专利名称:认证网关的自发起端到端监控的制作方法
技术领域:
本发明涉及网络认证网关。
背景技术:
强制网络门户(captive-portal)技术强制网络上的HTTP客户端的用户在前进到因特网进行正常浏览之前观看特定web页面(例如,出于认证目的)。通常,这种技术截取无论地址或端口为何的所有分组,直到用户打开web浏览器(例如,Internet Explorer或Mozilla Firefox)并试图访问因特网为止。此时,浏览器被重导向至可能需要认证的web页面。大多数Wi-Fi热点都利用某种形式的强制网络门户,但是强制网络门户也可用于控制有线访问(例如,在公寓屋内、在旅馆房间内、和在商业中心)。
因为web主机的登录页面自身被呈现给客户端的用户,所以登录页面在本地被存储在执行强制网络门户的接入网关中,或者作为登录页面主机的服务器经由围墙花园(walled garden )而被"列入白名单"(whitelisted)以绕开认证处理。
强制网络门户通常辅助执行付款结构。但是,强制网络门户在免费无线网络中正变得越来越普遍,在免费无线网络中,取代对用户进行认证,强制网络门户通常与使用条款一起显示来自ISP提供商的消息,并要求用户同意。
许多强制网络门户要求客户端的用户通过SSL加密的登录页面,在那之后客户端的IP和MAC地址被允许通过接入网关。因此, 一些平台不支持强制网络门户,例如,包括Wi-Fi和TCP/IP栈但是不包括利用HTTPS的web浏览器的游戏平台。
端到端监控是这样的处理,其就像实际端用户会做的那样尝试远程访问web服务器或其它因特网设备以验证该服务器为可访问并总是正确运作。该方法可以取代由web或系统管理员运行的本地监控软件而被使用,
或者作为对该本地监控软件的补充。
图1是示出可结合本发明一些实施例使用的网络环境的示图。
图2是示出服务器装备(appliance)的硬件系统体系结构的示图,该服务器装备可以包括本发明 一些实施例中的认证网关。
图3A和3B相组合是示出用于监控认证网关的示例处理的框图-序列图,其中的序列可结合本发明实施例来使用。
图4是示出示例性监控处理的流程图的示图,其中的处理可以由本发明 一些实施例中的认证网关执行。
图5是示出示例性监控处理的流程图的示图,其中的处理可以由本发明 一些实施例中的客户端执行。
具体实施例方式
在特定实施例中,本发明提供了涉及自动化的、端到端监控一个自发起监控的认证网关的方法、装置和系统。以下示例实施例是结合装置、方法和系统来描述并图示的,这些装置、方法和系统应该是示例和说明性的,而非限制范围。
A.网络环境
图1是示出可以结合本发明的一些实施例使用的网络环境的示图。该网络包括与交换机和接入点(AP) 102相连的若干客户端101。在特定实施例中,客户端101之一可以是参与下文描述的监控处理的软件代理。交换机或AP 102进而与认证网关103相连,以下将进一步详细描述认证网关103。在特定实施例中,认证网关103可以是具有如下两个网络接口的双宿(dual-homed)设备(1)用于客户端101的内部接口;禾Q (2)用于诸如因特网之类的网络的外部接口。
认证网关103与路由器104相连,路由器104与网络(例如因特网)105相连。与网络相连的还有RADIUS (远程认证拨号用户设备)服务器,并且也许还有信用卡服务器107,该信用卡服务器107可以结合来自客户端IOI之一的用户的付款被使用。将会了解,可以使用RADIUS服务器来执行针对网络访问的AAA (认证、授权、计费)协议。
在一些实施例中,认证网关是将来自客户端计算机的web访问重新导向对用户进行认证的web页面的服务管理网关。 一旦网关认证了用户,网关就授权用户访问受该网关控制的网络。通常认证网关被部署在诸如医院之类的环境中用于向顾客付款以访问因特网。 一些机构使用认证网关来向顾客信息中心处的和机构场地中的其它地方处的访客提供因特网连接性。
B.认证网关的系统体系结构
出于说明的目的,图2图示了诸如例如桌上型或IRU (One RackUnit)之类的服务器装备的硬件系统200,该硬件系统200可以包括在本发明一些实施例中的认证网关。通常,装备包括具有操作系统的成品计算机,该计算机的机盒和用户接口被设计为使得用户无法触及该计算机上的除应用接口之外的任何东西。由于基础计算体系结构实质上被锁定,所以人们难以辨明设备实际上在通用硬件和操作系统软件上运作。基于Linux或Windows的操作系统通常被用作这样的装备的操作系统。
本发明的其它实施例可以仅仅包括在通用计算机上执行的软件,而非装备。同样地,在一些实施例中,以下描述的测试处理利用了客户端。这样的客户端也可以是通用计算机。与适用服务器装备一样,图2所示的硬件系统同样也适用通用计算机。
在一个实施例中,硬件系统200包括处理器202、缓存存储器204以及涉及这里所描述的功能的一个或多个软件应用和驱动器。另外,硬件系统200还包括高性能输入/输出(I/O)总线206以及标准I/O总线208。主机桥210将处理器202耦合至高性能I/O总线206,而I/O总线桥212将两个总线206和208相互耦合。系统存储器214和多个网络/通信接口 216与总线206耦合。硬件系统还可以包括视频存储器(未示出)和与该视频存储器耦合的显示设备。海量存储装置218和I/O端口 220与总线208耦合。在一些但不是所有实施例中,硬件系统200也可以包括与总线208耦合的键盘和点选设备222以及显示器224。共同地,这些元件意图代表广泛类别的计算机硬件系统,包括但不限于基于由加州圣他克拉市的Intel公司制造的x86兼容处理器、由位于加州桑尼维尔市的Advanced MicroDevices (AMD)公司制造的x86兼容处理器、以及任何其它合适处理器的通用计算机系统。
以下将更详细描述硬件系统200的元件。特别地,网络接口 216提供了硬件系统200与各种网络中的任意网络(例如,以太网(例如,IEEE802.3)网络等)之间的通信。海量存储装置218为用以执行在RF覆盖图发生器中实现的上述功能的数据和程序指令提供永久存储,而系统存储器214 (例如,DRAM)为被处理器202执行时的数据和程序指令提供临时存储。1/0端口 220是一个或多个串行和/或并行通信端口,其提供了附加外围设备之间的通信,这些附加外围设备可以与硬件系统200耦合。
硬件系统200可以包括各种系统体系结构;并且硬件系统200的各个组件可被重新配置。例如,缓存204可以与处理器202 —起在片上(onchip)。或者,缓存204和处理器202可被封装在一起作为"处理器模块",其中处理器202被称为"处理器核"。此外,本发明的特定实施例可以不需要也不包括所有以上组件。例如,被示出为与标准I/O总线208耦合的外围设备可以与高性能I/O总线206耦合。另外,在一些实施例中,可以仅存在单个总线,硬件系统200的组件都与该单个总线耦合。此外,硬件系统200可以包括诸如附加处理器、存储设备或存储器之类的附加组件。
如上所述,在特定实施例中,这里所描述的处理可被实现为由硬件系统200运行的一系列软件例程。这些软件例程包括要由硬件系统中的处理器(例如,处理器202)执行的多个指令或一系列指令。起初,该一系列指令被存储在诸如海量存储装置218之类的存储设备上。但是,该一系列指令可被存储在任何合适的存储介质上,例如,磁盘、CD-ROM、 ROM、EEPROM等。此外,该一系列指令不必存储在本地,而可以经由网络/通信接口 216从诸如网络上的服务器之类的远程存储设备接收。指令被从诸如海量存储装置218之类的存储设备复制到存储器214中,随后被处理器202访问并执行。
8操作系统管理并控制硬件系统200的操作,包括向和从软件应用(未 示出)输入和输出数据。操作系统提供要在系统上执行的软件应用和系统 的硬件组件之间的接口。本发明可以结合任何合适的操作系统来使用,例 如可从华盛顿州瑞德蒙市的Microsoft公司获得的Windows 95/98/NT/2000/XP/Vista操作系统、可从加州库比蒂诺市的Apple公司获得 的Apple Macintosh操作系统、UNIX操作系统、Linux等。
C.监控认证网关的处理
图3A和3B是示出监控认证网关的示例性序列的组合框图-序列图, 其中的序列可结合本发明的实施例使用。如图所示,认证网关在与因特网 相连的网关子网中操作。认证网关的代理(例如,在客户端上运行的进 程)在通过交换机或AP与认证网关相连的客户端子网中操作,如图1所
不o
在一些实施例中,客户端可以是专用于运行作为其主应用的该代理的
客户端。在一个实现方式中,该代理可以包括用以监控从一个或多个认 证网关发送而来的测试发起消息的服务器模块、操作来发送消息以访问远 程网络资源的客户端模块、以及操作来记录访问的一个或多个事件或属性 的曰志模块。在特定实施例中,代理将尝试使用由网关发送到其的证书来 访问受认证网关控制的网络。另外,代理将记录在访问尝试期间检测到的 一个或多个事件(例如,失败登录),并使用已有的或新的连接来向认证 网关报告访问尝试的结果和检测到的事件。
如图3A和3B所示,认证网关可以包括若干模块(a)网关监控
器;(b)认证入口;(C)流量过滤器;和(d)用户数据库。在图3A和
3B所示的示例序列的步骤1中,网关监控器生成临时的或一次性的证书
(例如,使用随机数发生器来创建例如用户名和密码对),并将证书存储
在用户数据库中。在步骤2中,在指示流量过滤器允许传输包含临时证书
的消息和来自代理的应答(例如,来自客户端地址的消息)之后,网关监
控器对临时证书进行加密,并使用HTTPS URI方案将它们发送到代理。 在没有这样的指令的情况下,流量过滤器将阻止来自客户端子网的所有流 量(例如,使用端口 80的web流量),并将其重新导向认证入口。在接收到包含临时证书的消息时,在步骤3中代理对它们进行解密。
在步骤4中,代理尝试访问远程网络资源,在假设认证网关正正确运作的 情况下,该尝试访问将引起以下操作(a)流量过滤器利用强制网络门 户来应答(例如,其阻止访问尝试并将其重新导向);(b)代理尝试利 用临时证书来登录;和(c)在利用用户数据库对临时证书进行验证之 后,认证入口准许代理访问。在步骤5中,代理验证认证网关的响应的正 确性,之后在步骤6中,验证对远程网络资源的访问。如果验证成功,则 在步骤8中断开连接之前,代理在步骤7中使用HTTPS URI方案来向网关 监控器确认这些验证。然后在步骤9中,网关监控器从用户数据库移除这 些临时证书。如果验证不成功,则网关监控器在步骤10中例如通过重新 开始服务栈上的进程或者甚至重新启动(reboot)来(例如通过电子邮 件)通知系统管理员或者尝试自己连接。
在特定实施例中,图3A和3B所示的监控将按由系统管理员确定的预 定周期来发生。在其它实施例中,图3A和3B所示的监控可以由特定事件 (例如由系统管理员手动干预)来触发(例如, 一经请求就触发)。
图4是示出示例性监控处理的流程图的示图,该处理可由本发明一些 实施例中的认证网关执行。将会了解,图4描述了与针对图3A和3B中的 认证网关的模块而示出的那些步骤相似的步骤。在图4所示的第一步骤 401中,网关监控器创建临时用户登录(例如,用户名和密码、访问代 码、或者由挑战-响应认证协议建立的其它响应)并将其存储在数据库中。 然后在步骤402中,网关监控器使用诸如HTTPS之类的安全连接向客户 端上的代理发送经过加密的登录信息。在步骤403中,网关监控器等待代 理作出响应。当客户端作出响应时,网关监控器前往步骤404,并应用预 定登录和报告策略,例如,图3A和3B所示的策略,其向用户呈现强制网 络门户。
因此,在一些实施例中,网关监控器可以向客户端呈现强制网络门 户。客户端随后将尝试登录并访问网络上的站点,并且将报告就被允许登 录或者访问网络而言的任何故障。在其它实施例中,预定登录和报告策略 可以涉及与使用条款有关的web页面,这些web页面由网关监控器连同强制网络门户来发送给客户端。除了报告未能被允许登录或访问网络之外,
客户端还将报告网关监控器未能正确序列显示所有web页面。g卩,在一个
实现方式中,客户端可配置有应当在登录期间遇到的期望的消息和/或页面 序列。客户端可以在以下的验证报告中发送对所遇到的页面(或者未遇到 那些页面)的指示。
如果在步骤403中客户端在预定时间段内未作响应,则在一些实施例 中,网关监控器可以重新发送临时用户登录或者利用电子邮件通知系统管 理员。当在步骤405中网关监控器从存储装置移除该临时用户登录时,处 理结束。
在步骤402中,网关监控器使用诸如使用SSL (安全套接字层)的 HTTPS之类的安全连接来向客户端发送临时用户登录。在其它实施例中, 网关监控器可以使用诸如AES (高级加密标准)之类的加密标准和与客户 端上运行的代理模块共享的密钥来加密临时用户登录。其它实施例还可以 使用用于保证认证网关和客户端之间的连接的安全的其它手段。类似地, 当发送临时用户登录时,网关监控器可以使用具有http备用端口 (端口 8080)的HTTP协议。
另外,在图4的步骤401中,网关监控器将临时用户登录存储在数据 库中,并在步骤408将其移除。在一些实施例中,数据库可以是图3A和 3B所示的用户数据库。在其它实施例中,数据库可以在如图1所示的 RADIUS服务器上。
图5是示出示例性监控处理的流程图的示图,该处理可以由本发明一 些实施例中的客户端执行。将会了解,图5描述了与针对在图3A和3B的 客户端上运行的代理而示出的那些步骤相似的步骤。在图5所示的第一步 骤501中,代理监控其消息,等待接收测试发起消息。当接收到这样的消 息时,在步骤502中代理判断该消息是否有效(例如,该消息是否包含登 录信息)。如果无效,则代理前进到步骤506,并将该故障报告给认证网 关。如果测试发起消息有效,则代理前进到步骤503,并尝试访问受认证 网关控制的网络(例如,因特网)上的可配置站点。在步骤504中,代理 判断其访问该站点的权限是否被认证网关质疑(challenge)。如果未被质
ii疑,则代理再次前进到步骤506,并将该故障报告给认证网关。否则,如 果接收到质疑,则代理前进到步骤505,并利用在测试发起消息中接收的 登录信息来作出响应。然后,如果对站点的访问得到准许,则代理前进到 步骤506,并向认证网关发送报告以报告成功。否则,如果访问未得到准 许,则代理在步骤506向认证网关报告故障。在一些实施例中,代理可能 己建立与认证网关的连接。在那些实施例中,代理可以在步骤506中发送 其报告之后,断开与认证网关的连接。
如上所述,在特定实施例中,系统管理员可以对认证网关和代理进行 配置。除了用于验证的网络站点之外,这样的配置也可包括监控周期、在 认证网关处等待验证报告的时间段、在客户端处等待登陆许可的时间段、 等待连接网络站点的时间段、等等。此外,配置还可包括关于如果未接收 到及时验证报告则认证网关如何作出响应的策略(例如,通过发送另一个 测试发起消息)。类似地,配置可包括关于如果在预定时间段内未接收到 带有临时登录的消息则客户端如何作出响应的策略(例如,通过通知系统 管理员)。或者,配置可以包括关于如果客户端未连接到网络站点则客户 端将如何作出响应的策略(例如,通过再次尝试登录到强制网络门户登录 页面)。
此外,在图5中,代理对客户端连接到可配置网络站点的能力进行验 证。在其它实施例中,代理可以验证认证网关的其它行为,例如在成功登 录之后网关发送给客户端的、与使用条款有关的web页面序列。这样的验 证也将经历由网络管理员进行的配置。
上述处理的特定实施例可包括存储在存储介质上的指令。指令可被处 理系统取回并执行。当被处理系统执行时,指令操作来使处理系统根据本 发明操作。指令的一些示例是软件、程序代码、固件和微代码。存储介质 的一些示例是存储设备、磁带、磁盘、集成电路和服务器。术语"处理系 统"指的是单个处理设备或者一组互操作处理设备。处理设备的一些示例 是集成电路和逻辑电路。本领域技术人员熟知指令、存储介质和处理系 统。
本领域技术人员将会了解落在本发明范围内的上述实施例的变体。为此,将会了解,存在上述处理的步骤的许多可能排序以及那些排序的许多 可能模块。此外,存在这些排序和模块在硬件和软件之间的许多可能划 分。并且,除了这里所描述的认证网关系统之外,还存在自发起端到端监 控可能有用的其它可能系统。结果,本发明不限于上述的具体示例和图 示,而仅由所附权利要求及其等同物限定。
权利要求
1.一种方法,包括在认证网关处创建用于访问网络的临时登录信息;安全地向测试代理发送包括所述临时登录信息的测试发起消息,其中,所述测试代理操作来使用所述临时登录信息来尝试网络访问;接收来自所述测试代理的验证报告,其中,所述验证报告包括使用所述临时登录信息的所尝试网络访问的一个或多个所记录事件;以及基于所述验证报告来采取一个或多个动作。
2. 根据权利要求1所述的方法,其中,所尝试网络访问寻求访问所 述网络上的可配置站点。
3. 根据权利要求1所述的方法,其中,所述验证报告还涉及对由所 述认证网关发送到所述客户端的可配置web页面序列的验证。
4. 根据权利要求1所述的方法,其中,安全发送利用了结合共享密 钥进行的加密。
5. —种装置,包括被编码在一个或多个计算机可读介质中的逻辑, 并且该逻辑当被执行时可操作来在认证网关处创建用于访问网络的临时登录信息;安全地向测试代理发送包括所述临时登录信息的测试发起消息,其 中,所述测试代理操作来使用所述临时登录信息来尝试网络访问;接收来自所述测试代理的验证报告,其中,所述验证报告包括使用所 述临时登录信息的所尝试网络访问的一个或多个所记录事件;以及基于所述验证报告来采取一个或多个动作。
6. 根据权利要求5所述的装置,其中,所尝试网络访问寻求访问所 述网络上的可配置站点。
7. 根据权利要求5所述的装置,其中,所述验证报告还涉及对由所 述认证网关发送到所述客户端的可配置web页面序列的验证。
8. 根据权利要求5所述的装置,其中,安全发送利用了结合共享密 钥进行的加密。
9. 一种装置,包括用于在认证网关处创建用于访问网络的临时登录信息的装置; 用于安全地向测试代理发送包括所述临时登录信息的测试发起消息的装置,其中,所述测试代理操作来使用所述临时登录信息来尝试网络访问;用于接收来自所述测试代理的验证报告的装置,其中,所述验证报告包括使用所述临时登录信息的所尝试网络访问的一个或多个所记录事件; 以及用于基于所述验证报告来采取一个或多个动作的装置。
10. 根据权利要求9所述的装置,其中,所尝试网络访问寻求访问所 述网络上的可配置站点。
11. 根据权利要求9所述的装置,其中,所述验证报告还涉及对由所 述认证网关发送到所述客户端的可配置web页面序列的验证。
12. —种方法,包括从web认证网关接收带有用于访问网络的临时登录信息的测试发起消息;使用所述临时登录信息来尝试网络访问; 记录在所尝试网络访问期间检测到的一个或多个事件;以及 向所述web认证网关发送带有一个或多个所记录事件的验< 证报告。
13. 根据权利要求12所述的方法,其中,所尝试网络访问寻求访问 所述网络上的被配置站点。
14. 根据权利要求12所述的方法,其中,所述验证报告还涉及对由 所述认证网关发送到所述客户端的可配置web页面序列的验证。
15. —种装置,包括被编码在一个或多个计算机可读介质中的逻辑, 并且该逻辑在被执行时可操作来从web认证网关接收带有用于访问网络的临时登录信息的测试发起消息;使用所述临时登录信息来尝试网络访问; 记录在所尝试网络访问期间检测到的一个或多个事件;以及向所述web认证网关发送带有一个或多个所记录事件的验证报告。
16. 根据权利要求15所述的装置,其中,所尝试网络访问寻求访问 所述网络上的可配置站点。
17. 根据权利要求15所述的装置,其中,所述验证报告还涉及对由 所述认证网关发送到所述客户端的可配置web页面序列的验证。
18. —种装置,包括用于从web认证网关接收带有用于访问网络的临时登录信息的测试发 起消息的装置;用于使用所述临时登录信息来尝试网络访问的装置; 用于记录在所尝试网络访问期间检测到的一个或多个事件的装置;以及用于向所述web认证网关发送带有一个或多个所记录事件的验证报告 的部件。
19. 根据权利要求18所述的装置,其中,所尝试网络访问寻求访问 所述网络上的被配置站点。
20. 根据权利要求18所述的装置,其中,所述验证报告还涉及对由 所述认证网关发送到所述客户端的可配置web页面序列的验证。
全文摘要
本发明的一个示例性实施例提供了与对认证网关的自发起端到端监控有关的处理。在一个特定实现方式中,认证网关周期性地创建并存储用于访问网络的临时登录,然后经由安全连接向客户端发送包括该临时登录的消息。当客户端接收到临时登录时,客户端通过尝试访问可配置网络站点来对该消息作出响应。认证网关将客户端重新导向强制网络门户,该强制网络门户提示客户端登录,于是客户端在强制网络门户处输入临时登录。然后,在针对所存储的临时登录证实了临时登录之后,认证网关授权对网络的访问。如果客户端成功访问站点,则客户端向认证网关发送指示出成功访问的验证报告。否则,客户端报告失败访问。
文档编号H04L12/26GK101675640SQ200880006084
公开日2010年3月17日 申请日期2008年2月28日 优先权日2007年2月28日
发明者苏尼尔·布帕垂·梅赫塔, 黄·伯克 申请人:思科技术公司