CN100380892C - 服务控制网络,服务器,网络装置 - Google Patents
服务控制网络,服务器,网络装置 Download PDFInfo
- Publication number
- CN100380892C CN100380892C CNB021465827A CN02146582A CN100380892C CN 100380892 C CN100380892 C CN 100380892C CN B021465827 A CNB021465827 A CN B021465827A CN 02146582 A CN02146582 A CN 02146582A CN 100380892 C CN100380892 C CN 100380892C
- Authority
- CN
- China
- Prior art keywords
- service
- address
- network equipment
- terminal
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种由服务器和网络装置构成的配置,该服务器包括通过使用作为终端识别信息的网络访问识别符(RFC2486)来进行写入操作的服务控制信息数据库,在同终端连接的时候,在网络访问识别符和由客户的网络装置指定给该终端的IP地址之间建立对应关系,并且向一个所需的路径分配一个将网络访问识别符转换为IP地址的服务控制信息,而该网络装置通过使用IP地址作为客户的识别信息,根据从服务器分配过来的服务控制信息(策略)对分组进行传输控制,因此可以提供一种可以在具有非固定地址的网络设备中设置网络控制信息的服务控制网络、服务器、网络装置、服务信息分配方法以及服务信息分配程序。
Description
技术领域
本发明涉及一种服务控制网络、服务器、网络装置、服务信息分配方法以及服务信息分配程序,可以向各个用户或终端提供个别的服务。
背景技术
随着因特网近来的普及,已经可能出现有非常大量的终端和一个网络相连的情况。尤其是,随着能够和网络连接的移动终端在数量上的急剧增加,网络中所设置的网络装置(主要是路由器)的数量也会随着增加。
向用户提供通信服务的服务商能够根据与每个用户之间的合同来向每个用户提供不同的服务。例如,服务商可以分配QoS(服务质量:服务质量控制)等等。
为了向每个用户或终端提供各自的服务,希望在考虑移动环境的情况下,向网络中所有的通信节点都分配各个用户的服务控制信息。但是,网络中通信节点的数量非常大,因此向所有的节点分配各个用户的服务控制信息也几乎是不可能的。
因此,提出了一种动态的向不能再减少的最小数量的通信节点(例如,实际上分配服务控制信息的通信路径上的通信节点)分配用户服务控制信息、而不是向网络中所有的通信节点都分配各个用户的服务控制信息的系统。例如,当移动终端从一个通信区域移动至另一个区域时,可以通过向新容纳该通信终端的通信节点分配移动终端控制信息来实现该系统。
在使用IPv4(网际协议第4版)作为基本技术的因特网世界中,由于IPv4地址的枯竭,通过DHCP(动态主机配置协议)来动态地获得一个IP(网际协议)地址、以及尽量高效地使用IP地址的机制已被广泛地采用。IPv6(网际协议第6版)是下一代因特网的基本协议,该协议提供了一个很宽的地址空间,并且将生成动态地址的方法作为一个其中的标准功能。其后因特网通信所要解决的问题就是如何处理这些动态地址。
还有,这些年来在因特网方面,服务器对网络采取了集中式的管理,并且可以通过指定一个IP地址来在网络中实现各种服务例如安全、QoS、分配路径等等。但是,被控制的网络设备必须有一个固定的地址,因此具有动态地址的网络设备是无法控制的。
本发明人已经向日本专利局提出申请并已经被公开的日本专利No.2001-169341中就采用了移动IP技术。该发明指出,考虑到移动终端的情况,网络管理系统(NMS:此后指服务器)是很难控制一个网络的,因此要求有一个用来进行位置注册的服务控制信息分配方法,并且公开了一种向边缘路由器传输服务记录(service profile)的技术。
发明内容
本发明的一个目的就是提供一种服务控制网络,服务器,网络装置,服务信息分配方法以及服务信息分配程序,可以通过准备一个同用于配置动态地址的机制协作的服务控制信息分配装置,从而将网络的控制信息分配到甚至是具有非固定地址的网络设备中去。
本发明的另一个目的就是提供一种高效的过滤服务,这是通过使用一种对非授权用户进行调整服务的服务控制信息分配装置来实现的,该服务一般与自动地址配置装置一起使用,并且提供一种网络服务。
在本发明的第一方面,一种服务控制网络,该网络具有一个容纳有终端的网络装置,以及对该终端进行鉴权并向该终端提供服务的服务器,其中
该服务器包括:
服务控制信息数据库,该数据库通过使用网络访问识别符来存储终端的识别信息;
服务记录(profile)控制单元,该单元包括地址高速缓存,用于在容纳终端的网络装置指定给该终端的IP地址和网络访问识别符之间进行对应,并且对于指定网络访问识别符的网络控制请求,将服务控制信息转换为一种网络装置在服务器的控制下能够解释的格式;
服务记录分配单元,该单元用于识别服务控制信息的分配目的地,并分配该服务控制信息,其中
在与终端相连的时刻,该服务记录分配单元在网络访问识别符和容纳终端的网络装置指定给该终端的IP地址之间建立对应关系,并且
该服务记录分配单元向所需路径分配服务控制信息,其中网络访问识别符被转换为IP地址;
鉴权控制单元,用来根据对于一个对终端进行鉴权的鉴权操作来检测终端的网络访问,并向地址高速缓存中注册一个进行鉴权请求的终端的网络访问识别符,以及一个由网络装置通知的IP地址;以及
服务记录生成单元,用来向所述鉴权控制单元提供一个接口,以便于从发出鉴权请求的终端的网络访问识别符中获得IP地址,其中
所述服务记录分配单元中包括网络前缀和网络装置之间的对应表,并根据服务记录的源地址确定服务记录的分配目的地,其中由所述服务记录生成单元将网络访问识别符转换为一个IP地址;
该网络装置包括:
值班(attendant)单元,该值班单元允许发出鉴权请求的用户进行网络访问,以及通过使用包含在服务器中的鉴权控制单元对鉴权请求和应答消息进行交换而指定IP地址,为了对终端鉴权,根据所执行的鉴权操作来检测来自终端的网络访问,并且向地址高速缓存中注册发出鉴权请求的终端的网络访问识别符,以及由该网络装置通知的IP地址;
服务控制单元,该服务控制单元以终端为单位划分以及管理由服务器通知的被复用的服务控制信息;
分组控制单元,用来对接收到的IP分组进行传输控制;以及
访问监测单元,用来动态地设置服务记录,并且如果发出鉴权请求的用户进行了预定数量或更多的访问,则发出警告。
在本发明的第二方面,一种对由网络装置容纳的终端进行鉴权的服务器,包括:
服务控制信息数据库,该数据库通过使用网络访问识别符来存储终端的识别信息;
服务记录控制单元,该单元包括地址高速缓存,用于在容纳终端的网络装置指定给该终端的IP地址和网络访问识别符之间进行对应,并且对于指定网络访问识别符的网络控制请求,将服务控制信息转换为一种网络装置在服务器的控制下能够解释的格式;和
服务记录分配单元,该单元用于识别服务控制信息的分配目的地,并分配该服务控制信息,其中
在与终端相连的时刻,该服务记录分配单元在网络访问识别符和容纳终端的网络装置指定给该终端的IP地址之间建立对应关系,并且
该服务记录分配单元向所需路径分配服务控制信息,其中网络访问识别符被转换为IP地址;
鉴权控制单元,用来根据对于一个对终端进行鉴权的鉴权操作来检测终端的网络访问,并向地址高速缓存中注册一个进行鉴权请求的终端的网络访问识别符,以及一个由网络装置通知的IP地址;以及
服务记录生成单元,用来向所述鉴权控制单元提供一个接口,以便于从发出鉴权请求的终端的网络访问识别符中获得IP地址,其中
所述服务记录分配单元中包括网络前缀和网络装置之间的对应表,并根据服务记录的源地址确定服务记录的分配目的地,其中由所述服务记录生成单元将网络访问识别符转换为一个IP地址。
在本发明的第三方面,一种网络装置,该网络装置容纳有终端,并根据服务控制信息进行分组传输控制,其中的服务控制信息作为来自用于对终端鉴权的服务器的终端标识而被分配,该服务器包括一个通过使用网络访问识别符来存储终端识别信息的服务控制信息数据库,在网络访问识别符和容纳该终端的网络装置指定给该终端的IP地址之间建立对应关系,并且向所需路径分配服务控制信息,在该服务控制信息中网络访问识别符被转换为IP地址,该网络装置包括:
值班单元,该值班单元允许发出鉴权请求的用户进行网络访问,以及通过使用包含在服务器中的鉴权控制单元对鉴权请求和应答消息进行交换而指定IP地址,为了对终端鉴权,根据所执行的鉴权操作来检测来自终端的网络访问,并且向地址高速缓存中注册发出鉴权请求的终端的网络访问识别符,以及由该网络装置通知的IP地址;
服务控制单元,该服务控制单元以终端为单位划分以及管理由服务器通知的被复用的服务控制信息;以及
分组控制单元,用来对接收到的IP分组进行传输控制;以及
访问监测单元,用来动态地设置服务记录,并且如果发出鉴权请求的用户进行了预定数量或更多的访问,则发出警告。
在本发明的第四方面,一种服务信息分配方法,该方法由容纳有终端的网络装置执行,包括:
根据由服务器分配来的作为终端标识的服务控制信息进行分组传输控制;
通过与包含在服务器中的鉴权控制单元交换鉴权请求和应答消息,来允许发出鉴权请求的用户进行网络访问和IP地址指定,根据用于对终端鉴权的鉴权操作来检测来自终端的网络访问,并且向地址高速缓存中注册发出鉴权请求的终端的网络访问识别符,以及一个由该网络装置通知的IP地址;以及以终端为单位划分和管理由服务器通知的被复用的服务控制信息。
附图说明
图1是解释本发明的原理的服务控制网络的结构图;
图2是为了实现根据本发明的服务控制网络而要解决的问题;
图3是使用本发明的技术B的一个解决方案;
图4为用于设置静态服务控制信息的基本操作;
图5为用于设置动态服务控制信息的基本操作;
图6为解释本发明的技术A和技术B之间的不同之处的方框图(其一);
图7为解释本发明的技术A和技术B之间的不同之处的方框图(其二);
图8为解释本发明的技术A和技术B之间的不同之处的方框图(其三);
图9为解释本发明的技术A和技术B之间的不同之处的方框图(其四);
图10为本发明的技术B的功能性方框图;
图11示出了AAA请求消息的格式(其一);
图12示出了AAA请求消息的格式(其二);
图13示出了AAA应答消息的格式(其一);
图14示出了AAA应答消息的格式(其二);
图15示出了AAATeadown消息的格式;
图16示出了DIAMETER消息的格式;
图17示出了AMR消息的格式;
图18示出了AMA消息的格式;
图19示出了ASR消息的格式;
图20示出了ASA消息的格式;
图21示出了STR消息的格式;
图22示出了STA消息的格式;
图23举例说明了一个过滤器;
图24举例说明了一个网络装置的地址高速缓存;
图25举例说明了该网络装置的服务记录(profile)高速缓存;
图26为该网络装置分组控制单元的处理流程图;
图27为逐跳选项的格式;
图28为网络装置的值班过程流程图(其一);
图29为网络装置的值班过程流程图(其二);
图30为网络装置的服务控制单元处理过程的流程图;
图31为网络装置的访问监测单元处理过程的流程图;
图32举例说明了一个鉴权数据库/一个服务记录原语;
图33举例说明了一个服务器的地址高速缓存;
图34举例说明了一个服务器的服务记录高速缓存;
图35举例说明了网络前缀和EN之间的对应列表;
图36为服务器的鉴权控制单元处理过程的流程图;
图37为服务器的服务记录控制单元处理过程的流程图(其一);
图38为服务器的服务记录控制单元处理过程的流程图(其二);
图39为服务器的服务记录分配单元处理过程的流程图;
图40为根据本发明的优选实施例(一个用AAA作为IPv6网络访问的例子)的系统结构图;
图41示出了服务注册序列(一个设置服务记录原语的例子);
图42示出了当主机1获得一个地址时的全部序列(一个分配服务记录的例子);
图43示出了网络装置的处理序列的细节;
图44示出了服务器的处理序列的细节;
图45示出了在主机1获得地址之后,当主机2获得一个地址时的全部序列(一个分配服务记录的例子);
图46示出了当一个边缘节点1自动获得服务记录时的全部序列;
图47为显示网络装置的操作的处理序列的细节;
图48示出了服务器的处理序列的细节;
图49示出了当主机1的地址寿命届满时的整个处理序列;
图50为显示网络装置的操作的处理序列的细节;
图51示出了服务器的处理序列的细节;
图52示出了当主机1释放一个地址时的整个序列;
图53为显示网络装置的操作的处理序列的细节;
图54示出了服务器的处理序列的细节;
图55为在不同的域之间通信时根据优选实施例的系统结构图;
图56示出了当与网1由漫游连接的网2同网络相连并获得地址时的整个序列;
图57示出了网2域中的服务器的细节;
图58示出了在边缘节点1中设置一个静态过滤器的情况下,当主机1向主机2传输分组时的序列(一个采用数据分组的例子);
图59示出了当向一个容纳通信目的地主机的边缘节点分配服务记录时的序列(一个将动态服务应用于数据分组的实施例),这是通过对来自边缘节点1中的数据分组采用基本服务来实现的;
图60示出了动态地对数据分组进行过滤的情况下的序列;
图61示出了网络装置或服务器的结构;
图62说明了如何将根据本发明的程序载入到计算机中。
具体实施方式
在下文中,将参照附图对本发明的优选实施例进行描述。需要注意的是,在附图中有时候用大括号{}中的数字来代替圆括号()中的数字。
本发明采用了以下的结构来解决上面所述的问题。
也就是,根据本发明的一个优选实施例,根据本发明的服务控制网络由一个服务器进行配置,该服务器包括一个将网络访问识别符(RFC2486)作为终端(主机、客户端、用户终端或者应用服务器)的识别信息来存储的服务控制信息数据库,在同客户端相连的时候,在网络访问识别符和客户端的网络装置指定给该终端的IP地址之间建立对应关系,向所需路径分配将网络访问识别符转换为IP地址的服务控制信息,以及一个网络装置,该装置通过使用用来识别终端的IP地址,根据由服务器传输来的服务控制信息(策略)进行分组的传输控制。
在服务控制网络中,根据本发明的服务器包括:一个地址高速缓存,用来在由终端(客户端)的网络装置指定给该终端的IP地址和网络访问识别符之间建立对应关系;一个服务记录控制单元,用来为来自一个该服务器本身或者不同实体(网络装置、服务器或者应用)的网络控制请求将服务控制信息转换为一个在服务器的控制下网络装置能够解释的格式,该网络控制请求指定了网络访问识别符;以及一个服务记录分配单元,用来识别该服务记录的分配目的地,并分配该服务记录。
该服务器还进一步包括:一个鉴权控制单元,用来根据对于一个用户所执行的鉴权操作检测一个客户的网络访问,并向地址高速缓存中注册一个进行鉴权请求的用户的网络访问识别符以及一个由网络装置通知的IP地址;一个服务记录生成单元,用来提供一个接口以便于从发出鉴权请求的用户网络访问识别符中获得一个IP地址;以及一个服务记录分配单元,该单元中包括网络前缀和网络装置之间的对应表,并根据服务记录的源地址确定服务记录的分配目的地,并由服务记录生成单元将网络访问识别符转换为一个IP地址。
该服务器的服务记录分配单元的队列中为每个从源地址中获得的网络装置都存储一个服务记录,该记录被转换为该网络装置能够解释的格式,并且当该鉴权控制单元为了响应来自各个网络装置的鉴权请求消息而生成一个鉴权应答消息的时候,从相应于传输目的地的网络装置的队列中提取分配给该网络的服务记录,并且复用一个消息中的多个服务记录。
另外,该网络装置还包括一个值班单元,该单元允许发出鉴权请求的用户进行网络访问,并通过服务器的鉴权控制单元对鉴权请求和应答消息进行互换来指定IP地址,并且该服务控制单元以用户为单位分配以及管理由服务器通知的被复用的服务控制信息。
该服务器的服务记录分配单元对不同的域都具有一个队列,并且当从不同的域中发出鉴权请求时,在队列中为每个不同的域都存储一个记录。
当为了响应鉴权请求消息而生成一个鉴权请求应答消息时,该鉴权控制单元从相应的发出鉴权请求的域的队列中提取将要被分配给该网络装置的服务控制信息,并且将该提取出的信息作为鉴权应答消息发送出去。
位于鉴权请求源中的服务器提取用鉴权应答消息通知的服务记录,并在位于鉴权请求源中的服务器的控制下将该提取出来的记录存储在该网络装置域的一个队列中。
还有,该网络装置包括一个值班单元,如果客户端在一预定的期间内没有发出鉴权请求,则该值班单元会自动地向服务器传送一个服务请求消息,并且随着服务应答消息下载关于网络装置本身的服务控制信息。
进一步,在服务控制网络中,服务记录被分为静态和动态控制信息。在鉴权结束后会立即采用该静态控制信息,而只有在传输分组的时候才会采用动态控制信息。
再进一步,该网络装置向静态分组过滤器中注册一个可指定的IP地址,其中该过滤器通过参考源IP地址来对分组进行过滤。并且将分组的丢弃作为分组过滤器条目的动作(action)进行注册,这样就能高效地实现上述的服务控制系统。
还进一步,该网络装置通过替换随着鉴权应答消息从服务器返回来的服务记录的动作来有效地使用硬件资源,其中当对主机进行鉴权操作时,该记录对应于指定给一个客户端的地址,具体地说,是用于每个客户端的QoS信息的地址。
还进一步,如果分组的源IP地址与参照源IP地址对分组进行过滤的分组过滤器不匹配,则该网络装置为了有效实现上述的动态服务控制控制系统,会检测是否已经分配了分组的源IP地址。如果该源地址已经被分配,则该网络装置会向该分组过滤器中注册从服务器中分配过来的服务控制信息,以及策略表。
如果该源地址没有被分配,则该网络装置会向该分组过滤器中注册指定丢弃该分组的服务控制信息,以及策略表。
还进一步,该网络装置包括一个访问监测单元,用来对通过该分组过滤器的分组进行记录,其中指定丢弃分组的服务信息被注册在该过滤器中,并且如果进行了预定数量或更多的访问,则发出警告。
还进一步,在该服务控制网络中,一个服务记录还进一步被分成由用户在上游和下游方向分配QoS的基本服务信息,和分别在上游方向分配给目标地址以及在下游方向分配给源地址的扩展服务信息,并且该要求更多硬件资源的扩展服务信息可以通过结算(accounting)等来反映。
还进一步,在该服务控制网络中,在下游方向的服务控制信息按照IPv6逐跳选项进行分配,并且被通知给目标网络装置,这是为了防止没有被指定具体地址的服务控制信息在服务器的控制下被分配给所有的网络装置。
还进一步,该网络装置在传输分组时编辑一个通信量类字段(traffic classfield),并在静态或动态分组过滤器条目的动作中设置一个控制模式,该模式以IPv6逐跳选项在下游方向上设置以及插入服务记录。如果该分组没有该选项,则它被设置在动态分组过滤器中。
还进一步,根据该优选实施例的服务控制网络假设包括一个IPv6网络。根据该优选实施例的服务控制网络包括一个对终端进行鉴权的AAA(鉴权、授权、以及结算)服务器,一个作为具有IPv6网络的通信节点的网络装置(例如,由IPv6路由器实现并也被称作边缘节点(EN)),一个同IPv6网络连接的访问网络,以及一个作为终端的IPv6主机。
图1示出了用来解释本发明的原理的服务控制网络的结构。
在该图中,该服务控制网络包括一个其通信QoS得到保证的网络装置2,并且同一个IP网络连接;一个通过IP网络来管理网络装置的服务器3;以及一个通过局域网与网络装置2通信的主机1。
采用了这种结构后,无论用户对哪个网络进行访问,在网络中随意移动的用户都可以接收到相同的网络服务。
图2是为了实现根据本发明的服务控制网络而要解决的问题。
为了实现如图1中所示的服务控制网络,图2中所示的下面三个问题就必须得到解决。
也就是,三种方法例如(1)将服务控制信息(方法或服务记录)分配给网络设备的时间,(2)在一个具有动态地址的主机中设置一个策略的方法,以及(3)向包含在通信中的边缘节点(EN)分配策略的方法。
它们的解决方案将在下面描述。
图3显示了使用本发明的技术B来解决该问题的方案。
对于(1),对移动IP位置进行注册的操作在公开号为No.2001-169341的日本专利中被用作时间。不光在本发明的技术A中,在本发明的技术B中也都是使用自动地址设置操作来作为定时。
对于(2),本发明的技术A提出了一种使用由RFC(请求注解)规定的NAI(网络访问识别符)来代替其IP地址作为主机标识符的方法。类似地,本发明的技术B也使用了NAI。
对于(3),公开号为No.2001-169341的日本专利标识了一个通信中用到的EN,并且通过使用移动IP位置注册操作中所包含的移动代理来分配策略,并且在对数据分组进行发/收操作时进行最优化路径的操作。使用本发明的技术A,一个EN请求一个容纳通信目的主机的EN来解析NAI,并在接收到数据分组时分配服务记录,这样策略就能够被分配到包含在通信中的EN。使用本发明的技术B,通过执行一个对自动地址设置操作进行组合的鉴权操作,服务器(NMS)将用发出地址请求的用户的NAI输写的服务记录转换为用IP地址书写的策略,并直接将策略分配给根据IP地址所参照的网络装置。这部分是本发明的技术B所特有的处理方法,同本发明的技术A是不同的。本发明的技术A和B之间的不同之处将在后面进行详细的描述。
本发明的技术B的基本操作包括静态服务控制信息设置(如图4所示),以及动态服务控制信息设置(如图5所示)。需要注意的是策略和服务记录在下文中被用作同义词。
首先参照图4对静态服务控制信息设置原理进行描述。(1)一个用户向一个数据库注册一种服务,其中服务器(NMS)通过使用来自用户用于通信的终端(主机1)的NAI说明对数据库进行管理。(2)当在主机1和网络之间建立了一个链接的时候,由主机(主机1)执行自动配置地址的操作。(3)由接收地址指定请求的网络装置(EN1)指定一个请求地址,并为了判断是否允许主机1同网络相连而向服务器(NMS)发送一个鉴权请求。(4)接收鉴权请求的服务器(NMS)对主机1进行鉴权,并根据鉴权请求消息中的NAI设置查找服务记录数据库。接着,通过参照服务器(NMS)自己管理的地址高速缓存,由服务器(NMS)生成一个服务记录,在该记录中用提取出的服务记录的NAI书写的部分被转换成IP地址,并且返回一个鉴权应答消息。(5)接收该鉴权应答消息的网络装置(EN1)设置一个分组过滤器,这样一来如果成功的通过了鉴权,则该指定的地址就可以使用了,并为了响应地址指定请求消息而返回一个应答消息。(6)服务器(NMS)通过参照在服务记录的条件部分中的源地址对将要被分配给服务记录的网络装置(EN1和EN2)进行标识,并分配该服务记录(该服务记录随着鉴权应答消息或服务应答消息被分配给网络装置(EN1和EN2)。(7)由于目前可以在网络上建立通信的主机(主机2)的服务记录已经被设置在网络上,主机(主机1)可以按照用户所需要的通信质量同用户注册的主机(主机2)进行通信。
该静态的设置服务的方法是本发明的技术B的基础部分,在只对特定应用服务器指定特定的服务质量的通信过程中,对分配服务记录进行最优化是可以取得预想的效果的。
同时,如果对没有指定特定通信伙伴的所有通信都希望有相同的服务质量,则必须采用静态的设置方法将该服务记录分配给所有的EN,而公开号为No.2001-169341的日本专利的优点,也就是只向通信中的网络设备分配策略的优点就丧失了。
图5为采用了同本发明的技术A不同的通信方法来实现服务控制的方法,并且这是本发明的技术B的第二个要点。
参照图5对动态服务控制信息设置的原理进行说明。(1)至(5)都和图4中所述的相同。(6)服务器(NMS)通过参照服务记录中的条件部分的源地址对将要被分配给服务记录的网络装置(EN1)进行标识,并分配该服务记录。由于在该例子的情况下并没有识别通信伙伴,因此只会把服务记录分配给能够根据源地址进行识别的网络装置(EN1)。(7)当主机(主机1)将数据分组传输给主机(主机2)时,该网络装置(EN1)根据(6)中分配的服务记录进行标记或者队列控制。接着该网络装置(EN1)将逐跳选项加到将要被传输给网络装置(EN2)的数据分组中,在该逐跳选项中已经设置了向下游方向应用的服务记录信息。在接收到其中加有逐跳选项的数据分组时,该网络装置(EN2)在过滤器逐跳选项中对信息集进行设置,并为随后来自主机的通信进行准备。(8)当主机(主机2)向主机(主机1)传输数据分组时,该网络装置(EN2)根据(7)中的过滤器设置进行标记或队列控制,并将该数据分组传输给网络装置(EN1)。
本发明的技术A和B之间的不同将参照图6-9来描述。
图6显示了主机(主机1)进行服务设置以在同主机(主机2)之间的双向通信中采用Diffserve AF1类的情况下,从主机(主机1)同网络连接开始到主机1向主机(主机2)传输数据分组为止的所采用的服务记录的过程。图6中的(a)显示的是技术A的处理过程,而图6中的(b)显示的是技术B的处理过程。
在这里,假设在主机(主机1)同网络相连之前,主机(主机2)已经同网络相连,并且已经通过了服务器(NMS)的鉴权。
首先对本发明的技术A的处理过程进行说明。(1)主机(主机1)向服务器(NMS)发出鉴权请求。(2)该服务器(NMS)以未改变NAI的形式将(主机1)的双向记录通知给网络装置(EN1)(该类似于NMS(服务器)的SP(服务记录)被作为EN1(网络装置)的SP而被传输。(3)在接收到数据分组时,该网络装置(EN1)检查该服务记录是否被激活。如果不知道对应于主机2的NAI的IP地址,则该服务记录并没有被激活,因此该网络装置(EN1)将服务记录按照原样传输给IP网络。(4)如果该服务记录没有被激活,则网络装置(EN1)请求含有数据分组的传输目标主机的网络装置(EN2)解出NAI并分配服务记录。这是由于只有指定地址的节点,也就是这种情况下的EN2,管理用来存储信息的地址高速缓存,其中的信息是指在NAI和IP地址之间建立的对应关系。在该例子中,主机(主机2)的服务记录并不存在,这是因为主机2没有在网络装置(EN1)的控制下向网络装置(EN1)和主机中注册“没有服务”,并且对应于主机(主机2)IP地址的NAI被从网络装置(EN2)下面所示的地址高速缓存中返回给网络装置(EN1)。结果,该相应于主机(主机2)的NAI的IP地址问题被解出,因此从主机(主机1)向上至主机(主机2)的服务记录被激活了。(5)该服务记录被应用于接下来从主机(主机1)至主机(主机2)的数据分组。也就是,接下来的其QoS为AF1的数据分组被从主机(主机1)传输至主机(主机2)。
下面将描述本发明的技术B的处理过程。(1)主机(主机1)向服务器(NMS)发出鉴权请求。(2)该服务器(NMS)将主机(主机1)的服务记录从NAI的格式转换为IP地址的格式,并将从源地址网络前缀中获得的服务记录分配给网络装置。具体地说,从主机(主机1)向上至主机(主机2)服务记录被分配给网络装置(EN1),而从主机(主机2)向下至主机(主机1)服务记录被分配给网络装置(EN2)。与本发明的技术A不同,本发明的技术B中的服务器(NMS)也包括一个地址高速缓存。因此,NAI可以被转换为IP地址而不需要进行解出地址的操作。由于这些分配的服务记录满足了激活的必要条件,所以它们可以在收到的同时被激活。(3)该服务记录被应用于从主机(主机1)至主机(主机2)的数据分组。
图7示出了在同图6相同的条件下,当从主机(主机2)向主机(主机1)传输数据分组时采用服务记录的过程。图7中的(a)显示的是技术A的处理过程,而图7中的(b)显示的是技术B的处理过程。
首先对本发明的技术A的处理过程进行说明。(1)在接收到来自主机(主机2)的数据分组的同时,网络装置(EN2)检测是否该服务记录是有效的。由于目前该服务记录是无效的,因此网络装置(EN2)按原样传输给数据分组。(2)如果该服务记录没有被激活,则该网络装置(EN2)请求位于数据分组传输目的地的网络装置来解析该NAI,并分配一个服务记录。在该例子中,由主机(主机1)向主机(主机2)注册一个服务。因此,服务记录由主机(主机2)往下传输给主机(主机1),并且对应于主机(主机1)的IP地址被返回给网络装置(EN2)。从而解出该相应于被通知服务记录的NAI的IP地址,因此由主机(主机2)往下传输给主机(主机1)的服务记录可以被激活。结果,该服务记录被激活了。(3)该服务记录被应用于接下来的从主机(主机2)至主机(主机1)的数据分组。
本发明的技术B的处理过程可以这样描述。(1)由于由主机(主机2)传输给主机(主机1)的服务记录已经有效,所以可以将该服务记录应用于数据分组。
本发明的技术A和B之间的不同之处已经在上面叙述过了。由图6和7可以看出,本发明的技术B的服务分配方法比本发明技术A的更简单,并且可以预料到能够取得降低处理网络装置负荷的效果。还有,虽然采用本发明技术A的服务不能用于最初的传输分组,但采用本发明技术B的服务却可以用于最初的传输分组。
可是,由于在开始通信的时候服务记录就可以被激活,所以本发明的技术A在有效地使用网络资源方面还是有优势的。本发明的技术B在有效地使用网络资源方面是不占优势的。这是由于当用户终端的地址项被激活时,服务记录也会持续保持激活状态,而不论是否进行通信。可是,如果考虑到没有被授权的用户的调整服务,技术B就要求生成访问调整过滤器,并且将这些过滤器同用于服务记录的过滤器组合在一块,使得在本发明的技术B中也能有效地使用网络资源。
图8示出了从主机(主机1)同网络连接开始至该主机(主机1)向主机(主机2)传输一个数据分组为止的期间内,为了在主机1所有包含的通信中采用QoS,例如Diffserve AF1类而对服务进行设置的情况下采用服务记录的处理过程。图8中的(a)显示的是技术A的处理过程,而图8中的(b)显示的是技术B的处理过程。
在这里,假设在主机(主机1)同网络相连之前,主机(主机2)已经同网络相连,并且已经通过了服务器(NMS)的鉴权。
本发明的技术A与图6中所示的相同。由于没有指定通信伙伴,服务记录是特别设计的。但是,服务记录分配过程却是相同的。本发明的技术B也可以采用图6中所示的过程来实现。如前所述,服务器(NMS)在这种设置的情况下向所有的网络装置分配服务记录。因此,本发明所具有的只在一个网络设备中设置服务记录的优点就丧失了。
这里将对通过服务器(NMS)解出地址而实现的动态服务记录分配方法进行描述。
(1)主机(主机1)向服务器(NMS)发出鉴权请求。(2)该服务器(NMS)通过使用包含在服务器(NMS)中的地址高速缓存将主机(主机1)的服务记录从NAI的格式转换为IP地址的格式。如果没有定义通信伙伴,则就向传输鉴权请求的网络装置(EN1)分配一个双向服务记录。由于其通信伙伴没有定义的服务记录是一个只以源地址为条件的服务过滤器,则它是可以被激活的。(3)当接收到由主机(主机1)传至主机(主机2)的数据分组时,网络装置(EN1)根据被激活服务记录控制该分组,以逐跳选项的方式,在该数据分组的IP报头中设置并加入向下被用于主机(主机1)的服务记录(如图8(b)中EN2下面所示的SP),并将该数据分组传输给网络装置(EN2)。(4)在接收到逐跳选项时,网络装置(EN2)就激活该接收到的服务记录(5)该网络装置(EN2)排除该逐跳选项,并将该数据分组传输给主机(主机2)。
图(9)显示了当主机(主机2)在同图8相同的条件下向主机(主机1)传输数据分组时的处理过程。图9中的(a)显示的是技术A的处理过程,而图9中的(b)显示的是技术B的处理过程。对该图的描述和对图7的描述一样。
本发明的技术B设计了两种设置方法,例如动态和静态服务控制信息设置方法,并说明了它们分别与公开号为No.2001-169341的日本专利在实现方式上的不同。根据本发明的技术B的两种方法被组合在一块,由此在考虑高效利用网络资源的情况下也可以实现该服务控制。所提供服务的一个实例就是将一个用户的基本服务控制信息作为动态服务控制信息来分配,并接着由一个用户鉴权过滤器中的废除策略所代替,因此就节省了网络装置的硬件资源,而且就可以避免向一个不必要的节点分配服务记录。还有,提供静态信息来作为特定通信目的地或者一个用户的扩展服务,而且,例如可以根据使用的网络资源向用户收费。
在这里,简要总结一下系统功能。
图10为本发明技术B的功能方框图。下面概述它的功能。
“ICMP(因特网控制消息协议)”
该ICMP是一个用于自动地址设置的协议,并且将来能够规定的所有用于自动地址设置的消息都是可以的。对于目前的IPv6自动地址设置协议,规定了draft-perkins-aaav6-0.3.txt作为IETF(因特网工程部)草案。
ICMP协议的细节将在图11至15中描述。
“AAA协议”
该AAA协议是一个服务器使用的协议。在本发明的优选实施例中,虽然技术B并没有指定它所使用的协议,但可以假设本发明的技术B使用的是目前正在IEFT中研制的DIAMETER协议(公开号为No.2001-169341的日本专利所指的是从前版本的DIAMETER协议)。该AAA协议可以用作任何能够传输关于鉴权、授权、结算以及策略信息的协议。
ICMP协议的细节如图16至22所述。在该优选实施例中,AMR(AAA移动节点请求)和AMA(AAA移动节点应答)分别对应于AHR(AAA客户端请求)和AHA(AAA客户端应答)消息。draft-perkins-aaav6-0.3.txt并没有规定该AHR和AHA消息的细节。为了便于理解和说明,本发明的技术B将现存消息的AHR和AHA作为消息实例来进行描述。
“主机”
主机1是一个使用PC、PDA、蜂窝电话等的IP协议进行通信的终端。
“网络装置(边缘节点:EN)”
该网络装置2是一个容纳一个主机的路由器,一般被称作边缘节点。根据本发明的技术B的网络装置2包括一个值班单元,该值班单元与主机1之间进行自动地址设置操作和鉴权操作,一个分组控制单元,用来对接收到的IP分组进行传输控制,一个服务控制单元,用来在通过鉴权时在分组控制单元中设置从服务器3通知来的服务记录,以及一个访问监测单元21,用来当从分组控制单元20接收到一个分组时动态地设置服务记录。
“服务器”
该服务器3用来监测网络,并根据操作者的或预定条件的操作在它的控制下,在网络装置2中自动的设置IP分组控制信息。一般地,执行鉴权、授权、以及结算的策略服务器或者AAA服务器就对应于服务器3。根据本发明技术B的服务器3包括一个鉴权主机1的鉴权控制单元30,一个存储鉴权信息的鉴权数据库31,一个用来存储用于主机1的服务记录信息的原始服务记录32,一个用来将NAI转换为用IP地址书写的服务记录的服务记录控制单元33,以及一个用来在服务记录设置目的地识别网络装置的服务记录分配单元34。
下面将对功能性实体进行详细描述。
“网络装置”
该分组控制单元20包括一个用来对同鉴权相关的协议进行识别的鉴权过滤器,一个在接收到一个数据分组时动态设置的动态过滤器,以及一个当主机进行鉴权时静态设置的静态过滤器。
过滤器的设置如图23所示。该过滤器包括一个当对过滤器进行注册/删除时唯一识别该过滤器的过滤器编号,一个源地址,一个源前缀长度,一个源端口编号,一个目标地址,一个目标前缀长度,一个目标部分编号,一个通信量类,这是对将要被控制的分组进行识别所必须的,一个作为分组控制信息的TOS(服务类型)值,一个过滤器的使用寿命,一个指定分组控制方法的本身为控制代码的动作。
该访问监测单元21为由分组控制单元通知来的分组设置一个分组控制单元的动态过滤器条目。
该值班单元22包括一个管理指定IP地址可用期限(term)的地址高速缓存(如图24所示),一个用来处理ICMP消息,和AAA协议消息的鉴权请求监测单元。
该服务控制单元23将由服务器通知来的服务记录注册到服务记录高速缓存中(如图25所示)。该服务记录高速缓存包括一个用来指示服务记录设置是动态还是静态的记录类型,一个用来唯一标识服务记录的记录编号,一个源地址,一个源前缀长度,一个源端口编号,一个目标地址,一个目标前缀长度,一个目标端口编号,一个通信量类,这是对将要被控制的分组进行识别所必须的,一个作为分组控制信息的TOS值,以及一个用来索引已产生的过滤器的过滤器编号。
在这里,本发明的功能将在下面进行进一步的说明。
也就是说,根据本发明的服务控制网络包括容纳有主机(终端)1的网络装置2,以及鉴权该主机1的服务器3,并且向主机1提供服务。
服务器3包括一个服务控制信息数据库(原始SP32),该数据库存储具有网络访问识别符的主机1的识别信息。
在与主机1相连的定时,服务器3在网络标识符和容纳主机1的网络装置2指定给主机1的IP地址之间的对应关系,并将服务控制信息分配到一个所需路径。在服务控制信息中网络访问识别符被转换为IP地址。
网络装置2根据服务控制信息对分组进行传输控制,该服务控制信息作为主机1的识别信息从服务器3中分配出来。
该服务控制网络将服务控制信息分为静态服务控制信息和动态服务控制信息。该静态的服务控制信息在对主机1进行鉴权操作之后就立即被分配给一个所需的路径,而动态服务控制信息在传输分组时被分配给一个所需的路径。
还有,该服务控制网络将服务记录分为主机1向上及向下一样设置QoS的基本服务信息,以及可以分别向上设置目标地址及向下设置源地址的扩展服务信息。
进一步,该服务控制网络向下将服务控制信息置于IPv6的逐跳选项上,并通知目标网络装置2,以便于防止没有指定某一地址的服务控制信息在服务器3的控制下被分配给所有的网络装置2。
该服务器3包括:存储有具有网络访问识别符的主机1的识别信息的原始SP32;在网络标识符和容纳有主机1的网络装置2指定给主机1的IP地址之间建立对应关系的地址高速缓存;服务记录控制单元33,用来将服务控制信息转换为网络装置2为了指定网络访问识别符的网络控制请求而在服务器3的控制下能够进行解释的格式;以及服务记录分配单元34,用来识别服务控制信息的分配目的地,并分配该信息。
在与主机1相连的定时,服务器3使网络标识符和容纳有主机1的网络装置2指定给主机1的IP地址之间对应,并将其网络访问识别符被转换为IP地址的服务控制信息分配至一个必要路径。
该服务器3还进一步包括:鉴权控制单元30,用来根据用来对主机1进行的鉴权操作对主机1的网络访问进行检测,并将发出鉴权请求的主机1的网络访问识别符和由网络装置2通知的IP地址注册到地址高速缓存;以及服务记录生成单元,用来向鉴权控制单元30提供一个接口,以便于从发出鉴权请求的主机1的网络访问识别符中获得IP地址。
该服务记录分配单元34包括一个网络前缀和网络装置2之间的对应表(网络前缀-EN对应表),并根据该服务记录的源地址来确定服务记录的分配目的地,其中该服务记录的IP地址是由服务记录生成单元转换来的。
在服务器3中,该服务记录分配单元34在一个队列中为每个网络装置2存储一个从源地址中获得的服务记录,该服务记录被转换为网络装置能够进行解释的格式,并从与传输目的地的网络装置2对应的队列中提取出将要被分配给传输目的地的网络装置2的服务记录,并且当鉴权控制单元30为了响应来自网络装置2的鉴权请求信息而生成该鉴权应答消息的时候,用一个鉴权应答消息传输多个服务记录。
进一步,在服务器3中,服务记录分配单元34包括一个用于不同网络装置2的队列,当从不同的网络装置2发出鉴权请求时,在一个队列中为每个网络装置存储一个服务记录,并从与发出鉴权请求的域相应的队列中提取出将要被分配给网络装置2的服务控制信息,并且当鉴权控制单元30为了响应鉴权请求信息而生成该鉴权应答消息的时候将该信息作为鉴权应答消息来传输。位于鉴权请求源的服务器从鉴权应答消息中提取该服务记录,并在服务器3的控制下将网络装置2的队列置于鉴权请求源。
该网络装置2对根据服务控制信息的分组进行传输控制,该服务控制信息作为主机1的识别信息被分配给服务器3。
该网络装置2还包括:一个值班单元22,该单元允许发出鉴权请求的用户进行网络访问,以及通过对容纳服务器的鉴权控制单元的鉴权请求和应答消息进行交换来指定IP地址,根据用于鉴权终端的鉴权操作检测对于该终端的网络访问,并将该发出鉴权请求的终端的网络访问识别符和由网络装置通知的IP地址注册到地址高速缓存中;以及一个服务控制单元23,用来以主机为单位分配以及管理由服务器3通知的多路服务控制信息。
还有,该网络装置2将服务控制信息分类为静态服务控制信息和动态服务控制信息。该静态的服务控制信息在对主机1进行鉴权操作之后就立即被分配给一个必须的路径,而动态服务控制信息在传输分组的定时被分配给一个所需的路径。
进一步,该网络装置2向参照源IP地址对分组进行过滤的静态分组过滤器中注册一个可指定的IP地址,将分组的丢弃注册到静态分组过滤器条目的动作中,并当对主机1进行鉴权操作时,用随着鉴权应答消息一起从服务器3中返回的服务记录来替换该操作,该服务记录对应于被指定给主机1的地址。
还进一步,如果分组的源IP地址同参照源IP对分组进行过滤的静态过滤器不匹配,则由网络装置2来确定是否该分组的源IP地址已经被指定了。如果网络装置2确定该分组的源IP地址已经被指定了,它将由服务器3设置的服务控制信息注册到静态分组过滤器和地址高速缓存中。如果网络装置2确定该分组的源IP地址没有被分配,则它将指定丢弃分组的服务控制信息注册到静态分组过滤器和地址高速缓存中。
还有,该网络装置包括一个访问监测单元21,该单元21记录通过该注册有静态分组过滤器的分组,其中指定丢弃分组的服务记录被注册到该静态分组过滤器中,并且当进行预定数量或更多的访问时发出警报。
还进一步,该网络装置2包括一个值班单元22,如果在一段预定的时间内持续没有来自主机1的鉴权请求,则由该值班单元22向服务器3传输一个服务请求消息,并随着服务应答消息下载关于主机1的服务控制消息。
还进一步,当传输分组时,该网络装置在传输分组时编辑一个通信量类的字段,并且为了在IPv6逐跳选项中向上设置及插入一个服务记录而设置一个控制模式,当收到分组时对动态分组过滤器进行动态设置,或当鉴权主机1时对静态分组滤波器进行静态设置。
图26至31显示了网络装置2的处理过程,由网络装置2执行的处理过程通过以下的步骤进行说明。
图26显示了分组控制单元20的处理流程。
步骤S201至S208(如图26的(a)所示)是接收分组的过程。
在步骤S201中,当接收到一个IP分组时,由分组控制单元20检查是否有QoS对象设置在IP报头的逐跳选项中。对于这个用于通知的IP报头选项,可以采用例如由IETF draft-chaskar-mobileip-qos-01.txt规定的QoS对象(如图27所示)。如果存在QoS通知,则跳至步骤S208。如果不存在QoS通知,则进行步骤S202。
在步骤S202中,在鉴权过滤器中查找该接收到的分组。如果接收到的分组是一个ICMP或AAA协议分组,则转移至步骤S207。否则进行步骤S203。该鉴权过滤器可以这样实现:设置网络装置本身的地址为过滤器的目标地址,128作为目标前缀长度,ICMP协议的编号作为下一个报头或者DIAMETER协议作为目标部分编号,以及在操作中的应用通知。
在步骤S203中,在动态过滤器中查找该接收到的分组。如果该接收到的分组与过滤器的条件部分相匹配,则转移至步骤S206。如果该接收到的分组与过滤器的任何条件部分都不匹配,则进行步骤S204。
在步骤S204中,在静态过滤器中查找该接收到的分组。如果该接收到的分组与过滤器的条件部分相匹配,则转移至步骤S206。如果该接收到的分组与过滤器的任何条件部分都不匹配,则进行步骤S205。
在步骤S205中,如果接收到的分组与任何过滤器都不匹配,则将该分组通知给访问监测单元21。
在步骤S206中,如果该接收到的分组与动态过滤器或静态过滤器中的一个匹配,或者如果由访问监测单元21生成了一个动态过滤器条目,则根据记录的操作中的控制代码控制该分组。控制代码的例子包括分组放弃,Diffserve的应用,逐跳选的增加等等。
在步骤S207中,如果该接收到的分组是一个ICMP或DIAMETER消息,则会将一个鉴权请求时间及该分组通知给鉴权请求监测单元。
在步骤S208中,如果该QoS通知是由逐跳选项构成的,则根据通知到的信息生成一个动态过滤器的条目。
步骤S209至S211(如图26的(b)所示)是一个周期性的处理过程,该过程同分组接收过程是相互独立运行的。
在步骤S209中,对动态过滤器的条目进行周期性的监测,并且过滤器条目的使用寿命不断降低。
在步骤S210中,如果该寿命期满了(使用寿命的值变成了0),则进行至步骤S211,如果该寿命还没有期满,则返回至步骤S209。
在步骤S211中,动态过滤器的相应条目被释放,并且重复执行S209中及其以后的步骤。
图28和29显示的是值班单元22的处理流程。
步骤S221至S2213或S2218是用来接收ICMP或DIAMETER消息的处理过程。
在步骤S221中,设置事件接收定时器,并且监测来自分组控制单元20的鉴权请求事件。
在步骤S222中,如果收到了鉴权请求,则进行至步骤S223,或者如果事件接收定时器期满,则转移至步骤S2213。
在步骤S223中,该处理过程根据由事件通知的分组消息类型来进行转移。如果消息类型为AHA(如图18所示),则进行至步骤S224。如果消息类型为STA(通话终止应答)(如图22所示),则转移至步骤S225。如果消息类型为ICMPAAA请求(如图11、12所示),则转移至步骤S228。或者,如果消息类型为ASA(AAA服务应答)(如图20所示),则转移至步骤S2212。
在步骤S224中,从AHA消息中提取服务记录,并将设置事件通知给服务控制单元。
在步骤S2218中,对ICMP AAA应答消息(如图13和14所示)进行编辑并传输给主机1。接着返回至鉴权请求监测过程中(步骤S221)。
在步骤S225中,将设置事件通知给服务控制单元23。
在步骤S226中,对ICMP AAA应答消息(如图13和14所示)进行编辑并传输给主机1。
在步骤S227中,释放主机1的地址高速缓存。
在步骤S228中,确定ICMP AAA请求消息(如图11、12所示)的使用寿命。如果使用寿命为0,则转移至步骤S2211。如果使用寿命不为0,则进行至步骤S229。
在步骤S229中,在地址高速缓存中设置由ICMP AAA请求消息通知的地址以及由值班单元22确定的使用寿命,这样就能使得位于ICMP AAA请求消息传输源的主机1的地址有效。
在步骤S2210中,将AHR消息(如图1 7所示)传输至服务器3,并接着返回至鉴权请求监测过程中去(步骤S221)。
在步骤S2211中,将STR消息(如图21所示)传输至服务器3,并接着返回至鉴权请求监测过程中(步骤S221)。
在步骤S2212中,从ASA消息中提取服务记录,并将设置事件通知给服务控制单元23。接着,返回至鉴权请求监测过程中去(步骤S221)。
在步骤S2213中,将ASR(AAA服务请求)消息(如图19所示)传输至服务器3,并接着返回至鉴权请求监测过程中去(步骤S221)。
步骤S2214至S2217(如图29所示)是值班单元22的周期性处理过程,该过程同分组接收过程是相互独立运行的。
在步骤S2214中,对动态过滤器的条目进行周期性地监测,并且地址高带缓存条目的使用寿命被减短。
在步骤S2215中,如果该寿命期满了(使用寿命的值变成了0),则进行至步骤S2216,如果该寿命还没有期满,则返回至步骤S2214。
在步骤S2216中,将释放事件通知给服务控制单元23。
在步骤S2217中,地址高速缓存的相应条目被释放,并且重复执行S2214中及其以后的步骤。
图30显示的是服务控制单元23的处理流程。
步骤S231至S235(如图30(a)所示)是设置/释放过滤器的处理过程。
在步骤S231中,对服务控制单元23的请求事件进行检测。如果该事件是“设置”,则进行至步骤S232。如果该事件是“释放”,则转移至步骤S234。
在步骤S232中,如果由事件通知服务记录的控制代码为“设置”,则将该服务记录注册至该服务记录高速缓存。如果服务记录的控制代码为“释放”,则从该服务记录高速缓存中删除该服务记录。
在步骤S233中,分组控制单元20的静态过滤器根据由事件通知来的服务记录而被设置/释放,并中断该处理过程。
在步骤S234中,通过由事件通知的IP地址对服务记录高速缓存进行查找,并且删除相应的服务记录。
在步骤S235中,将同被删除的服务记录相链接的分组控制单元20的静态过滤器的相应的条目删除,并终止该处理过程。
步骤S236至S239(如图30中的(b)所示)是服务控制单元23的周期性处理过程,该过程同服务记录设置/释放过程是相互独立运行的。
在步骤S236中,对服务记录高速缓存的条目进行周期性的监测,并且地址高速缓存条目的使用寿命不断降低。
在步骤S237中,如果该服务记录高速缓存的寿命期满了(使用寿命的值变成了0),则进行至步骤S238,如果该寿命还没有期满,则返回至步骤S236。
在步骤S238中,删除该服务记录高速缓存的相应条目。
在步骤S239中,将同被删除的服务记录相链接的分组控制单元的静态过滤器的相应的条目删除,并且重复执行S236中及其以后的步骤。
图31示出了访问监测单元21的处理流程。
在步骤S211中,通过使用由分组控制单元20通知来的分组的源地址来查找由值班单元进行管理的地址高速缓存。
在步骤S212中,如果相应的条目存在,则进行至步骤S213。如果相应的条目不存在,则转移至步骤S215。
在步骤S213中,通过源地址来查找由服务控制单元23进行管理的服务记录高速缓存。
在步骤S214中,如果相应的服务记录存在,并且如果服务记录的设置类型是动态的,则将服务记录设置在分组控制单元20的动态过滤器中。如果相应的服务记录存在,则生成一个设置了“最大努力”(Best Effort)的动态过滤器。
在步骤S215中,对该分组的信息进行记录。
在步骤S216中,为该分组生成一个丢弃该分组的策略。该策略的有效期是由管理员确定的。
在步骤S217中,将该策略设置在分组控制单元20的动态过滤器中。
“服务器”
该鉴权控制单元30对主机1进行鉴权,执行了AAA协议处理,并为被鉴权的主机生成一个将要被分配给网络装置的服务记录。
该鉴权数据库31和原始服务记录(SP)32是用NAI来进行查找的用户信息。该鉴权数据库31和原始SP32在图32中举例说明。该数据可通过使用一个NAI作为密钥来进行查找,并且包括:一般的用户信息例如用户名、终端类型等,用于根据网络或服务条件来确定是否采用服务记录的策略信息,鉴权信息例如用来识别一个鉴权密钥或鉴权信息等的解密方法的SPI(安全参数索引),以及用来对分组进行服务的服务记录,例如用户所需要的通信伙伴的NAI、端口编号等等。
该服务控制单元33包括地址高速缓存和服务记录高速缓存。该地址高速缓存(如图33所示)包括一个鉴权主机的NAI,一个进行鉴权时指定给该NAI的IP地址以及使用寿命。该服务记录高速缓存(如图34所示)包括一个指示该记录设置是静态或动态的记录类型,一个作为该服务记录的唯一标识的记录编号,一个源前缀长度,一个源端口编号,一个目标地址,一个目标前缀长度,一个目标端口编号,一个通信量类,一个作为分组控制信息的TOS值,以及一个指示该服务记录是否已经被分配过的状态,这是对将要被控制的分组进行标识的条件。
该服务记录分配单元34包括一个网络前缀-EN对应关系表和一个分配队列。该网络前缀-EN对应关系表包括一个网络前缀,和一个同网络前缀相对应的网络装置2的IP地址。该在服务器3的控制下为每个网络装置2准备的分配队列是一个队列表,其中对将要被分配给网络装置2的服务记录进行排列。
图36-39示出了服务器3的处理流程。参照下面的这些步骤对服务器3的处理过程进行描述。
图36示出了鉴权控制单元30的处理流程。
在步骤S301中,根据接收到的消息来确定处理过程的转移。如果接收到的数据是AHR(如图17所示),则进行至步骤S302。如果接收到的数据是ASR(如图19所示),则转移至步骤S309。如果接收到的数据是AHA(如图18所示)或STA(如图22所示),则转移至步骤S3010。如果接收到的数据是STR(如图21所示),则转移至步骤S3012。
在步骤S302中,通过检测主机NAI的realm部分来确定该鉴权用户是否是一个本地域的用户,该部分被设置在AHR消息的用户名AVP(属性值对)中(该NAI用“user name@realm”的格式书写,该“realm”是表示域名的部分,例如可以被写成“abcsya.com”)。如果NAI表示本地域名,则进行至步骤S303。如果NAI不表示本地域名,则转移至步骤S308。
在步骤S303中,用NAI对鉴权数据库31进行查找,并根据从鉴权数据库31中提取出来的鉴权信息对发出鉴权请求的主机进行鉴权。
在步骤S304中,如果鉴权成功,则转移至步骤S306。如果鉴权不成功,则进行至步骤S305。
在步骤S305中,对AHA消息(如图20所示)进行编辑,并将该消息传输给位于AHR传输源的网络装置2。接着终止该处理过程。
在步骤S306中,将生成事件通知给服务记录控制单元33。
在步骤S307中,参照相应于网络装置的分配队列对AHA消息(如图18所示)进行编辑,其中该网络装置位于网络分配单元34中的AHR传输源,并将从队列中分离出来的服务记录设置在记录-缓存AVP中。接着,将该消息传输至位于AHR传输源的网络装置2,并终止该处理过程。
在步骤S308中,将AHR消息传输至由NAI的realm部分表示的域的服务器3。
在步骤S309,参照相应于网络装置2的分配队列对ASA消息(如图20所示)进行编辑,其中该网络装置2位于网络分配单元34中的ASR传输源,并将从队列中分离出来的服务记录设置在记录-缓存AVP中。接着,将该消息传输至位于ASR传输源的网络装置2,并终止该处理过程。
在步骤S3010中,将注册事件通知给服务记录控制单元33。
在步骤S3011中,参照相应于网络装置2的分配队列对AHA消息(如图20所示)或STA消息(如图20所示)进行编辑,其中该网络装置2位于记录分配单元34中的AHR或STR传输源,并将从队列中分离出来的服务记录设置在记录-缓存AVP中。接着,将该消息传输至位于AHR或STR传输源的网络装置2,并终止该处理过程。
在步骤S3012中,通过检测主机NAI的realm部分来确定该鉴权用户是否是一个本地用户,该部分被设置在STR消息的用户名AVP中。如果NAI表示本地域名,则进行至步骤S3013。如果NAI并不表示本地域名,则转移至步骤S3015。
在步骤S3013中,将删除事件通知给服务记录控制单元33。
在步骤S3014中,参照相应于网络装置2的分配队列对STA消息(如图22所示)进行编辑,其中该网络装置2位于记录分配单元34中的STR传输源,并将从队列中分离出来的服务记录设置在记录-缓存AVP中。接着,将该消息传输至位于STR传输源的网络装置2,并终止该处理过程。
在步骤S3015中,将STR消息传输至由NAI的realm部分表示域的服务器3,终止该处理过程。
图37示出了服务记录控制单元33的处理流程。
图S331至S3310(如图37中的(a)所示)是对于地址高速缓存和服务记录进行控制的过程。
在步骤S331中,根据接收到的事件来确定处理过程的转移。如果接收到的事件是生成事件,则进行至步骤S443。如果接收到的数据是删除事件,则转移至步骤S336。如果接收到的数据是注册事件,则转移至步骤S339。
在步骤S332中,从NAI、IP地址及使用寿命中生成一个地址高速缓存,它们是由事件通知的。
在步骤S333中,根据由事件通知的NAI读取原始SP32,并提取服务信息。
在步骤S334中,从提取的服务信息中生成一个服务记录高速缓存。详细的生成过程将在后面说明。
在步骤S335中,将相应的服务记录通知给服务记录分配单元34,并终止该处理过程。
在步骤S336中,删除相应于由事件通知的NAI的地址高速缓存。
在步骤S337中,用相应地址高速缓存的IP地址对服务记录高速缓存中的源和目标地址进行查找,并从服务记录中删除相应的条目。需要注意的是,实际上相应的条目是在从分配队列中分离出相应的服务记录之后才被删除的。
在步骤S338中,将相应的服务记录通知给服务记录分配单元34,并终止该处理过程。
在步骤S339中,将由消息通知的服务记录注册到服务记录高速缓存中。如果该被通知的服务记录的IP地址还没有被解析,则进行解析。如果IP地址已经被解析了,则就把该服务记录当作将要被分配的服务记录。
在步骤S3310中,将相应的服务记录通知给服务记录分配单元34,并终止该处理过程。
步骤S3311至S3313(如图37中的(b)所示)是服务记录控制单元33的周期性处理过程,该过程同服务记录高速缓存的设置/释放过程是相互独立地运行的。
在步骤S3311中,对地址高速缓存的条目进行周期性的监测,并且地址高速缓存条目的使用寿命不断降低。
在步骤S3312中,如果该地址高速缓存的寿命期满了(使用寿命的值变成了0),则进行至步骤S3313,如果该寿命还没有期满,则返回至步骤S3311。
在步骤S3313中,识别该服务记录高速缓存的相应条目,并删除相应地址高速缓存的IP地址。
图38示出了如图37所示的步骤S334(服务记录生成过程)的处理流程。
在步骤S33401中,从提取自原始SP32的服务控制信息中生成一个服务记录,并且设置相应于NAI设置的IP地址,该NAI用于对主机进行识别。
在步骤S33402中,将该生成的服务记录注册到服务记录高速缓存中。
在步骤S33403中,对服务记录高速缓存进行查找,同时参考该地址高速缓存对其IP地址还没有被设置(IP地址为0)的服务记录解出一个IP地址。
在步骤S33404中,检查服务记录的源和目标地址是否已经解出。如果该地址已经被解出,则进行至步骤S33405。如果该地址还没有被解出,则跳至步骤S33407。
在步骤S33405中,对服务记录的状态进行检查。如果该服务记录已经被分配出去,则跳至步骤S33407。如果该服务记录还没有被分配出去,则进行至步骤S33406。
在步骤S33406中,设置一个指向服务记录的指针来作为输入给服务记录分配单元的信息,并将“已分配”设置为服务记录的状态。
在步骤S33407中,检测是不是所有的服务记录高速缓存条目都已经被查找过了。如果所有的条目都已经被查找过了,则终止该处理过程。如果并不是所有的条目都已经被查找过了,则返回至步骤S33403并一直循环下去。
图39示出了服务记录分配单元34的处理流程。
在步骤S341中,从由服务记录控制单元33通知的服务记录的源地址中提取网络前缀,并参照网络前缀-EN对应表,对位于服务记录分配目的地的网络装置2进行识别。
在步骤S342中,将服务记录加入到相应于网络装置2的分配队列中去,并终止该处理过程。
IPv6的非状态地址结构将在下面作为本发明的技术B的一个特殊实施例进行举例说明。该IEFT草案draft-perkins-aaav6-0.3.txt提出了一种使用IPv6进行自动地址设置和AAA服务器相互合作的方法。在本发明的技术B的这种情况下执行的操作被应用于根据该草案的方法,其中该draft将在下面详细描述。
图40显示了根据本发明的优选实施例(使用AAA进行IPv6网络访问的实例)的系统结构图。
一个网络装置(边缘节点1或边缘节点2)相当于一个路由器系统,并且一个值班单元在功能上同draft-perkins-aaav6-0.3.txt所规定的一样。图10中示出了相当于分组控制单元20的分组过滤器。但是过滤器的类型或者它的控制方法对于本发明的技术B来说却是唯一的。这些未由draft-perkins-aaav6-0.3.txt规定的但对于本发明的技术B来说却是唯一的访问监测单元21(参见图10)以及服务控制单元23(参见图10)由扩展控制单元来表示。一个服务器(NMS)相当于一个AAA服务器。由draft-perkins-aaav6-0.3.txt规定的ICMP AAA协议被用作主机(主机1或主机2)和边缘路由器(边缘节点1或边缘节点2)之间的协议。该draft-perkins-aaav6-0.3.txt规定,用于IPv6的AAA协议被用作边缘路由器和AAA服务器之间的协议。但是该协议并不是标准化的。因此,可以使用同假设协议具有相同功能的DIAMETER协议。因此,可以说明的是:同DIAMETER协议的AMR与AMA一样,draft-perkins-aaav6-0.3.txt的AHR和AHA消息也是相同的。
1.原始服务记录设置
为了实现根据本发明的技术B的服务,用户必须向管理一个域的服务器或者用户属于的ISP中注册该服务。
图41显示了注册一个服务的序列(例如设置一个服务记录)。
(1)用户通过http协议从一个主机访问一个WEB服务器,并注册一项服务。由WEB服务器的应用程序向用户提供例如服务类型、目标主机名称、调整条件、向上或向下的服务质量等等,并提示用户来设置必要的信息。
(2)由WEB服务器的应用程序按照图32所示的格式对输入的信息进行标准化,并将该信息注册到原始服务记录中。该优选实施例假设主机1的用户将主机2向上/向下的服务质量中的Diffserve AF31作为没有指定通信伙伴的基本服务,而将向上/向下的服务质量中的Diffserve AF21作为指定了通信伙伴的扩展服务。
2.当主机1获得地址时的服务记录分配。
图42示出了当主机1获得一个地址时的全部序列(分配服务记录的实例)。图43示出了网络装置处理序列的细节,而图44示出了服务器处理序列的细节。
如果需要的话,可以参照图42、43及44对整个流程进行描述。
(1)当主机1同网络连接时,它就向边缘节点分配一个ICMP AAA请求消息,并发出一个获得地址的请求。
(2)该边缘节点在接收到该ICMP AAA请求消息的同时,向AAA服务器分配一个AHR消息。通过这个消息,边缘节点将NAI通知给主机1(host1@en11.net1),以及IP地址(2001:400:1:1:aa:aa:aa:aa)(图43中的(10)至(4):(1)-图26中的分组控制单元的步骤S201至S202至S207,以及(4)-图28中的值班单元的步骤S221至S222至S223至S228至S229至S2210)。
(3)该AAA服务器在接收到该AHR消息的同时就在鉴权数据库中查找NAI(host1@en11.net1),并对该主机进行鉴权(图44的(1)和(2):(1)和(2)-图36中的鉴权控制单元的步骤S301至S302至S303至S304至S306)。
(4)如果鉴权成功,则用NAI(host1@en11.net1)查找原始SP(图44的(3)至(5):(3)、(4)和(5)-图37中的服务记录控制单元的步骤S331至S332至S333至S334)。
(5)根据提取出来的服务记录对服务记录高速缓存进行设置。在该优选实施例中,从原始SP的NAI(host1@en11.net1)中提取的服务记录是基本和扩展SP,在该SP中设置SrcNAI=host1@en11.net1),并且总共生成4个服务记录SP1至SP4来进行向上及向下的通信,并被设置在服务记录高速缓存中。还有,由于这时已经通知了对应于NAI(host1@en11.net1)的IP地址,因此在相应的地址域(图44中的(6):(6)-图38中的服务记录控制单元的步骤S33401至S33402至S33403)中设置地址(2001:400:1:1:aa:aa:aa:aa)。
(6)由AAA服务器参照SPC(服务记录高速缓存)来检测是否存在一个SP,其中该SP的源和目标地址已经被解析了。在该阶段,SP1和SP2的地址已经解析了。对于SP3和SP4,对应于NAI=host2@en21.net2的地址还没有解析(图44中的(6):(6)-图38中的服务记录控制单元的步骤S33404至S33405至S33406至S33407)。
(7)通过参照网络前缀-EN对应表来确定其地址已经解析的SP1和SP2的分配目的地。由于SP1源地址的网络前缀为2001:400:1:1,则将EN1确定为分配目的地。另外,由于SP1源地址的网络前缀为0,因此所有EN都被作为分配目的地。但是,如果目标地址的网络前缀同分配目的地的EN相同,则就不会把该EN作为分配目的地。这是由于本发明的技术B并没有把对局域网边缘节点的服务控制作为目标。因此,对于SP2来说,只有EN2被确定作为分配目的地。接着,将其分配目的地已经被确定的服务记录加到分配队列中去(图44中的(7)至(9):(7)、(8)和(9)-图39中的服务记录分配单元的步骤S341至S342)。
(8)作为对AHR消息的应答而对AHA消息进行编辑。这时,加入到分配队列中服务记录被提取出来,并加到AHA消息中。由于在该例中AHA的传输目的地就是EN1,因此将SP1从队列中分离出来并加到消息AHA中(图44中的{10}:{10}-图36中的鉴权控制单元的步骤S307)。
(9)随着AHA消息分配服务记录(SP1)。
(10)随着AHA消息被通知的服务记录被注册到服务记录高速缓存中(图43中的(5)至(7):(5)-图26中的分组控制单元中的步骤S201至S202至S207;以及(6)和(7)-图28中的值班单元中的步骤S221至S222至S223至S224)。
(11)通过参照服务记录对静态过滤器进行设置。对于非法网络访问的调整方法,有一种方法就是边缘节点通过使用分组的源地址作为过滤条件(一般指源过滤)来丢弃分组。由于源过滤要求对分组源地址的所有匹配地址进行查找,所以该过滤一定是对所有可能已分配了边缘节点的地址进行准备。还有,由于用于执行服务的查找表同该过滤过程是相互分离的,因此该边缘节点要求大量的存储区域。根据本发明的技术B,由于通过使用如图23所示的过滤器而使得源过滤和采用服务记录的处理过程在一块进行,因此存储区域就可以减小。源过滤方法包括(1)一种初始设置的方法,在边缘节点的控制下,丢弃其源地址是所有地址的分组,并且使得只有其源地址通过了鉴权的用户地址的分组能够通过,(2)一种最初使所有分组都能通过的方法,在接收到起源地址与源过滤器不匹配的分组时,检测分组源地址是否已经通过了鉴权,并且如果该地址没有通过鉴权,则动态地丢弃具有该源地址的分组。对于本发明的技术B,采用方法(1)时,如图23所示,边缘节点分别指定2001:400:1:1:aa:aa:aa:aa,128以及丢弃的分组作为源地址,源前缀长度以及过滤器的action。没有指定其它的参数。当通知鉴权后的服务记录时,对TOS进行标记并根据该服务记录在过滤器条目中设置对伙伴节点的通知。采用方法(2)时,在方法(1)中解释的、其条件为源地址2001:400:1:1:aa:aa:aa:aa的原始设置过滤器并不存在,因此,生成了一个新的过滤器,该过滤器的TOS被标记并设置对伙伴节点的通知。(图43中的(8)-图30中的服务控制单元中的步骤S231至S232至S233)。
{12}为了响应ICMP AAA请求而传输一个ICMP AAA应答消息(图43中的(9):-图28中的值班单元的步骤S2218)。
3.当主机2获得地址时分配服务记录
图45示出了当主机1获得一个地址后、主机2获得一个地址时的全部序列(以分配服务记录为例)。
如果需要的话,可以参照图42、43及44对整个流程进行描述。
(1)在主机2同网络连接之后,它就向边缘节点分配一个ICMP AAA请求消息,并发出一个获得地址的请求。
(2)该边缘节点在接收到该ICMP AAA请求消息的同时,向AAA服务器分配一个AHR消息。通过这个消息,边缘节点将NAI通知给主机2(host2@en21.net2),以及IP地址(2001:400:2:1:bb:bb:bb:bb)(图43中的(1)至(4):(1)-图26中的分组控制单元的步骤S201至S202至S207,以及(4)-图28中的值班单元的步骤S221至S222至S223至S228至S229至S2210)。
(3)该AAA服务器在接收到该AHR消息的同时,就在鉴权数据库中查找NAI(host2@en21.net2),并对该主机进行鉴权(图44的(1)和(2):(1)和(2)-图36中的鉴权控制单元的步骤S301至S302至S303至S304至S306)。
(4)如果鉴权成功,则用NAI(host2@en21.net2)查找原始SP(图44的(3)至(5):(3)、(4)和(5)-图37中的服务记录控制单元的步骤S331至S332至S333至S334)。
(5)根据提取出来的服务记录对服务记录高速缓存进行设置。在该优选实施例中可以假设主机2没有注册任何服务,因此没有新的服务记录生成。而且由于这次没有通知NAI(host2@en21.net2)的IP地址,所以可以在将要被注册到服务记录高速缓存的服务记录的相应地址字段中设置地址2001:400:2:1:bb:bb:bb:bb(图44中的(6):(6)-图38中的服务记录控制单元的步骤S33401至S33402至S33403)。
(6)由AAA服务器检测是否存在一个SP,其中该SP的源和目标地址已经参照服务记录高速缓存而被解析了。在该阶段,所有服务记录的地址都已经解析了(图44中的(6):(6)-图38中的服务记录控制单元的步骤S33404至S33405至S33406至S33407)。
(7)通过参照网络前缀-EN对应表来确定其地址已经解析的SP3和SP4的分配目的地。由于SP3源地址的网络前缀为2001:400:1:1,则将EN1确定为分配目的地。另外,由于SP4源地址的网络前缀为2001:400:2:1,因此将EN2确定为分配目的地。但没有把SP1和SP2作为分配目的地,这是因为它们已经被分配过了。将其分配目的地已经被确定的服务记录加到分配队列中去(图44中的(7)至(9):(7)、(8)和(9)-图39中的服务记录分配单元的步骤S341至S342)。
(8)作为对AHR消息的应答而对AHA消息进行编辑。这时,加入到分配队列中服务记录被提取出来,并加到AHA消息中。由于在该例中AHA的传输目的地就是EN2,因此将在鉴权主机1时加入的SP2和这时候加入的SP4从队列中分离出来并加到AHA消息中(图44中的{10}:{10}-图36中的鉴权控制单元的步骤S307)。
(9)随着AHA消息分配服务记录(SP2和SP4)。
(10)随着AHA消息被通知的服务记录被注册到服务记录高速缓存中(图43中的(5)至(7):(5)-图26中的分组控制单元中的步骤S201至S202至S207;以及(6)和(7)-图28中的值班单元中的步骤S221至S222至S223至S224)。
(11)通过参照服务记录对静态过滤器进行设置。如果存在一个用作分组过滤器的调整过滤器,在该过滤器中丢弃分组被设置在其地址为2001:400:2:1:bb:bb:bb:bb的分组中,则在该操作中设置一个“最大努力”的传输。对于一个动态的调整分组的系统,不存在以源地址2001:400:2:1:bb:bb:bb:bb为条件的原始设置过滤器。因此新生成了一个在其操作中设置了“最大努力”传递的过滤器。还有,设置了对应于两个服务记录的过滤器条目,其中的服务记录是随着消息被通知的。其中的一个过滤器以源地址2001:400:1:1:aa:aa:aa:aa为条件,TOS被标记为AF31,而另一个过滤器以源地址2001:400:1:1:aa:aa:aa:aa为条件,TOS被标记为AF31(图43中的(8):(8)-图30中的服务控制单元中的步骤S231至S232至S233)。
{12}为了响应ICMP AAA请求而传输一个ICMP AAA应答消息(图43中的(9):-图28中的值班单元的步骤S2218)。
4.自动获得服务记录
如参照图42和45所解释的,将服务记录加到鉴权应答消息(AHA)中,并被传输给边缘节点。但是当图45的解释终止时SP3并没有被分配给边缘节点1,并直到从边缘节点1发出鉴权请求时才被分配出去。这里,只有当在预定的期间边缘节点还没有发出鉴权请求的情况下,才会使用该自动获得服务记录的方法。
图46示出了边缘节点1自动获得服务记录的全部序列。图47示出了网络装置的详细处理序列,而图48示出了服务器的详细处理序列。
如果需要的话,可以参照图42、43及44对整个流程进行描述。
(1)由边缘节点的值班单元监测来自分组过滤器的鉴权请求事件。如果在一个预定的时间期间内并没有发生鉴权请求事件,则由值班单元编辑一个ASR消息,并将该消息传输给AAA服务器(图47中的(1)和(2):(1)和(2)-图28中的值班单元的步骤S221至S222至S2213)。
(2)由AAA服务器接收该ASR消息(图48中的(1):(1)-图29中的鉴权控制单元中的步骤S301)。
(3)由AAA服务器编辑一个ASA消息,通过参照队列从相应的分配队列中分离出来一个服务记录,将该服务记录加到ASA消息中,并将该消息传输至位于ASR传输源的边缘节点1。在该优选实施例中,分离出SP3并将它传输至边缘节点1(图48中的(2)和(3):(2)和(3)-图36的鉴权控制单元的步骤S309)。
(4)用ASA消息分配该服务记录。
(5)将该随着ASA消息通知来的服务记录注册到服务记录高速缓存中(图47中的(3)至(5):(3)-图26中的分组控制单元的步骤S201至S202至S207);以及(4)和(5)-图28中的值班单元的步骤S221至S222至S223至S2212)。
(6)参照服务记录对静态过滤器进行设置。设置了对应于随着消息通知的SP3的过滤器。该过滤器的条件包括:源地址2001:400:1:1:aa:aa:aa:aa,目的地址2001:400:2:1:bb:bb:bb:bb,以及被标记为AF21的TOS(图47中的(6):(6)-图30中的服务控制单元的步骤S231至S232至S233)。
5.期满的地址使用寿命
对于这一点,已经在服务记录设置中举例说明了。删除一个服务记录的方法将在下面描述。
图49示出了当主机1的地址的使用寿命期满时的全部处理序列。图50示出了网络装置的详细处理序列,而图51示出了服务器的详细处理序列。
如果需要的话,可以参照图49、50及51对整个流程进行描述。
基本上,根据分配服务记录时设置的同步定时器在每个装置中自动地删除服务记录。因此,将对每个装置的删除服务记录的过程进行说明。
“边缘节点1”
容纳有主机1的边缘节点包括主机1的地址高速缓存,并且当注册到地址高速缓存中的地址高速缓存使用寿命期满的时候删除主机1的服务记录。
监测该地址高速缓存,并且当该地址高速缓存的使用寿命到期时将删除服务记录事件通知给服务记录控制单元(图50中的(1):(1)-图29中所示的值班单元的步骤S2214至S2215至S2216至S2217)。
对由该事件通知的其IP地址为(2001:400:1:1:aa:aa:aa:aa)的服务记录进行查找。在该优选实施例中,对SP1和SP2进行查找(图50中的(2):(2)-图30中的服务控制单元的步骤S231至S234)。
该服务记录所对应的静态过滤器被删除(图50中的(3):(3)-图30中服务控制单元的步骤S235)。
“边缘节点2”
将主机1的服务记录分配给该边缘节点2。但是,由于边缘节点2并不包括主机1的地址高速缓存,因此它将在服务记录的使用寿命到期的时候就将主机1的服务记录删除,其中这是在注册服务记录时进行设置的。作为一个服务记录的使用寿命,源地址或目标地址中的一个的使用寿命是一个较短的剩余时间,是由AAA服务器来设置的。
(1)监测该地址高速缓存,并且对一个条目的使用寿命是否已经期满进行检测(图50中的(1):(1)-图30中所示的服务记录控制单元的步骤S236至S237至S238)。
(2)该服务记录所对应的静态过滤器被删除(图50中的(2):(2)-图30中服务控制单元的步骤S239)。
“AAA服务器”
(1)监测该地址高速缓存,并且对一个地址高速缓存的使用寿命是否已经期满进行检测(图5 1中的(1):(1)-图37中所示的服务记录控制单元的步骤S3311至S3312)。
(2)将相应于该地址高速缓存的IP地址的服务记录高速缓存删除(图51中的(2):(2)-图37中服务控制单元的步骤S3313)。
6.由主机1释放外部地址。
图52示出了主机1释放一个地址时的全部序列。图53显示了网络装置处理序列的细节,而图54显示了服务器处理序列的细节。
如果需要的话,可以参照图52、53及54对整个流程进行描述。
(1)当通信终止时,主机1通过将ICMP AAA请求消息的使用寿命设置为0、并将该消息传输给边缘节点,来发出一个地址释放请求。
(2)该边缘节点在接收到该ICMP AAA请求消息的同时将STR消息通知给AAA服务器。通过这个消息,通知主机1(host1@en11.net1)的NAI(图53中的(1)至(3):(1)-图26中的分组控制单元的步骤S201至S202至S207;以及图28中的值班单元的步骤S221至S222至S223至S228至S2211)。
(3)在接收到该STR消息时,该AAA服务器根据通知的NAI(host1@en11.net1)识别该地址高速缓存,并删除相应的服务记录高速缓存。还有,一个其控制代码被设置为释放的服务记录被设置为分配给边缘节点。在该优选实施例中,将SP1、SP2、SP3和SP4作为目标,而且生成其控制模式为设置为删除的服务记录(图54中的(1)至(4):(1)和(2)-图36中的鉴权控制单元的步骤S301至S3012至3013S;以及图37中的服务记录控制单元的步骤S331至S336至S337)。
(4)由AAA服务器参照SPC检测是否存在其源地址和目标地址都已经被解析的SP。在该阶段,SP1、SP2、SP3和SP4的地址都已经解析了(图54中的(5):(5)-图37中的服务记录控制单元的步骤S338)。
(5)参照网络前缀-EN对应表来检测其地址已经解析的SP1、SP2、SP3和SP4分配地址。由于SP1和SP3源地址的网络前缀是2001:400:1:1,将EN1确认为分配目的地。由于SP2源地址的网络前缀是0,根据上面所述的原因将EN2确认为分配目的地。SP4源地址的网络前缀是2001:400:2:1,因此,将EN2确认为分配目的地。这些已经确定了分配目的地的服务记录被加到分配队列中(图54中的(6)和(7):(6)和(7)-图39中的服务记录分配单元的步骤S341至S342)。
(6)作为对STR消息的应答而对STA消息进行编辑。这时,加入到传输目的地的分配队列中的一个服务记录被分离出来,并加到STA消息中。由于在该例中,STA的传输目的地是EN1,因此将SP1和SP3从队列中分离出来,并加到STA消息中去(图54中的(8)和(9):(8)和(9)-图36中的鉴权控制单元的步骤S3014)。
(7)随着STA消息分配服务记录(SP1和SP3)。
(8)将随着STA消息而被通知的服务记录注册到服务记录高速缓存中(图53中的(4)至(7):(4)和(5)-图26中的分组控制单元的步骤S201至S202至S207;以及(6)和(7)-图28中的值班单元的步骤S221至S222至S223至S225)
(9)根据被通知的服务记录的控制代码对服务记录进行注册/释放。由于在该实施例中被通知的服务记录SP1和SP3在控制代码中被设置为释放,因此查找具有相同记录编号的服务记录并从服务记录高速缓存将其删除(图30中的服务控制单元的步骤S231至S232)。
{10}参照服务记录对静态过滤器进行设置。由于SP1的服务类型是基本服务,如果将该静态过滤器用作调整过滤器,则将相应于SP1的静态过滤器的操作重新写入到分组丢弃中。还有,由于SP3的服务类型为扩展服务,因此静态过滤器被释放(图52中的{10}:{10}-图30中的服务控制单元的步骤S233)。
{1 1}为了相应ICMP AAA请求而传输一个ICMP AAA应答请求,并删除该地址高速缓存(图53中的(9):(9)-图28中的值班单元的步骤S226至S227)。
图55示出了在两个域之间进行通信的情况下,根据优选实施例的系统结构图。
在各个管理域中都存在一个AAA服务器,同在一个域中一样,在AAA服务器之间进行通信时也使用AAA使用协议。
7.在域之间分配服务记录
图56示出了主机1通过本地局域网络net1(net1域:服务器)而不是net2(net2域:服务器)同网络相连的全部序列,其中net2同net1进行漫游连接,并获得一个地址。图57示出了在net2中服务器的细节。
如果需要的话,可以参照图56及57对整个流程进行描述。该除了在域之间进行通信的不同过程以外的流程已经在前面解释过了。因此,解释的细节将在这里被忽略掉。该例假设主机1只向原始SP注册一个基本服务。
(1)在同网络连接之后,主机1就向边缘节点分配一个ICMP AAA请求消息,并发出一个获得地址的请求。
(2)该边缘节点在接收到该ICMP AAA请求消息的同时,通知一个AHR消息。通过这个消息,边缘节点将NAI通知给主机1(host1@en11.net1),以及IP地址(2001:400:2:1:aa:aa:aa:aa)。
(3)该AAA服务器在接收到该AHR消息的同时检测NAI(host1@en11.net1),并且由于该NAI并不表示本地域内的主机,因此将AHR传输给主机1的本地域net1中的AAA服务器(图57的(1):(1)-图36中的鉴权控制单元的步骤S301至S302至S308)。
(4)在接收到AHR消息时,由home域中的AAA服务器在鉴权数据库中查找NAI,并对该主机进行鉴权。
(5)如果鉴权成功,则用NAI(host1@en11.net1)查找原始SP
(6)根据提取出来的服务记录对服务记录高速缓存进行设置。在该优选实施例中,用NAI(host1@en11.net1)从原始SP中提取出来的服务记录是一个基本SP,在该SP中设置有:SrcNAI=host1@en11.net1,并且为了在上游和下游方向通信而生成两个服务记录,并设置在服务记录高速缓存中。还有,由于这次通知了相应于NAI(host1@en11.net1)的IP地址,所以可以在将地址2001:400:2:1:aa:aa:aa:aa设置在相应的地址字段中。
(7)AAA服务器通过参照SPC来检测是否存在一个SP,其中该SP的源和目标地址已经被解析了。在该阶段,SP1和SP2的地址已经解析了。
(8)通过参照网络前缀-EN对应表来确定其地址已经解析的SP1和SP2的分配目的地。由于SP1源地址的网络前缀为2001:400:2:1,并且该网络前缀并没有表示出在该例中该域所管理的边缘节点。因此确定一个外部队列作为分配目的地。还有,由于SP2源地址的网络前缀为0,因此将所有的EN和外部队列确定为分配目的地。并将其分配目的地已经被确定的服务记录加到分配队列中去。
(9)对AHA消息进行编辑,作为对AHR消息的应答。这时,加入到分配队列中的服务记录被提取出来,并加到AHA消息中。由于在该例中AHA的传输目的地就是外部域中的AAA服务器,因此将SP1和SP2从外部队列中分离出来并加到消息AHA中。
(10)随着AHA消息分配服务记录(SP1)。
(11)随着AHA消息被通知的服务记录被注册到服务记录高速缓存中(图57中的(2)至(5):(2)至(5)-图36中的鉴权控制单元中的步骤S301至S3010,以及图37中的服务记录控制单元中的步骤S331至S339至S3310)。
(12)通过参照网络前缀-EN对应表来确定其地址已经解析的SP1和SP2的分配目的地。由于SP1源地址的网络前缀为2001:400:2:1,因此将EN2确定为分配目的地。还有,由于SP2源地址的网络前缀为0,因此将ENs确定为分配目的地。并将其分配目的地已经被确定的服务记录加到分配队列中去(图57中的(6)和(7):(6)和(7)-图39中的服务记录分配单元的步骤S341至S342)。
(13)对AHA消息进行编辑,作为对AHR消息的应答。这时,加入到分配队列中的服务记录被提取出来,并加到AHA消息中。由于在该例中AHA的传输目的地就是EN2,因此将SP1从外部队列中分离出来并加到消息AHA中。
(14)随着AHA消息分配服务记录(SP1)。
{15}用AHA消息通知的服务记录被注册到服务记录高速缓存中。
{16}通过参照服务记录对静态过滤器进行设置。如果存在一个用作分组调整过滤器的过滤器,在该过滤器中丢弃分组被设置在其源地址为2001:400:2:1:aa:aa:aa:aa的分组的操作中,则根据通知到的服务记录对TOS进行标记并通知给伙伴节点。在采用动态的方法调整分组的情况下,其条件为源地址2001:400:2:1:aa:aa:aa:aa的原始设置过滤器并不存在。因此生成了一个新的过滤器,在该过滤器中,对TOS进行标记并通知给伙伴节点。
{17}为了响应ICMP AAA请求而传输一个ICMP AAA应答消息。
8.应用于数据分组的服务
图58示出了在边缘节点1中设置了静态过滤器的情况下,主机1向主机2传输分组的序列(以对一个数据分组应用一个服务为例)。
(1)主机1向主机2分配一个数据分组。该分组的源地址为2001:400:1:1:aa:aa:aa:aa,并且其目标地址为2001:400:2:1:bb:bb:bb:bb。
(2)顺序地对各个分组过滤器进行检测。由于该分组既不是ICMP也不是DIAMETER分组,因此它和鉴权过滤器并不匹配。而由于没有对动态过滤器进行设置,所以它同动态过滤器也不匹配。在该静态过滤器中,即使在鉴权之前/之后也都会存在一个与地址2001:400:1:1:aa:aa:aa:aa相匹配的分组(图26的分组控制单元的步骤S201至S202至S203至S204至S206)。
9.应用于数据分组的动态服务
图59示出了当通过对边缘节点1的数据分组应用一个基本的服务而向容纳有一个通信目标主机的边缘节点分配服务记录的序列(以动态的对一个数据分组应用一个服务为例)。
(1)主机1向主机2发送一个数据分组。该分组的源地址为2001:400:1:1:aa:aa:aa:aa,并且其目标地址为2001:400:2:1:bb:bb:bb:bb。
(2)顺序地对分组过滤器进行检测。由于该分组既不是ICMP也不是DIAMETER分组,因此它和鉴权过滤器并不匹配。由于没有对动态过滤器进行设置,所以它同动态过滤器也不匹配。在进行鉴权和没有进行鉴权两种情况下,其源地址为2001:400:1:1:aa:aa:aa:aa的分组都会和静态过滤器相匹配。由于没有进行鉴权,在操作中存在其中设置了丢弃分组的过滤器条目,因此在鉴权之前来自主机的信息被丢弃掉。由于进行了鉴权,存在其中标记了TOS并被通知给伙伴节点的过滤器条目,因此根据设置在操作中的指令对分组进行控制(图26中的分组控制单元的步骤S201至S202至S203至204至S206)。
(3)这里,在鉴权之后进行访问,对分组进行TOS标记,并加入逐跳选项。在该优选实施例中,AF31被设置在作为逐跳选项的QoS要求。
(4)接收了在其中设置了逐跳选项的数据分组的边缘节点2参照逐跳选项的内容设置动态过滤器的条目。尤其是,分组的目标地址,分组的源地址以及标记的AF31分别被设置为源地址,目标地址以及TOS值。
10.动态分组过滤
图60示出了动态过滤分组的序列。
(1)主机1向主机2分配一个数据分组。该分组的源地址为2001:400:1:1:aa:aa:aa:aa,并且其目标地址为2001:400:2:1:bb:bb:bb:bb。
(2)顺续地对分组过滤器进行检测。由于该分组既不是ICMP也不是DIAMETER分组,因此它和鉴权过滤器并不匹配。由于没有对动态过滤器进行设置,所以它同动态过滤器也不匹配。该优选实施例假设动态设置了一个调整过滤器。因此,可以假设不预先设置静态过滤器。因此该分组同静态过滤器及动态过滤器都不匹配。所以向访问监测单元通知分组不匹配事件(图26中的分组控制单元的步骤S201至S202至S203至S204至S205)。
(3)该访问监测单元在地址高速缓存中查找被通知的分组的源地址。如果存在相应的条目,则该访问监测单元参照服务记录生成一个动态过滤器条目(图31中的访问监测单元的步骤S211至S212至S213至S214)。如果相应的条目不存在,则对该分组进行记录,并生成一个用于对该分组进行调整的调整策略,并将其设置在动态过滤器条目中(图31中的访问监测单元的步骤S211至S212至S215至S216至S217)。
(4)根据该设置过滤器的动作对分组进行控制。
(5)当生成一个动态过滤器条目时,将它的有效期设置在图23示出的使用寿命中。如果该有效期届满了,则通过分组控制单元动态的删除该动态过滤器条目(图26中的分组控制单元的步骤S209至S210至S211)。
参照附图对根据本发明的优选实施例进行了说明。很显然的,应用于本发明的网络装置或服务器并不仅限于上述的优选实施例,可以是一个简单的装置,由多个装置或集成装置构成的系统,或者通过网络例如LAN、WAN等来执行处理过程的系统,只要能实现该功能就行。
如图61所示,网络装置或服务器可以由一个系统实现,该系统包括一个CPU 6101,一个存储器6102例如ROM或RAM,一个输入装置6103,一个输出装置6104,一个外部存储器装置6105,一个介质驱动装置6106,一个便携式存储介质6110以及一个同总线6109相连的网络连接装置6107。也就是,该网络装置或服务器包括存储器6102例如ROM或RAM,外部存储介质6105或者便携式存储介质6110,在该便携式存储介质中记录有实现根据上述优选实施例的系统软件的程序代码,因此根据上述优选实施例的系统也是很显然就能实现的。
在这种情况下,从便携式存储介质146等中读取的程序代码本身实现了本发明的新的功能,并且记录了程序代码的便携式存储介质6110等构成了本发明。
作为用来提供程序代码的便携式存储介质6110,例如软盘、硬盘、光盘、磁光盘、CD-ROM、CD-R、DVD-ROM、DVD-RAM、磁带、非易失性存储卡、ROM卡、通过网络连接装置6107例如电子邮件、个人计算机通信等来进行记录的各种类型的存储介质也都是可用的。
还有,如图62所示,计算机6200执行读入到存储器6201中的程序代码,因此根据该优选实施例的功能是可以实现的。或者,由运行于计算机6200上的OS(操作系统)根据程序代码的指令执行部分或全部的有效处理过程,因此,上述的优选实施例的功能也是可以实现的。
进一步,在从便携式存储介质6210中读取的程序代码或由一个程序(数据)供应商提供的程序(数据)被写入到存储器6201中之后,其中该存储器6201包括插入到计算机6200中的扩展板或同计算机6200相连的功能扩展单元,由功能性扩展板或单元构成的CPU等根据程序代码的指令执行部分或全部的有效处理过程,因此,上述的优选实施例的功能也是可以实现的。
也就是说,本发明并不仅限于上述的优选实施例,并且在不脱离本发明的要旨的范畴内可以有各种结构和形状。
如上所述,本发明具有以下有益效果。
(1)并不依靠IP地址来对主机进行识别,因此服务控制信息可以被设置/分配至具有可变地址的主机。
(2)主机可以连接至一个任意的连接点,并且可以接收服务,其中该服务的质量可以由来自网络的同等条件来保证。
(3)同具有相同有益效果的现有发明相比,应用服务的即时性很高。
(4)同调整过滤器组合在一块,因此实现了对于网络资源的高效使用。
Claims (19)
1.一种服务控制网络,该网络具有一个容纳有终端的网络装置,以及对该终端进行鉴权并向该终端提供服务的服务器,其中
该服务器包括:
服务控制信息数据库,该数据库通过使用网络访问识别符来存储终端的识别信息;
服务记录控制单元,该单元包括地址高速缓存,用于在容纳终端的网络装置指定给该终端的IP地址和网络访问识别符之间进行对应,并且对于指定网络访问识别符的网络控制请求,将服务控制信息转换为一种网络装置在服务器的控制下能够解释的格式;
服务记录分配单元,该单元用于识别服务控制信息的分配目的地,并分配该服务控制信息,其中
在与终端相连的时刻,该服务记录分配单元在网络访问识别符和容纳终端的网络装置指定给该终端的IP地址之间建立对应关系,并且
该服务记录分配单元向所需路径分配服务控制信息,其中网络访问识别符被转换为IP地址;
鉴权控制单元,用来根据对于一个对终端进行鉴权的鉴权操作来检测终端的网络访问,并向地址高速缓存中注册一个进行鉴权请求的终端的网络访问识别符,以及一个由网络装置通知的IP地址;以及
服务记录生成单元,用来向所述鉴权控制单元提供一个接口,以便于从发出鉴权请求的终端的网络访问识别符中获得IP地址,其中
所述服务记录分配单元中包括网络前缀和网络装置之间的对应表,并根据服务记录的源地址确定服务记录的分配目的地,其中由所述服务记录生成单元将网络访问识别符转换为一个IP地址;
该网络装置包括:
值班单元,该值班单元允许发出鉴权请求的用户进行网络访问,以及通过使用包含在服务器中的鉴权控制单元对鉴权请求和应答消息进行交换而指定IP地址,为了对终端鉴权,根据所执行的鉴权操作来检测来自终端的网络访问,并且向地址高速缓存中注册发出鉴权请求的终端的网络访问识别符,以及由该网络装置通知的IP地址;
服务控制单元,该服务控制单元以终端为单位划分以及管理由服务器通知的被复用的服务控制信息;
分组控制单元,用来对接收到的IP分组进行传输控制;以及
访问监测单元,用来动态地设置服务记录,并且如果发出鉴权请求的用户进行了预定数量或更多的访问,则发出警告。
2.根据权利要求1的服务控制网络,其中
该服务控制信息被分为静态服务控制信息和动态服务控制信息;
该静态服务控制信息在对终端完成鉴权操作之后会立即被分配至所需路径;以及
该动态服务控制信息在传输分组的时候被分配至所需路径。
3.根据权利要求2的服务控制网络,其中
服务记录被分成在终端的上游和下游方向统一分配QoS的基本服务信息,以及分别在上游方向分配目标地址及在下游方向分配源地址的扩展服务信息。
4.根据权利要求3的服务控制网络,其中
该下游方向的服务控制信息按照IPv6逐跳选项进行分配,并且被通知给目标网络装置,以防止没有被指定某一地址的服务控制信息在服务器的控制下被分配给所有的网络装置。
5.一种对由网络装置容纳的终端进行鉴权的服务器,包括:
服务控制信息数据库,该数据库通过使用网络访问识别符来存储终端的识别信息;
服务记录控制单元,该单元包括地址高速缓存,用于在容纳终端的网络装置指定给该终端的IP地址和网络访问识别符之间进行对应,并且对于指定网络访问识别符的网络控制请求,将服务控制信息转换为一种网络装置在服务器的控制下能够解释的格式;和
服务记录分配单元,该单元用于识别服务控制信息的分配目的地,并分配该服务控制信息,其中
在与终端相连的时刻,该服务记录分配单元在网络访问识别符和容纳终端的网络装置指定给该终端的IP地址之间建立对应关系,并且
该服务记录分配单元向所需路径分配服务控制信息,其中网络访问识别符被转换为IP地址;
鉴权控制单元,用来根据对于一个对终端进行鉴权的鉴权操作来检测终端的网络访问,并向地址高速缓存中注册一个进行鉴权请求的终端的网络访问识别符,以及一个由网络装置通知的IP地址;以及
服务记录生成单元,用来向所述鉴权控制单元提供一个接口,以便于从发出鉴权请求的终端的网络访问识别符中获得IP地址,其中
所述服务记录分配单元中包括网络前缀和网络装置之间的对应表,并根据服务记录的源地址确定服务记录的分配目的地,其中由所述服务记录生成单元将网络访问识别符转换为一个IP地址。
6.根据权利要求5的服务器,其中
所述服务记录分配单元为每个由源地址标识的网络装置把一个服务记录存储在一个队列中,该记录被转换为该网络装置能够解释的格式;以及
当该鉴权控制单元为了响应来自网络装置的鉴权请求消息而生成鉴权应答消息的时候,从对应于传输目的地的网络装置的队列中提取待分配给该网络装置的服务记录,并且在该消息中复用多个服务记录。
7.根据权利要求5的服务器,其中
所述服务记录分配单元具有用于不同网络装置的队列,并且当从不同的网络装置中发出鉴权请求时,在队列中为每个网络装置都存储一个服务记录;
所述鉴权控制单元为了响应鉴权请求消息而生成鉴权请求应答消息时,从与发出鉴权请求的网络装置所处的域对应的队列中提取将要被分配给该网络装置的服务控制信息,并且将该提取出的服务控制信息作为鉴权应答消息发送出去;以及
位于鉴权请求源中的服务器提取随着鉴权应答消息而被通知的服务记录,并在服务器的控制下将该提取出来的记录存储在用于网络装置的队列中。
8.一种网络装置,该网络装置容纳有终端,并根据服务控制信息进行分组传输控制,其中的服务控制信息作为来自用于对终端鉴权的服务器的终端标识而被分配,该服务器包括一个通过使用网络访问识别符来存储终端识别信息的服务控制信息数据库,在网络访问识别符和容纳该终端的网络装置指定给该终端的IP地址之间建立对应关系,并且向所需路径分配服务控制信息,在该服务控制信息中网络访问识别符被转换为IP地址,该网络装置包括:
值班单元,该值班单元允许发出鉴权请求的用户进行网络访问,以及通过使用包含在服务器中的鉴权控制单元对鉴权请求和应答消息进行交换而指定IP地址,为了对终端鉴权,根据所执行的鉴权操作来检测来自终端的网络访问,并且向地址高速缓存中注册发出鉴权请求的终端的网络访问识别符,以及由该网络装置通知的IP地址;
服务控制单元,该服务控制单元以终端为单位划分以及管理由服务器通知的被复用的服务控制信息;以及
分组控制单元,用来对接收到的IP分组进行传输控制;以及
访问监测单元,用来动态地设置服务记录,并且如果发出鉴权请求的用户进行了预定数量或更多的访问,则发出警告。
9.根据权利要求8的网络装置,其中
该分组控制单元包括动态分组过滤器和静态分组过滤器,并且该访问监测单元为从该分组控制单元通知的分组设置该分组控制单元的动态分组过滤器的条目,并且对通过该静态分组过滤器的分组进行记录,其中指定分组丢弃的服务记录被分配给该静态分组过滤器;
该服务控制信息被分为静态服务控制信息和动态服务控制信息,该静态服务控制信息在对终端完成鉴权操作之后会立即被分配至所需路径,而动态服务控制信息是在传输分组的时候被分配至所需路径;
将一个可指定的IP地址注册到通过参考源IP地址对分组进行过滤的静态分组过滤器中;
把分组丢弃注册为静态分组过滤器条目动作;以及
当对该终端进行鉴权操作时,用随着鉴权应答消息从服务器返回来的并且与指定给该终端的IP地址相对应的服务记录来替换该动作。
10.根据权利要求9的网络装置,其中:
如果分组的源IP地址与参照源IP地址对分组进行过滤的静态分组过滤器不匹配,则确定分组的源IP地址是否已经被指定了;
如果确定该源IP地址已经被指定,则从服务器中分配过来的服务控制信息会被注册到静态分组过滤器以及地址高速缓存中;以及
如果确定该源IP地址没有被指定,则指定丢弃分组的服务控制信息会被注册到静态分组过滤器以及地址高速缓存中。
11.根据权利要求8的网络装置,进一步包括:
另一个值班单元,用来向该服务器传输服务请求消息,并且如果终端在一预定的期间内没有发出鉴权请求,则会随着服务应答消息下载关于该服务器的服务控制信息。
12.根据权利要求9的网络装置,其中:
当传输分组时,该网络装置编辑一个通信量类字段,并且在动态分组过滤器或静态分组过滤器条目的动作中设置用于在IPv6逐跳选项中在下游方向设置及插入一个服务记录的控制代码,动态分组过滤器在接收分组时被动态设置,而静态分组过滤器在对终端鉴权时被该网络装置设置;以及
如果接收到包括逐跳选项的分组,则将该分组设置在动态分组过滤器中。
13.根据权利要求9的网络装置,其中:
当传输分组时,该网络装置编辑一个通信量类字段,并且在动态分组过滤器或静态分组过滤器条目的动作中设置用于在IPv6逐跳选项中在下游方向设置及插入一个服务记录的控制代码,动态分组过滤器在接收分组时被动态设置,而静态分组过滤器在对终端鉴权时被设置;以及
如果接收到包括逐跳选项的分组,则将该分组设置在动态分组过滤器中。
14.根据权利要求10的网络装置,其中:
当传输分组时,该网络装置编辑一个通信量类字段,并且在动态分组过滤器或静态分组过滤器条目的动作中设置用于在IPv6逐跳选项中在下游方向设置及插入一个服务记录的控制代码,动态分组过滤器在接收分组时被动态设置,而静态分组过滤器在对终端鉴权时被设置;以及
如果接收到包括逐跳选项的分组,则将该分组设置在动态分组过滤器中。
15.根据权利要求9的网络装置,其中:
当传输分组时,该网络装置编辑一个通信量类字段,并且在动态分组过滤器或静态分组过滤器条目的动作中设置用于在IPv6逐跳选项中在下游方向设置及插入一个服务记录的控制代码,动态分组过滤器在接收分组时被动态设置,而静态分组过滤器在对终端鉴权时被设置;以及
如果接收到包括逐跳选项的分组,则将该分组设置在动态分组过滤器中。
16.根据权利要求10的网络装置,其中:
当传输分组时,该网络装置编辑一个通信量类字段,并且在动态分组过滤器或静态分组过滤器条目的动作中设置用于在IPv6逐跳选项中在下游方向设置及插入一个服务记录的控制代码,动态分组过滤器在接收分组时被动态设置,而静态分组过滤器在对终端鉴权时被设置;以及
如果接收到包括逐跳选项的分组,则将该分组设置在动态分组过滤器中。
17.根据权利要求11的网络装置,其中:
当传输分组时,该网络装置编辑一个通信量类字段,并且在动态分组过滤器或静态分组过滤器条目的动作中设置用于在IPv6逐跳选项中在下游方向设置及插入一个服务记录的控制代码,动态分组过滤器在接收分组时被动态设置,而静态分组过滤器在对终端鉴权时被设置;以及
如果接收到包括逐跳选项的分组,则将该分组设置在动态分组过滤器中。
18.一种服务信息分配方法,该方法由容纳有终端的网络装置执行,包括:
根据由服务器分配来的作为终端标识的服务控制信息进行分组传输控制;
通过与包含在服务器中的鉴权控制单元交换鉴权请求和应答消息,来允许发出鉴权请求的用户进行网络访问和IP地址指定,根据用于对终端鉴权的鉴权操作来检测来自终端的网络访问,并且向地址高速缓存中注册发出鉴权请求的终端的网络访问识别符,以及一个由该网络装置通知的IP地址;以及
以终端为单位划分和管理由服务器通知的被复用的服务控制信息。
19.根据权利要求18的服务信息分配方法,还包括:
将一个可指定IP地址注册到通过参照源IP地址对分组进行过滤的静态分组过滤器中;
把分组丢弃注册为静态分组过滤器条目的动作;以及
当对一个终端进行鉴权操作时,用随着鉴权应答消息从服务器返回来的并且对应于IP地址的服务记录来替换该动作。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001322934A JP3895146B2 (ja) | 2001-10-22 | 2001-10-22 | サービス制御ネットワーク、サーバ装置、ネットワーク装置、サービス情報配布方法、及びサービス情報配布プログラム |
| JP322934/2001 | 2001-10-22 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1414751A CN1414751A (zh) | 2003-04-30 |
| CN100380892C true CN100380892C (zh) | 2008-04-09 |
Family
ID=19139898
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB021465827A Expired - Fee Related CN100380892C (zh) | 2001-10-22 | 2002-10-22 | 服务控制网络,服务器,网络装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20030079144A1 (zh) |
| EP (1) | EP1304847A3 (zh) |
| JP (1) | JP3895146B2 (zh) |
| CN (1) | CN100380892C (zh) |
Families Citing this family (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI113515B (fi) * | 2002-01-18 | 2004-04-30 | Nokia Corp | Osoitteistus langattomissa lähiverkoissa |
| US7529263B1 (en) * | 2002-01-19 | 2009-05-05 | Ucentric Systems, Inc. | Local area-networked system having intelligent traffic control and efficient bandwidth management |
| AU2003217301A1 (en) * | 2002-02-04 | 2003-09-02 | Flarion Technologies, Inc. | A method for extending mobile ip and aaa to enable integrated support for local access and roaming access connectivity |
| US8649352B2 (en) | 2002-02-04 | 2014-02-11 | Qualcomm Incorporated | Packet forwarding methods for use in handoffs |
| US20040193906A1 (en) * | 2003-03-24 | 2004-09-30 | Shual Dar | Network service security |
| US7421732B2 (en) * | 2003-05-05 | 2008-09-02 | Nokia Corporation | System, apparatus, and method for providing generic internet protocol authentication |
| JP2004355562A (ja) * | 2003-05-30 | 2004-12-16 | Kddi Corp | 機器認証システム |
| US7269727B1 (en) * | 2003-08-11 | 2007-09-11 | Cisco Technology, Inc. | System and method for optimizing authentication in a network environment |
| JP4046698B2 (ja) * | 2004-02-04 | 2008-02-13 | シャープ株式会社 | データ提供システム及びデータ提供装置 |
| JP4829223B2 (ja) * | 2004-05-25 | 2011-12-07 | グーグル インコーポレイテッド | 電子メッセージソース評判情報システム |
| US7974217B2 (en) | 2004-07-19 | 2011-07-05 | Samsung Electronics Co., Ltd. | Method and apparatus for identifying network device corresponding to internet protocol address, and method and apparatus for allocating internet protocol address |
| US20070226344A1 (en) * | 2004-07-23 | 2007-09-27 | General Instrument Corporation | Centralized Resource Manager With Power Switching System |
| EP1784945A4 (en) * | 2004-08-27 | 2015-03-04 | Rockstar Consortium Us Lp | PERIPHERAL NODE PLATFORM ARCHITECTURE FOR MULTISERVICE ACCESS NETWORK |
| JP2006086907A (ja) * | 2004-09-17 | 2006-03-30 | Fujitsu Ltd | 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム |
| JP4282635B2 (ja) * | 2005-05-31 | 2009-06-24 | 株式会社東芝 | 制御ネットワークシステム及び制御ネットワークの作動方法 |
| JP2007097057A (ja) * | 2005-09-30 | 2007-04-12 | Brother Ind Ltd | サーバ装置、機器情報提供方法、プログラム、ネットワークシステム、及び、機器共用化方法 |
| US7877790B2 (en) * | 2005-10-31 | 2011-01-25 | At&T Intellectual Property I, L.P. | System and method of using personal data |
| US7761503B2 (en) * | 2006-01-06 | 2010-07-20 | Microsoft Corporation | Peer distribution point feature for system management server |
| CN1809076B (zh) * | 2006-01-26 | 2010-05-26 | 中国移动通信集团公司 | 通信网络中终端IPv6地址的生成及解析方法 |
| JP4630225B2 (ja) | 2006-05-15 | 2011-02-09 | 富士通株式会社 | 通信制御システム |
| CN101132307B (zh) * | 2006-08-22 | 2010-12-01 | 华为技术有限公司 | 控制系统、控制方法、以及控制装置 |
| KR101298150B1 (ko) | 2006-12-22 | 2013-08-20 | 삼성전자주식회사 | 블루투스 통신 시스템에서 활성 프로파일 교환을 위한 장치및 방법 |
| JP5002259B2 (ja) * | 2006-12-25 | 2012-08-15 | パナソニック株式会社 | 認証システム |
| WO2008082328A1 (en) * | 2006-12-28 | 2008-07-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Home gateway device for providing multiple services to customer devices |
| KR101361513B1 (ko) * | 2007-02-21 | 2014-02-10 | 삼성전자 주식회사 | 컴퓨터 및 그 제어방법 |
| EP2007111A1 (fr) * | 2007-06-22 | 2008-12-24 | France Telecom | Procédé de filtrage de paquets en provenance d'un réseau de communication |
| US8693372B2 (en) * | 2009-01-29 | 2014-04-08 | Qualcomm Incorporated | Methods and apparatus for forming, maintaining and/or using overlapping networks |
| JP5627860B2 (ja) * | 2009-04-27 | 2014-11-19 | 三菱電機株式会社 | 立体映像配信システム、立体映像配信方法、立体映像配信装置、立体映像視聴システム、立体映像視聴方法、立体映像視聴装置 |
| CN101997875B (zh) * | 2010-10-29 | 2013-05-29 | 北京大学 | 一种安全的多方网络通信平台及其构建方法、通信方法 |
| US8549579B2 (en) * | 2011-07-06 | 2013-10-01 | International Business Machines Corporation | Dynamic data-protection policies within a request-reply message queuing environment |
| CN104935505B (zh) * | 2014-03-21 | 2018-11-27 | 杭州迪普科技股份有限公司 | 一种报文转发、协助转发的方法以及装置、中继设备 |
| KR102336293B1 (ko) | 2014-12-19 | 2021-12-07 | 삼성전자 주식회사 | 전자기기의 제어 방법 및 장치 |
| CN104486043B (zh) * | 2014-12-29 | 2017-10-27 | 中山大学 | 一种区分业务的自适应协作网络编码方法 |
| CN104717216B (zh) * | 2015-03-12 | 2018-09-07 | 福建星网锐捷网络有限公司 | 一种网络接入控制方法、装置及核心设备 |
| US10666624B2 (en) * | 2017-08-23 | 2020-05-26 | Qualcomm Incorporated | Systems and methods for optimized network layer message processing |
| CN108063735B (zh) * | 2017-12-22 | 2021-10-19 | 新华三技术有限公司 | Vnf集群的分配方法及装置 |
| JP7166217B2 (ja) * | 2019-04-25 | 2022-11-07 | Thk株式会社 | 処理装置、処理済みデータの収集方法、及びデータ収集システム |
| CN116208680B (zh) * | 2023-05-04 | 2023-07-14 | 成都三合力通科技有限公司 | 一种服务器访问管理系统及方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1021015A2 (en) * | 1999-01-14 | 2000-07-19 | Fujitsu Limited | Network-device control system and apparatus |
| CN1298589A (zh) * | 1998-04-29 | 2001-06-06 | 艾利森电话股份有限公司 | 用于鉴权的方法、装置和设备 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6360262B1 (en) * | 1997-11-24 | 2002-03-19 | International Business Machines Corporation | Mapping web server objects to TCP/IP ports |
| US6681327B1 (en) * | 1998-04-02 | 2004-01-20 | Intel Corporation | Method and system for managing secure client-server transactions |
| US6654891B1 (en) * | 1998-10-29 | 2003-11-25 | Nortel Networks Limited | Trusted network binding using LDAP (lightweight directory access protocol) |
| US7194554B1 (en) * | 1998-12-08 | 2007-03-20 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization authentication and accounting |
| JP2001169341A (ja) * | 1999-09-29 | 2001-06-22 | Fujitsu Ltd | 移動通信サービス提供システム、移動通信サービス提供方法、認証装置、およびホームエージェント装置 |
| JP3478218B2 (ja) * | 1999-12-27 | 2003-12-15 | 日本電気株式会社 | エッジノード交換機と交換機 |
| US6910074B1 (en) * | 2000-07-24 | 2005-06-21 | Nortel Networks Limited | System and method for service session management in an IP centric distributed network |
| US6957276B1 (en) * | 2000-10-23 | 2005-10-18 | Microsoft Corporation | System and method of assigning and reclaiming static addresses through the dynamic host configuration protocol |
-
2001
- 2001-10-22 JP JP2001322934A patent/JP3895146B2/ja not_active Expired - Fee Related
-
2002
- 2002-04-05 EP EP20020007344 patent/EP1304847A3/en not_active Withdrawn
- 2002-04-10 US US10/119,657 patent/US20030079144A1/en not_active Abandoned
- 2002-10-22 CN CNB021465827A patent/CN100380892C/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1298589A (zh) * | 1998-04-29 | 2001-06-06 | 艾利森电话股份有限公司 | 用于鉴权的方法、装置和设备 |
| EP1021015A2 (en) * | 1999-01-14 | 2000-07-19 | Fujitsu Limited | Network-device control system and apparatus |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003134145A (ja) | 2003-05-09 |
| JP3895146B2 (ja) | 2007-03-22 |
| EP1304847A2 (en) | 2003-04-23 |
| EP1304847A3 (en) | 2004-04-21 |
| CN1414751A (zh) | 2003-04-30 |
| US20030079144A1 (en) | 2003-04-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100380892C (zh) | 服务控制网络,服务器,网络装置 | |
| US7149229B1 (en) | Mobile IP accounting | |
| CN100536465C (zh) | 企业网关的配置 | |
| JP4162347B2 (ja) | ネットワークシステム | |
| US20050078681A1 (en) | Identifier assignment system, method, and program | |
| CN103703748B (zh) | 用于通信网络中的ip可达性的系统和方法 | |
| CN104680462B (zh) | 面向云平台的医疗系统病例信息优化获取方法 | |
| CN101677291B (zh) | 一种网元设备自动配置的方法、装置及系统 | |
| CN100583905C (zh) | 一种移动终端ip地址分配方法 | |
| CN101163161B (zh) | 统一资源定位器地址过滤方法及中间传输设备 | |
| RU2010100887A (ru) | Конфигурирование информации о качестве обслуживания | |
| CN1647451B (zh) | 用于在网络环境中监视信息的装置、方法和系统 | |
| WO2003001752A1 (fr) | Reseau de commande de services | |
| JP2004253914A (ja) | 通信システム、アドレス管理方法、中継装置および管理装置 | |
| CN101047958B (zh) | 3gpp演进网络中漫游场景下用户网络附着方法及系统 | |
| CN100525523C (zh) | 一种移动终端接入分组网络的方法 | |
| CN101595689B (zh) | 在多机架网络接入环境中改变用户信息 | |
| JP3930258B2 (ja) | インターネットローミング方法 | |
| CN102082812A (zh) | 支撑域系统间文件传送的方法、装置和系统 | |
| CN106506239A (zh) | 在组织单位域中进行认证的方法及系统 | |
| EP1993245A1 (en) | A system and method for realizing message service | |
| CN103200282A (zh) | 代表请求实体访问数据的系统 | |
| CN101755427B (zh) | 网络架构中改进的子树访问控制 | |
| CN1326065C (zh) | 按使用付费的公共数据访问系统中的有区分连接 | |
| WO2006116908A1 (fr) | Procede et appareil d’interface pour l’authentification et la facturation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C19 | Lapse of patent right due to non-payment of the annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |