本申请要求于 2009 年 12 月 18 日提交中国专利局、 申请号为 200910219573.2、 发明名称为"一种支持多受控端口的访问控制� �法及其系统" 的中国专利申请的优先权， 其全部内容通过引用结合在本申请中。

技术领域

本发明涉及网络安全领域，特别涉及一种支持 多受控端口的访问控制方法 及其系统。

背景技术

IEEE802.1x协议是基于客户端 （Client ) /服务器 （Server ) 的访问控制协 议， 它可以限制未经授权的用户 /设备通过接入端口访问有线局域网 /无线局域 网。 在鉴别通过之前， IEEE 802. lx协议只允许可扩展鉴别协议（Extensible Authentication Protocol, EAP )数据通过客户端系统和鉴别器系统的非受控� � 口； 鉴别通过以后，服务数据可以顺利地通过客户 端系统和鉴别器系统的受控 端口， IEEE 802.1x协议的客户端系统、 鉴别器系统和鉴别服务器系统如图 1所 示， 其中 PAE ( Port Access Entity ) 为端口访问实体。 客户端系统包括： 应用- 使用鉴别器的服务和客户端的 PAE; 鉴别器系统包括： 服务-鉴别器提供和鉴 别服务器的 PAE; 鉴别服务器系统包括： 鉴别服务器。 IEEE 802.1x协议可以被 一个系统用来鉴别其他任何连接在该系统受控 端口上的系统，系统可以是路由 器、 终端设备、 交换机、 无线接入点、 无线基站、 网关、 应用程序等。

由于 IEEE 802. lx仅仅适合 Client/Server鉴别框架， 所以 IEEE 802.1 x不适合 三方鉴别框架， 如： 中国无线局域网标准中的三方鉴别框架。 因此， 一种适合 三方鉴别框架的访问控制方法——一种基于三 元鉴别的访问控制方法（ Access Control method based on Tri-element Peer Authentication, TePA-AC )被提出。 在 鉴别通过之前， TePA-AC只允许三元鉴别可扩展协议 （ Tri-element Authentication Extensible Protocol, TAEP )数据通过请求者系统和鉴别访问控 制器系统的非受控端口； 鉴别通过以后，服务数据可以顺利地通过请求 者系统 和鉴别访问控制器系统的受控端口。 TePA-AC的请求者系统、 鉴别访问控制器 系统和鉴别服务器系统如图 2所示。 请求者系统包括： 应用 -使用鉴别器的服务 和请求者； 鉴别访问控制器系统包括： 服务 -鉴别访问控制器提供和鉴别访问 控制器提供； 鉴别服务器系统包括： 鉴别服务器。 TePA-AC可以被一个系统用 来鉴别其他任何连接在该系统受控端口上的系 统， 系统可以是路由器、终端设 备、 交换机、 无线接入点、 无线基站、 网关、 应用程序等。

系统的每个物理端口可分为受控端口和不受控 的两个逻辑端口，物理端口 收到的每个帧都被送到受控端口和不受控端口 。非受控端口可以通过鉴别过程 数据。 对受控端口的访问， 受限于受控端口的授权状态。 鉴别器和鉴别访问控 制器的 PAE根据鉴别服务器的鉴别过程结果，控制受控 端口的授权或未授权状 态。处在未授权状态的受控端口不能通过服务 数据， 处在授权状态的受控端口 将允许通过服务数据。

上述服务数据可能需要进行进一步控制， 如： 控制各种不同的服务数据。 国际可信计算组织 （Trusted Computing Group, TCG )制定的一个基于可信计 算技术的网络连接规范——可信网络连接 ( Trusted Network Connect, TNC ) 就需要控制应用服务数据和隔离服务数据。 但是， 利用 IEEE 802.1x协议和 TePA-AC是不能够完成对服务数据进行进一步控� �。

发明内容

为了解决背景技术中存在的上述技术问题，本 发明提供了一种具有很好扩 展性、 应用性以及前向兼容性的支持多受控端口的访 问控制方法及其系统。

本发明的技术解决方案是：本发明提供了一种 支持多受控端口的访问控制 方法， 包括以下步骤：

1 )端点 A的端口访问实体 PAE通过端点 B的 PAE、端点 B的 PAE分别与端点

S交互鉴别数据；

2 )鉴别过程完成后， 端点 A依据端点 S的鉴别结果控制端点 A中各个受控 端口的授权或未授权状态， 处在未授权状态的受控端口不能使用端点 B提供的 服务；端点 B依据端点 S的鉴别结果控制端点 B中各个受控端口的授权或未授权 状态， 处在未授权的受控端口不能向端点 A提供服务。

上述步骤 2 ) 中所述端点 A依据端点 S的鉴别结果控制端点 A中各个受控端 口的授权或未授权状态具体包括：

端点 A依据端点 S的鉴别结果仅使端点 A中的一个受控端口处在授权状态， 端点 A中的其它受控端口处在非 4受权状态。 上述步骤 2 ) 中所述端点 B依据端点 S的鉴别结果控制端点 B中各个受控端 口的授权或未授权状态具体包括：

端点 B依据端点 S的鉴别结果仅使端点 B中的一个受控端口处在授权状态， 端点 B中的其它受控端口处在非授权状态。

如果基于 IEEE 802.1x协议，所述端点 A、端点 B和端点 S分别对应 IEEE

802.1x协议中的客户端、 鉴别器和鉴别服务器；

如果基于 TePA-AC, 所述端点 A、 端点 B和端点 S分别对应 TePA-AC中 的请求者、 鉴别访问控制器和鉴别服务器。

相应的， 本发明还提供一种支持多受控端口的访问控制 系统， 所述系统包 括： 端点 A的访问实体 PAE、 端点 B的 PAE以及端点 S , 其中，

端点 A的端口访问实体 PAE, 用于通过端点 B的 PAE与端点 S交互鉴别 数据， 并在鉴别过程完成后， 依据端点 S的鉴别结果控制端点 A中各个受控 端口的授权或未授权状态， 处在未授权状态的受控端口不能使用端点 B提供 的服务；

端点 B的 PAE, 用于与端点 S交互鉴别数据， 并在鉴别过程完成后， 依 据端点 S的鉴别结果控制端点 B中各个受控端口的授权或未授权状态， 处在 未授权的受控端口不能向端点 A提供服务。

可选的， 端点 A在鉴别过程完成后， 依据端点 S的鉴别结果控制端点 A 中各个受控端口的授权或未授权状态具体包括 ： 端点 A依据端点 S的鉴别结 果仅使端点 A中的一个受控端口处在授权状态， 端点 A中的其它受控端口处 在非授权状态；

端点 B在鉴别过程完成后， 依据端点 S的鉴别结果控制端点 B中各个受 控端口的授权或未授权状态具体包括： 端点 B依据端点 S的鉴别结果仅使端 点 B中的一个受控端口处在 4受权状态， 端点 B中的其它受控端口处在非 4受权 状态。

可选的， 如果基于 IEEE 802. lx协议， 所述端点 A、 端点 B和端点 S分别 对应 IEEE 802.1x协议中的客户端、 鉴别器和鉴别服务器；

如果基于 TePA-AC, 所述端点 A、 端点 B和端点 S分别对应 TePA-AC中 的请求者、 鉴别访问控制器和鉴别服务器。 相应的， 本发明还提供一种支持多受控端口的访问控制 系统， 所述系统包 括： 端点 A、 端点 B以及端点 S ; 所述端点 A包括两个或两个以上的受控端口， 所述每一个受控端口使用端点 B的一种服务， 所述端点 A的 PAE根据端点 S的 鉴别过程结果控制每一个受控端口的授权或未 授权状态，处在未授权状态的受 控端口不能使用端点 B的服务， 所述端点 A的各个受控端口是相斥的； 所述端 点 B包括两个或两个以上的受控端口， 所述每一个受控端口向端点 A提供一种 服务，所述端点 B的 PAE根据端点 S的鉴别过程结果控制每一个受控端口的授权 或未授权状态， 处在未授权状态的受控端口不能向端点 A提供服务， 所述端点 B的各个受控端口是相斥的。

由上述技术方案可知，本发明提供的一种支持 多受控端口的访问控制方法 及系统， 具有很好的可扩展性和应用性。本发明所提供 系统中定义了多个受控 端口， 且它们是互斥的， 从而可实现对服务数据的进一步控制， 具有很好的可 扩展性和应用性； 进一步， 本发明具有很好的前向兼容性， 本发明对每一个受 控端口的控制功能都是相同的， 从而可以实现对 IEEE 802.1x协议和 TePA-AC 的前向兼容， 具有艮好的前向兼容性。

附图说明

图 1为现有技术中 IEEE 802.1x协议的客户端、 鉴别器和鉴别服务器系统结 构示意图；

图 2为现有技术中 TePA-AC的请求者、 鉴别访问控制器和鉴别服务器系统 结构示意图；

图 3为本发明所提供的端口控制系统结构示意图� �

图 4为本发明所提供的一种支持多受控端口的访� �控制方法的流程图。 具体实施方式

参见图 3 , 本发明提供了一种支持多受控端口的访问控制 系统， 该系统包 括端点 A, 其定义了两个或以上受控端口， 每一个受控端口使用端点 B的一种 服务， 端点 A的 PAE根据端点 S的鉴别过程结果控制每一个受控端口的授权� � 未授权状态， 处在未授权状态的受控端口将不能够使用端点 B的服务。 端点 A 的各个受控端口是相斥的， 即最多仅允许一个受控端口处在授权状态。

在包括端点 A的同时， 还包括端点 B , 其定义了两个或以上受控端口， 每 一个受控端口向端点 A提供一种服务， 端点 B的 PAE根据端点 S的鉴别过程结果 控制每一个受控端口的授权或未授权状态，处 在未授权状态的受控端口将不能 够向端点 A提供服务。 端点 B的各个受控端口是相斥的， 即最多仅允许一个受 控端口处在授权状态。

当本发明基于 IEEE 802. lx协议来实现时， 图 3中的端点八、 端点 B和端点 S 分别对应 IEEE 802.1x协议中的客户端、 鉴别器和鉴别服务器， 其具体步骤如 下：

1 )客户端的 PAE、 鉴别器的 PAE和鉴别服务器交互 EAP数据， 其中鉴别器 仅需透传客户端的 PAE和鉴别器的 PAE所发送的 EAP数据， 实现鉴别服务器对 客户端的单向鉴别或鉴别服务器和客户端之间 的双向鉴别。

2) 鉴别过程完成后， 客户端依据鉴别服务器的鉴别结果控制客户端 中各 个受控端口的授权或未授权状态，处在未授权 状态的受控端口将不能够使用鉴 别器提供的服务， 即不能通过服务数据， 处在授权状态的受控端口将能够使用 鉴别器提供的服务， 即能够通过服务数据； 鉴别器依据鉴别服务器的鉴别结果 控制鉴别器中各个受控端口的授权或未授权状 态，处在未授权的受控端口将不 能够向客户端提供服务， 即不能通过服务数据， 处在授权状态的受控端口将能 够向客户端提供服务， 即能够通过服务数据。

其中在步骤 2 ) 中， 客户端仅可以使客户端中的一个受控端口处在 授权状 态。 在步骤 2 ) 中， 鉴别器仅可以使鉴别器中的一个受控端口处在 授权状态。

当本发明是基于 TePA- AC来实现时， 图 3中的端点八、 端点 B和端点 S分别 对应 TePA-AC中的请求者、 鉴别访问控制器和鉴别服务器， 其具体步骤如下：

1 )请求者的 PAE、 鉴别访问控制器的 PAE和鉴别服务器交互 TAEP数据， 其中鉴别访问控制器需要参与鉴别过程， 即需解析和处理请求者的 PAE和鉴别 访问控制器的 PAE所发送的 TAEP数据， 实现请求者和鉴别访问控制器之间的 双向鉴别。

2) 鉴别过程完成后， 请求者依据鉴别服务器的鉴别结果控制请求者 中各 个受控端口的授权或未授权状态，处在未授权 状态的受控端口将不能够使用鉴 别访问控制器提供的服务， 即不能通过服务数据， 处在授权状态的受控端口将 能够使用鉴别访问控制器提供的服务， 即能够通过服务数据； 鉴别访问控制器 依据鉴别服务器的鉴别结果控制鉴别访问控制 器中各个受控端口的授权或未 授权状态， 处在未授权的受控端口将不能够向请求者提供 服务， 即不能通过服 务数据， 处在授权状态的受控端口将能够向请求者提供 服务， 即能够通过服务 数据。

其中在步骤 2 )中， 请求者仅可以使请求者中的一个受控端口处在 授权状 态。 在步骤 2 ) 中， 鉴别访问控制器仅可以使鉴别访问控制器中的 一个受控端 口处在授权状态。

相应的，本发明还提供另一种支持多受控端口 的访问控制，所述系统包括： 端点 A的访问实体 PAE、 端点 B的 PAE以及端点 S , 其中，

端点 A的端口访问实体 PAE, 用于通过端点 B的 PAE与端点 S交互鉴别 数据， 并在鉴别过程完成后， 依据端点 S的鉴别结果控制端点 A中各个受控 端口的授权或未授权状态， 处在未授权状态的受控端口不能使用端点 B提供 的服务；

端点 B的 PAE, 用于与端点 S交互鉴别数据， 并在鉴别过程完成后， 依 据端点 S的鉴别结果控制端点 B中各个受控端口的授权或未授权状态， 处在 未授权的受控端口不能向端点 A提供服务。

其中， 端点 A在鉴别过程完成后， 依据端点 S的鉴别结果控制端点 A中 各个受控端口的授权或未授权状态具体包括： 端点 A依据端点 S的鉴别结果 仅使端点 A中的一个受控端口处在 4受权状态， 端点 A中的其它受控端口处在 非授权状态；

端点 B在鉴别过程完成后， 依据端点 S的鉴别结果控制端点 B中各个受 控端口的授权或未授权状态具体包括： 端点 B依据端点 S的鉴别结果仅使端 点 B中的一个受控端口处在 4受权状态， 端点 B中的其它受控端口处在非 4受权 状态。

在该实施例中，如果交互鉴别数据是基于 IEEE 802.1x协议，所述端点 A、 端点 B和端点 S分别对应 IEEE 802. lx协议中的客户端、鉴别器和鉴别服务器； 如果交互鉴别数据是基于 TePA-AC, 所述端点 A、 端点 B和端点 S分别 对应 TePA-AC中的请求者、 鉴别访问控制器和鉴别服务器。

相应的， 本发明又提供一种支持多受控端口的访问控制 方法， 其流程图如 图 4所示， 所述方法包括：

步骤 401 : 端点 A的端口访问实体 PAE通过端点 B的 PAE、端点 B的 PAE分别 与端点 S交互鉴别数据；

步骤 402: 鉴别过程完成后， 端点 A依据端点 S的鉴别结果控制端点 A中各 个受控端口的授权或未授权状态， 处在未授权状态的受控端口不能使用端点 B 提供的服务；端点 B依据端点 S的鉴别结果控制端点 B中各个受控端口的授权或 未授权状态， 处在未授权的受控端口不能向端点 A提供服务。

其中， 所述步骤 402中， 所述端点 A依据端点 S的鉴别结果控制端点 A中各 个受控端口的授权或未授权状态具体包括： 端点 A依据端点 S的鉴别结果仅使 端点 A中的一个受控端口处在 4受权状态， 端点 A中的其它受控端口处在非 4受权 状态。

所述步骤 402中， 所述端点 B依据端点 S的鉴别结果控制端点 B中各个受控 端口的授权或未授权状态具体包括：端点 B依据端点 S的鉴别结果仅使端点 B中 的一个受控端口处在授权状态， 端点 B中的其它受控端口处在非授权状态。

在该实施例中， 针对不同的协议， 端点 A、 端点 B以及端点 S针对的实 体不同， 不如， 如果所述交互鉴别数据是基于 IEEE 802.1x协议， 所述端点 A、 端点 B和端点 S分别对应 IEEE 802. lx协议中的客户端、鉴别器和鉴别服务器； 如果所述交互鉴别数据是基于 TePA-AC, 所述端点 A、 端点 B和端点 S分别 对应 TePA-AC中的请求者、 鉴别访问控制器和鉴别服务器。 但并不限于此。

由上述实施例可知，本发明提供的一种支持多 受控端口的访问控制方法及 系统， 具有很好的可扩展性和应用性。 本发明所提供系统中定义了多个受控端 口， 且它们是互斥的， 从而可实现对服务数据的进一步控制， 具有很好的可扩 展性和应用性； 进一步， 本发明具有很好的前向兼容性， 本发明对每一个受控 端口的控制功能都是相同的，从而可以实现对 IEEE 802. lx协议和 TePA-AC的前 向兼容， 具有很好的前向兼容性。

以上所述仅是本发明的优选实施方式，应当指 出，对于本技术领域的普通 技术人员来说， 在不脱离本发明原理的前提下， 还可以作出若干改进和润饰， 这些改进和润饰也应视为本发明的保护范围。