专利名称:基于端口的对等访问控制方法
技术领域:
本发明涉及一种网络技术,尤其涉及一种基于端口的对等访问控制方法。
背景技术:
网络访问控制一般涉及三个系统用户、接入点和后台服务器,后台服务器对用户和接入点进行集中管理。IEEE802.1x称为基于端口的访问控制协议(Port based network access control protocol)。当前有线网络中,除了传统的浏览器(WEB/Portal)访问控制方法和以太网上的点到点协议PPPoE(Point to PointProtocol over Ethernet)访问控制方法以外,新兴的访问方法则基于IEEE802.1x技术。IEEE802.1x技术具有控制和业务分离,高灵活性,强适应性等优点,已在各种网络中广泛应用。而且众多的无线网络如无线局域网IEEE802.11、无线城域网IEEE802.16e等都采用IEEE802.1x技术。
网络访问控制的关键是认证,认证的目的是要在用户和接入点之间建立信任,这是提供网络服务的基础。无论是有线网络接入还是无线网络接入都需要采用某一种安全机制来实现网络和用户之间的相互认证。
IEEE802.1x是在链路层实现认证的方法,它是基于端口的技术。一个系统的端口提供了一个方法,通过这种方法使该系统访问其他系统的服务和提供服务给其他系统。
IEEE802.1x定义了三种实体认证端(Authenticator)——在系统提供的服务在允许被访问前,系统的端口控制实体要对请求端进行认证和授权。该系统称为认证端系统,它的端口控制实体称为认证端;请求端(Supplicant)——系统要访问由认证端系统所提供服务。该系统称为请求端系统,它的端口控制实体称为请求端;认证服务器(Authentication Server)——认证服务器是这样一个实体,它代表认证端来鉴别请求端的资格,决定请求端系统是否能获得授权,去访问由认证端系统所提供的服务。
认证端系统和传输媒介有两个访问点。一个访问点称为受控端口,它有两个状态认证的和未认证的,当它的状态是认证的时,才允许数据包通过;而另一个访问点称为非受控端口,它无论状态如何,都允许数据包通过。
图1给出了IEEE802.1x的功能实体关系。
由于IEEE802.1x只提供了一个认证的框架,在实际使用中则是和可扩展认证协议EAP(Extensible Authentication Protocol)结合来提供认证及密钥协商。IEEE 802.1x的结构是不对等结构,请求端和认证端功能相差很大。请求端没有端口控制功能,而认证端没有认证功能,认证是在请求端和认证服务器之间进行的。虽然认证服务器可以和认证端在一个系统中实现,但这将大大减弱IEEE802.1x对认证端集中控制的优势。而目前普遍采用的方法是认证服务器和认证端在不同的系统中实现。认证时,认证服务器直接把认证结果传递给认证端;若还要进行密钥协商,密钥协商需在认证服务器和请求端之间进行,然后由认证服务器将协商的出来的密钥发送给认证端,请求端和认证端基于动态的共享密钥进行认证与密钥协商。因此其存在的缺点是1、IEEE802.1x的结构是不对等结构,请求端和认证端功能相差很大。请求端没有端口控制功能,而认证端没有认证功能,认证是在请求端和认证服务器之间进行的。虽然认证服务器可以和认证端在一个系统中实现,但这将大大减弱IEEE802.1x对认证端集中控制的优势。
2、可扩展性差。在每一个认证端和认证服务器之间存在预定义的安全通道。安全通道越多,需要耗费的认证服务器系统资源越多,管理也越复杂,因此不宜配置大量的安全通道,网络扩展性受限;3、密钥协商过程复杂。密钥用于请求端和认证端之间的数据保护,却要先在请求端和认证服务器之间协商,再在请求端和认证端之间协商。
4、引入新的攻击点,安全性有所降低。请求端和认证服务器协商出来的主密钥由认证服务器传递给认证端。密钥在网络上传递,引入了新的安全攻击点。
5、认证端没有独立的身份。对于请求端,同一认证服务器管理下的认证端的身份是不可区分的,在需要区分认证端的应用环境下要增加额外的功能实体,这带来了复杂性。
发明内容
本发明的目的要解决背景技术的不足之处,通过改变背景技术的不对等性,提供一种对等的访问控制方法。本发明的方法既能满足集中管理的要求,又解决了现有网络访问控制方法的过程复杂、安全性能差、可扩展性差等技术问题,为网络的安全访问提供了根本保障。
本发明的技术解决方案如下一种基于端口的对等访问控制方法,该方法包括1)启用认证控制实体当用户和接入点要进行通信时,先启用认证控制实体;所述的认证控制实体具有用于认证的唯一身份,其包括认证子系统以及连接认证子系统和传输媒介的两个访问点;所述的两个访问点包括受控端口和非受控端口;所述的认证子系统包括实现认证和端口控制功能,所述的认证子系统和非受控端口相连,受控端口的状态转变由认证子系统控制;2)两个认证控制实体相互认证两个认证控制实体通过非受控端口进行通信,它们的认证子系统进行相互的认证;3)设定受控端口的状态当认证成功,认证子系统设定受控端口的状态为认证的,受控端口从断开状态转变为闭合状态,允许数据包通过;若认证不成功,认证子系统设定受控端口的状态为未认证的,受控端口仍然保持断开状态。
上述方法还可包括启用认证服务器实体当用户和接入点要进行通信时,先启用认证控制实体和认证服务器实体;所述认证服务器实体存储有关认证控制实体的安全管理信息;所述的认证服务器实体和认证控制实体的认证子系统相连接,认证服务器实体和认证控制实体中的认证子系统交互安全管理消息,提供认证所必须的信息;所述认证子系统是在认证服务器实体的辅助下完成认证过程,或自行完成认证过程。
上述的认证服务器实体存储认证控制实体的属性信息,认证服务器实体把属性信息传递给认证控制实体。
上述方法还可包括两个认证子系统进行密钥协商所述的认证子系统包括密钥协商功能,所述的两个认证控制实体相互认证时,在认证过程中或认证完成后,可进行密钥协商;若是在认证完成后独立进行密钥协商,那么密钥协商由两个认证控制实体自行完成。
上述的密钥协商在认证过程中和认证同时完成时,认证子系统可以在认证服务器实体的辅助下完成密钥协商过程,或自行完成密钥协商过程。
上述的认证服务器实体存储认证控制实体的属性信息,认证服务器实体把属性信息传递给认证控制实体。
上述方法还可包括设定受控端口的状态当认证及密钥协商过程都成功完成后,认证子系统设定受控端口的状态为认证的,受控端口从断开状态转变为闭合状态,允许数据包通过;若认证及密钥协商过程不成功,认证子系统设定受控端口的状态为未认证的,受控端口仍然保持断开状态。
上述认证控制实体和认证服务器实体可以在一个系统中,也可以在不同系统中;所述一个系统可以包含一个认证控制实体,也可以包含多个认证控制实体。
本发明的优点是1、对等化控制。本方法使用户和接入点都包含认证控制实体,则用户和接入点可以直接进行认证,即对等化,对认证功能提供了更强大的支持;2、认证控制实体具有可区分性。认证控制实体具有独立的身份,不再是认证服务器的简单受控者,认证控制实体独立的身份使之脱离了对认证服务器实体的本质依赖,从而认证控制实体本身具有可区分性;3、扩展性好。认证控制实体和认证服务器实体之间不必存在预定义的安全通道,便于认证服务器实体对认证控制实体进行集中控制,具有很好的扩展性;4、安全性好。认证控制实体可以直接和其他的认证控制实体进行密钥协商,还原了密钥协商的直接性,简化了网络的实现,并增强了安全性;5、密钥协商过程简单。认证控制实体可以直接和其他的认证控制实体进行密钥协商,降低了复杂性,提高了密钥协商的效率;6、系统相对完整。认证服务器实体是认证控制实体的安全管理者,包含了认证技术中密钥管理的功能,本发明的几个实体一起构成了完整的安全系统,独立完成认证及密钥协商功能;7、灵活性高。认证服务器实体可以提供丰富的附加功能,具有很强的灵活性;8、实现方式灵活。本方法定义的功能实体并不要求在不同的网络系统中实现,一个网络系统可以实现一个或多个功能实体。如图3所示,认证控制实体和认证服务器实体在同一个网络系统内实现。同时也不要求一个认证服务器实体对应一个认证控制实体,一个认证服务器实体可以对应、管理多个认证控制实体。如图4所示,认证控制实体1通过认证控制实体2的非受控端口和认证服务器实体通信。
附面说明图1是IEEE 802.1x的功能实体连接关系图;图2是本发明的功能实体连接关系图;图3是本发明认证服务器实体和认证控制实体在一个系统内实现的原理图;图4是本发明一个认证服务器实体对应多个认证控制实体的原理图。
具体实施例方式
本发明包含以下两种实体1)认证控制实体认证控制实体包括和传输媒介相连的两个访问点。一个访问点称为受控端口,它有两个状态认证的状态和未认证的状态。当它的状态是认证的时,才允许数据包通过;而另一个访问点称为非受控端口,它无论状态如何,都允许数据包通过。认证控制实体的受控端口和非受控端口会同时收到下层传输媒介的数据包。
认证控制实体包含认证子系统,认证子系统实现认证、密钥协商等安全功能和端口控制功能。认证子系统和非受控端口相连,受控端口的状态转变由认证子系统控制。
认证控制实体具有用于认证的唯一身份,可以独立的实现认证功能。
2)认证服务器实体认证服务器实体存储有关认证控制实体的安全管理信息,它和认证控制实体的认证子系统相连接。在认证控制实体和其他认证控制实体进行认证时,认证服务器实体和认证控制实体中的认证子系统交互安全管理消息,提供认证所必须的信息,但认证服务器实体并不代表认证控制实体完成认证。认证服务器实体还存储认证控制实体的属性信息,根据应用需要,认证服务器实体把属性信息传递给认证控制实体。
认证控制实体和认证服务器实体的关系如附图2所示。
本发明的对等访问控制方法的一种具体过程1)启用认证控制实体当用户和接入点要进行通信时,它们都必须先启用认证控制实体。
2)两个认证控制实体相互认证两个认证控制实体通过非受控端口进行通信,它们的认证子系统进行相互的认证。认证子系统可以不需要认证服务器实体的辅助,自行完成认证过程。
3)两个认证控制实体进行密钥协商如果两个认证控制实体需要进行密钥协商,则密钥协商可以在认证过程中和认证同时完成,也可以在认证过程完成后独立进行。若是在认证完成后独立进行密钥协商,那么密钥协商由两个认证控制实体自行完成,不需要认证服务器实体的参加。
4)设定受控端口的状态当认证及密钥协商成功,认证子系统设定受控端口的状态为认证的,受控端口从断开状态转变为闭合状态,允许数据包通过;若认证不成功,认证子系统设定受控端口的状态为未认证的,受控端口仍然保持断开状态。
本发明的对等访问控制方法的另一种具体过程1)启用认证控制实体和认证服务器实体当用户和接入点要进行通信时,它们都启用认证控制实体和认证服务器实体。
2)两个认证控制实体相互认证两个认证控制实体通过非受控端口进行通信,它们的认证子系统进行相互的认证。认证子系统可以在认证服务器实体的辅助下完成认证过程,还可以不需要认证服务器实体的辅助,自行完成认证过程。
3)两个认证控制实体进行密钥协商如果两个认证控制实体需要进行密钥协商,则密钥协商可以在认证过程中和认证同时完成,也可以在认证过程完成后独立进行。若是在认证完成后独立进行密钥协商,那么密钥协商由两个认证控制实体自行完成,不需要认证服务器实体的参加。
4)设定受控端口的状态当认证及密钥协商成功,认证子系统设定受控端口的状态为认证的,受控端口从断开状态转变为闭合状态,允许数据包通过;若认证不成功,认证子系统设定受控端口的状态为未认证的,受控端口仍然保持断开状态。
认证控制实体和认证服务器实体的关系如附图2所示。
本发明的原理是使用户和接入点都包含认证控制实体,则用户和接入点可以直接进行认证,即对等的访问控制,对认证功能提供了更强大的支持。认证控制实体具有独立的身份,不再是认证服务器实体的简单受控者。认证控制实体独立的身份使之脱离了对认证服务器实体的本质依赖,从而认证控制实体本身具有可区分性。认证控制实体可以直接和其他的认证控制实体进行密钥协商,还原了密钥协商的直接性。认证服务器是认证控制实体的安全管理者,包含了认证技术中密钥管理的功能,构成了完整的安全系统,独立完成认证及密钥协商功能。
在实践应用中,网络接入控制中的用户和接入点都通过认证控制实体实现认证,而后台服务器通过认证服务器实体进行安全管理。
本发明所涉及的技术术语如下IEEE 802.1x-基于端口的访问控制协议(Port based network access controlprotocol);PPPoE-点到点协议(Point to Point Protocol over Ethernet);IEEE 802.11-无线局域网;IEEE802.16e-无线城域网;Authenticator-认证端;Supplicant-请求端;Authentication Server-认证服务器;EAP-可扩展认证协议(Extensible Authentication Protocol)。
权利要求
1.一种基于端口的对等访问控制方法,其特征在于所述方法包括1)启用认证控制实体当用户和接入点要进行通信时,先启用认证控制实体;所述的认证控制实体具有用于认证的唯一身份,其包括认证子系统以及连接认证子系统和传输媒介的两个访问点;所述的两个访问点包括受控端口和非受控端口;所述的认证子系统包括实现认证和端口控制功能,所述的认证子系统和非受控端口相连,受控端口的状态转变由认证子系统控制;2)两个认证控制实体相互认证两个认证控制实体通过非受控端口进行通信,它们的认证子系统进行相互的认证;3)设定受控端口的状态当认证成功,认证子系统设定受控端口的状态为认证的,受控端口从断开状态转变为闭合状态,允许数据包通过;若认证不成功,认证子系统设定受控端口的状态为未认证的,受控端口仍然保持断开状态。
2.根据权利要求1所述的基于端口的对等访问控制方法,其特征在于所述方法包括启用认证服务器实体当用户和接入点要进行通信时,先启用认证控制实体和认证服务器实体;所述认证服务器实体存储有关认证控制实体的安全管理信息;所述的认证服务器实体和认证控制实体的认证子系统相连接,认证服务器实体和认证控制实体中的认证子系统交互安全管理消息,提供认证所必须的信息;所述认证子系统是在认证服务器实体的辅助下完成认证过程,或自行完成认证过程。
3.根据权利要求1或2所述的基于端口的对等访问控制方法,其特征在于所述方法包括两个认证子系统进行密钥协商所述的认证子系统包括密钥协商功能,所述的两个认证控制实体相互认证时,在认证过程中或认证完成后,可进行密钥协商;若是在认证完成后独立进行密钥协商,那么密钥协商由两个认证控制实体自行完成。
4.根据权利要求3所述的基于端口的对等访问控制方法,其特征在于所述的密钥协商在认证过程中和认证同时完成时,认证子系统可以在认证服务器实体的辅助下完成密钥协商过程,或自行完成密钥协商过程。
5.根据权利要求1或2所述的基于端口的对等访问控制方法,其特征在于所述的认证服务器实体存储认证控制实体的属性信息,认证服务器实体把属性信息传递给认证控制实体。
6.根据权利要求3所述的基于端口的对等访问控制方法,其特征在于所述的认证服务器实体存储认证控制实体的属性信息,认证服务器实体把属性信息传递给认证控制实体。
7.根据权利要求3所述的基于端口的对等访问控制方法,其特征在于所述方法包括设定受控端口的状态当认证及密钥协商过程都成功完成后,认证子系统设定受控端口的状态为认证的,受控端口从断开状态转变为闭合状态,允许数据包通过;若认证及密钥协商过程不成功,认证子系统设定受控端口的状态为未认证的,受控端口仍然保持断开状态。
8.根据权利要求1或2所述的基于端口的对等访问控制方法,其特征在于所述认证控制实体和认证服务器实体可以在一个系统中,也可以在不同系统中;所述一个系统可以包含一个认证控制实体,也可以包含多个认证控制实体。
全文摘要
一种基于端口的对等访问控制方法,包括以下步骤1)启用认证控制实体;2)两个认证控制实体相互认证;3)设定受控端口的状态。该方法还可包括启用认证服务器实体、两个认证子系统进行密钥协商等步骤。本发明通过改变背景技术的不对等性,具有对等化控制、认证控制实体具有可区分性、扩展性好、安全性好、密钥协商过程简单、系统相对完整、灵活性高的优点,既能满足集中管理的要求,又解决了现有网络访问控制方法的过程复杂、安全性能差、可扩展性差等技术问题,为网络的安全访问提供了根本保障。
文档编号H04L29/06GK1655504SQ20051004171
公开日2005年8月17日 申请日期2005年2月21日 优先权日2005年2月21日
发明者赖晓龙, 曹军, 张变玲, 黄振海, 郭宏 申请人:西安西电捷通无线网络通信有限公司