技術(shù)領(lǐng)域

本發(fā)明涉及到通信技術(shù)領(lǐng)域，特別涉及一種通信方法、支持可信網(wǎng)絡(luò)接入的安全策略協(xié)商方法及系統(tǒng)。

背景技術(shù)

融合是網(wǎng)絡(luò)發(fā)展的趨勢，而基于安全策略的方案是未來網(wǎng)絡(luò)安全管理的必然選擇。隨著網(wǎng)絡(luò)融合的發(fā)展，業(yè)務(wù)多樣性、設(shè)備復(fù)雜性，使得整個網(wǎng)絡(luò)的安全也越來越復(fù)雜。因此繁雜的人工配置已經(jīng)不能滿足網(wǎng)絡(luò)發(fā)展的需求，基于安全策略的解決方案能夠提供效率優(yōu)化、安全統(tǒng)一和操作便利的網(wǎng)絡(luò)安全管理手段。

統(tǒng)一安全策略框架的目的是基于策略對整網(wǎng)的安全設(shè)備實現(xiàn)統(tǒng)一管理、并從策略層面上實現(xiàn)安全設(shè)備的協(xié)同工作，達(dá)到網(wǎng)絡(luò)安全資源最優(yōu)化。為融合環(huán)境中各種安全系統(tǒng)/設(shè)備之間安全策略的交互提供一個統(tǒng)一的，標(biāo)準(zhǔn)的平臺。

可信網(wǎng)絡(luò)接入(Trusted?Network?Connect，簡稱為TNC)是網(wǎng)絡(luò)接入控制的一種實現(xiàn)方式，是可信計算技術(shù)與網(wǎng)絡(luò)接入控制機(jī)制的結(jié)合，不僅實現(xiàn)接入認(rèn)證，而且要評估接入節(jié)點(diǎn)的安全狀態(tài)，這不同于一般的網(wǎng)絡(luò)安全策略。TNC應(yīng)用目前局限在企業(yè)內(nèi)部網(wǎng)絡(luò)，難以提供分布式、多層次、電信級、跨網(wǎng)絡(luò)域的網(wǎng)絡(luò)訪問控制架構(gòu)。TNC?V1.3架構(gòu)規(guī)范增加了可信網(wǎng)絡(luò)接入?yún)f(xié)議IF-MAP(Interface?for?Metadata?Access?Point，元數(shù)據(jù)訪問點(diǎn)接口)，使得TNC架構(gòu)具有安全信息共享和動態(tài)策略調(diào)整功能。2009年5月，TNC發(fā)布了TNC1.4版本的架構(gòu)規(guī)范，增加了IF-T：Binding?to?TLS(TLS綁定)、FederatedTNC(協(xié)同TNC)和Clientless?Endpoint?Support?Profile(無客戶端支持規(guī)范)三個規(guī)范，用于支持跨域場景和無TNC客戶端的場景，在一定程度上改善了應(yīng)用的局限性。

由于TNC在網(wǎng)絡(luò)接入控制方面的特殊性和異構(gòu)跨域操作的局限性，在存在可信網(wǎng)絡(luò)的環(huán)境中，為了統(tǒng)一安全策略，實現(xiàn)跨域、異構(gòu)端到端的安全通信，需要TNC網(wǎng)絡(luò)同本地網(wǎng)絡(luò)進(jìn)行策略交互，保障端到端通信的安全。

目前，已有技術(shù)中尚未提出統(tǒng)一安全策略框架與現(xiàn)有TNC網(wǎng)絡(luò)之間的策略交互及通信方案，無法實現(xiàn)異構(gòu)跨域安全策略交互和端到端安全通信。

發(fā)明內(nèi)容

本發(fā)明要解決的一個技術(shù)問題是提供一種通信方法，實現(xiàn)非可信網(wǎng)絡(luò)與TNC網(wǎng)絡(luò)的策略交互及通信。

為了解決上述問題，本發(fā)明提供了一種通信方法，其特征在于，用于可信網(wǎng)絡(luò)接入(TNC)網(wǎng)絡(luò)和為非可信網(wǎng)絡(luò)接入網(wǎng)絡(luò)的本地網(wǎng)絡(luò)的通信，該方法包括：

所述本地網(wǎng)絡(luò)支持跨域協(xié)同可信網(wǎng)絡(luò)接入(IF-FTNC)接口；

所述TNC網(wǎng)絡(luò)請求訪問所述本地網(wǎng)絡(luò)的通信實體時，所述本地網(wǎng)絡(luò)通過所述IF-FTNC接口同所述TNC網(wǎng)絡(luò)進(jìn)行策略協(xié)商，若所述策略協(xié)商的協(xié)商結(jié)果為允許通信，則所述TNC網(wǎng)絡(luò)直接與所述本地網(wǎng)絡(luò)進(jìn)行通信。

進(jìn)一步地，所述TNC網(wǎng)絡(luò)的接入請求者(AR)請求訪問所述本地網(wǎng)絡(luò)的通信實體。

進(jìn)一步地，所述AR訪問所述本地網(wǎng)絡(luò)的通信實體的具體過程為：

所述TNC網(wǎng)絡(luò)的策略執(zhí)行點(diǎn)(PEP)收到所述AR發(fā)起的訪問請求后，在本地查詢相應(yīng)的安全策略，或者向所述本地網(wǎng)絡(luò)的策略決策點(diǎn)(PDP)發(fā)起網(wǎng)絡(luò)訪問決策請求；并根據(jù)查詢到的安全策略或所述PDP返回的網(wǎng)絡(luò)訪問決策，將該訪問請求轉(zhuǎn)發(fā)給所述本地網(wǎng)絡(luò)的控制實體或者拒絕該訪問請求；

所述控制實體接收到所述PEP轉(zhuǎn)發(fā)的訪問請求后，如果在本地查詢到相應(yīng)的安全策略，則根據(jù)查詢到的安全策略將該訪問請求轉(zhuǎn)發(fā)給所述通信實體或拒絕該訪問請求；如果在本地沒有查詢到相應(yīng)的安全策略，則向所述本地網(wǎng)絡(luò)的策略服務(wù)器發(fā)起查詢請求，所述策略服務(wù)器在本地查詢相應(yīng)的安全策略或者與所述PDP進(jìn)行策略協(xié)商，并向所述控制實體返回安全策略決策，所述控制實體根據(jù)所述策略服務(wù)器返回的安全策略決策將該訪問請求轉(zhuǎn)發(fā)給所述通信實體或拒絕該訪問請求。

本發(fā)明要解決的另一技術(shù)問題是提供一種支持可信網(wǎng)絡(luò)接入的安全策略協(xié)商方法和系統(tǒng)，解決包含可信網(wǎng)絡(luò)環(huán)境的異構(gòu)跨域安全策略協(xié)商問題。

為了解決上述問題，本發(fā)明提供了一種支持可信網(wǎng)絡(luò)接入的安全策略協(xié)商方法，支持IF-FTNC接口的非可信網(wǎng)絡(luò)接入網(wǎng)絡(luò)的本地網(wǎng)絡(luò)與TNC網(wǎng)絡(luò)通過所述IF-FTNC接口實現(xiàn)安全策略協(xié)商，所述方法包括：

所述本地網(wǎng)絡(luò)的通信實體請求訪問所述TNC網(wǎng)絡(luò)時，所述TNC網(wǎng)絡(luò)對所述通信實體進(jìn)行安全狀態(tài)評估，若評估通過，則允許所述本地網(wǎng)絡(luò)的通信實體訪問所述TNC網(wǎng)絡(luò)。

進(jìn)一步地，若所述評估未通過，則所述TNC網(wǎng)絡(luò)對所述本地網(wǎng)絡(luò)的通信實體的訪問權(quán)限進(jìn)行限制。