專(zhuān)利名稱:多核心系統(tǒng)的網(wǎng)絡(luò)接入控制的制作方法
多核心系統(tǒng)的網(wǎng)絡(luò)接入控制
背景技術(shù):
使用網(wǎng)絡(luò)接入控制(NAC)系統(tǒng)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)實(shí)現(xiàn)的基于處理器的系 統(tǒng)對(duì)網(wǎng)絡(luò)、例如無(wú)線網(wǎng)絡(luò)的連接。在一種典型情形中,通常是網(wǎng)絡(luò)上 的服務(wù)器的策略決策點(diǎn)(PDP)在允許正嘗試連接到網(wǎng)絡(luò)的系統(tǒng)的連接 之前,建立系統(tǒng)的身份和證書(shū)。
多核心系統(tǒng)是基于處理器的系統(tǒng),其中存在多個(gè)處理器、多個(gè)核 心或者多個(gè)虛擬化處理器??蓪⑦@些用作例如膝上型計(jì)算機(jī)等便攜計(jì) 算機(jī)、個(gè)人數(shù)字助理或臺(tái)式計(jì)算機(jī)或服務(wù)器或者另一種形式的基于處 理器的系統(tǒng)。在一些多核心系統(tǒng)中,可存在這些類(lèi)型的平臺(tái)的組合。 例如,系統(tǒng)可包括多核處理器,其中各核心具有獨(dú)立的地址空間,并 且還具有那個(gè)地址空間內(nèi)部的多個(gè)虛擬機(jī)。
隨著虛擬化、多核以及混合系統(tǒng)變得普及,可能需要由NAC系統(tǒng) 準(zhǔn)許這類(lèi)系統(tǒng)進(jìn)入網(wǎng)絡(luò)。
圖1示出一個(gè)實(shí)施例中的多核心系統(tǒng)的高級(jí)^見(jiàn)圖。 圖2示出網(wǎng)絡(luò)接入控制環(huán)境中的多核心系統(tǒng)。 圖3示出一個(gè)實(shí)施例中的處理的流程。
具體實(shí)施例方式
多核心系統(tǒng)是本文用來(lái)指例如圖1所示的系統(tǒng)的術(shù)語(yǔ)。如圖所示, 多核心系統(tǒng)可包括多個(gè)處理器核心,例如核心150和180。本文所4吏 用的術(shù)語(yǔ)"核心,,例如可指多處理器系統(tǒng)的單個(gè)處理器,或者指多核處 理器的一處理器核心。 一般來(lái)說(shuō),系統(tǒng)具有一組總線,例如總線160,它將核心和存儲(chǔ)器165與總線上的例如可信平臺(tái)才莫塊(TPM)155、網(wǎng)絡(luò) 接口 190和其它裝置162等裝置互連。這些裝置可包括例如存儲(chǔ)、輸 入和輸出裝置。如所述系統(tǒng)所示,核心可形成提供處理器和存儲(chǔ)器的 抽象的、例如以105、 115和120表示的邏輯機(jī)l-3等若干邏輯機(jī)的基 礎(chǔ)。各邏輯機(jī)向邏輯機(jī)上運(yùn)行的程序提供處理器130和存儲(chǔ)器135的 邏輯視圖。在例如具有以105表示的邏輯機(jī)1的一些情況下,可將例 如核心150等核心和系統(tǒng)存儲(chǔ)器170的段直接映射到邏輯機(jī)105,很 像單處理器系統(tǒng)中一樣。在其它情況下,邏輯機(jī)實(shí)際上可以是例如虛 擬機(jī)115和120等虛擬機(jī),它們又可通過(guò)虛擬機(jī)監(jiān)控器(VMM)來(lái)運(yùn)行, 虛擬機(jī)監(jiān)控器(VMM)本身直接在例如以180表示的核心等核心上運(yùn) 行。然后,VMM可將其核心180可用的存儲(chǔ)器分區(qū)為段175和185, 分別將它們分配給虛擬邏輯機(jī)115和120。例如105、 115和120等多 核心系統(tǒng)的通用邏輯機(jī)又可稱作系統(tǒng)的(邏輯)地址空間,因?yàn)楦鬟壿?機(jī)定義其中處理器的邏輯存儲(chǔ)器和寄存器組可被引用的地址空間。還 可提供專(zhuān)用邏輯機(jī),例如可通過(guò)直接映射(145)硬件TPM 155來(lái)提供多 核心系統(tǒng)125的可信平臺(tái)模塊(TPM)作為邏輯TPM。類(lèi)似地,可提供 包括I/O裝置的其它裝置作為邏輯裝置。在其它情況下,可提供與TPM 關(guān)聯(lián)的服務(wù)作為硬件中由通用核心支持的邏輯機(jī)。
所知的是,可采用網(wǎng)絡(luò)^^口裝置190、如無(wú)線網(wǎng)絡(luò)適配器或有線 網(wǎng)絡(luò)適配器,將多核心系統(tǒng)連接到網(wǎng)絡(luò)。在許多情況下,系統(tǒng)的邏輯 機(jī)可將其適配器的內(nèi)部邏輯表示映射到同一個(gè)網(wǎng)^4妾口 190。這樣, 當(dāng)例如圖1所示的多核心系統(tǒng)連接到網(wǎng)絡(luò)時(shí),由多個(gè)邏輯機(jī)共享接口 190。
技術(shù)人員應(yīng)當(dāng)清楚地知道,圖中所示多核心系統(tǒng)的實(shí)際無(wú)限的變 化集合是可能的。具體來(lái)說(shuō),核心的數(shù)量以及從核心到邏輯機(jī)的映射 可以改變;在一些實(shí)施例的系統(tǒng)中,可以不存在虛擬機(jī),而在其它實(shí) 施例的系統(tǒng)中,所有邏輯機(jī)都可以M擬的。在一些系統(tǒng)中可以不存 在TPM,而在其它系統(tǒng)可以設(shè)置多個(gè)TPM。在一些實(shí)施例中,系統(tǒng)可釆用多個(gè)網(wǎng)^l妄口加入多個(gè)網(wǎng)絡(luò)。其它許多變化是可能的。
在圖2中,示出采用網(wǎng)絡(luò)接入控制(NAC)將多核心系統(tǒng)200連接 到網(wǎng)絡(luò)的一實(shí)施例。如前面所述,系統(tǒng)200可包括若干邏輯機(jī)或邏輯 地址空間。在這個(gè)實(shí)例中,系統(tǒng)包括作為可信平臺(tái)模塊(TPM)的邏輯 機(jī)和用于系統(tǒng)管理(235)的機(jī)器以及其它機(jī)器275、 280,所述才莫塊可充 當(dāng)用于存儲(chǔ)和凈艮告(RTS-RTR)255、 265的信任(trust)的根源。如前面所 述,這些機(jī)器本身可直接在系統(tǒng)200的硬件核心上實(shí)現(xiàn),或者作為虛 擬機(jī)監(jiān)控器上運(yùn)行的虛擬機(jī)來(lái)實(shí)現(xiàn)。在一些實(shí)施例中,可使用專(zhuān)用機(jī) 器、即分組重定向器210在數(shù)據(jù)鏈路級(jí)對(duì)系統(tǒng)中的數(shù)據(jù)分組進(jìn)行重定 向。例如數(shù)據(jù)信道1、數(shù)據(jù)信道2和數(shù)據(jù)信道3等內(nèi)部數(shù)據(jù)鏈路245 對(duì)系統(tǒng)的邏輯才幾進(jìn)行內(nèi)部互連。
所示系統(tǒng)采用接口 215、通過(guò)物理信道連接到網(wǎng)絡(luò),其中物理信 道可以是有線、光、射頻或其它本領(lǐng)域已知的數(shù)據(jù)鏈路。策略執(zhí)行點(diǎn) (PEP)220是網(wǎng)絡(luò)的入口點(diǎn),并執(zhí)行PDP225、如Radius服務(wù)器所確定 的網(wǎng)絡(luò)接入控制策略。在這個(gè)實(shí)施例中,PEP將連接請(qǐng)求路由到PDP, 它可提供系統(tǒng)200與網(wǎng)絡(luò)之間的數(shù)據(jù)信道。在這個(gè)實(shí)施例中,PDP還 可提供系統(tǒng)的邏輯機(jī)的每個(gè)的上下文,以便采用它自己的身份和安全 證書(shū)、通過(guò)邏輯數(shù)據(jù)信道與網(wǎng)絡(luò)交互。
為了向系統(tǒng)200的邏輯機(jī)提供這個(gè)數(shù)據(jù)信道和邏輯信道,在這個(gè) 實(shí)施例中,在系統(tǒng)200中使用例如隨機(jī)選擇等內(nèi)部進(jìn)程來(lái)選擇系統(tǒng)205 的邏輯機(jī)中的 一個(gè)充當(dāng)主機(jī)邏輯機(jī)。從PDP或者從系統(tǒng)的其它機(jī)器的 觀點(diǎn)來(lái)看,主機(jī)無(wú)需是可信處理器,而是充當(dāng)網(wǎng)絡(luò)與系統(tǒng)200之間的 轉(zhuǎn)發(fā)中介(intermediary)。 一旦選取了主機(jī),則系統(tǒng)200的邏輯機(jī)與PDP 之間的協(xié)商建立邏輯控制信道、如290和295,以便提供網(wǎng)絡(luò)與系統(tǒng) 的邏輯機(jī)之間的邏輯數(shù)據(jù)信道。
主機(jī)具有防止其它機(jī)器所提供并通過(guò)主機(jī)的連接而打通(tunneled) 的消息的人為中途(man-in-the-middle)重定向的附加職責(zé)。用于防止這 種重定向的至少 一種技術(shù)是生成散列中的其它核心所提供的所有消息的散列,然后將所生成的散列用來(lái)建立主機(jī)隧道的會(huì)話密鑰??捎芍?接與PDP協(xié)商會(huì)話密鑰的各機(jī)器來(lái)執(zhí)行防止"內(nèi)部,,邏輯機(jī)纟支主機(jī)篡改 的步驟??墒褂脮?huì)話密鑰來(lái)防止提供消息被不可信的主機(jī)篡改。
一旦在內(nèi)部機(jī)器和主機(jī)的認(rèn)證/狀態(tài)方面充分滿足了 PDP,則主機(jī) 生成從上述"內(nèi)部"消息的散列中得到的預(yù)主密鑰(PMK),并將它提供 給網(wǎng)絡(luò)^妄口(NIC),其中可(例如使用4向密鑰交換或類(lèi)似協(xié)議)生成數(shù) 據(jù)信道的會(huì)話密鑰。與"內(nèi)部"方法資料一起,PMK密鑰推導(dǎo)還可包含 多核心系統(tǒng)的身份。 一旦得到密鑰(以及其它密鑰,包括例如會(huì)話密 鑰),就將它們安全地存儲(chǔ)在TPM中,TPM是多核心系統(tǒng)的所有機(jī)器 可訪問(wèn)的。各機(jī)器提供適當(dāng)?shù)淖C書(shū),以便檢索、更新和刪除這些會(huì)話 密鑰以及其它安全關(guān)聯(lián)。
圖3表示一個(gè)實(shí)施例中、當(dāng)多核心系統(tǒng)啟動(dòng)并連接到NAC網(wǎng)絡(luò)時(shí) 的處理流程。在啟動(dòng)時(shí),系統(tǒng)內(nèi)部確定充當(dāng)主機(jī)的機(jī)器以及充當(dāng)分組 重定向器的機(jī)器,310。在一個(gè)實(shí)施例中,可隨機(jī)選擇主機(jī)。^皮選取充 當(dāng)主機(jī)的機(jī)器使用PMK開(kāi)啟與網(wǎng)絡(luò)的PDP的加密MAC會(huì)話,并從 PDP接收現(xiàn)時(shí)數(shù)據(jù)(nonce),它將用于會(huì)話的其余部分,315。然后,主 機(jī)通知多核心系統(tǒng)中的其余所有機(jī)器關(guān)于NAC會(huì)話正掛起的情況,并 把來(lái)自PDP的現(xiàn)時(shí)數(shù)據(jù)轉(zhuǎn)發(fā)給各機(jī)器,320。然后,各機(jī)器準(zhǔn)備態(tài)勢(shì) 報(bào)告(posture report),該報(bào)告表明它的訪問(wèn)特權(quán)的PDP確定的狀態(tài)。由 TPM為機(jī)器簽署這個(gè)報(bào)告,并且可將報(bào)告的測(cè)量存儲(chǔ)在TPM中。在 330,機(jī)器還生成它自己的現(xiàn)時(shí)數(shù)據(jù)。然后在335,由主機(jī)將已簽署報(bào) 告以及來(lái)自機(jī)器的PDP和機(jī)器現(xiàn)時(shí)數(shù)據(jù)轉(zhuǎn)發(fā)給PDP。在接收到^4艮告 和現(xiàn)時(shí)數(shù)據(jù)時(shí),在340, PDP對(duì)它進(jìn)行認(rèn)證。認(rèn)證過(guò)程的細(xì)節(jié)如框340A 所示。
如框340A所示,為了對(duì)來(lái)自多梭心系統(tǒng)的機(jī)器進(jìn)行認(rèn)證,在355, PDP首先檢驗(yàn)它自己的隨報(bào)告返回的現(xiàn)時(shí)數(shù)據(jù)。然后,在360,它檢 查報(bào)告簽名是否有效。最后,在370,確定機(jī)器的態(tài)勢(shì)是否可接受。 如果滿足了所有這三個(gè)條件,則PDP對(duì)那個(gè)機(jī)器進(jìn)行認(rèn)證,否則認(rèn)證失敗。
在認(rèn)證完成之后,在345, PDP使用用于加密的會(huì)話密鑰來(lái)為各 機(jī)器分配信任等級(jí)和特權(quán)。然后,將最后的分配轉(zhuǎn)發(fā)給分組重定向器 和策略執(zhí)行點(diǎn)(PEP)以便執(zhí)行。 一旦驗(yàn)證了具有該指定的簽名和現(xiàn)時(shí)數(shù) 據(jù),385,則各機(jī)器可按照它所分配的特權(quán)和信任等級(jí)進(jìn)行操作,395。 如果在這個(gè)階段的驗(yàn)證對(duì)于機(jī)器失敗,則PEP和分組重定向器按照無(wú) 特權(quán)機(jī)器的缺省特權(quán)分配來(lái)進(jìn)行操作,380。
本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,上述實(shí)施例僅表示可用來(lái)向NAC 網(wǎng)絡(luò)對(duì)多核心系統(tǒng)進(jìn)行認(rèn)證的一個(gè)處理流程。在一些實(shí)施例中,并非 多核心網(wǎng)絡(luò)中的所有機(jī)器都需要網(wǎng)絡(luò)接入。在其它實(shí)施例中,可省略 處理步驟的一部分,而添加其它部分,例如,多核心系統(tǒng)中的所有機(jī) 器可使用單一態(tài)勢(shì)。所使用的各種名稱和同義詞是為了便于說(shuō)明,一 般可使用其它許多術(shù)語(yǔ)。例如,PDP可稱作RAS-AAA服務(wù)器;PEP 可稱作網(wǎng)關(guān)或防火墻;以及類(lèi)似地,多核心系統(tǒng)中的各才幾器可具有特 定術(shù)語(yǔ)。如前面所述,機(jī)器本身在物理上可以是分離的核心和地址空 間,或者可以是虛擬機(jī)。并非所有實(shí)施例可具有虛擬機(jī)或多核處理器。 其它許多變化是可能的。
在一些實(shí)施例中,分組重定向器還可負(fù)責(zé)定向多核心系統(tǒng)的不同 邏輯機(jī)之間的分組。在一些實(shí)施例中,根據(jù)經(jīng)驗(yàn)的過(guò)濾規(guī)則集合可控 制分組重定向器的操作,在其它實(shí)施例中,可由PDP來(lái)配置分組重定 向器。在獨(dú)立才莫式中,在一些情況下,多核心系統(tǒng)還可充當(dāng)多層安全 系統(tǒng),其中分組重定向器充當(dāng)以不同特權(quán)或信任等級(jí)進(jìn)行操作的核心 的安全內(nèi)核。
為了便于說(shuō)明,以上描述中闡述了大量具體細(xì)節(jié),以便提供對(duì)所 述實(shí)施例的充分理解,但是,本領(lǐng)域的技術(shù)人員會(huì)理解,即使沒(méi)有這 些具體細(xì)節(jié)也可實(shí)施其它許多實(shí)施例。
以上詳細(xì)說(shuō)明的某些部分根據(jù)對(duì)基于處理器的系統(tǒng)中的數(shù)據(jù)位的 操作的算法和符號(hào)表示來(lái)提供。這些算法描述和表示是本領(lǐng)域的技術(shù)人員用來(lái)向本領(lǐng)域的其它技術(shù)人員最有效地傳達(dá)其工作主旨的方式。 操作是要求物理量的物理處理的那些操作。這些量可采取能夠被存儲(chǔ)、 傳遞、組合、比較以及以其它方式處理的電、磁或其它物理信號(hào)的形 式。主要為了一般使用的原因,將這些信號(hào)稱作位、值、元素、符號(hào)、 字符、項(xiàng)、編號(hào)等,已經(jīng)^皮證明有時(shí)非常便利。
但應(yīng)當(dāng)記住,所有這些及類(lèi)似的項(xiàng)均與適當(dāng)?shù)奈锢砹肯嚓P(guān)聯(lián),并 且只是應(yīng)用于這些量的便捷標(biāo)簽。除非明確說(shuō)明,否則從描述中清楚 地知道,諸如"運(yùn)行,,或"處理"或"計(jì)算"或者"確定"等術(shù)語(yǔ)可指基于處 理器的系統(tǒng)或類(lèi)似電子計(jì)算裝置的動(dòng)作和過(guò)程,其中所述基于處理器 的系統(tǒng)或類(lèi)似電子計(jì)算裝置處理表示為基于處理器的系統(tǒng)的存儲(chǔ)裝置
類(lèi)信息存儲(chǔ)、傳送或顯示裝置中的物理量的其它數(shù)據(jù)。
在實(shí)施例的描述中,參照了附圖。附圖中,相似的標(biāo)號(hào)在若干視 圖中描述基本相似的組件??刹捎闷渌鼘?shí)施例,并且可進(jìn)行結(jié)構(gòu)、邏 輯和電氣變更。此外,要理解,各種實(shí)施例雖然有所不同,但不一定 相互排斥。例如,在一個(gè)實(shí)施例中描述的特定功能、結(jié)構(gòu)或特性可包 含在其它實(shí)施例中。
此外,在處理器中實(shí)現(xiàn)的一實(shí)施例的設(shè)計(jì)可經(jīng)過(guò)從創(chuàng)建到才莫擬直 到制造的各種階段。表示設(shè)計(jì)的數(shù)據(jù)可通過(guò)多種方式來(lái)表示設(shè)計(jì)。首 先,如在模擬中有用的那樣,硬件可采用硬件描述語(yǔ)言或者另一種功 能描述語(yǔ)言來(lái)表示。另外,采用邏輯和/或晶體管門(mén)電路的電路級(jí)沖莫型 可在設(shè)計(jì)過(guò)程的某些階段產(chǎn)生。此外,在某個(gè)階段,大部分設(shè)計(jì)達(dá)到 表示硬件才莫型中的各種裝置的物理設(shè)置的數(shù)據(jù)級(jí)。在采用傳統(tǒng)半導(dǎo)體 制造技術(shù)的情況下,表示硬件模型的數(shù)據(jù)可以是指定用于生產(chǎn)集成電 路的掩模的不同掩模層上的各種特征是否存在的數(shù)據(jù)。在設(shè)計(jì)的任何 表示中,數(shù)據(jù)可存儲(chǔ)在任何形式的機(jī)器可讀介質(zhì)中。經(jīng)調(diào)制或者以其 它方式產(chǎn)生以便傳送這種信息的光或電波、存儲(chǔ)器或者磁或光存儲(chǔ)裝 置、如磁盤(pán)可以是機(jī)器可讀介質(zhì)。這些介質(zhì)的任一種可"攜帶"或"表明"設(shè)計(jì)或軟件信息。在發(fā)送表明或攜帶代碼或設(shè)計(jì)的電載波達(dá)到執(zhí)行電 信號(hào)的復(fù)制、緩沖或重傳的程度時(shí),就制作了新的副本。因此,通信 提供商或網(wǎng)絡(luò)提供商可能制作構(gòu)成或表示實(shí)施例的產(chǎn)品(載波)的副 本。
實(shí)施例可作為程序產(chǎn)品來(lái)提供,該程序產(chǎn)品可包括其中存儲(chǔ)了數(shù) 據(jù)的機(jī)器可讀介質(zhì),這些數(shù)據(jù)在由機(jī)器訪問(wèn)時(shí)可使機(jī)器執(zhí)行根據(jù)所要 求的主題的過(guò)程。機(jī)器可讀介質(zhì)可包括但不限于軟盤(pán)、光盤(pán)、
DVD-ROM盤(pán)、DVD-RAM盤(pán)、DVD-RW盤(pán)、DVD+RW盤(pán)、CD-R 盤(pán)、CD-RW盤(pán)、CD-ROM盤(pán)以及磁光盤(pán)、ROM、 RAM、 EPROM、 EEPROM、磁卡或光卡、閃存或者適合于存儲(chǔ)電子指令的其它類(lèi)型的 々某體/機(jī)器可讀^h質(zhì)。此外,實(shí)施例還可作為程序產(chǎn)品下載,其中程序 可通過(guò)載波或其它傳播介質(zhì)中包含的數(shù)據(jù)信號(hào)、通過(guò)通信鏈路(例如調(diào) 制解調(diào)器或網(wǎng)絡(luò)連接)從遠(yuǎn)程數(shù)據(jù)源傳遞到請(qǐng)求裝置。
以最基本的形式對(duì)許多方法進(jìn)行了描述,但可在不背離所要求的 主題的基本范圍的前提下,對(duì)方法的任一個(gè)添加或刪除步驟,或者對(duì) 所述消息的任一個(gè)添加或減少信息。本領(lǐng)域的技術(shù)人員非常清楚,可 進(jìn)行其它許多修改和變更。具體實(shí)施例不是用于限制所要求的主題, 而是用于對(duì)它進(jìn)行說(shuō)明。所要求的主題的范圍不是由以上提供的具體 實(shí)例來(lái)確定,而^^f叉由以下權(quán)利要求書(shū)來(lái)確定。
權(quán)利要求
1.在具有多個(gè)邏輯機(jī)的基于處理器的系統(tǒng)中,一種方法包括選擇所述系統(tǒng)中充當(dāng)主機(jī)的邏輯機(jī);以及所述主機(jī)與網(wǎng)絡(luò)的策略決策點(diǎn)(PDP)進(jìn)行通信,以便提供互連所述基于處理器的系統(tǒng)和所述網(wǎng)絡(luò)的數(shù)據(jù)信道;以及提供將所述系統(tǒng)的各邏輯機(jī)互連到所述網(wǎng)絡(luò)的邏輯數(shù)據(jù)信道。
2. 如權(quán)利要求l所述的方法,其中,所述基于處理器的系統(tǒng)包括 邏輯機(jī),所述邏輯機(jī)還包括多核處理器的核以及對(duì)應(yīng)的地址空間。
3. 如權(quán)利要求l所述的方法,其中,所述基于處理器的系統(tǒng)包括 邏輯機(jī),所述邏輯機(jī)還包括虛擬機(jī)和對(duì)應(yīng)的地址空間。
4. 如權(quán)利要求l所述的方法,其中所述主機(jī)包括所述策略決策點(diǎn)與所述系統(tǒng)的各邏輯機(jī)之間的中所述主機(jī)自行向所述PDP認(rèn)證;以及所述主機(jī)在所述PDP與所述系統(tǒng)的邏輯機(jī)之間轉(zhuǎn)發(fā)消息。
5. 如權(quán)利要求4所述的方法,還包括所述PDP應(yīng)用分組過(guò)濾規(guī)j 則,并與所述主機(jī)協(xié)商加密密鑰,以便提供互連所述基于處理器的系 統(tǒng)和所述網(wǎng)絡(luò)的所述數(shù)據(jù)信道。
6. 如權(quán)利要求4所述的方法,還包括所述PDP創(chuàng)建所述PDP 與所述系統(tǒng)的各邏輯機(jī)之間的控制信道。
7. 如權(quán)利要求5所述的方法,還包括所述主機(jī)根據(jù)由所述主機(jī) 從所述系統(tǒng)的各邏輯機(jī)接收的消息的散列,來(lái)生成加密密鑰。
8. 如權(quán)利要求6所述的方法,還包括 各邏輯機(jī)向所述PDP建立身份; 各邏輯機(jī)向所述PDP提供一組安全證書(shū); 所述系統(tǒng)的各邏輯機(jī)向所述PDP l艮告完整性狀態(tài);所述PDP通過(guò)所述PDP與所述邏輯機(jī)之間的控制信道來(lái)為各邏輯機(jī)提供規(guī)則;以及所述PDP為所述系統(tǒng)的各邏輯機(jī)創(chuàng)建安全上下文。
9. 如權(quán)利要求l所述的方法,還包括以下步驟中的至少一個(gè) 動(dòng)態(tài)選擇所述系統(tǒng)中充當(dāng)所述主機(jī)的邏輯機(jī);動(dòng)態(tài)選擇所述系統(tǒng)中充當(dāng)可信平臺(tái)模塊(TPM)的邏輯機(jī);以及 動(dòng)態(tài)選擇所述系統(tǒng)中充當(dāng)分組重定向器的邏輯機(jī)。
10. —種基于處理器的系統(tǒng),包括 多個(gè)邏輯機(jī);所述多個(gè)機(jī)器中的一個(gè),用于充當(dāng)主機(jī);所述主機(jī)與網(wǎng)絡(luò)的策略決策點(diǎn)(PDP)進(jìn)行通信,以便提供互連所述 基于處理器的系統(tǒng)和所述網(wǎng)絡(luò)的數(shù)據(jù)信道;以及提供將所述系統(tǒng)的各邏輯機(jī)互連到所述網(wǎng)絡(luò)的邏輯數(shù)據(jù)信道。
11. 如權(quán)利要求IO所述的基于處理器的系統(tǒng),其中,所述多個(gè)機(jī) 器中的 一個(gè)還包括多核處理器的核以及對(duì)應(yīng)的地址空間。
12. 如權(quán)利要求10所述的基于處理器的系統(tǒng),其中,所述多個(gè)機(jī) 器中的一個(gè)還包括虛擬機(jī)和對(duì)應(yīng)的地址空間。
13. 如權(quán)利要求IO所述的基于處理器的系統(tǒng),其中 所述主機(jī)包括所述策略決策點(diǎn)與所述系統(tǒng)的各邏輯機(jī)之間的中介,所述主機(jī)還執(zhí)行以下步驟自行向所述PDP認(rèn)證;以及在所述PDP與所述系統(tǒng)的邏輯機(jī)之間轉(zhuǎn)發(fā)消息。
14. 一種機(jī)器可讀介質(zhì),其中存儲(chǔ)了在由機(jī)器訪問(wèn)時(shí)使所述機(jī)器 執(zhí)行一種方法的數(shù)據(jù),所述方法包括在包括多個(gè)邏輯機(jī)的基于處理器的系統(tǒng)中,選擇所述系統(tǒng)中充當(dāng) 主才幾的邏輯才幾;以及所述主機(jī)與網(wǎng)絡(luò)的策略決策點(diǎn)(PDP)進(jìn)行通信,以便提供互連所述基于處理器的系統(tǒng)和所述網(wǎng)絡(luò)的數(shù)據(jù)信道;以及提供將所述系統(tǒng)的各邏輯機(jī)互連到所述網(wǎng)絡(luò)的邏輯數(shù)據(jù)信道。
15. 如權(quán)利要求14所述的機(jī)器可讀介質(zhì),其中,所述基于處理器 的系統(tǒng)包括邏輯機(jī),所述邏輯機(jī)還包括多核處理器的核以及對(duì)應(yīng)的地 址空間。
16. 如權(quán)利要求14所述的機(jī)器可讀介質(zhì),其中,所述基于處理器 的系統(tǒng)包括邏輯機(jī),所述邏輯機(jī)還包括虛擬機(jī)和對(duì)應(yīng)的地址空間。
17. 如權(quán)利要求14所述的機(jī)器可讀介質(zhì),其中所述主機(jī)包括所述策略決策點(diǎn)與所述系統(tǒng)的各邏輯機(jī)之間的中 介,并且其中所述方法還包括:所述主機(jī)自行向所述PDP認(rèn)證;以及所述主機(jī)在所述PDP與所述系統(tǒng)的邏輯機(jī)之間轉(zhuǎn)發(fā)消息。
18. 如權(quán)利要求15所述的機(jī)器可讀介質(zhì),其中,所述方法還包括 所述PDP應(yīng)用分組過(guò)濾規(guī)則,并與所述主機(jī)協(xié)商加密密鑰,以便提供 互連所述基于處理器的系統(tǒng)和所述網(wǎng)絡(luò)的所述數(shù)據(jù)信道。
19. 如權(quán)利要求17所述的機(jī)器可讀介質(zhì),其中,所述方法還包括 所述PDP創(chuàng)建所述PDP與所述系統(tǒng)的各邏輯機(jī)之間的控制信道。
20. 如權(quán)利要求19所述的機(jī)器可讀介質(zhì),其中,所述方法還包括 各邏輯機(jī)向所述PDP建立身份;各邏輯機(jī)向所述PDP提供一組安全證書(shū); 所述系統(tǒng)的各邏輯機(jī)向所述PDP寺良告完整性狀態(tài); 所述PDP通過(guò)所述PDP與所述邏輯機(jī)之間的控制信道來(lái)為各邏 輯積4是供規(guī)則;以及所述PDP為所述系統(tǒng)的各邏輯機(jī)創(chuàng)建安全上下文。
21. 如權(quán)利要求18所述的機(jī)器可讀介質(zhì),其中,所述方法還包括 所述主機(jī)根據(jù)由所述主機(jī)從所述系統(tǒng)的各邏輯機(jī)接收的消息的散列, 來(lái)生成加密密鑰。
22.如權(quán)利要求14所述的機(jī)器可讀介質(zhì),其中,所述方法還包括 以下步驟中的至少一個(gè)動(dòng)態(tài)選擇所述系統(tǒng)中充當(dāng)所述主機(jī)的邏輯機(jī); 動(dòng)態(tài)選擇所述系統(tǒng)中充當(dāng)可信平臺(tái)模塊(TPM)的邏輯機(jī);以及 動(dòng)態(tài)選擇所述系統(tǒng)中充當(dāng)分組重定向器的邏輯機(jī)。
全文摘要
在包括多個(gè)邏輯機(jī)的基于處理器的系統(tǒng)中,選擇所述系統(tǒng)中將要充當(dāng)主機(jī)的邏輯機(jī);主機(jī)與網(wǎng)絡(luò)的策略決策點(diǎn)(PDP)進(jìn)行通信,以便提供互連基于處理器的系統(tǒng)和網(wǎng)絡(luò)的數(shù)據(jù)信道,并提供將系統(tǒng)的各邏輯機(jī)互連到網(wǎng)絡(luò)的邏輯數(shù)據(jù)信道。
文檔編號(hào)G06F21/00GK101317417SQ200680044461
公開(kāi)日2008年12月3日 申請(qǐng)日期2006年11月14日 優(yōu)先權(quán)日2005年11月29日
發(fā)明者J·沃爾克, K·索德, N·史密斯 申請(qǐng)人:英特爾公司