用於控制遠程網絡供電設備的安全性的系統和方法

2023-06-14 05:33:41 2

專利名稱:用於控制遠程網絡供電設備的安全性的系統和方法
技術領域：
本發明通常涉及一種用於控制計算網絡環境內的遠程無人設備的安全性的系統和方法，並且更具體地，本發明涉及一種用於控制給遠程無人網絡設備供電的遠程網絡供電設備的安全性的系統和方法，再更具體地，本發明涉及一種用於控制給遠程無人網絡設備供電的無線供電設備的安全性的系統和方法。
背景技術：
在計算機網絡尤其是在包括連接到一起的有線和無線設備的混合計算機網絡或系統內，控制訪問和控制安全性的問題是非常重要的。已知無線客戶機和/或設備在計算機網絡內的廣泛使用，下述情況正在成為必須的，即，不僅驗證希望訪問具體網絡的遠程用戶或客戶機，而且還要確保該遠程用戶或客戶機實際上被授權訪問該特定網絡並因此訪問可通過該網絡訪問的資源。另外，重要的是，在這些網絡上傳輸的任何數據(包括關於任何驗證信息的數據)以安全的方式被傳輸或通信。同樣，需要提供保護對無線網絡的訪問的安全措施。此外，需要提供考慮了無線環境的動態特徵的信息安全服務並防止其中用戶驗證失敗或用戶的訪問特權受限或不存在的訪問。此外，需要控制網絡內的設備上的安全性，該設備可控制或可用於更有效和高效地訪問網絡內的其它設備，同時管理提供安全的成本。此外，需要提供用於提供這種系統的安全的經濟方式。

發明內容在本發明的一個方面內，提供了一種用於控制為遠程無人網絡設備供電的遠程網絡供電設備的安全性的系統。該系統包括在其上實現有安全標準並具有供電身份的遠程網絡供電設備，從該遠程網絡供電設備進行供電的遠程無人網絡設備，具有安全連接的用於控制該遠程網絡供電設備的門戶，和基於該安全標準的電源可尋址協議(power addressable protocol)，該協議響應於由用於控制為遠程無人網絡設備供電的遠程網絡供電設備的被授權的客戶機發出的指示而在該門戶上執行以便在安全連接上接收和發送一個或多個安全通信。在一實施例內，該系統還包括使用該安全標準並安全地連結到該門戶以便證實該遠程網絡供電設備的驗證伺服器。優選地，該安全標準是IEEE 802.1x標準，而該電源可尋址協議基於IEEE 802.1x標準。該門戶使用該遠程網絡供電設備的供電身份來驗證該遠程網絡供電設備。優選地，該供電身份包括該遠程網絡供電設備的唯一的序列號，基於該遠程網絡供電設備的唯一序列號的秘密或預先共享的密鑰，和基於該遠程網絡供電設備的唯一序列號的IEEE 802.1x證書。更優選地，該門戶使用基於該安全標準的加密算法來加密該供電身份以便驗證該遠程網絡供電設備。此外，在該門戶上運行的電源可尋址協議使用基於該安全標準的加密協議來加密該被授權的客戶機發出的指示，以便將該被加密的指示傳遞給遠程網絡供電設備。此外，優選地，該門戶使用由IEEE 802.1x標準支持的驗證方法驗證該被授權的客戶機。優選地，該遠程無人網絡設備和遠程網絡供電設備均向該門戶註冊，並且該門戶保持經由該遠程網絡供電設備訪問該系統的所有請求的日誌，以及訪問該門戶的每個請求的結局或結果。在一實施例內，該遠程網絡供電設備是無線供電設備，而該系統還包括無線接入點，該無線接入點在其上實現有安全標準並連結到該門戶以便將無線供電設備安全地連接到門戶。
在另一實施例內，本發明提供了一種向客戶提供信息安全服務的方法。該方法包括將安全標準嵌入為遠程無人網絡設備供電的無線供電設備內，提供具有安全連接的用於控制該無線供電設備的門戶，在將該無線供電設備連結到該門戶的無線接入點內實現該安全標準，向該門戶註冊該無線供電設備、遠程無人網絡設備和無線接入點中的每個，經由該門戶驗證該無線供電設備和無線接入點，並響應於由用於控制為遠程無人網絡設備供電的無線供電設備的被授權客戶機發出的指示而在該門戶上執行用於在安全連接上傳遞一個或多個安全通信的基於該安全標準的電源可尋址協議。此外，該方法包括保持請求訪問該門戶的所有客戶機的日誌。該驗證步驟還包括使用無線供電設備的供電身份驗證該無線供電設備，並使用基於該安全標準的加密算法來加密該供電身份以便驗證該無線供電設備。該執行步驟還包括該電源可尋址協議使用加密算法加密由被授權的客戶機發出的指示，並將被加密的指示傳遞給無線供電設備。該註冊步驟還包括為該遠程無人網絡設備、無線供電設備和客戶機中的每一個分配任務組，以便在允許對於控制為遠程無人網絡設備供電的無線供電設備的任何訪問之前，門戶能夠證實與該無線供電設備和遠程無人網絡設備有關的客戶機的驗證和授權。優選地，該安全標準是IEEE 802.1x標準，而該電源可尋址協議基於IEEE 802.1x標準。
在另一實施例內，本發明提供了一種包含用於控制為遠程無人網絡設備供電的遠程網絡供電設備的安全性的可編程軟體的可編程媒體。該可編程軟體包括向具有安全連接的門戶註冊遠程無人網絡設備和遠程網絡供電設備，使用將安全標準嵌入在其上的供電設備的供電身份來驗證該供電設備，並響應於由用於控制為遠程無人網絡設備供電的供電設備的被授權的客戶機發出的指示而在該門戶上執行用於在該安全連接上傳遞一個或多個安全通信的電源可尋址協議。該可編程軟體還包括經由具有該安全標準並安全地連結到該門戶的驗證伺服器證實該供電身份。此外，該可編程軟體包括保持請求訪問該門戶的所有客戶機的日誌。優選地，該安全標準是IEEE 802.1x標準，而該電源可尋址協議基於IEEE 802.1x標準。優選地，該供電身份是該供電設備的唯一的序列號、基於該供電設備的唯一序列號的秘密或預先共享的密鑰、或基於該供電設備的唯一序列號的IEEE 802.1x證書。優選地，該門戶使用該供電設備的供電身份來驗證該供電設備，並更具體地，在該門戶上運行的該電源可尋址協議使用基於該安全標準的加密算法來加密該供電設備的供電身份。此外，該電源可尋址協議使用加密算法加密由被授權的客戶機發出的指示，並將被加密的指示傳遞給供電設備。在一實施例內，該供電設備是無線供電設備，並且該可編程軟體還包括無線接入點，該無線接入點在其上實現有該安全標準並連結到該門戶以便將無線供電設備安全地連接到該門戶。
被引入此說明書並構成其一部分的附圖示出了本發明的實施例，並與本說明一起用來闡述本發明的原理圖1示出根據本發明的實施例的用於通過使用驗證伺服器來控制為一個或多個遠程無人網絡設備供電的遠程網絡供電設備的安全性的系統。
圖2示出根據本發明的實施例的用於通過使用驗證伺服器來控制為一個或多個遠程無人網絡設備供電的遠程網絡供電設備的安全性的系統。
圖3示出根據本發明的實施例的用於不通過使用驗證伺服器來控制為一個或多個遠程無人網絡設備供電的遠程網絡供電設備的安全性的系統。
圖4是描述根據本發明的實施例的驗證無線網絡上的無線供電設備的方法的流程圖。
圖5和7是示出根據本發明的實施例的用於通過使用驗證伺服器來控制遠程網絡供電設備的安全性的方法的示意性流程圖。
圖6和7是示出根據本發明的實施例的用於不通過使用驗證伺服器來控制遠程網絡供電設備的安全性的方法的示意性流程圖。
具體實施方式本領域技術人員可清楚地看到，可對本發明進行許多修改和變化而不會背離本發明的精神和範圍。因此，只要此發明的修改和變化位於權利要求
以及它們的等同物的範圍內，則本發明覆蓋了此發明的修改和變化。現在將詳細參照本發明的優選實施例。
如文中使用的，術語「控制安全性」包括下述任務控制訪問、監控訪問、管理訪問、限制訪問、處理訪問、管理安全性、監控安全性、限制安全性、指引安全性、處理安全性、檢查安全性、禁止未被授權的對遠程無人網絡設備(例如遠程伺服器或遠程終端設備，並具體而言是給系統內遠程無人網絡設備供電的遠程供電設備)的訪問，從而可安全地控制對該系統的訪問。另外，如文中使用的，術語「遠程無人網絡設備」是指任何計算設備(例如位於遠程的且不易於被監控的計算機或伺服器)，以及指遠程地位於不安全網絡或關注安全性的無線網絡上的伺服器或計算機。另外，術語「遠程網絡供電設備」或「遠程網絡供電設備」是指無線或有線的並且遠離用戶或客戶機的供電設備，該設備為網絡上的一個或多個設備供電。此外，術語「無線供電設備」是指在網絡內的通信鏈路上無線地通信的供電設備，即該無線供電設備使用射頻(RF)而不是有線線路來在空氣中傳輸和接收數據，而經由電力電纜或電力線向設備導電。此外，用於本文的「有線供電設備」是指經由電力電纜或電力線向計算機或伺服器供電的供電設備單元，用於為遠程計算機或伺服器供電。更一般地，術語「供電設備」或「供電設備」將指包括具有多個用於插入多個設備的插座的電源板以及向設備或設備組供電的供電單元的有線或無線供電設備。此外，文中使用的「安全標準」是指IEEE 802.1x標準，其提供了用於驗證和保護無線和有線網絡的基於埠的框架。IEEE 802.1x標準支持許多不同的驗證機制並且同樣可與由IEEE 802.1x標準支持的若干驗證算法(例如LEAP、PEAP、SecureID、Kerberos、Radius、LDAP(輕量級目錄訪問協議)、SSL(安全套接層)等)中的任何一個一起使用。另外，文中使用的術語「驗證」是指被用於將設備或客戶機分別校驗為該設備或客戶機的方法。此外，術語「授權」是指使客戶機或用戶可訪問系統或系統內的設備(例如供電設備)的過程。文中使用的術語「被授權的客戶機」或「被授權進行控制的客戶機」用於指已被授權進行訪問的客戶機，因為該客戶機已被驗證並且該客戶機的授權已被門戶確認。類似地，術語「供電身份」或「PADDP身份」是指以下任何一個供電設備本身的唯一的序列號、基於該供電設備的唯一序列號的秘密或預先共享的密鑰、或基於供電設備的唯一序列號的IEEE 802.1x證書。術語「門戶」或「門戶伺服器」是指web門戶或集中式伺服器，其提供用於訪問應用、商業過程、信息、資源、服務和解決方案的單個web接口。
在本發明的一個方面內，提供了一種用於控制為遠程無人網絡設備供電的遠程網絡供電設備的安全性的系統，該遠程無人網絡設備優選地為遠程無人網絡計算機，更優選地為遠程無人網絡伺服器。該系統包括遠程網絡供電設備(優選地為無線供電設備)，該設備具有在其上實現的安全標準或安全協議並具有供電身份。優選地，遠程網絡供電設備上嵌入有包含該安全標準的晶片。此外，該系統包括從該遠程網絡供電設備進行供電的遠程無人網絡設備、具有安全連接的用於控制該遠程網絡供電設備的門戶或門戶伺服器、和基於該安全標準的電源可尋址協議，該協議響應於由用於控制為遠程無人網絡設備供電的遠程網絡供電設備的被授權的客戶機發出的指示而在門戶上運行以便在安全連接上接收和發送一個或多個安全通信。優選地，該安全標準是IEEE 802.1x標準，並且該電源可尋址協議基於該IEEE 802.1x標準。優選地，供電身份(還被稱為PADDP身份)是供電設備本身的唯一序列號、或基於該供電設備的唯一序列號的秘密或預先共享的密鑰、或基於供電設備的唯一序列號的IEEE 802.1x證書。在優選實施例內，門戶被配置成執行對供電設備的驗證，即該門戶存儲驗證供電設備所必須的所有信息。具體地，當驗證供電設備時，在該門戶上運行的基於IEEE 802.1x的電源可尋址協議使用由IEEE 802.1x標準支持的加密算法來加密供電設備的供電身份。優選地，供電設備被門戶使用電源可尋址協議；愛驗證，從而包含該供電身份的任何IEEE 802.1x PADDP數據包優選地使用基於先進加密標準(AES)的加密技術被加密，並使用電源可尋址協議在電源設備和門戶之間被安全地交換。此外，電源可尋址協議使用加密算法(例如AES)來加密由客戶機或用戶發出的指示，即在客戶機已被驗證並已被確認為被授權訪問供電設備，並將被加密的指示安全地傳輸給供電設備之後。更優選地，門戶將客戶機或用戶訪問系統的每個訪問請求記入日誌，並優選地門戶將包括該訪問被授權還是拒絕的請求事務的結果或結局記入日誌。在優選實施例內，遠程網絡供電設備、門戶和遠程無人網絡設備均位於同一網絡上。
在另一優選實施例內，該系統還包括經由安全通信信道連結到門戶的驗證伺服器，該驗證伺服器使用用於驗證和/或證實供電設備的安全標準，優選地為IEEE 802.1x標準。優選地，該驗證伺服器與門戶處於同一網絡上。具體地，門戶將加密形式的與遠程網絡供電設備有關的驗證數據或信息轉發或傳遞或傳送給驗證伺服器。優選地，門戶使用電源可尋址協議內的AES機制來給驗證信息(即從供電設備接收到的供電設備的供電身份)加密，並使用電源可尋址協議將信息傳輸或傳送給驗證伺服器。驗證伺服器根據驗證數據或信息(例如存儲在本地資料庫的用戶名及口令或身份)證實該信息，或訪問包含有該驗證數據或信息的外部資料庫。驗證伺服器證實供電身份並向門戶發送驗證成功或驗證失敗的消息。如果門戶接收到驗證成功消息，則門戶根據客戶機驗證確定客戶機授權。此外，客戶機經由前端應用(優選地為使用用於驗證客戶機的安全協議的基於web的應用)來訪問門戶。優選地，門戶上的基於web的應用使用由IEEE 802.1x標準支持的驗證方法(優選地為SSH)來驗證客戶機，但是，可使用其它驗證方法(例如EAP、LEAP、PEAP、SecureID、Kerberos、Radius、LDAP、SSL等)驗證客戶機。為遠程無人網絡設備供電的遠程網絡供電設備可以是使用無線通信鏈路的無線供電設備或使用有線通信線路的有線供電設備。此外，遠程網絡供電設備、遠程無人網絡設備、門戶和驗證伺服器所駐留的網絡或者是無線網絡或者是有線網絡或者是這兩者的組合。更優選地，無線網絡是無線LAN(區域網)，而有線網絡是基於乙太網的LAN或令牌環LAN。此外，網絡還可以是有線或無線WAN(廣域網)。優選地，遠程無人網絡設備和供電設備均向門戶註冊，該門戶運行電源可尋址協議以安全地發送和接收包含註冊信息的數據包。在供電設備是無線供電設備的實施例中，系統還包括無線接入點，該無線接入點具有在其上實現的安全協議並且被安全地連結到門戶以便在無線供電設備和門戶之間提供安全連接，從而可在門戶和供電設備之間交換一個或多個安全通信。
現在參照圖1-3，這些附圖示出用於控制為一個或多個無人網絡設備供電的遠程供電設備的安全性的系統的獨立實施例。轉到圖1，圖1示出根據本發明的實施例的用於控制為一個或多個遠程無人網絡設備供電的遠程網絡供電設備的系統100。具體地，圖1示出其中存在多於一個的為獨立網絡設備(例如伺服器)供電的遠程網絡供電設備。轉到圖1，標號116和120各自代表網絡上的計算機，優選地代表由對應的電源114和118供電的網絡上的伺服器。如圖1所示，遠程網絡供電設備114是單個供電單元，其為單個設備(例如一個計算機或伺服器等)供電，並且如圖1所示為伺服器116供電。此外，供電設備118代表能夠為多個設備(例如一個或多個計算機終端、一個或多個伺服器(文件伺服器、列印伺服器等))供電的供電設備板，但是在圖1內示出的該供電設備板僅為伺服器120供電。此外，伺服器120是包括伺服器128、132和116的有線網絡的一部分，其中如圖1所示，這些伺服器中的每個均經由有線通信線路138連接。此外，如圖所示，供電設備114經由電力電纜115為伺服器116供電，而供電設備114經由有線通信線路134與伺服器116通信。類似地，供電設備118經由電力電纜119為伺服器120供電，而供電設備118經由有線通信線路136與伺服器120通信。此外，供電設備114和118通過無線接入點140進行無線通信。具體地，供電設備114和118中的每個分別經由如標號124和126所指示的符號所示的無線通信鏈路進行無線通信。無線接入點140連結到門戶130，並具體地，如圖1所示，無線接入點140經由有線通信線路142與門戶130通信。此外，門戶130經由有線通信線路152連結到驗證伺服器150。此外，圖1示出經由門戶130訪問系統100的客戶機或用戶112。
轉到圖2，圖2示出根據本發明的實施例的用於控制為一個或多個網絡設備供電的遠程網絡供電設備的系統200。轉到圖2，標號216和220是由遠程網絡供電設備218供電的網絡設備，在此示例內為伺服器。如圖2所示，供電設備218代表為多個設備(具體地為伺服器216和220)供電的供電設備板。供電設備218經由電力電纜219為伺服器220供電，而供電設備218經由無線通信鏈路217與伺服器220通信。類似地，供電設備218經由電力電纜215為伺服器216供電，而供電設備218經由無線通信鏈路213與伺服器216通信。如圖2所示，伺服器216和220均是由額外伺服器214和無線接入點220構成的無線網絡的一部分。如無線通信鏈路221、223和225所示，伺服器214、216和220中的每個與無線接入點220進行無線通信。此外，供電設備218與無線接入點240進行無線通信，該無線接入點在另一端被連結到門戶230。具體地，供電設備218經由如標號224所示的無線通信鏈路進行無線通信。此外，如圖2所示，無線接入點240經由有線通信線路242與門戶230通信。此外，門戶230經由有線通信線路252被連結到驗證伺服器250。另外，圖2示出經由門戶230訪問系統200的客戶機或用戶212。
當設置用於控制安全性的系統時，該系統被設置成使得由供電設備供電的所有遠程無人網絡設備(例如伺服器或計算機)包括供電設備本身均向門戶註冊。優選地，當由供電設備供電的每個遠程伺服器或計算機被註冊時，該遠程伺服器或計算機被分配給任務組，即，將遠程伺服器或計算機與對應於該伺服器或計算機的功能或事務用途的組和/或任務相關聯。類似地，當供電設備被註冊時，將任務組(任務和/或組)分配給對應於該伺服器的功能任務的供電設備或者正在被該供電設備供電的伺服器屬於的組。例如，管理財務數據或信息的伺服器可被分配財務伺服器的任務。同樣，給該財務伺服器供電的供電設備可被分配這樣的任務，即該任務可能需要供電設備作為財務伺服器管理員的任務來保存財務伺服器上的敏感信息。此外，註冊過程向門戶提供關於誰被允許訪問系統內特定供電設備以及允許這些用戶做什麼的信息，即用戶已被給出的關於控制特定供電設備的任何授權或權利。優選地，門戶使用電源可尋址協議來註冊所有遠程無人網絡設備以及供電設備，從而門戶能夠以安全的方式傳送數據。因此，當系統被設置時，供電設備被註冊和驗證，從而門戶不必在每次客戶機希望訪問供電設備時都驗證該供電設備。優選地，門戶是可被客戶機經由前端應用訪問的集中式伺服器，該前端應用優選地為駐留於門戶上的用於訪問給一個或多個遠程無人網絡設備供電的供電設備的基於web的應用，該網絡設備例如為在系統內由該供電設備供電的伺服器或計算機。優選地，該門戶為市場上可買到的門戶伺服器，例如可從國際商業機器(IBM)買到的WebSphere門戶。
參照圖3，標號300示出用於不通過使用驗證伺服器來控制遠程網絡供電設備的安全性的系統的實施例。具體地，參照圖3，無線遠程網絡供電設備318上嵌入有IEEE 802.1x標準，優選地，IEEE 802.1x標準位於嵌入供電設備318內的晶片上。另外，伺服器316和伺服器320均由無線供電設備318供電，並且因此在系統300的初始設置期間，伺服器316和320以及供電設備318均向門戶330註冊。在優選實施例內，門戶330具有安全連接，因為門戶經由有線通信線路342連結到接入點340。另外，假設使無線供電設備318經由無線通信鏈路324連結到門戶330的另一端的無線接入點340是IEEE 802.1x標準的無線接入點，則門戶330上實現有IEEE 802.1x標準，其提高無線環境內的安全性並提供用於控制對無線供電設備318的訪問的安全連接。具體地，具有安全連接(優選地為無線連接)的門戶330運行基於IEEE 802.1x的電源可尋址協議(PADDP)，以便在系統300內經由無線接入點340將加密數據從客戶機312安全地傳送和傳輸到供電設備318。在優選實施例內，供電設備318被分配身份(被稱為供電身份或PADDP身份)，其被在門戶330上運行的基於802.1x的電源可尋址協議使用來驗證供電設備318(下文將參照圖4進行說明)，並將任何消息傳送給供電設備，從而控制由供電設備318供電的任何伺服器或計算機(例如，分別為伺服器316和320)上的安全性。優選地，供電身份或者是供電設備的序列號，或者是基於供電設備本身的唯一序列號本身的秘密的或預先共享的密鑰，或是基於該供電設備的序列號的IEEE802.1x證書。例如，如果供電身份是基於供電設備的唯一序列號的秘密的或預先共享的密鑰，則在門戶330上運行的基於IEEE 802.1x標準的電源可尋址協議使用該序列號或預先共享的密鑰或基於供電設備318的序列號的IEEE 802.1x證書來執行密鑰交換，以驗證供電設備318。更具體地，在門戶330上運行的電源可尋址協議使用基於AES的加密密鑰給供電身份加密，從而該密鑰交換是安全的。此外，在門戶上運行的電源可尋址協議優選地使用AES對來自被授權客戶機312的任何指示加密，並將指示傳送給供電設備318。電源可尋址協議將形式為嵌入消息的安全通信(即使用AES加密的IEEE 802.1x-PADDP包)發送給供電設備，其中安全通信僅包含從被授權的客戶機接收到的指示或命令，例如開、關、狀態查詢等。優選地，類似於供電設備318和遠程無人網絡設備316，客戶機312也向門戶330註冊。當客戶機向門戶註冊時，客戶機312被分配用戶標識和口令，門戶330存儲給予客戶機的關於系統300上的可被訪問的任何設備的任何授權權利。因此，當客戶機312試圖優選地使用前端應用(更優選地使用基於web的應用)來訪問門戶330以便控制供電設備318時，在加密和傳輸從客戶機312到供電設備318的任何通信之前，門戶330驗證客戶機312，並檢查客戶機的關於供電設備318的授權或訪問權利，從而避免沒有被授權以訪問供電設備以及系統300內的遠程無人網絡設備的客戶機進行任何未被授權的訪問。另外，接入點340也向門戶330註冊，通過該接入點340將通信從門戶330傳遞給無線供電設備318或反之亦然，從而為接入點340分配任務組(任務和/或組)。優選地，當設置系統300時，門戶330也使用由IEEE 802.1x標準支持的任何驗證方法驗證基於IEEE802.1x的接入點340，從而確保安全通信。優選地，門戶使用電源可尋址協議來註冊無線接入點。這樣，基於IEEE 802.1x的電源可尋址協議使得門戶330能夠保護經由無線接入點340在客戶機312和供電設備318之間發送的任何通信，因為客戶機312不被允許直接與無線遠程網絡供電設備318通信，而是必須通過集中式門戶330，從而提供了安全連接，其用於發送和接收安全通信，並降低了竊聽者對所傳輸的任何數據的獲取訪問的危險。
參照圖2，例如，當客戶機或用戶希望訪問遠程網絡供電設備以便打開電源或關閉電源或監控影響正由供電設備218控制的遠程無人網絡設備216上的電源的一個或多個參數時，客戶機212使用網絡上的計算機或設備訪問門戶。具體地，客戶機212訪問前端應用，優選地為基於web的應用，例如可從國際商業機器(IBM)買到的WebSphere應用。優選地，駐留於門戶上的WebSphere應用使用一個或多個安全協議，例如SSH(安全外殼)。因此，向用戶提示在登錄屏幕或提示處輸入客戶機或用戶憑證，例如用戶名或用戶標識和口令。可選擇地，客戶機212可使用任何安全協議(例如EAP(可擴展驗證協議)、LEAP(輕量級訪問協議)、PEAP(保護性EAP)、SecureID、Kerberos、Radius(遠程驗證撥入用戶服務)、LDAP(輕量級目錄訪問協議)、SSL(安全套接層)等)來訪問基於web的應用，以便訪問門戶230以控制遠程網絡供電設備218。客戶機212將用戶標識或用戶名和口令提供給門戶230，門戶將客戶機憑證傳遞給驗證伺服器250，該伺服器證實客戶機憑證並向門戶發送驗證成功或失敗消息。如果門戶接收到的消息是驗證成功消息，則門戶授權對客戶機212的訪問。一旦客戶機212已被授權，則客戶機212向門戶230輸入指示或命令或查詢以便訪問遠程網絡供電設備218。例如，客戶機可打開供電設備，可關閉供電設備或監控或獲得某些關於供電設備218的參數(電壓、溫度等)，從而控制(供電或斷電)由供電設備218供電的伺服器216和220。例如，如果客戶機212發出關閉遠程網絡供電設備218的指示，則門戶230使用加密算法(例如AES)對該指示加密，並然後執行電源可尋址協議以便將形式為用AES加密的IEEE 802.1x-PADDP包的加密指示轉發或傳輸給供電設備218。
在另一實施例內，本發明提供了一種向客戶提供信息技術安全服務以便控制由遠程網絡供電設備供電的遠程網絡設備的安全性的方法。該方法包括將安全標準嵌入為遠程無人網絡設備供電的無線供電設備內。優選地，該安全標準被包含在嵌入該供電設備的晶片上。該方法包括提供具有安全連接的用於控制無線供電設備的門戶。此外，該方法包括在將無線供電設備連結到門戶的無線接入點內實現安全標準。該方法還包括向該門戶註冊該無線供電設備、遠程無人網絡設備和無線接入點，經由門戶驗證該無線供電設備和無線接入點，並響應於由被授權客戶機發出的用於控制為遠程無人網絡設備供電的無線供電設備的指示，在門戶上執行用於在安全連接上傳送一個或多個安全通信的基於安全標準的電源可尋址協議。該驗證步驟還包括門戶使用用於驗證無線供電設備的該無線供電設備的供電身份，並具體地使用加密算法來加密該用於驗證無線供電設備的供電身份以及用於發送和接收包含供電身份的數據包的電源可尋址協議。類似地，門戶使用在註冊期間被分配給無線接入點的身份來驗證無線接入點。優選地，該方法包括保持請求訪問系統的所有客戶機以及訪問事務的結果或結局的日誌。此外，該執行步驟還包括使用加密算法加密由被授權的客戶機發出的指示，並將被加密的指示傳遞給無線供電設備。此外，註冊步驟包括為遠程無人網絡設備、無線供電設備和客戶機中的每一個指定任務組，以便在允許任何客戶機或用戶訪問以控制為遠程無人網絡設備供電的無線供電設備之前，門戶能夠證實或確認與被分配給供電設備的任務組(任務和/或組)以及被分配給遠程無人網絡設備的任務組有關的客戶機的驗證和授權。優選地，該安全標準是IEEE 802.1x標準，而該電源可尋址協議基於IEEE 802.1x標準。
在一實施例內，如圖3所示，該方法包括提供配置成執行用於驗證無線供電設備、遠程無人網絡設備、無線接入點和客戶機中的每一個的所有必需的步驟的門戶。在可選擇實施例內，如圖1和2所示，該方法包括提供利用安全標準(即IEEE 802.1x標準)的驗證伺服器，該伺服器被安全地連結或連接到門戶並被配置成存儲或訪問用於證實系統內的客戶機和/或設備的驗證數據或信息。具體地，該方法包括使用電源可尋址協議將供電身份和/或客戶機憑證從門戶傳送到驗證伺服器，從而將信息安全地傳遞給驗證伺服器，並且驗證伺服器能夠證實供電設備的供電身份和/或客戶機的客戶機身份。優選地，由該供電設備為其供電的一個或多個遠程無人網絡設備駐留於其上的網絡是有線網絡或無線網絡。更優選地，如果是無線網絡，則該無線網絡是無線LAN(區域網)，而如果是有線網絡，則優選地該有線網絡是基於乙太網的LAN或令牌環LAN。此外，遠程無人網絡設備駐留於其上的網絡還可以是有線或無線WAN(廣域網)。
轉到圖4，圖4示出門戶驗證供電設備(優選地為無線供電設備)的步驟。圖4示出系統400，其中無線接入點440在一端經由有線通信線路432連接到門戶430，而經由無線通信鏈路420連接到供電設備418。優選地，供電設備在其上(例如在晶片上)嵌入有IEEE 802.1x標準，並且無線接入點440是使能IEEE 802.1x的無線接入點440。當系統被設置時，如上所述，無線接入點440和供電設備418均向門戶430註冊。此外，系統被設置成使得無線接入點440和供電設備418被門戶430預先驗證。優選地，供電設備418被門戶430通過在門戶430上運行電源可尋址協議而驗證，門戶430執行基於AES的加密密鑰交換。例如，如果預先共享的密鑰是供電身份，則電源可尋址協議使用供電設備418的序列號作為預先共享的密鑰來執行基於AES的加密密鑰交換。具體地，如圖4所示，在步驟401內門戶430向供電設備418發出PADDP身份請求，供電設備418在步驟402內接收到該PADDP身份請求並在步驟404內將PADDP身份響應發送給門戶430。優選地，PADDP身份響應是供電設備的序列號，或者是基於該設備的序列號的秘密或預先共享的密鑰，或可選擇地是基於該設備序列號的IEEE 802.1x證書。門戶430在步驟403內接收到來自供電設備418的PADDP身份響應。如前文所述，門戶430自身可處理所有驗證(如圖3的實施例內所示)，或者門戶430可將從供電設備418接收到的驗證信息傳輸或傳遞到驗證伺服器(如圖1和2的實施例內所示)以便進行證實(圖4內未示出)。如果PADDP身份響應被門戶430證實(被門戶430本身直接證實或經由驗證伺服器間接證實)，則門戶430在步驟405內向供電設備418發出PADDP授權請求。供電設備418在步驟406接收到PADDP授權請求，並在步驟408通過PADDP授權響應作為答覆，該PADDP授權響應在步驟407內被門戶430接收。優選地，PADDP授權響應與在註冊過程期間在設置時被分配給供電設備418的任務組(任務和/或組)相關聯。同樣，門戶430直接證實該響應，或使用優選地基於IEEE802.1x標準的驗證伺服器以便進行證實。如果使用驗證伺服器，則驗證伺服器向門戶430發送成功或失敗消息。如果驗證成功，則門戶430向供電設備418發送PADDP成功消息。此外，優選地，無線接入點440被門戶430使用由IEEE 802.1x標準支持的驗證協議和方法來驗證。
現在參照圖5-7，這些圖示出控制為遠程無人網絡設備供電的遠程網絡供電設備的安全性的方法。具體地，圖5和7概述了涉及控制遠程網絡供電設備的安全性的步驟，其中該系統如圖1和2所示包括驗證伺服器。此外，圖6和7概述了涉及控制遠程網絡供電設備的安全性的步驟，其中該系統如圖3所示不包括驗證伺服器。轉到圖5，如圖5所示，客戶機通過在步驟504內經由前端應用向門戶發送訪問請求來請求訪問遠程網絡供電設備，該前端應用優選地為基於web的應用，所述訪問請求在步驟506被門戶接收到。優選地，門戶在步驟508內保持初始訪問請求的日誌，並在步驟510內向客戶機發送驗證請求。客戶機在步驟512從門戶接收到驗證請求，並在步驟514內向門戶發送驗證響應。門戶在步驟516從客戶機接收到驗證響應，並在步驟520將該驗證響應轉發給驗證伺服器。驗證伺服器在步驟522證實該驗證響應，並在步驟524向門戶發送驗證成功/失敗消息，該步驟結束應用伺服器的任務。門戶在步驟526接收到驗證成功/失敗消息。如果在步驟528驗證失敗，則門戶在步驟530向客戶機發送訪問被拒絕的消息，該消息在步驟532被客戶機接收到，並且會話終止或結束。此外，門戶在步驟536將關於訪問被拒絕的事務的數據記入日誌。如果在步驟528驗證成功，則門戶在步驟540基於客戶機驗證來確定客戶機授權。根據與供電設備有關的分配給客戶機的任務組以及客戶機被允許做什麼，門戶在步驟542向客戶機發送訪問被授權的消息，該消息在步驟544被客戶機接收到。門戶在步驟548將關於訪問被授權的事務的數據記入日誌。
可選擇地，如圖6所示，客戶機在步驟604通過向門戶發送請求來請求訪問供電設備，該請求在步驟606被門戶接收到。優選地，門戶在步驟608保留初始訪問請求的日誌，並在步驟610向客戶機發送驗證請求。客戶機在步驟612從門戶接收到驗證請求，並在步驟614內向門戶發送驗證響應。門戶在步驟616從客戶機接收到驗證響應，並且門戶在步驟618證實該驗證響應。如果在步驟620門戶確定該客戶機驗證失敗，則門戶在步驟622向客戶機發送訪問被拒絕的消息，該消息在步驟624被客戶機接收到，並且會話終止或結束。此外，門戶在步驟628將關於訪問被拒絕的事務的數據記入日誌。如果在步驟620驗證成功，則門戶在步驟632根據客戶機驗證來確定客戶機授權。根據與供電設備有關的分配給客戶機的任務組以及客戶機被允許做什麼，門戶在步驟634向客戶機發送訪問被授權的消息，該消息在步驟636被客戶機接收到。門戶在步驟640將關於訪問被授權的事務的數據記入日誌。
在任一實施例內，一旦客戶機被授權訪問，即客戶機已被認為是被授權的客戶機，則如圖7的步驟702所示，客戶機可訪問用於控制遠程網絡供電設備的web接口。客戶機在步驟704輸入控制供電設備的指示，門戶在步驟706從客戶機接收到指示，並在步驟708優選地使用AES加密來加密該指示並執行電源可訪問地址以將指示發送或傳輸給供電設備。供電設備在步驟710從門戶接收到客戶機指示，並在步驟712執行該客戶機指示。供電設備在步驟714將已執行的客戶機指示的確認發送給門戶，該確認在步驟716被門戶接收到。門戶在步驟718將該確認發送給客戶機，該確認在步驟720被客戶機接收到。客戶機然後結束該會話。此外，在結束會話之前，門戶在步驟724將關於客戶機指示事務的數據記入日誌。
此外，在另一實施例內，本發明包括一種其上安裝有專用於控制為遠程無人網絡設備供電的遠程網絡供電設備的安全性的軟體的計算機系統。具體地，該計算機系統包括計算機伺服器或等效設備、包含可編程軟體的計算機可讀存儲媒體(或更優選地為可編程媒體)，該可編程軟體的形式為可以被計算機系統執行以控制為遠程無人網絡設備供電的遠程供電設備的安全性)。可編程軟體包括向具有安全連接的門戶註冊遠程無人網絡設備和遠程網絡供電設備，使用基於嵌入該供電設備的安全標準的該供電設備的供電身份來驗證該供電設備，並響應於由用於控制為遠程無人網絡設備供電的供電設備的被授權的客戶機發出的指示，在門戶上執行用於在安全連接上傳輸一個或多個安全通信的電源可尋址協議。在一實施例內，可編程軟體還包括經由基於安全標準並安全地連結到門戶的驗證伺服器來證實供電身份。優選地，該安全標準是IEEE 802.1x標準，而該電源可尋址協議基於IEEE 802.1x標準。更優選地，IEEE 802.1x標準嵌入供電設備(優選地位於晶片上)。此外，供電身份優選地包括供電設備的唯一的序列號、基於該供電設備的唯一序列號的秘密或預先共享的密鑰、或基於供電設備的唯一序列號的IEEE 802.1x證書。更優選地，電源可尋址協議使用供電設備的供電身份來驗證供電設備。具體地，當在驗證期間交換密鑰時，電源可尋址協議使用加密算法(例如AES)來加密供電身份。此外，電源可尋址協議使用加密算法(例如AES)加密由被授權客戶機發出的指示，並使用電源可尋址協議來將被加密的指示以嵌入消息的形式(即被AES加密的IEEE 802.1x-PADDP包)傳輸給供電設備。優選地，門戶保持所有訪問請求/事務的記錄/日誌，其包括任何訪問請求的結果/結局。在一實施例內，供電設備是無線供電設備，並還包括無線接入點，該無線接入點在其上實現該安全標準並被安全地連結到該門戶以便將無線供電設備連接到該門戶。優選地，客戶機或用戶使用計算機終端或等效設備來訪問前端應用(更優選地為門戶上的基於web的應用)。
前述的對本發明的特定實施例的說明是為了例證和說明。它們不是窮盡性的或者將本發明局限於公開的精確形式，並且很明顯根據上述講授可以有許多修改和變型。所選擇和說明的實施例是為了最好地解釋本發明的原理及其實際應用，從而使本領域技術人員能夠最好地利用本發明以及具有適合於預期的特定使用的各種變型的各個實施例。本發明的範圍由權利要求
及其等同物所限定。
權利要求
1.一種用於控制遠程網絡供電設備的安全性的系統，所述系統包括在其上實現有安全標準並具有供電身份的遠程網絡供電設備；從所述遠程網絡供電設備供電的遠程無人網絡設備；具有安全連接的用於控制所述遠程網絡供電設備的門戶；和基於所述安全標準的電源可尋址協議，所述協議響應於由用於控制為所述遠程無人網絡設備供電的所述遠程網絡供電設備的被授權的客戶機發出的指示而在門戶上運行以便在所述安全連接上接收和發送一個或多個安全通信。
2.根據權利要求
1所述的系統，還包括使用所述安全標準並被安全地連結到所述門戶以便證實所述遠程網絡供電設備的驗證伺服器。
3.根據權利要求
1所述的系統，其中所述安全標準是IEEE 802.1x標準；而其中所述電源可尋址協議基於所述IEEE 802.1x標準。
4.根據權利要求
3所述的系統，其中所述門戶使用所述遠程網絡供電設備的所述供電身份來驗證所述遠程網絡供電設備。
5.根據權利要求
4所述的系統，其中所述供電身份包括所述遠程網絡供電設備的唯一的序列號、基於所述遠程網絡供電設備的唯一序列號的密鑰、以及基於所述遠程網絡供電設備的唯一序列號的IEEE 802.1x證書中的至少一個。
6.根據權利要求
5所述的系統，其中所述門戶使用基於所述安全標準的加密算法來加密所述供電身份以便驗證所述遠程網絡供電設備；並且其中所述電源可尋址協議使用基於所述安全標準的加密算法來加密由所述被授權的客戶機發出的所述指示，以便將所述被加密的指示傳輸給所述遠程網絡供電設備。
7.根據權利要求
5所述的系統，其中所述門戶使用由所述IEEE802.1x標準支持的驗證方法來驗證所述被授權的客戶機。
8.根據權利要求
5所述的系統，其中所述遠程無人網絡設備和所述遠程網絡供電設備均向所述門戶註冊，並且其中所述門戶將訪問所述系統的每個請求記入日誌，並且其中所述門戶將所述請求的任何結果記入日誌。
9.根據權利要求
5所述的系統，其中所述遠程網絡供電設備是無線遠程網絡供電設備，並且其中所述系統還包括無線接入點，在所述無線接入點上實現所述安全標準，並且所述無線接入點被連結到所述門戶以便將所述無線遠程網絡供電設備安全地連接到所述門戶。
10.一種用於向客戶提供信息安全服務的方法，所述方法包括以下步驟將安全標準嵌入為遠程無人網絡設備供電的無線網絡供電設備內；提供具有安全連接的用於控制所述無線供電設備的門戶；在將所述無線供電設備連結到所述門戶的無線接入點內實現所述安全標準；向所述門戶註冊所述無線供電設備、所述遠程無人網絡設備和所述無線接入點；經由所述門戶驗證所述無線供電設備和所述無線接入點；以及響應於由用於控制為所述遠程無人網絡設備供電的所述無線供電設備的被授權客戶機發出的指示，在所述門戶上執行基於所述安全標準的電源可尋址協議，以便在所述安全連接上傳送一個或多個安全通信。
11.根據權利要求
10所述的方法，還包括以下步驟保持請求訪問所述門戶的所有客戶機的日誌；並且其中所述安全標準是IEEE 802.1x標準，而其中所述電源可尋址協議基於所述IEEE 802.1x標準。
12.根據權利要求
11所述的方法，其中所述註冊步驟還包括以下步驟為所述遠程無人網絡設備、所述無線供電設備和所述客戶機中的每一個分配任務組，以便在允許任何訪問來控制為所述遠程無人網絡設備供電的所述無線供電設備之前，所述門戶能夠證實與所述無線供電設備和所述遠程無人網絡設備有關的所述客戶機的驗證和授權。
13.根據權利要求
11所述的方法，其中所述驗證步驟還包括以下步驟使用所述無線供電設備的供電身份來驗證所述無線供電設備；以及使用基於所述安全標準的加密算法來加密所述用於驗證所述無線供電設備的所述供電身份。
14.根據權利要求
11所述的方法，其中所述執行步驟還包括以下步驟使用加密算法加密由所述被授權的客戶機發出的所述指示，並將所述被加密的指示傳輸給所述無線供電設備。
專利摘要
公開了一種用於控制為遠程網絡設備供電的遠程網絡供電設備的安全性的系統和方法。該系統包括在其上實現有安全標準並具有供電身份的遠程網絡供電設備、從該供電設備供電的遠程無人網絡設備、具有安全連接的用於控制該供電設備的門戶、和基於該安全標準的電源可尋址協議，該協議響應於由用於控制為遠程無人網絡設備供電的供電設備的被授權的客戶機發出的指示而在門戶上運行以便在安全連接上接收和發送一個或多個安全通信。該門戶使用該供電設備的供電身份來驗證該供電設備。優選地，該安全標準是IEEE 802.1x標準，而該電源可尋址協議基於IEEE802.1x標準。
文檔編號H04L12/10GK1992722SQ200610132279
公開日2007年7月4日 申請日期2006年10月13日
發明者G·S·登頓 申請人:國際商業機器公司導出引文BiBTeX, EndNote, RefMan