專利名稱:生物統(tǒng)計(jì)學(xué)驗(yàn)證的vlan的制作方法
相關(guān)申請(qǐng)的交叉參考此申請(qǐng)要求2001年3月8日申請(qǐng)的臨時(shí)申請(qǐng)No.60/274,113的權(quán)益�����,其內(nèi)容在此被結(jié)合參考��。此申請(qǐng)還包含與美國(guó)專利No.6,070,243中公開的主題以及2001年4月18日申請(qǐng)的美國(guó)申請(qǐng)No.09/838,076(律師摘要號(hào)41625/JEC/XZ)中公開的主題相關(guān)的主題����,這二者的內(nèi)容在此都被結(jié)合參考。
在最近的技術(shù)中�����,發(fā)送業(yè)務(wù)的用戶的身份在分配過(guò)程中被考慮����。在此最近的技術(shù)之下,終端系統(tǒng)的用戶在他或她的驗(yàn)證之后被給出對(duì)VLAN的人格化組的訪問(wèn)���。通常���,終端站的用戶啟動(dòng)與交換節(jié)點(diǎn)的一次驗(yàn)證會(huì)話,該終端站通過(guò)發(fā)射用戶的姓名和口令來(lái)物理地連接到交換節(jié)點(diǎn)上�。該終端站可以包括個(gè)人計(jì)算機(jī)、工作站等等。交換節(jié)點(diǎn)可以包括交換機(jī)�、路由器等等。
該節(jié)點(diǎn)在一個(gè)或多個(gè)驗(yàn)證服務(wù)器中搜索用戶的姓名和口令直到找到一個(gè)匹配為止��,然后該用戶被允許訪問(wèn)一個(gè)或多個(gè)經(jīng)授權(quán)的VLAN���。如果沒(méi)有找到匹配或者如果用戶在登錄嘗試期間沒(méi)有被授權(quán)�,則該用戶被告知驗(yàn)證失敗并且除另外的驗(yàn)證嘗試外被拒絕訪問(wèn)����。
所描述的驗(yàn)證方案的一個(gè)問(wèn)題是它只是驗(yàn)證或者核實(shí)一個(gè)被要求的身份,但是卻沒(méi)有想基于用戶的特性來(lái)識(shí)別一個(gè)用戶��。因此�,能訪問(wèn)一個(gè)有效用戶名和口令的任何人都可以獲得對(duì)一個(gè)或多個(gè)VLAN的訪問(wèn),即使該用戶不是他或她所聲稱的那個(gè)人����。雖然可以采取預(yù)防來(lái)對(duì)一個(gè)人的口令保密,但是用戶可能不注意地透露它或者選擇一個(gè)可能容易被其他人推測(cè)到的口令�����。
因此�����,在當(dāng)前技術(shù)中需要一種VLAN的用戶驗(yàn)證方案����,根據(jù)可能與個(gè)人確實(shí)相關(guān)的特性來(lái)識(shí)別一個(gè)用戶。該用戶驗(yàn)證方案將利用現(xiàn)有的交換節(jié)點(diǎn)來(lái)工作而不需要修改或者重建這些節(jié)點(diǎn)����。
根據(jù)另外一個(gè)實(shí)施例,本發(fā)明是針對(duì)一種通信網(wǎng)的用戶驗(yàn)證系統(tǒng)��,該通信網(wǎng)包括一個(gè)個(gè)人可訪問(wèn)的主機(jī)�,用于訪問(wèn)一個(gè)或多個(gè)VLAN;從該個(gè)人中接收生物統(tǒng)計(jì)學(xué)抽樣的一個(gè)生物統(tǒng)計(jì)學(xué)系統(tǒng)以及一個(gè)交換節(jié)點(diǎn)����。該生物統(tǒng)計(jì)學(xué)系統(tǒng)基于生物統(tǒng)計(jì)學(xué)抽樣來(lái)核實(shí)該個(gè)人身份并且如果該個(gè)人的身分被核實(shí)則釋放用戶識(shí)別信息。交換節(jié)點(diǎn)接收由生物統(tǒng)計(jì)學(xué)系統(tǒng)產(chǎn)生的用戶識(shí)別信息并根據(jù)用戶識(shí)別信息允許主機(jī)訪問(wèn)一個(gè)或多個(gè)VLAN���。
在另外一個(gè)實(shí)施例中�,本發(fā)明是針對(duì)一種通信網(wǎng)的用戶驗(yàn)證系統(tǒng)��,其包括一個(gè)輸入���,用于接收來(lái)自個(gè)人的生物統(tǒng)計(jì)學(xué)抽樣�;一個(gè)耦合到該輸入的第一引擎,用于根據(jù)生物統(tǒng)計(jì)學(xué)抽樣來(lái)核實(shí)該個(gè)人的身份�����;和耦合到第一引擎的第二引擎�����,如果該個(gè)體的身份被第一引擎核實(shí)則用于釋放用戶識(shí)別信息����。該用戶識(shí)別信息被用于確定該個(gè)體被驗(yàn)證的一個(gè)或多個(gè)虛擬局域網(wǎng)。
在另一實(shí)施例中����,本發(fā)明是針對(duì)一種用于通信系統(tǒng)的用戶驗(yàn)證方法。該方法包括如下步驟����;接收來(lái)自能訪問(wèn)第一節(jié)點(diǎn)的個(gè)體中的生物統(tǒng)計(jì)學(xué)抽樣;把該生物統(tǒng)計(jì)學(xué)抽樣與儲(chǔ)存的生物統(tǒng)計(jì)學(xué)數(shù)據(jù)進(jìn)行比較���;響應(yīng)該生物統(tǒng)計(jì)學(xué)抽樣與儲(chǔ)存的生物統(tǒng)計(jì)學(xué)數(shù)據(jù)的匹配��,釋放用戶識(shí)別信息���;把產(chǎn)生的用戶識(shí)別信息與儲(chǔ)存的用戶數(shù)據(jù)進(jìn)行比較;響應(yīng)用戶識(shí)別信息與儲(chǔ)存的用戶數(shù)據(jù)的匹配�����,檢索被授權(quán)的虛擬局域網(wǎng)(VLAN)的一個(gè)列表����;和允許第一節(jié)點(diǎn)訪問(wèn)被授權(quán)的VLAN。
在另一實(shí)施例中�����,本發(fā)明是針對(duì)一種用于通信系統(tǒng)的用戶驗(yàn)證方法�。該方法包括如下步驟接收來(lái)自能訪問(wèn)第一節(jié)點(diǎn)的個(gè)體中的生物統(tǒng)計(jì)學(xué)抽樣;基于該生物統(tǒng)計(jì)學(xué)抽樣核實(shí)該個(gè)體的身份�;和如果該個(gè)體的身份被驗(yàn)證,則允許第一節(jié)點(diǎn)訪問(wèn)為該個(gè)體所選擇的一個(gè)或多個(gè)虛擬局域網(wǎng)(VLAN)�����。
因此�,應(yīng)該理解���,本發(fā)明幫助確保了訪問(wèn)網(wǎng)絡(luò)資源的用戶直的是具有所要求的身份的那些人。通過(guò)把用戶識(shí)別信息存儲(chǔ)在只是在用戶的身份核實(shí)之后才釋放信息的節(jié)點(diǎn)中��,防止了未經(jīng)授權(quán)的信息使用�。
生物統(tǒng)計(jì)學(xué)系統(tǒng)10最好包括用于接收來(lái)自個(gè)體中的生物統(tǒng)計(jì)學(xué)抽樣并根據(jù)該抽樣核實(shí)他或她身份的電路和/或邏輯。該生物統(tǒng)計(jì)學(xué)抽樣最好是用被用于核實(shí)他或她身份的該個(gè)體的生理或動(dòng)作的特性�����。這些生物統(tǒng)計(jì)學(xué)抽樣可以包括指紋�、聲音模型、虹膜和/或視網(wǎng)膜的模型����、手部幾何形狀、簽名核實(shí)���、鍵擊分析和/或?qū)υ搨€(gè)體來(lái)說(shuō)不能改變的以及無(wú)法被實(shí)際傳送的其它特性��。
主機(jī)12最好是一個(gè)終端設(shè)備,例如,諸如個(gè)人計(jì)算機(jī)�、工作站���、服務(wù)器等等,其與生物統(tǒng)計(jì)學(xué)系統(tǒng)10和交換節(jié)點(diǎn)14接口�。換交節(jié)點(diǎn)14最好是一個(gè)網(wǎng)關(guān)設(shè)備,例如�����,諸如用于把由主機(jī)始發(fā)的分組通信轉(zhuǎn)發(fā)到被授權(quán)的VLAN16、18���、20的集線器�、橋接器或者路由器�����。網(wǎng)絡(luò)服務(wù)器22是一個(gè)RADIUS、LDAP(簡(jiǎn)便目錄存取協(xié)議)和/或COPS(公共開放策略服務(wù))服務(wù)器,用于向一個(gè)或多個(gè)VLAN16�����、18����、20驗(yàn)證主機(jī)12的用戶���。在本發(fā)明的另一實(shí)施例中�����,通信網(wǎng)可以包括多個(gè)網(wǎng)絡(luò)服務(wù)器���,其每一個(gè)都與特定的VLAN16����、18����、20相關(guān)��,正如U.S.申請(qǐng)No09,838,076中更進(jìn)一步詳細(xì)描述的一樣。
主機(jī)12��、交換節(jié)點(diǎn)14�、網(wǎng)絡(luò)服務(wù)器22和VLAN16、18、20可以經(jīng)電纜或其它傳輸介質(zhì)相互連接����,并且可以支持不同的數(shù)據(jù)通信協(xié)議��,比如以太網(wǎng)��、因特網(wǎng)協(xié)議和/或異步傳輸模式(ATM)�����。
一般來(lái)說(shuō)�,期望訪問(wèn)一個(gè)特定網(wǎng)絡(luò)資源(比如一個(gè)特定的VLAN)的用戶,把他或她的生物統(tǒng)計(jì)學(xué)抽樣提供給生物統(tǒng)計(jì)學(xué)系統(tǒng)10����。根據(jù)本發(fā)明的一個(gè)實(shí)施例,生物統(tǒng)計(jì)學(xué)系統(tǒng)10發(fā)射所接收的生物統(tǒng)計(jì)學(xué)抽樣給主機(jī)12�,用于核實(shí)該用戶的身份��。在本發(fā)明的另一實(shí)施例中,該核實(shí)過(guò)程由生物統(tǒng)計(jì)學(xué)設(shè)備本身來(lái)實(shí)現(xiàn)��。在本發(fā)明的另外一個(gè)實(shí)施例中��,該核實(shí)過(guò)程發(fā)生在經(jīng)一個(gè)缺省VLAN連接的分開的服務(wù)器(未示出)中�。
如果該用戶的身份被核實(shí),則生物統(tǒng)計(jì)學(xué)系統(tǒng)10釋放訪問(wèn)該網(wǎng)絡(luò)所需要的用戶的識(shí)別信息���,例如��,諸如用戶名��、口令����、PIN�、標(biāo)記(token)等。該用戶識(shí)另信息最好被發(fā)射給主機(jī)12����,其接著使用該信息與交換節(jié)點(diǎn)14進(jìn)行一個(gè)驗(yàn)證協(xié)議交換�,用于驗(yàn)證用戶進(jìn)入到一個(gè)或多個(gè)VLAN16、18�����、20中�。
圖2是根據(jù)本發(fā)明的生物統(tǒng)計(jì)學(xué)系統(tǒng)10的方框圖�。當(dāng)然,應(yīng)該理解����,圖2說(shuō)明了生物統(tǒng)計(jì)學(xué)系統(tǒng)10的方框圖而沒(méi)有用創(chuàng)建該系統(tǒng)可能需要的附加元件和/或組件來(lái)使本發(fā)明的發(fā)明方面變得模糊。在圖2中未示出的這些附加的元件和/或組件是本領(lǐng)域技術(shù)人員公知的���。
生物統(tǒng)計(jì)學(xué)系統(tǒng)10最好包括一個(gè)輸入30����,一個(gè)匹配引擎34�����,一個(gè)識(shí)別信息發(fā)生器38�����,一個(gè)生物統(tǒng)計(jì)學(xué)數(shù)據(jù)庫(kù)36��,一個(gè)識(shí)別信息數(shù)據(jù)庫(kù)40,和一個(gè)輸出46����。輸入30可以是一個(gè)掃描儀�����、攝像機(jī)���、電話����、麥克風(fēng)��、鍵盤���、鍵區(qū)或者用于接收來(lái)自用戶的一個(gè)生物統(tǒng)計(jì)學(xué)抽樣的另外一個(gè)設(shè)備�����。
匹配引擎34和識(shí)別信息發(fā)生器38是軟件��、硬件和/或固件��,諸如專用集成電路(ASIC)模塊����,用于分別地核實(shí)用戶的身份以及如果用戶被核實(shí)時(shí)則釋放用戶識(shí)別信息。匹配引擎34接收由輸入30提供的生物統(tǒng)計(jì)學(xué)抽樣并且為輸入的生物統(tǒng)計(jì)學(xué)抽樣的匹配搜索生物統(tǒng)計(jì)學(xué)數(shù)據(jù)庫(kù)36��。
生物統(tǒng)計(jì)學(xué)數(shù)據(jù)庫(kù)36最好包括生物統(tǒng)計(jì)學(xué)系統(tǒng)10登記的每個(gè)用戶的生物統(tǒng)計(jì)學(xué)模板����。優(yōu)選地,該生物統(tǒng)計(jì)學(xué)模板是用戶的生物統(tǒng)計(jì)學(xué)數(shù)據(jù)的一個(gè)數(shù)學(xué)表示�。在另一實(shí)施例中,該生物統(tǒng)計(jì)學(xué)數(shù)據(jù)庫(kù)36可以被替換為便攜式標(biāo)記�,例如聰慧卡,允許用戶在任何時(shí)候都保持他們生物統(tǒng)計(jì)學(xué)數(shù)據(jù)的所有權(quán)�����。
匹配引擎34把一個(gè)輸入的生物統(tǒng)計(jì)學(xué)抽樣與生物統(tǒng)計(jì)學(xué)數(shù)據(jù)庫(kù)36中的生物統(tǒng)計(jì)學(xué)模板進(jìn)行比較并且向識(shí)別信息發(fā)生器產(chǎn)生一個(gè)結(jié)果42來(lái)表示用戶的身份是否已經(jīng)被核實(shí)�。該結(jié)果的全部或者部分最好進(jìn)一步被采取監(jiān)視器、LCD顯示器或者其它顯示設(shè)備的形式的輸出46來(lái)顯示����。在本發(fā)明的一個(gè)實(shí)施例中,該結(jié)果的全部或者部分被發(fā)射給主機(jī)12用于在那上面顯示�。
如果用戶的身份被核實(shí)���,則識(shí)別信息發(fā)生器檢索識(shí)別信息數(shù)據(jù)庫(kù)40中的用戶識(shí)別信息。識(shí)別信息數(shù)據(jù)庫(kù)40最好提供該系統(tǒng)已登記用戶的用戶識(shí)別信息的中央存儲(chǔ)��。識(shí)別信息數(shù)據(jù)庫(kù)40最好把例如諸如用戶名��、口令����、PIN�����、標(biāo)記和/或類似的用戶識(shí)別信息與生物統(tǒng)計(jì)學(xué)數(shù)據(jù)庫(kù)36中的每個(gè)生物統(tǒng)計(jì)學(xué)模板相關(guān)聯(lián)���。在生物統(tǒng)計(jì)學(xué)模板與輸入的生物統(tǒng)計(jì)學(xué)抽樣匹配之后��,適當(dāng)?shù)挠脩糇R(shí)別信息被檢索出��。檢索出的用戶識(shí)別信息作為輸出數(shù)據(jù)44被發(fā)射到主機(jī)12�����。
本領(lǐng)域技術(shù)人員應(yīng)該認(rèn)識(shí)到�����,雖然輸入30���、匹配引擎34����、生物統(tǒng)計(jì)學(xué)數(shù)據(jù)庫(kù)36����、識(shí)別信息發(fā)生器38、識(shí)別信息數(shù)據(jù)庫(kù)40和輸出46被說(shuō)明存在于單個(gè)生物統(tǒng)計(jì)學(xué)系統(tǒng)10中�����,這些組件的任何一個(gè)或任何組合可以操作在通風(fēng)網(wǎng)中的一個(gè)或多個(gè)其他設(shè)備中��。例如�����,匹配引擎34和/或識(shí)別信息發(fā)生器38可以存在于主機(jī)12中或者存在于耦合到缺省VLAN上的獨(dú)立的后臺(tái)服務(wù)器中�。
圖3是根據(jù)本發(fā)明實(shí)施例的主機(jī)12的示意方框圖。主機(jī)12最好包括一個(gè)用戶接口50�、一個(gè)生物統(tǒng)計(jì)學(xué)客戶模塊(client)54以及一個(gè)驗(yàn)證客戶模塊52��。用戶接口50最好包括一個(gè)輸入和輸出�,例如諸如鍵盤��、鍵區(qū)��、顯示屏�、鼠標(biāo)、游戲桿���、跟蹤球等����。
生物統(tǒng)計(jì)學(xué)客戶模塊54最好是用于與生物統(tǒng)計(jì)學(xué)系統(tǒng)10通信的一個(gè)軟件模塊應(yīng)用程序���。優(yōu)選地,生物統(tǒng)計(jì)學(xué)客戶模塊54在主機(jī)12被用戶啟動(dòng)之后自動(dòng)地被調(diào)用���。生物統(tǒng)計(jì)學(xué)客戶模塊檢測(cè)生物統(tǒng)計(jì)學(xué)系統(tǒng)10并且使該系統(tǒng)進(jìn)行用戶身份的核實(shí)����?���;蛘?,生物統(tǒng)計(jì)學(xué)客戶模塊只有在用戶的直接動(dòng)作之后被調(diào)用���。
如果用戶的身份被核實(shí)��,則驗(yàn)證客戶模塊52最好是用于進(jìn)行與交換節(jié)點(diǎn)14的驗(yàn)證處理的一個(gè)軟件模塊應(yīng)用程序(application)�����。該軟件模塊可以采取安裝在主機(jī)12上的一種軟件應(yīng)用程序的形式���,但是也可采取諸如Telnet、XCAP(Xylan客戶模塊驗(yàn)證協(xié)議xylan Client Authentcation Protocol)或者一個(gè)基于web應(yīng)用程序之類的一個(gè)標(biāo)準(zhǔn)軟件應(yīng)用程序的形式���。驗(yàn)證客戶模塊52最好被配置有一個(gè)交換節(jié)點(diǎn)14的地址��。該地址可以是一個(gè)IP地址或者一個(gè)保留的媒體訪問(wèn)控制層(MAC)地址�����。
圖4是根據(jù)本發(fā)明實(shí)施例的交換節(jié)點(diǎn)14的示意方框圖��。該交換節(jié)點(diǎn)14最好包括通過(guò)交換鏈路66互連的一個(gè)管理處理器模塊60�����、干線模塊62以及驗(yàn)證模塊64�����。最好使用例如諸如ASIC之類的固件來(lái)實(shí)現(xiàn)干線模塊和驗(yàn)證模塊62���、64�����。管理處理器模塊60最好是實(shí)現(xiàn)為在交換節(jié)點(diǎn)14的處理器上運(yùn)行的一個(gè)軟件模塊����。
管理處理器模塊60最好包括一個(gè)驗(yàn)證代理60a��,用于接收來(lái)自主機(jī)12中的用戶識(shí)別信息并且向一個(gè)特定的VLLAN驗(yàn)證該用戶�����。干線模塊62最好通過(guò)一個(gè)骨干網(wǎng)來(lái)接收并轉(zhuǎn)發(fā)分組����。驗(yàn)證模塊64最好包括相互連接主機(jī)12和交換鏈路66的一個(gè)LAN接口。驗(yàn)證模塊64最好還包括用于解釋��、修改��、過(guò)濾以及轉(zhuǎn)發(fā)分組的邏輯�。驗(yàn)證模塊64還可以操作來(lái)執(zhí)行必要的LAN媒體翻譯以使交換節(jié)點(diǎn)14可以支持使用不同LAN媒體來(lái)工作的主機(jī)。
圖5是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)服務(wù)器22的示意方框圖�����。網(wǎng)絡(luò)服務(wù)器22最好包括一個(gè)用戶接口70����、一個(gè)軟件實(shí)現(xiàn)的驗(yàn)證服務(wù)器72和用戶記錄74。用戶接口70最好包括一個(gè)輸入和輸出�,例如諸如鍵盤、鍵區(qū)�、顯示屏、鼠標(biāo)�、游戲桿、跟蹤球等����。
用戶記錄74最好包括特定用戶的條目(entry),特定的用戶條目包括用戶識(shí)別信息和被授權(quán)的網(wǎng)絡(luò)資源的列表。特定的用戶條目還可以包括時(shí)間限制和/或?qū)υ撎囟ㄓ脩舻钠渌拗啤?br>
驗(yàn)證服務(wù)器72與驗(yàn)證代理60a進(jìn)行通信以驗(yàn)證用戶���。驗(yàn)證服務(wù)器最好還配置有交換節(jié)點(diǎn)14的一個(gè)地址和節(jié)點(diǎn)上的驗(yàn)證代理60a的一個(gè)驗(yàn)證密鑰���。該地址最好是一個(gè)IP地址。
雖然驗(yàn)證服務(wù)器72和用戶記錄74被顯示在網(wǎng)絡(luò)服務(wù)器22上�����,但是驗(yàn)證服務(wù)器72和/或用戶記錄74可以工作在可被網(wǎng)絡(luò)服務(wù)器訪問(wèn)的網(wǎng)絡(luò)中的另外一個(gè)設(shè)備上��。此外����,雖然網(wǎng)絡(luò)服務(wù)器22被說(shuō)明為包括單個(gè)驗(yàn)證服務(wù)器72,但是根據(jù)本發(fā)明操作的一個(gè)網(wǎng)絡(luò)可以包括一個(gè)或多個(gè)驗(yàn)證服務(wù)器��。
圖6是根據(jù)本發(fā)明的一個(gè)實(shí)施例在交換節(jié)點(diǎn)14上配置的一個(gè)驗(yàn)證代理100的功能圖�����。驗(yàn)證代理100最好是類似于由管理處理器模塊60實(shí)現(xiàn)的驗(yàn)證代理60a的一個(gè)軟件模塊���。驗(yàn)證代理100最好還配置有交換節(jié)點(diǎn)14的一個(gè)地址和驗(yàn)證服務(wù)器72的一個(gè)地址。該配置地址最好是一個(gè)IP地址����。驗(yàn)證代理還可以配置服務(wù)器的一個(gè)驗(yàn)證密鑰�����。
驗(yàn)證代理100最好包括一個(gè)連接建立模塊110��,用于建立與驗(yàn)證服務(wù)器72的一個(gè)可靠連接�。關(guān)于這點(diǎn)�,連接建立模塊110使用服務(wù)器的已知地址來(lái)請(qǐng)求與驗(yàn)證服務(wù)器72的連接,并且確認(rèn)來(lái)自服務(wù)器中的對(duì)此類請(qǐng)求的響應(yīng)��。連接建立模塊110也發(fā)射足以使驗(yàn)證代理100和服務(wù)器72能夠彼此驗(yàn)證的信息到驗(yàn)證服務(wù)器72中和從驗(yàn)證服務(wù)器72中接收該信息�。優(yōu)選地,通過(guò)在驗(yàn)證代理100和服務(wù)器72上配置的驗(yàn)證密鑰的交換來(lái)實(shí)現(xiàn)相互的驗(yàn)證�。
該連接建立模塊110可以加密在可靠的連接建立過(guò)程期間發(fā)射的信息和解碼加密的信息?��?紤]了在驗(yàn)證代理100和服務(wù)器72之間基于TCP/IP的流量��。如果多個(gè)驗(yàn)證服務(wù)器存在�,驗(yàn)證代理100最好配置有每個(gè)驗(yàn)證服務(wù)器的地址和驗(yàn)證密鑰����。如果建立與特定服務(wù)器的一個(gè)可靠連接的嘗試失敗���,則驗(yàn)證代理100可以使用另外一個(gè)驗(yàn)證服務(wù)器的已知地址來(lái)實(shí)現(xiàn)前述的過(guò)程直到一個(gè)可靠的連接被建立為止。
該驗(yàn)證代理100最好還包括一個(gè)標(biāo)識(shí)(ID)請(qǐng)求模塊120���。ID請(qǐng)求模塊120用于從工作在主機(jī)12中的驗(yàn)證客機(jī)52中獲得識(shí)別信息�����。ID請(qǐng)求模塊120還用于確認(rèn)從驗(yàn)證客戶模塊52中收到的一個(gè)請(qǐng)求以便建立一個(gè)驗(yàn)證會(huì)話����??紤]了使用例如諸如Telnet或者XCAP的軟件應(yīng)用程序的基于IP的流或者在驗(yàn)證代理100和客戶模塊52之間基于MAC的流優(yōu)選地,該流由驗(yàn)證客戶模塊52使用在客戶模塊上配置的驗(yàn)證代理100的保留MAC地址或IP地址來(lái)啟動(dòng)��。
該驗(yàn)證代理100最好也包括一個(gè)ID中繼模塊130�,用于把一個(gè)請(qǐng)求轉(zhuǎn)接到驗(yàn)證服務(wù)器72以便驗(yàn)證用戶識(shí)別信息。ID中繼模塊130最好關(guān)聯(lián)交換節(jié)點(diǎn)14的已知地址�����、與被用戶為驗(yàn)證所使用的主機(jī)12相關(guān)的驗(yàn)證模塊64的標(biāo)識(shí)符以及登錄識(shí)別信息�����。ID中繼模塊130最好發(fā)射相關(guān)的識(shí)別信息到驗(yàn)證服務(wù)器72用于驗(yàn)證�。
除了上面之外,驗(yàn)證代理100還包括一個(gè)核實(shí)中繼模塊140���,用于基于該識(shí)別信息轉(zhuǎn)發(fā)從驗(yàn)證服務(wù)器72中收到的用戶狀態(tài)信息�����。用戶狀態(tài)信息最好包括一個(gè)登錄有效或登錄無(wú)效的消息��,這取決于驗(yàn)證服務(wù)器72是否能夠成功地驗(yàn)證該識(shí)別信息�。該核實(shí)中繼模塊140最好把這個(gè)用戶狀態(tài)信息發(fā)射到主機(jī)12用于顯示在用戶接口50上���?����?紤]了在驗(yàn)證代理100和客戶模塊52之間使用例如諸如Telnet或XCAP之類軟件應(yīng)用的基于IP的流或者基于MAC的流��。
驗(yàn)證代理100最好還包括一個(gè)會(huì)話終止模塊150�����,如果一個(gè)用戶已經(jīng)被驗(yàn)證失敗時(shí)用于終止一個(gè)驗(yàn)證會(huì)話��。會(huì)話終止模塊150最好在登錄失敗之后向驗(yàn)證客戶模塊52發(fā)射一個(gè)驗(yàn)證會(huì)話終止消息����。會(huì)話終止模塊150還終止與驗(yàn)證客戶模塊52的驗(yàn)證會(huì)話。
驗(yàn)證代理100還包括一個(gè)資源中繼模塊160����,用于為主機(jī)12的驗(yàn)證用戶轉(zhuǎn)發(fā)從驗(yàn)證服務(wù)器72中收到的被授權(quán)的連接信息用于存儲(chǔ)并使用在交換節(jié)點(diǎn)14上。被授權(quán)的連接信息可以在同一數(shù)據(jù)分組中作為用戶連接信息由驗(yàn)證服務(wù)器72發(fā)射到驗(yàn)證代理100��。被授權(quán)的連接信息最好包括用戶被授權(quán)的網(wǎng)絡(luò)資源的一個(gè)列表����。被授權(quán)的網(wǎng)絡(luò)資源的列表最好是一個(gè)或多個(gè)VLAN標(biāo)識(shí)符的一個(gè)列表。
被授權(quán)的連接信息也可以包括時(shí)間限制�����,該時(shí)間限制最好定義了其間用戶被授權(quán)使用被授權(quán)網(wǎng)絡(luò)資源的時(shí)間�����,比如一周中的那天�、一天中的時(shí)間和允許訪問(wèn)的時(shí)間長(zhǎng)短�����。本領(lǐng)域中傳統(tǒng)的其它限制也可以施加于該被授權(quán)的用戶�。被授權(quán)的連接信息最好和相應(yīng)的驗(yàn)證模塊64標(biāo)識(shí)符一起通過(guò)驗(yàn)證代理100轉(zhuǎn)發(fā)給管理處理器模塊60�����。管理處理器模塊60最好把被授權(quán)的連接信息與被被驗(yàn)證用戶使用的主機(jī)12的已知地址相關(guān)聯(lián)�,并且把這一對(duì)存儲(chǔ)在設(shè)備記錄中����。該地址最好是一個(gè)MAC地址。
設(shè)備記錄最好在交換節(jié)點(diǎn)14上被使用以便對(duì)從用戶中接收和到用戶的分組進(jìn)行過(guò)濾和轉(zhuǎn)發(fā)決定�。如果主機(jī)12未被驗(yàn)證,除非發(fā)給驗(yàn)證代理100�,由主機(jī)發(fā)射的分組最好被接收驗(yàn)證模塊64丟掉。如果主機(jī)12被驗(yàn)證�����,則由驗(yàn)證主機(jī)發(fā)射給另外一個(gè)驗(yàn)證主機(jī)的分細(xì)按照下列規(guī)則被選擇性地轉(zhuǎn)發(fā)1.如果目標(biāo)地址是與交換節(jié)點(diǎn)14相關(guān)的另一主機(jī)地址���,則對(duì)節(jié)點(diǎn)上的設(shè)備記錄采取措施以便核實(shí)源和目標(biāo)主機(jī)共享一個(gè)公共VLAN��。如果VLAN被共享�,則分組被轉(zhuǎn)送給目標(biāo)主機(jī)���。如果VLAN沒(méi)有被共享���,則分組被丟掉。
2.如果目標(biāo)地址不是與交換節(jié)點(diǎn)14相關(guān)的另一主機(jī)地址����,則對(duì)節(jié)點(diǎn)上的設(shè)備記錄采取措施以檢索與源主機(jī)相關(guān)的VLAN標(biāo)識(shí)符。該VLAN標(biāo)識(shí)符最好被附加到分組上并且該分組被干線模塊62發(fā)射�����。當(dāng)分組到達(dá)與目標(biāo)主機(jī)相關(guān)的交換節(jié)點(diǎn)上時(shí)��,對(duì)節(jié)點(diǎn)上的設(shè)備記錄采取措施以便核實(shí)源和目標(biāo)主機(jī)共享一個(gè)公共VLAN��。如果VLAN被共享���,則分組被轉(zhuǎn)送給目標(biāo)主機(jī)����。如果VLAN沒(méi)有被共享,則分組被丟掉�。
發(fā)給網(wǎng)絡(luò)中未被檢證主機(jī)的分組繼續(xù)被丟掉。使用本領(lǐng)域已知的各種協(xié)議可以實(shí)現(xiàn)前面的規(guī)則���。應(yīng)該理解�,為了在前述規(guī)則下發(fā)射和接收分組�,可以把沒(méi)有驗(yàn)證要求的網(wǎng)絡(luò)中任何可訪問(wèn)的核心�����、邊緣或者終端設(shè)備���、站和主機(jī)作為已驗(yàn)證的系統(tǒng)來(lái)對(duì)待����。
驗(yàn)證代理100還包括一個(gè)ID終止模塊170��,用于把主機(jī)12從驗(yàn)證狀態(tài)恢復(fù)到未驗(yàn)證狀態(tài)�����。這最好發(fā)生在收到來(lái)自驗(yàn)證用戶中的退出命令���、被授權(quán)的通信能力周期期滿���、驗(yàn)證主機(jī)12從網(wǎng)絡(luò)中物理斷開�、在一個(gè)規(guī)定時(shí)間長(zhǎng)度內(nèi)驗(yàn)證主機(jī)12發(fā)送業(yè)務(wù)失敗和/或從驗(yàn)證服務(wù)器72中接收到撤消該建立的網(wǎng)絡(luò)通信能力的一個(gè)指令之后��。ID終止模塊170最好向管理處理器模塊60轉(zhuǎn)送一個(gè)要求以便從設(shè)備記錄中去掉通信能力要被撤消的用戶被授權(quán)地址的通信能力信息條目���。一收到這樣的一個(gè)請(qǐng)求���,則管理處理器模塊60最好從設(shè)備記錄中去掉該被請(qǐng)求條目并且驗(yàn)證主機(jī)12最好恢復(fù)未驗(yàn)證狀態(tài)。
連接建立�、ID請(qǐng)求、ID中繼�、核實(shí)中繼、會(huì)話終止���、資源中繼以及ID終止模塊110-170最好是軟件模塊�?����?墒牵绢I(lǐng)域技術(shù)人員應(yīng)該認(rèn)識(shí)到�����,這些模塊可以被設(shè)計(jì)為硬件���、固件和/或軟件的組合����。本領(lǐng)域技術(shù)人員還應(yīng)該認(rèn)識(shí)到�,驗(yàn)證代理100可以包括未公開但是本領(lǐng)域常規(guī)的其它模塊。
圖7是根據(jù)本發(fā)明一個(gè)實(shí)施例的驗(yàn)證服務(wù)器72的功能圖��。驗(yàn)證服務(wù)器72包括一個(gè)資源授權(quán)模塊210��,最好允許一個(gè)網(wǎng)絡(luò)管理器輸入通信網(wǎng)授權(quán)用戶的特定用戶條目(entry)�����。資源認(rèn)可模塊210最好提供一個(gè)文本和/或圖形顯示給用戶接口70�����,其可操作來(lái)從接受特定用戶條目�����。資源認(rèn)可模塊210最好把每個(gè)特定用戶條目作為一個(gè)相關(guān)對(duì)存儲(chǔ)在用戶記錄74中����。每個(gè)特定用戶條目最好包含一個(gè)用戶標(biāo)識(shí)符和用戶識(shí)別信息,比如��,被驗(yàn)證的用戶密碼��,以便訪問(wèn)VLAN16����、18或20。特定用戶條目還可以包括例如諸如授權(quán)用戶的時(shí)間限制之類的限制信息�。
資源授權(quán)模塊210另外允許網(wǎng)絡(luò)管理器輸入特定設(shè)備條目。對(duì)于具有驗(yàn)證代理的網(wǎng)絡(luò)中的每個(gè)交換節(jié)點(diǎn)���,特定設(shè)備條目最好包括交換節(jié)點(diǎn)14的地址和在該節(jié)點(diǎn)上有效的驗(yàn)證代理100的驗(yàn)證密鑰�。該地址最好是唯一分配給該交換節(jié)點(diǎn)的一個(gè)IP地址����。
驗(yàn)證服務(wù)器72最好還包括一個(gè)連接建立模塊220。一收到來(lái)自代理的請(qǐng)求�����,該連接建立模塊200建立與驗(yàn)證代理100的一個(gè)可靠連接。該連接建立模塊220確認(rèn)收到該請(qǐng)求并繼續(xù)響應(yīng)該請(qǐng)求�����。連接建立模塊220還發(fā)射和接收足以允許驗(yàn)證代理100和驗(yàn)證服務(wù)器72彼此驗(yàn)證的信息��。優(yōu)選地��,通過(guò)驗(yàn)證密鑰的交換來(lái)建立驗(yàn)證���。連接建立模塊220可以加密消息并解密在可靠的連接建立過(guò)程期間發(fā)射的加密信息����?���?紤]了驗(yàn)證代理100和服務(wù)器22之間基于TCP/IP的流���。
驗(yàn)證服務(wù)器72最好還包括一個(gè)ID驗(yàn)證模塊230��。ID驗(yàn)證模塊230用于進(jìn)行一個(gè)驗(yàn)證處理����,通過(guò)驗(yàn)證代理100從用戶中收到用戶識(shí)別信息。一收到來(lái)自驗(yàn)證代理100的用戶識(shí)別信息�,ID驗(yàn)證模塊230確定該信息是否與用戶記錄74中與特定用戶條目相關(guān)的信息匹配。如果發(fā)現(xiàn)匹配并且有與特定用戶條目相關(guān)的其它限制�����,則ID驗(yàn)證模塊230根據(jù)限制信息確定該用戶是否被授權(quán)訪問(wèn)一個(gè)或多個(gè)VLAN����。
如果該用戶被授權(quán)(不管限制或者沒(méi)有限制),則ID驗(yàn)證模塊230最好產(chǎn)生被驗(yàn)證的連接信息����。關(guān)于這點(diǎn),ID驗(yàn)證模塊230從用戶記錄74中檢索與匹配的用戶識(shí)別消息相關(guān)的被授權(quán)網(wǎng)絡(luò)資源的列表�����。被授權(quán)的連接信息還可以包括任何時(shí)間限制�。
ID驗(yàn)證模塊230還產(chǎn)生用戶狀態(tài)信息。用戶狀態(tài)信息最好是登錄有效或者登錄無(wú)效的消息�。ID驗(yàn)證模塊230最好把用戶狀態(tài)信息和任何時(shí)間限制信息一起發(fā)射給驗(yàn)證代理100。
如果ID驗(yàn)證模塊230還沒(méi)找到用戶記錄74中用戶識(shí)別信息的匹配���,或者如果用戶沒(méi)有被時(shí)間授權(quán)���,則ID驗(yàn)證模塊產(chǎn)生并發(fā)射給驗(yàn)證代理100用戶狀態(tài)信息����,該信息最好是登錄無(wú)效消息的形式���。
驗(yàn)證服務(wù)器72最好還包括一個(gè)存儲(chǔ)模塊240����。ID存儲(chǔ)模塊240最好用于轉(zhuǎn)發(fā)用戶跟蹤信息�,用于由網(wǎng)絡(luò)管理器存儲(chǔ)并使用。最好對(duì)于由預(yù)期用戶做出的所有登錄嘗試(而不論成功或失敗)保持該用戶跟蹤信息��。對(duì)于每個(gè)登錄嘗試�����,用戶跟蹤信息可以包括從下列一個(gè)或多個(gè)中獲悉的任何信息用戶識(shí)別信息����,驗(yàn)證信息�,用戶狀態(tài)信息��,限制信息等�。
用戶跟蹤信息還可以包括進(jìn)行登錄嘗試的時(shí)間���。時(shí)間可以保持在驗(yàn)證服務(wù)器72中并從該服務(wù)器獲取�����。用戶跟蹤信息還可以包括退出����、發(fā)送/接收分組數(shù)�,主機(jī)12的MAC地址等等。驗(yàn)證服務(wù)器72優(yōu)選地關(guān)聯(lián)用戶跟蹤信息并且把該信息作為一個(gè)條目存儲(chǔ)在網(wǎng)絡(luò)激活數(shù)據(jù)庫(kù)中(未示出)�����,其可由網(wǎng)絡(luò)服務(wù)器22訪問(wèn)或者位于網(wǎng)絡(luò)服務(wù)器22上����。網(wǎng)絡(luò)激活數(shù)據(jù)庫(kù)的條目可由網(wǎng)絡(luò)管理器通過(guò)用戶接口70訪問(wèn)。
除了上面的�����,驗(yàn)證服務(wù)器72最好還包括一個(gè)網(wǎng)絡(luò)監(jiān)視模塊250。網(wǎng)絡(luò)監(jiān)視模塊250最好用于使網(wǎng)絡(luò)管理器能訪問(wèn)和使用由ID存儲(chǔ)模塊240產(chǎn)生的用戶跟蹤信息��。網(wǎng)絡(luò)監(jiān)視模塊250提供一個(gè)文本的和/或圖形顯示給用戶接口70�,其可操作來(lái)顯示該用戶跟蹤信息。網(wǎng)絡(luò)監(jiān)視模塊250也使網(wǎng)絡(luò)管理器能根據(jù)一個(gè)或多個(gè)用戶跟蹤信息條目產(chǎn)生由相關(guān)信息組成的用戶跟蹤信息報(bào)告�。
資源授權(quán)、連接建立��、ID驗(yàn)證���、ID存儲(chǔ)以及網(wǎng)絡(luò)監(jiān)視模塊210-250優(yōu)選地是軟件模塊�����?�?墒?���,本領(lǐng)域技術(shù)人員應(yīng)該認(rèn)識(shí)到�����,這些模塊可以被設(shè)計(jì)為硬件、固件和/或軟件的組合�����。本領(lǐng)域技術(shù)人員還應(yīng)該認(rèn)識(shí)到���,服務(wù)器72可以包括未公開但是本領(lǐng)域常規(guī)的其它模塊。
圖8是根據(jù)本發(fā)明一個(gè)實(shí)施例的位于主機(jī)12中的生物統(tǒng)計(jì)學(xué)客戶模塊54的功能圖�。生物統(tǒng)計(jì)學(xué)客戶模塊54優(yōu)選地包括一個(gè)生物統(tǒng)計(jì)學(xué)初始化模塊310、驗(yàn)證顯示模塊320和IC發(fā)射模塊330���。這些模塊優(yōu)選地是軟件模塊��??墒?���,本領(lǐng)域技術(shù)人員應(yīng)該認(rèn)識(shí)到,這些模塊可以被設(shè)計(jì)為硬件���、固件和/或軟件的組合���。本領(lǐng)域技術(shù)人員還應(yīng)該認(rèn)識(shí)到,生物統(tǒng)計(jì)學(xué)客戶模塊54可以包括未公開但是本領(lǐng)域常規(guī)的其它模塊���。
生物統(tǒng)計(jì)學(xué)初始化模塊310最好在主機(jī)12啟動(dòng)之后請(qǐng)求并建立與生物統(tǒng)計(jì)學(xué)系統(tǒng)10的一個(gè)生物統(tǒng)計(jì)學(xué)驗(yàn)證會(huì)話�。或者��,生物統(tǒng)計(jì)學(xué)初始化模塊310可以由用戶的一個(gè)直接動(dòng)作來(lái)激活���。生物統(tǒng)計(jì)學(xué)初始化模塊310最好通過(guò)USB向生物統(tǒng)計(jì)學(xué)系統(tǒng)10發(fā)射一個(gè)建立生物統(tǒng)計(jì)學(xué)驗(yàn)證會(huì)話的請(qǐng)求��。生物統(tǒng)計(jì)學(xué)初始化模塊310最好定期發(fā)射請(qǐng)求直到生物統(tǒng)計(jì)學(xué)系統(tǒng)10響應(yīng)并進(jìn)行用戶身份的驗(yàn)證����。
驗(yàn)證顯示模塊320優(yōu)選地提供該生物統(tǒng)計(jì)學(xué)驗(yàn)證過(guò)程結(jié)果的一個(gè)文本和/或圖形顯示給用戶接口50�����。這樣的結(jié)果可以指示該用戶的身份是否已經(jīng)被核實(shí)��。該結(jié)果還可能包括指示所提供的生物統(tǒng)計(jì)學(xué)抽樣和存儲(chǔ)的生物統(tǒng)計(jì)學(xué)模板之間匹配百分比的分值�。
如果用戶的身份已經(jīng)被核實(shí),則IC發(fā)射模塊330優(yōu)選地接收來(lái)自生物統(tǒng)計(jì)學(xué)10中的用戶識(shí)別信息�。ID發(fā)射模塊330最好發(fā)射識(shí)別信息給驗(yàn)證客戶模塊52,用于把用戶驗(yàn)證進(jìn)入一個(gè)或多個(gè)VLAN16��、18、20��。
圖9是根據(jù)本發(fā)明一個(gè)實(shí)施例的位于主機(jī)12中的驗(yàn)證客戶模塊52的功能圖�。驗(yàn)證客戶模塊52優(yōu)選地包括一個(gè)ID初始化模塊410、一個(gè)驗(yàn)證顯示模塊420和一個(gè)ID斷開模塊430�����。這些模塊優(yōu)選地是軟件模塊�����?��?墒牵绢I(lǐng)域技術(shù)人員應(yīng)該承認(rèn)��,這些模塊可以被設(shè)計(jì)為硬件���、固件和/或軟件的組合�。本領(lǐng)域技術(shù)人員還應(yīng)該承認(rèn)����,驗(yàn)證客戶模塊52可以包括未公開但是本領(lǐng)域常規(guī)的其它模塊。
一從生物統(tǒng)計(jì)學(xué)客戶模塊54中收到用戶識(shí)別信息,IC初始化模塊410就請(qǐng)求并建立與驗(yàn)證代理100的一個(gè)驗(yàn)證會(huì)話���。ID初始化模塊410優(yōu)選地向驗(yàn)證代理發(fā)射一個(gè)使用代理的已知地址來(lái)建立驗(yàn)證會(huì)話的請(qǐng)求���。驗(yàn)證客戶模塊54優(yōu)選地定期發(fā)射請(qǐng)求直到驗(yàn)證代理100響應(yīng)為止?����?紤]了一個(gè)基于MAC的流����。或者���,可以通過(guò)例如諸如Telnet或XCAP之類的軟件應(yīng)用程序來(lái)使用一個(gè)基于IP的流���。
驗(yàn)證顯示模塊430向主機(jī)12的用戶傳達(dá)該登錄嘗試是否成功或失敗。驗(yàn)證顯示模塊430提供一個(gè)文本和/或圖形顯示給用戶接口50�,其可操作來(lái)顯示用戶狀態(tài)信息,最好是從交換節(jié)點(diǎn)14中的驗(yàn)證代理100中收到的登錄有效消息或登錄無(wú)效消息��。
ID斷開模塊440啟動(dòng)退出過(guò)程�,通過(guò)該過(guò)程�,被驗(yàn)證的用戶退出該網(wǎng)絡(luò)�。ID斷開模塊440優(yōu)選地提供一個(gè)文本和/或圖形顯示給用戶接口50,其可操作來(lái)接受退出命令����。ID斷開模塊440優(yōu)選地發(fā)射退出命令給驗(yàn)證代理100,用于解除已建立的網(wǎng)絡(luò)通信能力�。
圖10根據(jù)本發(fā)明一個(gè)實(shí)施例的生物統(tǒng)計(jì)學(xué)驗(yàn)證VLAN的處理流程圖。該過(guò)程開始�,并且在步驟500中,交換節(jié)點(diǎn)14被初始化�����。在初始化之后����,驗(yàn)證代理100利用服務(wù)器的已知地址為試圖建立與驗(yàn)證服務(wù)器72的可靠連接�。一旦TCP會(huì)話被成功建立,則代理100和服務(wù)器72通過(guò)交換驗(yàn)證密鑰來(lái)彼此驗(yàn)證���。
在步驟502�����,用戶啟動(dòng)主機(jī)12����,最好使生物統(tǒng)計(jì)學(xué)客戶模塊54激活。生物統(tǒng)計(jì)學(xué)客戶模塊54檢測(cè)耦合到主機(jī)12上的生物統(tǒng)計(jì)學(xué)10���,并且在步驟504中發(fā)射生物統(tǒng)計(jì)學(xué)驗(yàn)證過(guò)程的一個(gè)請(qǐng)求���。關(guān)于這點(diǎn),用戶或者自動(dòng)地或者響應(yīng)于主機(jī)12或生物統(tǒng)計(jì)學(xué)系統(tǒng)10的一個(gè)提示來(lái)提供一個(gè)生物統(tǒng)計(jì)學(xué)抽樣給生物統(tǒng)計(jì)學(xué)系統(tǒng)���。匹配引擎34把生物統(tǒng)計(jì)學(xué)抽樣與儲(chǔ)存在生物統(tǒng)計(jì)學(xué)數(shù)據(jù)庫(kù)36中的模板進(jìn)行比較����,并且輸出一個(gè)結(jié)果�����,該結(jié)果表示該用戶身份是否已經(jīng)被核實(shí)����。正如在步驟506中所確定的,如果身份已經(jīng)被核實(shí)����,識(shí)別信息發(fā)生器38在步驟510中向生物統(tǒng)計(jì)學(xué)客戶模塊54提供與匹配模板相關(guān)的用戶識(shí)別信息����。
在步驟512�,生物統(tǒng)計(jì)學(xué)客戶模塊54提供用戶識(shí)別信息給驗(yàn)證客戶模塊52。在步驟514�,基于該用戶識(shí)別信息調(diào)用一個(gè)用戶驗(yàn)證過(guò)程。關(guān)于這點(diǎn)��,驗(yàn)證客戶模塊52發(fā)射一個(gè)驗(yàn)證請(qǐng)求給位于交換節(jié)點(diǎn)14中的驗(yàn)證代理100�。該請(qǐng)求優(yōu)選地包括由生物統(tǒng)計(jì)學(xué)客戶模塊54提供的用戶識(shí)別信息。驗(yàn)證請(qǐng)求定期地被發(fā)射給代理100直到該代理響應(yīng)為止�。
驗(yàn)證代理100接收該請(qǐng)求并向驗(yàn)證服務(wù)器72發(fā)射該用戶識(shí)別信息和交換節(jié)點(diǎn)14的地址以及與主機(jī)12相關(guān)的驗(yàn)證模塊64的標(biāo)識(shí)符。驗(yàn)證服務(wù)器72在用戶記錄74中查找具有與該用戶識(shí)別信息匹配的信息的特定用戶條目����。如果一個(gè)匹配條目被找到����,則驗(yàn)證服務(wù)器72檢查時(shí)間限制。正如在步驟516中所確定的�����,如果用戶被時(shí)間授權(quán),則驗(yàn)證服務(wù)器72檢索被驗(yàn)證網(wǎng)絡(luò)資源的列表和時(shí)間限制����,并把該信息和用戶狀態(tài)信息一起發(fā)射給驗(yàn)證客戶模塊52。用戶狀態(tài)信息優(yōu)選地是一個(gè)登錄有效消息�。
如果沒(méi)有匹配條目被找到,或者如果這個(gè)用戶沒(méi)有被時(shí)間授權(quán)��,則一個(gè)用戶狀態(tài)信息(優(yōu)選地是以登錄無(wú)效消息的形式)在步驟520被返回給驗(yàn)證客戶模塊52�����。
再一次參見(jiàn)步驟506����,如果基于所提供的生物統(tǒng)計(jì)學(xué)抽樣,用戶的身份沒(méi)有被核實(shí)�����,則在步驟508確定是否已經(jīng)進(jìn)行了最大數(shù)目的驗(yàn)證嘗試���。如果答案為否��,則基于新提供的生物統(tǒng)計(jì)學(xué)抽樣��,生物統(tǒng)計(jì)學(xué)客戶模塊52優(yōu)選地再一次調(diào)用生物統(tǒng)計(jì)學(xué)驗(yàn)證過(guò)程����。
雖然在某些特定的實(shí)施例中已經(jīng)描述了本發(fā)明,但是本領(lǐng)域技術(shù)人員將可以毫無(wú)困難設(shè)計(jì)出不脫離本發(fā)明范圍和精神的各種變化�����。例如�,雖然相對(duì)于與特定的生物統(tǒng)計(jì)學(xué)核實(shí)或者驗(yàn)證任務(wù)相關(guān)的特定軟件模塊描述了本發(fā)明,但是本領(lǐng)域技術(shù)人員應(yīng)該認(rèn)識(shí)到任何這些任務(wù)都可以被組合成為一個(gè)特定的模塊或者成為分開的模塊��。因此應(yīng)該理解����,除了被明確描述的之外,本發(fā)明也可以被實(shí)現(xiàn)��。因此����,本發(fā)明實(shí)施例在各方面都應(yīng)該被考慮作為是說(shuō)明性的而不是限定性的�,本發(fā)明的范圍通過(guò)附加權(quán)利要求和它們的等同而不是前述說(shuō)明來(lái)表示。
權(quán)利要求
1.一種用于通信網(wǎng)的用戶驗(yàn)證系統(tǒng)���,包括一個(gè)第一節(jié)點(diǎn)����;和耦合到第一節(jié)點(diǎn)的一個(gè)第二節(jié)點(diǎn),其特征在于第二節(jié)點(diǎn)接收來(lái)自個(gè)體中的一個(gè)生物統(tǒng)計(jì)學(xué)抽樣�,基于生物統(tǒng)計(jì)學(xué)抽樣來(lái)核實(shí)該個(gè)體的身份,和在該個(gè)體的身份核實(shí)之后釋放與該個(gè)體相關(guān)的用戶識(shí)別信息�����,該用戶識(shí)別信息被發(fā)送到第一節(jié)點(diǎn)用于進(jìn)行與第三節(jié)點(diǎn)的驗(yàn)證協(xié)議交換����。
2.如權(quán)利要求1所述的用戶驗(yàn)證系統(tǒng),其特征還在于第三節(jié)點(diǎn)基于該用戶識(shí)別信息來(lái)允許第一節(jié)點(diǎn)訪問(wèn)一個(gè)或多個(gè)虛擬局域網(wǎng)(VLAN)�。
3.如權(quán)利要求2所述的用戶驗(yàn)證系統(tǒng),其特征還在于如果尋求的訪問(wèn)在定義的訪問(wèn)時(shí)間之外��,則第三節(jié)點(diǎn)拒絕第一節(jié)點(diǎn)訪問(wèn)一個(gè)或多個(gè)VLAN�����。
4.如權(quán)利要求1所述的用戶驗(yàn)證系統(tǒng)��,其中,生物統(tǒng)計(jì)學(xué)抽樣是該個(gè)體的一個(gè)生理特性�。
5.如權(quán)利要求1所述的用戶驗(yàn)證系統(tǒng),其中�,該用戶識(shí)別信息包括一個(gè)用戶名和口令。
6.一種用于通信網(wǎng)的用戶驗(yàn)證系統(tǒng)�����,包括一個(gè)可被一個(gè)個(gè)體訪問(wèn)的主機(jī)��,用于訪問(wèn)一個(gè)或多個(gè)虛擬局域網(wǎng)(VLAN)�;一個(gè)接收來(lái)自該個(gè)體的生物統(tǒng)計(jì)學(xué)抽樣的生物統(tǒng)計(jì)學(xué)系統(tǒng),該生物統(tǒng)計(jì)學(xué)基于該生物統(tǒng)計(jì)學(xué)抽樣來(lái)核實(shí)該個(gè)體的身份并且如果該個(gè)體的身份被核實(shí)則釋放用戶識(shí)別信息���;和一個(gè)交換節(jié)點(diǎn)�,接收由生物統(tǒng)計(jì)學(xué)系統(tǒng)產(chǎn)生的用戶識(shí)別信息并根據(jù)該用戶識(shí)別信息來(lái)允許主機(jī)訪問(wèn)一個(gè)或多個(gè)VLAN���。
7.如權(quán)利要求6所述的用戶驗(yàn)證系統(tǒng)����,其中�,生物統(tǒng)計(jì)學(xué)抽樣是該個(gè)體的一個(gè)生理特性。
8.如權(quán)利要求6所述的用戶驗(yàn)證系統(tǒng)�,其中����,該用戶識(shí)別信息包括一個(gè)用戶名和口令�。
9.如權(quán)利要求6所述的用戶驗(yàn)證系統(tǒng)�����,還包括一個(gè)耦合到交換節(jié)點(diǎn)的驗(yàn)證服務(wù)器�,該驗(yàn)證服務(wù)器把用戶識(shí)別信息與儲(chǔ)存的用戶數(shù)據(jù)進(jìn)行比較并且在有一個(gè)匹配之后檢索被授權(quán)的VLAN的一個(gè)列表。
10.如權(quán)利要求6所述的用戶驗(yàn)證系統(tǒng)��,其中�����,如果尋求的訪問(wèn)在一個(gè)定義的訪問(wèn)時(shí)間之外則該主機(jī)被拒絕訪問(wèn)一個(gè)或多個(gè)VLAN�����。
11.一種用于通信網(wǎng)的用戶驗(yàn)證系統(tǒng)�����,包括一個(gè)輸入����,用于接收來(lái)自個(gè)體中的一個(gè)生物統(tǒng)計(jì)學(xué)抽樣���;一個(gè)耦合到該輸入的第一引擎,用于基于該生物統(tǒng)計(jì)學(xué)抽樣核實(shí)該個(gè)體的身份����;和一個(gè)耦合到第一引擎的第二引擎,用于如果該個(gè)體的身份被第一引擎核實(shí)則釋放用戶識(shí)別信息�����,該用戶識(shí)別信息被用于確定該個(gè)體被授權(quán)的一個(gè)或多個(gè)虛擬局域網(wǎng)�����。
12.如權(quán)利要求11所述的用戶驗(yàn)證系統(tǒng)�,其中,第一引擎把生物統(tǒng)計(jì)學(xué)抽樣與儲(chǔ)存的生物統(tǒng)計(jì)學(xué)數(shù)據(jù)進(jìn)行比較并且基于該比較返回一個(gè)結(jié)果��。
13.如權(quán)利要求12所述的用戶驗(yàn)證系統(tǒng)����,還包括一個(gè)用于顯示該結(jié)果的輸出。
14.如權(quán)利要求11所述的用戶驗(yàn)證系統(tǒng)����,其中���,生物統(tǒng)計(jì)學(xué)抽樣是該個(gè)體的一個(gè)生理特性���。
15.如權(quán)利要求11所述的用戶驗(yàn)證系統(tǒng)�,其中���,該用戶識(shí)別信息包括一個(gè)用戶名和口令���。
16.一種用于通信系統(tǒng)的用戶驗(yàn)證方法,該方法包括如下步驟接收來(lái)自能訪問(wèn)第一節(jié)點(diǎn)的個(gè)體中的一個(gè)生物統(tǒng)計(jì)學(xué)抽樣�����;基于該生物統(tǒng)計(jì)學(xué)抽樣核實(shí)該個(gè)體的身份����;如果該個(gè)體的身份被核實(shí),則釋放用戶識(shí)別信息�����;和進(jìn)行一個(gè)驗(yàn)證協(xié)議交換,包括發(fā)射產(chǎn)生的用戶識(shí)別信息到第二節(jié)點(diǎn)��。
17.如權(quán)利要求16所述的用戶驗(yàn)證方法�,還包括如下步驟基于該用戶識(shí)別信息允許第一節(jié)點(diǎn)訪問(wèn)一個(gè)或多個(gè)虛擬局域網(wǎng)(VLAN)。
18.如權(quán)利要求17所述的用戶驗(yàn)證方法��,還包括如下步驟如果尋求的訪問(wèn)在定義的訪問(wèn)時(shí)間之外�,則拒絕第一節(jié)點(diǎn)訪問(wèn)一個(gè)或多個(gè)VLAN。
19.如權(quán)利要求16所述的用戶驗(yàn)證方法��,其中�,生物統(tǒng)計(jì)學(xué)抽樣是該個(gè)體的一個(gè)生理特性。
20.如權(quán)利要求16所述的用戶驗(yàn)證方法����,其中,該用戶識(shí)別信息包括一個(gè)用戶名和口令��。
21.一種用于通信系統(tǒng)的用戶驗(yàn)證方法��,該方法包括如下步驟接收來(lái)自能訪問(wèn)第一節(jié)點(diǎn)的個(gè)體中的一個(gè)生物統(tǒng)計(jì)學(xué)抽樣��;把該生物統(tǒng)計(jì)學(xué)抽樣與儲(chǔ)存的生物統(tǒng)計(jì)學(xué)數(shù)據(jù)進(jìn)行比較����;響應(yīng)該生物統(tǒng)計(jì)學(xué)抽樣與儲(chǔ)存的生物統(tǒng)計(jì)學(xué)數(shù)據(jù)的匹配���,釋放用戶識(shí)別信息;把產(chǎn)生的用戶識(shí)別信息與儲(chǔ)存的用戶數(shù)據(jù)進(jìn)行比較��;響應(yīng)用戶識(shí)別信息與存儲(chǔ)的用戶數(shù)據(jù)的匹配����,檢索被授權(quán)的虛擬局域網(wǎng)(VLAN)的一個(gè)列表���;和允許該第一節(jié)點(diǎn)訪問(wèn)被驗(yàn)證的VLAN�����。
22.如權(quán)利要求20所述的用戶驗(yàn)證方法�����,其中��,生物統(tǒng)計(jì)學(xué)抽樣是該個(gè)體的一個(gè)生理特性�。
23.如權(quán)利要求20所述的用戶驗(yàn)證方法����,其中���,該用戶識(shí)別信息包括一個(gè)用戶名和口令。
24.如權(quán)利要求20所述的用戶驗(yàn)證方法�����,還包括如下步驟如果尋求的訪問(wèn)在定義的訪問(wèn)時(shí)間之外�,則拒絕第一節(jié)點(diǎn)訪問(wèn)一個(gè)或多個(gè)VLAN。
25.一種用于通信系統(tǒng)的用戶驗(yàn)證方法�,該方法包括如下步驟接收來(lái)自能訪問(wèn)第一節(jié)點(diǎn)的個(gè)體中的一個(gè)生物統(tǒng)計(jì)學(xué)抽樣;基于該生物統(tǒng)計(jì)學(xué)抽樣核實(shí)該個(gè)體的身份����;和如果該個(gè)體的身份被核實(shí),允許第一節(jié)點(diǎn)訪問(wèn)一個(gè)或多個(gè)虛擬局域網(wǎng)(VLAN)����。
26.如權(quán)利要求25所述的用戶驗(yàn)證方法,其中�,生物統(tǒng)計(jì)學(xué)抽樣是該個(gè)體的一個(gè)生理特性。
27.如權(quán)利要求25所述的用戶驗(yàn)證方法�,還包括如下步驟如果尋求的訪問(wèn)在定義的訪問(wèn)時(shí)間之外,則拒絕第一節(jié)點(diǎn)訪問(wèn)一個(gè)或多個(gè)VLAN���。
全文摘要
一種用于數(shù)據(jù)通信網(wǎng)的用戶驗(yàn)證系統(tǒng)和方法����,其幫助確保一個(gè)訪問(wèn)網(wǎng)絡(luò)資源的用戶真的是具有所要求身份的那個(gè)人。該用戶的身份被一種生物統(tǒng)計(jì)學(xué)系統(tǒng)通過(guò)檢查該用戶的生理或動(dòng)作的特性來(lái)核實(shí)�����。訪問(wèn)網(wǎng)絡(luò)資源所需要的用戶識(shí)別信息被儲(chǔ)存在生物統(tǒng)計(jì)學(xué)系統(tǒng)中并且直到該用戶的身份被核實(shí)時(shí)才被釋放�����。在該用戶的身份核實(shí)之后�����,該用戶識(shí)別數(shù)據(jù)被提供給一個(gè)交換節(jié)點(diǎn)用于確定用戶可以訪問(wèn)的VLAN��。
文檔編號(hào)H04L9/32GK1400771SQ0212153
公開日2003年3月5日 申請(qǐng)日期2002年3月8日 優(yōu)先權(quán)日2001年3月8日
發(fā)明者桑田政輝, 岡村康一郎, 大麻剛稔 申請(qǐng)人:阿爾卡塔爾公司