专利名称:一种支持多受控端口的访问控制方法及其系统的制作方法
技术领域:
本发明属网络安全领域,涉及一种支持多受控端口的访问控制方法系统。
背景技术:
IEEE802. lx协议是基于客户端(Client) /服务器(Server)的访问控制协议,它可 以限制未经授权的用户/设备通过接入端口访问有线局域网/无线局域网。在鉴别通过之 前,IEEE 802. lx协议只允许可扩展鉴别协议(Extensible AuthenticationProtocol,EAP) 数据通过客户端系统和鉴别器系统的非受控端口 ;鉴别通过以后,服务数据可以顺利地通 过客户端系统和鉴别器系统的受控端口,IEEE 802. lx协议的客户端、鉴别器和鉴别服务器 系统如图1所示,其中PAE(PortAccess Entity)为端口访问实体。IEEE 802. lx协议可以 被一个系统用来鉴别其他任何连接在该系统受控端口上的系统,系统可以是路由器、终端 设备、交换机、无线接入点、无线基站、网关、应用程序等。 由于IEEE 802. lx仅仅适合Client/Server鉴别框架,所以IEEE 802. lx不适合 三方鉴别框架,如中国无线局域网标准中的三方鉴别框架。因此,一种适合三方鉴别框架
的访问控制方法——一种基于三元鉴别的访问控制方法(Access Controlmethod based on Tri-element Peer Authentication, TePA-AC)被提出。在鉴别通过之前,TePA-AC只允许 三元鉴别可扩展协议(Tri_element Authentication ExtensibleProtocol, TAEP)数据通 过请求者系统和鉴别访问控制器系统的非受控端口 ;鉴别通过以后,服务数据可以顺利地 通过请求者系统和鉴别访问控制器系统的受控端口 。 TePA-AC的请求者、鉴别访问控制器和 鉴别服务器系统如图2所示。TePA-AC可以被一个系统用来鉴别其他任何连接在该系统受 控端口上的系统,系统可以是路由器、终端设备、交换机、无线接入点、无线基站、网关、应用 程序等。 系统的每个物理端口可分为受控端口和不受控的两个逻辑端口 ,物理端口收到的 每个帧都被送到受控端口和不受控端口。非受控端口可以通过鉴别过程数据。对受控端口 的访问,受限于受控端口的授权状态。鉴别器和鉴别访问控制器的PAE根据鉴别服务器的 鉴别过程结果,控制受控端口的授权或未授权状态。处在未授权状态的受控端口不能通过 服务数据,处在授权状态的受控端口将允许通过服务数据。 上述服务数据可能需要进行进一步控制,如控制各种不同的服务数据。国际可信 计算组织(Trusted Computing Group, TCG)制定的一个基于可信计算技术的网络连接规 范——可信网络连接(Trusted Network Connect,TNC)就需要控制应用服务数据和隔离服 务数据。但是,利用IEEE 802. lx协议和TePA-AC是不能够完成对服务数据进行进一步控 制。
发明内容
为了解决背景技术中存在的上述技术问题,本发明提供了一种具有很好扩展性、 应用性以及前向兼容性的支持多受控端口的访问控制方法及其系统。
本发明的技术解决方案是本发明提供了一种支持多受控端口的访问控制方法, 其特殊之处在于所述支持多受控端口的访问控制方法包括以下步骤
1)端点A的PAE、端点B的PAE和端点S交互鉴别数据; 2)鉴别过程完成后,端点A依据端点S的鉴别结果控制端点A中各个受控端口的 授权或未授权状态,处在未授权状态的受控端口不能使用端点B提供的服务;端点B依据端 点S的鉴别结果控制端点B中各个受控端口的授权或未授权状态,处在未授权的受控端口 不能向端点A提供服务。 上述步骤2)中端点A依据端点S的鉴别结果仅使端点A中的一个受控端口处在 授权状态。 上述步骤2)中端点B依据端点S的鉴别结果仅使端点B中的一个受控端口处在 授权状态。 —种支持多受控端口的访问控制系统,其特殊之处在于所述支持多受控端口的 访问控制系统包括端点A、端点B以及端点S ;所述端点A包括两个或两个以上的受控端口 , 所述每一个受控端口使用端点B的一种服务,所述端点A的PAE根据端点S的鉴别过程结果 控制每一个受控端口的授权或未授权状态,处在未授权状态的受控端口不能使用端点B的 服务,所述端点A的各个受控端口是相斥的;所述端点B包括两个或两个以上的受控端口, 所述每一个受控端口向端点A提供一种服务,所述端点B的PAE根据端点S的鉴别过程结 果控制每一个受控端口的授权或未授权状态,处在未授权状态的受控端口不能向端点A提 供服务,所述端点B的各个受控端口是相斥的。
本发明的优点是 1、具有很好的可扩展性和应用性。本发明所提供系统中定义了多个受控端口,且 它们是互斥的,从而可实现对服务数据的进一步控制,具有很好的可扩展性和应用性;
2、很好的前向兼容性。本发明对每一个受控端口的控制功能都是相同的,从而可 以实现对IEEE 802. lx协议和TePA-AC的前向兼容,具有很好的前向兼容性。
图1为现有技术中IEEE 802. lx协议的客户端、鉴别器和鉴别服务器系统结构示 意图; 图2为现有技术中TePA-AC的请求者、鉴别访问控制器和鉴别服务器系统结构示 意图; 图3为本发明所提供的端口控制系统结构示意图。
具体实施例方式
参见图3,本发明提供了一种支持多受控端口的访问控制系统,该系统包括端点 A,其定义了两个或以上受控端口 ,每一个受控端口使用端点B的一种服务,端点A的PAE根 据端点S的鉴别过程结果控制每一个受控端口的授权或未授权状态,处在未授权状态的受 控端口将不能够使用端点B的服务。端点A的各个受控端口是相斥的,即最多仅允许一个 受控端口处在授权状态。 在包括端点A的同时,还包括端点B,其定义了两个或以上受控端口 ,每一个受控端口向端点A提供一种服务,端点B的PAE根据端点S的鉴别过程结果控制每一个受控端
口的授权或未授权状态,处在未授权状态的受控端口将不能够向端点A提供服务。端点B
的各个受控端口是相斥的,即最多仅允许一个受控端口处在授权状态。 当本发明基于IEEE 802. lx协议来实现时,图3中的端点A、端点B和端点S分别
对应IEEE 802. lx协议中的客户端、鉴别器和鉴别服务器,其具体步骤如下 1)客户端的PAE、鉴别器的PAE和鉴别服务器交互EAP数据,其中鉴别器仅需透传
客户端的PAE和鉴别器的PAE所发送的EAP数据,实现鉴别服务器对客户端的单向鉴别或
鉴别服务器和客户端之间的双向鉴别。 2)鉴别过程完成后,客户端依据鉴别服务器的鉴别结果控制客户端中各个受控端 口的授权或未授权状态,处在未授权状态的受控端口将不能够使用鉴别器提供的服务,即 不能通过服务数据,处在授权状态的受控端口将能够使用鉴别器提供的服务,即能够通过 服务数据;鉴别器依据鉴别服务器的鉴别结果控制鉴别器中各个受控端口的授权或未授权 状态,处在未授权的受控端口将不能够向客户端提供服务,即不能通过服务数据,处在授权 状态的受控端口将能够向客户端提供服务,即能够通过服务数据。 其中在步骤2)中,客户端仅可以使客户端中的一个受控端口处在授权状态。在步 骤2)中,鉴别器仅可以使鉴别器中的一个受控端口处在授权状态。 当本发明是基于TePA-AC来实现时,图3中的端点A、端点B和端点S分别对应 IEEE 802. lx协议中的请求者、鉴别访问控制器和鉴别服务器,其具体步骤如下
1)请求者的PAE、鉴别访问控制器的PAE和鉴别服务器交互TAEP数据,其中鉴别 访问控制器需要参与鉴别过程,即需解析和处理请求者的PAE和鉴别访问控制器的PAE所 发送的TAEP数据,实现请求者和鉴别访问控制器之间的双向鉴别。 2)鉴别过程完成后,请求者依据鉴别服务器的鉴别结果控制请求者中各个受控端 口的授权或未授权状态,处在未授权状态的受控端口将不能够使用鉴别访问控制器提供的 服务,即不能通过服务数据,处在授权状态的受控端口将能够使用鉴别访问控制器提供的 服务,即能够通过服务数据;鉴别访问控制器依据鉴别服务器的鉴别结果控制鉴别访问控 制器中各个受控端口的授权或未授权状态,处在未授权的受控端口将不能够向请求者提供 服务,即不能通过服务数据,处在授权状态的受控端口将能够向请求者提供服务,即能够通 过服务数据。 其中在步骤2)中,请求者仅可以使请求者中的一个受控端口处在授权状态。在步 骤2)中,鉴别访问控制器仅可以使鉴别访问控制器中的一个受控端口处在授权状态。
权利要求
一种支持多受控端口的访问控制方法,其特征在于所述支持多受控端口的访问控制方法包括以下步骤1)端点A的PAE、端点B的PAE和端点S交互鉴别数据;2)鉴别过程完成后,端点A依据端点S的鉴别结果控制端点A中各个受控端口的授权或未授权状态,处在未授权状态的受控端口不能使用端点B提供的服务;端点B依据端点S的鉴别结果控制端点B中各个受控端口的授权或未授权状态,处在未授权的受控端口不能向端点A提供服务。
2. 根据权利要求1所述的支持多受控端口的访问控制方法,其特征在于所述步骤2)中端点A依据端点S的鉴别结果仅使端点A中的一个受控端口处在授权状态。
3. 根据权利要求1所述的支持多受控端口的访问控制方法,其特征在于所述步骤2)中端点B依据端点S的鉴别结果仅使端点B中的一个受控端口处在授权状态。
4. 一种支持多受控端口的访问控制系统,其特征在于所述支持多受控端口的访问控制系统包括端点A、端点B以及端点S ;所述端点A包括两个或两个以上的受控端口,所述每一个受控端口使用端点B的一种服务,所述端点A的PAE根据端点S的鉴别过程结果控制每一个受控端口的授权或未授权状态,处在未授权状态的受控端口不能使用端点B的服务,所述端点A的各个受控端口是相斥的;所述端点B包括两个或两个以上的受控端口,所述每一个受控端口向端点A提供一种服务,所述端点B的PAE根据端点S的鉴别过程结果控制每受控端口的授权或未授权状态,处在未授权状态的受控端口不能向端点A提供服务,所述端点B的各个受控端口是相斥的。
全文摘要
本发明提供了一种支持多受控端口的访问控制方法,其特殊之处在于所述支持多受控端口的访问控制方法包括以下步骤1)端点A的PAE、端点B的PAE和端点S交互鉴别数据;2)鉴别过程完成后,端点A依据端点S的鉴别结果控制端点A中各个受控端口的授权或未授权状态,处在未授权状态的受控端口不能使用端点B提供的服务;端点B依据端点S的鉴别结果控制端点B中各个受控端口的授权或未授权状态,处在未授权的受控端口不能向端点A提供服务。本发明提供了一种具有很好扩展性、应用性以及前向兼容性的支持多受控端口的访问控制方法及其系统。
文档编号H04L12/56GK101741726SQ20091021957
公开日2010年6月16日 申请日期2009年12月18日 优先权日2009年12月18日
发明者曹军, 肖跃雷, 葛莉, 铁满霞, 黄振海 申请人:西安西电捷通无线网络通信有限公司