一种适合可信连接架构的平台鉴别过程管理方法

文档序号：7896125阅读：241来源：国知局

专利名称：一种适合可信连接架构的平台鉴别过程管理方法
技术领域：
本发明属网络安全技术领域，涉及一种适合可信连接架构的平台鉴别过程管理方法。
背景技术：
随着信息化的发展，病毒、蠕虫等恶意软件的问题异常突出。目前已经出现了超过三万五千种的恶意软件，每年都有超过四千万的计算机被感染。要遏制住这类攻击，不仅通过解决安全的传输和数据输入时的检查，还要从源头即从每一台连接到网络的终端开始防御。而传统的安全防御技术已经无法防御种类繁多的恶意攻击。TCG(Trusted Computing Group，国际可信计算组织)针对这个问题，专门制定了一个基于可信计算技术的网络连接规范——TNC (Trusted Network Connect，可信网络连接)，简记为TCG-TNC，参见图1，其包括了开放的终端完整性架构和一套确保安全互操作的标准。由于TCG-TNC架构中的策略执行点处于网络边缘，且访问请求者不对策略执行点进行平台鉴别，所以该架构存在策略执行点不可信赖的问题。为了解决这一问题，提出了一种基于TePA(Tri-element Peer Authentication，三元对等鉴别)的TNC架构，参见图2，简称为 TCA(Trusted Connect Architecture，可信连接架构)。在图 2 所示的 TCA 中，AR(Access Requestor,访问请求者)、AC(Access Controller,访问控制器)和PM(Policy Manager,策略管理器)是TCA中的三个实体，平台鉴别接口协议包括IF-IMantegrity Measurement Interface,完整性度量接口)、IF-IMC(Integrity Measurement Collector Interface，完整性度量收集接口)、IF-IMV(Integrity Measurement Verifier Interface,完整性度量校验接口)、 IF-TNCCAP(TNC Client-Access Point Interface, TNC 客户端-TNC 接入点接口) 和 IF-EPS(Evaluation Policy Server Interface,评估策略服务接口)，其中 IF-IM 是 IMCdntegrity Measurement Collector Interface,完整性度量收集接口)禾口 IMVdntegrity Measurement Verifier hterface，完整性度量校验接口)之间的接口， IF-IMC 是 IMC 和 TNCC(TNC Client, TNC 客户端)之间、IMC 和 TNCAP(TNCAccess Point, TNC接入点)之间的接口，IF-IMV是IMV和EPS (Evaluation Policy Server，评估策略服务者)之间的接口，IF-TNCCAP是TNCC和TNCAP之间的接口，IF-EPS是TNCAP和EPS之间的接口。在TCA中，IF-TNCCAP和IF-EPS需要定义平台鉴别过程管理方法。目前IF-TNCCAP 和IF-EPS所定义的平台鉴别过程管理方法虽然明确指出一个可信网络连接过程包括一个或多个平台鉴别过程以及一个平台鉴别过程包括一轮或多轮平台鉴别协议，但是平台鉴别过程管理方法的具体执行流程并未明确给出。

发明内容
为了解决背景技术中存在的上述技术问题，本发明提供了一种安全性更高的适合可信连接架构的平台鉴别过程管理方法。本发明的技术解决方案是本发明提供了一种适合可信连接架构的平台鉴别过程管理方法，其特殊之处在于所述方法包括以下步骤1)网络访问控制者向TNC接入点发送的平台鉴别请求；2)TNC接入点收到网络访问控制者发送的平台鉴别请求后基于平台鉴别过程的种类对平台鉴别过程进行管理。上述步骤2)中平台鉴别过程的种类是TNC客户端、TNC接入点和评估策略服务者EPS需要执行一个双向平台鉴别过程；或TNC客户端、TNC接入点和评估策略服务者EPS需要执行一个对访问请求者AR的单向平台鉴别过程；或TNC客户端、TNC接入点和评估策略服务者EPS需要执行一个对AC的单向平台鉴别过程。上述步骤2、中平台鉴别过程的种类是TNC客户端、TNC接入点和评估策略服务者 EPS需要执行一个双向平台鉴别过程时，所述步骤2)的具体实现方式是TNC客户端、TNC接入点和评估策略服务者EPS执行一轮双向平台鉴别协议，若TNC 接入点在本轮平台鉴别协议中生成访问控制器AC的访问决策，则执行步骤2. 1)；若TNC接入点在本轮平台鉴别协议中没有生成访问控制器AC的访问决策，则步骤2. 2)；2. 1)若访问控制器AC的访问决策为禁止，则TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息后断开与访问请求者AR的连接，其中本轮平台鉴别协议的第五消息包含访问控制器AC的访问决策；TNC客户端收到本轮平台鉴别协议的第五消息后断开与访问控制器AC的连接；若访问控制器AC的访问决策不为禁止，则TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息；TNC客户端收到本轮平台鉴别协议的第五消息后，若TNC客户端生成访问请求者AR的访问决策，则执行步骤2. 1. 1)；若TNC客户端没有生成访问请求者AR的访问决策，则执行步骤2. 1.2)；2. 1. 1)若访问请求者AR的访问决策为禁止，则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息后断开与访问控制器AC的连接，其中本轮平台鉴别协议的第六消息包含访问请求者AR的访问决策；TNC接入点收到本轮平台鉴别协议的第六消息后断开与访问请求者AR的连接；若访问请求者AR的访问决策不为禁止，则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息；TNC接入点收到本轮平台鉴别协议的第六消息后，若访问请求者AR 的访问决策为允许且访问控制器AC的访问决策为允许，则表示可信网络连接成功；若访问请求者AR的访问决策为允许且访问控制器AC的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS在访问请求者AR的平台修补完成后执行一个对访问请求者AR的单向平台鉴别过程；若访问请求者AR的访问决策为隔离且访问控制器AC的访问决策为允许，则TNC客户端、TNC接入点和评估策略服务者EPS在访问控制器AC的平台修补完成后执行一个对访问控制器AC的单向平台鉴别过程；若访问请求者AR的访问决策为隔离且访问控制器AC的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS在访问请求者AR的平台修补和访问控制器AC的平台修补完成后执行一个双向平台鉴别过程；2. 1. 2) TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问控制器AC 的单向平台鉴别协议，若TNC客户端在本轮平台鉴别协议中生成访问请求者AR的访问决策，则执行步骤2. 1.2. 1)；若TNC客户端在本轮平台鉴别协议中没有生成访问请求者AR的访问决策，则执行步骤2. 1. 2. 2)；2. 1.2. 1)若访问请求者AR的访问决策为禁止，则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息后断开与访问控制器AC的连接，其中本轮平台鉴别协议的第六消息包含访问请求者AR的访问决策；TNC接入点收到本轮平台鉴别协议的第六消息后断开与访问请求者AR的连接；若访问请求者AR的访问决策不为禁止，则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息；TNC接入点收到本轮平台鉴别协议的第六消息后，若访问请求者AR 的访问决策为允许且访问控制器AC的访问决策为允许，则表示可信网络连接成功；若访问请求者AR的访问决策为允许且访问控制器AC的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS在访问请求者AR的平台修补完成后执行一个对访问请求者AR的单向平台鉴别过程；若访问请求者AR的访问决策为隔离且访问控制器AC的访问决策为允许，则TNC客户端、TNC接入点和评估策略服务者EPS在访问控制器AC的平台修补完成后执行一个对访问控制器AC的单向平台鉴别过程；若访问请求者AR的访问决策为隔离且访问控制器AC的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS在访问请求者AR的平台修补和访问控制器AC的平台修补完成后一个双向平台鉴别过程；2. 1. 2. 2)TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问控制器AC 的单向平台鉴别协议；2. 2) TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息，其中本轮平台鉴别协议的第五消息中不包含访问控制器AC的访问决策；TNC客户端收到本轮平台鉴别协议的第五消息后，若TNC客户端生成访问请求者AR的访问决策，则执行步骤2. 2. 1)；若TNC 客户端没有生成访问请求者AR的访问决策，则执行步骤2. 2. 2)；2. 2. 1)若访问请求者AR的访问决策为禁止，则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息后断开与访问控制器AC的连接，其中本轮平台鉴别协议的第六消息包含访问请求者AR的访问决策；TNC接入点收到本轮平台鉴别协议的第六消息后断开与访问请求者AR的连接。若访问请求者AR的访问决策不为禁止，则执行步骤2. 2. 1.1)；2. 2. 1. DTNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问请求者 AR的单向平台鉴别协议，若TNC接入点在本轮平台鉴别协议中生成访问控制器AC的访问决策，则执行步骤2. 2. 1. 1. 1)；若TNC接入点在本轮平台鉴别协议中没有生成访问控制器AC 的访问决策，则执行步骤2. 2. 1. 1. 2)；2.2. 1. 1. 1)若访问控制器AC的访问决策为禁止，则TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息后断开与访问请求者AR的连接，其中本轮平台鉴别协议的第五消息包含访问控制器AC的访问决策；TNC客户端收到本轮平台鉴别协议的第五消息后断开与访问控制器AC的连接；若访问请求者AR的访问决策为允许且访问控制器AC的访问决策为允许，则表示可信网络连接成功；若访问请求者AR的访问决策为允许且访问控制器AC的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS在访问请求者AR 的平台修补完成后执行一个对访问请求者AR的单向平台鉴别过程；若访问请求者AR的访问决策为隔离且访问控制器AC的访问决策为允许，则TNC客户端、TNC接入点和评估策略服务者EPS在访问控制器AC的平台修补完成后执行一个对访问控制器AC的单向平台鉴别过程；若访问请求者AR的访问决策为隔离且访问控制器AC的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS在访问请求者AR的平台修补和访问控制器AC的平台修补完成后执行一个双向平台鉴别过程；2. 2. 1. 1. 2)TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问请求者 AR的单向平台鉴别协议；2. 2. 2) TNC客户端、TNC接入点和评估策略服务者EPS执行一轮双向平台鉴别协议。上述步骤2)中平台鉴别过程的种类是TNC客户端、TNC接入点和评估策略服务者 EPS需要执行一个对访问请求者AR的单向平台鉴别过程时，所述步骤2~)的具体实现方式是3)TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问请求者AR的单向平台鉴别协议，若TNC接入点在本轮平台鉴别协议中生成访问控制器AC的访问决策，则执行步骤3. 1)；若TNC接入点在本轮平台鉴别协议中没有生成访问控制器AC的访问决策，则执行步骤3. 2)；3. 1)若访问控制器AC的访问决策为禁止，则TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息后断开与访问请求者AR的连接，其中本轮平台鉴别协议的第五消息包含访问控制器AC的访问决策；TNC客户端收到本轮平台鉴别协议的第五消息后断开与访问控制器AC的连接；若访问控制器AC的访问决策为允许，则表示可信网络连接成功；若访问控制器AC的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者 EPS在访问请求者AR的平台修补完成后执行一个对访问请求者AR的单向平台鉴别过程；3. 2)TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问请求者AR的单向平台鉴别协议。上述步骤2、中平台鉴别过程的种类是TNC客户端、TNC接入点和评估策略服务者 EPS需要执行一个对访问控制器AC的单向平台鉴别过程时，所述步骤2)的具体实现方式是4) TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问控制器AC的单向平台鉴别协议，若TNC客户端在本轮平台鉴别协议中生成访问请求者AR的访问决策，则执行步骤4. 1)；若TNC客户端在本轮平台鉴别协议中没有生成访问请求者AR的访问决策，则执行步骤4. 2)；4. 1)若访问请求者AR的访问决策为禁止，则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息后断开与访问控制器AC的连接，其中本轮平台鉴别协议的第六消息包含访问请求者AR的访问决策；TNC接入点收到本轮平台鉴别协议的第六消息后断开与访问请求者AR的连接；若访问请求者AR的访问决策为允许，则表示可信网络连接成功；
若访问请求者AR的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者 EPS在访问控制器AC的平台修补完成后执行一个对访问请求者AR的单向平台鉴别过程；4. 2)TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问请求者AR的单向平台鉴别协议。本发明的优点是本发明提供了一种明确的适合可信连接架构的平台鉴别过程管理方法，该方法能够在TCA中的平台鉴别过程管理方法的具体执行流程并未明确给出。

图1是现有的TCG-TNC架构示意图；图2是现有的TCA示意图。
具体实施例方式下文所述平台鉴别协议都是由TNC接入点发起的。下文所述的平台鉴别协议中，TNC接入点首先向TNC客户端发送第一消息，接着 TNC客户端向TNC接入点发送第二消息，再接着TNC接入点向评估策略服务者EPS发送第三消息，再接着评估策略服务者EPS向TNC接入点发送第四消息，然后TNC接入点向TNC客户端发送第五消息，最后TNC客户端向TNC接入点发送第六消息，其中当TNC客户端生成AR 的访问决策时才会向TNC接入点发送第六消息。一种适合可信连接架构的平台鉴别过程管理方法如下步骤1)当TNC接入点收到网络访问控制者发送的平台鉴别请求时，TNC接入点执行如下步骤步骤1. 1)若TNC客户端、TNC接入点和评估策略服务者EPS需要执行一个双向平台鉴别过程时，则执行步骤2)；步骤1. 2)若TNC客户端、TNC接入点和评估策略服务者EPS需要执行一个对AR的单向平台鉴别过程时，则执行步骤3)；步骤1. 3)若TNC客户端、TNC接入点和评估策略服务者EPS需要执行一个对AC的单向平台鉴别过程时，则执行步骤4)；步骤^TNC客户端、TNC接入点和评估策略服务者EPS执行一轮双向平台鉴别协议，若TNC接入点在本轮平台鉴别协议中生成AC的访问决策，则执行步骤2. 1)，否则步骤 2. 2)；步骤2. 1)若AC的访问决策为禁止，则TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息后断开与AR的连接，其中本轮平台鉴别协议的第五消息包含AC的访问决策；TNC客户端收到本轮平台鉴别协议的第五消息后断开与AC的连接。若AC的访问决策不为禁止，则TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息；TNC客户端收到本轮平台鉴别协议的第五消息后，若TNC客户端生成AR的访问决策，则执行步骤2. 1. 1)，否则执行步骤2. 1. 2)；步骤2. 1. 1)若AR的访问决策为禁止，则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息后断开与AC的连接，其中本轮平台鉴别协议的第六消息包含AR的访问决策；TNC接入点收到本轮平台鉴别协议的第六消息后断开与AR的连接。若AR的访问决策不为禁止，则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息；TNC接入点收到本轮平台鉴别协议的第六消息后，若AR的访问决策为允许且AC的访问决策为允许，则表示可信网络连接成功，若AR的访问决策为允许且AC的访问决策为隔离，则TNC客户端、TNC 接入点和评估策略服务者EPS在AR的平台修补完成后跳至步骤1. 2)执行一个对AR的单向平台鉴别过程，若AR的访问决策为隔离且AC的访问决策为允许，则TNC客户端、TNC接入点和评估策略服务者EPS在AC的平台修补完成后跳至步骤1. 3)执行一个对AC的单向平台鉴别过程，若AR的访问决策为隔离且AC的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS在AR的平台修补和AC的平台修补完成后跳至步骤1. 1)执行一个双向平台鉴别过程；步骤2. 1. 2) TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对AC的单向平台鉴别协议，若TNC客户端在本轮平台鉴别协议中生成AR的访问决策，则执行步骤 2. 1. 2. 1)，否则执行步骤2. 1. 2. 2)；步骤2. 1. 2. 1)若AR的访问决策为禁止，则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息后断开与AC的连接，其中本轮平台鉴别协议的第六消息包含AR的访问决策；TNC接入点收到本轮平台鉴别协议的第六消息后断开与AR的连接。若AR的访问决策不为禁止，则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息；TNC接入点收到本轮平台鉴别协议的第六消息后，若AR的访问决策为允许且AC的访问决策为允许，则表示可信网络连接成功，若AR的访问决策为允许且AC的访问决策为隔离，则TNC客户端、 TNC接入点和评估策略服务者EPS在AR的平台修补完成后跳至步骤1.2)执行一个对AR的单向平台鉴别过程，若AR的访问决策为隔离且AC的访问决策为允许，则TNC客户端、TNC接入点和评估策略服务者EPS在AC的平台修补完成后跳至步骤1. 3)执行一个对AC的单向平台鉴别过程，若AR的访问决策为隔离且AC的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS在AR的平台修补和AC的平台修补完成后跳至步骤1. 1)执行一个双向平台鉴别过程；步骤2. 1. 2. 2) TNC客户端、TNC接入点和评估策略服务者EPS跳至步骤2. 1. 2)执行一轮对AC的单向平台鉴别协议；步骤2. 2) TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息，其中本轮平台鉴别协议的第五消息中不包含AC的访问决策；TNC客户端收到本轮平台鉴别协议的第五消息后，若TNC客户端生成AR的访问决策，则执行步骤2. 2. 1)，否则执行步骤2. 2. 2)；步骤2. 2. 1)若AR的访问决策为禁止，则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息后断开与AC的连接，其中本轮平台鉴别协议的第六消息包含AR的访问决策；TNC接入点收到本轮平台鉴别协议的第六消息后断开与AR的连接。若AR的访问决策不为禁止，则执行步骤2. 2. 1. 1)；步骤2. 2. 1. DTNC客户端、TNC接入点和评估策略服务者EPS执行一轮对AR的单向平台鉴别协议，若TNC接入点在本轮平台鉴别协议中生成AC的访问决策，则执行步骤 2. 2. 1. 1. 1)，否则执行步骤 2. 2. 1. 1. 2)；步骤2. 2. 1. 1. 1)若AC的访问决策为禁止，则TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息后断开与AR的连接，其中本轮平台鉴别协议的第五消息包含AC的访问决策；TNC客户端收到本轮平台鉴别协议的第五消息后断开与AC的连接。若AR的访问决策为允许且AC的访问决策为允许，则表示可信网络连接成功。若AR的访问决策为允许且AC的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS在AR的平台修补完成后跳至步骤1.幻执行一个对AR的单向平台鉴别过程。若AR的访问决策为隔离且AC的访问决策为允许，则TNC客户端、TNC接入点和评估策略服务者EPS在AC的平台修补完成后跳至步骤1. 3)执行一个对AC的单向平台鉴别过程。若AR的访问决策为隔离且AC的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS在AR的平台修补和AC的平台修补完成后跳至步骤1. 1)执行一个双向平台鉴别过程；步骤2. 2. 1. 1. 2) TNC客户端、TNC接入点和评估策略服务者EPS跳至步骤 2. 2. 1. 1)执行一轮对AR的单向平台鉴别协议；步骤2. 2. 2) TNC客户端、TNC接入点和评估策略服务者EPS跳至步骤2、执行一轮双向平台鉴别协议；步骤3) TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对AR的单向平台鉴别协议，若TNC接入点在本轮平台鉴别协议中生成AC的访问决策，则执行步骤3. 1)，否则执行步骤3. 2)；步骤3. 1)若AC的访问决策为禁止，则TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息后断开与AR的连接，其中本轮平台鉴别协议的第五消息包含AC的访问决策；TNC客户端收到本轮平台鉴别协议的第五消息后断开与AC的连接。若AC的访问决策为允许，则表示可信网络连接成功。若AC的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS在AR的平台修补完成后跳至步骤1. 2)执行一个对AR的单向平台鉴别过程；步骤3. 2) TNC客户端、TNC接入点和评估策略服务者EPS跳至步骤幻执行一轮对 AR的单向平台鉴别协议；步骤4) TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对AC的单向平台鉴别协议，若TNC客户端在本轮平台鉴别协议中生成AR的访问决策，则执行步骤4. 1)，否则执行步骤4. 2)；步骤4. 1)若AR的访问决策为禁止，则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息后断开与AC的连接，其中本轮平台鉴别协议的第六消息包含AR的访问决策；TNC接入点收到本轮平台鉴别协议的第六消息后断开与AR的连接。若AR的访问决策为允许，则表示可信网络连接成功。若AR的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS在AC的平台修补完成后跳至步骤1. 3)执行一个对AR的单向平台鉴别过程；步骤4. 2) TNC客户端、TNC接入点和评估策略服务者EPS跳至步骤4)执行一轮对 AR的单向平台鉴别协议。上面所述平台鉴别协议，如PAI (Platform Authentication Infrastructure，平台鉴别基础设施)协议，都是由TNC接入点发起的。在上面所述的平台鉴别协议中，TNC接入点首先向TNC客户端发送第一消息，接着 TNC客户端向TNC接入点发送第二消息，再接着TNC接入点向评估策略服务者EPS发送第三消息，再接着评估策略服务者EPS向TNC接入点发送第四消息，然后TNC接入点向TNC客户端发送第五消息，最后TNC客户端向TNC接入点发送第六消息，其中当TNC客户端生成AR 的访问决策时才会向TNC接入点发送第六消息。
权利要求
1.一种适合可信连接架构的平台鉴别过程管理方法，其特征在于所述方法包括以下步骤1)网络访问控制者向TNC接入点发送的平台鉴别请求；2)TNC接入点收到网络访问控制者发送的平台鉴别请求后基于平台鉴别过程的种类对平台鉴别过程进行管理。
2.根据权利要求1所述的适合可信连接架构的平台鉴别过程管理方法，其特征在于所述步骤幻中平台鉴别过程的种类是TNC客户端、TNC接入点和评估策略服务者EPS需要执行一个双向平台鉴别过程；或TNC客户端、TNC接入点和评估策略服务者EPS需要执行一个对访问请求者AR的单向平台鉴别过程；或TNC客户端、TNC接入点和评估策略服务者EPS需要执行一个对AC的单向平台鉴别过程。
3.根据权利要求2所述的适合可信连接架构的平台鉴别过程管理方法，其特征在于所述步骤2、中平台鉴别过程的种类是TNC客户端、TNC接入点和评估策略服务者EPS需要执行一个双向平台鉴别过程时，所述步骤幻的具体实现方式是TNC客户端、TNC接入点和评估策略服务者EPS执行一轮双向平台鉴别协议，若TNC接入点在本轮平台鉴别协议中生成访问控制器AC的访问决策，则执行步骤2. 1)；若TNC接入点在本轮平台鉴别协议中没有生成访问控制器AC的访问决策，则步骤2. 2)；-2.1)若访问控制器AC的访问决策为禁止，则TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息后断开与访问请求者AR的连接，其中本轮平台鉴别协议的第五消息包含访问控制器AC的访问决策；TNC客户端收到本轮平台鉴别协议的第五消息后断开与访问控制器AC的连接；若访问控制器AC的访问决策不为禁止，则TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息；TNC客户端收到本轮平台鉴别协议的第五消息后，若TNC客户端生成访问请求者AR的访问决策，则执行步骤2. 1. 1)；若TNC客户端没有生成访问请求者AR的访问决策，则执行步骤2. 1.2)；-2.1.1)若访问请求者AR的访问决策为禁止，则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息后断开与访问控制器AC的连接，其中本轮平台鉴别协议的第六消息包含访问请求者AR的访问决策；TNC接入点收到本轮平台鉴别协议的第六消息后断开与访问请求者AR的连接；若访问请求者AR的访问决策不为禁止，则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息；TNC接入点收到本轮平台鉴别协议的第六消息后，若访问请求者AR的访问决策为允许且访问控制器AC的访问决策为允许，则表示可信网络连接成功；若访问请求者AR的访问决策为允许且访问控制器AC的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS在访问请求者AR的平台修补完成后执行一个对访问请求者AR的单向平台鉴别过程；若访问请求者AR的访问决策为隔离且访问控制器AC的访问决策为允许，则 TNC客户端、TNC接入点和评估策略服务者EPS在访问控制器AC的平台修补完成后执行一个对访问控制器AC的单向平台鉴别过程；若访问请求者AR的访问决策为隔离且访问控制器AC的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS在访问请求者AR的平台修补和访问控制器AC的平台修补完成后执行一个双向平台鉴别过程；·2. 1. 2) TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问控制器AC的单向平台鉴别协议，若TNC客户端在本轮平台鉴别协议中生成访问请求者AR的访问决策，则执行步骤2. 1. 2. 1)；若TNC客户端在本轮平台鉴别协议中没有生成访问请求者AR的访问决策，则执行步骤2. 1.2.2)；2. 1.2. 1)若访问请求者AR的访问决策为禁止，则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息后断开与访问控制器AC的连接，其中本轮平台鉴别协议的第六消息包含访问请求者AR的访问决策；TNC接入点收到本轮平台鉴别协议的第六消息后断开与访问请求者AR的连接；若访问请求者AR的访问决策不为禁止，则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息；TNC接入点收到本轮平台鉴别协议的第六消息后，若访问请求者AR的访问决策为允许且访问控制器AC的访问决策为允许，则表示可信网络连接成功；若访问请求者AR的访问决策为允许且访问控制器AC的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS在访问请求者AR的平台修补完成后执行一个对访问请求者AR的单向平台鉴别过程；若访问请求者AR的访问决策为隔离且访问控制器AC的访问决策为允许，则 TNC客户端、TNC接入点和评估策略服务者EPS在访问控制器AC的平台修补完成后执行一个对访问控制器AC的单向平台鉴别过程；若访问请求者AR的访问决策为隔离且访问控制器AC的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS在访问请求者 AR的平台修补和访问控制器AC的平台修补完成后一个双向平台鉴别过程；2. 1. 2. 2) TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问控制器AC的单向平台鉴别协议；2. 2) TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息，其中本轮平台鉴别协议的第五消息中不包含访问控制器AC的访问决策；TNC客户端收到本轮平台鉴别协议的第五消息后，若TNC客户端生成访问请求者AR的访问决策，则执行步骤2. 2. 1)；若TNC客户端没有生成访问请求者AR的访问决策，则执行步骤2. 2. 2)；2. 2. 1)若访问请求者AR的访问决策为禁止，则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息后断开与访问控制器AC的连接，其中本轮平台鉴别协议的第六消息包含访问请求者AR的访问决策；TNC接入点收到本轮平台鉴别协议的第六消息后断开与访问请求者AR的连接。若访问请求者AR的访问决策不为禁止，则执行步骤2. 2. 1.1)；2. 2. 1. 1) TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问请求者AR的单向平台鉴别协议，若TNC接入点在本轮平台鉴别协议中生成访问控制器AC的访问决策，则执行步骤2. 2. 1. 1. 1)；若TNC接入点在本轮平台鉴别协议中没有生成访问控制器AC的访问决策，则执行步骤2. 2. 1. 1. 2)；2. 2. 1. 1. 1)若访问控制器AC的访问决策为禁止，则TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息后断开与访问请求者AR的连接，其中本轮平台鉴别协议的第五消息包含访问控制器AC的访问决策；TNC客户端收到本轮平台鉴别协议的第五消息后断开与访问控制器AC的连接；若访问请求者AR的访问决策为允许且访问控制器AC的访问决策为允许，则表示可信网络连接成功；若访问请求者AR的访问决策为允许且访问控制器AC 的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS在访问请求者AR的平台修补完成后执行一个对访问请求者AR的单向平台鉴别过程；若访问请求者AR的访问决策为隔离且访问控制器AC的访问决策为允许，则TNC客户端、TNC接入点和评估策略服务者EPS在访问控制器AC的平台修补完成后执行一个对访问控制器AC的单向平台鉴别过程；若访问请求者AR的访问决策为隔离且访问控制器AC的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS在访问请求者AR的平台修补和访问控制器AC的平台修补完成后执行一个双向平台鉴别过程；(2. 2. 1. 1. 2) TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问请求者AR 的单向平台鉴别协议；(2.2. 2) TNC客户端、TNC接入点和评估策略服务者EPS执行一轮双向平台鉴别协议。
4.根据权利要求2所述的适合可信连接架构的平台鉴别过程管理方法，其特征在于所述步骤2、中平台鉴别过程的种类是TNC客户端、TNC接入点和评估策略服务者EPS需要执行一个对访问请求者AR的单向平台鉴别过程时，所述步骤2、的具体实现方式是(3)TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问请求者AR的单向平台鉴别协议，若TNC接入点在本轮平台鉴别协议中生成访问控制器AC的访问决策，则执行步骤3. 1)；若TNC接入点在本轮平台鉴别协议中没有生成访问控制器AC的访问决策，则执行步骤3. 2)；(3.1)若访问控制器AC的访问决策为禁止，则TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息后断开与访问请求者AR的连接，其中本轮平台鉴别协议的第五消息包含访问控制器AC的访问决策；TNC客户端收到本轮平台鉴别协议的第五消息后断开与访问控制器AC的连接；若访问控制器AC的访问决策为允许，则表示可信网络连接成功；若访问控制器AC的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS 在访问请求者AR的平台修补完成后执行一个对访问请求者AR的单向平台鉴别过程；(3.2)TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问请求者AR的单向平台鉴别协议。
5.根据权利要求2所述的适合可信连接架构的平台鉴别过程管理方法，其特征在于所述步骤2、中平台鉴别过程的种类是TNC客户端、TNC接入点和评估策略服务者EPS需要执行一个对访问控制器AC的单向平台鉴别过程时，所述步骤幻的具体实现方式是(4)TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问控制器AC的单向平台鉴别协议，若TNC客户端在本轮平台鉴别协议中生成访问请求者AR的访问决策，则执行步骤4. 1)；若TNC客户端在本轮平台鉴别协议中没有生成访问请求者AR的访问决策，则执行步骤4. 2)；(4.1)若访问请求者AR的访问决策为禁止，则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息后断开与访问控制器AC的连接，其中本轮平台鉴别协议的第六消息包含访问请求者AR的访问决策；TNC接入点收到本轮平台鉴别协议的第六消息后断开与访问请求者AR的连接；若访问请求者AR的访问决策为允许，则表示可信网络连接成功；若访问请求者AR的访问决策为隔离，则TNC客户端、TNC接入点和评估策略服务者EPS 在访问控制器AC的平台修补完成后执行一个对访问请求者AR的单向平台鉴别过程；·4. 2)TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问请求者AR的单向平台鉴别协议。
全文摘要
本发明涉及一种适合可信连接架构的平台鉴别过程管理方法，该方法包括以下步骤1)网络访问控制者向TNC接入点发送的平台鉴别请求；2)TNC接入点收到网络访问控制者发送的平台鉴别请求后基于平台鉴别过程的种类对平台鉴别过程进行管理。本发明提供了一种安全性更高的适合可信连接架构的平台鉴别过程管理方法。
文档编号H04L29/06GK102065086SQ20101059666
公开日2011年5月18日申请日期2010年12月20日优先权日2010年12月20日
发明者张国强, 曹军, 王珂, 肖跃雷申请人:西安西电捷通无线网络通信股份有限公司

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：肖跃雷;曹军;王珂;张国强
技术所有人：西安西电捷通无线网络通信股份有限公司
我是此专利的发明人

上一篇：支持链路层保密传输的交换设备及其数据处理方法
上一篇：一种具有链路层加解密能力的终端设备及其数据处理方法

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。