WO2008074234A1 - Système de contrôle d'accès p2p faisant intervenir une structure à trois éléments et dispositif d'autorisation associé - Google Patents

Description

一种三元结构的对等访问控制系统及鉴权者

本申请要求于 2006 年 12 月 18 日提交中国专利局、 申请号为 200610105204.7、 发明名称为"一种三元结构的对等访问控制系统"的中国专利 申请的优先权， 其全部内容通过引用结合在本申请中。

技术领域

本发明涉及一种网络访问控制系统，特别涉及一种三元结构的对等访问控 制系统及鉴权者。

背景技术

网络的基本功能是给各种终端提供网络服务，虽然终端可以物理的连接到 网络上，但是连接到网络上的不一定是经过授权的合法终端， 终端连接的也并 不一定是其所需要的网络， 因此， 在终端和网络通信前需要鉴别和授权功能来 互相鉴别对方的合法性， 即需要进行终端和网络间的双向访问控制， 以保证通 信的安全。

图 1 是终端和网络间的双向访问控制示意图， 终端 1 通过接入控制器 3 接入网络 4 , 在终端 1开始使用网络 4的资源之前， 终端 1和接入控制器 3之 间要完成访问控制 2 , 即：

1、 接入控制器 3检查终端 1是否有访问网络 4的权限， 即对终端 1进行 认证；

2、 终端 1检查接入控制器 3是否是合法的设备， 以防止数据被截取， 即 对网络 4进行认证。

在认证中需要用到实体和元的概念，其中实体是指在网络结构中完成特定 功能， 能够独立存在的功能体， 一般釆用独立的设备实现； 元是指在网络接入 认证中具有认证功能的功能体。 在网络中， 实体如果具有认证功能， 其就是一 个元； 如果实体没有认证功能， 其就不是一个元。

根据参与认证的实体的数目不同，实现终端与网络的双向认证有两种网络

EAP)中有详细描述。

第一种网络结构参见图 2 所示的二元二实体结构， 包括终端和接入控制 器， 终端对应实体一， 接入控制器对应实体二。 其中终端具有认证凭证、 认证 功能和控制是否接入网络的功能， 对应元一； 接入控制器具有认证凭证、 认证 功能和根据认证结果控制终端接入的功能， 对应元二。 在该网络结构中， 终端 和接入控制器都有认证功能， 支持双向认证。

但是二元二实体结构不存在认证服务器， 灵活性受到很大限制。 而且终端 的数量通常都比较多，如果接入控制器的数量也比较多， 那么终端和接入控制 器之间的关系就是多对多， 非常难于管理。 因此这种结构形式一般只用于接入 控制器数量很少的情况下， 其应用具有很大的局限性。

第二种网络结构参见图 3所示的二元三实体结构， 包括终端、接入控制器 和服务器， 分别对应实体一、 实体二和实体三。 其中终端具有认证凭证、 认证 功能和控制是否接入网络的功能，对应元一； 接入控制器具有根据认证结果控 制终端接入的功能， 没有认证功能； 服务器具有认证凭证和认证功能， 对应元 二。 二元三实体网络结构也称为透传 (Pass-through)模式， 在该网络结构中， 终 端和服务器都有认证功能， 而接入控制器没有认证功能， 所以该结构形式是通 过将实体二作为实体三的中继来支持双向认证。

二元三实体结构的接入控制器虚化， 只在终端和服务器之间进行认证，将 多个终端对应多个接入控制器的关系演变为多个终端对应一个服务器的关系， 即在它们之间建立信任关系 A。但是最终需要在终端和接入控制器之间建立信 任关系 B, 因此信任关系必须进行安全的转移， 即从信任关系 A转移到信任 关系 B。 信任关系的转移是通过从服务器发送一个密钥给接入控制器来完成 的。 但是该密钥如果泄漏将严重影响网络安全， 因此为了避免这一问题， 接入 控制器和服务器之间必须建立信任关系 C和安全通道。 而接入控制器收到密 钥后， 终端和接入控制器还必须确认信任关系 B。 所以， 终端和接入控制器之 间信任关系的建立需要经过三次信任关系的传递才能完成。而多次的信任关系 传递不但导致认证的复杂而且可能影响网络的安全， 应该尽量避免。

发明内容

本发明提供一种安全实现终端与网络双向认证的三元结构对等访问控制 系统及鉴权者，不但解决了现有的二元二实体结构访问控制系统中接入形式的 灵活性受到限制、接入控制器数量不宜扩展的技术问题， 而且解决了现有的二 元三实体结构访问控制系统中信任关系建立的过程复杂且影响网络安全的技 术问题。

本发明的技术解决方案是：

一种三元结构的对等访问控制系统， 包括主体、 鉴权者和认证服务器； 所述主体包括主体的底层、主体的封装层、主体的对等体层和主体的认证 权者的功能， 所述主体的认证方法层用于根据认证凭证进行认证；

所述鉴权者包括鉴权者的底层、鉴权者的传输层、鉴权者的封装层和鉴权 者的鉴权者层， 所述鉴权者的底层用于控制鉴权者是否允许主体接入；

所述认证服务器包括认证服务器的传输层、认证服务器的封装层、认证服 务器的对等体层和认证服务器的认证方法层，所述认证服务器的认证方法层用 于根据认证凭证进行认证；

其中：

所述鉴权者还包括鉴权者的认证方法层，所述鉴权者的认证方法层用于根 据认证凭证进行认证；

所述主体的认证方法层、鉴权者的认证方法层和认证服务器的认证方法层 共同构成认证协议层；

所述主体的认证方法层依次通过主体的对等体层、主体的封装层、主体的 底层、 鉴权者的底层、 鉴权者的封装层、 鉴权者的鉴权者层同鉴权者的认证方 法层进行认证协议通信， 所述鉴权者的认证方法层依次通过鉴权者的鉴权者 层、 鉴权者的封装层、 鉴权者的底层、 主体的底层、 主体的封装层、 主体的对 等体层同主体的认证方法层进行认证协议通信；

所述鉴权者的认证方法层依次通过鉴权者的鉴权者层、 鉴权者的封装层、 鉴权者的传输层、 认证服务器的传输层、 认证服务器的封装层、 认证服务器的 对等体层同认证服务器的认证方法层进行认证协议通信，所述认证服务器的认 证方法层依次通过认证服务器的对等体层、认证服务器的封装层、认证服务器 的传输层、 鉴权者的传输层、 鉴权者的封装层、 鉴权者的鉴权者层同鉴权者的 认证方法层进行认证协议通信。

上述主体的认证方法层同鉴权者的认证方法层进行的认证协议通信包含： 鉴权者的认证方法层发送给主体的认证方法层的请求消息和主体的认证方法 层发送给鉴权者的认证方法层的响应消息； 上述请求消息中包含一个类型字 段， 该类型字段是用来指示请求消息类型的字段； 上述响应消息中包含一个类 型字段， 对应于所述请求消息中的类型字段。

上述鉴权者的认证方法层同认证服务器的认证方法层进行的认证协议通 信包含：鉴权者的认证方法层发送给认证服务器的认证方法层的请求消息和认 证服务器的认证方法层向鉴权者的认证方法层响应消息；上述请求消息中包含 一类型字段， 该类型字段是用来指示请求消息类型的字段； 所述响应消息中包 含一个类型字段， 对应于所述请求消息中的类型字段。

上述主体的具体结构形式是终端；上述鉴权者的具体结构形式是接入控制 器； 上述认证服务器的具体结构形式是服务器。

一种鉴权者， 包括： 底层、 传输层、 封装层和鉴权者层； 所述底层用于控 制是否允许主体接入鉴权者； 其特征在于， 还包括： 认证方法层， 用于根据认 证凭证进行认证。

其中 , 所述鉴权者的具体结构形式是接入控制器。

在本发明网络结构形式下， 终端（主体）和接入控制器（鉴权者）进行认 证， 需要通过服务器（认证服务器）的协助来完成。 终端可以和接入控制器通 信， 不能和服务器通信， 接入控制器可以和终端通信， 也可以和服务器通信。 终端、接入控制器和服务器都参与认证， 直接在终端和接入控制器之间一次性 建立信任关系， 具有极好的安全性。

虽然本发明是三元结构，但是能和二元二实体结构兼容。在认证服务器不 存在的情况下， 本发明完全兼容于二元二实体的网络结构。 因此不论对于二元 二实体结构还是三元三实体结构， 本发明都可以适用， 充分符合现有的网络结 构。

此外，在实现符合本发明的系统时，认证方法层可以使用已有的认证协议， 也可设计新的认证协议。

附图说明

图 1是现有的终端和网络间的双向访问控制示意图；

图 2是现有技术二元二实体结构的网络访问控制系统的连接关系图； 图 3是现有技术二元三实体结构的网络访问控制系统的连接关系图； 图 4是本发明三元三实体结构的网络对等访问控制系统的连接关系图； 图 5是本发明三元三实体结构的网络对等访问控制系统的工作流程图； 图 6是本发明系统应用于一种具体证书鉴别过程的流程图；

其中： 1-终端， 2-访问控制， 3-接入控制器， 4-网络。

具体实施方式

首先， 介绍本发明的原理如下： 体、鉴权者和认证服务器的认证方法层是认证协议在各个参与者中的实现， 它 们共同构成认证协议层， 完成认证协议功能。

本发明对终端、接入控制器和服务器的功能进行了调整，使接入控制器具 有认证凭证和认证功能， 将网络结构形式变成三元三实体：

实体一 /元一： 终端（实体一）， 具有认证凭证、 认证功能和控制是否接入 网络的功能（元一）。

实体二 /元二： 接入控制器（实体二）， 具有认证凭证、 认证功能和根据认 证结果控制终端接入的功能（元二）。

实体三 /元三： 服务器（实体三）， 具有认证凭证和认证功能（元三）。 在这种结构形式下， 终端（主体）和接入控制器（鉴权者）进行认证， 需 要通过服务器（认证服务器）的协助来完成。 终端可以和接入控制器通信， 不 能和服务器通信， 接入控制器可以和终端通信， 也可以和服务器通信。 终端、 接入控制器和服务器都参与认证，直接在终端和接入控制器之间一次性建立信 任关系， 具有极好的安全性。

如果认证协议只需要主体和鉴权者参与 ,则主体的认证方法层和鉴权者的 认证方法层共同构成认证协议层，共同完成认证协议功能。如果主体和鉴权者 进行认证需要服务器的参与， 则需要主体的认证方法层、鉴权者的认证方法层 和认证服务器的认证方法层共同构成认证协议层，共同完成认证协议功能； 三 者之间可以运行同一个认证协议，也可以两两之间运行不同的认证协议，但本 质上两两之间的消息是有关联的，共同完成一个目的， 即完成主体和鉴权者之 间的认证。 在本技术领域中， 底层、 传输层、 封装层、 对等体层、 鉴权者层和认证方 法层的概念如下：

底层和传输层：底层和传输层负责在对等体和鉴权者之间传送和接收数据 帧， 该传输层是逻辑概念， 表示该层和相邻的底层可以不是同一种技术。

封装层： 封装层通过底层传送和接收三元可扩展鉴权协议 （ TEAP ,

Triple-unit Extensible Authentication Protocol )数据帧， 实现重复帧检测和重传、 在对等体层和鉴权者层之间传送消息。

对等体层和鉴权者层： 封装层解析 TEAP数据帧，传送到对等体层或鉴权 者层。 对等体层和鉴权者层解析收到的数据包， 传送给相应的认证方法层

认证方法层： 认证方法层实现了认证算法，通过对等体层和鉴权者层传送 消息。

本发明对等访问控制系统的具体结构见图 4, 包括： 终端、 接入控制器和 服务器。 终端 （对应于主体） 包括底层 （对应主体的底层）、 封装层（对应主 体的封装层）、 对等体层（对应主体的对等体层）和认证方法层（对应主体的 认证方法层）； 接入控制器（对应于鉴权者） 包括底层（对应鉴权者的底层）、 传输层（对应鉴权者的传输层）、封装层（对应鉴权者的封装层）、鉴权者层（对 应鉴权者的鉴权者层）和认证方法层 （对应鉴权者的认证方法层）； 服务器包 括传输层 （对应认证服务器的传输层）、 封装层（对应认证服务器的封装层）、 对等体层（对应认证服务器的对等体层）和认证方法层（对应认证服务器的认 证方法层）。

终端具有认证凭证、 认证功能和控制是否接入接入控制器的功能， 其中， 终端的认证方法层具有根据认证凭证进行认证的功能，终端的底层具有传送数 据以及根据认证结果控制终端是否接入接入控制器的功能；

接入控制器具有认证凭证、 认证功能和控制终端接入的功能， 其中， 接入 控制器的底层具有控制是否允许终端接入接入控制器的功能；接入控制器的认 证方法层具有根据认证凭证进行认证的功能；

服务器具有认证凭证和认证功能，是通过服务器的认证方法层来实现该功 能的；

终端的认证方法层、接入控制器的认证方法层和服务器的认证方法层共同 构成认证协议层。

终端的认证方法层依次通过终端的对等体层、封装层、底层以及接入控制 器的底层、封装层、鉴权者层来和接入控制器的认证方法层之间进行认证协议 通信； 接入控制器的认证方法层依次通过接入控制器的鉴权者层、 封装层、 底 层以及终端的底层、封装层、对等体层来和终端的认证方法层之间进行认证协 议通信。

接入控制器的认证方法层依次通过接入控制器的鉴权者层、封装层、传输 层以及服务器的传输层、封装层、对等体层来和服务器的认证方法层之间进行 认证协议通信； 服务器的认证方法层依次通过服务器的对等体层、 封装层、 传 输层以及接入控制器的传输层、封装层、鉴权者层来和接入控制器的认证方法 层之间进行认证协议通信。

如图 5所示， 是本发明的网络对等访问控制过程的流程图。 其中： 在终端 中实现主体功能， 在接入控制器中实现鉴权者功能，在服务器中实现认证服务 器功能； 在终端、接入控制器和服务器中实现认证方法的相应协议。 本发明系 统的工作过程具体如下：

501、 接入控制器发送请求消息给终端要求开始认证， 请求消息有一个类 型字段指示请求的种类， 类型可以是 Identity, MD5-Chanllenge等；

502、 终端发送响应消息给接入控制器来响应有效的请求消息， 响应消息 中包含一个类型字段， 对应于请求消息中的类型字段；

503、 根据认证方法的不同， 接入控制器必要时向服务器发送请求消息；

504、 服务器向接入控制器发送响应消息， 此请求消息和响应消息的序列 会持续需要的长度；

505 - 506、接入控制器发送请求消息给终端， 终端发送响应消息给接入控 制器， 请求消息和响应消息的序列根据需要持续交互； 当然， 根据认证方法的 不同， 终端可以不对接入控制器发送的请求消息进行响应；

507、 对话一直持续到接入控制器不能认证终端， 接入控制器或停止发送 请求消息， 结束消息交互， 接入控制器将发送失败消息给终端， 接入控制器不 允许终端接入接入控制器； 或者接入控制器判断成功的认证已经完成，接入控 制器或停止发送请求消息， 结束消息交互， 或发送成功消息给终端， 接入控制 器允许终端接入接入控制器； 此时终端和接入控制器之间的访问控制完成。 本发明的实施方式之一是在国标 GB15629.11-2003/XG1-2006中定义的认 证方法的模型下应用， 该标准中描述的证书鉴别过程应用本发明步骤详见图 6, 具体如下：

