相关申请本申请要求于2015年3月12日提交的美国临时专利申请号62/132,086的优先权和权益,并要求于2015年10月5日提交的美国临时专利申请号62/237,121的优先权和权益。上述申请的全部内容通过引用被结合于此,用于所有目的。本公开一般而言涉及用于管理、认证和验证网络流量的完整性的系统和方法,包括但不限于使用生物特征来管理网络活动的系统和方法。
背景技术:
::通过云服务和移动设备使企业或其它网络扩展超越传统边界,再加上互联网连接设备或物联网(iot)的爆炸性增长,使得从网络活动中了解大量数据的能力受到重视。人们越来越多地意识到复杂的攻击已经成功地渗透到关键行业和政府机构中。用于网络安全和逻辑访问控制的常规系统和方法往往不足以解决这种复杂的攻击和其它恶意活动。此外,用于验证生成网络流量的用户的身份的方法对于安全交易是非常重要的。技术实现要素:本文描述了例如在防火墙或虚拟局域网(vlan)应用中使用生物特征来管理网络活动的系统和方法。可以部署本系统和方法来监视网络流量(例如,连续地或以受控的方式)。例如并且在一些实施例中,网络消息可以用涉及或与使用生物特征或生物特征标志相关的信息进行标记或认证。在某些实施例中,可以使用生物特征或生物特征标志对信息进行解码、处理或访问,或者信息可以包括可以在不直接使用生物特征匹配的情况下进行匹配或验证的元素。在一些实施例中,部署本系统和方法以将网络流量(例如,连续地或以受控的方式)限制为是人类发起和/或认证的流量。本系统和方法可以例如限制或减轻在网络上传播恶意软件的风险、限制或使信息资产的传播或可用性分区、和/或授予或数据确定作为数字或其它形式的任何资产或资源的溯源和权利。在某些实施例中,本系统和方法使用与例如经验证的身份来源和/或区块链审计相一致的强生物特征标志提供或启用用户身份和/或动作的不可否认性。在一些实施例中,本系统和方法使得个人自己的一组防火墙策略能够跟随个人,而与该人正在使用或已经移动到的设备和/或网络无关。一方面,本公开针对使用生物特征来管理网络流量的方法。该方法可以包括由服务器存储第一值n和原根(primitiverootmodulo)n,其中n在用户登记期间被选择。服务器可以被配置为存储多个验证码。可以使用原根n的在登记期间从用户获取的第一生物特征模板的相应部分的散列函数结果次方来生成多个验证码中的每一个。生物特征模板的每个部分可以由对应的偏移标识符来识别。服务器可以从用户操作的客户端接收连接到服务器的请求。服务器可以向客户端传送第一偏移标识符。客户端可以使用第一偏移标识符来识别从与请求相关联的用户获取的第二生物特征模板的第一部分,并且使用识别出的第二生物特征模板的第一部分来生成与公共求幂函数对应的第一值。公共求幂函数可以具有原根n作为基数。服务器可以根据第一偏移标识符生成与公共求幂函数对应的第二值。如果来自客户端的第一值与第二值匹配,则服务器可以确定用户被认证。在一些实施例中,第一值n包括质数、离散对数元素或椭圆曲线元素中的一个。多个验证码中的每一个可以使用原根n的相应值的散列函数结果次方来生成,该相应值是使用在登记期间从用户获取的第一生物特征模板的相应部分和随机数生成的。在某些实施例中,随机数包括以下之一:与用于生成其它相应值的随机数分开的随机数,或者包括用于生成其它相应值的公共随机数。在某些实施例中,服务器在请求中接收用户的标识符,并且可以根据用户的标识符和第一偏移标识符来检索由服务器存储的生物特征模板的第一部分。服务器可以生成随机数z,并且可以将服务器的公钥计算为包括以下之和:原根n的z次方,以及来自多个验证码的与第一偏移标识符对应的第一验证码。服务器可以将服务器的公钥发送给客户端,用于在生成与公共求幂函数对应的第一值中使用。服务器可以生成随机参数,并且可以将随机参数发送给客户端,用于在生成与公共求幂函数对应的第一值中使用。客户端可以使用第一偏移标识符生成客户端的长期私钥。客户端可以使用随机数y来生成客户端的短期公钥,短期公钥包括原根n的y次方。在另一方面,本公开针对使用生物特征来管理网络流量的系统。该系统可以包括与用户操作的客户端通信的服务器。服务器可以包括被配置为存储第一值n和原根n并且存储多个验证码的存储器,其中n在用户登记期间被选择。可以使用原根n的在登记期间从用户获取的第一生物特征模板的相应部分的散列函数结果次方来生成多个验证码中的每一个。生物特征模板的每个部分可以由对应的偏移标识符来识别。该系统可以包括被配置为从客户端接收连接到服务器的请求并且向客户端传送第一偏移标识符的收发器。客户端可以使用第一偏移标识符来识别从与请求相关联的用户获取的第二生物特征模板的第一部分和/或使用识别出的第二生物特征模板的第一部分来生成与公共求幂函数对应的第一值。公共求幂函数可以具有原根n作为基数。该系统可以包括被配置为根据第一偏移标识符生成与公共求幂函数对应的第二值的一个或多个处理器。该一个或多个处理器可以被配置为:如果来自客户端的第一值与第二值匹配,那么确定用户被认证。在一些实施例中,第一值n包括质数、离散对数元素或椭圆曲线元素中的一个。多个验证码中的每一个可以使用原根n的相应值的散列函数结果次方来生成。该相应值可以使用在登记期间从用户获取的第一生物特征模板的相应部分和随机数来生成。随机数可以包括以下之一:与用于生成其它相应值的随机数分开的随机数,或者包括用于生成其它相应值的公共随机数。收发器还可以被配置为接收请求中的用户的标识符,并且一个或多个处理器还可以被配置为根据用户的标识符和第一偏移标识符来检索由服务器存储的生物特征模板的第一部分。一个或多个处理器还可以被配置为生成随机数z并且将服务器的公钥计算为包括以下之和:原根n的z次方,以及来自多个验证码的与第一偏移标识符对应的第一验证码。收发器还可以被配置为将服务器的公钥发送给客户端,用于在生成与公共求幂函数对应的第一值中使用。一个或多个处理器还可以被配置为生成随机参数,并且收发器还可以被配置为将随机参数发送给客户端,用于在生成与公共求幂函数对应的第一值中使用。在一些实施例中,客户端使用第一偏移标识符生成客户端的长期私钥。客户端可以使用随机数y来生成客户端的短期公钥,短期公钥包括原根n的y次方。在附图和下面的描述中阐述了本发明的各种实施例的细节。附图说明通过参考以下描述并结合附图,本公开的前述和其它目的、方面、特征和优点将变得更加清晰并且更好地被理解,其中:图1a是描绘包括与远程机器通信的客户端机器的网络环境的实施例的框图;图1b和1c是描绘与本文所述的方法和系统结合有用的计算设备的实施例的框图;图2a是描绘使用生物特征来管理网络活动的系统的一个实施例的框图;图2b描绘了用于管理网络活动的方法的实施例的流程图;图2c是描绘使用生物特征来管理网络活动的系统的另一个实施例的框图;图2d是描绘使用生物特征来管理网络活动的方法的实施例的一个方面的流程图;图2e是描绘使用生物特征来管理网络活动的方法的实施例的另一个方面的流程图;以及图2f是描绘使用生物特征来管理网络活动的方法的一个实施例的流程图。当结合附图考虑时,从下面阐述的具体实施方式中,本发明的特征和优点将变得更加清晰,其中相似的附图标记通篇表示对应的元素。在附图中,相似的附图标记一般地指示相同的、功能上类似的和/或结构上类似的元素。具体实施方式为了阅读下面各种实施例的描述,以下对说明书的各部分及其相应内容的描述可能是有帮助的:-部分a描述了对实施本文描述的实施例可能有用的网络环境和计算环境;以及-部分b描述了使用生物特征来管理网络活动的系统和方法的实施例。a.计算和网络环境在讨论本解决方案的特定实施例之前,结合本文描述的方法和系统来描述操作环境的方面以及相关联的系统部件(例如,硬件元件)可能是有帮助的。参考图1a,其中描绘了网络环境的实施例。简而言之,网络环境包括经由一个或多个网络104与一个或多个服务器106a-106n(通常也称为一个或多个服务器106、一个或多个节点106、或一个或多个远程机器106)通信的一个或多个客户端101a-101n(通常也称为一个或多个本地机器101、一个或多个客户端101、一个或多个客户端节点101、一个或多个客户端机器101、一个或多个客户端计算机101、一个或多个客户端设备101、一个或多个端点101或一个或多个端点节点101)。在一些实施例中,客户端101既具有用作寻求对由服务器提供的资源的访问的客户端节点的能力,又具有用作为其它客户端101a-101n提供对托管的资源的访问的服务器的能力。虽然图1a示出了客户端101和服务器106之间的网络104,但是客户端101和服务器106也可以在同一网络104上。网络104可以是局域网(lan)(诸如公司内联网)、城域网(man)或广域网(wan)(诸如互联网或万维网)。在一些实施例中,在客户端101和服务器106之间存在多个网络104。在这些实施例中的一个实施例中,网络104'(未示出)可以是专用网络,并且网络104可以是公共网络。在这些实施例中的另一个实施例中,网络104可以是专用网络,并且网络104'是公共网络。在这些实施例中还有的另一个实施例中,网络104和104'两者都可以是专用网络。网络104可以是任何类型和/或形式的网络,并且可以包括以下中的任何一个:点到点网络、广播网络、广域网、局域网、电信网络、数据通信网络、计算机网络、atm(异步传输模式)网络、sonet(同步光网络)网络、sdh(同步数字体系)网络、无线网络和有线网络。在一些实施例中,网络104可以包括诸如红外线信道或卫星频带的无线链路。网络104的拓扑可以是总线、星形或环形网络拓扑。网络104可以是如本领域普通技术人员已知的、能够支持本文描述的操作的任何这种网络拓扑。网络可以包括移动电话网络,移动电话网络利用用于在移动设备之间进行通信的任何(一种或多种)协议或标准,包括amps、tdma、cdma、gsm、gprs、umts、wimax、3g或4g。在一些实施例中,不同类型的数据可以经由不同的协议传送。在其它实施例中,相同类型的数据可以经由不同的协议传送。在一些实施例中,系统可以包括多个逻辑上分组的服务器106。在这些实施例中的一个实施例中,服务器的逻辑分组可以被称为服务器场38或机器场38。在这些实施例中的另一个实施例中,服务器106可能是地理上分散的。在其它实施例中,机器场38可以作为单个实体进行管理。在还有的其它实施例中,机器场38包括多个机器场38。每个机器场38内的服务器106可以是异构的–服务器106或机器106中的一个或多个可以根据一种类型的操作系统平台(例如,由位于redmond,华盛顿的微软公司制造的windows)操作,而其它服务器106中的一个或多个可以根据另一种类型的操作系统平台(例如,unix或linux)操作。在一个实施例中,机器场38中的服务器106可以与相关联的存储系统一起存储在高密度机架系统中,并且位于企业数据中心中。在这个实施例中,以这种方式整合服务器106可以通过使服务器106和高性能存储系统位于本地化高性能网络上来提高系统的可管理性、数据安全性、系统的物理安全性和系统性能。集中服务器106和存储系统以及将其与先进的系统管理工具相结合,允许更高效地使用服务器资源。每个机器场38的服务器106不需要在同一机器场38中物理上靠近另一个服务器106。因此,逻辑上分组为机器场38的服务器106组可以使用广域网(wan)连接或城域网(man)进行互连。例如,机器场38可以包括物理上位于不同大陆或大陆的不同地区、国家、州、城市、校园或房间中的服务器106。如果使用局域网(lan)连接或某种形式的直接连接来连接服务器106,那么可以增加机器场38中的服务器106之间的数据传输速度。此外,异构机器场38可以包括根据操作系统的类型操作的一个或多个服务器106,而一个或多个其它服务器106执行一种或多种类型的管理程序而不是操作系统。在这些实施例中,管理程序可以用于模拟虚拟硬件、对物理硬件进行分区、虚拟化物理硬件、以及执行提供对计算环境的访问的虚拟机。管理程序可以包括由位于加利福尼亚州paloalto的vmware公司制造的那些管理程序;xen管理程序,这是其开发由citrixsystems公司监督的开源产品;由微软或其它方提供的虚拟服务器或虚拟pc管理程序。为了管理机器场38,应该监视机器场38中的服务器106的性能的至少一个方面。通常,监视置于在每个服务器106上的负载或在每个服务器106上运行的会话的状态。在一些实施例中,集中式服务可以为机器场38提供管理。集中式服务可以采集和存储关于多个服务器106的信息、对访问由服务器106托管的资源的请求进行响应、以及使得能够建立客户端机器101和服务器106之间的连接。机器场38的管理可以是非集中式的。例如,一个或多个服务器106可以包括支持机器场38的一个或多个管理服务的部件、子系统和模块。在这些实施例中的一个实施例中,一个或多个服务器106提供用于管理动态数据的功能,包括用于处理故障切换、数据复制以及增加机器场38的鲁棒性的技术。每个服务器106可以与持久性存储库通信,并且在一些实施例中与动态存储库通信。服务器106可以是文件服务器、应用服务器、web服务器、代理服务器、器件、网络器件、网关、网关、网关服务器、虚拟化服务器、部署服务器、sslvpn服务器或防火墙。在一个实施例中,服务器106可以被称为远程机器或节点。在另一个实施例中,多个节点290可以位于任何两个通信服务器之间的路径中。在一个实施例中,服务器106提供web服务器的功能。在另一个实施例中,服务器106a接收来自客户端101的请求、将请求转发给第二服务器106b、并且用来自服务器106b的对请求的响应作为对客户端101的请求的响应。在还有的另一个实施例中,服务器106获取可用于客户端101的应用的清单(enumeration)以及与托管由应用的清单识别出的应用的服务器106'相关联的地址信息。在还有的另一个实施例中,服务器106使用web界面向客户端101呈现对请求的响应。在一个实施例中,客户端101直接与服务器106通信以访问识别出的应用。在另一个实施例中,客户端101接收由服务器106上识别出的应用执行而生成的输出数据,诸如显示数据。客户端101和服务器106可以被部署为任何类型和形式的计算设备和/或在任何类型和形式的计算设备上执行,诸如能够在任何类型和形式的网络上通信并执行本文描述的操作的计算机、网络设备或器件。图1b和图1c描绘了对实施客户端101或服务器106的实施例有用的计算设备100的框图。如图1b和1c所示,每个计算设备100包括中央处理单元121和主存储器单元122。如图1b所示,计算设备100可以包括存储设备128、安装设备116、网络接口118、i/o控制器123、显示设备124a-101n、键盘126和指示设备127,诸如鼠标。存储设备128可以包括但不限于操作系统和/或软件。如图1c所示,每个计算设备100还可以包括附加的可选元件,诸如存储器端口103、桥接器170、一个或多个输入/输出设备130a-130n(通常使用附图标号130表示)、以及与中央处理单元121通信的高速缓存存储器140。中央处理单元121是响应并处理从主存储器单元122取出的指令的任何逻辑电路系统。在许多实施例中,中央处理单元121由微处理器单元提供,诸如:由位于加利福尼亚州mountainview的intel公司制造的那些;由位于伊利诺伊州schaumburg的摩托罗拉公司制造的那些;由位于纽约州whiteplains的国际商业机器公司制造的那些;或由位于加利福尼亚州sunnyvale的advancedmicrodevices公司制造的那些。计算设备100可以基于这些处理器中的任何一个或能够如本文所述的那样操作的任何其它处理器。主存储器单元122可以是能够存储数据并允许微处理器121直接访问任何存储位置的一个或多个存储器芯片,诸如静态随机存取存储器(sram)、突发sram或同步突发sram(bsram)、动态随机存取存储器(dram)、快速页模式dram(fpmdram)、增强型dram(edram)、扩展数据输出ram(edoram)、扩展数据输出dram(edodram)、突发扩展数据输出dram(bedodram)、增强型dram(edram)、同步dram(sdram)、jedecsram、pc100sdram、双数据速率sdram(ddrsdram)、增强型sdram(esdram)、同步链路dram(sldram)、直接rambusdram(drdram)、铁电ram(fram)、nand闪存、nor闪存和固态硬盘(ssd)。主存储器122可以基于上述存储器芯片的任何一种,或者能够如本文所述的那样操作的任何其它可用存储器芯片。在图1b所示的实施例中,处理器121经由系统总线150(在下面进行更详细的描述)与主存储器122通信。图1c描绘了其中处理器经由存储器端口103与主存储器122直接通信的计算设备100的实施例。例如,在图1c中,主存储器122可以是drdram。图1c描绘了其中主处理器121经由第二总线(有时被称为背侧总线)与高速缓存存储器140直接通信的实施例。在其它实施例中,主处理器121使用系统总线150与高速缓存存储器140通信。高速缓存存储器140通常具有比主存储器122更快的响应时间,并且通常由sram、bsram或edram提供。在图1c所示的实施例中,处理器121经由本地系统总线150与各种i/o设备130通信。可以使用各种总线将中央处理单元121连接到i/o设备130中的任何一个,包括vesavl总线、isa总线、eisa总线、微通道体系架构(mca)总线、pci总线、pci-x总线、pci-express总线或nubus。对于其中i/o设备是视频显示器124的实施例,处理器121可以使用高级图形端口(agp)与显示器124通信。图1c描绘了其中主处理器121可以例如经由hypertransport、rapidio或infiniband通信技术与i/o设备130b直接通信的计算机100的实施例。图1c还描绘了其中混合局部总线和直接通信的实施例:处理器121使用局部互连总线与i/o设备130a通信,而与i/o设备130b直接通信。计算设备100中可以存在各种各样的i/o设备130a-130n。输入设备包括键盘、鼠标、轨迹垫、轨迹球、麦克风、拨盘、触摸板和绘图板。输出设备包括视频显示器、扬声器、喷墨打印机、激光打印机、投影机和染色升华打印机。i/o设备可以由i/o控制器123控制,如图1b所示。i/o控制器可以控制一个或多个i/o设备,诸如键盘126和指示设备127,例如,鼠标或光笔。此外,i/o设备还可以为计算设备100提供存储和/或安装介质116。在还有的其它实施例中,计算设备100可以提供usb连接(未示出)以容纳手持式usb存储设备,诸如由位于加利福尼亚州losalamitos的twintechindustry公司制造的设备的usb闪存驱动器线。再次参考图1b,计算设备100可以支持任何合适的安装设备116,诸如盘驱动器、cd-rom驱动器、cd-r/rw驱动器、dvd-rom驱动器、闪存驱动器、各种格式的带驱动器、usb设备、硬盘驱动器或适合安装软件和程序的任何其它设备。计算设备100还可以包括诸如一个或多个硬盘驱动器或独立盘的冗余阵列的存储设备,用于存储操作系统和其它相关软件,以及用于存储应用软件程序,诸如用于实现(例如,被配置为和/或被设计用于)本文描述的系统和方法的任何程序或软件120。可选地,安装设备116中的任何一个也可以用作存储设备。此外,操作系统和软件可以从可引导介质(例如,可引导cd)运行。此外,计算设备100可以包括网络接口118,以通过各种连接与网络104接口,各种连接包括但不限于标准电话线、lan或wan链路(例如,802.11、t1、t3、56kb、x.25、sna、decnet)、宽带连接(例如,isdn、帧中继、atm、千兆以太网、sonet上以太网)、无线连接或以上任何一种或全部的某种组合。可以使用各种通信协议(例如tcp/ip、ipx、spx、netbios、以太网、arcnet、sonet、sdh、光纤分布式数据接口(fddi)、rs232、ieee802.11、ieee802.11a、ieee802.11b、ieee802.11g、ieee802.11n、cdma、gsm、wimax和直接异步连接)建立连接。在一个实施例中,计算设备100经由任何类型和/或形式的网关或隧道协议与其它计算设备100'通信,诸如安全套接字层(ssl)或传输层安全(tls)或由位于佛罗里达州的ft.lauderdale的citrixsystems公司制造的citrix网关协议。网络接口118可以包括内置的网络适配器、网络接口卡、pcmcia网卡、卡总线网络适配器、无线网络适配器、usb网络适配器、调制解调器或适于将计算设备100与能够通信并执行本文描述的操作的任何类型的网络接口的任何其它设备。在一些实施例中,计算设备100可以包括或连接到多个显示设备124a-124n,每个显示设备124a-124n可以具有相同或不同的类型和/或形式。因此,i/o设备130a-130n和/或i/o控制器123中的任何一个可以包括任何类型和/或形式的合适的硬件、软件或硬件和软件的组合,以支持、启用或提供连接和由计算设备100使用多个显示设备124a-124n。例如,计算设备100可以包括任何类型和/或形式的视频适配器、视频卡、驱动器和/或库,以与显示设备124a-124n接口、通信、连接或以其它方式使用。在一个实施例中,视频适配器可以包括多个连接器以与多个显示设备124a-124n接口。在其它实施例中,计算设备100可以包括多个视频适配器,其中每个视频适配器连接到显示设备124a-124n中的一个或多个。在一些实施例中,计算设备100的操作系统的任何部分可以被配置为使用多个显示器124a-124n。在其它实施例中,显示设备124a-124n中的一个或多个可以由一个或多个其它计算设备提供,诸如例如经由网络连接到计算设备100的计算设备100a和100b。这些实施例可以包括被设计和构造为使用另一个计算机的显示设备作为计算设备100的第二显示设备124a的任何类型的软件。本领域普通技术人员将认识到并理解,计算设备100可以以各种方式和实施例被配置为具有多个显示设备124a-124n。在还有的实施例中,i/o设备130可以是系统总线150和外部通信总线之间的桥接器,外部通信总线诸如usb总线、apple桌面总线、rs-232串行连接、scsi总线、火线(firewire)总线、火线800总线、以太网总线、appletalk总线、千兆以太网总线、异步传输模式总线、光纤信道总线、串行连接小型计算机系统接口总线或hdmi总线。图1b和图1c中绘出的那种类型的计算设备100通常在操作系统的控制下操作,操作系统控制任务的调度和对系统资源的访问。计算设备100可以运行任何操作系统,例如任何版本的microsoftwindows操作系统、不同版本的unix和linux操作系统、用于macintosh计算机的任何版本的macos、任何嵌入式操作系统、任何实时操作系统、任何开源操作系统、任何专有操作系统、用于移动计算设备的任何操作系统、或能够在计算设备上运行并执行本文描述的操作的任何其它操作系统。典型的操作系统包括但不限于:由google公司制造的android;由位于华盛顿州redmond的微软公司制造的windows7和8;由位于加利福尼亚州cupertino的applecomputer公司制造的macos;由researchinmotion(rim)制造的webos;由位于纽约州armonk的国际商业机器公司制造的os/2;以及由位于犹他州saltlakecity的caldera公司分发的免费获得的操作系统linux,或任何类型和/或形式的unix操作系统,等等。计算机系统100可以是任何工作站、电话、台式计算机、膝上型计算机或笔记本计算机、服务器、手持式计算机、移动电话或其它便携式电信设备、媒体播放设备、游戏系统、移动计算设备、或能够通信的任何其它类型和/或形式的计算、电信或媒体设备。计算机系统100具有足够的处理器功率和存储器容量来执行本文描述的操作。例如,计算机系统100可以包括由位于加利福尼亚州cupertino的applecomputer公司制造的设备中的ipad或ipod系列设备、由位于日本东京的sony公司制造的设备中的playstation系列设备、由位于日本京都的任天堂有限公司制造的nintendo/wii系列设备、或由位于华盛顿州redmond的微软公司制造的xbox设备。在一些实施例中,计算设备100可以具有与设备一致的不同处理器、操作系统和输入设备。例如,在一个实施例中,计算设备100是智能电话、移动设备、平板电脑或个人数字助理。在还有的其它实施例中,计算设备100是基于android的移动设备,由位于加利福尼亚州cupertino的applecomputer公司制造的iphone智能电话、或blackberry手持式电话或智能电话,诸如由researchinmotion有限公司制造的设备。此外,计算设备100可以是能够通信并且具有足够的处理器功率和存储器容量以执行本文描述的操作的任何工作站、台式计算机、膝上型计算机或笔记本计算机、服务器、手持式计算机、移动电话、任何其它计算机或其它形式的计算或电信设备。在一些实施例中,计算设备100是数字音频播放器。