客户端设备票据的制作方法

网络可以使用强制门户来控制对网络的访问。强制门户可以认证客户端设备，授权客户端设备对网络的访问。该访问可以保持有限的时间段，并且可以在客户端设备断开连接或客户端设备不活跃时停止。

附图说明

图1是符合本发明的用于客户端设备票据(ticket)的示例系统。

图2是符合本发明的用于客户端设备票据的另一示例系统。

图3是符合本发明的用于客户端设备票据的另一示例系统。

图4是符合本发明的用于客户端设备票据的示例方法。

具体实施方式

强制门户可以用于向用户提供对网络的访问。当用户首次尝试连接到使用强制门户的网络时，用户可能被重新指向到强制门户页面。强制门户页面可要求用户输入诸如用户名和/或密码的识别信息，以验证用户对网络的访问。一旦强制门户已经验证了输入的识别信息，就可以允许用户访问网络及其资源。相反，如果强制门户无法通过输入的识别信息将用户验证为经认证的用户，则用户可能被拒绝访问网络或对网络的访问有限。

当用户被授权通过强制门户页面访问网络时，可以保存用户上下文。如本文所使用，用户上下文是指与用户和/或用户的设备对应的识别信息。例如，用户上下文可以包括用户名、用户设备的因特网协议(ip)地址、设备的媒体访问控制(mac)地址或其组合等。用户上下文可以存储在网络的接入点上。接入点可以是指允许客户端设备连接到有线或无线网络的网络设备。如本文所使用，术语“接入点(ap)”例如可以指代任何已知的或随后可变得众所周知的方便的无线接入技术的接收点。具体来说，术语“ap”并不意味着限于基于iee802.11的ap。ap可以用作适于允许无线设备经由各种通信标准连接到有线网络的电子设备。ap可以包括处理资源、存储器和/或输入/输出接口，包括诸如ieee802.3以太网接口的有线网络接口以及诸如ieee802.11wi-fi接口的无线网络接口，但是本发明的示例不限于此类接口。ap可以包括存储器资源，存储器资源包括读写存储器以及诸如rom、eprom和闪存之类的持久存储器的层次结构。在一些示例中，用户上下文可以存储在与用户到网络的连接相对应的ap上。也就是说，用户上下文可以存储在为用户提供对网络的访问的ap上。在一些示例中，用户上下文可以存储在与为用户提供对网络的访问的ap不同的ap上。例如，用户上下文可以被存储在被指定为存储ap并且存储多个用户的用户上下文的ap上。

当用户连接到网络上并且在其上活跃时，网络可以存储相应的用户上下文。然而，在某些情况下，可以从网络中删除用户上下文。也就是说，可以从ap上的存储器擦除用户上下文。在一些示例中，当用户通过例如关闭用户设备而从网络断开连接时，用户上下文可能被删除。在一些示例中，用户上下文可以在用户不活跃的时间段之后被删除。例如，连接到网络但在预定时间段内不活跃的用户可能会被删除相应的用户上下文。删除用户上下文可以帮助ap在可用空间中存储用于在网络上连接和/或活跃的用户的用户上下文。

然而，当用户上下文被删除时，网络不保留先前由网络认证和/或连接到网络的用户的记录。因此，当用户上下文被删除的用户在稍后的时间或在一段不活跃之后尝试重新连接到网络时，其可被再次引向强制门户页面。然后可以指导用户在被授权再次访问网络及其资源之前重新进入认证或识别信息。

相反，根据本发明的客户端设备票据可以允许用户在从网络断开连接或保持不活跃一段时间，重新连接时而不被再次引向强制门户页面。当用户首次将客户端设备连接到网络时，其可被引向强制门户页面，其中可以提示用户输入识别和/或认证信息。经认证后，可以在客户端设备上创建并存储票据。票据可以包括类似于用户上下文信息的信息，诸如mac地址、用户名和/或ip地址。

如果客户端设备在网络上断开或保持不活跃，则根据本发明的客户端设备票据可以允许重新连接到网络而不再次引向强制门户页面。当客户端设备尝试重新连接到网络时，网络可以接收客户端设备上存储的票据。网络可以确认存储在票据中的信息对应于客户端设备，并且指示对网络的先前认证。如果票据指示客户端设备对网络的先前认证，则网络可以授权客户端设备对网络的访问，而不将客户端设备再次引向强制门户页面。因此，客户端设备能够更快地重新连接到网络，这是因为可以消除由于再次引向强制门户页面而增加的额外时间。

