一种三元对等鉴别可信网络连接架构的实现方法

摘要

本发明涉及一种三元对等鉴别可信网络连接架构的实现方法，该方法包括以下步骤：1)通过定义接口建立三元对等鉴别可信网络连接架构；2)实现三元对等鉴别可信网络连接架构的可信网络连接；本发明提供了一种建立终端可信、实现终端的可信网络连接、实现终端间的可信认证和实现对终端的可信管理的适合三元对等鉴别可信网络连接架构的实现方法。

主权项

1、一种三元对等鉴别可信网络连接架构的实现方法，其特征在于：该方法包括以下步骤：1)通过定义接口建立三元对等鉴别可信网络连接架构，其实现方式是：1.1)IF-TNT的实现：IF-TNT通过用户鉴别协议来实现网络访问请求者和访问控制器之间的用户鉴别；通过网络传输协议来实现访问请求者和访问控制器在TNC过程中的数据传输；通过访问控制协议来实现访问请求者和访问控制器之间的访问控制；1.2)IF-APS的实现：IF-APS通过用户鉴别协议来实现网络访问请求者和访问控制器之间的用户鉴别；通过网络传输协议来实现访问请求者和访问控制器在TNC过程中的数据传输；1.3)IF-TNCCAP的实现：IF-TNCCAP通过网络连接管理机制来实现TNC客户端和TNC接入点之问的网络连接管理；通过平台鉴别协议来实现访问请求者和访问控制器之间的平台鉴别；通过平台鉴别协议管理机制来实现对平台鉴别过程中平台鉴别协议的管理；通过对完整性度量层消息的封装机制米实现完整性度量层消息的路由；1.4)IF-EPS的实现：IF-EPS通过平台鉴别协议来实现访问请求者和访问控制器之间的平台鉴别；通过对完整性度量层消息的封装机制来实现完整性度量层消息的路由；通过评估策略动态分发机制来实现对访问请求者的评估策略的动态分发；1.5)IF-IMC的实现：包括访问请求者中IF-IMC的具体实现和访问控制器中IF-IMC的具体实现，其中访问请求者中的IF-IMC和访问控制器中的IF-IMC通过定义功能函数来实现完整性握手；1.6)IF-IMV的实现：IF-IMV通过定义功能函数来实现完整性握手；1.7)IF-IM的实现：IF-IM通过利用IMC和IMV之间所传输消息的封装方法来实现IMC和IMV之间的互通；2)实现三元对等鉴别可信网络连接架构的可信网络连接，其步骤是：2.1)网络访问请求者向网络访问控制者发送网络访问请求；2.2)网络访问请求者、网络访问控制者和鉴别策略服务者执行IF-TNT和IF-APS中定义的用户鉴别协议，其中用户鉴别协议数据是利用IF-TNT和IF-APS中定义的网络传输协议进行传输；用户鉴别协议完成后，若网络访问控制者要求立即做出访问决策，则网络访问控制者根据用户鉴别结果做出访问决策并利用IF-TNT中定义的访问控制协议执行访问控制，否则向TNC接入点发送平台鉴别请求；若网络访问请求者要求立即做出访问决策，则网络访问请求者根据用户鉴别结果做出访问决策并利用IF-TNT中定义的访问控制协议执行访问控制，否则向TNC客户端发送平台鉴别请求；2.3)当TNC接入点收到网络访问控制者发送的平台鉴别请求时，若TNC接入点通过向评估策略服务者请求对访问请求者的评估策略，则利用IF-EPS中定义的评估策略动态分发机制进行该评估策略请求；2.4)当TNC接入点收到网络访问控制者发送的平台鉴别请求时，TNC接入点利用IF-TNCCAP中定义的平台鉴别协议启动平台鉴别过程；当TNC客户端收到网络访问请求者发送的平台鉴别请求时，若TNC接入点没有收到网络访问控制者发送的平台鉴别请求，则TNC客户端利用IF-TNCCAP中定义的平台鉴别协议启动平台鉴别过程；访问请求者、访问控制器和评估策略服务者执行平台鉴别过程；2.5)平台修补完成后，访问请求者中的IMC或访问控制器中的IMC利用访问请求者中的IF-IMC或访问控制器中的IF-IMC中定义的功能函数向TNC客户端或TNC接入点请求重新执行平台鉴别过程，或者评估策略发生了改变而要求重新执行平台鉴别过程，则根据网络连接状态和本地安全策略跳至步骤2.1)、步骤2.2)或步骤2.3)。