专利名称:多核心系统的网络接入控制的制作方法
多核心系统的网络接入控制
背景技术:
使用网络接入控制(NAC)系统来实现网络实现的基于处理器的系 统对网络、例如无线网络的连接。在一种典型情形中,通常是网络上 的服务器的策略决策点(PDP)在允许正尝试连接到网络的系统的连接 之前,建立系统的身份和证书。
多核心系统是基于处理器的系统,其中存在多个处理器、多个核 心或者多个虚拟化处理器。可将这些用作例如膝上型计算机等便携计 算机、个人数字助理或台式计算机或服务器或者另一种形式的基于处 理器的系统。在一些多核心系统中,可存在这些类型的平台的组合。 例如,系统可包括多核处理器,其中各核心具有独立的地址空间,并 且还具有那个地址空间内部的多个虚拟机。
随着虚拟化、多核以及混合系统变得普及,可能需要由NAC系统 准许这类系统进入网络。
图1示出一个实施例中的多核心系统的高级^见图。 图2示出网络接入控制环境中的多核心系统。 图3示出一个实施例中的处理的流程。
具体实施例方式
多核心系统是本文用来指例如图1所示的系统的术语。如图所示, 多核心系统可包括多个处理器核心,例如核心150和180。本文所4吏 用的术语"核心,,例如可指多处理器系统的单个处理器,或者指多核处 理器的一处理器核心。 一般来说,系统具有一组总线,例如总线160,它将核心和存储器165与总线上的例如可信平台才莫块(TPM)155、网络 接口 190和其它装置162等装置互连。这些装置可包括例如存储、输 入和输出装置。如所述系统所示,核心可形成提供处理器和存储器的 抽象的、例如以105、 115和120表示的逻辑机l-3等若干逻辑机的基 础。各逻辑机向逻辑机上运行的程序提供处理器130和存储器135的 逻辑视图。在例如具有以105表示的逻辑机1的一些情况下,可将例 如核心150等核心和系统存储器170的段直接映射到逻辑机105,很 像单处理器系统中一样。在其它情况下,逻辑机实际上可以是例如虛 拟机115和120等虚拟机,它们又可通过虚拟机监控器(VMM)来运行, 虚拟机监控器(VMM)本身直接在例如以180表示的核心等核心上运 行。然后,VMM可将其核心180可用的存储器分区为段175和185, 分别将它们分配给虚拟逻辑机115和120。例如105、 115和120等多 核心系统的通用逻辑机又可称作系统的(逻辑)地址空间,因为各逻辑 机定义其中处理器的逻辑存储器和寄存器组可被引用的地址空间。还 可提供专用逻辑机,例如可通过直接映射(145)硬件TPM 155来提供多 核心系统125的可信平台模块(TPM)作为逻辑TPM。类似地,可提供 包括I/O装置的其它装置作为逻辑装置。在其它情况下,可提供与TPM 关联的服务作为硬件中由通用核心支持的逻辑机。
所知的是,可采用网络^^口装置190、如无线网络适配器或有线 网络适配器,将多核心系统连接到网络。在许多情况下,系统的逻辑 机可将其适配器的内部逻辑表示映射到同一个网^4妾口 190。这样, 当例如图1所示的多核心系统连接到网络时,由多个逻辑机共享接口 190。
技术人员应当清楚地知道,图中所示多核心系统的实际无限的变 化集合是可能的。具体来说,核心的数量以及从核心到逻辑机的映射 可以改变;在一些实施例的系统中,可以不存在虚拟机,而在其它实 施例的系统中,所有逻辑机都可以M拟的。在一些系统中可以不存 在TPM,而在其它系统可以设置多个TPM。在一些实施例中,系统可釆用多个网^l妄口加入多个网络。其它许多变化是可能的。
在图2中,示出采用网络接入控制(NAC)将多核心系统200连接 到网络的一实施例。如前面所述,系统200可包括若干逻辑机或逻辑 地址空间。在这个实例中,系统包括作为可信平台模块(TPM)的逻辑 机和用于系统管理(235)的机器以及其它机器275、 280,所述才莫块可充 当用于存储和净艮告(RTS-RTR)255、 265的信任(trust)的根源。如前面所 述,这些机器本身可直接在系统200的硬件核心上实现,或者作为虚 拟机监控器上运行的虚拟机来实现。在一些实施例中,可使用专用机 器、即分组重定向器210在数据链路级对系统中的数据分组进行重定 向。例如数据信道1、数据信道2和数据信道3等内部数据链路245 对系统的逻辑才几进行内部互连。
所示系统采用接口 215、通过物理信道连接到网络,其中物理信 道可以是有线、光、射频或其它本领域已知的数据链路。策略执行点 (PEP)220是网络的入口点,并执行PDP225、如Radius服务器所确定 的网络接入控制策略。在这个实施例中,PEP将连接请求路由到PDP, 它可提供系统200与网络之间的数据信道。在这个实施例中,PDP还 可提供系统的逻辑机的每个的上下文,以便采用它自己的身份和安全 证书、通过逻辑数据信道与网络交互。
为了向系统200的逻辑机提供这个数据信道和逻辑信道,在这个 实施例中,在系统200中使用例如随机选择等内部进程来选择系统205 的逻辑机中的 一个充当主机逻辑机。从PDP或者从系统的其它机器的 观点来看,主机无需是可信处理器,而是充当网络与系统200之间的 转发中介(intermediary)。 一旦选取了主机,则系统200的逻辑机与PDP 之间的协商建立逻辑控制信道、如290和295,以便提供网络与系统 的逻辑机之间的逻辑数据信道。
主机具有防止其它机器所提供并通过主机的连接而打通(tunneled) 的消息的人为中途(man-in-the-middle)重定向的附加职责。用于防止这 种重定向的至少 一种技术是生成散列中的其它核心所提供的所有消息的散列,然后将所生成的散列用来建立主机隧道的会话密钥。可由直 接与PDP协商会话密钥的各机器来执行防止"内部,,逻辑机纟支主机篡改 的步骤。可使用会话密钥来防止提供消息被不可信的主机篡改。
一旦在内部机器和主机的认证/状态方面充分满足了 PDP,则主机 生成从上述"内部"消息的散列中得到的预主密钥(PMK),并将它提供 给网络^妄口(NIC),其中可(例如使用4向密钥交换或类似协议)生成数 据信道的会话密钥。与"内部"方法资料一起,PMK密钥推导还可包含 多核心系统的身份。 一旦得到密钥(以及其它密钥,包括例如会话密 钥),就将它们安全地存储在TPM中,TPM是多核心系统的所有机器 可访问的。各机器提供适当的证书,以便检索、更新和删除这些会话 密钥以及其它安全关联。
图3表示一个实施例中、当多核心系统启动并连接到NAC网络时 的处理流程。在启动时,系统内部确定充当主机的机器以及充当分组 重定向器的机器,310。在一个实施例中,可随机选择主机。^皮选取充 当主机的机器使用PMK开启与网络的PDP的加密MAC会话,并从 PDP接收现时数据(nonce),它将用于会话的其余部分,315。然后,主 机通知多核心系统中的其余所有机器关于NAC会话正挂起的情况,并 把来自PDP的现时数据转发给各机器,320。然后,各机器准备态势 报告(posture report),该报告表明它的访问特权的PDP确定的状态。由 TPM为机器签署这个报告,并且可将报告的测量存储在TPM中。在 330,机器还生成它自己的现时数据。然后在335,由主机将已签署报 告以及来自机器的PDP和机器现时数据转发给PDP。在接收到^4艮告 和现时数据时,在340, PDP对它进行认证。认证过程的细节如框340A 所示。
如框340A所示,为了对来自多梭心系统的机器进行认证,在355, PDP首先检验它自己的随报告返回的现时数据。然后,在360,它检 查报告签名是否有效。最后,在370,确定机器的态势是否可接受。 如果满足了所有这三个条件,则PDP对那个机器进行认证,否则认证失败。
在认证完成之后,在345, PDP使用用于加密的会话密钥来为各 机器分配信任等级和特权。然后,将最后的分配转发给分组重定向器 和策略执行点(PEP)以便执行。 一旦验证了具有该指定的签名和现时数 据,385,则各机器可按照它所分配的特权和信任等级进行操作,395。 如果在这个阶段的验证对于机器失败,则PEP和分组重定向器按照无 特权机器的缺省特权分配来进行操作,380。
本领域的技术人员应当理解,上述实施例仅表示可用来向NAC 网络对多核心系统进行认证的一个处理流程。在一些实施例中,并非 多核心网络中的所有机器都需要网络接入。在其它实施例中,可省略 处理步骤的一部分,而添加其它部分,例如,多核心系统中的所有机 器可使用单一态势。所使用的各种名称和同义词是为了便于说明,一 般可使用其它许多术语。例如,PDP可称作RAS-AAA服务器;PEP 可称作网关或防火墙;以及类似地,多核心系统中的各才几器可具有特 定术语。如前面所述,机器本身在物理上可以是分离的核心和地址空 间,或者可以是虚拟机。并非所有实施例可具有虚拟机或多核处理器。 其它许多变化是可能的。
在一些实施例中,分组重定向器还可负责定向多核心系统的不同 逻辑机之间的分组。在一些实施例中,根据经验的过滤规则集合可控 制分组重定向器的操作,在其它实施例中,可由PDP来配置分组重定 向器。在独立才莫式中,在一些情况下,多核心系统还可充当多层安全 系统,其中分组重定向器充当以不同特权或信任等级进行操作的核心 的安全内核。
为了便于说明,以上描述中阐述了大量具体细节,以便提供对所 述实施例的充分理解,但是,本领域的技术人员会理解,即使没有这 些具体细节也可实施其它许多实施例。
以上详细说明的某些部分根据对基于处理器的系统中的数据位的 操作的算法和符号表示来提供。这些算法描述和表示是本领域的技术人员用来向本领域的其它技术人员最有效地传达其工作主旨的方式。 操作是要求物理量的物理处理的那些操作。这些量可采取能够被存储、 传递、组合、比较以及以其它方式处理的电、磁或其它物理信号的形 式。主要为了一般使用的原因,将这些信号称作位、值、元素、符号、 字符、项、编号等,已经^皮证明有时非常便利。
但应当记住,所有这些及类似的项均与适当的物理量相关联,并 且只是应用于这些量的便捷标签。除非明确说明,否则从描述中清楚 地知道,诸如"运行,,或"处理"或"计算"或者"确定"等术语可指基于处 理器的系统或类似电子计算装置的动作和过程,其中所述基于处理器 的系统或类似电子计算装置处理表示为基于处理器的系统的存储装置
类信息存储、传送或显示装置中的物理量的其它数据。
在实施例的描述中,参照了附图。附图中,相似的标号在若干视 图中描述基本相似的组件。可采用其它实施例,并且可进行结构、逻 辑和电气变更。此外,要理解,各种实施例虽然有所不同,但不一定 相互排斥。例如,在一个实施例中描述的特定功能、结构或特性可包 含在其它实施例中。
此外,在处理器中实现的一实施例的设计可经过从创建到才莫拟直 到制造的各种阶段。表示设计的数据可通过多种方式来表示设计。首 先,如在模拟中有用的那样,硬件可采用硬件描述语言或者另一种功 能描述语言来表示。另外,采用逻辑和/或晶体管门电路的电路级沖莫型 可在设计过程的某些阶段产生。此外,在某个阶段,大部分设计达到 表示硬件才莫型中的各种装置的物理设置的数据级。在采用传统半导体 制造技术的情况下,表示硬件模型的数据可以是指定用于生产集成电 路的掩模的不同掩模层上的各种特征是否存在的数据。在设计的任何 表示中,数据可存储在任何形式的机器可读介质中。经调制或者以其 它方式产生以便传送这种信息的光或电波、存储器或者磁或光存储装 置、如磁盘可以是机器可读介质。这些介质的任一种可"携带"或"表明"设计或软件信息。在发送表明或携带代码或设计的电载波达到执行电 信号的复制、緩冲或重传的程度时,就制作了新的副本。因此,通信 提供商或网络提供商可能制作构成或表示实施例的产品(载波)的副 本。
实施例可作为程序产品来提供,该程序产品可包括其中存储了数 据的机器可读介质,这些数据在由机器访问时可使机器执行根据所要 求的主题的过程。机器可读介质可包括但不限于软盘、光盘、
DVD-ROM盘、DVD-RAM盘、DVD-RW盘、DVD+RW盘、CD-R 盘、CD-RW盘、CD-ROM盘以及磁光盘、ROM、 RAM、 EPROM、 EEPROM、磁卡或光卡、闪存或者适合于存储电子指令的其它类型的 々某体/机器可读^h质。此外,实施例还可作为程序产品下载,其中程序 可通过载波或其它传播介质中包含的数据信号、通过通信链路(例如调 制解调器或网络连接)从远程数据源传递到请求装置。
以最基本的形式对许多方法进行了描述,但可在不背离所要求的 主题的基本范围的前提下,对方法的任一个添加或删除步骤,或者对 所述消息的任一个添加或减少信息。本领域的技术人员非常清楚,可 进行其它许多修改和变更。具体实施例不是用于限制所要求的主题, 而是用于对它进行说明。所要求的主题的范围不是由以上提供的具体 实例来确定,而^^f叉由以下权利要求书来确定。
权利要求
1.在具有多个逻辑机的基于处理器的系统中,一种方法包括选择所述系统中充当主机的逻辑机;以及所述主机与网络的策略决策点(PDP)进行通信,以便提供互连所述基于处理器的系统和所述网络的数据信道;以及提供将所述系统的各逻辑机互连到所述网络的逻辑数据信道。
2. 如权利要求l所述的方法,其中,所述基于处理器的系统包括 逻辑机,所述逻辑机还包括多核处理器的核以及对应的地址空间。
3. 如权利要求l所述的方法,其中,所述基于处理器的系统包括 逻辑机,所述逻辑机还包括虚拟机和对应的地址空间。
4. 如权利要求l所述的方法,其中所述主机包括所述策略决策点与所述系统的各逻辑机之间的中所述主机自行向所述PDP认证;以及所述主机在所述PDP与所述系统的逻辑机之间转发消息。
5. 如权利要求4所述的方法,还包括所述PDP应用分组过滤规j 则,并与所述主机协商加密密钥,以便提供互连所述基于处理器的系 统和所述网络的所述数据信道。
6. 如权利要求4所述的方法,还包括所述PDP创建所述PDP 与所述系统的各逻辑机之间的控制信道。
7. 如权利要求5所述的方法,还包括所述主机根据由所述主机 从所述系统的各逻辑机接收的消息的散列,来生成加密密钥。
8. 如权利要求6所述的方法,还包括 各逻辑机向所述PDP建立身份; 各逻辑机向所述PDP提供一组安全证书; 所述系统的各逻辑机向所述PDP l艮告完整性状态;所述PDP通过所述PDP与所述逻辑机之间的控制信道来为各逻辑机提供规则;以及所述PDP为所述系统的各逻辑机创建安全上下文。
9. 如权利要求l所述的方法,还包括以下步骤中的至少一个 动态选择所述系统中充当所述主机的逻辑机;动态选择所述系统中充当可信平台模块(TPM)的逻辑机;以及 动态选择所述系统中充当分组重定向器的逻辑机。
10. —种基于处理器的系统,包括 多个逻辑机;所述多个机器中的一个,用于充当主机;所述主机与网络的策略决策点(PDP)进行通信,以便提供互连所述 基于处理器的系统和所述网络的数据信道;以及提供将所述系统的各逻辑机互连到所述网络的逻辑数据信道。
11. 如权利要求IO所述的基于处理器的系统,其中,所述多个机 器中的 一个还包括多核处理器的核以及对应的地址空间。
12. 如权利要求10所述的基于处理器的系统,其中,所述多个机 器中的一个还包括虚拟机和对应的地址空间。
13. 如权利要求IO所述的基于处理器的系统,其中 所述主机包括所述策略决策点与所述系统的各逻辑机之间的中介,所述主机还执行以下步骤自行向所述PDP认证;以及在所述PDP与所述系统的逻辑机之间转发消息。
14. 一种机器可读介质,其中存储了在由机器访问时使所述机器 执行一种方法的数据,所述方法包括在包括多个逻辑机的基于处理器的系统中,选择所述系统中充当 主才几的逻辑才几;以及所述主机与网络的策略决策点(PDP)进行通信,以便提供互连所述基于处理器的系统和所述网络的数据信道;以及提供将所述系统的各逻辑机互连到所述网络的逻辑数据信道。
15. 如权利要求14所述的机器可读介质,其中,所述基于处理器 的系统包括逻辑机,所述逻辑机还包括多核处理器的核以及对应的地 址空间。
16. 如权利要求14所述的机器可读介质,其中,所述基于处理器 的系统包括逻辑机,所述逻辑机还包括虚拟机和对应的地址空间。
17. 如权利要求14所述的机器可读介质,其中所述主机包括所述策略决策点与所述系统的各逻辑机之间的中 介,并且其中所述方法还包括:所述主机自行向所述PDP认证;以及所述主机在所述PDP与所述系统的逻辑机之间转发消息。
18. 如权利要求15所述的机器可读介质,其中,所述方法还包括 所述PDP应用分组过滤规则,并与所述主机协商加密密钥,以便提供 互连所述基于处理器的系统和所述网络的所述数据信道。
19. 如权利要求17所述的机器可读介质,其中,所述方法还包括 所述PDP创建所述PDP与所述系统的各逻辑机之间的控制信道。
20. 如权利要求19所述的机器可读介质,其中,所述方法还包括 各逻辑机向所述PDP建立身份;各逻辑机向所述PDP提供一组安全证书; 所述系统的各逻辑机向所述PDP寺良告完整性状态; 所述PDP通过所述PDP与所述逻辑机之间的控制信道来为各逻 辑积4是供规则;以及所述PDP为所述系统的各逻辑机创建安全上下文。
21. 如权利要求18所述的机器可读介质,其中,所述方法还包括 所述主机根据由所述主机从所述系统的各逻辑机接收的消息的散列, 来生成加密密钥。
22.如权利要求14所述的机器可读介质,其中,所述方法还包括 以下步骤中的至少一个动态选择所述系统中充当所述主机的逻辑机; 动态选择所述系统中充当可信平台模块(TPM)的逻辑机;以及 动态选择所述系统中充当分组重定向器的逻辑机。
全文摘要
在包括多个逻辑机的基于处理器的系统中,选择所述系统中将要充当主机的逻辑机;主机与网络的策略决策点(PDP)进行通信,以便提供互连基于处理器的系统和网络的数据信道,并提供将系统的各逻辑机互连到网络的逻辑数据信道。
文档编号G06F21/00GK101317417SQ200680044461
公开日2008年12月3日 申请日期2006年11月14日 优先权日2005年11月29日
发明者J·沃尔克, K·索德, N·史密斯 申请人:英特尔公司