图1是根据本发明的用于客户端设备票据的示例系统100。系统100可以包括客户端设备102。如本文所使用，术语“客户端设备”可以例如指包括处理资源、存储器和用于有线和/或无线通信的输入/输出接口的设备。例如，客户端设备可以包括笔记本电脑、台式计算机、移动设备和/或其他无线设备，不过本发明的示例不限于这样的设备。移动设备可以例如指由(或可能由)用户承载和/或佩戴的设备。例如，移动设备可以是手机(例如智能手机)、平板电脑、个人数字助理(pda)、智能眼镜和/或腕部佩戴的设备(例如智能手表)以及其他类型的移动设备。

客户端设备102可以连接到网络设备104。如本文所使用，术语“网络设备”例如可以指适于传送和/或接收信令并处理该信令内的信息的设备，例如站(例如，诸如计算机、便携式电话、个人数字助理、平板设备等的任何数据处理设备)、ap、无线信标发射机/接收机、无线传感器、数据传输设备(例如网络交换机、路由器、控制器等)等。在一些示例中，客户端设备102可以通过有线连接(例如通过电线、光纤、电缆等)连接到网络设备104。在其他示例中，客户端设备102可以经由无线连接连接到网络设备104，例如通过ieee802.11wi-fi连接。

如图1所示，网络设备104可以执行网络内的各种功能。在106，网络设备104可以确定客户端设备102已向网络认证。在一些示例中，网络设备104可以通过确定客户端设备102已经被再次引向强制门户页面并且已经在强制门户页面上认证，而在106确定客户端设备102已经向网络认证。例如，网络设备104可以确定客户端设备102先前在强制门户页面上输入认证数据，使得认证数据允许客户端设备102连接到网络。这样的确定可以允许网络设备104在106处确定客户端设备102向网络认证。

在108，网络设备104可以创建对应于客户端设备102的票据。如此处所使用，“票据”是指包含与客户端设备有关的信息的网络跟踪器(cookie)。票据可以包括识别客户端设备102的信息。在一些示例中，票据可以指示客户端设备102如先前在106处由网络设备104所确定那样向网络认证。例如，票据可以包括由客户端设备102在强制门户页面输入的认证信息。该票据还可以包括客户端设备102连接到网络的时间。在一些示例中，拥有票据可以表明客户端设备向网络的认证。也就是说，通过票据中包含的信息，拥有票据可以证明客户端设备向网络认证。

在一些示例中，网络设备104可以从客户端设备102接收对应于客户端设备102的信息。从客户端设备102接收的信息可以包括客户端设备102的mac地址、客户端设备102的ip地址和客户端设备102的用户代理。如本文所使用，用户代理指客户端设备的用户。用户可以通过例如用户名或身份而被识别，用户名或身份可以将用户识别为特定的人和/或属于特定的人群。响应于从客户端设备102接收到信息，网络设备104可以在108处创建与客户端设备102相对应的票据。在一些示例中，网络设备104在108处创建的票据可以包括客户端设备102发送给网络设备104的信息。也就是说，由网络设备104在108创建的票据可以包括客户端设备102的mac地址、客户端设备102的ip地址以及客户端设备102的用户代理。

一旦在108处创建票据，网络设备104就可以在110处将票据发送给客户端设备102。在一些示例中，票据可以经由客户端设备102与网络设备104之间的有线或无线连接而在110处被发送给客户端设备102。票据可以在110处被发送给客户端设备102以存储在客户端设备102上。也就是说，在110处，票据可以从网络设备104发送给客户端设备102，并且存储在客户端设备102上。

在一些示例中，网络设备104可以对与客户端设备102相对应的票据进行加密。网络设备104可以使用密钥来加密票据。如本文所使用，密钥是指用于加密数据的一条信息或参数。在密钥加密中，单个密钥可用于加密和解密数据。一旦在108创建票据，网络设备104就可以加密票据。除了客户端设备102的mac地址、客户端设备102的ip地址和客户端设备102的用户代理之外，在108创建的票据中，还可以包括用于加密票据的密钥的识别符。在票据内包含密钥的识别符可以发生，使得当想要解密票据时，使用正确的密钥。在一些示例中，网络设备104可以在110处将加密的票据发送给客户端设备102。加密的票据可以存储在客户端设备102上。在加密票据时，密钥可以存储在网络设备104上。密钥存储在网络设备104上可允许网络设备在稍后的时间对存储在客户端设备102上的票据进行解密。

