专利名称:基于网络层声明的访问控制的利记博彩app
技术领域:
本发明涉及访问控制,尤其涉及基于网络层声明的访问控制。
背景技术:
常规地,关于是否准许计算机访问网络的访问控制决策通常至少部分地基于该计算机是否到达特定系统健康要求。在这方面,未能保持与网络连接的计算机最新(如,配备有最新的操作系统更新、反病毒签名等)是可危及网络完整性的最常见的方式之一。例如, 未能保持最新的计算机可能容易受到恶意软件的攻击,当计算机连接至网络时,所述恶意软件可将网络资源暴露于攻击和/或病毒。由此,网络管理员通常指定计算机必须满足以连接至网络的最低健康要求。实施这些要求会是困难的,尤其是当给定不同类型的请求访问的计算机的数目,诸如不受管理员的直接控制的家庭计算机、旅行膝上型计算机等。帮助管理员确保访问网络的计算机满足系统健康要求的一个产品是华盛顿州雷蒙德市的微软公司提供的网络访问保护(NAP)产品。通过NAP,管理员可定义计算机要连接必须满足的最低健康要求,诸如计算机是否已经安装最近的操作系统更新、配备有最新的反病毒签名、已经安装并启用了防火墙软件等。在采用了 NAP的系统中,当计算机试图连接至网络时,对其健康状态进行评估。符合健康要求的计算机被授予对网络的访问,诸如经由发出指示符合那些要求的证书或使用其他技术。不符合的计算机被拒绝访问,并可进行自动补救。例如,可使用缺失的软件更新或配置变化对不符合的计算机进行自动地更新。图1是描绘在采用了 NAP的系统中计算机藉由其试图访问网络的示例过程的框图。在该过程中,在动作105中,计算机101向健康注册机构(HRA) 103提供与其健康有关的信息,该健康注册机构103随后在动作110中将该信息传递给健康策略服务器104。健康策略服务器104对由计算机101提供的信息进行评估以确定其是否符合系统健康策略。 在动作115中,该评估的结果随后被发送给HRA 103。如果计算机101是符合的,则在动作 115中HRA 103从健康证书发出机构106获得用于计算机101的健康证书。在动作125中将该证书提供给HRA 103, HRA 103随后在动作130中将其发送给计算机101。通过使用该证书,计算机101可发起与资源102的受保护通信,并对由使用对应的健康证书对其自身进行认证的其他符合的计算机(图1中未示出)发起的通信进行响应。如果计算机101不符合系统健康策略,则健康策略服务器104通知HRA 103该访问将被拒绝,由此HRA 103不会从健康证书发出机构106获得用于计算机101的证书。因此,计算机101无法发起与资源102的通信。与由健康策略服务器104向HRA 103提供的信息一起也被包括的是将由计算机101执行的补救指令,诸如与补救服务器(图1中未示出)进行通信以获得使得计算机101符合系统健康策略所需的组件。网际协议(IP)安全(IPkc)是在开放式系统互联(OSI)栈的网络层使用的用于保证根据IP协议在网络上发生的通信安全的协议套件。采用NAP和IPsec以保证网络通信安全的系统允许符合健康要求的计算机与网络上的其他计算机进行连接。在符合的计算机已经成功地连接并获得有效的IP地址配置之后,使用msec的NAP策略的实施将通信限于该符合的计算机。此外,采用IPsec的系统基于请求访问的设备和/或其用户的身份来控制对网络资源的访问(如,主机、服务器等)。
发明内容
申请人:认识到用于控制对网络层的网络资源的访问的现有方法不够灵活。例如, 如果系统采用网络层安全协议(如IPsec)来实施NAP策略,则请求访问该网络的计算机首先向健康注册机构(HRA)报告其健康,该健康注册机构向决定计算机是否符合系统健康策略的健康策略服务器传递信息。如果符合,则发出计算机根据网络层安全协议尝试至网络资源的连接的证书。如果不符合,则访问被拒绝,并且自动的补救可以发生。如果系统采用网络层安全协议但不实施NAP策略,则访问决策可基于设备和/或其用户的身份。在任一情形中,关于是否准予计算机访问的决策在本质上是二元的(即,是/否),并且主要基于请求设备和/或其用户的身份和/或健康,而不是可实现访问控制的更为灵活的方法的其他 fn息ο为此,本发明的某些实施例通过使用声明中提供的信息就网络层的访问控制决策实现附加的灵活性。声明可提供信息作为在网络层制定访问决策时常规地采用(如,设备身份和/或健康以及用户身份)的补充或替代。例如,声明可提供关于请求访问的计算机的多种属性中的任一个代表作出请求的用户、请求对其的访问的一个或多个资源(如IP 地址、端口等)、所请求的访问的周围的环境(如,请求计算机的位置)和/或其他信息的信息。可基于一个或多个访问控制策略对声明中提供的信息进行评估,所述访问控制策略可被预先设置或动态地生成,并且可用于作出是准予还是拒绝计算机访问的决策。由此,更详细的信息可用于在网络层作出访问控制决策,从而在创建访问控制策略和作出访问控制决策中实现更大的灵活性。仅作为一个示例,由特定的角色的用户采用的不满足系统健康要求的计算机可被准予对网络的受限访问(如,仅能访问由策略指定的某些资源)。由于本发明的各实施例在此方面不受限制,因此管控对任何资源的访问控制的策略可被灵活地制定以计及任何性质或类型的信息。以上是对由所附权利要求书所定义的本发明的非限定性的概述。
附图不旨在按比例绘制。在附图中,各个附图中示出的每个相同或近乎完全相同的组件由同样的附图标记来表示。出于简明的目的,不是每个组件在每张附图中均被标记。 在附图中图1是描绘根据现有技术的客户机藉由其请求访问网络资源的示例过程的框图。图2是描绘根据本发明的各实施例的客户机藉由其请求访问网络资源的采用了声明的示例过程的框图。图3是描绘根据本发明的各实施例的、藉由其来基于声明中包括的信息对客户对访问网络资源的请求进行评估的示例过程的活动示图。图4是描绘其上可实现本发明的某些实施例的示例计算机系统的框图;以及图5是描绘其上可存储体现本发明的各方面的指令的示例存储器的框图。
具体实施例方式本发明的某些实施例在关于网络层的访问控制决策制定方面比起常规技术所允许的具有更大的灵活性。在某些实施例中,通过在网络层使用声明或在认证和安全领域中公知的“断言”来获得该附加的灵活性。在一个示例中,由计算机根据网络层安全协议(如, IPsec、安全套接字层(SSL)等)发出的对访问网络资源的请求可导致由计算机发出的对来自一个或多个声明提供方的声明的请求。这些“请求方声明”可描述计算机的众多属性中的任一个其用户、访问请求周围的环境和/或其他信息。例如,声明可标识计算机的用户的角色、组织从属关系、计算机是否配备有操作安全软件、它是家庭还是工作计算机、发出请求的地理位置、计算机和所请求的资源之间的连接强度(如,除签名、加密强度以外是否使用了加密)和/或其他信息。一旦获得,请求方声明就可由计算机传递给向其请求访问的资源。资源可向相同和/或不同的声明提供方请求自身的“资源声明”,该资源声明描述资源的众多属性中的任一个,诸如其商业敏感性、部署的阶段、组织所有权和/或其他信息。一旦已经获得资源声明,它们可与请求方声明一起被传递给策略决策点,策略决策点可对声明中反映的信息进行评估以确定它们是否符合一个或多个访问策略。如果评估的结果是请求符合访问控制策略,则可授予该访问,而如果不是,则可拒绝对资源的访问。因此,可采用声明以实现比常规的方法所允许的在网络层的更灵活的决策制定。图2更详细地描绘了该过程的示例。在图2所示的示例过程中,计算机201对访问资源202(如,主机、服务、某个其他组件或过程、或其组合)的请求(如,由在其上执行的应用程序、某个其他组件或过程、或其组合来发起)导致在动作210中计算机201向一个或多个声明提供方203发出对请求方声明的请求。在某些实施例中,在计算机201和资源202 两者上实现的传输协议规定计算机201与声明提供方203联系以得到请求方声明。在所描绘的示例中示出了三个声明提供方——标记为声明提供方203A、2(X3B和 203C。然而,应当理解,由于本发明不限于此方面,因此可采用任何适合的数目的声明提供方。例如,在某些实施例中,各自具有不同的系统和/或组织从属关系的多个声明提供方可各自提供不同类型的声明。例如,与对用户进行认证的系统有关的一个声明提供方可提供描述用户的属性的声明。与对请求访问的计算机进行验证的系统有关的另一个声明提供方可提供与系统健康有关的声明。与跟踪请求访问的计算机的物理位置的系统有关的另一个声明提供方可提供与地理位置有关的声明。由于本发明的各实施例不限于任何特定的实现,因此在图2所示的示例系统中可采用任何适合的数目的声明提供方和/或声明类型。此外,如图2所示,每个声明提供方203可从静态声明储存库204A、动态声明源 204B(如,动态地生成声明的一个或多个自动化过程、计算机201上的一个或多个储存库、 资源202、和/或另一个组件、或某些其他动态声明源)、从静态和动态源两者、或某些其他源检索将被提供给计算机201的声明。本发明的各实施例不限于采用任何特定的源以获得声明或其包括的信息。在动作215中,声明提供方203向计算机201提供一个或多个请求方声明。如上简述,声明可描述计算机201的一个或多个属性、其用户、在其中尝试访问的环境和上下文、 和/或其他信息。例如,声明可包括与用户的身份、他/她在组织中的角色(如,全职员工、 合同工、厂商、经理等)、组织从属关系(如,销售部门、财务等)、和/或任何其他信息有关的信息。本发明的各实施例不限于声明中可包括的信息的类型。
如果一个或多个请求方声明包括与计算机201有关的信息,则该信息可包括与计算机的健康有关的任何信息(如,计算机是否配备有安全和/或反病毒软件、软件是否被激活、计算机是否采用可操作的防火墙、反病毒签名是否是最新的等)、设备与请求对其进行访问的资源之间的连接的密码强度(如,经签名和/或加密的通信是否用于通信、加密的类型等)、计算机的标识符、其角色(如,台式计算机、数据库服务器、web服务器等)、其组织从属关系(如,由销售部门、财务部门等操作)及其所有者(如,公司、员工、厂商、公共计算机等)中的任一个。作为上述列出各项中的任一项或全部的替代或补充,还可提供其他信肩、ο如果一个或多个请求方声明包括与计算环境和/或访问请求有关的信息,则该信息可包括在其中尝试访问的上下文(如,在电信通信时从家里、从工作、从分公司等)、和/ 或用户的物理地理位置(如,从其中尝试访问的国家)中的任一个或多个。作为上述的替代或补充,还可提供其他信息。应当理解,由于本发明不限于任何特定的实现,因此可在任何数目的请求方声明中提供任何适合的信息。在动作220中,计算机201向资源202提供请求方声明,而资源202随后向声明提供方203A-203C请求资源声明。当然,应当理解,在这方面图2所示的过程仅是示例性的, 并且可被适时地修改。例如,响应于从计算机201接收请求方声明,资源202无需请求资源声明,因为资源202先前可能已经获得资源声明或其某个子集,并且可将其和/或其中包括的信息以一种便于快速检索的方式进行存储(如,本地)。本发明的各实施例不限于任何特定的实现。资源202也无需从与计算机201自其处获得声明的那些声明提供方相同的声明提供方处获得声明。根据本发明的各实施例实现的系统可包括任何适合的数目的声明提供方,其中每个可将声明提供给任何一个或多个组件或实体。本发明不限于任何特定的实现。在示例过程200所示的动作230中,向资源202提供资源声明。当然,本发明的各实施例不限于按照图2所描绘的方式来执行。例如,在某些实施例中,可向计算机201提供资源声明,计算机201可将它们提交给资源202。本发明的各实施例不限于向资源202提供资源声明的任何特定的方式。在本发明的某些实施例中,一旦接收资源声明,资源202就可执行处理以确定资源声明是否(或保持)有效。该确定可基于众多标准中的任一种。如果资源202基于该处理确定所述声明是无效的,则资源202可单方面地拒绝计算机201访问。在动作230中提供给资源202的资源声明可例如描述资源202的各种属性,诸如资源的身份、其角色(如,台式计算机、数据库服务器、web服务器等)、其组织从属关系 (如,由销售部门、财务部门等操作)、其所有者(如,公司、员工、厂商、公共计算机)、其部署的阶段(如,设置、配置、生产等)、其敏感性(如,高、中等或低商业影响)和/或其他信息。由于本发明不限于以任何特定的方式来实现,因此资源声明可包括作为以上列出的各项信息的替代或补充的其他信息。在图2所描绘的示例过程中,在动作235中,资源202向策略决策点205提供请求方和资源声明。然而,应当理解,并非本发明的全部实施例均受如此限制,因为任何一个或多个组件可替换地向策略决策点205提供请求方和资源声明。例如,计算机201在从资源 202接收声明之后可向策略决策点205提供请求方和资源声明。本发明的各实施例不限于任何特定的实现。应当理解,尽管策略决策点205在图2中是以暗示其是在与资源202分开的物理组件上实现的方式来描绘的,但本发明的各实施例不限于此。策略决策点205可在任何一个或多个适合的物理组件上来实现,诸如资源202驻留于其上的相同的计算机、任何其他组件、或其组合。本发明的各实施例不限于任何特定的实现。一旦接收请求方和资源声明,策略决策点205可就一个或多个策略对声明中提供的信息进行评估。在所描绘的示例中,在动作MO中从策略存储208中检索一个或多个策略,其包括经由策略创作点207先前定义的策略(在图2中象征性地定义为动作沈0 ;然而, 应当理解,在策略的说明和图2中所描绘的任何其他动作之间不存在时间关系或依赖性)。 然而,本发明的各实施例不限于当接收对访问控制策略决策的请求时包括检索的实现。例如,策略或其子集先前可能已经被检索、在请求时动态地生成、或在请求策略决策时以外的时间以其他方式被检索。可以任何适合的方式定义策略。在本发明的某些实施例中,策略可在任何适合的粒度级别阐述与访问控制决策有关的标准。例如,策略可指定当由诸如“厂商”之类的用户角色从诸如“家”之类的位置使用具有诸如“开启反病毒软件”之类的指定的健康指示的计算机进行请求时,将准予在诸如“生产”之类的特定部署阶段对具有诸如“中等商业影响”之类的特定敏感度的主机或服务的访问。当然,策略无需阐述指定如果满足某些标准则进行对访问的准予的各项,因为它可替换地指定如果满足某些标准则应拒绝访问,或者如果指定或未指定任一个或多个标准,则发生或不发生任何适合的一个或多个动作。由于本发明不限于任何特定的实现,因此有关访问控制决策的策略可以任何适合的方式来说明,并可在任何适合的细节级别上采用声明中或以其他方式提供的任何适合的信息。在动作240中,策略决策点205向资源202提供策略决策。例如,基于对请求方和 /或资源声明中包括的对信息的评估,策略决策点205可指示资源202准予或拒绝对计算机 201的访问。图2的过程随后结束。应当理解,使用请求计算机的健康级别以外的信息来管控访问控制决策的能力可向网络和系统管理员提供比常规的技术提供的多得多的灵活性。在这方面,尽管常规网络级访问控制决策在本质上是二元的,但本发明的各实施例允许使用比当前所采用的更为详细的信息来制定决策,从而提供了比当前所采用的信息更大的决策制定范围。在某些实施例中,可根据msec协议套件来执行以上参考图2所述的信息转移中的任一个或全部,且If3Sec协议套件可管控认证期间对访问控制的实施。例如,IPsec协议套件中管控如何传递信息的各方面可被组件(例如,计算机201、资源202和/或其它组件) 用来传递声明信息,且IPsec协议套件中管控访问控制决策制定的各方面可被这些组件中的任一个或全部用来确定是否准予访问。作为示例,计算机201可从根据msec担当安全令牌服务(STS)的一个或多个声明提供方获得声明。计算机使用其或其用户的身份向STS 认证,并指定其将使用声明的“领域”,诸如与资源202进行连接。STS可发出声明,以使得当声明被传递至策略决策点时,它们可被验证。声明可被嵌入在根据msec协议被格式化的通信中(如以下所述),并被发送给资源202,以使得可作出访问控制决策。由于本发明不限于此方面,因此声明可以多种方式中的任一种被合并到被格式化以符合IPsec的通信中。在一个示例实现中,根据msec从客户机传送至服务器的证书可被用于从请求方计算机(如,图2,计算机201)携带信息至资源(如,资源202)。例如,证书中包括的声明信息可用于生成包括该声明信息的一个或多个人工产物(artifact)。当一个或多个人工产物被资源接收时,资源可提取声明信息,并将该信息提供给策略决策点以便作出访问控制决策。在另一个示例实现中,可采用被称为“AuthIP (认证IP)”的IPsec的扩展以启用对 Kerberos协议的使用,这对安全和认证领域的技术人员来说是公知的。在该示例实现中,从声明提供方接收的声明信息可用于生成其中嵌入有声明信息的Kerberos权证。例如,可为每个声明将一个或多个字段嵌入至Kerberos权证。AuthIP扩展允许在使用IPsec的通信中采用Kerberos权证,由此AuthIP扩展可用于传送用于在根据IPsec的认证中使用的声明信息。在又一个示例实现中,可创建新的扩展(如,因特网密钥交换(IKE)扩展),其提供以不同于上述的方式从请求计算机传送至资源的声明信息。由于本发明不限于此方面,因此可采用任何适合的类型的扩展。由前述应当理解,可采用多种技术中的任一种来根据msec对声明信息进行发送和认证,包括上面没有描述的技术。本发明的各实施例不限于任何特定的实现。应当理解,尽管上述示例实现采用msec或其各方面来实现声明信息和认证的传输,但本发明的各实施例不限于此,因为可采用任何一个或多个网络层安全协议。例如,可在采用安全套接字层(SSL)网络层安全协议、一个或多个其他网络层安全协议、或其组合的系统中实现本发明的各实施例。图3是根据本发明的某些实施例的描绘各种组件之间的信息流的活动图表。具体而言,图3描绘实现中各组件之间的信息流,其中使用IPsec的AuthIP扩展,从而基于来自请求计算机的证书生成包括声明信息的Kerberos权证。一旦获得Kerberos权证,它随后就可被请求设备用来请求对网络资源的访问。图3示出在计算机301、设备状态注册机构 302、密钥分发中心(KDC)认证服务(AQ 303、KDC权证准予服务(TGQ 304、资源305、资源 STS 306和目标服务307之间传递的信息。在图3所示的示例过程的开始处,在动作310中,计算机301发送设备状态评估至设备状态注册机构302 (担当声明提供方)。设备状态注册机构302对设备状态评估进行评估以确定计算机301是否符合策略。在图3所描绘的示例中,计算机301符合策略,使得在动作320,设备状态注册机构通过向计算机301提供合并了声明信息的机器证书来进行响应。在动作330中,通过将在动作320中发送给计算机301的机器证书以及由用户提供给计算机301的证书发送给KDC AS 303,计算机301寻找其本身及其用户的混合认证。 在动作340中,KDC AS 303通过将权证准予权证(TGT)发送给计算机301来进行响应,计算机随后在对Kerberos权证的请求中使用该权证准予权证,该Kerberos权证在动作350中被发送给KDC TGS 304。在动作360中,KDC TGS 304使用包括声明信息的Kerberos权证来响应该请求。由于本发明的各实施例在此方面不受限制,因此可以任何适合的方式将声明信息嵌入至Kerberos权证中。在动作370中,计算机301将其在动作320中接收的带有声明信息的Kerberos权证发送给资源305。资源提取声明信息,并在动作375中向资源STS306请求它自己的声明。资源STS 306在动作380中使用资源声明来进行响应,资源向策略决策点提供该资源声明以根据一个或多个访问控制策略进行评估。在动作385中向计算机301提供请求符合访问控制策略的指示。由此,在动作390中计算机301发起对目标设备307的访问。图3所示的示例过程随后结束。应当理解,图2和3所描绘的示例过程可包括那些所示和所述以外的动作。(例如,以上参考图3所述的示例过程不包括对描述计算机301如何连接至目标服务307的声明的处理,但其他实施例可包括这样的处理。)此外,作为这些示例过程的一部分执行的动作的顺序可与所示和所述的顺序不同。例如,可执行其他动作序列,至少部分地串行或并行地执行某些动作,或者可对所示和所述的示例过程进行其他修改。本发明的各实施例不限于此处描述的特定实现。用于实施本发明的各特征的系统和方法的各个方面可被实现在一个或多个计算机系统上,诸如图4中示出的示例性计算机系统400。计算机系统400包括输入设备402、 输出设备401、处理器403、存储器系统404和存储406,这些设备全都经由可包括一个或多个总线、交换机、网络和/或任何其他合适互连的互连机制405来直接或间接地耦合。输入设备402接收来自用户或机器(如,人类操作者)的输入,并且输出设备401向用户或机器 (如,液晶显示器)显示或传送信息。输入和输出设备主要可用于呈现用户界面。可用于提供用户界面的输出设备的示例包括用于可视地呈现输出的打印机或显示屏和用于可听地呈现输出的扬声器或其它声音生成设备。可用于用户界面的输入设备的示例包括键盘和诸如鼠标、触摸板和数字化输入板等定点设备。作为另一示例,计算机可以通过语音识别或以其它可听格式来接收输入信息。处理器403通常执行被称为操作系统(例如,微软Windows系列操作系统或任何其他合适的操作系统)的计算机程序,操作系统控制其他计算机程序的执行并提供调度、 输入/输出以及其他设备控制、会计、汇编、存储安排、数据管理、存储器管理、通信以及数据流控制。笼统而言,处理器和操作系统定义为其编写应用程序和其他计算机程序语言的计算机平台。处理器403还可执行一个或多个计算机程序以实现各种功能。这些计算机程序语言可以用任何类型的计算机程序语言来编写,包括过程程序设计语言、面向对象的程序设计语言、宏语言、或它们的组合。这些计算机程序可存储在存储系统406中。存储系统406 可将信息保持在易失性或非易失性介质上,并可以是固定或可移动的。在图5中更详细地示出了存储系统406。存储系统406可包括有形计算机可读和可写非易失性记录介质501,其上存储有定义计算机程序或要由该程序使用的信息的信号。记录介质例如可以是盘存储器、闪存、和 /或可用于记录和存储信息的任何其它制品。通常,在操作中,处理器403使得数据从非易失性记录介质501读入允许处理器403比对介质501进行的更快的信息访问的易失性存储器502(如,随机存取存储器,即RAM)中。如图4所示,存储器502可位于存储系统406中或位于存储器系统404中。处理器403 —般处理集成电路存储器404、502内的数据,随后在处理结束之后将这些数据复制到介质501中。已知有各种机制可用于管理介质501和集成电路存储元件404、502之间的数据移动,并且本发明不限于当前已知的或以后研发的任何机制。本发明也不限于特定的存储器系统404或存储系统406。
描述了至少一个实施例的若干方面,可以理解,本领域的技术人员可容易地想到各种更改、修改和改进。这样的更改、修改和改进旨在是本发明的一部分,且旨在处于本发明的原理的精神和范围内。从而,上述描述和附图仅用作示例。可以多种方式中的任一种来实现本发明的上述实施例。例如,可使用硬件、软件或其组合来实现各实施例。当使用软件实现时,该软件代码可在无论是在单个计算机中提供的还是在多个计算机和/或系统之间分布的任何合适的处理器或处理器的集合上执行。尽管可使用以任何适合的形式的电路来实现处理器,但这样的处理器可被实现为集成电路, 集成电路组件中具有一个或多个处理器。应当理解,执行此处描述的功能的任何组件或组件的集合一般可被认为是控制上述功能的一个或多个控制器。一个或多个控制器可以用众多方式来实现,诸如用专用硬件、 或通过采用使用执行上述功能的微码或软件来编程的一个或多个处理器。在控制器存储或提供数据以供系统操作的情况下,这些数据可以存储在中央储存库中、多个储存库中、或其组合。应当理解,计算机可以用多种形式中的任意一种来具体化,诸如机架式计算机、台式计算机、膝上型计算机、或平板计算机。此外,计算机可以具体化在通常不被认为是计算机但具有合适的处理能力的设备中,包括个人数字助理(PDA)、智能电话、或任何其它适合的便携式或固定电子设备。同样,计算机可以具有一个或多个输入和输出设备。这些设备主要可用于呈现用户界面。可用于提供用户界面的输出设备的示例包括用于可视地呈现输出的打印机或显示屏和用于可听地呈现输出的扬声器或其它声音生成设备。可用于用户界面的输入设备的示例包括键盘和诸如鼠标、触摸板和数字化输入板等定点设备。作为另一示例,计算机可以通过语音识别或以其它可听格式来接收输入信息。这些计算机可以通过任何合适形式的一个或多个网络来互连,包括作为局域网或广域网,如企业网络或因特网。这些网络可以基于任何合适的技术并可以根据任何合适的协议来操作,并且可以包括无线网络、有线网络或光纤网络。而且,此处略述的各种方法或过程可被编码为可在采用各种操作系统或平台中任何一种的一个或多个处理器上执行的软件。此外,这样的软件可使用多种合适的程序设计语言和/或程序设计或脚本工具中的任何一种来编写,而且它们还可被编译为可执行机器语言代码或在框架或虚拟机上执行的中间代码。在这方面,本发明可被具体化为用一个或多个程序编码的一个计算机可读介质 (或多个计算机可读介质)(如,计算机存储器、一个或多个软盘、紧致盘(CD)、光盘、数字视频盘(DVD)、磁带、闪存、现场可编程门阵列或其他半导体器件中的电路配置、或其他非瞬态的有形计算机可读存储介质),当这些程序在一个或多个计算机或其他处理器上执行时,它们执行实现本发明的上述多个实施例的方法。计算机可读介质或媒体可以是便携的,使得其上存储的一个或多个程序可被加载到一个或多个不同的计算机或其它处理器上以实现本发明上述的各个方面。如此处所使用的,术语“非瞬态计算机可读存储介质”只包含可被认为是产品(即,制品)或机器的计算机可读介质。此处以一般的意义使用术语“程序”或“软件”来指可被用来对计算机或其他处理器编程以实现本发明上述的各个方面的任何类型的计算机代码或计算机可执行指令集。另外,应当理解,根据本实施例的一个方面,当被执行时实现本发明的方法的一个或多个计算机程序不必驻留在单个计算机或处理器上,而是可以按模块化的方式分布在多个不同的计算机或处理器之间以实现本发明的各方面。计算机可执行指令可以具有可由一个或多个计算机或其他设备执行的各种形式, 诸如程序模块。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。通常,程序模块的功能可以按需在多个实施例中进行组合或分布。而且,数据结构能以任何适合的形式存储在计算机可读介质上。为简化说明,数据结构可被示为具有通过该数据结构中的位置而相关的字段。这些关系同样可以通过对各字段的存储分配传达各字段之间的关系的计算机可读介质中的位置来得到。然而,可以使用任何适合的机制在数据结构的各字段中的信息之间建立关系,包括通过使用指针、标签、或在数据元素之间建立关系的其他机制。本发明的各个方面可单独、组合或以未在前述实施例中特别讨论的各种安排来使用,从而并不将其应用限于前述描述中所述或附图形中所示的组件的细节和安排。例如,可使用任何方式将一个实施例中描述的各方面与其它实施例中描述的各方面组合。同样,本发明可被具体化为方法,其示例已经提供。作为该方法的一部分所执行的动作可以按任何适合的方式来排序。因此,可以构建各个实施例,其中各动作以与所示的次序所不同的次序执行,不同的次序可包括同时执行某些动作,即使这些动作在此处描述的各说明性实施例中被示为顺序动作。在权利要求书中使用诸如“第一”、“第二”、“第三”等序数词来修饰权利要求元素本身并不意味着一个权利要求元素较之另一个权利要求元素的优先级、先后次序或顺序、 或者方法的各动作执行的时间顺序,而仅用作将具有某一名字的一个权利要求元素与(若不是使用序数词则)具有同一名字的另一元素区分开的标签以区分各权利要求元素。同样,此处所使用的短语和术语是出于描述的目的而不应被认为是限制。此处对 “包括”、“包含”、或“具有”、“含有”、“涉及”及其变型的使用旨在包括其后所列的项目及其等效物以及其他项目。
权利要求
1.至少一个其上存储有指令的有形计算机可读存储介质制品004、405),所述指令在由采用网络层安全协议的系统中的计算机(400)执行时,执行作出访问控制策略决策的方法,所述方法包括(A)接收(23 与请求访问网络资源(20 的计算机(201)有关的信息,所述与计算机 (201)有关信息被包括在被格式化以符合网络层安全协议的通信中,并且描述所述计算机的一个或多个属性计算机的用户、以及计算机在其中请求对网络资源的访问的上下文;(B)接收(235)与网络资源(202)有关的信息,所述与网络资源有关的信息被包括在被格式化以符合网络层安全协议的通信中,并且描述所述网络资源的一个或多个属性所述网络资源与之有关的组织、所述网络资源的所有者、所述网络资源的部署的阶段以及所述网络资源的敏感性;以及(C)至少部分地基于在(A)和(B)中接收的信息来发出(M5)准予或者拒绝所述计算机对所述网络资源的访问的决策。
2.如权利要求1所述的至少一个有形计算机可读存储介质制品004、405),其特征在于,(C)包括还至少部分地基于从静态储存库(208)检索的策略来发出决策。
3.如权利要求2所述的至少一个有形计算机可读存储介质制品,其特征在于,还包括定义以下内容的指令(D)呈现界面O07)以使用户能够创作用于静态储存库中的存储的策略。
4.如权利要求2所述的至少一个有形计算机可读存储介质制品004、405),其特征在于,响应于来自网络资源的对访问控制策略决策的请求035)来执行(C)。
5.如权利要求1所述的至少一个有形计算机可读存储介质制品004、405),其特征在于,(A)包括接收035)包括与所述计算机有关的信息的声明,以及⑶包括接收035)包括与所述网络资源有关的信息的声明。
6.一种系统,包括至少一个处理器003),其被编程为(A)从计算机接收(210)对一个或多个请求方声明的请求,所述请求被包括在被格式化以符合网络层安全协议的通信中;(B)从网络资源接收(22 对一个或多个资源声明的请求,所述请求被包括在被格式化以符合网络层安全协议的通信中;(C)接收(23 对访问控制策略决策的请求,所述请求被包括在被格式化以符合网络层安全协议的通信中,并且所述请求提供一个或多个请求方声明和一个或多个资源声明中所包括的信息;以及(D)至少部分地基于在(C)中接收的信息来发出( 是准予还是拒绝所述计算机对网络资源的访问的访问控制策略决策。
7.如权利要求6所述的系统,其特征在于,还包括多个声明提供方003),所述声明提供方用于响应于在(A)中接收的请求向所述计算机提供一个或多个请求方声明,并且响应于在(B)中接收的请求向所述网络资源提供一个或多个资源声明。
8.如权利要求7所述的系统,其特征在于,还包括静态储存库O04A),在所述静态储存库中存储用于在一个或多个请求方声明和一个或多个资源声明中提供的信息。
9.如权利要求7所述的系统,其特征在于,还包括至少一个动态声明源(204B),所述动态声明源可操作地使用在(A)中接收的请求中所包括的信息来生成一个或多个请求方声明,并且使用在(B)中接收的请求中所包括的信息来生成一个或多个资源声明。
10.如权利要求6所述的系统,其特征在于,还包括在其中存储多个策略的静态储存库008),并且其中所述至少一个处理器被编程为,在(D)中访问所述静态储存库以检索策略,并且还至少部分地基于所述策略发出(M5)访问控制策略决策。
全文摘要
本发明涉及基于网络层声明的访问控制本发明的各实施例提供技术用于将网络层的访问控制决策至少部分地基于声明中提供的信息,该信息可描述请求访问的计算机的属性请求对其的访问的一个或多个资源、用户、所请求的访问周围的环境,和/或其他信息。可基于一个或多个访问控制策略对信息进行评估,访问控制策略可被预先设置或动态地生成,并可用于作出是准予还是拒绝计算机对所指定的资源的访问的决策。
文档编号H04L29/06GK102299915SQ201110184790
公开日2011年12月28日 申请日期2011年6月23日 优先权日2010年6月24日
发明者A·埃亚勒, A·扎瓦科夫斯基, D·罗斯, E(J)·尼斯塔德特, M·萨皮尔, O·阿纳尼耶夫, P·施奈尔, Y·托尔 申请人:微软公司