[发明专利]认证网关的自发起端到端监控

说明书

技术领域

本发明涉及网络认证网关。

背景技术

强制网络门户(captive-portal)技术强制网络上的HTTP客户端的用 户在前进到因特网进行正常浏览之前观看特定web页面(例如，出于认证 目的)。通常，这种技术截取无论地址或端口为何的所有分组，直到用户 打开web浏览器(例如，Internet Explorer或Mozilla Firefox)并试图访问 因特网为止。此时，浏览器被重导向至可能需要认证的web页面。大多数 Wi-Fi热点都利用某种形式的强制网络门户，但是强制网络门户也可用于 控制有线访问(例如，在公寓屋内、在旅馆房间内、和在商业中心)。

因为web主机的登录页面自身被呈现给客户端的用户，所以登录页面 在本地被存储在执行强制网络门户的接入网关中，或者作为登录页面主机 的服务器经由围墙花园(walled garden)而被“列入白名单” (whitelisted)以绕开认证处理。

强制网络门户通常辅助执行付款结构。但是，强制网络门户在免费无 线网络中正变得越来越普遍，在免费无线网络中，取代对用户进行认证， 强制网络门户通常与使用条款一起显示来自ISP提供商的消息，并要求用 户同意。

许多强制网络门户要求客户端的用户通过SSL加密的登录页面，在那 之后客户端的IP和MAC地址被允许通过接入网关。因此，一些平台不支 持强制网络门户，例如，包括Wi-Fi和TCP/IP栈但是不包括利用HTTPS 的web浏览器的游戏平台。

端到端监控是这样的处理，其就像实际端用户会做的那样尝试远程访 问web服务器或其它因特网设备以验证该服务器为可访问并总是正确运 作。该方法可以取代由web或系统管理员运行的本地监控软件而被使用， 或者作为对该本地监控软件的补充。

附图说明

图1是示出可结合本发明一些实施例使用的网络环境的示图。

图2是示出服务器装备(appliance)的硬件系统体系结构的示图，该 服务器装备可以包括本发明一些实施例中的认证网关。

图3A和3B相组合是示出用于监控认证网关的示例处理的框图-序列 图，其中的序列可结合本发明实施例来使用。

图4是示出示例性监控处理的流程图的示图，其中的处理可以由本发 明一些实施例中的认证网关执行。

图5是示出示例性监控处理的流程图的示图，其中的处理可以由本发 明一些实施例中的客户端执行。

具体实施方式

在特定实施例中，本发明提供了涉及自动化的、端到端监控一个自发 起监控的认证网关的方法、装置和系统。以下示例实施例是结合装置、方 法和系统来描述并图示的，这些装置、方法和系统应该是示例和说明性 的，而非限制范围。

A.网络环境

图1是示出可以结合本发明的一些实施例使用的网络环境的示图。该 网络包括与交换机和接入点(AP)102相连的若干客户端101。在特定实 施例中，客户端101之一可以是参与下文描述的监控处理的软件代理。交 换机或AP 102进而与认证网关103相连，以下将进一步详细描述认证网 关103。在特定实施例中，认证网关103可以是具有如下两个网络接口的 双宿(dual-homed)设备：(1)用于客户端101的内部接口；和(2)用 于诸如因特网之类的网络的外部接口。

认证网关103与路由器104相连，路由器104与网络(例如因特网) 105相连。与网络相连的还有RADIUS(远程认证拨号用户设备)服务 器，并且也许还有信用卡服务器107，该信用卡服务器107可以结合来自 客户端101之一的用户的付款被使用。将会了解，可以使用RADIUS服务 器来执行针对网络访问的AAA(认证、授权、计费)协议。

在一些实施例中，认证网关是将来自客户端计算机的web访问重新导 向对用户进行认证的web页面的服务管理网关。一旦网关认证了用户，网 关就授权用户访问受该网关控制的网络。通常认证网关被部署在诸如医院 之类的环境中用于向顾客付款以访问因特网。一些机构使用认证网关来向 顾客信息中心处的和机构场地中的其它地方处的访客提供因特网连接性。

B.认证网关的系统体系结构