用于确定网络的用户特定网络使用的方法和数据处理系统

摘要

本发明提供了一种确定网络的用户特定网络使用的方法，其中用户为了会话正经由交换机的第二层访问端口从客户系统访问所述网络，其中将所述交换机的所述第二层访问端口分配给所述客户系统的所述用户用于该会话，其中当所述第二层访问端口变为有效时，确定表示所述第二层访问端口的分组计数器的量值的第一值，其中当所述第二层访问端口变为无效时，确定表示所述分组计数器的量值的第二值，并且其中存储所述第一值和所述第二值。

说明书

技术领域

本发明一般涉及用于确定网络的用户特定网络使用的方法和数据处理系统，并且特别是用于为计费而确定用户特定网络使用的方法和数据处理系统。

背景技术

通常以集中的方式组织企业或组织的网络，这意味着一个单位对维护和管理企业的或组织的网络负责，而所有其它的单位或部门能够使用网络资源。近年来，信息技术对于贸易方式来说已变得越来越重要。然而网络环境的复杂度却增加了。由于复杂度的增加，维护、升级和管理网络环境的费用也增加了。

通常在企业或组织的所有单位或所有分部之间共同分担管理和维护网络的费用。然而，现今却没有这样的可用商品，即其可以用于搜集网络的所有用户的网络使用，从而使得可以给用户的相应部门或单位依照其用户的网络使用开具帐单。

然而，能够计费是值得期望的，以便维护和管理网络的单位可以充当公司的或组织的内部服务提供者。如果有可能在给定的时间周期内，例如每个月，确定部门的网络使用，则可以将费用准确地分配给相应的费用中心。

因此需要一种改进的方法和一种改进的数据处理系统，用于根据可以向哪些用户或部门收费来确定网络的用户特定网络使用。

发明内容

依照本发明的实施例，提供了一种确定网络的用户特定网络使用的方法，其中用户为了会话正从客户系统经由交换机的第二层访问端口访问所述网络，其中将所述交换机的第二层访问端口分配给所述客户系统的用户用于所述会话，其中当所述第二层访问端口变为有效时，确定表示所述第二层访问端口的分组计数器的量值的第一值，其中当所述第二层访问端口变为无效时，确定表示所述分组计数器的量值的第二值，并且其中存储所述第一值和所述第二值。

当所述第二层访问端口变为有效时，即其指的是当将所述第二层访问端口分配给所述客户系统的用户时的时间点，读取所述分组计数器的量值；并且当所述第二层访问端口变为无效时，即其指的是当所述用户结束其会话时的时间点，再次读取所述分组计数器。

依照本发明的实施例，通过获得所述第二值与所述第一值之间的差，确定所述会话的用户特定网络使用。然后可以将所述会话的用户特定网络使用存储于例如集中式数据库。依照本发明的方法特别有利，因为其允许在会话期间确定用户的网络使用。添加每会话所确定的所述网络使用。然后可以按照所述用户的网络使用，周期性地，例如每个月，对所述用户收费。此外，依照本发明的方法是有利的，因为通过添加所有用户的网络使用，所述网络部门得到关于对所述网络总的使用的信息，从而使得能够在将来对所需要的网络资源进行更为精确的预测。

依照本发明的实施例，将用户特定证书分配给所述用户，其中所述方法进一步包括在所述交换机接收所述用户特定证书的步骤，并且其中在验证所述证书之后，将所述交换机的第二层访问端口分配给所述用户用于所述会话。为了在所述第二层访问端口识别所述用户，将所述用户通过其可被唯一识别的用户特定证书分配给所述用户。在将所述第二层访问端口分配给所述用户之前，检查所述证书的有效性。这具有这样的优点，即可以从所述网络的任何客户计算机使所述用户登录到所述网络，因为他可以通过所述证书被唯一识别。

依照本发明的实施例，在域服务器将所述证书分配给所述用户的帐户，并且然后将所述证书发送至所述交换机。将所述证书进一步转发至访问控制服务器，其中如果所述证书对于所述帐户有效，则所述访问控制服务器经由现用目录请求认证机构，并且其中所述访问控制服务器、所述认证机构，以及所述现用目录包括在所述域服务器中。

依照本发明的实施例，通过使用可扩展验证协议-传输层安全(EAP-TLS)算法，将所述证书从所述域服务器发送至所述交换机，并且其中通过使用依照RADIUS协议的RADIUS分组，将所述证书从所述交换机转发至所述访问控制服务器。在经由www.ietf.org可访问的文档RFC2865和RFC2866中描述了所述RADIUS(Remote AuthenticationDial-In User Service，远程验证拨入用户服务)协议。依照本发明的方法特别有利，因为可以使用标准组件和标准软件组件来实现依照本发明的方法。

依照本发明的实施例，在所述第二层访问端口已变为有效之后，远程监控(RMON)代理向简单网络管理协议(SNMP)管理器发送第一陷阱(trap)，其中响应于所述第一陷阱，所述SNMP管理器请求所述第一值，其中在所述第二层访问端口已变为无效之后，所述远程监控(RMON)代理向所述简单网络管理协议(SNMP)管理器发送第二陷阱，并且其中响应于所述第二陷阱，所述SNMP管理器请求所述第二值。

依照本发明的实施例，将所述用户分配至一组用户，并且其中计算所述用户特定网络使用与所述用户组的所有用户的网络使用的总和。举例来说，所述用户组可以包括属于公司或组织的部门或分部的所有用户。通过计算所述部门的所有用户的所有会话的用户特定网络使用的总和，可以每月向所述部门对其所有用户的网络使用收费。

另一方面，本发明涉及计算机程序产品，其包括用于实现依照本发明的方法的计算机可执行指令。

另一方面，本发明涉及用于确定网络的用户特定网络使用的数据处理系统，其包括用于将交换机的第二层访问端口分配给客户系统的用户用于会话的装置，其中所述用户为了所述会话从所述客户机经由所述交换机的第二层访问端口访问所述网络，以及用于当所述第二层访问端口变为有效时，确定表示所述第二层访问端口的分组计数器的量值的第一值的装置。所述数据处理系统进一步包括用于当所述第二层访问端口变为无效时，确定表示所述分组计数器的量值的第二值的装置，以及用于存储所述第一值和所述第二值的装置。

附图说明

下面将通过仅参照附图的例子，更为详细地描述本发明的优选实施例，其中：

图1示出了客户系统和网络的框图，由此，客户系统经由交换机可连接至网络；

图2示出了说明由依照本发明的方法所执行的基本步骤的流程图；

图3示出了通过其可以确定每个用户的网络使用的网络配置的框图；以及

图4A、图4B示出了说明当实现于如图3所示意性示出的网络配置中时，由依照本发明的方法所执行的基本步骤的一系列操作图。

具体实施方式

可以以硬件、软件，或者硬件和软件的组合实现本发明。任何种类的计算机系统-或者适合于实现文中所描述的方法的其它装置-都是适合的。硬件和软件的典型组合可以是具有这样的计算机程序的通用计算机系统，即当加载和执行该计算机程序时，其控制计算机系统，以便该计算机系统实现文中所描述的方法。本发明还可以体现于计算机程序产品，其包括能够实现文中所描述的方法的所有特征，并且-当加载于计算机系统中时-其能够实现这些方法。

当前上下文中的计算机程序装置或计算机程序意味着这样一组指令以任何语言、代码或符号的任何表示，即该组指令旨在使得具有信息处理能力的系统或是直接地或是在以下其一或二者之后实现特定的功能：a)转换成另一种语言、代码或符号；b)以不同实质的形式再现。

图1示出了经由交换机104可连接至网络106的客户系统102的框图100。客户系统102在下面也被称为客户机。客户系统102是包括微处理器110、屏幕114、网卡116，以及存储设备112的典型的个人计算机。用户登录到客户系统102。用户启动例如网络浏览器，其是由微处理器110执行的并且可见于屏幕114上的计算机程序产品，并且如果建立了通向网络或万维网的连接，则其提供用于浏览万维网的内容或者更特别地浏览该网络的内联网的内容的装置。

通过使用网卡116在物理上建立到网络106的连接。网卡116经由连接128连接至交换机104，其进一步经由连接130连接至网络106。连接128和130可以是有线或无线连接。交换机104包括诸如第二层访问端口108的一个或多个第二层访问端口。

当用户要求访问网络106时，那么将第二层访问端口108唯一地分配给客户系统102的用户用于用户的会话。在将第二层访问端口分配给用户的时间点确定表示第二层访问端口108的分组计数器的量值118的第一值122。在第二层访问端口变为无效的时间点确定对应于第二层访问端口108的分组计数器的量值120的第二值124。当用户例如结束其会话的时候，第二层访问端口108变为无效。将第一值122和第二值124存储在存储设备112上。

通过获得第二值124与第一值122之间的差，确定用户特定网络使用。用户特定网络使用126对应于分组计数器在开始与结束用户的会话时的量值之间的差。

图2示出了说明由依照本发明的方法所执行的基本步骤的流程图。在步骤200，将交换机的第二层访问端口分配给客户系统的用户用于会话。在步骤202，当第二层访问端口变为有效时，确定表示第二层访问端口的分组计数器的量值的第一值。在步骤204，当第二层访问端口变为无效时，确定表示分组计数器的量值的第二值。在步骤206存储第一和第二值。

图3示出了网络配置300的框图，通过该网络配置可确定用户对网络的使用。在该例中，网络是公司或组织的内联网312。网络配置300包括客户系统302、访问交换机304、路由器306、另一访问交换机308，以及Windows2000服务器310。客户系统302经由连接324连接至访问交换机304。访问交换机304通过连接326连接至路由器306。路由器306经由连接332提供对内联网312的访问。路由器306经由连接328进一步连接至访问交换机308，访问交换机308经由连接330连接至Windows2000服务器310。Windows2000服务器310是针对域服务器的例子。依照本发明的其它实现可以采用Linux服务器作为域服务器。

Windows2000服务器310包括下列软件组件：现用目录314、DHCP服务器316、认证机构(CA)318、安全访问控制服务器(ACS)320，以及SNMP管理器322。在依照本发明的另一实现中，可以用LDAP-服务器(轻型目录访问协议-服务器)来替换认证机构318。

访问交换机304和308以及路由器306是商业硬件。举例来说，可以从思科系统公司(Cisco Systems Incorporation)获得它们。访问交换机304和308进一步支持802.1X证书和远程监控(RMON)。对于远程监控，交换机304和308各自包括RMON代理340、342。

为了访问内联网312，工作于客户系统302的用户必须在访问交换机304的第二层访问端口336以证书334验证自己。之前已经由认证机构318将证书334制定给Windows 2000服务器310的现用目录314处的用户帐户。

通过使用可扩展验证协议(EAP)-传输层安全(TLS)方法，将证书334发送至访问交换机304的第二层访问端口336。通过使用RADIUS(远程验证拨入用户服务)协议(RFC 2865、RFC 2866)，将证书334进一步转发至访问控制系统服务器320。

如果用户的证书334有效，则安全访问控制服务器320经由现用目录314请求认证机构318。如果是这种情况，则访问控制服务器320向访问交换机304发送RADIUS分组，由此将第二层访问端口336分配给客户机的用户。RMON代理340认识到第二层访问端口336已经被激活，并且向SNMP管理器322发送陷阱。在所使用的Cisco硬件上的RMON代理340配置的例子是：

RMON event 1 lock trap private description“port 1 changed Vlaninto an user Vlan”owner config

RMON event 2 lock trap private description“port 1 changed Vlanback to Vlan 1”owner config

RMON alarm 1 vmVlan.11 absolute rising-threshold 21falling-threshold 12 owner config

作为响应，SNMP管理器322请求第二层访问端口336的分组计数器的量值。将分组计数器的量值作为第一值存储在例如服务器310上。

在已经将第二层访问端口336分配给客户机302之后，路由器306通过使用DHCP中继代理338向客户机302分配IP地址。客户机302上的用户现在能够经由访问交换机304和路由器306访问内联网312。

如果第二层访问端口变为无效，那么RMON代理340向SNMP管理器发送陷阱，作为响应，该SNMP管理器请求第二层访问端口336的分组计数器的量值。将分组计数器的量值作为第二值存储在例如服务器310上。

从第二值与第一值之间的差确定用户在其会话期间的网络使用。通过计算在月的周期范围内对用户所确定的网络使用的总和，可以每月向用户依照其网络使用收费。

图4A和图4B示出了一系列操作图400，其说明了当实现于图3中所描述的网络配置中时，由依照本发明的方法所执行的基本步骤。在步骤402中，客户机302连接至访问交换机304，其在步骤404中将EAP-TLS请求发送回客户机302。响应于EAP-TLS请求，在步骤406中客户机302将EAP-TLS响应发送至访问交换机304。

在步骤408中，访问交换机304通过使用RADIUS协议将访问请求转发至访问控制服务器(ACS)。访问请求包括用户的用户名和证书，通过该证书可唯一识别用户。在步骤410中，ACS320将用户名和证书发送至现用目录314。在步骤412中，ACS320将用户名和证书转发至认证机构318。认证机构318检查用户名和证书是否有效，并且如果是这种情况，那么在步骤414中其将相应的消息发送至现用目录314。在步骤416中，现用目录314进一步将该消息转发至ACS320。在步骤418中，ACS320将VLAN ID发送至访问交换机304，在步骤420中通过其来激活交换机304的第二层访问端口。

在步骤422中，访问交换机向SNMP管理器322发送RMON/SNMP陷阱信号，在步骤424中，SNMP管理器322通过请求第二层端口的分组计数器的量值来响应。在步骤426中，将比较了端口的分组计数器的量值的SNMP响应发送至SNMP管理器322。在步骤428中，由客户机302将请求发送至通过其请求IP地址的路由器306。在步骤430中，路由器306通过使用DHCP中继代理从DHCP服务器316请求IP数目。在步骤432中，由DHCP服务器316经由路由器306将IP地址分配给在步骤434中接受IP地址的客户机302。客户机的用户现在具有对内联网312的访问。如果在步骤436中第二层端口失效，例如当用户退出系统时，那么在步骤438中将RMON/SNMP陷阱发送至SNMP管理器。在步骤440中，SNMP管理器请求在步骤442中从访问交换机304接收到的分组计数器的量值。在步骤444中，通过如步骤442中由SNMP管理器所确定的分组计数器的量值与如步骤426中由SNMP管理器所确定的分组计数器的量值之间的差，确定和记录网络使用。

参考数字的列表

100框图102客户机104交换机106网络108第二层访问端口110微处理器112存储设备114屏幕116网卡118分组计数器120分组计数器122第一值124第二值126用户特定网络使用128连接130连接300网络配置302客户机304访问交换机306路由器308访问交换机310服务器312内联网314现用目录316DHCP服务器318认证机构

320访问控制服务器322SNMP管理器324连接326连接328连接330连接332连接334证书336第二层访问端口338DHCP中继代理340RMON代理342RMON代理