| 发明名称 | 一种适合可信连接架构的平台鉴别过程管理方法 | ||
| 摘要 | 本发明涉及一种适合可信连接架构的平台鉴别过程管理方法,该方法包括以下步骤:1)网络访问控制者向TNC接入点发送的平台鉴别请求;2)TNC接入点收到网络访问控制者发送的平台鉴别请求后基于平台鉴别过程的种类对平台鉴别过程进行管理。本发明提供了一种安全性更高的适合可信连接架构的平台鉴别过程管理方法。 | ||
| 申请公布号 | CN102065086B | 申请公布日期 | 2013.01.16 |
| 申请号 | CN201010596664.0 | 申请日期 | 2010.12.20 |
| 申请人 | 西安西电捷通无线网络通信股份有限公司 | 发明人 | 肖跃雷;曹军;王珂;张国强 |
| 分类号 | H04L29/06(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 西安智邦专利商标代理有限公司 61211 | 代理人 | 商宇科 |
| 主权项 | 一种适合可信连接架构的平台鉴别过程管理方法,其特征在于:所述方法包括以下步骤:1)网络访问控制者向可信网络连接(Trusted Network Connect,TNC)接入点发送平台鉴别请求;2)TNC接入点收到网络访问控制者发送的平台鉴别请求后基于平台鉴别过程的种类对平台鉴别过程进行管理,所述平台鉴别过程的种类是:TNC客户端、TNC接入点和评估策略服务者EPS需要执行一轮双向平台鉴别过程,或TNC客户端、TNC接入点和评估策略服务者EPS需要执行一个对访问请求者AR的单向平台鉴别过程,或TNC客户端、TNC接入点和评估策略服务者EPS需要执行一个对访问控制器AC的单向平台鉴别过程;当平台鉴别过程的种类是TNC客户端、TNC接入点和评估策略服务者EPS需要执行一轮双向平台鉴别过程时,TNC接入点收到网络访问控制者发送的平台鉴别请求后基于平台鉴别过程的种类对平台鉴别过程进行管理的具体实现方式是:TNC客户端、TNC接入点和评估策略服务者EPS执行一轮双向平台鉴别协议,若TNC接入点在本轮平台鉴别协议中生成访问控制器AC的访问决策,则执行步骤2.1);若TNC接入点在本轮平台鉴别协议中没有生成访问控制器AC的访问决策,则步骤2.2);2.1)若访问控制器AC的访问决策为禁止,则TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息后断开与访问请求者AR的连接,其中本轮平台鉴别协议的第五消息包含访问控制器AC的访问决策;TNC客户端收到本轮平台鉴别协议的第五消息后断开与访问控制器AC的连接;若访问控制器AC的访问决策不为禁止,则TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息;TNC客户端收到本轮平台鉴别协议的第五消息后,若TNC客户端生成访问请求者AR的访问决策,则执行步骤2.1.1);若TNC客户端没有生成访问请求者AR的访问决策,则执行步骤2.1.2);2.1.1)若访问请求者AR的访问决策为禁止,则TNC客户端向TNC接入点发 送本轮平台鉴别协议的第六消息后断开与访问控制器AC的连接,其中本轮平台鉴别协议的第六消息包含访问请求者AR的访问决策;TNC接入点收到本轮平台鉴别协议的第六消息后断开与访问请求者AR的连接;若访问请求者AR的访问决策不为禁止,则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息;TNC接入点收到本轮平台鉴别协议的第六消息后,若访问请求者AR的访问决策为允许且访问控制器AC的访问决策为允许,则表示可信网络连接成功;若访问请求者AR的访问决策为允许且访问控制器AC的访问决策为隔离,则TNC客户端、TNC接入点和评估策略服务者EPS在访问请求者AR的平台修补完成后执行一个对访问请求者AR的单向平台鉴别过程;若访问请求者AR的访问决策为隔离且访问控制器AC的访问决策为允许,则TNC客户端、TNC接入点和评估策略服务者EPS在访问控制器AC的平台修补完成后执行一个对访问控制器AC的单向平台鉴别过程;若访问请求者AR的访问决策为隔离且访问控制器AC的访问决策为隔离,则TNC客户端、TNC接入点和评估策略服务者EPS在访问请求者AR的平台修补和访问控制器AC的平台修补完成后执行一个双向平台鉴别过程;2.1.2)TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问控制器AC的单向平台鉴别协议,若TNC客户端在本轮平台鉴别协议中生成访问请求者AR的访问决策,则执行步骤2.1.2.1);若TNC客户端在本轮平台鉴别协议中没有生成访问请求者AR的访问决策,则执行步骤2.1.2.2);2.1.2.1)若访问请求者AR的访问决策为禁止,则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息后断开与访问控制器AC的连接,其中本轮平台鉴别协议的第六消息包含访问请求者AR的访问决策;TNC接入点收到本轮平台鉴别协议的第六消息后断开与访问请求者AR的连接;若访问请求者AR的访问决策不为禁止,则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息;TNC接入点收到本轮平台鉴别协议的第六消息后,若访问请求者AR的访问决策为允许且访问控制器AC的访问决策为允许,则表示可信网络连接成功;若访问请求者AR的访问决策为允许且访问控制器AC的访问决策为隔离,则TNC客户端、TNC接入点和评估策略服务者EPS在访问请求者 AR的平台修补完成后执行一个对访问请求者AR的单向平台鉴别过程;若访问请求者AR的访问决策为隔离且访问控制器AC的访问决策为允许,则TNC客户端、TNC接入点和评估策略服务者EPS在访问控制器AC的平台修补完成后执行一个对访问控制器AC的单向平台鉴别过程;若访问请求者AR的访问决策为隔离且访问控制器AC的访问决策为隔离,则TNC客户端、TNC接入点和评估策略服务者EPS在访问请求者AR的平台修补和访问控制器AC的平台修补完成后一个双向平台鉴别过程;2.1.2.2)TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问控制器AC的单向平台鉴别协议;2.2)TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息,其中本轮平台鉴别协议的第五消息中不包含访问控制器AC的访问决策;TNC客户端收到本轮平台鉴别协议的第五消息后,若TNC客户端生成访问请求者AR的访问决策,则执行步骤2.2.1);若TNC客户端没有生成访问请求者AR的访问决策,则执行步骤2.2.2);2.2.1)若访问请求者AR的访问决策为禁止,则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息后断开与访问控制器AC的连接,其中本轮平台鉴别协议的第六消息包含访问请求者AR的访问决策;TNC接入点收到本轮平台鉴别协议的第六消息后断开与访问请求者AR的连接,若访问请求者AR的访问决策不为禁止,则执行步骤2.2.1.1);2.2.1.1)TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问请求者AR的单向平台鉴别协议,若TNC接入点在本轮平台鉴别协议中生成访问控制器AC的访问决策,则执行步骤2.2.1.1.1);若TNC接入点在本轮平台鉴别协议中没有生成访问控制器AC的访问决策,则执行步骤2.2.1.1.2);2.2.1.1.1)若访问控制器AC的访问决策为禁止,则TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息后断开与访问请求者AR的连接,其中本轮平台鉴别协议的第五消息包含访问控制器AC的访问决策;TNC客户端收到本轮平台鉴别协议的第五消息后断开与访问控制器AC的连接;若访问请求者AR的访问决策为允许且访问控制器AC的访问决策为允许,则表示可信网络连接成功;若 访问请求者AR的访问决策为允许且访问控制器AC的访问决策为隔离,则TNC客户端、TNC接入点和评估策略服务者EPS在访问请求者AR的平台修补完成后执行一个对访问请求者AR的单向平台鉴别过程;若访问请求者AR的访问决策为隔离且访问控制器AC的访问决策为允许,则TNC客户端、TNC接入点和评估策略服务者EPS在访问控制器AC的平台修补完成后执行一个对访问控制器AC的单向平台鉴别过程;若访问请求者AR的访问决策为隔离且访问控制器AC的访问决策为隔离,则TNC客户端、TNC接入点和评估策略服务者EPS在访问请求者AR的平台修补和访问控制器AC的平台修补完成后执行一个双向平台鉴别过程;2.2.1.1.2)TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问请求者AR的单向平台鉴别协议;2.2.2)TNC客户端、TNC接入点和评估策略服务者EPS执行一轮双向平台鉴别协议;当平台鉴别过程的种类是TNC客户端、TNC接入点和评估策略服务者EPS需要执行一个对访问请求者AR的单向平台鉴别过程时,TNC接入点收到网络访问控制者发送的平台鉴别请求后基于平台鉴别过程的种类对平台鉴别过程进行管理的具体实现方式是:3)TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问请求者AR的单向平台鉴别协议,若TNC接入点在本轮平台鉴别协议中生成访问控制器AC的访问决策,则执行步骤3.1);若TNC接入点在本轮平台鉴别协议中没有生成访问控制器AC的访问决策,则执行步骤3.2);3.1)若访问控制器AC的访问决策为禁止,则TNC接入点向TNC客户端发送本轮平台鉴别协议的第五消息后断开与访问请求者AR的连接,其中本轮平台鉴别协议的第五消息包含访问控制器AC的访问决策;TNC客户端收到本轮平台鉴别协议的第五消息后断开与访问控制器AC的连接;若访问控制器AC的访问决策为允许,则表示可信网络连接成功;若访问控制器AC的访问决策为隔离,则TNC客户端、TNC接入点和评估策略服务者EPS在访问请求者AR的平台修补完成后执行一个对访问请求者AR的单向平台鉴别过程; 3.2)TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问请求者AR的单向平台鉴别协议;当平台鉴别过程的种类是TNC客户端、TNC接入点和评估策略服务者EPS需要执行一个对访问控制器AC的单向平台鉴别过程时,TNC接入点收到网络访问控制者发送的平台鉴别请求后基于平台鉴别过程的种类对平台鉴别过程进行管理的具体实现方式是:4)TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问控制器AC的单向平台鉴别协议,若TNC客户端在本轮平台鉴别协议中生成访问请求者AR的访问决策,则执行步骤4.1);若TNC客户端在本轮平台鉴别协议中没有生成访问请求者AR的访问决策,则执行步骤4.2);4.1)若访问请求者AR的访问决策为禁止,则TNC客户端向TNC接入点发送本轮平台鉴别协议的第六消息后断开与访问控制器AC的连接,其中本轮平台鉴别协议的第六消息包含访问请求者AR的访问决策;TNC接入点收到本轮平台鉴别协议的第六消息后断开与访问请求者AR的连接;若访问请求者AR的访问决策为允许,则表示可信网络连接成功;若访问请求者AR的访问决策为隔离,则TNC客户端、TNC接入点和评估策略服务者EPS在访问控制器AC的平台修补完成后执行一个对访问控制器AC的单向平台鉴别过程;4.2)TNC客户端、TNC接入点和评估策略服务者EPS执行一轮对访问控制器AC的单向平台鉴别协议。 | ||
| 地址 | 710075 陕西省西安市高新区科技二路68号西安软件园秦风阁A201 | ||