專利名稱:分布式網(wǎng)絡(luò)驗(yàn)證及接入控制系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種計(jì)算機(jī)方法與系統(tǒng),其用以在因特網(wǎng)的有線和無線 進(jìn)入點(diǎn)因特網(wǎng)進(jìn)行用戶驗(yàn)證與數(shù)據(jù)業(yè)務(wù)的接入控制���。
背景技術(shù):
因特網(wǎng)的普遍化已使得大量的信息可以被任何使用因特網(wǎng)連接的人 隨手可得。因特網(wǎng)電子郵件已經(jīng)成為一種基本的商務(wù)通信形式����。目前�����, 使用陸地線接入鏈路的因特網(wǎng)連接已成為主流�,例如撥號調(diào)制解調(diào)器���、 數(shù)字用戶線路與電纜調(diào)制解調(diào)器��。
這些類型的連接雖然相當(dāng)普遍�����,但對用戶提供的移動性卻相當(dāng)有 限����,且將使對因特網(wǎng)連接進(jìn)行共享變得相當(dāng)困難����。例如,許多圖書館在 專用的計(jì)算機(jī)終端上提供因特網(wǎng)接入�����,且某些大學(xué)校園中的多棟建筑物 提供了網(wǎng)絡(luò)接入插座�����,以便讓使用膝上型計(jì)算機(jī)的學(xué)生能方便地進(jìn)行接 入。這些方法均提供一種用以在除了自己本身的陸地線接入鏈路之外的 位置接入因特網(wǎng)的方式�����,但均需要在公共提供的接入點(diǎn)上維持靜止�,而 且提供該項(xiàng)網(wǎng)絡(luò)連接的機(jī)構(gòu)都需要對基礎(chǔ)建設(shè)進(jìn)行實(shí)質(zhì)性投資�����。由于基 本上并不可能使多位用戶共享相同的網(wǎng)絡(luò)接入插座或?qū)S媒K端����,相關(guān)機(jī) 構(gòu)必須對其想提供服務(wù)的主顧提供單獨(dú)接入點(diǎn)。此外�����,這些提供對其網(wǎng) 絡(luò)的接入插座的機(jī)構(gòu)���,例如大學(xué)�,在給予用戶對其網(wǎng)絡(luò)的接入權(quán)之前����, 將典型地需要用戶能具備一個(gè)經(jīng)注冊的網(wǎng)絡(luò)帳戶�����,這將更進(jìn)一步地限制 該網(wǎng)絡(luò)對大眾的接入性����。相似地���,當(dāng)一供貨商訪問一顧客網(wǎng)站(在其計(jì)算機(jī)網(wǎng)絡(luò)上沒有供貨 商的帳戶)時(shí)�,該供貨商將發(fā)現(xiàn)很難取得對該網(wǎng)絡(luò)的接入權(quán)�����,并且因此 很難進(jìn)入因特網(wǎng)����、電子郵件帳戶與其它重要數(shù)據(jù)。如果該供貨商能夠幸 運(yùn)地取得對網(wǎng)絡(luò)插座的接入權(quán)的話�����,該供貨商將仍必需任由顧客網(wǎng)站的 網(wǎng)絡(luò)管理員的擺布?�;诎踩睦碛?���,公司往往設(shè)定其計(jì)算機(jī)網(wǎng)絡(luò),以 拒絕并未出現(xiàn)在其注冊用戶接入列表上的任何人的接入�。
因此,因特網(wǎng)的移動接入將受到兩種因素的限制��。第一種因素是�, 用戶為維持對位于稀疏分布的網(wǎng)絡(luò)接入插座的線路連接的物理需要��。第 二種因素是����,對并未具有已注冊帳戶的人來說,取得網(wǎng)絡(luò)接入權(quán)是相當(dāng) 困難的����。這些因素中的第一種因素已經(jīng)能夠通過無線數(shù)據(jù)網(wǎng)絡(luò)的引進(jìn)而 克服,其并不需要用戶維持對網(wǎng)絡(luò)接入插座的接入線��,且因此不需要用 戶維持靜態(tài)���。此外����,因?yàn)榫W(wǎng)絡(luò)連接是無線的,對多個(gè)用戶來說����,便相對 容易地可利用相同接入點(diǎn)來進(jìn)行連接和斷開對網(wǎng)絡(luò)的連接。
克服第二種因素的方法并不是直接的�����,且將在以下更詳細(xì)地闡述����。
目前廣泛可得的無線數(shù)據(jù)網(wǎng)絡(luò)的一個(gè)實(shí)例是低速個(gè)人通信服務(wù)
(Personal Communication Service、 PCS)網(wǎng)絡(luò)����。該禾中網(wǎng)絡(luò)的主要接入裝 置是蜂窩式電話,其具有內(nèi)建式無線應(yīng)用協(xié)議(WAP)的特征����。這些無線網(wǎng) 絡(luò)在授權(quán)頻率中運(yùn)作,且是集中式規(guī)劃地��,并由大型電信公司所構(gòu)建。 典型地�����,各個(gè)小區(qū)將具有約為2至10英里的較大半徑��,且以約19Kbps的低 速操作���。對任何給定地理區(qū)域來說����,只有少量的電信公司可在該區(qū)域中 進(jìn)行服務(wù)�,而各個(gè)網(wǎng)絡(luò)是專有的且對競爭網(wǎng)絡(luò)是封閉的。因此���,某種程 度來說,無法從一網(wǎng)絡(luò)漫游至另一網(wǎng)絡(luò)���。此外�����,它的低速將使對因特網(wǎng) 的完全接入變得不切實(shí)際�����,且該種網(wǎng)絡(luò)裝置將典型地受限為只能顯示進(jìn) 行簡單的文本顯示��。
一種新發(fā)展出來的新型無線數(shù)據(jù)網(wǎng)絡(luò)將提供較高速度�,約l至 11Mbps。這些網(wǎng)絡(luò)在未授權(quán)頻帶中操作���,且將根據(jù)新發(fā)展出來的無線通 信協(xié)議標(biāo)準(zhǔn)����,例如IEEE 802.11�����、藍(lán)牙(Bluetooth)和homeRF�。該種網(wǎng)絡(luò) 的共同特征是具有約200英尺的小型小區(qū)半徑。該小區(qū)為無線或紅外線基 站����,其將作為對網(wǎng)絡(luò)的接入點(diǎn)。多個(gè)該種接入點(diǎn)可互相鄰近地分布���,以
擴(kuò)展該種無線網(wǎng)絡(luò)的整體范圍���。對該種網(wǎng)絡(luò)的介紹揭露于美國專利
5�, 771,462與5����, 539, 824中����。
可以利用該種無線網(wǎng)絡(luò)裝置來形成各種不同網(wǎng)絡(luò)配置。圖l將展示多 個(gè)配備有無線網(wǎng)絡(luò)無線裝置的計(jì)算機(jī)11至17�,其特征在于各自的天線19 至25。當(dāng)計(jì)算機(jī)11至17位于彼此鄰近處時(shí)����,它們在彼此之間可形成一種 特別類型的網(wǎng)絡(luò)。然而���,并未位于該種特別類型網(wǎng)絡(luò)中的是一個(gè)基站小 區(qū),其可把該特別類型網(wǎng)絡(luò)連接至具有對因特網(wǎng)的陸地線接入權(quán)的一有 線網(wǎng)絡(luò)�����。因此��,該種特別類型網(wǎng)絡(luò)并不具有對因特網(wǎng)的接入權(quán)。
現(xiàn)在請參照圖2���,為了接入因特網(wǎng)�, 一個(gè)人需要取得對網(wǎng)絡(luò)的接入 權(quán)����,該網(wǎng)絡(luò)具有一路由器37,該路由器進(jìn)而把該網(wǎng)絡(luò)連接至因特網(wǎng)35�����。 該種網(wǎng)絡(luò)的特征典型地在于��, 一個(gè)用于控制對網(wǎng)絡(luò)上各種不同服務(wù)的接 入權(quán)的服務(wù)器31�,這些服務(wù)包括因特網(wǎng)服務(wù)。工作站33利用各種不同種 類的硬件布線媒體53連接至服務(wù)器31�����。該網(wǎng)絡(luò)可提供無線接入點(diǎn)41和 43�,以分別地把計(jì)算機(jī)47與49耦合至由服務(wù)器31所控制的硬布線網(wǎng)絡(luò), 該計(jì)算機(jī)47與49中配備有表示為天線的無線通信裝置����。接入點(diǎn)41與43通 過各種不同通信系統(tǒng)�����,例如無線與紅外線波����,來建立與計(jì)算機(jī)47與49的 無線連接���,且沿著纜線53對服務(wù)器31具備一硬布線連接�����。接入點(diǎn)41與43 的功能是要分別地中繼服務(wù)器31與無線網(wǎng)絡(luò)計(jì)算機(jī)47及49間的通信�,但 服務(wù)器31仍將控制應(yīng)該提供給計(jì)算機(jī)47與49何種服務(wù)��。因此��,服務(wù)器31 可拒絕提供因特網(wǎng)服務(wù)給計(jì)算機(jī)47與49��。確實(shí)���,如果計(jì)算機(jī)47與49并未 具有已向服務(wù)器31注冊的網(wǎng)絡(luò)帳戶的話,服務(wù)器31可拒絕計(jì)算機(jī)47與49 進(jìn)入網(wǎng)絡(luò)���。
如上所述�����,無線網(wǎng)絡(luò)具有小范圍���,因此第二接入點(diǎn)45可作為較遠(yuǎn)無 線網(wǎng)絡(luò)計(jì)算機(jī)51與接入點(diǎn)43間的中繼器���。以上是利用多個(gè)基站接入點(diǎn)43 與45來擴(kuò)展無線網(wǎng)絡(luò)范圍的實(shí)例。
現(xiàn)在請參照圖3�,許多網(wǎng)絡(luò)布局配置是已知的,且服務(wù)器53不需要位 于路由器55與其它網(wǎng)絡(luò)節(jié)點(diǎn)61至65之間�。在圖3的網(wǎng)絡(luò)布局中,接入點(diǎn)67 具有對路由器55的直接接入權(quán)���,該路由器55僅而具有對因特網(wǎng)59的接入 權(quán)���,但這并不表示服務(wù)器53喪失了對該網(wǎng)絡(luò)的控制權(quán)。不論該布局如何���,服務(wù)器53仍可負(fù)責(zé)驗(yàn)證新用戶和分配資源��。再次地���,接入點(diǎn)67被顯示為 無線接入點(diǎn)���,因?yàn)樗煞奖愕厥苟辔挥脩?1至65容易地接入該網(wǎng)絡(luò),但 其它硬布線接入點(diǎn)連接同樣是典型的�����。
盡管相當(dāng)便利�,該種無線網(wǎng)絡(luò)在過去是被禁止的,因?yàn)槠涑杀鞠鄬?較高����。直到近年來,雖然實(shí)現(xiàn)無線網(wǎng)絡(luò)所必要的組件是昂貴的�����,但科技 近年來的發(fā)展已經(jīng)降低了實(shí)現(xiàn)無線網(wǎng)絡(luò)所需要的小區(qū)基站與無線裝置的 費(fèi)用����。該種無線網(wǎng)絡(luò)在業(yè)界中已越來越盛行,且本發(fā)明的申請人已可預(yù) 測出將來許多小型企業(yè)可運(yùn)作其自己自主的無線網(wǎng)絡(luò)�����。該種自主無線網(wǎng) 絡(luò)的大小可為市區(qū)街區(qū)大小至小型建筑物大小,甚至為咖啡店大小�。那 么對移動性用戶來說���,便可通過配備有適當(dāng)無線通信裝置的移動計(jì)算裝 置來取得對無線網(wǎng)絡(luò)的永遠(yuǎn)接入權(quán)����。因此���,該種無線網(wǎng)絡(luò)將可克服限制 上述對因特網(wǎng)的自由和移動接入權(quán)的第一種因素�。
盡管如此�����,仍然必須面對上述的第二種因素��,其限制了對因特網(wǎng)的 移動接入權(quán)���。由于大部分自主無線網(wǎng)絡(luò)是獨(dú)立的��,移動用戶將典型地未 具備對目標(biāo)網(wǎng)絡(luò)的接入權(quán)�����,除非已經(jīng)在目標(biāo)網(wǎng)絡(luò)上為移動用戶事先設(shè)定 了接入帳戶�����。即便用戶在多個(gè)無線網(wǎng)絡(luò)上具有接入帳戶�,每當(dāng)從一自主 網(wǎng)絡(luò)移動至另一自主網(wǎng)絡(luò)時(shí),該用戶將必須停止其活動且重新在不同的 無線網(wǎng)絡(luò)進(jìn)行驗(yàn)證����。
在描述用于接入外部網(wǎng)絡(luò)的方法以及用于實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)轉(zhuǎn)換的方法 的領(lǐng)域中可以找到一些現(xiàn)有技術(shù)。例如�����,美國專利5,878, 127已經(jīng)展示了 一種電話系統(tǒng)�����,其便利于從非網(wǎng)絡(luò)位置或工作站對專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪 問����。該系統(tǒng)根據(jù)非網(wǎng)絡(luò)工作站的呼叫者號碼及/或由遠(yuǎn)程呼叫者所輸入的 驗(yàn)證碼,準(zhǔn)許對專用網(wǎng)絡(luò)的遠(yuǎn)程訪問��。美國專利6,016,318說明了通過一 種包括位置寄存器的〃公共移動數(shù)據(jù)網(wǎng)絡(luò)〃 (Public Mobile Data Network) 來提供對專用LAN與因特網(wǎng)的接入的各種不同方法�,而該寄存器作為用以
儲存移動數(shù)據(jù)終端的位置信息與用戶信息的數(shù)據(jù)庫。相似地���,美國專利 5�����,978,373展示一種方法�,其使遠(yuǎn)程用戶可以取得對專用WAN的安全接
入。 一中央驗(yàn)證辦公室作為一代理主機(jī)�����,以授權(quán)遠(yuǎn)程用戶且建立對該專 用網(wǎng)絡(luò)的安全連接��。該中央辦公室向遠(yuǎn)程用戶傳送一服務(wù)注冊模板HTML
文件以供遠(yuǎn)程用戶填寫�。
一旦遠(yuǎn)程用戶已經(jīng)被驗(yàn)證了,將與該專用網(wǎng)絡(luò)
建立連接���。相似地����,美國專利5,918�����,019展示了一種系統(tǒng)���,其可使遠(yuǎn)程用 戶通過因特網(wǎng)來建立對專用網(wǎng)絡(luò)的仿真直接撥號連接��。
美國專利6�, 000����, 033展示了一種系統(tǒng),其中用戶在多個(gè)數(shù)據(jù)庫中具有 帶不同口令的帳戶��。為了訪問所有數(shù)據(jù)庫���,用戶可登錄至主口令數(shù)據(jù)庫�����, 該數(shù)據(jù)庫將把適當(dāng)口令提交至用戶希望訪問的任一數(shù)據(jù)庫�����。美國專利 5, 872�����, 915展示了一種方法�,其允許通過因特網(wǎng)對在網(wǎng)絡(luò)服務(wù)器上的軟件 進(jìn)行安全訪問。用戶通過網(wǎng)絡(luò)瀏覽器輸入數(shù)據(jù)��,數(shù)據(jù)被傳送至網(wǎng)絡(luò)服務(wù) 器應(yīng)用程序��。該網(wǎng)絡(luò)服務(wù)器應(yīng)用程序隨后將驗(yàn)證該網(wǎng)絡(luò)瀏覽器��,且傳送 適當(dāng)輸入數(shù)據(jù)至一應(yīng)用網(wǎng)關(guān)��,這些數(shù)據(jù)包括唯一地識別該網(wǎng)絡(luò)瀏覽器的 數(shù)據(jù)�。該應(yīng)用網(wǎng)關(guān)隨后使用從瀏覽器接收的驗(yàn)證數(shù)據(jù)來確定是否該瀏覽 器的用戶被授權(quán)訪問該軟件應(yīng)用程序���。美國專利5��, 805����, 719說明了另一種 驗(yàn)證用戶的方法���,其中該系統(tǒng)并不使用有利于授權(quán)交易的ID標(biāo)記����,通過 把直接從一個(gè)未知用戶個(gè)人采集的獨(dú)特生物統(tǒng)計(jì)樣本,例如指紋或聲音 錄音�����,與預(yù)先獲得和存儲的相同類型的已驗(yàn)證生物統(tǒng)計(jì)樣本進(jìn)行相關(guān)比 較來驗(yàn)證用戶��。
