基于分层信任的姿态报告和策略实施制造技术

一种方法包括从耦合于网络的平台上的访问请求者发起网络访问请求，该网络访问请求对网络的策略判定点作出。该方法还包括在策略判定点与平台上的策略实施点之间的通信链路上建立安全通信信道。在另一通信链路上建立另一安全通信信道。该另一通信链路在至少策略实施点和驻留在平台上的可管理性引擎之间。可管理性引擎经由该另一安全通信信道转发与访问请求者相关联的姿态信息。该姿态信息然后经由策略实施点与策略判定点之间的安全通信信道转发到策略判定点。该策略判定点基于姿态信息与一个或多个网络管理策略的比较指示访问请求者可获取对网络的什么访问。

【技术实现步骤摘要】
【国外来华专利技术】背景随着近来病毒和蠕虫攻击的日益猖獗，已出现了强化耦合于网络的计算设备对抗这些攻击并安装措施以使网络能防御有攻击倾向的计算设备的行业尝试。这已导致对定义基于所有权和标准的网络安全框架和通信协议的多个行业倡议。在采用时，这些基于标准的网络安全框架可遏制或对抗病毒或蠕虫攻击。此外，美国电气和电子工程师协会(IEEE)和INTERNET工程任务组织(IETF)标准体已定义了可用来提供附加网络安全性的通信协议或者正处于定义这种通信协议的过程中。这些行业倡议寻求对连接到网络的计算设备提供严格的访问控制。定义成防御网络攻击的对抗措施主要采取开放系统互连(OSI)第2层、IEEE802.1X通信协议的形式。参见2001年10月25日公布的IEEE 802.1X-2001(＂IEEE802.1X＂)和/或后续版本。这些通信协议通常在计算设备或驻留/运行在该设备上的任何元件被允许访问网络之前利用IETF定义的可扩展认证协议(EAP)和相关联的衍生品来确定该设备的凭证。参见IETF网络工作组在2004年6月公布的因特网标准草案：3748，可扩展认证协议(“RFC 3748”)和/或后续版本。一旦已(例如经由IEEE 802.1X和/或RFC 3748)执行了初始认证且计算设备已被准予访问网络，就可执行维持其上承载所有后续数据的安全通信信道的附加协议。该安全通信信道提供诸如数据源真实性和数据机密性等密码服务。结果，可能防止或遏制最主要的安全威胁。对于无线网络访问，该安全通信信道可遵循2004年7月公布的IEEE 802.11i-2004(＂IEEE 802.11i＂)和/或后续版本来工作。对于有线网络访问，该安全通信信道可遵循IEEE 802.IX的两个相关规范来工作。第一个规范是2006年1月公布的IEEE 802.1AE草案5.1和/或后续草案或修订。第二个规范是对IEEE 802.1X的修正案，即2006年1月公布的IEEE 802.1AF草案0.4和/或后续草案或修订。此外，还存在针对安全通信信道的OSI第3层和第4层行业倡议。这些OIS第3层和第4层倡议包括针对因特网协议安全(IPsec)的倡议-1998年11月公布的IETF网络工作组，RFC 2401，1998年11月公布的针对因特网协议的安全体系结构(“RFC 2401”)，以及针对传输层安全(TLS)的另一个倡议-1999年1月公布的IETF网络工作组，RFC 2246，TLS协议版本1.0(“RFC 2246”)。不管所花费的强化计算设备对抗病毒和蠕虫攻击以保护给定网络的精力有多-->少，研究显示在典型的公司有线网络内，大部分安全漏洞源自网络内部。这些漏洞可能是计算设备用户这一方有意或无意所致。例如，在当今环境中，许多用户具有可在公司内、也可在家里使用的移动计算设备(例如笔记本计算机)。