JP5624214B2 - 高信頼結合アーキテクチャに適正なプラットフォーム認証ポリシーの管理方法および設備 - Google Patents
高信頼結合アーキテクチャに適正なプラットフォーム認証ポリシーの管理方法および設備 Download PDFInfo
- Publication number
- JP5624214B2 JP5624214B2 JP2013522068A JP2013522068A JP5624214B2 JP 5624214 B2 JP5624214 B2 JP 5624214B2 JP 2013522068 A JP2013522068 A JP 2013522068A JP 2013522068 A JP2013522068 A JP 2013522068A JP 5624214 B2 JP5624214 B2 JP 5624214B2
- Authority
- JP
- Japan
- Prior art keywords
- component
- platform
- policy
- access
- tnc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明はネットワーク安全技術分野に関し、特に高信頼結合アーキテクチャに適正なプラットフォーム認証ポリシーの管理方法およびシステムに関する。
コンポーネント測定値である、情報aと、
第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターのプラットフォーム配置保護ポリシーにおける当該コンポーネントタイプ識別子に対応するプラットフォーム配置保護ポリシーである、情報bと、
第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターに対するプラットフォーム評価ポリシーにおける当該コンポーネントタイプ識別子に対応するプラットフォーム評価ポリシーである、情報cとを送信する。
評価ポリシーサービスプロバイダは、第2組コンポーネント測定請求パラメータにおける各コンポーネントタイプ識別子について、第2組コンポーネント測定値である情報dと、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のプラットフォーム配置保護ポリシーにおける当該コンポーネントタイプ識別子に対応するプラットフォーム配置保護ポリシーである情報eと、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおける当該コンポーネントタイプ識別子に対応するプラットフォーム評価ポリシーである情報fとを、対応する上方のIMVへ送信する。
フォームID証書を利用し、第1組コンポーネント測定値におけるプラットフ
ォーム署名を検証し、TNCアクセスポイントは、評価ポリシーサービスプロバイダへア
クセスリクエスターのプラットフォームID証書とアクセス制御器のプラットフォームI
D証書を送信することを、さらに含む。
第2組コンポーネント測定値である情報dと、
第2組コンポーネント測定請求パラメータに対応するアクセス制御器のプラットフォーム配置保護ポリシーにおける当該コンポーネントタイプ識別子に対応するプラットフォーム配置保護ポリシーである情報eと、
第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおける当該コンポーネントタイプ識別子に対応するプラットフォーム評価ポリシーである情報fと、を送信する。
TNCクライアントが各ラウンドのプラットフォーム認証プロトコルにおいて生成した一部のアクセス制御器のコンポーネント測定請求パラメータは、すべてのアクセス制御器のコンポーネント測定請求パラメータをすでに構成しているので、TNCクライアントは、各ラウンドのプラットフォーム認証プロトコルにおいて評価ポリシーサービスプロバイダが生成した各コンポーネントタイプ識別子に対応するコンポーネントタイプレベルのプラットフォーム評価結果を集める。また、各ラウンドのプラットフォーム認証プロトコルにおいて評価ポリシーサービスプロバイダが生成した差分値プラットフォーム評価ポリシーとコンポーネント修正情報を集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器の差分値プラットフォーム評価ポリシーとコンポーネント修正情報とする。そうならない場合、TNCクライアントは本ラウンドのプラットフォーム認証プロトコル終了後に別の1ラウンドのプラットフォーム認証プロトコルを開始する。もし、一定時間内にTNCアクセスポイントが開始した他ラウンドのプラットフォーム認証プロトコルを受信していなければ、TNCクライアントは自主的に他ラウンドのプラットフォーム認証プロトコルを開始することを、さらに含む
前記第1配置ユニットは、アクセスリクエスターのプラットフォーム認証管理ポリシー、アクセスリクエスターのプラットフォーム配置保護ポリシー、アクセス制御器に対するプラットフォーム評価ポリシーおよびアクセスリクエスターに対するプラットフォーム認証動作推奨の生成ポリシーを備える、配置した第1プラットフォーム認証を受信する、
前記第1獲得ユニットは、アクセスリクエスターに対する第1組コンポーネント測定請求パラメータと、アクセスリクエスターに対する第1組プラットフォーム評価ポリシーを受信後、第1組コンポーネント測定請求パラメータに対応する第1組コンポーネント測定値を獲得し、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターの保護ポリシーを生成し、また、TNCアクセスポイントへ第1組コンポーネント測定値、受信したアクセスリクエスターに対するプラットフォーム評価ポリシーおよび生成したアクセスリクエスターの保護ポリシーを送信し、
前記第1生成ユニットは、アクセスリクエスターのプラットフォーム動作推奨を生成し、TNCアクセスポイントに送信する。
前記第2配置ユニットは、アクセス制御器のプラットフォーム認証管理ポリシー、アクセス制御器のプラットフォーム配置保護ポリシー、アクセスリクエスターに対するプラットフォーム評価ポリシーとアクセス制御器のプラットフォーム認証動作推奨の生成ポリシーを含む、配置した第2プラットフォーム認証ポリシーを受信し、或いは、第2配置ユニットは、第2プラットフォーム認証ポリシーが評価ポリシーサービスプロバイダ上に配置される場合、評価ポリシーサービスプロバイダへ第2プラットフォーム認証ポリシーを請求し、評価ポリシーサービスプロバイダが送信する第2プラットフォーム認証ポリシーを受信し、
前記第2生成ユニットは、第2プラットフォーム認証ポリシーにおけるアクセス制御器のプラットフォーム認証管理ポリシーとアクセスリクエスターに対するプラットフォーム評価ポリシーに基づき、アクセスリクエスターに対する第1組コンポーネント測定請求パラメータと、アクセスリクエスターに対する第1組プラットフォーム評価ポリシーを生成して、TNCクライアントへ送信し、1ラウンドのプラットフォーム認証プロトコルを開始し、ここで、もし、第1組コンポーネント測定請求パラメータがすべてのアクセスリクエスターのコンポーネント測定請求パラメータであれば、アクセスリクエスターに対するプラットフォーム評価ポリシーは、コンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを含め、
前記転送ユニットは、TNCクライアントが送信した第1組コンポーネント測定値、アクセスリクエスターに対するプラットフォーム評価ポリシーおよびアクセスリクエスターの保護ポリシーを受信し、評価ポリシーサービスプロバイダへ転送し、
前記第2獲得ユニットは、第1組コンポーネント測定請求パラメータが、すべてのアクセスリクエスターのコンポーネント測定請求パラメータ、かつ第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターに対するプラットフォーム評価ポリシーにおいて、コンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを含まれば、TNCアクセスポイントは、本ラウンドのプラットフォーム認証プロトコルにおいて評価ポリシーサービスプロバイダが生成したコンポーネントタイプレベルのプラットフォーム評価結果を集め、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターのプラットフォームレベルのプラットフォーム評価結果とし、コンポーネントタイプ識別子により、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターのコンポーネント修正情報を、TNCアクセスポイントに対応する上方の各完全性コレクターへ送信する。アクセスリクエスターのプラットフォームレベルのプラットフォーム評価結果、および評価ポリシーサービスプロバイダが送信する情報をTNCクライアントへ送信する。
受信ユニットは、第1組コンポーネント測定値を受信し、
第3獲得ユニットは、各コンポーネントタイプ識別子について、対応する上方のIMVへ、第1組コンポーネント測定値における当該コンポーネントタイプ識別子に対応する、コンポーネント測定値である情報aと、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターのプラットフォーム配置保護ポリシーにおける当該コンポーネントタイプ識別子に対応するプラットフォーム配置保護ポリシーである情報bと、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターに対するプラットフォーム評価ポリシーにおける当該コンポーネントタイプ識別子に対応するプラットフォーム評価ポリシーである情報cと、を送信し、これらのIMVは、当該コンポーネントタイプ識別子に対応するコンポーネント製品レベルのプラットフォーム評価結果、差分値プラットフォーム評価ポリシーおよびコンポーネント修正情報を戻し、
もし、第1組コンポーネント測定請求パラメータがすべてのアクセスリクエスターのコンポーネント測定請求パラメータであれば、これらのコンポーネントタイプ識別子に対応する差分値プラットフォーム評価ポリシーとコンポーネント修正情報を集め、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターの差分値プラットフォーム評価ポリシーとアクセスリクエスターのコンポーネント修正情報とし、もし、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターに対するプラットフォーム評価ポリシーが、コンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを含まれば、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターに対するプラットフォーム評価ポリシーにおけるコンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーに基づき、これらのコンポーネントタイプ識別子に対応するコンポーネントタイプレベルのプラットフォーム評価結果を集め、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターのプラットフォームレベルのプラットフォーム評価結果とし、
コンポーネント測定請求パラメータがすべてのアクセスリクエスターのコンポーネント測定請求パラメータであり、かつ第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターに対するプラットフォーム評価ポリシーにおいてコンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを含まれば、TNCアクセスポイントは、本ラウンドのプラットフォーム認証プロトコルにおいて評価ポリシーサービスプロバイダが生成したコンポーネントタイプレベルのプラットフォーム評価結果を集め、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターのプラットフォームレベルのプラットフォーム評価結果とする。
前記受信ユニットは、第2組コンポーネント測定値を受信し、
前記第3獲得ユニットは、第2組コンポーネント測定請求パラメータにおける各コンポーネントタイプ識別子について、対応する上方のIMVへ、第2組コンポーネント測定値である情報dと、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のプラットフォーム配置保護ポリシーにおける当該コンポーネントタイプ識別子に対応するプラットフォーム配置保護ポリシーである情報eと、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおける当該コンポーネントタイプ識別子に対応するプラットフォーム評価ポリシーである情報fと、を送信し、
そして、これらのIMVにより戻した、当該コンポーネントタイプ識別子に対応するコンポーネント製品レベルのプラットフォーム評価結果、差分値プラットフォーム評価ポリシーおよびコンポーネント修正情報を受信し、
続いて、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおける当該コンポーネントタイプ識別子に対応するプラットフォーム評価ポリシーに基づき、当該コンポーネントタイプ識別子に対応する各コンポーネント製品レベルプラットフォーム評価結果を集め、コンポーネントタイプレベルのプラットフォーム評価結果とし、ここで、当該コンポーネントタイプ識別子に対応する各コンポーネント製品番号に対応するコンポーネント製品レベルプラットフォーム評価結果は、IMVが情報fにおける当該コンポーネント製品番号に対応するコンポーネント属性レベルのコンバージェンスプラットフォーム評価ポリシーに基づき、当該コンポーネント製品番号に対応する各コンポーネント属性レベルのプラットフォーム評価結果を集めて得られたものであり、当該コンポーネント製品番号に対応する各コンポーネント属性レベルのプラットフォーム評価結果は、IMVが情報fにおける当該コンポーネント製品番号に対応する当該コンポーネント属性識別子に対応するプラットフォーム評価ポリシーと情報eにおける当該コンポーネント製品番号の当該コンポーネント属性識別子に対応するプラットフォーム評価ポリシーに基づき、生成したものであり、
もし、第2組コンポーネント測定請求パラメータが、すべてのアクセス制御器のコンポーネント測定請求パラメータであれば、これらのコンポーネントタイプ識別子に対応する差分値プラットフォーム評価ポリシーを集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器の差分値プラットフォーム評価ポリシーとし、これらのコンポーネントタイプ識別子に対応するコンポーネント修正情報を集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のコンポーネント修正情報とし、もし、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおいて、コンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを含まれば、評価ポリシーサービスプロバイダは、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおけるコンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーに基づき、これらのコンポーネントタイプ識別子に対応するコンポーネントタイプレベルのプラットフォーム評価結果を集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のプラットフォームレベルのプラットフォーム評価結果として、生成した情報をTNCアクセスポイントへ送信する。
プラットフォーム認証ポリシーを配置する。
もし、ステップ1.2)において、第2プラットフォーム認証ポリシーをTNCアクセスポイントに配置すると、TNCアクセスポイントはステップ3)を直接実行する。もしステップ1.2)において、第2プラットフォーム認証ポリシー評価ポリシーサービスプロバイダに配置すると、TNCアクセスポイントは評価ポリシーサービスプロバイダへアクセス制御器のプラットフォーム認証ポリシーを請求する。そして、評価ポリシーサービスプロバイダは、第2プラットフォーム認証ポリシーをTNCアクセスポイントへ送信する。その後、TNCアクセスポイントはステップ3)を再び実行する。
TNCアクセスポイントは、第2プラットフォーム認証ポリシーにおけるアクセス制御器のプラットフォーム認証管理ポリシーとアクセスリクエスターに対するプラットフォーム評価ポリシーに基づき、TNCクライアントへ1ラウンドのプラットフォーム認証プロトコルを開始する。
TNCクライアントは第1組コンポーネント測定請求パラメータを受信後、以下のステップを実行する。
TNCアクセスポイントは、TNCクライアントが送信する第1組プラットフォーム認証情報を受信後、以下のステップを実行する。
評価ポリシーサービスプロバイダは、TNCアクセスポイントが送信した第2組プラットフォーム認証情報を受信後、以下のステップを実行する。
TNCアクセスポイントへステップ6.1)〜6.3)において評価ポリシーサービスプロバイダが生成した情報を送信する。
TNCアクセスポイントはステップ6.4)において評価ポリシーサービスプロバイダが送信した情報を受信後、以下のステップを実行する。
TNCアクセスポイントがステップ8.8)におけるTNCクライアントが送信した情報を受信後、アクセスリクエスターのプラットフォーム認証動作推奨をTNCアクセスポイント対応する上方の各完全性コレクターへ送信する。
もし、アクセスリクエスターおよび/またはアクセス制御器がプラットフォーム修復を行う必要があれば、これらはプラットフォーム修復完了後にステップ3)〜ステップ9)を再び実行する。ここで、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターの差分値プラットフォーム評価ポリシーは、アクセスリクエスターに対するプラットフォーム評価ポリシーと設定される。第2組コンポーネント測定請求パラメータに対応するアクセス制御器の差分値プラットフォーム評価ポリシーは、アクセス制御器に対するプラットフォーム評価ポリシーと設定される。
コンポーネント測定値である情報a、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターのプラットフォーム配置保護ポリシーにおける当該コンポーネントタイプ識別子に対応するプラットフォーム配置保護ポリシーである情報bと、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターに対するプラットフォーム評価ポリシーにおける当該コンポーネントタイプ識別子に対応するプラットフォーム評価ポリシーである情報cとを、送信すし、
そして、これらのIMVにより戻された、当該コンポーネントタイプ識別子に対応するコンポーネント製品レベルのプラットフォーム評価結果、差分値プラットフォーム評価ポリシーおよびコンポーネント修正情報を受信する。
前記受信ユニット501は、第2組コンポーネント測定値を受信し、
前記第3獲得ユニット502は、第2組コンポーネント測定請求パラメータにおける各コンポーネントタイプ識別子について、対応する上方のIMVへ、第2組コンポーネント測定値である情報dと、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のプラットフォーム配置保護ポリシーにおける当該コンポーネントタイプ識別子に対応するプラットフォーム配置保護ポリシーである情報eと、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおける当該コンポーネントタイプ識別子に対応するプラットフォーム評価ポリシーである情報fと、を送信する。
Claims (20)
- 高信頼ネットワーク接続TNCクライアントには第1プラットフォーム認証ポリシーが配置され、TNCアクセスポイント或いは評価ポリシーサービスプロバイダには第2プラットフォーム認証ポリシーを配置されており、
ここで、前記第1プラットフォーム認証ポリシーは、アクセスリクエスターのプラットフォーム認証管理ポリシー、アクセスリクエスターのプラットフォーム配置保護ポリシー、アクセス制御器に対するプラットフォーム評価ポリシーおよびアクセスリクエスターに対するプラットフォーム認証動作推奨の生成ポリシーを含み;
もし、第2プラットフォーム認証ポリシーを評価ポリシーサービスプロバイダに配置すれば、TNCアクセスポイントが評価ポリシーサービスプロバイダに第2プラットフォーム認証ポリシーを請求し、評価ポリシーサービスプロバイダが配置された第2プラットフォーム認証ポリシーをTNCアクセスポイントへ送信するステップ1と;
TNCアクセスポイントは、第2プラットフォーム認証ポリシーにおけるアクセス制御器のプラットフォーム認証管理ポリシーとアクセスリクエスターに対するプラットフォーム評価ポリシーに基づき、アクセスリクエスターに対する第1組コンポーネント測定請求パラメータと、アクセスリクエスターに対する第1組プラットフォーム評価ポリシーを生成して、TNCクライアントへ送信し、1ラウンドのプラットフォーム認証プロトコルを開始するステップ2と、
ここで、もし、第1組コンポーネント測定請求パラメータがすべての、アクセスリクエスターのコンポーネント測定請求パラメータであれば、アクセスリクエスターに対するプラットフォーム評価ポリシーは、コンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを含み;
TNCクライアントが、アクセスリクエスターに対する第1組コンポーネント測定請求パラメータと、アクセスリクエスターに対する第1組プラットフォーム評価ポリシーとを受信後、第1組コンポーネント測定請求パラメータに対応する第1組コンポーネント測定値を獲得し、前記第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターの保護ポリシーを生成し、また、TNCアクセスポイントへ第1組コンポーネント測定値、受信したアクセスリクエスターに対するプラットフォーム評価ポリシーおよび生成したアクセスリクエスターの保護ポリシーを送信するステップ3と、
TNCアクセスポイントが、TNCクライアントが送信した第1組コンポーネント測定値、アクセスリクエスターに対するプラットフォーム評価ポリシーおよびアクセスリクエスターの保護ポリシーを受信し、また、評価ポリシーサービスプロバイダに転送するステップ4と;
評価ポリシーサービスプロバイダが第1組コンポーネント測定値における各コンポーネントタイプ識別子について、対応する上方のIMVへ第1組コンポーネント測定値における選出したコンポーネントタイプ識別子に対応する、コンポーネント測定値である情報aと、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターのプラットフォーム配置保護ポリシーにおける前記選出したコンポーネントタイプ識別子に対応するプラットフォーム配置保護ポリシーである情報bと、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターに対するプラットフォーム評価ポリシーにおける前記選出したコンポーネントタイプ識別子に対応するプラットフォーム評価ポリシーである情報cとを送信し、
これらのIMVにより戻された、前記選出したコンポーネントタイプ識別子に対応するコンポーネント製品レベルのプラットフォーム評価結果、差分値プラットフォーム評価ポリシーおよびコンポーネント修正情報を受信し、
もし、第1組コンポーネント測定請求パラメータがすべての、アクセスリクエスターのコンポーネント測定請求パラメータであれば、評価ポリシーサービスプロバイダが、これらのコンポーネントタイプ識別子に対応する差分値プラットフォーム評価ポリシーとコンポーネント修正情報を集め、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターの差分値プラットフォーム評価ポリシーとアクセスリクエスターのコンポーネント修正情報とし、もし、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターに対するプラットフォーム評価ポリシーが、コンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを含まれば、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターに対するプラットフォーム評価ポリシーにおけるコンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーに基づき、これらのコンポーネントタイプ識別子に対応するコンポーネントタイプレベルのプラットフォーム評価結果を集め、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターのプラットフォームレベルのプラットフォーム評価結果とするステップ5と;
もし、第1組コンポーネント測定請求パラメータがすべての、アクセスリクエスターのコンポーネント測定請求パラメータであり、かつ第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターに対するプラットフォーム評価ポリシーにおいて、コンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを含まなければ、TNCアクセスポイントが、本ラウンドのプラットフォーム認証プロトコルにおいて、評価ポリシーサービスプロバイダが生成したコンポーネントタイプレベルのプラットフォーム評価結果を集め、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターのプラットフォームレベルのプラットフォーム評価結果とし、
TNCアクセスポイントが、コンポーネントタイプ識別子により、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターのコンポーネント修正情報を、TNCアクセスポイント対応する上方の各完全性コレクターへ送信し、
TNCアクセスポイントが、アクセスリクエスターのプラットフォームレベルのプラットフォーム評価結果およびステップ5において、評価ポリシーサービスプロバイダが送信する情報をTNCクライアントへ送信するステップ6と;
TNCクライアントが、アクセスリクエスターのプラットフォーム動作推奨を生成し、また、TNCアクセスポイントに送信するステップ7と;
TNCアクセスポイントが、アクセスリクエスターのプラットフォーム認証動作推奨を対応する上方の各完全性コレクターへ送信するステップ8と
を含むことを特徴とする高信頼結合アーキテクチャに適正なプラットフォーム認証ポリシーの管理方法。 - ステップ3において、前記TNCクライアントが、第1組コンポーネント測定請求パラメータを受信後、第1組コンポーネント測定請求パラメータに対応する第1組コンポーネント測定値を獲得することは、
TNCクライアントが、第1組コンポーネント測定請求パラメータを受信後、第1組コンポーネント測定請求パラメータにおける各コンポーネントタイプ識別子に対応するコンポーネント測定請求パラメータを、TNCクライアントに相応の各完全性コレクターへ送信し、これらの完全性コレクターが、それぞれTNCクライアントへ各コンポーネントタイプ識別子に対応するコンポーネント測定値を戻し、TNCクライアントが、受信した各コンポーネントタイプ識別子に対応するコンポーネント測定値を集め、第1組コンポーネント測定請求パラメータに対応する第1組コンポーネント測定値とすること
を含むことを特徴とする請求項1に記載の高信頼結合アーキテクチャに適正なプラットフォーム認証ポリシーの管理方法。 - もし、第1組コンポーネント測定請求パラメータが、一部の、アクセスリクエスターのコンポーネント測定請求パラメータである場合、
前記ステップ5は、
評価ポリシーサービスプロバイダが、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターに対するプラットフォーム評価ポリシーにおける前記選出したコンポーネントタイプ識別子に対応するプラットフォーム評価ポリシーに基づき、前記選出したコンポーネントタイプ識別子に対応する各コンポーネント製品レベルプラットフォーム評価結果を集め、コンポーネントタイプレベルのプラットフォーム評価結果とすること
をさらに含み、
ここで、前記選出したコンポーネントタイプ識別子に対応する各コンポーネント製品番号に対応するコンポーネント製品レベルプラットフォーム評価結果は、IMVが情報cにおける前記各コンポーネント製品番号から選出したコンポーネント製品番号に対応するコンポーネント属性レベルのコンバージェンスプラットフォーム評価ポリシーに基づき、前記選出したコンポーネント製品番号に対応する各コンポーネント属性レベルのプラットフォーム評価結果を集めて得られたものであり、前記選出したコンポーネント製品番号に対応する各コンポーネント属性レベルのプラットフォーム評価結果は、IMVが情報cにおける前記選出したコンポーネント製品番号に対応する各属性識別子から選出したコンポーネント属性識別子に対応するプラットフォーム評価ポリシーと情報bにおける前記選出したコンポーネント製品番号に対応する前記選出したコンポーネント属性識別子に対応するプラットフォーム評価ポリシーに基づき、生成したものであり;
前記ステップ6は、
各ラウンドのプラットフォーム認証プロトコルにおいて生成した一部の、アクセスリクエスターのコンポーネント測定請求パラメータが、すべての、アクセスリクエスターのコンポーネント測定請求パラメータをすでに構成している場合、TNCアクセスポイントが、各ラウンドのプラットフォーム認証プロトコルにおいて評価ポリシーサービスプロバイダが生成したコンポーネントタイプレベルのプラットフォーム評価結果を集め、また、各ラウンドのプラットフォーム認証プロトコルにおける、評価ポリシーサービスプロバイダが生成する差分値プラットフォーム評価ポリシーとコンポーネント修正情報を集め、アクセスリクエスターの差分値プラットフォーム評価ポリシーとコンポーネント修正情報とし、そうならない場合、TNCアクセスポイントが本ラウンドのプラットフォーム認証プロトコル終了後に別の1ラウンドのプラットフォーム認証プロトコルを開始すること
をさらに含む
ことを特徴とする請求項1に記載の高信頼結合アーキテクチャに適正なプラットフォーム認証ポリシーの管理方法。 - 前記ステップ3は、
前記TNCアクセスポイントがアクセスリクエスターの第1プラットフォーム認証管理ポリシーとアクセス制御器の第2プラットフォーム評価ポリシーに基づき、アクセス制御器の第2コンポーネント測定請求パラメータを生成することと、
もし、第2組コンポーネント測定請求パラメータが、すべての、アクセス制御器のコンポーネント測定請求パラメータであれば、第2プラットフォーム評価ポリシーに基づき、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーを生成して、生成した情報を一緒にTNCアクセスポイントへ送信することと
をさらに含み、
ここで、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーは、コンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを含み;
前記ステップ4は、
第2組コンポーネント測定請求パラメータの各コンポーネントタイプ識別子に対応するコンポーネント測定請求パラメータについて、TNCアクセスポイントが第2組コンポーネント測定請求パラメータに対応するアクセス制御器のコンポーネント測定値を獲得し、TNCアクセスポイントが、第2プラットフォーム配置保護ポリシーに基づき、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のプラットフォーム配置保護ポリシーを生成し、また、生成した情報を評価ポリシーサービスプロバイダへ一緒に送信すること
をさらに含み;
前記ステップ5は、
評価ポリシーサービスプロバイダが、第2組コンポーネント測定請求パラメータにおける各コンポーネントタイプ識別子について、対応する上方のIMVへ、前記第2組コンポーネント測定請求パラメータにおける前記各コンポーネントタイプ識別子から選出したコンポーネントタイプ識別子に対応する、
第2組コンポーネント測定値である情報dと、
第2組コンポーネント測定請求パラメータに対応するアクセス制御器のプラットフォーム配置保護ポリシーにおける前記選出したコンポーネントタイプ識別子に対応するプラットフォーム配置保護ポリシーである情報eと、
第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおける前記選出したコンポーネントタイプ識別子に対応するプラットフォーム評価ポリシーである情報fと、を送信することと、
そして、これらのIMVにより戻された、前記コンポーネントタイプ識別子に対応するコンポーネント製品レベルのプラットフォーム評価結果、差分値プラットフォーム評価ポリシーおよびコンポーネント修正情報を受信することと、
続いて、評価ポリシーサービスプロバイダが、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおける前記コンポーネントタイプ識別子に対応するプラットフォーム評価ポリシーに基づき、前記コンポーネントタイプ識別子に対応する各コンポーネント製品レベルプラットフォーム評価結果を集め、コンポーネントタイプレベルのプラットフォーム評価結果とすることと、
ここで、前記選出したコンポーネントタイプ識別子に対応する各コンポーネント製品番号に対応するコンポーネント製品レベルプラットフォーム評価結果は、IMVが情報fにおける前記各コンポーネント製品番号から選出したコンポーネント製品番号に対応するコンポーネント属性レベルのコンバージェンスプラットフォーム評価ポリシーに基づき、前記選出したコンポーネント製品番号に対応する各コンポーネント属性レベルのプラットフォーム評価結果を集めて得られたものであり、前記選出したコンポーネント製品番号に対応する各コンポーネント属性レベルのプラットフォーム評価結果は、IMVが情報fにおける前記選出したコンポーネント製品番号に対応する各コンポーネント属性から選出したコンポーネント属性識別子に対応するプラットフォーム評価ポリシーと情報eにおける前記選出したコンポーネント製品番号に対応する前記選出したコンポーネント属性識別子に対応するプラットフォーム評価ポリシーに基づき、生成したものであり、
もし、第2組コンポーネント測定請求パラメータが、すべての、アクセス制御器のコンポーネント測定請求パラメータであれば、これらのコンポーネントタイプ識別子に対応する差分値プラットフォーム評価ポリシーを集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器の差分値プラットフォーム評価ポリシーとし、これらのコンポーネントタイプ識別子に対応するコンポーネント修正情報を集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のコンポーネント修正情報とし、もし、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおいて、コンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを含まれば、評価ポリシーサービスプロバイダが、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおけるコンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーに基づき、これらのコンポーネントタイプ識別子に対応するコンポーネントタイプレベルのプラットフォーム評価結果を集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のプラットフォームレベルのプラットフォーム評価結果とし、また、生成した情報をTNCアクセスポイントへ送信することと
をさらに含み;
前記ステップ6は、
もし、TNCアクセスポイントが別の1ラウンドのプラットフォーム認証プロトコルを開始する必要がない場合、アクセス制御器のプラットフォーム認証動作推奨を生成し、TNCクライアントへ送信すること
をさらに含み;
前記ステップ7は、
もし、第2組コンポーネント測定請求パラメータが、すべての、アクセス制御器のコンポーネント測定請求パラメータであり、かつ第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおいて、コンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを含まなければ、TNCクライアントが、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおけるコンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーに基づき、本ラウンドのプラットフォーム認証プロトコルにおいて評価ポリシーサービスプロバイダがステップ5にて生成した各コンポーネントタイプ識別子に対応するコンポーネントタイプレベルのプラットフォーム評価結果を集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のプラットフォームレベルのプラットフォーム評価結果とすることと、
TNCクライアントが、コンポーネントタイプ識別子により、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のコンポーネント修正情報をTNCクライアントの対応する上方の各完全性コレクター送信することと、
もし、ステップ6において、TNCアクセスポイントが送信する情報にアクセス制御器のプラットフォーム認証動作推奨が含まれば、TNCクライアントが、アクセス制御器のプラットフォーム認証動作推奨をTNCクライアントに対応する上方の各完全性コレクターへ送信することと
をさらに含む
ことを特徴とする請求項3に記載の高信頼結合アーキテクチャに適正なプラットフォーム認証ポリシーの管理方法。 - ステップ4において、前記TNCアクセスポイントが、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のコンポーネント測定値を獲得することは、
TNCアクセスポイントが、前記選出したコンポーネントタイプ識別子に対応するコンポーネント測定請求パラメータをTNCアクセスポイントに対応する上方の各完全性コレクターへ送信し、これらの完全性コレクターによりTNCアクセスポイントへ戻された前記選出したコンポーネントタイプ識別子に対応するコンポーネント測定値を受信し、最後に、TNCアクセスポイントは受信したコンポーネント測定値を集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のコンポーネント測定値とすること
を含む
ことを特徴とする請求項4に記載の高信頼結合アーキテクチャに適正なプラットフォーム認証ポリシーの管理方法。 - もし、第2組コンポーネント測定請求パラメータが一部の、アクセス制御器のコンポーネント測定請求パラメータである場合、
前記ステップ7は、
TNCクライアントが各ラウンドのプラットフォーム認証プロトコルにおいて生成した一部の、アクセス制御器のコンポーネント測定請求パラメータが、すべての、アクセス制御器のコンポーネント測定請求パラメータをすでに構成している場合、TNCクライアントが、各ラウンドのプラットフォーム認証プロトコルにおいて、評価ポリシーサービスプロバイダが生成した各コンポーネントタイプ識別子に対応するコンポーネントタイプレベルのプラットフォーム評価結果を集め、また、各ラウンドのプラットフォーム認証プロトコルにおいて、評価ポリシーサービスプロバイダが生成した差分値プラットフォーム評価ポリシーとコンポーネント修正情報を集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器の差分値プラットフォーム評価ポリシーとコンポーネント修正情報とし、そうならない場合、TNCクライアントが、本ラウンドのプラットフォーム認証プロトコル終了後に別の1ラウンドのプラットフォーム認証プロトコルを開始し、もし、一定時間内にTNCアクセスポイントが開始した他ラウンドのプラットフォーム認証プロトコルを受信していなければ、TNCクライアントが、自主的に他ラウンドのプラットフォーム認証プロトコルを開始すること
をさらに含む
ことを特徴とする請求項5に記載の高信頼結合アーキテクチャに適正なプラットフォーム認証ポリシーの管理方法。 - 前記ステップ3は、TNCクライアントが、TNCアクセスポイントへアクセスリクエスターのプラットフォームID証書を送信することを、さらに含み;
前記ステップ4には、TNCアクセスポイントが、アクセスリクエスターのプラットフォームID証書を利用し、第1組コンポーネント測定値におけるプラットフォーム署名を検証し、TNCアクセスポイントが評価ポリシーサービスプロバイダへアクセスリクエスターのプラットフォームID証書とアクセス制御器のプラットフォームID証書を送信することを、さらに含み;
前記ステップ5は、評価ポリシーサービスプロバイダが、アクセスリクエスターのプラットフォームID証書とアクセス制御器のプラットフォームID証書を検証し、かつ、アクセスリクエスターのプラットフォームID証書検証結果とアクセス制御器のプラットフォームID証書検証結果を生成し、検証結果をTNCアクセスポイントへ送信することを、さらに含み;
前記ステップ6は、TNCアクセスポイントが、アクセスリクエスターのプラットフォームID証書検証結果に基づき、アクセスリクエスターのプラットフォームID証書が有効か否かを確認し、アクセス制御器のプラットフォームID証書とプラットフォームID証書検証結果をTNCクライアントへ送信することを、さらに含み;
前記ステップ7は、TNCクライアントが、アクセス制御器のプラットフォームID証書に基づき、第2組コンポーネント測定値におけるプラットフォーム署名を確認し、アクセス制御器のプラットフォームID証書検証結果に基づき、アクセス制御器のプラットフォームID証書が有効か否かを確認することを、さらに含む
ことを特徴とする請求項1〜6に記載の高信頼結合アーキテクチャに適正なプラットフォーム認証ポリシーの管理方法。 - 高信頼ネットワーク接続TNCクライアントには第1プラットフォーム認証ポリシーを配置されており、TNCアクセスポイント或いは評価ポリシーサービスプロバイダに第2プラットフォーム認証ポリシーを配置されており、
ここで、前記第1プラットフォーム認証ポリシーは、アクセスリクエスターのプラットフォーム認証管理ポリシー、アクセスリクエスターのプラットフォーム配置保護ポリシー、アクセス制御器に対するプラットフォーム評価ポリシーおよびアクセスリクエスターに対するプラットフォーム認証動作推奨の生成ポリシーを含み、
前記第1プラットフォーム認証ポリシーは、アクセスリクエスターのプラットフォーム認証管理ポリシー、アクセスリクエスターのプラットフォーム配置保護ポリシー、アクセス制御器に対するプラットフォーム評価ポリシーおよびアクセスリクエスターに対するプラットフォーム認証動作推奨の生成ポリシーを含み;
もし、第2プラットフォーム認証ポリシーを評価ポリシーサービスプロバイダに配置すれば、TNCアクセスポイントは評価ポリシーサービスプロバイダに第2プラットフォーム認証ポリシーを請求し、評価ポリシーサービスプロバイダが配置された第2プラットフォーム認証ポリシーをTNCアクセスポイントへ送信するステップ1と;
TNCアクセスポイントが、第2プラットフォーム認証ポリシーにおけるアクセス制御器のプラットフォーム認証管理ポリシーとアクセスリクエスターに対するプラットフォーム評価ポリシーに基づき、アクセスリクエスターに対する第1組コンポーネント測定請求パラメータと、アクセスリクエスターに対する第1組プラットフォーム評価ポリシーを生成すして、TNCクライアントへ送信し、1ラウンドのプラットフォーム認証プロトコルを開始するステップ2と;
TNCクライアントが、アクセスリクエスターの第1プラットフォーム認証管理ポリシーとアクセス制御器の第2プラットフォーム評価ポリシーに基づき、アクセス制御器の第2コンポーネント測定請求パラメータを生成し、
もし、第2組コンポーネント測定請求パラメータが、すべての、アクセス制御器のコンポーネント測定請求パラメータであれば、第2プラットフォーム評価ポリシーに基づき、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーを生成し、生成した情報を一緒にTNCアクセスポイントへ送信するステップ3と、
ここで、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーは、コンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを含み;
第2組コンポーネント測定請求パラメータの各コンポーネントタイプ識別子に対応するコンポーネント測定請求パラメータについて、TNCアクセスポイントが第2組コンポーネント測定請求パラメータに対応するアクセス制御器のコンポーネント測定値を獲得し、TNCアクセスポイントが、第2プラットフォーム配置保護ポリシーに基づき、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のプラットフォーム配置保護ポリシーを生成し、生成した情報を評価ポリシーサービスプロバイダへ一緒に送信するステップ4と;
評価ポリシーサービスプロバイダが、第2組コンポーネント測定請求パラメータにおける各コンポーネントタイプ識別子について、対応する上方のIMVへ、前記第2組コンポーネント測定請求パラメータにおける各コンポーネントタイプ識別子から選出したコンポーネントタイプ識別子に対応する
第2組コンポーネント測定値である情報dと、
第2組コンポーネント測定請求パラメータに対応するアクセス制御器のプラットフォーム配置保護ポリシーにおける前記選出したコンポーネントタイプ識別子に対応するプラットフォーム配置保護ポリシーである情報eと、
第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおける前記選出したコンポーネントタイプ識別子に対応するプラットフォーム評価ポリシーである情報fと、を送信し、
そして、これらのIMVにより戻された、前記選出したコンポーネントタイプ識別子に対応するコンポーネント製品レベルのプラットフォーム評価結果、差分値プラットフォーム評価ポリシーおよびコンポーネント修正情報を受信し、
続いて、評価ポリシーサービスプロバイダが、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおける前記選出したコンポーネントタイプ識別子に対応するプラットフォーム評価ポリシーに基づき、前記選出したコンポーネントタイプ識別子に対応する各コンポーネント製品レベルプラットフォーム評価結果を集め、コンポーネントタイプレベルのプラットフォーム評価結果とし、
ここで、前記選出したコンポーネントタイプ識別子に対応する各コンポーネント製品番号に対応するコンポーネント製品レベルプラットフォーム評価結果は、IMVが情報fにおける前記各コンポーネント製品番号から選出したコンポーネント製品番号に対応するコンポーネント属性レベルのコンバージェンスプラットフォーム評価ポリシーに基づき、前記選出したコンポーネント製品番号に対応する各コンポーネント属性レベルのプラットフォーム評価結果を集めて得られたものであり、前記選出したコンポーネント製品番号に対応する各コンポーネント属性レベルのプラットフォーム評価結果は、IMVが情報fにおける前記選出したコンポーネント製品番号に対応する各コンポーネント属性識別子から選出したコンポーネント属性識別子に対応するプラットフォーム評価ポリシーと情報eにおける前記選出したコンポーネント製品番号に対応する前記選出したコンポーネント属性識別子に対応するプラットフォーム評価ポリシーに基づき、生成したものであり、
もし、第2組コンポーネント測定請求パラメータが、すべての、アクセス制御器のコンポーネント測定請求パラメータであれば、これらのコンポーネントタイプ識別子に対応する差分値プラットフォーム評価ポリシーを集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器の差分値プラットフォーム評価ポリシーとし、これらのコンポーネントタイプ識別子に対応するコンポーネント修正情報を集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のコンポーネント修正情報とし、もし、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおいて、コンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを含まれば、評価ポリシーサービスプロバイダが、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおけるコンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーに基づき、これらのコンポーネントタイプ識別子に対応するコンポーネントタイプレベルのプラットフォーム評価結果を集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のプラットフォームレベルのプラットフォーム評価結果とし、また、生成した情報をTNCアクセスポイントへ送信するステップ5と;
もし、TNCアクセスポイントが別の1ラウンドのプラットフォーム認証プロトコルを開始する必要がない場合、アクセス制御器のプラットフォーム認証動作推奨を生成し、TNCクライアントへ送信するステップ6と;
もし、第2組コンポーネント測定請求パラメータが、すべての、アクセス制御器のコンポーネント測定請求パラメータであり、かつ第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおいてコンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを含まなければ、TNCクライアントが、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおけるコンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーに基づき、本ラウンドのプラットフォーム認証プロトコルにおいて評価ポリシーサービスプロバイダがステップ5にて生成した各コンポーネントタイプ識別子に対応するコンポーネントタイプレベルのプラットフォーム評価結果を集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のプラットフォームレベルのプラットフォーム評価結果とするステップ7と;
TNCクライアントはコンポーネントタイプ識別子により、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のコンポーネント修正情報をTNCクライアントに対応する上方の各完全性コレクターへ送信し、
もし、ステップ6においてTNCアクセスポイントが送信する情報にアクセス制御器のプラットフォーム認証動作推奨を含まれば、TNCクライアントが、アクセス制御器のプラットフォーム認証動作推奨をTNCクライアント対応する上方の各完全性コレクターへ送信するステップ8と
を含むことを特徴とする高信頼結合アーキテクチャに適正なプラットフォーム認証ポリシーの管理方法。 - ステップ4における、前記TNCアクセスポイントが第2組コンポーネント測定請求パラメータに対応するアクセス制御器のコンポーネント測定値を獲得することは、
TNCアクセスポイントが、前記選出したコンポーネントタイプ識別子に対応するコンポーネント測定請求パラメータをTNCアクセスポイント対応する上方の各完全性コレクターへ送信する。そして、これらの完全性コレクターはTNCアクセスポイントへ前記選出したコンポーネントタイプ識別子に対応するコンポーネント測定値を戻し、最後に、TNCアクセスポイントは受信したコンポーネント測定値を集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のコンポーネント測定値とすること
を含むことを特徴とする請求項8に記載の高信頼結合アーキテクチャに適正なプラットフォーム認証ポリシーの管理方法。 - もし、第2組コンポーネント測定請求パラメータが一部の、アクセス制御器のコンポーネント測定請求パラメータである場合、
前記ステップ7は、
TNCクライアントが各ラウンドのプラットフォーム認証プロトコルにおいて生成した一部の、アクセス制御器のコンポーネント測定請求パラメータが、すべての、アクセス制御器のコンポーネント測定請求パラメータをすでに構成している場合、TNCクライアントが各ラウンドのプラットフォーム認証プロトコルにおいて評価ポリシーサービスプロバイダが生成した各コンポーネントタイプ識別子に対応するコンポーネントタイプレベルのプラットフォーム評価結果を集め、また、各ラウンドのプラットフォーム認証プロトコルにおいて評価ポリシーサービスプロバイダが生成した差分値プラットフォーム評価ポリシーとコンポーネント修正情報を集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器の差分値プラットフォーム評価ポリシーとコンポーネント修正情報とし、そうならない場合、TNCクライアントが本ラウンドのプラットフォーム認証プロトコル終了後に別の1ラウンドのプラットフォーム認証プロトコルを開始し、もし、一定時間内にTNCアクセスポイントが開始した他ラウンドのプラットフォーム認証プロトコルを受信していなければ、TNCクライアントが自主的に他ラウンドのプラットフォーム認証プロトコルを開始すること
をさらに含むことを特徴とする請求項8に記載の高信頼結合アーキテクチャに適正なプラットフォーム認証ポリシーの管理方法。 - アクセスリクエスターのプラットフォーム認証管理ポリシー、アクセスリクエスターのプラットフォーム配置保護ポリシー、アクセス制御器に対するプラットフォーム評価ポリシーおよびアクセスリクエスターに対するプラットフォーム認証動作推奨の生成ポリシーを含む、配置した第1プラットフォーム認証を受信する、第1配置ユニットと、
アクセスリクエスターに対する第1組コンポーネント測定請求パラメータと、アクセスリクエスターに対する第1組プラットフォーム評価ポリシーとを受信後、第1組コンポーネント測定請求パラメータに対応する第1組コンポーネント測定値を獲得し、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターの保護ポリシーを生成し、また、TNCアクセスポイントへ第1組コンポーネント測定値、受信したアクセスリクエスターに対するプラットフォーム評価ポリシーおよび生成したアクセスリクエスターの保護ポリシーを送信する、第1獲得ユニットと、
アクセスリクエスターのプラットフォーム動作推奨を生成し、TNCアクセスポイントに送信する、第1生成ユニットと
を備えることを特徴とする高信頼結合アーキテクチャTNCにおけるクライアント。 - 前記第1獲得ユニットは、第1組コンポーネント測定請求パラメータを受信後、第1組コンポーネント測定請求パラメータにおける各コンポーネントタイプ識別子に対応するコンポーネント測定請求パラメータをTNCクライアントに相応の各完全性コレクターへ送信し、そして、これらの完全性コレクターによりそれぞれの前記第1獲得ユニットへ戻された各コンポーネントタイプ識別子に対応するコンポーネント測定値受信し、前記第1獲得ユニットが、受信した各コンポーネントタイプ識別子に対応するコンポーネント測定値を集め、第1組コンポーネント測定請求パラメータに対応する第1組コンポーネント測定値とする
ことを特徴とする請求項11に記載の高信頼結合アーキテクチャTNCにおけるクライアント。 - 前記第1生成ユニットはさらに、アクセスリクエスターの第1プラットフォーム認証管理ポリシーとアクセス制御器の第2プラットフォーム評価ポリシーに基づき、アクセス制御器の第2コンポーネント測定請求パラメータを生成する
ことを特徴とする請求項11に記載の高信頼結合アーキテクチャTNCにおけるクライアント。 - アクセス制御器のプラットフォーム認証管理ポリシー、アクセス制御器のプラットフォーム配置保護ポリシー、アクセスリクエスターに対するプラットフォーム評価ポリシーとアクセス制御器のプラットフォーム認証動作推奨の生成ポリシーを含む、配置した第2プラットフォーム認証ポリシーを受信するか、或いは、第2プラットフォーム認証ポリシーが評価ポリシーサービスプロバイダ上に配置される場合、評価ポリシーサービスプロバイダへ第2プラットフォーム認証ポリシーを要求し、評価ポリシーサービスプロバイダが送信する第2プラットフォーム認証ポリシーを受信する、第2配置ユニットと;
第2プラットフォーム認証ポリシーにおけるアクセス制御器のプラットフォーム認証管理ポリシーとアクセスリクエスターに対するプラットフォーム評価ポリシーに基づき、アクセスリクエスターに対する第1組コンポーネント測定請求パラメータと、アクセスリクエスターに対する第1組プラットフォーム評価ポリシーを生成して、TNCクライアントへ送信し、1ラウンドのプラットフォーム認証プロトコルを開始する第2生成ユニットと、
ここで、もし、第1組コンポーネント測定請求パラメータがすべての、アクセスリクエスターのコンポーネント測定請求パラメータであればアクセスリクエスターに対するプラットフォーム評価ポリシーは、コンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを含み;
TNCクライアントが送信した第1組コンポーネント測定値、アクセスリクエスターに対するプラットフォーム評価ポリシーおよびアクセスリクエスターの保護ポリシーを受信し、評価ポリシーサービスプロバイダに転送する、転送ユニットと;
第1組コンポーネント測定請求パラメータが、すべてのアクセスリクエスターのコンポーネント測定請求パラメータであり、かつ第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターに対するプラットフォーム評価ポリシーにおいて、コンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを含まれば、TNCアクセスポイントが、本ラウンドのプラットフォーム認証プロトコルにおいて評価ポリシーサービスプロバイダが生成したコンポーネントタイプレベルのプラットフォーム評価結果を集め、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターのプラットフォームレベルのプラットフォーム評価結果とし、コンポーネントタイプ識別子により、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターのコンポーネント修正情報を、TNCアクセスポイント対応する上方の各完全性コレクターへ送信し、アクセスリクエスターのプラットフォームレベルのプラットフォーム評価結果、および評価ポリシーサービスプロバイダが送信する情報をTNCクライアントへ送信する、第2獲得ユニットと
を備えることを特徴とする高信頼結合アーキテクチャTNCにおけるアクセスポイント。 - 前記第2獲得ユニットはさらに、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のコンポーネント測定値を獲得し、TNCアクセスポイントは、第2プラットフォーム配置保護ポリシーに基づき、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のプラットフォーム配置保護ポリシーを生成し、また、生成した情報を評価ポリシーサービスプロバイダへ一緒に送信する
ことを特徴とする請求項14に記載の高信頼結合アーキテクチャTNCにおけるアクセスポイント。 - 前記第2獲得ユニットは、選出したコンポーネントタイプ識別子に対応するコンポーネント測定請求パラメータをTNCアクセスポイントに対応する上方の各完全性コレクターへ送信し、そして、これらの完全性コレクターはTNCアクセスポイントへ選出したコンポーネントタイプ識別子に対応するコンポーネント測定値を戻し、最後に、TNCアクセスポイントは受信したコンポーネント測定値を集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のコンポーネント測定値とする
ことを特徴とする請求項15に記載の高信頼結合アーキテクチャTNCにおけるアクセスポイント。
- 第1組コンポーネント測定値を受信する、受信ユニットと;
第1組コンポーネント測定請求パラメータにおける各コンポーネントタイプ識別子について、対応する上方のIMVへ第1組コンポーネント測定値における各コンポーネントタイプ識別子から選出したコンポーネントタイプ識別子に対応する、コンポーネント測定値である情報aと、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターのプラットフォーム配置保護ポリシーにおける前記選出したコンポーネントタイプ識別子に対応するプラットフォーム配置保護ポリシーである情報bと、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターに対するプラットフォーム評価ポリシーにおける前記選出したコンポーネントタイプ識別子に対応するプラットフォーム評価ポリシーである情報cと、を送信し、
そして、これらのIMVにより戻された、前記選出したコンポーネントタイプ識別子に対応するコンポーネント製品レベルのプラットフォーム評価結果、差分値プラットフォーム評価ポリシーおよびコンポーネント修正情報を受信し
もし、第1組コンポーネント測定請求パラメータがすべての、アクセスリクエスターのコンポーネント測定請求パラメータであれば、これらのコンポーネントタイプ識別子に対応する差分値プラットフォーム評価ポリシーとコンポーネント修正情報を集め、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターの差分値プラットフォーム評価ポリシーとアクセスリクエスターのコンポーネント修正情報とし、もし、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターに対するプラットフォーム評価ポリシーが、コンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを備えれば、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターに対するプラットフォーム評価ポリシーにおけるコンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーに基づき、これらのコンポーネントタイプ識別子に対応するコンポーネントタイプレベルのプラットフォーム評価結果を集め、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターのプラットフォームレベルのプラットフォーム評価結果とし、
もし、第1組コンポーネント測定請求パラメータがすべての、アクセスリクエスターのコンポーネント測定請求パラメータであり、かつ第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターに対するプラットフォーム評価ポリシーにおいてコンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを含まなければ、TNCアクセスポイントが、本ラウンドのプラットフォーム認証プロトコルにおいて評価ポリシーサービスプロバイダが生成したコンポーネントタイプレベルのプラットフォーム評価結果を集め、第1組コンポーネント測定請求パラメータに対応するアクセスリクエスターのプラットフォームレベルのプラットフォーム評価結果とする、第3獲得ユニットと
を備えることを特徴とする高信頼結合アーキテクチャTNCにおける評価ポリシーサービスプロバイダ。 - 第2プラットフォーム認証ポリシーを受信して配置し、また、TNCアクセスポイントが第2プラットフォーム認証ポリシーを要求する場合、配置した第2プラットフォーム認証ポリシーをTNCアクセスポイントへ送信する、第3配置ユニット503と
をさらに備えることを特徴とする請求項17に記載の高信頼結合アーキテクチャTNCにおける評価ポリシーサービスプロバイダ。 - 前記受信ユニットは、第2組コンポーネント測定値を受信することにさらに用いられ、
前記第3獲得ユニットは、
第2組コンポーネント測定値における各コンポーネントタイプ識別子について、対応する上方のIMVへ、前記各コンポーネントタイプ識別子から選出したコンポーネントタイプ識別子に対応する、
第2組コンポーネント測定値である情報dと、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のプラットフォーム配置保護ポリシーにおける前記選出したコンポーネントタイプ識別子に対応するプラットフォーム配置保護ポリシーである情報eと、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおける前記選出したコンポーネントタイプ識別子に対応するプラットフォーム評価ポリシーである情報fと、を送信し、
そして、これらのIMVにより戻された、前記選出したコンポーネントタイプ識別子に対応するコンポーネント製品レベルのプラットフォーム評価結果、差分値プラットフォーム評価ポリシーおよびコンポーネント修正情報を受信し、
続いて、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおける前記選出したコンポーネントタイプ識別子に対応するプラットフォーム評価ポリシーに基づき、前記選出したコンポーネントタイプ識別子に対応する各コンポーネント製品レベルプラットフォーム評価結果を集め、コンポーネントタイプレベルのプラットフォーム評価結果とし、
ここで、前記選出したコンポーネントタイプ識別子に対応する各コンポーネント製品番号に対応するコンポーネント製品レベルプラットフォーム評価結果は、IMVが情報fにおける前記各コンポーネント製品番号から選出した選出したコンポーネント製品番号に対応するコンポーネント属性レベルのコンバージェンスプラットフォーム評価ポリシーに基づき、前記選出したコンポーネント製品番号に対応する各コンポーネント属性レベルのプラットフォーム評価結果を集めて得られたものであり、前記選出したコンポーネント製品番号に対応する各コンポーネント属性レベルのプラットフォーム評価結果は、IMVが情報fにおける前記選出したコンポーネント製品番号に対応する各コンポーネント属性識別子から選出したコンポーネント属性識別子に対応するプラットフォーム評価ポリシーと情報eにおける前記選出したコンポーネント製品番号に対応する前記選出したコンポーネント属性識別子に対応するプラットフォーム評価ポリシーに基づき、生成したものであり、
もし、第2組コンポーネント測定請求パラメータが、すべての、アクセス制御器のコンポーネント測定請求パラメータであれば、これらのコンポーネントタイプ識別子に対応する差分値プラットフォーム評価ポリシーを集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器の差分値プラットフォーム評価ポリシーとし、これらのコンポーネントタイプ識別子に対応するコンポーネント修正情報を集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のコンポーネント修正情報とし、もし、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおいて、コンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを含まれば、評価ポリシーサービスプロバイダが、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおけるコンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーに基づき、これらのコンポーネントタイプ識別子に対応するコンポーネントタイプレベルのプラットフォーム評価結果を集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のプラットフォームレベルのプラットフォーム評価結果とし、また、生成した情報をTNCアクセスポイントへ送信することに用いられる
ことを特徴とする請求項17に記載の高信頼結合アーキテクチャTNCにおける評価ポリシーサービスプロバイダ。 - 第2組コンポーネント測定値を受信する、受信ユニットと;
第2組コンポーネント測定値における各コンポーネントタイプ識別子について、対応する上方のIMVへ、前記第2組コンポーネント測定値における各コンポーネントタイプ識別子から選出したコンポーネントタイプ識別子に対応する、
第2組コンポーネント測定値である情報dと、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のプラットフォーム配置保護ポリシーにおける前記選出したコンポーネントタイプ識別子に対応するプラットフォーム配置保護ポリシーである情報eと、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおける前記選出したコンポーネントタイプ識別子に対応するプラットフォーム評価ポリシーである情報fと、を送信し、
そして、これらのIMVにより戻された、前記選出したコンポーネントタイプ識別子に対応するコンポーネント製品レベルのプラットフォーム評価結果、差分値プラットフォーム評価ポリシーおよびコンポーネント修正情報を受信し、
続いて、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおける前記選出したコンポーネントタイプ識別子に対応するプラットフォーム評価ポリシーに基づき、前記選出したコンポーネントタイプ識別子に対応する各コンポーネント製品レベルプラットフォーム評価結果を集め、コンポーネントタイプレベルのプラットフォーム評価結果とし、
ここで、前記選出したコンポーネントタイプ識別子に対応する各コンポーネント製品番号に対応するコンポーネント製品レベルプラットフォーム評価結果は、IMVが情報fにおける前記選出したコンポーネント製品番号に対応するコンポーネント属性レベルのコンバージェンスプラットフォーム評価ポリシーに基づき、前記選出したコンポーネント製品番号に対応する各コンポーネント属性レベルのプラットフォーム評価結果を集めて得られたものであり、前記選出したコンポーネント製品番号に対応する各コンポーネント属性レベルのプラットフォーム評価結果は、IMVが情報fにおける前記選出したコンポーネント製品番号に対応する各コンポーネント属性識別子から選出したコンポーネント属性識別子に対応するプラットフォーム評価ポリシーと情報eにおける前記選出したコンポーネント製品番号に対応する前記選出したコンポーネント属性識別子に対応するプラットフォーム評価ポリシーに基づき、生成したものであり、
もし、第2組コンポーネント測定請求パラメータが、すべての、アクセス制御器のコンポーネント測定請求パラメータであればこれらのコンポーネントタイプ識別子に対応する差分値プラットフォーム評価ポリシーを集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器の差分値プラットフォーム評価ポリシーとする。これらのコンポーネントタイプ識別子に対応するコンポーネント修正情報を集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のコンポーネント修正情報とし、もし、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおいて、コンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーを含まれば評価ポリシーサービスプロバイダが、第2組コンポーネント測定請求パラメータに対応するアクセス制御器に対するプラットフォーム評価ポリシーにおけるコンポーネントタイプレベルのコンバージェンスプラットフォーム評価ポリシーに基づき、これらのコンポーネントタイプ識別子に対応するコンポーネントタイプレベルのプラットフォーム評価結果を集め、第2組コンポーネント測定請求パラメータに対応するアクセス制御器のプラットフォームレベルのプラットフォーム評価結果とし、また、生成した情報をTNCアクセスポイントへ送信すること、をさらに含む第3獲得ユニットと
を備えることを特徴とする高信頼結合アーキテクチャTNCにおける評価ポリシーサービスプロバイダ。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010241738.9 | 2010-07-30 | ||
CN2010102417389A CN101909058B (zh) | 2010-07-30 | 2010-07-30 | 一种适合可信连接架构的平台鉴别策略管理方法及系统 |
PCT/CN2011/000901 WO2012013011A1 (zh) | 2010-07-30 | 2011-05-26 | 一种适合可信连接架构的平台鉴别策略管理方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013534335A JP2013534335A (ja) | 2013-09-02 |
JP5624214B2 true JP5624214B2 (ja) | 2014-11-12 |
Family
ID=43264377
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013522068A Active JP5624214B2 (ja) | 2010-07-30 | 2011-05-26 | 高信頼結合アーキテクチャに適正なプラットフォーム認証ポリシーの管理方法および設備 |
Country Status (6)
Country | Link |
---|---|
US (1) | US9246942B2 (ja) |
EP (1) | EP2600586A4 (ja) |
JP (1) | JP5624214B2 (ja) |
KR (1) | KR101488627B1 (ja) |
CN (1) | CN101909058B (ja) |
WO (1) | WO2012013011A1 (ja) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
SE533007C2 (sv) | 2008-10-24 | 2010-06-08 | Ilt Productions Ab | Distribuerad datalagring |
EP2712149B1 (en) | 2010-04-23 | 2019-10-30 | Compuverde AB | Distributed data storage |
CN101909058B (zh) * | 2010-07-30 | 2013-01-16 | 天维讯达无线电设备检测(北京)有限责任公司 | 一种适合可信连接架构的平台鉴别策略管理方法及系统 |
US8645978B2 (en) | 2011-09-02 | 2014-02-04 | Compuverde Ab | Method for data maintenance |
US8769138B2 (en) * | 2011-09-02 | 2014-07-01 | Compuverde Ab | Method for data retrieval from a distributed data storage system |
US9626378B2 (en) | 2011-09-02 | 2017-04-18 | Compuverde Ab | Method for handling requests in a storage system and a storage node for a storage system |
US9674193B1 (en) | 2013-07-30 | 2017-06-06 | Juniper Networks, Inc. | Aggregation and disbursement of licenses in distributed networks |
US10887861B2 (en) * | 2015-07-20 | 2021-01-05 | At&T Intellectual Property I, L.P. | Facilitating harmonization of wireless communication service delivery |
CN110535866B (zh) * | 2019-09-02 | 2022-01-28 | 杭州安恒信息技术股份有限公司 | 系统画像的生成方法、装置及服务器 |
CN112104653B (zh) * | 2020-09-15 | 2023-03-14 | 全球能源互联网研究院有限公司 | 一种充电系统的可信计算管理方法、装置及存储介质 |
US11954181B2 (en) * | 2020-12-16 | 2024-04-09 | Dell Products L.P. | System and method for managing virtual hardware licenses of hardware resources accessed via application instances |
CN113660662A (zh) * | 2021-08-29 | 2021-11-16 | 北京工业大学 | 一种车联网环境中基于可信连接架构的认证方法 |
Family Cites Families (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5544322A (en) * | 1994-05-09 | 1996-08-06 | International Business Machines Corporation | System and method for policy-based inter-realm authentication within a distributed processing system |
US7046680B1 (en) * | 2000-11-28 | 2006-05-16 | Mci, Inc. | Network access system including a programmable access device having distributed service control |
US7849495B1 (en) * | 2002-08-22 | 2010-12-07 | Cisco Technology, Inc. | Method and apparatus for passing security configuration information between a client and a security policy server |
US7484089B1 (en) * | 2002-09-06 | 2009-01-27 | Citicorp Developmemt Center, Inc. | Method and system for certificate delivery and management |
US20040225534A1 (en) * | 2003-03-06 | 2004-11-11 | Haihong Zheng | Policy management during handover |
US20050138417A1 (en) * | 2003-12-19 | 2005-06-23 | Mcnerney Shaun C. | Trusted network access control system and method |
US20050188221A1 (en) * | 2004-02-24 | 2005-08-25 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring a server application |
US7711835B2 (en) * | 2004-09-30 | 2010-05-04 | Citrix Systems, Inc. | Method and apparatus for reducing disclosure of proprietary data in a networked environment |
US8238326B2 (en) * | 2004-11-18 | 2012-08-07 | Ruckus Wireless, Inc. | Maintaining consistent network connections while moving through wireless networks |
US8266676B2 (en) * | 2004-11-29 | 2012-09-11 | Harris Corporation | Method to verify the integrity of components on a trusted platform using integrity database services |
US7376081B2 (en) * | 2005-04-04 | 2008-05-20 | Lucent Technologies Inc. | Establishment of QoS by applications in cellular networks using service based policy control mechanisms |
US8190155B2 (en) * | 2005-05-11 | 2012-05-29 | Interdigital Technology Corporation | Method and system for reselecting an access point |
US7827593B2 (en) * | 2005-06-29 | 2010-11-02 | Intel Corporation | Methods, apparatuses, and systems for the dynamic evaluation and delegation of network access control |
US7613131B2 (en) * | 2005-11-10 | 2009-11-03 | Citrix Systems, Inc. | Overlay network infrastructure |
CA2632590A1 (en) * | 2005-12-09 | 2008-02-28 | Signacert, Inc. | Method to verify the integrity of components on a trusted platform using integrity database services |
US8862551B2 (en) * | 2005-12-29 | 2014-10-14 | Nextlabs, Inc. | Detecting behavioral patterns and anomalies using activity data |
US8099495B2 (en) * | 2005-12-29 | 2012-01-17 | Intel Corporation | Method, apparatus and system for platform identity binding in a network node |
US20070174429A1 (en) * | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
US8732789B2 (en) * | 2006-05-30 | 2014-05-20 | Iyuko Services L.L.C. | Portable security policy and environment |
US8695081B2 (en) * | 2007-04-10 | 2014-04-08 | International Business Machines Corporation | Method to apply network encryption to firewall decisions |
GB0707150D0 (en) * | 2007-04-13 | 2007-05-23 | Hewlett Packard Development Co | Dynamic trust management |
US7945941B2 (en) * | 2007-06-01 | 2011-05-17 | Cisco Technology, Inc. | Flexible access control policy enforcement |
CN101340287A (zh) * | 2007-07-02 | 2009-01-07 | 华为技术有限公司 | 一种网络接入认证方法及系统和装置 |
CN100534036C (zh) * | 2007-08-01 | 2009-08-26 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接方法 |
CN100496025C (zh) * | 2007-11-16 | 2009-06-03 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制方法 |
US20090129594A1 (en) * | 2007-11-21 | 2009-05-21 | Clark Weissman | System and method for providing a trusted network facilitating inter-process communications via an e-box |
KR100925329B1 (ko) * | 2007-12-03 | 2009-11-04 | 한국전자통신연구원 | 디지털케이블 방송망에서 다운로더블 제한수신시스템을위한 상호인증 및 키 공유 방법과 장치 |
US20100192207A1 (en) * | 2009-01-28 | 2010-07-29 | Gregory G. Raleigh | Virtual service provider systems |
CN101345660B (zh) * | 2008-08-21 | 2010-06-09 | 西安西电捷通无线网络通信有限公司 | 一种基于tcpa/tcg可信网络连接的可信网络管理方法 |
CN101447992B (zh) | 2008-12-08 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 一种基于三元对等鉴别的可信网络连接实现方法 |
US8606911B2 (en) * | 2009-03-02 | 2013-12-10 | Headwater Partners I Llc | Flow tagging for service policy implementation |
CN101521883B (zh) * | 2009-03-23 | 2011-01-19 | 中兴通讯股份有限公司 | 一种数字证书的更新和使用方法及系统 |
CN101527718B (zh) * | 2009-04-16 | 2011-02-16 | 西安西电捷通无线网络通信股份有限公司 | 一种建立三元对等鉴别可信网络连接架构的方法 |
CN101527636B (zh) * | 2009-04-21 | 2011-02-16 | 西安西电捷通无线网络通信股份有限公司 | 一种适合三元对等鉴别可信网络连接架构的平台鉴别管理方法 |
CN101572706B (zh) | 2009-06-08 | 2011-06-01 | 西安西电捷通无线网络通信股份有限公司 | 一种适合三元对等鉴别可信网络连接架构的平台鉴别消息管理方法 |
KR101523420B1 (ko) * | 2010-04-12 | 2015-05-27 | 인터디지탈 패튼 홀딩스, 인크 | 부팅 처리에서의 단계화 제어 해제 |
US8726335B2 (en) * | 2010-06-28 | 2014-05-13 | Fujitsu Limited | Consigning authentication method |
US9467448B2 (en) * | 2010-06-28 | 2016-10-11 | Fujitsu Limited | Consigning authentication method |
CN101909058B (zh) | 2010-07-30 | 2013-01-16 | 天维讯达无线电设备检测(北京)有限责任公司 | 一种适合可信连接架构的平台鉴别策略管理方法及系统 |
US8572699B2 (en) * | 2010-11-18 | 2013-10-29 | Microsoft Corporation | Hardware-based credential distribution |
-
2010
- 2010-07-30 CN CN2010102417389A patent/CN101909058B/zh active Active
-
2011
- 2011-05-26 WO PCT/CN2011/000901 patent/WO2012013011A1/zh active Application Filing
- 2011-05-26 KR KR1020137004731A patent/KR101488627B1/ko active IP Right Grant
- 2011-05-26 EP EP11811713.4A patent/EP2600586A4/en not_active Ceased
- 2011-05-26 JP JP2013522068A patent/JP5624214B2/ja active Active
- 2011-05-26 US US13/813,291 patent/US9246942B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
US20130133030A1 (en) | 2013-05-23 |
CN101909058B (zh) | 2013-01-16 |
KR20130054358A (ko) | 2013-05-24 |
EP2600586A1 (en) | 2013-06-05 |
EP2600586A4 (en) | 2017-08-30 |
US9246942B2 (en) | 2016-01-26 |
KR101488627B1 (ko) | 2015-01-30 |
JP2013534335A (ja) | 2013-09-02 |
WO2012013011A1 (zh) | 2012-02-02 |
CN101909058A (zh) | 2010-12-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5624214B2 (ja) | 高信頼結合アーキテクチャに適正なプラットフォーム認証ポリシーの管理方法および設備 | |
CN110417776B (zh) | 一种身份认证方法及装置 | |
RU2437230C2 (ru) | Способ доверенного сетевого соединения для совершенствования защиты | |
US8255977B2 (en) | Trusted network connect method based on tri-element peer authentication | |
EP2936373B1 (en) | Trusted container | |
RU2437228C2 (ru) | Система доверительного сетевого подключения для улучшения безопасности | |
RU2445695C2 (ru) | Система управления доступом в надежную сеть на основе трехэлементной равноправной идентификации | |
US9781096B2 (en) | System and method for out-of-band application authentication | |
WO2010066169A1 (zh) | 一种基于三元对等鉴别的可信网络连接实现方法 | |
CN101540676A (zh) | 一种适合三元对等鉴别可信网络连接架构的平台鉴别方法 | |
CN101350721A (zh) | 一种网络系统、网络接入方法及网络设备 | |
CN101527636B (zh) | 一种适合三元对等鉴别可信网络连接架构的平台鉴别管理方法 | |
CN103780395B (zh) | 网络接入证明双向度量的方法和系统 | |
CN102215211B (zh) | 通信方法、支持可信网络接入的安全策略协商方法及系统 | |
CN113449343B (zh) | 基于量子技术的可信计算系统 | |
CN105007283B (zh) | 一种网络安全防护方法 | |
CN117220987A (zh) | 基于可信边界的跨域访问方法以及可信安全管理系统 | |
JP5635115B2 (ja) | 検疫用プログラム、検疫方法および情報処理装置 | |
WO2022234323A1 (en) | Zero-knowledge service level agreement (sla) monitoring | |
Meng et al. | Policy Server Based on Trusted Connect Technology | |
CN117560134A (zh) | 一种基于区块链的分布式可信网络接入方法 | |
Zhang et al. | Research on Remediation Model and Its Realization Based on Trusted Network | |
Gan et al. | Research of Trusted Network Security Technology | |
PCI | Approved Scanning Vendors | |
JP2005339120A (ja) | 属性情報出力装置、属性情報出力システム、および属性情報出力方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130321 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130321 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140128 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140129 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140425 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140527 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140808 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140902 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140925 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5624214 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |