[发明专利]用于企业应用的可信设备声明

说明书

技术领域

本发明涉及通信领域，尤其涉及设备声明技术。

背景技术

许多组织设法为用户提供在任何时间使用任何设备来从任何位置透明地访问应用的能力。向用户提供这一访问级别涉及克服多个障碍，包括与安全有关的那些障碍。例如，组织可取决于用户在组织中的角色和/或用户与组织的关系来向用户提供不同级别的应用访问。

发明内容

2010年6月24日提交的题为“Network Layer Claims Based Access Control(基于访问控制的网络层声明)”的共同转让的美国专利申请号12/822,724公开了通过在“声明”(对于本领域技术人员而言也称为断言)中所提供的信息的使用来提供关于在OSI栈的网络层处作出访问控制决定的灵活性的各技术。简言之，以上引用的申请公开了声明可提供在网络层处作出访问控制决定时有用的信息。在这方面，声明可包括关于以下中的任一个的信息：请求访问资源的计算机的多个属性、所请求的访问周围的情况、被请求访问的资源、和/或其他信息。根据所公开的各技术，在声明中提供的信息可鉴于一个或多个访问控制策略来被评估，并在决定向提出请求的计算机授予还是拒绝对特定网络资源的访问中使用。由于在声明中所提供的信息可比先前用于在网络层处作出访问控制决定的信息更详细，访问控制策略可被更灵活地制定，并且在作出访问控制决定时可提供更大的灵活性，以便将具有变换的本质或类型的信息考虑在内。

申请人认识到，在描述请求对应用程序进行访问的计算机的特性或属性的声明中提供的信息(下文中称为“设备声明”)可由被请求访问的应用使用来导出多种类型的应用功能中的任一个。该功能可包括访问授权和/或其他安全相关的功能，或多种其他类型的功能中的任一个。例如，应用可在使特定功能或数据对设备可用之前验证设备满足某些准则，可生成适合于设备的特性和/或能力的输出，或以多种其他方式中的任何方式来使用设备以声明形式提供的信息。本发明的各实施例不限于任何特定的使用。

本发明的某些实施例提供一种过程，借此过程使设备声明中的信息被转换为应用被配置成处理的形式。在这方面，申请人认识到，虽然设备声明被常规地使用(例如，为实现作出关于访问控制的灵活决定，如在以上引用的共同转让的申请中所公开的)，但常规上它们未被应用使用，且应用未被配置成以设备声明常规被提供的形式来处理设备声明。结果，本发明的某些实施例允许将声明中的信息按应用被配置成消费的形式提供给应用。例如，设备声明常常以X.509证书形式由安全令牌服务(STS)发放，而应用未被配置成处理以这种形式提供的设备声明。根据本发明的某些实施例，X.509证书中包括的设备声明可被转换成应用被配置成处理的形式，诸如安全断言标记语言(SAML)令牌。在某些实施例中，X.509证书可首先被转换成Kerberos权证(例如，如在以上引用的申请中所描述的)，然后被转换成SAML令牌以提供给应用。在其他实施例中，X.509证书可被直接转换成SAML令牌，而不必首先被转换成Kerberos权证。多种实现中的任何些都是可能的，且本发明的各实施例不限于按任何特定形式将设备声明提供给应用，或按任何特定方式将设备声明转换成该形式。

在某些实施例中，生成提供给应用的设备声明以使得设备声明是“可信的”，从而应用可被确保其中表示的信息是设备特性和/或属性的准确且真实的表示。例如，本发明的某些实施例提供包括要经由远程证明过程来生成的设备声明的证书，其中客户机设备从一个或多个数据源(例如，外部数据源)获得对其状态和特性的评估并将评估提供给证明服务器以便生成设备声明。因为设备声明是经由远程证明过程来生成的，所以它们可由应用接受作为设备的状态、特性和/或属性的可信表示。

以上是对由所附权利要求书所定义的本发明的非限定性的概述。

附图说明

附图不旨在按比例绘制。在附图中，各个附图中示出的每个相同或近乎完全相同的组件由同样的附图标记来表示。出于简明的目的，不是每个组件在每张附图中均被标记。在附图中：

图1是描绘了根据本发明的某些实施例的其中客户机设备获得包括设备声明信息的证书的系统的框图；

图2是描绘了包括用于按适于被web应用消费的格式来产生设备声明信息的组件的示例系统的框图；

图3是描绘了根据本发明的某些实施例的包括可用于将机器证书转换成SAML令牌的组件的系统的框图；

图4是描绘了根据本发明的某些实施例的示例过程的流程图，借此过程安全令牌服务从客户机设备接收并处理设备声明信息；