[发明专利]多核心系统的网络接入控制

说明书

背景技术

使用网络接入控制(NAC)系统来实现网络实现的基于处理器的系统对网络、例如无线网络的连接。在一种典型情形中，通常是网络上的服务器的策略决策点(PDP)在允许正尝试连接到网络的系统的连接之前，建立系统的身份和证书。 

多核心系统是基于处理器的系统，其中存在多个处理器、多个核心或者多个虚拟化处理器。可将这些用作例如膝上型计算机等便携计算机、个人数字助理或台式计算机或服务器或者另一种形式的基于处理器的系统。在一些多核心系统中，可存在这些类型的平台的组合。例如，系统可包括多核处理器，其中各核心具有独立的地址空间，并且还具有那个地址空间内部的多个虚拟机。 

随着虚拟化、多核以及混合系统变得普及，可能需要由NAC系统准许这类系统进入网络。 

附图说明

图1示出一个实施例中的多核心系统的高级视图。 

图2示出网络接入控制环境中的多核心系统。 

图3示出一个实施例中的处理的流程。 

具体实施方式

多核心系统是本文用来指例如图1所示的系统的术语。如图所示，多核心系统可包括多个处理器核心，例如核心150和180。本文所使用的术语“核心”例如可指多处理器系统的单个处理器，或者指多核处理器的一处理器核心。一般来说，系统具有一组总线，例如总线160， 它将核心和存储器165与总线上的例如可信平台模块(TPM)155、网络接口190和其它装置162等装置互连。这些装置可包括例如存储、输入和输出装置。如所述系统所示，核心可形成提供处理器和存储器的抽象的、例如以105、115和120表示的逻辑机1-3等若干逻辑机的基础。各逻辑机向逻辑机上运行的程序提供处理器130和存储器135的逻辑视图。在例如具有以105表示的逻辑机1的一些情况下，可将例如核心150等核心和系统存储器170的段直接映射到逻辑机105，很像单处理器系统中一样。在其它情况下，逻辑机实际上可以是例如虚拟机115和120等虚拟机，它们又可通过虚拟机监控器(VMM)来运行，虚拟机监控器(VMM)本身直接在例如以180表示的核心等核心上运行。然后，VMM可将其核心180可用的存储器分区为段175和185，分别将它们分配给虚拟逻辑机115和120。例如105、115和120等多核心系统的通用逻辑机又可称作系统的(逻辑)地址空间，因为各逻辑机定义其中处理器的逻辑存储器和寄存器组可被引用的地址空间。还可提供专用逻辑机，例如可通过直接映射(145)硬件TPM 155来提供多核心系统125的可信平台模块(TPM)作为逻辑TPM。类似地，可提供包括I/O装置的其它装置作为逻辑装置。在其它情况下，可提供与TPM关联的服务作为硬件中由通用核心支持的逻辑机。 

所知的是，可采用网络接口装置190、如无线网络适配器或有线网络适配器，将多核心系统连接到网络。在许多情况下，系统的逻辑机可将其适配器的内部逻辑表示映射到同一个网络接口190。这样，当例如图1所示的多核心系统连接到网络时，由多个逻辑机共享接口190。 

技术人员应当清楚地知道，图中所示多核心系统的实际无限的变化集合是可能的。具体来说，核心的数量以及从核心到逻辑机的映射可以改变；在一些实施例的系统中，可以不存在虚拟机，而在其它实施例的系统中，所有逻辑机都可以是虚拟的。在一些系统中可以不存在TPM，而在其它系统可以设置多个TPM。在一些实施例中，系统可 采用多个网络接口加入多个网络。其它许多变化是可能的。 

在图2中，示出采用网络接入控制(NAC)将多核心系统200连接到网络的一实施例。如前面所述，系统200可包括若干逻辑机或逻辑地址空间。在这个实例中，系统包括作为可信平台模块(TPM)的逻辑机和用于系统管理(235)的机器以及其它机器275、280，所述模块可充当用于存储和报告(RTS-RTR)255、265的信任(trust)的根源。如前面所述，这些机器本身可直接在系统200的硬件核心上实现，或者作为虚拟机监控器上运行的虚拟机来实现。在一些实施例中，可使用专用机器、即分组重定向器210在数据链路级对系统中的数据分组进行重定向。例如数据信道1、数据信道2和数据信道3等内部数据链路245对系统的逻辑机进行内部互连。