本发明专利技术涉及基于网络层声明的访问控制本发明专利技术的各实施例提供技术用于将网络层的访问控制决策至少部分地基于声明中提供的信息,该信息可描述请求访问的计算机的属性:请求对其的访问的一个或多个资源、用户、所请求的访问周围的环境,和/或其他信息。可基于一个或多个访问控制策略对信息进行评估,访问控制策略可被预先设置或动态地生成,并可用于作出是准予还是拒绝计算机对所指定的资源的访问的决策。
【技术实现步骤摘要】
基于网络层声明的访问控制
本专利技术涉及访问控制,尤其涉及基于网络层声明的访问控制。
技术介绍
常规地,关于是否准许计算机访问网络的访问控制决策通常至少部分地基于该计算机是否到达特定系统健康要求。在这方面,未能保持与网络连接的计算机最新(如,配备有最新的操作系统更新、反病毒签名等)是可危及网络完整性的最常见的方式之一。例如,未能保持最新的计算机可能容易受到恶意软件的攻击,当计算机连接至网络时,所述恶意软件可将网络资源暴露于攻击和/或病毒。由此,网络管理员通常指定计算机必须满足以连接至网络的最低健康要求。实施这些要求会是困难的,尤其是当给定不同类型的请求访问的计算机的数目,诸如不受管理员的直接控制的家庭计算机、旅行膝上型计算机等。帮助管理员确保访问网络的计算机满足系统健康要求的一个产品是华盛顿州雷蒙德市的微软公司提供的网络访问保护(NAP)产品。通过NAP,管理员可定义计算机要连接必须满足的最低健康要求,诸如计算机是否已经安装最近的操作系统更新、配备有最新的反病毒签名、已经安装并启用了防火墙软件等。在采用了NAP的系统中,当计算机试图连接至网络时,对其健康状态进行评估。符合健康要求的计算机被授予对网络的访问,诸如经由发出指示符合那些要求的证书或使用其他技术。不符合的计算机被拒绝访问,并可进行自动补救。例如,可使用缺失的软件更新或配置变化对不符合的计算机进行自动地更新。图1是描绘在采用了NAP的系统中计算机藉由其试图访问网络的示例过程的框图。在该过程中,在动作105中,计算机101向健康注册机构(HRA)103提供与其健康有关的信息,该健康注册机构103随后在动作110中将该信息传递给健康策略服务器104。健康策略服务器104对由计算机101提供的信息进行评估以确定其是否符合系统健康策略。在动作115中,该评估的结果随后被发送给HRA103。如果计算机101是符合的,则在动作115中HRA103从健康证书发出机构106获得用于计算机101的健康证书。在动作125中将该证书提供给HRA103,HRA103随后在动作130中将其发送给计算机101。通过使用该证书,计算机101可发起与资源102的受保护通信,并对由使用对应的健康证书对其自身进行认证的其他符合的计算机(图1中未示出)发起的通信进行响应。如果计算机101不符合系统健康策略,则健康策略服务器104通知HRA103该访问将被拒绝,由此HRA103不会从健康证书发出机构106获得用于计算机101的证书。因此,计算机101无法发起与资源102的通信。与由健康策略服务器104向HRA103提供的信息一起也被包括的是将由计算机101执行的补救指令,诸如与补救服务器(图1中未示出)进行通信以获得使得计算机101符合系统健康策略所需的组件。网际协议(IP)安全(IPSec)是在开放式系统互联(OSI)栈的网络层使用的用于保证根据IP协议在网络上发生的通信安全的协议套件。采用NAP和IPsec以保证网络通信安全的系统允许符合健康要求的计算机与网络上的其他计算机进行连接。在符合的计算机已经成功地连接并获得有效的IP地址配置之后,使用IPsec的NAP策略的实施将通信限于该符合的计算机。此外,采用IPsec的系统基于请求访问的设备和/或其用户的身份来控制对网络资源的访问(如,主机、服务器等)。
技术实现思路
申请人认识到用于控制对网络层的网络资源的访问的现有方法不够灵活。例如,如果系统采用网络层安全协议(如IPsec)来实施NAP策略,则请求访问该网络的计算机首先向健康注册机构(HRA)报告其健康,该健康注册机构向决定计算机是否符合系统健康策略的健康策略服务器传递信息。如果符合,则发出计算机根据网络层安全协议尝试至网络资源的连接的证书。如果不符合,则访问被拒绝,并且自动的补救可以发生。如果系统采用网络层安全协议但不实施NAP策略,则访问决策可基于设备和/或其用户的身份。在任一情形中,关于是否准予计算机访问的决策在本质上是二元的(即,是/否),并且主要基于请求设备和/或其用户的身份和/或健康,而不是可实现访问控制的更为灵活的方法的其他信息。为此,本专利技术的某些实施例通过使用声明中提供的信息就网络层的访问控制决策实现附加的灵活性。声明可提供信息作为在网络层制定访问决策时常规地采用(如,设备身份和/或健康以及用户身份)的补充或替代。例如,声明可提供关于请求访问的计算机的多种属性中的任一个:代表作出请求的用户、请求对其的访问的一个或多个资源(如IP地址、端口等)、所请求的访问的周围的环境(如,请求计算机的位置)和/或其他信息的信息。可基于一个或多个访问控制策略对声明中提供的信息进行评估,所述访问控制策略可被预先设置或动态地生成,并且可用于作出是准予还是拒绝计算机访问的决策。由此,更详细的信息可用于在网络层作出访问控制决策,从而在创建访问控制策略和作出访问控制决策中实现更大的灵活性。仅作为一个示例,由特定的角色的用户采用的不满足系统健康要求的计算机可被准予对网络的受限访问(如,仅能访问由策略指定的某些资源)。由于本专利技术的各实施例在此方面不受限制,因此管控对任何资源的访问控制的策略可被灵活地制定以计及任何性质或类型的信息。以上是对由所附权利要求书所定义的本专利技术的非限定性的概述。附图说明附图不旨在按比例绘制。在附图中,各个附图中示出的每个相同或近乎完全相同的组件由同样的附图标记来表示。出于简明的目的,不是每个组件在每张附图中均被标记。在附图中:图1是描绘根据现有技术的客户机藉由其请求访问网络资源的示例过程的框图。图2是描绘根据本专利技术的各实施例的客户机藉由其请求访问网络资源的采用了声明的示例过程的框图。图3是描绘根据本专利技术的各实施例的、藉由其来基于声明中包括的信息对客户对访问网络资源的请求进行评估的示例过程的活动示图。图4是描绘其上可实现本专利技术的某些实施例的示例计算机系统的框图;以及图5是描绘其上可存储体现本专利技术的各方面的指令的示例存储器的框图。具体实施方式本专利技术的某些实施例在关于网络层的访问控制决策制定方面比起常规技术所允许的具有更大的灵活性。在某些实施例中,通过在网络层使用声明或在认证和安全领域中公知的“断言”来获得该附加的灵活性。在一个示例中,由计算机根据网络层安全协议(如,IPsec、安全套接字层(SSL)等)发出的对访问网络资源的请求可导致由计算机发出的对来自一个或多个声明提供方的声明的请求。这些“请求方声明”可描述计算机的众多属性中的任一个:其用户、访问请求周围的环境和/或其他信息。例如,声明可标识计算机的用户的角色、组织从属关系、计算机是否配备有操作安全软件、它是家庭还是工作计算机、发出请求的地理位置、计算机和所请求的资源之间的连接强度(如,除签名、加密强度以外是否使用了加密)和/或其他信息。一旦获得,请求方声明就可由计算机传递给向其请求访问的资源。资源可向相同和/或不同的声明提供方请求自身的“资源声明”,该资源声明描述资源的众多属性中的任一个,诸如其商业敏感性、部署的阶段、组织所有权和/或其他信息。一旦已经获得资源声明,它们可与请求方声明一起被传递给策略决策点,策略决策点可对声明中反映的信息进行评估以确定它们是否符合一个或多个访问策略。如果评估的结果是请求符合访问控本文档来自技高网...
【技术保护点】
1.至少一个其上存储有指令的有形计算机可读存储介质制品(404、405),所述指令在由采用网络层安全协议的系统中的计算机(400)执行时,执行作出访问控制策略决策的方法,所述方法包括:(A)接收(235)与请求访问网络资源(202)的计算机(201)有关的信息,所述与计算机(201)有关信息被包括在被格式化以符合网络层安全协议的通信中,并且描述所述计算机的一个或多个属性:计算机的用户、以及计算机在其中请求对网络资源的访问的上下文;(B)接收(235)与网络资源(202)有关的信息,所述与网络资源有关的信息被包括在被格式化以符合网络层安全协议的通信中,并且描述所述网络资源的一个或多个属性:所述网络资源与之有关的组织、所述网络资源的所有者、所述网络资源的部署的阶段以及所述网络资源的敏感性;以及(C)至少部分地基于在(A)和(B)中接收的信息来发出(245)准予或者拒绝所述计算机对所述网络资源的访问的决策。
【技术特征摘要】
2010.06.24 US 12/822,7241.一种作出访问控制策略决策的方法,所述方法包括:接收与请求访问网络资源的计算机相关联的第一信息,所述第一信息被包括在被格式化成符合网络层安全协议的第一通信中并且描述与请求所述计算机对所述网络资源的访问的上下文相关联的属性;接收与所述网络资源相关联的第二信息,所述第二信息被包括在被格式化成符合网络层安全协议的第二通信中并且描述与所述网络资源是否处于生产阶段以及所述网络资源具有高等、中等还是低等商业影响中的至少一者相关联的属性;以及基于一个或多个策略对所述第一信息和所述第二信息进行评估以作出准予或者拒绝所述计算机对所述网络资源的访问的决策,所述一个或多个策略通过计及任何性质和类型的信息来在任何适合的粒度级别阐述与访问控制决策有关的标准。2.如权利要求1所述的方法,其特征在于,根据一个或多个策略对所述第一信息和所述第二信息进行评估以作出所述决策包括至少部分地基于从静态储存库检索的策略来作出所述决策。3.如权利要求2所述的方法,其特征在于,还包括:呈现界面以使用户能够创作用于静态储存库中的存储的策略。4.如权利要求2所述的方法,其特征在于,响应于来自所述网络资源的对访问控制策略决策的请求来执行作出准予或拒绝所述计算机对所述网络资源的访问的决策。5.如权利要求1所述的方法,其特征在于,接收第一信息包括接收包括与所述计算机有关的信息的声明,以及接收第二信息包括接收包括与所述网络资源有关的信息的声明。6.一种作出访问控制策略决策的系统,包括:包括一个或多个处理器的处理系统,所述一个或多个处理器被配置成:从计算机接收对一个或多个请求方声明的第一请求,所述第...
【专利技术属性】
技术研发人员:Y·托尔,D·罗斯,EJ·尼斯塔德特,P·施奈尔,M·萨皮尔,O·阿纳尼耶夫,A·扎瓦科夫斯基,A·埃亚勒,
申请(专利权)人:微软公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。