專利名稱：提高在為計算機系統(tǒng)提供網(wǎng)絡(luò)訪問時的自動化水平的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及設(shè)置計算機系統(tǒng)適當(dāng)?shù)卦诰W(wǎng)絡(luò)上通信，更特別地，涉及自動地為計算機系統(tǒng)提供適當(dāng)?shù)男畔ⅲ员隳転橛嬎銠C系統(tǒng)提供在網(wǎng)絡(luò)上的通信。
背景技術(shù)：
計算機系統(tǒng)及其相關(guān)技術(shù)影響社會的許多方面。的確，計算機系統(tǒng)處理信息的能力改變了我們生活和工作的方式。現(xiàn)在計算機系統(tǒng)一般執(zhí)行許多在計算機系統(tǒng)出現(xiàn)以前手工完成的任務(wù)(如字處理、行程安排和數(shù)據(jù)庫管理)。最近以來，計算機系統(tǒng)彼此連結(jié)在一起組成計算機網(wǎng)絡(luò)，通過網(wǎng)絡(luò)計算機系統(tǒng)可以電子方式通信以共享數(shù)據(jù)。結(jié)果，在計算機系統(tǒng)上完成的許多任務(wù)(如存取電子郵件和網(wǎng)頁瀏覽)包括通過計算機網(wǎng)絡(luò)(如因特網(wǎng))與一個或多個其它計算機系統(tǒng)進行電子通信。
為了在計算機網(wǎng)絡(luò)上以電子方式通信，計算機系統(tǒng)可能需要被授權(quán)訪問這個計算機網(wǎng)絡(luò)。例如，在計算機系統(tǒng)能在因特網(wǎng)上以電子方式通信之前，常常要求這個計算機系統(tǒng)向能夠授權(quán)訪問因特網(wǎng)的因特網(wǎng)服務(wù)提供商(在下文中被稱為“ISP”)注冊。向ISP注冊一般包括一些除在網(wǎng)絡(luò)上的電子通信之外的通信方式。例如，用戶可能要求用戶先與ISP的業(yè)務(wù)代表電話通信，以便由ISP建立一個帳號。
在這個電話通信期間，用戶可向ISP業(yè)務(wù)代表提供一般的信息(如姓名、地址等)和支付形式(如信用卡號)。作為回應(yīng)，ISP可給用戶提供用戶用戶名和密碼，用于認(rèn)證用戶并授權(quán)訪問因特網(wǎng)。在很多情況下，ISP還通過郵遞或其它遞送服務(wù)發(fā)送必須在計算機系統(tǒng)上安裝的訪問軟件(如撥號程序、Web瀏覽器等)和/或硬件(如DSL調(diào)制解調(diào)器或有線纜調(diào)制解調(diào)器)。為讓用戶連接至ISP從而訪問因特網(wǎng)，必須將所有訪問軟件和硬件正確地安裝在計算機系統(tǒng)上。象這樣，想要訪問因特網(wǎng)的用戶常常需要等待，直到接收到這樣的軟件和硬件。然后，在接收到訪問軟件和/或硬件后，用戶必須正確地在計算機系統(tǒng)上安裝訪問軟件和/或硬件以允許因特網(wǎng)訪問。
如果安裝正確，則用戶可連接到ISP并輸入由ISP提供的用戶名和密碼。ISP可基于用戶名和密碼認(rèn)證用戶，并且如果適當(dāng)(如當(dāng)用戶的支付是最新的)，則ISP可授權(quán)用戶的計算機系統(tǒng)訪問因特網(wǎng)?？上В绻脩舢?dāng)前沒有向ISP注冊，則在大多數(shù)情況下沒有辦法使用因特網(wǎng)上的電子通信來開始一個注冊過程。這是因為大多數(shù)ISP是從因特網(wǎng)訪問的，而當(dāng)用戶沒有辦法訪問因特網(wǎng)時，接著他們也沒有辦法訪問ISP進行注冊。
這樣在許多情況下，希望訪問因特網(wǎng)的用戶必須經(jīng)過電話聯(lián)系ISP并等待要交付的適當(dāng)?shù)脑L問軟件和/或硬件。此外，沒有適當(dāng)?shù)膽{證(如用戶名和密碼)或授權(quán)(如支付不是最新的)而嘗試連接至ISP的用戶，一般被完全阻塞對ISP和因特網(wǎng)兩者的所有網(wǎng)絡(luò)訪問。這樣，即使用戶知道撥入ISP訪問號碼(或嘗試連接的ISP網(wǎng)絡(luò)地址)，還是要求用戶用其它通信手段聯(lián)系ISP才能向ISP注冊(或更改賬戶不足)。
在一些情況下，例如，當(dāng)從家里連接至ISP時，等待訪問軟件和硬件的延遲是可以容忍的。然而在另外一些情況下這樣一種延遲可能是不可接受的。例如，當(dāng)在機場旅行或呆在旅館里時，使用諸如膝上型電腦之類的移動計算機系統(tǒng)的用戶可能想要訪問因特網(wǎng)。移動訪問這種需求的部分結(jié)果是許多旅館和機場通過有線和無線的兩種服務(wù)提供因特網(wǎng)訪問。獲得授權(quán)通過這些服務(wù)訪問因特網(wǎng)，一般要求一些與服務(wù)電子通信的形式以輸入用戶信息和支付信息。
通常，這些服務(wù)需要用戶將電纜插進移動計算機系統(tǒng)的網(wǎng)絡(luò)接口卡(或用無線網(wǎng)絡(luò)接口卡啟動連接)，然后打開Web瀏覽器。不過，用戶必須在他們嘗試向一個服務(wù)注冊前了解這些要完成的操作。例如，如果用戶不知道他們必須打開Web瀏覽器，那用戶根本就沒辦法向這個服務(wù)注冊。當(dāng)打開Web瀏覽器時，這個服務(wù)隨后通過基于Web的注冊過程重定向任何來自Web瀏覽器的通信?？上蛴脩麸@示一個輸入注冊信息(如姓名、房間號、信用卡號等)的界面。如果注冊信息合適，則可授權(quán)用戶用這個服務(wù)訪問因特網(wǎng)。
可惜的是，許多服務(wù)是私有的，并且每個服務(wù)可能要求不同的計算機系統(tǒng)配置和/或注冊信息以授權(quán)訪問因特網(wǎng)。不過，用戶可能沒有辦法在嘗試向一個服務(wù)注冊前了解所需要的系統(tǒng)配置和/或注冊信息。因此，即使用戶成功地在一個地方(如機場)向一個服務(wù)注冊，但是用戶在另一個地方(如旅館)可能被禁止注冊，由于不適當(dāng)?shù)卦O(shè)置的計算機系統(tǒng)或缺少合適的注冊信息。
此外，大多數(shù)旅館和機場服務(wù)在帳號期滿前僅授權(quán)訪問因特網(wǎng)很短一段時間(如24小時)。在帳號期滿后，用戶可能需要再次打開Web瀏覽器(且或許也要重接電纜)并再次輸入以前輸入過的注冊信息。這樣，即使用戶開始就明白他們必須打開Web瀏覽器向一個服務(wù)注冊，用戶也可能不了解必須每天打開Web瀏覽器以便向這個服務(wù)重新注冊。通常，必須再輸入前一次注冊(如在前一天)輸入的注冊信息，即使注冊信息沒有變化。如果注冊信息相當(dāng)多，則在一段短時間之后重新注冊對于在過去已經(jīng)輸入過合適的注冊信息的用戶而言是個煩惱。
另外，這些服務(wù)的大多數(shù)，如果不是全部的話，缺乏修改計算機系統(tǒng)軟件配置的機制。也就是說，一個服務(wù)一般不能為計算機系統(tǒng)提供能夠在計算機系統(tǒng)上處理使計算機系統(tǒng)變成與這個服務(wù)兼容的機器可讀指令。服務(wù)可能提供超文本標(biāo)記語言(“HTML”)指令作為接收注冊信息的基于Web界面的一部分。不過，計算機系統(tǒng)一般不能處理HTML指令以修改計算機系統(tǒng)的配置。這樣，必須由可能缺乏技術(shù)經(jīng)驗或想要為兼容于這個服務(wù)而重新設(shè)置軟件的用戶解決任何軟件不兼容性。
因此在為計算機系統(tǒng)提供網(wǎng)絡(luò)訪問和設(shè)置計算機系統(tǒng)的時候提高自動化水平的系統(tǒng)、方法、計算機程序產(chǎn)品和數(shù)據(jù)結(jié)構(gòu)將是有利的。
概述在本領(lǐng)域的背景上述狀態(tài)下的問題可由本發(fā)明的原理克服，本發(fā)明將集中于在為計算機系統(tǒng)提供網(wǎng)絡(luò)訪問和設(shè)置計算機系統(tǒng)時提高自動化水平的方法、系統(tǒng)、計算機程序產(chǎn)品和數(shù)據(jù)結(jié)構(gòu)。
包括授權(quán)客戶機訪問第二個網(wǎng)絡(luò)(例如因特網(wǎng))的功能的服務(wù)器。這個服務(wù)器可位于與第二個網(wǎng)絡(luò)分開的的第一個網(wǎng)絡(luò)或者可位于第二個網(wǎng)絡(luò)。客戶機發(fā)送憑證至這個服務(wù)器，嘗試向這個服務(wù)器認(rèn)證?；谶@些憑證，這個服務(wù)器可能授權(quán)這個客戶機至少部分地訪問第二個網(wǎng)絡(luò)和/或可能拒絕訪問第二個網(wǎng)絡(luò)并且授權(quán)這個客戶機至少部分地訪問第一個網(wǎng)絡(luò)。這個服務(wù)器可以是一個位于這網(wǎng)絡(luò)的遠程認(rèn)證撥入用戶服務(wù)(“RADIUS”)服務(wù)器。至少為了向這個服務(wù)器認(rèn)證和下載用于獲得完全訪問第二個網(wǎng)絡(luò)的提供文件的目的，可為客戶機部分地提供對第一個或第二個網(wǎng)絡(luò)的訪問。這樣，當(dāng)前不能訪問位于第二個網(wǎng)絡(luò)上資源的計算機系統(tǒng)可能能夠以電子方式下載提供文件以獲得對這些資源的訪問。
是否將來自客戶機的數(shù)據(jù)傳送到第一個網(wǎng)絡(luò)或第二個網(wǎng)絡(luò)的判斷可使用多種技術(shù)實現(xiàn)，諸如例如，虛擬局域網(wǎng)(“VLAN”)、互聯(lián)網(wǎng)協(xié)議(“IP”)過濾、虛擬專用網(wǎng)絡(luò)(“VPN”)或IP安全(“IPSec”)協(xié)議的使用。在一些實施例中，在單網(wǎng)絡(luò)中也可使用相似的技術(shù)。在這些實施例中，服務(wù)器(至少部分基于所接收的憑證)可授權(quán)客戶機至少部分地訪問單個網(wǎng)絡(luò)，諸如例如，通過授權(quán)客戶機訪問在單個網(wǎng)絡(luò)上所選擇的計算機系統(tǒng)或模塊。
發(fā)送憑證可包括從客戶機至服務(wù)器發(fā)送可擴展認(rèn)證協(xié)議(“EAP“)Response/Identity(應(yīng)答/身份)消息。如果客戶機嘗試通過接入點連接網(wǎng)絡(luò)，則可將EAP-Request/Identify消息封裝在一些可通過接入點傳送的另外類型的消息中。在VLAN實施例中，接入點可將一個標(biāo)記頭部插入到封裝的消息中，向數(shù)據(jù)路由設(shè)備表示要將這個封裝的消息傳送到第一個網(wǎng)絡(luò)?？稍O(shè)置接入點阻塞來自客戶機的使用除EAP和802.1X之外的協(xié)議的通信。
如果憑證不授權(quán)對第二個網(wǎng)絡(luò)的完全訪問(例如不能認(rèn)證憑證，憑證是訪客憑證，或者已認(rèn)證的用戶未經(jīng)授權(quán))，則服務(wù)器可通過發(fā)送通知應(yīng)答客戶機，諸如例如EAP-Notification(EAP通知)或在受保護的EAP(“PEAP”)內(nèi)的類型長度值(“TLV”)對象?？砂凑誔EAP加密和完整性檢查這個通知。這個通知可包括一個統(tǒng)一資源標(biāo)識符(“URI”)，指向包括為客戶機提供的信息的主文檔。這個通知也可以包括用戶要變成被授權(quán)完全訪問位于第二個網(wǎng)絡(luò)資源所必須滿足的條件(例如，注冊、續(xù)訂等等)。
通知可表示應(yīng)該允許(不阻塞)使用HTTP協(xié)議的通信接入點，因此客戶機可通過訪問所包括的URI(例如，通過執(zhí)行HTTP或HTTPS get(取))下載主文檔。在響應(yīng)這個通知時，客戶機可自動地下載主文檔。主文檔可包括URI，指向也可被自動下載的子文件，包括一個配置子文件和一個注冊子文件。當(dāng)一個ISP使用來自另一個ISP的服務(wù)時，一個主文檔也可包括指向另一個主文檔的URI。這樣，很少需要使用其它通信方法與一個服務(wù)提供商聯(lián)系，以便請求獲得訪問一個網(wǎng)絡(luò)的文件?？砂凑湛蓴U展標(biāo)記語言(“XML”)模式定義主文檔和關(guān)聯(lián)的子文件。例如，可按照XML配置模式定義配置子文件。
在一些實施例中，可通過除在通知中提供URI之外的機制訪問主文檔和子文件，諸如例如，可從可移動計算機可讀介質(zhì)(軟盤、閃存卡等等)訪問主文檔和/或子文件。這在設(shè)置網(wǎng)絡(luò)連接之前要求提供信息的環(huán)境中是有利的，諸如例如，遠程撥號。在建立連接之后，隨后可從網(wǎng)絡(luò)中更新主文檔和子文件。
在客戶機處可處理下載的注冊子文件以自動地顯示可接收用戶輸入信息的用戶界面。這樣，用戶不需要預(yù)先了解如何使這個用戶界面被顯示?？捎酶鞣N各樣書寫語言顯示用戶界面，諸如例如，英語、日語、法語或德語。一旦顯示，可將用戶輸入信息接收到用戶界面中。如果為續(xù)訂注冊的目的顯示用戶界面，則可減少在用戶界面中接收的用戶輸入量。例如，預(yù)先輸入的用戶信息可從用戶數(shù)據(jù)庫中檢索到。可以是顯示只包括“YES(是)”和“NO(否)”控件的用戶界面，用于授權(quán)更多的信用卡支付。
