[发明专利]一种确定断言发送者的方法、系统和装置

说明书

技术领域

本发明实施例涉及通信技术领域，特别涉及一种确定断言发送者的方法、系统和装置。

背景技术

现在，对终端安全状态的验证是由与终端处在同一安全域中的TNC(Trusted Network Connect，可信网络连接)服务器执行的。当终端只访问本域中的服务，例如：一个企业网的终端接入本企业的网络时，这种本地安全状态验证是足够的。但是，当终端超出了本地安全域的管理范围或跨安全域访问更广的互联网中的服务，例如：某企业所属的终端访问其商业伙伴的网络时，就需要另一安全域中的TNC服务器评估终端的安全状态。

TNC架构也能够提供来自其他安全设备的元数据用以关联与TNC客户端相关的stateful runtime(有状态的运行时)数据。这种元数据为安全相关决策增加了其他的数据来源。但这样的元数据共享同样也只被用于同一安全域下，即TNC数据和元数据的发布/订阅者属于同一组织。

现有技术提供了一种对跨域访问的终端的安全状态信息进行评估的方法，其基本思想主要为：端点与ASD(Asserting Security Domain，断言安全域)之间完成TNC的状态评估，这样ASD和端点都可能持有断言，然后端点向RSD(Relying Security Domain，依赖安全域)请求访问网络或应用，RSD通过In-Band或Out-band两种信令绑定方式获取到由ASD生成的关于端点的断言。其中，在FTNC(Federate Trusted Network Connect，联合可信网络连接)环境下，断言(assertion)特指包含有一个或多个PAM(Posture and/or Assessmentresult and/or Metadata，状态、评估结果和/或元数据)消息的声明，ASD是生成关于端点断言的联盟伙伴，RSD是一个使用端点断言的联盟伙伴。

In-Band(带内)信令绑定方式是指断言的请求或响应的通信载体与给终端交付所请求服务的载体相同，换言之，断言的传输需要通过终端自身；而Out-of-Band(带外)信令绑定方式是指断言的请求和响应的通信载体与交付给终端所请求服务的载体不同。端点与归属域中的TNCS已经完成了TNC评估，这意味着端点和ASD都有能力提供安全断言。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：

当有多个ASD可以提供RSD其需要的断言时，端点自身也可以本地存有由多个ASD生成的断言。在现有技术下，终端提供的响应者(Responder)列表可以包含终端自身，以及一个或多个ASD以供RSD选择，当RSD选择一个ASD作为响应者，采用带外信令绑定方式进行FTNC通信时，RSD直接从ASD获取相应的断言，这时不存在选取哪个ASD颁发断言的问题；但当RSD选择终端作为响应者，即采用带内信令绑定方式进行FTNC通信时，由于只选取了终端作为响应者，并没有确定RSD需要从终端处获取由哪一个ASD生成的断言，因此现有技术只在带外信令绑定方式下可以支持多个ASD为RSD提供该RSD需要的断言，但在带内信令绑定方式下则不支持多个ASD为RSD提供该RSD需要的断言。

发明内容

本发明实施例提供一种确定断言发送者的方法、系统和装置，以实现在带内信令绑定方式和带外信令绑定方式下，都可以支持多个ASD生成断言的场景。

本发明实施例一方面提供一种确定断言发送者的方法，包括：

接收来自端点的至少一个断言生成者信息；

从所述至少一个断言生成者中选择断言生成者，根据采用的信令绑定方式确定断言发送者。

另一方面，本发明实施例还提供一种网络系统，包括：

端点，用于向服务提供者发送所述端点的至少一个断言生成者信息；

服务提供者，用于接收来自所述端点的至少一个断言生成者信息，从所述至少一个断言生成者中选择断言生成者，根据采用的信令绑定方式确定断言发送者。

再一方面，本发明实施例还提供一种网络装置，包括：

接收模块，用于接收来自端点的至少一个断言生成者信息；

断言生成者选择模块，用于从所述接收模块接收的至少一个断言生成者中选择断言生成者；

断言发送者确定模块，用于根据采用的信令绑定方式确定断言发送者。