CN101099143B - 使用属性证书实现网络设备授权的系统与方法 - Google Patents
使用属性证书实现网络设备授权的系统与方法 Download PDFInfo
- Publication number
- CN101099143B CN101099143B CN2005800161498A CN200580016149A CN101099143B CN 101099143 B CN101099143 B CN 101099143B CN 2005800161498 A CN2005800161498 A CN 2005800161498A CN 200580016149 A CN200580016149 A CN 200580016149A CN 101099143 B CN101099143 B CN 101099143B
- Authority
- CN
- China
- Prior art keywords
- network equipment
- attribute
- attribute certificate
- network
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
- G06F15/163—Interprocessor communication
- G06F15/173—Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
用于授权网络设备通过网络对资源的访问的方法与系统。访问服务器部分地基于与属性证书相关联的网络设备的属性,确定网络设备是否可以被授权通过网络访问资源。该属性可以与网络设备所被确认的实际能力、满足该属性有效的条件等相关联。该属性可以属于一组网络设备,或一个或多个通过网络设备访问网络的用户。在一个实施例中,可以基于网络设备的自动扫描结果提供属性证书。在另一个实施例中,访问服务器可以使属性用于与访问服务器相关联的网络资源。
Description
技术领域
本发明涉及计算机安全,尤其涉及用于使用属性证书,授权通过网络访问资源的系统与方法。
背景技术
将不同的授权相关属性与客户机相关联的早期尝试经常依赖于客户机IP地址作为识别客户机的手段。然而,由于网络设备的IP地址可能很容易改变,这种技术被证明不是非常有效。此外,网络地址转换(NAT)设备和虚拟专用网(VPN)的迅猛发展使得访问服务器仅仅基于客户机的IP地址来识别特定客户机来说非常困难。
通常使用的Kerberos票证(tickets)为应用提供在多个应用中共享密码验证的凭证的手段。然而,Kerberos票证仅指示特定的用户已经成功验证到中心网络服务器,从而建立单个用户会话。Kerberos票证不传递用户能力,并且它们不跨越多个用户会话。
使用硬件令牌(token)用于验证致力于解决相关的需求。硬件令牌允许用户证明其身份及其对特定物理对象的所有权。反过来,这些被证实的断言可以导致对网络服务的扩展访问权限。然而,硬件令牌并不提供传递客户机的用户能力的通用手段。
由此,针对这些的考虑和其它考虑,提供了本发明。
附图说明
参考以下附图描述本发明的非限制性和非详尽实施例。在附图中,除非另外指定,相同的附图标记在各个附图中指示相同的部分。
为了更好的理解本发明,将参考以下本发明的具体实施方式,其将与附图关联地被阅读,其中:
图1举例说明了在其中运行本发明的环境的一个实施例;
图2举例说明了可以配置用于充当客户机运行的网络设备的一个实施例的功能框图;
图3举例说明了一般示意使用属性证书授权客户机过程的实施例的流程图;
图4举例说明了本发明的一个实施例中涉及的消息流;
图5举例说明了本发明的另一个实施例中涉及的消息流图;
图6举例说明了本发明的再一个实施例中涉及的消息流。
具体实施方式
现在将在下文中参考附图更加完整地描述本发明,在此附图构成了以举例说明的方式示意的、可以实践本发明的特定示例性实施例的一部分。然而,本发明可以以许多不同的形式实施,并且不应当受限于此处所阐述的实施例而构建;相反,提供这些实施例以便本公开内容将彻底而完整,并且将会给本领域的技术人员传递本发明的范围。其中,本发明可以以方法或装置的形式实施。因此,本发明可以采取完全硬件的实施例、完全软件的实施例或组合软硬件方面的实施例的形式。因此,以下的详细描述并非出于限制的目的。
术语“由...组成”,“包括”,“包含”,“具有”以及“其特征在于”指的是开放式的或包括在内的过渡结构,并不排除其它的、未列举的元素或方法步骤。例如,包括元素A和B的组合也可理解为元素A、B和C的组合。
“一个”和“所述”的含义包括复数引用。“在...内”的含义包括“在...内”和“在...上”。此外,对单数的参考包括对复数的参考,除非有其它的声明或与此处的公开内容不一致。
术语“或”为包含性的“或”操作符,并且包括术语“和/或”,除非上下文明确做出其它指示。
如此处所用的短语“在一个实施例中”指的不是必须是同一实施例,尽管可能是同一实施例。
术语“基于”并非排他性的,而是提供基于其它未描述的因素,除非上下文明确做出其它指示。
术语“流”包括通过网络的分组流。术语“连接”指的是通常共享公用资源和目的地的消息的一个或多个流。
简言之,本发明致力于用于使用属性证书授权网络设备的方法与系统。
依赖于用户的特性和用于访问网络的设备,可以为用户提供不同的网络访问能力。本发明可以提供用户证明其已经获准访问网络的安全方式。属性证书(AC)可以是有关用户和/或访问网络所使用的设备的能力、限制等的信息的数字签名的断言。如果一旦完成客户机设备的自动安全扫描就发放属性证书,则可以应用AC以提供一种安全方式,用于设备在稍后的时间向访问服务器通知客户机的自动安全扫描结果。如果AC是基于用户能力生成的,则其基于AC为访问服务器提供使网络资源对用户可用所需要的安全信息。
AC可以发放给用户,用户可以从不同的客户机网络设备将其展示给访问服务器。AC也可以被发放给客户机网络设备,通过该设备,不同的用户可以访问相同的资源。
示例运行环境
图1举例说明了在其中系统可以运行的环境的一个实施例。并非要求所有组件以实践本发明,可以不背离本发明的构思和范围而对组件的排列和类型做出变更。
如图所示,系统100包括局域网/广域网(LAN/WAN)104,客户机102,访问服务器106,属性授权中心108,以及属性仓库110。客户机102和访问服务器106通过LAN/WAN 104通信。访问服务器106还与属性授权中心108和属性仓库110通信。属性授权中心108和属性仓库110也相互通信。
LAN/WAN 104能够采用任何形式的计算机可读媒体,用于将信息从一个电子设备发送到另外一个。此外,除了局域网、广域网、诸如通过通用串行总线(USB)端口的直接信道、其它形式的计算机可读媒体、以及它们的任何组合之外,LAN/WAN 104还可包括因特网。在包括那些基于不同体系结构和协议的LAN的互连集合上,路由器充当LAN之间的链路,使得消息能够从一个LAN发送到另外一个。同样,LAN内部的通信链路通常包括双绞线或同轴电缆,而网络之间的通信链路可以利用模拟电话线,包括T1、T2、T3和T4的全或部分的专用数字线,综合业务数字网(ISDN),数字用户线(DSL),包括卫星链路的无线链路,或者其它对本领域技术人员已知的通信链路。此外,远程计算机和其它相关电子设备可以通过调制解调器和临时电话链路远程连接到LAN或WAN。本质上LAN/WAN 104可以包括信息任何通信机制,通过这些通信机制可以在诸如客户机102和访问服务器106的网络设备之间进行传递。
客户机102可以是能够通过诸如LAN/WAN 104的网络与访问服务器106等通信的任何网络设备。这种设备的集合可以包括通常使用有线通信媒体连接的设备,例如被配置以充当网络设备的个人计算机、多处理器系统、基于微处理器的或可编程的用户电子设备、网络PC等。这种设备的集合还包括通常使用无线通信媒体连接的设备,例如被配置作为网络设备的设备蜂窝电话、智能电话、寻呼机、步话机、射频(RF)设备、红外(IR)设备、CB、组合一个或多个前述设备的集成设备等。可选地,客户机102可以是能够利用有线或无线通信媒体连接的设备,例如运行作为网络设备的PDA、POCKET PC、可穿戴计算机、以及被配置通过有线和/或无线通信媒体通信的任何其它设备。同样地,客户机102可以被配置以充当web服务器、高速缓存服务器、文件服务器、路由器、文件存储设备、网关、交换机、桥接器、防火墙、代理等。
访问服务器106可以包括能够通过LAN/WAN 104提供对资源的授权的任何一个或多个计算设备。通过网络寻找对资源的访问的设备,诸如客户机102,可以由访问服务器106使用属性证书授权。充当访问服务器106运行的设备包括但不限于个人计算机、台式计算机、多处理器系统、基于微处理器的或可编程的用户电子设备、网络PC、web服务器、高速缓存服务器、文件服务器、路由器、网关、交换机、桥接器、防火墙、代理等。通过网络的资源可以是对连接到网络的网络设备,诸如客户机102可用的任何网络服务。
属性授权中心108包括能够确定寻找授权的网络设备,如客户机102的属性的任何一个或多个计算设备。属性授权中心108还可以包括检验诸如客户机102的网络设备的属性的网络设备。属性授权中心108也可以配置以充当web服务器、高速缓存服务器、文件服务器、路由器、文件存储设备、网关、交换机、桥接器、防火墙、代理等等。在一个实施例中,属性授权中心108和访问服务器106可驻留于一台计算设备中。
属性仓库110可以包括能够从访问服务器106、属性授权中心108等接收属性证书,并维护准备分发的属性证书的任何计算一个或多个设备。可以充当属性仓库110的设备包括但不限于个人计算机、桌面计算机、多处理器系统、基于微处理器的或可编程的用户电子设备、网络PC、服务器等等。属性仓库110也可以包括配置用于管理属性证书和相关信息的web服务、FTP服务、LDAP服务等。在一个实施例中,属性仓库110可以包括用于维护诸如公开密钥、签名、访问控制列表、撤销授权列表等信任信息的存储结构。属性仓库110可以包括使得诸如访问服务器106等的网络设备监测属性证书及相关信息的可用性的预约信息、观察者机制等。
尽管未显示,属性授权中心108和属性仓库110也可以直接与客户机102通信。
图2举例说明了其中可以实践本发明的网络设备200的一个实施例的功能框图。网络设备200提供了图1的访问服务器106的一个实施例。应当理解,并没有列举网络设备200的所有组件,而是网络设备200可以包括比图中所示的那些更多或更少的组件。网络设备200可以充当例如个人计算机、桌面计算机、多处理器系统、基于微处理器的或可编程的用户电子设备、网络PC,web服务器、高速缓存服务器、文件服务器、路由器、网关、交换机、桥接器、防火墙、代理等等。通信可以通过诸如图1中的LAN/WAN 104的网络、因特网、或一些其它的通信网络发生。
如图2所示,网络设备200包括中央处理单元(CPU)212、视频播放适配器214、只读存储器(ROM)232、随机存取存储器(RAM)216、硬盘驱动器228、输入/输出接口(I/O)224、CD-ROM/DVD-ROM驱动器226、以及网络接口单元210,它们通过总线222相互连接。
RAM 216、ROM 232、CD-ROM/DVD-ROM驱动器226和硬盘驱动器228为计算机存储媒体,它们可以包括以任何方法或技术实现用于存储诸如计算机可读指令、数据结构、程序模块或其它数据的信息的易失或非易失、可移动或不可移动的媒体。计算机存储媒体的实例包括RAM、ROM、EEPROM、闪存或其它存储技术、CD-ROM、数字多功能光盘(DVD)或其它光学存储器、盒式磁带、磁带、磁盘存储器或其它磁性存储设备、或任何其它能够存储信息并能通过计算设备访问的媒体。
构建网络接口单元210以与包括TCP/IP和UDP/IP协议的各种通信协议一同使用。网络接口单元210可以包括用于通过有线和/或无线通信媒体传送分组等的电路和组件或与这些电路和组件接口。网络接口单元210有时被称为收发信机、网络接口卡(NIC)等等。网络设备200也可以包括用于与外部设备或用户通信的I/O接口224。
RAM 216通常与ROM 232以及一个或多个诸如硬盘驱动器228的永久大容量存储设备相互连接。RAM 216存储用于控制网络设备200的运行的操作系统220。操作系统220可能包括诸如UNIX、LINUXTM,WindowsTM等的操作系统。
在一个实施例中,RAM 216为应用软件250、授权协议240、以及属性证书(AC)评估协议242等存储用于执行网络设备200的授权功能的程序代码。应用软件250可以包括任何计算机程序。如图3中所描述,授权协议240用于控制对网络资源的访问。AC评估协议242可以是这样一种互补协议,即所述互补协议使得授权协议240评估期望通过网络访问资源的、诸如图1的客户机102的网络设备的属性。属性可以部分地基于客户机102的能力、对另一个属性有效需满足的条件、自动安全扫描的结果等等。
一般操作
图3举例说明了根据本发明的一个实施例,一般示出了用于使用属性证书授权网络设备过程300的流程图。例如,过程300可以在图1的访问服务器106中实现。
如图3所示,过程300在开始块之后,开始于块302,在块302中期望授权的网络设备,诸如图1的客户机102的属性得到确定。该属性可以部分地基于网络设备的实际能力或特征。例如,网络设备可以是发放给特定用户的膝上型电脑等。在这个实例中,该属性可以部分地基于运行于该网络设备上的安全软件的状态等。
在块302处确定的属性也可以部分地基于对另外一个属性有效需满足的条件。在上面的例子中,主要属性可以是网络设备安装有反病毒软件的断言。作为更进一步的实例,另外一个属性可以部分地基于该反病毒软件而运行于该网络设备上,并且该反病毒软件使用不超过5天的病毒定义配置的条件。
在另一个实施例中,在块302处确定的属性还可进一步部分地基于期望授权的网络设备的状态,诸如自动安全扫描的结果。出于安全的原因,可以执行网络设备的自动安全扫描并且结果可以与AC相关联。由于AC可以提供最近自动扫描的证据,将自动安全扫描与AC相关联可以消除每次网络设备请求授权时重复的自动安全扫描的需求。一旦确定了与AC相关联的属性,过程300继续进行到块304。
在块304,部分地基于在块302确定的属性生成AC。AC可以由诸如图1的访问服务器106的执行授权的设备,网络设备自身、诸如图1的属性授权中心108的第三方网络设备等生成。
过程接着继续进行到图3的块306,在块306中存储AC。存储也可以由诸如图1的访问服务器106的执行授权的设备、网络设备自身、诸如图1的属性授权中心108的第三方网络设备等执行。一旦完成块306,过程300就等待直至在块308处接收到授权请求。
在块308,网络设备将授权请求呈现给授权设备。尽管未显示,块308可以包括由授权设备所做的动作,包括但不限于从网络设备、存储设备、外部存储数据库等检索AC。
过程300流向块310,在此做出一个判断,确定网络设备是否通过验证连接到网络。如果验证未得到检验,则过程继续进行到块316,通信在此终止。然后,处理可以返回到呼叫处理过程以执行其它操作。
在块312,AC的有效性得到确定。在确定AC有效性的过程中,可以使用很多因素,包括但不限于AC的有效数据范围、AC中记录的设备标识符、数字签名等等。如果AC有效,则过程300继续进行到块314,在此网络设备得到授权。如果AC无效,则过程继续进行到块316,通信在此终止。处理然后可以返回到呼叫处理过程以执行其它操作。
应当理解,可以由计算机程序指令实现以上所讨论的流程图示意的每个块,以及以上流程图示意中各块的组合。这些程序指令可以提供给处理器以产生状态机(machine),以便在处理器上执行的指令创建用于实现流程图块或多个块中所指定的动作的单元。计算机程序指令可以由处理器执行,以引发将由处理器执行以产生计算机实现的过程的一系列操作步骤,以便在处理器上执行的指令提供用于实现流程图块或多个块中所指定的动作的步骤。
尽管本发明就网络设备与访问服务器之间的通信进行了描述,但本发明并非如此受限。例如,通信实质上可以在任何资源之间进行,包括但不限于多客户机、多服务器、以及任何其它设备而不偏离本发明的范围。
因此,流程图示意的各块支持用于实现指定动作的方法的组合,用于执行指定动作的步骤的组合,以及用于执行指定动作的程序指令单元。还应当理解,流程图示意的每个块以及流程图示例的各块的组合能够由执行该指定动作或步骤的专用的基于硬件的系统、或专用的硬件和计算机执行的组合实现。
示例性实施例
图4举例说明了用于类似于图1中所示系统的系统的消息流图的一个实施例。如图所示,消息流400包括网络资源402、属性仓库404、访问服务器406、以及跨越顶部的客户机408。客户机408和访问服务器406可以分别基本上类似于图1的客户机102和访问服务器106操作。图中的时间可被视为向下流逝。
如图4所示,消息流被时间线410分隔划分为两个组。第一组包括生成和存储AC所涉及的消息流。如果所存储的AC由于多种原因中的任何一种而不再有效等等,客户机408期望存储具有新的访问服务器的证书,则可以重复这个过程。该过程开始于访问服务器406确定客户机408的属性与AC相关联。该属性可以部分地基于客户机408的能力。例如,客户机408可以是处理临时认可以利用由网络资源提供的打印服务的用户使用的网络设备。在这个例子中,访问服务器406可以检验网络资源的打印能力认可,作为与AC相关联的属性。
访问服务器406接着可以部分地基于以上所确定的属性生成AC。AC生成之后,访问服务器406可以发送AC到属性仓库404,AC在中属性仓库404被存储。
如图4中的时间线410以下所示的授权过程通常开始于从客户机408接收到授权请求。一旦从客户机408接收到授权请求,访问服务器406就验证客户机408。验证可以基于登录密码、数字证书、生物统计参数等等。
一旦得到验证,访问服务器406就从属性仓库404请求AC。属性仓库404发送AC到检验了AC的有效性的访问服务器406。AC的有效性可以部分地基于包括但不限于AC的日期范围、AC的数字签名、AC中所列表的身份与客户机408的验证身份的比较等许多因素中的任何一个而检验。
如果AC有效,则访问服务器406就部分地基于与AC相关联的属性授权客户机408。进一步使用以上实例,授权部分地基于与AC相关联的属性,为客户机408提供对网络设备402的打印能力的访问。
图5举例说明了根据本发明的另一个实施例的网络系统的消息流图。如图所示,消息流500包括网络资源502、访问服务器504、以及跨越顶部的客户机506。客户机506和访问服务器504可以分别基本上类似于图1的客户机102和访问服务器106进行操作。图中的时间可以被视为向下流逝。
如图5中所示,消息流被时间线508分隔划分为两个组。第一组包括生成和存储AC所涉及的消息流。过程的第一部分基本上类似于图4中时间线410以上所示的第一过程。两个过程之间的一个区别是访问服务器504发送AC到客户机506,而不是到属性仓库,且客户机506存储AC。
如图5中的时间线508以下所示的授权过程通常开始于从客户机506接收到授权请求。一旦从客户机506接收到授权请求,访问服务器504就验证客户机506。验证可以基于登录密码、数字证书、生物统计参数等等。
一旦得到验证,访问服务器504就检验客户机持有有效AC。AC的有效性可以部分地基于包括但不限于AC的日期范围、AC的数字签名、AC中所列表的身份与客户机506的验证身份的比较等许多因素中的任何一个而检验。
如果AC有效,则访问服务器504就部分地基于与AC相关联的属性授权客户机506。利用以上图4中所描述的实例,授权部分地基于与AC相关联的属性,为客户机506提供对网络设备502的打印能力的访问。
图6举例说明了根据本发明的再一个实施例的网络系统的消息流图。如图所示,消息流600包括访问服务器602、客户机604、以及跨越顶部的属性授权中心606。客户机604和访问服务器602可以分别基本上类似于图1的客户机102和访问服务器106进行操作。图中的时间可以被视为向下流逝。
如图6所示,消息流被时间线608分隔划分为两个组。第一组包括生成和存储AC所涉及的消息流。过程开始于由属性授权中心606执行的对客户机604的自动安全扫描。属性授权中心606部分地基于客户机604的自动安全扫描结果而生成AC,并存储AC。
如图6中的时间线608以下所示的授权过程通常开始于从客户机604接收到授权请求。一旦从客户机604接收到授权请求,访问服务器602就验证客户机604。验证可以基于登录密码、数字证书、生物统计参数等等。
一旦得到验证,访问服务器602就从属性授权中心606请求AC。属性授权中心606发送AC到检验AC的有效性的访问服务器602。AC的有效性可以部分地基于包括但不限于AC的日期范围、AC的数字签名等许多因素中的任何一个而检验。
如果AC有效,则访问服务器602就部分地基于与AC相关联的属性授权客户机604。在这个实施例中,授权为客户机604提供对网络资源的访问。
以上的详细说明、实例以及数据提供了制造和使用本发明的组成的完整描述。由于能够不偏离本发明的精神和范围而构成本发明的许多实施例,本发明体现在如下所附的权利要求书中。
Claims (11)
1.一种用于授权网络设备的方法,包括:
通过第一网络设备执行第二网络设备的自动安全扫描以确定所述第二网络设备的能力;
部分地基于确定的能力来确定属性;
部分地基于所述属性来生成属性证书;
在不同于所述第二网络设备的另一网络设备上存储包括属性的所述属性证书;
在所述第一网络设备处接收来自所述第二网络设备的验证请求以便通过网络访问资源;
响应于来自所述第二网络设备的验证请求,验证所述第二网络设备,并且如果所述第二网络设备不能被验证,则终止与所述第二网络设备的通信;
响应于验证所述第二网络设备,所述第一网络设备请求并且从另一网络设备接收针对所述第二网络设备存储的属性证书;以及
所述第一网络设备确定针对所述第二网络设备接收的所述属性证书是否有效,其中如果确定所述属性证书有效,则部分地基于与所述属性证书相关联的属性授权通过网络对资源的访问,并且如果确定所述属性证书并非有效,则终止与所述第二网络设备的通信。
2.根据权利要求1的方法,其中所述属性证书的有效性基于包括所述属性证书的日期范围、所述属性证书上的数字签名以及所述属性证书中所列的身份与检验的验证请求的比较的多个因素。
3.根据权利要求1的方法,其中所述属性进一步部分地基于对另外一个属性有效需满足的条件而确定。
4.根据权利要求1的方法,其中所述属性进一步与网络设备组相关联。
5.根据权利要求1的方法,其中所述属性进一步与用户组相关。
6.根据权利要求1的方法,其中所述第一网络设备包括访问服务器,并且所述另一网络设备包括属性授权中心,并且其中所述属性证书由属性授权中心生成和存储。
7.根据权利要求1的方法,其中所述第一网络设备包括访问服务器,并且所述另一网络设备包括属性仓库,并且其中所述属性证书由所述访问服务器生成并发送到所述属性仓库以便进行存储。
8.根据权利要求6的方法,其中所述属性证书通过使用cookie、程序以及手动上载至少其中之一而提供给访问服务器。
9.一种用于授权网络设备的装置,包括:
用于由第一网络设备执行第二网络设备的自动安全扫描以确定所述第二网络设备的能力的装置;
用于部分地基于确定的能力来确定属性的装置;
用于部分地基于属性来生成属性证书的装置;
用于在不同于所述第二网络设备的另一网络设备上存储包括属性的所述属性证书的装置;
用于在所述第一网络设备处接收来自所述第二网络设备的验证请求以便通过网络访问资源的装置;
用于响应于来自所述第二网络设备的所述验证请求,验证所述第二网络设备的装置,以及用于如果所述第二网络设备不能被验证,则终止与所述第二网络设备的通信的装置;
用于响应于验证所述第二网络设备,请求并且从另一网络设备接收针对所述第二网络设备存储的属性证书的装置;以及
用于由所述第一网络设备确定针对所述第二网络设备接收的所述属性证书是否有效的装置,以及用于如果确定所述属性证书有效,则部分地基于与所述属性证书相关联的属性,授权通过所述网络对所述资源的访问的装置,以及用于确定所述属性证书并非有效,则终止与所述第二网络设备的通信的装置。
10.根据权利要求9的装置,进一步包括用于部分地基于对另一个属性有效需满足的条件确定所述属性的装置。
11.根据权利要求9的装置,其中所述属性证书的有效性基于包括所述属性证书的日期范围、所述属性证书上的数字签名以及所述属性证书中所列的身份与检验的验证请求的比较的多个因素。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/823,378 | 2004-04-12 | ||
| US10/823,378 US7650409B2 (en) | 2004-04-12 | 2004-04-12 | System and method for enabling authorization of a network device using attribute certificates |
| PCT/IB2005/000828 WO2005096701A2 (en) | 2004-04-12 | 2005-03-25 | System and method for enabling authorization of a network device using attribute certificates |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101099143A CN101099143A (zh) | 2008-01-02 |
| CN101099143B true CN101099143B (zh) | 2012-05-30 |
Family
ID=35061838
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005800161498A Expired - Fee Related CN101099143B (zh) | 2004-04-12 | 2005-03-25 | 使用属性证书实现网络设备授权的系统与方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7650409B2 (zh) |
| EP (1) | EP1738274A4 (zh) |
| KR (1) | KR100894555B1 (zh) |
| CN (1) | CN101099143B (zh) |
| WO (1) | WO2005096701A2 (zh) |
Families Citing this family (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2350971A (en) * | 1999-06-07 | 2000-12-13 | Nokia Mobile Phones Ltd | Security Architecture |
| US8271790B2 (en) * | 2004-12-30 | 2012-09-18 | Safend Ltd. | Method and system for securely identifying computer storage devices |
| US10764264B2 (en) * | 2005-07-11 | 2020-09-01 | Avaya Inc. | Technique for authenticating network users |
| DE102006036107A1 (de) * | 2006-04-11 | 2007-10-18 | Siemens Ag | Verfahren zur Ermittlung einer Aufgabenerlaubnis |
| US8132245B2 (en) * | 2006-05-10 | 2012-03-06 | Appia Communications, Inc. | Local area network certification system and method |
| US8010784B2 (en) | 2006-10-10 | 2011-08-30 | Adobe Systems Incorporated | Method and apparatus for achieving conformant public key infrastructures |
| US7945946B2 (en) * | 2007-02-06 | 2011-05-17 | Red Hat, Inc. | Attribute level access control |
| US7984490B2 (en) * | 2007-05-31 | 2011-07-19 | Red Hat, Inc. | Method for issuing attribute certificate from an LDAP entry |
| US8046585B2 (en) * | 2007-05-31 | 2011-10-25 | Red Hat, Inc. | Verifying authenticity of an attribute value signature |
| US7895441B2 (en) * | 2007-05-31 | 2011-02-22 | Red Hat, Inc. | LDAP grouping for digital signature creation |
| US8326353B1 (en) | 2007-06-27 | 2012-12-04 | ENORCOM Corporation | Customizable mobile device |
| US8311513B1 (en) | 2007-06-27 | 2012-11-13 | ENORCOM Corporation | Automated mobile system |
| US8910234B2 (en) * | 2007-08-21 | 2014-12-09 | Schneider Electric It Corporation | System and method for enforcing network device provisioning policy |
| KR100943921B1 (ko) * | 2007-09-04 | 2010-02-24 | 경원대학교 산학협력단 | 그룹 속성 인증서 발급 시스템과 그 그룹 속성 인증서를이용한 라이센스 발급 시스템 및 라이센스 발급 방법 |
| US8826034B1 (en) * | 2007-09-28 | 2014-09-02 | Symantec Corporation | Selective revocation of heuristic exemption for content with digital signatures |
| US8621561B2 (en) * | 2008-01-04 | 2013-12-31 | Microsoft Corporation | Selective authorization based on authentication input attributes |
| US10146926B2 (en) * | 2008-07-18 | 2018-12-04 | Microsoft Technology Licensing, Llc | Differentiated authentication for compartmentalized computing resources |
| JP2011191940A (ja) * | 2010-03-12 | 2011-09-29 | Canon Inc | 検証装置、ジョブチケット検証方法、およびプログラム |
| DE102010044518A1 (de) * | 2010-09-07 | 2012-03-08 | Siemens Aktiengesellschaft | Verfahren zur Zertifikats-basierten Authentisierung |
| US10642849B2 (en) | 2010-10-25 | 2020-05-05 | Schneider Electric It Corporation | Methods and systems for providing improved access to data and measurements in a management system |
| US9762578B2 (en) | 2010-10-25 | 2017-09-12 | Schneider Electric It Corporation | Methods and systems for establishing secure authenticated bidirectional server communication using automated credential reservation |
| US8707026B2 (en) * | 2011-07-13 | 2014-04-22 | International Business Machines Corporation | Apparatus for certificate-based cookie security |
| US8769651B2 (en) * | 2012-09-19 | 2014-07-01 | Secureauth Corporation | Mobile multifactor single-sign-on authentication |
| CN103796342B (zh) * | 2014-01-24 | 2017-02-15 | 北京奇虎科技有限公司 | 属性信息的显示系统和路由器 |
| CN106250727A (zh) * | 2016-08-16 | 2016-12-21 | 深圳市冠旭电子股份有限公司 | 一种软件保护方法及装置 |
| CN109690543B (zh) * | 2016-09-26 | 2021-04-09 | 华为技术有限公司 | 安全认证方法、集成电路及系统 |
| KR102367738B1 (ko) * | 2016-11-09 | 2022-02-25 | 한국전자기술연구원 | 가상 리소스의 그룹 멤버 유효성 검증 방법 |
| EP3663956A1 (de) * | 2018-12-03 | 2020-06-10 | Steen Harbach AG | Mikrocontroller |
| JP7215342B2 (ja) * | 2019-06-06 | 2023-01-31 | 富士通株式会社 | 通信プログラム、通信方法、および、通信装置 |
| US20230239286A1 (en) * | 2022-01-26 | 2023-07-27 | Microsoft Technology Licensing, Llc | Dynamic attachment of secure properties to machine identity with digital certificates |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE313203T1 (de) * | 1997-06-25 | 2005-12-15 | Inforonics Inc | Vorrichtung und verfahren zur identifizierung von klienten die an netzwer-sites zugreifen |
| US6199113B1 (en) * | 1998-04-15 | 2001-03-06 | Sun Microsystems, Inc. | Apparatus and method for providing trusted network security |
| US6453353B1 (en) * | 1998-07-10 | 2002-09-17 | Entrust, Inc. | Role-based navigation of information resources |
| US6847995B1 (en) * | 2000-03-30 | 2005-01-25 | United Devices, Inc. | Security architecture for distributed processing systems and associated method |
| US7092987B2 (en) * | 2001-02-13 | 2006-08-15 | Educational Testing Service | Remote computer capabilities querying and certification |
| US20020144108A1 (en) * | 2001-03-29 | 2002-10-03 | International Business Machines Corporation | Method and system for public-key-based secure authentication to distributed legacy applications |
| US6986047B2 (en) * | 2001-05-10 | 2006-01-10 | International Business Machines Corporation | Method and apparatus for serving content from a semi-trusted server |
| US8484333B2 (en) * | 2001-08-22 | 2013-07-09 | Aol Inc. | Single universal authentication system for internet services |
| EP1505765A4 (en) * | 2002-06-07 | 2006-10-04 | Sony Corp | DATA PROCESSING SYSTEM, DATA PROCESSING DEVICE, DATA PROCESSING METHOD AND COMPUTER PROGRAM |
| JP3791464B2 (ja) * | 2002-06-07 | 2006-06-28 | ソニー株式会社 | アクセス権限管理システム、中継サーバ、および方法、並びにコンピュータ・プログラム |
| GB2394803A (en) * | 2002-10-31 | 2004-05-05 | Hewlett Packard Co | Management of security key distribution using an ancestral hierarchy |
| US7353533B2 (en) * | 2002-12-18 | 2008-04-01 | Novell, Inc. | Administration of protection of data accessible by a mobile device |
-
2004
- 2004-04-12 US US10/823,378 patent/US7650409B2/en not_active Expired - Fee Related
-
2005
- 2005-03-25 CN CN2005800161498A patent/CN101099143B/zh not_active Expired - Fee Related
- 2005-03-25 WO PCT/IB2005/000828 patent/WO2005096701A2/en active Application Filing
- 2005-03-25 EP EP05718311.3A patent/EP1738274A4/en not_active Withdrawn
- 2005-03-25 KR KR1020067023786A patent/KR100894555B1/ko active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| US7650409B2 (en) | 2010-01-19 |
| US20050228886A1 (en) | 2005-10-13 |
| WO2005096701A2 (en) | 2005-10-20 |
| EP1738274A2 (en) | 2007-01-03 |
| WO2005096701A3 (en) | 2007-04-05 |
| KR20070032650A (ko) | 2007-03-22 |
| EP1738274A4 (en) | 2016-03-23 |
| CN101099143A (zh) | 2008-01-02 |
| KR100894555B1 (ko) | 2009-04-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101099143B (zh) | 使用属性证书实现网络设备授权的系统与方法 | |
| KR101534890B1 (ko) | 신뢰된 장치별 인증 | |
| JP6004408B2 (ja) | 安全移動体フレームワーク | |
| JP5260634B2 (ja) | 段階的認証システム | |
| US8973122B2 (en) | Token based two factor authentication and virtual private networking system for network management and security and online third party multiple network management method | |
| EP1933522B1 (en) | Method and system for authentication | |
| CN101227468B (zh) | 用于认证用户到网络的方法、设备和系统 | |
| US20090300168A1 (en) | Device-specific identity | |
| JP2013509065A (ja) | 無線ネットワークへのアクセス権を管理するための装置及び方法 | |
| Berbecaru et al. | Providing login and Wi-Fi access services with the eIDAS network: A practical approach | |
| CN109150787A (zh) | 一种权限获取方法、装置、设备和存储介质 | |
| CN1601954B (zh) | 不中断服务地横跨安全边界移动主体 | |
| CN102972005B (zh) | 交付认证方法 | |
| KR20070009490A (ko) | 아이피 주소 기반 사용자 인증 시스템 및 방법 | |
| KR100590698B1 (ko) | 동일 id를 이용한 다중 로그인을 방지하기 위한 인증 방법, 시스템 및 서버 | |
| JP2003132030A (ja) | 情報処理装置および方法、記録媒体、並びにプログラム | |
| KR102461050B1 (ko) | 클라우드서버에서 수행되는 사용자단말기에 대한 통신 보안 방법 | |
| CAMERONI | Providing Login and Wi-Fi Access Services With the eIDAS Network: A Practical Approach | |
| CN107925653B (zh) | 用于安全传输其中数据的电信系统以及与该电信系统相关联的设备 | |
| KR101066729B1 (ko) | 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: NOKIA AND SIEMENS NETWORKS CO., LTD. Free format text: FORMER OWNER: NOKIA NETWORKS OY Effective date: 20080801 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20080801 Address after: Espoo, Finland Applicant after: Nokia Siemens Networks Ltd. Address before: Espoo, Finland Applicant before: NOKIA Corp. Effective date of registration: 20080801 Address after: Espoo, Finland Applicant after: NOKIA Corp. Address before: Texas, USA Applicant before: NOKIA Corp. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: NOKIA SIEMENS NETWORKS OY Free format text: FORMER NAME: NOKIA SIEMENS NETWORK CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: Espoo, Finland Patentee after: NOKIA SOLUTIONS AND NETWORKS OY Address before: Espoo, Finland Patentee before: Nokia Siemens Networks Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120530 Termination date: 20200325 |