包括用戶輸入信息的第一個基于模式的文檔被提交至服務(wù)器(例如，通過執(zhí)行HTTP或HTTPS post(發(fā)送))。這可包括提交一個按照XML注冊模式定義的XML文檔。在提交第一個基于模式的文檔之后，客戶機可接收一個服務(wù)器授權(quán)客戶機訪問位于第二個網(wǎng)絡(luò)上的資源的標(biāo)志。這可包括接收包括用戶標(biāo)識符和密碼的或者包括一個已經(jīng)授權(quán)信用卡支付的標(biāo)志的第二個基于模式的文檔。在VLAN實施例中，當(dāng)授權(quán)用戶訪問位于第二個網(wǎng)絡(luò)上的資源時，接入點可在客戶機數(shù)據(jù)中插入標(biāo)記頭部向數(shù)據(jù)路由設(shè)備表示要將客戶機數(shù)據(jù)傳送到第二個網(wǎng)絡(luò)。接入點也可允許使用除當(dāng)前被阻塞的協(xié)議之外的通信，諸如例如，簡單郵件傳送協(xié)議(“SMTP”)和動態(tài)主機控制協(xié)議(“DHCP”)。
執(zhí)行第三個基于模式的文檔為兼容操作第二個網(wǎng)絡(luò)設(shè)置客戶機。這可包括執(zhí)行從服務(wù)器接收的配置子文件。可執(zhí)行配置子文件以設(shè)置連接類型、通信協(xié)議、認(rèn)證類型、加密類型等等。實際上可在下載配置子文件之后的任何時候執(zhí)行配置子文件。不要求在接收用戶輸入信息之前或之后執(zhí)行配置子文件。通過執(zhí)行基于模式的文檔，可在很少或沒有用戶干涉的情況下重新設(shè)置客戶機。這使用戶免于必須為兼容操作第二個網(wǎng)絡(luò)手工地重新設(shè)置客戶機。
本發(fā)明的其它特點和優(yōu)點將在下面闡述，并且從說明中部分特點和優(yōu)點將是顯而易見的，或者可從本發(fā)明的實施中認(rèn)識到?？捎迷谒綑?quán)利要求書中特別指出的指示或組合的實現(xiàn)和獲得本發(fā)明的特點和優(yōu)點。根據(jù)下面的說明和所附的權(quán)利要求書本發(fā)明的這些和其它特點將變得完全顯而易見，或者可通過在下文中闡述的本發(fā)明實施認(rèn)識到。


為了描述可獲得本發(fā)明的上述和其它優(yōu)點和特點的方式，將通過參考在附圖中所示的本發(fā)明的特定實施例，提供上面簡要地描述的本發(fā)明的更詳細的說明。要理解這些附圖只描述本發(fā)明典型的實施例，因此不認(rèn)為它們限制本發(fā)明的范圍，將通過使用下面的附圖更確切和詳細地描述和解釋本發(fā)明圖1示出適合本發(fā)明原理的操作環(huán)境。
圖2示出網(wǎng)絡(luò)體系結(jié)構(gòu)，可在供應(yīng)客戶機時便于增加自動化水平。
圖3是流程圖，示出一個方法的實例，用于供應(yīng)計算機系統(tǒng)。
圖4概略地示出網(wǎng)絡(luò)體系結(jié)構(gòu)的實例，能夠提供對第一個網(wǎng)絡(luò)的訪問而限制對第二個網(wǎng)絡(luò)的訪問。
詳細說明本發(fā)明的原理提供的是，在為計算機系統(tǒng)提供網(wǎng)絡(luò)訪問和設(shè)置計算機系統(tǒng)時增加自動化水平。客戶機嘗試變成被授權(quán)訪問位于第二個網(wǎng)絡(luò)(例如，因特網(wǎng))的資源。這個客戶將憑證發(fā)送到接入點，接入點以通信方式連接到(位于第一個網(wǎng)絡(luò)或位于第二個網(wǎng)絡(luò)的)能夠授權(quán)訪問第二個網(wǎng)絡(luò)的服務(wù)器。這個服務(wù)器接收客戶憑證并確定客戶憑證是否授權(quán)訪問第二個網(wǎng)絡(luò)。
當(dāng)不授權(quán)完全訪問位于第二個網(wǎng)絡(luò)上的資源時，服務(wù)器能夠授權(quán)有限訪問第一個網(wǎng)絡(luò)和第二個網(wǎng)絡(luò)，因此客戶機能夠下載用于得到全部訪問位于第二個網(wǎng)絡(luò)上的資源的提供文件。在一些實施例(例如，當(dāng)服務(wù)器位于第一個網(wǎng)絡(luò)上時)中，服務(wù)器能授權(quán)(至少有限的)訪問第一個網(wǎng)絡(luò)，而限制訪問第二個網(wǎng)絡(luò)。在另外的實施例(例如，當(dāng)服務(wù)器位于第二個網(wǎng)絡(luò)上時)中，服務(wù)器能授權(quán)有限訪問第二個網(wǎng)絡(luò)。能夠使用多種多樣的技術(shù)限制和/或有限訪問網(wǎng)絡(luò)，諸如例如虛擬局域網(wǎng)(“VLAN”)、互聯(lián)網(wǎng)協(xié)議(“IP”)過濾、虛擬專用網(wǎng)絡(luò)(“VPN”)或IP安全(“IPSec”)協(xié)議。
服務(wù)器為客戶機提供一統(tǒng)一資源標(biāo)識符(Uniform ResourceIdentifier)(“URI”)，指向包括用于為客戶機提供的信息的主文檔。這個主文檔還能包括更多指向子文件或其它主文檔的URI，子文件包括配置子文件和注冊子文件。在接收URI之后，客戶機能夠自動地下載任何適當(dāng)?shù)奶峁┪募?。可按照可擴展標(biāo)記語言(“XML”)模式定義主文檔和任何關(guān)聯(lián)的子文件。
在客戶機處可處理下載的注冊子文件，以自動地顯示可接收用戶輸入信息的用戶界面?？蛻魴C可向服務(wù)器提交包括用戶輸入信息的第一個基于模式的文檔。這可包括提交按照XML模式定義的XML文檔。在提交第一個基于模式的文檔之后，客戶機可接收第二個基于模式的文檔，這第二個基于模式的文檔表示(例如，通過包括用戶標(biāo)識符和密碼)已經(jīng)授權(quán)客戶機訪問位于第二個網(wǎng)絡(luò)上的資源。
在客戶機處執(zhí)行第三個基于模式的文檔以設(shè)置客戶機兼容操作第二個網(wǎng)絡(luò)。這可包括執(zhí)行從服務(wù)器接收的配置子文件。可執(zhí)行配置子文件以配置連接類型、通信協(xié)議、認(rèn)證類型、加密類型等等。實際上可在被下載之后的任何時候執(zhí)行配置子文件。不要求在接收到用戶輸入信息之前或之后執(zhí)行配置子文件。
在本發(fā)明的范圍內(nèi)的實施例包括計算機可讀介質(zhì)，用于含有或具有存儲在其上的計算機可執(zhí)行指令或數(shù)據(jù)結(jié)構(gòu)。這樣的計算機可讀介質(zhì)可以是任何能夠被通用或?qū)Ｓ糜嬎銠C存取的可用介質(zhì)。作為例子，但不限于此，這樣的計算機可讀介質(zhì)可包括物理的計算機可讀介質(zhì)諸如RAM、ROM、EEPROM、CD-ROM或其它光盤存儲、磁盤存儲或其它磁存儲設(shè)備，或者任何能用于含有或存儲所要的程序代碼方法的其它介質(zhì)，這些程序代碼方法是以計算機可執(zhí)行指令或數(shù)據(jù)結(jié)構(gòu)的形式存儲的，并可被通用或?qū)Ｓ玫挠嬎銠C訪問。
當(dāng)通過網(wǎng)絡(luò)或另外的通信連接(或者是有線的、無線的，或者是有線的或無線的組合)對計算機系統(tǒng)傳送或提供信息時，這個計算機系統(tǒng)適當(dāng)?shù)貙⑦@個連接視為計算機可讀介質(zhì)。因此，將任何這樣的連接適當(dāng)?shù)乇豢醋饔嬎銠C可讀介質(zhì)。上述的組合也應(yīng)該包括在計算機可讀介質(zhì)的范圍之內(nèi)。計算機可執(zhí)行的指令包括，例如，使通用計算機系統(tǒng)、專用計算機系統(tǒng)或?qū)Ｓ锰幚碓O(shè)備執(zhí)行某個功能或一組功能的任何指令和數(shù)據(jù)。計算機可執(zhí)行指令可以是，例如，二進制、中間格式指令諸如匯編語言或甚至是源代碼。
在這個說明和后面的權(quán)利要求書中，“邏輯通信連接”被定義為可使電子數(shù)據(jù)能夠在兩個實體諸如計算機系統(tǒng)或模塊之間傳送的任何通信路徑。在兩個實體之間的通信路徑的實際物理表示是不重要的，并且可以隨時間而改變。邏輯通信連接可包括系統(tǒng)總線、局域網(wǎng)(例如以太網(wǎng)、廣域網(wǎng)、因特網(wǎng)、它們的組合，或者可幫助傳送電子數(shù)據(jù)的任何其它路徑的一部分。邏輯通信連接可包括有線連接、無線連接或者有線連接和無線連接的組合。邏輯通信連接也可包括調(diào)節(jié)或格式化部分電子數(shù)據(jù)的軟件或硬件模塊，以使得它們可以訪問實現(xiàn)本發(fā)明原理的組件。這樣的模塊包括，例如，代理、路由器、防火墻、交換機或網(wǎng)關(guān)。邏輯通信連接也可包括虛擬網(wǎng)絡(luò)的部分，諸如，例如，虛擬專用網(wǎng)絡(luò)(“VPN”)或虛擬局域網(wǎng)(“VLAN”)。
在這個說明和后面的權(quán)利要求書中，“模式”定義為在一組計算機系統(tǒng)之間的共享詞匯表的表示，允許這組計算機系統(tǒng)按照所表示的共享詞匯表處理文檔。例如，可擴展標(biāo)記語言(“XML”)模式可定義和描述一類使用一種XML模式語言的模式結(jié)構(gòu)的XML文檔。這些模式結(jié)構(gòu)可用于約束和說明如在XML文檔中使用的數(shù)據(jù)類型、元素及其內(nèi)容、屬性及其值、實體及其內(nèi)容以及標(biāo)記的意義、用法和關(guān)系。因此，可訪問XML模式的任何計算機系統(tǒng)能按照XML模式處理XML文檔。而且，可訪問XML模式的任何計算機系統(tǒng)可撰寫或修改XML文檔，供可訪問這個XML模式的其它計算機系統(tǒng)使用。
模式被定義成包括文檔類型定義(“DTD”)，諸如，例如，以“.dtd”擴展名結(jié)尾的DTD文件。模式也被定義成包括萬維網(wǎng)聯(lián)盟(“W3C”)XML模式，諸如，例如，以“.xsd”擴展名結(jié)尾的XML模式文件。不過，對于一個特殊的DTD或XML模式，實際的文件擴展名是不重要的。實際上可利用模式定義任何數(shù)據(jù)類型，包括邏輯值、二進制數(shù)、八進制數(shù)、十進制數(shù)、十六進制數(shù)、整數(shù)、浮點數(shù)、字符、字符串、用戶定義的數(shù)據(jù)類型，以及用于定義數(shù)據(jù)結(jié)構(gòu)的這些數(shù)據(jù)類型的組合?？啥xXML元素和屬性代表由模式所定義的類型。在這個說明和后面的權(quán)利要求書中，“基于模式”指由模式和/或在模式內(nèi)定義的。
圖1和下列討論旨在為可適合實現(xiàn)本發(fā)明的計算環(huán)境提供簡要概略的說明。雖然不是必需的，但是將在計算機可執(zhí)行指令的一般背景中描述本發(fā)明，諸如可在網(wǎng)絡(luò)環(huán)境中由計算機執(zhí)行的程序模塊。通常，程序模塊包括例程、程序、對象、組件、數(shù)據(jù)結(jié)構(gòu)等等，用于執(zhí)行特殊任務(wù)或?qū)崿F(xiàn)特殊的抽象數(shù)據(jù)類型。計算機可執(zhí)行指令、關(guān)聯(lián)的數(shù)據(jù)結(jié)構(gòu)和程序模塊代表用于執(zhí)行在此揭示的方法步驟的程序代碼方法的實例。這樣的可執(zhí)行指令的特殊序列代表相應(yīng)的實現(xiàn)在這樣的步驟中所描述的功能的動作的實例。
參考圖1，一實現(xiàn)本發(fā)明的典型系統(tǒng)包括通用計算設(shè)備作為常規(guī)的計算機120，它包括處理單元121、系統(tǒng)存儲器122和系統(tǒng)總線123，系統(tǒng)總線123將包括系統(tǒng)存儲器122在內(nèi)的各種系統(tǒng)部件連接到處理單元121。系統(tǒng)總線123可以是幾種類型結(jié)構(gòu)總線中的任意類型，包括存儲器總線或存儲器控制器、外部總線以使用任何各種各樣總線結(jié)構(gòu)的局部總線。系統(tǒng)存儲器包括只讀存儲器(ROM)124和隨機存取存儲器(RAM)125?；据斎?輸出系統(tǒng)(BIOS)126可存儲在ROM 124中，包含在計算機120的部件之間傳輸信息的例程，諸如在啟動期間。
計算機120也可包括讀寫硬盤139的硬盤驅(qū)動器127、讀寫可移動磁盤129的磁盤驅(qū)動器128和讀寫可移動光盤131諸如CD-ROM或其它光學(xué)介質(zhì)的光盤驅(qū)動器130。硬盤驅(qū)動器127、磁盤驅(qū)動器128和光盤驅(qū)動器130分別通過硬盤驅(qū)動器接口132、磁盤驅(qū)動器接口133和光盤驅(qū)動器接口134連接到系統(tǒng)總線123。驅(qū)動器和與它們關(guān)聯(lián)的計算機可讀介質(zhì)為計算機120提供計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊和其它數(shù)據(jù)的非易失的存儲。雖然在此所述的典型環(huán)境使用硬盤139、可移動磁盤129和可移動光盤131，也可使用其它類型的計算機可讀介質(zhì)存儲數(shù)據(jù)，包括磁帶、閃存卡、數(shù)字視盤、伯努利盒、RAM、ROM等等。
程序代碼方法包括一個或多個可存儲在硬盤139、磁盤129、光盤131、ROM124或RAM 125上的程序模塊，包括操作系統(tǒng)135、一個或多個應(yīng)用程序136、其它程序模塊137和程序數(shù)據(jù)138。用戶可通過鍵盤140、定點設(shè)備142或其它輸入設(shè)備(未示出)諸如話筒、操縱桿、游戲墊、圓盤式衛(wèi)星電視天線、掃描儀等等將命令和信息輸入到計算機120中。這些和其它輸入設(shè)備常常通過與系統(tǒng)總結(jié)123連接串行接口146連接到處理單元121?？商鎿Q地，輸入設(shè)備可通過其它接口諸如并行端口、游戲端口或通用串行總線(USB)連接。顯示器147或另外的顯示設(shè)備也可通過一個接口諸如視頻適配器148連接到系統(tǒng)總線123。除顯示器之外，個人計算機一般包括其它輸出設(shè)備(未未出)，諸如揚聲器和打印機。
計算機120可在使用與一個或多個諸如遠程計算機149a和149b這樣的遠程計算機的邏輯通信連接的網(wǎng)絡(luò)化環(huán)境中運行。遠程計算機149a和194b的每一個可以是個人計算機、客戶機、路由器、交換機、網(wǎng)絡(luò)PC、對等設(shè)備或其它普通網(wǎng)絡(luò)節(jié)點，并且可包括上面涉及計算機120所述的許多或全部部件，盡管在圖1中已經(jīng)示出的只有存儲器存儲設(shè)備150a和150b和與它們相關(guān)的應(yīng)用程序136a和136b。在圖1中圖示的邏輯通信連接包括局域網(wǎng)(“LAN”)151和廣域網(wǎng)(“WAN”)152，只是作為例子在此提供它們，而不限于它們。這樣的網(wǎng)絡(luò)環(huán)境在辦公室級或企業(yè)級計算機網(wǎng)絡(luò)、企業(yè)內(nèi)部互聯(lián)網(wǎng)和因特網(wǎng)中是很普通的。
當(dāng)在LAN網(wǎng)絡(luò)環(huán)境(例如以太網(wǎng))中使用時，計算機120通過網(wǎng)絡(luò)接口或適配器153連接到LAN 151，可以是有線的或無線的接口。當(dāng)在WAN網(wǎng)絡(luò)環(huán)境中使用時，計算機120可包括有線的連接諸如例如調(diào)制解調(diào)器154、無線連接或其它建立在WAN 152上通信的工具。調(diào)制解調(diào)器154可以是內(nèi)置的或外置的，通過串行接口146連接到系統(tǒng)總線123。在網(wǎng)絡(luò)化環(huán)境中，涉及計算機120所示的程序模塊或它們的一部分，可被存儲在遠程存儲器存儲設(shè)備中。應(yīng)理解所示的網(wǎng)絡(luò)連接是典型的，并且可以使用其它在廣域網(wǎng)152上建立通信的工具。
雖然在圖1示出可實現(xiàn)本發(fā)明原理的計算機系統(tǒng)實例，但是任何計算機系統(tǒng)可實現(xiàn)本發(fā)明的特點。在說明和權(quán)利要求書中，“計算機系統(tǒng)”被廣義地定義為能夠使用軟件執(zhí)行一個或多個功能的任何硬件組件或組件。計算機系統(tǒng)的例子包括桌面計算機、膝上型計算機、個人數(shù)字助理(“PDA”)、電話機(有線的或移動的兩者)、無線接入點、網(wǎng)關(guān)、防火墻、代理、路由器、交換機、手持設(shè)備、多處理器系統(tǒng)、基于微處理器或可編程的消費電子產(chǎn)品、網(wǎng)絡(luò)PC、小型機、大型計算機，或者具有處理能力的任何其它系統(tǒng)或設(shè)備。
在本領(lǐng)域中熟練技術(shù)人員也應(yīng)理解本發(fā)明可在實質(zhì)上使用任何計算機系統(tǒng)配置的網(wǎng)絡(luò)計算環(huán)境中實施。本發(fā)明也可以在分布式系統(tǒng)環(huán)境中實施，在這個環(huán)境中通過網(wǎng)絡(luò)連接起來(或者通過有線連接、無線連接，或者有線連接和無線連接的組合)的本地和遠程計算機系統(tǒng)，兩者都執(zhí)行任務(wù)。在分布式系統(tǒng)環(huán)境中，程序模塊可定位在本地和遠程存儲器存儲設(shè)備中。
依照本發(fā)明，用戶界面、供應(yīng)、賬號維護和認(rèn)證模塊以及關(guān)聯(lián)的數(shù)據(jù)，包括供應(yīng)數(shù)據(jù)和用戶數(shù)據(jù)柯被存儲，并可從與計算機120關(guān)聯(lián)的任何計算機可讀介質(zhì)存取。例如，這樣的模塊的部分和關(guān)聯(lián)的程序數(shù)據(jù)的部分可包括在操作系統(tǒng)135、應(yīng)用程序136、程序模塊137和/或程序數(shù)據(jù)138中，以存儲在系統(tǒng)存儲器122中。當(dāng)大容量存儲設(shè)備，諸如例如硬盤139，連接到計算機120時，這樣的模塊和關(guān)聯(lián)的程序數(shù)據(jù)可被存儲在大容量存儲設(shè)備。在網(wǎng)絡(luò)化環(huán)境中，涉及計算機120所示的程序模塊或其部分，可存儲在遠程存儲器存儲設(shè)備中，諸如例如，與遠程計算機系統(tǒng)149a和/或遠程計算機系統(tǒng)149b關(guān)聯(lián)的系統(tǒng)存儲器和/或大容量存儲設(shè)備。執(zhí)行這樣的模塊可在如前面所述的分布式環(huán)境中完成。
圖4概略地示出網(wǎng)絡(luò)體系結(jié)構(gòu)400的實例，這個結(jié)構(gòu)提供對第一個網(wǎng)絡(luò)的訪問同時限制對第二個網(wǎng)絡(luò)的訪問。網(wǎng)絡(luò)體系結(jié)構(gòu)400包括客戶機405和服務(wù)器415。雖然不是必需的，可以如上面對計算機120所述的那樣構(gòu)成客戶機405和服務(wù)器415的每一個。在此使用的術(shù)語“客戶機”和“服務(wù)器”表示客戶機405接收服務(wù)，諸如例如從服務(wù)器415訪問網(wǎng)絡(luò)413。雖然在這個背景中客戶機405和服務(wù)器415(分別)是客戶機和服務(wù)器，但是客戶機405可以在另外的背景中充當(dāng)服務(wù)器，而服務(wù)器415在另外的客戶機中可充當(dāng)客戶機。
如在網(wǎng)絡(luò)體系結(jié)構(gòu)400中所示的，數(shù)據(jù)路由設(shè)備414分別通過邏輯通信鏈路433、434和435連接到網(wǎng)絡(luò)411、網(wǎng)絡(luò)412和網(wǎng)絡(luò)413。數(shù)據(jù)路由設(shè)備414邏輯上代表能確定從網(wǎng)絡(luò)411的接收的數(shù)據(jù)要傳送到哪里，諸如例如，從客戶機405接收的數(shù)據(jù)的計算機系統(tǒng)。也就是說，當(dāng)數(shù)據(jù)路由設(shè)備414從網(wǎng)絡(luò)411接收數(shù)據(jù)時，數(shù)據(jù)路由設(shè)備414能確定是否要將數(shù)據(jù)傳送到網(wǎng)絡(luò)412或網(wǎng)絡(luò)413。象這樣，數(shù)據(jù)路由設(shè)備414可被設(shè)置成允許訪問一個網(wǎng)絡(luò)(例如網(wǎng)絡(luò)412)而限制訪問另一個網(wǎng)絡(luò)(例如網(wǎng)絡(luò)413)。數(shù)據(jù)路由設(shè)備414可使用各種技術(shù)作出這個判斷。
在一些實施例中，可以通過使用虛擬局域網(wǎng)(“VLAN”)來限制對位于網(wǎng)絡(luò)413中的資源的訪問。在這些實施例中，網(wǎng)絡(luò)411、412和413的每一個可能是不同的VLAN的一部分。在網(wǎng)絡(luò)體系結(jié)構(gòu)中知道VLAN的設(shè)備可“標(biāo)記”數(shù)據(jù)幀以向數(shù)據(jù)路由設(shè)備414表示數(shù)據(jù)幀將被路由至何處。例如，當(dāng)不授權(quán)客戶機405訪問位于網(wǎng)絡(luò)413的資源時，在網(wǎng)絡(luò)411中的組件或邏輯通信鏈路433能標(biāo)記來自客戶機405的數(shù)據(jù)幀，表示要將數(shù)據(jù)幀路由至服務(wù)器415(或位于網(wǎng)絡(luò)412的其它資源)。當(dāng)授權(quán)客戶機405訪問網(wǎng)絡(luò)413時，在網(wǎng)絡(luò)411中的組件或邏輯通信鏈路433可標(biāo)記來自客戶機405的數(shù)據(jù)幀，表示在適當(dāng)?shù)臅r候要將數(shù)據(jù)幀路由至在網(wǎng)絡(luò)413上的資源(例如，至因特網(wǎng))或至在網(wǎng)絡(luò)412(例如模式412)上的資源。
在其它實施例中，可通過互聯(lián)網(wǎng)協(xié)議(“IP”)過濾限制對位于網(wǎng)絡(luò)413上資源的訪問。數(shù)據(jù)路由設(shè)備411、在網(wǎng)絡(luò)411中的組件或在邏輯通信鏈路433中的組件可過濾互聯(lián)網(wǎng)協(xié)議(“IP”)地址以限制客戶機405對具有特殊IP地址的資源的訪問。當(dāng)不授權(quán)客戶機405訪問位于網(wǎng)絡(luò)413上的資源時，可這樣過濾IP地址使客戶機405能訪問位于網(wǎng)絡(luò)412上資源的IP地址，而不能訪問位于網(wǎng)絡(luò)413上資源的IP地址。當(dāng)授權(quán)客戶機405訪問網(wǎng)絡(luò)413時，可這樣過濾IP地址使客戶機405能訪問位于網(wǎng)絡(luò)412和413兩者上資源的IP地址。可替換地，當(dāng)授權(quán)客戶機405訪問網(wǎng)絡(luò)413時，IP過濾可完全停止。
在另外的實施例中，可通過使用虛擬專用網(wǎng)絡(luò)(“VPN”)限制對網(wǎng)絡(luò)413上資源的訪問。當(dāng)不授權(quán)客戶機405訪問位于網(wǎng)絡(luò)413上資源時，可這樣配置VPN使客戶機405能訪問位于網(wǎng)絡(luò)412上的資源，而不能訪問位于網(wǎng)絡(luò)413上的資源。當(dāng)授權(quán)客戶機405訪問位于網(wǎng)絡(luò)413上的資源時，可這樣設(shè)置VPN使客戶機405能訪問位于網(wǎng)絡(luò)412和413上的資源?？商鎿Q地，當(dāng)授權(quán)客戶機405訪問位于網(wǎng)絡(luò)413上的資源時，VPN的使用可完全停止。
應(yīng)該理解，VLAN、IP過濾和VPN技術(shù)只是一些技術(shù)的實例，可用于區(qū)別網(wǎng)絡(luò)以便允許訪問一個網(wǎng)絡(luò)而限制訪問另一個網(wǎng)絡(luò)。應(yīng)該理解可使用VLAN、IP過濾或VPN限制訪問單個網(wǎng)絡(luò)。例如，位于網(wǎng)絡(luò)413上的服務(wù)器可為客戶機405提供對位于網(wǎng)絡(luò)413上資源的有限訪問。對于本領(lǐng)域技術(shù)人員是顯而易見的，在已經(jīng)審查本說明之后，可使用除了VLAN、IP過濾和VPN技術(shù)之外的其它技術(shù)以允許訪問一個網(wǎng)絡(luò)而限制訪問另一個網(wǎng)絡(luò)。
應(yīng)該進一步理解用于限制訪問一個網(wǎng)絡(luò)工作的技術(shù)也可用于提供對網(wǎng)絡(luò)的有限訪問。在一些實施例中，在網(wǎng)絡(luò)上的服務(wù)器可為客戶機提供對這個網(wǎng)絡(luò)的有限訪問。例如，位于網(wǎng)絡(luò)413上的服務(wù)器可實現(xiàn)IP過濾以給客戶機405提供對網(wǎng)絡(luò)413的有限訪問。包括在有限訪問中的可以是訪問存儲提供文件的計算機系統(tǒng)或模塊，提供文件是為得到對網(wǎng)絡(luò)413的完全訪問所需要的?？墒跈?quán)客戶機405從這些計算機系統(tǒng)或模塊下載提供文件，而拒絕訪問位于網(wǎng)絡(luò)413上的其它資源。
現(xiàn)在將描述本發(fā)明的一個使用VLAN技術(shù)的實例。圖2示出網(wǎng)絡(luò)體系結(jié)構(gòu)200的實例，這個結(jié)構(gòu)便于在供應(yīng)客戶機時增加自動化水平。網(wǎng)絡(luò)體系結(jié)構(gòu)200包括客戶機205和服務(wù)器215，可以象上面為計算機120所述的那樣構(gòu)成它們中的每一個。
在一些實施例中，服務(wù)器215邏輯上代表遠程認(rèn)證撥入用戶服務(wù)(“RADIUS”)服務(wù)器。也就是說，盡管實際上由單一系統(tǒng)所示，服務(wù)器215可包括獨立的網(wǎng)絡(luò)訪問服務(wù)器(“NAS”)、獨立的認(rèn)證服務(wù)器和獨立的共用記帳服務(wù)器?？蓪⒂煞?wù)器215邏輯上代表的服務(wù)器設(shè)置為使用RADIUS協(xié)議進行通信，更詳細地說，可支持RADIUS屬性EAP消息和消息認(rèn)證器。服務(wù)器215可具有來自載入系統(tǒng)存儲器中的各種各樣不同的服務(wù)的模塊，諸如例如，因特網(wǎng)信息服務(wù)(“IIS”)模塊，因特網(wǎng)認(rèn)證服務(wù)(“IAS”)模塊，動態(tài)主機控制協(xié)議(“DHCP”)模塊，活動目錄(“AD”)模塊，使得更易于實現(xiàn)本發(fā)明的原理。
