技術領域

本發明涉及訪問控制，尤其涉及基于網絡層聲明的訪問控制。

背景技術

常規地，關于是否準許計算機訪問網絡的訪問控制決策通常至少部分地基于該計算機是否到達特定系統健康要求。在這方面，未能保持與網絡連接的計算機最新(如，配備有最新的操作系統更新、反病毒簽名等)是可危及網絡完整性的最常見的方式之一。例如，未能保持最新的計算機可能容易受到惡意軟件的攻擊，當計算機連接至網絡時，所述惡意軟件可將網絡資源暴露于攻擊和/或病毒。由此，網絡管理員通常指定計算機必須滿足以連接至網絡的最低健康要求。實施這些要求會是困難的，尤其是當給定不同類型的請求訪問的計算機的數目，諸如不受管理員的直接控制的家庭計算機、旅行膝上型計算機等。

幫助管理員確保訪問網絡的計算機滿足系統健康要求的一個產品是華盛頓州雷蒙德市的微軟公司提供的網絡訪問保護(NAP)產品。通過NAP，管理員可定義計算機要連接必須滿足的最低健康要求，諸如計算機是否已經安裝最近的操作系統更新、配備有最新的反病毒簽名、已經安裝并啟用了防火墻軟件等。在采用了NAP的系統中，當計算機試圖連接至網絡時，對其健康狀態進行評估。符合健康要求的計算機被授予對網絡的訪問，諸如經由發出指示符合那些要求的證書或使用其他技術。不符合的計算機被拒絕訪問，并可進行自動補救。例如，可使用缺失的軟件更新或配置變化對不符合的計算機進行自動地更新。

圖1是描繪在采用了NAP的系統中計算機藉由其試圖訪問網絡的示例過程的框圖。在該過程中，在動作105中，計算機101向健康注冊機構(HRA)103提供與其健康有關的信息，該健康注冊機構103隨后在動作110中將該信息傳遞給健康策略服務器104。健康策略服務器104對由計算機101提供的信息進行評估以確定其是否符合系統健康策略。在動作115中，該評估的結果隨后被發送給HRA?103。如果計算機101是符合的，則在動作115中HRA?103從健康證書發出機構106獲得用于計算機101的健康證書。在動作125中將該證書提供給HRA?103，HRA?103隨后在動作130中將其發送給計算機101。通過使用該證書，計算機101可發起與資源102的受保護通信，并對由使用對應的健康證書對其自身進行認證的其他符合的計算機(圖1中未示出)發起的通信進行響應。

如果計算機101不符合系統健康策略，則健康策略服務器104通知HRA?103該訪問將被拒絕，由此HRA?103不會從健康證書發出機構106獲得用于計算機101的證書。因此，計算機101無法發起與資源102的通信。與由健康策略服務器104向HRA?103提供的信息一起也被包括的是將由計算機101執行的補救指令，諸如與補救服務器(圖1中未示出)進行通信以獲得使得計算機101符合系統健康策略所需的組件。

網際協議(IP)安全(IPSec)是在開放式系統互聯(OSI)棧的網絡層使用的用于保證根據IP協議在網絡上發生的通信安全的協議套件。采用NAP和IPsec以保證網絡通信安全的系統允許符合健康要求的計算機與網絡上的其他計算機進行連接。在符合的計算機已經成功地連接并獲得有效的IP地址配置之后，使用IPsec的NAP策略的實施將通信限于該符合的計算機。此外，采用IPsec的系統基于請求訪問的設備和/或其用戶的身份來控制對網絡資源的訪問(如，主機、服務器等)。

發明內容

申請人認識到用于控制對網絡層的網絡資源的訪問的現有方法不夠靈活。例如，如果系統采用網絡層安全協議(如IPsec)來實施NAP策略，則請求訪問該網絡的計算機首先向健康注冊機構(HRA)報告其健康，該健康注冊機構向決定計算機是否符合系統健康策略的健康策略服務器傳遞信息。如果符合，則發出計算機根據網絡層安全協議嘗試至網絡資源的連接的證書。如果不符合，則訪問被拒絕，并且自動的補救可以發生。如果系統采用網絡層安全協議但不實施NAP策略，則訪問決策可基于設備和/或其用戶的身份。在任一情形中，關于是否準予計算機訪問的決策在本質上是二元的(即，是/否)，并且主要基于請求設備和/或其用戶的身份和/或健康，而不是可實現訪問控制的更為靈活的方法的其他信息。