CN1645794A - 访问用户管理系统、访问用户管理装置 - Google Patents
访问用户管理系统、访问用户管理装置 Download PDFInfo
- Publication number
- CN1645794A CN1645794A CNA200410063870XA CN200410063870A CN1645794A CN 1645794 A CN1645794 A CN 1645794A CN A200410063870X A CNA200410063870X A CN A200410063870XA CN 200410063870 A CN200410063870 A CN 200410063870A CN 1645794 A CN1645794 A CN 1645794A
- Authority
- CN
- China
- Prior art keywords
- server
- user terminal
- bag
- access
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2858—Access network architectures
- H04L12/2859—Point-to-point connection between the data network and the subscribers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/168—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP] specially adapted for link layer protocols, e.g. asynchronous transfer mode [ATM], synchronous optical network [SONET] or point-to-point protocol [PPP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及访问用户管理系统、访问用户管理装置。提供一种新的web认证方式,消除用户的再认证不方便。设置如下服务器,来替代认证用web服务器,该服务器具有:认证用户的功能;通过对用户定期进行再认证请求或发送连接确认包、接收其回信,来确认用户的连接状态的功能;和对访问服务器设定策略路由的功能;在终端中,替代web浏览器,而通过与上述服务器通信,在启动时进行认证,使响应再认证请求或连接确认包的客户机工作,来保持连接状态。另外,通过在认证用web服务器的位置上,设置具有认证用户的功能的服务器,在终端中替代web浏览器,而与上述服务器通信,在启动时进行认证,之后也定期地进行认证,使客户机工作,由此来保持连接状态。
Description
技术领域
本发明涉及一种宽带因特网连接中的访问用户的管理。
背景技术
在确保网络通信的安全上,用户认证技术是非常重要的技术。现在,在宽带因特网连接中的访问用户的认证及状态管理中,广泛使用PPPoE(Point-to-Point Protocol Over Ethernet:基于以太网的点到点协议)(Ethernet是注册商标)。PPPoE是将在拔号连接中使用的PPP用于Ethernet上的技术,可根据认证协议,用第二层级(layer 2 level)进行用户认证,另外,可通过定期地请求用户再认证、或使用LCP Echo包(packet)来监视用户的连接状态。
另外,还有使用所谓IEEE802.1x通信规格的认证方法。这是执行第二层(layer 2)下的端口单位的认证的方法,现在多用于本地的无线连接的认证上。可根据认证协议,用第二层级进行用户认证,还可通过定期地请求用户再认证,来监视用户的连接状态。
上述两种认证方法可以是第二层下的用户管理,但也可以使作为一般加入最近的路由器中的功能的策略路由(policy routing)功能和基于World-Wide-Web(万维网)(Web)的应用层级下的认证组合,来认证访问用户。这是如下的用户认证方法:使用策略路由功能来事先设定通过第三层级(layer 3 level)与访问用户直接连接的装置、即访问服务器(路由器),以使得用户的连接最初只能访问特定的Web服务器,在用户连接之后,从Web浏览器进行认证,从Web服务器设定并修改访问服务器,以便仅对被认证了的用户的IP地址进行普通路由。
图10是一般的访问服务器的硬件结构图。31是CPU,用于按照用户管理或根据情况,用软件处理路由等复杂的处理。32是CPU 31使用的存储器,在其上存储作为访问服务器所需要的软件或数据。在存储器32上至少存在连接信息管理部321、外部管理服务器协同部322和包传送部设定部323等。其中,连接信息管理部321对终端的连接信息进行保持;外部管理服务器协同部322接收来自外部的连接信息更新请求,向连接信息管理部321及包传送部设定部323输出状态变更指示;包传送部设定部323根据连接信息管理部321和外部管理服务器协同部322的指示,对包传送部的信息进行更新等。33是包传送部。包传送也可通过CPU 31的软件处理来执行,但多数情况下具有独立的包传送部,可比用CPU 31更高速地执行。包传送部还存在完全按硬件逻辑构筑的处理器的情况,还存在使用称为网络处理器的在包传送中特化的特殊的MPU的情况。包传送部331高速地进行通常的包传送。策略路由部332具有如下功能:对具有特定图形的包,重写包传送部331的传送结果,并根据策略来变更包传送的目的地。重写包传送部331及策略路由部332根据包传送部33的结构,若为由硬件实现的情况,则也存在由软件实现的情况。NIF 34是实际上与网络物理连接的位置。此前所述的各模块通过总线35连接。35也可以不是总线而是开关。
用图2及图3说明组合了策略路由与Web认证的方法。图2是系统示意图。终端5经访问服务器3连接于因特网7上。访问服务器3与DHCP服务器4和Web服务器1相连。Web服务器1与认证服务器2连接。在终端5的下方,示出了在终端5上工作的软件结构。在终端5上OS 500工作,在OS 500上Web浏览器501和其他的网络应用程序502工作。
图3是组合了策略路由和Web认证的认证方法的序列图。一旦终端启动,则终端上的OS通过DHCP取得IP地址(S101)。接收到DHCP请求的访问服务器通过DHCP中继,将请求传送到DHCP服务器(S102)。DHCP服务器对终端分配IP地址,将结果返回到访问服务器(S103)。访问服务器将IP地址传送到终端(S104),终端5变成可进行IP通信的状态。
分配给终端5的IP地址在该时刻由访问服务器3设定策略路由,不能对因特网自由地访问。来自应用程序502的因特网访问S105和来自Web浏览器的因特网访问S106都失败。图3所示的×标记意味着各步骤S105、S106两者都不可实现。在该时刻,终端5可访问的仅是Web服务器1。终端访问Web服务器1,并通过输入用户名和密码来请求认证(S107)。接收了认证请求的Web服务器将认证请求传送到认证服务器2(S108)。接收了来自认证服务器的认可(S109)的Web服务器对访问服务器3进行设定,以便对终端5的IP地址避开策略路由的设定(S110)。这样,终端5可进行因特网访问,来自Web浏览器的因特网访问S111和来自其他应用程序的因特网访问S112都成功。
在用图2及图3的说明中,为了简单,将访问服务器3和Web服务器1、认证服务器2、DHCP服务器4表示为不同的服务器,但若在功能上等效,则各服务器也可通过任意组合缩减。另外,作为IP地址分配的实例,给出了DHCP,但IP地址的分配方法可以使用任意的方法。例如,若IP协议是IPv6,则也可使用RA(RouterAdvertisement:路由器争议)。另外,在S106和S107,Web浏览器指明访问Web服务器1,但也可通过使用Web服务器的重定向(redirect)功能,使S106-S107成为连续的序列。
【专利文献1】:日本特开2003-224577
【非专利文献1】:RFC2516:Method for Transmitting PPP OverEthernet(PPPoE)IEEE 802.1X-2001:IEEE Standards for Localand Metropolitan Area Networks:Port-Based Network AccessControl
PPPoE具有向包赋予PPP标题(head)及PPPoE标题所导致的通信效率恶化,或不可使用以太网原来具有的多点传送(multicast)功能等限制。另外,PPPoE是第二层级的通信协议,所以通过第三层级与访问用户直接连接的访问服务器必须具有PPPoE功能,这样,存在访问服务器的成本变高的问题。
IEEE802.1x没有通信效率或多点传送功能的限制,但与PPPoE同样是第二层级的通信标准,所以在访问服务器中必须安装对应于IEEE802.1x的功能,这样存在访问服务器的成本变高的问题。
在组合了策略路由和Web认证的用户认证方法中,不存在监视用户的连接状态的单元。用户在访问因特网时,若从ISP(InternerService Provider:因特网服务提供商)侧看,则意味着对用户分配特定的网络资源(例如,通过DHCP路径对用户分配的IP地址等)。因而,在现行的Web认证方法中,不判定分配了网络资源的用户当前是否未连接于现有的因特网上。但是,以IPv4地址为代表,网络资源是有限的,所以不能仍对未连接的用户分配资源。因此,现在的方法是:以通过访问服务器1监视访问数据包的导通,在超时的情况下,认为用户变为不通,再次将用户的IP地址仅连接于Web服务器,如上进行重新设定,在用户再次使Web浏览器工作时,请求再认证。
用图3来说明超时(time out)时访问服务器的再认证请求工作。在图3中,S113表示超时期间。由S113表示的期间,在不是来自终端5的IP访问时,访问服务器3在S114对终端5的IP地址重新设定策略路由。之后,来自终端5的应用程序的因特网访问S115失败。因此,用户通过Web浏览器重新访问Web服务器1,在S116~S119中再次重复与S107~S110一样的认证工作。通过用户的再认证,用户侧可再次进行来自终端5的因特网访问S120。这若从用户方面看,则增加了不必要的负担。尤其是,在用户只使用除Web浏览器以外的应用程序时,仅为了认证就必须使全部Web浏览器再次工作,明显阻碍了宽带下一般经常连接的便利性。
发明内容
因此,本发明的目的在于提供一种新的Web认证方法、及可提供该认证方法的Web认证装置,可解决在现有Web认证方式中,不能把握用户连接状态的课题,以及由用户反复再认证程序的手续复杂等2个课题。
现有组合了策略路由和Web认证的认证方法的问题在于,使用不能独立工作的Web浏览器作为终端方的认证框架。
为了实现上述目的,本发明的访问用户管理方法,在利用访问服务器、监视服务器、及认证服务器将用户终端连接到网络上时对访问用户进行管理,所述访问服务器接收来自所述用户终端的访问请求后将所述用户终端连接到网络上,所述监视服务器监视所述用户到网络的连接状态,所述认证服务器进行向所述访问服务器发送了访问请求的用户终端的认证,该访问用户管理方法的特征在于:通过所述访问服务器,接收来自所述用户终端的访问请求;在所述访问请求是来自未被认证的用户终端的访问请求的情况下,设定该访问服务器的路径控制条件,以便将来自所述用户终端的发送包传送到所述认证服务器;在所述访问请求是来自已被认证的用户终端的访问请求的情况下,设定所述访问服务器的路径控制条件,以便将来自所述用户终端的发送包连接到网络上;由所述监视服务器监视所述已被认证的用户终端对网络的访问状态;对来自如下用户终端的发送包、即所述监视的结果被判断为未访问网络的用户终端的发送包,设定所述访问服务器的路径控制条件,以便传送到所述认证服务器。
另外,本发明的访问用户管理装置,其特征在于,具有:接收来自用户终端的访问请求后将所述用户终端连接到网络上的访问服务器、监视所述用户到网络的连接状态的监视服务器、及进行向所述访问服务器发送了访问请求的用户终端的认证的认证服务器;所述访问服务器具有:对包进行发送接收的单元、对已从用户终端发送的包实施预定的路径控制的单元、及根据已接收的变更请求来变更该路径控制条件的单元;所述监视服务器具有:对包进行发送接收的单元、辨别接收包的发送方是未被认证的用户终端还是已被认证的用户终端的单元、生成向已被认证的用户终端发送的生存确认包或再认证请求包的单元、及生成向所述访问服务器发送的路径控制条件的变更请求包的单元;在一定时间以上没有对所述生存确认请求包或再认证请求包的响应的情况下,向所述访问服务器发送所述路径控制条件的变更请求包;设定所述访问服务器的路径控制条件,以便向所述认证服务器传送来自该一定时间以上没有响应的用户终端的发送包。
因此,在本发明中,其特征在于,配置如下服务器,来替代现有的认证用Web服务器,该服务器具有确认用户的连接状态的功能,以及根据确认的用户的连接状态来向访问服务器发送策略路由的策略变更请求或解除当前策略的请求的功能,另外,若在终端侧安装可与该服务器通信的客户机功能,并确认切断用户的连接,则访问服务器不允许用户对因特网自由的访问。
在终端开始因特网访问时,使用所述客户机功能替代Web浏览器,进行最初的认证。安装在终端上的客户机功能必须可对来自所述服务器的连接确认请求进行后台响应。这样,用户不反复再认证工作,就能使终端保持连接状态。
上述的服务器和客户机可以是用户管理专用装置,也可以是在已经存在的、具有相同功能的应用程序的服务器中附加了访问服务器设定功能的装置。作为已经存在的应用程序的实例,是以InstantMessenger(IM)为代表的、对因特网上特定或不特定的用户公开用户的终端使用状态的存在获知软件(presence awarenesssoftware),或邮件服务器(MTA)和邮件客户机(MUA)等。
作为服务器,也可在一台服务器上安装现有认证用服务器具有的认证功能、和策略路由的策略变更请求的发送功能。或者,也可组合存在获知服务器和现有的认证用服务器来使用。
服务器也可将再认证请求发送给终端,来替代所述连接确认请求。但是,此时安装在终端上的客户机必须具备可对来自服务器的再认证请求进行后台响应的功能。终端经由安装的客户机功能,定期地连接于服务器,并执行再认证工作。
本发明具有以下效果:
根据本发明,不设置处理PPPoE或IEEE802.1x的特殊的访问服务器,可适当地管理用户的连接状态,对用户适当地分配IP地址等资源。
附图说明
图1是第一发明的序列图。
图2是组合了策略路由和Web认证的方式的系统示意图。
图3是组合了策略路由和Web认证的方式的序列图。
图4是第一发明的系统示意图。
图5是在第一发明中使用的IM服务器的功能框图。
图6是第二发明的系统示意图。
图7是第二发明的序列图。
图8是在第二发明中使用的定期认证客户机的功能框图。
图9是认证客户机工作的终端的示意图。
图10是路由器的框图。
具体实施方式
(实施例1)
在本实例中,说明使用IM作为可取得与用户终端的网络连接状态有关的信息的应用程序的情况。下面,用图1、图5及图7来详细说明。图4是本发明的系统示意图。与图2比较,设置附带访问服务器设定功能的IM服务器8来替代认证用Web服务器1,在终端5上,IM客户机503替代Web浏览器来工作,包含Web浏览器的其他因特网应用程序504工作。
图1是本发明的序列图。首先,一旦终端启动,则与图3完全相同,OS 500取得IP地址(S101~S104)。接着,从IM客户机503向IM服务器8发送使用了用户名和密码的认证请求(S125)。通常IM客户机在OS启动的时刻自动启动,在OS取得IP地址的时刻向服务器自动发送认证请求。接收到认证请求的IM服务器8将认证确认用的认证包发送到认证服务器2(S126)。若数据库中登录的用户名和密码一致,则认证服务器2向IM服务器8发送可认证的认可包(S127)。在用户名和密码不一致时,认证服务器2向IM服务器8发送不可认证的否认包。
若IM服务器8接收来自认证服务器2的认可包,则向访问服务器3发送策略路由的解除请求包、或策略路由中使用的路径控制策略的变更请求包(S128)。这样,对发送端的地址是终端5的地址的包,解除或变更访问服务器3设定的路径控制的设定条件,经由应用程序504向因特网7上的任意对象发送从终端5发送的包(S129)。另外,IM客户机503也可访问因特网7上的其他IM服务器(S130)。
认证成功后,IM服务器8定期地将认证确认或生存确认发送到IM客户机503(S131)。相反,IM客户机返送回认证请求或生存通知(S132)。这样,IM服务器8确认终端5正在通信继续中。这样,用户在终端工作期间,不进行再认证的工作,就可进行因特网访问。
这里,考虑在S134时刻终端5已停止的情况。IM服务器定期地连续发送认证确认或生存确认,但因终端停止,故不回复响应(S133)。在这连续一定次数的情况下,IM服务器判断为终端不通,对访问服务器3进行针对终端5的IP地址的策略路由的设定(S135)。在访问服务器的设定结束的时刻S136,可释放对终端5的因特网资源,再次提供给其他的终端使用。
图5是本发明中IM服务器8的功能框图。终端接口部801接收来自终端5的认证请求、至其他用户的消息等各种通信后,分别分配给适当的功能块,还中转从IM服务器8内的各功能块至终端5的通信。认证部802接收来自终端5的认证,在认证服务器2中进行认证确认,其结果判断用户可否访问。另外,在本发明中,也对访问服务器设定部805通知判断结果。终端管理部803通过定期地对终端5发送认证确认请求或生存确认请求,接收其响应,或者定期地接收来自终端5的再认证请求或生存确认,来管理终端5的状态。另外,在本发明中,还向访问服务器设定部805通知管理状态。其他IM功能部804实现终端5与其他用户的消息通信等、与本发明无关的功能。访问服务器设定部805在本发明中是特征功能块,对访问服务器进行针对终端5的IP地址的策略路由等的设定。
这次为了说明,将访问服务器3和IM服务器8、认证服务器2、DHCP服务器4表示为不同的服务器,但与现有实例相同,若在功能性上等效,则各服务器也可任意组合来缩减。尤其是,访问服务器3和IM服务器8的组合,在想进行端口单位的设定时是有效的。另外,在访问服务器中设置代理(Proxy)服务器功能,用于在IM服务器与终端之间代理通信,这样在想进行端口单位的设定时也是有效的。另外,作为IP地址分配的实例,给出了DHCP,但IP地址的分配方式也可是任何方式。
(实施例2)
用图来说明使用Web认证时的第二发明的实施例图。在本实施例中,与实施例1不同之处在于,作为与认证服务器相连接的应用服务器,可使用与现有实例相同的Web服务器1。图6是本发明的系统示意图。与图2比较,在终端5上,定期认证客户机505505替代Web浏览器来工作,包含Web浏览器的其他的因特网应用程序506来工作。
图7是本发明的序列图。首先,终端一旦启动,则与图3完全相同,OS 500取得IP地址(S101~S104)。接着,定期从认证客户机503向认证用Web服务器1发送使用了用户名和密码的认证请求(S141)。该工作通过如下设定来实现:在OS启动的时刻,自动启动定期认证客户机,在OS取得IP地址的时刻,定期认证客户机向服务器自动发出认证请求。接收认证请求的认证用Web服务器1对认证服务器2进行认证确认(S142),接收来自认证服务器的认可S143,对访问服务器进行策略路由的附带期限的解除设定(S144)。这样,终端上的应用程序506可对与因特网7上任意的对象进行访问(S145)。认证成功后,定期认证客户机定期地将认证信息发送到认证用Web服务器1(S147)。接收该信息的认证用Web服务器1对访问服务器设定策略路由解除的期限延长(S148)。这样,用户在终端工作期间,不进行再认证的工作,就可进行因特网访问。
这里,考虑终端5在S149的时刻停止的情况。因终端停止,所以不发送认证信息(151)。在超时期间S150的期间连续时,访问服务器判断为终端不通,进行针对终端5的IP地址的策略路由的设定(S152)。在访问服务器中的设定结束的时刻S152,释放对终端5的因特网资源,可再次提供给其他的终端使用。这里,超时由访问服务器3侧设定,但也可由认证用Web服务器1侧进行超时管理,在超时了的时刻,从认证用web服务器1对访问服务器3设定策略路由。
图8是定期认证客户机的功能框图。用户信息管理部5051管理用户名或密码等认证所必须的信息。Web用户访问部5052将由用户信息管理部5051管理的信息变换成http形式,在启动时和由计时器5053通知时,发送到认证用web服务器。计时器部5053向web服务器访问部5052通知访问认证用web服务器的时间。这次为了说明,将访问服务器3和认证用web服务器1、认证服务器2、DHCP服务器4表示为不同的服务器,但与现有实例相同,若在功能性上等效,则各服务器也可任意组合来缩减。尤其是,想进行端口单位的设定时,组合访问服务器3和认证用web服务器1是有效的。另外,在访问服务器中设置代理服务器功能,用于在认证用web服务器和终端之间代理通信,这在想进行端口单位的设定时是有效的。另外,作为IP地址分配的实例,给出DHCP,但IP地址分配方式也可是任何方式。
图9是定期认证客户机工作的终端示意图。在存储器50上,存储着在终端中使用的各种程序(web浏览器或邮件软件等)506。也分别放置着定期认证客户机505。CPU 51实际上执行存储器50上的软件。NIF 52是物理连接于网络上的模块。其他的输入输出装置53是键盘或显示器,终端5的用户使用这些装置来利用软件。
Claims (11)
1、一种访问用户管理方法,在利用访问服务器、监视服务器、及认证服务器将用户终端连接到网络上时对访问用户进行管理,所述访问服务器接收来自所述用户终端的访问请求后将所述用户终端连接到网络上,所述监视服务器监视所述用户到网络的连接状态,所述认证服务器进行向所述访问服务器发送了访问请求的用户终端的认证,该访问用户管理方法的特征在于:
通过所述访问服务器,接收来自所述用户终端的访问请求;
在所述访问请求是来自未被认证的用户终端的访问请求的情况下,设定该访问服务器的路径控制条件,以便将来自所述用户终端的发送包传送到所述认证服务器;
在所述访问请求是来自已被认证的用户终端的访问请求的情况下,设定所述访问服务器的路径控制条件,以便将来自所述用户终端的发送包连接到网络上;
由所述监视服务器监视所述已被认证的用户终端对网络的访问状态;
对来自如下用户终端的发送包、即所述监视的结果被判断为未访问网络的用户终端的发送包,设定所述访问服务器的路径控制条件,以便传送到所述认证服务器。
2、根据权利要求1所述的访问用户管理方法,其特征在于:
所述监视服务器与所述认证服务器是相同的服务器。
3、根据权利要求1所述的访问用户管理方法,其特征在于:
通过所述监视服务器,向所述用户终端发送生存确认包或用户认证请求包,
在一定时间以上没有来自该用户终端的响应的情况下,判断为所述用户终端未访问网络。
4、根据权利要求3所述的访问用户管理方法,其特征在于:
所述用户终端在后台执行对所述生存确认请求包或用户认证请求包的响应。
5、一种访问用户管理装置,其特征在于,具有:接收来自用户终端的访问请求后将所述用户终端连接到网络上的访问服务器、监视所述用户到网络的连接状态的监视服务器、及进行向所述访问服务器发送了访问请求的用户终端的认证的认证服务器;
所述访问服务器具有:对包进行发送接收的单元、对已从用户终端发送的包实施预定的路径控制的单元、及根据已接收的变更请求来变更该路径控制条件的单元;
所述监视服务器具有:对包进行发送接收的单元、辨别接收包的发送方是未被认证的用户终端还是已被认证的用户终端的单元、生成向已被认证的用户终端发送的生存确认包或再认证请求包的单元、及生成向所述访问服务器发送的路径控制条件的变更请求包的单元;
在一定时间以上没有对所述生存确认请求包或再认证请求包的响应的情况下,向所述访问服务器发送所述路径控制条件的变更请求包;
设定所述访问服务器的路径控制条件,以便向所述认证服务器传送来自该一定时间以上没有响应的用户终端的发送包。
6、根据权利要求5所述的访问用户管理装置,其特征在于:
在所述监视服务器中,安装存在获知软件(presence awarenesssoftware)。
7、根据权利要求6所述的访问用户管理装置,其特征在于:
所述存在获知软件是IM(Instant Messaging)。
8、根据权利要求5所述的访问用户管理装置,其特征在于:
在所述监视服务器,安装邮件服务器软件。
9、一种应用程序服务器,连接到向因特网传送接收包的访问服务器上,其特征在于,具有:
对包进行发送接收的单元;
辨别接收包的发送方是未被认证的用户终端还是已被认证的用户终端的单元;
生成向所述已被认证的用户终端发送的生存确认包或再认证请求包的单元;
对发送给该用户终端的生存确认包或再认证请求包发送后所经过的时间进行计数的计数器;及
生成向所述访问服务器发送的路径控制条件的变更请求包的单元;
在预定时间内没有对所述生存确认包或再认证请求包的响应的情况下,向所述访问服务器发送所述路径控制条件的变更请求包。
10、根据权利要求9所述的应用程序服务器,其特征在于:
安装了邮件服务器软件。
11、根据权利要求9所述的应用程序服务器,其特征在于:
安装了IM(Instant Messaging)功能。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004010011 | 2004-01-19 | ||
JP2004010011A JP2005204189A (ja) | 2004-01-19 | 2004-01-19 | アクセスユーザ管理システム、アクセスユーザ管理装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1645794A true CN1645794A (zh) | 2005-07-27 |
Family
ID=34747238
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA200410063870XA Pending CN1645794A (zh) | 2004-01-19 | 2004-07-13 | 访问用户管理系统、访问用户管理装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20050157722A1 (zh) |
JP (1) | JP2005204189A (zh) |
CN (1) | CN1645794A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100433660C (zh) * | 2006-09-30 | 2008-11-12 | 杭州华三通信技术有限公司 | 一种实现快速检测的方法和设备 |
CN106101128A (zh) * | 2016-07-06 | 2016-11-09 | 中国银联股份有限公司 | 安全性信息交互方法 |
CN112513781A (zh) * | 2018-12-14 | 2021-03-16 | 开利公司 | 基于示意动作的安全系统 |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100386999C (zh) * | 2003-07-23 | 2008-05-07 | 华为技术有限公司 | 监测用户连接状态的方法 |
US7376134B2 (en) * | 2004-08-02 | 2008-05-20 | Novell, Inc. | Privileged network routing |
US7933236B2 (en) * | 2005-10-27 | 2011-04-26 | Nortel Networks Limited | Methods and systems for a wireless routing architecture and protocol |
JP5002259B2 (ja) * | 2006-12-25 | 2012-08-15 | パナソニック株式会社 | 認証システム |
US8943570B1 (en) * | 2010-12-02 | 2015-01-27 | Cellco Partnership | Techniques for providing enhanced network security |
CN102571547B (zh) * | 2010-12-29 | 2015-07-01 | 北京启明星辰信息技术股份有限公司 | 一种http流量的控制方法及装置 |
US8560712B2 (en) | 2011-05-05 | 2013-10-15 | International Business Machines Corporation | Method for detecting and applying different security policies to active client requests running within secure user web sessions |
JP5743880B2 (ja) | 2011-12-28 | 2015-07-01 | 株式会社東芝 | 認証サーバ、認証方法およびコンピュータプログラム |
JP6143367B2 (ja) * | 2014-06-27 | 2017-06-07 | 日本電信電話株式会社 | パケット転送経路設定回路、パケット転送スイッチ、パケット転送経路設定方法及びパケット転送方法 |
JP5888828B1 (ja) * | 2015-07-10 | 2016-03-22 | 株式会社オンサイト | 情報処理プログラム、情報処理装置及び情報処理方法 |
US20170187752A1 (en) * | 2015-12-24 | 2017-06-29 | Steffen SCHULZ | Remote attestation and enforcement of hardware security policy |
CN108337677B (zh) * | 2017-01-19 | 2020-10-09 | 阿里巴巴集团控股有限公司 | 网络鉴权方法及装置 |
CN110830495A (zh) * | 2019-11-14 | 2020-02-21 | Oppo广东移动通信有限公司 | 网络访问管理方法及相关设备 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6012088A (en) * | 1996-12-10 | 2000-01-04 | International Business Machines Corporation | Automatic configuration for internet access device |
JP2001312468A (ja) * | 2000-04-28 | 2001-11-09 | Konami Co Ltd | ネットワーク接続制御方法及び接続制御システム |
US7921290B2 (en) * | 2001-04-18 | 2011-04-05 | Ipass Inc. | Method and system for securely authenticating network access credentials for users |
US6880079B2 (en) * | 2002-04-25 | 2005-04-12 | Vasco Data Security, Inc. | Methods and systems for secure transmission of information using a mobile device |
JP4023240B2 (ja) * | 2002-07-10 | 2007-12-19 | 日本電気株式会社 | ユーザ認証システム |
KR100494558B1 (ko) * | 2002-11-13 | 2005-06-13 | 주식회사 케이티 | 공중 무선랜 서비스 시스템의 사용자 인증방법 및 시스템 |
FI115284B (fi) * | 2002-12-20 | 2005-03-31 | Nokia Corp | Menetelmä ja järjestely päätelaitteen autentikoimiseksi |
US20040205175A1 (en) * | 2003-03-11 | 2004-10-14 | Kammerer Stephen J. | Communications system for monitoring user interactivity |
-
2004
- 2004-01-19 JP JP2004010011A patent/JP2005204189A/ja not_active Abandoned
- 2004-07-13 CN CNA200410063870XA patent/CN1645794A/zh active Pending
- 2004-07-20 US US10/894,061 patent/US20050157722A1/en not_active Abandoned
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100433660C (zh) * | 2006-09-30 | 2008-11-12 | 杭州华三通信技术有限公司 | 一种实现快速检测的方法和设备 |
CN106101128A (zh) * | 2016-07-06 | 2016-11-09 | 中国银联股份有限公司 | 安全性信息交互方法 |
CN112513781A (zh) * | 2018-12-14 | 2021-03-16 | 开利公司 | 基于示意动作的安全系统 |
CN112513781B (zh) * | 2018-12-14 | 2023-11-03 | 开利公司 | 基于示意动作的安全系统 |
Also Published As
Publication number | Publication date |
---|---|
JP2005204189A (ja) | 2005-07-28 |
US20050157722A1 (en) | 2005-07-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1645794A (zh) | 访问用户管理系统、访问用户管理装置 | |
CN101217482B (zh) | 一种穿越nat下发策略的方法和一种通信装置 | |
EP1987629B1 (en) | Techniques for authenticating a subscriber for an access network using dhcp | |
EP2986042B1 (en) | Client, server, and remote authentication dial in user service capability negotiation method and system | |
CN1534921A (zh) | 用于独立网络间的公共认证和授权的方法 | |
WO2008138242A1 (fr) | Procédé de gestion, appareil et système de connexion de session | |
WO2012051868A1 (zh) | 防火墙策略分发方法、客户端、接入服务器及系统 | |
CN101197811B (zh) | 提高代理方式下动态主机配置协议中服务器可靠性的方法 | |
CN101083660A (zh) | 基于会话控制的动态地址分配协议的ip网认证鉴权方法 | |
US7457875B2 (en) | Access server with function of collecting communication statistics information | |
EP1269713B1 (en) | Data networks | |
US8615591B2 (en) | Termination of a communication session between a client and a server | |
JP4549055B2 (ja) | 無線パーソナルエリアネットワークにおけるネットワークアドレスの設定方法 | |
JP4495049B2 (ja) | パケット通信サービスシステム、パケット通信サービス方法、エッジ側ゲートウェイ装置、およびセンタ側ゲートウェイ装置 | |
WO2010022535A1 (zh) | 一种在ipv6接入节点中数据包转发的方法和装置 | |
CN100596071C (zh) | 一种通过dhcp扩展实现会话控制和时长采集的方法 | |
JP4654613B2 (ja) | 通信システム、通信方法、アドレス配布システム、アドレス配布方法、通信端末 | |
Cisco | Configuring PPP for Wide-Area Networking | |
Cisco | Configuring PPP for Wide-Area Networking | |
Cisco | Configuring PPP for Wide-Area Networking | |
Cisco | Configuring PPP for Wide-Area Networking | |
Cisco | Configuring PPP for Wide-Area Networking | |
Cisco | Configuring PPP for Wide-Area Networking | |
JP2001069175A (ja) | セッション情報管理方法およびセッション情報管理装置 | |
KR20040043735A (ko) | 다이어미터 기반 aaa 인증서버와 분리된 과금서버의연동처리 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |