WO2006086931A1 - Methode de controle d'acces pair a pair basee sur les ports - Google Patents

Description

基于端口的对等访问控制方法 技术领域

本发明涉及一种网络技术， 尤其涉及一种基于端口的对等访问控 制方法。 背景技术

网络访问控制一般涉及三个系统： 用户、 接入点和后台服务器， 后台服务器对用户和接入点进行集中管理。 IEEE 802. lx 称为基于端 口的访问控制协议 ( Port based network acces s control protocol ) 。 当前有线网络中， 除了传统的浏览器 （WEB/Portal )访问控制方法和 以太网上的点到点协议 PPPoE ( Point to Point Protocol over Ethernet )访问控制方法以外， 新兴的访问方法则基于 IEEE802. lx 技术。 IEEE 802. lx技术具有控制和业务分离， 高灵活性， 强适应性 等优点， 已在各种网絡中广泛应用。 而且众多的无线网絡如无线局域 网 IEEE 802. 11、 无线城域网 IEEE802. 16e等都采用 IEEE 802· lx技 术。

网络访问控制的关键是认证， 认证的目的是要在用户和接入点之 间建立信任， 这是提供网络服务的基础。 无论是有线网络接入还是无 线网絡接入都需要采用某一种安全机制来实现网络和用户之间的相互 认证。

IEEE 802. lx是在链路层实现认证的方法， 它是基于端口的技术。 一个系统的端口提供了一个方法， 通过这种方法使该系统访问其他系 统的服务和提供服务给其他系统。

IEEE 802. lx定义了三种实体：

认证端 （ Authenticator ) - -在系统提供的服务在允许被访问 前， 系统的端口控制实体要对请求端进行 证和授权。 该系统称为认 证端系统， 它的端口控制实体称为认证端；

请求端（Suppl icant ) - -系统要访问由认证端系统所提供服务。 该系统称为请求端系统， 它的端口控制实体称为请求端；

认证 JI良务器（Authent icat ion Server) 一 -认证 务器是这样一 个实体， 它代表认证端来鉴别请求端的资格， 决定请求端系统是否能 获得授权， 去访问由认证端系统所提供的服务。

认证端系统和传输媒介有两个访问点。 一个访问点称为受控端 口， 它有两个状态： 认证的和未认证的， 当它的状态是认证的时， 才 允许数据包通过； 而另一个访问点称为非受控端口， 它无论状态如何， 都允许数据包通过。

图 1给出了 IEEE 802. lx的功能实体关系。

由于 IEEE 802. lx只提供了一个认证的框架， 在实际使用中则是 和可 "展认证协议 EAP ( Extens ible Authent icat ion Protocol ) 结 合来提供认证及密钥协商。 IEEE 802. lx 的结构是不对等结构， 请求 端和认证端功能相差很大。 请求端没有端口控制功能， 而认证端没有 认证功能， 认证是在请求端和认证 ϋ良务器之间进行的。 虽然认证服务 器可以和认证端在一个系统中实现， 但这将大大减弱 IEEE 802. lx对 认证端集中控制的优势。 而目前普遍采用的方法是认证服务器和认证 端在不同的系统中实现。 认证时， 认证服务器直接把认证结果传递给 认证端； 若还要进行密钥协商， 密钥协商需在认证服务器和渚求端之 间进行， 然后由认证服务器将协商的出来的密钥发送给认证端， 请求 端和认证端基于动态的共享密钥进行认证与密钥协商。 因此其存在的 缺点是：

1、 IEEE 802. lx的结构是不对等结构， 请求端和认证端功能相差 很大。 请求端没有端口控制功能， 而认证端没有认证功能， 认证是在 请求端和认证服务器之间进行的。 虽然认证服务器可以和认证端在一 个系统中实现， 但这将大大减弱 IEEE 802. lx对认证端集中控制的优 势。

2、 可扩展性差。 在每一个认证端和认证服务器之间存在预定义 的安全通道。 安全通道越多， 需要耗费的认证服务器系统资源越多， 管理也越复杂， 因此不宜配置大量的安全通道， 网络扩展性受限；

3、 密钥协商过程复杂。 密钥用于请求端和认证端之间的数据保 护， 却要先在请求端和认证服务器之间协商， 再在请求端和认证端之 间协商。

4、 引入新的攻击点， 安全性有所降低。 请求端和认证服务器协 商出来的主密钥由认证服务器传递给认证端。 密钥在网络上传递， 引 入了新的安全攻击点。 5、 认证端没有独立的身份。 对于请求端， 同一认证服务器管理 下的认证端的身份是不可区分的， 在需要区分认证端的应用环境下要 增加额外的功能实体， 这带来了复杂性。 发明内容

本发明的目的要解决背景技术的不足之处， 通过改变背景技术的 不对等性， 提供一种对等的访问控制方法。 本发明的方法既能满足 集中管理的要求， 又解决了现有网络访问控制方法的过程复杂、 安 全性能差、 可扩展性差等技术问题， 为网絡的安全访问提供了根本 保障。

本发明的技术解决方案如下： 一种基于端口的对等访问控制方 法， 该方法包括

1) 启用认证控制实体： 当用户和接入点要进行通信时， 先启用 认证控制实体； 所述的认证控制实体具有用于认证的唯一身份， 其包 括认证子系统以及连接认证子系统和传输媒介的两个访问点； 所述的 两个访问点包括受控端口和非受控端口； 所述的认证子系统包括实现 认证和端口控制功能， 所述的认证子系统和非受控端口相连， 受控端 口的状态转变由认证子系统控制；

2) 两个认证控制实体相互认证： 两个认证控制实体通过非受控 端口进行通信， 它们的认证子系统进行相互的认证；

3) 设定受控端口的状态： 当认证成功， 认证子系统设定受控端 口的状态为认证的， 受控端口从断开状态转变为闭合状态， 允许数据 包通过； 若认证不成功， 认证子系统设定受控端口的状态为未认证的， 受控端口仍然保持断开状态。

上述方法还可包括

启用认证服务器实体： 当用户和接入点要进行通信时， 先启用认 证控制实体和认证服务器实体； 所述认证服务器实体存储有关认证控 制实体的安全管理信息； 所述的认证服务器实体和认证控制实体的认 证子系统相连接， 认证服务器实体和认证控制实体中的认证子系统交 互安全管理消息， 提供认证所必须的信息； 所述认证子系统是在认证 服务器实体的辅助下完成认证过程， 或自行完成认证过程。

上述的认证服务器实体存储认证控制实体的属性信息， 认证服务 器实体把属性信息传递给认征控制实体。

上述方法还可包括

两个认证子系统进行密钥协商： 所述的认证子系统包括密钥协商 功能， 所述的两个认证控制实体相互认证时， 在认证过程中或认证完 成后， 可进行密钥协商； 若是在认证完成后独立进行密钥协商， 那么 密钥协商由两个认证控制实体自行完成。

上述的密钥协商在认证过程中和认证同时完成时， 认证子系统可 以在认证 JI艮务器实体的辅助下完成密钥协商过程， 或自行完成密钥协 商过程。

上述的认证服务器实体存储认证控制实体的属性信息， 认证服务 器实体把属性信息传递给 证控制实体。

上述方法还可包括

设定受控端口的状态： 当认证及密钥协商过程都成功完成后， 认 证子系统设定受控端口的状态为认证的， 受控端口从断开状态转变为 闭合状态， 允许数据包通过； 若认证及密钥协商过程不成功， 认证子 系统设定受控端口的状态为未认证的， 受控端口仍然保持断开状态。

上述认证控制实体和认证服务器实体可以在一个系统中， 也可以 在不同系统中； 所述一个系统可以包含一个认证控制实体， 也可以包 含多个认证控制实体。

本发明的优点是：

1、 对等化控制。 本方法使用户和接入点都包含认证控制实体， 则用户和接入点可以直接进行认证， 即对等化， 对认证功能提供了更 强大的支持；

2、 认证控制实体具有可区分性。 认证控制实体具有独立的身份， 不再是认证服务器的简单受控者， 认证控制实体独立的身份使之脱离 了对认证服务器实体的本质依赖， 从而认证控制实体本身具有可区分 性；

3、 扩展性好。 认证控制实体和认证服务器实体之间不必存在预 定义的安全通道， 便于认证服务器实体对认证控制实体进行集中控 制， 具有很好的扩展性；

4、 安全性好。 认证控制实体可以直接和其他的认证控制实体进 行密钥协商， 还原了密钥协商的直接性， 简化了网络的实现， 并增强 了安全性；

5、 密钥协商过程简单。 认证控制实体可以直接和其他的认证控 制实体进行密钥协商， 降低了复杂性， 提高了密钥协商的效率；

6、 系统相对完整。 认证服务器实体是认证控制实体的安全管理 者， 包含了认证技术中密钥管理的功能， 本发明的几个实体一起构成 了完整的安全系统， 独立完成认证及密钥协商功能；

7、 灵活性高。 认证服务器实体可以提供丰富的附加功能， 具有 很强的灵活性；

8、 实现方式灵活。 本方法定义的功能实体并不要求在不同的网 络系统中实现， 一个网络系统可以实现一个或多个功能实体。 如图 3 所示， 认证控制实体和认证服务器实体在同一个网络系统内实现。 同 时也不要求一个认证服务器实体对应一个认证控制实体， 一个认证服 务器实体可以对应、 管理多个认证控制实体。 如图 4 所示， 认证控制 实体 1通过认证控制实体 2的非受控端口和认证服务器实体通信。 附图图面说明

图 1是 IEEE 802. lx的功能实体连接关系图；

图 2是本发明的功能实体连接关系图；

图 3 是本发明认证服务器实体和认证控制实体在一个系统内实现 的原理图；

图 4 是本发明一个认证服务器实体对应多个认证控制实体的原理 图。 具体实施方式

本发明包含以下两种实体：

1) 认证控制实体：

认证控制实体包括和传输媒介相连的两个访问点。 一个访问点称 为受控端口， 它有两个状态： 认证的状态和未认证的状态。 当它的状 态是认证的时， 才允许数据包通过； 而另一个访问点称为非受控端口， 它无论状态如何， 都允许数据包通过。 认证控制实体的受控端口和非 受控端口会同时收到下层传输媒介的数据包。

认证控制实体包含认证子系统， 认证子系统实现认证、 密钥协商 等安全功能和端口控制功能。 认证子系统和非受控端口相连， 受控端 口的状态转变由认证子系统控制。

认证控制实体具有用于认证的唯一身份， 可以独立的实现认证功 能。

2) 认证服务器实体：

认证服务器实体存储有关认证控制实体的安全管理信息， 它和认 证控制实体的认证子系统相连接。 在认证控制实体和其他认证控制实 体进行认证时， 认证服务器实体和认证控制实体中的认证子系统交互 安全管理消息， 提供认证所必须的信息， 但认证服务器实体并不代表 认证控制实体完成认证。 认证服务器实体还存储认证控制实体的属性 信息， 根据应用需要， 认证服务器实体把属性信息传递给认证控制实 体。

认证控制实体和认证服务器实体的关系如附图 2所示。

本发明的对等访问控制方法的一种具体过程：

1) 启用认证控制实体： 当用户和接入点要进行通信时， 它们都 必须先启用认证控制实体。

2) 两个认证控制实体相互认证： 两个认证控制实体通过非受控 端口进行通信， 它们的认证子系统进行相互的认证。 认证子系统可以 不需要认证服务器实体的辅助， 自行完成认证过程。

3) 两个认证控制实体进行密钥协商： 如果两个认证控制实体需 要进行密钥协商， 则密钥协商可以在认证过程中和认证同时完成， 也 可以在认证过程完成后独立进行。 若是在认证完成后独立进行密钥协 商， 那么密钥协商由两个认证控制实体自行完成， 不需要认证服务器 实体的参加。

4) 设定受控端口的状态： 当认证及密钥协商成功， 认证子系统 设定受控端口的状态为认证的， 受控端口从断开状态转变为闭合状 态， 允许数据包通过； 若认证不成功， 认证子系统设定受控端口的状 态为未认证的， 受控端口仍然保持断开状态。

本发明的对等访问控制方法的另一种具体过程：

1) 启用认证控制实体和认证 Ji 务器实体： 当用户和接入点要进 行通信时， 它们都启用认证控制实体和认证服务器实体。

2) 两个认证控制实体相互认证： 两个认证控制实体通过非受控 端口进行通信， 它们的认征子系统进行相互的认证。 认证子系统可以 在认证服务器实体的辅助下完成认证过程， 还可以不需要认证 Ji艮务器 实体的辅助， 自行完成认证过程。

3) 两个认证控制实体进行密钥协商： 如果两个认证控制实体需 要进行密钥协商， 则密钥协商可以在认证过程中和认证同时完成， 也 可以在认证过程完成后独立进行。 若是在认证完成后独立进行密钥协 商， 那么密钥协商由两个认证控制实体自行完成， 不需要认证服务器 实体的参加。

4) 设定受控端口的状态： 当认证及密钥协商成功， 认证子系统 设定受控端口的状态为认证的， 受控端口从断开状态转变为闭合状 态， 允许数据包通过； 若认证不成功， 认证子系统设定受控端口的状 态为未认证的， 受控端口仍然保持断开状态。

认证控制实体和认证服务器实体的关系如附图 2所示。

本发明的原理是：

使用户和接入点都包含认证控制实体， 则用户和接入点可以直接 进行认证， 即对等的访问控制， 对认证功能提供了更强大的支持。 认 证控制实体具有独立的身份， 不再是认证服务器实体的简单受控者。 认证控制实体独立的身份使之脱离了对认证服务器实体的本质依赖， 从而认证控制实体本身具有可区分性。 认证控制实体可以直接和其他 的认证控制实体进行密钥协商， 还原了密钥协商的直接性。 认证服务 器是认证控制实体的安全管理者， 包含了认证技术中密钥管理的功 能， 构成了完整的安全系统， 独立完成认证及密钥协商功能。

在实践应用中， 网络接入控制中的用户和接入点都通过认证控制 实体实现认证， 而后台服务器通过认证服务器实体进行安全管理。

本发明所涉及的技术术语如下：

IEEE 802. lx 基于端口的访问控制协议 ( Port based network access control protocol ) ；

PPPoE -点到点协议 ( Point to Point Protocol over Ethernet ) ； IEEE 802. 11 -无线局域网；

IEEE802. 16e -无线城域网；

Authent icator -认证端；

Suppl icant -请求端； Authentication Server -认证服务器；

EAP一可护展认证协议 ( Extensible Authentication Protocol )

Claims

权 利 要 求

1、 一种基于端口的对等访问控制方法， 其特征在于： 所述方法 包括

1) 启用认证控制实体： 当用户和接入点要进行通信时， 先启用 认证控制实体； 所述的认证控制实体具有用于认证的唯一身份， 其包 括认证子系统以及连接认证子系统和传输媒介的两个访问点； 所述的 两个访问点包括受控端口和非受控端口； 所述的认证子系统包括实现 认证和端口控制功能， 所述的认证子系统和非受控端口相连， 受控端 口的状态转变由认证子系统控制；

2) 两个认证控制实体相互认证： 两个认证控制实体通过非受控 端口进行通信， 它们的认证子系统进行相互的认证；

3) 设定受控端口的状态： 当认证成功， 认证子系统设定受控端 口的状态为认证的， 受控端口从断开状态转变为闭合状态， 允许数据 包通过； 若认证不成功， 认证子系统设定受控端口的状态为未认证的， 受控端口仍然保持断开状态。

2、 根据权利要求 1 所述的基于端口的对等访问控制方法， 其特 征在于： 所述方法包括

启用认证服务器实体： 当用户和接入点要进行通信时， 先启用认 证控制实体和认证服务器实体； 所述认证服务器实体存储有关认证控 制实体的安全管理信息； 所述的认证服务器实体和认证控制实体的认 证子系统相连接， 认证服务器实体和认证控制实体中的认证子系统交 互安全管理消息， 提供认证所必须的信息； 所述认证子系统是在认证 服务器实体的辅助下完成认证过程， 或自行完成认证过程。

3、 根据权利要求 1 或 1 所述的基于端口的对等访问控制方法， 其特征在于： 所述方法包括

两个认证子系统进行密钥协商： 所述的认证子系统包括密钥协商 功能， 所述的两个认证控制实体相互认证时， 在认证过程中或认证完 成后， 可进行密钥协商； 若是在认证完成后独立进行密钥协商， 那么 密钥协商由两个认证控制实体自行完成。

4、 根据权利要求 3 所述的基于端口的对等访问控制方法， 其特 征在于： 所述的密钥协商在认证过程中和认证同时完成时， 认证子系 统可以在认证服务器实体的辅助下完成密钥协商过程， 或自行完成密 钥协商过程。

5、 根据权利要求 1 或 2 所述的基于端口的对等访问控制方法， 其特征在于： 所述的认证服务器实体存储认证控制实体的属性信息， 认证服务器实体把属性信息传递给认证控制实体。

6、 根据权利要求 3 所述的基于端口的对等访问控制方法， 其特 征在于： 所述的认证服务器实体存储认证控制实体的属性信息， 认证 服务器实体把属性信息传递给认证控制实体。

7、 根据权利要求 3 所述的基于端口的对等访问控制方法， 其特 征在于： 所述方法包括

设定受控端口的状态： 当认证及密钥协商过程都成功完成后， 认 证子系统设定受控端口的状态为认证的， 受控端口从断开状态转变为 闭合状态， 允许数据包通过； 若认证及密钥协商过程不成功， 认证子 系统设定受控端口的状态为未认证的， 受控端口仍然保持断开状态。

8、 根据权利要求 1 或 2 所述的基于端口的对等访问控制方法， 其特征在于： 所述认证控制实体和认证 JI良务器实体可以在一个系统 中， 也可以在不同系统中； 所述一个系统可以包含一个认证控制实体， 也可以包含多个认证控制实体。