新四季網

首页

算命

星座

感情

婚姻

風水

文化

生活

生肖

百科

解夢

娛樂

社會

新四季網 專利

一種適合可信連接架構的平臺鑑別過程管理方法

2023-07-22 06:35:26 3

專利名稱:一種適合可信連接架構的平臺鑑別過程管理方法
技術領域:
本發明屬網絡安全技術領域,涉及一種適合可信連接架構的平臺鑑別過程管理方 法。
背景技術:
隨著信息化的發展,病毒、蠕蟲等惡意軟體的問題異常突出。目前已經出現了超過 三萬五千種的惡意軟體,每年都有超過四千萬的計算機被感染。要遏制住這類攻擊,不僅通 過解決安全的傳輸和數據輸入時的檢查,還要從源頭即從每一臺連接到網絡的終端開始防 御。而傳統的安全防禦技術已經無法防禦種類繁多的惡意攻擊。TCG(Trusted Computing Group,國際可信計算組織)針對這個問題,專門制定了 一個基於可信計算技術的網絡連接規範——TNC (Trusted Network Connect,可信網絡連 接),簡記為TCG-TNC,參見圖1,其包括了開放的終端完整性架構和一套確保安全互操作的 標準。由於TCG-TNC架構中的策略執行點處於網絡邊緣,且訪問請求者不對策略執行點 進行平臺鑑別,所以該架構存在策略執行點不可信賴的問題。為了解決這一問題,提出了一 種基於TePA(Tri-element Peer Authentication,三元對等鑑別)的TNC架構,參見圖2, 簡稱為 TCA(Trusted Connect Architecture,可信連接架構)。在圖 2 所示的 TCA 中,AR(Access Requestor,訪問請求者)、AC(Access Controller,訪問控制器)和PM(Policy Manager,策略管理器)是TCA中的三個實 體,平臺鑑別接口協議包括IF-IMantegrity Measurement Interface,完整性度量 接口)、IF-IMC(Integrity Measurement Collector Interface,完整性度量收集接 口)、IF-IMV(Integrity Measurement Verifier Interface,完整性度量校驗接口)、 IF-TNCCAP(TNC Client-Access Point Interface, TNC 客戶端-TNC 接入點接口) 和 IF-EPS(Evaluation Policy Server Interface,評估策略服務接口),其中 IF-IM 是 IMCdntegrity Measurement Collector Interface,完整性度量收集接 口)禾口 IMVdntegrity Measurement Verifier hterface,完整性度量校驗接口)之間的接口, IF-IMC 是 IMC 和 TNCC(TNC Client, TNC 客戶端)之間、IMC 和 TNCAP(TNCAccess Point, TNC接入點)之間的接口,IF-IMV是IMV和EPS (Evaluation Policy Server,評估策略服 務者)之間的接口,IF-TNCCAP是TNCC和TNCAP之間的接口,IF-EPS是TNCAP和EPS之間 的接口。在TCA中,IF-TNCCAP和IF-EPS需要定義平臺鑑別過程管理方法。目前IF-TNCCAP 和IF-EPS所定義的平臺鑑別過程管理方法雖然明確指出一個可信網絡連接過程包括一個 或多個平臺鑑別過程以及一個平臺鑑別過程包括一輪或多輪平臺鑑別協議,但是平臺鑑別 過程管理方法的具體執行流程並未明確給出。

發明內容
為了解決背景技術中存在的上述技術問題,本發明提供了一種安全性更高的適合 可信連接架構的平臺鑑別過程管理方法。本發明的技術解決方案是本發明提供了一種適合可信連接架構的平臺鑑別過程 管理方法,其特殊之處在於所述方法包括以下步驟1)網絡訪問控制者向TNC接入點發送的平臺鑑別請求;2)TNC接入點收到網絡訪問控制者發送的平臺鑑別請求後基於平臺鑑別過程的種 類對平臺鑑別過程進行管理。上述步驟2)中平臺鑑別過程的種類是TNC客戶端、TNC接入點和評估策略服務者EPS需要執行一個雙向平臺鑑別過程;或TNC客戶端、TNC接入點和評估策略服務者EPS需要執行一個對訪問請求者AR的 單向平臺鑑別過程;或TNC客戶端、TNC接入點和評估策略服務者EPS需要執行一個對AC的單向平臺鑑 別過程。上述步驟2、中平臺鑑別過程的種類是TNC客戶端、TNC接入點和評估策略服務者 EPS需要執行一個雙向平臺鑑別過程時,所述步驟2)的具體實現方式是TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪雙向平臺鑑別協議,若TNC 接入點在本輪平臺鑑別協議中生成訪問控制器AC的訪問決策,則執行步驟2. 1);若TNC接 入點在本輪平臺鑑別協議中沒有生成訪問控制器AC的訪問決策,則步驟2. 2);2. 1)若訪問控制器AC的訪問決策為禁止,則TNC接入點向TNC客戶端發送本輪平 臺鑑別協議的第五消息後斷開與訪問請求者AR的連接,其中本輪平臺鑑別協議的第五消 息包含訪問控制器AC的訪問決策;TNC客戶端收到本輪平臺鑑別協議的第五消息後斷開與 訪問控制器AC的連接;若訪問控制器AC的訪問決策不為禁止,則TNC接入點向TNC客戶端發送本輪平臺 鑑別協議的第五消息;TNC客戶端收到本輪平臺鑑別協議的第五消息後,若TNC客戶端生成 訪問請求者AR的訪問決策,則執行步驟2. 1. 1);若TNC客戶端沒有生成訪問請求者AR的 訪問決策,則執行步驟2. 1.2);2. 1. 1)若訪問請求者AR的訪問決策為禁止,則TNC客戶端向TNC接入點發送本輪 平臺鑑別協議的第六消息後斷開與訪問控制器AC的連接,其中本輪平臺鑑別協議的第六 消息包含訪問請求者AR的訪問決策;TNC接入點收到本輪平臺鑑別協議的第六消息後斷開 與訪問請求者AR的連接;若訪問請求者AR的訪問決策不為禁止,則TNC客戶端向TNC接入點發送本輪平臺 鑑別協議的第六消息;TNC接入點收到本輪平臺鑑別協議的第六消息後,若訪問請求者AR 的訪問決策為允許且訪問控制器AC的訪問決策為允許,則表示可信網絡連接成功;若訪問 請求者AR的訪問決策為允許且訪問控制器AC的訪問決策為隔離,則TNC客戶端、TNC接入 點和評估策略服務者EPS在訪問請求者AR的平臺修補完成後執行一個對訪問請求者AR的 單向平臺鑑別過程;若訪問請求者AR的訪問決策為隔離且訪問控制器AC的訪問決策為允 許,則TNC客戶端、TNC接入點和評估策略服務者EPS在訪問控制器AC的平臺修補完成後 執行一個對訪問控制器AC的單向平臺鑑別過程;若訪問請求者AR的訪問決策為隔離且訪問控制器AC的訪問決策為隔離,則TNC客戶端、TNC接入點和評估策略服務者EPS在訪問 請求者AR的平臺修補和訪問控制器AC的平臺修補完成後執行一個雙向平臺鑑別過程;2. 1. 2) TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對訪問控制器AC 的單向平臺鑑別協議,若TNC客戶端在本輪平臺鑑別協議中生成訪問請求者AR的訪問決 策,則執行步驟2. 1.2. 1);若TNC客戶端在本輪平臺鑑別協議中沒有生成訪問請求者AR的 訪問決策,則執行步驟2. 1. 2. 2);2. 1.2. 1)若訪問請求者AR的訪問決策為禁止,則TNC客戶端向TNC接入點發送本 輪平臺鑑別協議的第六消息後斷開與訪問控制器AC的連接,其中本輪平臺鑑別協議的第 六消息包含訪問請求者AR的訪問決策;TNC接入點收到本輪平臺鑑別協議的第六消息後斷 開與訪問請求者AR的連接;若訪問請求者AR的訪問決策不為禁止,則TNC客戶端向TNC接入點發送本輪平臺 鑑別協議的第六消息;TNC接入點收到本輪平臺鑑別協議的第六消息後,若訪問請求者AR 的訪問決策為允許且訪問控制器AC的訪問決策為允許,則表示可信網絡連接成功;若訪問 請求者AR的訪問決策為允許且訪問控制器AC的訪問決策為隔離,則TNC客戶端、TNC接入 點和評估策略服務者EPS在訪問請求者AR的平臺修補完成後執行一個對訪問請求者AR的 單向平臺鑑別過程;若訪問請求者AR的訪問決策為隔離且訪問控制器AC的訪問決策為允 許,則TNC客戶端、TNC接入點和評估策略服務者EPS在訪問控制器AC的平臺修補完成後 執行一個對訪問控制器AC的單向平臺鑑別過程;若訪問請求者AR的訪問決策為隔離且訪 問控制器AC的訪問決策為隔離,則TNC客戶端、TNC接入點和評估策略服務者EPS在訪問 請求者AR的平臺修補和訪問控制器AC的平臺修補完成後一個雙向平臺鑑別過程;2. 1. 2. 2)TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對訪問控制器AC 的單向平臺鑑別協議;2. 2) TNC接入點向TNC客戶端發送本輪平臺鑑別協議的第五消息,其中本輪平臺 鑑別協議的第五消息中不包含訪問控制器AC的訪問決策;TNC客戶端收到本輪平臺鑑別協 議的第五消息後,若TNC客戶端生成訪問請求者AR的訪問決策,則執行步驟2. 2. 1);若TNC 客戶端沒有生成訪問請求者AR的訪問決策,則執行步驟2. 2. 2);2. 2. 1)若訪問請求者AR的訪問決策為禁止,則TNC客戶端向TNC接入點發送本輪 平臺鑑別協議的第六消息後斷開與訪問控制器AC的連接,其中本輪平臺鑑別協議的第六 消息包含訪問請求者AR的訪問決策;TNC接入點收到本輪平臺鑑別協議的第六消息後斷開 與訪問請求者AR的連接。若訪問請求者AR的訪問決策不為禁止,則執行步驟2. 2. 1.1);2. 2. 1. DTNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對訪問請求者 AR的單向平臺鑑別協議,若TNC接入點在本輪平臺鑑別協議中生成訪問控制器AC的訪問決 策,則執行步驟2. 2. 1. 1. 1);若TNC接入點在本輪平臺鑑別協議中沒有生成訪問控制器AC 的訪問決策,則執行步驟2. 2. 1. 1. 2);2.2. 1. 1. 1)若訪問控制器AC的訪問決策為禁止,則TNC接入點向TNC客戶端發送 本輪平臺鑑別協議的第五消息後斷開與訪問請求者AR的連接,其中本輪平臺鑑別協議的 第五消息包含訪問控制器AC的訪問決策;TNC客戶端收到本輪平臺鑑別協議的第五消息後 斷開與訪問控制器AC的連接;若訪問請求者AR的訪問決策為允許且訪問控制器AC的訪問 決策為允許,則表示可信網絡連接成功;若訪問請求者AR的訪問決策為允許且訪問控制器AC的訪問決策為隔離,則TNC客戶端、TNC接入點和評估策略服務者EPS在訪問請求者AR 的平臺修補完成後執行一個對訪問請求者AR的單向平臺鑑別過程;若訪問請求者AR的訪 問決策為隔離且訪問控制器AC的訪問決策為允許,則TNC客戶端、TNC接入點和評估策略 服務者EPS在訪問控制器AC的平臺修補完成後執行一個對訪問控制器AC的單向平臺鑑別 過程;若訪問請求者AR的訪問決策為隔離且訪問控制器AC的訪問決策為隔離,則TNC客戶 端、TNC接入點和評估策略服務者EPS在訪問請求者AR的平臺修補和訪問控制器AC的平 臺修補完成後執行一個雙向平臺鑑別過程;2. 2. 1. 1. 2)TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對訪問請求者 AR的單向平臺鑑別協議;2. 2. 2) TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪雙向平臺鑑別協 議。上述步驟2)中平臺鑑別過程的種類是TNC客戶端、TNC接入點和評估策略服務者 EPS需要執行一個對訪問請求者AR的單向平臺鑑別過程時,所述步驟2~)的具體實現方式 是3)TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對訪問請求者AR的單 向平臺鑑別協議,若TNC接入點在本輪平臺鑑別協議中生成訪問控制器AC的訪問決策,則 執行步驟3. 1);若TNC接入點在本輪平臺鑑別協議中沒有生成訪問控制器AC的訪問決策, 則執行步驟3. 2);3. 1)若訪問控制器AC的訪問決策為禁止,則TNC接入點向TNC客戶端發送本輪平 臺鑑別協議的第五消息後斷開與訪問請求者AR的連接,其中本輪平臺鑑別協議的第五消 息包含訪問控制器AC的訪問決策;TNC客戶端收到本輪平臺鑑別協議的第五消息後斷開與 訪問控制器AC的連接;若訪問控制器AC的訪問決策為允許,則表示可信網絡連接成功;若訪問控制器AC的訪問決策為隔離,則TNC客戶端、TNC接入點和評估策略服務者 EPS在訪問請求者AR的平臺修補完成後執行一個對訪問請求者AR的單向平臺鑑別過程;3. 2)TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對訪問請求者AR的 單向平臺鑑別協議。上述步驟2、中平臺鑑別過程的種類是TNC客戶端、TNC接入點和評估策略服務者 EPS需要執行一個對訪問控制器AC的單向平臺鑑別過程時,所述步驟2)的具體實現方式 是4) TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對訪問控制器AC的單 向平臺鑑別協議,若TNC客戶端在本輪平臺鑑別協議中生成訪問請求者AR的訪問決策,則 執行步驟4. 1);若TNC客戶端在本輪平臺鑑別協議中沒有生成訪問請求者AR的訪問決策, 則執行步驟4. 2);4. 1)若訪問請求者AR的訪問決策為禁止,則TNC客戶端向TNC接入點發送本輪平 臺鑑別協議的第六消息後斷開與訪問控制器AC的連接,其中本輪平臺鑑別協議的第六消 息包含訪問請求者AR的訪問決策;TNC接入點收到本輪平臺鑑別協議的第六消息後斷開與 訪問請求者AR的連接;若訪問請求者AR的訪問決策為允許,則表示可信網絡連接成功;
若訪問請求者AR的訪問決策為隔離,則TNC客戶端、TNC接入點和評估策略服務者 EPS在訪問控制器AC的平臺修補完成後執行一個對訪問請求者AR的單向平臺鑑別過程;4. 2)TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對訪問請求者AR的 單向平臺鑑別協議。本發明的優點是本發明提供了一種明確的適合可信連接架構的平臺鑑別過程管理方法,該方法能 夠在TCA中的平臺鑑別過程管理方法的具體執行流程並未明確給出。


圖1是現有的TCG-TNC架構示意圖;圖2是現有的TCA示意圖。
具體實施例方式下文所述平臺鑑別協議都是由TNC接入點發起的。下文所述的平臺鑑別協議中,TNC接入點首先向TNC客戶端發送第一消息,接著 TNC客戶端向TNC接入點發送第二消息,再接著TNC接入點向評估策略服務者EPS發送第三 消息,再接著評估策略服務者EPS向TNC接入點發送第四消息,然後TNC接入點向TNC客戶 端發送第五消息,最後TNC客戶端向TNC接入點發送第六消息,其中當TNC客戶端生成AR 的訪問決策時才會向TNC接入點發送第六消息。一種適合可信連接架構的平臺鑑別過程管理方法如下步驟1)當TNC接入點收到網絡訪問控制者發送的平臺鑑別請求時,TNC接入點執 行如下步驟步驟1. 1)若TNC客戶端、TNC接入點和評估策略服務者EPS需要執行一個雙向平 臺鑑別過程時,則執行步驟2);步驟1. 2)若TNC客戶端、TNC接入點和評估策略服務者EPS需要執行一個對AR的 單向平臺鑑別過程時,則執行步驟3);步驟1. 3)若TNC客戶端、TNC接入點和評估策略服務者EPS需要執行一個對AC的 單向平臺鑑別過程時,則執行步驟4);步驟^TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪雙向平臺鑑別協 議,若TNC接入點在本輪平臺鑑別協議中生成AC的訪問決策,則執行步驟2. 1),否則步驟 2. 2);步驟2. 1)若AC的訪問決策為禁止,則TNC接入點向TNC客戶端發送本輪平臺鑑 別協議的第五消息後斷開與AR的連接,其中本輪平臺鑑別協議的第五消息包含AC的訪問 決策;TNC客戶端收到本輪平臺鑑別協議的第五消息後斷開與AC的連接。若AC的訪問決 策不為禁止,則TNC接入點向TNC客戶端發送本輪平臺鑑別協議的第五消息;TNC客戶端收 到本輪平臺鑑別協議的第五消息後,若TNC客戶端生成AR的訪問決策,則執行步驟2. 1. 1), 否則執行步驟2. 1. 2);步驟2. 1. 1)若AR的訪問決策為禁止,則TNC客戶端向TNC接入點發送本輪平臺 鑑別協議的第六消息後斷開與AC的連接,其中本輪平臺鑑別協議的第六消息包含AR的訪問決策;TNC接入點收到本輪平臺鑑別協議的第六消息後斷開與AR的連接。若AR的訪問決 策不為禁止,則TNC客戶端向TNC接入點發送本輪平臺鑑別協議的第六消息;TNC接入點收 到本輪平臺鑑別協議的第六消息後,若AR的訪問決策為允許且AC的訪問決策為允許,則表 示可信網絡連接成功,若AR的訪問決策為允許且AC的訪問決策為隔離,則TNC客戶端、TNC 接入點和評估策略服務者EPS在AR的平臺修補完成後跳至步驟1. 2)執行一個對AR的單 向平臺鑑別過程,若AR的訪問決策為隔離且AC的訪問決策為允許,則TNC客戶端、TNC接 入點和評估策略服務者EPS在AC的平臺修補完成後跳至步驟1. 3)執行一個對AC的單向 平臺鑑別過程,若AR的訪問決策為隔離且AC的訪問決策為隔離,則TNC客戶端、TNC接入 點和評估策略服務者EPS在AR的平臺修補和AC的平臺修補完成後跳至步驟1. 1)執行一 個雙向平臺鑑別過程;步驟2. 1. 2) TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對AC的單 向平臺鑑別協議,若TNC客戶端在本輪平臺鑑別協議中生成AR的訪問決策,則執行步驟 2. 1. 2. 1),否則執行步驟2. 1. 2. 2);步驟2. 1. 2. 1)若AR的訪問決策為禁止,則TNC客戶端向TNC接入點發送本輪平 臺鑑別協議的第六消息後斷開與AC的連接,其中本輪平臺鑑別協議的第六消息包含AR的 訪問決策;TNC接入點收到本輪平臺鑑別協議的第六消息後斷開與AR的連接。若AR的訪問 決策不為禁止,則TNC客戶端向TNC接入點發送本輪平臺鑑別協議的第六消息;TNC接入點 收到本輪平臺鑑別協議的第六消息後,若AR的訪問決策為允許且AC的訪問決策為允許,則 表示可信網絡連接成功,若AR的訪問決策為允許且AC的訪問決策為隔離,則TNC客戶端、 TNC接入點和評估策略服務者EPS在AR的平臺修補完成後跳至步驟1.2)執行一個對AR的 單向平臺鑑別過程,若AR的訪問決策為隔離且AC的訪問決策為允許,則TNC客戶端、TNC接 入點和評估策略服務者EPS在AC的平臺修補完成後跳至步驟1. 3)執行一個對AC的單向 平臺鑑別過程,若AR的訪問決策為隔離且AC的訪問決策為隔離,則TNC客戶端、TNC接入 點和評估策略服務者EPS在AR的平臺修補和AC的平臺修補完成後跳至步驟1. 1)執行一 個雙向平臺鑑別過程;步驟2. 1. 2. 2) TNC客戶端、TNC接入點和評估策略服務者EPS跳至步驟2. 1. 2)執 行一輪對AC的單向平臺鑑別協議;步驟2. 2) TNC接入點向TNC客戶端發送本輪平臺鑑別協議的第五消息,其中本輪 平臺鑑別協議的第五消息中不包含AC的訪問決策;TNC客戶端收到本輪平臺鑑別協議的第 五消息後,若TNC客戶端生成AR的訪問決策,則執行步驟2. 2. 1),否則執行步驟2. 2. 2);步驟2. 2. 1)若AR的訪問決策為禁止,則TNC客戶端向TNC接入點發送本輪平臺 鑑別協議的第六消息後斷開與AC的連接,其中本輪平臺鑑別協議的第六消息包含AR的訪 問決策;TNC接入點收到本輪平臺鑑別協議的第六消息後斷開與AR的連接。若AR的訪問 決策不為禁止,則執行步驟2. 2. 1. 1);步驟2. 2. 1. DTNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對AR的 單向平臺鑑別協議,若TNC接入點在本輪平臺鑑別協議中生成AC的訪問決策,則執行步驟 2. 2. 1. 1. 1),否則執行步驟 2. 2. 1. 1. 2);步驟2. 2. 1. 1. 1)若AC的訪問決策為禁止,則TNC接入點向TNC客戶端發送本輪 平臺鑑別協議的第五消息後斷開與AR的連接,其中本輪平臺鑑別協議的第五消息包含AC的訪問決策;TNC客戶端收到本輪平臺鑑別協議的第五消息後斷開與AC的連接。若AR的 訪問決策為允許且AC的訪問決策為允許,則表示可信網絡連接成功。若AR的訪問決策為 允許且AC的訪問決策為隔離,則TNC客戶端、TNC接入點和評估策略服務者EPS在AR的平 臺修補完成後跳至步驟1.幻執行一個對AR的單向平臺鑑別過程。若AR的訪問決策為隔 離且AC的訪問決策為允許,則TNC客戶端、TNC接入點和評估策略服務者EPS在AC的平臺 修補完成後跳至步驟1. 3)執行一個對AC的單向平臺鑑別過程。若AR的訪問決策為隔離 且AC的訪問決策為隔離,則TNC客戶端、TNC接入點和評估策略服務者EPS在AR的平臺修 補和AC的平臺修補完成後跳至步驟1. 1)執行一個雙向平臺鑑別過程;步驟2. 2. 1. 1. 2) TNC客戶端、TNC接入點和評估策略服務者EPS跳至步驟 2. 2. 1. 1)執行一輪對AR的單向平臺鑑別協議;步驟2. 2. 2) TNC客戶端、TNC接入點和評估策略服務者EPS跳至步驟2、執行一輪 雙向平臺鑑別協議;步驟3) TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對AR的單向平臺 鑑別協議,若TNC接入點在本輪平臺鑑別協議中生成AC的訪問決策,則執行步驟3. 1),否則 執行步驟3. 2);步驟3. 1)若AC的訪問決策為禁止,則TNC接入點向TNC客戶端發送本輪平臺鑑 別協議的第五消息後斷開與AR的連接,其中本輪平臺鑑別協議的第五消息包含AC的訪問 決策;TNC客戶端收到本輪平臺鑑別協議的第五消息後斷開與AC的連接。若AC的訪問決 策為允許,則表示可信網絡連接成功。若AC的訪問決策為隔離,則TNC客戶端、TNC接入點 和評估策略服務者EPS在AR的平臺修補完成後跳至步驟1. 2)執行一個對AR的單向平臺 鑑別過程;步驟3. 2) TNC客戶端、TNC接入點和評估策略服務者EPS跳至步驟幻執行一輪對 AR的單向平臺鑑別協議;步驟4) TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對AC的單向平臺 鑑別協議,若TNC客戶端在本輪平臺鑑別協議中生成AR的訪問決策,則執行步驟4. 1),否則 執行步驟4. 2);步驟4. 1)若AR的訪問決策為禁止,則TNC客戶端向TNC接入點發送本輪平臺鑑 別協議的第六消息後斷開與AC的連接,其中本輪平臺鑑別協議的第六消息包含AR的訪問 決策;TNC接入點收到本輪平臺鑑別協議的第六消息後斷開與AR的連接。若AR的訪問決 策為允許,則表示可信網絡連接成功。若AR的訪問決策為隔離,則TNC客戶端、TNC接入點 和評估策略服務者EPS在AC的平臺修補完成後跳至步驟1. 3)執行一個對AR的單向平臺 鑑別過程;步驟4. 2) TNC客戶端、TNC接入點和評估策略服務者EPS跳至步驟4)執行一輪對 AR的單向平臺鑑別協議。上面所述平臺鑑別協議,如PAI (Platform Authentication Infrastructure,平 臺鑑別基礎設施)協議,都是由TNC接入點發起的。在上面所述的平臺鑑別協議中,TNC接入點首先向TNC客戶端發送第一消息,接著 TNC客戶端向TNC接入點發送第二消息,再接著TNC接入點向評估策略服務者EPS發送第三 消息,再接著評估策略服務者EPS向TNC接入點發送第四消息,然後TNC接入點向TNC客戶端發送第五消息,最後TNC客戶端向TNC接入點發送第六消息,其中當TNC客戶端生成AR 的訪問決策時才會向TNC接入點發送第六消息。
權利要求
1.一種適合可信連接架構的平臺鑑別過程管理方法,其特徵在於所述方法包括以下 步驟1)網絡訪問控制者向TNC接入點發送的平臺鑑別請求;2)TNC接入點收到網絡訪問控制者發送的平臺鑑別請求後基於平臺鑑別過程的種類對 平臺鑑別過程進行管理。
2.根據權利要求1所述的適合可信連接架構的平臺鑑別過程管理方法,其特徵在於 所述步驟幻中平臺鑑別過程的種類是TNC客戶端、TNC接入點和評估策略服務者EPS需要執行一個雙向平臺鑑別過程;或TNC客戶端、TNC接入點和評估策略服務者EPS需要執行一個對訪問請求者AR的單向 平臺鑑別過程;或TNC客戶端、TNC接入點和評估策略服務者EPS需要執行一個對AC的單向平臺鑑別過程。
3.根據權利要求2所述的適合可信連接架構的平臺鑑別過程管理方法,其特徵在於 所述步驟2、中平臺鑑別過程的種類是TNC客戶端、TNC接入點和評估策略服務者EPS需要 執行一個雙向平臺鑑別過程時,所述步驟幻的具體實現方式是TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪雙向平臺鑑別協議,若TNC接 入點在本輪平臺鑑別協議中生成訪問控制器AC的訪問決策,則執行步驟2. 1);若TNC接入 點在本輪平臺鑑別協議中沒有生成訪問控制器AC的訪問決策,則步驟2. 2);-2.1)若訪問控制器AC的訪問決策為禁止,則TNC接入點向TNC客戶端發送本輪平臺鑑 別協議的第五消息後斷開與訪問請求者AR的連接,其中本輪平臺鑑別協議的第五消息包 含訪問控制器AC的訪問決策;TNC客戶端收到本輪平臺鑑別協議的第五消息後斷開與訪問 控制器AC的連接;若訪問控制器AC的訪問決策不為禁止,則TNC接入點向TNC客戶端發送本輪平臺鑑別 協議的第五消息;TNC客戶端收到本輪平臺鑑別協議的第五消息後,若TNC客戶端生成訪問 請求者AR的訪問決策,則執行步驟2. 1. 1);若TNC客戶端沒有生成訪問請求者AR的訪問 決策,則執行步驟2. 1.2);-2.1.1)若訪問請求者AR的訪問決策為禁止,則TNC客戶端向TNC接入點發送本輪平臺 鑑別協議的第六消息後斷開與訪問控制器AC的連接,其中本輪平臺鑑別協議的第六消息 包含訪問請求者AR的訪問決策;TNC接入點收到本輪平臺鑑別協議的第六消息後斷開與訪 問請求者AR的連接;若訪問請求者AR的訪問決策不為禁止,則TNC客戶端向TNC接入點發送本輪平臺鑑別 協議的第六消息;TNC接入點收到本輪平臺鑑別協議的第六消息後,若訪問請求者AR的訪 問決策為允許且訪問控制器AC的訪問決策為允許,則表示可信網絡連接成功;若訪問請求 者AR的訪問決策為允許且訪問控制器AC的訪問決策為隔離,則TNC客戶端、TNC接入點和 評估策略服務者EPS在訪問請求者AR的平臺修補完成後執行一個對訪問請求者AR的單向 平臺鑑別過程;若訪問請求者AR的訪問決策為隔離且訪問控制器AC的訪問決策為允許,則 TNC客戶端、TNC接入點和評估策略服務者EPS在訪問控制器AC的平臺修補完成後執行一 個對訪問控制器AC的單向平臺鑑別過程;若訪問請求者AR的訪問決策為隔離且訪問控制 器AC的訪問決策為隔離,則TNC客戶端、TNC接入點和評估策略服務者EPS在訪問請求者AR的平臺修補和訪問控制器AC的平臺修補完成後執行一個雙向平臺鑑別過程;·2. 1. 2) TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對訪問控制器AC的單 向平臺鑑別協議,若TNC客戶端在本輪平臺鑑別協議中生成訪問請求者AR的訪問決策,則 執行步驟2. 1. 2. 1);若TNC客戶端在本輪平臺鑑別協議中沒有生成訪問請求者AR的訪問 決策,則執行步驟2. 1.2.2);2. 1.2. 1)若訪問請求者AR的訪問決策為禁止,則TNC客戶端向TNC接入點發送本輪平 臺鑑別協議的第六消息後斷開與訪問控制器AC的連接,其中本輪平臺鑑別協議的第六消 息包含訪問請求者AR的訪問決策;TNC接入點收到本輪平臺鑑別協議的第六消息後斷開與 訪問請求者AR的連接;若訪問請求者AR的訪問決策不為禁止,則TNC客戶端向TNC接入點發送本輪平臺鑑別 協議的第六消息;TNC接入點收到本輪平臺鑑別協議的第六消息後,若訪問請求者AR的訪 問決策為允許且訪問控制器AC的訪問決策為允許,則表示可信網絡連接成功;若訪問請求 者AR的訪問決策為允許且訪問控制器AC的訪問決策為隔離,則TNC客戶端、TNC接入點和 評估策略服務者EPS在訪問請求者AR的平臺修補完成後執行一個對訪問請求者AR的單向 平臺鑑別過程;若訪問請求者AR的訪問決策為隔離且訪問控制器AC的訪問決策為允許,則 TNC客戶端、TNC接入點和評估策略服務者EPS在訪問控制器AC的平臺修補完成後執行一 個對訪問控制器AC的單向平臺鑑別過程;若訪問請求者AR的訪問決策為隔離且訪問控制 器AC的訪問決策為隔離,則TNC客戶端、TNC接入點和評估策略服務者EPS在訪問請求者 AR的平臺修補和訪問控制器AC的平臺修補完成後一個雙向平臺鑑別過程;2. 1. 2. 2) TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對訪問控制器AC的 單向平臺鑑別協議;2. 2) TNC接入點向TNC客戶端發送本輪平臺鑑別協議的第五消息,其中本輪平臺鑑別 協議的第五消息中不包含訪問控制器AC的訪問決策;TNC客戶端收到本輪平臺鑑別協議的 第五消息後,若TNC客戶端生成訪問請求者AR的訪問決策,則執行步驟2. 2. 1);若TNC客 戶端沒有生成訪問請求者AR的訪問決策,則執行步驟2. 2. 2);2. 2. 1)若訪問請求者AR的訪問決策為禁止,則TNC客戶端向TNC接入點發送本輪平臺 鑑別協議的第六消息後斷開與訪問控制器AC的連接,其中本輪平臺鑑別協議的第六消息 包含訪問請求者AR的訪問決策;TNC接入點收到本輪平臺鑑別協議的第六消息後斷開與訪 問請求者AR的連接。若訪問請求者AR的訪問決策不為禁止,則執行步驟2. 2. 1.1);2. 2. 1. 1) TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對訪問請求者AR的 單向平臺鑑別協議,若TNC接入點在本輪平臺鑑別協議中生成訪問控制器AC的訪問決策, 則執行步驟2. 2. 1. 1. 1);若TNC接入點在本輪平臺鑑別協議中沒有生成訪問控制器AC的 訪問決策,則執行步驟2. 2. 1. 1. 2);2. 2. 1. 1. 1)若訪問控制器AC的訪問決策為禁止,則TNC接入點向TNC客戶端發送本 輪平臺鑑別協議的第五消息後斷開與訪問請求者AR的連接,其中本輪平臺鑑別協議的第 五消息包含訪問控制器AC的訪問決策;TNC客戶端收到本輪平臺鑑別協議的第五消息後斷 開與訪問控制器AC的連接;若訪問請求者AR的訪問決策為允許且訪問控制器AC的訪問決 策為允許,則表示可信網絡連接成功;若訪問請求者AR的訪問決策為允許且訪問控制器AC 的訪問決策為隔離,則TNC客戶端、TNC接入點和評估策略服務者EPS在訪問請求者AR的平臺修補完成後執行一個對訪問請求者AR的單向平臺鑑別過程;若訪問請求者AR的訪問 決策為隔離且訪問控制器AC的訪問決策為允許,則TNC客戶端、TNC接入點和評估策略服 務者EPS在訪問控制器AC的平臺修補完成後執行一個對訪問控制器AC的單向平臺鑑別過 程;若訪問請求者AR的訪問決策為隔離且訪問控制器AC的訪問決策為隔離,則TNC客戶 端、TNC接入點和評估策略服務者EPS在訪問請求者AR的平臺修補和訪問控制器AC的平 臺修補完成後執行一個雙向平臺鑑別過程;(2. 2. 1. 1. 2) TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對訪問請求者AR 的單向平臺鑑別協議;(2.2. 2) TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪雙向平臺鑑別協議。
4.根據權利要求2所述的適合可信連接架構的平臺鑑別過程管理方法,其特徵在於 所述步驟2、中平臺鑑別過程的種類是TNC客戶端、TNC接入點和評估策略服務者EPS需要 執行一個對訪問請求者AR的單向平臺鑑別過程時,所述步驟2、的具體實現方式是(3)TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對訪問請求者AR的單向平 臺鑑別協議,若TNC接入點在本輪平臺鑑別協議中生成訪問控制器AC的訪問決策,則執行 步驟3. 1);若TNC接入點在本輪平臺鑑別協議中沒有生成訪問控制器AC的訪問決策,則執 行步驟3. 2);(3.1)若訪問控制器AC的訪問決策為禁止,則TNC接入點向TNC客戶端發送本輪平臺鑑 別協議的第五消息後斷開與訪問請求者AR的連接,其中本輪平臺鑑別協議的第五消息包 含訪問控制器AC的訪問決策;TNC客戶端收到本輪平臺鑑別協議的第五消息後斷開與訪問 控制器AC的連接;若訪問控制器AC的訪問決策為允許,則表示可信網絡連接成功;若訪問控制器AC的訪問決策為隔離,則TNC客戶端、TNC接入點和評估策略服務者EPS 在訪問請求者AR的平臺修補完成後執行一個對訪問請求者AR的單向平臺鑑別過程;(3.2)TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對訪問請求者AR的單向 平臺鑑別協議。
5.根據權利要求2所述的適合可信連接架構的平臺鑑別過程管理方法,其特徵在於 所述步驟2、中平臺鑑別過程的種類是TNC客戶端、TNC接入點和評估策略服務者EPS需要 執行一個對訪問控制器AC的單向平臺鑑別過程時,所述步驟幻的具體實現方式是(4)TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對訪問控制器AC的單向平 臺鑑別協議,若TNC客戶端在本輪平臺鑑別協議中生成訪問請求者AR的訪問決策,則執行 步驟4. 1);若TNC客戶端在本輪平臺鑑別協議中沒有生成訪問請求者AR的訪問決策,則執 行步驟4. 2);(4.1)若訪問請求者AR的訪問決策為禁止,則TNC客戶端向TNC接入點發送本輪平臺鑑 別協議的第六消息後斷開與訪問控制器AC的連接,其中本輪平臺鑑別協議的第六消息包 含訪問請求者AR的訪問決策;TNC接入點收到本輪平臺鑑別協議的第六消息後斷開與訪問 請求者AR的連接;若訪問請求者AR的訪問決策為允許,則表示可信網絡連接成功;若訪問請求者AR的訪問決策為隔離,則TNC客戶端、TNC接入點和評估策略服務者EPS 在訪問控制器AC的平臺修補完成後執行一個對訪問請求者AR的單向平臺鑑別過程;·4. 2)TNC客戶端、TNC接入點和評估策略服務者EPS執行一輪對訪問請求者AR的單向 平臺鑑別協議。
全文摘要
本發明涉及一種適合可信連接架構的平臺鑑別過程管理方法,該方法包括以下步驟1)網絡訪問控制者向TNC接入點發送的平臺鑑別請求;2)TNC接入點收到網絡訪問控制者發送的平臺鑑別請求後基於平臺鑑別過程的種類對平臺鑑別過程進行管理。本發明提供了一種安全性更高的適合可信連接架構的平臺鑑別過程管理方法。
文檔編號H04L29/06GK102065086SQ20101059666
公開日2011年5月18日 申請日期2010年12月20日 優先權日2010年12月20日
發明者張國強, 曹軍, 王珂, 肖躍雷 申請人:西安西電捷通無線網絡通信股份有限公司

同类文章

一種新型多功能組合攝影箱的製作方法

一種新型多功能組合攝影箱的製作方法【專利摘要】本實用新型公開了一種新型多功能組合攝影箱,包括敞開式箱體和前攝影蓋,在箱體頂部設有移動式光源盒,在箱體底部設有LED脫影板,LED脫影板放置在底板上;移動式光源盒包括上蓋,上蓋內設有光源,上蓋部設有磨沙透光片,磨沙透光片將光源封閉在上蓋內;所述LED脫影

壓縮模式圖樣重疊檢測方法與裝置與流程

本發明涉及通信領域,特別涉及一種壓縮模式圖樣重疊檢測方法與裝置。背景技術:在寬帶碼分多址(WCDMA,WidebandCodeDivisionMultipleAccess)系統頻分復用(FDD,FrequencyDivisionDuplex)模式下,為了進行異頻硬切換、FDD到時分復用(TDD,Ti

個性化檯曆的製作方法

專利名稱::個性化檯曆的製作方法技術領域::本實用新型涉及一種檯曆,尤其涉及一種既顯示月曆、又能插入照片的個性化檯曆,屬於生活文化藝術用品領域。背景技術::公知的立式檯曆每頁皆由月曆和畫面兩部分構成,這兩部分都是事先印刷好,固定而不能更換的。畫面或為風景,或為模特、明星。功能單一局限性較大。特別是畫

一種實現縮放的視頻解碼方法

專利名稱:一種實現縮放的視頻解碼方法技術領域:本發明涉及視頻信號處理領域,特別是一種實現縮放的視頻解碼方法。背景技術: Mpeg標準是由運動圖像專家組(Moving Picture Expert Group,MPEG)開發的用於視頻和音頻壓縮的一系列演進的標準。按照Mpeg標準,視頻圖像壓縮編碼後包

基於加熱模壓的纖維增強PBT複合材料成型工藝的製作方法

本發明涉及一種基於加熱模壓的纖維增強pbt複合材料成型工藝。背景技術:熱塑性複合材料與傳統熱固性複合材料相比其具有較好的韌性和抗衝擊性能,此外其還具有可回收利用等優點。熱塑性塑料在液態時流動能力差,使得其與纖維結合浸潤困難。環狀對苯二甲酸丁二醇酯(cbt)是一種環狀預聚物,該材料力學性能差不適合做纖

一種pe滾塑儲槽的製作方法

專利名稱:一種pe滾塑儲槽的製作方法技術領域:一種PE滾塑儲槽一、 技術領域 本實用新型涉及一種PE滾塑儲槽,主要用於化工、染料、醫藥、農藥、冶金、稀土、機械、電子、電力、環保、紡織、釀造、釀造、食品、給水、排水等行業儲存液體使用。二、 背景技術 目前,化工液體耐腐蝕貯運設備,普遍使用傳統的玻璃鋼容

釘的製作方法

專利名稱:釘的製作方法技術領域:本實用新型涉及一種釘,尤其涉及一種可提供方便拔除的鐵(鋼)釘。背景技術:考慮到廢木材回收後再加工利用作業的方便性與安全性,根據環保規定,廢木材的回收是必須將釘於廢木材上的鐵(鋼)釘拔除。如圖1、圖2所示,目前用以釘入木材的鐵(鋼)釘10主要是在一釘體11的一端形成一尖

直流氧噴裝置的製作方法

專利名稱:直流氧噴裝置的製作方法技術領域:本實用新型涉及ー種醫療器械,具體地說是ー種直流氧噴裝置。背景技術:臨床上的放療過程極易造成患者的局部皮膚損傷和炎症,被稱為「放射性皮炎」。目前對於放射性皮炎的主要治療措施是塗抹藥膏,而放射性皮炎患者多伴有局部疼痛,對於止痛,多是通過ロ服或靜脈注射進行止痛治療

新型熱網閥門操作手輪的製作方法

專利名稱:新型熱網閥門操作手輪的製作方法技術領域:新型熱網閥門操作手輪技術領域:本實用新型涉及一種新型熱網閥門操作手輪,屬於機械領域。背景技術::閥門作為流體控制裝置應用廣泛,手輪傳動的閥門使用比例佔90%以上。國家標準中提及手輪所起作用為傳動功能,不作為閥門的運輸、起吊裝置,不承受軸向力。現有閥門

用來自動讀取管狀容器所載識別碼的裝置的製作方法

專利名稱:用來自動讀取管狀容器所載識別碼的裝置的製作方法背景技術:1-本發明所屬領域本發明涉及一種用來自動讀取管狀容器所載識別碼的裝置,其中的管狀容器被放在循環於配送鏈上的文檔匣或託架裝置中。本發明特別適用於,然而並非僅僅專用於,對引入自動分析系統的血液樣本試管之類的自動識別。本發明還涉及專為實現讀