网络使用者的识别与验证的制作方法【专利摘要】一识别与验证一网络使用者的方法,包括自一第一使用者实体接收一网络层封包。该第一网络层封包可包括一第一唯一识别信息,该第一唯一识别信息为第一使用者实体所独有,且无关于一相关于该第一网络层封包的一第一网络地址。该方法进一步包括依据该第一唯一识别信息,而在一网络的一网络层确认该第一网络层封包系来自于该第一使用者实体。【专利说明】网络使用者的识别与验证[0001]在先申请[0002]本发明为根据2011年9月22日的美国临时申请案号61/537,898而主张优先权,其全文内容为经结合而作为参考。【
技术领域:
】[0003]本发明为关于识别与验证一网络使用者。【
背景技术:
】[0004]身份标示的管理(Identitymanagement)对于包括公共因特网的通讯网路而言系为日趋重要。随着个人化内容以近乎指数比例成长,以一使用者的身份标示而非机器的身份标示而存取服务与数据系正逐渐增加。甚且,现正愈来愈多数量的个人与敏感性数据为在在线储存与传输。维护这些数据的安全并确保只有正确的实体可存取该数据的工作系愈趋重要,而与此相关的花费正以非比寻常的比例增加中。除此之外,这场要保持领先一步于意图不正当使用网络系统者的无尽战斗尚不可言胜。[0005]作为现代因特网的基础的因特网协议(InternetProtocol,IP)并非被设计为方便使用者以使用者标示以进行通讯,而此系导致长期以来的分离地模式发展,其包含以两种主要方式而所采用的数据安全性方针,即:在IP地址层级使用一所给定主机的来源IP地址;或根据特定于一应用程序的一使用者标示(该使用者标示为由该应用程序所识别)而在一网络封包的应用层(applicationlayer)中而被传送。[0006]这两种方法时常关联于对安全性模式的巨大妥协,而此特别明显于多数个匿名攻击者可侵入知名网络服务,在造成以百万计的损害却具后续的最小风险。这类系统与应用程序(目前包括有数十亿计的使用者)的使用者皆被要求管理并记忆以使用者名称与密码的形式而表示的大量在线账号凭据(credentials)。雪上加霜的是,恶意攻击者有大量的方法能够并进而实际去窃取这些数据,从而来假扮受害者。[0007]在此所请求的主体并不仅限于解决任一缺点或于如上所述环境中操作的实施例。相对地,此先前技术仅供用于描述一个范例性的【
技术领域:
】,而有一些实施例可在该【
技术领域:
】中被实施。【
发明内容】[0008]根据本发明的实施例,一种识别与验证网络使与者的方法包括:自一第一使用者实体接收一第一网络层封包。该第一网络层封包可包括该第一使用者实体所独有的一第一唯一识别信息,且该第一唯一识别信息为无关于与该第一网络层封包相关联的一第一网络地址。该方法更包括根据该第一唯一识别信息,而在一网络的网络层确认该网络层封包为来自该第一使用者实体。[0009]本发明的其它特征与优点将在后续说明中阐述,而有某些为可见于说明中,或可藉由本发明的实作而获悉。本发明的特征与优点可藉由申请专利范围所指出的特定手段与组合而实现并获得。本发明的这些与其它特征在下列说明与申请专利范围项中将更为明显,或可藉由下文中所述的本发明的实施而了解。【专利附图】【附图说明】[0010]为进一步厘清本发明的上述及其它优点与特征,本发明的一更具体说明将以附呈图式中所绘的特定实施例为参考而呈现。应理解的是该些图式仅描绘本发明的典型实施例,因此不应视为对其范围的限制。本发明将通过使用附呈图示而更具体细节地描述与说明。[0011]图1系一系统的方块图,该系统经配置而识别及/或验证一网络使用者实体。[0012]图2系一范例系统的方块图,该范例系统经配置而依据网络层封包所包括的唯一识别信息用于规范一使用者端点对于一目的端点的存取。以及[0013]图3显示一范例程序,可用于执行注册、验证以及一使用者端点与一目的端点之间的数据流传输。【具体实施方式】[0014]在本发明的某些实施例中,一网络(例如因特网)的一使用者实体可由像是因特网协议(IP)封包的一网络层封包而在该网络的网络层(有时被称为第3网络层)中而单独地(exclusively)识别与/或验证出。在某些实施例中,一网络层封包可包括该使用者实体所独有的一唯一识别信息。在某些实施例中,该唯一识别信息可与一关联于该使用者实体的一唯一使用者识别码(ID)相关联。该唯一使用者识别码可无关于该网络层封包所起始(originate)的网络地址(例如,IP地址)。[0015]在某些实施例中,该唯一识别信息可被安全地签署,据此得以合理地确认并信任该网络层封包系由该使用者实体所传送,而非为一第三方伪装作为该使用者实体。[0016]此外,该唯一识别信息可被包括于该网络层封包的任何适合的部位(例如标头),该部位可由在该网络层操作的该网络组件所识别与读取。以例示而非限制方式而言,对于一IP版本4(IPv4)的封包,该识别信息可被包括于该IPv4封包的标头的选项(option)字段。而在另一个实施例中,对于一IP版本6(IPv6)封包,该识别信息可被包括于IPv6封包的标头的逐跳(Hop-by-Hop)字段。因此,可根据该唯一识别信息而在该网络的该网络层中识别或验证该使用者实体。相对地,习知的验证方法则可能根据于一唯一识别信息,该唯一识别信息系与网络的应用层(有时被称为第7层)通讯相关。此类习知的验证模式可不允许该网络的网络层组件适当地识别与验证使用者实体,因为该网络层组件为无法读取或存取该应用层信息。[0017]此外,本发明中的网络层的验证与识别的配置可允许多个使用者实体共享该相同的网络地址,并在藉由该网络而通讯时仍可在该网络层被独有地识别与验证。相对而言,在该网络层,许多习知的使用者识别与验证方法大量依赖根据该实际网络地址而识别与验证使用者,而不是或无法差别化在该网络层具有相同网络地址的潜在不同使用者实体。此外,因为该使用者唯一识别信息系为无关于该网络地址,相同的使用者实体可被识别而无论该使用者实体所使用的网络地址为何,于是来自相同的使用者实体的通讯可横跨不同的网络地址而连结。相对而言,习知的根据网络地址的使用者网络层识别与验证并不提供判断使用不同的网络地址的该相同使用者实体。[0018]再者,可根据包括在该网络层封包中的该使用者唯一识别信息,而在该网络层识别出开始网络流量(networktraffic)的该使用者实体。据此,在某些实施例中,该使用者实体通过网络而想要至一目的地点的通讯系,可在被该想要置的目的地点所接受前而被确认,以致若该使用者实体没有与该所要去的目的地通讯的许可时,该通讯可被拒绝。因此,若该使用者实体未被准予存取,该使用者实体可能甚至无法与该所要的想要至的目的地点建立联机,进而可实质地降低一恶意使用者实体对该所要去的的目的地点遂行一攻击的能力。[0019]例如,为了引发一攻击,一恶意使用者需要先窃取一经授权的使用者实体的一组唯一使用者识别码以及与其相关的验证金钥,方能与一所要去的目的地点、应用程序或服务相通讯(并藉此传送恶意通讯)。此外,如此的恶意活动可被轻易辨认为相关于特定的一组唯一使用者识别码,使得相关于该唯一使用者识别码的存取权限可被撤销。相对地,目前的应用层验证协议及程序允许与一目的地点的至少一初始联机与通讯,使得可对于储存于目的地点的敏感信息为进一步存取给出凭证,而非对于全部者信息的凭证。与该目的地点的初始通讯可为恶意使用者实体所利用而取得对于该敏感信息的未授权的存取。[0020]此外,因为该使用者实体可根据该网络层封包而被安全地识别与验证,该使用者实体可被给予由该目的地点所提供的账号服务,例如:社群媒体、电子邮件、银行服务、或任何其它账户服务,该些服务的提供系依据包括在该网络层封包内的该使用者唯一识别信息,或此数据与习知应用程序授权方案的一组合。因此,依据密码而存取的需求(及相关的安全性风险)可被减少及/或消除、或增加。相似地,根据包括在该网络层封包中的该使用者唯一识别信息而识别一使用者,可允许横跨多个应用程序(例如银行服务、社交媒体、在线购物等)或横跨多种协定(http、scp、netbios、ssh等)的一共同验证方法或账号,并可允许沿着通讯路径的多个网络层端点进行方针执行(enforcement)。[0021]另外,不同使用者实体可具有针对一网络组件的存取与设置的不同权限。例如,一给定网络的一网络管理者可具有比该网络的一使用者更多的存取权限。因此,在某些实施例中,相关于一具有较多权限的使用者(例如,该网络管理者)的一组唯一使用者识别码可被套用一方针(policy),该方针可相较于相关于具有较少权限的使用者的一组唯一使用者识别码具有更多的存取并允许更多的控制。[0022]如上所述的本发明的实施例,在此以参照附属图示的方式而进一步详述。图1系显示根据本发明某些实施例的一经配置而用于识别及/或验证一网络使用者实体的一系统100的方块图。该系统100可包括一使用者端点102、一网络104以及一目的地端点106。[0023]该使用者端点102可为任何适合的系统、设备或装置,经配置而用于促动一使用者实体通过该网络104而与该目的地端点106进行数据的通讯。以示例而非限制的方式,该使用者端点102可为一个人计算机、一笔记型计算机、一移动电话、一智能型手机、一个人数字助理(PDA)、一平板计算机、一娱乐装置、一导航装置、一服务器等。该使用者实体可为任何可使用该使用者端点102而与该目的地端点106通讯的适合的实体,以示例而非限制的方式,该使用者实体可包括:一人类使用者、灵长类动物、海豚、守护程序、处理程序、月艮务、应用程序、装置、组件等可通过该网络104而与该使用者端点通讯的使用者实体。某些应用程序或服务的范例可包括一备份或防毒代理程序或一网络服务器、应用程序或数据库处理程序。[0024]该目的地端点106可为任何适合的系统、设备或装置,经配置而通过该网络104而与一使用者端点102通讯,并可依据该使用者端点102所产生的请求而对该使用者106提供数据。在某些实施例中,该目的地端点106可为一个或多个服务器、一个或多个计算机可读取储存装置或序列,及/或该一个或多个服务器、储存装置以及/或储存序列中所包括的一个或多个档案。[0025]该网络104可为任何适合的网络及/或结构(fabric)经配置而用于通讯地联结该使用者端点102至该目的地端点106。该网络104可据此而作为下列网络结构或其一部分而实施:一储存局域网络(SAN)、一个人局域网络(PAN)、一局部局域网络(LAN)、一都会局域网络(MAN)、一广域网络(WAN)、一无线局域网络(WLAN)、一虚拟私有网络(VPN)、一移动网络(cellularnetwork)、一内部网络(intranet)、因特网或任何其它促动讯号、数据及/或讯息(一般通称为数据)通讯的适当结构或系统,或上述网络结构的任何组合。[0026]该网络104可使用无线传输及/或有线传输而传输数据,该传输系通过但不限于下列储存及/或通讯协议:光纤信道(FiberChanel)、讯框中继(FrameReplay)、异步传输模式(AsynchronousTransferMode,ATM)、因特网流量协议(InternetProtocol,IP)、因特网流量协定第6版(InternetProtocolversion6,IPv6)、其它封包形式协议、小型计算机系统接口(smallcomputersysteminterfaces,SCSI)、因特网SCSI(InternetSCSI,iSCSI)、进阶技术连接(advancedtechnologyattachment,ATA)、序列存放结构(serialstoragearchitecture,SSA)>整合式电子驱动接口(integrateddriveelectronics,IDE)以及/或上述协议的任何组合。该网络104与其各种组件(可包括或不包括该使用者端点102与该目的地端点106)可使用硬件、软件或其组合而被实施。[0027]该使用者端点102可通过使用网络层封包,例如IP封包而对该目的地端点106传送数据或请求数据。该网络层封包可包括唯一识别信息,该唯一识别信息系相关于使用该使用者端点102的该使用者实体。在某些实施例中,该唯一识别信息可根据一组唯一使用者识别码而相关于该使用者实体。该唯一使用者识别码可包括任何适合的识别码,该适合的识别码为可供一验证网域(依照图2与图3进一步描述)独特地识别,且在某些实施例中,该适合的识别码可为一相关于该使用者实体相关的一全域唯一名称(globalIyuniquename)。例如,该唯一使用者识别码可包括该使用者实体所独有的一电子邮件地址或登入识别码。该些可自该唯一使用者识别码得出的独有性识别数据,可被包括在该网络层封包的一个部分,以使该数据可被该网络层组件所读取及/或存取。据此,该使用者实体可由一验证网域的组件所识别,以促动一方针的执行。在某些实施例中,该唯一识别信息可被包含于自该使用者端点102通讯的一网络层封包的一标头(例如,一IP封包标头)中。[0028]在某些实施例中,可采用任何适合的签署或杂凑(hashing)方法而数字地签署该使用者唯一识别信息。据此,一第三方将无法仅通过分析网络层封包,以及将分析所得的相关于该使用者实体的该唯一使用者信息包括在该第三方的网络层封包中,而轻易仿真该使用者实体。再者,在某些实施例中,可对该使用者唯一识别信息以一随机或虚拟随机盐(salt)而以加盐法施予加密,以进一步减少第三方能够仿真该使用者实体的风险。[0029]要自该使用者端点102而至该目的地端点106的该网络层封包,依据该网络层封包所包括的该唯一使用者信息可到达或无法到达该目的地端点106。例如,若该使用者实体未被授权与该目的地端点106通讯或存取该目的地端点106,则由该使用者端点102所发出,要对该目的地端点106通讯的一网络层封包,可能无法到达该目的地端点106,因为该网络层封包所包括的该唯一使用者识别信息被识别为来自该未被授权的使用者实体。相对地,若该使用者实体已被授权对该目的地端点106通讯或存取,则由该使用者端点102所发出,要对该目的地端点106通讯的一网络层封包,可到达该目的地端点106,因为该网络层封包所包括的该唯一使用者识别信息被识别为来自该已被授权的使用者实体。[0030]以下搭配图2与图3说明,该使用者实体是否已被授权对该目的地端点106通讯及/或存取的判断,可根据该使用者实体是否已注册于一与授权存取该目的地端点106相关的验证网域。此外,搭配图2与图3进一步说明,该验证网域可经配置而依据该使用者端点102所提供的该唯一使用者识别信息,而用于执行授予或拒绝该使用者实体(通过该使用者端点102)对该目的地端点106存取的相关方针。[0031]因此,该系统100可经配置而依据来自该使用者端点102而要至该目的地端点106的一网络层封包中所包括的唯一使用者识别信息,而允许或拒绝一使用者实体(通过该使用者端点102)对一目的地端点106的存取。如上所述,此一配置可允许数个使用者实体共享相同的网络地址,并在通过网络104而通讯时仍可被独有地识别以及验证。此外,因为该使用者唯一识别信息系为无关于该网络地址,无论该使用者实体所使用的该网络地址为何,皆可在该网络层中识别出相同的使用者实体。再者,该网络流量所起始的该使用者实体可根据包括在该网络层封包中的唯一使用者识别信息而被识别,如此则可允许该使用者实体存取与该使用者实体相关的账号,而不需其它习知的方法,例如:一使用者名称、账号以及/或密码。此外,在某些实施例中,该唯一识别信息可用于取代为或进一步添加其它有别于目前所使用的允许一使用者实体存取一目的地端点的型式的验证。例如,该唯一识别信息可与目前的验证方法(例如一密码)结合而增加安全性。[0032]图1中的系统100可被修改、增加或省略而不会偏离本发明的范围。例如,该使用者端点及/或该目的地端点的数量可视特定状况而改变。例如,与一唯一使用者识别码相关联的一使用者实体,可在一给定的时间活跃地使用数个使用者端点,以致来自所有使用者端点的通讯流量皆可与同一给定的使用者识别码相关联。此外,虽然未示于图1中,该使用者端点102与该目的地端点106之间可具有任何数量的网络组件以及/或潜在的执行端点。再者,在某些实施例中,该使用者端点102的验证与识别功能(验证与识别该使用者端点102的该使用者实体)可依据储存在该使用者端点102所包括的一易卸式计算机可读取媒体中的指示而执行,该易卸式计算机可读取媒体可包括:例如一通用串行总线(UniversalSerialBus,USB)快闪磁盘(flashdrive)、一安全数字(SecureDigital,SD)卡、或任何其它可轻易卸除的可应用储存装置;该易卸式计算机可读取媒体亦可为无线读取的媒体,包括但不限于以下列方式存取的媒体:蓝牙(Bluetooth)、射频(RadioFrequency,RF)或近场通讯(NearFieldCommunication,NFC))。在另一实施例中,该储存的数据可被内嵌于一芯片、扩充卡或内置于该使用者端点102的模块。[0033]因此,在某些实施例中,一使用者实体可在一个使用者端点卸除该易卸式计算机可读取媒体,并可将该易卸式计算机可读取媒体插入、安装或连接至另一个使用者端点,如此则无论该使用者实体所使用的该使用者端点为何,皆可使用同一验证方案而对该使用者实体予以验证及识别。在其它实施例中,每一使用者端点可包括与该使用者实体相关的验证信息(例如,透过该唯一使用者识别码),于是每一使用者端点可与该使用者实体相关联而不需使用一易卸式计算机可读取媒体。[0034]图2系显示根据本发明的某些实施例的一范例系统200的一方块图,该系统200经配置而规范该使用者端点202对于一目的地端点206的存取,该规范系依据一使用者端点202通过一网络204而通讯的网络层封包中所包括的唯一识别信息。该使用者端点202、目的地端点206以及网络204可分别实质地相似于如上所述图1中的该使用者端点102、目的地端点106以及网络104。此外,该系统200可包括一验证网域208,该验证网域208可包括一验证授权单位210、一验证点212及一执行点214。虽然图中显示该验证网域208与该目的地端点206为分离的项目,在某些实施例中,该验证网域208的一或多个组件可与该目的地端点206包括在一起。此外,虽然图中显示为分离项目,该验证授权单位210、该验证点212以及该执行点214中的一或多个可被包括在同一组件或模块中。[0035]该验证网域208可为一受信任的或系统管理网域,在该网域中的一或多个服务器、端点或方针执行装置对一使用者的身份标示有共同的判断,该使用者身份标示可例如相关于该使用者端点202的该使用者实体的该使用者身份标示。据此,该验证网域208可经配置而依据一使用者实体的该身份标示而允许或拒绝与相关于该验证网域208的一或多个目的地端点的通讯。在该所述的实施例中,该验证网域208可与该目的地端点206相关,且因此可经配置而藉由在该网络路径中执行方针,或藉由直接在该目的地端点206拒绝存取,而允许或拒绝对该目的地端点206的通讯。[0036]该验证网域208的该授权单位210可包括任何适合的系统、设备、模块或装置,该授权单位210为经配置而安全地储存该验证网域208的一主验证数据库。该主验证数据库可包括可用于识别与验证该使用者实体(以下称为使用者设定文件)的信息。与该授权单位210包括在一起的该主验证数据库亦可包括信息,该信息可允许该验证网域208的执行点与验证点,例如该验证点212与该执行点214,而共享相关于识别与验证该使用者实体的数据及/或相关于该使用者实体的执行方针。[0037]该执行点214可为任何适合的系统、设备、模块或装置,该执行点214可在其所接收或传输的网络层通讯流量上执行一方针。该方针的执行可包括大量的型态(guise),并可包括存取方针、服务方针(例如服务质量(QualityofService,QoS)、路由方针(routingpolicy)、记录(logging)、监控、稽核方针,或任何其它相似方针。以例示而非限制而言,该执行点214可包括:一防火墙、一路由器、一代理服务器、一网络服务器、一数据库服务器、一切换器(switch)、一帐务系统、一监控装置等。该执行点214亦可经配置而用于在该网络的该网络层执行该执行。[0038]该验证点212可为任何适合的系统、设备、模块或装置,该验证点212可为与该使用者端点202通讯而提供用于接受该验证网域208验证的凭据。在某些实施例中,该验证点212可与该执行点214包括在一起,而在其它实施例中该验证点212可为一分离的组件。该验证点212亦可经配置而用于在该网络的该网络层执行该验证。[0039]在某些实施例中,相关于该使用者端点202的该使用者实体可由该验证网域208依据一处理程序而在该网络的该网络层被识别、验证及授予或拒绝对该目的地端点206的存取。该处理程序包括将该使用者实体注册至该验证网域208、藉由该验证网域208而验证该使用者实体、以及该使用者端点202、该验证网域208以及该目的地端点206之间的经验证及经签署的数据的传输。[0040]该系统200可被修改、增加或省略而不会偏离本发明的范围。例如,在某些实施例中,该使用者端点202及/或该目的地端点206可被包括在该验证网域208中。[0041]此外,在该些或其它实施例中,该验证网域208可被包括在一阶层类型的结构中,在此该验证网域208可作为一或多个目的地端点的一中央验证器而运作,以使该使用者实体可与一目的地端点通讯,而不需让相关于该使用者端点的该实体熟悉关于该使用者实体的可识别数据。举例而言,该验证网域208可相关于一商业验证提供者、一网络服务提供者(例如,一因特网服务提供者(ISP))或一政府机关。在此类实施例中,该验证网域208可提供予代管业者验证服务,以使该代管业者可依据该验证网域208所提供的验证服务而信任接收的通讯,而不需熟悉关于该使用者实体的识别数据。[0042]在某些此类实施例中,可提供有各种阶层的验证服务。例如,一政府机关可提供验证服务给予最上层的验证提供者,该最上层验证提供者接着可向下一阶对第I层的因特网服务提供者提供服务,该第I层因特网服务提供者则可对第2层的因特网服务提供者提供验证服务,该第2层因特网服务提供者则可对代管业者提供验证服务,该代管业者可对服务器代管业者提供验证服务,该服务器代管业者则可依据一连串验证工作而验证使用者。应理解的是,在上述范例中,以上所述的任何数量的阶层皆可被移除及/或增加其它阶层。此外,对于阶层验证网域的注册或验证,可由高阶层的验证网域利用一凭证系统(vouchingsystem)或利用验证代理服务器机制(authenticationproxymechanism)而提供。[0043]图3系显示根据本发明某些实施例的一范例处理程序300,该处理程序300可用于执行该注册、该验证、以及该使用者端点202、该验证网域208的多个组件以及该目的地端点206之间的数据的传输。[0044]在该处理程序300的一使用者实体注册阶段302中,该使用者端点202可对该验证授权单位210起始一联机而在一步骤302a起始一注册处理程序。在某些实施例中,该网络通讯可包括一相关于该使用者实体的唯一使用者识别码及/或其它可用于适当地识别该使用者实体的信息。例如,若该注册系用于存取银行服务,该唯一识别信息可包括一个或多个账号、政府机关识别码、邮政地址或电子邮件地址等。此外,在某些实施例中,该使用者实体的该数字签章为可利用对称式、不对称式、及/或公开式或私密式金钥配对而产生。在该些实施例中,该使用者端点202可产生一共享的金钥或一公开式/私密式金钥而促动用于注册程序中的数据的产生。据此,在该些实施例中,该使用者端点202可将相关于该使用者实体的该公开金钥包括在与该验证授权单位210通讯的该网络层封包中。[0045]若已对该验证授权单位210提供适当的识别数据,则该验证授权单位210可在一步骤302b中注册该使用者实体。在注册该使用者实体时,该验证授权单位210可将相关于该使用者实体,并在步骤302a中所接收的该唯一使用者识别码储存在相关于该使用者实体的一使用者设定文件中。在多个可使用一公开式/私密式金钥交换的实施例中,该验证授权单位210亦可在该步骤302b中储存相关于该使用者实体的该公开式金钥(该金钥可被包括在步骤302a所建立的网络联机中)。在多个可使用对称式金钥的实施例中,该验证授权单位210亦可在该步骤302b中产生一相关于该使用者实体的唯一实体金钥。该唯一实体金钥可为一共享金钥,该共享金钥可用于验证该使用者实体的数字签章。再者,在某些实施例中,该验证授权单位210可产生一加密盐予该使用者实体,为该加密盐可用于以加盐法而加密该使用者实体的唯一使用者识别码,以增加安全性强度。[0046]再者,在某些实施例中,在注册该使用者实体时,该验证授权单位可产生一相关于该使用者实体的方针。该方针可依据在该步骤302a中所给定的认证而主宰该使用者端点202可与哪一个目的地端点进行通讯,例如该目的地端点206。例如,藉由在该步骤302a中给定的认证,一使用者实体被识别为一系统管理者,该使用者实体可具有一相关的方针,该方针给予该使用者实体较于仅仅被识别为该系统使用者的一使用者实体更多的对一或多个目的地端点的存取权限。该方针稍后可被发布至相关于该验证网域208的多个执行点。[0047]在步骤302c,该验证授权单位210可通过网络联机而通讯于该使用者端点202,该网络联机为该使用者端点202注册于该验证授权单位210。在该验证授权单位210产生一用于验证的共享金钥的实施例中,该验证授权单位210亦可在该步骤302c对该使用者端点202通讯该共享金钥。在验证系依据公开式/私密式金钥方案的实施例中,该验证授权单位210可在该步骤302c中对该使用者端点202通讯该验证授权单位2102k7公开式金钥。此夕卜,在该验证授权单位210产生一加密盐予该使用者实体的实施例中,该验证授权单位210可对该使用者实体通讯所产生的该加密盐。[0048]在某些实施例中,该通讯可包括关于该验证网域208的其它信息,例如:哪些网络地址隶属于该验证网域208及/或其它组件(例如,执行点、验证点、注册点(例如该验证授权单位210)等)与相关于该些组件的信息(例如,公开式金钥、共享金钥、网络地址等),该些信息为可作为该验证网域208的验证组件。此外,在某些实施例中,该通讯可包括相关于该验证网域208与相关于该网域的组件的验证信息。[0049]例如,该验证信息可包括一指示,该指示为指出通讯于一或多个目的地端点、执行点或验证点可需要验证、指示出在该验证网域208中所使用的验证机制、金钥长度、使用的加密类型、验证金钥的过期数据所使用的杂凑长度、验证网域组件的过期数据(例如,执行点、验证点、注册点等)等。在任一这些实施例中,该使用者端点202可储存该接收到的金钥以及任何其它关于该验证网域208的可应用信息至相关于该验证网域208的一验证网域设定档中。此外,在某些实施例中,该验证网域设定档可包括一全域唯一验证网域识别码,以使该识别码可独有地识别该数据所指涉的验证网域。[0050]在某些实施例中,该接收到的验证网域设定档以及其它相关于该使用者实体的敏感信息(例如,该唯一使用者识别码、唯一实体金钥(uniqueentitykeys)、任何验证金钥材料(authenticationkeymaterials)或实体工作阶段金钥(entitysessionkeys))可使用任何适合的安全储存机制而被安全地储存,以保该信息可不被未授权方轻易存取。例如,此信息可通过一密码、一个人识别号码(personalidentificationnumber,PIN)、一生物识别验证方案(biometricauthenticationscheme)、一硬件凭证(hardwaretoken)等而保护。[0051]据此,通过该阶段302,该使用者实体可注册于该验证授权单位210,以使未来与该目的地端点206(该端点可相关于该验证授权单位210)的通讯得以根据在注册期间所产生的相关于该使用者实体的一方针,而被允许或拒绝。[0052]该处理程序300还可包括一执行点与验证点注册阶段304,在该阶段中,一或多个执行点例如该执行点214及一后续执行点(subsequentenforcementpoint)215亦可注册于该验证授权单位210,以使该执行点可安全地通讯于该验证授权单位210。例如,在步骤304a与304b,该执行点214与该后续执行点215可分别地对该验证授权单位通讯验证与注册信息。在步骤304c与304d,该验证授权单位210可对该执行点214及该后续执行点215通讯共享机密(例如,一验证金钥)或交换金钥组(keypairs),以使该验证授权单位210与该些执行点得以建立安全联机。此外,在步骤304c与304d,该验证授权单位210可对该执行点214及该后续执行点215分别地通讯相关于已注册使用者实体的设定文件数据(例如,可为相关于该已注册使用者实体的唯一识别号码、方针、共享金钥等)。再者,虽未明确在此说明,针对验证网域208的验证点而言,亦可发生相同的注册处理程序。[0053]此外,在某些实施例中,一旦该执行点在阶段304中被注册,该验证授权单位210可在另一未明确说明的步骤中对该使用者端点202通讯相关于该执行点或验证点的信息。据此,该使用者端点202可储存相关于该执行点或验证点的该信息至相关于该验证网域208的该验证网域设定档中,以使该使用者端点202得以验证并安全地通讯于相关于该验证网域208的该执行点或该验证点。此处理程序可确保使用者实体受到保护,避免被恶意执行点或验证点,或伪装为合法的执行点或验证点者用于验证。[0054]该处理程序300可附加地包括一验证开始阶段306。在该验证开始阶段306期间,该使用者端点202(该端点可为相关于该已注册的使用者实体)可在一步骤306a通过传送一网络层封包而通讯于该目的地端点206。然而,该执行点214可经配置而拦截要至该目的地端点206的网络流量,以使该网络层封包可为该执行点214所接收。[0055]因此,在一步骤306b,该执行点可接收该网络层封包并检查相关于存取该目的地端点206的方针。在某些实施例中,该执行点214可判断该目的地端点216所要接收的通讯流可需要依据该方针而被验证。若该被接收的网络层封包已含有相关于该使用者实体的识别与验证信息,则该识别与验证信息可被对照于与该执行点包括在一起的一局部查阅表格(locallookuptable)而查阅,以尝试而识别与确认该使用者实体的身份。然而,在该所述的范例中,该使用者实体可尚未被验证。[0056]因而,在步骤306c,该执行点214可忽略或缓冲自该使用者端点202所接收的该网络层封包,并可对该使用者端点202通讯一「需要验证」的通知讯息。在某些实施例中,该通知讯息可被包括在一因特网通知讯息协议(InternetControlMessageProtocol,ICMP)讯息中。此外,在某些实施例中,该通知讯息可包括细节,该细节为关于该使用者实体应联络(通过该使用者端点202)的验证点(例如,该验证点212),以提供该使用者实体的验证凭证。如上所述,在某些实施例中,该验证点212可与该执行点包括在一起。此外,在某些实施例中,该通知讯息可由该执行点214使用任何可接受的验证功能而签署,以使该使用者端点202可验证该通知讯息为来自于该执行点,而非一恶意第三方。[0057]例如,该执行点214可使用在该注册阶段302针对该使用者实体所产生的一共享金钥,而签署该通知讯息。又如另一范例,该执行点214可使用一私密金钥而签署该通知讯息,而该使用者端点可藉由对该讯息套用相关于该执行点214的一公开金钥而验证来自于该执行点214的通知讯息。[0058]在验证阶段308的一步骤308a,依据该通知讯息,该使用者端点202可对该通知讯息中所指定的该验证点建立一安全联机,在所述的范例中,该验证点可为该验证点212。在其它实施例中,该使用者端点202可依据储存在该端点上所指出可需要验证的信息,而在与该目的地端点206的通讯生效前建立该安全联机。[0059]该使用者端点202可使用任何适当的(可产生一安全联机的)安全传输机制而对该验证点212建立联机,例如传输层安全性(transportlayersecurity)联机。此外,在产生与该验证点212的安全联机时,该使用者端点202可包括一唯一识别信息,例如相关于该使用者实体的该唯一使用者识别码。在某些实施例中,该数据可被数字地签署。该唯一识别信息可据此而被用于指出使用者实体正尝试自行验证的验证端点212。[0060]在一步骤308b,该验证点212可转送该唯一识别信息予该验证授权单位210。该验证点212亦可转送相关于该验证点212的信息予该验证授权单位210,以使该验证授权单位210可识别及验证该验证点212。[0061]在一步骤308c,该验证授权单位210可判断相关于该唯一使用者识别码的该使用者实体是否已注册于该验证授权单位210。该验证授权单位210亦可判断该使用者实体(通过该使用者端点202)是否已被许可与该验证点212进行验证。若该使用者实体已被许可与该验证点212进行验证,该验证授权单位210可发出一盘问,并在一步骤308d对该验证点212通讯该盘问。在某些实施例中,该盘问可包括时间性的敏感信息,以防止再使用,该盘问并可藉由该验证授权单位210的私密式金钥签署,以确保有效性。[0062]在一步骤308e,该验证点212可通过该验证点212与该使用者端点202之间的安全通讯,而对该使用者端点202通讯该盘问。在某些实施例中可发现,除了上述的该注册阶段302期间以外的阶段,该使用者端点202可不与该验证授权单位210直接通讯。[0063]在一盘问反应阶段310期间,该使用者端点202可接收该盘问、检查该盘问的时间限制(若适用)以及另外验证该请求已在一步骤310a被正确地签署(例如,使用该共享金钥或一相关于该验证授权单位210的公开金钥)。此外,在该步骤310a,该使用者端点202可对该盘问产生一反应并通过一单向杂凑处理程序而签署该反应。在某些实施例中,该杂凑处理程序可使用由该验证授权单位210在注册时提供给该使用者端点202的该使用者实体金钥,而依据开唯一使用者识别码与该使用者实体金钥而签署该反应。在其它实施例中,该杂凑处理流程可使用一相关于该使用者实体的一私密式/公开式金钥组中的一私密式金钥。在该两种实施例中,该杂凑处理程序可包括或不包括以相关于该使用者实体的一加盐法,而对该唯一使用者识别码施以加盐加密,其中该加盐法为该验证授权单位210在该注册阶段302所提供。[0064]在一步骤310b,该使用者端点202可对该验证授权单位212通讯该已签署的盘问反应。在一步骤310c,该验证点212可转送该已签署的盘问反应予该验证授权单位210,以使该验证授权单位可确认该盘问反应。[0065]在一步骤310d,该验证授权单位210可执行该使用者实体所使用的同一单向杂凑处理程序,而在该步骤310a使用适当的金钥以及(若有使用)相关于该使用者实体的加盐法,而签署该盘问反应(该加盐法可被储存在相关于该使用者实体的该使用者设定文件,且的该使用者设定档亦可包括该唯一使用者识别码)。若该结果符合该盘问,则该验证系为成功。[0066]在某些实施例中,在一步骤310e,该验证授权单位210可指派一实体地址识别码(entityaddressID)予该使用者实体。该实体地址识别码可独有地识别该使用者实体的网络地址(例如,IP地址),且亦可在被储存该验证授权单位210的相关于该使用者实体的该使用者设定文件中。在某些实施例中,相关于该实体地址识别码的该网络地址亦可被储存在该使用者设定档中而作为一预订网络地址(subscribednetworkaddress)。此外,在该步骤310e,该验证授权单位210可指派一实体工作阶段金钥予该使用者实体。该实体工作阶段金钥可为每一预订网络地址所独有,其可为该使用者实体使用,并可提供能力而在多个预订网络地址上识别同一使用者实体识别码,但仍区别该使用者实体的多个端点之间的网络流量。[0067]再者,若网络地址转译(NetworkAddressTranslation,NAT)正用于该使用者端点202与该验证网域208的组件之间的网络路径,则一预订NAT地址(subscribedNATaddress)可被加入至储存于该验证授权单位210上的该使用者设定档。如此可允许一单一唯一使用者识别码被储存到该验证授权单位210之中,但该单一唯一使用者识别码为具有一来源地址以及一经转译的来源地址,而被识别为得自同一使用者端点202。在此实施例中,在该验证网域208中的一验证点或执行点可检阅一来自真正预订网络地址(genuinesubscribednetworkaddress)的网络流量来源,而另一验证或执行点则可检阅来自该预订NAT地址的网络流量来源。在此状况下,两种地址皆可妥善地关联于该同一使用者端点202及其相关的使用者实体。[0068]在一步骤310f,该验证授权单位210可对该验证点212通讯该被指派的实体地址识别码与实体工作阶段金钥。此外,在某些实施例中,在该步骤310f所通讯的该讯息可包括一「验证成功」讯息,以告知该验证点212,该使用者实体已确实被验证。[0069]在一步骤310g,该验证授权单位212可储存关于该新验证的使用者实体的信息至相关于该使用者实体的一使用者设定文件中。该信息可包括该唯一使用者识别码、该实体工作阶段金钥、该实体地址识别码以及相关于该使用者实体的该预订网络地址。据此,该验证点212可被允许用于快速处理接收自该使用者端点202的经验证的网络流量。[0070]在一步骤310h,该验证点212可对该使用者端点202通讯该实体工作阶段金钥与该实体地址识别码,搭配一「验证成功」讯息。在一步骤310i,该使用者端点202可更新相关于该验证网域208的该验证网域设定档,以藉由安全地储存相关信息而使该设定文件包括该实体地址识别码以及该实体工作阶段金钥。在此处理程序中,该验证网域设定档亦可在该使用者端点202上而被更新,藉以反映该网域中的其它更动,例如在执行点或验证点的更动。继该步骤3IOi之后,对该验证点212的安全通道联机(securechannelconnection)即可被关闭。[0071]在一数据流起始(dataflowinitiation)阶段312中,该使用者端点202在一步骤312a可再次尝试连接该目的地端点206。然而在此时,依据该经更新的验证网域设定文件或该因特网通知讯息协议的「需要验证」讯息,该使用者端点202可得知该封包流(packetflow)应被验证。据此,在该步骤312a,该使用者端点202可自该实体地址识别码以及一由该使用者端点202局部地创建的「一次性」数据流识别码(flowidentifier),而产生一唯一数据字符串(uniquedatastring)。该数据流识别码可包括一严格单调递增数字(strictlymonotonicallyincreasingnumber,亦即每一次迭代的数字皆大于先前的数字),以及一虚拟随机数字或一随机数字,以助于减少该信息流识别码的可预测性。在某些实施例中,该实体地址识别码及数据流识别码可依据储存在相关于该验证网域208的该验证网域设定档中的加盐法,而以部份虚拟随机资料而加盐加密。[0072]在一步骤312b,该使用者端点202可依据该实体工作阶段金钥,使用一杂凑函数(hashfunction)签署该唯一数据字符串,而产生一唯一工作阶段凭证(uniquesessiontoken)。该唯一工作阶段凭证可被加入该唯一数据字符串,该唯一数据字符串可被包括在该封包数据流的一网络层封包中(例如,被包括在IP标头)。在某些实施例中,该签署处理程序亦可使用该目的地网络地址,以支持经改进的反重复攻击防护(ant1-r印layprotection)。[0073]在一步骤312c,该网络层封包可朝向该目的地端点206而被传送,且可由该执行点214在一步骤312d拦截。在该步骤312d,该执行点214可再次检查相关于该与目的地端点206的通讯的方针,并可再次主宰该与目的地端点206的通讯为可需要验证该使用者实体。[0074]在某些实施例中,该执行点214可检查该网络地址与该实体地址识别码,以确认该使用者实体为已被验证。该执行点214则可撷取可对应于该预订网络地址与实体地址识别码的该实体工作阶段金钥以及该唯一使用者识别码。[0075]在一步骤312e,该执行点214使用该实体工作阶段金钥可执行该使用者端点202所使用的同一杂凑函数,而创建该唯一工作阶段凭证。若该结果为符合,则该执行点214可识别该网络层封包,并验证该网络层封包为来自于该使用者实体,而可套用相关于该使用者实体的一方针。[0076]在一步骤312f,假设该方针允许存取,则该执行点214可转送该网络层封包至该目的地端点206。此外,工作阶段数据可被加入至一执行点状态表格(enforcementpointstatetable)。该状态表格的项目可包括任何适合的信息,例如用于传送该网络层封包的来源地址(例如,Source(Src)IP)、被标记为该网络层封包的目的地的网络地址(例如,Destination(Dst)IP)、该通讯中所使用的通讯协议类型、该网络层封包的来源(Src)端口、该网络层封包的目的地(Dst)埠,以及前述的数据流识别码。[0077]在一连续资料流(continuingflow)阶段314中,更多将要在数据流中被传输的网络层封包可具有相同的数据流识别码、唯一数据字符串、以及唯一数据凭证(步骤314a)置入于该些封包中(例如,在标题列)。据此,在某些实施例中,该使用者端点202可不对包括在同一数据流中的每一个网络层封包产出该唯一数据字符串与该唯一工作阶段金钥。取而代之,该数据可仅被快取并加入至该数据流所包括的每一个网络层封包。然而,此数据仅可用于验证可在同一数据流中的该些网络层封包,因为该些封包可必须符合执行点214的状态表格中的项目。据此,若该些更多的网络层封包并非属于同一数据流,则可如上所述另行产生另一个唯一数据字符串以及相关于另一个数据流的唯一工作阶段凭证。[0078]在一步骤314b,更多网络层封包可向该目的地端点206通讯。在一步骤314c,该些更多网络层封包可到达该执行点214。此外,在该步骤314c,该执行端点206可对照该状态表格而检查该些更多网络层封包。在某些实施例中,若该些更多网络层封包为被包括在同一先前已验证过的数据流中,该些更多网络层封包可被传入一「高速路径」而不被验证。若该些更多网络层封包并非属于同一先前已验证过的数据流,则该些更多网络层封包可以如上所述方式而被验证。该「高速路径」功能可允许减少一数据流的每一后续封包的处理时间,并可大幅增加在此所述的一或多个实施例的规模与效能。[0079]在一步骤314d,该执行点214可转送该些更多网络层封包至该目的地端点206。该目的地端点206依据接收自该使用者端点202的该些更多网络层封包所产生的反应网络层封包,,亦可被接受为常驻在该状态表格中的数据流。处理回程通路网络流量的此种态样,可与市面上大多的状态检测防火墙(statefulfirewall)以相同的方式而运作。[0080]因此,该处理程序300可依据该些网络层封包所包括的相关于该使用者实体的唯一识别信息,而用于注册一使用者实体、验证该使用者实体,以及确认该使用者实体所起始的网络流量。如此,该使用者实体可在该网络层被识别与验证,遂可如上所述地增进安全性。[0081]所属领域熟习此项技艺者当理解,对于本发明中所揭示的这些及其它处理程序与方法,该处理程序与方法所执行的功能可采其它顺序而实施。再者,所述的步骤与操作系仅供为范例,而其中某些步骤与操作为可具选择性、组合成较少的步骤与操作、或延伸成额外的步骤与操作,而不会偏离所揭示实施例的精神。[0082]例如,在某些实施例中,相互通讯的两个端点可常驻于相同或者分别的验证网域中。该些端点可各自验证其流向相对端点的数据流,而在此实施例中,两者皆可作为客户端与执行端点而运作。在此状况下,该验证处理程序可独自以各自的方向而发生,并因此,各个方向中的网络流量的验证可被认为是无状态的。[0083]再者,虽然上述说明的给定系针对该些网络层封包在被转送至该目的地端点206前,系由一个执行点(例如,该执行点214)所接收,但该使用者端点202与该目的地端点206之间的该网络流量路径可包括任何数量的执行点,以套用各种相关于与该目的地端点206通讯的方针。例如,该使用者端点202与该目的地端点206之间的一网络流量路径可包括一路由器、一防火墙以及一代理服务器,该些装置可各自被配置为执行点。据此,该每一个路由器、防火墙以及代理服务器可依据网络层封包中所包括的相关于该使用者端点202的该识别信息,而执行一或多个相关于该使用者端点202与该目的地端点206之间的通讯的方针。[0084]再者,在某些实施例中,可接收该些网络层封包的该验证网域208的一个或多个后续组件,在验证该使用者实体后可经配置而仅用于识别该网络层封包中所包括的相关于该识别信息的该使用者实体,而可不需要再次执行该使用者实体的验证。在某些的该些实施例中,该些后续组件可依据该使用者实体的该识别而套用方针。此外,上述处理程序300仅系一范例说明如何在网络层封包完成使用者实体的识别与验证。该处理程序可套用任何数量的变动,而不会偏离本发明的范围。[0085]此外,当一网络数据流横跨多个验证网域,会有需要对照该些复数个验证网域而验证该数据流。在这些实施例中,验证数据可被加入至该网络层封包中,以在区隔不同验证网域时对复数个执行点提供识别与验证。为促动此处理程序,可使用一单一数据流识别码或唯一数据字符串,但以多个实体工作阶段凭证而签署。在该些实施例中,该网络层封包可含有多个杂凑数据,且一个验证网域可需要一能力以识别适用于该验证网域的该签署数据。为启用此能力,每一验证网域可具有一全域唯一验证网域识别码,该识别码可为一该网域所独有的数值。[0086]在验证期间,一使用者实体(通过一使用者端点)可撷取该全域唯一验证网域识别码,以自该网域的设定文件数据而识别该网域。在验证时,该使用者实体可与该验证网域交换一局部意义验证网域识别码(locallysignificantauthenticationdomainidentifier),此数值为一仅为该使用者实体与该验证网域所知的数值。该数值接着可用于该网络层封包,而使该验证网域具有能力识别出要使用的正确签署数据,而用于在该验证点验证该使用者实体。在网络层封包中使用此经交换的数值亦可防止对可能监控该网络流量的其它团体暴露出该数据要至哪一个验证网域。[0087]在某些实施例中,执行端点及/或验证点亦可常驻于不同的验证网域中。在此类实施例中,一使用者实体(通过一使用者端点)可将验证数据包括于该网络层封包中,以使该使用者实体可成功地与该网络流量路径中的复数个网域进行验证。在该些实施例中,一共同流量识别码(commonflowidentifier)或唯一数据字符串可搭配不同的验证信息而被用于每个验证网域。据此,每个验证网域仅可为该网域自己识别与验证一使用者实体,而不可识别用于另一方(例如,另一个验证网域)的身份信息。再者,该局部意义验证网域识别码可被用于使该验证数据与一给定的验证网域相关联,以允许一执行点识别出要使用的正确相关验证数据,以用于与其给定的验证网域进行验证。[0088]此外,虽然所述者为该些执行方针根据相关于该使用者实体的识别信息,而识别一使用者实体的一特定使用方式;然而依据可在该网络层封包中被读取的识别信息而识别一使用者实体,可具有各种其它使用方式。下列为某些潜在的范例,但在此特别给定的使用方式之外的其它使用方式,亦包含在本发明的范围内。[0089]例如,因为每一个封包数据流可被验证为一给定使用者实体所有,记录、稽核与帐务数据可以一更为稳定的方式而被维护,因为可不需要使一特定装置与一使用者实体相关联,而复数个装置及网络地址的使用者实体可轻易地将该使用者实体的各别数据与该使用者实体相关联。同时,亦可能收集一装置上的数个使用者实体的记录、稽核与帐务数据,或甚至收集关于服务与应用程序的数据。在某些事例中,此一实施例可允许经该使用者实体付费过的收费服务(premiumservice)(例如透过网络存取娱乐项目)的存取与该使用者实体相关联,而非与一装置相关联。据此,该使用者实体可具有更多弹性来存取此收费服务。此外,针对数据的长期记录,连结记录数据与同一使用者实体(该使用者实体可使用多个装置或共享一网络地址)的复杂的手续,可变得更为简便,因为该使用者实体的身份可在该封包数据流中而被获取。[0090]此外,依据该识别信息而识别出一使用者实体正在产生信息流,可在信息流中促动识别趋势、以及辅助疑难排解并识别有问题的程序、恶意软件或恶意应用程序。此类识别亦可使网络和应用程序问题的疑难排解更为容易,因为可在使用者或处理程序的层级识别出一给定的信息流的突增。相似地,若一使用者实体系为一串流使用者,其可使用不同网络地址、子网络或甚至办公室,该识别亦能将信息流连结于同一使用者实体。[0091]再者,藉由使用使用者实体的识别以及在该网络层的验证,例如一家用或工作计算机的一使用者端点可被注册于一银行系统。该银行可对该银行的相关银行网站部署一具有使用者验证控制的防火墙,或甚至直接套用该控制于该网站自身。在此类事例中,来自于未经注册及/或验证的另一装置对于该银行网站的联机尝试,可使该验证处理程序被起始。因此,在未具有于注册期间所提供的关键材料的情况下,一恶意使用者甚至无法对该银行系统开启一传输控制协议(TCP)工作阶段,甚至无法尝试提供凭据。[0092]以此方式,若一使用者的使用者名称及/或密码被窃取(例如,通过一钓鱼式诈骗),该被窃取的信息将不足以供一恶意使用者对该使用者实体的账号进行存取。此技术可被用于取代昂贵的硬件凭证方案,并可给予优越的防护,因为该恶意使用者甚至无法检视登入页面。[0093]相似地,一电子商务网站可具有自己的验证网域,一使用者必须与该网域进行注册,或该网站可使用一验证代管服务(AuthenticationHostingService)。对该网站进行结帐的任何尝试会强制执行该验证并确保该使用者实体已对该服务注册。因此,若网站坚持一使用者实体已被注册,将可使在线信用卡诈骗行为更难以犯行。另外,该验证可用于防止共享装置上的多个使用者实体使用彼此的账号进行购买。在某些实施例中,该注册处理程序甚至可包含传送一书面PIN或密码至该使用者实体的收帐地址,以使一诈欺性使用者无法尝试注册。在某些此类实施例中,可使用一相似于PayPal?模式的集中化的验证授权单位,在该模式中有问题的网站不需要知道该使用者实体的身份标示,仅有使经受信任网域认证过的该使用者实体为可使用。[0094]再者,使用一集中化或同盟的验证机制于简易邮件传送通讯协议(SimpleMailTransferProtocol,SMTP)服务器,可潜在地大幅减少因特网中的垃圾信件。来路不明的大量邮件的建立者通常会绕行较长距离而隐藏身份标示,而该些由件通常系由在不知情状况下安装了恶意软件或成为僵尸网络一份子的使用者计算机所发出。因此,藉由验证封包信息流而确认该联机系来自于正当的来源,将能够减少垃圾邮件可藉以进入邮件中继网络的进入点。[0095]当然,任何防护不佳的正当主机皆可成为垃圾邮件进入该网络的路径,但若一装置产生大量垃圾邮件,或其它恶意信息流,则可自该装置的唯一识别码而识别出,并可收集其评价资料。该装置产生愈多恶意或不需要的信息流,该装置将被一评价单位降愈多等。在接收来自另一主机的一联机之前,一简易邮件传送通讯协议服务器可确认该另一主机的该评价,而若该另一主机为一已知的垃圾邮件来源,则拒绝接受该传输控制协议的联机。[0096]相似地,该些控制可提供予因特网上可能接受评价「降等」的任何数量的装置类型。一僵尸网络中的被渗透的装置、经由端口扫描所知、或犯行分布式阻断服务攻击(Denial-of-serviceattack)的装置皆会被给予一负面评价。即使若该装置更改网络地址,验证数据仍可用于追踪该装置。[0097]此外,若一装置未被渗透而只是传送恶意数据,且并未在该网络层封包中提供使用者凭据,则网站可在有需要时,仅拒绝对于未授权信息流的存取。据此,被渗透以及相关于一低评价使用者实体的装置可被表列为黑名单,且该身份可被转至该负责验证使用者的验证网域,以使拥有该装置的该团体或个体可被告知。拥有识别该使用者实体或相关装置的机会,提供了追踪该装置及/或实体的能力,以及进而采取行动的能力。[0098]评价服务也是一项可提供给该些代管网页以及提供网络服务的实体的服务型式。例如,可依据网络上的经验证的信息流而收集评价数据,而被渗透或产生问题的该些使用者实体,与相关于该些使用者实体的装置可被包括在一灰名单或黑名单中而提供给客户,以使相关于该使用者实体的该信息流可被忽略,或依据该黑名单或灰名单,而可对该信息流套用一些其它方针。在某些实施例中,上述操作可在一因特网端点例如企业网络完成,或可作为网络服务提供者所提供的一项服务。[0099]如先前所述,上述列出的使用事例,仅为一些范例说明:网络层封包所包括的且在网络层中被读取的该识别信息,可如何改善安全性并减少恶意使用一网络的效果。应理解的是,任何其它使用网络层封包所包括的该识别信息的方式,皆纳于本发明的范围内。[0100]在此说明的实施例可包括使用特定用途的计算机或一般用途计算机,包括各种计算机硬件或软件模块,如下列详细说明所述。[0101]本发明的申请范围所包括的实施例,亦包括计算机可读取的媒体,用于搭载或具备计算机可执行的指示,或被储存在该媒体上的数据结构。此类计算机可读取的媒体,可为任何供予特殊用途或一般用途计算机存取的可用的媒体。该类计算机可读取媒体的范例包含但不限于:RAM、ROM、EEROM、CD-ROM或其它光学盘片储存装置、磁盘储存装置或其它磁储存装置,或其它任何媒体,可用于搭载或储存所需要的以计算机可执行的指示或数据结构为型式,并可由一部一般用途或特殊用途计算机所存取的程序代码。当信息通过一网络或其它通讯联机(硬件联机、无线或硬件联机与无线的组合)而被传输或提供予一计算机时,该计算机可能将该联机视为一计算机可读取的媒体。因此,任何此类联机可能被称为一计算机可读取的媒体。上述项目的组合亦应被包括在本发明的申请范围。[0102]计算机可执行的指示包含,例如,使一部一般用途计算机、特殊用途计算机或特殊用途的处理装置执行特定功能或功能群组的指示或数据。虽然该主题已被特定的结构特征和/或方法动作的语言描述,但是应该理解申请专利范围所界定的主体并不限于上述的特定特征或动作。上述的特定特征和动作是作为实现申请专利范围的范例形式而揭露。[0103]在此所使用的词汇「模块」或「组件」,能够指在该计算机系统上执行的软件对象或规则。该在此所述的不同组件、模块、引擎以及服务,可作为在该计算机系统上执行的对象或处理程序(例如,个别的执行绪)而被实施。虽然在此所述的该系统与方法优选地为实施于软件中,亦可行以及可预期实施在硬件中或软件与硬件的组合中。在此说明中,一「计算机实体」可为任何先前在此所定义的计算系统,或任何在一计算机系统上运作的模块或调变的组合。[0104]本发明可藉由其它特定方式而被实施,而不偏离本发明的精神或基本特征。所述的实施例应全面被视为仅为例示而非用于限制。因此,本发明的范围系由申请专利范围而非前述的说明所表示。任何在申请专利范围相同的意义与范围内的变动皆涵盖在其范围中。【权利要求】1.一种识别与验证网络使用者的方法,其特征在于,包含:自一第一使用者实体接收一第一网络层封包,该第一网络层封包包括第一唯一识别信息,该第一唯一识别信息为该第一使用者实体所独有且为无关于与该第一网络层封包相关联的一第一网络地址,以及依据该第一唯一识别信息而在一网络的一网络层确认该第一网络层封包为来自该第一使用者实体。2.如权利要求1所述的方法,其特征在于,还包含:自一第二使用者实体接收一第二网络层封包,该第二网络层封包为关联于该第一网络地址并包括第二唯一识别信息,该第二唯一识别信息为该第二使用者实体所独有且为无关于该第一网络地址;以及依据该第二唯一识别信息而在该网络的该网络层确认该第二网络层封包为来自该第二使用者实体。3.如权利要求1所述的方法,其特征在于,还包含:自该第一使用者实体接收一第二网络层封包,该第二网络层封包为关联于与该第一网络地址不同的一第二网络地址,并包括该第一唯一识别信息,以及依据该第一唯一识别信息而在该网络的该网络层确认该第二网络层封包为来自该第一使用者实体。4.如权利要求1所述的方法,其特征在于,还包含依据一与该第一使用者实体相关联的一数字签章而确认该第一网络层封包为来自该第一使用者实体,该数字签章为依据一经配置而执行验证的验证网域与该第一使用者实体所共享的一金钥而产生。5.如权利要求1所述的方法,其特征在于,还包含依据为与该第一使用者相关联的一数字签章而确认该第一网络层封包为来自该第一使用者实体,该数字签章为依据一公开/私密金钥配对验证配置而产生。6.如权利要求1所述的方法,其特征在于,还包含依据该第一唯一识别信息而对该经接收的第一网络层封包套用一方针。7.如权利要求6所述的方法,其特征在于,还包含依据该方针的套用而允许或禁止在一所要去的目的地端点接收该第一网络层封包。8.如权利要求6所述的方法,其特征在于,还包含在该第一使用者实体与一所要去的目的地端点之间的一路径的任何位置处套用该方针。9.如权利要求6所述的方法,其特征在于,还包含在该第一使用者实体与一所要去的目的地端点之间的一路径所包括的多个位置处套用该方针。10.如权利要求1所述的方法,其特征在于,还包含将一恶意攻击关联于该第一使用者识别息。11.如权利要求1所述的方法,其特征在于,还包含在确认该第一网络层封包为来自该第一使用者实体且不经再确认该第一网络层封包为来自该第一使用者实体之后,依据该第一使用者识别信息而识别该使用者实体。12.如权利要求1所述的方法,其特征在于,还包含在允许一应用层与一所要去的目的地端点的联机之前,依据该唯一识别信息而确认该第一网络层封包为来自该第一使用者实体。13.如权利要求1所述的方法,其特征在于,还包含依据该唯一识别信息而允许一应用层与一所要去的目的地端点的联机。14.如权利要求13所述的方法,其特征在于,还包含依据该唯一识别信息而维持该应用层与一所要去的目的地端点的联机。15.一种处理器,经配置而执行计算机指令,以使一系统执行用于识别与验证一网络使用者的操作,其特征在于,该操作包含:自一第一使用者实体接收一第一网络层封包,该第一网络层封包包括一第一唯一识别信息,该第一唯一识别信息为该第一使用者实体所独有,且无关于与该第一网络层封包相关联的一第一网络地址,以及依据该第一唯一识别信息而在一网络的一网络层确认该第一网络层封包为来自该第一使用者实体。16.如权利要求15所述的处理器,其特征在于,该操作还包含:自一第二使用者实体接收一第二网络层封包,该第二网络层封包为关联于该第一网络地址,并包括该第二使用者实体所独有,且为无关于该第一网络地址的第二唯一识别信息,以及依据该第二唯一识别信息而在该网络的该网络层确认该第二网络层封包为来自该第二使用者实体。17.如权利要求15所述的处理器,其特征在于,该操作还包含:自该第一使用者实体接收一第二网络层封包,该第二网络层封包为关联于与该第一网络地址不同的一第二网络地址,并包括该第一唯一识别信息,以及依据该第一唯一识别信息而在该网络的该网络层确认该第二网络层封包为来自该第一使用者实体。18.如权利要求15所述的处理器,其特征在于,该操作还包含依据一与该第一使用者实体相关联的一数字签章而确认该第一网络层封包为来自该第一使用者实体,该数字签章依据该第一使用者实体与一经配置而执行验证的验证网域所共享的一金钥而产生。19.如权利要求15所述的处理器,其特征在于,该操作还包含依据为与该第一使用者相关联的一数字签章,而确认该第一网络层封包为来自该第一使用者实体,该数字签章为依据一公开/私密金钥配对验证配置而产生。20.如权利要求15所述的处理器,其特征在于,该操作还包含依据该第一唯一识别信息而对该经接收的第一网络层封包套用一方针。21.如权利要求20所述的处理器,其特征在于,该操作还包含依据该方针的套用,而允许或禁止在一所要去的目的地端点接收该第一网络层封包。22.如权利要求20所述的处理器,其特征在于,该操作还包含在该第一使用者实体与一所要去的目的端点之间的一路径的任何位置处套用该方针。23.如权利要求20所述的处理器,其特征在于,该操作还包含在该第一使用者实体与一所要去的目的端点之间的一路径所包括的多个位置处套用该方针。24.如权利要求15所述的处理器,其特征在于,该操作还包含将一恶意攻击与该第一使用者识别信息产生关联。25.如权利要求15所述的处理器,其特征在于,该操作还包含在确认该第一网络层封包为来自该第一使用者实体,但未再确认该第一网络层封包为来自该第一使用者实体之后,依据该第一使用者识别信息而识别该使用者实体。26.如权利要求15所述的处理器,其特征在于,该操作还包含在允许一应用层与一所要去的目的地端点的联机之前,依据该唯一识别信息而确认该第一网络层封包为来自该第一使用者实体。27.如权利要求15所述的处理器,其特征在于,该操作还包含依据该唯一识别信息而允许一应用层与一所要去的目的地端点的联机。28.如权利要求27所述的处理器,其特征在于,该操作还包含依据该唯一识别信息而维护该应用层与一所要去的目的地端点`的联机。【文档编号】H04L9/32GK103875207SQ201280046398【公开日】2014年6月18日申请日期:2012年9月21日优先权日:2011年9月22日【发明者】罗素·斯图尔特·古德温申请人:罗素·斯图尔特·古德温