专利名称:一种确定断言发送者的方法、系统和装置的制作方法
技术领域:
本发明实施例涉及通信技术领域,特别涉及一种确定断言发送者的方法、 系统和装置。
背景技术:
现在,对终端安全状态的验证是由与终端处在同 一安全域中的TNC (Trusted Network Connect,可信网络连接)服务器执行的。当终端只访问本 域中的服务,例如 一个企业网的终端接入本企业的网络时,这种本地安全 状态验证是足够的。但是,当终端超出了本地安全域的管理范围或跨安全域 访问更广的互联网中的服务,例如某企业所属的终端访问其商业伙伴的网 络时,就需要另一安全域中的TNC服务器评估终端的安全状态。
TNC架构也能够提供来自其他安全设备的元数据用以关联与TNC客户端 相关的statefbl runtime (有状态的运行时)数据。这种元凄t据为安全相关决策 增加了其他的数据来源。但这样的元数据共享同样也只被用于同 一安全域下, 即TNC数据和元数据的发布/订阅者属于同 一组织。
现有技术提供了 一种对跨域访问的终端的安全状态信息进行评估的方 法,其基本思想主要为端点与ASD( Asserting Security Domain,断言安全;或) 之间完成TNC的状态评估,这样ASD和端点都可能持有断言,然后端点向RSD (Relying Security Domain,依赖安全域)请求访问网络或应用,RSD通过 In-Band或Out-band两种信令绑定方式获取到由ASD生成的关于端点的断言。 其中,在FTNC (Federate Trusted Network Connect,耳关合可信网络连接)环境 下,断言(assertion)特指包含有一个或多个PAM ( Posture and/or Assessment result and/or Metadata,状态、评估结果和/或元数据)消息的声明,ASD是生 成关于端点断言的联盟伙伴,RSD是一个使用端点断言的联盟伙伴。In-Band (带内)信令绑定方式是指断言的请求或响应的通信栽体与给终 端交付所请求服务的载体相同,换言之,断言的传输需要通过终端自身;而 Out-of-Band (带外)信令绑定方式是指断言的请求和响应的通信载体与交付 给终端所请求服务的载体不同。端点与归属域中的TNCS已经完成了 TNC评 估,这意味着端点和ASD都有能力提供安全断言。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题 当有多个ASD可以提供RSD其需要的断言时,端点自身也可以本地存有 由多个ASD生成的断言。在现有技术下,终端提供的响应者(Responder)列 表可以包含终端自身,以及一个或多个ASD以供RSD选择,当RSD选择一个 ASD作为响应者,采用带外信令绑定方式进行FTNC通信时,RSD直接从ASD 获取相应的断言,这时不存在选取哪个ASD颁发断言的问题;但当RSD选择 终端作为响应者,即采用带内信令绑定方式进行FTNC通信时,由于只选取了 终端作为响应者,并没有确定RSD需要从终端处获取由哪一个ASD生成的断 言,因此现有技术只在带外信令绑定方式下可以支持多个ASD为RSD提供该 RSD需要的断言,但在带内信令绑定方式下则不支持多个ASD为RSD提供该 RSD需要的断言。
发明内容
本发明实施例提供一种确定断言发送者的方法、系统和装置,以实现在 带内信令绑定方式和带外信令绑定方式下,都可以支持多个ASD生成断言的 场景。
本发明实施例一方面提供一种确定断言发送者的方法,包括 接收来自端点的至少一个断言生成者信息;
从所述至少一个断言生成者中选择断言生成者,根据采用的信令绑定方 式确定断言发送者。
另一方面,本发明实施例还提供一种网络系统,包括
端点,用于向服务提供者发送所述端点的至少一个断言生成者信息;
服务提供者,用于接收来自所述端点的至少一个断言生成者信息,从所
5述至少一个断言生成者中选择断言生成者,根据采用的信令绑定方式确定断 言发送者。
再一方面,本发明实施例还提供一种网络装置,包括 接收模块,用于接收来自端点的至少一个断言生成者信息; 断言生成者选择模块,用于从所述接收模块接收的至少一个断言生成者 中选择断言生成者;
断言发送者确定模块,用于根据采用的信令绑定方式确定断言发送者。 与现有技术相比,本发明实施例具有以下优点通过本发明实施例,端 点将该端点的至少一个断言生成者信息发送给服务提供者,该服务提供者从 至少一个断言生成者中选择断言生成者,并根据采用的信令绑定方式确定断 言发送者,从而实现了 FTNC无论在带内信令绑定方式还是带外信令绑定方 式下,都可以支持多个ASD生成断言的场景,并且信令绑定方式选择与断言 生成者的选择分离,实现更加灵活。
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所 需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发 明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前 提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例确定断言发送者的方法的流程图; 图2为本发明确定断言发送者的方法实施例一的流程图; 图3为本发明确定断言发送者的方法实施例二的流程图; 图4为本发明确定断言发送者的方法实施例三的流程图; 图5为本发明实施例确定断言发送者的系统的结构图; 图6为本发明实施例服务提供者的一种结构图; 图7为本发明实施例服务提供者的另一种结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行 清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例, 而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有 做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在以下实施例中,网络的类型可以是移动网络、固定网络或移动固定移
动融合网络等;可以是局域网、城域网或广域网;可以是接入网、核心网或
传输网;可以是点对点网络(P2P)、客户机/服务器架构的网络(C/S)等。 本发明实施例提供一种确定断言发送者的方法,在带内信令绑定方式和
带外信令绑定方式下,都可以支持多个ASD生成断言的场景。本发明实施例
将信令绑定方式选择与断言生成者的选择分离,实现更加灵活。
如图l所示,为本发明实施例确定断言发送者的方法的流程图,包括 步骤S101,接收来自端点的至少一个断言生成者信息。 在端点请求访问RSD的服务时,该端点向RSD中的服务提供者发送该端
点的至少一个断言生成者信息。
其中,至少一个断言生成者信息可以保存在该端点的断言生成者列表中。
但是本发明实施例并不局限于此,至少一个断言生成者信息还可以其他形式呈现。
步骤S102,从至少一个断言生成者中选择断言生成者,根据采用的信令 绑定方式确定断言发送者。
其中,在从至少一个断言生成者中选择断言生成者时,可以根据本地策 略选择断言生成者。该本地策略可以为对不同ASD的信任等级、对不同类 别端点的安全要求或者选取信令绑定方式的策略等。其中,不同类别端点可 以是指那些寻求接入网络的终端设备,包括固定终端和移动终端等,也可以 是计算机、服务器、接入设备或转发设备等。其中移动终端可以为PC( Personal Computer,个人电脑)、LAPTOP (膝上型轻便电脑)或者手机等。
本发明实施例中,信令绑定方式可以由端点确定,也可以由服务提供者 确定,该信令绑定方式的类型可以为带内信令绑定方式或带外信令绑定方式 等。
7根据采用的信令绑定方式确定断言发送者具体可以为 当采用带内信令绑定方式时,服务提供者确定上述端点为断言发送者; 或者,
当采用带外信令绑定方式时,服务提供者确定断言生成者为断言发送者。 在根据釆用的信令绑定方式确定断言发送者之后,服务提供者向该断言
发送者发送请求消息,请求断言发送者提供由断言生成者生成的所述端点的断言。
其中,当采用带内信令绑定方式时,上述端点为断言发送者,该端点的 断言是所述端点存^t的由断言生成者生成的断言。
上述确定断言发送者的方法,端点将该端点的至少一个断言生成者信息 发送给服务提供者,该服务提供者根据本地策略从至少一个断言生成者中选 择断言生成者,并根据采用的信令绑定方式确定断言发送者,从而实现了 FTNC无论在带内信令绑定方式还是带外信令绑定方式下,都可以支持多个 ASD生成断言的场景,并且信令绑定方式选择与断言生成者的选择分离,实 现更加灵活。
在本发明以下实施例的描述中,TNC服务器指网络中可以对端点进行安 全评估的服务器,是一个逻辑组件,适用于所有类别的网络。根据网络的安 全策略要求,可以在该网络内执行接入控制决策的设备例如AAA (Authentication Authorization and Accounting,认证、鉴权和计费)月良务器中, 部署一个执行端点安全评估的服务器。端点(Endpoint)可以是指那些寻求接 入网络的终端设备,包括固定终端和移动终端等,也可以是计算机、服务器、 接入设备或转发设备等;断言发送者是指根据请求发送所需断言的实体,该 断言发送者可以是端点本身,也可以是ASD内的设备,例如ASD内的TNC 服务器;服务(Service)则泛指端点所请求的服务,包括网络接入服务和应 用服务等,在FTNC的应用场景中,服务提供者一般位于RSD内,服务提供 者可以为网络接入服务提供者,例如网络接入提供商、小区宽带接入提供 商或企业网接入控制服务器;还可以为应用服务器,如Web服务器等。断言 生成者可以是具备签发和生成断言权威的设备或逻辑模块。限于端点隐私的考虑,RSD可能无法直接从端点获拟目应的数据进行评 估,因而RSD需要获取该RSD信任的ASD所生成的安全断言作为评估依据。
在本发明实施例中,安全评估并不仅限于TNC架构之下的TNC服务器 做出的评估,也可以是其他网络架构下的网络接入控制设备对端点所作的安 全评估。
在以下实施例的描述中,至少一个断言生成者信息保存在端点的断言生 成者列表中。
如图2所示,为本发明确定断言发送者的方法实施例一的流程图,实施 例一中,端点告知RSD其支持的信令绑定方式和相应的ASD列表,由RSD 确定所采用的信令绑定方式,以及断言发送者。包括
步骤S201,端点与一个或多个断言安全域中的TNC服务器完成TNC评 估。因此,端点和ASD都可以向未来的RSD^是供安全断言。
步骤S202,端点向依赖安全域RSD中的服务提供者发送请求消息,请求 访问该RSD中的服务。
步骤S203,服务提供者向该端点发送请求消息,请求该端点的断言发送 者信息。
步骤S204,端点向RSD的服务提供者发送响应消息,该响应消息携带所 述端点所支持的信令绑定方式及相应的ASD的列表,所述端点所支持的信令 绑定方式包括带内信令绑定方式和带外信令绑定方式中的一种或两种。
步骤S205, RSD中的服务提供者根据本地策略确定所采用的信令绑定方 式,从接收的ASD列表中选择一个ASD作为此次FTNC会话的断言生成者, 并确定断言发送者。具体可以为
当服务提供者确定所采用的信令绑定方式为带内信令绑定方式时,确定 端点为断言的响应者;或者,
当服务提供者确定所采用的信令绑定方式为带外信令绑定方式时,确定 所选择的断言生成者为断言发送者。
该本地策略可以为对不同ASD的信任等级、对不同类别端点的安全要 求或者选取信令绑定方式的策略等。其中,不同类别端点可以是指那些寻求接入网络的终端设备,包括固定终端和移动终端等,也可以是计算机、服务
器、接入设备或转发设备等。其中移动终端可以为PC、 LAPTOP或者手机 等。
步骤S206,服务提供者向确定的断言发送者发送断言请求,请求该断言 发送者提供由选择的断言生成者所生成的有关此端点的断言。
步骤S207,断言发送者向服务提供者提供该服务提供者所请求的断言。
其中,当采用的信令绑定方式为带内信令绑定方式时,由端点将该端点 本地存储的断言生成者生成的断言发送给该服务提供者。
步骤S208,当断言发送者提供的断言不满足被访问服务的策略时,该服 务提供者可以执行以下处理之一
(1) 通知端点进行重评估,返回步骤S201;
(2) 请求相同或不同的断言发送者提供进一步的断言,返回步骤S206;
(3) 拒绝端点的服务请求。
步骤S209,当断言发送者提供的断言满足被访问服务的策略时,该服务 提供者对端点的服务请求进行授权。
上述确定断言发送者的方法,端点将该端点支持的信令绑定方式和相应 的ASD列表发送给RSD, RSD中的服务提供者根据本地策略确定所采用的信 令绑定方式,从接收的ASD列表中选择一个ASD作为此次FTNC会话的断 言生成者,进而确定断言发送者,从而实现了 FTNC无i^在带内信令绑定方 式还是带外信令绑定方式下,都可以支持多个ASD生成断言的场景,并且信 令绑定方式选择与断言生成者的选择分离,实现更加灵活。
如图3所示,为本发明确定断言发送者的方法实施例二的流程图,实施 例二中,端点预先决定所采用的信令绑定方式,RSD仅确定本次FTNC会话 的断言发送者。具体包括
步骤S301,端点与一个或多个断言安全域中的TNC服务器完成TNC评 估。因此,端点和ASD都可以向未来的RSD提供安全断言。
步骤S302,端点向依赖安全域RSD中的服务提供者发送请求消息,请求 访问该RSD中的服务。
10步骤S303,服务提供者向该端点发送请求消息,请求该端点的断言发送 者信息。
步骤S304,端点向RSD的服务提供者发送响应消息,该响应消息中携带 该端点欲采用的信令绑定方式(带内信令绑定方式或带外信令绑定方式)以 及该端点的断言生成者ASD的列表。
步骤S305, RSD中的服务提供者根据本地策略,从端点提供的ASD列 表中选择一个ASD作为此次FTNC会话的断言生成者,并进而确定断言发送 者。具体可以为
当服务提供者确定所采用的信令绑定方式为带内信令绑定方式时,确定 端点为断言的响应者;或者,
当服务提供者确定所采用的信令绑定方式为带外信令绑定方式时,确定 所选择的断言生成者为断言发送者。
其中,该本地策略可以为对不同ASD的信任等级、对不同类别端点的 安全要求或者选取信令绑定方式的策略等。其中,不同类别端点可以是指那 些寻求接入网络的终端设备,包括固定终端和移动终端等,也可以是计算机、 服务器、接入设备或转发设备等。其中移动终端可以为PC、 LAPTOP或者 手机等。
步骤S306,服务提供者向确定的断言发送者发送断言请求,请求该断言 发送者提供由选择的断言生成者所生成的有关此端点的断言。
步骤S307,断言发送者向服务提供者提供该服务提供者所请求的断言。
其中,当采用的信令绑定方式为带内方式时,由端点将该端点本地存储 的断言生成者生成的断言发送给该服务提供者。
步骤S308,当断言发送者提供的断言不满足被访问服务的策略时,该服 务提供者可以执行以下处理之一
(1) 通知端点进行重评估,返回步骤S301;
(2) 请求相同或不同的断言发送者提供进一步的断言,返回步骤S306;
(3) 拒绝端点的服务请求。
步骤S309,当断言发送者提供的断言满足被访问服务的策略时,该服务提供者对端点的服务请求进行授权。
上述确定断言发送者的方法,端点确定该端点采用的信令绑定方式和相
应的ASD列表发送给RSD, RSD中的服务提供者根据本地策略,从接收的ASD列表中选择一个ASD作为此次FTNC会话的断言生成者,进而确定断言发送者,从而实现了 FTNC无论在带内还是带外方式下,都可以支持多个ASD签发断言的场景,并且信令绑定方式选择与断言生成者的选择分离,实现更加灵活。
如图4所示,为本发明确定断言发送者的方法实施例三的流程图,实施例三中,端点提供该端点的断言生成者ASD列表,RSD确定所采用的信令绑定方式和断言发送者。具体包括
步骤S401,端点与一个或多个断言安全域中的TNC服务器完成TNC评估。因此,端点和ASD都可以向未来的RSD提供安全断言。
步骤S402,端点向依赖安全域RSD中的服务提供者发送请求消息,请求访问该RSD中的月良务。
步骤S403,服务提供者向该端点发送请求消息,请求该端点的断言发送者信息,该请求消息携带该服务提供者所采用的信令绑定方式。
步骤S404,端点向RSD的服务提供者发送响应消息,该响应消息中携带该端点的断言生成者ASD列表。
步骤S405, RSD中的服务提供者根据本地策略,从端点提供的ASD列表中选择一个ASD作为此次FTNC会话的断言生成者,并进而确定断言发送者。具体可以为
当服务提供者确定所釆用的信令绑定方式为带内信令绑定方式时,确定端点为断言发送者;或者,
当服务提供者确定所釆用的信令绑定方式为带外信令绑定方式时,确定所选择的断言生成者为断言发送者。
其中,该本地策略可以为对不同ASD的信任等级、对不同类别端点的安全要求或者选取信令绑定方式的策略等。其中,不同类别端点可以是指那些寻求接入网络的终端设备,包括固定终端和移动终端等,也可以是计算机、服务器、接入设备或转发设备等。其中移动终端可以为PC、 LAPTOP或者手机等。
步骤S406,服务提供者向确定的断言发送者发送断言请求,请求该断言发送者提供由选择的断言生成者所生成的有关此端点的断言。
步骤S407,断言发送者向服务提供者提供该服务提供者所请求的断言。
其中,当采用的信令绑定方式为带内方式时,由端点将该端点本地存储的断言生成者生成的断言发送给该服务提供者。
步骤S408,当断言发送者提供的断言不满足被访问服务的策略时,该服务提供者可以执行以下处理之一
(1) 通知端点进行重评估,返回步骤S401;
(2) 请求相同或不同的断言发送者提供进一步的断言,返回步骤S406;
(3) 拒绝端点的服务请求。
步骤S409,当断言发送者提供的断言满足被访问服务的策略时,该服务提供者对端点的服务请求进行授权。
上述确定断言发送者的方法,端点提供该端点的断言生成者ASD的列表,RSD的服务提供者确定所采用的信令绑定方式,RSD的服务提供者根据本地策略,从接收的ASD列表中选择一个ASD作为此次FTNC会话的断言生成者,进而确定断言发送者,从而实现了 FTNC无论在带内信令绑定方式还是带外信令绑定方式下,都可以支持多个ASD生成断言的场景,并且信令绑定方式选捧与断言生成者的选捧分离,实现更加灵活。
如图5所示,为本发明实施例确定断言发送者的系统的结构图,包括端点51,用于向服务提供者发送端点51的至少一个断言生成者信息;服务提供者52,用于接收来自端点51的至少一个断言生成者信息,从至
少一个断言生成者中选择断言生成者,并根据采用的信令绑定方式确定断言
发送者。
该确定断言发送者的系统还包括断言发送者53,用于接收来自服务提供者52的请求消息,向服务提供者52提供由断言生成者生成的端点51的断5 。上述确定断言发送者的系统,端点51将该端点51的至少一个断言生成者信息发送给服务提供者52,服务提供者52从至少一个断言生成者中选择断言生成者,并根据采用的信令绑定方式确定断言发送者,从而实现了 FTNC无论在带内还是带外方式下,都可以支持多个ASD生成断言的场景,并且信令绑定方式选择与断言生成者的选择分离,实现更加灵活。
如图6所示,为本发明实施例服务提供者的结构图,包括接收模块521,用于接收来自端点的至少一个断言生成者信息;断言生成者选择模块522,用于从接收模块521接收的至少一个断言生成者中选择断言生成者;
断言发送者确定模块523,用于根据采用的信令绑定方式确定断言发送者。
服务提供者52还可以包括
请求模块524,用于向断言发送者确定模块523确定的断言发送者发送请求消息,请求该断言发送者提供由断言生成者生成的端点51的断言。
上述RSD的服务提供者52,接收模块521接收来自端点51的至少一个断言生成者信息,断言生成者选4^冲莫块522从至少一个断言生成者中选择断言生成者,断言发送者确定模块523根据采用的信令绑定方式确定断言发送者,从而实现了 FTNC无论在带内信令绑定方式还是带外信令绑定方式下,都可以支持多个ASD生成断言的场景,并且信令绑定方式选择与断言生成者的选择分离,实现更加灵活。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM, U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不 一 定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1、一种确定断言发送者的方法,其特征在于,包括接收来自端点的至少一个断言生成者信息;从所述至少一个断言生成者中选择断言生成者,根据采用的信令绑定方式确定断言发送者。
2、 如权利要求1所述确定断言发送者的方法,其特征在于,所述信令绑 定方式由所述端点或服务提供者确定,所述信令绑定方式的类型包括带内信 令绑定方式或者带外信令绑定方式。
3、 如权利要求2所述确定断言发送者的方法,其特征在于,所述根据采 用的信令绑定方式确定断言发送者包括当采用所述带内信令绑定方式时,确定所述端点为所述断言发送者;或者,当采用所述带外信令绑定方式时,确定所述断言生成者为所述断言发送者。
4、 如权利要求1所述确定断言发送者的方法,其特征在于,在所述根据 采用的信令绑定方式确定断言发送者之后,还包括向所述断言发送者发送请求消息,请求所述断言发送者提供由所述断言 生成者生成的所述端点的断言。
5、 如权利要求3或4所述确定断言发送者的方法,其特征在于,当采用 所述带内信令绑定方式时,所述端点的断言是所述端点存储的由所述断言生 成者生成的断言。
6、 如权利要求1所述确定断言发送者的方法,其特征在于,所述从至少 一个断言生成者中选择断言生成者包括根据本地策略从所述至少一个断言生成者中选择断言生成者,所述本地 策略包括对不同断言安全域的信任等级、对不同类别端点的安全要求或者 选取信令绑定方式的策略。
7、 一种网络系统,其特征在于,包括端点,用于向服务提供者发送所述端点的至少一个断言生成者信息; 服务提供者,用于接收来自所述端点的至少一个断言生成者信息,从所述至少一个断言生成者中选择断言生成者,根据采用的信令绑定方式确定断 言发送者。
8、 如权利要求7所述网络系统,其特征在于,还包括 断言发送者,用于接收来自所述服务提供者的请求消息,向所述服务提供者提供由所述断言生成者生成的所述端点的断言。
9、 一种网络装置,其特征在于,包括接收模块,用于接收来自端点的至少一个断言生成者信息; 断言生成者选择模块,用于从所述接收模块接收的至少一个断言生成者 中选择断言生成者;断言发送者确定模块,用于根据采用的信令绑定方式确定断言发送者。
10、 如权利要求9所述网络装置,其特征在于,还包括请求模块,用于向所述断言发送者确定模块确定的断言发送者发送请求 消息,请求所述断言发送者提供由所述断言生成者生成的所述端点的断言。
全文摘要
本发明实施例公开了一种确定断言发送者的方法、系统和装置,所述确定断言发送者的方法,包括接收来自端点的至少一个断言生成者信息;从所述至少一个断言生成者中选择断言生成者,根据采用的信令绑定方式确定断言发送者。本发明实施例实现了无论在带内信令绑定方式还是带外信令绑定方式下,FTNC都可以支持多个ASD生成断言的场景,并且信令绑定方式选择与断言生成者的选择分离,实现更加灵活。
文档编号H04L9/00GK101656607SQ20081014745
公开日2010年2月24日 申请日期2008年8月18日 优先权日2008年8月18日
发明者任兰芳, 位继伟, 瀚 尹, 科 贾 申请人:华为技术有限公司