【技术实现步骤摘要】
【国外来华专利技术】背景随着近来病毒和蠕虫攻击的日益猖獗,已出现了强化耦合于网络的计算设备对抗这些攻击并安装措施以使网络能防御有攻击倾向的计算设备的行业尝试。这已导致对定义基于所有权和标准的网络安全框架和通信协议的多个行业倡议。在采用时,这些基于标准的网络安全框架可遏制或对抗病毒或蠕虫攻击。此外,美国电气和电子工程师协会(IEEE)和INTERNET工程任务组织(IETF)标准体已定义了可用来提供附加网络安全性的通信协议或者正处于定义这种通信协议的过程中。这些行业倡议寻求对连接到网络的计算设备提供严格的访问控制。定义成防御网络攻击的对抗措施主要采取开放系统互连(OSI)第2层、IEEE802.1X通信协议的形式。参见2001年10月25日公布的IEEE 802.1X-2001("IEEE802.1X")和/或后续版本。这些通信协议通常在计算设备或驻留/运行在该设备上的任何元件被允许访问网络之前利用IETF定义的可扩展认证协议(EAP)和相关联的衍生品来确定该设备的凭证。参见IETF网络工作组在2004年6月公布的因特网标准草案:3748,可扩展认证协议(“RFC 3748”)和/或后续版本。一旦已(例如经由IEEE 802.1X和/或RFC 3748)执行了初始认证且计算设备已被准予访问网络,就可执行维持其上承载所有后续数据的安全通信信道的附加协议。该安全通信信道提供诸如数据源真实性和数据机密性等密码服务。结果,可能防止或遏制最主要的安全威胁。 ...
【技术保护点】
一种方法,包括: 从耦合于网络的平台上的访问请求者发起网络访问请求,所述网络访问请求对所述网络的策略判定点作出; 在所述策略判定点与所述平台上的策略实施点之间的通信链路上建立安全通信信道; 在另一通信链路上建立另一安全通信 信道,所述另一通信链路在所述策略实施点和驻留在所述平台上的可管理性引擎之间,所述可管理性引擎转发与所述访问请求者和所述可管理性引擎相关联的姿态信息,所述姿态信息经由所述可管理性引擎与所述策略判定点之间的安全通信信道转发;以及 将所述姿 态信息经由所述策略实施点与所述策略判定点之间的安全通信信道转发到所述策略判定点,所述策略判定点基于所述姿态信息与一个或多个网络管理策略的比较指示所述访问请求者可获取对所述网络的什么访问。
【技术特征摘要】
【国外来华专利技术】US 2006-3-31 11/395,5041.一种方法,包括:
从耦合于网络的平台上的访问请求者发起网络访问请求,所述网络访问请求
对所述网络的策略判定点作出;
在所述策略判定点与所述平台上的策略实施点之间的通信链路上建立安全通
信信道;
在另一通信链路上建立另一安全通信信道,所述另一通信链路在所述策略实
施点和驻留在所述平台上的可管理性引擎之间,所述可管理性引擎转发与所述访问
请求者和所述可管理性引擎相关联的姿态信息,所述姿态信息经由所述可管理性引
擎与所述策略判定点之间的安全通信信道转发;以及
将所述姿态信息经由所述策略实施点与所述策略判定点之间的安全通信信道
转发到所述策略判定点,所述策略判定点基于所述姿态信息与一个或多个网络管理
策略的比较指示所述访问请求者可获取对所述网络的什么访问。
2.如权利要求1所述的方法,其特征在于,还包括:
在将所述平台耦合到所述网络的通信链路上配置数据话务过滤器,所述数据
话务过滤器由所述可管理性引擎基于默认网络管理策略来配置,配置所述数据话务
过滤器在将所述姿态信息转发给所述策略判定点之前进行,其中配置所述数据话务
过滤器建立用以访问所述网络的第一分层信任层。
3.如权利要求2所述的方法,其特征在于,还包括:
至少部分地基于所述策略判定点指示了什么访问来重新配置所述数据话务过
滤器,其中重新配置所述数据话务过滤器建立用以访问所述网络的第二分层信任
层。
4.如权利要求1所述的方法,其特征在于,还包括:
接收所述访问请求者可获得对所述网络的什么访问的指示;以及
基于不准予所述访问请求者所寻求的网络访问级别的指示实现补救动作,其
中实现所述补救动作建立用以访问网络的第二分层信任层。
5.如权利要求2所述的方法,其特征在于,所述补救动作包括从以下组中选
出的至少一个补救动作:更新反病毒软件,从服务器下载补丁,安装给定软件、和
通过在将所述平台耦合到所述网络的所述通信链路上配置所述数据话务过滤器来
实现访问控制策略。
6.如权利要求1所述的方法,其特征在于,与所述访问请求者相关联的所述
姿态信息基于所述访问请求者的完整性测量值,所述完整性测量值包括从以下组中
选出的至少一个完整性测量值:反病毒参数、防火墙状态、软件版本、硬件状态、
日志文件和给定软件在所述平台上的存储器中的存在性。
7.如权利要求1所述的方法,其特征在于,所述一个或多个网络管理策略包
括从以下组中选出的至少一个策略:访问控制列表策略、爆发遏制策略、入侵检测
策略和监视策略。
8.如权利要求1所述的方法,其特征在于,从所述平台上的访问请求者发起
所述网络访问请求进一步包括:
在所述平台上包括多个分区,每一分区使用独立于另一分区所使用的平台资
源的平台资源的至少一部分,所述多个分区包括支持能力操作系统的分区并且包括
支持服务操作系统的分区,所述能力操作系统包括所述访问请求者,所述服务操作
系统包括所述策略实施代理;
确定在所述平台上是否激活了所述服务操作系统,所述确定由驻留在所述平
台上的所述可管理性引擎作出;以及
基于所述可管理性引擎的确定许可所述访问请求者寻求对所述网络的所请求
的访问,其中许可所述访问请求者寻求所请求的访问建立用以访问第二网络的第一
分层信任层。
9.如权利要求8所述的方法,其特征在于,还包括:
获取所指示的所述访问请求者对所述第一网络的访问;
寻求通过所述第一网络对所述第二网络的访问,所述访问由所述访问请求者
寻求,
监视所述能力操作系统与所述第一网络之间的数据话务,所述数据话务由所
述服务操作系统监视;
确定所述数据话务是否符合针对所述第二网络的一个或多个默认网络管理策
略,所述确定由所述服务操作系统作出;以及
基于所述系统操作系统的确定许可所述访问请求者发起对所述第二网络的所
请求的访问,其中许可所述访问请求者发起对所述第二网络的所请求的访问建立用
以访问所述第二网络的第二分层信任层。
10.如权利要求9所述的方法,其特征在于,所述一个或多个默认网络管理策
略包括从以下组中选出的至少一个策略:访问控制列表策略、爆发遏制策略、入侵
检测策略和监视策略。
11.如权利要求9所述的方法,其特征在于,还包括:
所述访问请求者发起通过所述第一网络对所述第二网络的另一网络访问请
求,所述另一网络访问请求对所述第二网络的策略判定点作出;
在所述第二网络的策略判定点与所述服务操作系统之间的通信链路上建立安
全通信信道;
在另一通信链路上建立一安全通信信道,所述另一通信链路在所述服务操作
系统和所述可管理性引擎之间,所述可管理性引擎转发与所述访问请求者和所述可
管理性引擎相关联的姿态信息,所述姿态信息经由所述可管理性引擎与所述服务操
作系统之间的安全通信信道转发;以及
将所述姿态信息经由所述服务操作系统与所述第二网络的策略判定点之间的
安全通信信道转发到所述第二网络的策略判定点,所述第二网络的策略判定点基于
所述姿态信息与一个或多个网络管理策略的比较指示所述访问请求者可获取对所
述第二网络的什么访问。
接收所述访问请求者可获取对所述第二网络的什么访问的指示,所述系统操
作系统的策略实施代理基于所述指示实施所述访问级别,其中实施所述访问级别建
立用以访问所述第二网络的第三分...
【专利技术属性】
技术研发人员:H科斯拉维,D杜汉姆,K格里沃,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。