专利名称:一种适合三元对等鉴别可信网络连接架构的网络传输方法
技术领域:
本发明涉及一种适合三元对等鉴别可信网络连接架构的网络传输方法。
背景技术:
随着信息化的发展,病毒、蠕虫等恶意软件的问题异常突出。目前已经出现了超过三万五千种的恶意软件,每年都有超过四千万的计算机被感染。要遏制住这类攻击,不仅通过解决安全的传输和数据输入时的检查,还要从源头即从每一台连接到网络的终端开始防御。而传统的安全防御技术已经无法防御种类繁多的恶意攻击。 国际可信计算组织(Trusted Computing Group, TCG)针对这个问题,专门制定了一个基于可信计算技术的网络连接规范抓可信网络连接(Trusted Network Connect,TNC),简记为TCG-TNC,其包括了开放的终端完整性架构和一套确保安全互操作的标准。TCG-TNC架构参见图1。 由于TCG-TNC架构中的策略执行点处于网络边缘,且访问请求者不对策略执行点进行平台鉴别,所以该架构存在策略执行点不可信赖的问题。为了解决这一问题,一种基于三元对等鉴别(Tri-element Peer Authentication, TePA)的TNC架构被提出。基于TePA的TNC架构参见图2。 可扩展鉴别协议(Extensible Authentication Protocol,EAP)是一个鉴别框架,它用于点到点的鉴别,可支持多种鉴别机制。EAP并不在链路控制阶段指定鉴别方法,而是把这个过程推迟到鉴别阶段。这样鉴别器就可以要求更多的信息以后再决定使用什么鉴别方法。这种机制允许使用一台"后端"鉴别服务器来真正执行鉴别机制,而鉴别器只是传递鉴别交换信息。 由于EAP仅仅是一个适合点到点鉴别协议的鉴别框架,所以EAP不适合实现三
方鉴别协议,如三元对等鉴别协议抓鉴别双方基于可信第三方来实现双向鉴别。为了
满足三方鉴别协议的需要,一种适合三方鉴别协议的鉴别框架构抓三元鉴别可扩展协议
(Tri_elementAuthentication Extensible Protocol, TAEP)被提出,其中TAEP包的格式
与EAP包的格式类同,但TAEP的层次模型与EAP不相同。 TAEP包的格式如下
Code (8位比特)Identifier (8位比特)Length (16位比特)
Data
Code Code字段长度为1个八位位组,表示TAEP分组的类型 1 Request 2 Response 3 Success
4 Failure
Identifier Identifier字段长度为1个八位位组,用于匹配Request和Response分组。
Length Length字段长度为2个八位位组,表示整个TAEP分组的八位位组数,即指包括Code、 Identifier、 Length和Data所有字段的长度总和。
Data Data字段长度可变,分组含0个或多个八位位组,其格式由Code字段的值决定。
若Code字段的值为Request或Response,则Data字段包含Type字段和Type-Date字段,
其中Type字段可为Identity和TP Authentication等。若Code字段的值为Success或
Failure,则Data字段不存在。 TAEP复用模型如图3所示 TAEP消息交换的步骤如下 1)鉴别访问控制器发送Request分组给请求者要求开始鉴别,Request有一个Tpye字段指示请求的类型,Type字段是Identity,表示身份; 2)请求者发送Response分组给鉴别访问控制器来响应有效的Request, Response分组中包含一个Type字段,对应于Request分组中的Type字段,Type-Data字段中包含有对等体的身份; 3)鉴别访问控制器发送Request分组给鉴别服务器,Request有一个Type字段指示请求的类型,Type是TP Authentication,用于向鉴别服务器请求鉴别方法类型;
4)鉴别服务器发送Response分组给鉴别访问控制器,Response分组中包含一个Type字段,对应于Request分组中的Type字段; 5)鉴别访问控制器根据鉴别服务器返回的鉴别方法类型,选择一种鉴别方法开
始鉴别过程。发送Request分组给请求者,请求者响应Response分组给鉴别访问控制
器,Request和Response的序列根据需要持续交互。鉴别访问控制器向鉴别服务器发
送Request分组,而鉴别服务器向鉴别访问控制器响应Response分组。此Request和
Response的序列会持续需要的长度。鉴别访问控制器负责重传Request分组; 6)对话一直持续到鉴别访问控制器不能鉴别请求者,鉴别访问控制器将发送
Failure分组给请求者;或者鉴别访问控制器判断成功的鉴别已经完成,鉴别访问控制器
或停止发送Request分组,结束消息交互,或发送Success分组给请求者。 在某些情况下,鉴别方法是确定的或通过其他方式确定鉴别方法及身份时,上述
3) 、4)步骤可有选择的进行。 在图2所示的基于TePA的TNC架构中,由于网络访问控制层除了传输用户鉴别协议数据外还传输上两层的平台鉴别协议数据,且平台鉴别协议数据在访问请求者和访问控制器之间需要利用安全隧道进行传输,所以所述三元鉴别可扩展协议不能完成基于TePA的TNC架构的网络传输。
发明内容
本发明为解决背景技术中存在的上述技术问题,而提供一种适合三元对等鉴别可信网络连接架构的网络传输方法。 本发明的技术解决方案是本发明为一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于该方法包括以下步骤 1)请求者、鉴别访问控制器和鉴别服务器执行TAEP鉴别方法; 1. 1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者的
TAEP鉴别方法身份; 1. 2)鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务器获取TAEP鉴别方法类型; 1. 3)鉴别访问控制器选取一种TAEP鉴别方法与请求者、鉴别服服务器执行TAEP鉴别方法过程; 1. 4)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程。
上述步骤1. 1)的具体步骤如下 1. 1. 1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值为Identity ; 1. 1. 2)请求者向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤1. 1. 1)中TAEP的Request分组中的Type字段,Type-Data字段中包含请求者的TAEP鉴别方法身份。 上述步骤1. 2)的具体步骤如下 1. 2. 1)鉴别访问控制器向鉴别服务器发送TAEP的Request分组,其中Type字段的值为TPAuthentication, Type-Data字段中包含请求者和鉴别访问控制器的TAEP鉴别方法身份; 1. 2. 2)鉴别服务器向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤1. 2. 1)中TAEP的Request分组中的Type字段,Type-Data字段中包含TAEP鉴别方法类型。 上述步骤1. 3)的具体步骤如下鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一系列TAEP的Request分组和Response分组,其中鉴别访问控制器向请求者发送TAEP的Request分组,而请求者收到鉴别访问控制器所发送的TAEP的Request分组后向鉴别访问控制器返回TAEP的Response分组,鉴别访问控制器向鉴别服务器发送TAEP的Request分组,而鉴别服务器收到鉴别访问控制器所发送的TAEP的Request分组后向鉴别访问控制器返回TAEP的Response分组,Type字段为鉴别访问控制器选取的TAEP鉴别方法类型,Type-Data字段中包含Type字段的值对应的TAEP鉴别方法消息。
上述步骤1. 4)的具体步骤如下 1. 4. 1)若在步骤1. 3)中的TAEP鉴别方法过程中鉴别访问控制器成功认证请求者,则向请求者发送TAEP的Success分组; 1. 4. 2)若在步骤1. 3)中的TAEP鉴别方法过程中鉴别访问控制器不能成功认证请求者,则向请求者发送TAEP的Failure分组。 上述步骤1)之后还包括步骤2)请求者、鉴别访问控制器和鉴别服务器执行TAEP隧道鉴别方法; 2. 1)请求者和鉴别访问控制器执行隧道方法,建立请求者和鉴别访问控制器之间的安全隧道; 2. 1. 1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值 为TAEP隧道鉴别方法类型,Type-Data字段的值为TAEP隧道鉴别方法启动标识;
2. 1. 2)请求者和鉴别访问控制器之间交互 一 系列TAEP的Request分组和 Response分组,其中Type字段的值为步骤2. 1. 1)中的TAEP隧道鉴别方法类型,Type-Data 字段的值为Type字段的值对应的隧道方法消息,直至建立请求者和鉴别访问控制器之间 的安全隧道; 2. 2)请求者、鉴别访问控制器和鉴别服务器在步骤2. 1)中建立的安全隧道中执 行内TAEP鉴别方法; 2. 2. 1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者 的内TAEP鉴别方法身份; 2. 2. 2)鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务 器获取内TAEP鉴别方法类型; 2. 2. 3)鉴别访问控制器选取一种内TAEP鉴别方法与请求者、鉴别服务器执行内 TAEP鉴别方法过程; 2. 2. 4)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程;
上述步骤2. 2. 1)的具体步骤如下 2. 2. 1. 1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的 值为步骤2. 2. 1)中的TAEP隧道鉴别方法类型,Type-Data字段的值为利用步骤2. 1)中建 立的安全隧道进行保护的内TAEP鉴别方法包,内TAEP鉴别方法包中的Code字段的值为 Request, Type字段的值为Identity ; 2. 2. 1. 2)请求者向鉴别访问控制器发送TAEP的Response分组,其中Type字段对 应步骤2. 2. 1. 1)中TAEP的Request分组中的Type字段,Type-Data字段的值为利用步骤 2. 1)中建立的安全隧道进行保护的内TAEP鉴别方法包,内TAEP鉴别方法包中的Code字段 的值为Response, Type字段对应步骤2. 2. 1. 1中内TAEP鉴别方法包的Request分组中的 Type字段,Type-Data字段中包含请求者的内TAEP鉴别方法身份。
上述步骤2. 2. 2)的具体步骤如下 2. 2. 2. 1)鉴别访问控制器向鉴别服务器发送TAEP的Request分组,其中Type字 段的值为TP Authentication, Type-Data字段中包含请求者和鉴别访问控制器的内TAEP 鉴别方法身份; 2. 2. 2. 2)鉴别服务器向鉴别访问控制器发送TAEP的Response分组,其中Type 字段对应步骤2. 2. 2. 1)中TAEP的Request分组中的Type字段,Type-Data字段中包含内 TAEP鉴别方法类型。 上述步骤2. 2. 3)的具体步骤如下鉴别访问控制器与请求者之间、鉴别访问控制 器与鉴别服务器之间交互一系列TAEP的Request分组和Response分组,直到内TAEP鉴别 方法过程完成,对于鉴别访问控制器与请求者之间交互的一系列TAEP的Request分组和 Response分组,其中Type字段的值为步骤2. 2. 1)中的TAEP隧道鉴别方法类型,Type-Data 字段的值为内TAEP鉴别方法包,内TAEP鉴别方法包的Type字段的值为步骤2. 2. 3)中鉴 别访问控制器选取的内TAEP鉴别方法类型,Type-Data字段中包含Type字段的值对应的内TAEP鉴别方法消息。 上述步骤2. 2. 4)的具体步骤如下 2. 2. 4. 1)若在步骤2. 2. 3)中的内TAEP鉴别方法过程中鉴别访问控制器成功认证 请求者,则向请求者发送TAEP的Success分组; 2. 2. 4. 2)若在步骤2. 2. 3)中的内TAEP鉴别方法过程中鉴别访问控制器不能成功 认证请求者,则向请求者发送TAEP的Failure分组。 上述步骤2. 2. 2)中,鉴别访问控制器利用TAEP的Request分组和Response分组 来向鉴别服务器获取内TAEP鉴别方法的辅助数据。 在上述方法中,若步骤1)中已建立请求者和鉴别访问控制器之间的会话密钥,则 鉴别过程结束后可利用该会话密钥对请求者和鉴别访问控制器之间的数据进行安全保护, 也可以混合该会话密钥和步骤2)中已建立的安全隧隧对请求者和鉴别访问控制器之间的 数据进行安全保护;若步骤1)中没有建立请求者和鉴别访问控制器之间的会话密钥,则鉴 别过程结束后可利用步骤2)中已建立的安全隧隧对请求者和鉴别访问控制器之间的数据 进行安全保护。 本发明具有以下优点 1、本发明采用的TAEP鉴别方法和内TAEP鉴别方法都是可扩展鉴别框架,从而增 强了可扩展性和应用性; 2、本发明采用的TAEP鉴别方法在安全隧道建立前进行传输,而内TAEP鉴别方法 在安全隧道建立后进行传输,从而具有很好的前向兼容性; 3、本发明采用的内TAEP鉴别方法消息在安全隧道中进行传输,从而增强了安全 性。
图1为现有技术中的TCG-TNC架构图;
图2为现有技术中的基于TePA的TNC架构;
图3为现有技术中的TAEP复用模型图;
图4为本发明中的隧道TAEP封装层次图。
具体实施例方式
本发明适合三元对等鉴别可信网络连接架构的网络传输方法的具体实施步骤如 下 1)请求者、鉴别访问控制器和鉴别服务器执行TAEP鉴别方法,如执行用户鉴别 协议。该TAEP鉴别方法还可以建立请求者和鉴别访问控制器之间的会话密钥;
1. 1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者的 TAEP鉴别方法身份,如获取请求者的用户身份; 1. 1. 1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值 为Identity ; 1. 1. 2)请求者向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应 步骤1. 1. 1)中TAEP的Request分组中的Type字段,Type-Data字段中包括请求者的TAEP鉴别方法身份,如包括请求者的用户身份; 1. 2)鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务器 获取TAEP鉴别方法类型,如用户鉴别方法类型; 1. 2. 1)鉴别访问控制器向鉴别服务器发送TAEP的Request分组,其中Type字段 的值为TP Authentication, Type-Data字段中包含请求者和鉴别访问控制器的TAEP鉴别 方法身份,如图2中访问请求者和访问控制器的用户身份; 1. 2. 2)鉴别服务器向鉴别访问控制器发送TAEP的Response分组,其中Type字段 对应步骤1. 2. 1)中TAEP的Request分组中的Type字段,Type-Data字段中包含TAEP鉴 别方法类型,如图2中用户鉴别协议类型; 1. 3)鉴别访问控制器选取一种TAEP鉴别方法与请求者、鉴别服服务器执行TAEP 鉴别方法过程,如执行用户鉴别协议; 1. 3. 1)鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一 系列TAEP的Request分组和Response分组,其中Type字段为步骤1. 3)中鉴别访问控制 器选取的TAEP鉴别方法类型,Type-Data字段中包含Type字段的值对应的TAEP鉴别方法 消息,如用户鉴别协议消息; 若步骤1. 3)完成后还需要执行TAEP隧道鉴别方法,则执行步骤2),否则,执行步 骤1. 4); 1. 4)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程; 1. 4. 1)若在步骤1. 3. 1)中的TAEP鉴别方法过程中鉴别访问控制器成功认证请求
者,如成功认证请求者的用户身份,则向请求者发送TAEP的Success分组; 1. 4. 2)若在步骤1. 3. 1)中的TAEP鉴别方法过程中鉴别访问控制器不能成功认证
请求者,如不能成功认证请求者的用户身份,则向请求者发送TAEP的Failure分组。 2)请求者、鉴别访问控制器和鉴别服务器执行TAEP隧道鉴别方法; 2. 1)请求者和鉴别访问控制器执行隧道方法,建立请求者和鉴别访问控制器之间
的安全隧道,如执行安全传输层协议(Transport Layer Security, TLS)协议建立请求者
和鉴别访问控制器之间的安全隧道。由于步骤l)中已实现请求者和鉴别访问控制器之间
的双向用户鉴别,所以可以执行TLS协议的完全匿名模式来建立请求者和鉴别访问控制器
之间的安全隧道; 2. 2. 1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的 值为TAEP隧道鉴别方法类型,Type-Data字段的值为TAEP隧道鉴别方法启动标识,如 Start ; 2. 2. 2)请求者和鉴别访问控制器之间交互 一 系列TAEP的Request分组和 Response分组,其中Type字段的值为步骤2. 2. 1)中的TAEP隧道鉴别方法类型,Type-Data 字段的值为Type字段的值对应的隧道方法消息,如TLS协议消息,直至建立请求者和鉴别 访问控制器之间的安全隧道; 2. 2)请求者、鉴别访问控制器和鉴别服务器在步骤2. 1)中建立的安全隧道中执 行内TAEP鉴别方法,如利用TLS协议的记录协议来安全传输内TAEP鉴别方法消息;
2. 2. 1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者 的内TAEP鉴别方法身份,如获取请求者的平台身份;
2. 2. 1. 1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的 值为步骤2.2. 1)中的TAEP隧道鉴别方法类型,Type-Data字段的值为利用步骤2. 1)中 建立的安全隧道进行保护的内TAEP鉴别方法包。内TAEP鉴别方法包的Code字段的值为 Request, Type字段的值为Identity ; 2. 2. 1. 2)请求者向鉴别访问控制器发送TAEP的Response分组,其中Type字段 对应步骤2. 2. 1. 1)中TAEP的Request分组中的Type字段,Type-Data字段的值为利用步 骤2. 1)中建立的安全隧道进行保护的内TAEP鉴别方法包。内TAEP鉴别方法包的Code字 段的值为Response, Type字段对应步骤2. 2. 1. 1中内TAEP鉴别方法包的Request分组中 的Type字段,Type-Data字段中包含请求者的内TAEP鉴别方法身份,如包含请求者的平 台身份; 2. 2. 2)鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务 器获取内TAEP鉴别方法类型,如平台鉴别协议类型; 2. 2. 2. 1)鉴别访问控制器向鉴别服务器发送TAEP的Request分组,其中Type字 段的值为TP Authentication, Type-Data字段中包含请求者和鉴别访问控制器的内TAEP 鉴别方法身份,如包含请求者和鉴别访问控制器的平台身份; 2. 2. 2. 2)鉴别服务器向鉴别访问控制器发送TAEP的Response分组,其中Type 字段对应步骤2. 2. 2. 1)中TAEP的Request分组中的Type字段,Type-Data字段中包含内 TAEP鉴别方法类型,如包含平台鉴别协议类型; 2. 2. 3)鉴别访问控制器选取一种内TAEP鉴别方法与请求者、鉴别服务器执行内 TAEP鉴别方法过程,如执行平台鉴别协议; 2. 2. 3. 1)鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互 一系列TAEP的Request分组和Response分组,直到内TAEP鉴别方法过程完成。对于鉴别 访问控制器与请求者之间交互的一系列TAEP的Request分组和Response分组,其中Type 字段的值为步骤2. 2. 1)中的TAEP隧道鉴别方法类型,Type-Data字段的值为内TAEP鉴别 方法包。内TAEP鉴别方法包的Type字段的值为步骤2. 2. 3)中鉴别访问控制器选取的内 TAEP鉴别方法类型,Type-Data字段中包含Type字段的值对应的内TAEP鉴别方法消息, 如包含平台鉴别协议消息; 2. 2. 4)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程;
2. 2. 4. 1)若在步骤2. 2. 3. 1)中的内TAEP鉴别方法过程中鉴别访问控制器成功 认证请求者,如成功认证请求者的平台(包含平台身份和平台完整性),则向请求者发送 TAEP的Success分组; 2. 2. 4. 2)若在步骤2. 2. 3. 1)中的内TAEP鉴别方法过程中鉴别访问控制器不能成 功认证请求者,如不成功认证请求者的平台(包含平台身份和平台完整性),则向请求者 发送TAEP的Failure分组。 在所述步骤2. 2. 2)中,鉴别访问控制器还可以利用TAEP的Request分组和 Response分组来向鉴别服务器获取内TAEP鉴别方法的辅助数据,如平台鉴别协议的策略 信息(包含平台保护策略和平台评估策略等)。 若上述步骤1)中已建立请求者和鉴别访问控制器之间的会话密钥,则鉴别过程 结束后可利用该会话密钥对请求者和鉴别访问控制器之间的数据进行安全保护,也可以混合该会话密钥和步骤2)中已建立的安全隧隧对请求者和鉴别访问控制器之间的数据进行
安全保护,如对该会话密钥和步骤2)中已建立的安全隧隧进行异或运算;若步骤l)中没
有建立请求者和鉴别访问控制器之间的会话密钥,则鉴别过程结束后可利用步骤2)中已
建立的安全隧隧对请求者和鉴别访问控制器之间的数据进行安全保护。 参见图4,当本发明方案应用于图2所示的基于TePA的TNC架构时,访问请求者、
访问控制器和策略管理器分别对应本发明方案中的请求者、鉴别访问控制器和鉴别服务
器。此外,访问请求者和访问控制器在计算平台签名时,若访问请求者和访问控制器之间已
建立会话密钥,则平台签名,如证明身份密钥(Attestation Identity Key, AIK)签名,需
要绑定访问请求者和访问控制器之间的会话密钥和TAEP隧道鉴别方法中隧道方法建立的
安全隧道;若访问请求者和访问控制器之间没有建立会话密钥,则平台签名需要绑定可认
证对方用户身份的保密值和TAEP隧道鉴别方法中隧道方法建立的安全隧道。
权利要求
一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于该方法包括以下步骤1)请求者、鉴别访问控制器和鉴别服务器执行TAEP鉴别方法;1.1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者的TAEP鉴别方法身份;1.2)鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务器获取TAEP鉴别方法类型;1.3)鉴别访问控制器选取一种TAEP鉴别方法与请求者、鉴别服服务器执行TAEP鉴别方法过程;1.4)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程。
2. 根据权利要求1所述的一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于所述步骤1. 1)的具体步骤如下1. 1. 1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值为Identity ;1. 1. 2)请求者向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤1. 1. 1)中TAEP的Request分组中的Type字段,Type-Data字段中包含请求者的TAEP鉴别方法身份。
3. 根据权利要求2所述的一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于所述步骤1. 2)的具体步骤如下1. 2. 1)鉴别访问控制器向鉴别服务器发送TAEP的Request分组,其中Type字段的值为TP Authentication, Type-Data字段中包含请求者和鉴别访问控制器的TAEP鉴别方法身份;1. 2. 2)鉴别服务器向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤1. 2. 1)中TAEP的Request分组中的Type字段,Type-Data字段中包含TAEP鉴别方法类型。
4. 根据权利要求3所述的一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于所述步骤1. 3)的具体步骤如下鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一系列TAEP的Request分组和Response分组,其中Type字段为鉴别访问控制器选取的TAEP鉴别方法类型,Type-Data字段中包含Type字段的值对应的TAEP鉴别方法消息。
5. 根据权利要求4所述的一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于所述步骤1. 4)的具体步骤如下1. 4. 1)若在步骤1. 3)中的TAEP鉴别方法过程中鉴别访问控制器成功认证请求者,则向请求者发送TAEP的Success分组;1. 4. 2)若在步骤1. 3)中的TAEP鉴别方法过程中鉴别访问控制器不能成功认证请求者,则向请求者发送TAEP的Failure分组。
6. 根据权利要求1或2或3或4或5所述的一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于所述步骤1)之后还包括步骤2)请求者、鉴别访问控制器和鉴别服务器执行TAEP隧道鉴别方法;`2. 1)请求者和鉴别访问控制器执行隧道方法,建立请求者和鉴别访问控制器之间的安全隧道;`2. 1. 1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值为TAEP隧道鉴别方法类型,Type-Data字段的值为TAEP隧道鉴别方法启动标识;`2. 1. 2)请求者和鉴别访问控制器之间交互一系列TAEP的Request分组和Response分组,其中Type字段的值为步骤2. 1. 1)中的TAEP隧道鉴别方法类型,Type-Data字段的值为Type字段的值对应的隧道方法消息,直至建立请求者和鉴别访问控制器之间的安全隧道;`2.2)请求者、鉴别访问控制器和鉴别服务器在步骤2. 1)中建立的安全隧道中执行内TAEP鉴别方法;`2. 2. 1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者的内TAEP鉴别方法身份;`2. 2. 2)鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务器获取内TAEP鉴别方法类型;`2. 2. 3)鉴别访问控制器选取一种内TAEP鉴别方法与请求者、鉴别服务器执行内TAEP鉴别方法过程;`2. 2. 4)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程。
7. 根据权利要求6所述的一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于所述步骤2. 2. 1)的具体步骤如下`2. 2. 1. 1)鉴别访问控制器向请求者发送TAEP的Request分组,其中Type字段的值为步骤2.2. 1)中的TAEP隧道鉴别方法类型,Type-Data字段的值为利用步骤2. 1)中建立的安全隧道进行保护的内TAEP鉴别方法包,内TAEP鉴别方法包中的Code字段的值为Request, Type字段的值为Identity ;`2. 2. 1. 2)请求者向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤2. 2. 1. 1)中TAEP的Request分组中的Type字段,Type-Data字段的值为利用步骤2. 1)中建立的安全隧道进行保护的内TAEP鉴别方法包,内TAEP鉴别方法包中的Code字段的值为Response, Type字段对应步骤2. 2. 1. 1中内TAEP鉴别方法包的Request分组中的Type字段,Type-Data字段中包含请求者的内TAEP鉴别方法身份。
8. 根据权利要求7所述的一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于所述步骤2. 2. 2)的具体步骤如下`2. 2. 2. 1)鉴别访问控制器向鉴别服务器发送TAEP的Request分组,其中Type字段的值为TP Authentication, Type-Data字段中包含请求者和鉴别访问控制器的内TAEP鉴别方法身份;`2. 2. 2. 2)鉴别服务器向鉴别访问控制器发送TAEP的Response分组,其中Type字段对应步骤2. 2. 2. 1)中TAEP的Request分组中的Type字段,Type-Data字段中包含内TAEP鉴别方法类型。
9. 根据权利要求8所述的一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于所述步骤2. 2. 3)的具体步骤如下鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一系列TAEP的Request分组和Response分组,直到内TAEP鉴别方法过程完成,对于鉴别访问控制器与请求者之间交互的一系列TAEP的Request分组和Response分组,其中Type字段的值为步骤2. 2. 1)中的TAEP隧道鉴别方法类型,Type-Data字段的值为内TAEP鉴别方法包,内TAEP鉴别方法包的Type字段的值为步骤2. 2. 3)中鉴别访问控制器选取的内TAEP鉴别方法类型,Type-Data字段中包含Type字段的值对应的内TAEP鉴别方法消息。
10. 根据权利要求9所述的一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于所述步骤2. 2. 4)的具体步骤如下2. 2. 4. 1)若在步骤2. 2. 3)中的内TAEP鉴别方法过程中鉴别访问控制器成功认证请求者,则向请求者发送TAEP的Success分组;2. 2. 4. 2)若在步骤2. 2. 3)中的内TAEP鉴别方法过程中鉴别访问控制器不能成功认证请求者,则向请求者发送TAEP的Failure分组。
11. 根据权利要求6所述的一种适合三元对等鉴别可信网络连接架构的网络传输方法,其特征在于所述步骤2. 2. 2)中,鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务器获取内TAEP鉴别方法的辅助数据。
全文摘要
本发明为一种适合三元对等鉴别可信网络连接架构的网络传输方法,该方法包括以下步骤1)请求者、鉴别访问控制器和鉴别服务器执行TAEP鉴别方法;1.1)鉴别访问控制器利用TAEP的Request分组和Response分组来获取请求者的TAEP鉴别方法身份;1.2)鉴别访问控制器利用TAEP的Request分组和Response分组来向鉴别服务器获取TAEP鉴别方法类型;1.3)鉴别访问控制器选取一种TAEP鉴别方法与请求者、鉴别服服务器执行TAEP鉴别方法过程;1.4)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程。本发明采用的TAEP鉴别方法和内TAEP鉴别方法都是可扩展鉴别框架,从而增强了可扩展性和应用性;增强了安全性;具有很好的前向兼容性。
文档编号H04L29/06GK101707621SQ200910311270
公开日2010年5月12日 申请日期2009年12月11日 优先权日2009年12月11日
发明者曹军, 肖跃雷, 葛莉, 铁满霞, 黄振海 申请人:西安西电捷通无线网络通信有限公司