图 6中的 ASUE ( Authentication Supplicant Entity )是鉴别请求者实体， 也 就是终端， 实现主体功能； AE ( Authenticator Entity )是鉴别器实体， 也就是 接入控制器， 实现鉴权者功能； ASE ( Authentication Service Entity )是鉴别服 务实体， 也就是服务器， 实现认证服务器功能。 标准中描述的认证方法在 ASUE、 AE和 ASE中都要实现， 符合本发明方法的模型， 可以应用在本发明 的系统中， 具体如下：

601、 AE向 ASUE发送请求消息；

602、 ASUE向 AE发送响应消息；

603、 AE向 ASE发送请求消息；

604、 ASE向 AE发送响应消息；

605、 AE向 ASUE发送请求消息； ASUE收到请求消息， 不需发送响应消 息； AE停止发送消息。

消息中所包含的具体字段定义参见国标 GB15629.11-2003/XG1-2006的定 义。

本发明的实施方式之二是在 Otway-Rees协议下应用， 参见 Otway,D. and Ress,0., "Efficient and timely mutual authentication" ACE OSR,Vol.21,No.l,pp.8-10,Jan.l987。 该协议是用于身份认证的， 不能在以前的 网络结构形式下应用。 本发明的系统与该协议结合， 其具体步骤如下：

参与者为 Alice、 Bob和 Trent。

l]Bob发送请求消息要求开始认证；

2]Alice生成一条消息， 其中包括一个索引号码、 她的身份、 Bob 的身份 和一个随机数， 并将这条消息釆用她和 Trent的共享密钥加密。 然后， 将密文 连同索引号、 Alice和 Bob的身份一起发送给 Bob;

3]Bob生成一条消息， 其中包括一个新的随机数、 索引号、 Alice和 Bob 的身份，并将这条消息釆用他和 Trent的共享密钥加密。然后，将密文连同 Alice 的密文、 索引号、 Alice和 Bob的身份一起发送给 Trent;

4]Trent生成一个随机的会话密钥。 此后， 生成两条消息。 第一条消息是 将 Alice的随机数和会话密钥釆用他和 Alice的共享密钥加密。 第二条消息是 将 Bob的随机数和会话密钥釆用他和 Bob的共享密钥加密。 最后， Trent将这 两条消息连同索引号一起发送给 Bob。

5]Bob将属于 Alice的那条消息连同索引号一起发送给 Alice。

6]如果所有的随机数都匹配， 而且通信过程中索引号没有被改动， 那么认 证成功。

可以看出， Alice、 Bob和 Trent分别实现主体、鉴权者和认证服务器功能， 该认证协议可以在本发明的系统中应用。

综上所述， 在本发明网络结构形式下， 终端（主体）和接入控制器（鉴权 者）进行认证， 需要通过服务器（认证服务器）的协助来完成。 终端可以和接 入控制器通信， 不能和服务器通信， 接入控制器可以和终端通信， 也可以和服 务器通信。 终端、接入控制器和服务器都参与认证， 直接在终端和接入控制器 之间一次性建立信任关系， 具有极好的安全性。

虽然本发明是三元结构，但是能和二元二实体结构兼容。在认证服务器不 存在的情况下， 本发明完全兼容于二元二实体的网络结构。 因此不论对于二元 二实体结构还是三元三实体结构， 本发明都可以适用， 充分符合现有的网络结 构。

此外，在实现符合本发明的系统时，认证方法层可以使用已有的认证协议， 也可设计新的认证协议。

上述实施例是用于说明和解释本发明的原理的。可以理解， 本发明的具体 实施方式不限于此。对于本领域技术人员而言，在不脱离本发明的实质和范围 的前提下进行的各种变更和修改均涵盖在本发明的保护范围之内。 因此， 本发 明的保护范围由权利要求确定。

Claims

权 利 要 求

1、 一种三元结构的对等访问控制系统， 包括主体、 鉴权者和认证服务器； 所述主体包括主体的底层、主体的封装层、主体的对等体层和主体的认证 权者的功能， 所述主体的认证方法层用于根据认证凭证进行认证；

所述鉴权者包括鉴权者的底层、鉴权者的传输层、鉴权者的封装层和鉴权 者的鉴权者层， 所述鉴权者的底层用于控制是否允许主体接入鉴权者；

所述认证服务器包括认证服务器的传输层、认证服务器的封装层、认证服 务器的对等体层和认证服务器的认证方法层，所述认证服务器的认证方法层用 于根据认证凭证进行认证；

其特征在于：

所述鉴权者还包括鉴权者的认证方法层，所述鉴权者的认证方法层用于根 据认证凭证进行认证；

所述主体的认证方法层、鉴权者的认证方法层和认证服务器的认证方法层 共同构成认证协议层；

所述主体的认证方法层依次通过主体的对等体层、主体的封装层、主体的 底层、 鉴权者的底层、 鉴权者的封装层、 鉴权者的鉴权者层同鉴权者的认证方 法层进行认证协议通信， 所述鉴权者的认证方法层依次通过鉴权者的鉴权者 层、 鉴权者的封装层、 鉴权者的底层、 主体的底层、 主体的封装层、 主体的对 等体层同主体的认证方法层进行认证协议通信；

所述鉴权者的认证方法层依次通过鉴权者的鉴权者层、 鉴权者的封装层、 鉴权者的传输层、 认证服务器的传输层、 认证服务器的封装层、 认证服务器的 对等体层同认证服务器的认证方法层进行认证协议通信，所述认证服务器的认 证方法层依次通过认证服务器的对等体层、认证服务器的封装层、认证服务器 的传输层、 鉴权者的传输层、 鉴权者的封装层、 鉴权者的鉴权者层同鉴权者的 认证方法层进行认证协议通信。

2、 根据权利要求 1所述的三元结构的对等访问控制系统， 其特征在于： 所 述主体的认证方法层同鉴权者的认证方法层进行的认证协议通信包含：鉴权者 的认证方法层发送给主体的认证方法层的请求消息和主体的认证方法层发送 给鉴权者的认证方法层的响应消息； 所述请求消息中包含一个类型字段， 该类 型字段用来指示请求消息类型的字段； 所述响应消息中包含一个类型字段，对 应于所述请求消息中的类型字段。

3、 根据权利要求 1所述的三元结构的对等访问控制系统， 其特征在于： 所述鉴权者的认证方法层同认证服务器的认证方法层进行的认证协议通信包 含：鉴权者的认证方法层发送给认证服务器的认证方法层的请求消息和认证服 务器的认证方法层发送给鉴权者的认证方法层的响应消息；所述请求消息中包 含一个类型字段， 该类型字段用来指示请求消息类型的字段； 所述响应消息中 包含一个类型字段， 对应于所述请求消息中的类型字段。

4、 根据权利要求 1或 2或 3所述的三元结构的对等访问控制系统， 其特 征在于： 所述主体的具体结构形式是终端； 所述鉴权者的具体结构形式是接入 控制器； 所述认证服务器的具体结构形式是服务器。

5、 一种鉴权者， 其特征在于， 包括： 底层、 传输层、 封装层和鉴权者层； 所述底层用于控制是否允许主体接入鉴权者； 其特征在于， 还包括： 认证方法 层， 用于根据认证凭证进行认证。

6、 根据权利要求 5所述的鉴权者， 其特征在于， 所述鉴权者的具体结构 形式是接入控制器。