專(zhuān)利名稱:基于端口的對(duì)等訪問(wèn)控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)技術(shù),尤其涉及一種基于端口的對(duì)等訪問(wèn)控制方法。
背景技術(shù):
網(wǎng)絡(luò)訪問(wèn)控制一般涉及三個(gè)系統(tǒng)用戶、接入點(diǎn)和后臺(tái)服務(wù)器,后臺(tái)服務(wù)器對(duì)用戶和接入點(diǎn)進(jìn)行集中管理。IEEE802.1x稱為基于端口的訪問(wèn)控制協(xié)議(Port based network access control protocol)。當(dāng)前有線網(wǎng)絡(luò)中,除了傳統(tǒng)的瀏覽器(WEB/Portal)訪問(wèn)控制方法和以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議PPPoE(Point to PointProtocol over Ethernet)訪問(wèn)控制方法以外,新興的訪問(wèn)方法則基于IEEE802.1x技術(shù)。IEEE802.1x技術(shù)具有控制和業(yè)務(wù)分離,高靈活性,強(qiáng)適應(yīng)性等優(yōu)點(diǎn),已在各種網(wǎng)絡(luò)中廣泛應(yīng)用。而且眾多的無(wú)線網(wǎng)絡(luò)如無(wú)線局域網(wǎng)IEEE802.11、無(wú)線城域網(wǎng)IEEE802.16e等都采用IEEE802.1x技術(shù)。
網(wǎng)絡(luò)訪問(wèn)控制的關(guān)鍵是認(rèn)證,認(rèn)證的目的是要在用戶和接入點(diǎn)之間建立信任,這是提供網(wǎng)絡(luò)服務(wù)的基礎(chǔ)。無(wú)論是有線網(wǎng)絡(luò)接入還是無(wú)線網(wǎng)絡(luò)接入都需要采用某一種安全機(jī)制來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)和用戶之間的相互認(rèn)證。
IEEE802.1x是在鏈路層實(shí)現(xiàn)認(rèn)證的方法,它是基于端口的技術(shù)。一個(gè)系統(tǒng)的端口提供了一個(gè)方法,通過(guò)這種方法使該系統(tǒng)訪問(wèn)其他系統(tǒng)的服務(wù)和提供服務(wù)給其他系統(tǒng)。
IEEE802.1x定義了三種實(shí)體認(rèn)證端(Authenticator)——在系統(tǒng)提供的服務(wù)在允許被訪問(wèn)前,系統(tǒng)的端口控制實(shí)體要對(duì)請(qǐng)求端進(jìn)行認(rèn)證和授權(quán)。該系統(tǒng)稱為認(rèn)證端系統(tǒng),它的端口控制實(shí)體稱為認(rèn)證端;請(qǐng)求端(Supplicant)——系統(tǒng)要訪問(wèn)由認(rèn)證端系統(tǒng)所提供服務(wù)。該系統(tǒng)稱為請(qǐng)求端系統(tǒng),它的端口控制實(shí)體稱為請(qǐng)求端;認(rèn)證服務(wù)器(Authentication Server)——認(rèn)證服務(wù)器是這樣一個(gè)實(shí)體,它代表認(rèn)證端來(lái)鑒別請(qǐng)求端的資格,決定請(qǐng)求端系統(tǒng)是否能獲得授權(quán),去訪問(wèn)由認(rèn)證端系統(tǒng)所提供的服務(wù)。
認(rèn)證端系統(tǒng)和傳輸媒介有兩個(gè)訪問(wèn)點(diǎn)。一個(gè)訪問(wèn)點(diǎn)稱為受控端口,它有兩個(gè)狀態(tài)認(rèn)證的和未認(rèn)證的,當(dāng)它的狀態(tài)是認(rèn)證的時(shí),才允許數(shù)據(jù)包通過(guò);而另一個(gè)訪問(wèn)點(diǎn)稱為非受控端口,它無(wú)論狀態(tài)如何,都允許數(shù)據(jù)包通過(guò)。
