[发明专利]通信方法、支持可信网络接入的安全策略协商方法及系统

说明书

技术领域

本发明涉及到通信技术领域，特别涉及一种通信方法、支持可信网络接入的安全策略协商方法及系统。

背景技术

融合是网络发展的趋势，而基于安全策略的方案是未来网络安全管理的必然选择。随着网络融合的发展，业务多样性、设备复杂性，使得整个网络的安全也越来越复杂。因此繁杂的人工配置已经不能满足网络发展的需求，基于安全策略的解决方案能够提供效率优化、安全统一和操作便利的网络安全管理手段。

统一安全策略框架的目的是基于策略对整网的安全设备实现统一管理、并从策略层面上实现安全设备的协同工作，达到网络安全资源最优化。为融合环境中各种安全系统/设备之间安全策略的交互提供一个统一的，标准的平台。

可信网络接入(Trusted Network Connect，简称为TNC)是网络接入控制的一种实现方式，是可信计算技术与网络接入控制机制的结合，不仅实现接入认证，而且要评估接入节点的安全状态，这不同于一般的网络安全策略。TNC应用目前局限在企业内部网络，难以提供分布式、多层次、电信级、跨网络域的网络访问控制架构。TNC V1.3架构规范增加了可信网络接入协议IF-MAP(Interface for Metadata Access Point，元数据访问点接口)，使得TNC架构具有安全信息共享和动态策略调整功能。2009年5月，TNC发布了TNC1.4版本的架构规范，增加了IF-T：Binding to TLS(TLS绑定)、FederatedTNC(协同TNC)和Clientless Endpoint Support Profile(无客户端支持规范)三个规范，用于支持跨域场景和无TNC客户端的场景，在一定程度上改善了应用的局限性。

由于TNC在网络接入控制方面的特殊性和异构跨域操作的局限性，在存在可信网络的环境中，为了统一安全策略，实现跨域、异构端到端的安全通信，需要TNC网络同本地网络进行策略交互，保障端到端通信的安全。

目前，已有技术中尚未提出统一安全策略框架与现有TNC网络之间的策略交互及通信方案，无法实现异构跨域安全策略交互和端到端安全通信。

发明内容

本发明要解决的一个技术问题是提供一种通信方法，实现非可信网络与TNC网络的策略交互及通信。

为了解决上述问题，本发明提供了一种通信方法，其特征在于，用于可信网络接入(TNC)网络和为非可信网络接入网络的本地网络的通信，该方法包括：

所述本地网络支持跨域协同可信网络接入(IF-FTNC)接口；

所述TNC网络请求访问所述本地网络的通信实体时，所述本地网络通过所述IF-FTNC接口同所述TNC网络进行策略协商，若所述策略协商的协商结果为允许通信，则所述TNC网络直接与所述本地网络进行通信。

进一步地，所述TNC网络的接入请求者(AR)请求访问所述本地网络的通信实体。

进一步地，所述AR访问所述本地网络的通信实体的具体过程为：

所述TNC网络的策略执行点(PEP)收到所述AR发起的访问请求后，在本地查询相应的安全策略，或者向所述本地网络的策略决策点(PDP)发起网络访问决策请求；并根据查询到的安全策略或所述PDP返回的网络访问决策，将该访问请求转发给所述本地网络的控制实体或者拒绝该访问请求；

所述控制实体接收到所述PEP转发的访问请求后，如果在本地查询到相应的安全策略，则根据查询到的安全策略将该访问请求转发给所述通信实体或拒绝该访问请求；如果在本地没有查询到相应的安全策略，则向所述本地网络的策略服务器发起查询请求，所述策略服务器在本地查询相应的安全策略或者与所述PDP进行策略协商，并向所述控制实体返回安全策略决策，所述控制实体根据所述策略服务器返回的安全策略决策将该访问请求转发给所述通信实体或拒绝该访问请求。

本发明要解决的另一技术问题是提供一种支持可信网络接入的安全策略协商方法和系统，解决包含可信网络环境的异构跨域安全策略协商问题。

为了解决上述问题，本发明提供了一种支持可信网络接入的安全策略协商方法，支持IF-FTNC接口的非可信网络接入网络的本地网络与TNC网络通过所述IF-FTNC接口实现安全策略协商，所述方法包括：

所述本地网络的通信实体请求访问所述TNC网络时，所述TNC网络对所述通信实体进行安全状态评估，若评估通过，则允许所述本地网络的通信实体访问所述TNC网络。

进一步地，若所述评估未通过，则所述TNC网络对所述本地网络的通信实体的访问权限进行限制。