[发明专利]使用属性证书实现网络设备授权的系统与方法

权利要求书

1.一种用于授权网络设备的方法，包括：

通过第一网络设备执行第二网络设备的自动安全扫描以确定所 述第二网络设备的能力；

部分地基于确定的能力来确定属性；

部分地基于所述属性来生成属性证书；

在不同于所述第二网络设备的另一网络设备上存储包括属性的 所述属性证书；

在所述第一网络设备处接收来自所述第二网络设备的验证请求 以便通过网络访问资源；

响应于来自所述第二网络设备的验证请求，验证所述第二网络 设备，并且如果所述第二网络设备不能被验证，则终止与所述第二 网络设备的通信；

响应于验证所述第二网络设备，所述第一网络设备请求并且从 另一网络设备接收针对所述第二网络设备存储的属性证书；以及

所述第一网络设备确定针对所述第二网络设备接收的所述属性 证书是否有效，其中如果确定所述属性证书有效，则部分地基于与 所述属性证书相关联的属性授权通过网络对资源的访问，并且如果 确定所述属性证书并非有效，则终止与所述第二网络设备的通信。

2.根据权利要求1的方法，其中所述属性证书的有效性基于包 括所述属性证书的日期范围、所述属性证书上的数字签名以及所述 属性证书中所列的身份与检验的验证请求的比较的多个因素。

3.根据权利要求1的方法，其中所述属性进一步部分地基于对 另外一个属性有效需满足的条件而确定。

4.根据权利要求1的方法，其中所述属性进一步与网络设备组 相关联。

5.根据权利要求1的方法，其中所述属性进一步与用户组相关。

6.根据权利要求1的方法，其中所述第一网络设备包括访问服 务器，并且所述另一网络设备包括属性授权中心，并且其中所述属 性证书由属性授权中心生成和存储。

7.根据权利要求1的方法，其中所述第一网络设备包括访问服 务器，并且所述另一网络设备包括属性仓库，并且其中所述属性证 书由所述访问服务器生成并发送到所述属性仓库以便进行存储。

8.根据权利要求6的方法，其中所述属性证书通过使用cookie、 程序以及手动上载至少其中之一而提供给访问服务器。

9.一种用于授权网络设备的装置，包括：

用于由第一网络设备执行第二网络设备的自动安全扫描以确定 所述第二网络设备的能力的装置；

用于部分地基于确定的能力来确定属性的装置；

用于部分地基于属性来生成属性证书的装置；

用于在不同于所述第二网络设备的另一网络设备上存储包括属 性的所述属性证书的装置；

用于在所述第一网络设备处接收来自所述第二网络设备的验证 请求以便通过网络访问资源的装置；

用于响应于来自所述第二网络设备的所述验证请求，验证所述 第二网络设备的装置，以及用于如果所述第二网络设备不能被验证， 则终止与所述第二网络设备的通信的装置；

用于响应于验证所述第二网络设备，请求并且从另一网络设备 接收针对所述第二网络设备存储的属性证书的装置；以及

用于由所述第一网络设备确定针对所述第二网络设备接收的所 述属性证书是否有效的装置，以及用于如果确定所述属性证书有效， 则部分地基于与所述属性证书相关联的属性，授权通过所述网络对 所述资源的访问的装置，以及用于确定所述属性证书并非有效，则 终止与所述第二网络设备的通信的装置。

10.根据权利要求9的装置，进一步包括用于部分地基于对另 一个属性有效需满足的条件确定所述属性的装置。

11.根据权利要求9的装置，其中所述属性证书的有效性基于 包括所述属性证书的日期范围、所述属性证书上的数字签名以及所 述属性证书中所列的身份与检验的验证请求的比较的多个因素。