專利名稱:一種支持多受控端口的訪問控制方法及其系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬網(wǎng)絡(luò)安全領(lǐng)域,涉及一種支持多受控端口的訪問控制方法系統(tǒng)。
背景技術(shù):
IEEE802. lx協(xié)議是基于客戶端(Client) /服務(wù)器(Server)的訪問控制協(xié)議,它可 以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問有線局域網(wǎng)/無線局域網(wǎng)。在鑒別通過之 前,IEEE 802. lx協(xié)議只允許可擴(kuò)展鑒別協(xié)議(Extensible AuthenticationProtocol,EAP) 數(shù)據(jù)通過客戶端系統(tǒng)和鑒別器系統(tǒng)的非受控端口 ;鑒別通過以后,服務(wù)數(shù)據(jù)可以順利地通 過客戶端系統(tǒng)和鑒別器系統(tǒng)的受控端口,IEEE 802. lx協(xié)議的客戶端、鑒別器和鑒別服務(wù)器 系統(tǒng)如圖1所示,其中PAE(PortAccess Entity)為端口訪問實(shí)體。IEEE 802. lx協(xié)議可以 被一個系統(tǒng)用來鑒別其他任何連接在該系統(tǒng)受控端口上的系統(tǒng),系統(tǒng)可以是路由器、終端 設(shè)備、交換機(jī)、無線接入點(diǎn)、無線基站、網(wǎng)關(guān)、應(yīng)用程序等。 由于IEEE 802. lx僅僅適合Client/Server鑒別框架,所以IEEE 802. lx不適合 三方鑒別框架,如中國無線局域網(wǎng)標(biāo)準(zhǔn)中的三方鑒別框架。因此,一種適合三方鑒別框架
的訪問控制方法——一種基于三元鑒別的訪問控制方法(Access Controlmethod based on Tri-element Peer Authentication, TePA-AC)被提出。在鑒別通過之前,TePA-AC只允許 三元鑒別可擴(kuò)展協(xié)議(Tri_element Authentication ExtensibleProtocol, TAEP)數(shù)據(jù)通 過請求者系統(tǒng)和鑒別訪問控制器系統(tǒng)的非受控端口 ;鑒別通過以后,服務(wù)數(shù)據(jù)可以順利地 通過請求者系統(tǒng)和鑒別訪問控制器系統(tǒng)的受控端口 。 TePA-AC的請求者、鑒別訪問控制器和 鑒別服務(wù)器系統(tǒng)如圖2所示。TePA-AC可以被一個系統(tǒng)用來鑒別其他任何連接在該系統(tǒng)受 控端口上的系統(tǒng),系統(tǒng)可以是路由器、終端設(shè)備、交換機(jī)、無線接入點(diǎn)、無線基站、網(wǎng)關(guān)、應(yīng)用 程序等。 系統(tǒng)的每個物理端口可分為受控端口和不受控的兩個邏輯端口 ,物理端口收到的 每個幀都被送到受控端口和不受控端口。非受控端口可以通過鑒別過程數(shù)據(jù)。對受控端口 的訪問,受限于受控端口的授權(quán)狀態(tài)。鑒別器和鑒別訪問控制器的PAE根據(jù)鑒別服務(wù)器的 鑒別過程結(jié)果,控制受控端口的授權(quán)或未授權(quán)狀態(tài)。處在未授權(quán)狀態(tài)的受控端口不能通過 服務(wù)數(shù)據(jù),處在授權(quán)狀態(tài)的受控端口將允許通過服務(wù)數(shù)據(jù)。 上述服務(wù)數(shù)據(jù)可能需要進(jìn)行進(jìn)一步控制,如控制各種不同的服務(wù)數(shù)據(jù)。國際可信 計算組織(Trusted Computing Group, TCG)制定的一個基于可信計算技術(shù)的網(wǎng)絡(luò)連接規(guī) 范——可信網(wǎng)絡(luò)連接(Trusted Network Connect,TNC)就需要控制應(yīng)用服務(wù)數(shù)據(jù)和隔離服 務(wù)數(shù)據(jù)。但是,利用IEEE 802. lx協(xié)議和TePA-AC是不能夠完成對服務(wù)數(shù)據(jù)進(jìn)行進(jìn)一步控 制。
發(fā)明內(nèi)容
為了解決背景技術(shù)中存在的上述技術(shù)問題,本發(fā)明提供了一種具有很好擴(kuò)展性、 應(yīng)用性以及前向兼容性的支持多受控端口的訪問控制方法及其系統(tǒng)。
本發(fā)明的技術(shù)解決方案是本發(fā)明提供了一種支持多受控端口的訪問控制方法, 其特殊之處在于所述支持多受控端口的訪問控制方法包括以下步驟
1)端點(diǎn)A的PAE、端點(diǎn)B的PAE和端點(diǎn)S交互鑒別數(shù)據(jù); 2)鑒別過程完成后,端點(diǎn)A依據(jù)端點(diǎn)S的鑒別結(jié)果控制端點(diǎn)A中各個受控端口的 授權(quán)或未授權(quán)狀態(tài),處在未授權(quán)狀態(tài)的受控端口不能使用端點(diǎn)B提供的服務(wù);端點(diǎn)B依據(jù)端 點(diǎn)S的鑒別結(jié)果控制端點(diǎn)B中各個受控端口的授權(quán)或未授權(quán)狀態(tài),處在未授權(quán)的受控端口 不能向端點(diǎn)A提供服務(wù)。 上述步驟2)中端點(diǎn)A依據(jù)端點(diǎn)S的鑒別結(jié)果僅使端點(diǎn)A中的一個受控端口處在 授權(quán)狀態(tài)。 上述步驟2)中端點(diǎn)B依據(jù)端點(diǎn)S的鑒別結(jié)果僅使端點(diǎn)B中的一個受控端口處在 授權(quán)狀態(tài)。 —種支持多受控端口的訪問控制系統(tǒng),其特殊之處在于所述支持多受控端口的 訪問控制系統(tǒng)包括端點(diǎn)A、端點(diǎn)B以及端點(diǎn)S ;所述端點(diǎn)A包括兩個或兩個以上的受控端口 , 所述每一個受控端口使用端點(diǎn)B的一種服務(wù),所述端點(diǎn)A的PAE根據(jù)端點(diǎn)S的鑒別過程結(jié)果 控制每一個受控端口的授權(quán)或未授權(quán)狀態(tài),處在未授權(quán)狀態(tài)的受控端口不能使用端點(diǎn)B的 服務(wù),所述端點(diǎn)A的各個受控端口是相斥的;所述端點(diǎn)B包括兩個或兩個以上的受控端口, 所述每一個受控端口向端點(diǎn)A提供一種服務(wù),所述端點(diǎn)B的PAE根據(jù)端點(diǎn)S的鑒別過程結(jié) 果控制每一個受控端口的授權(quán)或未授權(quán)狀態(tài),處在未授權(quán)狀態(tài)的受控端口不能向端點(diǎn)A提 供服務(wù),所述端點(diǎn)B的各個受控端口是相斥的。
本發(fā)明的優(yōu)點(diǎn)是 1、具有很好的可擴(kuò)展性和應(yīng)用性。本發(fā)明所提供系統(tǒng)中定義了多個受控端口,且 它們是互斥的,從而可實(shí)現(xiàn)對服務(wù)數(shù)據(jù)的進(jìn)一步控制,具有很好的可擴(kuò)展性和應(yīng)用性;
2、很好的前向兼容性。本發(fā)明對每一個受控端口的控制功能都是相同的,從而可 以實(shí)現(xiàn)對IEEE 802. lx協(xié)議和TePA-AC的前向兼容,具有很好的前向兼容性。
圖1為現(xiàn)有技術(shù)中IEEE 802. lx協(xié)議的客戶端、鑒別器和鑒別服務(wù)器系統(tǒng)結(jié)構(gòu)示 意圖; 圖2為現(xiàn)有技術(shù)中TePA-AC的請求者、鑒別訪問控制器和鑒別服務(wù)器系統(tǒng)結(jié)構(gòu)示 意圖; 圖3為本發(fā)明所提供的端口控制系統(tǒng)結(jié)構(gòu)示意圖。
具體實(shí)施例方式
參見圖3,本發(fā)明提供了一種支持多受控端口的訪問控制系統(tǒng),該系統(tǒng)包括端點(diǎn) A,其定義了兩個或以上受控端口 ,每一個受控端口使用端點(diǎn)B的一種服務(wù),端點(diǎn)A的PAE根 據(jù)端點(diǎn)S的鑒別過程結(jié)果控制每一個受控端口的授權(quán)或未授權(quán)狀態(tài),處在未授權(quán)狀態(tài)的受 控端口將不能夠使用端點(diǎn)B的服務(wù)。端點(diǎn)A的各個受控端口是相斥的,即最多僅允許一個 受控端口處在授權(quán)狀態(tài)。 在包括端點(diǎn)A的同時,還包括端點(diǎn)B,其定義了兩個或以上受控端口 ,每一個受控端口向端點(diǎn)A提供一種服務(wù),端點(diǎn)B的PAE根據(jù)端點(diǎn)S的鑒別過程結(jié)果控制每一個受控端
口的授權(quán)或未授權(quán)狀態(tài),處在未授權(quán)狀態(tài)的受控端口將不能夠向端點(diǎn)A提供服務(wù)。端點(diǎn)B
的各個受控端口是相斥的,即最多僅允許一個受控端口處在授權(quán)狀態(tài)。 當(dāng)本發(fā)明基于IEEE 802. lx協(xié)議來實(shí)現(xiàn)時,圖3中的端點(diǎn)A、端點(diǎn)B和端點(diǎn)S分別
對應(yīng)IEEE 802. lx協(xié)議中的客戶端、鑒別器和鑒別服務(wù)器,其具體步驟如下 1)客戶端的PAE、鑒別器的PAE和鑒別服務(wù)器交互EAP數(shù)據(jù),其中鑒別器僅需透傳
客戶端的PAE和鑒別器的PAE所發(fā)送的EAP數(shù)據(jù),實(shí)現(xiàn)鑒別服務(wù)器對客戶端的單向鑒別或
鑒別服務(wù)器和客戶端之間的雙向鑒別。 2)鑒別過程完成后,客戶端依據(jù)鑒別服務(wù)器的鑒別結(jié)果控制客戶端中各個受控端 口的授權(quán)或未授權(quán)狀態(tài),處在未授權(quán)狀態(tài)的受控端口將不能夠使用鑒別器提供的服務(wù),即 不能通過服務(wù)數(shù)據(jù),處在授權(quán)狀態(tài)的受控端口將能夠使用鑒別器提供的服務(wù),即能夠通過 服務(wù)數(shù)據(jù);鑒別器依據(jù)鑒別服務(wù)器的鑒別結(jié)果控制鑒別器中各個受控端口的授權(quán)或未授權(quán) 狀態(tài),處在未授權(quán)的受控端口將不能夠向客戶端提供服務(wù),即不能通過服務(wù)數(shù)據(jù),處在授權(quán) 狀態(tài)的受控端口將能夠向客戶端提供服務(wù),即能夠通過服務(wù)數(shù)據(jù)。 其中在步驟2)中,客戶端僅可以使客戶端中的一個受控端口處在授權(quán)狀態(tài)。在步 驟2)中,鑒別器僅可以使鑒別器中的一個受控端口處在授權(quán)狀態(tài)。 當(dāng)本發(fā)明是基于TePA-AC來實(shí)現(xiàn)時,圖3中的端點(diǎn)A、端點(diǎn)B和端點(diǎn)S分別對應(yīng) IEEE 802. lx協(xié)議中的請求者、鑒別訪問控制器和鑒別服務(wù)器,其具體步驟如下
1)請求者的PAE、鑒別訪問控制器的PAE和鑒別服務(wù)器交互TAEP數(shù)據(jù),其中鑒別 訪問控制器需要參與鑒別過程,即需解析和處理請求者的PAE和鑒別訪問控制器的PAE所 發(fā)送的TAEP數(shù)據(jù),實(shí)現(xiàn)請求者和鑒別訪問控制器之間的雙向鑒別。 2)鑒別過程完成后,請求者依據(jù)鑒別服務(wù)器的鑒別結(jié)果控制請求者中各個受控端 口的授權(quán)或未授權(quán)狀態(tài),處在未授權(quán)狀態(tài)的受控端口將不能夠使用鑒別訪問控制器提供的 服務(wù),即不能通過服務(wù)數(shù)據(jù),處在授權(quán)狀態(tài)的受控端口將能夠使用鑒別訪問控制器提供的 服務(wù),即能夠通過服務(wù)數(shù)據(jù);鑒別訪問控制器依據(jù)鑒別服務(wù)器的鑒別結(jié)果控制鑒別訪問控 制器中各個受控端口的授權(quán)或未授權(quán)狀態(tài),處在未授權(quán)的受控端口將不能夠向請求者提供 服務(wù),即不能通過服務(wù)數(shù)據(jù),處在授權(quán)狀態(tài)的受控端口將能夠向請求者提供服務(wù),即能夠通 過服務(wù)數(shù)據(jù)。 其中在步驟2)中,請求者僅可以使請求者中的一個受控端口處在授權(quán)狀態(tài)。在步 驟2)中,鑒別訪問控制器僅可以使鑒別訪問控制器中的一個受控端口處在授權(quán)狀態(tài)。
權(quán)利要求
一種支持多受控端口的訪問控制方法,其特征在于所述支持多受控端口的訪問控制方法包括以下步驟1)端點(diǎn)A的PAE、端點(diǎn)B的PAE和端點(diǎn)S交互鑒別數(shù)據(jù);2)鑒別過程完成后,端點(diǎn)A依據(jù)端點(diǎn)S的鑒別結(jié)果控制端點(diǎn)A中各個受控端口的授權(quán)或未授權(quán)狀態(tài),處在未授權(quán)狀態(tài)的受控端口不能使用端點(diǎn)B提供的服務(wù);端點(diǎn)B依據(jù)端點(diǎn)S的鑒別結(jié)果控制端點(diǎn)B中各個受控端口的授權(quán)或未授權(quán)狀態(tài),處在未授權(quán)的受控端口不能向端點(diǎn)A提供服務(wù)。
2. 根據(jù)權(quán)利要求1所述的支持多受控端口的訪問控制方法,其特征在于所述步驟2)中端點(diǎn)A依據(jù)端點(diǎn)S的鑒別結(jié)果僅使端點(diǎn)A中的一個受控端口處在授權(quán)狀態(tài)。
3. 根據(jù)權(quán)利要求1所述的支持多受控端口的訪問控制方法,其特征在于所述步驟2)中端點(diǎn)B依據(jù)端點(diǎn)S的鑒別結(jié)果僅使端點(diǎn)B中的一個受控端口處在授權(quán)狀態(tài)。
4. 一種支持多受控端口的訪問控制系統(tǒng),其特征在于所述支持多受控端口的訪問控制系統(tǒng)包括端點(diǎn)A、端點(diǎn)B以及端點(diǎn)S ;所述端點(diǎn)A包括兩個或兩個以上的受控端口,所述每一個受控端口使用端點(diǎn)B的一種服務(wù),所述端點(diǎn)A的PAE根據(jù)端點(diǎn)S的鑒別過程結(jié)果控制每一個受控端口的授權(quán)或未授權(quán)狀態(tài),處在未授權(quán)狀態(tài)的受控端口不能使用端點(diǎn)B的服務(wù),所述端點(diǎn)A的各個受控端口是相斥的;所述端點(diǎn)B包括兩個或兩個以上的受控端口,所述每一個受控端口向端點(diǎn)A提供一種服務(wù),所述端點(diǎn)B的PAE根據(jù)端點(diǎn)S的鑒別過程結(jié)果控制每受控端口的授權(quán)或未授權(quán)狀態(tài),處在未授權(quán)狀態(tài)的受控端口不能向端點(diǎn)A提供服務(wù),所述端點(diǎn)B的各個受控端口是相斥的。
全文摘要
本發(fā)明提供了一種支持多受控端口的訪問控制方法,其特殊之處在于所述支持多受控端口的訪問控制方法包括以下步驟1)端點(diǎn)A的PAE、端點(diǎn)B的PAE和端點(diǎn)S交互鑒別數(shù)據(jù);2)鑒別過程完成后,端點(diǎn)A依據(jù)端點(diǎn)S的鑒別結(jié)果控制端點(diǎn)A中各個受控端口的授權(quán)或未授權(quán)狀態(tài),處在未授權(quán)狀態(tài)的受控端口不能使用端點(diǎn)B提供的服務(wù);端點(diǎn)B依據(jù)端點(diǎn)S的鑒別結(jié)果控制端點(diǎn)B中各個受控端口的授權(quán)或未授權(quán)狀態(tài),處在未授權(quán)的受控端口不能向端點(diǎn)A提供服務(wù)。本發(fā)明提供了一種具有很好擴(kuò)展性、應(yīng)用性以及前向兼容性的支持多受控端口的訪問控制方法及其系統(tǒng)。
文檔編號H04L12/56GK101741726SQ20091021957
公開日2010年6月16日 申請日期2009年12月18日 優(yōu)先權(quán)日2009年12月18日
發(fā)明者曹軍, 肖躍雷, 葛莉, 鐵滿霞, 黃振海 申請人:西安西電捷通無線網(wǎng)絡(luò)通信有限公司