CN102215211B - 通信方法、支持可信网络接入的安全策略协商方法及系统 - Google Patents
通信方法、支持可信网络接入的安全策略协商方法及系统 Download PDFInfo
- Publication number
- CN102215211B CN102215211B CN201010142686.XA CN201010142686A CN102215211B CN 102215211 B CN102215211 B CN 102215211B CN 201010142686 A CN201010142686 A CN 201010142686A CN 102215211 B CN102215211 B CN 102215211B
- Authority
- CN
- China
- Prior art keywords
- network
- tnc
- access
- security
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种通信方法、支持可信网络接入的安全策略协商方法及系统,所述通信方法用于可信网络接入(TNC)网络和为非可信网络接入网络的本地网络的通信,该通信方法包括:所述本地网络支持跨域协同可信网络接入(IF-FTNC)接口;所述TNC网络请求访问所述本地网络的通信实体时,所述本地网络通过所述IF-FTNC接口同所述TNC网络进行策略协商,若所述策略协商的协商结果为允许通信,则所述TNC网络直接与所述本地网络进行通信。本发明解决了异构跨域安全策略协商及通信问题,实现了非可信网络与TNC网络的策略交互及通信。
Description
技术领域
本发明涉及到通信技术领域,特别涉及一种通信方法、支持可信网络接入的安全策略协商方法及系统。
背景技术
融合是网络发展的趋势,而基于安全策略的方案是未来网络安全管理的必然选择。随着网络融合的发展,业务多样性、设备复杂性,使得整个网络的安全也越来越复杂。因此繁杂的人工配置已经不能满足网络发展的需求,基于安全策略的解决方案能够提供效率优化、安全统一和操作便利的网络安全管理手段。
统一安全策略框架的目的是基于策略对整网的安全设备实现统一管理、并从策略层面上实现安全设备的协同工作,达到网络安全资源最优化。为融合环境中各种安全系统/设备之间安全策略的交互提供一个统一的,标准的平台。
可信网络接入(TrustedNetworkConnect,简称为TNC)是网络接入控制的一种实现方式,是可信计算技术与网络接入控制机制的结合,不仅实现接入认证,而且要评估接入节点的安全状态,这不同于一般的网络安全策略。TNC应用目前局限在企业内部网络,难以提供分布式、多层次、电信级、跨网络域的网络访问控制架构。TNCV1.3架构规范增加了可信网络接入协议IF-MAP(InterfaceforMetadataAccessPoint,元数据访问点接口),使得TNC架构具有安全信息共享和动态策略调整功能。2009年5月,TNC发布了TNC1.4版本的架构规范,增加了IF-T:BindingtoTLS(TLS绑定)、FederatedTNC(协同TNC)和ClientlessEndpointSupportProfile(无客户端支持规范)三个规范,用于支持跨域场景和无TNC客户端的场景,在一定程度上改善了应用的局限性。
由于TNC在网络接入控制方面的特殊性和异构跨域操作的局限性,在存在可信网络的环境中,为了统一安全策略,实现跨域、异构端到端的安全通信,需要TNC网络同本地网络进行策略交互,保障端到端通信的安全。
目前,已有技术中尚未提出统一安全策略框架与现有TNC网络之间的策略交互及通信方案,无法实现异构跨域安全策略交互和端到端安全通信。
发明内容
本发明要解决的一个技术问题是提供一种通信方法,实现非可信网络与TNC网络的策略交互及通信。
为了解决上述问题,本发明提供了一种通信方法,其特征在于,用于可信网络接入(TNC)网络和为非可信网络接入网络的本地网络的通信,该方法包括:
所述本地网络支持跨域协同可信网络接入(IF-FTNC)接口;
所述TNC网络请求访问所述本地网络的通信实体时,所述本地网络通过所述IF-FTNC接口同所述TNC网络进行策略协商,若所述策略协商的协商结果为允许通信,则所述TNC网络直接与所述本地网络进行通信。
进一步地,所述TNC网络的接入请求者(AR)请求访问所述本地网络的通信实体。
进一步地,所述AR访问所述本地网络的通信实体的具体过程为:
所述TNC网络的策略执行点(PEP)收到所述AR发起的访问请求后,在本地查询相应的安全策略,或者向所述本地网络的策略决策点(PDP)发起网络访问决策请求;并根据查询到的安全策略或所述PDP返回的网络访问决策,将该访问请求转发给所述本地网络的控制实体或者拒绝该访问请求;
所述控制实体接收到所述PEP转发的访问请求后,如果在本地查询到相应的安全策略,则根据查询到的安全策略将该访问请求转发给所述通信实体或拒绝该访问请求;如果在本地没有查询到相应的安全策略,则向所述本地网络的策略服务器发起查询请求,所述策略服务器在本地查询相应的安全策略或者与所述PDP进行策略协商,并向所述控制实体返回安全策略决策,所述控制实体根据所述策略服务器返回的安全策略决策将该访问请求转发给所述通信实体或拒绝该访问请求。
本发明要解决的另一技术问题是提供一种支持可信网络接入的安全策略协商方法和系统,解决包含可信网络环境的异构跨域安全策略协商问题。
为了解决上述问题,本发明提供了一种支持可信网络接入的安全策略协商方法,支持IF-FTNC接口的非可信网络接入网络的本地网络与TNC网络通过所述IF-FTNC接口实现安全策略协商,所述方法包括:
所述本地网络的通信实体请求访问所述TNC网络时,所述TNC网络对所述通信实体进行安全状态评估,若评估通过,则允许所述本地网络的通信实体访问所述TNC网络。
进一步地,若所述评估未通过,则所述TNC网络对所述本地网络的通信实体的访问权限进行限制。
进一步地,所述TNC网络的PDP对所述通信实体进行安全状态评估,所述通信实体支持配置或执行TNC客户端的能力。
进一步地,若所述通信实体不支持配置或执行TNC客户端的能力,且所述TNC网络中存在元数据访问点MAP,则所述TNC网络根据所述MAP提供的安全信息关联分析结果,对所述通信实体的访问请求进行决策。
本发明还提供了一种支持可信网络接入的安全策略协商系统,包括非TNC网络的本地网络、IF-FTNC接口和TNC网络,其中,所述本地网络中进一步包括:控制实体、策略服务器和通信实体,所述TNC网络中进一步包括:AR、MAP、PDP和PEP,其中:
所述通信实体用于,向所述TNC网络的AR发起访问请求;
所述控制实体用于,接收到所述通信实体发起的访问请求后,在本地查询或者向所述策略服务器查询是否有相应的安全策略,如果查询到,则将收到的所述访问请求转发给所述PEP;
所述策略服务器用于,收到所述控制实体发起的查询请求后,返回相应的安全策略;以及,收到所述PDP的安全策略协商请求消息后,与所述PDP进行安全策略的协商,并向所述PDP返回安全策略协商应答消息;
所述MAP用于,收集和关联所述TNC网络的安全信息;
所述PEP用于,收到所述控制实体转发的访问请求后,在本地查询或者向所述PDP查询是否有相应的安全策略,如果查询到,则将所述安全策略转发给所述AR;以及,执行所述PDP下发的安全策略;
所述PDP用于,收到所述PEP发起的查询请求后,如果在本地查询到相应的安全策略,则将查询到的安全策略返回给所述PEP;如果在本地没有查询到相应的安全策略,则向所述策略服务器发送安全策略协商请求消息,并根据所述策略服务器返回的安全策略协商应答消息向所述PEP下发安全策略。
进一步地,所述PDP还用于,收到所述PEP发起的查询请求后,对发起所述访问请求的通信实体进行安全状态评估,如果评估通过,则允许所述本地网络的通信实体访问所述TNC网络;如果评估未通过,则对所述本地网络的通信实体的访问权限进行限制。
进一步地,所述MAP还用于,对所述TNC网络的安全信息进行关联分析,并将分析结果提供给所述PDP;
所述PDP还用于,如果发起所述访问请求的通信实体不具备支持配置或执行TNC客户端的能力,则根据所述MAP提供的安全信息关联分析结果,对所述通信实体的访问请求进行决策。
针对现有技术中存在的异构跨域安全策略协商及通信问题,本发明提供了TNC网络与本地网络的安全策略协商和通信的接口及流程,实现了TNC网络与本地网络之间的策略交互与通信,保证端到端通信的安全。
附图说明
图1为本发明实施例的支持可信网络接入的安全策略协商系统示意图;
图2为本发明实施例的支持可信网络接入的安全策略协商方法示意图;
图3为本发明实施例的TNC网络侧发起访问请求的安全策略协商与执行流程示意图;
图4为本发明实施例的本地网络侧发起访问请求的安全策略协商与执行流程示意图;
图5为本发明实施例的包含MAP网元的安全策略协商与执行流程示意图。
具体实施方式
本发明的一个目的是,提供一种本地网络(下文中,除特别说明外,本地网络均指非可信网络)与可信网络通信的方法,实现跨域、异构端到端的安全通信,保障端到端通信的安全。
为实现上述目的,本发明采用如下技术方案:
在本地网络支持TCG(TrustedComputingGroup,可信计算组织)发布的跨域协同可信网络接入IF-FTNC(FederatedTNC)接口;
