专利名称:在全局分布网络中共享认证会话状态的方法和装置的制作方法
技术领域:
本发明涉及在诸如互联网这样的全局分布网络中共享认证会话状态,尤其涉及每当用户访问web服务器代理群集的节点时都能有效地更新该群集各个节点,从而使活动用户不会被过早地注销而同时有利地降低话务负载的方法和装置。
背景技术:
当用户尝试访问诸如互联网这样的全局分布网络中的目标网站或服务器时,web服务器代理(WSP)通过给出一登录表格并且在用户首次尝试访问目标网站时请求用户证书来认证用户。WSP是透明代理目标web服务器并且拦截从用户到目标网站的请求、并服从认证和访问过滤而把请求转发到目标网站的一项服务。
如果用户提供了正确的证书,WSP就为该用户授权一活动会话,把用户的请求转发到目标网站,并且把从目标网站接收到的任何响应转发回用户。会话会在某一可配置的用户不活动时段后到期,使得在这一时段后从同一用户接收到请求需要认证。WSP也可以维持用户失败认证尝试的历史,失败由于提供无效的证书造成,并且在某一可配置次数的失败登录尝试或封锁该用户。
在许多情况下都希望群集(cluster)多个WSP以便比单个WSP支持更多的用户。为了群集WSP,服务的一个实例必须允许两台或多台计算机,所述计算机由一负载平衡器支持。由于来自一个用户的一系列请求很可能由WSP群集的不止一个节点所处理,因此群集的WSP应该共享会话状态信息,会话状态信息由用户认证状态或失败的登录尝试组成。
目前,使用中央数据库或会话服务器来跟踪用户会话状态信息。当一群集节点从用户接收到请求时,群集节点查阅数据库或服务器以确定是否为该用户建立了活动会话,或者为该用户记录失败的登录尝试计数,这取决于实际情况。
使用中央数据库或会话服务器来共享用户会话状态信息的问题在于,如果数据库或会话服务器失败,则群集不能正确地认证用户。也就是,用户可能被过早地终止、开始尝试多于预订登录尝试限制、或者必须提供不必要的登录证书。
因此需要机制来提供一WSO节点群集,并且在WSP节点间有效地共享用户会话状态信息。
发明内容
本发明实施例提供了用于访问全局通信网络中的目标网站的新颖和改进了的方法和装置。一方面,一种用于在全局分布网络上登录用户的方法包括在服务器代理群集一节点处接收来自用户的请求;提示用户有关登录信息;以及接收来自用户的登录信息。如果接收到的登录信息有效,该方法还包括为该用户设立一活动会话,并且用活动会话仍在使用的信息来更新服务器代理群集的至少一个节点。
另一方面,一种用于访问全局分布网络中的服务器的方法包括在服务器代理群集一节点处接收来自用户的请求,以及确定是否为该用户建立了活动会话。如果为用户建立了活动会话,该方法还包括用活动会话仍在使用的信息来更新所述服务器代理群集的至少一个节点。
另一方面,一种用于访问全局分布网络中的服务器的装置包括存储器单元、接收机、发射机、以及与所述存储器单元、接收机和发射机通信上耦合的处理器。所述处理器能执行指令以实现上述方法。
结合附图考虑以下提出的发明实施例的详细描述,本发明的特征和优点将变得更为明显,附图中图1说明了用于访问一目标网站的web服务器代理的群集;图2说明了用于访问一目标网站的时序图;以及图3说明了一web服务器和一远程接入设备的实施例。
具体实施例方式
在详细说明几个实施例以前,应该理解,本发明的范围不应限于下面描述或附图中提出的组件的结构和布局。同样应该理解,这里使用的短语和术语是为了说明起见,不应被视为是限制性的。
图1说明了按照一实施例、用于访问目标网站的web服务器代理(WSP)的群集。设备102包括无线电话、个人数据助理(PDA)、笔记本电脑等等。用户使用设备102来作出访问目标服务器的请求,所述目标服务器比如一网站。请求包括超文本传输协议(HTTP)格式的请求。WSP使用一报头(header)字段把请求与其相应的用户相关联,所述报头字段包含对于用户、用户设备唯一的值,或者请求的源互联网协议(IP)地址。请求到达负载平衡器/调度器104,后者在WSP群集106的节点间分布到来的请求。负载平衡器/调度器104基于多种负载分布方案来分布请求,所述方案比如循环(round-robin)方案。
WSP群集106是代理web服务器和拦截从用户接收到的请求、缓存请求并服从认证和访问过滤而将它们转发到目标网站的一项服务。在一实施例中,群集了多个WSP以便比单个WSP支持更多的用户。为了群集WSP,服务的一个实例可以允许两台或更多台计算机。由于来自一个用户的一系列请求很可能由WSP群集的不止一个节点所处理,因此群集的WSP共享会话状态信息。会话状态信息包括用户的登录状态和/或失败的登录尝试,根据情况而定。
WSP群集共享会话状态信息以便防止在分配给用户的可配置不活动时段实际到期以前对该用户的过早会话终止。也就是,在用户的首次请求到达WSP群集的第一节点,并且为该用户建立了活动会话后,向用户分配一可配置的不活动时段,使得在不活动时段期间未从用户接收到后续请求时,所分配的会话就终止。
WSP群集在WSP群集的各个节点间共享会话状态信息以便防止用户不成功地尝试登录的次数超过所允许的不成功登录尝试的次数。也就是,在用户的首次请求到达WSP群集的第一节点后,但未被正确认证时,用户在被封锁以前被允许一定次数的不成功尝试,无论哪个群集节点接收到用户的登录请求。否则,如果用户不成功地持续尝试登录,但用户的登录证书到达WSP群集的不同节点,且在这些节点的任一个处都未达到所允许的不成功登录尝试次数,则会错误地允许用户在所允许的次数以外尝试登录。
在一实施例中,当用户尝试访问全局分布网络(比如互联网)中的目标网站或服务器时,且用户的首次请求到达WSP群集的第一节点,WSP群集的第一节点就开始认证用户的过程。第一节点向用户呈现一登录表,并且在用户首次尝试访问目标网站时请求用户的证书。如果用户提供了有效的证书,WSP的第一节点就授权该用户,并且为该用户建立活动会话。
然后,群集的第一节点用为该用户建立了活动会话的信息来更新WSP群集的其它节点,使得只要用户不活动时间不长于所允许的不活动时段,则来自同一用户的后续请求就不要求认证。与群集其它节点共享会话信息包括把会话状态信息广播或多播传送到其它节点。第一节点可以在其本地列表中保存会话信息,并且可以启动一定时器,表明用户活动会话的开始。其余群集节点在从第一节点接收到会话信息后,也可能在它们相应的本地列表中保存用户的会话信息,并启动它们相应的定时器,表明用户活动会话的开始。有利的是,如果WSP群集的任一节点变得无效,其余节点仍保留原样并正确地运作。于是,WSP群集的第一节点能把用户的原始请求转发到目标网站、从目标网站接收响应、并把从目标网站接收到的响应传回用户。
如果来自同一用户的第二请求到达群集的第二节点,则第二节点查阅其本地列表和/或其定时器以便检索用户的会话状态信息。如果会话信息和/或定时器表明已经为该用户建立的会话仍为活动,第二节点则无须再次认证用户。第二节点用用户仍然活动的信息来更新WSP群集的一些或全部其它节点,使得用户的活动会话不会被群集的其它节点过早地终止。第二节点可以以加权方式来更新其它节点。
加权方式的方案包括相对于自用户上一次请求逝去的时间来更新群集的一些或全部其它节点,例如逝去的时间越长,更新节点的概率就越大。加权方式的方案包括相对于群集的节点数目来更新群集的一些或全部其它节点,例如群集中节点越多,更新节点的概率就越大。加权方式的方案包括相对于自用户上一次请求逝去的时间以及群集中的节点数目来更新群集的一些或全部其它节点。
加权的更新方案包括基于一概率函数来更新群集的一些或全部节点,所述概率函数随着一些因素而上升,比如自用户上一次请求逝去的时间、群集的节点数目、请求类型、请求者的身份或类型等等。例如,如果一节点处自上一次请求逝去的时间相对较大以及/或者群集的节点数目相对较大,则以高概率来更新群集的一些或全部节点。加权方式的更新方案或然地确保了其请求到达群集不同节点处的活动用户不会被过早地注销,而与每当从用户接收到请求时就更新全部群集节点相比,同时有利地降低了话务负载。
图2说明了按照一实施例、通过WSP群集来访问目标网站的时序图。WSP群集包括三个WSP节点A、B和C。在时刻202,当用户尝试访问全局分布网络(比如互联网)中的目标网站或服务器,且用户的首次请求到达例如WSP群集的节点B处时,在时刻204,节点B开始认证用户的过程。节点B提示用户有关登录证书,比如用户标识和/或密码。然而在用户提供了登录证书后,用户的登录证书可能到达WSP群集的一个不同节点处。例如,在时刻206,用户的登录证书到达节点C。在时刻208,如果用户提供了有效的登录证书,节点C就授权用户,为用户建立活动会话,缓存用户的请求,并且启动定时器。
在时刻210,节点C把例如“Add_Session_User_ID”这样的更新消息广播到WSP群集的节点A和B,通知节点A和B已经为具有所指定的标识信息的用户建立了活动会话。节点A和B更新它们相应的本地列表和/或启动它们相应的定时器,表明为用户建立了活动会话。在时刻212,节点C把用户的原始请求发送到目标服务器;在时刻214,从目标服务器接收一响应;以及在时刻216把所述响应转发到用户。
在时刻218,由于用户在比所允许的不活动时段长的时间内不活动,节点C处的定时器到期。因而,节点C可以从其本地列表中删除用户的会话。然而,节点A和B处的定时器尚未到达这一时间界限;因此,这些节点未从它们的本地列表中删除活动会话。在时刻220,当来自同一用户的新请求到达节点B时,节点B重置其自身的定时器,并且在时刻222将例如“Keep_Session_Alive_User_ID”这样的更新信号广播到节点A和C,或仅仅广播到节点C,节点C的定时器已到期。根据情况的不同,节点A和C、或仅仅节点C,更新它们的本地列表并启动它们相应的定时器。
该例中,由于群集中的节点数目相对较小,因此更新例如节点A和C这样的其它节点会基于节点B处的相对定时器值。例如,如果节点B处的定时器值相对较小,节点A和C就可能不被更新,或者以相对低概率被更新;从而保存了话务和处理时间。否则,如果节点B处的定时器值相对较大,则以相对高的概率更新节点A和C,提高用户的活动会话不会意外终止的概率。
图3是web服务器304和远程接入设备306的一实施例的简化框图,它们能实现各个所公开的实施例。对于特定的应用,语音数据、分组数据和/或消息可以经由空中接口308在web服务器304和远程接入设备306之间交换。可以发送各类消息,比如用于在web服务器和远程接入设备间建立通信会话的消息、注册和寻呼消息以及用于控制数据传输的消息(例如功率控制、数据速率信息、确认等等)。下面进一步详述了这些消息类型中的一些。
对于反向链路,在远程接入设备306处,把语音和/或分组数据(例如来自数据源310)以及消息(例如来自控制器330)提供给发送(TX)数据处理器312,后者用一种或多种编码方案对所述数据和消息进行格式化和编码以生成经编码的数据。每种编码方案都可以包括循环冗余校验(CRC)、卷积、turbo、块编码及其它编码的任意组合,或者根本不编码。语音数据、分组数据以及消息可以用不同的方案来编码,不同类型的消息也可以被不同地编码。
然后把经编码的数据提供给调制器(MOD)314并进一步处理(例如覆盖、用短PN序列扩展、用分配给用户终端的长PN序列扰频)。然后把已调数据提供给发射机单元(TMTR)316并对其调整(例如转换成一个或多个模拟信号、放大、滤波、以及正交调制)以生成一反向链路信号。反向链路信号通过天线共用器(D)318被路由并经由天线320发送到web服务器304。
在web服务器304处,反向链路信号被天线350所接收,通过天线共用器352路由,并被提供给接收机单元(RCVR)354。Web服务器304可能从远程接入设备306接收注册信息和状态信息,例如移动站移动速率。接收机单元354调整(例如滤波、放大、下变频和数字化)接收信号并提供采样。解调器(DEMOD)356接收和处理(例如解扩展、解覆盖和导频解调)采样以提供经恢复的码元。解调器356可能实现一雷克接收机,该雷克接收机处理接收信号的多个实例并生成组合码元。然后,接收(RX)数据处理器358对码元解调以恢复反向链路上发送的数据和消息。经恢复的语音/分组数据被提供给数据宿360,经恢复的消息被提供给控制器370。控制器370可以包括用于寻呼一组移动站的指令,该指令会基于移动站的移动性。解调器356和接收数据处理器358的处理与远程接入设备306处执行的处理相反。解调器356和接收数据处理器358可以进一步用于处理经由多个信道接收到的多个传输,所述多个信道例如反向基本信道(R-FCH)和反向补充信道(R-SCH)。同样,传输可同时来自多个移动站,各个移动站都在反向基本信道、反向补充信道或两个信道上发送。
在前向链路上,在web服务器304处,语音和/或分组数据(例如来自数据源362)以及消息(例如来自控制器370)由一发送(TX)数据处理器364进行处理(例如格式化和编码),由调制器(MOD)366进一步处理(例如覆盖和扩展)、并由一发射机单元(TMTR)368调整(例如转换成模拟信号、放大、滤波以及正交调制),以生成一前向链路信号。前向链路信号通过天线共用器352被路由,并且经由天线350被发送到远程接入设备306。前向链路信号包括寻呼信号。
在远程接入设备306处,前向链路信号被天线220所接收,通过天线共用器318被路由,并被提供给接收机单元322。接收机单元322调整(例如下变频、滤波、放大、正交调制和数字化)接收信号并提供采样。解调器324处理(例如解扩展、解覆盖和导频解调)所述采样以提供码元,所述码元由一接收数据处理器326进一步处理(例如解码和校验)以便恢复前向链路上发送的数据和消息。经恢复的数据被提供给数据宿328,经恢复的消息可以被提供给控制器330。控制器330可能包括用于注册远程接入设备306的指令,所述指令基于移动站的移动性作出。
因此,所公开的实施例通过在web服务器代理的群集的各个节点间分布认证和会话信息,从而提供了系统可靠性的显著改进。所公开的方法和装置还能降低访问全局通信网中的目标服务器时的话务负载。
本领域的技术人员可以理解,信息和信号可以用多种不同技术和协议中的任一种来表示。例如,上述说明中可能涉及的数据、指令、命令、信息、信号、比特、码元和码片可以用电压、电流、电磁波、磁场或其粒子、光场或其粒子或它们的任意组合来表示。
本领域的技术人员能进一步理解,结合这里所公开的实施例所描述的各种说明性的逻辑块、模块和算法步骤可以作为电子硬件、计算机软件或两者的组合来实现。为了清楚说明硬件和软件间的互换性,各种说明性的组件、框图、模块、电路和步骤一般按照其功能性进行了阐述。这些功能性究竟作为硬件或软件来实现取决于整个系统所采用的特定的应用程序和设计。技术人员可以认识到在这些情况下硬件和软件的交互性,以及怎样最好地实现每个特定应用程序的所述功能。技术人员可能以对于每个特定应用不同的方式来实现所述功能,但这种实现决定不应被解释为造成背离本发明的范围。
结合这里所描述的实施例来描述的各种说明性的逻辑块、模块和算法步骤的实现或执行可以用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、场可编程门阵列(FPGA)或其它可编程逻辑器件、离散门或晶体管逻辑、离散硬件组件或者为执行这里所述功能而设计的任意组合。通用处理器可能是微处理器,然而或者,处理器可以是任何常规的处理器、控制器、微控制器或状态机。处理器也可能用计算设备的组合来实现,如,DSP和微处理器的组合、多个微处理器、结合DSP内核的一个或多个微处理器或者任意其它这种配置。
结合这里所公开实施例描述的方法或算法的步骤可能直接包含在硬件中、由处理器执行的软件模块中或在两者当中。软件模块可能驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM或本领域中已知的任何其它形式的存储介质中。示例性存储介质与处理器耦合,使得处理器可以从存储介质读取信息,或把信息写入存储介质。或者,存储介质可以与处理器整合。处理器和存储介质可能驻留在ASIC中。ASIC可能驻留在用户终端中。或者,处理器和存储介质可能作为离散组件驻留在用户终端中。
上述优选实施例的描述使本领域的技术人员能制造或使用本发明。这些实施例的各种修改对于本领域的技术人员来说是显而易见的,这里定义的一般原理可以被应用于其它实施例中,例如在即时消息传递服务或任何普通的无线数据通信应用中,而不背离本发明的精神或范围。因此,本发明并不限于这里示出的实施例,而要符合与这里揭示的原理和新颖特征一致的最宽泛的范围。这里专门使用单词“示例性”意指“充当示例、实例或说明”。
权利要求
1.一种用于认证全局分布网络上的用户的方法,所述方法包括(a)在服务器代理群集的一节点处接收来自用户的请求;(b)提示用户有关登录信息;(c)接收来自用户的登录信息;(d)如果接收到的登录信息有效则为用户设立一活动会话;以及(e)用为用户设立了活动会话的信息来更新服务器代理群集的至少一个节点。
2.如权利要求1所述的方法,其特征在于,还包括如果接收到的登录信息无效,则与服务器代理群集的至少一个节点共享多个用户的不成功登录尝试。
3.如权利要求1所述的方法,其特征在于,还包括在各个更新的节点处启动一定时器。
4.一种用于访问全局分布网络中的服务器的方法,所述方法包括(a)在服务器代理群集的一节点处接收来自用户的请求;(b)确定是否为用户建立了活动会话;(c)如果为用户建立了活动会话则把所述请求发送到服务器;以及(d)用为用户建立了活动会话的信息来更新服务器代理群集的至少一个节点。
5.如权利要求4所述的方法,其特征在于,还包括在各个更新的节点处重启一定时器。
6.如权利要求4所述的方法,其特征在于,所述更新包括基于一概率函数来更新服务器代理群集的至少一个节点,所述概率函数随着服务器代理群集一节点处的定时器值而上升。
7.如权利要求4所述的方法,其特征在于,所述更新包括基于一概率函数来更新服务器代理群集的至少一个节点,所述概率函数随着服务器代理群集的节点数目而上升。
8.一种用于认证全局分布网络上的用户的装置,包括(a)在服务器代理群集的一节点处接收来自用户的请求的装置;(b)提示用户有关登录信息的装置;(c)接收来自用户的登录信息的装置;(d)如果接收到的登录信息有效则为用户设立一活动会话的装置;以及(e)用为用户设立了活动会话的信息来更新服务器代理群集的至少一个节点的装置。
9.如权利要求8所述的装置,其特征在于还包括如果接收到的登录信息无效,则与服务器代理群集的至少一个节点共享多个用户的不成功登录尝试。
10.如权利要求8所述的装置,其特征在于还包括在各个更新的节点处启动一定时器的装置。
11.一种用于访问全局分布网络中的服务器的装置,包括(a)在服务器代理群集的一节点处接收来自用户的请求的装置;(b)确定是否为用户建立了活动会话的装置;(c)如果为用户建立了活动会话则把所述请求发送到服务器的装置;以及(d)用为用户建立了活动会话的信息来更新服务器代理群集的至少一个节点的装置。
12.如权利要求11所述的装置,其特征在于还包括在各个更新的节点处重启一定时器的装置。
13.如权利要求11所述的装置,其特征在于,所述用于更新的装置包括基于一概率函数来更新服务器代理群集的至少一个节点的装置,所述概率函数随着服务器代理群集一节点处的定时器值而上升。
14.如权利要求11所述的装置,其特征在于,所述用于更新的装置包括基于一概率函数来更新服务器代理群集的至少一个节点的装置,所述概率函数随着服务器代理群集的节点数目而上升。
15.一种采用认证全局分布网络上的用户一种方法的计算机可读介质,所述方法包括(a)在服务器代理群集的一节点处接收来自用户的请求;(b)提示用户有关登录信息;(c)接收来自用户的登录信息;(d)如果接收到的登录信息有效则为用户设立一活动会话;以及(e)用为用户设立了活动会话的信息来更新服务器代理群集的至少一个节点。
16.如权利要求15所述的计算机可读介质,所述方法还包括如果接收到的登录信息无效,则与服务器代理群集的至少一个节点共享多个用户的不成功登录尝试。
17.如权利要求15所述的计算机可读介质,所述方法还包括在各个更新的节点处启动一定时器。
18.一种采用访问全局分布网络中的服务器的一种方法的计算机可读介质,所述方法包括(a)在服务器代理群集的一节点处接收来自用户的请求;(b)确定是否为用户建立了活动会话;(c)如果为用户建立了活动会话则把所述请求发送到服务器;以及(d)用为用户建立了活动会话的信息来更新服务器代理群集的至少一个节点。
19.如权利要求18所述的计算机可读介质,所述还包括在各个更新的节点处重启一定时器。
20.如权利要求18所述的计算机可读介质,其特征在于,所述更新包括基于一概率函数来更新服务器代理群集的至少一个节点,所述概率函数随着服务器代理群集一节点处的定时器值而上升。
21.如权利要求18所述的计算机可读介质,其特征在于,所述更新包括基于一概率函数来更新服务器代理群集的至少一个节点,所述概率函数随着服务器代理群集的节点数目而上升。
22.一种用于认证全局分布网络上的用户的服务器代理群集,包括能从远程接入设备接收信息的接收机;能把信息发送到远程接入设备的发射机;以及能实现认证用户的方法的处理器,所述方法包括(a)在服务器代理群集的一节点处接收来自用户的请求;(b)提示用户有关登录信息;(c)接收来自用户的登录信息;(d)如果接收到的登录信息有效则为用户设立一活动会话;以及(e)用为用户设立了活动会话的信息来更新服务器代理群集的至少一个节点。
23.如权利要求22所述的服务器代理群集,所述方法还包括如果接收到的登录信息无效,则与服务器代理群集的至少一个节点共享多个用户的不成功登录尝试。
24.如权利要求22所述的服务器代理群集,其特征在于,所述更新包括在各个更新的节点处启动一定时器。
25.一种用于访问全局分布网络中的服务器的服务器代理群集,包括能从远程接入设备接收信息的接收机;能把信息发送到远程接入设备的发射机;以及能实现认证用户的方法的处理器,所述方法包括(a)在服务器代理群集的一节点处接收来自用户的请求;(b)确定是否为用户建立了活动会话;(c)如果为用户建立了活动会话则把所述请求发送到服务器;以及(d)用为用户建立了活动会话的信息来更新服务器代理群集的至少一个节点。
26.如权利要求25所述的服务器代理群集,其特征在于,所述更新包括在各个更新的节点处重启一定时器。
27.如权利要求25所述的服务器代理群集,其特征在于,所述更新包括基一概率函数来更新服务器代理群集的至少一个节点,所述概率函数随着服务器代理群集一节点处的定时器值而上升。
28.如权利要求25所述的服务器代理群集,其特征在于,所述更新包括基于一概率函数来更新服务器代理群集的至少一个节点,所述概率函数随着服务器代理群集的节点数目而上升。
全文摘要
给出了一种通过web服务器网关的群集来访问全局通信网中的目标网站的方法和装置。登录信息和用户活动信息以加权基础在群集的节点间共享,使得活动用户不会被过早地注销,而同时有利地降低了话务负载。
文档编号G06F15/16GK1703689SQ200380100939
公开日2005年11月30日 申请日期2003年10月7日 优先权日2002年10月7日
发明者R·C·科贝伊 申请人:高通股份有限公司