国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      提供基于策略的網(wǎng)絡(luò)安全證明撤回的方法和裝置的制作方法

      文檔序號(hào):6566447閱讀:216來(lái)源:國(guó)知局
      專利名稱:提供基于策略的網(wǎng)絡(luò)安全證明撤回的方法和裝置的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明一般地涉及計(jì)算機(jī)網(wǎng)絡(luò)中的安全機(jī)制。更具體而言,本發(fā)明涉 及用于撤回諸如數(shù)字證書、口令等安全證明的技術(shù)。
      背景技術(shù)
      本部分中描述的手段可以被實(shí)現(xiàn),但是不一定是先前已經(jīng)被設(shè)計(jì)出或 實(shí)現(xiàn)的手段。因此,除非這里另外指明,否則本部分中描述的手段不是本 申請(qǐng)的權(quán)利要求的現(xiàn)有技術(shù),也不因被包括在本部分中而被認(rèn)定是現(xiàn)有技 術(shù)。
      很多計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)涉及在系統(tǒng)中從機(jī)構(gòu)元件向網(wǎng)絡(luò)元件分發(fā)證 明或狀態(tài)信息。如果狀態(tài)信息改變,或者證明變?yōu)闊o(wú)效,則機(jī)構(gòu)元件可以 選擇撤回證明或狀態(tài)信息,并且機(jī)構(gòu)元件需要通知網(wǎng)絡(luò)元件已經(jīng)發(fā)生了撤 回。
      在過去的一種手段中,認(rèn)證機(jī)構(gòu)(CA)向分組交換網(wǎng)絡(luò)中的路由器、 交換機(jī)或其他元件分發(fā)數(shù)字證書。CA維護(hù)一個(gè)證書撤回列表(CRL), 其列出了標(biāo)識(shí)CA已撤回或聲明為無(wú)效的所有證書的信息。CRL通過獨(dú)特 的標(biāo)識(shí)符值來(lái)標(biāo)識(shí)每個(gè)被撤回的證書。每個(gè)網(wǎng)絡(luò)元件可以周期性地聯(lián)系 CA并下載當(dāng)前的CRL。依賴于是否在CRL中找到特定的數(shù)字證書,網(wǎng)絡(luò) 元件驗(yàn)證或不驗(yàn)證特定證書?;蛘?,每次網(wǎng)絡(luò)元件需要驗(yàn)證證書時(shí),都會(huì) 參考在線服務(wù); 一個(gè)示例是OSCP。在周期性地下載CRL的離線模型中, 由于網(wǎng)絡(luò)帶寬、流量或其他約束,CRL的大小變得至關(guān)重要。
      但是,使用該手段,如果發(fā)生了使大量證書或其他證明無(wú)效的事件, 則撤回所有證明將是困難的和耗時(shí)的。例如,假設(shè)某個(gè)被管理網(wǎng)絡(luò)包括 1,000個(gè)路由器,每個(gè)路由器運(yùn)行版本為"3.0"的操作系統(tǒng),并且每個(gè)路 由器存儲(chǔ)數(shù)字屬性證書。還假設(shè)由于安全原因,僅當(dāng)這些路由器中的請(qǐng)求
      路由器出示了表明有效和受信的機(jī)器配置的屬性證書時(shí),特定服務(wù)器才會(huì) 向該路由器提供特定范圍。還假設(shè)操作系統(tǒng)的供應(yīng)商確定操作系統(tǒng)版本 "3.0"中存在一個(gè)重大bug,并且該bug足以要求服務(wù)器拒絕對(duì)具有該 bug的路由器提供服務(wù)。為了阻止對(duì)這些路由器的服務(wù),全部1,000個(gè)證 書都需要被撤回。當(dāng)前沒有完成這一操作的容易或高效的方式。例如,CA 需要在CRL中存儲(chǔ)1,000個(gè)條目,這可能是大得不合理的。例如,如果 CA是在網(wǎng)絡(luò)中的路由器中實(shí)現(xiàn)的,則路由器處的有限存儲(chǔ)資源會(huì)約束 CRL的可允許大小。
      上述手段例如被用在ITU標(biāo)準(zhǔn)X.509、 IETF注釋請(qǐng)求(RFC) 3281以 及RFC 3280的IETF PKIX技術(shù)中定義的數(shù)字證書技術(shù)中?;谶@些協(xié)議 的證書機(jī)構(gòu)已經(jīng)被Microsoft Corporation、 Entrust禾tl Verisign在商業(yè)上實(shí) 現(xiàn)。
      基于上述情況,很明顯需要一種用于撤回計(jì)算機(jī)網(wǎng)絡(luò)中的證明的改良 技術(shù)。


      附圖以示例而非限制的方式示出了本發(fā)明,在附圖中,相似的標(biāo)號(hào)指
      示相似的元件,其中
      圖1是提供基于策略的網(wǎng)絡(luò)安全證明撤回的示例性系統(tǒng)的框圖2是包含提供基于策略的網(wǎng)絡(luò)安全證明撤回的軟件元素的示例性網(wǎng)
      絡(luò)元件的框圖3是示例性撤回規(guī)則列表的框圖4是示出了用于基于策略的網(wǎng)絡(luò)安全證明撤回的方法的一個(gè)實(shí)施例 的高級(jí)別概況的流程圖;以及
      圖5是示出了可以實(shí)現(xiàn)本發(fā)明的計(jì)算機(jī)系統(tǒng)的框圖。
      具體實(shí)施例方式
      下面描述用于基于策略的網(wǎng)絡(luò)安全證明撤回的方法和裝置。在下文 中,為了說(shuō)明而列出了大量具體細(xì)節(jié),以便提供對(duì)本發(fā)明的透徹理解。但
      是對(duì)于本領(lǐng)域技術(shù)人員來(lái)說(shuō)很明顯,可以在沒有這些具體細(xì)節(jié)的情況下實(shí) 施本發(fā)明。此外,沒有以框圖的形式示出公知的結(jié)構(gòu)和設(shè)備,以免不必要 地模糊本發(fā)明。
      本發(fā)明滿足了前面背景技術(shù)中提到的需求以及將從下文中變得清楚的 其他需求和目的,本發(fā)明的一個(gè)方面包括一種用于基于策略的網(wǎng)絡(luò)安全證 明撤回的方法,包括接收并存儲(chǔ)一個(gè)或多個(gè)證明撤回規(guī)則,其中每個(gè)所 述證明撤回規(guī)則指定與要被撤回的一個(gè)或多個(gè)證明相關(guān)聯(lián)的一個(gè)或多個(gè)第 一屬性和所述第一屬性的第一值;接收并存儲(chǔ)一個(gè)或多個(gè)網(wǎng)絡(luò)證明,其中 每個(gè)所述網(wǎng)絡(luò)證明包括一個(gè)或多個(gè)第二屬性和所述第二屬性的第二值;以
      及當(dāng)所述一個(gè)或多個(gè)網(wǎng)絡(luò)證明中的特定網(wǎng)絡(luò)證明的一個(gè)或多個(gè)第二屬性的 第二值與所述證明撤回規(guī)則之一的一個(gè)或多個(gè)第一屬性的第一值相匹配 時(shí),確定所述特定網(wǎng)絡(luò)證明是無(wú)效的,并執(zhí)行響應(yīng)動(dòng)作。所述網(wǎng)絡(luò)證明可
      以被生成和簽名或以其他方式被某個(gè)機(jī)構(gòu)認(rèn)證;于是網(wǎng)絡(luò)證明的用戶可以 驗(yàn)證該網(wǎng)絡(luò)證明確實(shí)是由該機(jī)構(gòu)生成的。
      此外, 一種撤回機(jī)構(gòu)可以執(zhí)行以下步驟接收定義了一個(gè)或多個(gè)所述
      證明撤回規(guī)則的信息并且將所述證明撤回規(guī)則提供給一個(gè)或多個(gè)網(wǎng)絡(luò)元
      件。在一種手段中,該撤回機(jī)構(gòu)執(zhí)行在撤回機(jī)構(gòu)的證明撤回規(guī)則列表中
      存儲(chǔ)所述證明撤回規(guī)則;創(chuàng)建包含一個(gè)或多個(gè)所述證明撤回規(guī)則的網(wǎng)絡(luò)證 明撤回消息;以及使用多播消息向所述網(wǎng)絡(luò)元件發(fā)送所述網(wǎng)絡(luò)證明撤回消 息。在一種變型中,提供所述證明撤回規(guī)則包括在服務(wù)器中存儲(chǔ)所述證明 撤回規(guī)則,其中所述服務(wù)器的網(wǎng)絡(luò)位置在所述特定網(wǎng)絡(luò)證明中標(biāo)識(shí)。此外/ 或者,所述網(wǎng)絡(luò)證明撤回消息僅被發(fā)送到先前已接收到可能與所述消息中 的所述證明撤回規(guī)則匹配的 一個(gè)或多個(gè)證明的網(wǎng)絡(luò)元件。
      在其他方面中,本發(fā)明包括被配置為執(zhí)行以上步驟的計(jì)算機(jī)裝置和計(jì) 算機(jī)可讀介質(zhì)。
      這里根據(jù)下面的大綱來(lái)描述實(shí)施例
      1.0 結(jié)構(gòu)概述 2.0 功能概述 3.0實(shí)現(xiàn)機(jī)制——硬件概述
      4.0 擴(kuò)展和替換 l.O結(jié)構(gòu)概述
      圖1是提供基于策略的網(wǎng)絡(luò)安全證明撤回的示例性系統(tǒng)的框圖。撤回
      機(jī)構(gòu)102可通信地耦合到包括一個(gè)或多個(gè)網(wǎng)絡(luò)元件106A、 106B、 106C的 網(wǎng)絡(luò)104。在多個(gè)實(shí)施例中,撤回機(jī)構(gòu)102可以被實(shí)現(xiàn)為網(wǎng)絡(luò)管理站或系 統(tǒng)、分組交換網(wǎng)絡(luò)的路由器,或可以與網(wǎng)絡(luò)通信并執(zhí)行這里描述的撤回機(jī) 構(gòu)功能的任何其他適當(dāng)?shù)挠?jì)算設(shè)備。撤回機(jī)構(gòu)102可以但不必須與證書機(jī) 構(gòu)集成。
      在圖1的示例中,網(wǎng)絡(luò)104是分組交換網(wǎng)絡(luò),網(wǎng)絡(luò)元件106A、 106B、 106C中的每一個(gè)是路由器、交換機(jī)或其他基礎(chǔ)設(shè)施元件?;蛘撸?任意或全部網(wǎng)絡(luò)元件106A、 106B、 106C可以包括末端站設(shè)備、無(wú)線設(shè) 備,等等。這里的技術(shù)也可以形成涉及多個(gè)服務(wù)器和軟件的組合的網(wǎng)絡(luò)安 全解決方案的一部分,所述多個(gè)服務(wù)器和軟件進(jìn)行交互以提供包括訪問、 授權(quán)和記帳(AAA)服務(wù)、用戶許可控制等的綜合網(wǎng)絡(luò)安全機(jī)制。例如, 這里的技術(shù)可被用來(lái)執(zhí)行對(duì)向第二網(wǎng)絡(luò)元件出示屬性證書的第一網(wǎng)絡(luò)元件 的姿態(tài)(posture)驗(yàn)證。作為特定示例,該技術(shù)可被用來(lái)在某個(gè)事件使得 評(píng)估網(wǎng)絡(luò)元件的姿態(tài)的標(biāo)準(zhǔn)無(wú)效時(shí)撤回基于網(wǎng)絡(luò)元件的姿態(tài)而向網(wǎng)絡(luò)元件 發(fā)出的證明。
      為了示出清楚的示例,圖1示出了三(3)個(gè)這樣的網(wǎng)絡(luò)元件,但是 在其他實(shí)施例中可以有任意數(shù)量的網(wǎng)絡(luò)元件。本公開特別考慮了與具有幾 千個(gè)網(wǎng)絡(luò)元件的網(wǎng)絡(luò)一起使用的實(shí)施例。
      撤回機(jī)構(gòu)102維護(hù)撤回規(guī)則列表105。撤回機(jī)構(gòu)102容宿證明撤回邏 輯107,證明撤回邏輯107包括實(shí)現(xiàn)這里進(jìn)一步描述的撤回機(jī)構(gòu)功能的一 個(gè)或多個(gè)計(jì)算機(jī)程序指令序列或其他軟件元素。在執(zhí)行這些功能時(shí),撤回 機(jī)構(gòu)102可以發(fā)送一個(gè)或多個(gè)撤回消息114到網(wǎng)絡(luò)104和網(wǎng)絡(luò)元件106A、 106B、 106C。除了這里描述的證明撤回方法以外,撤回機(jī)構(gòu)102還可以執(zhí) 行網(wǎng)絡(luò)路由選擇或其他功能;也就是說(shuō),這里的技術(shù)不要求撤回機(jī)構(gòu)僅專 用于執(zhí)行撤回。
      圖2是包含提供基于策略的網(wǎng)絡(luò)安全證明撤回的軟件元素的示例性網(wǎng)
      絡(luò)元件的框圖。例如,圖1的網(wǎng)絡(luò)元件106A、 106B、 106C中的每一個(gè)都 可以具有圖2所示的組成元件。網(wǎng)絡(luò)元件106A可以包括操作系統(tǒng)108,其 容宿接收和評(píng)估一個(gè)或多個(gè)證明IIO的證明撤回邏輯112并在撤回規(guī)則存 儲(chǔ)裝置120中存儲(chǔ)撤回規(guī)則列表105。證明110可以包括證書機(jī)構(gòu)根關(guān)鍵 字、數(shù)字證書、口令或撤回機(jī)構(gòu)102可能需要撤回的任何其他信息。在一 個(gè)實(shí)施例中,證明110是遵循RFC 3281的屬性證書。撤回規(guī)則存儲(chǔ)裝置 120可以被構(gòu)造為存儲(chǔ)器中的緩存、MIB,或任何其他適當(dāng)?shù)臄?shù)據(jù)結(jié)構(gòu)或 數(shù)據(jù)存儲(chǔ)裝置。
      證明撤回邏輯112可以接收和處理撤回機(jī)構(gòu)102發(fā)出的一個(gè)或多個(gè)撤 回消息114。證明撤回邏輯112包括實(shí)現(xiàn)這里進(jìn)一步描述的網(wǎng)絡(luò)元件功能 的一個(gè)或多個(gè)計(jì)算機(jī)程序指令序列或其他軟件元素。在一個(gè)實(shí)施例中,證 明撤回邏輯112可以被實(shí)現(xiàn)為來(lái)自Cisco Systems, Inc., San Jose, California 的Cisco 10S⑧軟件的一部分,該部分是在IOS的控制下運(yùn)行的應(yīng)用或被集 成到IOS中的應(yīng)用。
      根據(jù)一個(gè)實(shí)施例,為了撤回一個(gè)或多個(gè)證明,撤回機(jī)構(gòu)102向網(wǎng)絡(luò) 104發(fā)送或傳播撤回消息114。每個(gè)撤回消息114定義一個(gè)撤回策略或規(guī) 則。此外,撤回規(guī)則列表105存儲(chǔ)可被放在撤回消息U4中的撤回策略或 規(guī)則。接收撤回消息114的網(wǎng)絡(luò)元件提取消息中攜帶的撤回規(guī)則,并將這 些規(guī)則存儲(chǔ)在撤回規(guī)則存儲(chǔ)裝置120中的本地撤回規(guī)則列表105中。
      圖3是示例性撤回規(guī)則列表的框圖。撤回規(guī)則列表105可以包括一個(gè) 或多個(gè)撤回規(guī)則105A,每個(gè)撤回規(guī)則105A包括規(guī)則標(biāo)識(shí)符105B和規(guī)則 陳述105C。存儲(chǔ)在網(wǎng)絡(luò)元件106A、 106B、 106C中的每個(gè)證明110具有一 個(gè)或多個(gè)屬性值對(duì)。這些值對(duì)應(yīng)于網(wǎng)絡(luò)元件的屬性。例如,屬性可以是網(wǎng) 絡(luò)元件扮演的角色、網(wǎng)絡(luò)元件的位置、軟件版本信息、硬件類型或版本信 息等。因此,證明110可以包括屬性證明或授權(quán)證明,而不是身份證明。 網(wǎng)絡(luò)元件使用身份證明來(lái)向另 一元件證實(shí)其身份,而網(wǎng)絡(luò)元件使用屬性證 明來(lái)向另一元件證實(shí)其屬性,以便獲得對(duì)執(zhí)行動(dòng)作或訪問資源的授權(quán)。例 如,證明機(jī)構(gòu)可以向網(wǎng)絡(luò)元件發(fā)出屬性證明以證實(shí)該網(wǎng)絡(luò)元件的當(dāng)前配置
      和軟件。證明機(jī)構(gòu)可以被容宿在與容宿撤回機(jī)構(gòu)102的網(wǎng)絡(luò)元件相同的網(wǎng) 絡(luò)元件上,或者可以被容宿在不同的網(wǎng)絡(luò)元件上。
      每個(gè)規(guī)則陳述105C指定一個(gè)或多個(gè)屬性值對(duì)。例如,規(guī)則陳述105C 可以表達(dá)規(guī)貝U " REVOKE os.type==windows AND patch.level < 15000.00"。該示例性規(guī)則意味著撤回機(jī)構(gòu)102正在撤回所有"os.type" 屬性等于"windows"并且"patch.level"屬性的值小于"15000.00"的證 明110。又例如, 一個(gè)規(guī)則可以表達(dá)這樣的策略,其中針對(duì)具有特定硬件 類型的設(shè)備在某個(gè)日期之前發(fā)出的所有屬性證書都被撤回。規(guī)則陳述 105C可以表達(dá)任意數(shù)量的屬性值對(duì),這些屬性值對(duì)使用諸如AND (與)、OR (或)等布爾邏輯運(yùn)算符連接在一起。屬性和值的關(guān)系可以使 用指示等于、大于、小于的算術(shù)運(yùn)算符或其他算術(shù)關(guān)系。
      如省略號(hào)107所指示,撤回規(guī)則列表105可以包括任意數(shù)量的撤回規(guī) 則105A。撤回規(guī)則列表105可以被存儲(chǔ)為屬性值對(duì)的列表、使用SNMP 的設(shè)備的管理信息庫(kù)(MIB)中的表或任意其他數(shù)據(jù)結(jié)構(gòu)或數(shù)據(jù)存儲(chǔ)庫(kù)。 表示規(guī)則陳述105C的具體方法不是關(guān)鍵的,圖3所示的象征性文本僅作 為形成規(guī)則陳述的一個(gè)示例給出。
      2.0功能概述
      圖4是示出了用于基于策略的網(wǎng)絡(luò)安全證明撤回的方法的一個(gè)實(shí)施例 的高級(jí)別概況的流程圖。
      在步驟402,撤回機(jī)構(gòu)102接收定義一個(gè)或多個(gè)撤回規(guī)則的信息,這 些規(guī)則在步驟404被存儲(chǔ)在撤回規(guī)則列表中。例如,步驟402—402可以 涉及用戶向圖形用戶界面工具提供輸入,該圖形用戶界面工具3甫助定義撤 回規(guī)則的屬性值對(duì)或其他特性以及將撤回規(guī)則存儲(chǔ)在撤回機(jī)構(gòu)102的撤回 規(guī)則列表105中?;蛘撸襟E402 — 404可以涉及用戶發(fā)出命令行界面 (CLI)命令,該CLI命令定義撤回規(guī)則并且命令撤回機(jī)構(gòu)102在撤回規(guī) 則列表中存儲(chǔ)撤回規(guī)則。
      在另一備選示例中,步驟402—404可以涉及撤回機(jī)構(gòu)102通過程序 方式(例如通過接收事件、來(lái)自外部程序或系統(tǒng)的調(diào)用)來(lái)接收撤回規(guī)
      則。在另一備選示例中,步驟402—404可以涉及撤回機(jī)構(gòu)102通過諸如 文件傳輸協(xié)議(FTP)事務(wù)、SNMP bulk SET操作等批量數(shù)據(jù)(bulk data) 傳輸方法來(lái)接收規(guī)則信息。因此,在步驟402_404使用的向撤回機(jī)構(gòu)提 供撤回規(guī)則的具體方法不是關(guān)鍵的,步驟402 — 404可以使用現(xiàn)在已知的 或以后發(fā)明的任何其他方法或技術(shù)。
      在另一備選示例中,步驟402可以涉及接收響應(yīng)于網(wǎng)絡(luò)威脅通告而自 動(dòng)生成的撤回規(guī)則。例如,撤回機(jī)構(gòu)102或在監(jiān)視網(wǎng)絡(luò)威脅時(shí)涉及的另一 元件可以接收指示特定操作系統(tǒng)的某個(gè)版本或補(bǔ)丁具有安全漏洞的信息。 作為響應(yīng),撤回機(jī)構(gòu)102可以創(chuàng)建撤回具有與該操作系統(tǒng)版本或補(bǔ)丁相匹 配的屬性值的所有證書的撤回規(guī)則。
      在步驟406 — 408,撤回機(jī)構(gòu)102向網(wǎng)絡(luò)元件提供一個(gè)或多個(gè)撤回規(guī) 則。在步驟406,撤回機(jī)構(gòu)102創(chuàng)建包含一個(gè)或多個(gè)撤回規(guī)則的網(wǎng)絡(luò)證明 撤回消息,例如圖1、圖2的撤回消息114。為了防止偽造、欺騙或中間 人攻擊,撤回機(jī)構(gòu)102可以使用公鑰簽名手段在步驟406對(duì)證明撤回消息 應(yīng)用數(shù)字簽名?;蛘?,步驟406可以涉及使用撤回機(jī)構(gòu)已經(jīng)預(yù)先共享的或 以其他方式提供給接收網(wǎng)絡(luò)元件的對(duì)稱密鑰來(lái)加密證明撤回消息114。
      在步驟408,撤回機(jī)構(gòu)102向網(wǎng)絡(luò)元件發(fā)送網(wǎng)絡(luò)消息。證明撤回消息 可以遵循任何適當(dāng)?shù)木W(wǎng)絡(luò)消息協(xié)議。在一種手段中,步驟408可以涉及向 網(wǎng)絡(luò)104中的所有網(wǎng)絡(luò)元件106A、 106B、 106C發(fā)送撤回消息。歩驟408 可以涉及使用廣播或多播消息傳送協(xié)議、事件總線或用于向多個(gè)接收者傳 遞一個(gè)消息的其他機(jī)制。
      或者,步驟408可以涉及在網(wǎng)絡(luò)元件106A、 106B、 106C訪問的諸如 Web服務(wù)器或FTP服務(wù)器等指定位置處存儲(chǔ)撤回消息。利用該備選示例, 可以以高可用性的配置來(lái)提供撤回信息,從而即使撤回機(jī)構(gòu)102出現(xiàn)故 障,撤回策略或規(guī)則仍對(duì)需要它們的網(wǎng)絡(luò)元件保持可用。此外,如果撤回 機(jī)構(gòu)102需要傳遞大量撤回策略或規(guī)則,則在Web服務(wù)器或FTP服務(wù)器 處存儲(chǔ)撤回規(guī)則使得能夠?qū)⒁?guī)則迅速傳播到整個(gè)網(wǎng)絡(luò)。迅速的傳播之所以 能夠發(fā)生是因?yàn)槌坊貦C(jī)構(gòu)不需要使用多播或其他方法來(lái)向大量設(shè)備傳遞柑 同的信息。 或者,步驟408可以涉及從網(wǎng)絡(luò)104中的所有網(wǎng)絡(luò)元件確定一個(gè)子集
      或候選者列表,并且僅向候選網(wǎng)絡(luò)元件發(fā)送撤回消息114。例如,撤回機(jī) 構(gòu)102可以基于那些網(wǎng)絡(luò)元件處的證明110的屬性來(lái)維護(hù)關(guān)于哪些網(wǎng)絡(luò)元 件有可能需要撤回消息114的信息。然后,撤回機(jī)構(gòu)102可以僅向需要撤 回消息或被預(yù)期為對(duì)撤回消息感興趣的網(wǎng)絡(luò)元件發(fā)送撤回消息114。
      在一個(gè)實(shí)施例中,根據(jù)調(diào)度周期性地執(zhí)行步驟406—408。例如,撤回 機(jī)構(gòu)102可以每6到8小時(shí)發(fā)出一個(gè)或多個(gè)證明撤回消息。調(diào)度可以包括 任何期望的傳遞定時(shí)。
      可以以三種模式中的任意一種實(shí)現(xiàn)步驟406_408。在一種模式中,撤 回機(jī)構(gòu)傳播或"推送"(push)撤回信息到網(wǎng)絡(luò)中。在其他實(shí)現(xiàn)方式中, 這里描述的手段還可以被應(yīng)用于在線撤回模式中或拉(pull)機(jī)制中,在 在線撤回模式中,針對(duì)需要參考CRL的每個(gè)事務(wù)參考某個(gè)服務(wù),在拉機(jī)制 中,設(shè)備周期性地下載CRL或其他證明。
      網(wǎng)絡(luò)元件106A—106C中接收到撤回機(jī)構(gòu)102在步驟408發(fā)送的證明 撤回消息的每個(gè)網(wǎng)絡(luò)元件都執(zhí)行圖4的步驟410—422。網(wǎng)絡(luò)元件106A— 106C可以使用證明撤回邏輯112來(lái)執(zhí)行步驟410—422。因此,例如在步 驟410,特定的網(wǎng)絡(luò)元件106A接收證明撤回消息114。在步驟412,該網(wǎng) 絡(luò)元件從撤回消息提取一個(gè)或多個(gè)證明撤回規(guī)則。在步驟414,網(wǎng)絡(luò)元件 例如在撤回規(guī)則緩存或其他數(shù)據(jù)存儲(chǔ)裝置中存儲(chǔ)撤回規(guī)則。
      在步驟414之后的某個(gè)時(shí)刻(可以是立即或在很長(zhǎng)時(shí)間之后),網(wǎng)絡(luò) 元件接收和存儲(chǔ)證明,如步驟416所示。例如,網(wǎng)絡(luò)元件106A可以從希 望與網(wǎng)絡(luò)元件106A交互的另一網(wǎng)絡(luò)元件接收數(shù)字證書,并將該數(shù)字證書 作為證明IIO存儲(chǔ)在撤回規(guī)則存儲(chǔ)裝置120中。網(wǎng)絡(luò)元件106A可以接收 來(lái)自充當(dāng)撤回機(jī)構(gòu)102的同一網(wǎng)絡(luò)元件或來(lái)自不同的網(wǎng)絡(luò)元件或源的證明 110。
      在一個(gè)實(shí)施例中,步驟416還可以涉及輪詢或訪問包含證明撤回規(guī)則 的Web服務(wù)器或FTP服務(wù)器。例如,在步驟416接收的數(shù)字證書可以包 含標(biāo)識(shí)網(wǎng)絡(luò)中存儲(chǔ)可能適用于該證書的撤回規(guī)則的服務(wù)器位置的URL或 其他網(wǎng)絡(luò)位置標(biāo)識(shí)符。作為響應(yīng),網(wǎng)絡(luò)元件106A聯(lián)系該服務(wù)器并取得一
      個(gè)或多個(gè)證明撤回消息或規(guī)則。該手段可作為步驟410 — 412的額外步驟 或替換步驟執(zhí)行。
      在步驟418,網(wǎng)絡(luò)元件驗(yàn)證接收到的證明。可以使用傳統(tǒng)的證明驗(yàn)證 技術(shù)。例如,當(dāng)證明110是已被證書機(jī)構(gòu)應(yīng)用數(shù)字簽名的數(shù)字證書時(shí),可 以使用公鑰密碼手段來(lái)確定數(shù)字簽名是否是正確的。
      如果證明被成功地驗(yàn)證,則在步驟420,網(wǎng)絡(luò)元件將證明的屬性與所 存儲(chǔ)的撤回規(guī)則相比較。例如,證明撤回邏輯112比較每個(gè)撤回規(guī)則中定 義的每個(gè)屬性并確定接收到的證明110是否具有該屬性。如果具有,則證 明撤回邏輯112比較與該規(guī)則相關(guān)聯(lián)的撤回規(guī)則中的每個(gè)值,并確定證明 110中的相應(yīng)值是否滿足于撤回規(guī)則中的算術(shù)運(yùn)算符或其他標(biāo)準(zhǔn)。
      如果根據(jù)撤回規(guī)則中的運(yùn)算符,撤回規(guī)則中的屬性值對(duì)與證明110中 的屬性和值匹配,則采取步驟422所示的響應(yīng)動(dòng)作。響應(yīng)動(dòng)作422可以包 括無(wú)效該證明,如步驟422A所示。無(wú)效該證明一般包括將證明標(biāo)記為無(wú) 效或從存儲(chǔ)裝置刪除證明。此外/或者,如步驟422B所示,如果發(fā)生規(guī)則 匹配則步驟422可以涉及寫入指示不合要求的(non-compliant)或被撤回 的證明的標(biāo)識(shí)的日志條目、發(fā)出警報(bào)消息或其他通知、使用事件總線公布 事件,或采取其他響應(yīng)動(dòng)作。步驟422的響應(yīng)動(dòng)作還可以包括拒絕對(duì)服務(wù) 或資源的訪問。
      步驟410—414主要可以涉及在網(wǎng)絡(luò)元件處緩存所有接收到的撤回規(guī) 則,步驟416—422可以涉及在指定的時(shí)間段后向接收到的證明應(yīng)用所緩 存的撤回規(guī)則?;蛘撸W(wǎng)絡(luò)元件可以立即對(duì)所有先前接收的證明應(yīng)用撤回 規(guī)則。因此,不要求在緩存過程和應(yīng)用撤回規(guī)則之間有時(shí)間延遲。
      使用該手段,撤回機(jī)構(gòu)可以向網(wǎng)絡(luò)中具有可能匹配的證明的一些或所 有網(wǎng)絡(luò)元件廣播在撤回規(guī)則中表達(dá)的撤回策略。網(wǎng)絡(luò)元件中的邏輯確定是 否某些已有證明或以后接收的證明中的任意證明與撤回規(guī)則相匹配。以此 方式,撤回機(jī)構(gòu)可以高效地撤回大量證明。此外,表達(dá)寬泛策略或規(guī)則的 單個(gè)消息可以實(shí)現(xiàn)很多網(wǎng)絡(luò)元件處的多組證明的撤回。在一種手段中,為 自身、為已有會(huì)話和/或?yàn)槠渌彺孀C明的網(wǎng)絡(luò)元件可以使用該撤回策 略信息來(lái)無(wú)效緩存中的條目。在另一手段中,已經(jīng)從請(qǐng)求對(duì)受該網(wǎng)絡(luò)元件 保護(hù)的服務(wù)或資源的訪問的另一實(shí)體接收到證明的網(wǎng)絡(luò)元件可以針對(duì)撤回 策略信息檢查該證明。撤回策略或規(guī)則可被存儲(chǔ)在網(wǎng)絡(luò)元件中的緩存或任 何其他合適的數(shù)據(jù)存儲(chǔ)裝置中。
      因此,這里的手段提供了對(duì)現(xiàn)有技術(shù)的改進(jìn),因?yàn)橛捎趩蝹€(gè)撤回策略 或規(guī)則可以包括大量個(gè)別證明,所以撤回機(jī)構(gòu)存儲(chǔ)更少的數(shù)據(jù)。覆蓋幾千
      個(gè)證明的撤回規(guī)則列表105可以比逐個(gè)標(biāo)識(shí)這幾千個(gè)證明的傳統(tǒng)CRL占用 少得多的數(shù)據(jù)存儲(chǔ)裝置。撤回機(jī)構(gòu)不需要逐個(gè)跟蹤撤回機(jī)構(gòu)或獨(dú)立證書機(jī) 構(gòu)發(fā)出的證書或其他證明。此外,如這里所述地發(fā)送廣播或多播消息比傳 統(tǒng)方式高效得多,在傳統(tǒng)方式中,每個(gè)網(wǎng)絡(luò)元件必須檢查數(shù)字證書是否在 CA處維護(hù)的CRL中。此外,發(fā)送單個(gè)撤回消息可以使得位于整個(gè)網(wǎng)絡(luò)上 的很多證明變?yōu)闊o(wú)效。
      例如,假設(shè)網(wǎng)絡(luò)包括基于實(shí)體配置的正確性及其軟件是否是當(dāng)前版本 來(lái)發(fā)出證書的證書服務(wù)。然后,該實(shí)體可以向想要知道第一實(shí)體的配置狀 態(tài)的另一實(shí)體出示證書。該證書可以包含指示諸如操作系統(tǒng)版本號(hào)等特性 的屬性。例如,假設(shè)證書包含屬性O(shè)perating-System-Version=12.2.1。如果 操作系統(tǒng)的版本12.2.1被發(fā)現(xiàn)具有使其不安全的軟件bug,則已基于該版 本發(fā)出的所有證書都可利用一個(gè)使用這里描述的技術(shù)的消息被撤回。
      雖然這里描述的技術(shù)是在屬性證明的上下文中描述的,但是這些技術(shù) 也適用于利用可以與撤回規(guī)則匹配的屬性構(gòu)造的身份證書。例如,身份證 書具有標(biāo)識(shí)用戶位置、用戶角色等的屬性,于是可以構(gòu)造規(guī)則來(lái)與那些屬 性的值相匹配。
      這里描述的技術(shù)可以被用作為使用基于屬性的證明來(lái)授權(quán)訪問的更大 的技術(shù)方案或業(yè)務(wù)方案的一部分。雖然上述手段是在網(wǎng)絡(luò)元件的上下文中 說(shuō)明的,但是這里描述的技術(shù)也可用于應(yīng)用中。例如,這里的技術(shù)可以被 使用屬性證書或簽名屬性聲明(signed attribute assertion)作為對(duì)訪問資源 的授權(quán)基礎(chǔ)的web服務(wù)應(yīng)用使用。
      3.0實(shí)現(xiàn)機(jī)制——硬件概述
      圖5是示出了可以實(shí)現(xiàn)本發(fā)明的實(shí)施例的計(jì)算機(jī)系統(tǒng)500的框圖。使
      用在諸如路由器設(shè)備等網(wǎng)絡(luò)元件上運(yùn)行的一個(gè)或多個(gè)計(jì)算機(jī)程序?qū)崿F(xiàn)優(yōu)選 實(shí)施例。因此在該實(shí)施例中,計(jì)算機(jī)系統(tǒng)500是路由器。
      計(jì)算機(jī)系統(tǒng)500包括總線502或用于傳送信息的其他通信機(jī)制,以及 用于處理信息的與總線502耦合的處理器504。計(jì)算機(jī)系統(tǒng)500還包括耦 合到總線502的諸如隨機(jī)訪問存儲(chǔ)器(RAM)、閃存或其他動(dòng)態(tài)存儲(chǔ)設(shè)備 的主存儲(chǔ)器506,用于存儲(chǔ)信息和要被處理器504執(zhí)行的指令。主存儲(chǔ)器 506還可用于存儲(chǔ)要被處理器504執(zhí)行的指令的執(zhí)行期間的臨時(shí)變量或其 他中間信息。計(jì)算機(jī)系統(tǒng)500還包括耦合到總線502的只讀存儲(chǔ)器 (ROM) 508或其他靜態(tài)存儲(chǔ)設(shè)備,用于為處理器504存儲(chǔ)靜態(tài)信息和指 令。諸如磁盤、閃存或光盤等存儲(chǔ)設(shè)備510被提供和耦合到總線502,用 于存儲(chǔ)信息和指令。
      通信接口 518可以耦合到總線502,用于向處理器504傳送信息和命 令選擇。接口 518是諸如RS-232或RS-422等傳統(tǒng)串行接口。外部終端 512或其他計(jì)算機(jī)系統(tǒng)連接到計(jì)算機(jī)系統(tǒng)500并使用接口 514向其提供命 令。在計(jì)算機(jī)系統(tǒng)500中運(yùn)行的固件或軟件提供終端界面或基于字符的命 令界面,以使得可以向計(jì)算機(jī)系統(tǒng)給出外部命令。
      交換系統(tǒng)516耦合到總線502,并且具有到一個(gè)或多個(gè)外部網(wǎng)絡(luò)元件 的輸入接口 514和輸出接口 519。外部網(wǎng)絡(luò)元件可以包括耦合到一個(gè)或多 個(gè)主機(jī)524的本地網(wǎng)絡(luò)522,或諸如具有一個(gè)或多個(gè)服務(wù)器530的因特網(wǎng) 528的全球網(wǎng)絡(luò)。交換系統(tǒng)516根據(jù)預(yù)定協(xié)議和公知傳統(tǒng)將到達(dá)輸入接口 514的信息流量交換到輸出接口 519。例如,交換系統(tǒng)516與處理器504協(xié) 作可以確定到達(dá)輸入接口 514的數(shù)據(jù)分組的目的地并使用輸出接口 519將 其發(fā)送到正確的目的地。目的地可以包括主機(jī)524、服務(wù)器530、其他末 端站,或本地網(wǎng)絡(luò)522或因特網(wǎng)528中的其他路由選擇和交換設(shè)備。
      本發(fā)明涉及用于基于策略的網(wǎng)絡(luò)安全證明撤回的計(jì)算機(jī)系統(tǒng)500的使 用。根據(jù)本發(fā)明的一個(gè)實(shí)施例,計(jì)算機(jī)系統(tǒng)500響應(yīng)于處理器504執(zhí)行主 存儲(chǔ)器506中包含的一個(gè)或多個(gè)指令的一個(gè)或多個(gè)序列來(lái)提供基于策略的 網(wǎng)絡(luò)安全證明撤回。所述指令可以被從諸如存儲(chǔ)設(shè)備510等另一個(gè)計(jì)算機(jī) 可讀介質(zhì)讀入主存儲(chǔ)器506。執(zhí)行主存儲(chǔ)器506中包含的指令序列使得處
      理器504執(zhí)行這里描述的過程步驟。也可以采用多處理布置中的一個(gè)或多
      個(gè)處理器來(lái)執(zhí)行主存儲(chǔ)器506中包含的指令序列。在備選實(shí)施例中,可以
      使用硬連線電路取代或結(jié)合軟件指令以實(shí)現(xiàn)本發(fā)明。因此,本發(fā)明的實(shí)施 例不限于硬件電路和軟件的任何特定組合。
      這里使用的術(shù)語(yǔ)"計(jì)算機(jī)可讀介質(zhì)"指參與向處理器504提供指令以 供執(zhí)行的任何介質(zhì)。所述介質(zhì)可以采取多種形式,包括但不限于非易失性 介質(zhì)、易失性介質(zhì)和傳輸介質(zhì)。非易失性介質(zhì)例如包括光或磁盤(例如存 儲(chǔ)設(shè)備510)。易失性介質(zhì)包括動(dòng)態(tài)存儲(chǔ)器(例如主存儲(chǔ)器506)。傳輸 介質(zhì)包括同軸電纜、銅線或光纖,包括構(gòu)成總線502的線路。傳輸介質(zhì)還 可以采取聲或光波的形式,例如在無(wú)線電波和紅外數(shù)據(jù)通信中生成的聲或 光波。
      計(jì)算機(jī)可讀介質(zhì)的常見形式例如包括軟盤、柔性盤、硬盤、磁帶或任 何其他磁介質(zhì)、CD—ROM、任何其他光介質(zhì)、打孔卡、紙帶、任何其他 具有孔圖案的物理介質(zhì)、RAM、 ROM,以及EPROM、 FLASH-EPROM、 任何其他存儲(chǔ)芯片或盒、如下所述的載波,或計(jì)算機(jī)可讀取的任何其他介 質(zhì)。在向處理器504運(yùn)送一個(gè)或多個(gè)指令的一個(gè)或多個(gè)序列以供執(zhí)行時(shí)可 能涉及各種形式的計(jì)算機(jī)可讀介質(zhì)。例如,指令最初可被存儲(chǔ)在遠(yuǎn)程計(jì)算 機(jī)的磁盤上。遠(yuǎn)程計(jì)算機(jī)可以將指令載入其動(dòng)態(tài)存儲(chǔ)器,并使用調(diào)制解調(diào) 器在電話線上發(fā)送指令。計(jì)算機(jī)系統(tǒng)500本地的調(diào)制解調(diào)器可以在電話線 上接收指令并使用紅外發(fā)射器將數(shù)據(jù)轉(zhuǎn)換為紅外信號(hào)。耦合到總線502的 紅外檢測(cè)器可以接收紅外信號(hào)攜帶的數(shù)據(jù)并將數(shù)據(jù)放在總線502上??偩€ 502將數(shù)據(jù)送到主存儲(chǔ)器506,處理器504從主存儲(chǔ)器506取得并執(zhí)行指 令。主存儲(chǔ)器506接收到的指令可以在被處理器504執(zhí)行之前或之后被可 選地存儲(chǔ)在存儲(chǔ)設(shè)備510上。
      通信設(shè)備518還提供到連接到本地網(wǎng)絡(luò)522的網(wǎng)絡(luò)鏈路520的雙向數(shù) 據(jù)通信耦合。例如,通信接口 518可以是綜合業(yè)務(wù)數(shù)字網(wǎng)(ISDN)卡或調(diào) 制解調(diào)器,用于提供到相應(yīng)類型的電話線的輸入通信連接。又例如,通信 接口 518可以是局域網(wǎng)(LAN)卡,用于提供到兼容LAN的數(shù)據(jù)通信連 接。也可以實(shí)現(xiàn)無(wú)線鏈路。在這些實(shí)現(xiàn)方式中的任意一種中,通信接口 518發(fā)送和接收攜帶代表各種信息的數(shù)字?jǐn)?shù)據(jù)流的電、電磁或光信號(hào)。
      網(wǎng)絡(luò)鏈路520 —般通過一個(gè)或多個(gè)網(wǎng)絡(luò)向其他數(shù)據(jù)設(shè)備提供數(shù)據(jù)通 信。例如,網(wǎng)絡(luò)鏈路520可以提供通過本地網(wǎng)絡(luò)522到主機(jī)計(jì)算機(jī)524或 由因特網(wǎng)服務(wù)提供商(ISP) 526操作的數(shù)據(jù)設(shè)備的連接。ISP 526又通過 現(xiàn)在一般稱為"因特網(wǎng)"的全球分組數(shù)據(jù)通信網(wǎng)絡(luò)528提供數(shù)據(jù)通信服 務(wù)。本地網(wǎng)絡(luò)522和因特網(wǎng)528都使用攜帶數(shù)字?jǐn)?shù)據(jù)流的電、電磁或光信 號(hào)。攜帶去往和來(lái)自計(jì)算機(jī)系統(tǒng)500的數(shù)字?jǐn)?shù)據(jù)的通過各種網(wǎng)絡(luò)的信號(hào)和 網(wǎng)絡(luò)鏈路520上的并經(jīng)過通信接口 518的信號(hào)是傳輸信息的載波的示例性 形式。
      計(jì)算機(jī)系統(tǒng)500可以通過(一個(gè)或多個(gè))網(wǎng)絡(luò)、網(wǎng)絡(luò)鏈路520和通信 接口 518發(fā)送消息和接收數(shù)據(jù),包括程序代碼。在因特網(wǎng)示例中,服務(wù)器 530可以通過因特網(wǎng)528、 ISP526、本地網(wǎng)絡(luò)522和通信接口 518發(fā)送被請(qǐng) 求的應(yīng)用程序代碼。根據(jù)本發(fā)明, 一個(gè)這樣下載的應(yīng)用提供這里描述的基 于策略的網(wǎng)絡(luò)安全證明撤回。
      接收到的代碼可以在接收時(shí)被處理器504執(zhí)行,和/或被存儲(chǔ)在存儲(chǔ)設(shè) 備510中或其他非易失性存儲(chǔ)裝置中以供以后執(zhí)行。以此方式,計(jì)算機(jī)系 統(tǒng)500可以獲得載波形式的應(yīng)用代碼。
      4.0擴(kuò)展和替換
      在上面的說(shuō)明書中結(jié)合本發(fā)明的具體實(shí)施例描述了本發(fā)明。但是很明 顯,在不脫離本發(fā)明的更廣的精神和范圍的情況下可以作出各種修改和改 變。因此,說(shuō)明書及附圖應(yīng)被認(rèn)為是說(shuō)明性而非限制性的。
      權(quán)利要求
      1. 一種方法,包括計(jì)算機(jī)實(shí)現(xiàn)的以下步驟接收一個(gè)或多個(gè)證明撤回規(guī)則,其中每個(gè)所述證明撤回規(guī)則指定與要被撤回的一個(gè)或多個(gè)證明相關(guān)聯(lián)的一個(gè)或多個(gè)第一屬性和所述第一屬性的第一值;接收一個(gè)或多個(gè)網(wǎng)絡(luò)證明,其中每個(gè)所述網(wǎng)絡(luò)證明包括一個(gè)或多個(gè)第二屬性和所述第二屬性的第二值;以及當(dāng)所述一個(gè)或多個(gè)網(wǎng)絡(luò)證明中的特定網(wǎng)絡(luò)證明的一個(gè)或多個(gè)第二屬性的第二值與所述證明撤回規(guī)則之一的一個(gè)或多個(gè)第一屬性的第一值相匹配時(shí),確定所述特定網(wǎng)絡(luò)證明是無(wú)效的,并執(zhí)行響應(yīng)動(dòng)作。
      2. —種用于基于策略的網(wǎng)絡(luò)安全證明撤回的裝置,包括用于接收和存儲(chǔ)一個(gè)或多個(gè)證明撤回規(guī)則的裝置,其中每個(gè)所述證明 撤回規(guī)則指定與要被撤回的一個(gè)或多個(gè)證明相關(guān)聯(lián)的一個(gè)或多個(gè)第一屬性和所述第一屬性的第一值;用于接收和存儲(chǔ)一個(gè)或多個(gè)網(wǎng)絡(luò)證明的裝置,其中每個(gè)所述網(wǎng)絡(luò)證明 包括一個(gè)或多個(gè)第二屬性和所述第二屬性的第二值;以及用于當(dāng)所述一個(gè)或多個(gè)網(wǎng)絡(luò)證明中的特定網(wǎng)絡(luò)證明的一個(gè)或多個(gè)第二 屬性的第二值與所述證明撤回規(guī)則之一的一個(gè)或多個(gè)第一屬性的第一值相 匹配時(shí),確定所述特定網(wǎng)絡(luò)證明是無(wú)效的,并執(zhí)行響應(yīng)動(dòng)作的裝置。
      3. 如權(quán)利要求2所述的裝置,其中所述一個(gè)或多個(gè)網(wǎng)絡(luò)證明是屬性 證書和身份證書中的任意一種。
      4. 如權(quán)利要求2所述的裝置,其中所述一個(gè)或多個(gè)證明撤回規(guī)則被 存儲(chǔ)在撤回規(guī)則緩存中。
      5. 如權(quán)利要求2所述的裝置,其中所述響應(yīng)動(dòng)作包括以下動(dòng)作中的 任意一種無(wú)效所述證明、寫入指示不合要求的或被撤回的證明的標(biāo)識(shí)的 曰志條目、發(fā)出警報(bào)消息或其他通知、使用事件總線公布事件,以及拒絕 對(duì)服務(wù)或資源的訪問。
      6. 如權(quán)利要求2所述的裝置,其中請(qǐng)求所述網(wǎng)絡(luò)證明包括請(qǐng)求在線證明服務(wù)提供用于作為特定在線事務(wù)的一部分的驗(yàn)證的網(wǎng)絡(luò)證明。
      7. 如權(quán)利要求2所述的裝置,還包括用于接收定義一個(gè)或多個(gè)所述 證明撤回規(guī)則的裝置和用于向一個(gè)或多個(gè)網(wǎng)絡(luò)元件提供所述證明撤回規(guī)則 的裝置。
      8. 如權(quán)利要求7所述的裝置,還包括用于在撤回機(jī)構(gòu)的證明撤回規(guī) 則列表中存儲(chǔ)所述證明撤回規(guī)則的裝置;用于創(chuàng)建包含一個(gè)或多個(gè)所述證 明撤回規(guī)則的網(wǎng)絡(luò)證明撤回消息的裝置;以及用于使用多播消息向所述網(wǎng) 絡(luò)元件發(fā)送所述網(wǎng)絡(luò)證明撤回消息的裝置。
      9. 如權(quán)利要求8所述的裝置,其中提供所述證明撤回規(guī)則包括在服 務(wù)器中存儲(chǔ)所述證明撤回規(guī)則,其中所述服務(wù)器的網(wǎng)絡(luò)位置在所述特定網(wǎng) 絡(luò)證明中標(biāo)識(shí)。
      10. —種用于基于策略的網(wǎng)絡(luò)安全證明撤回的裝置,包括-耦合到數(shù)據(jù)網(wǎng)絡(luò)的用于從所述數(shù)據(jù)網(wǎng)絡(luò)接收一個(gè)或多個(gè)分組流的網(wǎng)絡(luò)接口;處理器;一個(gè)或多個(gè)被存儲(chǔ)的指令序列,當(dāng)所述指令序列被所述處理器執(zhí)行時(shí) 使得所述處理器執(zhí)行以下步驟接收一個(gè)或多個(gè)證明撤回規(guī)則,其中每個(gè)所述證明撤回規(guī)則指定與要 被撤回的一個(gè)或多個(gè)證明相關(guān)聯(lián)的一個(gè)或多個(gè)第一屬性和所述第一屬性的 第一值;接收一個(gè)或多個(gè)網(wǎng)絡(luò)證明,其中每個(gè)所述網(wǎng)絡(luò)證明包括一個(gè)或多個(gè)第二屬性和所述第二屬性的第二值;以及當(dāng)所述一個(gè)或多個(gè)網(wǎng)絡(luò)證明中的特定網(wǎng)絡(luò)證明的一個(gè)或多個(gè)第二屬性 的第二值與所述證明撤回規(guī)則之一的一個(gè)或多個(gè)第一屬性的第一值相匹配時(shí),確定所述特定網(wǎng)絡(luò)證明是無(wú)效的,并執(zhí)行響應(yīng)動(dòng)作。
      11. 如權(quán)利要求IO所述的裝置,其中所述一個(gè)或多個(gè)網(wǎng)絡(luò)證明是屬 性證書和身份證書中的任意一種。
      12. 如權(quán)利要求10所述的裝置,其中所述一個(gè)或多個(gè)證明撤回規(guī)則 被存儲(chǔ)在撤回規(guī)則緩存中。
      13. 如權(quán)利要求10所述的裝置,其中所述響應(yīng)動(dòng)作包括以下動(dòng)作中 的任意一種無(wú)效所述證明、寫入指示不合要求的或被撤回的證明的標(biāo)識(shí) 的日志條目、發(fā)出警報(bào)消息或其他通知、使用事件總線公布事件,以及拒 絕對(duì)服務(wù)或資源的訪問。
      14. 如權(quán)利要求10所述的裝置,其中請(qǐng)求所述網(wǎng)絡(luò)證明包括請(qǐng)求在 線證明服務(wù)提供用于作為特定在線事務(wù)的一部分的驗(yàn)證的網(wǎng)絡(luò)證明。
      15. 如權(quán)利要求10所述的裝置,還包括被所述處理器執(zhí)行時(shí)使得所 述處理器執(zhí)行以下步驟的指令序列接收定義一個(gè)或多個(gè)所述證明撤回規(guī) 則并向 一個(gè)或多個(gè)網(wǎng)絡(luò)元件提供所述證明撤回規(guī)則。
      16. 如權(quán)利要求15所述的裝置,還包括被所述處理器執(zhí)行時(shí)使得所 述處理器執(zhí)行以下步驟的指令序列在撤回機(jī)構(gòu)的證明撤回規(guī)則列表中存 儲(chǔ)所述證明撤回規(guī)則;創(chuàng)建包含一個(gè)或多個(gè)所述證明撤回規(guī)則的網(wǎng)絡(luò)證明 撤回消息;以及使用多播消息向所述網(wǎng)絡(luò)元件發(fā)送所述網(wǎng)絡(luò)證明撤回消息o
      17. 如權(quán)利要求16所述的裝置,其中提供所述證明撤回規(guī)則包括在 服務(wù)器中存儲(chǔ)所述證明撤回規(guī)則,其中所述服務(wù)器的網(wǎng)絡(luò)位置在所述特定 網(wǎng)絡(luò)證明中標(biāo)識(shí)。
      18. —種網(wǎng)絡(luò)安全系統(tǒng),包括配置有第一邏輯的撤回機(jī)構(gòu),所述第一邏輯生成一個(gè)或多個(gè)證明撤回 規(guī)則,其中每個(gè)所述證明撤回規(guī)則指定與要被撤回的一個(gè)或多個(gè)證明相關(guān) 聯(lián)的一個(gè)或多個(gè)第一屬性和所述第一屬性的第一值,其中所述撤回機(jī)構(gòu)可通信地耦合到網(wǎng)絡(luò);一個(gè)或多個(gè)可通信地耦合到所述網(wǎng)絡(luò)并包括第二邏輯的網(wǎng)絡(luò)元件,其 中所述第二邏輯使得所述網(wǎng)絡(luò)元件執(zhí)行以下步驟接收并存儲(chǔ)一個(gè)或多個(gè)所述證明撤回規(guī)則,接收并存儲(chǔ)一個(gè)或多個(gè)網(wǎng)絡(luò)證明,其中每個(gè)所述網(wǎng)絡(luò)證明包括一個(gè)或 多個(gè)第二屬性和所述第二屬性的第二值;以及當(dāng)所述一個(gè)或多個(gè)網(wǎng)絡(luò)證明中的特定網(wǎng)絡(luò)證明的一個(gè)或多個(gè)第二屬性 的第二值與所述證明撤回規(guī)則之一的一個(gè)或多個(gè)第一屬性的第一值相匹配時(shí),確定所述特定網(wǎng)絡(luò)證明是無(wú)效的,并執(zhí)行響應(yīng)動(dòng)作。
      19. 如權(quán)利要求18所述的系統(tǒng),其中所述一個(gè)或多個(gè)網(wǎng)絡(luò)證明是屬 性證書。
      20. 如權(quán)利要求18所述的系統(tǒng),其中所述一個(gè)或多個(gè)網(wǎng)絡(luò)證明是身 份證書。
      21. 如權(quán)利要求18所述的系統(tǒng),其中所述一個(gè)或多個(gè)證明撤回規(guī)則 被存儲(chǔ)在撤回規(guī)則緩存中。
      22. 如權(quán)利要求18所述的系統(tǒng),還包括響應(yīng)于接收和存儲(chǔ)所述一個(gè) 或多個(gè)網(wǎng)絡(luò)證明而取得一個(gè)或多個(gè)額外的證明撤回規(guī)則。
      23. 如權(quán)利要求18所述的系統(tǒng),其中所述第一邏輯使得所述撤回機(jī) 構(gòu)接收定義了一個(gè)或多個(gè)所述證明撤回規(guī)則的信息并且將所述證明撤回規(guī) 則提供給一個(gè)或多個(gè)網(wǎng)絡(luò)元件。
      24. 如權(quán)利要求23所述的系統(tǒng),其中所述第一邏輯還包括用于執(zhí)行以下操作的一個(gè)或多個(gè)指令序列在所述撤回機(jī)構(gòu)的證明撤回規(guī)則列表中存儲(chǔ)所述證明撤回規(guī)則;創(chuàng)建包含一個(gè)或多個(gè)所述證明撤回規(guī)則的網(wǎng)絡(luò)證明撤回消息;以及使用多播消息向所述網(wǎng)絡(luò)元件發(fā)送所述網(wǎng)絡(luò)證明撤回消 阜
      25. 如權(quán)利要求23所述的系統(tǒng),其中提供所述證明撤回規(guī)則包括在 邏輯上獨(dú)立于所述撤回機(jī)構(gòu)的服務(wù)器中存儲(chǔ)所述證明撤回規(guī)則,其中所述 服務(wù)器的網(wǎng)絡(luò)位置在所述特定網(wǎng)絡(luò)證明中標(biāo)識(shí)。
      26. 如權(quán)利要求24所述的系統(tǒng),其中所述網(wǎng)絡(luò)證明撤回消息僅被發(fā) 送到先前已接收到可能與所述消息中的所述證明撤回規(guī)則匹配的一個(gè)或多 個(gè)證明的網(wǎng)絡(luò)元件。
      27. 如權(quán)利要求18所述的系統(tǒng),其中所述第二邏輯的步驟由可通信 地耦合到所述撤回機(jī)構(gòu)的分組交換網(wǎng)絡(luò)中的路由器執(zhí)行。
      全文摘要
      本發(fā)明提供了一種用于基于策略的網(wǎng)絡(luò)安全證明撤回的方法,包括接收一個(gè)或多個(gè)證明撤回規(guī)則,其中每個(gè)所述證明撤回規(guī)則指定與要被撤回的一個(gè)或多個(gè)證明相關(guān)聯(lián)的一個(gè)或多個(gè)第一屬性和所述第一屬性的第一值;接收并存儲(chǔ)一個(gè)或多個(gè)網(wǎng)絡(luò)證明,其中每個(gè)所述網(wǎng)絡(luò)證明包括一個(gè)或多個(gè)第二屬性和所述第二屬性的第二值;以及當(dāng)所述一個(gè)或多個(gè)網(wǎng)絡(luò)證明中的特定網(wǎng)絡(luò)證明的一個(gè)或多個(gè)第二屬性的第二值與所述證明撤回規(guī)則之一的一個(gè)或多個(gè)第一屬性的第一值相匹配時(shí),確定所述特定網(wǎng)絡(luò)證明是無(wú)效的,并執(zhí)行響應(yīng)動(dòng)作。
      文檔編號(hào)G06F15/16GK101208685SQ200680001894
      公開日2008年6月25日 申請(qǐng)日期2006年1月10日 優(yōu)先權(quán)日2005年1月11日
      發(fā)明者約瑟夫·薩洛韋 申請(qǐng)人:思科技術(shù)公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1