图2是根据本发明的用于客户端设备票据的另一示例性系统200。系统200可以包括客户端设备202。客户端设备202可以类似于前面关于图1描述的客户端设备102。系统200还可进一步包括网络设备204。网络设备204可以类似于前面关于图1描述的网络设备104。如图2所示，客户端设备202可以耦接到网络设备204。该耦接可以是有线的，如通过电线，光纤，电缆等；或是无线的，如通过ieee802.11wi-fi连接。

客户端设备202可以包括票据212。如关于图1所描述的，票据是指存储与客户端设备有关的信息的网络跟踪器。票据212可以存储在客户端设备202上，并且可以包括识别客户端设备202的信息。如关于图1所讨论的，票据可以在108处由网络设备创建，并在110处被发送给客户端设备102以便存储。如关于图1所描述的，票据212对应于在108处创建并且在110处从网络设备104发送给客户端设备102的票据。此外，如关于图1所讨论的，由网络设备104创建的票据可以使用例如密钥来加密。因此，票据212可以是存储在客户端设备202上的加密票据。

网络设备204可以在214处从客户端设备202接收票据212。在一些示例中，网络设备204可以从客户端设备202接收票据212。在这样的示例中，网络设备204可以通过客户端设备202与网络设备204之间的连接来接收票据212。

在216处，网络设备204可以认证客户端设备202。在一些示例中，响应于确定票据212对应于客户端设备202对网络的先前认证，网络设备204可以在216处认证客户端设备202。例如，如果票据212证明客户端设备202先前已经经由强制门户页面向网络认证，则客户端设备202可以在216处被网络设备204认证。在一些示例中，客户端设备202可以在216被认证而不被再次引向强制门户页面。也就是说，在无需客户端设备202在强制门户页面上输入识别和认证信息的情况下，客户端设备202在216处的认证也可能发生。

在一些示例中，网络设备204可以确定用于加密票据212的密钥。网络设备204可以使用密钥对票据212进行解密。如先前关于图1所描述的，密钥可以存储在网络设备上；因此，网络设备204可以使用存储在网络设备204上的密钥对票据212进行解密。此外，在对票据212进行解密之前，网络设备204可以对票据212执行消息真实性检查。如本文所使用的，消息真实性检查是指确定网络设备接收的票据的完整性。在一些示例中，网络设备204可以对票据212执行消息真实性检查以确定票据212的来源。也就是说，网络设备204可以在解密之前检查票据212，以确定票据212是由网络发布的。

在网络设备204处解密票据212之后，网络设备204可以确定包括在解密票据中的信息与客户端设备的信息匹配。例如，如关于图1所描述的，票据可以包括客户端设备的ip地址、客户端设备的mac地址、与客户端设备相关联的用户代理和/或客户端设备连接到网络的时间。网络设备204可以将包含在票据212内的解密信息与客户端设备202的信息进行比较。例如，网络设备204可以将包含在票据212中的ip地址与客户端设备202的ip地址、包含在票据212中的mac地址与客户端设备202的mac地址、包含在票据212中的用户代理与客户端设备202的用户代理进行比较。网络设备204可以确定包括在解密的票据212中的信息与客户端设备202的信息匹配。响应于该确定，网络设备204可以在216处将客户端设备认证为网络的授权用户。

在一些示例中，网络设备204可以确定用于加密票据212的密钥。网络设备204还可以确定用于加密票据212的密钥被存储在第二网络设备上。如前所描述的，可以采用第二网络设备来存储网络内的多个用户和网络设备的用户上下文。类似地，第二网络设备可以存储用于加密网络内的票据的多个密钥。第二网络设备可以是与网络设备204相同的网络的一部分，并且可以经由有线或无线连接与网络设备204通信地耦接。如本文所使用的，通信耦接是指两个或更多个设备通过例如有线或无线连接而连接，使得这两个或更多个设备能够通过该连接彼此传送信息。换句话说，通信耦接的设备能够在它们之间共享信息。

一旦网络设备204已经确定用于加密票据212的密钥被存储在第二网络设备上，则网络设备204可以从第二网络设备获取密钥。网络设备204可以经由网络设备204与第二网络设备之间的有线或无线连接来获取密钥。网络设备204可以使用所获取的密钥来解密票据212。在一些示例中，一旦票据212被解密，网络设备204可以将存储在票据212上的信息与对应于客户端设备202的信息进行比较，以确定客户端设备202是否具有与网络的先前连接。在一些示例中，在使用密钥解密票据212之后，网络设备204可以从票据212获取mac地址、ip地址和用户代理信息。接下来，网络设备204可以检查包括相同的mac地址、ip地址和/或用户代理的会话条目的数据路径。如果存在匹配，则网络设备204可以允许客户端设备202基于其拥有票据212来访问网络。也就是说，当网络设备204确定客户端设备204具有先前与网络的连接时，网络设备204可以在216处将客户端设备202认证为网络的授权用户。如果没有匹配的用户条目，则网络设备204可以拒绝客户端设备202访问网络。

