CN101572704A - 一种适合三元对等鉴别可信网络连接架构的访问控制方法 - Google Patents
一种适合三元对等鉴别可信网络连接架构的访问控制方法 Download PDFInfo
- Publication number
- CN101572704A CN101572704A CNA2009100229113A CN200910022911A CN101572704A CN 101572704 A CN101572704 A CN 101572704A CN A2009100229113 A CNA2009100229113 A CN A2009100229113A CN 200910022911 A CN200910022911 A CN 200910022911A CN 101572704 A CN101572704 A CN 101572704A
- Authority
- CN
- China
- Prior art keywords
- access
- taep
- authentication protocol
- protocol data
- control method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种适合三元对等鉴别可信网络连接架构的访问控制方法,该方法包括以下步骤:1)实现对三元对等鉴别可信网络连接架构中的用户鉴别协议数据和平台鉴别协议数据的封装:1.1)将用户鉴别协议数据封装在TAEP包的Data字段中,通过在访问请求者与访问控制器之间、访问控制器与策略管理器之间交互这些TAEP包来实现访问请求者与访问控制器之间的双向用户鉴别,并建立访问请求者与访问控制器之间的安全通道;1.2)将平台鉴别协议数据封装在TAEP包的Data字段中,然后,对于访问请求者与访问控制器之间的平台鉴别协议数据,则将平台鉴别协议数据的TAEP包作为另一个TAEP包的Data字段嵌套封装在该另一个TAEP包中。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种适合三元对等鉴别可信网络连接架构的访问控制方法。
背景技术
802.1x协议起源于802.11协议,后者后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入鉴别问题。现在已经开始被应用于一般的有线LAN的接入(微软的Windows XP,以及Cisco,华为3com等厂商的设备已经开始支持802.1x协议)。802.1x首先是一个鉴别协议,是一种对用户进行鉴别的方法和策略。802.1x是基于端口的鉴别策略(这里的端口可以是一个实实在在的物理端口,也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说这个端口就是一条信道)。
802.1x的鉴别的最终目的就是确定一个端口是否可用。对于一个端口,如果鉴别成功那么就打开这个端口,允许所有的报文通过;如果鉴别不成功就使这个端口保持关闭,此时只允许802.1x的鉴别报文EAP(Extensible Authentication Protocol)通过。802.1x鉴别体系结构中包含客户端、认证器和认证服务器三个角色,其中鉴别报文EAP在认证器上是透传给客户端或认证服务器的,也就是说,802.1x鉴别体系结构仅适合点到点的鉴别。
为了实现三方鉴别协议的封装以及网络数据的传输控制,其中网络数据的传输控制指对鉴别协议数据和应用服务数据的传输控制,一种基于三元对等鉴别的访问控制方法(中国无线局域网标准所采用的访问控制方法)被提出,其鉴别体系结构如图1所示:PAE(Port Authentication Entity)指端口鉴别实体,请求者PAE、鉴别访问控制器PAE和鉴别服务器传输三元鉴别可扩展协议(Tri-elementAuthentication Extensible Protocol,TAEP)包,请求者PAE和鉴别访问控制器PAE还要完成受控端口的控制,其中TAEP包的格式与EAP包的格式类同,但TAEP的层次模型与EAP不相同。
TAEP包的格式如下:
其中,
Code:
Code字段长度为1个八位位组,表示TAEP分组的类型:
1Request
2Response
3Success
4Failure
Identifier:
Identifier字段长度为1个八位位组,用于匹配Request和Response分组。
Length:
Length字段长度为2个八位位组,表示整个TAEP分组的八位位组数,即指包括Code、Identifier、Length和Data所有字段的长度总和。
Data:
Data字段长度可变,分组含0个或多个八位位组,其格式由Code字段的值决定。
TAEP复用模型如下:
请求者 鉴别访问控制器 鉴别服务器
TAEP消息交换的步骤如下:
a)鉴别访问控制器发送Request分组给请求者要求开始鉴别,Request有一个类型字段指示请求的种类,类型是Identity,表示身份;
b)请求者发送Response分组给鉴别访问控制器来响应有效的Request,Response分组中包含一个类型字段,对应于Request分组中的类型字段,消息中包含有对等体的身份;
c)鉴别访问控制器发送Request分组给鉴别服务器,Request有一个类型字段指示请求的种类,类型是TP Authentication,用于向鉴别服务器请求鉴别方法类型;
d)鉴别服务器发送Response分组给鉴别访问控制器,Response分组中包含一个类型字段,对应于Request分组中的类型字段;
e)鉴别访问控制器根据鉴别服务器返回的鉴别方法类型,选择一种鉴别方法开始鉴别过程。发送Request分组给请求者,请求者响应Response分组给鉴别访问控制器,Request和Response的序列根据需要持续交互。鉴别访问控制器向鉴别服务器发送Request分组,而鉴别服务器向鉴别访问控制器响应Response分组。此Request和Response的序列会持续需要的长度。鉴别访问控制器负责重传Request分组;
f)对话一直持续到鉴别访问控制器不能鉴别请求者,鉴别访问控制器将发送Failure分组给请求者;或者鉴别访问控制器判断成功的鉴别已经完成,鉴别访问控制器或停止发送Request分组,结束消息交互,或发送Success分组给请求者。
上述c)、d)步骤是可选的。在某些情况下,鉴别方法是确定的或通过其他方式确定鉴别方法及身份时,c)、d)步骤可有选择的进行。
随着信息化的发展,病毒、蠕虫等恶意软件的问题异常突出。目前已经出现了超过三万五千种的恶意软件,每年都有超过四千万的计算机被感染。国际可信计算组织(Trusted Computing Group,TCG)针对这个问题,专门制定了一个基于可信计算技术的网络连接规范——可信网络连接(Trusted Network Connect,TNC),简记为TCG-TNC,其包括了开放的终端完整性架构和一套确保安全互操作的标准。TCG-TNC架构参见图2。由于TCG-TNC架构中的策略执行点处于网络边缘,且访问请求者不对策略执行点进行平台鉴别,所以该架构存在策略执行点不可信赖的问题。为了解决这一问题,一种基于三元对等鉴别(Tri-element Peer Authentication,TePA)的TNC架构被提出。
基于TePA的TNC架构参见图3。在基于TePA的TNC架构中,网络访问控制层为传统网络接入技术结构,执行三元对等鉴别协议(是一种三方鉴别协议)来实现双向用户鉴别,可以采用以上所述的基于三元对等鉴别的访问控制方法来完成用户鉴别协议的封装和网络数据的传输控制。但是,除网络访问控制层外图3所示的基于TePA的TNC架构还包含完整性度量层和可信平台评估层,它们执行平台鉴别协议来实现平台组件信息的识别、鉴别和评估,其平台鉴别协议数据也需要在网络访问控制层进行传输,而且根据平台鉴别结果生成的接入结果为允许、禁止或隔离(传统网络接入技术的接入结果为允许或禁止),所以上面所述的基于三元对等鉴别的访问控制方法不能完全适应于基于TePA的TNC架构。因此,我们需要建立一种适合基于TePA的TNC架构的访问控制方法。
发明内容
本发明的目的在于提供一种适合三元对等鉴别可信网络连接架构的访问控制方法,从而解决背景技术中所述的技术问题。
本发明的技术解决方案是:本发明是一种适合三元对等鉴别可信网络连接架构的访问控制方法,其特殊之处在于,该方法包括以下步骤:
1)实现对三元对等鉴别可信网络连接架构中的用户鉴别协议数据和平台鉴别协议数据的封装:
1.1)将用户鉴别协议数据封装在TAEP包的Data字段中,通过在访问请求者与访问控制器之间、访问控制器与策略管理器之间交互这些TAEP包来实现访问请求者与访问控制器之间的双向用户鉴别,并建立访问请求者与访问控制器之间的安全通道;
1.2)将平台鉴别协议数据封装在TAEP包的Data字段中,然后,对于访问请求者与访问控制器之间的平台鉴别协议数据,则将平台鉴别协议数据的TAEP包作为另一个TAEP包的Data字段嵌套封装在该另一个TAEP包中,其中的平台鉴别协议数据的TAEP包是利用步骤1.1)中建立的安全通道进行安全保护的;对于访问控制器与策略管理器之间的平台鉴别协议数据,则不进行嵌套封装。
上述方法还包括步骤2)通过采用端口控制机制,采用过滤、遂道传输控制技术,或综合采用端口控制机制和过滤、遂道传输控制技术实现对三元对等鉴别可信网络连接架构中的网络数据的传输控制。
上述步骤2)中采用端口控制机制实现对三元对等鉴别可信网络连接架构中的网络数据的传输控制时,需要对传统网络接入技术的基于三元对等鉴别的访问控制方法的鉴别体系结构中的受控端口增加一个端口状态——隔离状态,从而构成了一个新的基于三元对等鉴别的访问控制方法的鉴别体系结构,利用这个新的基于三元对等鉴别的访问控制方法的鉴别体系结构中受控端口的授权状态、非授权状态和隔离状态分别实现三元对等鉴别可信网络连接架构的允许、禁止和隔离功能。
上述步骤2)中综合采用端口控制机制和过滤、遂道传输控制技术实现对三元对等鉴别可信网络连接架构中的网络数据的传输控制时,利用传统网络接入技术的基于三元对等鉴别的访问控制方法的鉴别体系结构中受控端口的授权状态和非授权状态分别实现三元对等鉴别可信网络连接架构的允许和禁止功能,而利用过滤、遂道传输控制技术实现三元对等鉴别可信网络连接架构的隔离功能。
上述嵌套封装的TAEP包的结构如下:
本发明具有以下优点:
1、采用嵌套TAEP封装方法来实现用户鉴别协议数据和平台鉴别协议数据的封装传输,使得三元对等鉴别可信网络连接架构的访问控制方法可以与传统网络接入技术中的基于三元对等鉴别的访问控制方法兼容,从而提高了兼容性;
2、当完全基于端口控制来实现三元对等鉴别可信网络连接架构的三种接入结果时,仅对访问请求者系统和访问控制器系统中的受控端口增加了一个隔离状态,使得三元对等鉴别可信网络连接架构的端口控制机制可以与传统网络接入技术中的基于三元对等鉴别的访问控制方法中的端口控制机制兼容,从而提高了兼容性;
3、改进后的基于三元对等鉴别的访问控制方法的鉴别体系结构实现了隔离功能,使得平台修补服务可由网络集中为用户提供,从而增强了应用性。
附图说明
图1是基于三元对等鉴别的访问控制方法的鉴别体系结构示意框图;
图2是TCG-TNC架构示意图;
图3是基于TePA的TNC架构示意图;
图4是本发明的基于三元对等鉴别的访问控制方法的鉴别体系结构示意图。
具体实施方式
本发明的适合三元对等鉴别可信网络连接架构的访问控制方法包含实现对三元对等鉴别可信网络连接架构中的用户鉴别协议数据和平台鉴别协议数据的封装和实现对三元对等鉴别可信网络连接架构中的网络数据的传输控制。
实现对三元对等鉴别可信网络连接架构中的用户鉴别协议数据和平台鉴别协议数据的封装是通过对三元对等鉴别可信网络连接架构的用户鉴别协议数据和平台鉴别协议数据进行嵌套TAEP封装来实现的,具体方法如下:
1.1)将用户鉴别协议数据封装在TAEP包的Data字段中,通过在访问请求者与访问控制器之间、访问控制器与策略管理器之间交互这些TAEP包来实现访问请求者与访问控制器之间的双向用户鉴别,并建立访问请求者与访问控制器之间的安全通道;
1.2)将平台鉴别协议数据封装在TAEP包的Data字段中,然后,对于访问请求者与访问控制器之间的平台鉴别协议数据,则将平台鉴别协议数据的TAEP包作为另一个TAEP包的Data字段嵌套封装另一个TAEP包中,其中的平台鉴别协议数据的TAEP包是利用步骤1.1)中建立的安全通道进行安全保护的;对于访问控制器与策略管理器之间的平台鉴别协议数据,则不进行嵌套封装,而是直接传输平台鉴别协议数据的TAEP包。
嵌套封装的TAEP包的结构如下:
实现对三元对等鉴别可信网络连接架构的网络数据的传输控制是指实现对三元对等鉴别可信网络连接架构中的用户鉴别协议数据、平台鉴别协议数据和应用服务数据的传输控制,可以采用端口控制机制来实现,也可以采用过滤、遂道等其他传输控制技术来实现,还可以综合采用以上方法来实现。三元对等鉴别可信网络连接架构的接入结果(访问控制)为允许、禁止和隔离,其中隔离的目的主要是为了修补平台。
若完全采用端口控制来实现,则背景技术中的基于三元对等鉴别的访问控制方法的鉴别体系结构将修改为如图4所示的鉴别体系结构才能实现三元对等鉴别可信网络连接架构的三种接入结果,其中三元对等鉴别可信网络连接架构中的访问请求者、访问控制器和策略管理器分别对应图4中的请求者、鉴别访问控制器和鉴别服务器角色。在图4中,请求者PAE和鉴别访问控制器PAE利用非受控端口传输用户鉴别协议数据和平台鉴别协议数据(使用TAEP包封装),而应用服务数据和平台修补服务数据不能利用非受控端口进行传输;请求者PAE和鉴别访问控制器PAE根据三元对等鉴别可信网络连接架构的三种接入结果对受控端口进行端口状态设置,若为允许,则受控端口状态为授权状态,这时受控端口可传输应用服务数据,若为隔离,则受控端口状态为隔离状态,这时受控端口可传输平台修补服务数据,若为禁止,则受控端口状态为非授权状态,这时受控端口不可传输任何数据。
若综合采用端口控制机制和其他传输控制技术来实现,则可以利用背景技术中的基于三元对等鉴别的访问控制方法的鉴别体系结构来实现三元对等鉴别可信网络连接架构的允许和禁止,其中三元对等鉴别可信网络连接架构中的访问请求者、访问控制器和策略管理器分别对应图1中请求者、鉴别访问控制器和鉴别服务器角色(请求者PAE和鉴别访问控制器PAE利用非受控端口传输用户鉴别协议数据和平台鉴别协议数据(使用TAEP包封装),而应用服务数据不能利用非受控端口进行传输;请求者PAE和鉴别访问控制器PAE根据三元对等鉴别可信网络连接架构的允许和禁止结果对受控端口进行端口状态设置,若为允许,则受控端口状态为授权状态,这时受控端口可传输应用服务数据,若为禁止,则受控端口状态为非授权状态,这时受控端口不可传输任何数据。),而采用其他传输控制技术来实现实现三元对等鉴别可信网络连接架构的隔离。
Claims (5)
1、一种适合三元对等鉴别可信网络连接架构的访问控制方法,其特征在于:该方法包括以下步骤:
1)实现对三元对等鉴别可信网络连接架构中的用户鉴别协议数据和平台鉴别协议数据的封装:
1.1)将用户鉴别协议数据封装在TAEP包的Data字段中,通过在访问请求者与访问控制器之间、访问控制器与策略管理器之间交互这些TAEP包来实现访问请求者与访问控制器之间的双向用户鉴别,并建立访问请求者与访问控制器之间的安全通道;
1.2)将平台鉴别协议数据封装在TAEP包的Data字段中,然后,对于访问请求者与访问控制器之间的平台鉴别协议数据,则将平台鉴别协议数据的TAEP包作为另一个TAEP包的Data字段嵌套封装在该另一个TAEP包中,其中的平台鉴别协议数据的TAEP包是利用步骤1.1)中建立的安全通道进行安全保护的;对于访问控制器与策略管理器之间的平台鉴别协议数据,直接传输平台鉴别协议数据的TAEP包。
2、根据权利要求1所述的适合三元对等鉴别可信网络连接架构的访问控制方法,其特征在于:该方法还包括步骤2)通过端口控制机制、采用过滤、遂道传输控制技术或综合采用端口控制机制和过滤、遂道传输控制技术实现对三元对等鉴别可信网络连接架构中的网络数据的传输控制。
3、根据权利要求2所述的适合三元对等鉴别可信网络连接架构的访问控制方法,其特征在于:所述步骤2)中采用端口控制机制实现对三元对等鉴别可信网络连接架构中的网络数据的传输控制时,需要对传统网络接入技术的基于三元对等鉴别的访问控制方法的鉴别体系结构中的受控端口增加一个端口状态——隔离状态,从而构成了一个新的基于三元对等鉴别的访问控制方法的鉴别体系结构,利用这个新的基于三元对等鉴别的访问控制方法的鉴别体系结构中受控端口的授权状态、非授权状态和隔离状态分别实现三元对等鉴别可信网络连接架构的允许、禁止和隔离功能。
4、根据权利要求2所述的适合三元对等鉴别可信网络连接架构的访问控制方法,其特征在于:所述步骤2)中综合采用端口控制机制和过滤、遂道传输控制技术实现对三元对等鉴别可信网络连接架构中的网络数据的传输控制时,利用传统网络接入技术的基于三元对等鉴别的访问控制方法的鉴别体系结构中受控端口的授权状态和非授权状态分别实现三元对等鉴别可信网络连接架构的允许和禁止功能,而利用过滤、遂道传输控制技术实现三元对等鉴别可信网络连接架构的隔离功能。
5、根据权利要求1或2或3或4所述的适合三元对等鉴别可信网络连接架构的访问控制方法,其特征在于:所述嵌套封装的TAEP包的结构如下:
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100229113A CN101572704B (zh) | 2009-06-08 | 2009-06-08 | 一种适合三元对等鉴别可信网络连接架构的访问控制方法 |
| US13/377,098 US8719897B2 (en) | 2009-06-08 | 2009-12-09 | Access control method for tri-element peer authentication credible network connection structure |
| KR1020117031058A KR101434614B1 (ko) | 2009-06-08 | 2009-12-09 | 3-요소 피어 인증 기반의 신뢰성 있는 네트워크 연결 구조를 위한 액세스 제어 방법 |
| JP2012514320A JP5581382B2 (ja) | 2009-06-08 | 2009-12-09 | 3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法 |
| EP09845724.5A EP2442516B1 (en) | 2009-06-08 | 2009-12-09 | Access control method for tri-element peer authentication credible network connection structure |
| PCT/CN2009/075444 WO2010142115A1 (zh) | 2009-06-08 | 2009-12-09 | 一种适合三元对等鉴别可信网络连接架构的访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100229113A CN101572704B (zh) | 2009-06-08 | 2009-06-08 | 一种适合三元对等鉴别可信网络连接架构的访问控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101572704A true CN101572704A (zh) | 2009-11-04 |
| CN101572704B CN101572704B (zh) | 2012-05-23 |
Family
ID=41231941
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100229113A Active CN101572704B (zh) | 2009-06-08 | 2009-06-08 | 一种适合三元对等鉴别可信网络连接架构的访问控制方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8719897B2 (zh) |
| EP (1) | EP2442516B1 (zh) |
| JP (1) | JP5581382B2 (zh) |
| KR (1) | KR101434614B1 (zh) |
| CN (1) | CN101572704B (zh) |
| WO (1) | WO2010142115A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010142115A1 (zh) * | 2009-06-08 | 2010-12-16 | 西安西电捷通无线网络通信有限公司 | 一种适合三元对等鉴别可信网络连接架构的访问控制方法 |
| CN101958908A (zh) * | 2010-10-13 | 2011-01-26 | 西安西电捷通无线网络通信股份有限公司 | 网络访问控制方法及系统 |
| WO2011035514A1 (zh) * | 2009-09-22 | 2011-03-31 | 西安西电捷通无线网络通信有限公司 | 一种基于隧道技术的三元鉴别可扩展方法及其系统 |
| WO2011069355A1 (zh) * | 2009-12-11 | 2011-06-16 | 西安西电捷通无线网络通信股份有限公司 | 一种适合三元对等鉴别可信网络连接架构的网络传输方法 |
| WO2011072512A1 (zh) * | 2009-12-18 | 2011-06-23 | 西安西电捷通无线网络通信股份有限公司 | 一种支持多受控端口的访问控制方法及其系统 |
| WO2012062129A1 (zh) * | 2010-11-10 | 2012-05-18 | 西安西电捷通无线网络通信股份有限公司 | 一种适合可信连接架构的网络传输方法和访问控制器 |
| US9038143B2 (en) | 2010-10-13 | 2015-05-19 | China Iwncomm Co., Ltd. | Method and system for network access control |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140136208A1 (en) * | 2012-11-14 | 2014-05-15 | Intermec Ip Corp. | Secure multi-mode communication between agents |
| US20220059216A1 (en) * | 2020-08-20 | 2022-02-24 | Centurylink Intellectual Property Llc | Home Health Monitoring of Patients via Extension of Healthcare System Network Into Customer Premises |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7389529B1 (en) | 2003-05-30 | 2008-06-17 | Cisco Technology, Inc. | Method and apparatus for generating and using nested encapsulation data |
| JP2009518762A (ja) * | 2005-12-09 | 2009-05-07 | シグナサート, インコーポレイテッド | インテグリティデータベースサービスを用いた、トラステッドプラットフォーム上のコンポーンテントのインテグリティの検証方法 |
| JP4728871B2 (ja) * | 2006-05-08 | 2011-07-20 | 株式会社日立製作所 | 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末 |
| JP2008141352A (ja) * | 2006-11-30 | 2008-06-19 | Toshiba Corp | ネットワークセキュリティシステム |
| CN100534036C (zh) * | 2007-08-01 | 2009-08-26 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接方法 |
| CN100566252C (zh) | 2007-08-03 | 2009-12-02 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接系统 |
| CN101136928B (zh) * | 2007-10-19 | 2012-01-11 | 北京工业大学 | 一种可信网络接入控制系统 |
| JP2009118267A (ja) * | 2007-11-07 | 2009-05-28 | Nippon Telegr & Teleph Corp <Ntt> | 通信ネットワークシステム、通信ネットワーク制御方法、通信制御装置、通信制御プログラム、サービス制御装置およびサービス制御プログラム |
| CN100553212C (zh) * | 2007-11-16 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
| CN101360020B (zh) * | 2008-09-28 | 2011-04-06 | 西安电子科技大学 | 基于eap的ieee802.1x安全协议的仿真平台及方法 |
| CN101447992B (zh) * | 2008-12-08 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 一种基于三元对等鉴别的可信网络连接实现方法 |
| CN101572704B (zh) * | 2009-06-08 | 2012-05-23 | 西安西电捷通无线网络通信股份有限公司 | 一种适合三元对等鉴别可信网络连接架构的访问控制方法 |
-
2009
- 2009-06-08 CN CN2009100229113A patent/CN101572704B/zh active Active
- 2009-12-09 KR KR1020117031058A patent/KR101434614B1/ko active IP Right Grant
- 2009-12-09 EP EP09845724.5A patent/EP2442516B1/en not_active Not-in-force
- 2009-12-09 US US13/377,098 patent/US8719897B2/en active Active
- 2009-12-09 WO PCT/CN2009/075444 patent/WO2010142115A1/zh active Application Filing
- 2009-12-09 JP JP2012514320A patent/JP5581382B2/ja active Active
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010142115A1 (zh) * | 2009-06-08 | 2010-12-16 | 西安西电捷通无线网络通信有限公司 | 一种适合三元对等鉴别可信网络连接架构的访问控制方法 |
| US8719897B2 (en) | 2009-06-08 | 2014-05-06 | China Iwncomm Co., Ltd. | Access control method for tri-element peer authentication credible network connection structure |
| WO2011035514A1 (zh) * | 2009-09-22 | 2011-03-31 | 西安西电捷通无线网络通信有限公司 | 一种基于隧道技术的三元鉴别可扩展方法及其系统 |
| WO2011069355A1 (zh) * | 2009-12-11 | 2011-06-16 | 西安西电捷通无线网络通信股份有限公司 | 一种适合三元对等鉴别可信网络连接架构的网络传输方法 |
| CN101707621B (zh) * | 2009-12-11 | 2012-05-09 | 西安西电捷通无线网络通信股份有限公司 | 一种适合三元对等鉴别可信网络连接架构的网络传输方法 |
| WO2011072512A1 (zh) * | 2009-12-18 | 2011-06-23 | 西安西电捷通无线网络通信股份有限公司 | 一种支持多受控端口的访问控制方法及其系统 |
| CN101741726B (zh) * | 2009-12-18 | 2012-11-14 | 西安西电捷通无线网络通信股份有限公司 | 一种支持多受控端口的访问控制方法及其系统 |
| CN101958908A (zh) * | 2010-10-13 | 2011-01-26 | 西安西电捷通无线网络通信股份有限公司 | 网络访问控制方法及系统 |
| CN101958908B (zh) * | 2010-10-13 | 2012-08-08 | 西安西电捷通无线网络通信股份有限公司 | 网络访问控制方法及系统 |
| US9038143B2 (en) | 2010-10-13 | 2015-05-19 | China Iwncomm Co., Ltd. | Method and system for network access control |
| WO2012062129A1 (zh) * | 2010-11-10 | 2012-05-18 | 西安西电捷通无线网络通信股份有限公司 | 一种适合可信连接架构的网络传输方法和访问控制器 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2012529795A (ja) | 2012-11-22 |
| WO2010142115A1 (zh) | 2010-12-16 |
| US20120079561A1 (en) | 2012-03-29 |
| KR101434614B1 (ko) | 2014-08-26 |
| CN101572704B (zh) | 2012-05-23 |
| JP5581382B2 (ja) | 2014-08-27 |
| EP2442516A4 (en) | 2017-03-15 |
| US8719897B2 (en) | 2014-05-06 |
| EP2442516A1 (en) | 2012-04-18 |
| EP2442516B1 (en) | 2019-09-18 |
| KR20120017079A (ko) | 2012-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101572704B (zh) | 一种适合三元对等鉴别可信网络连接架构的访问控制方法 | |
| Ueda et al. | Security authentication system for in-vehicle network | |
| US8375430B2 (en) | Roaming secure authenticated network access method and apparatus | |
| US11102226B2 (en) | Dynamic security method and system based on multi-fusion linkage response | |
| JP5248621B2 (ja) | 3値同等識別に基づく、信頼されているネットワークアクセス制御システム | |
| CN103647772A (zh) | 一种对网络数据包进行可信访问控制的方法 | |
| CN100512109C (zh) | 验证接入主机安全性的访问认证系统和方法 | |
| CN101741842B (zh) | 一种基于可信计算实现可信ssh的方法 | |
| CN107172020A (zh) | 一种网络数据安全交换方法及系统 | |
| EP2159988B1 (en) | Authentication and authorisation of a remote client | |
| CN110061991A (zh) | 一种实现高速公路收费专网安全接入互联网的网关设置方法 | |
| CN101047502B (zh) | 一种网络认证方法 | |
| CN101272379A (zh) | 基于IEEE802.1x安全认证协议的改进方法 | |
| CN106803822A (zh) | 网络应用的安全接入方法和装置 | |
| CN101820414A (zh) | 一种主机接入控制系统及方法 | |
| US20180152447A1 (en) | Network device and method for accessing a data network from a network component | |
| CN101707621B (zh) | 一种适合三元对等鉴别可信网络连接架构的网络传输方法 | |
| CN103780395B (zh) | 网络接入证明双向度量的方法和系统 | |
| CN102137103A (zh) | 通过扩展MIKEY协议实现VoIP媒体流可信传输的方法 | |
| CN113783868A (zh) | 一种基于商用密码保护闸机物联网安全的方法及系统 | |
| CN101662410B (zh) | 一种基于隧道技术的三元鉴别可扩展方法及其系统 | |
| CN102088453A (zh) | 一种控制主机接入的方法、系统及装置 | |
| CN102223635B (zh) | 一种基于802.1x认证协议的WLAN可信传输的实现方法 | |
| US8881260B1 (en) | High assurance guard for security applications utilizing authentication and authorization services for sources of network data | |
| CN201491035U (zh) | 可信终端系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |