KR20120017079A - 3-요소 피어 인증 기반의 신뢰성 있는 네트워크 연결 구조를 위한 액세스 제어 방법 - Google Patents
3-요소 피어 인증 기반의 신뢰성 있는 네트워크 연결 구조를 위한 액세스 제어 방법 Download PDFInfo
- Publication number
- KR20120017079A KR20120017079A KR1020117031058A KR20117031058A KR20120017079A KR 20120017079 A KR20120017079 A KR 20120017079A KR 1020117031058 A KR1020117031058 A KR 1020117031058A KR 20117031058 A KR20117031058 A KR 20117031058A KR 20120017079 A KR20120017079 A KR 20120017079A
- Authority
- KR
- South Korea
- Prior art keywords
- tepa
- access
- taep
- protocol data
- authentication protocol
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 238000005538 encapsulation Methods 0.000 claims abstract description 14
- 230000005540 biological transmission Effects 0.000 claims description 25
- 230000007246 mechanism Effects 0.000 claims description 13
- 238000005516 engineering process Methods 0.000 claims description 9
- 230000005641 tunneling Effects 0.000 claims description 9
- 238000002955 isolation Methods 0.000 claims description 8
- 230000000903 blocking effect Effects 0.000 claims description 4
- 230000002457 bidirectional effect Effects 0.000 abstract 1
- 238000004806 packaging method and process Methods 0.000 abstract 1
- 230000004044 response Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 8
- 230000003993 interaction Effects 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000005067 remediation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 3-요소 피어 인증 기반의 신뢰성 있는 네트워크 연결 구조를 위한 액세스 제어 방법과 관련된다. 상기 방법은 1) 3-요소 피어 인증 기반의 신뢰성 있는 네트워크 연결 구조의 사용자 인증 프로토콜 데이터와 플랫폼 인증 프로토콜 데이터의 캡슐화를 구현하는 단계: 1.1) 액세스 요청자와 액세스 제어기 사이에 그리고 액세스 제어기와 정책 관리자 사이에 TAEP 패킷들을 상호 작용하고, 액세스 요청자와 액세스 제어기 사이에 양방향 사용자 인증을 수행하고, 액세스 요청자와 액세스 제어기 사이에 보안 채널을 수립하여, TAEP 패킷의 데이터 필드에 사용자 인증 프로토콜 데이터를 캡슐화하는 단계와; 1.2) TAEP 패킷의 데이터 필드에 플랫폼 인증 프로토콜 데이터를 캡슐화한 다음, 액세스 요청자와 액세스 제어기 사이의 플랫폼 인증 프로토콜 데이터의 경우, 플랫폼 인증 프로토콜 데이터의 TAEP 패킷을 또 다른 TAEP 패킷의 데이터 필드로서 또 다른 TAEP 패킷에 중첩하고 패키징하는 단계를 포함한다.
Description
본 출원은 2009년 6월 8일 중국 국가지식산권국에 출원된 명칭을 "ACCESS CONTROL METHOD FOR TRI-ELEMENT PEER AUTHENTICATION BASED TRUSTED NETWORK CONNECT ARCHITECTURE"로 하는 중국 특허출원 제200910022911.3호에 대한 우선권을 주장하며, 상기 출원은 본 명세서에서 그 전체가 참조로서 포함된다.
본 발명은 네트워크 보안 기술 분야에 관한 것이며, 특히 3-요소 피어 인증(Tri-element Peer Authentication, TePA) 기반의 TNC(Trusted Network Connect) 아키텍처를 위한 액세스 제어 방법에 관한 것이다.
802.1x 프로토콜은 표준 무선랜(Wireless Local Area Network, WLAN) 프로토콜, 802.11로부터 진화한 것이다. 802.1x 프로토콜의 주목적은 WLAN 사용자들의 액세스 인증(access authentication)에 대한 솔루션을 제공하는 것이다. 802.1x 프로토콜은 현재 통상의 유선랜(wired LAN)에서의 액세스 제어로 채택되었다. 예를 들어, Microsoft의 Windows XP와 Cisco 및 Huawei-3Com에 의해 제조된 디바이스들은 이제 802.1x 프로토콜을 지원한다. 802.1x는 주로 인증 프로토콜들, 즉 사용자들을 인증하기 위한 방법 및 정책들의 세트이다. 802.1x는 포트 기반이다. "포트(port)"라는 용어는 실제 물리적 포트를 가리킬 수도 있고, 또는 가상랜(Virtual Local Area Network, VLAN)에서처럼 논리적 포트를 가리킬 수도 있다. WLAN의 경우, 포트는 채널(channel)일 수 있다.
802.1x 인증의 목표는 포트가 사용될 수 있는지 여부를 판별하는 것이다. 한 포트에 대하여, 만일 인증이 성공적이면, 포트는 개방(open)으로 설정되고 모든 메시지들이 지나갈 수 있게 되지만, 만일 성공적이지 않다면, 포트는 폐쇄된(closed) 상태로 있고 오로지 EAP(Extensible Authentication Protocol) 메시지들만이 지나갈 수 있게 된다. 802.1x 인증 구조는 인증 요청자(supplicant), 인증자(authenticator), 인증 서버(authentication server)의 세 당사자들을 수반한다. EAP 메시지들은 인증자에 의해 인증 요청자 또는 인증 서버로 투명하게(transparently) 전송되며, 따라서 802.1x 인증 구조는 오직 점대점(point-to-point) 인증만을 지원한다.
도 1은 선행 기술로서 TePA 기반의 액세스 제어 방법의 구조에 대한 블록도이다. 3자간 인증 프로토콜의 캡슐화(encapsulation)와 네트워크 데이터의 전송 제어(즉, 인증 프로토콜 데이터와 애플리케이션 서비스 데이터의 전송 제어)를 구현하기 위해, TePA 기반의 액세스 제어 방법(중국 WLAN 표준에서 사용되는)이 제안되었고 도 1에 도시된 바와 같은 구조를 가진다. 구체적으로, PAE는 포트 인증 개체(port authentication entity)를 가리킨다. 인증 요청자 PAE, 인증 액세스 제어기 PAE, 및 인증 서버는 TAEP(Tri-element Authentication Extensible Protocol) 패킷들을 전송한다. 인증 요청자 PAE와 인증 액세스 제어기 PAE는 또한 제어 포트(controlled port)의 제어를 수행한다. TAEP 패킷들은 EAP 패킷들과 유사한 포맷을 가지지만, TAEP는 EAP와 서로 다른 계층 모델을 가진다.
TAEP 패킷의 포맷이 아래에 예시되어 있다.
상기 포맷에서, 코드(Code) 필드는 1 바이트(byte)의 길이를 가지고, TAEP 패킷의 타입을 나타내며, 1은 요청(Request), 2는 응답(Response), 3은 성공(Success), 4는 실패(Failure)를 나타낸다.
식별자(Identifier) 필드는 1 바이트의 길이를 가지고, 요청 패킷과 응답 패킷을 매칭시키기 위한 것이다.
길이(Length) 필드는 2 바이트의 길이를 가지고, 전체 TAEP 패킷의 바이트 개수, 즉 코드 필드, 식별자 필드, 길이 필드 및 데이터 필드를 포함하는 모든 필드들의 길이의 합을 나타낸다.
데이터(Data) 필드의 길이는 가변적이며, 예컨대 0개 이상의 바이트를 가지고, 그 포맷은 코드 필드의 값에 의해 결정된다.
TAEP의 다중 모델이 아래에 예시되어 있다.
TAEP 메시지들은 다음 단계들에 따라 교환된다.
a) 인증 액세스 제어기가 인증의 시작을 요청하기 위해 요청 패킷을 인증 요청자에게 보낸다. 요청 패킷은 요청된 것의 타입을 표시하는 타입 필드를 포함한다. 구체적으로, 요청된 것의 타입은 신원(Identity)이며, 이는 신원을 나타낸다.
b) 유효한 요청에 응답하여, 인증 요청자가 응답 패킷을 인증 액세스 제어기로 보낸다. 응답 패킷은 요청 패킷의 타입 필드에 해당하는 타입 필드를 포함하고, 피어(peer)의 신원이 메시지에 포함된다.
c) 인증 액세스 제어기가 요청 패킷을 인증 서버로 보낸다. 요청 패킷은 요청된 것의 타입을 표시하는 타입 필드를 포함한다. 구체적으로, 요청된 것의 타입은 제3자(Third Party, TP) 인증이며, 이는 인증 서버로부터 인증 방법의 타입을 요청하는 데 이용된다.
d) 인증 서버는 응답 패킷을 인증 액세스 제어기로 보낸다. 응답 패킷은 요청 패킷의 타입 필드에 해당하는 타입 필드를 포함한다.
e) 인증 액세스 제어기는 인증을 시작하기 위해 인증 서버에 의해 반환된 인증 방법의 타입에 따라 인증 방법을 선택한다. 요청 패킷이 인증 요청자에게 보내지고, 응답 패킷이 인증 요청자에 의해 인증 액세스 제어기로 보내진다. 요청 패킷들과 응답 패킷들을 이용한 상호 작용은 필요한 만큼 계속된다. 인증 액세스 제어기는 요청 패킷들을 인증 서버로 보내고, 인증 서버는 응답 패킷들을 인증 액세스 제어기로 보낸다. 요청 패킷들과 응답 패킷들의 시퀀스는 원하는 만큼 계속될 수 있다. 인증 액세스 제어기는 요청 패킷들의 재전송을 책임진다.
f) 상호 작용은 인증 액세스 제어기가 인증 요청자를 인증할 수 없다고 결정할 때까지 계속될 수 있으며, 이 경우에 인증 액세스 제어기는 실패 패킷을 인증 요청자에게 보내며, 또는 액세스 제어기가 성공적으로 인증이 완료됐다고 결정할 때까지 계속될 수 있으며, 이 경우에 인증 액세스 제어기는 메시지 상호 작용을 종료하도록 요청 패킷들을 보내는 것을 중단하거나 또는 성공 패킷을 인증 요청자에게 보낸다.
c) 단계와 d) 단계는 선택사항이다(optional). 일부 경우들에서, 인증 방법이 미리 결정되어 있을 때, 또는 인증 방법과 신원이 다른 방법들로 결정될 때에는 c) 단계와 d) 단계는 선택사항이다.
정보화가 발전함에 따라, 바이러스(virus) 및 웜(worm)과 같은 악성 소프트웨어 문제들이 증가하고 있다. 현재, 35,000개 이상의 악성 소프트웨어 유형들이 발견되었으며, 매년 40,000,000개 이상의 컴퓨터들이 감염된다. 이를 위해, TCG (Trusted Computing Group)가 트러스티드 컴퓨팅(Trusted Computing)을 기반으로 한 네트워크 액세스 규격, 즉 TNC(Trusted Network Connect)(이하에서 TCG-TNC라 함)를 발전시켜 왔으며, 이는 종단 무결성(endpoint integrity)을 위한 개방형 아키텍처(open architecture)와 보안 상호 운용성(secure interoperability)을 보장하는 표준들의 세트를 포함한다. 도 2는 선행 기술로서 TCG-TNC 아키텍처의 개략도이며, 도 2에 도시된 바와 같이 아키텍처에서 정책 시행 포인트(policy enforcement point)가 네트워크의 에지(edge)에 있고, 액세스 요청자는 정책 시행 포인트 상에서 플랫폼 인증을 수행하지 않으므로, 정책 시행 포인트는 신뢰될 수 없다. 이 문제를 해결하기 위해, 3-요소 피어 인증(Tri-element Peer Authentication, TePA) 기반의 TNC 아키텍처가 제안되었다.
도 3을 보면, 도 3은 선행 기술로서 TePA 기반의 TNC 아키텍처의 개략도이다. TePA 기반의 TNC 아키텍처에서, 네트워크 액세스 제어 계층은 전통적인 네트워크 액세스 기술 메커니즘이며, 이는 상호 사용자 인증(mutual user authentication)을 구현하기 위해 3-요소 피어 인증 프로토콜(3자간 인증 프로토콜)을 수행하고, 사용자 인증 프로토콜의 캡슐화와 네트워크 데이터의 전송 제어를 위해 위에서 논의된 TePA 기반의 액세스 제어 방법을 이용한다. 하지만, 도 3에 도시된 바와 같이, TePA 기반의 TNC 아키텍처는 또한 네트워크 액세스 제어 계층 외에도 무결성 측정 계층(integrity measurement layer)과 트러스티드 플랫폼 평가 계층(trusted platform evaluation layer)을 포함하며, 이들 계층은 플랫폼 컴포넌트 정보의 식별(identification), 인증, 평가(evaluation)를 수행하도록 플랫폼 인증 프로토콜을 실행한다. 또한, 플랫폼 인증 프로토콜 데이터는 또한 네트워크 액세스 제어 계층에서 전송되어야 하고, 플랫폼 인증 결과로부터 발생되는 액세스 결과에 따라 허용(allow), 차단(block), 또는 격리(isolate)된다(전통적인 네트워크 액세스 기술에서 허용 또는 차단하는 액세스 결과와 비교). 그러므로, 위에서 논의된 TePA 기반의 액세스 제어 방법은 TePA 기반의 TNC 아키텍처에 적합하지 않다. 따라서, TePA 기반의 TNC 아키텍처를 위한 액세스 제어 방법을 수립하는 것이 바람직하다.
본 발명의 목적은 전술된 기술적 문제들을 해결하기 위해 3-요소 피어 인증(TePA) 기반의 트러스티드 네트워크 연결(TNC) 아키텍처를 위한 액세스 제어 방법을 제공하는 것이다.
본 발명의 한 실시예에 따른 기술적 솔루션은 3-요소 피어 인증(TePA) 기반의 TNC(Trusted Network Connect) 아키텍처를 위한 액세스 제어 방법을 포함하며, 상기 방법은
1) TePA 기반의 TNC 아키텍처에서 사용자 인증 프로토콜 데이터와 플랫폼 인증 프로토콜 데이터의 캡슐화를 수행하는 단계:
1.1) 액세스 요청자(access requester)와 액세스 제어기(access controller) 사이에 상호 사용자 인증(mutual user authentication)을 수행하고, 액세스 요청자와 액세스 제어기 사이에 보안 채널(secure channel)을 수립하기 위해, 사용자 인증 프로토콜 데이터를 TAEP(Tri-element Authentication Extensible Protocol) 패킷들의 데이터 필드에 캡슐화하고, 액세스 요청자와 액세스 제어기 사이에 그리고 액세스 제어기와 정책 관리자(policy manager) 사이에 TAEP 패킷들을 이용하여 상호 작용하는 단계와; 그리고
1.2) 플랫폼 인증 프로토콜 데이터를 TAEP 패킷들의 데이터 필드에 캡슐화하고, 액세스 요청자와 액세스 제어기 사이의 플랫폼 인증 프로토콜 데이터의 경우, 중첩된 캡슐화(nested encapsulation)를 형성하도록 플랫폼 인증 프로토콜 데이터의 TAEP 패킷을 또 다른 TAEP 패킷의 데이터 필드에 캡슐화하며, 플랫폼 인증 프로토콜 데이터의 TAEP 패킷은 1.1) 단계에 따라 수립된 보안 채널에 의해 보호되고; 액세스 제어기와 정책 관리자 사이의 플랫폼 인증 프로토콜 데이터의 경우, 플랫폼 인증 프로토콜 데이터의 TAEP 패킷을 직접 전송하는 단계를 포함한다.
상기 방법은 2) TePA 기반의 TNC 아키텍처에서 네트워크 데이터의 전송 제어를 수행하는 데 포트 기반의 제어 메커니즘을 이용하거나, 또는 필터 터널링(filter tunneling) 전송 제어 기법을 이용하거나, 또는 포트 기반의 제어 메커니즘과 필터 터널링 전송 제어 기법 모두를 이용하는 단계를 더 포함한다.
2) 단계에서, 만일 TePA 기반의 TNC 아키텍처에서 네트워크 데이터의 전송 제어를 수행하는 데 포트 기반의 제어 메커니즘이 이용된다면, 새로운 TePA 기반의 액세스 제어 방법의 구조를 형성하도록 전통적인 네트워크 액세스 기술의 TePA 기반의 액세스 제어 방법의 구조에서 제어 포트(controlled port)에 대한 포트 상태로서 격리(isolated) 상태가 부가되고, TePA 기반의 TNC 아키텍처의 허용(allow) 기능, 차단(block) 기능, 및 격리 기능은 새로운 TePA 기반의 액세스 제어 방법의 구조에서 인가(authorized) 상태, 비인가(unauthorized) 상태, 및 격리 상태를 통하여 각각 구현된다.
2) 단계에서, 만일 TePA 기반의 TNC 아키텍처에서 네트워크 데이터의 전송 제어를 수행하는 데 포트 기반의 제어 메커니즘과 필터 터널링 전송 제어 기법 모두가 이용된다면, TePA 기반의 TNC 아키텍처의 허용 기능 및 차단 기능은 전통적인 네트워크 액세스 기술의 TePA 기반의 액세스 제어 방법의 구조에서 제어 포트의 인가 상태 및 비인가 상태를 통하여 각각 구현되고; TePA 기반의 TNC 아키텍처의 격리 기능은 필터 터널링 전송 제어 기법을 이용하여 구현된다.
중첩된 캡슐화를 이용한 TAEP 패킷은 아래의 구조를 가질 수 있다.
본 발명의 한 실시예에 따른 TePA 기반의 TNC 아키텍처를 위한 액세스 제어 방법은 다음의 장점들을 가진다.
1. 사용자 인증 프로토콜 데이터와 플랫폼 인증 프로토콜 데이터의 캡슐화와 전송에 있어서 TAEP 패킷들의 중첩된 캡슐화가 이용되므로, 본 TePA 기반의 TNC 아키텍처를 위한 액세스 제어 방법은 전통적인 네트워크 액세스 기술에 있어서의 TePA 기반의 액세스 제어 방법과 호환되며, 따라서 호환성을 개선한다.
2. TePA 기반의 TNC 아키텍처에 있어서 3가지 액세스 결과들이 오로지 포트 제어를 기반으로 할 때, 액세스 요청자 시스템과 액세스 제어기 시스템의 제어 포트에 대해 단순히 격리 상태가 부가되므로, 본 TePA 기반의 TNC 아키텍처의 포트 기반의 제어 메커니즘은 전통적인 네트워크 액세스 기법에 있어서의 TePA 기반의 액세스 제어 방법의 포트 기반 제어 메커니즘과 호환되며, 따라서 호환성을 개선한다.
3. 수정된 TePA 기반 액세스 제어 방법의 구조가 격리 기능을 구현하므로, 플랫폼 치료 서비스가 네트워크를 통해 중앙집중화된 방식으로 사용자들에게 제공될 수 있으며, 따라서 적용가능성을 개선한다.
도 1은 선행 기술로서 TePA 기반의 액세스 제어 방법의 구조에 대한 블록도이다.
도 2는 선행 기술로서 TCG-TNC 아키텍처의 개략도이다.
도 3은 선행 기술로서 TePA 기반의 TNC 아키텍처의 개략도이다.
도 4는 본 발명의 한 실시예에 따른 TePA 기반의 액세스 제어 방법의 구조에 대한 개략도이다.
도 2는 선행 기술로서 TCG-TNC 아키텍처의 개략도이다.
도 3은 선행 기술로서 TePA 기반의 TNC 아키텍처의 개략도이다.
도 4는 본 발명의 한 실시예에 따른 TePA 기반의 액세스 제어 방법의 구조에 대한 개략도이다.
본 발명의 한 실시예에 따른 TePA 기반의 TNC 아키텍처를 위한 액세스 제어 방법은 TePA 기반의 TNC 아키텍처에서 사용자 인증 프로토콜 데이터와 플랫폼 인증 프로토콜 데이터의 캡슐화(encapsulation)와, TePA 기반의 TNC 아키텍처에서 네트워크 데이터의 전송 제어를 포함한다.
TePA 기반의 TNC 아키텍처에서 사용자 인증 프로토콜 데이터와 플랫폼 인증 포로토콜 데이터의 캡슐화를 구현하기 위해, 중첩된(nested) TAEP 캡슐화가 TePA 기반의 TNC 아키텍처에서 사용자 인증 프로토콜 데이터와 플랫폼 인증 프로토콜 데이터에 대해 수행된다. 구체적으로, 상기 방법은
1.1) 액세스 요청자(access requester)와 액세스 제어기(access controller) 사이에 상호 사용자 인증(mutual user authentication)을 수행하고, 액세스 요청자와 액세스 제어기 사이에 보안 채널(secure channel)을 수립하기 위해, 사용자 인증 프로토콜 데이터를 TAEP 패킷들의 데이터 필드에 캡슐화하고, 액세스 요청자와 액세스 제어기 사이에 그리고 액세스 제어기와 정책 관리자(policy manager) 사이에 TAEP 패킷들을 이용하여 상호 작용하는 단계와; 그리고
1.2) 플랫폼 인증 프로토콜 데이터를 TAEP 패킷들의 데이터 필드에 캡슐화하고, 액세스 요청자와 액세스 제어기 사이의 플랫폼 인증 프로토콜 데이터의 경우, 중첩된 캡슐화(nested encapsulation)를 형성하도록 플랫폼 인증 프로토콜 데이터의 TAEP 패킷을 또 다른 TAEP 패킷의 데이터 필드에 캡슐화하며, 플랫폼 인증 프로토콜 데이터의 TAEP 패킷은 1.1) 단계에 따라 수립된 보안 채널에 의해 보호되고; 액세스 제어기와 정책 관리자 사이의 플랫폼 인증 프로토콜 데이터의 경우, 중첩된 캡슐화 없이 플랫폼 인증 프로토콜 데이터의 TAEP 패킷을 직접 전송하는 단계를 포함한다.
중첩된 캡슐화를 이용한 TAEP 패킷은 아래의 구조를 가진다.
TePA 기반의 TNC 아키텍처에서 네트워크 데이터의 전송 제어의 구현은 TePA 기반의 TNC 아키텍처에서 사용자 인증 프로토콜 데이터, 플랫폼 인증 프로토콜 데이터 및 애플리케이션 서비스 데이터의 전송 제어 구현을 가리키며, 이는 포트 기반의 제어 메커니즘을 이용하거나, 또는 필터 터널링(filter tunneling)과 같은 다른 전송 제어 기법들을 이용하거나, 또는 상기 기법들 모두를 이용하여 수행될 수 있다. TePA 기반의 TNC 아키텍처의 액세스 결과들(액세스 제어)은 허용, 차단, 및 격리를 포함하고, 격리의 주목적은 플랫폼을 치료하는 것이다.
도 4는 본 발명의 한 실시예에 따른 TePA 기반의 액세스 제어 방법의 구조에 대한 개략도이다. 만일 그것이 오로지 포트 제어를 기반으로 한다면, 배경기술 부분에서 논의된 TePA 기반의 액세스 제어 방법의 구조는 TePA 기반의 TNC 아키텍처의 3가지 액세스 결과들을 구현하도록 도 4에 도시된 구조로 수정되며, 이 구조에서 TePA 기반의 TNC 아키텍처의 액세스 요청자, 액세스 제어기 및 정책 관리자는 도 4의 인증 요청자, 인증 액세스 제어기 및 인증 서버에 각각 대응된다. 도 4에서, 인증 요청자 PAE와 인증 액세스 제어기 PAE는 사용자 인증 프로토콜 데이터와 플랫폼 인증 프로토콜 데이터(TAEP 패킷들에 캡슐화된)를 전송하는 데 비제어 포트(uncontrolled port)를 이용한다. 애플리케이션 서비스 데이터와 플랫폼 치료 서비스(platform remediation service) 데이터는 비제어 포트를 이용하여 전송될 수 없다. 인증 요청자 PAE와 인증 액세스 제어기 PAE는 TePA 기반의 TNC 아키텍처의 3가지 액세스 결과들에 따라 제어 포트에 대한 포트 상태를 설정하는데, 만일 액세스 결과가 허용이라면, 제어 포트의 상태는 인가(authorized)로 설정되고, 제어 포트는 애플리케이션 서비스 데이터를 전송하는 데 이용될 수 있고; 만일 액세스 결과가 격리라면, 제어 포트의 상태는 격리로 설정되고, 제어 포트는 치료 서비스 데이터를 전송하는 데 이용될 수 있으며; 만일 액세스 결과가 차단이라면, 제어 포트의 상태는 비인가(unauthorized)로 설정되고, 제어 포트는 데이터를 전송하는 데 이용될 수 없다.
만일 포트 기반의 제어 메커니즘과 또 다른 전송 제어 기법 모두가 이용된다면, 배경기술 부분에서 논의된 TePA 기반의 액세스 제어 방법의 구조는 TePA 기반의 TNC 아키텍처의 허용 기능과 차단 기능에 이용될 수 있으며, 이 구조에서 TePA 기반의 TNC 아키텍처의 액세스 요청자, 액세스 제어기 및 정책 관리자는 도 1의 인증 요청자, 인증 액세스 제어기 및 인증 서버에 각각 대응되고; 또 다른 전송 제어 기법은 TePA 기반의 TNC 아키텍처의 격리 기능에 이용된다. 구체적으로, 인증 요청자 PAE와 인증 액세스 제어기 PAE는 사용자 인증 프로토콜 데이터와 플랫폼 인증 프로토콜 데이터(TAEP 패킷들에 캡슐화된)를 전송하는 데 비제어 포트를 이용하고; 애플리케이션 서비스 데이터는 비제어 포트를 이용하여 전송될 수 없다. 인증 요청자 PAE와 인증 액세스 제어기 PAE는 TePA 기반의 TNC 아키텍처의 허용 결과 또는 차단 결과에 따라 제어 포트의 포트 상태를 설정하는데, 만일 액세스 결과가 허용이라면, 제어 포트의 상태는 인가로 설정되고, 제어 포트는 애플리케이션 서비스 데이터를 전송하는 데 이용될 수 있고; 만일 액세스 결과가 차단이라면, 제어 포트의 상태는 비인가로 설정되고, 제어 포트는 데이터를 전송하는 데 이용될 수 없다.
Claims (5)
- 3-요소 피어 인증(Tri-element Peer Authentication, TePA) 기반의 TNC(Trusted Network Connect) 아키텍처를 위한 액세스 제어 방법으로서,
1) 상기 TePA 기반의 TNC 아키텍처에서 사용자 인증 프로토콜 데이터와 플랫폼 인증 프로토콜 데이터의 캡슐화를 수행하는 단계를 포함하며, 상기 단계는
1.1) 액세스 요청자와 액세스 제어기 사이에 상호 사용자 인증을 수행하고, 상기 액세스 요청자와 상기 액세스 제어기 사이에 보안 채널을 수립하기 위해, 상기 사용자 인증 프로토콜 데이터를 TAEP(Tri-element Authentication Extensible Protocol) 패킷들의 데이터 필드에 캡슐화하고, 상기 액세스 요청자와 상기 액세스 제어기 사이에 그리고 상기 액세스 제어기와 정책 관리자 사이에 상기 TAEP 패킷들을 이용하여 상호 작용하는 단계와; 그리고
1.2) 상기 플랫폼 인증 프로토콜 데이터를 TAEP 패킷들의 데이터 필드에 캡슐화하고, 상기 액세스 요청자와 상기 액세스 제어기 사이의 플랫폼 인증 프로토콜 데이터의 경우, 중첩된 캡슐화(nested encapsulation)를 형성하도록 상기 플랫폼 인증 프로토콜 데이터의 TAEP 패킷을 또 다른 TAEP 패킷의 데이터 필드에 캡슐화하며, 상기 플랫폼 인증 프로토콜 데이터의 TAEP 패킷은 상기 1.1) 단계에 따라 수립된 상기 보안 채널에 의해 보호되고; 상기 액세스 제어기와 상기 정책 관리자 사이의 플랫폼 인증 프로토콜 데이터의 경우, 상기 플랫폼 인증 프로토콜 데이터의 TAEP 패킷을 직접 전송하는 단계를 포함하는
TePA 기반의 TNC 아키텍처를 위한 액세스 제어 방법. - 제1항에 있어서,
2) 상기 TePA 기반의 TNC 아키텍처에서 네트워크 데이터의 전송 제어를 수행하는 데 포트 기반의 제어 메커니즘을 이용하거나, 또는 필터 터널링(filter tunneling) 전송 제어 기법을 이용하거나, 또는 포트 기반의 제어 메커니즘과 필터 터널링 전송 제어 기법 모두를 이용하는 단계를 더 포함하는
TePA 기반의 TNC 아키텍처를 위한 액세스 제어 방법. - 제2항에 있어서,
상기 2) 단계에서, 만일 상기 TePA 기반의 TNC 아키텍처에서 네트워크 데이터의 전송 제어를 수행하는 데 포트 기반의 제어 메커니즘이 이용된다면, 새로운 TePA 기반의 액세스 제어 방법의 구조를 형성하도록 전통적인 네트워크 액세스 기술의 TePA 기반의 액세스 제어 방법의 구조에서 제어 포트(controlled port)에 대한 포트 상태로서 격리(isolated) 상태가 부가되고, 상기 TePA 기반의 TNC 아키텍처의 허용(allow) 기능, 차단(block) 기능, 및 격리 기능은 상기 새로운 TePA 기반의 액세스 제어 방법의 구조에서 제어 포트의 인가(authorized) 상태, 비인가(unauthorized) 상태, 및 격리 상태를 통하여 각각 구현되는
TePA 기반의 TNC 아키텍처를 위한 액세스 제어 방법. - 제2항에 있어서,
상기 2) 단계에서, 만일 상기 TePA 기반의 TNC 아키텍처에서 네트워크 데이터의 전송 제어를 수행하는 데 포트 기반의 제어 메커니즘과 필터 터널링 전송 제어 기법 모두가 이용된다면, 상기 TePA 기반의 TNC 아키텍처의 허용 기능 및 차단 기능은 전통적인 네트워크 액세스 기술의 TePA 기반의 액세스 제어 방법의 구조에서 제어 포트의 인가 상태 및 비인가 상태를 통하여 각각 구현되고; 상기 TePA 기반의 TNC 아키텍처의 격리 기능은 필터 터널링 전송 제어 기법을 이용하여 구현되는
TePA 기반의 TNC 아키텍처를 위한 액세스 제어 방법. - 제1항 내지 제4항 중 어느 한 항에 있어서,
상기 중첩된 캡슐화를 이용한 TAEP 패킷은 아래의 구조를 가지는
TePA 기반의 TNC 아키텍처를 위한 액세스 제어 방법.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910022911.3 | 2009-06-08 | ||
| CN2009100229113A CN101572704B (zh) | 2009-06-08 | 2009-06-08 | 一种适合三元对等鉴别可信网络连接架构的访问控制方法 |
| PCT/CN2009/075444 WO2010142115A1 (zh) | 2009-06-08 | 2009-12-09 | 一种适合三元对等鉴别可信网络连接架构的访问控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20120017079A true KR20120017079A (ko) | 2012-02-27 |
| KR101434614B1 KR101434614B1 (ko) | 2014-08-26 |
Family
ID=41231941
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020117031058A KR101434614B1 (ko) | 2009-06-08 | 2009-12-09 | 3-요소 피어 인증 기반의 신뢰성 있는 네트워크 연결 구조를 위한 액세스 제어 방법 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8719897B2 (ko) |
| EP (1) | EP2442516B1 (ko) |
| JP (1) | JP5581382B2 (ko) |
| KR (1) | KR101434614B1 (ko) |
| CN (1) | CN101572704B (ko) |
| WO (1) | WO2010142115A1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220059216A1 (en) * | 2020-08-20 | 2022-02-24 | Centurylink Intellectual Property Llc | Home Health Monitoring of Patients via Extension of Healthcare System Network Into Customer Premises |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572704B (zh) | 2009-06-08 | 2012-05-23 | 西安西电捷通无线网络通信股份有限公司 | 一种适合三元对等鉴别可信网络连接架构的访问控制方法 |
| CN101662410B (zh) * | 2009-09-22 | 2012-07-04 | 西安西电捷通无线网络通信股份有限公司 | 一种基于隧道技术的三元鉴别可扩展方法及其系统 |
| CN101707621B (zh) * | 2009-12-11 | 2012-05-09 | 西安西电捷通无线网络通信股份有限公司 | 一种适合三元对等鉴别可信网络连接架构的网络传输方法 |
| CN101741726B (zh) * | 2009-12-18 | 2012-11-14 | 西安西电捷通无线网络通信股份有限公司 | 一种支持多受控端口的访问控制方法及其系统 |
| US9038143B2 (en) | 2010-10-13 | 2015-05-19 | China Iwncomm Co., Ltd. | Method and system for network access control |
| CN101958908B (zh) * | 2010-10-13 | 2012-08-08 | 西安西电捷通无线网络通信股份有限公司 | 网络访问控制方法及系统 |
| CN102006291A (zh) * | 2010-11-10 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 一种适合可信连接架构的网络传输方法及系统 |
| US20140136208A1 (en) * | 2012-11-14 | 2014-05-15 | Intermec Ip Corp. | Secure multi-mode communication between agents |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7389529B1 (en) * | 2003-05-30 | 2008-06-17 | Cisco Technology, Inc. | Method and apparatus for generating and using nested encapsulation data |
| WO2008024135A2 (en) | 2005-12-09 | 2008-02-28 | Signacert, Inc. | Method to verify the integrity of components on a trusted platform using integrity database services |
| JP4728871B2 (ja) * | 2006-05-08 | 2011-07-20 | 株式会社日立製作所 | 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末 |
| JP2008141352A (ja) * | 2006-11-30 | 2008-06-19 | Toshiba Corp | ネットワークセキュリティシステム |
| CN100534036C (zh) * | 2007-08-01 | 2009-08-26 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接方法 |
| CN100566252C (zh) * | 2007-08-03 | 2009-12-02 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接系统 |
| CN101136928B (zh) * | 2007-10-19 | 2012-01-11 | 北京工业大学 | 一种可信网络接入控制系统 |
| JP2009118267A (ja) * | 2007-11-07 | 2009-05-28 | Nippon Telegr & Teleph Corp <Ntt> | 通信ネットワークシステム、通信ネットワーク制御方法、通信制御装置、通信制御プログラム、サービス制御装置およびサービス制御プログラム |
| CN100553212C (zh) * | 2007-11-16 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
| CN101360020B (zh) * | 2008-09-28 | 2011-04-06 | 西安电子科技大学 | 基于eap的ieee802.1x安全协议的仿真平台及方法 |
| CN101447992B (zh) * | 2008-12-08 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 一种基于三元对等鉴别的可信网络连接实现方法 |
| CN101572704B (zh) * | 2009-06-08 | 2012-05-23 | 西安西电捷通无线网络通信股份有限公司 | 一种适合三元对等鉴别可信网络连接架构的访问控制方法 |
-
2009
- 2009-06-08 CN CN2009100229113A patent/CN101572704B/zh active Active
- 2009-12-09 KR KR1020117031058A patent/KR101434614B1/ko active IP Right Grant
- 2009-12-09 US US13/377,098 patent/US8719897B2/en active Active
- 2009-12-09 EP EP09845724.5A patent/EP2442516B1/en not_active Not-in-force
- 2009-12-09 JP JP2012514320A patent/JP5581382B2/ja active Active
- 2009-12-09 WO PCT/CN2009/075444 patent/WO2010142115A1/zh active Application Filing
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220059216A1 (en) * | 2020-08-20 | 2022-02-24 | Centurylink Intellectual Property Llc | Home Health Monitoring of Patients via Extension of Healthcare System Network Into Customer Premises |
| US12159707B2 (en) * | 2020-08-20 | 2024-12-03 | Centurylink Intellectual Property Llc | Home health monitoring of patients via extension of healthcare system network into customer premises |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2012529795A (ja) | 2012-11-22 |
| US20120079561A1 (en) | 2012-03-29 |
| KR101434614B1 (ko) | 2014-08-26 |
| EP2442516B1 (en) | 2019-09-18 |
| WO2010142115A1 (zh) | 2010-12-16 |
| EP2442516A1 (en) | 2012-04-18 |
| EP2442516A4 (en) | 2017-03-15 |
| JP5581382B2 (ja) | 2014-08-27 |
| CN101572704A (zh) | 2009-11-04 |
| CN101572704B (zh) | 2012-05-23 |
| US8719897B2 (en) | 2014-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101434614B1 (ko) | 3-요소 피어 인증 기반의 신뢰성 있는 네트워크 연결 구조를 위한 액세스 제어 방법 | |
| Aboba et al. | Extensible authentication protocol (EAP) | |
| AU2003243680B2 (en) | Key generation in a communication system | |
| Aboba et al. | RFC 3748: Extensible authentication protocol (EAP) | |
| US8094821B2 (en) | Key generation in a communication system | |
| EP2421215B1 (en) | Method for establishing trusted network connect framework of tri-element peer authentication | |
| RU2448427C2 (ru) | Способ согласования секретного ключа одноадресной рассылки wapi | |
| CN101272379A (zh) | 基于IEEE802.1x安全认证协议的改进方法 | |
| CN102271120A (zh) | 一种增强安全性的可信网络接入认证方法 | |
| CN113783868A (zh) | 一种基于商用密码保护闸机物联网安全的方法及系统 | |
| CN1225941C (zh) | 无线ip系统移动节点的漫游接入方法 | |
| CN107528857A (zh) | 一种基于端口的认证方法、交换机及存储介质 | |
| WO2011069355A1 (zh) | 一种适合三元对等鉴别可信网络连接架构的网络传输方法 | |
| KR100819024B1 (ko) | 아이디/패스워드를 이용한 사용자 인증 방법 | |
| KR100527631B1 (ko) | Ad-hoc 네트워크의 단말기에서 사용자 인증 시스템및 그 방법 | |
| Han-Ying et al. | An Enhanced Identity Authentication Security Access Control Model Based on | |
| WO2011072512A1 (zh) | 一种支持多受控端口的访问控制方法及其系统 | |
| Chen et al. | An Enhanced Identity Authentication Security Access Control Model Based on 802.1 x Protocol | |
| Kappes et al. | Content authentication in enterprises for mobile devices | |
| CN102006291A (zh) | 一种适合可信连接架构的网络传输方法及系统 | |
| Cam-Winget et al. | Dynamic Provisioning Using Flexible Authentication via Secure Tunneling Extensible Authentication Protocol (EAP-FAST) | |
| Hoeper | EMU Working Group S. Hartman, Ed. Internet-Draft Painless Security Intended status: Standards Track T. Clancy Expires: May 2, 2012 Electrical and Computer Engineering | |
| Aboba et al. | EAP Working Group L. Blunk Internet-Draft Merit Network, Inc Obsoletes: 2284 (if approved) J. Vollbrecht Expires: August 14, 2004 Vollbrecht Consulting LLC | |
| Yun-hua et al. | Research on the security of IEEE 802.1× authentication mechanism in wireless LAN | |
| Shih et al. | Design and Implementation of IEEE 802.11 i in WIRE1x |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| PA0105 | International application |
Patent event date: 20111226 Patent event code: PA01051R01D Comment text: International Patent Application |
|
| PA0201 | Request for examination | ||
| PG1501 | Laying open of application | ||
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20130710 Patent event code: PE09021S01D |
|
| AMND | Amendment | ||
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20140122 Patent event code: PE09021S01D |
|
| AMND | Amendment | ||
| E601 | Decision to refuse application | ||
| PE0601 | Decision on rejection of patent |
Patent event date: 20140520 Comment text: Decision to Refuse Application Patent event code: PE06012S01D Patent event date: 20140122 Comment text: Notification of reason for refusal Patent event code: PE06011S01I Patent event date: 20130710 Comment text: Notification of reason for refusal Patent event code: PE06011S01I |
|
| AMND | Amendment | ||
| PX0901 | Re-examination |
Patent event code: PX09011S01I Patent event date: 20140520 Comment text: Decision to Refuse Application Patent event code: PX09012R01I Patent event date: 20140324 Comment text: Amendment to Specification, etc. Patent event code: PX09012R01I Patent event date: 20130905 Comment text: Amendment to Specification, etc. |
|
| PX0701 | Decision of registration after re-examination |
Patent event date: 20140710 Comment text: Decision to Grant Registration Patent event code: PX07013S01D Patent event date: 20140619 Comment text: Amendment to Specification, etc. Patent event code: PX07012R01I Patent event date: 20140520 Comment text: Decision to Refuse Application Patent event code: PX07011S01I Patent event date: 20140324 Comment text: Amendment to Specification, etc. Patent event code: PX07012R01I Patent event date: 20130905 Comment text: Amendment to Specification, etc. Patent event code: PX07012R01I |
|
| X701 | Decision to grant (after re-examination) | ||
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20140820 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20140821 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| FPAY | Annual fee payment |
Payment date: 20170811 Year of fee payment: 4 |
|
| PR1001 | Payment of annual fee |
Payment date: 20170811 Start annual number: 4 End annual number: 4 |
|
| PR1001 | Payment of annual fee |
Payment date: 20200807 Start annual number: 7 End annual number: 7 |
|
| PR1001 | Payment of annual fee |
Payment date: 20220810 Start annual number: 9 End annual number: 9 |