图3是根据本发明的用于客户端设备票据的另一示例性系统300。系统300可以包括客户端设备302。客户端设备302类似于先前关于图1和图2讨论的客户端设备102和客户端设备202。系统300还可以包括网络设备304。网络设备304可以类似于先前关于图1和图2讨论的网络设备104和网络设备204。客户端设备302可以经由例如有线连接或无线连接与网络设备304通信地耦接。

客户端设备302可以包括票据312。票据312可以类似于先前关于图2描述的票据212。如前所描述的，票据312可以包括对应于客户端设备302的信息，诸如客户端设备302的ip地址、客户端设备302的mac地址以及客户端设备302的用户代理。票据312还可以存储与客户端设备302先前连接到网络的时间相对应的时间戳。

如关于图2所描述的，网络设备304可以从客户端设备302接收票据312。网络设备304可以解密票据312。如前所描述的，票据312可以包括识别客户端设备302的信息。网络设备304可以比较包含在票据312内的信息，以确定客户端设备302是否是该网络的认证用户。例如，网络设备304可以将存储在票据312上的ip地址与客户端设备302的ip地址、存储在票据312上的mac地址与客户端设备302的mac地址和/或存储在票据312上的用户代理与客户端设备302的用户代理进行比较。

在一些示例中，网络设备304可以确定票据312不对应于客户端设备302与网络的先前连接。网络设备304可以例如确定包含在票据312内的信息不对应于客户端设备302。例如，网络设备304可以确定存储在票据312上的ip地址不对应于客户端设备302的ip地址或存储在票据312上的mac地址不对应于客户端设备302的mac地址。

在318，响应于确定票据312不对应于客户端设备302与网络的先前连接，网络设备304可以将客户端设备302再次引向强制门户页面。一旦客户端设备302到达强制门户页面，强制门户页面就可以提示输入认证信息。网络设备304可以验证信息并将客户端设备302认证为网络的授权用户。

在320处，通过网络设备304在强制门户页面上验证客户端设备302后，网络设备304可以创建与客户端设备302相对应的第二票据。如先前关于图1所描述的，票据可以包含从客户端设备302发送给网络设备304的信息。此外，可以使用例如密钥来加密票据。第二票据可以由网络设备304发送给客户端设备302，其中它可以存储在客户端设备302上。第二票据可以用于替换票据312，并且可以包括对应于客户端设备302的更新的信息。

在一些示例中，确定票据312不对应于客户端设备302到网络的先前网络连接可以包括在网络设备304处对票据312进行解密。票据312可以包括与客户端设备302先前连接到网络的时间相对应的时间戳。网络设备304可以确定包含在票据312内的时间戳已经过期。也就是说，网络设备304可以确定经过了特定的时间量。在一些示例中，特定时间量可以对应于票据(例如票据312)有效的时间量。也就是说，特定的时间量可以是票据(例如票据312)可以用于将客户端设备(例如客户端设备302)认证为网络的授权用户的时间段。

当票据312包含过期时间戳时，网络设备304可以将客户端设备302再次引向强制门户页面。当客户端设备302向强制门户页面输入和验证认证信息后，网络设备304可以授权客户端设备302访问网络。网络设备304可以进一步创建对应于客户端设备302的第二票据。如前所描述的，第二票据可以包括对应于客户端设备302的信息。此外，第二票据可以包括与客户端设备302到网络的第二连接相对应的第二时间戳。

图4是根据本发明的客户端设备票据的示例方法422。在424处，方法422可以包括创建与连接到网络的客户端设备相对应的票据。客户端设备可以分别对应于关于图1、图2和图3描述的客户端设备102、客户端设备202和客户端设备302。票据可以对应于关于图2和图3描述的票据212和票据312。在一些示例中，在424处创建票据可以包括在第一时间创建票据。如本文所使用的，第一时间是指创建票据的时间。在一些示例中，在424处创建的票据可以由如关于图1、图2和图3所描述的网络设备104、204或304的网络设备创建。如前所描述的，创建票据可以包括接收来自客户端设备的信息。信息可以在网络设备处被接收，并且其可以包括与客户端设备相对应的信息以及所确定的客户端设备连接到网络的时间。

在424处创建对应于客户端设备的票据还可以包括将在网络设备处接收到的信息加密。如前所描述的，可以通过使用密钥在网络设备处加密信息。密钥可以存储在网络设备上，以便稍后解密该信息。

在426处，方法422可以包括将票据发送给客户端设备。如关于图1所描述的，票据可以经由客户端设备与网络设备之间的连接从网络设备发送给客户端设备。也就是说，客户端设备和网络设备可以彼此通信地耦接，使得包括创建的票据的信息可以在客户端设备与网络设备之间传送。在一些示例中，在426处将票据发送给客户端设备可以包括将票据发送给客户端设备以便将票据存储在客户端设备上。

在428，方法422可以包括在第二时间从客户端设备获取票据。如本文所使用的，第二时间是指接收票据的时间。第二时间可出现在第一时间后；也就是说，第二时间相对于第一时间可出现在稍后的点。可以使用在426处用于将票据发送至客户端设备以便存储的连接来从客户端设备接收该票据。也就是说，在428处从客户端设备接收票据可以包括用于传送票据的通信手段。在一些示例中，可以由网络设备从客户端设备接收票据。收到后，票据可以被转移到网络设备。

在430处，方法422可以包括解密票据。在430处解密票据可以包括确定用于加密票据的密钥。在确定用于加密票据的密钥后，在430处解密票据还可以包括从网络设备获取密钥。在一些示例中，网络设备可以存储多个密钥。如前所描述的，可以将网络设备指定为存储用于网络的多个密钥的存储设备。耦接到客户端设备的网络设备可以从该存储网络设备获取密钥，使得网络设备可以对票据进行解密。此外，在430处解密票据之前，网络设备可以对票据执行消息真实性检查以确定票据的来源。也就是说，网络设备204可以在430处解密票据之前检查票据212，以确定票据是由网络发布的。

在432处，方法422可以包括授权客户端设备对网络的访问。在432处授权客户端设备对网络的访问可以响应于确定客户端设备是网络的认证用户而发生，并且客户端设备是网络的认证用户的确定可以是基于包括在解密的票据内的信息。如前所描述的，票据可以包括与客户端设备相对应的信息，如mac地址、ip地址和/或用户代理。因此，确定客户端设备是网络的认证用户可以包括确定包含在该票据中的mac地址与客户端设备的mac地址匹配。此外，确定客户端设备是网络的认证用户可以包括确定包括在票据中的ip地址与客户端设备的ip地址匹配。此外，确定客户端设备是网络的认证用户可以包括确定与包括在票据中的用户代理相对应的信息和与客户端设备的用户代理相对应的信息匹配。如果mac地址、ip地址和用户代理信息在票据与客户端设备之间匹配，则客户端设备可以在432处被授权访问网络。

方法422还可以包括拒绝客户端设备对网络的访问。可以响应于确定客户端设备不是网络的认证用户而拒绝对网络的访问。在一些示例中，客户端设备不是网络的认证用户的确定可以基于包括在解密的票据中的信息。例如，票据中包含的mac地址可能与客户端设备的mac地址不匹配，票据中包含的ip地址可能与客户端设备的ip地址不匹配，和/或票据中包含的用户代理信息可能与客户端设备的用户代理信息不匹配。因此，客户端设备可能不被认证，并且可能拒绝客户端设备对网络的访问。

方法422还可以包括将客户端设备再次引向强制门户页面。可以响应于确定客户端设备不是网络的认证用户而将客户端设备再次引向强制门户页面。也就是说，客户端设备可以在被拒绝访问网络后被再次引向强制门户页面。一旦被再次引向强制门户页面，客户端设备可能会收到输入认证信息的提示。在认证信息的输入和验证之后，客户端设备可以被授权访问网络。

在前面对本发明的详细描述中，参考了形成本发明的一部分的附图，并且通过说明的方式示出了可以如何实施本发明的示例。对这些实施例进行了详细的描述，以使本领域普通技术人员能够实践本发明的实施例，并且应当理解，可以使用其他实施例，并且可以在不脱离本发明的范围的情况下进行结构改变。

本文的附图遵循编号约定，其中第一数字对应于图号，其余的数字识别图中的元件或部件。可以添加、交换和/或消除本文各图中所示的元件，以提供本发明的多个附加实例。此外，附图中提供的元件的比例和相对尺寸旨在说明本发明的示例，并且不应被认为是限制性的。此外，如本文所使用，“多个”元件和/或特征可以指任何数量的这样的元件和/或特征。