一种适合可信连接架构的网络传输方法及系统的制作方法

专利名称：一种适合可信连接架构的网络传输方法及系统的制作方法
技术领域：
本发明属网络安全技术领域，涉及一种适合可信连接架构的网络传输方法及系 统。
背景技术：
随着信息化的发展，病毒、蠕虫等恶意软件的问题异常突出。目前已经出现了超过 三万五千种的恶意软件，每年都有超过四千万的计算机被感染。要遏制住这类攻击，不仅通 过解决安全的传输和数据输入时的检查，还要从源头即从每一台连接到网络的终端开始防 御。而传统的安全防御技术已经无法防御种类繁多的恶意攻击。TCG(Trusted Computing Group，国际可信计算组织)针对这个问题，专门制定了 一个基于可信计算技术的网络连接规范——TNC (Trusted Network Connect，可信网络连 接)，简记为TCG-TNC，其包括了开放的终端完整性架构和一套确保安全互操作的标准，参 见图1，是具体的TCG-TNC架构示意图。由于TCG-TNC架构中的策略执行点处于网络边缘，且访问请求者不对策略执行点 进行平台鉴别，所以该架构存在策略执行点不可信赖的问题。为了解决这一问题，提出了 一种基于TePA(Tri-element Peer Authentication，三元对等鉴别)的TNC架构，简称为 TCA(Trusted Connect Architecture，可信连接架构)，TCA架构的示意图参见图2。EAP(Extensible Authentication Protocol，可扩展鉴别协议)是一个鉴别框架， 它用于点到点的鉴别，可支持多种鉴别机制。EAP并不在链路控制阶段指定鉴别方法，而是 把这个过程推迟到鉴别阶段。这样鉴别器就可以要求更多的信息以后再决定使用什么鉴别 方法。这种机制允许使用一台“后端”鉴别服务器来真正执行鉴别机制，而鉴别器只是传递 鉴别交换信息。由于EAP仅仅是一个适合点到点鉴别协议的鉴别框架，所以EAP不适合实现三 方鉴别协议，如三元对等鉴别协议一一鉴别双方基于可信第三方来实现双向鉴别。为 了满足三方鉴别协议的需要，一种适合三方鉴别协议的鉴别框架——TAEP(Tri-element Authentication Extensible Protocol，三元鉴别可扩展协议)被提出，其中TAEP包的格 式与EAP包的格式类同，但TAEP的层次模型与EAP不相同。TAEP包的格式包括Code字段 (8位比特)、Identifier字段(8位比特)、Length字段(16位比特)以及Data字段；其 中，Code Code字段长度为1个八位位组，表示TAEP分组的类型1 Request (请求分组)2 Response (请求响应分组)3 Success (成功分组)4 Failure (失败分组)Identifier
Identifier字段长度为1个八位位组，用于匹配Request和Response分组。Length Length字段长度为2个八位位组，表示整个TAEP分组的八位位组数，即指包括 Code、Identifier、Length和Data所有字段的长度总和。Data Data字段长度可变，分组含0个或多个八位位组，其格式由Code字段的值决定。 若Code字段的值为Request或Response，则Data字段包含Type字段和Type-Date字段， 其中Type字段可为Identity和TP Authentication等。若Code字段的值为Success或 Failure,则Data字段不存在。参见图3，是TAEP复用模型结构示意图，TAEP消息交换的步骤如下1)鉴别访问控制器发送Request分组给请求者要求开始鉴别，Request有一个 Tpye字段指示请求的类型，Type字段是Identity，表示身份；2)请求者发送Response分组给鉴别访问控制器来响应有效的Request，Response 分组中包含一个Type字段，对应于Request分组中的Type字段，Type-Data字段中包含有 对等体的身份；3)鉴别访问控制器发送Request分组给鉴别服务器，Request有一个Type字段指 示请求的类型，Type是TP Authentication，用于向鉴别服务器请求鉴别方法类型；4)鉴别服务器发送Response分组给鉴别访问控制器，Response分组中包含一个 Type字段，对应于Request分组中的Type字段；5)鉴别访问控制器根据鉴别服务器返回的鉴别方法类型，选择一种鉴别方法开 始鉴别过程。发送Request分组给请求者，请求者响应Response分组给鉴别访问控制 器，Request和Response的序列根据需要持续交互。鉴别访问控制器向鉴别服务器发 送Request分组，而鉴别服务器向鉴别访问控制器响应Response分组。此Request和 Response的序列会持续需要的长度。鉴别访问控制器负责重传Request分组；6)对话一直持续到鉴别访问控制器不能鉴别请求者，鉴别访问控制器将发送 Failure分组给请求者；或者鉴别访问控制器判断成功的鉴别已经完成，鉴别访问控制器 或停止发送Request分组，结束消息交互，或发送Success分组给请求者。上述3)、4)步骤是可选的。在某些情况下，鉴别方法是确定的或通过其他方式确 定鉴别方法及身份时，3)、4)步骤可有选择的进行。在图2所示的TCA架构中，由于网络访问控制层除了传输用户鉴别协议数据外还 传输上两层的平台鉴别协议数据，且平台鉴别协议数据在访问请求者和访问控制器之间需 要利用安全隧道进行传输，所以上面所述三元鉴别可扩展协议不能完成TCA的网络传输。

发明内容
为了解决背景技术中存在的上述技术问题，本发明提供了一种可有效增强网络传 输的安全性以及内TAEP鉴别方法的安全性的适合可信连接架构的网络传输方法及系统。本发明的技术解决方案是本发明提供了一种适合可信连接架构的网络传输方 法，其特殊之处在于所述适合可信连接架构的网络传输方法包括以下步骤1)鉴别访问控制器利用TAEP的请求分组和请求响应分组来获取请求者的隧道TAEP鉴别方法身份；3)鉴别访问控制器选取隧道三元鉴别可扩展协议TAEP鉴别方法与请求者、鉴别 服务器执行隧道TAEP鉴别方法过程；4)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程。上述步骤3)的具体实现方式是3. 1)鉴别访问控制器向请求者发送TAEP的请求分组，所述请求分组中Type字段 的值为鉴别访问控制器选取的隧道TAEP鉴别方法类型，Type-Data字段的值为隧道TAEP鉴 别方法启动标识；3. 2)请求者和鉴别访问控制器之间交互一系列TAEP的请求分组和请求响应分 组，其中Type字段的值为步骤3. 1)中的隧道TAEP鉴别方法类型，Type-Data字段的值为 Type字段的值对应的隧道方法消息，直至建立请求者和鉴别访问控制器之间的安全隧道；3. 3)请求者、鉴别访问控制器和鉴别服务器在步骤3. 2)中建立的安全隧道中执 行内TAEP鉴别方法。上述步骤3)的具体实现方式是3. 1)鉴别访问控制器向请求者发送TAEP的请求分组，所述请求分组中Type字段 的值为鉴别访问控制器选取的隧道TAEP鉴别方法类型，Type-Data字段的值为隧道TAEP鉴 别方法启动标识；3. 2)若隧道方法是一个三方鉴别协议，访问请求者和访问控制器之间交互一系列 TAEP的Request分组和Response分组，其中Type字段的值为步骤3. 1)中的隧道TAEP鉴 别方法类型，Type-Data字段的值为Type字段的值对应的隧道方法消息；同时，鉴别访问控 制器和鉴别服务器之间交互一系列TAEP的请求分组和请求响应分组，其中Type字段的值 为步骤3. 1)中的隧道TAEP鉴别方法类型，Type-Data字段的值为Type字段的值对应的隧 道方法消息，直至建立请求者和鉴别访问控制器之间的安全隧道；3. 3)请求者、鉴别访问控制器和鉴别服务器在步骤3. 2)中建立的安全隧道中执 行内TAEP鉴别方法。上述步骤3. 3)的具体实现方式包括3. 3. 1)鉴别访问控制器利用TAEP的请求分组和请求响应分组来获取请求者的内 TAEP鉴别方法身份；3. 3. 3)鉴别访问控制器选取一种内TAEP鉴别方法与请求者、鉴别服务器执行内 TAEP鉴别方法过程所述鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一系 列TAEP的请求分组和请求响应分组，直到内TAEP鉴别方法过程完成；所述鉴别访问控制 器与请求者之间交互的一系列TAEP的请求分组和请求响应分组，其中Type字段的值为步 骤3. 1)中的隧道TAEP鉴别方法类型，Type-Data字段的值为内TAEP鉴别方法包；所述内 TAEP鉴别方法包的Type字段的值为步骤3. 3. 3)中鉴别访问控制器选取的一种内TAEP鉴 别方法类型，Type-Data字段中包含Type字段的值对应的内TAEP鉴别方法消息。上述步骤3. 3)的具体实现方式还包括3. 3. 2)鉴别访问控制器利用TAEP的请求分组和请求响应分组来向鉴别服务器获 取内TAEP鉴别方法类型或鉴别访问控制器利用TAEP的请求分组和请求响应分组来向鉴别服务器获取内TAEP鉴别方法的策略数据。上述步骤3. 3. 1)的具体实现方式是3. 3. 1. 1)鉴别访问控制器向请求者发送TAEP的请求分组，所述请求分组中Type 字段的值为步骤3. 1)中的隧道TAEP鉴别方法类型，Type-Data字段的值为利用步骤3. 2) 中建立的安全隧道进行保护的内TAEP鉴别方法包；所述内TAEP鉴别方法包的Code字段的 值为Request, Type字段的值为Identity ；3. 3. 1. 2)请求者向鉴别访问控制器发送TAEP的请求响应分组，所述请求响应分 组中Type字段对应步骤3. 1)中TAEP的请求分组中的Type字段，Type-Data字段的值为 利用步骤3. 2)中建立的安全隧道进行保护的内TAEP鉴别方法包；所述内TAEP鉴别方法包 的Code字段的值为Response，Type字段对应步骤3. 3. 1. 1)中内TAEP鉴别方法包的请求 分组中的Type字段，Type-Data字段中包含请求者的内TAEP鉴别方法身份。上述步骤3. 3. 2)的具体实现方式是3. 3. 2. 1)鉴别访问控制器向鉴别服务器发送TAEP的请求分组，所述请求分组中 Type字段的值为TPAuthentication，Type-Data字段中包含请求者和鉴别访问控制器的内 TAEP鉴别方法身份；3. 3. 2. 2)鉴别服务器向鉴别访问控制器发送TAEP的请求响应分组，所述请求响 应中Type字段对应步骤3. 3. 2. 1)中TAEP的请求分组中的Type字段，Type-Data字段中 包含内TAEP鉴别方法类型。上述步骤4)的具体实现方式是4. 1)若在步骤3)中鉴别访问控制器成功鉴别请求者，则向请求者发送TAEP的 Success 分组；4. 2)若在步骤3)中鉴别访问控制器不能成功鉴别请求者，则向请求者发送TAEP 的Failure分组。上述适合可信连接架构的网络传输方法还包括2)鉴别访问控制器利用TAEP的请求分组和请求响应分组来向鉴别服务器获取隧 道TAEP鉴别方法类型。上述步骤1)的具体实现方式是1. 1)鉴别访问控制器向请求者发送TAEP的请求分组，所述请求分组中Type字段 的值为Identity ；1. 2)请求者向鉴别访问控制器发送TAEP的请求响应分组，所述请求响应分组中 Type字段对应步骤1. 1)中TAEP的请求分组中的Type字段，Type-Data字段中包含请求者 的TAEP鉴别方法身份。 上述步骤2)的具体实现方式是2. 1)鉴别访问控制器向鉴别服务器发送TAEP的请求分组，所述请求分组中Type 字段的值为TPAuthentication，Type-Data字段中包含请求者和鉴别访问控制器的隧道 TAEP鉴别方法身份；2. 2)鉴别服务器向鉴别访问控制器发送TAEP的请求响应分组，所述请求响应中 Type字段对应步骤2. 1)中TAEP的请求分组中的Type字段，Type-Data字段中包含隧道 TAEP鉴别方法类型。
一种适合可信连接架构的网络传输系统，其特殊之处在于所述适合可信连接架 构的网络传输系统包括鉴别访问控制器、请求者以及鉴别服服务器；所述鉴别访问控制器 利用TAEP的请求分组和请求响应分组来获取请求者的隧道TAEP鉴别方法身份；所述鉴别 访问控制器选取隧道三元鉴别可扩展协议TAEP鉴别方法与请求者、鉴别服服务器执行隧 道TAEP鉴别方法过程；所述鉴别访问控制器利用TAEP的Success分组或Failure分组结 束鉴别过程。本发明提供了一种适合可信连接架构的网络传输方法，该方法使访问请求者、访 问控制器和策略管理器仅执行了一个TAEP鉴别方法——隧道TAEP鉴别方法，可以防止中 间人攻击，从而增强网络传输的安全性；内TAEP鉴别方法消息在安全隧道中进行传输，提 高了内TAEP鉴别方法的安全性。


图1是现有技术中TCG-TNC架构示意图；图2是现有技术中TCA架构的示意图；图3是现有技术中TAEP复用模型结构示意图；图4是本发明所提供的TAEP封装层次示意图。
具体实施例方式参见图4是本发明方案中的TAEP封装层次图，其中虚线框表示可能不存在。当本 发明方案应用于图2所示的TCA时，访问请求者、访问控制器和策略管理器分别对应本发明 方案中的请求者、鉴别访问控制器和鉴别服务器。基于本发明所提供的TAEP封装层次图， 本发明提供了一种适合可信连接架构的网络传输方法，该方法包括以下步骤 步骤1)访问控制器利用TAEP的Request分组和Response分组来获取访问请求 者的隧道TAEP鉴别方法身份，如获取请求者的用户身份；步骤1. 1)访问控制器向访问请求者发送TAEP的Request分组，其中Type字段的 值为 Identity ；步骤1. 2)访问请求者向访问控制器发送TAEP的Response分组，其中Type字段 对应步骤1. 1)中TAEP的Request分组中的Type字段，Type-Data字段中包含访问请求者 的TAEP鉴别方法身份，如包含请求者的用户身份；步骤2)访问控制器利用TAEP的Request分组和Response分组来向策略管理器 获取隧道TAEP鉴别方法类型，如TAEP-TTLS ；步骤2. 1)访问控制器向策略管理器发送TAEP的Request分组，其中Type字段的 值为TPAuthentication，Type-Data字段中包含访问请求者和访问控制器的隧道TAEP鉴别 方法身份，如访问请求者和访问控制器的用户身份；步骤2. 2)策略管理器向访问控制器发送TAEP的Response分组，其中Type字段 对应步骤2. 1)中TAEP的Request分组中的Type字段，Type-Data字段中包含隧道TAEP鉴 别方法类型；步骤3)访问控制器选取一种隧道TAEP鉴别方法与访问请求者、鉴别服服务器执 行隧道TAEP鉴别方法过程；
步骤3. 1)访问控制器向访问请求者发送TAEP的Request分组，其中Type字段的 值为访问控制器选取的一种隧道TAEP鉴别方法类型，Type-Data字段的值为隧道TAEP鉴 别方法启动标识，如=Start ；步骤3. 2)访问请求者和访问控制器之间交互一系列TAEP的Request分组和 Response分组，其中Type字段的值为步骤3. 1)中的隧道TAEP鉴别方法类型，Type-Data 字段的值为Type字段的值对应的隧道方法消息，如TLS协议消息，直至建立访问请求者和 访问控制器之间的安全隧道；在步骤3. 2)中，若隧道方法为一个三方鉴别协议，访问请求者和访问控制器之间 交互一系列TAEP的Request分组和Response分组，其中Type字段的值为步骤3. 1)中的隧 道TAEP鉴别方法类型，Type-Data字段的值为Type字段的值对应的隧道方法消息，如TLS 协议消息；同时，访问控制器和策略管理器之间还需要交互一系列TAEP的Request分组和 Response分组，其中Type字段的值为步骤3. 1)中的隧道TAEP鉴别方法类型，Type-Data 字段的值为Type字段的值对应的隧道方法消息，如ETLS，直至建立访问请求者和访问控 制器之间的安全隧道。步骤3. 3)访问请求者、访问控制器和策略管理器在步骤3. 2)中建立的安全隧道 中执行内TAEP鉴别方法；步骤3. 3. 1)访问控制器利用TAEP的Request分组和Response分组来获取访问 请求者的内TAEP鉴别方法身份，如请求者的平台身份；步骤3. 3. 1. 1)访问控制器向访问请求者发送TAEP的Request分组，其中Type字 段的值为步骤3. 1)中的隧道TAEP鉴别方法类型，Type-Data字段的值为利用步骤32)中 建立的安全隧道进行保护的内TAEP鉴别方法包。内TAEP鉴别方法包的Code字段的值为 Request, Type 字段的值为 Identity ；步骤3. 3. 1. 2)访问请求者向访问控制器发送TAEP的Response分组，其中Type 字段对应步骤3. 1)中TAEP的Request分组中的Type字段，Type-Data字段的值为利用步 骤3. 2)中建立的安全隧道进行保护的内TAEP鉴别方法包。内TAEP鉴别方法包的Code字 段的值为Response，Type字段对应步骤3. 3. 1. 1)中内TAEP鉴别方法包的Request分组中 的Type字段，Type-Data字段中包含访问请求者的内TAEP鉴别方法身份，如包含请求者 的平台身份；步骤3. 3. 2)访问控制器利用TAEP的Request分组和Response分组来向策略管 理器获取内TAEP鉴别方法类型，如=TAEP-PAI ；步骤3. 3. 2. 1)访问控制器向策略管理器发送TAEP的Request分组，其中Type字 段的值为TPAuthentication，Type-Data字段中包含访问请求者和访问控制器的内TAEP鉴 别方法身份；步骤3. 3. 2. 2)策略管理器向访问控制器发送TAEP的Response分组，其中Type 字段对应步骤3. 3. 2. 1)中TAEP的Request分组中的Type字段，Type-Data字段中包含内 TAEP鉴别方法类型；步骤3. 3. 3)访问控制器选取一种内TAEP鉴别方法与访问请求者、策略管理器执 行内TAEP鉴别方法过程；步骤3. 3. 3. 1)访问控制器与访问请求者之间、访问控制器与策略管理器之间交互一系列TAEP的Request分组和Response分组，直到内TAEP鉴别方法过程完成。对于 访问控制器与访问请求者之间交互的一系列TAEP的Request分组和Response分组，其中 Type字段的值为步骤3. 1)中的隧道TAEP鉴别方法类型，Type-Data字段的值为内TAEP鉴 别方法包。内TAEP鉴别方法包的Type字段的值为步骤3. 3. 3)中访问控制器选取的一种 内TAEP鉴别方法类型，Type-Data字段中包含Type字段的值对应的内TAEP鉴别方法消息， 如包含平台鉴别协议消息；步骤4)访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程；步骤4. 1)若在步骤3)中访问控制器成功鉴别访问请求者，如成功鉴别请求者的 用户身份、平台身份和平台完整性，则向访问请求者发送TAEP的Success分组；步骤4. 2)若在步骤3)中访问控制器不能成功鉴别访问请求者，则向访问请求者 发送TAEP的Failure分组。在步骤3.2)中，隧道方法可以为一个三方鉴别协议，如由中国无线局域网标准 中的WAI (Wide Authentication Infrastructure，普适的鉴别基础设施)协议中的证书鉴 别过程和单播密钥协商过程，TLS (Transport Layer Security，安全传输层协议)中的密码 套件协商过程和除TLS握手协议外的TLS共同构成，称为ETLS (Enhanced TLS，增强安全传 输协议)。若步骤3. 2)执行该隧道方法，则步骤3. 1)访问控制器选取的隧道TAEP鉴别方 法类型为TAEP-TETLS。在步骤3. 3. 2)中，访问控制器还可以利用TAEP的Request分组和Response分组 来向策略管理器获取内TAEP鉴别方法的策略数据。其中，步骤2)和步骤3. 3. 2)是都是可选的步骤。本发明还提供了一种适合可信连接架构的网络传输系统，该系统包括鉴别访问控 制器、请求者以及鉴别服服务器；鉴别访问控制器利用TAEP的请求分组和请求响应分组 来获取请求者的隧道TAEP鉴别方法身份；鉴别访问控制器选取隧道三元鉴别可扩展协议 TAEP鉴别方法与请求者、鉴别服服务器执行隧道TAEP鉴别方法过程；鉴别访问控制器利用 TAEP的Success分组或Failure分组结束鉴别过程。
权利要求
1.一种适合可信连接架构的网络传输方法，其特征在于所述适合可信连接架构的网 络传输方法包括以下步骤1)鉴别访问控制器利用TAEP的请求分组和请求响应分组来获取请求者的隧道TAEP鉴 别方法身份；3)鉴别访问控制器选取隧道三元鉴别可扩展协议TAEP鉴别方法与请求者、鉴别服务 器执行隧道TAEP鉴别方法过程；4)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程。
2.根据权利要求1所述的适合可信连接架构的网络传输方法，其特征在于所述步骤 3)的具体实现方式是.3.1)鉴别访问控制器向请求者发送TAEP的请求分组，所述请求分组中Type字段的值 为鉴别访问控制器选取的隧道TAEP鉴别方法类型，Type-Data字段的值为隧道TAEP鉴别 方法启动标识；.3. 2)请求者和鉴别访问控制器之间交互一系列TAEP的请求分组和请求响应分组，其 中Type字段的值为步骤3. 1)中的隧道TAEP鉴别方法类型，Type-Data字段的值为Type字 段的值对应的隧道方法消息，直至建立请求者和鉴别访问控制器之间的安全隧道；.3.3)请求者、鉴别访问控制器和鉴别服务器在步骤3. 2)中建立的安全隧道中执行内 TAEP鉴别方法。
3.根据权利要求1所述的适合可信连接架构的网络传输方法，其特征在于所述步骤 3)的具体实现方式是.3. 1)鉴别访问控制器向请求者发送TAEP的请求分组，所述请求分组中Type字段的值 为鉴别访问控制器选取的隧道TAEP鉴别方法类型，Type-Data字段的值为隧道TAEP鉴别 方法启动标识；.3.2)若隧道方法是一个三方鉴别协议，访问请求者和访问控制器之间交互一系列 TAEP的Request分组和Response分组，其中Type字段的值为步骤3. 1)中的隧道TAEP鉴 别方法类型，Type-Data字段的值为Type字段的值对应的隧道方法消息；同时，鉴别访问控 制器和鉴别服务器之间交互一系列TAEP的请求分组和请求响应分组，其中Type字段的值 为步骤3. 1)中的隧道TAEP鉴别方法类型，Type-Data字段的值为Type字段的值对应的隧 道方法消息，直至建立请求者和鉴别访问控制器之间的安全隧道；.3.3)请求者、鉴别访问控制器和鉴别服务器在步骤3. 2)中建立的安全隧道中执行内 TAEP鉴别方法。
4.根据权利要求2或3所述的适合可信连接架构的网络传输方法，其特征在于所述 步骤3. 3)的具体实现方式包括.3. 3. 1)鉴别访问控制器利用TAEP的请求分组和请求响应分组来获取请求者的内TAEP 鉴别方法身份；.3. 3. 3)鉴别访问控制器选取一种内TAEP鉴别方法与请求者、鉴别服务器执行内TAEP 鉴别方法过程所述鉴别访问控制器与请求者之间、鉴别访问控制器与鉴别服务器之间交互一系列 TAEP的请求分组和请求响应分组，直到内TAEP鉴别方法过程完成；所述鉴别访问控制器 与请求者之间交互的一系列TAEP的请求分组和请求响应分组，其中Type字段的值为步骤· 3. 1)中的隧道TAEP鉴别方法类型，Type-Data字段的值为内TAEP鉴别方法包；所述内TAEP 鉴别方法包的Type字段的值为步骤3. 3. 3)中鉴别访问控制器选取的一种内TAEP鉴别方 法类型，Type-Data字段中包含Type字段的值对应的内TAEP鉴别方法消息。
5.根据权利要求4所述的适合可信连接架构的网络传输方法，其特征在于所述步骤 3. 3)的具体实现方式还包括·3. 3. 2)鉴别访问控制器利用TAEP的请求分组和请求响应分组来向鉴别服务器获取内 TAEP鉴别方法类型或鉴别访问控制器利用TAEP的请求分组和请求响应分组来向鉴别服务 器获取内TAEP鉴别方法的策略数据。
6.根据权利要求5所述的适合可信连接架构的网络传输方法，其特征在于所述步骤 3. 3. 1)的具体实现方式是·3. 3. 1. 1)鉴别访问控制器向请求者发送TAEP的请求分组，所述请求分组中Type字段 的值为步骤3. 1)中的隧道TAEP鉴别方法类型，Type-Data字段的值为利用步骤32)中建 立的安全隧道进行保护的内TAEP鉴别方法包；所述内TAEP鉴别方法包的Code字段的值为 Request, Type 字段的值为 Identity ；·3. 3. 1. 2)请求者向鉴别访问控制器发送TAEP的请求响应分组，所述请求响应分组中 Type字段对应步骤3. 1)中TAEP的请求分组中的Type字段，Type-Data字段的值为利用步 骤3. 2)中建立的安全隧道进行保护的内TAEP鉴别方法包；所述内TAEP鉴别方法包的Code 字段的值为Response，Type字段对应步骤3. 3. 1. 1)中内TAEP鉴别方法包的请求分组中的 Type字段，Type-Data字段中包含请求者的内TAEP鉴别方法身份。
7.根据权利要求6所述的适合可信连接架构的网络传输方法，其特征在于所述步骤 3. 3. 2)的具体实现方式是·3. 3. 2. 1)鉴别访问控制器向鉴别服务器发送TAEP的请求分组，所述请求分组中Type 字段的值为TPAuthentication，Type-Data字段中包含请求者和鉴别访问控制器的内TAEP 鉴别方法身份；·3.3. 2. 2)鉴别服务器向鉴别访问控制器发送TAEP的请求响应分组，所述请求响应中 Type字段对应步骤3. 3. 2. 1)中TAEP的请求分组中的Type字段，Type-Data字段中包含内 TAEP鉴别方法类型。
8.根据权利要求7所述的适合可信连接架构的网络传输方法，其特征在于所述步骤 4)的具体实现方式是·4.1)若在步骤3)中鉴别访问控制器成功鉴别请求者，则向请求者发送TAEP的 Success 分组；·4.2)若在步骤3)中鉴别访问控制器不能成功鉴别请求者，则向请求者发送TAEP的 Failure 分组。
9.根据权利要求8所述的适合可信连接架构的网络传输方法，其特征在于所述适合 可信连接架构的网络传输方法还包括·2)鉴别访问控制器利用TAEP的请求分组和请求响应分组来向鉴别服务器获取隧道 TAEP鉴别方法类型。
10.根据权利要求9所述的适合可信连接架构的网络传输方法，其特征在于所述步骤 1)的具体实现方式是`1. 1)鉴别访问控制器向请求者发送TAEP的请求分组，所述请求分组中Type字段的值 为 Identity ；`1.2)请求者向鉴别访问控制器发送TAEP的请求响应分组，所述请求响应分组中Type 字段对应步骤1. 1)中TAEP的请求分组中的Type字段，Type-Data字段中包含请求者的 TAEP鉴别方法身份。
11.根据权利要求10所述的适合可信连接架构的网络传输方法，其特征在于所述步 骤2)的具体实现方式是`2.1)鉴别访问控制器向鉴别服务器发送TAEP的请求分组，所述请求分组中Type字段 的值为TPAuthentication，Type-Data字段中包含请求者和鉴别访问控制器的隧道TAEP鉴 别方法身份；`2. 2)鉴别服务器向鉴别访问控制器发送TAEP的请求响应分组，所述请求响应中Type 字段对应步骤2. 1)中TAEP的请求分组中的Type字段，Type-Data字段中包含隧道TAEP鉴 别方法类型。
12.一种适合可信连接架构的网络传输系统，其特征在于所述适合可信连接架构的 网络传输系统包括鉴别访问控制器、请求者以及鉴别服服务器；所述鉴别访问控制器利用 TAEP的请求分组和请求响应分组来获取请求者的隧道TAEP鉴别方法身份；所述鉴别访 问控制器选取隧道三元鉴别可扩展协议TAEP鉴别方法与请求者、鉴别服服务器执行隧道 TAEP鉴别方法过程；所述鉴别访问控制器利用TAEP的Success分组或Failure分组结束 鉴别过程。
全文摘要
本发明涉及一种适合可信连接架构的网络传输方法及系统，该方法包括以下步骤1)鉴别访问控制器利用TAEP的请求分组和请求响应分组来获取请求者的隧道TAEP鉴别方法身份；2)鉴别访问控制器选取隧道三元鉴别可扩展协议TAEP鉴别方法与请求者、鉴别服服务器执行隧道TAEP鉴别方法过程；3)鉴别访问控制器利用TAEP的Success分组或Failure分组结束鉴别过程。本发明提供了一种可有效增强网络传输的安全性以及内TAEP鉴别方法的安全性的适合可信连接架构的网络传输方法及系统。
文档编号H04L29/06GK102006291SQ201010546589
公开日2011年4月6日 申请日期2010年11月17日 优先权日2010年11月10日
发明者张国强, 曹军, 王珂, 肖跃雷 申请人:西安西电捷通无线网络通信股份有限公司