發(fā)明內(nèi)容
上述用以驗(yàn)證用戶并增加外部網(wǎng)絡(luò)間通信的方法并未解決允許不具 有對目標(biāo)網(wǎng)絡(luò)的注冊帳戶的移動用戶進(jìn)行網(wǎng)絡(luò)接入的問題�����。相似地����,他 們也沒有討論實(shí)現(xiàn)該種系統(tǒng)所需要的基礎(chǔ)建設(shè)。
本發(fā)明目的之一在于提供一種系統(tǒng)與方法�,其允許移動用戶通過外 部數(shù)據(jù)網(wǎng)絡(luò)來取得因特網(wǎng)接入權(quán)。
本發(fā)明另一目的在于提供一種系統(tǒng)�����,其不必使用中介專用網(wǎng)絡(luò)�,也 能進(jìn)行對因特網(wǎng)的無線接入�。
上述的目的可以由一個(gè)用于在多個(gè)小半徑數(shù)據(jù)網(wǎng)絡(luò)上允許計(jì)算裝置 的分布式接入控制的方法來實(shí)現(xiàn)�����。然而�,本發(fā)明并不限于小半徑數(shù)據(jù)網(wǎng) 絡(luò),且可以應(yīng)用在傳統(tǒng)硬布線����、大半徑網(wǎng)絡(luò)中。想要取得專用網(wǎng)絡(luò)接入 的用戶首先對目標(biāo)網(wǎng)絡(luò)建立物理連接��。該物理連接可以經(jīng)由一無線基站
或可經(jīng)由有線集線器��、交換機(jī)或防火墻�����。 一旦進(jìn)行連接�����,潛在新用戶可 以嘗試取得對目標(biāo)網(wǎng)絡(luò)的資源(例如因特網(wǎng)服務(wù))的接入權(quán)����。
典型地,專用網(wǎng)絡(luò)可通過首先嘗試驗(yàn)證新用戶的身份和網(wǎng)絡(luò)特權(quán)來 響應(yīng)于嘗試取得網(wǎng)絡(luò)接入的新用戶���。如果新用戶并不在該專用網(wǎng)絡(luò)的授 權(quán)用戶列表中的話��,該專用網(wǎng)絡(luò)將有權(quán)拒絕該新用戶進(jìn)入該網(wǎng)絡(luò)���,或使 其在訪客帳戶的名義下以新用戶的最小特權(quán)建立一臨時(shí)會話。然而���,如 果給予了新用戶一訪客帳戶���,該專用網(wǎng)絡(luò)將不會具有新用戶身份的精確 紀(jì)錄。因此����,大部分專用網(wǎng)絡(luò)將選擇拒絕任何未注冊用戶的進(jìn)入。該種 網(wǎng)絡(luò)響應(yīng)在一個(gè)構(gòu)想的分布式網(wǎng)絡(luò)中尤其存在問題�,其中該分布式網(wǎng)絡(luò) 包含可響應(yīng)于移動個(gè)人的多個(gè)小型專用網(wǎng)絡(luò)。本發(fā)明將通過建立一種系 統(tǒng)來尋求減緩該種困境�����,該系統(tǒng)可讓使用該"訪客"帳戶的新用戶被正確 地識別�。
該識別不僅對于維持網(wǎng)絡(luò)上所有用戶的準(zhǔn)確紀(jì)錄是有用的�����,而且對 于計(jì)費(fèi)也是有用的��。例如���,在含有多個(gè)小型專用網(wǎng)絡(luò)的分布式網(wǎng)絡(luò)中, 可能希望按照專用網(wǎng)絡(luò)上的接入時(shí)間來對〃訪客〃用戶計(jì)費(fèi)��。在本發(fā)明 中��,這是由一個(gè)集中式驗(yàn)證網(wǎng)絡(luò)服務(wù)器來實(shí)現(xiàn)的���,其中移動用戶和目標(biāo) 專用網(wǎng)絡(luò)都向該服務(wù)器預(yù)訂�����。該移動用戶產(chǎn)生用于該驗(yàn)證網(wǎng)絡(luò)服務(wù)器的 帳戶,該帳戶包括一識別手段�����,例如一口令���。該專用網(wǎng)絡(luò)接受來自驗(yàn)證 網(wǎng)絡(luò)服務(wù)器的驗(yàn)證結(jié)果�����,且為新用戶產(chǎn)生適當(dāng)限制的網(wǎng)絡(luò)接入�����。
在運(yùn)作中����,客戶裝置(新用戶)通過一接入控制裝置物理地連接至該 目標(biāo)網(wǎng)絡(luò),并啟動一因特網(wǎng)接入請求����。如果該客戶裝置并未在目標(biāo)網(wǎng)絡(luò) 的授權(quán)用戶的列表中的話,該接入控制將通過因特網(wǎng)把客戶裝置重定向
至驗(yàn)證網(wǎng)絡(luò)服務(wù)器��。該驗(yàn)證網(wǎng)絡(luò)服務(wù)器向客戶裝置傳送一HTML登錄網(wǎng) 頁���,客戶裝置通過該網(wǎng)頁把適當(dāng)驗(yàn)證信息提供給該系統(tǒng)����。該驗(yàn)證裝置對 由客戶裝置傳送給它的信息進(jìn)行分析,并驗(yàn)證該客戶裝置���。如果該客戶 裝置被正確地識別的話�,該驗(yàn)證網(wǎng)絡(luò)服務(wù)器隨后把一〃解鎖〃消息發(fā)送至 該接入控制裝置����,該消息專用于指定的客戶裝置。隨后來自該客戶裝置 的所有電信業(yè)務(wù)將流過接入控制裝置���,直到一接入期滿事件發(fā)生為止����,
例如一定時(shí)器期滿�、 一個(gè)顯式的"禁止客戶裝置"消息,或一個(gè)客戶裝置 斷開消息�����。
因此很重要的是�,驗(yàn)證網(wǎng)絡(luò)服務(wù)器可以正確地識別客戶裝置與目標(biāo) 網(wǎng)絡(luò)。由于在此業(yè)界中網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)的普遍使用��,無法確保從客戶 裝置所接收到的IP地址信息是正確的���,也不能完全依賴于網(wǎng)絡(luò)瀏覽器所
提供的識別信息��,例如小應(yīng)用程序(cookies),來建立該客戶裝置的身 份����;否則����,該系統(tǒng)將可能受到軟件黑客的惡意使用。因此�,本發(fā)明利用 從客戶裝置的硬件主機(jī)地址和接入點(diǎn)的硬件主機(jī)地址產(chǎn)生的被嵌入一個(gè) HTML文件的保留串字段中的ID來建立用戶的身份。
此外���,由于本發(fā)明的主要目的在于提供給移動用戶提供因特網(wǎng)接 入���,本發(fā)明提出使用增強(qiáng)式遠(yuǎn)程接入點(diǎn),該接入點(diǎn)具有內(nèi)建路由器能力���, 以直接地把潛在客戶用戶連接至該驗(yàn)證網(wǎng)絡(luò)服務(wù)器與因特網(wǎng)��,而不需要 專用者的自主網(wǎng)絡(luò)���。該驗(yàn)證網(wǎng)絡(luò)服務(wù)器可維持所使用的各個(gè)接入點(diǎn)的紀(jì) 錄�����,和客戶用戶的名字��。因此�,增強(qiáng)式接入點(diǎn)的所有者將仍可維持所有 用戶的正確紀(jì)錄以進(jìn)行計(jì)費(fèi)�。或者�,可由驗(yàn)證網(wǎng)絡(luò)服務(wù)器向客戶用戶直 接地進(jìn)行計(jì)費(fèi)或收費(fèi),并把計(jì)費(fèi)額的一部分傳送至客戶用戶所使用的增 強(qiáng)式接入點(diǎn)的所有者�����。
本發(fā)明的上述及其它目的��、特征與優(yōu)點(diǎn)將通過以下參照
的
優(yōu)選實(shí)施例來更好地理解�,其中
圖1說明現(xiàn)有技術(shù)中利用無線通信的 一特別網(wǎng)絡(luò);
圖2為利用有線與無線網(wǎng)絡(luò)連接的第一現(xiàn)有技術(shù)網(wǎng)絡(luò)布置��;
圖3為利用有線與無線網(wǎng)絡(luò)連接的第二現(xiàn)有技術(shù)網(wǎng)絡(luò)布置�;
圖4說明現(xiàn)有技術(shù)中利用IP協(xié)議的網(wǎng)絡(luò)通信;
