專利名稱:捕獲網絡中的網絡附屬請求方的連接信息的方法和系統的制作方法
技術領域:
本發明涉及有線或無線網絡環境中動態分配的地址,尤其涉及網絡環境中基于端口的認證,以及涉及對作為在動態地址分配、認證以及連接中包含的協議交換的結果創建的信息的管理員訪問。
背景技術:
802.1X標準旨在增強遵循IEEE 802.11標準的無線局域網(WLAN)的安全性。802.1X為無線局域網提供了認證框架,允許中央認證機構對用戶進行認證。用于確定用戶是否可信的實際算法是由標準公開的,并且多種算法都是可行的。
802.1X為認證過程期間的消息交換使用一種工作在以太網、令牌環網或無線局域網上的現有標準,即可擴展認證協議(EAP,RFC 2284)。
在使用了802.1X的有線或無線局域網中,用戶(稱為請求方)請求接入某個接入點(稱為認證方)。所述接入點迫使用戶(更確切的說,用戶的客戶機軟件)進入一種未經認證的狀態,該狀態允許客戶機僅發送EAP起始消息。所述接入點將返回請求用戶標識的EAP消息。所述客戶機返回所述標識,然后該標識由所述接入點轉發到認證服務器,所述認證服務器使用某種算法來認證用戶,然后向接入點返回“接受”或“拒絕”消息。假設接收到“接受”,則該接入點將客戶機狀態更改為已認證,并且此時可以開始正常的業務。
雖然802.1X并未規定可供認證服務器使用的工具或應用,但是認證服務器可以使用遠程認證撥入用戶服務(RADIUS)。
如上所述,在802.1X之類的當前連接協議中,請求方(用戶)的MAC地址(介質訪問控制地址)、用戶ID以及密碼和數字證書之類的用戶獨有的秘密信息將被提供給認證服務器。認證服務器對用戶進行認證,并且向交換機返回指示是否應該將用戶與網絡相連的消息。這其中的一個問題是用戶提供的信息對服務器而言是不可用的。
用戶提供的信息包括1)認證方信息,例如交換機或無線接入點標識;2)物理認證方(也就是交換機)端口號;3)連接到端口的系統的一個或多個MAC地址;4)連接到端口的系統的IP地址;5)認證服務器標識;6)其他管理員定義的與認證方(如交換機或無線接入點)有關的信息。
網絡管理員需要對作為就連接到特定認證端口的特定用戶而言的認證過程的一部分創建和交換的信息進行訪問。此信息是有效的網絡管理以及故障解決過程所需的。
一個問題是諸如802.1X之類的當前標準并未提供可用于從認證方獲得此信息的方法。此外,當前協議沒有有效的方法來提供此信息。
由于協議802.1X是基于端口的認證協議而不是數據庫管理系統或協議,因此會出現這些問題。即,802.1X被限于在認證方(如交換機端口)處對設備進行識別和認證。
圖1描述了使用802.1X協議在將設備101插入網絡時對其進行認證的現有技術的典型網絡。如圖1所示,在啟用了802.1X的局域網中,在步驟1,認證方(交換機)103質詢客戶機101的標識。這是為了認證用戶被授權接入網絡。客戶機101做出響應1,并且認證方103將所提供的請求方標識發送2到認證服務器105,如遠程認證撥入用戶服務(“RADIUS”)服務器,以便對客戶機進行實際認證3。
認證服務器105使用響應來應答3認證方103。如果客戶機101被授權,則交換機103將客戶機端口置于“已認證”和轉發狀態。交換機103將認證結果4中繼到客戶機101。一旦客戶機已被認證并且端口處于已授權狀態,則客戶機101就可以訪問5網絡以及網絡資源107。
但是,如果認證并未成功,則交換機103使端口保持關閉,并且沒有業務可以經過該端口。
現有技術系統的一個缺點在于諸如802.1X之類的當前標準并未提供可用于從認證方103獲取網絡管理和資產管理的信息的方法,其中所述信息可以是認證方信息、交換機或無線接入端口、物理認證端口號、MAC地址、IP地址和認證服務器,以及時間戳。
發明內容
現有技術的缺陷和缺點可以通過在此描述的方法、系統以及程序產品來消除。如此處所述的,所述方法、系統和程序產品捕獲在認證方處觀察的請求方(客戶機)信息,并且將其傳送到中央站點,即管理員站點。此信息是在協議交換過程中最初創建的信息。所述信息被保存在一個或多個數據庫或擴充的數據庫中。通常,此信息包含IP地址相關性的所有者、MAC、IP、交換機端口號、交換機ID以及認證服務器ID。
在優選實施例中,所傳送或收集的信息可用于惡意軟件清除、漏洞掃描、基于使用的計費以及資產管理。
通過將數據獲取、數據存儲以及數據庫管理功能與認證方功能集成,可以獲得這些結果。
圖1是具有客戶機(請求方)、Radius認證服務器、交換機以及尋求接入的內部網絡的現有技術網絡的圖示;圖2是具有客戶機(請求方)、Radius認證服務器、交換機、尋求接入的內部網絡以及作為管理站點的中央站的本發明的網絡,其中該中央站點可以包括數據服務器以及數據庫管理系統服務器;圖3描述了現有技術的協議流,并且具體示出了在中央服務器或中央站點與認證方之間不存在數據流;圖4描述了在此所述的本發明的協議流,并且具體示出了在中央服務器或中央站點與認證方之間存在數量相當大的數據流;圖5描述了在中央站點內或跨中央站點提供的“通信表”數據結構;圖6描述了具有認證方與中央站點之間的數據流以及在關聯數據庫中存儲信息的本發明的方法的流程圖;圖7描述了擴充數據庫的結構。該數據庫包括中央站點地址、認證服務器ID、交換機ID、交換機端口ID、MAC地址、IP地址、端口激活時間、以太網網墻(wall)端口、用戶ID以及所有者;以及圖8描述了圖7中所述的數據庫內的信息流。
具體實施例方式
所述方法、系統和程序產品有助于在網絡(如有線或無線網絡)中捕獲、存儲以及后續利用連接數據。所述方法、系統和程序產品向中央點提供了與已認證的端口用戶有關的完整的第二層和第三層信息。所述中央點可以是認證方交換機、認證服務器或是與內部網絡關聯的服務器。
在另一個實施例中,本發明還提供了已連接設備的IP地址與其MAC地址的關聯。這避免了創建單獨的MAC到IP注冊數據庫系統(所述系統然后必須與DHCP系統鏈接以便動態分配IP地址)的成本和復雜性。
此處描述的方法、系統和程序產品可以例如周期性的或根據需要或在發生事件時(如斷開端口的連接)報告交換機狀態的變化。
此外,此處描述的方法、系統和程序產品可以有助于交換機在觀察附加信息以及向中央站點發送附加信息時的操作。這其中包括端口狀態、端口速度、每秒的分組統計等。
應該指出,圖5和8的通信表中包含的信息可在SNMP MIB中可用,以便使用SNMB過程來進行檢索。同樣,圖5和8的通信表中包含的信息可以被發送到網絡上的RADIUS或TACACS認證服務器105或服務器209。這些服務器將始終具有處于其控制范圍內的交換機的信息的副本,可選地,包括將從所述認證服務器拉信息的中央站。
圖2描述了本發明所構想的使用802.1X協議來在將設備101插入網絡時對其進行認證的網絡。如描述現有技術的圖1以及描述本發明的一個實施例的圖2所示,在啟用802.1X的局域網中,認證方(交換機)103將在步驟1質詢客戶機101的標識。這是為了認證用戶被授權接入網絡。客戶機101做出響應1,并且認證方103將所提供的請求方標識發送2到認證服務器105,如遠程認證撥入用戶服務(“RADIUS”)服務器,以便對客戶機進行實際認證3。
認證服務器105使用響應來應答3認證方103。如果客戶機101被授權,則交換機103將客戶機端口置于“已認證”和轉發狀態。在流程6中,交換機103將認證結果4中繼到客戶機101以及中繼到內部網絡107(可選地包括認證數據庫209)。一旦客戶機101已被認證并且端口處于已授權狀態,則客戶機101就可以訪問5網絡以及網絡資源107,并且管理員(未示出)就可以利用數據庫209中的認證和連接數據。
但是,如果認證并未成功,則交換機103使端口保持關閉,并且沒有業務可以經過該端口。
圖3描述了現有技術的協議流,具體示出了在中央服務器107或中央站點與認證方103之間沒有數據流。該圖描述了對已連接的用戶進行認證的過程。
如圖3所示,存在兩條并行的路徑,左側具有奇數并開始于“開始”301的第一路徑示出了交換機103處的活動,而右側具有偶數并開始于“開始”302的第二路徑示出了認證服務器105處的活動。
在交換機103處,當交換機103接收到來自客戶機101的端口激活請求305時,過程開始301。交換機301將該激活請求發送到認證服務器105。已被啟動302的認證服務器105接收該請求并判定認證是否成功308。如果成功310,則認證服務器105在步驟310向認證交換機103回送認證成功指示符,并且將會結束312。如果在認證服務器處的認證過程不成功,則認證服務器105向認證交換機103發送認證失敗指示符314,并且所述過程結束316。
在認證交換機321處接收響應(無論是成功認證310還是認證失敗314)并且對其解碼323。如果成功,則認證交換機103將激活端口331。但是,如果認證服務器105處的認證不成功314,則認證交換機在步驟341向客戶機101回送認證失敗指示符,并且將關閉交換機端口。
在現有技術中,如圖3所示,其中并未捕獲和存儲用戶ID、無線節點編號的壁板(wall plate)編號或MAC地址。任何捕獲和存儲用戶數據都在內部網絡107中的單個應用處,并且涉及單個主機和基于主機的處理的常規安全性、訪問以及特權考慮,且與網絡接入或利用無關。內部網絡107中基于主機的過程不關注或不考慮網絡連接或網絡用戶登錄數據。
但是,網絡管理員確實關注、需要并且關心網絡連接以及網絡用戶登錄數據。此處描述的方法、系統和程序產品捕獲網絡用戶(請求方或客戶機)的網絡連接以及用戶登錄數據。這在圖4的流程圖中描述,圖4描述了根據本發明的添加所功能和能力,這些功能和能力以協作方式擴充了圖3的流程圖中示出的方法和系統。
所述過程開始于中央站點的“開始”405以及認證交換機的“開始”401。中央站點209啟動405并且將自身注冊(認證交換機處理流程中的403,中央交換機處理流程中的407)到交換機103。如圖3所示,所述過程繼續直至認證交換機103激活331端口101。這時,交換機103捕獲所需的信息451。此所需的信息包括中央站點ID、端口ID、用戶ID、MAC地址等。交換機103將此捕獲的信息發送到中央站點209,中央站點209則捕獲、接收和存儲信息411,并且過程結束413。
圖4描述了本發明的擴充和集成的方法及系統的流程圖。與圖3和圖4相比,圖4描述了對圖3的流程圖中的現有技術協議和處理流程所進行的擴展。
雖然將中央站點107作為單個單元來描述,但是所述中央站點也可以采用不同的方式來實現,甚至可以作為分布式系統來實現。
圖5描述了在諸如服務器209之類的中央站點107中提供或跨中央站點107提供的“通信表”數據庫元數據以及架構。
首先轉到圖5的表格,每個交換機端口都具有行511。標識每個交換機端口的是中央站點地址513、認證服務器ID 515、MAC地址517、IP地址519以及時間戳521。對于每個端口,認證交換機103會在協議操作及其處理過程中捕獲和存儲信息。
在圖5的表格中,列“中央站點地址”513表示希望獲取關于端口的信息的已注冊中央站點的邏輯地址。可以注冊和產生多個通知。
“認證服務器ID”515標識了用作端口認證的授權源的認證服務器105。一個或多個MAC地址517表示被授權使用該端口的MAC地址。
IP地址519以及時間戳521是邏輯配對的字段,它們表示觀察到其源是來自已標識端口的IP地址的時間。應該指出,每個端口可以有一個以上的IP地址-時間戳配對。這些配對在列523和525中示出。這在列“IP地址”中表示。所述表是可伸縮的和可擴展的,并且可以根據網絡管理員的需要來定義添加其他的列527。
圖6描述了具有認證方與中央站點之間的數據流的本發明的方法的流程圖。如圖6所示,當端口狀態改變時,交換機將此信息發送到中央站點。此處描述的發明是針對或經由交換機所進行的與注冊請求過程關聯的操作集合。我們將其稱為“注冊和報告”。
轉到圖6,可以看出的是,圖2的交換機103執行了下列步驟來進行“注冊”開始于601,中央站點/認證服務器105向交換機103發送注冊請求603。已啟動621的交換機103接收所述注冊請求,所述請求指定了觀察哪個或哪些端口,并且交換機103將認證服務器105的ID或指向該ID的指針置于通信表中與所要觀察的交換機端口511相對應的列中。
此處描述的發明與交換機103、認證服務器105以及中央站點209之間的通信路徑無關。所述路徑可以是簡單的UDP幀、TCP會話、或是SNMP流程,其中在所述SNMP流程中可以使用SNMP集合將“中央站點209的地址”置于交換機103中,并且可以使用SNMP警報或讀取在交換機103與中央站/認證服務器105之間來回移動信息。
此后,如圖6所示,交換機103將會執行下列功能以便進行“報告”首先,在結束協議交換時,交換機103判定端口是否被連接629,如果是,則將下列信息置于633通信表501中i)認證服務器ID 515ii)具有交換機端口ID 511的表鍵值的請求方MAC地址。
接著,交換機103在635觀察流經交換機103的IP分組的源地址,并且在637將交換機端口ID的表鍵值與IP地址519以及時間戳521一起置于通信表501中。
如果IP地址改變并且“中央站點”209指示希望得到所述信息,則所述端口的記錄將會在613被發送到“中央站點”209。
所述交換機具有根據IP地址的時間戳表項來使所述IP地址老化(ageout)的能力。
當端口變得不活動時,將清除641以該端口為關鍵詞的認證服務器ID、一個或多個MAC地址等的值。如果“中央站點”209請求了所述信息,則所述信息會在613被發送到“中央站點”209。
認證交換機103觀察流經交換機的IP分組的源地址的步驟可以通過監視源IP地址的端口分組流來完成。可替代地,認證交換機103觀察流經交換機的IP分組的源地址可以通過觀察包含與請求方有關的信息的第三層和第二層業務來完成。這包括ARP業務、DHCP流等。
在本發明的另一個實施例中,交換機103通過請求方客戶機將分組與請求方的IP地址一起發送給認證方來觀察流經交換機的IP分組的源地址。
本發明可以采用集成到現有軟件中的本發明的方法、系統和程序產品的一個或多個擴展來實現,對使用微處理器技術構造的交換機來說更是如此。作為補充或替代,可以對網絡處理器編程并且該處理器可以使用硬件輔助。在另一個實施例中,必要的代碼可以被硬連線到FPGA或ASIC模塊中。
在本發明的一個特別優選的示例中,可以擴充數據庫表(例如,如圖5所示)中的注冊和認證信息來為所有者提供IP地址信息以及其他信息。
圖7描述了根據本發明的此實施例的擴充數據庫。該數據庫包括用于“數據庫A”的中央站點地址、認證服務器ID、交換機ID、交換機端口ID、MAC地址、IP地址以及端口激活時間,以及“數據庫B”的認證服務器ID、交換機ID、MAC地址和用戶ID的列,由此合并形成了具有中央站點地址、認證服務器ID、交換機ID、交換機端口ID、MAC地址、IP地址、端口激活時間以及用戶ID的“數據庫C”。接下來,具有交換機ID、交換機端口以及以太網端口ID的“數據庫D”與“數據庫C”合并以形成“數據庫E”。“數據庫E”包含中央站點地址、認證服務器ID、交換機ID、交換機端口ID、MAC地址、IP地址、端口激活時間、用戶ID以及以太網網墻端口ID。然后,MAC地址以及所有者被與“數據庫E”合并以形成“數據庫F”,數據庫F此時包含了中央站點地址、認證服務器ID、交換機ID、交換機端口ID、MAC地址、IP地址、端口激活時間、用戶ID、以太網網墻端口ID以及所有者。所述數據庫是可擴充和可擴展的。
此附加信息可以用于惡意軟件清除、漏洞掃描、基于利用率的計費、系統論壇和事件響應,以及資產管理。具體地說,從注冊和報告中得出的信息可以與MAC/所有者信息相關聯,并且稱為合并數據的交換機端口/壁板信息可用于提供IP地址(例如,網絡上觀察到的動態IP地址)與所有者連同物理位置之間的關聯。然后,此添加的信息可以用于支持惡意軟件清除、漏洞掃描、基于利用率的計費、計算機論壇和事件響應,以及資產管理。
例如,所合并或關聯的數據有助于對網絡設備進行識別,并且有助于將所識別的設備與其所有者相關聯,此外還有助于對聯網設備(尤其是受到惡意軟件感染的聯網設備)進行物理定位。
此外,所合并或關聯的數據有助于對聯網設備進行識別,并且有助于將所識別的設備與其所有者相關聯,并且可選地,還有助于對聯網設備進行物理定位以便識別接入位置和時間。
另外,所合并或關聯的數據有助于識別具有動態IP地址的聯網設備,并且有助于將所識別的設備與其所有者相關聯。
所合并或關聯的數據的另一個用途是幫助識別具有動態IP地址的聯網設備,并且將所識別的設備與其所有者相關聯,以便根據網絡接入時間和帶寬利用率來進行計費。
所合并或關聯的數據的另一個用途是有助于對連接到網絡的協議兼容設備進行識別,并且有助于確定網絡設備的當前位置以便進行資產管理。
在認證交換機103觀察設備何時在交換機端口上變得活動,并且向中央存儲庫209(例如,注冊和記錄)發送諸如MAC地址、IP地址、關聯交換機端口標識以及網絡連接時間之類的信息的基礎上,可以形成相關數據庫。在一個示例中,為網絡上的每個設備都形成具有一組有序MAC地址和所有者配對的數據庫。為網絡上的每個設備形成的此數據庫或數據庫字段(其可以是MAC注冊數據庫)可通過Web界面或通過挖掘現有數據庫來同等地形成。
此數據字段或數據庫與協議信息相合并或相關聯,由此在MAC-IP-所有者數據庫中產生MAC-IP-所有者關聯。這使用由請求方提供的ID來完成。
具體地說,在優選實施例中,交換機將觀察設備何時變得活動,并且會向數據庫之類的中央存儲庫發送信息。所述數據庫具有形成MAC地址與所有者之間的關聯所必需的數據。這提供了有價值的數據和信息來進行惡意軟件清除、漏洞掃描、基于利用率的計費、論壇,以及資產管理。
在此處可以結合該數據庫來構造和使用不同的查詢。相關的實例是數據庫、惡意軟件、論壇、掃描、計費以及資產管理。
可以與所述數據庫一起構建和使用各種查詢。示例為基礎、惡意軟件、論壇、掃描、計費以及資產管理。
數據庫使用從協議802.1X的操作中得出的信息,并且將該信息與MAC/所有者信息數據庫以及交換機端口/壁板信息數據庫相合并,以便創建具有IP地址(例如,網絡上觀察到的動態IP地址)與所有者連同最終設備的物理位置之間的關聯的新數據庫或數據庫字段。這可用于支持惡意軟件清除、漏洞掃描、基于利用率的計費、計算機論壇和事件響應,以及資產管理。
惡意軟件使用所合并的數據庫來識別聯網設備所有者,并且物理地定位受到惡意軟件感染的設備。
論壇使用所合并的數據庫來識別網絡設備用戶/所有者,并且跟蹤網絡接入位置和時間。
掃描使用所合并的數據庫來識別具有動態IP地址并根據IP地址來掃描的設備。
計費使用所合并的數據庫來識別具有動態IP地址的設備的所有者,并根據網絡接入時間以及帶寬利用率來對其進行計費。
資產管理使用所合并的數據庫來識別例如802.1X兼容或其他協議兼容并連接到網絡的設備、這些設備的所有者以及這些設備的當前物理位置,以便進行資產管理。
根據本發明,交換機或其他設備將觀察設備何時在交換機端口(例如,物理交換機端口)上變得活動,并且將該信息發送到中央存儲庫。此信息包括MAC地址、IP地址以及關聯的交換機端口標識和網絡連接時間。此信息集合被用作服務所依賴的信息的根資源。
圖6和7描述了合并單個數據庫或數據庫列表項來形成數據庫。具體地說,如圖6所示,本發明的方法和系統形成的是相關數據庫。這通過為連接到網絡的每個設備形成有序的MAC地址和所有者對來實現。這稱為MAC注冊數據庫。這可以通過使用用戶訪問以創建MAC到所有者關聯的Web界面來實現。可替代地,這可以通過挖掘現有數據庫來實現。
接下來,同樣如圖6所示,來自MAC注冊的MAC地址和有序配對信息被與協議802.1X信息相合并。這將產生MAC-IP-所有者數據庫或數據庫表項。圖7描述了合并單個數據庫或數據庫列表項以形成數據庫。
如總的描述的,MAC-IP-所有者數據庫或數據庫表項然后可用于幫助執行惡意軟件清除、漏洞掃描、基于利用率的計費、計算機論壇和事件響應,以及資產管理。
惡意軟件清除可以是手動或自動的。對于手動消除,威脅消除小組(例如,幫助臺、客戶服務臺或CERT臺)將判定具有給定IP地址的設備是否正在攻擊其他設備或給出惡意軟件感染的其他癥狀。使用MAC-IP-所有者數據庫且將IP地址作為關鍵詞,惡意軟件消除小組可確定與入侵設備的IP地址相關聯的所有者或物理交換機端口。惡意軟件消除小組可以向所有者發出通知,也可以手動斷開設備的連接。在自動的惡意軟件消除中,系統詢問所有者或交換機端口的物理地址,并且向所有者發出通知或斷開設備的連接。
對于漏洞掃描,使用所有者和/或MAC地址的漏洞掃描小組將查詢MAC-IP-所有者數據庫,并且將獲得關聯的IP地址。使用此IP地址來執行設備掃描。
對于基于利用率的計費,基于利用率的計費小組將觀察網絡中的信息流,并構造以IP地址為關鍵詞的利用率簡檔。使用IP地址作為MAC-IP-所有者數據庫的關鍵詞,所有者被映射到利用率簡檔。這些單獨的簡檔將被聚合,并且對利用率以及所有者收費以便進行計費。
對于計算機論壇以及事件響應,使用本發明的方法和系統,威脅清除小組確定具有給定IP地址的設備正在攻擊其他設備或給出系統入侵的癥狀。威脅清除小組將使用MAC-IP-所有者數據庫并以IP地址作為關鍵詞來獲得入侵設備、所有者或與入侵設備的IP地址關聯的交換機端口。這些處理是為了清除而請求的,所述處理例如可以是通知所有者、斷開連接、阻止重新連接,或物理地定位設備以進行調查。
對于資產管理的情況,本發明的方法和系統維護設備的當前位置。這通過使用MAC-IP-所有者數據庫并以所有者為關鍵詞獲得端口(該端口是網墻交換機端口或以太網網墻端口)來完成。此信息通過要求用戶使用端口信息、MAC以及用戶地址進行登錄來被更新。
應該指出的是,如果協議802.1X請求方所提供的ID可以用作所有者標識的方法,則此信息可以獨立使用,并且IP地址可以與該設備關聯。
可替代地,如圖8所示,802.1X請求方提供的ID被用作所有者標識811,并且未對IP地址尋址,而是從具有MAC/IP/所有者數據庫831(具有關鍵詞IP地址821)的動態或靜態地址管理系統來獲取IP地址。
例如,通過具有用于注冊和記錄網絡中的訪問數據和授權的系統,本發明可以作為軟件或程序產品來實現。這通過在專用處理器或具有專用代碼的專用處理器中作為軟件應用來執行所述方法來實現。所述代碼執行一系列機器可讀的指令,這些指令也可以稱為代碼。這些指令可以駐留在各種類型的信號承載介質中。就此而論,本發明的一個方面涉及程序產品,所述程序產品包括信號承載介質或信號承載媒體,所述介質或媒體有形地包含機器可讀指令的程序,該程序可由數字處理設備執行以便將用于保護和訪問數字數據的方法作為軟件應用來執行。
此信號承載介質可以包括例如服務器中的存儲器。所述服務器中的存儲器可以是非易失性存儲裝置、數據盤,甚至可以是供應商服務器上用于下載到處理器以進行安裝的存儲器。可替代地,所述指令可以包含在光數據存儲盤之類的信號承載介質中。可替代地,所述指令可以存儲在各種機器可讀數據存儲介質或媒體中的任何介質或媒體上,所述介質或媒體可以包括例如“硬盤”、RAID陣列、RAMAC、磁數據存儲盤(如軟盤)、磁帶、數字光帶、RAM、ROM、EPROM、EEPROM、閃存、磁光存儲裝置、紙穿孔卡、或任何其他合適的信號承載媒體中,所述媒體包括數字和/或模擬通信鏈路(其可以是電、光和/或無線的)之類的傳輸媒體。作為實例,機器可讀指令可以包括從“C++”、Java、Pascal、ADA、匯編器之類的語言編譯的軟件對象代碼。
此外,所述程序代碼可以例如被壓縮、加密或同時被壓縮和加密,并且如在Zip代碼和Cab代碼中一樣,所述程序代碼可以包括可執行代碼、腳本代碼以及用于安裝的向導。如此處所使用的,術語駐留在信號承載媒體中的機器可讀指令或代碼包括所有上述傳遞裝置。
雖然以上公開示出了本發明的若干示例性實施例,但是對本領域的技術人員顯而易見的是,在不偏離如所附權利要求定義的本發明的范圍的情況下,在此可以做出各種更改和修改。此外,雖然以單數形式描述或要求保護本發明的元素,但是構想了復數形式,除非顯式聲明限于單數形式。
權利要求
1.一種在網絡中捕獲網絡連接的請求方的連接信息的方法,所述網絡包括所述請求方的網絡連接點、認證服務器、介于所述網絡連接點和認證服務器之間的認證交換機,以及連接信息服務器遠程站點,所述方法包括1)所述認證交換機質詢所述請求方的標識;2)所述認證交換機接收所述請求方對所述質詢的響應,并且將所述請求方的響應傳送到所述認證服務器;3)所述認證服務器將響應發送到所述認證交換機;其中如果所述請求方被授權,則所述認證交換機a)將所述認證結果中繼到所述請求方;以及b)將所述請求方的ID和連接信息發送到位于所述遠程站點的所述連接信息服務器。
2.根據權利要求1的方法,其中如果所述請求方被授權,則所述認證方交換機捕獲所述請求方的ID和IP地址,并將所述請求方的ID和IP地址傳送到連接數據庫。
3.根據權利要求2的方法,其中所述連接數據庫接收包括所述請求方的MAC地址、交換機端口號、交換機ID以及認證服務器ID中的一個或多個的其他信息。
4.根據權利要求3的方法,其中所述連接數據庫包含MAC地址與關聯的所有者標識的有序配對。
5.根據權利要求4的方法,包括通過瀏覽器來輸入MAC地址和所有者標識。
6.根據權利要求4的方法,包括挖掘關聯的數據庫來恢復MAC地址與所有者標識的有序配對。
7.根據權利要求1的方法,包括捕獲交換機狀態的更改以及在連接數據庫中收集所述更改。
8.一種用于與系統連接的請求方一起使用的計算機系統,所述系統包括所述請求方的系統連接點、認證服務器、介于所述系統連接點和認證服務器之間的認證交換機,以及連接信息服務器遠程站點,其中1)所述認證交換機適于質詢所述請求方的標識;2)所述認證交換機還適于接收所述請求方對所述質詢的響應,并且將述請求方的響應傳送到所述認證服務器;以及3)所述認證服務器適于將響應發送到所述認證交換機;其中如果所述請求方被授權,則所述認證交換機適于a)將所述認證結果中繼到所述請求方;以及b)將所述請求方的ID和連接信息發送到位于所述遠程站點的所述連接信息服務器;以及4)其中所述連接信息服務器適于接收、存儲和處理請求方連接信息。
9.根據權利要求8的計算機系統,其中如果所述請求方被授權,則所述認證方交換機適于捕獲所述請求方的ID和IP地址,并將所述請求方的ID和IP地址傳送到連接數據庫。
10.根據權利要求9的計算機系統,其中與所述系統關聯的所述連接數據庫適于接收包括所述請求方的MAC地址、交換機端口號、交換機ID以及認證服務器ID中的一個或多個的其他信息。
11.根據權利要求10的計算機系統,其中所述連接數據庫包含MAC地址與關聯的所有者標識的有序配對。
12.根據權利要求11的計算機系統,其中所述連接數據庫適于通過瀏覽器來接收MAC地址和所有者標識。
13.根據權利要求11的計算機系統,包括挖掘關聯的數據庫來恢復MAC地址與所有者標識的有序配對。
14.根據權利要求8的計算機系統,所述系統適于捕獲交換機狀態的更改以及在所述連接數據庫中收集所述更改。
15.一種包括存儲介質的程序產品,所述存儲介質其上具有計算機可讀程序代碼以便配置和引導包括計算機的計算機網絡執行根據權利要求1-7中的任一權利要求的在所述網絡中捕獲網絡連接的請求方的連接信息的方法,其中所述網絡包括所述請求方的網絡連接點、認證服務器、介于所述網絡連接點和認證服務器之間的認證交換機,以及連接信息服務器遠程站點。
全文摘要
一種用于基于端口的認證協議的方法、系統和程序產品,其中在網絡環境內動態地分配地址,并且更具體地說,涉及所述網絡環境中基于端口的認證,其中捕獲并存儲連接信息。這有助于管理員訪問作為在動態地址分配、認證以及連接中包含的協議交換的結果而創建的信息。
文檔編號H04L12/54GK1913474SQ200610115408
公開日2007年2月14日 申請日期2006年8月8日 優先權日2005年8月9日
發明者N·W·金, J·S·巴德斯立, C·S·林戈菲爾特, A·L·羅金斯基, N·C·斯特勒 申請人:國際商業機器公司