通过所述IF-FTNC接口实现TNC网络与本地网络的策略协商。
其中,如果本地网络支持该IF-FTNC接口,则TNC网络可以直接访问本地网络,在进行通信之前,先通过所述IF-FTNC接口与本地网络进行策略协商。
如果本地网络的通信实体请求访问TNC网络,则TNC网络需要对本地网络的通信实体进行安全状态评估,如果评估通过,则允许所述本地网络的通信实体访问TNC网络;如果评估未通过,则所述TNC网络将对所述本地网络的通信实体的访问权限进行限制。
其中,所述本地网络的通信实体不具备支持配置或执行TNC客户端的能力,是所述评估未通过的原因之一。
进一步地,在本地网络的通信实体不具备支持TNC客户端的能力的情况下,如果TNC网络中存在元数据访问点(MetadataAccessPoint,简称为MAP),则TNC网络根据MAP收集和关联的信息对本地网络的访问请求进行决策,决定是否允许本地网络访问;如果本地网络不具备支持TNC客户端的能力,且TNC网络中也不存在MAP,则将对本地网络的通信实体的访问权限进行限制。
本发明的另一目的是提供一种支持存在可信网络接入情况下,异构跨域安全策略协商的解决方案,主要解决包含可信网络环境的异构跨域安全策略协商问题,涉及可信网络和本地网络之间的安全策略协商的接口和流程。
为实现这一目的,本发明实施例提供的支持可信网络接入的安全策略协商系统主要包括TNC网络和其它安全策略网络,如图1所示,本地网络与现有TNC网络之间的策略交互接口使用IF-FTNC,此外还可能用到TCG定义的其它可信网络接入接口。
其中,TNC网络主要包括以下网元:
接入请求者(AccessRequestor,简称为AR),主要包括三个组件:NAR(NetworkAccessRequestor,网络接入请求方)是为了建立网络接入的组件;TNCC(TNCClient,TNC客户端)是运行在AR上的软件组件,负责从IMC(IntegrityMeasurementCollectors,完整性测量收集器)收集完整性测量,组织本地平台的报告和IMC评估(完整性校验握手);IMC是运行在AR上的软件组件,负责测量AR的完整性方面的安全。
策略实施点(PolicyEnforcementPoint,简称PEP),是控制接入一个受保护网络的组件。PEP同PDP协商来决定这个接入是否应该授权。
策略决策点(PolicyDecisionPoint,简称PDP),主要包括三个组件:TNCS(TNCServer,TNC服务器)是管理IMVs和IMCs之间消息流量的组件;NAA(NetworkAccessAuthority,网络接入鉴权)是用来决定一个AR是否应该被授权接入的组件;IMV(IntegrityMeasurementVerifiers,完整性测量验证器)是一个基于从IMCs或其他数据中获得的评估来验证AR完整性的组件。
MAP,主要包括服务器和客户端,用于TNC网络中的安全信息的收集、关联和发布,实现安全信息共享。
其它安全策略网络主要包括以下网元:
策略服务器,主要用于执行安全策略的生成、决策和分发等。
控制实体,是控制通信实体接入的组件,主要任务是执行策略服务器下发的策略。
通信实体,本地网络中的通信终端。
由于TNC网络安全策略不同于其它网络的安全策略,TNC网络既评估终端安全状态,又认证用户身份。因此TNC网络中节点同其它网络节点进行通信,需要先进行安全策略协商。如图2所示,TNC网络与其他非可信网络之间主要有三种通信类型:策略流、数据流和评估流。TNC网络同其它类型网络之间通过IF-FTNC接口协商安全策略;数据流受策略协商结果的影响;当本地网络通信实体请求接入TNC网络时,TNC网络按照无TNC客户端接入规范进行策略协商,但为了增加安全性,可以选择执行通信实体安全状态的评估流程。
图3示出了本发明实施例的可信网络侧发起访问请求的安全策略协商流程的示意图,本实施例中,TNC网络的节点AR发起访问本地网络中通信实体的请求。如果本地没有相应的安全策略,则AR要经过TNC网络可信接入认证评估,并基于PDP同本地网络策略服务器之间的策略协商,才能够访问通信实体。
如图3所示,该流程具体步骤描述如下:
步骤101,当TNCAR需要访问本地网络中的通信实体时,AR发送一个访问请求报文;
步骤102,TNCPEP接收到TNCAR发出的访问请求报文;
步骤103,TNCPEP接收到TNCAR的访问请求报文之后,首先检查本地安全策略,如果有符合该报文的安全策略,则TNCPEP直接执行步骤106;否则,TNCPEP执行步骤104,向TNCPDP发送一个网络访问决策请求;
步骤104,TNCPDP对TNCAR进行可信接入认证评估,例如TNCPDP已设置成按照用户认证、平台认证和完整性检查的顺序进行操作,如果其中有一个认证失败,则TNCPDP将判定评估未通过,其后的认证将不会发生;
步骤105:TNCPDP依据评估结果,发送网络访问决策给TNCPEP,TNCPEP执行TNCPDP的决策,如果没有通过评估,TNCAR将被拒绝接入网络,则此次访问请求连接过程结束;
其中,如果是完整性验证没有通过,则AR可以通过修复提供应用服务(Provisioning&RemediationApplications,简称为PRA)来访问修复提供资源服务(Provisioning&RemediationResources,简称为PRR),对相关的组件进行更新和修复,然后再次执行上述流程。更新和修复的过程可能会重复多次直到完整性验证通过。
步骤106,如果评估通过,TNCAR则能够接入网络,TNCPEP转发AR的访问请求报文给本地网络中的PEP;
步骤107,控制实体(本地网络中的PEP)接收到TNCPEP转发的访问请求报文,首先检查本地安全策略,如果有符合该报文的安全策略,则可以直接执行步骤111;如果没有查到本地安全策略,则需要执行步骤108,向策略服务器查询。
步骤108,策略服务器无法查询到本地安全策略,发送策略协商请求消息到TNCPDP查询跟该报文相关的安全策略;
步骤109,TNCPDP将查询的结果发送到策略服务器;
步骤110,策略服务器将查询到的安全策略发送到控制实体执行;
步骤111,如果安全策略的动作允许继续转发,控制实体把该报文转发到通信实体;如果安全策略的动作不允许转发,则丢弃该报文,该流程结束。
图4示出了本发明实施例的本地网络侧发起访问请求的安全策略协商流程示意图,本实施例中,本地网络的通信实体发起访问TNC网络中AR的请求。
由于本地网络中的通信实体可以是无TNC客户端的节点,需要依据TNC1.4版本架构规范中CESP(ClientlessEndpointSupportProfile,无客户端支持规范)相关阐述,对通信实体的访问请求进行处理。由于无客户端实体不能进行基于完整性的安全状态评估,允许无客户端实体访问可信网络会带来较大的安全风险,因此,需要采取相应的措施进行补救。例如可以通过收集无客户端节点的安全信息,或者网络中其它相关的安全信息(如MAP收集的安全信息等),提高访问决策的安全性。如果通信实体具备配置、执行TNC客户端的能力,或者其它安全信息响应能力,可信网络中的PDP可以在通信实体请求接入的时候对其进行安全状态评估,以提高接入安全性。
步骤201,当通信实体需要访问TNC网络中的AR时,通信实体发送一个访问请求报文;
步骤202,控制实体接收到通信实体的访问请求报文之后,首先检查本地安全策略,如果有符合该报文的安全策略,则可以直接步骤205;如果没有查到本地安全策略,则需要执行步骤203,向策略服务器查询;
步骤203,控制实体向策略服务器发送一个网络访问决策请求,查询对应报文的安全策略;
步骤204,策略服务器将查询的结果发送到控制实体;
步骤205,控制实体转发通信实体的访问请求报文;
步骤206,TNCPEP接收控制实体到转发的访问请求报文,首先检查本地安全策略,如果有符合该报文的安全策略,则可以直接执行步骤211;如果没有查到本地安全策略,则需要向TNCPDP查询;
步骤207,TNCPDP接收到TNCPEP的安全策略查询请求,首先检查本地安全策略,如果有符合该报文的安全策略,则可以直接执行步骤210;如果没有查到本地安全策略,则需要同策略服务器进行安全策略协商;
步骤208,策略服务器返回安全策略协商应答消息给TNCPDP;
步骤209,为了提高可信网络的安全性,可选择执行由TNCPDP发起对要求进行接入访问的通信实体进行安全状态信息收集评估。如果通信实体支持TNC操作,例如,通信实体已配置TNC客户端,或者通信实体执行TNCPDP下发的TNC客户端,来执行安全状态信息收集评估;如果不支持TNC客户端,且TNC网络不存在MAP,则对通信实体的访问权限进行限制。例如读、写权限制,访问范围限制等。
步骤210,TNCPDP返回安全策略给TNCPEP;
其中,返回的安全策略中可以包括访问范围、读写权限等。
步骤211,TNCPEP执行安全策略,如果安全策略的动作允许继续转发,TNCPEP把该报文转发到AR;如果安全策略的动作不允许转发,则丢弃该报文,流程结束。
图5示出了本发明实施例的TNC网络包含MAP网元的安全策略协商流程示意图,本实施例场景同图4实施例相似,本地网络的通信实体发起访问TNC网络中AR的请求。但该场景在可信网络中存在MAP服务器。MAP负责采集和发布TNC网络中相关的安全信息,例如MAP对TNC网络中的流量、管理和安全数据进行实时收集、关联,并将关联的信息提供给PDP作为决策的参考。PDP同MAP的交互可以在接入请求发生过程中,或者节点接入后进行。接入请求时交互,可以为PDP提供决策依据,接入后的交互可以实时共享安全信息,并动态调整安全策略。
步骤301,当通信实体需要访问TNC网络中的AR时,通信实体发送一个访问请求报文;
步骤302,控制实体接收到通信实体的访问请求报文之后,首先检查本地安全策略,如果有符合该报文的安全策略,则可以直接执行步骤305;如果没有查到本地安全策略,则需要执行步骤303,向策略服务器查询;
步骤303,控制实体向策略服务器发送一个网络访问决策请求,查询对应报文的安全策略;
步骤304,策略服务器将查询的结果发送到控制实体;
步骤305,控制实体转发通信实体的访问请求报文;
步骤306,PEP接收控制实体到转发的访问请求报文,首先检查本地安全策略,如果有符合该报文的安全策略,则可以直接执行步骤312;如果没有查到本地安全策略,则需要向PDP查询;
步骤307,PDP接收到PEP的安全策略查询请求,首先检查本地安全策略,如果有符合该报文的安全策略,则可以直接执行步骤311;如果没有查到本地安全策略,则需要同策略服务器进行安全策略协商;
步骤308,策略服务器返回安全策略协商应答消息给PDP;
步骤309,为了提高可信网络的安全性,可选择执行由PDP发起对要求进行接入访问的通信实体进行安全状态信息收集评估,如果通信实体不支持相应的安全状态评估操作,则本步骤可以不执行;
步骤310,PDP元数据访问请求给MAP,MAP动态监控TNC网络中入侵检测、安全日志等安全信息,进行关联分析,并将关联分析结果反馈给PDP;
步骤311,PDP依据获取的安全信息及评估结果,发送安全策略给PEP;
步骤312,PEP执行安全策略,如果安全策略的动作允许继续转发,PEP把该报文转发到AR;如果安全策略的动作不允许转发,则丢弃该报文,策略协商流程结束;
步骤313,在通信过程中,PDP可以选择继续同MAP交互(例如通过元数据访问请求的形式),获取相应的安全信息,动态调整安全策略。
相应地,本发明实施例还提供了一种支持可信网络接入的安全策略协商系统,包括非TNC网络的本地网络、IF-FTNC接口和TNC网络,其中,所述本地网络中进一步包括:控制实体、策略服务器和通信实体,所述TNC网络中进一步包括:AR、MAP、PDP和PEP,其中:
所述通信实体用于,向所述TNC网络的AR发起访问请求;
所述控制实体用于,接收到所述通信实体发起的访问请求后,在本地查询或者向所述策略服务器查询是否有相应的安全策略,如果查询到,则将收到的所述访问请求转发给所述PEP;
所述策略服务器用于,收到所述控制实体发起的查询请求后,返回相应的安全策略;以及,收到所述PDP的安全策略协商请求消息后,与所述PDP进行安全策略的协商,并向所述PDP返回安全策略协商应答消息;
所述MAP用于,收集和关联所述TNC网络的安全信息;
所述PEP用于,收到所述控制实体转发的访问请求后,在本地查询或者向所述PDP查询是否有相应的安全策略,如果查询到,则将所述安全策略转发给所述AR;以及,执行所述PDP下发的安全策略;
所述PDP用于,收到所述PEP发起的查询请求后,如果在本地查询到相应的安全策略,则将查询到的安全策略返回给所述PEP;如果在本地没有查询到相应的安全策略,则向所述策略服务器发送安全策略协商请求消息,并根据所述策略服务器返回的安全策略协商应答消息向所述PEP下发安全策略。
进一步地,所述PDP还用于,收到所述PEP发起的查询请求后,对发起所述访问请求的通信实体进行安全状态评估,如果评估通过,则允许所述本地网络的通信实体访问所述TNC网络;如果评估未通过,则对所述本地网络的通信实体的访问权限进行限制。
进一步地,所述MAP还用于,对所述TNC网络的安全信息进行关联分析,并将分析结果提供给所述PDP;
所述PDP还用于,如果发起所述访问请求的通信实体不具备支持配置或执行TNC客户端的能力,则根据所述MAP提供的安全信息关联分析结果,对所述通信实体的访问请求进行决策。
以上所述,仅为本发明的部分实施例,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种通信方法,其特征在于,用于可信网络接入TNC网络和为非可信网络接入网络的本地网络的通信,该方法包括:
所述本地网络支持跨域协同可信网络接入IF-FTNC接口;
所述TNC网络请求访问所述本地网络的通信实体时,所述本地网络通过所述IF-FTNC接口同所述TNC网络进行策略协商,若所述策略协商的协商结果为允许通信,则所述TNC网络直接与所述本地网络进行通信;
所述TNC网络的接入请求者AR请求访问所述本地网络的通信实体,其中,所述AR访问所述本地网络的通信实体的具体过程为:
所述TNC网络的策略执行点PEP收到所述AR发起的访问请求后,在本地查询相应的安全策略,或者向所述本地网络的策略决策点PDP发起网络访问决策请求;并根据查询到的安全策略或所述PDP返回的网络访问决策,将该访问请求转发给所述本地网络的控制实体或者拒绝该访问请求;
所述控制实体接收到所述PEP转发的访问请求后,如果在本地查询到相应的安全策略,则根据查询到的安全策略将该访问请求转发给所述通信实体或拒绝该访问请求;如果在本地没有查询到相应的安全策略,则向所述本地网络的策略服务器发起查询请求,所述策略服务器在本地查询相应的安全策略或者与所述PDP进行策略协商,并向所述控制实体返回安全策略决策,所述控制实体根据所述策略服务器返回的安全策略决策将该访问请求转发给所述通信实体或拒绝该访问请求。
2.一种支持可信网络接入的安全策略协商方法,其特征在于,支持跨域协同可信网络接入IF-FTNC接口的非可信网络接入网络的本地网络与TNC网络通过所述IF-FTNC接口实现安全策略协商,所述方法包括:
所述本地网络的通信实体请求访问所述TNC网络时,所述TNC网络对所述通信实体进行安全状态评估,若评估通过,则允许所述本地网络的通信实体访问所述TNC网络;
所述TNC网络的接入请求者AR请求访问所述本地网络的通信实体,其中,所述AR访问所述本地网络的通信实体的具体过程为:
所述TNC网络的策略执行点PEP收到所述AR发起的访问请求后,在本地查询相应的安全策略,或者向所述本地网络的策略决策点PDP发起网络访问决策请求;并根据查询到的安全策略或所述PDP返回的网络访问决策,将该访问请求转发给所述本地网络的控制实体或者拒绝该访问请求;
所述控制实体接收到所述PEP转发的访问请求后,如果在本地查询到相应的安全策略,则根据查询到的安全策略将该访问请求转发给所述通信实体或拒绝该访问请求;如果在本地没有查询到相应的安全策略,则向所述本地网络的策略服务器发起查询请求,所述策略服务器在本地查询相应的安全策略或者与所述PDP进行策略协商,并向所述控制实体返回安全策略决策,所述控制实体根据所述策略服务器返回的安全策略决策将该访问请求转发给所述通信实体或拒绝该访问请求。
3.如权利要求2所述的方法,其特征在于,若所述评估未通过,则所述TNC网络对所述本地网络的通信实体的访问权限进行限制。
4.如权利要求2所述的方法,其特征在于,所述TNC网络的PDP对所述通信实体进行安全状态评估,所述通信实体支持配置或执行TNC客户端的能力。
5.如权利要求3或4所述的方法,其特征在于,
若所述通信实体不支持配置或执行TNC客户端的能力,且所述TNC网络中存在元数据访问点MAP,则所述TNC网络根据所述MAP提供的安全信息关联分析结果,对所述通信实体的访问请求进行决策。
6.一种支持可信网络接入的安全策略协商系统,其特征在于,包括非可信网络接入TNC网络的本地网络、跨域协同可信网络接入IF-FTNC接口和TNC网络,其中,所述本地网络中进一步包括:控制实体、策略服务器和通信实体,所述TNC网络中进一步包括:接入请求者AR、元数据访问点MAP、策略决策点PDP和策略实施点PEP,其中:
所述通信实体用于,向所述TNC网络的AR发起访问请求;
所述控制实体用于,接收到所述通信实体发起的访问请求后,在本地查询或者向所述策略服务器查询是否有相应的安全策略,如果查询到,则将收到的所述访问请求转发给所述PEP;
所述策略服务器用于,收到所述控制实体发起的查询请求后,返回相应的安全策略;以及,收到所述PDP的安全策略协商请求消息后,与所述PDP进行安全策略的协商,并向所述PDP返回安全策略协商应答消息;
所述MAP用于,收集和关联所述TNC网络的安全信息;
所述PEP用于,收到所述控制实体转发的访问请求后,在本地查询或者向所述PDP查询是否有相应的安全策略,如果查询到,则将所述安全策略转发给所述AR;以及,执行所述PDP下发的安全策略;
所述PDP用于,收到所述PEP发起的查询请求后,如果在本地查询到相应的安全策略,则将查询到的安全策略返回给所述PEP;如果在本地没有查询到相应的安全策略,则向所述策略服务器发送安全策略协商请求消息,并根据所述策略服务器返回的安全策略协商应答消息向所述PEP下发安全策略;
其中所述本地网络通过所述IF-FTNC接口同所述TNC网络进行策略协商。
7.如权利要求6所述的系统,其特征在于,
所述PDP还用于,收到所述PEP发起的查询请求后,对发起所述访问请求的通信实体进行安全状态评估,如果评估通过,则允许所述本地网络的通信实体访问所述TNC网络;如果评估未通过,则对所述本地网络的通信实体的访问权限进行限制。
8.如权利要求6或7所述的系统,其特征在于,
所述MAP还用于,对所述TNC网络的安全信息进行关联分析,并将分析结果提供给所述PDP;
所述PDP还用于,如果发起所述访问请求的通信实体不具备支持配置或执行TNC客户端的能力,则根据所述MAP提供的安全信息关联分析结果,对所述通信实体的访问请求进行决策。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010142686.XA CN102215211B (zh) | 2010-04-02 | 2010-04-02 | 通信方法、支持可信网络接入的安全策略协商方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010142686.XA CN102215211B (zh) | 2010-04-02 | 2010-04-02 | 通信方法、支持可信网络接入的安全策略协商方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102215211A CN102215211A (zh) | 2011-10-12 |
| CN102215211B true CN102215211B (zh) | 2016-01-20 |
Family
ID=44746345
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010142686.XA Active CN102215211B (zh) | 2010-04-02 | 2010-04-02 | 通信方法、支持可信网络接入的安全策略协商方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102215211B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973675B (zh) * | 2014-04-15 | 2017-05-24 | 湖南大学 | 跨域协作防火墙中的分段冗余检测方法 |
| WO2019158716A1 (en) * | 2018-02-19 | 2019-08-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Security negotiation in service based architectures (sba) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136928A (zh) * | 2007-10-19 | 2008-03-05 | 北京工业大学 | 一种可信网络接入框架 |
| CN101582810A (zh) * | 2008-05-15 | 2009-11-18 | 华为技术有限公司 | 安全状态评估方法、网络设备和网络系统 |
| CN101616007A (zh) * | 2008-06-24 | 2009-12-30 | 华为技术有限公司 | 一种map服务器的实现方法、系统和设备 |
| CN101621380A (zh) * | 2008-02-29 | 2010-01-06 | 华为技术有限公司 | 一种终端安全状态评估方法、网络设备及系统 |
-
2010
- 2010-04-02 CN CN201010142686.XA patent/CN102215211B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136928A (zh) * | 2007-10-19 | 2008-03-05 | 北京工业大学 | 一种可信网络接入框架 |
| CN101621380A (zh) * | 2008-02-29 | 2010-01-06 | 华为技术有限公司 | 一种终端安全状态评估方法、网络设备及系统 |
| CN101582810A (zh) * | 2008-05-15 | 2009-11-18 | 华为技术有限公司 | 安全状态评估方法、网络设备和网络系统 |
| CN101616007A (zh) * | 2008-06-24 | 2009-12-30 | 华为技术有限公司 | 一种map服务器的实现方法、系统和设备 |
Non-Patent Citations (1)
| Title |
|---|
| Federated TNC specification Version 1.0 Revision 26;TCG Group;《Federated TNC specification Version 1.0 Revision 26》;20090318;说明书第9页2.1节以及第32页第4节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102215211A (zh) | 2011-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11429960B2 (en) | Network configuration management for networked client devices using a distributed ledger service | |
| CN101741817B (zh) | 一种多网络融合系统、装置及方法 | |
| CN105763562B (zh) | 面向电力cps风险评估的电力信息网络模型建立方法及系统 | |
| CN102469078B (zh) | 一种参与校园网运营的实现方法及系统 | |
| US20220405750A1 (en) | Network configuration management for networked client devices using a distributed ledger service | |
| EP2036304B1 (en) | Secure communication network user mobility apparatus and methods | |
| CN101094056B (zh) | 无线工业控制网络安全系统及安全策略实现方法 | |
| CN102035660B (zh) | 基于idc网络的业务处理方法、设备和系统 | |
| CN101350721B (zh) | 一种网络系统、网络接入方法及网络设备 | |
| Khalid et al. | Towards SDN-based smart contract solution for IoT access control | |
| CN101952830A (zh) | 用于用户授权的方法和系统 | |
| CN104718526A (zh) | 安全移动框架 | |
| CN101621380B (zh) | 一种终端安全状态评估方法、网络设备及系统 | |
| WO2019213781A1 (en) | Security management for networked client devices using a distributed ledger service | |
| CN110855707A (zh) | 物联网通信管道安全控制系统和方法 | |
| CN108966216A (zh) | 一种应用于配电网的移动通信方法及装置 | |
| Xue et al. | Research on key technologies of software-defined network based on blockchain | |
| Hoang et al. | A security-enhanced monitoring system for northbound interface in SDN using blockchain | |
| CN105162763A (zh) | 通讯数据的处理方法和装置 | |
| CN102215211B (zh) | 通信方法、支持可信网络接入的安全策略协商方法及系统 | |
| CN103069767B (zh) | 交付认证方法 | |
| Khalil et al. | IoT-MAAC: Multiple attribute access control for IoT environments | |
| US9232078B1 (en) | Method and system for data usage accounting across multiple communication networks | |
| CN103746995A (zh) | 用于安全网络的用户管控方法及系统 | |
| CN109587134A (zh) | 接口总线的安全认证的方法、装置、设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |