基于网络层声明的访问控制制造技术
【技术实现步骤摘要】
基于网络层声明的访问控制
本专利技术涉及访问控制,尤其涉及基于网络层声明的访问控制。
技术介绍
常规地,关于是否准许计算机访问网络的访问控制决策通常至少部分地基于该计算机是否到达特定系统健康要求。在这方面,未能保持与网络连接的计算机最新(如,配备有最新的操作系统更新、反病毒签名等)是可危及网络完整性的最常见的方式之一。例如,未能保持最新的计算机可能容易受到恶意软件的攻击,当计算机连接至网络时,所述恶意软件可将网络资源暴露于攻击和/或病毒。由此,网络管理员通常指定计算机必须满足以连接至网络的最低健康要求。实施这些要求会是困难的,尤其是当给定不同类型的请求访问的计算机的数目,诸如不受管理员的直接控制的家庭计算机、旅行膝上型计算机等。帮助管理员确保访问网络的计算机满足系统健康要求的一个产品是华盛顿州雷蒙德市的微软公司提供的网络访问保护(NAP)产品。通过NAP,管理员可定义计算机要连接必须满足的最低健康要求,诸如计算机是否已经安装最近的操作系统更新、配备有最新的反病毒签名、已经安装并启用了防火墙软件等。在采用了NAP的系统中,当计算机试图连接至网络时,对其健康状态进行评...
【技术保护点】
1.至少一个其上存储有指令的有形计算机可读存储介质制品(404、405),所述指令在由采用网络层安全协议的系统中的计算机(400)执行时,执行作出访问控制策略决策的方法,所述方法包括:(A)接收(235)与请求访问网络资源(202)的计算机(201)有关的信息,所述与计算机(201)有关信息被包括在被格式化以符合网络层安全协议的通信中,并且描述所述计算机的一个或多个属性:计算机的用户、以及计算机在其中请求对网络资源的访问的上下文;(B)接收(235)与网络资源(202)有关的信息,所述与网络资源有关的信息被包括在被格式化以符合网络层安全协议的通信中,并且描述所述网络资源的一...
【技术特征摘要】
2010.06.24 US 12/822,7241.一种作出访问控制策略决策的方法,所述方法包括:接收与请求访问网络资源的计算机相关联的第一信息,所述第一信息被包括在被格式化成符合网络层安全协议的第一通信中并且描述与请求所述计算机对所述网络资源的访问的上下文相关联的属性;接收与所述网络资源相关联的第二信息,所述第二信息被包括在被格式化成符合网络层安全协议的第二通信中并且描述与所述网络资源是否处于生产阶段以及所述网络资源具有高等、中等还是低等商业影响中的至少一者相关联的属性;以及基于一个或多个策略对所述第一信息和所述第二信息进行评估以作出准予或者拒绝所述计算机对所述网络资源的访问的决策,所述一个或多个策略通过计及任何性质和类型的信息来在任何适合的粒度级别阐述与访问控制决策有关的标准。2.如权利要求1所述的方法,其特征在于,根据一个或多个策略对所述第一信息和所述第二信息进行评估以作出所述决策包括至少部分地基于从静态储存库检索的策略来作出所述决策。3.如权利要求2所述的方法,其特征在于,还包括:呈现界面以使用户能够创作用于静态储存库中的存储的策略。4.如权利要求2所述的方法,其特征在于,响应于来自所述网络资源的对访问控制策略决策的请求来执行作出准予或拒绝所述计算机对所述网络资源的访问的决策。5.如权利要求1所述的方法,其特征在于,接收第一信息包括接收包括与所述计算机有关的信息的声明,以及接收第二信息包括接收包括与所述网络资源有关的信息的声明。6.一种作出访问控制策略决策的系统,包括:包括一个或多个处理器的处理系统,所述一个或多个处理器被配置成:从计算机接收对一个或多个请求方声明的第一请求,所述第...
【专利技术属性】
技术研发人员:Y·托尔,D·罗斯,EJ·尼斯塔德特,P·施奈尔,M·萨皮尔,O·阿纳尼耶夫,A·扎瓦科夫斯基,A·埃亚勒,
申请(专利权)人:微软公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。