CN100517291C - Ip流的按需会话提供 - Google Patents
Ip流的按需会话提供 Download PDFInfo
- Publication number
- CN100517291C CN100517291C CNB2004800319331A CN200480031933A CN100517291C CN 100517291 C CN100517291 C CN 100517291C CN B2004800319331 A CNB2004800319331 A CN B2004800319331A CN 200480031933 A CN200480031933 A CN 200480031933A CN 100517291 C CN100517291 C CN 100517291C
- Authority
- CN
- China
- Prior art keywords
- user
- session
- service
- gateway
- visit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于按需会话提供的方法,包括在服务选择网关处接收来自用户的第一分组。所述服务选择网关向用户提供对一个或多个服务的访问。所述第一分组与所述服务中选定的一个相关联。向授权服务器发送访问请求。创建临时用户会话,以允许所述用户在授权未决时临时访问所述选定的服务。当所述临时用户会话有效时转发后续接收的分组。接收来自所述授权服务器的授权响应。如果所述授权响应指示所述用户被授权访问所述选定的服务,则创建持久用户会话,以允许所述用户访问所述选定的服务。否则终止所述临时用户会话。
Description
技术领域
本发明总地涉及网络***,更具体而言涉及IP流的按需会话提供。
背景技术
为了支持对网络提供的各种服务的增强访问,网络***已经变得越来越复杂。对网络和服务的访问是由接入网关提供的。一般地,接入网关在允许用户和网络或服务之间的通信之前,需要对用户认证和授权。认证使得接入网关可识别特定用户,并且可包括登录和口令对话或其他安全协议。授权使得接入网关可识别特定用户可访问的服务。
发明内容
根据本发明,提供了用于配置远程网关的技术。
根据本发明的一个示例,提供了一种用于按需会话提供的方法,包括在服务选择网关处接收来自用户的第一分组。所述服务选择网关向用户提供对一个或多个服务的访问。所述第一分组与所述服务中选定的一个相关联。向授权服务器发送访问请求。创建临时用户会话,以允许所述用户在授权未决时临时访问所述选定的服务。当所述临时用户会话有效时转发后续接收的分组。接收来自所述授权服务器的授权响应。如果所述授权响应指示所述用户被授权访问所述选定的服务,则创建持久用户会话,以允许所述用户访问所述选定的服务。否则终止所述临时用户会话。
本发明的某些实施例可提供一个或多个技术优点。这些技术允许授权功能驻留在服务选择网关内。例如,服务选择网关可在用户被给予对特定的被请求的网络服务的访问权限之前寻求授权。这把对哪些人可访问网络服务的管理集中在了服务选择网关内。一个技术优点可以是减少了对服务选择网关充当接入网关的RADIUS服务器的需要。某些实施例包括易失性存储器,从而服务选择网关可临时存储用户资料,其指示了用户被授权访问的特定服务。因此,服务选择网关不需要存储成千上万的用户资料在快速响应存储器中。
从下面的附图、描述和权利要求中,其他技术优点将对本领域的技术人员变得很清楚。此外,虽然上面描述了特定的优点,但是各种实施例可能包括一些或全部已列举的技术优点,或一个也不包括。
附图说明
为了更全面地理解本发明及其优点,现在结合附图参考以下描述,在附图中:
图1根据本发明特定实施例,示出了包括将用户联接到一个或多个网络服务的服务选择网关的用于按需会话提供的***;
图2示出了该***的服务选择网关的特定实施例;以及
图3示出了用于服务选择网关处的按需会话提供的方法。
具体实施方式
图1示出了支持对用户12的分组通信服务并向用户12提供对一个或多个网络服务14的访问的***10。在所示实施例中,***10包括接入网络16、接入网关18和网络20。接入网关18与接入网络16和网络20联接。网络20包括服务选择网关22,其操作以管理对由网络20提供的或联接到网络20的一个或多个网络服务14的访问。在操作期间,接入网关18接收来自请求一个或多个服务14的用户12的分组,并将分组转发到网络20。网络20内的服务选择网关22创建临时用户会话,以允许用户12临时访问所请求的服务14,或者在获得授权时拒绝被请求的服务14。如果接收到授权,则可创建持久用户会话。因此,服务选择网关22可以以每个订户为基础,选择性地将IP分组路由到网络20或其他目的地网络26内的服务提供者。当未接收到授权时,临时用户会话可以被终止,并且后续接收到的分组被丢弃。
用户12可以是适于与接入网络16通信和提供对语音和/或数据服务的支持的任意类型的设备。语音和/或数据服务可包括任何基于分组的通信。用户12例如可包括蜂窝电话、个人计算机、个人数字助理、移动手机或适于无线和/或有线通信的任何其他设备。用户12可通过向接入网络16传送请求来获得对由网络20或联接到网络20的其他网络所提供的服务。因此,用户12可通过无线电话网络、有线电话网络或适用于特定用户设备的任何其他通信网络来与接入网络16通信。在特定实施例中,用户12可向接入网关18发送标识用户12的IP分组。IP或其他分组还可请求由网络20或联接到网络20的另一目的地网络26所提供的特定服务14。
接入网络16向与接入网络16通信的用户12提供语音和数据访问服务。根据特定实施例,接入网络16可使用例如发射塔和其他支持设备等元件来支持无线通信,以辅助用户12和网络20之间的通信。用户12生成的对访问服务14的请求可经由接入网络16被传送到接入网关18和网络20。接入网关18将接入网络16与网络20和其他目的地网络26(例如因特网)联接在一起,以便向用户12提供语音和/或数据服务。根据特定实施例,接入网关18接收用户12生成的分组,并从分组确定用户12的身份。接入网关18还可执行安全功能(例如认证),以确保通过接入网关18传送的数据是安全的。认证所必需的具体步骤或元件可依赖于接入网络16和接入网关18的需求。例如,认证可包括登录和口令对话、质询和响应、消息支持,以及加密(依赖于所利用的安全协议)。在特定实施例中,认证可由接入网关18在本地执行。或者,接入网关18可与授权服务器24或其他服务通信,以执行认证。
网络20和目的地网络26包括支持通信和向用户12提供语音和/或数据服务的元件的任何集合或布置。根据所示实施例,网络20包括授权服务器24和服务选择网关22。与接入网关18和授权服务器24协作,服务选择网关22充当允许用户12访问由网络20和其他联接的目的地网络26提供的网络服务14的接入点。服务选择网关22可以每个订户为基础,选择性地将分组路由到服务14。服务14可包括内部网、因特网、游戏、视频点播或其他基于分组的服务。如图所示,服务14可由网络20或联接到网络20的任何其他目的地网络26提供。例如,服务14a可包括网络26a提供的内部网服务,服务14b可包括网络26b提供的游戏14b。另一方面,服务14c可包括直接由网络20提供的因特网服务。因此,服务选择网关22可提供对由任意数量的被联接网络提供的任意数量的服务14的访问。
授权服务器24可包括包含用于执行对用户12的授权的程序和文件的任意计算设备或数据存储***。授权服务器24可与服务选择网关22通信,以接收访问请求,该访问请求标识了用户12并请求授权,以允许用户12访问所请求的服务14。在特定实施例中,授权服务器24可使用访问请求中的信息来允许针对每个被请求的服务14的授权。授权服务器24收集或定位了描述授权用户12访问的服务的一组属性的情况下,授权可以成功。例如,授权服务器24可从数据库28定位与特定用户12相关联的用户资料。用户资料可列出用户12是其订户的服务14。授权服务器24可使用用户资料来确定是否用户被授权访问被请求的服务14。或者,授权服务器24可将用户资料发送到服务选择网关22,从而服务选择网关22可确定是否允许用户12访问被请求的服务14。因此,服务选择网关22和授权服务器24协作,以允许用户12访问由网络20和其他被联接的目的地网络26提供的服务14。
在操作中,用户一般利用接入网关18进行认证。在认证时,任何后续传送的分组都直接从用户12被发送到服务选择网关22。服务选择网关22可通过公共网、专用网、固定链路或其他通信链路接收IP分组。在接收到来自用户12的分组后,服务选择网关22可确定是否用户12被授权访问由那些分组所暗示的服务。为了确定授权,服务选择网关22可发送访问请求到授权服务器24或网络20中的其他设备。访问请求可请求对允许用户12访问用户12所请求的特定的一个或多个服务14的授权。访问请求中的信息可以基于从用户12接收并由接入网关18转发的分组。在特定实施例中,访问请求可包括用户12的以加点标记表示的IP地址。授权服务器24可使用访问请求中的信息来从数据库28识别与用户12相关联的用户资料或其他属性集合。例如,当访问请求包括用户12的IP地址时,授权服务器24可使用该IP地址来从数据库28获取用户资料或属性。授权服务器24可将用户资料或属性转发到服务选择网关22,然后服务选择网关22可使用用户资料或属性来确定是否用户12被授权访问用户12已请求的特定服务14。如下面参考图3更详细地描述的那样,关于是否用户12被授权访问被请求的服务14的确定结果决定了对在服务选择网关22处后续接收的任何分组的处置。
图2示出了***10的服务选择网关22的特定实施例。在所示实施例中,服务选择网关22包括一个或多个接口40、处理器42和存储器44。在操作期间,服务选择网关22与接入网关18、授权服务器24一起工作,以支持用户12对网络20内的元件的访问。
服务选择网关22包括至少一个接口40,用于与***10的其他元件通信。如图所示,接口40将服务选择网关22与授权服务器24和网络20中的或联接到网络20的其他元件联接在一起。例如,服务选择网关22可将访问请求通过接口40经由固定通信链路传送到授权服务器24。在响应中,服务选择网关22可通过接口40接收来自授权服务器24的用户资料和/或用户属性。其他元件也可以通过接口40联接到服务选择网关22。这些元件可包括接入网关18和一个或多个服务14。例如,接口40可接收来自接入网关的由用户12生成并由接入网络16转发的分组。在另一示例中,接口40可被用来将分组传送到网络20和任何被联接的目的地网络26提供的服务14。虽然服务选择网关22被示为包括与多个元件通信的一个接口40,但是服务选择网关22也可包括多个接口40,每个接口40可与***10的特定元件通信。
处理器42通过以下方式来控制服务选择网关22的管理和操作,所述方式为:使用接口40来与操作者网络18内部和外部的其他元件通信,以及访问和存储存储器44中的信息。在特定实施例中,处理器42处理从接入网关18接收的分组。处理器42可从接收自接入网关18的分组中的信息识别特定的用户12。例如,处理器42可从分组中包括的IP地址、设备标识符、用户名、源地址或其他标识信息来识别用户12。处理器42还可使用从接入网关18接收的分组中的信息来生成访问请求,并将访问请求传送到授权服务器28。在特定实施例中,处理器42还可创建临时用户会话或其他主机对象,以允许用户12临时访问被请求的服务14。使用临时用户会话,处理器42可将任何从用户12后续接收到的分组转发到被请求的服务14,即使服务选择网关22尚未接收到将用户标识为被授权访问被请求的服务14的授权。
此外,处理器42可确定是否服务选择网关22已接收到来自授权服务器24的授权。如上所述,授权可指示用户12被授权访问被请求的服务14。如上所述,该授权可以是任何形式的,例如是指明用户12被授权访问的所有服务的用户资料。如果授权被接收,则处理器42可创建用于用户12的持久用户会话或其他主机目标,并终止临时用户会话。或者,处理器42可将临时用户会话转换为持久用户会话。如果授权未被接收或者如果用户12未被授权,则处理器42可终止临时用户会话。例如,处理器42可通过丢弃任何后续接收的分组或通过以其他形式停止转发分组来终止临时用户会话。在特定实施例中,如果用户会话超时,则处理器42可终止临时用户会话。如果在特定量的时间后没有接收到来自授权服务器24的授权,则用户会话超时。例如,如果用户12在500到2000毫秒之后仍未被授权,则临时用户会话可能超时。该值在服务选择网关22上被定义为可配置的。
根据特定实施例,处理器42可确定是否用户会话已变为不活动的。当服务选择网关22在特定量的时间中没有接收到来自用户12的分组或其他流量时,用户会话可能变为不活动的。在特定实施例中,如果服务选择网关22在10到20秒之后没有如可配置的定时器所要求的那样接收到来自用户12的分组,则用户会话可能变为不活动的。因此,处理器42可确定自从服务选择网关22从用户12接收分组起已过去了多长时间,并且如果用户会话已变为不活动就终止用户会话。如果在用户会话已变为不活动后从用户12接收到数据流量,则处理器42可生成新的访问请求,以便被传送到授权服务器24继续授权,从而允许用户12访问被请求的服务14。处理器42还可进行操作以在处理器42等待授权时建立第二临时用户会话。通过确定是否用户会话已变为不活动的,服务选择网关22可更快地对被接收的活动会话的通信作出反应。此外,服务选择网关22不需要保留与不活动的会话相关联的用户资料。
存储器44包括用于在服务选择网关22的操作期间使用的信息,例如用于处理从接入网关18接收的分组和生成要被传送到授权服务器24的访问请求。在所示实施例中,存储器104还存储用户资料46。因此,存储器44还可包括使得处理器42可执行例如从被接收的分组确定与用户12相关联的IP地址的功能的逻辑。存储器44还可包括使得处理器42可从接收自接入网关18的分组中包括的信息生成访问请求的逻辑。如图所示,存储器44还可包括用户资料46或与用户12相关联的其他数据。这些用户资料46例如可包括标识用户12是其订户的服务14的信息和属性。用户资料46还可以是计费数据、带宽说明和可被用来调整对服务14的访问的与用户12有关的其他信息。在特定实施例中,用户资料46可包括从授权服务器24接收的授权。授权可标识用户12被授权访问的服务14。
在操作中,服务选择网关22对经由接口40从接入网关18接收的分组作出响应。使用分组中的信息,处理器42生成标识了用户12并请求对允许用户12访问一个或多个被请求的服务14的授权的访问请求。服务选择网关22经由接口40或服务选择网关22的另一接口将访问请求传送到授权服务器24。在特定实施例中,处理器42可发起使得用户12可在服务选择网关22等待来自授权服务器24的授权时访问被请求的服务14的临时用户会话或其他主机对象。后续接收的分组可被转发到合适的服务14,直到响应被接收到或者直到临时用户会话超时。
在接收到来自授权服务器24的响应之后,处理器42可在存储器44中存储用户资料46或与用户12相关联的其他信息和属性。因为用户资料46中的信息可能指示用户12被授权访问的特定服务14,因此处理器42然后可确定是否用户12被授权访问用户12所请求的特定服务14。当用户12被授权访问被请求的服务14时,处理器42可发起用于用户12的持久用户会话。然后,后续接收的来自用户12的分组和其他通信可被合适地路由到被请求的服务14。此外,服务选择网关22可基于接收自授权服务器24的用户资料所建立的参数来向用户12提供对被请求的服务14的访问。与用户12相关联的用户资料46可被存储在存储器44中,直到用户12终止用户会话或直到用户会话变为不活动的。
虽然所示实施例和上面的描述集中于包括特定元件的服务选择网关22的特定实施例,但是***10考虑了具有用于处置对服务14的用户请求的元件的任何合适的组合和布置的服务选择网关22。因此,所描述的模块和功能可以被组合、分离或在任意合适的功能性组件之间分布,服务选择网关22的一些或全部功能可由编码在介质中的逻辑(例如软件和编程逻辑器件)实现。
图3示出了用于服务选择网关22处的按需会话提供的示例性方法。该方法开始于步骤100,其中接入网关18接收去往***10的登录信息或标识用户12的其他信息。接入网关18可在本地执行认证,或将登录或其他信息传送到***10中的其他设备,以便将用户12认证到***10。此时,接入网关18已验证了用户12的身份,但是针对各服务14的授权尚未被建立。
在步骤102,接入网关18将分组转发到服务选择网关22。分组可通过接入网关18和网络20之间的固定线路或其他通信链路传送。分组可包括标识用户12或与用户12相关联的地址或其他信息。响应于接收到来自用户12的分组,服务选择网关22在步骤104生成访问请求。该访问请求标识用户12并请求对允许用户12访问一个或多个被请求的服务14的授权。该访问请求可使用从接入网关18接收的分组中的信息生成。在特定实施例中,访问请求可包括与用户12相关联的地址。
在步骤106,服务选择网关22发送访问请求到授权服务器24。访问请求可经由接口40或服务选择网关22的另一接口被传送到授权服务器24。为了允许用户12在授权发生的同时立即访问被请求的服务14,在步骤108可发起临时用户会话。临时用户会话可被服务选择网关22在服务选择网关22等待来自授权服务器24的授权的同时使用。因此,服务选择网关22的处理器42可在服务选择网关22等待来自授权服务器24的授权的同时将从用户12后续接收的任何分组转发到合适的用户12。在特定实施例中,授权服务器24可使用被接收的分组中的源地址或其他信息来识别存储器28中的用户资料或与用户相关联的其他信息或属性。然后,用户资料或其他信息或属性可被转发到服务选择网关22。用户资料或其他信息或属性可标识用户12被授权访问的各服务14。例如,特定的用户12的用户资料可指示特定的用户12被授权通过目的地网络26a提供的服务14b来访问游戏,或通过网络20提供的服务14c来访问因特网。
在判决步骤110,服务选择网关22确定是否临时用户会话已超时。如上所述,当服务选择网关22在特定量的时间内未接收到授权时,用户会话可能超时。如果服务选择网关22确定临时用户会话已超时,在步骤112,服务选择网关22可丢弃从用户12后续接收的任何分组。或者,如果在步骤110服务选择网关22确定临时用户会话尚未超时,则方法继续到步骤114。
在判决步骤114,服务选择网关22确定是否用户12已被授权访问被请求的服务14。确定操作可以基于从授权服务器24接收的用户资料。例如,假设用户12已请求通过服务14a来访问内部网。当从授权服务器24接收的与用户12相关联的用户资料指示用户12被授权通过服务14b来访问游戏以及通过服务14c来访问因特网,但是没有指示用户12被授权通过服务14a来访问特定的内部网时,处理器42可确定授权失败。因此,无论何时用户12请求到用户12未被授权的服务14的访问,服务选择网关22都可确定授权失败。当授权失败后,在步骤112,服务选择网关22可丢弃从用户12后续接收的任何分组。
或者,服务选择网关22可在步骤114确定用户12已被授权访问被请求的服务14。例如,当用户12请求通过服务14a来访问内部网,并且与用户12相关联的用户资料指示用户12被授权访问服务14a时,服务选择网关22可确定用户12被授权。因此,无论何时用户12请求对用户12未被授权的服务14的访问,服务选择网关22都可确定用户12被授权。当服务选择网关22确定用户12被授权访问被请求的服务14时,在步骤116存储从授权服务器24接收的用户资料或其他信息或属性。用户资料或其他属性可作为用户资料46被存储在存储器44中。处理器42然后可根据需要来访问存储器44中的用户资料46,以便引导从用户12接收的流量。将来被接收的分组可允许用户12访问最初已针对其创建了用户会话的相同的服务14或也被用户资料授权的其他服务14。
在步骤118,创建持久用户会话。服务选择网关22可发起持久用户会话,或者服务选择网关22可将临时用户会话转换为持久用户会话。从用户12后续接收的任何分组都可基于持久用户会话被转发到被请求的服务14。例如,当用户12请求通过目的地网络26b提供的服务14b的游戏时,在用户玩游戏时从用户12接收的任何分组都可以被转发到目的地网络26a中的服务14b。在特定实施例中,服务选择网关22可***作来处置服务选择改变。例如,用户12可能开始于请求通过服务14b的游戏,但是在某个时刻又想通过服务14a来搜索内部网上的某些东西。当从用户12接收到新分组时,服务选择网关22可使用存储器44中存储的用户资料46来确定用户12是否被授权通过服务14a访问内部网。如果用户资料46指示用户12被授权通过服务14c访问因特网,则最初请求通过服务14c访问因特网的分组以及任何后续接收到的分组都可被转发到服务14c。以此方式,服务选择网关22可选择性地为用户12路由IP分组以访问服务14,其中用户12具有通过服务选择网关22发起的持久用户会话。
根据特定实施例,服务选择网关22可在判决步骤120确定是否用户会话已变为不活动的。如上所述,如果服务选择网关22在特定量的时间中未收到来自用户12的分组或其他流量,则用户会话可变为不活动的。例如,如果服务选择网关22在多于3到4秒内未收到来自用户12的任何分组,则用户会话可变为不活动的。如果服务选择网关22确定用户会话尚未变为不活动的,则服务选择网关22可在步骤121继续监视分组活动,直到用户会话在步骤120被确定为变为不活动的。在服务选择网关22确定出用户会话已变为不活动时,服务选择网关22在步骤122终止持久用户会话。与用户12相关联的用户资料46可在步骤124从存储器44删除。在从存储器44删除用户资料46后,任何后续接收的分组都可在步骤112被丢弃。
因此,流程图和上面的描述概述了网络20和服务选择网关22的配置,以动态地处置对服务的访问请求。但是,流程图和描述仅示出了操作的示例性方法,***10考虑了使用用于处理对由网络20或其他目的地网络26提供的服务14进行访问的分组的任何合适的技术和元件的网络20和服务选择网关22的配置。因此,该流程图中的很多步骤可以同时发生和/或以不同于所示顺序的顺序发生。此外,网络20和服务选择网关22的配置可使用具有额外步骤、更少步骤和/或不同步骤的方法,只要这些方法是合适的。
虽然已利用几个示例描述了本发明,但是很多改变、变化、更改、变形和修改可由本领域的技术人员作出,本发明包括这些改变、变化、更改、变形和修改,只要它们落在所附权利要求的范围内。
Claims (33)
1.一种用于按需会话提供的方法,包括:
在服务选择网关处接收来自用户的第一分组,所述服务选择网关可操作来向所述用户提供对一个或多个服务的访问,所述第一分组与所述服务中选定的一个相关联;
从所述服务选择网关向授权服务器发送访问请求,所述访问请求标识所述用户并请求授权以允许所述用户访问所述选定的服务;
创建临时用户会话,所述临时用户会话可操作来允许所述用户在授权未决时临时访问所述选定的服务;
当所述临时用户会话有效时,通过将后续从所述用户接收的分组转发到所述选定的服务来为所述用户提供对所述选定的服务的访问;
接收来自所述授权服务器的授权响应;
确定是否所述授权响应指示所述用户被授权访问所述选定的服务;以及
如果所述授权响应指示所述用户被授权访问所述选定的服务,则
创建持久用户会话,所述持久用户会话可操作来允许所述用户继续访问所述选定的服务;
否则
终止所述临时用户会话。
2.如权利要求1所述的方法,其中所述第一分组包括因特网协议(IP)分组。
3.如权利要求1所述的方法,其中接收所述第一分组包括从接入网关接收所述第一分组,所述接入网关已认证了所述用户的身份。
4.如权利要求1所述的方法,还包括:如果在经过预定时间段之后没有接收到所述授权响应,则终止所述临时用户会话。
5.如权利要求1所述的方法,还包括:如果所述授权响应指示所述用户没有对所述选定的服务的访问权限,则终止所述临时用户会话。
6.如权利要求1所述的方法,其中所述授权响应包括与所述用户相关联的用户资料,所述用户资料指示所述用户被授权访问的一个或多个服务。
7.如权利要求6所述的方法,其中所述用户资料包括与所述用户相关联的计费数据和带宽说明。
8.如权利要求6所述的方法,还包括将所述用户资料存储在所述服务选择网关的存储器中。
9.如权利要求8所述的方法,还包括:
确定是否所述持久用户会话是不活动的;
如果所述持久用户会话是不活动的,则终止所述持久用户会话;以及
从所述服务选择网关的存储器中删除所述用户资料。
10.如权利要求6所述的方法,还包括在所述用户终止所述用户会话之后删除所述用户资料。
11.如权利要求1所述的方法,还包括:
确定是否所述持久用户会话是不活动的;以及
如果所述持久用户会话是不活动的,则终止所述持久用户会话。
12.一种用于向用户提供对一个或多个服务的访问的服务选择网关,包括:
所述服务选择网关的第一接口,所述第一接口耦合到网络的一个或多个组件,并且可操作来:
接收来自用户的第一分组,所述第一分组与所述服务中被选定的一个相关联;
向授权服务器发送访问请求,所述访问请求标识所述用户并请求授权以允许所述用户访问所述选定的服务;以及
处理器,可操作来:
创建临时用户会话,所述临时用户会话可操作来允许所述用户在授权未决时临时访问所述选定的服务;
在所述临时用户会话有效时,通过将后续从所述用户接收的分组转发到所述选定的服务来为所述用户提供对所述选定的服务的访问;
接收来自所述授权服务器的授权响应;
确定是否所述授权响应指示所述用户被授权访问所述选定的服务;以及
如果所述授权响应指示所述用户被授权访问所述选定的服务,
则创建持久用户会话,所述持久用户会话可操作来允许所述用户继续访问所述选定的服务;
否则
终止所述临时用户会话。
13.如权利要求12所述的服务选择网关,其中所述第一分组包括因特网协议(IP)分组。
14.如权利要求12所述的服务选择网关,其中所述第一接口可操作来从接入网关接收所述第一分组,所述接入网关已经认证了所述用户的身份。
15.如权利要求12所述的服务选择网关,其中所述处理器还可操作来:如果在经过预定时间段之后没有接收到所述授权响应,则终止所述临时用户会话。
16.如权利要求12所述的服务选择网关,其中所述处理器还可操作来:如果所述授权响应指示所述用户没有对所述选定的服务的访问权限,则终止所述临时用户会话。
17.如权利要求12所述的服务选择网关,其中所述授权响应包括与所述用户相关联的用户资料,所述用户资料指示所述用户被授权访问的一个或多个服务。
18.如权利要求17所述的服务选择网关,其中所述用户资料包括与所述用户相关联的计费数据和带宽说明。
19.如权利要求17所述的服务选择网关,其中所述处理器还可操作来将所述用户资料存储在所述服务选择网关的存储器中。
20.如权利要求19所述的服务选择网关,其中所述处理器还可操作来:
确定是否所述持久用户会话是不活动的;
如果所述持久用户会话是不活动的,则终止所述持久用户会话;以及
从所述服务选择网关的存储器中删除所述用户资料。
21.如权利要求17所述的服务选择网关,其中所述处理器还可操作来在所述用户终止所述用户会话之后删除所述用户资料。
22.如权利要求12所述的服务选择网关,其中所述处理器还可操作来:
确定是否所述持久用户会话是不活动的;以及
如果所述持久用户会话是不活动的,则终止所述持久用户会话。
23.一种配置企业网关的***,该***包括:
用于在服务选择网关处接收来自用户的第一分组的装置,所述服务选择网关可操作来向所述用户提供对一个或多个服务的访问,所述第一分组与所述服务中选定的一个相关联;
用于从所述服务选择网关向授权服务器发送访问请求的装置,所述访问请求标识所述用户并请求授权以允许所述用户访问所述选定的服务;
用于创建临时用户会话的装置,所述临时用户会话可操作来允许所述用户在授权未决时临时访问所述选定的服务;
用于当所述临时用户会话有效时通过将后续从所述用户接收的分组转发到所述选定的服务来为所述用户提供对所述选定的服务的访问的装置;
用于接收来自所述授权服务器的授权响应的装置;
用于确定是否所述授权响应指示所述用户被授权访问所述选定的服务的装置;以及
如果所述授权响应指示所述用户被授权访问所述选定的服务,则
用于创建持久用户会话的装置,所述持久用户会话可操作来允许所述用户继续访问所述选定的服务;
否则
用于终止所述临时用户会话的装置。
24.如权利要求23所述的***,其中所述第一分组包括因特网协议(IP)分组。
25.如权利要求23所述的***,还包括用于从接入网关接收所述第一分组的装置,所述接入网关已认证了所述用户的身份。
26.如权利要求23所述的***,还包括用于如果在经过预定时间段之后没有接收到所述授权响应,则终止所述临时用户会话的装置。
27.如权利要求23所述的***,还可包括用于如果所述授权响应指示所述用户没有对所述选定的服务的访问权限,则终止所述临时用户会话的装置。
28.如权利要求23所述的***,其中所述授权响应包括与所述用户相关联的用户资料,所述用户资料指示所述用户被授权访问的一个或多个服务。
29.如权利要求28所述的***,其中所述用户资料包括与所述用户相关联的计费数据和带宽说明。
30.如权利要求28所述的***,还包括用于将所述用户资料存储在所述服务选择网关的存储器中的装置。
31.如权利要求30所述的***,还包括:
用于确定是否所述持久用户会话是不活动的装置;
用于如果所述持久用户会话是不活动的,则终止所述持久用户会话的装置;以及
用于从所述服务选择网关的存储器中删除所述用户资料的装置。
32.如权利要求28所述的***,还包括用于在所述用户终止所述用户会话之后删除所述用户资料的装置。
33.如权利要求23所述的***,还包括:
用于确定是否所述持久用户会话是不活动的装置;以及
用于如果所述持久用户会话是不活动的,则终止所述持久用户会话的装置。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/703,640 | 2003-11-06 | ||
US10/703,640 US7853705B2 (en) | 2003-11-06 | 2003-11-06 | On demand session provisioning of IP flows |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1997981A CN1997981A (zh) | 2007-07-11 |
CN100517291C true CN100517291C (zh) | 2009-07-22 |
Family
ID=34573337
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2004800319331A Expired - Fee Related CN100517291C (zh) | 2003-11-06 | 2004-10-26 | Ip流的按需会话提供 |
Country Status (5)
Country | Link |
---|---|
US (1) | US7853705B2 (zh) |
EP (1) | EP1690189B1 (zh) |
CN (1) | CN100517291C (zh) |
CA (1) | CA2543300A1 (zh) |
WO (1) | WO2005048034A2 (zh) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7274928B2 (en) * | 1998-10-02 | 2007-09-25 | Telespree Communications | Portable cellular phone system having automatic initialization |
US7197301B2 (en) * | 2002-03-04 | 2007-03-27 | Telespree Communications | Method and apparatus for secure immediate wireless access in a telecommunications network |
US8046581B2 (en) * | 2002-03-04 | 2011-10-25 | Telespree Communications | Method and apparatus for secure immediate wireless access in a telecommunications network |
US7464148B1 (en) | 2004-01-30 | 2008-12-09 | Juniper Networks, Inc. | Network single entry point for subscriber management |
JP2008500632A (ja) | 2004-05-26 | 2008-01-10 | 松下電器産業株式会社 | アドホックアクセス環境を提供するネットワークシステムおよび方法 |
DE102004055505A1 (de) * | 2004-11-17 | 2006-05-24 | Nec Europe Ltd. | Verfahren zur Autorisierung von Dienst-Anfragen an Service Hosts in einem Netzwerk |
GB2422217B (en) * | 2005-01-14 | 2009-12-23 | Hewlett Packard Development Co | Provision of services over a common delivery platform such as a mobile telephony network |
US8213412B2 (en) * | 2005-09-29 | 2012-07-03 | Comcast Cable Holdings, Llc | System and method for providing multimedia services utilizing a local proxy |
US8219678B2 (en) * | 2006-02-13 | 2012-07-10 | Google Inc. | Application verification for hosted services |
US9250972B2 (en) | 2006-06-19 | 2016-02-02 | International Business Machines Corporation | Orchestrated peer-to-peer server provisioning |
US20090046707A1 (en) * | 2007-06-15 | 2009-02-19 | Smires Daniel T | Apparatus for enhanced information display in end user devices of a packet-based communication network |
WO2009076825A1 (zh) * | 2007-11-29 | 2009-06-25 | Huawei Technologies Co., Ltd. | 设置临时权限、实现好友电视业务的方法、***和设备 |
CN101247504B (zh) * | 2007-12-27 | 2010-07-07 | 华为技术有限公司 | 设置临时权限的方法和设备 |
US8443106B2 (en) * | 2007-12-21 | 2013-05-14 | Gary Stephen Shuster | Content restriction compliance using reverse DNS lookup |
US8107452B1 (en) * | 2008-09-26 | 2012-01-31 | Sprint Communications Company L.P. | Customizing a browsing experience on a mobile communications device |
US8543494B2 (en) * | 2009-01-09 | 2013-09-24 | Bank Of America Corporation | Shared appreciation loan modification system and method |
JP5657364B2 (ja) * | 2010-12-08 | 2015-01-21 | フェリカネットワークス株式会社 | 情報処理装置および方法、プログラム、並びに情報処理システム |
US10929551B2 (en) * | 2013-03-13 | 2021-02-23 | Comcast Cable Communications, Llc | Methods and systems for managing data assets |
CN106034073B (zh) * | 2015-03-20 | 2019-01-18 | 网宿科技股份有限公司 | 一种基于内容分发网络的多路径传输优化的方法 |
CN106067861B (zh) * | 2016-06-06 | 2019-11-29 | 天脉聚源(北京)传媒科技有限公司 | 一种加入讨论群的方法及装置 |
US11805127B1 (en) * | 2021-04-16 | 2023-10-31 | Citicorp Credit Services, Inc. (Usa) | Processing tokens in identity assertions for access control to resources |
US20240187411A1 (en) * | 2022-12-04 | 2024-06-06 | Asad Hasan | Human system operator identity associated audit trail of containerized network application with prevention of privilege escalation, online black-box testing, and related systems and methods |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5241594A (en) * | 1992-06-02 | 1993-08-31 | Hughes Aircraft Company | One-time logon means and methods for distributed computing systems |
US5440635A (en) * | 1993-08-23 | 1995-08-08 | At&T Corp. | Cryptographic protocol for remote authentication |
US5655077A (en) * | 1994-12-13 | 1997-08-05 | Microsoft Corporation | Method and system for authenticating access to heterogeneous computing services |
JPH08235114A (ja) * | 1995-02-28 | 1996-09-13 | Hitachi Ltd | サーバアクセス方法と課金情報管理方法 |
US5835727A (en) * | 1996-12-09 | 1998-11-10 | Sun Microsystems, Inc. | Method and apparatus for controlling access to services within a computer network |
US6018767A (en) * | 1998-02-24 | 2000-01-25 | 3Com Corporation | Method and system for managing subscription services with a cable modem |
US6189102B1 (en) * | 1998-05-27 | 2001-02-13 | 3Com Corporation | Method for authentication of network devices in a data-over cable system |
US6311275B1 (en) * | 1998-08-03 | 2001-10-30 | Cisco Technology, Inc. | Method for providing single step log-on access to a differentiated computer network |
US6119160A (en) * | 1998-10-13 | 2000-09-12 | Cisco Technology, Inc. | Multiple-level internet protocol accounting |
US20040198386A1 (en) * | 2002-01-16 | 2004-10-07 | Dupray Dennis J. | Applications for a wireless location gateway |
US6351773B1 (en) * | 1998-12-21 | 2002-02-26 | 3Com Corporation | Methods for restricting access of network devices to subscription services in a data-over-cable system |
JP5047436B2 (ja) * | 1999-10-22 | 2012-10-10 | ノマディックス インコーポレイテッド | ネットワークサイトへのアクセスを試みるユーザをリダイレクトするシステム及び方法 |
US8719562B2 (en) * | 2002-10-25 | 2014-05-06 | William M. Randle | Secure service network and user gateway |
US20030084165A1 (en) * | 2001-10-12 | 2003-05-01 | Openwave Systems Inc. | User-centric session management for client-server interaction using multiple applications and devices |
US7246119B2 (en) * | 2002-03-08 | 2007-07-17 | Kabushiki Kaisha Toshiba | Method and implementation of session-based file locking for network applications |
JP2004062402A (ja) * | 2002-07-26 | 2004-02-26 | Fujitsu Ltd | タイムアウト管理システム、タイムアウト管理サーバ、およびタイムアウト管理プログラム |
US20040044772A1 (en) * | 2002-08-30 | 2004-03-04 | Harkin Arthur S. | Method and system for controlling admission to a server using temporary server access |
US7346025B2 (en) * | 2003-02-28 | 2008-03-18 | Lucent Technologies Inc. | Portable wireless gateway |
US7660880B2 (en) * | 2003-03-21 | 2010-02-09 | Imprivata, Inc. | System and method for automated login |
-
2003
- 2003-11-06 US US10/703,640 patent/US7853705B2/en not_active Expired - Fee Related
-
2004
- 2004-10-26 WO PCT/US2004/035423 patent/WO2005048034A2/en active Application Filing
- 2004-10-26 CN CNB2004800319331A patent/CN100517291C/zh not_active Expired - Fee Related
- 2004-10-26 CA CA002543300A patent/CA2543300A1/en not_active Abandoned
- 2004-10-26 EP EP04796409.3A patent/EP1690189B1/en active Active
Also Published As
Publication number | Publication date |
---|---|
WO2005048034A3 (en) | 2006-05-18 |
CN1997981A (zh) | 2007-07-11 |
WO2005048034A2 (en) | 2005-05-26 |
EP1690189A4 (en) | 2012-08-08 |
EP1690189B1 (en) | 2014-04-30 |
US20050108423A1 (en) | 2005-05-19 |
US7853705B2 (en) | 2010-12-14 |
CA2543300A1 (en) | 2005-05-26 |
EP1690189A2 (en) | 2006-08-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100517291C (zh) | Ip流的按需会话提供 | |
US7738464B2 (en) | Method for providing service based on service quality and an accounting method in a mobile communication system | |
CN102377779B (zh) | 多个联网设备的呼叫方-被叫方关联 | |
TWI345408B (en) | Method for providing routing information, computer program,arrangement in a communication system, mobile terminal and routing server | |
US7391748B2 (en) | Configuration of enterprise gateways | |
US7665129B2 (en) | Method and system for managing access authorization for a user in a local administrative domain when the user connects to an IP network | |
CN101019384B (zh) | 用于在网络环境中分配和分发最终用户信息的***和方法 | |
CN110140380A (zh) | 紧急呼叫的开放接入点 | |
US20070143470A1 (en) | Facilitating integrated web and telecommunication services with collaborating web and telecommunication clients | |
US20030137976A1 (en) | Method and apparatus for IP based metered service on demands network | |
JP2007180998A (ja) | 無線網制御装置及び無線網制御システム | |
US6711610B1 (en) | System and method for establishing secure internet communication between a remote computer and a host computer via an intermediate internet computer | |
JP6678160B2 (ja) | 通信管理システム、アクセスポイント、通信管理装置、接続制御方法、通信管理方法、及びプログラム | |
EP2139197A1 (en) | Communication control system and communication control method | |
RU2253187C2 (ru) | Система и способ для локального обеспечения выполнения установленных правил для провайдеров услуг сети интернет | |
JP3344421B2 (ja) | 仮想私設網 | |
WO2021188081A1 (en) | Method and system of verifying mobile phone information of users who are connected to the internet with a wired/wireless gateway other than the gsm mobile network with a mobile device in the gsm mobile network area | |
KR101504895B1 (ko) | Byod 서비스에 대한 분리과금 시스템 및 데이터 서비스에 대한 분리과금 방법 | |
JP3830388B2 (ja) | ハイブリッド型セルラーテレコミュニケーションシステムにおいて移動ステーションを伴うセキュリティ手順を実行するための方法及び装置 | |
CN107800569B (zh) | 一种基于ont的vpn快速接入***和方法 | |
JP2002064566A (ja) | 通信ネットワークにおける通信方法および通信システム | |
KR20240042960A (ko) | 다중 인증을 제공하는 기업 전용망 서비스 시스템 | |
KR101408590B1 (ko) | Sip 통신 시스템 및 그 제어방법과, sip 통신 시스템에 포함되는 통신 접속 장치 및 그 제어방법 | |
EP1322096A2 (en) | Method and system for addressing a communication device | |
JP2007020185A (ja) | インターネットローミング方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090722 Termination date: 20211026 |