在这些实施例中的一个实施例中,计算设备100是平板电脑,诸如appleipad,或数字音频播放器,诸如由位于加利福尼亚州cupertino的applecomputer制造的设备中的appleipod系列。在这些实施例中的另一个实施例中,数字音频播放器既可以用作便携式媒体播放器及大容量存储设备两者。在其它实施例中,计算设备100是诸如mp3播放器的数字音频播放器。在还有的其它实施例中,计算设备100是支持文件格式的便携式媒体播放器或数字音频播放器,文件格式包括但不限于mp3、wav、m4a/aac、wma受保护的aac、aiff、audibleaudiobook(可听音频书)、apple无损音频文件格式以及.mov、.m4v和.mp4mpeg-4(h.264/mpeg-4avc)视频文件格式。在一些实施例中,通信设备101包括设备的组合,诸如与数字音频播放器或便携式媒体播放器组合的移动电话。在这些实施例中的一个实施例中,通信设备101是智能电话,例如,由applecomputer公司制造的iphone或由researchinmotion有限公司制造的blackberry设备。在还有的另一个实施例中,通信设备101是配备有web浏览器和诸如电话耳机的麦克风和扬声器系统的膝上型计算机或台式计算机。在这些实施例中,通信设备101是启用web的并且可以接收和发起电话呼叫。在一些实施例中,通常作为网络管理的一部分监视网络104中的一个或多个机器101、106的状态。在这些实施例中的一个实施例中,机器的状态可以包括负载信息(例如,机器上的处理数量、cpu和存储器利用率)、端口信息(例如,可用通信端口的数量和端口地址)或会话状态(例如,进程的持续时间和类型以及进程是活动还是空闲)的标识。在这些实施例中的另一个实施例中,可以通过多个度量来识别该信息,并且可以至少部分地将该多个度量应用到负载分布的决策、网络流量管理和网络故障恢复以及本文描述的本解决方案的操作的任何方面。上述操作环境和部件的方面将在本文公开的系统和方法的上下文中变得清晰。b.使用生物特征来管理网络活动本文描述了使用生物特征来管理网络活动的系统和方法。该系统和方法的实施例可以使用生物特征认证、存活性检测和/或基于人工智能的行为分析来确保从用户设备发起的网络流量的来源包括人类来源并且流量不是由机器或软件生成的。通过将网络流量的起源断言为或者人类生成的或者机器/软件生成的,系统可以例如防止恶意软件或其它潜在不想要的网络流量在例如基于tcp/ip(版本4或6)的网络上的传播。该系统还可以检测和/或防止有生命的“做坏事的人”模仿网络上的另一个用户。作为非限制性示例,本系统和方法可以被部署或并入在防火墙、vlan、区块链审计、tcp/ip过滤、主动防御或数据溯源应用中。可以部署本系统和方法以监视网络流量(例如,连续地或以受控的方式)。例如,并且在一些实施例中,网络或握手消息可以用涉及使用生物特征或用户或个人的生物特征标志的信息进行标记(例如,在挑战-响应验证过程中)。在某些实施例中,可以使用生物特征或生物特征标志对信息进行编码/散列。在一些实施例中,部署本系统和方法以将网络流量(例如,连续地或以受控的方式)限制为是人类发起和/或认证的流量。本系统和方法可以例如限制或减轻在网络上传播恶意软件的风险、限制或使信息资产的传播或可用性分区、和/或授予或数据确定作为数字或其它形式的任何资产或资源的溯源和权利。在某些实施例中,本系统和方法使用与例如经验证的身份来源和/或区块链审计相一致的强生物特征标志提供或启用用户身份和/或动作的不可否认性。在一些实施例中,本系统和方法使得个人自己的一组防火墙策略能够跟随个人,而与该人正在使用或已经移动到的设备和/或网络无关。例如,在企业环境或在一些其它组织中,网络策略可以实施所有方式的访问权限。在一些实施例中,组织或企业可以严格实施最小权限的原则。例如,会计部门在正常工作时间期间访问某些(例如youtube)资源是不合适的。但是,人力资源部门和/或培训部门访问这些资源是合适的。通过利用生物特征,本系统和方法可以在每个用户的基础上提供精细控制,而不必削弱所有用户的安全策略。在公共访问环境中,例如涉及诸如机场、餐馆、图书馆和宾馆、wifi热点或其它网络接入点的位置,可以使用本系统和方法的实施例来消除授权人员与一般公众之间隔离的vlan或访问。通过使用基于生物特征的网络活动的归属针对特定用户来控制或管理网络活动,本系统和方法可以在同一介质(例如,wifi接入或物理连接)或不同介质上混合不同用户对同一网络访问的各种访问级别。参考图2a,其中描绘了使用生物特征来管理网络活动的系统的一个实施例。简而言之,系统可以包括一个或多个子系统或模块,例如,一个或多个客户端102和一个或多个服务器106。客户端102可以包括生物特征设备222(或与其通信)。服务器106可以包括托管网络资源或者提供/控制对网络资源的访问的服务器。例如,服务器106可以托管客户端102可能想要访问的应用、数据、远程桌面或其它资源。在一些实施例中,服务器106可以包括管理客户端102和托管资源的服务器之间的网络通信的网络节点或器件(例如,其与客户端102和托管资源的服务器通信或介于它们中间)。在一些实施例中,服务器106包括一个或多个模块和/或子模块,例如,流量监视器106、数据库250或tcp栈211中的一个或多个。在某些实施例中,客户端包括这些元素和/或其功能中的任何一个或多个。客户端102可以托管或执行这些元素的一个或多个代理。系统中的每个元素、模块和/或子模块都用硬件或硬件和软件的组合来实现。例如,这些元素、模块和/或子模块中的每一个可以可选地或潜在地包括在例如客户端102和/或服务器106的硬件上执行的一个或多个应用、程序、库、脚本、任务、服务、进程或任何类型和形式的可执行指令。硬件可以包括电路系统和/或处理器中的一个或多个,例如,如以上结合至少图1b和1c描述的。子系统或模块中的每一个可以由例如以上结合图1a-1c描述的计算设备来控制或与其合并。该系统有时可以被称为包括hotzone配置或平台。在某些实施例中,客户端包括向网络104发送一个或多个消息的设备。一个或多个消息可以包括对网络资源的请求、或者给另一个网络节点的信息或指令。客户端可以由用户或人类操作员例如在某个时间段期间操作。客户端与生物特征设备222耦合或包括生物特征设备222。生物特征设备可以包括生物特征读取器或采集设备。生物特征设备可以包括用于获取、验证和/或处理用户的生物特征信息的登记、匹配、验证和/或识别设备。生物特征设备可以能够处理一种或多种类型的生物特征,例如,虹膜、指纹、面部图像、掌纹、掌静脉、声音、热成像、微观眼扫视移动(micro-saccadeeyemovement)、瞳孔扩张比等。生物特征设备可以能够处理用户的行为生物特征标志,诸如基于按键的特征(例如,落下和抬起时间)或web上的用户行为或活动。在一些实施例中,服务器包括存储器或数据库250。数据库可以包括或存储例如经由生物特征设备222和/或另一个设备(诸如服务器)登记的生物特征信息。数据库可以包括或存储与用户有关的信息,诸如交易(例如,日期、时间、交易价值、交易类型、交易频率、相关联的产品或服务)、在线活动(例如,web页信息、广告呈现、日期、时间等)、标识符(例如,名称、帐号、联系人信息)、位置(例如,地理位置、ip地址)的信息。服务器可以使用数据库中的信息在同一用户据称的活动或网络流量之间进行验证、交叉检查或关联。例如,服务器的流量监视器221可以监视和/或分析与用户相关的网络流量,以确定、学习和/或关联行为或数据模式,和/或检测潜在或可疑的异常。在某些实施例中,服务器包括用于与客户端通信的tcp栈211。客户端可以包括类似的或对应的tcp栈。在一些实施例中,例如,在支持本方法和系统的某些特征的服务器中,tcp栈可以包括能够对用户建立生物特征归属或溯源的修改后的tcp栈。这种服务器有时可以被称为biotagging感知,并且所支持的特征可以被称为biotagging。在本方法和系统的一些实施例中,biotagging特征利用生物特征和(例如,服务器和/或客户端的)tcp栈来提供或增强网络安全性。tcp栈211可以被修改或配置为使用tcp/ip和ipv6用于涉及生物特征的认证的通信(例如,在tcp握手中)。在一些实施例中,将生物特征集成到tcp握手中可以确保局域网(lan)、内联网、互联网或其它网络流量源自用户的有意动作。这可以帮助防止恶意软件和其它潜在有害程序(pup)的传播感染网络、提供用户动作的问责制(例如,通过归属和不可否认性)和/或增强在线交易的安全性。在tcp通信过程期间,tcp报头伴随每个tcp分组。作为说明,并且在一些实施例中,tcp报头可以包括以下参数中的一个或多个:1.源端口(sourceport)–tcp分组或流量的起源或来源的已建立的通信端口2.目的地端口(destinationport)–tcp分组或流量的目的地的已建立的通信端口。3.序列号(sequence-number)–在tcp握手期间生成的随机数(以下有时称为tcp3次握手),用于跟踪特定tcp通信或分组,并对可能异步到达的任何分组进行重新排序。4.确认号(acknoledgement-number)–从在tcp3次握手期间生成的序列号导出的、并且可以由接收端点使用以确认分组的接收或者指示应该重新发送数据的数字。5.数据偏移量(data-offset)–指示接收端点到tcp分组中的多少位可以预期找到实际分组数据的数字。6.标志(flags)–指示tcp通信流的各种状态的1位标志的数组(例如,可以对应于紧急、确认、推送、重置、同步、完成的标志或指示符的六个标志的数组)。这些有时被称为控制位。7.窗口大小(window-size)–用于网络优化以调整tcp通信的段大小(例如,窗口大小单元的数量)的字段。8.校验和(checksum)–指示是否所有数据都被正确接收到的分组的循环冗余校验(crc)校验和。9.紧急指针(urgent-pointer)–可以与紧急标志结合使用,紧急指针指示紧急数据的偏移。10.选项(options)–可以用于指示各种tcp选项(例如,最大段大小、选择性确认、时间戳等)11.数据(data)–tcp传送的数据。图2b的左侧部分描绘了tcp采用的握手过程的一个实施例。在一些实施例中,本系统和方法通过使用标准tcp报头的一些特征来实现biotagging。作为非限制性示例,biotagging可以在一些实施例中如下实现:1.syn-在正常的tcp连接建立期间使用典型的3次握手,例如,可以包括服务器的发送者可以通过将对应的选项字段设定为指定值(例如79或任何其它值)来指示发送者希望通过生物特征与客户端进行认证。仅仅作为说明而不是旨在以任何方式进行限制,这里服务器被称为发送者并且执行与客户端的握手。可以预期,任何(一种或多种)类型的设备中的任何一对设备可以执行本文所述的操作。2.如果服务器是biotagging感知的,那么服务器可以将选项字段注册为对生物特征认证的请求。3.在其中客户端不是biotagging感知的情况下,客户端将无法识别选项字段(例如,其对客户端是未知的)。例如,客户端将简单地忽略每个tcp规范的未知或无法识别的选项字段。但是,如果客户端是biotagging感知的,那么客户端可以将客户端的生物特征标志数字签名(或编码)到例如对应tcp分组的data字段中(或tcp分组的任何其它合适或可用的字段或部分)。4.然后,服务器可以验证签名(或编码)值只能在存在与已知身份对应的经验证的生物标志的情况下生成。5.如果返回值中的一个或多个是未经加密验证的(例如,基于对应的生物标志或生物特征),则通信可以作为正常(例如,未经认证的)tcp/ip通信进行,其中服务器可以选择例如重置、拒绝、忽略或重定向tcp连接。作为示例,图2b的中间部分和右侧部分描绘了用于管理网络活动的方法的说明性实施例。作为说明,这些部分描述了可以使用诸如以上讨论的修改后的握手发生的场景。在各种实施例中,跨网络和/或互联网的tcp/ip通信可以保持不变,并且不需要对当前基础设施的修改。不能感知biotagging的主机(例如,服务器和/或客户端)即使在面临biotagging挑战时也可以继续正常操作。biotagging感知的主机可以包括可以适应嵌入式标签(例如,已知值和/或散列随机数(nonce))的修改后的tcp/ip栈。在一些方面,这种特征的一个优点是它可以利用现有的tcp特征并且不要求供应商升级不需要是biotagging感知的设备。通过拦截正常/标准的三次tcp/ip握手,本系统和方法的实施例能够集成基于生物特征标志认证用户的挑战/响应机制。tcp栈被适配或修改为包括或支持这种挑战/响应机制。在一些实施例中,不能感知biotagging的系统不会受到这种改变的影响,并且不会感觉到tcp通信和/或握手中的任何差异。在实现biotagging的本系统的一些实施例中,系统允许使用生物特征进行tcp/ip过滤。系统可以通过仅允许人类发起的流量来提供主动防御,诸如除非允许例外,否则通过使用例如活性验证来阻止无人参与的客户端流量或非人为的流量。在一些实施例中,系统使用生物特征(例如,微观扫视移动或反应)来建立或验证活性,例如,存在或涉及活着的人,并且生成网络流量。这允许在建立生成流量的用户的身份时的不可否认性。该系统可以例如使用相同的生物特征或补充的生物特征(例如,虹膜图案或条纹)通过每用户的访问模型来提供对网络流量的精细控制。可以结合使用活性验证来应用精细控制以限制对仅人类发起的流量的访问。因此,系统可以向特定用户应用由用户触发或对用户成功的认证响应的唯一的防火墙规则。作为示例而不是旨在以任何方式进行限制,个人计算机可以模仿来自个人计算机的连接企图。系统可以验证用户是否身体上存在(例如,该人的存活性)。如果系统的生物特征设备确定用户不存在或不存活,则系统可以拒绝连接企图。在一些实施例中,系统可以确定连接企图是否在存活要求的例外列表上。因此,如果授予例外或已经授予例外,那么无人参与的客户端设备可以发送流量。否则,来自无人参与的客户端的流量会被阻止或拒绝。在一些实施例中,如果生物特征设备确定用户存在或存活,那么系统可以基于用户的身份实现(例如,使用用户的生物特征建立的)策略。例如,策略可以检查连接请求是允许的流量类型还是对那个用户允许的流量类型。在某些实施例中,系统实现生物特征认证防火墙,并且实施允许仅人类流量的某些策略。图2c描绘了使用生物特征来管理网络活动的系统的另一个实施例。如图所示,生物特征验证防火墙可以执行以每个用户为基础的流量控制。以每个用户为基础的流量控制可以应用到,例如,来自经认证的或未经认证的远程或本地(lan)位置以及无线连接或有线连接的不同类型的连接请求或流量。系统可以跟踪每个用户的活动和/或分析区块链审计轨迹,以验证特定网络流量/活动可以归属于同一用户,并且可以实施不可否认性。每个用户的精细访问可以允许经认证的高级用户被给予完全的或高级别的访问。例如,高级用户可以是被证明可正当访问某些受保护的资源或访问由于用户的角色和/或责任而以其它方式不允许或限制的资源的用户。例如,网络安全专业人员可以被授权经由否则被认为是恶意的活动访问对网络的压力测试。例如,网络安全专业人员或具有充分安全许可的用户可以被允许从受感染和/或不正确配置的客户端设备进行操作。经认证的标准用户可以被给予有限的访问,例如,访问用户需要的与用户的角色或责任对应的资源。在某些实施例中,可以拒绝所有其它类型的流量。作为还有的示例,经认证的用户可以访问或看到诸如vlan的网络。未经认证的用户可能无法访问或看到经认证的用户能够访问或看到的vlan。例如,即使未经认证的用户和经认证的用户两者都可以访问vlan,也可以阻挡未经认证的用户访问某些vlan资源(或vlan的逻辑区域)或者使某些vlan资源对未经认证的用户不可见。本系统和方法的实施例可以基于每个特定用户所分配的访问级别有效地对vlan进行分区,其中各种级别的资源可用于不同的用户。在一些实施例中,未经认证的用户和经认证的用户两者都可以访问(例如,相同的访问级别)另一个网络,诸如互联网。在某些实施例中,经认证的用户可以看到或知道网络中未经认证的用户的存在,但是未经认证的用户可能不具有检测网络中经认证的用户的存在的能力。在一些实施例中,系统执行每个用户的监视和跟踪,并且可以建立数据产品的推导历史记录或通信回特定用户。例如,系统可以跟踪归属于特定用户的一系列交易/通信,以对同一用户建立最近网络活动的溯源。系统可以建立或利用经验证的身份来源(例如,可以链接到用户的生物特征的特定于用户的交易的可信数据库)和/或元数据,例如,将某个活动归属于用户和/或对已经被验证的用户包括附加认证手段。系统可以使用生物特征和/或非生物特征认证来执行用户的活动和/或认证状态的实时、持续和/或动态监视和验证。在一些实施例中,服务器106包括基于生物特征的安全器件。安全器件可以提供将内部网络(及其相关联的vlan和逻辑区域)与一个或多个其它网络(诸如互联网)分离的防火墙(或特定于用户的防火墙策略)。防火墙可以被配置为基于生成流量的用户的身份来允许/不允许网络流量。在其中网络流量不与有效身份相关联的情况下–如在恶意软件和其它潜在有害程序的情况下,可以存在适当的显式拒绝策略,以防止这种流量传播。服务器可以包括基于行为的决策树或过程,以确定是否需要对未知或不寻常的网络流量进行重新认证。服务器可以与生物特征设备222通信或与其进行互操作以确定用户的身份。在一些实施例中,使用生物特征来验证身份、提供单独的基于认证的防火墙规则和使用高级启发式方法的系统可以例如基于物理上不可克隆的生物特征签名来肯定性地识别用户、依靠高级启发式方法来检测生成网络流量的人类行为中的异常、并且在必要时重新验证用户。作为对照,常规的认证防火墙可能没有针对受破坏的用户帐户的保护。常规方法可能低效地观察机器行为,以尝试检测潜在的有害行为。例如,通常,网络攻击模式的启发式检测可能依赖于恶意软件或其它恶意程序在可预测的恶意行为模式下与操作系统(os)交互的假设,例如,修改注册表、挂钩(hooking)或子类化应用、颠覆保护机制等。这种方法的缺点是它缺乏对新的或未被识别的攻击向量和目标(诸如数据挖掘攻击、对“低速和慢速”数据泄露的高级持久威胁(apt)等)进行响应的灵活性。不是使用ai启发式方法来观察潜在的恶意机器行为,而是本系统可以使用ai启发式方法来监视从已知良好的人类发起的行为的偏差。系统可以通过使用生物特征认证来区分人类发起的流量,以验证身份。当检测到从学习到的“正常”行为的偏差(对那个特定用户)时,系统能够与用户交互以确定其身份、存活性和/或生成的流量是否是有意的。因此,系统不仅验证“人”发起异常流量,而且还验证“特定人”的身份并确定那个人是否被授权生成所述流量。在没有这样的系统的情况下,没有方便的方式来检测其中一个有效的和经认证的用户在没有注销的情况下离开其工作站,而另一个人取得控制的情况。该系统可以检测行为变化并针对特定用户验证行为。即使在其中密码被盗的情况下,系统也可以防止恶意的非归属的活动。本系统的一些实施例也是可扩展的和精细的,例如,不诉诸于可以限制合法访问的隔离vlan。系统可以用于高效地保护(例如,通过功能/角色(诸如生产、开发、财务等)进行分区的)各种安全区域以及组织内的安全区域的类型(例如,无线或连接的,本地或远程访问)的访问。在某些实施例中,系统可以采用一种或多种唯一的方法用于确定存活性和/或身份。这样的方法可以检测难以使用物理或机电手段进行复制或再现,和/或与不能被另一个单独的个体有意识再现的特定于用户的身份绑定的离散生物特征属性。例如,系统可以处理关于对每个个体唯一的(例如,不在意识控制下的)微观眼扫视移动的信息。微观扫视移动(使眼睛的光感受器不褪色以便维持图像一致性的眼睛的非常小的移动)往往具有特定于每个个体的异常现象。诸如偏转距离、偏转角度、持续时间和位移频率等方面因人而异。即使由系统收集到的关于微观扫视移动的信息不足够多样以创建包含必要多样性的完整生物特征签名,它也至少可以向验证过程添加通过机电或其它伪造手段难以复制的元素。因此,它提供了针对欺骗技术的第二层防御。这种技术可以帮助减轻其中“不正确”的人具有“正确的”眼睛的情况(它的一个示例是两个虹膜模板之间的自然冲突,或通过使用专门的隐形眼镜进行的有意颠覆)。在这种情况下,个人将不能有意识地复制真正用户的微观扫视移动。这里,我们具有可以将存活性与特定身份链接的优点。另一方面,瞳孔扩张比对每个个体也是唯一的。瞳孔扩张比是人的特征而不是意识控制的结果。瞳孔扩张比难以机电地或以其它方式进行复制。在我们的实验室中还观察到,瞳孔扩张与环境光的比对每个个体是唯一的(在可接受的范围内)。例如;两个人可以在同一个房间中,在相同的光照条件下,并且他们的瞳孔扩张到不同的相对程度。这个观察结果对瞳孔扩张比可以是与特定身份链接的存活性的另一个因素提供了支持。现在参考图2d,其中描绘了使用生物特征来管理网络流量的方法的方面的一个实施例。该方法例如使用生物特征设备222执行一个或多个用户的登记。在登记之后并且在训练/学习阶段期间,系统可以例如经由流量监视器221捕获或记录用户的网络流量简档。系统可以经由生物特征设备222例如结合所记录的流量来捕获用户的生物特征标志。例如,当系统遇到新的流量场景时,系统可以请求生物特征认证和/或存活性验证,并且可以在系统的学习到的场景的数据库中包括生物特征认证和/或存活性验证。学习/训练过程可以包括对捕获的生物特征标记和/或用户网络流量使用神经网络分析,以建立用于存储在数据库250(有时被称为biotag数据库)中的学习到的模式和场景。在一些实施例中,生物特征设备222被配置为在登记和/或训练期间获取一个或多个基于眼睛的生物特征标志和/或特征。生物特征设备222可以被配置为协同地获取和/或处理基于眼睛的信息(例如并行地),以更高效地建立用户的存活性和/或身份。例如,生物特征设备可以被设计和构建用于检测人眼虹膜的固有特征,以用作用于认证的唯一标记。生物特征设备可以被设计和构建用于检测人眼的微观扫视移动。在某些实施例中,生物特征设备可以被设计和构建用于通过利用或者基于人工智能(ai)的算法或者距离度量(例如,hamming距离、levinshtein距离等)将移动与注册用户的数据库进行比较。生物特征设备可以被设计和构建用于检测瞳孔扩张与环境光的亮度或发光度的变化的一个或多个比率。生物特征设备可以被设计和构建用于通过利用或者基于ai的算法或者距离度量(例如,hamming距离、levinshtein距离等)将检测到的一个或多个比率与注册用户的数据库进行比较。在某些实施例中,系统的流量监视器221监视和学习用户的互联网和/或网络行为,同时将已知的良好流量与物理上不可克隆的生物特征标志积极地联系起来。这种方法确保从已知存活的和经认证的来源收集到的基线数据。流量监视器221可以利用先进的机器学习技术,诸如前馈反向传播神经网络(ffbpnn)、贝叶斯分析和人造智能算法或其某种组合。例如,流量监视器221可以包括能够例如通过ffbpnn和贝叶斯分析的组合学习网络使用模式的ai/机器学习算法。该过程可在能够进行每个用户规则应用的防火墙上操作。在学习阶段期间,可以假设网络处于安全且可靠状态。流量监视器221可以在每个用户的基础上记录流量模式(例如,在数据库250中),其中请求生物特征认证来验证身份。服务器可以使用验证离散度量(诸如微观扫视移动和/或瞳孔扩张比)的ai例程来验证存活性。现在参考图2e,其中描绘了使用生物特征来管理网络活动的方法的另一个方面的一个实施例。该系统可以在初始的每个用户培训或学习期之后执行流量监视。在个性化训练或学习期之后,每当启动落在学习到的参数之外的异常网络连接时,系统可以通知用户并且如果它是预期的动作,则要求用户在生物特征上对对应的连接进行认证。流量监视器221可以针对所有网络流量进行持续的图灵测试。任何超出用户定义的阈值的异常网络行为都可以被流量监视器221检测到,并且可以触发明确性地识别行为的来源(机器或人类)的生物特征验证请求。此外,流量监视器221可以将流量与具有强的不可否认性元素的特定身份绑定或相关联。生物特征认证/重新认证以及存活性检测防止恶意软件模拟认证。然后服务器可以基于用户交互允许或拒绝连接。一旦新的连接被认证,然后它就被服务器的ai系统“学习”,以允许这种连接在将来在没有用户交互的情况下进行(例如,只要该连接继续符合检测到的行为归属)。这种方法可以在每个个体的基础上完全定制。例如,普遍接受的是,发起基于网络的攻击或者以某种其它方式试图颠覆系统安全性的任何应用应当被归类为敌意的和不允许的。但是,存在一些个人其主要的合法责任是进行网络攻击–就像渗透测试员或其它安全专业人员一样。流量监视器221不是将此行为视为恶意并试图基于应用级别的启发式方法来阻止流量,而是可以学习个体的行为并且基于它是来自授权的和存活的用户的行为来允许或拒绝它。流量监视器221可以基于针对特定用户确定的规则或策略在每个用户的基础上允许或禁止某种行为。流量监视器可以应用从资源到资源(例如,在客户端设备和/或网络之间)跟随用户的防火墙策略。防火墙策略遵循对应的存活身份,并基于已知行为的度量做出决定以允许或拒绝网络流量。在一些实施例中,本方法和系统利用零知识证明配置或解决方案。例如,在诸如服务器和客户端的两个网络实体之间,客户端可以能够向服务器证明客户端拥有足以认证客户端(或用户)和/或证明人类起源的信息(例如,用户的生物特征),而不必向服务器显示或提供该信息。现在参考图2f,其中描绘了使用生物特征来管理网络流量的方法的一个实施例。该方法可以包括由服务器存储第一值n和原根n,其中n在用户登记期间被选择(301)。服务器可以被配置为存储多个验证码(303)。可以使用原根n的在登记期间从用户获取的第一生物特征模板的相应部分的散列函数结果次方来生成多个验证码中的每一个。生物特征模板的每个部分可以由对应的偏移标识符来识别。服务器可以从用户操作的客户端接收连接到服务器的请求(305)。服务器可以向客户端传送第一偏移标识符(307)。客户端可以使用第一偏移标识符来识别从与请求相关联的用户获取的第二生物特征模板的第一部分,并且使用识别出的第二生物特征模板的第一部分来生成与公共求幂函数对应的第一值。公共求幂函数可以具有原根n作为基数。服务器可以根据第一偏移标识符生成与公共求幂函数对应的第二值(309)。如果来自客户端的第一值与第二值匹配,则服务器可以确定用户被认证(311)。在一些实施例中,登记过程从用户收集生物特征信息,并且存储相关联的信息以便以后在认证或验证据称源自用户的网络流量中使用。登记过程可以由一个或多个计算设备执行,该计算设备可以包括例如生物特征获取设备。现在参考301,并且在一些实施例中,服务器可以存储第一值n和原根n,其中n在用户登记期间被选择。作为示例,第一值n可以包括质数、离散对数元素或椭圆曲线元素中的一个。第一值n可以包括大数字。在一些实现中,该大数字可以用属性生成,使得当用另一个大数字进行数学上处理时,难以逆转操作来确定所涉及的数字。加密安全性的测量是基于数论,并且除0和1之外的所有整数都由质数组成。一些重要的加密算法(诸如rivest-shamir-adleman(rsa))依赖于大数字的质数分解需要很长时间的事实。在rsa方法中,生成包含用于加密消息的两个大质数的乘积的“公钥”。使用包含两个大质数的“私钥”来解密秘密消息。这被认为是非对称密码术,因为用于加密消息的密钥与用于解密消息的密钥不同。计算上来说,仅仅知道公钥来推导用于作为公钥因子的两个质数是不可行的。另一个相关的数群属于被认为是离散对数的集合。在数学中,整数(k)中的离散对数求解公式bk==g,其中b和g是有限群的元素。离散对数求解实数b和g的同一方程,其中b是对数的基数并且g是其对数被导出的值。重要的是要注意,不存在计算两个质数的绝对乘积或计算离散对数的一般方法,并且这些问题没有有效的解决方案。在一些实施例中,生成存储的原根n,以建立以特定(n)迭代器循环通过的数字环形序列。这个数字可以被称为(g)。在模算法中,如果与(n)互质的每个数字(a)都与g模n的幂同余,那么数字(g)是原根n。换句话说,对于与(n)互质的每个整数(a),存在整数(k),使得gk≡a(modn)。例如,如果n是正整数,则与(n)互质的在1和(n-1)之间的数字形成具有乘法模n作为运算的群。这被称为模n单元的群或原始类模n的群。当且仅当n等于2、4、pk或2pk,其中pk是奇质数的幂时,这个群才是循环的。作为示例,在diffie-hellman密钥交换协议中使用了原根n。在一些实施例中,第一值n和原根n用于计算密码生成函数,该函数是整数模n乘法群。在某些实施例中,在登记期间,用户向生物特征获取设备呈现生物特征因子(例如,虹膜、指纹、面部、语音)。在本公开的上下文中,在一个或多个实施例中,登记过程的目标是生成一连串只能在存在生物特征因子的情况下才能生成的信息(或秘密)。如本文所使用的,生物特征因子可以指个体独有的任何一个或多个物理生物学特征,并且与另一个个体中的任何其它生物特征因子具有可忽略的冲突率。例如,已知诸如在人类虹膜、指纹、面部特征和语音中找到的模式的生物特征因子具有固有的唯一性,使得在对相关联身份具有高度信心的情况下,可以将一组生物特征因子(标志)与从另一个个体导出的一组生物特征因子区分开。虽然本文描述的biotag协议或方法既不特定于供应商也不特定于方法,但是应当注意的是,展现出更高程度的细节和低发生率的生物特征标志冲突的生物特征获取方法可以是优选的。不管所获取的生物特征因子如何,登记过程可以输出一连串被假定为对个体相对唯一的给定长度的二进制值(或其它表示)。在biotag协议中,该输出可以被称为“原始生物特征”。这里应该注意的是,生物特征样本的重新获取并不总是产生与初始采集完全相同的结果。例如,这可能是由于在重新获取阶段与各种伪像进行比较时引入到初始登记阶段中的各种伪像。例如,在指纹获取的情况下,压力、湿度和/或异物的各种不规则性可能产生与原始样本相比略微不同的结果。为了克服这些异常,并且在一些实施例中,生物特征设备可以利用考虑原始样本和任何后续认证样本之间细微差异的算法。本文讨论了用于处理这种异常的至少两种解决方案,例如,在与验证过程(在登记过程之后)相关的描述中。在一些实施例中,登记过程中涉及的生物特征获取设备基于存在于人的生物特征因子中的生物特征标志生成一连串字节。如上所述,生物特征获取的结果可以包括与存在于人的登记因子(即,虹膜模式、指纹、面部、语音)中的生物特征标志具有直接相关性的一连串字节(b)。生物特征获取的结果可以被称为生物特征模板。可能需要生物特征采集设备的输出具有足够的细节,以在合理的容限(有时被称为或被认为是假接受率(far))内肯定地在个体之间进行识别。在一些实施例中,对于生物特征模板的每个部分(例如,或结果字节)或生物特征因子中的“标志”,可以生成有时被认为是“盐”(s)的随机数,并且可以被附加到标志,从而创建“扩展的标志”。在密码学中,盐是可以用作对秘密值进行“散列”的单向函数的附加输入的随机数据。盐的主要功能是防御现代密码分析攻击。盐可以用于对抗使用破解秘密的彩虹表(rainbowtable)。彩虹表是为常用值预先计算出的大散列列表。为了使彩虹表有效地破解与盐值一起存储的秘密,彩虹表必须包含与每个可能的盐值连接的秘密的散列值,这对于当前的技术和存储容量是不可行的。向秘密添加盐值也可以使针对多个秘密的字典攻击和/或暴力攻击变得慢得多。在一些实施例中,对于一个值(例如,一个生物特征标志),这可能不一定是真的,这就是biotag协议为每个生物特征模板指定多个验证码的原因。向每个生物特征标志添加盐值的另一个好处是两个用户可以在一连串标志中共享一个或多个生物特征标志。向每个用户的生物特征标志添加唯一的盐可以确保即使两个用户共享共同的标志(性状(trait)),攻击者也将无法从受破坏的数据库中导出这种信息。在一些实施例中,向每个扩展的标志应用单向散列函数。对于每个字节(b),生成散列(h),使得结果(x)=与(b)字节连接的盐(s)的散列。例如,x1=h(s1,b1)..x2=h(s2,b2)...x3=h(s3,b3)......x256=h(s256,b256)散列函数可以是可以用于将任意大小的数据映射到固定大小的数据的任何数学函数。散列函数的一个用途是创建称为散列表的数据结构。在密码学中,散列函数可以允许容易地验证一些输入数据映射到给定的散列值,但是如果输入数据是未知的,那么在多项式时间内,在计算上可能不可能从散列值重建数据。这是许多认证机制的基础。散列过程或函数是确定性的–这意味着对于给定的输入值,每个散列函数始终生成相同的散列值。良好的散列函数应该在其输出范围内尽可能均匀地映射预期的输入。换句话说,输出范围内的每个散列值应当以相同的概率生成,以减少潜在的冲突。散列过程应该是不可逆的,这意味着,如果不花费大量的计算资源,那么单独从其散列值重建输入数据是不切实际的。在biotag协议或方法的一个实施例中,可以采用滚动散列来适应在生物特征样本中从相同个体的生物特征标志中找到的像差。这可以消除在来自相同个体的两个生物特征因子样本之间需要对逐字节匹配具有1:1的关系。在另一个实施例中,假定生物特征匹配可以释放与存储在服务器上的令牌化生物特征样本具有1:1关系的先前存储的生物特征样本,那么可以采用通用散列算法(诸如md5、sha或sha-1)。本公开可以不规定实施者将利用的确切散列算法,因为这可能取决于应用的确切要求。参考(303)并且在一些实施例中,服务器可以被配置为存储多个验证码。可以使用原根n的在登记期间从用户获取的第一生物特征模板的相应部分的散列函数结果次方来生成多个验证码中的每一个。第一生物特征模板的每个相应部分可以包括相应的生物特征标记。散列函数结果可以包括例如与相应的盐连接或组合的第一生物特征模板的相应部分/字节的散列函数结果。生物特征模板的每个部分可以由对应的偏移标识符来识别。在一些实施例中,针对与相应盐连接的相应生物特征标记的每个散列值创建验证码。例如,可以使用原根n(g)的相应值的散列函数结果次方来生成多个验证码(v)中的每一个。例如,v1=gx1...v2=gx2...v3=gx3......v256=gx256可以使用随机数(或盐)和在登记期间从用户获取的第一生物特征模板的相应部分来生成相应的值。随机数可以包括以下之一:与用于生成其它相应值的随机数分开的随机数,或者包括用于生成其它相应值的公共随机数。换句话说,在一些实施例中,采用不同/单独的盐来生成每个不同的扩展生物特征标志,而在其它实施例中,可以使用相同的公共盐来生成要经历散列函数的所有扩展标志。在某些实施例中,验证码将用户的一个或多个生物特征标志完全抽象到即使验证码被公然公开,攻击者也不能重构用于构建代码的生物特征标志的程度。此外,例如,添加盐和得到的原根n可以确保如果攻击者获得经认证用户的原始生物特征,攻击者也不能重建验证码。这方面对于当前公开的方法和系统的至少一些实施例可以是唯一的。在某些实施例中,通过获得取原根的指数(n)的结果(例如,上述大数字)为扩展生物特征标志中的每一个生成验证码。例如,并且在一些实施例中,验证码被生成为原根n的与相应盐连接或组合的第一生物特征模板的相应字节的散列函数结果次方。在一个或多个实施例中,登记过程将以下值中的一个或多个传送和/或存储到客户端期望在将来的会话中与其进行生物特征认证的服务器:a.唯一的用户id(u,例如,用户名或其它唯一的验证符)。b.大数字或第一值(n)c.原根n(g)d.用于每个扩展生物特征标志的随机盐(s)。e.如上所述被导出的验证码(v1…256)。服务器可以以由积分器确定的最适当的方式存储以上信息。这可以包括使用某种数据库或存储器。参考(305)并且在一些实施例中,服务器可以从由用户操作的客户端接收连接到服务器(或者访问服务器的资源或经由服务器)的请求。客户端可以被预先登记,并且可以尝试连接到服务器并验证用户的身份。客户端可以将与用户相关联的标识符(u)发送到服务器。服务器和客户端可以进行验证过程以认证用户,例如,以验证请求是人类发起的。在一些实施例中,服务器在请求中接收用户的标识符。这种标识符有时可以被称为用户标识符(id)。用户id可以包括用于将一个用户与另一个用户区分开的任何数量的唯一标识符。仅仅作为说明而不是旨在以任何方式进行限制,用户id可以包括用户名或驾驶员的执照号码。在本文公开的方法的一些实施例中,如果认证要在原始tcp/ip上进行或者在不参考特定资源的情况下使用原始tcp/ip进行,则用户id可以包括例如ip报头内的唯一字节或一系列字节。在这种情况下,服务器可以继续下面概述的识别步骤来认证用户以访问各种资源或跟踪、警告和/或记录特定的用户活动。服务器可以生成用作到验证码表中的偏移量的随机数(r),并且可以将那个验证码与预定的盐一起获取。如在登记阶段所述,可以在登记阶段生成一系列验证码。服务器可以例如访问一个随机存储的验证码以及验证码的相关联的盐值来认证客户端。随机数可以是1到256之间的数字。例如,服务器可以响应于接收到请求而选择第一偏移标识符(或随机数)。服务器可以根据用户的标识符和第一偏移标识符来检索由服务器存储的生物特征模板的第一部分。在一些实施例中,服务器可以根据用户的标识符访问与用户相关联并由服务器存储的生物特征模板。服务器可以访问与被检索到的生物特征模板的第一部分对应的盐或随机数。参考(307)并且在一些实施例中,服务器可以向客户端传送第一偏移标识符。服务器可以将第一偏移标识符传送给客户端,但不向服务器发送对应的盐。在一个简单的实施例中,发送给客户端的随机偏移量(例如,第一偏移标识符)可以指向在客户端处获取的生物特征模板(例如,第二生物特征模板)中的字节,其在一些实施例中可以包括未修改的生物特征表。作为非限制性示例,可以向客户端发出“6”的随机偏移量,并且在一个实施例中(或者被静态存储或者被实时获取的)生物特征表可以被表示为:表1:生物特征表在以上讨论的示例中,客户端将访问包含十六进制值0x90的字节6。用户可以例如将生物特征因子呈现给生物特征设备(例如,客户端),该生物特征设备获取与请求相关联的第二生物特征模板。生物特征设备可以如在登记过程中那样生成(b)。可替代地,生物特征可以被呈现给使用生物特征标志的存在或不存在针对存储的生物特征模板进行比较或匹配来或者允许访问或者拒绝访问的生物特征设备,在一些实施例中,客户端使用第一偏移标识符(r)生成客户端的长期私钥(x)。客户端可以使用第一偏移标识符来识别或访问从与请求相关联的用户获取的第二生物特征模板的第一部分,并且使用由服务器供给的第一偏移标识符(r)来计算客户端的长期私钥(x)。在一些实施例中,客户端选择和/或使用随机数(a)来生成客户端的短期公钥。短期公钥可以包括或通过计算原根n的随机数(a)次方来生成。例如,客户端可以生成大于1且小于大数字(n)的随机数(a)。客户端可以通过计算a=ga来生成临时公钥(c-kpub),并且可以将临时公钥发送到服务器。服务器可以生成随机参数,并且可以将随机参数发送给客户端用于在生成与公共求幂函数对应的第一值中使用。服务器可以选择或生成随机数(b),并且可以计算服务器的短期公钥,公钥包括以下之和:原根n的b次方,以及来自多个验证码的与第一偏移标识符对应的第一验证码。服务器的短期公钥(z)可以通过计算使用第一偏移标识符获得的验证码的值、与原根n的随机数(b)次方连接来生成。临时公钥可以被表达或计算为:z=vr+gb在一些实施例中,服务器生成大于1且小于大数字n的随机数(b)。在某些实施例中,服务器生成临时公钥(z或s-kpub),并将它连同随机参数(u)发送给客户端。服务器可以将服务器的临时公钥发送给客户端,用于在生成与公共求幂函数对应的第一值中使用。公共求幂函数可以被表达为:s=g(ab+bux)。参考(309)并且在一些实施例中,服务器可以根据第一偏移标识符生成与公共求幂函数对应的第二值。s有时被称为会话密钥或共享会话密钥。客户端和服务器两者都可以基于公共求幂函数生成共享会话密钥(s)。在一些实施例中,由于公式s=g(ab+bux)的过渡性质,它可以被扩充为以下公式:在客户端侧,可以通过减去自乘到与偏移量处的值连接的盐的散列的原根n、自乘到客户端的临时私钥加上服务器的临时值乘以与偏移量处的值连接的盐的散列来导出会话密钥:s=(z-gx)(a+ux)在服务器侧,会话密钥可以通过将客户端的公钥与自乘到随机随机数u的偏移量处的验证码值相乘、自乘到服务器私钥的幂来导出:s=(a*vu)b因此,每一侧都可以基于它们具有的信息来计算共享的会话密钥。如上所述,由于公共求幂函数的过渡性质,这些会话密钥值之间存在关系,使得共享会话密钥真正地等于原根n自乘到服务器的私钥和客户端的私钥的乘积,加上服务器的私钥和服务器的随机数u以及与生物特征标志处的偏移值连接的盐的散列的乘积,即s=g(ab+bux)。参考(311)并且在一些实施例中,如果来自客户端的第一值与第二值匹配,则服务器可以确定用户被认证。如果使用第一偏移标识符识别出的客户端的生物特征标志与原始地用于生成该偏移量的验证码的标志匹配,则会话密钥将匹配并且用户已成功认证。验证以上实现生物特征样本,而从没有传送任何实际的生物特征数据。但是,其余数据仍然未加密。如果也期望数据加密,则前一阶段的结果(s)可以用作对称加密密钥(k),如下所示:a.单向散列函数被应用到(s)b.修饰符可以被应用到结果以延长长度(可选)c.结果k可以用于任何对称加密算法,诸如aes,以加密通道。应当理解的是,上述系统可以提供那些部件中的任何一个或每一个中的多个,并且这些部件可以在或者独立机器上提供,或者在一些实施例中,在分布式系统中的多个机器上提供。此外,上述系统和方法可以被提供为一个或多个计算机可读程序或在一个或多个制造品上或其中实施的可执行指令。制造品可以是软盘、硬盘、cd-rom、闪存卡、prom、ram、rom或磁带。通常,计算机可读程序可以用诸如lisp、perl、c、c++、c#、prolog之类的任何编程语言或以诸如java之类的任何字节码语言来实现。软件程序或可执行指令可以作为目标代码存储在一个或多个制造品上或其中。虽然本发明的前述书面描述使得普通技术人员能够制造和使用目前被认为是其最佳模式的技术,但是普通技术人员将理解和认识到存在本文特定实施例、方法和示例的变化、组合和等同物。因此,本发明不应当由上述实施例、方法和示例限定,而是由在本发明的范围和精神内的所有实施例和方法限定。当前第1页12当前第1页12