專利名稱:生物統(tǒng)計學(xué)驗證的vlan的制作方法
相關(guān)申請的交叉參考此申請要求2001年3月8日申請的臨時申請No.60/274,113的權(quán)益,其內(nèi)容在此被結(jié)合參考。此申請還包含與美國專利No.6,070,243中公開的主題以及2001年4月18日申請的美國申請No.09/838,076(律師摘要號41625/JEC/XZ)中公開的主題相關(guān)的主題,這二者的內(nèi)容在此都被結(jié)合參考。
在最近的技術(shù)中,發(fā)送業(yè)務(wù)的用戶的身份在分配過程中被考慮。在此最近的技術(shù)之下,終端系統(tǒng)的用戶在他或她的驗證之后被給出對VLAN的人格化組的訪問。通常,終端站的用戶啟動與交換節(jié)點的一次驗證會話,該終端站通過發(fā)射用戶的姓名和口令來物理地連接到交換節(jié)點上。該終端站可以包括個人計算機、工作站等等。交換節(jié)點可以包括交換機、路由器等等。
該節(jié)點在一個或多個驗證服務(wù)器中搜索用戶的姓名和口令直到找到一個匹配為止,然后該用戶被允許訪問一個或多個經(jīng)授權(quán)的VLAN。如果沒有找到匹配或者如果用戶在登錄嘗試期間沒有被授權(quán),則該用戶被告知驗證失敗并且除另外的驗證嘗試外被拒絕訪問。
所描述的驗證方案的一個問題是它只是驗證或者核實一個被要求的身份,但是卻沒有想基于用戶的特性來識別一個用戶。因此,能訪問一個有效用戶名和口令的任何人都可以獲得對一個或多個VLAN的訪問,即使該用戶不是他或她所聲稱的那個人。雖然可以采取預(yù)防來對一個人的口令保密,但是用戶可能不注意地透露它或者選擇一個可能容易被其他人推測到的口令。
因此,在當(dāng)前技術(shù)中需要一種VLAN的用戶驗證方案,根據(jù)可能與個人確實相關(guān)的特性來識別一個用戶。該用戶驗證方案將利用現(xiàn)有的交換節(jié)點來工作而不需要修改或者重建這些節(jié)點。
根據(jù)另外一個實施例,本發(fā)明是針對一種通信網(wǎng)的用戶驗證系統(tǒng),該通信網(wǎng)包括一個個人可訪問的主機,用于訪問一個或多個VLAN;從該個人中接收生物統(tǒng)計學(xué)抽樣的一個生物統(tǒng)計學(xué)系統(tǒng)以及一個交換節(jié)點。該生物統(tǒng)計學(xué)系統(tǒng)基于生物統(tǒng)計學(xué)抽樣來核實該個人身份并且如果該個人的身分被核實則釋放用戶識別信息。交換節(jié)點接收由生物統(tǒng)計學(xué)系統(tǒng)產(chǎn)生的用戶識別信息并根據(jù)用戶識別信息允許主機訪問一個或多個VLAN。
在另外一個實施例中,本發(fā)明是針對一種通信網(wǎng)的用戶驗證系統(tǒng),其包括一個輸入,用于接收來自個人的生物統(tǒng)計學(xué)抽樣;一個耦合到該輸入的第一引擎,用于根據(jù)生物統(tǒng)計學(xué)抽樣來核實該個人的身份;和耦合到第一引擎的第二引擎,如果該個體的身份被第一引擎核實則用于釋放用戶識別信息。該用戶識別信息被用于確定該個體被驗證的一個或多個虛擬局域網(wǎng)。
在另一實施例中,本發(fā)明是針對一種用于通信系統(tǒng)的用戶驗證方法。該方法包括如下步驟;接收來自能訪問第一節(jié)點的個體中的生物統(tǒng)計學(xué)抽樣;把該生物統(tǒng)計學(xué)抽樣與儲存的生物統(tǒng)計學(xué)數(shù)據(jù)進行比較;響應(yīng)該生物統(tǒng)計學(xué)抽樣與儲存的生物統(tǒng)計學(xué)數(shù)據(jù)的匹配,釋放用戶識別信息;把產(chǎn)生的用戶識別信息與儲存的用戶數(shù)據(jù)進行比較;響應(yīng)用戶識別信息與儲存的用戶數(shù)據(jù)的匹配,檢索被授權(quán)的虛擬局域網(wǎng)(VLAN)的一個列表;和允許第一節(jié)點訪問被授權(quán)的VLAN。
在另一實施例中,本發(fā)明是針對一種用于通信系統(tǒng)的用戶驗證方法。該方法包括如下步驟接收來自能訪問第一節(jié)點的個體中的生物統(tǒng)計學(xué)抽樣;基于該生物統(tǒng)計學(xué)抽樣核實該個體的身份;和如果該個體的身份被驗證,則允許第一節(jié)點訪問為該個體所選擇的一個或多個虛擬局域網(wǎng)(VLAN)。
因此,應(yīng)該理解,本發(fā)明幫助確保了訪問網(wǎng)絡(luò)資源的用戶直的是具有所要求的身份的那些人。通過把用戶識別信息存儲在只是在用戶的身份核實之后才釋放信息的節(jié)點中,防止了未經(jīng)授權(quán)的信息使用。
生物統(tǒng)計學(xué)系統(tǒng)10最好包括用于接收來自個體中的生物統(tǒng)計學(xué)抽樣并根據(jù)該抽樣核實他或她身份的電路和/或邏輯。該生物統(tǒng)計學(xué)抽樣最好是用被用于核實他或她身份的該個體的生理或動作的特性。這些生物統(tǒng)計學(xué)抽樣可以包括指紋、聲音模型、虹膜和/或視網(wǎng)膜的模型、手部幾何形狀、簽名核實、鍵擊分析和/或?qū)υ搨€體來說不能改變的以及無法被實際傳送的其它特性。
主機12最好是一個終端設(shè)備,例如,諸如個人計算機、工作站、服務(wù)器等等,其與生物統(tǒng)計學(xué)系統(tǒng)10和交換節(jié)點14接口。換交節(jié)點14最好是一個網(wǎng)關(guān)設(shè)備,例如,諸如用于把由主機始發(fā)的分組通信轉(zhuǎn)發(fā)到被授權(quán)的VLAN16、18、20的集線器、橋接器或者路由器。網(wǎng)絡(luò)服務(wù)器22是一個RADIUS、LDAP(簡便目錄存取協(xié)議)和/或COPS(公共開放策略服務(wù))服務(wù)器,用于向一個或多個VLAN16、18、20驗證主機12的用戶。在本發(fā)明的另一實施例中,通信網(wǎng)可以包括多個網(wǎng)絡(luò)服務(wù)器,其每一個都與特定的VLAN16、18、20相關(guān),正如U.S.申請No09,838,076中更進一步詳細(xì)描述的一樣。
主機12、交換節(jié)點14、網(wǎng)絡(luò)服務(wù)器22和VLAN16、18、20可以經(jīng)電纜或其它傳輸介質(zhì)相互連接,并且可以支持不同的數(shù)據(jù)通信協(xié)議,比如以太網(wǎng)、因特網(wǎng)協(xié)議和/或異步傳輸模式(ATM)。
一般來說,期望訪問一個特定網(wǎng)絡(luò)資源(比如一個特定的VLAN)的用戶,把他或她的生物統(tǒng)計學(xué)抽樣提供給生物統(tǒng)計學(xué)系統(tǒng)10。根據(jù)本發(fā)明的一個實施例,生物統(tǒng)計學(xué)系統(tǒng)10發(fā)射所接收的生物統(tǒng)計學(xué)抽樣給主機12,用于核實該用戶的身份。在本發(fā)明的另一實施例中,該核實過程由生物統(tǒng)計學(xué)設(shè)備本身來實現(xiàn)。在本發(fā)明的另外一個實施例中,該核實過程發(fā)生在經(jīng)一個缺省VLAN連接的分開的服務(wù)器(未示出)中。
如果該用戶的身份被核實,則生物統(tǒng)計學(xué)系統(tǒng)10釋放訪問該網(wǎng)絡(luò)所需要的用戶的識別信息,例如,諸如用戶名、口令、PIN、標(biāo)記(token)等。該用戶識另信息最好被發(fā)射給主機12,其接著使用該信息與交換節(jié)點14進行一個驗證協(xié)議交換,用于驗證用戶進入到一個或多個VLAN16、18、20中。
圖2是根據(jù)本發(fā)明的生物統(tǒng)計學(xué)系統(tǒng)10的方框圖。當(dāng)然,應(yīng)該理解,圖2說明了生物統(tǒng)計學(xué)系統(tǒng)10的方框圖而沒有用創(chuàng)建該系統(tǒng)可能需要的附加元件和/或組件來使本發(fā)明的發(fā)明方面變得模糊。在圖2中未示出的這些附加的元件和/或組件是本領(lǐng)域技術(shù)人員公知的。
生物統(tǒng)計學(xué)系統(tǒng)10最好包括一個輸入30,一個匹配引擎34,一個識別信息發(fā)生器38,一個生物統(tǒng)計學(xué)數(shù)據(jù)庫36,一個識別信息數(shù)據(jù)庫40,和一個輸出46。輸入30可以是一個掃描儀、攝像機、電話、麥克風(fēng)、鍵盤、鍵區(qū)或者用于接收來自用戶的一個生物統(tǒng)計學(xué)抽樣的另外一個設(shè)備。
匹配引擎34和識別信息發(fā)生器38是軟件、硬件和/或固件,諸如專用集成電路(ASIC)模塊,用于分別地核實用戶的身份以及如果用戶被核實時則釋放用戶識別信息。匹配引擎34接收由輸入30提供的生物統(tǒng)計學(xué)抽樣并且為輸入的生物統(tǒng)計學(xué)抽樣的匹配搜索生物統(tǒng)計學(xué)數(shù)據(jù)庫36。
生物統(tǒng)計學(xué)數(shù)據(jù)庫36最好包括生物統(tǒng)計學(xué)系統(tǒng)10登記的每個用戶的生物統(tǒng)計學(xué)模板。優(yōu)選地,該生物統(tǒng)計學(xué)模板是用戶的生物統(tǒng)計學(xué)數(shù)據(jù)的一個數(shù)學(xué)表示。在另一實施例中,該生物統(tǒng)計學(xué)數(shù)據(jù)庫36可以被替換為便攜式標(biāo)記,例如聰慧卡,允許用戶在任何時候都保持他們生物統(tǒng)計學(xué)數(shù)據(jù)的所有權(quán)。
匹配引擎34把一個輸入的生物統(tǒng)計學(xué)抽樣與生物統(tǒng)計學(xué)數(shù)據(jù)庫36中的生物統(tǒng)計學(xué)模板進行比較并且向識別信息發(fā)生器產(chǎn)生一個結(jié)果42來表示用戶的身份是否已經(jīng)被核實。該結(jié)果的全部或者部分最好進一步被采取監(jiān)視器、LCD顯示器或者其它顯示設(shè)備的形式的輸出46來顯示。在本發(fā)明的一個實施例中,該結(jié)果的全部或者部分被發(fā)射給主機12用于在那上面顯示。
如果用戶的身份被核實,則識別信息發(fā)生器檢索識別信息數(shù)據(jù)庫40中的用戶識別信息。識別信息數(shù)據(jù)庫40最好提供該系統(tǒng)已登記用戶的用戶識別信息的中央存儲。識別信息數(shù)據(jù)庫40最好把例如諸如用戶名、口令、PIN、標(biāo)記和/或類似的用戶識別信息與生物統(tǒng)計學(xué)數(shù)據(jù)庫36中的每個生物統(tǒng)計學(xué)模板相關(guān)聯(lián)。在生物統(tǒng)計學(xué)模板與輸入的生物統(tǒng)計學(xué)抽樣匹配之后,適當(dāng)?shù)挠脩糇R別信息被檢索出。檢索出的用戶識別信息作為輸出數(shù)據(jù)44被發(fā)射到主機12。
本領(lǐng)域技術(shù)人員應(yīng)該認(rèn)識到,雖然輸入30、匹配引擎34、生物統(tǒng)計學(xué)數(shù)據(jù)庫36、識別信息發(fā)生器38、識別信息數(shù)據(jù)庫40和輸出46被說明存在于單個生物統(tǒng)計學(xué)系統(tǒng)10中,這些組件的任何一個或任何組合可以操作在通風(fēng)網(wǎng)中的一個或多個其他設(shè)備中。例如,匹配引擎34和/或識別信息發(fā)生器38可以存在于主機12中或者存在于耦合到缺省VLAN上的獨立的后臺服務(wù)器中。
圖3是根據(jù)本發(fā)明實施例的主機12的示意方框圖。主機12最好包括一個用戶接口50、一個生物統(tǒng)計學(xué)客戶模塊(client)54以及一個驗證客戶模塊52。用戶接口50最好包括一個輸入和輸出,例如諸如鍵盤、鍵區(qū)、顯示屏、鼠標(biāo)、游戲桿、跟蹤球等。
生物統(tǒng)計學(xué)客戶模塊54最好是用于與生物統(tǒng)計學(xué)系統(tǒng)10通信的一個軟件模塊應(yīng)用程序。優(yōu)選地,生物統(tǒng)計學(xué)客戶模塊54在主機12被用戶啟動之后自動地被調(diào)用。生物統(tǒng)計學(xué)客戶模塊檢測生物統(tǒng)計學(xué)系統(tǒng)10并且使該系統(tǒng)進行用戶身份的核實?;蛘撸锝y(tǒng)計學(xué)客戶模塊只有在用戶的直接動作之后被調(diào)用。
如果用戶的身份被核實,則驗證客戶模塊52最好是用于進行與交換節(jié)點14的驗證處理的一個軟件模塊應(yīng)用程序(application)。該軟件模塊可以采取安裝在主機12上的一種軟件應(yīng)用程序的形式,但是也可采取諸如Telnet、XCAP(Xylan客戶模塊驗證協(xié)議xylan Client Authentcation Protocol)或者一個基于web應(yīng)用程序之類的一個標(biāo)準(zhǔn)軟件應(yīng)用程序的形式。驗證客戶模塊52最好被配置有一個交換節(jié)點14的地址。該地址可以是一個IP地址或者一個保留的媒體訪問控制層(MAC)地址。
圖4是根據(jù)本發(fā)明實施例的交換節(jié)點14的示意方框圖。該交換節(jié)點14最好包括通過交換鏈路66互連的一個管理處理器模塊60、干線模塊62以及驗證模塊64。最好使用例如諸如ASIC之類的固件來實現(xiàn)干線模塊和驗證模塊62、64。管理處理器模塊60最好是實現(xiàn)為在交換節(jié)點14的處理器上運行的一個軟件模塊。
管理處理器模塊60最好包括一個驗證代理60a,用于接收來自主機12中的用戶識別信息并且向一個特定的VLLAN驗證該用戶。干線模塊62最好通過一個骨干網(wǎng)來接收并轉(zhuǎn)發(fā)分組。驗證模塊64最好包括相互連接主機12和交換鏈路66的一個LAN接口。驗證模塊64最好還包括用于解釋、修改、過濾以及轉(zhuǎn)發(fā)分組的邏輯。驗證模塊64還可以操作來執(zhí)行必要的LAN媒體翻譯以使交換節(jié)點14可以支持使用不同LAN媒體來工作的主機。
圖5是根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)服務(wù)器22的示意方框圖。網(wǎng)絡(luò)服務(wù)器22最好包括一個用戶接口70、一個軟件實現(xiàn)的驗證服務(wù)器72和用戶記錄74。用戶接口70最好包括一個輸入和輸出,例如諸如鍵盤、鍵區(qū)、顯示屏、鼠標(biāo)、游戲桿、跟蹤球等。
用戶記錄74最好包括特定用戶的條目(entry),特定的用戶條目包括用戶識別信息和被授權(quán)的網(wǎng)絡(luò)資源的列表。特定的用戶條目還可以包括時間限制和/或?qū)υ撎囟ㄓ脩舻钠渌拗啤?br>
驗證服務(wù)器72與驗證代理60a進行通信以驗證用戶。驗證服務(wù)器最好還配置有交換節(jié)點14的一個地址和節(jié)點上的驗證代理60a的一個驗證密鑰。該地址最好是一個IP地址。
雖然驗證服務(wù)器72和用戶記錄74被顯示在網(wǎng)絡(luò)服務(wù)器22上,但是驗證服務(wù)器72和/或用戶記錄74可以工作在可被網(wǎng)絡(luò)服務(wù)器訪問的網(wǎng)絡(luò)中的另外一個設(shè)備上。此外,雖然網(wǎng)絡(luò)服務(wù)器22被說明為包括單個驗證服務(wù)器72,但是根據(jù)本發(fā)明操作的一個網(wǎng)絡(luò)可以包括一個或多個驗證服務(wù)器。
圖6是根據(jù)本發(fā)明的一個實施例在交換節(jié)點14上配置的一個驗證代理100的功能圖。驗證代理100最好是類似于由管理處理器模塊60實現(xiàn)的驗證代理60a的一個軟件模塊。驗證代理100最好還配置有交換節(jié)點14的一個地址和驗證服務(wù)器72的一個地址。該配置地址最好是一個IP地址。驗證代理還可以配置服務(wù)器的一個驗證密鑰。
驗證代理100最好包括一個連接建立模塊110,用于建立與驗證服務(wù)器72的一個可靠連接。關(guān)于這點,連接建立模塊110使用服務(wù)器的已知地址來請求與驗證服務(wù)器72的連接,并且確認(rèn)來自服務(wù)器中的對此類請求的響應(yīng)。連接建立模塊110也發(fā)射足以使驗證代理100和服務(wù)器72能夠彼此驗證的信息到驗證服務(wù)器72中和從驗證服務(wù)器72中接收該信息。優(yōu)選地,通過在驗證代理100和服務(wù)器72上配置的驗證密鑰的交換來實現(xiàn)相互的驗證。
該連接建立模塊110可以加密在可靠的連接建立過程期間發(fā)射的信息和解碼加密的信息??紤]了在驗證代理100和服務(wù)器72之間基于TCP/IP的流量。如果多個驗證服務(wù)器存在,驗證代理100最好配置有每個驗證服務(wù)器的地址和驗證密鑰。如果建立與特定服務(wù)器的一個可靠連接的嘗試失敗,則驗證代理100可以使用另外一個驗證服務(wù)器的已知地址來實現(xiàn)前述的過程直到一個可靠的連接被建立為止。
該驗證代理100最好還包括一個標(biāo)識(ID)請求模塊120。ID請求模塊120用于從工作在主機12中的驗證客機52中獲得識別信息。ID請求模塊120還用于確認(rèn)從驗證客戶模塊52中收到的一個請求以便建立一個驗證會話。考慮了使用例如諸如Telnet或者XCAP的軟件應(yīng)用程序的基于IP的流或者在驗證代理100和客戶模塊52之間基于MAC的流優(yōu)選地,該流由驗證客戶模塊52使用在客戶模塊上配置的驗證代理100的保留MAC地址或IP地址來啟動。
該驗證代理100最好也包括一個ID中繼模塊130,用于把一個請求轉(zhuǎn)接到驗證服務(wù)器72以便驗證用戶識別信息。ID中繼模塊130最好關(guān)聯(lián)交換節(jié)點14的已知地址、與被用戶為驗證所使用的主機12相關(guān)的驗證模塊64的標(biāo)識符以及登錄識別信息。ID中繼模塊130最好發(fā)射相關(guān)的識別信息到驗證服務(wù)器72用于驗證。
除了上面之外,驗證代理100還包括一個核實中繼模塊140,用于基于該識別信息轉(zhuǎn)發(fā)從驗證服務(wù)器72中收到的用戶狀態(tài)信息。用戶狀態(tài)信息最好包括一個登錄有效或登錄無效的消息,這取決于驗證服務(wù)器72是否能夠成功地驗證該識別信息。該核實中繼模塊140最好把這個用戶狀態(tài)信息發(fā)射到主機12用于顯示在用戶接口50上??紤]了在驗證代理100和客戶模塊52之間使用例如諸如Telnet或XCAP之類軟件應(yīng)用的基于IP的流或者基于MAC的流。
驗證代理100最好還包括一個會話終止模塊150,如果一個用戶已經(jīng)被驗證失敗時用于終止一個驗證會話。會話終止模塊150最好在登錄失敗之后向驗證客戶模塊52發(fā)射一個驗證會話終止消息。會話終止模塊150還終止與驗證客戶模塊52的驗證會話。
驗證代理100還包括一個資源中繼模塊160,用于為主機12的驗證用戶轉(zhuǎn)發(fā)從驗證服務(wù)器72中收到的被授權(quán)的連接信息用于存儲并使用在交換節(jié)點14上。被授權(quán)的連接信息可以在同一數(shù)據(jù)分組中作為用戶連接信息由驗證服務(wù)器72發(fā)射到驗證代理100。被授權(quán)的連接信息最好包括用戶被授權(quán)的網(wǎng)絡(luò)資源的一個列表。被授權(quán)的網(wǎng)絡(luò)資源的列表最好是一個或多個VLAN標(biāo)識符的一個列表。
被授權(quán)的連接信息也可以包括時間限制,該時間限制最好定義了其間用戶被授權(quán)使用被授權(quán)網(wǎng)絡(luò)資源的時間,比如一周中的那天、一天中的時間和允許訪問的時間長短。本領(lǐng)域中傳統(tǒng)的其它限制也可以施加于該被授權(quán)的用戶。被授權(quán)的連接信息最好和相應(yīng)的驗證模塊64標(biāo)識符一起通過驗證代理100轉(zhuǎn)發(fā)給管理處理器模塊60。管理處理器模塊60最好把被授權(quán)的連接信息與被被驗證用戶使用的主機12的已知地址相關(guān)聯(lián),并且把這一對存儲在設(shè)備記錄中。該地址最好是一個MAC地址。
設(shè)備記錄最好在交換節(jié)點14上被使用以便對從用戶中接收和到用戶的分組進行過濾和轉(zhuǎn)發(fā)決定。如果主機12未被驗證,除非發(fā)給驗證代理100,由主機發(fā)射的分組最好被接收驗證模塊64丟掉。如果主機12被驗證,則由驗證主機發(fā)射給另外一個驗證主機的分細(xì)按照下列規(guī)則被選擇性地轉(zhuǎn)發(fā)1.如果目標(biāo)地址是與交換節(jié)點14相關(guān)的另一主機地址,則對節(jié)點上的設(shè)備記錄采取措施以便核實源和目標(biāo)主機共享一個公共VLAN。如果VLAN被共享,則分組被轉(zhuǎn)送給目標(biāo)主機。如果VLAN沒有被共享,則分組被丟掉。
2.如果目標(biāo)地址不是與交換節(jié)點14相關(guān)的另一主機地址,則對節(jié)點上的設(shè)備記錄采取措施以檢索與源主機相關(guān)的VLAN標(biāo)識符。該VLAN標(biāo)識符最好被附加到分組上并且該分組被干線模塊62發(fā)射。當(dāng)分組到達(dá)與目標(biāo)主機相關(guān)的交換節(jié)點上時,對節(jié)點上的設(shè)備記錄采取措施以便核實源和目標(biāo)主機共享一個公共VLAN。如果VLAN被共享,則分組被轉(zhuǎn)送給目標(biāo)主機。如果VLAN沒有被共享,則分組被丟掉。
發(fā)給網(wǎng)絡(luò)中未被檢證主機的分組繼續(xù)被丟掉。使用本領(lǐng)域已知的各種協(xié)議可以實現(xiàn)前面的規(guī)則。應(yīng)該理解,為了在前述規(guī)則下發(fā)射和接收分組,可以把沒有驗證要求的網(wǎng)絡(luò)中任何可訪問的核心、邊緣或者終端設(shè)備、站和主機作為已驗證的系統(tǒng)來對待。
驗證代理100還包括一個ID終止模塊170,用于把主機12從驗證狀態(tài)恢復(fù)到未驗證狀態(tài)。這最好發(fā)生在收到來自驗證用戶中的退出命令、被授權(quán)的通信能力周期期滿、驗證主機12從網(wǎng)絡(luò)中物理斷開、在一個規(guī)定時間長度內(nèi)驗證主機12發(fā)送業(yè)務(wù)失敗和/或從驗證服務(wù)器72中接收到撤消該建立的網(wǎng)絡(luò)通信能力的一個指令之后。ID終止模塊170最好向管理處理器模塊60轉(zhuǎn)送一個要求以便從設(shè)備記錄中去掉通信能力要被撤消的用戶被授權(quán)地址的通信能力信息條目。一收到這樣的一個請求,則管理處理器模塊60最好從設(shè)備記錄中去掉該被請求條目并且驗證主機12最好恢復(fù)未驗證狀態(tài)。
連接建立、ID請求、ID中繼、核實中繼、會話終止、資源中繼以及ID終止模塊110-170最好是軟件模塊。可是,本領(lǐng)域技術(shù)人員應(yīng)該認(rèn)識到,這些模塊可以被設(shè)計為硬件、固件和/或軟件的組合。本領(lǐng)域技術(shù)人員還應(yīng)該認(rèn)識到,驗證代理100可以包括未公開但是本領(lǐng)域常規(guī)的其它模塊。
圖7是根據(jù)本發(fā)明一個實施例的驗證服務(wù)器72的功能圖。驗證服務(wù)器72包括一個資源授權(quán)模塊210,最好允許一個網(wǎng)絡(luò)管理器輸入通信網(wǎng)授權(quán)用戶的特定用戶條目(entry)。資源認(rèn)可模塊210最好提供一個文本和/或圖形顯示給用戶接口70,其可操作來從接受特定用戶條目。資源認(rèn)可模塊210最好把每個特定用戶條目作為一個相關(guān)對存儲在用戶記錄74中。每個特定用戶條目最好包含一個用戶標(biāo)識符和用戶識別信息,比如,被驗證的用戶密碼,以便訪問VLAN16、18或20。特定用戶條目還可以包括例如諸如授權(quán)用戶的時間限制之類的限制信息。
資源授權(quán)模塊210另外允許網(wǎng)絡(luò)管理器輸入特定設(shè)備條目。對于具有驗證代理的網(wǎng)絡(luò)中的每個交換節(jié)點,特定設(shè)備條目最好包括交換節(jié)點14的地址和在該節(jié)點上有效的驗證代理100的驗證密鑰。該地址最好是唯一分配給該交換節(jié)點的一個IP地址。
驗證服務(wù)器72最好還包括一個連接建立模塊220。一收到來自代理的請求,該連接建立模塊200建立與驗證代理100的一個可靠連接。該連接建立模塊220確認(rèn)收到該請求并繼續(xù)響應(yīng)該請求。連接建立模塊220還發(fā)射和接收足以允許驗證代理100和驗證服務(wù)器72彼此驗證的信息。優(yōu)選地,通過驗證密鑰的交換來建立驗證。連接建立模塊220可以加密消息并解密在可靠的連接建立過程期間發(fā)射的加密信息??紤]了驗證代理100和服務(wù)器22之間基于TCP/IP的流。
驗證服務(wù)器72最好還包括一個ID驗證模塊230。ID驗證模塊230用于進行一個驗證處理,通過驗證代理100從用戶中收到用戶識別信息。一收到來自驗證代理100的用戶識別信息,ID驗證模塊230確定該信息是否與用戶記錄74中與特定用戶條目相關(guān)的信息匹配。如果發(fā)現(xiàn)匹配并且有與特定用戶條目相關(guān)的其它限制,則ID驗證模塊230根據(jù)限制信息確定該用戶是否被授權(quán)訪問一個或多個VLAN。
如果該用戶被授權(quán)(不管限制或者沒有限制),則ID驗證模塊230最好產(chǎn)生被驗證的連接信息。關(guān)于這點,ID驗證模塊230從用戶記錄74中檢索與匹配的用戶識別消息相關(guān)的被授權(quán)網(wǎng)絡(luò)資源的列表。被授權(quán)的連接信息還可以包括任何時間限制。
ID驗證模塊230還產(chǎn)生用戶狀態(tài)信息。用戶狀態(tài)信息最好是登錄有效或者登錄無效的消息。ID驗證模塊230最好把用戶狀態(tài)信息和任何時間限制信息一起發(fā)射給驗證代理100。
如果ID驗證模塊230還沒找到用戶記錄74中用戶識別信息的匹配,或者如果用戶沒有被時間授權(quán),則ID驗證模塊產(chǎn)生并發(fā)射給驗證代理100用戶狀態(tài)信息,該信息最好是登錄無效消息的形式。
驗證服務(wù)器72最好還包括一個存儲模塊240。ID存儲模塊240最好用于轉(zhuǎn)發(fā)用戶跟蹤信息,用于由網(wǎng)絡(luò)管理器存儲并使用。最好對于由預(yù)期用戶做出的所有登錄嘗試(而不論成功或失敗)保持該用戶跟蹤信息。對于每個登錄嘗試,用戶跟蹤信息可以包括從下列一個或多個中獲悉的任何信息用戶識別信息,驗證信息,用戶狀態(tài)信息,限制信息等。
用戶跟蹤信息還可以包括進行登錄嘗試的時間。時間可以保持在驗證服務(wù)器72中并從該服務(wù)器獲取。用戶跟蹤信息還可以包括退出、發(fā)送/接收分組數(shù),主機12的MAC地址等等。驗證服務(wù)器72優(yōu)選地關(guān)聯(lián)用戶跟蹤信息并且把該信息作為一個條目存儲在網(wǎng)絡(luò)激活數(shù)據(jù)庫中(未示出),其可由網(wǎng)絡(luò)服務(wù)器22訪問或者位于網(wǎng)絡(luò)服務(wù)器22上。網(wǎng)絡(luò)激活數(shù)據(jù)庫的條目可由網(wǎng)絡(luò)管理器通過用戶接口70訪問。
除了上面的,驗證服務(wù)器72最好還包括一個網(wǎng)絡(luò)監(jiān)視模塊250。網(wǎng)絡(luò)監(jiān)視模塊250最好用于使網(wǎng)絡(luò)管理器能訪問和使用由ID存儲模塊240產(chǎn)生的用戶跟蹤信息。網(wǎng)絡(luò)監(jiān)視模塊250提供一個文本的和/或圖形顯示給用戶接口70,其可操作來顯示該用戶跟蹤信息。網(wǎng)絡(luò)監(jiān)視模塊250也使網(wǎng)絡(luò)管理器能根據(jù)一個或多個用戶跟蹤信息條目產(chǎn)生由相關(guān)信息組成的用戶跟蹤信息報告。
資源授權(quán)、連接建立、ID驗證、ID存儲以及網(wǎng)絡(luò)監(jiān)視模塊210-250優(yōu)選地是軟件模塊。可是,本領(lǐng)域技術(shù)人員應(yīng)該認(rèn)識到,這些模塊可以被設(shè)計為硬件、固件和/或軟件的組合。本領(lǐng)域技術(shù)人員還應(yīng)該認(rèn)識到,服務(wù)器72可以包括未公開但是本領(lǐng)域常規(guī)的其它模塊。
圖8是根據(jù)本發(fā)明一個實施例的位于主機12中的生物統(tǒng)計學(xué)客戶模塊54的功能圖。生物統(tǒng)計學(xué)客戶模塊54優(yōu)選地包括一個生物統(tǒng)計學(xué)初始化模塊310、驗證顯示模塊320和IC發(fā)射模塊330。這些模塊優(yōu)選地是軟件模塊。可是,本領(lǐng)域技術(shù)人員應(yīng)該認(rèn)識到,這些模塊可以被設(shè)計為硬件、固件和/或軟件的組合。本領(lǐng)域技術(shù)人員還應(yīng)該認(rèn)識到,生物統(tǒng)計學(xué)客戶模塊54可以包括未公開但是本領(lǐng)域常規(guī)的其它模塊。
生物統(tǒng)計學(xué)初始化模塊310最好在主機12啟動之后請求并建立與生物統(tǒng)計學(xué)系統(tǒng)10的一個生物統(tǒng)計學(xué)驗證會話?;蛘?,生物統(tǒng)計學(xué)初始化模塊310可以由用戶的一個直接動作來激活。生物統(tǒng)計學(xué)初始化模塊310最好通過USB向生物統(tǒng)計學(xué)系統(tǒng)10發(fā)射一個建立生物統(tǒng)計學(xué)驗證會話的請求。生物統(tǒng)計學(xué)初始化模塊310最好定期發(fā)射請求直到生物統(tǒng)計學(xué)系統(tǒng)10響應(yīng)并進行用戶身份的驗證。
驗證顯示模塊320優(yōu)選地提供該生物統(tǒng)計學(xué)驗證過程結(jié)果的一個文本和/或圖形顯示給用戶接口50。這樣的結(jié)果可以指示該用戶的身份是否已經(jīng)被核實。該結(jié)果還可能包括指示所提供的生物統(tǒng)計學(xué)抽樣和存儲的生物統(tǒng)計學(xué)模板之間匹配百分比的分值。
如果用戶的身份已經(jīng)被核實,則IC發(fā)射模塊330優(yōu)選地接收來自生物統(tǒng)計學(xué)10中的用戶識別信息。ID發(fā)射模塊330最好發(fā)射識別信息給驗證客戶模塊52,用于把用戶驗證進入一個或多個VLAN16、18、20。
圖9是根據(jù)本發(fā)明一個實施例的位于主機12中的驗證客戶模塊52的功能圖。驗證客戶模塊52優(yōu)選地包括一個ID初始化模塊410、一個驗證顯示模塊420和一個ID斷開模塊430。這些模塊優(yōu)選地是軟件模塊??墒?,本領(lǐng)域技術(shù)人員應(yīng)該承認(rèn),這些模塊可以被設(shè)計為硬件、固件和/或軟件的組合。本領(lǐng)域技術(shù)人員還應(yīng)該承認(rèn),驗證客戶模塊52可以包括未公開但是本領(lǐng)域常規(guī)的其它模塊。
一從生物統(tǒng)計學(xué)客戶模塊54中收到用戶識別信息,IC初始化模塊410就請求并建立與驗證代理100的一個驗證會話。ID初始化模塊410優(yōu)選地向驗證代理發(fā)射一個使用代理的已知地址來建立驗證會話的請求。驗證客戶模塊54優(yōu)選地定期發(fā)射請求直到驗證代理100響應(yīng)為止??紤]了一個基于MAC的流。或者,可以通過例如諸如Telnet或XCAP之類的軟件應(yīng)用程序來使用一個基于IP的流。
驗證顯示模塊430向主機12的用戶傳達(dá)該登錄嘗試是否成功或失敗。驗證顯示模塊430提供一個文本和/或圖形顯示給用戶接口50,其可操作來顯示用戶狀態(tài)信息,最好是從交換節(jié)點14中的驗證代理100中收到的登錄有效消息或登錄無效消息。
ID斷開模塊440啟動退出過程,通過該過程,被驗證的用戶退出該網(wǎng)絡(luò)。ID斷開模塊440優(yōu)選地提供一個文本和/或圖形顯示給用戶接口50,其可操作來接受退出命令。ID斷開模塊440優(yōu)選地發(fā)射退出命令給驗證代理100,用于解除已建立的網(wǎng)絡(luò)通信能力。
圖10根據(jù)本發(fā)明一個實施例的生物統(tǒng)計學(xué)驗證VLAN的處理流程圖。該過程開始,并且在步驟500中,交換節(jié)點14被初始化。在初始化之后,驗證代理100利用服務(wù)器的已知地址為試圖建立與驗證服務(wù)器72的可靠連接。一旦TCP會話被成功建立,則代理100和服務(wù)器72通過交換驗證密鑰來彼此驗證。
在步驟502,用戶啟動主機12,最好使生物統(tǒng)計學(xué)客戶模塊54激活。生物統(tǒng)計學(xué)客戶模塊54檢測耦合到主機12上的生物統(tǒng)計學(xué)10,并且在步驟504中發(fā)射生物統(tǒng)計學(xué)驗證過程的一個請求。關(guān)于這點,用戶或者自動地或者響應(yīng)于主機12或生物統(tǒng)計學(xué)系統(tǒng)10的一個提示來提供一個生物統(tǒng)計學(xué)抽樣給生物統(tǒng)計學(xué)系統(tǒng)。匹配引擎34把生物統(tǒng)計學(xué)抽樣與儲存在生物統(tǒng)計學(xué)數(shù)據(jù)庫36中的模板進行比較,并且輸出一個結(jié)果,該結(jié)果表示該用戶身份是否已經(jīng)被核實。正如在步驟506中所確定的,如果身份已經(jīng)被核實,識別信息發(fā)生器38在步驟510中向生物統(tǒng)計學(xué)客戶模塊54提供與匹配模板相關(guān)的用戶識別信息。
在步驟512,生物統(tǒng)計學(xué)客戶模塊54提供用戶識別信息給驗證客戶模塊52。在步驟514,基于該用戶識別信息調(diào)用一個用戶驗證過程。關(guān)于這點,驗證客戶模塊52發(fā)射一個驗證請求給位于交換節(jié)點14中的驗證代理100。該請求優(yōu)選地包括由生物統(tǒng)計學(xué)客戶模塊54提供的用戶識別信息。驗證請求定期地被發(fā)射給代理100直到該代理響應(yīng)為止。
驗證代理100接收該請求并向驗證服務(wù)器72發(fā)射該用戶識別信息和交換節(jié)點14的地址以及與主機12相關(guān)的驗證模塊64的標(biāo)識符。驗證服務(wù)器72在用戶記錄74中查找具有與該用戶識別信息匹配的信息的特定用戶條目。如果一個匹配條目被找到,則驗證服務(wù)器72檢查時間限制。正如在步驟516中所確定的,如果用戶被時間授權(quán),則驗證服務(wù)器72檢索被驗證網(wǎng)絡(luò)資源的列表和時間限制,并把該信息和用戶狀態(tài)信息一起發(fā)射給驗證客戶模塊52。用戶狀態(tài)信息優(yōu)選地是一個登錄有效消息。
如果沒有匹配條目被找到,或者如果這個用戶沒有被時間授權(quán),則一個用戶狀態(tài)信息(優(yōu)選地是以登錄無效消息的形式)在步驟520被返回給驗證客戶模塊52。
再一次參見步驟506,如果基于所提供的生物統(tǒng)計學(xué)抽樣,用戶的身份沒有被核實,則在步驟508確定是否已經(jīng)進行了最大數(shù)目的驗證嘗試。如果答案為否,則基于新提供的生物統(tǒng)計學(xué)抽樣,生物統(tǒng)計學(xué)客戶模塊52優(yōu)選地再一次調(diào)用生物統(tǒng)計學(xué)驗證過程。
雖然在某些特定的實施例中已經(jīng)描述了本發(fā)明,但是本領(lǐng)域技術(shù)人員將可以毫無困難設(shè)計出不脫離本發(fā)明范圍和精神的各種變化。例如,雖然相對于與特定的生物統(tǒng)計學(xué)核實或者驗證任務(wù)相關(guān)的特定軟件模塊描述了本發(fā)明,但是本領(lǐng)域技術(shù)人員應(yīng)該認(rèn)識到任何這些任務(wù)都可以被組合成為一個特定的模塊或者成為分開的模塊。因此應(yīng)該理解,除了被明確描述的之外,本發(fā)明也可以被實現(xiàn)。因此,本發(fā)明實施例在各方面都應(yīng)該被考慮作為是說明性的而不是限定性的,本發(fā)明的范圍通過附加權(quán)利要求和它們的等同而不是前述說明來表示。
權(quán)利要求
1.一種用于通信網(wǎng)的用戶驗證系統(tǒng),包括一個第一節(jié)點;和耦合到第一節(jié)點的一個第二節(jié)點,其特征在于第二節(jié)點接收來自個體中的一個生物統(tǒng)計學(xué)抽樣,基于生物統(tǒng)計學(xué)抽樣來核實該個體的身份,和在該個體的身份核實之后釋放與該個體相關(guān)的用戶識別信息,該用戶識別信息被發(fā)送到第一節(jié)點用于進行與第三節(jié)點的驗證協(xié)議交換。
2.如權(quán)利要求1所述的用戶驗證系統(tǒng),其特征還在于第三節(jié)點基于該用戶識別信息來允許第一節(jié)點訪問一個或多個虛擬局域網(wǎng)(VLAN)。
3.如權(quán)利要求2所述的用戶驗證系統(tǒng),其特征還在于如果尋求的訪問在定義的訪問時間之外,則第三節(jié)點拒絕第一節(jié)點訪問一個或多個VLAN。
4.如權(quán)利要求1所述的用戶驗證系統(tǒng),其中,生物統(tǒng)計學(xué)抽樣是該個體的一個生理特性。
5.如權(quán)利要求1所述的用戶驗證系統(tǒng),其中,該用戶識別信息包括一個用戶名和口令。
6.一種用于通信網(wǎng)的用戶驗證系統(tǒng),包括一個可被一個個體訪問的主機,用于訪問一個或多個虛擬局域網(wǎng)(VLAN);一個接收來自該個體的生物統(tǒng)計學(xué)抽樣的生物統(tǒng)計學(xué)系統(tǒng),該生物統(tǒng)計學(xué)基于該生物統(tǒng)計學(xué)抽樣來核實該個體的身份并且如果該個體的身份被核實則釋放用戶識別信息;和一個交換節(jié)點,接收由生物統(tǒng)計學(xué)系統(tǒng)產(chǎn)生的用戶識別信息并根據(jù)該用戶識別信息來允許主機訪問一個或多個VLAN。
7.如權(quán)利要求6所述的用戶驗證系統(tǒng),其中,生物統(tǒng)計學(xué)抽樣是該個體的一個生理特性。
8.如權(quán)利要求6所述的用戶驗證系統(tǒng),其中,該用戶識別信息包括一個用戶名和口令。
9.如權(quán)利要求6所述的用戶驗證系統(tǒng),還包括一個耦合到交換節(jié)點的驗證服務(wù)器,該驗證服務(wù)器把用戶識別信息與儲存的用戶數(shù)據(jù)進行比較并且在有一個匹配之后檢索被授權(quán)的VLAN的一個列表。
10.如權(quán)利要求6所述的用戶驗證系統(tǒng),其中,如果尋求的訪問在一個定義的訪問時間之外則該主機被拒絕訪問一個或多個VLAN。
11.一種用于通信網(wǎng)的用戶驗證系統(tǒng),包括一個輸入,用于接收來自個體中的一個生物統(tǒng)計學(xué)抽樣;一個耦合到該輸入的第一引擎,用于基于該生物統(tǒng)計學(xué)抽樣核實該個體的身份;和一個耦合到第一引擎的第二引擎,用于如果該個體的身份被第一引擎核實則釋放用戶識別信息,該用戶識別信息被用于確定該個體被授權(quán)的一個或多個虛擬局域網(wǎng)。
12.如權(quán)利要求11所述的用戶驗證系統(tǒng),其中,第一引擎把生物統(tǒng)計學(xué)抽樣與儲存的生物統(tǒng)計學(xué)數(shù)據(jù)進行比較并且基于該比較返回一個結(jié)果。
13.如權(quán)利要求12所述的用戶驗證系統(tǒng),還包括一個用于顯示該結(jié)果的輸出。
14.如權(quán)利要求11所述的用戶驗證系統(tǒng),其中,生物統(tǒng)計學(xué)抽樣是該個體的一個生理特性。
15.如權(quán)利要求11所述的用戶驗證系統(tǒng),其中,該用戶識別信息包括一個用戶名和口令。
16.一種用于通信系統(tǒng)的用戶驗證方法,該方法包括如下步驟接收來自能訪問第一節(jié)點的個體中的一個生物統(tǒng)計學(xué)抽樣;基于該生物統(tǒng)計學(xué)抽樣核實該個體的身份;如果該個體的身份被核實,則釋放用戶識別信息;和進行一個驗證協(xié)議交換,包括發(fā)射產(chǎn)生的用戶識別信息到第二節(jié)點。
17.如權(quán)利要求16所述的用戶驗證方法,還包括如下步驟基于該用戶識別信息允許第一節(jié)點訪問一個或多個虛擬局域網(wǎng)(VLAN)。
18.如權(quán)利要求17所述的用戶驗證方法,還包括如下步驟如果尋求的訪問在定義的訪問時間之外,則拒絕第一節(jié)點訪問一個或多個VLAN。
19.如權(quán)利要求16所述的用戶驗證方法,其中,生物統(tǒng)計學(xué)抽樣是該個體的一個生理特性。
20.如權(quán)利要求16所述的用戶驗證方法,其中,該用戶識別信息包括一個用戶名和口令。
21.一種用于通信系統(tǒng)的用戶驗證方法,該方法包括如下步驟接收來自能訪問第一節(jié)點的個體中的一個生物統(tǒng)計學(xué)抽樣;把該生物統(tǒng)計學(xué)抽樣與儲存的生物統(tǒng)計學(xué)數(shù)據(jù)進行比較;響應(yīng)該生物統(tǒng)計學(xué)抽樣與儲存的生物統(tǒng)計學(xué)數(shù)據(jù)的匹配,釋放用戶識別信息;把產(chǎn)生的用戶識別信息與儲存的用戶數(shù)據(jù)進行比較;響應(yīng)用戶識別信息與存儲的用戶數(shù)據(jù)的匹配,檢索被授權(quán)的虛擬局域網(wǎng)(VLAN)的一個列表;和允許該第一節(jié)點訪問被驗證的VLAN。
22.如權(quán)利要求20所述的用戶驗證方法,其中,生物統(tǒng)計學(xué)抽樣是該個體的一個生理特性。
23.如權(quán)利要求20所述的用戶驗證方法,其中,該用戶識別信息包括一個用戶名和口令。
24.如權(quán)利要求20所述的用戶驗證方法,還包括如下步驟如果尋求的訪問在定義的訪問時間之外,則拒絕第一節(jié)點訪問一個或多個VLAN。
25.一種用于通信系統(tǒng)的用戶驗證方法,該方法包括如下步驟接收來自能訪問第一節(jié)點的個體中的一個生物統(tǒng)計學(xué)抽樣;基于該生物統(tǒng)計學(xué)抽樣核實該個體的身份;和如果該個體的身份被核實,允許第一節(jié)點訪問一個或多個虛擬局域網(wǎng)(VLAN)。
26.如權(quán)利要求25所述的用戶驗證方法,其中,生物統(tǒng)計學(xué)抽樣是該個體的一個生理特性。
27.如權(quán)利要求25所述的用戶驗證方法,還包括如下步驟如果尋求的訪問在定義的訪問時間之外,則拒絕第一節(jié)點訪問一個或多個VLAN。
全文摘要
一種用于數(shù)據(jù)通信網(wǎng)的用戶驗證系統(tǒng)和方法,其幫助確保一個訪問網(wǎng)絡(luò)資源的用戶真的是具有所要求身份的那個人。該用戶的身份被一種生物統(tǒng)計學(xué)系統(tǒng)通過檢查該用戶的生理或動作的特性來核實。訪問網(wǎng)絡(luò)資源所需要的用戶識別信息被儲存在生物統(tǒng)計學(xué)系統(tǒng)中并且直到該用戶的身份被核實時才被釋放。在該用戶的身份核實之后,該用戶識別數(shù)據(jù)被提供給一個交換節(jié)點用于確定用戶可以訪問的VLAN。
文檔編號H04L9/32GK1400771SQ0212153
公開日2003年3月5日 申請日期2002年3月8日 優(yōu)先權(quán)日2001年3月8日
發(fā)明者桑田政輝, 岡村康一郎, 大麻剛稔 申請人:阿爾卡塔爾公司