本发明涉及一种机制，通过该机制用户可利用他们自己的个人设备， 如笔记本计算机和个人数字助理(PAD)访问基于包(packet-based)的 网络服务，这些网络服务是由服务提供商在如机场、商场、旅馆等公共场 合提供的。这类公共访问服务提供商可提供多种有线或无线技术，通过这 些技术人们将他们的个人设备连接到网络和它的相关服务。随着局域网和 个域网(personal area network)的新无线技术标准(分别指无线LAN和 无线PAN)的出现，我们看到公共服务的提供数量尤其是本发明中所考虑 的服务类型的数量正迅速增长。例如，公共无线访问可通过无线LAN技 术，诸如那些基于IEEE 802.11系列标准的技术，或者通过无线PAN技术， 诸如蓝牙无线技术来提供。
典型地，基于包的数据服务提供要求用户首先向数据服务提供商，如 因特网服务提供商(ISP)预先注册，如预订，从而与该提供商建立长期的 “付费”关系。这一过程通常以离线方式完成，在该用户能访问这一公共 服务之前建立和激活该提供商—订户关系。这一订户关系包括用户简档的 定义，该定义指定了该个人用户被授权访问的服务范围。ISP一般提供一个 当地的或甚至免费的(toll-free)电话号码，其允许从许多地理上遥远的位 置以一种额外增加费用(除订购费之外)访问该同一ISP。然而，对于通过 无线公共服务去访问数据服务而言，该机制具有严重的缺点：如果用户试 图访问由一提供商运营的公共访问基础架构，而该提供商不同于那些他们 已与其建立了预订关系的提供商，那么这些用户将被拒绝访问，除非他们 也向该新提供商进行预订。这样的限制挫败了公共访问基础架构的前提， 其理想地希望总是为尽可能多的用户服务(及向其收费)。
而且，当前对网络服务的公共访问的、通常使用无线技术的方案定义 单一的服务等级。例如，一典型的服务是仅仅对万维网(或简单的说， “Web”)的访问。这样的服务定义不考虑这样的情境，其中用户可通过 他们自己的设备按要求(on demand)访问某些需额外收费的服务 (premium service)。不存在这样的机制，其允许用户在任何时候动态地 选择一个或多个这样的额外收费服务，而不需要和这样的服务预先建立关 系。即使服务提供确实有多个等级(或服务组)，用户将必须提前选择他 们所希望的服务等级。而且，在用户访问由该服务提供商提供的服务的期 间内，所选择的服务等级保持不变。换言之，当前通过公共访问基础架构 的服务提供未提供给用户不同的和可动态(或按要求)调整的服务等级。 这样的服务提供也将需要基于用户所选择的服务集来为用户动态调节付费 策略的机制。另外，为了实时完成以上所述的提供，应当。
在按要求提供分等级服务方面的一种可能的解决方案是通过在客户端 (即用户的)设备中安装特殊的代码。这一特殊代码将影响通信协议栈并 使新的特定协议的使用成为必需。由这些客户端设备产生的每一个包都需 要使用该额外的和特殊的代码来被修改。当然，这些网络里的网络部件必 须运行该新特定协议的互补部分以能够读这些修改后的包。具有不需要协 议栈中的改变的方法将是有利的。该方法应当能使用现有的TCP/IP标准 以免得需要客户端设备执行新协议，免得需要客户端设备必须修改它的每 个传输，及免得需要网络中的设备必须修改它们的通信协议栈以懂得新设 计的协议。
最后一点值得注意的是，存在用于部署公共无线服务的其他可选方案。 例如，一个系统提出使用将被嵌入在个人设备上的专用软件，以通过修改 每个由这些设备传输的数据包以便利于访问公共服务。
具有这样一种系统将是有益的，该系统不要求在用于访问无线网络的 个人设备上做任何改变，且不需要在由这些设备传输的数据包上做任何修 改，以达到它的各种。前面描述的系统依赖于操作平台(它的服务器或客 户机版本)的特定特性。这为参与支持网络的设备建立了通信和计算同质 性的运行假设。更好的是具有可应用在未更改的设备和通信协议上的系统， 其可被使用已确立的开放通信标准的设备应用于非同质性计算和通信环境 中，这些开放通信标准，如TCP/IP因特网协议系列，已经被压倒多数的运 行于不同类型的操作系统上的个人(IP使能的)设备所支持。这些个人设 备应该被构建在独立于网络支持设备的软件和硬件平台的软件和硬件平台 上，其中这些个人设备与该网络支持设备进行交互以进行它的配置。关于 记帐，前述系统不允许在正进行会话的中间动态重新指定记帐策略。

因此本发明的一方面在于允许公共网络服务的供应商提供不同等级的 应用服务给这些应用服务的用户。用户使用他们自己的个人设备，以便按 每次使用以及在一正在进行的使用过程中协商和动态调整他们期望的应用 服务等级，对于这些个人设备，没有为适应本发明的教授而作出特殊的修 改。
本发明的另一方面是可应用于支持所述公共服务提供的通信基础架构 中的执行机制。该执行机制可应用于该基础架构内部的组件，如路由器设 备，或在基础架构边缘的组件，如无线接入点(wireless access point)。 该执行机制确保证个人用户只能访问那些在他们已选择的应用服务等级中 的应用服务，并拒绝对所有不属于该等级内的应用服务的访问。在一些实 施例中，该执行机制还被补充了当用户试图访问不属于当前他们所选等级 内的特定应用服务时警告用户的装置，并且补充了这样的装置，通过该装 置用户可再次用他们自己的设备动态地重新协商新的所期望的应用服务等 级，以便若希望的话用户可以访问新的应用服务。
本发明的又一方面是具有与前述相同的目的的一种执行机制，其可应 用于基础架构的通信组件(如路由器和无线接入点)之外，诸如工作在较 用于通信基础架构中的那些协议等级更高的协议等级的设备和软件。利用 这样的执行机制，过滤服务器可被用于通信基础架构上以将例如来自用户 的Web通信流限制为仅到达属于他们已选择的应用服务等级的Web服务。
本发明的再一方面在于使用户能使用他们自己的设备基于“按使用付 费”访问在公共场合提供的动态可选择的分等级应用服务，而使用各种“当 场”付款手段，诸如信用卡信息、飞行常客信息、如旅馆房间号的临时标 识符信息等等，而不需要向数据供应的服务提供商事先预定。
本发明的其他方面是利用这样的付费策略，即向用户收取与他们使用 自己的设备已选择和访问的服务相关的用户的费用。一般而言，这些付费 策略基于各种标准，包括以传输到该用户和/或从该用户发送的通信流的数 量表示的用户活动程度，或者提供所选等级的应用服务的持续时间(会话 时间)。而且，在会话中收费策略可以动态改变，从而允许用户更新或修 改他或她的服务等级和付费策略。
本发明的其他方面和更好的理解可通过参考详细说明而实现。

结合附图考虑下面对本发明的详细说明，本发明的这些和其他目的、 特征和优点将变得是显然的，其中：
图1示出了用于提供无线网络访问的系统的体系结构示例，以及用户和 该系统为提供所需等级的应用服务所执行的动作。
图2示出了根据本发明所使用的允许个人用户去指定和获得对授权的 应用服务的访问的3个主要功能步骤。这3个步骤是：
a)注册，其让用户在可获得的应用服务中指定他们的选择，
b)控制通知，其让特定的执行设备知道用于特定用户的适当访问简 档，以及
c)执行，其允许适当的网络设备去管制涉及特定用户的设备的各个 包、连接或会话，以确保它们总与所授权的应用服务对应。
图3示出了与注册相关的实体(尤其是用户设备和注册服务器)在用户 的注册过程中所采取的步骤，包括在网络侧验证用户证书(credential)、 并接受用户在可用应用服务等级中的选择的机制。
图4示出了包括在实际执行过程中步骤的例子，该执行机制包括特定包 的检查以验证它符合当前为该特定用户授权的应用服务，以及检查任何为 记帐目的的必要更新。
图5示出了在各个用户可动态改变他们所选择的应用服务等级的过程 中包括的步骤。
图6示出了用户终止(注销)他们的当前会话的过程。这一注销用于确 保网络释放任何已为特定用户保留的资源，且还确保正确向用户为他们自 己的动作收取费用(尤其是当以其会话的持续时间为基础向用户收费时)。
图9示出了访问控制的确切机制(即执行)的例子。它描述了通过使用 路由器中的表实现这一执行机制的例子，其中该表列出了各个用户能或不 能访问的特定目的地、协议或上述的组合。
图9的访问控制框架还可以应用于出现在不同层以及可能出现在服务 级别的实体处的执行机制。
图10显示与图9类似的框架，其用于当通过无线接入点或Web代理执行 访问控制时的情况。

本发明为提供了用于用户在通过公共网络访问基础架构提供的多个应 用服务等级之间进行选择的方法、装置和系统。它允许用户获得对这样不 同等级的应用服务的访问，即使他们没有预先提供的与相应的服务提供商 的订户关系。它也允许用户自动地动态选择和重新选择他们期望的应用服 务等级，而无需服务提供商操作者的介入。在一些实施例中，这样的变化 也导致收费(或记帐)机制的适当变化。
本发明中，服务被定义为目的端点，诸如：公司的Web页、公司的服 务器应用、公司的Lotus Notes邮件服务器等等。服务的这一应用级别定义 不同于网络级别的服务，诸如在因特网上进行通信所允许的通信带宽，例 如56Kbps或128Kbps，这与通信的目的地是什么无关。
在本发明的各实施例中，用户可使用他们自己的个人数据设备，如笔 记本计算机或个人数字助理(PDA)。用户也可临时使用其他的计算设备， 如信息亭(kiosk)等。然而，为本发明的目的，在这里那些其他设备被假 定为表现得完全像它们是用户自己的“日常”计算设备一样，而不要求引 入到这些设备中任何一组这样的附加的软件或硬件部件，其中这些软件和 硬件部件唯一和排他地使这些设备能够根据本发明的教授去操作，并且使 它们的用户能够获得本发明教授的好处。考虑用于本发明实施例的服务供 给是基于普遍存在的、基于IP的因特网技术；访问技术是基于运作于非授 权的无线频带中的无线本地通信技术，诸如IEEE 802.11b无线LAN或蓝 牙无线PAN。显然地，本领域的技术人员能实现本发明的其他实施例，而 不脱离本发明的精神和概念。例如，他们能用其他可选的访问技术，诸如 红外线或以太网，或能使用动态按使用付费的安排作为用于基于预定的客 户偶尔访问不属于他们的默认预定简档的等级的额外收费应用服务等级的 一种途径。
图1示出了用于向在公共区域如机场中的无线热点(wireless hotspot) 处的移动用户和他们的设备提供无线网络访问的系统的体系结构。该图也 突出了需要被用户执行以获得期望等级的应用服务的步骤。访问网络101 包括路由器(如106、107)和无线接入点(WiAP)(如110、111)。用 户设备或用户终端(108)，通过到接入点(图1中的110)的无线连接109 连接到这一访问网络。除了网络层实体，诸如接入点和路由器之外，访问 网络还可包括网络支持服务，诸如DHCP(动态主机配置协议)服务器102、 DNS(域名服务)服务器113和Web代理(如112、117)。DHCP和DNS 实体是本领域技术人员已知的大多数基于IP的网络中的常见组件，并为基 于IP的用户终端提供各种配置信息和查询解析支持。Web代理被用于管 理从用户终端到Web服务器的访问。本发明的实施例中，访问网络包括注 册服务器114，其被用于交互式地建立个人用户所期望的应用服务等级。
作为在应用服务等级之间进行区分的可能等级的例子，图1示出了两 个应用服务等级，金服务103和银服务104。每个应用服务等级由一个或 多个服务的集合(组)定义。在该例中，银服务等级104包括对图1中普 通因特网105的访问。除了包括所有被包括在银服务等级中的所有服务之 外，金服务等级还可能包括向用户终端提供视频剪辑的服务。这些等级的 应用服务等级能静态地存在，即，例如银应用服务等级可能一直在其内包 括相同一组应用服务(或者至少很少被更新)。另一方面，在各等级中的 应用服务的分配可以是动态的，这里被“分配”到一等级里的应用服务可 基于各种标准改变。在一些实施例中，基于标准的组合增加或减去服务， 诸如基于：应用服务质量考虑；实施访问许可控制；时间；在不同的时间 对应用服务使用不同的收费模式等等。
用户终端108进入这样的系统并和接入点建立无线链路之后，其执行 DHCP协议以为该用户终端获得一个IP地址。该步骤在图1中示为项116。 在该步骤之后，用户终端使用标准Web浏览器使用标准HTTP协议联系 注册服务器114。注册服务器给用户终端提供可获得的各应用服务等级及 它们相关收费的基于Web的清单，以及其他信息。对各等级的服务分配可 以是静态的，或基于当前的服务可用性、促销或其他因素等等而是动态的。 此时，用户将一标识符，如信用卡号或飞行常客号码，以及所期望的应用 服务等级输入到浏览器中，并向注册服务器发送这一信息。这些步骤在图 1中共同示为项115。一旦经适当的确认，被用户提供的标识符也被用于为 期望的应用服务等级最终向用户收费。一旦标识符被接受和确认，注册服 务器向适当的执行设备发出一个控制通知，通知执行设备相应用户能访问 属于他/她的所选服务等级的那些应用服务。执行设备通过安置一组控制以 管制该用户在该访问网络中的通信流来响应该信息。该步骤在图1中示为 项117。在不同的实施例中，该执行设备可以是路由器(106)、接入点(110) 或Web代理(112)。然后控制机制将在适当执行设备上安置通信流过滤 器。这一控制和执行机制的不同实施示例将在后面描述。
图2示出了被用于本发明允许个人用户去指定和获得对经授权的应用 服务访问的3个功能步骤。该3个步骤是：
a)注册，其让用户在可获得的应用服务中指定他们的选择；
b)控制通知，其让指定的执行设备知道用于特定用户的适当访问简档， 以及
c)执行，其允许适当的网络设备去管制与特定用户设备相关的各个包、 连接或会话，以确保他们总与经授权的应用服务对应。
因此，图2突出了本发明用于向用户终端提供对各等级应用服务的访 问的步骤。具体地，用户终端108首先向注册机构202进行注册201。注 册期间，除其他事务外，由唯一的标识符标识用户终端。该标识符在相关 会话期间，即直到用户终端结束它与访问网络(101)的关联和通过它能够 获得的应用服务时为止，应当是唯一的。因为访问网络能基于其用户的应 用服务等级选择动态地被控制、配置和/或重配置，所以图1中的访问网络 (101)也被在图2中标识为可控制的基础架构。这一标识符可以是固定的， 像用户终端使用的通信硬件子系统的介质访问(MAC)地址，或临时的， 如由DHCP服务器分配给用户终端的IP地址，或提供给运行在用户终端 上的Web浏览器应用的Web cookie。通过使用不直接基于网络接口(如 MAC地址)、或基于由访问网络基础架构提供的特定配置参数(如IP地 址)的标识符，注册机构允许用户终端维持它与注册服务器的关联，即使 它的网络连接变化(如插上了新网络接口，或DHCP配置了新IP地址)。 在这些情形中，用户终端可分担部分责任来将关于它的设备或网络特定配 置参数中的变化通知给注册服务器。
注册机构202将记录这一标识符和用户终端已请求的应用服务等级。 利用这些知识，注册机构将调节通信网络以适应该新用户和他/她所选择的 应用服务等级。调节动作主要包括在通过制信号203将设备的标识符和应 用服务等级之间的绑定信息传递给可控制访问基础架构的一些或全部节点 中。作为例子，注册机构(也称注册服务器)可以：
a)将用户终端的MAC地址随同应用服务等级一起传递给接入点和 LAN交换机，或者
b)将用户终端的IP地址随同应用服务等级一起传递给网络路由器， 或者
c)将Web cookie/IP地址随同应用服务等级一起传递给网络中的Web 代理，或者
d)通知特定于应用的服务器接受或拒绝来自特定用户终端的通信流。
使用该信息，适当的网络节点将封锁、或放行从用户终端到那些服务 205的或从那些服务205到用户终端的通信流206。
图3示出了用户终端和系统的最初交互中的各个步骤的例子。它包括 这样的功能，诸如获得一IP地址(116)，联系注册服务器和选择期望的 应用服务等级(115)的功能，以及由此产生的控制通知，如对普通控制基 础架构(117和203)的状态进行更新。本发明的该实施例使用标准DHCP 协议用于配置个人用户终端。用户终端进入系统后，它的网络连接的物理 层被激活，它的系统软件被通知。结果，用户终端在系统网络上广播DHCP 请求(301中的项1)。这一请求被运行DHCP服务器102的机器处理， 该机器向用户终端发送回一个响应(108和301中的项2)。该DHCP响 应包括由系统分配给该用户终端的IP地址、用于中继消息的默认节点的 IP地址(网关IP地址)和运行DSN服务器的机器的IP地址。
本发明的一特殊的实施例具有修改了其默认行为的客户机配置软件。 例如当使用DHCP协议时，一系统特定的选项被增加到DHCP协议，这可 根据用于在DHCP中增加选项的现有标准来完成，并且扩展了DHCP服务 器和客户机软件以分别产生和解释该新选项。系统特定的DHCP选项包括 注册服务器的地址。在处理DHCP响应时，扩展的DHCP客户机软件使用 该地址启动被定向到注册服务器304的浏览器。本发明该上述实施例代表了 一个使用扩展的DHCP客户机和服务器软件的无需显在的用户介入的用户 终端自动配置的实施例示例。在本发明的另一实施例中，未对DHCP协议 或对DHCP客户机和服务器软件实现扩展(302)。在处理了DHCP响应及 配置了网络连接之后，在用户终端上手动启动浏览器并且将该浏览器定向 到注册服务器。注册服务器的标识可以作为ULR从浏览器的书签集合中获 得，或可以通过带外(out-of-band)机制例如可在公共场合突出打印或显 示的可视通知(303)提供给用户。尽管DHCP是用于用户终端初始配置的 最通用的机制，但是可以一样有效地使用其他的配置协议。例如，下一代 因特网协议，IPv6，允许节点自动配置其自身，而无需来自DHCP服务器 的任何帮助。而且，运用像目的地重定向的技术，从客户机设备到目的地 Web的Web请求可被重定向到任何期望的位置，例如，注册服务器，而独 立于在因特网上的浏览器用户想要去的位置。本发明对这种其他可选的初 始用户终端配置的手段是同样适用的。
作为用户与注册服务器交互的一部分，用户将接着选择期望的应用服 务等级并提供与付费相关的信息(305)。该信息接着被注册服务器/机构 发送到适当的、逻辑上分离的节点进行确认(306)。如果用户提供的信息 被确认是正确的(307)，注册被认为成功。这种情况中，发起用于该用户 会话的记帐过程，并且通过控制通知消息将适当的信息中继给普通控制基 础架构组件(308)。如果该信息是无效的(307)，则一般对用户提供另 外的机会去向系统注册(310)。
一旦系统已成功认可用户的特定应用服务等级选择，则可期望用户发 起到该等级的应用服务的传输。图4示出了在一示例过程中，在这样的通信 过程中由普通访问可控制基础架构(图2中的204)的一组件所遵从的步骤。 在收到包(请求包或任何来自一设备的传输)401之后，检查该包以确定它 的来源，即用户终端，以及它所属的应用服务等级402。该包被关联到一个 特定用户终端和/或应用服务等级的机制依赖于可控制访问基础架构中实 现该执行的确切组件。在图9中针对路由器的情况和在图10中针对无线接入 点或Web代理的情况描述了这一点。如果应用服务符合与包来源相关的服 务等级403，则将该包转发给下一跳(hop)404，以及，如果必要，在该 特定应用服务的收费策略如此要求的情况下，更新与来源用户终端关联的 记帐信息405。如果该应用服务不符合403，则或丢弃该包或采取适当的补 救步骤406。在上面任一情况中，该基础架构组件开始处理下一个包。如果 符合测试失败403，则系统可能希望采取其他可选的补救措施。
在一些实施例中，执行节点重定向包，和/或生成失败通知给注册服务 器。如果未能通过符合测试的包相应于一基于Web的请求，则注册服务器 接着能使用HTTP协议以一个通知响应用户终端，该通知指出用户试图进 行的访问违背用户的当前应用服务等级。该基于Web的通知能提供给用户 重新协商应用服务等级的选择，以使随后的用户访问偿试不会被拒绝。
依赖于由用户在注册时提供的信息以及系统的能力，另一补救动作将 是向用户发送“带外”通知。当用户当前未使用Web浏览器应用时或不含 有任何系统可向其发送消息的专用应用时，后一情况是期望的。“带外” 通知可包括到传呼机、交互式的个人电子邮件设备例如无线个人设备的消 息传递，对蜂窝电话的电话呼叫，SMS(短信消息服务)消息等等。
接下来描述在与公共访问网络的正进行的关联期间，用户能重新协商 或改变他们的应用服务等级的过程。如已解释过的，当用户发现特定的期 望的应用服务当前在用户的当前等级选择范围之外时，可使用该过程。或 者，在某一时刻，用户也可发现临时切换到不同的应用服务等级的需要。 例如，用户可能突然发现访问没有包括在最初选择的应用服务等级之内的 额外收费应用服务的需要。注意，有时为用户创建和存储的应用服务简档 指出在某些条件下或当特定的属性例如基于位置的属性被满足时，优选的 应用服务等级的选择。用户的服务简档能有助于应用服务等级的选择。
虽然此处描述的本发明的实施例提到服务选择的用户选择，但用于便 利用户等级选择的服务简档的使用不在本发明的精神之外。图5示出了改 变与用户终端关联的应用服务等级的过程中包括的步骤。用户终端通过将 浏览器定向到注册服务器来联系注册服务器501，请求改变应用服务当前 等级(502)，并提供所有必要的信息503(类似于305)。如果该信息是 有效的504，则改变被接受，且一般基础架构中的访问控制的状态505和 记帐506组件被更新。由于用户终端已经具有现存的与访问网络的关联(并 因此具有唯一标识符)，所以提供必要信息的过程503可能不象图3中的 初始过程305那样详细。例如，用户可能不需要重新提供个人信息(例如， 信用卡号)；而是用户终端上的软件可以能够直接提供特定于用户的标识 符(例如通过使用Web cookie)给注册服务器，从而帮助服务器将这一对 应用服务等级的改变请求与现存的用户网络关系联系起来。
尽管图5中所述的更新服务的过程代表本发明的一个实施例，但其他 的过程也是可能的而不脱离本发明的精神。例如，本领域技术人员可以通 过使用户指出期望的应用服务且服务提供商用适当的用于包括所请求的应 用服务的应用服务等级的注册页进行响应，得到同样的结果。这后一方案 不要求用户去显性地联系注册服务器以进行更新。但是，它实现了与如图 5中示出的实施例相同的最终结果。
由于对动态定义的应用服务的支持是本发明的一个元素，应该指定可 终止服务关联的机制。例如，这种注销机制对在基于用户网络关联持续时 间对用户收费的情形中的正确记帐是有用的。这样的机制还可被用户用于 在作出关于继续或终止关联之前，核对当前的使用和帐单信息。图6示出 了当用户终端有效地关闭所有的会话并终止它对各网络服务的访问时在用 户终端和公共访问网络的(可能)最终交互中的步骤。在示出的实施例中， 用户终端将浏览器定向到注册服务器上601，并使用标准HTTP协议去请 求其会话的终止602。作为该请求的一部分，用户终端可能包括在注册进 程中建立的特定于用户的唯一标识符，见图2中的201。然后，注册服务 器从相关的执行设备中提取出适当的使用统计603，并向用户终端提供该 适当的使用信息604。基于该使用信息，用户将接着决定605或是确认他 们的关联终止或是继续利用该公共可用的服务基础架构。如果用户决定继 续，那么终止进程被挂起，并且用户恢复他的或她的正常网络访问。这个 机制提供给用户一个简单地查证他们的活动历史和相关的费用的手段。但 是，如果用户决定终止他们的当前关联605，则注册服务器将执行必要步 骤以移除与该用户在公共访问网络中的存在相关的信息。注册服务器将首 先向执行设备发出适当的控制通知消息606，以禁止该用户终端的任何其 他访问。这样的控制消息的成功执行有效地移除了执行设备中的不必要的 访问控制信息。它也担当了预防任何后续未授权的访问企图的机制。在发 送该通知之后，注册服务器还将从它的内部表中移除活动的特定于用户的 信息(诸如与用户的当前会话关联的唯一标识符)，并完成对用户适当收 费的过程607。除了通知访问控制设备之外，注册服务器还将通知DHCP 服务器608，以便DHCP服务器能适当更新它自己的表并释放资源。
图7示出了用于在无须用户显性地行动来进行终止的情况下管理和终 止会话的另一示例实施例。在该实施例中，使用被称作cookie的Web技 术来跟踪用户终端在系统中的存在。图7重复了图1的有关部分，另外增 加了保存系统中的终端的记录703的会话数据库702。具体地，随着由 DHCP服务器102向用户终端分配116IP地址，服务器通知701注册服务 器114一个新IP地址已被分配给用户终端。在一个实施例中，注册过程将 这一IP地址输入到IP地址的一“等待”池中。当用户访问该注册服务器 以注册一个新服务、继续或更新现有服务时，该IP地址将从等待池被移除。 在另一实施例中，注册服务器将这一IP地址与用户会话数据库702中的记 录703相关联。任何情况下，都通知注册服务器新的IP地址分配。
新的IP地址分配可以真正被给予全新的用户终端，或者给予可能具有 正在进行的会话的终端。后一情况可能发生在出于各种原因的时候，诸如 临时链路109失败，用户设备重新启动，由于移动造成的无线接入点的变 化，访问技术从例如无线LAN到有线的以太网、到蓝牙无线技术的调整 等等。用户设备可获得不同于以前使用的全新的IP地址。然而，用户可能 选择仍旧有效的付费策略。例如，用户可能已请求了30分钟的时间块，并 且在这一时间块的7到10分钟之间发生了通信中断。在这种情况下，该全 新的IP地址不应当被关联系到全新的会话，而是被用于更新与现有会话相 关的会话信息。
在显示于图7和图8的实施例中，这是通过使用Web cookie来实现的。 Web cookie是Web服务器发送给与该服务器交互的Web浏览器的一小段 信息。Web浏览器将cookie本地存储在运行着该浏览器的用户终端中。在 每次该特定Web浏览器再访问该特定Web服务器时，该cookie被该浏览 器上载。这能用于追踪用户对特定Web站点的访问。在本实施例的情况中， 当用户终端在分配给它一个新IP地址之后再访问注册服务器的时候，能再 次将该cookie提供给注册服务器，并且注册过程能使用该cookie以提取出 用于该用户终端的会话记录(如果存在的话)，并相应地更新它。
在又一实施例中，省略了从DHCP服务器到注册服务器的新IP地址 的传输。它允许新发起的会话或正进行的会话的会话数据被注册服务器专 有地处理。这之所以可能，是因为Web服务器，如注册服务器，除cookie 之外，还能提取出大量与用户终端有关的信息，包括其IP地址。然而，701 中的IP地址传输，或者相反方向的相似地址，是被用于确认客户机设备所 使用的IP地址是由DHCP服务器分配的合法IP地址的方法。
图8示出了由注册服务器遵循以决定如果其收到cookie将如何进行的 步骤的实施例。如果cookie与活动的/正进行的会话相关联，则称cookie 是有效的。为使cookie无效，若干事件807都可能起作用。例如，DHCP 服务器可无效一IP地址。这发生在与由DHCP服务器分配的IP地址关联 的“租约”时间在用户终端请求续订租约之前期满时。在图7中的实施例 中，DHCP服务器通过传输“移除IP地址”消息704而传送这一信息。 DHCP租约的粒度规定了“当使用时付费”的记帐策略的精确性能够如何； 例如，如果租约是以二分钟递增的方式给出的，那么选择基于她的会话持 续时间付费的用户将为使用系统2、或4、或6等分钟被记帐。如果用户已 选择以30分钟的时间块付费且30分钟已过去，则会话也可能被无效。在 图7中的会话记录703中，后者可以根据描述付费策略的选择时间 (paymentSelectionTime)和/或由所选付费策略覆盖的时间 (paymentDuration)的会话记录项，或其他存储在该会话记录中的有关 数据来计算。选择付费的时间与选择服务等级的时间可能一致的，但这不 是一般性的要求。各种时间间隔可进一步地与宽限期关联以考虑用户临时 断开连接的可能。这些宽限期有利地与DHCP服务器协调，以便DHCP 服务器不将已移除的IP地址分配给新用户终端，如果服务器还没有更新它 的会话记录的话。
由于用户的移动和其他原因，如临时链路失败，用户设备重新启动， 由于移动而造成的无线接入点的改变，从例如无线LAN到有线的以太网、 到蓝牙无线技术的访问技术的调整等等，可能会发生短暂的连接中断。通 过使用cookie，其中cookie有时被用作能持续存在于连接中断之后的会话 标识符，用户能继续访问选定等级的服务，而不需要向注册服务器重新注 册。使用每当用户终端访问注册服务器时它发送的cookie，注册服务器能 恢复它需要的任何会话信息，而不管由许多原因引起的连接中断。这种能 力经常称为服务漫游(service roaming)。
图9示出了更多关于怎样通过使用图1中访问网络101或者等效的图 2中的可控制基础架构204中的路由器执行访问控制的细节。在图9中， 假设使用DHCP协议向用户终端901分配了IP地址10.0.0.1；在其他的实 施例中，这一IP地址和随后的IP地址可能是不同的。另外，假设服务提 供商已定义了两个应用服务等级，金等级和银等级，其允许用户访问分别 具有IP地址10.1.1.2和10.1.2.2的设备。(多个应用服务等级，其中每个 等级具有IP地址和/或端口号的多个列表，这种一般化对熟悉本领域的技 术人员来讲是简单明了的。)客户机接着通过无线接入点902联系注册机 构903，以指定它所期望的应用服务等级。注册机构903提供904所有可 获得的应用服务等级和它们相关收费的Web页列表。用户接着在两个应用 服务的等级909(金等级和银等级)之间进行选择并向注册服务器发送回 905这一选择(随同其他个人证书一起)。将服务分组为各应用服务等级 可以是递增式的，就是说，例如选择金服务等级也使得能访问银服务等级 中的所有服务。
假设用户终端已选择了银服务等级。在其中能执行访问控制机制的节 点之一是路由器906。如图9中所示，该基于路由器的访问控制方案可通 过将基于用户终端和它所请求的应用服务等级的IP地址的一组过滤规则 传送给907路由器而实现。在接收到这些过滤规则后，路由器把它们存储 到本地路由表908中。在图9中，路由表显示IP地址10.0.0.1(正讨论的 用户终端的IP地址)能访问在目的地址10.1.2.2上的TCP端口80上提供 的应用服务。这相应于用于银服务的Web服务器；因此，与IP地址10.0.0.1 关联的用户终端仅仅能访问银服务。
执行机制也可在访问网络基础架构中其他可选节点例如无线接入点或 Web代理处执行。图10中示出了这些其他选择，在其中象以前一样假设， 用户终端具有IP地址10.0.0.1。此外，假设与该用户终端关联的无线设备 的硬件(MAC)地址是“MAC_ADDR_1”。首先，如图左侧所显示的， 注册机构1002可将一组过滤规则1003、1004传递给一个或多个无线接入 点(WiAP)1005、1006。由于无线接入点通过MAC地址来区分终端，所 以无线接入点(图10中的1005)中的过滤表1007通常将包括用户终端的 MAC地址(本例子中，即为“MAC_ADDR_1”)和该组允许目的节点的 目的IP地址和/或端口号。此外，该图示出了在其中用户终端已选择银等 级应用服务1008(目的地址10.1.2.2)的例子。
图10的右侧显示了当通过在Web代理1009上布置过滤器而执行访问 控制时的情形。在这种情形中，注册机构1002将该组适当的过滤规则1010 传递给Web代理。Web代理接着更新在它过滤表1011中的相应信息。应 当理解，这其实是应用层过滤机制，因为Web代理仅截取来自基于Web 的用户终端的通信流。在这种情形中，用户终端可或通过网络层标识符， 如IP地址(本例中为10.0.0.1)，或通过应用层的标识符，如Web cookie 的一集合，而被唯一地标识。
图10示出了当过滤表1011通过用户终端的IP地址(10.0.0.1)识别 用户终端，并通过一组URL(统一资源定位符)识别该组允许的目的地的 情形。在该特定的例子中，假设用户已选择与URL http: //10.1.2.2/sliver.html相关的银等级应用服务。统一资源定位符(URL)是 在Web上命名、发现和检索对象的标准途径。
这里讨论的本发明实施例涉及使用接入点、路由器和Web代理控制对 所选应用服务的访问。本领域技术人员可使用其他的网络通信流控制组件 而不脱离本发明的本质。
迄今为止提出的本发明实施例是基于公共访问基础架构使用无线 LAN以允许用户通过无线接口连接到网络的假设。然而，本发明中所描述 的原理和方法可被应用于其他有线和无线访问技术。本领域的技术人员可 以容易地开发本发明的其他实施例以用于其他访问技术，例如，使用有线 IEEE 802.3以太网技术而不是IEEE 802.11无线LAN技术，而未脱离本 发明的本质。
本发明可以硬件、软件或硬件和软件的结合来实现。根据本发明的可 视化工具能以集中式方式在一个计算机系统中实现，或以分布式方式实现， 其中不同组件分布在几个互相连接的计算机系统中。任何种类的计算机系 统或适合于实现这里描述的方法和/或功能的其他装置都是合适的。硬件和 软件的典型结合可以是具有计算机程序的通用计算机系统，当该程序被加 载并执行时，其控制该计算机系统以使它执行这里所描述的方法。本发明 也能被嵌入到计算机程序产品中，该计算机程序产品包括使能实现这里所 描述的方法的所有特征，并且当该计算机程序产品被加载到计算机系统中 时能执行这些方法。
本文中的计算机程序手段或计算机程序包括一组指令的以任何语言、 代码或符号表示的任何表达，其中该组指令旨在使具有信息处理能力的系 统或直接地或在转换成另一种语言、代码或符号，和/或以不同材料形式再 现之后执行特定的功能。
因此本发明包括包含计算机可用介质的制造物品，其中该计算机可用 介质在其中嵌入了用于实现上述功能的计算机可读程序代码手段。在该制 造物品中的该计算机可读程序代码手段包括用于使计算机实现本发明的方 法的步骤的计算机可读程序代码手段。类似地，本发明还可以实现为包括 计算机可用介质的计算机程序产品，其中该计算机可用介质具有嵌入在其 中的用于实现上述功能的计算机可读程序代码手段。在该计算机程序产品 中的该计算机可读程序代码手段包括用于使计算机实现本发明的一个或多 个功能的计算机可读程序代码手段。此外，本发明还可以实现为机器可读 的、有形地体现可由该机器执行以实现用于实现本发明的一个或多个功能 的方法步骤的指令程序的程序存储装置。
应注意，前述已经概述了本发明的一些较为相关的目的和实施例。本 发明可用于许多应用。因此，尽管该说明是针对特定安排、时间指示和方 法而作出的，但本发明的目的和概念可适合和应用于其他结构安排和应用。 本领域的技术人员将明白，可实现对所公开的实施例的修改，而不脱离本 发明的本质和范围。所描述的实施例应被认为仅是本发明的较显著特征和 应用中的某些的示例。通过以不同方式应用所公开的本发明或以本领域技 术人员已知的方式修改本发明，可实现其他的有益结果。
优先权
本申请要求提交于2002年3月8日、所分配序列号为60/363,327的、具有 相同标题的美国申请的优先权。