專利名稱:連接公共網(wǎng)絡(luò)中的vpn用戶的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及計算機網(wǎng)絡(luò)�,更具體而言�,涉及用于連接公共接入 計算機網(wǎng)絡(luò)中的用戶的方法和系統(tǒng)�����。
背景技術(shù):
很多組織允許雇員經(jīng)由因特網(wǎng)對公司計算機網(wǎng)絡(luò)進行遠程訪問���。這種 遠程連接一般利用VPN (虛擬私有網(wǎng)絡(luò))來實現(xiàn)��。VPN是一種用于通過 諸如因特網(wǎng)之類的公共網(wǎng)絡(luò)與私有網(wǎng)絡(luò)通信的安全途徑�����。很多公司有提供 VPN產(chǎn)品����。例如,Cisco Systems公司(加州San Jose)提供了用于VPN 連接的網(wǎng)絡(luò)側(cè)和客戶端側(cè)的VPN產(chǎn)品族�����。關(guān)于Cisco的VPN產(chǎn)品的附加 細節(jié)可以在www.cisco.com/en/US/products/hw/vpndevc找至'J����。在某些VPN應(yīng)用中,VPN客戶端軟件被安裝在用戶的計算機上�����。 VPN客戶端建立到位于公司網(wǎng)絡(luò)中的VPN服務(wù)器的安全"VPN隧道"��。 例如����,Cisco Systems提供了這種 VPN客戶端,其在 www.cisco.com/en/US/products/sw/secursw/ps2308中有所描述�����。VPN用戶通常使用熱點中使能了 WLAN (無線局域網(wǎng)��,也稱為Wi-Fi) 的膝上型計算機連接到因特網(wǎng)���。(熱點是一個公共位置���,例如賓館大 廳或咖啡廳��,其提供到使能了 WLAN的計算機的無線因特網(wǎng)接入����。)很 多公司提供了允許用戶經(jīng)由熱點獲得因特網(wǎng)接入的產(chǎn)品��。例如�,Cisco Systems提供了被稱為SSG (服務(wù)選擇網(wǎng)關(guān))和SESM (訂戶邊緣服務(wù)管 理器)的產(chǎn)品。SSG/SESM為因特網(wǎng)服務(wù)的訂戶提供訂戶認證和授權(quán)�、服 務(wù)選擇�、服務(wù)連接和計費能力。關(guān)于SSG/SESM的其他細節(jié)可以在 www.cisco.com/en/US/tech/tk888/tk890/tech_protocl—family—home.html 上找到��。很多公司提供因特網(wǎng)漫游服務(wù)(允許一個給定服務(wù)提供商的用戶連接 到另一服務(wù)提供商的網(wǎng)絡(luò))以及相關(guān)聯(lián)的客戶端軟件�。這種提供商的兩個示例是iPass公司(加州Redwood Shores)和Boingo Wireless公司(力口州 Santa Monica )。其他細節(jié)可以分別在公司網(wǎng)站www.ipass.com和 www.boingo.com找到��。兩個公司都向它們的客戶提供了包括HTTP (超文 本傳輸協(xié)議)客戶端的撥號軟件��。用于將漫游用戶經(jīng)由熱點連接到因特網(wǎng)的指導(dǎo)手冊在2003年2月的 Anton等人的題為"Best Current Practices for Wireless Internet Service Provider (WISP) Roaming" (Wi-Fi Alliance-WISPr��,版本1.0)的論文中有 所描述,該論文通過引用被結(jié)合于此�����。該論文描述了用于使得訂戶能夠在 基于Wi-Fi的無線因特網(wǎng)服務(wù)提供商(WISP)之間漫游的推薦的操作實 踐���、技術(shù)性體系結(jié)構(gòu)以及認證��、授權(quán)和計費(AAA)構(gòu)架���。所述漫游構(gòu)架 允許使用Wi-Fi兼容設(shè)備漫游到使能了 Wi-Fi的熱點,以用于公共接入和 服務(wù)�。關(guān)于 WISPr 的其他細節(jié)可以在 www.wi-fialliance.org/opensection/wispr.asp J戈至U 。與用戶經(jīng)由因特網(wǎng)到私有網(wǎng)絡(luò)的連接相關(guān)聯(lián)的AAA功能在專利文獻 中有所描述��。例如�,美國專利申請公開2003/0051041 (該專利申請的公開 通過引用被結(jié)合于此)描述了客戶端終端可訪問的匯聚網(wǎng)絡(luò)。該匯聚網(wǎng)絡(luò) 包括廣域網(wǎng)���、局域網(wǎng)和鏈接到廣域網(wǎng)和局域網(wǎng)的網(wǎng)關(guān)�����。網(wǎng)關(guān)集成了廣域網(wǎng) 和局域網(wǎng)的收費和認證功能�。與VPN和公共接入網(wǎng)絡(luò)相關(guān)的其他解決方 案示例在美國專利申請公開2002/0120872、 2003/0182556和2004/0181663 中有所描述�����,這些專利申請的公開通過引用也被結(jié)合于此��。從以下結(jié)合附圖對實施例的詳細描述中�����,將全面地理解本發(fā)明�。
圖IA是示意性地示出根據(jù)本發(fā)明實施例的計算機網(wǎng)絡(luò)的框圖; 圖1B是示意性地示出根據(jù)本發(fā)明實施例的用戶終端的框圖���;以及 圖2是示意性地示出根據(jù)本發(fā)明實施例用于將VPN用戶連接到公司 網(wǎng)絡(luò)的方法的流程圖�����。
具體實施例方式
在很多情況下,公司只向它們的雇員提供對他們的計算機(包括移動 計算機)的配置的有限的控制����。具體而言,公司可能要求計算機在執(zhí)行任 意應(yīng)用功能之前在登錄序列期間連接到VPN�����。(移動用戶可能通過它們 連接到的公共網(wǎng)絡(luò)經(jīng)由VPN隧道連接。)這種情形在對信息安全性特別 敏感的組織(例如金融機構(gòu))中很常見���。當(dāng)這種計算機被接通并且嘗試注冊時��,安裝在該計算機上的VPN客戶端立即嘗試接觸VPN服務(wù)器�,以便 建立VPN隧道����。沒有流量被允許發(fā)送到VPN隧道外的計算機或由VPN 隧道外的計算機接收。
該配置通常限制計算機在熱點和其他公共接入網(wǎng)絡(luò)中獲得因特網(wǎng)接入 的能力�。雖然某些熱點允許免費接入,但是其中新加入的計算機最初被重 定向到用于提供認證和計費信息的門戶(portal)作為熱點AAA過程的一 部分的熱點的數(shù)目越來越多����。沒有來自計算機的流量被允許在熱點AAA 過程完成之前到達因特網(wǎng)。由于重定向和認證需要計算機與VPN隧道 (尚未被建立)外部的門戶通信��,因此被配置以上述登錄序列的計算機通 常被拒絕到熱點的接入���。這種情況不僅可能發(fā)生在熱點中�,還可能發(fā)生在 其他因特網(wǎng)接入位置上。
本發(fā)明的實施例通過在移動計算機上提供附加的功能有限授權(quán)客戶端 以用于AAA功能目的而解決了以上局限�����。該客戶端通常被配置用于一組 受限的HTTP通信�。授權(quán)客戶端在VPN客戶端無法建立VPN隧道時被 VPN客戶端自動調(diào)用。授權(quán)客戶端與門戶通信��,與用戶交互以提供必要 的計費信息并且使得門戶能夠完成AAA過程���。計算機隨后被準許接入到 因特網(wǎng)���,并且VPN客戶端能夠與VPN服務(wù)器通信并建立VPN隧道。
所公開的方法和系統(tǒng)因此增強了用戶在不損害組織的數(shù)據(jù)安全性的情 況下�����,經(jīng)由各種公共接入網(wǎng)絡(luò)通過因特網(wǎng)接入他或她公司的網(wǎng)絡(luò)的能力���。系統(tǒng)薪述圖1A是根據(jù)本發(fā)明實施例��,示意性地示出計算機網(wǎng)絡(luò)系統(tǒng)20的框 圖。系統(tǒng)20包括用戶終端22�,其通常屬于漫游用戶。每個用戶終端22利 用WLAN連接與接入點24通信�。通常����,接入點在公共熱點(例如賓館大
廳或機場休息室)中提供WLAN覆蓋�����。網(wǎng)關(guān)26將熱點用戶連接到因特 網(wǎng)����。用戶終端經(jīng)由接入點和網(wǎng)關(guān)利用下面將描述的方法與門戶28通信, 以用于認證����、授權(quán)和計費。網(wǎng)關(guān)26可以包括上述Cisco SSG網(wǎng)關(guān)或任意 其他合適的產(chǎn)品�。門戶28可以包括上述Cisco SESM門戶或任意其他合適 的產(chǎn)品。接入點24�����、網(wǎng)關(guān)26和門戶28通常利用LAN (局域網(wǎng))30相 連��。在典型的熱點中�����,網(wǎng)關(guān)26識別尚未被認證的新加入的計算機,并利 用TCP重定向?qū)⑺鼈冎囟ㄏ虻介T戶28�����。作為AAA過程的一部分�����,門戶要 求用戶終端22提供計費信息�����,該計費信息將使得能夠針對因特網(wǎng)接入對 用戶收費�。該標識例如可以包括注冊到熱點運營商的信用卡信息或用戶名 和密碼。任意其他合適的標識和授權(quán)方法也可以被使用����。 一旦用戶向門戶 提供了有效的計費信息,門戶就向網(wǎng)關(guān)發(fā)送準許用戶經(jīng)由熱點進行因特網(wǎng) 接入的批準�。某些用戶終端22屬于正在嘗試利用VPN經(jīng)由因特網(wǎng)獲得對他們的公 司網(wǎng)絡(luò)的接入的用戶。如上所述�, 一旦在用戶終端22和VPN服務(wù)器32 之間建立了VPN隧道,就實現(xiàn)了到公司網(wǎng)絡(luò)的接入�。VPN服務(wù)器32包括 用于通過因特網(wǎng)進行通信的網(wǎng)絡(luò)接口 35和用于建立和管理虛擬私有網(wǎng)絡(luò) 的通信處理器37����。圖1A所示的示例性網(wǎng)絡(luò)配置是出于概念上清晰的緣故而選擇的�����。其 他網(wǎng)絡(luò)配置可以使用這里描述的方法和系統(tǒng)��。例如�,VPN服務(wù)器通常是 公司私有網(wǎng)絡(luò)(圖中未示出)的一部分��。公司網(wǎng)絡(luò)可以包括附加節(jié)點���,例 如使能了 VPN的交換機��、路由器和防火墻�。類似地��,本領(lǐng)域技術(shù)人員顯 而易見�����,下述方法同樣可應(yīng)用于其他公共接入配置����,包括無線和有線接 入�����。圖1B是根據(jù)本發(fā)明實施例����,示意性地示出用戶終端22的硬件和軟件 元素的框圖����。該用戶終端包括VPN客戶端31,其與VPN服務(wù)器32建立 VPN隧道��。該用戶終端還包括在本實施例中被實現(xiàn)為HTTP客戶端33的 授權(quán)客戶端����,如下面將說明的,該授權(quán)客戶端33被VPN客戶端31所調(diào) 用���?���?蛻舳?1和33經(jīng)由網(wǎng)絡(luò)接口 34與網(wǎng)絡(luò)通信�。
雖然這里描述的實施例主要針對VPN用戶的連接���,但是除了 VPN之 外的其他應(yīng)用也可以使用公開的方法和系統(tǒng)。其他通信客戶端可被使用以替代VPN客戶端31����,并且其他通信服務(wù)器可被使用以替代VPN服務(wù)器 32����, ^/,參f��,如本申請所要求的�����。雖然在以上對圖1A的描述中���,用戶終端經(jīng)由無線連接被連接�,但是 用戶終端也可以通過有線LAN連接(例如在賓館房間和會議中心提供的 公共LAN)連接到因特網(wǎng)���。這些LAN也將新加入的計算機重定向到門戶 以用于認證�����。所公開的方法和系統(tǒng)還可應(yīng)用到DSL因特網(wǎng)連接(如從家 中或從遠程辦公室連接到公司網(wǎng)絡(luò)的雇員所使用的)或任意其他以太網(wǎng)/ 寬帶連接�。因此,網(wǎng)絡(luò)接口 34可以包括無線或有線接口�。通常,用戶終端22和VPN服務(wù)器32是利用通用計算機來實現(xiàn)的�����, 所述通用計算機以軟件被編程��,以執(zhí)行這里描述的功能����。軟件可以以電子 形式通過網(wǎng)絡(luò)被下載到計算機,例如它也可以在有形介質(zhì)(例如CD-ROM) 上被提供到計算機�。用戶終端22的功能通常與用戶的計算機上的 其他計算功能集成在一起。VPN服務(wù)器32可被實現(xiàn)為獨立單元��??商鎿Q 地,VPN服務(wù)器32的功能可以與公司網(wǎng)絡(luò)(圖中未示出)的其他計算功 能集成在一起�。遂接方法縦圖2是根據(jù)本發(fā)明的實施例,示意性地示出用于將VPN用戶連接到 VPN的方法的流程圖����。該方法通常在漫游用戶嘗試在熱點中獲得因特網(wǎng) 接入以用于連接到他或她的公司網(wǎng)絡(luò)時開始���。用戶的計算機在熱點內(nèi)被啟 動。假設(shè)該計算機被配置�����,以使得VPN客戶端在啟動之后嘗試注冊時立 即啟動�,如上所述。在隧道請求步驟40處��,VPN客戶端31經(jīng)由接口 34向VPN服務(wù)器 32發(fā)送請求消息����。在檢查步驟42處�����,VPN客戶端檢査VPN服務(wù)器是否 被成功接觸��。VPN客戶端周期性地(通常每20秒)重復(fù)步驟40和42�����。 通常��,VPN客戶端在檢查步驟42處等待若干失敗的連接請求,然后再宣 布未能建立VPN隧道���。附加地或者可替換地����,VPN客戶端31可被配置為在步驟40處接觸多 于一個VPN服務(wù)器32��,作為應(yīng)對可能的VPN服務(wù)器失敗的一種冗余手 段���。VPN客戶端31的配置可以包括限定主要和輔助VPN服務(wù)器���,或者多 個VPN服務(wù)器的列表。因此��,隧道請求步驟40可以包括接觸一個或多個 VPN服務(wù)器的嘗試序列���。如果嘗試接觸VPN服務(wù)器之一成功����,則檢查步 驟42成功�。如果沒有VPN服務(wù)器被成功地接觸,則檢査步驟42失敗。在VPN服務(wù)器和VPN服務(wù)器之間使用的消息協(xié)議可以包括任意合適 的協(xié)議���,例如HTTP或者任意基于TCP/IP或UDP的專門協(xié)議��。無論使用 什么協(xié)議���,在某些情況下,優(yōu)選地���,由VPN客戶端發(fā)送的請求消息使用 明示的IP地址而非DNS名稱以避免靜態(tài)DNS設(shè)置的問題���。可替換地����, 諸如上述Cisco SESM/SSG產(chǎn)品之類的某些系統(tǒng)提供了 "即插即用"方 案���,用于解決靜態(tài)DNS情形����,在所述DNS情形中��,客戶端被配置以服務(wù) 器DNS名稱而非IP地址。協(xié)議包括由VPN服務(wù)器經(jīng)由接口 35發(fā)送的預(yù) 定的響應(yīng)消息�,用于向VPN客戶端證明VPN服務(wù)器確實被成功接觸,并 且已經(jīng)準備好建立隧道�����。當(dāng)HTTP被選為VPN客戶端和VPN服務(wù)器之間的傳輸協(xié)議時����,尤其 需要預(yù)定的響應(yīng)消息。下面將描述�����,用戶終端22在被認證前發(fā)送的 HTTP消息通常被網(wǎng)關(guān)26利用TCP重定向重定向到門戶28�����。門戶28通常 將生成HTTP響應(yīng)消息���,而不是VPN客戶端期望從VPN服務(wù)器接收的消 息��。來自VPN服務(wù)器的預(yù)定的響應(yīng)消息使得VPN客戶端能夠忽略無關(guān)的 HTTP消息����,例如來自門戶的響應(yīng)?�?商鎿Q地��,如果在VPN客戶端和 VPN服務(wù)器之間使用除了 HTTP之外的協(xié)議�����,由VPN客戶端發(fā)送的請求 消息則非?����?赡鼙痪W(wǎng)關(guān)丟棄�。后一替換方式有時是優(yōu)選的,因為它通常不 需要改變VPN服務(wù)器���,并且可以僅僅基于VPN客戶端接觸VPN服務(wù)器 的失敗(參見以上檢査步驟42)�。在一個實施例中����,來自VPN服務(wù)器32的響應(yīng)消息是包含XML內(nèi)容 的HTTP消息����。如本領(lǐng)域公知的,VPN客戶端根據(jù)預(yù)定的XML模式來解 析XML內(nèi)容。如果XML內(nèi)容是VPN客戶端可解析的��,并且被發(fā)現(xiàn)與預(yù) 定內(nèi)容相同���,VPN客戶端則假設(shè)VPN服務(wù)器已經(jīng)被成功接觸�?����?蛇x地����, 不同的VPN服務(wù)器可以使用具有不同屬性值的相同XML模式作為預(yù)定的 響應(yīng)消息。利用這種方法���,不同的VPN可以利用相同的響應(yīng)消息被配 置��,其中每個VPN由不同的屬性值來標識����??商鎿Q地,任意其他合適的 消息內(nèi)容可被用作預(yù)定的響應(yīng)消息�����。返回圖2的描述,如果如步驟42所檢查的�����,VPN服務(wù)器己經(jīng)被成功 接觸��,VPN客戶端則在隧道建立步驟44處建立VPN隧道�����。在這一階段����, 用戶通過VPN隧道被成功連接到公司網(wǎng)絡(luò),并且該方法終止����。另一方面,如果如步驟42所檢查的�,VPN客戶端沒有接觸上VPN服 務(wù)器,VPN客戶端則假設(shè)失敗的原因是缺乏利用熱點的認證��。VPN客戶 端隨后在HTTP調(diào)用步驟46處調(diào)用HTTP客戶端33�。(雖然VPN客戶端 連續(xù)周期性地重復(fù)步驟40和42,但是步驟46通常只執(zhí)行一次����,從而不超 過一個HTTP客戶端33的實例被實際啟動。換言之���,VPN客戶端只在第 一次通過步驟42時調(diào)用HTTP客戶端�����。)HTTP客戶端33被設(shè)計成只提 供有限的功能和用戶接口����,這主要出于數(shù)據(jù)安全性的緣故���。例如���,如果在 步驟46處將調(diào)用全功能的HTTP瀏覽器,用戶則將具有訪問計算機的本 地盤驅(qū)動器的能力���,并且可以在不連接到VPN并且不受VPN控制的情況 下執(zhí)行其他未經(jīng)授權(quán)的不一定涉及網(wǎng)絡(luò)連通性的動作����。因此,HTTP客戶 端33通常不向用戶提供URL命令行��。HTTP客戶端33的唯一 目的是使能 AAA過程�,并且其功能和用戶接口因此是受限的?���?商鎿Q地,在本發(fā)明的其他應(yīng)用中�����,HTTP客戶端可以具有適合于該 應(yīng)用的附加功能���。還可替換地�����,HTTP客戶端可以包括傳統(tǒng)的客戶端����,例 如上述iPass或Boingo軟件�。當(dāng)被VPN客戶端調(diào)用時,HTTP客戶端33經(jīng)由接口 34發(fā)送任意 HTTP消息��。在重定向步驟48處,網(wǎng)關(guān)26截獲該任意消息�,將其源標識 為未經(jīng)認證的計算機����,并將該計算機重定向到門戶28以用于認證。通 常���,重定向是利用TCP重定向過程來實現(xiàn)的����。如上所述�,VPN客戶端31可以繼續(xù)嘗試與步驟46-52并行地接觸 VPN服務(wù)器。由于用戶終端22尚未被門戶受權(quán)���,因此由VPN客戶端發(fā)送 的請求消息通常被網(wǎng)關(guān)26丟棄�����。在AAA步驟50處���,門戶28與HTTP客戶端33通信,以用于認證和
授權(quán)用戶終端22�。具體而言�����,門戶要求用戶提供計費信息��,該計費信息 將使得熱點運營商能夠?qū)τ脩舻囊蛱鼐W(wǎng)接入進行計費��。用于認證用戶和對 用戶對計算機網(wǎng)絡(luò)的接入計費的若干方法是本領(lǐng)域公知的����,并且這種的任意合適的方法可被用于實現(xiàn)步驟50���。例如�,可以利用HTTP客戶端33的 GUI (圖形用戶界面)來提示用戶輸入她或他的信用卡信息�����??商鎿Q地, 可以要求用戶利用有效的用戶名或其他憑證來注冊����。憑證將用戶標識為注 冊到熱點運營商(或注冊到與熱點運營商之間有漫游協(xié)議的服務(wù)提供商) 的賬戶的所有者。還可替換地或者附加地,HTTP客戶端33可被預(yù)先配置 以必需的信息�,從而步驟50在無需任何用戶交互的情況下發(fā)生。門戶可以核實用戶提供的計費信息和/或應(yīng)用本領(lǐng)域公知的用于核實 用戶身份的附加認證或授權(quán)方法�。在一個實施例中,在步驟50的結(jié)論 處�,HTTP客戶端可以向用戶呈現(xiàn)GUI消息,該GUI消息指示認證和授 權(quán)完成并且現(xiàn)在可以建立VPN隧道����。在完成步驟50的AAA過程之后����,門戶28通知網(wǎng)關(guān)26用戶終端22 已被授權(quán)經(jīng)由熱點接入因特網(wǎng)。(在某些情況下��,網(wǎng)關(guān)26是認證和授權(quán) 流的一部分�����。在這些情況下���,門戶請求網(wǎng)關(guān)認證和授權(quán)用戶終端��。如果成 功��,網(wǎng)關(guān)則通知門戶用戶終端被認證和授權(quán)����。)在接入使能步驟52處,網(wǎng)關(guān)響應(yīng)于門戶的批準來使能用戶終端22的 因特網(wǎng)接入����。在這一階段,由用戶終端22發(fā)送的所有消息都被通過網(wǎng)關(guān) 26發(fā)送到它們在因特網(wǎng)上的目的地�����。具體而言���,從VPN客戶端31到 VPN服務(wù)器32的請求消息現(xiàn)在被允許到達VPN服務(wù)器�。如上所述�����,VPN 客戶端31可能已經(jīng)與步驟46-52中所述的認證過程并行地連續(xù)周期性地 發(fā)送這些請求消息����。可替換地����,HTTP客戶端33可以提示VPN客戶端步 驟50完成��。在任意情況下�����,該方法都以VPN客戶端在隧道建立步驟44 處建立VPN隧道而終止����。雖然上面公開的方法和系統(tǒng)主要解決用戶利用VPN通過因特網(wǎng)到公 司網(wǎng)絡(luò)的連接�����,但是本發(fā)明的原理還可以與其他應(yīng)用結(jié)合使用�����,所述其他 應(yīng)用涉及將用戶經(jīng)由公共網(wǎng)絡(luò)安全地連接到私有網(wǎng)絡(luò)�。因此��,將會意識 到����,上述實施例是以示例的方式提出的,并且本發(fā)明并不局限于上面具體
所述并示出的部分。相反�,本發(fā)明的范圍包括上述各個特征的組合和子組 合,以及本領(lǐng)域技術(shù)人員在閱讀了以上描述之后將想到的沒有在現(xiàn)有技術(shù) 中公開的變化和修改���。
權(quán)利要求
1.一種用于將用戶計算機連接到第一計算機網(wǎng)絡(luò)的方法�,包括由所述用戶計算機經(jīng)由第二計算機網(wǎng)絡(luò)發(fā)送請求連接到所述第一計算機網(wǎng)絡(luò)的連接請求�;響應(yīng)于所述連接請求的失敗,自動請求所述第二計算機網(wǎng)絡(luò)授權(quán)所述用戶計算機���;以及在被所述第二計算機網(wǎng)絡(luò)授權(quán)之后����,經(jīng)由所述第二計算機網(wǎng)絡(luò)建立所述用戶計算機和所述第一計算機網(wǎng)絡(luò)之間的連接�。
2. 如權(quán)利要求1所述的方法,其中所述第一計算機網(wǎng)絡(luò)包括私有網(wǎng) 絡(luò)��,并且其中建立所述連接包括通過所述第二計算機網(wǎng)絡(luò)建立到所述私有 網(wǎng)絡(luò)的隧道���。
3. 如權(quán)利要求2所述的方法�����,其中所述私有網(wǎng)絡(luò)包括VPN (虛擬私有 網(wǎng)絡(luò))��,并且其中所述第二計算機網(wǎng)絡(luò)包括公共網(wǎng)絡(luò)���。
4. 如前述權(quán)利要求中的任意一個所述的方法�����,其中經(jīng)由所述第二計算 機網(wǎng)絡(luò)發(fā)送所述連接請求包括經(jīng)由熱點中的無線連接請求因特網(wǎng)接入�。
5. 如前述權(quán)利要求中的任意一個所述的方法�,其中發(fā)送所述連接請求 包括周期性地發(fā)送所述請求,直到所述第二計算機網(wǎng)絡(luò)的授權(quán)完成為止���。
6. 如前述權(quán)利要求中的任意一個所述的方法�����,其中自動請求所述第二 計算機網(wǎng)絡(luò)包括在所述連接請求失敗后,調(diào)用專門的授權(quán)客戶端來用于在 所述第二計算機網(wǎng)絡(luò)中授權(quán)所述用戶計算機����。
7. 如權(quán)利要求6所述的方法,其中所述授權(quán)客戶端被配置為利用超文 本傳輸協(xié)議(HTTP)與所述第二計算機網(wǎng)絡(luò)通信�。
8. 如權(quán)利要求6或7所述的方法,其中所述授權(quán)客戶端被配置為準許 用戶只執(zhí)行與授權(quán)相關(guān)的動作�,直到所述第二計算機網(wǎng)絡(luò)對所述用戶計算 機的授權(quán)完成為止��。
9. 如前述權(quán)利要求中的任意一個所述的方法����,其中在所述用戶計算機 和所述第一計算機網(wǎng)絡(luò)之間建立所述連接包括在所述用戶計算機處響應(yīng)于 所述連接請求接收來自所述第一計算機網(wǎng)絡(luò)的預(yù)定XML內(nèi)容�,并且根據(jù) 預(yù)定的XML模式來解析所述XML內(nèi)容,以便核實所述XML內(nèi)容��。
10. 如前述權(quán)利要求中的任意一個所述的方法�,其中請求所述第二計 算機網(wǎng)絡(luò)包括致使所述第二計算機網(wǎng)絡(luò)請求并接收來自所述用戶計算機的 計費信息。
11. 一種用于將用戶連接到第一計算機網(wǎng)絡(luò)的裝置�����,包括 網(wǎng)絡(luò)接口����,其被布置為與第二計算機網(wǎng)絡(luò)通信;以及用戶終端�����,其被耦合到所述網(wǎng)絡(luò)接口����,以便經(jīng)由所述第二計算機網(wǎng)絡(luò) 發(fā)送請求連接到所述第一計算機網(wǎng)絡(luò)的連接請求��,并且該用戶終端被布置 為響應(yīng)于所述連接請求的失敗���,自動請求所述第二計算機網(wǎng)絡(luò)授權(quán)所述用 戶終端,并且在所述第二計算機網(wǎng)絡(luò)授權(quán)之后�,經(jīng)由所述第二計算機網(wǎng)絡(luò) 在所述用戶終端和所述第一計算機網(wǎng)絡(luò)之間建立連接。
12. 如權(quán)利要求11所述的裝置�����,其中所述第一計算機網(wǎng)絡(luò)包括私有網(wǎng) 絡(luò)�����,并且其中所述用戶終端被布置為通過所述第二計算機網(wǎng)絡(luò)建立到所述 私有網(wǎng)絡(luò)的隧道�。
13. 如權(quán)利要求12所述的裝置,其中所述私有網(wǎng)絡(luò)包括VPN (虛擬私 有網(wǎng)絡(luò))����,并且其中所述第二計算機網(wǎng)絡(luò)包括公共網(wǎng)絡(luò)。
14. 如權(quán)利要求11-13中任意一個所述的裝置���,其中所述網(wǎng)絡(luò)接口包括 無線接口,并且其中所述用戶終端被布置為經(jīng)由熱點中的無線連接來請求 因特網(wǎng)接入���。
15. 如權(quán)利要求11-14中任意一個所述的裝置�����,其中所述用戶終端被布 置為周期性地發(fā)送所述連接請求���,直到所述第二計算機網(wǎng)絡(luò)的授權(quán)完成為 止����。
16. 如權(quán)利要求11-15中任意一個所述的裝置��,其中所述用戶終端被配 置為在所述連接請求失敗后調(diào)用授權(quán)客戶端�����,其中所述授權(quán)客戶端被布置 為在所述第二計算機網(wǎng)絡(luò)中授權(quán)所述用戶計算機����。
17. 如權(quán)利要求16所述的裝置,其中所述授權(quán)客戶端被布置為利用超 文本傳輸協(xié)議(HTTP)與所述第二計算機網(wǎng)絡(luò)通信���。
18. 如權(quán)利要求16或17所述的裝置����,其中所述授權(quán)客戶端被布置為 允許所述裝置的用戶僅執(zhí)行與授權(quán)有關(guān)的動作,直到所述第二計算機網(wǎng)絡(luò)對所述用戶終端的授權(quán)完成為止�。
19. 如權(quán)利要求11-18中任意一個所述的裝置,其中所述用戶終端被布 置為響應(yīng)于所述連接請求從所述第一計算機網(wǎng)絡(luò)接收預(yù)定的XML內(nèi)容����,并且根據(jù)預(yù)定的XML模式解析所述XML內(nèi)容,以便核實所述XML內(nèi) 容��。
20. 如權(quán)利要求11-19中任意一個所述的裝置���,其中所述用戶終端被布 置為致使所述第二計算機網(wǎng)絡(luò)請求和接收來自所述用戶計算機的計費信 息��。
21. —種用于將用戶計算機連接到第一計算機網(wǎng)絡(luò)的通信服務(wù)器����,包括網(wǎng)絡(luò)接口�,其被布置為與第二計算機網(wǎng)絡(luò)通信;以及 通信處理器�����,其被耦合到所述網(wǎng)絡(luò)接口�����,以便經(jīng)由所述第二計算機網(wǎng) 絡(luò)接收從所述用戶計算機發(fā)送的請求連接到所述第一計算機網(wǎng)絡(luò)的連接請 求�,并且向所述用戶計算機發(fā)送預(yù)定的XML內(nèi)容,以便經(jīng)由所述第二計 算機網(wǎng)絡(luò)在所述用戶計算機和所述第一計算機網(wǎng)絡(luò)之間建立連接�����。
22. —種用于將用戶計算機連接到第一計算機網(wǎng)絡(luò)的計算機軟件產(chǎn) 品���,該產(chǎn)品包括存儲有程序指令的計算機可讀介質(zhì)�,所述指令在被所述用 戶計算機執(zhí)行時致使所述用戶計算機經(jīng)由第二計算機網(wǎng)絡(luò)發(fā)送請求連接到 所述第一計算機網(wǎng)絡(luò)的連接請求��,并且響應(yīng)于所述連接請求的失敗�,自動 請求所述第二計算機網(wǎng)絡(luò)授權(quán)所述用戶計算機,以及在被所述第二計算機 網(wǎng)絡(luò)授權(quán)之后���,經(jīng)由所述第二計算機網(wǎng)絡(luò)建立所述用戶計算機和所述第一 計算機網(wǎng)絡(luò)之間的連接����。
23. —種用于將用戶計算機連接到第一計算機網(wǎng)絡(luò)的裝置����,包括用于由所述用戶計算機經(jīng)由第二計算機網(wǎng)絡(luò)發(fā)送請求連接到所述第一 計算機網(wǎng)絡(luò)的連接請求的裝置;響應(yīng)于所述連接請求的失敗,用于自動請求所述第二計算機網(wǎng)絡(luò)授權(quán) 所述用戶計算機的裝置����;以及在被所述第二計算機網(wǎng)絡(luò)授權(quán)之后,用于經(jīng)由所述第二計算機網(wǎng)絡(luò)建 立所述用戶計算機和所述第一計算機網(wǎng)絡(luò)之間的連接的裝置�����。
全文摘要
一種用于將用戶計算機(22)連接到第一計算機網(wǎng)絡(luò)的方法��,包括由所述用戶計算機經(jīng)由第二計算機網(wǎng)絡(luò)(30)發(fā)送請求連接到第一計算機網(wǎng)絡(luò)的連接請求�����。響應(yīng)于連接請求的失敗��,第二計算機網(wǎng)絡(luò)被自動請求授權(quán)所述用戶計算機����。在被第二計算機網(wǎng)絡(luò)授權(quán)之后,經(jīng)由第二計算機網(wǎng)絡(luò)在用戶計算機和第一計算機網(wǎng)絡(luò)之間建立連接�����。
文檔編號H04L29/06GK101133618SQ200680006474
公開日2008年2月27日 申請日期2006年3月29日 優(yōu)先權(quán)日2005年4月19日
發(fā)明者陳·葉赫克爾·布爾沙恩 申請人:思科技術(shù)公司