WO2009143750A1 - 基于tnc的终端数据管理、终端安全评估方法、装置和系统 - Google Patents

基于tnc的终端数据管理、终端安全评估方法、装置和系统 Download PDF

Info

Publication number
WO2009143750A1
WO2009143750A1 PCT/CN2009/071874 CN2009071874W WO2009143750A1 WO 2009143750 A1 WO2009143750 A1 WO 2009143750A1 CN 2009071874 W CN2009071874 W CN 2009071874W WO 2009143750 A1 WO2009143750 A1 WO 2009143750A1
Authority
WO
WIPO (PCT)
Prior art keywords
information
data
security
domain
request
Prior art date
Application number
PCT/CN2009/071874
Other languages
English (en)
French (fr)
Inventor
贾科
任兰芳
尹瀚
Original Assignee
华为技术有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 华为技术有限公司 filed Critical 华为技术有限公司
Publication of WO2009143750A1 publication Critical patent/WO2009143750A1/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

基于 TNC的终端数据管理、 终端安全评估方法、 装置和系统 本申请要求于 2008年 5月 26日提交中国专利局、申请号为 200810100134.5 , 发明名称为"基于 TNC的终端数据管理、 终端安全评估方法、 装置和系统"的中 国专利申请的优先权, 其全部内容通过引用的方式结合在本申请中。
技术领域
本发明涉及通信技术, 尤其涉及一种基于 TNC的终端数据管理、 终端安全 评估方法、 装置和系统。
背景技术
可信网络连接 ( Trusted Network Connect, TNC )标准是可信计算组织 ( Trusted Computing Group, TCG ) 定义的一个开放性的架构, 使网络运营者 能够执行与待接入端点安全状态相关的策略, 根据执行结果决定是否允许该端 点接入网络。
TNC 架构中的实体有接入请求者 (Access Requestor, AR )、 策略决策点 ( Policy Decision Point, PDP )、 策略执行点( Policy Enforcement Point , PEP )、 元数据访问点 (Metadata Access Point, MAP )和流量控制器和传感器, 其中, AR和 PDP是 TNC架构中必需的实体。 AR由网络接入请求者 (NAR)、 TNC客 户端 (TNCC)和完整性评估收集器 (Integrity Measurement Collector, IMC)三个组 件组成; PDP由网络接入授权 ( NAA )、 TNC服务器( TNC Server, TNCS )和 完整性评估验证器(Integrity Measurement Verifier, IMV )三个组件组成。
对于庞大、 复杂的网络系统, 单独对每个待接入端点确定一个相关的安全 策略, 由于过于繁瑣而容易造成安全漏洞, 通常采用的处理方式是进行安全域 的划分。 安全域是由一组具有相同安全保护需求、 并相互信任的系统组成的逻 辑区域。
根据制订的安全域划分规则, 将端点归入不同安全域中, 在每个安全域中 的端点具有基本相同的安全特性, 如安全级别, 安全威胁, 安全弱点风险等。 在此安全特性的基础上确定该区域相应的安全策略, 同一安全域中的系统共享 相同的安全策略。 通过安全域的划分把一个大规模复杂系统的安全问题, 化解 为更小区域的安全保护问题, 是实现大规模复杂信息系统安全等级保护的有效 方法。
对处于同一安全域中的 TNC系统, MAP客户端( MAP client ) (可以是 PEP、 PDP等)通过 MAP发布信息、 查找信息或订阅信息, 进行信息交互。 一个 MAP client可以进行信息的发布、查询和订阅,但实际情况常常是一个 MAP client不是 发布者就是订阅者。 例如, TNC Server向 MAP发布一个端点的策略合规信息, PEP向 MAP订阅此信息。 当 TNC Server检测到该端点不再策略合规, 就向 MAP 更新信息, MAP即通知 PEP, PEP就会阻止相关接入。在这个例子中, TNC Server 和 PEP都是 MAP client , TNC Server是发布者, PEP是订阅者。
在一个安全域中, 对一个待接入的网络进行安全评估时, PDP把 AR中待接 入网络安全状态属性(例如, 该待接入网络中的操作系统版本、 补丁信息、 防 火墙版本、杀毒软件的版本等)和 PDP安全状态的信息与本安全域中预定的接入 控制策略相对比, 做出针对该待接入网络的接入控制决策(完全接入 /部分接入 / 禁止接入) 。
在实现本发明的过程中, 发明人发现现有技术中至少存在如下问题: 现有 技术中一个安全域中的 MAP client只能获取所处安全域中的元数据信息,对待接 入端点的安全评估也仅限于同一安全域中, 无法解决对超出本地安全域的数据 管理和安全评估问题。 发明内容
本发明的实施例提供一种基于 TNC的终端数据管理、 终端安全评估方法、 装置和系统, 能够实现不同安全域之间数据共享和对接入终端的安全评估。
本发明的实施例采用如下技术方案:
一种基于 TNC的终端数据管理方法, 该方法包括:
接收来自信息请求域中请求者的数据请求信息;
解析所述数据请求信息, 确定信息提供域;
将所述数据请求信息向所述信息提供域中的数据访问点发送。 一种基于 TNC的终端数据管理方法, 该方法包括:
接收来自信息请求域中数据访问点的数据请求信息;
解析所述数据请求信息, 生成响应信息;
将所述响应信息向所述信息请求域中的数据访问点发送。
一种通信装置, 该装置包括:
接收模块, 用于接收来自信息请求域中请求者的数据请求信息;
解析确定模块, 用于解析所述接收模块接收的数据请求信息, 确定信息提 供域;
发送模块, 用于将所述数据请求信息向所述信息提供域中的数据访问点发 送。
一种通信装置, 该装置包括:
接收单元, 用于接收来自信息请求域中数据访问点的数据请求信息; 解析生成单元, 用于解析所述数据请求信息, 生成响应信息;
发送单元, 用于将所述响应信息向信息请求域中的数据访问点发送。
一种基于 TNC的通信系统, 该系统包括: 信息请求域中的请求者, 和至少 一个信息提供域中的至少一个数据提供者,
所述信息请求域包括:
请求者, 用于向第一数据访问点发送数据请求信息, 接收所述第一数据访 问点发送的响应信息;
第一数据访问点, 用于接收所述请求者发送的数据请求信息, 将所述数据 请求信息发送给第二数据访问点, 接收所述第二数据访问点根据所述数据请求 信息发送的响应信息, 将所述响应信息发送给所述请求者;
所述信息提供域包括:
第二数据访问点, 用于接收所述第一数据访问点发送的所述数据请求信息, 生成响应信息; 若接受所述数据请求信息, 将所述数据请求信息发送给所述数 据提供者, 接收所述数据提供者生成的响应信息; 将所述响应信息发送给所述 第一数据访问点;
数据提供者, 用于接收所述第二数据访问点发送数据请求信息, 生成响应 消息, 将所述响应消息发送给所述第二数据访问点。
一种基于 TNC的终端安全评估方法, 该方法包括:
从信息提供域中获取接入终端的安全信息 , 所述安全信息包括所述信息提 供域对所述接入终端的安全评估结果和所述接入终端在所述信息提供域中的安 全状态属性中的至少一种;
根据所述安全信息确定对所述接入终端执行的接入控制决策。
一种通信装置, 该装置包括:
安全信息获取单元, 用于从信息提供域中获取接入终端的安全信息, 所述 安全信息包括所述信息提供域对所述接入终端的安全评估结果和所述接入终端 在所述信息提供域中的安全状态属性中的至少一种;
决策确定单元, 用于根据所述安全信息确定对所述接入终端执行的接入控 制决策。
一种通信系统, 该系统包括: 接入终端、 信息提供域和信息请求域, 所述接入终端, 用于向所述信息请求域发送接入请求;
所述信息提供域包括:
第一数据访问点, 用于存储所述接入终端的安全信息, 将所述安全信息发 送给第二数据访问点, 所述安全信息包括所述信息提供域对所述接入终端的安 全评估结果和所述接入终端在所述信息提供域中的安全状态属性中的至少一 种;
所述信息请求域包括:
第二数据访问点, 用于接收来自所述第一数据访问点的所述安全信息, 将 所述安全信息发送给所述接入控制设备;
接入控制设备, 用于接收所述第二数据访问点发送的所述安全信息, 根据 所述安全信息确定对所述接入终端执行的接入控制决策, 执行所述接入控制决 來。
本发明实施例提供的基于 TNC的终端数据管理、 终端安全评估的方法、 装 置、 系统, 通过不同安全域中数据访问点之间的信息交互, 一个安全域可以获 取到另一个安全域中数据信息, 实现了在不同安全域之间的数据共享; 进一步, 通过在一个安全域中的数据访问点中存储其信任的接入终端的安全信息, 使另 一个安全域能够通过利用所述安全域中的安全信息对该接入终端进行安全评 估, 解决了现有技术中只能在同一个安全域中进行数据共享和安全评估的问题, 从而, 本发明提供的技术方案能够实现不同安全域之间数据共享和对接入终端 的安全评估。
附图说明
为了更清楚地说明本发明实施例中的技术方案, 下面将对实施例描述中所 需要使用的附图作一简单地介绍, 显而易见地, 下面描述中的附图仅仅是本发 明的一些实施例, 对于本领域普通技术人员来讲, 在不付出创造性劳动性的前 提下, 还可以根据这些附图获得其他的附图。
图 1为本发明实施例一提供的基于 TNC的终端数据管理方法流程图; 图 2为本发明实施例二提供的基于 TNC的终端数据管理方法流程图; 图 3为本发明实施例三提供的基于 TNC的终端数据管理方法流程图; 图 4为本发明实施例四提供的基于 TNC的终端数据管理方法流程图; 图 5为本发明实施例提供的基于 TNC的终端安全评估方法流程图; 图 6为本发明实施例五提供的通信装置示意图;
图 7为本发明实施例六提供的通信装置示意图;
图 8为本发明实施例七提供的通信装置示意图;
图 9为本发明实施例提供的基于 TNC的通信系统示意图;
图 10为本发明实施例提供的通信系统示意图。
具体实施方式
为了更清楚地说明本发明实施例的技术方案, 下面将结合附图对本发明的 实施例进行详细的介绍, 下面的描述仅仅是本发明的一些实施例, 对于本领域 普通技术人员来讲, 在不付出创造性劳动性的前提下, 还可以根据这些实施例 获得本发明的其他的实施方式。
本发明实施例可以应用于移动网络、 固定网络、 移动固定移动融合网络等, 可以应用于局域网、 城域网、 广域网, 可以应用于接入网、 核心网、 传输网, 可以应用于点对点网络(P2P )、 客户机 /服务器架构的网络(C/S )等。
本发明实施例一提供了一种基于 TNC的终端数据管理方法, 能够实现不同 安全域之间数据共享和对接入终端的安全评估。 下面对本发明实施例进行详细 说明。
一种基于 TNC的终端数据管理方法, 如图 1所示, 该方法包括如下步骤: 步骤 11、 接收来自信息请求域中请求者的数据请求信息;
步骤 12、 解析所述数据请求信息, 确定信息提供域;
步骤 13、 将所述数据请求信息向所述信息提供域中的数据访问点发送。 在本发明实施例一中, 信息请求域和信息提供域分别属于不同的安全域中, 安全域是由一组具有相同安全保护需求、 并相互信任的系统组成的逻辑区域。
本发明实施例一提供的终端数据管理方法, 通过不同安全域中数据访问点 之间的信息交互, 一个安全域可以获取到另一个安全域中数据信息, 实现了在 不同安全域之间的数据共享, 解决了现有技术中只能在同一个安全域中进行数 据共享的问题, 从而, 本发明提供的技术方案能够实现不同安全域之间数据共 享。
本发明实施例方法可以根据实际需要对各个步骤顺序进行调整。
在本发明实施例二中为了便于说明, 采用了第一、 第二等字样, 所述第一、 第二仅表示类别上的区分, 并不在数量上对本发明实施例进行限制。 本发明实 施例对两个安全域之间进行信息交互的情况进行说明。
如图 2所示, 采用两个数据访问点, 第一数据访问点和第二数据访问点, 第 一数据访问点位于信息请求域中, 第二数据访问点位于信息提供域中。 信息请 求域和信息提供域分别属于不同的安全域中, 安全域是由一组具有相同安全保 护需求、 并相互信任的系统组成的逻辑区域。
数据访问点的作用是提供数据给对应的数据请求者, 它本身可以存储数据 , 类似一个数据库; 也可以不存储数据, 而是从相应的数据提供者获取数据后, 提供给数据请求者, 类似一个代理。 在本发明实施例二中, 数据访问点所能提 供的数据包括但不限于终端行为、 认证状态, 以及安全状态信息等, 以下不再 贅述。
步骤 11、 接收信息请求域中请求者发送的数据请求信息, 具体包括: 步骤 Sl、 第一数据访问点接收来自信息请求域中请求者的数据请求信息。 所述数据请求信息包括请求者的身份标识、 所属域或请求信息的类型, 可选的, 所述数据请求信息还可以包括数据提供者的身份标识、 所属域、 信息提供的方 式。
步骤 12、 解析所述数据请求信息, 确定信息提供域 ;
所述第一数据访问点基于信息请求域预先制定的策略, 例如, 可以进行信 息交互的安全域, 一个安全域中可以接受的数据请求的类型等, 解析所述数据 请求信息。
当所述数据请求信息包括所述数据提供者的所属域时, 第一数据访问点获 取该所属域的地址, 所述的信息提供域即为所述数据提供者的所属域;
当所述数据请求信息不包括所述数据提供者的所属域时, 第一数据访问点 根据所述数据请求信息中的请求信息的类型 , 找出能够提供该类型信息的至少 一个安全域, 获取所述安全域的地址, 所述的信息提供域即为能够提供所述类 型信息的安全域。
本发明实施例二提供的技术方案还包括:
步骤 S2、 在第一数据访问点解析所述数据请求信息后, 数据访问点根据对 所述数据请求信息的解析结果, 向请求者发送响应消息。
若所述数据请求信息与预先制定的策略不匹配, 不能接受此请求, 则发送 的响应消息为拒绝消息, 表示拒绝本次请求, 在本发明实施例中所述拒绝消息 根据类型不同可以包括: 内部错误消息、 权限首先消息、 全局错误消息、 内存 溢出消息等;
若接受此请求, 则发送的响应消息为尝试消息 (TRYING ), 表示接受本次 请求并正在处理。
根据上述响应消息, 请求者可以获知本次请求的处理情况, 当本次请求被 拒绝后, 请求者可以根据该拒绝响应中的信息, 决定是否需调整数据请求的内 容或方式, 进行下一次请求; 当本次请求被接受后, 表明存在一个可以和所述 信息请求域进行域间信息交互的信息提供域, 第一数据访问点获取该信息提供 域的地址, 确定出所述信息提供域 。
步骤 13、 将所述数据请求信息向所述信息提供域中的数据访问点发送, 具 体包括:
步骤 S3、 第一数据访问点将所述数据请求信息发送给所述信息提供域中的 第二数据访问点。
本发明实施例三还提供了一种基于 TNC的终端数据管理方法,如图 3所示, 该方法包括如下步骤:
步骤 31、 接收来自信息请求域中数据访问点的数据请求信息;
步骤 32、 解析所述数据请求信息, 生成响应信息;
步骤 33、 将所述响应信息向所述信息请求域中的数据访问点发送。
信息请求域和信息提供域分别属于不同的安全域中, 安全域是由一组具有 相同安全保护需求、 并相互信任的系统组成的逻辑区域。
本发明实施例三提供的终端数据管理方法, 通过不同安全域中数据访问点 之间的信息交互, 一个安全域可以获取到另一个安全域中数据信息, 实现了在 不同安全域之间的数据共享, 解决了现有技术中只能在同一个安全域中进行数 据共享的问题, 从而, 本发明实施例能够实现不同安全域之间数据共享。
本发明实施例四提供的基于 TNC的终端数据管理方法包括: 步骤 31、接收 来自信息请求域中数据访问点的数据请求信息, 如图 4所示, 具体包括: 步骤 Tl、 第二数据访问点接收信息请求域中第一数据访问点发送的数据请 求信息。
步骤 32、 解析所述数据请求信息, 生成响应信息, 具体包括:
第二数据访问点基于信息提供域预先制定的策略, 例如, 可以该信息提供 域进行信息交互的信息请求域, 该信息提供域可以提供的的数据类型等, 解析 所述数据请求信息。 在本发明实施例中, 信息请求域和信息提供域分别属于不 同的安全域中, 安全域是由一组具有相同安全保护需求、 并相互信任的系统组 成的逻辑区域。
若所述数据请求信息与信息提供域预先制定的策略不匹配, 信息提供域不 能接受此请求, 则生成的响应消息为拒绝消息, 表示拒绝本次请求, 所述拒绝 消息根据类型不同可以包括: 内部错误消息、 权限受限消息、 全局错误消息、 内存溢出消息等;
若接受此请求, 则生成的所述响应消息包括尝试消息, 表示接受本次请求 并正在处理, 这种情况下, 本发明实施例提供的技术方案还包括步骤 Τ2、 第二 数据访问点将所述数据请求信息, 发送给信息提供域中的数据提供者。
第二数据访问点根据所述数据请求信息获取信息提供域中数据提供者的地 址, 确定出所述数据提供者, 所述的响应信息还包括所述数据提供者根据所述 数据请求信息生成的数据信息。
当所述数据请求信息包括所述数据提供者的身份标识时, 第二数据访问点 根据所述数据提供者的身份标识, 获取所述数据提供者的地址, 确定出所述数 据提供者;
当所述数据请求信息不包括所述数据提供者的身份标识时, 第二数据访问 点根据所述数据请求信息中的请求信息的类型 , 找出能够提供该类型信息的至 少一个数据提供者, 获取所述数据提供者的地址, 确定出所述数据提供者。
步骤 33、 将所述响应信息向信息请求域中的数据访问点发送, 具体包括: 步骤 T3、 第二数据访问点将生成的所述响应信息发送给信息请求域中第一 数据访问点。
当接收所述数据请求时, 第二数据访问点发送给信息请求域中数据访问点 的响应信息包括第二数据访问点生成的尝试信息和所述数据提供者生成的数据 信息;
当拒绝所述数据请求时, 第二数据访问点发送给信息请求域中数据访问点 的响应信息包括第二数据访问点生成的拒绝信息。
本发明实施例中的所述数据提供者的信息提供的方式分为单次和订阅两 种。
可通过在所述数据请求信息中添加信息提供的方式, 或第二数据接入点根 据请求数据的类型进行选择, 来确定一种信息提供的方式。
当所述信息提供的方式为单次时, 所述数据提供者在接收到所述数据请求 信息之后随即生成所述数据信息, 将所述数据信息发送给第二数据访问点。
当所述的信息提供的方式为订阅时, 所述数据提供者在接收到所述数据请 求信息之后根据所述订阅的条件发送相应数据信息。 所述订阅的条件可以为周 期性发布、 周期性增量发布或满足一定条件发布 (如相关安全信息发生了改变 等)。
提供者当所述订阅的条件满足时, 提供相关信息, 当所述订阅的条件不满 足时, 提供者可以不提供相关信息。
第二数据访问点在接收到所述数据信息之后, 向数据提供者发送响应信息, 表明拒绝或接受该数据信息。
在本发明实施例中, 当请求者、 第一数据访问点、 第二数据访问点或数据 提供者拒绝接收到的信息或请求时, 其发送的拒绝信息会按照其接收到的信息 的路径反向返回至所述接收信息的发送者。
本发明实施例方法可以根据实际需要对各个步骤顺序进行调整。
在本发明实施例中, 可以在所述信息请求域、 信息提供域中再分别设置第 一本地数据访问点、 第二本地数据访问点, 分别负责所述信息请求域、 信息提 供域 中本地数据信息的交互, 所述第一、 第二数据访问点只负责上述跨域之间 的信息交互; 或者, 除上述跨域之间的信息交互之外, 所述第一、 第二数据访 问点还可以分别负责所述信息请求域、 信息提供域中本地数据信息的交互。
本发明实施例还提供一种基于 TNC的终端安全评估方法, 如图 5所示, 该 方法包括如下步骤:
步骤 51、 从信息提供域中获取接入终端的安全信息, 所述安全信息包括所 述信息提供域对所述接入终端的安全评估结果和所述接入终端在所述信息提供 域中的安全状态属性中的至少一种;
步骤 52、 根据所述安全信息确定对所述接入终端执行的接入控制决策。 本发明实施例提供的终端安全评估的方法, 通过在不同安全域中数据访问 点之间的信息交互, 一个安全域可以获取到另一个安全域中数据信息; 进一步, 通过在该数据访问点中存储接入终端的相关安全信息, 使一个安全域能够对另 一个安全域的接入终端进行安全评估, 解决了现有技术中只能在同一个安全域 中进行安全评估的问题, 从而, 本发明实施例能够实现不同安全域之间对接入 终端的安全评估。
本发明实施例提供的跨域之间的终端安全评估方法, 首先需要通过数据访 问点实现跨域之间的数据共享, 然后将所述接入终端的安全信息存储在所述信 息提供域的数据访问点上, 根据所述安全信息对所述接入终端进行安全评估。
所述安全信息包括所述信息提供域对所述接入终端的安全评估结果和所述 接入终端在所述信息提供域中的安全状态属性中的至少一种。 所述安全状态属 性包括接入终端上所配置的操作系统的版本信息、 补丁信息、 防火墙版本信息、 杀毒软件版本信息、 浏览器版本信息、 病毒库信息或端口开放情况等。
本发明实施例提供的对所述的情况分为两种, 第一种情况为信息请求域不 能对接入终端进行安全评估, 第二种情况为信息请求域能够对接入终端进行安 全评估。 下面分别对这两种情况进行介绍。 第一种情况、 信息请求域不能对接入终端进行安全评估。
这种情况下, 可能是终端基于隐私考虑, 不愿暴露自己的安全姿态信息给 信息请求域; 或信息请求域不具备对终端进行安全评估的功能, 从而导致信息 请求域不能对接入终端进行安全评估。
这种情况下 , 所述安全信息为所述信息提供域对所述接入终端的安全评估 结果。
步骤 51、 从信息提供域中获取接入终端的安全信息, 所述安全信息包括所 述信息提供域对所述接入终端的安全评估结果和所述接入终端在所述信息提供 域中的安全状态属性中的至少一种。
采用两个数据访问点, 第一数据访问点和第二数据访问点, 第一数据访问 点位于信息提供域中, 第二数据访问点位于信息请求域中。
信息请求域中的接入控制装置, 本发明实施例以 TNC架构为例进行说明, 所述的接入控制装置可以为 TNC架构中的 PEP、 PDP等, 向所述第二数据访问 点发送数据请求, 所述第二数据访问点将所述数据请求发送给所述第一数据访 问点。
所述第一数据访问点将信息提供域对接入终端的安全评估结果, 发送给所 述第二数据访问点, 所述第二数据访问点再将所述安全评估结果发送给所述接 入控制装置。
本发明实施例中的所述第一数据访问点提供安全信息的方式分为单次和订 阅两种。
可通过在所述数据请求中添加信息提供的方式, 或由第一数据接入点来确 定一种安全信息的提供方式。
所述信息的提供方式为单次和订阅, 关于单次和订阅情况下信息的信息具 体交互方式与上述方法相同, 此处不再贅述。
步骤 52、 根据所述安全信息确定对所述接入终端执行的接入控制决策。 所述接入控制装置根据获取的安全评估结果, 确定对所述接入终端或所述 接入终端提供的业务额执行相应的接入控制决策, 如完全接入 /完全接受、 部分 接入 /部分接受、 禁止接入 /禁止接受等。
第二种情况、 信息请求域能够对接入终端进行安全评估。
这种情况下 , 所述安全信息为所述接入终端在所述信息提供域中的安全状 态属性。 所述安全状态属性包括接入终端上所配置的操作系统的版本信息、 补 丁信息、 防火墙版本信息、 杀毒软件版本信息、 浏览器版本信息、 病毒库信息 或端口开放情况等。
步骤 51、 从信息提供域中获取接入终端的安全信息, 所述安全信息包括所 述信息提供域对所述接入终端的安全评估结果和所述接入终端在所述信息提供 域中的安全状态属性中的至少一种。
采用两个数据访问点, 第一数据访问点和第二数据访问点, 第一数据访问 点位于信息提供域中, 第二数据访问点位于信息请求域中。
信息请求域中的接入控制装置, 本发明实施例以 TNC架构为例进行说明, 所述的接入控制装置可以为 TNC架构中的 PEP、 PDP等, 向所述第二数据访问 点发送数据请求, 所述第二数据访问点将所述数据请求发送给所述第一数据访 问点, 所述第一数据访问点根据该数据请求将接入终端在信息提供域中的安全 状态属性发送给第二数据访问点, 第二数据访问点再将接入终端的安全状态属 性发送给接入控制装置。
步骤 52、 根据所述安全信息确定对所述接入终端执行的接入控制决策。 信息请求域中的接入控制装置根据所述接入终端的安全状态属性 (如终端上 的补丁安装情况、 杀毒软件 /防火墙软件版本、 病毒库信息, 端口开放情况等) 和信息请求域中的预定的评估策略, 获取所述接入终端的安全评估结果;
根据所述安全评估结果确定对所述接入终端或所述接入终端提供的业务执 行相应的接入控制决策, 如完全接入 /完全接受、 部分接入 /部分接受、 禁止接入 /禁止接受等。
本发明实施例方法可以根据实际需要对各个步骤顺序进行调整。 本发明实施例还提供一种通信装置, 如图 6所示, 该装置包括: 接收模块 61 , 用于接收来自信息请求域中请求者的数据请求信息; 解析确定模块 62, 用于解析所述接收模块接收的数据请求信息, 确定信息 提供域;
发送模块 63, 用于将所述数据请求信息向所述信息提供域中的数据访问点 发送。
所述接收模块还进一步用于接收所述信息提供域中的数据访问点发送的响 应信息。
所述发送模块还进一步用于将所述响应信息发送给所述请求者。
本发明实施例的各个单元可以集成于一体, 也可以分离部署。 上述单元可 以合并为一个单元, 也可以进一步拆分成多个子单元。 本发明实施例中的信息 请求域和信息提供域分别属于不同的安全域中, 安全域是由一组具有相同安全 保护需求、 并相互信任的系统组成的逻辑区域。
本发明实施例的通信装置可以是路由器、 交换机、 基站、 基站控制器、 数 字用户线路接入复用器(DSLAM)、 归属位置寄存器(Home Location Register, HLR)、 手机、 个人数码助理 ( Personal Digital Assistant, PDA )、 计算机、 服务器、 机顶盒、 家用电器、 以及各种电子设备、 网络设备或计算机相关设备 等。
一种通信装置, 如图 7所示, 该装置包括:
接收单元 71 , 用于接收来自信息请求域中数据访问点的数据请求信息; 解析生成单元 72, 用于解析所述数据请求信息, 生成响应信息;
发送单元 73 ,用于将所述响应信息向所述信息请求域中的数据访问点发送。 所述的解析生成单元包括:
判断发送模块, 用于根据所述数据请求信息判断是否接受请求, 若接受, 则将所述数据请求信息发送给信息提供域中的数据提供者, 所述数据提供者生 成所述的响应信息; 第一接收模块, 用于接收所述数据提供者发送的所述响应信息。 在本发明实施例中, 信息请求域和信息提供域分别属于不同的安全域中, 安全域是由一组具有相同安全保护需求、 并相互信任的系统组成的逻辑区域。
本发明实施例还提供一种通信装置, 如图 8所示, 该装置包括:
安全信息获取单元 81, 用于从信息提供域中获取接入终端的安全信息, 所 述安全信息包括所述信息提供域对所述接入终端的安全评估结果和所述接入终 端在所述信息提供域中的安全状态属性中的至少一种;
决策确定单元 82, 用于根据所述安全信息确定对所述接入终端执行的接入 控制决策。
本发明实施例的各个单元可以集成于一体, 也可以分离部署。 上述单元可 以合并为一个单元, 也可以进一步拆分成多个子单元。 本发明实施例中的信息 请求域和信息提供域分别属于不同的安全域中, 安全域是由一组具有相同安全 保护需求、 并相互信任的系统组成的逻辑区域。
本发明实施例的通信装置可以是路由器、 交换机、 基站、 基站控制器、 数 字用户线路接入复用器(DSLAM)、 归属位置寄存器(Home Location Register, HLR)、 手机、 个人数码助理 ( Personal Digital Assistant, PDA )、 计算机、 服务器、 机顶盒、 家用电器、 以及各种电子设备、 网络设备或计算机相关设备 等。
本发明实施例还提供一种基于 TNC的通信系统,如图 9所示,该系统包括: 信息请求域中的请求者, 和至少一个信息提供域中的至少一个数据提供者, 所述信息请求域包括:
请求者 91, 用于向第一数据访问点发送数据请求信息, 接收所述第一数据 访问点发送的响应信息;
第一数据访问点 92, 用于接收所述请求者发送的数据请求信息, 将所述数 据请求信息发送给所述第二数据访问点, 接收所述第二数据访问点根据所述数 据请求信息发送的响应信息, 将所述响应信息发送给所述请求者; 所述信息提供域包括:
第二数据访问点 93 , 用于接收所述第一数据访问点发送的所述数据请求信 息, 生成响应信息; 若接受所述数据请求信息, 将所述数据请求信息发送给所 述数据提供者, 接收所述数据提供者生成的响应信息; 将所述响应信息发送给 所述第一数据访问点;
数据提供者 94, 用于接收所述第二数据访问点发送数据请求信息, 生成响 应消息, 将所述响应消息发送给所述第二数据访问点。
在本发明实施例中, 所述第一数据访问点 92、 第二数据访问点 93除了能够 用于上述域间信息之间的交互之外, 还可以分别用于所述信息请求域之中、 信 息提供域之中数据的交互; 或者,
所述第一数据访问点 92、 第二数据访问点 93只用于域间信息之间的交互 所述信息请求域还包括第一本地数据访问点, 用于所述信息请求域之中数 据的交互;
所述信息提供域还包括第二本地数据访问点, 用于所述信息提供域之中数 据的交互。
本发明实施例系统的各个单元可以集成于一个装置, 也可以分布于多个装 置。 上述单元可以合并为一个单元, 也可以进一步拆分成多个子单元。 在本发 明实施例中, 信息请求域和信息提供域分别属于不同的安全域中, 安全域是由 一组具有相同安全保护需求、 并相互信任的系统组成的逻辑区域。
本发明实施例还提供一种通信系统,如图 10所示, 该系统包括: 接入终端、 信息提供域和信息请求域 ,
所述接入终端 101 , 用于向所述信息请求域发送接入请求;
所述信息提供域包括:
第一数据访问点 102, 用于存储所述接入终端的安全信息, 将所述安全信息 发送给第二数据访问点, 所述安全信息包括所述信息提供域对所述接入终端的 安全评估结果和所述接入终端在所述信息提供域中的安全状态属性中的至少一 种;
所述信息请求域包括:
第二数据访问点 103 , 用于接收来自所述第一数据访问点的所述安全信息, 将所述安全信息发送给所述接入控制设备;
接入控制设备 104, 用于接收所述第二数据访问点发送的所述安全信息, 根 据所述安全信息确定对所述接入终端执行的接入控制决策, 执行所述接入控制 决策。
在本发明实施例中, 当所述安全信息为所述接入终端在所述信息提供域中 的安全状态属性时, 所述接入控制设备, 还进一步用于接收所述第二数据访问 点发送的所述安全状态属性, 根据所述安全状态属性和信息提请求域中的评估 策略, 获取所述接入终端的安全评估结果; 根据所述安全评估结果确定对所述 接入终端执行的接入控制决策, 执行所述接入控制决策。
本发明实施例系统的各个单元可以集成于一个装置, 也可以分布于多个装 置。 上述单元可以合并为一个单元, 也可以进一步拆分成多个子单元。 在本发 明实施例中, 信息请求域和信息提供域分别属于不同的安全域中, 安全域是由 一组具有相同安全保护需求、 并相互信任的系统组成的逻辑区域。
本发明实施例提供的基于 TNC的通信系统和通信系统, 通过不同安全域中 数据访问点之间的信息交互, 一个安全域可以获取到另一个安全域中数据信息, 实现了在不同安全域之间的数据共享; 进一步, 通过在一个安全域中的数据访 问点中存储其信任的接入终端的安全信息, 使另一个安全域能够通过利用所述 安全域中的安全信息对该接入终端进行安全评估, 解决了现有技术中只能在同 一个安全域中进行数据共享和安全评估的问题, 从而, 本发明提供的技术方案 能够实现不同安全域之间数据共享和对接入终端的安全评估。
本领域普通技术人员可以意识到, 结合本文中所公开的实施例描述的各示 例的单元及算法步骤, 能够以电子硬件、 计算机软件或者二者的结合来实现, 为了清楚地说明硬件和软件的可互换性, 在上述说明中已经按照功能一般性地 描述了各示例的组成及步骤。 这些功能究竟以硬件还是软件方式来执行, 取决 于技术方案的特定应用和设计约束条件。 专业技术人员可以对每个特定的应用 来使用不同方法来实现所描述的功能, 但是这种实现不应认为超出本发明的范 围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、 处理器 执行的软件模块, 或者二者的结合来实施。 软件模块可以置于随机存储器
( RAM ), 内存、 只读存储器(ROM )、 电可编程 ROM、 电可擦除可编程 ROM、 寄存器、 硬盘、 可移动磁盘、 CD-ROM、 或技术领域内所公知的任意其它形式 的存储介质中。
当然, 本发明的实施例还可有很多种, 在不背离本发明的实施例精神及其 和变形, 但这些相应的改变和变形都应属于本发明的实施例所附的权利要求的 保护范围。

Claims

权利要求 书
1、 一种基于 TNC的终端数据管理方法, 其特征在于, 该方法包括: 接收来自信息请求域中请求者的数据请求信息;
解析所述数据请求信息, 确定信息提供域;
将所述数据请求信息向所述信息提供域中的数据访问点发送。
2、根据权利要求 1所述的基于 TNC的终端数据管理方法, 其特征在于, 在 所述的将所述数据请求信息发送给所述信息提供域中的数据访问点的步骤之后 还包括:
接收来自所述信息提供域中的数据访问点的响应信息;
将所述响应信息向所述请求者发送。
3、根据权利要求 1或 2所述的基于 TNC的终端数据管理方法, 其特征在于, 所述数据请求信息包括: 请求者的身份标识、 所属域或请求信息的类型。
4、 一种基于 TNC的终端数据管理方法, 其特征在于, 该方法包括: 接收来自信息请求域中数据访问点的数据请求信息;
解析所述数据请求信息, 生成响应信息;
将所述响应信息向所述信息请求域中的数据访问点发送。
5、根据权利要求 4所述的基于 TNC的终端数据管理方法, 其特征在于, 所 述的解析所述数据请求信息, 生成响应信息的步骤包括:
根据所述数据请求信息判断是否接受请求, 若接受, 则将所述数据请求信 息发送给信息提供域中的数据提供者, 所述的响应信息是由所述数据提供者生 成;
接收所述数据提供者发送的所述响应信息。
6、根据权利要求 4或 5所述的基于 TNC的终端数据管理方法, 其特征在于, 所述数据请求信息包括: 请求者的身份标识、 所属域或请求信息的类型。
7、根据权利要求 5所述的基于 TNC的终端数据管理方法, 其特征在于, 所 述的响应信息包括所述数据提供者根据所述数据请求信息生成的数据信息, 所述数据信息是由所述数据提供者在接收到所述数据请求信息之后生成; 或
所述数据信息是由所述数据提供者在接收到所述数据请求信息之后按照预 定的条件生成。
8、 一种通信装置, 其特征在于, 该装置包括:
接收模块( 61 ), 用于接收来自信息请求域中请求者的数据请求信息; 解析确定模块( 62 ), 用于解析所述接收模块 ( 61 )接收的数据请求信息, 确定信息提供域;
发送模块( 63 ), 用于将所述数据请求信息向所述信息提供域中的数据访问 点发送。
9、 根据权利要求 8所述的通信装置, 其特征在于, 所述接收模块(61 )还 进一步用于接收来自所述信息提供域中的数据访问点的响应信息。
10、 根据权利要求 8所述的通信装置, 其特征在于, 所述发送模块( 63 )还 进一步用于将所述响应信息向所述请求者发送。
11、 一种通信装置, 其特征在于, 该装置包括:
接收单元( 71 ), 用于接收来自信息请求域中数据访问点的数据请求信息; 解析生成单元(72 ), 用于解析所述数据请求信息, 生成响应信息; 发送单元(73 ), 用于将所述响应信息向信息请求域中的数据访问点发送。
12、 根据权利要求 11所述的通信装置, 其特征在于, 所述的解析生成单元 ( 72 ) 包括:
判断发送模块, 用于根据所述数据请求信息判断是否接受请求, 若接受, 则将所述数据请求信息发送给信息提供域中的数据提供者, 所述的响应信息是 由所述数据提供者生成;
第一接收模块, 用于接收所述数据提供者发送的所述响应信息。
13、 一种基于 TNC的通信系统, 其特征在于, 该系统包括: 信息请求域中 的请求者, 和至少一个信息提供域中的至少一个数据提供者, 所述信息请求域包括:
请求者(91 ), 用于向第一数据访问点发送数据请求信息, 接收所述第一数 据访问点发送的响应信息;
第一数据访问点 (92 ), 用于接收所述请求者发送的数据请求信息, 将所述 数据请求信息发送给第二数据访问点, 接收所述第二数据访问点根据所述数据 请求信息发送的响应信息, 将所述响应信息发送给所述请求者;
所述信息提供域包括:
第二数据访问点( 93 ), 用于接收所述第一数据访问点发送的所述数据请求 信息, 生成响应信息; 若接受所述数据请求信息, 将所述数据请求信息发送给 所述数据提供者, 接收所述数据提供者生成的响应信息; 将所述响应信息发送 给所述第一数据访问点;
数据提供者(94 ), 用于接收所述第二数据访问点发送数据请求信息, 生成 响应消息, 将所述响应消息发送给所述第二数据访问点。
14、 根据权利要求 13所述的基于 TNC的通信系统, 其特征在于, 所述的 第一数据访问点 ( 92 )还用于所述信息请求域之中数据的交互, 所述的第二数 据访问点 ( 93 )还用于所述信息提供域之中数据的交互。
15、 根据权利要求 13所述的基于 TNC的通信系统, 其特征在于, 所述信息请求域还包括第一本地数据访问点, 用于所述信息请求域之中数 据的交互;
所述信息提供域还包括第二本地数据访问点, 用于所述信息提供域之中数 据的交互。
16、 一种基于 TNC的终端安全评估方法, 其特征在于, 该方法包括: 从信息提供域中获取接入终端的安全信息 , 所述安全信息包括所述信息提 供域对所述接入终端的安全评估结果和所述接入终端在所述信息提供域中的安 全状态属性中的至少一种;
根据所述安全信息确定对所述接入终端执行的接入控制决策。
17、 根据权利要求 16所述的基于 TNC的终端安全评估方法, 其特征在于, 在所述从信息提供域中获取接入终端的安全信息的步骤之前还包括:
信息提供域中的数据访问点存储所述安全信息。
18、 根据权利要求 17所述的基于 TNC的终端安全评估方法, 其特征在于, 所述安全信息为所述接入终端在所述信息提供域中的安全状态属性, 所述根据 所述安全信息确定对所述接入终端执行的接入控制决策的步骤包括:
根据所述接入终端的安全状态属性和信息请求域中的评估策略, 获取所述 接入终端的安全评估结果;
根据所述安全评估结果确定对所述接入终端执行的接入控制决策。
19、 一种通信装置, 其特征在于, 该装置包括:
安全信息获取单元(81 ), 用于从信息提供域中获取接入终端的安全信息, 所述安全信息包括所述信息提供域对所述接入终端的安全评估结果和所述接入 终端在所述信息提供域中的安全状态属性中的至少一种;
决策确定单元(82 ), 用于根据所述安全信息确定对所述接入终端执行的接 入控制决策。
20、 根据权利要求 19所述的通信装置 , 其特征在于, 所述安全信息为所 述接入终端在所述信息提供域中的安全状态属性,
所述决策确定单元(82 ), 用于根据所述接入终端的安全状态属性和信息提 请求域中的评估策略, 获取所述接入终端的安全评估结果; 根据所述安全评估 结果确定对所述接入终端执行的接入控制决策。
21、 一种通信系统, 其特征在于, 该系统包括: 接入终端 (101 )、 信息提 供域和信息请求域,
所述接入终端 (101 ), 用于向所述信息请求域发送接入请求;
所述信息提供域包括:
第一数据访问点 ( 102 ), 用于存储所述接入终端的安全信息, 将所述安全 信息发送给第二数据访问点 (103 ), 所述安全信息包括所述信息提供域对所述 接入终端的安全评估结果和所述接入终端在所述信息提供域中的安全状态属性 中的至少一种;
所述信息请求域包括:
第二数据访问点 (103 ), 用于接收来自所述第一数据访问点 (102 ) 的所述 安全信息 , 将所述安全信息发送给所述接入控制设备;
接入控制设备 ( 104 ), 用于接收所述第二数据访问点 ( 103 )发送的所述安 全信息, 根据所述安全信息确定对所述接入终端执行的接入控制决策, 执行所 述接入控制决策。
22、 根据权利要求 21所述的通信系统, 其特征在于, 所述安全信息为所述 接入终端在所述信息提供域中的安全状态属性,
所述接入控制设备( 104 ), 还进一步用于接收所述第二数据访问点 (103 ) 发送的所述安全状态属性, 根据所述安全状态属性和信息提请求域中的评估策 略, 获取所述接入终端的安全评估结果; 根据所述安全评估结果确定对所述接 入终端 (101 )执行的接入控制决策, 执行所述接入控制决策。
PCT/CN2009/071874 2008-05-26 2009-05-20 基于tnc的终端数据管理、终端安全评估方法、装置和系统 WO2009143750A1 (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN200810100134 2008-05-26
CN200810100134.5 2008-05-26

Publications (1)

Publication Number Publication Date
WO2009143750A1 true WO2009143750A1 (zh) 2009-12-03

Family

ID=41376602

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2009/071874 WO2009143750A1 (zh) 2008-05-26 2009-05-20 基于tnc的终端数据管理、终端安全评估方法、装置和系统

Country Status (1)

Country Link
WO (1) WO2009143750A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104618395A (zh) * 2015-03-04 2015-05-13 浪潮集团有限公司 一种基于可信网络连接的动态跨域访问控制系统及方法
US20230216810A1 (en) * 2020-10-09 2023-07-06 Guangdong Oppo Mobile Telecommunications Corp., Ltd. Information processing method and apparatus, and storage medium

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1671096A (zh) * 2004-03-17 2005-09-21 中国科学技术大学 基于策略控制的组播接入控制方法
CN1790982A (zh) * 2005-12-26 2006-06-21 北京航空航天大学 基于协商通信实现信任认证的方法及系统
US20070110248A1 (en) * 1999-02-05 2007-05-17 Yunzhou Li Method for key distribution in a hierarchical multicast traffic security system for an internetwork

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070110248A1 (en) * 1999-02-05 2007-05-17 Yunzhou Li Method for key distribution in a hierarchical multicast traffic security system for an internetwork
CN1671096A (zh) * 2004-03-17 2005-09-21 中国科学技术大学 基于策略控制的组播接入控制方法
CN1790982A (zh) * 2005-12-26 2006-06-21 北京航空航天大学 基于协商通信实现信任认证的方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104618395A (zh) * 2015-03-04 2015-05-13 浪潮集团有限公司 一种基于可信网络连接的动态跨域访问控制系统及方法
US20230216810A1 (en) * 2020-10-09 2023-07-06 Guangdong Oppo Mobile Telecommunications Corp., Ltd. Information processing method and apparatus, and storage medium

Similar Documents

Publication Publication Date Title
US11949656B2 (en) Network traffic inspection
US10958662B1 (en) Access proxy platform
EP3481029B1 (en) Internet defense method and authentication server
US9009465B2 (en) Augmenting name/prefix based routing protocols with trust anchor in information-centric networks
US9807092B1 (en) Systems and methods for classification of internet devices as hostile or benign
US9876824B2 (en) Policy-based control layer in a communication fabric
US11457040B1 (en) Reverse TCP/IP stack
TWI565260B (zh) 網路連接裝置之連接路徑的監視技術
JP2020516202A (ja) コアネットワークアクセスプロバイダ
US9881304B2 (en) Risk-based control of application interface transactions
US11843532B2 (en) Application peering
MX2011003223A (es) Acceso al proveedor de servicio.
US20150150079A1 (en) Methods, systems and devices for network security
WO2023065969A1 (zh) 访问控制方法、装置及系统
US8793773B2 (en) System and method for providing reputation reciprocity with anonymous identities
US20160269382A1 (en) Secure Distribution of Non-Privileged Authentication Credentials
US9866391B1 (en) Permissions based communication
JP2023508302A (ja) ネットワークセキュリティ保護方法及び保護デバイス
Wehbe et al. A security assessment of HTTP/2 usage in 5G service-based architecture
WO2009155849A1 (zh) 终端安全状态的监控和更新方法及系统
US11784993B2 (en) Cross site request forgery (CSRF) protection for web browsers
CN112291204B (zh) 访问请求的处理方法、装置及可读存储介质
US20230247049A1 (en) Mitigation of route hijacking techniques in a network
WO2009143750A1 (zh) 基于tnc的终端数据管理、终端安全评估方法、装置和系统
US10659497B2 (en) Originator-based network restraint system for identity-oriented networks

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 09753468

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 09753468

Country of ref document: EP

Kind code of ref document: A1