JP5259724B2 - 3エレメントピア認証に基づく信頼されているネットワークアクセス制御方法 - Google Patents
3エレメントピア認証に基づく信頼されているネットワークアクセス制御方法 Download PDFInfo
- Publication number
- JP5259724B2 JP5259724B2 JP2010533420A JP2010533420A JP5259724B2 JP 5259724 B2 JP5259724 B2 JP 5259724B2 JP 2010533420 A JP2010533420 A JP 2010533420A JP 2010533420 A JP2010533420 A JP 2010533420A JP 5259724 B2 JP5259724 B2 JP 5259724B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- platform
- control device
- access control
- requester
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Description
信頼性測定レイヤにおいて、アクセスリクエスタとアクセス制御装置とにより、信頼性測定コレクタTMCを初期化し、それぞれに対して必要とされる信頼性情報を収集するステップと、信頼性測定レイヤにおいて、ポリシーマネージャにより、信頼性測定検証器TMVを初期化し、アクセスリクエスタとアクセス制御装置との信頼性情報を検証するステップと、
ネットワークアクセス制御レイヤにおいて、アクセスリクエスタと、アクセス制御装置と、ポリシーマネージャとにより、第三者としてふるまうポリシーマネージャに基づく3エレメントピア認証プロトコルを実行して、アクセスリクエスタとアクセス制御装置との間で、双方向性ユーザ認証を行うステップと、
ユーザ認証の結果が、成功した認証を示すとき、または、プラットフォーム信頼性評価プロセスがローカルポリシー中で必要とされることを示すとき、信頼されているプラットフォーム評価レイヤにおいて、アクセスリクエスタと、アクセス制御装置と、ポリシーマネージャとにより、第三者としてふるまうポリシーマネージャに基づく3エレメントピア認証プロトコルを実行して、アクセスリクエスタとアクセス制御装置との間で、双方向性プラットフォーム信頼性評価を行うステップと、
プラットフォーム信頼性評価プロセスにおけるプラットフォーム信頼性評価の結果にしたがって、アクセスリクエスタのTNACクライアントとアクセス制御装置のTNACサーバとにより、対応する推奨を発生させ、ネットワークアクセスリクエスタとネットワークアクセス制御装置とにそれぞれ送信し、これにより、ネットワークアクセスリクエスタとネットワークアクセス制御装置とが、推奨にしたがって、相互のアクセスポートをそれぞれ制御するステップとを含む。
アクセス制御装置の非制御ポートが、ユーザ認証およびセッションキー交渉プロトコルデータの伝送を制御し、アクセス制御装置の制御ポートが、プラットフォーム信頼性評価プロトコルデータと、プラットフォーム修復サービスデータと、アプリケーションサービスデータとの伝送を制御する。
(b)アクセスリクエスタ中のアクセスリクエスタエンティティと、アクセス制御装置中のプラットフォーム信頼性評価エンティティと、ポリシーマネージャ中の評価ポリシーサービスエンティティとが、3エレメントピア認証プロトコルを実行して、アクセスリクエスタとアクセス制御装置との間で、双方向性プラットフォーム信頼性評価を行い、プラットフォーム信頼性評価プロセスにおいて、アクセスリクエスタ中のアクセスリクエスタエンティティが、非制御ポートを介して通信し、アクセス制御装置中のプラットフォーム信頼性評価エンティティが、認証されている制御ポートを介して通信し、アクセス制御装置中のプラットフォーム信頼性評価エンティティと、ポリシーマネージャ中の評価ポリシーサービスエンティティとは、直接的に情報を交換する。
プラットフォーム信頼性検証が行われ、ポリシーマネージャが、アクセスリクエスタとアクセス制御装置とのプラットフォーム信頼性を検証する。
暗号化された送信により、アクセスリクエスタとポリシーマネージャとの間で、アクセスリクエスタのプラットフォーム構成を識別する情報を送信し、アクセス制御装置とポリシーマネージャとの間で、アクセス制御装置のプラットフォーム構成を識別する情報を送信することと、
セッションキーを使用して、TNACクライアントとTNACサーバとの間で交換される情報を送信することと、
ポリシーマネージャにより、アクセスリクエスタとアクセス制御装置とのプラットフォーム信頼性評価の結果が発生され、TNACクライアントとTNACサーバとに送信されることとを含む。
アクセスリクエスタからのアクセス制御装置に対するアクセス要求を開始することと、
アクセス要求を受信すると、アクセス制御装置により、ユーザ認証プロセスを開始し、アクセスリクエスタとアクセス制御装置とのユーザ認証の結果を発生させることと、
ユーザ認証が成功すると、アクセスリクエスタとアクセス制御装置とにより、これらの間で1次キーを発生させることと、
アクセスリクエスタとアクセス制御装置とにより、1次キーを使用して、セッションキーについて交渉し、TNACクライアントとTNACサーバとにそれぞれ、ユーザ認証成功情報を送信することとを含む。
信頼性測定レイヤにおいて、アクセスリクエスタのTNACクライアントとアクセス制御装置のTNACサーバとにより、信頼性測定コレクタTMCを初期化することと、
信頼性測定レイヤにおいて、ポリシーマネージャの評価ポリシーサーバEPSにより、信頼性測定検証器TMVを初期化することと、
アクセスリクエスタとアクセス制御装置との信頼されているプラットフォームモジュールTPMにより、それぞれに対して必要とされる信頼性情報を、プラットフォーム構成レジスタPCRに記憶させることと、
アクセスリクエスタのTNACクライアントとアクセス制御装置のTNACサーバとにより、アクセス制御装置とアクセスリクエスタとに対して必要とされるプラットフォーム信頼性情報を、信頼性測定コレクタTMCを通して、それぞれ準備することと、
ポリシーマネージャにより、接続されたネットワークにアクセスリクエスタが加わるためのポリシーと、アクセスリクエスタに対するアクセス制御装置のネットワークアクセス制御ポリシーとを含むアクセス制御ポリシーを確立して、配信することとを含む。
以下に、本願出願の当初の特許請求の範囲に記載された発明を付記する。
〔1〕3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法において、
信頼性測定レイヤにおいて、信頼性測定コレクタTMCと信頼性測定検証器TMVとを初期化することと、
ネットワークアクセス制御レイヤにおいて、アクセスリクエスタと、アクセス制御装置と、ポリシーマネージャとにより、第三者としてふるまう前記ポリシーマネージャに基づく3エレメントピア認証プロトコルを実行して、前記アクセスリクエスタと前記アクセス制御装置との間で、双方向性ユーザ認証を行うことと、
前記ユーザ認証の結果が、成功した認証を示すとき、または、プラットフォーム信頼性評価プロセスがローカルポリシー中で必要とされることを示すとき、信頼されているプラットフォーム評価レイヤにおいて、前記アクセスリクエスタと、前記アクセス制御装置と、前記ポリシーマネージャとにより、前記第三者としてふるまうポリシーマネージャに基づく3エレメントピア認証プロトコルを実行して、前記アクセスリクエスタと前記アクセス制御装置との間で、双方向性プラットフォーム信頼性評価を行うことと、
前記プラットフォーム信頼性評価プロセスにおけるプラットフォーム信頼性評価の結果にしたがって、前記アクセスリクエスタのTNACクライアントと前記アクセス制御装置のTNACサーバとにより、対応する推奨を発生させ、前記アクセスリクエスタと前記アクセス制御装置とにそれぞれ送信し、これにより、前記ネットワークアクセスリクエスタと前記ネットワークアクセス制御装置とが、前記推奨にしたがって、相互のアクセスポートをそれぞれ制御することとを含む方法。
〔2〕前記アクセスリクエスタの非制御ポートが、ユーザ認証およびセッションキー交渉プロトコルデータと、プラットフォーム信頼性評価プロトコルデータと、プラットフォーム修復サービスデータとの伝送を制御し、前記アクセスリクエスタの制御ポートが、アプリケーションサービスデータの伝送を制御し、
前記アクセス制御装置の非制御ポートが、前記ユーザ認証およびセッションキー交渉プロトコルデータの伝送を制御し、前記アクセス制御装置の制御ポートが、前記プラットフォーム信頼性評価プロトコルデータと、前記プラットフォーム修復サービスデータと、前記アプリケーションサービスデータとの伝送を制御するようにポート制御が行われる上記〔1〕記載の3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法。
〔3〕(a)前記アクセスリクエスタ中のアクセスリクエスタエンティティと前記アクセス制御装置中のユーザ認証エンティティとが、前記非制御ポートを介して、双方向性ユーザ認証とセッションキー交渉とを行い、前記アクセス制御装置中の前記ユーザ認証エンティティと前記ポリシーマネージャ中の認証サービスポリシーエンティティとが、直接的に情報を交換し、前記双方向性ユーザ認証が成功すると、前記アクセス制御装置の前記制御ポートが、前記プラットフォーム信頼性評価プロトコルデータを伝送することを許可する認証されている状態に変わり、
(b)前記アクセスリクエスタ中の前記アクセスリクエスタエンティティと、前記アクセス制御装置中のプラットフォーム信頼性評価エンティティと、前記ポリシーマネージャ中の評価ポリシーサービスエンティティとが、前記3エレメントピア認証プロトコルを実行して、前記アクセスリクエスタと前記アクセス制御装置との間で、前記双方向性プラットフォーム信頼性評価を行い、前記プラットフォーム信頼性評価プロセスにおいて、前記アクセスリクエスタ中の前記アクセスリクエスタエンティティが、前記非制御ポートを介して通信し、前記アクセス制御装置中の前記プラットフォーム信頼性評価エンティティが、認証されている制御ポートを介して通信し、前記アクセス制御装置中の前記プラットフォーム信頼性評価エンティティと前記ポリシーマネージャ中の前記評価ポリシーサービスエンティティとが、直接的に情報を交換するように前記ポート制御が行われる上記〔2〕記載の3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法。
〔4〕前記プラットフォーム信頼性評価プロセスが行われた後、
前記アクセスリクエスタと前記アクセス制御装置とのプラットフォームがいずれも信頼されている場合、前記アクセスリクエスタと前記アクセス制御装置との前記制御ポートはいずれも信頼されている状態にあるので、前記アクセスリクエスタと前記アクセス制御装置との間で、前記アプリケーションサービスデータの伝送が許可されるように、または、
前記アクセスリクエスタの前記プラットフォームが信頼されており、前記アクセス制御装置の前記プラットフォームが信頼されていない場合、前記アクセスリクエスタと前記アクセス制御装置との前記非制御ポートと前記制御ポートとは、オリジナルの状態にあり、前記アクセス制御装置は、プラットフォーム修復のために、接続された隔離ドメインから、プラットフォーム構成の修復情報を取り出すように、または、
前記アクセスリクエスタの前記プラットフォームが信頼されておらず、前記アクセス制御装置の前記プラットフォームが信頼されている場合、前記アクセス制御装置の修復がディセーブルされている制御ポートは、修復がイネーブルされている状態に変わり、これにより、前記アクセスリクエスタが、前記アクセス制御装置を介して隔離ドメインにアクセスし、前記プラットフォーム修復のために、前記プラットフォーム構成の修復情報を取り出すように、または、
前記アクセスリクエスタと前記アクセス制御装置との前記プラットフォームがいずれも信頼されていない場合、前記アクセス制御装置の修復がディセーブルされている制御ポートは、前記修復がイネーブルされている状態に変わり、これにより、前記アクセスリクエスタが、前記アクセス制御装置を介して前記隔離ドメインにアクセスし、前記プラットフォーム修復のために、前記プラットフォーム構成の修復情報を取り出すように、
前記アクセスリクエスタと前記アクセス制御装置との前記ポート制御が行われる上記〔3〕記載の3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法。
〔5〕前記推奨が、アクセス認可情報、アクセス禁止情報、または、隔離および修復情報を含む上記〔1〕〜〔4〕のいずれか1項記載の3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法。
〔6〕前記ネットワークアクセス制御装置と前記ネットワークアクセスリクエスタとにより受信された推奨が、前記隔離および修復情報であるとき、前記アクセスリクエスタと前記アクセス制御装置とは、前記プラットフォーム構成の修復情報により、前記プラットフォームを修復し、前記アクセスリクエスタと前記アクセス制御装置との間で、前記プラットフォーム信頼性評価プロセスを行う上記〔5〕記載の3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法。
〔7〕プラットフォーム信用証明認証が行われ、前記ポリシーマネージャが、有効性に対して、前記アクセスリクエスタと前記アクセス制御装置とのAIK証明書を検証し、
プラットフォーム信頼性検証が行われ、前記ポリシーマネージャが、前記アクセスリクエスタと前記アクセス制御装置とのプラットフォーム信頼性を検証するように、前記プラットフォーム信頼性評価が行われる上記〔4〕記載の3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法。
〔8〕前記アクセスリクエスタと前記アクセス制御装置との間の、前記プラットフォーム信頼性評価プロセスは、
暗号化された送信により、前記アクセスリクエスタと前記ポリシーマネージャとの間で、前記アクセスリクエスタの前記プラットフォーム構成を識別する情報を送信し、前記アクセス制御装置と前記ポリシーマネージャとの間で、前記アクセス制御装置の前記プラットフォーム構成を識別する情報を送信することと、
セッションキーを使用して、前記TNACクライアントと前記TNACサーバとの間で交換される情報を送信することと、
前記ポリシーマネージャにより、前記アクセスリクエスタと前記アクセス制御装置との前記プラットフォーム信頼性評価の結果が発生され、前記TNACクライアントと前記TNACサーバとに送信されることとを含む上記〔7〕記載の3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法。
〔9〕前記アクセスリクエスタと前記アクセス制御装置との間のユーザ認証プロセスは、
前記アクセスリクエスタからの前記アクセス制御装置に対するアクセス要求を開始することと、
前記アクセス要求を受信すると、前記アクセス制御装置により、前記ユーザ認証プロセスを開始し、前記アクセスリクエスタと前記アクセス制御装置とのユーザ認証の結果を発生させることと、
前記ユーザ認証が成功すると、前記アクセスリクエスタと前記アクセス制御装置とにより、これらの間で1次キーを発生させることと、
前記アクセスリクエスタと前記アクセス制御装置とにより、前記1次キーを使用して、セッションキーについて交渉し、前記TNACクライアントと前記TNACサーバとにそれぞれ、ユーザ認証成功情報を送信することとを含む上記〔1〕記載の3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法。
〔10〕前記信頼性測定レイヤにおいて、前記信頼性測定コレクタTMCと前記信頼性測定検証器TMVとを初期化することは、
前記信頼性測定レイヤにおいて、前記アクセスリクエスタの前記TNACクライアントと前記アクセス制御装置の前記TNACサーバとにより、前記信頼性測定コレクタTMCを初期化し、それぞれに対して必要とされる信頼性情報を収集することと、
前記信頼性測定レイヤにおいて、前記ポリシーマネージャの評価ポリシーサーバEPSにより、前記信頼性測定検証器TMVを初期化し、前記アクセスリクエスタと前記アクセス制御装置との前記プラットフォーム信頼性を検証することと、
前記アクセスリクエスタと前記アクセス制御装置との信頼されているプラットフォームモジュールTPMにより、前記それぞれに対して必要とされる信頼性情報を、プラットフォーム構成レジスタPCRに記憶させることと、
前記アクセスリクエスタのTNACクライアントと前記アクセス制御装置のTNACサーバとにより、前記アクセス制御装置と前記アクセスリクエスタとに対して必要とされるプラットフォーム信頼性情報を、前記信頼性測定コレクタTMCを通して、それぞれ準備することと、
前記ポリシーマネージャにより、接続されたネットワークに前記アクセスリクエスタが加わるためのポリシーと、前記アクセスリクエスタに対する前記アクセス制御装置のネットワークアクセス制御ポリシーとを含むアクセス制御ポリシーを確立して、配信することとを含む上記〔9〕記載の3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法。
Claims (10)
- 3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法において、
信頼性測定レイヤにおいて、アクセスリクエスタおよびアクセス制御装置の信頼性測定コレクタTMCと、ポリシーマネージャの信頼性測定検証器TMVとを初期化することと、
ネットワークアクセス制御レイヤにおいて、前記アクセスリクエスタと、前記アクセス制御装置と、前記ポリシーマネージャとにより、第三者としてふるまう前記ポリシーマネージャに基づく3エレメントピア認証プロトコルを実行して、前記アクセスリクエスタと前記アクセス制御装置との間で、双方向性ユーザ認証を行うことと、
前記ユーザ認証の結果が、成功した認証を示すとき、または、プラットフォーム信頼性評価プロセスがローカルポリシー中で必要とされることを示すとき、信頼されているプラットフォーム評価レイヤにおいて、前記アクセスリクエスタと、前記アクセス制御装置と、前記ポリシーマネージャとにより、前記第三者としてふるまうポリシーマネージャに基づく3エレメントピア認証プロトコルを実行して、前記アクセスリクエスタと前記アクセス制御装置との間で、双方向性プラットフォーム信頼性評価を行うことと、
前記プラットフォーム信頼性評価プロセスにおけるプラットフォーム信頼性評価の結果にしたがって、前記アクセスリクエスタのTNACクライアントと前記アクセス制御装置のTNACサーバとにより、対応する推奨を発生させ、ネットワークアクセスリクエスタとネットワークアクセス制御装置とにそれぞれ送信し、これにより、前記ネットワークアクセスリクエスタと前記ネットワークアクセス制御装置とが、前記推奨にしたがって、相互アクセス用ポートをそれぞれ制御することとを含む方法。 - 前記アクセスリクエスタの非制御ポートが、ユーザ認証およびセッションキー交渉プロトコルデータと、プラットフォーム信頼性評価プロトコルデータと、プラットフォーム修復サービスデータとの伝送を制御し、前記アクセスリクエスタの制御ポートが、アプリケーションサービスデータの伝送を制御し、
前記アクセス制御装置の非制御ポートが、前記ユーザ認証およびセッションキー交渉プロトコルデータの伝送を制御し、前記アクセス制御装置の制御ポートが、前記プラットフォーム信頼性評価プロトコルデータと、前記プラットフォーム修復サービスデータと、前記アプリケーションサービスデータとの伝送を制御するようにポート制御が行われる請求項1記載の3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法。 - (a)前記アクセスリクエスタ中のアクセスリクエスタエンティティと前記アクセス制御装置中のユーザ認証エンティティとが、前記非制御ポートを介して、双方向性ユーザ認証とセッションキー交渉とを行い、前記アクセス制御装置中の前記ユーザ認証エンティティと前記ポリシーマネージャ中の認証サービスポリシーエンティティとが、直接的に情報を交換し、前記双方向性ユーザ認証が成功すると、前記アクセス制御装置の前記制御ポートが、前記プラットフォーム信頼性評価プロトコルデータを伝送することを許可する認証されている状態に変わり、
(b)前記アクセスリクエスタ中の前記アクセスリクエスタエンティティと、前記アクセス制御装置中のプラットフォーム信頼性評価エンティティと、前記ポリシーマネージャ中の評価ポリシーサービスエンティティとが、前記3エレメントピア認証プロトコルを実行して、前記アクセスリクエスタと前記アクセス制御装置との間で、前記双方向性プラットフォーム信頼性評価を行い、前記プラットフォーム信頼性評価プロセスにおいて、前記アクセスリクエスタ中の前記アクセスリクエスタエンティティが、前記非制御ポートを介して通信し、前記アクセス制御装置中の前記プラットフォーム信頼性評価エンティティが、前記認証されている制御ポートを介して通信し、前記アクセス制御装置中の前記プラットフォーム信頼性評価エンティティと前記ポリシーマネージャ中の前記評価ポリシーサービスエンティティとが、直接的に情報を交換するように前記ポート制御が行われる請求項2記載の3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法。 - 前記プラットフォーム信頼性評価プロセスが行われた後、
前記アクセスリクエスタと前記アクセス制御装置とのプラットフォームがいずれも信頼されている場合、前記アクセスリクエスタと前記アクセス制御装置との前記制御ポートはいずれも信頼されている状態にあるので、前記アクセスリクエスタと前記アクセス制御装置との間で、前記アプリケーションサービスデータの伝送が許可されるように、または、
前記アクセスリクエスタの前記プラットフォームが信頼されており、前記アクセス制御装置の前記プラットフォームが信頼されていない場合、前記アクセスリクエスタと前記アクセス制御装置との前記非制御ポートと前記制御ポートとは、オリジナルの状態にあり、前記アクセス制御装置は、プラットフォーム修復のために、接続された隔離ドメインから、プラットフォーム構成の修復情報を取り出すように、または、
前記アクセスリクエスタの前記プラットフォームが信頼されておらず、前記アクセス制御装置の前記プラットフォームが信頼されている場合、前記アクセス制御装置の修復がディセーブルされている制御ポートは、修復がイネーブルされている状態に変わり、これにより、前記アクセスリクエスタが、前記アクセス制御装置を介して隔離ドメインにアクセスし、前記プラットフォーム修復のために、前記プラットフォーム構成の修復情報を取り出すように、または、
前記アクセスリクエスタと前記アクセス制御装置との前記プラットフォームがいずれも信頼されていない場合、前記アクセス制御装置の修復がディセーブルされている制御ポートは、前記修復がイネーブルされている状態に変わり、これにより、前記アクセスリクエスタが、前記アクセス制御装置を介して前記隔離ドメインにアクセスし、前記プラットフォーム修復のために、前記プラットフォーム構成の修復情報を取り出すように、
前記アクセスリクエスタと前記アクセス制御装置との前記ポート制御が行われる請求項3記載の3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法。 - 前記推奨が、アクセス認可情報、アクセス禁止情報、または、隔離および修復情報を含む請求項1〜4のいずれか1項記載の3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法。
- 前記ネットワークアクセス制御装置と前記ネットワークアクセスリクエスタとにより受信された推奨が、前記隔離および修復情報であるとき、前記アクセスリクエスタと前記アクセス制御装置とは、前記プラットフォーム構成の修復情報により、前記プラットフォームを修復し、前記アクセスリクエスタと前記アクセス制御装置との間で、前記プラットフォーム信頼性評価プロセスを行う請求項5記載の3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法。
- プラットフォーム信用証明認証が行われ、前記ポリシーマネージャが、有効性に対して、前記アクセスリクエスタと前記アクセス制御装置とのAIK証明書を検証し、
プラットフォーム信頼性検証が行われ、前記ポリシーマネージャが、前記アクセスリクエスタと前記アクセス制御装置とのプラットフォーム信頼性を検証するように、前記プラットフォーム信頼性評価が行われる請求項4記載の3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法。 - 前記アクセスリクエスタと前記アクセス制御装置との間の、前記プラットフォーム信頼性評価プロセスは、
暗号化された送信により、前記アクセスリクエスタと前記ポリシーマネージャとの間で、前記アクセスリクエスタのプラットフォーム構成を識別する情報を送信し、前記アクセス制御装置と前記ポリシーマネージャとの間で、前記アクセス制御装置のプラットフォーム構成を識別する情報を送信することと、
セッションキーを使用して、前記TNACクライアントと前記TNACサーバとの間で交換される情報を送信することと、
前記ポリシーマネージャにより、前記アクセスリクエスタと前記アクセス制御装置との前記プラットフォーム信頼性評価の結果が発生され、前記TNACクライアントと前記TNACサーバとに送信されることとを含む請求項7記載の3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法。 - 前記アクセスリクエスタと前記アクセス制御装置との間のユーザ認証プロセスは、
前記アクセスリクエスタからの前記アクセス制御装置に対するアクセス要求を開始することと、
前記アクセス要求を受信すると、前記アクセス制御装置により、前記ユーザ認証プロセスを開始し、前記アクセスリクエスタと前記アクセス制御装置とのユーザ認証の結果を発生させることと、
前記ユーザ認証が成功すると、前記アクセスリクエスタと前記アクセス制御装置とにより、これらの間で1次キーを発生させることと、
前記アクセスリクエスタと前記アクセス制御装置とにより、前記1次キーを使用して、セッションキーについて交渉し、前記TNACクライアントと前記TNACサーバとにそれぞれ、ユーザ認証成功情報を送信することとを含む請求項1記載の3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法。 - 前記信頼性測定レイヤにおいて、前記信頼性測定コレクタTMCと前記信頼性測定検証器TMVとを初期化することは、
前記信頼性測定レイヤにおいて、前記アクセスリクエスタの前記TNACクライアントと前記アクセス制御装置の前記TNACサーバとにより、前記信頼性測定コレクタTMCを初期化し、それぞれに対して必要とされる信頼性情報を収集することと、
前記信頼性測定レイヤにおいて、前記ポリシーマネージャの評価ポリシーサーバEPSにより、前記信頼性測定検証器TMVを初期化し、前記アクセスリクエスタと前記アクセス制御装置との前記プラットフォーム信頼性を検証することと、
前記アクセスリクエスタと前記アクセス制御装置との信頼されているプラットフォームモジュールTPMにより、前記それぞれに対して必要とされる信頼性情報を、プラットフォーム構成レジスタPCRに記憶させることと、
前記アクセスリクエスタのTNACクライアントと前記アクセス制御装置のTNACサーバとにより、前記アクセス制御装置と前記アクセスリクエスタとに対して必要とされるプラットフォーム信頼性情報を、前記信頼性測定コレクタTMCを通して、それぞれ準備することと、
前記ポリシーマネージャにより、接続されたネットワークに前記アクセスリクエスタが加わるためのポリシーと、前記アクセスリクエスタに対する前記アクセス制御装置のネットワークアクセス制御ポリシーとを含むアクセス制御ポリシーを確立して、配信することとを含む請求項9記載の3エレメントピア認証に基づく信頼されているネットワークアクセス制御のための方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200710019093.2 | 2007-11-16 | ||
CNB2007100190932A CN100496025C (zh) | 2007-11-16 | 2007-11-16 | 一种基于三元对等鉴别的可信网络接入控制方法 |
PCT/CN2008/073059 WO2009065345A1 (fr) | 2007-11-16 | 2008-11-14 | Procédé de contrôle d'accès à un réseau de confiance basé sur une authentification à trois éléments homologues |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011503732A JP2011503732A (ja) | 2011-01-27 |
JP5259724B2 true JP5259724B2 (ja) | 2013-08-07 |
Family
ID=39307586
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010533420A Active JP5259724B2 (ja) | 2007-11-16 | 2008-11-14 | 3エレメントピア認証に基づく信頼されているネットワークアクセス制御方法 |
Country Status (8)
Country | Link |
---|---|
US (1) | US8424060B2 (ja) |
EP (1) | EP2211570B1 (ja) |
JP (1) | JP5259724B2 (ja) |
KR (1) | KR101125326B1 (ja) |
CN (1) | CN100496025C (ja) |
ES (1) | ES2619690T3 (ja) |
RU (1) | RU2444156C1 (ja) |
WO (1) | WO2009065345A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9203142B2 (en) | 2010-03-26 | 2015-12-01 | Huawei Device Co., Ltd. | Mobile communication antenna device and mobile communication terminal device |
Families Citing this family (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7703126B2 (en) * | 2006-03-31 | 2010-04-20 | Intel Corporation | Hierarchical trust based posture reporting and policy enforcement |
CN100534036C (zh) * | 2007-08-01 | 2009-08-26 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接方法 |
CN100566251C (zh) * | 2007-08-01 | 2009-12-02 | 西安西电捷通无线网络通信有限公司 | 一种增强安全性的可信网络连接方法 |
CN100553212C (zh) * | 2007-11-16 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
CN100496025C (zh) * | 2007-11-16 | 2009-06-03 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制方法 |
CN100581170C (zh) | 2008-08-21 | 2010-01-13 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别可信网络连接的可信网络管理方法 |
CN101345660B (zh) * | 2008-08-21 | 2010-06-09 | 西安西电捷通无线网络通信有限公司 | 一种基于tcpa/tcg可信网络连接的可信网络管理方法 |
CN100581107C (zh) * | 2008-11-04 | 2010-01-13 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别(TePA)的可信平台验证方法 |
CN101431517B (zh) * | 2008-12-08 | 2011-04-27 | 西安西电捷通无线网络通信股份有限公司 | 一种基于三元对等鉴别的可信网络连接握手方法 |
EP2814277A1 (en) * | 2009-04-15 | 2014-12-17 | Interdigital Patent Holdings, Inc. | Validation and/or authentication of a device for communication with a network |
CN101527717B (zh) * | 2009-04-16 | 2012-11-28 | 西安西电捷通无线网络通信股份有限公司 | 一种三元对等鉴别可信网络连接架构的实现方法 |
CN101527718B (zh) * | 2009-04-16 | 2011-02-16 | 西安西电捷通无线网络通信股份有限公司 | 一种建立三元对等鉴别可信网络连接架构的方法 |
CN101540676B (zh) | 2009-04-28 | 2012-05-23 | 西安西电捷通无线网络通信股份有限公司 | 一种适合三元对等鉴别可信网络连接架构的平台鉴别方法 |
CN101909058B (zh) | 2010-07-30 | 2013-01-16 | 天维讯达无线电设备检测(北京)有限责任公司 | 一种适合可信连接架构的平台鉴别策略管理方法及系统 |
WO2012023050A2 (en) | 2010-08-20 | 2012-02-23 | Overtis Group Limited | Secure cloud computing system and method |
JP5624219B2 (ja) * | 2010-10-13 | 2014-11-12 | 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司Chinaiwncomm Co., Ltd. | ネットワークアクセス制御方法およびシステム |
WO2012048551A1 (zh) * | 2010-10-13 | 2012-04-19 | 天维讯达无线电设备检测(北京)有限责任公司 | 一种网络访问控制方法及系统 |
CN103701792B (zh) * | 2013-12-20 | 2017-06-30 | 中电长城网际系统应用有限公司 | 可信授权方法、系统、可信安全管理中心和服务器 |
CN103780395B (zh) * | 2014-01-24 | 2017-11-10 | 广东电网公司电力科学研究院 | 网络接入证明双向度量的方法和系统 |
CN104811465B (zh) * | 2014-01-27 | 2018-06-01 | 电信科学技术研究院 | 一种访问控制的决策方法和设备 |
CN104038478A (zh) * | 2014-05-19 | 2014-09-10 | 瑞达信息安全产业股份有限公司 | 一种嵌入式平台身份验证可信网络连接方法和系统 |
CN104079570B (zh) * | 2014-06-27 | 2017-09-22 | 东湖软件产业股份有限公司 | 一种基于IPsec的可信网络连接方法 |
CN104270250B (zh) * | 2014-09-25 | 2017-11-14 | 合肥城市云数据中心股份有限公司 | 基于非对称全程加密的WiFi互联网上网连接认证方法 |
CN104270376A (zh) * | 2014-10-13 | 2015-01-07 | 浪潮电子信息产业股份有限公司 | 一种平台完整性的证明方法 |
US10375043B2 (en) * | 2014-10-28 | 2019-08-06 | International Business Machines Corporation | End-to-end encryption in a software defined network |
US20170187752A1 (en) * | 2015-12-24 | 2017-06-29 | Steffen SCHULZ | Remote attestation and enforcement of hardware security policy |
CN107292176B (zh) * | 2016-04-05 | 2021-01-15 | 联想企业解决方案(新加坡)有限公司 | 用于访问计算设备的可信平台模块的方法和系统 |
CN108696868B (zh) * | 2017-03-01 | 2020-06-19 | 西安西电捷通无线网络通信股份有限公司 | 用于网络连接的凭证信息的处理方法和装置 |
CN108601024B (zh) * | 2018-05-10 | 2019-08-30 | 句容沣润塑料制品有限公司 | 一种轻量级身份认证及平台鉴别评估方法 |
US10992671B2 (en) | 2018-10-31 | 2021-04-27 | Bank Of America Corporation | Device spoofing detection using MAC authentication bypass endpoint database access control |
CN109151508B (zh) * | 2018-11-09 | 2020-12-01 | 北京京航计算通讯研究所 | 一种视频加密方法 |
CN109218825B (zh) * | 2018-11-09 | 2020-12-11 | 北京京航计算通讯研究所 | 一种视频加密系统 |
CN111259401B (zh) | 2018-11-30 | 2023-05-02 | 阿里巴巴集团控股有限公司 | 可信度量方法、装置、系统、存储介质及计算机设备 |
CN112637847B (zh) * | 2020-12-30 | 2022-10-04 | 国网电力科学研究院有限公司 | 一种面向感知层的物联网可信连接方法和系统 |
CN113127904B (zh) * | 2021-04-26 | 2021-12-28 | 北京中启赛博科技有限公司 | 一种访问控制策略智能优化系统及方法 |
CN113449343B (zh) * | 2021-05-31 | 2024-03-26 | 国科量子通信网络有限公司 | 基于量子技术的可信计算系统 |
CN113783846B (zh) * | 2021-08-16 | 2023-09-19 | 德威可信(北京)科技有限公司 | 一种可信数据传输系统及方法 |
CN113794685B (zh) * | 2021-08-16 | 2023-09-29 | 德威可信(北京)科技有限公司 | 一种基于可信评估的数据传输方法及装置 |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5887251A (en) * | 1996-10-30 | 1999-03-23 | Ericsson Inc. | Authentication key management for mobile stations |
GB0020441D0 (en) | 2000-08-18 | 2000-10-04 | Hewlett Packard Co | Performance of a service on a computing platform |
US7900242B2 (en) * | 2001-07-12 | 2011-03-01 | Nokia Corporation | Modular authentication and authorization scheme for internet protocol |
JP2005182509A (ja) * | 2003-12-19 | 2005-07-07 | Ntt Docomo Inc | 計算機システム並びにデータ改竄検出方法 |
CN1655504B (zh) * | 2005-02-21 | 2010-05-05 | 西安西电捷通无线网络通信有限公司 | 基于端口的对等访问控制方法 |
US7376081B2 (en) * | 2005-04-04 | 2008-05-20 | Lucent Technologies Inc. | Establishment of QoS by applications in cellular networks using service based policy control mechanisms |
US7873352B2 (en) * | 2005-05-10 | 2011-01-18 | Hewlett-Packard Company | Fast roaming in a wireless network using per-STA pairwise master keys shared across participating access points |
US8286223B2 (en) | 2005-07-08 | 2012-10-09 | Microsoft Corporation | Extensible access control architecture |
US7703126B2 (en) * | 2006-03-31 | 2010-04-20 | Intel Corporation | Hierarchical trust based posture reporting and policy enforcement |
EP2052524B1 (en) | 2006-05-05 | 2014-12-24 | InterDigital Technology Corporation | Digital rights management using trusted processing techniques |
US7592906B1 (en) * | 2006-06-05 | 2009-09-22 | Juniper Networks, Inc. | Network policy evaluation |
CN100426755C (zh) | 2006-11-06 | 2008-10-15 | 吉林大学 | 可信网络核心设备 |
CN100512312C (zh) | 2006-12-18 | 2009-07-08 | 西安西电捷通无线网络通信有限公司 | 一种三元结构的对等访问控制方法 |
CN100463462C (zh) * | 2006-12-18 | 2009-02-18 | 西安西电捷通无线网络通信有限公司 | 一种三元结构的对等访问控制系统 |
CN1997026B (zh) | 2006-12-29 | 2011-05-04 | 北京工业大学 | 一种基于802.1x协议的扩展安全认证方法 |
CN100566251C (zh) | 2007-08-01 | 2009-12-02 | 西安西电捷通无线网络通信有限公司 | 一种增强安全性的可信网络连接方法 |
CN100534036C (zh) * | 2007-08-01 | 2009-08-26 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接方法 |
CN100566252C (zh) * | 2007-08-03 | 2009-12-02 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接系统 |
CN100512313C (zh) * | 2007-08-08 | 2009-07-08 | 西安西电捷通无线网络通信有限公司 | 一种增强安全性的可信网络连接系统 |
CN101136928B (zh) | 2007-10-19 | 2012-01-11 | 北京工业大学 | 一种可信网络接入控制系统 |
CN100553212C (zh) | 2007-11-16 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
CN100496025C (zh) * | 2007-11-16 | 2009-06-03 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制方法 |
-
2007
- 2007-11-16 CN CNB2007100190932A patent/CN100496025C/zh active Active
-
2008
- 2008-11-14 EP EP08851105.0A patent/EP2211570B1/en active Active
- 2008-11-14 WO PCT/CN2008/073059 patent/WO2009065345A1/zh active Application Filing
- 2008-11-14 RU RU2010123909/08A patent/RU2444156C1/ru active
- 2008-11-14 JP JP2010533420A patent/JP5259724B2/ja active Active
- 2008-11-14 ES ES08851105.0T patent/ES2619690T3/es active Active
- 2008-11-14 KR KR1020107013124A patent/KR101125326B1/ko active IP Right Grant
- 2008-11-14 US US12/742,618 patent/US8424060B2/en active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9203142B2 (en) | 2010-03-26 | 2015-12-01 | Huawei Device Co., Ltd. | Mobile communication antenna device and mobile communication terminal device |
Also Published As
Publication number | Publication date |
---|---|
RU2010123909A (ru) | 2011-12-27 |
KR101125326B1 (ko) | 2012-03-27 |
EP2211570B1 (en) | 2017-01-04 |
EP2211570A1 (en) | 2010-07-28 |
CN101159660A (zh) | 2008-04-09 |
US20100263023A1 (en) | 2010-10-14 |
EP2211570A4 (en) | 2011-12-21 |
ES2619690T3 (es) | 2017-06-26 |
JP2011503732A (ja) | 2011-01-27 |
RU2444156C1 (ru) | 2012-02-27 |
CN100496025C (zh) | 2009-06-03 |
US8424060B2 (en) | 2013-04-16 |
WO2009065345A1 (fr) | 2009-05-28 |
KR20100084573A (ko) | 2010-07-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5259724B2 (ja) | 3エレメントピア認証に基づく信頼されているネットワークアクセス制御方法 | |
US8255977B2 (en) | Trusted network connect method based on tri-element peer authentication | |
JP5248621B2 (ja) | 3値同等識別に基づく、信頼されているネットワークアクセス制御システム | |
RU2437230C2 (ru) | Способ доверенного сетевого соединения для совершенствования защиты | |
US8191113B2 (en) | Trusted network connect system based on tri-element peer authentication | |
US8336081B2 (en) | Trusted network connect system for enhancing the security | |
KR101296101B1 (ko) | 트라이 요소 피어 인증에 기초한 트러스트 네트워크 커넥트 실현 방법 | |
US20110238996A1 (en) | Trusted network connect handshake method based on tri-element peer authentication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121009 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130109 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130326 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130424 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160502 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5259724 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |