专利名称:管理网络用户的网络接入的制作方法
技术领域:
本发明总地涉及通信系统,并且更具体地,涉及一种使用共享的配置 信息来管理网络用户的网络接入的方法和系统。
背景技术:
专用网系统一般包括被连接的多个网络设备(例如交换机和路由 器),以允许这些设备和诸如台式机器、服务器、主机、打印机、传真机 等之类的端站点设备之间的通信。为了接收发起于专用网外部的通信,这 些设备可以被分别配置,以使得防火墙或者其它接入点包括外部产生的业务被允许通过的针孔(pinholes)。当前通信平台(例如会话发起协议 (SIP))不允许这样的配置自动地或者有组织地在网络用户之间被共 享。这个缺陷对希望执行成功、高效且安全的通信会话的任何员工、雇 主、个人或者端点设置了一种障碍。发明内容本发明提供了一种方法和系统,使用共享的在线状态(presence)信 息来管理外部产生的通信的网络接入,其在很大程度上消除或者减少了与 以前的方法和系统相关联的至少 一 些缺点和问题。根据本发明的具体实施例, 一种使用共享的配置信息来管理外部产生 的通信的网络接入的方法包括维护针对专用网的第一端用户的关联信息, 以及维护针对与第一端用户相关联的第一端点的配置信息。当在专用网的 接入点处接收到要被传向与第二端用户相关联的第二端点的外部产生的通 信时,关联信息被用来确定第一端用户和第二端用户之间的关联性。第一 端用户的配置信息被用来配置接入点以允许要被传送到第二端点的通信。根据本发明的另一实施例, 一种使用共享的配置信息来管理外部产生
的通信的网络接入的方法包括维护针对专用网的第一端用户的关联信息, 以及维护针对与第一端用户相关联的第一端点的配置信息。当在专用网的 接入点处接收到要被传向与第二端用户相关联的第二端点的外部产生的通 信时,关联信息被用来确定第一端用户和第二端用户之间的关联性,并且 将第一端用户标识为不可靠的。然后,接入点被配置来拒绝要被传送到第 二端点的通信。本发明的某些实施例可以提供多个技术优点。例如,根据本发明的一 个实施例,提供了一种结构和一种处理过程,实现对多个网络端点及其相 关联的用户的接入点配置的集中化存储和管理。在具体实施例中,该配置 信息可以包括针对网络端用户的防火墙针孔定义。另一技术优点是端点和 端用户之间的网络接入配置的共享。具体地,在线状态或者关联策略可以 被用于确定是否将一个网络端用户所采取的针孔配置应用于其他网络端用 户。在策略允许的情况下,被认为可以被一个网络端用户接受的通信可以 被自动地授权接入专用网,即使在那些通信是去往其他网络端用户的情况 下也是如此。根据以下的附图、说明书和权利要求,本领域技术人员将很容易明白 其它技术优点。而且,虽然以上列举了特定的优点,但是不同的实施例可 以包括所列举的优点中的全部或一些优点或者不包括这些优点。
为了更全面的理解本发明及其优点,现在结合附图对下面的描述进行 参考,其中图1示出了根据本发明的具体实施例的一种网络系统,该网络系统使 用共享的配置信息来管理外部产生的通信的网络接入。图2更详细地示出图1的关联信息存储设备,其中示出了本发明的各 个方面;以及图3示出了根据本发明实施例的示例方法,该方法使用共享的配置信 息来管理外部产生的通信的网络接入。
具体实施方式
图l示出了根据本发明的具体实施例的一种网络系统30,该网络系统 使用共享的配置信息来自动配置网络接入点。网络系统30包括多个能够利用专用网36彼此通信并且与其他网络设备通信的网络端点32a-32c。 一 个或多个远程端点34a-34b可以利用专用网36和公众网38的组合与网络 端点32a-32c以及其他网络设备通信。来自远程端点34a-34b的通信和其 它数据通过接入点40 (例如防火墙)进入专用网36。为了使得网络端点 32能够接收这样的通信和数据,接入点40应用由相关联的端用户为网络 端点32建立的接入配置和设置。在具体实施例中,该接入配置和设置可以在接入点40中定义专门针 对于特定网络端点32的一个或多个针孔。这些针孔可以定义如下标准 如果输入通信或其它数据满足该标准,则导致通信或者数据被接入点40 自动接受。从而,在通信或者数据被转发给被寻址的网络端点32之前, 被发往网络端点32的输入通信及其他数据在接入点40处被检査来确定通 信或者数据是否满足针孔标准。如果不满足该标准,则通信或者数据不被 允许进入专用网36。然而,网络系统30的组件对在线状态或其它关联信 息的管理和共享允许一个网络端点32所接受的针孔配置被自动地应用于 其它网络端点32。相应地,被认为一个网络端点32可以接受的通信和数 据可以自动地被授权接入专用网36,即使在那些通信和数据被发往另一网 络端点32也是如此。如上所述,网络系统30包括专用网36。然而,"专用网"应该被解 释为一般定义的能够传送音频和/或视频电信信号、数据、和/或消息的任 何网络,所述消息包括通过文字聊天、即时消息和电子邮件传送的信号、 数据或者消息。相应地,专用网36可以被实现为局域网(LAN)、广域 网(WAN)、全球分布式网络,例如互联网、企业内部互联网 (Intranet)、企业外部网(Extranet)或者任何其它形式的无线或者有线 网络。一般地,专用网36提供网络端点32a-32c和其它网络设备之间的分 组、信元、帧或者信息(这里一般称为分组)的其它部分的通信。 一般都 知道,专用网36可以包括网络组件、网守(gatekeeper)、电话服务器、 路由器、集线器、交换机、网关、端点或者其它硬件、软件、或者执行允 许网络系统30中的分组交换的任意数目的通信协议的嵌入式逻辑的任意 组合。在具体实施例中,专用网36可以包括局域网(LAN),该局域网 允许分布在多个城市和地理区域之间的网络端点32a-32c建立在被耦合到 专用网36的网络组件之间的数据会话。下面将更详细地描述,从专用网36外部的源产生的通信可以通过公 众网38进入专用网36。公众网38可以包括任何计算机网络,例如互联 网、企业外部网、或者其它已知的或者下文中提出的用于数据通信的网 络。作为技术背景,互联网是一种世界范围的网络,其具有通过许多独立 的但相互通信的网络链接许多计算机的网络。使用互联网,网络用户可以 访问大量被存储的信息并且建立与能够使用互联网的远程端点34a-34b的 通信。本领域普通技术人员将意识到,网络端点32a-32c、远程端点34a-34b 和/或接入点40可以是为专用网36的端用户提供数据通信服务的硬件、软 件、和/或编码逻辑的任意组合。例如,每个网络端点32a-32c和远程端点 34a-34b可以包括计算设备,例如台式个人计算机、IP电话、蜂窝电话或 者支持利用专用网36和公众网38进行介质(或帧)的数据分组的传送的 任何其它通信硬件、软件、和/或编码逻辑。网络端点32a-32c和远程端点 34a-34b还可以包括无人管理或者自动的系统、服务器、网关、其它中间 组件、或者其它可以建立数据会话的设备。虽然图1示出了特定数目和配 置的网络端点32a-32c、远程端点34a-34b、和接入点40,但是网络系统 30可以预期任意数目或布置的这种组件来传送数据。此外,系统30的网 络端点32a-c和34a-b可以与任意数目的端用户相关联。在具体实施例中,专用网36采用允许对专用网36的网络端点32a-32c 和其他设备的寻址或者识别的通信协议。例如,使用互联网协议(IP), 网络系统30中通过专用网36被耦合在一起的每一个组件都可以使用IP地 址来标识。允许经由IP网络传送远程通信的技术可以包括基于IP的语音 (VoIP)或者简单地基于分组的语音(VoP)。使用这种技术的数据传输
可以包括在分组中放置数据并且沿着一个或多个通信路径分别将每个分组 发送给选定的目的地。以此方式,专用网36可以支持点到点、多播、单 播或者在网络系统30的组件之间交换介质分组的其他技术中的任意形式 和/或组合。能够交换音频、视频或者使用帧或分组的其它数据的任意网络 组件都被包括在本发明的范围内。在具体实施例中,网络系统30可以在会话发起协议(SIP)的环境下 接收和发送数据。SIP是一种应用层控制协议,其包括用于建立、改变和 终止通信会话的基本要素。SIP与下层传输协议相独立地工作并且不依赖 于正在被建立的会话类型。SIP还透明地支持名称映射和重定向业务,这 些业务支持个人移动性。在具体实施例中,下面将更详细的描述,关联信息存储装置44可以 包括在线状态服务器。在网络系统30内,由关联信息存储装置44维护的 在线状态信息可以被用于在网络设备32a-32c处检测端用户的在线状态。 例如,端点32a-32d的用户可以根据统一资源定位符(URI)被系统30的 组件识别,以使得用户可以通过在线状态检测技术被定位、监视和/或联 系,所述URI例如用户的电子邮件地址或者其它适当的标识符。关联信息 存储装置44所采用的在线状态检测技术允许端用户维护与他们的网络位 置无关的单一的外部可视标识符。为了定位预期的会话参与者,以及为了 其它功能,网络主机的基础设施(例如关联信息存储装置44)可以被创 建,网络端点32a-32c的用户可以发送注册、会话邀请以及其他请求到该 基础设施。例如,关联信息存储装置44可以允许网络端点32a-32c发现彼此,以 确定针对相关联的网络端点32a-32c的网络用户的可用性。从而,通过访 问关联信息存储装置44所维护的信息,网络系统30的组件可以捕获有关 对用户可用的各种通信设备或者端点的信息以及他们的状态,诸如蜂窝电 话是否被接通或者网络用户是否被登录到个人计算机(PC)。通过查询关 联信息存储装置44,网络端点32可以获得网络用户的在线可用性状态, 以及位置信息、设备信息、和网络用户希望传送给其他网络用户的任何个 人在线状态。因此,通信系统30可以提供有关网络用户和网络端点32a- 32c的增强信息。即使这可以使用VoIP平台来实现,但是在线状态检测技 术的通用性使其可被用于诸如IP电话32b之类的IP组件和其他非IP组件。在具体实施例中,由关联信息存储装置44所维护的在线状态或者其 它关联信息可以结合配置服务器46被用来将与网络端点32a-32c相关联的 配置信息应用于接入点40。在具体实施例中,配置服务器46包括可以被 用于存储与网络端点32a-32c相关联的配置信息以应用于接入点40的硬件 (微处理器、控制器、数据存储系统、或者其它适当的计算设备或者资 源)、软件和/或编码逻辑的任何组合。当从专用网36以外的源(即,远 程端点34a-34b)接收到通信或者其它数据时,配置信息可以标识接入点 40所应用的一个或多个针孔或者其它网络接入配置。为了应用这种配置,接入点40可以包括被设计为防止对专用网36的 越权接入的硬件和/或软件。例如,接入点40可以包括防火墙,其操作用 于接收在专用网36的组件处被引导的外部产生的通信或数据,并且检査 这种通信和数据以确定那些通信和数据是否满足所指定的安全性标准。该 安全性标准可以包括源IP地址、源IP端口、协议、目的IP地址、目的IP 端口、和/或其它适当的标准,该安全性标准可被用于识别网络端点32是 否被配置为通过接入点40来接收这种通信和数据。在满足所指定的安全 性标准的情况下,外部产生的通信和数据可以被允许通过接入点40。在配置服务器46存储并且维护网络端点32a-32c及其他网络设备的配 置信息的情况下,配置信息可以基于在线状态或者其它关联策略在网络端 点32a-32c和其它网络设备之间被共享。例如,如果存在允许在线状态或 者关联信息在第一网络端点32a和第二网络端点32b之间共享的策略,则 第一网络端点32a所采用的针孔配置可以被自动地应用于第二网络端点 32b。当外部产生的通信在接入点40处被接收到并且被标识为传送到网络 端点32b时,接入点40可以从配置服务器46请求配置信息。为了向接入 点40提供配置信息,配置服务器46可以检査违背与第二网络端点32b相 关联的配置信息的通信。另外,配置服务器46可以访问或者被提供在线 状态服务器44中所存储的策略信息来识别与其它网络端点32a、 32c相关
联的配置信息对第二网络端点32b的适用性。例如,配置服务器46可以从关联信息存储装置44接收信息或者访问关联信息存储装置44中的信 息,该信息将第二网络端点32b标识为第一网络端点32a的在线状态信息 的用户,或者使得配置服务器46将第二网络端点32b标识为第一网络端 点32a的在线状态信息的用户。在这种确定被进行的情况下,配置服务器 46可以另外或者作为选择来检査违背与第一网络端点32a相关联的配置信 息的通信以确定是否允许通信进入专用网36。因而,除了检査违背与网络 端点32b相关联的配置信息的通信,接入点40还可以检查违背与网络端 点32a和/或其它网络设备相关联的配置信息的通信,所述其它网络设备是 第二网络端点32b被授权接收其在线状态信息的设备。本领域普通技术人员将意识到网络系统30仅仅是使用关联信息来维 护和应用网络接入配置的通信网络的一个示例配置。相应地, 一般认为网 络系统30可以包括任意数目的服务器、存储器模块、接入点、端点、或 者其它组件来实现这里所描述的功能和特征。另外,应当知道被描述为与 网络系统30的各个组件有关的功能可以由网络系统30的任何组件来实 现。例如,普遍认为网络端点的配置信息可以被存储在配置服务器46、关 联信息存储装置44、接入点40或者网络系统30的任何其它组件中。图2更详细地示出了根据本发明的具体实施例的关联信息存储装置 44。具体地,在所示出的实施例中,关联信息存储装置44包括--种在线 状态服务器,其通过专用网36连接到一个或多个在线状态体(presentity) 56和一个或多个在线状态观察者58。接口 60允许在线状态服务器44从在 线状态体获得信息并且将信息提供给在线状态观察者58。在线状态服务器 的例子包括由互联网工程任务组在请求注解2778中所定义的在线状态服 务器。如下文将更详细说明的,在线状态体56a-56c包括端点64a-64d (以及 他们相关联的端用户62a-62c),端点64a-64d提供在线状态信息给在线状 态服务器44,用于分配给在线状态观察者58a-58c或者由在线状态观察者 58a-58c访问。反之,在线状态观察者58a-58c包括端点68a-68c (以及他 们相关联的端用户66a-66c),端点68a-68c接收与在线状态体56a-56c相
关的在线状态信息。虽然在线状态体56和在线状态观察者58被显示为彼此相独立地,但是通常认为端用户及其相关联的端点可以提供信息给在线状态服务器44并且从在线状态服务器44接收信息。相应地,在线状态服 务器44的任何端用户可以是在线状态体和在线状态观察者二者。图2中作为在线状态概括逻辑70示出的处理器70可以包括可被用于 监控针对专用网36的在线状态体的在线状态的硬件(微处理器、控制 器、或者其它适当的计算设备或者资源)、软件、和/或编码逻辑的任意组 合。在具体实施例中,处理器70包括单个计算机或者一组计算机,其能 够检测针对端点64a-64c的端用户62a-c的在线状态。为了检测针对端点 64a-64c的端用户62a-62c的在线状态,处理器70可以在端用户的端点 64a-64c接收来自一个或多个在线状态客户端端74a-74c的信息。因而,处 理器70可以从端用户的个人计算机、电话、个人数字助理(PDA)或者 任何其它在线状态客户端设备(例如在线状态客户端74a-72c)接收在线 状态信息。在具体实施例中,在线状态客户端74包括在确定电话或者其它设备 的摘挂状态(hook status)的电信交换机中实现的软件或者硬件。在其他 实施例中,在线状态客户端74包括监控包括计算机的端点是否被登录的 软件。在其它实施例中,在线状态客户端74包括一种设备,该设备与端 用户62所携带的指示端用户62的位置的ID标记通信。虽然描述了特定 的在线状态客户端74,但是根据本发明的教导许多在线状态客户端74可 以被使用来提供关于端用户62的可用性、位置或者端用户所从事的活动 的在线状态信息。在具体实施例中,所获得的有关端用户62的在线状态信息包括端用 户62的"状态"。例如,根据在线状态服务器44中端点64的当前状态, 端用户62可能被置于不同的状态中,诸如"准备好"状态、"未准备 好"状态、和"通话"状态。例如,处于准备好状态的端用户62可以是 准备好的并且能够接受输入通信。相应地,这种端用户62可以被称为 "可用的"。反之,处于未准备好状态的端用户62可能远离他的办公桌 或者没有准备好接受输入通信,以及在通话状态的端用户62当前可能正
在参与输入或者输出通信。就后面的情况中的任何一种,端用户62都可 以被称为"不可用的"。其它可被识别的在线状态可以包括"在线"、 "离线"、"活动的"、"非活动"、或者任何其它标识端用户62的可 用性的状态。由处理器70收集的在线状态信息可以被存储在存储模块72中,存储 模块72在图2中被显示为在线状态存储装置72。存储模块72可以包括任 何形式的易失性或者非易失性存储器,包括但不限于磁介质、光介质、随 机存取存储器(RAM)、只读存储器(ROM)、可移动介质或者任何其 他适当的本地或者远程存储器组件。如上所述,存储模块72中所存储的在线状态信息可以被提供给配置 服务器46或者由配置服务器46访问,配置服务器46存储与网络端点相关 联的配置信息。例如,在操作中,第一端用户62a可以为第一端点64a建 立一个或多个网络接入配置。网络接入配置可以被存储在配置服务器46 中并且与在线状态体56a相关联。被存储的网络接入配置然后可被接入点 40用来处理通信和数据,其被标识用于传送到第一端点64a,并且从专用 网36之外的远程端点34a-34b被接收。在线状态服务器44对在线状态信息的集中维护可以实现配置信息网 络端用户的共享。例如,与第一端点64a相关联(并且从而与在线状态体 56a相关联)的网络接入配置还可以被接入点40用来处理被标识用于传送 到其他网络端点或者在线状态体的通信与数据。例如,假定在接入点40 接收到被发往第二端点68a的通信。如上所述,配置服务器46可以被查询 来确定第二端点68a是否被配置来通过接入点40接收通信。如果第二端点 68a没被配置为通过接入点40来接收通信,则与其它端点相关联的配置信 息可以被应用于第二端点68。如果与第一端点64a相关联的配置信息标识 了用于通信的针孔,则接入点40可以允许该通信进入专用网36以传送到 第二端点68a。另一方面,如果与第一端点64a相关联的配置信息没有标 识用于通信的针孔,则接入点40可以阻止通信进入专用网36以传送到第 二端点68a。在具体实施例中,配置服务器46中所存储的配置信息可以自由地在
网络端用户之间分配。相应地,接入点40可以将与任何网络端点相关联 的配置信息应用于在接入点40接收到的所有通信,而不管通信的目的地址是什么。例如,如果接入点40接收到发给第二端点68a的通信,则接入 点40可以查询配置服务器46以寻找所有被存储的配置信息。依据所实现 的实施例,如果任何网络端点被配置为打开接入点40中用于通信的针 孔,则接入点40可以允许通信进入专用网36。可替换的,如果网络端点 的约定(consensus)被配置为打开接入点40中的用于通信的针孔,则接 入点40可以允许该通信进入专用网36。因而, 一些实施例中,网络端点 可以"投票"来允许或者拒绝通信进入专用网36。当多数或者一些被接受 并且网络端点的预定部分被配置为允许该通信时,网络接入点40可以打 开针孔并且允许通信被传送给目的地址。在其它实施例中,由配置服务器46维护的配置信息可以基于预订或 者注册被应用于网络端点。相应地,存储模块72或者另一网络设备可以 包括一些或者所有端用户62a-c和66a-66c的列表。这些列表可以包括预订 列表、伙伴列表、或者其它关联信息。例如,网络端用户可以被要求预订 到在线状态业务,而不是使系统30中的每个网络端用户的配置信息都可 用于每个其他网络端用户。在一个实施例中,网络端用户可以被要求预订 到在线状态业务来成为在线状态体56。例如,第一端用户62a可以注册或 者预定到在线状态服务器44以成为在线状态体56a。作为注册或者预订的 结果,关于第一端用户62a和相关联的端点(例如第一端点64a)的在线 状态信息可以被提供给在线状态服务器44并且由在线状态服务器44维 护。为了使得第一端用户的在线状态信息对其他端用户可用,第一端用户 62a可以标识应当被提供对第一端用户的在线状态信息的访问的端用户。 因而,第一端用户62a可以标识什么样的网络端用户被授权成为第一端用 户的在线状态信息的在线状态观察者58。换句话说,第一端用户62a可以 定义与第一端用户62a相关联的"信任网"。此外,第一端用户62a可以 在第一端用户的信任网中逐个地标识这种在线状态和配置信息应当可用于 在线状态观察者58的程度。因为第一端用户62a可以允许一些在线状态观
察者58比其它在线状态观察者58访问更多或者不同的在线状态和配置信 息,所以第一端用户62a可以对信任网内的第一端用户的端点配置的分配 施加一定量的控制。另外或者可替换地,网络端用户可以被要求注册或者预订到在线状态 业务而变成在线状态观察者58。例如,第二端用户66a可以被要求注册到 在线状态服务器44而变成第一端用户62a的在线状态观察者。作为注册或 者预订的结果,第一端用户62a可以被添加到预订列表、伙伴列表、或者 其它由存储模块72所维护的第二端用户66a的关联信息。类似地,第二端 用户66a可以被添加到预订列表、伙伴列表、或者其它由存储模块72所维 护的第一端用户62a的关联信息。与第一端用户62a和相关端点(例如第 一端点64a)相关联的在线状态和配置信息可以被提供给第二端用户66a 或者对第二端用户66a可用。当诸如第二端用户66a之类的在线状态观察者58被要求预订或者注册 来接收或者访问在线状态和配置信息时,第二端用户66a可以定义将与第 二端用户62a相关联的"信任网"的成员。因而,在具体实施例中,第二 端用户62a也可以对被应用于第二端点68a的端点配置的分配施加一定量 的控制。不论在线状态体、在线状态观察者或者这二者是否被要求注册到在线 状态服务器44,与网络系统30的端点相关联的配置都可以使用任何一个 或者任何组合方法被分配给网络用户。例如,在具体实施例中,配置信息 可以简单地被存储在配置服务器46中,并且被授权这种配置信息的在线 状态观察者58可以采取积极的歩骤来将那些配置应用到他们相应的端 点。因而,在那些配置可以被应用于接入点40所接收的通信之前,作为 第一端用户62a的在线状态观察者的第二端用户66a可以被要求访问配置 服务器46并且下载与第一端点64a相关联的配置。在其它实施例中,如果 第一端用户62a或第二用户66a的任何一个在另一个的信任网内,则配置 信息可以周期性地被发布或者被发送给端用户66a。在其它实施例中,并 且如上文更详细地描述的,当在接入点40接收到用于传送到第二端用户 66a的通信时,接入点40而非第二端用户66a可以直接获得共享的配置信虽然以上描述了将预订列表和伙伴列表用于将网络系统30的用户和 网络系统30的其它用户相互关联,但是应当知道任何用于链接或者关联 用户的其它机制都可以被使用。可被用于提供在线状态信息的关联信息的其它示例源包括来自电子邮件程序(即,Microsoft contacts)的地址列表 或者联系列表、由社会网络或者名誉业务提供的信息、或者关联列表,例 如那些由五度分隔(Five Degrees of Separation)、链接入(Linked In)、 和Orchid所使用的。还应当知道这种机制不需要被存储在存储模块72中 而是可以被存储在网络系统30的任何组件中。在具体实施例中,这种机 制可以被存储在配置服务器46中或者被存储在端点处。此外,本领域普通技术人员将知道在线状态服务器44仅仅是用于向 网络系统30的端用户提供在线状态信息的在线状态服务器的一个示例配 置。相应地,普遍认为在线状态服务器44可以包括任意数目的处理器、 存储器模块或者其它组件来实现此处所描述的功能和特征。另外,处理器 70和/或与在线状态服务器44相关联的存储模块72彼此集中地被放置(本 地)或者被分布在整个专用网36中。回到图1,普遍认为在线状态信息和使用在线状态服务器提供在线状 态业务仅仅是可用于提供端点32a-32c的共享配置的一种方式。因而,虽 然在线状态信息是可用于链接端点32a-32c的一种形式的关联信息,但是 还应当知道可以使用与在线状态信息相独立地或者代替在线状态信息的被 维护并使用的关联信息来进行端点32a-32c的配置。例如,通常关联信息可以被存储在关联信息存储装置44或者另一网 络设备中并且可被用于链接端点32a-32c的端用户。在具体实施例中,类 似于上述公开的在线状态信息,关联信息可以定义与端点32a-32c的端用 户相关联的信任网。该信任网可以作为与特定端点(例如端点32a)的端 用户相关联的白名单(white list)。相应地,该白名单可以定义端点32a 的端用户信任其判断的其它端用户。具体地,如果Bob是端点32a的端用 户并且与Bob相关联的白名单包括与端点32b相关联的端用户Cari以及端 点32 c的端用户Don,则为了各种目的,Bob标识出Bob信任Carl和Don。在操作中,当接入点40接收到被标识为传送给Bob的外部产生的通 信时,接入点40可以访问与Bob相关联的配置信息。如果有关Bob的配 置信息没有标识用于外部产生的通信的针孔,则接入服务器可以查看Bob 的白名单来确定端用户被包含在Bob的信任网中。当Carl和Don在Bob 的白名单上时,接入点40可以访问有关Carl和Don的配置信息来确定 Carl和Don的任何一个或者两者是否已经配置了他们的端点32b和32 c来 接受该通信。如果Carl和Don的任何一个或者两者已经配置了他们的端点 32b和32c接受该通信,则接入点40可以允许该通信进入专用网36以传 送到端点32a处的Don。上述例子中,配置服务器46所存储的并且与Bob的信任网中的任何 端用户相关联的配置信息被用于就被发送给Bob的端点32a的通信来配置 接入点40。然而,在其他实施例中,接入点40可能意识到如下冲突,其 中在Bob的信任网中的一个端用户包括允许通信的配置,而Bob信任网中 的另一端用户不包括这种配置。例如,如果Carl和Don的一个分别配置了 他们的端点32b或32c来允许通信进入专用网36,而另一个没有配置, 则接入点40可能意识到冲突。相应地,接入点40可以包括使接入点40能 够解决该冲突的硬件、软件或逻辑。在一个示例实施例中,接入点40可 以解决该冲突,通过用Bob的信任网中的端用户的投票来确定Bob的信任 网中的端用户的大多数或者另一预定比率的端用户是否被配置为接收该通 信。如果Bob信任网中足够多的端用户被配置为接收该通信,则接入点40 允许该通信进入专用网36。在另一示例实施例中,接入点40可以使用一种代数方案解决冲突, 该方案考虑了适合于确定通信的可靠性或者信任网中的端用户的可靠性的 因素。例如,在具体实施例中,关联信息存储装置44中Bob的关联信息 可以包括被应用于Bob的信任网的端用户的权重值。因而,与Bob相关联 的关联信息可以包括一种"灰名单"而非白名单。例如,与Bob相关联的 关联信息可以包括以下信息Carl 100Don卯Eunice 20 Frank 50 Gary 88因而,Carl、 Don、 Eunice、 Frank和Gary在Bob的信任网中。然而, 在这例子中,Bob标识了 Bob认为Carl、 Don、 Eunice、 Frank禾卩Gary可信赖的程度。因而,Bob百分之百的时间信任Carl但是只在20X的时间信 任Eimice。(虽然百分比被示出,但是任何其他权重或者分级方案都可以 被使用。)在操作中,接入点40可以使用权重百分比和代数公式来解决 关于Carl、 Don、 Eimice、 Frank和Gary所存储的配置信息之间的任何冲 突。相应地,在确定通信是否应该被允许传送给Bob时,接入点40可以 考虑Bob所认为的Bob的信任网中端用户可信赖的程度。在其它实施例中,与Bob相关联的关联信息可以另外或者可替换地包 括"黑名单"。相应地,关联信息可以定义那些Bob不信任其判断的其它 端用户(即,那些信任网之外的端用户)。例如,Bob的被存储的关联信 息可以包括如下内容黑名单 白名单Don CarlEunice GaryFrank因而,Bob标识了 Bob出于各种目的不信任Don、 Eunice和Frank但 是信任Carl和Gary。在一个示例实施例中,当接入点40接收到被标识传 送到Bob的外部产生的通信时,接入点40查看Bob的关联信息来确定 Bob的白名单上的端用户。在上述情形中,接入点40可以访问与Carl和 Gary相关联的配置信息来确定Carl和Gary的任何一个或者两者是否己经 配置了他们的端点来接受该通信,并且如果Carl和Gary的任何一个或者 两者已经配置了他们的端点来接受该通信则可以允许该通信。如果Carl和 Gary都没有配置他们的端点来接受该通信或者如果在与Carl和Gary相关 联的配置之间存在冲突,则接入点40可以访问与Don、 Eunice和/或Frank 相关联的配置信息。因为Bob不信任与Don、 Eunice禾n/或Frank相关联的
配置信息,所以接入点40可以拒绝允许通信进入专用网36,其中Bob的黑名单上的端用户的任一、所有或者一些部分的端用户被配置为允许通信。因而,在确定是否允许外部产生的通信进入专用网36时, 一些网络 端用户的不可信赖性可以被考虑。虽然上述的例子被局限于与那些Bob直接相关的端用户相关联的配置 信息的应用,但是应当知道Bob的信任网可以比那些他直接相关的端用户 要宽。在具体实施例中,不同的端用户的关联信息可以被链接来定义可以 与其共享配置信息的端用户的组。例如,配置服务器46可以存储以下关联信息BOB_Q^lCarl Don Eunice Gary Frank因而,Bob标识出Bob出于各种目的信任Carl、 Eunice禾P Frank但是 Carl标识出Carl出于各种目的信任Don禾n Gary。在一个示例实施例中, 当接入点40接收到被标识传送给Bob的外部产生的通信并且Bob的端点 没有被配置为接收该通信时,接入点40可以查看Bob的关联信息来确定 Bob的白名单上的端用户。上述情形中,接入点40可以访问与Carl、 Eunice和Frank相关联的配置信息来确定Carl、 Eunice和Frank中的任一 或者所有人是否已经配置了他们的端点来接受该通信。然而,因为Bob信 任Carl、 Eunice和Frank,接入点40也可能访问Carl、 Eunice和Frank的 白名单来标识他们信任的端用户。在上述情形中,例如接入点40可以访 问有关Carl的白名单来标识Carl信任Don禾n Gary。然后接入点40可以访 问与Don和Gary相关联的配置信息来确定Don禾n Gary的任何一个或者两 者是否已经配置了他们的端点来接受该通信。如果Carl和Gary的任何一 个或者两者已经配置了他们的端点来接受该通信或者如果所有被考虑的端 用户中的一些被配置为接受该通信,则接入点40可以允许该通信进入专 用网36来传送到Bob。本领域普通技术人员将知道上述情况仅仅作为示例被提供。专用网36
的端用户可以使用任何适当的机制彼此被链接或者相关联。另外,关于端 用户存储的关联信息可以按上述方式或者通过任何其它适当的方式与其它 端用户共享。图3示出了使用共享关联信息来管理外部产生的通信的网络接入的示 例方法。该方法开始于步骤100,对关联信息进行维护。如上所述,在具 体实施例中,关联信息可以包括关于多个网络端用户(包括第一端用户62a)的可用性或者活动信息的在线状态信息。例如,在线状态信息可以 包括一个或多个被授权访问第一端用户62a的在线状态信息的在线状态观 察者的列表。在步骤102,包括第一端用户62a的多个网络端用户的配置信息被维 护。在具体实施例中,该配置信息可以包括与第一网络端用户62a相关联 的第一端点64a的接入点配置。该接入点配置可以被接入点40用来授权在 专用网36之外的远程端点34a-34b所产生的通信以传送到通信网络30 内。例如,当外部产生的通信或者其它数据被接收用于传送到网络端点 时,配置服务器46中所维护的配置信息可以标识一个或多个针孔或者要 被接入点40应用的其它网络接入配置。在步骤104,外部产生的通信在专用网36的接入点40处被接收。如 上所述,外部产生的通信可以包括从专用网36远程的端点接收的任何通 信或者数据。在具体实施例中,通信被发给与专用网36的第二端用户66a 相关联的第二端点68a。响应于接收外部产生通信,在步骤106,第一端 用户62a的关联信息可以被用来确定第一端用户62a和第二端用户66a之 间的关联。在具体实施例中,第一端用户62a和第二端用户66a之间的关联可以 被标识,其中第一端用户62a的在线状态信息将第二端用户66a标识为第 一端用户62a的在线状态观察者。例如,当在线状态服务器44维护被授权 访问第一端用户62a的在线状态信息的在线状态观察者的列表的情况下, 当第二端用户66a被包含在在线状态观察者的列表中的情况下,关联性可 以被标识。在其它实施例中,在第一和第二端用户的任何一个已经注册来 接收或者访问另一端用户的在线状态信息的情况下,第一端用户62a和第
二端用户66a之间的关联可以被标识。在其他实施例中,在第二端用户66a被包含在白名单或者与第一端用户62a相关联的其它关联列表中的情 况下,关联可以被标识。在步骤108,第一端用户62a的配置信息被用来配置接入点40以允许 通信被传送到第二端点68a。例如,在第一端用户62a的配置信息标识一 种接入配置(例如针孔)以允许通信经过接入点40的情况下,接入点40 可以将所述针孔应用于所接收到的通信以传送到第二端点68a。因而,在 在线状态或者网络系统30所维护的其它关联策略允许的情况下,与第一 端点64a相关联的配置可以被应用于第二端点68a。在具体实施例中,接 入点40可以打开防火墙中的针孔,其中第一端点64a被配置为打开一种针 孔。作为打开或者应用接入配置的结果,通信可以被发送给第二端点 68a。图3中示出的一些步骤可以被组合、修改或者删除,其中适当的、和 另外的步骤还可以被加入该流程图。另外,歩骤可以以任何适当的顺序被 执行,而不脱离本发明的范围。如上所指出的,本发明具体实施例的技术优点包括对多个网络端点及 其相关联的用户的接入点配置进行集中存储和管理。在具体实施例中,包 括用于网络端用户的防火墙针孔定义的配置信息可以被存储在集中式数据 库中。另外的技术优点是在端点和端用户之间共享网络接入配置。具体 地,在线状态或者其它关联策略可被用于确定是否将一个网络端用户所采 用的针孔配置应用到其他网络端用户。当策略允许时,被认为一个网络端 用户可以接受的通信可以自动地被授权接入专用网,即使那些通信被发给 其他网络端用户也是如此。虽然详细地参考具体实施例描述了本发明,但是应当理解在不脱离本 发明的精神和范围的情况下,可以进行各种其他变化、替换和改变。例 如,尽管已经参考包含在通信系统中的多个元件描述了本发明,但是为了 适应特定的路由结构或者需要,这些元件可以被组合、重新布置或者放 置。另外,这些元件中的任何元件可以根据情况被提供为相对于通信系统 或元件彼此的单独的外部组件。本发明期望这些元件的布置及其内部组件 具有很大的灵活性。许多其它变化、替换、变更、变动和改进可以由本领域技术人员确 定,并且期望本发明覆盖落在所附的权利要求的精神和范围之内的所有这 种变化、置换、变更、变动和改进。
权利要求
1.一种使用共享的配置信息管理外部产生的通信的网络接入的方法,包括维护专用网的第一端用户的关联信息;维护与所述第一端用户相关联的第一端点的配置信息;在所述专用网的接入点接收外部产生的通信,所述通信要传送到与所述专用网的第二端用户相关联的第二端点;使用所述关联信息确定所述第一端用户和所述第二端用户之间的关联;以及使用所述第一端用户的所述配置信息来配置所述接入点以允许所述通信被传送给所述第二端点。
2. 根据权利要求1所述的方法,其中维护所述第一端用户的关联信 息包括维护关于在所述第一端点处的所述第一端用户的可用性的在线状态{曰息。
3. 根据权利要求2所述的方法,还包括存储被授权访问所述第一端用户的在线状态信息的一个或多个在线状态观察者的列表;以及确定所述第二端用户作为所述第一端用户的在线状态观察者被列出。
4. 根据权利要求2所述的方法,其中使用所述关联信息来确定所述 第一端用户和所述第二端用户之间的关联包括确定所述第二端用户是所述 第一端用户的在线状态信息的预订的在线状态观察者。
5. 根据权利要求1的方法,其中维护所述第一端用户的关联信息包括存储与所述第一端用户相关联 的一个或多个被信任的端用户的列表;以及使用所述关联信息来确定所述第一端用户和所述第二端用户之间的 关联包括确定所述第二端用户是所述列表上的所述一个或多个被信任的端 用户中的一个。
6. 根据权利要求1的方法,其中 维护所述第一端用户的关联信息包括存储与所述第一端用户相关联的一个或多个被信任的端用户的 第一列表,第三端用户作为所述一个或多个被信任的端用户中的一个被包 括在所述第一列表中;以及存储与所述第三端用户相关联的一个或多个被信任的端用户的第二列表;使用所述关联信息来确定所述第一端用户和所述第二端用户之间的关联包括确定所述第三端用户是所述第一列表上的所述一个或多个被信 任的端用户中的一个;以及确定所述第二端用户是所述第二列表上的所述一个或多个被信 任的端用户的一个。
7. 根据权利要求1所述的方法,其中使用所述第一端用户的所述配置信息包括确定所述第一端点被配置为允许所述通信经过所述接入点;以及将与所述第一端用户相关联的所述配置信息应用到所述第二端点。
8. 根据权利要求1所述的方法,其中使用所述第一端用户的所述配 置信息包括在防火墙中打开一个或多个针孔。
9. 根据权利要求1所述的方法,还包括用多个网络端用户的投票来 确定所述通信是可信任的。
10. —种使用共享的配置信息来管理外部产生的通信的网络接入的方法,包括维护专用网的第一端用户的关联信息;维护与所述第一端用户相关联的第一端点的配置信息;在所述专用网的接入点接收外部产生的通信,所述通信要传送到与 所述专用网的第二端用户相关联的第二端点 ,使用所述关联信息确定所述第一端用户和所述第二端用户之间的关联,所述第一端用户在所述关联信息中被标识为不可信任的;以及配置所述接入点以拒绝所述通信被传送给所述第二端点。
11. 一种使用共享的配置信息来管理外部产生的通信的网络接入的系 统,包括与专用网通信的关联信息存储装置,所述关联信息存储装置可操作 来维护所述专用网的第一端用户的关联信息;与所述专用网通信的配置服务器,所述配置服务器可操作来维护与 所述第一端用户相关联的第一端点的配置信息;以及与所述专用网通信的接入点,所述接入点可操作来接收外部产生的通信,所述通信要传送到与所述专用网的第二 端用户相关联的第二端点;使用所述关联信息确定所述第一端用户和所述第二端用户之间的关联;以及使用所述第一端用户的所述配置信息来授权所述通信进入所述 专用网以传送到所述第二端点。
12. 根据权利要求11所述的系统,其中所述关联信息存储装置包括 在线状态服务器,所述在线状态服务器可操作来维护所述专用网的所述第一端用户的在线状态信息;所述在线状态 信息与所述第一端点处的所述第一端用户的可用性有关。
13. 根据权利要求12所述的系统,其中所述在线状态服务器还可操作来存储被授权访问所述第一端用户的在线状态信息的一个或多个在线状态观察者的列表;以及确定所述第二端用户作为所述第一端用户的在线状态观察者被列出。
14. 根据权利要求12所述的系统,其中所述接入点还可操作来使用 所述在线状态信息来确定所述第二端用户是所述第一端用户的所述在线状 态信息的预订的在线状态观察者。
15. 根据权利要求11所述的系统,其中所述关联信息包括与所述第一端用户相关联的一个或多个被信任的 端用户的列表;以及所述接入点可操作来使用所述关联信息,以通过确定所述第二端用 户是所述列表上的所述一个或多个被信任的端用户中的一个来确定所述第 一端用户和所述第二端用户之间的关联。
16. 根据权利要求11所述的系统,其中 所述关联信息存储装置还可操作来存储与所述第一端用户相关联的一个或多个被信任的端用户的 第一列表,第三端用户作为所述一个或多个被信任的端用户中的一个被包 括在第一列表上;以及存储与所述第三端用户相关联的一个或多个被信任的端用户的 第二列表;以及所述接入点还可操作来通过以下方式使用所述关联信息确定所述第三端用户是所述第一列表上的所述一个或多个被信 任的端用户中的一个;以及确定所述第二端用户是所述第二列表上的所述一个或多个被信 任的端用户中的一个。
17. 根据权利要求11所述的系统,其中所述接入点还可操作来 使用所述配置信息来确定所述第一端点被配置为允许所述通信经过所述接入点;以及将与所述第一端用户相关联的所述配置信息应用到所述第二端点。
18. 根据权利要求11所述的系统,其中所述接入点还可操作来使用所述配置信息来在防火墙中打开一个或多个针孔。
19. 根据权利要求11所述的系统,其中所述接入点还可操作来用多 个网络端用户的投票来确定所述通信是可信任的。
20. —种使用共享的配置信息来管理外部产生的通信的网络接入的系 统,包括用于维护专用网的第一端用户的关联信息的装置; 用于维护与所述第一端用户相关联的第一端点的配置信息的装置;用于在所述专用网的接入点处接收外部产生的通信的装置,所述通 信是要传送到与所述专用网的第二端用户相关联的第二端点的;用于使用所述关联信息来确定所述第一端用户和所述第二端用户之 间的关联的装置;以及用于使用所述第一端用户的所述配置信息来配置所述接入点以允许 所述通信被传送给所述第二端点的装置。
21. —种被包括在计算机可读介质中的逻辑,所述计算机可读介质包 括代码,该代码可操作来维护专用网的第一端用户的关联信息; 维护与所述第一端用户相关联的第一端点的配置信息; 在所述专用网的接入点接收外部产生的通信,所述通信要传送到与所述专用网的第二端用户相关联的第二端点;使用所述关联信息确定所述第一端用户和所述第二端用户之间的关联;以及使用所述第一端用户的所述配置信息来配置所述接入点以允许所述 通信被传送给所述第二端点。
22. —种使用在线状态信息来管理网络接入的方法,包括 维护端用户的在线状态信息;接收来自远程端点处的所述端用户的远程接入请求; 更新所述端用户的所述在线状态信息,以在与专用网相关联的一个 或多个的网络端点处标识所述端用户的在线状态;以及自动地配置所述专用网的接入点来允许任何发往与所述一个或多个 网络端点相关联的IP地址的通信经过所述接入点。
23. 根据权利要求22所述的方法,其中维护所述在线状态信息包括 在与所述专用网相关联的所述一个或多个网络端点处确定所述端用户的可 用性。
24. 根据权利要求22所述的方法,其中接收所述远程接入请求包括 接收来自所述专用网之外的所述远程端点的所述远程接入请求。
25. 根据权利要求22所述的方法,还包括在接收到所述远程接入 请求时使用认证协议来验证所述端用户的身份。
26. 根据权利要求22所述的方法,其中接收所述远程接入请求包括 接收虚拟网络计算(VNC)请求。
27. 根据权利要求22所述的方法,其中自动配置所述接入点包括在 防火墙中打开一个或多个针孔。
28. 根据权利要求22所述的方法,其中更新所述端用户的在线状态 信息包括标识与所述端用户相关联的IP地址;以及在与所述IP地址相关联的网络端点处标识所述端用户的在线状态。
29. 根据权利要求22所述的方法,还包括 接收针对所述端用户被标识的通信;以及 允许所述通信通过所述接入点。
30. 根据权利要求22所述的方法,还包括确定所述端用户不再使用所述远程端点来接入所述专用网;以及 自动配置所述接入点驳回发给所述IP地址的任何通信通过所述接入点。
31. 根据权利要求30所述的方法,还包括 接收为所述IP地址识别的通信;以及防止所述通信经过所述接入点。
32. —种使用在线状态信息来管理网络接入的系统,包括 与专用网中所包括的多个端点通信的在线状态服务器,所述在线状态服务器可操作来在所述多个端点中的一个或多个端点处维护用于标识端用户的在线状态的在线状态信息;以及当从远程端点处的所述端用户接收到远程接入请求时,更新所 述端用户的所述在线状态信息;以及与所述专用网通信的远程接入服务器,所述远程接入服务器可操作来 接收来自所述远程端点处的所述端用户的远程接入请求;以及 自动配置所述专用网的接入点以允许发往与所述一个或多个网 络端点相关联的IP地址的任何通信经过所述接入点。
33. 根据权利要求32所述的系统,其中所述在线状态服务器还可操 作来在与所述专用网相关联的所述一个或多个网络端点处确定所述端用户 的可用性。
34. 根据权利要求32所述的系统,其中所述远程接入服务器可操作 来接收来自所述专用网之外的远程端点的所述远程接入请求。
35. 根据权利要求32所述的系统,其中所述远程接入服务器还可操 作来在接收到所述远程接入请求时使用认证协议来验证所述端用户的身
36. 根据权利要求32所述的系统,其中所述远程接入请求包括虚拟 网络计算(VNC)请求。
37. 根据权利要求32所述的系统,其中所述远程接入服务器可操作 来通过在防火墙中打开一个或多个针孔来自动配置所述接入点。
38. 根据权利要求32所述的系统,其中所述在线状态服务器可操作 来通过以下歩骤更新所述端用户的在线状态信息标识与所述端用户相关联的IP地址;以及在与所述IP地址相关联的网络端点处标识所述端用户的在线状态。
39. 根据权利要求32所述的系统,其中所述远程接入服务器还可操作来-.接收针对所述端用户被标识的通信;以及 允许所述通信经过所述接入点。
40. 根据权利要求32所述的系统,其中所述在线状态服务器还可操作来确定所述端用户不再使用所述远程 端点来接入所述专用网;以及所述远程接入服务器还可操作来自动配置所述接入点拒绝发往所述 IP地址的任何通信经过所述接入点。
41. 根据权利要求40所述的系统,其中所述远程接入服务器还可操作来接收针对所述IP地址被标识的通信;以及 阻止所述通信通过所述接入点。
42. —种使用在线状态信息来管理网络接入的系统,包括用于维护端用户的在线状态信息的装置;用于接收来自远程端点处的所述端用户的远程接入请求的装置; 用于更新所述端用户的在线状态信息以在与专用网相关联的一个或多个的网络端点处标识所述端用户的在线状态的装置;以及用于自动地配置所述专用网的接入点以允许发往与所述一个或多个网络端点相关联的IP地址的任何通信经过所述接入点的装置。
43. —种被包括在计算机可读介质中的逻辑,所述计算机可读介质包 括代码,所述代码可操作来维护端用户的在线状态信息;接收来自远程端点处的所述端用户的远程接入请求; 更新所述端用户的在线状态信息以在与专用网相关联的一个或多个的网络端点处标识所述端用户的在线状态;以及自动地配置所述专用网的接入点以允许发往与所述一个或多个网络端点相关联的IP地址的任何通信经过所述接入点。
全文摘要
根据本发明的具体实施例,一种使用共享的配置信息来管理外部产生的通信的网络接入的方法(图3)包括维护专用网的第一端用户的关联信息(100),以及维护与第一端用户相关联的第一端点的配置信息(102)。当在专用网的接入点处接收到要传送到与第二端用户相关联的第二端点的外部产生的通信时(104),关联信息被用来确定第一端用户和第二端用户之间的关联(106)。第一端用户的配置信息被用来配置接入点(108)以允许通信被传送到第二端点。
文档编号H04L12/56GK101151859SQ200680010477
公开日2008年3月26日 申请日期2006年5月4日 优先权日2005年5月16日
发明者加里·W·菲茨杰拉德, 卡伦·F·詹宁斯 申请人:思科技术公司