[发明专利]作为服务的可信设备声明

说明书

技术领域

本发明涉及通信领域，尤其涉及通信领域中的设备声明。

相关申请的交叉引用

本申请根据35U.S.C.§119(e)款要求2010年9月30日提交的题为“Trustworthy Device Claims as a Service(作为服务的可信设备声明)”的代理人案号M1103.70894US00的美国临时申请第61/388,433号的优先权，该申请通过引用整体合并于此。

背景技术

许多组织设法为用户提供在任何时间使用任何设备从任何位置透明地访问应用的能力。向用户提供这一访问级别涉及克服多个障碍，包括与安全有关的那些障碍。例如，取决于每一用户的角色和/或与组织的关系，组织可设法提供对应用程序和/或数据的不同级别的用户访问。

发明内容

2010年6月24日提交的、题为“Network Layer Claims Based Access Control(基于网络层声明的访问控制)”的共同转让的美国专利申请号12/822,724公开了通过在“声明”(对于本领域技术人员而言也称为“断言”)中所提供的信息的使用来提供关于在OSI栈的网络层处作出访问控制决定的灵活性的各技术。简言之，声明可包括关于以下中的任一个的信息：请求访问资源的计算机的多个属性中、围绕所请求的访问的环境、被请求访问的资源、和/或其他信息。根据所公开的各技术，在声明中提供的信息可鉴于一个或多个访问控制策略来评估，并在决定是授予还是拒绝对特定网络资源的访问中使用。由于在声明中所提供的信息可能比先前用于在网络层处作出访问控制决定的信息更详细，策略可被更灵活地制定，并且可考虑变换的本质或类型的信息。

同时提交的题为“Trustworthy Device Claims for Enterprise Applications(用于企业应用的可信设备声明)”的共同转让的美国专利申请号XX公开了各技术，通过该技术可按声明形式向应用提供信息，该信息描述请求对应用的访问的设备的特征和/或状态。描述设备的特征和/或状态的这些声明在后文中被称为“设备声明”。向其提供设备声明的应用可采用其中的信息，以驱动多种类型的功能中的任一个，包括与安全有关的功能和非安全有关的功能。作为一示例，设备声明可由应用用于驱动访问控制决定，在使特定功能或数据可用之前验证所描述的设备满足特定准则，生成适合设备的特征的输出等。根据所公开的技术，设备经历远程证明过程，通过该远程证明过程来生成设备声明并且随后将其转换成应用被配置成消费的形式。设备声明随后可由该设备包括在访问应用的请求中。作为经由远程证明过程来生成的结果，设备声明被应用接受作为对该设备的特征和/或状态的准确且真实的表示。

本发明各实施例使得发放可信设备声明作为服务对设备可用。在这一方面，申请人认识到在特定实例中，使应用通过网络(例如，经由可公开访问的因特网)可用的实体可在设备声明可提供的信息中找到价值(例如，对请求访问的设备的特征和/或状态的独立评定)，但可能不希望招致与向寻求对应用的访问的设备发放设备声明相关联的管理和成本开销。因此，本发明的某些实施例提供设备可从中获取设备声明的服务，该设备声明随后可与对访问网络应用的尝试相关地使用。服务可进行(例如，执行和/或监督)对设备的特征和/或状态的独立评定，在设备声明中表征这一评定的结果，并且将设备声明提供给该设备以供在访问一应用的后续尝试中使用。在某些实施例中，服务可由设备从使网络应用可用的实体的管理边界外部访问。由此，本发明各实施例对于使网络应用在商业对消费者(B2C)和商业对商业(B2B)拓扑结构中可由设备访问的各方可能有用。

前述是对由所附权利要求定义的本发明中各实施例的非限定性的概述。

附图说明

附图不旨在按比例绘制。在附图中，各个附图中示出的每一完全相同或近乎完全相同的组件由同样的标号来表示。出于简明的目的，不是每一个组件在每张附图中均被标号。在附图中：

图1是根据本发明某些实施例的描绘其中可向客户机设备发放可信设备声明的系统的框图；

图2是根据本发明某些实施例的描绘由此客户机设备从网络应用中接收受信设备状态令牌服务的列表并且选择受信DSTS的示例过程的流程图；

图3是根据本发明某些实施例的描绘由此网络应用评估由客户机设备所提交的设备声明的示例过程的流程图；

图4是描绘其上可实现本发明各实施例的示例计算机系统的框图；以及

图5是描绘其上可存储体现本发明的各方面的指令的示例存储器的框图。

具体实施方式