CN101208685A - 提供基于策略的网络安全证明撤回的方法和装置 - Google Patents
提供基于策略的网络安全证明撤回的方法和装置 Download PDFInfo
- Publication number
- CN101208685A CN101208685A CNA200680001894XA CN200680001894A CN101208685A CN 101208685 A CN101208685 A CN 101208685A CN A200680001894X A CNA200680001894X A CN A200680001894XA CN 200680001894 A CN200680001894 A CN 200680001894A CN 101208685 A CN101208685 A CN 101208685A
- Authority
- CN
- China
- Prior art keywords
- proof
- network
- rule
- revocation
- revocation rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/102—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种用于基于策略的网络安全证明撤回的方法,包括接收一个或多个证明撤回规则,其中每个所述证明撤回规则指定与要被撤回的一个或多个证明相关联的一个或多个第一属性和所述第一属性的第一值;接收并存储一个或多个网络证明,其中每个所述网络证明包括一个或多个第二属性和所述第二属性的第二值;以及当所述一个或多个网络证明中的特定网络证明的一个或多个第二属性的第二值与所述证明撤回规则之一的一个或多个第一属性的第一值相匹配时,确定所述特定网络证明是无效的,并执行响应动作。
Description
技术领域
本发明一般地涉及计算机网络中的安全机制。更具体而言,本发明涉及用于撤回诸如数字证书、口令等安全证明的技术。
背景技术
本部分中描述的手段可以被实现,但是不一定是先前已经被设计出或实现的手段。因此,除非这里另外指明,否则本部分中描述的手段不是本申请的权利要求的现有技术,也不因被包括在本部分中而被认定是现有技术。
很多计算机网络安全系统涉及在系统中从机构元件向网络元件分发证明或状态信息。如果状态信息改变,或者证明变为无效,则机构元件可以选择撤回证明或状态信息,并且机构元件需要通知网络元件已经发生了撤回。
在过去的一种手段中,认证机构(CA)向分组交换网络中的路由器、交换机或其他元件分发数字证书。CA维护一个证书撤回列表(CRL),其列出了标识CA已撤回或声明为无效的所有证书的信息。CRL通过独特的标识符值来标识每个被撤回的证书。每个网络元件可以周期性地联系CA并下载当前的CRL。依赖于是否在CRL中找到特定的数字证书,网络元件验证或不验证特定证书。或者,每次网络元件需要验证证书时,都会参考在线服务;一个示例是OSCP。在周期性地下载CRL的离线模型中,由于网络带宽、流量或其他约束,CRL的大小变得至关重要。
但是,使用该手段,如果发生了使大量证书或其他证明无效的事件,则撤回所有证明将是困难的和耗时的。例如,假设某个被管理网络包括1,000个路由器,每个路由器运行版本为“3.0”的操作系统,并且每个路由器存储数字属性证书。还假设由于安全原因,仅当这些路由器中的请求路由器出示了表明有效和受信的机器配置的属性证书时,特定服务器才会向该路由器提供特定范围。还假设操作系统的供应商确定操作系统版本“3.0”中存在一个重大bug,并且该bug足以要求服务器拒绝对具有该bug的路由器提供服务。为了阻止对这些路由器的服务,全部1,000个证书都需要被撤回。当前没有完成这一操作的容易或高效的方式。例如,CA需要在CRL中存储1,000个条目,这可能是大得不合理的。例如,如果CA是在网络中的路由器中实现的,则路由器处的有限存储资源会约束CRL的可允许大小。
上述手段例如被用在ITU标准X.509、IETF注释请求(RFC)3281以及RFC 3280的IETF PKIX技术中定义的数字证书技术中。基于这些协议的证书机构已经被Microsoft Corporation、Entrust和Verisign在商业上实现。
基于上述情况,很明显需要一种用于撤回计算机网络中的证明的改良技术。
附图说明
附图以示例而非限制的方式示出了本发明,在附图中,相似的标号指示相似的元件,其中:
图1是提供基于策略的网络安全证明撤回的示例性系统的框图;
图2是包含提供基于策略的网络安全证明撤回的软件元素的示例性网络元件的框图;
图3是示例性撤回规则列表的框图;
图4是示出了用于基于策略的网络安全证明撤回的方法的一个实施例的高级别概况的流程图;以及
图5是示出了可以实现本发明的计算机系统的框图。
具体实施方式
下面描述用于基于策略的网络安全证明撤回的方法和装置。在下文中,为了说明而列出了大量具体细节,以便提供对本发明的透彻理解。但是对于本领域技术人员来说很明显,可以在没有这些具体细节的情况下实施本发明。此外,没有以框图的形式示出公知的结构和设备,以免不必要地模糊本发明。
本发明满足了前面背景技术中提到的需求以及将从下文中变得清楚的其他需求和目的,本发明的一个方面包括一种用于基于策略的网络安全证明撤回的方法,包括:接收并存储一个或多个证明撤回规则,其中每个所述证明撤回规则指定与要被撤回的一个或多个证明相关联的一个或多个第一属性和所述第一属性的第一值;接收并存储一个或多个网络证明,其中每个所述网络证明包括一个或多个第二属性和所述第二属性的第二值;以及当所述一个或多个网络证明中的特定网络证明的一个或多个第二属性的第二值与所述证明撤回规则之一的一个或多个第一属性的第一值相匹配时,确定所述特定网络证明是无效的,并执行响应动作。所述网络证明可以被生成和签名或以其他方式被某个机构认证;于是网络证明的用户可以验证该网络证明确实是由该机构生成的。
此外,一种撤回机构可以执行以下步骤:接收定义了一个或多个所述证明撤回规则的信息并且将所述证明撤回规则提供给一个或多个网络元件。在一种手段中,该撤回机构执行:在撤回机构的证明撤回规则列表中存储所述证明撤回规则;创建包含一个或多个所述证明撤回规则的网络证明撤回消息;以及使用多播消息向所述网络元件发送所述网络证明撤回消息。在一种变型中,提供所述证明撤回规则包括在服务器中存储所述证明撤回规则,其中所述服务器的网络位置在所述特定网络证明中标识。此外/或者,所述网络证明撤回消息仅被发送到先前已接收到可能与所述消息中的所述证明撤回规则匹配的一个或多个证明的网络元件。
在其他方面中,本发明包括被配置为执行以上步骤的计算机装置和计算机可读介质。
这里根据下面的大纲来描述实施例:
1.0结构概述
2.0功能概述
3.0实现机制——硬件概述
4.0扩展和替换
1.0结构概述
图1是提供基于策略的网络安全证明撤回的示例性系统的框图。撤回机构102可通信地耦合到包括一个或多个网络元件106A、106B、106C的网络104。在多个实施例中,撤回机构102可以被实现为网络管理站或系统、分组交换网络的路由器,或可以与网络通信并执行这里描述的撤回机构功能的任何其他适当的计算设备。撤回机构102可以但不必须与证书机构集成。
在图1的示例中,网络104是分组交换网络,网络元件106A、106B、106C中的每一个是路由器、交换机或其他基础设施元件。或者,任意或全部网络元件106A、106B、106C可以包括末端站设备、无线设备,等等。这里的技术也可以形成涉及多个服务器和软件的组合的网络安全解决方案的一部分,所述多个服务器和软件进行交互以提供包括访问、授权和记帐(AAA)服务、用户许可控制等的综合网络安全机制。例如,这里的技术可被用来执行对向第二网络元件出示属性证书的第一网络元件的姿态(posture)验证。作为特定示例,该技术可被用来在某个事件使得评估网络元件的姿态的标准无效时撤回基于网络元件的姿态而向网络元件发出的证明。
为了示出清楚的示例,图1示出了三(3)个这样的网络元件,但是在其他实施例中可以有任意数量的网络元件。本公开特别考虑了与具有几千个网络元件的网络一起使用的实施例。
撤回机构102维护撤回规则列表105。撤回机构102容宿证明撤回逻辑107,证明撤回逻辑107包括实现这里进一步描述的撤回机构功能的一个或多个计算机程序指令序列或其他软件元素。在执行这些功能时,撤回机构102可以发送一个或多个撤回消息114到网络104和网络元件106A、106B、106C。除了这里描述的证明撤回方法以外,撤回机构102还可以执行网络路由选择或其他功能;也就是说,这里的技术不要求撤回机构仅专用于执行撤回。
图2是包含提供基于策略的网络安全证明撤回的软件元素的示例性网络元件的框图。例如,图1的网络元件106A、106B、106C中的每一个都可以具有图2所示的组成元件。网络元件106A可以包括操作系统108,其容宿接收和评估一个或多个证明110的证明撤回逻辑112并在撤回规则存储装置120中存储撤回规则列表105。证明110可以包括证书机构根关键字、数字证书、口令或撤回机构102可能需要撤回的任何其他信息。在一个实施例中,证明110是遵循RFC 3281的属性证书。撤回规则存储装置120可以被构造为存储器中的缓存、MIB,或任何其他适当的数据结构或数据存储装置。
证明撤回逻辑112可以接收和处理撤回机构102发出的一个或多个撤回消息114。证明撤回逻辑112包括实现这里进一步描述的网络元件功能的一个或多个计算机程序指令序列或其他软件元素。在一个实施例中,证明撤回逻辑112可以被实现为来自Cisco Systems,Inc.,San Jose,California的Cisco IOS
软件的一部分,该部分是在IOS的控制下运行的应用或被集成到IOS中的应用。
根据一个实施例,为了撤回一个或多个证明,撤回机构102向网络104发送或传播撤回消息114。每个撤回消息114定义一个撤回策略或规则。此外,撤回规则列表105存储可被放在撤回消息114中的撤回策略或规则。接收撤回消息114的网络元件提取消息中携带的撤回规则,并将这些规则存储在撤回规则存储装置120中的本地撤回规则列表105中。
图3是示例性撤回规则列表的框图。撤回规则列表105可以包括一个或多个撤回规则105A,每个撤回规则105A包括规则标识符105B和规则陈述105C。存储在网络元件106A、106B、106C中的每个证明110具有一个或多个属性值对。这些值对应于网络元件的属性。例如,属性可以是网络元件扮演的角色、网络元件的位置、软件版本信息、硬件类型或版本信息等。因此,证明110可以包括属性证明或授权证明,而不是身份证明。网络元件使用身份证明来向另一元件证实其身份,而网络元件使用属性证明来向另一元件证实其属性,以便获得对执行动作或访问资源的授权。例如,证明机构可以向网络元件发出属性证明以证实该网络元件的当前配置和软件。证明机构可以被容宿在与容宿撤回机构102的网络元件相同的网络元件上,或者可以被容宿在不同的网络元件上。
每个规则陈述105C指定一个或多个属性值对。例如,规则陈述105C可以表达规则“REVOKE os.type==windows AND patch.level<15000.00”。该示例性规则意味着撤回机构102正在撤回所有“os.type”属性等于“windows”并且“patch.level”属性的值小于“15000.00”的证明110。又例如,一个规则可以表达这样的策略,其中针对具有特定硬件类型的设备在某个日期之前发出的所有属性证书都被撤回。规则陈述105C可以表达任意数量的属性值对,这些属性值对使用诸如AND(与)、OR(或)等布尔逻辑运算符连接在一起。属性和值的关系可以使用指示等于、大于、小于的算术运算符或其他算术关系。
如省略号107所指示,撤回规则列表105可以包括任意数量的撤回规则105A。撤回规则列表105可以被存储为属性值对的列表、使用SNMP的设备的管理信息库(MIB)中的表或任意其他数据结构或数据存储库。表示规则陈述105C的具体方法不是关键的,图3所示的象征性文本仅作为形成规则陈述的一个示例给出。
2.0功能概述
图4是示出了用于基于策略的网络安全证明撤回的方法的一个实施例的高级别概况的流程图。
在步骤402,撤回机构102接收定义一个或多个撤回规则的信息,这些规则在步骤404被存储在撤回规则列表中。例如,步骤402-402可以涉及用户向图形用户界面工具提供输入,该图形用户界面工具辅助定义撤回规则的属性值对或其他特性以及将撤回规则存储在撤回机构102的撤回规则列表105中。或者,步骤402-404可以涉及用户发出命令行界面(CLI)命令,该CLI命令定义撤回规则并且命令撤回机构102在撤回规则列表中存储撤回规则。
在另一备选示例中,步骤402-404可以涉及撤回机构102通过程序方式(例如通过接收事件、来自外部程序或系统的调用)来接收撤回规则。在另一备选示例中,步骤402-404可以涉及撤回机构102通过诸如文件传输协议(FTP)事务、SNMP bulk SET操作等批量数据(bulk data)传输方法来接收规则信息。因此,在步骤402-404使用的向撤回机构提供撤回规则的具体方法不是关键的,步骤402-404可以使用现在已知的或以后发明的任何其他方法或技术。
在另一备选示例中,步骤402可以涉及接收响应于网络威胁通告而自动生成的撤回规则。例如,撤回机构102或在监视网络威胁时涉及的另一元件可以接收指示特定操作系统的某个版本或补丁具有安全漏洞的信息。作为响应,撤回机构102可以创建撤回具有与该操作系统版本或补丁相匹配的属性值的所有证书的撤回规则。
在步骤406-408,撤回机构102向网络元件提供一个或多个撤回规则。在步骤406,撤回机构102创建包含一个或多个撤回规则的网络证明撤回消息,例如图1、图2的撤回消息114。为了防止伪造、欺骗或中间人攻击,撤回机构102可以使用公钥签名手段在步骤406对证明撤回消息应用数字签名。或者,步骤406可以涉及使用撤回机构已经预先共享的或以其他方式提供给接收网络元件的对称密钥来加密证明撤回消息114。
在步骤408,撤回机构102向网络元件发送网络消息。证明撤回消息可以遵循任何适当的网络消息协议。在一种手段中,步骤408可以涉及向网络104中的所有网络元件106A、106B、106C发送撤回消息。步骤408可以涉及使用广播或多播消息传送协议、事件总线或用于向多个接收者传递一个消息的其他机制。
或者,步骤408可以涉及在网络元件106A、106B、106C访问的诸如Web服务器或FTP服务器等指定位置处存储撤回消息。利用该备选示例,可以以高可用性的配置来提供撤回信息,从而即使撤回机构102出现故障,撤回策略或规则仍对需要它们的网络元件保持可用。此外,如果撤回机构102需要传递大量撤回策略或规则,则在Web服务器或FTP服务器处存储撤回规则使得能够将规则迅速传播到整个网络。迅速的传播之所以能够发生是因为撤回机构不需要使用多播或其他方法来向大量设备传递相同的信息。
或者,步骤408可以涉及从网络104中的所有网络元件确定一个子集或候选者列表,并且仅向候选网络元件发送撤回消息114。例如,撤回机构102可以基于那些网络元件处的证明110的属性来维护关于哪些网络元件有可能需要撤回消息114的信息。然后,撤回机构102可以仅向需要撤回消息或被预期为对撤回消息感兴趣的网络元件发送撤回消息114。
在一个实施例中,根据调度周期性地执行步骤406-408。例如,撤回机构102可以每6到8小时发出一个或多个证明撤回消息。调度可以包括任何期望的传递定时。
可以以三种模式中的任意一种实现步骤406-408。在一种模式中,撤回机构传播或“推送”(push)撤回信息到网络中。在其他实现方式中,这里描述的手段还可以被应用于在线撤回模式中或拉(pull)机制中,在在线撤回模式中,针对需要参考CRL的每个事务参考某个服务,在拉机制中,设备周期性地下载CRL或其他证明。
网络元件106A-106C中接收到撤回机构102在步骤408发送的证明撤回消息的每个网络元件都执行图4的步骤410-422。网络元件106A-106C可以使用证明撤回逻辑112来执行步骤410-422。因此,例如在步骤410,特定的网络元件106A接收证明撤回消息114。在步骤412,该网络元件从撤回消息提取一个或多个证明撤回规则。在步骤414,网络元件例如在撤回规则缓存或其他数据存储装置中存储撤回规则。
在步骤414之后的某个时刻(可以是立即或在很长时间之后),网络元件接收和存储证明,如步骤416所示。例如,网络元件106A可以从希望与网络元件106A交互的另一网络元件接收数字证书,并将该数字证书作为证明110存储在撤回规则存储装置120中。网络元件106A可以接收来自充当撤回机构102的同一网络元件或来自不同的网络元件或源的证明110。
在一个实施例中,步骤416还可以涉及轮询或访问包含证明撤回规则的Web服务器或FTP服务器。例如,在步骤416接收的数字证书可以包含标识网络中存储可能适用于该证书的撤回规则的服务器位置的URL或其他网络位置标识符。作为响应,网络元件106A联系该服务器并取得一个或多个证明撤回消息或规则。该手段可作为步骤410-412的额外步骤或替换步骤执行。
在步骤418,网络元件验证接收到的证明。可以使用传统的证明验证技术。例如,当证明110是已被证书机构应用数字签名的数字证书时,可以使用公钥密码手段来确定数字签名是否是正确的。
如果证明被成功地验证,则在步骤420,网络元件将证明的属性与所存储的撤回规则相比较。例如,证明撤回逻辑112比较每个撤回规则中定义的每个属性并确定接收到的证明110是否具有该属性。如果具有,则证明撤回逻辑112比较与该规则相关联的撤回规则中的每个值,并确定证明110中的相应值是否满足于撤回规则中的算术运算符或其他标准。
如果根据撤回规则中的运算符,撤回规则中的属性值对与证明110中的属性和值匹配,则采取步骤422所示的响应动作。响应动作422可以包括无效该证明,如步骤422A所示。无效该证明一般包括将证明标记为无效或从存储装置删除证明。此外/或者,如步骤422B所示,如果发生规则匹配则步骤422可以涉及写入指示不合要求的(non-compliant)或被撤回的证明的标识的日志条目、发出警报消息或其他通知、使用事件总线公布事件,或采取其他响应动作。步骤422的响应动作还可以包括拒绝对服务或资源的访问。
步骤410-414主要可以涉及在网络元件处缓存所有接收到的撤回规则,步骤416-422可以涉及在指定的时间段后向接收到的证明应用所缓存的撤回规则。或者,网络元件可以立即对所有先前接收的证明应用撤回规则。因此,不要求在缓存过程和应用撤回规则之间有时间延迟。
使用该手段,撤回机构可以向网络中具有可能匹配的证明的一些或所有网络元件广播在撤回规则中表达的撤回策略。网络元件中的逻辑确定是否某些已有证明或以后接收的证明中的任意证明与撤回规则相匹配。以此方式,撤回机构可以高效地撤回大量证明。此外,表达宽泛策略或规则的单个消息可以实现很多网络元件处的多组证明的撤回。在一种手段中,为自身、为已有会话和/或为其他元件缓存证明的网络元件可以使用该撤回策略信息来无效缓存中的条目。在另一手段中,已经从请求对受该网络元件保护的服务或资源的访问的另一实体接收到证明的网络元件可以针对撤回策略信息检查该证明。撤回策略或规则可被存储在网络元件中的缓存或任何其他合适的数据存储装置中。
因此,这里的手段提供了对现有技术的改进,因为由于单个撤回策略或规则可以包括大量个别证明,所以撤回机构存储更少的数据。覆盖几千个证明的撤回规则列表105可以比逐个标识这几千个证明的传统CRL占用少得多的数据存储装置。撤回机构不需要逐个跟踪撤回机构或独立证书机构发出的证书或其他证明。此外,如这里所述地发送广播或多播消息比传统方式高效得多,在传统方式中,每个网络元件必须检查数字证书是否在CA处维护的CRL中。此外,发送单个撤回消息可以使得位于整个网络上的很多证明变为无效。
例如,假设网络包括基于实体配置的正确性及其软件是否是当前版本来发出证书的证书服务。然后,该实体可以向想要知道第一实体的配置状态的另一实体出示证书。该证书可以包含指示诸如操作系统版本号等特性的属性。例如,假设证书包含属性Operating-System-Version=12.2.1。如果操作系统的版本12.2.1被发现具有使其不安全的软件bug,则已基于该版本发出的所有证书都可利用一个使用这里描述的技术的消息被撤回。
虽然这里描述的技术是在属性证明的上下文中描述的,但是这些技术也适用于利用可以与撤回规则匹配的属性构造的身份证书。例如,身份证书具有标识用户位置、用户角色等的属性,于是可以构造规则来与那些属性的值相匹配。
这里描述的技术可以被用作为使用基于属性的证明来授权访问的更大的技术方案或业务方案的一部分。虽然上述手段是在网络元件的上下文中说明的,但是这里描述的技术也可用于应用中。例如,这里的技术可以被使用属性证书或签名属性声明(signed attribute assertion)作为对访问资源的授权基础的web服务应用使用。
3.0实现机制——硬件概述
图5是示出了可以实现本发明的实施例的计算机系统500的框图。使用在诸如路由器设备等网络元件上运行的一个或多个计算机程序实现优选实施例。因此在该实施例中,计算机系统500是路由器。
计算机系统500包括总线502或用于传送信息的其他通信机制,以及用于处理信息的与总线502耦合的处理器504。计算机系统500还包括耦合到总线502的诸如随机访问存储器(RAM)、闪存或其他动态存储设备的主存储器506,用于存储信息和要被处理器504执行的指令。主存储器506还可用于存储要被处理器504执行的指令的执行期间的临时变量或其他中间信息。计算机系统500还包括耦合到总线502的只读存储器(ROM)508或其他静态存储设备,用于为处理器504存储静态信息和指令。诸如磁盘、闪存或光盘等存储设备510被提供和耦合到总线502,用于存储信息和指令。
通信接口518可以耦合到总线502,用于向处理器504传送信息和命令选择。接口518是诸如RS-232或RS-422等传统串行接口。外部终端512或其他计算机系统连接到计算机系统500并使用接口514向其提供命令。在计算机系统500中运行的固件或软件提供终端界面或基于字符的命令界面,以使得可以向计算机系统给出外部命令。
交换系统516耦合到总线502,并且具有到一个或多个外部网络元件的输入接口514和输出接口519。外部网络元件可以包括耦合到一个或多个主机524的本地网络522,或诸如具有一个或多个服务器530的因特网528的全球网络。交换系统516根据预定协议和公知传统将到达输入接口514的信息流量交换到输出接口519。例如,交换系统516与处理器504协作可以确定到达输入接口514的数据分组的目的地并使用输出接口519将其发送到正确的目的地。目的地可以包括主机524、服务器530、其他末端站,或本地网络522或因特网528中的其他路由选择和交换设备。
本发明涉及用于基于策略的网络安全证明撤回的计算机系统500的使用。根据本发明的一个实施例,计算机系统500响应于处理器504执行主存储器506中包含的一个或多个指令的一个或多个序列来提供基于策略的网络安全证明撤回。所述指令可以被从诸如存储设备510等另一个计算机可读介质读入主存储器506。执行主存储器506中包含的指令序列使得处理器504执行这里描述的过程步骤。也可以采用多处理布置中的一个或多个处理器来执行主存储器506中包含的指令序列。在备选实施例中,可以使用硬连线电路取代或结合软件指令以实现本发明。因此,本发明的实施例不限于硬件电路和软件的任何特定组合。
这里使用的术语“计算机可读介质”指参与向处理器504提供指令以供执行的任何介质。所述介质可以采取多种形式,包括但不限于非易失性介质、易失性介质和传输介质。非易失性介质例如包括光或磁盘(例如存储设备510)。易失性介质包括动态存储器(例如主存储器506)。传输介质包括同轴电缆、铜线或光纤,包括构成总线502的线路。传输介质还可以采取声或光波的形式,例如在无线电波和红外数据通信中生成的声或光波。
计算机可读介质的常见形式例如包括软盘、柔性盘、硬盘、磁带或任何其他磁介质、CD-ROM、任何其他光介质、打孔卡、纸带、任何其他具有孔图案的物理介质、RAM、ROM,以及EPROM、FLASH-EPROM、任何其他存储芯片或盒、如下所述的载波,或计算机可读取的任何其他介质。在向处理器504运送一个或多个指令的一个或多个序列以供执行时可能涉及各种形式的计算机可读介质。例如,指令最初可被存储在远程计算机的磁盘上。远程计算机可以将指令载入其动态存储器,并使用调制解调器在电话线上发送指令。计算机系统500本地的调制解调器可以在电话线上接收指令并使用红外发射器将数据转换为红外信号。耦合到总线502的红外检测器可以接收红外信号携带的数据并将数据放在总线502上。总线502将数据送到主存储器506,处理器504从主存储器506取得并执行指令。主存储器506接收到的指令可以在被处理器504执行之前或之后被可选地存储在存储设备510上。
通信设备518还提供到连接到本地网络522的网络链路520的双向数据通信耦合。例如,通信接口518可以是综合业务数字网(ISDN)卡或调制解调器,用于提供到相应类型的电话线的输入通信连接。又例如,通信接口518可以是局域网(LAN)卡,用于提供到兼容LAN的数据通信连接。也可以实现无线链路。在这些实现方式中的任意一种中,通信接口518发送和接收携带代表各种信息的数字数据流的电、电磁或光信号。
网络链路520一般通过一个或多个网络向其他数据设备提供数据通信。例如,网络链路520可以提供通过本地网络522到主机计算机524或由因特网服务提供商(ISP)526操作的数据设备的连接。ISP 526又通过现在一般称为“因特网”的全球分组数据通信网络528提供数据通信服务。本地网络522和因特网528都使用携带数字数据流的电、电磁或光信号。携带去往和来自计算机系统500的数字数据的通过各种网络的信号和网络链路520上的并经过通信接口518的信号是传输信息的载波的示例性形式。
计算机系统500可以通过(一个或多个)网络、网络链路520和通信接口518发送消息和接收数据,包括程序代码。在因特网示例中,服务器530可以通过因特网528、ISP526、本地网络522和通信接口518发送被请求的应用程序代码。根据本发明,一个这样下载的应用提供这里描述的基于策略的网络安全证明撤回。
接收到的代码可以在接收时被处理器504执行,和/或被存储在存储设备510中或其他非易失性存储装置中以供以后执行。以此方式,计算机系统500可以获得载波形式的应用代码。
4.0扩展和替换
在上面的说明书中结合本发明的具体实施例描述了本发明。但是很明显,在不脱离本发明的更广的精神和范围的情况下可以作出各种修改和改变。因此,说明书及附图应被认为是说明性而非限制性的。
Claims (27)
1.一种方法,包括计算机实现的以下步骤:
接收一个或多个证明撤回规则,其中每个所述证明撤回规则指定与要被撤回的一个或多个证明相关联的一个或多个第一属性和所述第一属性的第一值;
接收一个或多个网络证明,其中每个所述网络证明包括一个或多个第二属性和所述第二属性的第二值;以及
当所述一个或多个网络证明中的特定网络证明的一个或多个第二属性的第二值与所述证明撤回规则之一的一个或多个第一属性的第一值相匹配时,确定所述特定网络证明是无效的,并执行响应动作。
2.一种用于基于策略的网络安全证明撤回的装置,包括:
用于接收和存储一个或多个证明撤回规则的装置,其中每个所述证明撤回规则指定与要被撤回的一个或多个证明相关联的一个或多个第一属性和所述第一属性的第一值;
用于接收和存储一个或多个网络证明的装置,其中每个所述网络证明包括一个或多个第二属性和所述第二属性的第二值;以及
用于当所述一个或多个网络证明中的特定网络证明的一个或多个第二属性的第二值与所述证明撤回规则之一的一个或多个第一属性的第一值相匹配时,确定所述特定网络证明是无效的,并执行响应动作的装置。
3.如权利要求2所述的装置,其中所述一个或多个网络证明是属性证书和身份证书中的任意一种。
4.如权利要求2所述的装置,其中所述一个或多个证明撤回规则被存储在撤回规则缓存中。
5.如权利要求2所述的装置,其中所述响应动作包括以下动作中的任意一种:无效所述证明、写入指示不合要求的或被撤回的证明的标识的日志条目、发出警报消息或其他通知、使用事件总线公布事件,以及拒绝对服务或资源的访问。
6.如权利要求2所述的装置,其中请求所述网络证明包括请求在线证明服务提供用于作为特定在线事务的一部分的验证的网络证明。
7.如权利要求2所述的装置,还包括用于接收定义一个或多个所述证明撤回规则的装置和用于向一个或多个网络元件提供所述证明撤回规则的装置。
8.如权利要求7所述的装置,还包括用于在撤回机构的证明撤回规则列表中存储所述证明撤回规则的装置;用于创建包含一个或多个所述证明撤回规则的网络证明撤回消息的装置;以及用于使用多播消息向所述网络元件发送所述网络证明撤回消息的装置。
9.如权利要求8所述的装置,其中提供所述证明撤回规则包括在服务器中存储所述证明撤回规则,其中所述服务器的网络位置在所述特定网络证明中标识。
10.一种用于基于策略的网络安全证明撤回的装置,包括:
耦合到数据网络的用于从所述数据网络接收一个或多个分组流的网络接口;
处理器;
一个或多个被存储的指令序列,当所述指令序列被所述处理器执行时使得所述处理器执行以下步骤:
接收一个或多个证明撤回规则,其中每个所述证明撤回规则指定与要被撤回的一个或多个证明相关联的一个或多个第一属性和所述第一属性的第一值;
接收一个或多个网络证明,其中每个所述网络证明包括一个或多个第二属性和所述第二属性的第二值;以及
当所述一个或多个网络证明中的特定网络证明的一个或多个第二属性的第二值与所述证明撤回规则之一的一个或多个第一属性的第一值相匹配时,确定所述特定网络证明是无效的,并执行响应动作。
11.如权利要求10所述的装置,其中所述一个或多个网络证明是属性证书和身份证书中的任意一种。
12.如权利要求10所述的装置,其中所述一个或多个证明撤回规则被存储在撤回规则缓存中。
13.如权利要求10所述的装置,其中所述响应动作包括以下动作中的任意一种:无效所述证明、写入指示不合要求的或被撤回的证明的标识的日志条目、发出警报消息或其他通知、使用事件总线公布事件,以及拒绝对服务或资源的访问。
14.如权利要求10所述的装置,其中请求所述网络证明包括请求在线证明服务提供用于作为特定在线事务的一部分的验证的网络证明。
15.如权利要求10所述的装置,还包括被所述处理器执行时使得所述处理器执行以下步骤的指令序列:接收定义一个或多个所述证明撤回规则并向一个或多个网络元件提供所述证明撤回规则。
16.如权利要求15所述的装置,还包括被所述处理器执行时使得所述处理器执行以下步骤的指令序列:在撤回机构的证明撤回规则列表中存储所述证明撤回规则;创建包含一个或多个所述证明撤回规则的网络证明撤回消息;以及使用多播消息向所述网络元件发送所述网络证明撤回消息。
17.如权利要求16所述的装置,其中提供所述证明撤回规则包括在服务器中存储所述证明撤回规则,其中所述服务器的网络位置在所述特定网络证明中标识。
18.一种网络安全系统,包括:
配置有第一逻辑的撤回机构,所述第一逻辑生成一个或多个证明撤回规则,其中每个所述证明撤回规则指定与要被撤回的一个或多个证明相关联的一个或多个第一属性和所述第一属性的第一值,其中所述撤回机构可通信地耦合到网络;
一个或多个可通信地耦合到所述网络并包括第二逻辑的网络元件,其中所述第二逻辑使得所述网络元件执行以下步骤:
接收并存储一个或多个所述证明撤回规则,
接收并存储一个或多个网络证明,其中每个所述网络证明包括一个或多个第二属性和所述第二属性的第二值;以及
当所述一个或多个网络证明中的特定网络证明的一个或多个第二属性的第二值与所述证明撤回规则之一的一个或多个第一属性的第一值相匹配时,确定所述特定网络证明是无效的,并执行响应动作。
19.如权利要求18所述的系统,其中所述一个或多个网络证明是属性证书。
20.如权利要求18所述的系统,其中所述一个或多个网络证明是身份证书。
21.如权利要求18所述的系统,其中所述一个或多个证明撤回规则被存储在撤回规则缓存中。
22.如权利要求18所述的系统,还包括响应于接收和存储所述一个或多个网络证明而取得一个或多个额外的证明撤回规则。
23.如权利要求18所述的系统,其中所述第一逻辑使得所述撤回机构接收定义了一个或多个所述证明撤回规则的信息并且将所述证明撤回规则提供给一个或多个网络元件。
24.如权利要求23所述的系统,其中所述第一逻辑还包括用于执行以下操作的一个或多个指令序列:在所述撤回机构的证明撤回规则列表中存储所述证明撤回规则;创建包含一个或多个所述证明撤回规则的网络证明撤回消息;以及使用多播消息向所述网络元件发送所述网络证明撤回消息。
25.如权利要求23所述的系统,其中提供所述证明撤回规则包括在逻辑上独立于所述撤回机构的服务器中存储所述证明撤回规则,其中所述服务器的网络位置在所述特定网络证明中标识。
26.如权利要求24所述的系统,其中所述网络证明撤回消息仅被发送到先前已接收到可能与所述消息中的所述证明撤回规则匹配的一个或多个证明的网络元件。
27.如权利要求18所述的系统,其中所述第二逻辑的步骤由可通信地耦合到所述撤回机构的分组交换网络中的路由器执行。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/034,346 | 2005-01-11 | ||
| US11/034,346 US20060156391A1 (en) | 2005-01-11 | 2005-01-11 | Method and apparatus providing policy-based revocation of network security credentials |
| PCT/US2006/000865 WO2006076382A2 (en) | 2005-01-11 | 2006-01-10 | Method and apparatus providing policy-based revocation of network security credentials |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101208685A true CN101208685A (zh) | 2008-06-25 |
| CN101208685B CN101208685B (zh) | 2010-10-27 |
Family
ID=36654878
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200680001894XA Active CN101208685B (zh) | 2005-01-11 | 2006-01-10 | 提供基于策略的网络安全证明撤回的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20060156391A1 (zh) |
| EP (1) | EP1836798A4 (zh) |
| CN (1) | CN101208685B (zh) |
| WO (1) | WO2006076382A2 (zh) |
Families Citing this family (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8099495B2 (en) | 2005-12-29 | 2012-01-17 | Intel Corporation | Method, apparatus and system for platform identity binding in a network node |
| US8205238B2 (en) * | 2006-03-30 | 2012-06-19 | Intel Corporation | Platform posture and policy information exchange method and apparatus |
| US20080066158A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Authorization Decisions with Principal Attributes |
| US20080065899A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Variable Expressions in Security Assertions |
| US20080066169A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Fact Qualifiers in Security Scenarios |
| US8095969B2 (en) * | 2006-09-08 | 2012-01-10 | Microsoft Corporation | Security assertion revocation |
| US8201215B2 (en) * | 2006-09-08 | 2012-06-12 | Microsoft Corporation | Controlling the delegation of rights |
| US8060931B2 (en) | 2006-09-08 | 2011-11-15 | Microsoft Corporation | Security authorization queries |
| US7814534B2 (en) | 2006-09-08 | 2010-10-12 | Microsoft Corporation | Auditing authorization decisions |
| US8938783B2 (en) * | 2006-09-11 | 2015-01-20 | Microsoft Corporation | Security language expressions for logic resolution |
| US20080066147A1 (en) * | 2006-09-11 | 2008-03-13 | Microsoft Corporation | Composable Security Policies |
| US8656503B2 (en) | 2006-09-11 | 2014-02-18 | Microsoft Corporation | Security language translations with logic resolution |
| JP4502141B2 (ja) * | 2007-09-18 | 2010-07-14 | 富士ゼロックス株式会社 | 情報処理装置、情報処理システムおよび情報処理プログラム |
| US8527771B2 (en) * | 2007-10-18 | 2013-09-03 | Sony Corporation | Wireless video communication |
| EP2053531B1 (en) * | 2007-10-25 | 2014-07-30 | BlackBerry Limited | Authentication certificate management for access to a wireless communication device |
| US8060920B2 (en) * | 2008-06-20 | 2011-11-15 | Microsoft Corporation | Generating and changing credentials of a service account |
| FI20100057A0 (fi) * | 2010-02-12 | 2010-02-12 | Notava Oy | Menetelmä ja järjestelmä virtuaalilaitteen luomiseksi dataliikenteen uudelleenohjaukseen |
| US8848919B2 (en) | 2011-06-17 | 2014-09-30 | Assa Abloy Ab | Revocation status using other credentials |
| US20130061281A1 (en) * | 2011-09-02 | 2013-03-07 | Barracuda Networks, Inc. | System and Web Security Agent Method for Certificate Authority Reputation Enforcement |
| US9225743B1 (en) * | 2012-04-12 | 2015-12-29 | Symantec Corporation | Automatic generation of policy from a group of SSL server certificates |
| US9391782B1 (en) * | 2013-03-14 | 2016-07-12 | Microstrategy Incorporated | Validation of user credentials |
| US9298923B2 (en) * | 2013-09-04 | 2016-03-29 | Cisco Technology, Inc. | Software revocation infrastructure |
| US9900774B2 (en) | 2014-05-30 | 2018-02-20 | Paypal, Inc. | Shared network connection credentials on check-in at a user's home location |
| US9461983B2 (en) * | 2014-08-12 | 2016-10-04 | Danal Inc. | Multi-dimensional framework for defining criteria that indicate when authentication should be revoked |
| US10154082B2 (en) | 2014-08-12 | 2018-12-11 | Danal Inc. | Providing customer information obtained from a carrier system to a client device |
| US9454773B2 (en) | 2014-08-12 | 2016-09-27 | Danal Inc. | Aggregator system having a platform for engaging mobile device users |
| US9906512B2 (en) * | 2015-07-28 | 2018-02-27 | International Business Machines Corporation | Flexible revocation of credentials |
| US10560274B2 (en) | 2016-06-09 | 2020-02-11 | International Business Machines Corporation | Credential-based authorization |
| US10389683B2 (en) * | 2016-08-26 | 2019-08-20 | International Business Machines Corporation | Securing storage units in a dispersed storage network |
| US11025607B2 (en) * | 2016-12-15 | 2021-06-01 | At&T Mobility Ii Llc | V2X certificate management |
| US10447470B2 (en) * | 2017-10-04 | 2019-10-15 | The Boeing Company | Secure and disruption-tolerant communications for unmanned underwater vehicles |
| EP3832508B1 (de) * | 2019-12-06 | 2024-01-24 | Siemens Aktiengesellschaft | Sperrung oder widerruf eines gerätezertifikats |
| EP3951516A1 (de) * | 2020-08-04 | 2022-02-09 | Siemens Aktiengesellschaft | System und verfahren zum verifizieren von komponenten eines industriellen kontrollsystems |
| US11522863B2 (en) * | 2020-10-29 | 2022-12-06 | Shopify Inc. | Method and system for managing resource access permissions within a computing environment |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2716323B1 (fr) * | 1994-02-14 | 1996-05-03 | France Telecom | Système sécurisé d'interconnexion de réseaux locaux via un réseau de transmission public. |
| US5699431A (en) * | 1995-11-13 | 1997-12-16 | Northern Telecom Limited | Method for efficient management of certificate revocation lists and update information |
| US6748531B1 (en) * | 2000-03-28 | 2004-06-08 | Koninklijke Philips Electronics N.V | Method and apparatus for confirming and revoking trust in a multi-level content distribution system |
| KR100731491B1 (ko) * | 2000-10-12 | 2007-06-21 | 주식회사 케이티 | 인증서 폐지목록 분산 관리 방법 |
| US20020099668A1 (en) * | 2001-01-22 | 2002-07-25 | Sun Microsystems, Inc. | Efficient revocation of registration authorities |
| US20020099822A1 (en) * | 2001-01-25 | 2002-07-25 | Rubin Aviel D. | Method and apparatus for on demand certificate revocation updates |
| DE10107437A1 (de) * | 2001-02-16 | 2002-08-29 | Siemens Ag | Displaymodul |
| US7003662B2 (en) * | 2001-05-24 | 2006-02-21 | International Business Machines Corporation | System and method for dynamically determining CRL locations and access methods |
| US20040064691A1 (en) * | 2002-09-26 | 2004-04-01 | International Business Machines Corporation | Method and system for processing certificate revocation lists in an authorization system |
| US7437551B2 (en) * | 2004-04-02 | 2008-10-14 | Microsoft Corporation | Public key infrastructure scalability certificate revocation status validation |
-
2005
- 2005-01-11 US US11/034,346 patent/US20060156391A1/en not_active Abandoned
-
2006
- 2006-01-10 EP EP06717996.0A patent/EP1836798A4/en not_active Withdrawn
- 2006-01-10 CN CN200680001894XA patent/CN101208685B/zh active Active
- 2006-01-10 WO PCT/US2006/000865 patent/WO2006076382A2/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2006076382A3 (en) | 2007-11-01 |
| WO2006076382A2 (en) | 2006-07-20 |
| EP1836798A2 (en) | 2007-09-26 |
| CN101208685B (zh) | 2010-10-27 |
| EP1836798A4 (en) | 2013-08-07 |
| US20060156391A1 (en) | 2006-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101208685B (zh) | 提供基于策略的网络安全证明撤回的方法和装置 | |
| JP5099139B2 (ja) | 公開鍵証明書状態の取得および確認方法 | |
| JP2022504420A (ja) | デジタル証明書の発行方法、デジタル証明書発行センター、記憶媒体およびコンピュータプログラム | |
| JP5215289B2 (ja) | 分散式の委任および検証のための方法、装置、およびシステム | |
| US7756476B2 (en) | Wireless communication system, terminal, and method for reporting status of terminal | |
| EP2874369A1 (en) | Trusted communication session and content delivery | |
| KR20050066522A (ko) | 무선 단말기용 암호키 관리 시스템 및 방법 | |
| US20140245409A1 (en) | Extension of the Attributes of a Credential Request | |
| EP2957064B1 (en) | Method of privacy-preserving proof of reliability between three communicating parties | |
| CN101421970A (zh) | 避免服务器对客户端状态的存储 | |
| JP2007328482A (ja) | 通信処理方法及びコンピュータ・システム | |
| US10805091B2 (en) | Certificate tracking | |
| JP2007110377A (ja) | ネットワークシステム | |
| US9413536B2 (en) | Remote secure device management in smart grid ami networks | |
| JP2013506352A (ja) | オンライン信頼できる第三者を導入したエンティティの公開鍵の取得、証明書の検証及び認証の方法及びシステム | |
| CN103023856A (zh) | 单点登录的方法、系统和信息处理方法、系统 | |
| JP2013143762A (ja) | 公開鍵証明書の検証方法、検証サーバ、中継サーバおよびプログラム | |
| CN108632037B (zh) | 公钥基础设施的公钥处理方法及装置 | |
| CN114282267A (zh) | 令牌生成方法、令牌验签方法、装置、设备及存储介质 | |
| US7424608B1 (en) | Mechanism for layered authentication | |
| KR20060067787A (ko) | 무선 Ad Hoc 망에서의 인증서 발행 및 인증 방법 | |
| KR20030035025A (ko) | 공개키 기반구조의 공인 인증서를 이용한 신원확인 서비스제공 시스템 및 그 방법 | |
| JP2001111538A (ja) | 通信システムとその方法、通信装置およびicカード | |
| KR20030018946A (ko) | 인증 및 권한 인가 서비스 시스템 | |
| US11563589B2 (en) | Certificate management system and certificate management method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |