在连接多个数据通信网络的中间网络元件处的接入控制的制作方法

专利名称：在连接多个数据通信网络的中间网络元件处的接入控制的制作方法
技术领域：
本发明涉及在多个数据通信网络中接入控制的使用。在一个或多个数据通信网络中，中间节点控制边缘节点对网络资源的接入。对网络资源的接入的许可是通过不与中间节点共处一地的外部实体确定的。这样的发展方案特别是一种为公众所知、但并不受其限制的无线数据通信网络，在这种无线通信网络中，由于需要减少处理负载或者为了管理方便，中间节点不对接入请求进行判定。
背景技术：
首先将披露有关文献(在本描述中称作现有技术)的信息。
非专利文献1IEEE 802.1工作组，“Port-Based Network AccessControl”，IEEE 802.1X标准，2001年6月。
非专利文献2L.Blunk和J.Vollbrecht，“PPP Extensible AuthenticationProtocol(EAP)”，IETF RFC 2284，1998年3月。
非专利文献3Basavaraj Patil和A.Yegin，“Charter ofProtocol for carryingAuthentication for Network Access”，IETF PANA WG Charter，2002年5月。
非专利文献4C.Rigney，S.Willens，A.Rubens，和W.Simpson，“RemoteAuthentication Dial In User Service(RADIUS)”，IETF RFC 2865，2000年6月。
非专利文献5P.R.Calhoun，J.Arkko，E.Guttman，G.Zorn，和J.Loughney，“Diameter Base Protocol”，IETF Intemet Draftdraft-ietf-aaa-diameter-12.txt，Work In Progress，2002年7月。
非专利文献6Aboba，“The Network Access Identifier”，IETF RFC 2486，1999年1月。
今天，因特网已经演化到在固定网络节点的系统周围配置多个周边数据通信网络的阶段。大多数的这些周边网络由不同的服务提供商或组织控制。因此，这些网络利用不同方法来实现接入控制。另外，基础网络基本结构在这些周边网络之间极大地不同(例如无线网络相对于有线网络)。所使用的基础网络基本结构限制了可能的接入控制方法。结果，还存在着较宽范围的接入控制方法。
例如，IEEE(电子和电气工程师协会)802.1x标准定义了用于局域网的网络接入协议(非专利文献1)。该标准定义了在IEEE 802网络中使用的IETF(因特网工程任务组)可扩展验证协议(EAP)(非专利文献2)的延伸，例如IEEE802.3以太网或IEEE 802.11无线网络。另一个示例是在用于承载网络接入(PANA)验证工作组(非专利文献3)的协议中正在进行的影响。这种网络接入协议通常应用于局域网，其中，接入控制消息限于本地网络。
在某些情形中，可能必须在局域网以外传送接入控制消息。例如，授权接入的服务器可能位于不同的局域网。当一个管理域由数个局域网组成时会发生这种情形。由于如果接入信息是在一个中央区域中收集而不是被分配给各局域网，中央接入服务器更容易管理和维持接入信息，所以，通常使用中央接入服务器来控制这些局域网。而且，随着移动网络基础结构的广泛利用，其中移动终端可以在一个远程区域中的多个无线网络中漫游并且被它的本地区域中的服务器验证，这种方案变得越来越普遍，对于这些情形，通常期望一种能够穿过一个或多个分组交换网络的协议。这种协议的示例被广泛用于远程验证拨号用户服务(RADIUS)协议(非专利文献4)、以及当前被定义的IETF的Diameter(DIAMETER)协议(非专利文献5)。这些协议通常被用来对于验证、授权以及记帐系统提供主干基础结构以便互相通信。由于这些协议通常比较昂贵，因此通常认为在终端使用过于昂贵(在计算和存储方面)。
对于终端的典型利用是使用诸如IEEE 802.1x的本地接入协议执行对本地中间媒介的接入请求。随后该中间媒介使用执行实际授权和验证的RADIUS或DIAMETER来联系远程全球服务器。这些结构大多数常见于、但不限于无线网络环境，其中无线移动节点使用EAP来请求接入，并且无线接入点使用RADIUS或DIAMETER来验证具有有线网络上的服务器的无线用户。
在其中本地节点使用一个或多个本地接入协议(例如PANA、IEEE802.1x、或者其他基于EAP的协议)并且全球验证服务器使用诸如DIAMETER或RADIU的另一个全球接入协议的网络接入环境中，不存在有效的方法来维持在中间媒介的两个协议之间的会话。另外，中间媒介的实现通常与接入协议紧密联系，从而接入协议的改变将基本上影响中间媒介的改变。
在所研究的现有技术中，仅DIAMETER(非这里文献5)规定了能够链接两个不同协议的中间媒介(称之为“翻译代理”)的可能性。然而，这种代理的规定并不存在。对于802.1x(非专利文献1)，定义了中间媒介“授权者系统”。然而，这被限于当授权会话的两个端点之间通信时使用相同802.1x协议的中间媒介。PANA工作组(非专利文献3)的章节明确地识别了在一个跳跃内使用的PANA协议，即，可能不存在使用PANA协议与本地节点和全球服务器两者通信的中间媒介。在那种情况中，中间媒介将必须使用不同的协议将验证会话中继到全球验证服务器。不幸的是，并没有定义那种中间媒介的结构和操作。
而且，由于这些中间的许多利用是在无线环境中的，因此完全可以设想中间媒介本身是移动的，例如在火车或飞机中的无线接入点。使用这种设定，则中间节点与全球服务器之间的连接可能瞬时中断是非常可能的。当存在基站之间的高频越区交换时，这尤其可能。对于这种方案没有优化大多数接入控制的实现。当中间节点不能定位在全球服务器中时，本地节点的接入请求经常被拒绝或者被保持。如果本地节点恰好必须互相通信，则这是效率低的。

发明内容
本发明的一目的是提供一种在多个数据通信网络中的接入控制方法，即使是中间节点与全球服务器之间的连接瞬间丢失，本方法也能够使多个本地节点互相通信。
本发明允许中间媒介利用一高级状态机在两个或更多个接入协议之间同步。具体地，将所使用的实际接入协议抽象为一组在状态机中使用的普通控制消息。因此，改变接入协议的问题仅限于受影响协议中的改变。
另外，在说明书中公开的本发明是考虑连接的频繁暂时损失而设计的。因此，本发明具有一种即使当不能联系到全球服务器时也允许本地节点互相连接的装置。
本发明包括在一个或多个数据通信网络中控制本地节点接入的中间节点的操作。当本地节点要求网络接入时，配置中间节点来联系全球服务器，以便授权该请求。本地节点和全球服务器所使用的协议可以是相同或不同的。当与全球服务器的连接暂时丢失时，本发明允许中间媒介暂时授权对本地节点的网络接入，从而本地节点仍可以互相通信。


图1示出了一通信网络方案，图解说明了在典型方案中连接到中间网络节点的通信网络。借助于全球服务器，中间节点通过本地节点控制对本地和全球网络资源的接入。
图2示出了在接入控制中的消息流向顺序图，描述了当通过全球服务器执行本地节点的接入控制时控制消息的综合流程顺序。中间节点充当本地节点与全球服务器之间的中继代理。此处示出了十四个普通控制消息。
图3示出了当中间节点从本地节点接收新数据分组时的状态转变的状态转变图，所述本地节点不具有与中间节点通信的有效会话。
图4示出了当中间节点从本地节点接收新数据分组时的状态转变，所述本地节点不具有与中间节点通信的有效会话。该状态图是当不需要用于释放网络资源的确认时从图3简化的。
图5示出了处理分组的流程，描述了中间节点处理从本地节点接收的分组所使用的算法。
图6示出了中间节点的结构，所述结构由用于处理本地节点和全球服务器所使用的接入协议消息的本地和全球接入协议单元、用于将实际接入协议消息映射到15个普通控制消息之一的消息映射单元以及用于实现状态转变的状态机组成。
具体实施例方式
现在参考附图，将在下面详细解释本发明的实施例。
此处公开了一种用于在中间网络元件控制网络资源的装置。为了帮助理解本发明，使用以下定义“分组”是可以在数据网络上传送的任意可能格式的数据的自包含(self-contained)单元。
除非特殊指定，所述“中间媒介”、“中间网络元件”以及“中间节点”是等效的，并且可以交换使用，它是指为本发明采用的网关、接入路由器或者智能网络集线器。
在下面的描述中，为了解释目的，阐述具体数字、时间、结构以及其他参数来彻底理解本发明。然而，对于本领域的任何技术人员明显的是，在没有这些具体细节的情况下也可以实现本发明。
本说明书中公开的发明被设计在中间网络节点中使用，该中间网络节点连接到两个或更多个数据通信网络，如图1所示。本发明的主题，中间节点(103)通过本地节点(101)控制对本地网络(102)和全球网络(104)的接入。每当存在一个请求网络接入的新本地节点(101)时，中间节点(103)必须咨询全球服务器(105)，全球服务器是许可对本地节点(101)的网络接入的授权机构。
图2图解说明了中间节点(103)、本地节点(101)和全球服务器(105)之间的控制消息的典型流向顺序。
通常，本地节点(101)必须通过向中间节点(103)发送本地接入请求消息(如由L-ACCESS-REQ(202)表示)来请求接入。该消息通常识别本地节点(101)，并且表明所请求的网络资源。然而，本地节点(101)可以假设这种请求是不必要的并且直接尝试使用网络资源，例如通过向其他本地网络(102)或全球网络(104)中的一个或多个节点发送数据分组。当中间节点(103)从先前未被许可接入(或者对于已经期满的先前授权)的本地节点(101)接收那些分组时，中间节点(103)可以通过发送L-ACCESS-INIT(201)消息通知本地节点(101)发送L-ACCESS-REQ(202)消息。
当中间节点(103)接收L-ACCESS-REQ(202)时，它随后用G-ACCESS-REQ(203)消息联系全球服务器(105)。该控制消息将来自本地节点(101)的新接入请求通知给全球服务器。然后全球服务器(105)可以接受、拒绝、或验证该请求。为了接受请求，全球服务器(105)向中间节点(103)发送G-ACCESS-OK(208)消息。当中间节点(103)接收G-ACCESS-OK(208)消息时，它通过向本地节点(101)发送L-ACCESS-OK(209)来许可对本地节点(101)的接入。从这一点看，本地节点(101)可以接入所请求的网络资源，直到它选择释放，或者直到授权到期为止。
为了释放网络资源，本地节点(103)可以向中间节点(103)发送L-LOGOFF(210)消息。中间节点(103)将通过以L-LOGOFF-ACK(211)消息答复来确认该释放。同时，它将通知全球服务器(105)中间节点(105)已经通过发送G-LOGOFF(212)被释放。全球服务器(105)用G-LOGOFF-ACK(213)控制消息进行确认。必须注意，网络资源释放的确认是可选的。在这种情形中，L-LOGOFF-ACK(211)和G-LOGOFF-ACK(213)控制消息不是必需的。
当全球服务器(105)拒绝请求时，它向中间节点(103)发送G-ACCESS-REJ(214)控制消息。当接收该控制消息时，中间节点用L-ACCESS-REJ(215)消息通知本地节点(101)。
另外，全球服务器(105)可以通过向中间节点(103)发送G-AUTH-REQ(204)消息来选择验证本地节点(101)。中间节点(103)用L-AUTH-REQ(205)将G-AUTH-REQ(204)中继到本地节点(101)。本地节点(101)必须用传送到中间节点(103)的L-AUTH-RES(206)来应答所述验证。中间节点(103)用G-AUTH-RES(207)控制消息将L-AUTH-RES(206)转发到全球服务器(105)。全球服务器(105)然后可以根据验证应答来接受或拒绝请求。此外，它可以选择用另一个G-AUTH-REQ(204)控制消息来再次验证本地节点(101)。
由于L-LOGOFF-ACK(211)和G-LOGOFF-ACK(213)消息是可选的这个事实，可以识别两组普通的控制消息首先，如这里后面描述的特征(3)所述，由上述定义的所有十五个消息组成的全组，以及其次，如这里后面描述的特征(2)所述，不包括L-LOGOFF-ACK(211)和G-LOGOFF-ACK(213)消息的由十三个消息组成的简化组。
如在以上所述中清楚得知，中间节点(103)必须维持接入请求会话期间的状态，以便在从本地节点(101)发送的消息与发送到本地节点(101)的消息和从全球服务器(105)发送的消息与发送到全球服务器(105)的消息之间同步。为了有助于此，定义以下在数据格式1中示出的数据结构，如此处后面所述的特征(8)中所记载的typedef struct_session_tag_{NODE_NFO local_node_info；STATE state；BUFFER packet[]；}SESSION；数据格式1SESSION Structure。
数据格式SESSION包括三个主要字段，local_node_info、state、和packetarray。local_node_info字段用于存储本地节点(101)的识别信息。该识别信息可以包括用户识别、网络接入识别符(非专利文献6)以及一些网络接口卡的唯一识别符。state字段用于存储接入请求的当前状态。当进一步披露中间节点(103)的操作时，在本说明书中后面state字段的使用将变得明显。packet array用于暂时存储当悬挂本地节点(101)的接入请求时或者当存在与全球网络连接的暂时丢失时从本地节点(101)发送的输出数据分组或发送到本地节点(101)的输出数据分组。packet array(分组阵列)的使用将在该说明书的后面进一步披露。
为了成功维持两个会话，即本地节点(101)与中间媒介之间的一个会话，以及中间媒介与全球服务器(105)之间的另一个会话，需要一组状态以及所述状态当中的转变。后面描述的特征(11)和(12)规定了最小组的状态和对于本发明的操作至关重要的状态转变。然而，为了正确地操作本发明，需要一组更完整的状态和状态转变。在该文献中公开了两个这样完整的组，如在图3和图4中所示的状态转变图所述，参考后面描述的特征(14)、(15)、(17)和(18)。对于本领域的任一技术人员明显的是，可以定义其他组的状态和状态转变来实现本发明。但是，这种组合并在后面描述的特征(11)和(12)中所记载的最小组的一些形式中。
图3是当普通控制消息组包括L-LOGOFF-ACK和G-LOGOFF-ACK消息时的状态图。当不需要这些消息时，状态图可被简化为图4中所示的状态图。总计定义了九个不同的状态，如下·S-INIT(301)S-INIT是当从本地节点(101)接收新分组时的初始状态，该本地节点在前未被许可接入并且没有未定的接入许可。对于该本地节点(101)将分配和初始化一新的SESSION结构。该SESSION结构将继续存在，直到达到S-DISCONN(307)状态为止。因此，通过分配具有类似local_node_info的SESSION结构，用于检查本地节点(101)是否具有未定或许可接入的方法检查是否存在与本地节点(101)相关的有效SESSION结构。
该状态是一种总是变换到不同状态的瞬时状态。它所变换到的状态取决于所接收到的分组类型。如果接收到的数据分组是L-ACCESS-REQ(202)消息，则下一状态将是S-RES-WAIT(303)，如由数字311表示的转变所示。在该转变处，变量“try”被设定为标记nRES，其定义了在声明连接已经失败之前将被发送的G-ACCESS-REQ(203)消息的数量。如果接收到的分组是普通数据分组，则下一状态是S-ACC-WAIT(302)，如由数字310表示的转变所示。在该转变处，变量“try”被设定为标记nACC，其定义了在声明连接已经失败之前将被发送的L-ACCESS-INIT(201)消息的数量。
·S-ACC-WAIT(302)该状态是在中间节点(103)从没有接收到L-ACCESS-REQ(202)的本地节点(101)接收普通分组时进入的。这是其中中间节点(103)正在等待本地节点(101)发送L-ACCESS-REQ(202)消息的状态。一旦进入该状态，将L-ACCESS-INIT(201)消息发送到本地节点(101)，并且递减变量“try”。同时，将开始定时器值tACC。当该定时器到期，触发新状态转变。如果“try”大于零，则发生自转变，即，重新进入S-ACC-WAIT(302)状态，如由数字320表示的转变所示。
相反，如果定时器以“try”等于零而到期，则认为有关与本地节点(101)联系的尝试已经失败，并且下一转变状态是S-DISCONN(307)，如由数字322表示的转变所示。当从本地节点(101)接收L-ACCESS-REQ(202)消息时，不管定时器如何，都可以发生到S-RES-WAIT(303)的状态转变。这是所期望的状态转变。在该转变期间，变量“pkt”被设定为G-ACCESS-REQ(203)，并且“try”被设定为nRES，如由数字321表示。
·S-RES-WAIT(303)该状态是在中间节点(103)从本地节点(101)接收L-ACCESS-REQ(202)时进入的。这是其中中间节点(103)正在等待全球服务器(105)以G-ACCESS-OK(208)接受接入请求、以G-ACCES-REJ(214)拒绝接入请求、或者以G-AUTH-REQ(204)验证接入请求的形式发送回响应的状态。
在进入该状态的基础上，中间节点(103)根据“pkt”的值将G-ACCESS-REQ(203)或者G-AUTH-RES(207)发送到全球服务器(105)，递减变量“try”，并且启动值为tRES的定时器。当该定时器到期，将触发一新的状态转变。如果“try”大于零，则发生自转变，即，重新进入S-RES-WAIT(303)状态，如由数字330表示的转变所示。如果当定时器到期时“try”是零，则获得由数字332表示的转变。根据如在以后描述的特征(9)和(10)所描述的中间节点(103)的策略，下一状态是S-CONN-LOST(308)或者S-DISCONN(307)。如果所述策略假设当中间节点(103)不能与全球服务器(105)联系(丢失)时许可接入，则下一状态将是S-CONN-LOST(308)，并且将L-ACCESS-OK(209)消息发送到本地节点(101)，如由数字334表示的转变所示。相反，如果所述策略假设当到全球服务器(105)的连接丢失(丢失)时拒绝接入，则下一状态将是S-DISCONN(307)，并且将L-ACCESS-REJ(215)消息发送到本地节点(101)，如由数字333表示的转变所示。
即使定时器没有到期也能够发生从S-RES-WAIT(303)到其他状态的转变。这发生在中间节点(103)从全球服务器(105)接收消息时。如果接收到的消息是G-ACCESS-REJ(214)，则将发生到状态S-DISCONN(307)的转变，如数字331所示。在转变期间，将L-ACCESS-REJ(215)发送到本地节点(101)。如果接收到的消息是G-ACCESS-OK(208)，将发生到状态S-CONN(305)的转变，如数字336所示。在该转变期间，将L-ACCESS-OK(209)消息发送到本地节点(101)，并且将变量“try”设定为nCONN。反之，如果接收到的消息是G-AUTH-REQ(204)，则下一状态将是S-AUTH-WAIT(304)。在由数字335所示的该转变期间，将变量“try”设定为nAUTH。
·S-AUTH-WAIT(304)该状态是在中间节点(103)从全球服务器(105)接收G-AUTH-REQ(204)时进入的。这是其中中间节点(103)正在等待本地节点(101)以L-AUTH-RES(206)消息响应验证的状态。当进入该状态时，将L-AUTH-REQ(205)发送到本地节点(101)并且递减变量“try”。另外，将设定定时器值tAUTH。
当该定时器到期或者从本地节点(101)接收到应答时，将发生状态转变。如果定时器到期“try”大于零，则发生自转变，如由数字330表示。如果当定时器到期时“try”是零，则假设与本地节点(101)的连接丢失，并且如果使用全组普通控制消息(图3)下一状态将是S-LOGOFF(306)，如由数字342表示的转变。另一方面，如果使用简化组的普通控制消息，则下一状态将是S-DISCONN(307)，如由数字442表示的转变所示。
即使中间节点(103)从本地节点(101)接收L-AUTH-RES(206)响应也可能发生状态转变。在这种情形中下一状态是S-RES-WAIT(303)。将变量“try”设定为nRES，并且将变量“pkt”设定为G-AUTH-RES(207)，如由数字341表示的转变所示。
·S-CONN(305)该状态是在中间节点(103)接收指出许可本地节点(101)接入请求的G-ACCESS-OK(208)消息时进入的。当进入该状态时，递减变量“try”，并且设定定时器值tCONN。当定时器到期时，将发生状态转变。如果当定时器到期时“try”大于零，则发生自转变，如由数字350表示。如果当定时器到期时“try”是零，由于中间节点(103)没有从本地节点(101)接收到任何分组，所以假设与本地节点(101)的连接丢失。
当这种情形发生时，在使用全组普通控制消息(图3)时，发生到状态S-LOGOFF(306)的由数字353表示的转变。如果使用减少的组(图4)，将发生由数字452表示的转变，这导致直接到S-DISCONN(307)状态。在由数字452表示的转变期间，将G-LOGOFF(212)消息发送到全球服务器(105)。
即使定时器仍未到期，当中间节点(103)从本地节点(101)接收分组时也可能发生状态转变。如果接收到的分组是L-LOGOFF(210)以指出释放网络资源，则对于全组普通消息(图3)下一状态是S-LOGOFF(306)。在由数字352表示的这一转变期间，中间节点(103)将L-LOGOFF-ACK(211)消息发送至本地节点(101)，并且将变量“try”设定为变量nOFF。
相反，如果使用减少的组(图4)，则将发生由数字452表示的转变，这将导致状态S-DISCONN(307)。在由数字452表示的转变期间，将G-LOGOFF(212)消息发送到全球服务器(105)。然而，如果分组是正常数据分组，则将发生到S-CONN(305)的自转变，并且将变量“try”复位到值nCONN，如由数字351所示的转变所示。
·S-LOGOFF(306)该状态是在中间节点(103)从本地节点(101)接收L-LOGOFF(210)时进入的，并且使用全组普通控制消息(图3)。这是其中中间节点(103)向全球服务器发送G-LOGOFF(212)消息的状态，并且等待G-LOGOFF-ACK(213)确认。一旦进入该状态，将L-AUTH-REQ(205)发送到全球服务器并且递减变量“try”。另外，将设定定时器值tOFF。当该定时器到期“try”大于零，则发生自转变，如由数字360表示的状态转变所示。如果当定时器到期时“try”等于零，或者如果从全球服务器(105)接收G-LOGOFF-ACK(213)消息，则将发生到S-DISCONN(307)的状态转变(361)。
·S-DISCONN(307)该状态是在中间节点(103)确定本地节点(101)不再需要网络资源时进入的。当进入该状态时，将删除与本地节点(101)相关的SESSION数据结构。将不再发生状态转变。
·S-CONN-LOST(308)该状态是在中间节点(103)确定到全球网络(104)的连接丢失时进入的，并且该策略假设直到恢复到全球网络(104)的连接才许可本地节点(101)的接入全球。会话将一直停留在该状态，直到它从本地节点(101)接收到L-LOGOFF(210)消息，或者直到恢复到全球网络(104)的连接。
在前一种情形中，如果使用全组的普通控制消息(图3)，则将L-LOGOFF-ACK(211)消息返回到本地节点(101)，并且下一状态是S-DISCONN(307)，如由数字381表示的转变所示。如果替换使用减少的组(图4)，则下一状态是S-DISCONN(307)，如由数字481所示的转变所示。另一方面，如果恢复到全球网络(104)的连接，则状态将是S-RESET-WAIT(309)。在由数字380表示的这一转变期间，将变量“try”设定为值nRST。
·S-RESET-WAIT(309)该状态是在中间节点(103)刚刚恢复连接到全球网络时进入的。这是其中在恢复在前接入全球会话之前正在等待接收由本地节点(101)发送的分组以便验证本地节点(101)仍然有效的一个状态。当进入该状态时，变量“try”递减，并且定时器被设定为值tRST。当该定时器到期并且“try”大于零时，发生自转变(390)。
反之，如果该定时器到期且“try”等于零，则假设本地节点(101)不再需要网络资源。在这种情形，发生到状态S-DISCONN(307)的转变，由数字391表示。当从本地节点(101)接收到分组时，会话将离开该状态。如果分组是L-LOGOFF(210)消息，如果使用全组的普通控制消息(图3)，则下一状态将是S-LOGOFF(306)。
与由数字392表示的该状态转变一起，将变量“try”设定为nOFF，并且用L-LOGOFF-ACK(211)消息来确认本地节点。否则，如果相反使用减少的组(图4)，则下一状态将是S-DISCONN(309)，如由数字492表示转变所示。在该转变492期间，G-LOGOFF(212)控制消息将被发送到全球服务器(105)。
相反，如果接收到的分组不是L-LOGOFF(210)消息，则本地节点仍然有效地使用网络资源，并且因此必须恢复接入请求会话。这由到状态S-ACC-WAIT(302)的状态转变(由数字393表示)所示。在这一转变期间，将变量“try”设定为nACC。
在上述状态图的描述中，几乎未提及nACC、nRES、nAUTH、nRST、nCONN、和nOFF。这些是用来控制重新传输尝试的数目的“重试参数”。对于本领域技术人员明显的是，重新传输任意控制分组是不期望的，或者反之是被禁止的，所公开的状态转变图通过将相应的“重试参数”设定为值1仍旧可用。另外，几乎未提及tACC、tRES、tAUTH、tCONN、tRST、和tOFF。这些是用于控制重新传输周期和状态转变定时的超时参数。
当到全球网络(104)的连接被断开时，本发明允许中间节点(103)暂时许可到本地节点(101)的接入。如此后描述的特征(9)和(10)中所述，这是根据策略可配置的选项。这样的配置选项，以其最简单的形式，可以作为一个位来表明本身，其中位值为零暗示所述策略是暂时拒绝接入，位值为一暗示所述策略是暂时许可接入。对于本领域的技术人员明显的是，其他形式的实现方式是可能的，例如使用一串位来表示配置选项的接通或切断。
在到全球网络(104)的连接断开的时间周期内，如果策略是许可本地节点(101)接入，则发送传送给在连接到中间节点(103)的本地网络(102)中的其他本地节点(101)的所有数据分组。然而，不能发送前往全球网络(104)的所有数据分组。这些数据分组被存储在与本地节点(101)相关的缓冲器中，如此后描述的特征(26)和(27)中所记载的。
为此，使用SESSION结构中的分组阵列pachket array。当到全球网络(104)的连接断开时，这可被用来存储由本地节点(101)发往全球网络(104)的数据分组。当恢复连接并全球服务器(105)已经许可接入时，随后处理以分组阵列排队的分组，就像接入被许可之后接收它们一样。
当到全球网络(104)的连接有效时也可以使用分组阵列。当全球服务器(105)仍未许可接入请求时，这用来存储由本地节点(101)发送到任意目的地的数据分组，如此后所描述的特征(24)和(25)中所记载的，所述任意目的地包括本地网络(102)。例如，这是在会话仍旧处于状态S-RES-WAIT(303)或S-AUTH-WAIT(304)时。一旦已经许可接入，则随后处理以分组阵列排队的数据分组，就像接入被许可之后接收它们一样。
参考此后描述的特征(22)和(23)，图5示出了当从本地节点(101)接收分组时由中间节点(103)使用的算法。首先搜索SESSION结构的列表来定位SESSION与本地节点(101)相关，如由数字501所示的步骤所示。该搜索可以是对所有SESSION结构的简单搜索，或者可以使用在local_node_info字段上的散列函数。如果未发现结构，则用具体例子说明由图3或4中所示的状态机管理的新状态机，如由数字502和503表示的步骤所示。
如果发现SESSION结构，则接着检查分组，以便查看它是否是L-ACCESS-REQ(202)、L-AUTH_RES(206)、或者L-LOGOFF(210)消息，如由数字504表示的步骤所示。如果是如此，如状态转变图规定来处理消息，如由数字505表示的步骤所示。否则，检查状态，以便查看它是否是S-CONN(305)或S-CONN-LOST(308)，如由数字506和508表示的步骤所示。
如果状态是S-CONN(305)，则以正常方式发送分组，并且状态机继续到下一状态，如由数字507表示的步骤所示。否则，如果状态是S-CONN-LOST(308)，则检查分组，以便查看它是否前往全球网络(104)或者本地网络(102)。如果分组是前往本地网络(102)，则发送该分组，并且状态机继续到下一状态，如由数字512表示的步骤所示。如果分组前往全球网络(104)，则将该分组排队成SESSION结构，并且状态机继续到下一状态，如由数字511表示的步骤所示。另一方面，如果状态既不是S-CONN(305)也不是S-CONN-LOST(308)，则采用由数字509表示的步骤。在该步骤，将分组排队成SESSION结构，并且状态机继续到下一步骤。
在所披露本发明的任意实际实现中，只有对将被排队的分组数目进行限制才使合理的。如果当分组阵列已满时需要排队更多分组，则可以静静地舍弃输入的分组。而且，对于本领域的技术人员明显的是，通过将分组阵列的大小设定为零，本发明被简化为一种不执行分组排队管理的系统。
参考此后描述的特征(1)，图6描绘了中间节点(103)的结构。它包括一个或多个本地接入协议单元(601)，用于处理由本地网络(102)中的本地节点(101)使用的接入协议；和一个或多个全球接入协议单元(602)，用于处理由全球服务器(105)使用的接入协议。
由本地接入协议单元(601)处理到本地节点(101)和来自本地节点(101)的消息，如由数字611表示的数据路径所指出。全球接入协议单元(602)处理到全球服务器(105)和来自全球服务器(105)的消息，如由数字612表示的数据路径所示。图6中所示的结构也包含消息映射单元(603)和状态机(604)，该消息映射单元将由本地和全球接入协议使用的消息映射为图2中定义的十五个控制消息之一，该状态机实现图3或图4中所描述的状态转变图。
来自本地接入协议单元(601)和全球接入协议单元(602)的消息被映射为普通控制消息，如分别由数字613和614表示的数据路径所指出的。随后映射后的消息被传递到状态机(604)，如由数字615表示的数据路径所指出的。当状态机(604)决定向本地节点(601)或全球服务器(105)发送消息时，这些消息经过由数字615表示的数据路被传送给消息映射单元(603)，以便被映射为有效的控制消息。所述有效控制消息分别经过由数字613和614表示的数据路径下传到本地接入协议单元(601)或全球接入协议单元(602)，以便传送到本地节点(101)或全球服务器(105)。
实施者可以使用高达全组的十五个普通控制消息，或者使用没有L-LOGOFF-ACK(211)和G-LOGOFF-ACK(213)的减化组。消息映射单元(603)将因此而如此后所描述的特征(4)和(5)中所描述的工作。事实上，参考此后描述的特征(6)和(7)，普通解决方案是使用全组，其中L-LOGOFF-ACK(211)普通消息被映射为空消息，即，本地接入协议单元(601)不发送有效的控制消息，并且G-LOGOFF-ACK(213)普通消息被映射为虚拟消息，其中总是暗示每当发送G-LOGOFF消息时已经接收到消息。
类似地，实施者根据选择使用普通控制消息的全组，可以图3或图4中公开的状态转变图上的状态机(604)为基础，如此后描述的特征(17)中所记载的，或者使用简化组的普通控制消息，如此后描述的特征(19)中所记载的。事实上，普通解决方案使用图3中所示的状态转变图。当使用简化组的普通控制消息时，人们可以通过将nOFF设定为1，将定时器值tOFF设定为一个非常小的值，例如一微秒，来得到图4中所示的状态转变图的操作，如此后描述的特征(21)和(22)中所记载的。
本发明允许在一个或多个本地数据通信网络中由一中间媒介控制本地网络节点的网络接入。它允许所述判定以许可以网络接入被定位在外部全球服务器中，从而使所述中间媒介不会因验证和接入问题而过载。使用本发明，中间节点能够容易地在本地节点与全球服务器之间同步所述接入请求消息。此外，当全球网络丢失时，所披露发明也允许中间媒介暂时许可对本地节点的接入。
当全球连接暂时断开时，这允许本地节点继续与其他节点通信。也对发送到全球网络的分组排队，从而一旦恢复全球连接时(并且许可接入)，可以不必等待重新发送本地节点而立即发送这些分组。
下面列出本发明的特征。
(1)一种用于在多个分组交换数据通信网络中控制对资源的接入的网络接入控制框架装置，其中所述接入控制框架控制接入一个或多个数据通信网络(之后称作本地网络)中的网络元素(之后称作本地节点)，并且所述接入控制框架不接入控制一个或多个数据通信网络(之后称作全球网络)，所述网络接入控制框架装置包括i.一个或多个本地接入协议单元，其中，本地接入协议单元使用规定的接入协议服务来自本地节点的接入请求；ii.一个或多个全球接入协议单元，其中，全球接入协议单元服务来自全球网络中的一个或多个网络元素(之后称作全球服务器)的接入应答，其中全球服务器提供对来自本地节点的接入请求的可信的应答。
iii.一消息映射单元，用于将在所述一个或多个本地接入协议单元中使用的控制消息、以及在所述一个或多个全球接入协议单元中使用的控制消息映射到一普通组的控制消息；和iv.一状态机，用于根据所述普通组的控制消息来控制所述网络接入控制框架装置的操作。
(2)所述组的普通控制消息，其中，如在以上(1)中所记载的，所述消息映射单元向和从由一个或多个本地接入协议单元以及一个或多个全球接入协议单元使用的控制消息映射，包括i.L-ACCESS-INIT普通控制消息，用于通知本地节点需要接入请求；ii.从本地节点发送的L-ACCESS-REQ普通控制消息，用于请求对受控网络资源的接入；iii.G-ACCESS-REQ普通控制消息，用于通知全球服务器正在请求本地节点接入受控网络资源；iv.从全球服务器发送的G-AUTH-REQ普通控制消息，用于请求有关正在请求接入受控网络资源的本地节点的验证消息；v.L-AUTH-REQ普通控制消息，被发送到正在请求接入受控网络资源的本地节点，用于从所述本地节点请求验证信息；vi.从本地节点发送的L-AUTH-RES，用于提供从本地节点发送的验证信息，以便请求对受控网络资源的接入；vii.G-AUTH-RES普通控制消息，被用来将验证信息从正在请求接入受控网络资源的本地节点发送到全球服务器；viii.从全球服务器发送的G-ACCESS-OK普通控制消息，用于指出许可了本地节点对受控网络资源的接入的请求；ix.L-ACCESS-OK普通控制消息，用于通知本地节点接入受控网络资源的请求已被许可；x.从本地节点发送的L-LOGOFF普通控制消息，用于指出对受控网络资源接入的释放；xi.被发送到全球服务器的G-LOGOFF普通控制消息，用于指出本地节点对受控网络资源接入的释放；xii.从全球服务器发送的G-ACCESS-REJ普通控制消息，用于指出拒绝了本地节点对受控网络资源的接入的请求；和xiii.L-ACCESS-REJ普通控制消息，用于通知本地节点对受控网络资源的接入请求已被拒绝。
(3)如在以上(2)中所记载的所述普通组的控制消息，其中如上(1)中所记载的，消息映射单元映射向和从由一个或多个本地接入协议单元以及一个或多个全球接入协议单元使用的控制消息映射，而当需要指出对受控网络资源的接入的释放时，确认是必需的，另外还包括下列附加控制消息i.L-LOGOFF-ACK普通控制消息，被用来确认释放了接入受控网络资源的本地节点；和ii.从全球服务器发送的G-LOGOFF-ACK普通控制消息，用于确认本地节点对受控网络资源的接入的释放。
(4)通过以上(2)中所记载的消息映射单元，如上(1)中所记载的、由一个或多个本地接入协议单元以及一个或多个全球接入协议单元使用的控制消息被映射成如以上(2)中所记载的普通控制消息之一。
(5)通过以上(3)中所记载的消息映射单元，如上(1)中所记载的、由一个或多个本地接入协议单元以及一个或多个全球接入协议单元使用的控制消息被映射成如以上(3)中所记载的普通控制消息之一。
(6)在以上(1)中所记载的网络接入控制框架装置的消息映射单元中使用的方法将在以上(3)中所记载的十五个普通控制消息组概括为在以上(2)中所记载的简化组的十三个普通控制消息，所述方法包括步骤i.将L-LOGOFF-ACK普通控制消息映射为空消息，其中，当不需要确认对受控网络资源接入的释放时，本地接入协议单元不发送有效的消息；和ii.将G-LOGOFF-ACK普通控制消息映射为虚拟消息，其中，当不需要确认对受控网络资源接入的释放时，G-LOGOFF-ACK普通控制消息被假设在释放对受控网络资源接入的指示传送到全球服务器之后立即被接收。
(7)以上(1)中所记载的消息映射单元，其中如上(1)中所记载的由一个或多个本地接入协议单元以及一个或多个全球接入协议单元使用的控制消息被映射为如以上(3)中所记载的普通控制消息之一，利用如以上(6)中所记载的方法将以上(3)中所记载的十五个普通控制消息组概括为以上(2)中所记载的简化组的十三个普通控制消息。
(8)由如上(1)中所记载的网络接入控制框架装置使用的数据格式，其中在从接入网络资源的请求开始到网络资源的释放的整个会话中，所述数据格式的结构与本地节点相关，所述数据格式包括i.用于存储有关相关本地节点的信息的字段，其中所述字段存储足够数量的信息，从而可以使用该信息来识别相关的本地节点；ii.用于存储如上(1)中所记载的状态机的当前状态的字段；和iii.可被用来暂时存储由相关本地节点发送的数据分组的字段。
(9)如上(1)中所记载的用于在多个分组交换数据通信网络中控制资源的接入的网络接入控制框架装置，还包括一种将所述网络接入控制框架装置的策略转换为下列一种的机制i.在确定到全球服务器的连接丢失的情形中，暂时地或者相反，在如此确定到全球服务器的连接丢失以外所剩余的时间周期期间，所述策略拒绝所有正在进行的或新启动的对所述网络资源的接入请求；或者ii.在确定到全球服务器的连接丢失的情形中，暂时或者相反，在策略保持确定到全球服务器的连接丢失的时间周期期间，策略接受所有正在进行或新近开始的对所述网络资源的接入的请求。
(10)用于交换如上(1)所记载的网络接入控制框架装置的策略的机制，所述网络接入控制框架装置用于控制对多个分组交换的数据通信网络中的资源的接入，所述机制转换到下列情形i.在确定到全球服务器的连接丢失的情形中，暂时或者相反，在策略保持确定到全球服务器的连接丢失的时间周期期间，策略拒绝所有正在进行或新近开始的对所述网络资源的接入的请求；或者ii.在确定到全球服务器的连接丢失的情形中，暂时或者相反，在策略保持确定到全球服务器的连接丢失的时间周期期间，策略接受所有正在进行或新近开始的对所述网络资源的接入的请求。
(11)在状态机中使用的一组状态，所述状态机控制如上(1)所记载的网络接入控制框架装置的操作，该组状态包括i.S-ACC-WAIT状态，其中指出需要接入请求的控制消息被发送到本地节点，并且所述状态机正在等待将由本地节点发送的接入请求消息；ii.S-RES-WAIT状态，其中指出已经做出接入请求的控制消息被发送到全球服务器，并且所述状态机正在等待将由全球服务器发送的响应；iii.S-CONN状态，其中对于本地节点许可对所请求的网络资源的接入；iv.S-DISCONN状态，其中本地节点释放对所有网络资源的接入，并且与本地节点相关的、具有如上(8)中规定的数据格式的结构被删除；v.S-CONN-LOST状态，其中所述状态机确定到全球服务器的连接丢失，并且当到全球服务器的连接丢失时，如上(9)中规定的策略被设定为允许暂时接入；和vi.S-RESET-WAIT状态，其中所述状态机确定到全球服务器的连接被恢复，然而，先前状态是S-CONN-LOST状态。
(12)一组如上(11)中所记载的状态之间的转变，其中，如上(1)中所记载的，这些转变被用在控制网络接入控制框架装置的操作的状态机中，所述转变组包括i.从S-ACC-WAIT状态转变到S-RES-WAIT状态，假设条件本地节点已经发送控制消息以请求对受控网络资源的接入；ii.S-RES-WAIT状态的自转变，假设条件在规定的时间周期之后，还未从全球服务器接收到响应于请求对受控网络资源的接入的控制消息，其中被执行的自转变数量没有超过规定阈值；iii.从S-RES-WAIT状态转变到S-DISCONN状态，假设条件在一规定的时间周期之后，还未从全球服务器接收到响应于请求对受控网络资源的接入的控制消息，其中被执行的自转变的数量已经超过规定阈值，并且策略被配置为拒绝如上(9)和(10)中所记载的接入请求；iv.从S-RES-WAIT状态转变到S-CONN-LOST状态，假设条件在一规定的时间周期之后，还未从全球服务器接收到响应于请求对受控网络资源的接入的控制消息，其中被执行的自转变的数量已经超过规定阈值，并且策略被配置为接受如上(9)和(10)中所记载的接入请求；v.从S-RES-WAIT状态转变到S-CONN状态，假设条件全球服务器已经发送了接受对受控网络资源的接入请求的控制消息，其中在所述转变期间，控制消息被发送到本地节点以指出接入受控网络资源的请求被接受；vi.从S-RES-WAIT状态转变到S-DISCONN状态，假设条件全球服务器已经发送了接受拒绝对受控网络资源接入的控制消息，其中在所述转变期间，控制消息被发送到本地节点以指出接入受控网络资源的请求被拒绝；vii.从S-CONN状态转变到S-DISCONN状态，假设条件在一规定的时间周期之后，还未从本地节点接收到分组，其中，所执行的自转变数量已经超过规定阈值；viii.从S-CONN状态转变到S-DISCONN状态，假设条件从本地节点接收到指出受控网络资源的释放的控制消息，其中在所述转变期间，控制消息被发送到全球服务器用于确认对受控网络资源的释放；ix.从S-CONN-LOST状态转变到S-DISCONN状态，假设条件从本地节点接收到指出受控网络资源的释放的控制消息，其中在所述转变期间，控制消息被发送到全球服务器用于确认对受控网络资源的释放；x.从S-CONN-LOST状态转变到S-RESET-WAIT状态，假设条件到全球服务器的连接被确定为已经恢复；xi.S-RESET-WAIT状态的自转变，假设条件在一规定的时间周期之后，还未从本地节点发送分组，其中被执行的自转变的数量没有超过规定阈值；xii.从S-RESET-WAIT状态转变到S-DISCONN状态，假设条件在一规定的时间周期之后，还未接收到从本地节点发送的分组，其中被执行的自转变的数量已经超过规定阈值；xiii.从S-RESET-WAIT状态转变到S-DISCONN状态，假设条件从本地节点接收到指出受控网络资源的释放的控制消息，其中在所述转变期间，控制消息被发送到全球服务器用于确认对受控网络资源的释放；和xiv.从S-RESET-WAIT状态转变到S-ACC-WAIT状态，假设条件从本地节点接收到分组，然而所述分组不是指出受控网络资源的释放的控制消息。
(13)如上(1)中所记载的网络接入控制框架装置的状态机利用如上(11)中所记载的一组状态和如上(12)中所记载的所述多个状态之间的一组转变来控制所述网络接入控制框架装置的操作。
(14)一组如上(11)中所记载的状态，在如上(1)中所记载的用于控制网络接入控制框架装置的操作的状态机中使用，该组状态还包括i.S-INIT状态，其中，具有如上(8)中规定的数据格式的结构被初始化，其中用于初始化所述状态机的所述结构与本地节点相关；ii.S-ACC-WAIT状态，其中，指出需要接入请求的控制消息被发送到本地节点，并且所述状态机正在等待将由本地节点发送的接入请求消息；iii.S-RES-WAIT状态，其中，一控制消息被发送给全球服务器，以指出提出了一接入请求，并且所述状态机正在等待将由全球服务器发送的应答；iv.S-AUTH-WAIT状态，其中，指出需要验证信息的控制消息被发送到本地节点，并且所述状态机正在等待将由本地节点发送的验证应答消息；v.S-CONN状态，其中，许可本地节点接入所请求的网络资源；vi.S-LOGOFF状态，其中，指出所请求网络资源的被释放的控制消息被发送到全球服务器，并且，所述状态机正在等待将由全球服务器发送的确认消息；vii.S-DISCONN状态，其中，本地节点释放对所有网络资源的接入，并且删除与本地节点相关的、具有如上(8)中规定的数据格式的结构被删除；viii.S-CONN-LOST状态，其中，所述状态机确定到全球服务器的连接丢失，并且当到全球服务器的连接丢失时，如上(9)中规定的策略被设定为允许暂时接入；和ix.S-RESET-WAIT状态，其中，所述状态机确定到全球服务器的连接被恢复，然而，先前状态是S-CONN-LOST状态。
(15)一组如上(14)中所记载的状态之间的转变，其中，这些转变是在控制如上(1)中所记载的网络接入控制框架装置的操作的状态机中使用的，该组转变包括i.从S-INIT状态转变到S-ACC-WAIT状态，假设条件本地节点没有发送控制消息来请求对受控网络资源的接入；ii.从S-INIT状态转变到S-RES-WAIT状态，假设条件本地节点已经发送了控制消息来请求对网络资源的接入；iii.S-ACC-WAIT状态的自转变，假设条件在一规定的时间周期之后，还未从本地节点接收到请求接入受控网络资源的控制消息，其中，所执行的自转变数量没有超过规定阈值；iv.从S-ACC-WAIT状态转变到S-DISCONN状态，假设条件在一规定的时间周期之后，还未从本地节点接收到请求接入受控网络资源的控制消息，其中，所执行的自转变的数量已经超过规定阈值；v.从S-ACC-WAIT状态转变到S-RES-WAIT状态，假设条件本地节点已经发送了请求接入受控网络资源的控制消息；vi.S-RES-WAIT状态的自转变，假设条件在一规定的时间周期之后，还未从全球服务器接收到应答请求接入受控网络资源的控制消息，其中，所执行的自转变数量没有超过规定阈值；vii.从S-RES-WAIT状态转变到S-DISCONN状态，假设条件在一规定的时间周期之后，还未从全球服务器接收到应答请求接入受控网络资源的控制消息，其中，所执行的自转变数量已经超过规定阈值，并且策略被配置为拒绝如上(9)和(10)中所记载的接入请求；viii.从S-RES-WAIT转变状态到S-CONN-LOST状态，假设条件在一规定的时间周期之后，还未从全球服务器接收到应答请求接入受控网络资源的控制消息，其中，所执行的自转变数量已经超过规定阈值，并且策略被配置为接受如上(9)和(10)中所记载的接入请求；ix.从S-RES-WAIT转变状态到S-CONN状态，假设条件全球服务器已经发送了接受请求接入受控网络资源的控制消息，其中，在所述转变期间，控制消息被发送到本地节点以指出接入受控网络资源的请求被接受；x.从S-RES-WAIT状态转变到S-DISCONN状态，假设条件全球服务器已经发送了接受拒绝对受控网络资源的接入的控制消息，其中，在所述转变期间，控制消息被发送到本地节点以指出接入受控网络资源的请求被拒绝；xi.从S-RES-WAIT状态转变到S-AUTH-WAIT状态，假设条件全球服务器已经发送了用于从本地节点请求验证信息的控制消息；xii.S-AUTH-WAIT状态的自转变，假设条件在一规定的时间周期之后，还未从本地节点接收到应答请求验证消息的控制消息，其中，所执行的自转变数量未超过规定阈值；xiii.从S-AUTH-WAIT状态转变到S-DISCONN状态，假设条件在一规定的时间周期之后，还未从本地节点接收到应答请求验证消息的控制消息，其中，所执行的自转变数量已经超过规定阈值；xiv.从S-RES-WAIT状态转变到S-AUTH-WAIT状态，假设条件全球服务器已经发送了从本地节点请求验证消息的控制消息；
xv.S-CONN状态的自转变，假设条件在一规定的时间周期之后，还未从本地节点接收到分组，其中，所执行的自转变的数量没有超过规定阈值；xvi.从S-CONN状态转变到S-LOGOFF状态，假设条件在一规定的时间周期之后，还未从本地节点接收到分组，其中，所执行的自转变数量已经超过规定阈值，；xvii.S-CONN状态的自转变，假设条件已经从本地节点接收到分组，其中，所述分组不是用于指出受控网络资源的释放的控制消息；xviii.从S-CONN状态转变到S-LOGOFF状态，假设条件从本地节点接收到指出受控网络资源的释放的控制消息，其中，在所述转变期间，控制消息被发送到全球服务器以确认受控网络资源的释放；xix.从S-LOGOFF状态的自转变，假设条件在一规定的时间周期之后，还未从全球服务器接收到受控网络资源的释放的确认，其中被执行的自转变的数量没有超过规定阈值；xx.从S-LOGOFF状态转变到S-DISCONN状态，假设条件还未从全球服务器接收到受控网络资源的释放的确认，其中，所执行的自转变数量没有超过规定阈值；xxi.从S-LOGOFF状态转变到S-DISCONN状态，假设条件已经从全球服务器接收到受控网络资源的释放的确认；xxii.从S-CONN-LOST状态转变到S-DISCONN状态，已经从本地节点接收到指出受控网络资源的释放的控制消息，其中，在所述转变期间，控制消息被发送到全球服务器以确认受控网络资源的释放；xxiii.从S-CONN-LOST状态转变到S-RESET-WAIT状态，假设条件到全球服务器的连接被确定为已经被恢复；xxiv.S-RESET-WAIT状态的自转变，假设条件在一规定的时间周期之后，还未从本地节点接收到分组，其中被执行的自转变的数量没有超过规定阈值；xxv.从S-RESET-WAIT状态转变到S-DISCONN状态，假设条件在一规定的时间周期之后，还未从本地节点接收到分组，其中被执行的自转变的数量没有超过规定阈值；xxvi.从S-RESET-WAIT状态转变到S-LOGOFF状态，假设条件已经从本地节点接收到指出受控网络资源的释放的控制消息，其中，在所述转变期间，控制消息被发送到本地节点以确认受控网络资源的释放；和xxvii.从S-RESET-WAIT状态转变到S-ACC-WAIT状态，假设条件已经从本地节点接收到分组，而所述分组不是指出受控网络资源的释放的控制消息。
(16)如上(1)中所记载的网络接入控制框架装置的状态机利用如上(14)中所记载的一组状态和如上(15)中所记载的多个状态之间的一组转变，控制所述网络接入控制框架装置的操作。
(17)在状态机中使用的如上(11)中所记载的一组状态，所述状态机控制如上(1)中所记载的网络接入控制框架装置的操作，该组状态还包括i.S-INIT状态，其中，具有如上(8)中规定的数据格式的结构被初始化，其中，用于初始化所述状态机的所述结构与本地节点相关；ii.S-ACC-WAIT状态，其中，指出需要接入请求的控制消息被发送到本地节点，并且所述状态机正在等待将由本地节点发送的接入请求消息；iii.S-RES-WAIT状态，其中，指出已经做出接入请求的控制消息被发送到全球服务器，并且所述状态机正在等待将由全球服务器发送的响应；iv.S-AUTH-WAIT状态，其中，指出需要验证信息的控制消息被发送到本地节点，并且所述状态机正在等待将由本地节点发送的验证响应消息；v.S-CONN状态，其中，对于本地节点许可对所请求的网络资源的接入；vi.S-DISCONN状态，其中，本地节点释放对所有网络资源的接入，并且与本地节点相关的、具有如上(8)中规定的数据格式的结构被删除；vii.S-CONN-LOST状态，其中，所述状态机确定到全球服务器的连接丢失，并且当到全球服务器的连接丢失时，如上(9)中规定的策略被设定为允许暂时接入；和viii.S-RESET-WAIT状态，其中，所述状态机确定到全球服务器的连接被恢复，然而，先前状态是S-CONN-LOST状态。
(18)如上(17)中所记载的状态之间的一组转变，其中，这些转变是在控制如上(1)中所记载的网络接入控制框架装置的操作的状态机中使用的，所述转变组包括i.从S-INIT状态转变到S-ACC-WAIT状态，假设条件本地节点没有发送请求接入受控网络资源的控制消息；ii.从S-INIT状态转变到S-RES-WAIT状态，假设条件本地节点已经发送请求接入受控网络资源的控制消息；iii.S-ACC-WAIT状态的自转变，假设条件在一规定的时间周期之后，还未从本地节点接收到请求接入受控网络资源的控制消息，其中，所执行的自转变数量没有超过规定阈值；iv.从S-ACC-WAIT状态转变到S-DISCONN状态，假设条件在一规定发时间周期之后，还未从本地节点接收到请求接入受控网络资源的控制消息，其中，所执行的自转变数量已经超过规定阈值；v.从S-ACC-WAIT状态转变到S-RES-WAIT状态，假设条件本地节点已经发送请求接入受控网络资源的控制消息；vi.S-RES-WAIT状态的自转变，假设条件在一规定的时间周期之后，还未从全球服务器接收到应答请求接入受控网络资源的控制消息，其中，所执行的自转变数量没有超过规定阈值；vii.从S-RES-WAIT状态转变到S-DISCONN状态，假设条件在一段定的时间周期之后，还未从全球服务器接收到应答请求接入受控网络资源的的控制消息，其中，所执行的自转变数量已经超过规定阈值，并且策略被配置为拒绝如上(9)和(10)中所记载的接入请求；viii.从S-RES-WAIT状态转变到S-CONN-LOST状态，假设条件在一规定的时间周期之后，还未从全球服务器接收到应答请求接入受控网络资源的控制消息，其中，所执行的自转变数量已经超过规定阈值，并且策略被配置为接受如上(9)和(10)中所记载的接入请求；ix.从S-RES-WAIT状态转变到S-CONN状态，假设条件全球服务器已经发送了接受请求接入受控网络资源的控制消息，其中，在所述转变期间，控制消息被发送到本地节点以指出接入受控网络资源的的请求被接受；x.从S-RES-WAIT状态转变到S-DISCONN状态，假设条件全球服务器已经发送了接受拒绝接入受控网络资源的控制消息，其中，在所述转变期间，控制消息被发送到本地节点以指出接入控网络资源的请求被拒绝；xi.从S-RES-WAIT状态转变到S-AUTH-WAIT状态，假设条件全球服务器已经发送了请求来自本地节点的验证信息的控制消息；xii.S-AUTH-WAIT状态的自转变，假设条件在一规定的时间周期之后，还未从本地节点接收到应答请求验证消息的控制消息，其中，所执行的自转变数量未超过规定阈值；
xiii.从S-AUTH-WAIT状态转变到S-DISCONN状态，假设条件在一规定的时间周期之后，还未从本地节点接收到应答请求验证消息的控制消息，其中，所执行的自转变数量已经超过规定阈值；xiv.从S-RES-WAIT状态转变到S-AUTH-WAIT状态，假设条件全球服务器已经发送了请求来自本地节点的验证消息的控制消息；xv.S-CONN状态的自转变，假设条件在一规定的时间周期之后，还未从本地节点接收到分组，其中，所执行的自转变数量没有超过规定阈值；xvi.从S-CONN状态转变到S-DISCONN状态，假设条件在一规定的时间周期之后，还未从本地节点接收到分组，其中，所执行的自转变数量已经超过规定阈值，其中，在所述转变期间，控制消息被发送到全球服务器以指出对受控网络资源的接入的释放；xvii.S-CONN状态的自转变，假设条件还未从本地节点接收到分组，其中，所述分组不是用于指出受控网络资源的释放的控制消息；xviii.从S-CONN状态转变到S-DISCONN状态，假设条件从本地节点接收到指出受控网络资源的释放的控制消息，其中在所述转变期间，控制消息被发送到全球服务器以指出对受控网络资源的接入的释放；xix.从S-CONN-LOST状态转变到S-DISCONN状态，假设条件从本地节点接收到指出受控网络资源的释放的控制消息；xx.从S-CONN-LOST状态转变到S-RESET-WAIT状态，假设条件到全球服务器的连接被确定为已经恢复；xxi.S-CONN-LOST状态的自转变，假设条件在一规定的时间周期之后，还未从本地节点发送分组，其中，所执行的自转变数量没有超过规定阈值；xxii.从S-RESET-WAIT状态转变到S-DISCONN状态，假设条件在一规定的时间周期之后，还未从本地节点发送分组，其中，所执行的自转变数量已经超过规定阈值；xxiii.从S-RESET-WAIT状态转变到S-DISCONN状态，假设条件从本地节点接收到指出受控网络资源的释放的控制消息，其中，在所述转变期间，控制消息被发送到全球服务器以指出对受控网络资源的接入的释放；和xxiv.从S-RESET-WAIT状态转变到S-ACC-WAIT状态，假设条件从本地节点接收到分组，然而所述分组不是指出受控网络资源的释放的控制消息。
(19)如上(1)中所记载的网络接入控制框架装置的状态机利用如上(17)中所记载的一组状态和如上(18)中所记载的多个状态之间的一组转变，来控制所述网络接入控制框架装置的操作。
(20)在如上(1)中所记载的网络接入控制框架装置中使用的方法，将如上(14)中所记载的一组状态和如上(15)中所记载的所述多个状态之间的一组转变概括为如上(17)中所记载的一组状态和如上(18)中所记载的所述多个状态之间的一组转变，所述方法包括步骤i.配置所述网络接入控制框架装置的参数，以用于S-LOGOFF状态的自转变，假设条件在一规定的时间周期之后，仍未从全球服务器接收到受控网络资源的释放的确认，其中，所执行的自转变数量没有超过规定阈值，所述规定时间周期是一个如此小的值，从而相对于所述网络接入控制框架装置的处理周期可以忽略不计，并且所述规定阈值被设定为值零，从而不能发生自转变；和ii.配置所述网络接入控制框架装置的参数，以便从S-LOGOFF状态转变到S-DISCONN状态，假设条件在一规定的时间周期之后，仍未从全球服务器接收到受控网络资源的释放的确认，其中，所执行的自转变数量没有超过规定阈值，所述规定时间周期是一个如此小的值，从而相对于所述网络接入控制框架装置的处理周期可以忽略不计，并且所述规定阈值被设定为值零，从而当所述规定时间周期过去时，必须发生到S-DISCONN状态的转变。
(21)如上(1)中所记载的网络接入控制框架装置的状态机，利用如上(14)中所记载的一组状态、如上(15)中所记载的所述多个状态之间的一组转变、如上(20)中所记载的将如上(14)中所记载的一组状态概括为如上(17)中所记载的一组状态的方法、以及如上(15)中所记载的所述多个状态之间的一组转变到如上(18)中所记载的所述状态之间的一组转变，来控制所述网络接入控制框架装置的操作。
(22)用于处理由本地节点发送的数据分组的、在如上(1)中所记载的网络接入控制框架装置中使用的方法，包括步骤i.搜索具有如上(8)中所记载的数据格式的结构，所述结构与本地节点相关，并且如果没有找到，则示出一个如上(1)中所记载的状态机的新示例来处理所述分组；
ii.当找到所述结构时，如果分组包含对应于如上(2)和(3)中所记载的普通控制消息之一的控制消息，则使所述分组被如上(1)中所记载的状态机处理；iii.当所述分组不包含对应于如上(2)和(3)中所记载的普通控制消息之一的任何控制消息时，并且如上(1)中所记载的状态机的状态处于受控网络资源的接入被许可的状态，则将所述分组转发到它的预定接收者；iv.当所述分组不包含对应于如上(2)和(3)中所记载的普通控制消息之一的任何控制消息时，并且如上(1)中所记载的状态机的状态不处于到全球服务器的接入被确定为丢失的状态，也不处于到受控网络资源的接入被许可的状态，那么，在与本地节点相关的所述结构中排队所述分组；v.当所述分组不包含对应于如上(2)和(3)中所记载的普通控制消息之一的任何控制消息时，并且如上(1)中所记载的状态机的状态处于到全球服务器的接入被确定为丢失的状态，并且如上(9)中所记载的策略被配置来接受接入请求，并且所述分组的预定接收者在由所述网络接入控制框架装置控制的数据通信网络中，将所述分组转发到它的预定接收者；和vi.当所述分组不包含对应于如上(2)和(3)中所记载的普通控制消息之一的任何控制消息时，并且如上(1)中所记载的状态机的状态处于到全球服务器的接入被确定为丢失的状态，并且如上(9)中所记载的策略被配置来接受接入请求，并且所述分组的预定接收者在不由所述网络接入控制框架装置控制的数据通信网络中，在与本地节点相关的所述结构中排队所述分组。
(23)如上(1)中所记载的网络接入控制框架装置利用如上(22)中所记载的方法来处理由本地节点发送的数据分组。
(24)如上(1)中所记载的网络接入控制框架装置，其中，当仍未许可所述本地节点接入受控网络资源时，所述网络接入控制框架装置利用上(24)中所记载的机制来暂时存储由本地节点发送的分组，其中，所述数据分组打算供一些其他节点使用，包括步骤，当所述分组不包含对应于如上(2)和(3)中所记载的普通控制消息之一的任何控制消息时，并且如上(1)中所记载的状态机的状态不处于到全球服务器的接入被确定为丢失的状态，并且不处于到受控网络资源的接入被许可的状态，在具有如上(8)中所记载的数据格式的结构中排队所述分组，其中所述结构与本地节点相关。
(25)如上(1)中所记载的网络接入控制框架装置中利用的机构，其中，当仍未许可所述本地节点接入受控网络资源时，所述机制允许网络接入控制框架暂时存储由本地节点发送的分组，其中，所述数据分组打算供一些其他节点使用，包括下述步骤当所述分组不包含对应于如上(2)和(3)中所记载的普通控制消息之一的任何控制消息时，并且如上(1)中所记载的状态机的状态不处于到全球服务器的接入被确定为丢失的状态，并且不处于到受控网络资源的接入被许可的状态，在具有如上(8)中所记载的数据格式的结构中排队所述分组，其中所述结构与本地节点相关。
(26)在如上(1)中所记载的网络接入控制框架装置中利用的机制，其中，当如上(1)中所记载的全球服务器仍未许可到所述本地节点的连接接入受控网络资源时，所述机制允许网络接入控制框架暂时存储由本地节点发送的分组，其中，所述数据分组打算供不由所述网络接入控制框架装置控制的数据通信网络中的一些其他节点使用，包括步骤，当所述分组不包含对应于如上(2)和(3)中所记载的普通控制消息之一的任何控制消息时，并且如上(1)中所记载的状态机的状态处于到全球服务器的接入被确定为丢失的状态，并且如上(9)中所记载的策略被配置为接受接入请求，和所述分组的预定接收者处于不由所述网络接入控制框架装置控制的数据通信网络中，在与本地节点相关的所述结构中排队所述分组。
(27)如上(1)中所记载的网络接入控制框架装置，其中，当如上(1)中所记载的全球服务器仍未许可到所述本地节点的连接接入受控网络资源时，所述网络接入控制框架装置利用如上(26)中所记载的机制来暂时存储由本地节点发送的分组，其中所述数据分组打算供不由所述网络接入控制框架装置控制的数据通信网络中的一些其他节点使用，包括步骤，当所述分组不包含对应于如上(1)和(3)中所记载的普通控制消息之一的任何控制消息时，并且如上(1)中所记载的状态机的状态处于到全球服务器的接入被确定为丢失的状态，并且如上(9)中所记载的策略被配置为接受接入请求，和所述分组的预定接收者处于不由所述网络接入控制框架装置控制的数据通信网络中，在与本地节点相关的所述结构中排队所述分组。
本发明基于2002年9月20日提交的日本专利申请No.2002-276195，在此全文引用作为参考。
工业实用性本发明可应用于在连接多个数据通信网络的中间网络元件中的接入控制。
权利要求
1.一种中间网络元件中的接入控制方法，所述中间网络元件用于连接多个包括本地网络和全球网络的数据通信网络，所述接入控制方法包括步骤确定从本地网络中的本地节点到全球网络中的全球节点的连接是否断开；和当在确定步骤确定从本地节点到全球节点的连接断开时，接受从本地节点到全球节点的接入。
2.根据权利要求1所述的接入控制方法，还包括步骤当在确定步骤确定从本地节点到全球节点的连接断开时，拒绝从本地节点到全球节点的接入，其中，根据中间网络元件的动作过程来交换接受步骤和拒绝步骤。
3.根据权利要求1所述的接入控制方法，还包括步骤当在接受步骤中接受从本地节点到全球节点的接入时，向本地节点发送指出到全球节点的接入被接受的消息。
4.根据权利要求2所述的接入控制方法，还包括步骤当在拒绝步骤中拒绝从本地节点到全球节点的接入时，向本地节点发送指出到全球节点的接入被拒绝的消息。
全文摘要
披露了一种在数据通信网络中使用的接入控制方法，即使中间节点(103)与全球服务器(105)之间的连接瞬间丢失，该方法也能够使多个本地节点(101)互相通信。在该方法中，当到全球服务器(105)的连接断开时，该方法根据一预定策略允许中间节点(103)代替全球服务器(105)来暂时许可对本地节点(101)的接入，由此允许本地网络(102)续如往常一样进行操作，直到重新建立到全球网络(104)的连接。
文档编号H04L12/28GK1656738SQ0381148
公开日2005年8月17日 申请日期2003年9月22日 优先权日2002年9月20日
发明者吴振华, 陈必耀, 上丰树 申请人:松下电器产业株式会社