设备的再验证的制作方法

设备的再验证的制作方法
【专利摘要】用户设备的用户可以基于用户证书被验证。该用户设备可以在网络中自注册。在预定的一段时间后，可以实施再验证计时器来再验证用户设备的用户的证书。
【专利说明】设备的再验证

【背景技术】
[0001]面向用户的处理和通信设备(如个人计算机、便携式计算机、移动电话、PDA、打印机和类似设备)频繁连接至计算机网络和/或通信网络。这些可以包括公司网络、教育网络、政府网络、公共接入网络及其它网络。
[0002]网络连接不仅需要物理连接(如硬布线联接或经由无线连接的联接)，而且需要基于软件的对接入网络资源的授权。这种被授权的接入典型地为用户设备提供通过网络通信、接入并使用网络上的其它设备(如打印机)以及可能接入网络上的各种数据库和其它信息资源(如电子邮件)的能力。为保证网络安全，仅应当允许被授权的网络用户和设备获得对网络资源的接入。

【专利附图】

【附图说明】
[0003]网络连接不仅需要物理连接(如硬布线联接或经由无线连接的联接)，而且需要基于软件的对接入网络资源的授权。这种被授权的接入典型地为用户设备提供通过网络通信、接入并使用网络上的其它设备(如打印机)以及可能接入网络上的各种数据库和其它信息资源(如电子邮件)的能力。为保证网络安全，仅应当允许被授权的网络用户和设备获得对网络资源的接入。
[0004]本公开的特征是通过示例图示的且不局限于下面的图，图中相同的附图标记表示相同元件，其中:
[0005]图1示出根据本公开示例的环境的示例功能框图，在该环境中可以实施用于管理用户设备的网络接入的网络设备；
[0006]图2绘出根据本公开示例的用于管理网络接入的方法的示例流程图；
[0007]图3绘出根据本公开示例的用于使用户能够将用户设备向被授权接入网络的用户的数据库内自注册的方法的示例流程图；
[0008]图4绘出根据本公开示例的用于对已被准许接入网络的用户和用户设备进行管理的方法的示例流程图；
[0009]图5绘出根据本公开示例的被授权用户的示例数据库；
[0010]图6绘出根据本公开示例的用于执行再验证过程的方法的示例流程图；以及
[0011]图7图示根据本公开示例的、可以用来执行图1所示的设备的各种功能的计算设备的示例示意图。

【具体实施方式】
[0012]为简单和说明目的，本公开主要通过参考本公开的示例来描述。在下面的描述中，阐述大量特定细节，以便提供对本公开的全面理解。然而，将显而易见的是，本公开可以在没有对这些特定细节的限制的情况下实践。在其它实例中，未详细地描述一些方法和结构，以便不非必要地使本公开模糊。本发明中使用的术语“包括”指包括但不限于，术语“包含”指包含但不限于。术语“基于”指至少部分地基于。
[0013]假若存在具有资源的网络，诸如个人计算机、PDA、移动电话、便携式计算机和类似设备之类的通信设备可以频繁地加入和离开网络。网络可以包括交换机、路由器、服务器、台式机、数据库等，它们可以提供像互联网接入、服务接入(例如电子邮件)等的服务。网络安全在确定哪个设备被认证加入网络以及其被授权访问哪些资源方面扮演重要角色。建立、维护、监视和控制网络接入权已成为网络管理员的棘手任务。现有网络接入方案可能太复杂而难以采用，或耗时，或者这些方案的大多数特征可能不被付诸最佳使用。一旦用户和用户设备被注册并被授权接入网络和网络资源，难以检测被授权的用户何时被未被授权的设备和/或用户欺骗，从而使网络和网络资源对未被授权的用户开放。
[0014]本文公开的是用于管理网络接入的方法和装置，该接入需要基本上最少量的管理开销。换句话说，本文公开的方法和装置基本上不需要大量IT雇员或外部顾问。本文公开的NAC实现被称为简单网络接入控制(SNAC)，但是还可以采用其它名称。本文中公开的SNAC可以为客户机(终端用户)和系统和/或域管理员简化NAC。根据示例，SNAC可以通过为自注册提供客户机服务端口来为客户机简化NAC，该客户机服务端口允许客户机利用适当的接入权和服务质量来注册网络接入。此外，SNAC还可以通过基本上消除对学习和掌握大量外部技术的需要而为管理员简化NAC:
[0015].不需要成为RADIUS服务器的专家。
[0016]?不需要成为目录服务(例如，活动目录)的专家。
[0017].不需要成为802.1X技术的专家。
[0018]此外，在至少一些NAC实施方式中，管理员通常需要对所有想要接入网络的客户机执行初始的和中间的维护。典型地，存在初始的块配置过程，然后进行中间更新(添加新客户机、删除旧客户机、针对接入权变化更新客户机)。本文公开的SNAC实现通过用户接入权的自注册能力和自动更新，消除管理员的负担。此外，通过使用被授权用户的独立数据库，本文公开的SNAC实现使能够基于在活动网络用户的目录(如活动目录)中包含的信息实现网络接入控制，而不改变该活动目录。
[0019]一旦已注册用户，就可以实施再验证过程，从而要求用户再验证该用户的证书，由此通过保证仅被授权的用户有权接入网络和网络资源而维护网络的安全。
[0020]根据示例，本文公开的用户自注册操作使用户能够在该用户能在活动网络用户的目录中被验证的情况下自填充被授权用户的数据库。在活动网络用户的目录中包含的活动网络用户是存在于现有域内的用户。在这一点上，已经向活动网络用户准许网络接入权，而无论那些接入权实际上是否正被这些活动用户行使，即无论那些用户是否具有与该网络连接的用户设备。用户通常被理解为是人，但是用户可以是某种其它实体。用户设备通常被理解为是电子计算机或电子计算设备，或其它电子信息设备和/或通信设备(如移动电话)。关于数据或信息处理的其它类型的电子设备(如打印机或PDA)也可以是用户设备。
[0021]活动网络用户的目录包括通常用于限定和授权可以允许网络接入的用户的那些类型的数据。这样的信息可以包括例如且不限于:用户名、用户公司、用户组或部门、用户电子邮件地址、用户密码、用户电话号码和关于用户的类似信息。被授权用户的列表包括通常用于限定和授权用户的一类数据，这类数据中的至少一些可以与活动网络用户的目录中列出的数据类型重叠。上述重叠数据可以包括例如而不限于:用户名、用户公司、用户组或部门、以及类似信息。
[0022]被授权用户的列表还包括关于计算设备、数据处理设备、通信设备和用户可以使用的类似设备的用户设备信息。用户设备信息可以包括例如而不限于:设备的MAC(媒体接入控制地址)或设备的端口连接标识。对被授权用户的列表中的每个用户来说，还可以列出关联的用户设备信息，如MAC地址，该关联的用户设备信息表示硬件设备与该用户关联。
[0023]用户设备可以物理地联接至网络，例如通过网络交换机物理地连接至网络。在用户设备联接至网络基本相同的时间，网络通过自动的设备握手过程从用户设备接收用户设备信息，例如MAC地址。如果该用户设备信息当前在被授权用户的列表中列出，则认为该用户设备被授权并且准许该用户设备接入网络。然而，如果该用户设备信息未在该被授权用户的列表中列出，则向用户呈现用于输入用户自注册信息的界面。该界面可以是图形用户界面，并且可以经由已连接至该网络的用户设备提供，但是该界面还可以经由其它设备提供。用户界面呈现用于输入包括例如但不限于用户名、用户密码、用户公司、用户组和类似信息在内的用户信息的数据字段或其它部分。
[0024]根据示例，网络设备接收用户自注册信息并且确定该用户自注册信息是否在活动网络用户的目录中列出。如果该用户在活动网络用户的目录中列出，那么硬件自标识信息在被授权用户的列表中列出，并且准许用户设备的网络接入。结果，在用户设备今后偶尔物理地联接至网络时，不需要再次请求用户设备信息，因为用户设备信息自动地被识别为在被授权用户的列表中列出，并且自动地准许该用户设备的网络接入。
[0025]此外，可以对活动网络用户的目录运用实时监视器，由系统管理员和/或域管理员对活动网络用户的目录做出的任何改变可以自动地导致被授权用户的列表以及在被授权用户的列表中列出的相关设备的网络接入的适当变化。这进一步为系统管理员和/或域管理员简化了网络接入安全和控制。
[0026]一旦用户已注册，就可以设置再验证计时器并且将再验证计时器存储在数据库中，例如存储在被授权用户的数据库中。一旦再验证计时器期满(例如，再验证计时器超时)，就请求用户再验证该用户的证书，由此通过保证仅被授权的用户有权接入网络和网络资源来维护网络的安全。
[0027]可替代地，一旦用户已注册，就可以基于用户设备的类型来选择代理，并且将该代理传输至用户设备以进行安装。在安装时，代理可以与网络通信，从而保证所注册的设备是被准许接入网络的用户设备。
[0028]参考图1，示出根据示例的环境100的功能框图，在环境100中可以实现用于管理用户设备106的网络110接入的网络设备。应当容易明白，图1中绘出的图代表概括图示，并且可以添加其它组件或可以移除、修改或重布置现有组件，而不背离环境100的范围。
[0029]图1绘出系统102，系统102可以被称为简单网络接入控制(SNAC)系统，但是还可以使用其它名称。系统102被绘出为包括网络交换机108、用于托管身份驱动管理器(IDM)模块(未不出)的IDM服务器120、用于托管SNAC模块(未不出)的SNAC注册服务器122。此外，SNAC注册服务器122被绘出为与活动目录(AD) 136和来宾目录142通信。网络交换机108还被绘出为与网络110通信，网络110可以包括网络服务器和设备。
[0030]图1还绘出用户设备106，用户设备106还被称为客户机或网络客户机106。用户设备106由用户104使用，用户104是试图登录并接入网络110的人或其它实体。试图利用网络110的资源的用户104会将他们的用户设备106连接至交换机108或其它连接元件，如无线接入点(未示出)。与用户104关联的是用户信息104UI。与用户设备106关联的是用户设备信息106DI。
[0031]交换机108被绘出为与远程认证拨号用户服务(RADIUS)服务器112通信，其中交换机108作为RADIUS客户机操作。更具体地，RADIUS服务器112可以利用RADIUS，如在RFC 2865和2866中描述的，RADIUS是为网络接入提供认证、授权和计费管理的联网协议。此外，交换机108可以作为RADIUS服务器112的RADIUS客户机操作。RADIUS服务器112还被绘出为与被授权用户的数据库128通信，被授权用户的数据库128可以托管被授权用户的列表130。图1中绘出被授权用户的示例列表130包括用于用户名、MAC地址、用户组以及网络接入的持续时间(即计时器105)等的字段。可以关于图5更全面地介绍被授权用户的数据库。根据示例，尝试获得网络110接入的用户设备106可以被拒绝接入网络110，除非用户设备106的用户设备信息106DI在被授权用户130的列表中列出。
[0032]为IDM策略数据库124提供管理的IDM代理116还被绘出为与被授权用户的数据库128通信。此外，IDM代理116被绘出为与IDM服务器120通信，IDM服务器120可以托管IDM策略数据库124。IDM策略数据库124可以包含限定各个网络用户104和用户设备106的用户接入权和用户接入策略的多个表和数据。
[0033]根据其它示例，RADIUS服务器112和/或IDM代理116可以在交换机108上托管或在IDM服务器120上托管，或者在交换机108和IDM服务器120的组合上托管。此外或可替代地，RADIUS服务器112和/或IDM代理116可以在SNAC注册服务器122上托管。作为另一示例，IDM服务器120和SNAC注册服务器122可以包括公共服务器和RADIUS服务器112，和/或IDM代理116可以在该公共服务器上托管。
[0034]活动目录136被绘出为包括活动网络用户的目录表138。活动目录136可以由管理员填充，并且用以列出当前被认为与网络110具有活动的或有效的关联的用户。图1中绘出示例活动目录表138,该示例活动目录表138可以具有与被授权用户的列表130 —样的至少一个数据字段或数据类型，或者可以具有用于将活动目录表138中的用户140与被授权用户的列表130中的用户132关联的指针或类似设置。在图1中，被授权用户的列表130和活动目录表138共有两个用户字段104UI，即用户字段和组字段。以这种方式，可以在活动目录表138中识别可能潜在地被列出用于输入被授权用户的列表130中的用户。
[0035]在图1中，例如无名氏132和无名氏140是分别在被授权用户的列表130和活动目录表138中列出的相同用户。活动目录表138还可以包括附加识别信息，该附加识别信息可以用于在自注册或登录过程期间验证用户。例如，活动目录表138被绘出为包含密码字段，该密码字段可以部分地有助于验证正尝试接入网络110的用户。活动目录表138还可以包含用于表示用户列出当前是否被启用的字段或标志。如果启用，则允许该用户的网络接入。如果禁用，则拒绝该用户的网络接入。这可以用于暂时禁用网络接入，而不需要删除所有用户信息104UI。还可以使用其它字段和标志(未示出)来确定用户或用户组的网络接入的其它方面。
[0036]根据示例，交换机108可以是未被配置为托管或支持RADIUS服务器112或IDM代理116的传统交换机。在这种情况中，RADIUS服务器112、被授权用户的数据库128以及IDM代理116全部可以在SNAC注册服务器122和/或IDM服务器120上托管。在替代示例中，RADIUS服务器112、IDM代理116、被授权用户的数据库128以及IDM策略数据库124全部可以在交换机108上托管。因此，作为替代，图1所示的包括交换机108、SNAC注册服务器122、IDM服务器120的系统102可以包括交换机108、SNAC注册服务器122或IDM服务器120之一，而没有其它组件。
[0037]应当进一步注意，由图1中被勾勒出的区域表示的系统102的边界仅是示例边界。例如，活动目录136和/或来宾目录142可以被认为是系统102的一部分。
[0038]关于分别在图2至图4中绘出的方法200至400介绍可实施简单网络接入控制管理操作所凭借的各种方式。应当容易理解，图2至图4中绘出的方法200至400代表概括图示，并且可以添加其它过程或者可以移除、修改或重布置现有过程，而不背离方法200至400的范围和精神。
[0039]概括地说，关于图2至图4和图6绘出和介绍的各种操作可以由图1中绘出的系统102的组件中的至少一个实现。因此，例如，交换机108、SNAC注册服务器122或IDM服务器120或这些组件的组合可以实现图2至图4和图6中绘出的每个操作。在这一点上，方法200至400和方法600可以包括在交换机108、SNAC注册服务器122、IDM服务器120和这些组件的组合中任意一个或多个上存储的机器可读指令。此外或可替代地，方法200至400和方法600可以包括在由交换机108、SNAC注册服务器122、IDM服务器120和这些组件的组合中任意一个或多个实施或执行的非瞬态计算机可读存储介质上存储的机器可读指令。
[0040]首先参考图2，这里示出根据示例的用于管理网络110接入的方法200的流程图。在框202处，响应于用户被列出为活动网络用户的目录136、142中的有效用户，使用户104能够将用户设备106自注册到被授权用户的数据库128中，以接入网络110。根据示例，自注册是通过基于MAC的认证操作实现的。本文下面关于图3中的方法300更详细地描述可实施自注册操作所凭借的各种方式。
[0041 ] 在框204处，监视活动网络用户的目录136、142以修改关于在活动网络用户的目录136、142中列出的用户的信息。如上面介绍的，活动网络用户的目录可以包括活动目录136和来宾目录142中的一个或两个。此外,本文下面关于图4中的方法400更详细地描述可监视活动网络用户的目录136、142所凭借的各种方式。
[0042]在框206处，响应于确定已修改关于在活动网络用户的目录136、142中列出的至少一个用户的、影响被授权用户的数据库128的用户信息，修改被授权用户的数据库128。本文下面还关于图4中的方法400更详细地描述基于影响在被授权用户的数据库128内包含的用户信息的、对活动网络用户的目录136、142的修改而可修改被授权用户的数据库128所凭借的各种方式。
[0043]现在转向图3，这里示出根据示例的用于使用户能够将用户设备自注册到被授权用户的数据库128中以接入网络110的方法300的流程图。方法300大体包括可以在图2的框202中执行的操作的更详细描述。
[0044]在框302处，接收用户104的请求接入网络110的用户设备信息106DI。用户设备信息106DI可以是例如用户设备106的MAC地址。此外，用户设备106可以在用户设备106联接至交换机108时(例如在交换机108和用户设备106的握手操作期间)自动地将用户设备信息106DI传递至交换机108。
[0045]更一般地，用户设备信息106DI可以包括与用户设备106关联的一组数据，并且可以用于向网络110唯一地标识用户设备106。在一些情况中，可以使用或增加冗余或附加信息，以便进一步标识用户设备106，或者限制、控制或约束用户设备106与网络110的关联。例如，交换机108上的端口标识符可以与用户设备106的MAC地址结合，以形成结合的或多签名的用户设备信息106DI。类似地，特定频率或信道可以与无线设备关联，以便形成结合的或多签名的用户设备信息106DI。然而,在一些情况中，在分派用户设备信息106DI时可以准予一些余量。例如，如果无线用户设备106与两个或更多个无线接入点(即无线交换机108)关联，只要该多个接入点基本上彼此接近，那么仍可以准许该无线用户设备106接入网络110。
[0046]在框304处，确定被授权用户的数据库128是否包括用户设备信息106DI。如图1所示并且根据示例，在确定被授权用户的数据库128是否包括用户设备信息106DI时，交换机108会实施RADIUS服务器112 ( “MAC认证(MAC-AUTH) ”线)。然而，可替代地，SNAC注册服务器122和/或IDM服务器120可以进行该确定。
[0047]响应于确定被授权用户的数据库128的确包括用户设备信息106DI，准许用户104通过用户设备106接入网络110，如框306处所示。IDM代理116与IDM策略数据库124结合可以确定特定接入和控制权。然而，如果确定被授权用户的数据库128包括用户设备信息106DI，则在框308处接收用户信息104UI。更具体地，例如，可以提示用户104输入用户信息104UI，如用户名、用户标识、密码和/或其它证书，并且用户104可以输入所请求的用户信息104UI。此外，交换机108可以如标记“MAC认证失败重定向(MAC-AUTH-FAILURE-REDIRECT) ”的线所表示的那样，将用户信息104Π重定向至SNAC注册服务器122。
[0048]在框310处，确定用户信息104Π在活动网络用户的目录136、142中是否有效，例如由SNAC注册服务器122在接收用户信息104UI以后进行确定。因此，例如确定用户信息104UI是否包含在活动网络用户的目录136、142中，并且如果是，则确定用户104是否已输入正确的证书(例如，正确的密码)以及是否能够接入网络110。作为示例且如图1所示，在活动目录136中包含的活动目录表138显示用户“无名氏”能够接入网络110并且这里密码是“123RF34”。注意，活动目录136、来宾目录142或活动网络用户的类似目录一般由被授权的管理员或负责保证合法网络接入的其它人填充、维护和更新。例如，可以指定被授权的机构成员用网络用户104的名称和其它标识信息104Π填充来宾目录142，网络104将是来宾并因此是被允许的来宾或被允许暂时接入网络110。
[0049]响应于确定在框308处由用户供应的用户信息104Π是无效的，拒绝接入网络110，如框312处所示。因此，如果用户信息104Π不包含在活动网络用户的目录136、142中，如果用户信息104UI (例如，密码)不匹配在活动网络用户的目录136、142中包含的用户信息104UI，和/或如果已经禁止用户104的网络接入，则在框312处自动地拒绝接入网络。此外，可以采取适合的附加步骤。例如，可以提示用户104重输入用户信息104UI (可能是第一次错误地输入了信息)，或者可以向管理员或指定的机构管理员发送警报。用于对不正确的或错误的用户信息104Π做出响应的策略可以在IDM策略数据库124中进行限定，并且可以由诸如RADIUS服务器112和/或IDM代理116之类的过程实施。
[0050]响应于确定在框308处由用户供应的用户信息104Π是有效的，将用户信息104UI注册到被授权用户的数据库128中，如框314处所示。换句话说，将用户信息104UI自动填充到被授权用户的数据库128中的被授权用户的列表130中。在这一方面，可以准许用户104通过用户设备106接入网络110，而不需要管理员的直接支持或干预。从用户104的角度看，可以经由登录过程和登录显示实施方法300的自注册操作。
[0051]此外，与用户信息104Π —起并与用户信息104Π关联，添加设备106的用户设备信息106DI。如果用户104已经存在于被授权用户的列表130中(表示另一用户设备106已经与用户104关联)，那么新增加的设备106和其用户设备信息106DI也可以与相同的用户104关联。在示例中，当将用户信息104Π增加至被授权用户的列表130时，增加全部所提供的用户信息104UI。在另一示例中，当将用户信息104Π增加至被授权用户的列表130时，仅增加用户信息104UI的一子集。
[0052]此外，如本文上面已经描述的框306处所示，准许用户104接入网络100。
[0053]作为具体示例，一旦已验证用户证书且在框310处将用户104确定为有效用户，则SNAC注册服务器122就可以将用户信息104Π增加至IDM服务器120。此外，IDM服务器120将用户信息104Π推送至所有IDM代理116。如上面介绍的那样，IDM代理116将用户信息104Π注册到被授权用户的数据库128内。由于基于用户的IDM组和配置文件等立即允许用户104以适当的接入权接入，所以随后通过用户设备106接入网络110现在将自动地发生。此外，从这一点出发，用户104不知道SNAC正在被实施，因为用户104通过用户设备106接入网络110对用户104是透明的。如下面关于图4中的方法400更详细地介绍的，当用户的接入权改变时，如当用户离开公司时，该改变自动地反映在被授权用户的数据库128中，因为IDM服务器120正监视活动网络用户的目录136、142以寻找改变。
[0054]现在参考图4，这里示出方法400的流程图，方法400用于对已经按照上面介绍的方法200被准许接入网络110的用户104和用户设备106进行管理。方法400大体包括可以在图2中的框204和框206处执行的操作的更详细描述。关于这一方面，方法400可以在框202的实现以后实现。此外，方法400可以包含单个过程，或者可以包括基本上并行或以基本交替的顺序发生的多个过程。图4示出两个过程。根据示例，SNAC注册服务器122和/或IDM服务器120实施方法400中的各个操作。
[0055]在起始于框402的第一过程中，基本上实时、基本上连续地或基本上频繁地，监视活动网络用户的目录136、142。在决策框404处，确定是否已从活动网络用户的目录136、142中删除用户104。这种删除可以由被授权控制网络110接入的管理员或其他人或实体来执行。
[0056]如果已删除用户104，则在框406处，如被授权用户的列表130中的任何关联用户设备信息106DI的列表那样，删除被授权用户的数据库128中的用户104的任何记录或类似列表。这有效地防止这些用户设备106按照上面介绍的方法200/300今后登录到网络110中。此外，如果所删除的用户设备106中任一用户设备当前连接至网络110，则可以终止它们的网络连接。
[0057]然而，如果在决策框404处，确定用户104仍在活动网络用户的目录136、142中列出，则在框408处确定在活动网络用户的目录136、142中是否已禁用用户104。这种状态可以由被授权控制网络110接入的管理员或其他人或实体来设置。
[0058]如果用户104已经将它们的活动状态设置为禁用，则在框410处确定用户104的任何用户设备106当前是否包含在被授权用户的数据库128中。如果是，则在框412处并且根据示例，在任何这样的用户设备106当前具有活动网络连接的情况下终止他们的网络连接。此外，从包含在被授权用户的数据库128中的被授权用户的列表130中，删除用户信息104Π和用户设备信息106DI。在另一示例中，代替从被授权用户的数据库128中删除用户信息104UI和用户设备信息106DI,可以在被授权用户的列表130中设置表不用户设备106当前未被授权接入网络110的标志。这可以防止用户设备106在方法200期间被登录到网络110中，并且可以触发方法300的自注册过程。然而，如果在框410处用户104未在被授权用户的数据库128中列出，那么不需要关于被授权用户的数据库128的特定动作，并且监视按照框402继续。
[0059]如果在决策框408处，确定用户104在活动网络用户的目录136、142中保持活动，则在框414处，确定活动网络用户的目录136、142中关于用户104的参数的任何其它方面是否已改变。如果是，则在框416处，适当地改变被授权用户的数据库128，并且可以适当地修改用户设备106的网络接入或网络特权。例如，网络接入特权可以升高或降低，接入域改变，网络控制权改变，并且适当地进行其它改变。结合在IDM策略数据库124中设置的策略，可以基于活动网络用户的目录136、142中的改变，适当地确定一些改变。
[0060]在起始于框418的示例第二过程中，记下在活动网络用户的目录136、142中设置的用户时间限制和/或日期限制，并且监视适合的时间和/或日期。例如，日期限制可以表示用户104仅在特定日期(如5月I日)被允许接入网络。确定当前日期以及是否在使用对应的用户设备106。
[0061]在决策框420处，确定是否已超过用户时间限制或用户日期界限。如果是，则在框422处通过移除用户信息104Π终止通过用户设备106的网络接入，并且从被授权用户的数据库128中的被授权用户的列表130中删除关联的用户设备信息106DI，防止今后通过用户设备106登录。
[0062]可以理解，在一些实施例中，替代从被授权用户的数据库中移除用户和关联设备并且终止/拒绝网络接入，可以将用户和关联设备放入有较低特权的接入配置文件或组中。
[0063]通常来说，可以实施方法200至400以确定具有相同用户设备信息的一个以上用户设备106或具有错误用户设备信息的单个设备是否尝试连接至网络110。在这样的情况中，可以向管理员发送警报，该警报表示可能正在发生设备欺骗尝试，并且可以拒绝一个或多个用户设备106接入或者一个或多个用户设备106挑战现有接入。可以对IDM策略数据库124限定用于检测欺骗和其它错误的自识别的特定策略，并且可以由IDM代理116实现这些特定策略。
[0064]在方法200至400中提出的操作中的一些或全部可以作为实用程序、程序或子程序被包含在任何期望的计算机可存取介质中。此外，方法200至400可以由计算机程序体现，计算机程序可以以活动的和不活动的多种形式存在。例如，它们可以作为包括源代码、目标代码、可执行代码或其它格式在内的机器可读指令存在。上面中的任一种可以包含在计算机可读存储介质上。
[0065]非瞬态计算机可读存储介质的示例包括传统的计算机系统RAM、ROM、EPROM、EEPROM和磁性的或光学的盘或带。上述内容的具体示例包括程序在⑶ROM上的分发或经由互联网下载的分发。因此，应当理解，能够执行上面描述的功能的任何电子设备可以执行上面列举的那些功能。
[0066]图5示出根据本公开示例的被授权用户的示例数据库。如上面提到的，被授权用户的数据库500可以包括与被授权接入网络的用户关联的信息。被授权用户的数据库可以包括用于存储与被授权用户关联的信息的字段。例如，数据库包括用户名502、MAC地址504、用户组506和网络接入的持续时间508。
[0067]此外，数据库500可以进一步包括再验证计时器510。该再验证计时器可以例如在用户在数据库500中注册时被设置。再验证计时器是限定可以何时发起再验证过程的预定时间，此时可以请求用户将用户证书供应至系统以便被再验证。再验证计时器可以例如基于用户所属于的用户组被自动地设置，可以基于向所有用户应用的默认值被设置，可以基于接入策略被设置，可以由管理员专门地设置，等等。再验证时间可以与系统时间时钟配合递减，使得当该时间到达零时，计时器超时并且发起再验证过程。如果根据再验证过程再验证用户，那么可以将再验证计时器重置为初始时间值。可替代地，可以将再验证计时器重置为由例如网络管理员确定的不同值。
[0068]数据库500可以进一步包括最后一次验证512的日期/时间。该信息可以用于确定再验证过程可以何时发生。
[0069]可选地，数据库500可以进一步包括是否将代理下载至用户设备514的指示。如果将代理下载至用户设备，那么可以预期例如SNAC注册服务器122和用户设备104之间的通信。例如，如果将代理下载至用户设备，并且在用户设备的代理和SNAC注册服务器之间没有通信，那么可以拒绝接入网络。
[0070]可以理解，数据库500中存储的信息可以存储在单个数据库中或者存储在相同设备或不同设备处的多个数据库中。可以进一步理解，可以在数据库500中存储与用户和用户设备相关的附加信息。
[0071]可以进一步理解，可替代地，数据库500可以存储与至发起再验证过程还有多少时间相关的信息。
[0072]图6通过图表图示出再验证过程的示例流程图。当用户设备向SNAC注册服务器发出接入网络的请求时，可以将用户信息和/或用户设备信息与存储在被授权用户的数据库中的信息进行比较602。如果该信息被存储在被授权用户的数据库中(602，是)，则准许接入网络604。
[0073]可替代地，如果该信息存储在被授权用户的数据库中，则可以进行附加检查以确定是否启用再验证计时器。如果不启用再验证计时器，则可以准许接入网络604。然而，如果启用再验证计时器，则可以进行检查以确定在用户设备上是否安装代理。如果在用户设备上安装有代理，则可以准许接入网络。如果没有安装代理，则可以基于用户设备的类型、基于指纹过程选择适合的代理来确定用户设备的类型，并且将该适合的代理传输给用户设备，并且可以提示用户安装用户代理。一旦安装用户代理，就可以更新被授权用户的数据库来表示在用户设备上安装有该代理并且可以准许接入网络。
[0074]如图6所示，如果被授权用户的数据库不包括用户(602，否)，则系统接受用户证书606 (例如用户名和密码)，将相对于上面介绍的组织的活动目录验证这些证书。
[0075]如果用户信息在活动目录中是无效的(608，否)，则拒绝接入网络610。如果用户证书是正确的(608，是)，则注册服务器可以处理再验证计时器612。可以通过确定计时器的值(例如，至发起再验证过程要经过的时间量)来处理再验证计时器。如上面提到的，该值可以例如基于用户所属的组等而被预先确定。可以将该值输入到被授权用户的数据库中并且将该值与用户关联。此外，可以将用户最后一次验证的日期和时间输入被授权用户的数据库中。
[0076]基于在被授权用户的数据库中存储的时间，确定再验证计时器是否已超时614。如果再验证时间未超时(614，否)，则准许接入网络616，直至再验证时间已超时。
[0077]如果再验证时间已超时(614，是)，那么向用户设备发送请求用户进行再验证的请求618。可以以消息在请求用户接入的用户设备的显示器上(例如在弹出窗口中)显示(例如，统一资源定位符(URL))并且输入用户证书(例如，用户名、密码等)的方式做出该请求。
[0078]如果在用户设备上安装有代理，那么可以将消息传输给代理，其中该代理可以促使消息在用户设备的显示器上显示。
[0079]—旦接收到用户证书，就确定再验证是否成功，例如在将用户证书与在活动用户的数据库中存储的信息进行比较时验证用户证书。如果再验证不成功(620，否)，那么可以拒绝接入网络610。如果再验证成功(620，是)，那么准许接入网络622，并且过程继续至612，在这里处理再验证计时器。
[0080]可以理解，可替代地，在确定用户信息在活动用户数据库中是有效的(608，是)以后，SNAC注册服务器可以基于指纹识别操作进行选择以确定用户设备的类型，可以选择适合的代理，将该代理传输给用户设备，并且可以提示用户安装该用户代理。一旦安装了用户代理，就可以更新被授权用户的数据库来表示在用户设备上安装了该代理。然后，处理可以继续至步骤612。
[0081]可以理解，注册服务器允许用户在进行注册过程时注册多个设备。在此情况中，可以仅促使参与注册过程的设备下载用户代理。可以适当地更新所注册的用户的数据，以表示仅下载并安装该代理的设备包括该代理。对于所有其它用户设备，将代理下载状态标记为“假”。
[0082]可以理解，在代理被安装在用户设备上的实施例中，该代理可以与SNAC注册服务器连续通信。在一个实施例中，如果断开用户设备和SNAC注册服务器之间的通信，那么可以提示用户设备的用户进行再验证，或者可以拒绝接入网络。可替代地，如果基于再验证计时器超时提示用户进行再验证，则可以进行检查以确认该代理正确地与SNAC注册服务器通信。如果该代理不与SNAC注册服务器通信，那么可以拒绝接入网络。
[0083]现在转向图7，图7示出根据示例的、可以用来执行图1所示的服务器120、122的各种功能的计算设备700的示意表示。类似元件(可能省略或增加一些元件)还可以用于智能交换机(如图1的交换机108)中。计算设备700包括:处理器702 ;显示设备704(如监视器)；网络接口 708，如局域网LAN、无线802.1lx LAN、3G移动WAN或WiMax WAN;以及计算机可读介质710。这些组件中的每个可操作地联接至总线712。例如，总线712可以是EISA、PC1、USB、FireWire、NuBus 或 PDS。
[0084]计算机可读介质710可以是参与向处理器702提供用于执行的指令的任何合适的非瞬态介质。例如，计算机可读介质710可以是:非易失性介质，如光盘或磁盘；易失性介质，如存储器；以及传输介质，如同轴电缆、铜线及光纤。传输介质还可以采用声波、光或射频波的形式。计算机可读介质710还可以存储其它机器可读指令，其它机器可读指令包括文字处理器、浏览器、电子邮件、即时消息收发、媒体播放器以及电话机器可读指令。
[0085]计算机可读介质710还可以存储:操作系统714,如Mac OS、MS Windows、Unix或Linux ；网络应用程序716 ；以及网络接入管理应用程序/再验证计时器718。操作系统714可以是多用户、多处理、多任务、多线程、实时等。操作系统714还可以执行基本任务，如识别来自输入设备(如键盘或小键盘)的输入；将输出发送给显示器704 ;在计算机可读介质710上记录文件和目录；控制外围设备，如磁盘驱动器、打印机、图像捕获设备；以及管理总线712上的业务。网络应用程序716包括用于建立和维护网络连接的各种组件，如用于实施包括TCP/IP、HTTP、以太网、USB以及FireWire在内的通信协议的机器可读指令。
[0086]网络接入管理应用程序718提供用于如上面关于图2至图4和图6的方法描述的管理网络接入并且实施再验证过程的各种组件。网络接入管理应用程序/再验证计时器718在被实施时在网络设备108/120/122上接收来自请求接入网络110的用户设备106的用户设备标识106DI。网络接入管理应用程序718在被实施时响应于用户在活动网络用户的目录136、142中被列出为有效用户而进一步使用户104能够将用户设备106注册到被授权用户的数据库128中。此外，网络接入管理应用程序718在被实施时监视活动网络用户的目录136、142，以修改关于在活动网络用户的目录136、142中列出的用户的信息。此外，响应于确定已修改关于在活动网络用户的目录136、142中列出的至少一个用户的、影响被授权用户的数据库128的用户信息，修改被授权用户的数据库128。此外，可以实施再验证过程，此时可以提示用户再验证他们的证书以便保持接入网络。在特定示例中，由网络接入管理应用程序718执行的处理中的一些或全部可以集成到操作系统714中。在特定示例中，上述处理可以至少部分地在数字电子电路中或在计算机硬件、机器可读指令(包括固件和/或软件)中、或者在它们的任意组合中实施。
[0087]尽管在本公开全文各处具体地描述了本公开的代表性实施例，但是本公开的代表性实施例对许多应用有用，并且上面的介绍不旨在也不应被解释为是限制的，而是作为本公开各方面的说明性介绍提供的。
【权利要求】
1.一种装置，包括: 存储器，存储一组指令；以及 处理器，用于执行所存储的一组指令以: 验证用户设备的用户的证书来建立经验证的用户设备，所述用户设备是网络中自注册的设备；并且 在预定的一段时间以后再验证经验证的用户设备的用户的证书。
2.根据权利要求1所述的装置，其中验证模块进一步向所述经验证的用户设备传输代理以在所述用户设备上安装。
3.根据权利要求2所述的装置，其中所述代理在被安装于所述用户设备上时维护所述经验证的用户设备的验证。
4.根据权利要求1所述的装置，其中再验证模块在预定的一段时间以后向所述经验证的用户设备传输关于证书的请求，以便再验证所述经验证的用户设备的用户。
5.根据权利要求4所述的装置，其中所述再验证模块: 接收包括证书的对所述关于证书的请求的响应； 将所接收的证书与所存储的证书进行比较；以及 如果所接收的证书与所存储的证书匹配，则重置计时器以重新开始所述预定的一段时间。
6.根据权利要求1所述的装置，进一步包括: 储存器，用于存储与所述用户设备的用户的再验证关联的信息，该信息包括预定的一段时间、所述用户设备的用户证书和标识、以及在所述用户设备上是否安装代理的指示中的至少一个。
7.一种再验证用户设备的用户的方法，所述方法包括: 在确定是否准许用户的用户设备接入网络时实施基于媒体接入控制(MAC)的认证操作； 响应于通过所述基于MAC的认证操作拒绝所述用户接入网络并且将所述用户列为活动网络用户的目录中的有效用户，使所述用户能够将所述用户设备自注册到被授权用户的数据库内以接入所述网络； 接收所述用户的证书，并且利用所存储的与所述用户关联的证书来验证所述用户的证书；并且 如果所述用户的证书被验证，那么基于所述被授权用户的数据库中的与所述用户设备关联的信息设置再验证计时器，并且提供接入所述网络。
8.根据权利要求7所述的方法，进一步包括: 确定所述再验证计时器已经超时；并且 发起再验证过程来再验证所述用户设备的用户。
9.根据权利要求8所述的方法，其中所述再验证过程包括: 在所述用户设备处请求所述用户的证书； 接收包括所述用户的证书的对来自所述用户设备的请求的响应；并且 确定所接收的证书在所述被授权用户的数据库中；以及 重置所述再验证计时器。
10.根据权利要求7所述的方法，进一步包括: 如果所述用户的证书被验证，则将代理传输至所述用户设备以进行安装。
11.根据权利要求10所述的方法，进一步包括: 识别用户设备的类型；并且 选择代理以传输至所述用户设备。
12.—种非瞬态计算机可读存储介质，在所述介质上嵌入有计算机程序，所述计算机程序实施对用户接入网络进行再验证的方法，所述计算机程序包括计算机可读代码以: 响应于用户被列为活动网络用户的目录中的有效用户，使所述用户能够将用户设备自注册到被授权用户的数据库内以接入网络； 传输代理以在用户设备上安装，所述代理便于与注册设备的通信以进行再验证；并且 基于与所述用户关联的信息，在所述被授权用户的数据库中设置再验证计时器。
13.根据权利要求12所述的非瞬态计算机可读存储介质，其中所述计算机可读代码进一步: 确定所述再验证计时器是否已经超时；并且 如果所述再验证计时器已经超时，则发起再验证过程来再验证所述用户设备的用户。
14.根据权利要求13所述的非瞬态计算机可读存储介质，其中所述计算机可读代码进一步: 向所述用户设备传输对用户证书的请求； 接收对所述请求的响应，所述响应包括用户证书； 将所接收的证书与在所述被授权用户的数据库中存储的用户信息相比较； 如果所接收的证书匹配在所述被授权用户的数据库中存储的证书，则继续提供接入网络；并且 重置所述再验证计时器。
15.根据权利要求14所述的非瞬态计算机可读存储介质，其中所述计算机可读代码进一步: 如果所接收的证书不匹配在所述被授权用户的数据库中存储的证书，则拒绝接入网络。
【文档编号】H04L9/32GK104365055SQ201280073887
【公开日】2015年2月18日 申请日期:2012年6月29日 优先权日:2012年6月29日
【发明者】萨罗·钱德拉·布塔尚, 楚克·A·布莱克 申请人:惠普发展公司，有限责任合伙企业