網(wǎng)絡(luò)體系結(jié)構(gòu)200還包括數(shù)據(jù)路由設(shè)備214。數(shù)據(jù)路由設(shè)備214邏輯上代表專用計算機系統(tǒng)，諸如例如，路由器和/或交換機，可確定在包括在數(shù)據(jù)路由設(shè)備214中的端口之間如何傳送數(shù)據(jù)。也就是說，當(dāng)數(shù)據(jù)的一部分，諸如例如數(shù)據(jù)幀，被傳入第一個端口(例如端口242)的時候，數(shù)據(jù)路由設(shè)備214可基于配置規(guī)則確定要將此幀在第二個端口(例如端口243)輸出。例如，數(shù)據(jù)路由設(shè)備214可確定從接入點209接收的數(shù)據(jù)幀要被送往服務(wù)器215。還可以在同一端口將數(shù)據(jù)幀傳入數(shù)據(jù)路由設(shè)備214和從數(shù)據(jù)路由設(shè)備214輸出。
如在網(wǎng)絡(luò)體系結(jié)構(gòu)200中所示的，數(shù)據(jù)路由設(shè)備214分別通過相應(yīng)的邏輯通信鏈路233、234和235連接到網(wǎng)絡(luò)213、服務(wù)器215和接入點209。網(wǎng)絡(luò)213實際上可以是任何類型的網(wǎng)絡(luò)，諸如例如，公司或企業(yè)級網(wǎng)絡(luò)或因特網(wǎng)。數(shù)據(jù)路由設(shè)備214可以是一設(shè)備，能夠在單一廣播域中基于準(zhǔn)則而不是物理位置(例如，位于路由器的特殊一側(cè)上的物理位置)將計算機系統(tǒng)聚合在一起。因此，可設(shè)置數(shù)據(jù)路由設(shè)備214將計算機系統(tǒng)分成不同的VLAN。如在圖2中所示的，已經(jīng)將數(shù)據(jù)路由設(shè)備214設(shè)置為將網(wǎng)絡(luò)體系結(jié)構(gòu)200分成VLANA、B和C?？蓪?shù)據(jù)路由設(shè)備214設(shè)置為在如圖2中所示的VLAN之間傳送已標(biāo)記的數(shù)據(jù)幀和未標(biāo)記的數(shù)據(jù)幀兩者。
已標(biāo)記的數(shù)據(jù)幀是包括標(biāo)記的數(shù)據(jù)幀，諸如例如，標(biāo)記頭部，標(biāo)識與這個已標(biāo)記的數(shù)據(jù)幀關(guān)聯(lián)的VLAN和/或幀分類。可由知道VLAN的設(shè)備將標(biāo)記頭部插入數(shù)據(jù)幀，向數(shù)據(jù)路由設(shè)備214表示接收的已標(biāo)記的數(shù)據(jù)幀所來自的VLAN的VLAN ID(VLAN標(biāo)識符)。例如，接入點209可將標(biāo)記頭部插入來自的客戶機205的數(shù)據(jù)，向數(shù)據(jù)路由設(shè)備214表示這個數(shù)據(jù)來自VLAN A。標(biāo)記頭部還可包括，可由數(shù)據(jù)路由設(shè)備214用于分類相應(yīng)數(shù)據(jù)幀的其它控制信息。未標(biāo)記的數(shù)據(jù)幀是不包括標(biāo)記頭部的幀。端口VLAN ID(“PVID”)可用于表示接收的未標(biāo)記的數(shù)據(jù)幀所來自的VLAN。例如，可將在端口243所接收的未標(biāo)記的數(shù)據(jù)幀分類為從VLAN B收到的數(shù)據(jù)幀。
可設(shè)置包括在數(shù)據(jù)路由設(shè)備214中的任何端口(例如端口242、243和244)傳送已標(biāo)記的數(shù)據(jù)幀而丟棄未標(biāo)記的數(shù)據(jù)幀。另一方面，還可設(shè)置數(shù)據(jù)路由設(shè)備214的任何端口傳送未標(biāo)記的數(shù)據(jù)幀而丟棄已標(biāo)記的數(shù)據(jù)幀?？蓪?shù)據(jù)路由設(shè)備214的任意端口設(shè)置為傳送已標(biāo)記的和未標(biāo)記的數(shù)據(jù)幀兩者(混合端口設(shè)置)。
網(wǎng)絡(luò)體系結(jié)構(gòu)還包括接入點209。接入點209可以是有線的或無線的接入點，使客戶機205和數(shù)據(jù)路由設(shè)備214之間的通信更容易。如在網(wǎng)絡(luò)體系結(jié)構(gòu)200中所示的，接入點209通過相應(yīng)的邏輯通信鏈路231連接到客戶機205。接入點209可通過其它相應(yīng)的邏輯通信鏈路(未示出)連接到其它客戶機(未示出)。接入點209包括端口251和252?？赏ㄟ^端口251在接入點209與客戶機205之間傳送數(shù)據(jù)。同樣，可通過端口252在接入點209與數(shù)據(jù)路由設(shè)備214之間傳送數(shù)據(jù)。接入點209可包括用于與其它計算機系統(tǒng)，諸如例如，其它客戶機和/或數(shù)據(jù)路由設(shè)備這樣的計算機系統(tǒng)通信的其它端口(未示出)。
在一些實施例中，接入點209是無線接入點，允許訪問VLAN B(例如服務(wù)器215)和VLAN C(例如包括在網(wǎng)絡(luò)213中的計算機系統(tǒng))上的有線的計算機系統(tǒng)?？蓪⒔尤朦c209設(shè)置為知道VLAN的設(shè)備，并可將標(biāo)記頭部插入從客戶機205(或在VLAN A上的任何其它計算機系統(tǒng))接收的、要被傳送到VLAN B和/或VLAN C的數(shù)據(jù)幀中。可將接入點209設(shè)置為使用RADIUS協(xié)議進行通信，更詳細地說，可支持包含客戶機205(或任何其它客戶機)的VLAN標(biāo)記的RADIUS訪問-接受消息。
在一些實施例中，客戶機有可能連接除接入點209之外的一個或多個接入點(未示出)。接入點209和這些一個或多個接入點可以全部是同一服務(wù)提供商的接入點。另一方面，這些一個或多個接入點可以是一個或多個其它服務(wù)提供商的接入點，這些服務(wù)提供商不同于由接入點209提供訪問的服務(wù)提供商。可向客戶機205提供可用的服務(wù)提供商的列表?？山邮沼脩舻倪x擇以初始化與包括在這個列表中的服務(wù)提供商的連接。
客戶機可檢測可用的無線網(wǎng)絡(luò)，諸如例如，通過接收IEEE802.11標(biāo)向幀和/或通過發(fā)送IEEE802.11探測請求幀以及接收IEEE802.11探測應(yīng)答幀。標(biāo)向幀可包括服務(wù)組標(biāo)識符(“SSID”)，這本質(zhì)上是用于區(qū)別彼此之間的無線網(wǎng)絡(luò)的網(wǎng)絡(luò)標(biāo)識符。通過使用標(biāo)向幀和探測幀還可檢測一個接入點的其它配置設(shè)定，諸如例如，數(shù)據(jù)傳送速率、所支持的認(rèn)證類型(例如開放的或共用的認(rèn)證)、所支持的加密類型(例如，有線等效保護(“WEP”)或臨時密鑰完整性協(xié)議(“TKIP”))等等。
應(yīng)該理解所列出的配置設(shè)定只是一些可能的配置設(shè)定的實例，并且除這些計算機系統(tǒng)實例之外，可確定大量的其它配置設(shè)定。例如，當(dāng)在計算機系統(tǒng)之間建立連接時，可使用鏈路控制協(xié)議(“LCP”)協(xié)商配置設(shè)定，諸如例如，包大小、認(rèn)證使用的協(xié)議、連接質(zhì)量監(jiān)控使用的協(xié)議、壓縮等。在可LCP包的選項字段中包括數(shù)值(例如Configure-Request(配置請求)、Configure-Ack(配置確認(rèn))、Cofigure-Nak(配置不確認(rèn))和Configure-Reject(配置拒絕)包))))以協(xié)商這些配置設(shè)定。在LCP包中的選項字段內(nèi)的類型字段中包括數(shù)值(例如，對于認(rèn)證協(xié)議協(xié)商的數(shù)值3)?？稍贚CP包的選項字段內(nèi)的數(shù)據(jù)字段中包括數(shù)值(例如十六進制值C227以表示EAP)，為在這個類型字段所表示的協(xié)商類型提供相應(yīng)的數(shù)據(jù)。當(dāng)表示EAP的配置時，另外的數(shù)值(例如表示EAP-TLS的數(shù)值13或表示PEAP的數(shù)值25)可包括在LCP包中以表示所要的特定的EAP認(rèn)證類型。
在客戶機和服務(wù)器兩者都支持特殊的EAP類型時，可確定性地選擇(例如通過服務(wù)器215的管理員和/或客戶機205的用戶)這個特殊的EAP類型。因此，對于協(xié)商使用LCP包的必要性降低。在選擇(無論是通過協(xié)商還是確定性地)EAP類型之后，計算機系統(tǒng)可通過按照所選擇的EAP類型傳送EAP消息(例如，開始消息、應(yīng)答消息、請求消息、接受消息、拒絕消息等等)嘗試彼此互相認(rèn)證。例如，當(dāng)選擇EAP-TLS時，客戶機可通過按照EAP-TLS的一系列EAP消息與服務(wù)器215通信，以被認(rèn)證和可能被授權(quán)訪問位于VLAN C上的資源。
在一些實施例中，EAP消息被封裝在其它協(xié)議中。因此，盡管計算機系統(tǒng)本來可能不支持特殊的EAP類型，但是計算機系統(tǒng)能夠傳送封裝的EAP消息。用于封裝的一個協(xié)議是802.1X協(xié)議，被稱為在LAN(局域網(wǎng))上的EAP封裝(“EAPOL”)?？蓪⒔尤朦c209和數(shù)據(jù)路由設(shè)備214設(shè)置為支持EAPOL。因此，接入點209和數(shù)據(jù)路由設(shè)備214能傳送特殊EAP類型的EAP消息，即使接入點209和數(shù)據(jù)路由設(shè)備214本來不支持這個特殊的EAP類型。另一種用于封裝的協(xié)議是EAP-RADIUS，在RADIUS消息內(nèi)封裝EAP消息。通過可理解RADIUS協(xié)議但本來不理解EAP的計算機系統(tǒng)可使用EAP-RADIUS傳輸EAP消息。
圖3是一流程圖，示出為計算機系統(tǒng)供應(yīng)的方法300。將相對于在網(wǎng)絡(luò)體系結(jié)構(gòu)200中所示的組件描述方法300。
方法300包括發(fā)送憑證的過程(過程301)。這可包括客戶機發(fā)送憑證到服務(wù)器嘗試由服務(wù)器認(rèn)證。例如，客戶機205可發(fā)送憑證到服務(wù)器215嘗試由服務(wù)215認(rèn)證。當(dāng)客戶機205連接至接入點209時，接入點209能檢測到連接是活動的并可發(fā)送EAP-Request/Identify(請求/身份)消息到客戶機205?？商鎿Q地，客戶機可發(fā)送EAP-Start(開始)消息到接入點209，這會觸發(fā)EAP-Request/Identify消息?？蛻魴C205可用包括用戶標(biāo)識符的EAP-Response/Identify消息響應(yīng)EAP-Request/Identify。如果客戶機205的用戶具有與服務(wù)器215有關(guān)的賬戶，則這個用戶標(biāo)識符可以是由服務(wù)器215分配給這個用戶的用戶標(biāo)識符。如果服務(wù)器215沒有給客戶機205的用戶分配用戶標(biāo)識符，則客戶機205可發(fā)送一個訪客用戶標(biāo)識符。
接入點209可允許傳送對于端口251的EAPOL包。也就是說，在端口251接收的EAPOL包可在端口252被傳送出接入點209。不過，接入點209可阻塞傳送其它類型的協(xié)議直到客戶機205被認(rèn)證(和被授權(quán))，諸如例如，超文本傳送協(xié)議(“HTTP”)、DHCP和簡單郵件傳送協(xié)議(“SMTP”)。接入點209可將標(biāo)記頭部插入EAPOL包中(例如，EAP-Response/Identify)，表示要將這個EAPOL包傳送到VLAN B。
數(shù)據(jù)路由設(shè)備214可處理所插入的標(biāo)記頭部并將EAPOL包傳送到VLAN B。服務(wù)器215可接收EAPOL包，將它傳送到認(rèn)證模塊217進行認(rèn)證。可替換地，接入點209和/或數(shù)據(jù)路由設(shè)備214可除去802.1X封裝，并且代之以將EAP-Response/Identify消息封裝在EAP-RADIUS消息中傳送到VLAN B。因此，如果邏輯通信鏈路234包括其它RADIUS服務(wù)器，可通過這些其它的服務(wù)器將EAP-Response/Identify消息傳送到服務(wù)器215。
取決于特定的EAP類型，服務(wù)器215可用多種多樣的方式響應(yīng)EAP-Request/Identify消息。服務(wù)器215可請求客戶機205提供與用戶標(biāo)識符關(guān)聯(lián)的密碼。客戶機205的用戶可通過給服務(wù)器215提供密碼進行應(yīng)答?？蛻魴C205和服務(wù)器215也可以交換EAP消息以傳遞證書、密鑰和所支持的密碼組。依賴于EAP類型，其它憑證也可在客戶機205和服務(wù)器215之間交換。
回到圖3，方法300包括自動顯示用戶界面的過程(過程302)。這可包括自動顯示能接收用戶輸入信息的用戶界面，因此計算機系統(tǒng)的用戶不需要預(yù)先知道如何在客戶機205顯示用戶界面。例如，用戶界面模塊206能自動地在客戶機205顯示用戶界面。
當(dāng)憑證被送到服務(wù)器215時，認(rèn)證模塊217可接收憑證(例如，用戶標(biāo)識符和密碼)并比較憑證和在用戶數(shù)據(jù)庫128中的項。如果憑證信息與在用戶數(shù)據(jù)庫218中的一個項匹配，則用戶的身份被證實(也就是說，服務(wù)器215相信由用戶標(biāo)識符代表的用戶是輸入憑證信息的用戶)。如果授權(quán)客戶機205的已證實的用戶訪問位于VLAN C上的資源(例如，這個用戶最近為它們的賬戶付費)，那么可授權(quán)客戶機205訪問位于VLAN C上的資源。
另一方面，如果拒絕客戶機205訪問位于VLAN C上的資源，則服務(wù)器215可授權(quán)客戶機205對位于VLAN B上的資源的有限訪問。因此，如果客戶機205當(dāng)前不能訪問位于VLAN C上的資源(例如，因特網(wǎng)資源)，則客戶機205能夠用電子方式(從VLAN B)下載提供文件，以變成被授權(quán)訪問位于VLAN C上的資源。當(dāng)不能認(rèn)證已經(jīng)發(fā)送了訪客憑證的用戶時，或者不授權(quán)已認(rèn)證的用戶訪問位于VLAN C上的資源(例如，當(dāng)支付過期時)時，可拒絕客戶機205訪問位于VLAN C上的資源。
當(dāng)拒絕客戶機205訪問位于VLAN C上的資源時，服務(wù)器215可發(fā)送按照按照PEAP加密和完整性檢查的EAP-Notification(通知)到客戶機205。EAP-Notification可包括指向主文檔的統(tǒng)一資源標(biāo)識符(“URI”)，這個主文檔包括為計算機系統(tǒng)提供對VLAN C上資源的訪問的信息。指向主文檔的URI可以是一HTTP統(tǒng)一資源定位符(“URL”)，諸如例如，https//www.provider12.com/provisoning/master.xml或http//www.provider9.com/provisioning/master.xml。EAP-Notification還可包括用戶要變成被授權(quán)訪問位于VLAN C上資源而必須滿足的條件(例如，注冊，續(xù)訂等等)。如果客戶機205要通過訪問所提供的URI完成下載，則接入點209可允許傳送對于端口251的HTTP包。服務(wù)器215中發(fā)送命令到接入點209使接入點209允許傳送HTTP包。
可替換地，服務(wù)器215可在PEAP內(nèi)發(fā)送EAP Type-Length-Value(類型長度值)(“TLV”)對象到客戶機205。TLV對象可包括指向主文檔的統(tǒng)一資源標(biāo)識符(“URI”)，這個主文檔包含用于為計算機系統(tǒng)提供對位于VLAN C上資源訪問的信息。在一些實施例中，主文檔(和子文件)可由不是URI的機制訪問，諸如例如，通過訪問來自可移動的計算機可讀介質(zhì)(軟盤、閃存等等)的主文檔和/或子文件。這在要求在能設(shè)置網(wǎng)絡(luò)連接之前提供信息的環(huán)境中是有利的，諸如例如遠程撥號。在建立連接之后，可隨后從網(wǎng)絡(luò)更新這個主文檔(和子文件)。
主文檔可以是按照XML主文檔模式定義的XML文件，這個XML主文檔模式對于在網(wǎng)絡(luò)體系結(jié)構(gòu)200中所述的計算機系統(tǒng)是可得到的。對于不同類型的連接，諸如例如，無線、數(shù)字用戶線(“DSL”)、遠程訪問服務(wù)器(“RAS”)、LAN、因特網(wǎng)服務(wù)提供商(“ISP”)參考點、無線ISP(“WISP”)等等，可創(chuàng)建不同的主文檔。因此，可實現(xiàn)本發(fā)明的原理，為計算機系統(tǒng)使用實際上任何類型的連接提供網(wǎng)絡(luò)訪問，包括所列的連接類型。主文檔可包含子文件諸如幫助文件、配置文件、注冊文件和定位文件的URL。主文檔還可包含其它主文檔的URL，諸如例如，當(dāng)?shù)谝粋€ISP使用第二個ISP的服務(wù)時。
主文檔還可包含存活時間(time-to-live)(“TTL”)值(例如，五分鐘、二十四小時等等)，表示要執(zhí)行檢查更新的主文檔的時間。當(dāng)檢查指出更新的主文檔是可用的，則可下載這個更新主文檔(例如，到客戶機205)。主文檔可包括每個子文件的版本數(shù)字。當(dāng)更新主文檔時，可檢查子文件的版本數(shù)字，并且當(dāng)子文件的較新的版本可用時，可下載這些較新的版本(例如，到客戶機205)。
應(yīng)該理解本發(fā)明不受限于任何特殊類型的模式。不過，可用于實現(xiàn)本發(fā)明的原理的一種類型模式是XML模式。XML模式可定義在XML文檔中使用的元素和相應(yīng)的數(shù)據(jù)類型。下面是一實例XML主文檔模式，定義可在XML主文檔中使用的元素和相應(yīng)的數(shù)據(jù)類型
<pre listing-type="program-listing"><![CDATA[＜？xml version＝＂1.0＂？＞ ＜xsdschema xmlnsxsd＝＜http//www.w3.org/2001/XMLSchema＞ targetNamespace＝＜http//www.provision.org＞ xmlns＝＂http//www.provision.org＂elementFormDefault＝＂qualified＂＞ ＜xsdcomplexType name＝＂Master＂＞ ＜xsdsequence＞ ＜xsdelement name＝＂TTL＂type＝＂xsdpositiveInteger＂/＞ ＜xsdelement name＝＂Name＂type＝＂xsdstring＂/＞ ＜xsdelement name＝＂FriendlyName＂type＝＂xsdstring＂/＞ ＜xsdelement name＝＂UpdateFrom＂type＝＂anyHttps＂/＞ ＜xsdelement name＝＂Subfile＂maxOccurs＝＂unbounded＂＞ ＜xsdcomplexType＞＜xsdsequence＞＜xsdelement name＝＂Schema＂ type＝＂xsdstring＂/＞＜xsdelement name＝＂URL＂ type＝＂anyHttps＂/＞＜xsdelement name＝＂Version＂ type＝＂xsdpositiveInteger＂/＞＜/xsdsequence＞＜xsdattribute name＝”Fragment” use＝”xsdoptional”type＝”xsdstring”/＞ ＜/xsdcomplexType＞ ＜/xsdelement＞ ＜/xsdsequence＞ ＜/xsdcomplexType＞ ＜xsdsimpleType name＝＂anyHttps＂＞ ＜xsdrestriction base＝＂xsdstring＂＞ ＜xsdpattern value＝＂https//*＂/＞ ＜/xsdrestriction＞＜/xsdsimpleType＞＜/xsdschema＞]]></pre>這個例示的XML主文檔模式定義一個“Master(主要的)”complexType(行5-22)，可用于創(chuàng)建為計算機系統(tǒng)提供的主文檔?！癕aster”complexType還定義一個“TTL”元素(行7)，代表存活時間。在主文檔中TTL元素可用于表示何時應(yīng)該更新主文檔。“Master”complexType還定義了一個“UpdateFrom(更新來自)”元素(行10)。當(dāng)在XML主文檔中的一個TTL元素的值表示要更新這個XML主文檔時，可訪問與UpdateFrom元素關(guān)聯(lián)的URL以下載這個XML主文檔的更新版本?！癕aster”complexType還定義了一個“Subfile(子文件)”元素(行11-20)，在主文檔中可用其定義對子文件的訪問。Subfile元素的“maxOccurs(最多發(fā)生)”屬性表示在主文檔中可包括的子文件的數(shù)量。值“unbounded”代表對于可包括在主文檔中的子文件的數(shù)量沒有限制。
在Subfile元素內(nèi)定義的是“Schema(模式)”元素(行14)、URL元素(行15)和Version(版本)元素(行16)。可將模式元素包括在主文檔中，表示與子文件關(guān)聯(lián)的模式的名稱?？蓪ersion元素包括在主文檔中，表示子文件的版本?？蓪RL元素包括在主文檔中表示與子文件關(guān)聯(lián)的模式可被下載的位置。在例示的XML主文檔模式中，URL元素被定義為以文本前綴“https//”開始的文本字符串(行23-27)。不過，實際上在實現(xiàn)本發(fā)明原理的時候可以使用任何文本前綴，諸如例如“http//”、“ftp//”、“telnet//”等等。Subfile元素還可定義一個可選的“Fragment(片段)”屬性，可包括在主文檔中代表特殊的子文件(行18)。例如，為“#signup”的Fragment屬性可用于表示注冊子文件。在XML主文檔內(nèi)Fragment屬性可與URL元素結(jié)合，以提供子文件的絕對位置，諸如例如，“https//www.provisiong.com/master.xml#signup”。
可將主文檔和子文件存儲在提供數(shù)據(jù)存儲器219中?？蛻魴C205可訪問所提供的URL(或URI)以下載主文檔和任何適當(dāng)?shù)淖游募??？墒褂肏TTP或HTTPS的get(取)下載主文檔和子文件。這包括使用HTTP或HTTPS get(取)從位于VLANB上的計算機系統(tǒng)下載文件，諸如例如，熱點供應(yīng)商(“HSP”)、ISP Web服務(wù)器或提供數(shù)據(jù)存儲器219。可將下載的主文檔和子文件存儲在提供數(shù)據(jù)207中。
幫助子文件可以是按照XML幫助模式定義的XML文檔，這個模式對于在網(wǎng)絡(luò)體系結(jié)構(gòu)200中所述的計算機系統(tǒng)是可得到的。幫助文件可包含連接到由服務(wù)器215支持的超文本標(biāo)記語言(“HTML”)文件的URL，以幫助用戶提供客戶機205。幫助文件也可包括有關(guān)服務(wù)提供商的信息，這樣用戶可在注冊前了解這個服務(wù)提供商。
位置子文件可以是按照XML位置模式定義的XML文檔，這個模式對于在網(wǎng)絡(luò)體系結(jié)構(gòu)200中所述的計算機系統(tǒng)是可得到的。位置子文件可包括HSP的列表以及相應(yīng)的HSP所在的郵政地址、旅館和機場。因此，要去特殊地點的用戶能夠在到達這個特殊地點之前，下載從特殊地點訪問一個網(wǎng)絡(luò)(例如因特網(wǎng))的提供文件。
應(yīng)該理解本發(fā)明不限于在任何特殊位置連接一個網(wǎng)絡(luò)。下面是一個實例XML位置模式，定義在位置子文件中可使用的元素和相應(yīng)的數(shù)據(jù)類型，位置子文件表示網(wǎng)絡(luò)訪問可用的物理位置<pre listing-type="program-listing"><![CDATA[＜？xml version＝＂1.0＂encoding＝＂utf-8＂？＞＜xsschema targetNamespace＝＜http//tempuri.org/XMLSchema.xsd＞ elementFormDefault＝＂qualified＂ xmlns＝＜http//tempuri.org/XMLSchema.xsd＞xmlnsmstns＝＜http//tempuri.org/XMLSchema.xsd＞xmlnsxs＝＂http//www.w3.org/2001/XMLSchema＂＞ ＜xscomplexType name＝＂Location＂＞ ＜xssequence＞ ＜xselement name＝＂Street＂type＝＂xsstring＂/＞ ＜xselement name＝＂City＂type＝＂xsstring＂/＞ ＜xselement name＝＂State＂type＝＂xsstring＂/＞ ＜xselement name＝＂Country＂type＝＂xsstring＂/＞ ＜xselement name＝＂ZipCode＂type＝＂xsstring＂/＞ ＜xselement name＝＂AreaCode＂type＝＂xsstring＂/＞ ＜xselement name＝＂PhoneNumber＂type＝＂xsstring＂/＞ ＜xselement name＝＂SupportNumber＂type＝＂xsstring＂/＞ ＜xselement name＝＂Provider＂type＝＂xsstring＂/＞ ＜xselement name＝＂Category＂＞ ＜xscomplexType＞＜xschoice＞＜xselement name＝＂Hotel＂ type＝＂xsstring＂/＞＜xselement name＝＂Bar＂ type＝＂xsstring＂/＞＜xselement name＝＂Airport＂ type＝＂xsstring＂/＞ ＜/xschoice＞ ＜/xscomplexType＞ ＜/xselement＞ ＜/xssequence＞ ＜/xscomplexType＞＜/xsschema＞]]></pre>實例XML位置模式定義一個“Location(位置))”complexType(行7-31)，可用其提供網(wǎng)絡(luò)訪問的位置信息。在位置子文件中可包括一個、一些或全部在行9-17定義的元素，以表示不同類型的位置信息，諸如例如，街道、城市、州、國家、郵編、電話地區(qū)號、電話號碼、支持號碼和供應(yīng)商號碼。Location complexType還定義了一個“Category”元素(行18-29)，依次進一步定義位置的類別，諸如例如，可物理地定位訪問網(wǎng)絡(luò)所在的旅館、機場和酒吧。
配置子文件是按照XML配置模式定義的XML文檔，XML配置模式對于在網(wǎng)絡(luò)體系結(jié)構(gòu)200中所述的計算機系統(tǒng)是可訪問的。配置子文件可包括對于客戶機205可得到的網(wǎng)絡(luò)的配置概要。當(dāng)客戶機205嘗試訪問無線網(wǎng)絡(luò)時，配置子文件可包括相應(yīng)于對于客戶機205可訪問的SSID的概要。配置子文件可包括用于配置認(rèn)證、加密、支持的協(xié)議等等的信息。可將接收到的配置子文件存儲在提供數(shù)據(jù)207中并由提供模塊208為在特殊的網(wǎng)絡(luò)上操作配置客戶機205。
應(yīng)該理解本發(fā)明不限于使用任何特殊接口連接到網(wǎng)絡(luò)。不過，一種可用于連接網(wǎng)絡(luò)的接口類型是無線接口(例如網(wǎng)絡(luò)接口153可以是無線網(wǎng)絡(luò)接口)。下面是一個實例XML配置模式，定義可在配置子文件中使用的元素和相應(yīng)的數(shù)據(jù)類型，用于通過無線接口(例如無線接入點)連接網(wǎng)絡(luò)<pre listing-type="program-listing"><![CDATA[＜？xml version＝＂1.0＂encoding＝＂utf-8＂？＞＜xsschema targetNamespaee＝＜http//tempuri.org/XMLSchema.xsd＞ elementFormDefault＝＂aualified＂ xmlns＝＜http//tempuri.org/XMLSchema.xsd＞ xmlnsmstns＝http//tempuri.org/XMLSchema.xsd xmlnsxs＝＂http//www.w3.org/2001/XMLSchema＂＞ ＜xscomplexType name＝＂SSIDs＂＞ ＜xssequence＞ ＜xselement name＝＂ssid＂type＝＂xsstring＂/＞ ＜xselement name＝＂Priority＂type＝＂xspositiveInteger＂/＞ ＜xselement name＝＂Connection＂＞ ＜xscomplexType＞ ＜xschoice＞ ＜xselement name＝＂IBSS＂type＝＂xsstring＂/＞ ＜xselement name＝＂ESS＂type＝＂xsstring＂/＞ ＜/xschoice＞ ＜/xscomplexType＞ ＜/xselement＞ ＜xselement name＝＂Authentication＂＞ ＜xscomplexType＞ ＜xschoice＞ ＜xselement name＝＂Open＂type＝＂xsstring＂/＞ ＜xselement name＝＂Shared＂ type＝＂xsstring＂/＞ ＜xselement name＝＂WPA＂type＝＂xsstring＂/＞ ＜xselement name＝＂WPAPSK＂type＝＂xsstring＂/＞ ＜/xschoice＞ ＜/xscomplexType＞ ＜/xselement＞ ＜xselement name＝＂Encryption＂＞ ＜xscomplexType＞＜xschoice＞ ＜xselement name＝＂None＂type＝＂xsstring＂/＞ ＜xselement name＝＂WEP＂type＝＂xsstring＂/＞ ＜xselement name＝＂TKIP＂type＝＂xsstring＂/＞ ＜xselement name＝＂WRAP＂type＝＂xsstring＂/＞ ＜xselement name＝＂CCMP＂type＝＂xsstring＂/＞ ＜/xschoice＞ ＜/xscomplexType＞ ＜/xselement＞ ＜xselement name＝＂KeyIndex＂type＝＂xspositiveInteger＂/＞ ＜xselement name＝＂802.1XAuth＂＞ ＜xscomplexType＞＜xschoice＞ ＜xselement name＝＂None＂type＝＂xsstring＂/＞ ＜xselement name＝＂EAP-TLS＂type＝＂xsstring＂/＞ ＜xselement name＝＂EAP-PEAP_x002F_MSChapV2＂ type＝＂xsstring＂/＞＜/xschoice＞ ＜/xscomplexType＞＜/xselement＞＜xselement name＝＂Non802.1XURL＂type＝＂xsstring＂/＞＜xselement name＝＂PEAPParameters＂＞＜xscomplexType＞ ＜xssequence＞ ＜xselement name＝＂Server_x0020_Validation＂ type＝＂xsboolean＂/＞ ＜xselement name＝＂Server_x0020_Names＂ type＝＂xsstring＂/＞ ＜xselement name＝＂Server_x0020_Certs＂ type＝＂xsstring＂/＞ ＜xselement name＝＂CRL＂ type＝＂xsstring＂/＞ ＜xselement name＝＂EAPType＂＞ ＜xscomplexType＞ ＜xschoice＞ ＜xselement name＝＂EAP-TLS＂ type＝＂xsstring＂/＞ ＜xselement name＝＂EAP-MSChapV2＂ type＝＂xsstring＂/＞ ＜/xschoice＞ ＜/xscomplexType＞ ＜/xselement＞ ＜xselement name＝＂Fast_x0020_Reconnect＂ type＝＂xsboolean＂/＞ ＜xselement name＝＂MSChapv2Parameters＂＞ ＜xscomplexType＞＜xssequenee＞ ＜xselement name＝＂Windows_x0020_credentails＂ type＝＂xsboolean＂/＞ ＜/xssequence＞ ＜/xscomplexType＞ ＜/xselement＞ ＜/xssequence＞ ＜/xscomplexType＞＜/xselement＞＜xselement name＝＂TLSParameters＂＞＜xscomplexType＞＜xssequence＞ ＜xselement name＝＂Smart_x0020_card＂ type＝＂xsboolean＂/＞ ＜xselement name＝＂Local_x0020_Cert＂ type＝＂xsboolean＂/＞ ＜xselement name＝＂Simple_x0020_selection＂ type＝＂xsboolean＂/＞ ＜xselement name＝＂No_x0020_automatic_x0020_selection＂ type＝＂xsboolean＂/＞ ＜xselement name＝＂Server x0020_Validation＂ type＝＂xsboolean＂/＞ ＜xselement name＝＂Server_x0020_Names＂ type＝＂xsstring＂/＞ ＜xselement name＝＂Server_x0020_Certs＂ type＝＂xsstring＂/＞ ＜xselement name＝＂CRL＂ type＝＂xsstring＂/＞＜/xssequence＞＜/xscomplexType＞ ＜/xselement＞ ＜/xssequence＞ ＜/xscomplexType＞＜/xsschema＞]]></pre>這個實例XML配置模式定義了一個“SSID”complexType(行7-92)，可用于為通過無線接入點連接到由SSID代表的網(wǎng)絡(luò)配置參數(shù)。SSID complexType還定義“Connection(連接)”元素(行11-18)、“Authentication(認(rèn)證)”元素、“Encryption(加密)”元素、“KeyIndex(密鑰索引)”元素(行40)、“802.1Xauth(802.1X認(rèn)證)”元素(行41-49)、“Non802.1XURL(非802.1XURL)”元素(行50)、“PEAPParameters(PEAP參數(shù))”元素(行51-76)和“TLSParameters(TLS參數(shù))”元素(行77-90)。
所定義的Connection元素(行11-18)進一步定義了網(wǎng)絡(luò)所支持的連接類型。所定義的“IBSS”元素(行14)表示基本服務(wù)集的名稱?？稍谂渲米游募邪↖BSS元素，以將一個更有意義的網(wǎng)絡(luò)名稱與可能通過單無線接入點訪問的網(wǎng)絡(luò)的SSID關(guān)聯(lián)。所定義的“ESS”元素(行15)表示擴展服務(wù)集的名稱。在配置子文件中可包括ESS元素，以將一個更有意義的名稱與構(gòu)成單個網(wǎng)絡(luò)和/或在可能通過一組無線接入點訪問網(wǎng)絡(luò)的時候的一組SSID關(guān)聯(lián)。
所定義的Authentication元素(行19-28)進一步定義網(wǎng)絡(luò)可能支持的認(rèn)證類型。在配置子文件中可包括所定義的“Open”元素(行22)，以表示開放認(rèn)證。也就是說，認(rèn)證不使用在由接入點認(rèn)證時所要求的預(yù)共享密鑰。在配置子文件中可包括所定義的“Shared”元素(行23)，以表示在應(yīng)用程序之間共享認(rèn)證信息。在配置子文件中可包括所定義“WPA”元素(行24)，以表示按照WiFi受保護訪問進行認(rèn)證。在配置子文件中可包括“WPAPSK”元素(行25)，以表示按照WiFi受保護訪問預(yù)共享密碼進行認(rèn)證。
所定義的Encryption元素(行29-39)進一步定義了網(wǎng)絡(luò)可能支持的加密類型。在配置子文件中可包括一個、一些或全部在行32-36定義的元素，以表示不同的加密類型，諸如例如，無、WEP加密、TKIP加密、無線強認(rèn)證協(xié)議(“WRAP”)加密和具有鏈接密碼塊的計數(shù)器消息認(rèn)證代碼協(xié)議(Counter withCipher Block Chaining Message Authentication Code Protocol)(“CCMP”)加密。
在配置子文件中可包括所定義的KeyIndex元素(行40)，以表示密鑰的位置，諸如例如，可用于加密或驗證信息的密鑰。
所定義的“802.1Xauth”元素(行41-49)進一步定義了網(wǎng)絡(luò)可能支持的802.1X認(rèn)證的類型。在配置子文件中可包括一個、一些或全部在行44-46定義的元素，以表示不同類型的802.1X認(rèn)證，諸如例如，無、TLS和PEAP。
在配置子文件中可包括所定義的“Non802.1XURL”元素(行50)，以表示可訪問非802.1X認(rèn)證的URL。這可實現(xiàn)與不支持EAP的傳統(tǒng)系統(tǒng)兼容。
所定義的“PEAPParameters”元素(行51-76)進一步定義網(wǎng)絡(luò)可能支持的PEAP選項。在配置子文件中可包括一個、一些或全部在行54-57和66的元素，以表示不同的PEAP選項，諸如例如，服務(wù)器驗證、服務(wù)器名稱列表、服務(wù)器證書散列、證書撤消列表(“CRL”)和快速重連接。所定義的“PEAPParemeters”元素(行51-76)還進一步包括一個“EAPType”元素，在配置子文件中可包括這個元素以表示由客戶機認(rèn)證服務(wù)器或者由服務(wù)器認(rèn)證客戶機。在配置子文件中可包括在行61和62的任一或兩個元素，以表示不同的EAP類型，諸如例如，EAP-TLS和EAP微軟詢問/再播握手協(xié)議版本2(“EAP-MSChapV2”)。當(dāng)表示EAP-MSChapV2時，在配置子文件中可包括行67的“MSChapV2Parameters”元素，以表示操作系統(tǒng)憑證是否應(yīng)該用于認(rèn)證。
所定義的“TLSParameter”元素(行77-90)進一步定義了網(wǎng)絡(luò)可能支持的EAP-TLS選項。在配置子文件中可包括一個、一些或全部在80-87的元素，以表示不同的EAP-TLS選項，諸如例如，智能卡的使用、在客戶機證書的使用、簡單證書的使用選擇、不使用證書的選擇、服務(wù)器驗證、服務(wù)器名稱列表、服務(wù)器證書散列和證書撤消列表(“CRL”)。
注冊(或續(xù)訂)子文件可以是按照XML注冊模式的XML文檔，這個模式對于在網(wǎng)絡(luò)體系結(jié)構(gòu)200中所述的計算機系統(tǒng)是可訪問的。在響應(yīng)接收需要更多的信息的EAP-Notification(或TLV對象)(例如，允許訪問位于VLAN C上的資源)時，客戶機205可自動地下載注冊文件?？捎煞?wù)用戶界面模塊206處理注冊文件，并在客戶機205上自動地顯示用戶界面。因此，用戶不需要預(yù)先知道如何使用戶界面被顯示。
XML注冊模式可定義品牌信息、預(yù)訂信息(例如，時期、價格等等)、供應(yīng)商聯(lián)系信息、支付方法的輸入字段(例如，信用卡、付費伙伴、預(yù)付卡、證券(certificate)等等)、聯(lián)系信息的輸入字段(名稱、地址、電話號碼等等)、憑證類型、用戶名、密碼、RADIUS服務(wù)器證書等等。此外，可用各種各樣不同的書寫語言顯示用戶界面，諸如例如，英語、日語、法語或德語。使用XML語言標(biāo)記可便于對不同書寫語言的支持。
如果為續(xù)訂注冊顯示用戶界面，則可減少在用戶界面接收的用戶輸入信息量。所顯示的用戶界面可只包括“YES(是)”或“NO(否)”控件用于授權(quán)更多的信用卡支付或其它電子支付選項。
回到圖3，方法300包括一個功能性的面向結(jié)果的步驟，用于請求授權(quán)訪問位于第二個網(wǎng)絡(luò)上資源(步驟307)。步驟307可包括實現(xiàn)請求授權(quán)訪問在第二個網(wǎng)絡(luò)上資源的結(jié)果的任何相應(yīng)過程。不過，在圖3的例子中所示的，步驟307包括接收用戶輸入信息的相應(yīng)過程(過程303)。所顯示的用戶界面可用于從位于客戶機205的用戶接收用戶輸入信息(例如，用戶標(biāo)識符、密碼、名稱、地址、信用卡信息等等)。當(dāng)用戶續(xù)訂一個賬戶時，可接收更少的信息量。例如，如果預(yù)先注冊的用戶訪問位于VLAN C上的資源，則賬戶維護模塊216可訪問用戶數(shù)據(jù)庫218以檢索預(yù)先輸入的用戶信息，從而使用戶免于必須重新輸入用戶信息。用戶可選擇“YES”控件提供授權(quán)信用卡支付或其它電子支付選項的用戶輸入信息。
步驟307也包括提交基于模式的文檔的相應(yīng)過程(步驟304)。這包括客戶機提交包括用戶輸入的信息的第一個基于模式的文檔到服務(wù)器。例如，客戶機205可提交按照XML注冊模式定義的第一個XML文檔，包括在所顯示的用戶界面接收的用戶輸入信息?？蛻魴C205可使用HTTP或HTTPS post(發(fā)送)上載基于模式的文檔至HSP、ISP網(wǎng)站或服務(wù)器215。賬戶維護模塊216可具有基于Web的接口，用于接收使用HTTP和HTTPS post上載的基于模式的文檔。在一些實施例中，基于Web到賬戶維護模塊216的接口可處理包括在基于模式的文檔內(nèi)的用戶輸入信息并更新用戶數(shù)據(jù)庫218。
方法300還包括接收授權(quán)標(biāo)志的過程(過程305)。這可包括接收第二個基于模式的文檔，這個文檔提供服務(wù)器授權(quán)客戶機訪問位于VLAN上的資源的標(biāo)志。例如，客戶機205可接收按照XML注冊模式定義的第二個XML文檔，這個文檔提供客戶機205被授權(quán)訪問位于VLAN C上資源的標(biāo)志。可在響應(yīng)提交第一個基于模式的文檔時接收第二個基于模式的文檔。例如，在響應(yīng)提交適當(dāng)?shù)挠脩糨斎胄畔r，客戶機205可接收服務(wù)器215已經(jīng)授權(quán)客戶機205訪問位于VLAN C上資源的標(biāo)志。這可包括接收用戶標(biāo)識符和密碼或者接收已經(jīng)接受信用卡支付的信息。
當(dāng)授權(quán)客戶機205訪問位于VLAN C上資源時，接入點209可允許當(dāng)前對于端口251被阻塞的任何協(xié)議并可插入表示要將來自客戶機205的數(shù)據(jù)傳送到VLAN C的標(biāo)記頭部。服務(wù)器215可發(fā)送命令至接入點209，使接入點209允許協(xié)議并使接入點209插入適當(dāng)?shù)臉?biāo)記頭部。
服務(wù)器215可設(shè)置一個會話超時，諸如例如，一小時，在這個時間過后接入點209將要求客戶機重新認(rèn)證。如果在重新認(rèn)證時一個預(yù)訂還有效，則客戶機可通過提供適當(dāng)?shù)膽{證至服務(wù)器215在后臺重新認(rèn)證。另一方面，如果在重新認(rèn)證時預(yù)訂時間期滿，則服務(wù)器215可發(fā)送一個EAP-Notification(或TLV對象)，使續(xù)訂用戶界面被顯示在客戶機205。預(yù)訂時間可在指定的時間段(例如，一個月、24小時等等)之后或在指定的通過特殊的服務(wù)提供商連接的次數(shù)(例如，一次連接、十次連接等等)之后期滿。在適當(dāng)?shù)赝瓿衫m(xù)訂用戶界面之后，客戶機205可被重新認(rèn)證。
如果用戶不適當(dāng)?shù)赝瓿衫m(xù)訂用戶界面，則接入點209可停止在來自客戶機205的數(shù)據(jù)中插入往VLAN C的標(biāo)記頭部，并可代之以開始插入往VLAN B的標(biāo)記頭部到來自客戶機205的數(shù)據(jù)中。接入點209也可開始阻塞對于端口251的協(xié)議。服務(wù)器215可發(fā)送命令至接入點209，使接入點209阻塞協(xié)議并插入適當(dāng)?shù)臉?biāo)記頭部。
與過程302至305并行地，方法300還包括執(zhí)行基于模式的文檔的過程(過程306)。這可包括執(zhí)行第三個基于模式的文檔，為訪問第二個網(wǎng)絡(luò)設(shè)置客戶機。例如，提供模塊208可執(zhí)行按照XML配置模式定義的XML文檔，以適當(dāng)?shù)貫樵L問位于VLAN C上資源設(shè)置客戶機205。提供模塊208可從提供數(shù)據(jù)207檢索先前下載的XML文檔，諸如例如，配置子文件。
可執(zhí)行配置子文件以配置連接類型、通信協(xié)議、認(rèn)證類型、加密類型等等。實際上可在下載配置子文件之后的任何時候執(zhí)行它。因此，可為訪問位于網(wǎng)絡(luò)上資源配置客戶機，即使拒絕這個客戶機訪問這個網(wǎng)絡(luò)。通過執(zhí)行基于模式的文檔，可在很少或無用戶介入情況下重新設(shè)置客戶機。這使用戶免于必須手工地為客戶機重新配置兼容操作網(wǎng)絡(luò)。
在一些實施例中，當(dāng)前使用第一個網(wǎng)絡(luò)配置提供因特網(wǎng)訪問的計算機系統(tǒng)被預(yù)先提供使用第二個網(wǎng)絡(luò)設(shè)備訪問因特網(wǎng)。例如，具有通過ISP訪問因特網(wǎng)的計算機系統(tǒng)，可為通過無線熱點訪問因特網(wǎng)，在這個ISP網(wǎng)站注冊。在向這個ISP注冊的過程期間，計算機系統(tǒng)可為這個無線熱點下載提供文件。因此，在連接這個無線熱點時，可能已經(jīng)適當(dāng)?shù)貫橥ㄟ^這個無線熱點訪問因特網(wǎng)設(shè)置了計算機系統(tǒng)。此外，如果在向這個ISP注冊的過程期間輸入賬戶信息(例如，名稱、地址、支付信息等等)，則可能已經(jīng)通過這個無線熱點授權(quán)這個計算機系統(tǒng)訪問因特網(wǎng)。
在不脫離本發(fā)明的精神或基本特征情況下，可用其它特定的形式實施本發(fā)明。應(yīng)認(rèn)為所述的實施例在任何方面只是例示性的而非限制性的。因此，本發(fā)明的范圍是由所附的權(quán)利要求表示的，而不是前面的說明。應(yīng)將在權(quán)利要求的等效意義和范圍內(nèi)得出的所有改變包括在權(quán)利要求的范圍內(nèi)。
權(quán)利要求
1.在可通過中間的計算機系統(tǒng)網(wǎng)絡(luò)連接到第二個網(wǎng)絡(luò)和第一個網(wǎng)絡(luò)的計算機系統(tǒng)中，所述第二個網(wǎng)絡(luò)包括一組資源，所述第一個網(wǎng)絡(luò)至少包括用于為所述計算機系統(tǒng)提供對第二個網(wǎng)絡(luò)的資源的訪問，所述中間的計算機系統(tǒng)確定是否將數(shù)據(jù)從所述計算機系統(tǒng)傳送到第一個網(wǎng)絡(luò)或第二個網(wǎng)絡(luò)，以使得可允許訪問第一個網(wǎng)絡(luò)而限制訪問第二個網(wǎng)絡(luò)，第一個網(wǎng)絡(luò)還包括可授權(quán)計算機系統(tǒng)訪問第二個網(wǎng)絡(luò)的服務(wù)器，一種為所述計算機系統(tǒng)提供對第二個網(wǎng)絡(luò)的訪問以便減少用戶輸入的方法，其特征在于，所述方法包括下列內(nèi)容發(fā)送憑證至所述服務(wù)器，嘗試由所述服務(wù)器認(rèn)證的過程；自動顯示用戶界面的過程，所述用戶界面可接收用戶輸入信息，以使得不要求所述計算機系統(tǒng)的用戶事先具有如何使所述用戶界面被顯示的知識；接收用戶輸入到所述用戶界面的信息的過程；提交包括用戶輸入信息的第一個基于模式的文檔至服務(wù)器的過程；在提交第一個基于模式的文檔之后，接收提供標(biāo)志的第二個基于模式的文檔的過程，所述標(biāo)志表明服務(wù)器授權(quán)所述計算機系統(tǒng)訪問位于第二個網(wǎng)絡(luò)上的資源；以及執(zhí)行第三個基于模式的文檔，為訪問第二個網(wǎng)絡(luò)設(shè)置所述計算機系統(tǒng)，使得用戶免于必須手工地設(shè)置所述計算機系統(tǒng)的過程。
2.如權(quán)利要求1所述的方法，其特征在于，所述發(fā)送憑證至服務(wù)器的過程包括，發(fā)送憑證至與服務(wù)器以通信方式連接的接入點的過程。
3.如權(quán)利要求1所述的方法，其特征在于，所述發(fā)送憑證至服務(wù)器的過程包括，發(fā)送EAP消息至服務(wù)器的過程。
4.如權(quán)利要求1所述的方法，其特征在于，所述發(fā)送憑證至服務(wù)器的過程包括，將EAP消息封裝在IEEE 802.1X消息內(nèi)的過程。
5.如權(quán)利要求1所述的方法，其特征在于，所述發(fā)送憑證至服務(wù)器的過程包括，將標(biāo)記頭部與所述憑證關(guān)聯(lián)，以便表示要將所述憑證傳送到包括所述服務(wù)器的虛擬網(wǎng)絡(luò)的過程。
6.如權(quán)利要求1所述的方法，其特征在于，所述發(fā)送憑證至服務(wù)器的過程包括，發(fā)送憑證至互聯(lián)網(wǎng)協(xié)議地址的過程，通過互聯(lián)網(wǎng)地址過濾器組件使所述互聯(lián)網(wǎng)協(xié)議地址能由所述計算機系統(tǒng)訪問。
7.如權(quán)利要求1所述的方法，所述發(fā)送憑證至服務(wù)器的過程包括，在所述計算機系統(tǒng)和第一個網(wǎng)絡(luò)之間建立虛擬專用網(wǎng)絡(luò)的過程。
8.如權(quán)利要求1所述的方法，其特征在于，所述發(fā)送憑證至服務(wù)器的過程包括，包括發(fā)送用戶標(biāo)識符的過程。
9.如權(quán)利要求1所述的方法，所述發(fā)送憑證至服務(wù)器的過程包括，包括發(fā)送訪客憑證的過程。
10.如權(quán)利要求1所述的方法，所述自動顯示可接收用戶輸入信息的用戶界面的過程包括，通過EAP接收包括指向主提供文檔的URI的通知的過程。
11.如權(quán)利要求1所述的方法，其特征在于，所述自動顯示可接收用戶輸入信息的用戶界面的過程包括，通過PEAP接收包括指向主提供文檔的URI的TLV對象的過程。
12.如權(quán)利要求1所述的方法，其特征在于，所述自動顯示可接收用戶輸入信息的用戶界面的過程包括，接收EAP-Notification的過程，所述EAP-Notification包括要變成被授權(quán)訪問包括所述資源組的虛擬網(wǎng)絡(luò)所要滿足的條件。
13.如權(quán)利要求1所述的方法，其特征在于，所述自動顯示可接收用戶輸入信息的用戶界而的過程包括，訪問URI以下載主提供文檔的過程。
14.如權(quán)利要求1所述的方法，其特征在于，所述自動顯示可接收用戶輸入信息的用戶界面的過程包括，從包括所述服務(wù)器的虛擬網(wǎng)絡(luò)下載文件的過程。
15.如權(quán)利要求1所述的方法，其特征在于，所述自動顯示可接收用戶輸入信息的用戶界面的過程包括，處理注冊子文件以使所述用戶界面被顯示的過程。
16.如權(quán)利要求1所述的方法，其特征在于，所述自動顯示可接收用戶輸入信息的用戶界面的過程包括，顯示包括為用戶先前輸入的用戶輸入信息的續(xù)訂用戶界面的過程。
17.如權(quán)利要求1所述的方法，其特征在于，所述提交第一個基于模式的文檔的過程包括，提交按照XML注冊模式定義的XML文檔的過程。
18.如權(quán)利要求1所述的方法，其特征在于，所述接收包括所述服務(wù)器授權(quán)所述計算機系統(tǒng)訪問第二個網(wǎng)絡(luò)的標(biāo)志的第二個基于模式的文檔的過程包括，接收按照XML注冊模式定義的第二個XML文檔的過程。
19.如權(quán)利要求1所述的方法，其特征在于，所述接收包括所述服務(wù)器授權(quán)所述計算機系統(tǒng)訪問第二個網(wǎng)絡(luò)的標(biāo)志的第二個基于模式的文檔的過程包括，接收由所述服務(wù)器認(rèn)證可使用的憑證的過程。
20.如權(quán)利要求1所述的方法，其特征在于，所述執(zhí)行第三個基于模式的文檔為訪問第二個網(wǎng)絡(luò)設(shè)置所述計算機系統(tǒng)的過程包括，執(zhí)行按照XML配置模式定義的XML文檔的過程。
21.如權(quán)利要求1所述的方法，其特征在于，所述執(zhí)行第三個基于模式的文檔為訪問第二個網(wǎng)絡(luò)設(shè)置所述計算機系統(tǒng)的過程包括，執(zhí)行基于模式的文檔，以設(shè)置所述計算機系統(tǒng)適當(dāng)?shù)嘏c通過無線接入點訪問的有線網(wǎng)絡(luò)通信的過程。
22.如權(quán)利要求1所述的方法，其特征在于，所述執(zhí)行第三個基于模式的文檔為訪問第二個網(wǎng)絡(luò)設(shè)置所述計算機系統(tǒng)的過程包括，執(zhí)行一基于模式的文檔，以配置所述計算機系統(tǒng)適當(dāng)?shù)嘏cDSL供應(yīng)商通信的過程。
23.如權(quán)利要求1所述的方法，其特征在于，所述執(zhí)行第三個基于模式的文檔為訪問第二個網(wǎng)絡(luò)設(shè)置所述計算機系統(tǒng)的過程包括，執(zhí)行基于模式的文檔，以配置所述計算機系統(tǒng)適當(dāng)?shù)嘏cISP通信的過程。
24.如權(quán)利要求1所述的方法，其特征在于，所述執(zhí)行第三個基于模式的文檔為訪問第二個網(wǎng)絡(luò)設(shè)置所述計算機系統(tǒng)的過程包括，執(zhí)行一基于模式的文檔，以配置所述計算機系統(tǒng)適當(dāng)?shù)嘏c以太網(wǎng)通信的過程。
25.如權(quán)利要求1所述的方法，還包括在發(fā)送所述憑證之后，為了下載變成被授權(quán)訪問位于第二個網(wǎng)絡(luò)上的資源組所需要的提供文件，接收所述服務(wù)器已經(jīng)授權(quán)有限訪問第一個網(wǎng)絡(luò)的標(biāo)志的過程。
26.如權(quán)利要求1所述的方法，還包括選擇要被用于認(rèn)證的EAP類型的過程。
27.在可通過中間的計算機系統(tǒng)網(wǎng)絡(luò)連接到第二個網(wǎng)絡(luò)和第一個網(wǎng)絡(luò)的計算機系統(tǒng)中，所述第二個網(wǎng)絡(luò)包括一組資源，所述第一個網(wǎng)絡(luò)至少包括用于為所述計算機系統(tǒng)提供對第二個網(wǎng)絡(luò)的資源的訪問，所述中間的計算機系統(tǒng)確定是否將數(shù)據(jù)從所述計算機系統(tǒng)傳送到第一個網(wǎng)絡(luò)或第二個網(wǎng)絡(luò)，以使得可允許訪問第一個網(wǎng)絡(luò)而限制訪問第二個網(wǎng)絡(luò)，第一個網(wǎng)絡(luò)還包括可授權(quán)計算機系統(tǒng)訪問第二個網(wǎng)絡(luò)的服務(wù)器，一種為所述計算機系統(tǒng)提供對第二個網(wǎng)絡(luò)的訪問以便減少用戶輸入的方法包括下列內(nèi)容發(fā)送憑證至所述服務(wù)器，嘗試由所述服務(wù)器認(rèn)證的過程；自動顯示用戶界面的過程，所述用戶界面可接收用戶輸入信息，以使得不要求所述計算機系統(tǒng)的用戶事先具有如何使所述用戶界面被顯示的知識；請求授權(quán)訪問位于第二個網(wǎng)絡(luò)上的資源的步驟；在提交第一個基于模式的文檔之后，接收提供標(biāo)志的第二個基于模式的文檔的過程，所述標(biāo)志表明服務(wù)器授權(quán)所述計算機系統(tǒng)訪問位于第二個網(wǎng)絡(luò)上的資源；以及執(zhí)行第三個基于模式的文檔，為訪問第二個網(wǎng)絡(luò)設(shè)置所述計算機系統(tǒng)，使得用戶免于必須手工地設(shè)置所述計算機系統(tǒng)的過程。
28.一種計算機程序產(chǎn)品，用于在可通過中間的計算機系統(tǒng)網(wǎng)絡(luò)連接到第二個網(wǎng)絡(luò)和第一個網(wǎng)絡(luò)的計算機系統(tǒng)中，所述第二個網(wǎng)絡(luò)包括一組資源，所述第一個網(wǎng)絡(luò)至少包括用于為所述計算機系統(tǒng)提供對第二個網(wǎng)絡(luò)的資源的訪問，所述中間的計算機系統(tǒng)確定是否將數(shù)據(jù)從所述計算機系統(tǒng)傳送到第一個網(wǎng)絡(luò)或第二個網(wǎng)絡(luò)，以使得可允許訪問第一個網(wǎng)絡(luò)而限制訪問第二個網(wǎng)絡(luò)，第一個網(wǎng)絡(luò)還包括可授權(quán)計算機系統(tǒng)訪問第二個網(wǎng)絡(luò)的服務(wù)器，所述計算機程序產(chǎn)品用于實現(xiàn)為所述計算機系統(tǒng)提供對第二個網(wǎng)絡(luò)的訪問以便減少用戶輸入的方法，其特征在于，所述計算機系統(tǒng)在一或多個計算機可讀介質(zhì)上存儲著下列內(nèi)容計算機可執(zhí)行指令，用于發(fā)送憑證至所述服務(wù)器，嘗試由所述服務(wù)器認(rèn)證；計算機可執(zhí)行指令，用于顯示用戶界面，所述用戶界面可接收用戶輸入信息，以使得不要求所述計算機系統(tǒng)的用戶事先具有如何使所述用戶界面被顯示的知識；計算機可執(zhí)行指令，用于接收用戶輸入到所述用戶界面的信息；計算機可執(zhí)行指令，用于提交包括用戶輸入信息的第一個基于模式的文檔至服務(wù)器；計算機可執(zhí)行指令，用于在提交第一個基于模式的文檔之后，接收提供標(biāo)志的第二個基于模式的文檔，所述標(biāo)志表明服務(wù)器授權(quán)所述計算機系統(tǒng)訪問位于第二個網(wǎng)絡(luò)上的資源；以及計算機可執(zhí)行指令，用于執(zhí)行第三個基于模式的文檔，為訪問第二個網(wǎng)絡(luò)設(shè)置所述計算機系統(tǒng)，使得用戶免于必須手工地設(shè)置所述計算機系統(tǒng)。
29.如權(quán)利要求28所述的計算機程序產(chǎn)品，其特征在于，所述用于發(fā)送憑證至所述服務(wù)器嘗試由所述服務(wù)器認(rèn)證的計算機可執(zhí)行指令，還包括用于協(xié)商所述計算機系統(tǒng)由所述服務(wù)器認(rèn)證時使用的認(rèn)證的類型的計算機可執(zhí)行指令。
30.如權(quán)利要求28所述的計算機程序產(chǎn)品，其特征在于，所述用于顯示可接收用戶輸入信息的用戶界面的計算機可執(zhí)行指令，還包括用于接收EAP-Notification(EAP通知)的計算機可執(zhí)行指令。
31.如權(quán)利要求28所述的計算機程序產(chǎn)品，其特征在于，所述用于執(zhí)行第三個基于模式的文檔為訪問第二個網(wǎng)絡(luò)設(shè)置所述計算機系統(tǒng)的計算機可執(zhí)行指令，還包括用于執(zhí)行按照XML配置模式定義的XML文檔的計算機可執(zhí)行指令。
32.在可通過中間的計算機系統(tǒng)網(wǎng)絡(luò)連接到提供一組服務(wù)的第一個虛擬網(wǎng)絡(luò)和第二個虛擬網(wǎng)絡(luò)的計算機系統(tǒng)中，所述第二個虛擬網(wǎng)絡(luò)至少提供一個服務(wù)組的子集，以使得所述中間的計算機系統(tǒng)確定是否將數(shù)據(jù)從所述計算機系統(tǒng)傳送到第一個虛擬網(wǎng)絡(luò)或第二個虛擬網(wǎng)絡(luò)，其中連接到第二個虛擬網(wǎng)絡(luò)的服務(wù)器可提供用于更新計算機系統(tǒng)以訪問在第一個虛擬網(wǎng)絡(luò)上的服務(wù)的更新信息，一種更新所述計算機系統(tǒng)以訪問第一個虛擬網(wǎng)絡(luò)上的服務(wù)以便減少用戶輸入的方法，其特征在于，所述方法包括下列內(nèi)容嘗試訪問在第一個虛擬網(wǎng)絡(luò)上的服務(wù)的過程；自動地顯示標(biāo)志的過程，所述標(biāo)志表明要為兼容訪問所述服務(wù)更新所述計算機系統(tǒng)，以使得不要求所述計算機系統(tǒng)的用戶事先具有如何更新所述計算機系統(tǒng)的知識；接收表示要求更新所述計算機系統(tǒng)的用戶輸入信息的過程；提交包括用戶輸入信息的第一個基于模式的文檔至服務(wù)器的過程；在提交第一個基于模式的文檔之后，接收包括用于所述計算機系統(tǒng)的更新信息的第二個基于模式的文檔的過程；以及執(zhí)行第二個基于模式的文檔以更新所述計算機系統(tǒng)，使得用戶免于必須手工地更新所述計算機系統(tǒng)的過程。
33.一個或多個在其上存儲數(shù)據(jù)結(jié)構(gòu)的計算機可讀介質(zhì)，所述數(shù)據(jù)結(jié)構(gòu)包括名稱字段，用于定義命名提供主文檔的格式；使用期限字段，用于定義存活時間格式，所述存活時間格式表示應(yīng)更新按照在所述名稱字段中定義的命名格式命名的提供主文檔的時間；以及子文件字段，用于定義格式，所述格式表示在按照在所述名稱字段中定義的命名格式命名的提供主文檔內(nèi)的子文件。
34.如權(quán)利要求33所述的一個或多個在其上存儲數(shù)據(jù)結(jié)構(gòu)的計算機可讀介質(zhì)，其特征在于，所述子文件字段由下列內(nèi)容組成模式字段，用于定義表示子文件模式的格式；以及URL字段，用于定義表示子文件URL的格式。
35.如權(quán)利要求33所述的一個或多個在其上存儲數(shù)據(jù)結(jié)構(gòu)的計算機可讀介質(zhì)，其特征在于，所述子文件字段由下列內(nèi)容組成片段字段，用于定義表示相應(yīng)于特殊的子文件的URL片段的格式。
36.如權(quán)利要求33所述的一個或多個在其上存儲數(shù)據(jù)結(jié)構(gòu)的計算機可讀介質(zhì)，還包括更新字段，用于定義格式，所述格式表示更新按照所述在命名字段中的命名格式定義的提供主文檔的位置。
37.一個或多個在其上存儲數(shù)據(jù)結(jié)構(gòu)的計算機可讀介質(zhì)，所述數(shù)據(jù)結(jié)構(gòu)包括連接字段，用于定義格式，所述格式表示由網(wǎng)絡(luò)支持的連接類型；以及認(rèn)證字段，用于定義格式，所述格式表示由所述在連接字段中定義的連接類型支持的認(rèn)證類型。
38.如權(quán)利要求37所述的一個或多個在其上存儲數(shù)據(jù)結(jié)構(gòu)的計算機可讀介質(zhì)，其特征在于，所述認(rèn)證字段由下列內(nèi)容組成EAP字段，用于定義格式，所述格式表示EAP認(rèn)證的類型。
39.如權(quán)利要求37所述的一個或多個在其上存儲數(shù)據(jù)結(jié)構(gòu)的計算機可讀介質(zhì)，其特征在于，所述認(rèn)證字段由下列內(nèi)容組成傳統(tǒng)認(rèn)證字段，用于定義表示可訪問的位置的格式，以認(rèn)證不支持EAP的計算機系統(tǒng)。
40.如權(quán)利要求37所述的一個或多個在其上存儲數(shù)據(jù)結(jié)構(gòu)的計算機可讀介質(zhì)，還包括加密字段，用于定義表示由所述連接字段定義的連接類型支持的加密類型的格式。
全文摘要
一個計算機系統(tǒng)嘗試由服務(wù)器認(rèn)證以獲得授權(quán)訪問第一個網(wǎng)絡(luò)。所述服務(wù)器確定不授權(quán)所述計算機系統(tǒng)訪問第一個網(wǎng)絡(luò)。為了至少下載訪問第一個網(wǎng)絡(luò)所需的文件(例如，注冊和配置文件)的目的，給所述計算機系統(tǒng)授權(quán)訪問第二個網(wǎng)絡(luò)。接收用戶輸入注冊信息的用戶界面自動顯示在所述計算機系統(tǒng)上。將包括用戶輸入信息的第一個基于模式的文檔傳送到所述服務(wù)器。如果所述服務(wù)器確定用戶輸入信息是適當(dāng)?shù)?，則所述計算機系統(tǒng)接收包括授權(quán)訪問第一個網(wǎng)絡(luò)的標(biāo)志(例如，用戶標(biāo)識符和密碼)的第二個基于模式的文檔。在計算機系統(tǒng)上執(zhí)行第三個基于大綱的文檔，為訪問第一個網(wǎng)絡(luò)兼容地設(shè)置計算機系統(tǒng)。
文檔編號H04L29/06GK1514619SQ20031012250
公開日2004年7月21日 申請日期2003年12月8日 優(yōu)先權(quán)日2002年12月6日
發(fā)明者A·W·克蘭茲, T·M·摩爾, D·M·阿伯拉罕姆, S·古戴, P·白爾, B·D·阿伯達, A W 克蘭茲, 摩爾, 阿伯拉罕姆, 阿伯達 申請人:微軟公司