在包括多个逻辑机的基于处理器的系统中,选择所述系统中将要充当主机的逻辑机;主机与网络的策略决策点(PDP)进行通信,以便提供互连基于处理器的系统和网络的数据信道,并提供将系统的各逻辑机互连到网络的逻辑数据信道。
【技术实现步骤摘要】
【国外来华专利技术】多核心系统的网络接入控制
技术介绍
使用网络接入控制(NAC)系统来实现网络实现的基于处理器的系 统对网络、例如无线网络的连接。在一种典型情形中,通常是网络上 的服务器的策略决策点(PDP)在允许正尝试连接到网络的系统的连接 之前,建立系统的身份和证书。多核心系统是基于处理器的系统,其中存在多个处理器、多个核 心或者多个虚拟化处理器。可将这些用作例如膝上型计算机等便携计 算机、个人数字助理或台式计算机或服务器或者另一种形式的基于处 理器的系统。在一些多核心系统中,可存在这些类型的平台的组合。 例如,系统可包括多核处理器,其中各核心具有独立的地址空间,并 且还具有那个地址空间内部的多个虚拟机。随着虚拟化、多核以及混合系统变得普及,可能需要由NAC系统 准许这类系统进入网络。附图说明图1示出一个实施例中的多核心系统的高级^见图。 图2示出网络接入控制环境中的多核心系统。 图3示出一个实施例中的处理的流程。具体实施例方式多核心系统是本文用来指例如图1所示的系统的术语。如图所示, 多核心系统可包括多个处理器核心,例如核心150和180。本文所4吏 用的术语"核心,,例如可指多处理器系统的单个处理器,或者指多核处 理器的一处理器核心。 一般来说,系统具有一组总线,例如总线160,它将核心和存储器165与总线上的例如可信平台才莫块(TPM)155、网络 接口 190和其它装置162等装置互连。这些装置可包括例如存储、输 入和输出装置。如所述系统所示,核心可形成提供处理器和存储器的 抽象的、例如以105、 115和120表示的逻辑机l-3等若干逻辑机的基 础。各逻辑机向逻辑机上运行的程序提供处理器130和存储器135的 逻辑视图。在例如具有以105表示的逻辑机1的一些情况下,可将例 如核心150等核心和系统存储器170的段直接映射到逻辑机105,很 像单处理器系统中一样。在其它情况下,逻辑机实际上可以是例如虛 拟机115和120等虚拟机,它们又可通过虚拟机监控器(VMM)来运行, 虚拟机监控器(VMM)本身直接在例如以180表示的核心等核心上运 行。然后,VMM可将其核心180可用的存储器分区为段175和185, 分别将它们分配给虚拟逻辑机115和120。例如105、 115和120等多 核心系统的通用逻辑机又可称作系统的(逻辑)地址空间,因为各逻辑 机定义其中处理器的逻辑存储器和寄存器组可被引用的地址空间。还 可提供专用逻辑机,例如可通过直接映射(145)硬件TPM 155来提供多 核心系统125的可信平台模块(TPM)作为逻辑TPM。类似地,可提供 包括I/O装置的其它装置作为逻辑装置。在其它情况下,可提供与TPM 关联的服务作为硬件中由通用核心支持的逻辑机。所知的是,可采用网络^^口装置190、如无线网络适配器或有线 网络适配器,将多核心系统连接到网络。在许多情况下,系统的逻辑 机可将其适配器的内部逻辑表示映射到同一个网^4妾口 190。这样, 当例如图1所示的多核心系统连接到网络时,由多个逻辑机共享接口 190。技术人员应当清楚地知道,图中所示多核心系统的实际无限的变 化集合是可能的。具体来说,核心的数量以及从核心到逻辑机的映射 可以改变;在一些实施例的系统中,可以不存在虚拟机,而在其它实 施例的系统中,所有逻辑机都可以M拟的。在一些系统中可以不存 在TPM,而在其它系统可以设置多个TPM。在一些实施例中,系统可釆用多个网^l妄口加入多个网络。其它许多变化是可能的。在图2中,示出采用网络接入控制(NAC)将多核心系统200连接 到网络的一实施例。如前面所述,系统200可包括若干逻辑机或逻辑 地址空间。在这个实例中,系统包括作为可信平台模块(TPM)的逻辑 机和用于系统管理(235)的机器以及其它机器275、 280,所述才莫块可充 当用于存储和净艮告(RTS-RTR)255、 265的信任(trust)的根源。如前面所 述,这些机器本身可直接在系统200的硬件核心上实现,或者作为虚 拟机监控器上运行的虚拟机来实现。在一些实施例中,可使用专用机 器、即分组重定向器210在数据链路级对系统中的数据分组进行重定 向。例如数据信道1、数据信道2和数据信道3等内部数据链路245 对系统的逻辑才几进行内部互连。所示系统采用接口 215、通过物理信道连接到网络,其中物理信 道可以是有线、光、射频或其它本领域已知的数据链路。策略执行点 (PEP)220是网络的入口点,并执行PDP225、如Radius服务器所确定 的网络接入控制策略。在这个实施例中,PEP将连接请求路由到PDP, 它可提供系统200与网络之间的数据信道。在这个实施例中,PDP还 可提供系统的逻辑机的每个的上下文,以便采用它自己的身份和安全 证书、通过逻辑数据信道与网络交互。为了向系统200的逻辑机提供这个数据信道和逻辑信道,在这个 实施例中,在系统200中使用例如随机选择等内部进程来选择系统205 的逻辑机中的 一个充当主机逻辑机。从PDP或者从系统的其它机器的 观点来看,主机无需是可信处理器,而是充当网络与系统200之间的 转发中介(intermediary)。 一旦选取了主机,则系统200的逻辑机与PDP 之间的协商建立逻辑控制信道、如290和295,以便提供网络与系统 的逻辑机之间的逻辑数据信道。主机具有防止其它机器所提供并通过主机的连接而打通(tunneled) 的消息的人为中途(man-in-the-middle)重定向的附加职责。用于防止这 种重定向的至少 一种技术是生成散列中的其它核心所提供的所有消息的散列,然后将所生成的散列用来建立主机隧道的会话密钥。可由直 接与PDP协商会话密钥的各机器来执行防止"内部,,逻辑机纟支主机篡改 的步骤。可使用会话密钥来防止提供消息被不可信的主机篡改。一旦在内部机器和主机的认证/状态方面充分满足了 PDP,则主机 生成从上述"内部"消息的散列中得到的预主密钥(PMK),并将它提供 给网络^妄口(NIC),其中可(例如使用4向密钥交换或类似协议)生成数 据信道的会话密钥。与"内部"方法资料一起,PMK密钥推导还可包含 多核心系统的身份。 一旦得到密钥(以及其它密钥,包括例如会话密 钥),就将它们安全地存储在TPM中,TPM是多核心系统的所有机器 可访问的。各机器提供适当的证书,以便检索、更新和删除这些会话 密钥以及其它安全关联。图3表示一个实施例中、当多核心系统启动并连接到NAC网络时 的处理流程。在启动时,系统内部确定充当主机的机器以及充当分组 重定向器的机器,310。在一个实施例中,可随机选择主机。^皮选取充 当主机的机器使用PMK开启与网络的PDP的加密MAC会话,并从 PDP接收现时数据(nonce),它将用于会话的其余部分,315。然后,主 机通知多核心系统中的其余所有机器关于NAC会话正挂起的情况,并 把来自PDP的现时数据转发给各机器,320。然后,各机器准备态势 报告(posture report),该报告表明它的访问特权的PDP确定的状态。由 TPM为机器签署这个报告,并且可将报告的测量存储在TPM中。在 330,机器还生成它自己的现时数据。然后在335,由主机将已签署报 告以及来本文档来自技高网...
【技术保护点】
在具有多个逻辑机的基于处理器的系统中,一种方法包括:选择所述系统中充当主机的逻辑机;以及所述主机与网络的策略决策点(PDP)进行通信,以便提供互连所述基于处理器的系统和所述网络的数据信道;以及提供将所述系统的各逻辑机互连到所述网络的逻辑数据信道。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:N史密斯,J沃尔克,K索德,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。