圖5為現(xiàn)有技術(shù)中使用網(wǎng)絡(luò)地址轉(zhuǎn)換的說明����;
圖6為根據(jù)本發(fā)明的第一網(wǎng)絡(luò)布置���;
圖7為根據(jù)本發(fā)明的第二網(wǎng)絡(luò)布置;以及
圖8為一方框圖�,其顯示第一網(wǎng)絡(luò)布置中的消息流動�����。
具體實(shí)施例方式
為了便于本發(fā)明的使用����,目前優(yōu)選例示實(shí)施例的最佳模式是以最小 的調(diào)整來使用現(xiàn)有硬件和軟件工具。如本領(lǐng)域所知�����,網(wǎng)絡(luò)通信過程被分 為多個(gè)標(biāo)準(zhǔn)化階段或?qū)?��,且各個(gè)層被分配進(jìn)行網(wǎng)絡(luò)通信所必要的特定工
作�����。廣泛使用的網(wǎng)絡(luò)通信標(biāo)準(zhǔn)為開放系統(tǒng)互連(Open System Interconnection���、 0SI)標(biāo)準(zhǔn)��,其由國際標(biāo)準(zhǔn)組織(ISO)所發(fā)展出來��。該 OSI通信模型把網(wǎng)絡(luò)通信分成七個(gè)層���。各個(gè)層均具有事先定義的標(biāo)準(zhǔn)化的 機(jī)制,用于與其上層和其下層進(jìn)行通信�。以此方式,只要能使用相同標(biāo) 準(zhǔn)化機(jī)制來與相鄰層進(jìn)行通信���,任何層均可被調(diào)整或最佳化���,而不需要 調(diào)整任何其它層。
第一層為物理層���,它描述用以傳送和接收邏輯1和邏輯0的硬件媒 體����。第二層為數(shù)據(jù)鏈路層���,它將消息轉(zhuǎn)換為正確格式��,使物理層能夠傳 送�,并轉(zhuǎn)換物理層所接收的消息,以使上層能理解�����?���;旧?����,數(shù)據(jù)鏈路 層將消息格式化為封裝該消息的數(shù)據(jù)幀��,并增加定制化信息���,包括CRC 碼�����、目的地址信息���,以及源地址信息。第三層為網(wǎng)絡(luò)層����,且其主要功能 是將數(shù)據(jù)從源網(wǎng)絡(luò)引導(dǎo)至目的網(wǎng)絡(luò)�����。該第三層有時(shí)稱為網(wǎng)間層����,因?yàn)槠?工作基本上是安排消息的路線并給上層提供一種標(biāo)準(zhǔn)網(wǎng)絡(luò)接口��。本發(fā)明 位于此第三層中�����,進(jìn)而可以用軟件調(diào)整來實(shí)現(xiàn)而不需要任何額外硬件調(diào) 整�����。由于大部分現(xiàn)有硬件��,例如路由器和集線器�����,已具備可更新固件, 本發(fā)明可以容易地并入目前網(wǎng)絡(luò)�。
各種不同種類的網(wǎng)絡(luò)協(xié)議可以與OSI模型的第三層相關(guān)聯(lián),但本發(fā)明 優(yōu)選地利用因特網(wǎng)協(xié)議(IP)��,其是網(wǎng)絡(luò)所使用的用于與因特網(wǎng)進(jìn)行通信 的協(xié)議����。因此,有利地是在進(jìn)行更進(jìn)一步討論之前�,能簡短地說明與本 發(fā)明優(yōu)選實(shí)施例的最佳模式相關(guān)的IP地址協(xié)議的其它部分。
現(xiàn)在請參照圖4����,計(jì)算機(jī)71為第一網(wǎng)絡(luò)72的一部分�����,其希望與為第二 網(wǎng)絡(luò)79—部分的計(jì)算機(jī)75進(jìn)行通信����。兩個(gè)網(wǎng)絡(luò)72與79通過路由器74進(jìn)行 耦合,而該路由器在網(wǎng)絡(luò)72與79之間中繼消息����。網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)具有 一唯一硬件地址,包括與計(jì)算機(jī)71進(jìn)行通信的路由器74的A側(cè)����,以及與計(jì) 算機(jī)75進(jìn)行通信的路由器74的B側(cè)��。當(dāng)相同網(wǎng)絡(luò)中的節(jié)點(diǎn)把彼此當(dāng)成目標(biāo)
進(jìn)行通信時(shí)���,所傳送消息包含有首部信息,該首部信息包括源節(jié)點(diǎn)的硬 件和IP地址以及目的或目標(biāo)節(jié)點(diǎn)的硬件和IP地址���。相同網(wǎng)絡(luò)中的所有節(jié) 點(diǎn)可拾取消息�����,但如果目的硬件地址并不符合其本身的地址時(shí)��,該消息 將被忽略�����。假如硬件地址符合于一特定節(jié)點(diǎn)的話���,那么該節(jié)點(diǎn)檢査該消 息的IP地址以驗(yàn)證它們的確為該消息的目標(biāo)接收者。例如���,假如計(jì)算機(jī)
71希望傳送一消息至路由器74���,那么該消息首部將包括的源硬件地址為 100�����,源IP地址為222.222.222. 1���,目的硬件地址為200,且目的IP地址為 222.222.222.2�����。如果路由器74想要響應(yīng)于該消息的話��,那么其響應(yīng)將包 括相似首部���,其中該源與目的地址將交換。
當(dāng)消息必須通過多個(gè)網(wǎng)絡(luò)以到達(dá)目的節(jié)點(diǎn)時(shí)����,每當(dāng)該消息穿過一路 由器時(shí)該首部信息將改變。盡管如此�,目的節(jié)點(diǎn)的IP地址將在網(wǎng)絡(luò)上維 持恒定。例如,假設(shè)計(jì)算機(jī)71希望傳送消息至計(jì)算機(jī)75,該信息的首部 必須通過路由器74來中繼該消息����。因此,離開計(jì)算機(jī)71的消息將包括源 硬件地址IOO�����, 和IP地址為222. 222, 222. 1�����,以及計(jì)算機(jī)75的IP地址�。然 而,由于計(jì)算機(jī)75與計(jì)算機(jī)71并不位于相同網(wǎng)絡(luò)中��,該消息將包括路由 器74的硬件地址200��。該路由器74將拾取該消息����,因?yàn)樵撓⒕哂衅溆布?地址,但在檢查該目的IP地址之后����,可識別出該消息的最終目的地為計(jì) 算機(jī)75�����。因此�����,該路由器將以新首部轉(zhuǎn)送該消息至計(jì)算機(jī)75�。該新首部 將通過維持其源IP地址222. 222. 222. 1來把計(jì)算機(jī)71識別為該消息的始 發(fā)者����,但將通過列出該路由器74的B側(cè)的源硬件地址300來把路由器74識 別為該轉(zhuǎn)送消息的發(fā)送者。由于路由器74的B側(cè)將面對與計(jì)算機(jī)75相同的 網(wǎng)絡(luò)79��,該轉(zhuǎn)送消息將包括計(jì)算機(jī)75的正確目的硬件和IP地址�。當(dāng)進(jìn)行 響應(yīng)時(shí),盡管是從路由器74收到消息�����,計(jì)算機(jī)75將知道該消息的最初源 為計(jì)算機(jī)71����,因?yàn)槠銲P地址被保留�。不論該消息在到達(dá)計(jì)算機(jī)75之前必 須經(jīng)過多少路由器�,上述上述情況都是不變的��。如此一來可以得知���,消 息首部中的源IP地址可以唯一地識別消息的始發(fā)者����,而且每當(dāng)該消息穿 過一路由器時(shí)源硬件地址就改變���,因此源硬件地址不是用以識別消息的 始發(fā)者的可靠源�。因此����,如本發(fā)明所要求的,消息首部中的源IP地址似 乎將是一個(gè)用以跨越多個(gè)網(wǎng)絡(luò)識別一特定節(jié)點(diǎn)的首要候選�����。然而�,如果消息越過一個(gè)利用網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation NAT) 服務(wù)來管理其接入網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)的話,便不是這種情況�。
為了使一個(gè)節(jié)點(diǎn)接入因特網(wǎng),該節(jié)點(diǎn)必須具有唯一工P地址���。然而�, 唯一IP地址的數(shù)量是限定的,且許多網(wǎng)絡(luò)利用NAT服務(wù)以允許許多網(wǎng)絡(luò)節(jié) 點(diǎn)或網(wǎng)絡(luò)計(jì)算機(jī)能利用相同的IP地址來接入因特網(wǎng)��。
一種簡單的網(wǎng)絡(luò)地址轉(zhuǎn)換的實(shí)例顯示在圖5中�����。在此�����,計(jì)算機(jī)72至76 為網(wǎng)絡(luò)的一部分�,其利用網(wǎng)絡(luò)地址轉(zhuǎn)換管理器78來共享單一有效IP地 址,201. 1. 2. 3�����。各個(gè)計(jì)算機(jī)72至76被給予任意IP地址����,其在該網(wǎng)絡(luò)中是 唯一的,但未必是有效的因特網(wǎng)IP地址���。當(dāng)計(jì)算機(jī)72至76中之一想要接 入因特網(wǎng)80時(shí)�,它們必須首先經(jīng)過利用正確IP地址84以及其自己的硬件 地址104中繼消息至因特網(wǎng)的NAT管理器78���。此外�,NAT 78把唯一接入端 口號碼分配給各個(gè)來自計(jì)算機(jī)72至76的輸入消息�,并維持一個(gè)把始發(fā)源 計(jì)算機(jī)74至76的硬件和IP地址與所分配到的端口號碼相關(guān)聯(lián)的表。經(jīng)分 配的端口號碼是包含在封裝消息的首部中的識別數(shù)據(jù)的一部分���,且因此 將隨著該消息傳送至因特網(wǎng)80���。當(dāng)從因特網(wǎng)80接收消息時(shí),已接收消息 的首部信息將列出NAT 78的IP和硬件地址作為其目的數(shù)據(jù)�����,但將同時(shí)還 具有NAT 78已經(jīng)分配給原始中繼消息的端口號碼���。NAT 78使用該端口號 碼來識別計(jì)算機(jī)72至76中哪一個(gè)始發(fā)了該消息���,且因此把來自于因特網(wǎng) 的響應(yīng)中繼給計(jì)算機(jī)72至76 。
如此一來���,因特網(wǎng)80中的目標(biāo)網(wǎng)頁將無法識別消息的始發(fā)者����,因?yàn)?在NAT 78背后,所有來自該網(wǎng)絡(luò)的消息將具有相同源IP和硬件地址����。因 此,當(dāng)試圖識別始發(fā)了一個(gè)消息的網(wǎng)絡(luò)節(jié)點(diǎn)時(shí)�����,本發(fā)明的優(yōu)選實(shí)施例將 選擇不依賴于消息首部中的源IP地址�����。
本發(fā)明的主要目的在于能夠唯一地識別移動用戶����,不論該用戶連接 何種網(wǎng)絡(luò)來接入因特網(wǎng)。因此��,當(dāng)識別移動用戶的源時(shí)���,本發(fā)明的優(yōu)選 實(shí)施例與現(xiàn)有技術(shù)不同��。
根據(jù)本發(fā)明網(wǎng)絡(luò)系統(tǒng)的第一實(shí)施例展示在圖6中�。本發(fā)明可應(yīng)用于一 種網(wǎng)絡(luò)中,其布置類似于圖2或任何其它已知網(wǎng)絡(luò)配置����,但優(yōu)選地�,根據(jù) 本發(fā)明,接入點(diǎn)123可設(shè)置于具有因特網(wǎng)接入的網(wǎng)絡(luò)節(jié)點(diǎn)附近���。在圖6中��,路由器127將源網(wǎng)絡(luò)129與因特網(wǎng)131耦合����。因此����,接入點(diǎn)123顯示在路由 器127旁邊。在此實(shí)例中����,利用膝上型計(jì)算機(jī)121的移動用戶利用無線接 入點(diǎn)123連接至網(wǎng)絡(luò)129??梢岳斫猓苿佑脩暨€可以利用硬件接入插座 連接至網(wǎng)絡(luò)129。
在網(wǎng)絡(luò)129中��,服務(wù)器125優(yōu)選地負(fù)責(zé)驗(yàn)證所有新用戶和分配各種不 同網(wǎng)絡(luò)服務(wù)��,包括因特網(wǎng)接入���。在此實(shí)例中�����,移動用戶利用膝上型計(jì)算 機(jī)121和接入點(diǎn)123來接入網(wǎng)絡(luò)129���,但并未具有服務(wù)器125的網(wǎng)絡(luò)帳戶, 且將因此典型地被拒絕網(wǎng)絡(luò)接入���。盡管如此��,該移動用戶通過任何一種 網(wǎng)絡(luò)瀏覽器(例如Microsoft Internet Explorer�����、 Netscape Navigator) 來啟始因特網(wǎng)接入會話至希望目標(biāo)網(wǎng)頁133���。該移動用戶裝置121因此將 經(jīng)過其域名解析過程以識別目標(biāo)網(wǎng)頁133的地址���。網(wǎng)絡(luò)129將允許所有DNS 業(yè)務(wù)流至因特網(wǎng),即使是來自未經(jīng)授權(quán)的用戶��,且移動用戶將因此接收 到目標(biāo)網(wǎng)頁133的正確IP地址���。
如本領(lǐng)域已知�,由源主機(jī)把SYN分組(即同步化/起動分組)發(fā)送到目 的主機(jī)然后等待同步化確認(rèn)(SYN ACK)來起動一個(gè)TCP連接����。然而�����,在此 實(shí)例中如圖8所示�,當(dāng)移動用戶裝置121在步驟1嘗試著通過使用獲得的目 的IP地址把一TCP SYN分組發(fā)送至該目標(biāo)網(wǎng)頁133來打開一個(gè)到目標(biāo)裝置 133的HTTP連接時(shí),網(wǎng)絡(luò)129攔截該分組并檢查是否該移動用戶裝置121已 被授權(quán)可取得對因特網(wǎng)的接入權(quán)�����。若是�����,那么該消息將因此被轉(zhuǎn)送。如 果該移動用戶裝置未被授權(quán)的話����,那么該分組的路徑被重新安排至一個(gè) 預(yù)定的重定向網(wǎng)絡(luò)服務(wù)器139。重定向網(wǎng)絡(luò)服務(wù)器139在步驟2中通過傳送 "網(wǎng)站重定位"消息來進(jìn)行響應(yīng)����,該消息將指示移動用戶裝置121到一個(gè)驗(yàn) 證網(wǎng)絡(luò)服務(wù)器137 (此重定向能力對于用于編寫網(wǎng)頁的通用語言HTML來說 是公知的)。該移動用戶的網(wǎng)絡(luò)瀏覽器在步驟3通過自動地重新傳送該 HTTP請求至驗(yàn)證網(wǎng)絡(luò)服務(wù)器137����,來響應(yīng)該"網(wǎng)站重定位"消息。再次地��, 網(wǎng)絡(luò)129攔截該TCP SYN分組�����,但在辨識出目標(biāo)網(wǎng)站現(xiàn)在為驗(yàn)證網(wǎng)絡(luò)服務(wù) 器137之后���,該分組將毫無變動地被轉(zhuǎn)送��。
因此�����,網(wǎng)絡(luò)129并不禁止未經(jīng)授權(quán)用戶的因特網(wǎng)接入�,它僅僅限制對 有限數(shù)量的預(yù)定網(wǎng)站的接入。對事先授權(quán)網(wǎng)站(例如驗(yàn)證網(wǎng)絡(luò)服務(wù)器137)的因特網(wǎng)接入請求將被允許接入因特網(wǎng)���,但所有對未經(jīng)授權(quán)網(wǎng)站的因特
網(wǎng)請求被自動地重新路由至重定向服務(wù)器網(wǎng)站139 ���。
步驟4中,驗(yàn)證網(wǎng)絡(luò)服務(wù)器137向移動用戶裝置121提出一個(gè)HTTP表單 網(wǎng)頁�����,其要求移動用戶的驗(yàn)證信息�。該用戶提供的驗(yàn)證信息可包括用戶 ID與口令,該用戶通過其網(wǎng)絡(luò)瀏覽器輸入該ID與口令��。在此處應(yīng)該要注 意的是��,雖然移動用戶ID已經(jīng)由網(wǎng)絡(luò)129提供了IP地址以便在網(wǎng)絡(luò)內(nèi)進(jìn)行 通信���,從移動用戶裝置121傳送至驗(yàn)證網(wǎng)絡(luò)服務(wù)器137的因特網(wǎng)分組不能 可靠地用于唯一地識別移動用戶裝置121,因?yàn)榫W(wǎng)絡(luò)129將可能使用網(wǎng)絡(luò) 地址轉(zhuǎn)換�。為了克服此項(xiàng)限制,傳送至移動用戶裝置121的HTTP表單網(wǎng)頁 包括跟隨在由驗(yàn)證網(wǎng)絡(luò)服務(wù)器137提供的唯一客戶裝置ID關(guān)鍵字EF1之后 的嵌入式保留字段��。該保留字段可位于發(fā)出數(shù)據(jù)分組中,其與該唯一客 戶裝置ID關(guān)鍵字EF1距離預(yù)定字節(jié)數(shù)����。或者��,該保留字段可以緊跟在唯一 客戶裝置ID關(guān)鍵字EF1之后����。
在步驟5,當(dāng)移動用戶裝置121轉(zhuǎn)送其驗(yàn)證數(shù)據(jù)至驗(yàn)證網(wǎng)絡(luò)服務(wù)器137 時(shí)��,網(wǎng)絡(luò)129檢測出一個(gè)消息分組正被傳送至驗(yàn)證網(wǎng)絡(luò)服務(wù)器137���,且通 過檢査該消息分組以檢測該嵌入式保留字段來進(jìn)行響應(yīng)��。由于該消息直 接地來自于移動客戶裝置121���,其消息分組首部中的唯一硬件地址將仍為 有效。網(wǎng)絡(luò)129通過基于移動客戶裝置121的唯一硬件地址���、目前會話信 息���、和網(wǎng)絡(luò)129的地址信息產(chǎn)生新客戶裝置ID關(guān)鍵字EF2來進(jìn)行響應(yīng)�����。該 地址信息將取決于本系統(tǒng)所實(shí)現(xiàn)的裝置��。在步驟6中���,該新客戶裝置ID關(guān) 鍵字被插入至嵌入式保留字段中,且該經(jīng)調(diào)整的消息被轉(zhuǎn)送至驗(yàn)證網(wǎng)絡(luò) 服務(wù)器137�����。
在從用戶移動裝置121收到HTTP表單網(wǎng)頁后��,驗(yàn)證網(wǎng)絡(luò)服務(wù)器137將 分析HTTP表單網(wǎng)頁中的信息�。優(yōu)選地,利用后端CGI腳本(script)來分 析該信息���。在步驟7中,該驗(yàn)證網(wǎng)絡(luò)服務(wù)器137把該用戶提供的信息和來 自嵌入式保留字段的新客戶裝置工D關(guān)鍵字轉(zhuǎn)送到守門者服務(wù)器(gate ke印er) 135�。該守門者服務(wù)器可通過因特網(wǎng)接入,或可直接地連接至該 驗(yàn)證網(wǎng)絡(luò)服務(wù)器137����。優(yōu)選地�����,該信息將沿著一個(gè)安全鏈路��,從驗(yàn)證網(wǎng)絡(luò) 服務(wù)器137傳送至守門者服務(wù)器135�����。
應(yīng)該要注意的是�,服務(wù)器125�����、重定向網(wǎng)絡(luò)服務(wù)器139��、驗(yàn)證網(wǎng)絡(luò)服 務(wù)器137與守門者服務(wù)器135并不需要位于分離的機(jī)器上�,且其中一個(gè)或 多個(gè)可共存在同一機(jī)器上。再者�,并不需要通常意義上的服務(wù)器,而可 以是能夠執(zhí)行屬性功能的網(wǎng)頁����、腳本、小程序或其它例程���。此外���,重定 向網(wǎng)絡(luò)服務(wù)器139的功能性不需要是分離的��,可以集成在網(wǎng)絡(luò)129中����。
守門者服務(wù)器135處理已接收的驗(yàn)證數(shù)據(jù)信息����,并檢査是否該用戶已 注冊。如果該移動客戶具有合法帳戶��,那么守門者服務(wù)器135將解碼對位 于嵌入式保留字段中的新客戶裝置ID關(guān)鍵字解碼��,以確定該移動用戶裝 置121的硬件地址��。在步驟8中�,守門者服務(wù)器135隨后根據(jù)相同的客戶裝 置ID關(guān)鍵字,把已加密"解鎖"消息傳送至網(wǎng)絡(luò)129����。如上所說明的����,運(yùn)行 本系統(tǒng)的網(wǎng)絡(luò)129內(nèi)的控制裝置把移動用戶裝置121的地址信息插入HTTP 表單網(wǎng)頁中�����,因此守門者135直接地把該"解鎖"消息傳送至該控制裝置�。 優(yōu)選地���,利用新客戶裝置ID關(guān)鍵字來加密該"解鎖"消息�?;蛘撸僧a(chǎn) 生第三客戶裝置ID關(guān)鍵字并在加密過程中使用��。它可包括移動客戶裝置 121的硬件地址�,以及網(wǎng)絡(luò)129的因特網(wǎng)協(xié)議地址。
網(wǎng)絡(luò)129驗(yàn)證該已加密的〃解鎖〃消息���,隨后更新其內(nèi)部接入列表�,以 許可把因特網(wǎng)服務(wù)提供給移動客戶裝置121�����。隨后所有從移動客戶裝置 121到因特網(wǎng)的業(yè)務(wù)將由網(wǎng)絡(luò)129毫無限制地轉(zhuǎn)送,直到如以下將詳細(xì)說 明的情況出現(xiàn)為止允許接入時(shí)間期滿��,接收一個(gè)顯式的"禁止客戶裝 置"消息���,或者客戶裝置121與網(wǎng)絡(luò)129斷開���。
在圖6的說明中,本發(fā)明被說明為一種在網(wǎng)絡(luò)129中運(yùn)作的程序例 程��,但該程序例程的位置并未明確地陳述出來����。本發(fā)明可以是在服務(wù)器 125、路由器127或接入點(diǎn)123中運(yùn)作的程序例程���,或可被劃分(parse) 以在該三者中分散其例程��。
因此����,網(wǎng)絡(luò)129上的所有移動用戶被唯一地識別和驗(yàn)證�。那么對網(wǎng)絡(luò) 129來說可以向移動用戶收取其在網(wǎng)絡(luò)129上的接入時(shí)間所產(chǎn)生的費(fèi)用。 或者���,由于移動用戶被守門者服務(wù)器135所驗(yàn)證����,有利地是����,由守門者服 務(wù)器135或另外的專門服務(wù)器來紀(jì)錄移動用戶裝置121通過該網(wǎng)絡(luò)129接 入因特網(wǎng)131的時(shí)間,并根據(jù)此來收費(fèi)�。在另一替代實(shí)施例中,移動用戶
已經(jīng)事先對其網(wǎng)絡(luò)接入的預(yù)定時(shí)間量迸行了付款��。當(dāng)移動用戶被允許接
入專用網(wǎng)絡(luò)(例如網(wǎng)絡(luò)129)時(shí)����,事先已付費(fèi)的時(shí)間量被傳送至網(wǎng)絡(luò)129, 且一旦時(shí)間已期滿時(shí)�,將切斷移動用戶123的連接。移動用戶裝置123尚 未使用的剩余時(shí)間可轉(zhuǎn)送至守門者服務(wù)器135或相應(yīng)的專門服務(wù)器���,且用
戶帳戶中的剩余時(shí)間將因此而更新����。
本發(fā)明的一項(xiàng)替代實(shí)施例顯示在圖7中�����。在圖7中,與圖6中相同的組
件將編有相同的組件編號并且如上所述�。在此替代實(shí)施例中,接入點(diǎn)105 與111具有進(jìn)行路由選擇以連接至因特網(wǎng)131的能力��。因此�����,接入點(diǎn)105或 lll均不需要單獨(dú)的硬布線網(wǎng)絡(luò)(例如圖6中顯示的網(wǎng)絡(luò)129)來實(shí)現(xiàn)本發(fā) 明��。
為了進(jìn)行展示���,無線接入點(diǎn)105被顯示為位于咖啡店中�,且無線接入 點(diǎn)lll被顯示為位于自動機(jī)械商店的等候室中����。移動用戶可通過無線接入 點(diǎn)105和用以建立到網(wǎng)絡(luò)的節(jié)點(diǎn)連接的任何已知裝置(例如手持式計(jì)算裝 置101或膝上型計(jì)算機(jī)103)來接入因特網(wǎng)131。在本實(shí)例中�,接入點(diǎn)105 被顯示為無線接入裝置,但它也可提供到客戶裝置的硬布線連接�����。相似 地,移動用戶可通過無線接入點(diǎn)111使用膝上型計(jì)算機(jī)109來接入因特網(wǎng) 131���。在此實(shí)施例中�,對守門者服務(wù)器135來說�����,優(yōu)選地由裝置IOI��、 103 與109來維持因特網(wǎng)接入時(shí)間紀(jì)錄�����,且隨后把總結(jié)報(bào)告發(fā)送給無線接入點(diǎn) 105和111的所有者����。
已經(jīng)根據(jù)本發(fā)明的優(yōu)選實(shí)施例說明了本發(fā)明��;然而����,上述僅為例示, 并不意圖限制本發(fā)明的范圍��。實(shí)際上對于本領(lǐng)域技術(shù)人員來說,可以進(jìn) 行各種變型�����,并且這些變型都落入本發(fā)明的范圍�。
權(quán)利要求
1.一種用以控制網(wǎng)絡(luò)上的因特網(wǎng)接入的計(jì)算機(jī)方法,該方法包括將至少一個(gè)接入裝置連接至該網(wǎng)絡(luò)�����,所述至少一個(gè)接入裝置始發(fā)多個(gè)發(fā)出數(shù)據(jù)分組���,每個(gè)所述至少一個(gè)接入裝置具有一唯一硬件地址���;通過因特網(wǎng)接入一重定向服務(wù)器;通過一網(wǎng)絡(luò)監(jiān)視裝置監(jiān)視從該網(wǎng)絡(luò)發(fā)送至因特網(wǎng)的發(fā)出數(shù)據(jù)分組并驗(yàn)證一發(fā)出數(shù)據(jù)分組的始發(fā)者接入裝置是否已被授權(quán)進(jìn)行因特網(wǎng)接入�,將從已授權(quán)接入裝置始發(fā)的所有發(fā)出分組被不受阻礙地轉(zhuǎn)送至因特網(wǎng),且檢查從未經(jīng)授權(quán)接入裝置始發(fā)的所有發(fā)出分組以確定其目標(biāo)目的因特網(wǎng)網(wǎng)站�,并且檢查一確定的目標(biāo)目的因特網(wǎng)網(wǎng)站是否符合于一預(yù)定的驗(yàn)證服務(wù)器,且響應(yīng)于所述檢查�����,如果相符的話���,把一對應(yīng)的發(fā)出數(shù)據(jù)分組轉(zhuǎn)送至該預(yù)定的驗(yàn)證服務(wù)器����,且該網(wǎng)絡(luò)監(jiān)視裝置通過忽略該確定的目標(biāo)目的因特網(wǎng)網(wǎng)站并把該發(fā)出數(shù)據(jù)分組轉(zhuǎn)送至該重定向服務(wù)器來響應(yīng)不相符的情況;由此�,傳送至因特網(wǎng)的所有發(fā)出數(shù)據(jù)分組都可取得對因特網(wǎng)的接入,不論其各自的始發(fā)者接入裝置是否被授權(quán)進(jìn)行因特網(wǎng)接入���。
2. 根據(jù)權(quán)利要求1所述的方法��,其中響應(yīng)于來自未授權(quán)始發(fā)者接 入裝置的一已接收數(shù)據(jù)分組,該重定向服務(wù)器向該未授權(quán)始發(fā)者接入裝 置傳送一個(gè)指示它連接至該預(yù)定的驗(yàn)證服務(wù)器的消息��。
3. 根據(jù)權(quán)利要求1所述的方法���,其中響應(yīng)于一未請求的已接收數(shù) 據(jù)分組����,該驗(yàn)證服務(wù)器向該數(shù)據(jù)分組的一始發(fā)者接入裝置傳送一個(gè)請求 驗(yàn)證信息的詢問表單��,而該詢問表單包括一隱藏保留字段和第一識別關(guān) 鍵字���。
4. 根據(jù)權(quán)利要求3所述的方法�����,其中該隱藏保留字段無法由接收 該詢問表單的該始發(fā)者接入裝置訪問���。
5. 根據(jù)權(quán)利要求3所述的方法�����,其中該第一識別關(guān)鍵字是基于來 自該網(wǎng)絡(luò)監(jiān)視裝置的地址信息的�。
6. 根據(jù)權(quán)利要求3所述的方法��,其中該網(wǎng)絡(luò)監(jiān)視裝置在驗(yàn)證出該 確定的目標(biāo)目的因特網(wǎng)網(wǎng)站符合于該預(yù)定驗(yàn)證服務(wù)器之后并且在把該發(fā) 出數(shù)據(jù)分組轉(zhuǎn)送至該預(yù)定的驗(yàn)證服務(wù)器之前�,進(jìn)一步掃描該發(fā)出數(shù)據(jù)分 組的內(nèi)容以搜尋該第一識別關(guān)鍵字,并且在找到該第一識別關(guān)鍵字之后�����, 根據(jù)該始發(fā)者接入裝置的唯一硬件地址產(chǎn)生第二識別關(guān)鍵字���,并將該第 二識別關(guān)鍵字插入在該隱藏保留字段中�����。
7. 根據(jù)權(quán)利要求6所述的方法��,其中該第二識別關(guān)鍵字是額外地 基于目前通信會話信息的����。
8. 根據(jù)權(quán)利要求6所述的方法,其中該第二識別關(guān)鍵字是額外地 基于該網(wǎng)絡(luò)監(jiān)視裝置的位置信息的���。
9. 根據(jù)權(quán)利要求6所述的方法�����,其中該隱藏保留字段位于該發(fā)出 數(shù)據(jù)分組內(nèi)����,其與該第一識別關(guān)鍵字相距預(yù)定數(shù)量的字節(jié)���。
10. 根據(jù)權(quán)利要求6所述的方法,其中該隱藏保留字段在該發(fā)出數(shù) 據(jù)分組中緊隨在該第一識別關(guān)鍵字之后�。
11. 根據(jù)權(quán)利要求3所述的方法,其中在通過因特網(wǎng)將該詢問表單 傳送回該驗(yàn)證服務(wù)器之前���,接收該詢問表單的該始發(fā)者接入裝置使用網(wǎng) 絡(luò)瀏覽軟件以把該請求的驗(yàn)證信息提供到該詢問表單中����。
12. 根據(jù)權(quán)利要求1所述的方法,其中該驗(yàn)證服務(wù)器通過抽取出隱 藏保留字段的內(nèi)容和從具有該隱藏保留字段的一請求數(shù)據(jù)分組中抽取出 驗(yàn)證信息來響應(yīng)于該請求數(shù)據(jù)分組�,而該抽取出的該隱藏保留字段的內(nèi) 容和驗(yàn)證信息被傳送至一守門者服務(wù)器。
13. 根據(jù)權(quán)利要求12所述的方法���,其中該守門者服務(wù)器通過因特網(wǎng) 來接入�。
14. 根據(jù)權(quán)利要求12所述的方法���,其中該驗(yàn)證服務(wù)器使用CG工腳本 來分析來自于該請求數(shù)據(jù)分組的該抽取信息���。
15. 根據(jù)權(quán)利要求12所述的方法,其中該守門者服務(wù)器把該驗(yàn)證信 息與一預(yù)定數(shù)據(jù)庫進(jìn)行比較以確定是否該始發(fā)者接入裝置已經(jīng)注冊��,并 通過把一解鎖消息傳送至該網(wǎng)絡(luò)監(jiān)視裝置來響應(yīng)于注冊的該始發(fā)者接入 裝置的驗(yàn)證���。
16. 根據(jù)權(quán)利要求15所述的方法��,其中該解鎖消息被利用一識別關(guān)鍵字來加密��。
17. 根據(jù)權(quán)利要求15所述的方法���,其中在驗(yàn)證出該始發(fā)者接入裝置已注冊之后,該守門者服務(wù)器對該隱藏保留字段的內(nèi)容進(jìn)行解碼以確定 該始發(fā)者接入裝置的唯一硬件地址,并且以該硬件地址來標(biāo)示該解鎖消 息���。
18. 根據(jù)權(quán)利要求15所述的方法��,其中該網(wǎng)絡(luò)監(jiān)視裝置響應(yīng)于該解 鎖消息的接收���,更新一網(wǎng)絡(luò)接入列表,以授權(quán)該始發(fā)者接入裝置進(jìn)行因特 網(wǎng)接入��。
19. 一種方法���,其用以通過因特網(wǎng)在專用網(wǎng)絡(luò)上遠(yuǎn)程地驗(yàn)證用戶�����, 該方法包括-允許該用戶通過一網(wǎng)絡(luò)接入裝置接入該專用網(wǎng)絡(luò)���,該接入裝置具有一唯一硬件;通過因特網(wǎng)來接入一驗(yàn)證服務(wù)器��;通過一網(wǎng)絡(luò)監(jiān)視裝置監(jiān)視從該專用網(wǎng)絡(luò)發(fā)送至因特網(wǎng)的所有發(fā)出消 息的目的地址�����,并且掃描其目的地為該驗(yàn)證服務(wù)器的任何消息的內(nèi)容�, 以在該消息中搜尋第一預(yù)定識別碼,該網(wǎng)絡(luò)監(jiān)視裝置響應(yīng)該第一預(yù)定識 別碼的檢測����,確定始發(fā)該消息的該接入裝置的硬件地址并且根據(jù)該硬件 地址產(chǎn)生第二識別碼,該網(wǎng)絡(luò)監(jiān)視裝置在把該消息轉(zhuǎn)送至該驗(yàn)證服務(wù)器 之前���,進(jìn)一步在該消息中插入該第二識別碼��;該驗(yàn)證服務(wù)器響應(yīng)于來自該網(wǎng)絡(luò)監(jiān)視裝置的該轉(zhuǎn)送消息的接收����,從 該第二識別碼解碼該硬件地址����,以及根據(jù)該硬件地址產(chǎn)生一第三識別碼, 并將其連同一解鎖消息一起傳送至該網(wǎng)絡(luò)監(jiān)視裝置�。
20. 根據(jù)權(quán)利要求19所述的方法,其中該網(wǎng)絡(luò)監(jiān)視裝置響應(yīng)于該解 鎖消息�����,更新網(wǎng)絡(luò)接入列表以授權(quán)網(wǎng)絡(luò)接入裝置的硬件地址與嵌入在該 第三識別碼中的地址相同的用戶進(jìn)行因特網(wǎng)接入��。
21. 根據(jù)權(quán)利要求19所述的方法,其中該第二識別碼是進(jìn)一步基于 該網(wǎng)絡(luò)監(jiān)視裝置的因特網(wǎng)協(xié)議地址的����。
22. 根據(jù)權(quán)利要求19所述的方法,其中該第三識別碼是進(jìn)一步基于 該網(wǎng)絡(luò)監(jiān)視裝置的因特網(wǎng)協(xié)議地址的����。
23. 根據(jù)權(quán)利要求19所述的方法,其中該網(wǎng)絡(luò)監(jiān)視裝置響應(yīng)于目的地是該驗(yàn)證服務(wù)器����、并且不包含該第一預(yù)定識別碼的消息,在不改變該消 息的情況下把該消息轉(zhuǎn)送至該驗(yàn)證服務(wù)器��。
24. 根據(jù)權(quán)利要求19所述的方法��,其中該網(wǎng)絡(luò)監(jiān)視裝置進(jìn)一步用于驗(yàn)證一發(fā)出消息是否由一已授權(quán)用戶始發(fā)���,并且允許來自已授權(quán)用戶的 所有發(fā)出消息不受阻礙地接入因特網(wǎng)�����,檢査來自未經(jīng)授權(quán)用戶的所有消 息的目的地址以確定其目的地是否為該驗(yàn)證服務(wù)器�,并且響應(yīng)于除了該 驗(yàn)證服務(wù)器以外的目的地址���,忽視該目的地址并通過因特網(wǎng)把該消息轉(zhuǎn) 送至一預(yù)定重定向服務(wù)器���;由此,對因特網(wǎng)傳送的所有發(fā)出消息被允許接入因特網(wǎng)�,不論該消息是否始發(fā)于一未經(jīng)授權(quán)用戶。
25. 根據(jù)權(quán)利要求24所述的方法��,其中該重定向服務(wù)器響應(yīng)于來自未授權(quán)用戶的一已接收消息�����,向該未授權(quán)用戶的網(wǎng)絡(luò)接入裝置傳送一個(gè) 指示它連接至該驗(yàn)證服務(wù)器的消息����。
26. 根據(jù)權(quán)利要求19所述的方法,其中該驗(yàn)證服務(wù)器響應(yīng)于不包含該第二識別碼的一已接收消息�����,根據(jù)該專用網(wǎng)絡(luò)的位置信息產(chǎn)生該第一 預(yù)定識別碼�����,該驗(yàn)證服務(wù)器進(jìn)一步對始發(fā)該消息的該網(wǎng)絡(luò)接入裝置傳送 一個(gè)向其相應(yīng)用戶請求驗(yàn)證信息的詢問表單���,該詢問表單包括一隱藏保 留字段和該第 一預(yù)定識別碼�。
27. 根據(jù)權(quán)利要求26所述的方法,其中該隱藏保留字段無法由接收該詢問表單的該用戶訪問����。
28. 根據(jù)權(quán)利要求26所述的方法,其中該隱藏保留字段在該詢問表單中跟隨在該第一預(yù)定識別碼之后�。
29. 根據(jù)權(quán)利要求26所述的方法,其中該網(wǎng)絡(luò)監(jiān)視裝置在由用戶發(fā)送到該驗(yàn)證服務(wù)器的任何消息的該隱藏保留字段中插入該第二識別碼��。
30. 根據(jù)權(quán)利要求26所述的方法���,進(jìn)一步包括該驗(yàn)證服務(wù)器能夠識別從未經(jīng)授權(quán)用戶接收的所填寫的詢問表單�����,且該驗(yàn)證服務(wù)器能夠從 該第二識別碼中分析出該未經(jīng)授權(quán)用戶的驗(yàn)證信息以及該硬件地址��;將該驗(yàn)證信息和硬件地址中繼至一守門者服務(wù)器以進(jìn)行驗(yàn)證�,該守門者服務(wù)器響應(yīng)于未經(jīng)授權(quán)用戶的驗(yàn)證��,產(chǎn)生該第三識別碼并把該解鎖 消息傳送至該網(wǎng)絡(luò)監(jiān)視裝置���。
31. 根據(jù)權(quán)利要求30所述的方法���,其中該守門者通過一安全鏈路從 該驗(yàn)證服務(wù)器接入�。
32. 根據(jù)權(quán)利要求30所述的方法���,其中該驗(yàn)證服務(wù)器通過因特網(wǎng)接 入該守門者服務(wù)器。
全文摘要
本發(fā)明提供了一種分布式網(wǎng)絡(luò)驗(yàn)證及接入控制系統(tǒng)�����。用戶利用硬布線或無線連接方式通過連接至一網(wǎng)絡(luò)來取得對一專用網(wǎng)絡(luò)的接入��,隨后啟始以任何網(wǎng)站為目標(biāo)的因特網(wǎng)接入請求�����。如果該用戶并未被授權(quán)進(jìn)行因特網(wǎng)接入的話����,那么該用戶被傳送至第一預(yù)定網(wǎng)站,該網(wǎng)站把該用戶指向一個(gè)可通過因特網(wǎng)接入的驗(yàn)證服務(wù)器�����。該驗(yàn)證服務(wù)器向該用戶傳送一個(gè)請求驗(yàn)證信息的HTTP表單網(wǎng)頁����。當(dāng)該用戶響應(yīng)時(shí)�����,該專用網(wǎng)絡(luò)中的一網(wǎng)絡(luò)監(jiān)視裝置改變該表單網(wǎng)頁以根據(jù)該網(wǎng)絡(luò)的位置來包括用戶的硬件地址和已編碼ID���。該驗(yàn)證服務(wù)器把該數(shù)據(jù)轉(zhuǎn)送至一守門者服務(wù)器,其將驗(yàn)證該新用戶并且跟據(jù)該網(wǎng)絡(luò)的位置和該用戶的硬件地址來傳送一解鎖消息以及另一已編碼ID��。
文檔編號G06F13/00GK101345762SQ20081014511
公開日2009年1月14日 申請日期2001年7月25日 優(yōu)先權(quán)日2000年8月1日
發(fā)明者倫根納弗·梅臘斯, 克拉克·盾, 小法蘭克斯M.安托, 強(qiáng).肯 申請人:海諾爾傳播股份有限公司