NO335789B1 - Gjennomtrengende, brukersentrert nettsikkerhet aktivert med dynamisk datagramsvitsjing og autentiserings- og krypteringsordning på bestilling via mobile, intelligente databærere - Google Patents

Abstract

Det er beskrevet fremgangsmåter og systemer for å forbedre tilgangskontroll, administrativ overvåking, pålitelighet og fleksibilitet ved dataoverføring og fjern deling av dataprogrammer over et nett. Sikre, stabile nettforbindelser og effektive nett-transaksjoner blant en mengde brukere understøttes av en åpen og distribuert klient/tjener-arkitektur. Et datagramskjema er tilpasset for å muliggjøre dynamisk datagramsvitsjing som støtte for en mengde dataprogrammer og nett-tjenester. Det er beskrevet mobile intelligente databærere som åpner for implementering av et autentiserings- og krypteringsarrangement. De intelligent databærere er tilpasset for målrettet leveranse av brukeranvendelser til autoriserte brukere for derved å oppnå tilgangskontroll ikke bare til data, men også brukerprogrammer. I en utførelse er autentiserings- og krypteringsarrangementet basert på biometriske størrelser, fysiske eller prestasjonsmessige. De beskrevne fremgangsmåter og systemer kan med fordel anvendes i et foretaks nettmiljø for å understøtte et bredt spekter av forretningsmessige, forskningsrelaterte og administrative operasjoner.

Description

Foreliggende oppfinnelse gjelder generelt kommunikasjon over digitale nett. Særlig gjelder oppfinnelsen sikker dataoverføring og tilbud om fjerne brukertjenester i et åpent eller lukket nettmiljø. Nærmere bestemt er det fremskaffet fremgangsmåter og integrerte systemer for å forbedre tilgangskontroll, administrativ overvåking, pålitelighet og integritet ved data-overføring og fjerne brukeranvendelser (remote applications) som deles over et nett. De beskrevne fremgangsmåter og systemer anvender et datagramskjema som muliggjør dynamisk datagramsvitsjing ved transaksjoner over nettet for å støtte en mengde brukerprogrammer/anvendelser og nett-tjenester. I forskjellige utførelsesformer er det anordnet intelligente, mobile databærere som sørger for implementering av et autentiserings- og krypteringsarrangement. Den gjennomtrengende, brukersentrerte nettsikkerhet som mulig-gjøres av de beskrevne fremgangsmåter og systemer kan med fordel anvendes i blant annet finans- og bankmiljøer, nasjonale sikkerhetssystemer og militære informasjons-teknologisystemer (IT-systemer), forvaltningsnett for helsetjenester, IT-infrastrukturen for juridiske og andre profesjonelle rådgivningstjenester og forskjellige kommersielle, "online" transaksjonssystemer. Systemene og fremgangsmåtene i henhold til denne oppfinnelse kan implementeres i sammenheng med biometriske og andre egnede autentiseringsmidler.

Den digitale revolusjon ledsaget av globalisering har forandret folks liv på en hittil ukjent måte. Fremveksten og utviklingen av Internett "fyrer oppunder" ekspansjonen av eksisterende forretningsvirksomhet og fremmer at det dukker opp nye foretak på tvers av lande-grensene. Med dagens globale økonomi tjener et foretaks eller forskningsinstitusjons leve-dyktighet en stor del inn på institusjonens effektivitet med hensyn til behandling og forvaltning av informasjon. Dataoverføring og -forvaltning spiller en økende viktig rolle på en rekke industrielle områder. Ingeniører og visjonære forretningsfolk har stått overfor en betraktelig utfordring med hensyn til å innføre sikre nettsystemer som muliggjør stabil og effektiv dataoverføring, effektiv tilgangskontroll og fjern deling og forvaltning av bruker-programressurser blant spredte datamaskiner i tjeneste for en mengde brukere.

Forskjellige nettkonfigurasjoner er blitt benyttet i institusjonelle IT-infrastrukturer. Bruk av Ethernet, "token ring"- og klient/tjener-arkitektur er f.eks. vidt utbredt. Se for eksempel: Digital cellular telecommunications system (phase 2+); Universal Mobile Telecommunications System (UMST): 3G security; Access security for IP-based services (3GPP TS 33.203, Version 5.5.0, Release 5), ESTI TS 133 203, (1. mars 2003). Relaterte teknologier for datakryptering og -komprimering er likeledes kjent og er blitt utnyttet for å muliggjøre sikker dataoverføring. De eksisterende nettsystemer lider ofte av at data-transaksjoner snappes opp og nettforbindelser tapes. Det er generelt vanskelig å gjenopprette en tapt forbindelse. Det er enda mer utfordrende å gjenopprette en tapt forbindelses parametere nøyaktig for derved å sikre en fornyet forbindelse integritet. Data kan gå tapt og dataoverføringen vil måtte starte på nytt. Tapet kan bli permanent dersom man ikke kan etterspore og finne et terskelnivå for informasjonen for å muliggjøre en redning. Denne mangel på stabilitet kompromitterer i stor grad dataoverføringens nøyaktige korrekthet og utgjør således et fatalt problem for distribuert databehandling og -forvaltning. Vesentlige omkostninger påløper når man skal ta hånd om slike feil. Som bekreftet av de vanskeligheter man har støtt på de siste år ved direktekoblet elektronisk forretningsdrift, kan dette problem hemme et helt industrielt område.

Problemet med ustabil, og derved upålitelig, nettkommunikasjon er satt sammen av et ønske om fullstendige, robuste, brukervennlige og kostnadseffektive nettsikkerhets-løsninger for å sikre spredning av informasjon og forvaltning av brukeranvendelser i et distribuert IT-miljø for foretak. Private bedrifter og offentlige institusjoner lider ofte i like stor grad betraktelige økonomiske tap på grunn av brudd på sikkerheten. En stor del penger kastes også bort på ineffektive IT-sikkerhetsløsninger på grunn av forvaltning av informasjon og brukeranvendelser som ikke er samordnet.

Det er mangfoldige ulemper ved dagens nettsikkerhetsløsninger. I hovedsak er det verdt å angi fire aspekter. For det første mangler det et integrert system som sikrer et helt nett uten i alvorlig grad å begrense forretningens vekst. Organisasjoner er tvunget til å anvende en mengde produkter fra forskjellige leverandører for å oppfylle forskjellige sikkerhets-funksjoner. Hvert av disse produkter løser bare et begrenset aspekt av de samlede nett-sikkerhetsbehov. Som et eksempel krypterer ikke en brannmur data som skal overføres over Internett, et system for å påvise inntrengere (IDS - Intrusion Detection System) kan ikke bedømme og sikre at en person som innfører et autorisert påloggingsnavn og passord for en forbindelse i et virtuelt privat nett (VPN - Virtual Private Network) faktisk er den tiltenkte bruker og et VPN hjelper ikke en IT-avdeling til å overvåke brukerrettigheter og tilgangspolicy. Således er intet eksisterende system eller fremgangsmåte i stand til alene å beskytte ethvert aspekt av et nett. Å måtte falle tilbake på en mengde sikkerhetsprodukter fra konkurrerende leverandører skaper inkompatibilitetsproblemer. Å vedlikeholde et varierende antall sikkerhetsperiferiutstyr og programvarepakker kan også være ekstremt komplisert og i overskytende grad kostbart. I det hele tatt er sådanne lappverkløsninger mindre effektive med hensyn til å beskytte institusjonelle IT-rammeverk.

For det andre er dagens fokus rettet på å sikre utstyr og data. Sådanne systemsentrerte løsninger svikter med hensyn til å sikre tilgangspunktet hos enkeltbrukere som bruker utstyret. Dette iboende problem med dagens løsninger vil bli mer og mer fremtredende ettersom antallet utstyr og graden av brukermobilitet øker, og uunngåelig ettersom verden går over til allestedsnærværende databehandling.

For å forstå de iboende svakheter ved systemsentrerte systemer kan man betrakte forskjellige scenarier av kybernetiske forbrytelser (cyber-crimes). Kybernetiske forbindelser merkes ofte av at gjerningsmannen forsøker å skjule sin identitet, enten ved å gi seg ut for å være en annen eller dekke over sine tilbakelagte spor. Sådanne forsøk lykkes altfor ofte fordi den teknikk liksom brukes for å finne og verifisere brukerens identitet i det minste delvis er feilbarlig. Som et eksempel er de fleste passord lette å bryte, idet de ofte er for nærliggende eller er lagret på en anordning som lett kan kompromitteres. Eksisterende infrastrukturer som understøtter digitale sertifikater og offentlige/private nøkler utsettes også for misbruk. Derfor er eksisterende måter å identifisere brukere av nettutstyr på å sikre utstyret overfor disse brukere, dvs. systemsentrert, og seg selv en hemsko med hensyn til sikkerhet. Et høyt sikkerhetsnivå vil forbli en illusjon dersom intet effektivt middel tas i bruk for nøyaktig å angi identiteten av dem som forsøker å gjøre tilgang til et beskyttet nett. En vesentlig forandret tenkemåte er således berettiget for å oppnå bedre nettsikkerhet, dvs. fra å beskytte anordninger og data til å beskytte brukere. Et brukersentrert arrangement for å etablere og validere brukeridentiteter og derved muliggjøre mobil tilgang og hendelsesbasert, brukersentrert sikkerhet, er ønskelig.

For det tredje er eksisterende IT-sikkerhetsløsninger for kompliserte for vanlige brukere. Det forventes at gjennomsnittlige brukere skal utføre kompliserte sikkerhetsprosedyrer, hvilket ofte fører til feil og sikkerheten opphører i foretakets IT-miljø. Som et eksempel er VPN<T>er langtfra enkle med hensyn til deres installasjon, drift eller vedlikehold. Kryptering av elektronisk post innebærer ekstra arbeid, slik at svært få noen gang bryr seg om å gjøre det. Selv det å velge og huske et godt passord kan være for brysomt for mange folk. Å stole på brukere som ikke er IT-eksperter med hensyn til å utføre kompliserte sikkerhetsprosedyrer, virker ganske enkelt ikke. En vanlig bruker kan finne måter å gå rundt sikker-hetsprosedyrene på eller rett og slett ignorere dem. Det å vedlikeholde og drive en strøm av programvarebiter tømmer også ressursene i mange IT-avdeling og overgår deres evne eller kapasitet. Det behøves derfor en effektiv sikkerhetsløsning som er brukervennlig og som trekker med seg minst mulig ekstra omkostninger med hensyn til drift og administra-sjon.

Til sist er det, slik som på andre områder, en viss treghet i IT-sikkerhetsindustrien. Endringer og ny metodikk blir i noen grad avvist. Den eksisterende måte å gjøre ting på overlever og dominerer landskapet med nettsikkerhetsløsninger både på leverandør- og forbrukersiden. At man henger ved de eksisterende teknikker og bruker "kvikkplaster"-løsninger for forbedringer og modifikasjoner hemmer utviklingen av virkelige innovative løsninger.

Av de ovenfor nevnte grunner er det et behov for en ny tenkemåte med hensyn til nettsikkerhet, som gir den ønskede pålitelighet, effektivitet og brukervennlighet. Den type sikkerhetsløsning som kan tilfredsstille behovene ved distribuerte IT-rammeverk og under-støtte overalt tilstedeværende databehandling og informasjonsbehandling må ta for seg feilbarligheten ved eksisterende systemer.

En erfaren nettingeniør eller en belært bruker av IT-nett for forretningsdrift vil forstå viktigheten av bedre IT-sikkerhetsløsninger. For å oppnå dette vil en kort oversikt over historien om institusjonell databehandling og IT-nett være nyttig.

De første datamaskiner var hovedmaskiner (mainframes). Dette komplekse, monolittiske utstyr fordret et beskyttet miljø for å virke riktig. De kunne bare drives av erfarne ingeniører med meget spesialisert kunnskap. Tilgangen til dem var lukket og de var bare i begrenset grad forbundet med annet utstyr. Som et resultat var de lette å sikre.

Med ankomsten av den personlige datamaskin (PC - Personal Computer), utviklingen av nett-teknologien og særlig den nylige eksplosive vekst i Internett forandret den måte folk brukte å forholde seg til datamaskiner på. Størrelsen av datamaskinutstyret avtok og det kunne lett flyttes såvel som drives av legfolk under rettledning av et brukervennlig grensesnitt. Datamaskinene ble koblet sammen for å skape datanett og derved muliggjøre deling av informasjon og brukerprogrammer. Internett bragte nettets sammenkoblingsevne til sitt høydepunkt, dvs. den virkelige globale sammenkoblingsevne tilbudt massene. I tillegg til PCer av bordmodelltype og bærbar type ble personlige "digitale assistenter" (PDA'er), håndholdte PCer og mobiltelefoner populære blant mange mennesker som behøver nett-tilgang utenfor sitt hjem eller kontor.

De raske teknologiske fremskritt og ekspansjonen av forretningsbehov var en hittil ukjent utfordring for IT-avdelingene rundt omkring i verden. En stadig økende mengde data tilgjengelig fra et enormt stort antall utstyrsenheter behøver å bli beskyttet. Mot bakteppet av bredbåndsforbindelser som alltid er på, må også slik beskyttelse legges inn. Det regule-ringsmessige (eller lovmessige) initiativ i forskjellige land som tar for seg forhold omkring personvern og informasjonseierskap over Internett, kan også nevnes. Det er klart at det er behov for en nettsikkerhetsløsning som er teknisk robust og omfattende med hensyn til forretninger, særlig i betraktning av den neste, uunngåelige fase av IT-utviklingen, dvs. en som markeres av allestedsnærværende databehandling. Alt analogt utstyr blir og forventes å bli erstattet med sine digitale motstykker. Fjernsynsapparater, telefoner, CD'er og DVD'er, digitale kameraer, videokameraer og dataspill-plattformer vil alle understøtte til gang til Internett, om de ikke allerede gjør det. Etter som nettdatatilgang blir mulig overalt og hele tiden, blir behovet for å beskytte egne bedriftsdata og følsom privat informasjon mer presserende og vanskelighetsnivået med hensyn til å tilfredsstille sådanne behov heves tilsvarende.

Som reaksjon på utviklingen av den organisatoriske IT-infrastruktur og dagens mangler med hensyn til sikker nettkommunikasjon vil alt i alt fagfolk med normal erfaring innse behovet for systemer og fremgangsmåter som forbedrer sikkerheten, stabiliteten, effektiviteten og fleksibiliteten ved dataoverføring over nett, og i denne sammenheng, behovet for en ny tenkemåte for en sikker og pålitelig, foretaksmessig informasjonsforvaltning og deling av brukerprogrammer/anvendelser.

Det er derfor et formål for denne oppfinnelse å fremskaffe systemer og fremgangsmåter for forbedring av påliteligheten, fleksibiliteten og effektiviteten ved sikker dataoverføring og deling av brukeranvendelser over et nett. Særlig muliggjør fremgangsmåtene og systemene som her er beskrevet en åpen klient/tjener-arkitektur som understøtter sikre, fleksible nettforbindelser og pålitelige, effektive nett-transaksjoner blant en mengde brukere. Denne IT-nettplattform gir gjennomtrengende sikkerhet, dvs. sikkerhet på bestilling med broket nettforbindende utstyr, mens den er brukersentrert, dvs. den sikrer brukerne heller enn anordningene som brukerne benytter for å koble seg til et nett. Den gjennomtrengende og brukersentrerte sikkerhet kan innføres i henhold til en av utførelses-formene med de herværende, beskrevne systemer og fremgangsmåter til en hvilken som helst tid på et hvilket som helst sted ved bruk av en hvilken som helst nettanordning.

I en utførelse er det frembragt et datagramskjema som sørger for implementering av dynamisk datagramsvitsjing for understøttelse av en mengde brukeranvendelser og nett-tjenester. I en annen utførelse er det frembragt mobile, intelligente databærere som implementerer et autentiserings- og krypteringsarrangement for brukerautentisering. Den gjennomgripende, brukersentrerte nettsikkerhet i henhold til denne oppfinnelse kan med fordel plasseres inn i et hvilket som helst foretaks IT-miljø hvor det brukes et distribuerende datanett, innbefattet f.eks. styresmakter, det militære, produsenter, økonomiske tjenester, forsikring, helse og omsorg, og farmasøytisk industri. I henhold til forskjellige utførelses-former kan denne IT-sikkerhetsplattform muliggjøre en lang rekke forretningsoperasjoner, innbefattet blant annet lagerhold, salg, kundetjeneste, markedsføring og annonsering, telefonkonferanser og fjern deling av mange slags brukeranvendelser. I visse utførelses-former kan systemene og fremgangsmåtene i henhold til denne oppfinnelse implementeres i sammenheng med biometriske og andre egnede autentiserende metodikker. Foreliggende oppfinnelse fremskaffer således en nettsikkerhetsplattform som er distinkt sammenlignet med eksisterende lappverksløsninger. Det gjøres en helhetlig tilnærming og en eneste løsning er funnet som tillater organisasjoner å beskytte hele nettet ettersom nettet dynamisk gir sine ressurser til brukere rundt omkring i verden og som kobler seg til gjennom diverse typer utstyr eller brukerprogramgrensesnitt. Nettsikkerhetsplattformen i henhold til denne oppfinnelse fokuserer på å sikre brukeren, ikke de forskjellige nettverts-anordninger som brukes av brukeren. Et sådant brukersentrert arrangement gir hittil ukjent enkelhet og fleksibilitet som i sin tur gir nettsystemet forbedret brukervennlighet. Den forbedrede sikkerhet er transparent overfor brukeren og likevel kan brukeraktivitetene bli effektivt overvåket om det er behov for det. IT-avdelingene har fullstendig kontroll over alle brukertilganger.

I henhold til denne oppfinnelse er det i en utførelse fremskaffet et system for sikker nettforbindelse mellom en eller flere brukere og i det minste en nett-tjener. Systemet omfatter i det minste en intelligent databærer utstedt til en bruker, idet den intelligente databærer har i det minste (i) en hukommelse tilpasset for å lagre data (ii) en inngangs/utgangsanordning tilpasset for å innføre og ta ut data og (iii) en prosessor tilpasset for å behandle dataene lagret i hukommelsen, idet den intelligente databærer er i stand til å koble seg til et vertsdatamaskinutstyr for derved å overføre data via nevnte inngangs/utgangsanordning over nettet, og hvor den intelligente databærer er tilpasset for å opprette en nettidentitet for brukeren gjennom et autentiserings- og krypteringsarrangement, og en dynamisk datagramsvitsj for dynamisk å tildele og utveksle datagrammer for en mengde brukeranvendelser i en tjeneste til den ene eller flere brukere.

I henhold til en utførelse er den intelligente databærer mobil. I henhold til en annen ut-førelse er den intelligente databærer implementert ved bruk av en USB-nøkkel, Compact Flash, Smart Media, Compact Disk, DVD, PDA, firewire device og token device.

I henhold til nok en annen utførelse omfatter autentiserings- og krypteringsarrangementet de etterfølgende sekvensielle trinn: (a) en anmodning som forårsakes for å fremsende fra den intelligente databærer til nett-tjeneren at den intelligente databærer skal autentiseres, (b) nett-tjeneren presenterer overfor den intelligente databærer en mengde autentiseringsmetoder, (c) den intelligente databærer velger ut en autentiseringsmetode fra mengden gjennom en hendelse, (d) nett-tjeneren sender på grunnlag av den valgte metode en begjæring til den intelligente databærer om autentiseringsdata fra den intelligente databærer, (e) nett-tjeneren omdanner autentiseringsdataene mottatt fra den intelligente databærer til en eller flere dataautentiseringsobjekter, idet hvert dataautentiseringsobjekt er et datavektorobjekt som er i stand til å bli analysert ved bruk av én eller flere klassifiserere, (f) nett-tjeneren analyserer dataautentiseringsobjektene i henhold til den ene eller flere klassifiserere for derved å bestemme resultatet av autentiseringen og (g) nett-tjeneren sender resultatet til den intelligente databærer, som angir et vellykket eller mislykket autentiseringsforsøk.

I henhold til en ytterligere utførelse er hendelsen i trinn c) et klikk på en datamus, en berøring på en skjerm, et tastetrykk, en ytring eller en biometrisk måling.

I henhold til enda en ytterligere utførelse omfatter begjæringen i trinn (e) i det minste en pseudo-vilkårlig og en helt vilkårlig kode. En pseudo-vilkårlig kode genereres på grunnlag en matematisk forhåndsberegnet liste. En sann vilkårlig kode genereres ved prøvetagning og behandling av en entropikilde utenfor systemet.

I henhold til en annen utførelse utføres kodeomvandlingen med en eller flere slumptallgeneratorer og et eller flere selvstendige frø.

I henhold til en ytterligere utførelse er analysen i trinn f) basert på en eller flere analyseregler. I nok en ytterligere utførelse omfatter den ene eller flere analyseregler klassifisering i henhold til den ene eller flere klassifisere i trinn e).

I henhold til en annen utførelse er klassifiseringen stemmegjenkjenning, idet dataobjektvektorene innebærer to klasser, målstemmen og bedrageren. Hver klasse er kjennetegnet med en sannsynlighetstetthetsfunksjon og beslutningen i trinn (f) er et binært beslutningsproblem.

I henholdt til nok en annen utførelse omfatter beslutningen i trinn (f) at enten beregnes summen, suvereniteten eller sannsynligheten ut fra den ene eller flere datavektorobjekter på grunnlag av den ene eller flere klassifisere i trinn (e). I nok en annen utførelse er summen enten en suveren eller vilkårlig sum beregnet ut fra det ene eller flere datavektorobjekter.

I henhold til en ytterligere utførelse omfatter den ene eller flere klassifisere i trinn e) en superklassifiserer utledet fra mer enn ett datavektorobjekt.

I henhold til nok en ytterligere utførelse er superklassifisereren basert på fysiske biometriske størrelser, slik som enten stemmegjenkjenning, fingeravtrykk, håndavtrykk, blodkar-mønster, DNA-prøver, avsøkning av nett- eller regnbuehinne, og ansiktsgjenkjenning. I andre utførelser er superklassifisereren basert på biometriske utførelsesstørrelser, slik som vaner eller individers oppførselsmønster.

I henhold til et ytterligere aspekt omfatter autentiserings- og krypteringsarrangementet asymmetrisk og symmetrisk flerchifferkryptering. I nok en ytterligere utførelse utnytter krypteringen i det minste enten tilbakekobling av avgivelse, tilbakekobling av chiffer, chifferblokksammenkjeding og chifferfremsending. I andre utførelsesformer er krypteringen basert på en avansert krypteringsstandard (AES - Advanced Encryption Standard) ifølge Rijndael.

I henhold til nok en annen utførelse utnytter autentiserings- og krypteringsarrangementet sikker nøkkelutveksling (SKE - Secure Key Exchange). I en utførelse benytter SKE et offentlig nøkkelsystem. I en annen utførelse benytter SKE private nøkler i et elliptisk kurvekryptosystem (ECC - Elliptic Curve Cryptosystem).

I henhold til nok en annen utførelse innebærer autentiserings- og krypteringsarrangementet i det minste enten en logisk test tilpasset for å bedømme om den intelligente databærer er blitt registrert hos tjeneren, en anordningstest tilpasset for å bedømme de fysiske parametre for den intelligente databærer og vertsdatamaskinutstyret, eller en persontest tilpasset for å autentisere brukeren på grunnlag av data på hendelsesnivå.

I henhold til en ytterligere utførelse omfatter mengden av brukeranvendelser i det minste enten vindusbaserte tjeneranvendelser for fjerne terminaler, brukerprogrammer på 3270/5250-terminalemulatorerfor hovedmaskiner, idet de direkte innebygde brukerprogrammer omfatter i det minste enten databaseprogrammer, dataanalyseverktøy, verktøy for kunderelasjonsforvaltning (CRM - Customer Relation Management) og pakker for planlegging av foretaksressurser (ERP - Enterprise Resource Planning).

I henhold til en annen utførelse omfatter den dynamiske datagramsvitsj et datagramskjema og en syntaksanalysator (parser). Datagramskjemaet inneholder to eller flere datagrammer som tilhører en eller flere datagramtyper. Datagrammet er tilpasset for å bære (i) innholdsdata for nettoverføring og (ii) annen informasjon for forvaltning og styring av nettforbindelser og bærernettanvendelser. Hver datagramtype omfatter en mengde funksjoner. Syntaksanalysatoren er tilpasset for å analysere den ene eller flere datagramtyper.

I henhold til nok en utførelse omfatter datagramskjemaet i det minste en hoveddatagramtype og innenfor den ene hoveddatagramtype i det minste en underordnet datagramtype.

I henhold til nok en annen utførelse er syntaksanalysatoren i stand til å analysere en matrise av datagramtyper. I en ytterligere utførelse omfatter matrisen en første mengde hoveddatagramtyper og i hver hoveddatagramtype i den første mengde en andre mengde underordnede datagramtyper. I henhold til en annen utførelse velges hoveddatagramtypen fra en gruppe bestående av (i) tjenermeldinger og datagrammer for forbindelsesstyring tilpasset for å autentisere og regulere brukerforbindelser, (ii) innholdsdatagrammer tilpasset for å overføre innholdsdata, (iii) kringkastingsdatagrammer tilpasset for å forvalte data-overføring av typen punkt til punkt, punkt til flere punkter og fra flere punkter til flere punkter, (iv) (proxy) datagrammer for forbindelses-"fullmakt" tilpasset for å overføre bufferdata (proxy data) mellom nett-tjeneren og den intelligente databærer (v) meldinger av øyeblikkstype tilpasset for å overføre meldinger i sann tid, (vi) datagrammer for overføring av stort innhold tilpasset for å overføre data- og mediafiler av overskytende størrelse, (vii) brukerkatalogdatagrammer tilpasset for å søke etter nettbrukere og (viii) datagrammer for fjernforvaltning tilpasset for fjernstyring av nettbrukere.

I henhold til en annen utførelse har hvert datagram i datagramskjemaet en generisk layout som innbefatter (A) et innledningsfelt for (i) en eller flere hoveddatagramtyper, (ii) en eller flere underordnede datagramtyper (ii) datagramlengde og (iii) datagramkontrollsum og (B) datagramnyttedata for å bære data under overføringen.

I nok en annen utførelse omfatter den generiske layout en eller flere ytterligere innledende felter. I en ytterligere utførelse følger den generiske layout en TCP-innledning.

I henhold til en annen utførelse omfatter den intelligente databærer også en "radartilkobling", idet radartilkoblingen har et grensesnitt mot nettet og er tilpasset for å overvåke og regulere nettforbindelsene. I nok en annen utførelse omfatter nett-tjeneren også en radartilkobling tilpasset for å overvåke og regulere nettforbindelser. Nett-tjenerens radartilkobling forbindes med den intelligente databærers radartilkobling over nettet. I en ytterligere utførelse er radartilkoblingen også tilpasset for å påvise tap av forbindelser og iverksette kontakt med nett-tjeneren for derved å gjenopprette forbindelser.

I henhold til nok en annen utførelse omfatter systemet for sikker nettforbindelse også en injektor tilpasset for å forbinde et eksisterende nett med nett-tjeneren og overføre data mellom det eksisterende nett og den intelligente databærer via nett-tjeneren, idet nevnte eksisterende nett er kablet eller trådløst. I nok en annen utførelse omfatter injektoren også en "radartilkobling" som har grensesnitt til nettet og er tilpasset for å overvåke og regulere nettforbindelser.

I henhold til foreliggende oppfinnelse er det i en annen utførelse fremskaffet et klient/tjener-kommunikasjonssystem som omfatter i det minste en tjener og en klient. Tjeneren har en dynamisk datagramsvitsj for dynamisk tildeling og utveksling av datagrammer for en mengde nettanvendelser. Klienten er en intelligent databærer som er i stand til å forbindes med ethvert datamaskinutstyr for derved å overføre data via inngangs/utgangsanordningen over nettet. Den intelligente databærer er tilpasset for å opprette en nettbrukeridentitet via et autentiserings- og krypteringsarrangement for sikker dataoverføring mellom tjeneren og klienten.

i henhold til en annen utførelse omfatter klient/tjener-kommunikasjonssystemet også en injektor tilpasset for å forbinde et eksisterende nett med tjeneren og overføre data mellom det eksisterende nett og klienten via tjeneren. Det eksisterende nett er et kablet eller trådløst nett.

I henhold til nok en annen utførelse omfatter tjeneren, klienten og injektoren alle en radartilkobling. Radartilkoblingen har grensesnitt mot nettet og er tilpasset for å overvåke og regulere nettforbindelsene. Klientens radartilkobling forbindes med tjenerens radartilkobling over nettet og injektorens radartilkobling forbindes med tjenerens radartilkobling over nettet.

I henhold til en ytterligere utførelse omfatter tjeneren i klient/tjener-kommunikasjonssystemet også et kryptert, virtuelt filsystem for reservert datalagring for klienten.

I henhold til foreliggende oppfinnelse er det i nok en annen utførelse fremskaffet en intelligent databærer som omfatter i det minste (i) en hukommelse tilpasset for å lagre data, (ii) en inngangs/utgangsanordning tilpasset for å innføre og avgi data og (iii) en prosessor tilpasset for å behandle data lagret i nevnte hukommelse. Den intelligente databærer er i stand til å forbindes med et vertsdatamaskinutstyr på et nett for derved å over-føre data via sin inngangs/utgangsanordning over nettet. Dataoverføringen skjer via dynamisk svitsjede datagrammer. Den intelligente databærer er i stand til å opprette en nettbrukeridentitet ved hjelp av et autentiserings- og krypteringsarrangement for sikker n ettd atao ve rf ø ri ng.

I henhold til foreliggende oppfinnelse er det i enda en annen utførelse fremskaffet en fremgangsmåte for sikker nettkommunikasjon. Fremgangsmåten omfatter at det til en nettbruker tildeles en intelligent databærer som er i stand til å forbindes med et vertsdatamaskinutstyr på nettet for derved å overføre data via sin l/U-anordning over nettet og opprette en nettidentitet for nettbrukeren ved hjelp av et autentiserings- og krypteringsarrangement, og hvor en dynamisk datagramsvitsj anordnes i en tjener på nettet for dynamisk å tildele og utveksle datagrammer som understøttelse for en mengde bruker- programanvendelser. I forskjellige utførelser utfører fremgangsmåten autentisering, kryptering og vilkårliggjøring i forbindelse med datavektorobjekter. I noen utførelser brukes superklassifiserere, særlig sammen med fysiske og oppførselsmessige, biometriske målinger.

I henhold til foreliggende oppfinnelse er det i en ytterligere utførelse fremskaffet en fremgangsmåte for mållevering av ett eller flere brukerprogrammer til en bruker. Fremgangsmåten omfatter at det til brukeren tildeles en intelligent databærer tilpasset for å settes inn i et vertsdatamaskinutstyr som forbindes med et nett på hvilket det sitter en nett-tjener og kommuniserer med nett-tjeneren over nettet, idet nett-tjeneren kommuniserer med den intelligente databærer via dynamisk svitsjede datagrammer, og hvor tjeneren autentiserer brukeren ved hjelp av et autentiserings- og krypteringsarrangement og gir brukeren tilgang til en eller flere brukeranvendelser eller -programmer ved vellykket autentisering.

I henhold til en annen utførelse er den ene eller flere brukeranvendelser forhåndslastet på den intelligente databærer eller installert på nett-tjeneren eller vertsdatamaskinutstyret. I nok en annen utførelse forbindes vertsdatamaskinutstyret med nettet via kablet eller trådløst utstyr. Vertsdatamaskinutstyret kan være en borddatamaskin eller bærbar datamaskin, en personlig digital assistent (PDA), en mobiltelefon, et digitalt fjernsynsapparat, en audio- eller videospiller, en dataspillkonsoll, et digitalt kamera, en kameratelefon eller et apparat for hjemmet gjort klart for nettforbindelse.

I henhold til en ytterligere utførelse kan den ene eller flere brukeranvendelser være vindusbaserte tjeneranvendelser for fjerne terminaler, brukeranvendelser på 3270/5250-terminal-emulatorer for hovedmaskiner, direkte innebygde brukerprogrammer og multimediaprogrammer. De direkte innebygde brukerprogrammer omfatter i det minste et databaseprogram, dataanalyseverktøy, verktøy for kunderelatert forvaltning (CRM) eller pakker for planlegging av foretaksressurser (ERP).

Det er vedføyd tegninger, på hvilke:

Fig. 1 viser interaksjonene mellom en klient, en tjener og en injektor i henhold til en ut- førelse av denne oppfinnelse, Fig. 2 viser en objektvektors superklassifiserer i henhold til en annen utførelse av denne

oppfinnelse,

Fig. 3 viser en syntaksanalysator for datagrammer i henhold til en annen utførelse av denne oppfinnelse og som inneholder de forskjellige komponenter, moduler og prosesser som dette innebærer, Fig. 4 er en generisk layout av et datagram i henhold til en annen utførelse av denne

oppfinnelse,

Fig. 5 viser en intelligent databærer og de forskjellige moduler og prosesser som er

installert i denne i henhold til en annen utførelse av denne oppfinnelse,

Fig. 6 viser en klient i henhold til en annen utførelse av denne oppfinnelse og som

omfatter de forskjellige komponenter, moduler og prosesser som dette innebærer, Fig. 7 viser en tjener i henhold til en annen utførelse av denne oppfinnelse og som omfatter de forskjellige komponenter, moduler og prosesser som dette innebærer, og Fig. 8 viser en injektor i henhold til en annen utførelse av denne oppfinnelse og som

omfatter de forskjellige komponenter, moduler og prosesser som dette innebærer.

Kort drøftelse av relevant terminologi

De etterfølgende uttrykk, slik som nett, klient, tjener, data, datavektorobjekt (også omtalt som dataobjektvektor og objektvektor), klassifiserer (eller sorterer), beslutningstagning, deterministisk analyse, objektbasert deterministisk analyse (også omtalt som objektanalyse), vilkårlig tall, slumptallgenerator, frø, vilkårliggjøring, sannsynlighet, sannsynlighetstetthetsfunksjon, autentisering, privat nøkkel, offentlig nøkkel, elliptisk kurve kryptografi (ECC), ECC-signatur, syntaksanalysator, pakke, innledning, TCP, UDP, brannmur, univer-sell, seriebuss (USB), Apple seriell buss (ASB), seriell port, parallell port, berettigelsesmerke (token), brannmur, såvel som andre relevante uttrykk i den foreliggende beskrivelse skal forstås i samsvar med deres typiske betydning etablert på det relevante område, dvs. på matematikk- og datavitenskapsområdene, innen informasjonsteknologi (IT), fysikk, statistikk, kunstig intelligens, digitale nett, nettkommunikasjon, Internett-teknikk, kryptografi, kryptering og dekryptering, komprimering og dekomprimering, klassifisert ngs-teori, forutsigelsesmodulering, beslutningstagning, stemmegjenkjenning og biometri.

De etterfølgende uttrykk, slik som sikker nøkkelutveksling (SKE - Secure Key Excange), avansert krypteringsstandard (AES - Advance Encryption Standard), offentlig nøkkel-infrastruktur (PKI - Public Key Infrastructure), krypterte virtuelle filsystemer (EVFS - Encrypted Virtual File Systems), virtuelt privat nett (VPN), inntrengerpåvisende system (IDS

- Intrusion Detection System), demilitarisert sone (DMZ), personlig digital assistent (PDA), USB-nøkkel, USB-berettigelsesmerke, USB-sikringsenhet (dongle), sikringsenhet for parallell port, sikringsenhet for seriell port, utstyr for hurtig, seriell eksternbuss (firewire), utstyr for berettigelsesmerke, smartkort, smart media, kompakt flash, smart digital media, DVD, Compact Disk, standard for etikettsvitsjing ifølge flere protokoller (MPLS - Multi-protocol Label Switching Standard), lettvekts katalogtilgangsprotokoll (LDAP - Lightweight Directory Access Protocol), elektronisk datautveksling (EDI - Electronic Data Exchange), Internettprat-utveksling (IRC - Internett Relay Chat), syklisk retundans kontrollsum (CRC -

Cyclic Redundancy Checksum), terminalidentifikator (TID) såvel som andre relevante uttrykk i foreliggende beskrivelse, skal forstås i samsvar med deres typiske mening etablert innen IT-industrien, elektronikk eller kommersielle tjenester "online", og særlig innen nettsikkerhet og ethvert relatert felt.

Slik det brukes her betegner et nett en hvilken som helst gruppe anordninger som kan danne et nettverk sammenkoblet via et medium (slik som fiberoptisk kabel) egnet for over-føring av digitale og/eller analoge data over en distanse. Et nett kan være et åpnet nett, slik som Internett, eller et lukket nett, slik som et intranettsystem hos et foretak. Det nett-klargjorte utstyr også betegnet nettforbindelsesutstyr, forbindelsesutstyr eller -anordning kan være en datamaskin, en digital mobiltelefon, en PDA, et digitalt kamera, et digitalt audio/video-kommunikasjonsutstyr eller en hvilken som helst annen enhet som kan forbindes med et nett via kabel eller trådløst utstyr. Det nettforbindende utstyr kan være en klient eller en tjener slik som omtalt i denne beskrivelse. I en utførelse kan forbindelsesutstyret også betegne en vertsdatamaskin for en mobil klient, slik som en intelligent databærer. Se diskusjonen nedenfor om klienten som en intelligent databærer. I noen utførelser kan et nett inneholde en eller flere sådanne klienter og en eller flere sådanne tjenere. I andre utførelser kan et nett også inneholde en eller flere injektorer, drøftet nedenfor i den detaljerte beskrivelse av denne oppfinnelse.

Slik det brukes her gjelder et virtuelt privat nett (VPN) sikkerhetsprosedyrer og tunnelover-føring av data for å oppnå personvern ved nett-transaksjoner samtidig som offentlige nettinfrastrukturer, slik som Internett, deles. Tunneloverføring av data betegner overføring av beskyttede data, slik som sådanne data som eies av et foretak eller som tilhører et individ, gjennom et offentlig nett. De rutende knutepunkter i det offentlige nett er ikke klar over at overføringen er en del av et privat nett. Tunneloverføring skjer typisk ved at de private nettdata og protokollinformasjon innkapsles i offentlige nettoverføringsenheter, slik at den private nettprotokollinformasjon ser ut som data for det offentlige nett. Tunnel-overføring gjør det mulig å utnytte Internett for å sende data på vegne av et privat nett. Det er blitt utviklet tallrike protokoller for tunneloverføring og blant disse er punkt til punkt tunnelprotokollen (PPTP) utviklet av Microsoft og flere andre selskaper, generisk rutings-innkapsling (GRE - Generic Routing Encapsulation) utviklet av Cisco Systems, og lag 2-tunnelprotokollen (L2TP - Layer Two Tunneling Protocol) eksempler. Tunneloverføring og bruk av et VPN er ikke en erstatning for kryptering med hensyn til å sikre en sikker data-overføring. Kryptering kan brukes i sammenheng med og innen et VPN.

Som brukt i foreliggende beskrivelse betegner biometri eller biometriske størrelser kjennetegn ved individer, slik som fysiske eller oppførselsmessige, som brukes for å etablere brukeridentiteter i den hensikt å autentisere en bruker og på riktig måte autorisere eller nekte adgang til et beskyttet institusjonsnett eller en beskyttet informasjonskilde. Fysiske biometriske størrelser omfatter stemmegjenkjenning (dvs. stemmeverifisering), fingeravtrykk, håndavtrykk, blodkarmønstre, DNA-tester, avsøkning av nett- eller regnbuehinne, ansiktsgjenkjenning og andre ting. Biometriske ytelsesstørrelser omfatter vaner eller mønstre ved individers oppførsel.

Slik data brukes her betegner det en hvilken som helst opplysning eller informasjon som kan overføres over et nett. Data brukes om hverandre i forskjellige utførelsesformer med utrykk som digital informasjon eller bare informasjon. Innholdsdata betegner sådanne data som er beregnet på overføring fra en bruker over et nett. I f.eks. en finansinstitusjon eller bank utgjør kundekontoinformasjon en type innholdsdata som kan overføres blant en eller flere klienter og tjenere som brukes eller drives av forskjellige, autoriserte kontoforvaltere og systemadministratorer. Kontobetalingsinformasjon vil være en type innholdsdata i sammenheng med EDI-transaksjoner. Et annet eksempel på en annen type innholdsdata er lagerinformasjon om råmaterialer og ferdige produkter i en produksjonsbedrift og disse data sendes ofte blant klienter og tjenere i en sådan bedrift for tilgang av produksjons-ingeniører og personell som planlegger salg. Multimediadata, slik som audio- eller video-filer, representerer nok en annen form for innholdsdata. Med transaksjonsdata som også betegnes forbindelsesdata, menes i foreliggende beskrivelse en hvilken som helst opplysning som angir tilstanden av nettforbindelsen mellom en klient og en tjener og data-overføringen dem imellom. Dataene innbefatter blant annet opplysning om tilstanden av brukerautentiseringen og fremgangsmåtene ved autentisering.

Datakomprimering og -kryptering kan, slik som brukt i denne beskrivelse, implementeres i samsvar med den typiske praksis på området. Mange slags spesifikasjoner og algoritmer for komprimering/dekomprimering og kryptering/dekryptering er velkjent på området og mange produkter er allment eller kommersielt tilgjengelig og de kan utnyttes i fremgangsmåtene og systemene i henhold til forskjellige utførelsesformer av denne oppfinnelse.

Slik brukergrensesnitt benyttes her, betegner det en hvilken som helst datamaskin-anvendelse eller -programmer som gjør det mulig å samvirke med en bruker. Et brukergrensesnitt kan være et grafisk brukergrensesnitt (GUI - Graphical User Interface), slik som en nettleser. Eksempler på sådanne nettlesere innbefatter Microsoft Internett Explorer og Netscape Navigator. I alternative utførelser kan et brukergrensesnitt ganske enkelt være et grensesnitt i form av en enkel kommandolinje. Et brukergrensesnitt kan også omfatte pluggbare verktøy som utvider eksisterende anvendelser og understøtter samvirket med vanlige borddatamaskiners programmer, slik som Microsoft Office, ERP-systemer osv. Et brukergrensesnitt kan dessuten i noen utførelser være et hvilket som helst punkt hvor informasjon innføres, slik som blant annet en knappsats, en PDA, en mikrofon eller en hvilken som helst type biometrisk inngangsenhet.

Slik uttrykket "radartilkobling" brukes her betegner det en modul som er tilpasset for å overvåke og regulere nettforbindelser. Den kan være bygget inn i eller forbundet med en klient, en tjener eller en injektor i henhold til ulike utførelsesformer. I visse utførelsesformer er klientens radartilkobling tilpasset også for å oppdage tapte forbindelser og sette igang kontakt med tjeneren for derved å gjenopprette forbindelser. Den ser først etter å koble seg til en port og deretter overvåker den fortløpende nettforbindelsene, og når en tapt nettforbindelse oppdages, forsøker den å opprette forbindelsen på ny ved å anrope tjeneren. På tjenersiden kan radartilkoblingen forbli aktiv hele tiden og overvåke tilstanden av forbindelsene med forskjellige klienter.

Gjennomgripende eller allesteds nærværende databehandling (pervasive computing) er i denne beskrivelse benyttet for å betegne den økte og utbredte bruk av nettdatamaskiner heller annet digitalt utstyr for folks arbeid og hjemmelige affærer. Den raske vekst av digital og nettklargjort elektronikk og hjemlige apparater (f.eks. mobiltelefoner, digital-TV, PDA, navigeringssystem (GPS - Global Positioning System), kameratelefoner og nett-tilkoblede mikrobølgeovner, kjøleskap, vaskemaskiner, tørketromler og oppvaskmaskiner, osv.) og de allesteds nærværende bredbåndede Internett-forbindelser markerer en æra med "pervasive computing".

Slik uttrykket gjennomtrengende sikkerhet (pervasive security) er brukt for forskjellige utførelser betegner det en nettsikkerhetsplattform som gir sikkerhet på bestilling ved å bruke et eller flere nettvertsutstyr eller forbindelsesutstyr. Brukersentrert i henhold til denne beskrivelse betegner at systemet sikrer den ene eller flere brukere i stedet for et eller flere datamaskinvertsutstyr benyttet av brukerne for å koble seg til nett-tjeneren. Den gjennomtrengende og brukersentrerte sikkerhet kan oppnås i en utførelse ved å bruke systemene og fremgangsmåtene i henhold til denne oppfinnelse hvor som helst og til en hvilken som helst tid ved å bruke et hvilket som helst nettutstyr.

Et datagram er definert som "en selvinneholdende, uavhengig entitet av data som bærer tilstrekkelig informasjon til å bli rutet fra en kildedatamaskin til en datamaskin på et bestem-melsessted uten å være avhengig av tidligere utvekslinger mellom denne kildedatamaskin og datamaskinen på bestemmelsesstedet og transportnettet". Se Encyclopedia of Technology Terms, Whatis.Com, QUE, november 2001. Datagram og pakke kan brukes om hverandre. Id.

I forskjellige utførelser av denne oppfinnelse kan uttrykket "intelligent databærer" (IDC - Intelligent Data Carrier) og uttrykket "klient" brukes om hverandre. En intelligent databærer omfatter i det minste (i) en hukommelse tilpasset for å lagre data, (ii) en inngangs/utgangs-anordning tilpasset for å innføre og avgi data og (iii) en prosessor tilpasset for å behandle data lagret i nevnte hukommelse. En intelligent databærer er i stand til å forbindes med et vertsdatamaskinutstyr for derved å overføre data via sin l/U-anordning over nettet. Den er også i stand til å opprette en nettidentitet for en nettbruker ved hjelp av et autentiserings/krypteringsarrangement i henhold til visse utførelser av denne oppfinnelse. I en utførelse er den intelligente databærer mobil. Den intelligente databærer kan være implementert med eller på en USB-nøkkel, en enhet for hurtig, ekstern seriell buss, smartkort, Compact Disk, DVD, Smart Media, Compact Flash, PDA, smart digitaldata eller et berettigelsesmerkeutstyr. Et berettigelsesmerkeutstyr kan være en programvaresikrings-enhet, slik som en sikringsenhet for en seriell port eller for en parallell port, en hvilken som helst generatoranordning for engangspassord eller et systemtilgangsutstyr. Andre digitale medialesere kan implementeres som intelligente databærere i henhold til denne oppfinnelse. De er i stand til å forbindes med en lang rekke vertsdatamaskinutstyr gjennom forskjellige porter eller drivere og på ulike måter. Den intelligente databærer bærer alle data og det som er nødvendig for å opprette sikre nettforbindelser på vegne av brukeren og starte brukerprogrammer på bestilling så snart brukeren er riktig autentisert av tjeneren. Se den detaljerte drøftelse nedenfor av en klient som intelligent databærer.

Nettkommunikasjonssystem med klient/tjener-injektor

Et klient/tjener-kommunikasjonssystem er fremskaffet i en utførelse av denne oppfinnelse, som omfatter en eller flere klienter og en eller flere tjenere. Hver klient er en intelligent databærer som er i stand til å understøtte et autentiserings- og krypteringsarrangement for sikre forbindelser til en nett-tjener. Se drøftelsen nedenfor av en klient som intelligent databærer. Systemet muliggjør brukersentrert sikkerhet ettersom det autentiserer og beskytter hver bruker direkte gjennom en intelligent databærer. Uansett hvilken type forbindende utstyr eller lokale vertsdatamaskiner som brukes, kan en bruker sette inn den intelligente databærer i verten og starte en autentiseringssesjon for å forbindes med mål-tjeneren. Fokuset på tilgangsvernet ligger således ikke på forbindelsesutstyret eller den lokale vertsmaskin, men er i stedet direkte på den enkelt bruker som er tildelt en intelligent databærer. Den intelligente databærer kan være mobil, idet sådan mobilitet forbedrer gjennomtrengeligheten eller utbredelsen av sikkerhetsløsningen gitt av systemet. Det er sikkerhet på bestilling ved å bruke en hvilken som helst forbindende anordning eller lokal vertsmaskin.

I en annen utførelse er en injektor innlemmet i klient/tjener-kommunikasjonssystemet. Klient/tjener/injektor-systemet muliggjør bekvem integrering med eksisterende nettinfrastrukturer og muliggjør en samlet sikkerhet ved dataoverføring og deling av brukeranvendelser. Se den detaljerte drøftelse nedenfor av injektorforbindelse med tjener og klient. En eller flere klienter, en eller flere tjenere og en eller flere injektorer kan legges inn i et sådant nettkommunikasjonssystem. Hver injektor knyttes til og kommuniserer med en eller flere tjenere. Hver tjener forbindes med og betjener en eller flere klienter. Mengden av tjenere i systemet kan kommunisere med hverandre for å forvalte dataflyten i hele nettet.

Fig. 1 skisserer forbindelsene blant en injektor 105, en klient 103 og et par ressursdelende eller likeverdige tjenere (peer servers) 101 i henhold til en utførelse. Hver tjener, klient og injektor har en radartilkobling 107 med grensesnitt til nettet. Radartilkoblingen 107 overvåker hele tiden tilstanden av nettforbindelsene. Når en tapt nettforbindelse oppdages, gjør radartilkoblingen 107 på klientsiden et eller flere forsøk på å gjenopprette forbindelsen ved å anrope tjeneren. Siden klienten har registrert og derved husker parameterne for forbindelsestilstanden for de(n) aller nyligste forbindelse(r) kan den tapte forbindelse raskt gjenopptas med den ønskede nøyaktighet. Følgelig kan dataoverføringens integritet beskyttes og feilraten reduseres.

I tillegg til radartilkoblingen 107 er visse andre moduler og prosesser felles blant klienten 103, injektoren 105 og de to likeverdige tjenere 101 vist i fig. 1. En tillatelsesforvalter 109 tilordner og forvalter brukertillatelser. Tjenestefasilitatoren 111 sikrer at spesifikke brukeranvendelser eller -programmer eller -tjenester gis til brukeren ved anmodning. En syntaks-analysemotor 113 for datagrammer er innlemmet i hver klient 103, tjener 101 og injektor 105, slik som vist i fig. 1. Syntaksanalysemotoren 113 består av en syntaksanalysator og en dynamisk datagramsvitsj for systemet. I fig. 7 og 8 er en dynamisk datagramsvitsj 701, 801 og en syntaksanalysator 703, 803 for rammer innlemmet i henholdsvis tjeneren 101 og injektoren 105. Tilsvarende er en syntaksanalysator 601 for tjenester og tjenesterammer 603 innlemmet i klienten 103, slik som vist i fig. 6. Datagramsvitsjen 701, 801 arbeider i samarbeid med radartilkoblingen 107 både på klientsiden og tjenersiden for å behandle flere tilfeller av datagramoverføringer. En detaljert drøftelse av den dynamiske datagramsvitsj 701, 801 er gitt nedenfor. En krypteringsmotor 115 behandler krypteringen og dekrypteringen av datatransaksjonene over nettet. I systemet bestående av klienten 103, tjeneren 101 og injektoren 105 befinner krypteringsmotoren 115 seg ett nivå bak radartilkoblingen 107 som har grensesnitt mot nettet. Syntaksanalysemotoren 113 og tjenestefasilitatoren 111 er implementert i både tjeneren 101 og injektoren 105 for å gjøre det mulig for det samlede system å understøtte flere nett-tjenester og brukeranvendelser såvel som overføring av forskjellige typer data. Ytterligere detaljer om disse og andre moduler og prosesser er drøftet i separate avsnitt nedenfor for klienten 103, tjeneren 101 og injektoren 105.

Klient som intelligent databærer

En klient er en hvilken som helst datamaskin eller anordning som er i stand til å forbindes med en tjenestedatamaskin eller -anordning via et nett, enten det er kablet eller trådløst. En klient kan også betegne en datamaskinprogramvare eller fastvare som anroper og forbindes med en tjener. I henhold til en utførelse er klienten en intelligent databærer (IDC). En klient eller IDC kan realiseres ved å utføre programvare, fastvare eller flash-hukommelse på et vertsdatamaskinutstyr knyttet til et nett. I en utførelse er det frembragt et brukergrensesnitt ved hjelp av vertsdatamaskinutstyret eller IDCen som lar en bruker overvåke nett-transaksjoner og styre dataoverføringen så snart brukeren forbinder seg med en nett-tjener gjennom IDCen. Brukergrensesnittet kan f.eks. frembringe et på-loggingsformular som brukeren benytter for å logge seg på nettet. Formularet kan motta opplysninger i forskjellige formater, enten i form av tekst som et objekt, eller grafisk. Brukergrensesnittet gjør det også mulig for en bruker å utstede instruksjoner for styring av nett-transaksjoner og dataoverføring.

En intelligent databærer kan være mobil i henhold til en utførelse av oppfinnelsen. I forskjellige utførelser kan en intelligent databærer være realisert sammen med eller på en USB-nøkkel, Compact Flash, Smart Media, Compact Disk, DVD, PDA, utstyr for hurtig, ekstern seriell buss, utstyr for berettigelsesmerke, slik som en sikringsenhet for seriell eller parallell port, eller andre digitale, analoge anordninger eller mediumlesere.

En intelligent databærer har tre hovedkomponenter i henhold til en utførelse, nemlig en hukommelse anordnet for å lagre digitale opplysninger, en inngangs/utgangsanordning (l/U-anordning) innrettet for å innføre og avgi digital informasjon og en prosessor tilpasset for å behandle den digitale informasjon lagret i hukommelsen. En IDC er i stand til å forbindes med et vertsdatamaskinutstyr som befinner seg i et nett og derved overføre data over nettet via sin l/U-anordning.

Hukommelsen i en IDC kan ha form av et hvilket som helst datamaskinlesbart medium, slik som CD'er, disketter, DVD'er, slettbare, programmerbare lesehukommelser (EPROM) og flash-hukommelser (Compact Flash, Smart Media, USB-nøkkel, osv.).

IDCens l/U-anordning er i stand til å forbindes med et vertsdatamaskinutstyr via en hvilken som helst type l/U-forbindelse eller -port, innbefattet bl.a. f.eks. datamusporter, tastatur-porter, serielle porter (USB-porter eller ASB-porter), parallelle porter, infrarøde porter, og hurtige, eksterne serielle bussforbindelser (IEEE 1394). l/U-forbindelsen kan være kablet eller trådløs i forskjellige utførelser. I en utførelse kan f.eks. en trådløs kortdistanse-forbindelse opprettes mellom IDCen og et vertsutstyr i samsvar med "blåtann"-spesifika-sjonen, se www.bluetooth.org. I andre utførelser benyttes kommunikasjon ifølge 802.11 b-g og infrarød kommunikasjon. I en ytterligere utførelse inneholder l/U-anordningen en sender/mottager som er tilpasset for å sende og motta tale eller billeddata. IDCen under-støtter VolP-brukeranvendelser.

I en utførelse omfatter prosessoren i IDCen en integrert krets (IC). I en annen utførelse er ICen en anvendelsesspesifikk integrert krets (ASIC - Application-Specific Integrated Circuit). ICen understøtter utførelse av forhåndslastede brukerprogrammer på IDCen såvel som brukerprogrammer installert på vertsdatamaskinutstyret eller sådanne gjort tilgjengelig fra en fjern tjener. I alternative utførelser har prosessoren i IDCen ikke selv en IC, men er avhengig av en IC i et vertsdatamaskinutstyr, som er tilpasset for å behandle informasjon lagret i IDCens hukommelse og informasjon lastet inn i IDCens hukommelse fra brukerprogrammer installert på vertsdatamaskinutstyret. Se de detaljerte drøftelser nedenfor om levering av brukerprogrammer.

Den intelligente databærer i henhold til denne oppfinnelse er tilpasset for å opprette en nettidentitet for en bruker ved hjelp av et autentiserings- og krypteringsarrangement. Den intelligente databærer kontakter tjeneren og presenterer seg selv overfor tjeneren ved å starte opp autentiseringsprosessen. Se drøftelsene nedenfor om autentisering og kryptering. I det sikre nettsystem i henhold til denne oppfinnelse kan hver bruker bli tildelt en IDC som lar brukeren forbindes med nett-tjeneren og gjøre tilgang til data og brukerprogrammer på denne. En bruker kan bruke IDCen for å forbindes med, frakobles og på ny oppkobles, med tjeneren med vilje og etter behov. Forbindelsen kan gjøres fra et hvilket som helst nettvertsutstyr og på et hvilket som helst tidspunkt i henhold til en utførelse. En vertsdatamaskin kan være en borddatamaskin eller bærbar datamaskin, en personlig dataassistent (PDA), en mobiltelefon, et digitalt fjernsynsapparat, en audio- eller videospiller, en datamaskinkonsoll, et digitalt kamera, en kameratelefon eller et apparat for hjemmet som er gjort klart for nettbruk, slik som et nett-tilkoblet kjøleskap, mikrobølgeovn, vaskemaskin, tørketrommel eller oppvaskmaskin. I noen utførelser kan IDCen være direkte bygget inn i et vertsutstyr for derved å sørge for sikker datautveksling og deling av brukeranvendelser over nettet. Nett-tilgangen er privat og sikker med hensyn til hver bruker. Se drøftelsen nedenfor av kryptert, virtuelt filsystem. IDCen tilbyr derfor stor mobilitet og forbedret, brukersentrert sikkerhet for kommunikasjon over nett. Brukeranvendelsene eller -programmene kan leveres til en tiltenkt bruker via en IDC på en sikker og regulert måte. I en utførelse kan visse lisensierte brukerprogrammer være forhåndslastet i en IDC og utstedt til en autorisert bruker, dvs. en som er registrert hos tjeneren. Brukeren kan få utført et brukerprogram utenfor IDCen ved riktig autentisering hos tjeneren, uavhengig av hvilken lokal vert IDCen er satt inn i. Det betyr f.eks. at brukeren kan sette inn en IDC i form av en USB-nøkkel i en datamaskin som er forbundet med Internett på et sted, og starte brukerprogrammet utenfor IDC/USB-nøkkelen så snart forbindelse med tjeneren som også befinner seg på Internett har lykkes. Brukeren kan lukke brukerprogrammet og lagre en fil på tjeneren eller i IDC/USB-nøkkelen. Filene lagres i et kryptert virtuelt filsystem (EVFS) forbundet med nett-tjeneren. Se drøftelsene nedenfor av EVFS. Når brukeren befinner seg på et annet sted kan brukeren starte brukerprogrammet ved riktig autentisering av tjeneren, utenfor IDC/USB-nøkkelen, ved å bruke et annet datamaskinvertsutstyr, og fortsette å arbeide på den samme fil. Sådan sikker, mobil og brukersentrert forbindelsesevne mellom IDCen og nett-tjeneren gir således en tenkemåte for forvaltning og styring ikke bare av datatilgangen, men også av leveransen av brukeranvendelser/programmer.

I henhold til en utførelse kan intelligente databærere brukes for å levere frittstående brukerprogrammer eller operativsystemer. En bruker kan tildeles en IDC sammen med brukerprogrammer og/eller et operativsystem som bare kan avleses og som er kopibeskyttet. Brukeren kan benytte IDCen til å kaldstarte et vertssystem som ikke har noe operativsystem eller lagringsutstyr installert, og så gjøre tilgang til tjenerbaserte brukerprogrammer eller forhåndslastede brukerprogrammer på IDCen.

I henhold til en annen utførelse kan intelligente databærere brukes for å levere brukerprogrammer og mediainnhold. Brukeren kan f.eks. forsynes med en IDC som inneholder vedkommende brukerprogram som er kopibeskyttet og bare kan leses, såvel som et entydig serienummer for å muliggjøre den innledningsvise installasjon av brukerprogrammet. Når installasjonen er fullført kan IDCen be om systemnavnet, MAC-nummer, proses-sorens serienummer eller andre statiske, systembaserte opplysninger for å skape en antikopieringskode som så lagres på IDCen i form av en kryptert kode gjemt for brukeren. Denne kode kan sikre at brukerprogrammet blir installert bare på det originale vertsutstyr.

I henhold til nok en annen utførelse brukes intelligente databærere for mediaspesifikk distribusjon. Hver bruker kan bli tildelt en IDC som arbeider sammen med en eller flere spesifikke dekodere som autoriserer tilgang til spesifikke digitale mediakilder, slik som DVD, CD eller MP3-datafiler. Tjeneren kan etterspore tilgangen og bruken av de spesifikke datafiler gjennom IDCen.

Mønsteret ved levering av brukeranvendelser eller -programmer i henhold til denne beskrivelse er derfor spesielt nyttig for rettighetsbeskyttet datainnhold såvel som kommersielle programvarepakker og IT-verktøy, innbefattet blant annet spesialiserte database-anvendelser, dataanalyseverktøy og forskjellige pakker for kunderelasjonsforvaltning (CRM) og planlegging av foretaksressurser (ERP). Styrt og målrettet leveranse koblet med rigorøs autentisering og kryptering såvel som sentralisert forvaltning av data og filer gjør dette mønster til en praktisk rival for eksisterende arrangementer for lisensiering av programvare, slik som foretakslisenser og "flytende" lisenser. Med denne egenskap muliggjør en IDC digital rettighetsforvaltning (DRM - Digital Rights Management) for rettig-hetsbeskyttede data, brukerprogrammer og tjenester.

I henhold til en utførelse av denne oppfinnelse har, med henvisning til fig. 5, en intelligent databærer en rekke moduler og prosesser. Som et eksempel tillater en primærlaster for dataprogrammer (Application Boot Loader) 501 systemintegratorer (Sl'er) og produsenter av originalutstyr (OEM - Original Equipment Manufacturers) å skape skreddersydde opp-startskall til dataprogrammer lagret på IDCen eller dataprogrammer installert på vertsdatamaskinutstyret. I denne utførelse utgjør primærlasteren for dataprogrammer 501 en del av en IDC. Den kan blant annet påkalle en konfigurasjonsfil, en systemfil (SYS file) eller en utførbar fil for å starte opp et dataprogram.

Hukommelsen i IDCen kan være oppdelt av Sl'er eller OEM'er i f.eks. brukerdatalager 503, programdatalager 505 og en administrativ konfigureringsdel 507 i henhold til en utførelse. Brukerdatalageret 503 er klar for lese- og skriveoperasjoner. Programdatalageret 501 er et rent leselager. Den administrative konfigureringsdel 507 er et kopibeskyttet, rent leselager. Informasjonen om oppdelingen er lagret på IDCen på en slik måte at den hverken kan sees av en bruker eller gjøres direkte tilgang til av en bruker.

Det er også innebygget tilleggsmoduler innbefattet blant annet en klientautentiserings-modul 509 på utstyret for brukerautentisering, en radartilkobling 511 for overvåking og regulering av nettforbindelser og en krypteringsmodul 513. Klientautentiseringsmodulen 509 kan utnytte forskjellige brukerautentiseringsmidler, innbefattet blant annet en objekt-metode 515, et passordsystem 517 og andre rettighetspolicy'er 519. En detaljert drøftelse av autentisering og kryptering er gitt nedenfor.

Fig. 6 gir en annen illustrasjon av en klient i henhold til en utførelse av denne oppfinnelse. Det er vist forskjellige moduler og komponenter sammen med de involverte prosesser. Avhengig av forbindelsen med tjeneren understøtter f.eks. klienten forskjellige typer overføring, innbefattet meldingsutveksling 605, kontinuerlig sending (streaming) av data 607 og annen skreddersydd kommunikasjon 609.1 en utførelse anvendes det en syntaksanalysator for datagrammer (en tjenesteanalysator 601) tilsvarende den i datagramsvitsjen (701, 703) i nett-tjeneren. Se drøftelsen nedenfor av en tjener med dynamisk datagramsvitsj. I klienten er det implementert sikker nøkkelutveksling 611 og kryptering 613. Se drøftelsen nedenfor av autentisering og kryptering. Vilkårliggjøring brukes i sammenheng med autentiserings- og krypteringsarrangementet. Se drøftelsen nedenfor av vilkårlig-gjøring under skapelsen og analyse av dataobjekter. I tillegg er det innebygget en radartilkobling 615 som en del av klienten og som lenker klienten til tjeneren. Radartilkoblingen 615 overvåker forbindelsene mellom klienten og tjeneren. Forbindelsen kan skje gjennom et offentlig nett, slik som Internett. Den kan også opprettes innenfor et privat foretaksnett, særlig et med distribuert databehandling.

Tjener med dynamisk datagramsvitsj

En tjener kan være en hvilken som helst datamaskin eller digitalt utstyr i et åpent nett, f.eks. Internett, eller et lukket nett, f.eks. et institusjonelt miljø, og som er i stand til å forbindes med en klient, autentisere klienten og frembringe data og brukerprogramtilgang til klienten. Nettet kan være kablet eller helt eller delvis trådløst. Tjeneren definerer tillatelsene eller rettighetene til de forskjellige klienter eller brukere i systemet. Tillatelsene kan settes sammen og utstedes på grunnlag fysiske brukeridentiteter, f.eks. i samsvar med biometriske målinger, og geografisk sted, f.eks. lokale vertsnavn, lokal tid eller hvilke som helst andre påvisbare parametere. Så snart klienten er autentisert med hell, godtar tjeneren forbindelsen fra klienten og tillater tilgang til data eller brukerprogrammer som eies av brukeren eller som brukeren er autorisert til å gjøre tilgang til. Datafilene ligger i en EVFS som gir hver bruker sikker og privat tilgang. Se drøftelsen nedenfor av EVFS. I andre utførelser kan tjeneren levere dataprogrammer til autoriserte brukere så snart forbindelsen er opprettet, slik som drøftet ovenfor.

Som vist i fig. 7 omfatter en tjener i henhold til en utførelse et sett moduler og komponenter av hvilke noen tilsvarer dem i klienten vist i fig. 6. Som et eksempel er SKE 705 og kryptering 707 innlemmet i tjeneren. Vilkårliggjøring utnyttes også i sammenheng med autentiserings- og krypteringsarrangementet. Som drøftet ovenfor er en EVFS 709 lenket til tjeneren og gir hver klient et virtuelt privat filsystem for datatilgang og -lagring. EVFS'en

709 er lenket til tjeneren via et EVFS-grensesnitt 711. Se nedenfor for detaljerte drøftelser. Videre er en radartilkobling 713 innebygget som en del av tjeneren, idet denne har grensesnitt mot radartilkoblingen 615 på klientsiden. Nettforbindelsen mellom klienten og tjeneren med en radartilkobling på hver side gjør det mulig effektivt å overvåke og regulere nettforbindelsen. Radartilkoblingen kan også påvise tapte forbindelser og gjenopprette for-

bindelsen når det er behov for det i henhold til andre utførelser av denne oppfinnelse. Forskjellige data- og brukerprogrammer eller tjenester understøttes, omfattet f.eks. meldingsutveksling 715, kontinuerlig sending av data 717 og skreddersydd kommunikasjon 719.

Dataoverføringen mellom klienten og tjeneren effektueres i visse utførelser ved hjelp av en dynamisk datagramsvitsj på grunnlag av et datagramskjema. Se eksempel 1 nedenfor. Alle data, enten de er innholdsdata eller transaksjonsdata, beregnet på transport gjennom tjeneren formateres til et datagram. Hvert datagram bæres innenfor en TCP-pakke i henhold til en utførelse. I alternative utførelser kan andre nettprotokoller, slik som UDP, HTTP og HTTPS brukes. I en utførelse er flere datagramtyper definert i datagramskjemaet. En hoveddatagramtype kan ha en mengde sekundære eller underordnede typer. En sekundær datatype kan i en alternativ utførelse også omfatte datagramundertyper på lavere nivå. Et sett metoder og funksjoner kan defineres for hver datagramtype eller underordnet type. Hver datagramtype eller underordnet type er i stand til å understøtte en eller flere spesifikke dataprogrammer og bære en eller flere spesifikke typer data. De forskjellige typer kan fordre forskjellige og spesifikke privilegier og/eller tillatelser.

Datagrammene behandles i tjeneren ved hjelp av den dynamiske datagramsvitsj 701. Datagramsvitsjen er i stand til å skape 701, tildele, behandle og utveksle datagrammer i sann tid. Datagramtildelingen og fjerning av tildelingen av datagrammer utføres dynamisk. I en utførelse brukes den samme plass i hukommelsen når tildelingen av et datagram fjernes, mens et annet tildeles. Pekere i hukommelsen brukes for flere datagrammer. Når et datagram er i tjeneste peker dets peker på den tildelte hukommelse. Bruken av pekere i hukommelsen gir en effektivitet og hastighet på høyt nivå når mengder av nettanvendelser og understøttende nettdataoverføring skal settes i tjeneste for en eller flere brukere. Svitsjingen av datagrammer kan i visse utførelsesformer realiseres innenfor en nettforbindelse gjennom en port, og i alternative utførelsesformer kan svitsjingen av datagrammer realiseres i sammenheng med flere porter.

I en utførelse består den dynamiske datagramsvitsj 701 av en datagramanalysemotor 113. Analysemotoren 113 inneholder også en syntaksanalysator 703 som filtrerer datagrammene på grunnlag av deres hoved- og sekundære type. Som et eksempel leses dataene først fra sokkelen og henges på inn-køen for vedkommende sokkel. Analysemotoren 113 kontrollerer da for å se om vedkommende sokkel har et komplett datagram i køen. Hvis ikke, går den tilbake til søvn og venter på at den neste pakke skal ankomme sokkelen. Hvis svaret er ja, fjerner den det komplette datagram fra sokkelens inn-kø og sender det til en enhet for dekryptering og syntaksanalyse for å bli dekryptert og analysert med hensyn til syntaks. Analysemotoren 113 spør da om datagrammet passerer dekryperingen og valideringen. Hvis nei, kontrollerer den for å se om datagrammet viser noe tegn på endring eller injeksjon. Dersom endring eller injeksjon påvises blir datagrammet sett bort fra (eller kassert) og brukeren som sender datagrammet kan bli frakoblet. Dersom datagrammet blir dekryptert og validert med hell forsøker analysemotoren 113 å bestemme den tiltenkte mottager av datagrammet. Dersom datagrammet er beregnet på en annen tilkoblet tjener blir så datagrammet fremsendt til den likeverdige analysemotor 113 på den likeverdige tjener. Dersom datagrammet er beregnet på den lokale tjener blir den overført til den lokale syntaksanalysator 703.

Syntaksanalysatoren 703 kontrollerer da om senderen har tillatelse til å sende den spesielle type datagram. I en utførelse gjøres dette ved å benytte objektklassifisereren. Se eksempel 2 nedenfor og drøftelsen av autentisering og kryptering. Dersom senderen ikke har noen tillatelse til å sende den bestemte type datagram blir datagrammet kassert og en loggfil skapt. Dersom senderen har tillatelse for denne datagramtype kontrollerer syntaksanalysatoren videre for å se om senderen har tillatelse til å sende det aktuelle datagram og om mottageren har tillatelse til å motta datagrammet. Hvis ikke og dersom den negative tillatelse er permanent, blir datagrammet kassert og en loggfil skapt. Hvis ikke, men dersom den negative tillatelse er midlertidig, kan datagrammet bli lagret for senere gjenfinning og behandling. Dersom senderen har tillatelse til å sende datagrammet og mottageren har tillatelse til å motta datagrammet går syntaksanalysatoren videre for å bestemme datagramtype.

Fig. 3 viser de relevante prosesser for i en utførelse å bestemme datagramtype 301 og analysere datagrammer realisert i en syntaksanalysator 703. Hver datagramtype har en tilsvarende behandlingsmotor, slik som en motor 303 for øyeblikksmeldinger, en kring-kastingsmotor 305, en forbindelsesbuffermotor 307, brukerautentiseringsmotor 309, brukeradministrasjonsmotor 311, brukerkatalogmotor 313, osv. Så snart datagramtypen er funnet mates datagrammet til og behandles av den tilordnede motor for den tilsvarende datagramtype.

En motor 315 for likeverdige viser til den likeverdige analysemotor som ligger i en annen, tilkoblet tjener, dvs. en likeverdig eller ressursdelende tjener. Brukerpålogginger og avlogginger kringkastes ved 317 til alle likeverdige. Brukertilgang til hver likeverdig tjener kan om ønskelig samordnes og forvaltes. Som et eksempel kan en eksisterende forbindelse som brukeren har med en tjener bli terminert når brukeren med hell blir autentisert av og forbundet med en likeverdig tjener som gir et høyere nivå av tilgangsprivilegier. En tillatelsesmotor 319 forbundet med brukeradministrasjonsmotoren 311, forvalter og registrerer tillatelser for alle brukere. Andre moduler eller prosesser kan være innebygget i andre utførelsesformer, som, om det er nødvendig, gir ytterligere funksjonalitet, innbefattet f.eks. en VPN-tunneloverføringsmotor 321.

I en utførelse kan tjeneren dynamisk behandle en matrise av datagramtyper. Matrisen inneholder et første antall (f.eks. 256) hoveddatagramtyper, som hver har et andre forutbestemt antall (f.eks. 256) sekundære datagramtyper. I alternative utførelsesformer er syntaksanalysatoren 703 i stand til å analysere en matrise av datagramtyper som har mer enn to dimensjoner eller lag. Syntaksanalysen kan derfor realiseres på grunnlag av datagramtyper, felt og lag.

De riktige funksjoner eller metoder kan utføres for hvert datagram så snart datagrammet er riktig analysert i samsvar med datagrammets generiske layout. Fig. 4 viser en generisk layout for datagrammer i henhold til en utførelse. Denne datagramlayout omfatter nyttedata 401 og innledningsfelt, slik som hoveddatagramtype 403, sekundær datagramtype eller underordnet type 405, datagramlengden 407 og datagramkontrollsummen 409. Under overføringen inneholder nyttedatadelen 401 innholdsdataene. Ytterligere innledningsfelt 411 kan innlemmes for forskjellige datagramtyper.

I en utførelse omfatter hoveddatagramtypene med henvisning til eksempel 1 nedenfor, blant annet tjenermeldinger og datagrammer for regulering av forbindelser, som er i stand til å autentisere og regulere brukerforbindelser, innholdsdatagrammer som er i stand til å forvalte overføring av innholdsdata, kringkastingsdatagrammer som er i stand til å forvalte overføring i sann tid av typen punkt til flere punkter og fra flere punkter til flere punkter, og forbindelsesbufferdatagrammer som er i stand til å overføre bufferdata mellom nett-tjeneren og den intelligente databærer.

Tjenermeldinger og datagrammer for regulering av forbindelser inneholder sekundære eller underordnede datagramtyper, slik som datagrammer med anmodning om autentisering og som er i stand til å iverksette en autentiseringsanmodning, datagrammer med svar på autentisering og som er i stand til å sende en reaksjon på en anmodning om autentisering, og datagrammer med autentiseringsresultat og som er i stand til å sende resultatet av en autentiseringssesjon.

Innholdsdatagrammer omfatter sekundære eller underordnede datagramtyper, slik som det normale innholdsdatagram som er i stand til å overføre innholdsdata, fjemloggingsdata-grammer som er i stand til å kommunisere med nett-tjeneren og opprette en påloggings-sesjon, og fjerndata-samlerdatagrammer som er i stand til å overføre data fra en fjern forbindelse, datagrammer med anmodning om godkjenning av innhold og som er i stand til å be om verifisering av overførte innholdsdata, og datagrammer med svar på godkjenning av innhold og som er i stand til å reagere på en anmodning om verifisering av overførte innholdsdata.

Forbindelsesbufferdatagrammer omfatter sekundære eller underordnede datagramtyper, slik som bufferdata til en tjener og som er i stand til å formidle bufferdata til nett-tjeneren fra den intelligente databærer, og bufferdata fra en tjener og som er i stand til å formidle bufferdata fra nett-tjeneren til den intelligente databærer. Et annet eksempel på en hoveddatagramtype er øyeblikksmeldingstypen. Den omfatter sekundære datagramtyper, slik som filoverføringstype, audio/video-overføringstype, øyeblikkelig postmeldingstype og fjemdatasamlertype.

Injektor forbundet med tjener og klient

I en ytterligere utførelse omfatter sikkerhetsnettsystemet i henhold til denne oppfinnelse en injektor tilpasset for å forbinde tjeneren med en eksisterende nettinfrastruktur. Injektoren kan være programvare eller fastvare som gir mulighet for nettforbindelse. Injektoren konverterer fysiske forbindelsesdata til logiske nettressurser. Den tillater bekvem integrering med eksisterende nett og reduserer behovet for å modifisere eksisterende IT-infrastrukturer.

I en utførelse omfatter en injektor med henvisning til fig. 8, likedanne moduler og prosesser som dem i en klient (fig. 6) eller en tjener (fig. 7). Som et eksempel er SKE 805 og kryptering 807 implementert i injektoren. Vilkårliggjøring utnyttes også i sammenheng med autentiserings- og krypteringsarrangementet. Slik som tjeneren er injektoren også lenket til en EVFS 809 som gir brukeren et virtuelt, privat filsystem for datatilgang til eksisterende nett. EVFS'en 809 er knyttet til injektoren via et virtuelt filsystems grensesnitt 811. Slik som klienten og tjeneren understøtter injektoren også forskjellige typer kommunikasjon, innbefattet f.eks. meldingsutveksling 813, kontinuerlig dataoverføring (streaming) 815 og annen skreddersydd (custom) kommunikasjon 817.

Videre anvender injektoren en dynamisk datagramsvitsj 801 og har en datagram- eller rammesyntaksanalysator 803. Datagramsvitsjen 801 og rammeanalysatoren 803 tilsvarer datagramsvitsjen 701 og datagramanalysatoren 703 i nett-tjeneren. En radartilkobling 819 utgjør også en del av injektoren, idet den har grensesnitt til radartilkoblingen 713 på tjenersiden. Radartilkoblingen 819 overvåker og regulerer nettforbindelsen mellom injektoren og tjeneren. Radartilkoblingen 819 kan også påvise eller oppdage tapte forbindelser og på ny gjenopprette en forbindelse når det er behov for det i henhold til en annen utførelse.

Autentisering og kryptering

i forskjellige utførelser av denne oppfinnelse kan sikkerhetsnettsystemet anvende forskjellige autentiserings- og krypteringsmidler, innbefattet f.eks. en kryptert eller ikke kryptert ASCIl-streng, en enkel klassifiseringsmodell og en superklassifiseringsmodell. Symmetrisk og asymmetrisk mulitchifferkryptering kan brukes. Krypteringen kan endres over tid med utgangstilbakekobling, chiffertilbakekobling, chifferblokksammenkjeding, chifferfremsending eller en hvilken som helst annen metode som endrer chifreringen og/eller nøkkelen på en måte som både krypterings- og dekrypteringsmotoren kan forutsi og reprodusere. I visse utførelser anvendes sikker nøkkelutveksling (SKE - Secure Key Exchange). SKE innebærer at det genereres et vilkårlig nøkkelpar som bare brukes én gang og deretter kasseres. Med SKE blir ingen nøkkel lagret på noe utstyr eller system bortsett fra det offentlige/private nøkkelpar som eies og styres av tjeneren. SKE skiller seg fra en offentlig nøkke I infrastruktur (PKI - Public Key Infrastructure) som fordrer et offentlig nøkkellagringssystem for å betjene mange brukere. Utelatelsen av et mellomliggende, offentlig nøkkellagringssystem, som er et typisk mål for nettdatasnokere, åpner for forbedret nettsikkerhet.

I henhold til visse utførelser bruker SKE-modulen i det sikre nettsystem forskjellige offentlige nøkkelsystemer, innbefattet systemer som er kommersiell hyllevare (COTS - Commercial Off The Shelf). I en utførelse brukes den avanserte krypteringsstandard (AES) Rijndael. Jfr. Federal Information, Processing Standards Publication 197, "Announcing the Advanced Encryption Standard", november 2001 (tilgjengelig på csrc.nist.gov/publications/fips/fips197/fips-197.pdf). Se også nettsidene csrc.nist.gov/CryptoToolkit/aes/; csrc.nist.gov/CryptoToolkit/aes/rijndael/; og csrc.nist.gov/CryptoToolkit/aes/rijndael/rijndael-ip.pdf. I en annen utførelse brukes det en nøkkel på 163 biter for elliptisk kurvekryptografi (ECC - Elliptic Curve Cryptography). ECC-teknikken er kjent, se f.eks. Tatsuaki Okamoto m.fl.: "PSEC: Provably Secure Elliptic Curve Encryption Scheme (Submission to P1363a)", mars 1999 (tilgjengelig på grouper.ieee.org/groups/1363/P1363a/contributions/psec.pdf). Se også nettsidene world.std.com/~dpj/elliptic.html og csrc.nist.gov/cryptval/dss/fr000215.html.

I alternative utførelser kan forskjellige krypteringsmetoder anvendes på et vilkårlig grunnlag og i kombinasjon. Alternative chifreringer innbefatter blant annet f.eks.: Gost, Cast128, Cast256, Blowfish, IDEA, Mars, Misty 1, RC2, RC4, RC5, FROG, SAFER, SAFER-K40, SAFER-SK40, SAFER- K64, SAFER-SK64, SAFER-K128, SAFER-SK128, TEA, TEAN, Skipjack, SCOP, Q128, 3Way, Shark, Square, Single DES, Double DES, Triple DES, Double DES16, Triple DES16, TripleDES24, DESX, NewDES, Diamond II, Diamond II Lite og Sapphire II. Alternative kontrollsummetoder omfatter blant annet: MD4, SHA, SHA-2, RipeMD128, RipeMD160, RipeMD256, RipeMD320, Haval (128, 160,192, 224 og 256 biter) with Rounds, Snefru, Square, Tiger, og Sapphire II (128,160, 192, 224, 256, 288 og 320 biter).

I en utførelse er autentiseringen basert på data på hendelsesnivå. En autentiserende hendelse innbefatter et klikk på datamusen, et tastetrykk, berøring av en skjerm, en ytring eller at det tas en biometrisk måling. Dataene på hendelsesnivå omfatter data generert ved hendelsen såvel som data generert før og etter hendelsen. Et hendelsesvindu kan spesifiseres ved registrering eller måling av en hendelse. Det vil f.eks. si at en prøve på lyd kan tas innenfor en tidsgrense. Disse data kan brukes ved kompilering av superklassifiserere i henhold til en utførelse.

Bruken av superklassifiserere innebærer tre aspekter, nemlig klassifisering (se vedlegg 1 nedenfor), analyse (se vedlegg 2 nedenfor) og beslutning (se vedlegg 3 nedenfor). En superklassifiserende funksjon er et uttrekk av kjennetegn ved inngangsvektordata. Inn-gangsvektordataene kan være binære eller ikke-binære. Se f.eks. vedlegg 3. En objektvektorbasert superklassifiserer brukes i en utførelse. Se eksempel 2 nedenfor. Vilkårlig-gjøring anvendes under objektanalyse basert på superklassifiserere, drøftet i neste seksjon.

Autentisering utføres hver gang en klient eller en IDC forsøker å forbinde seg med en nett-tjener. I henhold til en utførelse blir et autentiserings- og krypteringsarrangement satt igang med IDCen. Autentiserings- og krypteringsarrangementet innebærer en rekke trinn. Først sender brukeren via klienten eller IDCen en anmodning til nett-tjeneren for å be om å bli autentisert. Initiativet til en autentiseringsseksjon kommer således fra klienten eller IDCen. For det andre sender tjeneren til IDCen en liste over de autentiseringsmetoder som er tilgjengelig, ut fra hvilken brukeren velger en gjennom en hendelse, f.eks. et klikk på datamusen, berøring av en skjerm, en ytring, et tastetrykk eller en annen egnet tilkjennegivende hendelse. Inngangssignalerfra en digitaliserer, slik som et kamera eller biometrisk utstyr, utgjør andre eksempler på egnede tilkjennegivende hendelser. På grunnlag av den valgte autentiseringsmetode sender for det tredje tjeneren en forespørsel til IDCen om autentiseringsdata. Det kan være en forespørsel om passord som kan være helt vilkårlig eller pseudo-vilkårlig i henhold til forskjellige utførelser. Det pseudo-vilkårlige passord genereres på grunnlag av en matematisk forhåndskalkulert liste, mens et helt vilkårlig passord genereres ved å ta strikkprøve av og behandle en entropikilde utenfor systemet. For det femte omdanner tjeneren autentiseringsdataene mottatt fra IDCen til en eller flere dataobjekter eller objektvektorer. For det sjette utfører tjeneren objektanalyse på data objektene ved å bruke en eller flere klassifiserere eller en superklassifiserer. En superklassifiserer basert på biometriske målinger kan brukes. Og endelig blir resultatet av analysen eller beslutningen på grunnlag av klassifisere ren sendt fra tjeneren til IDCen, som enten bekrefter en riktig autentisering av brukeren for derved å tillate forbindelse av IDCen med tjeneren, eller erklærer at autentiseringsforsøket fra IDCen feilet.

I henhold til andre utførelser kan det implementeres tre faser med autentisering eller tre autentiseringstester dvs. en logisk test for samsvar mellom klient og tjener, en utstyrstest for IDCen og en personlig test for brukeren. Vilkårliggjøring kan brukes i sammenheng med en eller flere av disse tre tester med eller uten dataobjektklassifiserere.

Den logiske test for samsvar mellom klient og tjener er en test som lar IDCen eller klienten finne sin korrekte tjener. Den innebærer et antall trinn. Til å begynne med når tjeneren er installert eller iverksatt, skapes et offentlig/privat ECC-nøkkelpar hos tjeneren som bare brukes for valideringsformål. Enhver av denne tjeners klient eller IDC gis tjenerens offentlige nøkkel (PK1) når IDCen konfigureres eller skapes, slik at IDCen blir innprentet med tjenerens "generiske kode" og derved er blitt "registrert" hos sin tilordnede tjener. Når IDCen senere tilordnes en bruker og forsøker å forbinde seg med tjeneren fjernt over et nett genererer tjenerens slumptallgenerator en lang kontinuerlig strøm av vilkårlige data og bruker den som frø ved frembringelse av et nytt offentlig/privat ECC nøkkelpar (PK2) for denne forbindelsessesjon. Den offentlige nøkkel signeres med tjenerens private nøkkel som er skapt tidligere og som bare er for valideringsformål. Tjeneren sender deretter både den nylig frembragte offentlige ECC-nøkkel såvel som signaturen til IDCen. Ved mottagning av sådan informasjon bruker IDCen den offentlige nøkkel som bare er for validering og med hvilken den ble innprentet, for å verifisere den offentlige ECC-nøkkels signatur. Dersom signaturen ikke samsvarer med "det som er innprentet", er tjeneren ikke den riktige tjener og IDCen frakobles. Dersom signaturen stemmer, genererer IDCen et nytt offentlig/ECC-nøkkelpar (PK3) for sesjonen og sender den offentlige nøkkel som en del av klientidentiteten og -fasiliteten (CIF - Client Identity and Facility, se eksempel 1 nedenfor). CIF'en blir i sin tur kryptert ved å bruke tjenerens offentlige nøkkel PK2.

Utstyrstesten for IDCen fokuserer på IDCens fysiske parametere for verifisering. På f.eks. tidspunktet for utsendelse av klientprogramvare til et bærerutstyr, dvs. når bærer- eller lagringsutstyret blir en IDC, registreres IDCen på tjeneren og noen av dens parametre lagres på tjeneren, slik som i en tjenerdatabase. Når IDCen genererer CIF-pakken lagrer den i CIF'en all informasjon den kan samle sammen om vertsdatamaskinutstyret eller utstyret for nettforbindelse hvor den er satt inn, krypterer hele CIF-pakken med den offentlige nøkkel PK1 som er blitt validert i den forutgående logiske test og sender den krypterte CIF til tjeneren. Etter dekryptering kan tjeneren verifisere om dataene i CIF'en samsvarer med de parametere som er forhåndsregistrert i tjeneren og om IDCen er forbundet fra en kjent eller legitim nettvert. Dersom verifiseringen feiler, kan tjeneren ende sesjonen og koble bort IDCen.

Persontesten for brukeren fokuserer på autentisering av en bestemt bruker. Denne test kan implementeres med eller uten klassifiserere eller en superklassifiserer. En test uten bruk av en superklassifiserer kan innebære en rekke trinn. Etter f.eks. en vellykket SKE sendes et datagram med anmodning om autentisering til IDCen, som inneholder en liste over autentiseringsmetoder og dersom en av disse metoder er en autentisering basert på utfordring/reaksjon (challenge-response) vil utfordringen autentisere IDCen. IDCen velger da en av autentiseringsmetodene. Den kan be brukeren om interaktiv pålogging, eller ikke. Når IDCen allerede har tilstrekkelig kunnskap til å autentisere, sørges det for automatisk pålogging. Autentiseringen fortsetter så med at IDCen sender et autentiseringsobjekt til tjeneren og som er lagt inn i en annen datagramtype som inneholder valideringsdata for undersøkelse av tjeneren. Analysen av autentiseringsdataobjekter varierer på grunnlag av den autentiseringsmetode som er i bruk.

En brukerprøve hvor det brukes en superklassifiserer kan på den annen side foregå som følger. En superklassifiserer implementeres på bakgrunn av forskjellige typer datagramtyper og datagrammer hos tjeneren. Ved en vellykket SKE sendes et datagram med anmodning om autentisering fra superklassifisereren til IDCen og som inneholder en liste over autentiseringsmetoder og en utfordring om at IDCen skal autentiseres dersom en av autentiseringsmetodene er en autentisering basert på utfordring/reaksjon. IDCen velger da likeledes en autentiseringsmetode. For autentiseringen sender tjeneren en anmodning til IDCen for utførelse av en oppgave på hendelsesnivå. Anmodningen er bygget med superklassifisereren på grunnlag av tilførsel fra en slumptallgenerator. IDCen utfører oppgaven og de resulterende data på hendelsesnivå pakkes inn i et autentiserings-dataobjekt. I en utførelse inneholder dette dataobjekt en separat, vilkårlig generert identifikator for denne bestemte nettutvekslingssesjon, slik at sannsynligheten for å kompromittere sesjonen minimeres. Autentiseringsobjektet returneres så fra IDCen og det analyseres av tjenerens "verifiserer" på grunnlag av superklassifisereren. Dataobjekt-analysen kan variere avhengig av den spesielle autentiseringsmetode som er i bruk.

Vilkårliggjøring ved opprettelse og analyse av datavektorobjekter

Vilkårliggjørende teknikker er velkjent på området teoretisk og anvendt matematikk. De anvendes ofte i beslutningstagende prosesser hvor det ikke eksisterer noen klar felles-nevner. Bruk av vilkårliggjøring muliggjøres ved hjelp av den enorme beregningskraft som er tilgjengelig i dag. Vilkårliggjøring innebærer typisk bruk av et frø. Slumptallgeneratorer genererer mengder av vilkårlige tall på grunnlag av tilførsel av et eller flere frø. Avhengig av frøets kjennetegn kan vilkårliggjøringen klassifiseres i pseudo-vilkårlig eller virkelig vilkårlig. De fleste slumptallgeneratorer er generatorer av pseudo-vilkårlige tall. De er basert på en matematisk forhåndskalkulert liste, dvs. en som kan bli kompromittert. I motsetning til dette blir virkelige vilkårlige tall vanligvis generert ved å ta prøve av og behandle en entropikilde utenfor datamaskinsystemet eller nettet som er involvert. Man må identifisere entropikilden og hvordan entropien genererte frøet for å bryte den virkelige slumptall-generering.

Vilkårliggjøring anvendes også innen datamaskin- og nettsikkerhet. Den eksisterende anvendelse av vilkårliggjøring innen datasikkerhet er for det meste statisk. Som et eksempel kan et vilkårlig tall genereres av en klient, en tjener eller annet datamaskinutstyr og deretter sendes til en datamaskin av brukeren. Dersom tallet samsvarer med et tall innen den vilkårlige tall-"ramme" som tillates av systemets spesifikke slumptallgenerator, vil brukeren bli gitt tilgang. Dette tilsvarer en infrastruktur med offentlig nøkkel (PKI) hvor to hemmelig genererte nøkler sammenlignes og valideres på et felles valideringspunkt. Et problem med denne tenkemåte er at det delte valideringspunkt kan kompromitteres forholdsvis lett. Ved systemets felles valideringspunkt er den en slumptallgenerator som inneholder en ramme av tall (eller en hvilken som helst ønsket avgivelseskombinasjon, slik som bokstaver og siffer) basert på et gitt frø. Skjønt slumptallgeneratoren synes å generere et uendelig antall vilkårlige tall er det samlede antall vilkårlige tall som skal genereres forhåndsbestemt så snart generatoren er skapt (sådd). Det vil si at det som er vilkårlig er bare rekkefølgen som de vilkårlige tall genereres i. Sådan vilkårliggjøring er statisk. Hvert vilkårlig tall er teoretisk forutsigbart. Vilkårliggjøring i henhold til visse utførel-ser av denne oppfinnelse anvendes på en ikke-statisk måte. Vilkårliggjøringen implementeres i dataobjekter ved hjelp av en eller flere klassifiserere eller superklassifiserere. Se eksempel 2 nedenfor. En sann slumptallgenerator sås for å gi vilkårlige tall for analyse av datavektorobjekter. Dataobjektene utnyttes i noen av testene for autentisering, slik som drøftet ovenfor.

En mengde separate, private nøkler genereres på grunnlag av sanne, vilkårlige verdier i forskjellige utførelser. Disse nøkler inneholder ingen informasjon basert på den opprinnelige tjeners valideringsnøkkel fordi dataobjektet omformer tallet til en verdi eller en data-avbildning på grunnlag av entropi utenfor datamaskinen på hendelsesnivået. Den ligger derfor utenfor omgivelsene av slumptallgeneratoren og blir derfor ikke-statisk. Siden det som brukes for omdannelsen av objektet basert på vilkårliggjøring selv er en nøkkel, blir det mulig å sammenligne de to ukjente (private nøkler) og gjøre dem kjent. I alternative utførelser kan det på lignende måte genereres og brukes to eller flere private nøkler. Videre kan et hvilket som antall private nøkler genereres av objektene i klassifisereren og derved gjøre antallet private nøkler ukjent.

I denne utførelse implementeres vilkårliggjøring både for (i) å konfrontere brukeren eller klienten med en autentiseringsutfordring basert på en virkelig slumptallgenerator og (ii) å velge den objektanalyse som skal utføres og utføre den valgte analyse.

En typisk forhåndsprogrammert slumptallgenerator kan ha den etterfølgende form:

Se f.eks. "Numerical Recipes", W. H. Press m.fl., Cambridge University Press. Enten det brukes enkle, lineære kongruente generatorer eller forbedrede generatorer kan flere slumptallgeneratorer anvendes for derved å skape et kombinatorisk problem, for således å hindre beregning av frøet ut fra f.eks. å observere det antall vilkårlige tall som genereres i en sekvens. I visse utførelser blir de minst signifikante siffer trunkert i sekvensen for å minimalisere muligheten for å gi ut noen hentydning. I andre utførelser blir foruten frøet i generatorspesifikke konstanter a, cogm frembragt i henhold til formelen ovenfor. En tabell med et stort antall mulige verdier kan skapes for konstantene a og m. Når konstantene velges ved å bruke en eller annen støytilførsel, vil denne løsning gi mer robuste vilkårlig-gjørere. I ytterligere andre utførelser kan det brukes et antall forhåndsvalgte slumptallgeneratorer i sammenheng med N uavhengige frø. En enkel sum kan brukes, som følger:

Et eksempel på en nyttig algoritme for å kombinere to lineære, kongruente generatorer med en kombinert periode på omtrent 2,3x10<18>er algoritmen ran2 beskrevet i "Numerical Recipes". Algoritmen kan modifiseres ved å bruke to selvstendige frø. Den kan ytterligere modifiseres ved å bruke 3 eller N generatorer. I en utførelse oppnås i det minste ett frø ved å bruke en indetermistisk kilde som en bedrager ikke har lett tilgang til. Den indetermistiske kilde kan være hva som helst utenfor vilkårliggjøreren eller slumptallgeneratoren og utenfor vedkommende nettsystem, slik som f.eks. en ekstern utstyrsenhet, opptredenen av en

ekstern hendelse, en tredje part, og biter utledet fra datamaskinens nylige historie.

Når en spesifikk klassifiserer brukes under analysen av en objektbasert vektor kan forutsig-barheten være forholdsvis høy, slik at en bedrager kan finne klassifisereren og frøet. I visse utførelser brukes det en samling klassifiserere, dvs. multiklassifiserere eller en superklassifiserer, hvorved lavere forutsigbarhet kan oppnås. Dimensjonaliteten ved "kjennetegn-vektorene" kan reduseres når det sees bort fra variasjoner som ikke skjelner mellom klasser. Se vedlegg 1 og 2 nedenfor.

Alt i alt forbedrer vilkårliggjøringen i henhold til denne oppfinnelse beskyttelsen for tilgang til data. Dataobjektene baseres på spesifikke verdier, slik som dem fra biometriske målinger i en utførelse, som bare brukeren har kjennskap til på hendelsesnivået. Dette fokus på brukeren i stedet for utstyrsenhetene markerer den brukersentrerte sikkerhet i henhold til denne oppfinnelse. Dataobjekter omdannet på hendelsesnivå på en virkelig vilkårlig måte og analysert i en superklassifiserer gir et utmerket grunnlag for etablering og verifisering av brukeridentiteter.

Kryptert, virtuelt filsystem (EVFS)

Et EVFS (Encrypted Virtual File System) i henhold til forskjellige utførelser er et pr.-bruker (eller gruppe av brukere), pr.-klient, virtuelt filsystem, også betegnet en "file repository". Det er et tjenerbasert filsystem eller en fil- og datalagringsmulighet som lar brukere av et nettsystem lagre filer eller data borte fra deres lokale vert eller klientbærer. Et EVFS kan være nyttig f.eks. når lagringskapasiteten er utilstrekkelig hos den lokale vert. Eksempler på bruk og realisering av EVFS'er er allment tilgjengelig, se f.eks. nettsidene: www.microsoft.com/technet/treeview/default.asp7urN/TechNet/prodtechnol/window s2000serv/deploy/confeat/nt5efs.asp, www.serverwatch.com/tutorials/article.php/2106831, og www.freebsddiary.org/encrypted-fs.php.

I henhold til en utførelse av denne oppfinnelse er tjeneren i det sikre nettsystem forbundet med et EVFS 709 via et EVFS-grensesnitt 711, slik som vist i fig. 7. EVFS'et 709 inneholder en brukerkatalog 721, en pr.-bruker fildatabase 723 og et fillager 725. Brukerkatalogen inneholder relevant informasjon om alle brukerene, innbefattet passord, på-loggingsparametre, biometrisk profil, fysisk eller geografisk sted, "online" og "offline" status og offentlig ECC-nøkkel som brukes for å kryptere filer som lagres i EVFS'et. Brukerene er individer som har forbundet seg med nett-tjeneren via en klient eller en IDC og har brukt eller bruker visse brukerprogrammer eller -anvendelser som understøttes av nettet. I henhold til en utførelse kan brukerprogrammene leveres og kjøres av IDCen. Brukerprogrammene kan også kjøres på en vertsdatamaskin eller -utstyr som IDCen eller klienten er forbundet med. Alternativt kan brukerprogrammene kjøres fjernt på tjeneren på vegne av klienten.

Tjeneren benytter brukerkataloggrensesnittet 727 som er hos tjeneren, for å gjøre tilgang til brukerkatalogen 721. Fillageret 725 er et digitalt medium hvor det er lagret filer og mulige andre data av interesse for brukerene. Det kan være en hvilken som helst type data-maskinhukommelse. Dette er det fysiske sted hvor filene eller dataene generert fra eller modifisert av brukerprogrammer, lagres, mens brukerprogrammene utføres på IDCen, vertsdatamaskinen eller fjernt på tjeneren. Fillageret 725 kan optimaliseres for rask og bekvem tilgang.

Pr.-brukerfildatabasen 723 inneholder brukerfilinformasjon, slik som det opprinnelige fil-navn, dato og tid, og en kryptert representasjon av krypteringsnøkkelen benyttet for å kryptere filen. Alle filer lagret i EVFS'et 709 er tildelt virkelige vilkårlige navn såvel som virkelige vilkårlige krypteringsnøkler, og de er blandet sammen med hverandre i fillageret 725. Datatilgangen er privat og sikker med hensyn til hver bruker. Hver enkelt bruker kan bare se og gjøre tilgang til de filer eller data som brukeren har eierskap til eller som brukeren har oppnådd tillatelse til å gjøre tilgang til. Det tilgangsnivå som brukeren har med hensyn til hver fil eller hvert dokument styres av tjeneren. Det betyr at en bruker kan tillates bare å lese og redigere en fil, men ikke flytte eller kopiere den bort fra tjeneren, eller IDCen, dersom brukerprogrammet kjøres fra den intelligente databærer, i visse utførelser. Som sådan har hver bruker virtuelt en privat database, dvs. pr.-brukerdatabasen 723, forbundet med tjeneren.

EVFS'et 709 som brukes i det sikre nettsystem som her er beskrevet gir forbedret beskyttelse av data og brukerprogrammer som tilhører hver bruker. I tilfellet av kompromente-ring av fysisk art ved f.eks. at IDCen stjeles eller mistes, vil dataene lagret i EVFS'et 709 bli uleselige eller ikke synlige for noen andre enn den riktig autentiserte bruker, dvs. eieren av filen, som har tilgang til den private ECC-krypteringsnøkkel som kan låse opp filene.

Frembringelsen av EVFS'et 709 forsterker således det brukersentrerte aspekt av det sikre nettsystem i henhold til de forskjellige utførelsesformer. Sammen med kryptering, autentisering og andre trekk drøftet i foreliggende beskrivelse muliggjør EVFS'et 709 sikker levering og frittstående drift av brukeranvendelser gjennom en IDC.

De forskjellige utførelser er ytterligere beskrevet ved hjelp av de etterfølgende eksempler som er illustrerende for de beskrevne utførelsesformer, men som ikke begrenser disse på noen som helst måte.

Eksempel 1: Datagram-eksempler og spesifikasjoner for primære og sekundære (underordnede) datagramtyper Datagrameksempler

Øyeblikksmeldingstyper

Instant Message

Remote logging

Remote data-collection

Execute remote command

File Transmission

Audio-video communication

EDI transaction

Kring kasti ngstyper

Non real-time point-to-multipoint transmission

Stock ticker

Non real-time multipoint-to-multipoint transmission

Channel-based chat (IRC style)

Real-time point-to-point transmission

User-to-user chat

Audio-video conference (audio or voice telephony)

Real-time point-to-multipoint transmission (broadcast)

Audio-video broadcast

Real-time multipoint-to-multipoint transmission Audio-video conference

Brukerkatalogtyper

Query

Update

Tjenerkøtyper

Offline storage

Server swap area

Innholdsfilterstyring

Filter status

Filter statistics

Filter update (add/remove ru les)

Filter set

Filter reset

Obligatoriske datagramfelter

Begynnelsen av hvert datagram kan ha følgende utseende:

Ytterligere innledende felter kan tilføyes de ovenfor nevnte, avhengig av datagramtype. Ytterligere innledende felter fylles typisk inn av klienten og kan valideres av tjeneren.

Signatur/ CRD- tvper:

I forskjellige datagrammer vedheftes ytterligere innledninger. Innledningene fylles inn av klienten og kan valideres av tjeneren.

Symmetriske chiffertyper

En del av SKE (Secure Key Exchange) forhandles. Symmetriske chifreringer kan være understøttet både av klienten og tjeneren, og velges på grunnlag av tillatelser og chifrer-ingstype-prioritet.

Sikker nøkkelutveksling

SKE brukes for å realisere vilkårlige engangskrypteringsnøkler (som kan kastes) i visse ut-førelser, slik at ingen symmetriske chifreringsnøkler lagres hos klienten og som kunne utsettes for risiko for kompromittering.

Annen informasjon eller data utveksles over nettet når SKE utføres. Denne informasjon eller data kan innebære restriksjoner eller høynede privilegier for brukeren.

SKE-prosessoversikt

1. Client connects to server

2. Server sends SPK datagram to client

3. Client validates server signature and returns CIF datagram

4. Server validates client data and returns SKP datagram

5. Client sends receipt

6. Server sends receipt

SPK-datagram

Et datagram for tjenerens offentlige nøkkel (SPK - Server Public Key) brukes for å trans-portere tjenerens offentlige nøkkel for sesjonen til klienten. Tjeneren kan signere nøkkelen med den private nøkkel fra det forhåndsdelte, offentlige/private ECC-nøkkelpar som er generert under tjenerinstallasjonen for å vokte mot innblandende snoking.

CIF-datagram

Et datagram for klientidentitet og fasilitet (CIF) koder data med hensyn til klienten (IDC), innbefattet informasjon om verten hvor IDCen utføres, såvel som den offentlige nøkkel som klienten ønsker å bruke for sesjonen.

Dataene er kodet på en CSV-lignende måte

Chifreringen og nøkkellengden er formatert slik:

<cipher methodxkeylengthxcipher methodxkeylength>

Klientutstyrstype (CDT - Client Device Type) henviser til en beskrivelse av IDCens maskinvaremessige miljø (slik som PNP-utstyrs-ID'en for vindusbaserte verter). Enhver opplysning kan brukes på verten som IDCen er blitt forbundet med, innbefattet f.eks. verts-prosessorens serienummer, fastvarerevisjon og serienummer for moderkortet (eller moder-kort-BIOS'en), autentiseringsdata fra forskjellige maskinvaremessige berettigelsesmerker (f.eks. biometrisk inngangsutstyr, smartkortlesere, flash-lesere), og MACen for grense-snittet som verten kommuniserer med tjeneren gjennom.

Hele CIF-datagrammet kan krypteres ved å bruke tjenerens offentlige nøkkel. Den utvekslede verdi (EV - Exchanged Value) sendes sammen med den krypterte pakke. Det krypterte datagram som sendes kan se ut som følger:

1* and 2<nd>octet are (in hex) the length of the EV.

n octets follows with the EV

n octets follows with the encrypted CIF data

SKP-datagram

Et SKP-datagram (Server Key Package) inneholder informasjon om chifrering, bitlengde og nøkler, men kan utvides for andre formål.

Tjeneren behøver ikke signere informasjonen i SKP-datagrammet. SKP'en krypteres med klientens offentlige nøkkel som i sin tur sendes til tjeneren og krypteres med tjenerens offentlige nøkkel. Dette datagram kodes på en CSV-lignende måte:

SKP Type 0

Dette er et normalt SKP-datagram. Det inneholder informasjon til klienten om chifrering, nøkkellengde og chifreringsmodus for opp- og ned-strømmen.

SKP Type 1

Instruerer IDCen til å gjenfinne en "klientidentitef-oppdatering fra en spesifikk tjener (eller en tilleggsidentitet).

SKP Type 8

Informerer IDCen om at den ikke får lov til å forbindes med systemet fra sin nåværende lokalisering. Tjeneren kan automatisk terminere forbindelsen ved vellykket overføring av et SKP-datagram type 8

SKT Type 9

Spør IDCen om å forsøke å gjenvinne en fastvare-oppdatering.

SKP Type 10

Instruerer IDCen til å spørre brukeren om å returnere IDC-utstyret ettersom det er blitt rapportert mistet eller tapt.

SKP Type 11

Instruerer IDCen til å forsøke "selvdestruksjon". SKP Type 11-metoder

SKP-datagrammet er kryptert med klientens offentlige nøkkel. Den utvekslede verdi (EV - Exchanged Value) sendes sammen med den krypterte pakke. Det krypterte datagram kan se ut som følger:

l"and 2""octet are (in hex) the length of the EV.

n octets follows with the EV

n octets follows with the encrypted SPK data

CR-datagram

Et CR-datagram (Client Receipt) er en SHA- 1 Hash av hele (det krypterte) SKP-datagram kryptert med symmetrisk chifrering, bitlengde og metode angitt av tjeneren.

SR-datagram

Et SR-datagram (Server Receipt) sender tilbake den samme hash, både som kvittering og som en prøve på chifreringsstrømmen fra tjeneren til klienten.

Hovedtype 0: Tjenermeldinger og forbindelsesstvring

Denne datagramtype brukes av tjeneren til å sende meldinger, gi beskjed om feil og tjener/klient-spesifikk informasjon over nettforbindelsen

Deltype 1: Autentiseringsanmodning

Ved forbindelse med tjeneren kan tjeneren utstede et datagram av typen 0,1 som fordrer at klienten identifiserer seg selv. Datagrammet informerer den forbundne klient om den autentiseringsmetode som fordres for å bli autentisert av tjeneren.

Deltype 2: Autentiseringssvar

Dette datagram brukes av klienten for å validere brukeren.

En mengde autentiseringsmetoder kan brukes i sammenheng med disse deltyper av datagrammer, slik som eksemplifisert med den etterfølgende liste:

Den spesifikke autentiseringsmetode som brukes bestemmer antallet ytterligere datafelter i disse datagrammer. Eksempler på forskjellige felt når visse metoder brukes er vist nedenfor:

Deltype 3: Autentiseringsresultat

Etter at autentiseringsmetoden er behandlet vil klienten motta et datagram av typen 0,3 som leverer resultatet av autentiseringen. Dette datagram har visse statiske felt:

Og for vellykket autentisering kan tilleggsfelt inkluderes:

Deltype 4: Generisk feil

Dersom tjeneren støter på mulige feil under en klientsesjon fanger denne type datagram opp feilen. De inkluderte felt er:

Deltype 5: Ugyldig datagram

Dersom datagrammet sendt til tjeneren av en eller annen grunn anses å være ugyldig vil denne type datagram inneholde grunnen i sine nyttedata.

Deltype 6: Uriktige tillatelser

Dette datagram angir at nett-tilgang er nektet.

Deltype 7: Holde i live

Dette datagram sendes av tjeneren og/eller klienten til hverandre i et forutbestemt interval for å holde TCP-forbindelsen åpen. Dette er nyttig når systemet kjører gjennom forskjellige bufferbrannvegger (f.eks. FW- 1) eller kjører over en oppringt forbindelse (f.eks. gjennom en ruter for oppringning)

Denne type datagram er også nyttig for tjeneren for å be om at klienten sender tilbake et "holde i live"-datagram for således å påvise om klienten er i live. Tjeneren kan koble ned når ingen respons mottas fra klienten.

Hovedtype 1: Innholdsdatagram

Deltype 1: Datagram med normalt innhold

Dette datagram inneholder de faktiske innholdsdata som skal overføres.

Deltype 2: Fjern logging

Dette datagram inneholder loggoppføringer fra et forbindende utstyr som har en "logg-innsamler"-klient installert og som er beregnet på en loggende tjener som selv kan være en klient i et annet nett i henhold til visse utførelser

Deltype 3: Fjern datainnsamler

Dette datagram representerer en forespørsel for en klient fra en "Remote Data Collector"-motor hos tjeneren for å hente data fra klienten for opprettelse av forbindelsen.

Byte size Content

8 Final Recipient-ID

1 Data gram type (query or answer)

n Mime encoded data

Deltype 4: Anmodning om innholdsgodkjennelse

Dette datagram brukes for å be om godkjennelse av overførte innholdsdata, slik som signering av dokumenter, kostnadsrapporter og godkjennelse av elektroniske finans-transaksjoner.

Byte size Content

8 Final Recipient-ID

n Mime encoded and XML formatted content for approval

Deltype 5: Svar på innholdsgodkjennelse

Dette datagram brukes for å svare på anmodninger om innholdsgodkjennelse (deltype 4).

Byte size Content

8 Final Recipient-ID

1 Approve or reject

1 Length of sig nature field

n ECC Signature on the data-field of the"Type 8"packet.

Hovedtype 2: Kringkastingsdatagram

Denne type datagrammer brukes for mange slags konfererende og kringkastende brukeranvendelser. Et antall deltyper kan implementeres, innbefattet ikke-sanntids overføring fra et punkt til flere punkter, sanntidsoverføring fra punkt til punkt (f.eks. samtaler bruker til bruker, audio/video-konferanse), sanntidsoverføring fra et punkt til flere (f.eks. aksje-boker", audio/video-kringkasting), sanntidsoverføring fra flere punkter til flere punkter (f.eks. audio/video-konferanse).

Hovedtype 3: Forbindelsesbuffer

Datagrammer av forbindelsesbuffertype (Connection Proxy) brukes for å bære rå forbindelsesdata og sende disse fra en innleiret eller innebygget brukeranvendelse på klienten til en nett-tjener.

Bufferforbindelser (Proxy Connections) blir det typisk bedt om over en styrekanal, dvs. den første forbindelse med tjeneren, og opprettes når en ny forbindelse til tjeneren åpnes på anmodning, og som behandles med hell. Det gis en "Proxy Connexction-ID" som også brukes for autentiseringsformål. I alternative utførelser kan bufferforbindelser opprettes direkte over styrekanalen. Dette understøtter dataoverføring via en eneste forbindelse. Det letter belastningen på tjeneren og klienten dersom bufferforbindelsen bærer svært lite data, slik som når det brukes en forbindelse av typen Terminal Server eller telnet.

Forbindelsestyper

Forskjellige typer forbindelsesprotokoller kan brukes

0: TCP

1: UDP

Deltype 1: Bufferdata fra klient

Disse datagrammer bærer de faktiske data for bufferforbindelsen som kommer fra klient-enden. En bruker kan ha en eller flere bufferforbindelser åpne på samme tid. Et felt for forbindelses-ID (CID - Connection ID) er innlemmet for å identifisere hver forbindelse

Deltype 2: Bufferdata til klient

Disse er forbindelsesdata som kommer tilbake fra bufferforbindelsen til klienten (eller

eieren av forbindelsen). Ingen andre felt enn de faktiske data er inkludert siden bufferforbindelsen bare sender til og mottar forbindelsesdata til eieren av forbindelsen. For at klienten skal identifisere hvilken fjerne forbindelse (dvs. tjener) som reagerte, er CID'en inkludert i datagrammets originator-felt.

Hovedtype 4: Stor innholdsoverføring

Disse datagrammer er konstruert for å overføre store stykker av innholdsdata, slik som audiovisuelle media og datafiler.

Deltype 0: Kvittering på overføring

Dersom senderen ba om en kvittering fra den endelige mottager kan den endelige mottager utstede et datagram av typen 4,0 som en kvittering på overføringen. Den returnerte kvittering inneholder innholdet av CRC-feltet og overførings-ID'en.

Deltype 1: Anmodning om innholdsoverføring

Brukes av en klient for å be om overføring av stort innhold. Ved mottagning av klientens anmodning vil tjeneren returnere en overførings-ID (TID - Transfer-ID) som klienten kan bruke, slik at klienten kan åpne en tilleggsforbindelse til tjeneren for å overføre innholdet. Som sådan vil styringsforbindelsen ikke bli blokkert under langvarige overføringer. Deltype 2: Svar på innholdsoverføring

Deltype 3: Segment for innholdsoverføring

Hovedtype 5: Brukerkatalog

Datagrammer av denne type brukes for å lete etter brukere eller brukergrupper, eller for å oppdatere brukerinformasjon i brukerkatalogen.

Søkerfeltene i forespørselen behandles som en maske. Søkene gjøres med søkemasker behandlet som et regulært uttrykk når den underliggende databaseinfrastruktur under-støtter dette.

MySQL kan implementeres for å utgjøre en standarddatabase i basissystemet hvor uttrykk med regulære uttrykk understøttes. Systemkonfigurasjonen understøtter således alle søk som bruker regulære uttrykk.

Deltype 1: Bruker tilkoblet (Online)

Dette datagram brukes for å gi beskjed til systemet når en bruker blir forbundet med nettet.

Deltype 2: Bruker frakoblet (Offline)

Dette datagram brukes for å gi systemet beskjed når en bruker kobles bort fra nettet.

Deltype 3: Brukersøkanmodning

Denne brukes av den forbundne klient for å søke etter brukere i hele brukerkatalogen på grunnlag av en viss datamaske. Denne type søk returnerer datagrammer av typen 5,10

Deltype 4: Distinkt brukersøk

Tilsvarende deltype 3, men returnerer et mer presist samsvar med brukeren. Denne type søk returnerer datagrammer av typen 5,10.

Hovedtype 6: Fjernforvaltning

Denne datagramtype gjør det mulig for administratorer eller priviligerte brukere i nettsystemet fjernt å styre andre forbundne klienter, utføre brukerprogrammer på de forbundne klienter og fremme oppdateringer.

Deltype 1: Utførelse av fjernt konsollprogram

Dette datagram av typen 6,1 utfører det definerte brukerprogram og opprettholder en åpning til programmet og brukerprogrammets prosess-id returneres iverksetteren ved vellykket utførelse. Denne prosess-id må brukes i alle påfølgende kommando- eller styredatagrammer for prosessen.

Deltype 2: Resultat av fjern utførelse

Sendes tilbake til iverksetteren av datagrammet av typen 6,1 ved vellykket utførelse av 6,1-datag rammet.

Deltype 3: Fjern prosess terminert

Når den fjerne prosess iverksatt av 6,1-datagrammet terminerer, sendes et 6,3-datagram sammen med utgangs- eller sluttkoden fra brukerprogrammet.

Deltype 10: Fjernverktøy-anmodning

For å forenkle gjenvinning av data fra en fjern klient eller utføre grunnleggende regulering på en fjern utstyrsenhet er et grunnleggende verktøysett gjort tilgjengelig for å gjenvinne informasjon fra den fjerne utstyrenhet, innbefattet informasjon om en liste over pågående prosesser, påloggede brukere, datalagring osv.

Deltype 11: Fjernverktøy-svar

Inneholder et CSV-formatert svar avhengig av det verktøy det er bedt om.

Deltype 20: Anmodning om dataprogramoverføring

Brukes for å starte overføring av et dataprogram eller en programoppdatering. Options Bitfield

Transfer types

1 Transfer of file (for update, existing file are not required present)

2 Transfer of Client firmware (replaces current)

3 Transfer of Client. ISO codes (replaces current, ISO codes include CD ROM data format e. g., ISO 9660, and other data standards per the International Organization for Standardization,

www.iso.org)

4 Transfer of compressed archive (to be expanded at target location)

Deltype 21: Svar på dataprogramoverføring

Brukes for å signalere innvilget eller avvist.

Deltype 22: Innholdsdel av brukerprogramoverføring

Disse datagrammer inneholder de faktiske data for overføring.

Et "innholdsdel"-felt på fire oktetter vil åpne for inntil 256<A>4 deler i en eneste overføring som vil sørge for overføringen av dataprogrammer, bilder og arkiver som overskrider 4

gigabyte i størrelse (dersom det f.eks. brukes datagrammer som inneholder 1K data hver).

Et "overføringsdel"-felt starter ved 1 og øker trinnvis med 1 for hver overført del og sender et datagram av typen 6,22 med en "overføringsdel" lik 0 (null) for å signalere slutten på en overføring.

Deltype 23: Overføringskvittering

En kontrollsum for det overførte dataprogram.

Hovedtype 7: Multimediaoverføring i sann tid

Denne type datagrammer benyttes for å understøtte sendinger fra klient til klient av multimediainnhold.

Deltype 1: Overføringsanmodning

Brukes for å be om tillatelse til å begynne en overføring

Media Content Types Deltype 2: Overføringssvar

Deltype 3: Kontinuerlig mediastrømpakke

Disse datagrammer bærer enkeltvise pakker som utgjør en overføring.

Deltype 4: Terminering av overføring

Kan utstedes både av sender og mottager for å angi enten slutten på en overføring (når sendt av overføringskilden) eller avbrutt overføring (når sendt av mottageren).

Deltype 5: Mottagerliste-forvaltning

Når det utføres en overføring fra en til mange slik som en forelesning, konferansesamtale (VolP), kan man benytte disse datagrammer for å forvalte datadistribusjonen til hele listen av mottagere.

Action Definitions:

Deltype 6: Anmodning om omdirigering av overførsel

Disse datagrammer gjør det mulig for klienten å overføre sin beskjed om "slutt på over-føring" til en annen bruker.

Eksempel 2: Objektvektorbasert superklassifiserer og biometriske størrelser

Det henvises til fig. 2 hvor det er vist en supersorterer eller -klassifiserer (også betegnet multisorterer) for objektvektorer. Mer enn en dataobjektvektor brukes for autentisering på hendelsesnivå. Klassifiseringsbeslutninger kan gjøres på grunnlag av overordnede eller vilkårlige summer beregnet ut fra dataobjektvektorer, innbefattet objektvektoren 1, 2 og 3 i fig. 2. Her er hver objektvektor forbundet med en eller flere klassifiserere fra klassifiserer 1 til N. Det betyr at uttrekk av kjennetegn kan gjøres fra flere objektvektorer og så omformes til et sett av klassifiserere, som samlet utgjør en "supersorterer av klasser". Hendelsesspesifikk omdannelse gir forholdsvis enkle fordelinger som kjennetegner hendelsesbaserte trekk.

Et eksempel på brukerautentisering ved hjelp av supersorterere involverer biometriske størrelser. I en utførelse av denne oppfinnelse brukes supersortereren i forbindelse med fysiske, biometriske målinger, innbefattet stemmegjenkjenning, fingeravtrykk, håndavtrykk, blodkarmønstre, DNA-tester, avsøkning av nett- eller regnbuehinnen og ansikts-gjenkjennelse og annet. I en alternativ utførelse brukes supersortereren i sammenheng med biometriske ytelsesmålinger, innbefattet vaner eller mønstre ved individuell oppførsel.

En sesjon med hendelsesbasert autentisering og valg og utførelse av objektanalyse på grunnlag av sådanne brukerspesifikke hendelser øker sannsynligheten for å identifisere eller utlede binære strukturer i objektbeslutningsanalysen. Ettersom binære strukturer legges til en supersorterer kan autentiseringssesjonen evalueres med stor grad av sannsynlighet.

Det skal forstås at beskrivelsen, de spesifikke eksempler og data, samtidig som de antyder eksempler på utførelser, er gitt som illustrasjon og er ikke ment å begrense de forskjellige utførelser av foreliggende oppfinnelse. Alle referanser som her er omtalt er spesielt og i sin helhet tatt med som referanse. Forskjellige endringer og modifikasjoner innenfor foreliggende beskrivelse vil bli nærliggende for fagfolk med erfaring, ut fra den her inneholdte beskrivelse og opplysninger, og betraktes således som en del av de ulike utførelser av foreliggende oppfinnelse.

Vedlegg 1: Objektklassifisering ved verifisering av taler

Klassifisering og estimering av sannsvnlighetstetthet

Talerverifisering er et klassifiseringsproblem likt en hvilken som helst annen dataobjektvektor, som involverer to klasser, nemlig måltalere (I) (bruker av objektet) og bedragere (-I)

(objektets gjerningsmann). For å utføre klassifisering eller sortering behøves i dette tilfelle et sett målinger utledet fra registreringer av en talers stemme. Disse målinger blir passende representert som D-dimensjonale vektorer:

Hver taler kjennetegnes ved en sannsynlighetstetthetsfunksjon: som måler sannsynligheten av observasjoner. Sannsynlighetstettheten er kjennetegnet ved: hvor P(l) og P(-l) er forhåndssannsynligheter for henholdsvis prøver på måltaleren og prøver på bedrageren. For talerverifisering er "etterpå"-sannsynligheten for den påståtte taler I gitt en observasjon, æ! av interesse.

En etterpåsannsynlighet (a posteriori probability) kan beregnes ved hjelp av Bayes" regel:

Siden I og -I er innbyrdes eksklusive, har vi:

—*

dvs. at den sannsynlighet som identiteten krevde ble korrigert gitt observasjonen £pluss sannsynligheten for en eller annen annen taler (ikke I) var den talende sum til en. Det er attraktivt å bruke en etterpåsannsynlighet for klassifiserings- eller sorteringsformål, idet identiteten aksepteres eller avvises av regelen:

og dette får Bayes" feilrate til å bli større enn 0. En klassifiserer som bruker denne beslutningsregel kalles en Bayes-sorterer eller -filter. Et Bayes-filters feilrate er lik:

ukjente og kan bare approksimeres. Således er feilraten for enhver praktisk beslutningsstrategi nødt til å ha en feilrate som i gjennomsnitt er mindre enn Bayes" feilrate.

Forhåndssannsvnligheter og risikominimalisering

Den gjennomsnittlige feilrate består av to uttrykk, avvisning av måltalere (TA-feil): og akseptans av bedragere (IR-feil):

Bruk av etterpåsannsynligheter for å klassifisere stikkprøver er i hovedsak det samme som å klassifisere eller sortere i henhold til maksimal sannsynlighet. Den samlede feilrate er imidlertid avhengig av det relative antall prøver på bedrageren og måltaleren. Dersom bedragerprøvene er mye mer hyppig enn prøvene på måltaleren er det lønnsomt å sortere noen stikkprøver i klassen -I, selv om I er mer sannsynlig, fordi den samlede, absolutte feil er mer avhengig av E-I enn El. Med andre ord minimaliseres E-I på bekostning av El. Måten å avveie disse feilrater optimalt på er ved å fastsette forhåndssannsynligheter som gjenspeiler det relative antall bedrager/måltaler-prøver (objektforsøk).

Å tildele forhåndsprioriteter er bare en måte å avveie TA- og IR-feil på. Generelt kan de to typer feil ha ulike konsekvenser og det kan derfor være ønskelig å oppnå en avveining som gjenspeiler prisen på feilsortering. I dette tilfelle erstattes P(l) og P(-l) med:

hvor C(l |-l) er prisen på å klassifisere en -I -stikkprøve som I. Klassifiseringen skjer her i henhold til risiko og ikke etterpåsannsynlighet:

Analogt med ligning 1.6 har vi følgende beslutningsregel:

En mer pragmatisk tilnærmelse til problemet ved å avveie TA- og IR-feil er på forhånd å bestemme en akseptabel feilrate for enten Ei eller E.i \ og så bruke dette for å bestemme beslutningsoverflatene (og ved å utvide P(l) og P(-l)). Uansett hva som velges, forblir det reelle problem ved å estimere klassesannsynligheter:

det samme.

Estimering av sannsynlighet

En løsning på å implementere en beslutningsregel er på separat måte å estimere sann-synlighetstetthetene: i prøvesituasjonen å bruke Bayes' regel for å konvertere sannsynlighet (likelihoods) til mulighet/sannsynlighet (probabilities) og som kan brukes i stedet for: Denne løsning er imidlertid mer omfattende enn nødvendig siden problemet med verifiseringen (som på grunn av sin ytringsomdannelse blir et binært dataobjekt) bare avhenger av sannsynlighetsforholdet:

Med hensyn til LR(-x) blir beslutningsfunksjonen 2.6:

Bayes' beslutningsoverflate mellom klasse I og klasse -I er kjennetegnet ved:

For klassifiserings- og sorteringsformål behøver vi bare kjenne til på hvilken side av beslutningsoverflaten som stikkprøven SP faller. I eksempelet gitt i fig. 2.1 er denne overflate den enklest mulige, nemlig et enkelt punkt x = t, hvor t er beslutningsterskelen.

Et skille gjøres mellom parametrisk og ikke-parametrisk sortering. Forskjellen ligger i den tidligere antagelse som er gjort om klassefordelinger. Parametrisk klassifisering eller sortering går ut fra at stikkprøvene som skal klassifiseres tilhører en smalt definert familie av sannsynlighetstettshetsfunksjoner, mens ikke-parametrisk klassifisering eller sortering bare gjør svake antagelser om forhåndsfordelingene. Således er ikke-parametrisk klassifisering mer generell, mens parametriske sorterere er lettere å konstruere fordi de har færre frihetsgrader.

Parametrisk klassifisering

Som et eksempel på parametrisk klassifisering kan vi anta at klassene (J =1,2) kjennetegnes ved normale sannsynlighetstettheter:

I dette tilfelle er: gitt ved:

Dette er en kvadratisk funksjon. Dersom vi videre antar at de to fordelinger deler den samme kovariansmatrise S1 = S2 = S, forenkles dette til:

Til venstre har klassene like middelverdier:

m = 15,U2= 17

Til høyre har klassene forskjellige middelverdier:

m=15,U2=27

I eksempelet til høyre kan Bayes" beslutningsoverflate nært approksimeres med en lineær funksjon, hvor:

Dette er en lineær funksjon. Innen skjelnende analyse er ligningen 1.22 kjent som Fishers lineære skjelnende funksjon. Som vi har sett er denne skjelnende funksjon optimal for normalt fordelte klasser kjennetegnet ved de samme kovariansmatriser, men dens nyttighet går ut over dette. Den er en robust funksjon som (skjønt ikke optimalt) kan brukes med gode resultater dersom klassefordelingene har form av "kuleformede skyer". Selv om det er kjent at ligning 1.21 og ikke ligning 1.22 er den optimale skjelnende funksjon, kan faktisk ligning 1.22 gi bedre resultater (Raudys og Pikelis 1980). Problemet når ligning 1.21 brukes, er at ut fra et begrenset stikkprøvesett er det vanskelig å oppnå gode estimater for S1 og S2. Dette er særlig sant i høydimensjonale rom.

Den lineære klassifiserer er mindre følsom overfor estimeringsfeil siden avhengigheten primært ligger på førsteordensmomenter (middelverdiene): som er lettere å estimere enn S1 og S2 (annenordensmomenter). Om nødvendig kan den lineære klassifiserer forenkles ytterligere ved å anta at S er diagonal, eller til og med at S er lik identitetsmatrisen.

Eksempel

Fig. 2 viser to eksempler på endimensjonale tetthetsfunksjoner for to normalt fordelte klasser. I begge eksempler er Bayes' beslutningsoverflate kvadratisk fordi variansen er ulik:

og i tilfellet én er:

m = 15, U2 = 17,

mens i tilfellet to er:

m=15, U2=27.

Antas det like forhåndsverdier kan vi fastsette en beslutningsregel ved å bruke ligningen 1.21:

Således får vi følgende beslutningsregel:

Feilraten er:

I det lineære tilfelle får vi fra ligning 1.22: som fører oss til beslutningsregelen:

Hvor feilraten er (0,40 + 0,16)/2 « 28%. Den kvadratiske klassifiserer eller sorterer er her betraktelig bedre enn den lineære klassifiserer eller sorterer. I tilfellet 2 blir den tilsvarende beslutningsregel:

forden kvadratiske klassifiserer, og: for den lineære klassifiserer. Den gjennomsnittlige feilrate er henholdsvis 0,007% og 0,03%, hvilket er meget lite for begge beslutningsregler. Relativt sett er imidlertid den kvadratiske beslutningsregel fortsatt vesentlig mer nøyaktig. Dette er ikke fordi den er kvadratisk, idet en lineær beslutningsregel, slik som:

har denne samme lille feilrate som den kvadratiske beslutningsregel. Således forårsakes forskjellen i ytelse her av antagelsene om forhåndsfordelingene.

Lineære kontra ikke-lineære beslutningsoverflater

Ved å anta på forhånd at løsningen på

er lineær med hensyn tilx , forenkles konstruksjonen av en klassifiserer. Ikke-lineære klassifiserere er kraftigere fordi det gjør det mulig for løsningen på ligning 1.29 å bli trukket fra et større sett (som vanligvis inneholder den lineære løsning som et spesialtilfelle). Det er imidlertid intet begrensende ved å anta lineære beslutningsoverflater siden lineariteten refererer seg tilx , men vektorenx kan være "forhåndsbehandlet" før den gis til klassifisereren. Anta f.eks. at den optimale beslutningsoverflate i et gitt 2D-problem: har formen:

En lineær klassifiserer er stand til å implementere denne beslutningsoverflate dersom klassifiseringen i stedet for ut fra Xi ogX2, gjøres ut fra:

Med andre ord kan den todimensjonale, kvadratiske beslutningsfunksjon implementeres med en lineær funksjon i et 5D-rom.

Ikke-parametrisk klassifisering

Fig. 3 viser et realistisk eksempel på hva (taler- eller objekt-)klassefordelingene i et talergjenkjennende system eller en objektgjenkjennende motor kan se ut som.

Den antagelse at observasjonene fra en gitt taler er trukket fra en normal fordeling, er her fornuftig.

Fishers skjelnende funksjon er egnet for å skjelne mellom to mulige talere (og i dette tilfelle i forhold til et objekt som inneholder en hvilken som helst gitt datakilde), men den er tydeligvis en dårlig modell (i 2D) for å skjelne mellom en måltaler og de øvrige talere i en befolkning (en linje kan ikke trekkes, som skiller en individuell taler fra de fleste andre talere i befolkningen). Faktisk er bedragerklassen for komplisert til på en god måte å bli modellert ved en hvilken som helst enkel parametrisk fordeling. Dette er en vanlig situasjon for mange mønsterklassifiserende problemer. Et antall teknikker finnes for ikke-parametrisk klassifisering og sannsynlighetstetthetsestimering.

Estimering av ikke-parametrisk sannsynlighetstetthet

Med et gitt øvelsessett av stikkprøver med kjente klassemedlemskap er estimering av ikke-parametrisk sannsynlighetstetthet problemet ved å konstruere en PDF som approksimerer den sanne PDF som kjennetegner klassene uten å anta noen ting om funksjonen, annet enn at den eksisterer.

Histogramregler

Den enkleste løsning på estimering av ikke-parametrisk tetthet er å dele kjennetegnrommet opp i volumer v med størrelse hD hvor h er sidelengden av en D-dimensjonal hyper-kubus. Sannsynligheten for en gitt stikkprøve 3 kan da beregnes ved å identifisere det volum v(<æ>) som den tilhører og så beregne det relative antall øvelsesstikkprøver som faller innenfor dette volum:

hvor er antallet stikkprøver som faller innenfor volumet v(æ ) som tilhører, mens N er det samlede antall stikkprøver i øvelsessettet 1. 2. 2 K- Nearest Neighbour.

PDF-estimatet av nærmeste nabo fjerner problemet med å velge ut parameteren h ved å la størrelsen av de forskjellige volumer variere, slik at et fast antall øvelsesstikkprøver (k) faller i hvert volum. Resultatet er en såkalt Voroni-partisjon (tesselasjon eller "mosaikk") av kjennetegnrommet. Et eksempel (k = 1) er gitt i fig. 4.

Slik som histogramregelen er imidlertid estimatet på sannsynlighetstetthet usammen-hengende, idet to nabostikkprøver på forskjellig side av en cellegrense generelt har forskjellige sannsynligheter til tross for det forhold at avstanden dem imellom kan være skjønnsmessig liten. Voroni-partisjonen har også et grenseproblem fordi noen celler har et uendelig volum, hvilket betyr at stikkprøver som faller innenfor disse celler har en estimert sannsynlighet på null.

Kernel-funksjoner

En alternativ generalisering av histogramregelen er å beregne som en sum av kjernefunksjoner (Hand 1982):

Fasongen av kjernen bestemmer kjennetegnene ved . Som et eksempel fører en ensartet kjerne: i hovedsak til histogramregelen, mens dersom er en kontinuerlig funksjon, er også kontinuerlig. Gaussiskekjerner er et populært valg:

Siden approksimerer en PDF, er det bekvemt å fordre:

fordi dette automatisk betyr at er en PDF.

Sannsynlighet ( mulighet)

Fig. 5 viser et kjerneestimat på tetthetsfunksjonen tilsvarende fig. 3. Kjernefunksjonene er generelt plassert på en uensartet måte i kjennetegnrommet. I motsetning til den enkle histogramregel blir således noen regioner av kjennetegnrommet ikke "modellert" i det hele tatt, mens i andre, hvor tetthetsfunksjonen er komplisert, kan flere kjernefunksjoner over-lappe hverandre for å modellere tettheten.

For f.eks. å approksimere tetthetsfunksjonen vist i fig. 3 vil det være fornuftig å bruke 10 kjerner med sentre tilsvarende senteret i hvert sirkulære område som stikkprøvene for en spesifikk taler faller i. I dette tilfelle bør h fornuftig nok tilsvare standardavviket for en gitt talers data. Et eksempel på dette er vist i fig. 1.5 hvor gaussiske kjerner er blitt brukt.

Ikke-parametrisk klassifisering

Formålet for å estimere PDF'er er å bli i stand til å beregne a posteriori sannsynligheter som kan brukes i beslutningsregelen 1.6. Det er imidlertid mulig å implementere 1.6 direkte uten dette mellomliggende trinn. Måten å gjøre dette på er prinsipielt å dele kjennetegnrommet i regioner og merke hver region i samsvar med hvilken klasse som stikkprøver som faller innenfor denne region, (sannsynligvis) tilhører.

Det er ikke vanskelig å se at regelen om den K-nærmeste nabo kan brukes for klassifisering ved ganske enkelt å sette en merkelapp på hver Voroni-celle i samsvar med hvilken klasse størstedelen av K-stikkprøvene i cellen tilhører. De resulterende beslutningsoverflater vil være stykkevis lineære.

Klassifiserere kan også baseres på kjernefunksjoner. I dette tilfelle er fordringene til kjernefunksjonene K() mindre restriktive fordi betingelsene for en PDF ikke må tilfredsstilles. Nettverket av radiale basisfunksjoner (RBF) er et eksempel på en klassifiserer basert på kjernefunksjoner.

Radiusmaksimering av basisfunksjoner

For RBF-nettverk kan en struktur legges på basisfunksjonene ved å betrakte basisfunksjonenes radier:

hvor den lille h er mer toppet eller pigget enn basisfunksjonen. En "pigget" (spiked) basis-funksjon er bare følsom overfor et meget lite område av kjennetegnrommet og kan gjerne bety "overtrening". Brede basisfunksjoner (hvor h er stor) dekker et stort volum av kjennetegnrommet og jo større h er, desto mer ligner basisfunksjonen på en enkel forspenning eller skjevstilling (bias) som alltid er aktiv. Et nettverk som er opplært til å ha store radier er således mer tilbøyelige til å være i stand til å generalisere, og radiene bør forlenges til et punkt hvor de ikke i særlig grad forringer klassifiseringsytelsen på treningssettet.

Enheter av klassifiserere

Det er et problem for mange modeller, særlig nevrale nettverk, selv med bare begrenset kompleksitet, at treningsalgoritmene som brukes for å estimere deres parametre ikke er i stand til å avgjøre det globale minimum av optimaliseringskriterier, men bare lykkes i å bestemme et lokalt minimum. Av denne grunn kan det være nyttig å trene diverse klassifiserere på de samme data og bruke disse nettverk for å skape en ny "super"-klassifiserer. Kombinasjonen av forskjellige nettverk kan ikke lett gjøres i parameterdomenet, men nettverk som representerer forskjellige lokale minimumsverdier er tilbøyelige til å modellere forskjellige deler av problemet og en klassifiserer definert som den gjennomsnittlige avgivelse fra de enkelte klassifiserere vil generelt gjøre det bedre enn noen av de enkelte klassifiserere, og dersom de enkelte statistiske tota Ife i I rate r (ligning 1.40) for N klassifiserere betegnes: kan det vises at den forventede statistiske totalfeilrate for samlingen av klassifiserere er gitt ved (Perrone og Cooper 1994):

så sant nettverkene gjør feil uavhengig av hverandre. Så lenge feilene ikke er innbyrdes korrelert kan således ytelsen av samlingen av klassifiserere forbedres ved å legge til flere nettverk og den statistiske totalfeilrate kuttes til det halve hver gang antallet nettverk fordobles.

For modeller av typen perseptron kan nettverk som representerer forskjellige lokale minima skapes ganske enkelt ved å initialisere vekttall på ulike måter (Hansen og Salamon 1990, Battiti og Colla 1994). I Benediktsson m.fl. (1997) trenes individuelle nettverk (perseptroner) på data som er blitt omdannet ved å bruke forskjellige dataomformere. Ji og Ma (1997) foreslår en algoritme spesielt for å velge ut og kombinere svake klassifiserere (perseptroner).

Talerverifisering

Talerverifisering og objekthåndtering i et vilkårliggjort miljø er et mønstergjenkjennings-problem og konseptuelt er det et meget enkelt sådant, siden det er nødvendig å skjelne mellom bare to klasser (mønstre), dvs. talere eller objekter og bedragere. Det er imidlertid ikke lett å skille ut to klasser i kjennetegnrommet. Klassefordelingene er komplekse og må i praksis modelleres ved å bruke ikke-parametriske teknikker. Nevrale nettverk er attraktive klassifiserere for problemer av denne art, idet deres skjelnende treningsprogrammer gjør det mulig for dem å fokusere modelleringen på områder av kjennetegnrommet, som diskriminerer talere eller objekter godt.

Et problem med mange trenings- eller objektlærende algoritmer er imidlertid at de ikke er i stand til å garantere optimale verdier av modellparametrene. I dette tilfelle kan det brukes strukturelle risikominimaliserende teknikker for å legge begrensninger på modellene, som forbedrer deres evne til å generalisere. En annen løsning på problemet med "underoptimale" parametre er å bruke "ensemble"-teknikker, idet et ensemble av enkle, underoptimale klassifiserere kan kombineres for å danne en ny, kraftigere og mer robust klassifiserer. Ensemble-metoder er attraktive fordi feilraten for klassifiserersamlingen i prinsippet er omvendt proporsjonal med antallet medlemmer i samlingen.

Vedlegg 2: Objektanalyse eksemplifisert ved RBF-basert fonemmodellering

Dette eksempel presenterer en klassifiserer-arkitektur som kan anvendes på talerverifisering på hendelsesnivå, men skal betraktes som et eksempel på en metode som kunne brukes på en hvilken som helst gitt objektdatatype. Klassifisereren - et RBF-nettverk - er ikke selv i stand til å identifisere hendelser som den arbeider på og bygger på en prosess for uttrekk av kjennetegn for å gjøre dette. Fig. 1.1 viser klassifisererarkitekturen skjematisk. Skjulte Markov-modeller brukes for å segmentere talesignalet. En skjult Markov-fonemmodell modellerer fonemsegmentene som en blanding av normalfordelinger, hvor middelverdiene og kovariansene for blandingen endrer seg på bestemte tidspunkter ved tilstandsoverganger. De bestemte endringer bør ideelt være kontinuerlige, men dette er vanskelig å modellere.

Etter at fonemsegmentene er blitt identifisert utføres det et nytt kjennetegnuttrekk (seksjon 1.1), hvorved hvert enkelt fonemsegment representeres på ny med en enkel vektor av kjennetegn. En kjennetegnvektor som representerer en hel fonemobservasjon vil her bli betegnet en fonemvektor:

Når fonemvektorene er blitt trukket ut inneholder signalet ikke lenger tidsinformasjon, idet det forhold at fonemvektorene måles sekvensielt over en tidsperiode er irrelevant og inneholder ingen informasjon om taleridentitieten. Videre "skapes" den binære form av stemmeavtrykket på en (sann) vilkårlig ytringsmodell som gjøre det binære objekt helt unikt. Hva dette i hovedsak betyr er at vektormodellen blir en vilkårlig vektor n.

Den grunnleggende kjennetegnrepresentasjon som brukes her er i form av filterbank-energier og fonemvektorene behøver derfor bli normalisert i den hensikt å eliminere signalforsterkningsfaktoren (seksjon 1.2). Etter dette utsettes de for en omdannelse 1: før de endelig overføres som inngang til RBF-nettet som beregner talersannsynligheten:

Rammevalg

Varigheten av fonemene (grunnlydene) er en funksjon av fonemsammenhengen, det samlede taletempo og andre faktorer, og fonemvarighetene er høyst varierende. For en tilnærmelse med statisk modellering er det nødvendig å representere fonemene ved hjelp av et fast antall kjennetegn. Dette kan gjøres ved å bruke Markov-segmentering hvor hvert fonem segmenteres i et antall delsegmenter tilsvarende de forskjellige, emitterende Markov-tilstander i fonemmodellen. Mulige representasjonsarrangementer er som følger: 1. Beregn en ny, "varierbar" rammesegmentering (og tale-parametrering) hvor den nye rammelengde justeres til å være en heltallandel av hele fonemsegmentet. Bereg-ningsmessig kan dette være forholdsvis kostbart, men fordelen er at hele fonemsegmentet benyttes. 2. Velg et fast antall (N) eksisterende rammer som representative for fonemsegmentet. Flere rammevelgende strategier kan betraktes: a. Lineær utvelgelse: Velg N rammer med lineær innbyrdes avstand fra fonemsegmentet.

b. Delsegmentutvelgelse: Velg en ramme fra hvert delfonemsegment.

I den hensikt å fremme representasjonens homogenitet bør utvelgelsen gjøres konsekvent f.eks. ved alltid å velge midtrammene i hvert delfonemsegment modellert ved hjelp av separate HMM-tilstander. Dette motiveres av den hypotese at midtrammer representerer det samme punkt i den "bevegelige, gjennomsnittlige" overgang som et talesignal gjennomgår i fonemsegmentet. c. Utvelgelse etter største sannsynlighet: Velg den ramme fra hvert delfonemsegment, som har den største sannsynlighet (eller tilbøyelighet).

Etter at de relevante rammer er blitt identifisert "sammenkjedes" de tilsvarende kjenne-tegnvektorer for å danne en lang vektor.

Utvelgelsesplanene 2A og 2B er ganske like og det er her blitt valgt å benytte 2B som rammevalgstrategi fordi i sammenheng med ensemble-metoder (se seksjon 2.7), kan variasjoner i rammevalgstrategi brukes for å generere "ulike" fonemmodeller for det samme fonem. Utvalgsplanen 2B kan lett varieres ved f.eks. å velge rammer lengst til høyre eller venstre i hvert delsegment i stedet for midtrammen.

Normalisering

Et problem med filterbankrepresentasjon av et talesignal er at signalforsterkningsfaktoren ikke blir godt styrt. Signalforsterkningsfaktoren avhenger av talerens talenivå, avstanden til mikrofonen, vinkelen mellom munn og mikrofone, og opptaksutstyret. I praksis betyr dette at den absolutte forsterkningsfaktor ikke kan brukes for talegjenkjenning og må normaliseres. Slik det er vanlig ved behandling av tale brukes det her en logaritmisk filterbankrepresentasjon. Dette betyr at logaritmen for energiavgivelsen fra hver filterbank benyttes. Energiavgivelser mindre enn én ignoreres og siden de høyst sannsynlig representerer støy og skyldes logaritmefunksjonens singulære oppførsel er det best ikke å modellere sådanne energier.

I det logaritmiske energidomene blir forsterkningsfaktoren en additiv forspenning eller skjevstilling:

Det å ta logaritmen av en vektor betyr her at logaritmefunksjonen anvendes på hvert vektorelement. Likeledes betyr addisjon (multiplikasjon) av en skalar og en vektor at skalaren adderes (multipliseres) med hvert vektorelement. Siden skala ikke er relevant, antas fonemvektorer å ha normen 1: og etter skalering er normen:

Forsterkningsfaktoren kan derfor fjernes ved å beregne normen av: og subtrahere den logaritmiske norm fra filterbankene for å gi:

For å homogenisere dataene ytterligere blir her vektoren:

normalisert til å ha normen 1.

Dersom en uavhengig forsterkningsfaktor knyttes til hver filterbankkanal fører dette til at en forspenningsvektor legges til kjennetegnvektoren. Denne type forsterkningsfaktor kan ikke elimineres ved å betrakte en bestemt kjennetegnvektor, men kan i stedet kompenseres ved å estimere den gjennomsnittlige energiavgivelse over en ytring.

Fjerning av forspenning eller skjevstiling er et nyttig eksperiment i praksis, men er faktisk et ikke-trivielt problem fordi forspenningen som estimeres avhenger av ytringens fonetiske innhold (Zhao 1994). Denne heuristikk brukes ikke her.

RBF- trening

De normaliserte fonemvektorer utsettes for en omdannelse før de settes inn i et fonem:

(<*>)

og et taleravhengig RBF-nettverk som brukes for å beregne funksjonen:

hvor S er aktiveringsfunksjonsskalaen og hvor D er inngangsvektorenes dimensjonalitet. Basisfunksjonens skaler Cjog variansene: er betinget av: som sikrer at nettverket vil approksimere den optimale skjelnende Bayes-funksjon:

For dette kan det brukes en rekke teknikker (Press m.fl. 1995, Bishop 1995). I dette tilfelle er den enkleste løsning å bruke gradientsenkningen fordi gradienten her er lett å beregne og på grunn av nettets størrelse konvergerer treningsalgoritmen så rask at en konjugert gradient eller Quasi-Newton-metoder ikke er nødvendig. Gradientsenkningen er en iterativ teknikk, hvor parameterne under iterasjonen t oppdateres i henhold til: Gradientene er her vist å bli beregnet som en summering over alle treningsstikkprøvene. For å akselerere treningsprosessen slappes det vanligvis av på denne fordring slik at delsett, eller til og med enkeltvise stikkprøver, brukes som grunnlag for beregningen av gradienten og oppdateringen av parameterne. Dette er fornuftig dersom treningsdataene er "periodiske".

(Perioden bør her være minst to, slik at mønsteret for en måltaler og mønsteret for en be-drageritaler representeres i hver periode. Mer generelt kan perioden økes, slik at hver oppdatering baseres på et sett distinkte fonemobservasjoner, f.eks. tilsvarende ulike fonemsammenhenger. Dersom dette ikke gjøres, kan opplæringen bli "feilaktig", idet nettverket blir skjevstilt mot de mest nylig presenterte opplæringsmerker og "glemmer" noe av den informasjon det tidligere har lært.)

Formen på gradientligningen er forholdsvis lett å forstå. Gradientligningene har noen uttrykk felles og noen spesifikke uttrykk.

Et felles uttrykk for alle gradienter innbefatter feiluttrykket:

som er lik null, med mindre stikkprøvene er feilklassifisert. Således blir parameterne ikke oppdatert dersom stikkprøvene klassifiseres korrekt. I tilfellet av feilklassifiseringer er feiluttrykket positivt når målavgivelsen er negativ og negativ når målavgivelsen er positiv. Feiluttrykket kan gis et klasseavhengig vekttall for å fremheve en klassefeilrate over en annen. Som et eksempel kan mønsteret for måltaleren gis et høyt vekttall fordi treningssettet inneholder forholdsvis få måltalermønstre og derved blir klassifisereren mer tilbøyelig til å "overlære" disse mønstre, mer enn det er flust med mønstre for bedrageritalere.

En annet uttrykk som er tilstede i alle gradienter er:

Dette uttrykk har virkningen av å forhindre at parametere endres dersom: dvs. dersom parameterne:

er feilklassifisert med stor margin. Intuitivt er dette nyttig dersom treningssettet inneholder "uteliggere" som ikke kan bli riktig klassifisert ved en liten endring av de eksisterende parametere.

Et tredje uttrykk som deles av alle gradienter er grunnfunksionsavgivelsen:

som er en verdi mellom null og én. Således vil parameterne som gjelder en gitt basis-funksjon ikke bli oppdatert, med mindre stikkprøven: faller innenfor den hyperelliptiske region, hvor:

er aktivert.

Vekttall

Vekttallene (eller vektene) oppdateres slik at for feilklassifiserte stikkprøver økes vekttallet dersom målavgivelsen er positiv og ellers senkes. I den endelige klassifiserer representerer basisfunksjonene med et positivt vekttall klassen I, mens basisfunksjoner med et negativt vekttall representerer klassen -I.

Middelverdier

Basisfunksjoner som representerer målklassen:

flytter seg nærmere den feilklassifiserte stikkprøve, mens basisfunksjoner som representerer den motsatte klasse beveger seg bort. Trinnstørrelsen avhenger av hvor "aktivert" de enkelte basisfunksjoner: er, basisfunksjonenes radius:

avstanden til det feilklassifiserte punkt og som vanlig, klassifiseringsfeilens størrelse.

Basisfunksjonskalaer

Vidden av basisfunksjonene styres av:

Ci

For basisfunksjoner som representerer målklasser minskes:

Ci

(bredden økes), for å inneholde stikkprøven i påvirkningssfæren av disse basisfunksjoner. For funksjoner som representerer den motsatte klasse økes:

Ci

(bredden minskes), for således å ekskludere stikkprøven fra påvirkningssfæren for disse basisfunksjoner.

Oppdatering av variansene har den samme virkning som å utvide bredden av basisfunksjonene for basisfunksjoner som representerer målklassen, og minske bredden av basisfunksjoner som representerer de motsatte klasser.

Varianser

Variansene:

særlig den relative varians av de enkelte kjennetegnelementer. Variansene behøver nødvendigvis ikke samsvare med de statistiske varianser for de enkelte elementer, men heller viktigheten av kjennetegnene. Kjennetegnkomponenter som er lite viktig for klassifiseringen kan bli gitt en stor "varians", slik at de får forholdsvis mindre innflytelse på akti-veringen av basisfunksjonen.

Aktiveringsfunksionsskala

Skalaen for aktiveringsfunksjonen S økes for stikkprøver på den riktige side av hyperplanet implementert ved perseptronen, og minskes for stikkprøver på den gale side. Klassifiseringen av stikkprøvene forbedres eller endres imidlertid ikke av oppdateringen S. Følgelig endrer lærealgoritmen ikke verdien av S for det formål å gjøre feilraten så liten som mulig. Aktiveringsfunksjonens skala kan imidlertid deretter justeres i den hensikt å forbedre RBF-modellen som en sannsynlighetsestimator.

Initialisering

Den iterative treningsalgoritme fordrer innledningvise estimater av nettverksparametrene. Parametrene for et RBF-nettverk er mye lettere å tolke enn vekttall for en MLP og følgelig er det ikke nødvendig å initialisere ved å bruke vilkårlige verdier. Særlig kan det brukes en grupperende algoritme for å beregne fornuftige basisfunksjoner som representerer henholdsvis måltaleren og tilhørende talere. Vekttallene tilsvarende en måltalers basisfunksjoner kan initialiseres til å være:

hvor:

Ni(<l>)

er antallet treningsstikkprøver som faller innenfor den i'te måltalers gruppe. Likeledes kan vekttallene for den tilhørende talers basisfunksjoner initialiseres til å være:

Vekttallet for skjevstillingen:

(Wo)

bør initialiseres til en verdi mindre enn null, og dersom nettverket er representert med en fonemvektor som ikke aktiverer noen basisfunksjoner, bør klassifiseringen være -I (avvisning).

Treningsalgoritmens konvergens avhenger kritisk av initialiseringen av basisfunksjonene, men er i praksis ufølsom overfor vekttallinitialiseringen. Således kan vekttallene ganske enkelt initialiseres til vilkårlige verdier (i området [-1; 1]).

Etterpåsannsvnligheter

RBF-nettverk er opplært til å minimalisere den statistiske totalfeilrate på treningssettet (ligning 1.9). Minimaliseringen av dette feilkriterium får RBF-nettet til å approksimere den optimale (Bayes) skjelnende funksjon gitt ved:

Dette viktige faktum er blitt bevist av flere forfattere (Ruck m.fl. 1990, Richard og Lippmann 1991, Gish 1990a, Ney1991).

Skjønt iStøOr ) approksimerer den optimale skjelnende funksjon gjenstår det fortsatt å gi svar på om den i prinsippet er i stand til på nøyaktig måte å implementere denne funksjon, eller ikke. "Klemme"-funksjonen tanhQ tilstede i avgivelsen fra RBF-nettet begrenser antallet opptegninger fra RD til [-1;1] som kan implementeres. Som et eksempel kan en generell funksjon, slik som:

ikke implementeres av et RBF-nettverk av ovenfor nevnte type, selv om det hadde et uendelig antall basisfunksjoner. Det vil være uheldig dersom pB®y!& v) var av denne type, fordi dette ville bety at den ikke kunne, selv ikke i prinsippet, bli beregnet.

Den underliggende funksjon er imidlertid meget fleksibel. Ved anvendelse av Stone-Weierstrass" teorem kan det faktisk vises at denne funksjon kan approksimere en hvilken som helst avtegning fra RD til R<1>rimelig godt (Hornik 1989, Cotter 1990). Siden tanh( x) er en monoton funksjon som kan ta en hvilken som helst verdi i intervallet [0;1] er det opp til å approksimere funksjonen:

Valget av tanh( x) som aktiveringsfunksjon er imidlertid ikke vilkårlig. Betrakt f.eks. at i 2-klasse klassifiseringsproblemet er de to klasser som skal skjelnes fra hverandre kjennetegnet av gaussiske sannsynlighetsfordelinger:

I henhold til Bayes" regel er etterpåsannsynligheten for klassen I gitt ved:

Dette er nøyaktig den form vi vil like å ha, siden dersom RBF-nettverket approksimerer den skjelnende funksjon:

da har vi (ved å bruke 2.5):

Justering av aktiveringsfunksionens skala

Som sannsynlighetsestimater er ligningene 33 og 34 noe rå eller grove. Dersom det brukes en bratt aktiveringsfunksjon (stor aktiveringsfunksjonsskala S) er avgivelsen i hovedsak en binær variabel. Aktiveringsfunksjonsskalaen (S) kan justeres ved først å estimere den empiriske aktiveringsfunksjon fra ideelt sett, et selvstendig testsett: hvor e(x) er en bratt funksjon:

og hvor 5" ' '^Ytj-T og ^Lr"tf*'''1 .^V-ijj-1/ er fonemvektorene i det selvstendige testsett. Nå justeres den verdi<**>\<*>Pit for hvilken P(l) = Pi identifiseres (dvs.

<=>"" *JJ og aktiveringsfunksjonsskalaen justeres slik at:

Dette gjøres ved å velge:

En alternativ og sannsynligvis mer nøyaktig løsning er ganske enkel å erstatte tanhQ med den empiriske aktiveringsfunksjon (ligning 36).

Justering av skjevstilling

Å lære opp et RBF-nettverk fra et begrenset treningssett er vanskelig. Problemet er vanligvis ikke bedragerdelen av treningssettet, men heller måltalerdelen. Dette kan selvsagt i seg selv gjøre det vanskelig å lære opp en talermodell, men særlig gjør det vanskelig å justere modellen slik at den oppnår den ønskede balanse mellom TA- og IR-feil. Feilen kan til en viss grad styres av forskjellige treningsparametere, f.eks. ved å

skallere feiluttrykket på en annen måte for måltalerstikkprøver og tilhørende talerstikkprøver ved å presentere disse mønstre med forskjellige frekvenser eller den måte som modellene er begrenset på ved å bruke vekttall/radiusstraff. Disse midler er imidlertid ganske grove og en mer nøyaktig løsning er å justere skjevstillingen W for RBF-modellene. Dette kan gjøres ved å estimere middelverdien og variansen for TØ) gitt måltaleren, , og gitt bedragertaleren, . Antas det en gaussisk fordeling av disse to variabler, reduseres skjevstillingen (bnew= b0id-Ab), slik at:

Løsningen kan finnes ved å bestemme røttene av: hvor den etterfølgende "stenografi" er brukt:

For B = 1 er dette den samme ligning som ligning 1.26 (eksempelet på objektklassifisering). Løsningen vi er interessert i er den mellom og

Dersom den gaussiske antagelse er dårlig, er det et alternativ å bruke den empiriske aktiveringsfunksjon (ligning x.36). Dersom det er ønskelig med en annen balanse B av feilene, kan skjevstillingen justeres i samsvar med:

For å justere "the odds ratio" for å få balansen B, bestemmes løsningen Ab = pa ligning 48 og subtraheres fra skjevstillingen:

For B = 1 approksimeres den samme feilrate, for b < 1 minimaliseres antallet TA-feil på bekostning av IR-feil, og for B > 1 minimaliseres IR-feilene på bekostning av TA-feil.

Fig. 8 viser et eksempel hvor de klassebetingede, empiriske fordelingsfunksjoner:

og den empiriske aktiveringsfunksjon: for et sett av talermodeller. Figuren viser begge funksjonene.

Som treningsdata ble det benyttet henholdsvis 1622 og 6488 lokale måltaler- og bedrager-talerbeslutninger. Som testdata ble det benyttet henholdsvis 394 og 1576 lokale beslutninger.

Figuren viser funksjonene både for treningsdataene og for testdataene. For treningsdataene er den empiriske aktiveringsfunksjon tilnærmet lik null for<=>, men ikke for testdataene (talermodellene er "overtrenet").

Fig. 9 viser de samme funksjoner som fig. 8, men etter kompensering av skjevstilling.

Med dette er det beskrevet en fonembasert talermodell. Modellen bruker HMM'er som "kjennetegnuttrekkere" som representerer fonemobservasjoner som faste vektorer (fonemvektorer) for spektrale kjennetegnselementer, idet denne del av modellen er taler-uavhengig. Fonemvektorene omdannes og sendes til sist som matning til et fonem-avhengig RBF-nettverk opplært til å estimere talersannsynligheten ut fra fonemvektorene. Talersannsynligheten kan brukes direkte for å frembringe en (lokal) talerverifiserings-beslutning eller den kan kombineres med andre talersannsynligheter estimert ut fra fonemobservasjoner i den hensikt å frembringe en mer robust beslutning. Inngangsvektoren (fonemen) er angitt bare for å eksemplifisere hva en objektbasert verifisering kan være. Hvilke som helst andre typer biometriske vektorer kan brukes på tilsvarende måte sammen med treningsfiltere.

Vedlegg 3: Objektbasert beslutningstaging eksemplifisert ved talerverifisering

Objektverifisering, eller i dette tilfelle talerverifisering, er et binært beslutningsproblem og kan derfor til sist reduseres til beregning av en skåring (score) og verifisering av identitets-krav som bestemmer om skåringen er større eller mindre enn en gitt terskel t, eller ikke:

Når denne skåring eller dvs. en objektverdi beregnes, gir hvert fonemsegment i talesignalet et bidrag (selv når fonemene ikke er eksplisitt modellert). I en konvensjonell tekst-selvstendig talerverifiserende algoritme er de forskjellige fonemers bidrag til den samlede skåring (f.eks. ytringstilbøyelighet) ukjent, idet den samlede skåring avhenger av den bestemte frekvens som fonemene er representert med i testytringen og på varigheten av hvert fonemsegment.

Dette er klart ikke optimalt siden intet hensyn er tatt til utstrekningen av lokale skåringer bidratt til av individuelle fonemsegmenter som uttrykker taleridentitet og den utstrekning til hvilken de forskjellige fonemer uttrykker den samme informasjon om taleren, f.eks. en nasal og en vokal som antageligvis representerer informasjon som i stor grad er komplimentær, mens to bakre vokaler f.eks. representerer kraftig korrelert informasjon om taleren.

Den her beskrevne algoritme har to deler, dvs. første fonemsegmenter som identifiseres og taleridentiteten modellert selvstendig for hvert fonemsegment. Resultatet av dette er et antall lokale skåringer, dvs. en for hver forskjellige fonem i en ytring, som deretter må kombineres for å frembringe en global verifiseringsbeslutning eller en klasse av objektdata.

Kombinering av skåringer

Et RBF-nettverk er opplært til å approksimere den skjelnende funksjon:

er en fonemobservasjon. Siden:

som kan brukes for å implementere en beslutningsregel for en enkelt fonemobservasjon. Når flere uavhengige fonemobservasjoner er tilgjengelige kan mer robuste beslutninger gjøres ved å kombinere de lokale skåringer til en global skåring. To prinsipielt ulike til-nærmelser kan følges, nemlig ensemble-kombinasjon og sannsynlighetskombinasjon.

Ensemble- kombinasion

En løsning på kombinering av lokale verifiseringsskåringer er ganske enkelt å "ta gjen-nomsnittet av" de lokale skåringer:

hvor:

er antallet ulike fonemer i alfabetet

antallet observasjoner av fonemer *i og % i er den j'te observasjon (fonemvektor) av fonemene <ti. Det er egenartet for denne skåringsregel at for et økende antall observasjoner vil skåringen gå mot en verdi i området [-1; 1]. Størrelsen påvirkes ikke direkte av antallet observasjoner.

Sanns<y>nlighetskombinasjon

Et alternativ til ensemble-kombinasjon er å utnytte det forhold at nettverkene beregner etterpåsannsynligheter (a posteriori probabilities). Når diverse selvstendige observasjoner s>(r) = <£i,..., ( fr gjøres, forventes det at sikkerheten ved klassifiseringen øker. Dette kan uttrykkes ved å definere "the odds ratio": det følger at:

Således er en alternativ skåringsstrategi å bruke:

Det er en egenart ved denne skåringsregel at i praksis vil den gå mot enten -1 eller +1 når flere fonemobservasjoner legges til.

Forskjellen mellom ligning 6 og 11 er i hovedsak antagelsen om observasjonenes uav-hengighet. Anta at for en gitt fonemvektor estimeres talersannsynligheten til f.eks. . Dersom ligning 11 (sannsynlighetskombinasjon) brukes, antar vi at sannsynligheten er bare 0,7 og ikke 1,0, fordi observasjonen er blitt påvirket av "tilfeldig" støy, mens dersom ligning 1.6 (ensemble-kombinasjon) brukes, antar vi at en viss andel av bedragerpopulasjonen er i stand til å frembringe fonemvektorer lik tø').

Denne forskjell er viktig fordi støy kan bli "gjennomsnittsberegnet" (eller utledet) bort, mens det å oppnå flere observasjoner (av den samme hendelse) ikke kan forventes for å forbedre sannsynlighetsestimatet dersom den samme bedragertaler er prinsipielt i stand til å frembringe de samme fonemvektorer som måltaleren.

Et problem med både ligning 1.6 og 1.11 er imidlertid at den samlede skåring vil bli domi-nert av det fonem som opptrer hyppigst. Dette er ufornuftig til den grad at forskjellige fonemer kan betraktes som forskjellige kilder for talerinformasjon (Olsen 1997b, Olsen 1996b).

I praksis er det imidlertid mulig å bruke ligning 1.6 og ligning 1.11 med gode resultater på grunn av "patologiske" setninger som domineres av at en bestemt klasse fonemer ikke opptrer hyppig. Enhver fornuftig setning vil typisk ha et bredt utvalg av fonemer representert, men det bør fortsatt ikke overlates til tilfeldighetene hvordan bevisene frembragt av hver fonemobservasjon vektlegges.

Komitémaskiner

Hver fonemmodell kan betraktes som en talerverifiseringsekspert gitt en spesiell type informasjon, dvs. observasjoner av et bestemt fonem. Siden individuelle eksperter antas å modellere forskjellige "aspekter" ved taleren, er det fornuftig å begrense innflytelsen hver ekspert kan ha på den samlede skåring. En tilnærmelse til dette er å bruke enten ligning 1.6 eller 1.11 for å kombinere de lokale skåringer fra den samme ekspert til en lokal skåring på fonemnivå. Det kan så gjøres en lokal, binær beslutning med en empirisk kjent sannsynlighet for å bli riktig, for hvert fonem som finnes i testytringen:

Som følge av denne tilnærmelse er den enkleste måte å kombinere lokale beslutninger til en global beslutning på, å gjøre en "flertalls"-stemmegivning: hvor #$ er antallet forskjellige fonemer tilstede i testytringen. Denne type global klassifiserer er kalt en komitémaskin (Nilsson 1965, Mazurov m.fl. 1987).

Dersom de enkelte beslutninger er selvstendige og alle har samme sannsynlighet P for å ta en korrekt avgjørelse, er sannsynligheten for at komitémaskinen gjør en korrekt beslutning gitt ved:

hvor N er antallet komitémedlemmer. Sannsynlighetsfunksjonen PComm(N) er vist i fig. 1. Kurven er "hakkete" for liketalls N'er og en forbindelse (k = N/2) telles som en feil selv om feilsannsynligheten faktisk er bare 50%. Så lenge feilene ikke er korrelert kan komité-maskinens ytelse forbedres ved å legge til flere medlemmer. Så sant P > 0:5, yter komitémaskinen alltid bedre enn de enkelte komitémedlemmer.

Dette er nødvendigvis ikke tilfellet dersom de enkelte klassifiserere har forskjellige klassi-fiseringsnøyaktigheter, men modellen er likevel bemerkelsesverdig robust i dette tilfelle. Anta at f.eks. tre klassifiserere med individuelle nøyaktigheter P1, P2 og P3 skal kombineres. Komitémaskinen yter i det minste så godt som den mest nøyaktige av de individuelle klassifiserere (f.eks. P1), så sant:

Dersom f.eks. P2 = P3 = 0,9, må P1 ha en nøyaktighet bedre enn 0,99 dersom den alene skal antas å være mer nøyaktig enn kombinasjonen av P1, P2 og P3.

Ekspertvektlegging

Stemmer avgitt av forskjellige eksperter er ikke like viktige, idet de forskjellige fonem-avhengige talermoduler har ulike nøyaktigheter. Det grunnleggende avstemningsarrange-ment kan derfor forbedres ved å vektlegge de enkelte stemmer forskjellig. En "statisk" tilnærmelse til dette vil ganske enkelt være å vektlegge hver stemme med den forventede like nøyaktighetsrate, Aeer= 1 -EER for den tilhørende klassifiserer:

Et tilsvarende "dynamisk" veiearrangement vil være å vektlegge hver stemme med den differensielle talersannsynlighet beregnet av klassifisereren:

Selv om sannsynlighetsestimatet er noe grovt er fordelen her at veiingen er avhengig av de faktiske fonemobservasjoner.

Ekspertgruppering

Fonemer kan inndeles i forskjellige grupper, f.eks. nasaler, frikativer, lukkelyder, omlyder, osv. To eksperter som spesialiserer på f.eks. to nasale fonemer blir intuitivt tilbøyelige til å vise korrelasjoner i avstemningsdomenet, mens to eksperter som spesialiserer på forskjellige fonemer, f.eks. henholdsvis en nasal og en frikativ fonem, er mindre tilbøyelige til å vise korrelasjoner. Det vil derfor være fornuftig å dele ekspertene i grupper som representerer forskjellige fonemklasser. En talerverifiseringsskåring Dc,i_ kan så beregnes for hver fonemgruppe (C):

hvor #C betegner antallet fonemer i gruppen C. Ligning 19 definerer på en effektiv måte et nytt sett eksperter. Den globale verifiseringsbeslutning kan så tas som før ved å kombinere stemmene fra gruppeekspertene i stedet for fra "fonem"-ekspertene. I prinsippet kan denne beslutningsstrategi utvides til å innbefatte diverse lag av eksperter hvor ekspertene på det laveste nivå representerer forskjellige enkeltvise fonemer, mens eksperter på de øvre nivåer representerer bredere lydklasser (nasaler, vokaler, frikativer, osv.).

Modellering av ekspertstemmer

En attraktiv måte å kombinere N ekspertstemmer på er å trene et nett (RBF eller MLP) til å lære den empirisk beste kombinasjonsstrategi (Wolpert 1992). På denne måte kan både nøyaktigheten hos de enkelte eksperter og korrelasjonen mellom forskjellige ekspertstemmer tas hensyn til direkte. Når denne tilnærmelse følges, betraktes i hovedsak alt som har funnet sted inntil det punkt hvor ekspertstemmene må kombineres, som uttrekk av kjennetegn, idet kjennetegnvektorene her er beslutningsvektorer:

Det er imidlertid to problemer med denne løsning:

• Det første er at "super"-nettverket som kombinerer lokale ekspertstemmer ikke kan læres opp på beslutningsvektorer frembragt ganske enkelt ved å evaluere de lokale eksperter på de data på hvilke de er blitt opplært, idet ekspertene er tilbøyelige til å bli overtrenet og deres treningsdatastemmer er derfor for "optimistiske". Derfor må det enten frembringes ytterligere treningsdata eller alternativt må supernettverket være

uavhengig av taler.

• Det andre problem er at her representerer de lokale ekspertstemmer forskjellige fonemer og fonetikken som gjøres av forskjellige testytringer kan variere en masse og dette gjør det umulig å lære opp et nettverk som optimalt kombinerer stemmene som stammer fra spesielle testytringer. Gitt et begrenset antall treningsytringer er det selvsagt mulig å simulere et større antall beslutningsvektorer ved å kombinere relevante ekspertbeslutninger trukket ut fra forskjellige treningsytringer. Antallet mulige fonemkombinasjoner som opptrer er imidlertid likevel meget stort. Anta f.eks. at i en hvilken som helst gitt ytring vil nøyaktig 15 forskjellige fonemer av 30 mulige bli representert. Da vil inntil

forskjellige stemmekombinasjoner måtte bli betraktet. Denne beregning ignorerer at stemmene kan være basert på mer enn én fonemobservasjon og derved bli mer pålitelig, og at det faktiske antall forskjellige fonemer kan være mer eller mindre enn 15.

En mulig løsning på dette dilemma er å gjøre superklassifisereren ytringsspesifikk, dvs. å utsette treningen inntil det øyeblikk hvor det avgjøres hvilken starttekst som skal utstedes neste gang, eller enda bedre, inntil en fonemsegmentering er blitt beregnet for den aktuelle taleytring. Superklassifiseren kan i dette tilfelle være en enkel perseptron og treningen er derfor i seg selv ikke et alvorlig beregningsproblem. Fig. 2 viser et eksempel på dette.

I den hensikt å unngå den iterative perseptronstrenende algoritme kan alternativt Fishers lineære skjelnende funksjon brukes for å lære de enkelte ekspertvekttall.

Alt i alt drøfter dette eksempel hvordan lokale talersannsynligheter estimert ut fra enkeltvise fonemobservasjoner (som i hovedsak er et objekt) kan kombineres i den hensikt å frembringe globale talerverifiseringsbeslutninger. Vellykkede kombineringsarrangementer må ta hensyn til at på den ene side er noen spesifikke fonemer mer informative enn andre, og på den annen side at forskjellige fonemer til en viss grad gir komplimentær informasjon om en taler.

Hovedvanskeligheten man støter på når det skal avgjøres hvordan hver lokale bestem-melse skal avveies er at med mindre starttekstene gitt til talere er alvorlig begrenset, kan det totale antall forskjellige fonemkombinasjoner som opptrer under testytringer, være ekstremt stort. Således kan disse vekttall ikke lett beregnes på forhånd.

Klassifisereren tar de forskjellige talersannsynligheter fra individuelle fonemmodeller som innmating og kombinerer dem til en global skåring:

Claims (53)

1. System for sikker nettforbindelse mellom én eller flere brukere og i det minste en nett-tjener, karakterisert vedat systemet omfatter: - i det minste en intelligent databærer utstedt til en bruker, idet den intelligente databærer har i det minste (i) en hukommelse tilpasset for å lagre data, (ii) en inngangs/utgangs-anordning tilpasset for å innføre og ta ut data, og (iii) en prosessor tilpasset for å behandle dataene lagret i hukommelsen, idet den intelligente databærer er i stand til å koble seg til et vertsdatamaskinutstyr for derved å overføre data via nevnte inngangs/ut-gangsanordning over nettet, og hvor den intelligente databærer er tilpasset for å opprette en nettidentitet for brukeren gjennom et autentiserings- og krypteringsarrangement, og - en dynamisk datagramsvitsj for dynamisk å tildele og utveksle datagrammer for en mengde brukeranvendelser i en tjeneste til den ene eller flere brukere, og hvor den dynamiske datagramsvitsj omfatter et datagramskjema og en syntaksanalysator, idet datagramskjemaet inneholder to eller flere datagrammer som tilhører en eller flere datagramtyper, og hvor hver datagramtype omfatter en mengde funksjoner og syntaksanalysatoren er i stand til å analysere den ene eller flere datagramtyper.

2. System som angitt i krav 1, hvor den intelligente databærer er mobil.

3. System som angitt i krav 1, hvor den intelligente databærer er implementert ved bruk av enten en USB-nøkkel, Compact Flash, Smart Media, Compact Disk, DVD, PDA, "firewire device" eller "token device".

4. System som angitt i krav 1, hvor mengden av brukeranvendelser omfatter i det minste enten vindusbaserte tjeneranvendelser for fjerne terminaler, brukerprogrammer på 3270/5250-terminalemulatorer for hovedmaskiner, direkte innebygde brukerprogrammer eller multimediaprogrammer, idet de direkte innebygde brukerprogrammer omfatter i det minste enten databaseprogrammer, dataanalyseverktøy, verktøy for kunderelasjonsforvaltning eller pakker for planlegging av foretaksressurser.

5. System som angitt i krav 1, hvor datagramskjemaet omfatter i det minste en hoveddatagramtype og innenfor den ene hoveddatagramtype, i det minste en underordnet datagramtype.

6. System som angitt i krav 5, hvor syntaksanalysatoren er i stand til å analysere en matrise av datagramtyper, idet matrisen omfatter en første mengde hoveddatagramtyper og i hver hoveddatagramtype i den første mengde en andre mengde underordnede datagramtyper.

7. System som angitt i krav 6, hvor hoveddatagramtypen velges fra en gruppe bestående av: (i) tjenermeldinger og datagrammer for forbindelsesstyring tilpasset for å autentisere og regulere brukerforbindelser, (ii) innholdsdatagrammer tilpasset for å over-føre innholdsdata, (iii) kringkastingsdatagrammer tilpasset for å forvalte dataoverføring av typen punkt til punkt, punkt til flere punkter og fra flere punkter til flere punkter, (iv) datagrammer for forbindelses-"fullmakt" tilpasset for å overføre bufferdata mellom nett-tjeneren og den intelligente databærer, (v) meldinger av øyeblikkstype tilpasset for å overføre meldinger i sann tid, (vi) datagrammer for overføring av stort innhold tilpasset for å overføre data- og mediafiler av overskytende størrelse, (vii) brukerkatalogdatagrammer tilpasset for å søke etter nettbrukere, og (viii) datagrammer for fjernforvaltning tilpasset for fjernstyring av nettbrukere.

8. System som angitt i krav 7, hvor tjenermeldinger og forbindelsesstyrende datagrammer omfatter underordnede datagramtyper valgt fra en gruppe bestående av: (i) datagram med anmodning om autentisering tilpasset for å iverksette en autentiseringsanmodning, (ii) datagram med autentiseringssvar tilpasset for å sende en reaksjon på en anmodning om autentisering, og (iii) datagram med autentiseringsresultat tilpasset for å sende resultatet av en autentiseringssesjon.

9. System som angitt i krav 8, hvor innholdsdatagrammer omfatter underordnede datagramtyper valgt fra en gruppe bestående av: (i) normale innholdsdatagrammer tilpasset for å overføre innholdsdata, (ii) datagrammer om fjern pålogging tilpasset for å kommunisere med nett-tjeneren og opprette en påloggingsesjon, (iii) datagrammer for innsamling av fjerne data tilpasset for å sende data fra en fjern forbindelse, (iv) datagrammer med anmodning om godkjenning av innhold tilpasset for å be om verifisering av overførte innholdsdata, og (v) datagrammer med svar på innholdsgodkjennelse tilpasset for å reagere på en anmodning om verifisering av overført datainnhold.

10. System som angitt i krav 7, hvor forbindelsesbufferdatagrammer omfatter underordnede datagramtyper valgt fra en gruppe bestående av: (i) bufferdata til tjener tilpasset for å formidle bufferdata til nett-tjeneren fra den intelligente databærer, og (ii) bufferdata fra tjeneren tilpasset for å formidle bufferdata fra nett-tjeneren til den intelligente databærer.

11. System som angitt i krav 7, hvor meldinger av øyeblikkstype omfatter underordnede datagramtyper valgt fra en gruppe bestående av: (i) filoverføringstype, (ii) audio/video-overføringstype, (iii) øyeblikkspostmeldingstype, og (iv) fjemdatasamlertype.

12. System som angitt i krav 1, hvor hvert datagram i datagramskjemaet har en generisk layout som innbefatter: (A) et innledningsfelt for (i) en eller flere hoveddatagramtyper, (ii) én eller flere underordnede datagramtyper, (ii) datagramlengde, og (iii) datagramkontrollsum, og (B) datagramnyttedata for å bære data under overføringen.

13. System som angitt i krav 12, hvor den generiske layout omfatter en eller flere ytterligere innledende felter.

14. System som angitt i krav 12, hvor den generiske layout følger en TCP-innledning.

15. System som angitt i krav 1, hvor den intelligente databærer også omfatter en "radartilkobling", idet radartilkoblingen har et grensesnitt mot nettet og er tilpasset for å overvåke og regulere nettforbindelsene.

16. System som angitt i krav 15, hvor nett-tjeneren også omfatter en radartilkobling tilpasset for å overvåke og regulere nettforbindelser, idet nett-tjenerens radartilkobling forbindes med den intelligente databærers radartilkobling over nettet.

17. System som angitt i krav 16, hvor radartilkoblingen også er tilpasset for å påvise tap av forbindelser og iverksette kontakt med nett-tjeneren for derved å gjenopprette forbindelser.

18. System som angitt i krav 1, videre omfattende en injektor tilpasset for å forbinde et eksisterende nett med nett-tjeneren og overføre data mellom det eksisterende nett og den intelligente databærer via nett-tjeneren, idet nevnte eksisterende nett er kablet eller trådløst.

19. System som angitt i krav 18, hvor injektoren også har en "radartilkobling" som har grensesnitt til nettet og er tilpasset for å overvåke og regulere nettforbindelser.

20. Klient/tjener-kommunikasjonssystem, karakterisert vedat det som omfatter: - i det minste en tjener som har en dynamisk datagramsvitsj for dynamisk tildeling og utveksling av datagrammer for en mengde nettanvendelser, og hvor den dynamiske datagramsvitsj omfatter et datagramskjema og en syntaksanalysator, idet datagramskjemaet inneholder to eller flere datagrammer som tilhører en eller flere datagramtyper, og hvor hver datagramtype omfatter en mengde funksjoner og syntaksanalysatoren er tilpasset for å analysere den ene eller flere datagramtyper, og - i det minste en klient, hvor en intelligent databærer omfatter i det minste (i) en hukommelse tilpasset for å lagre data, (ii) en inngangs/utgangsanordning tilpasset for å innføre og avgi data, og (iii) en prosessor tilpasset for å behandle data lagret i nevnte hukommelse, idet den intelligente databærer er i stand til å forbindes med et vertsdatamaskinutstyr for derved å overføre data via sin inngangs/utgangsanordning over nettet, og hvor den intelligente databærer er tilpasset for å opprette en nettbrukeridentitet gjennom et autentiserings- og krypteringsarrangement for sikker dataoverføring mellom nevnte tjener og klient.

21. Klient/tjener-kommunikasjonssystem som angitt i krav 20, hvor den intelligente databærer er implementert ved bruk av enten en USB-nøkkel, Compact Flash, Smart Media, Compact Disk, DVD, PDA, "firewire device" eller "token device".

22. Klient/tjener-kommunikasjonssystem som angitt i krav 20, hvor datagramskjemaet omfatter i det minste en hoveddatagramtype og innenfor den ene hoveddatagramtype, i det minste en underordnet datagramtype.

23. Klient/tjener-kommunikasjonssystem som angitt i krav 20, hvor syntaksanalysatoren er tilpasset for å analysere en matrise av datagramtyper, idet matrisen omfatter en første mengde hoveddatagramtyper og i hver hoveddatagramtype i den første mengde en andre mengde underordnede datagramtyper.

24. Klient/tjener-kommunikasjonssystem som angitt i krav 20, hvor hvert datagram i datagramskjemaet har en generisk layout som innbefatter: (A) et innledningsfelt for (i) én eller flere hoveddatagramtyper, (ii) én eller flere underordnede datagramtyper, (ii) datagramlengde, og (iii) datagramkontrollsum, og (B) datagramnyttedata for å bære data under overføringen.

25. Klient/tjener-kommunikasjonssystem som angitt i krav 20, videre omfattende en injektor tilpasset for å forbinde et eksisterende nett med nett-tjeneren og overføre data mellom det eksisterende nett og den intelligente databærer via nett-tjeneren, idet nevnte eksisterende nett er kablet eller trådløst.

26. Klient/tjener-kommunikasjonssystem som angitt i krav 25, hvor tjeneren, klienten og injektoren alle omfatter en radartilkobling, idet radartilkoblingen har grensesnitt til nettet og er tilpasset for å overvåke å styre nettforbindelser, og hvor radartilkoblingen for klienten er forbundet med radartilkoblingen for tjeneren over nettet og radartilkoblingen for injektoren er forbundet med radartilkoblingen for tjeneren over nettet.

27. Klient/tjener-kommunikasjonssystem som angitt i krav 26, hvor klientens radartilkobling videre er tilpasset for å oppdage tapte forbindelser og iverksette kontakt med tjeneren for derved å gjenopprette forbindelser.

28. Klient/tjener-kommunikasjonssystem som angitt i krav 20, hvor tjeneren også har et kryptert, virtuelt filsystem for reservert datalagring for klienten.

29. Intelligent databærer som omfatter i det minste (i) en hukommelse tilpasset for å lagre data, (ii) en inngangs/utgangsanordning tilpasset for å innføre og avgi data, og (iii) en prosessor tilpasset for å behandle data lagret i nevnte hukommelse, karakterisert vedat den intelligente databærer er i stand til å forbindes med et vertsdatamaskinutstyr på et nett for derved å overføre data via sin inngangs/utgangs-anordning over nettet, og hvor dataoverføringen skjer ved hjelp av dynamisk svitsjede datagrammer i et datagramskjema, idet den intelligente databærer er tilpasset for å opprette en nettbrukeridentitet gjennom et autentiserings- og krypteringsarrangement for sikker dataoverføring på nettet.

30. Intelligent databærer som angitt i krav 29, hvor den intelligente databærer er implementert ved bruk av enten en USB-nøkkel, Compact Flash, Smart Media, Compact Disk, DVD, PDA, "firewire device" eller "token device".

31. Intelligent databærer som angitt i krav 29, hvor de dynamiske svitsjede datagrammer tilhører en eller flere datagramtyper og er tilpasset for å bære (i) innholdsdata for nett-overføring og (ii) annen informasjon for forvaltning og styring av nettforbindelser og bærernettanvendelser, idet hver datagramtype omfatter en mengde funksjoner.

32. Intelligent databærer som angitt i krav 31, hvor datagramtypene omfatter i det minste en hoveddatagramtype og innenfor den ene hoveddatagramtype i det minste en underordnet datagramtype.

33. Intelligent databærer som angitt i krav 32, hvor hvert datagram er i samsvar med en generisk layout, idet den generiske layout innbefatter: (A) et innledningsfelt for (i) én eller flere hoveddatagramtyper, (ii) én eller flere underordnede datagramtyper, (ii) datagramlengde, og (iii) datagramkontrollsum, og (B) datagramnyttedata for å bære data under overføringen.

34. Fremgangsmåte ved sikker kommunikasjon over nett, karakterisert vedat den som omaftter at: - i det minste en intelligent databærer utstedes til en bruker, idet den intelligente databærer har i det minste (i) en hukommelse tilpasset for å lagre data, (ii) en inngangs/ut-gangsanordning tilpasset for å innføre og ta ut data, og (iii) en prosessor tilpasset for å behandle dataene lagret i hukommelsen, idet den intelligente databærer er i stand til å koble seg til et vertsdatamaskinutstyr for derved å overføre data via nevnte inngangs/ut-gangsanordning over nettet, og hvor den intelligente databærer er tilpasset for å opprette en nettidentitet for nettbrukeren gjennom et autentiserings- og krypteringsarrangement, og - det anordnes en dynamisk datagramsvitsj i en tjener på nettet for dynamisk å tildele og utveksle datagrammer som understøttelse for en mengde brukeranvendelser, og hvor den dynamiske datagramsvitsj omfatter et datagramskjema og en syntaksanalysator, idet datagramskjemaet inneholder to eller flere datagrammer som tilhører en eller flere datagramtyper, og hvor hver datagramtype omfatter en mengde funksjoner og syntaksanalysatoren er i stand til å analysere den ene eller flere datagramtyper.

35. Fremgangsmåte som angitt i krav 34, hvor autentiserings- og krypteringsarrangementet omfatter de etterfølgende sekvensielle trinn: (a) en anmodning som forårsakes for å fremsende fra den intelligente databærer til tjeneren at klienten skal autentiseres, (b) tjeneren presenterer overfor den intelligente databærer en mengde autentiseringsmetoder, (c) den intelligente databærer velger ut en autentiseringsmetode fra mengden gjennom en hendelse, (d) tjeneren sender på grunnlag av den valgte metode en begjæring til den intelligente databærer om autentiseringsdata fra den intelligente databærer, (e) tjeneren omdanner autentiseringsdataene mottatt fra den intelligente databærer til en eller flere dataautentiseringsobjekter, idet hvert dataautentiseringsobjekt er et datavektorobjekt som er i stand til å bli analysert ved bruk av en eller flere klassifiserere, (f) tjeneren analyserer dataautentiseringsobjektene i henhold til den ene eller flere klassifiserere for derved å bestemme resultatet av autentiseringen, og (g) tjeneren sender resultatet til den intelligente databærer, som angir et vellykket eller mislykket autentiseringsforsøk.

36. Fremgangsmåte som angitt i krav 35, hvor hendelsen i trinn c) omfatter et klikk på en datamus, en berøring på en skjerm, et tastetrykk, en ytring eller en biometrisk måling.

37. Fremgangsmåte som angitt i krav 35, hvor begjæringen i trinn (d) omfatter i det minste en pseudo-vilkårlig og en helt vilkårlig kode, idet den pseudo-vilkårlige kode genereres på grunnlag en matematisk forhåndsberegnet liste, og den sanne vilkårlige kode genereres ved prøvetagning og behandling av en entropikilde utenfor systemet.

38. Fremgangsmåte som angitt i krav 35, hvor analysen i trinn f) utføres på grunnlag av en eller flere analyseregler, idet den ene eller flere analyseregler omfatter klassifisering i henhold til den ene eller flere klassifisere i trinn e).

39. Fremgangsmåte som angitt i krav 38, hvor klassifiseringen omfatter stemmegjenkjenning, idet dataobjektvektorene innebærer to klasser, målstemmen og bedrageren, og hvor hver klasse er kjennetegnet med en sannsynlighetstetthetsfunksjon og beslutningen i trinn (f) er et binært beslutningsproblem.

40. Fremgangsmåte som angitt i krav 35, hvor beslutningen i trinn (f) omfatter at enten beregnes summen, suvereniteten eller sannsynligheten ut fra det ene eller flere datavektorobjekter på grunnlag av den ene eller flere klassifisere i trinn (e), idet summen enten er en suveren eller vilkårlig sum beregnet ut fra det ene eller flere datavektorobjekter.

41. Fremgangsmåte som angitt i krav 35, hvor den ene eller flere klassifisere i trinn e) omfatter en superklassifiserer utledet fra mer enn ett datavektorobjekt, idet superklassifisereren er basert på enten fysiske eller prestasjonsmessige biometriske størrelser, idet de fysiske biometriske størrelser omfatter enten stemmegjenkjenning, fingeravtrykk, håndavtrykk, blodkarmønster, DNA-prøver, avsøkning av nett- eller regnbuehinne, eller ansiktsgjenkjenning, og de prestasjonsmessige biometriske størrelser omfatter vaner eller individers oppførselsmønster.

42. Fremgangsmåte som angitt i krav 34, hvor autentiserings- og krypteringsarrangementet omfatter asymmetrisk og symmetrisk flerchifferkryptering, hvor krypteringen utnytter i det minste enten tilbakekobling av avgivelse, tilbakekobling av chiffer, chifferfremsending eller chifferblokksammenkjeding.

43. Fremgangsmåte som angitt i krav 42, hvor krypteringen er basert på en avansert krypteringsstandard (AES) ifølge Rijndael.

44. Fremgangsmåte som angitt i krav 34, hvor autentiserings- og krypteringsarrangementet utnytter sikker nøkkelutveksling (SKE), idet denne sikre nøkkelutveksling benytter et offentlig nøkkelsystem eller private nøkler i et elliptisk kurvekryptosystem (ECC).

45. Fremgangsmåte som angitt i krav 34, hvor autentiserings- og krypteringsarrangementet omfatter i det minste enten en logisk test tilpasset for å bedømme om den intelligente databærer er blitt registrert hos tjeneren, en anordningstest tilpasset for å bedømme de fysiske parametre for den intelligente databærer og vertsdatamaskinutstyret, eller en persontest tilpasset for å autentisere brukeren på grunnlag av data på hendelsesnivå.

46. Fremgangsmåte som angitt i krav 34, videre omfattende at det fremskaffes en første radartilkobling i den intelligente databærer og en andre radartilkobling i tjeneren, idet den første radartilkobling er tilpasset for å forbindes med den andre radartilkobling over nettet og den første og andre radartilkobling er tilpasset for å overvåke og styre nettforbindelser.

47. Fremgangsmåte som angitt i krav 46, hvor den første radartilkobling også er tilpasset for å oppdage tapte forbindelser og iverksette kontakt med den andre radartilkobling for derved å gjenopprette forbindelser.

48. Fremgangsmåte for mållevering av ett eller flere brukerprogrammer til en bruker,karakterisert vedat den omfatter at: - det til brukeren tildeles en intelligent databærer tilpasset for å settes inn i et vertsdatamaskinutstyr som forbindes med et nett på hvilket det sitter en nett-tjener og kommuniserer med nett-tjeneren over nettet, idet nett-tjeneren kommuniserer med den intelligente databærer via dynamisk svitsjede datagrammer i et datagramskjema, idet den intelligente databærer har i det minste (i) en hukommelse tilpasset for å lagre data (ii) en inngangs/utgangsanordning tilpasset for å innføre og ta ut data og (iii) en prosessor tilpasset for å behandle dataene lagret i hukommelsen, - tjeneren autentiserer brukeren ved hjelp av et autentiserings- og krypteringsarrangement, og - brukeren gis tilgang til en eller flere brukeranvendelser eller -programmer ved vellykket autentisering.

49. Fremgangsmåte som angitt i krav 48, hvor den ene eller flere brukeranvendelser er forhåndslastet på den intelligente databærer eller installert på nett-tjeneren eller vertsdatamaskinutstyret.

50. Fremgangsmåte som angitt i krav 49, hvor vertsdatamaskinutstyret forbindes med nettet via kablet eller trådløst utstyr.

51. Fremgangsmåte som angitt i krav 49, hvor vertsdatamaskinutstyret omfatter enten en borddatamaskin eller bærbar datamaskin, en personlig digital assistent (PDA), en mobiltelefon, et digitalt fjernsynsapparat, en audio- eller videospiller, en dataspillkonsoll, et digitalt kamera, en kameratelefon eller et apparat for hjemmet gjort klart for nettforbindelse.

52. Fremgangsmåte som angitt i krav 51, hvor apparatet for hjemmet, som er gjort klart for nettforbindelse, er enten et klargjort kjøleskap, en mikrobølgeovn, vaskemaskin, tørketromler eller oppvaskmaskin.

53. Fremgangsmåte som angitt i krav 48, hvor den ene eller flere brukeranvendelser er enten vindusbaserte tjeneranvendelser for fjerne terminaler, brukeranvendelser på 3270/5250-terminalemulatorer for hovedmaskiner, direkte innebygde brukerprogrammer eller multimediaprogrammer, idet de direkte innebygde brukerprogrammer omfatter i det minste et databaseprogram, dataanalyseverktøy, verktøy for kunderelatert forvaltning (CRM) eller pakker for planlegging av foretaksressurser (ERP).