[发明专利]使用严格约束网络访问控制协议的网络访问控制信息交换

说明书

技术领域

本发明涉及计算机网络，具体地，涉及网络访问控制。

背景技术

企业和其他机构为了控制端点设备在计算机网络上进行通信 的性能而实施网络访问控制。例如，企业可实现包括电子邮件服务 器的计算机网络。为了防止未授权的用户与该电子邮件服务器通 信，企业可以实施网络访问控制系统，其防止未授权的用户在计算 机网络上发送网络通信，除非用户提供正确的用户名和密码。在另 一实例中，企业在允许端点设备访问企业计算机网络之前可以估计 端点设备的“健康”。例如，企业将希望防止感染了计算机病毒的 设备与企业网络上的设备进行通信。在该实例中，企业可以实现网 络访问控制系统，其可以防止不具有当前防病毒软件的设备在网络 上进行通信。

端点设备通过使用将适当的网络访问控制信息提供给网络访 问控制服务器的网络协议，可以获得到受保护网络的访问。网络访 问控制信息可以指定表示端点设备的配置的数据、端点设备的用户 身份、验证表示端点设备的配置所需数据的信息、以及其他信息。 表示端点设备的配置的数据可以表示安装在端点设备上的软件应 用程序、安装在端点设备上的硬件、以及端点设备所特有的其他配 置信息。网络访问控制服务器对由端点设备所提供的网络访问控制 信息进行评价，以确定是否允许端点设备在受保护的网络上进行通 信。

发明内容

大体上，本发明描述了用于安全地交换网络访问控制信息的技 术。该技术可用于当端点设备请求访问网络时端点设备和访问控制 设备执行网络协议的严格约束握手序列的情况中。可以多种方式约 束握手序列。例如，端点设备和访问控制设备将仅能够在握手期间 交换有限字节量。例如另一实例，端点设备和访问控制设备将仅能 够交换有限消息量。由于握手序列的约束，端点设备和访问控制设 备将不能在握手序列期间协商随机数信息集。为此，访问控制设备 将先前协商的随机数信息集和与端点设备相关的其他配置信息用 作处理的一部分，以确定是否应该允许端点设备访问受保护网络。

在一个方面，一种方法包括通过网络协议的严格约束握手序列 利用访问控制设备来接收数字签名。当端点设备请求访问权时，端 点设备发起严格约束握手序列。数字签名基于可信平台模块 (“TPM”)值和随机数值。由于严格约束握手序列的约束，因此访 问控制设备和端点设备不能在严格约束握手序列期间协商随机数 信息集。该方法还包括确定访问控制设备是否之前已与终端设备协 商了随机数信息集。此外，该方法包括确定TPM值是否与可接受 的配置相关。该方法还包括确定随机数值是否可接受。另外，该方 法包括确定数字签名是否有效。该方法还包括当访问控制设备之前 已协商了随机数信息集时，当TPM值与可接受配置相关时，当随 机数值是可接受的时，以及当数字签名是有效的时，将访问权授予 端点设备。

另一方面，访问控制设备包括请求接收模块，其通过网络协议 的严格约束握手序列接收数字签名。当端点设备请求访问权时，端 点设备发起严格约束握手序列。数字签名基于TPM值和随机数值。 由于严格约束握手序列的约束，因此访问控制设备和端点设备在严 格约束握手序列期间不能协商随机数信息集。访问控制设备还包括 高速缓存管理模块，其确定访问控制设备之前是否已与端点设备协 商了随机数信息集。另外，访问控制设备包括TPM评价模块，其 确定TPM值是否与可接受配置相关。此外，访问控制设备包括随 机数评价模块，其确定随机数值是否可接受。另外，访问控制设备 包括签名验证模块，其确定数字签名是否有效。访问控制设备还包 括访问指令模块，其当访问控制设备之前已协商了随机数信息集 时、当TPM值与可接受配置相关时、当随机数值是可接受的时、 以及当数字签名是有效的时将访问权授予端点设备。