專利名稱:由用戶和設(shè)備管理網(wǎng)絡(luò)接入安全策略的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)接入安全���、入侵防御���,具體地涉及用于網(wǎng),入安全和周界(perimeter)控制的策略。
技術(shù)背景提供網(wǎng)^入給用戶的服務(wù)提供商通常通過將網(wǎng),入策略放置于適 當(dāng)?shù)奈恢貌⒐芾硭?,來?shí)現(xiàn)網(wǎng)絡(luò)的接入安全。適當(dāng)配置的接入安全有助于 使得用戶設(shè)備和網(wǎng)絡(luò)二者免于惡意攻擊和妄用����。已經(jīng)采取了各種方法來實(shí)現(xiàn)接入安全。 一種方法是針對(duì)整個(gè)公司或運(yùn) 營商網(wǎng)絡(luò)設(shè)定通用的過濾規(guī)則����。這些規(guī)則或策略可以專用于業(yè)務(wù)類型、要 提供的指定服務(wù)或用戶位置����,但是不考慮受保護(hù)網(wǎng)絡(luò)中的用戶的身份和用 于接入的設(shè)備類型。許多當(dāng)前應(yīng)用感知的防火墻和IDS/IPS (入侵檢測(cè)系 統(tǒng)/入侵防御系統(tǒng))系統(tǒng)已經(jīng)按照這個(gè)方法被開發(fā)出來��。更為近期的管理安全性的方法是根據(jù)用戶的身份和/或用戶的責(zé)任來 設(shè)定安全策略��。在通常存在不同規(guī)則的網(wǎng)絡(luò)中���,功能或特權(quán)特權(quán)被分配給 每個(gè)用戶�。因此�,可以實(shí)現(xiàn)接入安全以便當(dāng)用戶接入網(wǎng)絡(luò)時(shí),用戶被識(shí)別 并且與分配給該用戶的所分配的規(guī)則����、功能或特權(quán)相關(guān)聯(lián)的策略因而被用 來提供適用于該用戶的安全性。這種方法的例子是針對(duì)基于規(guī)則的或基于 用戶的接入控制而使用ACL (接入控制列表)�����。授權(quán)的設(shè)備可以被若干不 同用戶中的任一用戶使用來接入網(wǎng)絡(luò)����。每個(gè)用戶都受制于通過他或她的身 份確定的網(wǎng)絡(luò)安全策略。圖1A示出了這個(gè)原理��。網(wǎng),入設(shè)備10可以由 每個(gè)擁有不同身份的第一用戶20�����、第二用戶22或第三用戶24使用來接入 網(wǎng)絡(luò)5,并且可以具有不同的規(guī)則或特權(quán).接入設(shè)備10通過通常是控制雙向業(yè)務(wù)和接入的安全代理的安全策略執(zhí)行點(diǎn)(SPEP ) 21來接入網(wǎng)絡(luò)5�。圖 IB示出了利用通過SPEP 21耦合到網(wǎng)絡(luò)5的若干不同接入i殳備10、 12和 14中的任一個(gè)接入網(wǎng)絡(luò)5的單個(gè)用戶20�。不管用戶4吏用哪個(gè)i殳備10、 12�����、 14來接入網(wǎng)絡(luò)5��,由于單個(gè)用戶20總是維持相同的身份��、相同的規(guī)則和相 同的特權(quán)���,因此將應(yīng)用相同的安全策略��。與這些安全策略無關(guān)����,例如基于 端口的接入控制802.1x或IMEI (國際移動(dòng)設(shè)備識(shí)別碼)的工具被用來識(shí) 別和/或認(rèn)證被用來接入網(wǎng)絡(luò)時(shí)的設(shè)備�。不管網(wǎng)絡(luò)接入安全策略執(zhí)行的當(dāng)前狀態(tài)如何,如今的終端用戶可以使 用連接到接入網(wǎng)的若干不同類型設(shè)備中的任一個(gè)�����。這些類型的設(shè)備包括例 如膝上型計(jì)算機(jī)�、掌上計(jì)算機(jī)、平板個(gè)人計(jì)算機(jī)(PC )�、個(gè)人數(shù)字助理(PDA ) 和臺(tái)式計(jì)算機(jī)。這些設(shè)備中的每一個(gè)都具有唯一的不同硬件和軟件配置并統(tǒng)����。因此,每個(gè)設(shè)備都可能成為特定開采(exploit)和攻擊的對(duì)象���。這些 不同設(shè)備的性能彼此間可能也是相當(dāng)不同的�。戶提供至網(wǎng)絡(luò)的接入����,并且當(dāng)用戶改變接入設(shè)備時(shí)理想地為用戶接入動(dòng)態(tài) 地提供安全性同時(shí)維持注冊(cè)在安全策略執(zhí)行點(diǎn)上的相同用戶身份。已知的接入安全管理方法沒有解決這樣的情形�����,即終端用戶在同一位 置以同一身份動(dòng)態(tài)改變?cè)O(shè)備����;例如��,作為富出席概念架構(gòu)內(nèi)的用戶在不同 操作系統(tǒng)間或PDA和PC間切換����。不跟蹤這些設(shè)備的改變的當(dāng)前系統(tǒng)無法 獲知它們的安全策略視角��。通用的規(guī)則和策略或基于用戶身份和他的已知提供適當(dāng)?shù)陌踩?jí)別����。例如,防火墻/過濾規(guī)則即使針對(duì)每個(gè)用戶身份(即 相應(yīng)地證書)是專用的����,也沒有考慮所使用的終端設(shè)備的類型;相反����,它 們U于設(shè)備對(duì)于給定網(wǎng)段總是相同類型這一假設(shè)的(例如臺(tái)式計(jì)算機(jī))。 結(jié)果�����,如果沒有被網(wǎng)絡(luò)中的安全控制阻止���,則當(dāng)使用第一設(shè)備時(shí)有害的事 件�、業(yè)務(wù)或終端用戶的動(dòng)作可能對(duì)于另一i殳備或?qū)τ诜?wù)是石皮壞性的。一 個(gè)例子^IJ艮務(wù)器(例如PC)和小型便攜式網(wǎng)絡(luò)支持的設(shè)備(例如PDA)之間的差異���。PC每秒能夠接收大量的SYN分組����,而PDA會(huì)被PC能容易 地處理的相同業(yè)務(wù)量浸沒����。PDA安全策略可以設(shè)定對(duì)每秒接收的SYN分 組數(shù)目的限制���,其遠(yuǎn)小于PC的PC安全策略中每秒接收的SYN分組的限 制�。發(fā)明內(nèi)容根據(jù)本發(fā)明的一個(gè)寬泛方面�,提供了一種用于管理用戶-設(shè)備接入安全 策略的系統(tǒng),該系統(tǒng)包括具有相應(yīng)設(shè)備證書的接入設(shè)備�����;和安全策略執(zhí) 行點(diǎn)����,其用于從所述接入設(shè)備接收用戶證書和所述設(shè)備證書、利用所述用 戶證書檢索用戶安全策略��、利用所述設(shè)備證書檢索設(shè)備安全策略、利用所 述用戶安全策略和所述設(shè)備安全策略生成用戶-設(shè)備安全策略���、以及執(zhí)行所 述用戶-設(shè)備安全策略��。在本發(fā)明的一些實(shí)施例中�,所述設(shè)備證書包拾沒備指示符���,該指示符 包含設(shè)備類型�、設(shè)備模型��、設(shè)備配置和設(shè)備類別中的至少一個(gè)��。在本發(fā)明的一些實(shí)施例中�,所述用戶證書在第一信息信道上從所述接 入設(shè)備被傳送至所述安全策略執(zhí)行管理器,并且所述設(shè)備證書在第二信息 信道上從所述安全i殳備被傳送至所述安全策略執(zhí)行管理器�����。在本發(fā)明的一些實(shí)施例中��,所述安全策略執(zhí)行點(diǎn)還包括用戶策略模 塊�,用于從用戶數(shù)據(jù)庫檢索所述用戶安全策略;和PSDDSP (用于設(shè)定設(shè) 備相關(guān)的安全策略的點(diǎn)),用于從設(shè)備數(shù)據(jù)庫檢索所述設(shè)備安全策略�����。在本發(fā)明的一些實(shí)施例中����,所述用戶數(shù)據(jù)庫包括對(duì)應(yīng)于所述用戶證書 的用戶記錄,所述用戶記錄包括與所述用戶安全策略有關(guān)的信息�,并且所 述設(shè)備數(shù)據(jù)庫包括對(duì)應(yīng)于所述設(shè)備證書的i殳備記錄,所述設(shè)備記錄包括與 所述設(shè)備安全策略有關(guān)的信息��。在本發(fā)明的一些實(shí)施例中�����,所述用戶-設(shè)備安全策略是通過組合所述用的�。在本發(fā)明的一些實(shí)施例中����,所述組合包括將所述用戶安全規(guī)則添加到所述i殳備安全規(guī)則中以構(gòu)成所述用戶-設(shè)備策略的用戶-設(shè)4*則的集合。根據(jù)另一個(gè)寬泛方面��,本發(fā)明提供了一種用于管理用戶-設(shè)備接入安全 策略的方法�,該方法包括從接入設(shè)備發(fā)送用戶證書和設(shè)備證書;在安全 策略執(zhí)行點(diǎn)接收來自所述接入設(shè)備的所述用戶證書和所述設(shè)備證書;利用 所述用戶證書檢索用戶安全策略��;利用所述設(shè)備證書檢索設(shè)備安全策略�; 利用所述用戶安全策略和所述設(shè)備安全策略生成用戶-設(shè)備安全策略;以及 執(zhí)行所述用戶-設(shè)備安全策略����。在本發(fā)明的一些實(shí)施例中,所述設(shè)備證書包^i殳備指示符�����,該指示符 包^i殳備類型��、設(shè)備模型�、設(shè)備配置和設(shè)備類別中的至少一個(gè)。在本發(fā)明的一些實(shí)施例中��,所述用戶證書在第 一信息信道上從所述接 入設(shè)備被傳送至所述安全策略執(zhí)行管理器�,并且所述設(shè)備證書在第二信息 信道上從所述安全^殳備被傳送至所述安全策略執(zhí)行管理器。在本發(fā)明的一些實(shí)施例中��,所述檢索所述用戶安全策略包括由用戶策 略模塊從用戶數(shù)據(jù)庫檢索所述用戶安全策略�,并且所述檢索所述設(shè)備策略 包括由PSDDSP (用于設(shè)定設(shè)備相關(guān)的安全策略的點(diǎn))從設(shè)備數(shù)據(jù)庫檢索 所述設(shè)備安全策略。在本發(fā)明的一些實(shí)施例中����,所述用戶數(shù)據(jù)庫包括對(duì)應(yīng)于所述用戶證書 的用戶記錄����,所述用戶記錄包括與所述用戶安全策略有關(guān)的信息�����,并且所 述i殳備數(shù)據(jù)庫包括對(duì)應(yīng)于所述i殳備證書的設(shè)備記錄�,所述設(shè)備記錄包括與 所述設(shè)備安全策略有關(guān)的信息。在本發(fā)明的一些實(shí)施例中���,生成所述用戶-設(shè)備安全策略包括組合所述 用戶安全策略的用戶安全規(guī)則與所述設(shè)備安全策略的設(shè)備安全規(guī)則�。在本發(fā)明的一些實(shí)施例中����,所述組合的步驟包括將所述用戶安全規(guī)則 添加到所述設(shè)備安全規(guī)則中以構(gòu)成所述用戶-設(shè)備策略的用戶-設(shè)備規(guī)則的 集合�。
參考附圖,通過閱讀下面對(duì)優(yōu)選實(shí)施例的詳細(xì)描述��,本發(fā)明的特征和圖1A是說明由多個(gè)用戶中的任一個(gè)通過單個(gè)設(shè)備利用已知方法接入 網(wǎng)絡(luò)的一個(gè)例子的框圖�;圖IB是說明由單個(gè)用戶通過多個(gè)設(shè)備中的任一個(gè)利用已知方法接入 網(wǎng)絡(luò)的一個(gè)例子的框圖;圖2是說明根據(jù)本發(fā)明優(yōu)選實(shí)施例的由用戶和設(shè)備進(jìn)行網(wǎng)備接入安全 策略管理的框圖����;和圖3是說明根據(jù)優(yōu)選實(shí)施例的用于由用戶和設(shè)備進(jìn)行網(wǎng)洛接入安全策 略管理的方法的流程圖�����。應(yīng)當(dāng)指出���,在附圖中,對(duì)于相同的部分^f吏用相同的標(biāo)記�。
具體實(shí)施方式
現(xiàn)在參考圖2描述根據(jù)優(yōu)選實(shí)施例的用于由用戶和設(shè)備進(jìn)行網(wǎng)洛接入 安全策略管理的系統(tǒng)。這個(gè)策略管理機(jī)制能夠?qū)崿F(xiàn)從一個(gè)用戶接入設(shè)備至 另一個(gè)的動(dòng)態(tài)移動(dòng)��,做出針對(duì)每個(gè)設(shè)備的合適的安全策略改變���,同時(shí)使得 用戶能夠保持相同的身份��。支持用戶接入設(shè)備的動(dòng)態(tài)改變需要?jiǎng)討B(tài)地應(yīng)用考慮了接入設(shè)備特性 的���、接入網(wǎng)中各種不同安全機(jī)制(例如過濾規(guī)則、接入控制��、入侵檢測(cè)標(biāo) 準(zhǔn)���、業(yè)務(wù)管理)的策略�����。這些特性可以包括性能�����、所安裝的軟件�、關(guān)聯(lián)的 硬件、操作系統(tǒng)和協(xié)議����、以及該特定類型的設(shè)備所固有的特定安全漏洞。 當(dāng)用戶在具有十分不同的能力的接入設(shè)備之間切換時(shí)也需要?jiǎng)討B(tài)的安全策 略�����,例如當(dāng)用戶為接入網(wǎng)絡(luò)而在PC和PDA之間切換時(shí)?��,F(xiàn)在將從結(jié)構(gòu)方面描述如圖2所示的用于由用戶和設(shè)備進(jìn)行網(wǎng)絡(luò)接入 安全策略管理的系統(tǒng)。用戶120使用接入設(shè)備110來接入網(wǎng)絡(luò)105�。接入 設(shè)備110經(jīng)由安全策略執(zhí)行點(diǎn)(SPEP ) 210耦合到網(wǎng)絡(luò)105。 SPEP 210控 制雙向的業(yè)務(wù)和接入��,其可以是防火墻�����、IDS (入侵檢測(cè)系統(tǒng))。SBC (會(huì) 話邊界控制器)�、任何其他類型的安全代理。安全策略執(zhí)行點(diǎn)210具有關(guān) 聯(lián)的用戶策略模塊220和PSDDSP (用于設(shè)定設(shè)備相關(guān)的安全策略的點(diǎn))230�。在安全策略執(zhí)行點(diǎn)210和設(shè)備110之間的業(yè)務(wù)中,是第一信息信道 225�����、數(shù)據(jù)信道215和第二信息信道235����。第一信息信道225和第二信息信 道235 二者都是從接入設(shè)備110到SPEP 210的安全通信信道。用戶策略 模塊220能夠訪問用戶數(shù)據(jù)庫250����,而PSDDSP 230能夠訪問設(shè)備數(shù)據(jù)庫 260。現(xiàn)在將從功能方面描述如圖2所示的用于由用戶和設(shè)備進(jìn)行網(wǎng),入 安全策略管理的系統(tǒng)����。用戶120通過接入設(shè)備110接入網(wǎng)絡(luò)105。用戶證 書125因而在第一信息信道225上被轉(zhuǎn)發(fā)至SPEP 210���。 SPEP 210分析在 第一信息信道225上接收到用戶證書125�。該SPEP使用用戶策略模塊220 來確定經(jīng)由SPEP 210的用戶接入的用戶安全策略。策略模塊220訪問用 戶數(shù)據(jù)庫250以認(rèn)證用戶證書并查找與要在用戶接入網(wǎng)絡(luò)105時(shí)執(zhí)行的用 戶安全策略的用戶安全規(guī)則相關(guān)聯(lián)的身份�����、規(guī)則和/或服務(wù)�。接入設(shè)備110在第二信息信道235上將設(shè)備證書傳送給SPEP 210。該 設(shè)備證書包括指示了接入設(shè)備的類型����、模型、配置或類別的設(shè)備指示符�。 SPEP 210的PSDDSP 230使用該設(shè)備證書來搜索設(shè)備數(shù)據(jù)庫260。設(shè)備數(shù) 據(jù)庫260包含針對(duì)每個(gè)定義的設(shè)備類型����、設(shè)備模型、設(shè)備配置和設(shè)備類別 的記錄���。該數(shù)據(jù)庫中的每個(gè)記錄包含要在通過設(shè)備的類型�����、模型、配置或 類別來請(qǐng)求接入時(shí)所使用的安全策略考慮或設(shè)備安全規(guī)則�,包括安全參數(shù) (限制�、閾值���、簽名等)���、風(fēng)險(xiǎn)和該記錄所對(duì)應(yīng)的特定類型、模型�����、配置 或類別的"i殳備所固有的安全漏洞���。設(shè)備數(shù)據(jù)庫260可以位于SPEP 210的 遠(yuǎn)端或本地����。在檢索了包含于與接入設(shè)備類型�、模型、配置或類別相對(duì)應(yīng)的記錄中 的信息之后���,PSDDSP 230然后形成對(duì)設(shè)備策略的需求��,并且針對(duì)接入設(shè) 備110所參與的務(wù)活而執(zhí)行對(duì)SPEP 210的安全控制的調(diào)整��。這些對(duì)所執(zhí) 行的安全策略的調(diào)整是通過從設(shè)備數(shù)據(jù)庫260中檢索到的控制或設(shè)備安全 規(guī)則來被確定的�,并且可以包括限制進(jìn)入業(yè)務(wù)的速率或類型、查找攻擊簽 名��、設(shè)定警告閾值以及其他專用于接入設(shè)備IIO的控制�。對(duì)SPEP 120中 的安全策略進(jìn)行這些修改所產(chǎn)生的安全策略稱作用戶-設(shè)備安全策略。優(yōu)選地�����,簡單地通過將關(guān)聯(lián)于用戶安全策略的用戶安全規(guī)則添加到關(guān)聯(lián)于設(shè)備安全策略的設(shè)備安全規(guī)則中來組合用戶和設(shè)備策略�。PSDDSP 230和SPEP 210可以使用例如MIDCOM框架的協(xié)議來傳送并執(zhí)行用戶-設(shè)備安全策 略。一旦用戶-設(shè)備安全策略已經(jīng)針對(duì)通信會(huì)話而被建立��,就對(duì)接入設(shè)備 110與網(wǎng)絡(luò)105之間的數(shù)據(jù)信道215上傳送的業(yè)務(wù)執(zhí)行該用戶-設(shè)備安全策略o由PSDDSP 230做出的修改特別地用于這樣的情況���,即用戶和設(shè)備組 合更改成不同的i殳備和同一用戶的組合�。圖2所示的實(shí)施例完整地設(shè)想了 這樣的動(dòng)態(tài)情形���,即用戶可以在不同設(shè)備之間以同一用戶證書切換��。這種 動(dòng)態(tài)接入的示例性背景是用戶接入所謂的富出席框架�。在富出席框架中�, 富出席服務(wù)器注冊(cè)每個(gè)設(shè)備并且跟蹤和協(xié)調(diào)設(shè)備的狀態(tài)和使用,其中用戶 通常改變所使用的接入設(shè)備。在一些實(shí)施例中�,安全策略不包括任何詳細(xì)的用戶相關(guān)的安全策略, 而是使用PSDDSP 230來修改安全策略的通用或公共集合�,從而基于所提 供的設(shè)備證書來考慮設(shè)備相關(guān)的安全策略考慮����。這通常仍關(guān)聯(lián)于用戶的認(rèn) 證。現(xiàn)在參考圖3描述根據(jù)優(yōu)選實(shí)施例的用于由用戶和設(shè)備進(jìn)行網(wǎng)絡(luò)接入 安全策略管理的方法�。在步驟400,在用戶已輸入他或她的用戶證書到接 入設(shè)備中之后����,該接入設(shè)備在開始進(jìn)行會(huì)話時(shí)發(fā)送用戶和設(shè)備證書至 SPEP。在步驟410���, SPEP的用戶策略模塊接收該用戶證書��,而在步驟420 中���,PSDDSP (用于設(shè)定設(shè)備相關(guān)的安全策略的點(diǎn))接收該設(shè)備證書。在 步驟430,用戶策略才莫塊針對(duì)對(duì)應(yīng)于該用戶的用戶安全策略而搜索用戶數(shù) 據(jù)庫��,而在步驟440中�,PSDDSP針對(duì)對(duì)應(yīng)于該接入設(shè)備的設(shè)備安全策略 而搜索設(shè)備數(shù)據(jù)庫。在步驟450, SPEP按照該用戶安全策略而設(shè)定安全策 略��,然后在步驟460中��,SPEP修改該安全策略以納入該設(shè)備安全策略�����, 從而生成用戶-設(shè)備安全策略��。優(yōu)選地��,簡單地通過將關(guān)聯(lián)于用戶安全策略 的用戶安4^0'j添加到關(guān)聯(lián)于設(shè)備安全策略的設(shè)備安全規(guī)則中來組合用戶和設(shè)備策略����。 一旦用戶-設(shè)備安全策略就位,SPEP就可以執(zhí)行其功能以執(zhí) 行考慮了用戶策略和設(shè)備策略二者的安全�����。在示例性實(shí)施例中���,順序地執(zhí) 行策略���,其中用戶安全策略首先被執(zhí)行而設(shè)備安全策略最后被執(zhí)行����。當(dāng)用戶從一個(gè)設(shè)備切換至另 一個(gè)設(shè)備時(shí)可以執(zhí)行這個(gè)網(wǎng)絡(luò)接入安全策 略管理方法�,在該情況下,網(wǎng)絡(luò)通信會(huì)話保持激活并且從舊接入設(shè)備平滑 地轉(zhuǎn)移至新接入i殳備�����。 一個(gè)例子是從舊設(shè)備至新設(shè)備的分組隧道傳送�����,這 發(fā)生于IP移動(dòng)性框架內(nèi)����。在這種情況下�,會(huì)話轉(zhuǎn)移觸發(fā)了新接入設(shè)備與 PSDDSP的通信。應(yīng)當(dāng)理解����,在這個(gè)方法中,步驟410至420可以以相反的順序執(zhí)行���, 步驟430和440也同樣����。所說明的實(shí)施例僅是示例性的,并且本領(lǐng)域技術(shù)人員應(yīng)當(dāng)認(rèn)識(shí)到��,可 以在不脫離本發(fā)明精神的前提下實(shí)現(xiàn)上述實(shí)施例的變型����。本發(fā)明的范圍僅 由所附權(quán)利要求來限定。
權(quán)利要求
1.一種用于管理用戶-設(shè)備接入安全策略的系統(tǒng)�,該系統(tǒng)包括接入設(shè)備,其具有相應(yīng)的設(shè)備證書�����;和安全策略執(zhí)行點(diǎn)�,用于從所述接入設(shè)備接收用戶證書和所述設(shè)備證書、利用所述用戶證書檢索用戶安全策略�����、利用所述設(shè)備證書檢索設(shè)備安全策略���、利用所述用戶安全策略和所述設(shè)備安全策略生成用戶-設(shè)備安全策略����、以及執(zhí)行所述用戶-設(shè)備安全策略。
2. 根據(jù)權(quán)利要求1所述的用于管理用戶-設(shè)備接入安全策略 的系統(tǒng)���,其中�,所述設(shè)備證書包括設(shè)備指示符�,該設(shè)備指示符包 含設(shè)備類型、設(shè)備模型�����、設(shè)備配置和設(shè)備類別中的至少一個(gè)�。
3. 根據(jù)權(quán)利要求2所述的用于管理用戶-設(shè)備接入安全策略 的系統(tǒng)���,其中�,所述用戶證書在第一信息信道上從所述接入設(shè)備 被傳送至所述安全策略執(zhí)行管理器��,而所述設(shè)備證書在第二信息 信道上從所述接入設(shè)備被傳送至所述安全策略執(zhí)行管理器�。
4. 根據(jù)權(quán)利要求2所述的用于管理用戶-設(shè)備接入安全策略 的系統(tǒng),其中����,所述安全策略執(zhí)行點(diǎn)還包括用于從用戶數(shù)據(jù)庫 檢索所述用戶安全策略的用戶策略模塊,和用于從設(shè)備數(shù)據(jù)庫檢 索所述設(shè)備安全策略的PSDDSP (用于設(shè)定設(shè)備相關(guān)的安全策略 的點(diǎn))���。
5. 根據(jù)權(quán)利要求4所述的用于管理用戶-設(shè)備接入安全策略 的系統(tǒng)�����,其中���,所述用戶數(shù)據(jù)庫包括對(duì)應(yīng)于所述用戶證書的用戶 記錄��,所述用戶記錄包括與所述用戶安全策略有關(guān)的信息�,并且 所述設(shè)備數(shù)據(jù)庫包括對(duì)應(yīng)于所述設(shè)備證書的設(shè)備記錄��,所述設(shè)備 記錄包括與所述設(shè)備安全策略有關(guān)的信息��。
6. 根據(jù)權(quán)利要求1所述的用于管理用戶-設(shè)備接入安全策略的系統(tǒng)����,其中,所述用戶-設(shè)備安全策略是通過組合所述用戶安全 策略的用戶安全規(guī)則與所述設(shè)備安全策略的設(shè)備安全規(guī)則來生成 的��。
7. 根據(jù)權(quán)利要求6所述的用于管理用戶-設(shè)備接入安全策略 的系統(tǒng)�,其中,所述組合包括將所述用戶安全規(guī)則添加到所述設(shè) 備安全規(guī)則中以構(gòu)成所述用戶-設(shè)備策略的用戶-設(shè)備規(guī)則的集合�����。
8. —種用于管理用戶-設(shè)備接入安全策略的方法,該方法包括'.從接入設(shè)備發(fā)送用戶證書和設(shè)備證書����;在安全策略執(zhí)行點(diǎn)接收來自所述接入設(shè)備的所述用戶證 書和所述設(shè)備證書;利用所述用戶證書檢索用戶安全策略�����;利用所述設(shè)備證書檢索設(shè)備安全策略��;利用所述用戶安全策略和所述設(shè)備安全策略生成用戶-設(shè)備安全策略�;和執(zhí)行所述用戶-設(shè)備安全策略。
9. 根據(jù)權(quán)利要求8所述的用于管理用戶-設(shè)備接入安全策略 的方法����,其中��,所述設(shè)備證書包括設(shè)備指示符���,該設(shè)備指示符包 含設(shè)備類型�、設(shè)備模型��、設(shè)備配置和設(shè)備類別中的至少一個(gè)����。
10. 根據(jù)權(quán)利要求9所述的用于管理用戶-設(shè)備接入安全策略 的方法�,其中��,所述用戶證書在第一信息信道上從所述接入設(shè)備 被傳送至所述安全策略執(zhí)行管理器�,并且所述設(shè)備證書在第二信 息信道上從所述接入設(shè)備被傳送至所述安全策略執(zhí)行管理器。
11. 根據(jù)權(quán)利要求9所述的用于管理用戶-設(shè)備接入安全策略 的方法���,其中���,對(duì)所述用戶安全策略的所述檢索包括由用戶策略 模塊檢索從用戶數(shù)據(jù)庫檢索所述用戶安全策略,并且對(duì)所述設(shè)備 策略的檢索包括由PSDDSP (用于設(shè)定設(shè)備相關(guān)的安全策略的點(diǎn)) 從設(shè)備數(shù)據(jù)庫檢索所述設(shè)備安全策略��。
12. 根據(jù)權(quán)利要求11所述的用于管理用戶-設(shè)備接入安全策 略的方法��,其中��,所述用戶數(shù)據(jù)庫包括對(duì)應(yīng)于所述用戶證書的用 戶記錄���,所述用戶記錄包括與所述用戶安全策略有關(guān)的信息����,并 且所述設(shè)備數(shù)據(jù)庫包括對(duì)應(yīng)于所述設(shè)備證書的設(shè)備記錄,所述設(shè) 備記錄包括與所述設(shè)備安全策略有關(guān)的信息���。
13. 根據(jù)權(quán)利要求8所述的用于管理用戶-設(shè)備接入安全策略 的方法�,其中����,生成所述用戶-設(shè)備安全策略包括組合所述用戶安 全策略的用戶安全規(guī)則與所述設(shè)備安全策略的設(shè)備安全規(guī)則。
14. 根據(jù)權(quán)利要求13所述的用于管理用戶-設(shè)備接入安全策 略的方法���,其中��,所述組合的步驟包括將所述用戶安全規(guī)則添加 到所述設(shè)備安全規(guī)則中以構(gòu)成所述用戶-設(shè)備策略的用戶-設(shè)備規(guī) 則的集合��。
全文摘要
提供了用于由用戶和設(shè)備管理接入安全的系統(tǒng)和方法���。安全策略執(zhí)行點(diǎn)具有用于從用戶的接入設(shè)備接收用戶證書的用戶策略模塊以及用于從接入設(shè)備接收設(shè)備證書的設(shè)定設(shè)備相關(guān)的安全策略的點(diǎn)。利用用戶證書從用戶數(shù)據(jù)庫檢索用戶策略����,而利用設(shè)備證書從設(shè)備數(shù)據(jù)庫檢索設(shè)備策略����。用戶策略和設(shè)備策略被組合并被用在SPEP中以執(zhí)行基于用戶和設(shè)備的安全策略。
文檔編號(hào)H04L29/06GK101601257SQ200880003990
公開日2009年12月9日 申請(qǐng)日期2008年2月7日 優(yōu)先權(quán)日2007年2月9日
發(fā)明者D·維諾庫羅夫, V·K·喬伊 申請(qǐng)人:阿爾卡特朗訊公司