專利名稱:網(wǎng)絡(luò)策略服務(wù)器之間的會話遷移的制作方法
技術(shù)領(lǐng)域:
本發(fā)明公開涉及計算機(jī)網(wǎng)絡(luò)��,更具體地�,涉及計算機(jī)網(wǎng)絡(luò)的接入控制裝置��。
背景技術(shù):
企業(yè)和其他機(jī)構(gòu)為了控制客戶端裝置在計算機(jī)網(wǎng)絡(luò)上通信的能力而實施網(wǎng)絡(luò)接 入控制����。例如��,企業(yè)可以實施包含電子郵件服務(wù)器的計算機(jī)網(wǎng)絡(luò)。為了阻止未授權(quán)的用戶 與此電子郵件服務(wù)器進(jìn)行通信�����,企業(yè)可以實施除非用戶提供正確的用戶名和密碼否則阻止 未授權(quán)用戶在計算機(jī)網(wǎng)絡(luò)上發(fā)送網(wǎng)絡(luò)通信的網(wǎng)絡(luò)接入控制系統(tǒng)�����。在另一個實例中�,企業(yè)可 以請求阻止感染計算機(jī)病毒的裝置與企業(yè)網(wǎng)絡(luò)上的裝置進(jìn)行通信。在這個實例中�,企業(yè)可 以實施阻止不具有最新防病毒軟件的裝置在網(wǎng)絡(luò)上進(jìn)行通信的網(wǎng)絡(luò)接入控制系統(tǒng)。三種不同類型的裝置典型地存在于實現(xiàn)網(wǎng)絡(luò)接入控制的網(wǎng)絡(luò)中���。這些裝置典型地 包括客戶端裝置�、策略裝置(有時稱為策略決定點)和接入裝置��?��?蛻舳搜b置是試圖連接 網(wǎng)絡(luò)的裝置���。策略裝置為了決定是否準(zhǔn)許客戶端裝置接入網(wǎng)絡(luò)而評價來自客戶端裝置的信 息。策略裝置的一個實例是認(rèn)證服務(wù)器,諸如遠(yuǎn)程用戶撥號接入系統(tǒng)(“RADIUS”)服務(wù)器��。 接入裝置執(zhí)行由策略決定點做出的關(guān)于各個客戶端裝置的決定���。接入裝置包括(例如)無 線接入點和網(wǎng)關(guān)裝置�。接入裝置通常配置在計算機(jī)網(wǎng)絡(luò)的邊緣處�����,并且通過在準(zhǔn)許客戶端裝置接入網(wǎng)絡(luò) 之前要求其提供認(rèn)證信息而與客戶端裝置連接�����。面對這種認(rèn)證要求����,于是特定的客戶端裝 置提供認(rèn)證信息,認(rèn)證信息由接入裝置轉(zhuǎn)發(fā)到策略裝置��,策略裝置通常配置在計算機(jī)網(wǎng)絡(luò) 的更中心的位置以服務(wù)多個接入裝置����。策略裝置根據(jù)一種或多種策略對轉(zhuǎn)發(fā)來的認(rèn)證信息 進(jìn)行認(rèn)證,并將認(rèn)證結(jié)果轉(zhuǎn)發(fā)回接入裝置�。然后��,接入裝置基于接收到的結(jié)果準(zhǔn)許客戶端裝 置接入計算機(jī)網(wǎng)絡(luò)。典型地�,當(dāng)客戶端裝置移動到新的物理位置并請求經(jīng)由耦接至不同的策略裝置的 接入裝置來連接至同一計算機(jī)網(wǎng)絡(luò)時,此接入裝置和與此接入裝置相連接的策略裝置在準(zhǔn) 許此客戶端裝置接入計算機(jī)網(wǎng)絡(luò)之前要求客戶端裝置重新認(rèn)證其自身�。不管客戶端裝置以 前是否認(rèn)證成功,這種重新認(rèn)證一般都會發(fā)生�����。
發(fā)明內(nèi)容
大體上����,本發(fā)明公開描述了能使客戶端裝置的網(wǎng)絡(luò)會話在網(wǎng)絡(luò)策略裝置之間遷移 的技術(shù)。換句話說�����,在客戶端經(jīng)由與第一策略裝置耦接的第一接入裝置建立了由第一策略 裝置認(rèn)證的網(wǎng)絡(luò)會話之后��,本發(fā)明公開的技術(shù)能使客戶端將網(wǎng)絡(luò)會話遷移到與第二策略裝 置耦接的第二接入裝置而不要求由第二策略裝置重新認(rèn)證����。通常,策略裝置認(rèn)證試圖經(jīng)由相關(guān)聯(lián)的接入裝置連接至網(wǎng)絡(luò)的用戶和/或客戶端。在認(rèn)證之后��,策略裝置為經(jīng)認(rèn)證的客 戶端裝置提供會話標(biāo)識符���,該會話標(biāo)識符還由策略裝置來儲存����。在客戶端裝置移動到新的物理位置之后,客戶端裝置經(jīng)由與不同策略裝置耦接的 接入裝置連接至網(wǎng)絡(luò)�����。不要求新策略裝置重新認(rèn)證客戶端裝置�,但是,客戶端裝置要向新的 策略裝置提供會話標(biāo)識符����。新策略裝置聲明對網(wǎng)絡(luò)會話的所有權(quán),并配置為識別由第一策 略裝置執(zhí)行的認(rèn)證�����。新策略裝置更新會話信息以反映會話所有權(quán)的改變�����。在一些實施例中�, 根據(jù)由元數(shù)據(jù)接入點接口(IF-MAP)標(biāo)準(zhǔn)定義的數(shù)據(jù)模型存儲會話信息。在一些實施例中�, 專用的IF-MAP服務(wù)器存儲網(wǎng)絡(luò)的所有網(wǎng)絡(luò)會話的會話信息,而在其他實施例中�,每個策略 裝置存儲屬于策略裝置的網(wǎng)絡(luò)會話的IF-MAP數(shù)據(jù)或其他會話數(shù)據(jù)。在一個實施例中�,一種方法���,包括用策略裝置接收來自客戶端裝置的會話標(biāo)識符�, 其中策略裝置包括存儲并應(yīng)用多個策略以控制網(wǎng)絡(luò)接入的單獨管理的自主策略服務(wù)器�,基 于會話標(biāo)識符準(zhǔn)許客戶端裝置接入由該策略裝置保護(hù)的網(wǎng)絡(luò)��,而無需向客戶端裝置的用戶 請求認(rèn)證憑證��,其中會話標(biāo)識符唯一地識別客戶端裝置和網(wǎng)絡(luò)之間先前建立的通信會話。 通常�����,術(shù)語“單獨管理”指的是策略裝置作為單獨裝置由策略管理應(yīng)用程序來管理并潛在地 具有不同于其他策略服務(wù)器的配置����,其他策略服務(wù)器也可以由策略管理應(yīng)用程序來管理。在另一個實施例中��,一種裝置����,包括網(wǎng)絡(luò)接口,接收來自客戶端裝置的會話標(biāo)識 符���,其中�,策略裝置包括存儲并應(yīng)用多個策略以控制網(wǎng)絡(luò)接入的單獨管理的自主策略服務(wù) 器�����;以及授權(quán)模塊�����,基于會話標(biāo)識符準(zhǔn)許客戶端裝置接入由策略裝置保護(hù)的網(wǎng)絡(luò)�����,而無需向 客戶端裝置的用戶請求認(rèn)證憑證��,其中會話標(biāo)識符唯一地標(biāo)識客戶端裝置和網(wǎng)絡(luò)之間先前 建立的通信會話���。在另一個實例中�,一種諸如計算機(jī)可讀存儲介質(zhì)的計算機(jī)可讀介質(zhì)包括(例如�, 編碼有)用于策略裝置的可編程處理器的指令,其中策略裝置包括存儲并應(yīng)用多個策略以 控制網(wǎng)絡(luò)接入的單獨管理的自主策略服務(wù)器����,其中會話標(biāo)識符唯一地標(biāo)識客戶端裝置和網(wǎng) 絡(luò)之間先前建立的通信會話。該指令使策略裝置從客戶端裝置接收會話標(biāo)識符����、檢索對應(yīng) 于會話標(biāo)識符的會話信息�、準(zhǔn)許客戶端裝置基于會話標(biāo)識符接入由策略裝置保護(hù)的網(wǎng)絡(luò)而 無需向客戶端裝置用戶請求認(rèn)證憑證�����,其中準(zhǔn)許客戶端裝置接入網(wǎng)絡(luò)的指令包括利用檢索 的會話信息驗證會話標(biāo)識符的指令�����,以及在準(zhǔn)許客戶端裝置接入網(wǎng)絡(luò)時����,策略裝置聲明對 網(wǎng)絡(luò)會話的所有權(quán),以從第二策略服務(wù)器移除對客戶端裝置的在先所有權(quán)����。在另一個實施例中,一種系統(tǒng)��,包括客戶端裝置�����;第一策略裝置����,認(rèn)證客戶端裝 置以準(zhǔn)許其接入由第一策略裝置保護(hù)的網(wǎng)絡(luò)����,并為客戶端裝置提供會話標(biāo)識符��,其中��,第一 策略裝置包括存儲并應(yīng)用第一多個策略以控制網(wǎng)絡(luò)接入的第一單獨管理的自主策略服務(wù) 器���;以及第二策略裝置,包括網(wǎng)絡(luò)接口���,接收來自客戶端裝置的會話標(biāo)識符����,其中��,第二策 略裝置包括存儲并應(yīng)用第二多個策略以控制對該網(wǎng)絡(luò)的接入的第二單獨管理的自主策略 服務(wù)器�,以及授權(quán)模塊,基于會話標(biāo)識符準(zhǔn)許客戶端裝置接入還由第二策略裝置保護(hù)的網(wǎng) 絡(luò)����,而無需向客戶端裝置的用戶請求認(rèn)證憑證�����,其中會話標(biāo)識符唯一地標(biāo)識客戶端裝置和 網(wǎng)絡(luò)之間先前建立的通信會話�。本發(fā)明公開的技術(shù)可以提供幾個優(yōu)點�����。例如����,這些技術(shù)允許用戶移到新的物理位 置,經(jīng)由分開的���、單獨管理的自主策略服務(wù)器繼續(xù)現(xiàn)有的網(wǎng)絡(luò)會話而不需要對用戶重新認(rèn) 證�����。如此,以前認(rèn)證的用戶可以快速并容易地移到新的物理位置,不存在提供最近為了認(rèn)證而提供的認(rèn)證信息的潛在麻煩��。此外�����,當(dāng)會話從第一策略裝置移到第二策略裝置時�����,專用于 會話的第一策略裝置的資源可用于新的會話。釋放的資源可以包括會話表中的條目和/或 客戶端裝置使用的許可證�。使用IF-MAP以遷移會話的實施例可以提供為了共同合作而松 散地耦接策略裝置以在它們之間遷移會話的優(yōu)點�。一個或多個實施例的細(xì)節(jié)將在下面的附圖和描述中闡明����。根據(jù)描述和附圖以及權(quán) 利要求,其他的特征��、目的以及優(yōu)點將會顯而易見。
圖IA和圖IB是示出了客戶端裝置發(fā)起經(jīng)由第一策略裝置與專用網(wǎng)絡(luò)的裝置的網(wǎng) 絡(luò)會話以及隨后遷移使得由第二策略裝置來控制網(wǎng)絡(luò)會話的實施例的框圖���。圖2是示出了策略裝置和會話存儲器的實現(xiàn)本公開中描述的技術(shù)的各個方面的 組件布置實施例的框圖�����。圖3A和圖;3B是示出了遵循元數(shù)據(jù)接入點接口(IF-MAP)標(biāo)準(zhǔn)的會話信息的概念 圖���。圖4A和圖4B是示出了用于由第一策略裝置最初建立客戶端裝置和專用網(wǎng)絡(luò)之間 的會話(圖4A)����,隨后會話所有權(quán)從第一策略裝置轉(zhuǎn)移到第二策略裝置(圖4B)的示例性方 法的流程圖。圖5是示出了包括本地會話存儲器的策略裝置的另一個實施例的框圖����。
具體實施例方式圖IA和圖IB是示出示例性系統(tǒng)9的框圖����,其中客戶端裝置M發(fā)起經(jīng)由策略裝置 20A與專用網(wǎng)絡(luò)10的裝置的網(wǎng)絡(luò)會話(圖1A)���,隨后遷移使得由策略裝置20B控制該網(wǎng)絡(luò) 會話(圖1B)��。在圖IA和圖IB的實例中的系統(tǒng)9包括策略裝置20A�����、策略裝置20B��、接入裝 置沈々���、接入裝置^B、以及會話存儲器22��。在圖IA和圖IB的實例中��,策略裝置20A��、策略 裝置20B�、接入裝置^A、接入裝置^B�����、以及會話存儲器22構(gòu)成了專用網(wǎng)絡(luò)10的一部分。 專用網(wǎng)絡(luò)10還包括其他裝置(未示出)�����,諸如(例如)�����,文件服務(wù)器����、打印機(jī)、網(wǎng)絡(luò)服務(wù)器��、 數(shù)據(jù)庫����、網(wǎng)絡(luò)互連裝置(諸如,路由器和/或交換機(jī))或其他裝置�。如圖IA所示����,客戶端裝置M通過穿過策略裝置20A的連接來發(fā)起與專用網(wǎng)絡(luò)10 的網(wǎng)絡(luò)會話����。當(dāng)客戶端裝置M經(jīng)由相連的其中一個接入裝置26A而連接到策略裝置20A 時�����,這一個接入裝置26A檢索來自客戶端裝置M的認(rèn)證數(shù)據(jù)并且將該認(rèn)證數(shù)據(jù)發(fā)送到策略 裝置20A�����,該策略裝置20A根據(jù)策略裝置20A特有的一個或多個策略對客戶端裝置M進(jìn)行 認(rèn)證����。該會話一般對應(yīng)于與專用網(wǎng)絡(luò)10的會話,而非對應(yīng)于與專用網(wǎng)絡(luò)10的裝置的特定 通信會話�。在一些實施例中,接入裝置^A���、26B與策略裝置20A在功能上集成�,形成執(zhí)行策略 決策功能和接入控制功能的單個裝置����。在圖IA和圖IB的實施例中,接入裝置26A和26B是 與它們各自的策略裝置(即���,策略裝置20A和20B)相獨立的裝置��。通常�����,接入裝置26A和 26B負(fù)責(zé)執(zhí)行由各自的策略裝置20A和20B做出的策略決定���。因此當(dāng)策略裝置20A確定應(yīng) 當(dāng)允許特定的客戶端裝置連接至專用網(wǎng)絡(luò)10時�����,其中一個接入裝置26A允許客戶端裝置接 入專用網(wǎng)絡(luò)10�。同樣地����,當(dāng)策略裝置20A確定應(yīng)當(dāng)拒絕特定的客戶端裝置接入時,其中這一個接入裝置26A阻止該客戶端裝置接入專用網(wǎng)絡(luò)10���。在各種實施例中�,接入裝置26A和26B包含網(wǎng)關(guān)裝置�����、有線交換機(jī)和/或無線接入 點的任意組合�。策略裝置20A和20B(外加圖IA和圖IB中未示出的其他策略裝置)可以 包含遠(yuǎn)程用戶撥號接入系統(tǒng)(“RADIUS”)服務(wù)器、VPN服務(wù)器����、配置為利用接入具有接入控 制項(ACE)的控制列表(ACL)的服務(wù)器、和/或網(wǎng)絡(luò)接入控制(NAC)策略裝置的任意組合�。通常,正如策略裝置20A和策略裝置20B上定義的那樣��,策略定義了對試圖與專用 網(wǎng)絡(luò)10建立網(wǎng)絡(luò)會話的裝置和/或用戶進(jìn)行認(rèn)證和授權(quán)的規(guī)則����。當(dāng)客戶端裝置M最初試 圖通過圖IA實例中的其中一個接入裝置26A連接至專用網(wǎng)絡(luò)10時,這一個接入裝置26A向 客戶端裝置M請求認(rèn)證信息�����,并將認(rèn)證信息傳遞給策略裝置20A���。策略裝置20A使用一個 或多個策略來決定對來自客戶端裝置M的網(wǎng)絡(luò)會話請求是否授權(quán)和如何授權(quán)��。正如下面 更詳細(xì)討論的那樣���,根據(jù)本公開的技術(shù)�,其中這一個接入裝置26A首先向客戶端裝置M請 求會話標(biāo)識符���。會話標(biāo)識符用于唯一地標(biāo)識客戶端裝置和專用網(wǎng)絡(luò)之間的通信會話���。然而,在該 實施例中���,客戶端裝置M還沒有和專用網(wǎng)絡(luò)10建立會話��。因此���,其中這一個接入裝置26A 確定客戶端裝置M此時沒有會話標(biāo)識符。在一個實施例中����,確定客戶端裝置M沒有會話標(biāo) 識符之后,其中這一個接入裝置2&k向客戶端裝置M用戶請求認(rèn)證憑證(authentication credential)�����,諸如�,用戶名和密碼����、秘密問題的答案���、數(shù)字簽名、生物測定讀取(諸如���,指紋 或虹膜掃描)�����、個人身份號碼(PIN)���、客戶端裝置M自身的憑證(諸如,介質(zhì)訪問控制(MAC) 地址)或其他認(rèn)證憑證��。其中這一個接入裝置26A將認(rèn)證數(shù)據(jù)轉(zhuǎn)發(fā)到策略裝置20A以確定 是否準(zhǔn)許客戶端裝置M接入專用網(wǎng)絡(luò)10�����。假設(shè)策略裝置20A對客戶端裝置M進(jìn)行了授權(quán)��,那么其中這一個接入裝置2隊允 許客戶端裝置M開始與專用網(wǎng)絡(luò)10的網(wǎng)絡(luò)會話��。網(wǎng)絡(luò)會話的信息流通量(traffic)經(jīng)由 其中這一個接入裝置26A在客戶端裝置M和專用網(wǎng)絡(luò)10之間連續(xù)流動。在一些實施例中����, 接入裝置沈還利用策略評定客戶端裝置的安全狀態(tài)。身份和狀態(tài)用于估計確定準(zhǔn)許客戶 端裝置哪種網(wǎng)絡(luò)接入的授權(quán)策略�����?��?梢酝ㄟ^將端點置于隔離的VLAN上或者通過使用端口 ACL或防火墻規(guī)則限制網(wǎng)絡(luò)接入來準(zhǔn)許部分接入�。精細(xì)粒度(fine-grained)的基于身份的 接入控制策略可以應(yīng)用于端點和專用網(wǎng)絡(luò)之間的一些或所有網(wǎng)絡(luò)信息流通量�����。在一些實施 例中����,也可在建立網(wǎng)絡(luò)會話之后使用策略。例如���,策略服務(wù)器可以要求客戶端裝置的周期性 狀態(tài)評定�����。如果客戶端裝置的安全狀態(tài)改變�,那么策略服務(wù)器可以作用于接入裝置以實時 改變客戶端裝置具有的網(wǎng)絡(luò)接入。根據(jù)本發(fā)明公開的技術(shù)��,在客戶端裝置M的認(rèn)證之后��,策略裝置20A選擇用于網(wǎng) 絡(luò)會話的會話標(biāo)識符并經(jīng)由其中這一個接入裝置26A向客戶端裝置M提供該會話標(biāo)識符���。 會話標(biāo)識符可以是隨機(jī)數(shù)字、絕對唯一的標(biāo)識符��、由外部的標(biāo)識符服務(wù)器提供給策略裝置 20A的值�����、或者很可能與策略裝置20A或任何其他策略裝置選擇的另一個標(biāo)識符不同的任 何其他標(biāo)識符��。如下面更詳細(xì)描述的�����,當(dāng)客戶端裝置M經(jīng)由其中這一個接入裝置26A保持 連接至專用網(wǎng)絡(luò)10時�,由于策略裝置20A聲明了對與該會話標(biāo)識符相對應(yīng)的該會話的所有 權(quán),可以認(rèn)為策略裝置20A “擁有”該網(wǎng)絡(luò)會話���。在圖IA和圖IB的實施例中����,策略裝置20A 向會話存儲器22公布會話標(biāo)識符。在圖IA和圖IB的實施例中�,會話存儲器22存儲會話 標(biāo)識符,該會話標(biāo)識符指示策略裝置20中的哪個擁有各個會話�、會話建立和會話標(biāo)識符產(chǎn)生的時間、以及其他會話信息(例如���,會話的應(yīng)用層協(xié)議(諸如���,超文本傳輸協(xié)議(HTTP)、文 件傳輸協(xié)議(FTP)����、簡單郵件傳輸協(xié)議(SMTP)等)、會話的識別應(yīng)用���、或這種或其他種的任 何其他會話信息)��。在一些實施例中�,策略裝置20與會話存儲器22交互以確定網(wǎng)絡(luò)會話的信息��、確定 網(wǎng)絡(luò)會話的所有權(quán)、并且當(dāng)所有權(quán)改變時聲明會話的所有權(quán)����。在其他實施例中,每個策略 裝置20包括各自的會話存儲器����,策略裝置20相互通信以檢索會話信息并且當(dāng)客戶端裝置 (諸如,客戶端裝置24)遷移時聲明會話的所有權(quán)��。在經(jīng)由其中一個接入裝置26A與專用網(wǎng)絡(luò)10建立了網(wǎng)絡(luò)會話之后的某一時間��,如 策略裝置20A所授權(quán)的���,客戶端裝置M遷移至需要網(wǎng)絡(luò)會話流經(jīng)與策略裝置20B耦接的其 中一個接入裝置26B的新位置,如圖IB所示��。盡管策略裝置20B可能配置有與策略裝置 20A相同的策略�����,但通常���,策略裝置20A和20B均是單獨管理的自主策略服務(wù)器�。換句話說, 策略裝置20A和策略裝置20B均可以配置有彼此單獨的�、不同的或其他不同的策略,使得策 略裝置20A應(yīng)用第一策略來授權(quán)客戶端裝置M而策略裝置20B應(yīng)用與策略裝置20A所應(yīng) 用的第一策略不同的第二策略來授權(quán)同一的客戶端裝置(例如�����,客戶端裝置對)����。例如,盡 管策略裝置20中的每一個可以被配置為識別策略裝置20中的其他策略裝置執(zhí)行的認(rèn)證����, 但是策略裝置20中的每一個可以準(zhǔn)許客戶端裝置M不同的許可級和/或接入權(quán)。根據(jù)本 發(fā)明公開的技術(shù)�����,即使策略裝置20B可能提供與策略裝置20A不同的接入級別或不同的許 可���,策略裝置20B也不需要重新認(rèn)證客戶端裝置M�����。根據(jù)本發(fā)明公開�����,單獨管理的自主策略服務(wù)器可以包括(例如)一組物理裝置中 的一個裝置�����。單獨管理的策略服務(wù)器可以使用另外的裝置(諸如���,LDAP服務(wù)器)以驗證用 戶的憑證�����。一組單獨管理的策略服務(wù)器可以由網(wǎng)絡(luò)管理應(yīng)用程序集體管理�。在本文中�,“單 獨管理”指的是每個策略服務(wù)器作為單獨的裝置由策略管理應(yīng)用程序進(jìn)行管理并且潛在地 具有與其他策略服務(wù)器不同的配置。當(dāng)客戶端裝置M移動到需要經(jīng)由策略裝置20B接入專用網(wǎng)絡(luò)10的位置時��,策略 裝置20B首先向客戶端裝置M請求會話標(biāo)識符�����。在這個實施例中��,客戶端裝置M具有由 策略裝置20A提供的會話標(biāo)識符���?���?蛻舳搜b置M響應(yīng)于來自策略裝置20B的請求而向策 略裝置20B提供來自策略裝置20A的會話標(biāo)識符����。通常,當(dāng)策略裝置20B接收到來自客戶 端裝置M的會話標(biāo)識符且策略裝置20B確定該會話標(biāo)識符為有效會話標(biāo)識符時��,策略裝置 20B準(zhǔn)許客戶端裝置M接入專用網(wǎng)絡(luò)10,而不對客戶端裝置M進(jìn)行重新認(rèn)證�。換句話說, 策略裝置20B能夠準(zhǔn)許客戶端裝置M接入網(wǎng)絡(luò)����,而無需向客戶端裝置M的用戶請求認(rèn)證 憑證�。如此,策略裝置20B可以對客戶端裝置對的用戶透明地授權(quán)客戶端裝置M����。策略裝 置20B通過更新會話存儲器22聲明會話的所有權(quán)。如此�,客戶端裝置M能夠容易地在不 同物理位置之間遷移而不必客戶端裝置M的用戶重復(fù)提供認(rèn)證憑證。在一個實施例中,策略裝置20A包含SSL-VPN服務(wù)器�,而策略裝置20B包含現(xiàn)場 RADIUS服務(wù)器。當(dāng)客戶端裝置M(例如�����,便攜式電腦)的用戶在家時����,用戶通過登陸開始經(jīng) 由策略裝置20A與專用網(wǎng)絡(luò)10的網(wǎng)絡(luò)會話,以開始SSL-VPN網(wǎng)絡(luò)會話�。之后,用戶將客戶 端裝置M帶到現(xiàn)場位置���,例如����,辦公室內(nèi)用戶的辦公桌�。根據(jù)本發(fā)明公開的技術(shù),客戶端裝 置M將發(fā)起的與策略裝置20A的會話遷移到客戶端裝置20B并且繼續(xù)會話����,而不必向策略 裝置20B提供用戶認(rèn)證憑證���。
在一些實施例中��,策略裝置20B通過檢查會話存儲器22以確定從客戶端裝置M 接收的會話標(biāo)識符是否存在于會話存儲器22中來確定會話標(biāo)識符是否有效���。在這些實例 的一些實施例中�,策略裝置20B還通過確定會話標(biāo)識符的時限是否過期來確定會話標(biāo)識符 是否有效���。換句話說�����,在一個實施例中����,策略裝置20B配置有規(guī)定了時間長于某一時段(例 如���,一小時)的會話標(biāo)識符無效的策略���。因此,當(dāng)會話標(biāo)識符不存在于會話存儲器22中時���, 或者當(dāng)會話標(biāo)識符存在于會話存儲器22中但被確定為無效時(例如�,由于會話標(biāo)識符過 期),策略裝置20B通過向客戶端裝置M的用戶和/或客戶端裝置M自身請求認(rèn)證憑證來 重新認(rèn)證客戶端裝置24�。在一些實施例中,會話存儲器22包括元數(shù)據(jù)接入點接口(IF-MAP)服務(wù)器��。在這樣 的實施例中��,會話存儲器22根據(jù)符合IF-MAP標(biāo)準(zhǔn)的數(shù)據(jù)模型來存儲會話信息��?����!癐F-MAP” 指的是能夠使網(wǎng)絡(luò)設(shè)備廠商在提供網(wǎng)絡(luò)接入上互操作的新興標(biāo)準(zhǔn)化數(shù)據(jù)模型��。負(fù)責(zé)引進(jìn) IF-MAP的組織(被稱為可信計算組織(TCG))鼓勵廠商接受這種新的IF-MAP標(biāo)準(zhǔn)�,而廠商 正在發(fā)布符合這個標(biāo)準(zhǔn)的設(shè)備。IF-MAP標(biāo)準(zhǔn)不僅提供了能用于存儲會話信息的廠商無關(guān)性(vendor-neutral)或 跨廠商(cross-vendor)的數(shù)據(jù)模型��,還提供了 IF-MAP協(xié)議���,通過該IF-MAP協(xié)議來訪問根 據(jù)這個標(biāo)準(zhǔn)(廠商無關(guān)性數(shù)據(jù)模型)存儲的會話信息����。IF-MAP協(xié)議支持各種IF-MAP消息 或通信����,通過該IF-MAP消息或通信來公布會話信息、搜索存儲在會話存儲器22內(nèi)的會話信 息���、預(yù)訂存儲在會話存儲器22內(nèi)的會話信息����、以及針對給定裝置預(yù)訂的會話信息而輪詢會 話存儲器22��。在由可信計算組織于2008年4月觀日發(fā)表的標(biāo)題為“TNCIF-MAP binding for SOAP”的說明書中可以找到更多有關(guān)IF-MAP跨廠商或廠商無關(guān)性數(shù)據(jù)模型和協(xié)議的 信息�����,其全部內(nèi)容結(jié)合于此作為參考�。網(wǎng)絡(luò)接入控制互操作性實驗室于2008年4月四在 hteropLabs 中的 “Making NAC Security-Aware with IF-MAP” 中也描述了 IF-MAP,其全 部內(nèi)容結(jié)合于此作為參考����。利用IF-MAP的實例可以利用單值元數(shù)據(jù)或多值元數(shù)據(jù)。當(dāng)IF-MAP客戶端公布單 值元數(shù)據(jù)時���,新的數(shù)據(jù)替換任何先前已有的元數(shù)據(jù)���。因此�����,根據(jù)IF-MAP協(xié)議���,向已預(yù)訂標(biāo)識 符的IF-MAP客戶端(其上公布了元數(shù)據(jù))通知這種改變。在一個實施例中�����,客戶端裝置M 建立與策略裝置20A的會話�����。策略裝置20A又公布附屬于接入請求標(biāo)識符的認(rèn)證信息元數(shù) 據(jù)����,接入請求標(biāo)識符的名稱源自于傳遞至客戶端裝置M的會話標(biāo)識符。之后�,當(dāng)客戶端裝 置M將自己的會話遷移到策略裝置20B時,策略裝置20B公布它自己的附屬于同一接入請 求標(biāo)識符的認(rèn)證信息元數(shù)據(jù)����。在這個實施例中,其中說明了認(rèn)證信息為單值元數(shù)據(jù)����,由策略 裝置20B公布的認(rèn)證信息替換了由策略裝置20A公布的認(rèn)證信息���。IF-MAP服務(wù)器(例如, 會話存儲器2 通知策略裝置20A此改變��,并且針對客戶端裝置M移動策略裝置20A的會 話�。通過將新認(rèn)證信息元數(shù)據(jù)的公布與先前已有的任何認(rèn)證信息元數(shù)據(jù)的刪除相結(jié)合�,使 用多值元數(shù)據(jù)也可以實現(xiàn)相同的功能。在一些利用IF-MAP服務(wù)器的實施例中���,會話可以在相同的IF-MAP聯(lián)合和相同的 認(rèn)證組內(nèi)的策略裝置之間遷移�。如果兩個策略裝置是相同的IF-MAP服務(wù)器的客戶端或者 兩個策略裝置的IF-MAP服務(wù)器彼此一模一樣�,那么它們通常是在相同的IF-MAP聯(lián)合中。如 果兩個策略裝置配置有相同的認(rèn)證組字符串����,那么兩個裝置是在同一認(rèn)證組中。認(rèn)證組字 符串被配置為簽到策略(Sign-Inpolicy)的一部分�。這意味著同一策略裝置可以屬于一個以上認(rèn)證組,每個簽到策略是不同的認(rèn)證組��。在一些實施例中�,在提示客戶端裝置出示憑證 之前�����,策略裝置通知策略裝置客戶端裝置的認(rèn)證組����。然后客戶端裝置可查詢連接存儲以了 解客戶端裝置是否具有認(rèn)證組的會話標(biāo)識符���。如果有�,客戶端裝置將會話標(biāo)識符傳給策略 裝置�����。如果策略裝置確定會話標(biāo)識符代表符合遷移的有效認(rèn)證��,那么策略裝置為端點提供 會話而不提示輸入其他憑證����。在一些實施例中策略裝置仍然可以要求客戶端裝置的健康檢 查。在一些實施例中�����,沒有使用集中的會話存儲器(例如,會話存儲器2 �,而是每個 策略裝置20存儲它自己的會話的會話標(biāo)識符和會話信息。當(dāng)會話遷移時����,例如使會話從策 略裝置20A轉(zhuǎn)移到策略裝置20B時,策略裝置20B查詢客戶端裝置以檢索來自客戶端裝置 的會話標(biāo)識符����,然后利用會話標(biāo)識符查詢策略裝置(在本例中是策略裝置20A)以檢索會話 信息。然后策略裝置20A將會話信息傳遞給策略裝置20B�����,使策略裝置20B獲得與客戶端裝 置相關(guān)聯(lián)的會話所有權(quán)�。由策略裝置20和(在一些實例中)會話存儲器22實現(xiàn)的技術(shù)可以提供幾個優(yōu)點��。 例如�����,這些技術(shù)允許客戶端裝置M的用戶從由策略裝置20A控制網(wǎng)絡(luò)會話的位置移到由策 略裝置20B控制網(wǎng)絡(luò)會話的新物理位置���?����?蛻舳搜b置M的用戶能經(jīng)由策略裝置20B(其 包括分開的單獨管理的自主策略服務(wù)器)繼續(xù)現(xiàn)有的網(wǎng)絡(luò)會話而不需重新認(rèn)證用戶��。如 此�����,先前由策略裝置20A認(rèn)證的用戶可以快速容易地移到新的物理位置�,避免了向策略裝 置20B提供最近為了認(rèn)證而提供給策略裝置20A的認(rèn)證憑證的潛在麻煩。此外��,當(dāng)會話移 到策略裝置20B時����,策略裝置20A的專用于會話的資源被釋放并且可用于新的會話。利用 IF-MAP遷移會話的實施例可以提供為了共同合作而松散地連接策略裝置20以在它們之間 遷移會話的優(yōu)點����。圖2是示出策略裝置20A和會話存儲器22的組件布置實施例的框圖。盡管為了 示例的目的而討論策略裝置20A�����,但策略裝置20B通常包括與圖2中策略裝置20A的組件類 似的組件����。在圖2的實施例中��,策略裝置20A包括輸入網(wǎng)絡(luò)接口 42���、輸出網(wǎng)絡(luò)接口 44、認(rèn)證 數(shù)據(jù)庫(auth db)46和控制單元52�。控制單元52包括認(rèn)證和授權(quán)模塊M��、會話管理模塊 56和客戶端IF-MAP模塊58���。通常��,控制單元52包含硬件�����、軟件和/或固件的任何合適的布置,以執(zhí)行屬于控 制單元52的技術(shù)��。在各種實施例中����,控制單元52可以包括一個或多個處理器,諸如,一個 或多個微處理器���、數(shù)字信號處理器(DSP)����、專用集成電路(ASIC)�����、現(xiàn)場可編程門陣列(FPGA) 或者任何其他等效的集成或分離邏輯電路和這種組件的任何組合��。在多種實施例中��,控制 單元52還可以包括計算機(jī)可讀存儲介質(zhì)����,諸如,包含用于使一個或多個處理器執(zhí)行屬于它 們的動作的可執(zhí)行指令的隨機(jī)存取存儲器(RAM)����、只讀存儲器(ROM)、可編程只讀存儲器 (PROM)�����、可擦除可編程只讀存儲器(EPROM)、電可擦除可編程只讀存儲器(EEPROM)��、閃存��、 硬盤�、CD-ROM、軟盤�、磁帶、磁性介質(zhì)或光學(xué)介質(zhì)����。此外,盡管認(rèn)證和授權(quán)模塊M和會話管理 模塊56被描述為分開的模塊����,但在一些實施例中,認(rèn)證和授權(quán)模塊M和會話管理模塊56 在功能上是集成的��。在一些實施例中���,認(rèn)證和授權(quán)模塊M和會話管理模塊56對應(yīng)于各自 的硬件單元,諸如�����,ASIC、DSP���、FPGA或者其他硬件單元��。輸入網(wǎng)絡(luò)接口 42和輸出網(wǎng)絡(luò)接口 44通常對應(yīng)于用于穿過網(wǎng)絡(luò)進(jìn)行通信的任何合 適的網(wǎng)絡(luò)接口���。在多種實施例中,輸入網(wǎng)絡(luò)接口 42和/或輸出網(wǎng)絡(luò)接口 44對應(yīng)于以太網(wǎng)接口�、千兆以太網(wǎng)接口、網(wǎng)絡(luò)接口卡����、或者調(diào)制解調(diào)器(諸如,電話調(diào)制解調(diào)器�����、電纜調(diào)制解 調(diào)器或衛(wèi)星調(diào)制解調(diào)器)�。輸入網(wǎng)絡(luò)接口 42和輸出網(wǎng)絡(luò)接口 44直接或間接地與各自的接 入裝置相連接。在一些實例中��,輸入網(wǎng)絡(luò)接口 42和輸出網(wǎng)絡(luò)接口 44集成在共同的硬件單 元中��,但是為了示例和說明的目的而被示出為獨立的單元��。通常,認(rèn)證和授權(quán)模塊M接收來自客戶端裝置(諸如�����,客戶端裝置M (圖1A���、圖 IB))的連接請求��,其請求經(jīng)由與一個或多個單獨的接入裝置(諸如���,接入裝置^A)相連的 輸入網(wǎng)絡(luò)接口 42接入由策略裝置20A保護(hù)的專用網(wǎng)絡(luò)(諸如,專用網(wǎng)絡(luò)10 (圖1A�����、圖IB))�����。 在一些實施例中���,策略裝置20A包括多個輸入網(wǎng)絡(luò)接口 42�,多個輸入網(wǎng)絡(luò)接口中的每一個 耦接至各自的接入裝置�����。在一些實施例中���,單個輸入網(wǎng)絡(luò)接口經(jīng)由網(wǎng)絡(luò)交換機(jī)和/或路由 器耦接至多個接入裝置�。類似地�����,輸出網(wǎng)絡(luò)裝置44可以連接至一個或多個接入裝置�����。認(rèn)證 和授權(quán)模塊M確定是否準(zhǔn)許客戶端裝置(本實施例中的客戶端裝置24)接入專用網(wǎng)絡(luò)10����。 根據(jù)本發(fā)明公開的技術(shù),在接收到連接請求之后���,認(rèn)證和授權(quán)模塊M請求來自客戶端裝置 24的會話標(biāo)識符�����。當(dāng)客戶端裝置M不具有現(xiàn)有的與專用網(wǎng)絡(luò)10的會話時�,客戶端裝置M響應(yīng)來自 認(rèn)證和授權(quán)模塊M的請求而指示客戶端裝置M不具有會話標(biāo)識符。在這種情況下�,認(rèn)證 和授權(quán)模塊M利用存儲在認(rèn)證數(shù)據(jù)庫46中的信息(例如,認(rèn)證和授權(quán)策略48和認(rèn)證信息 50)來認(rèn)證客戶端裝置對�。認(rèn)證和授權(quán)策略48包含數(shù)據(jù)定義規(guī)則,基于從客戶端裝置接收 的認(rèn)證數(shù)據(jù)(諸如���,用戶名���、密碼、和/或客戶端裝置用戶的生物測定數(shù)據(jù)���、客戶端裝置的 MAC地址�、來自客戶端裝置的數(shù)字簽名數(shù)據(jù)�、來自客戶端裝置的數(shù)字證書、或任何其他認(rèn)證 數(shù)據(jù))通過該數(shù)據(jù)定義規(guī)則來認(rèn)證客戶端裝置����。認(rèn)證信息50存儲目的在于與從客戶端裝 置接收的認(rèn)證數(shù)據(jù)相比較。認(rèn)證和授權(quán)策略48定義了通過比較從客戶端裝置接收的認(rèn)證 數(shù)據(jù)與認(rèn)證信息50來認(rèn)證客戶端裝置的方式����。認(rèn)證和授權(quán)模塊M根據(jù)認(rèn)證和授權(quán)策略48比較從客戶端裝置(諸如,客戶端裝 置24)接收的認(rèn)證數(shù)據(jù)與認(rèn)證信息50,以確定是否準(zhǔn)許來自客戶端裝置對的請求����。假設(shè)認(rèn) 證和授權(quán)模塊M認(rèn)證客戶端裝置對��,那么認(rèn)證和授權(quán)模塊M使會話管理模塊56為客戶端 裝置M建立新會話��。在圖2的實施例中����,會話管理模塊56使客戶端IF-MAP模塊58公布 新會話的會話信息。會話存儲器22存儲每個策略裝置20 (包括圖2中的策略裝置20A)擁有的會話 的會話信息����。控制單元76執(zhí)行主IF-MAP模塊78��,以服務(wù)來自客戶端IF-MAP模塊58的 IF-MAP請求����,并且將IF-MAP信息公布給IF-MAP數(shù)據(jù)庫72 (或檢索來自的IF-MAP數(shù)據(jù)庫 72的IF-MAP信息)。與控制單元52 —樣�,控制單元76通常可以包含用于執(zhí)行屬于控制單 元76的任務(wù)的硬件�����、軟件和/或固件的任何組合。在客戶端裝置M不具有現(xiàn)有的與專用網(wǎng)絡(luò)10的會話的情況下����,客戶IF-MAP模塊 58將會話信息公布給會話存儲器22。公布的會話信息包括策略裝置20A的標(biāo)識(也就是 公布會話信息的策略裝置的標(biāo)識符)�����、會話標(biāo)識符和描述策略裝置20A如何認(rèn)證客戶端裝 置M的認(rèn)證信息(包括該認(rèn)證中使用的身份)�。通常,會話管理模塊56為新創(chuàng)建的會話產(chǎn) 生的會話標(biāo)識符�。客戶端IF-MAP模塊58也預(yù)訂會話信息的更新�,例如,當(dāng)會話的所有權(quán)改 變到不同的策略裝置時接收通知���。另一方面�,當(dāng)客戶端裝置M具有現(xiàn)有的與專用網(wǎng)絡(luò)10的會話時�,客戶端裝置M響應(yīng)來自認(rèn)證和授權(quán)模塊M的請求指示現(xiàn)有會話的會話標(biāo)識符。認(rèn)證和授權(quán)模塊M通過 使客戶端IF-MAP模塊58查詢具有會話標(biāo)識符的會話存儲器22來確定該會話標(biāo)識符是否 有效���。通常��,客戶端IF-MAP模塊58查詢會話存儲器22以確定會話存儲器22當(dāng)前是否存 儲了對應(yīng)于會話標(biāo)識符的會話���?�?蛻舳薎F-MAP模塊58通過將會話信息公布給會話存儲器 22來聲明客戶端裝置M的會話所有權(quán)�。會話信息包括策略裝置20A的標(biāo)識�、會話標(biāo)識符以 及認(rèn)證信息���。認(rèn)證信息源自先前與會話存儲器22中的會話標(biāo)識符相關(guān)聯(lián)的認(rèn)證信息����。策略裝 置20A公布的會話信息替換先前的與會話標(biāo)識符關(guān)聯(lián)的會話信息�����。當(dāng)會話信息的基數(shù)值是 單一值時�����,因為對于會話存儲器22中的特定會話標(biāo)識符只有會話信息元數(shù)據(jù)的單一值可 以存在�����,所以根據(jù)IF-MAP數(shù)據(jù)模型發(fā)生替換。當(dāng)會話信息的基數(shù)值是多值時�����,策略裝置20A 通過刪除舊會話信息并公布新會話信息來替換會話信息���。不管哪種情況��,會話存儲器22通 知策略裝置先前已公布的會話標(biāo)識符的會話信息的改變��。先前公布會話標(biāo)識符的會話信息 的策略裝置將此改變理解為策略裝置20A現(xiàn)在擁有該會話�����。在一些實施例中�,確定了會話標(biāo)識符與現(xiàn)有會話相關(guān)聯(lián)之后�����,認(rèn)證和授權(quán)模塊M 進(jìn)一步確定會話標(biāo)識符是否有效����,例如,通過確定會話標(biāo)識符是否足夠新以保持有效和/ 或產(chǎn)生會話標(biāo)識符的策略裝置是否執(zhí)行了足夠的認(rèn)證程序來認(rèn)證客戶端裝置對����。通常�����,假設(shè)會話的會話標(biāo)識符是有效的�,那么認(rèn)證和授權(quán)模塊M不向客戶端裝置 24請求另外的認(rèn)證憑證��。而是�,認(rèn)證和授權(quán)模塊M認(rèn)為先前的策略裝置執(zhí)行的認(rèn)證足夠認(rèn) 證客戶端裝置M。因此�,授權(quán)模塊M準(zhǔn)許客戶端裝置M接入專用網(wǎng)絡(luò)10。另一方面�����,當(dāng) 會話標(biāo)識符無效時���,認(rèn)證和授權(quán)模塊M向客戶端裝置M請求另外的認(rèn)證憑證。如此��,控制單元52及其模塊是接收來自客戶端裝置的會話標(biāo)識符并且基于該會 話標(biāo)識符準(zhǔn)許客戶端裝置接入策略裝置保護(hù)的網(wǎng)絡(luò)而無需策略裝置認(rèn)證客戶端裝置的策 略裝置(包括單獨管理的自主策略服務(wù)器)的硬件單元的示例�。圖3A和圖;3B示出了遵循IF-MAP的會話信息的概念圖。圖3A示出了策略裝置 20A對會話信息80的公布和預(yù)訂�����。在圖3A的實施例中,假定會話信息80對應(yīng)于不具有現(xiàn) 有的與專用網(wǎng)絡(luò)10的會話的客戶端裝置(例如��,客戶端裝置24)的新會話�����。此外�����,假定策略 裝置20A認(rèn)證客戶端裝置M�����,就是說����,從客戶端裝置M接收的認(rèn)證數(shù)據(jù)與認(rèn)證信息50 (圖 2)相匹配。圖3A的會話信息80包括基數(shù)82�、公布者標(biāo)識符(公布者ID) 84和包括會話ID 88的接入請求86。在一些實施例中�����,會話ID 88是由策略裝置20A選擇的代表客戶端裝置M的會話 的會話標(biāo)識符。在其他實施例中�,會話ID 88是由策略裝置20A選擇的代表客戶端裝置M 的會話的會話標(biāo)識符的散列。散列函數(shù)的實例是信息-摘要算法5 (MD5)散列�、安全散列算 法(SHA)散列或者任何其他散列函數(shù)或散列函數(shù)的組合。在一些實施例中�,會話ID 88的 值是向客戶端裝置對提供的會話標(biāo)識符的十六進(jìn)制編碼的SHA256散列。這使策略裝置能 夠從會話標(biāo)識符映射到IF-MAP會話信息而無需將會話標(biāo)識符自身暴露于IF-MAP����。當(dāng)策略裝置20A準(zhǔn)許來自客戶端裝置M的與專用網(wǎng)絡(luò)10的新會話的請求時,策 略裝置20A將會話信息80公布給會話存儲器22���。根據(jù)圖2的實施例���,會話信息80包括 IF-MAP元數(shù)據(jù)。接入請求86代表來自客戶端裝置M的接入請求���,并且它合并了會話ID 88。在一些實施例中��,接入請求86不是發(fā)送接入請求86中會話ID 88的完整值��,而是包括會話ID 88的會話標(biāo)識符的散列值���。策略裝置20A將公布者ID值84設(shè)置為策略裝置20A的標(biāo)識符(例如����,會話存儲 器22分配給策略裝置20A的公布者ID),以指示策略裝置20A擁有與會話信息80相關(guān)聯(lián)的 會話�����。如此�,策略裝置20A在會話存儲器22中創(chuàng)建了代表客戶端裝置M和專用網(wǎng)絡(luò)10之 間新形成的會話的新的條目,并且還聲明了新形成的會話的所有權(quán)���。策略裝置20A還預(yù)訂 了會話信息80的更新����,以防會話的所有權(quán)變化���。在一些實施例中���,由策略裝置公布的會話 存儲器22中條目的所有權(quán)由“被認(rèn)證”鏈路指示到IP地址或與認(rèn)證策略裝置關(guān)聯(lián)的其他 標(biāo)識符。由策略裝置20A公布的認(rèn)證信息89包括有關(guān)策略裝置20A認(rèn)證客戶端裝置M的 信息���。例如����,認(rèn)證信息89可以包括用于認(rèn)證客戶端裝置M的用戶名或機(jī)器身份、用于認(rèn)證 客戶端裝置M的方法的指示����、和/或可被策略裝置用于認(rèn)證客戶端裝置M的網(wǎng)絡(luò)接入的 屬性。在一些實施例中�����,認(rèn)證信息89可以包括一個或多個安全聲明標(biāo)記語言(SAML)認(rèn)證聲明��。在一些實施例中���,會話信息80包括關(guān)于會話的附加信息�。例如����,會話信息80可以 包括客戶端裝置對的用戶的用戶名、輕量級目錄接入?yún)f(xié)議(LDAP)信息����、和/或客戶端裝置 24的一個或多個組成員��、客戶端裝置M的IP地址、客戶端裝置M的介質(zhì)接入控制(MAC) 地址���、客戶端裝置M的用戶的身份�����、用戶角色����、客戶端裝置M的容量(capability)值�����、客 戶端裝置M的裝置屬性��、和/或其他會話信息之一中的任何一個或者全部����。圖;3B示出了策略裝置20B對會話信息80的公布以指示客戶端裝置M和專用網(wǎng) 絡(luò)10之間的會話的所有權(quán)的改變。在圖;3B的實施例中��,假設(shè)客戶端裝置M和專用網(wǎng)絡(luò)10 之間已經(jīng)形成了會話��,例如,如上面關(guān)于圖3A所描述的��。通常�,策略裝置20B向客戶端裝置 24請求會話標(biāo)識符,并響應(yīng)于接收來自客戶端裝置M的會話標(biāo)識符而計算會話ID值88����。 策略裝置20B利用會話ID值88從會話存儲器22中檢索會話信息80。策略裝置20B利用 會話信息80確定是否準(zhǔn)許客戶端裝置M接入網(wǎng)絡(luò)而無需提示客戶端裝置M出示另外的 認(rèn)證數(shù)據(jù)�。假設(shè)策略裝置20B基于會話信息80中的數(shù)據(jù)準(zhǔn)許客戶端裝置M接入,那么策 略裝置20B將它自己的會話信息80公布給會話存儲器22來替換由策略裝置20A公布的會 話信息��。策略裝置20B公布的會話信息80的公布者ID 84值由會話存儲器22設(shè)置為指示 策略裝置20B是會話信息80的所有者的值��。在任何情況下�,在策略裝置20B更新了會話信息80之后,會話存儲器22通知策略 裝置20A會話的所有權(quán)已經(jīng)從策略裝置20A轉(zhuǎn)移�����。在一些實施例中���,會話存儲器22還通知 策略裝置20A新的會話所有者是策略裝置20B����。如此,所有權(quán)轉(zhuǎn)移至策略裝置20B���。此外, 策略裝置20B成為會話的所有者而沒有重新認(rèn)證客戶端裝置M����,而是被配置為識別策略裝 置20A執(zhí)行的認(rèn)證。在接收到所有權(quán)已轉(zhuǎn)移的通知之后�����,策略裝置20A釋放先前專用于會 話的資源�����,這允許這些資源被用于與不同客戶端裝置的新會話��。圖4A和4B是示出由第一策略裝置(例如�����,策略裝置20A)最初建立的客戶端裝置 24和專用網(wǎng)絡(luò)10之間的會話(圖4A)�����,隨后會話所有權(quán)從第一策略裝置轉(zhuǎn)移到第二策略裝 置(例如,策略裝置20B)(圖4B)的示例方法的流程圖����。盡管為了示例性目的,描述了關(guān)于 圖1 圖3中的組件�����,但是應(yīng)該理解����,其他客戶端和策略裝置也能實現(xiàn)類似于圖4A和圖4B 中客戶端和策略裝置的技術(shù)。
關(guān)于圖4A的實施例����,客戶端裝置M最初將接入請求發(fā)送至策略裝置20A(100)。 假設(shè)在圖4A的實施例中客戶端裝置M不具有現(xiàn)有的與專用網(wǎng)絡(luò)10的會話��。接入請求通常 相當(dāng)于開始網(wǎng)絡(luò)會話的典型請求���。在一個實例中�����,接入請求包含可擴(kuò)展認(rèn)證協(xié)議(EAP)消 息�。盡管描述為將接入請求發(fā)送“至”策略裝置20A,但是通常��,接入請求經(jīng)由其中一個接入 裝置26A發(fā)送至專用網(wǎng)絡(luò)10����。不過��,如圖IA所示�����,接入請求由策略裝置20A接收并檢查�����。策略裝置20A接收接入請求(10 并確定客戶端裝置M與現(xiàn)有網(wǎng)絡(luò)會話沒有關(guān) 聯(lián)����。在一些實例中,策略裝置20A查詢會話存儲器22以確定客戶端裝置M是否與現(xiàn)有網(wǎng) 絡(luò)會話沒有關(guān)聯(lián)����。在一些實例中,策略裝置20A首先向客戶端裝置對請求會話ID����。在一些 實例中�����,策略裝置20A認(rèn)為不包括會話ID的接入請求是新會話的接入請求��,而包括會話ID 的接入請求是客戶端裝置M做出的客戶端裝置M與現(xiàn)有網(wǎng)絡(luò)會話相關(guān)聯(lián)的聲明�。對于圖 4A的實施例�,在任何情況下,策略裝置20A確定了客戶端裝置M與現(xiàn)有網(wǎng)絡(luò)會話沒有關(guān)聯(lián)�����, 從而�,策略裝置20A向客戶端裝置M請求認(rèn)證數(shù)據(jù),例如�����,客戶端裝置M的用戶的用戶名 和密碼��。一旦接收到認(rèn)證請求(106)�,客戶端裝置M的用戶將所請求的認(rèn)證數(shù)據(jù)提供給策 略裝置20A(108)。在一些實例中��,認(rèn)證數(shù)據(jù)也包括不是由用戶直接提供而是由客戶端裝置 24自動提供的信息,例如�����,MAC地址�����、IP地址��、數(shù)字證書或者其他識別客戶端裝置M的信 息�����。認(rèn)證數(shù)據(jù)也可以包括有關(guān)客戶端裝置M的健康狀態(tài)的信息��,諸如防病毒軟件是否正在 運行����。當(dāng)策略裝置20A接收到來自客戶端裝置M的認(rèn)證信息時���,策略裝置20A使用認(rèn)證信 息50 (圖2) (110)評價認(rèn)證數(shù)據(jù)��。假設(shè)��,根據(jù)認(rèn)證信息50����,從客戶端裝置M接收的認(rèn)證數(shù)據(jù)滿足要求,那么策略裝 置20A創(chuàng)建客戶端裝置M與專用網(wǎng)絡(luò)10的新會話���,這包括產(chǎn)生會話ID并公布會話信息 (包括會話ID和給會話存儲器22的策略裝置20A的標(biāo)識符)(11 �。在沒有使用集中的會 話存儲器的實例中��,策略裝置20A在本地存儲新會話的會話信息�����。策略裝置20A還將會話ID提供給客戶端裝置M(114)����。客戶端裝置M在本地存 儲會話ID�����,這樣如果客戶端裝置M移到到由不同的策略裝置管理的新位置�����,則客戶端裝置 M可以將會話ID提供給策略裝置而無需重新遞交認(rèn)證數(shù)據(jù)。在圖4B的實施例中���,假設(shè)按照與圖4A的方法相類似的方法�����,策略裝置20A已經(jīng) 認(rèn)證了客戶端裝置對����。然后客戶端裝置M實際上移到了由策略裝置20B管理的新位置 (130)��?�?蛻舳搜b置M將從策略裝置20A接收到的會話ID提供給策略裝置20B�,以指示客 戶端裝置M具有現(xiàn)有的網(wǎng)絡(luò)會話(132)�。在一些實例中,客戶端裝置M —旦識別出策略 裝置20A不再可用之后便自動地將會話ID提供給策略裝置20B���。在一些實例中����,策略裝置 20B向客戶端裝置M請求會話ID,客戶端裝置M將會話ID提供給策略裝置20B���。在任何情況下����,策略裝置20B接收來自客戶端裝置M的會話ID (134)�。假設(shè)該會 話ID是有效的(例如,還沒有過期并且存在于會話存儲器22中)���,那么策略裝置20B從會 話存儲器22中(或者�,在沒有使用集中的會話存儲器的實例中�,從策略裝置20A中)檢索 任何必要的會話信息(136)。在多種實例中����,策略裝置20B檢索客戶端裝置M用戶的用戶 名、輕量級目錄接入?yún)f(xié)議(LDAP)信息����、和/或客戶端裝置M的一個或多個組成員之中的任 何一個或者全部。策略裝置20B還例如通過將策略裝置20B的標(biāo)識符公布給由會話存儲器 22存儲的會話信息(在使用集中的會話存儲器的實例中)��,或通過通知策略裝置20A策略裝置20B現(xiàn)在取得了會話的所有權(quán)來聲明會話的所有權(quán)(138)����。在使用集中的會話存儲器的實例中�,策略裝置20A接收來自會話存儲器22的會話 所有權(quán)已改變的通知(140)��。在沒有集中的會話存儲器的實例中����,策略裝置20A直接接收來 自策略裝置20B的策略裝置20B取得了會話所有權(quán)的通知(140)。在任何一種情況下���,策略 裝置20A都放棄會話的所有權(quán)(14 �����。因此�,策略裝置20A(例如)通過刪除會話的會話表 中的相應(yīng)條目和/或解除由客戶端裝置M使用的許可來釋放專用于該會話的資源����。圖5是示出包括本地會話存儲器198的策略裝置180的另一個實施例的框圖���。策 略裝置180還包括輸入網(wǎng)絡(luò)接口 182�、輸出網(wǎng)絡(luò)接口 184�、授權(quán)數(shù)據(jù)庫186和控制單元192。 通常,輸入網(wǎng)絡(luò)接口 182�、輸出網(wǎng)絡(luò)接口 184、授權(quán)數(shù)據(jù)庫186和控制單元192對應(yīng)于圖2中 策略裝置20A的相同名稱的對應(yīng)組件���。例如���,授權(quán)數(shù)據(jù)庫186也存儲授權(quán)策略188和認(rèn)證 信息190,而控制單元192也執(zhí)行認(rèn)證和授權(quán)模塊194和會話管理模塊196����。然而,圖5的會話管理模塊196被配置為與本地會話存儲器198而不是集中的會 話存儲器(諸如����,會話存儲器2 交互。通常����,本地會話存儲器198存儲策略裝置180所擁 有的網(wǎng)絡(luò)會話的會話信息,而不是存儲與不由策略裝置198所擁有的專用網(wǎng)絡(luò)的其它會話 的會話信息���。當(dāng)具有現(xiàn)有網(wǎng)絡(luò)會話的客戶端裝置遷移到策略裝置180時����,策略裝置180此報告 先前擁有網(wǎng)絡(luò)會話的策略裝置中檢索會話信息,然后策略裝置180聲明網(wǎng)絡(luò)會話的所有 權(quán)����。策略裝置180將檢索的會話信息存儲在本地會話存儲器198中。當(dāng)具有屬于策略裝置 180的網(wǎng)絡(luò)會話的客戶端裝置遷移到由單獨的策略裝置控制的新位置時����,該策略裝置向策 略裝置180請求會話信息。從而�,策略裝置180將會話的存儲在本地會話存儲器198中的 會話信息提供給提出請求的策略裝置,然后例如通過刪除來自本地會話存儲器198的會話 信息來釋放專用于該會話的資源�����。本公開中描述的技術(shù)可以(至少部分地)在硬件�����、軟件���、固件或它們的任意組合中 實現(xiàn)��。例如,所描述的技術(shù)的各個方面可以在一個或多個處理器(包括一個或多個微處理 器����、數(shù)字信號處理器(DSP)��、專用集成電路(ASIC)��、現(xiàn)場可編程門陣列(FPGA)或者任何其他 等效的集成或分離邏輯電路以及這種組件的任何組合)內(nèi)實現(xiàn)�����。術(shù)語“處理器”或“處理電 路”一般指的是前述邏輯電路的任何一種(單獨的或與其他邏輯電路結(jié)合)或其他等效電 路����。包含硬件的控制單元也可以執(zhí)行本公開的一種或多種技術(shù)����。這種硬件、軟件和固件可以在同一器件或分開的器件中實現(xiàn)��,以支持本公開中描 述的各種操作和功能�。另外,所描述的單元�、模塊或組件的任何一種可以一起實現(xiàn),或者作 為分離的但可共同操作的邏輯裝置分別實現(xiàn)�。作為模塊或單元的不同特征的描述意在強(qiáng)調(diào) 不同的功能方面,而并不意味著這樣的模塊或單元必須由分開的硬件或軟件組件來實現(xiàn)�����。 更確切地說,與一個或多個模塊或單元相關(guān)聯(lián)的功能可以由分開的硬件或軟件組件��、或集 成在共同的或分開的硬件或軟件組件中來實現(xiàn)����。本公開中描述的技術(shù)也可以在包含指令的計算機(jī)可讀介質(zhì)(諸如,計算機(jī)可讀存 儲介質(zhì))中體現(xiàn)或者編碼��。嵌入或編入計算機(jī)可讀介質(zhì)的指令可以促使可編程處理器或其 他處理器(例如)在執(zhí)行指令時執(zhí)行方法�。計算機(jī)可讀存儲介質(zhì)可以包括隨機(jī)存取存儲器 (RAM)、只讀存儲器(ROM)�、可編程只讀存儲器(PR0M)、可擦除可編程只讀存儲器(EPROM)�、 電可擦除可編程只讀存儲器(EEPROM)、閃存、硬盤、⑶-ROM�、軟盤��、磁帶���、磁性介質(zhì)、光學(xué)介質(zhì)或其他計算機(jī)可讀存儲介質(zhì)�����。應(yīng)該理解的是����,術(shù)語“計算機(jī)可讀存儲介質(zhì)”指的是物理存儲 介質(zhì),而不是信號���、載波或其他瞬態(tài)介質(zhì)�。 本說明書描述了多種實例��。這些實例和其他實例都在隨附的權(quán)利要求的范圍內(nèi)��。
權(quán)利要求
1.一種方法���,包括用策略裝置接收來自客戶端裝置的會話標(biāo)識符�,其中���,所述策略裝置包括存儲并應(yīng)用 多個策略以控制網(wǎng)絡(luò)接入的單獨管理的自主策略服務(wù)器�;以及基于所述會話標(biāo)識符準(zhǔn)許所述客戶端裝置接入由所述策略裝置保護(hù)的所述網(wǎng)絡(luò)���,而無 需向所述客戶端裝置的用戶請求認(rèn)證憑證���,其中����,所述會話標(biāo)識符唯一地標(biāo)識所述客戶端裝置和所述網(wǎng)絡(luò)之間先前建立的通信會話��。
2.根據(jù)權(quán)利要求1所述的方法��,其中�,所述會話標(biāo)識符是由第二策略裝置響應(yīng)于認(rèn)證 所述客戶端裝置而預(yù)先產(chǎn)生的。
3.根據(jù)權(quán)利要求1所述的方法���,還包括檢索對應(yīng)于所述會話標(biāo)識符的會話信息���,其中, 準(zhǔn)許所述客戶端裝置接入所述網(wǎng)絡(luò)包括驗證所述會話標(biāo)識符與所述客戶端裝置和所述網(wǎng) 絡(luò)之間所述先前建立的通信會話的會話標(biāo)識符相匹配����。
4.根據(jù)權(quán)利要求3所述的方法,其中��,所述會話信息包括SAML聲明��。
5.根據(jù)權(quán)利要求3所述的方法,其中��,檢索所述會話信息包括從會話存儲器中檢索所 述會話信息��,所述會話存儲器存儲所述網(wǎng)絡(luò)的多個網(wǎng)絡(luò)會話的會話信息�����。
6.根據(jù)權(quán)利要求5所述的方法����,其中��,檢索所述會話信息包括 將所述會話標(biāo)識符發(fā)送至所述會話存儲器���;以及響應(yīng)于發(fā)送所述會話標(biāo)識符���,接收來自所述會話存儲器的所述會話信息。
7.根據(jù)權(quán)利要求5所述的方法����,其中,檢索所述會話信息包括 將源自所述會話標(biāo)識符的值發(fā)送至所述會話存儲器�����;以及響應(yīng)于發(fā)送所述值,接收來自所述會話存儲器的所述會話信息�。
8.根據(jù)權(quán)利要求7所述的方法,還包括通過對所述會話標(biāo)識符應(yīng)用散列算法而從所述 會話標(biāo)識符得到所述值��。
9.根據(jù)權(quán)利要求3所述的方法����,其中,所述策略裝置包括第一策略裝置���,并且�,檢索所 述會話信息包括從第二策略裝置中檢索所述會話信息�。
10.根據(jù)權(quán)利要求1所述的方法,其中��,所述策略裝置包括第一策略裝置�����,所述方法在 接收所述會話標(biāo)識符之前�,還包括用第二策略裝置認(rèn)證所述客戶端裝置;以及 用所述第二策略裝置將所述會話標(biāo)識符發(fā)送至所述客戶端裝置���。
11.根據(jù)權(quán)利要求10所述的方法����,還包括在準(zhǔn)許所述客戶端裝置接入網(wǎng)絡(luò)時,通過所 述策略裝置聲明對所述網(wǎng)絡(luò)會話的所有權(quán)����,以從所述第二策略服務(wù)器中移除所述客戶端裝 置的在先所有權(quán)。
12.根據(jù)權(quán)利要求11所述的方法�,其中,聲明所有權(quán)包括公布遵循元數(shù)據(jù)接入點接口 (IF-MAP)標(biāo)準(zhǔn)的認(rèn)證信息��,其中����,所述會話標(biāo)識符包括附有所述認(rèn)證信息的接入請求標(biāo)識符�����。
13.根據(jù)權(quán)利要求12所述的方法�,其中,所述認(rèn)證信息包括說明所述認(rèn)證信息為單值 元數(shù)據(jù)的基數(shù)屬性����,其中,公布所述認(rèn)證信息包括替換所述網(wǎng)絡(luò)會話的所述接入請求標(biāo)識 符的先前公布的認(rèn)證信息。
14.根據(jù)權(quán)利要求12所述的方法�,其中,所述認(rèn)證信息包括說明所述認(rèn)證信息為多值元數(shù)據(jù)的基數(shù)屬性�,其中,聲明所有權(quán)還包括刪除所述網(wǎng)絡(luò)會話的所述接入請求標(biāo)識符的 先前已有的元數(shù)據(jù)�。
15.根據(jù)權(quán)利要求12所述的方法,其中����,所述策略裝置包括第一策略裝置,所述方法在 接收所述會話標(biāo)識符之前���,還包括用第二策略裝置公布所述接入請求標(biāo)識符�����;以及用所述第二策略裝置預(yù)訂所述接入請求標(biāo)識符��,以接收所述接入請求標(biāo)識符改變的通知�,其中�,聲明所有權(quán)包括根據(jù)所述第二策略裝置的所述預(yù)訂來通知所述第二策略裝置所 述認(rèn)證信息的改變。
16.一種策略裝置�����,包括網(wǎng)絡(luò)接口,接收來自客戶端裝置的會話標(biāo)識符�,其中,所述策略裝置包括存儲并應(yīng)用多 個策略以控制網(wǎng)絡(luò)接入的單獨管理的自主策略服務(wù)器�;以及授權(quán)模塊,基于所述會話標(biāo)識符準(zhǔn)許所述客戶端裝置接入由所述策略裝置保護(hù)的所述 網(wǎng)絡(luò)���,而無需向所述客戶端裝置的用戶請求認(rèn)證憑證�����,其中����,所述會話標(biāo)識符唯一地標(biāo)識所述客戶端裝置和所述網(wǎng)絡(luò)之間先前建立的通信會話�����。
17.根據(jù)權(quán)利要求16所述的策略裝置����,其中���,所述會話標(biāo)識符是由第二策略裝置響應(yīng) 于通過所述第二策略裝置認(rèn)證所述客戶端裝置而預(yù)先產(chǎn)生的��。
18.根據(jù)權(quán)利要求16所述的策略裝置�,還包括檢索對應(yīng)于所述會話標(biāo)識符的會話信息 的會話管理模塊,其中����,所述授權(quán)模塊通過驗證所述會話標(biāo)識符與所述客戶端裝置和所述 網(wǎng)絡(luò)之間所述先前建立的通信會話的會話標(biāo)識符相匹配來準(zhǔn)許所述客戶端裝置接入所述 網(wǎng)絡(luò)。
19.根據(jù)權(quán)利要求18所述的策略裝置���,其中�����,所述會話信息包括SAML聲明�����。
20.根據(jù)權(quán)利要求18所述的策略裝置�����,其中��,所述會話管理模塊從會話存儲器中檢索 所述會話信息�����,其中��,所述會話存儲器存儲由多個策略裝置公布的所述網(wǎng)絡(luò)的多個網(wǎng)絡(luò)會 話的會話信息�。
21.根據(jù)權(quán)利要求18所述的策略裝置,其中�,所述策略裝置包括第一策略裝置,并且��, 所述會話管理模塊從與所述第一策略裝置耦接的第二策略裝置中檢索所述會話信息��。
22.根據(jù)權(quán)利要求16所述的策略裝置����,其中,所述策略裝置包括第一策略裝置�����,其中�, 在接收所述會話標(biāo)識符之前���,第二策略裝置認(rèn)證所述客戶端裝置并將所述會話標(biāo)識符發(fā)送 至所述客戶端裝置����。
23.根據(jù)權(quán)利要求22所述的策略裝置,還包括會話管理模塊����,該會話管理模塊在準(zhǔn)許 所述客戶端裝置接入網(wǎng)絡(luò)時聲明所述會話的所有權(quán),以從所述第二策略服務(wù)器移除所述客 戶端裝置的在先所有權(quán)�。
24.根據(jù)權(quán)利要求23所述的策略裝置,其中�����,為了聲明所有權(quán)�����,所述會話管理模塊公布 遵循元數(shù)據(jù)接入點接口(IF-MAP)標(biāo)準(zhǔn)的認(rèn)證信息�,其中,所述會話標(biāo)識符包括附有所述認(rèn) 證信息的接入請求標(biāo)識符�。
25.根據(jù)權(quán)利要求M所述的策略裝置,其中��,所述認(rèn)證信息包括說明所述認(rèn)證信息為 單值元數(shù)據(jù)的基數(shù)屬性�,其中,為了公布所述認(rèn)證信息���,所述會話管理模塊替換所述網(wǎng)絡(luò)會話的所述接入請求標(biāo)識符的先前公布的認(rèn)證信息��。
26.根據(jù)權(quán)利要求M所述的策略裝置���,其中��,所述認(rèn)證信息包括說明所述認(rèn)證信息為 多值元數(shù)據(jù)的基數(shù)屬性��,其中��,為了聲明所有權(quán)���,所述會話管理模塊刪除所述網(wǎng)絡(luò)會話的所 述接入請求標(biāo)識符的先前已有的元數(shù)據(jù)。
27.根據(jù)權(quán)利要求M所述的策略裝置�����,其中�����,所述策略裝置包括第一策略裝置��,其中��, 在接收所述會話標(biāo)識符之前����,第二策略裝置公布所述接入請求標(biāo)識符、預(yù)訂所述接入請求 標(biāo)識符以接收所述接入請求標(biāo)識符改變的通知�����,其中��,為了聲明所有權(quán)�,所述第一策略裝置 根據(jù)所述第二策略裝置的所述預(yù)訂,通知所述第二策略裝置所述認(rèn)證信息的改變���。
28.一種系統(tǒng)����,包括客戶端裝置���;第一策略裝置����,認(rèn)證所述客戶端裝置以準(zhǔn)許接入由所述第一策略裝置保護(hù)的網(wǎng)絡(luò)���,并 為所述客戶端裝置提供會話標(biāo)識符�,其中,所述第一策略裝置包括存儲并應(yīng)用第一多個策 略以控制對所述網(wǎng)絡(luò)的接入的第一單獨管理的自主策略服務(wù)器�;以及第二策略裝置,包括網(wǎng)絡(luò)接口��,接收來自所述客戶端裝置的所述會話標(biāo)識符���,其中��,所述第二策略裝置包括 存儲并應(yīng)用第二多個策略以控制對所述網(wǎng)絡(luò)的接入的第二單獨管理的自主策略服務(wù)器��;以 及授權(quán)模塊�,基于所述會話標(biāo)識符準(zhǔn)許所述客戶端裝置接入還由所述第二策略裝置保護(hù) 的所述網(wǎng)絡(luò)���,而無需向所述客戶端裝置的用戶請求認(rèn)證憑證�,其中����,所述會話標(biāo)識符唯一地標(biāo)識所述客戶端裝置和所述網(wǎng)絡(luò)之間先前建立的通信會話。
29.根據(jù)權(quán)利要求觀所述的系統(tǒng)�,其中,所述第二策略裝置還包括檢索對應(yīng)于所述會 話標(biāo)識符的會話信息的會話管理模塊���,其中�����,所述授權(quán)模塊通過驗證所述會話標(biāo)識符與所 述客戶端裝置和所述網(wǎng)絡(luò)之間所述先前建立的通信會話的會話標(biāo)識符相匹配來準(zhǔn)許所述 客戶端裝置接入所述網(wǎng)絡(luò)�����,其中�,所述第一策略裝置產(chǎn)生所述先前建立的通信會話的所述 會話標(biāo)識符�����。
30.根據(jù)權(quán)利要求四所述的系統(tǒng)��,還包括與所述第一策略裝置和所述第二策略裝置耦 接的會話存儲器�,其中,所述會話存儲器存儲所述網(wǎng)絡(luò)的多個網(wǎng)絡(luò)會話的會話信息���,其中���, 所述第一策略裝置將所述客戶端裝置的會話信息公布給所述會話存儲器,其中���,所述會話 管理模塊從所述會話存儲器中檢索所公布的會話信息���。
31.根據(jù)權(quán)利要求30所述的系統(tǒng)�����,其中��,所述會話信息包括SAML聲明���。
32.根據(jù)權(quán)利要求30所述的系統(tǒng),其中�,為了檢索來自所述會話存儲器的所述會話信 息,所述會話管理模塊配置為將所述會話標(biāo)識符發(fā)送至所述會話存儲器���,并響應(yīng)于發(fā)送所 述會話標(biāo)識符而接收來自所述會話存儲器的所述會話信息����,并且其中�����,所述會話存儲器配置為響應(yīng)于接收來自所述第二策略裝置的所述會話標(biāo)識符����, 將所述會話信息發(fā)送至所述第二策略裝置�����。
33.根據(jù)權(quán)利要求30所述的系統(tǒng)�,為了從所述會話存儲器中檢索所述會話信息����,所述 會話管理模塊配置為將源自所述會話標(biāo)識符的值發(fā)送至所述會話存儲器��,并響應(yīng)于發(fā)送所 述值而接收來自所述會話存儲器的所述會話信息���,并且其中���,所述會話存儲器配置為響應(yīng)于接收來自所述第二策略裝置的源自所述會話標(biāo)識 符的所述值而將所述會話信息發(fā)送至所述第二策略裝置。
34.根據(jù)權(quán)利要求33所述的系統(tǒng)�,其中,所述會話管理模塊配置為通過對所述會話標(biāo) 識符應(yīng)用散列算法而從所述會話標(biāo)識符得到所述值��。
35.根據(jù)權(quán)利要求四所述的系統(tǒng)���,其中�����,所述會話管理模塊從所述第一策略裝置中檢 索所述會話信息�。
36.根據(jù)權(quán)利要求觀所述的系統(tǒng),其中�����,所述第二策略裝置還包括會話管理模塊��,所述 會話管理模塊在準(zhǔn)許所述客戶端裝置接入網(wǎng)絡(luò)時聲明所述網(wǎng)絡(luò)會話的所有權(quán)�����,以從所述第 一策略服務(wù)器移除所述客戶端裝置的在先所有權(quán)����。
37.根據(jù)權(quán)利要求36所述的系統(tǒng),其中�,為了聲明所有權(quán),所述會話管理模塊公布遵循 元數(shù)據(jù)接入點接口(IF-MAP)標(biāo)準(zhǔn)的認(rèn)證信息�,其中,所述會話標(biāo)識符包括附有所述認(rèn)證信 息的接入請求標(biāo)識符����。
38.根據(jù)權(quán)利要求37所述的系統(tǒng)�����,其中���,所述認(rèn)證信息包括說明所述認(rèn)證信息為單值 元數(shù)據(jù)的基數(shù)屬性,其中�����,為了公布所述認(rèn)證信息��,所述會話管理模塊替換所述網(wǎng)絡(luò)會話的 所述接入請求標(biāo)識符的先前公布的認(rèn)證信息���。
39.根據(jù)權(quán)利要求37所述的系統(tǒng),其中����,所述認(rèn)證信息包括說明所述認(rèn)證信息為多值 元數(shù)據(jù)的基數(shù)屬性,其中�,為了聲明所有權(quán),所述會話管理模塊刪除所述網(wǎng)絡(luò)會話的所述接 入請求標(biāo)識符的先前已有的元數(shù)據(jù)�。
40.根據(jù)權(quán)利要求37所述的系統(tǒng),其中���,所述第一策略裝置公布所述接入請求標(biāo)識符�����, 并預(yù)訂所述接入請求標(biāo)識符以接收所述接入請求標(biāo)識符改變的通知����,其中,為了聲明所有 權(quán)����,所述第二策略裝置根據(jù)所述第一策略裝置的所述預(yù)訂,通知所述第一策略裝置所述認(rèn) 證信息的改變��。
41.根據(jù)權(quán)利要求觀所述的系統(tǒng)�����,其中��,所述客戶端裝置利用會話ID自動應(yīng)答來自所 述第二策略服務(wù)器的要求����,而無需發(fā)送所述用戶的認(rèn)證憑證。
全文摘要
本發(fā)明涉及網(wǎng)絡(luò)策略服務(wù)器之間的會話遷移。本發(fā)明提供了一種策略裝置��,當(dāng)客戶端裝置向策略裝置提供先前在第二策略裝置認(rèn)證客戶端裝置時該第二策略裝置授予客戶端裝置的會話標(biāo)識符時�����,策略裝置準(zhǔn)許客戶端裝置的接入而不認(rèn)證客戶端裝置�����。在一個實施例中�����,策略裝置包括網(wǎng)絡(luò)接口����,接收來自客戶端裝置的會話標(biāo)識符,其中策略裝置包括單獨管理的自主策略服務(wù)器���;以及授權(quán)模塊,基于會話標(biāo)識符準(zhǔn)許客戶端裝置接入由策略裝置保護(hù)的網(wǎng)絡(luò)��,而無需策略裝置認(rèn)證客戶端裝置�����。如此,客戶端裝置在短期內(nèi)不需要多次提供認(rèn)證信息�����,并且當(dāng)會話遷移到第二策略裝置時�,策略裝置能夠釋放資源。
文檔編號H04L12/28GK102104592SQ20101051007
公開日2011年6月22日 申請日期2010年10月15日 優(yōu)先權(quán)日2009年12月17日
發(fā)明者羅格·A·?���?肆?申請人:叢林網(wǎng)絡(luò)公司