技術領域

本發明涉及計算機安全，尤其涉及用于使用屬性證書，授權通過 網絡訪問資源的系統與方法。

背景技術

將不同的授權相關屬性與客戶機相關聯的早期嘗試經常依賴于 客戶機IP地址作為識別客戶機的手段。然而，由于網絡設備的IP地 址可能很容易改變，這種技術被證明不是非常有效。此外，網絡地址 轉換(NAT)設備和虛擬專用網(VPN)的迅猛發展使得訪問服務器 僅僅基于客戶機的IP地址來識別特定客戶機來說非常困難。

通常使用的Kerberos票證(tickets)為應用提供在多個應用中 共享密碼驗證的憑證的手段。然而，Kerberos票證僅指示特定的用戶 已經成功驗證到中心網絡服務器，從而建立單個用戶會話。Kerberos 票證不傳遞用戶能力，并且它們不跨越多個用戶會話。

使用硬件令牌(token)用于驗證致力于解決相關的需求。硬件 令牌允許用戶證明其身份及其對特定物理對象的所有權。反過來，這 些被證實的斷言可以導致對網絡服務的擴展訪問權限。然而，硬件令 牌并不提供傳遞客戶機的用戶能力的通用手段。

由此，針對這些的考慮和其它考慮，提供了本發明。

附圖說明

參考以下附圖描述本發明的非限制性和非詳盡實施例。在附圖 中，除非另外指定，相同的附圖標記在各個附圖中指示相同的部分。

為了更好的理解本發明，將參考以下本發明的具體實施方式，其 將與附圖關聯地被閱讀，其中：

圖1舉例說明了在其中運行本發明的環境的一個實施例；

圖2舉例說明了可以配置用于充當客戶機運行的網絡設備的一個 實施例的功能框圖；

圖3舉例說明了一般示意使用屬性證書授權客戶機過程的實施例 的流程圖；

圖4舉例說明了本發明的一個實施例中涉及的消息流；

圖5舉例說明了本發明的另一個實施例中涉及的消息流圖；

圖6舉例說明了本發明的再一個實施例中涉及的消息流。

具體實施方式

現在將在下文中參考附圖更加完整地描述本發明，在此附圖構成 了以舉例說明的方式示意的、可以實踐本發明的特定示例性實施例的 一部分。然而，本發明可以以許多不同的形式實施，并且不應當受限 于此處所闡述的實施例而構建；相反，提供這些實施例以便本公開內 容將徹底而完整，并且將會給本領域的技術人員傳遞本發明的范圍。 其中，本發明可以以方法或裝置的形式實施。因此，本發明可以采取 完全硬件的實施例、完全軟件的實施例或組合軟硬件方面的實施例的 形式。因此，以下的詳細描述并非出于限制的目的。

術語“由...組成”，“包括”，“包含”，“具有”以及“其特征在于”指 的是開放式的或包括在內的過渡結構，并不排除其它的、未列舉的元 素或方法步驟。例如，包括元素A和B的組合也可理解為元素A、B 和C的組合。

“一個”和“所述”的含義包括復數引用。“在...內”的含義包括 “在...內”和“在...上”。此外，對單數的參考包括對復數的參考，除非 有其它的聲明或與此處的公開內容不一致。

術語“或”為包含性的“或”操作符，并且包括術語“和/或”，除非 上下文明確做出其它指示。

如此處所用的短語“在一個實施例中”指的不是必須是同一實施 例，盡管可能是同一實施例。

術語“基于”并非排他性的，而是提供基于其它未描述的因素，除 非上下文明確做出其它指示。

術語“流”包括通過網絡的分組流。術語“連接”指的是通常共享公 用資源和目的地的消息的一個或多個流。

簡言之，本發明致力于用于使用屬性證書授權網絡設備的方法與 系統。

依賴于用戶的特性和用于訪問網絡的設備，可以為用戶提供不同 的網絡訪問能力。本發明可以提供用戶證明其已經獲準訪問網絡的安 全方式。屬性證書(AC)可以是有關用戶和/或訪問網絡所使用的設 備的能力、限制等的信息的數字簽名的斷言。如果一旦完成客戶機設 備的自動安全掃描就發放屬性證書，則可以應用AC以提供一種安全 方式，用于設備在稍后的時間向訪問服務器通知客戶機的自動安全掃 描結果。如果AC是基于用戶能力生成的，則其基于AC為訪問服務 器提供使網絡資源對用戶可用所需要的安全信息。