对具有持久和非持久标识符的网络设备的网络拦截门户的管理的制作方法

1.本公开涉及提供计算机网络访问的领域。


背景技术：

2.网络管理系统可用于向多个用户提供对诸如互联网之类的网络的访问。某些类型的网络管理系统可用于提供对多个用户及其相应的具有网络能力的用户设备的访问。网络管理系统可用于控制公共和私人场所的互联网访问。在给定时间，网络管理系统可以管理从互联网请求内容的数百或数千个用户设备。
附图说明
3.本文描述的实施例在附图的图示中以示例的方式、而不是以限制的方式示出，其中相似的附图标记指示相似的要素。
4.图1示出了根据本公开的各方面的网络的实现。
5.图2示出了根据本公开的各方面的多住宅单元(mdu)上下文中的各种访问点的横截面。
6.图3示出了根据本公开的各方面的包括用于将用户设备连接到外部网络的网络管理系统的网络环境。
7.图4示出了根据本公开的各方面的用于执行带内门户认证方法的工作流。
8.图5示出了根据本公开的各方面的示例性带内门户认证方法。
9.图6示出了根据本公开的各方面的用于执行带外门户认证方法的工作流。
10.图7示出了根据本公开的各方面的示例性带外门户认证方法。
11.图8示出了根据本公开的各方面的用于扩展热点2.0规范的网络环境和工作流。
12.图9示出了根据本公开的各方面的通过网关设备的通信流。
具体实施方式
13.简介
14.典型的网络管理系统可以从上游radius(远程认证拨入用户服务)服务器接收网络访问参数，诸如带宽、策略、和强制门户url。相比之下，利用热点(“hs”)2.0(eap-sim/aka、eap-ttls、eap-tls或任何其他认证802.1x的安全手段)，用户的设备通过上游radius得到认证，然后继续无缝地且安全地连接和使用wi-fi，而不需要强制门户。hs 2.0/eap-sim/aka/ttls/tls中当前没有启用强制门户的机制。然而，即使在hs 2.0协议中也可能有理由实现强制门户，如下所述。
15.wi-fi联盟最近发布了新的hs 2.0规范(“版本3”)，该规范通过引用整体并入本文。新版本包括三个新的anqp(访问网络查询协议)元素：运营商图标元数据、场所url和收费元素建议。场所url元素允许在用户设备上显示定制场所信息。显示方式取决于运营商和
实现。该元素识别url，并且url处的网络资源(诸如网页)可以在用户请求之后显示，或者在设备执行其他anqp请求时主动显示。版本3还包括网络订阅补救，这可以包括修复订户的网络订阅中的问题的处理。这包括向移动设备供应新的凭证(例如，由于到期)、更新移动设备上的perprovidersubcription(pps)管理对象(mo)(例如，因为数据需要更新)、或执行在线功能以更新网络订阅。
16.虽然场所url(venueurl)类似于强制门户，但它的不同之处在于用户并不真正处于强制状态。这是在用户设备上弹出几秒钟的显示远程url的网页。用户可以忽略url中所需的动作并继续访问网络。此url可在站点范围的访问点或单个设备级别被远程控制，因为url来自供应商特定属性(vsa)中的上游radius。这允许可能具有不同消息传递要求的区域(例如，健身房、餐厅、公共区域/接待处、客房)的大型场所(诸如会议中心或酒店)注入不同的消息。因此，代替具有用户必须注册他们的电子邮件和房间号或其他事项的传统强制门户，网络管理设备或系统可以在用户解锁他/她的用户设备时在用户屏幕上提供消息。在某些情况下，venueurl可用于启用强制门户。
17.热点2.0是一个复杂的规范。大多数设备制造商还没有实现完整的规范。因此，并不是所有的用户设备或运营商设备都可以支持版本3特征，诸如hs 2.0的venueurl。因此，没有版本3特征的hs 2.0可能无法执行额外的认证或特定于场所的命令。例如，特定于地点的命令可以包括接受条款和条件、纠正拒绝付款、或网络提供商需要让用户查看网络门户并与其交互以提供一个或多个额外输入的其他用例。在某些情况下，可能在hs 2.0认证之上需要额外认证。额外认证可以基于忠诚计划。因此，需要结合hs 2.0协议来实现这些特征中的一些。
18.现在将关于某些示例和实现来描述本公开的这些和其他方面，其旨在说明而不是限制本公开。尽管出于说明的目的，本文描述的示例和实现将集中在特定的计算和算法上，但是本领域的技术人员将理解，示例仅是说明性的，而不旨在是限制性的。
19.网络访问系统
20.图1示出了可用于实现本文描述的一种或多种技术的网络访问系统的实现。该系统包括各种用户设备141、143、145、147、149、151、153、155。用户设备可以包括例如膝上型计算机、台式计算机、智能电话、pda和任何其他支持有线或无线网络的通信设备。用户设备141、143、145、147、149、151、153、155与访问点121、123、125、127、129通信。访问点121、123、125、127、129提供与(多个)网络管理设备103的有线或无线通信。(多个)网络管理设备103控制访问点之间以及访问点与网络101之间的网络通信。在一些实现中，(多个)网络管理设备103由单个实体操作。在一种实现中，(多个)网络管理设备103创建单个网络。可选地，也可以使用(多个)中间网络设备105，包括例如路由器、交换机、集线器、中继器等，以帮助提供访问点121、123、125、127和(多个)网络管理设备103之间的通信。网络101可以是例如诸如互联网的公共网络。(多个)网络管理设备103(本文也称为网络管理系统)可以包括网络网关，例如可从加利福尼亚州伍德兰山的nomadix公司购得的网络访问网关。如本领域的技术人员将从本公开所理解的，也可以使用其他网络管理设备。
21.设备通常被编程为在访问点之间自动选择，例如通过确定哪个访问点提供最强信号。设备可以位于三个不同的访问点之间，并且能够与所有三个访问点通信，但最终将选择一个访问点进行通信。在某些情况下，访问点将不允许设备通过它通信，在这种情况下，用
户设备将尝试与另一访问点通信。例如，用户设备可以具有与访问点a的最强信号，但是可以仅与访问点b进行认证。在这种情况下，尽管信号较弱，用户设备仍将与访问点b通信。如将理解的，用户设备可以被配置为基于任何数量的不同选择选项来选择访问点，包括例如信号强度、带宽可用性、访问权限、对应于特定ssid的访问点等。当访问点超出范围时，用户设备将不再能够与其通信并且将尝试寻找另一访问点。在一种实现中，访问点之间的切换是无缝的，例如，不存在网络会话丢失，并且用户甚至可能不会意识到他们已经切换了访问点。
22.如图1所示，该网络包括多个物理区域，包括公寓大堂107、公寓商务中心109和公寓单元111。尽管在图1中未示出，但该网络可以包括额外的公寓大堂、公寓商务中心和/或公寓单元。每个物理区域可以包括一个或多个访问点。在某些情况下，两个或更多个物理区域可以共享单个访问点。
23.在一些实现中，访问点通过广播服务集标识符(ssid)、扩展服务集标识符(essid)和/或基本服务集标识符(bssid)等(本文统称为ssid)来通告它们的存在。在一些实现中，将相同的ssid分配给网络中的所有访问点。在其他实现中，将不同的ssid分配给网络中的每个访问点或一组访问点(或分配给每个区域或区域组)。在其他实现中，可以将多个ssid分配给同一访问点集合。在这方面，可以建立虚拟ssid，对应于访问点的不同分组。(多个)网络管理设备103可以基于用户的预共享密钥(例如，wi-fi密码)和/或基于与用户的用户设备相关联的持久和/或非持久标识符，诸如存储在用户设备上的mac地址和/或用户简档(或用户简档中包括的一个或多个参数)，跨多个ssid或跨相同ssid向不同用户提供不同级别的服务。
24.服务级别
25.因为所有用户访问的带宽可以被集中管理(例如，由本文描述的无线控制器或无线psk管理器)，所以可以为每个用户、每个设备或每个用户类型(例如，居民或访客)设置带宽限制，而不管每个订户可能具有的设备数量。在一种实现中，在单个ssid网络内，可以将不同级别的带宽(最小和/或最大)、不同级别的服务和/或不同级别的访问优先级分配给与用户或用户设备相关联的持久标识符和/或非持久标识符。例如，可以向每个酒店房间分配单个ssid网络内的一个或多个wi-fi密码和/或登录凭证，并且所分配的wi-fi密码和/或登录凭证可以具有不同级别的带宽(最小和/或最大)、不同级别的服务和/或不同级别的访问优先级(例如，基本房间相比于俱乐部级别房间等、仅房间访问相比于物业范围访问等等)。
26.多住宅单元(mdu)
27.图2示出了mdu上下文中的各种访问点的横截面。宿舍201包括房间203、会议室205、餐厅207和大厅209。房间203、会议室205、餐厅207和大厅209包括各种访问点221。尽管被示为在每个房间中具有一个或多个访问点，但是应当理解，可以使用更少或更多的访问点。例如，在一种实现中，单个访问点可以用于多个房间。本领域技术人员也将理解，许多不同类型的设施将从本公开中受益。例如，虽然主要针对宿舍进行描述，但其他设施可以使用本网络管理系统，包括公寓大楼、学校、学院、大学、医院、酒店、政府大楼、企业或任何其他公共或专用网络系统。
28.网络管理系统
29.图3示出了网络系统100的实施例，网络系统100包括用于管理内部网络104上的用
户设备110与诸如互联网之类的外部网络140之间的连接的网络管理系统120。网络管理系统120可以包括多个硬件组件。例如，网络管理系统120可以包括用于在内部网络和外部网络之间接收和发送网络分组的网络接口122和124。网络分组的大小可以取决于协议或网络分组携带的数据类型。网络管理系统120可以包括用于通过无线网络接收和发送数据的天线130。网络管理系统120可以包括用于存储分组和可由硬件处理器128执行的编程指令的存储器126。在一些实施例中，指令可以存储在硬件处理器128的内部存储器中。虽然示出了单个块，但网络管理系统120可以包括多个硬件设备。在一些实施例中，网络管理系统120可以包括网络网关。网络管理系统120还可以包括一个或多个访问点。
30.用户和用户设备在本文可以互换地使用。用户可以具有与其相关联的一个或多个用户设备。用户可以使用用户设备来请求连接到外部网络。用户设备可以包括唯一id(诸如mac地址号码或sim卡号码)。此外，用户或用户设备还可以基于会员id、登录id、信用卡信息或任何其他标识参数来标识。
31.网络环境100还可以包括场所系统150，认证、授权和计费(aaa)/radius系统160和云网络管理服务器170。场所系统150可以包括与用户从其用户设备请求网络访问的物业相关的计算系统。在实施例中，场所系统150可以包括物业管理系统。
32.aaa/radius系统160(本文也称为radius服务器)为连接和使用网络服务的用户提供集中式认证、授权和计费(aaa)管理。关于radius和aaa协议的额外信息在思科2007年6月29日的“understanding radius”中提供，其全部内容通过引用并入本文。
33.云网络管理服务器170提供云解决方案，该云解决方案给予服务提供商(例如，酒店所有者、品牌、受管理的服务提供商等)对其网络能力和性能的更好的控制和可见性。例如，云网络管理服务器170可以提供广泛的网络管理工具，包括例如访客高速互联网访问(hsia)门户、管理和报告能力、会议室调度器和网络管理设备(本文也称为网关、nomadix服务引擎或nse)。云网络管理服务器170还可以根据(也称为热点2.0)提供全范围的访问计划和认证类型。虽然本文使用hs2.0作为示例，但是本文描述的技术可以应用于其他标准或协议。
34.aaa/radius系统160、云网络管理服务器170和/或场所系统150可以包括关于用户和/或其用户设备的信息，控制系统可以使用这些信息来确定是否授权网络访问和/或如何允许在用户和/或用户设备之间共享可用带宽。该信息可以包括忠诚积分、等级分配、信用卡、用户偏好、登录信息等。
35.带内门户认证方法的示例性工作流
36.图4示出了根据本公开的各方面的用于执行带内门户认证方法的工作流。在(1)，用户设备402连接到访问点/控制器(本文也称为ap)404。在(2)，ap 404向网络管理设备(nse)406发送访问请求。在(3)，网络管理设备406向radius服务器408(例如，代表ap 404)发送代理访问请求。在(4)，radius服务器408解密eap-ttls消息。在(5)，radius服务器408向网络管理服务器410发送radius认证请求。在(6)，网络管理服务器410向radius服务器408返回成功消息，并且还向radius服务器408指示在可以向用户设备402授权网络访问之前需要额外用户输入。在(7)，radius服务器408转发来自网络管理服务器410的、所请求的访问已被授权但需要额外的用户输入的指示。
37.在(8)，网络管理设备406向ap 404发送指示所请求的访问已被授权的消息，但不
指示需要额外的输入。在(9)，假设已经向用户设备402授权网络访问，ap 404向网络管理设备406发送计费开始请求，以转发到radius服务器408。例如，计费开始请求分组可以包含用户id、访问点和网络地址，以及唯一的会话标识符。在(10)，网络管理设备406丢弃计费开始请求，并且不将其转发到radius服务器408。在(11.1)，用户设备402访问网络资源，并且在(11.2)，网络管理设备406使用户设备402访问与用户设备402请求的网络资源不同的另一网络资源(例如，被配置为接收授权网络访问所需的用户的额外输入的强制门户)。
38.在(12)，用户设备402提供由网络管理服务器410请求的额外用户输入，并且在(13)，用户完成强制门户。在(14)，网络管理服务器410向用户设备402发送http 200 ok成功状态响应，并且在(15)，向网络管理设备406发送消息以指示应该改变用户的radius会话(例如，使得用户不再被重定向到强制门户)。作为响应，在(16)，网络管理设备406启用用户设备402的互联网访问。在(17)，网络管理设备406向radius服务器408发送计费开始请求，并且在(18)，radius服务器408向网络管理服务器410发送radius计费开始消息。在(19)，ap 404向网络管理设备406发送计费停止请求，指示与用户设备402的连接已经终止。在(20)，网络管理服务器406代表ap 404向radius服务器408发送代理计费停止请求。
39.尽管未在图4中示出，但响应于(5)和/或(12)，网络管理服务器410可以使用用户设备406的非持久标识符(例如，随机mac地址)来检查所存储的关联以识别用户设备402，并且确定用户设备402是否已经满足被授权认证请求或网络访问请求的所有要求，并且基于该确定来响应radius服务器408或另一组件。
40.带内门户认证方法
41.现在参考图5，将描述示例性带内门户认证方法500。示例性方法500例如可以由图3中描述的网络管理设备来执行。方法500示出了可以使用任何适合的编程环境或语言来编程以创建能够由cpu或微控制器执行的机器代码的示例性算法。各种实现可以使用汇编、c、对象c、c++、java、ruby或其他人类可读语言来编码，然后被编译、汇编或以其他方式转换成机器代码，该机器代码可以被加载到耦合到cpu或微控制器的只读存储器(rom)、可擦除可编程只读存储器(eprom)或其他可记录存储器中并然后由cpu或微控制器执行。例如，网络管理设备可以包括一个或多个硬件计算设备和存储指令的非瞬态物理计算机存储设备，这些指令当由一个或多个硬件计算设备执行时使一个或多个硬件计算设备执行方法500的步骤。为方便起见，将示例性方法500的步骤描述为由网络管理设备执行。在一些实现中，本文描述为由网络管理设备执行的一个或多个步骤可以由云网络管理服务器或本文描述的另一组件来执行。
42.在块502，网络管理设备接收来自用户设备的访问外部网络上的第一网络资源的请求。
43.在块504，网络管理设备向radius服务器发送访问请求，其中该访问请求包括与用户设备相关联的持久标识符和与用户设备相关联的非持久标识符。
44.在块506，网络管理设备从radius服务器接收访问请求已被授权的第一指示和与radius服务器通信的云网络管理服务器请求额外用户输入的第二指示。
45.在块508，网络管理设备将第一指示转发到与用户设备相关联的无线控制器，而不转发第二指示。
46.在块510，网络管理设备接收计费开始请求，以向radius服务器转发已发起给用户
设备授权的网络访问的指示。
47.在块512，网络管理设备，在不将计费开始请求转发到radius服务器的情况下，使用户设备被定向到第二网络资源，该第二网络资源被配置为接收云网络管理服务器所请求的额外用户输入。
48.在块514，网络管理设备，从云网络管理服务器接收用户设备已经提供了额外输入的第三指示。
49.在块516，网络管理设备，在从云网络管理服务器接收到第三指示之后，向radius服务器发送已发起授权用户设备的网络访问的指示。例如，该指示可以是radius计费开始消息。
50.在块518，网络管理设备使用户设备被定向到外部网络上的第一网络资源。
51.在方法500中，可以移除(例如，不执行)图5中所示的一个或多个块，和/或可以切换执行方法500的顺序。在一些实现中，可以向方法500添加额外的块。本公开的实现不限于图5所示的示例或受限于图5所示的示例，并且可以在不背离本公开的精神的情况下实现其他变化。
52.带外门户认证方法的示例工作流
53.图6示出了根据本公开的各方面的用于执行带外门户认证方法的工作流。在(1)，用户设备602连接到访问点/控制器(本文也称为ap)604。在(2)，ap 604直接向radius服务器608发送访问请求。在(3)，radius服务器608发送访问质询请求以从ap 604获得额外信息。例如，额外信息可以包括存储在用户设备602中的用户简档和/或用户设备602的持久或非持久标识符。备选地，可以在(2)将这种信息包括在请求中。在(4)，radius服务器608解密eap-ttls消息。在(5)，radius服务器608向网络管理服务器610发送radius认证请求。在(6)，网络管理服务器610向radius服务器608返回成功消息，其指示认证请求已被授权。在(7)，radius服务器608将来自网络管理服务器610的指示转发到ap 604。
54.在(8)，ap 604向radius服务器608发送计费开始请求，并且在(9)，用户设备602发起网络访问(例如，通过获得dhcp租用)。在(10.1)，作为响应，网络管理设备606使用mac地址(或与用户设备602相关联的另一持久或非持久标识符)向radius服务器608发送另一认证请求。在(10.2)，radius服务器608向网络管理服务器610发送另一radius认证请求，并且在(10.3)，网络管理服务器610拒绝radius认证请求，返回指示该认证请求未被授权的消息。在(10.4)，radius服务器608向网络管理设备606发送指示在(10.1)做出的认证请求被拒绝的消息，从而指示用户设备602应被定向到强制门户。在(11)，用户设备602访问网络资源，并且在(12)，网络管理设备606使用户设备602访问与用户设备602所请求的网络资源不同的另一网络资源(例如，被配置为接收网络管理服务器606所需的用户额外输入以便给用户设备602授权网络访问的强制门户)。
55.在(13)，用户设备602提供由网络管理服务器610请求的额外用户输入，并经由强制门户提交用户输入。例如，该请求可以包括用户设备602的随机化mac地址，并且网络管理服务器610可以在其数据库中查找该随机化mac地址，该数据库存储了随机化mac地址和持久标识符(例如，在存储于用户设备中的或其他用户简档中找到的持久标识符)之间的关联。基于请求中提供的信息满足额外用户输入要求，网络管理服务器610确定用户设备602已经满足被授权网络访问的所有要求，并启动其移除强制门户的处理。
56.在(14)，网络管理服务器610向网络管理设备606发送指示已经满足额外用户输入要求的登录请求，并且作为响应，在(15)，网络管理设备606向radius服务器608发送访问请求。在(16)，radius服务器608授权访问请求(例如，基于来自网络管理服务器610的先前指示或通过响应于在(15)接收到请求而请求由网络管理服务器610授权访问)。在(17)，网络管理设备606启用用户设备602的互联网访问。在(18)，网络管理设备606向radius服务器608发送计费开始请求，并且在(19)，radius服务器608向网络管理服务器610发送radius计费开始消息。在(20)，网络管理服务器610向用户设备602发送http 200ok成功状态响应和/或将用户设备定向到请求网络资源。
57.在(21)，用户设备602断开连接或超时，并且在(22)，ap 604直接向radius服务器608发送计费停止请求。在(23)，网络管理设备606向radius服务器608发送超时后计费停止请求。
58.尽管未在图6中示出，但响应于(5)、(10.2)和/或(13)，网络管理服务器610可以使用用户设备606的非持久标识符(例如，随机性mac地址)来检查所存储的关联以识别用户设备602，并且确定用户设备602是否已经满足授权认证请求或网络访问请求的所有要求，并且基于该确定来响应radius服务器608或另一组件。
59.带外门户认证方法
60.现在参考图7，将描述示例性带内门户认证方法700。示例性方法700例如可以由图3中描述的云网络管理服务器来执行。方法700示出了可以使用任何适合的编程环境或语言来编程以创建能够由cpu或微控制器执行的机器代码的示例性算法。各种实现可以使用汇编、c、objective-c、c++、java、ruby或其他人类可读语言来编码，然后被编译、汇编或以其他方式转换成机器代码，该机器代码可以被加载到只读存储器(rom)、可擦除可编程只读存储器(eprom)或耦合到cpu或微控制器的其他可记录存储器中并然后由cpu或微控制器执行。例如，云网络管理服务器可以包括一个或多个硬件计算设备和存储指令的非瞬态物理计算机存储装置，这些指令当由一个或多个硬件计算设备执行时使一个或多个硬件计算设备执行方法700的步骤。为方便起见，将示例性方法700的步骤描述为由云网络管理服务器执行。在一些实现中，本文描述为由云网络管理服务器执行的一个或多个步骤可以由本文描述的网络管理设备或另一组件来执行。
61.在块702，云网络管理服务器从radius服务器接收认证用户设备的第一认证请求，其中该认证请求包括与用户设备相关联的持久标识符和与用户设备相关联的非持久标识符。
62.在块704，云网络管理服务器存储与用户设备相关联的持久标识符和与用户设备相关联的非持久标识符之间的关联。
63.在块706，云网络管理服务器向radius服务器发送第一认证请求已被授权的指示。
64.在块708，云网络管理服务器从radius服务器接收认证用户设备的第二认证请求，其中该认证请求包括与用户设备相关联的非持久标识符。
65.在块710，云网络管理服务器使用第二认证请求中包括的非持久标识符以及持久标识符和非持久标识符之间的关联来识别用户设备。
66.在块712，云网络管理服务器确定在给用户设备授权网络访问之前需要额外用户输入。
67.在块714，云网络管理服务器向radius服务器发送第一认证请求已被拒绝的指示。
68.在块716，云网络管理服务器从用户设备接收额外用户输入。
69.在块718，云网络管理服务器向与用户设备相关联的网络管理设备发送应给用户设备授权网络访问的指示。
70.在方法700中，可以移除(例如，不执行)图7中所示的一个或多个块，和/或可以切换执行方法700的顺序。在一些实现中，可以向方法700添加额外的块。本公开的实现不限于图7所示的示例或受限于图7所示的示例，并且可以在不背离本公开的精神的情况下实现其他变化。
71.示例网络架构和工作流
72.图8和图9示出了包括用于将网关与hs 2.0集成以启用上面讨论的一些特征的工作流的网络架构。集成额外认证或其他特定于场所的操作的挑战之一是，用户设备可能需要访问网络才能被定向到特定链路以便于认证或补救。这可能是一种第22条类型的情况，其中为了接收对网络的访问，用户需要能够连接到网络或至少网络的某一部分。
73.如图8和图9所示，当用户设备请求网络上的特定内容时，可以使用安装在该设备上的hs 2.0简档来启用第一访问级别。网关位于所有通信的中间，并且可以有助于集成。网络管理系统可以与场所系统(如酒店的忠诚计划)集成。网络管理系统还可以与radius服务器及hs 2.0仪表板连接。基于从radius服务器接收的信息，网络管理系统可以向hs 2.0仪表板提供参数。这些参数可以包括例如强制门户url。无线访问控制器可能无法理解这些参数。然而，基于获得认证，无线访问控制器可以授权用户设备访问网络。网关理解这些参数，并且一旦网络访问被授权，网关就可以继续将用户设备重定向到强制门户url，直到用户采取特定步骤，诸如接受条款和条件。网络管理系统也在数据流中，并且将期望将用户设备重定向到强制门户url。在某些情况下，重定向可能会发生一段时间。网关可以维护存储在存储器中的标志，以保持将用户设备重定向到强制门户url。网络管理系统可以使得来自radius服务器的参数能够与hs2.0仪表板集成。
74.枚举实现(ei)
75.本节提供了枚举实现(ei)的一些示例，但不限于此。
76.ei 1：一种用于使用持久和非持久设备标识符来启用强制门户的系统，所述系统包括：云网络管理服务器，被配置为与radius服务器通信以认证用户设备；以及网络管理设备，被配置为：从用户设备接收访问外部网络上的第一网络资源的请求；向所述radius服务器发送访问请求，其中所述访问请求包括与所述用户设备相关联的持久标识符和与所述用户设备相关联的非持久标识符；从所述radius服务器接收所述访问请求已被授权的第一指示和所述云网络管理服务器请求额外用户输入的第二指示；将所述第一指示转发到与所述用户设备相关联的无线控制器，而不转发所述第二指示；接收计费开始请求，以向所述radius服务器转发授权给所述用户设备的网络访问已被发起的指示；以及在不向所述radius服务器转发所述计费开始请求的情况下，使所述用户设备被定向到第二网络资源，所述第二网络资源被配置为接收由所述云网络管理服务器请求的所述额外用户输入。
77.ei 2：如ei 1所述的系统，其中，所述网络管理设备还被配置为：从所述云网络管理服务器接收所述用户设备已经提供所述额外输入的第三指示；以及使所述用户设备被定向到所述外部网络上的所述第一网络资源。
78.ei 3：如ei 2所述的系统，其中，所述网络管理设备还被配置为，在从所述云网络管理服务器接收到所述第三指示之后，向所述radius服务器发送授权给所述用户设备的网络访问已被发起的指示。
79.ei 4：如ei 1所述的系统，其中，所述第二网络资源是网页，并且所述外部网络是互联网。
80.ei 5：如ei 1所述的系统，其中，所述云网络管理服务器所请求的所述额外输入包括对于与要授权给所述用户设备的所述网络访问相关联的更新协议的用户接受。
81.ei 6：如ei 1所述的系统，其中，与所述用户设备相关联的所述持久标识符是被包括在根据热点2.0规范存储在所述用户设备中的用户简档中的参数。
82.ei 7：如ei 1所述的系统，其中，与所述用户设备相关联的所述非持久标识符是所述用户设备的媒体访问控制(mac)地址。
83.ei 8：一种计算机实现的方法，包括：从用户设备接收访问外部网络上的第一网络资源的请求；向radius服务器发送访问请求，其中所述访问请求包括与所述用户设备相关联的持久标识符和与所述用户设备相关联的非持久标识符；从所述radius服务器接收所述访问请求已被授权的第一指示和与所述radius服务器通信的云网络管理服务器请求额外用户输入的第二指示；将所述第一指示转发到与所述用户设备相关联的无线控制器，而不转发所述第二指示；接收计费开始请求，以向所述radius服务器转发授权给所述用户设备的网络访问已被发起的指示；以及在不向所述radius服务器转发所述计费开始请求的情况下，使所述用户设备被定向到第二网络资源，所述第二网络资源被配置为接收由所述云网络管理服务器请求的所述额外用户输入。
84.ei 9：如ei 8所述的计算机实现的方法，还包括：从所述云网络管理服务器接收所述用户设备已经提供所述额外输入的第三指示；以及使所述用户设备被定向到所述外部网络上的所述第一网络资源。
85.ei 10：如ei 9所述的计算机实现的方法，还包括在从所述云网络管理服务器接收到所述第三指示之后，向所述radius服务器发送授权给所述用户设备的网络访问已被发起的指示。
86.ei 11：如ei 8所述的计算机实现的方法，其中，所述第二网络资源是网页，并且所述外部网络是互联网。
87.ei 12：如ei 8所述的计算机实现的方法，其中，所述云网络管理服务器所请求的所述额外输入包括对于与要授权给所述用户设备的所述网络访问相关联的更新协议的用户接受。
88.ei 13：如ei 8所述的计算机实现的方法，其中，与所述用户设备相关联的所述持久标识符是被包括在根据热点2.0规范存储在所述用户设备中的用户简档中的参数。
89.ei 14：如ei 8所述的计算机实现的方法，其中，与所述用户设备相关联的所述非持久标识符是所述用户设备的媒体访问控制(mac)地址。
90.ei 15：一种存储指令的非瞬态计算机可读物理存储装置，所述指令当被计算系统执行时使所述计算系统至少：从用户设备接收访问外部网络上的第一网络资源的请求；向radius服务器发送访问请求，其中所述访问请求包括与所述用户设备相关联的持久标识符和与所述用户设备相关联的非持久标识符；从所述radius服务器接收所述访问请求已被授
权的第一指示和云网络管理服务器请求额外用户输入的第二指示；将所述第一指示转发到与所述用户设备相关联的无线控制器，而不转发所述第二指示；接收计费开始请求，以向所述radius服务器转发授权给所述用户设备的网络访问已被发起的指示；以及在不向所述radius服务器转发所述计费开始请求的情况下，使所述用户设备被定向到第二网络资源，所述第二网络资源被配置为接收由所述云网络管理服务器请求的所述额外用户输入。
91.ei 16：如ei 15所述的非瞬态计算机可读物理存储装置，其存储另外的指令，所述另外的指令当被所述计算系统执行时使所述计算系统：从所述云网络管理服务器接收所述用户设备已经提供所述额外输入的第三指示；以及使所述用户设备被定向到所述外部网络上的所述第一网络资源。
92.ei 17：如ei 16所述的非瞬态计算机可读物理存储装置，其存储另外的指令，所述另外的指令当被所述计算系统执行时使所述计算系统在从所述云网络管理服务器接收到所述第三指示之后，向所述radius服务器发送授权给所述用户设备的网络访问已被发起的指示。
93.ei 18：如ei 15所述的非瞬态计算机可读物理存储装置，其中，所述云网络管理服务器所请求的所述额外输入包括对于与要授权给所述用户设备的所述网络访问相关联的更新协议的用户接受。
94.ei 19：如ei 15所述的非瞬态计算机可读物理存储装置，其中，与所述用户设备相关联的所述持久标识符是被包括在根据热点2.0规范存储在所述用户设备中的用户简档中的参数。
95.ei 20：如ei 15所述的非瞬态计算机可读物理存储装置，其中，与所述用户设备相关联的所述非持久标识符是所述用户设备的媒体访问控制(mac)地址。
96.ei 21：一种计算机实现的方法，包括：从radius服务器接收认证用户设备的第一认证请求，其中所述认证请求包括与所述用户设备相关联的持久标识符和与所述用户设备相关联的非持久标识符；存储与所述用户设备相关联的所述持久标识符和与所述用户设备相关联的所述非持久标识符之间的关联；向所述radius服务器发送所述第一认证请求已被授权的指示；从所述radius服务器接收认证所述用户设备的第二认证请求，其中所述认证请求包括与所述用户设备相关联的所述非持久标识符；使用所述第二认证请求中包括的所述非持久标识符以及所述持久标识符与所述非持久标识符之间的关联来识别所述用户设备；确定在向所述用户设备授权网络访问之前需要额外用户输入；向所述radius服务器发送所述第一认证请求已被拒绝的指示；从所述用户设备接收额外用户输入；以及向与所述用户设备相关联的网络管理设备发送应给所述用户设备授权网络访问的指示。
97.术语
98.本文描述的所有方法和任务都可以由计算机系统执行和完全自动化。在一些情况下，计算机系统可以包括多个不同的计算机或计算设备(例如，物理服务器、工作站、存储阵列、云计算资源等)。它们通过网络进行通信和互操作，以执行所描述的功能。每个这样的计算设备通常包括执行存储在存储器或其他非易失性计算机可读存储介质或设备(例如，固态存储设备、盘驱动器等)中的程序指令或模块的处理器(或多个处理器)。本文公开的各种功能可以在这样的程序指令中实现，或者可以在计算机系统的专用电路(例如，asic或fpga)中实现。在计算机系统包括多个计算设备的情况下，这些设备可以但不需要位于同一
位置。所公开的方法和任务的结果可以通过将诸如固态存储器芯片或磁盘的物理存储设备转换成不同的状态来持久存储。在一些实施例中，计算机系统可以是基于云的计算系统，其处理资源由多个不同的商业实体或其他用户共享。
99.本文描述的或在本公开的附图中示出的处理可以响应于事件而开始，诸如按照预定或动态确定的时间表、在由用户或系统管理员启动时按照需要、或响应于某个其他事件。当启动这样的处理时，存储在一个或多个非瞬态计算机可读介质(例如，硬盘驱动器、闪存、可移动介质等)上的可执行程序指令集可以加载到服务器或其他计算设备的存储器(例如，ram)中。然后，可执行指令可由计算设备的基于硬件的计算机处理器执行。在一些实施例中，可以在多个计算设备和/或多个处理器上，串行地或并行地实现这样的处理或其部分。
100.取决于实施例，本文描述的任何处理或算法的某些动作、事件或功能可以以不同的顺序执行，可以被添加、合并或完全省略(例如，并非所有描述的操作或事件对于算法的实践都是必要的)。此外，在某些实施例中，操作或事件可以例如通过多线程处理、中断处理、或多个处理器或处理器核或在其他并行架构上并行地而非顺序地执行。
101.结合本文公开的实施例描述的各种说明性逻辑块、模块、例程和算法步骤可以被实现为电子硬件(例如，asic或fpga设备)、在计算机硬件上运行的计算机软件、或两者的组合。此外，结合本文公开的实施例描述的各种说明性逻辑块和模块可以由机器实现或执行，该机器诸如是被设计为执行本文描述的功能的处理器设备、数字信号处理器(“dsp”)、专用集成电路(“asic”)、现场可编程门阵列(“fpga”)或其他可编程逻辑设备、离散门或晶体管逻辑、离散硬件组件、或它们的任何组合。处理器设备可以是微处理器，但备选地，处理器设备可以是控制器、微控制器或状态机、它们的组合等。处理器设备可以包括被配置为处理计算机可执行指令的电路。在另一实施例中，处理器设备包括在不处理计算机可执行指令的情况下执行逻辑运算的fpga或其他可编程设备。处理器设备还可以被实现为计算设备的组合，例如，dsp和微处理器的组合、多个微处理器、一个或多个结合dsp核心的微处理器或任何其他这样的配置。尽管本文主要是关于数字技术来描述的，但是处理器设备也可以主要包括模拟组件。例如，本文描述的呈现技术中的一些或全部可以在模拟电路或混合模拟和数字电路中实现。计算环境可以包括任何类型的计算机系统，包括但不限于，基于微处理器的计算机系统、大型计算机、数字信号处理器、便携式计算设备、设备控制器或设备内的计算引擎，仅举几例。
102.结合本文公开的实施例描述的方法、处理、例程或算法的元素可以直接实施在硬件中、在由处理器设备执行的软件模块中、或者在这两者的组合中。软件模块可以驻留在ram存储器、闪存、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、可移动盘、cd-rom或任何其他形式的非易失性计算机可读存储介质中。示例性存储介质可以耦合到处理器设备，使得处理器设备可以从存储介质读取信息以及向存储介质写入信息。备选地，存储介质可以集成到处理器设备。处理器设备和存储介质可以驻留在asic中。asic可以驻留在用户终端中。备选地，处理器设备和存储介质可以作为分立组件驻留在用户终端中。
103.本文使用的条件性语言，诸如，除其他外，“能够”、“可以”、“可能”、“可”、“例如”等，通常旨在传达某些实施例包括某些特征、元素或步骤，而其他实施例不包括某些特征、元素或步骤，除非另外特别说明，或者在所使用的上下文中以其他方式理解。因此，这种条件性语言通常并不旨在暗示一个或多个实施例以任何方式需要这些特征、元素或步骤，或
者一个或多个实施例必须包括用于在有或没有其他输入或提示的情况下决定在任何特定实施例中是否包括或将执行这些特征、元素或步骤的逻辑。术语“包括”、“包含”、“具有”等是同义的，并且以开放的方式包含性地使用，并且不排除额外元素、特征、动作、操作等。此外，术语“或”以其包含性意义(而不是排他性意义)使用，使得当例如用于连接元素列表时，术语“或”意为列表中的一个、一些或所有元素。术语“集合”用于包括“一个或多个”。例如，对象集合可以包括单个对象或多个对象。
104.除非另有特别说明，否则诸如短语“x、y或z中的至少一个”的析取语言按照一般用于表示项目、术语等的上下文理解，可以是x、y或z或其任意组合(例如，x、y或z)。因此，这种析取语言通常不旨在也不应该暗示某些实施例要求至少一个x、至少一个y和至少一个z都存在。
105.本文描述的和/或在附图中描绘的流程图中的任何过程描述、元素或块应被理解为潜在地表示包括用于实现过程中的特定逻辑功能或元素的一个或多个可执行指令的模块、段或代码部分。在本文描述的实施例的范围内包括备选实现，其中，根据本领域技术人员将理解的所涉及的功能，元素或功能可以被删除，不按所示或所讨论的顺序执行，包括基本上同时或以相反的顺序执行。
106.除非另有明确说明，否则诸如“一”或“一个”的冠词一般应解释为包括一个或多个所描述的物品。因此，诸如“一个设备，被配置为”的短语旨在包括一个或多个所记载的设备。这样的一个或多个所记载的设备还可以被共同配置为执行所陈述的记载。例如，“一个处理器，被配置为执行记载a、b和c”可以包括被配置为执行记载a的第一处理器，其与被配置为执行记载b和c的第二处理器协同工作。
107.虽然上述详细描述已经示出、描述并指出了应用于各种实施例的新颖特征，但是可以理解，在不脱离本公开的范围的情况下，可以对所示设备或算法的形式和细节进行各种省略、替换和改变。如可以认识到的，本文描述的某些实施例可以在不提供本文陈述的所有特征和益处的形式中实施，因为一些特征可以与其他特征分开使用或实践。权利要求的含义和等同范围内的所有改变均应包括在其范围内。