一种适合三元对等鉴别可信网络连接架构的平台鉴别管理方法

摘要

本发明涉及一种适合三元对等鉴别可信网络连接架构的平台鉴别管理方法，通过该方法的TNC客户端和TNC接入点管理各自创建的网络连接，以及TNC客户端和TNC接入点管理平台鉴别过程，而评估策略服务者不参与网络连接管理，仅需标识每一轮平台鉴别协议或每一次平台鉴别过程，有利于评估策略服务者的独立实现，具有较好的可扩展性和集中管理性；本发明的平台鉴别过程可以采用一轮平台鉴别协议完成，也可以采用多轮平台鉴别协议完成，可满足不同网络设备的应用需求。

主权项

1、一种适合三元对等鉴别可信网络连接架构的平台鉴别管理方法，其特征在于：该方法包括以下步骤：1)在进行可信网络连接之前，TNC客户端发现、加载和初始化访问请求者中的IMC，TNC接入点发现、加载和初始化访问控制器中的IMC，而评估策略服务者发现、加载和初始化策略管理器中的IMV；2)若访问请求者需要评估访问控制器的平台完整性，则网络访问请求者向TNC客户端发送平台鉴别请求；若访问控制器需要评估访问请求者的平台完整性，则网络访问控制者向TNC接入点发送平台鉴别请求；3)访问请求者中的IMC、TNC客户端、访问控制器中的IMC、TNC接入点、策略管理器中的IMV和评估策略服务者执行平台鉴别过程，平台鉴别过程中包括平台鉴别协议的管理方法，其具体方法如下：3.1)TNC客户端、TNC接入点和评估策略服务者执行平台鉴别协议，在该平台鉴别协议中，若访问控制器需要评估访问请求者的平台完整性，则TNC接入点首先向TNC客户端发送对访问请求者的完整性度量参数，然后获得实际已完成度量的对访问请求者的完整性度量参数，若访问请求者需要评估访问控制器的平台完整性，则TNC客户端首先向TNC接入点发送对访问控制器的完整性度量参数，然后获得实际已完成度量的对访问控制器的完整性度量参数；3.2)TNC接入点验证对访问请求者的完整性度量参数与实际已完成度量的对访问请求者的完整性度量参数是否相同，而TNC客户端验证对访问控制器的完整性度量参数与实际已完成度量的对访问控制器的完整性度量参数是否相同；若两者都为相同，则TNC接入点生成对访问请求者的行为推荐并在本轮平台鉴别协议中发送给TNC客户端，而TNC客户端生成对访问控制器的行为推荐并在本轮平台鉴别协议中发送给TNC接入点；若前者为相同而后者为不相同，TNC接入点生成对访问请求者的行为推荐并在本轮平台鉴别协议中发送给TNC客户端，然后将本轮平台鉴别协议中对访问控制器的完整性度量参数与实际已完成度量的对访问控制器的完整性度量参数之间的差值作为下一轮平台鉴别协议中对访问控制器的完整性度量参数，最后跳至步骤3.1)；若前者为不相同而后者为相同，则TNC客户端生成对访问控制器的行为推荐并在本轮平台鉴别协议中发送给TNC接入点，然后将本轮平台鉴别协议中对访问请求者的完整性度量参数与实际已完成度量的对访问请求者的完整性度量参数之间的差值作为下一轮平台鉴别协议中对访问请求者的完整性度量参数，最后跳至步骤3.1)；若两者都为不相同，则将本轮平台鉴别协议中对访问请求者的完整性度量参数与实际已完成度量的对访问请求者的完整性度量参数之间的差值作为下一轮平台鉴别协议中对访问请求者的完整性度量参数，将本轮平台鉴别协议中对访问控制器的完整性度量参数与实际已完成度量的对访问控制器的完整性度量参数之间的差值作为下一轮平台鉴别协议中对访问控制器的完整性度量参数，然后跳至步骤3.1)；4)平台鉴别过程完成后，TNC客户端将访问控制器的行为推荐发送给网络访问请求者，而TNC接入点将访问请求者的行为推荐发送给网络访问控制者；5)若评估策略发生改变或平台修补完成，则跳至步骤3)。