專利名稱:生物統(tǒng)計(jì)學(xué)驗(yàn)證的vlan的制作方法
相關(guān)申請(qǐng)的交叉參考此申請(qǐng)要求2001年3月8日申請(qǐng)的臨時(shí)申請(qǐng)No.60/274,113的權(quán)益,其內(nèi)容在此被結(jié)合參考。此申請(qǐng)還包含與美國(guó)專利No.6,070,243中公開(kāi)的主題以及2001年4月18日申請(qǐng)的美國(guó)申請(qǐng)No.09/838,076(律師摘要號(hào)41625/JEC/XZ)中公開(kāi)的主題相關(guān)的主題,這二者的內(nèi)容在此都被結(jié)合參考。
在最近的技術(shù)中,發(fā)送業(yè)務(wù)的用戶的身份在分配過(guò)程中被考慮。在此最近的技術(shù)之下,終端系統(tǒng)的用戶在他或她的驗(yàn)證之后被給出對(duì)VLAN的人格化組的訪問(wèn)。通常,終端站的用戶啟動(dòng)與交換節(jié)點(diǎn)的一次驗(yàn)證會(huì)話,該終端站通過(guò)發(fā)射用戶的姓名和口令來(lái)物理地連接到交換節(jié)點(diǎn)上。該終端站可以包括個(gè)人計(jì)算機(jī)、工作站等等。交換節(jié)點(diǎn)可以包括交換機(jī)、路由器等等。
該節(jié)點(diǎn)在一個(gè)或多個(gè)驗(yàn)證服務(wù)器中搜索用戶的姓名和口令直到找到一個(gè)匹配為止,然后該用戶被允許訪問(wèn)一個(gè)或多個(gè)經(jīng)授權(quán)的VLAN。如果沒(méi)有找到匹配或者如果用戶在登錄嘗試期間沒(méi)有被授權(quán),則該用戶被告知驗(yàn)證失敗并且除另外的驗(yàn)證嘗試外被拒絕訪問(wèn)。
所描述的驗(yàn)證方案的一個(gè)問(wèn)題是它只是驗(yàn)證或者核實(shí)一個(gè)被要求的身份,但是卻沒(méi)有想基于用戶的特性來(lái)識(shí)別一個(gè)用戶。因此,能訪問(wèn)一個(gè)有效用戶名和口令的任何人都可以獲得對(duì)一個(gè)或多個(gè)VLAN的訪問(wèn),即使該用戶不是他或她所聲稱的那個(gè)人。雖然可以采取預(yù)防來(lái)對(duì)一個(gè)人的口令保密,但是用戶可能不注意地透露它或者選擇一個(gè)可能容易被其他人推測(cè)到的口令。
因此,在當(dāng)前技術(shù)中需要一種VLAN的用戶驗(yàn)證方案,根據(jù)可能與個(gè)人確實(shí)相關(guān)的特性來(lái)識(shí)別一個(gè)用戶。該用戶驗(yàn)證方案將利用現(xiàn)有的交換節(jié)點(diǎn)來(lái)工作而不需要修改或者重建這些節(jié)點(diǎn)。
根據(jù)另外一個(gè)實(shí)施例,本發(fā)明是針對(duì)一種通信網(wǎng)的用戶驗(yàn)證系統(tǒng),該通信網(wǎng)包括一個(gè)個(gè)人可訪問(wèn)的主機(jī),用于訪問(wèn)一個(gè)或多個(gè)VLAN;從該個(gè)人中接收生物統(tǒng)計(jì)學(xué)抽樣的一個(gè)生物統(tǒng)計(jì)學(xué)系統(tǒng)以及一個(gè)交換節(jié)點(diǎn)。該生物統(tǒng)計(jì)學(xué)系統(tǒng)基于生物統(tǒng)計(jì)學(xué)抽樣來(lái)核實(shí)該個(gè)人身份并且如果該個(gè)人的身分被核實(shí)則釋放用戶識(shí)別信息。交換節(jié)點(diǎn)接收由生物統(tǒng)計(jì)學(xué)系統(tǒng)產(chǎn)生的用戶識(shí)別信息并根據(jù)用戶識(shí)別信息允許主機(jī)訪問(wèn)一個(gè)或多個(gè)VLAN。
在另外一個(gè)實(shí)施例中,本發(fā)明是針對(duì)一種通信網(wǎng)的用戶驗(yàn)證系統(tǒng),其包括一個(gè)輸入,用于接收來(lái)自個(gè)人的生物統(tǒng)計(jì)學(xué)抽樣;一個(gè)耦合到該輸入的第一引擎,用于根據(jù)生物統(tǒng)計(jì)學(xué)抽樣來(lái)核實(shí)該個(gè)人的身份;和耦合到第一引擎的第二引擎,如果該個(gè)體的身份被第一引擎核實(shí)則用于釋放用戶識(shí)別信息。該用戶識(shí)別信息被用于確定該個(gè)體被驗(yàn)證的一個(gè)或多個(gè)虛擬局域網(wǎng)。
在另一實(shí)施例中,本發(fā)明是針對(duì)一種用于通信系統(tǒng)的用戶驗(yàn)證方法。該方法包括如下步驟;接收來(lái)自能訪問(wèn)第一節(jié)點(diǎn)的個(gè)體中的生物統(tǒng)計(jì)學(xué)抽樣;把該生物統(tǒng)計(jì)學(xué)抽樣與儲(chǔ)存的生物統(tǒng)計(jì)學(xué)數(shù)據(jù)進(jìn)行比較;響應(yīng)該生物統(tǒng)計(jì)學(xué)抽樣與儲(chǔ)存的生物統(tǒng)計(jì)學(xué)數(shù)據(jù)的匹配,釋放用戶識(shí)別信息;把產(chǎn)生的用戶識(shí)別信息與儲(chǔ)存的用戶數(shù)據(jù)進(jìn)行比較;響應(yīng)用戶識(shí)別信息與儲(chǔ)存的用戶數(shù)據(jù)的匹配,檢索被授權(quán)的虛擬局域網(wǎng)(VLAN)的一個(gè)列表;和允許第一節(jié)點(diǎn)訪問(wèn)被授權(quán)的VLAN。
在另一實(shí)施例中,本發(fā)明是針對(duì)一種用于通信系統(tǒng)的用戶驗(yàn)證方法。該方法包括如下步驟接收來(lái)自能訪問(wèn)第一節(jié)點(diǎn)的個(gè)體中的生物統(tǒng)計(jì)學(xué)抽樣;基于該生物統(tǒng)計(jì)學(xué)抽樣核實(shí)該個(gè)體的身份;和如果該個(gè)體的身份被驗(yàn)證,則允許第一節(jié)點(diǎn)訪問(wèn)為該個(gè)體所選擇的一個(gè)或多個(gè)虛擬局域網(wǎng)(VLAN)。
因此,應(yīng)該理解,本發(fā)明幫助確保了訪問(wèn)網(wǎng)絡(luò)資源的用戶直的是具有所要求的身份的那些人。通過(guò)把用戶識(shí)別信息存儲(chǔ)在只是在用戶的身份核實(shí)之后才釋放信息的節(jié)點(diǎn)中,防止了未經(jīng)授權(quán)的信息使用。
生物統(tǒng)計(jì)學(xué)系統(tǒng)10最好包括用于接收來(lái)自個(gè)體中的生物統(tǒng)計(jì)學(xué)抽樣并根據(jù)該抽樣核實(shí)他或她身份的電路和/或邏輯。該生物統(tǒng)計(jì)學(xué)抽樣最好是用被用于核實(shí)他或她身份的該個(gè)體的生理或動(dòng)作的特性。這些生物統(tǒng)計(jì)學(xué)抽樣可以包括指紋、聲音模型、虹膜和/或視網(wǎng)膜的模型、手部幾何形狀、簽名核實(shí)、鍵擊分析和/或?qū)υ搨€(gè)體來(lái)說(shuō)不能改變的以及無(wú)法被實(shí)際傳送的其它特性。
主機(jī)12最好是一個(gè)終端設(shè)備,例如,諸如個(gè)人計(jì)算機(jī)、工作站、服務(wù)器等等,其與生物統(tǒng)計(jì)學(xué)系統(tǒng)10和交換節(jié)點(diǎn)14接口。換交節(jié)點(diǎn)14最好是一個(gè)網(wǎng)關(guān)設(shè)備,例如,諸如用于把由主機(jī)始發(fā)的分組通信轉(zhuǎn)發(fā)到被授權(quán)的VLAN16、18、20的集線器、橋接器或者路由器。網(wǎng)絡(luò)服務(wù)器22是一個(gè)RADIUS、LDAP(簡(jiǎn)便目錄存取協(xié)議)和/或COPS(公共開(kāi)放策略服務(wù))服務(wù)器,用于向一個(gè)或多個(gè)VLAN16、18、20驗(yàn)證主機(jī)12的用戶。在本發(fā)明的另一實(shí)施例中,通信網(wǎng)可以包括多個(gè)網(wǎng)絡(luò)服務(wù)器,其每一個(gè)都與特定的VLAN16、18、20相關(guān),正如U.S.申請(qǐng)No09,838,076中更進(jìn)一步詳細(xì)描述的一樣。
主機(jī)12、交換節(jié)點(diǎn)14、網(wǎng)絡(luò)服務(wù)器22和VLAN16、18、20可以經(jīng)電纜或其它傳輸介質(zhì)相互連接,并且可以支持不同的數(shù)據(jù)通信協(xié)議,比如以太網(wǎng)、因特網(wǎng)協(xié)議和/或異步傳輸模式(ATM)。
一般來(lái)說(shuō),期望訪問(wèn)一個(gè)特定網(wǎng)絡(luò)資源(比如一個(gè)特定的VLAN)的用戶,把他或她的生物統(tǒng)計(jì)學(xué)抽樣提供給生物統(tǒng)計(jì)學(xué)系統(tǒng)10。根據(jù)本發(fā)明的一個(gè)實(shí)施例,生物統(tǒng)計(jì)學(xué)系統(tǒng)10發(fā)射所接收的生物統(tǒng)計(jì)學(xué)抽樣給主機(jī)12,用于核實(shí)該用戶的身份。在本發(fā)明的另一實(shí)施例中,該核實(shí)過(guò)程由生物統(tǒng)計(jì)學(xué)設(shè)備本身來(lái)實(shí)現(xiàn)。在本發(fā)明的另外一個(gè)實(shí)施例中,該核實(shí)過(guò)程發(fā)生在經(jīng)一個(gè)缺省VLAN連接的分開(kāi)的服務(wù)器(未示出)中。
如果該用戶的身份被核實(shí),則生物統(tǒng)計(jì)學(xué)系統(tǒng)10釋放訪問(wèn)該網(wǎng)絡(luò)所需要的用戶的識(shí)別信息,例如,諸如用戶名、口令、PIN、標(biāo)記(token)等。該用戶識(shí)另信息最好被發(fā)射給主機(jī)12,其接著使用該信息與交換節(jié)點(diǎn)14進(jìn)行一個(gè)驗(yàn)證協(xié)議交換,用于驗(yàn)證用戶進(jìn)入到一個(gè)或多個(gè)VLAN16、18、20中。
圖2是根據(jù)本發(fā)明的生物統(tǒng)計(jì)學(xué)系統(tǒng)10的方框圖。當(dāng)然,應(yīng)該理解,圖2說(shuō)明了生物統(tǒng)計(jì)學(xué)系統(tǒng)10的方框圖而沒(méi)有用創(chuàng)建該系統(tǒng)可能需要的附加元件和/或組件來(lái)使本發(fā)明的發(fā)明方面變得模糊。在圖2中未示出的這些附加的元件和/或組件是本領(lǐng)域技術(shù)人員公知的。
生物統(tǒng)計(jì)學(xué)系統(tǒng)10最好包括一個(gè)輸入30,一個(gè)匹配引擎34,一個(gè)識(shí)別信息發(fā)生器38,一個(gè)生物統(tǒng)計(jì)學(xué)數(shù)據(jù)庫(kù)36,一個(gè)識(shí)別信息數(shù)據(jù)庫(kù)40,和一個(gè)輸出46。輸入30可以是一個(gè)掃描儀、攝像機(jī)、電話、麥克風(fēng)、鍵盤(pán)、鍵區(qū)或者用于接收來(lái)自用戶的一個(gè)生物統(tǒng)計(jì)學(xué)抽樣的另外一個(gè)設(shè)備。
匹配引擎34和識(shí)別信息發(fā)生器38是軟件、硬件和/或固件,諸如專用集成電路(ASIC)模塊,用于分別地核實(shí)用戶的身份以及如果用戶被核實(shí)時(shí)則釋放用戶識(shí)別信息。匹配引擎34接收由輸入30提供的生物統(tǒng)計(jì)學(xué)抽樣并且為輸入的生物統(tǒng)計(jì)學(xué)抽樣的匹配搜索生物統(tǒng)計(jì)學(xué)數(shù)據(jù)庫(kù)36。
生物統(tǒng)計(jì)學(xué)數(shù)據(jù)庫(kù)36最好包括生物統(tǒng)計(jì)學(xué)系統(tǒng)10登記的每個(gè)用戶的生物統(tǒng)計(jì)學(xué)模板。優(yōu)選地,該生物統(tǒng)計(jì)學(xué)模板是用戶的生物統(tǒng)計(jì)學(xué)數(shù)據(jù)的一個(gè)數(shù)學(xué)表示。在另一實(shí)施例中,該生物統(tǒng)計(jì)學(xué)數(shù)據(jù)庫(kù)36可以被替換為便攜式標(biāo)記,例如聰慧卡,允許用戶在任何時(shí)候都保持他們生物統(tǒng)計(jì)學(xué)數(shù)據(jù)的所有權(quán)。
匹配引擎34把一個(gè)輸入的生物統(tǒng)計(jì)學(xué)抽樣與生物統(tǒng)計(jì)學(xué)數(shù)據(jù)庫(kù)36中的生物統(tǒng)計(jì)學(xué)模板進(jìn)行比較并且向識(shí)別信息發(fā)生器產(chǎn)生一個(gè)結(jié)果42來(lái)表示用戶的身份是否已經(jīng)被核實(shí)。該結(jié)果的全部或者部分最好進(jìn)一步被采取監(jiān)視器、LCD顯示器或者其它顯示設(shè)備的形式的輸出46來(lái)顯示。在本發(fā)明的一個(gè)實(shí)施例中,該結(jié)果的全部或者部分被發(fā)射給主機(jī)12用于在那上面顯示。
如果用戶的身份被核實(shí),則識(shí)別信息發(fā)生器檢索識(shí)別信息數(shù)據(jù)庫(kù)40中的用戶識(shí)別信息。識(shí)別信息數(shù)據(jù)庫(kù)40最好提供該系統(tǒng)已登記用戶的用戶識(shí)別信息的中央存儲(chǔ)。識(shí)別信息數(shù)據(jù)庫(kù)40最好把例如諸如用戶名、口令、PIN、標(biāo)記和/或類似的用戶識(shí)別信息與生物統(tǒng)計(jì)學(xué)數(shù)據(jù)庫(kù)36中的每個(gè)生物統(tǒng)計(jì)學(xué)模板相關(guān)聯(lián)。在生物統(tǒng)計(jì)學(xué)模板與輸入的生物統(tǒng)計(jì)學(xué)抽樣匹配之后,適當(dāng)?shù)挠脩糇R(shí)別信息被檢索出。檢索出的用戶識(shí)別信息作為輸出數(shù)據(jù)44被發(fā)射到主機(jī)12。
本領(lǐng)域技術(shù)人員應(yīng)該認(rèn)識(shí)到,雖然輸入30、匹配引擎34、生物統(tǒng)計(jì)學(xué)數(shù)據(jù)庫(kù)36、識(shí)別信息發(fā)生器38、識(shí)別信息數(shù)據(jù)庫(kù)40和輸出46被說(shuō)明存在于單個(gè)生物統(tǒng)計(jì)學(xué)系統(tǒng)10中,這些組件的任何一個(gè)或任何組合可以操作在通風(fēng)網(wǎng)中的一個(gè)或多個(gè)其他設(shè)備中。例如,匹配引擎34和/或識(shí)別信息發(fā)生器38可以存在于主機(jī)12中或者存在于耦合到缺省VLAN上的獨(dú)立的后臺(tái)服務(wù)器中。
圖3是根據(jù)本發(fā)明實(shí)施例的主機(jī)12的示意方框圖。主機(jī)12最好包括一個(gè)用戶接口50、一個(gè)生物統(tǒng)計(jì)學(xué)客戶模塊(client)54以及一個(gè)驗(yàn)證客戶模塊52。用戶接口50最好包括一個(gè)輸入和輸出,例如諸如鍵盤(pán)、鍵區(qū)、顯示屏、鼠標(biāo)、游戲桿、跟蹤球等。
生物統(tǒng)計(jì)學(xué)客戶模塊54最好是用于與生物統(tǒng)計(jì)學(xué)系統(tǒng)10通信的一個(gè)軟件模塊應(yīng)用程序。優(yōu)選地,生物統(tǒng)計(jì)學(xué)客戶模塊54在主機(jī)12被用戶啟動(dòng)之后自動(dòng)地被調(diào)用。生物統(tǒng)計(jì)學(xué)客戶模塊檢測(cè)生物統(tǒng)計(jì)學(xué)系統(tǒng)10并且使該系統(tǒng)進(jìn)行用戶身份的核實(shí)?;蛘撸锝y(tǒng)計(jì)學(xué)客戶模塊只有在用戶的直接動(dòng)作之后被調(diào)用。
如果用戶的身份被核實(shí),則驗(yàn)證客戶模塊52最好是用于進(jìn)行與交換節(jié)點(diǎn)14的驗(yàn)證處理的一個(gè)軟件模塊應(yīng)用程序(application)。該軟件模塊可以采取安裝在主機(jī)12上的一種軟件應(yīng)用程序的形式,但是也可采取諸如Telnet、XCAP(Xylan客戶模塊驗(yàn)證協(xié)議xylan Client Authentcation Protocol)或者一個(gè)基于web應(yīng)用程序之類的一個(gè)標(biāo)準(zhǔn)軟件應(yīng)用程序的形式。驗(yàn)證客戶模塊52最好被配置有一個(gè)交換節(jié)點(diǎn)14的地址。該地址可以是一個(gè)IP地址或者一個(gè)保留的媒體訪問(wèn)控制層(MAC)地址。
圖4是根據(jù)本發(fā)明實(shí)施例的交換節(jié)點(diǎn)14的示意方框圖。該交換節(jié)點(diǎn)14最好包括通過(guò)交換鏈路66互連的一個(gè)管理處理器模塊60、干線模塊62以及驗(yàn)證模塊64。最好使用例如諸如ASIC之類的固件來(lái)實(shí)現(xiàn)干線模塊和驗(yàn)證模塊62、64。管理處理器模塊60最好是實(shí)現(xiàn)為在交換節(jié)點(diǎn)14的處理器上運(yùn)行的一個(gè)軟件模塊。
管理處理器模塊60最好包括一個(gè)驗(yàn)證代理60a,用于接收來(lái)自主機(jī)12中的用戶識(shí)別信息并且向一個(gè)特定的VLLAN驗(yàn)證該用戶。干線模塊62最好通過(guò)一個(gè)骨干網(wǎng)來(lái)接收并轉(zhuǎn)發(fā)分組。驗(yàn)證模塊64最好包括相互連接主機(jī)12和交換鏈路66的一個(gè)LAN接口。驗(yàn)證模塊64最好還包括用于解釋、修改、過(guò)濾以及轉(zhuǎn)發(fā)分組的邏輯。驗(yàn)證模塊64還可以操作來(lái)執(zhí)行必要的LAN媒體翻譯以使交換節(jié)點(diǎn)14可以支持使用不同LAN媒體來(lái)工作的主機(jī)。
圖5是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)服務(wù)器22的示意方框圖。網(wǎng)絡(luò)服務(wù)器22最好包括一個(gè)用戶接口70、一個(gè)軟件實(shí)現(xiàn)的驗(yàn)證服務(wù)器72和用戶記錄74。用戶接口70最好包括一個(gè)輸入和輸出,例如諸如鍵盤(pán)、鍵區(qū)、顯示屏、鼠標(biāo)、游戲桿、跟蹤球等。
用戶記錄74最好包括特定用戶的條目(entry),特定的用戶條目包括用戶識(shí)別信息和被授權(quán)的網(wǎng)絡(luò)資源的列表。特定的用戶條目還可以包括時(shí)間限制和/或?qū)υ撎囟ㄓ脩舻钠渌拗啤?br>
驗(yàn)證服務(wù)器72與驗(yàn)證代理60a進(jìn)行通信以驗(yàn)證用戶。驗(yàn)證服務(wù)器最好還配置有交換節(jié)點(diǎn)14的一個(gè)地址和節(jié)點(diǎn)上的驗(yàn)證代理60a的一個(gè)驗(yàn)證密鑰。該地址最好是一個(gè)IP地址。
雖然驗(yàn)證服務(wù)器72和用戶記錄74被顯示在網(wǎng)絡(luò)服務(wù)器22上,但是驗(yàn)證服務(wù)器72和/或用戶記錄74可以工作在可被網(wǎng)絡(luò)服務(wù)器訪問(wèn)的網(wǎng)絡(luò)中的另外一個(gè)設(shè)備上。此外,雖然網(wǎng)絡(luò)服務(wù)器22被說(shuō)明為包括單個(gè)驗(yàn)證服務(wù)器72,但是根據(jù)本發(fā)明操作的一個(gè)網(wǎng)絡(luò)可以包括一個(gè)或多個(gè)驗(yàn)證服務(wù)器。
圖6是根據(jù)本發(fā)明的一個(gè)實(shí)施例在交換節(jié)點(diǎn)14上配置的一個(gè)驗(yàn)證代理100的功能圖。驗(yàn)證代理100最好是類似于由管理處理器模塊60實(shí)現(xiàn)的驗(yàn)證代理60a的一個(gè)軟件模塊。驗(yàn)證代理100最好還配置有交換節(jié)點(diǎn)14的一個(gè)地址和驗(yàn)證服務(wù)器72的一個(gè)地址。該配置地址最好是一個(gè)IP地址。驗(yàn)證代理還可以配置服務(wù)器的一個(gè)驗(yàn)證密鑰。
驗(yàn)證代理100最好包括一個(gè)連接建立模塊110,用于建立與驗(yàn)證服務(wù)器72的一個(gè)可靠連接。關(guān)于這點(diǎn),連接建立模塊110使用服務(wù)器的已知地址來(lái)請(qǐng)求與驗(yàn)證服務(wù)器72的連接,并且確認(rèn)來(lái)自服務(wù)器中的對(duì)此類請(qǐng)求的響應(yīng)。連接建立模塊110也發(fā)射足以使驗(yàn)證代理100和服務(wù)器72能夠彼此驗(yàn)證的信息到驗(yàn)證服務(wù)器72中和從驗(yàn)證服務(wù)器72中接收該信息。優(yōu)選地,通過(guò)在驗(yàn)證代理100和服務(wù)器72上配置的驗(yàn)證密鑰的交換來(lái)實(shí)現(xiàn)相互的驗(yàn)證。
