[发明专利]用于企业应用的可信设备声明

权利要求书

1.一种方法，包括：

(A)应用(270)经由至少一个网络(130)从客户机设备(110)接收各自描述所述客户机设备的属性的一个或多个设备声明；

(B)采用至少一个处理器(703)来处理所述一个或多个设备声明，所述处理包括执行取决于所述一个或多个设备声明中的每一个所描述的所述客户机设备的属性的功能。

2.如权利要求1所述的方法，其特征在于，在(A)中接收的每一设备声明描述了从包括以下各项的一组属性中选择的所述客户机设备的属性：

所述客户机设备是否配备有安全软件，

所述客户机设备是否采用防火墙，

所述客户机设备采用的防火墙是否是运行的，

所述客户机设备上的反病毒签名是否是最新的，

所述客户机设备扮演的角色，

所述客户机设备所附属的组织，

所述客户机设备的所有者，以及

所述设备的地理位置。

3.如权利要求1所述的方法，其特征在于，(B)包括执行与安全有关的功能。

4.如权利要求1所述的方法，其特征在于，(B)包括生成为所述一个或多个设备声明所描述的所述客户机设备的属性特制的输出。

5.一种其上编码有指令的计算机可读存储介质(801)，所述指令在被执行时执行一种方法，所述方法包括：

(A)经由至少一个网络(130)从客户机设备(110)接收各自描述所述客户机设备的属性的一个或多个设备声明；

(B)生成包括所述一个或多个设备声明的数据结构，所述数据结构具有适合于被应用处理的格式；以及

(C)将所述数据结构提供给所述客户机设备以供结合所述客户机设备要访问所述应用的请求来使用。

6.如权利要求5所述的计算机可读存储介质，其特征在于，(A)包括接收证书，所述证书包括各自描述所述客户机设备的属性的所述一个或多个设备声明。

7.如权利要求5所述的计算机可读存储介质，其特征在于，(B)包括生成包括所述一个或多个设备声明的SAML令牌。

8.一种包括至少一个处理器(703)的客户机设备(110)，所述处理器被编程为：

向所述客户机设备可经由至少一个网络访问的证明机构请求包括一个或多个可信设备声明的证书，每一设备声明描述所述客户机设备的属性；

将所述证书或使用所述证书生成的Kerberos权证提供给安全令牌服务(STS)，所述证书或Kerberos权证包括所述一个或多个可信设备声明；

从所述STS接收包括所述一个或多个可信设备声明的安全断言标记语言(SAML)令牌；

结合要访问web应用的请求来使用包括所述一个或多个可信设备声明的SAML令牌。

9.如权利要求8所述的客户机设备，其特征在于，还包括具有web能力的组件，且所述至少一个处理器被编程为使得所述具有web能力的组件能够结合要访问所述web应用的请求来使用所述SAML令牌。

10.如权利要求9所述的客户机设备，其特征在于，所述具有web能力的组件包括浏览器应用。