CN101662410B - 一种基于隧道技术的三元鉴别可扩展方法及其系统 - Google Patents

一种基于隧道技术的三元鉴别可扩展方法及其系统 Download PDF

Info

Publication number
CN101662410B
CN101662410B CN2009103074627A CN200910307462A CN101662410B CN 101662410 B CN101662410 B CN 101662410B CN 2009103074627 A CN2009103074627 A CN 2009103074627A CN 200910307462 A CN200910307462 A CN 200910307462A CN 101662410 B CN101662410 B CN 101662410B
Authority
CN
China
Prior art keywords
access controller
taep
groups
requestor
type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2009103074627A
Other languages
English (en)
Other versions
CN101662410A (zh
Inventor
肖跃雷
曹军
黄振海
葛莉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Priority to CN2009103074627A priority Critical patent/CN101662410B/zh
Priority to PCT/CN2009/075647 priority patent/WO2011035514A1/zh
Publication of CN101662410A publication Critical patent/CN101662410A/zh
Application granted granted Critical
Publication of CN101662410B publication Critical patent/CN101662410B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于隧道技术的三元鉴别可扩展方法及其系统。该方法包括以下步骤:1)请求者、鉴别访问控制器和鉴别服务器执行外鉴别过程,并建立请求者与鉴别访问控制器之间的安全隧道;2)请求者、鉴别访问控制器和内鉴别服务器执行内鉴别过程,其中请求者和鉴别访问控制器之间的内TAEP包是利用步骤1)中建立的安全隧道进行保护的;3)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程。本发明提供了一种可增加该隧道TAEP的应用性以及增强内鉴别过程的安全性的基于隧道技术的三元鉴别可扩展方法及其系统。

Description

一种基于隧道技术的三元鉴别可扩展方法及其系统
技术领域
本发明属网络安全技术领域,尤其涉及一种基于隧道技术的三元鉴别可扩展方法及其系统。
背景技术
可扩展鉴别协议(Extensible Authentication Protocol,EAP)是一个鉴别框架,它用于点到点的鉴别,可支持多种鉴别机制。EAP并不在链路控制阶段指定鉴别方法,而是把这个过程推迟到鉴别阶段。这样鉴别器就可以要求更多的信息以后再决定使用什么鉴别方法。这种机制允许使用一台“后端”鉴别服务器来真正执行鉴别机制,而鉴别器只是传递鉴别交换信息。
由于EAP仅仅是一个适合点到点鉴别协议的鉴别框架,所以EAP不适合实现三方鉴别协议,如:三元对等鉴别协议枛鉴别双方基于可信第三方来实现双向鉴别。为了满足三方鉴别协议的需要,一种适合三方鉴别协议的鉴别框架构枛三元鉴别可扩展协议(Tri-elementAuthentication Extensible Protocol,TAEP)被提出,其中TAEP包的格式与EAP包的格式类同,但TAEP的层次模型与EAP不相同。TAEP包的格式如图1所示,其中:
Code:Code字段长度为1个八位位组,表示TAEP分组的类型:
1、Request
2、Response
3、Success
4、Failure
Identifier:Identifier字段长度为1个八位位组,用于匹配Request和Response分组。
Length:Length字段长度为2个八位位组,表示整个TAEP分组的八位位组数,即指包括Code、Identifier、Length和Data所有字段的长度总和。
Data:Data字段长度可变,分组含0个或多个八位位组,其格式由Code字段的值决定。若Code字段的值为Request或Response,则Data字段包含Type字段和Type-Date字段,其中Type字段可为Identity和TP Authentication等。若Code字段的值为Success或Failure,则Data字段不存在。
TAEP复用模型如图2所示,TAEP消息交换的步骤如下:
a)鉴别访问控制器发送Request分组给请求者要求开始鉴别,Request有一个Tpye字段指示请求的类型,Type字段是Identity,表示身份;
b)请求者发送Response分组给鉴别访问控制器来响应有效的Request,Response分组中包含一个Type字段,对应于Request分组中的Type字段,Type-Data中包含有对等体的身份;
c)鉴别访问控制器发送Request分组给鉴别服务器,Request有一个Type字段指示请求的类型,Type是TP Authentication,用于向鉴别服务器请求鉴别方法类型;
d)鉴别服务器发送Response分组给鉴别访问控制器,Response分组中包含一个Type字段,对应于Request分组中的Type字段;
e)鉴别访问控制器根据鉴别服务器返回的鉴别方法类型,选择一种鉴别方法开始鉴别过程。发送Request分组给请求者,请求者响应Response分组给鉴别访问控制器,Request和Response的序列根据需要持续交互。鉴别访问控制器向鉴别服务器发送Request分组,而鉴别服务器向鉴别访问控制器响应Response分组。此Request和Response的序列会持续需要的长度。鉴别访问控制器负责重传Request分组;
f)对话一直持续到鉴别访问控制器不能鉴别请求者,鉴别访问控制器将发送Failure分组给请求者;或者鉴别访问控制器判断成功的鉴别已经完成,鉴别访问控制器或停止发送Request分组,结束消息交互,或发送Success分组给请求者。
上述c)、d)步骤是可选的。在某些情况下,鉴别方法是确定的或通过其他方式确定鉴别方法及身份时,c)、d)步骤可有选择的进行。
为了增强鉴别机制的安全性,或适应特殊的应用场景,EAP支持基于隧道技术的EAP鉴别方法,如:国际可信计算组织(Trusted Computing Group,TCG)所制定的可信网络连接(Trusted Network Connect,TNC)架构就利用了隧道EAP来实现TNC架构的平台鉴别协议。建立安全隧道的鉴别过程可称为外鉴别过程,而在安全隧道内的鉴别过程可称为内鉴别过程。类似地,TAEP也需要支持隧道技术的TAEP鉴别方法,用于增强三元鉴别机制的安全性,或适应特殊的应用场景,如:基于三元对等鉴别的可信网络连接架构需要支持隧道技术的TAEP鉴别方法来实现平台鉴别。因此,需要建立一种基于隧道技术的三元鉴别可扩展方法。
发明内容
为了解决背景技术中存在的上述技术问题,本发明提供了一种可增加该隧道TAEP的应用性以及增强内鉴别过程的安全性的基于隧道技术的三元鉴别可扩展方法及其系统。
本发明的技术解决方案是:本发明提供了一种基于隧道技术的三元鉴别可扩展方法,其特殊之处在于:该方法包括以下步骤:
1)请求者、鉴别访问控制器和鉴别服务器执行外鉴别过程,并建立请求者与鉴别访问控制器之间的安全隧道;
2)请求者、鉴别访问控制器和内鉴别服务器执行内鉴别过程,其中请求者和鉴别访问控制器之间的内TAEP包是利用步骤1)中建立的安全隧道进行保护的;
3)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程。
上述步骤1)的具体实现方式是:
1.1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者的外鉴别身份;
1.2)鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务器获取鉴别方法类型;
1.3)鉴别访问控制器选取一种鉴别方法与请求者、鉴别服服务器执行外鉴别过程,并建立请求者与鉴别访问控制器之间的安全隧道。
上述步骤1.1)的具体实现方式是:
1.1.1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值为Identity;
1.1.2)请求者向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤1.1.1)中TAEP的Request分组中的Type字段,Type-Data中包含请求者的外鉴别身份。
上述步骤1.2)的具体实现方式是:
1.2.1)鉴别访问控制器向鉴别服务器发送TAEP的Request分组,其中Type字段的值为TPAuthentication,Type-Data中包含请求者和鉴别访问控制器的外鉴别身份;
1.2.2)鉴别服务器向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤1.2.1)中TAEP的Request分组中的Type字段,Type-Data中包含鉴别方法类型。
上述步骤1.3)的具体实现方式是:鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一系列TAEP的Request分组和Response分组,直到建立请求者与鉴别访问控制器之间的安全隧道,其中Type字段为步骤1.3)中鉴别访问控制器选取的鉴别方法,Type-Data中包含Type字段的值对应的鉴别协议消息。
上述步骤2)的具体实现方式是:
2.1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者的内鉴别身份;
2.2)鉴别访问控制器利用TAEP的Request分组和Response分组来向内鉴别服务器获取鉴别方法类型;
2.3)鉴别访问控制器选取一种鉴别方法与请求者、内鉴别服务器执行内鉴别过程。
上述步骤2.1)的具体实现方式是:
2.1.1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值为步骤1.3)中鉴别访问控制器选取的鉴别方法,Type-Data字段的值为内TAEP包,内TAEP包的Code字段的值为Request,Type字段的值为Identity;
2.1.2)请求者向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤2.1.1)中TAEP的Request分组中的Type字段,Type-Data字段的值为内TAEP包,内TAEP包的Code字段的值为Response,Type字段对应步骤2.1.1中内TAEP包的Request分组中的Type字段,Type-Data字段中包含请求者的内鉴别身份。
上述步骤2.2)的具体实现方式是:
2.2.1)鉴别访问控制器向内鉴别服务器发送TAEP的Request分组,其中Type字段的值为TP Authentication,Type-Data中包含请求者和鉴别访问控制器的内鉴别身份;
2.2.2)内鉴别服务器向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤2.2.1)中TAEP的Request分组中的Type字段,Type-Data中包含鉴别方法类型。
上述步骤2.3)的具体实现方式是:鉴别访问控制器与请求者之间、鉴别访问控制器与内鉴别服务器之间交互一系列TAEP的Request分组和Response分组,直到内鉴别过程完成。对于鉴别访问控制器与请求者之间交互的一系列TAEP的Request分组和Response分组,其中Type字段的值为步骤1.3)中鉴别访问控制器选取的鉴别方法,Type-Data字段的值为内TAEP包。内TAEP包的Type字段的值为步骤2.3)中鉴别访问控制器选取的鉴别方法,Type-Data字段中包含Type字段的值对应的鉴别协议消息;对于鉴别访问控制器与内鉴别服务器之间交互的一系列TAEP的Request分组和Response分组,其中Type字段的值为步骤2.3)中鉴别访问控制器选取的鉴别方法,Type-Data字段中包含Type字段的值对应的鉴别协议消息。
上述步骤3)的具体实现方式是:
3.1)若在步骤2.3)中的内鉴别过程中鉴别访问控制器成功认证请求者,则向请求者发送TAEP的Success分组;
3.2)若在步骤2.3)中的内鉴别过程中鉴别访问控制器不能成功认证请求者,则向请求者发送TAEP的Failure分组。
一种基于隧道技术的三元鉴别可扩展系统,其特殊之处在于:所述基于隧道技术的三元鉴别可扩展系统包括请求者、鉴别访问控制器、鉴别服务器以及内鉴别服务器;所述请求者、鉴别服务器以及内鉴别服务器分别和鉴别访问控制器通过TAEP连通;所述请求者、鉴别访问控制器和鉴别服务器执行外鉴别过程,建立请求者和鉴别访问控制器之间的安全隧道;所述请求者、鉴别访问控制器和内鉴别服务器执行内鉴别过程。
本发明的优点是:
1、可增加该隧道TAEP的应用性。本发明在安全隧道中传输的数据为内TAEP包,可支持多种内鉴别机制,增加了该隧道TAEP的应用性;
2、可增强内鉴别过程的安全性。本发明在请求者和鉴别访问控制器之间的内TAEP包由外鉴别过程建立的安全隧道进行保护,可提供内鉴别身份保护,从而增强了内鉴别过程的安全性;
3、本发明使得请求者和鉴别访问控制器可在一个TAEP鉴别会话中实现多个TAEP鉴别方法,可应用于基于三元对等鉴别的访问控制方法。
附图说明
图1为现有技术中TAEP包的格式结构示意图;
图2为现有技术中TAEP复用模型的结构示意图;
图3为本发明所提及的基于隧道技术的三元鉴别可扩展方法的结构示意图。
具体实施方式
参见图3,本发明提供了一种基于隧道技术的三元鉴别可扩展方法,其具体步骤如下:
1)请求者、鉴别访问控制器和鉴别服务器执行外鉴别过程,并建立请求者与鉴别访问控制器之间的安全隧道,如:它们执行用户鉴别过程并建立请求者和鉴别访问控制器之间的会话密钥;
1.1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者的外鉴别身份,如:用户身份;
1.1.1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值为Identity;
1.1.2)请求者向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤1.1.1)中TAEP的Request分组中的Type字段,Type-Data中包含请求者的外鉴别身份;上述步骤1.1)为可选步骤。若鉴别访问控制器已知晓请求者的外鉴别身份,则不需要执行步骤1.1)。
1.2)鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务器获取鉴别方法类型,如:中国WLAN标准中基于证书的WAI协议或基于预共享密钥的WAI协议;
1.2.1)鉴别访问控制器向鉴别服务器发送TAEP的Request分组,其中Type字段的值为TPAuthentication,Type-Data中包含请求者和鉴别访问控制器的外鉴别身份;
1.2.2)鉴别服务器向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤1.2.1)中TAEP的Request分组中的Type字段,Type-Data中包含鉴别方法类型;
上述步骤1.2)为可选步骤。若鉴别访问控制器已配置了特定的鉴别方法,则不需要执行步骤1.2)。
1.3)鉴别访问控制器选取一种鉴别方法与请求者、鉴别服服务器执行外鉴别过程,并建立请求者与鉴别访问控制器之间的安全隧道,如:执行中国WLAN标准中基于证书的WAI协议或基于预共享密钥的WAI协议等;
1.3.1)鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一系列TAEP的Request分组和Response分组,直到建立请求者与鉴别访问控制器之间的安全隧道,其中Type字段为步骤1.3)中鉴别访问控制器选取的鉴别方法,Type-Data中包含Type字段的值对应的鉴别协议消息;
2)请求者、鉴别访问控制器和内鉴别服务器执行内鉴别过程,如:它们执行平台鉴别协议,其中请求者和鉴别访问控制器之间的内TAEP包是利用步骤1)中建立的安全隧道进行保护的;
2.1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者的内鉴别身份;
2.1.1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值为步骤1.3)中鉴别访问控制器选取的鉴别方法,Type-Data字段的值为内TAEP包。内TAEP包的Code字段的值为Request,Type字段的值为Identity;
2.1.2)请求者向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤2.1.1)中TAEP的Request分组中的Type字段,Type-Data字段的值为内TAEP包。内TAEP包的Code字段的值为Response,Type字段对应步骤2.1.1中内TAEP包的Request分组中的Type字段,Type-Data字段中包含请求者的内鉴别身份;
上述步骤2.1)为可选步骤。
2.2)鉴别访问控制器利用TAEP的Request分组和Response分组来向内鉴别服务器获取鉴别方法类型;
2.2.1)鉴别访问控制器向内鉴别服务器发送TAEP的Request分组,其中Type字段的值为TP Authentication,Type-Data中包含请求者和鉴别访问控制器的内鉴别身份;
2.2.2)内鉴别服务器向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤2.2.1)中TAEP的Request分组中的Type字段,Type-Data中包含鉴别方法类型;
上述步骤2.2.2)中的Type-Data中还可以包含鉴别方法的鉴别策略,如:内鉴别服务器在该步骤的Type-Data中包含平台鉴别策略,用于向鉴别访问控制器下发平台鉴别策略。
上述步骤2.2)为可选步骤。若鉴别访问控制器为内鉴别过程已配置了特定的鉴别方法和鉴别策略,则不需要执行步骤2.2)。
2.3)鉴别访问控制器选取一种鉴别方法与请求者、内鉴别服务器执行内鉴别过程,如:它们执行平台鉴别协议;
2.3.1)鉴别访问控制器与请求者之间、鉴别访问控制器与内鉴别服务器之间交互一系列TAEP的Request分组和Response分组,直到内鉴别过程完成。对于鉴别访问控制器与请求者之间交互的一系列TAEP的Request分组和Response分组,其中Type字段的值为步骤1.3)中鉴别访问控制器选取的鉴别方法,Type-Data字段的值为内TAEP包。内TAEP包的Type字段的值为步骤2.3)中鉴别访问控制器选取的鉴别方法,Type-Data字段中包含Type字段的值对应的鉴别协议消息;对于鉴别访问控制器与内鉴别服务器之间交互的一系列TAEP的Request分组和Response分组,其中Type字段的值为步骤2.3)中鉴别访问控制器选取的鉴别方法,Type-Data字段中包含Type字段的值对应的鉴别协议消息。
3)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程;
3.1)若在步骤2.3)中的内鉴别过程中鉴别访问控制器成功认证请求者,则向请求者发送TAEP的Success分组;
3.2)若在步骤2.3)中的内鉴别过程中鉴别访问控制器不能成功认证请求者,则向请求者发送TAEP的Failure分组。
本发明在提供一种基于隧道技术的三元鉴别可扩展方法的同时,还提供了一种基于隧道技术的三元鉴别可扩展系统,该系统包括请求者、鉴别访问控制器、鉴别服务器以及内鉴别服务器;请求者、鉴别服务器以及内鉴别服务器分别和鉴别访问控制器通过TAEP连通;请求者、鉴别访问控制器和鉴别服务器执行外鉴别过程,建立请求者和鉴别访问控制器之间的安全隧道;请求者、鉴别访问控制器和内鉴别服务器执行内鉴别过程。请求者、鉴别访问控制器和鉴别服务器执行外鉴别过程,建立请求者和鉴别访问控制器之间的安全隧道,如:它们执行用户鉴别过程并建立请求者和鉴别访问控制器之间的会话密钥,其中鉴别服务器可以不参与该外鉴别过程。请求者、鉴别访问控制器和内鉴别服务器执行内鉴别过程,如:它们执行平台鉴别协议,其中鉴别访问控制器和内鉴别服务器之间传输的TAEP包的Type字段的值为内鉴别过程方法,Type-Data字段的值为内鉴别过程消息,而请求者和鉴别访问控制器之间传输TAEP包的Type字段为外鉴别过程方法,Type-Data字段为内TAEP包,内TAEP包的Type字段的值为内鉴别过程方法,Type-Data字段的值为内鉴别过程消息。

Claims (9)

1.一种基于隧道技术的三元鉴别可扩展方法,其特征在于:该方法包括以下步骤:
1)请求者、鉴别访问控制器和鉴别服务器执行外鉴别过程,并通过鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一系列TAEP的Request分组和Response分组,建立请求者与鉴别访问控制器之间的安全隧道;其中Type字段为鉴别访问控制器选取的鉴别方法,Type-Data中包含Type字段的值对应的鉴别协议消息;
2)请求者、鉴别访问控制器和内鉴别服务器通过鉴别访问控制器与请求者之间、鉴别访问控制器与内鉴别服务器之间交互一系列TAEP的Request分组和Response分组,执行内鉴别过程;其中请求者和鉴别访问控制器之间的内TAEP分组是利用步骤1)中建立的安全隧道进行保护的;对于鉴别访问控制器与请求者之间交互的一系列TAEP的Request分组和Response分组,其中Type字段的值为步骤1)中鉴别访问控制器选取的鉴别方法,Type-Data字段的值为内TAEP分组;内TAEP分组的Type字段的值为该步骤中鉴别访问控制器选取的鉴别方法,Type-Data字段中包含Type字段的值对应的鉴别协议消息;对于鉴别访问控制器与内鉴别服务器之间交互的一系列TAEP的Request分组和Response分组,其中Type字段的值为该步骤中鉴别访问控制器选取的鉴别方法,Type-Data字段中包含Type字段的值对应的鉴别协议消息;
3)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程。
2.根据权利要求1所述的基于隧道技术的三元鉴别可扩展方法,其特征在于:所述步骤1)的具体实现方式是:
1.1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者的外鉴别身份;
1.2)鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务器获取鉴别方法类型;
1.3)鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一系列TAEP的Request分组和Response分组,建立请求者与鉴别访问控制器之间的安全隧道。
3.根据权利要求2所述的基于隧道技术的三元鉴别可扩展方法,其特征在于:所述步骤1.1)的具体实现方式是:
1.1.1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值为Identity;
1.1.2)请求者向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤1.1.1)中TAEP的Request分组中的Type字段,Type-Data中包含请求者的外鉴别身份。
4.根据权利要求3所述的基于隧道技术的三元鉴别可扩展方法,其特征在于:所述步骤1.2)的具体实现方式是:
1.2.1)鉴别访问控制器向鉴别服务器发送TAEP的Request分组,其中Type字段的值为TPAuthentication,Type-Data中包含请求者和鉴别访问控制器的外鉴别身份;
1.2.2)鉴别服务器向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤1.2.1)中TAEP的Request分组中的Type字段,Type-Data中包含鉴别方法类型。
5.根据权利要求2或3或4所述的基于隧道技术的三元鉴别可扩展方法,其特征在于:所述步骤2)的具体实现方式是:
2.1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者的内鉴别身份;
2.2)鉴别访问控制器利用TAEP的Request分组和Response分组来向内鉴别服务器获取鉴别方法类型;
2.3)请求者、鉴别访问控制器和内鉴别服务器通过鉴别访问控制器与请求者之间、鉴别访问控制器与内鉴别服务器之间交互一系列TAEP的Request分组和Response分组,执行内鉴别过程;其中请求者和鉴别访问控制器之间的内TAEP分组是利用步骤1)中建立的安全隧道进行保护的。
6.根据权利要求5所述的基于隧道技术的三元鉴别可扩展方法,其特征在于:所述步骤2.1)的具体实现方式是:
2.1.1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值为步骤1.3)中鉴别访问控制器选取的鉴别方法,Type-Data字段的值为内TAEP分组,内TAEP分组的Code字段的值为Request,Type字段的值为Identity;
2.1.2)请求者向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤2.1.1)中TAEP的Request分组中的Type字段,Type-Data字段的值为内TAEP分组,内TAEP分组的Code字段的值为Response,Type字段对应步骤2.1.1)中内TAEP分组的Request分组中的Type字段,Type-Data字段中包含请求者的内鉴别身份。
7.根据权利要求6所述的基于隧道技术的三元鉴别可扩展方法,其特征在于:所述步骤2.2)的具体实现方式是:
2.2.1)鉴别访问控制器向内鉴别服务器发送TAEP的Request分组,其中Type字段的值为TP Authentication,Type-Data中包含请求者和鉴别访问控制器的内鉴别身份;
2.2.2)内鉴别服务器向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤2.2.1)中TAEP的Request分组中的Type字段,Type-Data中包含鉴别方法类型。
8.根据权利要求7所述的基于隧道技术的三元鉴别可扩展方法,其特征在于:所述步骤3)的具体实现方式是:
3.1)若在步骤2.3)中的内鉴别过程中鉴别访问控制器成功认证请求者,则向请求者发送TAEP的Success分组;
3.2)若在步骤2.3)中的内鉴别过程中鉴别访问控制器不能成功认证请求者,则向请求者发送TAEP的Failure分组。
9.一种基于隧道技术的三元鉴别可扩展系统,其特征在于:所述基于隧道技术的三元鉴别可扩展系统包括请求者、鉴别访问控制器、鉴别服务器以及内鉴别服务器;所述请求者、鉴别服务器以及内鉴别服务器分别和鉴别访问控制器通过TAEP连通;所述请求者、鉴别访问控制器和鉴别服务器执行外鉴别过程,通过鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一系列TAEP的Request分组和Response分组,建立请求者与鉴别访问控制器之间的安全隧道;
所述请求者、鉴别访问控制器和内鉴别服务器通过鉴别访问控制器与请求者之间、鉴别访问控制器与内鉴别服务器之间交互一系列TAEP的Request分组和Response分组,执行内鉴别过程,其中请求者和鉴别访问控制器之间的内TAEP分组是利用请求者与鉴别访问控制器之间建立的安全隧道进行保护的;
所述请求者与鉴别访问控制器之间的安全隧道的建立过程中Type字段为鉴别访问控制器选取的鉴别方法,Type-Data中包含Type字段的值对应的鉴别协议消息;
所述内鉴别执行过程中,对于鉴别访问控制器与请求者之间交互的一系列TAEP的Request分组和Response分组,其中Type字段的值为鉴别访问控制器选取的鉴别方法,Type-Data字段的值为内TAEP分组;内TAEP分组的Type字段的值为鉴别访问控制器选取的鉴别方法,Type-Data字段中包含Type字段的值对应的鉴别协议消息;对于鉴别访问控制器与内鉴别服务器之间交互的一系列TAEP的Request分组和Response分组,其中Type字段的值为鉴别访问控制器选取的鉴别方法,Type-Data字段中包含Type字段的值对应的鉴别协议消息。
CN2009103074627A 2009-09-22 2009-09-22 一种基于隧道技术的三元鉴别可扩展方法及其系统 Active CN101662410B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN2009103074627A CN101662410B (zh) 2009-09-22 2009-09-22 一种基于隧道技术的三元鉴别可扩展方法及其系统
PCT/CN2009/075647 WO2011035514A1 (zh) 2009-09-22 2009-12-16 一种基于隧道技术的三元鉴别可扩展方法及其系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2009103074627A CN101662410B (zh) 2009-09-22 2009-09-22 一种基于隧道技术的三元鉴别可扩展方法及其系统

Publications (2)

Publication Number Publication Date
CN101662410A CN101662410A (zh) 2010-03-03
CN101662410B true CN101662410B (zh) 2012-07-04

Family

ID=41790215

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009103074627A Active CN101662410B (zh) 2009-09-22 2009-09-22 一种基于隧道技术的三元鉴别可扩展方法及其系统

Country Status (2)

Country Link
CN (1) CN101662410B (zh)
WO (1) WO2011035514A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101707621B (zh) * 2009-12-11 2012-05-09 西安西电捷通无线网络通信股份有限公司 一种适合三元对等鉴别可信网络连接架构的网络传输方法
CN102006291A (zh) * 2010-11-10 2011-04-06 西安西电捷通无线网络通信股份有限公司 一种适合可信连接架构的网络传输方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101527718A (zh) * 2009-04-16 2009-09-09 西安西电捷通无线网络通信有限公司 一种建立三元对等鉴别可信网络连接架构的方法
CN101527717A (zh) * 2009-04-16 2009-09-09 西安西电捷通无线网络通信有限公司 一种三元对等鉴别可信网络连接架构的实现方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572704B (zh) * 2009-06-08 2012-05-23 西安西电捷通无线网络通信股份有限公司 一种适合三元对等鉴别可信网络连接架构的访问控制方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101527718A (zh) * 2009-04-16 2009-09-09 西安西电捷通无线网络通信有限公司 一种建立三元对等鉴别可信网络连接架构的方法
CN101527717A (zh) * 2009-04-16 2009-09-09 西安西电捷通无线网络通信有限公司 一种三元对等鉴别可信网络连接架构的实现方法

Also Published As

Publication number Publication date
CN101662410A (zh) 2010-03-03
WO2011035514A1 (zh) 2011-03-31

Similar Documents

Publication Publication Date Title
EP3186992B1 (en) System and method for securing pre-association service discovery
US10904753B2 (en) Systems and methods for authentication
CN101610452B (zh) 一种传感器网络鉴别与密钥管理机制的融合方法
He et al. Design and validation of an efficient authentication scheme with anonymity for roaming service in global mobility networks
CN100586067C (zh) 一种兼容802.11i及WAPI的身份认证方法
CN101317359A (zh) 生成本地接口密钥的方法及装置
CN101155092B (zh) 一种无线局域网接入方法、设备及系统
CN103795534A (zh) 基于口令的认证方法及用于执行该方法的装置
JP2016523459A5 (ja) Ue及びその通信方法
CN101114332A (zh) 用于管理多个智能卡会话的系统和方法
CN104661171A (zh) 一种用于mtc设备组的小数据安全传输方法和系统
CN101572704A (zh) 一种适合三元对等鉴别可信网络连接架构的访问控制方法
CN108076016A (zh) 车载设备之间的认证方法及装置
CN106992850A (zh) 一种蓝牙智能锁控制器的密钥验证方法
CN101521580A (zh) 无线局域网鉴别与保密基础结构单播密钥协商方法及系统
CN110691358B (zh) 无线传感器网络中基于属性密码体制的访问控制系统
CN101394412B (zh) 一种防止安全协议第一条消息被伪造的方法
CN101662410B (zh) 一种基于隧道技术的三元鉴别可扩展方法及其系统
JPWO2021092480A5 (zh)
CN101707621B (zh) 一种适合三元对等鉴别可信网络连接架构的网络传输方法
CN103781026A (zh) 通用认证机制的认证方法
CN101378313B (zh) 建立安全关联的方法、用户设备和网络侧设备
CN101951386A (zh) 一种物联网数据汇聚及信息反馈的安全方法
CN107113278B (zh) 邻居建立的方法、设备和系统
CN103813318B (zh) 一种信息配置方法、设备及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant