用于管理节点的方法和系统与流程

本申请是申请号为201480079669.2、名称为“用于管理节点的方法和系统”的发明专利申请的分案申请。

本发明总体上涉及计算机网络的领域。更确切地说，本发明涉及用于允许用户组通过管理服务器管理节点的方法和系统。

背景技术：

常见的是，为了配置节点，节点的管理员需要登录到节点中以执行配置。为了配置节点，管理员需要与节点在同一地理位置中或极为接近节点。在一些情境中，当节点为远程节点时，有可能通过服务器管理节点。通过服务器管理节点的用户可以是、也可以不是管理员。

本发明揭示一种方法，管理员可以通过所述方法允许用户或不允许用户通过服务器管理节点。

技术实现要素：

本发明揭示用于通过管理服务器管理节点的方法和系统。管理服务器校验是否已经接收到管理确认并且若接收到管理确认则允许第二用户组管理节点。若管理服务器未接收到管理确认，则不允许第二用户组通过管理服务器管理节点。管理确认可以从节点处接收。

根据本发明的一个实施例，在管理服务器从节点接收到管理确认之前，节点能够由第一用户组通过管理服务器管理。在管理服务器从节点接收到管理确认之后，节点不再能够由第一用户组通过管理服务器管理。

根据本发明的一个实施例，在校验是否已经接收到管理确认之前，管理服务器从第二用户组接收管理节点的管理请求。在接收到管理请求之后，管理服务器向节点发送确认请求。

根据本发明的一个实施例，管理确认经过加密。管理服务器能够对管理确认进行解密。

根据本发明的一个实施例，管理确认包括用户组身份信息。管理确认还可以包括用户身份信息。节点可以发送用户组身份信息以及被允许通过管理服务器管理节点的用户组和用户的用户身份信息，并且用户组身份信息和用户身份信息包括在管理确认中。

根据本发明的一个实施例，管理确认包括代码。节点可以为用户或用户组提供代码，并且还在管理确认中将所述代码发送到管理服务器。若用户或用户组能够向管理服务器提供代码，则管理服务器可以允许用户或用户组通过管理服务器管理节点。

根据本发明的一个实施例，节点从管理服务器接收确认请求。确认请求是在第二用户组已经发送通过管理服务器管理节点的管理请求之后接收到的。在接收到确认请求之后，节点向节点的管理员显示确认等待消息。可以在管理员用户界面处显示确认等待消息。接着，节点校验是否接收到来自管理员的确认消息。若接收到确认消息，则节点向管理服务器发送管理确认并且允许第二用户组通过管理服务器管理节点。

根据本发明的一个实施例，确认请求经过加密。节点可以对确认请求进行解密。

根据本发明的一个实施例，在向管理员显示确认等待消息之前，通过节点校验管理员的身份。

具体实施方式

以下说明仅提供优选的示例性实施例且并不意图限制本发明的范围、适用性或配置。实际上，优选的示例性实施例的以下说明将为所属领域的技术人员提供实施本发明的优选的示例性实施例的有利描述。应理解，在不脱离如在所附权利要求书中阐述的本发明的精神和范围的情况下可以对元件的功能和布置进行各种改变。

在以下描述中给出特定细节以提供对实施例的透彻理解。然而，所属领域的技术人员应理解，所述实施例可以在没有这些具体细节的情况下实践。例如，可以框图示出电路以免以不必要的细节混淆实施例。在其它情况下，可以在没有不必要的细节的情况下示出熟知的电路、过程、算法、结构以及技术以避免混淆实施例。

同样，应注意，实施例可以描述为过程，过程描绘为流程图、流程图表、数据流图、结构图或框图。尽管流程图可将操作描述为连续过程，但许多操作可并行或同时执行。另外，可以重新布置操作的顺序。当操作完成时，过程终止，但是过程可以具有不包含在图中的另外步骤。过程可以对应于方法、功能、程序、子例程、子程序等。当过程对应于函数时，其终止对应于函数返回到调用函数或主函数。

实施例或其各部分可以程序指令来实施，所述程序指令可在处理单元上操作以用于执行如本文中所描述的功能和操作。构成各个实施例的程序指令可以存储在存储媒介中。

构成各个实施例的程序指令可以存储在存储媒介中。此外，如本文所揭示，术语“存储媒介”可以表示用于存储数据的一个或多个装置，包含只读存储器(rom)、可编程只读存储器(prom)、可擦除可编程只读存储器(eprom)、随机存取存储器(ram)、磁ram、磁芯存储器、软盘、软磁盘、硬盘、磁带、cd-rom、快闪存储器装置、存储卡和/或用于存储信息的其它机器可读媒介。术语“机器可读媒介”包含(但不限于)便携式或固定存储装置、光学存储媒介、磁性媒介、存储器芯片或内存匣、无线信道以及能够存储、包含或携载指令和/或数据的各种其它媒介。机器可读媒介可以通过虚拟化来实现，且可以是虚拟机器可读媒介，包含在基于云的实例中的虚拟机器可读媒介。

如本文中所使用的术语计算机可读媒介、主存储器或辅助存储器是指参与将指令提供到处理单元以用于执行的任何媒介。计算机可读媒介仅是机器可读媒介的一个实例，所述机器可读媒介可以携载指令以用于实施本文中所描述的方法和/或技术中的任一个。此类媒介可以采用许多形式，包含但不限于非易失性媒介、易失性媒介和传输媒介。非易失性媒介包含(例如)光盘或磁盘。易失性媒介包含动态存储器。传输媒介包含同轴电缆、铜线以及光纤。传输媒介还可以采用声波或光波的形式，例如在无线电波和红外线数据通信期间产生的声波或光波。

易失性存储器可以用于在通过处理单元执行指令期间存储临时变量或其它中间信息。非易失性存储装置或静态存储装置可以用于存储用于处理器的静态信息和指令，以及各种系统配置参数。

存储媒介可以包含多个软件模块，所述软件模块可以实施为通过处理单元使用任何合适的计算机指令类型来执行的软件代码。软件代码可以作为一系列指令或命令、或作为程序存储在存储媒介中。

各种形式的计算机可读媒介可以涉及将一个或多个指令的一个或多个序列载送到处理器以便执行。举例来说，指令可以首先携载在远程计算机的磁盘上。替代地，远程计算机可以将所述指令加载到其动态存储器中，且将指令发送到运行一个或多个指令的一个或多个序列的系统。

处理单元可以是微处理器、微控制器、数字信号处理器(dsp)、那些装置的任何组合、或经配置以处理信息的任何其它电路。

处理单元执行程序指令或代码段以用于实施本发明的实施例。此外，实施例可以由硬件、软件、固件、中间件、微码、硬件描述语言或其任意组合来实施。当以软件、固件、中间件或微码实施时，用于执行必要任务的程序指令可以存储于计算机可读存储媒介中。处理单元可以通过虚拟化来实现，且可以是虚拟处理单元，包含在基于云的实例中的虚拟处理单元。

本发明的实施例涉及使用计算机系统来实施本文所描述的技术。在实施例中，本发明的处理单元可以驻留在计算机平台等机器上。根据本发明的一个实施例，本文中所描述的技术由计算机系统执行，以响应于处理单元执行易失性存储器中所包含的一个或多个指令的一个或多个序列。此类指令可以从另一计算机可读媒介读取到易失性存储器中。对易失性存储器中所包含的指令的序列的执行使得处理单元执行本文中所描述的过程步骤。在替代实施例中，硬接线电路可以用于取代或结合软件指令以实施本发明。因此，本发明的实施例不限于硬件电路以及软件的任何具体组合。

程序指令等代码段可以表示步骤、函数、子程序、程序、例程、子例程、模块、软件包、类或者指令、数据结构或程序语句的任何组合。代码段可以通过传递和/或接收信息、数据、自变量、参数或存储器内容而耦合到另一代码段或硬件电路。信息、自变量、参数、数据等可经由包含存储器共享、消息传递、令牌传递、网络传输等任何合适的手段传递、转发或传输。

替代地，硬接线电路可以用于取代或结合软件指令以实施符合本发明的原理的过程。因此，符合本发明的原理的实施方案不限于硬件电路和软件的任何特定组合。

可以由节点提供的网络接口是以太网接口、帧中继接口、光纤接口、电缆接口、dsl接口、令牌环接口、串行总线接口、通用串行总线(usb)接口、火线接口、外围组件互连(pci)接口等。

网络接口可以通过独立的电子组件实施或者可以与其它电子组件整合。取决于配置，网络接口可以不具有网络连接或具有至少一个网络连接。网络接口可以是以太网接口、帧中继接口、光纤接口、电缆接口、数字订户线(dsl)接口、令牌环接口、串行总线接口、通用串行总线(usb)接口、火线接口、外围组件互连(pci)接口、蜂窝网络接口等。

网络接口可以连接到有线或无线接入网络。接入网络可以携载一个或多个网络协议数据。有线接入网络可以使用以太网、光纤、电缆、dsl、帧中继、令牌环、串行总线、usb、火线、pci或可以传递信息的任何材料来实施。无线接入连接可以使用红外、高速包接入(hspa)、hspa+、长期演进(lte)、wimax、通用包无线电服务(gprs)、全球移动通信系统(gsm)、gsm演进增强数据速率(edge)、码分多址(cdma)、wifi、cdma2000、宽带cdma(wcdma)、时分cdma(td-scdma)、蓝牙、wibro、演进数据优化(ev-do)；数字增强型无绳通信(dect)；数字amps(is-136/tdma)；集成数字增强型(iden)或任何其它无线技术来实施。例如，网络接口可以用作局域网(lan)接口或广域网(wan)接口。

实施例或其各部分可以计算机数据信号来实施，所述计算机数据信号可以采用用于经由传输媒介进行通信的任何合适形式，使得所述计算机数据信号是可读的以用于通过功能装置(例如，处理单元)来执行从而实施本文中所描述的操作。计算机数据信号可以包含能够经由传输媒介传播的任何二进制数字电子信号，所述传输媒介例如电子网络信道、光纤、空气、电磁媒介、射频(rf)链路等，且因此数据信号可以采用电信号、光信号、射频或其它无线通信信号等形式。在某些实施例中，代码段可以经由计算机网络来下载，所述计算机网络例如因特网、内联网、局域网(lan)、城域网(man)、广域网(wan)、pstn、卫星通信系统、电缆传输系统和/或其类似者。

图1示出了根据本发明的各种实施例的网络环境。节点101和102通过其广域网(wan)接口中的一个或多个连接到互连网络131。终端122通过节点102的局域网(lan)接口连接到节点102。终端121连接到互连网络131。主机103连接到互连网络131并且可以通过互连网络131连接到管理服务器111。管理服务器111还连接到互连网络131。用户可以使用终端(例如，终端121和122)接入管理服务器111。用户可以使用终端121直接通过互连网络131接入管理服务器111。类似地，用户可以使用终端122通过节点102和互连网络131接入管理服务器111。

主机103可以是服务器、web服务器、数据库服务器、膝上型计算机、台式计算机、移动电话、智能电话、传感器或可以在本地或远程地管理的其它电子装置。

节点101和102可以是网络装置，例如路由器或网关。替代地，节点101和102也可以是主机。

本发明适用于主机和节点两者。为方便阅读，在本文中所描述的实施例中仅提及节点。

终端(例如，终端121和122)包括显示器，例如阴极射线管(crt)、等离子显示器或液晶显示器(lcd)，以用于向管理员或终端用户显示信息。终端还包括输入装置，以允许管理员或终端用户向处理单元传达信息和命令。终端可以是网络节点、网络主机、服务器、台式机、膝上型计算机、移动装置或能够执行终端的功能的任何电子装置。终端可以位于节点或管理服务器的相同网络中或可以位于远程网络中。

管理服务器(例如，管理服务器111)用以远程地管理主机或节点。管理服务器111可以是路由器、网络节点、服务器、台式机、膝上型计算机、移动装置或可以存储与节点相关的信息且通过其可以管理节点的任何电子装置。管理服务器111可以位于节点或终端的相同网络中或可以位于远程网络中。

图6a是根据本发明的一个实施例中的管理服务器(例如，管理服务器111)的示意性框图。管理服务器111包括处理单元600、主存储器601、系统总线602、辅助存储装置603以及网络接口604。处理单元600和主存储器601彼此直接连接。系统总线602将处理单元600直接或间接连接到辅助存储装置603和网络接口604。使用系统总线602允许管理服务器111具有较高的模块性。系统总线602将处理单元600耦合到辅助存储装置603和网络接口604。系统总线602可以是包含存储器总线、外围总线以及使用各种总线架构中的任一个的本地总线的若干类型总线结构中的任一个。辅助存储装置603存储用于通过处理单元600执行的程序指令。本发明的范围不限于管理服务器111仅具有一个网络接口，因此管理服务器111可以具有一个或多个网络接口。

图6b是根据本发明的一个实施例中的节点(例如，节点101和节点102)的示意性框图。节点包括处理单元610、主存储器611、系统总线612、辅助存储装置613以及网络接口614。处理单元610和主存储器611彼此直接连接。系统总线612将处理单元610直接或间接连接到辅助存储装置613和网络接口614。使用系统总线612允许节点具有较高的模块性。系统总线612将处理单元610耦合到辅助存储装置613和网络接口614。系统总线612可以是包含存储器总线、外围总线以及使用各种总线架构中的任一个的本地总线的若干类型总线结构中的任一个。辅助存储装置613存储用于通过处理单元610执行的程序指令。本发明的范围不限于节点仅具有一个网络接口，因此节点可以具有一个或多个网络接口。

图2a是说明根据本发明的一个实施例中的过程的流程图。可以通过处理单元600在管理服务器111处执行图2a的过程。在步骤201中管理服务器111从属于第二用户组的一个或多个用户接收管理节点(例如，节点101或节点102)的管理请求。出于说明的目的，进行图2a的过程的情境可以是第一用户组已被允许通过管理服务器111管理节点102。例如，管理请求是用于管理节点102。管理服务器111向节点102发送确认请求，以便通知节点102已从第二用户组接收到管理请求。在步骤202中，管理服务器111确定是否已经从节点102接收到允许第二用户组通过管理服务器111管理节点102的管理确认。若管理服务器111接收到来自节点102的管理确认，则在步骤203中管理服务器111允许第二用户组管理节点102。或者，若管理服务器111未接收到来自节点102的管理确认，则在步骤204中其不允许第二用户组通过管理服务器111管理节点102。

当允许第二用户组通过管理服务器111管理节点102时，管理服务器111可以更新其关于被允许通过管理服务器111管理节点102的用户或用户组的记录。更新记录使得：在执行步骤203之后，若从第二用户组接收到另外的管理请求，则管理服务器111查找所述记录以确定允许第二用户组通过管理服务器111管理节点102。当接收到另外的管理请求时，管理服务器111不需要等待来自节点102的管理确认，即可允许第二用户组管理节点102。

在一个变化例中，当在步骤204中不允许第二用户组通过管理服务器111管理节点102时，管理服务器111可以更新其关于不被允许通过管理服务器111管理节点102的用户或用户组的记录。更新记录使得：在执行步骤204之后，若从第二用户组接收到另外的管理请求，则管理服务器111查找所述记录以确定不允许第二用户组管理节点102。管理服务器111不需要通知节点102从第二用户组接收到另外的管理请求。

替代地，当在步骤204中不允许第二用户组通过管理服务器111管理节点102，并且在执行步骤204之后从第二用户组接收到另外的管理请求时，管理服务器111以另外的管理请求再次执行图2a的过程。

在一个变化例中，管理服务器111确定在步骤201中接收到管理请求之后的预定义时间周期内是否已经接收到管理确认。若在预定义时间周期内已经接收到管理确认，则在步骤203中允许第二用户组通过管理服务器111管理节点。若在预定义时间周期内尚未接收到管理确认，则在步骤204中不允许第二用户组通过管理服务器111管理节点。在一个变化例中，若在预定义时间周期内未接收到管理确认，则管理服务器111向节点102再次发送确认请求并等待来自节点102的管理确认。

可以通过节点102的管理员或管理服务器111配置预定义时间周期。所属领域的技术人员将知晓，可以出于安全性目的设置预定义时间周期，使得节点102具有有限时间来发送管理确认。

节点的管理员是具有配置节点并监控节点活动的权限的人员。管理员可以使用用户名和密码以用于登录节点的管理员用户界面(aui)并且配置节点和/或监控节点的活动。例如，aui可以通过节点的lan接口或节点的wan接口接入。aui也可以通过经由例如串行端口、控制台或usb端口等物理媒介或例如nfc、蓝牙、红外线等媒介将终端的接口耦合到节点而接入。在一个实例中，管理员也可以是通过管理服务器111管理节点的用户。在一个变化例中，可以在终端(例如，终端121或122)处显示aui。例如，节点102的aui可以通过节点102的lan接口接入并且在终端122处显示。在另一实例中，节点101的aui可以通过节点101的wan接口接入并且在终端121处显示。

用户是经授权接入管理服务器111的人员。用户可以通过在终端(例如，终端121或122)处登录管理服务器111来接入管理服务器111。例如，用户可以具有登录用户名和密码以用于登录对应于管理服务器111的管理用户界面(msui)。即使在用户经授权接入管理服务器111时，用户也可能被允许、也可能不被允许通过管理服务器111管理特定节点。

第一用户组可以包括一个或多个第一用户。出于说明的目的且为容易理解，第一用户组包括已被允许通过管理服务器111管理节点的至少一个第一用户。第二用户组可以包括一个或多个第二用户。在第一用户组已被允许通过管理服务器111管理节点时，属于第二用户组的第二用户可以向管理服务器111发送管理节点的管理请求。

此外，一个或多个用户可以属于用户组。一个或多个用户可以使用组信息(例如，第一组id和密码)登录到管理服务器111。替代地，一个或多个用户可以使用对特定组的所有用户共用的一组代码登录到管理服务器111。除组信息之外，用户还可能需要输入其个人信息，例如用户名。

在一个实例中，用户可以通过在对应于管理服务器111的msui处输入节点102的序列号向管理服务器111发送管理节点102的管理请求。用户可以在终端(例如，终端121)处接入msui。替代地，用户还可以通过输入随机数、qr码或对应于节点102的任何其它标识符发送管理节点102的管理请求。

当用户登录到管理服务器111时，用户可以看到允许该用户通过管理服务器111进行管理的节点的详情。用户可以在msui处通过管理服务器111管理节点。msui可以是网页、lcd显示器、音频用户界面、视频用户界面、动作感测用户界面、或可由用户使用以通过管理服务器111管理节点的任何其它用户界面。

图2b是说明根据本发明的一个实施例中的过程的流程图。

在一个实施例中，如图2b中所说明，在步骤211中第一用户组已被允许通过管理服务器111管理节点。因此，属于第一用户组的一个或多个第一用户可以通过管理服务器111管理节点。在第一用户组已被允许管理节点时，在步骤201中从第二用户组接收通过管理服务器111管理节点的管理请求。若在步骤202中接收到来自节点的管理确认，则在步骤203中管理服务器111允许第二用户组管理节点。因此，第二用户组变得被允许管理节点，在步骤212中第一用户组不再被允许通过管理服务器111管理节点。或者，若未接收到来自节点的管理确认，则在步骤204中不允许第二用户组管理节点，在步骤213中第一用户组仍被允许通过管理服务器111管理节点。

根据本发明的一个实施例，管理确认可以通过节点加密。

管理员使用aui配置节点并监控节点的活动。aui可以是网页、lcd显示器、音频用户界面、视频用户界面、动作感测用户界面、或可由管理员使用以监控和配置节点的任何其它用户界面。

图5a示出了根据本发明的一个实施例中的节点(例如，节点102)的aui。aui500显示对应于节点102的信息，例如，wan接口、lan接口和wi-fiap的状态，以及型号、固件、正常运行时间和吞吐量。

图3a是说明根据本发明的一个实施例中的过程的流程图。

当第二用户组向管理服务器111发送管理节点102的管理请求时，管理服务器111向节点102发送确认请求以便从节点102接收管理确认从而允许第二用户组管理节点102。在步骤311中管理员已经登录到节点102的aui之后，在步骤312中节点102在由管理员使用的终端处的节点102的aui上显示确认等待消息。在步骤313中，节点102确定是否接收到来自管理员的确认消息。若接收到来自管理员的确认消息，则在步骤314中节点102向管理服务器111发送管理确认。或者，若未接收到来自管理员的确认消息，则节点102不向管理服务器111发送管理确认，并且因此，管理服务器111不允许第二用户组管理节点102。例如，管理员可以拒绝或忽略管理请求，并且因此第二用户组不被允许管理节点102。

根据一个实施例，结合图5b所示，当第二用户组请求通过管理服务器111管理节点102时，在步骤312处在aui500中显示确认等待消息501。管理员可以通过aui500向节点102发送确认消息。出于说明的目的，确认等待消息501可以是具有“确认”按钮502的弹出消息。管理员接着可以点击“确认”按钮502以用于向节点102发送允许第二用户组通过管理服务器111管理节点102的确认消息。否则的话，管理员可以点击“拒绝”按钮503，使得不向节点102发送确认消息，并且在步骤320中不允许第二用户组管理所述节点。

在一个变化例中，如图5c中所图示，除“拒绝”按钮503之外，确认等待消息包括“忽略”按钮504。当管理员点击“忽略”按钮504时，在aui500处不再显示确认等待消息501。后续管理员可以查看确认等待消息501并决定是否确认允许第二用户组管理节点102。替代地，若管理员点击“拒绝”按钮503，则第二用户组管理节点102的管理请求被拒绝，并且管理服务器111不允许第二用户组通过管理服务器111管理节点102。后续管理员将不能够查看确认等待消息501，因为管理请求已经被拒绝。替代地，若管理员点击“确认”按钮502，则第二用户组被允许通过管理服务器111管理节点102。后续管理员将不能够查看确认等待消息501，因为管理请求已经被确认。

替代地，取决于终端连接到节点102的方式，管理员可以通过web接口、应用编程接口(api)、命令行接口、控制台、蓝牙或usb向节点102发送确认消息。当管理员向节点102发送确认消息时，在步骤313中节点102接收到来自管理员的确认消息。

例如，节点102的管理员使用终端122登录到节点102的aui。终端122通过以太网电缆连接到节点102的lan接口。终端122可以使用节点102的lan接口ip地址接入节点102的aui。

在另一实例中，可以使用节点102的wan接口ip地址接入节点102的aui。管理员可以使用终端121或终端122以用于通过节点102的wan接口接入aui。

在另一实例中，终端122通过usb端口、蓝牙、串行端口、红外线、控制台等直接接入节点102。直接接入增加了对接入或连接到节点102的安全性要求，因为终端122必须以物理方式放置为极为接近节点102。通过控制可极为接近节点102的终端，节点102的所有者或管理员具有另外的安全性要求。管理员可以使用连接到节点102的终端122接入aui。

根据本发明的一个实施例，管理员可能需要执行另外的认证步骤以便登录到节点102的aui。例如，管理员首先需要通过节点102的lan接口接入aui，输入用户名和密码。接着管理员可能需要通过输入由认证装置产生的安全码以执行另外的认证步骤。认证装置可以是当购买节点时与节点一起提供的装置，并且用以提高节点的安全性，使得仅经授权的人员可以接入节点的aui。每当其接收到对于安全码的请求时，认证装置可以产生安全码，例如对应于节点的随机数。

根据本发明的一个实施例，可以通过认证、授权及计费(aaa)服务器执行认证，节点使用远程认证拨入用户服务(radius)系统与所述服务器连接。

根据本发明的一个实施例中的一个，被允许通过管理服务器111管理节点102的用户可以在msui处通过管理服务器111查看节点102的aui500。当通过管理服务器111查看aui500时，在aui500处不显示确认等待消息501。例如，当第一用户组已经被允许通过管理服务器111管理节点102时，第一用户组可以通过管理服务器111查看aui500，而管理员还可以在终端处通过节点102查看aui500。当第二用户组请求管理节点102时，管理员可以在aui500处查看确认等待消息501，但是第一用户组无法在aui500处查看到确认等待消息501，因为第一用户组是通过管理服务器111查看aui500。确认等待消息501不显示给第一用户组，因为，只有当aui500是通过节点102直接接入aui500时，才可以确认或拒绝管理请求。所属领域的技术人员将了解，先前已被允许通过管理服务器111管理节点102的用户或用户组不应具有对是否应允许新用户或用户组管理节点102进行决策的权限。

图3b是说明根据本发明的一个实施例中的过程的流程图。为了更好地理解实施例，结合图3a来查看图3b。

在步骤311中，在管理员登录到节点102的aui500之后，在步骤321中节点102通过确定管理员是否符合认证策略来校验管理员的身份。若管理员符合认证策略，则在步骤312中在aui500处显示确认等待消息501并且请求确认。接着管理员能够向节点102发送确认消息。替代地，若管理员不符合认证策略，则管理员能够看到第二用户组已经发送管理请求，但是管理员无法向节点102发送允许第二用户组通过管理服务器111管理节点102的确认消息。因此在步骤320中第二用户组不被允许通过管理服务器111管理节点。

在一个变化例中，若管理员不符合认证策略，则不在节点102的aui处显示确认等待消息。因此管理员不能够向节点102发送确认消息，并且在步骤320中第二用户组不被允许管理节点。

认证策略可以选自由以下组成的群组：输入安全码、输入qr码、通过电缆或导线耦合到节点、通过安全隧道连接到节点、通过lan接口连接到节点、以及具有数字证书。

图4a是说明根据本发明的一个实施例中的过程的流程图。

在步骤401处，在节点(例如，节点102)处接收用户身份信息。例如，用户身份信息可以是用户的身份标识。当在步骤401中在节点102处接收到用户的身份标识时，在步骤402中节点102向管理服务器111发送用户的身份标识。在步骤403中管理服务器111根据用户的身份标识更新对应于节点102的用户的记录。更新后的记录由管理服务器111使用以识别应允许谁通过管理服务器111管理节点102。因此，当用户向管理节点102发送具有由节点102发送的用户的身份标识的管理请求时，在步骤404中用户被允许通过管理服务器111管理节点102。

图4a的过程可确保在允许请求管理节点102的人员通过管理服务器111管理节点102之前将所述人员认证为用户。可以在节点102的aui处输入用户的身份标识和认证信息。

在一个变化例中，也可以在节点102的aui处修改用户的身份标识和认证信息。当修改用户的身份标识时，在步骤401中，在节点102处接收所述修改。接着进行图4a的过程，使得管理服务器111根据所述修改更新其对应于用户的记录。

用户的身份标识可以是对应于用户的用户名。替代地，用户的身份标识可以是应被允许通过管理服务器111管理节点102的用户的ip地址。替代地，用户的身份标识可以是应被允许通过管理服务器111管理节点102的用户的媒介接入控制(mac)地址。在一个变化例中，当用户的身份标识是ip地址或mac地址时，用户可以不需要输入认证信息。

在一个变化例中，认证并允许由至少一个用户构成的用户组管理节点102。在步骤401处，可以使用接收到的用户的身份标识和认证信息来认证用户组。至少一个用户可以使用相同的用户的身份标识和认证信息以用于被允许通过管理服务器111管理节点102。替代地，在步骤401中，管理员可以输入用户组身份信息、对应于至少一个用户的至少一个用户身份标识、以及对应于至少一个用户中的每一个的认证信息。在步骤402中，由管理员输入的信息被发送到管理服务器111，并且在步骤403中管理服务器111根据所述信息更新其记录以识别应允许谁通过管理服务器111管理节点102。当至少一个用户发送的请求包括用户组身份标识、其对应的至少一个用户身份标识以及其对应的认证信息时，在步骤404中所述至少一个用户被允许通过管理服务器111管理节点102。

在本发明的一个实施例中，在aui处通过管理员输入用户的身份标识，其是可以被允许管理节点102的用户的身份标识。还在aui处通过管理员输入用户的认证信息。管理服务器111必须具有用户的身份标识和认证信息，使得其可以基于用户的身份标识和认证信息决定人员是否应被允许管理节点102。这确保仅认证为用户的人员被允许通过管理服务器111管理节点102。

例如，通过节点102发送到管理服务器111的认证信息可以包含散列密码。当用户提供密码时，管理服务器111将节点102发送的散列密码与从msui接收到的散列密码进行比较。认证信息还可包含数字证书，使得用户必须使用数字证书以便通过管理服务器111认证为用户。

图4b是说明根据本发明的一个实施例中的过程的流程图。

在步骤410中，由节点(例如，节点102)产生代码并且将所述代码提供给用户。接着在步骤411中节点102将所述代码发送到管理服务器111，因为管理服务器111需要代码以便认证请求通过管理服务器111管理节点102的人员。在步骤412中，用户使用用户名和密码登录到管理服务器111。用户可以属于用户组。接着在步骤413中用户通过msui为管理服务器111提供代码。管理服务器111需将在步骤413中通过用户提供的代码与在步骤411中通过节点102发送的代码进行比较。若代码相同，则用户经过认证，并且在步骤403中管理服务器111更新对应于所述用户的节点102的记录。因此，管理服务器111更新关于谁被允许通过管理服务器111管理节点102的记录。接着在步骤404中管理员可以通过管理服务器111管理节点102。这确保仅所述用户被允许通过管理服务器111管理节点102。

在一个变化例中，在步骤410中为用户组提供代码。所述用户组由至少一个用户构成。因此，若在步骤413中提供了代码并且所述代码与在步骤411中从节点102发送到管理服务器111的代码匹配，则至少一个用户中的每一个经过认证。接着在步骤404中用户组被允许通过管理服务器111管理节点102。若节点102为用户提供代码，则所述代码可以是仅为用户知晓的保密码。

在步骤410中，可以通过例如电子邮件、即时消息(im)、短消息服务(sms)消息、在aui处的弹出消息等各种方式向用户提供代码。在一个变化例中，代码可以由管理服务器111散列并存储。在步骤410中节点102向管理服务器111发送散列代码。当用户提供代码时，所述代码首先被散列，接着被发送到管理服务器111。管理服务器111接着将散列代码进行比较以便确定是否应认证用户并允许用户管理节点102。

根据本发明的一个实施例，当用户被允许管理节点时，用户能够在msui处管理或监控节点的活动。例如，用户可以在msui处监控节点的地理位置、连接到节点的客户端的清单、与节点所建立的虚拟专用网络(vpn)连接的清单、节点的统计报告以及使用信息。用户还可以在msui处改变节点的配置。例如，可以由用户通过管理服务器111用固件配置节点。

连接到节点的客户端的清单可以包含连接到局域网(lan)接口的主机。若节点充当wi-fi接入点(ap)，则客户端的清单包含连接到wi-fi网络的主机。用户还可以配置与节点相关联的wi-fi网络的服务集标识符(ssid)。

vpn连接的清单可以包含与其已经建立一个或多个vpn连接的远程节点的信息。也可以包含关于vpn连接的信息，例如认证信息、隧道信息等。当与远程节点建立了超过一个vpn连接时，可以组合或绑定超过一个vpn连接以形成集中的vpn连接。另外，用户还可以通过管理服务器111配置节点以与远程节点建立一个或多个vpn连接。在配置节点以建立一个或多个vpn连接时，用户可以输入认证信息、远程节点的ip地址以及建立vpn连接所需的任何其它信息。

节点的统计报告可以包含性能报告。性能报告可以是实时的、每小时、每日或每月性能报告。性能报告可以包含例如带宽、弃包或丢包率、噪音、时延、往返时间(rtt)、包抖动、系统性能等信息。节点的统计报告可进一步包含客户端信息，例如客户端连接到节点的时间周期、客户端的制造商、每个客户端所使用的带宽、客户端连接到节点的频率等。

所属领域的技术人员将了解，参考节点102已描述的以上实施例也可以适用于节点101或主机103。可以执行上文所描述的过程以通过管理服务器111管理节点101或主机103。

所述实施例经选择和描述以便最佳地解释本发明的原理和其实际应用，由此允许所属领域的其它技术人员以适于所预期的特定用途的各种修改最佳地利用本发明和各种实施例。

附图说明

图1示出了根据本发明的各种实施例的网络环境。

图2a是说明根据本发明的一个实施例中的过程的流程图。

图2b是说明根据本发明的一个实施例中的过程的流程图。

图3a是说明根据本发明的一个实施例中的过程的流程图。

图3b是说明根据本发明的一个实施例中的过程的流程图。

图4a是说明根据本发明的一个实施例中的过程的流程图。

图4b是说明根据本发明的一个实施例中的过程的流程图。

图5a示出了根据本发明的一个实施例中的节点的管理员用户界面。

图5b示出了根据本发明的一个实施例中的节点的管理员用户界面。

图5c示出了根据本发明的一个实施例中的节点的管理员用户界面。

图6a是根据本发明的一个实施例中的管理服务器的示意性框图。图6b是根据本发明的一个实施例中的节点的示意性框图。