[发明专利]由用户和设备管理网络接入安全策略的系统和方法

权利要求书

1.一种用于管理用户-设备接入安全策略的系统，该系统包 括：

接入设备，其具有相应的设备证书，和

安全策略执行点，其从所述接入设备接收用户证书和所述设 备证书、利用所述用户证书检索用户安全策略、利用所述设备证 书检索设备安全策略、利用所述用户安全策略和所述设备安全策 略生成用户-设备安全策略、以及执行所述用户-设备安全策略，其 中通过使用不同的设备证书，用户能够在不同设备之间以同一用户证 书切换。

2.根据权利要求1所述的系统，其中，所述设备证书包括设 备指示符，该设备指示符包含设备类型、设备模型、设备配置和 设备类别中的至少一个。

3.根据权利要求2所述的系统，其中，所述用户证书在第一 信息信道上从所述接入设备被传送至所述安全策略执行点，而其 中所述设备证书在第二信息信道上从所述接入设备被传送至所述 安全策略执行点。

4.根据权利要求2所述的系统，其中，所述安全策略执行点 还包括：用于从用户数据库检索所述用户安全策略的用户策略模 块，和用于从设备数据库检索所述设备安全策略的用于设定设备 相关的安全策略的点(PSDDSP)。

5.根据权利要求4所述的系统，其中，所述用户数据库包括 对应于所述用户证书的用户记录，所述用户记录包括与所述用户 安全策略有关的信息，并且其中所述设备数据库包括对应于所述 设备证书的设备记录，所述设备记录包括与所述设备安全策略有 关的信息。

6.根据权利要求1所述的系统，其中，所述用户-设备安全 策略是通过组合所述用户安全策略的用户安全规则与所述设备安 全策略的设备安全规则来生成的。

7.根据权利要求6所述的系统，其中，所述组合包括将所述 用户安全规则添加到所述设备安全规则中以构成所述用户-设备 策略的用户-设备规则的集合。

8.一种用于管理用户-设备接入安全策略的方法，该方法包 括：

从接入设备发送用户证书和设备证书，

在安全策略执行点接收来自所述接入设备的所述用户证书和 所述设备证书，

利用所述用户证书检索用户安全策略，

利用所述设备证书检索设备安全策略，

利用所述用户安全策略和所述设备安全策略生成用户-设备 安全策略，和

执行所述用户-设备安全策略，其中通过使用不同的设备证 书，用户能够在不同设备之间以同一用户证书切换。

9.根据权利要求8所述的方法，其中，所述设备证书包括设 备指示符，该设备指示符包含设备类型、设备模型、设备配置和 设备类别中的至少一个。

10.根据权利要求9所述的方法，还包括：

所述用户证书在第一信息信道上从所述接入设备被传送至所 述安全策略执行点，而所述设备证书在第二信息信道上从所述接 入设备被传送至所述安全策略执行点。

11.根据权利要求9所述的方法，其中，对所述用户安全策略 的所述检索还包括由用户策略模块检索从用户数据库检索所述用 户安全策略，并且对所述设备策略的检索还包括由用于设定设备 相关的安全策略的点(PSDDSP)从设备数据库检索所述设备安全 策略。

12.根据权利要求11所述的方法，其中，所述用户数据库包 括对应于所述用户证书的用户记录，所述用户记录包括与所述用 户安全策略有关的信息，并且所述设备数据库包括对应于所述设 备证书的设备记录，所述设备记录包括与所述设备安全策略有关 的信息。

13.根据权利要求8所述的方法，其中，生成所述用户-设备 安全策略还包括组合所述用户安全策略的用户安全规则与所述设 备安全策略的设备安全规则。

14.根据权利要求13所述方法，其中，所述组合的步骤进一 步包括将所述用户安全规则添加到所述设备安全规则中以构成所 述用户-设备策略的用户-设备规则的集合。