圖1給出了IEEE802.1x的功能實(shí)體關(guān)系。
由于IEEE802.1x只提供了一個(gè)認(rèn)證的框架,在實(shí)際使用中則是和可擴(kuò)展認(rèn)證協(xié)議EAP(Extensible Authentication Protocol)結(jié)合來(lái)提供認(rèn)證及密鑰協(xié)商。IEEE 802.1x的結(jié)構(gòu)是不對(duì)等結(jié)構(gòu),請(qǐng)求端和認(rèn)證端功能相差很大。請(qǐng)求端沒(méi)有端口控制功能,而認(rèn)證端沒(méi)有認(rèn)證功能,認(rèn)證是在請(qǐng)求端和認(rèn)證服務(wù)器之間進(jìn)行的。雖然認(rèn)證服務(wù)器可以和認(rèn)證端在一個(gè)系統(tǒng)中實(shí)現(xiàn),但這將大大減弱IEEE802.1x對(duì)認(rèn)證端集中控制的優(yōu)勢(shì)。而目前普遍采用的方法是認(rèn)證服務(wù)器和認(rèn)證端在不同的系統(tǒng)中實(shí)現(xiàn)。認(rèn)證時(shí),認(rèn)證服務(wù)器直接把認(rèn)證結(jié)果傳遞給認(rèn)證端;若還要進(jìn)行密鑰協(xié)商,密鑰協(xié)商需在認(rèn)證服務(wù)器和請(qǐng)求端之間進(jìn)行,然后由認(rèn)證服務(wù)器將協(xié)商的出來(lái)的密鑰發(fā)送給認(rèn)證端,請(qǐng)求端和認(rèn)證端基于動(dòng)態(tài)的共享密鑰進(jìn)行認(rèn)證與密鑰協(xié)商。因此其存在的缺點(diǎn)是1、IEEE802.1x的結(jié)構(gòu)是不對(duì)等結(jié)構(gòu),請(qǐng)求端和認(rèn)證端功能相差很大。請(qǐng)求端沒(méi)有端口控制功能,而認(rèn)證端沒(méi)有認(rèn)證功能,認(rèn)證是在請(qǐng)求端和認(rèn)證服務(wù)器之間進(jìn)行的。雖然認(rèn)證服務(wù)器可以和認(rèn)證端在一個(gè)系統(tǒng)中實(shí)現(xiàn),但這將大大減弱IEEE802.1x對(duì)認(rèn)證端集中控制的優(yōu)勢(shì)。
2、可擴(kuò)展性差。在每一個(gè)認(rèn)證端和認(rèn)證服務(wù)器之間存在預(yù)定義的安全通道。安全通道越多,需要耗費(fèi)的認(rèn)證服務(wù)器系統(tǒng)資源越多,管理也越復(fù)雜,因此不宜配置大量的安全通道,網(wǎng)絡(luò)擴(kuò)展性受限;3、密鑰協(xié)商過(guò)程復(fù)雜。密鑰用于請(qǐng)求端和認(rèn)證端之間的數(shù)據(jù)保護(hù),卻要先在請(qǐng)求端和認(rèn)證服務(wù)器之間協(xié)商,再在請(qǐng)求端和認(rèn)證端之間協(xié)商。
4、引入新的攻擊點(diǎn),安全性有所降低。請(qǐng)求端和認(rèn)證服務(wù)器協(xié)商出來(lái)的主密鑰由認(rèn)證服務(wù)器傳遞給認(rèn)證端。密鑰在網(wǎng)絡(luò)上傳遞,引入了新的安全攻擊點(diǎn)。
5、認(rèn)證端沒(méi)有獨(dú)立的身份。對(duì)于請(qǐng)求端,同一認(rèn)證服務(wù)器管理下的認(rèn)證端的身份是不可區(qū)分的,在需要區(qū)分認(rèn)證端的應(yīng)用環(huán)境下要增加額外的功能實(shí)體,這帶來(lái)了復(fù)雜性。
發(fā)明內(nèi)容
本發(fā)明的目的要解決背景技術(shù)的不足之處,通過(guò)改變背景技術(shù)的不對(duì)等性,提供一種對(duì)等的訪問(wèn)控制方法。本發(fā)明的方法既能滿足集中管理的要求,又解決了現(xiàn)有網(wǎng)絡(luò)訪問(wèn)控制方法的過(guò)程復(fù)雜、安全性能差、可擴(kuò)展性差等技術(shù)問(wèn)題,為網(wǎng)絡(luò)的安全訪問(wèn)提供了根本保障。
本發(fā)明的技術(shù)解決方案如下一種基于端口的對(duì)等訪問(wèn)控制方法,該方法包括1)啟用認(rèn)證控制實(shí)體當(dāng)用戶和接入點(diǎn)要進(jìn)行通信時(shí),先啟用認(rèn)證控制實(shí)體;所述的認(rèn)證控制實(shí)體具有用于認(rèn)證的唯一身份,其包括認(rèn)證子系統(tǒng)以及連接認(rèn)證子系統(tǒng)和傳輸媒介的兩個(gè)訪問(wèn)點(diǎn);所述的兩個(gè)訪問(wèn)點(diǎn)包括受控端口和非受控端口;所述的認(rèn)證子系統(tǒng)包括實(shí)現(xiàn)認(rèn)證和端口控制功能,所述的認(rèn)證子系統(tǒng)和非受控端口相連,受控端口的狀態(tài)轉(zhuǎn)變由認(rèn)證子系統(tǒng)控制;2)兩個(gè)認(rèn)證控制實(shí)體相互認(rèn)證兩個(gè)認(rèn)證控制實(shí)體通過(guò)非受控端口進(jìn)行通信,它們的認(rèn)證子系統(tǒng)進(jìn)行相互的認(rèn)證;3)設(shè)定受控端口的狀態(tài)當(dāng)認(rèn)證成功,認(rèn)證子系統(tǒng)設(shè)定受控端口的狀態(tài)為認(rèn)證的,受控端口從斷開(kāi)狀態(tài)轉(zhuǎn)變?yōu)殚]合狀態(tài),允許數(shù)據(jù)包通過(guò);若認(rèn)證不成功,認(rèn)證子系統(tǒng)設(shè)定受控端口的狀態(tài)為未認(rèn)證的,受控端口仍然保持?jǐn)嚅_(kāi)狀態(tài)。
上述方法還可包括啟用認(rèn)證服務(wù)器實(shí)體當(dāng)用戶和接入點(diǎn)要進(jìn)行通信時(shí),先啟用認(rèn)證控制實(shí)體和認(rèn)證服務(wù)器實(shí)體;所述認(rèn)證服務(wù)器實(shí)體存儲(chǔ)有關(guān)認(rèn)證控制實(shí)體的安全管理信息;所述的認(rèn)證服務(wù)器實(shí)體和認(rèn)證控制實(shí)體的認(rèn)證子系統(tǒng)相連接,認(rèn)證服務(wù)器實(shí)體和認(rèn)證控制實(shí)體中的認(rèn)證子系統(tǒng)交互安全管理消息,提供認(rèn)證所必須的信息;所述認(rèn)證子系統(tǒng)是在認(rèn)證服務(wù)器實(shí)體的輔助下完成認(rèn)證過(guò)程,或自行完成認(rèn)證過(guò)程。
上述的認(rèn)證服務(wù)器實(shí)體存儲(chǔ)認(rèn)證控制實(shí)體的屬性信息,認(rèn)證服務(wù)器實(shí)體把屬性信息傳遞給認(rèn)證控制實(shí)體。
上述方法還可包括兩個(gè)認(rèn)證子系統(tǒng)進(jìn)行密鑰協(xié)商所述的認(rèn)證子系統(tǒng)包括密鑰協(xié)商功能,所述的兩個(gè)認(rèn)證控制實(shí)體相互認(rèn)證時(shí),在認(rèn)證過(guò)程中或認(rèn)證完成后,可進(jìn)行密鑰協(xié)商;若是在認(rèn)證完成后獨(dú)立進(jìn)行密鑰協(xié)商,那么密鑰協(xié)商由兩個(gè)認(rèn)證控制實(shí)體自行完成。
上述的密鑰協(xié)商在認(rèn)證過(guò)程中和認(rèn)證同時(shí)完成時(shí),認(rèn)證子系統(tǒng)可以在認(rèn)證服務(wù)器實(shí)體的輔助下完成密鑰協(xié)商過(guò)程,或自行完成密鑰協(xié)商過(guò)程。
上述的認(rèn)證服務(wù)器實(shí)體存儲(chǔ)認(rèn)證控制實(shí)體的屬性信息,認(rèn)證服務(wù)器實(shí)體把屬性信息傳遞給認(rèn)證控制實(shí)體。
上述方法還可包括設(shè)定受控端口的狀態(tài)當(dāng)認(rèn)證及密鑰協(xié)商過(guò)程都成功完成后,認(rèn)證子系統(tǒng)設(shè)定受控端口的狀態(tài)為認(rèn)證的,受控端口從斷開(kāi)狀態(tài)轉(zhuǎn)變?yōu)殚]合狀態(tài),允許數(shù)據(jù)包通過(guò);若認(rèn)證及密鑰協(xié)商過(guò)程不成功,認(rèn)證子系統(tǒng)設(shè)定受控端口的狀態(tài)為未認(rèn)證的,受控端口仍然保持?jǐn)嚅_(kāi)狀態(tài)。
上述認(rèn)證控制實(shí)體和認(rèn)證服務(wù)器實(shí)體可以在一個(gè)系統(tǒng)中,也可以在不同系統(tǒng)中;所述一個(gè)系統(tǒng)可以包含一個(gè)認(rèn)證控制實(shí)體,也可以包含多個(gè)認(rèn)證控制實(shí)體。
本發(fā)明的優(yōu)點(diǎn)是1、對(duì)等化控制。本方法使用戶和接入點(diǎn)都包含認(rèn)證控制實(shí)體,則用戶和接入點(diǎn)可以直接進(jìn)行認(rèn)證,即對(duì)等化,對(duì)認(rèn)證功能提供了更強(qiáng)大的支持;2、認(rèn)證控制實(shí)體具有可區(qū)分性。認(rèn)證控制實(shí)體具有獨(dú)立的身份,不再是認(rèn)證服務(wù)器的簡(jiǎn)單受控者,認(rèn)證控制實(shí)體獨(dú)立的身份使之脫離了對(duì)認(rèn)證服務(wù)器實(shí)體的本質(zhì)依賴,從而認(rèn)證控制實(shí)體本身具有可區(qū)分性;3、擴(kuò)展性好。認(rèn)證控制實(shí)體和認(rèn)證服務(wù)器實(shí)體之間不必存在預(yù)定義的安全通道,便于認(rèn)證服務(wù)器實(shí)體對(duì)認(rèn)證控制實(shí)體進(jìn)行集中控制,具有很好的擴(kuò)展性;4、安全性好。認(rèn)證控制實(shí)體可以直接和其他的認(rèn)證控制實(shí)體進(jìn)行密鑰協(xié)商,還原了密鑰協(xié)商的直接性,簡(jiǎn)化了網(wǎng)絡(luò)的實(shí)現(xiàn),并增強(qiáng)了安全性;5、密鑰協(xié)商過(guò)程簡(jiǎn)單。認(rèn)證控制實(shí)體可以直接和其他的認(rèn)證控制實(shí)體進(jìn)行密鑰協(xié)商,降低了復(fù)雜性,提高了密鑰協(xié)商的效率;6、系統(tǒng)相對(duì)完整。認(rèn)證服務(wù)器實(shí)體是認(rèn)證控制實(shí)體的安全管理者,包含了認(rèn)證技術(shù)中密鑰管理的功能,本發(fā)明的幾個(gè)實(shí)體一起構(gòu)成了完整的安全系統(tǒng),獨(dú)立完成認(rèn)證及密鑰協(xié)商功能;7、靈活性高。認(rèn)證服務(wù)器實(shí)體可以提供豐富的附加功能,具有很強(qiáng)的靈活性;8、實(shí)現(xiàn)方式靈活。本方法定義的功能實(shí)體并不要求在不同的網(wǎng)絡(luò)系統(tǒng)中實(shí)現(xiàn),一個(gè)網(wǎng)絡(luò)系統(tǒng)可以實(shí)現(xiàn)一個(gè)或多個(gè)功能實(shí)體。如圖3所示,認(rèn)證控制實(shí)體和認(rèn)證服務(wù)器實(shí)體在同一個(gè)網(wǎng)絡(luò)系統(tǒng)內(nèi)實(shí)現(xiàn)。同時(shí)也不要求一個(gè)認(rèn)證服務(wù)器實(shí)體對(duì)應(yīng)一個(gè)認(rèn)證控制實(shí)體,一個(gè)認(rèn)證服務(wù)器實(shí)體可以對(duì)應(yīng)、管理多個(gè)認(rèn)證控制實(shí)體。如圖4所示,認(rèn)證控制實(shí)體1通過(guò)認(rèn)證控制實(shí)體2的非受控端口和認(rèn)證服務(wù)器實(shí)體通信。
附面說(shuō)明圖1是IEEE 802.1x的功能實(shí)體連接關(guān)系圖;圖2是本發(fā)明的功能實(shí)體連接關(guān)系圖;圖3是本發(fā)明認(rèn)證服務(wù)器實(shí)體和認(rèn)證控制實(shí)體在一個(gè)系統(tǒng)內(nèi)實(shí)現(xiàn)的原理圖;圖4是本發(fā)明一個(gè)認(rèn)證服務(wù)器實(shí)體對(duì)應(yīng)多個(gè)認(rèn)證控制實(shí)體的原理圖。
具體實(shí)施例方式
本發(fā)明包含以下兩種實(shí)體1)認(rèn)證控制實(shí)體認(rèn)證控制實(shí)體包括和傳輸媒介相連的兩個(gè)訪問(wèn)點(diǎn)。一個(gè)訪問(wèn)點(diǎn)稱為受控端口,它有兩個(gè)狀態(tài)認(rèn)證的狀態(tài)和未認(rèn)證的狀態(tài)。當(dāng)它的狀態(tài)是認(rèn)證的時(shí),才允許數(shù)據(jù)包通過(guò);而另一個(gè)訪問(wèn)點(diǎn)稱為非受控端口,它無(wú)論狀態(tài)如何,都允許數(shù)據(jù)包通過(guò)。認(rèn)證控制實(shí)體的受控端口和非受控端口會(huì)同時(shí)收到下層傳輸媒介的數(shù)據(jù)包。
認(rèn)證控制實(shí)體包含認(rèn)證子系統(tǒng),認(rèn)證子系統(tǒng)實(shí)現(xiàn)認(rèn)證、密鑰協(xié)商等安全功能和端口控制功能。認(rèn)證子系統(tǒng)和非受控端口相連,受控端口的狀態(tài)轉(zhuǎn)變由認(rèn)證子系統(tǒng)控制。
認(rèn)證控制實(shí)體具有用于認(rèn)證的唯一身份,可以獨(dú)立的實(shí)現(xiàn)認(rèn)證功能。
2)認(rèn)證服務(wù)器實(shí)體認(rèn)證服務(wù)器實(shí)體存儲(chǔ)有關(guān)認(rèn)證控制實(shí)體的安全管理信息,它和認(rèn)證控制實(shí)體的認(rèn)證子系統(tǒng)相連接。在認(rèn)證控制實(shí)體和其他認(rèn)證控制實(shí)體進(jìn)行認(rèn)證時(shí),認(rèn)證服務(wù)器實(shí)體和認(rèn)證控制實(shí)體中的認(rèn)證子系統(tǒng)交互安全管理消息,提供認(rèn)證所必須的信息,但認(rèn)證服務(wù)器實(shí)體并不代表認(rèn)證控制實(shí)體完成認(rèn)證。認(rèn)證服務(wù)器實(shí)體還存儲(chǔ)認(rèn)證控制實(shí)體的屬性信息,根據(jù)應(yīng)用需要,認(rèn)證服務(wù)器實(shí)體把屬性信息傳遞給認(rèn)證控制實(shí)體。
認(rèn)證控制實(shí)體和認(rèn)證服務(wù)器實(shí)體的關(guān)系如附圖2所示。
本發(fā)明的對(duì)等訪問(wèn)控制方法的一種具體過(guò)程1)啟用認(rèn)證控制實(shí)體當(dāng)用戶和接入點(diǎn)要進(jìn)行通信時(shí),它們都必須先啟用認(rèn)證控制實(shí)體。
2)兩個(gè)認(rèn)證控制實(shí)體相互認(rèn)證兩個(gè)認(rèn)證控制實(shí)體通過(guò)非受控端口進(jìn)行通信,它們的認(rèn)證子系統(tǒng)進(jìn)行相互的認(rèn)證。認(rèn)證子系統(tǒng)可以不需要認(rèn)證服務(wù)器實(shí)體的輔助,自行完成認(rèn)證過(guò)程。
3)兩個(gè)認(rèn)證控制實(shí)體進(jìn)行密鑰協(xié)商如果兩個(gè)認(rèn)證控制實(shí)體需要進(jìn)行密鑰協(xié)商,則密鑰協(xié)商可以在認(rèn)證過(guò)程中和認(rèn)證同時(shí)完成,也可以在認(rèn)證過(guò)程完成后獨(dú)立進(jìn)行。若是在認(rèn)證完成后獨(dú)立進(jìn)行密鑰協(xié)商,那么密鑰協(xié)商由兩個(gè)認(rèn)證控制實(shí)體自行完成,不需要認(rèn)證服務(wù)器實(shí)體的參加。
4)設(shè)定受控端口的狀態(tài)當(dāng)認(rèn)證及密鑰協(xié)商成功,認(rèn)證子系統(tǒng)設(shè)定受控端口的狀態(tài)為認(rèn)證的,受控端口從斷開(kāi)狀態(tài)轉(zhuǎn)變?yōu)殚]合狀態(tài),允許數(shù)據(jù)包通過(guò);若認(rèn)證不成功,認(rèn)證子系統(tǒng)設(shè)定受控端口的狀態(tài)為未認(rèn)證的,受控端口仍然保持?jǐn)嚅_(kāi)狀態(tài)。
本發(fā)明的對(duì)等訪問(wèn)控制方法的另一種具體過(guò)程1)啟用認(rèn)證控制實(shí)體和認(rèn)證服務(wù)器實(shí)體當(dāng)用戶和接入點(diǎn)要進(jìn)行通信時(shí),它們都啟用認(rèn)證控制實(shí)體和認(rèn)證服務(wù)器實(shí)體。
2)兩個(gè)認(rèn)證控制實(shí)體相互認(rèn)證兩個(gè)認(rèn)證控制實(shí)體通過(guò)非受控端口進(jìn)行通信,它們的認(rèn)證子系統(tǒng)進(jìn)行相互的認(rèn)證。認(rèn)證子系統(tǒng)可以在認(rèn)證服務(wù)器實(shí)體的輔助下完成認(rèn)證過(guò)程,還可以不需要認(rèn)證服務(wù)器實(shí)體的輔助,自行完成認(rèn)證過(guò)程。
3)兩個(gè)認(rèn)證控制實(shí)體進(jìn)行密鑰協(xié)商如果兩個(gè)認(rèn)證控制實(shí)體需要進(jìn)行密鑰協(xié)商,則密鑰協(xié)商可以在認(rèn)證過(guò)程中和認(rèn)證同時(shí)完成,也可以在認(rèn)證過(guò)程完成后獨(dú)立進(jìn)行。若是在認(rèn)證完成后獨(dú)立進(jìn)行密鑰協(xié)商,那么密鑰協(xié)商由兩個(gè)認(rèn)證控制實(shí)體自行完成,不需要認(rèn)證服務(wù)器實(shí)體的參加。
4)設(shè)定受控端口的狀態(tài)當(dāng)認(rèn)證及密鑰協(xié)商成功,認(rèn)證子系統(tǒng)設(shè)定受控端口的狀態(tài)為認(rèn)證的,受控端口從斷開(kāi)狀態(tài)轉(zhuǎn)變?yōu)殚]合狀態(tài),允許數(shù)據(jù)包通過(guò);若認(rèn)證不成功,認(rèn)證子系統(tǒng)設(shè)定受控端口的狀態(tài)為未認(rèn)證的,受控端口仍然保持?jǐn)嚅_(kāi)狀態(tài)。
認(rèn)證控制實(shí)體和認(rèn)證服務(wù)器實(shí)體的關(guān)系如附圖2所示。
本發(fā)明的原理是使用戶和接入點(diǎn)都包含認(rèn)證控制實(shí)體,則用戶和接入點(diǎn)可以直接進(jìn)行認(rèn)證,即對(duì)等的訪問(wèn)控制,對(duì)認(rèn)證功能提供了更強(qiáng)大的支持。認(rèn)證控制實(shí)體具有獨(dú)立的身份,不再是認(rèn)證服務(wù)器實(shí)體的簡(jiǎn)單受控者。認(rèn)證控制實(shí)體獨(dú)立的身份使之脫離了對(duì)認(rèn)證服務(wù)器實(shí)體的本質(zhì)依賴,從而認(rèn)證控制實(shí)體本身具有可區(qū)分性。認(rèn)證控制實(shí)體可以直接和其他的認(rèn)證控制實(shí)體進(jìn)行密鑰協(xié)商,還原了密鑰協(xié)商的直接性。認(rèn)證服務(wù)器是認(rèn)證控制實(shí)體的安全管理者,包含了認(rèn)證技術(shù)中密鑰管理的功能,構(gòu)成了完整的安全系統(tǒng),獨(dú)立完成認(rèn)證及密鑰協(xié)商功能。
在實(shí)踐應(yīng)用中,網(wǎng)絡(luò)接入控制中的用戶和接入點(diǎn)都通過(guò)認(rèn)證控制實(shí)體實(shí)現(xiàn)認(rèn)證,而后臺(tái)服務(wù)器通過(guò)認(rèn)證服務(wù)器實(shí)體進(jìn)行安全管理。
本發(fā)明所涉及的技術(shù)術(shù)語(yǔ)如下IEEE 802.1x-基于端口的訪問(wèn)控制協(xié)議(Port based network access controlprotocol);PPPoE-點(diǎn)到點(diǎn)協(xié)議(Point to Point Protocol over Ethernet);IEEE 802.11-無(wú)線局域網(wǎng);IEEE802.16e-無(wú)線城域網(wǎng);Authenticator-認(rèn)證端;Supplicant-請(qǐng)求端;Authentication Server-認(rèn)證服務(wù)器;EAP-可擴(kuò)展認(rèn)證協(xié)議(Extensible Authentication Protocol)。
權(quán)利要求
1.一種基于端口的對(duì)等訪問(wèn)控制方法,其特征在于所述方法包括1)啟用認(rèn)證控制實(shí)體當(dāng)用戶和接入點(diǎn)要進(jìn)行通信時(shí),先啟用認(rèn)證控制實(shí)體;所述的認(rèn)證控制實(shí)體具有用于認(rèn)證的唯一身份,其包括認(rèn)證子系統(tǒng)以及連接認(rèn)證子系統(tǒng)和傳輸媒介的兩個(gè)訪問(wèn)點(diǎn);所述的兩個(gè)訪問(wèn)點(diǎn)包括受控端口和非受控端口;所述的認(rèn)證子系統(tǒng)包括實(shí)現(xiàn)認(rèn)證和端口控制功能,所述的認(rèn)證子系統(tǒng)和非受控端口相連,受控端口的狀態(tài)轉(zhuǎn)變由認(rèn)證子系統(tǒng)控制;2)兩個(gè)認(rèn)證控制實(shí)體相互認(rèn)證兩個(gè)認(rèn)證控制實(shí)體通過(guò)非受控端口進(jìn)行通信,它們的認(rèn)證子系統(tǒng)進(jìn)行相互的認(rèn)證;3)設(shè)定受控端口的狀態(tài)當(dāng)認(rèn)證成功,認(rèn)證子系統(tǒng)設(shè)定受控端口的狀態(tài)為認(rèn)證的,受控端口從斷開(kāi)狀態(tài)轉(zhuǎn)變?yōu)殚]合狀態(tài),允許數(shù)據(jù)包通過(guò);若認(rèn)證不成功,認(rèn)證子系統(tǒng)設(shè)定受控端口的狀態(tài)為未認(rèn)證的,受控端口仍然保持?jǐn)嚅_(kāi)狀態(tài)。
2.根據(jù)權(quán)利要求1所述的基于端口的對(duì)等訪問(wèn)控制方法,其特征在于所述方法包括啟用認(rèn)證服務(wù)器實(shí)體當(dāng)用戶和接入點(diǎn)要進(jìn)行通信時(shí),先啟用認(rèn)證控制實(shí)體和認(rèn)證服務(wù)器實(shí)體;所述認(rèn)證服務(wù)器實(shí)體存儲(chǔ)有關(guān)認(rèn)證控制實(shí)體的安全管理信息;所述的認(rèn)證服務(wù)器實(shí)體和認(rèn)證控制實(shí)體的認(rèn)證子系統(tǒng)相連接,認(rèn)證服務(wù)器實(shí)體和認(rèn)證控制實(shí)體中的認(rèn)證子系統(tǒng)交互安全管理消息,提供認(rèn)證所必須的信息;所述認(rèn)證子系統(tǒng)是在認(rèn)證服務(wù)器實(shí)體的輔助下完成認(rèn)證過(guò)程,或自行完成認(rèn)證過(guò)程。
3.根據(jù)權(quán)利要求1或2所述的基于端口的對(duì)等訪問(wèn)控制方法,其特征在于所述方法包括兩個(gè)認(rèn)證子系統(tǒng)進(jìn)行密鑰協(xié)商所述的認(rèn)證子系統(tǒng)包括密鑰協(xié)商功能,所述的兩個(gè)認(rèn)證控制實(shí)體相互認(rèn)證時(shí),在認(rèn)證過(guò)程中或認(rèn)證完成后,可進(jìn)行密鑰協(xié)商;若是在認(rèn)證完成后獨(dú)立進(jìn)行密鑰協(xié)商,那么密鑰協(xié)商由兩個(gè)認(rèn)證控制實(shí)體自行完成。
4.根據(jù)權(quán)利要求3所述的基于端口的對(duì)等訪問(wèn)控制方法,其特征在于所述的密鑰協(xié)商在認(rèn)證過(guò)程中和認(rèn)證同時(shí)完成時(shí),認(rèn)證子系統(tǒng)可以在認(rèn)證服務(wù)器實(shí)體的輔助下完成密鑰協(xié)商過(guò)程,或自行完成密鑰協(xié)商過(guò)程。
5.根據(jù)權(quán)利要求1或2所述的基于端口的對(duì)等訪問(wèn)控制方法,其特征在于所述的認(rèn)證服務(wù)器實(shí)體存儲(chǔ)認(rèn)證控制實(shí)體的屬性信息,認(rèn)證服務(wù)器實(shí)體把屬性信息傳遞給認(rèn)證控制實(shí)體。
6.根據(jù)權(quán)利要求3所述的基于端口的對(duì)等訪問(wèn)控制方法,其特征在于所述的認(rèn)證服務(wù)器實(shí)體存儲(chǔ)認(rèn)證控制實(shí)體的屬性信息,認(rèn)證服務(wù)器實(shí)體把屬性信息傳遞給認(rèn)證控制實(shí)體。
7.根據(jù)權(quán)利要求3所述的基于端口的對(duì)等訪問(wèn)控制方法,其特征在于所述方法包括設(shè)定受控端口的狀態(tài)當(dāng)認(rèn)證及密鑰協(xié)商過(guò)程都成功完成后,認(rèn)證子系統(tǒng)設(shè)定受控端口的狀態(tài)為認(rèn)證的,受控端口從斷開(kāi)狀態(tài)轉(zhuǎn)變?yōu)殚]合狀態(tài),允許數(shù)據(jù)包通過(guò);若認(rèn)證及密鑰協(xié)商過(guò)程不成功,認(rèn)證子系統(tǒng)設(shè)定受控端口的狀態(tài)為未認(rèn)證的,受控端口仍然保持?jǐn)嚅_(kāi)狀態(tài)。
8.根據(jù)權(quán)利要求1或2所述的基于端口的對(duì)等訪問(wèn)控制方法,其特征在于所述認(rèn)證控制實(shí)體和認(rèn)證服務(wù)器實(shí)體可以在一個(gè)系統(tǒng)中,也可以在不同系統(tǒng)中;所述一個(gè)系統(tǒng)可以包含一個(gè)認(rèn)證控制實(shí)體,也可以包含多個(gè)認(rèn)證控制實(shí)體。
全文摘要
一種基于端口的對(duì)等訪問(wèn)控制方法,包括以下步驟1)啟用認(rèn)證控制實(shí)體;2)兩個(gè)認(rèn)證控制實(shí)體相互認(rèn)證;3)設(shè)定受控端口的狀態(tài)。該方法還可包括啟用認(rèn)證服務(wù)器實(shí)體、兩個(gè)認(rèn)證子系統(tǒng)進(jìn)行密鑰協(xié)商等步驟。本發(fā)明通過(guò)改變背景技術(shù)的不對(duì)等性,具有對(duì)等化控制、認(rèn)證控制實(shí)體具有可區(qū)分性、擴(kuò)展性好、安全性好、密鑰協(xié)商過(guò)程簡(jiǎn)單、系統(tǒng)相對(duì)完整、靈活性高的優(yōu)點(diǎn),既能滿足集中管理的要求,又解決了現(xiàn)有網(wǎng)絡(luò)訪問(wèn)控制方法的過(guò)程復(fù)雜、安全性能差、可擴(kuò)展性差等技術(shù)問(wèn)題,為網(wǎng)絡(luò)的安全訪問(wèn)提供了根本保障。
文檔編號(hào)H04L29/06GK1655504SQ20051004171
公開(kāi)日2005年8月17日 申請(qǐng)日期2005年2月21日 優(yōu)先權(quán)日2005年2月21日
發(fā)明者賴曉龍, 曹軍, 張變玲, 黃振海, 郭宏 申請(qǐng)人:西安西電捷通無(wú)線網(wǎng)絡(luò)通信有限公司