CN1961525A - 由动态数据报转换和要求的认证和加密方案通过移动式智能数据载体启动的普适的以用户为中心的网络安全 - Google Patents

Abstract

本发明提供了用于改进网络上的数据传输和远程应用程序的访问控制、管理监控、可靠性、以及共享的灵活性的方法和设备。多用户之间安全稳定的网络连接和有效的网络交易是由开放的并且分布式的客户－服务器结构支持的。数据报方案适合于启动支持多个应用程序和网络业务的动态数据报转换。移动智能数据载体的提供，使得允许实施认证和加密方案。智能数据载体适合于把应用程序传递给经认证的用户，从而实现不仅对数据而且对应用程序的访问控制。在一个实施例中，认证和加密方案是基于机体或行为生理数码化。可以便利地在企业网络环境中应用本发明的方法和系统，以支持商业、研究和管理操作的宽广领域。

Description

由动态数据报转换和要求的认证和加密方案 通过移动式智能数据载体启动的普适的以用户为中心的网络安全

技术领域

本发明涉及一般的数字网络通信。具体地，本发明涉及在开放的或者封闭的网络设置中的安全数据传输和远程应用服务的提供。更具体地，提供了用于提高接入控制、管理监控、数据传输的可靠性和整体性、以及网络上的远程应用共享的方法和综合系统。本发明的方法和系统使用数据报方案，数据报方案启动网络事务中的支持大量的应用程序和网络服务的动态的数据报转换。在各种不同的实施例中都提供了移动式智能数据载体，它考虑了认证和加密方案的实现。用本发明的方法和系统实现的普适、以用户为中心的网络安全，可以便利地配置在，金融和银行业环境、国家安全和军事情报技术(IT)系统、保健管理网络、用于合法的和其它专业的咨询服务的IT基础设施、以及各种在线商业交易系统，和其他的系统中。根据本发明的系统和方法可以结合生理数码化的和其它适当的认证手段得以实现。

背景技术

数码化革命，伴随着全球化，正在以空前的方式改变着人们的生活。因特网的发展和演变推动了现有商业的扩张，同时促进了跨国新企业的出现。在现今的全球经济中，商业或者研究机构的生存能力很大一部分靠其处理和管理信息的效率。数据传输和管理在各种行业中扮演了愈加重要的角色。工程师和商业预言家已经面临着建立安全网络系统的重大的挑战，该安全网络系统应该能够实现稳定高效的数据传输、有效的接入控制、以及在对多个用户进行服务的分散的计算机之间的应用程序资源的远程共享和管理。

各种不同的网络结构已经被用在惯例的IT基础设施中。例如，以太网、令牌环(token ring)、以及客户机服务器体系结构被广泛采用。数据加密和压缩的相关技术同样是公知的，并且已经被用于促进安全数据传输。现有的网络系统经常遭受数据业务中断和网络连接丢失。通常很难重新存储丢失的连接。甚至更大的挑战是准确地重建丢失的连接的参数，从而保证重新连接的完整性。数据可能会丢失并且数据传输可能需要重新开始。如果人们不能回溯并收集信息的阈级以允许重现，该丢失可能是永久的。这种稳定性的缺乏很大程度地损害了数据传输的保真度，并因此造成分配的数据的处理和管理的致命问题。在处理这种失败的处理中会产生巨大的开销。正如在近年来在线电子商务所遇到的困难中所表明的，该问题能够妨碍整个行业。

不稳定的(因此不可靠的)网络通信的问题，是由对用于在分布式企业IT环境中对信息传递和应用管理进行安全防护的综合性的、鲁棒的、用户界面友好的、并且有代价效益的网络安全解决方案的需要组合而成的。私营企业和公共事业单位以同样的方式，经常因泄密而遭受重大的经济损失。由于未经协调的信息和应用管理，在低效的IT安全解决方案上也浪费了大量金钱。

当前的网络安全解决方案的缺点是很多的。总的来说，以下四个方面是值得注意的：首先，缺乏保护整个网络而不会严重限制企业成长的综合系统。各机构不得不使用来自不同厂家的多种产品来实现不同的保护功能。这些产品中的每个都只解决整个网络安全需要的一个单独的方面。例如，防火墙不能对正通过因特网传输的数据进行加密；入侵检测系统(IDS)不能验证和确保进入经授权的登陆名字和打开虚拟个人网络(VPN)连接的密码实际上是预期的用户；以及，VPN对IT部门监控用户权利和接入政策没有帮助。因此，现有的系统或者方法都不能够单独保护网络的每个方面。重建来自竞争厂家的多个保护产品会造成不兼容问题。保持变动数量的外围安全设备和软件包也可能是非常复杂并且极度昂贵的。大体上，这种拼凑解决方案在保护惯例的IT框架中不是很有效。

其次，现在的焦点是在保护设备和数据上。这种以系统为中心的方法未能防护使用设备的单个用户的接入点。当前方法带有的这个固有问题，随着设备数量和用户流动程度的增加将变得越来越显著，和世界正在转变到普适计算(pervasive computing)中一样是必然的。

为了正确评价以系统为中心的系统的固有缺陷，人们可以考虑各种不同的电脑犯罪的情况。电脑犯罪经常标志为犯罪者企图假扮其身份，或者伪装为其他人或者在路由上掩盖其踪迹。这种企图非常经常地能够成功，因为，至少部分地用于建立并校验用户的身份的技术是容易出错的。例如，多数密码是容易破解的；它们经常太显而易见或者被存储在能够轻易泄密的设备上。现有的支持数字证明和公共/私人密钥的基础设施也是常遭到滥用的。因此，现有的用于识别网络设备的用户和保护与这些用户面对面的设备的方法(因此以系统为中心的)存在固有的保护倾向性。如果不采取有效的方法来精确地确认企图接入被保护的网络的那些人的身份，高级安全保护将仍然是虚幻的。因此为了更好的网络安全，主要范例转换是得到授权从保护设备和数据转换到保护用户。因此需要用于建立和验证用户身份的以用户为中心的模式，以建立移动式接入的并且基于事件的、以用户为中心的安全性。

第三，现有的IT安全性解决方案对普通的用户来说过于复杂。可以料到，一般的用户执行复杂的安全性程序，会经常导致错误和企业IT环境中的安全性下降。例如，VPN在其安装、操作、或者维护中，远不是直接了当的。加密邮件涉及到额外的工作，所以很少人曾经费心去这样做。甚至选择和记住好的密码对很多人来说，可能也太麻烦了。依靠作为不是IT专家的用户来执行复杂的安全程序简直是不会有用的。普通的用户可以想办法绕过安全程序或者彻底忽略它们。另外，保持和操作一连串的软件补丁也会耗尽许多IT部门的资源并超出其能力运行。因此，需要用户界面友好的并且引起最小的操作和管理总开销的有效的安全性解决方案。

最后，和在其它领域中一样，在IT安全行业中存在着某些惯性。改变和新的方法在某种程度上受到抵制。现有的做事的方法盛行并控制提供方和消费方二者的网络安全性解决方案的前景。对现有技术和改进和修改的权宜的方法的坚持，阻碍了真正创新的解决方案的发展。

由于前述的原因，需要能够提供所需的可靠性、有效性、以及用户界面友好性的新的网络安全范例。能够满足分布式IT基础设施的需要，并支持普适计算和信息处理的这种安全性解决方案，必须指出现有系统的谬误。

技术熟练的网络工程师或者商业IT网络的有经验的用户将会明白更好的IT安全性解决方案的重要性。为此，对惯例上的计算和IT网络的历史的主要回顾将是有用的。

第一批计算机是大型机。这些复杂的整体式设备需要得到保护的环境，以正确地运行。它们只能够由具有高级专业知识的技术熟练的技术人员来操作。向它们的接入是受到限制的，并且它们提供与其它设备的有限的连通性。因此，它们很容易保护。

个人电脑(PC)的出现、网络技术的革命以及，特别是，近来因特网的爆炸性成长，改变了人们使用电脑和与电脑相联系的方式。计算机设备的尺寸减小了；它们变得容易移动，也可以在友好用户界面的辅助下由外行的个人来操作。计算机被连接起来以建立计算机网络，允许信息和应用程序共享。因特网使网络连接达到了它的顶点——是群众可以负担得起的真正的全球连接。除了台式PC和便携PC，个人数字助理(PDA)、平板PC、以及移动电话在需要在他们的家庭或者办公室外接入网络的人群中变得普及起来。

技术的飞快进步和商业需要的膨胀造成了对全球范围的IT部门的空前的挑战。不断增加的数据量(可以从大量的设备得到)需要得到保护。并且，这种保护的建立必须是在宽带“保持在线(always-on)”连接的背景下。同样值得注意的是，在不同国家里在因特网上涉及到的隐私权和信息所有权的寻址的调节主动性。无疑地，需要技术上鲁棒的并且商业方面全面的网络安全性解决方案，特别是考虑到IT革命的下一个必然阶段，以普适计算为标志的阶段。所有的模拟设备都正在并且可以预期会被数据式对应物所取代。类似于电视、电话、CD和DVD、数据式照相机、摄影机、以及计算机游戏平台将会(如果不是已经)全部支持因特网接入。因为网络数据接入变成可以在任何地点任何时间进行，所以对保护所有权法人数据和敏感的个人信息的需要变得更加迫切，并且满足这种需要的难度相应地提高了。

总而言之，反应在组织IT基础设施革命和当前缺乏安全网络通信上，普通熟练的技术人员将明白对提高安全性、稳定性、高效性、以及灵活的网络数据传输，并连接在其上的系统和方法的需要，对安全并且可靠的企业信息管理和应用程序共享的新的网络范例的需要。

发明内容

因此，本发明的目的是提供用于提高网络上安全数据传输和应用程序共享的可靠性、灵活性、以及高效性的系统和方法。特别地，本文中公开的方法和系统实现了开放的客户机服务器结构，该结构支持多个用户之间的安全的、灵活的网络连接和可靠的、高效的网络交易。该IT网络平台提供普适的安全性，即使用多样化的网络连接设备时要求的安全性，并且它是以用户为中心的，即它保护用户而不是保护用户用于连接到网络的设备。普适的并且以用户为中心的安全性可以根据当前公开的系统和方法的一个实施例在任何时间、任何地点、使用任何网络设备来建立。

在一个实施例中提供了数据报方案，它考虑了支持许多应用程序和网络服务的动态数据报转换的实现。在另一个实施例中，提供了移动式智能数据载体，它实现了用户身份验证的认证和加密方案。根据本发明的普适的、以用户为中心的网络安全可以便利地在使用分布式计算机网络的任何企业IT环境中配置，这些环境包括例如，政府、军队、工厂、以及在金融服务、保险、咨询、保健、以及制药行业中。根据各种不同的实施例，该IT安全平台可以推动大批商业运作，包括特别是存货清单、销售额、顾客服务、市场营销和广告、电话会议、以及各种应用程序的远程共享。本发明的系统和方法可以结合某些实施例中的生物统计方法和其它适当的验证方法来实现。

从而，本发明提供了与现有的拼凑解决方案不同的网络安全平台。因为网络动态地将其资源提供给通过一系列不同设备或者应用程序接口连接的世界各地的用户，所以采取了整体分析，并且提供了单独的解决方案，该方案允许各组织保护整个网络。本发明的网络安全平台集中在保护用户上，而不是保护用户使用的各种网络主机设备。这种以用户为中心的模式提供空前的简单性和灵活性，而它们为网络系统提供了改进的友好的用户界面。加强的安全性对用户是透明的。然而，在需要的时候用户活动可能受到有效监控。IT部门对所有的用户接入进行完全的控制。

根据本发明，在一个实施例中提供了一种一个或者多个用户与至少一个网络服务器之间的安全网络连接的系统。该系统包括：被配给一个用户的至少一个智能数据载体，其中智能数据载体包括至少(i)适合于存储数据的一个存储器，(ii)适合于输入和输出数据的一个输入-输出装置，以及(iii)适合于处理存储在所述存储器中的数据的一个处理器，其中智能数据载体能够连接到主机设备从而通过所述输入-输出装置在网络上传输数据，并且其中智能数据载体适合于通过认证和加密方案为用户建立网络身份；以及用于一个或者多个用户正在使用的多种应用程序的动态分配和数据报交换的动态数据报转换器。

根据一个实施例，智能数据载体是移动式的。根据另一个实施例，智能数据载体是用USB key、袖珍闪存(Compact Flash)、智能媒体(Smart Media)、CD(Compact Disk)、DVD、PDA、火线设备(firewiredevice)、以及令牌设备中的一个实现的。

根据另一个实施例，认证和加密方案包括下列顺序的步骤：(a)使请求从智能数据载体发送到认证智能数据载体的网络服务器；(b)网络服务器给智能数据载体提供多个认证方法；(c)智能数据载体通过事件从多个认证方法中选择出一个；(d)网络服务器基于选择的方法，向智能数据载体发送要求，要求来自智能数据载体的认证数据；(e)网络服务器将从智能数据载体接收到的认证数据转换成一个或者多个数据认证对象，其中每个数据认证对象都是能够通过使用一个或者多个分类器来被分析的数据向量对象；(f)网络服务器根据一个或者多个分类器，分析数据认证对象，从而确定认证的结果；以及(g)网络服务器将该结果发送给智能数据载体，指示认证尝试成功或者失败。

根据另一个实施例，步骤c)中的事件是点击鼠标、触摸屏幕、敲击键盘、发出声音、或者生理数码化度量。

又根据另一个实施例，步骤e)中的命令包括伪随机码和真随机码中的至少一种。伪随机码是基于数学上预先计算出来的列表生成的。真随机码是通过在系统外面对熵的源进行采样和处理生成的。

根据另一个实施例，随机化是用一个或者多个随机发生器和一个或者多个独立的种子米执行的。

根据另一个实施例，步骤f)中的分析是基于一个或者多个分析准则。在另一个实施例中，一个或者多个分析准则包括根据步骤e)的一个或者多个分类器的分类。

根据另一个实施例，分类是讲话者校验，其中数据对象向量涉及两类，目标讲话者和冒名顶替者。每类的特征在于概率密度函数，并且步骤f)中的确定是二元判定问题(binary decision problem)。

又根据另一个实施例，步骤f)中的确定包括基于步骤e)的一个或者多个分类器，从一个或者多个数据向量对象计算出总量、上级、以及概率中的至少一项。又在另一个实施例中，总量是从一个或者多个数据向量对象计算出来的上级和随机总量之一。

根据另一个实施例，步骤e)的一个或者多个分类器包括从多于一个的数据向量对象得到的超级分类器(super classifier)。

又根据另一个实施例，超级分类器是基于人体生理数码化的，包括下列的至少一个；语音识别、指纹、掌印、血管模式、DNA测试、视网膜或者虹膜扫描、以及面部识别。在另一个实施例中，超级分类器是基于行为生理数码化，包括习惯或者个体行为模式。

根据另一个实施例，认证和加密方案包括非对称的和对称的多密码加密。在另一个实施例中，加密使用了输出反馈、密码反馈、密码块链接(cipher block chaining)、以及密码转发中的至少一种。在另一个实施例中，加密是基于高级加密标准(AES)Rijndael。

根据另一个实施例，认证和加密方案使用安全密钥交换(SKE)。在一个实施例中，SKE使用公开密钥系统。在另一个实施例中，SKE使用椭圆曲线加密系统(ECC)私人密钥。

根据另一个实施例，认证和加密方案包括，适合于验证智能数据载体已经在服务器上注册的逻辑测试、适合于验证智能数据载体和主机设备上的人体参数的设备测试、和适合于基于事件级数据对用户进行认证的个人测试中的至少一个。

根据另一个实施例，多种应用程序包括基于视窗的(window-based)远程终端服务器应用程序、大型机的3270/5250终端仿真器上的应用程序、直接嵌入的应用程序、以及多媒体应用程序中的至少一种，其中直接嵌入的应用程序包括数据库应用程序、数据分析工具、客户关系管理(CRM)工具、以及企业资源计划(ERP)包中的至少一种。

根据另一个实施例，动态数据报转换器包括数据报方案和分析器。数据报方案包括两个或者多个的数据报，属于一个或者多个数据报类型。数据报适合于承载(i)用于网络传输的内容数据以及(ii)用于管理和控制网络连接并支持网络应用程序的其它信息。每个数据报类型都包括多种功能。分析器适合于分析一个或者多个数据报类型。

根据另一个实施例，数据报方案包括至少一个主要数据报类型，和在该一个主要数据报类型中的至少一个次要数据报类型。

根据另一个实施例，分析器能够分析数据报类型矩阵。在另一个实施例中，该矩阵包括第一组多个主要数据报类型，以及在第一组多个主要数据报类型中的每个主要数据报类型中的，第二组多个次要数据报类型。

根据另一个实施例，主要数据报类型是从包括以下的组中选择出来的：(i)服务器消息和连接控制数据报，适合于认证和控制用户连接，(ii)内容数据报，适合于传送内容数据，(iii)广播数据报，适合于管理点到点的、点到多点的、以及多点到多点的数据传输，(iv)连接代理数据报，适合于在网络服务器和智能数据载体之间传递代理数据，(v)即时消息类型，适合于实时地传送消息，(vi)大容量传递数据报，适合于传递过大的数据和媒体文件，(vii)用户目录数据报，适合于搜索网络用户，以及(viii)远程管理数据报，适合于远程地控制网络用户。

根据另一个实施例，数据报方案中的每个数据报都具有一般格式，包括(A)报头字段包括(i)一个或者多个主要数据报类型、(ii)一个或者多个次要数据报类型、(iii)数据报长度、以及(iv)数据报校验和，以及(B)用于在传输中承载数据的数据报有效负载。

在又一个实施例中，该一般格式包括一个或者多个附加的报头字段。在另一个实施例中，一般格式遵循TCP报头。

根据另一个实施例，智能数据载体还包括无线电探测连接器(radarconnector)；无线电探测连接器通过接口连接网络，并且适合于监控和控制网络连接。在另一个实施例中，网络服务器还包括适合于监控和控制网络连接的无线电探测连接器。网络服务器的无线电探测连接器在网络上连接到智能数据载体的无线电探测连接器。在另一个实施例中，无线电探测连接器还适合于检测丢失的连接和初始化对网络服务器的联系从而重新建立连接。

根据另一个实施例，安全网络连通的系统还包括注入器，适合于把现有的网络连接到网络服务器，并在现有的网络与智能数据载体之间通过网络服务器传送数据，其中所述现有的网络是有线的或者无线的。在另一个实施例中，注入器还包括无线电探测连接器，通过接口连接网络并且适合于监控和控制网络连接。

根据本发明，在另一个实施例中，提供了客户机服务器通信系统，该系统包括至少一个服务器和一个客户机。服务器包括用于多种网络应用程序的数据报的动态分配和交换的动态数据报转换器。客户机是智能数据载体，能够连接到主机设备，从而通过输入-输出装置在网络上传输数据。智能数据载体适合于通过用于服务器和客户机之间的安全数据传输的认证和加密方案，来建立网络用户身份。

根据另一个实施例，客户机服务器通信系统还包括注入器，适合于把现有网络连接到服务器，并在现有网络与客户机之间通过服务器传输数据。现有网络是有线的或者无线的网络。

根据在另一个实施例，服务器、客户机、以及注入器每个都包括无线电探测连接器。无线电探测连接器通过接口连接网络并且适合于监控和控制网络连接。客户机的无线电探测连接器网络连接到网络上的服务器的无线电探测连接器，并且注入器的无线电探测连接器连接到网络上的服务器的无线电探测服务器。

根据另一个实施例，客户机服务器通信系统中的服务器还包括用于客户机的专用数据存储的加密的虚拟文件系统。

根据本发明，在另一个实施例中，提供了智能数据载体，该智能数据载体包括至少(i)一个存储器，适合于存储数据，(ii)一个输入-输出装置，适合于输入和输出数据，以及(iii)一个处理器，适合于处理存储在所述存储器中的数据。智能数据载体能够连接网络上的主机设备，从而通过输入-输出装置在网络上传输数据。数据传输是通过动态转换的数据报。智能数据载体适合于通过用于安全网络数据传输的认证和加密方案来建立网络用户身份。

根据本发明，在另一个实施例中，提供了一种用于安全网络通信的方法。该方法包括：配给网络用户智能数据载体，智能数据载体能够连接到网络上的主机设备从而通过其IO装置在网络上传输数据，并通过认证和加密方案为网络用户建立网络身份；以及在网络上的服务器中提供动态数据报转换，用于支持多种应用程序的数据报的动态分配和交换。在各种不同的实施例中，该方法执行与数据向量对象有关的认证、加密、以及随机化。超级分类器，特别是与人体的和行为生理数码化量度一起，在某些实施例中得到了使用。

根据本发明，在一个实施例中，提供了一种用于将一个或者多个应用程序传送给用户的方法。该方法包括配给用户适合于对接到主机设备上的智能数据载体，主机设备连接到网络服务器所位于的网络上，并在网络上与网络服务器进行通信，其中网络服务器与智能数据载体通过动态转换的数据报进行通信；服务器通过认证和加密方案对用户进行认证；以及成功认证之后，准许用户访问一个或者多个应用程序。

根据另一个实施例，一个或者多个应用程序被预先下载到智能数据载体上或者安装在网络服务器或者主机设备上。在又一个实施例中，主机设备通过有线的或者无线的方法连接到网络。主机设备可以是台式电脑或者便携式电脑、个人数据助理(PDA)、移动电话、数字TV、音频或者视频播放器、电脑游戏控制台(computer game consol)、数字照相机、摄像机、以及能够联网的家庭设备。

根据另一个实施例，一个或者多个应用程序可以是基于视窗的远程终端服务器应用程序、大型机的3270/5250终端仿真器上的应用程序、直接嵌入的应用程序、以及多媒体应用程序。直接嵌入的应用程序包括数据库应用程序、数据分析工具、客户关系管理(CRM)工具、以及企业资源计划(ERP)包中的至少一种。

附图说明

图1示出了根据本发明的一个实施例的客户机、服务器、以及注入器之间的交互；

图2表示根据本发明的另一个实施例的对象向量超级分类器；

图3示出了根据本发明的另一个实施例的数据报分析器，包括各种不同的部分、模块、以及其中涉及的处理；

图4是根据本发明的另一个实施例的数据报的一般格式；

图5表示根据本发明的另一个实施例的智能数据载体、各种不同的模块和其中执行的处理；

图6示出了根据本发明的另一个实施例的客户机，包括各种不同的部分、模块、以及其中涉及的处理；

图7示出了根据本发明的另一个实施例的服务器，包括各种不同的部分、模块、以及其中涉及的处理；

图8示出了根据本发明的另一个实施例的注入器，包括各种不同的部分、模块、以及其中涉及的处理。

具体实施方式

相关的术语的简要讨论

下列的术语，网络、客户机、服务器、数据、数据向量对象(也称作数据对象向量、对象向量)、分类器、决策(decision-making)、确定性分析、基于确定性分析的对象(也称作对象分析)、随机数、随机数发生器、种子、随机化、概率、概率密度函数、认证、私人密钥、公开密钥、椭圆曲线加密(ECC)、ECC签名、分析器、包、报头、TCP、UDP、防火墙、通用串行总线(USB)、Apple串行总线(ASB)、串行端口、并行端口、令牌、火线(firewire)、以及在本发明的通篇中的其它相关的术语，将被理解为与在相关技术中所确定的它们的典型意义相一致，即数学、计算机科学、信息技术(IT)、物理学、统计学、人工智能、数字网络、网络通信、因特网技术、密码学、加密和解密、压缩和解压缩、分类理论、预测建模、决策、语音识别、以及生理数码化。

下列的术语，安全密钥交换(SKE)、高级加密标准(AES)、公开密钥基础设施(PKI)、加密的虚拟文件系统(EVFS)、虚拟专用网络(VPN)、侵入检测系统(IDS)、非军事区(DMZ)、个人数字助理(PDA)、USB key、USB令牌、USB狗(USB dongle)、并行端口dongle、串行端口dongle、防火墙设备、令牌设备、智能卡、智能媒体、袖珍闪存、智能数字媒体、DVD、CD、多协议标签交换标准(MPLS)、轻量级目录访问协议(LDAP)、电子数据交换(EDI)、因特网中继闲谈(IRC)、循环冗余校验和(CRC)、终端标识符(TID)、以及本发明的通篇中的其它相关的术语，将被理解为与IT行业、电子或者在线商务、以及特别是网络安全和任何相关领域中所确定的典型意义相一致。

本文中所使用的网络，指的是能够通过适合于在一定距离上传输数字和/或模拟数据的媒介(例如光纤电缆)使互相连接的设备联网的任何群组。网络可以是开放的网络，例如因特网，或者封闭的网络，例如企业内部互联网系统。能够联网的设备，也称作网络连接设备、连接设备、或者设备，可以是计算机、数据式移动电话、PDA、数字照相机、数字音频-视频通信装置、或者可以通过有线或者无线方法被连接到网络的任何其它设备。网络连接设备可以是如本发明中所提到的客户机或者服务器。在一个实施例中，连接设备也可以指移动客户机(例如智能数据载体)的主机。见关于客户机作为智能数据载体的以下讨论。在某些实施例中，网络可以包括一个或者多个这样的客户机和一个或者多个这样的服务器。在其它实施例中，网络也可以包括一个或者多个注入器，在本发明的下文的详细描述中讨论。

如本文中所使用的，虚拟专用网络(VPN)应用安全程序和隧道以取得网络交易中的个人信息，同时共享例如因特网的公共网络基础设施。隧道指的是被保护的数据(例如那些商业所有权或者个人的隐私)通过公共网络的传输。公共网络中的路由节点不知道传输是专用网络的一部分。隧道典型地是通过将专用网络数据和协议信息封装到公共网络传输单元中以便于专用网络协议信息作为数据显示给公共网络来完成的。隧道使得可以使用因特网来为专用网络传输数据。许多隧道协议已经得到了开发，其中一些例子是由微软和几个其它公司开发的点到点隧道协议(PPTP)；由斯科系统(Cisco Systems)开发的通用路由封装(GRE)；以及层二隧道协议(L2TP)。隧道以及VPN的使用，不能取代确保安全数据传输中的加密。加密可以用在向VPN的连接中和VPN内部。

本发明中所使用的统计生物学，指的是个体特征(人体的或者行为的)，该特征被用于建立用户身份以便于对用户进行认证和正确地授权，或者拒绝接入受保护的机构网络或者受保护的信息资源。人体生理数码化包括语音识别(即，讲话者验证)、指纹、掌印、血管模式、DNA测试、视网膜或者虹膜扫描、以及面部识别和其他的事物。行为生理数码化包括习惯或者个体的行为模式。

本文中所使用的数据，指的是能够在网络上传输的任何信息。在各种不同的实施例中数据与术语数字信息或者信息可互换地使用。内容数据指的是用户指定的用于在网络上传输的任何数据。例如，在金融机构或者银行，顾客帐户信息包括一种内容数据，该内容数据可以在一个或者多个客户机和由不同的授权的帐户管理者和系统管理员使用的或者操作的服务器之间传输。帐户支付信息将是EDI交易背景下的一种内容数据。不同种类内容数据的另一个例子是生产设备中的原料和成品的清单信息；该数据通常是在客户机和服务器之间，贯穿用于接入的这样的设备由生产工程师和商业规划人员传输的。多媒体数据，例如音频、视频文件，代表又一种形式的内容数据。交易数据(也称作连接数据)在本发明中是指，表示客户机与服务器之间的网络连接和它们之间的数据传输的状态的任何信息。它包括关于用户授权状态和认证方法的信息和其他的一些事情。

本发明中提出的数据压缩和加密，可以根据典型的行业实践来实现。多种压缩/解压缩和加密/解密的规范和算法都是技术领域中公认的，并且很多相关的产品是公开销售或者市售的；在根据本发明的各实施例的方法和系统中可以利用它们。

本文中所使用的用户界面，指的是使得与用户进行交互成为可能的任何类型的计算机应用程序或者程序。用户界面可以是图形用户界面(GUI)，例如浏览器。这样的浏览器的例子包括微软公司出品的WEB浏览器(Microsoft Intemet Explorer^TM)和Netscape公司出品的WEB浏览器(Netscape Navigator^TM)。在可替代的实施例中用户界面也可以是简单的命令行界面。用户界面也可以包括插入式的工具，它扩展了现有的应用程序并支持与标准的桌面式应用程序(例如MicrosoftOffice、ERP系统等等)的交互。此外，在某些实施例中的用户界面也可以指信息入口的任何点，例如，键区、PDA、话筒、或者任何类型的生理数码化的输入单元。

本文中所使用的无线电探测连接器，指的是适合于监控和控制网络连接的模块。根据各种不同的实施例，它可以被包括在客户机、服务器、或者注入器中或者被连接到客户机、服务器、或者注入器。在某些实施例中，客户机的无线电探测连接器还适合于检测丢失的连接(lost connection)和初始化对服务器的联系，从而重新建立连接。首先它希望连接到端口；其后，它不断地监控网络连接，并且当检测到连接丢失的时候，它试图通过呼叫服务器来重新建立连接。在服务器方，无线电探测连接器在任何时刻都可以保持激活，以监控与各种不同客户机的连接状态。

在本发明中所使用的普适计算，指的是在人们的商业和家事中对网络计算机或者其它数字设备的增加的并且普遍的使用。数据式的并且能够联网的电子设备和家庭设备(例如，移动电话、数据式TV、PDA、全球定位系统(GPS)、摄像手机、以及联网的微波炉、冰箱、洗衣机、烘干机、以及洗碗机等等)的快速增长，和宽带因特网连接的普遍存在，标志着普适计算的时代。

在各种不同的实施例中所使用的普适安全性，指的是使用一个或者多个网络主设备或者连接设备传递关于命令的安全性的网络安全平台。根据本发明，以用户为中心的安全性指的是，系统保护一个或者多个用户而不是保护用户用来连接到网络服务器的一个或者多个计算机主设备。普适的并且以用户为中心的安全性可以在使用本发明的系统和方法的一个实施例中，任何地方、任何时刻、使用任何网络设备来建立。

数据报被定义为“承载着充分的信息以从源被移至目标计算机，而不依赖在该源和目标计算机和传输网络之间的较早的变换，的自主式的、独立的数据实体”。见2001年11月的技术术语百科全书(Encyclopedia of Technology Terms)，Whatis.Com，QUE。数据报和包能够可交换地使用。同前。

在本发明的各种不同实施例中，术语“智能数据载体”(IDC)与术语“客户机”可以交换使用。智能数据载体包括至少(i)一个存储器，适合于存储数据，(ii)一个输入-输出装置，适合于输入和输出数据，以及(iii)一个处理器，适合于处理存储在所述存储器中的数据。智能数据载体能够连接到主机设备，从而通过IO装置在网络上传输数据。根据本发明的某些实施例，它也适合于通过认证和加密方案建立网络用户的网络身份。在一个实施例中，智能数据载体是移动式的。智能数据载体可以用以下设备或者在以下设备上来实现：USBKey、火线设备、智能卡、压缩磁盘、DVD、智能媒体、袖珍闪存、PDA、智能数字媒体、或者令牌设备。令牌设备可以是软件狗(softwaredongle)，例如串行端口软件狗或者并行端口软件狗、任何从前的密码发生设备、或者系统接入设备。根据本发明，其它数字媒体读出器可以被实现为智能数据载体。它们能够通过各种不同的端口或者驱动器并且以各种不同的方式连接到多种主机设备。智能数据载体承载着所有的数据和能力，用于一旦服务器对用户作出正确的认证就为用户建立安全网络连接并且立即启动应用程序。见下文中关于客户机作为智能数据载体的详细讨论。

客户机-服务器-注入器网络通信系统

在本发明的一个实施例中提供了一种客户机-服务器通信系统，其包括一个或者多个客户机和一个或者多个服务器。每个客户机都是能够支持到网络服务器的安全连接的认证和加密方案的智能数据载体。见下文中关于客户机作为智能数据载体的讨论。因为该系统对每个用户直接通过智能数据载体进行认证和保护，所以该系统使以用户为中心的安全性成为可能。不论使用的是哪种连接设备或者本地主机，用户都可以将智能数据载体对接(dock)到主机，并启动认证会话以连接到目标服务器。这样，接入防护的焦点不在于连接设备或者本地主机，而是更确切地，它直接关于被配给智能数据载体的个体用户。智能数据载体可以是移动的；这样的移动性增强了该系统提供的安全解决方案的普适性。这是使用任何连接设备或者本地主机的即时的安全性。

在另一个实施例中，注入器被包括在客户机-服务器通信系统中。客户机-服务器-注入器系统使得能够与现有的网络基础设施便利的集成，并且促进了数据传输和应用程序共享的整体安全性。见下文中关于与服务器和客户机连接的注入器的详细讨论。一个或者多个客户机、一个或者多个服务器、以及一个或者多个注入器可以设在这样的网络通信系统中。每个注入器都与一个或者多个服务器相链接并且进行通信。每个服务器都与一个或者多个客户机相连并为其服务。系统中的多个服务器在管理整个网络中的数据流时可以互相通信。

图1概括出了根据一个实施例的注入器105、客户机103、以及一对对等服务器101之间的连接。每个服务器、客户机、以及注入器都具有与网络相连的无线电探测连接器107。无线电探测连接器107不变地监控网络连接的状态。当检测到连接丢失的时候，客户机方上的无线电探测连接器107通过呼叫服务器进行一次或者多次尝试以重新建立连接。因为客户机已经记录了(并且因此记住了)最近一次连接的连接状态参数，丢失的连接可以以需要的精度很快地得到恢复。因此，数据传输的完整性可以得到保护，并且失败率可以降低。

除了无线电探测连接器107，某些其它模块和处理在图1中示出的客户机103、注入器105、以及两个对等服务器101之间是公用的。许可管理器109分配并管理用户许可。服务商(service facilitator)111确保当被请求的时候具体的应用程序或者服务被提供给用户。如图1所示，客户机103、服务器101、以及注入器105中的每个都包括数据报分析器引擎113。分析器引擎113可以包括分析器和系统的动态数据报转换器。见图7和图8，服务器101和注入器105分别包括动态数据报转换器701、801和帧分析器703、803。相应地，如图6所示，客户机设备103包括服务分析器601和服务帧603。数据报转换器701、801与在客户机方和服务器方的无线电探测连接器107一起运行以处理数据报传输的多个实例。下面陈述关于动态数据报转换器701、801的详细讨论。加密引擎115处理网络上数据事务的加密和解密。在客户机103、服务器101、以及注入器105系统中，加密引擎115在与网络连接的无线电探测连接器107的后面一级。在服务器101和注入器105双方实现的分析引擎113和服务商111，使整个系统能够支持多数网络服务和应用程序，以及各种不同类型数据的传输。关于这些和其它模块的更多细节和处理在下面对于客户机103、服务器101、以及注入器105的各单独的小节中讨论。客户机作为智能数据载体

客户机是能够通过有线的或者无线的网络，连接到服务器计算机或者设备的任何计算机或者设备。客户机也可以指呼叫并连接到服务器的计算机软件或者固件。根据一个实施例，客户机是智能数据载体(IDC)。客户机或者IDC可以通过在链接到网络中的主机设备上执行软件、固件、或者闪存来执行。在一个实施例中，主机设备或者IDC提供用户界面，一旦用户通过IDC连接到网络服务器，其允许用户监控网络事务并控制数据传输。例如，用户界面可以为用户提供登陆形式以登陆到网络上。该形式可以接受以各种不同的格式项，不管文本、对象、还是图形。用户界面也使用户能够发布指令，以控制网络事务和数据传输。

根据本发明的一个实施例，智能数据载体可以是移动的。在各种不同的实施例中，智能数据载体可以用以下设备或者在以下设备上实现：USB key、袖珍闪存、智能媒体、CD、DVD、PDA、火线设备、令牌设备(例如串行端口狗或者并行端口狗)、或者其它数字的、模拟的设备或媒体阅读器。

根据一个实施例，智能数据载体具有三个主要部分：适合于存储数字信息的存储器、适合于输入和输出数字信息的输入-输出(IO)装置、以及适合于处理存储在存储器中的数字信息的处理器。IDC能够连接到位于网络内的计算机主设备，并从而通过其IO装置在网络上传输数据。

IDC的存储器可以采取任何计算机可读媒体的形式，例如CD、软盘、DVD、可擦写可编程只读存储器(EPROM)、以及闪存(袖珍闪存、智能媒体、USB key等等)。

IDC的IO装置能够通过任何种类的IO连接或者端口连接到主机设备，这些端口包括，例如，鼠标端口、键盘端口、串行端口(USB端口或者ASB端口)、并行端口、红外端口、以及火线连接(IEEE 1394)等。根据各种不同的实施例，IO连接可以是有线的或者无线的。例如，在一个实施例中，在IDC与主设备之间可以依据蓝牙(Bluetooth)规范来建立短程无线连接。见， www.bluetooth.org。在其它实施例中，使用了802.11b-g和红外通信。在另一个实施例中，IO装置包括收发器，它适合于发送和接收语音或者图像数据。这样，IDC支持VoIP应用程序。

在一个实施例中，IDC的处理器包括集成电路(IC)。在另一个实施例中，该IC是专用集成电路(ASIC)。该IC支持IDC上预先下载的应用程序的执行，也支持安装在主机设备上的应用程序或者可以从远程服务器获得的那些应用程序。在可替代的实施例中，IDC的处理器本身不包括IC；它依赖于主机设备的IC，并且适合于处理存储在IDC的存储器中的信息以及处理从安装在主机设备上的应用程序下载到IDC的存储器上的信息。见下文中关于应用程序传递的详细讨论。

根据本发明，智能数据载体适合于通过认证和加密方案为用户建立网络身份。智能数据载体定位服务器并通过启动认证处理将自己显示给服务器。见下文中关于认证和加密的讨论。在本发明的安全网络系统中，每个用户都可以得到IDC，它允许用户连接到网络服务器并访问服务器上的数据和应用程序。用户在需要的时候可以任意地使用IDC来连接、断开、以及重新连接到服务器。根据一个实施例，该连接可以是来自任何网络主设备并在任何时刻。主机设备可以使台式或者便携式电脑、个人数字助理(PDA)、移动电话、数字TV、音频或者视频播放器、计算机游戏平台、数字照相机、摄像机、以及能够联网的家庭设备例如可联网的冰箱、微波炉、洗衣机、烘干器、以及洗碗机。在某些实施例中，IDC可以直接被嵌入在主设备中，从而提供网络上的安全数据交换或者应用程序共享。网络接入对于每个用户都是秘密的并且安全的。见下文中关于加密的虚拟文件系统的讨论。这样，IDC为网络通信提供很好的可移动性和增强的、以用户为中心的安全性。

应用程序可以通过IDC以安全的受控的方式被传送给有意的用户。在一个实施例中，某些得到许可的应用程序可以被预先下载到被配给经过授权的用户的IDC上，经过授权的用户是向系统登记的用户。经过服务器的正确认证，用户可以脱离该IDC运行应用程序，而不管该IDC对接到哪个本地主机。也就是说，例如，用户可以向在一个位置的(连接到因特网的)计算机插入USB key IDC并且一旦成功连接到服务器(也在因特网内)，就脱离USB key IDC运行该应用程序。用户可以关闭应用程序并将文件存储到服务器或者USB key IDC上。文件是存储在连接到网络服务器的加密的虚拟文件系统(EVFS)中的。见下文中对EVFS的讨论。当在另一个位置的时候，用户可以启动该应用程序(基于服务器的正确认证)脱离USB key IDC使用不同的计算机主设备并继续处理同一个文件。这样，IDC与网络服务器之间的这种安全的、移动的、并且以用户为中心的连接性，提供用于不仅对数据接入进行管理和控制而且对应用程序传送进行管理和控制的数据报。

根据一个实施例，智能数据载体可以用于传送独立的应用程序或者操作系统。可以配给用户具有只读的或者复制保护的应用程序和/或操作系统的IDC。用户可以使用IDC来启动没有操作系统或者没有在其上安装的存储设备的主系统，和访问基于服务器的应用程序或者预先下载到IDC上的应用程序。

根据另一个实施例，智能数据载体可以用来传递应用程序和媒体内容。例如，用户可以配备有包含着复制保护并且只读的应用程序的IDC，以及唯一的序列号以允许该应用程序的初初始安装。当完成安装的时候，IDC可以请求系统名称、MAC号、处理器序列号、或者其它静态的基于系统的信息，以创建防复制码，接着该防复制码以对用户隐藏的加密码的形式被存储在IDC上。该码可以确保应用程序只安装在最初的主设备上。

根据又一个实施例，智能数据载体用于特定媒体的分配。可以配给每个用户IDC，IDC对一个或者多个特定的解码器起作用，授权访问特定的数字媒体源，例如DVD、CD、或者MP3数据文件。服务器可以通过该IDC跟踪特定数据文件的访问和使用。

因此根据本发明，应用程序传递范例是对于专有数据内容，以及金融软件包和IT工具特别有用，包括专用的数据库应用程序、数据分析工具、以及各种不同的顾客关系管理(CRM)和企业资源计划(ERP)包。受控制的并且对准目标的传送，加上严格的认证和加密以及集中的数据和文件管理，使该范例成为现有软件授权方案(例如企业授权和移动式授权)的实际竞争者。以这种性能，IDC使得可以对专用数据、应用程序和服务进行数字权利管理(DRM)。

参考图5，根据本发明的一个实施例，智能数据载体实现了许多模块和处理。例如，应用程序引导装入程序501允许系统集成器(SI)和原始设备制造厂家(OEM)为存储在IDC上的应用程序或者安装在主机设备上的应用程序创建定制引导呼叫。根据本实施例，应用程序引导装入程序501是IDC的处理器的一部分。它可以呼叫配置文件、SYS文件、或者可执行文件等，以引导应用程序。

根据一个实施例，IDC的存储器可以(例如，由SI或者OEM)划分为用户数据存储空间503、应用程序数据存储空间505、以及管理配置部分507。用户数据存储空间503是可读写的。应用程序数据存储空间505是只读的。管理配置部分507是只读并且复制保护的。分区信息以这样的方式存储在IDC上，即不依照用户的想法也不是用户直接能访问的。

另外的模块也包括在内，包括用于用户认证的有关设备认证客户机模块509、用于网络连接的监控和控制的无线电探测连接器511、以及加密模块513等。认证客户机509可以使用各种不同的用户认证手段，包括对象方法515、密码系统517、以及其它权利策略519等。关于认证和加密的详细讨论在下文中陈述。

图6提供了根据本发明的一个实施例的客户机的另一个实例。随着涉及的处理还示出了各种不同的模块和部分。例如，依靠与服务器的连接，客户机支持各种不同类型的传输，包括消息605、流607、以及其它定制通信609。在一个实施例中，对应于网络服务器中的数据报转换器(701、703)，使用了数据报分析器(服务分析器601)。见下文中关于带有动态数据报转换器的服务器的讨论。安全密钥交换611和加密613是在客户机中实现的。见下文中关于认证和加密的讨论。与认证和加密方案结合，使用了随机化。见下文中关于数据对象创建和分析中的随机化的讨论。另外，无线电探测连接器615作为客户机的一部分被包括在内，把客户机链接到服务器。无线电探测连接器615监控客户机与服务器之间的连接。该连接可以通过公共网络例如因特网。它也可以被建立在专用企业网络内部，特别是涉及分布式计算的网络内部。具有动态数据报转换器的服务器

服务器可以是位于能够连接到客户机、对客户机进行认证、并向客户机提供数据和应用程序访问的开放式的(例如，因特网)或者封闭式的(例如，社会公共机构环境)网络。该网络可以是有线的，或者部分或者完全无线的。服务器定义系统中的各种不同客户机或者用户的许可或者权限。可以基于人体的用户身份(例如，根据生理数码化度量)以及地理位置(例如，本地主机名称、本地时间、或者任何其它可检测的参数)对许可进行编译和分配。一旦客户机成功地得到了认证，服务器接受来自客户机的连接并允许访问由用户所有的或者用户被授权访问的数据或者应用程序。数据文件是在EVFS中，EVFS提供到每个用户的安全的、秘密的接入。见下文中关于EVFS的讨论。在其它实施例中，一旦建立了连接，服务器就可以把应用程序传递到授权的用户，如上文所述。

如图7所示，根据一个实施例的服务器包括一组模块和部分，其中一些与包含在客户机中的那些类似，在图6中被示出。例如，SKE 705和加密707在服务器中被实现。与认证和加密方案结合，还使用了随机化。如上文所讨论的，EVFS 709链接到服务器，为每个客户机提供用于数据访问和存储的虚拟专用文件系统。EVFS 709通过EVFS接口711链接到服务器。见下文中详细的讨论。此外，无线电探测连接器713作为服务器的一部分被包括在内，与客户机方的无线电探测连接器615连接。每方都带有无线电探测连接器的客户机与服务器之间的网络连接，使得对网络连接的有效监控和控制成为可能。根据本发明的另一个实施例，无线电探测连接器还可以检测到丢失的连接和在需要的时候建立连接。各种不同的应用程序或者服务都得到支持，包括例如消息715、流717、以及定制通信719。

在某些实施例中，客户机与服务器之间的数据传输是由动态数据报转换器基于数据报方案完成的。见下文中的例子1。所有通过服务器发往传送器的数据(不管内容数据还是事件数据)都被格式化为数据报。根据一个实施例，每个数据报都在TCP包内部被传送。在可替代的实施例中，其它网络协议，例如UDP、HTTP、以及HTTPS都可以使用。根据一个实施例，在数据报方案中定义了多种数据报类型。主要数据报类型可以具有多个次要的或者子类型。在可替代的实施例中，次要数据报类型可以还包括更低级的数据报子类型。对于每个数据报类型或者子类型，都可以定义一组方法和功能。每个数据报类型或者子类型都能够支持一个或者多个特定的应用程序并传送一个或者多个特定种类的数据。各种不同的类型可能需要不同的并且特定的特权和/或许可。

数据报是在服务器中由动态数据报转换器701进行处理的。动态数据报转换器701能够实时地创建、分配、处理、和交换数据报。数据报分配和重新分配是动态地执行的。在一个实施例中，当一个数据报被重新分配同时另一数据报被分配的时候可以使用相同的存储器空间。存储器指针被用于多个数据报。当一个数据报正在使用的时候，它的指针指向所分配的存储器。存储器指针的使用提供了在调度多种网络应用程序和支持使用中的向一个或者多个用户的网络数据传输中的高水平的效率和速度。在某些实施例中，数据报的转换可以通过一个端口在网络连接中实现；并且在可替代的实施例中，数据报的转换可以与多个端口结合来实现。

根据一个实施例，动态数据报转换器701构成数据报分析器引擎113。分析器引擎113还包括分析器703，其基于数据报的主要和次要类型对数据报进行滤波。例如，数据是首次从套接字(socket)中读出并被附加到那个套接字的队列内。分析器引擎113接着检查看该套接字是否具有队列内的完整的数据报。如果没有，则返回休眠状态并等待下一个包到达套接字。如果有，则从该套接字的队列内去掉完整的数据报并将其发送给解密和分析单元来进行解密和分析。

分析器引擎113接着询问数据报是否通过了解密和确认。如果没有，则检查数据报是否显示出任何改变或者注入的迹象。如果检测到了改变或者注入，则放弃数据报，并且发送数据报的用户将被断开。如果成功地对数据报进行了解密和确认，则分析器引擎113设法确定预期的数据报接受者。如果数据报是送往另一个连接的服务器，则数据报被送到该对等服务器上的对等分析器引擎113。如果数据报发往本地服务器，则它被继续传送到本地分析器703。

分析器703接着检查发送者是否具有发送该特定类型的数据报的许可。在一个实施例中，这是使用对象分类器来执行的。见下文中例子2和关于认证和加密的讨论。如果发送者没有发送该特定类型的数据报的许可，放弃数据报并且创建日志文件。如果发送者具有关于该数据报类型的许可，分析器还检查发送者是否具有发送该特定数据报的许可，以及接收者是否具有接收该数据报的许可。如果没有，并且如果不许可是永久性的，则放弃数据报并创建日志文件。如果没有，但是如果不许可是暂时的，则数据报可以存储用于稍后的恢复和处理。如果发送者具有发送该数据报的许可并且接收者具有接收该数据报的许可，则分析器继续进行，以确定数据报类型。

图3示出了根据一个实施例的用于确定数据报类型301和分析在分析器703中执行的数据报的相关处理。每个数据报类型都具有相应的处理引擎，例如即时消息引擎303、广播引擎305、连接代理引擎307、用户认证引擎309、用户管理引擎311、用户目录引擎313等等。一旦分析出了数据报类型，数据报被供给到对应的数据报类型的指定的引擎，并被其处理。

对等引擎315指的是在另一个连接的服务器(对等服务器)上的对等分析器引擎。用户登录和注销被广播给所有的同位体317。用户接入每个对等服务器可以如需要的那样得到协调和管理。例如，当准许更高级的接入特权的服务器对用户成功地进行了认证并且用户连接到该服务器的时候，可以终止用户具有的到服务器的现有的连接。许可引擎319，与用户管理引擎311连接，管理和记录对所有用户的许可。其它模块或者处理可以包括在提供所需要的额外的功能的其它实施例中，包括如VPN隧道引擎321。

在一个实施例中，服务器可以动态地处理数据报类型矩阵。该矩阵包括第一预定的数量(例如，256)的主要数据报类型，其中每个主要数据报类型都具有第二预定的数量(例如，256)的次要数据报类型。在可替代的实施例中，分析器703能够分析具有多于两个维度或者层数的数据报类型矩阵。因此，可以基于数据报类型、字段、和层，来实现该分析。

一旦数据报被正确地分析出来，根据数据报的一般格式，就可以对每个数据报执行适当的功能或者方法。图4提供了根据一个实施例的数据报的一般格式。数据报格式包括有效负载401和报头字段，例如主要数据报类型403、次要数据报类型或者子类型405、数据报长度407、以及数据报校验和409。有效负载401承载传输中的内容数据。对于不同的数据报类型，附加的报头字段411可以被包括在内。

参考下文中的例子1，在一个实施例中，其中主要数据报类型还包括：能够对用户连接进行认证和控制的服务器消息和连接控制数据报；能够管理内容数据传输的内容数据报；能够管理实时的点到多点的和多点到多点的数据传输的广播数据报；以及能够在网络服务器与智能数据载体之间传输代理数据的连接代理数据报。

服务器消息和连接控制数据报包括次要的或者子数据报类型例如：能够启动认证请求的认证请求数据报；能够基于认证请求发送响应的认证答复数据报；以及能够发送认证会话的结果的认证结果数据报。

内容数据报包括次要的或者子数据报类型例如：能够传输内容数据的正常内容数据报；能够与网络服务器进行通信并建立登陆会话的远程记录数据报；以及能够传输来自远程连接的数据的远程数据收集数据报；能够请求校验传输的内容数据的内容批准请求数据报；以及能够对传输的内容数据的校验请求做出响应的内容批准答复数据报。

连接代理数据报包括次要的或者子数据报类型例如：给服务器的代理数据，能够把代理数据从智能数据载体传递给网络服务器；以及来自服务器的代理数据，能够把代理数据从网络服务器传递给智能数据载体。另一个主要数据报类型的例子是即时消息类型。它包括次要数据报类型例如文件传输类型、音频-视频传输类型、即时邮件消息类型、以及远程数据收集类型。

与服务器和客户机连接的注入器

在另一个实施例中，本发明的安全网络系统包括注入器，适合于把服务器连接到现有的网络基础设施。注入器可以是提供网络连接性的软件或者固件。注入器把物理连接数据转换成逻辑网络资源。它允许与现有的网络的便利的结合，并减少了更改现有IT基础设施的需要。

参考图8，在一个实施例中注入器包括与客户机(图6)或者服务器(图7)中的那些相类似的模块和处理。例如，在注入器中实现了SKE805和加密807。结合认证和加密方案，也使用了随机化。与服务器类似地，注入器也链接到EVFS 809，为用户提供用于向现有网络进行数据接入的虚拟专用文件系统。EVFS 809通过虚拟文件系统(VFS)接口811链接到注入器。注入器，与客户机和服务器相类似地，也支持不同类型的通信，包括例如，消息813、流815、以及其它定制通信817。

此外，注入器使用动态数据报转换器801，并具有数据报或者帧分析器803。数据报转换器801和帧分析器803对应于网络服务器中的数据报转换器701和数据报分析器703。无线电探测连接器819作为注入器的一部分也包括在内，与服务器方的无线电探测连接器713连接。无线电探测连接器819对注入器与服务器之间的网络连接进行监控和控制。根据另一个实施例，无线电探测连接器819还可以检测丢失的连接，并在需要的时候重新建立连接。

认证和加密

在本发明的各种不同实施例中，安全网络系统可以使用多种认证和加密方法，包括例如，加密的或者未加密的ASCII字符串、单独的分类器模型(model)、以及超级分类器模型。可以使用对称的和非对称的多密码加密。加密可以通过输出反馈、密码反馈、密码块链接、密码转发、或者以加密或者解密引擎都能够预测或者重现的方式改变密码和/或密钥的任何其它方法，来随着时间改变。在某些实施例中，使用了安全密钥交换(SKE)。SKE涉及随机密钥对的产生，随机密钥只使用一次之后就被删除。按照SKE，除了由服务器所有或者控制的公共-私人密钥对之外，在任何设备或者系统上都没有存储其它密钥。SKE与公开密钥基础设施(PKI)不同，它需要公开密钥存储系统来为多个用户服务。中间公开密钥存储系统的省略(网络黑客的典型对象)考虑到增强的网络安全性。

根据某些实施例，安全网络系统中的SKE模块使用不同的公开密钥系统，包括商业现货供应(COTS)系统。在一个实施例中，使用高级加密标准(AES)Riindael。参见，Federal Information，ProcessingStandards Publication 197，Announcing the Advanced EncryptionStandard，Nov.2001，(在csrc.nist.gov/publications/fips/fips197/fips-197.pdf可以得到)。请参阅，下面的网址：csrc.nist.gov/CryptoToolkit/aes/；csrc.nist.gov/Crypto Toolkit/aes/rijndael/；以及csrc.nist.gov/Crypto Toolkit/aes/rijndael/rijndael-ip.pdf。在另一个实施例中，可以使用163比特的椭圆曲线加密(ECC)密钥。ECC技术是公知的。参见例如，1999年三月的，Tatsuaki Okamoto et al.，PSEC：可证明安全椭圆曲线加密方案(Provably Secure Elliptic CurveEncryption Scheme)，(提交到P1363a)，(在grouper.ieee.org/groups/1363/P1363a/contributions/psec.pdf可以得到)。请参阅网址：world.std.com/～dpi/elliptic.html和csrc.nist.gov/cryptval/dss/fr000215.html。

在可替代的实施例中，可以在随机的基础上并且结合使用不同的加密方法。例如，可替代的密码包括：Gost、Cast128、Cast256、Blowfish、IDEA、Mars、Misty 1、RC2、RC4、RC5、FROG、SAFER、SAFER-K40、ASFER-SK40、SAFER-K64、SAFER-SK64、SAFER-K128、SAFER-SK128、TEA、TEAN、Skipjack、SCOP、Q128、3Way、Shark、Square、Single DES、Double DES、Triple DES、Double DES16、TripleDES16、Triple DES24、DESX、NewDES、Diamond II、Diamond II Lite和Sapphire II。可替代的散列函数包括：MD4、SHA、SHA-2、RipeMD128、RipeMD160、RipeMD256、RipeMD320、带有轮变换的Haval(128、160、192、224和256比特)、Snefru、Square、Tiger、以及Sapphire II(128、160、192、224、256、288和320比特)。

在一个实施例中，认证是基于事件层数据。认证事件包括点击鼠标、敲击键盘、触摸屏幕、发出声音、或者采取生理数码化度量。事件层数据包括在事件生成的数据以及事件之前和之后生成的数据。可以在记录或者测量该事件处理中指定事件窗。也就是说，例如，在时间限制内可以采取声音的采样。根据一个实施例，该数据可以用于编译超级分类器。

超级分类器的使用包括三方面：分类(见下文的附件1)、分析(见下文的附件2)、以及决策(见下文的附件3)。超级分类器功能是对输入向量数据的特征提取。输入向量数据可以是二进制的或者是非二进制的。参见例如附件3。在一个实施例中使用了基于对象向量的超级分类器。见下文中例子2。在基于对象分析的超级分类器中应用了随机化，在下一节中讨论。

每当客户机或者IDC试图连接到网络服务器的时候，就执行认证。根据一个实施例，认证和加密方案是用IDC激活的。认证和加密方案涉及一系列步骤。首先，用户通过客户机或者IDC向网络服务器发送请求，请求得到认证。从而启动来自客户机或者该IDC的认证会话。其次，服务器发送给IDC可用的认证方法的列表，用户通过事件(例如，点击鼠标、触摸屏幕、发出声音、敲击键盘、或者合适的通知事件)从列表中选择出一个。来自例如照相机或者生理数码化设备的数字转换器的输入，构成了合适的通知事件的其它例子。第三，基于所选择的认证方法，服务器发送给该IDC认证数据的要求。该要求可以是要求密码，根据各种不同的实施例该密码是真随机或者伪随机的。伪随机密码是基于预先精确计算出来的列表生成的，而真随机密码是通过在系统外对熵的源进行采样和处理生成的。第五，服务器把从IDC接收到的认证数据转换成一个或者多个数据对象或者对象向量。第六，服务器使用一个或者多个分类器或者超级分类器，对数据对象执行对象分析。可以使用基于生理数码化度量的超级分类器。最后，基于分类器的分析或者决策的结果，从服务器被发送到IDC，该结果或者确认对用户的正确认证从而允许IDC连接到服务器，或者宣告来自IDC的认证尝试失败。

根据其它实施例，可以实现认证的三个状态或者三个认证测试：对客户机-服务器匹配的逻辑测试、对IDC的设备测试、以及对用户的个人测试。随机化可以结合这三个测试中的一个或者多个使用，带有或者不带有数据对象分类器。

对客户机-服务器匹配的逻辑测试是，允许IDC或者客户机发现其正确服务器的测试。它涉及许多步骤。最初，当服务器被安装或者初始化的时候，在服务器创建只为确认目的使用的公开/私人ECC密钥对。当配置或者创建了IDC的时候，这个服务器的任何客户机或者IDC都得到了服务器公开密钥(PKI)，以便于IDC留下服务器的“通用码”的印记，并且因此向它的指定服务器“登记”。之后，当IDC被分配给用户并且试图远程连接到网络上的服务器的时候，服务器的随机数发生器生成大的随机数据流，并用其作为种子，为该连接会话产生新的ECC(PK2)公开/私人密钥对。从而公开密钥带有预先创建的只用于确认目的的服务器私人密钥的符号。之后服务器把新生成的公开ECC密钥和签名都发送给IDC。刚一接收到这样的信息，IDC就使用留下印记所使用的“只确认”公开密钥，来校验公开ECC密钥的签名。如果该签名不能与“印记”匹配，则服务器不是正确的服务器，IDC断开连接。如果该签名匹配，则IDC为会话产生新的ECC(PK3)公开/私人密钥对，并发送公开密钥作为客户机身份和设施(Client Identity and Facility)(CIF，见下文中，例子1)的部分。CIF是使用服务器的公开密钥PK2顺序地加密的。

对IDC的设备测试集中在对IDC的物理参数的校验上。例如，在载体设备上配置客户机软件的时刻，即当载体或者存储设备变成IDC的时候，IDC被登记在服务器上并且它的某些参数被存储在服务器上，例如存储在服务器数据库中。当IDC产生CIF包的时候，IDC把在它所对接的主机设备或者网络连接设备上能够收集的任何信息都存储在CIF中，用在先前的逻辑测试中已经得到确认的公开密钥PK1加密整个CIF包，并把加密的CIF发送给服务器。在加密之后，服务器可以校验，CIF中的数据是否匹配预先登记在服务器中的参数，和IDC是否连接自已知的或者合法的网络主机。如果校验失败，则服务器可以结束会话并断开IDC。

对用户的个人测试集中在特定用户的认证上。该测试的实现可以使用也可以不使用分类器或者超级分类器。不使用超级分类器的测试会涉及许多步骤。例如，在成功的SKE之后，包括认证方法列表的认证请求数据报被发送给IDC，以及，如果那些方法之一是基于询问响应的认证，则还包括IDC得到认证的询问。IDC从而选择认证方法之一。它可以是也可以不是催促用户进行交互式登陆。如果IDC已经具有足够的知识进行认证，则提供自动登录。继续进行认证，IDC把认证对象发送给服务器(是以另一种数据报类型执行的)，认证对象包括将由服务器检查的确认数据。认证数据对象的分析基于使用的认证方法而改变。

另一方面，使用超级分类器的用户测试，可以如下地继续进行。超级分类器是基于服务器上的各种不同类型的数据报类型和数据报实现的。基于成功的SKE，包括认证方法列表的认证请求数据报被从超级分类器发送给IDC，，以及如果这些认证方法之一是基于询问响应的认证，则还包括IDC得到认证的询问。然后IDC类似地选择认证方法。为了认证，服务器发送给IDC执行事件级任务的请求。该请求是用超级分类器基于来自随机数产生器的输入而构造的。IDC执行该任务，得到的事件级数据接着被交换到认证数据对象中。在一个实施例中，该数据对象包括为该特定的网络交换会话单独随机生成的标志符，以便于该会话的泄密的可能性得以变得最小。认证对象然后从IDC返回，这是由服务器的“校验器”，基于超级分类器分析出来的。数据对象分析可以根据所使用的具体的认证方法而改变。

数据向量对象的创建和分析中的随机化

随机化技术在理论数学和应用数学领域中是众所周知的。它们经常被应用于没有明显的共同点存在的各决策处理中。现今可用的巨大的计算能力促进了随机化的使用。随机化典型地涉及种子的使用。随机数产生器基于提供的一个或者多个种子，产生随机数池。依靠种子的特征，可以把随机化分类为伪随机或真随机。多数随机数发生器都是伪随机数发生器。它们是基于精确地预先计算出来的列表，该表是可能泄露的。相反，真随机数通常是通过在计算机系统或者相关的网络外面对熵的源进行采样和处理生成的。为了破译真随机数发生器，人们必须识别熵的源及熵如何产生种子。

随机化也被应用于计算机或者网络安全中。现有的数据安全中的随机化应用程序主要是静态的。例如，随机数可以由客户机、服务器、或者另一个计算机设备生成，并随后由用户传递到计算机上。如果该数与系统特定的随机数发生器所容许的随机数“帧”内部的数匹配，则用户将被准许接入。这与公开密钥基础设施(PKI)类似，在PKI中对两个秘密生成的密钥进行匹配并在共用的确认点进行确认。该数据报有一个问题，共用的确认点可能相对容易泄密：在系统中，共用的确认点是基于给定的种子的包含一帧数字(或者任何需要的输出组合体，例如字母数位)的随机发生器。尽管随机数发生器似乎生成无数个随机数，但是一旦发生器被创建(准备好)，将要产生的随机数的总数是预先确定的。也就是说，只有随机数产生的顺序是随机的。这样的随机化是静态的。每个随机数理论上都是可预测的。

根据本公开的某些实施例，随机化是以非静态的方式应用的。随机化是在数据对象中通过一个或者多个分类器或者超级分类器实现的。见下文中的例子2。真随机数发生器被准备好为数据向量对象的分析提供随机数。数据对象被用在对如下文所讨论的认证的某些测试中。

在各种不同的实施例中，多个并且单独的私人密钥是基于真随机数值生成的。这些密钥不包括基于初始的服务器确认密钥的任何信息，因为数据对象以事件级基于在计算机外面的熵，把该数转换成值或者数据图像。因此这在随机数发生器或者随机函数发生器环境外面，并且是非静态的。因为用于基于随机化的对象转换本身是密钥，所以可以匹配两个未知量(私人密钥)并使它们变得已知。在可替代的实施例中，多于两个私人密钥可以相似地产生并被使用。此外，任何数量的私人密钥都可以通过分类器中的对象生成，并从而使私人密钥的数字变成未知的。

在本实施例中，随机化的实现是为了以下两个原因：(i)使用户或者客户面对基于真随机数发生器的认证询问以及(ii)选择将要执行的对象分析并执行所选择的分析。

典型的经过预先编程的随机发生器可以采取以下形式：

$y_{i+1}=\frac{1}{N}\underset{j=1}{\overset{N}{\mathrm{\Σ}}}\frac{(a_j{x}_{\mathrm{ij}}+c_j)\mathrm{mod}{m}_j}{m_j}$

见例如，剑桥大学出版社期刊(Cambridge University Press)上，W.H.Press等.发表的数值分析方法(Numerical Recipes)。不管使用简单的线性同余数发生器还是改进的发生器，可以用多个随机发生器(从而引起组合问题)以便于防止从例如观察许多按顺序生成的随机数，得到的种子的计算。在某些实施例中，序列中最不重要的数位被截掉，以使留下任何的线索的可能性变得最小。在其它实施例中，除了该种子，根据上面的公式，还提供发生器特定常数a、c和m。可以为常数a和m创建带有大量的可能值的表格。当使用一些噪声输入来选择常数的时候，该方法将衍生更多鲁棒的随机函数发生器。在其它的实施例中，可以结合N个独立种子，使用许多预先选择的随机数发生器。可以使用如下的简单的求和：

$y_{i+1}=\frac{1}{N}\underset{j=1}{\overset{N}{\mathrm{\Σ}}}\frac{(a_j{x}_{\mathrm{ij}}+c_j)\mathrm{mod}{m}_j}{m_j}$

用于用大约2.3×10¹⁸的周期合并两个线性同余数发生器的有用的算法例子是在数值方法(Numerical Recipes)中描述的ran2。可以使用两个独立的种子来校修改算法。可以使用3或者N级发生器来做还修改。在一个实施例中，使用非确定性的源来获取至少一个种子，非确定性的源不容易被犯罪者接入。非确定性的源可以是随机函数发生器外的和感兴趣的网络系统之外的任何事物，象例如外部设备、外部事件的发生、第三方、从计算机的近期历史获得的比特。

当在分析基于对象的向量中使用一个特定的分类器的时候，可预测性会相对很高，以至于犯罪者可以解出分类器和种子。在某些实施例中，使用了全体分类器(即，多个分类器或者超级分类器)，可以得到较低的可预测性。因为不对分类造成判断差别的变化被忽略掉了，特征向量的维数可以得以降低。见下文中附录1和2。

总之，根据本发明的真随机化改善了对于数据访问的保护。数据对象是基于只有事件级的用户知道的特定的值(例如在一个实施例中的生理数码化度量的值)。根据本发明对用户的关注(而不是对设备的关注)标志着以用户为中心的安全性。在事件级用真随机的方式转换的并在超级分类器中分析出来的数据对象，提供了用于建立和校验用户身份的优良的基础。

加密的虚拟文件系统(EVFS)

根据各种不同的实施例，EVFS是总用户(或者用户族)、总客户机虚拟文件系统，也称作文件库。它是基于服务器的文件系统或者文件和数据存储设施，其允许网络系统的用户把文件或者数据存储在远离它们的本地主机或者客户机载体的地方。当例如，本地主机的存储能力不足的时候，EVFS是有用的。使用和实现EVFS的例子是公开地能够得到的。见例如网址：

www.microsoft.com/technet/treeview/default.asp？url＝/TechNet/prodtechno l/windows2000serv/deploy/confeat/nt5efs.asp；www.serverwatch.com/tutorials/article.php/2106831；以及 www.freebsddiary.org/encrypted-fs.php。

根据本发明的一个实施例，安全网络系统的服务器通过EVFS接口711连接到EVFS 709，如图7所示。EVFS 709包括用户目录721、总用户文件数据库723、以及文件存储器725。用户目录包括所有用户的相关信息，包括、注册参数、生理数码化配置、物理位置或者地理位置、在线或者离线状态、用于加密存储在EVFS中的文件的密码公共ECC密钥。用户是已经通过客户机或者IDC连接到网络服务器的个体，并且已经使用了或者正在使用由网络支持的某些应用程序。根据本发明的一个实施例，应用程序可以脱离IDC被传递和运行。应用程序也可以在IDC或者客户机所连接到的主机或者主设备上运行。或者，可替代地，应用程序可以在服务器上远程地为客户机运行。

服务器使用用户目录接口727(位于服务器中)以访问用户目录721。文件存储器725是数据式媒体，该数据式媒体上面已经存储了文件和用户感兴趣的任何其它数据。它可以是任何种类的计算机存储器。这是从用户应用程序生成的或者由用户应用程序校验的文件或者数据所存储的物理位置；用户应用程序是在IDC、主机、或者服务器上远程地被执行的。文件存储器725可以在速度和便于访问方面进行优化。

总用户文件数据库723包括用户文件信息，例如原始文件名称、日期和时间、以及用于加密文件的加密密钥的加密的表达式。存储在EVFS 709内部的所有文件都被分配了真随机名和真随机加密密钥；它们在文件存储器725中彼此混在一起。对于每个用户来说，数据接入都是私人的并且安全的。每个个体用户都可以只看到和访问那些该用户拥有其所有权或者已经获得了接入许可的文件。对于每个文件或者文档来说，用户具有的接入级是由服务器控制的。也就是说，在某些实施例中，可以只许可用户读取和编辑文件，而不允许将它移动或者复制到服务器外(或者IDC外，如果应用程序在智能数据载体外被运行的话)。同样，每个用户虚拟地具有连接到服务器的私人数据库，即总用户数据库723。

在本文中公开的安全网络系统中使用的EVFS 709提供了对属于每个用户的数据和应用程序加强的保护。在物理泄密的情况下，例如，IDC丢失或者被盗，对于除了经过正确认证的用户、可以访问能够解锁文件的私人ECC加密密钥的文件的所有者，以外的任何人，存储在EVFS709中的数据将不可读(或者不可见)。

根据各种不同的实施例，EVFS 709的提供从而加强了安全网络系统的以用户为中心的方面。连同加密、认证、以及在本发明的通篇中讨论的其它特征一起，EVFS 709还能够通过IDC进行安全传递和应用程序的独立操作。

通过下面的例子，还描述各种不同的实施例，这些例子是这些公开的实施例的说明性示例，但不限制以任何形式的相同变体。

示例1：数据报示例和主要的和次要(子)数据报类型的规范

数据报示例

即时消息类型

即时消息

远程登录

远程数据收集

执行远程命令

文件传输

音频-视频通信

EDI事务

广播类型

非实时点到多点传输

证券行情自动记录收报机

非实时多点到多点传输

基于信道的聊天(IRC式)

实时点到点传输

用户到用户聊天

音频-视频会议(音频或者视频电话学)

实时点到多点传输(广播)

音频-视频广播

实时多点到多点传输

音频-视频会议

用户目录类型

队列

更新

服务器队列类型

离线存储

服务器交换区

内容滤波器控制

滤波器状态

滤波器统计

滤波器更新(加入/删除准则)

滤波器设置

滤波器重置

必备的数据报字段

每个数据报的开头格式如下：

字由…提供      内容

节

长

度

1客户机         数据报主要类型

1客户机         数据报次要类型(子类型)

8服务器         在服务器接收到的数据报(时间标记)

4服务器         数据报来源(发送者的客户机ID)

1客户机         签名/CRC类型

n客户机         签名/校验和字段

                (例如，ECC签名、MD4、MD5、SHA、SHA1

                等等)

根据数据报的类型，附加的报头字段可以附加到前述的字段。附加的报头字段典型地是由客户机提供的，并且可以由服务器进行确认。

签名/CRC类型：

类型            CRC字段的长度

0：无校验和     0字节(损耗)

1：ECC签名      87字节

2：SHA          20字节

3：SHA1         20字节

4：MD4

5：MD5          16字节

6

7

8：CRC32

在各种不同的数据报中附加了附加的报头。该报头是由客户机插装的并可以由服务器进行确认。

对称密码类型

SKE(安全密钥交换)的一部分被协商。对称密码可以由客户机和服务器二者支持，并基于许可和密码类型优先级被选择。

类型            名称

1               Rijndael

2               Blowfish

3               RC6

4               Twofish

安全密钥交换

在某些实施例中，SKE被用于实现随机的、从前的(丢弃的)加密密钥，以便于没有对称密码被存储在将易遭受泄密风险的客户机中。

当SKE被执行的时候，其它信息或者数据在网络上被交换。这些信息或者数据可以证明对用户的限制和提高的特权。

SKE处理概述

1.客户机连接到服务器

2.服务器向客户机发送SKE数据报

3.客户机确认服务器签名并返回CIF数据报

4.服务器确认客户机数据并返回SKP数据报

5.客户机发送回执(receipt)

6.服务器发送回执

SPK数据报

服务器公开密钥(SPK)数据报被用于向客户机传送关于会话的服务器公开密钥。服务器可以用私人密钥来标记该密钥，私人密钥来自预先共享的在服务器安装期间生成的公共的/私人的ECC密钥对，以防止介入非法闯入网络。

字节长 说明

度

2      用于会话的服务器的公开密钥的长度(十六进制的)

n      用于会话的服务器公开密钥

n      签名

CIF数据报

客户机身份和设施(CIF)数据报对关于客户机(IDC)的数据进行编码，这些数据包括关于IDC在其上运行的主机的信息，以及客户机希望用于会话的公开密钥。

以类似CSV的方法对数据进行编码。

字段       说明

1          用于会话的客户机公开密钥

2          空间分离的密码方法的列表和支持的密钥长度

3          空间分离的散列方法的列表

4          客户机设备类型(可以编码为二进制数据)

5          客户机标识符(可以编码为二进制数据)

6          用于客户机→服务器码流的对称的密码密钥

7          用于对称密码的IV

如下格式化密码和密钥长度：

<密码方法>-<密钥长度><密码方法>-<密钥长度>

客户机设备类型指的是对IDC硬件环境(例如基于windows的主机的PNP设备ID)的说明。能够在IDC已经连接到的主机上使用的所有信息包括，例如，主机的处理器序列号、固件修订版和母板(或者母板BIOS)的序列号、来自不同硬件令牌(例如，生理数码化的输入设备、智能卡读取器、闪存读取器)的认证数据、以及主机通过其与服务器进行通信的网络接口的MAC。

可以使用服务器公开密钥对整个CIF数据报进行加密。交换值(EV)与加密的包一起被发送。可以如下地读取发送的加密的数据报：

第一个和第二个八比特组是(十六进制的)EV的长度。

N个八比特组接在EV后面

N个八比特组接在加密的CIF数据后面

SKP数据报

服务器密钥包(SKP)数据报包括关于密码、位长度和密钥的信息，但是可以为其它目的而被扩充。

服务器不需要标记SKP数据报中的信息。用客户机的公开密钥对SKP进行加密，公开密钥是按顺序发送给服务器并且用服务器的公开密钥进行加密的。用类似CSV的方法对该数据报进行编码。

字段  说明

1     SKP数据报类型

SKP类型0

这是正常的SKP数据报。它保存给客户机的关于密码、密钥长度和上行流和下行流的加密方式的信息。

字  说明

段

2    为用户→服务器码流选择的密码

3    服务器→客户机码流的位长度

4    服务器→客户机码流的加密方式(ECB、CBC、CFB、OFB)

5    为客户机→服务器码流选择的密码

6    客户机→服务器码流的位长度

7    客户机→服务器码流的加密方式(ECB、CBC、CFB、OFB)

8    服务器→客户机码流的对称密码密钥

9    服务器→码流的对称IV

SKP类型1

指示IDC从特定服务器(或者附加身份)检索“客户机身份”更新。

字段 说明

2    保存附加身份的服务器的IP地址

3    服务器所监听的端口

4    在SKE期间将给服务器的可选择的“客户机身份”

SKP类型8

通知IDC不允许从它的当前位置连接到系统。一旦成功传送了类型8SKP数据报，服务器可以自动地终止连接。

字段 说明

2    显示给用户的消息(可选的)

SKP类型9

让IDC尝试检索固件更新。

字段 说明

2    保存固件更新的服务器的IP地址

3    服务器监听的端口

4    在SKE期间将给服务器的可选的“客户机身份”

SKP类型10

指示IDC让用户返回IDC设备，因为已经得到报告它缺少或者丢失。

字段 说明

2    显示给用户的消息

SKP类型11

指示IDC尝试“自毁”(selfdestruction)。

字段 说明

2    方法(位字段)

3    网络跟踪器(cookie)(可选的)

SKP类型11方法

字段 说明

0    Unlink驱动器

1    擦除

2    添加“网络跟踪器(cookie)”

用客户机的公开密钥对SKP数据报进行加密。交换值(EV)与加密的包一起被发送。可以如下地发送加密的数据报：

第一个和第二个八比特组是(十六进制的)EV的长度。

n八比特组接在EV后面

n八比特组接在加密的SPK数据后面

CR数据报

客户机回执(CR)数据报是整个(未加密的)SKP数据报的SHA-1散列，是用由服务器提供的对称密码、位长度和方法进行加密的。

SR数据报

服务器回执(SR)数据报返回相同的散列，二者都作为回执并作为从服务器到客户机的密码流的测试。

主要类型0：服务器消息和连接控制

数据报类型被用于在网络连接上，服务器发送消息、错误通知、以及服务器-客户机特定消息。

子类型1：认证请求

刚一连接到服务器，服务器就可以发布类型0，1的数据报，要求客户机证实自己的身份。该数据报通知连接的客户机关于经过服务器认证需要的认证方法。

子类型2：认证答复

客户机使用该数据报来确认用户。

结合这些数据报的子类型，可以使用多种认证方法，如下面列表中所举例的：

0  用户名和口令

1  用户名和口令+x.509客户机证书签名

   (见，例如，www.webopedia.com/TERM/X/X_509.html)

2  用户名和口令+ECC签名

3  口令

4  口令+x.509客户机证书签名

5  口令+ECC签名

6  一次口令(S-Key式、预先定义的、口令的序表)

7  一次口令+x.509客户机证书签名

8  一次口令+ECC签名

9  语音密钥

10 语音密钥+x.509客户机证书签名

11 语音密钥+ECC签名

12 生理数码化散列

13 生理数码化散列+x.509客户机证书签名

14 生理数码化散列+ECC签名

15 x.509客户机证书(签名)

16 ECC签名

17 内容传送ID(TID)

18 由可替代的载体传输的一次口令

19 临时的授权令牌

使用的特定的授权方法确定这些数据报中的附加数据字段。当使用某些方法的时候，使用各种不同字段的示例如下面所示：

方法0

字节长度  说明

1         用户名字段的长度

n         用户名

1         口令字段的长度

n         口令

方法1

字节长度  说明

1         用户名字段的长度

n         用户名

1         口令字段的长度

n         口令

n         关于用户名和口令字段的x.509签名

方法2

字节长度  说明

1         用户名字段的长度

n         用户名

1         口令字段的长度

n         口令

n         关于用户名和口令字段的ECC签名

方法8

字节长度  说明

1         口令字段的长度

n         一次口令

n         ECC客户机证书签名

方法11

字节长度 说明

1        ECC签名的长度

n        关于语音密钥数据的ECC签名

n        语音密钥数据

方法12

字节长度 说明

n        生理数码化散列

方法14

字节长度 说明

1        ECC签名的长度

n        关于生理数码化散列的ECC签名

n        生理数码化散列

方法16

字节长度 说明

n        关于询问的ECC签名

子类型3：认证结果

在处理认证请求之后，客户机将接收到0，3数据报，它们传递认证结果。该数据报具有某些静态字段：

字节长度 说明

1         1＝准许，0＝拒绝

对于成功的认证，附加字段可以包括：

字节长度说明

1    用户概况已发送

4    如果概况已发送，表示概况字段的长度

n    Mine编码的用户概况

子类型4：一般错误

如果在客户机会话期间服务器遇到任何错误，该类型的数据报捕获该错误。所包括的字段是：

字节长度 说明

n        错误消息

子类型5：无效数据报

如果传递给服务器的数据报由于任何原因被认为是无效的，则该类型的数据报将把该原因包括在它的有效负载中。

字节长度 说明

n        错误说明

子类型6：不正确许可

该数据报表示网络接入被拒绝。

字节长度 说明

1    主要类型

1    次要类型

n    错误消息

子类型7：保持有效

该数据报是在预定的时间间隔中由服务器和/或客户机发送给对方的，以保持TCP连接是开放的。当系统通过各种不同的代理防火墙(例如，FW-1)运行或者通过拨号连接运行(例如，通过拨号路由器)的时候，这是有用的。

对于服务器请求客户机返回保持有效数据报，以便于检测客户机是否有效，这种类型的数据报也是有用的。当没有接收到来自客户机的响应的时候，服务器可以断开连接。

字节长度 说明

0，1      0＝不需要回答；1＝请答复

主要类型1：内容数据报

子类型1：正常的内容数据报

该数据报包括将被传输的实际内容数据。

字节长度 说明

4        最终接收者ID

n        Mime编码的数据

子类型2：远程日志

根据某些实施例，该数据报包括来自连接设备的登陆日志，安装有“日志收集器”客户机，发往日志服务器，日志服务器本身可以是另一个网络的客户机。

  字节长度    说明

  8           最终接收者ID

  n            Mime编码的日志数据

子类型3：远程数据收集器

该数据报代表服务器上的来自“远程数据收集器”引擎的客户机的询问，以从客户机获取数据来建立连接。

字节长度 说明

8        最终接收者ID

1        数据报类型(询问或者回答)

n        Mime编码的数据

子类型4：内容批准请求

该数据报是用于请求批准传输的内容数据，例如，签署文件、费用报告、以及批准电子金融事务。

字节长度 说明

8        最终接收者ID

n        用于批准的Mime编码的和XML格式的内容

子类型5：内容批准答复

该数据报被用于答复内容批准请求(子类型4)。

字节长度 说明

8        最终接收者ID

1        批准或者拒绝

1        签名字段的长度

n        关于“类型8”包的数据字段的ECC签名

主要类型2：广播数据报

该类型的数据报被用于多种会议和广播应用。可以实现许多子类型，包括：非实时点对多点传输；实时点对点传输(例如，用户对用户聊天、音频-视频会议)；实时点对多点传输(例如，证券行情自动记录收报机、音频-视频广播)；实时多点对多点传输(例如，音频-视频会议)。

主要类型3：连接代理

连接代理数据报被用于向网络服务器传送未处理的连接数据和发送来自客户机上的嵌入式或者内置的应用程序相同的连接数据。

代理连接典型地是在控制信道上被请求的，即到服务器的第一连接，并在到服务器的新的连接经请求后被开放的时候被建立的，该请求得到了成功处理。从而“代理连接ID”被给出，也被用于认证目的。在可替代的实施例中，代理连接可以在控制信道上直接建立。这支持通过单个连接的数据传输。例如在使用终端服务器或者远程登陆(telnet)连接的情况，如果代理连接传送很少的数据，则它减轻服务器和客户机上的负荷。

连接类型

可以使用各种不同的连接协议类型。

0 TCP

1 UDP

子类型1：来自客户机的代理数据

这些数据报传送用于代理连接的来自客户机端的实际数据。一个用户可以具有一个或者多个同时开放的代理连接。连接ID(CID)字段被包括在内，以标识每个连接。

字节长度 说明

2        代理连接ID

n        数据

子类型2：发往客户机的代理数据

这些是从到客户机(或者连接的所有者)的代理连接返回来的连接数据。只有实际数据的字段被包括在内，因为代理连接只向连接的所有者发送和接收连接数据。为了客户机识别哪个远程连接(即，服务器)做出了响应，CID被包括在数据报的始发字段内。

字节长度 说明

N        数据

类型 发送者 说明

0    服务器 远程套接连接

1    服务器 远程套接断开

2    客户机 断开远程套接但是保持代理连接(CID)

3    客户机 终止代理套接连接(完成拆卸)

4    服务器 代理套接字终止(完成拆卸)

主要类型4：大量内容传送

这些数据报是为传送大块的内容数据，例如音频-视频媒体和数据文件，而设计的。

子类型0：关于传送的回执

如果发送者向最终接收者请求回执，则最终接收者可以发布带有关于传送的回执的4，0类型的数据报。

返回的回执包括的内容有CRC字段和传送ID。

字节长度 说明

1        CRC字段的长度

n        关于所传送的内容的校验和

n        传送ID

子类型1：内容传送请求

客户机用来请求大量内容的传送。接收到客户机的请求后，服务器将返回传送ID(TID)给客户机使用，因此客户机能够开放到服务器的附加连接来传送该内容。同样地，在冗长的传送期间，控制连接将不受到阻碍。

字节长度 说明

4        将被传送的内容的字节长度

2        将发送的组块(chunk)的总数

4        最终接收者ID

子类型2：内容传送答复

字节长度	说明
		1	0＝传送被拒绝，1＝传送被许可
n	如果传送被许可，当客户机开放另一个连接来传送文件的时候，该字段将会出现，并包含在将给服务器的传送ID(TID)中。

子类型3：内容传送分段

字节长度 说明

2        分段数

n        分段组块

子类型4：重新传输请求

这是用于重新请求内容分段的，通常在传送的内容不能经过校验和检查的情况下。它也可以用于从传送连接的丢失中恢复。

字节长度 说明

2        将重新发送的组块

n         TID

主要类型5：用户目录

该类型的数据报用于搜索用户、用户组、或者更新用户目录中的用户信息。

询问中的搜索字段被作为掩模。当底层的数据库基础设施支持的时候，用作为常规表达式的搜索掩模来完成搜索。

可以实现MySQL来提供默认的数据库系统，在该系统中支持常规表达式搜索。该系统配置因此支持所有使用常规表达式的搜索。

子类型1：用户在线

当用户变为与网络连接的时候，该数据报被用于通知系统。

字节长度 说明

4        用户的用户ID(UserID)

子类型2：用户离线

当用户变为与网络断开连接的时候，该数据报被用于通知系统。

字节长度 说明

4        用户的用户ID(UserID)

子类型3：用户搜索请求

这是由连接的客户机基于某个数据掩模用来搜索整个用户目录中的用户的。这种类型的搜索返回类型5，10数据报。

字节长度 说明

n        将要搜索的掩模

子类型4：不同用户搜索

与子类型3类似，但是返回更准确的用户匹配。这种类型的搜索返回类型5，10数据报。

字节长度	说明
		4	用户ID
8	上次登陆
		1	在线状态
n	显示名称

主要类型6：远程管理

该数据报类型使网络系统中的管理员或者特权用户能够远程控制其它连接客户机，在连接的客户机上执行应用程序，并推动更新。

子类型1：执行远程控制台应用程序

6，1数据报执行定义的应用程序并保持对应用程序的开放处理，执行成功后，应用程序的处理id返回到启动程序。该处理id必须用于该处理的所有后来的命令或者控制数据报中。

字节长度 说明

8        目标用户ID

n        完整路径和要执行的应用程序名

子类型2：远程执行结果

成功执行6，1数据报后，它被发送回到6，1数据报的启动程序。

字节长度 说明

8        目的用户ID

2        处理ID

子类型3：远程处理终止

当6，1数据报启动的远程处理终止的时候，用来自应用程序的出口代码来发送6，3数据报。

字节长度 说明

8        目的用户ID

2        处理ID

2        应用程序出口代码

子类型10：远程工具请求

为了简化检索来自远程客户机的数据，或者对远程设备执行基本控制，基本工具设置变得可用以从远程设备检索信息，包括关于运行处理、登陆用户、数据存储等等的列表的信息。

字节长度 说明

8        目标用户ID

1        工具标志符

n        可选参数(如果特定的工具需要它们)

工具标

志符

0        运行处理列表

1        包括隐藏处理的运行处理列表

2        取消处理(给定PID作为参数)

3        服务列表

4        停止服务(服务名作为参数)

5        开始服务(服务名作为参数)

6        重新开始服务(服务名作为参数)

7        本地存储设备列表，包括卷标、大小、块大小、使用的空间

         和文件系统类型。

子类型11：远程工具答复

包括取决于所请求的工具的CSV格式的答复。

字节长度 说明

8        目的用户ID

n        来自远程工具的CSV数据输出

子类型20：应用程序传送请求

用于启动应用程序或者应用程序更新的传送。

字节长度 说明

1    传送类型

目的用户

ID

1    选项(位字段)

4    内容大小

n    文件的路径和名称目标(可选的、客户机的根的默认值)

选项位字段

位	说明
		1	自动执行(也包含自动更新、自动扩展等等)
2	提示用户(在执行/更新之前)
		3	在传送之后返回回执

传送类型

1	传送文件(用于更新，不要求现有的文件出现)
		2	传送客户机固件(代替当前的)
3	传送客户机ISO码(代替当前的，ISO码包括CD ROM数据格式，例如，ISO 9660，和通过国际标准化组织，www.jso.org，的其它数据标准)
		4	传送压缩的档案(将在目标位置被扩展)

子类型21：应用程序传送答复

用于信号准许或者拒绝。

字节长度	说明
		1	许可/拒绝
8	传送ID(只在传送得到准许的时候附加上)

子类型22：应用程序传送内容部分

这些数据报保存用于传送的实际数据。

四个八比特组‘内容部分’字段将容许单个传送中有高达256^4个部分，这将提供应用程序、图像和大小超过4千兆字节(Gigabyte)的存档的传送(如果，例如，使用每个都保存1k数据的数据报)。

‘传送部分’字段开始为1，并且每传送一部分就增加一，把带有‘传送部分’为0(零)的6，22数据报发送给传送结束信号。

字节长度 说明

8        传送ID

4        传送部分

n        数据内容

子类型23：传送回执

传送的应用程序的校验和。

字节长度 说明

1        CRC类型

n        关于传送的应用程序的校验和

主要类型7：实时的多媒体传送

该类型的数据报被用于支持客户机到客户机的多媒体内容传输。

子类型1：传送请求

用于请求开始传输的许可。

字节长度 说明

4        接收用户ID

2        媒体内容类型

4        以Kbit/S为单位的所需要的最小带宽

媒体内容类型

类型 说明

1    5KHz，8bit，1信道音频

2    8KHz，8bit，1信道音频

3    11KHz，8bit，1信道音频

4    11KHz，8bit，2信道音频

5    22KHz，16bit，2信道音频

6    44KHz，16bit，2信道音频

子类型2：传送答复

字节长度 说明

4        接收用户ID

1        接受(1)或者拒绝(0)

4        内容码流ID(由接收客户机发布并且应该只在请求被接受

         的情况下存在)

子类型3：媒体流包

这些数据报传送组成该传输的各个包。

字节长度 说明

4        接收用户ID(0代表使用接收列表)

4        内容码流ID

n        码流包(内容数据)

子类型4：传输终止

发送者和接收者二者都能够发布，来指示或者传输结束(在由传输源发送的条件下)，或者传输异常中止(在由接收者发送的条件下)。

字节长度 说明

4        接收用户ID(零代表使用接收者列表)

4        内容码流ID

子类型5：回执列表管理

当执行一对多传输，例如讲演、电话会议(VoIP)的时候，可以依靠这些数据报来管理对整个列表的接收者的数据分配。

字节长度 说明

1        动作

n        数据

动作定义：

动作 说明

0    删除接收者列表(如果设置了的话)

1    把用户添加到列表(空间分离的用户ID列表作为数据)

2    从列表中清除用户(空间分离的用户ID列表作为数据)

子类型6：传输转换请求

这些数据报使客户机能够向另一个用户传送其“传输结束”通知。

字节长度 说明

4        接收者ID

2        媒体内容类型

4        以Kbit/S为单位的所需要的最小带宽

示例2：基于对象向量的超级分类器和生理数码化

参考图2，示出了对象向量超级分类器(也称作多分类器)。多于一个的数据对象向量被用于事件级认证。可以基于优先级或者从数据向量对象(在图2中包括对象向量1、2、以及3)计算出来的随机总数来进行分类决策。这里，每个对象向量都连接到一个或者多个分类器，从分类器1至N。也就是说，可以从多个对象向量来提取特征，接着，特征提取被转化为一组分类器，这些分类器共同构成了超级分类器。特定事件转化提供了相对简单的表征基于事件的特征的分布。

一个使用超级分类器的用户认证的示例涉及生理数码化。在本发明的一个实施例中，超级分类器被用于机体的生理数码化度量方面：包括语音识别、指纹、掌印、血管模式、DNA测试、视网膜或者虹膜扫描、以及面部识别，还有其他的方面等。在可替代的实施例中，超级分类器被用于执行生理数码化度量方面，包括习惯或者个人行为模式。

基于事件的认证会话和基于那些特定用户事件的对象分析的选择与执行增加了识别或者取得对象决策分析中的二元结构的可能性。因为二元结构被添加到超级分类器，所以认证会话可以以高概率估计。

要理解在表示示例性的实施例的时候，通过例证的方式给出了描述、特定示例和数据，但并不是要限制本发明的各个实施例。本文中引用的所有参考文献都作为参考逐一地并且完全地结合在内。通过说明书和本文包括的数据，在本发明范围内的各种不同的改变和修改对于本领域的技术人员将是显而易见的，从而被认为是本发明的各种不同实施例的一部分。

               附录1：讲话者校验中的对象分类

分类和概率密度估计

讲话者校验是类似任何其它数据对象向量的分类问题，涉及两类：目标讲话者(I)(对象用户)和冒充者(-I)(对象犯罪者)。为了进行分类，在这种情况下，需要从讲话者语音记录中检索出来的一组度量。这些度量被便利地表示为D维向量：

$(\stackrel{\&RightArrow;}{x}\&Element;R^D)$

每个讲话者都可以用概率密度函数表征：

$p\left(\stackrel{\&RightArrow;}{x}\right|I)$

它度量了观察结果的可能性。该概率密度可以表征为

$p\left(\stackrel{\&RightArrow;}{x}\right|I)\&GreaterEqual;0.\&ForAll;\stackrel{\&RightArrow;}{x}$ 方程：1.1

$p\left(\stackrel{\&RightArrow;}{x}\right)=p\left(\stackrel{\&RightArrow;}{x}\right|I)P\left(I\right)+p\left(\stackrel{\&RightArrow;}{x}\right|-I)P(-I)$ 方程：1.2

${\&Integral;}_{\stackrel{\&RightArrow;}{x}}p\left(\stackrel{\&RightArrow;}{x}\right)d\stackrel{\&RightArrow;}{x}=1$ 方程：1.3

其中P(I)和P(-I)分别是目标讲话者试验和冒充者试验的先验概率。对于讲话者校验，申请讲话者的后验概率，1，假定经过观察，感兴趣的是

可以用贝叶斯(Bayes)法则来计算后验概率

$P\left(I\right|\stackrel{\&RightArrow;}{x})=\frac{P\left(I\right)p\left(\stackrel{\&RightArrow;}{x}\right|I)}{p\left(\stackrel{\&RightArrow;}{x}\right)}$ 方程：1.4

因为I和-I是互斥的，所以我们得到

$P\left(I\right|\stackrel{\&RightArrow;}{x})+P(-I|\stackrel{\&RightArrow;}{x})=1$ 方程：1.5

即，给定观察，

的身份要求是正确的概率，加上一些其它讲话者(不是I)正在讲话的概率的和是1。为了分类的目的，引人注意的是使用后验概率

根据下面的准则，接受或者拒绝身份要求：

图1：两类，I和-I，的概率密度。这两个密度在以下区域叠加：

                      L_E，I&L_E，-I；

                                             方程：1.6

这使得贝叶斯错误率将大于0。使用这种决策准则的分类器称为贝叶斯分类器(Bayes classifier)。贝叶斯分类器的错误率等于

$E_{\mathrm{Bayes}}={\&Integral;}_{L_I}P(-I|\stackrel{\&RightArrow;}{x})p\left(\stackrel{\&RightArrow;}{x}\right)d\stackrel{\&RightArrow;}{x}+{\&Integral;}_{L_{-I}}P\left(I\right|\stackrel{\&RightArrow;}{x})p\left(\stackrel{\&RightArrow;}{x}\right)d\stackrel{\&RightArrow;}{x}$ 方程：1.7

                                方程：1.8

$={\&Integral;}_{L_I}P(-I)p\left(\stackrel{\&RightArrow;}{x}\right|-I)d\stackrel{\&RightArrow;}{x}+{\&Integral;}_{L_{-I}}P\left(I\right)p\left(\stackrel{\&RightArrow;}{x}\right|I)d\stackrel{\&RightArrow;}{x}$ 方程：1.9

其中

$L_I=\left\{\stackrel{\&RightArrow;}{x}\right|P\left(I\right|\stackrel{\&RightArrow;}{x})\&GreaterEqual;P(-I|\stackrel{\&RightArrow;}{x})\}$ 方程：1.10

$L_{-I}=\left\{\stackrel{\&RightArrow;}{x}\right|P\left(I\right|\stackrel{\&RightArrow;}{x})<P(-I|\stackrel{\&RightArrow;}{x})\}$ 方程：1.11

实际上概率函数：

和

是未知的，并且只能近似。因此，任何实际决策策略的错误率必然具有平均不超过贝叶斯错误率的错误率。

先验概率和风险最小化

平均错误包括两项；目标讲话者的拒绝(TA错误)：

$E_I={\&Integral;}_{L_{-I}}P\left(I\right)p\left(\stackrel{\&RightArrow;}{x}\right|I)d\stackrel{\&RightArrow;}{x}$ 方程：1.12

和冒名顶替者的接受(IR错误)：

$E_{-I}={\&Integral;}_{L_I}P(-I)p\left(\stackrel{\&RightArrow;}{x}\right|-I)d\stackrel{\&RightArrow;}{x}$ 方程：1.13

使用后验概率来进行样本分类实质上与根据最大似然法进行分类相同。但是，总错误率取决于冒名顶替者和目标讲话者试验的相对次数。如果冒名顶替者试验比目标讲话者试验频繁得多，则它把一些样本太多地分作-I类，即使I类更加有可能性，因为总绝对错误与EI相比更加取决于E-I。换句话说，E-I在以EI为代价的情况下得以最小化。平衡这些错误率的方法，最适当的是通过固定先验概率来影响冒名顶替者/目标讲话者试验(对象尝试)的相对次数。

分配先验概率只是平衡TA和IR错误的一种方法。通常两种类型的错误可能具有不同的结果，并且因此可能需要得到影响错误分类的代价的平衡。在这种情况下P(I)和P(-I)被替代为：

            C(I)＝P(I)C(-I|I)                 方程：1.14

            C(-I)＝P(-I)C(I|-I)               方程：1.15

其中C(I|-I)是把-I样本分类成I的代价。这里的分类是根据风险，而不是根据后验概率：

$R\left(I\right|\stackrel{\&RightArrow;}{x})=\frac{C\left(I\right|-I)P\left(I\right)p\left(\stackrel{\&RightArrow;}{x}\right|I)}{p\left(\stackrel{\&RightArrow;}{x}\right)}$ 方程：1.16

类似于方程1.16，我们有以下决策准则：

方程：1.17

对平衡TA与IR错误的问题更加实用的方法是为E_I或者E_-I ^I预先决定可接受的错误率，接着使用其来确定决策面(和通过扩展P(I)和P(-I))。不论选择了何种方法，估计类似然性的实际问题， 和

还是相同的。

概率估计

一种实现决策准则的方法是在测试情况下分别估计概率密度和

和

使用贝叶斯法则来把似然性转换成可能性，可能性能够用于代替

但是，这种解决方案比需要的范围更大，因为校验(通过其发音优点翻译变成二元数据对象)问题只取决于似然比：

$\left(\mathrm{LR}\left(\stackrel{\&RightArrow;}{x}\right)\right):$

$P\left(I\right|\stackrel{\&RightArrow;}{x})\&GreaterEqual;P(-I|\stackrel{\&RightArrow;}{x})$

$\mathrm{LR}\left(\stackrel{\&RightArrow;}{x}\right)=\frac{P\left(I\right)}{P(-I)}\frac{p\left(\stackrel{\&RightArrow;}{x}\right|I)}{p\left(\stackrel{\&RightArrow;}{x}\right|-I)}\&GreaterEqual;1$

依据LR(～x)，决策函数2.6变成：

方程：1.18

I类和-I类之间的贝叶斯决策面的特征在于：

$\mathrm{LR}\left(\stackrel{\&RightArrow;}{x}\right)=1.0$

为了分类，我们只需要知道测试样本

落在决策面的哪一边。在图2.1给出的示例中，该面是最简单的可能性：单个点x＝t，其中t是决策阈值。

对参数分类和非参数分类加以区分。其区别在于预先对类分布所做的假定。参数分类假定要分类的样本属于狭义定义的概率密度函数族，而非参数分类只对先验分布进行了很弱的假定。因此，非参数分类更普通，而参数分类更容易构建，因为参数分类具有更少的自由度。

参数分类

作为参数分类的一个示例，我们可以假定类(j＝1，2)的特征在于正态概率密度：

$N(\stackrel{\&RightArrow;}{\mathrm{\&upsi;}},{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_j,S_j)=\frac{1}{{\left(2\mathrm{\&pi;}\right)}^{D/2}{\left|S_j\right|}^{1/2}}\exp (-0.5{(\stackrel{\&RightArrow;}{\mathrm{\&upsi;}}-{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_j)}^T{S}_J^{-1}(\stackrel{\&RightArrow;}{\mathrm{\&upsi;}}-{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_j))$ 方程：1.19

在这种情况：

由下式给出：

$\ln \left(\mathrm{LR}\left(\stackrel{\&RightArrow;}{x}\right)\right)=g\left(\stackrel{\&RightArrow;}{x}\right)$ 方程：1.20

$g\left(\stackrel{\&RightArrow;}{x}\right)={(\stackrel{\&RightArrow;}{x}-{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_2)}^T{S}_2^{-1}(\stackrel{\&RightArrow;}{x}-{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_2)$ 方程：1.21

$-{(\stackrel{\&RightArrow;}{x}-{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_1)}^T{S}_1^{-1}(\stackrel{\&RightArrow;}{x}-{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_1)+2\ln \left(\frac{{\left|S_2\right|}^{1/2}}{{\left|S_1\right|}^{1/2}}\right)$

这是个二次函数。如果我们此外还假定两个分布共用相同的协方差矩阵S1＝S2＝S，这简化为

$g\left(\stackrel{\&RightArrow;}{x}\right)=\stackrel{\&RightArrow;}{\mathrm{\&alpha;}}(\stackrel{\&RightArrow;}{x}-\stackrel{\&RightArrow;}{\mathrm{\&mu;}})$ 方程：1.22

图2两类是贝叶斯分类器使用二次决策曲面。

左：具有相似平均值的各类：

      μ₁＝15，μ₂＝17

右：具有不同平均值的各类：

      μ₁＝15，μ₂＝27

在右边的示例中，贝叶斯决策面能够用线性函数来很好地近似。

其中

$\stackrel{\&RightArrow;}{\mathrm{\&alpha;}}=S^{-1}({\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_1-{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_2)$ 方程：1.23

$\stackrel{\&RightArrow;}{\mathrm{\&mu;}}=\frac{1}{2}({\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_1+{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_2)$ 方程：1.24

这是个线性函数。在判别分析中方程1.22被认为是费歇耳(Fisher’s)线性判别分析方程。如我们已经看到的，该判别函数对于以相同的协方差矩阵为特征的正态分布的类是最优的，但是它的用途超出于此。它是鲁棒的方程，如果类分布具有“球状云”的形式，(即使不是最优的)使用它能够有好的结果。实际上，即使已知方程1.21-而不是方程1.22-是最优判别函数，方程1.22可以得到更好的结果(Raudys和Pikelis 1980)。在使用方程1.21的时候，问题是很难从有限的样本集获得对S1和S2的好的估计。尤其在高维空间。

线性分类器对估计错误比较不敏感，因为主要取决于第一阶时刻(平均值)：

       μ₁&μ₂；

它比S1和S2(第二阶时刻)更容易估计。如果需要，可以通过假定S为对角线，或者甚至S等于单位矩阵，来还简化线性分类器。

示例：

图2示出了两个正态分布类的一维密度函数的两个示例。在两个示例中，贝叶斯决策面都是二次的，因为方差是不同的：

$({\mathrm{\&sigma;}}_1^2=16,{\mathrm{\&sigma;}}_2^2=1)$

在情况一，平均值为：

                 μ₁＝15，μ₂＝17

而在情况二：

                 μ₁＝15，μ₂＝27

假定先验相等，我们可以使用方程1.21来确定决策准则：

                 LR(x)＝1                      方程：1.25

$(\frac{1}{{\mathrm{\&sigma;}}_2^2}-\frac{1}{{\mathrm{\&sigma;}}_1^2})x^2+(\frac{{2\mathrm{\&mu;}}_1}{{\mathrm{\&sigma;}}_1^2}-\frac{2{\mathrm{\&mu;}}_2}{{\mathrm{\&sigma;}}_2^2})x+\frac{{\mathrm{\&mu;}}_2^2}{{\mathrm{\&sigma;}}_2^2}-\frac{{\mathrm{\&mu;}}_1^2}{{\mathrm{\&sigma;}}_1^2}-2\ln \left(\frac{{\mathrm{\&sigma;}}_1}{{\mathrm{\&sigma;}}_2}\right)=0$ 方程：1.26

因此我们有以下决策准则：

错误率是

$E=\frac{1}{2}(E_1+E_2)$

$=\frac{1}{2}(0.30+0.07)$

$\&ap;18.8\%$

在线性情况下从1.22我们有：

         LR(x)＝1                             方程：1.27

$x=\frac{1}{2}({\mathrm{\&mu;}}_1+{\mathrm{\&mu;}}_2)$ 方程：1.26

得到决策准则

其错误率是(0.40+0.16)/2≈28％。这里二次分类器要比线性分类器好得多。在情况2中，相应的决策准则变成，对于二次分类器

以及，对于线性分类器

平均错误率分别是0.007％和0.03％，两种决策准则的错误率都很小。但是，相对地，二次决策准则仍然准确得多。这不是因为它是二次的：

线性决策准则例如

具有与二次决策准则同样小的错误率。因此，这里性能的差别是由对先验分布的假定引起的。

线性与非线性决策面的比较

演绎地假定 $\mathrm{LR}\left(\stackrel{\&RightArrow;}{x}\right)=1$ 方程：1.25的解在

上是线性的，简化了分类器的设计。非线性的分类器更加强大，因为它们允许从更大的集合(它通常包括线性解作为特殊情况)来解出1.29的解。但是，对线性决策面的假定不受任何限制，因为线性指的是

但是向量

在被给予分类器之前可以被“预处理”。假定，例如，给定的2D问题中的最佳决策面 $(\stackrel{\&RightArrow;}{x}={(x_1,x_2)}^T)$ 具有以下形式：

${\mathrm{Ax}}_1^2+{\mathrm{Bx}}_2^2+{\mathrm{Cx}}_1{x}_2+{\mathrm{Dx}}_1+{\mathrm{Ex}}_2+F=1$

如果完成分类是依据

${({\mathrm{\&Phi;}}_1\left(\stackrel{\&RightArrow;}{x}\right),{\mathrm{\&Phi;}}_2\left(\stackrel{\&RightArrow;}{x}\right),{\mathrm{\&Phi;}}_3\left(\stackrel{\&RightArrow;}{x}\right),{\mathrm{\&Phi;}}_4\left(\stackrel{\&RightArrow;}{x}\right),{\mathrm{\&Phi;}}_5\left(\stackrel{\&RightArrow;}{x}\right))}^T$

而不是依据x₁和x₂，线性分类器能够实现这个决策面。

其中

${\mathrm{\&Phi;}}_1\left(\stackrel{\&RightArrow;}{x}\right)=x_1^2$

${\mathrm{\&Phi;}}_2\left(\stackrel{\&RightArrow;}{x}\right)=x_2^2$

${\mathrm{\&Phi;}}_3\left(\stackrel{\&RightArrow;}{x}\right)=x_1{x}_2$

${\mathrm{\&Phi;}}_4\left(\stackrel{\&RightArrow;}{x}\right)=x_1$

${\mathrm{\&Phi;}}_5=\left(\stackrel{\&RightArrow;}{x}\right)=x_2$ 方程：1.30

换句话说，2D二次决策函数能够用5D空间中的线性方程来实现。

非参数分类

图3示出了讲话者识别系统或者对象识别引擎中的类(讲话者或者对象)分布会是什么样子的实际示例。

这里从正态分布中取出的对给定讲话者的观测的假定是合理的。

费歇耳(Fisher’s)判别函数适合于任何两个讲话者(并且在这种情况下，与包括任何给定数据源的对象对比)之间的判别，但是显然，这不是用于一个目标讲话者与全体人员中的其余讲话者之间的判别的好示例(2D中的)(不能画出把个别讲话者与全体人员中的大部分其他讲话者分离开的直线)。实际上，冒名顶替者类太复杂而无法通过简单的参数分布来很好地建模。这是很多模式分类问题都有的情况。有许多用于非参数分类和概率密度估计的技术。

图3从不同的十个的集合中抽取出的2D样本的概率分布

非参数概率密度估计

给定已知类成员的样本训练集，非参数概率密度估计是构建PDF问题，该PDF是表征各类的、接近真实的PDF，除了它存在以外不需对该函数做任何假设。

直方图准则

非参数密度估计的最简单的方法是把特征空间分为大小为hD的体积v，其中h是D维超立方体的边长。可以通过识别所属于的体积，

并计算落在该体积中的训练样本的相对数量，来计算给定测试样本 的似然性，：

$\hat{p}\left(\stackrel{\&RightArrow;}{x}\right)=\frac{n\left(\mathrm{\&upsi;}\left(\stackrel{\&RightArrow;}{x}\right)\right)}{{\mathrm{Nh}}^D}$ 方程：1.31

其中

是落在

属于的体积，

中的采样的数量，并且N是训练集1.2.2k-最近邻里面的总采样数。

最近邻PDF估计通过让不同体积的大小变化以便于固定数量的训练样本(k)落在每个体积中，排除了选择参数h的问题。结果是通常所说的特征空间的Voroni分割(细分(tessellateion))。在图4中给出了一个示例(k＝1)。

类似直方图准则，但是，概率密度估计是离散的：

在单元格界限两侧的两个相邻的样本，通常具有不同的似然性，不管它们之间的距离可能是任意小比例的事实。Voroni分割也有边界问题，因为一些单元格可以有无限大的体积，这意味着落在这些单元格中的采样点的似然性估计值为零。

图4：1-最近邻得到的特征空间的Voroni分割

函数

直方图准则的可替代的推广是计算

作为核函数的和(Hand1982)：

$\hat{p}\left(\stackrel{\&RightArrow;}{x}\right)=\frac{1}{N}\underset{i=1}{\overset{N}{\mathrm{\&Sigma;}}}\frac{1}{h^D}K\left(\frac{\stackrel{\&RightArrow;}{x}-{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_i}{h}\right)$ 方程：1.32

核

的形状决定 的特性。例如均匀的核

方程：1.33

实质上产生直方图准则，而如果 是连续函数，则

电是连续的。

高斯(Gaussian)核是普遍的选择：

$K\left(\stackrel{\&RightArrow;}{x}\right)=\frac{1}{\sqrt{2}\mathrm{\&pi;}}\exp (-0.5\underset{l}{\overset{K}{\mathrm{\&Sigma;}}}{x}_i^2)$ 方程：1.34

因为 近似于PDF，要求

${\&Integral;}_{\stackrel{\&RightArrow;}{x}}K\left(\stackrel{\&RightArrow;}{x}\right)d\stackrel{\&RightArrow;}{x}=1$ 方程：1.35

$K\left(\stackrel{\&RightArrow;}{x}\right)\&GreaterEqual;0,\&ForAll;\stackrel{\&RightArrow;}{x}$ 方程：1.36

是方便的，因为这自然而然地意味着

是PDF。

              图5：似然情况

似然情况

图5：对应于图3核函数的密度函数的核估计通常在特征空间中不均匀地分布。因此，与简单的直方图准则相反，特征空间的一些区域根本没有被“建模(modelled)”，并且在其它区域(密度函数复杂的区域)几个核函数可能重叠以便于为该密度建模。

例如，为了近似图3中所示的密度函数，使用10个核是合理的，对应于特定讲话者采样所落入的每个圆形区域的圆心的各中心点。在这种情况下，h应该合理地对应于给定讲话者数据的标准偏差。图1.5中示出了这种情况的一个示例，其中使用了高斯核。

非参数分类

估计PDF的目的是为了能够计算后验概率，后验概率可以用在决策准则1.6中。但是，可以直接实现1.6，不需这个中间步骤。这样做的方法是，根本上把特征空间分割为区域并且根据落在该区域中的样本属于哪个类来标记每个区域。要明白k-最近邻准则能够用于分类并不难：只不过根据该单元格中k个样本的多数属于哪类来标记每个Voroni单元格。得到的决策面将是分段线性的。

图6：感知器(右)形成超平面并根据它们落在超平面的哪一边来进行样本分类。

分类器也可以基于核函数。在这种情况下，对核函数K()的要求的限制更少，因为PDF的约束并不是必须满足的。径向基函数(RBF)网络是基于核函数的分类器的一个示例。

基函数半径最大化

对于RBF网络，可以通过考虑基函数的半径来给基函数利用一种结构：

$B\left(\stackrel{\&RightArrow;}{x}\right)=K\left(\right|\frac{\stackrel{\&RightArrow;}{x}-\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}{h}\left|\right)$ 方程：1.59

h越小就越“尖锐(spiked)”，是基函数。尖锐的基函数只对特征空间的非常小的区域敏感，并且可以通过训练很好地表示。宽的基函数(h很大)覆盖特征空间的很大的体积；h越大基函数越类似于简单的斜线，它始终是灵敏的。因此，被训练为具有很大的半径的网络更可能一般化；半径应该被扩展到在训练集上的分类性能不明显降低的那个点。

分类器集

对于很多模型(特别是神经网络)甚至只有有限的复杂度，存在的一个问题是用于建立它们的参数的训练算法不能够确定最优化准则的全局极小值，而只能确定局部极小值。由于这个原因，在相同的数据上训练若干个分类器，并使用这些网络来创建新的“超级”分类器是有用的。在参数域能够容易地完成不同网络的结合体，但是代表不同局部极小值的网络可能建模该问题的不同部分，并且定义为若干个分类器的平均输出的分类器总的来说将比这若干个分类器中的任一个都执行得更好：如果N个分类器的单独的均方错误率(方程1.40)被表示为

                   E₁，…，E_N

可以证明，通过下式给出分类器集的期望均方错误率(Perrone和Cooper1994)：

方程：1.60

假设各网络独立地产生错误。因此，只要这些错误是不相关的，分类器集的性能就能够通过增加更多的网络来得到提高：每当网络数量加倍，方差错误率就减半。

对于感知器类型的模型，能够简单地通过不同地初始化权重来创建代表不同局部极小值的网络(Hansan和Salamon 1990；Battiti和Colla1994)。在Benediktsson等.(1997)中，在已经使用不同数据转换进行转换的数据上训练个人网络(感知器)。Ji和Ma(1997)提出了专门用于选择和合并弱分类器(感知器)的算法。

讲话者校验

在随机化的环境中的讲话者校验和对象处理是模式识别问题，并且概念上它是非常简单的，因为只有两类(模式)需要判别：目标讲话者或者冒名顶替者。但是，要把这两类在特征空间中分开并不容易。类分布是复杂的，并且实际上必须使用非参数技术来进行建模。对于这种问题，神经网络是引人注意的分类器：它们的判别训练方案使它们能够集中建模在很好地判别讲话者或者对象的特征空间的区域上。

但是，很多训练或者对象学习算法的问题是，它们不能够保证模型参数的最优值。在这种情况下，能够使用结构风险最小化技术来代替对增强它们的推广能力的模型的约束。对次优(sub-optimal)参数问题的不同的方法是使用集合技术：简单的次优分类器的集合能够被合并以形成新的更强大并且鲁棒的分类器。集合方法是引人注意的，因为分类器集的错误率，原则上，是与集合元素的数量成反比的。

附录2：用基于RBF的音素建模进行举例的对象分析

这个示例代表分类器体系结构，分类器能够用于事件级讲话者校验，但是它将被看作能够被用于任何给定对象数据类型的方法的示例。分类器(RBF网络)本身不能够对它在其上运行的事件进行识别，并且依赖于特征提取处理来完成该功能。图1.1用示意图示出了分类器体系结构。隐藏的马尔可夫(Markov)模型被用于对语音信号进行分段。隐藏的马尔可夫音素模型，把音素段建模为正态分布的混合物，其中在离散点上的平均值和协方差的混合在状态转变时及时改变。离散变化理想地应该是连续的，但是这难以建模。

在已经识别了音素分段之后，执行新的特征提取(1.1节)，借此每个单独的音素段被重新表示为单一的特征向量。代表整个音素观测的特征向量在这里将称为音素向量：

当音素向量已经被提取出来的时候，信号不再包含时间信息；在一段时间，音素向量被顺序地测量的事实是不相关的并且不包含关于讲话者身份的信息。还¹，在(真)随机发音模型上“创建”声纹(voiceprint)的二元形式，它使得二元对象成为完全唯一的。这本质上意味着向量模型变成随机向量n。

这里使用的基本特征表示是依据滤波器组能量，并且因此音素向量需要被归一化以便于消除信号增益(1.2节)。在这之后它们经过变换1：

$\stackrel{\&RightArrow;}{{\mathrm{\&Phi;}}^{\&prime;}}=T\left(\stackrel{\&RightArrow;}{\mathrm{\&Phi;}}\right)$

在最终作为输入被传递到RBF网络之前，计算讲话者概率：

帧选择

音素宽度是音素内容的函数，整个讲话速度和其它因素；音素宽度具有很强的可变性。对于静态建模方法，必须用固定数量的特征来表示音素。这可以通过是用马尔可夫分段来完成，其中每个音素都被分为对应于音素模型中的不同发射马尔可夫状态的许多子段。可能的表示方案是：

1.计算新的“可变”帧分段(和讲话参数化)，其中新的帧长度被调整为总音素段的整数部分。在计算上这可能比较费力，但是优点是整个音素段都得到了使用。

2.选择固定数量(N个)的现有的帧作为音素段的代表。可以考虑若干个帧选择策略：

a.线形选择：从音素段选择出N个线形排列的帧。

b.子段选择：从每个子音素段选择出一帧。为了提高表示的均一性，选择应该是一致地完成的；例如，通过一直选择离散HMM状态建模的每个子音素段的中心帧。这是通过中心帧代表与讲话信号在音素段中所经历的“移动平均”转换中相同的点的前提来促成的。

c.最大似然性选择：从每个子音素段选择出具有最高似然性的帧。

在已经识别出相关的帧之后，对应的特征向量被“连在一起(concatenated)”以形成一个长向量。

选择方案2A和2B相当相似；这里已经选择了使用2B作为帧选择策略，因为结合集合体方法(见2.7节)，可以使用帧选择策略中的变化来为相同的音素生成“不同的(different)”音素模型。通过选择，例如每个子段中最右或者最左边的帧来代替中心帧，能够简单地校验选择方案2B。

归一化

语音信号的滤波器组的问题是，信号增益没有得到很好的控制。信号增益取决于讲话者讲话的水平面、离传声器的距离、嘴与传声器之间的夹角和记录设备。这实际上意味着绝对增益不能用于讲话者识别，必须经过归一化。对于语音处理这是很平常的，这里使用了对数滤波器组表示。这意味着使用了来自每个滤波器组的能量输出的对数。

                      图7：RBF网络

使用滤波器组。低于1的能量输出被忽略；它们很可能代表噪声并导致对数函数的奇异特性2，最好不要为这些能量建模。

在对数能量域中，增益因子变成附加的偏量

$\log \left(S\stackrel{\&RightArrow;}{x}\right)=\log \left(S\right)+\log \stackrel{\&RightArrow;}{x}$ 方程：1

这里对向量取log()是指，log()函数被用于每个向量元素。同样，标量与向量的加法(乘法)是指，标量与每个向量元素相加(相乘)。因为标量是不相关的，所以假定音素向量的模是1：

$\left|\right|\stackrel{\&RightArrow;}{x}\left|\right|=\sqrt{\underset{i=1}{\overset{D}{\mathrm{\&Sigma;}}}{x}_i^2}=1$ 方程：2

在缩放之后，模是

$\left|\right|S\stackrel{\&RightArrow;}{x}\left|\right|=S\sqrt{\underset{i=1}{\overset{D}{\mathrm{\&Sigma;}}}{x}_i^2}=S$ 方程：3

因此通过计算下式的模，

$\left|\right|S\stackrel{\&RightArrow;}{x}\left|\right|,$

和从滤波器组的输出中减去对数模，能够消除增益：

$\stackrel{\&RightArrow;}{y}=\log \left(S\stackrel{\&RightArrow;}{x}\right)-\log \left|\right|S\stackrel{\&RightArrow;}{x}\left|\right|=\log \stackrel{\&RightArrow;}{x}$ 方程：4

为了还使数据均匀化，向量：

在这里被归一化，其模为1。

如果独立增益因子与每个滤波器组信道有关，则得到加到特征向量的偏置向量。这种类型的增益不能够通过着眼于一个特别的特征向量来消除，而相反，能够通过估计一个发音上的平均能量输出来进行估计。

在实践中，偏移是有用的试验，但是实际上是不平凡的问题，因为偏量是根据发音的语音内容估计的(Zhao 1994)。这种试验在这里没有用处。

RBF训练

归一化的音素向量在被输入给依赖音素(Φ)和讲话者的RBF网络之前经过转换，用于计算该函数：

$\mathrm{g\&Phi;}\left({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}\right)=\tanh \left[S\underset{i}{\mathrm{\&Sigma;}}{\mathrm{\&omega;}}_i{\mathrm{\&upsi;}}_i\left({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}\right)\right]$ 方程：5

其中S是激活函数的比例并且

方程：6

其中D是输入向量的维数。基函数比例，G_i，和方差 的约束条件为：

方程：7

它确保网络将逼近最优贝叶斯判别函数(Bayes Discriminantfunction)：

对此可以使用许多技术(Press等.1995；Bishop 1995)。在这种情况下，最简单的方法是使用梯度下降，因为这里的梯度很容易计算；由于网络的大小，训练算法收敛得如此快以至于不需要共轭梯度、或者Quasi-Newton方法。梯度下降是种迭代技术，其中迭代中的参数t的更新是根据：

${\mathrm{\&omega;}}_i^{\left(t\right)}={\mathrm{\&omega;}}_i^{(t-1)}-\mathrm{\&eta;}\left(t\right)\frac{\&PartialD;E}{{\&PartialD;\mathrm{\&omega;}}_i}$ 方程：8

${\mathrm{\&mu;}}_{\mathrm{ik}}^{\left(t\right)}={\mathrm{\&mu;}}_{\mathrm{ik}}^{(t-1)}-\mathrm{\&eta;}\left(t\right)\frac{\&PartialD;E}{{\&PartialD;\mathrm{\&mu;}}_{\mathrm{ik}}}$ 方程：9

${\mathrm{\&sigma;}}_{\mathrm{ik}}^{\left(t\right)}={\mathrm{\&sigma;}}_{\mathrm{ik}}^{(t-1)}-\mathrm{\&eta;}\left(t\right)\frac{\&PartialD;E}{{\&PartialD;\mathrm{\&sigma;}}_{\mathrm{ik}}}$ 方程：10

$C_i^{\left(t\right)}=C_i^{(t-1)}-\mathrm{\&eta;}\left(t\right)\frac{\&PartialD;E}{{\&PartialD;C}_i}$ 方程：11

$S^{\left(t\right)}=S^{(t-1)}-\mathrm{\&eta;}\left(t\right)\frac{\&PartialD;E}{\&PartialD;S}$ 方程：12

其中

方程：13

以及

方程：14

方程：15

方程：16

方程：17

方程：18

以及

这里示出的梯度将作为所有训练样本的总和被计算出来。为了加快训练处理的速度，这个要求通常被放松，以便于子集或者甚至个别样本被用作基准来计算梯度和更新参数。如果训练数据是“周期的(periodic)¹”，则这是合理的。(¹这里的周期应该至少是二，以便于目标讲话者模式和冒名顶替讲话者模式在每个周期都出现。更广泛地，周期可以被增加，以便于每次更新都基于一组不同的音素观测，例如对应于不同的音素内容。如果这没有被完成，则学习往往“不稳定(erratic)”：网络变成偏向最近出现的训练令牌并忘记它先前已经学习过的一些信息。)

梯度方程的形式比较容易理解。梯度方程有一些公共条件和一些专用条件。

公共条件所有梯度包括错误条件，

$(g\left({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}_p^{\&prime;}\right)-t_p),$

除非样本被错误分类，否则它是零。因此，如果样本被正确分类，则不更新参数。在错误分类的情况下，如果目标输出是负的则错误条件是正的，如果目标输出是正则错误条件是负的。可以给定错误条件基于类的权重，以便于强调一类错误率高于另一类。例如，目标讲话者模式可以被给定更高的权重，因为训练集包含比较少的目标讲话者模式，并且因此分类器与丰富的冒名顶替讲话者模式相比，更可能“过度学习(over learn)”这些模式。

在所有梯度中出现的第二条件是，

该条件具有防止参数改变的作用，如果

即，如果参数

由于很大的容限被错误分类。直观地，如果训练集包含集合外的样本，则不能通过现有参数的小的改变而被正确分类，则这是有用的。

所有梯度共用的第三个条件是基函数输出，

它是0和1之间的值。因此，不更新与给定基函数相关的参数，除非样本 落在超椭球区域中，该区域中，

被激活。

权重

权重被更新，以便于对于错误分类的样本，如果目标输出为正则增加权重，否则降低权重。在最终的分类器中，带有正的权重的基函数代表类I，而带有负的权重的基函数代表类φ′。

方法

代表目标类的基函数，(sign(ω_i)＝sign(t_p))，被移到离错误分类的样本更近，而代表相反的类的基函数被移走。步长取决于单个基函数“激活(activated)”的程度，

是基函数的半径，C_i，

是到被错误分类的点的距离和通常分类错误的大小。

基函数比例

基函数的宽度是由C_i控制的。对于代表目标类的基函数，降低C_i(增加宽度)以便于包括在那些基函数影响的球面中的那个样本。对于代表相反的类的基函数，增加C_i(降低宽度)以便于从这些基函数影响的球面中排除该样本。

更新方差的效果，与对于代表目标类的基函数加宽基函数的宽度而对代表相反的类的基函数降低其宽度的效果相同。

方差

方差 指定单个特征元素的相对的方差。方差不是必须与单个元素的统计方差对应，而宁可对应于特征的重要性。对分类不重要的特征成分可以给定大的“方差”，以便于它们对基函数的激活具有相对少的影响。

激活函数比例

对于在由感知器实现的超平面正确一侧的样本，增加激活函数的比例S，而对在错误一侧的样本降低比例。但是，样本的分类没有通过更新S得到改善或者改变。从而，为了最小化错误率，学习算法不改变S的值。但是，可以随后调整激活函数比例，以便于改善RBF模型来作为概率估计器。

初始化

迭代训练算法需要对网络参数的初始的估计。解释RBF网络的参数比解释MLP的权重容易得多，从而，不必初始化使用随机值。特别地，可以用聚类算法来计算分别代表目标讲话者和群组讲话者的合理的基函数。可以把对应于目标讲话者基函数的权重初始化为

方程：19

其中，N_i ^(I)是落在第I个目标讲话者聚类中的训练样本的数量。同样，对应于群组讲话者基函数的权重可以被初始化为：

${\mathrm{\&omega;}}_i^{(-I)}=-\frac{N_i^{(-I)}}{{\mathrm{\&Sigma;}}_j{N}_j^{(-I)}}$ 方程：20

偏移权重，(ω₀)应该被初始化为小于零的值：如果网络用音素向量来代表，它没有激活任何基函数，则分类应该为-I(拒绝)。

训练算法的收敛关键取决于基函数的初始化，但是在实践中对权重的初始化敏感。因此，权重可以简单地被初始化为随机的值(在[-1；1]范围内)。

后验概率

RBF网络被训练为使在训练集上的均方错误率最小(方程1.9)。这个错误最小化准则使得RBF网络逼近由下式给出的最优(贝叶斯(Bayes))判别函数：

$\mathrm{gBayes}\left({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}\right)=P\left(I\right|{\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;})-P(-I|{\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;})$ 方程：21

这个重要的事实已经得到了几个作者(Ruck等.1990；Richard和Lippmann 1991；Gish 1990a；Ney 1991)的证明。

即使

逼近最优判别函数，原则上，它还是答辩是否能够精确地实现该函数。压缩函数(squashing function)，tanh()，出现在RBF网络的输出中，限制能够被实现的从R^D到[-1；1]映射的数量。例如，一般函数例如

能够用上面类型的RBF网络来实现，即使它有无穷个基函数。如果是这种类型的，则很不幸，因为那意味着它不能，即使是原则上，也不能被计算出来。

但是，基本函数 是非常灵活的。通过Stone-Weierstrass定理的应用，实际上可以看出，该函数能够任意好地逼近从R^D到R^I的任何映射(Hornik 1989；Cotter 1990)。因为tanh(x)是可以取[0；1]之间的任意值的单调函数，它是来逼近该函数：

方程：22

但是，选择tanh(x)作为激活函数不是任意的。考虑到例如在2-类分类问题中，将被判别的两类的特征在于高斯概率分布：

$p\left({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}\right|I)=\frac{1}{{\left(2\mathrm{\&pi;}\right)}^{D/2}{\left|U_I\right|}^{1/2}}\exp (-\frac{1}{2}{({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}-{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_I)}^T{U}_1^{-1}({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}-{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_I))$ 方程：23

$p\left({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}\right|-I)=\frac{1}{{\left(2\mathrm{\&pi;}\right)}^{D/2}{\left|U_{-I}\right|}^{1/2}}\exp (-\frac{1}{2}{({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}-{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_{-I})}^T{U}_{-I}^{-1}({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}-{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_{-I}))$ 方程：24

根据贝叶斯法则，类I的后验概率是由下式给出的：

$P\left(I\right|{\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;})=\frac{p\left({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}\right|I)P\left(I\right)}{p\left({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}\right|I)P\left(I\right)+p\left({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}\right|-I)P(-I)}$

$=\frac{1}{1+\frac{P(-I)p\left({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}\right|-I)}{P\left(I\right)p\left({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}\right|I)}}$ 方程：25

$=\frac{1}{1+\exp (-2\mathrm{\&alpha;})}$

$=\frac{1}{2}\tanh \left(\mathrm{\&alpha;}\right)+\frac{1}{2}$

其中

$-2\mathrm{\&alpha;}=\ln \left(\frac{P\left(I\right){\left|U_I\right|}^{1/2}}{P(-I){\left|U_{-I}\right|}^{1/2}}\right)$

$+0.5{({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}-{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_I)}^T{U}_I^{-1}({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}-{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_I))$ 方程：26

$-0.5{({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}-{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_{-I})}^T{U}_{-I}^1({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}-{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}_{-I})$

这正是我们想要其具有的形式，因为如果RBF网络逼近判别函数：

$g\left({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}\right)=P\left(I\right|{\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;})-P(-I|{\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;})$ 方程：27

则我们有(使用2.5)：

$P\left(I\right|{\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;})=\frac{1}{2}g\left({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}\right)+\frac{1}{2}$ 方程：28

$P(-I|{\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;})=-\frac{1}{2}g\left({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}\right)+\frac{1}{2}$ 方程：29

其中

方程：30

调整激活函数比例

方程33和34，在概率估计的时候，某种程度上是不成熟的。如果使用了陡峭的激活函数(大的激活函数比例S)，输出基本上为二元变量。可以通过首先从理想地独立测试集：

方程：31

估计出经验激活函数来调整激活函数比例(S)。

其中Θ(x)是个阶梯函数：

方程：32

以及，其中

和

是独立测试集中的音素向量。现在，值G(Υ_PI)，为其指定P(I)＝P_I(即， $G\left({\mathrm{\&gamma;}}_{P_I}\right)=2P\left(I\right)-1$ ))并且激活函数比例被调整以便于

$\tanh \left(S^{\&prime;}{\mathrm{\&gamma;}}_{P_I}\right)=P_I$ 方程：33

这是通过选择：

$S^{\&prime;}=\frac{\mathrm{arctanh}\left(P_I\right)}{{\mathrm{\&gamma;}}_{P_I}}$ 方程：34

来完成的。其中

$\mathrm{arctanh}\left(x\right)=\frac{1}{2}\ln \left(\frac{1+x}{1-x}\right)$ 方程：35

可替代的，并且可能更准确的方法是简单地用经验激活函数(方程36)来代替tanh()。

可替代的，并且可能更准确的方法是简单地用经验激活函数(方程36)来代替tanh()。

调整偏置

从有限的训练集训练RBF网络是困难的。问题通常不在于训练集的假信息部分，而是目标讲话者部分。当然，这本身能够使训练讲话者模型变得困难，但是特别地，它使得难以调整模型以便于达到TA与IR错误之间的所需的平衡。该平衡在某种程度上能够通过不同的训练参数来控制，例如，通过对目标讲话者样本和群组讲话者样本不同地缩放错误条件 通过用不同的频率表示目标/群组模式，或者通过使用权重/半径惩罚来约束模型的方法。但是，这些方法是相当不成熟的，而更准确的方法是调整RBF模型的偏置(ω₀)。这可以通过估计给目标讲话者的给定的

的均值和方差，

和给假讲话者的给定的，

来完成。

假定这两个变量是高斯分布，偏置被减少(b_new＝b_old-Δb)，以便于，

方程：36

该解可以通过确定下式的根来得到：

$(\frac{1}{{\mathrm{\&sigma;}}_2^2}-\frac{1}{{\mathrm{\&sigma;}}_1^2})x^2+(\frac{2{\mathrm{\&mu;}}_1}{{\mathrm{\&sigma;}}_1^2}-\frac{2{\mathrm{\&mu;}}_2}{{\mathrm{\&sigma;}}_2^2})x+\frac{{\mathrm{\&mu;}}_2^2}{{\mathrm{\&sigma;}}_2^2}-\frac{{\mathrm{\&mu;}}_1^2}{{\mathrm{\&sigma;}}_1^2}-2\ln \left(\frac{{\mathrm{\&sigma;}}_1}{{\mathrm{\&sigma;}}_2}\right)-\ln B=0$ 方程：37

其中使用了下面的简写形式：

方程：38

方程：39

方程：40

对于B＝1，这个方程与方程1.26相同，(关于对象分类的示例)。我们感兴趣的是 与

之间的解。可替代的(如果高斯假定不好)是使用经验激活函数(方程x.36)。如果需要不同的错误平衡B，则可以根据下式来调整偏置：

方程：41

方程：42

方程：43

因此，要调整比值比(odd ratio)来得到平衡B，方程48的解，

被确定并被从偏置中减去：

                       ω_0，new＝ω_0，old-Δb

对于B＝1，相等的错误率是近似的，对于B＜1，以IR错误为代价，TA错误的数量被最小化，而对于B＞1，以TA错误为代价，IR错误被最小化。

图8示出了一组讲话者模型一个示例，其中类条件概率经验分布函数，和 以及经验激活函数

下图示出了这两个函数

                 图8经验分布函数

对于训练数据，分别使用了1622和6488局部目标讲话者和假讲话者决策。对于测试数据，分别使用了394和1576局部决策。

           图9偏置补偿之后的经验分布函数

对于训练数据和对于测试数据。对于训练数据，经验激活函数近似为零

但对于测试数据不是这样(讲话者模型被“过度训练”了)。图9示出了与图8相同的函数，但是是偏置补偿之后的。

总之，描述了基于音素的讲话者模型。该模型使用HMM作为“特征提取器”，它将音素观测表示为固定频谱特征元素的向量(音素向量)；模型的这部分是讲话者独立的。音素向量被转换并最终作为输入被传递给基于音素的RBF网络，并被训练以从音素向量估计出讲话者概率。讲话者概率可以直接用来生成(局部)讲话者校验决策，或者它可以与从其它音素观测估计出来的其它讲话者概率相结合，以便于生成更鲁棒的决策。输入向量(音素)仅被陈述用来示例基于对象会怎样，即校验会是怎样的。因此可以相应地对训练滤波器使用任何其它类型的生理数码化的向量。

      附录3：用讲话者校验来举例的基于对象的决策

对象校验——或者在这种情况下的讲话者校验，是二元决策问题，并因此能够最后被简化为计算分数，并且通过确定该分数大于还是小于给定的阈值，t，来校验身份要求：

方程：1

在计算该分数或者，即计算对象值的时候，语音信号中的每个音素段都有贡献(甚至当音素没有被明确建模的时候)。在传统的文本独立的讲话者校验算法中，不同音素对整个分数的贡献(例如，发音似然性)是未知的；整个分数取决于特定频率，用该特定频率在测试发音中和在每个音素段的持续时间中代表音素。

这显然不是最优的，因为没有考虑到，由单个音素段贡献的局部分数表达讲话者身份的扩展，和不同的音素表达关于讲话者的相同的信息的扩展；例如，鼻音和元音可能代表主要问候信息，而两个后元音代表关于讲话者的高度相关的信息。

这里描述的算法有两个部分：第一音素段经过识别，并且对于每个音素段独立地对讲话者身份建模。其结果是许多局部分数(发音中的每个不同音素段都有一个局部分数)这些局部分数必须合并起来以便于生成全局校验决策或者对象数据的类。

合并分数

对RBF网络进行训练以逼近判别函数：

$\mathrm{g\&Phi;}\left({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}\right)=P\left(I\right|{\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;})-P(-I|{\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;})$ 方程：2

其中 是音素观测。因为：

$P\left(I\right|{\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;})+P(-I|{\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;})=1$ 方程：3

我们有

$P\left(I\right|{\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;})=\frac{1}{2}\mathrm{g\&Phi;}\left({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}\right)+\frac{1}{2}$ 方程：4

$P(-I|{\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;})=-\frac{1}{2}\mathrm{g\&Phi;}\left({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;}\right)+\frac{1}{2}$ 方程：5

这些方程可以用于为单独的音素观测实现决策准则。当几个独立的音素观测可用的时候，通过把局部分数合并成全局分数，能够进行更鲁棒的决策。可以按照两个本质上不同的方法：总体合并(esemblecombination)和概率合并。

总体合并

一种合并局部校验分数的方法是简单地“平均”局部分数：

方程：6

其中，#Φ是字母表中不同音素的数量，#Φ_i是音素Φ_i的观测数量，并且

是音素Φ_i的第j个观测(音素向量)。该记分准则的特征是随着观测数量的不断增加，分数将收敛到范围[-1；1]中的值；其大小不受观测数量的直接影响。

概率合并

一种总体合并的选择是利用网络计算后验概率的事实。当进行了若干次独立观测， $\mathrm{\&Phi;}=\left(r\right)={\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}_1,...,{\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}_r$ 的时候，分类置信度应该会提高。这可以用定义比值比(odd ratio)来表达：

$R\left({\mathrm{\&Phi;}}^{\left(r\right)}\right)=\underset{i=1}{\overset{r}{\mathrm{\&Pi;}}}\frac{P\left(I\right|{\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}_i^{\&prime;})}{P(-I|{\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}_i^{\&prime;})}=\underset{i=1}{\overset{r}{\mathrm{\&Pi;}}}\frac{\mathrm{g\&Phi;}\left({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}_i^{\&prime;}\right)+1}{-\mathrm{g\&Phi;}\left({\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}_i^{\&prime;}\right)+1}$ 方程：7

因为

             P(I|Φ^(r))+P(-I|Φ^(r))＝1         方程：8

由此

$P\left(I\right|{\mathrm{\&Phi;}}^{\left(r\right)})=\frac{1}{1+R^{-1}\left({\mathrm{\&Phi;}}^r\right)}$ 方程：9

$P(-I|{\mathrm{\&Phi;}}^{\left(r\right)})=\frac{1}{1+R\left({\mathrm{\&Phi;}}^r\right)}$ 方程：10

因此，可替代的记分策略是使用

             分数＝P(I|Φ^(r))-P(-I|Φ^(r))      方程：11

该记分准则的特征是，在实践中，当添加了更多的音素观测的时候，它将收敛到-1或者+1。

方程6和11之间的区别主要在于关于观测独立性的假定。假设对于给定的音素向量

讲话者概率被估计为，例如， $P\left(I\right|{\stackrel{\&RightArrow;}{\mathrm{\&phi;}}}^{\&prime;})=0.7.$ 如果使用了方程11(概率合并)我们假设概率只能是0.7而不是1.0，因为观测 已经受到“随机”噪声的影响，而如果使用方程1.6(总体合并)，我们假设某个比例的冒充人群能够生成类似 的音素向量。

这个区别很重要，因为噪声能够被“平均”掉(导出)，而如果相同的假讲话者从根本上能够生成与目标讲话者相同的音素向量，则获取更多的观测(对同一事件的)不能改善概率估计。

但是方程1.6和1.11二者都有的问题是，整个分数将受到出现得最频繁的音素的控制。对于不同音素能够被当作讲话者信息的不同源的内容是不合理的(Olsen 1997b；Olsen 1996b)。

但是，在实践中，可以使用方程1.6和1.11得到很好的结果，因为由专门的音素类控制的“病态的(pathological)”句子并不会频繁出现。任何合理的句子典型地具有代表的音素的很宽的选择，但还是不应该任由改变对每个音素观测所提供的根据的加权方法。

委员会机器(Committee Machine)

给定特定类型的信息：特定音素的观测，每个音素模型都能够作为讲话者校验专家。因为假定单个专家建模讲话者的不同“方面”，这对限制每个专家对全局分数能够产生的影响有意义。做这件事的一种方法是使用方程1.6或者1.11，把来自同一个专家的局部分数合并成全局分数。局部二元决策(用从经验上知道是正确的概率)从而能够进行，对于用测试发音来表示的每个音素：

方程：12

按照该方法，把局部决策合并为全局决策的最简单的方式，是通过进行“多数”票决：

方程：13

图1：作为该委员会成员的数量的函数的委员会机器进行正确决策的概率

其中#Φ是测试发音中的提出的不同音素的数量。这种类型的全局分类器被称作委员会机器(Nilsson 1965；Mazurov等.1987)。

如果单个决策是独立的，并且所有的都具有相同的进行正确决策的概率P，委员会机器进行正确决策的概率由下式给出：

方程：14

其中N是委员会成员的数量。在图1中示出了概率函数P_comm(N)。该图是“波动的(rippled)”，因为对于奇数的N，结点(k＝N/2)被视为错误，即使错误概率实际上只有50％。只要错误没有改正，委员会机器的性能可以通过增加更多的成员来改善。假设P＞0∶5，委员会机器一直比单个委员会成员执行得更好。

如果单个分类器具有不同的分类精度，则不一定是这种情况，但是在这种情况下模型仍然是非常鲁棒的。假定，例如，精度分别为P1；P2和P3的三个分类器将要被合并。委员会机器执行至少与最精确的单个分类器(例如P1)同样的精度，假设：

  P₁＜P₁P₂P₃+P₁P₂(1-P₃)+P₁(1-P₂)P₃+(1-P₁)P₂P₃   方程：15

$P_1<\frac{P_2{P}_3}{1+2P_2{P}_3-P_2-P_3}$ 方程：16

例如，如果P2＝P3＝0.9，则如果要认为P1具有比P1、P2和P3的结合体更精确，P1必须具有比0.99更高的精度。

专家加权

来自不同专家的投票并不是同等重要的；基于不同音素的讲话者模型具有不同的精度。因此通过对单个投票进行不同加权能够改善基本投票方案。对这个问题的“静态的”方法将是简单地用对应分类器的预期的等准确率(expected equal accuracy)，A_EER＝1-EER，对每个投票进行加权：

方程：17

相应的“动态”加权方案可以用由分类器计算出来的不同的讲话者概率来加权每个投票：

            D_L(Φ_i)＝P(I|Φ_i)-P(-I|Φ_i)         方程：18

即使概率估计P(I|Φ_i)在某种程度上是不成熟的，这里的平均是指权重取决于实际音素观测。

专家组

音素可以被分成不同的组，例如，鼻音、摩擦音、爆破音、元音等等。专门研究例如两个鼻音音素的两个专家直观地可能显示出投票域中的相关性，而专门研究不同音素的两个专家例如分别是鼻音和摩擦音比较不可能显示出相关性。因此，把专家分成代表不同音素类的组是合理的。对于每个音素组(C)的讲话者校验分数D_C；L，从而能够被计算出来：

方程：19

其中#C表示组C中的音素的数量。方程19有效地定义了新的专家集合。从而能够通过合并来自专家组的投票，而不是来自“音素”专家的投票，进行如前所述的全局校验决策。原则上，该决策策略能够被扩展为，包括若干层专家，其中在最底层的专家代表不同的单个音素，在最上层的专家代表更宽的声音类(鼻音、元音、摩擦音，等等)。

建模专家投票

吸引人的合并N个专家投票的方法是训练网络(RBF或者MLP)学习经验上最好的合并策略(Wolpert 1992)。这种方法能够直接考虑单个专家的精度和不同专家投票之间的相关性。当依照这种方法的时候，所有发生的达到专家投票必须被合并的点经验上被认为是特征提取；特征向量是这里的决策向量：

${\stackrel{\&RightArrow;}{D}}_L\left({\stackrel{\&RightArrow;}{\mathrm{\&Phi;}}}^{\left(r\right)}\right)={(D_L\left({\stackrel{\&RightArrow;}{\mathrm{\&Phi;}}}_1^{\left(r_1\right)}\right),...,D_L\left({\stackrel{\&RightArrow;}{\mathrm{\&Phi;}}}_N^{\left(r_N\right)}\right))}^T$ 方程：20

但是，这种方法有两个问题。

·第一个问题是“超级”网络(该网络合并了局部专家投票)不能够在简单地通过在他们训练的数据上评价局部专家的决策向量上进行训练，这些专家可能被过度训练并且他们的训练数据投票因此太“乐观”。因此，必须提供增加的训练数据或者可替代地超级网络必须是独立于讲话者的。

·第二个问题是，这里本地专家投票代表不同的音素，并且不同测试发音的语音的构造可能变化很大，这使得不可能训练网络，该网络最优地合并了由特殊的测试发音产生的投票。

给定有限数量的训练发音，当然可以通过合并从不同的训练发音提取出的相关的专家决策，来模拟出大得多的数量的决策向量。但是，能够发生的可能的发音合并的数量仍然非常大。假定，例如，在任何给定的发音中，30个可能的音素中正好有15个不同的音素将被表示出来。从而达到

$\left(\begin{array}{c}30\\ 15\end{array}\right)=\frac{30!}{15!(30-15)!}\&ap;1.6\&CenterDot;{10}^8$

个不同的投票合并将必须被考虑。该计算忽略了投票可以基于多于一个音素观测(并且因此更可靠)以及不同音素的实际数量可能多于或者少于15。

对这个两难问题的可能的解决方案是使超级分类器发音具体化，即，延迟训练直到决定了下一个发布的是哪个提示文本的时刻——或者甚至更方便的：直到关于实际讲话发音的音素分段已经被计算出来。在这种情况下，超级分类器可以是简单的感知器，并且因此训练本身不是很难解决的计算问题。图2示出了它的一个示例。

可替代地，为了避免迭代感知器训练算法，费歇耳线性判别函数可以用来学习单个专家权重。

总之，这个示例讨论了局部讲话者概率是怎样从单个音素观(它经验上是能够被合并的对象，以便于生成全局讲话者校验决策测)估计出来的。成功的合并方案必须考虑一方面一些特定的音素比其它的提供的信息更多，并且另一方面，不同音素在某种程度上提供关于讲话者的问候信息。

当决定怎样对每个局部决策进行加权的时候，面对的主要困难是，除非给讲话者的提示文本受到严格约束，否则能够在测试发音中出现的不同音素合并的总数是非常大的。因此，这些权重不能容易地事先计算出来。

                   图2：超级分类器

分类器把来自单个音素模型的不同讲话者概率作为输入，并把它们合并为整体分数：

$P\left(I\right|{\mathrm{\&Phi;}}_1^{\left(r_1\right)},...{,\mathrm{\&Phi;}}_N^{\left(r_N\right)})-P(-I|{\mathrm{\&Phi;}}_1^{\left(r_1\right)},...,{\mathrm{\&Phi;}}_N^{\left(r_N\right)})$

Claims (160)

1.一种在一个或者多个用户与至少一个网络服务器之间的安全网络连接系统，包括：

配给一个用户的至少一个智能数据载体，其中所述智能数据载体至少包括(i)一个存储器，适合于存储数据，(ii)一个输入-输出装置，适合于输入和输出数据，以及(iii)一个处理器，适合于处理存储在所述存储器中的数据，其中所述智能数据载体能够连接到主机设备从而通过所述输入-输出装置在所述网络上传输数据，并且其中所述智能数据载体适合于通过认证和加密方案为用户建立网络身份；以及

动态数据报转换器，用于一个或者多个用户正在使用的多种应用程序的动态分配和数据报交换。

2.如权利要求1所述的系统，其中所述智能数据载体是移动式的。

3.如权利要求1所述的系统，其中所述智能数据载体是用USBkey、袖珍闪存、智能媒体、CD、DVD、PDA、火线设备、以及令牌设备中的一个实现的。

4.如权利要求1所述的系统，其中所述认证和加密方案包括下列顺序的步骤：

(a)使请求从所述智能数据载体发送到认证所述智能数据载体的网络服务器；

(b)所述网络服务器给所述智能数据载体提供多个认证方法；

(c)所述智能数据载体通过事件从所述多个认证方法中选择出一个；

(d)所述网络服务器基于所述选择的方法，向所述智能数据载体发送要求，要求来自所述智能数据载体的认证数据；

(e)所述网络服务器将从所述智能数据载体接收到的所述认证数据转换成一个或者多个数据认证对象，其中每个所述数据认证对象都是能够通过使用一个或者多个分类器来被分析的数据向量对象；

(f)所述网络服务器根据所述一个或者多个分类器，分析所述数据认证对象，从而确定所述认证的结果；以及

(g)所述网络服务器将所述结果发送给所述智能数据载体，指示认证尝试成功或者失败。

5.如权利要求4所述的系统，其中步骤(c)中的所述事件包括点击鼠标、触摸屏幕、敲击键盘、发出声音、或者生理数码化度量中的至少一个。

6.如权利要求4所述的系统，其中步骤(d)中的所述要求包括伪随机码和真随机码中的至少一种，其中伪随机码是基于数学上预先计算出来的列表生成的，并且其中真随机码是通过在所述系统外面对熵的源进行采样和处理生成的。

7.如权利要求6所述的系统，其中所述随机化是用一个或者多个随机发生器和一个或者多个独立的种子来执行的。

8.如权利要求4所述的系统，其中步骤(f)中的所述分析是基于一个或者多个分析准则执行的。

9.如权利要求4所述的系统，其中所述一个或者多个分析准则包括根据步骤(e)的一个或者多个分类器的分类。

10.如权利要求9所述的系统，其中所述分类包括讲话者校验，其中所述数据对象向量涉及两类，目标讲话者和冒名顶替者，其中每类的特征在于概率密度函数，并且其中步骤(f)中的确定是二元判定问题。

11.如权利要求4所述的系统，其中步骤(f)中的所述确定包括基于步骤(e)的一个或者多个分类器，从所述一个或者多个数据向量对象计算出总量、上级、以及概率中的至少一项。

12.如权利要求12所述的系统，其中所述总量是从所述一个或者多个数据向量对象计算出来的上级和随机总量之一。

13.如权利要求4所述的系统，其中步骤(e)中的所述一个或者多个分类器包括从多于一个数据向量对象中得到的超级分类器。

14.如权利要求13所述的系统，其中所述超级分类器是基于人体生理数码化的，包括语音识别、指纹、掌印、血管模式、DNA测试、视网膜或者虹膜扫描、以及面部识别中的至少一个。

15.如权利要求13所述的系统，其中所述超级分类器是基于行为生理数码化，包括习惯或者个体行为模式。

16.如权利要求1所述的系统，其中所述认证和加密方案包括对称的和非对称的多密码加密。

17.如权利要求16所述的系统，其中所述加密使用了输出反馈、密码反馈、密码转发、以及密码块链接中的至少一种。

18.如权利要求17所述的系统，其中所述加密是基于高级加密标准(AES)Rijndael。

19.如权利要求1所述的系统，其中所述认证和加密方案执行安全密钥交换(SKE)。

20.如权利要求19所述的系统，其中SKE使用公开密钥系统。

21.如权利要求19所述的系统，其中SKE使用椭圆曲线加密系统(ECC)私人密钥。

22.如权利要求1所述的系统，其中所述认证和加密方案包括，适合于验证所述智能数据载体已经向所述服务器登记的逻辑测试、适合于验证所述智能数据载体和所述主机设备上的所述人体参数的设备测试、以及适合于基于事件级数据对所述用户进行认证的个人测试中的至少一个。

23.如权利要求1所述的系统，其中所述多种应用程序包括，基于视窗的远程终端服务器应用程序、大型机的3270/5250终端仿真器上的应用程序、直接嵌入的应用程序、以及多媒体应用程序中的至少一种，其中所述直接嵌入的应用程序包括数据库应用程序、数据分析工具、客户关系管理(CRM)工具、以及企业资源计划(ERP)包中的至少一种。

24.如权利要求1所述的系统，其中所述动态数据报转换器包括数据报方案和分析器，其中所述数据报方案包括两个或者多个的数据报，属于一个或者多个数据报类型，其中所述数据报适合于承载(i)用于网络传输的内容数据以及(ii)用于管理和控制网络连接和支持网络应用程序的其它信息，其中每个数据报类型都包括多种功能，并且其中所述分析器适合于分析一个或者多个数据报类型。

25.如权利要求24所述的系统，其中所述数据报方案包括至少一个主要数据报类型，和在所述一个主要数据报类型中的至少一个次要数据报类型。

26.如权利要求25所述的系统，其中所述分析器适合于分析数据报类型矩阵，所述矩阵包括第一组多个主要数据报类型，以及在所述第一组多个主要数据报类型中的每个主要数据报类型中的，第二组多个次要数据报类型。

27.如权利要求26所述的系统，其中所述主要数据报类型是从包括以下的组中选择出来的：(i)服务器消息和连接控制数据报，适合于认证和控制用户连接，(ii)内容数据报，适合于传输内容数据，(iii)广播数据报，适合于管理点到点的、点到多点的、以及多点到多点的数据传输，(iv)连接代理数据报，适合于在所述网络服务器和所述智能数据载体之间传递代理数据，(v)即时消息类型，适合于实时地传输消息，(vi)大容量传送数据报，适合于传送过大的数据和媒体文件，(vii)用户目录数据报，适合于搜索网络用户，以及(viii)远程管理数据报，适合于远程地控制网络用户。

28.如权利要求27所述的系统，其中所述服务器消息和连接控制数据报包括至少一个次要数据报类型：(i)认证请求数据报，适合于启动认证请求，(ii)认证答复数据报，适合于基于认证请求发送响应，以及(iii)认证结果数据报，适合于发送认证会话的结果。

29.如权利要求28所述的系统，其中所述内容数据报包括至少一个次要数据报类型：(i)正常内容数据报，适合于传输内容数据，(ii)远程记录数据报，适合于与所述网络服务器进行通信并建立登陆会话，以及(iii)远程数据收集数据报，适合于传输来自远程连接的数据。

30.如权利要求29所述的系统，其中所述内容数据报还包括至少一个次要数据报类型：(iv)内容批准请求数据报，适合于请求校验传输的内容数据，以及(v)内容批准答复数据报，适合于对传输的内容数据的校验请求做出响应。

31.如权利要求27所述的系统，其中所述连接代理数据报包括至少一个次要数据报类型：(i)给服务器的代理数据，适合于把代理数据从所述智能数据载体传递给网络服务器；以及(ii)来自服务器的代理数据，适合于把代理数据从所述网络服务器传递给所述智能数据载体。

32.如权利要求27所述的系统，其中所述即时消息类型包括至少一个次要数据报类型：(i)文件传输类型、(ii)音频-视频传输类型、(iii)即时邮件消息类型、以及(iv)所述数据收集类型。

33.如权利要求24所述的系统，其中所述数据报方案中的每个数据报都具有一般格式，包括：

(A)报头字段包括(i)一个或者多个主要数据报类型、(ii)一个或者多个次要数据报类型、(iii)数据报长度、以及(iv)数据报校验和，以及

(B)用于在传输中承载数据的数据报有效负载。

34.如权利要求33所述的系统，其中所述一般格式包括一个或者多个附加的报头字段。

35.如权利要求33所述的系统，其中所述一般格式遵循TCP报头。

36.如权利要求1所述的系统，其中所述智能数据载体还包括无线电探测连接器，其中所述无线电探测连接器通过接口连接所述网络，并且适合于监控和控制网络连接。

37.如权利要求36所述的系统，其中所述网络服务器还包括适合于监控和控制网络连接的无线电探测连接器，其中所述网络服务器的无线电探测连接器在网络上连接到所述智能数据载体的无线电探测连接器。

38.如权利要求37所述的系统，其中所述无线电探测连接器还适合于检测丢失的连接和初始化对网络服务器的联系从而重新建立连接。

39.如权利要求1所述的系统，还包括注入器，适合于把现有的网络连接到所述网络服务器，并在所述现有的网络与所述智能数据载体之间通过所述网络服务器传输数据，其中所述现有的网络是有线的或者无线的。

40.如权利要求39所述的系统，其中所述注入器还包括无线电探测连接器，通过接口连接网络并且适合于监控和控制网络连接。

41.一种客户机-服务器通信系统，包括：

至少一个服务器，包括用于多种网络应用程序的数据报的动态分配和交换的动态数据报转换器；以及

至少一个客户机，其中所述客户机是智能数据载体，包括至少(i)一个存储器，适合于存储数据，(ii)一个输入-输出装置，适合于输入和输出数据，以及(iii)一个处理器，适合于处理存储在所述存储器中的数据，其中所述智能数据载体能够连接到主机设备，从而通过所述输入-输出装置在所述网络上传输数据，并且其中所述智能数据载体适合于通过用于所述服务器和所述客户机之间的安全数据传输的认证和加密方案来建立网络用户身份。

42.如权利要求41所述的客户机-服务器通信系统，其中所述智能数据载体是移动式的。

43.如权利要求42所述的客户机-服务器通信系统，其中所述智能数据载体是用USB key、袖珍闪存、智能媒体、CD、DVD、PDA、火线设备、以及令牌设备中的一个实现的。

44.如权利要求41所述的客户机-服务器通信系统，其中所述动态数据报转换器包括数据报方案和分析器，其中所述数据报方案包括两个或者多个的数据报，属于一个或者多个数据报类型，其中所述数据报适合于承载(i)用于网络传输的内容数据以及(ii)用于管理和控制网络连接和支持网络应用程序的其它信息，其中每个数据报类型都包括多种功能，并且其中所述分析器适合于分析一个或者多个数据报类型。

45.如权利要求44所述的客户机-服务器通信系统，其中所述数据报方案包括至少一个主要数据报类型，和在所述一个主要数据报类型中的至少一个次要数据报类型。

46.如权利要求45所述的客户机-服务器通信系统，其中所述分析器适合于分析数据报类型矩阵，所述矩阵包括第一组多种主要数据报类型，以及在所述第一组多个主要数据报类型中的每个主要数据报类型中的第二组多个次要数据报类型。

47.如权利要求46所述的客户机-服务器通信系统，其中所述数据报方案中的每个数据报都具有一般格式，包括：

(A)报头字段包括(i)一个或者多个主要数据报类型、(ii)一个或者多个次要数据报类型、(iii)数据报长度、以及(iv)数据报校验和，以及

(B)用于在传输中承载数据的数据报有效负载。

48.如权利要求41所述的客户机-服务器通信系统，其中所述认证和加密方案包括下列顺序的步骤：

(a)使请求从所述智能数据载体发送到认证所述客户机的服务器；

(b)所述网络服务器给所述智能数据载体提供多个认证方法；

(c)所述智能数据载体通过事件从所述多个认证方法中选择出一个；

(d)所述服务器基于所述选择的方法，向所述智能数据载体发送要求，要求来自所述智能数据载体的认证数据；

(e)所述服务器将从所述智能数据载体接收到的所述认证数据转换成一个或者多个数据认证对象，其中每个所述数据认证对象都是能够通过使用一个或者多个分类器来被分析的数据向量对象；

(f)所述服务器根据所述一个或者多个分类器，分析所述数据认证对象，从而确定认证结果；以及

(g)所述服务器将所述结果发送给所述智能数据载体，指示认证尝试成功或者失败。

49.如权利要求48所述的客户机-服务器通信系统，其中所述其中步骤(c)中的所述事件包括点击鼠标、触摸屏幕、敲击键盘、发出声音、或者生理数码化度量中的至少一个。

50.如权利要求49所述的客户机-服务器通信系统，其中步骤(d)中的所述要求包括伪随机码和真随机码中的至少一种，其中伪随机码是基于数学上预先计算出来的列表生成的，并且其中真随机码是通过在所述系统外面对熵的源进行采样和处理生成的。

51.如权利要求50所述的客户机-服务器通信系统，其中所述随机化是用一个或者多个随机发生器和一个或者多个独立的种子来执行的。

52.如权利要求48所述的客户机-服务器通信系统，其中步骤(f)中的所述分析是基于一个或者多个分析准则执行的。

53.如权利要求49所述的客户机-服务器通信系统，其中所述一个或者多个分析准则包括根据步骤(e)的一个或者多个分类器的分类。

54.如权利要求53所述的客户机-服务器通信系统，其中所述分类包括讲话者校验，其中所述数据对象向量涉及两类，目标讲话者和冒名顶替者，其中每类的特征在于概率密度函数，并且其中步骤(f)中的所述确定是二元判定问题。

55.如权利要求48所述的客户机-服务器通信系统，其中步骤(f)中的所述确定包括基于步骤(e)的一个或者多个分类器，从所述一个或者多个数据向量对象计算出总量、上级、以及概率中的至少一项。

56.如权利要求56所述的客户机-服务器通信系统，其中所述总量是从所述一个或者多个数据向量对象计算出来的上级和随机总量之一。

57.如权利要求48所述的客户机-服务器通信系统，其中步骤(e)中的所述一个或者多个分类器包括从所述多于一个数据向量对象得到的超级分类器。

58.如权利要求57所述的客户机-服务器通信系统，其中所述超级分类器是基于人体生理数码化的，包括语音识别、指纹、掌印、血管模式、DNA测试、视网膜或者虹膜扫描、以及面部识别中的至少一个。

59.如权利要求57所述的客户机-服务器通信系统，其中所述超级分类器是基于行为生理数码化，包括习惯或者个体行为模式。

60.如权利要求41所述的客户机-服务器通信系统，其中所述认证和加密方案包括对称的和非对称的多密码加密。

61.如权利要求41所述的客户机-服务器通信系统，其中所述加密使用输出反馈、密码反馈、密码块链接、以及密码转发中的至少一种。

62.如权利要求61所述的客户机-服务器通信系统，其中所述加密是基于高级加密标准(AES)Rijndael。

63.如权利要求41所述的客户机-服务器通信系统，其中所述认证和加密方案执行安全密钥交换(SKE)。

64.如权利要求63所述的客户机-服务器通信系统，其中SKE使用公开密钥系统。

65.如权利要求63所述的客户机-服务器通信系统，其中所述其中SKE使用椭圆曲线加密系统(ECC)私人密钥。

66.如权利要求65所述的客户机-服务器通信系统，其中所述认证和加密方案包括，适合于验证所述智能数据载体已经向所述服务器登记的逻辑测试、适合于验证所述智能数据载体和所述主机设备上的所述人体参数的设备测试、以及适合于基于事件级数据对所述用户进行认证的个人测试中的至少一个。

67.如权利要求41所述的客户机-服务器通信系统，还包括注入器，适合于把现有的网络连接到所述服务器，并在所述现有的网络与所述客户机之间通过所述服务器传输数据，其中所述现有的网络是有线的或者无线的。

68.如权利要求67所述的客户机-服务器通信系统，其中所述服务器、客户机、以及注入器每个都包括无线电探测连接器，其中所述无线电探测连接器通过接口连接所述网络并且适合于监控和控制网络连接，其中所述客户机的无线电探测连接器在所述网络上连接到所述服务器的无线电探测连接器，并且其中所述注入器的无线电探测连接器在网络上连接到所述服务器的无线电探测连接器。

69.如权利要求68所述的客户机-服务器通信系统，其中所述客户机的无线电探测连接器还适合于检测丢失的连接和初始化对所述服务器的联系从而重新建立连接。

70.如权利要求41所述的客户机-服务器通信系统，其中所述服务器还包括用于所述客户机的专用数据存储的加密的虚拟文件系统。

71.一种智能数据载体，包括至少(i)一个存储器，适合于存储数据，(ii)一个输入-输出装置，适合于输入和输出数据，以及(iii)一个处理器，适合于处理存储在所述存储器中的所述数据，其中所述智能数据载体能够连接到网络上的主机设备从而通过所述输入-输出装置在所述网络上传输数据，其中所述数据传输是通过动态转换的数据报，其中所述智能数据载体适合于通过用于安全网络数据传输的认证和加密方案建立网络用户身份。

72.如权利要求71所述的智能数据载体，其中所述认证和加密方案包括下列顺序的步骤：

(a)使请求从所述智能数据载体发送到认证所述智能数据载体的网络上的服务器；

(b)所述服务器给所述智能数据载体提供多个认证方法；

(c)所述智能数据载体通过事件从所述多个认证方法中选择出一个；

(d)所述服务器基于所述选择的方法，向所述智能数据载体发送要求，要求来自所述智能数据载体的认证数据；

(e)所述服务器将从所述智能数据载体接收到的所述认证数据转换成一个或者多个数据认证对象，其中每个所述数据认证对象都是能够通过使用一个或者多个分类器来被分析的数据向量对象；

(f)所述服务器根据所述一个或者多个分类器，分析所述数据认证对象，从而确定认证结果；以及

(g)所述服务器将所述结果发送给所述智能数据载体，指示认证尝试成功或者失败。

73.如权利要求72所述的智能数据载体，其中步骤(c)中的所述事件包括点击鼠标、触摸屏幕、敲击键盘、发出声音、或者生理数码化度量中的至少一个。

74.如权利要求72所述的智能数据载体，其中步骤(d)中的所述要求包括伪随机码和真随机码中的至少一种，其中伪随机码是基于数学上预先计算出来的列表生成的，并且其中真随机码是通过在所述系统外面对熵的源进行采样和处理生成的。

75.如权利要求74所述的智能数据载体，其中所述随机化是用一个或者多个随机发生器和一个或者多个独立的种子来执行的。

76.如权利要求72所述的智能数据载体，其中步骤(f)中的所述分析是基于一个或者多个分析准则执行的。

77.如权利要求76所述的智能数据载体，其中所述一个或者多个分析准则包括根据步骤(e)的一个或者多个分类器的分类。

78.如权利要求77所述的智能数据载体，其中所述分类包括讲话者校验，其中所述数据对象向量涉及两类，目标讲话者和冒名顶替者，其中每类的特征在于概率密度函数，并且其中步骤(f)中的所述确定是二元判定问题。

79.如权利要求72所述的智能数据载体，其中步骤(f)中的所述确定包括基于步骤(e)的一个或者多个分类器，从所述一个或者多个数据向量对象中计算出总量、上级、以及概率中的至少一项。

80.如权利要求79所述的智能数据载体，其中所述总量是从所述一个或者多个数据向量对象中计算出来的上级和随机总量之一。

81.如权利要求72所述的智能数据载体，其中步骤(e)中的所述一个或者多个分类器包括从所述多于一个数据向量对象得到的超级分类器。

82.如权利要求81所述的智能数据载体，其中所述超级分类器是基于人体生理数码化的，包括语音识别、指纹、掌印、血管模式、DNA测试、视网膜或者虹膜扫描、以及面部识别中的至少一个。

83.如权利要求81所述的智能数据载体，其中所述超级分类器是基于行为生理数码化，包括习惯或者个体行为模式。

84.如权利要求71所述的智能数据载体，其中所述认证和加密方案包括对称的和非对称的多密码加密。

85.如权利要求84所述的智能数据载体，其中所述加密使用输出反馈、密码反馈、密码块链接、以及密码转发中的至少一种。

86.如权利要求85所述的智能数据载体，其中所述加密是基于高级加密标准(AES)Rijndael。

87.如权利要求71所述的智能数据载体，其中所述认证和加密方案执行安全密钥交换(SKE)。

88.如权利要求87所述的智能数据载体，其中SKE使用公开密钥系统。

89.如权利要求87所述的智能数据载体，其中SKE使用椭圆曲线加密系统(ECC)私人密钥。

90.如权利要求71所述的智能数据载体，其中所述认证和加密方案包括，适合于验证所述智能数据载体已经向所述服务器登记的逻辑测试、适合于验证所述智能数据载体和所述主机设备上的人体参数的设备测试、以及适合于基于事件级数据对所述用户进行认证的个人测试中的至少一个。

91.如权利要求71所述的智能数据载体，其中所述智能数据载体是移动式的。

92.如权利要求91所述的智能数据载体，其中所述智能数据载体是用USB key、袖珍闪存、智能媒体、CD、DVD、PDA、火线设备、以及令牌设备中的一个实现的。

93.如权利要求71所述的智能数据载体，其中所述动态转换的数据报属于一个或者多个数据报类型并且适合于传送(i)用于网络传输的内容数据以及(ii)用于管理和控制网络连接和支持网络应用程序的其它信息，其中每个数据报类型都包括多种功能。

94.如权利要求93所述的智能数据载体，其中所述数据报类型包括至少一个主要数据报类型，和在所述主要数据报类型中的至少一个次要数据报类型。

95.如权利要求94所述的智能数据载体，其中所述数据报遵守一般格式，所述一般格式包括：

(A)报头字段包括(i)一个或者多个主要数据报类型、(ii)一个或者多个次要数据报类型、(iii)数据报长度、以及(iv)数据报校验和，以及

(B)用于在传输中承载数据的数据报有效负载。

96.一种用于安全网络通信的方法，包括：

配给网络用户智能数据载体，其中所述智能数据载体至少包括(i)一个存储器，适合于存储数据，(ii)一个输入-输出装置，适合于输入和输出数据，以及(iii)一个处理器，适合于处理存储在所述存储器中的所述数据，其中所述智能数据载体能够连接到网络上的主机设备从而通过所述输入-输出装置在所述网络上传输数据，其中所述智能数据载体适合于通过认证和加密方案为网络用户建立网络身份；以及

在网络上的服务器中提供用于支持多种应用程序的数据报的动态分配和交换的动态数据报转换器。

97.如权利要求96所述的方法，其中所述智能数据载体是移动式的。

98.如权利要求97所述的方法，其中所述智能数据载体是用USBkey、袖珍闪存、智能媒体、CD、DVD、PDA、火线设备、以及令牌设备中的一个实现的。

99.如权利要求96所述的方法，其中所述动态数据报转换器包括数据报方案和分析器，其中所述数据报方案包括两个或者多个的数据报，属于一个或者多个数据报类型，其中所述数据报适合于承载(i)用于网络传输的内容数据以及(ii)用于管理和控制网络连接和支持网络应用程序的其它信息，其中所述数据报类型包括多种功能，并且其中所述分析器适合于分析一个或者多个数据报类型。

100.如权利要求99所述的方法，其中所述数据报方案包括至少一个主要数据报类型，和在所述主要数据报类型中的至少一个次要数据报类型。

101.如权利要求100所述的方法，其中所述分析器适合于分析数据报类型矩阵，所述矩阵包括第一组多个主要数据报类型，以及在所述第一组多个主要数据报类型中的每个主要数据报类型中的第二组多个次要数据报类型。

102.如权利要求99所述的方法，其中所述数据报方案中的每个数据报都具有一般格式，包括：

(A)报头字段包括(i)一个或者多个主要数据报类型、(ii)一个或者多个次要数据报类型、(iii)数据报长度、以及(iv)数据报校验和，以及

(B)用于在传输中承载数据的数据报有效负载。

103.如权利要求96所述的方法，其中所述认证和加密方案包括下列顺序的步骤：

(a)使请求从所述智能数据载体发送到认证所述智能数据载体的服务器；

(b)所述服务器给所述智能数据载体提供多个认证方法；

(c)所述智能数据载体通过事件从所述多个认证方法中选择出一个；

(d)所述服务器基于所述选择的方法，向所述智能数据载体发送要求，要求来自所述智能数据载体的认证数据；

(e)所述服务器将从所述智能数据载体接收到的所述认证数据转换成一个或者多个数据认证对象，其中每个所述数据认证对象都是能够通过使用一个或者多个分类器而被分析的数据向量对象；

(f)所述服务器根据所述一个或者多个分类器，分析所述数据认证对象，从而确定认证结果；以及

(g)所述服务器将所述结果发送给所述智能数据载体，指示认证尝试成功或者失败。

104.如权利要求103所述的方法，其中步骤(c)中的所述事件包括点击鼠标、触摸屏幕、敲击键盘、发出声音、或者生理数码化度量中的至少一个。

105.如权利要求103所述的方法，其中步骤(d)中的所述要求包括伪随机码和真随机码中的至少一种，其中伪随机码是基于数学上预先计算出来的列表生成的，并且其中真随机码是通过在所述系统外面对熵的源进行采样和处理生成的。

106.如权利要求104所述的方法，其中所述随机化是用一个或者多个随机发生器和一个或者多个独立的种子来执行的。

107.如权利要求103所述的方法，其中步骤(f)中的所述分析是基于一个或者多个分析准则执行的。

108.如权利要求107所述的方法，其中所述一个或者多个分析准则包括根据步骤(e)的所述一个或者多个分类器的分类。

109.如权利要求108所述的方法，其中所述分类包括讲话者校验，其中所述数据对象向量涉及两类，目标讲话者和冒名顶替者，其中每类的特征在于概率密度函数，并且其中步骤(f)中的所述确定是二元判定问题。

110.如权利要求103所述的方法，其中步骤(f)中的所述确定包括基于步骤(e)的所述一个或者多个分类器，从所述一个或者多个数据向量对象计算出总量、上级、以及概率中的至少一项。

111.如权利要求110所述的方法，其中所述总量是从所述一个或者多个数据向量对象计算出来的上级和随机总量之一。

112.如权利要求103所述的方法，其中步骤(e)中的所述一个或者多个分类器包括从所述多于一个数据向量对象得到的超级分类器。

113.如权利要求112所述的方法，其中所述超级分类器是基于人体生理数码化的，包括语音识别、指纹、掌印、血管模式、DNA测试、视网膜或者虹膜扫描、以及面部识别中的至少一个。

114.如权利要求112所述的方法，其中所述超级分类器是基于行为生理数码化，包括习惯或者个体行为模式。

115.如权利要求96所述的方法，其中所述认证和加密方案包括对称的和非对称的多密码加密。

116.如权利要求115所述的方法，其中所述加密使用输出反馈、密码反馈、密码转发、以及密码块链接中的至少一种。

117.如权利要求116所述的方法，其中所述加密是基于高级加密标准(AES)Rijndael。

118.如权利要求96所述的方法，其中所述认证和加密方案执行安全密钥交换(SKE)。

119.如权利要求118所述的方法，其中SKE使用公开密钥系统。

120.如权利要求118所述的方法，其中SKE使用椭圆曲线加密系统(ECC)私人密钥。

121.如权利要求96所述的方法，其中所述认证和加密方案包括，适合于验证所述智能数据载体已经向所述服务器登记的逻辑测试、适合于验证所述智能数据载体和所述主机设备上的人体参数的设备测试、以及适合于基于事件级数据对所述用户进行认证的个人测试中的至少一个。

122.如权利要求96所述的方法，还包括提供所述智能数据载体中的第一无线电探测连接器和所述服务器中的第二无线电探测连接器，其中所述第一无线电探测连接器适合于在所述网络上连接到所述第二无线电探测连接器，其中所述第一和所述第二无线电探测连接器适合于监控和控制网络连接。

123.如权利要求122所述的方法，其中所述第一无线电探测连接器还适合于检测丢失的连接和初始化对所述第二无线电探测连接器的联系从而重新建立连接。

124.如权利要求96所述的方法，还包括在所述服务器中提供用于所述客户机的专用数据存储的加密的虚拟文件系统。

125.如权利要求96所述的方法，其中所述动态数据报转换器实时地执行数据报分配和交换。

126.如权利要求96所述的方法，其中所述动态数据报转换器基于两个或者多个数据报的存储器指针执行数据报分配和交换。

127.一种用于向用户目标传递一个或者多个应用程序的方法，包括：

配给网络用户适合于对接到主机设备上的智能数据载体，该主机设备连接到网络服务器所在的网络上，并在所述网络上与网络服务器进行通信，其中所述网络服务器与所述智能数据载体通过动态转换的数据报进行通信，其中所述智能数据载体至少包括(i)一个存储器，适合于存储数据，(ii)一个输入-输出装置，适合于输入和输出数据，以及(iii)一个处理器，适合于处理存储在所述存储器中的所述数据；

所述服务器通过认证和加密方案对用户进行认证；以及

成功认证之后，准许用户访问一个或者多个应用程序。

128.如权利要求127所述的方法，其中所述一个或者多个应用程序被预先下载到所述智能数据载体上或者安装在所述网络服务器或所述主机设备上。

129.如权利要求128所述的方法，其中所述主机设备通过有线的或者无线的方法连接到所述网络。

130.如权利要求128所述的方法，其中所述主机设备包括台式电脑或者便携式电脑、个人数据助理(PDA)、移动电话、数字TV、音频或者视频播放器、电脑游戏控制台、数字照相机、摄像机、以及能够联网的家庭设备中的至少一个。

131.如权利要求130所述的方法，其中所述能够联网的家庭设备是能够联网的冰箱、微波炉、洗衣机、烘干机、以及洗碗机中的一个。

132.如权利要求127所述的方法，其中所述一个或者多个应用程序包括基于视窗的远程终端服务器应用程序、大型机的3270/5250终端仿真器上的应用程序、直接嵌入的应用程序、以及多媒体应用程序中的至少一种，其中所述直接嵌入的应用程序包括数据库应用程序、数据分析工具、客户关系管理(CRM)工具、以及企业资源计划(ERP)包中的至少一种。

133.如权利要求127所述的方法，其中所述智能数据载体是移动式的。

134.如权利要求127所述的方法，其中所述智能数据载体是用USB key、袖珍闪存、智能媒体、CD、DVD、PDA、火线设备、以及令牌设备中的一个实现的。

135.如权利要求127所述的方法，其中所述动态转换的数据报属于一个或者多个数据报类型并且适合于传送(i)用于网络传输的内容数据以及(ii)用于管理和控制网络连接和支持网络应用程序的其它信息，其中所述数据报类型包括多种功能。

136.如权利要求135所述的方法，其中所述数据报类型包括至少一个主要数据报类型，和在所述主要数据报类型中的至少一个次要数据报类型。

137.如权利要求136所述的方法，其中所述数据报遵守一般格式，所述一般格式包括：

(A)报头字段包括(i)一个或者多个主要数据报类型、(ii)一个或者多个次要数据报类型、(iii)数据报长度、以及(iv)数据报校验和，以及(B)用于在传输中承载数据的数据报有效负载。

138.如权利要求127所述的方法，其中所述认证和加密方案包括下列顺序的步骤：

(a)使请求从所述智能数据载体发送到认证所述智能数据载体的服务器；

(b)所述服务器给所述智能数据载体提供多个认证方法；

(c)所述智能数据载体通过事件从所述多个认证方法中选择出一个；

(d)所述服务器基于所述选择的方法，向所述智能数据载体发送要求，要求来自所述智能数据载体的认证数据；

(e)所述服务器将从所述智能数据载体接收到的所述认证数据转换成一个或者多个数据认证对象，其中每个所述数据认证对象都是能够通过使用一个或者多个分类器来被分析的数据向量对象，；

(f)所述服务器根据所述一个或者多个分类器，分析所述数据认证对象，从而确定认证结果；以及

(g)所述服务器将所述结果发送给所述智能数据载体，指示认证尝试成功或者失败。

139.如权利要求138所述的方法，其中步骤(c)中的所述事件包括点击鼠标、触摸屏幕、敲击键盘、发出声音、或者生理数码化度量中的至少一个。

140.如权利要求138所述的方法，其中步骤(d)中的所述命令包括伪随机码和真随机码中的至少一种，其中伪随机码是基于数学上预先计算出来的列表生成的，并且其中真随机码是通过在所述系统外面对熵的源进行采样和处理生成的。

141.如权利要求140所述的方法，其中所述随机化是用一个或者多个随机发生器和一个或者多个独立的种子来执行的。

142.如权利要求138所述的方法，其中步骤(f)中的所述分析是基于一个或者多个分析准则执行的。

143.如权利要求142所述的方法，其中所述一个或者多个分析准则包括根据步骤(e)的所述一个或者多个分类器的分类。

144.如权利要求143所述的方法，其中所述分类包括讲话者校验，其中所述数据对象向量涉及两类，目标讲话者和冒名顶替者，其中每类的特征在于概率密度函数，并且其中步骤(f)中的所述确定是二元判定问题。

145.如权利要求138所述的方法，其中步骤(f)中的所述确定包括基于步骤(e)的所述一个或者多个分类器，从所述一个或者多个数据向量对象计算出总量、上级、以及概率中的至少一项。

146.如权利要求145所述的方法，其中所述总量是从所述一个或者多个数据向量对象计算出来的上级和随机总量之一。

147.如权利要求138所述的方法，其中步骤(e)中的所述一个或者多个分类器包括从所述多于一个数据向量对象得到的超级分类器。

148.如权利要求147所述的方法，其中所述超级分类器是基于人体生理数码化的，包括语音识别、指纹、掌印、血管模式、DNA测试、视网膜或者虹膜扫描、以及面部识别中的至少一个。

149.如权利要求147所述的方法，其中所述超级分类器是基于行为生理数码化，包括习惯或者个体行为模式。

150.如权利要求127所述的方法，其中所述认证和加密方案包括对称的和非对称的多密码加密。

151.如权利要求150所述的方法，其中所述加密使用了输出反馈、密码反馈、密码转发、以及密码块链接中的至少一种。

152.如权利要求151所述的方法，其中所述加密是基于高级加密标准(AES)Rijndael。

153.如权利要求127所述的方法，其中所述认证和加密方案执行安全密钥交换(SKE)。

154.如权利要求153所述的方法，其中SKE使用公开密钥系统。

155.如权利要求153所述的方法，其中SKE使用椭圆曲线加密系统(ECC)私人密钥。

156.如权利要求127所述的方法，其中所述认证和加密方案包括，适合于验证所述智能数据载体已经向所述服务器登记的逻辑测试、适合于验证所述智能数据载体和所述主机设备上的人体参数的设备测试、以及适合于基于事件级数据对所述用户进行认证的个人测试中的至少一个。

157.如权利要求127所述的方法，其中还包括提供所述智能数据载体中的第一无线电探测连接器和所述服务器中的第二无线电探测连接器，其中所述第一无线电探测连接器适合于在所述网络上连接到所述第二无线电探测连接器，其中所述第一和所述第二无线电探测连接器适合于监控和控制网络连接。

158.如权利要求157所述的方法，其中所述第一无线电探测连接器还适合于检测丢失的连接和初始化对所述第二无线电探测连接器的联系从而重新建立连接。

159.如权利要求127所述的方法，其中还包括提供用于所述智能数据载体的专用数据存储的所述服务器中的加密的虚拟文件系统。

160.如权利要求127所述的方法，其中所述数据报基于它们的存储器指针被动态地转换。

Images