[发明专利]网络使用者的识别与验证

说明书

在先申请

本发明为根据2011年9月22日的美国临时申请案号61/537,898而主张优先权，其全文内容为经结合而作为参考。

技术领域

本发明为关于识别与验证一网络使用者。

背景技术

身份标示的管理（Identity management）对于包括公共因特网的通讯网路而言系为日趋重要。随着个人化内容以近乎指数比例成长，以一使用者的身份标示而非机器的身份标示而存取服务与数据系正逐渐增加。甚且，现正愈来愈多数量的个人与敏感性数据为在在线储存与传输。维护这些数据的安全并确保只有正确的实体可存取该数据的工作系愈趋重要，而与此相关的花费正以非比寻常的比例增加中。除此之外，这场要保持领先一步于意图不正当使用网络系统者的无尽战斗尚不可言胜。

作为现代因特网的基础的因特网协议（Internet Protocol,IP）并非被设计为方便使用者以使用者标示以进行通讯，而此系导致长期以来的分离地模式发展，其包含以两种主要方式而所采用的数据安全性方针，即：在IP地址层级使用一所给定主机的来源IP地址；或根据特定于一应用程序的一使用者标示（该使用者标示为由该应用程序所识别）而在一网络封包的应用层（application layer）中而被传送。

这两种方法时常关联于对安全性模式的巨大妥协，而此特别明显于多数个匿名攻击者可侵入知名网络服务，在造成以百万计的损害却具后续的最小风险。这类系统与应用程序（目前包括有数十亿计的使用者）的使用者皆被要求管理并记忆以使用者名称与密码的形式而表示的大量在线账号凭据（credentials）。雪上加霜的是，恶意攻击者有大量的方法能够并进而实际去窃取这些数据，从而来假扮受害者。

在此所请求的主体并不仅限于解决任一缺点或于如上所述环境中操作的实施例。相对地，此先前技术仅供用于描述一个范例性的技术领域，而有一些实施例可在该技术领域中被实施。

发明内容

根据本发明的实施例，一种识别与验证网络使与者的方法包括：自一第一使用者实体接收一第一网络层封包。该第一网络层封包可包括该第一使用者实体所独有的一第一唯一识别信息，且该第一唯一识别信息为无关于与该第一网络层封包相关联的一第一网络地址。该方法更包括根据该第一唯一识别信息，而在一网络的网络层确认该网络层封包为来自该第一使用者实体。

本发明的其它特征与优点将在后续说明中阐述，而有某些为可见于说明中，或可藉由本发明的实作而获悉。本发明的特征与优点可藉由申请专利范围所指出的特定手段与组合而实现并获得。本发明的这些与其它特征在下列说明与申请专利范围项中将更为明显，或可藉由下文中所述的本发明的实施而了解。

附图说明

为进一步厘清本发明的上述及其它优点与特征，本发明的一更具体说明将以附呈图式中所绘的特定实施例为参考而呈现。应理解的是该些图式仅描绘本发明的典型实施例，因此不应视为对其范围的限制。本发明将通过使用附呈图示而更具体细节地描述与说明。

图1系一系统的方块图，该系统经配置而识别及/或验证一网络使用者实体。

图2系一范例系统的方块图，该范例系统经配置而依据网络层封包所包括的唯一识别信息用于规范一使用者端点对于一目的端点的存取。以及

图3显示一范例程序，可用于执行注册、验证以及一使用者端点与一目的端点之间的数据流传输。

具体实施方式

在本发明的某些实施例中，一网络（例如因特网）的一使用者实体可由像是因特网协议（IP）封包的一网络层封包而在该网络的网络层（有时被称为第3网络层）中而单独地（exclusively）识别与/或验证出。在某些实施例中，一网络层封包可包括该使用者实体所独有的一唯一识别信息。在某些实施例中，该唯一识别信息可与一关联于该使用者实体的一唯一使用者识别码（ID）相关联。该唯一使用者识别码可无关于该网络层封包所起始（originate）的网络地址（例如，IP地址）。

在某些实施例中，该唯一识别信息可被安全地签署，据此得以合理地确认并信任该网络层封包系由该使用者实体所传送，而非为一第三方伪装作为该使用者实体。