該連接建立模塊110可以加密在可靠的連接建立過(guò)程期間發(fā)射的信息和解碼加密的信息??紤]了在驗(yàn)證代理100和服務(wù)器72之間基于TCP/IP的流量。如果多個(gè)驗(yàn)證服務(wù)器存在,驗(yàn)證代理100最好配置有每個(gè)驗(yàn)證服務(wù)器的地址和驗(yàn)證密鑰。如果建立與特定服務(wù)器的一個(gè)可靠連接的嘗試失敗,則驗(yàn)證代理100可以使用另外一個(gè)驗(yàn)證服務(wù)器的已知地址來(lái)實(shí)現(xiàn)前述的過(guò)程直到一個(gè)可靠的連接被建立為止。
該驗(yàn)證代理100最好還包括一個(gè)標(biāo)識(shí)(ID)請(qǐng)求模塊120。ID請(qǐng)求模塊120用于從工作在主機(jī)12中的驗(yàn)證客機(jī)52中獲得識(shí)別信息。ID請(qǐng)求模塊120還用于確認(rèn)從驗(yàn)證客戶模塊52中收到的一個(gè)請(qǐng)求以便建立一個(gè)驗(yàn)證會(huì)話??紤]了使用例如諸如Telnet或者XCAP的軟件應(yīng)用程序的基于IP的流或者在驗(yàn)證代理100和客戶模塊52之間基于MAC的流優(yōu)選地,該流由驗(yàn)證客戶模塊52使用在客戶模塊上配置的驗(yàn)證代理100的保留MAC地址或IP地址來(lái)啟動(dòng)。
該驗(yàn)證代理100最好也包括一個(gè)ID中繼模塊130,用于把一個(gè)請(qǐng)求轉(zhuǎn)接到驗(yàn)證服務(wù)器72以便驗(yàn)證用戶識(shí)別信息。ID中繼模塊130最好關(guān)聯(lián)交換節(jié)點(diǎn)14的已知地址、與被用戶為驗(yàn)證所使用的主機(jī)12相關(guān)的驗(yàn)證模塊64的標(biāo)識(shí)符以及登錄識(shí)別信息。ID中繼模塊130最好發(fā)射相關(guān)的識(shí)別信息到驗(yàn)證服務(wù)器72用于驗(yàn)證。
除了上面之外,驗(yàn)證代理100還包括一個(gè)核實(shí)中繼模塊140,用于基于該識(shí)別信息轉(zhuǎn)發(fā)從驗(yàn)證服務(wù)器72中收到的用戶狀態(tài)信息。用戶狀態(tài)信息最好包括一個(gè)登錄有效或登錄無(wú)效的消息,這取決于驗(yàn)證服務(wù)器72是否能夠成功地驗(yàn)證該識(shí)別信息。該核實(shí)中繼模塊140最好把這個(gè)用戶狀態(tài)信息發(fā)射到主機(jī)12用于顯示在用戶接口50上。考慮了在驗(yàn)證代理100和客戶模塊52之間使用例如諸如Telnet或XCAP之類軟件應(yīng)用的基于IP的流或者基于MAC的流。
驗(yàn)證代理100最好還包括一個(gè)會(huì)話終止模塊150,如果一個(gè)用戶已經(jīng)被驗(yàn)證失敗時(shí)用于終止一個(gè)驗(yàn)證會(huì)話。會(huì)話終止模塊150最好在登錄失敗之后向驗(yàn)證客戶模塊52發(fā)射一個(gè)驗(yàn)證會(huì)話終止消息。會(huì)話終止模塊150還終止與驗(yàn)證客戶模塊52的驗(yàn)證會(huì)話。
驗(yàn)證代理100還包括一個(gè)資源中繼模塊160,用于為主機(jī)12的驗(yàn)證用戶轉(zhuǎn)發(fā)從驗(yàn)證服務(wù)器72中收到的被授權(quán)的連接信息用于存儲(chǔ)并使用在交換節(jié)點(diǎn)14上。被授權(quán)的連接信息可以在同一數(shù)據(jù)分組中作為用戶連接信息由驗(yàn)證服務(wù)器72發(fā)射到驗(yàn)證代理100。被授權(quán)的連接信息最好包括用戶被授權(quán)的網(wǎng)絡(luò)資源的一個(gè)列表。被授權(quán)的網(wǎng)絡(luò)資源的列表最好是一個(gè)或多個(gè)VLAN標(biāo)識(shí)符的一個(gè)列表。
被授權(quán)的連接信息也可以包括時(shí)間限制,該時(shí)間限制最好定義了其間用戶被授權(quán)使用被授權(quán)網(wǎng)絡(luò)資源的時(shí)間,比如一周中的那天、一天中的時(shí)間和允許訪問(wèn)的時(shí)間長(zhǎng)短。本領(lǐng)域中傳統(tǒng)的其它限制也可以施加于該被授權(quán)的用戶。被授權(quán)的連接信息最好和相應(yīng)的驗(yàn)證模塊64標(biāo)識(shí)符一起通過(guò)驗(yàn)證代理100轉(zhuǎn)發(fā)給管理處理器模塊60。管理處理器模塊60最好把被授權(quán)的連接信息與被被驗(yàn)證用戶使用的主機(jī)12的已知地址相關(guān)聯(lián),并且把這一對(duì)存儲(chǔ)在設(shè)備記錄中。該地址最好是一個(gè)MAC地址。
設(shè)備記錄最好在交換節(jié)點(diǎn)14上被使用以便對(duì)從用戶中接收和到用戶的分組進(jìn)行過(guò)濾和轉(zhuǎn)發(fā)決定。如果主機(jī)12未被驗(yàn)證,除非發(fā)給驗(yàn)證代理100,由主機(jī)發(fā)射的分組最好被接收驗(yàn)證模塊64丟掉。如果主機(jī)12被驗(yàn)證,則由驗(yàn)證主機(jī)發(fā)射給另外一個(gè)驗(yàn)證主機(jī)的分細(xì)按照下列規(guī)則被選擇性地轉(zhuǎn)發(fā)1.如果目標(biāo)地址是與交換節(jié)點(diǎn)14相關(guān)的另一主機(jī)地址,則對(duì)節(jié)點(diǎn)上的設(shè)備記錄采取措施以便核實(shí)源和目標(biāo)主機(jī)共享一個(gè)公共VLAN。如果VLAN被共享,則分組被轉(zhuǎn)送給目標(biāo)主機(jī)。如果VLAN沒(méi)有被共享,則分組被丟掉。
2.如果目標(biāo)地址不是與交換節(jié)點(diǎn)14相關(guān)的另一主機(jī)地址,則對(duì)節(jié)點(diǎn)上的設(shè)備記錄采取措施以檢索與源主機(jī)相關(guān)的VLAN標(biāo)識(shí)符。該VLAN標(biāo)識(shí)符最好被附加到分組上并且該分組被干線模塊62發(fā)射。當(dāng)分組到達(dá)與目標(biāo)主機(jī)相關(guān)的交換節(jié)點(diǎn)上時(shí),對(duì)節(jié)點(diǎn)上的設(shè)備記錄采取措施以便核實(shí)源和目標(biāo)主機(jī)共享一個(gè)公共VLAN。如果VLAN被共享,則分組被轉(zhuǎn)送給目標(biāo)主機(jī)。如果VLAN沒(méi)有被共享,則分組被丟掉。
發(fā)給網(wǎng)絡(luò)中未被檢證主機(jī)的分組繼續(xù)被丟掉。使用本領(lǐng)域已知的各種協(xié)議可以實(shí)現(xiàn)前面的規(guī)則。應(yīng)該理解,為了在前述規(guī)則下發(fā)射和接收分組,可以把沒(méi)有驗(yàn)證要求的網(wǎng)絡(luò)中任何可訪問(wèn)的核心、邊緣或者終端設(shè)備、站和主機(jī)作為已驗(yàn)證的系統(tǒng)來(lái)對(duì)待。
驗(yàn)證代理100還包括一個(gè)ID終止模塊170,用于把主機(jī)12從驗(yàn)證狀態(tài)恢復(fù)到未驗(yàn)證狀態(tài)。這最好發(fā)生在收到來(lái)自驗(yàn)證用戶中的退出命令、被授權(quán)的通信能力周期期滿、驗(yàn)證主機(jī)12從網(wǎng)絡(luò)中物理斷開(kāi)、在一個(gè)規(guī)定時(shí)間長(zhǎng)度內(nèi)驗(yàn)證主機(jī)12發(fā)送業(yè)務(wù)失敗和/或從驗(yàn)證服務(wù)器72中接收到撤消該建立的網(wǎng)絡(luò)通信能力的一個(gè)指令之后。ID終止模塊170最好向管理處理器模塊60轉(zhuǎn)送一個(gè)要求以便從設(shè)備記錄中去掉通信能力要被撤消的用戶被授權(quán)地址的通信能力信息條目。一收到這樣的一個(gè)請(qǐng)求,則管理處理器模塊60最好從設(shè)備記錄中去掉該被請(qǐng)求條目并且驗(yàn)證主機(jī)12最好恢復(fù)未驗(yàn)證狀態(tài)。
連接建立、ID請(qǐng)求、ID中繼、核實(shí)中繼、會(huì)話終止、資源中繼以及ID終止模塊110-170最好是軟件模塊??墒?,本領(lǐng)域技術(shù)人員應(yīng)該認(rèn)識(shí)到,這些模塊可以被設(shè)計(jì)為硬件、固件和/或軟件的組合。本領(lǐng)域技術(shù)人員還應(yīng)該認(rèn)識(shí)到,驗(yàn)證代理100可以包括未公開(kāi)但是本領(lǐng)域常規(guī)的其它模塊。
圖7是根據(jù)本發(fā)明一個(gè)實(shí)施例的驗(yàn)證服務(wù)器72的功能圖。驗(yàn)證服務(wù)器72包括一個(gè)資源授權(quán)模塊210,最好允許一個(gè)網(wǎng)絡(luò)管理器輸入通信網(wǎng)授權(quán)用戶的特定用戶條目(entry)。資源認(rèn)可模塊210最好提供一個(gè)文本和/或圖形顯示給用戶接口70,其可操作來(lái)從接受特定用戶條目。資源認(rèn)可模塊210最好把每個(gè)特定用戶條目作為一個(gè)相關(guān)對(duì)存儲(chǔ)在用戶記錄74中。每個(gè)特定用戶條目最好包含一個(gè)用戶標(biāo)識(shí)符和用戶識(shí)別信息,比如,被驗(yàn)證的用戶密碼,以便訪問(wèn)VLAN16、18或20。特定用戶條目還可以包括例如諸如授權(quán)用戶的時(shí)間限制之類的限制信息。
資源授權(quán)模塊210另外允許網(wǎng)絡(luò)管理器輸入特定設(shè)備條目。對(duì)于具有驗(yàn)證代理的網(wǎng)絡(luò)中的每個(gè)交換節(jié)點(diǎn),特定設(shè)備條目最好包括交換節(jié)點(diǎn)14的地址和在該節(jié)點(diǎn)上有效的驗(yàn)證代理100的驗(yàn)證密鑰。該地址最好是唯一分配給該交換節(jié)點(diǎn)的一個(gè)IP地址。
驗(yàn)證服務(wù)器72最好還包括一個(gè)連接建立模塊220。一收到來(lái)自代理的請(qǐng)求,該連接建立模塊200建立與驗(yàn)證代理100的一個(gè)可靠連接。該連接建立模塊220確認(rèn)收到該請(qǐng)求并繼續(xù)響應(yīng)該請(qǐng)求。連接建立模塊220還發(fā)射和接收足以允許驗(yàn)證代理100和驗(yàn)證服務(wù)器72彼此驗(yàn)證的信息。優(yōu)選地,通過(guò)驗(yàn)證密鑰的交換來(lái)建立驗(yàn)證。連接建立模塊220可以加密消息并解密在可靠的連接建立過(guò)程期間發(fā)射的加密信息??紤]了驗(yàn)證代理100和服務(wù)器22之間基于TCP/IP的流。
驗(yàn)證服務(wù)器72最好還包括一個(gè)ID驗(yàn)證模塊230。ID驗(yàn)證模塊230用于進(jìn)行一個(gè)驗(yàn)證處理,通過(guò)驗(yàn)證代理100從用戶中收到用戶識(shí)別信息。一收到來(lái)自驗(yàn)證代理100的用戶識(shí)別信息,ID驗(yàn)證模塊230確定該信息是否與用戶記錄74中與特定用戶條目相關(guān)的信息匹配。如果發(fā)現(xiàn)匹配并且有與特定用戶條目相關(guān)的其它限制,則ID驗(yàn)證模塊230根據(jù)限制信息確定該用戶是否被授權(quán)訪問(wèn)一個(gè)或多個(gè)VLAN。
如果該用戶被授權(quán)(不管限制或者沒(méi)有限制),則ID驗(yàn)證模塊230最好產(chǎn)生被驗(yàn)證的連接信息。關(guān)于這點(diǎn),ID驗(yàn)證模塊230從用戶記錄74中檢索與匹配的用戶識(shí)別消息相關(guān)的被授權(quán)網(wǎng)絡(luò)資源的列表。被授權(quán)的連接信息還可以包括任何時(shí)間限制。
ID驗(yàn)證模塊230還產(chǎn)生用戶狀態(tài)信息。用戶狀態(tài)信息最好是登錄有效或者登錄無(wú)效的消息。ID驗(yàn)證模塊230最好把用戶狀態(tài)信息和任何時(shí)間限制信息一起發(fā)射給驗(yàn)證代理100。
如果ID驗(yàn)證模塊230還沒(méi)找到用戶記錄74中用戶識(shí)別信息的匹配,或者如果用戶沒(méi)有被時(shí)間授權(quán),則ID驗(yàn)證模塊產(chǎn)生并發(fā)射給驗(yàn)證代理100用戶狀態(tài)信息,該信息最好是登錄無(wú)效消息的形式。
驗(yàn)證服務(wù)器72最好還包括一個(gè)存儲(chǔ)模塊240。ID存儲(chǔ)模塊240最好用于轉(zhuǎn)發(fā)用戶跟蹤信息,用于由網(wǎng)絡(luò)管理器存儲(chǔ)并使用。最好對(duì)于由預(yù)期用戶做出的所有登錄嘗試(而不論成功或失敗)保持該用戶跟蹤信息。對(duì)于每個(gè)登錄嘗試,用戶跟蹤信息可以包括從下列一個(gè)或多個(gè)中獲悉的任何信息用戶識(shí)別信息,驗(yàn)證信息,用戶狀態(tài)信息,限制信息等。
用戶跟蹤信息還可以包括進(jìn)行登錄嘗試的時(shí)間。時(shí)間可以保持在驗(yàn)證服務(wù)器72中并從該服務(wù)器獲取。用戶跟蹤信息還可以包括退出、發(fā)送/接收分組數(shù),主機(jī)12的MAC地址等等。驗(yàn)證服務(wù)器72優(yōu)選地關(guān)聯(lián)用戶跟蹤信息并且把該信息作為一個(gè)條目存儲(chǔ)在網(wǎng)絡(luò)激活數(shù)據(jù)庫(kù)中(未示出),其可由網(wǎng)絡(luò)服務(wù)器22訪問(wèn)或者位于網(wǎng)絡(luò)服務(wù)器22上。網(wǎng)絡(luò)激活數(shù)據(jù)庫(kù)的條目可由網(wǎng)絡(luò)管理器通過(guò)用戶接口70訪問(wèn)。
除了上面的,驗(yàn)證服務(wù)器72最好還包括一個(gè)網(wǎng)絡(luò)監(jiān)視模塊250。網(wǎng)絡(luò)監(jiān)視模塊250最好用于使網(wǎng)絡(luò)管理器能訪問(wèn)和使用由ID存儲(chǔ)模塊240產(chǎn)生的用戶跟蹤信息。網(wǎng)絡(luò)監(jiān)視模塊250提供一個(gè)文本的和/或圖形顯示給用戶接口70,其可操作來(lái)顯示該用戶跟蹤信息。網(wǎng)絡(luò)監(jiān)視模塊250也使網(wǎng)絡(luò)管理器能根據(jù)一個(gè)或多個(gè)用戶跟蹤信息條目產(chǎn)生由相關(guān)信息組成的用戶跟蹤信息報(bào)告。
資源授權(quán)、連接建立、ID驗(yàn)證、ID存儲(chǔ)以及網(wǎng)絡(luò)監(jiān)視模塊210-250優(yōu)選地是軟件模塊??墒?,本領(lǐng)域技術(shù)人員應(yīng)該認(rèn)識(shí)到,這些模塊可以被設(shè)計(jì)為硬件、固件和/或軟件的組合。本領(lǐng)域技術(shù)人員還應(yīng)該認(rèn)識(shí)到,服務(wù)器72可以包括未公開(kāi)但是本領(lǐng)域常規(guī)的其它模塊。
圖8是根據(jù)本發(fā)明一個(gè)實(shí)施例的位于主機(jī)12中的生物統(tǒng)計(jì)學(xué)客戶模塊54的功能圖。生物統(tǒng)計(jì)學(xué)客戶模塊54優(yōu)選地包括一個(gè)生物統(tǒng)計(jì)學(xué)初始化模塊310、驗(yàn)證顯示模塊320和IC發(fā)射模塊330。這些模塊優(yōu)選地是軟件模塊。可是,本領(lǐng)域技術(shù)人員應(yīng)該認(rèn)識(shí)到,這些模塊可以被設(shè)計(jì)為硬件、固件和/或軟件的組合。本領(lǐng)域技術(shù)人員還應(yīng)該認(rèn)識(shí)到,生物統(tǒng)計(jì)學(xué)客戶模塊54可以包括未公開(kāi)但是本領(lǐng)域常規(guī)的其它模塊。
生物統(tǒng)計(jì)學(xué)初始化模塊310最好在主機(jī)12啟動(dòng)之后請(qǐng)求并建立與生物統(tǒng)計(jì)學(xué)系統(tǒng)10的一個(gè)生物統(tǒng)計(jì)學(xué)驗(yàn)證會(huì)話?;蛘撸锝y(tǒng)計(jì)學(xué)初始化模塊310可以由用戶的一個(gè)直接動(dòng)作來(lái)激活。生物統(tǒng)計(jì)學(xué)初始化模塊310最好通過(guò)USB向生物統(tǒng)計(jì)學(xué)系統(tǒng)10發(fā)射一個(gè)建立生物統(tǒng)計(jì)學(xué)驗(yàn)證會(huì)話的請(qǐng)求。生物統(tǒng)計(jì)學(xué)初始化模塊310最好定期發(fā)射請(qǐng)求直到生物統(tǒng)計(jì)學(xué)系統(tǒng)10響應(yīng)并進(jìn)行用戶身份的驗(yàn)證。
驗(yàn)證顯示模塊320優(yōu)選地提供該生物統(tǒng)計(jì)學(xué)驗(yàn)證過(guò)程結(jié)果的一個(gè)文本和/或圖形顯示給用戶接口50。這樣的結(jié)果可以指示該用戶的身份是否已經(jīng)被核實(shí)。該結(jié)果還可能包括指示所提供的生物統(tǒng)計(jì)學(xué)抽樣和存儲(chǔ)的生物統(tǒng)計(jì)學(xué)模板之間匹配百分比的分值。
如果用戶的身份已經(jīng)被核實(shí),則IC發(fā)射模塊330優(yōu)選地接收來(lái)自生物統(tǒng)計(jì)學(xué)10中的用戶識(shí)別信息。ID發(fā)射模塊330最好發(fā)射識(shí)別信息給驗(yàn)證客戶模塊52,用于把用戶驗(yàn)證進(jìn)入一個(gè)或多個(gè)VLAN16、18、20。
圖9是根據(jù)本發(fā)明一個(gè)實(shí)施例的位于主機(jī)12中的驗(yàn)證客戶模塊52的功能圖。驗(yàn)證客戶模塊52優(yōu)選地包括一個(gè)ID初始化模塊410、一個(gè)驗(yàn)證顯示模塊420和一個(gè)ID斷開(kāi)模塊430。這些模塊優(yōu)選地是軟件模塊??墒?,本領(lǐng)域技術(shù)人員應(yīng)該承認(rèn),這些模塊可以被設(shè)計(jì)為硬件、固件和/或軟件的組合。本領(lǐng)域技術(shù)人員還應(yīng)該承認(rèn),驗(yàn)證客戶模塊52可以包括未公開(kāi)但是本領(lǐng)域常規(guī)的其它模塊。
一從生物統(tǒng)計(jì)學(xué)客戶模塊54中收到用戶識(shí)別信息,IC初始化模塊410就請(qǐng)求并建立與驗(yàn)證代理100的一個(gè)驗(yàn)證會(huì)話。ID初始化模塊410優(yōu)選地向驗(yàn)證代理發(fā)射一個(gè)使用代理的已知地址來(lái)建立驗(yàn)證會(huì)話的請(qǐng)求。驗(yàn)證客戶模塊54優(yōu)選地定期發(fā)射請(qǐng)求直到驗(yàn)證代理100響應(yīng)為止。考慮了一個(gè)基于MAC的流。或者,可以通過(guò)例如諸如Telnet或XCAP之類的軟件應(yīng)用程序來(lái)使用一個(gè)基于IP的流。
驗(yàn)證顯示模塊430向主機(jī)12的用戶傳達(dá)該登錄嘗試是否成功或失敗。驗(yàn)證顯示模塊430提供一個(gè)文本和/或圖形顯示給用戶接口50,其可操作來(lái)顯示用戶狀態(tài)信息,最好是從交換節(jié)點(diǎn)14中的驗(yàn)證代理100中收到的登錄有效消息或登錄無(wú)效消息。
ID斷開(kāi)模塊440啟動(dòng)退出過(guò)程,通過(guò)該過(guò)程,被驗(yàn)證的用戶退出該網(wǎng)絡(luò)。ID斷開(kāi)模塊440優(yōu)選地提供一個(gè)文本和/或圖形顯示給用戶接口50,其可操作來(lái)接受退出命令。ID斷開(kāi)模塊440優(yōu)選地發(fā)射退出命令給驗(yàn)證代理100,用于解除已建立的網(wǎng)絡(luò)通信能力。
圖10根據(jù)本發(fā)明一個(gè)實(shí)施例的生物統(tǒng)計(jì)學(xué)驗(yàn)證VLAN的處理流程圖。該過(guò)程開(kāi)始,并且在步驟500中,交換節(jié)點(diǎn)14被初始化。在初始化之后,驗(yàn)證代理100利用服務(wù)器的已知地址為試圖建立與驗(yàn)證服務(wù)器72的可靠連接。一旦TCP會(huì)話被成功建立,則代理100和服務(wù)器72通過(guò)交換驗(yàn)證密鑰來(lái)彼此驗(yàn)證。
在步驟502,用戶啟動(dòng)主機(jī)12,最好使生物統(tǒng)計(jì)學(xué)客戶模塊54激活。生物統(tǒng)計(jì)學(xué)客戶模塊54檢測(cè)耦合到主機(jī)12上的生物統(tǒng)計(jì)學(xué)10,并且在步驟504中發(fā)射生物統(tǒng)計(jì)學(xué)驗(yàn)證過(guò)程的一個(gè)請(qǐng)求。關(guān)于這點(diǎn),用戶或者自動(dòng)地或者響應(yīng)于主機(jī)12或生物統(tǒng)計(jì)學(xué)系統(tǒng)10的一個(gè)提示來(lái)提供一個(gè)生物統(tǒng)計(jì)學(xué)抽樣給生物統(tǒng)計(jì)學(xué)系統(tǒng)。匹配引擎34把生物統(tǒng)計(jì)學(xué)抽樣與儲(chǔ)存在生物統(tǒng)計(jì)學(xué)數(shù)據(jù)庫(kù)36中的模板進(jìn)行比較,并且輸出一個(gè)結(jié)果,該結(jié)果表示該用戶身份是否已經(jīng)被核實(shí)。正如在步驟506中所確定的,如果身份已經(jīng)被核實(shí),識(shí)別信息發(fā)生器38在步驟510中向生物統(tǒng)計(jì)學(xué)客戶模塊54提供與匹配模板相關(guān)的用戶識(shí)別信息。
在步驟512,生物統(tǒng)計(jì)學(xué)客戶模塊54提供用戶識(shí)別信息給驗(yàn)證客戶模塊52。在步驟514,基于該用戶識(shí)別信息調(diào)用一個(gè)用戶驗(yàn)證過(guò)程。關(guān)于這點(diǎn),驗(yàn)證客戶模塊52發(fā)射一個(gè)驗(yàn)證請(qǐng)求給位于交換節(jié)點(diǎn)14中的驗(yàn)證代理100。該請(qǐng)求優(yōu)選地包括由生物統(tǒng)計(jì)學(xué)客戶模塊54提供的用戶識(shí)別信息。驗(yàn)證請(qǐng)求定期地被發(fā)射給代理100直到該代理響應(yīng)為止。
驗(yàn)證代理100接收該請(qǐng)求并向驗(yàn)證服務(wù)器72發(fā)射該用戶識(shí)別信息和交換節(jié)點(diǎn)14的地址以及與主機(jī)12相關(guān)的驗(yàn)證模塊64的標(biāo)識(shí)符。驗(yàn)證服務(wù)器72在用戶記錄74中查找具有與該用戶識(shí)別信息匹配的信息的特定用戶條目。如果一個(gè)匹配條目被找到,則驗(yàn)證服務(wù)器72檢查時(shí)間限制。正如在步驟516中所確定的,如果用戶被時(shí)間授權(quán),則驗(yàn)證服務(wù)器72檢索被驗(yàn)證網(wǎng)絡(luò)資源的列表和時(shí)間限制,并把該信息和用戶狀態(tài)信息一起發(fā)射給驗(yàn)證客戶模塊52。用戶狀態(tài)信息優(yōu)選地是一個(gè)登錄有效消息。
如果沒(méi)有匹配條目被找到,或者如果這個(gè)用戶沒(méi)有被時(shí)間授權(quán),則一個(gè)用戶狀態(tài)信息(優(yōu)選地是以登錄無(wú)效消息的形式)在步驟520被返回給驗(yàn)證客戶模塊52。
再一次參見(jiàn)步驟506,如果基于所提供的生物統(tǒng)計(jì)學(xué)抽樣,用戶的身份沒(méi)有被核實(shí),則在步驟508確定是否已經(jīng)進(jìn)行了最大數(shù)目的驗(yàn)證嘗試。如果答案為否,則基于新提供的生物統(tǒng)計(jì)學(xué)抽樣,生物統(tǒng)計(jì)學(xué)客戶模塊52優(yōu)選地再一次調(diào)用生物統(tǒng)計(jì)學(xué)驗(yàn)證過(guò)程。
雖然在某些特定的實(shí)施例中已經(jīng)描述了本發(fā)明,但是本領(lǐng)域技術(shù)人員將可以毫無(wú)困難設(shè)計(jì)出不脫離本發(fā)明范圍和精神的各種變化。例如,雖然相對(duì)于與特定的生物統(tǒng)計(jì)學(xué)核實(shí)或者驗(yàn)證任務(wù)相關(guān)的特定軟件模塊描述了本發(fā)明,但是本領(lǐng)域技術(shù)人員應(yīng)該認(rèn)識(shí)到任何這些任務(wù)都可以被組合成為一個(gè)特定的模塊或者成為分開(kāi)的模塊。因此應(yīng)該理解,除了被明確描述的之外,本發(fā)明也可以被實(shí)現(xiàn)。因此,本發(fā)明實(shí)施例在各方面都應(yīng)該被考慮作為是說(shuō)明性的而不是限定性的,本發(fā)明的范圍通過(guò)附加權(quán)利要求和它們的等同而不是前述說(shuō)明來(lái)表示。
權(quán)利要求
1.一種用于通信網(wǎng)的用戶驗(yàn)證系統(tǒng),包括一個(gè)第一節(jié)點(diǎn);和耦合到第一節(jié)點(diǎn)的一個(gè)第二節(jié)點(diǎn),其特征在于第二節(jié)點(diǎn)接收來(lái)自個(gè)體中的一個(gè)生物統(tǒng)計(jì)學(xué)抽樣,基于生物統(tǒng)計(jì)學(xué)抽樣來(lái)核實(shí)該個(gè)體的身份,和在該個(gè)體的身份核實(shí)之后釋放與該個(gè)體相關(guān)的用戶識(shí)別信息,該用戶識(shí)別信息被發(fā)送到第一節(jié)點(diǎn)用于進(jìn)行與第三節(jié)點(diǎn)的驗(yàn)證協(xié)議交換。
2.如權(quán)利要求1所述的用戶驗(yàn)證系統(tǒng),其特征還在于第三節(jié)點(diǎn)基于該用戶識(shí)別信息來(lái)允許第一節(jié)點(diǎn)訪問(wèn)一個(gè)或多個(gè)虛擬局域網(wǎng)(VLAN)。
3.如權(quán)利要求2所述的用戶驗(yàn)證系統(tǒng),其特征還在于如果尋求的訪問(wèn)在定義的訪問(wèn)時(shí)間之外,則第三節(jié)點(diǎn)拒絕第一節(jié)點(diǎn)訪問(wèn)一個(gè)或多個(gè)VLAN。
4.如權(quán)利要求1所述的用戶驗(yàn)證系統(tǒng),其中,生物統(tǒng)計(jì)學(xué)抽樣是該個(gè)體的一個(gè)生理特性。
5.如權(quán)利要求1所述的用戶驗(yàn)證系統(tǒng),其中,該用戶識(shí)別信息包括一個(gè)用戶名和口令。
6.一種用于通信網(wǎng)的用戶驗(yàn)證系統(tǒng),包括一個(gè)可被一個(gè)個(gè)體訪問(wèn)的主機(jī),用于訪問(wèn)一個(gè)或多個(gè)虛擬局域網(wǎng)(VLAN);一個(gè)接收來(lái)自該個(gè)體的生物統(tǒng)計(jì)學(xué)抽樣的生物統(tǒng)計(jì)學(xué)系統(tǒng),該生物統(tǒng)計(jì)學(xué)基于該生物統(tǒng)計(jì)學(xué)抽樣來(lái)核實(shí)該個(gè)體的身份并且如果該個(gè)體的身份被核實(shí)則釋放用戶識(shí)別信息;和一個(gè)交換節(jié)點(diǎn),接收由生物統(tǒng)計(jì)學(xué)系統(tǒng)產(chǎn)生的用戶識(shí)別信息并根據(jù)該用戶識(shí)別信息來(lái)允許主機(jī)訪問(wèn)一個(gè)或多個(gè)VLAN。
7.如權(quán)利要求6所述的用戶驗(yàn)證系統(tǒng),其中,生物統(tǒng)計(jì)學(xué)抽樣是該個(gè)體的一個(gè)生理特性。
8.如權(quán)利要求6所述的用戶驗(yàn)證系統(tǒng),其中,該用戶識(shí)別信息包括一個(gè)用戶名和口令。
9.如權(quán)利要求6所述的用戶驗(yàn)證系統(tǒng),還包括一個(gè)耦合到交換節(jié)點(diǎn)的驗(yàn)證服務(wù)器,該驗(yàn)證服務(wù)器把用戶識(shí)別信息與儲(chǔ)存的用戶數(shù)據(jù)進(jìn)行比較并且在有一個(gè)匹配之后檢索被授權(quán)的VLAN的一個(gè)列表。
10.如權(quán)利要求6所述的用戶驗(yàn)證系統(tǒng),其中,如果尋求的訪問(wèn)在一個(gè)定義的訪問(wèn)時(shí)間之外則該主機(jī)被拒絕訪問(wèn)一個(gè)或多個(gè)VLAN。
11.一種用于通信網(wǎng)的用戶驗(yàn)證系統(tǒng),包括一個(gè)輸入,用于接收來(lái)自個(gè)體中的一個(gè)生物統(tǒng)計(jì)學(xué)抽樣;一個(gè)耦合到該輸入的第一引擎,用于基于該生物統(tǒng)計(jì)學(xué)抽樣核實(shí)該個(gè)體的身份;和一個(gè)耦合到第一引擎的第二引擎,用于如果該個(gè)體的身份被第一引擎核實(shí)則釋放用戶識(shí)別信息,該用戶識(shí)別信息被用于確定該個(gè)體被授權(quán)的一個(gè)或多個(gè)虛擬局域網(wǎng)。
12.如權(quán)利要求11所述的用戶驗(yàn)證系統(tǒng),其中,第一引擎把生物統(tǒng)計(jì)學(xué)抽樣與儲(chǔ)存的生物統(tǒng)計(jì)學(xué)數(shù)據(jù)進(jìn)行比較并且基于該比較返回一個(gè)結(jié)果。
13.如權(quán)利要求12所述的用戶驗(yàn)證系統(tǒng),還包括一個(gè)用于顯示該結(jié)果的輸出。
14.如權(quán)利要求11所述的用戶驗(yàn)證系統(tǒng),其中,生物統(tǒng)計(jì)學(xué)抽樣是該個(gè)體的一個(gè)生理特性。
15.如權(quán)利要求11所述的用戶驗(yàn)證系統(tǒng),其中,該用戶識(shí)別信息包括一個(gè)用戶名和口令。
16.一種用于通信系統(tǒng)的用戶驗(yàn)證方法,該方法包括如下步驟接收來(lái)自能訪問(wèn)第一節(jié)點(diǎn)的個(gè)體中的一個(gè)生物統(tǒng)計(jì)學(xué)抽樣;基于該生物統(tǒng)計(jì)學(xué)抽樣核實(shí)該個(gè)體的身份;如果該個(gè)體的身份被核實(shí),則釋放用戶識(shí)別信息;和進(jìn)行一個(gè)驗(yàn)證協(xié)議交換,包括發(fā)射產(chǎn)生的用戶識(shí)別信息到第二節(jié)點(diǎn)。
17.如權(quán)利要求16所述的用戶驗(yàn)證方法,還包括如下步驟基于該用戶識(shí)別信息允許第一節(jié)點(diǎn)訪問(wèn)一個(gè)或多個(gè)虛擬局域網(wǎng)(VLAN)。
18.如權(quán)利要求17所述的用戶驗(yàn)證方法,還包括如下步驟如果尋求的訪問(wèn)在定義的訪問(wèn)時(shí)間之外,則拒絕第一節(jié)點(diǎn)訪問(wèn)一個(gè)或多個(gè)VLAN。
19.如權(quán)利要求16所述的用戶驗(yàn)證方法,其中,生物統(tǒng)計(jì)學(xué)抽樣是該個(gè)體的一個(gè)生理特性。
20.如權(quán)利要求16所述的用戶驗(yàn)證方法,其中,該用戶識(shí)別信息包括一個(gè)用戶名和口令。
21.一種用于通信系統(tǒng)的用戶驗(yàn)證方法,該方法包括如下步驟接收來(lái)自能訪問(wèn)第一節(jié)點(diǎn)的個(gè)體中的一個(gè)生物統(tǒng)計(jì)學(xué)抽樣;把該生物統(tǒng)計(jì)學(xué)抽樣與儲(chǔ)存的生物統(tǒng)計(jì)學(xué)數(shù)據(jù)進(jìn)行比較;響應(yīng)該生物統(tǒng)計(jì)學(xué)抽樣與儲(chǔ)存的生物統(tǒng)計(jì)學(xué)數(shù)據(jù)的匹配,釋放用戶識(shí)別信息;把產(chǎn)生的用戶識(shí)別信息與儲(chǔ)存的用戶數(shù)據(jù)進(jìn)行比較;響應(yīng)用戶識(shí)別信息與存儲(chǔ)的用戶數(shù)據(jù)的匹配,檢索被授權(quán)的虛擬局域網(wǎng)(VLAN)的一個(gè)列表;和允許該第一節(jié)點(diǎn)訪問(wèn)被驗(yàn)證的VLAN。
22.如權(quán)利要求20所述的用戶驗(yàn)證方法,其中,生物統(tǒng)計(jì)學(xué)抽樣是該個(gè)體的一個(gè)生理特性。
23.如權(quán)利要求20所述的用戶驗(yàn)證方法,其中,該用戶識(shí)別信息包括一個(gè)用戶名和口令。
24.如權(quán)利要求20所述的用戶驗(yàn)證方法,還包括如下步驟如果尋求的訪問(wèn)在定義的訪問(wèn)時(shí)間之外,則拒絕第一節(jié)點(diǎn)訪問(wèn)一個(gè)或多個(gè)VLAN。
25.一種用于通信系統(tǒng)的用戶驗(yàn)證方法,該方法包括如下步驟接收來(lái)自能訪問(wèn)第一節(jié)點(diǎn)的個(gè)體中的一個(gè)生物統(tǒng)計(jì)學(xué)抽樣;基于該生物統(tǒng)計(jì)學(xué)抽樣核實(shí)該個(gè)體的身份;和如果該個(gè)體的身份被核實(shí),允許第一節(jié)點(diǎn)訪問(wèn)一個(gè)或多個(gè)虛擬局域網(wǎng)(VLAN)。
26.如權(quán)利要求25所述的用戶驗(yàn)證方法,其中,生物統(tǒng)計(jì)學(xué)抽樣是該個(gè)體的一個(gè)生理特性。
27.如權(quán)利要求25所述的用戶驗(yàn)證方法,還包括如下步驟如果尋求的訪問(wèn)在定義的訪問(wèn)時(shí)間之外,則拒絕第一節(jié)點(diǎn)訪問(wèn)一個(gè)或多個(gè)VLAN。
全文摘要
一種用于數(shù)據(jù)通信網(wǎng)的用戶驗(yàn)證系統(tǒng)和方法,其幫助確保一個(gè)訪問(wèn)網(wǎng)絡(luò)資源的用戶真的是具有所要求身份的那個(gè)人。該用戶的身份被一種生物統(tǒng)計(jì)學(xué)系統(tǒng)通過(guò)檢查該用戶的生理或動(dòng)作的特性來(lái)核實(shí)。訪問(wèn)網(wǎng)絡(luò)資源所需要的用戶識(shí)別信息被儲(chǔ)存在生物統(tǒng)計(jì)學(xué)系統(tǒng)中并且直到該用戶的身份被核實(shí)時(shí)才被釋放。在該用戶的身份核實(shí)之后,該用戶識(shí)別數(shù)據(jù)被提供給一個(gè)交換節(jié)點(diǎn)用于確定用戶可以訪問(wèn)的VLAN。
文檔編號(hào)H04L9/32GK1400771SQ0212153
公開(kāi)日2003年3月5日 申請(qǐng)日期2002年3月8日 優(yōu)先權(quán)日2001年3月8日
發(fā)明者桑田政輝, 岡村康一郎, 大麻剛稔 申請(qǐng)人:阿爾卡塔爾公司