WO2011069355A1 - 一种适合三元对等鉴别可信网络连接架构的网络传输方法 - Google Patents
一种适合三元对等鉴别可信网络连接架构的网络传输方法 Download PDFInfo
- Publication number
- WO2011069355A1 WO2011069355A1 PCT/CN2010/073133 CN2010073133W WO2011069355A1 WO 2011069355 A1 WO2011069355 A1 WO 2011069355A1 CN 2010073133 W CN2010073133 W CN 2010073133W WO 2011069355 A1 WO2011069355 A1 WO 2011069355A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- authentication
- taep
- access controller
- requester
- type
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 159
- 230000005540 biological transmission Effects 0.000 title claims abstract description 26
- 230000004044 response Effects 0.000 claims abstract description 44
- 230000008569 process Effects 0.000 claims abstract description 17
- 230000003993 interaction Effects 0.000 claims description 4
- 230000005641 tunneling Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000007123 defense Effects 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000013479 data entry Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000013209 evaluation strategy Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Description
一种适合三元对等鉴别可信网络连接架构的网络传输方法 本申请要求于 2009 年 12 月 11 日提交中国专利局、 申请号为 200910311270.3、 发明名称为"一种适合三元对等鉴别可信网络连接架构的网 络传输方法"的中国专利申请的优先权,其全部内容通过引用结合在本申请中。 技术领域
本发明涉及通信技术领域,具体涉及一种合三元对等鉴别可信网络连接架 构的网络传输方法。
背景技术
随着信息化的发展, 病毒、 蠕虫等恶意软件的问题异常突出。 目前已经出 现了超过三万五千种的恶意软件,每年都有超过四千万的计算机被感染。要遏 制住这类攻击, 不仅需要进行安全的传输和数据输入时的检查,还要从源头即 从每一台连接到网络的终端开始防御。而传统的安全防御技术已经无法防御种 类繁多的恶意攻击。
国际可信计算组织 (Trusted Computing Group, TCG )针对这个问题, 专 门制定了一个基于可信计算技术的网络连接规范——可信网络连接( Trusted Network Connect , TNC ) , 筒记为 TCG-TNC , 其包括了开放的终端完整性架 构和一套确保安全互操作的标准。 TCG-TNC架构参见图 1。
由于 TCG-TNC架构中的策略执行点处于网络边缘,且访问请求者不对策 略执行点进行平台鉴别, 所以该架构存在策略执行点不可信赖的问题。 为了解 决这一问题, 一种基于三元对等鉴别 (Tri-element Peer Authentication, TePA ) 的 TNC架构被提出。 基于 TePA的 TNC架构参见图 2。
可扩展鉴别协议 ( Extensible Authentication Protocol, EAP )是一个鉴别才匡 架, 它用于点到点的鉴别, 可支持多种鉴别机制。 EAP并不在链路控制阶段指 定鉴别方法, 而是把这个过程推迟到鉴别阶段。这样鉴别器就可以要求更多的 信息以后再决定使用什么鉴别方法。这种机制允许使用一台"后端"鉴别服务器 来真正执行鉴别机制, 而鉴别器只是传递鉴别交换信息。
由于 EAP仅仅是一个适合点到点鉴别协议的鉴别框架, 所以 EAP不适合 实现三方鉴别协议,如: 三元对等鉴别协议——鉴别双方基于可信第三方来实 现双向鉴别。 为了满足三方鉴别协议的需要, 一种适合三方鉴别协议的鉴别框
架构 三元鉴另 ll可扩展十办议 ( Tri-element Authentication Extensible Protocol,
TAEP )被提出, 其中 TAEP包的格式与 EAP包的格式类同, 但 TAEP的层次 模型与 EAP不相同。
其中, 各字段的含义如下:
Code字段长度为 1个八位位组, 表示 TAEP分组的类型:
1 Request
2 Response
3 Success
4 Failure
Identifier字段长度为 1个八位位组, 用于匹配 Request和 Response分组。 Length字段长度为 2个八位位组, 表示整个 TAEP分组的八位位组数, 即指包括 Code、 Identifier, Length和 Data所有字段的长度总和。
Data字段长度可变, 分组含 0个或多个八位位组, 其格式由 Code字段 的值决定。 若 Code字段的值为 Request或 Response, 贝' J Data字段包含 Type 字段和 Type-Date字段, 其中 Type字段可为 Identity和 TP Authentication等。 若 Code字段的值为 Success或 Failure, 则 Data字段不存在。
TAEP复用模型如图 3所示:
基于该模型, TAEP消息交互的步骤如下:
1 )鉴别访问控制器发送 Request分组给请求者要求开始鉴别, Request有 一个 Tpye字段指示请求的类型, Type字段是 Identity, 表示身份;
2 )请求者发送 Response分组给鉴别访问控制器来响应有效的 Request, Response分组中包含一个 Type字段, 对应于 Request分组中的 Type字段, Type-Data字段中包含有对等体的身份;
3 )鉴别访问控制器发送 Request分组给鉴别服务器, Request有一个 Type 字段指示请求的类型, Type是 TP Authentication, 用于向鉴别服务器请求鉴别 方法类型;
4 )鉴别服务器发送 Response分组给鉴别访问控制器, Response分组中包 含一个 Type字段, 对应于 Request分组中的 Type字段;
5 )鉴别访问控制器根据鉴别服务器返回的鉴别方法类型, 选择一种鉴别 方法开始鉴别过程。发送 Request分组给请求者,请求者响应 Response分组给 鉴别访问控制器, Request和 Response的序列根据需要持续交互。 鉴别访问控 制器向鉴别服务器发送 Request分组, 而鉴别服务器向鉴别访问控制器响应 Response分组。 此 Request和 Response的序列会持续需要的长度。 鉴别访问 控制器负责重传 Request分组;
6 )对话一直持续到鉴别访问控制器不能鉴别请求者, 鉴别访问控制器将 发送 Failure分组给请求者; 或者鉴别访问控制器判断成功的鉴别已经完成, 鉴别访问控制器或停止发送 Request分组, 结束消息交互, 或发送 Success分 组给请求者。
在某些情况下, 鉴别方法是确定的或通过其他方式确定鉴别方法及身份 时, 上述 3 )、 4 ) 步骤可有选择地进行。
在图 2所示的基于 TePA的 TNC架构中, 由于网络访问控制层除了传输用户 鉴别协议数据外还传输上两层的平台鉴别协议数据,且平台鉴别协议数据在访 问请求者和访问控制器之间需要利用安全隧道进行传输,所以所述三元鉴别可 扩展协议不能完成基于 TePA的 TNC架构的网络传输。
发明内容
本发明实施例提供一种适合三元对等鉴别可信网络连接架构的网络传输 方法, 以实现基于 TePA的 TNC架构的网络传输。
本发明实施例提供一种适合三元对等鉴别可信网络连接架构的网络传输 方法, 该方法包括:
1 )请求者、 鉴别访问控制器和鉴别服务器执行 TAEP鉴别方法;
1.1 )鉴别访问控制器利用 TAEP的 Request分组和 Response分组来获取 请求者的 TAEP鉴别方法身份;
1.2 )利用 TAEP的 Request分组和 Response分组来向鉴别服务器获取 TAEP 鉴别方法类型;
1.3 )选取一种 TAEP鉴别方法与请求者、鉴别服服务器执行 TAEP鉴别方
法过程;
1.4 )利用 TAEP的 Success分组或 Failure分组结束鉴别过程。
上述步骤 1 )之后还包括步骤 2 )请求者、 鉴别访问控制器和鉴别服务器 执行 TAEP隧道鉴别方法;
2.1 )请求者和鉴别访问控制器执行隧道方法, 建立请求者和鉴别访问控 制器之间的安全隧道;
2.2 )请求者、 鉴别访问控制器和鉴别服务器在步骤 2.1 ) 中建立的安全隧 道中执行内 TAEP鉴别方法。
在上述方法中, 若步骤 1 )中已建立请求者和鉴别访问控制器之间的会话 密钥,则鉴别过程结束后可利用该会话密钥对请求者和鉴别访问控制器之间的 数据进行安全保护, 也可以混合该会话密钥和步骤 2 )中已建立的安全隧隧对 请求者和鉴别访问控制器之间的数据进行安全保护; 若步骤 1 )中没有建立请 求者和鉴别访问控制器之间的会话密钥, 则鉴别过程结束后可利用步骤 2 )中 已建立的安全隧道对请求者和鉴别访问控制器之间的数据进行安全保护。
本发明实施例具有以下优点:
1、 本发明实施例采用的 TAEP鉴别方法和内 TAEP鉴别方法都是可扩展 鉴别框架, 从而增强了可扩展性和应用性;
2、 本发明实施例采用的 TAEP鉴别方法在安全隧道建立前进行传输, 而 内 TAEP鉴别方法在安全隧道建立后进行传输, 从而具有很好的前向兼容性; 3、 本发明实施例采用的内 TAEP鉴别方法消息在安全隧道中进行传输, 从而增强了安全性。
附图说明
图 1为现有技术中的 TCG-TNC架构图;
图 2为现有技术中的基于 TePA的 TNC架构;
图 3为现有技术中的 TAEP复用模型图;
图 4为本发明实施例中的隧道 TAEP封装层次图。
具体实施方式
本发明实施例适合三元对等鉴别可信网络连接架构的网络传输方法的具 体实施步骤如下:
1 )请求者、 鉴别访问控制器和鉴别服务器执行 TAEP鉴别方法, 如: 执 行用户鉴别协议。该 TAEP鉴别方法还可以建立请求者和鉴别访问控制器之间 的会话密钥;
1.1 )鉴别访问控制器利用 TAEP的 Request分组和 Response分组来获取 请求者的 TAEP鉴别方法身份, 如: 获取请求者的用户身份;
1.1.1 )鉴别访问控制器向请求者发送 TAEP的 Request分组, 其中 Type 字段的值为 Identity;
1.1.2 )请求者向鉴别访问控制器发送 TAEP的 Response分组, 其中 Type 字段对应步骤 1.1.1 )中 TAEP的 Request分组中的 Type字段, Type-Data字段 中包括请求者的 TAEP鉴别方法身份, 如: 包括请求者的用户身份;
1.2 )鉴别访问控制器利用 TAEP的 Request分组和 Response分组来向鉴 别服务器获取 TAEP鉴别方法类型, 如: 用户鉴别方法类型;
1.2.1 )鉴别访问控制器向鉴别服务器发送 TAEP的 Request分组,其中 Type 字段的值为 TP Authentication, Type-Data字段中包含请求者和鉴别访问控制器 的 TAEP鉴别方法身份, 如: 图 2中访问请求者和访问控制器的用户身份;
1.2.2 )鉴别服务器向鉴别访问控制器发送 TAEP的 Response分组, 其中 Type字段对应步骤 1.2.1 )中 TAEP的 Request分组中的 Type字段, Type-Data 字段中包含 TAEP鉴别方法类型, 如: 图 2中用户鉴别协议类型;
1.3 )鉴别访问控制器选取一种 TAEP鉴别方法与请求者、 鉴别服服务器 执行 TAEP鉴别方法过程, 如: 执行用户鉴别协议;
1.3.1 )鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间 交互一系列 TAEP的 Request分组和 Response分组,其中 Type字段为步骤 1.3 ) 中鉴别访问控制器选取的 TAEP鉴别方法类型, Type-Data字段中包含 Type字 段的值对应的 TAEP鉴别方法消息, 如: 用户鉴别协议消息;
若步骤 1.3 )完成后还需要执行 TAEP隧道鉴别方法, 则执行步骤 2 ), 否 则, 执行步骤 1.4 );
1.4 )鉴别访问控制器利用 TAEP的 Success分组或 Failure分组结束鉴别 过程;
1.4.1 )若在步骤 1.3.1 ) 中的 TAEP鉴别方法过程中鉴别访问控制器成功
认证请求者,如:成功认证请求者的用户身份,则向请求者发送 TAEP的 Success 分组;
1.4.2 )若在步骤 1.3.1 ) 中的 TAEP鉴别方法过程中鉴别访问控制器不能 成功认证请求者,如:不能成功认证请求者的用户身份,则向请求者发送 TAEP 的 Failure分组。
2 )请求者、 鉴别访问控制器和鉴别服务器执行 TAEP隧道鉴别方法; 2.1 )请求者和鉴别访问控制器执行隧道方法, 建立请求者和鉴别访问控 制器之间的安全隧道, 如: 执行安全传输层协议(Transport Layer Security, TLS )协议建立请求者和鉴别访问控制器之间的安全隧道。 由于步骤 1 ) 中已 实现请求者和鉴别访问控制器之间的双向用户鉴别, 所以可以执行 TLS协议 的完全匿名模式来建立请求者和鉴别访问控制器之间的安全隧道;
2.2.1 )鉴别访问控制器向请求者发送 TAEP的 Request分组, 其中 Type 字段的值为 TAEP隧道鉴别方法类型, Type-Data字段的值为 TAEP隧道鉴别 方法启动标只, Start;
2.2.2 )请求者和鉴别访问控制器之间交互一系列 TAEP的 Request分组和
Response分组, 其中 Type字段的值为步骤 2.2.1 )中的 TAEP隧道鉴别方法类 型, Type-Data字段的值为 Type字段的值对应的隧道方法消息, 如: TLS协议 消息, 直至建立请求者和鉴别访问控制器之间的安全隧道;
2.2 )请求者、 鉴别访问控制器和鉴别服务器在步骤 2.1 ) 中建立的安全隧 道中执行内 TAEP鉴别方法,如:利用 TLS协议的记录协议来安全传输内 TAEP 鉴别方法消息;
2.2.1 )鉴别访问控制器利用 TAEP的 Request分组和 Response分组来获取 请求者的内 TAEP鉴别方法身份, 如: 获取请求者的平台身份;
2.2.1.1 )鉴别访问控制器向请求者发送 TAEP的 Request分组, 其中 Type 字段的值为步骤 2.2.1 ) 中的 TAEP隧道鉴别方法类型, Type-Data字段的值为 利用步骤 2.1 ) 中建立的安全隧道进行保护的内 TAEP鉴别方法包。 内 TAEP 鉴别方法包的 Code字段的值为 Request, Type字段的值为 Identity;
2.2.1.2 )请求者向鉴别访问控制器发送 TAEP的 Response分组,其中 Type 字段对应步骤 2.2.1.1 ) 中 TAEP的 Request分组中的 Type字段, Type-Data字
段的值为利用步骤 2.1 ) 中建立的安全隧道进行保护的内 TAEP鉴别方法包。 内 TAEP鉴别方法包的 Code字段的值为 Response, Type字段对应步骤 2.2.1.1 中内 TAEP鉴别方法包的 Request分组中的 Type字段, Type-Data字段中包含 请求者的内 TAEP鉴别方法身份, 如: 包含请求者的平台身份;
2.2.2 )鉴别访问控制器利用 TAEP的 Request分组和 Response分组来向鉴 别服务器获取内 TAEP鉴别方法类型, 如: 平台鉴别协议类型;
2.2.2.1 )鉴别访问控制器向鉴别服务器发送 TAEP的 Request分组, 其中 Type字段的值为 TP Authentication, Type-Data字段中包含请求者和鉴别访问 控制器的内 TAEP鉴别方法身份, 如: 包含请求者和鉴别访问控制器的平台身 份;
2.2.2.2 )鉴别服务器向鉴别访问控制器发送 TAEP的 Response分组, 其中 Type字段对应步骤 2.2.2.1 )中 TAEP的 Request分组中的 Type字段, Type-Data 字段中包含内 TAEP鉴别方法类型, 如: 包含平台鉴别协议类型;
2.2.3 )鉴别访问控制器选取一种内 TAEP鉴别方法与请求者、鉴别服务器 执行内 TAEP鉴别方法过程, 如: 执行平台鉴别协议;
2.2.3.1 )鉴别访问控制器与请求者之间、 鉴别访问控制器与鉴别服务器之 间交互一系列 TAEP的 Request分组和 Response分组,直到内 TAEP鉴别方法 过程完成。 对于鉴别访问控制器与请求者之间交互的一系列 TAEP的 Request 分组和 Response分组, 其中 Type字段的值为步骤 2.2.1 )中的 TAEP隧道鉴别 方法类型, Type-Data字段的值为内 TAEP鉴别方法包。 内 TAEP鉴别方法包 的 Type字段的值为步骤 2.2.3 ) 中鉴别访问控制器选取的内 TAEP鉴别方法类 型, Type-Data字段中包含 Type字段的值对应的内 TAEP鉴别方法消息, 如: 包含平台鉴别协议消息;
2.2.4 )鉴别访问控制器利用 TAEP的 Success分组或 Failure分组结束鉴别 过程;
2.2.4.1 )若在步骤 2.2.3.1 ) 中的内 TAEP鉴别方法过程中鉴别访问控制器 成功认证请求者, 如: 成功认证请求者的平台(包含平台身份和平台完整性), 则向请求者发送 TAEP的 Success分组;
2.2.4.2 )若在步骤 2.2.3.1 ) 中的内 TAEP鉴别方法过程中鉴别访问控制器
不能成功认证请求者, 如: 不成功认证请求者的平台(包含平台身份和平台完 整性 ), 则向请求者发送 TAEP的 Failure分组。
在所述步骤 2.2.2 )中, 鉴别访问控制器还可以利用 TAEP的 Request分组 和 Response分组来向鉴别服务器获取内 TAEP鉴别方法的辅助数据, 如: 平 台鉴别协议的策略信息 (包含平台保护策略和平台评估策略等)。
若上述步骤 1 ) 中已建立请求者和鉴别访问控制器之间的会话密钥, 则鉴 别过程结束后可利用该会话密钥对请求者和鉴别访问控制器之间的数据进行 安全保护, 也可以混合该会话密钥和步骤 2 )中已建立的安全隧隧对请求者和 鉴别访问控制器之间的数据进行安全保护, 如: 对该会话密钥和步骤 2 ) 中已 建立的安全隧隧进行异或运算; 若步骤 1 )中没有建立请求者和鉴别访问控制 器之间的会话密钥, 则鉴别过程结束后可利用步骤 2 )中已建立的安全隧隧对 请求者和鉴别访问控制器之间的数据进行安全保护。
参见图 4, 当本发明实施例的方案应用于图 2所示的基于 TePA的 TNC架 构时,访问请求者、访问控制器和策略管理器分别对应本发明实施例方案中的 请求者、 鉴别访问控制器和鉴别服务器。 此外, 访问请求者和访问控制器在计 算平台签名时,若访问请求者和访问控制器之间已建立会话密钥,则平台签名, 如: 证明身份密钥 (Attestation Identity Key, AIK )签名, 需要绑定访问请求 者和访问控制器之间的会话密钥和 TAEP 隧道鉴别方法中隧道方法建立的安 全隧道; 若访问请求者和访问控制器之间没有建立会话密钥, 则平台签名需要 绑定可认证对方用户身份的保密值和 TAEP 隧道鉴别方法中隧道方法建立的 安全隧道。
Claims
1、 一种适合三元对等鉴别可信网络连接架构的网络传输方法, 其特征在 于: 该方法包括:
1 )请求者、 鉴别访问控制器和鉴别服务器执行 TAEP鉴别方法, 包括: 1.1 )鉴别访问控制器利用 TAEP的 Request分组和 Response分组来获取 请求者的 TAEP鉴别方法身份;
1.2 )利用 TAEP的 Request分组和 Response分组来向鉴别服务器获取 TAEP 鉴别方法类型;
1.3 )选取一种 TAEP鉴别方法与请求者、鉴别服务器执行 TAEP鉴别方法 过程;
1.4 )利用 TAEP的 Success分组或 Failure分组结束鉴别过程。
2、 根据权利要求 1所述的一种适合三元对等鉴别可信网络连接架构的网 络传输方法, 其特征在于: 所述步骤 1.1 ) 包括:
1.1.1 )鉴别访问控制器向请求者发送 TAEP的 Request分组, 其中 Type 字段的值为 Identity;
1.1.2 )请求者向鉴别访问控制器发送 TAEP的 Response分组, 其中 Type 字段对应步骤 1.1.1 )中 TAEP的 Request分组中的 Type字段, Type-Data字段 中包含请求者的 TAEP鉴别方法身份。
3、 根据权利要求 2所述的一种适合三元对等鉴别可信网络连接架构的网 络传输方法, 其特征在于: 所述步骤 1.2 ) 包括:
1.2.1 )鉴别访问控制器向鉴别服务器发送 TAEP的 Request分组,其中 Type 字段的值为 TP Authentication, Type-Data字段中包含请求者和鉴别访问控制器 的 TAEP鉴别方法身份;
1.2.2 )鉴别服务器向鉴别访问控制器发送 TAEP的 Response分组, 其中 Type字段对应步骤 1.2.1 )中 TAEP的 Request分组中的 Type字段, Type-Data 字段中包含 TAEP鉴别方法类型。
4、 根据权利要求 3所述的一种适合三元对等鉴别可信网络连接架构的网 络传输方法, 其特征在于: 所述步骤 1.3 ) 包括:
鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一
系列 TAEP的 Request分组和 Response分组, 其中 Type字段为鉴别访问控制 器选取的 TAEP鉴别方法类型, Type-Data字段中包含 Type字段的值对应的 TAEP鉴别方法消息。
5、 根据权利要求 4所述的一种适合三元对等鉴别可信网络连接架构的网 络传输方法, 其特征在于: 所述步骤 1.4 ) 包括:
1.4.1 )若在步骤 1.3 ) 中的 TAEP鉴别方法过程中鉴别访问控制器成功认 证请求者, 则向请求者发送 TAEP的 Success分组;
1.4.2 )若在步骤 1.3 ) 中的 TAEP鉴别方法过程中鉴别访问控制器不能成 功认证请求者, 则向请求者发送 TAEP的 Failure分组。
6、 根据权利要求 1至 5任一项所述的一种适合三元对等鉴别可信网络连 接架构的网络传输方法, 其特征在于: 所述步骤 1 )之后还包括:
2 )请求者、 鉴别访问控制器和鉴别服务器执行 TAEP隧道鉴别方法, 包 括:
2.1 )鉴别访问控制器与请求者建立安全隧道;
2.2 )在建立的安全隧道中执行内 TAEP鉴别方法。
7、 根据权利要求 6所述的一种适合三元对等鉴别可信网络连接架构的网 络传输方法, 其特征在于: 所述步骤 2.1 ) 包括:
2.1.1 )鉴别访问控制器向请求者发送 TAEP的 Request分组, 其中 Type 字段的值为 TAEP隧道鉴别方法类型, Type-Data字段的值为 TAEP隧道鉴别 方法启动标只;
2.1.2 )鉴别访问控制器和请求者之间交互一系列 TAEP的 Request分组和 Response分组, 其中 Type字段的值为步骤 2.1.1 )中的 TAEP隧道鉴别方法类 型, Type-Data字段的值为 Type字段的值对应的隧道方法消息, 直至建立鉴别 访问控制器和请求者之间的安全隧道完成。
8、根据权利要求 6所述的一种适合三元对等鉴别可信网络连接架构的网 络传输方法, 其特征在于: 所述步骤 2.2 ) 包括:
2.2.1 )鉴别访问控制器利用 TAEP的 Request分组和 Response分组来获取 请求者的内 TAEP鉴别方法身份;
2.2.2 )鉴别访问控制器利用 TAEP的 Request分组和 Response分组来向鉴
别服务器获取内 TAEP鉴别方法类型;
2.2.3 )鉴别访问控制器选取一种内 TAEP鉴别方法与请求者、鉴别服务器 执行内 TAEP鉴别方法过程;
2.2.4 )鉴别访问控制器利用 TAEP的 Success分组或 Failure分组结束鉴别 过程。
9、 根据权利要求 8所述的一种适合三元对等鉴别可信网络连接架构的网 络传输方法, 其特征在于: 所述步骤 2.2.1 ) 包括:
2.2.1.1 )鉴别访问控制器向请求者发送 TAEP的 Request分组, 其中 Type 字段的值为步骤 2.2.1 ) 中的 TAEP隧道鉴别方法类型, Type-Data字段的值为 利用步骤 2.1 ) 中建立的安全隧道进行保护的内 TAEP鉴别方法包, 内 TAEP 鉴别方法包中的 Code字段的值为 Request, Type字段的值为 Identity;
2.2.1.2 )请求者向鉴别访问控制器发送 TAEP的 Response分组,其中 Type 字段对应步骤 2.2.1.1 ) 中 TAEP的 Request分组中的 Type字段, Type-Data字 段的值为利用步骤 2.1 ) 中建立的安全隧道进行保护的内 TAEP鉴别方法包, 内 TAEP鉴别方法包中的 Code字段的值为 Response , Type字段对应步骤 2.2.1.1 中内 TAEP鉴别方法包的 Request分组中的 Type字段, Type-Data字段中包含 请求者的内 TAEP鉴别方法身份。
10、根据权利要求 9所述的一种适合三元对等鉴别可信网络连接架构的网 络传输方法, 其特征在于: 所述步骤 2.2.2 ) 包括:
2.2.2.1 )鉴别访问控制器向鉴别服务器发送 TAEP的 Request分组, 其中
Type字段的值为 TP Authentication, Type-Data字段中包含请求者和鉴别访问 控制器的内 TAEP鉴别方法身份;
2.2.2.2 )鉴别服务器向鉴别访问控制器发送 TAEP的 Response分组, 其中 Type字段对应步骤 2.2.2.1 )中 TAEP的 Request分组中的 Type字段, Type-Data 字段中包含内 TAEP鉴别方法类型。
11、 根据权利要求 10所述的一种适合三元对等鉴别可信网络连接架构的 网络传输方法, 其特征在于: 所述步骤 2.2.3 ) 包括:
鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一 系列 TAEP的 Request分组和 Response分组,直到内 TAEP鉴别方法过程完成,
对于鉴别访问控制器与请求者之间交互的一系列 TAEP 的 Request 分组和 Response分组, 其中 Type字段的值为步骤 2.2.1 )中的 TAEP隧道鉴别方法类 型, Type-Data字段的值为内 TAEP鉴别方法包, 内 TAEP鉴别方法包的 Type 字段的值为步骤 2.2.3 ) 中鉴别访问控制器选取的内 TAEP 鉴别方法类型, Type-Data字段中包含 Type字段的值对应的内 TAEP鉴别方法消息。
12、 根据权利要求 11所述的一种适合三元对等鉴别可信网络连接架构的 网络传输方法, 其特征在于: 所述步骤 2.2.4 ) 包括:
2.2.4.1 )若在步骤 2.2.3 )中的内 TAEP鉴别方法过程中鉴别访问控制器成 功认证请求者, 则向请求者发送 TAEP的 Success分组;
2.2.4.2 )若在步骤 2.2.3 )中的内 TAEP鉴别方法过程中鉴别访问控制器不 能成功认证请求者, 则向请求者发送 TAEP的 Failure分组。
13、 根据权利要求 10所述的一种适合三元对等鉴别可信网络连接架构的 网络传输方法, 其特征在于: 所述步骤 2.2.2 )中, 鉴别访问控制器利用 TAEP 的 Request分组和 Response分组来向鉴别服务器获取内 TAEP鉴别方法的辅助 数据。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009103112703A CN101707621B (zh) | 2009-12-11 | 2009-12-11 | 一种适合三元对等鉴别可信网络连接架构的网络传输方法 |
CN200910311270.3 | 2009-12-11 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2011069355A1 true WO2011069355A1 (zh) | 2011-06-16 |
Family
ID=42377811
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/CN2010/073133 WO2011069355A1 (zh) | 2009-12-11 | 2010-05-24 | 一种适合三元对等鉴别可信网络连接架构的网络传输方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101707621B (zh) |
WO (1) | WO2011069355A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109040060A (zh) * | 2018-08-01 | 2018-12-18 | 广州杰赛科技股份有限公司 | 终端匹配方法和系统、计算机设备 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101707621B (zh) * | 2009-12-11 | 2012-05-09 | 西安西电捷通无线网络通信股份有限公司 | 一种适合三元对等鉴别可信网络连接架构的网络传输方法 |
CN101989990A (zh) * | 2010-11-10 | 2011-03-23 | 西安西电捷通无线网络通信股份有限公司 | 一种适合可信连接架构的安全远程证明方法及系统 |
CN102006291A (zh) * | 2010-11-10 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 一种适合可信连接架构的网络传输方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070143629A1 (en) * | 2004-11-29 | 2007-06-21 | Hardjono Thomas P | Method to verify the integrity of components on a trusted platform using integrity database services |
CN101572704A (zh) * | 2009-06-08 | 2009-11-04 | 西安西电捷通无线网络通信有限公司 | 一种适合三元对等鉴别可信网络连接架构的访问控制方法 |
CN101662410A (zh) * | 2009-09-22 | 2010-03-03 | 西安西电捷通无线网络通信有限公司 | 一种基于隧道技术的三元鉴别可扩展方法及其系统 |
CN101707621A (zh) * | 2009-12-11 | 2010-05-12 | 西安西电捷通无线网络通信有限公司 | 一种适合三元对等鉴别可信网络连接架构的网络传输方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101527718B (zh) * | 2009-04-16 | 2011-02-16 | 西安西电捷通无线网络通信股份有限公司 | 一种建立三元对等鉴别可信网络连接架构的方法 |
-
2009
- 2009-12-11 CN CN2009103112703A patent/CN101707621B/zh active Active
-
2010
- 2010-05-24 WO PCT/CN2010/073133 patent/WO2011069355A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070143629A1 (en) * | 2004-11-29 | 2007-06-21 | Hardjono Thomas P | Method to verify the integrity of components on a trusted platform using integrity database services |
CN101572704A (zh) * | 2009-06-08 | 2009-11-04 | 西安西电捷通无线网络通信有限公司 | 一种适合三元对等鉴别可信网络连接架构的访问控制方法 |
CN101662410A (zh) * | 2009-09-22 | 2010-03-03 | 西安西电捷通无线网络通信有限公司 | 一种基于隧道技术的三元鉴别可扩展方法及其系统 |
CN101707621A (zh) * | 2009-12-11 | 2010-05-12 | 西安西电捷通无线网络通信有限公司 | 一种适合三元对等鉴别可信网络连接架构的网络传输方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109040060A (zh) * | 2018-08-01 | 2018-12-18 | 广州杰赛科技股份有限公司 | 终端匹配方法和系统、计算机设备 |
CN109040060B (zh) * | 2018-08-01 | 2021-03-02 | 广州杰赛科技股份有限公司 | 终端匹配方法和系统、计算机设备 |
Also Published As
Publication number | Publication date |
---|---|
CN101707621A (zh) | 2010-05-12 |
CN101707621B (zh) | 2012-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8255977B2 (en) | Trusted network connect method based on tri-element peer authentication | |
JP5259724B2 (ja) | 3エレメントピア認証に基づく信頼されているネットワークアクセス制御方法 | |
KR101114728B1 (ko) | 삼원 동일 식별자 기반의 신뢰성 있는 네트워크 액세스 제어 시스템 | |
US8191113B2 (en) | Trusted network connect system based on tri-element peer authentication | |
US8417949B2 (en) | Total exchange session security | |
WO2011020274A1 (zh) | 一种有线局域网的安全访问控制方法及其系统 | |
JP2010534988A (ja) | 安全性が強化されたトラステッドネットワークコネクト方法 | |
US8719897B2 (en) | Access control method for tri-element peer authentication credible network connection structure | |
WO2009109136A1 (zh) | 一种实用的基于可信第三方的实体双向鉴别方法 | |
WO2010066187A1 (zh) | 一种基于三元对等鉴别的可信网络连接握手方法 | |
WO2009143778A1 (zh) | 一种支持快速切换的实体双向鉴别方法 | |
WO2011022918A1 (zh) | 一种引入在线第三方的实体双向鉴别方法 | |
WO2011022915A1 (zh) | 一种基于预共享密钥的网络安全访问控制方法及其系统 | |
WO2010118610A1 (zh) | 建立三元对等鉴别可信网络连接架构的方法 | |
WO2011020279A1 (zh) | 一种基于公钥证书的身份鉴别方法及其系统 | |
JP2011504332A (ja) | Wapiユニキャストシークレットキー交渉方法 | |
WO2011109959A1 (zh) | 一种适合可信连接架构的平台鉴别实现方法及系统 | |
Cao et al. | 0-rtt attack and defense of quic protocol | |
WO2011069355A1 (zh) | 一种适合三元对等鉴别可信网络连接架构的网络传输方法 | |
WO2010118613A1 (zh) | 一种三元对等鉴别可信网络连接架构的实现方法 | |
US8423767B2 (en) | Security association verification and recovery | |
WO2023036348A1 (zh) | 一种加密通信方法、装置、设备及介质 | |
WO2011022902A1 (zh) | 一种可实现双向平台鉴别的方法 | |
Zhu et al. | A web database Security model using the Host identity protocol | |
WO2012083667A1 (zh) | 一种适合可信连接架构的平台鉴别过程管理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 10835392 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 10835392 Country of ref document: EP Kind code of ref document: A1 |