CN101656661B - 实现可信信息传递的方法、系统和设备 - Google Patents
实现可信信息传递的方法、系统和设备 Download PDFInfo
- Publication number
- CN101656661B CN101656661B CN2008101471069A CN200810147106A CN101656661B CN 101656661 B CN101656661 B CN 101656661B CN 2008101471069 A CN2008101471069 A CN 2008101471069A CN 200810147106 A CN200810147106 A CN 200810147106A CN 101656661 B CN101656661 B CN 101656661B
- Authority
- CN
- China
- Prior art keywords
- message
- eap
- etnc
- sign
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开了实现可信信息传递的方法、系统和设备,属于通信领域。所述方法包括:服务器向接入终端发送基于EAP-ETNC的请求消息;所述请求消息用于向所述接入终端请求进行验证所需要的信息;接收来自所述接入终端的基于EAP-ETNC的响应消息,所述响应消息中携带进行验证所需要的信息;根据所述信息对所述接入终端进行验证,向所述接入终端发送基于EAP-ETNC的携带验证结果的消息。所述系统包括:接入终端和服务器。服务器包括:获取模块和处理模块。终端包括:接收模块和发送模块。本发明通过提供的EAP-ETNC,可以成功实现可信接入、可信修复和可信签名信息传递,并且可以对EAP-ETNC进行扩展,以满足可信接入技术今后发展所需要承载多种新型数据的要求。
Description
技术领域
本发明涉及通信领域,特别涉及实现可信信息传递的方法、系统和设备。
背景技术
由康柏、惠普、IBM、Intel和微软牵头组织了可信计算集团(Trusted Computing Group,TCG),致力于在计算平台体系结构上增强其安全性,为高可信计算制定开放的标准,并发布了可信平台模块(Trusted Platform Module,TPM)规范,为了给TCG发布的TPM提供一种应用支持,TCG发布了可信网络连接(Trusted Network Connect,TNC)规范。其主要目的是通过使用可信主机提供的终端技术,实现网络访问控制的协同工作。
参见图1,为TNC体系结构示意图,如图所示,包括:网络访问请求者(Access Requestor,AR)、策略执行点(Policy Enforcement Point,PEP)和策略决策点(Policy Decision Point,PDP),其中,
AR,是用于请求访问受保护网络的逻辑实体(可能是一台或多台物理计算机或者一个独立的程序),包括:网络访问请求模块、可信客户端和可信信息测量模块(该AR实体中可以有一个或多个可信信息测量模块);其中,网络访问请求模块负责发起网络请求;可信信息测量模块负责测量与AR实体完整性相关的可信信息(例如操作系统安全性、杀毒软件、防火墙、应用软件版本等信息;可信客户端负责收集可信信息,并将这些信息发送给对端PDP的可信服务端进行可信验证。
PEP,用于控制AR对受保护网络的访问,与PDP交互并控制AR对网络的访问。
PDP,用于根据预设的特定网络访问策略,检查AR的访问认证资格,决定是否授权AR访问可信网络。包括:网络访问决策模块、可信服务端和可信信息验证模块,其中,网络访问决策模块用于通过向可信服务端询问AR的完整性是否满足本地安全策略,而决定AR是否应该得到访问授权;可信服务端用于管理可信信息验证模块和AR的可信信息测量模块之间的消息交互,将验证结果与本地安全策略相比较,做出最终的全局评估结果(例如,可能是验证成功、失败或建议修复等);可信信息验证模块用于验证从AR的可信信息测量模块传递的接入终端的可信信息,其中,由于接入终端可能存在多种可信信息,且可信信息验证方法与具体厂商和产品相关,因而一个PDP中可以存在一个或多个可信信息验证模块。
基于上述TNC体系结构,发明人在实现本发明时发现,现有的TNC体系结构规范中,IF-T标准文档定义的EAP-TNC方法中,数据报文格式太过简单,时间序列也很粗糙。并且,现有的标准中,EAP-TNC没有给出可信修复、可信签名以及其它保证网络可信的手段所需要的通信场景的交互流程和数据传递方法,仅适用于接入认证的单一场景,且EAP-TNC的协议数据报文中的分片标识位Flags字段和协议版本Ver字段总共8位,Ver字段置于Flags字段之后,既不符合协议版本兼容的设计方法,又使得协议设置和扩展的空间非常小,不适合可信接入技术今后发展所需要承载多种新型数据的要求。另外,当前的IF-T协议没有规定如何传递认证失败信息以及如何传递相关的可信修复信息。
发明内容
为了在可信信息认证系统中,实现各类可信信息的有效传递,本发明实施例提供了实现可信信息传递的方法、系统和设备。所述技术方案如下:
一方面,提供了一种实现可信信息传递的方法,所述方法包括:
服务器向接入终端发送基于EAP-ETNC的请求消息;所述请求消息用于向所述接入终端请求进行验证所需要的信息;
接收来自所述接入终端的基于EAP-ETNC的响应消息,所述响应消息中携带进行验证所需要的信息;
根据所述信息对所述接入终端进行验证,向所述接入终端发送基于EAP-ETNC的携带验证结果的消息。
一方面,提供了一种实现可信信息传递的系统,所述系统包括:接入终端和服务器;其中,
所述接入终端,用于接收所述服务器发送基于EAP-ETNC的请求消息;向所述服务器发送基于EAP-ETNC的响应消息,所述响应消息中携带进行验证所需要的信息;并接收所述服务器发送的基于EAP-ETNC的携带验证结果的消息;
所述服务器,用于向所述接入终端发送基于EAP-ETNC的请求消息;所述请求消息用于向所述接入终端请求进行验证所需要的信息;接收来自所述接入终端的基于EAP-ETNC的响应消息,所述响应消息中携带进行验证所需要的信息;根据所述信息对所述接入终端进行验证,向所述接入终端发送基于EAP-ETNC的携带验证结果的消息。
另一方面,提供了一种服务器,所述服务器包括:
获取模块,用于向接入终端发送基于EAP-ETNC的请求消息;所述请求消息用于向所述接入终端请求进行验证所需要的信息;接收来自所述接入终端的基于EAP-ETNC的响应消息,所述响应消息中携带进行验证所需要的信息;获取所述响应消息中携带的信息;
处理模块,用于根据所述获取模块获取的信息对所述接入终端进行验证,向所述接入终端发送基于EAP-ETNC的携带验证结果的消息。
另一方面,提供了一种终端,所述终端包括:接收模块和发送模块,
所述接收模块,用于接收服务器发送基于EAP-ETNC的请求消息;并接收所述服务器发送的基于EAP-ETNC的携带验证结果的消息;
所述发送模块,用于根据接收模块接收到的请求消息,向所述服务器发送基于EAP-ETNC的响应消息,所述响应消息中携带进行验证所需要的信息。
本发明实施例提供的技术方案的有益效果是:
通过本发明提供的EAP-ETNC协议,实现可信接入、可信修复和可信签名信息传递,并且可以对EAP-ETNC进行扩展,以满足可信接入技术今后发展所需要承载多种新型数据的要求。
附图说明
图1是现有技术提供的TNC体系结构示意图。
图2是本发明实施例1提供的EAP-ETNC协议数据报文格式示意图。
图3是本发明实施例1提供的LEN置1时的数据域格式示意图。
图4是本发明实施例1提供的FIN置1时的数据域格式示意图。
图5是本发明实施例1提供的通信场景示意图。
图6是本发明实施例1提供的基于EAP-ETNC协议实现可信信息传递的方法流程示意图。
图7是本发明实施例1提供的接入端状态机示意图。
图8是本发明实施例1提供的认证端状态机示意图。
图9是本发明实施例1提供的代理状态机示意图。
图10是本发明实施例1提供的有间代理的可信修复认证时序流程示意图。
图11是本发明实施例1提供的无中间代理的可信签名认证的时序流程示意图。
图12是本发明实施例2提供的基于EAP-ETNC协议实现可信信息传递的系统示意图。
图13是本发明实施例2提供的基于EAP-ETNC协议实现可信信息传递的系统的另一示意图。
图14是本发明实施例3提供的服务器的示意图。
图15是本发明实施例4提供的终端的示意图。
图16是本发明实施例5提供的代理设备示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
针对现有的TNC体系结构规范中涉及的EAP-TNC的数据报文格式过于简单,且无法完成可信修复、可信签名以及其它保证网络可信的手段所需要的通信场景的交互流程和数据传递的问题,本发明实施例提供了一种实现可信信息传递的方法,该方法内容如下:服务器向接入终端发送基于EAP-ETNC的请求消息;请求消息用于向接入终端请求进行验证所需要的信息;接收来自接入终端的基于EAP-ETNC的响应消息,响应消息中携带进行验证所需要的信息;根据信息对接入终端进行验证,向接入终端发送基于EAP-ETNC的携带验证结果的消息。
利用本发明实施例提供的方法可以实现可信接入、可信修复和可信签名信息传递,并且可以对EAP-ETNC进行扩展,以满足可信接入技术今后发展所需要承载多种新型数据的要求。
针对上述本发明实施例提供的实现可信信息传递的方法,参见图2,为本发明实施例提供的EAP-ETNC(增强的EAP-TNC)协议数据报文格式示意图,其中:
(1)EAP协议头中的代码Code字段代表传送的数据的类型:例如表示是请求消息Request,还是响应消息Response;识别Identifier字段用来验证发出的请求消息Request是否和收到的响应消息Response匹配;报文长度Length字段表示了EAP报文的报文长度。
(2)EAP-ETNC协议头包括:类型Type字段,版本Version字段和标志位Flags字段。其中,Type字段可以定为138,长度为1字节;Version字段为版本号,可以设置为1;Flags字段为标志位,长度为2字节,这种字段的设置方法克服了原有EAP-TNC方法版本域和标志位域扩展性差的缺点,并且预留10位标志位RSV,以满足日后扩展的要求。
(3)EAP-ETNC数据域字段Data,该字段为用于传递具体数据的载体空间,其中,根据EAP-ETNC协议头中的标志位Flags字段中的具体标志位的不同,该数据域会有不同的实现格式,参见下文:
下面详细说明上述EAP-ETNC协议头中的标志位Flags字段中的标志位以及其相应的数据域字段Data格式:
一、LEN标识符(指示数据域是否包含长度的标识位)
该LEN标识符用于指示数据的长度,例如,当该LEN标识符置1时,表示数据域的前N位为数据长度Data Length,其中,该数值N优选取值位为32。参见图3,提供了LEN置1时的数据域格式示意图,如图所示,LEN置1,该数据域的中存在指示数据长度的空间DataLength,例如,存在32位的数据长度Data Length。
特别地,当采用分片的形式传输数据时,第一片数据必须设置此字段,并在数据域的前32位给出分片前整个数据的长度,其它分片数据的传输中,此LEN标识符位必须置0。
二、MFG标识符(指示是否具有下一片分片的标识位)
该MFG标识符用于指示当采用分片的形式传输数据时,当前传输的数据是否为最后一个分片。例如,MFG位置0表示当前报文是数据的最后一个分片;该位置1,表示当前报文为所要传输数据的众多分片之一,而非所要传输数据的最后一个分片。
三、STR标识符(起始报文标识位)
该STR标识符用于指示携带的数据是否为空,例如,STR位置1时,表示当前报文为该方法会话的起始报文,携带的数据为空。其中,例如,接入终端AR收到STR置1的空数据请求后,可以回复STR置1的空数据响应;或可以回复STR置0,TSC置1的数据域携带接入终端AR拥有的可信签名的响应。
四、RCV & TSC标识符(指示标识位)
采用两个标志位进行基于全译码方式组合使用。其中,RCV置1代表与修复相关,TSC置1代表与证书相关,两个字段均置1时表示认证请求,参见表1,提供了RCV & TSC标识符和数据域的关系示意表。
表1RCV & TSC标志符和和数据域的关系示意表
| RCV | TSC | Data域携带数据 |
| 0 | 0 | 普通认证的TNC客户/服务接收IF-TNCCS数据 |
| 0 | 1 | 证书认证的可信服务器下发的可信签名TISA-TS数据 |
| 1 | 0 | 修复认证的修复标识及相关数据,也可做修复请求认证 |
| 1 | 1 | 请求认证的来自服务器,可选择回复00或01并携带相关数据 |
五、FIN标识符(结束报文标识位)
FIN标识符用于指示当前传送的数据是否为本次EAP决前的最后一个数据报文。例如,当该位置1,表示当前报文为本次会话EAP决策前的最后一个报文,相应地,数据域Data中存在过滤器标识符Filter-ID、决策结果标识符Result-code,例如,设置数据域Data中的前8位为过滤器标识符Filter-ID,用于携带策略执行点PEP(如,EAP中间代理或协议转换器)所需要的过滤器ID,(其中,过滤器Filter用于在终端对可信网络进行访问时,实施访问控制功能),相应地,策略执行点PEP收到该类型的数据报文进行处理后,要把该过滤器标识符Filter-ID字段置空后才能继续传输,从而保证了隔离接入终端AR和可信网络的目的,确保了可信网络的安全性和可靠性;设置数据域Data中的次8位为决策结果标识符Result-code,如设置“1”代表决策为可信认证成功Success,“2”代表可信认证失败Failure,“3”代表需要进行可信修复Remedy,当设置为“2”或“3”时,数据域Data中会包含相关信息,例如当Result-code置为“3”,在数据域Data中携带用于进行修复的相关数据信息。参见图4提供了FIN置1时的数据域格式示意图。如图所示,当该FIN置1时,数据域字段Data中包括过滤器标识符Filter-ID和决策结果标识符Result-code。
六、RSV标识符(保留标识位)
该RSV标识符为保留位,用于供该EAP-ETNC协议版本升级和扩展使用,通常该位置位0,如图所示2,预留了10位RSV标识符。当对该EAP-ETNC协议版进行扩展使用时,可以根据具体的需要,选择其中的一个或几个RSV标识符设置新的含义。
实施例1
基于上述定义的EAP-ETNC(增强的EAP-TNC)协议数据报文格式,下面将论述如何基于EAP-ETNC协议实现可信信息传递的方法,以图5提供的通信场景示意图为例,其中,AR为接入终端、PEP为策略执行点(或称为代理)、PDP为策略决策点(具体为接入服务器)、TRS为位于可信修复网络中的修复服务器,TISA(Trusted Information Sign Agent,可信信息签名机构)为下发可信签名的服务器。参见图6,该方法内容如下:
101:接入终端AR提供用户名,请求接入可信网络。具体内容为:
接入终端AR通过认证信息的携带协议(IF-PEP,在具体实现中可以采用RADIUS/PANA/Diameter或者它们的结合认证方法)请求接入可信网络,接入终端AR等待可信网络的服务器的EAP-Identity方法报文到达时,提供用户名;Tunnel EAP交互,建立安全隧道,启动EAP-ETNC方法;
102:服务器收到接入终端AR的接入请求,根据获取的AR的用户名,发送一个STR置1、RCV & TSC置11或10的空报文。
其中,STR置1表示当前报文为该方法会话的起始报文,携带的数据为空;
其中,RCV & TSC置11表示该报文用于进行请求认证;RCV & TSC置10表示该报文来自修复服务器TRS,用于进行修复请求认证。
103:接入终端AR收到上述报文,回复EAP响应EAP-Response。其中,该EAP响应EAP-Response携带的具体内容为:
1、若上述报文为修复服务器TRS发来的请求报文,则回复RCV和TSC置10,STR置1的空报文;
2、若接入终端AR拥有可信签名证书,则回复RCV置0,TSC置1的携带可信签名证书数据的报文;
3、若接入终端AR没有拥有可信签名证书,则回复RCV和TSC置11,STR置1的空报文;
104:当接入服务器PDP收到的EAP响应EAP-Response为空报文消息时,则向接入终端AR发出完整性验证请求,该请求报文中需要将STR置0;
当修复服务器TRS收到的EAP响应EAP-Response为空报文消息时,则向接入终端AR发送修复身份信息传递请求,该请求报文中,需要将STR置0;
当接入服务器PDP收到接入终端AR发送的可信签名证书时,则将该签名证书发送给相应处理接口,并启动接入服务器上验证该可信签名证书的程序准备连接TISA进行证书验证。
105:当接入终端AR收到接入服务器PDP发送的完整性验证请求后,采集自身的完整性数据,通过应答报文发送采集的数据,其中,该应答报文的数据域Data中携带采集的数据;
当接入终端AR收到修复服务器TRS发送的修复身份信息传递请求后,通过应答报文发送修复身份标识,其中,该应答报文的数据域Data中携带该接入终端AR的修复身份标识;
106:当接入服务器PDP收到接入终端AR发送的应答报文,根据该应答报文中携带的接入终端AR的完整性检查数据,进行完整性检查。其中,接入终端AR和接入服务器的该过程可交互多次,直到接入服务器PDP可以作出关于该接入终端AR的接入决策结果:成功、失败或修复;
当修复服务器TRS收到接入终端AR发送的应答报文,根据该应答报文中携带的接入终端AR的修复身份标识,进行修复身份验证,修复服务器直接作出关于该接入终端AR的修复决策结果:修复成功或失败。
107:当接入服务器PDP作出决策结果后,向接入终端AR发送结果通知消息,由于该结果通知消息为接入服务器PDP向接入终端AR发送的最后一轮请求,所以该结果通知消息中需要将FIN置1,代表当前报文为本次EAP会话的最后一个报文,并且该结果通知消息中通过数据域Data字段的决策结果标识符Result-Code携带相应的决策结果信息。例如,设置“1”代表接入成功,设置“2”代表接入失败,设置“3”代表修复,相应地,利用数据域携带相关的信息。
进一步地,若在接入终端AR和接入服务器中存在策略执行点PEP,上述接入服务器PDP发送的结果通知消息中还需要在过滤器标识符Filter-ID携带相应的过滤器的信息;当对应于该过滤器标识符Filter-ID的策略执行点PEP收到接入服务器发送的结果通知消息后,将该结果通知消息中的Filter-ID置为空,存储于访问控制表后,转发Filter-ID置空后的结果通知消息,从而保证了隔离接入终端AR和可信网络的目的,确保了可信网络的安全性和可靠性;
其中,修复服务器TRS作出决策结果后,向接入终端AR发送结果通知消息的情况类似,不再赘述。
108:接入终端AR收到结果通知消息后,获取该结果通知消息中携带的决策结果信息,执行相应的处理。具体为:
当接入终端AR收到接入服务器PDP/修复服务器TRS发送的决策结果信息为失败Failure时,则等待EAP会话结束。
当接入终端AR收到接入服务器PDP发送的决策结果信息为修复Remedy时,则获取修复数据送相应处理接口后,等待此次接入认证的会话结束;
当接入终端AR收到接入服务器PDP/修复服务器TRS发送的决策结果信息为成功Success时,则等待EAP会话结束。
109:EAP-ETNC方法层输出消息给Tunnel EAP方法层,Tunnel EAP层协议发送EAP-Success或EAP-Failure,会话结束。
综上所述,成功论述了利用EAP-ETNC实现接入终端AR和接入服务器/修复服务器进行交互的过程,实现了基于EAP-ETNC协议进行可信信息传递的方法。本领域技术人员可以获知,任何一种EAP方法的实现,其实质上都是其特定状态机的实现。发明人相应地针对EAP-ETNC方法依据功能场景需要,定义了三种状态机:接入端状态机、认证端状态机和代理状态机,其中,
参见图7,提供了接入端(接入终端AR)状态机示意图,如图所示实现接入终端AR上的状态、事件、动作,为了便于说明,该图中示意了修复认证和接入认证两套状态机,其中,图中的圆点线及其连接的状态表示修复认证与接入认证的公用事件和状态,虚线及其连接的状态表示修复认证的事件和状态,实线及其连接的状态表示接入认证的事件和状态。
参见图8,提供了认证端状态机示意图,如图所示实现了认证服务器(接入服务器/修复服务器)上的状态、事件、动作,为了便于说明,该图中示意了接入服务器的接入认证和修复服务器的修复认证两套状态机,其中,图中的圆点线及其连接的状态表示修复认证与接入认证的公用事件和状态,虚线及其连接的状态表示修复认证的事件和状态,实线及其连接的状态表示接入认证的事件和状态。
参见图9,提供了代理状态机,如图所示实现了通过决策执行点PEP(代理)进行认证端和接入端之间消息传递的状态、事件、动作,根据决策报文的指示执行相应访问控制策略。
下面针对上述实现了基于EAP-ETNC协议进行可信信息传递的方法,给出具体的示例进行阐述:其中,示例一为基于EAP-ETNC的存在中间代理的可信修复场景;示例二为基于EAP-ETNC的无中间代理的可信签名认证场景,具体内容参见如下:
示例一
为了便于说明,以EAP-ETNC用于有中间代理的可信修复场景时,以成功可信修复认证为例进行说明,参见图10,提供了有中间代理的成功可信修复认证时序流程示意图,具体内容如下:
1、修复服务器向接入终端AR发送EAP请求EAP Request,其中,该EAP Request中STR置1,RCV置1,数据域Data为空,该EAP Request为空报文。
2、接入终端AR收到EAP Request后,回复EAP响应EAP Response,其中,该EAP Response中RCV置1,数据域Data为空,该EAP Response为空报文。
3、修复服务器向接入终端AR发送EAP请求EAP Request,其中,该EAP Request用于向接入终端AR请求修复标识,该EAP Request中RCV置1,数据域Data携带修复标识请求信息。
4、接入终端AR收到EAP Request后,回复EAP响应EAP Response,其中,该EAP Response中RCV置1,数据域Data携带接入终端AR提供的修复标识。
5、修复服务器收到EAP Response后,根据其中携带的接入终端AR的修复标识进行修复验证通过后,发送EAP请求EAP Request,其中,该EAP Request中的FIN置1,Filter-ID携带中间代理标识,Result-Code置位“成功”(例如置位1代表成功,2代表失败),数据域Data为空。
6、与上述中间代理标识对应的中间代理收到修复服务器发送的EAP Request后,将Filter-ID置空后,将EAP Request转发给接入终端AR。
7、接入终端AR收到EAP Request后,回复EAP响应EAP Response,其中,该EAP Response中RCV置1,数据域Data为空,该EAP Response为空报文。
8、Tunnel EAP层协议发送EAP-Success。
在可信修复场景下,EAP-ETNC需要完成的功能是:传递修复服务器所需要的身份标识,并且按照修复认证流程进行修复认证,认证完成后,接入终端AR的认证流程即可结束,访问控制以及向修复服务器的重定向工作交由中间代理来完成。
代理在收到最后一个FIN报文之后,将Filter-Type保存于自身的访问控制表中,待接入终端连接修复网络进行修复时,代理会根据接入终端的IP地址和Filter-Type,将其重定向到修复服务器。这样,修复服务器就可以被代理隐藏起来,使得外界无法直接访问,保证了修复服务器和修复资源的安全。
同理,普通的接入认证在最后一轮FIN报文中的Filter-ID会被中间代理保存于自身的访问控制表中,接入终端AR只能通过中间代理来访问网络。当接入终端AR欲访问可信网络时,中间代理可以根据接入终端AR的IP地址和Filter-ID来控制其数据包是否可以通过,可信网络中的哪些站点可以被访问等等,从而体现了可信网络的访问可控性。
综上,论述了EAP-ETNC用于有中间代理的可信修复场景的示例,下面将对EAP-ETNC用于无中间代理的可信签名认证的应用场景进行说明:
示例二
为了便于说明,以EAP-ETNC用于无中间代理的可信签名认证的应用场景时,以成功提供可信签名为例进行说明,参见图11,提供了无中间代理的可信签名认证成功的时序流程示意图,具体内容如下:
1、接入服务器向接入终端AR发送EAP Request,其中,该EAP Request中STR置1,RCV&TSC置1,数据域Data为空。
2、接入终端AR收到EAP Request后,回复EAP Response,其中,该EAP Response中TSC置1,数据域Data中携带可信签名(TS,Trust Sign)或者TNC客户/服务接口可信签名TS-IF-TNCCS。
3、接入服务器收到EAP Response,获取其中携带的接入终端AR的可信签名,通过和下发可信签名的服务器TISA的交互后,对该可信签名认证通过后,向接入终端AR发送EAPRequest,其中,该EAP Request中FIN置1,Filter-ID携带相应的信息,Result-Code置位“成功”(例如置位1代表成功,2代表失败),数据域Data为空。
4、接入终端AR向接入服务器返回EAP Response,其中,该EAP Response中TSC置1,数据域Data为空。
7、Tunnel EAP层协议发送EAP-Success。
其中,没有中间代理的情况,一般是类似PPP协议的直连情况,接入终端AR通过底层直连的某种协议与接入服务器之间通信并进行认证,接入终端AR进行网络访问时,一般是对接入服务器进行直接访问或者是接入服务器将对应于接入终端AR的控制决策派发给一个特定的网络访问点,由这个网络访问点来控制接入终端AR对可信网络的访问。该情况下,EAP-ETNC保留向接入终端发送的EAP Request中携带的Filter-ID,使得接入终端AR获取到该EAPRequest消息后,能够更进一步地了解自己的访问权限,为自身的其他网络访问应用程序提供方便。
本示例中的涉及的可信签名认证方案是非可信接入技术和可信接入技术之间的一种平滑过渡方案,该方案使用可信签名证书(标识)的方式使得可信接入技术能够得以广泛认可和推广。该场景下,EAP-ETNC需要完成的功能是:传递可信签名证书(标识)到接入服务器,以便接入服务器可以和分发该可信签名证书(标识)的服务器TISA交互验证该可信签名的有效性。
综上所述,本发明实施例提供的基于EAP-ETNC协议进行可信信息传递的方法,无论是否存在EAP中间代理,都可以正常使用,特别是,存在中间代理的接入/修复场景下,中间代理可以对接入终端隐藏服务器端的决策细节,使得接入终端无须明确了解自身的访问权限就可以安全的访问可信网络,并且中间代理可以对修复服务器和接入服务器进行隐藏,保证了可信网络的安全性和可靠性。
本发明实施例提供的EAP-ETNC协议,还可以应用于认证、授权、计费的AAA领域,可以通过在安全认证信息承载协议和安全EAP协议之上,以可选的OPTION形式实现,其中,进行版本升级时,可将Version设置为相应版本,RSV保留标志位设置成其他含义并定义相应的数据格式。
实施例2
参见图12,本发明实施例提供了一种实现可信信息传递的系统,所述系统包括:接入终端和服务器;其中,
接入终端,用于接收服务器发送基于EAP-ETNC的请求消息;向服务器发送基于EAP-ETNC的响应消息,响应消息中携带进行验证所需要的信息;并接收服务器发送的基于EAP-ETNC的携带验证结果的消息;
服务器,用于向接入终端发送基于EAP-ETNC的请求消息;请求消息用于向接入终端请求进行验证所需要的信息;接收来自接入终端的基于EAP-ETNC的响应消息,响应消息中携带进行验证所需要的信息;根据信息对接入终端进行验证,向接入终端发送基于EAP-ETNC的携带验证结果的消息。
一、其中,服务器具体为接入服务器;
接入服务器,用于接收接入终端的接入请求,向接入终端发送携带起始报文标识的基于EAP-ETNC的认证请求;并接收接入终端发送的携带起始报文标识的响应;向接入终端发送基于EAP-ETNC的完整性验证请求消息,完整性验证请求消息中携带指示标识,指示标识用于指示接入终端根据完整性验证请求消息返回相应的可信信息;接收来自接入终端的基于EAP-ETNC的响应消息,响应消息中携带进行完整性验证的可信信息;根据可信信息对接入终端进行完整性验证,向接入终端发送基于EAP-ETNC的携带验证结果的消息,携带验证结果的消息中携带结束报文标识和过滤器标识。
二、其中,服务器具体为接入服务器;接入终端,用于接收接入终端的接入请求;向接入终端发送基于EAP-ETNC的认证请求消息,认证请求消息携带起始报文标识、指示标识;指示标识用于指示接入终端根据认证请求消息返回相应的可信签名;接收接入终端发送的基于EAP-ETNC的响应消息,响应消息中携带可信签名;根据可信签名验证接入终端,向接入终端发送基于EAP-ETNC的携带验证结果的消息,消息中携带结束报文标识和过滤器标识。
三、其中,服务器具体为修复服务器;
修复服务器,用于向接入终端发送基于EAP-ETNC的修复认证请求消息,修复认证请求消息中携带起始报文标识、指示标识,指示标识用于指示请求消息用于进行修复认证;接收接入终端返回的携带指示标识的响应消息,来自接入终端的指示标识用于表示接入终端进行修复认证;修复服务器向接入终端发送基于EAP-ETNC的修复请求消息,修复请求消息中携带指示标识;指示标识用于指示接入终端根据修复请求消息返回相应的修复数据;接收接入终端发送的基于EAP-ETNC的响应消息,响应消息中携带修复数据,根据修复数据验证接入终端是否修复成功,向接入终端发送基于EAP-ETNC的携带验证结果的消息,消息中携带结束报文标识和过滤器标识。
参见图13,本发明实施例提供的系统,进一步地还包括:中间代理,其中,该中间代理用于接收基于EAP-ETNC的携带验证结果的消息,消息中携带结束报文标识和过滤器标识,保存过滤器标识,并删除验证结果中携带的过滤器标识,将删除过滤器标识后的基于EAP-ETNC的携带验证结果的消息转发给接入终端。
其中,该中间代理通过对接入端隐藏决策细节,使得接入终端无须明确了解自身的访问权限就可以安全的访问网络。另外,代理对修复服务器和接入服务器也都进行了很好的隐藏,保证了网络的安全可靠。
综上所述,本发明实施例提供的实现可信信息传递的系统,通过EAP-ETNC携带更多类型的数据,不但可以满足日后可信网络框架不断完善的要求,还提供了修复和可信签名信息的携带方法,并对两种信息的传递定义了完整的时间序列,使得可信接入技术的框架变得更加完善,更容易被推广和使用,并且本发明实施例提供的系统中无论是否存在EAP中间代理,都可以正常工作运行,而且更适合于存在中间代理的接入/修复场景。在这种场景下,代理可以对接入端隐藏决策细节,使得接入终端无须明确了解自身的访问权限就可以安全的访问网络。另外,代理对修复服务器和接入服务器也都进行了很好的隐藏,保证了网络的安全可靠。
实施例3
参见图14,本发明实施例提供了一种服务器,服务器包括:
获取模块,用于向接入终端发送基于EAP-ETNC的请求消息;请求消息用于向接入终端请求进行验证所需要的信息;接收来自接入终端的基于EAP-ETNC的响应消息,响应消息中携带进行验证所需要的信息;获取响应消息中携带的信息;
处理模块,用于根据获取模块获取的信息对接入终端进行验证,向接入终端发送基于EAP-ETNC的携带验证结果的消息。
其中,服务器具体为接入服务器,接入服务器还包括:
通信模块,用于接收接入终端的接入请求,向接入终端发送携带起始报文标识的基于EAP-ETNC的认证请求;并接收接入终端发送的携带起始报文标识的响应;
相应地,获取模块,具体为第一获取单元;
第一获取单元,用于向接入终端发送基于EAP-ETNC的完整性验证请求消息,完整性验证请求消息中携带指示标识,指示标识用于指示接入终端根据完整性验证请求消息返回相应的可信信息;接收来自接入终端的基于EAP-ETNC的响应消息,响应消息中携带进行完整性验证的可信信息;
相应地,处理模块具体为第一处理单元;
第一处理单元,用于根据第一获取单元获取的可信信息对接入终端进行完整性验证,向接入终端发送基于EAP-ETNC的携带验证结果的消息,携带验证结果的消息中携带结束报文标识和过滤器标识。
其中,服务器具体为接入服务器,接入服务器还包括:
通信模块,用于接收接入终端的接入请求;
相应地,获取模块,具体为第二获取单元;
第二获取单元,用于向接入终端发送基于EAP-ETNC的认证请求消息,认证请求消息携带起始报文标识、指示标识;指示标识用于指示接入终端根据认证请求消息返回相应的可信签名;接收接入终端发送的基于EAP-ETNC的响应消息,响应消息中携带可信签名;获取可信签名;
相应地,处理模块具体为第二处理单元;
第二处理单元,用于根据第二获取单元获取的可信签名验证接入终端,向接入终端发送基于EAP-ETNC的携带验证结果的消息,消息中携带结束报文标识和过滤器标识。
其中,服务器具体为修复服务器,修复服务器还包括:
通信模块,用于向接入终端发送基于EAP-ETNC的修复认证请求消息,修复认证请求消息中携带起始报文标识、指示标识,指示标识用于指示请求消息用于进行修复认证;接收接入终端返回的携带指示标识的响应消息,来自接入终端的指示标识用于表示接入终端进行修复认证;
相应地,获取模块,具体为第三获取单元;
第三获取单元,用于向接入终端发送基于EAP-ETNC的修复请求消息,修复请求消息中携带指示标识;指示标识用于指示接入终端根据修复请求消息返回相应的修复数据;接收接入终端发送的基于EAP-ETNC的响应消息,响应消息中携带修复数据,获取修复数据;
相应地,处理模块具体为第三处理单元;
第三处理单元,用于根据第三获取单元获取的修复数据验证接入终端是否修复成功,向接入终端发送基于EAP-ETNC的携带验证结果的消息,消息中携带结束报文标识和过滤器标识。
本发明实施例提供的服务器,通过EAP-ETNC携带更多类型的数据,不但可以满足日后可信网络框架不断完善的要求,还提供了修复和可信签名信息的携带方法,并对两种信息的传递定义了完整的时间序列,使得可信接入技术的框架变得更加完善,更容易被推广和使用。
实施例4
参见图15,本发明实施例提供了一种终端,终端包括:接收模块和发送模块,其中,
接收模块,用于接收服务器发送基于EAP-ETNC的请求消息;并接收服务器发送的基于EAP-ETNC的携带验证结果的消息;
发送模块,用于根据接收模块接收到的请求消息,向服务器发送基于EAP-ETNC的响应消息,响应消息中携带进行验证所需要的信息。
其中,当终端作为客户端,其服务器端具体为接入服务器时,终端要进行完整性接入验证时,终端还包括:
通信模块,用于向接入服务器发送接入请求,接收接入服务器发送的携带起始报文标识的基于EAP-ETNC的认证请求后;向接入服务器发送携带起始报文标识的响应;
相应地,接收模块具体为第一接收单元:
第一接收单元,用于接收接入服务器发送的基于EAP-ETNC的完整性验证请求消息,完整性验证请求消息中携带指示标识,指示标识用于指示接入终端根据完整性验证请求消息返回相应的可信信息;并接收接入服务器发送的基于EAP-ETNC的携带验证结果的消息,携带验证结果的消息中携带结束报文标识和过滤器标识;
相应地,发送模块具体为第一发送单元;
第一发送单元,用于在第一接收单元收到接入服务器发送的完整性验证请求消息后,根据指示标识,向接入服务器发送基于EAP-ETNC的响应消息,响应消息中携带进行完整性验证的可信信息。
其中,当终端作为客户端,其服务器端具体为接入服务器时,终端要进行预设的特定含义的认证时,终端还包括:
通信模块,用于向接入服务器发送接入请求;
相应地,接收模块具体为第二接收单元:
第二接收单元,用于接收接入服务器发送的基于EAP-ETNC的认证请求消息,认证请求消息携带起始报文标识、指示标识;指示标识用于指示接入终端根据认证请求消息返回相应的可信签名;并接收接入服务器发送的基于EAP-ETNC的携带验证结果的消息,消息中携带结束报文标识和过滤器标识。
相应地,发送模块具体为第二发送单元;
第二发送单元,用于在第二接收单元接收到接入服务器发送的认证请求消息后,向接入服务器发送基于EAP-ETNC的响应消息,响应消息中携带可信签名。
其中,当终端作为客户端,其服务器端具体为修复服务器时,终端要进行修复认证时,终端还包括:
通信模块,用于接收修复服务器发送的基于EAP-ETNC的修复认证请求消息,修复认证请求消息中携带起始报文标识、指示标识,指示标识用于指示请求消息用于进行修复认证;向修复服务器发送携带指示标识的响应消息,来自接入终端的指示标识用于表示接入终端进行修复认证;
相应地,接收模块具体为第三接收单元;
第三接收单元,用于接收修复服务器发送的基于EAP-ETNC的修复请求消息,修复请求消息中携带指示标识;指示标识用于指示接入终端根据修复请求消息返回相应的修复数据;并接收修复服务器发送的基于EAP-ETNC的携带验证结果的消息,消息中携带结束报文标识和过滤器标识;
相应地,发送模块具体为第三发送单元:
第三发送单元,用于在第三接收单元接收到修复服务器发送的基于EAP-ETNC的修复请求消息后,向修复服务器发送基于EAP-ETNC的响应消息,响应消息中携带修复数据。
本发明实施例提供的终端,通过EAP-ETNC携带更多类型的数据,不但可以满足日后可信网络框架不断完善的要求,还提供了修复和可信签名信息的携带方法,并对两种信息的传递定义了完整的时间序列,使得可信接入技术的框架变得更加完善,更容易被推广和使用。
实施例5
参见图16,本发明实施例提供了一种代理设备,所述代理设备包括:
第一处理模块,用于接收携带结束报文标识和过滤器标识的验证结果,保存过滤器标识,并删除验证结果中携带的过滤器标识;
第二处理模块,用于将第一处理模块删除过滤器标识后的验证结果转发给接入终端。
本发明实施例提供的代理设备,通过对接入端隐藏决策细节,使得接入终端无须明确了解自身的访问权限就可以安全的访问网络。另外,代理对修复服务器和接入服务器也都进行了很好的隐藏,保证了网络的安全可靠。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述方便,不代表实施例的优劣。
本发明实施例中的部分步骤,可以利用软件实现,相应的软件程序可以存储在可读取的存储介质中,如光盘或硬盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (20)
1.一种实现可信信息传递的方法,其特征在于,所述方法包括:
服务器向接入终端发送基于EAP-ETNC的请求消息;所述请求消息用于向所述接入终端请求进行验证所需要的信息;
接收来自所述接入终端的基于EAP-ETNC的响应消息,所述响应消息中携带进行验证所需要的信息;
根据所述信息对所述接入终端进行验证,向所述接入终端发送基于EAP-ETNC的携带验证结果的消息;
其中,所述EAP-ETNC的协议数据报文包括:EAP协议头、EAP-ETNC协议头和数据域;
所述EAP协议头包括:代码字段、识别字段、和报文长度字段;
所述EAP-ETNC协议头包括:类型字段、版本字段、和标志位字段;所述标志位字段具体包括:起始报文标识位STR、结束报文标识位FIN、指示标识位RCV&TSC和指示数据域是否包含长度的标识位LEN、指示是否具有下一片分片的标识位MFG和保留标识位RSV。
2.如权利要求1所述的方法,其特征在于,所述服务器向接入终端发送基于EAP-ETNC的请求消息的步骤之前,所述方法还包括:
接入服务器接收接入终端的接入请求,向所述接入终端发送携带起始报文标识的基于EAP-ETNC的认证请求,并接收所述接入终端发送的携带起始报文标识的响应;
相应地,所述服务器向接入终端发送基于EAP-ETNC的请求消息的步骤,具体为:
所述接入服务器向所述接入终端发送基于EAP-ETNC的完整性验证请求消息,所述完整性验证请求消息中携带指示标识,所述指示标识用于指示所述接入终端根据所述完整性验证请求消息返回相应的可信信息;
相应地,所述接收来自所述接入终端的基于EAP-ETNC的响应消息,根据所述信息对所述接入终端进行验证,向所述接入终端发送基于EAP-ETNC的携带验证结果的消息的步骤,具体为:
接收来自所述接入终端的基于EAP-ETNC的响应消息,所述响应消息中携带进行完整性验证的可信信息;
根据所述可信信息对所述接入终端进行完整性验证,向所述接入终端发送基于EAP-ETNC的携带验证结果的消息,所述携带验证结果的消息中携带结束报文标识和过滤器标识。
3.如权利要求2所述的方法,其特征在于,所述验证结果的类型包括:认证成功、认证失败、可信修复;相应地,
所述携带验证结果的消息中还携带验证结果标识,所述验证结果标识用于指示所述验证结果的类型。
4.如权利要求1所述的方法,其特征在于,所述服务器向接入终端发送基于EAP-ETNC的请求消息的步骤之前,所述方法还包括:
接入服务器接收接入终端的接入请求;
相应地,所述服务器向接入终端发送基于EAP-ETNC的请求消息的步骤,具体为:
接入服务器向所述接入终端发送基于EAP-ETNC的认证请求消息,所述认证请求消息携带起始报文标识、指示标识;所述指示标识用于指示所述接入终端根据所述认证请求消息返回相应的可信签名;
相应地,所述接收来自所述接入终端的基于EAP-ETNC的响应消息,根据所述信息对所述接入终端进行验证,向所述接入终端发送基于EAP-ETNC的携带验证结果的消息的步骤,具体为:
接收所述接入终端发送的基于EAP-ETNC的响应消息,所述响应消息中携带可信签名;
根据所述可信签名验证所述接入终端,向所述接入终端发送基于EAP-ETNC的携带验证结果的消息,所述消息中携带结束报文标识和过滤器标识。
5.如权利要求1所述的方法,其特征在于,所述服务器向接入终端发送基于EAP-ETNC的请求消息的步骤之前,所述方法还包括:
修复服务器向接入终端发送基于EAP-ETNC的修复认证请求消息,所述修复认证请求消息中携带起始报文标识、指示标识,所述指示标识用于指示所述请求消息用于进行修复认证;
接收所述接入终端返回的携带指示标识的响应消息,来自所述接入终端的指示标识用于表示所述接入终端进行修复认证;
相应地,服务器向接入终端发送基于EAP-ETNC的请求消息的步骤,具体为:
所述修复服务器向所述接入终端发送基于EAP-ETNC的修复请求消息,所述修复请求消息中携带指示标识;所述指示标识用于指示所述接入终端根据所述修复请求消息返回相应的修复数据;
相应地,所述接收来自所述接入终端的基于EAP-ETNC的响应消息,根据所述信息对所述接入终端进行验证,向所述接入终端发送基于EAP-ETNC的携带验证结果的消息的步骤,具体为:
接收所述接入终端发送的基于EAP-ETNC的响应消息,所述响应消息中携带修复数据,根据所述修复数据验证所述接入终端是否修复成功,向所述接入终端发送基于EAP-ETNC的携带验证结果的消息,所述消息中携带结束报文标识和过滤器标识。
6.如权利要求4或5所述的方法,其特征在于,所述验证结果类型包括:认证成功、认证失败;相应地,
所述验证结果消息还携带验证结果标识,所述验证结果标识用于指示所述验证结果的类型。
7.如权利要求2、4或5任一权利要求所述的方法,其特征在于,所述方法还包括:
中间代理接收所述基于EAP-ETNC的携带验证结果的消息,所述消息中携带结束报文标识和过滤器标识,保存所述过滤器标识,并删除所述验证结果中携带的过滤器标识,将删除过滤器标识后的基于EAP-ETNC的携带验证结果的消息转发给所述接入终端。
8.一种实现可信信息传递的系统,其特征在于,所述系统包括:接入终端和服务器;其中,
所述接入终端,用于接收所述服务器发送的基于EAP-ETNC的请求消息;向所述服务器发送基于EAP-ETNC的响应消息,所述响应消息中携带进行验证所需要的信息;并接收所述服务器发送的基于EAP-ETNC的携带验证结果的消息;所述服务器,用于向所述接入终端发送基于EAP-ETNC的请求消息;所述请求消息用于向所述接入终端请求进行验证所需要的信息;接收来自所述接入终端的基于EAP-ETNC的响应消息,所述响应消息中携带进行验证所需要的信息;根据所述信息对所述接入终端进行验证,向所述接入终端发送基于EAP-ETNC的携带验证结果的消息;
其中,所述EAP-ETNC的协议数据报文包括:EAP协议头、EAP-ETNC协议头和数据域;
所述EAP协议头包括:代码字段、识别字段、和报文长度字段;
所述EAP-ETNC协议头包括:类型字段、版本字段、和标志位字段;所述标志位字段具体包括:起始报文标识位STR、结束报文标识位FIN、指示标识位RCV&TSC和指示数据域是否包含长度的标识位LEN、指示是否具有下一片分片的标识位MFG和保留标识位RSV。
9.如权利要求8所述的系统,其特征在于,所述服务器具体为接入服务器;
所述接入服务器,用于接收所述接入终端的接入请求,向所述接入终端发送携带起始报文标识的基于EAP-ETNC的认证请求;并接收所述接入终端发送的携带起始报文标识的响应;向所述接入终端发送基于EAP-ETNC的完整性验证请求消息,所述完整性验证请求消息中携带指示标识,所述指示标识用于指示所述接入终端根据所述完整性验证请求消息返回相应的可信信息;接收来自所述接入终端的基于EAP-ETNC的响应消息,所述响应消息中携带进行完整性验证的可信信息;根据所述可信信息对所述接入终端进行完整性验证,向所述接入终端发送基于EAP-ETNC的携带验证结果的消息,所述携带验证结果的消息中携带结束报文标识和过滤器标识。
10.如权利要求8所述的系统,其特征在于,所述服务器具体为接入服务器;所述接入终端,用于接收所述接入终端的接入请求;向所述接入终端发送基于EAP-ETNC的认证请求消息,所述认证请求消息携带起始报文标识、指示标识;所述指示标识用于指示所述接入终端根据所述认证请求消息返回相应的可信签名;接收所述接入终端发送的基于EAP-ETNC的响应消息,所述响应消息中携带可信签名;根据所述可信签名验证所述接入终端,向所述接入终端发送基于EAP-ETNC的携带验证结果的消息,所述消息中携带结束报文标识和过滤器标识。
11.如权利要求8所述的系统,其特征在于,所述服务器具体为修复服务器;
所述修复服务器,用于向所述接入终端发送基于EAP-ETNC的修复认证请求消息,所述修复认证请求消息中携带起始报文标识、指示标识,所述指示标识用于指示所述请求消息用于进行修复认证;接收所述接入终端返回的携带指示标识的响应消息,来自所述接入终端的指示标识用于表示所述接入终端进行修复认证;所述修复服务器向所述接入终端发送基于EAP-ETNC的修复请求消息,所述修复请求消息中携带指示标识;所述指示标识用于指示所述接入终端根据所述修复请求消息返回相应的修复数据;接收所述接入终端发送的基于EAP-ETNC的响应消息,所述响应消息中携带修复数据,根据所述修复数据验证所述接入终端是否修复成功,向所述接入终端发送基于EAP-ETNC的携带验证结果的消息,所述消息中携带结束报文标识和过滤器标识。
12.如权利要求8所述的系统,其特征在于,所述系统还包括:中间代理,
所述中间代理,用于接收所述基于EAP-ETNC的携带验证结果的消息,所述消息中携带结束报文标识和过滤器标识,保存所述过滤器标识,并删除所述验证结果中携带的过滤器标识,将删除过滤器标识后的基于EAP-ETNC的携带验证结果的消息转发给所述接入终端。
13.一种服务器,其特征在于,所述服务器包括:
获取模块,用于向接入终端发送基于EAP-ETNC的请求消息;所述请求消息用于向所述接入终端请求进行验证所需要的信息;接收来自所述接入终端的基于EAP-ETNC的响应消息,所述响应消息中携带进行验证所需要的信息;获取所述响应消息中携带的信息;
处理模块,用于根据所述获取模块获取的信息对所述接入终端进行验证,向所述接入终端发送基于EAP-ETNC的携带验证结果的消息;
其中,所述EAP-ETNC的协议数据报文包括:EAP协议头、EAP-ETNC协议头和数据域;
所述EAP协议头包括:代码字段、识别字段、和报文长度字段;
所述EAP-ETNC协议头包括:类型字段、版本字段、和标志位字段;所述标志位字段具体包括:起始报文标识位STR、结束报文标识位FIN、指示标识位RCV&TSC和指示数据域是否包含长度的标识位LEN、指示是否具有下一片分片的标识位MFG和保留标识位RSV。
14.如权利要求13所述的服务器,其特征在于,所述服务器具体为接入服务器,所述接入服务器还包括:
通信模块,用于接收所述接入终端的接入请求,向所述接入终端发送携带起始报文标识的基于EAP-ETNC的认证请求;并接收所述接入终端发送的携带起始报文标识的响应;
相应地,所述获取模块,具体为第一获取单元;
所述第一获取单元,用于向所述接入终端发送基于EAP-ETNC的完整性验证请求消息,所述完整性验证请求消息中携带指示标识,所述指示标识用于指示所述接入终端根据所述完整性验证请求消息返回相应的可信信息;接收来自所述接入终端的基于EAP-ETNC的响应消息,所述响应消息中携带进行完整性验证的可信信息;
相应地,所述处理模块具体为第一处理单元;
所述第一处理单元,用于根据所述第一获取单元获取的可信信息对所述接入终端进行完整性验证,向所述接入终端发送基于EAP-ETNC的携带验证结果的消息,所述携带验证结果的消息中携带结束报文标识和过滤器标识。
15.如权利要求13所述的服务器,其特征在于,所述服务器具体为接入服务器,所述接入服务器还包括:
通信模块,用于接收所述接入终端的接入请求;
相应地,所述获取模块,具体为第二获取单元;
所述第二获取单元,用于向所述接入终端发送基于EAP-ETNC的认证请求消息,所述认证请求消息携带起始报文标识、指示标识;所述指示标识用于指示所述接入终端根据所述认证请求消息返回相应的可信签名;接收所述接入终端发送的基于EAP-ETNC的响应消息,所述响应消息中携带可信签名;获取所述可信签名;
相应地,所述处理模块具体为第二处理单元;
所述第二处理单元,用于根据所述第二获取单元获取的可信签名验证所述接入终端,向所述接入终端发送基于EAP-ETNC的携带验证结果的消息,所述消息中携带结束报文标识和过滤器标识。
16.如权利要求13所述的服务器,其特征在于,所述服务器具体为修复服务器,所述修复服务器还包括:
通信模块,用于向接入终端发送基于EAP-ETNC的修复认证请求消息,所述修复认证请求消息中携带起始报文标识、指示标识,所述指示标识用于指示所述请求消息用于进行修复认证;接收所述接入终端返回的携带指示标识的响应消息,来自所述接入终端的指示标识用于表示所述接入终端进行修复认证;
相应地,所述获取模块,具体为第三获取单元;
所述第三获取单元,用于向所述接入终端发送基于EAP-ETNC的修复请求消息,所述修复请求消息中携带指示标识;所述指示标识用于指示所述接入终端根据所述修复请求消息返回相应的修复数据;接收所述接入终端发送的基于EAP-ETNC的响应消息,所述响应消息中携带修复数据,获取所述修复数据;
相应地,所述处理模块具体为第三处理单元;
所述第三处理单元,用于根据所述第三获取单元获取的修复数据验证所述接入终端是否修复成功,向所述接入终端发送基于EAP-ETNC的携带验证结果的消息,所述消息中携带结束报文标识和过滤器标识。
17.一种终端,其特征在于,所述终端包括:接收模块和发送模块,
所述接收模块,用于接收服务器发送基于EAP-ETNC的请求消息;并接收所述服务器发送的基于EAP-ETNC的携带验证结果的消息;
所述发送模块,用于根据接收模块接收到的请求消息,向所述服务器发送基于EAP-ETNC的响应消息,所述响应消息中携带进行验证所需要的信息;
其中,所述EAP-ETNC的协议数据报文包括:EAP协议头、EAP-ETNC协议头和数据域;
所述EAP协议头包括:代码字段、识别字段、和报文长度字段;
所述EAP-ETNC协议头包括:类型字段、版本字段、和标志位字段;所述标志位字段具体包括:起始报文标识位STR、结束报文标识位FIN、指示标识位RCV&TSC和指示数据域是否包含长度的标识位LEN、指示是否具有下一片分片的标识位MFG和保留标识位RSV。
18.如权利要求17所述的终端,其特征在于,所述终端还包括:
通信模块,用于向接入服务器发送接入请求,接收所述接入服务器发送的携带起始报文标识的基于EAP-ETNC的认证请求后;向所述接入服务器发送携带起始报文标识的响应;
相应地,所述接收模块具体为第一接收单元;
所述第一接收单元,用于接收所述接入服务器发送的基于EAP-ETNC的完整性验证请求消息,所述完整性验证请求消息中携带指示标识,所述指示标识用于指示所述接入终端根据所述完整性验证请求消息返回相应的可信信息;并接收所述接入服务器发送的基于EAP-ETNC的携带验证结果的消息,所述携带验证结果的消息中携带结束报文标识和过滤器标识;
相应地,所述发送模块具体为第一发送单元;
所述第一发送单元,用于在所述第一接收单元收到所述接入服务器发送的所述完整性验证请求消息后,根据所述指示标识,向所述接入服务器发送基于EAP-ETNC的响应消息,所述响应消息中携带进行完整性验证的可信信息。
19.如权利要求17所述的终端,其特征在于,所述终端还包括:
通信模块,用于向所述接入服务器发送接入请求;
相应地,所述接收模块具体为第二接收单元;
所述第二接收单元,用于接收所述接入服务器发送的基于EAP-ETNC的认证请求消息,所述认证请求消息携带起始报文标识、指示标识;所述指示标识用于指示所述接入终端根据所述认证请求消息返回相应的可信签名;并接收所述接入服务器发送的基于EAP-ETNC的携带验证结果的消息,所述消息中携带结束报文标识和过滤器标识。
相应地,所述发送模块具体为第二发送单元;
所述第二发送单元,用于在所述第二接收单元接收到所述接入服务器发送的认证请求消息后,向所述接入服务器发送基于EAP-ETNC的响应消息,所述响应消息中携带可信签名。
20.如权利要求17所述的终端,其特征在于,所述终端还包括:
通信模块,用于接收修复服务器发送的基于EAP-ETNC的修复认证请求消息,所述修复认证请求消息中携带起始报文标识、指示标识,所述指示标识用于指示所述请求消息用于进行修复认证;向所述修复服务器发送携带指示标识的响应消息,来自所述接入终端的指示标识用于表示所述接入终端进行修复认证;
相应地,所述接收模块具体为第三接收单元:
所述第三接收单元,用于接收所述修复服务器发送的基于EAP-ETNC的修复请求消息,所述修复请求消息中携带指示标识;所述指示标识用于指示所述接入终端根据所述修复请求消息返回相应的修复数据;并接收所述修复服务器发送的基于EAP-ETNC的携带验证结果的消息,所述消息中携带结束报文标识和过滤器标识;
相应地,所述发送模块具体为第三发送单元;
所述第三发送单元,用于在所述第三接收单元接收到所述修复服务器发送的基于EAP-ETNC的修复请求消息后,向所述修复服务器发送基于EAP-ETNC的响应消息,所述响应消息中携带修复数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101471069A CN101656661B (zh) | 2008-08-18 | 2008-08-18 | 实现可信信息传递的方法、系统和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101471069A CN101656661B (zh) | 2008-08-18 | 2008-08-18 | 实现可信信息传递的方法、系统和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101656661A CN101656661A (zh) | 2010-02-24 |
| CN101656661B true CN101656661B (zh) | 2012-12-12 |
Family
ID=41710760
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101471069A Expired - Fee Related CN101656661B (zh) | 2008-08-18 | 2008-08-18 | 实现可信信息传递的方法、系统和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101656661B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103188676B (zh) * | 2011-12-29 | 2017-12-26 | 中兴通讯股份有限公司 | 可扩展认证协议认证接入方法及装置 |
| CN104363631B (zh) * | 2014-10-24 | 2019-03-08 | 小米科技有限责任公司 | 无线路由器的连接方法、装置和系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1564516A (zh) * | 2004-03-26 | 2005-01-12 | 中兴通讯股份有限公司 | 一种无线局域网移动终端异地接入认证方法 |
-
2008
- 2008-08-18 CN CN2008101471069A patent/CN101656661B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1564516A (zh) * | 2004-03-26 | 2005-01-12 | 中兴通讯股份有限公司 | 一种无线局域网移动终端异地接入认证方法 |
Non-Patent Citations (2)
| Title |
|---|
| TCG.TNC IF-T: Protocol Bindings for Tunneled EAP Methods Specification Version 1.1.《TCG Trusted Network Connect TNC IF-T: Protocol Bindings for Tunneled EAP Methods Specification Version 1.1 Revision 10》.2007,全文. * |
| 林宏刚.可信网络连接若干关键技术的研究.《中国博士学位论文全文数据库》.2008,114-125. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101656661A (zh) | 2010-02-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7792993B1 (en) | Apparatus and methods for allocating addresses in a network | |
| CN104160653B (zh) | 用于提供多因素数字安全证书的方法、装置、介质和设备 | |
| CN108881308B (zh) | 一种用户终端及其认证方法、系统、介质 | |
| CN101540755B (zh) | 一种修复数据的方法、系统和装置 | |
| US20050187966A1 (en) | Data communicating apparatus, data communicating method, and program | |
| CN104869175A (zh) | 跨平台的账号资源共享实现方法、装置及系统 | |
| CN102823217B (zh) | 证书机构 | |
| US20040186880A1 (en) | Management apparatus, terminal apparatus, and management system | |
| CN103427995B (zh) | 用户认证方法、ssl vpn服务器及ssl vpn系统 | |
| CN102624744B (zh) | 网络设备的认证方法、装置、系统和网络设备 | |
| CN102801616A (zh) | 报文发送和接收的方法、装置和系统 | |
| CN112311735A (zh) | 可信认证方法,网络设备、系统及存储介质 | |
| US20090165095A1 (en) | Network connection terminal authentication method and apparatus | |
| CN101841525A (zh) | 安全接入方法、系统及客户端 | |
| CN106027456A (zh) | 用于对网络设备进行认证的装置和方法 | |
| CN104954330A (zh) | 一种对数据资源进行访问的方法、装置和系统 | |
| CN110099064A (zh) | 一种基于物联网的文件处理方法、装置、设备和存储介质 | |
| CN101425899A (zh) | 实现发布、分发的方法和系统 | |
| US7975293B2 (en) | Authentication system, authentication method and terminal device | |
| CN101656609A (zh) | 一种单点登录方法、系统及装置 | |
| CN113055176B (zh) | 终端认证方法和系统、终端设备、p2p验证平台和介质 | |
| CN102984046A (zh) | 一种即时通讯业务的处理方法及相应的网络设备 | |
| CN101656661B (zh) | 实现可信信息传递的方法、系统和设备 | |
| KR102211698B1 (ko) | 글로벌 인증 계정 시스템 | |
| CN102761520B (zh) | 认证信息处理方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121212 Termination date: 20160818 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |