RU2437228C2 - Система доверительного сетевого подключения для улучшения безопасности - Google Patents

Система доверительного сетевого подключения для улучшения безопасности Download PDF

Info

Publication number
RU2437228C2
RU2437228C2 RU2010107864/09A RU2010107864A RU2437228C2 RU 2437228 C2 RU2437228 C2 RU 2437228C2 RU 2010107864/09 A RU2010107864/09 A RU 2010107864/09A RU 2010107864 A RU2010107864 A RU 2010107864A RU 2437228 C2 RU2437228 C2 RU 2437228C2
Authority
RU
Russia
Prior art keywords
access
integrity
interface
authorizer
integrity measurement
Prior art date
Application number
RU2010107864/09A
Other languages
English (en)
Other versions
RU2010107864A (ru
Inventor
Юэлэй СЯО (CN)
Юэлэй СЯО
Цзюнь ЦАО (CN)
Цзюнь ЦАО
Сяолун ЛАЙ (CN)
Сяолун ЛАЙ
Чжэнхай ХУАН (CN)
Чжэнхай ХУАН
Original Assignee
Чайна Ивнкомм Ко., Лтд.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Чайна Ивнкомм Ко., Лтд. filed Critical Чайна Ивнкомм Ко., Лтд.
Publication of RU2010107864A publication Critical patent/RU2010107864A/ru
Application granted granted Critical
Publication of RU2437228C2 publication Critical patent/RU2437228C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Изобретение относится к сетевым технологиям, а именно к системам доверительного сетевого подключения. Техническим результатом является повышение информационной безопасности и расширение области применения технологии доверительного сетевого подключения. Технический результат достигается тем, что инициатор запроса доступа системы подключается по сети к точке применения правил по протоколу проверки подлинности и подключается по сети к авторизатору доступа через интерфейс транспортного протокола сетевой авторизации, интерфейс оценки целостности и интерфейс измерения целостности, точка применения правил подключается по сети к авторизатору доступа через интерфейс применения правил, авторизатор доступа подключается по сети к устройству управления правилами через интерфейс авторизации и проверки подлинности пользователя, интерфейс авторизации и оценки платформы и интерфейс измерения целостности, и инициатор запроса доступа подключается по сети к устройству управления правилами через интерфейс измерения целостности. 5 з.п. ф-лы, 4 ил.

Description

Эта заявка испрашивает приоритет по заявке на патент Китая №200710018437.8, поданной в китайское патентное ведомство 8 августа 2007 г. и озаглавленной «Система доверительного сетевого подключения для улучшения безопасности», которая таким образом в полном объеме включена в настоящий документ путем ссылки.
Область техники, к которой относится изобретение
Настоящее изобретение относится к области безопасности сети и, в частности, к системе доверительного сетевого подключения с улучшенной безопасностью.
Уровень техники изобретения
Проблема вредоносных компьютерных программ, например вирусов, червей и т.д., стала слишком очевидна в связи с развитием информатизации. В настоящее время существует более чем тридцать пять тысяч видов вредоносных компьютерных программ и более чем сорок миллионов компьютеров заражаются ежегодно. Для подавления таких атак требуется не только адресная безопасная транспортировка и проверка ввода данных, а также защита от источника, т.е. каждого терминала, подключенного к сети. Однако традиционным подходам защиты безопасности не удается защитить от многочисленных вредоносных атак.
Международная Группа по Доверительным Вычислениям (Trusted Computing Group, TCG) специально для решения этой проблемы установила спецификацию сетевого подключения на основе доверительного вычисления - Доверительное Сетевое Подключение (TNC) или проще TCG-TNC, которое включает в себя открытую архитектуру целостности терминала и набор стандартов для гарантии безопасных взаимодействий. Этот набор стандартов может защитить сеть так, как требуется пользователю, до степени защиты, определенной самим пользователем. TCG-TNC, в особенности предназначено, чтобы установить подключение, начиная с целостности терминала. Во-первых, требуется создать набор правил для рабочего состояния системы в доверительной сети. Только терминал, удовлетворяющий правилам, которые установлены для сети, может получить доступ в сеть, и сеть изолирует и определит местонахождение тех устройств, которые не удовлетворяют правилам. Атака программ, скрывающих следы присутствия злоумышленника или вредоносной программы в системе, может также быть блокирована вследствие использования Доверительного Платформенного Модуля (TPM). Программы, скрывающие следы присутствия злоумышленника или вредоносной программы в системе, являются видом сценариев атак, измененной системной программой или набором сценариев атак и комплектов, и предназначены для незаконного приобретения в целевой системе наивысших привилегий управления системой.
Существующая архитектура TCG-TNC, как показано на фиг.1, включает в себя три логических объекта: Инициатор Запроса Доступа AR, Точку Применения Правил PEP, Точку Выбора Правил PDP, которые могут быть распределены где угодно по всей сети. Эта архитектура TCG-TNC может быть разделена вдоль на три уровня: уровень доступа в сеть, уровень оценки целостности, уровень измерения целостности. Уровень доступа в сеть включает в себя три компонента: Инициатор Запроса Доступа в Сеть NAR, Контроллер Исполнения Правил PE и Авторизатор Доступа в Сеть NAA, а также Интерфейс Транспортного Протокола Сетевой Авторизации IF-T и Интерфейс Точки Применения Правил IF-PEP. Уровень доступа в сеть предназначен, чтобы поддерживать традиционную технологию доступа в сеть. Уровень оценки целостности отвечает за оценку целостности всех объектов, запрашивающих доступ в сеть. Этот уровень включает в себя два важных интерфейса: Интерфейс Сбора Измерений Целостности IF-IMC и Интерфейс Проверки Измерения Целостности IF-IMV. Также обеспечен Интерфейс Клиент-Сервер TNC оценки целостности IF-TNCCS между клиентом TNC и сервером TNC. Уровень измерения целостности включает в себя два компонента: Устройство Сбора Измерений Целостности IMC и Устройство Проверки Измерения Целостности IMV, которые отвечают за сбор и проверку связанной с целостностью информации инициатора запроса доступа.
Полной передачей информации на доверительное сетевое подключение в существующей архитектуре TCG-TNC является следующее: Клиент TNC TNCC должен подготовить и представить требуемую информацию целостности платформы в Устройство Сбора Измерений Целостности IMC до установления сетевого подключения. В терминале обеспечен доверительный платформенный модуль, это также означает, что информацию платформы, требуемую для правил сети, хэшируют и затем хранят в соответственных регистрах конфигурации платформы, и Сервер TNC TNCS должен предварительно установить и представить запрос проверки целостности платформы в Устройство Проверки Измерения Целостности IMV. Конкретным процессом этого является следующее: (1) Инициатор Запроса Доступа в Сеть NAR начинает запрос доступа к контроллеру исполнения правил. (2) Контроллер исполнения правил передает описание запроса доступа в авторизатор доступа в сеть. (3) Авторизатор доступа в сеть выполняет протокол проверки подлинности пользователя с Инициатором Запроса Доступа в Сеть NAR при получении описания запроса доступа от инициатора запроса доступа в сеть. Авторизатор доступа в сеть передает запрос доступа и информацию успешной проверки подлинности пользователя в сервер TNC TNCS при успешной проверке подлинности пользователя. (4) Сервер TNC TNCS начинает с выполнения двунаправленной проверки подлинности учетных данных платформы с клиентом TNC TNCC, например, Ключа Удостоверения Подлинности AIK для проверки платформы, при получении как запроса доступа, так и информации успешной проверки подлинности пользователя, переданных от авторизатора доступа в сеть. (5) Клиент TNC TNCC уведомляет Устройство Сбора Измерений Целостности IMC как о начале нового сетевого подключения, так и необходимости осуществлять протокол установления целостности связи при успешной проверке подлинности учетных данных платформы. Устройство Сбора Измерений Целостности IMC возвращает требуемую информацию целостности платформы через Интерфейс Сбора Измерений Целостности IF-IMC. Сервер TNC TNCS представляет такую информацию целостности платформы в Устройство Проверки Измерения Целостности IMV через Интерфейс Проверки Измерения Целостности IF-IMV. (6) Клиент TNC TNCC и сервер TNC TNCS осуществляют один или более обмен данными в течение выполнения протокола установления целостности связи, пока сервер TNC TNCS удовлетворяет. (7) Сервер TNC TNCS завершает выполнение протокола установления целостности связи с клиентом TNC TNCC и передает рекомендацию авторизатору доступа в сеть на запрос доступа, который будет разрешен. Если существует дополнительное соображение безопасности, то точка выбора правил по-прежнему может не разрешить любой доступ Инициатора Запроса Доступа AR. (8) Авторизатор доступа в сеть пересылает решение доступа контроллеру исполнения правил, и контроллер исполнения правил, наконец, выполняет решение управлять доступом Инициатора Запроса Доступа AR.
В настоящее время недоработанный продукт архитектуры TCG-TNC никогда не будет поставлен на рынок. Некоторые важные технологии архитектуры TCG-TNC еще находятся на стадии исследования и стандартизации и в целом страдают от следующих недостатков.
1. Плохая расширяемость. Так как предопределенный безопасный канал существует между точкой применения правил и точкой выбора правил, и точка выбора правил, возможно, управляет большим числом точек применения правил, точка выбора правил должна настроить большое число безопасных каналов, при этом вызывая усложненное управление и последующую плохую расширяемость.
2. Усложненный процесс согласования ключей. Так как данные на уровне доступа в сеть для безопасности должны быть защищены, безопасный канал должен быть установлен между Инициатором Запроса Доступа AR и точкой выбора правил, то есть здесь должно быть осуществлено согласование ключей сеанса. Однако защита данных также требуется между Инициатором Запроса Доступа AR и точкой применения правил, поэтому согласование ключей сеанса снова должно быть осуществлено между Инициатором Запроса Доступа AR и точкой применения правил, усложняя таким образом процесс согласования ключей.
3. Относительно низкая безопасность. Первичный ключ, являющийся результатом согласования между Инициатором Запроса Доступа AR и точкой выбора правил, пересылают от точки выбора правил в точку применения правил. Пересылка ключа по сети может вводить новые точки атак безопасности, чтобы понизить безопасность. Кроме того, двойное согласование ключей сеанса использует тот же первичный ключ, что может также понизить безопасность во всей архитектуре доверительного сетевого подключения.
4. Инициатор Запроса Доступа AR может быть не в состоянии проверить на правильность сертификат AIK точки выбора правил. В течение процесса проверки подлинности учетных данных платформы Инициатор Запроса Доступа AR и точка выбора правил используют личные ключи AIK и сертификаты для двунаправленной проверки подлинности учетных данных платформы, и они оба должны проверять сертификаты AIK на правильность. Если точка выбора правил является поставщиком услуг доступа в сеть Инициатора Запроса Доступа AR, то Инициатор Запроса Доступа AR не может получить доступ в любую сеть без доверительного сетевого подключения, то есть сертификат AIK точки выбора правил не может быть проверен на правильность, что будет небезопасно.
5. Оценка целостности платформы не является равноправной. В архитектуре TCG-TNC точка выбора правил осуществляет оценку целостности платформы у Инициатора Запроса Доступа AR, а Инициатор Запроса Доступа AR не будет осуществлять оценку целостности платформы у точки выбора правил. Если точка выбора правил имеет недоверенную платформу, то это будет небезопасно для Инициатора Запроса Доступа AR, который будет подключен к недоверенному устройству, а равноправное доверие необходимо в самоорганизующейся одноранговой (Ad-Hoc) сети.
Сущность изобретения
Изобретение обеспечивает систему доверительного сетевого подключения с улучшенной безопасностью, которая может решить технические проблемы, выявленные в предшествующем уровне техники, безопасность которой относительно низкая, Инициатору Запроса Доступа AR может не удаваться проверить сертификат AIK на правильность и оценка целостности платформы не является равноправной и т.д.
Техническим решением реализации изобретения является следующее:
Система доверительного сетевого подключения с улучшенной безопасностью включает в себя Инициатор Запроса Доступа AR и Точку Применения Правил PEP, где система дополнительно включает в себя Авторизатор Доступа AA и Устройство Управления Правилами PM;
Инициатор Запроса Доступа AR и Точку Применения Правил PEP подключают к сети в протоколе проверки подлинности, Инициатор Запроса Доступа AR и Авторизатор Доступа AA подключают к сети через Интерфейс Транспортного Протокола Сетевой Авторизации IF-T и Интерфейс Клиент-Сервер TNC оценки целостности IF-TNCCS, как Инициатор Запроса Доступа AR, так и Авторизатор Доступа AA обеспечивают с Интерфейсами Измерения Целостности IF-Ms, Точку Применения Правил PEP и Авторизатор Доступа AA подключают к сети через Интерфейс Точки Применения Правил IF-PEP, и Авторизатор Доступа AA и Устройство Управления Правилами PM подключают к сети через Интерфейс Авторизации и Проверки Подлинности Пользователя IF-UAA и Интерфейс Авторизации и Оценки Платформы IF-PEA; где
Интерфейс Транспортного Протокола Сетевой Авторизации IF-T является интерфейсом протокола, через который осуществляют двунаправленную проверку подлинности пользователя и согласование ключей между Инициатором Запроса Доступа AR и Авторизатором Доступа AA и осуществляют взаимное управление доступом Инициатора Запроса Доступа AR и Авторизатора Доступа AA;
Интерфейс Клиент-Сервер TNC оценки целостности IF-TNCCS является интерфейсом протокола, через который оценку целостности платформы между Инициатором Запроса Доступа AR и Авторизатором Доступа AA осуществляют при помощи проверки на правильность, Устройством Управления Правилами PM, сертификатов AIK Инициатора Запроса Доступа AR и Авторизатора Доступа AA и при помощи проверки, Устройством Управления Правилами PM, целостности платформы Инициатора Запроса Доступа AR и Авторизатора Доступа AA;
Интерфейс Измерения Целостности IF-M является интерфейсом протокола, через который связанную с целостностью платформы информацию Инициатора Запроса Доступа AR и Авторизатора Доступа AA собирают и проверяют;
Интерфейс Точки Применения Правил IF-PEP является интерфейсом протокола, через который выполняют решение Авторизатора Доступа AA;
Интерфейс Авторизации и Проверки Подлинности Пользователя IF-UAA является интерфейсом протокола, через который осуществляют двунаправленную проверку подлинности пользователя и согласование ключей между Инициатором Запроса Доступа AR и Авторизатором Доступа AA и осуществляют взаимное управление доступом между Инициатором Запроса Доступа AR и Авторизатором Доступа AA;
Интерфейс Авторизации и Оценки Платформы IF-PEA является интерфейсом протокола, через который осуществляют оценку целостности платформы между Инициатором Запроса Доступа AR и Авторизатором Доступа AA, Устройство Управления Правилами PM проверяет сертификаты AIK Инициатора Запроса Доступа AR и Авторизатора Доступа AA на правильность, и Устройство Управления Правилами PM проверяет целостность платформы Инициатора Запроса Доступа AR и Авторизатора Доступа AA.
Предпочтительно, Инициатор Запроса Доступа AR включает в себя Инициатор Запроса Доступа в Сеть NAR, Клиента TNC TNCC, и Устройство Сбора Измерений Целостности IMC1 и Устройство Проверки Измерения Целостности IMV1 Инициатора Запроса Доступа AR, где Инициатор Запроса Доступа в Сеть NAR связывается с Клиентом TNC TNCC по каналу передачи данных, Клиент TNC TNCC связывается с Устройством Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR через Интерфейс Сбора Измерений Целостности IF-IMC и Клиент TNC TNCC связывается с Устройством Проверки Измерения Целостности IMV1 Инициатора Запроса Доступа AR через Интерфейс Проверки Измерения Целостности IF-IMV;
Точка Применения Правил PEP включает в себя Устройство Исполнения Правил PE для выполнения решения Авторизатора Доступа AA;
Авторизатор Доступа AA включает в себя Авторизатор Доступа в Сеть NAA, Сервер TNC TNCS, и Устройство Проверки Измерения Целостности IMV2 и Устройство Сбора Измерений Целостности IMC2 Авторизатора Доступа AA, где Авторизатор Доступа в Сеть NAA связывается с Сервером TNC TNCS по каналу передачи данных, Сервер TNC TNCS связывается с Устройством Сбора Измерений Целостности IMC2 Авторизатора Доступа AA через Интерфейс Сбора Измерений Целостности IF-IMC, и Сервер TNC TNCS связывается с Устройством Проверки Измерения Целостности IMV2 Авторизатора Доступа AA через Интерфейс Проверки Измерения Целостности IF-IMV;
Устройство Управления Правилами PM включает в себя Блок Обслуживания Проверки Подлинности Пользователя UASU и Блок Обслуживания Оценки Платформы PESU, где Блок Обслуживания Проверки Подлинности Пользователя UASU связывается с Блоком Обслуживания Оценки Платформы PESU по каналу передачи данных;
Инициатор Запроса Доступа в Сеть NAR связывается с Контроллером Исполнения Правил PE в протоколе проверки подлинности, Контроллер Исполнения Правил PE связывается с Авторизатором Доступа в Сеть NAA через Интерфейс Точки Применения Правил IF-PEP, Инициатор Запроса Доступа в Сеть NAR связывается с Авторизатором Доступа в Сеть NAA через Интерфейс Транспортного Протокола Сетевой Авторизации IF-T, и Авторизатор Доступа в Сеть NAA связывается с Блоком Обслуживания Проверки Подлинности Пользователя UASU через Интерфейс Авторизации и Проверки Подлинности Пользователя IF-UAA;
Клиент TNC TNCC связывается с Сервером TNC TNCS через Интерфейс Клиент-Сервер TNC оценки целостности IF-TNCCS, и Сервер TNC TNCS связывается с Блоком Обслуживания Оценки Платформы PESU через Интерфейс Проверки Подлинности и Оценки Платформы IF-PEA;
Устройство Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR связывается с Устройством Проверки Измерения Целостности IMV2 Авторизатора Доступа AA через Интерфейс Измерения Целостности IF-M, и Устройство Проверки Измерения Целостности IMV1 Инициатора Запроса Доступа AR связывается с Устройством Сбора Измерений Целостности IMC2 Авторизатора Доступа AA через Интерфейс Измерения Целостности IF-M.
Предпочтительно, Устройство Сбора Показателей Целостности IMC1 Инициатора Запроса Доступа AR является компонентом для сбора информации целостности платформы, подготовленной Клиентом TNC TNCC; Устройство Проверки Измерения Целостности IMV1 Инициатора Запроса Доступа AR является компонентом для проверки информации целостности платформы Авторизатора Доступа AA, переданной от Сервера TNC TNCS; Устройство Сбора Измерений Целостности IMC2 Авторизатора Доступа AA является компонентом для сбора информации целостности платформы, подготовленной Сервером TNC TNCS; и Устройство Проверки Измерения Целостности IMV2 Авторизатора Доступа AA является компонентом для проверки информации целостности платформы Инициатора Запроса Доступа AR, переданной от Клиента TNC TNCC.
Предпочтительно, Инициатор Запроса Доступа AR включает в себя Инициатор Запроса Доступа в Сеть NAR, Клиента TNC TNCC и Устройство Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR, где Инициатор Запроса Доступа в Сеть NAR связывается с Клиентом TNC TNCC по каналу передачи данных, Клиент TNC TNCC связывается с Устройством Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR через Интерфейс Сбора Измерений Целостности IF-IMC;
Точка Применения Правил PEP включает в себя Устройство Исполнения Правил PE для выполнения решения Авторизатора Доступа AA;
Авторизатор Доступа AA включает в себя Авторизатор Доступа в Сеть NAA, Сервер TNC TNCS и Устройство Сбора Измерений Целостности IMC2 Авторизатора Доступа AA, где Авторизатор Доступа в Сеть NAA связывается с Сервером TNC TNCS по каналу передачи данных, Сервер TNC TNCS связывается с Устройством Сбора Измерений Целостности IMC2 Авторизатора Доступа AA через Интерфейс Сбора Измерений Целостности IF-IMC;
Устройство Управления Правилами PM включает в себя Блок Обслуживания Проверки Подлинности Пользователя UASU и Блок Обслуживания Оценки Платформы PESU и Устройство Проверки Измерения Целостности IMV, где Блок Обслуживания Проверки Подлинности Пользователя UASU связывается с Блоком Обслуживания Оценки Платформы PESU по каналу передачи данных, и Блок Обслуживания Оценки Платформы PESU связывается с Устройством Проверки Измерения Целостности IMV через Интерфейс Проверки Измерения Целостности IF-IMV;
Инициатор Запроса Доступа в Сеть NAR связывается с Контроллером Исполнения Правил PE в протоколе проверки подлинности, Контроллер Исполнения Правил PE связывается с Авторизатором Доступа в Сеть NAA через Интерфейс Точки Применения Правил IF-PEP, Инициатор Запроса Доступа в Сеть NAR связывается с Авторизатором Доступа в Сеть NAA через Интерфейс Транспортного Протокола Сетевой Авторизации IF-T, и Авторизатор Доступа в Сеть NAA связывается с Блоком Обслуживания Проверки Подлинности Пользователя UASU через Интерфейс Авторизации и Проверки Подлинности Пользователя IF-UAA;
Клиент TNC TNCC связывается с Сервером TNC TNCS через Интерфейс Клиент-Сервер TNC оценки целостности IF-TNCCS, и Сервер TNC TNCS связывается с Блоком Обслуживания Оценки Платформы PESU через Интерфейс Проверки Подлинности и Оценки Платформы IF-PEA;
Устройство Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR связывается с Устройством Проверки Измерения Целостности IMV Устройства Управления Правилами PM через Интерфейс Измерения Целостности IF-M, и Устройство Сбора Измерений Целостности IMC2 Авторизатора Доступа AA связывается с Устройством Проверки Измерения Целостности IMV Устройства Управления Правилами PM через Интерфейс Измерения Целостности IF-M.
Предпочтительно, Устройство Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR является компонентом для сбора информации целостности платформы, подготовленной Клиентом TNC TNCC; Устройство Сбора Измерений Целостности IMC2 Авторизатора Доступа AA является компонентом для сбора информации целостности платформы, подготовленной Сервером TNC TNCS; и Устройство Проверки Измерения Целостности IMV Устройства Управления Правилами PM является компонентом для приема требований проверки целостности платформы, предопределенных Клиентом TNC TNCC и Сервером TNC TNCS, и для проверки целостности платформы Инициатора Запроса Доступа AR и Авторизатора Доступа AA.
Предпочтительно, как Инициатор Запроса Доступа AR, так и Авторизатор Доступа AA являются логическими объектами с доверительными платформенными модулями.
Как может быть очевидно из вышеизложенных технических решений, управление доступом, основанное на трехэлементной равноправной проверке подлинности, осуществляют на уровне доступа в сеть, чтобы достигать улучшенной безопасности и упрощенного управления ключами архитектуры доверительного сетевого подключения.
Кроме того, оценка целостности платформы, согласно изобретению, может выбирать путь его реализации, согласно фактическому условию. В первом подходе, устройство управления правилами осуществляет централизованную проверку подлинности сертификатов AIK инициатора запроса доступа и авторизатора доступа, и инициатор запроса доступа и авторизатор доступа локально проверяют целостность платформы друг у друга, и этот подход применим к случаю, когда и инициатор запроса доступа, и авторизатор доступа могут получить доступ к базе данных, хранящей стандартное значение меры целостности соответственных компонентов, чтобы посредством этого достигать улучшенной безопасности и упрощенного управления ключами архитектуры доверительного сетевого подключения. Во втором подходе, как проверку подлинности сертификатов AIK, так и проверку целостность платформы инициатора запроса доступа и авторизатора доступа осуществляют устройством управления правилами, чтобы посредством этого достигать упрощенного управления ключами и способов проверки целостности, дополнительно улучшенной безопасности и расширенной области применения архитектуры доверительного сетевого подключения.
Кроме того, изобретение осуществляет не только двунаправленную проверку подлинности пользователя инициатора запроса доступа и авторизатора доступа на уровне доступа в сеть, а также двунаправленную оценку целостности платформы инициатора запроса доступа и авторизатора доступа на уровне оценки целостности, чтобы посредством этого улучшать безопасность во всей архитектуре доверительного сетевого подключения. Кроме того, безопасность во всей архитектуре доверительного сетевого подключения дополнительно улучшена вследствие использования протокола трехэлементной равноправной проверки подлинности, т.е. основанного на третьей части двунаправленного протокола проверки подлинности как на уровне доступа в сеть, так и на уровне оценки целостности.
Краткий перечень чертежей
Фиг.1 является структурной схемой существующей базовой архитектуры TCG-TNC;
Фиг.2 является структурной схемой базовой архитектуры TNC, согласно изобретению;
Фиг.3 является структурной схемой процесса полной транспортировки информации, соответствующей первому подходу оценки целостности платформы, согласно изобретению; и
Фиг.4 является структурной схемой процесса полной транспортировки информации, соответствующей второму подходу оценки целостности платформы, согласно изобретению.
Позиционные обозначения расшифрованы ниже:
PDP: Точка Выбора Правил; AR: Инициатор Запроса Доступа; PEP: Точка Применения Правил; AA: Авторизатор Доступа; PM: Устройство Управления Правилами; IMC1: Устройство Сбора Измерений Целостности Инициатора Запроса Доступа AR; IMV1: Устройство Проверки Измерения Целостности Инициатора Запроса Доступа AR; IMV2: Устройство Проверки Измерения Целостности Авторизатора Доступа AA; IMC2: Устройство Сбора Измерений Целостности Авторизатора Доступа AA; IMV: Устройство Проверки Измерения Целостности Устройства Управления Правилами PM; TNCC: Клиент TNC; TNCS: Сервер TNC; PESU: Блок Обслуживания Оценки Платформы; NAR: Инициатор Запроса Доступа в Сеть; PE: Контроллер Исполнения Правил; NAA: Авторизатор Доступа в Сеть; UASU: Блок Обслуживания Проверки Подлинности Пользователя; IF-T: Интерфейс Транспортного Протокола Сетевой Авторизации, который является интерфейсом протокола между Инициатором Запроса Доступа в Сеть NAR и Контроллером Исполнения Правил PE; IF-PEP: Интерфейс Точки Применения Правил, который является интерфейсом протокола между Контроллером Исполнения Правил PE и Авторизатором Доступа в Сеть NAA; IF-UAA: Интерфейс Авторизации и Проверки Подлинности Пользователя, который является интерфейсом протокола между Авторизатором Доступа в Сеть NAA и Блоком Обслуживания Проверки Подлинности Пользователя UASU; IF-TNCCS: Интерфейс Клиент-Сервер TNC Оценки Целостности, который является интерфейсом протокола между Клиентом TNC TNCC и Сервером TNC TNCS; IF-PEA: Интерфейс Авторизации и Оценки Платформы, который является интерфейсом протокола между Сервером TNC TNCS и Блоком Обслуживания Оценки Платформы PESU; IF-IMC: Интерфейс Сбора Измерений Целостности, который является как интерфейсом протокола между Клиентом TNC TNCC и Устройством Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR, так и интерфейсом протокола между Сервером TNC TNCS и Устройством Сбора Измерений Целостности IMC2 Авторизатора Доступа AA; IF-IMV: Интерфейс Проверки Измерения Целостности, который является интерфейсом протокола между Клиентом TNC TNCC и Устройством Проверки Измерения Целостности IMV1 Инициатора Запроса Доступа AR, интерфейсом протокола между Сервером TNC TNCS и Устройством Проверки Измерения Целостности IMV2 Авторизатора Доступа AA и интерфейсом протокола между Блоком Обслуживания Оценки Платформы PESU и Устройством Проверки Измерения Целостности Устройства Управления Правилами PM; IF-M: Интерфейс Измерения Целостности, который является интерфейсом протокола между Устройством Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR и Устройством Проверки Измерения Целостности IMV2 Авторизатора Доступа AA, интерфейсом протокола между Устройством Проверки Измерения Целостности IMV1 Инициатора Запроса Доступа AR и Устройством Сбора Измерений Целостности IMC2 Авторизатора Доступа AA, интерфейсом протокола между Устройством Сбора Измерений Целостности IMC2 Авторизатора Доступа AA и Устройством Проверки Измерения Целостности IMV Устройства Управления Правилами PM и интерфейсом протокола между Устройством Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR и Устройством Проверки Измерения Целостности IMV Устройства Управления Правилами PM.
Подробное описание изобретения
Так как различные существующие сети, в частности проводные сети, большей частью используются в архитектуре TCG-TNC, изобретение исследует архитектуру доверительного сетевого подключения с улучшенной безопасностью, установленной свыше архитектуры TCG-TNC.
Со ссылкой на фиг.2, изобретение, в основном, включает в себя четыре логических объекта: Инициатор Запроса Доступа AR, Точку Применения Правил PEP, Авторизатор Доступа AA и Управление Правилами PM, которые могут быть распределены где угодно по всей сети. Инициатор Запроса Доступа AR также называют инициатором запроса, станцией пользователя и т.д., и Управление Правилами PM также называют сервером проверки подлинности, доверительным сервером, справочным сервером и т.д. Инициатор Запроса Доступа AR и Точку Применения Правил PEP подключают к сети в протоколе проверки подлинности, Точку Применения Правил PEP и Авторизатор Доступа AA подключают к сети через Интерфейс Точки Применения Правил IF-PEP, Инициатор Запроса Доступа AR и Авторизатор Доступа AA подключают к сети через Интерфейс Транспортного Протокола Сетевой Авторизации IF-T и Интерфейс Клиент-Сервер TNC оценки целостности IF-TNCCS, как Инициатор Запроса Доступа AR, так и Авторизатор Доступа AA обеспечивают с Интерфейсами Измерения Целостности IF-Ms, и Авторизатор Доступа AA и Устройство Управления Правилами PM подключают к сети через Интерфейс Авторизации и Проверки Подлинности Пользователя IF-UAA и Интерфейс Авторизации и Оценки Платформы IF-PEA.
В первом варианте осуществления изобретения Инициатор Запроса Доступа AR, в основном, включает в себя Инициатор Запроса Доступа в Сеть NAR, Клиента TNC TNCC, Устройство Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR и Устройство Проверки Измерения Целостности IMV1 Инициатора Запроса Доступа AR. Инициатор Запроса Доступа в Сеть NAR связывается с Клиентом TNC TNCC по каналу передачи данных, чтобы пересылать сообщение Клиента TNC TNCC. Клиент TNC TNCC связывается с Устройством Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR через Интерфейс Сбора Измерений Целостности IF-IMC и с Устройством Проверки Измерения Целостности IMV1 Инициатора Запроса Доступа AR через Интерфейс Проверки Измерения Целостности IF-IMV, чтобы дать возможность связи между Устройством Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR и Устройством Проверки Измерения Целостности IMV2 Авторизатора Доступа AA и между Устройством Проверки Измерения Целостности IMV1 Инициатора Запроса Доступа AR и Устройством Сбора Измерений Целостности IMC2 Авторизатора Доступа AA.
Точка Применения Правил PEP, в основном, включает в себя Устройство Исполнения Правил PE, отвечающее за выполнение решения авторизатора доступа.
Авторизатор Доступа AA, в основном, включает в себя Авторизатор Доступа в Сеть NAA, Сервер TNC TNCS, Устройство Проверки Измерения Целостности IMV2 Авторизатора Доступа AA и Устройство Сбора Измерений Целостности IMC2 Авторизатора Доступа AA. Авторизатор Доступа в Сеть NAA связывается с Сервером TNC TNCS по каналу передачи данных, чтобы пересылать сообщение Сервера TNC TNCS. Сервер TNC TNCS связывается с Устройством Сбора Измерений Целостности IMC2 Авторизатора Доступа AA через Интерфейс Сбора Измерений Целостности IF-IMC и с Устройством Проверки Измерения Целостности IMV2 Авторизатора Доступа AA через Интерфейс Проверки Измерения Целостности IF-IMV, чтобы дать возможность связи между Устройством Проверки Измерения Целостности IMV2 Авторизатора Доступа AA и Устройством Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR и между Устройством Сбора Измерений Целостности IMC2 Авторизатора Доступа AA и Устройством Проверки Измерения Целостности IMV1 Инициатора Запроса Доступа AR.
Устройство Управления Правилами PM, в основном, включает в себя Блок Обслуживания Проверки Подлинности Пользователя UASU и Блок Обслуживания Оценки Платформы PESU. Блок Обслуживания Проверки Подлинности Пользователя UASU связывается с Блоком Обслуживания Оценки Платформы PESU по каналу передачи данных, чтобы пересылать сообщение Блока Обслуживания Оценки Платформы PESU.
Во втором варианте осуществления изобретения Инициатор Запроса Доступа AR, в основном, включает в себя Инициатор Запроса Доступа в Сеть NAR, Клиента TNC TNCC и Устройство Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR. Инициатор Запроса Доступа в Сеть NAR связывается с Клиентом TNC TNCC по каналу передачи данных, чтобы пересылать сообщение Клиента TNC TNCC. Клиент TNC TNCC связывается с Устройством Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR через Интерфейс Сбора Измерений Целостности IF-IMC, чтобы дать возможность связи между Устройством Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR и Устройством Проверки Измерения Целостности IMV Устройства Управления Правилами PM.
Точка Применения Правил PEP, в основном, включает в себя Устройство Исполнения Правил PE, отвечающее за выполнение решения авторизатора доступа.
Авторизатор Доступа AA, в основном, включает в себя Авторизатор Доступа в Сеть NAA, Сервер TNC TNCS и Устройство Сбора Измерений Целостности IMC2 Авторизатора Доступа AA. Авторизатор Доступа в Сеть NAA связывается с Сервером TNC TNCS по каналу передачи данных, чтобы пересылать сообщение Сервера TNC TNCS. Сервер TNC TNCS связывается с Устройством Сбора Измерений Целостности IMC2 Авторизатора Доступа AA через Интерфейс Сбора Измерений Целостности IF-IMC, чтобы дать возможность связи между Устройством Сбора Измерений Целостности IMC2 Авторизатора Доступа AA и Устройством Проверки Измерения Целостности IMV Устройства Управления Правилами PM.
Устройство Управления Правилами PM, в основном, включает в себя Блок Обслуживания Проверки Подлинности Пользователя UASU, Блок Обслуживания Оценки Платформы PESU и Устройство Проверки Измерения Целостности IMV. Блок Обслуживания Проверки Подлинности Пользователя UASU связывается с Блоком Обслуживания Оценки Платформы PESU по каналу передачи данных, чтобы пересылать сообщение Блока Обслуживания Оценки Платформы PESU. Блок Обслуживания Оценки Платформы PESU связывается с Устройством Проверки Измерения Целостности IMV через Интерфейс Проверки Измерения Целостности IF-IMV, чтобы дать возможность связи между Устройством Проверки Измерения Целостности IMV, и Устройством Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR и Устройством Сбора Измерений Целостности IMC2 Авторизатора Доступа AA.
Согласно изобретению, четыре компонента, т.е. Инициатор Запроса Доступа в Сеть NAR, Контроллер Исполнения Правил PE, Авторизатор Доступа в Сеть NAA и Блок Обслуживания Проверки Подлинности Пользователя UASU, составляют уровень доступа в сеть. Инициатор Запроса Доступа в Сеть NAR связывается с Авторизатором Доступа в Сеть NAA через Интерфейс Транспортного Протокола Сетевой Авторизации IF-T, Контроллер Исполнения Правил PE связывается с Авторизатором Доступа в Сеть NAA через Интерфейс Точки Применения Правил IF-PEP, и Авторизатор Доступа в Сеть NAA связывается с Блоком Обслуживания Проверки Подлинности Пользователя UASU через Интерфейс Авторизации и Проверки Подлинности Пользователя IF-UAA. На уровне доступа в сеть, безопасный канал предварительно устанавливают между Точкой Применения Правил PEP и Авторизатором Доступа в Сеть NAA. Инициатор Запроса Доступа в Сеть NAR, Авторизатор Доступа в Сеть NAA и Блок Обслуживания Проверки Подлинности Пользователя UASU выполняют протокол трехэлементной равноправной проверки подлинности при помощи Устройства Исполнения Правил PE, чтобы дать возможность двунаправленной проверки подлинности пользователя и согласования ключей Инициатора Запроса Доступа AR и Авторизатора Доступа AA. Первичный ключ, созданный в течение проверки подлинности, передают от Авторизатора Доступа в Сеть NAA Контроллеру Исполнения Правил PE по безопасному каналу. Контроллер Исполнения Правил PE использует первичный ключ для согласования ключей с Инициатором Запроса Доступа AR, чтобы защитить транспортировку данных между Точкой Применения Правил PEP и Авторизатором Доступа AA для безопасности. Уровень доступа в сеть отвечает за двунаправленную проверку подлинности пользователя и согласование ключей Инициатора Запроса Доступа AR и Авторизатора Доступа AA, согласование ключей между Инициатором Запроса Доступа AR и Точкой Применения Правил PEP и взаимное управление доступом между Авторизатором Доступа AA и Инициатором Запроса Доступа AR.
Три объекта, т.е. Клиент TNC TNCC, Сервер TNC TNCS и Блок Обслуживания Оценки Платформы PESU, составляют уровень оценки целостности. Клиент TNC TNCC связывается с Сервером TNC TNCS через Интерфейс Клиент-Сервер TNC оценки целостности IF-TNCCS, и Сервер TNC TNCS связывается с Блоком Обслуживания Оценки Платформы PESU через Интерфейс Авторизации и Оценки Платформы IF-PEA. На уровне оценки целостности, оценка целостности включает в себя проверку целостности платформы и проверку подлинности учетных данных платформы. Существует два подхода оценки целостности платформы на уровне оценки целостности, и оба из них будут подробно описаны далее.
В первом подходе оценки целостности платформы, показанном на Фиг.3, Устройство Управления Правилами PM проверяет сертификаты AIK Инициатора Запроса Доступа AR и Авторизатора Доступа AA на правильность, и Инициатор Запроса Доступа AR и Авторизатор Доступа AA локально проверяют целостность платформы друг у друга, и этот подход применим к случаю, когда и Инициатор Запроса Доступа AR и Авторизатор Доступа AA могут получить доступ к базе данных, хранящей стандартное значение меры целостности соответственных компонентов платформы, чтобы посредством этого достигать улучшенной безопасности и упрощенного управления ключами архитектуры доверительного сетевого подключения. В частности, первым подходом оценки целостности платформы является следующее: (1) проверка целостности платформы: проверку целостности платформы Инициатора Запроса Доступа AR осуществляют на Сервере TNC TNCS, проверку целостности платформы Авторизатора Доступа AA осуществляют в Клиенте TNC TNCC. (2) проверка подлинности учетных данных платформы: проверку подлинности учетных данных платформы Инициатора Запроса Доступа AR и Авторизатора Доступа AA осуществляют с протоколом трехэлементной равноправной проверки подлинности. Проверку подлинности сертификатов AIK как Инициатора Запроса Доступа AR, так и Авторизатора Доступа AA осуществляют Блоком Обслуживания Оценки Платформы PESU.
Во втором подходе оценки целостности платформы, показанном на Фиг.4, как проверку правильности сертификатов AIK, так и проверку целостности платформы Инициатора Запроса Доступа AR и Авторизатора Доступа AA осуществляют Устройством Управления Правилами PM, чтобы посредством этого достигать упрощенного управления ключами и способов проверки целостности, дополнительно улучшенной безопасности и расширенной области применения архитектуры доверительного сетевого подключения. В частности, вторым подходом оценки целостности платформы является следующее: (1) проверка целостности платформы: проверку целостности платформы как Инициатора Запроса Доступа AR, так и Авторизатора Доступа AA осуществляют Блоком Обслуживания Оценки Платформы PESU. (2) проверка подлинности учетных данных платформы: проверку подлинности учетных данных платформы Инициатора Запроса Доступа AR и Авторизатора Доступа AA осуществляют с протоколом трехэлементной равноправной проверки подлинности. Проверку правильности сертификатов AIK как Инициатора Запроса Доступа AR, так и Авторизатора Доступа AA осуществляют Блоком Обслуживания Оценки Платформы PESU.
Уровень измерения целостности отвечает за сбор и проверку информации целостности платформы Инициатора Запроса Доступа AR и Авторизатора Доступа AA.
В случае первого подхода оценки целостности платформы, Инициатор Запроса Доступа AR и Авторизатор Доступа AA как собирают, так и проверяют информацию целостности платформы. Уровень измерения целостности этой структуры, в основном, включает в себя четыре компонента, т.е. Устройство Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR, Устройство Проверки Измерения Целостности IMV1 Инициатора Запроса Доступа AR, Устройство Проверки Измерения Целостности IMV2 Авторизатора Доступа AA и Устройство Сбора Измерений Целостности IMC2 Авторизатора Доступа AA. Устройство Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR связывается с Устройством Проверки Измерения Целостности IMV2 Авторизатора Доступа AA через Интерфейс Измерения Целостности IF-M, и Устройство Проверки Измерения Целостности IMV1 Инициатора Запроса Доступа AR связывается с Устройством Сбора Измерений Целостности IMC2 Авторизатора Доступа AA через Интерфейс Измерения Целостности IF-M.
В случае второго подхода оценки целостности платформы, Инициатор Запроса Доступа AR и Авторизатор Доступа AA только собирают информацию целостности платформы, и Устройство Управления Правилами PM проверяет информацию целостности платформы. Уровень измерения целостности этой структуры, в основном, включает в себя три компонента, т.е. Устройство Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR, Устройство Сбора Измерений Целостности IMC2 Авторизатора Доступа AA и Устройство Проверки Измерения Целостности IMV Устройства Управления Правилами PM. Устройство Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR связывается с Устройством Проверки Измерения Целостности IMV Устройства Управления Правилами PM через Интерфейс Измерения Целостности IF-M, и Устройство Сбора Измерений Целостности IMC2 Авторизатора Доступа AA связывается с Устройством Проверки Измерения Целостности IMV Устройства Управления Правилами PM через Интерфейс Измерения Целостности IF-M.
Со ссылкой на фиг.3 и фиг.4, конкретными этапами изобретения для реализации доверительного сетевого подключения с улучшенной безопасностью является следующее:
(1) Осуществление инициализации. Следующие этапы осуществляют до установления сетевого подключения:
(1.1) Клиент TNC TNCC Авторизатора Доступа AA готовит и представляет информацию целостности платформы Устройству Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR; и Сервер TNC TNCS Авторизатора Доступа AA готовит и представляет информацию целостности платформы Устройству Сбора Измерений Целостности IMC2 Авторизатора Доступа AA.
(1.2) Клиент TNC TNCC и Сервер TNC TNCS предопределяют требования проверки целостности, каждое включающее в себя списки PCRs, которые Инициатор Запроса Доступа AR и Авторизатор Доступа AA запрашивают друг у друга для проверки. В случае первого подхода оценки целостности платформы, Клиент TNC TNCC и Сервер TNC TNCS представляют предопределенные требования проверки целостности напрямую Устройству Проверки Измерения Целостности IMV1 Инициатора Запроса Доступа AR и Устройству Проверки Измерения Целостности IMV2 Авторизатора Доступа AA. В случае второго подхода оценки целостности платформы, Клиент TNC TNCC и Сервер TNC TNCS представляют предопределенные требования проверки целостности Устройству Проверки Измерения Целостности IMV Устройства Управления Правилами PM только в течение оценки целостности платформы, как показано на фиг.4.
(1.3) Доверительные платформенные модули Инициатора Запроса Доступа AR и Авторизатора Доступа AA хэшируют информацию платформы, требуемую для правил сети и затем хранят ее в регистрах конфигурации платформы.
(2) Осуществление проверки подлинности пользователя.
(2.1) На уровне доступа в сеть, Инициатор Запроса Доступа в Сеть NAR начинает запрос доступа к Контроллеру Исполнения Правил PE, и Контроллер Исполнения Правил PE пересылает запрос доступа Авторизатору Доступа в Сеть NAA.
(2.2) Авторизатор Доступа в Сеть NAA начинает процесс двунаправленной проверки подлинности пользователя при получении запроса доступа, и протокол трехэлементной равноправной проверки подлинности выполняют между Инициатором Запроса Доступа в Сеть NAR, Авторизатором Доступа в Сеть NAA и Блоком Обслуживания Проверки Подлинности Пользователя UASU на уровне доступа в сеть, чтобы осуществлять двунаправленную проверку подлинности пользователя и согласование ключей Инициатора Запроса Доступа AR и Авторизатора Доступа AA. После этого, Авторизатор Доступа в Сеть NAA передает первичный ключ, созданный в течение двунаправленной проверки подлинности пользователя, Точке Применения Правил PEP по предварительно установленному безопасному каналу. В конце, Точка Применения Правил PEP использует первичный ключ для согласования ключей с Инициатором Запроса Доступа AR.
(2.3) При успешной двунаправленной проверке подлинности пользователя, Инициатор Запроса Доступа в Сеть NAR и Авторизатор Доступа в Сеть NAA передают информацию успешной проверки подлинности пользователя соответственно Клиенту TNC TNCC и Серверу TNC TNCS на уровне оценки целостности.
(3) Осуществление оценки целостности.
Когда Сервер TNC TNCS Авторизатора Доступа AA принимает информацию успешной проверки подлинности пользователя, переданную от Авторизатора Доступа в Сеть NAA, Сервер TNC TNCS Авторизатора Доступа AA, Клиент TNC TNCC Инициатора Запроса Доступа AR и Блок Обслуживания Оценки Платформы PESU Устройства Управления Правилами PM осуществляют двунаправленную оценку целостности платформы Инициатора Запроса Доступа AR и Авторизатора Доступа AA с протоколом трехэлементной равноправной проверки подлинности.
Со ссылкой на фиг.3, первую оценку целостности платформы реализуют следующим образом: (1) проверка целостности платформы: инициатор запроса доступа проверяет целостность платформы авторизатора доступа, и авторизатор доступа проверяет целостность платформы инициатора запроса доступа; и (2) проверка подлинности учетных данных платформы: устройство управления правилами проверяет сертификаты AIK инициатора запроса доступа и авторизатора доступа на правильность.
Со ссылкой на фиг.4, вторую оценку целостности платформы реализуют следующим образом: (1) проверка целостности платформы: устройство управления правилами проверяет целостность платформы инициатора запроса доступа и авторизатора доступа; и (2) проверка подлинности учетных данных платформы: устройство управления правилами проверяет сертификаты AIK инициатора запроса доступа и авторизатора доступа на правильность.
(4) Осуществление управления доступом.
Клиент TNC TNCC и Сервер TNC TNCS резюмируют соответственно результаты оценки целостности платформы Авторизатора Доступа и Инициатора Запроса Доступа AR и затем передают рекомендации соответственно в Инициатор Запроса Доступа в Сеть NAR и Авторизатор Доступа в Сеть NAA. Инициатор Запроса Доступа в Сеть NAR и Авторизатор Доступа в Сеть NAA управляют портами соответственно, согласно соответственным принятым рекомендациям, чтобы осуществлять взаимное управление доступом Инициатора Запроса Доступа AR и Авторизатора Доступа AA. Рекомендации, переданные от Клиента TNC TNCC и Сервера TNC TNCS в Инициатор Запроса Доступа в Сеть NAR и Авторизатор Доступа в Сеть NAA, включают в себя информацию разрешения доступа, информацию запрета доступа, информацию изоляции и восстановления и т.д.
В вышеизложенном варианте осуществления изобретения, управление доступом, основанное на трехэлементной равноправной проверке подлинности, осуществляют на уровне доступа в сеть, чтобы достигать улучшенной безопасности и упрощенного управления ключами архитектуры доверительного сетевого подключения.
Кроме того, оценка целостности платформы, согласно изобретению, может выбирать подход его реализации, согласно фактическому условию. В первом подходе, устройство управления правилами осуществляет централизованную проверку подлинности сертификатов AIK инициатора запроса доступа и авторизатора доступа, и инициатор запроса доступа и авторизатор доступа локально проверяют целостность платформы друг у друга, и этот подход применим к случаю, когда и инициатор запроса доступа, и авторизатор доступа могут получить доступ к базе данных, хранящей стандартное значение меры целостности соответственных компонентов, чтобы посредством этого достигать улучшенной безопасности и упрощенного управления ключами архитектуры доверительного сетевого подключения. Во втором подходе, как проверку подлинности сертификатов AIK, так и проверку целостность платформы инициатора запроса доступа и авторизатора доступа осуществляют устройством управления правилами, чтобы посредством этого достигать упрощенного управления ключами и способов проверки целостности, дополнительно улучшенной безопасности и расширенной области применения архитектуры доверительного сетевого подключения.
Кроме того, изобретение осуществляет не только двунаправленную проверку подлинности пользователя инициатора запроса доступа и авторизатора доступа на уровне доступа в сеть, а также двунаправленную оценку целостности платформы инициатора запроса доступа и авторизатора доступа на уровне оценки целостности, чтобы посредством этого улучшать безопасность во всей архитектуре доверительного сетевого подключения. Кроме того, безопасность во всей архитектуре доверительного сетевого подключения дополнительно улучшена вследствие использования протокола трехэлементной равноправной проверки подлинности, т.е. основанного на третьей части двунаправленного протокола проверки подлинности как на уровне доступа в сеть, так и на уровне оценки целостности.
Система доверительного сетевого подключения с улучшенной безопасностью согласно изобретению описана выше, принцип и варианты осуществления изобретения изложены в контексте путем конкретных примеров, и вышеизложенное описание вариантов осуществления лишь предназначено, чтобы способствовать пониманию решений изобретения; и обычные специалисты в данной области техники могут производить изменения в вариантах осуществления и областях применения в соответствии с общей идеей изобретения, и раскрытие описания не должно быть истолковано как ограничение к настоящему изобретению.

Claims (6)

1. Система доверительного сетевого подключения с улучшенной безопасностью, содержащая Инициатор Запроса Доступа AR и Точку Применения Правил PEP, в которой система дополнительно содержит Авторизатор Доступа АА и Устройство Управления Правилами РМ;
при этом Инициатор Запроса Доступа AR и Точку Применения Правил PEP подключают к сети в протоколе проверки подлинности, Инициатор Запроса Доступа AR и Авторизатор Доступа АА подключают к сети через Интерфейс Транспортного Протокола Сетевой Авторизации IF-T и Интерфейс Клиент-Сервер TNC оценки целостности IF-TNCCS, причем как Инициатор Запроса Доступа AR, так и Авторизатор Доступа АА обеспечивают Интерфейсами Измерения Целостности IF-Ms, Точку Применения Правил PEP и Авторизатор Доступа АА подключают к сети через Интерфейс Точки Применения Правил IF-PEP, и Авторизатор Доступа АА и Устройство Управления Правилами РМ подключают к сети через Интерфейс Авторизации и Проверки Подлинности Пользователя IF-UAA и Интерфейс Авторизации и Оценки Платформы IF-PEA; при этом
Интерфейс Транспортного Протокола Сетевой Авторизации IF-T является интерфейсом протокола, через который осуществляют двунаправленную проверку подлинности пользователя и согласование ключей между Инициатором Запроса Доступа AR и Авторизатором Доступа АА и осуществляют взаимное управление доступом Инициатора Запроса Доступа AR и Авторизатора Доступа АА;
Интерфейс Клиент-Сервер TNC оценки целостности IF-TNCCS является интерфейсом протокола, через который оценку целостности платформы между Инициатором Запроса Доступа AR и Авторизатором Доступа АА осуществляют при помощи проверки на правильность, Устройством Управления Правилами РМ, сертификатов AIK Инициатора Запроса Доступа AR и Авторизатора Доступа АА и при помощи проверки, Устройством Управления Правилами РМ, целостности платформы Инициатора Запроса Доступа AR и Авторизатора Доступа АА;
Интерфейс Измерения Целостности IF-M является интерфейсом протокола, через который связанную с целостностью платформы информацию Инициатора Запроса Доступа AR и Авторизатора Доступа АА собирают и проверяют;
Интерфейс Точки Применения Правил IF-PEP является интерфейсом протокола, через который выполняют решение Авторизатора Доступа АА;
Интерфейс Авторизации и Проверки Подлинности Пользователя IF-UAA является интерфейсом протокола, через который осуществляют двунаправленную проверку подлинности пользователя и согласование ключей между Инициатором Запроса Доступа AR и Авторизатором Доступа АА и осуществляют взаимное управление доступом между Инициатором Запроса Доступа AR и Авторизатором Доступа АА;
Интерфейс Авторизации и Оценки Платформы IF-PEA является интерфейсом протокола, через который осуществляют оценку целостности платформы между Инициатором Запроса Доступа AR и Авторизатором Доступа АА, при этом Устройство Управления Правилами РМ проверяет сертификаты AIK Инициатора Запроса Доступа AR и Авторизатора Доступа АА на правильность, и Устройство Управления Правилами РМ проверяет целостность платформы Инициатора Запроса Доступа AR и Авторизатора Доступа АА.
2. Система доверительного сетевого подключения с улучшенной безопасностью по п.1, в которой:
Инициатор Запроса Доступа AR содержит Инициатор Запроса Доступа в Сеть NAR, Клиента TNC TNCC, Устройство Сбора Измерений Целостности IMC1 и Устройство Проверки Измерения Целостности IMV1 Инициатора Запроса Доступа AR, причем Инициатор Запроса Доступа в Сеть NAR связывается с Клиентом TNC TNCC по каналу передачи данных, Клиент TNC TNCC связывается с Устройством Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR через Интерфейс Сбора Измерений Целостности IF-IMC и Клиент TNC TNCC связывается с Устройством Проверки Измерения Целостности IMV1 Инициатора Запроса Доступа AR через Интерфейс Проверки Измерения Целостности IF-IMV;
Точка Применения Правил PEP содержит Устройство Исполнения Правил РЕ для выполнения решения Авторизатора Доступа АА;
Авторизатор Доступа АА содержит Авторизатор Доступа в Сеть NAA, Сервер TNC TNCS, Устройство Проверки Измерения Целостности IMV2 и Устройство Сбора Измерений Целостности IMC2 Авторизатора Доступа АА, причем Авторизатор Доступа в Сеть NAA связывается с Сервером TNC TNCS по каналу передачи данных, Сервер TNC TNCS связывается с Устройством Сбора Измерений Целостности IMC2 Авторизатора Доступа АА через Интерфейс Сбора Измерений Целостности IF-IMC и Сервер TNC TNCS связывается с Устройством Проверки Измерения Целостности IMV2 Авторизатора Доступа АА через Интерфейс Проверки Измерения Целостности IF-IMV;
Устройство Управления Правилами РМ содержит Блок Обслуживания Проверки Подлинности Пользователя UASU и Блок Обслуживания Оценки Платформы PESU, причем Блок Обслуживания Проверки Подлинности Пользователя UASU связывается с Блоком Обслуживания Оценки Платформы PESU по каналу передачи данных;
Инициатор Запроса Доступа в Сеть NAR связывается с Контроллером Исполнения Правил РЕ в протоколе проверки подлинности, Контроллер Исполнения Правил РЕ связывается с Авторизатором Доступа в Сеть NAA через Интерфейс Точки Применения Правил IF-PEP, Инициатор Запроса Доступа в Сеть NAR связывается с Авторизатором Доступа в Сеть NAA через Интерфейс Транспортного Протокола Сетевой Авторизации IF-T, и Авторизатор Доступа в Сеть NAA связывается с Блоком Обслуживания Проверки Подлинности Пользователя UASU через Интерфейс Авторизации и Проверки Подлинности Пользователя IF-UAA;
Клиент TNC TNCC связывается с Сервером TNC TNCS через Интерфейс Клиент-Сервер TNC оценки целостности IF-TNCCS, и Сервер TNC TNCS связывается с Блоком Обслуживания Оценки Платформы PESU через Интерфейс Авторизации и Оценки Платформы IF-PEA;
Устройство Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR связывается с Устройством Проверки Измерения Целостности IMV2 Авторизатора Доступа АА через Интерфейс Измерения Целостности IF-M, и Устройство Проверки Измерения Целостности IMV1 Инициатора Запроса Доступа AR связывается с Устройством Сбора Измерений Целостности IMC2 Авторизатора Доступа АА через Интерфейс Измерения Целостности IF-M.
3. Система доверительного сетевого подключения с улучшенной безопасностью по п.2, в которой Устройство Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR является компонентом для сбора информации целостности платформы, подготовленной Клиентом TNC TNCC; Устройство Проверки Измерения Целостности IMV1 Инициатора Запроса Доступа AR является компонентом для проверки информации целостности платформы Авторизатора Доступа АА, переданной от Сервера TNC TNCS; Устройство Сбора Измерений Целостности IMC2 Авторизатора Доступа АА является компонентом для сбора информации целостности платформы, подготовленной Сервером TNC TNCS; и Устройство Проверки Измерения Целостности IMV2 Авторизатора Доступа АА является компонентом для проверки информации целостности платформы Инициатора Запроса Доступа AR, переданной от Клиента TNC TNCC.
4. Система доверительного сетевого подключения с улучшенной безопасностью по п.1, в которой:
Инициатор Запроса Доступа AR содержит Инициатор Запроса Доступа в Сеть NAR, Клиента TNC TNCC и Устройство Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR, причем Инициатор Запроса Доступа в Сеть NAR связывается с Клиентом TNC TNCC по каналу передачи данных, Клиент TNC TNCC связывается с Устройством Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR через Интерфейс Сбора Измерений Целостности IF-IMC;
Точка Применения Правил PEP содержит Устройство Исполнения Правил РЕ для выполнения решения Авторизатора Доступа АА;
Авторизатор Доступа АА содержит Авторизатор Доступа в Сеть NAA, Сервер TNC TNCS и Устройство Сбора Измерений Целостности IMC2 Авторизатора Доступа АА, причем Авторизатор Доступа в Сеть NAA связывается с Сервером TNC TNCS по каналу передачи данных, Сервер TNC TNCS связывается с Устройством Сбора Измерений Целостности IMC2 Авторизатора Доступа АА через Интерфейс Сбора Измерений Целостности IF-IMC;
Устройство Управления Правилами РМ содержит Блок Обслуживания Проверки Подлинности Пользователя UASU, Блок Обслуживания Оценки Платформы PESU и Устройство Проверки Измерения Целостности IMV, причем Блок Обслуживания Проверки Подлинности Пользователя UASU связывается с Блоком Обслуживания Оценки Платформы PESU по каналу передачи данных, и Блок Обслуживания Оценки Платформы PESU связывается с Устройством Проверки Измерения Целостности IMV через Интерфейс Проверки Измерения Целостности IF-IMV;
Инициатор Запроса Доступа в Сеть NAR связывается с Контроллером Исполнения Правил РЕ в протоколе проверки подлинности, Контроллер Исполнения Правил РЕ связывается с Авторизатором Доступа в Сеть NAA через Интерфейс Точки Применения Правил IF-PEP, Инициатор Запроса Доступа в Сеть NAR связывается с Авторизатором Доступа в Сеть NAA через Интерфейс Транспортного Протокола Сетевой Авторизации IF-T, и Авторизатор Доступа в Сеть NAA связывается с Блоком Обслуживания Проверки Подлинности Пользователя UASU через Интерфейс Авторизации и Проверки Подлинности Пользователя IF-UAA;
Клиент TNC TNCC связывается с Сервером TNC TNCS через Интерфейс Клиент-Сервер TNC оценки целостности IF-TNCCS, и Сервер TNC TNCS связывается с Блоком Обслуживания Оценки Платформы PESU через Интерфейс Авторизации и Оценки Платформы IF-PEA;
Устройство Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR связывается с Устройством Проверки Измерения Целостности IMV Устройства Управления Правилами РМ через Интерфейс Измерения Целостности IF-M, и Устройство Сбора Измерений Целостности IMC2 Авторизатора Доступа АА связывается с Устройством Проверки Измерения Целостности IMV Устройства Управления Правилами РМ через Интерфейс Измерения Целостности IF-M.
5. Система доверительного сетевого подключения с улучшенной безопасностью по п.4, в которой Устройство Сбора Измерений Целостности IMC1 Инициатора Запроса Доступа AR является компонентом для сбора информации целостности платформы, подготовленной Клиентом TNC TNCC; Устройство Сбора Измерений Целостности IMC2 Авторизатора Доступа АА является компонентом для сбора информации целостности платформы, подготовленной Сервером TNC TNCS; и Устройство Проверки Измерения Целостности IMV Устройства Управления Правилами РМ является компонентом для приема требований проверки целостности платформы, предопределенных Клиентом TNC TNCC и Сервером TNC TNCS, и для проверки целостности платформы Инициатора Запроса Доступа AR и Авторизатора Доступа АА.
6. Система доверительного сетевого подключения с улучшенной безопасностью по любому из пп.1-5, в которой как Инициатор Запроса Доступа AR, так и Авторизатор Доступа АА являются логическими объектами с доверительными платформенными модулями.
RU2010107864/09A 2007-08-08 2008-07-21 Система доверительного сетевого подключения для улучшения безопасности RU2437228C2 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN200710018437.8 2007-08-08
CNB2007100184378A CN100512313C (zh) 2007-08-08 2007-08-08 一种增强安全性的可信网络连接系统

Publications (2)

Publication Number Publication Date
RU2010107864A RU2010107864A (ru) 2011-09-20
RU2437228C2 true RU2437228C2 (ru) 2011-12-20

Family

ID=39933611

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2010107864/09A RU2437228C2 (ru) 2007-08-08 2008-07-21 Система доверительного сетевого подключения для улучшения безопасности

Country Status (7)

Country Link
US (1) US8336081B2 (ru)
EP (1) EP2178241A4 (ru)
JP (1) JP5187397B2 (ru)
KR (1) KR101083152B1 (ru)
CN (1) CN100512313C (ru)
RU (1) RU2437228C2 (ru)
WO (1) WO2009018743A1 (ru)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100566251C (zh) * 2007-08-01 2009-12-02 西安西电捷通无线网络通信有限公司 一种增强安全性的可信网络连接方法
CN100553212C (zh) 2007-11-16 2009-10-21 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络接入控制系统
CN100496025C (zh) 2007-11-16 2009-06-03 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络接入控制方法
CN100581170C (zh) * 2008-08-21 2010-01-13 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别可信网络连接的可信网络管理方法
CN101355459B (zh) * 2008-08-29 2010-08-25 北京理工大学 一种基于可信协议的网络监控方法
CN101527718B (zh) * 2009-04-16 2011-02-16 西安西电捷通无线网络通信股份有限公司 一种建立三元对等鉴别可信网络连接架构的方法
CN101527717B (zh) * 2009-04-16 2012-11-28 西安西电捷通无线网络通信股份有限公司 一种三元对等鉴别可信网络连接架构的实现方法
CN101572705B (zh) * 2009-06-08 2012-02-01 西安西电捷通无线网络通信股份有限公司 一种实现双向平台认证的系统及方法
US9208318B2 (en) * 2010-08-20 2015-12-08 Fujitsu Limited Method and system for device integrity authentication
GB2487049A (en) * 2011-01-04 2012-07-11 Vestas Wind Sys As Remote and local authentication of user for local access to computer system
US10795985B2 (en) * 2013-07-18 2020-10-06 Sequitur Labs Inc. Applications of secured memory areas and secure environments in policy-based access control systems for mobile computing devices
US20170187752A1 (en) * 2015-12-24 2017-06-29 Steffen SCHULZ Remote attestation and enforcement of hardware security policy
CN106789059B (zh) * 2016-11-10 2019-09-20 中国电子科技集团公司第二十八研究所 一种基于可信计算的远程双向访问控制系统及方法
CN108696868B (zh) * 2017-03-01 2020-06-19 西安西电捷通无线网络通信股份有限公司 用于网络连接的凭证信息的处理方法和装置
US11297108B2 (en) * 2018-12-28 2022-04-05 Comcast Cable Communications, Llc Methods and systems for stateful network security
CN110189473B (zh) * 2019-04-08 2021-07-06 全球能源互联网研究院有限公司 一种计费控制系统的可信度量认证交互方法及装置
US10721603B1 (en) * 2019-08-02 2020-07-21 Nokia Solutions And Networks Oy Managing network connectivity using network activity requests
CN116015977B (zh) * 2023-01-28 2024-06-18 武汉大学 一种用于物联网设备的网络访问控制方法及系统

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19539700C1 (de) 1995-10-25 1996-11-28 Siemens Ag Sicherheitschip
CN1967559A (zh) * 1999-07-06 2007-05-23 索尼株式会社 数据提供系统、装置及其方法
EP1401143B1 (en) 2002-09-17 2006-01-11 Errikos Pitsos Methods and system for providing a public key fingerprint list in a PK system
CN1191696C (zh) 2002-11-06 2005-03-02 西安西电捷通无线网络通信有限公司 一种无线局域网移动设备安全接入及数据保密通信的方法
US7395424B2 (en) * 2003-07-17 2008-07-01 International Business Machines Corporation Method and system for stepping up to certificate-based authentication without breaking an existing SSL session
CN1627683A (zh) 2003-12-09 2005-06-15 鸿富锦精密工业(深圳)有限公司 单一认证授权管理系统及方法
CN100358326C (zh) 2004-06-04 2007-12-26 西安电子科技大学 宽带无线ip网络安全体系结构及实现安全的方法
BRPI0513195A (pt) 2004-07-09 2008-04-29 Matsushita Electric Ind Co Ltd sistemas para administrar autenticação e autorização de usuário, e para suportar o usuário, métodos para administrar autenticação e autorização de usuário, para acessar serviços de múltiplas redes, para o controlador de autenticação processar uma mensagem de pedido de autenticação, selecionar a combinação de controladores de autenticação do resultado de busca, autenticar um usuário, e descobrir o caminho a um domìnio tendo relação empresarial com o domìnio doméstico, para o controlador de autorização processar a mensagem de pedido de autorização de serviço, e executar autorização de serviço, para um controlador de autenticação e autorização executar autenticação e autorização de serviço, para proteger o sìmbolo de usuário, e para a autoridade de controle de acesso no domìnio doméstico do usuário prover ao controlador de autenticação uma informação de perfil de assinatura limitada do usuário, para alcançar autenticação e autorização rápidas, e para alcançar registro único para acessar múltiplas redes, e, formatos para informação de capacidade de assinatura, para um sìmbolo de usuário, para um domìnio tendo relação empresarial com o domìnio doméstico de um usuário para pedir afirmação de autenticação e de autorização, e para um terminal de usuário indicar suas credenciais para acessar múltiplas redes em múltiplos domìnios administrativos
US8266676B2 (en) 2004-11-29 2012-09-11 Harris Corporation Method to verify the integrity of components on a trusted platform using integrity database services
US7739724B2 (en) 2005-06-30 2010-06-15 Intel Corporation Techniques for authenticated posture reporting and associated enforcement of network access
CN100534036C (zh) * 2007-08-01 2009-08-26 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络连接方法
CN100566251C (zh) * 2007-08-01 2009-12-02 西安西电捷通无线网络通信有限公司 一种增强安全性的可信网络连接方法
CN100566252C (zh) * 2007-08-03 2009-12-02 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络连接系统
CN101136928B (zh) * 2007-10-19 2012-01-11 北京工业大学 一种可信网络接入控制系统
CN100553212C (zh) * 2007-11-16 2009-10-21 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络接入控制系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Trusted Computing Group. TCG Trusted Network Connect TNC Architecture for Interoperability. Specification Version 1.2. Revision 4.21, 21.05.2007. *

Also Published As

Publication number Publication date
KR101083152B1 (ko) 2011-11-11
CN100512313C (zh) 2009-07-08
WO2009018743A1 (fr) 2009-02-12
US20120005718A1 (en) 2012-01-05
EP2178241A1 (en) 2010-04-21
JP2010536203A (ja) 2010-11-25
EP2178241A4 (en) 2011-12-07
KR20100041869A (ko) 2010-04-22
US8336081B2 (en) 2012-12-18
RU2010107864A (ru) 2011-09-20
CN101242401A (zh) 2008-08-13
JP5187397B2 (ja) 2013-04-24

Similar Documents

Publication Publication Date Title
RU2437228C2 (ru) Система доверительного сетевого подключения для улучшения безопасности
RU2445695C2 (ru) Система управления доступом в надежную сеть на основе трехэлементной равноправной идентификации
JP5259724B2 (ja) 3エレメントピア認証に基づく信頼されているネットワークアクセス制御方法
RU2437230C2 (ru) Способ доверенного сетевого соединения для совершенствования защиты
EP2180632B1 (en) A method for trusted network connect based on tri-element peer authentication
US8819803B1 (en) Validating association of client devices with authenticated clients
US8191113B2 (en) Trusted network connect system based on tri-element peer authentication
US10333930B2 (en) System and method for transparent multi-factor authentication and security posture checking
CN103780395A (zh) 网络接入证明双向度量的方法和系统
Liu et al. A trusted access method in software-defined network
CN113449343B (zh) 基于量子技术的可信计算系统