JP5581382B2 - 3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法 - Google Patents
3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法 Download PDFInfo
- Publication number
- JP5581382B2 JP5581382B2 JP2012514320A JP2012514320A JP5581382B2 JP 5581382 B2 JP5581382 B2 JP 5581382B2 JP 2012514320 A JP2012514320 A JP 2012514320A JP 2012514320 A JP2012514320 A JP 2012514320A JP 5581382 B2 JP5581382 B2 JP 5581382B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- access
- architecture
- control method
- network access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 51
- 230000005540 biological transmission Effects 0.000 claims description 25
- 238000005516 engineering process Methods 0.000 claims description 18
- 230000007246 mechanism Effects 0.000 claims description 12
- 238000001914 filtration Methods 0.000 claims description 8
- 238000005538 encapsulation Methods 0.000 claims description 7
- 238000002955 isolation Methods 0.000 claims description 7
- 238000013475 authorization Methods 0.000 claims description 5
- 230000002457 bidirectional effect Effects 0.000 claims 1
- 230000004044 response Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 238000011156 evaluation Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Description
本出願は、2009年6月8日に中国特許庁に提出した、出願番号が200910022911.3、発明名称が「3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法」である中国特許出願の優先権を主張し、その全ての内容が本出願に援用されている。
本発明は、ネットワークセキュリティ技術分野に属し、具体的には、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法に関する。
802.lxプロトコルは、標準的な無線LANプロトコルである802.11プロトコルから生まれ、主に無線LANのユーザのアクセス認証問題を解決することを目的とするものである。現在、一般的な有線LAN(Local Area Network、以下に、LANと略称する)のアクセスに応用されている(マイクロソフトのWindows(登録商標)XP及びシスコ(Cisco)、華為3com等のメーカの設備が既に802.lxプロトコルをサポットしている)。802.lxは、認証プロトコルであって、ユーザに対して認証を行う方法及びポリシーである。802.lxはポートによる認証ポリシー(ここで、ポートは実際の物理的なポートであってもよく、仮想LAN(Virtual Local Area Network、以下に、VLANと略称する)のような論理ポートであっても良く、無線LANにとって一つのチャネルである)である。
802.lxの認証の最終目的は、一つのポートが使用可能であるか否かを特定することにある。一つのポートについては、認証が成功した場合にこのポートをオープンしてすべてのメッセージの通過を許可し、認証が成功しない場合に当該ポートをクローズ状態に保持し、802.lxの認証メッセージ拡張可能な身分認証プロトコル(Extensible Authentication Protocol、以下にEAPと略称する)のみを通過させる。802.lx認証システム構造には、クライアント端末、認証器及び認証サーバの三つのキャラクタが含まれる。そのうち、認証メッセージEAPは、認証器を経由してクライアント端末、または認証サーバに伝送されるものである。即ち、802.lx認証システム構造はポイントツーポイントの認証のみに適する。
図1は、従来の技術における3要素ピア認証によるアクセス制御方法の認証システム構造の模式的なブロック図である。3者の認証プロトコルのカプセル化及びネットワークデータの伝送制御を実現するために、3要素ピア認証によるアクセス制御方法(中国無線LAN規格に使用されているアクセス制御方法)が提案された。ここで、ネットワークデータの伝送制御とは、認証プロトコルデータ及び応用サービスデータに対する伝送制御を意味している。その認証システム構造は、図1に示されたように、PAE(Port Authentication Entity)がポート認証実体をさし、請求者PAE、認証アクセスコントローラPAE及び認証サーバが3要素認証拡張可能なプロトコル(Tri−element Authentication Extensible Protocol、以下にTAEPと略称する)パケットを伝送し、請求者PAEと認証アクセスコントローラPAEが更に受制御ポートの制御を行う。ここで、TAEPパケットのフォーマットとEAPパケットのフォーマットが類似しているが、TAEPの階層モデルがEAPと異なる。
TAEPパケットのフォーマットは以下の通りである。
ここで、コード(Code)は、フィールド長さが1つの8ビットグループであり、TAEPパケットのタイプを示す。
1 請求(Request)
2 応答(Response)
3 成功(Success)
4 失敗(Failure)
識別子(Identifier)は、フィールド長さが1つの8ビットグループであり、RequestとResponseパケットにあわせるために用いられる。
長さ(Length)は、フィールド長さが2つの8ビットグループであり、全体のTAEPパケットの8ビットグループの数を示し、即ち、Code、Identifier、Length及びデータ(Data)を含むすべてのフィールドの長さの合計を示す。
Dataは、フィールド長さが可変であり、パケットが0個または複数の8ビットグループを含み、そのフォーマットがCodeフィールドの値によって決められる。
1 請求(Request)
2 応答(Response)
3 成功(Success)
4 失敗(Failure)
識別子(Identifier)は、フィールド長さが1つの8ビットグループであり、RequestとResponseパケットにあわせるために用いられる。
長さ(Length)は、フィールド長さが2つの8ビットグループであり、全体のTAEPパケットの8ビットグループの数を示し、即ち、Code、Identifier、Length及びデータ(Data)を含むすべてのフィールドの長さの合計を示す。
Dataは、フィールド長さが可変であり、パケットが0個または複数の8ビットグループを含み、そのフォーマットがCodeフィールドの値によって決められる。
TAEP再利用モデルは以下の通りである。
TAEPメッセージ交換のステップは以下の通りである。
a) 認証アクセスコントローラは、Requestパケットを請求者に送信して認証開始を要求する。Requestは1つの要求の種類を示すタイプフィールドがある。そのタイプはIdentityであり、身分を示す。
b) 請求者はResponseパケットを認証アクセスコントローラに送信して有効なRequestに応答する。Responseパケットに1つのRequestパケット中のタイプフィールドに対応するタイプフィールドが含まれ、メッセージにピア体の身分が含まれる。
c) 認証アクセスコントローラはRequestパケットを認証サーバに送信する。Requestは1つの要求の種類を示すタイプフィールドを含む。そのタイプは第三者(Third Party、以下にTPと略称する)認証(Authentication)であり、認証サーバに認証方法タイプを請求するために用いられる。
d) 認証サーバはResponseパケットを認証アクセスコントローラに送信する。Responseパケットに1つのRequestパケット中のタイプフィールドに対応するタイプフィールドが含まれる。
e) 認証アクセスコントローラは、認証サーバによりフィードバックされた認証方法タイプに基づいて、認証方法を選択して認証プロセスを開始する。Requestパケットが請求者に送信され、請求者がResponseパケットを認証アクセスコントローラに応答し、RequestとResponseのシーケンスが必要に応じてやり取りをし続ける。認証アクセスコントローラは認証サーバにRequestパケットを送信し、認証サーバは認証アクセスコントローラにResponseパケットを応答する。このRequestとResponseのシーケンスは必要の長さを継続する。認証アクセスコントローラはRequestパケットを再送することを負う。
f) 認証アクセスコントローラが請求者を認証できなくなるまで、セッションが続ける。認証アクセスコントローラはFailureパケットを請求者に送信し、または、認証アクセスコントローラは成功した認証が完成したと判断し、この場合に認証アクセスコントローラがRequestパケットの送信を停止して情報やり取りを終了し、またはSuccessパケットを請求者に送信する。
a) 認証アクセスコントローラは、Requestパケットを請求者に送信して認証開始を要求する。Requestは1つの要求の種類を示すタイプフィールドがある。そのタイプはIdentityであり、身分を示す。
b) 請求者はResponseパケットを認証アクセスコントローラに送信して有効なRequestに応答する。Responseパケットに1つのRequestパケット中のタイプフィールドに対応するタイプフィールドが含まれ、メッセージにピア体の身分が含まれる。
c) 認証アクセスコントローラはRequestパケットを認証サーバに送信する。Requestは1つの要求の種類を示すタイプフィールドを含む。そのタイプは第三者(Third Party、以下にTPと略称する)認証(Authentication)であり、認証サーバに認証方法タイプを請求するために用いられる。
d) 認証サーバはResponseパケットを認証アクセスコントローラに送信する。Responseパケットに1つのRequestパケット中のタイプフィールドに対応するタイプフィールドが含まれる。
e) 認証アクセスコントローラは、認証サーバによりフィードバックされた認証方法タイプに基づいて、認証方法を選択して認証プロセスを開始する。Requestパケットが請求者に送信され、請求者がResponseパケットを認証アクセスコントローラに応答し、RequestとResponseのシーケンスが必要に応じてやり取りをし続ける。認証アクセスコントローラは認証サーバにRequestパケットを送信し、認証サーバは認証アクセスコントローラにResponseパケットを応答する。このRequestとResponseのシーケンスは必要の長さを継続する。認証アクセスコントローラはRequestパケットを再送することを負う。
f) 認証アクセスコントローラが請求者を認証できなくなるまで、セッションが続ける。認証アクセスコントローラはFailureパケットを請求者に送信し、または、認証アクセスコントローラは成功した認証が完成したと判断し、この場合に認証アクセスコントローラがRequestパケットの送信を停止して情報やり取りを終了し、またはSuccessパケットを請求者に送信する。
上記のc)、d)ステップは選択可能なものである。幾つかの場合に、認証方法が特定されたものであり、またはそのほかの形態で認証方法及び身分を特定するときに、c)、d)ステップを選択的に行うことができる。
情報化の発展につれて、ウィルス、ワームなどの悪意ソフトの問題が異常に深刻になる。現在、三万五千種を越えた悪意ソフトが存在しており、毎年、四千万を超えたコンピュータが感染される。ティーシージー(Trusted Computing Group、以下にTCGと略称する)は、この問題に対して、わざわざ、信頼可能なコンピューティングテクノロジ によるネットワークアクセス規範――信頼可能ネットワークアクセス「Trusted Network Connect、以下にTNCと略称する」を作成し、TCG−TNCと略称する。それには開放的な端末完全的なアーキテクチャー及びセキュリティ相互操作を確保する仕様が含まれる。図2のように、従来の技術におけるTCG−TNCアーキテクチャーの模式図が示される。TCG−TNCアーキテクチャーにおけるポリシー実行ポイントがネットワーク辺縁に位置し、かつアクセスの請求者がポリシー実行ポイントに対してプラットフォーム認証を行わないため、当該アーキテクチャーにはポリシー実行ポイントが信頼できないという問題が存在する。この問題を解決するために、3要素ピア認証(Tri−element Peer Authentication,以下にTePAと略称する)によるTNCアーキテクチャーが提案された。
図3のように、従来の技術におけるTePAによるTNCアーキテクチャーの模式図が示された。TePAによるTNCアーキテクチャーにおいて、ネットワークアクセス制御層は、従来のネットワークアクセス技術構造であり、3要素ピア認証プロトコル(三者の認証プロトコルである)を実行して双方向ユーザ認証を実現し、上記の3要素ピア認証によるアクセス制御方法を採用してユーザ認証プロトコルのカプセル化及びネットワークデータの伝送制御を完成することができる。ところが、ネットワークアクセス制御層に加え、図3に示す、TePAによるTNCアーキテクチャーは、さらに完全性測定層及び信頼可能プラットフォーム評価層を含む。これらはプラットフォーム認証プロトコルを実行してプラットフォームコンポーネント情報の認識、認証及び評価を実現し、そのプラットフォーム認証プロトコルデータがネットワークアクセス制御層で伝送する必要もあり、且つプラットフォーム認証結果によって生成されたアクセス結果が許可、禁止または隔離(従来のネットワークアクセス技術のアクセス結果は許可又は禁止である)である。したがって、前記の3要素ピア認証によるアクセス制御方法がTePAによるTNCアーキテクチャーに完全に適用することができない。従って、TePAによるTNCアーキテクチャーに適するアクセス制御方法を構築する必要がある。
背景技術に記載の技術問題を解決するために、本発明は、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法を提供することを目的とする。
本発明の技術案は、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法である。当該方法は、
1)3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーにおけるユーザ認証プロトコルデータとプラットフォーム認証プロトコルデータに対するカプセル化を実現するステップを含む。当該ステップは、
1.1)ユーザ認証プロトコルデータをTAEPパケットのDataフィールドにカプセル化し、アクセス請求者とアクセスコントローラの間、アクセスコントローラとポリシーマネージャの間でこれらのTAEPパケットを交換することにより、アクセス請求者とアクセスコントローラの間の双方向ユーザ認証を実現し、アクセス請求者とアクセスコントローラの間のセキュリティチャネルを構築するステップと、
1.2)プラットフォーム認証プロトコルデータをTAEPパケットのDataフィールドにカプセル化した後に、アクセス請求者とアクセスコントローラの間のプラットフォーム認証プロトコルデータに対してプラットフォーム認証プロトコルデータのTAEPパケットを別のTAEPパケットのDataフィールドとして当該別のTAEPパケットにネストしてカプセル化し、アクセスコントローラとポリシーマネージャの間のプラットフォーム認証プロトコルデータに対してプラットフォーム認証プロトコルデータのTAEPパケットを直接に伝送し、前記のプラットフォーム認証プロトコルデータのTAEPパケットは、ステップ1.1)で構築されたセキュリティチャネルを利用してセキュリティ保護されるステップとを含む。
上記の方法はさらにステップ2)を含む。即ち、ポート制御メカニズムを採用し、濾過やトンネル伝送制御技術を採用し、或は、ポート制御メカニズム、濾過やトンネル伝送制御技術を統合的に採用することにより、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーにおけるネットワークデータの伝送制御を実現する。
上記ステップ2)において、ポート制御メカニズムを採用して3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーにおけるネットワークデータの伝送制御を実現する時に、従来のネットワークアクセス技術の3要素ピア認証によるアクセス制御方法の認証システム構造における受制御ポートに一つのポート状態、即ち隔離状態を追加することにより、新たな3要素ピア認証によるアクセス制御方法の認証システム構造を構成する必要があり、この新たな3要素ピア認証によるアクセス制御方法の認証システム構造における受制御ポートの授権状態、非授権状態及び隔離状態を利用して、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャの許可、禁止及び隔離機能をそれぞれ実現する。
上記ステップ2)において、ポート制御メカニズム、濾過やトンネル伝送制御技術を統合的に採用して3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーにおけるネットワークデータの伝送制御を実現する時に、従来のネットワークアクセス技術の3要素ピア認証によるアクセス制御方法の認証システム構造における受制御ポートの授権状態及び非授権状態を利用して、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーの許可、禁止機能をそれぞれ実現し、濾過やトンネル伝送制御技術を利用して3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーの隔離機能を実現する。
上記のネストしてカプセル化したTAEPパケットの構造は以下の通りである。
本発明により提供された3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法は、以下のメリットを備える。
1.ネスティグTAEPカプセル化方法を採用してユーザ認証プロトコルデータ及びプラットフォーム認証プロトコルデータのカプセル化伝送を実現することにより、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーのアクセス制御方法が従来のネットワークアクセス技術における3要素ピア認証によるアクセス制御方法に適合でき、適合性が向上された。
2.完全にポート制御に基づいて3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーの3種のアクセス結果を実現するときに、アクセス請求者システム及びアクセスコントローラシステムにおける受制御ポートに一つの隔離状態のみを追加することにより、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーのポート制御メカニズムが従来のネットワークアクセス技術における3要素ピア認証によるアクセス制御方法におけるポート制御メカニズムに適合でき、適合性が向上された。
3.改善した3要素ピア認証によるアクセス制御方法の認証システム構造は、隔離機能を実現したことにより、プラットフォーム保守サービスがネットワークによって集中にユーザに提供でき、応用性が向上された。
1.ネスティグTAEPカプセル化方法を採用してユーザ認証プロトコルデータ及びプラットフォーム認証プロトコルデータのカプセル化伝送を実現することにより、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーのアクセス制御方法が従来のネットワークアクセス技術における3要素ピア認証によるアクセス制御方法に適合でき、適合性が向上された。
2.完全にポート制御に基づいて3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーの3種のアクセス結果を実現するときに、アクセス請求者システム及びアクセスコントローラシステムにおける受制御ポートに一つの隔離状態のみを追加することにより、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーのポート制御メカニズムが従来のネットワークアクセス技術における3要素ピア認証によるアクセス制御方法におけるポート制御メカニズムに適合でき、適合性が向上された。
3.改善した3要素ピア認証によるアクセス制御方法の認証システム構造は、隔離機能を実現したことにより、プラットフォーム保守サービスがネットワークによって集中にユーザに提供でき、応用性が向上された。
本発明の、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法は、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーにおけるユーザ認証プロトコルデータとプラットフォーム認証プロトコルデータに対するカプセル化を実現し、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーにおけるネットワークデータの伝送制御を実現することを含む。
3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーにおけるユーザ認証プロトコルデータとプラットフォーム認証プロトコルデータに対するカプセル化は、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーにおけるユーザ認証プロトコルデータとプラットフォーム認証プロトコルデータをTAEPにネストしてカプセル化して実現される。具体的な方法は以下の通りである。
1.1)ユーザ認証プロトコルデータをTAEPパケットのDataフィールドにカプセル化し、アクセス請求者とアクセスコントローラの間、アクセスコントローラとポリシーマネージャの間でこれらのTAEPパケットを交換することにより、アクセス請求者とアクセスコントローラの間の双方向ユーザ認証を実現し、アクセス請求者とアクセスコントローラの間のセキュリティチャネルを構築する。
1.2)プラットフォーム認証プロトコルデータをTAEPパケットのDataフィールドにカプセル化した後に、アクセス請求者とアクセスコントローラの間のプラットフォーム認証プロトコルデータに対してプラットフォーム認証プロトコルデータのTAEPパケットを別のTAEPパケットのDataフィールドとして別のTAEPパケットにネストしてカプセル化し、アクセスコントローラとポリシーマネージャの間のプラットフォーム認証プロトコルデータに対して、ネストしてカプセル化することを行わずに、プラットフォーム認証プロトコルデータのTAEPパケットを直接に伝送する。前記のプラットフォーム認証プロトコルデータのTAEPパケットは、ステップ1.1)で構築されたセキュリティチャネルを利用してセキュリティ保護される。
ネストしてカプセル化したTAEPパケットの構造は以下の通りである。
3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーにおけるネットワークデータの伝送制御の実現とは、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーにおけるユーザ認証プロトコルデータ、プラットフォーム認証プロトコルデータ及び応用サービスデータに対する伝送制御を実現することを意味する。ポート制御メカニズムを採用して実現されても良く、濾過やトンネルなどのほかの伝送制御技術を採用して実現されても良く、以上の方法を統合的に採用して実現されても良い。3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーのアクセス結果(アクセス制御)は許可、禁止及び隔離であり、その隔離の目的は、主にプラットフォームを保守することにある。
図4は、本発明の3要素ピア認証によるアクセス制御方法の認証システム構造の模式図である。完全にポート制御を採用して実現すると、背景技術における3要素ピア認証によるアクセス制御方法の認証システム構造を、図4に示す認証システム構造に修正した場合のみ、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーの三つのアクセス結果を実現することができる。なお、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーにおける、アクセス請求者、アクセスコントローラ及びポリシーマネージャは、それぞれ図4における、請求者、認証アクセスコントローラ及び認証サーバのキャラクタに対応する。図4において、請求者PAEと認証アクセスコントローラPAEとは、非受制御ポートでユーザ認証プロトコルデータ及びプラットフォーム認証プロトコルデータを伝送し(TAEPパケットでカプセル化する)、応用サービスデータとプラットフォーム保守サービスデータとは、非受制御ポートで伝送することができない。請求者PAEと認証アクセスコントローラPAEとは、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーにおける3種のアクセス結果に基づいて、受制御ポートに対してポート状態の設置を行う。許可の場合に、受制御ポートは、状態が授権状態であり、このときに応用サービスデータを伝送することができる。隔離の場合に、受制御ポートは、状態が隔離状態であり、このときにプラットフォーム保守サービスデータを伝送することができる。禁止の場合に、受制御ポートは、状態が非授権状態であり、このときに如何なるデータを伝送することもできない。
ポート制御メカニズム及びその他の伝送制御技術を統合的に採用して実現すると、背景技術における、3要素ピア認証によるアクセス制御方法の認証システム構造を利用して、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーの許可及び禁止を実現することができる。なお、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーにおける、アクセス請求者、アクセスコントローラ及びポリシーマネージャは、それぞれ図1における、請求者、認証アクセスコントローラ及び認証サーバのキャラクタに対応する(請求者PAEと認証アクセスコントローラPAEとは、非受制御ポートでユーザ認証プロトコルデータ及びプラットフォーム認証プロトコルデータを伝送する(TAEPパケットでカプセル化する)、応用サービスデータは、非受制御ポートで伝送することができない。請求者PAEと認証アクセスコントローラPAEとは、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーの許可及び禁止の結果に基づいて、受制御ポートに対してポート状態の設置を行う。許可の場合に、受制御ポートは、状態が授権状態であり、このときに応用サービスデータを伝送することができる。禁止の場合に、受制御ポートは、状態が非授権状態であり、このときに如何なるデータを伝送することもできない)。そのほかの伝送制御技術を採用して、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーの隔離を実現する。
PAE・・・ポート認証実体
Claims (5)
- 1)3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーにおけるユーザ認証プロトコルデータとプラットフォーム認証プロトコルデータに対するカプセル化を実現するステップを含み、
当該ステップは、
1.1)アクセス請求者とアクセスコントローラとの間で交換するユーザ認証プロトコルデータを第1のTAEPパケットのDataフィールドにカプセル化し、アクセスコントローラとポリシーマネージャとの間で交換するユーザ認証プロトコルデータを第2のTAEPパケットのDataフィールドにカプセル化し、アクセス請求者とアクセスコントローラとの間で前記第1のTAEPパケットを交換し、アクセスコントローラとポリシーマネージャとの間で前記第2のTAEPパケットを交換することにより、アクセス請求者とアクセスコントローラとの間の双方向ユーザ認証を実現し、アクセス請求者とアクセスコントローラとの間のセキュリティチャネルを構築するステップと、
1.2)アクセス請求者とアクセスコントローラとの間で交換するプラットフォーム認証プロトコルデータを第3のTAEPパケットのDataフィールドにカプセル化し、アクセスコントローラとポリシーマネージャとの間で交換するプラットフォーム認証プロトコルデータを第4のTAEPパケットのDataフィールドにカプセル化した後に、アクセス請求者とアクセスコントローラとの間で交換するプラットフォーム認証プロトコルデータについては、前記第3のTAEPパケットを第5のTAEPパケットのDataフィールドとして当該第5のTAEPパケットにネストしてカプセル化し、アクセスコントローラとポリシーマネージャとの間で交換するプラットフォーム認証プロトコルデータについては、プラットフォーム認証プロトコルデータの前記第4のTAEPパケットをアクセスコントローラとポリシーマネージャとの間で直接に伝送し、前記のプラットフォーム認証プロトコルデータの前記第3のTAEPパケットはステップ1.1)で構築されたセキュリティチャネルを利用してセキュリティ保護され、前記第5のTAEPパケットはアクセス請求者とアクセスコントローラとの間で伝送されるステップとを含むことを特徴とする、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャー(Tri-element Peer Authentication Credible Network connection structure)に適するアクセス制御方法。 - 2)ポート制御メカニズムを採用し、濾過やトンネル伝送制御技術を採用し、或は、ポート制御メカニズム、濾過やトンネル伝送制御技術を統合的に採用することにより、3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーにおけるネットワークデータの伝送制御を実現するステップを更に含むことを特徴とする、請求項1に記載の3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法。
- 前記ステップ2)において、ポートメカニズムを採用して3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーにおけるネットワークデータの伝送制御を実現する時に、従来のネットワークアクセス技術の3要素ピア認証によるアクセス制御方法の認証システム構造における受制御ポートに一つのポート状態、即ち隔離状態を追加することにより、新たな3要素ピア認証によるアクセス制御方法の認証システム構造を構成する必要があり、この新たな3要素ピア認証によるアクセス制御方法の認証システム構造における受制御ポートの授権状態を利用して3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーの許可機能を実現し、この新たな3要素ピア認証によるアクセス制御方法の認証システム構造における受制御ポートの非授権状態を利用して3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーの禁止機能を実現し、この新たな3要素ピア認証によるアクセス制御方法の認証システム構造における受制御ポートの隔離状態を利用して3要素ピア認証信頼可能ネットワークアクセスアーキテクチヤーの隔離機能を実現することを特徴とする、請求項2に記載の3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法。
- 前記ステップ2)において、ポート制御メカニズム、濾過やトンネル伝送制御技術を統合的に採用して3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーにおけるネットワークデータの伝送制御を実現する時に、従来のネットワークアクセス技術の3要素ピア認証によるアクセス制御方法の認証システム構造における受制御ポートの授権状態を利用して3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーの許可機能を実現し、従来のネットワークアクセス技術の3要素ピア認証によるアクセス制御方法の認証システム構造における受制御ポートの非授権状態を利用して3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーの禁止機能を実現し、濾過やトンネル伝送制御技術を利用して3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーの隔離機能を実現することを特徴とする、請求項2に記載の3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法。
- 前記のネストしてカプセル化したTAEPパケットの構造は以下の通りであることを特徴とする請求項1乃至4の何れかに記載の3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100229113A CN101572704B (zh) | 2009-06-08 | 2009-06-08 | 一种适合三元对等鉴别可信网络连接架构的访问控制方法 |
| CN200910022911.3 | 2009-06-08 | ||
| PCT/CN2009/075444 WO2010142115A1 (zh) | 2009-06-08 | 2009-12-09 | 一种适合三元对等鉴别可信网络连接架构的访问控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012529795A JP2012529795A (ja) | 2012-11-22 |
| JP5581382B2 true JP5581382B2 (ja) | 2014-08-27 |
Family
ID=41231941
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012514320A Active JP5581382B2 (ja) | 2009-06-08 | 2009-12-09 | 3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8719897B2 (ja) |
| EP (1) | EP2442516B1 (ja) |
| JP (1) | JP5581382B2 (ja) |
| KR (1) | KR101434614B1 (ja) |
| CN (1) | CN101572704B (ja) |
| WO (1) | WO2010142115A1 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572704B (zh) | 2009-06-08 | 2012-05-23 | 西安西电捷通无线网络通信股份有限公司 | 一种适合三元对等鉴别可信网络连接架构的访问控制方法 |
| CN101662410B (zh) * | 2009-09-22 | 2012-07-04 | 西安西电捷通无线网络通信股份有限公司 | 一种基于隧道技术的三元鉴别可扩展方法及其系统 |
| CN101707621B (zh) * | 2009-12-11 | 2012-05-09 | 西安西电捷通无线网络通信股份有限公司 | 一种适合三元对等鉴别可信网络连接架构的网络传输方法 |
| CN101741726B (zh) * | 2009-12-18 | 2012-11-14 | 西安西电捷通无线网络通信股份有限公司 | 一种支持多受控端口的访问控制方法及其系统 |
| CN101958908B (zh) * | 2010-10-13 | 2012-08-08 | 西安西电捷通无线网络通信股份有限公司 | 网络访问控制方法及系统 |
| JP5624219B2 (ja) | 2010-10-13 | 2014-11-12 | 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司Chinaiwncomm Co., Ltd. | ネットワークアクセス制御方法およびシステム |
| CN102006291A (zh) * | 2010-11-10 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 一种适合可信连接架构的网络传输方法及系统 |
| US20140136208A1 (en) * | 2012-11-14 | 2014-05-15 | Intermec Ip Corp. | Secure multi-mode communication between agents |
| US20220059216A1 (en) * | 2020-08-20 | 2022-02-24 | Centurylink Intellectual Property Llc | Home Health Monitoring of Patients via Extension of Healthcare System Network Into Customer Premises |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7389529B1 (en) | 2003-05-30 | 2008-06-17 | Cisco Technology, Inc. | Method and apparatus for generating and using nested encapsulation data |
| JP2009518762A (ja) | 2005-12-09 | 2009-05-07 | シグナサート, インコーポレイテッド | インテグリティデータベースサービスを用いた、トラステッドプラットフォーム上のコンポーンテントのインテグリティの検証方法 |
| JP4728871B2 (ja) | 2006-05-08 | 2011-07-20 | 株式会社日立製作所 | 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末 |
| JP2008141352A (ja) | 2006-11-30 | 2008-06-19 | Toshiba Corp | ネットワークセキュリティシステム |
| CN100534036C (zh) * | 2007-08-01 | 2009-08-26 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接方法 |
| CN100566252C (zh) | 2007-08-03 | 2009-12-02 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接系统 |
| CN101136928B (zh) * | 2007-10-19 | 2012-01-11 | 北京工业大学 | 一种可信网络接入控制系统 |
| JP2009118267A (ja) | 2007-11-07 | 2009-05-28 | Nippon Telegr & Teleph Corp <Ntt> | 通信ネットワークシステム、通信ネットワーク制御方法、通信制御装置、通信制御プログラム、サービス制御装置およびサービス制御プログラム |
| CN100553212C (zh) * | 2007-11-16 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
| CN101360020B (zh) * | 2008-09-28 | 2011-04-06 | 西安电子科技大学 | 基于eap的ieee802.1x安全协议的仿真平台及方法 |
| CN101447992B (zh) * | 2008-12-08 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 一种基于三元对等鉴别的可信网络连接实现方法 |
| CN101572704B (zh) | 2009-06-08 | 2012-05-23 | 西安西电捷通无线网络通信股份有限公司 | 一种适合三元对等鉴别可信网络连接架构的访问控制方法 |
-
2009
- 2009-06-08 CN CN2009100229113A patent/CN101572704B/zh active Active
- 2009-12-09 US US13/377,098 patent/US8719897B2/en active Active
- 2009-12-09 JP JP2012514320A patent/JP5581382B2/ja active Active
- 2009-12-09 WO PCT/CN2009/075444 patent/WO2010142115A1/zh active Application Filing
- 2009-12-09 EP EP09845724.5A patent/EP2442516B1/en not_active Not-in-force
- 2009-12-09 KR KR1020117031058A patent/KR101434614B1/ko active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| CN101572704B (zh) | 2012-05-23 |
| US20120079561A1 (en) | 2012-03-29 |
| KR101434614B1 (ko) | 2014-08-26 |
| CN101572704A (zh) | 2009-11-04 |
| EP2442516A4 (en) | 2017-03-15 |
| KR20120017079A (ko) | 2012-02-27 |
| JP2012529795A (ja) | 2012-11-22 |
| US8719897B2 (en) | 2014-05-06 |
| EP2442516A1 (en) | 2012-04-18 |
| WO2010142115A1 (zh) | 2010-12-16 |
| EP2442516B1 (en) | 2019-09-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5581382B2 (ja) | 3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法 | |
| CA2573171C (en) | Host credentials authorization protocol | |
| AU2008213766B2 (en) | Method and system for registering and verifying the identity of wireless networks and devices | |
| CA2407482C (en) | Security link management in dynamic networks | |
| US20160205067A1 (en) | Client and server group sso with local openid | |
| JP5688087B2 (ja) | 信頼できる認証およびログオンのための方法および装置 | |
| WO2011017924A1 (zh) | 无线局域网的认证方法、系统、服务器和终端 | |
| JP2009508403A (ja) | 準拠性に基づくダイナミックネットワーク接続 | |
| CN107005534A (zh) | 安全连接建立 | |
| WO2007128134A1 (en) | Secure wireless guest access | |
| CN102271120A (zh) | 一种增强安全性的可信网络接入认证方法 | |
| KR100819024B1 (ko) | 아이디/패스워드를 이용한 사용자 인증 방법 | |
| CN1225941C (zh) | 无线ip系统移动节点的漫游接入方法 | |
| WO2011069355A1 (zh) | 一种适合三元对等鉴别可信网络连接架构的网络传输方法 | |
| CN110875923B (zh) | 对网络提供增强型网络访问控制的方法和系统 | |
| Melnikov et al. | A protocol for remotely managing sieve scripts | |
| Chen et al. | An Enhanced Identity Authentication Security Access Control Model Based on 802.1 x Protocol | |
| WO2011072512A1 (zh) | 一种支持多受控端口的访问控制方法及其系统 | |
| Yun-hua et al. | Research on the security of IEEE 802.1× authentication mechanism in wireless LAN | |
| CN102006291A (zh) | 一种适合可信连接架构的网络传输方法及系统 | |
| Kappes et al. | Content authentication in enterprises for mobile devices | |
| Ahsan et al. | Aikm2m: Onem2m Compliant Secure Mqtt-Sn Framework for Constrained Networked Devices | |
| Martin | RFC 5804: A Protocol for Remotely Managing Sieve Scripts | |
| Xiaomin et al. | A Multi-Authentication Architecture Based on DIAMETER | |
| Nordlander | Architectures and standards for hardening of an integrated security system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130426 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130507 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130806 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131001 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20131226 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20140109 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140121 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140616 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140714 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5581382 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |