[发明专利]一种基于可信网络连接的动态跨域访问控制系统及方法有效
| 申请号: | 201510095793.4 | 申请日: | 2015-03-04 |
| 公开(公告)号: | CN104618395B | 公开(公告)日: | 2017-08-25 |
| 发明(设计)人: | 郭猛善;冯磊 | 申请(专利权)人: | 浪潮集团有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 济南信达专利事务所有限公司37100 | 代理人: | 张靖 |
| 地址: | 250100 山东*** | 国省代码: | 山东;37 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于可信网络连接的动态跨域访问控制系统,所述系统结构包括可信网络接入请求者、网络访问决策者、网络访问控制者,网络访问决策者根据网络接入请求者的状态动态将请求者移入不同安全可信域中,实现动态跨域访问控制。本发明还公开了一种基于可信网络连接的动态跨域访问控制方法,所述方法结合国产TCM芯片进行平台身份认证与完整性度量,对网络按照安全可信等级进行划分,根据终端身份认证与完整性度量结果动态限制终端对网络的访问。本发明在可信网络连接的基础上增加动态跨域访问控制,实时根据终端的安全可信状态将终端动态置入不同安全等级的网络域中,从而保证网络的安全可信访问。 | ||
| 搜索关键词: | 一种 基于 可信 网络 连接 动态 访问 控制系统 方法 | ||
【主权项】:
一种基于可信网络连接的动态跨域访问控制系统,其特征在于:所述系统结构包括:可信网络接入请求者、网络访问决策者、网络访问控制者,网络访问决策者根据可信网络接入请求者的状态动态将可信网络接入请求者移入不同安全可信域中,实现动态跨域访问控制,其中:可信网络接入请求者作为可信网络连接的发起者,完成平台身份认证,根据网络访问策略收集本地完整性信息并提交到网络访问决策者,然后等待网络访问决策者的网络访问决策,接入网络后实时进行完整性信息收集并上报给网络访问决策者;可信网络接入请求者包含身份认证模块、可信完整性收集模块;网络访问决策者,等待可信网络接入请求者发起的接入请求,对可信网络接入请求者进行平台身份认证,制定并分发网络访问策略,判断可信网络接入请求者的完整性结果,根据完整性结果将网络访问决策下发到网络访问控制者;网络访问决策者包含平台身份认证模块、完整性验证模块、安全访问策略模块;网络访问控制者,预先根据安全可信级别将网络划分为不同的安全可信域,接收网络访问决策者下发的网络访问决策,实现对可信网络接入请求者的跨域访问控制,网络访问控制者包含安全可信域管理模块、网络访问决策执行模块;其中:1)平台身份认证模块:用于进行网络接入身份与平台认证;2)安全访问策略模块:配置终端完整性检测项目及检测不通过后的规则;3)完整性验证模块:调用TCM芯片哈希算法对安全访问策略模块配置的文件进行完整性度量;4)安全可信域管理模块:将网络根据不同安全可信级别划分不同安全可信域;5)网络访问决策执行模块:根据网络访问决策者的网络访问决策将终端移入对应的安全可信域,限制终端对其他安全可信域的访问;6)TCM:即可信密码模块,用来对文件进行完整性度量,内置密码算法提供散列计算的密码学服务。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于浪潮集团有限公司,未经浪潮集团有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510095793.4/,转载请声明来源钻瓜专利网。
