专利名称:用于控制远程网络供电设备的安全性的系统和方法
技术领域:
本发明通常涉及一种用于控制计算网络环境内的远程无人设备的安全性的系统和方法,并且更具体地,本发明涉及一种用于控制给远程无人网络设备供电的远程网络供电设备的安全性的系统和方法,再更具体地,本发明涉及一种用于控制给远程无人网络设备供电的无线供电设备的安全性的系统和方法。
背景技术:
在计算机网络尤其是在包括连接到一起的有线和无线设备的混合计算机网络或系统内,控制访问和控制安全性的问题是非常重要的。已知无线客户机和/或设备在计算机网络内的广泛使用,下述情况正在成为必须的,即,不仅验证希望访问具体网络的远程用户或客户机,而且还要确保该远程用户或客户机实际上被授权访问该特定网络并因此访问可通过该网络访问的资源。另外,重要的是,在这些网络上传输的任何数据(包括关于任何验证信息的数据)以安全的方式被传输或通信。同样,需要提供保护对无线网络的访问的安全措施。此外,需要提供考虑了无线环境的动态特征的信息安全服务并防止其中用户验证失败或用户的访问特权受限或不存在的访问。此外,需要控制网络内的设备上的安全性,该设备可控制或可用于更有效和高效地访问网络内的其它设备,同时管理提供安全的成本。此外,需要提供用于提供这种系统的安全的经济方式。
发明内容在本发明的一个方面内,提供了一种用于控制为远程无人网络设备供电的远程网络供电设备的安全性的系统。该系统包括在其上实现有安全标准并具有供电身份的远程网络供电设备,从该远程网络供电设备进行供电的远程无人网络设备,具有安全连接的用于控制该远程网络供电设备的门户,和基于该安全标准的电源可寻址协议(power addressable protocol),该协议响应于由用于控制为远程无人网络设备供电的远程网络供电设备的被授权的客户机发出的指示而在该门户上执行以便在安全连接上接收和发送一个或多个安全通信。在一实施例内,该系统还包括使用该安全标准并安全地链接到该门户以便证实该远程网络供电设备的验证服务器。优选地,该安全标准是IEEE 802.1x标准,而该电源可寻址协议基于IEEE 802.1x标准。该门户使用该远程网络供电设备的供电身份来验证该远程网络供电设备。优选地,该供电身份包括该远程网络供电设备的唯一的序列号,基于该远程网络供电设备的唯一序列号的秘密或预先共享的密钥,和基于该远程网络供电设备的唯一序列号的IEEE 802.1x证书。更优选地,该门户使用基于该安全标准的加密算法来加密该供电身份以便验证该远程网络供电设备。此外,在该门户上运行的电源可寻址协议使用基于该安全标准的加密协议来加密该被授权的客户机发出的指示,以便将该被加密的指示传递给远程网络供电设备。此外,优选地,该门户使用由IEEE 802.1x标准支持的验证方法验证该被授权的客户机。优选地,该远程无人网络设备和远程网络供电设备均向该门户注册,并且该门户保持经由该远程网络供电设备访问该系统的所有请求的日志,以及访问该门户的每个请求的结局或结果。在一实施例内,该远程网络供电设备是无线供电设备,而该系统还包括无线接入点,该无线接入点在其上实现有安全标准并链接到该门户以便将无线供电设备安全地连接到门户。
在另一实施例内,本发明提供了一种向客户提供信息安全服务的方法。该方法包括将安全标准嵌入为远程无人网络设备供电的无线供电设备内,提供具有安全连接的用于控制该无线供电设备的门户,在将该无线供电设备链接到该门户的无线接入点内实现该安全标准,向该门户注册该无线供电设备、远程无人网络设备和无线接入点中的每个,经由该门户验证该无线供电设备和无线接入点,并响应于由用于控制为远程无人网络设备供电的无线供电设备的被授权客户机发出的指示而在该门户上执行用于在安全连接上传递一个或多个安全通信的基于该安全标准的电源可寻址协议。此外,该方法包括保持请求访问该门户的所有客户机的日志。该验证步骤还包括使用无线供电设备的供电身份验证该无线供电设备,并使用基于该安全标准的加密算法来加密该供电身份以便验证该无线供电设备。该执行步骤还包括该电源可寻址协议使用加密算法加密由被授权的客户机发出的指示,并将被加密的指示传递给无线供电设备。该注册步骤还包括为该远程无人网络设备、无线供电设备和客户机中的每一个分配任务组,以便在允许对于控制为远程无人网络设备供电的无线供电设备的任何访问之前,门户能够证实与该无线供电设备和远程无人网络设备有关的客户机的验证和授权。优选地,该安全标准是IEEE 802.1x标准,而该电源可寻址协议基于IEEE 802.1x标准。
在另一实施例内,本发明提供了一种包含用于控制为远程无人网络设备供电的远程网络供电设备的安全性的可编程软件的可编程媒体。该可编程软件包括向具有安全连接的门户注册远程无人网络设备和远程网络供电设备,使用将安全标准嵌入在其上的供电设备的供电身份来验证该供电设备,并响应于由用于控制为远程无人网络设备供电的供电设备的被授权的客户机发出的指示而在该门户上执行用于在该安全连接上传递一个或多个安全通信的电源可寻址协议。该可编程软件还包括经由具有该安全标准并安全地链接到该门户的验证服务器证实该供电身份。此外,该可编程软件包括保持请求访问该门户的所有客户机的日志。优选地,该安全标准是IEEE 802.1x标准,而该电源可寻址协议基于IEEE 802.1x标准。优选地,该供电身份是该供电设备的唯一的序列号、基于该供电设备的唯一序列号的秘密或预先共享的密钥、或基于该供电设备的唯一序列号的IEEE 802.1x证书。优选地,该门户使用该供电设备的供电身份来验证该供电设备,并更具体地,在该门户上运行的该电源可寻址协议使用基于该安全标准的加密算法来加密该供电设备的供电身份。此外,该电源可寻址协议使用加密算法加密由被授权的客户机发出的指示,并将被加密的指示传递给供电设备。在一实施例内,该供电设备是无线供电设备,并且该可编程软件还包括无线接入点,该无线接入点在其上实现有该安全标准并链接到该门户以便将无线供电设备安全地连接到该门户。
被引入此说明书并构成其一部分的附图示出了本发明的实施例,并与本说明一起用来阐述本发明的原理图1示出根据本发明的实施例的用于通过使用验证服务器来控制为一个或多个远程无人网络设备供电的远程网络供电设备的安全性的系统。
图2示出根据本发明的实施例的用于通过使用验证服务器来控制为一个或多个远程无人网络设备供电的远程网络供电设备的安全性的系统。
图3示出根据本发明的实施例的用于不通过使用验证服务器来控制为一个或多个远程无人网络设备供电的远程网络供电设备的安全性的系统。
图4是描述根据本发明的实施例的验证无线网络上的无线供电设备的方法的流程图。
图5和7是示出根据本发明的实施例的用于通过使用验证服务器来控制远程网络供电设备的安全性的方法的示意性流程图。
图6和7是示出根据本发明的实施例的用于不通过使用验证服务器来控制远程网络供电设备的安全性的方法的示意性流程图。
具体实施方式本领域技术人员可清楚地看到,可对本发明进行许多修改和变化而不会背离本发明的精神和范围。因此,只要此发明的修改和变化位于权利要求
以及它们的等同物的范围内,则本发明覆盖了此发明的修改和变化。现在将详细参照本发明的优选实施例。
如文中使用的,术语“控制安全性”包括下述任务控制访问、监控访问、管理访问、限制访问、处理访问、管理安全性、监控安全性、限制安全性、指引安全性、处理安全性、检查安全性、禁止未被授权的对远程无人网络设备(例如远程服务器或远程终端设备,并具体而言是给系统内远程无人网络设备供电的远程供电设备)的访问,从而可安全地控制对该系统的访问。另外,如文中使用的,术语“远程无人网络设备”是指任何计算设备(例如位于远程的且不易于被监控的计算机或服务器),以及指远程地位于不安全网络或关注安全性的无线网络上的服务器或计算机。另外,术语“远程网络供电设备”或“远程网络供电设备”是指无线或有线的并且远离用户或客户机的供电设备,该设备为网络上的一个或多个设备供电。此外,术语“无线供电设备”是指在网络内的通信链路上无线地通信的供电设备,即该无线供电设备使用射频(RF)而不是有线线路来在空气中传输和接收数据,而经由电力电缆或电力线向设备导电。此外,用于本文的“有线供电设备”是指经由电力电缆或电力线向计算机或服务器供电的供电设备单元,用于为远程计算机或服务器供电。更一般地,术语“供电设备”或“供电设备”将指包括具有多个用于插入多个设备的插座的电源板以及向设备或设备组供电的供电单元的有线或无线供电设备。此外,文中使用的“安全标准”是指IEEE 802.1x标准,其提供了用于验证和保护无线和有线网络的基于端口的框架。IEEE 802.1x标准支持许多不同的验证机制并且同样可与由IEEE 802.1x标准支持的若干验证算法(例如LEAP、PEAP、SecureID、Kerberos、Radius、LDAP(轻量级目录访问协议)、SSL(安全套接层)等)中的任何一个一起使用。另外,文中使用的术语“验证”是指被用于将设备或客户机分别校验为该设备或客户机的方法。此外,术语“授权”是指使客户机或用户可访问系统或系统内的设备(例如供电设备)的过程。文中使用的术语“被授权的客户机”或“被授权进行控制的客户机”用于指已被授权进行访问的客户机,因为该客户机已被验证并且该客户机的授权已被门户确认。类似地,术语“供电身份”或“PADDP身份”是指以下任何一个供电设备本身的唯一的序列号、基于该供电设备的唯一序列号的秘密或预先共享的密钥、或基于供电设备的唯一序列号的IEEE 802.1x证书。术语“门户”或“门户服务器”是指web门户或集中式服务器,其提供用于访问应用、商业过程、信息、资源、服务和解决方案的单个web接口。
在本发明的一个方面内,提供了一种用于控制为远程无人网络设备供电的远程网络供电设备的安全性的系统,该远程无人网络设备优选地为远程无人网络计算机,更优选地为远程无人网络服务器。该系统包括远程网络供电设备(优选地为无线供电设备),该设备具有在其上实现的安全标准或安全协议并具有供电身份。优选地,远程网络供电设备上嵌入有包含该安全标准的芯片。此外,该系统包括从该远程网络供电设备进行供电的远程无人网络设备、具有安全连接的用于控制该远程网络供电设备的门户或门户服务器、和基于该安全标准的电源可寻址协议,该协议响应于由用于控制为远程无人网络设备供电的远程网络供电设备的被授权的客户机发出的指示而在门户上运行以便在安全连接上接收和发送一个或多个安全通信。优选地,该安全标准是IEEE 802.1x标准,并且该电源可寻址协议基于该IEEE 802.1x标准。优选地,供电身份(还被称为PADDP身份)是供电设备本身的唯一序列号、或基于该供电设备的唯一序列号的秘密或预先共享的密钥、或基于供电设备的唯一序列号的IEEE 802.1x证书。在优选实施例内,门户被配置成执行对供电设备的验证,即该门户存储验证供电设备所必须的所有信息。具体地,当验证供电设备时,在该门户上运行的基于IEEE 802.1x的电源可寻址协议使用由IEEE 802.1x标准支持的加密算法来加密供电设备的供电身份。优选地,供电设备被门户使用电源可寻址协议;爱验证,从而包含该供电身份的任何IEEE 802.1x PADDP数据包优选地使用基于先进加密标准(AES)的加密技术被加密,并使用电源可寻址协议在电源设备和门户之间被安全地交换。此外,电源可寻址协议使用加密算法(例如AES)来加密由客户机或用户发出的指示,即在客户机已被验证并已被确认为被授权访问供电设备,并将被加密的指示安全地传输给供电设备之后。更优选地,门户将客户机或用户访问系统的每个访问请求记入日志,并优选地门户将包括该访问被授权还是拒绝的请求事务的结果或结局记入日志。在优选实施例内,远程网络供电设备、门户和远程无人网络设备均位于同一网络上。
在另一优选实施例内,该系统还包括经由安全通信信道链接到门户的验证服务器,该验证服务器使用用于验证和/或证实供电设备的安全标准,优选地为IEEE 802.1x标准。优选地,该验证服务器与门户处于同一网络上。具体地,门户将加密形式的与远程网络供电设备有关的验证数据或信息转发或传递或传送给验证服务器。优选地,门户使用电源可寻址协议内的AES机制来给验证信息(即从供电设备接收到的供电设备的供电身份)加密,并使用电源可寻址协议将信息传输或传送给验证服务器。验证服务器根据验证数据或信息(例如存储在本地数据库的用户名及口令或身份)证实该信息,或访问包含有该验证数据或信息的外部数据库。验证服务器证实供电身份并向门户发送验证成功或验证失败的消息。如果门户接收到验证成功消息,则门户根据客户机验证确定客户机授权。此外,客户机经由前端应用(优选地为使用用于验证客户机的安全协议的基于web的应用)来访问门户。优选地,门户上的基于web的应用使用由IEEE 802.1x标准支持的验证方法(优选地为SSH)来验证客户机,但是,可使用其它验证方法(例如EAP、LEAP、PEAP、SecureID、Kerberos、Radius、LDAP、SSL等)验证客户机。为远程无人网络设备供电的远程网络供电设备可以是使用无线通信链路的无线供电设备或使用有线通信线路的有线供电设备。此外,远程网络供电设备、远程无人网络设备、门户和验证服务器所驻留的网络或者是无线网络或者是有线网络或者是这两者的组合。更优选地,无线网络是无线LAN(局域网),而有线网络是基于以太网的LAN或令牌环LAN。此外,网络还可以是有线或无线WAN(广域网)。优选地,远程无人网络设备和供电设备均向门户注册,该门户运行电源可寻址协议以安全地发送和接收包含注册信息的数据包。在供电设备是无线供电设备的实施例中,系统还包括无线接入点,该无线接入点具有在其上实现的安全协议并且被安全地链接到门户以便在无线供电设备和门户之间提供安全连接,从而可在门户和供电设备之间交换一个或多个安全通信。
现在参照图1-3,这些附图示出用于控制为一个或多个无人网络设备供电的远程供电设备的安全性的系统的独立实施例。转到图1,图1示出根据本发明的实施例的用于控制为一个或多个远程无人网络设备供电的远程网络供电设备的系统100。具体地,图1示出其中存在多于一个的为独立网络设备(例如服务器)供电的远程网络供电设备。转到图1,标号116和120各自代表网络上的计算机,优选地代表由对应的电源114和118供电的网络上的服务器。如图1所示,远程网络供电设备114是单个供电单元,其为单个设备(例如一个计算机或服务器等)供电,并且如图1所示为服务器116供电。此外,供电设备118代表能够为多个设备(例如一个或多个计算机终端、一个或多个服务器(文件服务器、打印服务器等))供电的供电设备板,但是在图1内示出的该供电设备板仅为服务器120供电。此外,服务器120是包括服务器128、132和116的有线网络的一部分,其中如图1所示,这些服务器中的每个均经由有线通信线路138连接。此外,如图所示,供电设备114经由电力电缆115为服务器116供电,而供电设备114经由有线通信线路134与服务器116通信。类似地,供电设备118经由电力电缆119为服务器120供电,而供电设备118经由有线通信线路136与服务器120通信。此外,供电设备114和118通过无线接入点140进行无线通信。具体地,供电设备114和118中的每个分别经由如标号124和126所指示的符号所示的无线通信链路进行无线通信。无线接入点140链接到门户130,并具体地,如图1所示,无线接入点140经由有线通信线路142与门户130通信。此外,门户130经由有线通信线路152链接到验证服务器150。此外,图1示出经由门户130访问系统100的客户机或用户112。
转到图2,图2示出根据本发明的实施例的用于控制为一个或多个网络设备供电的远程网络供电设备的系统200。转到图2,标号216和220是由远程网络供电设备218供电的网络设备,在此示例内为服务器。如图2所示,供电设备218代表为多个设备(具体地为服务器216和220)供电的供电设备板。供电设备218经由电力电缆219为服务器220供电,而供电设备218经由无线通信链路217与服务器220通信。类似地,供电设备218经由电力电缆215为服务器216供电,而供电设备218经由无线通信链路213与服务器216通信。如图2所示,服务器216和220均是由额外服务器214和无线接入点220构成的无线网络的一部分。如无线通信链路221、223和225所示,服务器214、216和220中的每个与无线接入点220进行无线通信。此外,供电设备218与无线接入点240进行无线通信,该无线接入点在另一端被链接到门户230。具体地,供电设备218经由如标号224所示的无线通信链路进行无线通信。此外,如图2所示,无线接入点240经由有线通信线路242与门户230通信。此外,门户230经由有线通信线路252被链接到验证服务器250。另外,图2示出经由门户230访问系统200的客户机或用户212。
当设置用于控制安全性的系统时,该系统被设置成使得由供电设备供电的所有远程无人网络设备(例如服务器或计算机)包括供电设备本身均向门户注册。优选地,当由供电设备供电的每个远程服务器或计算机被注册时,该远程服务器或计算机被分配给任务组,即,将远程服务器或计算机与对应于该服务器或计算机的功能或事务用途的组和/或任务相关联。类似地,当供电设备被注册时,将任务组(任务和/或组)分配给对应于该服务器的功能任务的供电设备或者正在被该供电设备供电的服务器属于的组。例如,管理财务数据或信息的服务器可被分配财务服务器的任务。同样,给该财务服务器供电的供电设备可被分配这样的任务,即该任务可能需要供电设备作为财务服务器管理员的任务来保存财务服务器上的敏感信息。此外,注册过程向门户提供关于谁被允许访问系统内特定供电设备以及允许这些用户做什么的信息,即用户已被给出的关于控制特定供电设备的任何授权或权利。优选地,门户使用电源可寻址协议来注册所有远程无人网络设备以及供电设备,从而门户能够以安全的方式传送数据。因此,当系统被设置时,供电设备被注册和验证,从而门户不必在每次客户机希望访问供电设备时都验证该供电设备。优选地,门户是可被客户机经由前端应用访问的集中式服务器,该前端应用优选地为驻留于门户上的用于访问给一个或多个远程无人网络设备供电的供电设备的基于web的应用,该网络设备例如为在系统内由该供电设备供电的服务器或计算机。优选地,该门户为市场上可买到的门户服务器,例如可从国际商业机器(IBM)买到的WebSphere门户。
参照图3,标号300示出用于不通过使用验证服务器来控制远程网络供电设备的安全性的系统的实施例。具体地,参照图3,无线远程网络供电设备318上嵌入有IEEE 802.1x标准,优选地,IEEE 802.1x标准位于嵌入供电设备318内的芯片上。另外,服务器316和服务器320均由无线供电设备318供电,并且因此在系统300的初始设置期间,服务器316和320以及供电设备318均向门户330注册。在优选实施例内,门户330具有安全连接,因为门户经由有线通信线路342链接到接入点340。另外,假设使无线供电设备318经由无线通信链路324链接到门户330的另一端的无线接入点340是IEEE 802.1x标准的无线接入点,则门户330上实现有IEEE 802.1x标准,其提高无线环境内的安全性并提供用于控制对无线供电设备318的访问的安全连接。具体地,具有安全连接(优选地为无线连接)的门户330运行基于IEEE 802.1x的电源可寻址协议(PADDP),以便在系统300内经由无线接入点340将加密数据从客户机312安全地传送和传输到供电设备318。在优选实施例内,供电设备318被分配身份(被称为供电身份或PADDP身份),其被在门户330上运行的基于802.1x的电源可寻址协议使用来验证供电设备318(下文将参照图4进行说明),并将任何消息传送给供电设备,从而控制由供电设备318供电的任何服务器或计算机(例如,分别为服务器316和320)上的安全性。优选地,供电身份或者是供电设备的序列号,或者是基于供电设备本身的唯一序列号本身的秘密的或预先共享的密钥,或是基于该供电设备的序列号的IEEE802.1x证书。例如,如果供电身份是基于供电设备的唯一序列号的秘密的或预先共享的密钥,则在门户330上运行的基于IEEE 802.1x标准的电源可寻址协议使用该序列号或预先共享的密钥或基于供电设备318的序列号的IEEE 802.1x证书来执行密钥交换,以验证供电设备318。更具体地,在门户330上运行的电源可寻址协议使用基于AES的加密密钥给供电身份加密,从而该密钥交换是安全的。此外,在门户上运行的电源可寻址协议优选地使用AES对来自被授权客户机312的任何指示加密,并将指示传送给供电设备318。电源可寻址协议将形式为嵌入消息的安全通信(即使用AES加密的IEEE 802.1x-PADDP包)发送给供电设备,其中安全通信仅包含从被授权的客户机接收到的指示或命令,例如开、关、状态查询等。优选地,类似于供电设备318和远程无人网络设备316,客户机312也向门户330注册。当客户机向门户注册时,客户机312被分配用户标识和口令,门户330存储给予客户机的关于系统300上的可被访问的任何设备的任何授权权利。因此,当客户机312试图优选地使用前端应用(更优选地使用基于web的应用)来访问门户330以便控制供电设备318时,在加密和传输从客户机312到供电设备318的任何通信之前,门户330验证客户机312,并检查客户机的关于供电设备318的授权或访问权利,从而避免没有被授权以访问供电设备以及系统300内的远程无人网络设备的客户机进行任何未被授权的访问。另外,接入点340也向门户330注册,通过该接入点340将通信从门户330传递给无线供电设备318或反之亦然,从而为接入点340分配任务组(任务和/或组)。优选地,当设置系统300时,门户330也使用由IEEE 802.1x标准支持的任何验证方法验证基于IEEE802.1x的接入点340,从而确保安全通信。优选地,门户使用电源可寻址协议来注册无线接入点。这样,基于IEEE 802.1x的电源可寻址协议使得门户330能够保护经由无线接入点340在客户机312和供电设备318之间发送的任何通信,因为客户机312不被允许直接与无线远程网络供电设备318通信,而是必须通过集中式门户330,从而提供了安全连接,其用于发送和接收安全通信,并降低了窃听者对所传输的任何数据的获取访问的危险。
参照图2,例如,当客户机或用户希望访问远程网络供电设备以便打开电源或关闭电源或监控影响正由供电设备218控制的远程无人网络设备216上的电源的一个或多个参数时,客户机212使用网络上的计算机或设备访问门户。具体地,客户机212访问前端应用,优选地为基于web的应用,例如可从国际商业机器(IBM)买到的WebSphere应用。优选地,驻留于门户上的WebSphere应用使用一个或多个安全协议,例如SSH(安全外壳)。因此,向用户提示在登录屏幕或提示处输入客户机或用户凭证,例如用户名或用户标识和口令。可选择地,客户机212可使用任何安全协议(例如EAP(可扩展验证协议)、LEAP(轻量级访问协议)、PEAP(保护性EAP)、SecureID、Kerberos、Radius(远程验证拨入用户服务)、LDAP(轻量级目录访问协议)、SSL(安全套接层)等)来访问基于web的应用,以便访问门户230以控制远程网络供电设备218。客户机212将用户标识或用户名和口令提供给门户230,门户将客户机凭证传递给验证服务器250,该服务器证实客户机凭证并向门户发送验证成功或失败消息。如果门户接收到的消息是验证成功消息,则门户授权对客户机212的访问。一旦客户机212已被授权,则客户机212向门户230输入指示或命令或查询以便访问远程网络供电设备218。例如,客户机可打开供电设备,可关闭供电设备或监控或获得某些关于供电设备218的参数(电压、温度等),从而控制(供电或断电)由供电设备218供电的服务器216和220。例如,如果客户机212发出关闭远程网络供电设备218的指示,则门户230使用加密算法(例如AES)对该指示加密,并然后执行电源可寻址协议以便将形式为用AES加密的IEEE 802.1x-PADDP包的加密指示转发或传输给供电设备218。
在另一实施例内,本发明提供了一种向客户提供信息技术安全服务以便控制由远程网络供电设备供电的远程网络设备的安全性的方法。该方法包括将安全标准嵌入为远程无人网络设备供电的无线供电设备内。优选地,该安全标准被包含在嵌入该供电设备的芯片上。该方法包括提供具有安全连接的用于控制无线供电设备的门户。此外,该方法包括在将无线供电设备链接到门户的无线接入点内实现安全标准。该方法还包括向该门户注册该无线供电设备、远程无人网络设备和无线接入点,经由门户验证该无线供电设备和无线接入点,并响应于由被授权客户机发出的用于控制为远程无人网络设备供电的无线供电设备的指示,在门户上执行用于在安全连接上传送一个或多个安全通信的基于安全标准的电源可寻址协议。该验证步骤还包括门户使用用于验证无线供电设备的该无线供电设备的供电身份,并具体地使用加密算法来加密该用于验证无线供电设备的供电身份以及用于发送和接收包含供电身份的数据包的电源可寻址协议。类似地,门户使用在注册期间被分配给无线接入点的身份来验证无线接入点。优选地,该方法包括保持请求访问系统的所有客户机以及访问事务的结果或结局的日志。此外,该执行步骤还包括使用加密算法加密由被授权的客户机发出的指示,并将被加密的指示传递给无线供电设备。此外,注册步骤包括为远程无人网络设备、无线供电设备和客户机中的每一个指定任务组,以便在允许任何客户机或用户访问以控制为远程无人网络设备供电的无线供电设备之前,门户能够证实或确认与被分配给供电设备的任务组(任务和/或组)以及被分配给远程无人网络设备的任务组有关的客户机的验证和授权。优选地,该安全标准是IEEE 802.1x标准,而该电源可寻址协议基于IEEE 802.1x标准。
在一实施例内,如图3所示,该方法包括提供配置成执行用于验证无线供电设备、远程无人网络设备、无线接入点和客户机中的每一个的所有必需的步骤的门户。在可选择实施例内,如图1和2所示,该方法包括提供利用安全标准(即IEEE 802.1x标准)的验证服务器,该服务器被安全地链接或连接到门户并被配置成存储或访问用于证实系统内的客户机和/或设备的验证数据或信息。具体地,该方法包括使用电源可寻址协议将供电身份和/或客户机凭证从门户传送到验证服务器,从而将信息安全地传递给验证服务器,并且验证服务器能够证实供电设备的供电身份和/或客户机的客户机身份。优选地,由该供电设备为其供电的一个或多个远程无人网络设备驻留于其上的网络是有线网络或无线网络。更优选地,如果是无线网络,则该无线网络是无线LAN(局域网),而如果是有线网络,则优选地该有线网络是基于以太网的LAN或令牌环LAN。此外,远程无人网络设备驻留于其上的网络还可以是有线或无线WAN(广域网)。
转到图4,图4示出门户验证供电设备(优选地为无线供电设备)的步骤。图4示出系统400,其中无线接入点440在一端经由有线通信线路432连接到门户430,而经由无线通信链路420连接到供电设备418。优选地,供电设备在其上(例如在芯片上)嵌入有IEEE 802.1x标准,并且无线接入点440是使能IEEE 802.1x的无线接入点440。当系统被设置时,如上所述,无线接入点440和供电设备418均向门户430注册。此外,系统被设置成使得无线接入点440和供电设备418被门户430预先验证。优选地,供电设备418被门户430通过在门户430上运行电源可寻址协议而验证,门户430执行基于AES的加密密钥交换。例如,如果预先共享的密钥是供电身份,则电源可寻址协议使用供电设备418的序列号作为预先共享的密钥来执行基于AES的加密密钥交换。具体地,如图4所示,在步骤401内门户430向供电设备418发出PADDP身份请求,供电设备418在步骤402内接收到该PADDP身份请求并在步骤404内将PADDP身份响应发送给门户430。优选地,PADDP身份响应是供电设备的序列号,或者是基于该设备的序列号的秘密或预先共享的密钥,或可选择地是基于该设备序列号的IEEE 802.1x证书。门户430在步骤403内接收到来自供电设备418的PADDP身份响应。如前文所述,门户430自身可处理所有验证(如图3的实施例内所示),或者门户430可将从供电设备418接收到的验证信息传输或传递到验证服务器(如图1和2的实施例内所示)以便进行证实(图4内未示出)。如果PADDP身份响应被门户430证实(被门户430本身直接证实或经由验证服务器间接证实),则门户430在步骤405内向供电设备418发出PADDP授权请求。供电设备418在步骤406接收到PADDP授权请求,并在步骤408通过PADDP授权响应作为答复,该PADDP授权响应在步骤407内被门户430接收。优选地,PADDP授权响应与在注册过程期间在设置时被分配给供电设备418的任务组(任务和/或组)相关联。同样,门户430直接证实该响应,或使用优选地基于IEEE802.1x标准的验证服务器以便进行证实。如果使用验证服务器,则验证服务器向门户430发送成功或失败消息。如果验证成功,则门户430向供电设备418发送PADDP成功消息。此外,优选地,无线接入点440被门户430使用由IEEE 802.1x标准支持的验证协议和方法来验证。
现在参照图5-7,这些图示出控制为远程无人网络设备供电的远程网络供电设备的安全性的方法。具体地,图5和7概述了涉及控制远程网络供电设备的安全性的步骤,其中该系统如图1和2所示包括验证服务器。此外,图6和7概述了涉及控制远程网络供电设备的安全性的步骤,其中该系统如图3所示不包括验证服务器。转到图5,如图5所示,客户机通过在步骤504内经由前端应用向门户发送访问请求来请求访问远程网络供电设备,该前端应用优选地为基于web的应用,所述访问请求在步骤506被门户接收到。优选地,门户在步骤508内保持初始访问请求的日志,并在步骤510内向客户机发送验证请求。客户机在步骤512从门户接收到验证请求,并在步骤514内向门户发送验证响应。门户在步骤516从客户机接收到验证响应,并在步骤520将该验证响应转发给验证服务器。验证服务器在步骤522证实该验证响应,并在步骤524向门户发送验证成功/失败消息,该步骤结束应用服务器的任务。门户在步骤526接收到验证成功/失败消息。如果在步骤528验证失败,则门户在步骤530向客户机发送访问被拒绝的消息,该消息在步骤532被客户机接收到,并且会话终止或结束。此外,门户在步骤536将关于访问被拒绝的事务的数据记入日志。如果在步骤528验证成功,则门户在步骤540基于客户机验证来确定客户机授权。根据与供电设备有关的分配给客户机的任务组以及客户机被允许做什么,门户在步骤542向客户机发送访问被授权的消息,该消息在步骤544被客户机接收到。门户在步骤548将关于访问被授权的事务的数据记入日志。
可选择地,如图6所示,客户机在步骤604通过向门户发送请求来请求访问供电设备,该请求在步骤606被门户接收到。优选地,门户在步骤608保留初始访问请求的日志,并在步骤610向客户机发送验证请求。客户机在步骤612从门户接收到验证请求,并在步骤614内向门户发送验证响应。门户在步骤616从客户机接收到验证响应,并且门户在步骤618证实该验证响应。如果在步骤620门户确定该客户机验证失败,则门户在步骤622向客户机发送访问被拒绝的消息,该消息在步骤624被客户机接收到,并且会话终止或结束。此外,门户在步骤628将关于访问被拒绝的事务的数据记入日志。如果在步骤620验证成功,则门户在步骤632根据客户机验证来确定客户机授权。根据与供电设备有关的分配给客户机的任务组以及客户机被允许做什么,门户在步骤634向客户机发送访问被授权的消息,该消息在步骤636被客户机接收到。门户在步骤640将关于访问被授权的事务的数据记入日志。
在任一实施例内,一旦客户机被授权访问,即客户机已被认为是被授权的客户机,则如图7的步骤702所示,客户机可访问用于控制远程网络供电设备的web接口。客户机在步骤704输入控制供电设备的指示,门户在步骤706从客户机接收到指示,并在步骤708优选地使用AES加密来加密该指示并执行电源可访问地址以将指示发送或传输给供电设备。供电设备在步骤710从门户接收到客户机指示,并在步骤712执行该客户机指示。供电设备在步骤714将已执行的客户机指示的确认发送给门户,该确认在步骤716被门户接收到。门户在步骤718将该确认发送给客户机,该确认在步骤720被客户机接收到。客户机然后结束该会话。此外,在结束会话之前,门户在步骤724将关于客户机指示事务的数据记入日志。
此外,在另一实施例内,本发明包括一种其上安装有专用于控制为远程无人网络设备供电的远程网络供电设备的安全性的软件的计算机系统。具体地,该计算机系统包括计算机服务器或等效设备、包含可编程软件的计算机可读存储媒体(或更优选地为可编程媒体),该可编程软件的形式为可以被计算机系统执行以控制为远程无人网络设备供电的远程供电设备的安全性)。可编程软件包括向具有安全连接的门户注册远程无人网络设备和远程网络供电设备,使用基于嵌入该供电设备的安全标准的该供电设备的供电身份来验证该供电设备,并响应于由用于控制为远程无人网络设备供电的供电设备的被授权的客户机发出的指示,在门户上执行用于在安全连接上传输一个或多个安全通信的电源可寻址协议。在一实施例内,可编程软件还包括经由基于安全标准并安全地链接到门户的验证服务器来证实供电身份。优选地,该安全标准是IEEE 802.1x标准,而该电源可寻址协议基于IEEE 802.1x标准。更优选地,IEEE 802.1x标准嵌入供电设备(优选地位于芯片上)。此外,供电身份优选地包括供电设备的唯一的序列号、基于该供电设备的唯一序列号的秘密或预先共享的密钥、或基于供电设备的唯一序列号的IEEE 802.1x证书。更优选地,电源可寻址协议使用供电设备的供电身份来验证供电设备。具体地,当在验证期间交换密钥时,电源可寻址协议使用加密算法(例如AES)来加密供电身份。此外,电源可寻址协议使用加密算法(例如AES)加密由被授权客户机发出的指示,并使用电源可寻址协议来将被加密的指示以嵌入消息的形式(即被AES加密的IEEE 802.1x-PADDP包)传输给供电设备。优选地,门户保持所有访问请求/事务的记录/日志,其包括任何访问请求的结果/结局。在一实施例内,供电设备是无线供电设备,并还包括无线接入点,该无线接入点在其上实现该安全标准并被安全地链接到该门户以便将无线供电设备连接到该门户。优选地,客户机或用户使用计算机终端或等效设备来访问前端应用(更优选地为门户上的基于web的应用)。
前述的对本发明的特定实施例的说明是为了例证和说明。它们不是穷尽性的或者将本发明局限于公开的精确形式,并且很明显根据上述讲授可以有许多修改和变型。所选择和说明的实施例是为了最好地解释本发明的原理及其实际应用,从而使本领域技术人员能够最好地利用本发明以及具有适合于预期的特定使用的各种变型的各个实施例。本发明的范围由权利要求
及其等同物所限定。
权利要求
1.一种用于控制远程网络供电设备的安全性的系统,所述系统包括在其上实现有安全标准并具有供电身份的远程网络供电设备;从所述远程网络供电设备供电的远程无人网络设备;具有安全连接的用于控制所述远程网络供电设备的门户;和基于所述安全标准的电源可寻址协议,所述协议响应于由用于控制为所述远程无人网络设备供电的所述远程网络供电设备的被授权的客户机发出的指示而在门户上运行以便在所述安全连接上接收和发送一个或多个安全通信。
2.根据权利要求
1所述的系统,还包括使用所述安全标准并被安全地链接到所述门户以便证实所述远程网络供电设备的验证服务器。
3.根据权利要求
1所述的系统,其中所述安全标准是IEEE 802.1x标准;而其中所述电源可寻址协议基于所述IEEE 802.1x标准。
4.根据权利要求
3所述的系统,其中所述门户使用所述远程网络供电设备的所述供电身份来验证所述远程网络供电设备。
5.根据权利要求
4所述的系统,其中所述供电身份包括所述远程网络供电设备的唯一的序列号、基于所述远程网络供电设备的唯一序列号的密钥、以及基于所述远程网络供电设备的唯一序列号的IEEE 802.1x证书中的至少一个。
6.根据权利要求
5所述的系统,其中所述门户使用基于所述安全标准的加密算法来加密所述供电身份以便验证所述远程网络供电设备;并且其中所述电源可寻址协议使用基于所述安全标准的加密算法来加密由所述被授权的客户机发出的所述指示,以便将所述被加密的指示传输给所述远程网络供电设备。
7.根据权利要求
5所述的系统,其中所述门户使用由所述IEEE802.1x标准支持的验证方法来验证所述被授权的客户机。
8.根据权利要求
5所述的系统,其中所述远程无人网络设备和所述远程网络供电设备均向所述门户注册,并且其中所述门户将访问所述系统的每个请求记入日志,并且其中所述门户将所述请求的任何结果记入日志。
9.根据权利要求
5所述的系统,其中所述远程网络供电设备是无线远程网络供电设备,并且其中所述系统还包括无线接入点,在所述无线接入点上实现所述安全标准,并且所述无线接入点被链接到所述门户以便将所述无线远程网络供电设备安全地连接到所述门户。
10.一种用于向客户提供信息安全服务的方法,所述方法包括以下步骤将安全标准嵌入为远程无人网络设备供电的无线网络供电设备内;提供具有安全连接的用于控制所述无线供电设备的门户;在将所述无线供电设备链接到所述门户的无线接入点内实现所述安全标准;向所述门户注册所述无线供电设备、所述远程无人网络设备和所述无线接入点;经由所述门户验证所述无线供电设备和所述无线接入点;以及响应于由用于控制为所述远程无人网络设备供电的所述无线供电设备的被授权客户机发出的指示,在所述门户上执行基于所述安全标准的电源可寻址协议,以便在所述安全连接上传送一个或多个安全通信。
11.根据权利要求
10所述的方法,还包括以下步骤保持请求访问所述门户的所有客户机的日志;并且其中所述安全标准是IEEE 802.1x标准,而其中所述电源可寻址协议基于所述IEEE 802.1x标准。
12.根据权利要求
11所述的方法,其中所述注册步骤还包括以下步骤为所述远程无人网络设备、所述无线供电设备和所述客户机中的每一个分配任务组,以便在允许任何访问来控制为所述远程无人网络设备供电的所述无线供电设备之前,所述门户能够证实与所述无线供电设备和所述远程无人网络设备有关的所述客户机的验证和授权。
13.根据权利要求
11所述的方法,其中所述验证步骤还包括以下步骤使用所述无线供电设备的供电身份来验证所述无线供电设备;以及使用基于所述安全标准的加密算法来加密所述用于验证所述无线供电设备的所述供电身份。
14.根据权利要求
11所述的方法,其中所述执行步骤还包括以下步骤使用加密算法加密由所述被授权的客户机发出的所述指示,并将所述被加密的指示传输给所述无线供电设备。
专利摘要
公开了一种用于控制为远程网络设备供电的远程网络供电设备的安全性的系统和方法。该系统包括在其上实现有安全标准并具有供电身份的远程网络供电设备、从该供电设备供电的远程无人网络设备、具有安全连接的用于控制该供电设备的门户、和基于该安全标准的电源可寻址协议,该协议响应于由用于控制为远程无人网络设备供电的供电设备的被授权的客户机发出的指示而在门户上运行以便在安全连接上接收和发送一个或多个安全通信。该门户使用该供电设备的供电身份来验证该供电设备。优选地,该安全标准是IEEE 802.1x标准,而该电源可寻址协议基于IEEE802.1x标准。
文档编号H04L12/10GK1992722SQ200610132279
公开日2007年7月4日 申请日期2006年10月13日
发明者G·S·登顿 申请人:国际商业机器公司导出引文BiBTeX, EndNote, RefMan