guò)程2)如下1)用戶啟動(dòng)網(wǎng)絡(luò)瀏覽器并打開SSO網(wǎng)址���。
2)接入設(shè)備試圖通過(guò)向DNS服務(wù)器發(fā)送DNS QUERY包來(lái)解析主機(jī)名。
3)DNS服務(wù)器將主機(jī)名解析成SSO網(wǎng)絡(luò)服務(wù)器的IP地址�����。
4)該HTTP請(qǐng)求去往SSO網(wǎng)絡(luò)服務(wù)器�����。
5)SSO網(wǎng)絡(luò)服務(wù)器向用戶瀏覽器返回一個(gè)登錄表單�����。
小服務(wù)程序登錄查驗(yàn)過(guò)程(過(guò)程3)如下1)用戶輸入用戶名和口令并提交表單2)小服務(wù)程序?qū)φ沼脩粜畔?shù)據(jù)儲(chǔ)存庫(kù)檢查用戶名和口令�����。
3)如果沒錯(cuò),小服務(wù)程序就提取該特定用戶的接入和服務(wù)策略�����。
4)小服務(wù)程序由HTTP元變量(meta-variables)確定接入設(shè)備的IP地址����。
5)小服務(wù)程序在DHCP查找接入設(shè)備的MAC地址。
6)小服務(wù)程序通過(guò)發(fā)出SNMP查詢和/或TELNET來(lái)查驗(yàn)接入策略的一致性�。
7)小服務(wù)程序向DHCP發(fā)出命令,將該接入MAC地址與適當(dāng)?shù)牟呗砸?guī)則集合一起注冊(cè)�����。
8)小服務(wù)程序創(chuàng)建一個(gè)隨機(jī)的會(huì)話標(biāo)識(shí)符并在臨時(shí)數(shù)據(jù)儲(chǔ)存庫(kù)中設(shè)置一項(xiàng)�。
9)小服務(wù)程序?qū)?huì)話標(biāo)識(shí)符以曲奇(cookie)的形式設(shè)置到瀏覽器中。
10)小服務(wù)程序?qū)⒁粋€(gè)租用-更新(lease-renewal)Java小應(yīng)用程序下載到用戶瀏覽器����。
登錄后的接入設(shè)備激活過(guò)程(過(guò)程4)如下1)租用-更新Java小應(yīng)用程序啟動(dòng)一個(gè)DHCP租用釋放和更新。確切的操作與具體平臺(tái)有關(guān)���。
2)接入設(shè)備發(fā)出一個(gè)含有一個(gè)MAC地址的DHCP DISCOVER包�����。
3)DHCP服務(wù)器查找該MAC地址����,應(yīng)當(dāng)發(fā)現(xiàn)該MAC地址是注冊(cè)過(guò)的���。
4)DHCP服務(wù)器按照適當(dāng)?shù)牟呗砸?guī)則集合建立一個(gè)帶有有效IP地址的DHCP OFFER���。
5)接入設(shè)備發(fā)出一個(gè)要求租用所提供IP地址的DHCP REQUEST。
6)DHCP服務(wù)器再次執(zhí)行步驟3和4并建立DHCP ACK包����。
7)Java小應(yīng)用程序向SSO小服務(wù)程序發(fā)出一個(gè)特別會(huì)話-開始HTTP請(qǐng)求。
8)小服務(wù)程序檢索以元變量中的會(huì)話標(biāo)識(shí)符為基礎(chǔ)的會(huì)話記錄�����。
9)小服務(wù)程序在使用SNMP�����、TELNET或其它開放式協(xié)議的路由器或其它網(wǎng)絡(luò)互連設(shè)備上實(shí)施接入和服務(wù)策略��。
10)小服務(wù)程序向用戶瀏覽器發(fā)出服務(wù)登錄完成頁(yè)面。
11)自動(dòng)啟動(dòng)一個(gè)嵌入保持活動(dòng)的Java小應(yīng)用程序的新的瀏覽器窗口��。
12)小服務(wù)程序向本地?cái)?shù)據(jù)儲(chǔ)存庫(kù)寫入一個(gè)會(huì)話-開始記錄�����。
退出或超時(shí)過(guò)程(過(guò)程5)如下1)保持活動(dòng)的Java小應(yīng)用程序周期性地向SSO小服務(wù)程序發(fā)出特別會(huì)話保持活動(dòng)的HTTP請(qǐng)求�����。
2)SSO小服務(wù)程序更新顯示有上一次活動(dòng)時(shí)間戳的會(huì)話記錄3)如果用戶點(diǎn)擊Java小應(yīng)用程序上的LOGOUT(退出)按鈕a.Java小應(yīng)用程序向SSO小服務(wù)程序發(fā)出特別會(huì)話結(jié)束的HTTP請(qǐng)求��。
b.小服務(wù)程序向帳戶記錄數(shù)據(jù)儲(chǔ)存庫(kù)寫入會(huì)話-結(jié)束記錄���。
c.小服務(wù)程序執(zhí)行清理雜務(wù)-包括從本地?cái)?shù)據(jù)儲(chǔ)存庫(kù)刪除該會(huì)話記錄�����,從DHCP服務(wù)器刪除該MAC地址�,以及從路由器和其它網(wǎng)絡(luò)互連設(shè)備刪除任何接入和服務(wù)策略����。
4)如果用戶去激活接入設(shè)備或關(guān)閉Java小應(yīng)用程序a.SSO網(wǎng)絡(luò)服務(wù)器中的后臺(tái)端口監(jiān)控程序周期性地在本地?cái)?shù)據(jù)儲(chǔ)存庫(kù)掃描會(huì)話記錄。
b.對(duì)于已經(jīng)到期的會(huì)話記錄���,端口監(jiān)控程序執(zhí)行清理雜務(wù)-包括向帳戶記錄數(shù)據(jù)儲(chǔ)存庫(kù)寫入會(huì)話-結(jié)束記錄�����,從本地?cái)?shù)據(jù)儲(chǔ)存庫(kù)刪除會(huì)話記錄����,從DHCP服務(wù)器刪除MAC地址�����,以及從路由器和其它網(wǎng)絡(luò)互連設(shè)備刪除任何接入和服務(wù)策略���。
現(xiàn)在結(jié)合各附圖來(lái)具體說(shuō)明該方法��。在圖1中���,用戶工作站被設(shè)置為使用相對(duì)于IP配置的DHCP。在普通的自引導(dǎo)序列中��,用戶工作站提出一個(gè)DHCP請(qǐng)求���。DHCP服務(wù)器作出響應(yīng)����,分配一個(gè)受路由器阻止而不能外出到因特網(wǎng)的臨時(shí)IP地址。
在圖2中�,用戶利用網(wǎng)絡(luò)瀏覽器來(lái)進(jìn)行服務(wù)登錄。瀏覽器將URL設(shè)定到服務(wù)登錄服務(wù)器��,后者觸發(fā)一次DNS查找���。DNS協(xié)議是允許通過(guò)路由器的���。DNS服務(wù)器用內(nèi)部服務(wù)登錄服務(wù)器的IP地址作為回答。網(wǎng)絡(luò)瀏覽器打開與服務(wù)登錄服務(wù)器的HTTP連接�。用戶被要求提供用戶標(biāo)識(shí)和口令。
如果用戶身份驗(yàn)證成功�,就有CGI程序或小服務(wù)程序核查這個(gè)接入是否是根據(jù)預(yù)定規(guī)則或限制授權(quán)的。如果用戶身份驗(yàn)證和權(quán)限查驗(yàn)成功���,將激活一個(gè)CGI程序或小服務(wù)程序?qū)HCP服務(wù)器進(jìn)行配置���,使得下一次從該特定用戶工作站接收到DHCP請(qǐng)求時(shí)將向其分配一個(gè)公共的IP地址。用狀態(tài)更新和執(zhí)行后續(xù)操作的Java小應(yīng)用程序作為回答發(fā)回到瀏覽器��。
在圖3中�,響應(yīng)的HTML頁(yè)中的一個(gè)Java小應(yīng)用程序觸發(fā)一個(gè)DHCP釋放�����。這樣���,DHCP請(qǐng)求被發(fā)送。DHCP服務(wù)器用更新的IP配置響應(yīng)���。響應(yīng)的HTML頁(yè)中的一個(gè)Java小應(yīng)用程序開始周期性地通知服務(wù)登錄服務(wù)器�,使服務(wù)登錄服務(wù)器能保持這個(gè)配置的完好���。當(dāng)Java小應(yīng)用程序第一次請(qǐng)求時(shí),將激活一個(gè)CGI程序或小服務(wù)程序?qū)⑿路峙涞墓睮P地址配置到路由器的接入列表中�,使得能經(jīng)由新IP地址進(jìn)行因特網(wǎng)接入。
在圖4中�����,用戶決定終止其接入后��,點(diǎn)擊網(wǎng)頁(yè)上的“斷開”按鈕���。服務(wù)登錄服務(wù)器撤銷這個(gè)工作站的DHCP配置�����。路由器的接入列表中對(duì)應(yīng)該工作站的項(xiàng)被刪除���。服務(wù)登錄服務(wù)器向工作站發(fā)送完成的HTML消息����。服務(wù)登錄服務(wù)器更新帳戶記錄�����。
在圖5中����,用戶工作站的網(wǎng)絡(luò)瀏覽器中的Java小應(yīng)用程序停止向服務(wù)登錄服務(wù)器通知其存在(例如退出瀏覽器、工作站關(guān)閉等等)�����,服務(wù)登錄服務(wù)器將撤銷這個(gè)工作站的DHCP配置��。路由器的接入列表中對(duì)應(yīng)該工作站的項(xiàng)被刪除���。這樣�,將不允許該工作站再接入因特網(wǎng)。服務(wù)登錄服務(wù)器更新帳戶記錄��。
本發(fā)明的服務(wù)登錄方法中��,如果沒有過(guò)程3之步驟7�����、10和過(guò)程4之步驟1至8中的迫使接入設(shè)備將臨時(shí)IP地址改變成公共IP地址步驟�����,也是相當(dāng)可行的�。這只要通過(guò)在過(guò)程1之步驟3中向接入設(shè)備分配一個(gè)缺省的公共IP地址就能實(shí)現(xiàn)�。如果在過(guò)程3之步驟3至4中判定用戶可以接受繼續(xù)使用該缺省的公共IP地址,則可以省略掉過(guò)程3之步驟7�����、10����,過(guò)程4之步驟1至8,以及從DHCP服務(wù)器刪除MAC地址的清理雜務(wù)����。
所述方法或機(jī)制�����,在公共寬帶IP網(wǎng)絡(luò)業(yè)務(wù)環(huán)境中以及在移動(dòng)辦公室環(huán)境中��,有著特別的應(yīng)用���。當(dāng)前,對(duì)公共寬帶IP網(wǎng)絡(luò)業(yè)務(wù)來(lái)說(shuō)�����,服務(wù)接入技術(shù)主要有三類��。多數(shù)服務(wù)商采用數(shù)字用戶閉路(DSL)���、電纜調(diào)制解調(diào)器或用于以太網(wǎng)的結(jié)構(gòu)化布線來(lái)提供服務(wù)����。DSL主要采用OSI模型的第2層中的面向連接的協(xié)議��。用于電纜調(diào)制解調(diào)器或以太網(wǎng)的結(jié)構(gòu)化布線采用OSI模型的第2層中的無(wú)連接的協(xié)議。當(dāng)前�,DSL服務(wù)商在因特網(wǎng)撥號(hào)接入機(jī)制上建立他們服務(wù)提供方法的模型。用戶將需要先“撥入”到網(wǎng)關(guān)(這是插入在通信通道中的另一個(gè)網(wǎng)絡(luò)互連設(shè)備)進(jìn)行驗(yàn)證和授權(quán)�,然后才能繼續(xù)。該機(jī)制基于的是先在用戶接入設(shè)備與網(wǎng)關(guān)之間建立通道��,然后才能提供網(wǎng)絡(luò)服務(wù)�����。一些公用的封裝協(xié)議包括以太網(wǎng)上的PPP(PPPoE)和第2層通道協(xié)議(L2TP)�����。
推廣通道模型�����,可以為以太網(wǎng)的電纜調(diào)制解調(diào)器和結(jié)構(gòu)化布線解決登錄問(wèn)題�。然而���,通道影響整個(gè)或總體的網(wǎng)絡(luò)通信���,要求專門的復(fù)雜的程序設(shè)計(jì)。所述機(jī)制不模仿因特網(wǎng)撥號(hào)接入機(jī)制�����。相反,本機(jī)制采用公用網(wǎng)址登錄模型�,要求用戶先向特殊的網(wǎng)址一即SSO服務(wù)器登錄,然后才被允許接入網(wǎng)絡(luò)服務(wù)���。
所述機(jī)制因此-比用通道能更靈活地適合服務(wù)更多的用戶��;-對(duì)IP多播(multicast)上傳輸?shù)亩嗝襟w流量更友好�;-能創(chuàng)造產(chǎn)生收入的機(jī)會(huì)�,如從SSO服務(wù)器向用戶推出廣告。
在有些跨國(guó)公司已經(jīng)實(shí)行的所謂“移動(dòng)辦公室”中�,雇員不再有固定辦公場(chǎng)所。雇員上班時(shí)�,需要通過(guò)一個(gè)或多或少像旅館登記手續(xù)一樣的報(bào)到過(guò)程。因此就有可能用不同的物理以太網(wǎng)端口將相同的雇員連接到公司的內(nèi)部網(wǎng)中�����。然后可以用所述的服務(wù)登錄機(jī)制來(lái)先對(duì)用戶驗(yàn)證身份��,授以權(quán)限�,再允許用戶接入公司內(nèi)部網(wǎng)。如果沒有服務(wù)登錄這個(gè)機(jī)制,管理人員就需要在網(wǎng)絡(luò)互連設(shè)備上手工地執(zhí)行一系列任務(wù)�,來(lái)保障內(nèi)部網(wǎng)上有適當(dāng)?shù)陌踩浴?br>
所述的服務(wù)登錄機(jī)制利用的是能在寬帶IP網(wǎng)絡(luò)中創(chuàng)造一個(gè)點(diǎn)來(lái)進(jìn)行驗(yàn)證、授權(quán)����、網(wǎng)絡(luò)接入控制和策略實(shí)施。寬帶IP網(wǎng)絡(luò)的進(jìn)入點(diǎn)由SSO服務(wù)器提供�����。該機(jī)制不需要?jiǎng)?chuàng)建任何新的通信協(xié)議����。該機(jī)制是通過(guò)保證在登錄期間的數(shù)據(jù)流只能以預(yù)定方式發(fā)生而實(shí)現(xiàn)的。
一般來(lái)說(shuō)����,所述機(jī)制是用適當(dāng)?shù)能浖?shí)現(xiàn)的,即通過(guò)網(wǎng)頁(yè)��、CGI腳本和/或Java小服務(wù)程序���、Java小應(yīng)用程序和后端網(wǎng)絡(luò)配置模塊的組合實(shí)現(xiàn)的��。從技術(shù)上來(lái)講,也可能以硬件設(shè)備的形式來(lái)實(shí)現(xiàn)所述SSO服務(wù)器,以提高性能��,需要的話�����,提高可靠性���。
可以將路由器視為一種智能的或程序控制的“交換機(jī)”����。路由器在因特網(wǎng)和類似網(wǎng)絡(luò)通信中是廣為人知�����、廣泛使用的����,用于為數(shù)字傳輸選擇在網(wǎng)絡(luò)邊緣或網(wǎng)絡(luò)中的路線。路由器具有傳輸信息或不傳輸信息的功能-比方說(shuō)一般以有開-關(guān)狀態(tài)的開關(guān)方式工作�����,因此對(duì)有些地址提供接入控制���,對(duì)其它地址則不提供����。已知的路由器也為例如數(shù)據(jù)的輸入速率必須降低的某些應(yīng)用提供帶寬控制,為其中可以賦予有些包更高優(yōu)先級(jí)的某些應(yīng)用提供優(yōu)先級(jí)控制�����,提供諸如延遲某種信息的質(zhì)量控制�����,以及“不掉包”裝置���。
本發(fā)明的一個(gè)特點(diǎn)在于SSO服務(wù)器能利用各種已知路由器的特點(diǎn)來(lái)響應(yīng)網(wǎng)絡(luò)所有人對(duì)逐個(gè)用戶預(yù)定的接入和服務(wù)策略���。例如,可以賦予高級(jí)(VIP)用戶更高的優(yōu)先級(jí)�����?����?筛鶕?jù)SSO服務(wù)器在用戶接入因特網(wǎng)時(shí)自動(dòng)提供的適當(dāng)指令來(lái)提供對(duì)路由器的順序或質(zhì)量控制。這些指令根據(jù)的是用戶標(biāo)識(shí)符或其它已知的用戶數(shù)據(jù)����,或者是初始登錄時(shí)的特殊用戶指令�����。SSO服務(wù)器能以相同的方式�����,自動(dòng)根據(jù)已知的(預(yù)先注冊(cè)的)用戶詳細(xì)情況或指令�����,用內(nèi)容/質(zhì)量或時(shí)間鎖(locks)來(lái)控制對(duì)某些數(shù)據(jù)的使用�,使得要么只傳輸/接收某些數(shù)據(jù)(比如說(shuō)可以將敏感的內(nèi)容完全阻擋起來(lái)),要么只在一天中的某些時(shí)間傳輸���。后一種方式可用于在每天的某些時(shí)間限制對(duì)某些用戶或未成年人的傳輸�����。
權(quán)利要求
1.一種服務(wù)登錄(SSO)方法����,由寬帶IP網(wǎng)絡(luò)互連基礎(chǔ)結(jié)構(gòu)中的因特網(wǎng)服務(wù)商(ISP)或網(wǎng)絡(luò)所有人用于用戶驗(yàn)證,以允許接入設(shè)備能使用由該基礎(chǔ)結(jié)構(gòu)開通的網(wǎng)絡(luò)服務(wù)和隨后的接入記錄記載����,所述接入設(shè)備是相對(duì)于DHCP被配置的,含有支持Java小應(yīng)用程序的軟件�����;該方法包含提供一個(gè)存儲(chǔ)用戶相關(guān)信息的數(shù)據(jù)庫(kù)�����;提供一個(gè)DHCP服務(wù)器�,用于通過(guò)基礎(chǔ)結(jié)構(gòu)中現(xiàn)有的網(wǎng)絡(luò)互連設(shè)備回答來(lái)自接入設(shè)備的DHCP包,以建立通過(guò)網(wǎng)絡(luò)互連設(shè)備的接入設(shè)備與SSO網(wǎng)絡(luò)服務(wù)器之間的通信�;提供SSO網(wǎng)絡(luò)服務(wù)器,用于向接入設(shè)備供應(yīng)登錄表單��,以開始用戶驗(yàn)證的登錄前狀態(tài)���;提供SSO網(wǎng)絡(luò)服務(wù)器�����,用于向接入設(shè)備供應(yīng)Java小應(yīng)用程序�����,以維持一個(gè)代表接入網(wǎng)絡(luò)服務(wù)的會(huì)話和/或自動(dòng)進(jìn)行DHCP IP地址租用的更新����;提供SSO網(wǎng)絡(luò)服務(wù)器���,用于控制向接入設(shè)備分配IP地址����;提供SSO網(wǎng)絡(luò)服務(wù)器���,用于按用戶激活網(wǎng)絡(luò)互連設(shè)備上的接入和服務(wù)控制策略�;提供一個(gè)DNS服務(wù)器����,用于通過(guò)網(wǎng)絡(luò)互連設(shè)備回答來(lái)自接入設(shè)備的DNS查詢,以接入設(shè)備使用網(wǎng)絡(luò)服務(wù)���;以及為記帳目的而監(jiān)視和接收有關(guān)該使用情況的記錄的手段��。
2.權(quán)利要求1所要求的服務(wù)登錄方法中�����,網(wǎng)絡(luò)互連設(shè)備是一個(gè)由ISP或網(wǎng)絡(luò)所有人在接入設(shè)備與因特網(wǎng)或內(nèi)部服務(wù)器系統(tǒng)之間的通信通道中配置的電子設(shè)備或計(jì)算機(jī)系統(tǒng)��,能由SSO網(wǎng)絡(luò)服務(wù)器用IETF標(biāo)準(zhǔn)IP通信協(xié)議進(jìn)行控制����,以按用戶激活接入和服務(wù)策略。
3.權(quán)利要求2所要求的服務(wù)登錄方法中�����,網(wǎng)絡(luò)互連設(shè)備由路由器提供��。
4.權(quán)利要求3所要求的服務(wù)登錄方法中���,路由器是與接入設(shè)備連接得最近的邊際路由器���。
全文摘要
本發(fā)明涉及一種服務(wù)登錄(SSO)方法。該方法包含提供存儲(chǔ)用戶信息的數(shù)據(jù)庫(kù);提供SSO網(wǎng)絡(luò)服務(wù)器,用于向接入設(shè)備供應(yīng)登錄表單,以開始用戶驗(yàn)證的登錄前狀態(tài),向接入設(shè)備供應(yīng)Java小應(yīng)用程序,以維持一個(gè)代表接入網(wǎng)絡(luò)服務(wù)的會(huì)話和/或自動(dòng)進(jìn)行DHCP IP地址租用的更新,控制向接入設(shè)備分配IP地址;提供一個(gè)DNS服務(wù)器,用于通過(guò)網(wǎng)絡(luò)互連設(shè)備回答來(lái)自接入設(shè)備的DNS查詢��。該方法有效地利用現(xiàn)有網(wǎng)絡(luò)設(shè)施來(lái)建立對(duì)特定用戶的接入管理。
文檔編號(hào)H04L29/12GK1310410SQ0012278
公開日2001年8月29日 申請(qǐng)日期2000年8月14日 優(yōu)先權(quán)日2000年2月19日
發(fā)明者鄧伯雄 申請(qǐng)人:智才有限公司