ES2667530T3 - Método de control de acceso entre iguales basado en puertos - Google Patents

Método de control de acceso entre iguales basado en puertos Download PDF

Info

Publication number
ES2667530T3
ES2667530T3 ES06705669.7T ES06705669T ES2667530T3 ES 2667530 T3 ES2667530 T3 ES 2667530T3 ES 06705669 T ES06705669 T ES 06705669T ES 2667530 T3 ES2667530 T3 ES 2667530T3
Authority
ES
Spain
Prior art keywords
authentication
port
subsystem
entity
controlled
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES06705669.7T
Other languages
English (en)
Inventor
Xiaolong Lai
Jun Cao
Bianling Zhang
Zhenhai Huang
Hong Guo
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=34894446&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=ES2667530(T3) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Application granted granted Critical
Publication of ES2667530T3 publication Critical patent/ES2667530T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Un método de control de acceso de iguales basado en puerto se caracteriza porque dicho método incluye: 1) Iniciar entidades de control de autenticación, donde cada uno de dos sistemas incluye una entidad de control de autenticación, donde la respectiva entidad de control de autenticación de cada sistema es iniciada en primer lugar cuando los dos sistemas han de comunicar; cada entidad de control de autenticación tiene una identidad única para autenticación, e incluye un subsistema de autenticación, así como dos puertos incluyendo un puerto controlado y otro no controlado que conectan el subsistema de autenticación y un medio de transmisión; cada dicho subsistema de autenticación incluye la función de implementación de autenticación y control de puerto, dicho subsistema de autenticación está conectado al puerto no controlado, el cambio de estado del puerto controlado es controlado por el subsistema de autenticación; 2) Dos entidades de control de autenticación se autentican una a otra, donde las dos entidades de control de autenticación comunican a través de los puertos no controlados, y sus subsistemas de autenticación se autentican uno a otro, los subsistemas de autenticación realizan la función de autenticación por sí mismos, o conjuntamente con una entidad servidora de autenticación que proporciona información necesaria para la autenticación a los subsistemas de autenticación; 3) Establecer el estado del puerto controlado, donde, si la autenticación es exitosa, el subsistema de autenticación pone el estado del puerto controlado como autenticado; de otro modo, el subsistema pone el estado del puerto controlado como no autenticado, el puerto controlado todavía permanece abierto.

Description

5
10
15
20
25
30
35
40
45
50
55
60
DESCRIPCION
Método de control de acceso entre iguales basado en puertos Campo de la invención
La presente invención se refiere a una técnica de red, en particular a un método de control de acceso de iguales basado en puerto.
Antecedentes
El control de acceso a red implica en general tres sistemas: usuario, punto de acceso y servidor de fondo que controla de forma central tanto el usuario como el punto de acceso. IEEE 802.1x se denomina protocolo de control de acceso a red basado en puerto. En las redes de cable de la técnica anterior, además del tradicional método de control de acceso a navegador web y protocolo punto a punto por Ethernet, los métodos de acceso emergentes se basan en la técnica de IEEE 802.1x. La técnica de IEEE 802.1x tiene ventajas como la separación de control y servicio, alta flexibilidad, fuerte adaptabilidad, y ha tenido amplio uso en varias redes. La técnica de IEEE 802.1x ha sido adoptada por varias redes inalámbricas, tal como LAN inalámbrica (IEEE 802.11, MAN inalámbrica (IEEE 802.16e), etc.
La autenticación es la clave del control de acceso a red, cuya finalidad es establecer confianza, que es la base de la provisión del servicio de red, entre el usuario y el punto de acceso. Se necesita un mecanismo de seguridad para habilitar la autenticación mutua entre la red y el usuario ya se use acceso a red de cable o acceso a red inalámbrica.
IEEE 802.1X es un método que implementa la autenticación en la capa de enlace, y es una técnica basada en puerto. Un puerto de sistema proporciona un método por el que el sistema es habilitado para acceder a los servicios de otros sistemas y proporcionar servicios a otros sistemas.
IEEE 802.1X define tres tipos de entidades:
Autenticador: la entidad de control de puerto de un sistema autentica y autoriza al solicitante antes de que se permita el acceso a los servicios proporcionados por el sistema. El sistema se denomina un sistema de autenticador; su entidad de control de puerto se denomina un autenticador.
Solicitante: un sistema que pide acceso a los servicios proporcionados por un sistema de autenticador se denomina un sistema solicitante, cuya entidad de control de puerto se denomina solicitante.
Servidor de autenticación: un servidor de autenticación es la entidad que representa al autenticador para identificar la cualificación del solicitante, determina si el sistema solicitante puede ser autorizado para que acceda a los servicios proporcionados por el autenticador. Como se expone en IEEE 802.1X-2004, cláusula 6.3, el servidor de autenticación realiza la función de autenticación necesaria para comprobar las credenciales del solicitante en nombre del autenticador e indica si el solicitante está autorizado para acceder al servicio del autenticador.
Un sistema de autenticador tiene dos puntos de acceso al medio de transmisión. Un punto de acceso se denomina puerto controlado, que tiene dos estados: autenticado y no autenticado, y permite el paso de paquetes solamente cuando está en el estado autenticado; el otro punto de acceso se llama puerto no controlado, que permite el paso de paquetes independientemente de su estado.
La relación entre las entidades funcionales de IEEE 802.1X se representa en la figura 1.
IEEE 802.1X proporciona solamente una estructura para autenticación, que se usa en combinación con el protocolo de autenticación extensible para proporcionar autenticación y negociación de clave en la práctica. IEEE 802.1X tiene una estructura asimétrica, la funcionalidad difiere en gran medida en el solicitante y el autenticador. No hay función de autenticación en el autenticador. Por lo tanto, la autenticación se realiza entre el solicitante y el servidor de autenticación. Aunque el servidor de autenticación y el autenticador pueden implementarse en un solo sistema, la ventaja de IEEE 802.1X, es decir, el control central por el autenticador, se reduciría en gran medida. Actualmente es práctica común que el servidor de autenticación y el autenticador se implementen en sistemas separados. En IEEE 802.1X-2004, cláusula 6.3, nota 3, se expone que, aunque es posible la posición conjunta del servidor de autenticación con un autenticador, la implementación más común de este mecanismo implicará probablemente el uso de un servidor de autenticación que sea externo a los sistemas que contienen los autenticadores.
Durante la autenticación, el servidor de autenticación pasa directamente el resultado de la autenticación al autenticador. Si también se requiere negociación de clave, deberá realizarse entre el servidor de autenticación y el solicitante, y luego la clave negociada es enviada por el servidor de autenticación al solicitante, el solicitante y el
5
10
15
20
25
30
35
40
45
50
55
60
65
autenticador realizan autenticación y negociación de clave en base a clave compartida dinámica. Por lo tanto, las desventajas de IEEE 802.1X son las siguientes:
1. La estructura de IEEE 802.1X es asimétrica, la funcionalidad difiere en gran medida en el solicitante y el autenticador. El autenticador no tiene función de autenticación, que se realiza entre el solicitante y el servidor de autenticación. Aunque el servidor de autenticación y el autenticador pueden implementarse en un solo sistema, la ventaja de IEEE 802.1X, es decir, el control central por el autenticador, se reduciría en gran medida.
2. Pobre extensibilidad. Hay un canal de seguridad predefinido entre cada autenticador y el servidor de autenticación. Los recursos requeridos del sistema del servidor de autenticación aumentan y la gestión es más compleja con el número creciente de canales de seguridad, de modo que no es adecuado configurar un lote de canales de seguridad, la escalabilidad de red es limitada.
3. Proceso complicado de negociación de clave. La clave se usa para protección de datos entre el solicitante y el autenticador, pero es necesario que la negociación se realice en primer lugar entre el solicitante y el servidor de autenticación antes de que pueda realizarse entre el solicitante y el autenticador.
4. Se introducen nuevos puntos de ataque de modo que la seguridad disminuye. El servidor de autenticación pasa al autenticador la clave primaria negociada por el solicitante y el servidor de autenticación. Pasando la clave por la red se introducen nuevos puntos de ataque a la seguridad.
5. El autenticador no tiene identidad independiente. Con respecto al solicitante, la identidad de los autenticadores gestionada por el mismo servidor de autenticación no es distinguible. Hay que añadir entidades funcionales adicionales en entornos de aplicación cuando hay que distinguir los autenticadores, lo que introduce complejidad adicional.
Contenido de la invención
El objeto de la invención es superar los defectos existentes en la técnica anterior, proporcionar un método de control de acceso de iguales cambiando la estructura asimétrica de la técnica anterior. El método de la invención puede satisfacer los requisitos de gestión central, así como resolver los problemas técnicos del método de control de acceso a red de la técnica anterior, incluyendo un proceso complicado, pobre seguridad, pobre escalabilidad, de modo que proporciona una garantía esencial para la seguridad del acceso a red.
La solución técnica de la invención es un método de control de acceso de iguales basado en puerto, que incluye:
1) Iniciar entidades de control de autenticación, donde cada uno de dos sistemas incluye una entidad de control de autenticación, donde la respectiva entidad de control de autenticación de cada sistema es iniciada en primer lugar cuando los dos sistemas han de comunicar; cada dicha entidad de control de autenticación tiene una identidad única para autenticación, e incluye un subsistema de autenticación y dos puntos de acceso o puertos que conectan el subsistema de autenticación y el medio de transmisión; dichos dos puntos de acceso o puertos incluyen un puerto controlado y un puerto no controlado; cada dicho subsistema de autenticación incluye la función de implementación de autenticación y control de puerto, dicho subsistema de autenticación está conectado al puerto no controlado, el cambio del estado del puerto controlado es controlado por el subsistema de autenticación;
2) Dos entidades de control de autenticación se autentican una a otra, donde las dos entidades de control de autenticación comunican a través de los puertos no controlados, y sus subsistemas de autenticación se autentican uno a otro, los subsistemas de autenticación realizan la función de autenticación por sí mismos, o conjuntamente con una entidad servidora de autenticación que proporciona la información necesaria para autenticación a los subsistemas de autenticación;
3) Establecimiento del estado del puerto controlado, donde, si la autenticación es exitosa, el subsistema de autenticación pone el estado del puerto controlado como autenticado; de otro modo, el subsistema pone el estado del puerto controlado como no autenticado, el puerto controlado todavía permanece abierto.
El método anterior puede incluir además:
Habilitar la entidad servidora de autenticación: el usuario y el punto de acceso habilitan en primer lugar la entidad de control de autenticación y la entidad servidora de autenticación, mientras han de comunicar; dicha entidad servidora de autenticación guarda la información de gestión de seguridad relacionada con la entidad de control de autenticación; dicha entidad servidora de autenticación está conectada al subsistema de autenticación de dicha entidad de control de autenticación, la entidad servidora de autenticación comunica la información de gestión de seguridad con el subsistema de autenticación de la entidad de control de autenticación, para proporcionar la información necesaria para autenticación; dicho subsistema de autenticación completa el proceso de autenticación con o sin la asistencia de la entidad servidora de autenticación, o completa la negociación de clave por sí mismo.
3
5
10
15
20
25
30
35
40
45
50
55
60
65
La entidad servidora de autenticación anterior guarda la información de atributos de la entidad de control de autenticación, y transmite tal información de atributos a la entidad de control de autenticación.
El método anterior puede incluir además:
Dos subsistemas de autenticación que negocian la clave: dicho subsistema de autenticación incluye la función de negociación de clave, la negociación de clave puede ser realizada durante o después del proceso de autenticación mientras dichas dos entidades de control de autenticación se autentica una a otra; si la negociación de clave se ha de hacer independientemente después de terminar la autenticación, la harían las dos entidades de control de autenticación propiamente dichas.
Si la negociación de clave anterior se completa simultáneamente con la autenticación durante el proceso de autenticación, el subsistema de autenticación puede completar el proceso de negociación de clave con la asistencia de la entidad servidora de autenticación, o completar la negociación de clave por sí mismo.
La entidad servidora de autenticación anterior guarda la información de atributos de la entidad de control de autenticación, y transmite tal información de atributos a la entidad de control de autenticación.
El método anterior puede incluir además:
Poner el estado del puerto controlado: después de que la autenticación y el proceso de negociación de clave finalizan satisfactoriamente, el subsistema de autenticación pone el estado del puerto controlado como autenticado, el estado del puerto controlado cambia de abierto a cerrado, permitiendo el paso de paquetes; si la autenticación y el proceso de negociación de clave no son exitosos, el subsistema de autenticación pone el estado del puerto controlado como no autenticado, el puerto controlado todavía permanece abierto.
