本部分中描述的手段可以被实现，但是不一定是先前已经被设计出或 实现的手段。因此，除非这里另外指明，否则本部分中描述的手段不是本 申请的权利要求的现有技术，也不因被包括在本部分中而被认定是现有技 术。
很多计算机网络安全系统涉及在系统中从机构元件向网络元件分发证 明或状态信息。如果状态信息改变，或者证明变为无效，则机构元件可以 选择撤回证明或状态信息，并且机构元件需要通知网络元件已经发生了撤 回。
在过去的一种手段中，认证机构(CA)向分组交换网络中的路由器、 交换机或其他元件分发数字证书。CA维护一个证书撤回列表(CRL)， 其列出了标识CA已撤回或声明为无效的所有证书的信息。CRL通过独特 的标识符值来标识每个被撤回的证书。每个网络元件可以周期性地联系 CA并下载当前的CRL。依赖于是否在CRL中找到特定的数字证书，网络 元件验证或不验证特定证书。或者，每次网络元件需要验证证书时，都会 参考在线服务；一个示例是OSCP。在周期性地下载CRL的离线模型中， 由于网络带宽、流量或其他约束，CRL的大小变得至关重要。
但是，使用该手段，如果发生了使大量证书或其他证明无效的事件， 则撤回所有证明将是困难的和耗时的。例如，假设某个被管理网络包括 1,000个路由器，每个路由器运行版本为“3.0”的操作系统，并且每个路 由器存储数字属性证书。还假设由于安全原因，仅当这些路由器中的请求 路由器出示了表明有效和受信的机器配置的属性证书时，特定服务器才会 向该路由器提供特定范围。还假设操作系统的供应商确定操作系统版本 “3.0”中存在一个重大bug，并且该bug足以要求服务器拒绝对具有该 bug的路由器提供服务。为了阻止对这些路由器的服务，全部1,000个证 书都需要被撤回。当前没有完成这一操作的容易或高效的方式。例如，CA 需要在CRL中存储1,000个条目，这可能是大得不合理的。例如，如果 CA是在网络中的路由器中实现的，则路由器处的有限存储资源会约束 CRL的可允许大小。
上述手段例如被用在ITU标准X.509、IETF注释请求(RFC)3281以 及RFC 3280的IETF PKIX技术中定义的数字证书技术中。基于这些协议 的证书机构已经被Microsoft Corporation、Entrust和Verisign在商业上实 现。
基于上述情况，很明显需要一种用于撤回计算机网络中的证明的改良 技术。

附图以示例而非限制的方式示出了本发明，在附图中，相似的标号指 示相似的元件，其中：
图1是提供基于策略的网络安全证明撤回的示例性系统的框图；
图2是包含提供基于策略的网络安全证明撤回的软件元素的示例性网 络元件的框图；
图3是示例性撤回规则列表的框图；
图4是示出了用于基于策略的网络安全证明撤回的方法的一个实施例 的高级别概况的流程图；以及
图5是示出了可以实现本发明的计算机系统的框图。

下面描述用于基于策略的网络安全证明撤回的方法和装置。在下文 中，为了说明而列出了大量具体细节，以便提供对本发明的透彻理解。但 是对于本领域技术人员来说很明显，可以在没有这些具体细节的情况下实 施本发明。此外，没有以框图的形式示出公知的结构和设备，以免不必要 地模糊本发明。
本发明满足了前面背景技术中提到的需求以及将从下文中变得清楚的 其他需求和目的，本发明的一个方面包括一种用于基于策略的网络安全证 明撤回的方法，包括：接收并存储一个或多个证明撤回规则，其中每个所 述证明撤回规则指定与要被撤回的一个或多个证明相关联的一个或多个第 一属性和所述第一属性的第一值；接收并存储一个或多个网络证明，其中 每个所述网络证明包括一个或多个第二属性和所述第二属性的第二值；以 及当所述一个或多个网络证明中的特定网络证明的一个或多个第二属性的 第二值与所述证明撤回规则之一的一个或多个第一属性的第一值相匹配 时，确定所述特定网络证明是无效的，并执行响应动作。所述网络证明可 以被生成和签名或以其他方式被某个机构认证；于是网络证明的用户可以 验证该网络证明确实是由该机构生成的。
此外，一种撤回机构可以执行以下步骤：接收定义了一个或多个所述 证明撤回规则的信息并且将所述证明撤回规则提供给一个或多个网络元 件。在一种手段中，该撤回机构执行：在撤回机构的证明撤回规则列表中 存储所述证明撤回规则；创建包含一个或多个所述证明撤回规则的网络证 明撤回消息；以及使用多播消息向所述网络元件发送所述网络证明撤回消 息。在一种变型中，提供所述证明撤回规则包括在服务器中存储所述证明 撤回规则，其中所述服务器的网络位置在所述特定网络证明中标识。此外/ 或者，所述网络证明撤回消息仅被发送到先前已接收到可能与所述消息中 的所述证明撤回规则匹配的一个或多个证明的网络元件。
在其他方面中，本发明包括被配置为执行以上步骤的计算机装置和计 算机可读介质。
这里根据下面的大纲来描述实施例：
1.0结构概述
2.0功能概述
3.0实现机制——硬件概述
4.0扩展和替换
1.0结构概述
图1是提供基于策略的网络安全证明撤回的示例性系统的框图。撤回 机构102可通信地耦合到包括一个或多个网络元件106A、106B、106C的 网络104。在多个实施例中，撤回机构102可以被实现为网络管理站或系 统、分组交换网络的路由器，或可以与网络通信并执行这里描述的撤回机 构功能的任何其他适当的计算设备。撤回机构102可以但不必须与证书机 构集成。
在图1的示例中，网络104是分组交换网络，网络元件106A、 106B、106C中的每一个是路由器、交换机或其他基础设施元件。或者， 任意或全部网络元件106A、106B、106C可以包括末端站设备、无线设 备，等等。这里的技术也可以形成涉及多个服务器和软件的组合的网络安 全解决方案的一部分，所述多个服务器和软件进行交互以提供包括访问、 授权和记帐(AAA)服务、用户许可控制等的综合网络安全机制。例如， 这里的技术可被用来执行对向第二网络元件出示属性证书的第一网络元件 的姿态(posture)验证。作为特定示例，该技术可被用来在某个事件使得 评估网络元件的姿态的标准无效时撤回基于网络元件的姿态而向网络元件 发出的证明。
为了示出清楚的示例，图1示出了三(3)个这样的网络元件，但是 在其他实施例中可以有任意数量的网络元件。本公开特别考虑了与具有几 千个网络元件的网络一起使用的实施例。
撤回机构102维护撤回规则列表105。撤回机构102容宿证明撤回逻 辑107，证明撤回逻辑107包括实现这里进一步描述的撤回机构功能的一 个或多个计算机程序指令序列或其他软件元素。在执行这些功能时，撤回 机构102可以发送一个或多个撤回消息114到网络104和网络元件106A、 106B、106C。除了这里描述的证明撤回方法以外，撤回机构102还可以执 行网络路由选择或其他功能；也就是说，这里的技术不要求撤回机构仅专 用于执行撤回。
图2是包含提供基于策略的网络安全证明撤回的软件元素的示例性网 络元件的框图。例如，图1的网络元件106A、106B、106C中的每一个都 可以具有图2所示的组成元件。网络元件106A可以包括操作系统108，其 容宿接收和评估一个或多个证明110的证明撤回逻辑112并在撤回规则存 储装置120中存储撤回规则列表105。证明110可以包括证书机构根关键 字、数字证书、口令或撤回机构102可能需要撤回的任何其他信息。在一 个实施例中，证明110是遵循RFC 3281的属性证书。撤回规则存储装置 120可以被构造为存储器中的缓存、MIB，或任何其他适当的数据结构或 数据存储装置。
证明撤回逻辑112可以接收和处理撤回机构102发出的一个或多个撤 回消息114。证明撤回逻辑112包括实现这里进一步描述的网络元件功能 的一个或多个计算机程序指令序列或其他软件元素。在一个实施例中，证 明撤回逻辑112可以被实现为来自Cisco Systems，Inc.，San Jose，California 的Cisco IOS软件的一部分，该部分是在IOS的控制下运行的应用或被集 成到IOS中的应用。
根据一个实施例，为了撤回一个或多个证明，撤回机构102向网络 104发送或传播撤回消息114。每个撤回消息114定义一个撤回策略或规 则。此外，撤回规则列表105存储可被放在撤回消息114中的撤回策略或 规则。接收撤回消息114的网络元件提取消息中携带的撤回规则，并将这 些规则存储在撤回规则存储装置120中的本地撤回规则列表105中。
图3是示例性撤回规则列表的框图。撤回规则列表105可以包括一个 或多个撤回规则105A，每个撤回规则105A包括规则标识符105B和规则 陈述105C。存储在网络元件106A、106B、106C中的每个证明110具有一 个或多个属性值对。这些值对应于网络元件的属性。例如，属性可以是网 络元件扮演的角色、网络元件的位置、软件版本信息、硬件类型或版本信 息等。因此，证明110可以包括属性证明或授权证明，而不是身份证明。 网络元件使用身份证明来向另一元件证实其身份，而网络元件使用属性证 明来向另一元件证实其属性，以便获得对执行动作或访问资源的授权。例 如，证明机构可以向网络元件发出属性证明以证实该网络元件的当前配置 和软件。证明机构可以被容宿在与容宿撤回机构102的网络元件相同的网 络元件上，或者可以被容宿在不同的网络元件上。
每个规则陈述105C指定一个或多个属性值对。例如，规则陈述105C 可以表达规则“REVOKE os.type＝＝windows AND patch.level＜ 15000.00”。该示例性规则意味着撤回机构102正在撤回所有“os.type” 属性等于“windows”并且“patch.level”属性的值小于“15000.00”的证 明110。又例如，一个规则可以表达这样的策略，其中针对具有特定硬件 类型的设备在某个日期之前发出的所有属性证书都被撤回。规则陈述 105C可以表达任意数量的属性值对，这些属性值对使用诸如AND (与)、OR(或)等布尔逻辑运算符连接在一起。属性和值的关系可以使 用指示等于、大于、小于的算术运算符或其他算术关系。
如省略号107所指示，撤回规则列表105可以包括任意数量的撤回规 则105A。撤回规则列表105可以被存储为属性值对的列表、使用SNMP 的设备的管理信息库(MIB)中的表或任意其他数据结构或数据存储库。 表示规则陈述105C的具体方法不是关键的，图3所示的象征性文本仅作 为形成规则陈述的一个示例给出。
2.0功能概述
图4是示出了用于基于策略的网络安全证明撤回的方法的一个实施例 的高级别概况的流程图。
在步骤402，撤回机构102接收定义一个或多个撤回规则的信息，这 些规则在步骤404被存储在撤回规则列表中。例如，步骤402-402可以 涉及用户向图形用户界面工具提供输入，该图形用户界面工具辅助定义撤 回规则的属性值对或其他特性以及将撤回规则存储在撤回机构102的撤回 规则列表105中。或者，步骤402-404可以涉及用户发出命令行界面 (CLI)命令，该CLI命令定义撤回规则并且命令撤回机构102在撤回规 则列表中存储撤回规则。
在另一备选示例中，步骤402-404可以涉及撤回机构102通过程序 方式(例如通过接收事件、来自外部程序或系统的调用)来接收撤回规 则。在另一备选示例中，步骤402-404可以涉及撤回机构102通过诸如 文件传输协议(FTP)事务、SNMP bulk SET操作等批量数据(bulk data) 传输方法来接收规则信息。因此，在步骤402-404使用的向撤回机构提 供撤回规则的具体方法不是关键的，步骤402-404可以使用现在已知的 或以后发明的任何其他方法或技术。
在另一备选示例中，步骤402可以涉及接收响应于网络威胁通告而自 动生成的撤回规则。例如，撤回机构102或在监视网络威胁时涉及的另一 元件可以接收指示特定操作系统的某个版本或补丁具有安全漏洞的信息。 作为响应，撤回机构102可以创建撤回具有与该操作系统版本或补丁相匹 配的属性值的所有证书的撤回规则。
在步骤406-408，撤回机构102向网络元件提供一个或多个撤回规 则。在步骤406，撤回机构102创建包含一个或多个撤回规则的网络证明 撤回消息，例如图1、图2的撤回消息114。为了防止伪造、欺骗或中间 人攻击，撤回机构102可以使用公钥签名手段在步骤406对证明撤回消息 应用数字签名。或者，步骤406可以涉及使用撤回机构已经预先共享的或 以其他方式提供给接收网络元件的对称密钥来加密证明撤回消息114。
在步骤408，撤回机构102向网络元件发送网络消息。证明撤回消息 可以遵循任何适当的网络消息协议。在一种手段中，步骤408可以涉及向 网络104中的所有网络元件106A、106B、106C发送撤回消息。步骤408 可以涉及使用广播或多播消息传送协议、事件总线或用于向多个接收者传 递一个消息的其他机制。
或者，步骤408可以涉及在网络元件106A、106B、106C访问的诸如 Web服务器或FTP服务器等指定位置处存储撤回消息。利用该备选示例， 可以以高可用性的配置来提供撤回信息，从而即使撤回机构102出现故 障，撤回策略或规则仍对需要它们的网络元件保持可用。此外，如果撤回 机构102需要传递大量撤回策略或规则，则在Web服务器或FTP服务器 处存储撤回规则使得能够将规则迅速传播到整个网络。迅速的传播之所以 能够发生是因为撤回机构不需要使用多播或其他方法来向大量设备传递相 同的信息。
或者，步骤408可以涉及从网络104中的所有网络元件确定一个子集 或候选者列表，并且仅向候选网络元件发送撤回消息114。例如，撤回机 构102可以基于那些网络元件处的证明110的属性来维护关于哪些网络元 件有可能需要撤回消息114的信息。然后，撤回机构102可以仅向需要撤 回消息或被预期为对撤回消息感兴趣的网络元件发送撤回消息114。
在一个实施例中，根据调度周期性地执行步骤406-408。例如，撤回 机构102可以每6到8小时发出一个或多个证明撤回消息。调度可以包括 任何期望的传递定时。
可以以三种模式中的任意一种实现步骤406-408。在一种模式中，撤 回机构传播或“推送”(push)撤回信息到网络中。在其他实现方式中， 这里描述的手段还可以被应用于在线撤回模式中或拉(pull)机制中，在 在线撤回模式中，针对需要参考CRL的每个事务参考某个服务，在拉机制 中，设备周期性地下载CRL或其他证明。
网络元件106A-106C中接收到撤回机构102在步骤408发送的证明 撤回消息的每个网络元件都执行图4的步骤410-422。网络元件106A- 106C可以使用证明撤回逻辑112来执行步骤410-422。因此，例如在步 骤410，特定的网络元件106A接收证明撤回消息114。在步骤412，该网 络元件从撤回消息提取一个或多个证明撤回规则。在步骤414，网络元件 例如在撤回规则缓存或其他数据存储装置中存储撤回规则。
在步骤414之后的某个时刻(可以是立即或在很长时间之后)，网络 元件接收和存储证明，如步骤416所示。例如，网络元件106A可以从希 望与网络元件106A交互的另一网络元件接收数字证书，并将该数字证书 作为证明110存储在撤回规则存储装置120中。网络元件106A可以接收 来自充当撤回机构102的同一网络元件或来自不同的网络元件或源的证明 110。
在一个实施例中，步骤416还可以涉及轮询或访问包含证明撤回规则 的Web服务器或FTP服务器。例如，在步骤416接收的数字证书可以包 含标识网络中存储可能适用于该证书的撤回规则的服务器位置的URL或 其他网络位置标识符。作为响应，网络元件106A联系该服务器并取得一 个或多个证明撤回消息或规则。该手段可作为步骤410-412的额外步骤 或替换步骤执行。
在步骤418，网络元件验证接收到的证明。可以使用传统的证明验证 技术。例如，当证明110是已被证书机构应用数字签名的数字证书时，可 以使用公钥密码手段来确定数字签名是否是正确的。
如果证明被成功地验证，则在步骤420，网络元件将证明的属性与所 存储的撤回规则相比较。例如，证明撤回逻辑112比较每个撤回规则中定 义的每个属性并确定接收到的证明110是否具有该属性。如果具有，则证 明撤回逻辑112比较与该规则相关联的撤回规则中的每个值，并确定证明 110中的相应值是否满足于撤回规则中的算术运算符或其他标准。
如果根据撤回规则中的运算符，撤回规则中的属性值对与证明110中 的属性和值匹配，则采取步骤422所示的响应动作。响应动作422可以包 括无效该证明，如步骤422A所示。无效该证明一般包括将证明标记为无 效或从存储装置删除证明。此外/或者，如步骤422B所示，如果发生规则 匹配则步骤422可以涉及写入指示不合要求的(non-compliant)或被撤回 的证明的标识的日志条目、发出警报消息或其他通知、使用事件总线公布 事件，或采取其他响应动作。步骤422的响应动作还可以包括拒绝对服务 或资源的访问。
步骤410-414主要可以涉及在网络元件处缓存所有接收到的撤回规 则，步骤416-422可以涉及在指定的时间段后向接收到的证明应用所缓 存的撤回规则。或者，网络元件可以立即对所有先前接收的证明应用撤回 规则。因此，不要求在缓存过程和应用撤回规则之间有时间延迟。
使用该手段，撤回机构可以向网络中具有可能匹配的证明的一些或所 有网络元件广播在撤回规则中表达的撤回策略。网络元件中的逻辑确定是 否某些已有证明或以后接收的证明中的任意证明与撤回规则相匹配。以此 方式，撤回机构可以高效地撤回大量证明。此外，表达宽泛策略或规则的 单个消息可以实现很多网络元件处的多组证明的撤回。在一种手段中，为 自身、为已有会话和/或为其他元件缓存证明的网络元件可以使用该撤回策 略信息来无效缓存中的条目。在另一手段中，已经从请求对受该网络元件 保护的服务或资源的访问的另一实体接收到证明的网络元件可以针对撤回 策略信息检查该证明。撤回策略或规则可被存储在网络元件中的缓存或任 何其他合适的数据存储装置中。
因此，这里的手段提供了对现有技术的改进，因为由于单个撤回策略 或规则可以包括大量个别证明，所以撤回机构存储更少的数据。覆盖几千 个证明的撤回规则列表105可以比逐个标识这几千个证明的传统CRL占用 少得多的数据存储装置。撤回机构不需要逐个跟踪撤回机构或独立证书机 构发出的证书或其他证明。此外，如这里所述地发送广播或多播消息比传 统方式高效得多，在传统方式中，每个网络元件必须检查数字证书是否在 CA处维护的CRL中。此外，发送单个撤回消息可以使得位于整个网络上 的很多证明变为无效。
例如，假设网络包括基于实体配置的正确性及其软件是否是当前版本 来发出证书的证书服务。然后，该实体可以向想要知道第一实体的配置状 态的另一实体出示证书。该证书可以包含指示诸如操作系统版本号等特性 的属性。例如，假设证书包含属性Operating-System-Version＝12.2.1。如果 操作系统的版本12.2.1被发现具有使其不安全的软件bug，则已基于该版 本发出的所有证书都可利用一个使用这里描述的技术的消息被撤回。
虽然这里描述的技术是在属性证明的上下文中描述的，但是这些技术 也适用于利用可以与撤回规则匹配的属性构造的身份证书。例如，身份证 书具有标识用户位置、用户角色等的属性，于是可以构造规则来与那些属 性的值相匹配。
这里描述的技术可以被用作为使用基于属性的证明来授权访问的更大 的技术方案或业务方案的一部分。虽然上述手段是在网络元件的上下文中 说明的，但是这里描述的技术也可用于应用中。例如，这里的技术可以被 使用属性证书或签名属性声明(signed attribute assertion)作为对访问资源 的授权基础的web服务应用使用。
3.0实现机制——硬件概述
图5是示出了可以实现本发明的实施例的计算机系统500的框图。使 用在诸如路由器设备等网络元件上运行的一个或多个计算机程序实现优选 实施例。因此在该实施例中，计算机系统500是路由器。
计算机系统500包括总线502或用于传送信息的其他通信机制，以及 用于处理信息的与总线502耦合的处理器504。计算机系统500还包括耦 合到总线502的诸如随机访问存储器(RAM)、闪存或其他动态存储设备 的主存储器506，用于存储信息和要被处理器504执行的指令。主存储器 506还可用于存储要被处理器504执行的指令的执行期间的临时变量或其 他中间信息。计算机系统500还包括耦合到总线502的只读存储器 (ROM)508或其他静态存储设备，用于为处理器504存储静态信息和指 令。诸如磁盘、闪存或光盘等存储设备510被提供和耦合到总线502，用 于存储信息和指令。
通信接口518可以耦合到总线502，用于向处理器504传送信息和命 令选择。接口518是诸如RS-232或RS-422等传统串行接口。外部终端 512或其他计算机系统连接到计算机系统500并使用接口514向其提供命 令。在计算机系统500中运行的固件或软件提供终端界面或基于字符的命 令界面，以使得可以向计算机系统给出外部命令。
交换系统516耦合到总线502，并且具有到一个或多个外部网络元件 的输入接口514和输出接口519。外部网络元件可以包括耦合到一个或多 个主机524的本地网络522，或诸如具有一个或多个服务器530的因特网 528的全球网络。交换系统516根据预定协议和公知传统将到达输入接口 514的信息流量交换到输出接口519。例如，交换系统516与处理器504协 作可以确定到达输入接口514的数据分组的目的地并使用输出接口519将 其发送到正确的目的地。目的地可以包括主机524、服务器530、其他末 端站，或本地网络522或因特网528中的其他路由选择和交换设备。
本发明涉及用于基于策略的网络安全证明撤回的计算机系统500的使 用。根据本发明的一个实施例，计算机系统500响应于处理器504执行主 存储器506中包含的一个或多个指令的一个或多个序列来提供基于策略的 网络安全证明撤回。所述指令可以被从诸如存储设备510等另一个计算机 可读介质读入主存储器506。执行主存储器506中包含的指令序列使得处 理器504执行这里描述的过程步骤。也可以采用多处理布置中的一个或多 个处理器来执行主存储器506中包含的指令序列。在备选实施例中，可以 使用硬连线电路取代或结合软件指令以实现本发明。因此，本发明的实施 例不限于硬件电路和软件的任何特定组合。
这里使用的术语“计算机可读介质”指参与向处理器504提供指令以 供执行的任何介质。所述介质可以采取多种形式，包括但不限于非易失性 介质、易失性介质和传输介质。非易失性介质例如包括光或磁盘(例如存 储设备510)。易失性介质包括动态存储器(例如主存储器506)。传输 介质包括同轴电缆、铜线或光纤，包括构成总线502的线路。传输介质还 可以采取声或光波的形式，例如在无线电波和红外数据通信中生成的声或 光波。
计算机可读介质的常见形式例如包括软盘、柔性盘、硬盘、磁带或任 何其他磁介质、CD-ROM、任何其他光介质、打孔卡、纸带、任何其他 具有孔图案的物理介质、RAM、ROM，以及EPROM、FLASH-EPROM、 任何其他存储芯片或盒、如下所述的载波，或计算机可读取的任何其他介 质。在向处理器504运送一个或多个指令的一个或多个序列以供执行时可 能涉及各种形式的计算机可读介质。例如，指令最初可被存储在远程计算 机的磁盘上。远程计算机可以将指令载入其动态存储器，并使用调制解调 器在电话线上发送指令。计算机系统500本地的调制解调器可以在电话线 上接收指令并使用红外发射器将数据转换为红外信号。耦合到总线502的 红外检测器可以接收红外信号携带的数据并将数据放在总线502上。总线 502将数据送到主存储器506，处理器504从主存储器506取得并执行指 令。主存储器506接收到的指令可以在被处理器504执行之前或之后被可 选地存储在存储设备510上。
通信设备518还提供到连接到本地网络522的网络链路520的双向数 据通信耦合。例如，通信接口518可以是综合业务数字网(ISDN)卡或调 制解调器，用于提供到相应类型的电话线的输入通信连接。又例如，通信 接口518可以是局域网(LAN)卡，用于提供到兼容LAN的数据通信连 接。也可以实现无线链路。在这些实现方式中的任意一种中，通信接口 518发送和接收携带代表各种信息的数字数据流的电、电磁或光信号。
网络链路520一般通过一个或多个网络向其他数据设备提供数据通 信。例如，网络链路520可以提供通过本地网络522到主机计算机524或 由因特网服务提供商(ISP)526操作的数据设备的连接。ISP 526又通过 现在一般称为“因特网”的全球分组数据通信网络528提供数据通信服 务。本地网络522和因特网528都使用携带数字数据流的电、电磁或光信 号。携带去往和来自计算机系统500的数字数据的通过各种网络的信号和 网络链路520上的并经过通信接口518的信号是传输信息的载波的示例性 形式。
计算机系统500可以通过(一个或多个)网络、网络链路520和通信 接口518发送消息和接收数据，包括程序代码。在因特网示例中，服务器 530可以通过因特网528、ISP526、本地网络522和通信接口518发送被请 求的应用程序代码。根据本发明，一个这样下载的应用提供这里描述的基 于策略的网络安全证明撤回。
接收到的代码可以在接收时被处理器504执行，和/或被存储在存储设 备510中或其他非易失性存储装置中以供以后执行。以此方式，计算机系 统500可以获得载波形式的应用代码。
4.0扩展和替换
在上面的说明书中结合本发明的具体实施例描述了本发明。但是很明 显，在不脱离本发明的更广的精神和范围的情况下可以作出各种修改和改 变。因此，说明书及附图应被认为是说明性而非限制性的。