CN102006291A - 一种适合可信连接架构的网络传输方法及系统 - Google Patents

一种适合可信连接架构的网络传输方法及系统 Download PDF

Info

Publication number
CN102006291A
CN102006291A CN 201010546589 CN201010546589A CN102006291A CN 102006291 A CN102006291 A CN 102006291A CN 201010546589 CN201010546589 CN 201010546589 CN 201010546589 A CN201010546589 A CN 201010546589A CN 102006291 A CN102006291 A CN 102006291A
Authority
CN
China
Prior art keywords
taep
authentication
access controller
type
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN 201010546589
Other languages
English (en)
Inventor
肖跃雷
曹军
王珂
张国强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Priority to CN 201010546589 priority Critical patent/CN102006291A/zh
Publication of CN102006291A publication Critical patent/CN102006291A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种适合可信连接架构的网络传输方法及系统,该方法包括以下步骤:1)鉴别访问控制器利用TAEP的请求分组和请求响应分组来获取请求者的隧道TAEP鉴别方法身份;2)鉴别访问控制器选取隧道三元鉴别可扩展协议TAEP鉴别方法与请求者、鉴别服服务器执行隧道TAEP鉴别方法过程;3)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程。本发明提供了一种可有效增强网络传输的安全性以及内TAEP鉴别方法的安全性的适合可信连接架构的网络传输方法及系统。

Description

一种适合可信连接架构的网络传输方法及系统
技术领域
本发明属网络安全技术领域,涉及一种适合可信连接架构的网络传输方法及系统。
背景技术
随着信息化的发展,病毒、蠕虫等恶意软件的问题异常突出。目前已经出现了超过三万五千种的恶意软件,每年都有超过四千万的计算机被感染。要遏制住这类攻击,不仅通过解决安全的传输和数据输入时的检查,还要从源头即从每一台连接到网络的终端开始防御。而传统的安全防御技术已经无法防御种类繁多的恶意攻击。
TCG(Trusted Computing Group,国际可信计算组织)针对这个问题,专门制定了一个基于可信计算技术的网络连接规范——TNC(Trusted Network Connect,可信网络连接),简记为TCG-TNC,其包括了开放的终端完整性架构和一套确保安全互操作的标准,参见图1,是具体的TCG-TNC架构示意图。
由于TCG-TNC架构中的策略执行点处于网络边缘,且访问请求者不对策略执行点进行平台鉴别,所以该架构存在策略执行点不可信赖的问题。为了解决这一问题,提出了一种基于TePA(Tri-element Peer Authentication,三元对等鉴别)的TNC架构,简称为TCA(Trusted Connect Architecture,可信连接架构),TCA架构的示意图参见图2。
EAP(Extensible Authentication Protocol,可扩展鉴别协议)是一个鉴别框架,它用于点到点的鉴别,可支持多种鉴别机制。EAP并不在链路控制阶段指定鉴别方法,而是把这个过程推迟到鉴别阶段。这样鉴别器就可以要求更多的信息以后再决定使用什么鉴别方法。这种机制允许使用一台“后端”鉴别服务器来真正执行鉴别机制,而鉴别器只是传递鉴别交换信息。
由于EAP仅仅是一个适合点到点鉴别协议的鉴别框架,所以EAP不适合实现三方鉴别协议,如:三元对等鉴别协议——鉴别双方基于可信第三方来实现双向鉴别。为了满足三方鉴别协议的需要,一种适合三方鉴别协议的鉴别框架——TAEP(Tri-element Authentication Extensible Protocol,三元鉴别可扩展协议)被提出,其中TAEP包的格式与EAP包的格式类同,但TAEP的层次模型与EAP不相同。TAEP包的格式包括Code字段(8位比特)、Identifier字段(8位比特)、Length字段(16位比特)以及Data字段;其中,
Code:
Code字段长度为1个八位位组,表示TAEP分组的类型:
1  Request(请求分组)
2  Response(请求响应分组)
3  Success(成功分组)
4  Failure(失败分组)
Identifier:
Identifier字段长度为1个八位位组,用于匹配Request和Response分组。
Length:
Length字段长度为2个八位位组,表示整个TAEP分组的八位位组数,即指包括Code、Identifier、Length和Data所有字段的长度总和。
Data:
Data字段长度可变,分组含0个或多个八位位组,其格式由Code字段的值决定。若Code字段的值为Request或Response,则Data字段包含Type字段和Type-Date字段,其中Type字段可为Identity和TP Authentication等。若Code字段的值为Success或Failure,则Data字段不存在。
参见图3,是TAEP复用模型结构示意图,TAEP消息交换的步骤如下:
1)鉴别访问控制器发送Request分组给请求者要求开始鉴别,Request有一个Tpye字段指示请求的类型,Type字段是Identity,表示身份;
2)请求者发送Response分组给鉴别访问控制器来响应有效的Request,Response分组中包含一个Type字段,对应于Request分组中的Type字段,Type-Data字段中包含有对等体的身份;
3)鉴别访问控制器发送Request分组给鉴别服务器,Request有一个Type字段指示请求的类型,Type是TP Authentication,用于向鉴别服务器请求鉴别方法类型;
4)鉴别服务器发送Response分组给鉴别访问控制器,Response分组中包含一个Type字段,对应于Request分组中的Type字段;
5)鉴别访问控制器根据鉴别服务器返回的鉴别方法类型,选择一种鉴别方法开始鉴别过程。发送Request分组给请求者,请求者响应Response分组给鉴别访问控制器,Request和Response的序列根据需要持续交互。鉴别访问控制器向鉴别服务器发送Request分组,而鉴别服务器向鉴别访问控制器响应Response分组。此Request和Response的序列会持续需要的长度。鉴别访问控制器负责重传Request分组;
6)对话一直持续到鉴别访问控制器不能鉴别请求者,鉴别访问控制器将发送Failure分组给请求者;或者鉴别访问控制器判断成功的鉴别已经完成,鉴别访问控制器或停止发送Request分组,结束消息交互,或发送Success分组给请求者。
上述3)、4)步骤是可选的。在某些情况下,鉴别方法是确定的或通过其他方式确定鉴别方法及身份时,3)、4)步骤可有选择的进行。
在图2所示的TCA架构中,由于网络访问控制层除了传输用户鉴别协议数据外还传输上两层的平台鉴别协议数据,且平台鉴别协议数据在访问请求者和访问控制器之间需要利用安全隧道进行传输,所以上面所述三元鉴别可扩展协议不能完成TCA的网络传输。
发明内容
为了解决背景技术中存在的上述技术问题,本发明提供了一种可有效增强网络传输的安全性以及内TAEP鉴别方法的安全性的适合可信连接架构的网络传输方法及系统。
本发明的技术解决方案是:本发明提供了一种适合可信连接架构的网络传输方法,其特殊之处在于:所述适合可信连接架构的网络传输方法包括以下步骤:
1)鉴别访问控制器利用TAEP的请求分组和请求响应分组来获取请求者的隧道TAEP鉴别方法身份;
3)鉴别访问控制器选取隧道三元鉴别可扩展协议TAEP鉴别方法与请求者、鉴别服务器执行隧道TAEP鉴别方法过程;
4)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程。
上述步骤3)的具体实现方式是:
3.1)鉴别访问控制器向请求者发送TAEP的请求分组,所述请求分组中Type字段的值为鉴别访问控制器选取的隧道TAEP鉴别方法类型,Type-Data字段的值为隧道TAEP鉴别方法启动标识;
3.2)请求者和鉴别访问控制器之间交互一系列TAEP的请求分组和请求响应分组,其中Type字段的值为步骤3.1)中的隧道TAEP鉴别方法类型,Type-Data字段的值为Type字段的值对应的隧道方法消息,直至建立请求者和鉴别访问控制器之间的安全隧道;
3.3)请求者、鉴别访问控制器和鉴别服务器在步骤3.2)中建立的安全隧道中执行内TAEP鉴别方法。
上述步骤3)的具体实现方式是:
3.1)鉴别访问控制器向请求者发送TAEP的请求分组,所述请求分组中Type字段的值为鉴别访问控制器选取的隧道TAEP鉴别方法类型,Type-Data字段的值为隧道TAEP鉴别方法启动标识;
3.2)若隧道方法是一个三方鉴别协议,访问请求者和访问控制器之间交互一系列TAEP的Request分组和Response分组,其中Type字段的值为步骤3.1)中的隧道TAEP鉴别方法类型,Type-Data字段的值为Type字段的值对应的隧道方法消息;同时,鉴别访问控制器和鉴别服务器之间交互一系列TAEP的请求分组和请求响应分组,其中Type字段的值为步骤3.1)中的隧道TAEP鉴别方法类型,Type-Data字段的值为Type字段的值对应的隧道方法消息,直至建立请求者和鉴别访问控制器之间的安全隧道;
3.3)请求者、鉴别访问控制器和鉴别服务器在步骤3.2)中建立的安全隧道中执行内TAEP鉴别方法。
上述步骤3.3)的具体实现方式包括:
3.3.1)鉴别访问控制器利用TAEP的请求分组和请求响应分组来获取请求者的内TAEP鉴别方法身份;
3.3.3)鉴别访问控制器选取一种内TAEP鉴别方法与请求者、鉴别服务器执行内TAEP鉴别方法过程:
所述鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一系列TAEP的请求分组和请求响应分组,直到内TAEP鉴别方法过程完成;所述鉴别访问控制器与请求者之间交互的一系列TAEP的请求分组和请求响应分组,其中Type字段的值为步骤3.1)中的隧道TAEP鉴别方法类型,Type-Data字段的值为内TAEP鉴别方法包;所述内TAEP鉴别方法包的Type字段的值为步骤3.3.3)中鉴别访问控制器选取的一种内TAEP鉴别方法类型,Type-Data字段中包含Type字段的值对应的内TAEP鉴别方法消息。
上述步骤3.3)的具体实现方式还包括:
3.3.2)鉴别访问控制器利用TAEP的请求分组和请求响应分组来向鉴别服务器获取内TAEP鉴别方法类型或鉴别访问控制器利用TAEP的请求分组和请求响应分组来向鉴别服务器获取内TAEP鉴别方法的策略数据。
上述步骤3.3.1)的具体实现方式是:
3.3.1.1)鉴别访问控制器向请求者发送TAEP的请求分组,所述请求分组中Type字段的值为步骤3.1)中的隧道TAEP鉴别方法类型,Type-Data字段的值为利用步骤3.2)中建立的安全隧道进行保护的内TAEP鉴别方法包;所述内TAEP鉴别方法包的Code字段的值为Request,Type字段的值为Identity;
3.3.1.2)请求者向鉴别访问控制器发送TAEP的请求响应分组,所述请求响应分组中Type字段对应步骤3.1)中TAEP的请求分组中的Type字段,Type-Data字段的值为利用步骤3.2)中建立的安全隧道进行保护的内TAEP鉴别方法包;所述内TAEP鉴别方法包的Code字段的值为Response,Type字段对应步骤3.3.1.1)中内TAEP鉴别方法包的请求分组中的Type字段,Type-Data字段中包含请求者的内TAEP鉴别方法身份。
上述步骤3.3.2)的具体实现方式是:
3.3.2.1)鉴别访问控制器向鉴别服务器发送TAEP的请求分组,所述请求分组中Type字段的值为TPAuthentication,Type-Data字段中包含请求者和鉴别访问控制器的内TAEP鉴别方法身份;
3.3.2.2)鉴别服务器向鉴别访问控制器发送TAEP的请求响应分组,所述请求响应中Type字段对应步骤3.3.2.1)中TAEP的请求分组中的Type字段,Type-Data字段中包含内TAEP鉴别方法类型。
上述步骤4)的具体实现方式是:
4.1)若在步骤3)中鉴别访问控制器成功鉴别请求者,则向请求者发送TAEP的Success分组;
4.2)若在步骤3)中鉴别访问控制器不能成功鉴别请求者,则向请求者发送TAEP的Failure分组。
上述适合可信连接架构的网络传输方法还包括:
2)鉴别访问控制器利用TAEP的请求分组和请求响应分组来向鉴别服务器获取隧道TAEP鉴别方法类型。
上述步骤1)的具体实现方式是:
1.1)鉴别访问控制器向请求者发送TAEP的请求分组,所述请求分组中Type字段的值为Identity;
1.2)请求者向鉴别访问控制器发送TAEP的请求响应分组,所述请求响应分组中Type字段对应步骤1.1)中TAEP的请求分组中的Type字段,Type-Data字段中包含请求者的TAEP鉴别方法身份。
上述步骤2)的具体实现方式是:
2.1)鉴别访问控制器向鉴别服务器发送TAEP的请求分组,所述请求分组中Type字段的值为TPAuthentication,Type-Data字段中包含请求者和鉴别访问控制器的隧道TAEP鉴别方法身份;
2.2)鉴别服务器向鉴别访问控制器发送TAEP的请求响应分组,所述请求响应中Type字段对应步骤2.1)中TAEP的请求分组中的Type字段,Type-Data字段中包含隧道TAEP鉴别方法类型。
一种适合可信连接架构的网络传输系统,其特殊之处在于:所述适合可信连接架构的网络传输系统包括鉴别访问控制器、请求者以及鉴别服服务器;所述鉴别访问控制器利用TAEP的请求分组和请求响应分组来获取请求者的隧道TAEP鉴别方法身份;所述鉴别访问控制器选取隧道三元鉴别可扩展协议TAEP鉴别方法与请求者、鉴别服服务器执行隧道TAEP鉴别方法过程;所述鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程。
本发明提供了一种适合可信连接架构的网络传输方法,该方法使访问请求者、访问控制器和策略管理器仅执行了一个TAEP鉴别方法——隧道TAEP鉴别方法,可以防止中间人攻击,从而增强网络传输的安全性;内TAEP鉴别方法消息在安全隧道中进行传输,提高了内TAEP鉴别方法的安全性。
附图说明
图1是现有技术中TCG-TNC架构示意图;
图2是现有技术中TCA架构的示意图;
图3是现有技术中TAEP复用模型结构示意图;
图4是本发明所提供的TAEP封装层次示意图。
具体实施方式
参见图4是本发明方案中的TAEP封装层次图,其中虚线框表示可能不存在。当本发明方案应用于图2所示的TCA时,访问请求者、访问控制器和策略管理器分别对应本发明方案中的请求者、鉴别访问控制器和鉴别服务器。基于本发明所提供的TAEP封装层次图,本发明提供了一种适合可信连接架构的网络传输方法,该方法包括以下步骤:
步骤1)访问控制器利用TAEP的Request分组和Response分组来获取访问请求者的隧道TAEP鉴别方法身份,如:获取请求者的用户身份;
步骤1.1)访问控制器向访问请求者发送TAEP的Request分组,其中Type字段的值为Identity;
步骤1.2)访问请求者向访问控制器发送TAEP的Response分组,其中Type字段对应步骤1.1)中TAEP的Request分组中的Type字段,Type-Data字段中包含访问请求者的TAEP鉴别方法身份,如:包含请求者的用户身份;
步骤2)访问控制器利用TAEP的Request分组和Response分组来向策略管理器获取隧道TAEP鉴别方法类型,如:TAEP-TTLS;
步骤2.1)访问控制器向策略管理器发送TAEP的Request分组,其中Type字段的值为TPAuthentication,Type-Data字段中包含访问请求者和访问控制器的隧道TAEP鉴别方法身份,如:访问请求者和访问控制器的用户身份;
步骤2.2)策略管理器向访问控制器发送TAEP的Response分组,其中Type字段对应步骤2.1)中TAEP的Request分组中的Type字段,Type-Data字段中包含隧道TAEP鉴别方法类型;
步骤3)访问控制器选取一种隧道TAEP鉴别方法与访问请求者、鉴别服服务器执行隧道TAEP鉴别方法过程;
步骤3.1)访问控制器向访问请求者发送TAEP的Request分组,其中Type字段的值为访问控制器选取的一种隧道TAEP鉴别方法类型,Type-Data字段的值为隧道TAEP鉴别方法启动标识,如:Start;
步骤3.2)访问请求者和访问控制器之间交互一系列TAEP的Request分组和Response分组,其中Type字段的值为步骤3.1)中的隧道TAEP鉴别方法类型,Type-Data字段的值为Type字段的值对应的隧道方法消息,如:TLS协议消息,直至建立访问请求者和访问控制器之间的安全隧道;
在步骤3.2)中,若隧道方法为一个三方鉴别协议,访问请求者和访问控制器之间交互一系列TAEP的Request分组和Response分组,其中Type字段的值为步骤3.1)中的隧道TAEP鉴别方法类型,Type-Data字段的值为Type字段的值对应的隧道方法消息,如:TLS协议消息;同时,访问控制器和策略管理器之间还需要交互一系列TAEP的Request分组和Response分组,其中Type字段的值为步骤3.1)中的隧道TAEP鉴别方法类型,Type-Data字段的值为Type字段的值对应的隧道方法消息,如:ETLS,直至建立访问请求者和访问控制器之间的安全隧道。
步骤3.3)访问请求者、访问控制器和策略管理器在步骤3.2)中建立的安全隧道中执行内TAEP鉴别方法;
步骤3.3.1)访问控制器利用TAEP的Request分组和Response分组来获取访问请求者的内TAEP鉴别方法身份,如:请求者的平台身份;
步骤3.3.1.1)访问控制器向访问请求者发送TAEP的Request分组,其中Type字段的值为步骤3.1)中的隧道TAEP鉴别方法类型,Type-Data字段的值为利用步骤32)中建立的安全隧道进行保护的内TAEP鉴别方法包。内TAEP鉴别方法包的Code字段的值为Request,Type字段的值为Identity;
步骤3.3.1.2)访问请求者向访问控制器发送TAEP的Response分组,其中Type字段对应步骤3.1)中TAEP的Request分组中的Type字段,Type-Data字段的值为利用步骤3.2)中建立的安全隧道进行保护的内TAEP鉴别方法包。内TAEP鉴别方法包的Code字段的值为Response,Type字段对应步骤3.3.1.1)中内TAEP鉴别方法包的Request分组中的Type字段,Type-Data字段中包含访问请求者的内TAEP鉴别方法身份,如:包含请求者的平台身份;
步骤3.3.2)访问控制器利用TAEP的Request分组和Response分组来向策略管理器获取内TAEP鉴别方法类型,如:TAEP-PAI;
步骤3.3.2.1)访问控制器向策略管理器发送TAEP的Request分组,其中Type字段的值为TPAuthentication,Type-Data字段中包含访问请求者和访问控制器的内TAEP鉴别方法身份;
步骤3.3.2.2)策略管理器向访问控制器发送TAEP的Response分组,其中Type字段对应步骤3.3.2.1)中TAEP的Request分组中的Type字段,Type-Data字段中包含内TAEP鉴别方法类型;
步骤3.3.3)访问控制器选取一种内TAEP鉴别方法与访问请求者、策略管理器执行内TAEP鉴别方法过程;
步骤3.3.3.1)访问控制器与访问请求者之间、访问控制器与策略管理器之间交互一系列TAEP的Request分组和Response分组,直到内TAEP鉴别方法过程完成。对于访问控制器与访问请求者之间交互的一系列TAEP的Request分组和Response分组,其中Type字段的值为步骤3.1)中的隧道TAEP鉴别方法类型,Type-Data字段的值为内TAEP鉴别方法包。内TAEP鉴别方法包的Type字段的值为步骤3.3.3)中访问控制器选取的一种内TAEP鉴别方法类型,Type-Data字段中包含Type字段的值对应的内TAEP鉴别方法消息,如:包含平台鉴别协议消息;
步骤4)访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程;
步骤4.1)若在步骤3)中访问控制器成功鉴别访问请求者,如:成功鉴别请求者的用户身份、平台身份和平台完整性,则向访问请求者发送TAEP的Success分组;
步骤4.2)若在步骤3)中访问控制器不能成功鉴别访问请求者,则向访问请求者发送TAEP的Failure分组。
在步骤3.2)中,隧道方法可以为一个三方鉴别协议,如:由中国无线局域网标准中的WAI(Wide Authentication Infrastructure,普适的鉴别基础设施)协议中的证书鉴别过程和单播密钥协商过程,TLS(Transport Layer Security,安全传输层协议)中的密码套件协商过程和除TLS握手协议外的TLS共同构成,称为ETLS(Enhanced TLS,增强安全传输协议)。若步骤3.2)执行该隧道方法,则步骤3.1)访问控制器选取的隧道TAEP鉴别方法类型为TAEP-TETLS。
在步骤3.3.2)中,访问控制器还可以利用TAEP的Request分组和Response分组来向策略管理器获取内TAEP鉴别方法的策略数据。
其中,步骤2)和步骤3.3.2)是都是可选的步骤。
本发明还提供了一种适合可信连接架构的网络传输系统,该系统包括鉴别访问控制器、请求者以及鉴别服服务器;鉴别访问控制器利用TAEP的请求分组和请求响应分组来获取请求者的隧道TAEP鉴别方法身份;鉴别访问控制器选取隧道三元鉴别可扩展协议TAEP鉴别方法与请求者、鉴别服服务器执行隧道TAEP鉴别方法过程;鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程。

Claims (12)

1.一种适合可信连接架构的网络传输方法,其特征在于:所述适合可信连接架构的网络传输方法包括以下步骤:
1)鉴别访问控制器利用TAEP的请求分组和请求响应分组来获取请求者的隧道TAEP鉴别方法身份;
3)鉴别访问控制器选取隧道三元鉴别可扩展协议TAEP鉴别方法与请求者、鉴别服务器执行隧道TAEP鉴别方法过程;
4)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程。
2.根据权利要求1所述的适合可信连接架构的网络传输方法,其特征在于:所述步骤3)的具体实现方式是:
3.1)鉴别访问控制器向请求者发送TAEP的请求分组,所述请求分组中Type字段的值为鉴别访问控制器选取的隧道TAEP鉴别方法类型,Type-Data字段的值为隧道TAEP鉴别方法启动标识;
3.2)请求者和鉴别访问控制器之间交互一系列TAEP的请求分组和请求响应分组,其中Type字段的值为步骤3.1)中的隧道TAEP鉴别方法类型,Type-Data字段的值为Type字段的值对应的隧道方法消息,直至建立请求者和鉴别访问控制器之间的安全隧道;
3.3)请求者、鉴别访问控制器和鉴别服务器在步骤3.2)中建立的安全隧道中执行内TAEP鉴别方法。
3.根据权利要求1所述的适合可信连接架构的网络传输方法,其特征在于:所述步骤3)的具体实现方式是:
3.1)鉴别访问控制器向请求者发送TAEP的请求分组,所述请求分组中Type字段的值为鉴别访问控制器选取的隧道TAEP鉴别方法类型,Type-Data字段的值为隧道TAEP鉴别方法启动标识;
3.2)若隧道方法是一个三方鉴别协议,访问请求者和访问控制器之间交互一系列TAEP的Request分组和Response分组,其中Type字段的值为步骤3.1)中的隧道TAEP鉴别方法类型,Type-Data字段的值为Type字段的值对应的隧道方法消息;同时,鉴别访问控制器和鉴别服务器之间交互一系列TAEP的请求分组和请求响应分组,其中Type字段的值为步骤3.1)中的隧道TAEP鉴别方法类型,Type-Data字段的值为Type字段的值对应的隧道方法消息,直至建立请求者和鉴别访问控制器之间的安全隧道;
3.3)请求者、鉴别访问控制器和鉴别服务器在步骤3.2)中建立的安全隧道中执行内TAEP鉴别方法。
4.根据权利要求2或3所述的适合可信连接架构的网络传输方法,其特征在于:所述步骤3.3)的具体实现方式包括:
3.3.1)鉴别访问控制器利用TAEP的请求分组和请求响应分组来获取请求者的内TAEP鉴别方法身份;
3.3.3)鉴别访问控制器选取一种内TAEP鉴别方法与请求者、鉴别服务器执行内TAEP鉴别方法过程:
所述鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一系列TAEP的请求分组和请求响应分组,直到内TAEP鉴别方法过程完成;所述鉴别访问控制器与请求者之间交互的一系列TAEP的请求分组和请求响应分组,其中Type字段的值为步骤3.1)中的隧道TAEP鉴别方法类型,Type-Data字段的值为内TAEP鉴别方法包;所述内TAEP鉴别方法包的Type字段的值为步骤3.3.3)中鉴别访问控制器选取的一种内TAEP鉴别方法类型,Type-Data字段中包含Type字段的值对应的内TAEP鉴别方法消息。
5.根据权利要求4所述的适合可信连接架构的网络传输方法,其特征在于:所述步骤3.3)的具体实现方式还包括:
3.3.2)鉴别访问控制器利用TAEP的请求分组和请求响应分组来向鉴别服务器获取内TAEP鉴别方法类型或鉴别访问控制器利用TAEP的请求分组和请求响应分组来向鉴别服务器获取内TAEP鉴别方法的策略数据。
6.根据权利要求5所述的适合可信连接架构的网络传输方法,其特征在于:所述步骤3.3.1)的具体实现方式是:
3.3.1.1)鉴别访问控制器向请求者发送TAEP的请求分组,所述请求分组中Type字段的值为步骤3.1)中的隧道TAEP鉴别方法类型,Type-Data字段的值为利用步骤32)中建立的安全隧道进行保护的内TAEP鉴别方法包;所述内TAEP鉴别方法包的Code字段的值为Request,Type字段的值为Identity;
3.3.1.2)请求者向鉴别访问控制器发送TAEP的请求响应分组,所述请求响应分组中Type字段对应步骤3.1)中TAEP的请求分组中的Type字段,Type-Data字段的值为利用步骤3.2)中建立的安全隧道进行保护的内TAEP鉴别方法包;所述内TAEP鉴别方法包的Code字段的值为Response,Type字段对应步骤3.3.1.1)中内TAEP鉴别方法包的请求分组中的Type字段,Type-Data字段中包含请求者的内TAEP鉴别方法身份。
7.根据权利要求6所述的适合可信连接架构的网络传输方法,其特征在于:所述步骤3.3.2)的具体实现方式是:
3.3.2.1)鉴别访问控制器向鉴别服务器发送TAEP的请求分组,所述请求分组中Type字段的值为TPAuthentication,Type-Data字段中包含请求者和鉴别访问控制器的内TAEP鉴别方法身份;
3.3.2.2)鉴别服务器向鉴别访问控制器发送TAEP的请求响应分组,所述请求响应中Type字段对应步骤3.3.2.1)中TAEP的请求分组中的Type字段,Type-Data字段中包含内TAEP鉴别方法类型。
8.根据权利要求7所述的适合可信连接架构的网络传输方法,其特征在于:所述步骤4)的具体实现方式是:
4.1)若在步骤3)中鉴别访问控制器成功鉴别请求者,则向请求者发送TAEP的Success分组;
4.2)若在步骤3)中鉴别访问控制器不能成功鉴别请求者,则向请求者发送TAEP的Failure分组。
9.根据权利要求8所述的适合可信连接架构的网络传输方法,其特征在于:所述适合可信连接架构的网络传输方法还包括:
2)鉴别访问控制器利用TAEP的请求分组和请求响应分组来向鉴别服务器获取隧道TAEP鉴别方法类型。
10.根据权利要求9所述的适合可信连接架构的网络传输方法,其特征在于:所述步骤1)的具体实现方式是:
1.1)鉴别访问控制器向请求者发送TAEP的请求分组,所述请求分组中Type字段的值为Identity;
1.2)请求者向鉴别访问控制器发送TAEP的请求响应分组,所述请求响应分组中Type字段对应步骤1.1)中TAEP的请求分组中的Type字段,Type-Data字段中包含请求者的TAEP鉴别方法身份。
11.根据权利要求10所述的适合可信连接架构的网络传输方法,其特征在于:所述步骤2)的具体实现方式是:
2.1)鉴别访问控制器向鉴别服务器发送TAEP的请求分组,所述请求分组中Type字段的值为TPAuthentication,Type-Data字段中包含请求者和鉴别访问控制器的隧道TAEP鉴别方法身份;
2.2)鉴别服务器向鉴别访问控制器发送TAEP的请求响应分组,所述请求响应中Type字段对应步骤2.1)中TAEP的请求分组中的Type字段,Type-Data字段中包含隧道TAEP鉴别方法类型。
12.一种适合可信连接架构的网络传输系统,其特征在于:所述适合可信连接架构的网络传输系统包括鉴别访问控制器、请求者以及鉴别服服务器;所述鉴别访问控制器利用TAEP的请求分组和请求响应分组来获取请求者的隧道TAEP鉴别方法身份;所述鉴别访问控制器选取隧道三元鉴别可扩展协议TAEP鉴别方法与请求者、鉴别服服务器执行隧道TAEP鉴别方法过程;所述鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程。
CN 201010546589 2010-11-10 2010-11-17 一种适合可信连接架构的网络传输方法及系统 Pending CN102006291A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 201010546589 CN102006291A (zh) 2010-11-10 2010-11-17 一种适合可信连接架构的网络传输方法及系统

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201010538788.3 2010-11-10
CN201010538788 2010-11-10
CN 201010546589 CN102006291A (zh) 2010-11-10 2010-11-17 一种适合可信连接架构的网络传输方法及系统

Publications (1)

Publication Number Publication Date
CN102006291A true CN102006291A (zh) 2011-04-06

Family

ID=43813362

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 201010546589 Pending CN102006291A (zh) 2010-11-10 2010-11-17 一种适合可信连接架构的网络传输方法及系统

Country Status (2)

Country Link
CN (1) CN102006291A (zh)
WO (1) WO2012062129A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114024767A (zh) * 2021-11-25 2022-02-08 郑州信大信息技术研究院有限公司 密码定义网络安全体系构建方法、体系架构及数据转发方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101707621A (zh) * 2009-12-11 2010-05-12 西安西电捷通无线网络通信有限公司 一种适合三元对等鉴别可信网络连接架构的网络传输方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572704B (zh) * 2009-06-08 2012-05-23 西安西电捷通无线网络通信股份有限公司 一种适合三元对等鉴别可信网络连接架构的访问控制方法
CN101662410B (zh) * 2009-09-22 2012-07-04 西安西电捷通无线网络通信股份有限公司 一种基于隧道技术的三元鉴别可扩展方法及其系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101707621A (zh) * 2009-12-11 2010-05-12 西安西电捷通无线网络通信有限公司 一种适合三元对等鉴别可信网络连接架构的网络传输方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114024767A (zh) * 2021-11-25 2022-02-08 郑州信大信息技术研究院有限公司 密码定义网络安全体系构建方法、体系架构及数据转发方法

Also Published As

Publication number Publication date
WO2012062129A1 (zh) 2012-05-18

Similar Documents

Publication Publication Date Title
Dhillon et al. A lightweight biometrics based remote user authentication scheme for IoT services
WO2022052493A1 (zh) 基于5g的物联网设备的接入方法、系统及存储介质
Zhao et al. A novel mutual authentication scheme for Internet of Things
US8255977B2 (en) Trusted network connect method based on tri-element peer authentication
JP5248621B2 (ja) 3値同等識別に基づく、信頼されているネットワークアクセス制御システム
CN112073379A (zh) 一种基于边缘计算的轻量级物联网安全密钥协商方法
US8826368B2 (en) Platform authentication method suitable for trusted network connect architecture based on tri-element peer authentication
RU2437228C2 (ru) Система доверительного сетевого подключения для улучшения безопасности
CN110267270B (zh) 一种变电站内传感器终端接入边缘网关身份认证方法
US8751791B2 (en) Method and device for confirming authenticity of a public key infrastructure (PKI) transaction event
WO2009109136A1 (zh) 一种实用的基于可信第三方的实体双向鉴别方法
JP2013502762A (ja) 有線lanのセキュリティアクセス制御方法及びそのシステム
KR101434614B1 (ko) 3-요소 피어 인증 기반의 신뢰성 있는 네트워크 연결 구조를 위한 액세스 제어 방법
CN111901116B (zh) 一种基于eap-md5改进协议的身份认证方法及系统
CN112733129B (zh) 一种服务器带外管理的可信接入方法
WO2011020279A1 (zh) 一种基于公钥证书的身份鉴别方法及其系统
AU2020102146A4 (en) Defence method to avoid automated attacks in iot networks using physical unclonable function (puf) based mutual authentication protocol
CN102185868B (zh) 基于可扩展认证协议的认证方法、系统和设备
WO2023236551A1 (zh) 一种面向蜂窝基站的去中心化可信接入方法
WO2011109959A1 (zh) 一种适合可信连接架构的平台鉴别实现方法及系统
Jain et al. Lightweight, secure, efficient, and dynamic scheme for mutual authentication of devices in Internet‐of‐Things‐Fog environment
WO2011015007A1 (zh) 一种安全的远程证明方法
Prakash et al. Authentication protocols and techniques: a survey
WO2011069355A1 (zh) 一种适合三元对等鉴别可信网络连接架构的网络传输方法
Zhang et al. A systematic approach to formal analysis of QUIC handshake protocol using symbolic model checking

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C12 Rejection of a patent application after its publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20110406