專利名稱:認(rèn)證網(wǎng)關(guān)的自發(fā)起端到端監(jiān)控的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)認(rèn)證網(wǎng)關(guān)�����。
背景技術(shù):
強(qiáng)制網(wǎng)絡(luò)門戶(captive-portal)技術(shù)強(qiáng)制網(wǎng)絡(luò)上的HTTP客戶端的用戶在前進(jìn)到因特網(wǎng)進(jìn)行正常瀏覽之前觀看特定web頁面(例如�����,出于認(rèn)證目的)��。通常����,這種技術(shù)截取無論地址或端口為何的所有分組,直到用戶打開web瀏覽器(例如��,Internet Explorer或Mozilla Firefox)并試圖訪問因特網(wǎng)為止���。此時(shí)����,瀏覽器被重導(dǎo)向至可能需要認(rèn)證的web頁面。大多數(shù)Wi-Fi熱點(diǎn)都利用某種形式的強(qiáng)制網(wǎng)絡(luò)門戶�����,但是強(qiáng)制網(wǎng)絡(luò)門戶也可用于控制有線訪問(例如����,在公寓屋內(nèi)�、在旅館房間內(nèi)、和在商業(yè)中心)���。
因?yàn)閣eb主機(jī)的登錄頁面自身被呈現(xiàn)給客戶端的用戶�,所以登錄頁面在本地被存儲在執(zhí)行強(qiáng)制網(wǎng)絡(luò)門戶的接入網(wǎng)關(guān)中���,或者作為登錄頁面主機(jī)的服務(wù)器經(jīng)由圍墻花園(walled garden )而被"列入白名單"(whitelisted)以繞開認(rèn)證處理�。
強(qiáng)制網(wǎng)絡(luò)門戶通常輔助執(zhí)行付款結(jié)構(gòu)��。但是����,強(qiáng)制網(wǎng)絡(luò)門戶在免費(fèi)無線網(wǎng)絡(luò)中正變得越來越普遍�����,在免費(fèi)無線網(wǎng)絡(luò)中�����,取代對用戶進(jìn)行認(rèn)證��,強(qiáng)制網(wǎng)絡(luò)門戶通常與使用條款一起顯示來自ISP提供商的消息�����,并要求用戶同意��。
許多強(qiáng)制網(wǎng)絡(luò)門戶要求客戶端的用戶通過SSL加密的登錄頁面��,在那之后客戶端的IP和MAC地址被允許通過接入網(wǎng)關(guān)��。因此�����, 一些平臺不支持強(qiáng)制網(wǎng)絡(luò)門戶��,例如��,包括Wi-Fi和TCP/IP棧但是不包括利用HTTPS的web瀏覽器的游戲平臺�����。
端到端監(jiān)控是這樣的處理�����,其就像實(shí)際端用戶會做的那樣嘗試遠(yuǎn)程訪問web服務(wù)器或其它因特網(wǎng)設(shè)備以驗(yàn)證該服務(wù)器為可訪問并總是正確運(yùn)作����。該方法可以取代由web或系統(tǒng)管理員運(yùn)行的本地監(jiān)控軟件而被使用,
或者作為對該本地監(jiān)控軟件的補(bǔ)充���。
圖1是示出可結(jié)合本發(fā)明一些實(shí)施例使用的網(wǎng)絡(luò)環(huán)境的示圖。
圖2是示出服務(wù)器裝備(appliance)的硬件系統(tǒng)體系結(jié)構(gòu)的示圖��,該服務(wù)器裝備可以包括本發(fā)明 一些實(shí)施例中的認(rèn)證網(wǎng)關(guān)��。
圖3A和3B相組合是示出用于監(jiān)控認(rèn)證網(wǎng)關(guān)的示例處理的框圖-序列圖�,其中的序列可結(jié)合本發(fā)明實(shí)施例來使用。
圖4是示出示例性監(jiān)控處理的流程圖的示圖���,其中的處理可以由本發(fā)明 一些實(shí)施例中的認(rèn)證網(wǎng)關(guān)執(zhí)行����。
圖5是示出示例性監(jiān)控處理的流程圖的示圖,其中的處理可以由本發(fā)明 一些實(shí)施例中的客戶端執(zhí)行�。
具體實(shí)施例方式
在特定實(shí)施例中,本發(fā)明提供了涉及自動(dòng)化的�����、端到端監(jiān)控一個(gè)自發(fā)起監(jiān)控的認(rèn)證網(wǎng)關(guān)的方法����、裝置和系統(tǒng)。以下示例實(shí)施例是結(jié)合裝置����、方法和系統(tǒng)來描述并圖示的,這些裝置�����、方法和系統(tǒng)應(yīng)該是示例和說明性的���,而非限制范圍�。
A.網(wǎng)絡(luò)環(huán)境
圖1是示出可以結(jié)合本發(fā)明的一些實(shí)施例使用的網(wǎng)絡(luò)環(huán)境的示圖。該網(wǎng)絡(luò)包括與交換機(jī)和接入點(diǎn)(AP) 102相連的若干客戶端101�����。在特定實(shí)施例中�,客戶端101之一可以是參與下文描述的監(jiān)控處理的軟件代理。交換機(jī)或AP 102進(jìn)而與認(rèn)證網(wǎng)關(guān)103相連�,以下將進(jìn)一步詳細(xì)描述認(rèn)證網(wǎng)關(guān)103。在特定實(shí)施例中�����,認(rèn)證網(wǎng)關(guān)103可以是具有如下兩個(gè)網(wǎng)絡(luò)接口的雙宿(dual-homed)設(shè)備(1)用于客戶端101的內(nèi)部接口�;禾Q (2)用于諸如因特網(wǎng)之類的網(wǎng)絡(luò)的外部接口。
認(rèn)證網(wǎng)關(guān)103與路由器104相連�,路由器104與網(wǎng)絡(luò)(例如因特網(wǎng))105相連。與網(wǎng)絡(luò)相連的還有RADIUS (遠(yuǎn)程認(rèn)證撥號用戶設(shè)備)服務(wù)器���,并且也許還有信用卡服務(wù)器107,該信用卡服務(wù)器107可以結(jié)合來自客戶端IOI之一的用戶的付款被使用���。將會了解�,可以使用RADIUS服務(wù)器來執(zhí)行針對網(wǎng)絡(luò)訪問的AAA (認(rèn)證、授權(quán)��、計(jì)費(fèi))協(xié)議�。
在一些實(shí)施例中,認(rèn)證網(wǎng)關(guān)是將來自客戶端計(jì)算機(jī)的web訪問重新導(dǎo)向?qū)τ脩暨M(jìn)行認(rèn)證的web頁面的服務(wù)管理網(wǎng)關(guān)�����。 一旦網(wǎng)關(guān)認(rèn)證了用戶���,網(wǎng)關(guān)就授權(quán)用戶訪問受該網(wǎng)關(guān)控制的網(wǎng)絡(luò)�。通常認(rèn)證網(wǎng)關(guān)被部署在諸如醫(yī)院之類的環(huán)境中用于向顧客付款以訪問因特網(wǎng)����。 一些機(jī)構(gòu)使用認(rèn)證網(wǎng)關(guān)來向顧客信息中心處的和機(jī)構(gòu)場地中的其它地方處的訪客提供因特網(wǎng)連接性。
B.認(rèn)證網(wǎng)關(guān)的系統(tǒng)體系結(jié)構(gòu)
出于說明的目的���,圖2圖示了諸如例如桌上型或IRU (One RackUnit)之類的服務(wù)器裝備的硬件系統(tǒng)200�����,該硬件系統(tǒng)200可以包括在本發(fā)明一些實(shí)施例中的認(rèn)證網(wǎng)關(guān)���。通常,裝備包括具有操作系統(tǒng)的成品計(jì)算機(jī),該計(jì)算機(jī)的機(jī)盒和用戶接口被設(shè)計(jì)為使得用戶無法觸及該計(jì)算機(jī)上的除應(yīng)用接口之外的任何東西�����。由于基礎(chǔ)計(jì)算體系結(jié)構(gòu)實(shí)質(zhì)上被鎖定�����,所以人們難以辨明設(shè)備實(shí)際上在通用硬件和操作系統(tǒng)軟件上運(yùn)作�����?����;贚inux或Windows的操作系統(tǒng)通常被用作這樣的裝備的操作系統(tǒng)��。
本發(fā)明的其它實(shí)施例可以僅僅包括在通用計(jì)算機(jī)上執(zhí)行的軟件�����,而非裝備�。同樣地,在一些實(shí)施例中����,以下描述的測試處理利用了客戶端。這樣的客戶端也可以是通用計(jì)算機(jī)��。與適用服務(wù)器裝備一樣���,圖2所示的硬件系統(tǒng)同樣也適用通用計(jì)算機(jī)�。
在一個(gè)實(shí)施例中��,硬件系統(tǒng)200包括處理器202��、緩存存儲器204以及涉及這里所描述的功能的一個(gè)或多個(gè)軟件應(yīng)用和驅(qū)動(dòng)器���。另外����,硬件系統(tǒng)200還包括高性能輸入/輸出(I/O)總線206以及標(biāo)準(zhǔn)I/O總線208����。主機(jī)橋210將處理器202耦合至高性能I/O總線206,而I/O總線橋212將兩個(gè)總線206和208相互耦合�����。系統(tǒng)存儲器214和多個(gè)網(wǎng)絡(luò)/通信接口 216與總線206耦合。硬件系統(tǒng)還可以包括視頻存儲器(未示出)和與該視頻存儲器耦合的顯示設(shè)備��。海量存儲裝置218和I/O端口 220與總線208耦合��。在一些但不是所有實(shí)施例中����,硬件系統(tǒng)200也可以包括與總線208耦合的鍵盤和點(diǎn)選設(shè)備222以及顯示器224。共同地�����,這些元件意圖代表廣泛類別的計(jì)算機(jī)硬件系統(tǒng)���,包括但不限于基于由加州圣他克拉市的Intel公司制造的x86兼容處理器�、由位于加州桑尼維爾市的Advanced MicroDevices (AMD)公司制造的x86兼容處理器�、以及任何其它合適處理器的通用計(jì)算機(jī)系統(tǒng)。
以下將更詳細(xì)描述硬件系統(tǒng)200的元件�。特別地,網(wǎng)絡(luò)接口 216提供了硬件系統(tǒng)200與各種網(wǎng)絡(luò)中的任意網(wǎng)絡(luò)(例如�,以太網(wǎng)(例如,IEEE802.3)網(wǎng)絡(luò)等)之間的通信����。海量存儲裝置218為用以執(zhí)行在RF覆蓋圖發(fā)生器中實(shí)現(xiàn)的上述功能的數(shù)據(jù)和程序指令提供永久存儲��,而系統(tǒng)存儲器214 (例如����,DRAM)為被處理器202執(zhí)行時(shí)的數(shù)據(jù)和程序指令提供臨時(shí)存儲����。1/0端口 220是一個(gè)或多個(gè)串行和/或并行通信端口���,其提供了附加外圍設(shè)備之間的通信����,這些附加外圍設(shè)備可以與硬件系統(tǒng)200耦合�����。
硬件系統(tǒng)200可以包括各種系統(tǒng)體系結(jié)構(gòu)�;并且硬件系統(tǒng)200的各個(gè)組件可被重新配置。例如��,緩存204可以與處理器202 —起在片上(onchip)�。或者�,緩存204和處理器202可被封裝在一起作為"處理器模塊"���,其中處理器202被稱為"處理器核"。此外�,本發(fā)明的特定實(shí)施例可以不需要也不包括所有以上組件。例如�,被示出為與標(biāo)準(zhǔn)I/O總線208耦合的外圍設(shè)備可以與高性能I/O總線206耦合。另外�,在一些實(shí)施例中,可以僅存在單個(gè)總線�����,硬件系統(tǒng)200的組件都與該單個(gè)總線耦合����。此外,硬件系統(tǒng)200可以包括諸如附加處理器��、存儲設(shè)備或存儲器之類的附加組件����。
如上所述,在特定實(shí)施例中����,這里所描述的處理可被實(shí)現(xiàn)為由硬件系統(tǒng)200運(yùn)行的一系列軟件例程����。這些軟件例程包括要由硬件系統(tǒng)中的處理器(例如���,處理器202)執(zhí)行的多個(gè)指令或一系列指令����。起初�,該一系列指令被存儲在諸如海量存儲裝置218之類的存儲設(shè)備上���。但是���,該一系列指令可被存儲在任何合適的存儲介質(zhì)上,例如����,磁盤、CD-ROM�����、 ROM�����、EEPROM等。此外����,該一系列指令不必存儲在本地,而可以經(jīng)由網(wǎng)絡(luò)/通信接口 216從諸如網(wǎng)絡(luò)上的服務(wù)器之類的遠(yuǎn)程存儲設(shè)備接收����。指令被從諸如海量存儲裝置218之類的存儲設(shè)備復(fù)制到存儲器214中,隨后被處理器202訪問并執(zhí)行��。
8操作系統(tǒng)管理并控制硬件系統(tǒng)200的操作����,包括向和從軟件應(yīng)用(未 示出)輸入和輸出數(shù)據(jù)。操作系統(tǒng)提供要在系統(tǒng)上執(zhí)行的軟件應(yīng)用和系統(tǒng) 的硬件組件之間的接口��。本發(fā)明可以結(jié)合任何合適的操作系統(tǒng)來使用���,例 如可從華盛頓州瑞德蒙市的Microsoft公司獲得的Windows 95/98/NT/2000/XP/Vista操作系統(tǒng)�����、可從加州庫比蒂諾市的Apple公司獲得 的Apple Macintosh操作系統(tǒng)���、UNIX操作系統(tǒng)�����、Linux等�����。
C.監(jiān)控認(rèn)證網(wǎng)關(guān)的處理
圖3A和3B是示出監(jiān)控認(rèn)證網(wǎng)關(guān)的示例性序列的組合框圖-序列圖�, 其中的序列可結(jié)合本發(fā)明的實(shí)施例使用�。如圖所示����,認(rèn)證網(wǎng)關(guān)在與因特網(wǎng) 相連的網(wǎng)關(guān)子網(wǎng)中操作。認(rèn)證網(wǎng)關(guān)的代理(例如�,在客戶端上運(yùn)行的進(jìn) 程)在通過交換機(jī)或AP與認(rèn)證網(wǎng)關(guān)相連的客戶端子網(wǎng)中操作,如圖1所
不o
在一些實(shí)施例中��,客戶端可以是專用于運(yùn)行作為其主應(yīng)用的該代理的
客戶端�����。在一個(gè)實(shí)現(xiàn)方式中,該代理可以包括用以監(jiān)控從一個(gè)或多個(gè)認(rèn) 證網(wǎng)關(guān)發(fā)送而來的測試發(fā)起消息的服務(wù)器模塊����、操作來發(fā)送消息以訪問遠(yuǎn) 程網(wǎng)絡(luò)資源的客戶端模塊、以及操作來記錄訪問的一個(gè)或多個(gè)事件或?qū)傩?的曰志模塊���。在特定實(shí)施例中��,代理將嘗試使用由網(wǎng)關(guān)發(fā)送到其的證書來 訪問受認(rèn)證網(wǎng)關(guān)控制的網(wǎng)絡(luò)���。另外,代理將記錄在訪問嘗試期間檢測到的 一個(gè)或多個(gè)事件(例如�,失敗登錄),并使用已有的或新的連接來向認(rèn)證 網(wǎng)關(guān)報(bào)告訪問嘗試的結(jié)果和檢測到的事件�。
如圖3A和3B所示,認(rèn)證網(wǎng)關(guān)可以包括若干模塊(a)網(wǎng)關(guān)監(jiān)控
器�����;(b)認(rèn)證入口���;(C)流量過濾器��;和(d)用戶數(shù)據(jù)庫���。在圖3A和
3B所示的示例序列的步驟1中��,網(wǎng)關(guān)監(jiān)控器生成臨時(shí)的或一次性的證書
(例如��,使用隨機(jī)數(shù)發(fā)生器來創(chuàng)建例如用戶名和密碼對)�,并將證書存儲
在用戶數(shù)據(jù)庫中�。在步驟2中,在指示流量過濾器允許傳輸包含臨時(shí)證書
的消息和來自代理的應(yīng)答(例如�����,來自客戶端地址的消息)之后�,網(wǎng)關(guān)監(jiān)
控器對臨時(shí)證書進(jìn)行加密,并使用HTTPS URI方案將它們發(fā)送到代理��。 在沒有這樣的指令的情況下�����,流量過濾器將阻止來自客戶端子網(wǎng)的所有流 量(例如�,使用端口 80的web流量)����,并將其重新導(dǎo)向認(rèn)證入口。在接收到包含臨時(shí)證書的消息時(shí),在步驟3中代理對它們進(jìn)行解密��。
在步驟4中�,代理嘗試訪問遠(yuǎn)程網(wǎng)絡(luò)資源,在假設(shè)認(rèn)證網(wǎng)關(guān)正正確運(yùn)作的 情況下���,該嘗試訪問將引起以下操作(a)流量過濾器利用強(qiáng)制網(wǎng)絡(luò)門 戶來應(yīng)答(例如����,其阻止訪問嘗試并將其重新導(dǎo)向)�����;(b)代理嘗試?yán)?用臨時(shí)證書來登錄�����;和(c)在利用用戶數(shù)據(jù)庫對臨時(shí)證書進(jìn)行驗(yàn)證之 后����,認(rèn)證入口準(zhǔn)許代理訪問。在步驟5中�����,代理驗(yàn)證認(rèn)證網(wǎng)關(guān)的響應(yīng)的正 確性,之后在步驟6中�����,驗(yàn)證對遠(yuǎn)程網(wǎng)絡(luò)資源的訪問�����。如果驗(yàn)證成功�,則 在步驟8中斷開連接之前,代理在步驟7中使用HTTPS URI方案來向網(wǎng)關(guān) 監(jiān)控器確認(rèn)這些驗(yàn)證�。然后在步驟9中,網(wǎng)關(guān)監(jiān)控器從用戶數(shù)據(jù)庫移除這 些臨時(shí)證書��。如果驗(yàn)證不成功���,則網(wǎng)關(guān)監(jiān)控器在步驟10中例如通過重新 開始服務(wù)棧上的進(jìn)程或者甚至重新啟動(dòng)(reboot)來(例如通過電子郵 件)通知系統(tǒng)管理員或者嘗試自己連接�����。
在特定實(shí)施例中,圖3A和3B所示的監(jiān)控將按由系統(tǒng)管理員確定的預(yù) 定周期來發(fā)生����。在其它實(shí)施例中�,圖3A和3B所示的監(jiān)控可以由特定事件 (例如由系統(tǒng)管理員手動(dòng)干預(yù))來觸發(fā)(例如��, 一經(jīng)請求就觸發(fā))��。
圖4是示出示例性監(jiān)控處理的流程圖的示圖��,該處理可由本發(fā)明一些 實(shí)施例中的認(rèn)證網(wǎng)關(guān)執(zhí)行�。將會了解,圖4描述了與針對圖3A和3B中的 認(rèn)證網(wǎng)關(guān)的模塊而示出的那些步驟相似的步驟����。在圖4所示的第一步驟 401中,網(wǎng)關(guān)監(jiān)控器創(chuàng)建臨時(shí)用戶登錄(例如�����,用戶名和密碼���、訪問代 碼�����、或者由挑戰(zhàn)-響應(yīng)認(rèn)證協(xié)議建立的其它響應(yīng))并將其存儲在數(shù)據(jù)庫中�。 然后在步驟402中����,網(wǎng)關(guān)監(jiān)控器使用諸如HTTPS之類的安全連接向客戶 端上的代理發(fā)送經(jīng)過加密的登錄信息��。在步驟403中����,網(wǎng)關(guān)監(jiān)控器等待代 理作出響應(yīng)����。當(dāng)客戶端作出響應(yīng)時(shí),網(wǎng)關(guān)監(jiān)控器前往步驟404�,并應(yīng)用預(yù) 定登錄和報(bào)告策略,例如�����,圖3A和3B所示的策略���,其向用戶呈現(xiàn)強(qiáng)制網(wǎng) 絡(luò)門戶�����。
因此����,在一些實(shí)施例中��,網(wǎng)關(guān)監(jiān)控器可以向客戶端呈現(xiàn)強(qiáng)制網(wǎng)絡(luò)門 戶�。客戶端隨后將嘗試登錄并訪問網(wǎng)絡(luò)上的站點(diǎn)����,并且將報(bào)告就被允許登 錄或者訪問網(wǎng)絡(luò)而言的任何故障。在其它實(shí)施例中�,預(yù)定登錄和報(bào)告策略 可以涉及與使用條款有關(guān)的web頁面,這些web頁面由網(wǎng)關(guān)監(jiān)控器連同強(qiáng)制網(wǎng)絡(luò)門戶來發(fā)送給客戶端��。除了報(bào)告未能被允許登錄或訪問網(wǎng)絡(luò)之外����,
客戶端還將報(bào)告網(wǎng)關(guān)監(jiān)控器未能正確序列顯示所有web頁面。g卩��,在一個(gè)
實(shí)現(xiàn)方式中�����,客戶端可配置有應(yīng)當(dāng)在登錄期間遇到的期望的消息和/或頁面 序列����?�?蛻舳丝梢栽谝韵碌尿?yàn)證報(bào)告中發(fā)送對所遇到的頁面(或者未遇到 那些頁面)的指示�。
如果在步驟403中客戶端在預(yù)定時(shí)間段內(nèi)未作響應(yīng)���,則在一些實(shí)施例 中��,網(wǎng)關(guān)監(jiān)控器可以重新發(fā)送臨時(shí)用戶登錄或者利用電子郵件通知系統(tǒng)管 理員���。當(dāng)在步驟405中網(wǎng)關(guān)監(jiān)控器從存儲裝置移除該臨時(shí)用戶登錄時(shí),處 理結(jié)束��。
在步驟402中��,網(wǎng)關(guān)監(jiān)控器使用諸如使用SSL (安全套接字層)的 HTTPS之類的安全連接來向客戶端發(fā)送臨時(shí)用戶登錄��。在其它實(shí)施例中�����, 網(wǎng)關(guān)監(jiān)控器可以使用諸如AES (高級加密標(biāo)準(zhǔn))之類的加密標(biāo)準(zhǔn)和與客戶 端上運(yùn)行的代理模塊共享的密鑰來加密臨時(shí)用戶登錄��。其它實(shí)施例還可以 使用用于保證認(rèn)證網(wǎng)關(guān)和客戶端之間的連接的安全的其它手段��。類似地, 當(dāng)發(fā)送臨時(shí)用戶登錄時(shí)����,網(wǎng)關(guān)監(jiān)控器可以使用具有http備用端口 (端口 8080)的HTTP協(xié)議。
另外�,在圖4的步驟401中��,網(wǎng)關(guān)監(jiān)控器將臨時(shí)用戶登錄存儲在數(shù)據(jù) 庫中�����,并在步驟408將其移除�。在一些實(shí)施例中,數(shù)據(jù)庫可以是圖3A和 3B所示的用戶數(shù)據(jù)庫���。在其它實(shí)施例中����,數(shù)據(jù)庫可以在如圖1所示的 RADIUS服務(wù)器上���。
圖5是示出示例性監(jiān)控處理的流程圖的示圖��,該處理可以由本發(fā)明一 些實(shí)施例中的客戶端執(zhí)行�����。將會了解���,圖5描述了與針對在圖3A和3B的 客戶端上運(yùn)行的代理而示出的那些步驟相似的步驟��。在圖5所示的第一步 驟501中���,代理監(jiān)控其消息,等待接收測試發(fā)起消息��。當(dāng)接收到這樣的消 息時(shí)�����,在步驟502中代理判斷該消息是否有效(例如���,該消息是否包含登 錄信息)�����。如果無效����,則代理前進(jìn)到步驟506,并將該故障報(bào)告給認(rèn)證網(wǎng) 關(guān)���。如果測試發(fā)起消息有效����,則代理前進(jìn)到步驟503�����,并嘗試訪問受認(rèn)證 網(wǎng)關(guān)控制的網(wǎng)絡(luò)(例如�,因特網(wǎng))上的可配置站點(diǎn)���。在步驟504中��,代理 判斷其訪問該站點(diǎn)的權(quán)限是否被認(rèn)證網(wǎng)關(guān)質(zhì)疑(challenge)���。如果未被質(zhì)
ii疑,則代理再次前進(jìn)到步驟506���,并將該故障報(bào)告給認(rèn)證網(wǎng)關(guān)����。否則,如 果接收到質(zhì)疑����,則代理前進(jìn)到步驟505,并利用在測試發(fā)起消息中接收的 登錄信息來作出響應(yīng)�����。然后����,如果對站點(diǎn)的訪問得到準(zhǔn)許,則代理前進(jìn)到 步驟506�����,并向認(rèn)證網(wǎng)關(guān)發(fā)送報(bào)告以報(bào)告成功��。否則��,如果訪問未得到準(zhǔn) 許����,則代理在步驟506向認(rèn)證網(wǎng)關(guān)報(bào)告故障。在一些實(shí)施例中��,代理可能 己建立與認(rèn)證網(wǎng)關(guān)的連接。在那些實(shí)施例中���,代理可以在步驟506中發(fā)送 其報(bào)告之后��,斷開與認(rèn)證網(wǎng)關(guān)的連接�。
如上所述��,在特定實(shí)施例中�,系統(tǒng)管理員可以對認(rèn)證網(wǎng)關(guān)和代理進(jìn)行 配置。除了用于驗(yàn)證的網(wǎng)絡(luò)站點(diǎn)之外�����,這樣的配置也可包括監(jiān)控周期��、在 認(rèn)證網(wǎng)關(guān)處等待驗(yàn)證報(bào)告的時(shí)間段�、在客戶端處等待登陸許可的時(shí)間段��、 等待連接網(wǎng)絡(luò)站點(diǎn)的時(shí)間段�����、等等����。此外��,配置還可包括關(guān)于如果未接收 到及時(shí)驗(yàn)證報(bào)告則認(rèn)證網(wǎng)關(guān)如何作出響應(yīng)的策略(例如���,通過發(fā)送另一個(gè) 測試發(fā)起消息)。類似地��,配置可包括關(guān)于如果在預(yù)定時(shí)間段內(nèi)未接收到 帶有臨時(shí)登錄的消息則客戶端如何作出響應(yīng)的策略(例如���,通過通知系統(tǒng) 管理員)�����?���;蛘?���,配置可以包括關(guān)于如果客戶端未連接到網(wǎng)絡(luò)站點(diǎn)則客戶 端將如何作出響應(yīng)的策略(例如,通過再次嘗試登錄到強(qiáng)制網(wǎng)絡(luò)門戶登錄 頁面)���。
此外�,在圖5中,代理對客戶端連接到可配置網(wǎng)絡(luò)站點(diǎn)的能力進(jìn)行驗(yàn) 證���。在其它實(shí)施例中��,代理可以驗(yàn)證認(rèn)證網(wǎng)關(guān)的其它行為����,例如在成功登 錄之后網(wǎng)關(guān)發(fā)送給客戶端的�����、與使用條款有關(guān)的web頁面序列��。這樣的驗(yàn) 證也將經(jīng)歷由網(wǎng)絡(luò)管理員進(jìn)行的配置���。
上述處理的特定實(shí)施例可包括存儲在存儲介質(zhì)上的指令�。指令可被處 理系統(tǒng)取回并執(zhí)行�。當(dāng)被處理系統(tǒng)執(zhí)行時(shí)�����,指令操作來使處理系統(tǒng)根據(jù)本 發(fā)明操作�。指令的一些示例是軟件���、程序代碼、固件和微代碼����。存儲介質(zhì) 的一些示例是存儲設(shè)備、磁帶���、磁盤�、集成電路和服務(wù)器��。術(shù)語"處理系 統(tǒng)"指的是單個(gè)處理設(shè)備或者一組互操作處理設(shè)備���。處理設(shè)備的一些示例 是集成電路和邏輯電路�。本領(lǐng)域技術(shù)人員熟知指令�、存儲介質(zhì)和處理系 統(tǒng)。
本領(lǐng)域技術(shù)人員將會了解落在本發(fā)明范圍內(nèi)的上述實(shí)施例的變體���。為此���,將會了解,存在上述處理的步驟的許多可能排序以及那些排序的許多 可能模塊。此外���,存在這些排序和模塊在硬件和軟件之間的許多可能劃 分�。并且��,除了這里所描述的認(rèn)證網(wǎng)關(guān)系統(tǒng)之外���,還存在自發(fā)起端到端監(jiān) 控可能有用的其它可能系統(tǒng)��。結(jié)果�����,本發(fā)明不限于上述的具體示例和圖 示�����,而僅由所附權(quán)利要求及其等同物限定�。
權(quán)利要求
1.一種方法��,包括在認(rèn)證網(wǎng)關(guān)處創(chuàng)建用于訪問網(wǎng)絡(luò)的臨時(shí)登錄信息��;安全地向測試代理發(fā)送包括所述臨時(shí)登錄信息的測試發(fā)起消息����,其中,所述測試代理操作來使用所述臨時(shí)登錄信息來嘗試網(wǎng)絡(luò)訪問����;接收來自所述測試代理的驗(yàn)證報(bào)告,其中���,所述驗(yàn)證報(bào)告包括使用所述臨時(shí)登錄信息的所嘗試網(wǎng)絡(luò)訪問的一個(gè)或多個(gè)所記錄事件���;以及基于所述驗(yàn)證報(bào)告來采取一個(gè)或多個(gè)動(dòng)作。
2. 根據(jù)權(quán)利要求1所述的方法����,其中,所嘗試網(wǎng)絡(luò)訪問尋求訪問所 述網(wǎng)絡(luò)上的可配置站點(diǎn)����。
3. 根據(jù)權(quán)利要求1所述的方法,其中��,所述驗(yàn)證報(bào)告還涉及對由所 述認(rèn)證網(wǎng)關(guān)發(fā)送到所述客戶端的可配置web頁面序列的驗(yàn)證�����。
4. 根據(jù)權(quán)利要求1所述的方法,其中���,安全發(fā)送利用了結(jié)合共享密 鑰進(jìn)行的加密����。
5. —種裝置�,包括被編碼在一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)中的邏輯, 并且該邏輯當(dāng)被執(zhí)行時(shí)可操作來在認(rèn)證網(wǎng)關(guān)處創(chuàng)建用于訪問網(wǎng)絡(luò)的臨時(shí)登錄信息����;安全地向測試代理發(fā)送包括所述臨時(shí)登錄信息的測試發(fā)起消息,其 中�,所述測試代理操作來使用所述臨時(shí)登錄信息來嘗試網(wǎng)絡(luò)訪問;接收來自所述測試代理的驗(yàn)證報(bào)告�,其中,所述驗(yàn)證報(bào)告包括使用所 述臨時(shí)登錄信息的所嘗試網(wǎng)絡(luò)訪問的一個(gè)或多個(gè)所記錄事件����;以及基于所述驗(yàn)證報(bào)告來采取一個(gè)或多個(gè)動(dòng)作。
6. 根據(jù)權(quán)利要求5所述的裝置��,其中���,所嘗試網(wǎng)絡(luò)訪問尋求訪問所 述網(wǎng)絡(luò)上的可配置站點(diǎn)�。
7. 根據(jù)權(quán)利要求5所述的裝置,其中�,所述驗(yàn)證報(bào)告還涉及對由所 述認(rèn)證網(wǎng)關(guān)發(fā)送到所述客戶端的可配置web頁面序列的驗(yàn)證��。
8. 根據(jù)權(quán)利要求5所述的裝置�,其中,安全發(fā)送利用了結(jié)合共享密 鑰進(jìn)行的加密���。
9. 一種裝置�����,包括用于在認(rèn)證網(wǎng)關(guān)處創(chuàng)建用于訪問網(wǎng)絡(luò)的臨時(shí)登錄信息的裝置��; 用于安全地向測試代理發(fā)送包括所述臨時(shí)登錄信息的測試發(fā)起消息的裝置���,其中,所述測試代理操作來使用所述臨時(shí)登錄信息來嘗試網(wǎng)絡(luò)訪問�;用于接收來自所述測試代理的驗(yàn)證報(bào)告的裝置,其中��,所述驗(yàn)證報(bào)告包括使用所述臨時(shí)登錄信息的所嘗試網(wǎng)絡(luò)訪問的一個(gè)或多個(gè)所記錄事件��; 以及用于基于所述驗(yàn)證報(bào)告來采取一個(gè)或多個(gè)動(dòng)作的裝置���。
10. 根據(jù)權(quán)利要求9所述的裝置���,其中�����,所嘗試網(wǎng)絡(luò)訪問尋求訪問所 述網(wǎng)絡(luò)上的可配置站點(diǎn)���。
11. 根據(jù)權(quán)利要求9所述的裝置,其中�,所述驗(yàn)證報(bào)告還涉及對由所 述認(rèn)證網(wǎng)關(guān)發(fā)送到所述客戶端的可配置web頁面序列的驗(yàn)證。
12. —種方法�����,包括從web認(rèn)證網(wǎng)關(guān)接收帶有用于訪問網(wǎng)絡(luò)的臨時(shí)登錄信息的測試發(fā)起消息�����;使用所述臨時(shí)登錄信息來嘗試網(wǎng)絡(luò)訪問����; 記錄在所嘗試網(wǎng)絡(luò)訪問期間檢測到的一個(gè)或多個(gè)事件;以及 向所述web認(rèn)證網(wǎng)關(guān)發(fā)送帶有一個(gè)或多個(gè)所記錄事件的驗(yàn)< 證報(bào)告��。
13. 根據(jù)權(quán)利要求12所述的方法,其中����,所嘗試網(wǎng)絡(luò)訪問尋求訪問 所述網(wǎng)絡(luò)上的被配置站點(diǎn)。
14. 根據(jù)權(quán)利要求12所述的方法�����,其中���,所述驗(yàn)證報(bào)告還涉及對由 所述認(rèn)證網(wǎng)關(guān)發(fā)送到所述客戶端的可配置web頁面序列的驗(yàn)證。
15. —種裝置���,包括被編碼在一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)中的邏輯�����, 并且該邏輯在被執(zhí)行時(shí)可操作來從web認(rèn)證網(wǎng)關(guān)接收帶有用于訪問網(wǎng)絡(luò)的臨時(shí)登錄信息的測試發(fā)起消息�����;使用所述臨時(shí)登錄信息來嘗試網(wǎng)絡(luò)訪問��; 記錄在所嘗試網(wǎng)絡(luò)訪問期間檢測到的一個(gè)或多個(gè)事件��;以及向所述web認(rèn)證網(wǎng)關(guān)發(fā)送帶有一個(gè)或多個(gè)所記錄事件的驗(yàn)證報(bào)告�。
16. 根據(jù)權(quán)利要求15所述的裝置,其中�,所嘗試網(wǎng)絡(luò)訪問尋求訪問 所述網(wǎng)絡(luò)上的可配置站點(diǎn)。
17. 根據(jù)權(quán)利要求15所述的裝置��,其中�,所述驗(yàn)證報(bào)告還涉及對由 所述認(rèn)證網(wǎng)關(guān)發(fā)送到所述客戶端的可配置web頁面序列的驗(yàn)證。
18. —種裝置��,包括用于從web認(rèn)證網(wǎng)關(guān)接收帶有用于訪問網(wǎng)絡(luò)的臨時(shí)登錄信息的測試發(fā) 起消息的裝置����;用于使用所述臨時(shí)登錄信息來嘗試網(wǎng)絡(luò)訪問的裝置; 用于記錄在所嘗試網(wǎng)絡(luò)訪問期間檢測到的一個(gè)或多個(gè)事件的裝置����;以及用于向所述web認(rèn)證網(wǎng)關(guān)發(fā)送帶有一個(gè)或多個(gè)所記錄事件的驗(yàn)證報(bào)告 的部件。
19. 根據(jù)權(quán)利要求18所述的裝置���,其中����,所嘗試網(wǎng)絡(luò)訪問尋求訪問 所述網(wǎng)絡(luò)上的被配置站點(diǎn)����。
20. 根據(jù)權(quán)利要求18所述的裝置����,其中�����,所述驗(yàn)證報(bào)告還涉及對由 所述認(rèn)證網(wǎng)關(guān)發(fā)送到所述客戶端的可配置web頁面序列的驗(yàn)證�����。
全文摘要
本發(fā)明的一個(gè)示例性實(shí)施例提供了與對認(rèn)證網(wǎng)關(guān)的自發(fā)起端到端監(jiān)控有關(guān)的處理��。在一個(gè)特定實(shí)現(xiàn)方式中�����,認(rèn)證網(wǎng)關(guān)周期性地創(chuàng)建并存儲用于訪問網(wǎng)絡(luò)的臨時(shí)登錄��,然后經(jīng)由安全連接向客戶端發(fā)送包括該臨時(shí)登錄的消息���。當(dāng)客戶端接收到臨時(shí)登錄時(shí),客戶端通過嘗試訪問可配置網(wǎng)絡(luò)站點(diǎn)來對該消息作出響應(yīng)��。認(rèn)證網(wǎng)關(guān)將客戶端重新導(dǎo)向強(qiáng)制網(wǎng)絡(luò)門戶,該強(qiáng)制網(wǎng)絡(luò)門戶提示客戶端登錄��,于是客戶端在強(qiáng)制網(wǎng)絡(luò)門戶處輸入臨時(shí)登錄��。然后��,在針對所存儲的臨時(shí)登錄證實(shí)了臨時(shí)登錄之后�,認(rèn)證網(wǎng)關(guān)授權(quán)對網(wǎng)絡(luò)的訪問。如果客戶端成功訪問站點(diǎn)�����,則客戶端向認(rèn)證網(wǎng)關(guān)發(fā)送指示出成功訪問的驗(yàn)證報(bào)告�。否則,客戶端報(bào)告失敗訪問����。
文檔編號H04L12/26GK101675640SQ200880006084
公開日2010年3月17日 申請日期2008年2月28日 優(yōu)先權(quán)日2007年2月28日
發(fā)明者蘇尼爾·布帕垂·梅赫塔, 黃·伯克 申請人:思科技術(shù)公司