| 发明名称 | 用于启用网络层声明的访问控制的可信中介 | ||
| 摘要 | 本发明涉及用于启用网络层声明的访问控制的可信中介。本发明的各实施例提供用于在其中访问控制决策可至少部分地基于声明中提供的信息的系统中使用的可信中介。该中介可代表对其请求访问的网络资源来请求声明,并且提交该声明以获得是准予还是拒绝访问的决策。该决策可至少部分地基于可被预先设置或动态地生成的一个或多个访问控制策略。由于中介请求声明并且提交该声明以进行访问控制决策,因此网络资源(如,服务器应用程序)无需被配置为处理声明信息。 | ||
| 申请公布号 | CN102299914A | 申请公布日期 | 2011.12.28 |
| 申请号 | CN201110184744.X | 申请日期 | 2011.06.23 |
| 申请人 | 微软公司 | 发明人 | Y·托尔;E (J)·尼斯塔德特;P·施奈尔;O·阿纳尼耶夫;A·扎瓦科夫斯基;D·罗斯 |
| 分类号 | H04L29/06(2006.01)I;H04L29/08(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 上海专利商标事务所有限公司 31100 | 代理人 | 杨洁 |
| 主权项 | 一种用于包括经由至少一个网络与网络资源(202)进行通信的计算机(201)的系统的装置(209),所述至少一个网络采用网络层安全协议,所述装置包括至少一个处理器(403),所述至少一个处理器被编程为:(A)从计算机(201)接收(220)一个或多个请求方声明,所述请求方声明描述所述计算机的一个或多个属性,即计算机的用户以及其中计算机请求对网络资源的访问的上下文,所述一个或多个请求方声明是包括在被格式化以符合网络层安全协议的通信中;(B)代表网络资源(202)请求(225)一个或多个资源声明,所述一个或多个资源声明描述所述网络资源的一个或多个属性:所述网络资源与之相关的组织、所述网络资源的所有者、所述网络资源的部署的阶段以及所述网络资源的敏感性;(C)接收(230)一个或多个资源声明,所述一个或多个资源声明是包括在被格式化以符合网络层安全协议的通信中;以及(D)请求(235)是准予还是拒绝计算机对网络资源的访问的访问控制策略决策,所述请求提供在一个或多个请求方声明和一个或多个资源声明中包括的信息,所述请求是包括在被格式化以符合网络层安全协议的通信中,所述访问控制策略决策至少部分地基于所述信息。 | ||
| 地址 | 美国华盛顿州 | ||