在公司内，可对访问网络资源实施一定程度的控制。然而，如果典型用户从外部源(家里、旅馆、网吧)将计算设备连接到因特网时，他/她会在访问因特网上的不安全网站时无意中下载病毒/蠕虫。该病毒/蠕虫可在该计算设备下一次连接网络时传送到公司网络。即使在公司内部，策略也并不总是得到实施-例如，用户并不总是从公司网站更新最新的反病毒数据文件。从而将网络暴露在新病毒或蠕虫的可能攻击之下。传统技术在发起对网络的访问请求之后允许(例如经由完整性或姿态测量)确认计算设备的身份和状态。IEEE 802.1X模型提供支持诸如EAP等附加协议的框架，其提供用于在允许对网络的至少一些访问之前交换计算设备的经认证身份和姿态信息的能力。这有助于在没有预先评估的情况下控制任意恶意设备/软件进入该网络。这通过在网络栈的最小公分母处提供安全方案并在允许计算设备获取IP地址之前执行认证来实现。然而，未获授权或流氓代理仍可通过模拟获授权的计算设备或哄骗认证进程来获得访问。附图简述图1是示例系统的元件的示图；图2是包括启用虚拟化技术的平台的示例系统的示图；图3是可管理性引擎的示例体系结构的框图；图4是用以获得网络访问的示例方法的流程图；图5是包括获得对多个网络的访问的平台的示例系统的示图；以及图6是用以建立分层信任的多层以获得网络访问的示例方法的流程图。详细描述如上所述，已出现了强化计算设备对抗病毒和蠕虫攻击并安装措施以使网络能遏制流氓代理对网络的这些攻击的传播的行业尝试。如以下更详细描述的，对耦合于网络的计算设备而言要使网络防御可能攻击网络的这些流氓代理需要大量的信任。例如，信任基于诸如计算设备和/或其元件是它们所声称的谁或什么的信息和可检测何时流氓代理已破坏该信任的信息。基于该信息的信任水平可用于确定计-->算设备和/或其元件可获得对网络的什么访问和/或如果被拒绝访问则需要什么补救动作。在一实现中，计算机网络(或简称网络)是提供语音或数据处理的两个或多个互连计算设备。术语“网络边界”可指网络与网络之外的计算设备之间的逻辑边界。存在控制对网络边界的访问的各种网络访问方案。控制网络访问的网络访问方案的一个示例涉及三个网络实体：访问请求者、策略实施点、以及策略判定点。在本示例网络访问方案中，访问请求者是寻求访问网络(例如受保护网络)的实体。该访问请求者通常驻留在计算设备的平台内。几乎任何计算设备、平台或平台内的元件(例如硬件、软件、固件或这些元件的组合)都可以是访问请求者。例如，访问请求者的特征是发起访问网络的请求的能力。策略实施点(本示例中的网络访问方案)是实施策略判定点的访问判定的实体。该策略实施点还可和访问请求者一起参与认证/授权过程并将认证/授权过程的结果转发给策略判定点。例如，策略实施点经由硬件、软件或硬件和软件的某一组合在交换机处、在防火墙处、作为虚拟专用网(VPN)网关的一部分、和/或在计算设备的平台上实现。策略判定点(本示例中的网络访问方案)是基于例如网络管理策略判定是否向访问请求者授予网络访问权限的网络实体。这些网络管理策略可包括用以确定谁或什么可访问网络的一个或多个访问控制策略。这些网络管理策略还可包括一个或多个爆发遏制策略、入侵检测策略、和/或监视策略等。在一示例中，策略判定点在耦合于网络和策略实施点之间的服务器中实现。在一替换示例中，策略实施点和策略判定点被实现为物理上共位(例如，在计算设备的平台上、在网络交换机中、网络服务器中等)两个逻辑组件/元件。在一示例中，网络访问请求由访问请求者在耦合于网络的平台上发起。该网本文档来自技高网...

【技术保护点】
一种方法，包括：　从耦合于网络的平台上的访问请求者发起网络访问请求，所述网络访问请求对所述网络的策略判定点作出；　在所述策略判定点与所述平台上的策略实施点之间的通信链路上建立安全通信信道；　在另一通信链路上建立另一安全通信 信道，所述另一通信链路在所述策略实施点和驻留在所述平台上的可管理性引擎之间，所述可管理性引擎转发与所述访问请求者和所述可管理性引擎相关联的姿态信息，所述姿态信息经由所述可管理性引擎与所述策略判定点之间的安全通信信道转发；以及　将所述姿 态信息经由所述策略实施点与所述策略判定点之间的安全通信信道转发到所述策略判定点，所述策略判定点基于所述姿态信息与一个或多个网络管理策略的比较指示所述访问请求者可获取对所述网络的什么访问。

【技术特征摘要】
【国外来华专利技术】US 2006-3-31 11/395,5041.一种方法，包括：
从耦合于网络的平台上的访问请求者发起网络访问请求，所述网络访问请求
对所述网络的策略判定点作出；
在所述策略判定点与所述平台上的策略实施点之间的通信链路上建立安全通
信信道；
在另一通信链路上建立另一安全通信信道，所述另一通信链路在所述策略实
施点和驻留在所述平台上的可管理性引擎之间，所述可管理性引擎转发与所述访问
请求者和所述可管理性引擎相关联的姿态信息，所述姿态信息经由所述可管理性引
擎与所述策略判定点之间的安全通信信道转发；以及
将所述姿态信息经由所述策略实施点与所述策略判定点之间的安全通信信道
转发到所述策略判定点，所述策略判定点基于所述姿态信息与一个或多个网络管理
策略的比较指示所述访问请求者可获取对所述网络的什么访问。
2.如权利要求1所述的方法，其特征在于，还包括：
在将所述平台耦合到所述网络的通信链路上配置数据话务过滤器，所述数据
话务过滤器由所述可管理性引擎基于默认网络管理策略来配置，配置所述数据话务
过滤器在将所述姿态信息转发给所述策略判定点之前进行，其中配置所述数据话务
过滤器建立用以访问所述网络的第一分层信任层。
3.如权利要求2所述的方法，其特征在于，还包括：
至少部分地基于所述策略判定点指示了什么访问来重新配置所述数据话务过
滤器，其中重新配置所述数据话务过滤器建立用以访问所述网络的第二分层信任
层。
4.如权利要求1所述的方法，其特征在于，还包括：
接收所述访问请求者可获得对所述网络的什么访问的指示；以及
基于不准予所述访问请求者所寻求的网络访问级别的指示实现补救动作，其
中实现所述补救动作建立用以访问网络的第二分层信任层。
5.如权利要求2所述的方法，其特征在于，所述补救动作包括从以下组中选
出的至少一个补救动作：更新反病毒软件，从服务器下载补丁，安装给定软件、和
通过在将所述平台耦合到所述网络的所述通信链路上配置所述数据话务过滤器来
实现访问控制策略。
6.如权利要求1所述的方法，其特征在于，与所述访问请求者相关联的所述
姿态信息基于所述访问请求者的完整性测量值，所述完整性测量值包括从以下组中
选出的至少一个完整性测量值：反病毒参数、防火墙状态、软件版本、硬件状态、
日志文件和给定软件在所述平台上的存储器中的存在性。
7.如权利要求1所述的方法，其特征在于，所述一个或多个网络管理策略包
括从以下组中选出的至少一个策略：访问控制列表策略、爆发遏制策略、入侵检测
策略和监视策略。
8.如权利要求1所述的方法，其特征在于，从所述平台上的访问请求者发起
所述网络访问请求进一步包括：
在所述平台上包括多个分区，每一分区使用独立于另一分区所使用的平台资
源的平台资源的至少一部分，所述多个分区包括支持能力操作系统的分区并且包括
支持服务操作系统的分区，所述能力操作系统包括所述访问请求者，所述服务操作
系统包括所述策略实施代理；
确定在所述平台上是否激活了所述服务操作系统，所述确定由驻留在所述平
台上的所述可管理性引擎作出；以及
基于所述可管理性引擎的确定许可所述访问请求者寻求对所述网络的所请求
的访问，其中许可所述访问请求者寻求所请求的访问建立用以访问第二网络的第一
分层信任层。
9.如权利要求8所述的方法，其特征在于，还包括：
获取所指示的所述访问请求者对所述第一网络的访问；
寻求通过所述第一网络对所述第二网络的访问，所述访问由所述访问请求者
寻求，
监视所述能力操作系统与所述第一网络之间的数据话务，所述数据话务由所
述服务操作系统监视；
确定所述数据话务是否符合针对所述第二网络的一个或多个默认网络管理策
略，所述确定由所述服务操作系统作出；以及
基于所述系统操作系统的确定许可所述访问请求者发起对所述第二网络的所
请求的访问，其中许可所述访问请求者发起对所述第二网络的所请求的访问建立用
以访问所述第二网络的第二分层信任层。
10.如权利要求9所述的方法，其特征在于，所述一个或多个默认网络管理策
略包括从以下组中选出的至少一个策略：访问控制列表策略、爆发遏制策略、入侵
检测策略和监视策略。
11.如权利要求9所述的方法，其特征在于，还包括：
所述访问请求者发起通过所述第一网络对所述第二网络的另一网络访问请
求，所述另一网络访问请求对所述第二网络的策略判定点作出；
在所述第二网络的策略判定点与所述服务操作系统之间的通信链路上建立安
全通信信道；
在另一通信链路上建立一安全通信信道，所述另一通信链路在所述服务操作
系统和所述可管理性引擎之间，所述可管理性引擎转发与所述访问请求者和所述可
管理性引擎相关联的姿态信息，所述姿态信息经由所述可管理性引擎与所述服务操
作系统之间的安全通信信道转发；以及
将所述姿态信息经由所述服务操作系统与所述第二网络的策略判定点之间的
安全通信信道转发到所述第二网络的策略判定点，所述第二网络的策略判定点基于
所述姿态信息与一个或多个网络管理策略的比较指示所述访问请求者可获取对所
述第二网络的什么访问。
接收所述访问请求者可获取对所述第二网络的什么访问的指示，所述系统操
作系统的策略实施代理基于所述指示实施所述访问级别，其中实施所述访问级别建
立用以访问所述第二网络的第三分...

【专利技术属性】
技术研发人员：H科斯拉维，D杜汉姆，K格里沃，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：US[美国]