專利名稱:多核心系統(tǒng)的網絡接入控制的制作方法
多核心系統(tǒng)的網絡接入控制
背景技術:
使用網絡接入控制(NAC)系統(tǒng)來實現網絡實現的基于處理器的系 統(tǒng)對網絡����、例如無線網絡的連接�����。在一種典型情形中����,通常是網絡上 的服務器的策略決策點(PDP)在允許正嘗試連接到網絡的系統(tǒng)的連接 之前,建立系統(tǒng)的身份和證書�。
多核心系統(tǒng)是基于處理器的系統(tǒng),其中存在多個處理器���、多個核 心或者多個虛擬化處理器����。可將這些用作例如膝上型計算機等便攜計 算機��、個人數字助理或臺式計算機或服務器或者另一種形式的基于處 理器的系統(tǒng)���。在一些多核心系統(tǒng)中,可存在這些類型的平臺的組合�����。 例如���,系統(tǒng)可包括多核處理器��,其中各核心具有獨立的地址空間�����,并 且還具有那個地址空間內部的多個虛擬機�。
隨著虛擬化�����、多核以及混合系統(tǒng)變得普及�,可能需要由NAC系統(tǒng) 準許這類系統(tǒng)進入網絡�。
圖1示出一個實施例中的多核心系統(tǒng)的高級^見圖�����。 圖2示出網絡接入控制環(huán)境中的多核心系統(tǒng)�。 圖3示出一個實施例中的處理的流程。
具體實施例方式
多核心系統(tǒng)是本文用來指例如圖1所示的系統(tǒng)的術語���。如圖所示�����, 多核心系統(tǒng)可包括多個處理器核心�,例如核心150和180����。本文所4吏 用的術語"核心,��,例如可指多處理器系統(tǒng)的單個處理器���,或者指多核處 理器的一處理器核心��。 一般來說����,系統(tǒng)具有一組總線,例如總線160,它將核心和存儲器165與總線上的例如可信平臺才莫塊(TPM)155�、網絡 接口 190和其它裝置162等裝置互連。這些裝置可包括例如存儲�����、輸 入和輸出裝置���。如所述系統(tǒng)所示,核心可形成提供處理器和存儲器的 抽象的����、例如以105、 115和120表示的邏輯機l-3等若干邏輯機的基 礎���。各邏輯機向邏輯機上運行的程序提供處理器130和存儲器135的 邏輯視圖��。在例如具有以105表示的邏輯機1的一些情況下�����,可將例 如核心150等核心和系統(tǒng)存儲器170的段直接映射到邏輯機105���,很 像單處理器系統(tǒng)中一樣��。在其它情況下�����,邏輯機實際上可以是例如虛 擬機115和120等虛擬機��,它們又可通過虛擬機監(jiān)控器(VMM)來運行�����, 虛擬機監(jiān)控器(VMM)本身直接在例如以180表示的核心等核心上運 行���。然后,VMM可將其核心180可用的存儲器分區(qū)為段175和185��, 分別將它們分配給虛擬邏輯機115和120���。例如105���、 115和120等多 核心系統(tǒng)的通用邏輯機又可稱作系統(tǒng)的(邏輯)地址空間,因為各邏輯 機定義其中處理器的邏輯存儲器和寄存器組可被引用的地址空間。還 可提供專用邏輯機�,例如可通過直接映射(145)硬件TPM 155來提供多 核心系統(tǒng)125的可信平臺模塊(TPM)作為邏輯TPM。類似地��,可提供 包括I/O裝置的其它裝置作為邏輯裝置�����。在其它情況下����,可提供與TPM 關聯(lián)的服務作為硬件中由通用核心支持的邏輯機。
所知的是�,可采用網絡^^口裝置190、如無線網絡適配器或有線 網絡適配器�,將多核心系統(tǒng)連接到網絡�����。在許多情況下����,系統(tǒng)的邏輯 機可將其適配器的內部邏輯表示映射到同一個網^4妾口 190。這樣�����, 當例如圖1所示的多核心系統(tǒng)連接到網絡時,由多個邏輯機共享接口 190����。
技術人員應當清楚地知道,圖中所示多核心系統(tǒng)的實際無限的變 化集合是可能的���。具體來說���,核心的數量以及從核心到邏輯機的映射 可以改變;在一些實施例的系統(tǒng)中�,可以不存在虛擬機,而在其它實 施例的系統(tǒng)中���,所有邏輯機都可以M擬的����。在一些系統(tǒng)中可以不存 在TPM,而在其它系統(tǒng)可以設置多個TPM�。在一些實施例中,系統(tǒng)可釆用多個網^l妄口加入多個網絡���。其它許多變化是可能的�。
在圖2中,示出采用網絡接入控制(NAC)將多核心系統(tǒng)200連接 到網絡的一實施例��。如前面所述���,系統(tǒng)200可包括若干邏輯機或邏輯 地址空間�����。在這個實例中���,系統(tǒng)包括作為可信平臺模塊(TPM)的邏輯 機和用于系統(tǒng)管理(235)的機器以及其它機器275、 280����,所述才莫塊可充 當用于存儲和凈艮告(RTS-RTR)255、 265的信任(trust)的根源�����。如前面所 述�,這些機器本身可直接在系統(tǒng)200的硬件核心上實現���,或者作為虛 擬機監(jiān)控器上運行的虛擬機來實現���。在一些實施例中�,可使用專用機 器�、即分組重定向器210在數據鏈路級對系統(tǒng)中的數據分組進行重定 向。例如數據信道1���、數據信道2和數據信道3等內部數據鏈路245 對系統(tǒng)的邏輯才幾進行內部互連����。
所示系統(tǒng)采用接口 215�����、通過物理信道連接到網絡����,其中物理信 道可以是有線、光���、射頻或其它本領域已知的數據鏈路���。策略執(zhí)行點 (PEP)220是網絡的入口點,并執(zhí)行PDP225�����、如Radius服務器所確定 的網絡接入控制策略。在這個實施例中�,PEP將連接請求路由到PDP, 它可提供系統(tǒng)200與網絡之間的數據信道。在這個實施例中��,PDP還 可提供系統(tǒng)的邏輯機的每個的上下文�����,以便采用它自己的身份和安全 證書����、通過邏輯數據信道與網絡交互。
為了向系統(tǒng)200的邏輯機提供這個數據信道和邏輯信道����,在這個 實施例中,在系統(tǒng)200中使用例如隨機選擇等內部進程來選擇系統(tǒng)205 的邏輯機中的 一個充當主機邏輯機�����。從PDP或者從系統(tǒng)的其它機器的 觀點來看����,主機無需是可信處理器,而是充當網絡與系統(tǒng)200之間的 轉發(fā)中介(intermediary)���。 一旦選取了主機��,則系統(tǒng)200的邏輯機與PDP 之間的協(xié)商建立邏輯控制信道���、如290和295,以便提供網絡與系統(tǒng) 的邏輯機之間的邏輯數據信道。
主機具有防止其它機器所提供并通過主機的連接而打通(tunneled) 的消息的人為中途(man-in-the-middle)重定向的附加職責���。用于防止這 種重定向的至少 一種技術是生成散列中的其它核心所提供的所有消息的散列����,然后將所生成的散列用來建立主機隧道的會話密鑰����。可由直 接與PDP協(xié)商會話密鑰的各機器來執(zhí)行防止"內部�����,�����,邏輯機纟支主機篡改 的步驟?�?墒褂脮捗荑€來防止提供消息被不可信的主機篡改����。
一旦在內部機器和主機的認證/狀態(tài)方面充分滿足了 PDP,則主機 生成從上述"內部"消息的散列中得到的預主密鑰(PMK),并將它提供 給網絡^妄口(NIC),其中可(例如使用4向密鑰交換或類似協(xié)議)生成數 據信道的會話密鑰�。與"內部"方法資料一起,PMK密鑰推導還可包含 多核心系統(tǒng)的身份��。 一旦得到密鑰(以及其它密鑰��,包括例如會話密 鑰)����,就將它們安全地存儲在TPM中,TPM是多核心系統(tǒng)的所有機器 可訪問的�����。各機器提供適當的證書�,以便檢索、更新和刪除這些會話 密鑰以及其它安全關聯(lián)�����。
圖3表示一個實施例中、當多核心系統(tǒng)啟動并連接到NAC網絡時 的處理流程�。在啟動時�����,系統(tǒng)內部確定充當主機的機器以及充當分組 重定向器的機器��,310�。在一個實施例中,可隨機選擇主機�。^皮選取充 當主機的機器使用PMK開啟與網絡的PDP的加密MAC會話,并從 PDP接收現時數據(nonce),它將用于會話的其余部分����,315。然后���,主 機通知多核心系統(tǒng)中的其余所有機器關于NAC會話正掛起的情況�����,并 把來自PDP的現時數據轉發(fā)給各機器����,320。然后����,各機器準備態(tài)勢 報告(posture report),該報告表明它的訪問特權的PDP確定的狀態(tài)。由 TPM為機器簽署這個報告����,并且可將報告的測量存儲在TPM中。在 330,機器還生成它自己的現時數據��。然后在335,由主機將已簽署報 告以及來自機器的PDP和機器現時數據轉發(fā)給PDP�。在接收到^4艮告 和現時數據時,在340��, PDP對它進行認證�����。認證過程的細節(jié)如框340A 所示���。
如框340A所示����,為了對來自多梭心系統(tǒng)的機器進行認證,在355��, PDP首先檢驗它自己的隨報告返回的現時數據����。然后,在360,它檢 查報告簽名是否有效���。最后,在370,確定機器的態(tài)勢是否可接受�����。 如果滿足了所有這三個條件��,則PDP對那個機器進行認證��,否則認證失敗���。
在認證完成之后��,在345, PDP使用用于加密的會話密鑰來為各 機器分配信任等級和特權��。然后���,將最后的分配轉發(fā)給分組重定向器 和策略執(zhí)行點(PEP)以便執(zhí)行�。 一旦驗證了具有該指定的簽名和現時數 據�,385,則各機器可按照它所分配的特權和信任等級進行操作,395�。 如果在這個階段的驗證對于機器失敗,則PEP和分組重定向器按照無 特權機器的缺省特權分配來進行操作��,380�����。
本領域的技術人員應當理解��,上述實施例僅表示可用來向NAC 網絡對多核心系統(tǒng)進行認證的一個處理流程�����。在一些實施例中�����,并非 多核心網絡中的所有機器都需要網絡接入���。在其它實施例中���,可省略 處理步驟的一部分��,而添加其它部分��,例如�����,多核心系統(tǒng)中的所有機 器可使用單一態(tài)勢����。所使用的各種名稱和同義詞是為了便于說明����,一 般可使用其它許多術語�����。例如�,PDP可稱作RAS-AAA服務器;PEP 可稱作網關或防火墻����;以及類似地�,多核心系統(tǒng)中的各才幾器可具有特 定術語����。如前面所述,機器本身在物理上可以是分離的核心和地址空 間���,或者可以是虛擬機����。并非所有實施例可具有虛擬機或多核處理器�����。 其它許多變化是可能的���。
在一些實施例中���,分組重定向器還可負責定向多核心系統(tǒng)的不同 邏輯機之間的分組。在一些實施例中��,根據經驗的過濾規(guī)則集合可控 制分組重定向器的操作��,在其它實施例中���,可由PDP來配置分組重定 向器����。在獨立才莫式中,在一些情況下����,多核心系統(tǒng)還可充當多層安全 系統(tǒng),其中分組重定向器充當以不同特權或信任等級進行操作的核心 的安全內核����。
為了便于說明,以上描述中闡述了大量具體細節(jié)���,以便提供對所 述實施例的充分理解��,但是,本領域的技術人員會理解�,即使沒有這 些具體細節(jié)也可實施其它許多實施例。
以上詳細說明的某些部分根據對基于處理器的系統(tǒng)中的數據位的 操作的算法和符號表示來提供���。這些算法描述和表示是本領域的技術人員用來向本領域的其它技術人員最有效地傳達其工作主旨的方式����。 操作是要求物理量的物理處理的那些操作。這些量可采取能夠被存儲��、 傳遞��、組合�、比較以及以其它方式處理的電、磁或其它物理信號的形 式��。主要為了一般使用的原因���,將這些信號稱作位�����、值���、元素、符號�、 字符、項���、編號等�����,已經^皮證明有時非常便利����。
但應當記住,所有這些及類似的項均與適當的物理量相關聯(lián)����,并 且只是應用于這些量的便捷標簽。除非明確說明�,否則從描述中清楚 地知道,諸如"運行�,,或"處理"或"計算"或者"確定"等術語可指基于處 理器的系統(tǒng)或類似電子計算裝置的動作和過程�,其中所述基于處理器 的系統(tǒng)或類似電子計算裝置處理表示為基于處理器的系統(tǒng)的存儲裝置
類信息存儲、傳送或顯示裝置中的物理量的其它數據�����。
在實施例的描述中����,參照了附圖���。附圖中�,相似的標號在若干視 圖中描述基本相似的組件?��?刹捎闷渌鼘嵤├?���,并且可進行結構��、邏 輯和電氣變更�����。此外�����,要理解��,各種實施例雖然有所不同��,但不一定 相互排斥��。例如�����,在一個實施例中描述的特定功能、結構或特性可包 含在其它實施例中��。
此外�,在處理器中實現的一實施例的設計可經過從創(chuàng)建到才莫擬直 到制造的各種階段。表示設計的數據可通過多種方式來表示設計��。首 先�����,如在模擬中有用的那樣�,硬件可采用硬件描述語言或者另一種功 能描述語言來表示。另外�,采用邏輯和/或晶體管門電路的電路級沖莫型 可在設計過程的某些階段產生。此外�,在某個階段,大部分設計達到 表示硬件才莫型中的各種裝置的物理設置的數據級��。在采用傳統(tǒng)半導體 制造技術的情況下���,表示硬件模型的數據可以是指定用于生產集成電 路的掩模的不同掩模層上的各種特征是否存在的數據�����。在設計的任何 表示中��,數據可存儲在任何形式的機器可讀介質中����。經調制或者以其 它方式產生以便傳送這種信息的光或電波���、存儲器或者磁或光存儲裝 置����、如磁盤可以是機器可讀介質�����。這些介質的任一種可"攜帶"或"表明"設計或軟件信息�。在發(fā)送表明或攜帶代碼或設計的電載波達到執(zhí)行電 信號的復制、緩沖或重傳的程度時���,就制作了新的副本����。因此��,通信 提供商或網絡提供商可能制作構成或表示實施例的產品(載波)的副 本。
實施例可作為程序產品來提供�����,該程序產品可包括其中存儲了數 據的機器可讀介質���,這些數據在由機器訪問時可使機器執(zhí)行根據所要 求的主題的過程���。機器可讀介質可包括但不限于軟盤、光盤��、
DVD-ROM盤���、DVD-RAM盤�、DVD-RW盤��、DVD+RW盤����、CD-R 盤、CD-RW盤�、CD-ROM盤以及磁光盤、ROM���、 RAM��、 EPROM�����、 EEPROM���、磁卡或光卡、閃存或者適合于存儲電子指令的其它類型的 々某體/機器可讀^h質����。此外,實施例還可作為程序產品下載���,其中程序 可通過載波或其它傳播介質中包含的數據信號�����、通過通信鏈路(例如調 制解調器或網絡連接)從遠程數據源傳遞到請求裝置�。
以最基本的形式對許多方法進行了描述�����,但可在不背離所要求的 主題的基本范圍的前提下,對方法的任一個添加或刪除步驟����,或者對 所述消息的任一個添加或減少信息。本領域的技術人員非常清楚�����,可 進行其它許多修改和變更��。具體實施例不是用于限制所要求的主題��, 而是用于對它進行說明���。所要求的主題的范圍不是由以上提供的具體 實例來確定����,而^^f叉由以下權利要求書來確定�����。
權利要求
1.在具有多個邏輯機的基于處理器的系統(tǒng)中�����,一種方法包括選擇所述系統(tǒng)中充當主機的邏輯機;以及所述主機與網絡的策略決策點(PDP)進行通信�����,以便提供互連所述基于處理器的系統(tǒng)和所述網絡的數據信道���;以及提供將所述系統(tǒng)的各邏輯機互連到所述網絡的邏輯數據信道����。
2. 如權利要求l所述的方法�����,其中����,所述基于處理器的系統(tǒng)包括 邏輯機���,所述邏輯機還包括多核處理器的核以及對應的地址空間�。
3. 如權利要求l所述的方法����,其中���,所述基于處理器的系統(tǒng)包括 邏輯機,所述邏輯機還包括虛擬機和對應的地址空間���。
4. 如權利要求l所述的方法�,其中所述主機包括所述策略決策點與所述系統(tǒng)的各邏輯機之間的中所述主機自行向所述PDP認證��;以及所述主機在所述PDP與所述系統(tǒng)的邏輯機之間轉發(fā)消息����。
5. 如權利要求4所述的方法,還包括所述PDP應用分組過濾規(guī)j 則�,并與所述主機協(xié)商加密密鑰,以便提供互連所述基于處理器的系 統(tǒng)和所述網絡的所述數據信道�����。
6. 如權利要求4所述的方法���,還包括所述PDP創(chuàng)建所述PDP 與所述系統(tǒng)的各邏輯機之間的控制信道����。
7. 如權利要求5所述的方法�����,還包括所述主機根據由所述主機 從所述系統(tǒng)的各邏輯機接收的消息的散列,來生成加密密鑰�����。
8. 如權利要求6所述的方法��,還包括 各邏輯機向所述PDP建立身份��; 各邏輯機向所述PDP提供一組安全證書��; 所述系統(tǒng)的各邏輯機向所述PDP l艮告完整性狀態(tài)�;所述PDP通過所述PDP與所述邏輯機之間的控制信道來為各邏輯機提供規(guī)則��;以及所述PDP為所述系統(tǒng)的各邏輯機創(chuàng)建安全上下文���。
9. 如權利要求l所述的方法����,還包括以下步驟中的至少一個 動態(tài)選擇所述系統(tǒng)中充當所述主機的邏輯機�;動態(tài)選擇所述系統(tǒng)中充當可信平臺模塊(TPM)的邏輯機;以及 動態(tài)選擇所述系統(tǒng)中充當分組重定向器的邏輯機�����。
10. —種基于處理器的系統(tǒng),包括 多個邏輯機���;所述多個機器中的一個�,用于充當主機�����;所述主機與網絡的策略決策點(PDP)進行通信�,以便提供互連所述 基于處理器的系統(tǒng)和所述網絡的數據信道;以及提供將所述系統(tǒng)的各邏輯機互連到所述網絡的邏輯數據信道����。
11. 如權利要求IO所述的基于處理器的系統(tǒng),其中����,所述多個機 器中的 一個還包括多核處理器的核以及對應的地址空間。
12. 如權利要求10所述的基于處理器的系統(tǒng)�����,其中,所述多個機 器中的一個還包括虛擬機和對應的地址空間��。
13. 如權利要求IO所述的基于處理器的系統(tǒng)����,其中 所述主機包括所述策略決策點與所述系統(tǒng)的各邏輯機之間的中介,所述主機還執(zhí)行以下步驟自行向所述PDP認證���;以及在所述PDP與所述系統(tǒng)的邏輯機之間轉發(fā)消息����。
14. 一種機器可讀介質���,其中存儲了在由機器訪問時使所述機器 執(zhí)行一種方法的數據��,所述方法包括在包括多個邏輯機的基于處理器的系統(tǒng)中����,選擇所述系統(tǒng)中充當 主才幾的邏輯才幾�;以及所述主機與網絡的策略決策點(PDP)進行通信����,以便提供互連所述基于處理器的系統(tǒng)和所述網絡的數據信道;以及提供將所述系統(tǒng)的各邏輯機互連到所述網絡的邏輯數據信道。
15. 如權利要求14所述的機器可讀介質��,其中���,所述基于處理器 的系統(tǒng)包括邏輯機���,所述邏輯機還包括多核處理器的核以及對應的地 址空間。
16. 如權利要求14所述的機器可讀介質��,其中�,所述基于處理器 的系統(tǒng)包括邏輯機,所述邏輯機還包括虛擬機和對應的地址空間����。
17. 如權利要求14所述的機器可讀介質,其中所述主機包括所述策略決策點與所述系統(tǒng)的各邏輯機之間的中 介�����,并且其中所述方法還包括:所述主機自行向所述PDP認證���;以及所述主機在所述PDP與所述系統(tǒng)的邏輯機之間轉發(fā)消息�。
18. 如權利要求15所述的機器可讀介質����,其中����,所述方法還包括 所述PDP應用分組過濾規(guī)則�,并與所述主機協(xié)商加密密鑰,以便提供 互連所述基于處理器的系統(tǒng)和所述網絡的所述數據信道��。
19. 如權利要求17所述的機器可讀介質�����,其中����,所述方法還包括 所述PDP創(chuàng)建所述PDP與所述系統(tǒng)的各邏輯機之間的控制信道。
20. 如權利要求19所述的機器可讀介質���,其中����,所述方法還包括 各邏輯機向所述PDP建立身份�;各邏輯機向所述PDP提供一組安全證書��; 所述系統(tǒng)的各邏輯機向所述PDP寺良告完整性狀態(tài); 所述PDP通過所述PDP與所述邏輯機之間的控制信道來為各邏 輯積4是供規(guī)則����;以及所述PDP為所述系統(tǒng)的各邏輯機創(chuàng)建安全上下文。
21. 如權利要求18所述的機器可讀介質����,其中,所述方法還包括 所述主機根據由所述主機從所述系統(tǒng)的各邏輯機接收的消息的散列����, 來生成加密密鑰。
22.如權利要求14所述的機器可讀介質�����,其中����,所述方法還包括 以下步驟中的至少一個動態(tài)選擇所述系統(tǒng)中充當所述主機的邏輯機; 動態(tài)選擇所述系統(tǒng)中充當可信平臺模塊(TPM)的邏輯機����;以及 動態(tài)選擇所述系統(tǒng)中充當分組重定向器的邏輯機。
全文摘要
在包括多個邏輯機的基于處理器的系統(tǒng)中�,選擇所述系統(tǒng)中將要充當主機的邏輯機���;主機與網絡的策略決策點(PDP)進行通信,以便提供互連基于處理器的系統(tǒng)和網絡的數據信道���,并提供將系統(tǒng)的各邏輯機互連到網絡的邏輯數據信道���。
文檔編號G06F21/00GK101317417SQ200680044461
公開日2008年12月3日 申請日期2006年11月14日 優(yōu)先權日2005年11月29日
發(fā)明者J·沃爾克, K·索德, N·史密斯 申請人:英特爾公司