专利名称:服务登录的制作方法
技术领域:
本发明涉及一种服务登录(SSO)方法。
对服务登录的需要起因于宽带IP网络互连基础结构的使用。宽带IP网络互连基础结构的例子包括有线电视基础结构上的或基于结构化布线的智能大厦网络上的高速IP网络。这两个例子都基于OSI模型的第2层中的无连接传输介质,一个是RF(无线电频率)上的,另一个基于IEEE802.3。用无连接的数据链路控制层,在网络本身(OSI模型第3层或以下)中就没有一个用于在用户开始使用网络服务时进行用户验证的自然点。因此就难于计算用户何时开始使用网络和何时停止使用网络。
本发明的一个目的是克服或至少减轻这个问题。
本发明涉及一种服务登录(SSO)方法,由宽带IP网络互连基础结构中的因特网服务商(ISP)或网络所有人用于用户验证,以允许接入设备能使用由该基础结构开通的网络服务和随后的接入记录记载,所述接入设备是相对于DHCP被配置的,含有支持Java小应用程序的软件;该方法包含提供一个存储用户相关信息的数据库;提供一个DHCP服务器,用于通过基础结构中现有的网络互连设备回答来自接入设备的DHCP包,以建立接入设备通过网络互连设备与SSO网络服务器的通信;提供SSO网络服务器,用于向接入设备供应登录表单,以开始用户验证的登录前状态;提供SSO网络服务器,用于向接入设备供应Java小应用程序,以维持一个代表接入网络服务的会话和/或自动进行DHCP IP地址租用的更新;提供SSO网络服务器,用于控制向接入设备分配IP地址;提供SSO网络服务器,用于按用户激活网络互连设备上的接入和服务控制策略;提供一个DNS服务器,用于通过网络互连设备回答来自接入设备的DNS查询,以接入设备使用网络服务;以及为记帐目的而监视和接收有关该使用情况的记录的手段。
网络互连设备最好是一个由ISP或网络所有人在接入设备与因特网或内部服务器系统之间的通信通道中配置的电子设备或计算机系统,能由SSO网络服务器用IETF标准IP通信协议进行控制,以按用户激活接入和服务策略。网络互连设备最好由路由器来装备。
在此基础上,路由器最好是与接入设备连接得最近的边缘路由器。
路由器可以是与接入设备连接得最近的边缘路由器。网络互连设备可以是由ISP或网络所有人在接入设备与因特网或内部服务器系统之间的通信通道中配置的任何电子设备或计算机系统,能由受信任的进程-诸如SSO网络服务器-用IETF标准IP通信协议进行控制,以按用户激活接入和服务策略。
现在将结合各附图举例说明本发明的服务登录方法。附图简介
图1是普通的用户工作站启动;图2是服务登录的阶段1;图3是服务登录的阶段2;图4是注销(Sign Off)阶段;图5是超时阶段。
服务登录方法为解决现行技术水平的困难而设计一种机制,它使因特网服务商(ISPs)或网络所有人有可能a)控制用户接入宽带IP网络-即使采用无连接的传输媒体;b)计算使用延续时间和其它与使用有关的参数;c)实行关于用户如何使用网络资源的接入和服务策略;d)获得关于用户所用接入设备的信息。
整个机制是在基于IETF的开放式标准IP通信协议上建立的,能在商业硬件和软件上实现。该机制中采用的一些开放式协议包括DHCP、DNS、HTTP、SNMP和TELNET。
假设用户信息是由一个单独的登记过程捕获的。这个用户登记过程将至少把下列信息捕获到中央数据储存库中a)用户名和口令b)接入策略,诸如从特定电缆调制解调器或物理端口的有限制的接入c)服务策略,诸如所预订的服务的级别和服务的类型使用过程1)用户需要保证接入设备是相对于DHCP配置的,安装有支持Java小应用程序的软件,诸如浏览器。
2)用户将接入设备插到服务连接点,诸如电缆调制解调器的以太网端口或与以太网集线器或转换开关的RJ-45连接器。
3)用户启动接入设备(比如说启动PC)。
4)用户打开浏览器并连接到服务登录网址。
5)用户在登录之前只能接入登录服务(SSO)网络服务器。所有其它交通都将被路由器堵塞。
6)用户被提示输入用户名和口令。
7)用户被要求等待服务登录完成。
8)服务登录完成。
9)用户开始使用其得到授权的网络服务。
10)在登录期间,一个Java小应用程序应当保持活动。
SSO机制采用能在不同计算机或同一个计算机中安装的五种不同的系统部件。这五种部件是1)DHCP服务器2)用户信息数据储存库3)SSO网络服务器4)DNS服务器5)帐户记录数据储存库DHCP服务器回答来自登录前和登录后状态中的接入设备的DHCP包。
用户信息数据储存库含有所有与用户有关的信息,诸如用户名、口令、用户的接入策略和服务策略。
SSO网络服务器执行小服务程序(servlet)并向接入设备提供Java小应用程序。小服务程序验证用户身份,检查用户权限,启动路由器和/或其它网络互连设备中的接入和/或服务策略。
DNS服务器回答来自登录前和登录后状态中的接入设备的DNS查询。
帐户记录数据储存库由小服务程序或端口监控程序生成的特定用户会话的所有与连接有关的记录。
“登录前”指的是接入设备还没有触发SSO机制。
“登录后”指的是小服务程序以及完成了查验和策略实施过程。
“会话”指的是小服务程序为帐户记录数据储存库生成的会话-开始记录与会话-结束记录之间的时期。
整个SSO方法中有五个过程1)初始的接入设备激活过程2)浏览器到SSO网络服务器过程3)小服务程序登录查验过程4)登录后的接入设备激活过程5)退出或超时过程初始的接入设备激活过程(过程1)如下1)接入设备启动并发出一个含有接入设备的一个MAC地址的DHCP DISCOVER包。
2)DHCP服务器检查其内部数据库,查验该MAC是否是注册的。在登录前状态中,该MAC地址是没有向DHCP注册过的。
3)DHCP服务器建立一个DHCP OFFER,向接入设备提供一个临时IP地址和DNS服务器的IP地址。
4)接入设备发出一个DHCP REQUEST,请求该临时IP地址。
5)DHCP服务器再次执行步骤2和3并建立一个DHCP ACK包。
浏览器到SSO网络服务器过程(过程2)如下1)用户启动网络浏览器并打开SSO网址。
2)接入设备试图通过向DNS服务器发送DNS QUERY包来解析主机名。
3)DNS服务器将主机名解析成SSO网络服务器的IP地址。
4)该HTTP请求去往SSO网络服务器。
5)SSO网络服务器向用户浏览器返回一个登录表单。
小服务程序登录查验过程(过程3)如下1)用户输入用户名和口令并提交表单2)小服务程序对照用户信息数据储存库检查用户名和口令。
3)如果没错,小服务程序就提取该特定用户的接入和服务策略。
4)小服务程序由HTTP元变量(meta-variables)确定接入设备的IP地址。
5)小服务程序在DHCP查找接入设备的MAC地址。
6)小服务程序通过发出SNMP查询和/或TELNET来查验接入策略的一致性。
7)小服务程序向DHCP发出命令,将该接入MAC地址与适当的策略规则集合一起注册。
8)小服务程序创建一个随机的会话标识符并在临时数据储存库中设置一项。
9)小服务程序将会话标识符以曲奇(cookie)的形式设置到浏览器中。
10)小服务程序将一个租用-更新(lease-renewal)Java小应用程序下载到用户浏览器。
登录后的接入设备激活过程(过程4)如下1)租用-更新Java小应用程序启动一个DHCP租用释放和更新。确切的操作与具体平台有关。
2)接入设备发出一个含有一个MAC地址的DHCP DISCOVER包。
3)DHCP服务器查找该MAC地址,应当发现该MAC地址是注册过的。
4)DHCP服务器按照适当的策略规则集合建立一个带有有效IP地址的DHCP OFFER。
5)接入设备发出一个要求租用所提供IP地址的DHCP REQUEST。
6)DHCP服务器再次执行步骤3和4并建立DHCP ACK包。
7)Java小应用程序向SSO小服务程序发出一个特别会话-开始HTTP请求。
8)小服务程序检索以元变量中的会话标识符为基础的会话记录。
9)小服务程序在使用SNMP、TELNET或其它开放式协议的路由器或其它网络互连设备上实施接入和服务策略。
10)小服务程序向用户浏览器发出服务登录完成页面。
11)自动启动一个嵌入保持活动的Java小应用程序的新的浏览器窗口。
12)小服务程序向本地数据储存库写入一个会话-开始记录。
退出或超时过程(过程5)如下1)保持活动的Java小应用程序周期性地向SSO小服务程序发出特别会话保持活动的HTTP请求。
2)SSO小服务程序更新显示有上一次活动时间戳的会话记录3)如果用户点击Java小应用程序上的LOGOUT(退出)按钮a.Java小应用程序向SSO小服务程序发出特别会话结束的HTTP请求。
b.小服务程序向帐户记录数据储存库写入会话-结束记录。
c.小服务程序执行清理杂务-包括从本地数据储存库删除该会话记录,从DHCP服务器删除该MAC地址,以及从路由器和其它网络互连设备删除任何接入和服务策略。
4)如果用户去激活接入设备或关闭Java小应用程序a.SSO网络服务器中的后台端口监控程序周期性地在本地数据储存库扫描会话记录。
b.对于已经到期的会话记录,端口监控程序执行清理杂务-包括向帐户记录数据储存库写入会话-结束记录,从本地数据储存库删除会话记录,从DHCP服务器删除MAC地址,以及从路由器和其它网络互连设备删除任何接入和服务策略。
现在结合各附图来具体说明该方法。在图1中,用户工作站被设置为使用相对于IP配置的DHCP。在普通的自引导序列中,用户工作站提出一个DHCP请求。DHCP服务器作出响应,分配一个受路由器阻止而不能外出到因特网的临时IP地址。
在图2中,用户利用网络浏览器来进行服务登录。浏览器将URL设定到服务登录服务器,后者触发一次DNS查找。DNS协议是允许通过路由器的。DNS服务器用内部服务登录服务器的IP地址作为回答。网络浏览器打开与服务登录服务器的HTTP连接。用户被要求提供用户标识和口令。
如果用户身份验证成功,就有CGI程序或小服务程序核查这个接入是否是根据预定规则或限制授权的。如果用户身份验证和权限查验成功,将激活一个CGI程序或小服务程序对DHCP服务器进行配置,使得下一次从该特定用户工作站接收到DHCP请求时将向其分配一个公共的IP地址。用状态更新和执行后续操作的Java小应用程序作为回答发回到浏览器。
在图3中,响应的HTML页中的一个Java小应用程序触发一个DHCP释放。这样,DHCP请求被发送。DHCP服务器用更新的IP配置响应。响应的HTML页中的一个Java小应用程序开始周期性地通知服务登录服务器,使服务登录服务器能保持这个配置的完好。当Java小应用程序第一次请求时,将激活一个CGI程序或小服务程序将新分配的公共IP地址配置到路由器的接入列表中,使得能经由新IP地址进行因特网接入。
在图4中,用户决定终止其接入后,点击网页上的“断开”按钮。服务登录服务器撤销这个工作站的DHCP配置。路由器的接入列表中对应该工作站的项被删除。服务登录服务器向工作站发送完成的HTML消息。服务登录服务器更新帐户记录。
在图5中,用户工作站的网络浏览器中的Java小应用程序停止向服务登录服务器通知其存在(例如退出浏览器、工作站关闭等等),服务登录服务器将撤销这个工作站的DHCP配置。路由器的接入列表中对应该工作站的项被删除。这样,将不允许该工作站再接入因特网。服务登录服务器更新帐户记录。
本发明的服务登录方法中,如果没有过程3之步骤7、10和过程4之步骤1至8中的迫使接入设备将临时IP地址改变成公共IP地址步骤,也是相当可行的。这只要通过在过程1之步骤3中向接入设备分配一个缺省的公共IP地址就能实现。如果在过程3之步骤3至4中判定用户可以接受继续使用该缺省的公共IP地址,则可以省略掉过程3之步骤7、10,过程4之步骤1至8,以及从DHCP服务器删除MAC地址的清理杂务。
所述方法或机制,在公共宽带IP网络业务环境中以及在移动办公室环境中,有着特别的应用。当前,对公共宽带IP网络业务来说,服务接入技术主要有三类。多数服务商采用数字用户闭路(DSL)、电缆调制解调器或用于以太网的结构化布线来提供服务。DSL主要采用OSI模型的第2层中的面向连接的协议。用于电缆调制解调器或以太网的结构化布线采用OSI模型的第2层中的无连接的协议。当前,DSL服务商在因特网拨号接入机制上建立他们服务提供方法的模型。用户将需要先“拨入”到网关(这是插入在通信通道中的另一个网络互连设备)进行验证和授权,然后才能继续。该机制基于的是先在用户接入设备与网关之间建立通道,然后才能提供网络服务。一些公用的封装协议包括以太网上的PPP(PPPoE)和第2层通道协议(L2TP)。
推广通道模型,可以为以太网的电缆调制解调器和结构化布线解决登录问题。然而,通道影响整个或总体的网络通信,要求专门的复杂的程序设计。所述机制不模仿因特网拨号接入机制。相反,本机制采用公用网址登录模型,要求用户先向特殊的网址一即SSO服务器登录,然后才被允许接入网络服务。
所述机制因此-比用通道能更灵活地适合服务更多的用户;-对IP多播(multicast)上传输的多媒体流量更友好;-能创造产生收入的机会,如从SSO服务器向用户推出广告。
在有些跨国公司已经实行的所谓“移动办公室”中,雇员不再有固定办公场所。雇员上班时,需要通过一个或多或少像旅馆登记手续一样的报到过程。因此就有可能用不同的物理以太网端口将相同的雇员连接到公司的内部网中。然后可以用所述的服务登录机制来先对用户验证身份,授以权限,再允许用户接入公司内部网。如果没有服务登录这个机制,管理人员就需要在网络互连设备上手工地执行一系列任务,来保障内部网上有适当的安全性。
所述的服务登录机制利用的是能在宽带IP网络中创造一个点来进行验证、授权、网络接入控制和策略实施。宽带IP网络的进入点由SSO服务器提供。该机制不需要创建任何新的通信协议。该机制是通过保证在登录期间的数据流只能以预定方式发生而实现的。
一般来说,所述机制是用适当的软件实现的,即通过网页、CGI脚本和/或Java小服务程序、Java小应用程序和后端网络配置模块的组合实现的。从技术上来讲,也可能以硬件设备的形式来实现所述SSO服务器,以提高性能,需要的话,提高可靠性。
可以将路由器视为一种智能的或程序控制的“交换机”。路由器在因特网和类似网络通信中是广为人知、广泛使用的,用于为数字传输选择在网络边缘或网络中的路线。路由器具有传输信息或不传输信息的功能-比方说一般以有开-关状态的开关方式工作,因此对有些地址提供接入控制,对其它地址则不提供。已知的路由器也为例如数据的输入速率必须降低的某些应用提供带宽控制,为其中可以赋予有些包更高优先级的某些应用提供优先级控制,提供诸如延迟某种信息的质量控制,以及“不掉包”装置。
本发明的一个特点在于SSO服务器能利用各种已知路由器的特点来响应网络所有人对逐个用户预定的接入和服务策略。例如,可以赋予高级(VIP)用户更高的优先级。可根据SSO服务器在用户接入因特网时自动提供的适当指令来提供对路由器的顺序或质量控制。这些指令根据的是用户标识符或其它已知的用户数据,或者是初始登录时的特殊用户指令。SSO服务器能以相同的方式,自动根据已知的(预先注册的)用户详细情况或指令,用内容/质量或时间锁(locks)来控制对某些数据的使用,使得要么只传输/接收某些数据(比如说可以将敏感的内容完全阻挡起来),要么只在一天中的某些时间传输。后一种方式可用于在每天的某些时间限制对某些用户或未成年人的传输。
权利要求
1.一种服务登录(SSO)方法,由宽带IP网络互连基础结构中的因特网服务商(ISP)或网络所有人用于用户验证,以允许接入设备能使用由该基础结构开通的网络服务和随后的接入记录记载,所述接入设备是相对于DHCP被配置的,含有支持Java小应用程序的软件;该方法包含提供一个存储用户相关信息的数据库;提供一个DHCP服务器,用于通过基础结构中现有的网络互连设备回答来自接入设备的DHCP包,以建立通过网络互连设备的接入设备与SSO网络服务器之间的通信;提供SSO网络服务器,用于向接入设备供应登录表单,以开始用户验证的登录前状态;提供SSO网络服务器,用于向接入设备供应Java小应用程序,以维持一个代表接入网络服务的会话和/或自动进行DHCP IP地址租用的更新;提供SSO网络服务器,用于控制向接入设备分配IP地址;提供SSO网络服务器,用于按用户激活网络互连设备上的接入和服务控制策略;提供一个DNS服务器,用于通过网络互连设备回答来自接入设备的DNS查询,以接入设备使用网络服务;以及为记帐目的而监视和接收有关该使用情况的记录的手段。
2.权利要求1所要求的服务登录方法中,网络互连设备是一个由ISP或网络所有人在接入设备与因特网或内部服务器系统之间的通信通道中配置的电子设备或计算机系统,能由SSO网络服务器用IETF标准IP通信协议进行控制,以按用户激活接入和服务策略。
3.权利要求2所要求的服务登录方法中,网络互连设备由路由器提供。
4.权利要求3所要求的服务登录方法中,路由器是与接入设备连接得最近的边际路由器。
全文摘要
本发明涉及一种服务登录(SSO)方法。该方法包含提供存储用户信息的数据库;提供SSO网络服务器,用于向接入设备供应登录表单,以开始用户验证的登录前状态,向接入设备供应Java小应用程序,以维持一个代表接入网络服务的会话和/或自动进行DHCP IP地址租用的更新,控制向接入设备分配IP地址;提供一个DNS服务器,用于通过网络互连设备回答来自接入设备的DNS查询。该方法有效地利用现有网络设施来建立对特定用户的接入管理。
文档编号H04L29/12GK1310410SQ0012278
公开日2001年8月29日 申请日期2000年8月14日 优先权日2000年2月19日
发明者邓伯雄 申请人:智才有限公司