La entidad de control de autenticación anterior y la entidad servidora de autenticación pueden implementarse en un solo sistema o en sistemas separados; dicho solo sistema puede incluir una o varias entidades de control de autenticación.
Las ventajas de la invención son las siguientes:
1. Control de iguales. El método de la presente invención tiene dos sistemas (generalmente uno es el usuario y el otro es el punto de acceso) que incluyen una entidad de control de autenticación, de modo que los dos sistemas pueden autenticar directamente, es decir, iguales, para proporcionar un soporte más potente de la función de autenticación.
2. Las entidades de control de autenticación son distinguibles. La entidad de control de autenticación tiene identidad independiente, y no está simplemente bajo el control del servidor de autenticación. La identidad independiente de la entidad de control de autenticación permite no depender de la entidad servidora de autenticación esencialmente, y así la entidad de control de autenticación propiamente dicha puede distinguirse.
3. Buena extensibilidad. No hay ningún canal de seguridad predefinido existente entre la entidad de control de autenticación y la entidad servidora de autenticación, y así se facilita el control central por la entidad servidora de autenticación para las entidades de control de autenticación y se puede lograr buena extensibilidad.
4. Buena seguridad. La entidad de control de autenticación puede negociar directamente la clave con otras entidades de control de autenticación, y así recupera el carácter directo de la negociación de clave, simplifica la implementación de red, y mejora la seguridad.
5. Proceso simple de negociación de clave. La entidad de control de autenticación puede negociar directamente la clave con otras entidades de control de autenticación, reduciendo así la complejidad y mejorando la eficiencia de la negociación de clave.
6. Sistema relativamente completo. La entidad servidora de autenticación es el gestor de seguridad de la entidad de control de autenticación, e incluye la función de gestión de clave de la técnica de autenticación. Las entidades de la invención forman conjuntamente un sistema seguro completo, y completan independientemente las funciones de autenticación y negociación de clave.
7. Alta flexibilidad. Las entidades servidoras de autenticación pueden proporcionar un lote de funciones adicionales para lograr alta flexibilidad.
8. Implementación flexible. No hay que implementar las entidades funcionales definidas por la invención en diferentes sistemas de red, un sistema de red puede implementar una o varias entidades funcionales. Como se representa en la figura 3, la entidad de control de autenticación y la entidad servidora de autenticación pueden
4
5
10
15
20
25
30
35
40
45
50
55
60
implementarse en el mismo sistema de red. Mientras tanto, no es preciso que una entidad servidora de autenticación corresponda a una entidad de control de autenticación, mientras que una entidad servidora de autenticación puede corresponder y gestionar un número de entidades de control de autenticación. Como se representa en la figura 4, la entidad de control de autenticación 1 comunica con la entidad servidora de autenticación a través del puerto no controlado de la entidad de control de autenticación 2.
Descripción de los dibujos
La figura 1 es el diagrama para la relación de conexión entre las entidades funcionales de IEEE 802.1X.
La figura 2 es el diagrama para la relación de conexión entre las entidades funcionales de la invención.
La figura 3 es el diagrama esquemático de una realización en la que la entidad servidora de autenticación y la entidad de control de autenticación se implementan en un solo sistema.
La figura 4 es el diagrama esquemático de una realización en el que una entidad servidora de autenticación corresponde a un número de entidades de control de autenticación.
Realizaciones
La invención incluye las dos entidades siguientes:
1) Entidad de control de autenticación:
La entidad de control de autenticación incluye dos puertos conectados al medio de transmisión. Un puerto se denomina el puerto controlado, que tiene dos estados: el estado autenticado y el estado no autenticado. Permite el paso de paquetes solamente si está en el estado autenticado. El otro puerto se llama puerto no controlado, que siempre permite el paso de paquetes independientemente de su estado. El puerto controlado y el puerto no controlado de la entidad de control de autenticación reciben simultáneamente los paquetes del medio de transmisión subyacente.
La entidad de control de autenticación incluye un subsistema de autenticación, que implementa las funciones de seguridad, incluyendo funciones de seguridad tales como autenticación, negociación de clave, así como funciones de control de puerto. El subsistema de autenticación está conectado al puerto no controlado, el cambio de estado del puerto controlado es controlado por el subsistema de autenticación.
La entidad de control de autenticación tiene una identidad única para autenticación, y así puede implementar la función de autenticación independientemente.
2) Entidad servidora de autenticación:
La entidad servidora de autenticación guarda la información de gestión de seguridad relacionada con la entidad de control de autenticación, y conecta con el subsistema de autenticación de la entidad de control de autenticación. Mientras la entidad de control de autenticación y otras entidades de control de autenticación están autenticando, la entidad servidora de autenticación comunica la información de gestión de seguridad con el subsistema de autenticación de la entidad de control de autenticación para proporcionar la información necesaria para autenticación, pero la entidad servidora de autenticación no completa la autenticación que presenta a la entidad de control de autenticación. La entidad servidora de autenticación también guarda la información de atributos de la entidad de control de autenticación, y transmite la información de atributos a la entidad de control de autenticación según los requisitos de aplicación.
La relación entre la entidad de control de autenticación y la entidad servidora de autenticación se ilustra en la figura 2.
Un proceso del método de control de acceso de iguales de la invención incluye:
1) Iniciar la entidad de control de autenticación: el usuario y el punto de acceso deben iniciar en primer lugar la entidad de control de autenticación cuando han de comunicar.
2) Dos entidades de control de autenticación se autentican una a otra: dos entidades de control de autenticación comunican a través del puerto no controlado, sus subsistemas de autenticación se autentican uno a otro. El subsistema de autenticación puede completar el proceso de autenticación por sí mismo, sin la asistencia de la entidad servidora de autenticación.
5
10
15
20
25
30
35
40
45
50
55
60
65
3) Dos entidades de control de autenticación negocian la clave: si dos entidades de control de autenticación tienen que negociar la clave, la negociación de clave puede completarse simultáneamente con la autenticación en el proceso de autenticación, o puede realizarse independientemente después de finalizar el proceso de autenticación. Si la negociación de clave se ha de realizar independientemente después de finalizar la autenticación, la negociación de clave la completarían independientemente las dos entidades de control de autenticación, sin necesidad de implicar a la entidad servidora de autenticación.
4) Poner el estado del puerto controlado: si la autenticación y la negociación de clave son exitosas, el subsistema de autenticación pone el estado del puerto controlado como autenticado, el estado del puerto controlado pasa de abierto a cerrado, permitiendo el paso de paquetes; o en otro caso, el subsistema de autenticación pone el estado del puerto controlado como no autenticado, el puerto controlado todavía permanece abierto.
Otro proceso del método de control de acceso de iguales de la invención incluye:
1) Iniciar la entidad de control de autenticación y la entidad servidora de autenticación: tanto el usuario como el punto de acceso deben iniciar en primer lugar la entidad de control de autenticación y la entidad servidora de autenticación antes de que hayan de comunicar.
2) Dos entidades de control de autenticación se autentican una a otra: dos entidades de control de autenticación comunican a través del puerto no controlado, sus subsistemas de autenticación se autentican uno a otro. El subsistema de autenticación puede completar el proceso de autenticación con la asistencia de la entidad servidora de autenticación, o completar el proceso de autenticación por sí mismo.
3) Dos entidades de control de autenticación negocian la clave: si dos entidades de control de autenticación tienen que negociar la clave, la negociación de clave puede completarse simultáneamente con la autenticación en el proceso de autenticación, o puede realizarse independientemente después del proceso de autenticación. Si la negociación de clave se ha de realizar independientemente después de finalizar la autenticación, la negociación de clave la completarían independientemente las dos entidades de control de autenticación, sin necesidad de implicar a la entidad servidora de autenticación.
4) Establecimiento del estado del puerto controlado: si la autenticación y la negociación de clave son exitosas, el subsistema de autenticación pone el estado del puerto controlado como autenticado, el estado del puerto controlado pasa de abierto a cerrado, permitiendo el paso de paquetes; de otro modo, el subsistema de autenticación pone el estado del puerto controlado como no autenticado, el puerto controlado todavía permanece abierto.
La relación entre la entidad de control de autenticación y la entidad servidora de autenticación se representa en la figura 2.
El principio de la invención es el siguiente:
Teniendo tanto el usuario como el punto de acceso como un sistema e incluyendo ambos una entidad de control de autenticación, el usuario y el punto de acceso pueden autenticar directamente, es decir, control de acceso de iguales, proporcionando un soporte más potente para la función de autenticación. La entidad de control de autenticación tiene identidad independiente, y no está simplemente bajo el control de la entidad servidora de autenticación. La identidad independiente de la entidad de control de autenticación permite no depender esencialmente de la entidad servidora de autenticación, y así la entidad de control de autenticación propiamente dicha es distinguible. La entidad de control de autenticación puede negociar directamente la clave con otras entidades de control de autenticación, y así recupera el carácter directo de la negociación de clave. La entidad servidora de autenticación es el gestor de seguridad de la entidad de control de autenticación, e incluye la función de gestión de clave de la técnica de autenticación. Las entidades de la invención forman conjuntamente un sistema seguro completo, y completan independientemente las funciones de autenticación y negociación de clave.
En la práctica, tanto el usuario como el punto de acceso logran autenticación a través de la entidad de control de autenticación en el control de acceso a red.
El glosario técnico usado en la invención es el siguiente:
IEEE 802.1X: Protocolo de control de acceso a red basado en puerto
PPPoE: Protocolo punto a punto por Ethernet
IEEE 802.11: LAN inalámbrica
IEEE 802.16e: MAN inalámbrica
Autenticador
Solicitante
5 Servidor de autenticación
EAP - Protocolo de autenticación extensible

Claims (8)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    REIVINDICACIONES
    1. Un método de control de acceso de iguales basado en puerto se caracteriza porque dicho método incluye:
    1) Iniciar entidades de control de autenticación, donde cada uno de dos sistemas incluye una entidad de control de autenticación, donde la respectiva entidad de control de autenticación de cada sistema es iniciada en primer lugar cuando los dos sistemas han de comunicar; cada entidad de control de autenticación tiene una identidad única para autenticación, e incluye un subsistema de autenticación, así como dos puertos incluyendo un puerto controlado y otro no controlado que conectan el subsistema de autenticación y un medio de transmisión; cada dicho subsistema de autenticación incluye la función de implementación de autenticación y control de puerto, dicho subsistema de autenticación está conectado al puerto no controlado, el cambio de estado del puerto controlado es controlado por el subsistema de autenticación;
    2) Dos entidades de control de autenticación se autentican una a otra, donde las dos entidades de control de autenticación comunican a través de los puertos no controlados, y sus subsistemas de autenticación se autentican uno a otro, los subsistemas de autenticación realizan la función de autenticación por sí mismos, o conjuntamente con una entidad servidora de autenticación que proporciona información necesaria para la autenticación a los subsistemas de autenticación;
    3) Establecer el estado del puerto controlado, donde, si la autenticación es exitosa, el subsistema de autenticación pone el estado del puerto controlado como autenticado; de otro modo, el subsistema pone el estado del puerto controlado como no autenticado, el puerto controlado todavía permanece abierto.
  2. 2. El método de control de acceso de iguales basado en puerto según la reivindicación 1 se caracteriza porque dicho método incluye dos entidades de control de autenticación que negocian la clave, donde dicho subsistema de autenticación incluye la función de negociación de clave, cuando dichas dos entidades de control de autenticación se autentican una a otra, la negociación de clave puede ser completada durante o después del proceso de autenticación; si la negociación de clave se ha de realizar independientemente después de finalizar la autenticación, la negociación de clave la completarían independientemente las dos entidades de control de autenticación.
  3. 3. El método de control de acceso de iguales basado en puerto según la reivindicación 2 se caracteriza porque, mientras se completa dicha negociación de clave simultáneamente con la autenticación en el proceso de autenticación, el subsistema de autenticación puede completar el proceso de negociación de clave con o sin la asistencia de la entidad servidora de autenticación, o completar el proceso de autenticación por sí mismo.
  4. 4. El método de control de acceso de iguales basado en puerto según la reivindicación 1 se caracteriza porque dicha entidad servidora de autenticación guarda la información de atributos de la entidad de control de autenticación, y transfiere dicha información de atributos a la entidad de control de autenticación.
  5. 5. El método de control de acceso de iguales basado en puerto según la reivindicación 1 se caracteriza porque dicho paso de poner el estado del puerto controlado es como sigue: cuando la autenticación es exitosa, el subsistema de autenticación pone el estado del puerto controlado como autenticado, mientras que el estado del puerto controlado se cambia de abierto a cerrado con el fin de permitir el paso de paquetes de datos; de otro modo, dicho subsistema de autenticación pone el puerto controlado como no autenticado, entonces el puerto controlado permanece abierto.
  6. 6. El método de control de acceso de iguales basado en puerto según la reivindicación 2 se caracteriza porque dicho paso de establecimiento del estado del puerto controlado es como sigue: dicha entidad servidora de autenticación guarda la información de atributos de la entidad de control de autenticación, y transfiere dicha información de atributos a la entidad de control de autenticación.
  7. 7. El método de control de acceso de iguales basado en puerto según la reivindicación 2 se caracteriza porque dicho método incluye establecer el estado del puerto controlado, donde, si la autenticación y la negociación de clave son exitosas, el subsistema de autenticación pone el estado del puerto controlado como autenticado, el estado del puerto controlado pasa de abierto a cerrado, permitiendo el paso de paquetes; o, en otro caso, el subsistema de autenticación pone el estado del puerto controlado como no autenticado, el puerto controlado todavía permanece abierto.
  8. 8. El método de control de acceso de iguales basado en puerto según la reivindicación 1 se caracteriza porque: dicha entidad de control de autenticación y la entidad servidora de autenticación pueden implementarse en un único sistema o en sistemas separados; dicho único sistema puede incluir una o varias entidades de control de autenticación.
ES06705669.7T 2005-02-21 2006-02-21 Método de control de acceso entre iguales basado en puertos Active ES2667530T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200510041713A CN1655504B (zh) 2005-02-21 2005-02-21 基于端口的对等访问控制方法
CN200510041713 2005-02-21
PCT/CN2006/000248 WO2006086931A1 (fr) 2005-02-21 2006-02-21 Methode de controle d'acces pair a pair basee sur les ports

Publications (1)

Publication Number Publication Date
ES2667530T3 true ES2667530T3 (es) 2018-05-11

Family

ID=34894446

Family Applications (1)

Application Number Title Priority Date Filing Date
ES06705669.7T Active ES2667530T3 (es) 2005-02-21 2006-02-21 Método de control de acceso entre iguales basado en puertos

Country Status (7)

Country Link
US (1) US8176325B2 (es)
EP (1) EP1858195B1 (es)
JP (1) JP5112884B2 (es)
KR (1) KR101218701B1 (es)
CN (1) CN1655504B (es)
ES (1) ES2667530T3 (es)
WO (1) WO2006086931A1 (es)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9038193B2 (en) * 1998-08-14 2015-05-19 Azos Al, Llc System and method of data cognition incorporating autonomous security protection
CN1655504B (zh) * 2005-02-21 2010-05-05 西安西电捷通无线网络通信有限公司 基于端口的对等访问控制方法
JP2008282298A (ja) * 2007-05-14 2008-11-20 Panasonic Corp システム管理作業承認システム、システム管理作業承認方法及びそのプログラム
CN100566252C (zh) * 2007-08-03 2009-12-02 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络连接系统
JP5078514B2 (ja) * 2007-09-10 2012-11-21 株式会社リコー 通信装置
CN100496025C (zh) 2007-11-16 2009-06-03 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络接入控制方法
CN101232378B (zh) 2007-12-29 2010-12-08 西安西电捷通无线网络通信股份有限公司 一种无线多跳网络的认证接入方法
CN101217811B (zh) * 2008-01-17 2010-06-02 西安西电捷通无线网络通信有限公司 一种宽带无线多媒体网络广播通信的安全传输方法
US8484705B2 (en) * 2008-04-25 2013-07-09 Hewlett-Packard Development Company, L.P. System and method for installing authentication credentials on a remote network device
KR101017972B1 (ko) * 2008-06-26 2011-03-02 삼성전자주식회사 이동통신 단말기에서 보안 연계 상태 동기화 장치 및 방법
CN101527718B (zh) 2009-04-16 2011-02-16 西安西电捷通无线网络通信股份有限公司 一种建立三元对等鉴别可信网络连接架构的方法
CN101540676B (zh) 2009-04-28 2012-05-23 西安西电捷通无线网络通信股份有限公司 一种适合三元对等鉴别可信网络连接架构的平台鉴别方法
EP2700255B1 (en) 2011-04-18 2018-02-21 Hewlett-Packard Development Company, L.P. Access control
US8909929B2 (en) * 2012-05-31 2014-12-09 Atmel Corporation Stored public key validity registers for cryptographic devices and systems
US9549024B2 (en) 2012-12-07 2017-01-17 Remote Media, Llc Routing and synchronization system, method, and manager
CN104168171B (zh) * 2014-08-12 2017-12-01 深信服科技股份有限公司 接入点的访问方法及装置
US20180013798A1 (en) * 2016-07-07 2018-01-11 Cisco Technology, Inc. Automatic link security

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6311218B1 (en) * 1996-10-17 2001-10-30 3Com Corporation Method and apparatus for providing security in a star network connection using public key cryptography
JP2000004433A (ja) * 1998-06-16 2000-01-07 Toshiba Corp データ処理装置および同装置に適用される認証処理方法
US6569316B2 (en) * 2000-04-17 2003-05-27 Exxonmobil Research And Engineering Company Cycle oil conversion process incorporating shape-selective zeolite catalysts
JP2002344438A (ja) 2001-05-14 2002-11-29 Nippon Telegr & Teleph Corp <Ntt> 鍵共有システム及び装置並びにプログラム
US7181530B1 (en) * 2001-07-27 2007-02-20 Cisco Technology, Inc. Rogue AP detection
US20040003247A1 (en) * 2002-03-11 2004-01-01 Fraser John D. Non-centralized secure communication services
PT1529374E (pt) * 2002-08-16 2006-12-29 Togewa Holding Ag Processo e sistema para autenticação gsm durante o roaming com wlan
CN1160875C (zh) 2002-09-06 2004-08-04 联想(北京)有限公司 一种无线设备间进行连接认证的方法
CN1142662C (zh) * 2002-10-16 2004-03-17 华为技术有限公司 同时支持基于不同设备网络接入认证的方法
CN100341305C (zh) * 2002-11-26 2007-10-03 华为技术有限公司 基于802.1x协议的组播控制方法
TWI249316B (en) * 2004-02-10 2006-02-11 Ind Tech Res Inst SIM-based authentication method for supporting inter-AP fast handover
US7447166B1 (en) * 2004-11-02 2008-11-04 Cisco Technology, Inc. Method to distribute IEEE 802.1X authenticated users among multiple broadcast domains
US8369830B2 (en) * 2004-12-30 2013-02-05 Telecom Italia S.P.A. Method and system for detecting attacks in wireless data communications networks
CN1655504B (zh) * 2005-02-21 2010-05-05 西安西电捷通无线网络通信有限公司 基于端口的对等访问控制方法

Also Published As

Publication number Publication date
EP1858195B1 (en) 2018-04-04
EP1858195A1 (en) 2007-11-21
JP5112884B2 (ja) 2013-01-09
CN1655504A (zh) 2005-08-17
WO2006086931A1 (fr) 2006-08-24
US20080288777A1 (en) 2008-11-20
EP1858195A4 (en) 2010-06-02
US8176325B2 (en) 2012-05-08
CN1655504B (zh) 2010-05-05
JP2008530698A (ja) 2008-08-07
KR101218701B1 (ko) 2013-01-07
KR20070122459A (ko) 2007-12-31

Similar Documents

Publication Publication Date Title
ES2667530T3 (es) Método de control de acceso entre iguales basado en puertos
JP4819328B2 (ja) セキュリティプロトコルの自動ネゴシエーションのためのシステムおよび方法
RU2444156C1 (ru) Способ управления доступом к защищенной сети на основе трехэлементной аутентификации одноранговых объектов
EP2317445B1 (en) Information processing apparatus and method, recording medium and program
JP3844762B2 (ja) Eponにおける認証方法及び認証装置
JP5178833B2 (ja) 三要素ピア認証に基づいた信頼されたネットワーク接続システム
US20040158735A1 (en) System and method for IEEE 802.1X user authentication in a network entry device
US8800007B1 (en) VPN session migration across clients
EP2617174B1 (en) Secure association
CN109075968A (zh) 用于安全设备认证的方法和装置
CN111314072B (zh) 一种基于sm2算法的可扩展身份认证方法和系统
BRPI0711702A2 (pt) delegação de credencial dirigida por polìtica para acess de assinatura única e seguro a recursos de rede
WO2021073147A1 (zh) 一种sdn节点间可信认证方法
WO2009015581A1 (fr) Procédé visant à obtenir une connexion de réseau fiable, reposant sur une authentification d&#39;homologues impliquant trois éléments
JP2005184835A5 (es)
US8719897B2 (en) Access control method for tri-element peer authentication credible network connection structure
TWI528842B (zh) 網路存取
WO2008074234A1 (fr) Système de contrôle d&#39;accès p2p faisant intervenir une structure à trois éléments et dispositif d&#39;autorisation associé
CN107528857A (zh) 一种基于端口的认证方法、交换机及存储介质
CN114584973A (zh) 一种MACsec通道建立方法、网络设备以及系统
WO2019000599A1 (zh) 一种动态虚拟专用网络建立方法及装置
TWI473481B (zh) 通訊傳輸系統和方法
Kumpulainen Network Access Control
CN107360123A (zh) 基于wifi的双向认证方法及系统、无线交换机、终端
WO2011072512A1 (zh) 一种支持多受控端口的访问控制方法及其系统