基于分层信任的姿态报告和策略实施的制作方法

专利名称：基于分层信任的姿态报告和策略实施的制作方法
基于分层信任的姿态报告和策略实施
北旦 冃豕
随着近来病毒和蠕虫攻击的日益猖獗，已出现了强化耦合于网络的计算设备 对抗这些攻击并安装措施以使网络能防御有攻击倾向的计算设备的行业尝试。这已 导致对定义基于所有权和标准的网络安全框架和通信协议的多个行业倡议。在采用 时，这些基于标准的网络安全框架可遏制或对抗病毒或蠕虫攻击。此外，美国电气
和电子工程师协会(IEEE)和INTERNET工程任务组织(IETF)标准体已定义了 可用来提供附加网络安全性的通信协议或者正处于定义这种通信协议的过程中。这 些行业倡议寻求对连接到网络的计算设备提供严格的访问控制。
定义成防御网络攻击的对抗措施主要采取开放系统互连(OSI)第2层、IEEE 802.1X通信协议的形式。参见2001年10月25日公布的IEEE 802.1X-2001 ("IEEE 802.1X")和/或后续版本。这些通信协议通常在计算设备或驻留/运行在该设备上的 任何元件被允许访问网络之前利用正TF定义的可扩展认证协议(EAP)和相关联 的衍生品来确定该设备的凭证。参见IETF网络工作组在2004年6月公布的因特 网标准草案3748，可扩展认证协议("RFC 3748")和/或后续版本。
一旦已(例如经由IEEE 802.IX和/或RFC 3748)执行了初始认证且计算设备 已被准予访问网络，就可执行维持其上承载所有后续数据的安全通信信道的附加协 议。该安全通信信道提供诸如数据源真实性和数据机密性等密码服务。结果，可能 防止或遏制最主要的安全威胁。对于无线网络访问，该安全通信信道可遵循2004 年7月公布的IEEE 802.11 i-2004 ("IEEE 802.11 i")和/或后续版本来工作。对于有 线网络访问，该安全通信信道可遵循正EE 802. IX的两个相关规范来工作。第一个 规范是2006年1月公布的正EE 802.1AE草案5.1和/或后续草案或修订。第二个规 范是对IEEE 802.IX的修正案，即2006年1月公布的IEEE 802.1AF草案0.4和/ 或后续草案或修订。此外，还存在针对安全通信信道的OSI第3层和第4层行业 倡议。这些OIS第3层和第4层倡议包括针对因特网协议安全(IPsec)的倡议-1998 年11月公布的IETF网络工作组，RFC 2401， 1998年11月公布的针对因特网协议 的安全体系结构("RFC 2401")，以及针对传输层安全(TLS)的另一个倡议-1999 年1月公布的IETF网络工作组，RFC 2246， TLS协议版本1.0 ("RFC 2246")。
不管所花费的强化计算设备对抗病毒和蠕虫攻击以保护给定网络的精力有多少，研究显示在典型的公司有线网络内，大部分安全漏洞源自网络内部。这些漏洞 可能是计算设备用户这一方有意或无意所致。例如，在当今环境中，许多用户具有 可在公司内、也可在家里使用的移动计算设备(例如笔记本计算机)。在公司内， 可对访问网络资源实施一定程度的控制。然而，如果典型用户从外部源(家里、旅 馆、网吧)将计算设备连接到因特网时，他/她会在访问因特网上的不安全网站时 无意中下载病毒/蠕虫。该病毒/蠕虫可在该计算设备下一次连接网络时传送到公司 网络。即使在公司内部，策略也并不总是得到实施-例如，用户并不总是从公司 网站更新最新的反病毒数据文件。从而将网络暴露在新病毒或蠕虫的可能攻击之 下。
传统技术在发起对网络的访问请求之后允许(例如经由完整性或姿态测量)
确认计算设备的身份和状态。IEEE 802.1X模型提供支持诸如EAP等附加协议的框 架，其提供用于在允许对网络的至少一些访问之前交换计算设备的经认证身份和姿 态信息的能力。这有助于在没有预先评估的情况下控制任意恶意设备/软件进入该 网络。这通过在网络栈的最小公分母处提供安全方案并在允许计算设备获取IP地 址之前执行认证来实现。然而，未获授权或流氓代理仍可通过模拟获授权的计算设 备或哄骗认证进程来获得访问。
附图简述
图l是示例系统的元件的示图2是包括启用虚拟化技术的平台的示例系统的示图3是可管理性引擎的示例体系结构的框图4是用以获得网络访问的示例方法的流程图5是包括获得对多个网络的访问的平台的示例系统的示图；以及
图6是用以建立分层信任的多层以获得网络访问的示例方法的流程图。
详细描述
如上所述，己出现了强化计算设备对抗病毒和蠕虫攻击并安装措施以使网络 能遏制流氓代理对网络的这些攻击的传播的行业尝试。如以下更详细描述的，对耦 合于网络的计算设备而言要使网络防御可能攻击网络的这些流氓代理需要大量的 信任。例如，信任基于诸如计算设备和/或其元件是它们所声称的谁或什么的信息 和可检测何时流氓代理已破坏该信任的信息。基于该信息的信任水平可用于确定计算设备和/或其元件可获得对网络的什么访问和/或如果被拒绝访问则需要什么补 救动作。
在一实现中，计算机网络(或简称网络)是提供语音或数据处理的两个或多 个互连计算设备。术语"网络边界"可指网络与网络之外的计算设备之间的逻辑边 界。存在控制对网络边界的访问的各种网络访问方案。控制网络访问的网络访问方 案的一个示例涉及三个网络实体访问请求者、策略实施点、以及策略判定点。
在本示例网络访问方案中，访问请求者是寻求访问网络(例如受保护网络) 的实体。该访问请求者通常驻留在计算设备的平台内。几乎任何计算设备、平台或 平台内的元件(例如硬件、软件、固件或这些元件的组合)都可以是访问请求者。 例如，访问请求者的特征是发起访问网络的请求的能力。
策略实施点(本示例中的网络访问方案)是实施策略判定点的访问判定的实 体。该策略实施点还可和访问请求者一起参与认证/授权过程并将认证/授权过程的 结果转发给策略判定点。例如，策略实施点经由硬件、软件或硬件和软件的某一组 合在交换机处、在防火墙处、作为虚拟专用网(VPN)网关的一部分、和/或在计 算设备的平台上实现。
策略判定点(本示例中的网络访问方案)是基于例如网络管理策略判定是否 向访问请求者授予网络访问权限的网络实体。这些网络管理策略可包括用以确定谁 或什么可访问网络的一个或多个访问控制策略。这些网络管理策略还可包括一个或 多个爆发遏制策略、入侵检测策略、和/或监视策略等。在一示例中，策略判定点 在耦合于网络和策略实施点之间的服务器中实现。在一替换示例中，策略实施点和 策略判定点被实现为物理上共位(例如，在计算设备的平台上、在网络交换机中、 网络服务器中等)两个逻辑组件/元件。
在一示例中，网络访问请求由访问请求者在耦合于网络的平台上发起。该网 络访问请求对网络的策略判定点作出。安全通信信道被建立在策略判定点与平台上 的策略实施点之间的通信链路上。安全通信信道还在另一通信链路上建立，即至少 在策略实施点和驻留在该平台上的可管理性引擎之间的另一通信链路上。在此示例 中，可管理性引擎转发与访问请求者和可管理性引擎相关联的姿态信息。该姿态信 息经由可管理性引擎和策略实施点之间的安全通信信道转发。该姿态信息然后经由 策略实施点与策略判定点之间的安全通信信道转发到策略判定点。该策略判定点要 基于姿态信息与一个或多个网络管理策略的比较指示访问请求者可获取对网络的 什么访问。

图1是示例系统的元件的示图。在一示例中，系统IOO包括用以实现网络访 问方案的上述三个网络实体。以下将更详细地描述作为平台101上元件和/或耦合
于平台101的网络的部件的这三个网络实体。
如图1所示，系统100包括用以经由通信链路141通过策略判定点182耦合 于网络180的平台101。在一示例中，通信链路141包括平台101经由其耦合于网 络180的有线和/或无线路径。
在一实现中，如上所述，平台101是计算设备的一部分。该计算设备可以是 台式计算机、膝上型计算机、笔记本计算机、服务器、数字宽带电话设备、数字家 庭网络设备(例如，电缆/卫星/机顶盒等)、个人数字助理(PDA)等。在一示例 中，网络180包括但不限于有线或无线局域网(LAN/WAN )、广域网 (WAN/WWAN)、城域网(MAN)、个人区域网(PAN)和蜂窝或无线宽带电话网。
在一示例中，平台101包括用以支持计算设备的一个或多个功能的软件、硬 件和/或固件。这些任务可包括客户机/主机活动、存储、 一般处理任务等。该软件、 硬件和/或固件的至少一部分在图1中被示为资源160。在一实现中，资源160A和 160B表示分别由分区110和120专用或独立使用的存储器和处理元件。尽管平台 101被视为仅具有两个分区，但本发明并不限于两个分区，而是计算设备中的平台 上任意数目的分区都是可能的。如图2所示，这些分区可以是启用虚拟化技术的平 台的一部分。
在一实现中，分区110包括能力操作系统(COS) 115。在一示例中，COS 115 表示对用户处理数据或实现计算设备的用户发起功能的请求作出响应的那些元件。 COS 115被示为包括代理115A。例如，代理115A包括便于发起对网络180的访问 请求并在一旦获准访问就维持策略实施点和/或策略判定点之间的安全通信信道的 一个或多个代理。
在此实现中，分区120包括服务操作系统(SOS) 125。在一示例中，SOS 125 提供针对网络访问控制(NAC)通信协议(例如正EE 802.1X禾口/或RFC 3748)的 安全执行环境(未示出)。此外，SOS125可提供一安全执行环境以实现认证过程， 从而保护与平台101耦合的平台101元件并可能建立访问网络的一个或多个分层信 任层。这些认证过程包括但不限于可扩展标记语言(XML)签名和公钥基础结构 (PKI)证书。这两个认证过程的示例至少部分地在2005年9月发布的正TF网络 工作组，RFC 4210，因特网又509公钥基础结构证书管理协议("RFC 4210")和 2002年3月发布的IETF网络工作组，RFC 3275， XML签名句法和处理("RFC3275")中描述。
在图1中，SOS 125被示为包括代理125A。例如，代理125A执行便于请求 访问网络的平台101上元件的网络访问的功能。在一示例中，代理125A包括担当 代表网络180的网络管理员的策略实施点的策略实施代理。在一示例中，代理125A 还可担当平台101元件(例如COS 115)和不可信网络之间的中介。这可便于来自 漫游位置的安全访问以使这些元件防御可能有害或恶意的实体。如以下更多描述的 (参见图6)，这还可使平台101能建立访问至少一个网络的至少一个分层信任层。
在一示例中，平台101包括网络接口 140。网络接口 140可包括经由有线或无 线路径耦合到平台101的软件、硬件和/或固件(例如媒体访问控制器、无线收发 器、数字信号处理器、天线、无线电、光纤接口等)。如图1所示的网络接口 140 还可包括过滤器142。在一示例中，过滤器142是用于控制经由通信链路141流向 和流自平台101的数据话务流的数据话务过滤器。如以下更详细描述的，滤波器 142可由平台101上的元件配置成便于实施网络管理策略并可能地建立访问网络的 一个或多个分层信任层。在其它示例中，其它数据话务过滤器被分配给一个或多个 平台101分区并受平台101上的其它元件(例如SOS 125、代理125A、可管理性 引擎150等)控制。
在一实现中，平台101包括可管理性接口 150。如图1中所示，可管理性引擎 150经由通信链路121耦合于SOS 125并经由通信链路151耦合于网络接口 140。 在一个示例中，如以下更详细描述的，可管理性引擎150包括用以建立与代理125A 中的策略实施代理的安全通信信道(例如使用XML签名和/或PKI证书)的逻辑 和存储器。例如，该安全通信信道经由通信链路121建立。在此示例中，可管理性 引擎150获取与它自己和平台101上的访问请求者(例如COS 115)和/或驻留在 或关联于平台101上的其它元件相关联的姿态信息。所获取的姿态信息然后经由通 信链路121上的安全通信信道被转发给策略实施代理。在一示例中，如下所述，此 姿态信息随后被转发给策略判定点182。
在广义上，姿态信息包括指从关联于访问请求者(例如COS 115)或被分配
以支持或实现访问请求者的平台的硬件、软件和/或固件处收集的经验数据的完整
性测量值。该完整性测量值还可与可管理性引擎(例如可管理性引擎150)相关联。
例如，完整性测量值直接由可管理性引擎150或者在平台101上元件(例如代理
115A或125A)的辅助下获得。例如，可管理性引擎150具有对驻留在平台101上
的硬件服务或资源(未示出)的直接访问权。这些硬件资源可包括处理元件、芯片组寄存器、存储器、总线、固件等。可管理性引擎150例如可直接或间接地访问这 些硬件资源以获得完整性测量值，从而收集平台101的姿态信息。
在一示例中，完整性测量值包括反病毒参数、防火墙状态、软件版本、硬件 状态、日志/轨迹文件、给定软件在平台上存储器内的存在性等。在一实现中，所 收集的姿态信息被用来确定与访问请求者和/或可管理性引擎相关联的特定代理的
存在性和/或能力。例如，反病毒软件是COS 115的代理115A中所包括的一个代 理。例如，对反病毒参数的完整性测量值确定该代理的状态(例如最当前版本)、 能力和完整性/真实性。
在一实现中，由可管理性引擎150获得并转发的姿态信息也在经由通信链路 141建立的安全通信信道上被转发给策略判定点182。策略判定点182例如基于姿 态信息与网络管理策略的比较指示访问请求者可获得对网络180的什么网络访问。
在一示例中，SOS 125使用代理125A来收集有关COS 115的姿态信息并直接 或间接地向策略判定点182传达此姿态信息。例如，SOS 125建立安全通信信道， 并且还实现与策略判定点182的认证过程(例如对所交换的信息进行密码签名)。 因而，将SOS 125建立为可直接传达在COS 115上采集的关于策略判定点182的 姿态信息以确定是否准许COS 115访问网络180，是否维持先前准许的访问或是否 维持在准许访问时所获得的给定的分层信任层。在一间接示例中，SOS 125将可管 理性引擎150用作是策略判定点182的可信代理。因而，姿态信息首先被转发给可 管理性引擎150，随后被转发给策略判定点182。
如以上所简述的，在一示例中，SOS 125内所包括的代理125A可担当平台101 与不可信网络之间的中介。在此示例中，平台101元件是COS 115。因而，例如， 如果平台101在移动计算设备(例如笔记本计算机)中，则代理125a可容许用户 使用COS115来获取从漫游位置中的安全访问，而不用害怕恶意实体(例如蠕虫、 病毒等)的危害或劫持。
图2是包括耦合到网络280的启用虚拟化技术的平台201的示例系统200的 示图。如图2所示，系统200包含与图l所示的100系统相似的元件。在一实现中， 平台201是经由通信链路241耦合到LAN或WLAN (例如网络280)的计算设备 (未示出)的一部分。
在一示例中，平台201被设计成根据虚拟化技术方案来工作。该方案例如将 资源分区以支持多个操作系统。这些资源的至少一部分在图2中被示为资源260。 在一示例中，资源260A和260B表示由分区210和220专用或独立使用的那些资源。虚拟化方案例如以操作系统可与其它操作系统分开和独立地运行的方式将这些
资源分区。尽管图2仅示出平台201上的两个分区，但平台201可包含任意数目的 分区以支持多个操作系统。
在一实现中，如图2所示，平台201包括接口 205 A-D以有助于实现该虚拟 化方案。例如，接口 205A是初始化用于虚拟化操作的处理元件和存储器资源(例 如中央处理单元、存储器控制器、存储器等)的接口。例如，接口 205B初始化或 准备用于虚拟化操作的基本输入/输出系统(BIOS)。接口 205C可以是初始化平台 201上的固件的接口 (例如可扩展固件接口 (EFI))或通用可扩展固件接口 (UEFI)。 接口 205D可以是在万一平台201需要被远程管理时可用于隔离和恢复(例如客户 机隔离和恢复技术(CIRT))而不涉及平台201上操作系统的接口。接口 205D还 可使一个或多个操作系统(例如COS215)能使用虚拟驱动器，如下所述。
在一示例中，分区210包括COS 215。与上述COS115相似，在一示例中， COS215是能力操作系统。在此示例中，COS215表示对用户处理数据或实现计算 设备(未示出)的用户发起功能的请求作出响应的那些元件。在一示例中，COS 215 包括代理215A。这些代理例如执行特定功能以便于COS 215对网络280的访问请 求。在一示例中，代理215A采集有关COS 215和由COS 215所控制的其它元件 的姿态信息。代理215A例如还便于来自COS 215的安全通信。这可包括发起对网 络280的访问请求并实现任何处理以向网络280或策略实施/判定点认证它自身以 访问网络280。
在一实现中，分区210耦合于虚拟驱动器212A-B。在此实现中，这些驱动器 被视为是"虚拟的"，因为它们对COS215而言可显现为实际驱动器，但实际上是 分区给COS215的存储器槽。结果，平台201上或耦合于平台201的其它元件(例 如SOS 225)可耦合到实际驱动器，因而可将置入所分区的存储器槽的命令转发给 这些实际驱动器。虚拟驱动器可例如经由接口 205D访问。虚拟驱动器212A例如 由COS 215用来访问无线网络接口 (例如WLAN网络接口卡(NIC))或与之通信。 虚拟驱动器212B例如由COS 215用来访问有线网络接口 (例如LANNIC)。例如， 这些有线和/或无线NIC被包括在网络接口 240中。
在一示例中，分区220包括SOS 225。如图2所示，SOS 225包括代理225A。 在一示例中，代理225 A包括使SOS 225能够担当代表网络280的网络管理员的策 略实施点的策略实施代理。
在一实现中，代理225A访问或控制耦合于分区220的驱动器222A-E。驱动器222A例如允许代理225A访问网络接口 240中的有线网络接口，而驱动器222B 允许访问网络接口 240中的无线接口 (都未示出)。驱动器222D例如由代理225A 访问以与可管理性引擎150通信。
在一示例中，驱动器222C是来自代理225中的策略实施代理的用以实施网络 管理策略的驱动器。该策略实施代理可通过使用一个或多个断路器过滤器(未示出) 来实施网络管理策略。这些断路器过滤器可位于网络接口 240中的过滤器242内和 /或位于平台201上的分区内。在该意义上，断路器过滤器可基于驻留于平台201 上的硬件、固件、软件或其组合。例如，这些断路器过滤器将过滤来自或去往平台 201的数据话务流。因而，如果不符合关联于网络管理策略的特定准则，则策略实 施代理可将驱动器222C用于配置这些断路器过滤器以使数据话务被阻断(例如断 路)。该准则例如基于由可管理性应150获得的姿态信息、策略判定点准许网络的 什么网络访问的指示、或例如通过另一网络访问或耦合于网络的方法。
在一实现中，SOS 225维护任何数目的NAC通信协议或具有对其的访问以建 立或维持安全通信信道。这些NAC通信协议例如在图2中被示为NAC协议栈262。 在一示例中，NAC协议栈262可被保持或储存在SOS 225可访问的资源260中所 包括的存储器(未示出)内。这些NAC通信协议包括例如在行业标准或倡议中所 述的各种安全相关协议。这些行业标准或倡议包括但不限于，针对IEEE802.1X协 议的IEEE 802.1AE/af、针对EAP协议的RFC 3748、针对IPsec协议的RFC 2401、 针对TLS协议的RFC 2246、以及针对无线LAN协议的IEEE 802.lli。在一示例中， 驱动器222E可以是代理225A经由其访问NAC协议栈262以建立安全通信信道的 桥式驱动器。
在一示例中，代理225A中所包括的策略实施代理经由通信链路241建立与策 略判定点282的安全通信信道。因而，在此示例中，策略实施代理经由驱动器222E 访问NAC协议栈262以建立此安全通信信道。在一实现中，此安全通信信道还用 于转发与访问请求者(例如COS215)相关联的姿态信息。
如图2所示，平台201包括经由通信链路221耦合于SOS 225的可管理性引 擎150。在一个示例中，如以上所述，可管理性引擎150包括用以经由通信链路221 建立安全通信信道(例如使用XML签名和/或PKI证书)的逻辑和存储器。此安 全通信信道可与代理225A中的策略实施代理建立。在此示例中，可管理性引擎150 获取与它自己和平台201上的访问请求者(例如COS 215)和/或驻留在或关联于 平台101的其它元件相关联的姿态信息。所获取的姿态信息然后经由通信链路221在安全通信信道上被转发给策略实施代理。
在一实现中，由可管理性引擎150和/或代理225获得并转发的姿态信息也在 经由通信链路241建立的安全通信信道上被转发给策略判定点282。在一示例中， 策略判定点282基于姿态信息与网络管理策略的比较指示访问请求者可获得对网 络280的什么网络访问。如以上针对图1所述，此姿态采集、报告和解释的过程可 由可管理性引擎150和/或代理225A中的策略实施代理中的各种特征来实现。
在一实现中，如图2所示，通信链路243将可管理性引擎150耦合到网络接 口 240。例如通信链路243是仅可管理性引擎150可访问以实施平台201的默认管 理策略的独占通信链路。例如，作为平台201的启动或上电的一部分，可管理性引 擎150使用通信链路243来配置网络接口 240中的过滤器242。过滤器242可被配 置成只有控制数据话务可从平台201上的元件经由通信链路241流动。该控制数据 话务例如包括SOS 225与网络的策略判定点之间的数据话务。该控制数据话务可 建立用以获取对该网络的访问的安全通信信道。结果，在此实现中，从不涉及建立 安全通信信道的平台201流出的所有数据话务被阻断直到建立了安全通信信道。此 阻断例如建立访问网络280的第一分层信任层。
在一实现中，不实现默认的网络管理策略或除此之外，可管理性引擎150采 集姿态信息并通过SOS 225并在通信链路241上将该信息路由到网络的策略判定 点。该信息可用可管理性引擎150的PKI私钥加密或签名。至少部分地基于PKI 私钥签名，策略判定点信任该可管理性引擎150是该姿态信息的发送者。该策略判 定点然后可在通信链路241并通过SOS 225将用策略判定点的PKI密钥签名的信 息转发给可管理性引擎150。此信息在被解密时可指示开始时准许什么访问以便于 SOS 225建立安全通信信道并获得更大网络访问。在一示例中，SOS 225对确保平 台201元件不超过所准许的访问的策略的实施建立了访问网络280的第二分层信任 层。
在一示例中，作为启动过程的一部分，可管理性引擎150在于平台201上激 活SOS 225的映像(例如分配分区的资源)之前采集与SOS 225相关联的姿态信 息。可管理性引擎150可比较此姿态信息和默认网络管理策略以确保SOS 225具 有适当的凭证来用作平台201的服务操作系统。这可防止流氓代理破坏SOS 225 并担当平台201的可信代理。这些默认网络管理策略可包括对SOS 225的认证和 完整性要求。例如，PKI认证方案被用来向可管理性引擎150认证SOS 225。可使 用包括但不限于可管理性引擎150与SOS 225之间的质询-响应交换的完整性方案。此认证/完整性方案例如建立访问网络280的至少第一分层信任层。
在一示例中，可管理性引擎150基于SOS 225不符合默认网络管理策略发起 补救过程。例如，可管理性引擎150建立网络280上与策略判定点282的安全通信 信道(例如经由通信链路243和241)。因为此安全通信信道没有来自平台201上 除可管理性引擎150之外的实体的数据话务，所以在一示例中该安全通信信道是带 外网络连接。在此示例中，可管理性引擎150请求有关经由此带外网络连接获取 SOS225的新映像或从耦合于网络280的服务器下载补丁的信息。在一示例中，可 管理性引擎150包括(例如储存在可管理性引擎150上或者其可访问的存储器中) 便于建立和维护此带外网络连接直至SOS 225被更新或打补丁的MAC协议栈。
在另一示例中，基于SOS 225不符合默认网络管理策略或SOS 225的映像未 被正确激活，可管理性引擎150限制或局限平台201上的访问请求者可获得的对网 络280的访问。在此示例中，因为COS215不利用SOS 225来请求和获取网络280 的访问，所以访问受可管理性引擎150的局限或限制(例如经由过滤器242)。该 限制可一直起作用，直到采取了正确激活SOS 225和/或使其遵循默认网络管理策 略的补救过程。
图3是可管理性引擎的示例体系结构的框图。在图3中，可管理性引擎150 包括安全逻辑310、控制逻辑320、存储器330、输入/输出(I/O)接口 340和任选 的一个或多个应用程序350，其各自如图所示地耦合。
在一示例中，图3的框图中示出的元件是如本发明所述的支持或启用可管理 性引擎150的那些元件。例如，安全逻辑310和控制逻辑320各自或全体表示实现 可管理性引擎150的特征的各种各样的逻辑设备或可执行内容的任一个。这些逻辑 设备可包括微处理器、网络处理器、服务处理器、微控制器、现场可编程门阵列 (FPGA)、专用集成电路(ASIC)、多核/多线程微处理器的隔离线程或核、处理 器的特定操作模式(例如系统管理模式)或其组合。
在图3中，安全逻辑310包括姿态特征312、策略特征314、通信特征316和 密码特征318。在一实现中，安全逻辑310使用这些特征来执行若干功能。这些功 能包括例如获取姿态信息、实施默认网络管理策略、建立与策略实施代理的安全通 信信道、用密码签名姿态信息和将该信息转发给策略实施代理。这些功能还可包括 基于所转发的姿态信息验证策略判定点(例如策略判定点282)的关于访问请求者 可获得(例如对网络280的)什么网络访问的指示的完整性和真实性。在另一实现 中，这些特征在万一默认或其它网络管理策略不能准许访问请求者期望或需要的访问时可用于釆取补救动作。
控制逻辑320可控制可管理性引擎150的总体操作，并且如上所述可表示用 以实现可管理性引擎150的控制的各种逻辑设备或可执行内容的任一个。在替换示 例中，控制逻辑320的特征和功能在安全逻辑310内实现。
根据一示例，存储器330的至少一部分是安全逻辑310或控制逻辑320可独 占访问以暂存信息的存储器。例如，用来密码地签名姿态信息的密钥、或与可管理 性引擎150和策略实施代理(例如代理225A中的)之间的安全连接相关的信息、 生成XML签名的信息、或有关默认网络管理策略的信息。NAC通信协议栈还可 被储存于存储器330的至少一部分中以有助于经由带外通信链路建立和维护安全 通信信道。存储器330还可储存可执行内容。该可执行内容可由控制逻辑320和/ 或安全逻辑310用来实现或激活可管理性引擎150的特征或元件。
1/0接口 340可提供经由可管理性引擎150与驻留在平台(例如平台201)上 或远离节点(例如，诸如策略判定点282等策略判定点)的元件之间的通信介质或 链路的接口。结果，1/0接口 340可使安全逻辑310或控制逻辑320能接收来自这 些元件的一系列指令。该系列指令可使安全逻辑310和/或控制逻辑320能实现可 管理性引擎150的一个或多个特征。这可包括实施默认网络管理策略。
在一示例中，可管理性引擎150包括用以向控制逻辑320和/或安全逻辑310 提供内部指令的一个或多个应用程序350。
图4是用以获得网络访问的示例方法的流程图。在一示例中，使用图2中示 出的系统200描述此方法。在框410，例如，使诸如平台201等平台上电或通电。 该通电可在最初向平台201供电时或伴随平台的重启进行。
在框420，在一示例中，平台201 —通电，可管理性引擎150中的安全逻辑 310就可激活策略特征314。策略特征314在一示例中获取默认的网络管理策略(例 如从存储器330)。在此示例中，基于那些默认的网络管理策略，策略特征314配 置网络接口 240中的过滤器242。如上所述，这可仅允许控制数据话务从平台201 上的元件流出，并还可建立访问网络280的第一分层信任层。
在一实现中，安全逻辑310还激活姿态特征312以获取与SOS 225相关联的 姿态信息。如上所述，此姿态信息可在SOS 225的映像在平台201上激活之前获 取。在一示例中，策略特征314比较姿态信息和默认网络管理策略，并确定是否需 要任何补救动作以确保SOS 225可担当平台201的可信代理。这还可进一步建立 第一分层信任层。在一示例中，补救动作包括激活通信特征316以经由与策略判定点282的带 外通信链路建立和维护安全通信信道的安全逻辑310。此外，安全逻辑310例如激 活密码特征318以向所交换信息提供增加的安全等级。此增加的安全等级的一个示 例如下针对框460描述。
在框430，在一示例中，从平台201上的访问请求者处发起网络访问请求。如 上所述，在一示例中，访问请求者可以是平台201上的任一元件，包括硬件、软件、 固件或这些元件的组合。例如，访问请求者是COS215。在一示例中，访问请求向 策略判定点282作出。
在框440，在一示例中，访问请求由平台201上的SOS 225促成。在一实现中， 所有来自诸如COS 215等特定平台201元件的网络通信都通过SOS 225。这样， SOS225用作针对这些网络通信的网络管理策略的策略实施点。在一示例中，SOS 225激活来自代理225A中的策略实施代理以实现策略实施活动。
在一实现中，代理225A中的策略实施代理经由通信链路241建立与策略判定 点282的安全通信信道。通信链路241可包括有线、无线或有线或无线路径的组合。 例如，SOS 225与网络接口 240之间的通信链路的一部分是布线在平台201上的有 线路径，而网络接口 240和策略判定点282之间的部分是无线路径。在此实现中， 安全通信信道根据例如NAC协议262栈中所包括的一个或多个无线和/或有限 NAC通信协议由策略实施代理建立并维护。
在框450，在一示例中，来自代理225A的策略实施代理还经由另一通信链路 建立安全通信信道。此另一通信链路例如是通信链路221。尽管通信链路221在图 2中被示为与驱动器222D耦合，但在一示例中策略实施代理控制与通信链路221 耦合的驱动器222D。因而，因为通信链路221与驱动器222D耦合，所以策略实 施代理与通信链路221耦合。与SOS 225和策略判定点282之间的安全连接相似， 使用XML签名和/或PKI证书来建立和维护可管理性引擎150与策略实施代理之 间的安全通信信道。在一实现中，安全逻辑310的通信特征316建立与代理225A 中的策略实施代理的安全通信信道。
在框460，在一示例中，姿态特征312获取与访问请求者、COS215和可管理 性引擎150相关联的姿态信息。此姿态信息可被转换成属性-值对(AVP)或类型-长度值(TLV)以便于将姿态信息转发给策略实施代理。
在一实现中，安全逻辑310中的密码特征318提供附加的安全等级。在此实 现中，密码特征318获取密钥(例如来自存储器330)并使用PKI或另一类加密方案用该密钥来密码地签名姿态信息。作为另一安全措施，密码特征318还可包括单
原子事务ID或现时值(nonce)以证明活跃性(例如时间敏感)并确保中介流氓设 备不能捕捉或重放该姿态信息。现时值例如可包括附加于姿态信息的时间敏感的随 机生成数。包括现时值的该经密码签名的姿态信息然后被转发给策略实施代理。在 一示例中，来自代理225A的策略实施代理然后将经密码签名的姿态信息转发给策 略判定点282。
在框470，在一示例中，策略判定点282指示COS 215可具有对网络280的 什么访问。例如，策略判定点282首先评估姿态信息的完整性和真实性，然后将该 姿态信息和网络管理策略作比较以确定允许什么网络访问。
在一实现中，此指示被密码地签名并包括由密码特征318添加的现时值。该 指示可例如被密码地签名，从而它仅能由密码特征318 (例如经由使用PKI或其它 类型的加密方案)来解释。这样， 一旦从策略判定点282接收到该指示，策略实施 代理就将该指示转发给可管理性引擎150。
在一示例中， 一旦可管理性引擎150接收到该指示，密码特征318就验证该 指示的完整性和真实性。为了确定完整性，这包括比较该指示中所包括的现时值和 先前所转发的姿态信息中所包括的现时值。为了确定真实性，这包括使用诸如PKI 证书或XML签名等认证过程。在一实现中，如果该指示具有完整性并且是真实的， 则该指示由密码特征318解码且可管理性引擎150在经由通信链路221的安全通信 信道之上将所解码的指示转发给策略实施代理。例如，策略实施代理然后解释从可 管理性引擎150转发的经解码的指示是否准许访问请求者一COS 215所请求的访 问。
在一示例中，如果加密特征318发现指示不真实(例如未通过PKI认证或无 效的XML签名)或缺乏完整性(例如现时值与初始附加的现时值不匹配和/或缺乏 活跃性)，则再次转发经密码签名的姿态信息(例如在框460采取的动作之后)并 包括一新的现时值。以新现时值再次转发例如可阻碍担当策略判定点的流氓计算设 备的哄骗尝试。
在框480，在一示例中，准许COS 215网络访问。在该情形中，网络访问的 级别由代理225A中的策略实施代理通过配置网络接口 240中的过滤器242或平台 分区内的其它数据话务过滤器来控制。因为该指示反映了网络管理策略，所以在此 示例中策略实施代理在解释该指示并基于该解释配置平台201上的数据话务过滤 器时实施网络管理策略。因而，例如，建立了访问网络280的第二分层结构信任层。在框490，在一示例中，不准许网络访问。在此情形中，SOS 225中的代理225A 可确定要获取所需访问需要什么动作。在一实现中，该指示还包括有关如何采取那 些动作的信息。例如，更新反病毒软件，或从耦合于网络280的指定内部或外部服 务器下载补丁，或者实现包括可导致重新配置平台201上的数据话务过滤器(例如， 过滤器242)的访问控制列表(ACL)的访问控制策略。
在一示例中，代理225A完成由策略判定点282在指示中描述的补救动作。这 些补救动作例如包括但不限于，更新反病毒软件，从服务器下载补丁，以及下载或 安装给定软件。补救动作还可包括配置通信链路241上的数据话务过滤器242以实 现访问控制策略，从而实施该访问控制策略。基于一个或多个补救动作的完成，代 理225A中的姿态实施代理可请求可管理性引擎150获取反映所采取补救动作的经 更新的姿态信息。在此情形中，该过程返回到框460。
在一实现中， 一安全通信信道在策略判定点282和SOS 225之间建立，而另 一安全通信信道也在策略实施代理和可管理性引擎150之间建立。因而，在此实现 中，针对由平台201上的访问请求者所请求的后续访问，该过程返回到框460。
图5是包括获得对多个网络的访问的平台100的示例系统500的示图。如图5 所示，系统500包括通过策略判定点182耦合于网络180的平台101。系统500还 在图5中被示为包括各自分别具有策略判定点522和532的网络520和530。
在一实现中，平台101包括与针对图1所述的相同元件，并且经由如图1所 述的策略判定点182发起和获得对网络180的访问。作为该访问过程的一部分，平 台101尝试在通信链路141上建立安全通信信道。如上所述，这可包括由可管理性 引擎150实施默认管理策略。一种这样的策略可包括在允许任何访问之前认证SOS 125和/或在平台101上适当激活SOS 125的要求。因而，例如，如果SOS 125未 获认证和/或未被适当激活，则COS 115作出的网络访问请求将被可管理性引擎150 阻断。
在此实现中，基于SOS 125获认证和适当激活、以及姿态信息符合网络180 的管理策略，策略判定点182准予平台101上的访问请求者访问网络180。该访问 请求者然后寻求对诸如网络520或530等其它网络的访问。发起此其它访问例如包 括分别在到策略判定点532或534的通信链路521或531上建立安全通信信道。对 每一网络的访问例如如图l-4所述地获取。
图6是用以建立多层分层结构信任以获得网络访问的示例方法的流程图。在 一示例中，图5中示出的系统500被用来描述此方法。在该方法中，平台101在例如笔记本计算机等计算设备内。该笔记本计算机的用户可以是具有对公司网络(例 如第二网络-网络530)的可能访问特权的公司雇员。在此示例中，用户正在旅行
并使用该笔记本计算机访问耦合于因特网的酒店LAN (例如第一网络-网络180)。 用户例如要使用对酒店LAN—即网络180—的访问来获取对公司网络一即网络 530 —的访问。
如在图6中的示例流程图中所示，在获得对网络530的访问之前建立三个分 层信任层，即信任层610、 620和630。对于信任层610,例如，可管理性引擎150 实施(例如默认网络管理策略中的) 一策略仅当服务操作系统(例如SOS125) 启动并运行和/或在平台101上适当激活才允许访问请求者(例如COS 115)对网 络的访问。在框612，例如，可管理性引擎150监视平台101，且在框614基于该 监视确定是否符合SOS125激活的策略。例如，在框616，如果符合该策略，则第 一分层信任层被建立且访问请求者获得对网络180的访问。
对于信任层620， SOS 125实施例如默认网络管理策略中的一个或多个策略。 这些策略例如基于网络530要求通过另一网络耦合于网络530的任何平台在寻求通 过其它网络的访问之前实施这些策略。例如，SOS 125通过提供协议过滤(例如经 由过滤器142)和/或代理服务来实施这些策略，以确保在它寻求通过网络180访问 网络530时阻止恶意内容到达COS 115。这些策略例如还可包括但不限于访问控制 列表策略、爆发遏制策略、入侵检测策略或其它类型的除代理监视之外的监视策略。
在框622，例如，SOS 125监视网络180的PDP 182与COS 115之间的通信。 为了实施这些策略并保护COS 115，例如，SOS 125可通过担当COS 115与酒店网 络—即网络180 —之间的网络连接的HTTP代理来监视数据话务。SOS 125还可用 作策略判定点182或其它网络180元件的HTTP客户端。
在框624，例如，作为COS115和网络180元件两者的代理，SOS 125可检查 和过滤/终止以COS 115为目标的任意恶意数据话务。SOS 125还可检査和过滤/终 止来自COS 115的数据话务。因为在一示例中，SOS 125使通过COS 115的任何 通信都经过过滤并且还担当代理，所以符合保护COS 115的策略。因而，在框626， 例如，建立第二分层信任层且COS 115可继续寻求通过网络180的对网络530的 访问。
对于信任层630，在一示例中，对网络530的访问可如针对图l-4所述地获取。 例如，在框632，姿态信息被采集并被提供给网络530的PDP 532。如图6所示， 此姿态信息可由可管理性引擎150和/或SOS 125提供。该信息例如可由可管理性引擎150密码地签名或由可管理性引擎150和SOS 125两者来密码地签名。
在框634，例如，PDP 532将姿态信息和网络530的管理策略作比较，并将关 于准予什么访问的指示发回可管理性引擎150和/或SOS 125。如以上针对图1-4 所述，例如，此指示可包括过滤器的配置/重新配置或推荐的补救动作。例如，SOS 125基于该指示配置过滤器142来实施网络530的管理策略。
在框636，例如，基于SOS 125或可管理性引擎150对过滤器142的实施网络 530的管理策略的配置或采取使COS 115和/或其它平台101元件遵循这些策略的 补救动作，建立第三分层信任层。在一示例中，COS 115已获得对网络530的足够 访问以建立到网络530上的服务器(例如共享驱动器或公司数据库)的VPN连接。 在一示例中， 一旦建立了 VPN连接，就不再需要或减少SOS 125和/或可管理性引 擎150为获得第一和第二分层信任层所采取的动作。例如，只要VPN连接得以维 持，SOS 125就将不再担当代理和/或过滤往返COS 115的通信。
在一示例中，SOS 125和/或可管理性引擎125可周期性地采集COS 115或平 台101的姿态信息，并将此姿态信息转发给策略判定点532以维护该第三分层信任 层。结果，策略判定点532可接收有关COS 115的状态的信息，并在万一该状态 违背网络管理策略则限制访问。此受限制访问例如可包括再次使用可管理性引擎 150来认证SOS 125和/或采取补救动作来重新获得或重建分层信任层的一个或多 个的要求。
再次参看图3中的存储器330。存储器330可包括各种各样的存储器介质，包 括但不限于易失性存储器、非易失性存储器、闪存、可编程变量或状态、随机存取 存储器(RAM)、只读存储器(ROM)、闪存、或其它静态或动态存储介质。
在一示例中，可从一种形式的机器可存取介质向存储器330提供机器可读指 令。机器可存取介质可表示以机器(例如ASIC、特定功能控制器或处理器、FPGA、 可管理性引擎或其它硬件设备)可读的形式提供(即储存和/或传送)信息或内容 的任何机制。例如，机器可存取介质可包括ROM、 RAM、磁盘存储介质、光学 存储介质、闪存设备、电、光、声或其它形式的传播信号(例如载波、红外信号、 数字信号)等。
说明书中对术语"响应于"的引用并不限于仅对特定特征和/或结构的响应性。 一特征还可"响应于"另一特征和/或结构，且还可置于该特征和/或结构内。此外， 术语"响应于"还可与诸如"通信耦合于"或"操作上耦合于"等其它术语同义， 尽管该术语并不限于此方面。在前面的描述中，出于解释目的，阐述了许多具体细节以便于提供对本发明 的理解。显而易见的是没有这些特定细节也可实践本发明。在其它实例中，以框图 形式示出周知的结构和设备以便避免不必要地混淆本发明。
权利要求
1. 一种方法，包括从耦合于网络的平台上的访问请求者发起网络访问请求，所述网络访问请求对所述网络的策略判定点作出；在所述策略判定点与所述平台上的策略实施点之间的通信链路上建立安全通信信道；在另一通信链路上建立另一安全通信信道，所述另一通信链路在所述策略实施点和驻留在所述平台上的可管理性引擎之间，所述可管理性引擎转发与所述访问请求者和所述可管理性引擎相关联的姿态信息，所述姿态信息经由所述可管理性引擎与所述策略判定点之间的安全通信信道转发；以及将所述姿态信息经由所述策略实施点与所述策略判定点之间的安全通信信道转发到所述策略判定点，所述策略判定点基于所述姿态信息与一个或多个网络管理策略的比较指示所述访问请求者可获取对所述网络的什么访问。
2. 如权利要求1所述的方法，其特征在于，还包括在将所述平台耦合到所述网络的通信链路上配置数据话务过滤器，所述数据 话务过滤器由所述可管理性引擎基于默认网络管理策略来配置，配置所述数据话务 过滤器在将所述姿态信息转发给所述策略判定点之前进行，其中配置所述数据话务 过滤器建立用以访问所述网络的第一分层信任层。
3. 如权利要求2所述的方法，其特征在于，还包括至少部分地基于所述策略判定点指示了什么访问来重新配置所述数据话务过 滤器，其中重新配置所述数据话务过滤器建立用以访问所述网络的第二分层信任 层。
4. 如权利要求1所述的方法，其特征在于，还包括-接收所述访问请求者可获得对所述网络的什么访问的指示；以及 基于不准予所述访问请求者所寻求的网络访问级别的指示实现补救动作，其中实现所述补救动作建立用以访问网络的第二分层信任层。
5. 如权利要求2所述的方法，其特征在于，所述补救动作包括从以下组中选 出的至少一个补救动作更新反病毒软件，从服务器下载补丁，安装给定软件、和 通过在将所述平台耦合到所述网络的所述通信链路上配置所述数据话务过滤器来实现访问控制策略。
6. 如权利要求1所述的方法，其特征在于，与所述访问请求者相关联的所述 姿态信息基于所述访问请求者的完整性测量值，所述完整性测量值包括从以下组中 选出的至少一个完整性测量值反病毒参数、防火墙状态、软件版本、硬件状态、 曰志文件和给定软件在所述平台上的存储器中的存在性。
7. 如权利要求1所述的方法，其特征在于，所述一个或多个网络管理策略包 括从以下组中选出的至少一个策略访问控制列表策略、爆发遏制策略、入侵检测 策略和监视策略。
8. 如权利要求1所述的方法，其特征在于，从所述平台上的访问请求者发起 所述网络访问请求进一步包括在所述平台上包括多个分区，每一分区使用独立于另一分区所使用的平台资 源的平台资源的至少一部分，所述多个分区包括支持能力操作系统的分区并且包括 支持服务操作系统的分区，所述能力操作系统包括所述访问请求者，所述服务操作 系统包括所述策略实施代理；确定在所述平台上是否激活了所述服务操作系统，所述确定由驻留在所述平 台上的所述可管理性引擎作出；以及基于所述可管理性引擎的确定许可所述访问请求者寻求对所述网络的所请求 的访问，其中许可所述访问请求者寻求所请求的访问建立用以访问第二网络的第一 分层信任层。
9. 如权利要求8所述的方法，其特征在于，还包括 获取所指示的所述访问请求者对所述第一 网络的访问；寻求通过所述第一网络对所述第二网络的访问，所述访问由所述访问请求者寻求，监视所述能力操作系统与所述第一网络之间的数据话务，所述数据话务由所 述服务操作系统监视；确定所述数据话务是否符合针对所述第二网络的一个或多个默认网络管理策 略，所述确定由所述服务操作系统作出；以及基于所述系统操作系统的确定许可所述访问请求者发起对所述第二网络的所 请求的访问，其中许可所述访问请求者发起对所述第二网络的所请求的访问建立用 以访问所述第二网络的第二分层信任层。
10. 如权利要求9所述的方法，其特征在于，所述一个或多个默认网络管理策略包括从以下组中选出的至少一个策略访问控制列表策略、爆发遏制策略、入侵 检测策略和监视策略。
11. 如权利要求9所述的方法，其特征在于，还包括-所述访问请求者发起通过所述第一网络对所述第二网络的另一网络访问请 求，所述另一网络访问请求对所述第二网络的策略判定点作出；在所述第二网络的策略判定点与所述服务操作系统之间的通信链路上建立安 全通信信道；在另一通信链路上建立一安全通信信道，所述另一通信链路在所述服务操作 系统和所述可管理性引擎之间，所述可管理性引擎转发与所述访问请求者和所述可 管理性引擎相关联的姿态信息，所述姿态信息经由所述可管理性引擎与所述服务操 作系统之间的安全通信信道转发；以及将所述姿态信息经由所述服务操作系统与所述第二网络的策略判定点之间的 安全通信信道转发到所述第二网络的策略判定点，所述第二网络的策略判定点基于 所述姿态信息与一个或多个网络管理策略的比较指示所述访问请求者可获取对所 述第二网络的什么访问。接收所述访问请求者可获取对所述第二网络的什么访问的指示，所述系统操 作系统的策略实施代理基于所述指示实施所述访问级别，其中实施所述访问级别建 立用以访问所述第二网络的第三分层信任层。
12. 如权利要求ll所述的方法，其特征在于，还包括 获取所指示的所述访问请求者对所述第二网络的访问；采集与所述能力操作系统相关联的姿态信息，与所述能力操作系统相关联的 所述姿态信息由所述服务操作系统采集；将所采集的姿态信息转发给所述第二网络的策略判定点，其中所述第二网络 的策略判定点基于所采集的姿态信息与一个或多个网络管理策略的比较指示所述 访问请求者可保持对所述第二网络的什么访问；以及接收所述访问请求者可保持对所述第二网络的什么访问的指示，所述系统操 作系统的策略实施代理基于所述指示实施所述访问级别，其中实施所述访问级别保 持用以访问所述第二网络的第三分层信任层。
13. —种驻留在耦合于网络的平台上的装置，所述装置包括 包括存储器和逻辑的可管理性引擎，所述逻辑用以-在所述平台上建立经由通信链路的安全通信信道，所述安全通信信道与所述平台上的策略实施代理建立；获得与所述可管理性引擎和所述平台上的访问请求者相关联的姿态信息， 所述访问请求者寻求对所述网络的访问；用保存在所述存储器中的密钥对所述姿态信息进行密码签名，以及 经由所述安全通信信道将所述经密码签名的姿态信息转发给所述策略实施 代理，所述经密码签名的姿态信息经由在所述策略实施代理和所述策略判定点之间 建立的另一安全通信信道转发给所述网络的策略判定点，其中所述策略判定点基于 所述姿态信息和网络管理策略的比较指示所述访问请求者可获得什么访问。
14. 如权利要求13所述的装置，其特征在于，所述逻辑进一步包括用以执行 以下动作的逻辑在将所述平台耦合到所述网络的通信链路上配置数据话务过滤器，所述数据 话务过滤器由所述逻辑基于仅允许控制数据话务通过所述数据话务过滤器的默认 网络管理策略配置，所述控制数据话务包括认证信息，其中建立用以访问所述网络 的第一分层信任层，所述逻辑在将所述经密码签名的姿态信息转发给所述策略判定 点之前配置所述数据话务过滤器。
15. 如权利要求13所述的装置，其特征在于，所述访问请求者可获得对所述 网络的什么访问的指示由所述策略判定点密码签名，所述经密码签名的指示由所述 可管理性引擎的逻辑解码，以确定所述访问请求者可获得对所述网络的什么访问， 其中建立用以访问所述网络的第二分层信任层,所述平台上的所述策略实施代理实 施被确定为可获得的访问级别。
16. 如权利要求15所述的装置，其特征在于，所述姿态信息和所述指示使用 公钥基础结构(PKI)加密方案来密码签名。
17. —种耦合于网络的平台，包括包括存储器和一个或多个处理元件的平台资源；多个分区，每一分区使用独立于另一分区所使用的平台资源的平台资源的至 少一部分，所述多个分区包括支持能力操作系统的分区以及支持服务操作系统的分 区，所述能力操作系统请求对所述网络的访问，所述服务操作系统包括实施一个或 多个网络管理策略的策略实施代理；以及包括逻辑和所述逻辑可独占访问的存储器的可管理性引擎，所述逻辑用以 获取与所述能力操作系统相关联的姿态信息；用保存在所述逻辑可独占访问的所述存储器中的密钥对所述姿态信息进行密码签名；将所述经密码签名的姿态信息转发给所述网络的策略判定点，其中所述 策略判定点基于所述姿态信息和网络管理策略的比较来指示所述能力操作系 统可获得对所述网络的什么访问。
18. 如权利要求17所述的平台，其特征在于，所述可管理性引擎的逻辑可独 占访问的存储器包括默认网络管理策略，所述默认网络管理策略包括如果所述服务 操作系统不活动则限制对所述能力操作系统的访问的策略，所述可管理性引擎的逻 辑用以实施所述策略，其中实施所述策略建立用以访问所述网络的第一分层信任 层。
19. 如权利要求17所述的平台，其特征在于，所述服务操作系统建立与所述策略判定点的安全通信链路，所述服务操作系统采集并转发与所述能力操作系统相 关联的姿态信息，所述策略判定点基于所述服务操作系统所采集的姿态信息的比较 指示所述能力操作系统可获得对所述网络的什么网络访问，所述服务操作系统的策 略实施代理基于来自所述策略判定点的指示实施访问级别，其中实施所述访问级别 是保持用以访问所述网络的第二分层信任层。
20. —种包括内容的机器可存取介质，所述内容在由驻留在耦合于网络的平台上的机器执行时使所述机器在所述平台上建立经由通信链路的安全通信信道，所述安全通信信道与所述 平台上的策略实施代理建立；获得与所述机器和所述平台上的访问请求者相关联的姿态信息，所述访问请 求者寻求对所述网络的访问；用保存在所述存储器中的密钥对所述姿态信息进行密码签名；以及经由所述安全通信信道将所述经密码签名的姿态信息转发给所述策略实施代 理，所述经密码签名的姿态信息经由在所述策略实施代理和所述网络的策略判定点 之间建立的另一安全通信信道转发给所述策略判定点，其中所述策略判定点基于所 述姿态信息和网络管理策略的比较指示所述访问请求者可获得什么访问。
21. 如权利要求20所述的机器可存取介质，其特征在于，与所述访问请求者 和所述机器相关联的所述姿态信息基于所述访问请求者的完整性测量值，所述完整 性测量值包括从以下组中选出的至少一个完整性测量值反病毒参数、防火墙状态、 软件版本、硬件状态、日志文件和给定软件在所述平台上的存储器中的存在性。
全文摘要
一种方法包括从耦合于网络的平台上的访问请求者发起网络访问请求，该网络访问请求对网络的策略判定点作出。该方法还包括在策略判定点与平台上的策略实施点之间的通信链路上建立安全通信信道。在另一通信链路上建立另一安全通信信道。该另一通信链路在至少策略实施点和驻留在平台上的可管理性引擎之间。可管理性引擎经由该另一安全通信信道转发与访问请求者相关联的姿态信息。该姿态信息然后经由策略实施点与策略判定点之间的安全通信信道转发到策略判定点。该策略判定点基于姿态信息与一个或多个网络管理策略的比较指示访问请求者可获取对网络的什么访问。
文档编号H04L12/22GK101416441SQ200780012229
公开日2009年4月22日 申请日期2007年3月22日 优先权日2006年3月31日
发明者D·杜汉姆, H·科斯拉维, K·格里沃 申请人:英特尔公司