CAO JUN (CN)
HUANG ZHENHAI (CN)
TIE MANXIA (CN)
GE LI (CN)
XIAO YUELEI (CN)
CAO JUN (CN)
HUANG ZHENHAI (CN)
TIE MANXIA (CN)
GE LI (CN)
WO2008042151A1 | 2008-04-10 |
CN101572704A | 2009-11-04 | |||
CN101022340A | 2007-08-22 | |||
CN1756165A | 2006-04-05 | |||
CN1602106A | 2005-03-30 |
北京集佳知识产权代理有限公司 (CN)
权 利 要 求 1、 一种支持多受控端口的访问控制方法, 其特征在于: 包括: 1 )端点 A的端口访问实体 PAE通过端点 B的 PAE、端点 B的 PAE分别与端点 S交互鉴别数据; 2 )鉴别过程完成后, 端点 A依据端点 S的鉴别结果控制端点 A中各个受控 端口的授权或未授权状态, 处在未授权状态的受控端口不能使用端点 B提供的 服务;端点 B依据端点 S的鉴别结果控制端点 B中各个受控端口的授权或未授权 状态, 处在未授权的受控端口不能向端点 A提供服务。 2、 根据权利要求 1所述的支持多受控端口的访问控制方法, 其特征在于: 所述步骤 2 ) 中所述端点 A依据端点 S的鉴别结果控制端点 A中各个受控端口的 授权或未授权状态具体包括: 端点 A依据端点 S的鉴别结果仅使端点 A中的一个受控端口处在授权状态, 端点 A中的其它受控端口处在非 4受权状态。 3、 根据权利要求 1所述的支持多受控端口的访问控制方法, 其特征在于: 所述步骤 2 ) 中所述端点 B依据端点 S的鉴别结果控制端点 B中各个受控端口的 授权或未授权状态具体包括: 端点 B依据端点 S的鉴别结果仅使端点 B中的一个受控端口处在授权状态, 端点 B中的其它受控端口处在非授权状态。 4、 根据权利要求 1至 3任一项所述的支持多受控端口的访问控制方法, 其特征在于: 如果所述交互鉴别数据是基于 IEEE 802. lx协议, 所述端点 A、 端点 B和 端点 S分别对应 IEEE 802.1x协议中的客户端、 鉴别器和鉴别服务器; 如果所述交互鉴别数据是基于 TePA-AC, 所述端点 A、 端点 B和端点 S 分别对应 TePA-AC中的请求者、 鉴别访问控制器和鉴别服务器。 5、 一种支持多受控端口的访问控制系统, 其特征在于: 包括: 端点 A的 访问实体 PAE、 端点 B的 PAE以及端点 S , 其中, 端点 A的端口访问实体 PAE, 用于通过端点 B的 PAE与端点 S交互鉴别 数据, 并在鉴别过程完成后, 依据端点 S的鉴别结果控制端点 A中各个受控 端口的授权或未授权状态, 处在未授权状态的受控端口不能使用端点 B提供 的服务; 端点 B的 PAE, 用于与端点 S交互鉴别数据, 并在鉴别过程完成后, 依 据端点 S的鉴别结果控制端点 B中各个受控端口的授权或未授权状态, 处在 未授权的受控端口不能向端点 A提供服务。 6、根据权利要求 5所述的支持多受控端口的访问控制系统, 其特征在于: 端点 A在鉴别过程完成后, 依据端点 S的鉴别结果控制端点 A中各个受 控端口的授权或未授权状态具体包括: 端点 A依据端点 S的鉴别结果仅使端 点 A中的一个受控端口处在 4受权状态, 端点 A中的其它受控端口处在非 4受权 状态; 端点 B在鉴别过程完成后, 依据端点 S的鉴别结果控制端点 B中各个受 控端口的授权或未授权状态具体包括: 端点 B依据端点 S的鉴别结果仅使端 点 B中的一个受控端口处在 4受权状态, 端点 B中的其它受控端口处在非 4受权 状态。 7、 根据权利要求 5或 6所述的支持多受控端口的访问控制系统, 其特征 在于: 如果所述交互鉴别数据是基于 IEEE 802. lx协议, 所述端点 A、 端点 B和 端点 S分别对应 IEEE 802.1x协议中的客户端、 鉴别器和鉴别服务器; 如果所述交互鉴别数据是基于 TePA-AC, 所述端点 A、 端点 B和端点 S 分别对应 TePA-AC中的请求者、 鉴别访问控制器和鉴别服务器。 8、 一种支持多受控端口的访问控制系统, 其特征在于: 包括: 端点 A、 端点 B以及端点 S; 所述端点 A包括两个或两个以上的受控端口, 所述每一 个受控端口使用端点 B的一种服务, 所述端点 A的 PAE根据端点 S的鉴别过 程结果控制每一个受控端口的授权或未授权状态,处在未授权状态的受控端口 不能使用端点 B的服务, 所述端点 A的各个受控端口是相斥的; 所述端点 B 包括两个或两个以上的受控端口, 所述每一个受控端口向端点 A提供一种服 务, 所述端点 B的 PAE根据端点 S的鉴别过程结果控制每受控端口的授权或 未授权状态,处在未授权状态的受控端口不能向端点 A提供服务,所述端点 B 的各个受控端口是相斥的。 |
本申请要求于 2009 年 12 月 18 日提交中国专利局、 申请号为 200910219573.2、 发明名称为"一种支持多受控端口的访问控制 法及其系统" 的中国专利申请的优先权, 其全部内容通过引用结合在本申请中。
技术领域
本发明涉及网络安全领域,特别涉及一种支持 多受控端口的访问控制方法 及其系统。
背景技术
IEEE802.1x协议是基于客户端 (Client ) /服务器 (Server ) 的访问控制协 议, 它可以限制未经授权的用户 /设备通过接入端口访问有线局域网 /无线局域 网。 在鉴别通过之前, IEEE 802. lx协议只允许可扩展鉴别协议(Extensible Authentication Protocol, EAP )数据通过客户端系统和鉴别器系统的非受控 口; 鉴别通过以后,服务数据可以顺利地通过客户 端系统和鉴别器系统的受控 端口, IEEE 802.1x协议的客户端系统、 鉴别器系统和鉴别服务器系统如图 1所 示, 其中 PAE ( Port Access Entity ) 为端口访问实体。 客户端系统包括: 应用- 使用鉴别器的服务和客户端的 PAE; 鉴别器系统包括: 服务-鉴别器提供和鉴 别服务器的 PAE; 鉴别服务器系统包括: 鉴别服务器。 IEEE 802.1x协议可以被 一个系统用来鉴别其他任何连接在该系统受控 端口上的系统,系统可以是路由 器、 终端设备、 交换机、 无线接入点、 无线基站、 网关、 应用程序等。
由于 IEEE 802. lx仅仅适合 Client/Server鉴别框架, 所以 IEEE 802.1 x不适合 三方鉴别框架, 如: 中国无线局域网标准中的三方鉴别框架。 因此, 一种适合 三方鉴别框架的访问控制方法——一种基于三 元鉴别的访问控制方法( Access Control method based on Tri-element Peer Authentication, TePA-AC )被提出。 在 鉴别通过之前, TePA-AC只允许三元鉴别可扩展协议 ( Tri-element Authentication Extensible Protocol, TAEP )数据通过请求者系统和鉴别访问控 制器系统的非受控端口; 鉴别通过以后,服务数据可以顺利地通过请求 者系统 和鉴别访问控制器系统的受控端口。 TePA-AC的请求者系统、 鉴别访问控制器 系统和鉴别服务器系统如图 2所示。 请求者系统包括: 应用 -使用鉴别器的服务 和请求者; 鉴别访问控制器系统包括: 服务 -鉴别访问控制器提供和鉴别访问 控制器提供; 鉴别服务器系统包括: 鉴别服务器。 TePA-AC可以被一个系统用 来鉴别其他任何连接在该系统受控端口上的系 统, 系统可以是路由器、终端设 备、 交换机、 无线接入点、 无线基站、 网关、 应用程序等。
系统的每个物理端口可分为受控端口和不受控 的两个逻辑端口,物理端口 收到的每个帧都被送到受控端口和不受控端口 。非受控端口可以通过鉴别过程 数据。 对受控端口的访问, 受限于受控端口的授权状态。 鉴别器和鉴别访问控 制器的 PAE根据鉴别服务器的鉴别过程结果,控制受控 端口的授权或未授权状 态。处在未授权状态的受控端口不能通过服务 数据, 处在授权状态的受控端口 将允许通过服务数据。
上述服务数据可能需要进行进一步控制, 如: 控制各种不同的服务数据。 国际可信计算组织 (Trusted Computing Group, TCG )制定的一个基于可信计 算技术的网络连接规范——可信网络连接 ( Trusted Network Connect, TNC ) 就需要控制应用服务数据和隔离服务数据。 但是, 利用 IEEE 802.1x协议和 TePA-AC是不能够完成对服务数据进行进一步控 。
发明内容
为了解决背景技术中存在的上述技术问题,本 发明提供了一种具有很好扩 展性、 应用性以及前向兼容性的支持多受控端口的访 问控制方法及其系统。
本发明的技术解决方案是:本发明提供了一种 支持多受控端口的访问控制 方法, 包括以下步骤:
1 )端点 A的端口访问实体 PAE通过端点 B的 PAE、端点 B的 PAE分别与端点
S交互鉴别数据;
2 )鉴别过程完成后, 端点 A依据端点 S的鉴别结果控制端点 A中各个受控 端口的授权或未授权状态, 处在未授权状态的受控端口不能使用端点 B提供的 服务;端点 B依据端点 S的鉴别结果控制端点 B中各个受控端口的授权或未授权 状态, 处在未授权的受控端口不能向端点 A提供服务。
上述步骤 2 ) 中所述端点 A依据端点 S的鉴别结果控制端点 A中各个受控端 口的授权或未授权状态具体包括:
端点 A依据端点 S的鉴别结果仅使端点 A中的一个受控端口处在授权状态, 端点 A中的其它受控端口处在非 4受权状态。 上述步骤 2 ) 中所述端点 B依据端点 S的鉴别结果控制端点 B中各个受控端 口的授权或未授权状态具体包括:
端点 B依据端点 S的鉴别结果仅使端点 B中的一个受控端口处在授权状态, 端点 B中的其它受控端口处在非授权状态。
如果基于 IEEE 802.1x协议,所述端点 A、端点 B和端点 S分别对应 IEEE
802.1x协议中的客户端、 鉴别器和鉴别服务器;
如果基于 TePA-AC, 所述端点 A、 端点 B和端点 S分别对应 TePA-AC中 的请求者、 鉴别访问控制器和鉴别服务器。
相应的, 本发明还提供一种支持多受控端口的访问控制 系统, 所述系统包 括: 端点 A的访问实体 PAE、 端点 B的 PAE以及端点 S , 其中,
端点 A的端口访问实体 PAE, 用于通过端点 B的 PAE与端点 S交互鉴别 数据, 并在鉴别过程完成后, 依据端点 S的鉴别结果控制端点 A中各个受控 端口的授权或未授权状态, 处在未授权状态的受控端口不能使用端点 B提供 的服务;
端点 B的 PAE, 用于与端点 S交互鉴别数据, 并在鉴别过程完成后, 依 据端点 S的鉴别结果控制端点 B中各个受控端口的授权或未授权状态, 处在 未授权的受控端口不能向端点 A提供服务。
可选的, 端点 A在鉴别过程完成后, 依据端点 S的鉴别结果控制端点 A 中各个受控端口的授权或未授权状态具体包括 : 端点 A依据端点 S的鉴别结 果仅使端点 A中的一个受控端口处在授权状态, 端点 A中的其它受控端口处 在非授权状态;
端点 B在鉴别过程完成后, 依据端点 S的鉴别结果控制端点 B中各个受 控端口的授权或未授权状态具体包括: 端点 B依据端点 S的鉴别结果仅使端 点 B中的一个受控端口处在 4受权状态, 端点 B中的其它受控端口处在非 4受权 状态。
可选的, 如果基于 IEEE 802. lx协议, 所述端点 A、 端点 B和端点 S分别 对应 IEEE 802.1x协议中的客户端、 鉴别器和鉴别服务器;
如果基于 TePA-AC, 所述端点 A、 端点 B和端点 S分别对应 TePA-AC中 的请求者、 鉴别访问控制器和鉴别服务器。 相应的, 本发明还提供一种支持多受控端口的访问控制 系统, 所述系统包 括: 端点 A、 端点 B以及端点 S ; 所述端点 A包括两个或两个以上的受控端口, 所述每一个受控端口使用端点 B的一种服务, 所述端点 A的 PAE根据端点 S的 鉴别过程结果控制每一个受控端口的授权或未 授权状态,处在未授权状态的受 控端口不能使用端点 B的服务, 所述端点 A的各个受控端口是相斥的; 所述端 点 B包括两个或两个以上的受控端口, 所述每一个受控端口向端点 A提供一种 服务,所述端点 B的 PAE根据端点 S的鉴别过程结果控制每一个受控端口的授权 或未授权状态, 处在未授权状态的受控端口不能向端点 A提供服务, 所述端点 B的各个受控端口是相斥的。
由上述技术方案可知,本发明提供的一种支持 多受控端口的访问控制方法 及系统, 具有很好的可扩展性和应用性。本发明所提供 系统中定义了多个受控 端口, 且它们是互斥的, 从而可实现对服务数据的进一步控制, 具有很好的可 扩展性和应用性; 进一步, 本发明具有很好的前向兼容性, 本发明对每一个受 控端口的控制功能都是相同的, 从而可以实现对 IEEE 802.1x协议和 TePA-AC 的前向兼容, 具有艮好的前向兼容性。
附图说明
图 1为现有技术中 IEEE 802.1x协议的客户端、 鉴别器和鉴别服务器系统结 构示意图;
图 2为现有技术中 TePA-AC的请求者、 鉴别访问控制器和鉴别服务器系统 结构示意图;
图 3为本发明所提供的端口控制系统结构示意图
图 4为本发明所提供的一种支持多受控端口的访 控制方法的流程图。 具体实施方式
参见图 3 , 本发明提供了一种支持多受控端口的访问控制 系统, 该系统包 括端点 A, 其定义了两个或以上受控端口, 每一个受控端口使用端点 B的一种 服务, 端点 A的 PAE根据端点 S的鉴别过程结果控制每一个受控端口的授权 未授权状态, 处在未授权状态的受控端口将不能够使用端点 B的服务。 端点 A 的各个受控端口是相斥的, 即最多仅允许一个受控端口处在授权状态。
在包括端点 A的同时, 还包括端点 B , 其定义了两个或以上受控端口, 每 一个受控端口向端点 A提供一种服务, 端点 B的 PAE根据端点 S的鉴别过程结果 控制每一个受控端口的授权或未授权状态,处 在未授权状态的受控端口将不能 够向端点 A提供服务。 端点 B的各个受控端口是相斥的, 即最多仅允许一个受 控端口处在授权状态。
当本发明基于 IEEE 802. lx协议来实现时, 图 3中的端点八、 端点 B和端点 S 分别对应 IEEE 802.1x协议中的客户端、 鉴别器和鉴别服务器, 其具体步骤如 下:
1 )客户端的 PAE、 鉴别器的 PAE和鉴别服务器交互 EAP数据, 其中鉴别器 仅需透传客户端的 PAE和鉴别器的 PAE所发送的 EAP数据, 实现鉴别服务器对 客户端的单向鉴别或鉴别服务器和客户端之间 的双向鉴别。
2) 鉴别过程完成后, 客户端依据鉴别服务器的鉴别结果控制客户端 中各 个受控端口的授权或未授权状态,处在未授权 状态的受控端口将不能够使用鉴 别器提供的服务, 即不能通过服务数据, 处在授权状态的受控端口将能够使用 鉴别器提供的服务, 即能够通过服务数据; 鉴别器依据鉴别服务器的鉴别结果 控制鉴别器中各个受控端口的授权或未授权状 态,处在未授权的受控端口将不 能够向客户端提供服务, 即不能通过服务数据, 处在授权状态的受控端口将能 够向客户端提供服务, 即能够通过服务数据。
其中在步骤 2 ) 中, 客户端仅可以使客户端中的一个受控端口处在 授权状 态。 在步骤 2 ) 中, 鉴别器仅可以使鉴别器中的一个受控端口处在 授权状态。
当本发明是基于 TePA- AC来实现时, 图 3中的端点八、 端点 B和端点 S分别 对应 TePA-AC中的请求者、 鉴别访问控制器和鉴别服务器, 其具体步骤如下:
1 )请求者的 PAE、 鉴别访问控制器的 PAE和鉴别服务器交互 TAEP数据, 其中鉴别访问控制器需要参与鉴别过程, 即需解析和处理请求者的 PAE和鉴别 访问控制器的 PAE所发送的 TAEP数据, 实现请求者和鉴别访问控制器之间的 双向鉴别。
2) 鉴别过程完成后, 请求者依据鉴别服务器的鉴别结果控制请求者 中各 个受控端口的授权或未授权状态,处在未授权 状态的受控端口将不能够使用鉴 别访问控制器提供的服务, 即不能通过服务数据, 处在授权状态的受控端口将 能够使用鉴别访问控制器提供的服务, 即能够通过服务数据; 鉴别访问控制器 依据鉴别服务器的鉴别结果控制鉴别访问控制 器中各个受控端口的授权或未 授权状态, 处在未授权的受控端口将不能够向请求者提供 服务, 即不能通过服 务数据, 处在授权状态的受控端口将能够向请求者提供 服务, 即能够通过服务 数据。
其中在步骤 2 )中, 请求者仅可以使请求者中的一个受控端口处在 授权状 态。 在步骤 2 ) 中, 鉴别访问控制器仅可以使鉴别访问控制器中的 一个受控端 口处在授权状态。
相应的,本发明还提供另一种支持多受控端口 的访问控制,所述系统包括: 端点 A的访问实体 PAE、 端点 B的 PAE以及端点 S , 其中,
端点 A的端口访问实体 PAE, 用于通过端点 B的 PAE与端点 S交互鉴别 数据, 并在鉴别过程完成后, 依据端点 S的鉴别结果控制端点 A中各个受控 端口的授权或未授权状态, 处在未授权状态的受控端口不能使用端点 B提供 的服务;
端点 B的 PAE, 用于与端点 S交互鉴别数据, 并在鉴别过程完成后, 依 据端点 S的鉴别结果控制端点 B中各个受控端口的授权或未授权状态, 处在 未授权的受控端口不能向端点 A提供服务。
其中, 端点 A在鉴别过程完成后, 依据端点 S的鉴别结果控制端点 A中 各个受控端口的授权或未授权状态具体包括: 端点 A依据端点 S的鉴别结果 仅使端点 A中的一个受控端口处在 4受权状态, 端点 A中的其它受控端口处在 非授权状态;
端点 B在鉴别过程完成后, 依据端点 S的鉴别结果控制端点 B中各个受 控端口的授权或未授权状态具体包括: 端点 B依据端点 S的鉴别结果仅使端 点 B中的一个受控端口处在 4受权状态, 端点 B中的其它受控端口处在非 4受权 状态。
在该实施例中,如果交互鉴别数据是基于 IEEE 802.1x协议,所述端点 A、 端点 B和端点 S分别对应 IEEE 802. lx协议中的客户端、鉴别器和鉴别服务器; 如果交互鉴别数据是基于 TePA-AC, 所述端点 A、 端点 B和端点 S分别 对应 TePA-AC中的请求者、 鉴别访问控制器和鉴别服务器。
相应的, 本发明又提供一种支持多受控端口的访问控制 方法, 其流程图如 图 4所示, 所述方法包括:
步骤 401 : 端点 A的端口访问实体 PAE通过端点 B的 PAE、端点 B的 PAE分别 与端点 S交互鉴别数据;
步骤 402: 鉴别过程完成后, 端点 A依据端点 S的鉴别结果控制端点 A中各 个受控端口的授权或未授权状态, 处在未授权状态的受控端口不能使用端点 B 提供的服务;端点 B依据端点 S的鉴别结果控制端点 B中各个受控端口的授权或 未授权状态, 处在未授权的受控端口不能向端点 A提供服务。
其中, 所述步骤 402中, 所述端点 A依据端点 S的鉴别结果控制端点 A中各 个受控端口的授权或未授权状态具体包括: 端点 A依据端点 S的鉴别结果仅使 端点 A中的一个受控端口处在 4受权状态, 端点 A中的其它受控端口处在非 4受权 状态。
所述步骤 402中, 所述端点 B依据端点 S的鉴别结果控制端点 B中各个受控 端口的授权或未授权状态具体包括:端点 B依据端点 S的鉴别结果仅使端点 B中 的一个受控端口处在授权状态, 端点 B中的其它受控端口处在非授权状态。
在该实施例中, 针对不同的协议, 端点 A、 端点 B以及端点 S针对的实 体不同, 不如, 如果所述交互鉴别数据是基于 IEEE 802.1x协议, 所述端点 A、 端点 B和端点 S分别对应 IEEE 802. lx协议中的客户端、鉴别器和鉴别服务器; 如果所述交互鉴别数据是基于 TePA-AC, 所述端点 A、 端点 B和端点 S分别 对应 TePA-AC中的请求者、 鉴别访问控制器和鉴别服务器。 但并不限于此。
由上述实施例可知,本发明提供的一种支持多 受控端口的访问控制方法及 系统, 具有很好的可扩展性和应用性。 本发明所提供系统中定义了多个受控端 口, 且它们是互斥的, 从而可实现对服务数据的进一步控制, 具有很好的可扩 展性和应用性; 进一步, 本发明具有很好的前向兼容性, 本发明对每一个受控 端口的控制功能都是相同的,从而可以实现对 IEEE 802. lx协议和 TePA-AC的前 向兼容, 具有很好的前向兼容性。
以上所述仅是本发明的优选实施方式,应当指 出,对于本技术领域的普通 技术人员来说, 在不脱离本发明原理的前提下, 还可以作出若干改进和润饰, 这些改进和润饰也应视为本发明的保护范围。