專利名稱:一種基于隧道技術(shù)的三元鑒別可擴(kuò)展方法及其系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬網(wǎng)絡(luò)安全技術(shù)領(lǐng)域���,尤其涉及一種基于隧道技術(shù)的三元鑒別可擴(kuò)展方法及
其系統(tǒng)��。
背景技術(shù):
可擴(kuò)展鑒別協(xié)議(Extensible Authentication Protocol, EAP)是一個(gè)鑒別框架�,它 用于點(diǎn)到點(diǎn)的鑒別�,可支持多種鑒別機(jī)制。EAP并不在鏈路控制階段指定鑒別方法����,而是把 這個(gè)過程推遲到鑒別階段。這樣鑒別器就可以要求更多的信息以后再決定使用什么鑒別方法 �����。這種機(jī)制允許使用一臺"后端"鑒別服務(wù)器來真正執(zhí)行鑒別機(jī)制,而鑒別器只是傳遞鑒別 交換信息���。
由于EAP僅僅是一個(gè)適合點(diǎn)到點(diǎn)鑒別協(xié)議的鑒別框架�,所以EAP不適合實(shí)現(xiàn)三方鑒別協(xié)議 �����,如三元對等鑒別協(xié)議抓鑒別雙方基于可信第三方來實(shí)現(xiàn)雙向鑒別����。為了滿足三方鑒別協(xié) 議的需要, 一種適合三方鑒別協(xié)議的鑒別框架構(gòu)抓三元鑒別可擴(kuò)展協(xié)議(Tri-element Authentication Extensible Protocol, TAEP)被提出���,其中TAEP包的格式與EAP包的格式 類同�,但TAEP的層次模型與EAP不相同�。TAEP包的格式如圖1所示,其中
Code: Code字段長度為l個(gè)八位位組�,表示TAEP分組的類型
1、 Request
2�、 Response
3、 Success
4、 Failure
Identifier: Identifier字段長度為l個(gè)八位位組���,用于匹配Request和Response分組���。
Length: Length字段長度為2個(gè)八位位組,表示整個(gè)TAEP分組的八位位組數(shù)���,即指包括 Code、 Identifier����、 Length和Data所有字段的長度總和。
Data: Data字段長度可變����,分組含0個(gè)或多個(gè)八位位組,其格式由Code字段的值決定����。 若Code字段的值為Request或Response,貝l」Data字段包含Type字段和Type-Date字段�����,其中 Type字段可為Identity和TP Authentication等。若Code字段的值為Success或Failure���,貝lj Data字段不存在�。
TAEP復(fù)用模型如圖2所示���,TAEP消息交換的步驟如下a) 鑒別訪問控制器發(fā)送Request分組給請求者要求開始鑒別����,Request有一個(gè)Tpye字段 指示請求的類型��,Type字段是Identity����,表示身份;
b) 請求者發(fā)送Response分組給鑒別訪問控制器來響應(yīng)有效的Request���, Response分組 中包含一個(gè)Type字段�����,對應(yīng)于Request分組中的Type字段����,Type-Data中包含有對等體的身份
c) 鑒別訪問控制器發(fā)送Request分組給鑒別服務(wù)器,Request有一個(gè)Type字段指示請求 的類型�,Type是TP Authentication,用于向鑒別服務(wù)器請求鑒別方法類型;
d) 鑒別服務(wù)器發(fā)送Response分組給鑒別訪問控制器��,Response分組中包含一個(gè)Type字 段����,對應(yīng)于Request分組中的Type字段;
e) 鑒別訪問控制器根據(jù)鑒別服務(wù)器返回的鑒別方法類型�����,選擇一種鑒別方法開始鑒別 過程�。發(fā)送Request分組給請求者�,請求者響應(yīng)Response分組給鑒別訪問控制器,Request和 Response的序列根據(jù)需要持續(xù)交互�。鑒別訪問控制器向鑒別服務(wù)器發(fā)送Request分組,而鑒 別服務(wù)器向鑒別訪問控制器響應(yīng)Response分組�。此Request和Response的序列會持續(xù)需要的 長度。鑒別訪問控制器負(fù)責(zé)重傳Request分組��;
f) 對話一直持續(xù)到鑒別訪問控制器不能鑒別請求者�,鑒別訪問控制器將發(fā)送Failure 分組給請求者;或者鑒別訪問控制器判斷成功的鑒別已經(jīng)完成�����,鑒別訪問控制器或停止發(fā)送 Request分組,結(jié)束消息交互����,或發(fā)送Success分組給請求者。
上述c) �����、 d)步驟是可選的�。在某些情況下,鑒別方法是確定的或通過其他方式確定鑒 別方法及身份時(shí)�����,c) ���、 d)步驟可有選擇的進(jìn)行��。
為了增強(qiáng)鑒別機(jī)制的安全性��,或適應(yīng)特殊的應(yīng)用場景���,EAP支持基于隧道技術(shù)的EAP鑒別 方法����,如國際可信計(jì)算組織(Trusted Computing Group, TCG)所制定的可信網(wǎng)絡(luò)連接 (Trusted Network Connect, TNC)架構(gòu)就利用了隧道EAP來實(shí)現(xiàn)TNC架構(gòu)的平臺鑒別協(xié)議 ���。建立安全隧道的鑒別過程可稱為外鑒別過程���,而在安全隧道內(nèi)的鑒別過程可稱為內(nèi)鑒別過 程。類似地����,TAEP也需要支持隧道技術(shù)的TAEP鑒別方法,用于增強(qiáng)三元鑒別機(jī)制的安全性��, 或適應(yīng)特殊的應(yīng)用場景���,如基于三元對等鑒別的可信網(wǎng)絡(luò)連接架構(gòu)需要支持隧道技術(shù)的 TAEP鑒別方法來實(shí)現(xiàn)平臺鑒別��。因此,需要建立一種基于隧道技術(shù)的三元鑒別可擴(kuò)展方法���。
發(fā)明內(nèi)容
為了解決背景技術(shù)中存在的上述技術(shù)問題���,本發(fā)明提供了一種可增加該隧道TAEP的應(yīng)用 性以及增強(qiáng)內(nèi)鑒別過程的安全性的基于隧道技術(shù)的三元鑒別可擴(kuò)展方法及其系統(tǒng)���。
本發(fā)明的技術(shù)解決方案是本發(fā)明提供了一種基于隧道技術(shù)的三元鑒別可擴(kuò)展方法,其特殊之處在于該方法包括以下步驟
1) 請求者����、鑒別訪問控制器和鑒別服務(wù)器執(zhí)行外鑒別過程,并建立請求者與鑒別訪問 控制器之間的安全隧道��;
2) 請求者��、鑒別訪問控制器和內(nèi)鑒別服務(wù)器執(zhí)行內(nèi)鑒別過程�,其中請求者和鑒別訪問 控制器之間的內(nèi)TAEP包是利用步驟1 )中建立的安全隧道進(jìn)行保護(hù)的;
3) 鑒別訪問控制器利用TAEP的Success分組或Failure分組結(jié)束鑒別過程���。 上述步驟l)的具體實(shí)現(xiàn)方式是
1.1) 鑒別訪問控制器利用TAEP的Request分組和Response分組來獲取請求者的外鑒別身
份�����;
1.2) 鑒別訪問控制器利用TAEP的Request分組和Response分組來向鑒別服務(wù)器獲取鑒別 方法類型���;
1.3) 鑒別訪問控制器選取一種鑒別方法與請求者、鑒別服服務(wù)器執(zhí)行外鑒別過程����,并 建立請求者與鑒別訪問控制器之間的安全隧道����。
上述步驟l.l)的具體實(shí)現(xiàn)方式是
1.1.1) 鑒別訪問控制器向請求者發(fā)送TAEP的Request分組�,其中Type字段的值為 Identity;
1.1.2) 請求者向鑒別訪問控制器發(fā)送TAEP的Response分組,其中Type字段對應(yīng)步驟 1. 1. 1)中TAEP的Request分組中的Type字段��,Type-Data中包含請求者的外鑒別身份���。
上述步驟1.2)的具體實(shí)現(xiàn)方式是
1.2. 1)鑒別訪問控制器向鑒別服務(wù)器發(fā)送TAEP的Request分組�,其中Type字段的值為TP Authentication, Type-Data中包含請求者和鑒別訪問控制器的外鑒別身份���;
1. 2. 2)鑒別服務(wù)器向鑒別訪問控制器發(fā)送TAEP的Response分組����,其中Type字段對應(yīng)步 驟1.2. 1)中TAEP的Request分組中的Type字段���,Type-Data中包含鑒別方法類型�。
上述步驟1.3)的具體實(shí)現(xiàn)方式是鑒別訪問控制器與請求者之間���、鑒別訪問控制器與 鑒別服務(wù)器之間交互一系列TAEP的Request分組和Response分組,直到建立請求者與鑒別訪 問控制器之間的安全隧道����,其中Type字段為步驟l. 3)中鑒別訪問控制器選取的鑒別方法��, Type-Data中包含Type字段的值對應(yīng)的鑒別協(xié)議消息����。
上述步驟2)的具體實(shí)現(xiàn)方式是
2. 1 )鑒別訪問控制器利用TAEP的Request分組和Response分組來獲取請求者的內(nèi)鑒別身
份�;2. 2)鑒別訪問控制器利用TAEP的Request分組和Response分組來向內(nèi)鑒別服務(wù)器獲取鑒 別方法類型;
2.3)鑒別訪問控制器選取一種鑒別方法與請求者�����、內(nèi)鑒別服務(wù)器執(zhí)行內(nèi)鑒別過程�。 上述步驟2. 1)的具體實(shí)現(xiàn)方式是
2.1.1) 鑒別訪問控制器向請求者發(fā)送TAEP的Request分組,其中Type字段的值為步驟 1.3)中鑒別訪問控制器選取的鑒別方法����,Type-Data字段的值為內(nèi)TAEP包,內(nèi)TAEP包的Code 字段的值為Request�, Type字段的值為Identity;
2.1.2) 請求者向鑒別訪問控制器發(fā)送TAEP的Response分組,其中Type字段對應(yīng)步驟 2.1.1)中TAEP的Request分組中的Type字段�,Type-Data字段的值為內(nèi)TAEP包,內(nèi)TAEP包的 Code字段的值為Response�����, Type字段對應(yīng)步驟2. 1. 1中內(nèi)TAEP包的Request分組中的Type字段 ,Type-Data字段中包含請求者的內(nèi)鑒別身份�����。
上述步驟2.2)的具體實(shí)現(xiàn)方式是
2.2. 1)鑒別訪問控制器向內(nèi)鑒別服務(wù)器發(fā)送TAEP的Request分組�����,其中Type字段的值為 TP Authentication, Type-Data中包含請求者和鑒別訪問控制器的內(nèi)鑒別身份��;
2. 2. 2)內(nèi)鑒別服務(wù)器向鑒別訪問控制器發(fā)送TAEP的Response分組�,其中Type字段對應(yīng) 步驟2. 2. 1)中TAEP的Request分組中的Type字段,Type-Data中包含鑒別方法類型���。
上述步驟2.3)的具體實(shí)現(xiàn)方式是鑒別訪問控制器與請求者之間���、鑒別訪問控制器與 內(nèi)鑒別服務(wù)器之間交互一系列TAEP的Request分組和Response分組,直到內(nèi)鑒別過程完成����。 對于鑒別訪問控制器與請求者之間交互的一系列TAEP的Request分組和Response分組,其中 Type字段的值為步驟l. 3)中鑒別訪問控制器選取的鑒別方法����,Type-Data字段的值為內(nèi)TAEP 包��。內(nèi)TAEP包的Type字段的值為步驟2. 3)中鑒別訪問控制器選取的鑒別方法,Type-Data字 段中包含Type字段的值對應(yīng)的鑒別協(xié)議消息����;對于鑒別訪問控制器與內(nèi)鑒別服務(wù)器之間交互 的一系列TAEP的Request分組和Response分組,其中Type字段的值為步驟2. 3)中鑒別訪問控 制器選取的鑒別方法���,Type-Data字段中包含Type字段的值對應(yīng)的鑒別協(xié)議消息��。
上述步驟3)的具體實(shí)現(xiàn)方式是
3.1) 若在步驟2.3)中的內(nèi)鑒別過程中鑒別訪問控制器成功認(rèn)證請求者���,則向請求者發(fā) 送TAEP的Success分組;
3.2) 若在步驟2.3)中的內(nèi)鑒別過程中鑒別訪問控制器不能成功認(rèn)證請求者�,則向請求 者發(fā)送TAEP的Failure分組。
一種基于隧道技術(shù)的三元鑒別可擴(kuò)展系統(tǒng)�,其特殊之處在于所述基于隧道技術(shù)的三元鑒別可擴(kuò)展系統(tǒng)包括請求者、鑒別訪問控制器�����、鑒別服務(wù)器以及內(nèi)鑒別服務(wù)器����;所述請求者 ����、鑒別服務(wù)器以及內(nèi)鑒別服務(wù)器分別和鑒別訪問控制器通過TAEP連通�����;所述請求者�����、鑒別訪 問控制器和鑒別服務(wù)器執(zhí)行外鑒別過程���,建立請求者和鑒別訪問控制器之間的安全隧道��;所 述請求者���、鑒別訪問控制器和內(nèi)鑒別服務(wù)器執(zhí)行內(nèi)鑒別過程。 本發(fā)明的優(yōu)點(diǎn)是
1���、 可增加該隧道TAEP的應(yīng)用性�����。本發(fā)明在安全隧道中傳輸?shù)臄?shù)據(jù)為內(nèi)TAEP包�����,可支持 多種內(nèi)鑒別機(jī)制��,增加了該隧道TAEP的應(yīng)用性�;
2����、 可增強(qiáng)內(nèi)鑒別過程的安全性。本發(fā)明在請求者和鑒別訪問控制器之間的內(nèi)TAEP包由 外鑒別過程建立的安全隧道進(jìn)行保護(hù)��,可提供內(nèi)鑒別身份保護(hù)�,從而增強(qiáng)了內(nèi)鑒別過程的安 全性;
3��、 本發(fā)明使得請求者和鑒別訪問控制器可在一個(gè)TAEP鑒別會話中實(shí)現(xiàn)多個(gè)TAEP鑒別方 法���,可應(yīng)用于基于三元對等鑒別的訪問控制方法���。
圖1為現(xiàn)有技術(shù)中TAEP包的格式結(jié)構(gòu)示意圖; 圖2為現(xiàn)有技術(shù)中TAEP復(fù)用模型的結(jié)構(gòu)示意圖3為本發(fā)明所提及的基于隧道技術(shù)的三元鑒別可擴(kuò)展方法的結(jié)構(gòu)示意圖�。
具體實(shí)施例方式
參見圖3���,本發(fā)明提供了一種基于隧道技術(shù)的三元鑒別可擴(kuò)展方法,其具體步驟如下 1)請求者�����、鑒別訪問控制器和鑒別服務(wù)器執(zhí)行外鑒別過程�,并建立請求者與鑒別訪問
控制器之間的安全隧道,如它們執(zhí)行用戶鑒別過程并建立請求者和鑒別訪問控制器之間的
會話密鑰�;
1.1) 鑒別訪問控制器利用TAEP的Request分組和Response分組來獲取請求者的外鑒別身 份,如用戶身份����;
1.1.1) 鑒別訪問控制器向請求者發(fā)送TAEP的Request分組,其中Type字段的值為 Identity;
1.1.2) 請求者向鑒別訪問控制器發(fā)送TAEP的Response分組�,其中Type字段對應(yīng)步驟 1.1.1)中TAEP的Request分組中的Type字段,Type-Data中包含請求者的外鑒別身份;上述 步驟l.l)為可選步驟�。若鑒別訪問控制器已知曉請求者的外鑒別身份,則不需要執(zhí)行步驟 1.1)���。
1.2) 鑒別訪問控制器利用TAEP的Request分組和Response分組來向鑒別服務(wù)器獲取鑒別方法類型�����,如中國WLAN標(biāo)準(zhǔn)中基于證書的WAI協(xié)議或基于預(yù)共享密鑰的WAI協(xié)議��;
1.2. 1)鑒別訪問控制器向鑒別服務(wù)器發(fā)送TAEP的Request分組��,其中Type字段的值為TPAuthentication, Type-Data中包含請求者和鑒別訪問控制器的外鑒別身份����;
1. 2. 2)鑒別服務(wù)器向鑒別訪問控制器發(fā)送TAEP的Response分組,其中Type字段對應(yīng)步驟1.2. 1)中TAEP的Request分組中的Type字段����,Type-Data中包含鑒別方法類型����;
上述步驟1.2)為可選步驟。若鑒別訪問控制器已配置了特定的鑒別方法�����,則不需要執(zhí)行步驟1.2)���。
1.3)鑒別訪問控制器選取一種鑒別方法與請求者����、鑒別服服務(wù)器執(zhí)行外鑒別過程�����,并建立請求者與鑒別訪問控制器之間的安全隧道,如執(zhí)行中國WLAN標(biāo)準(zhǔn)中基于證書的WAI協(xié)議或基于預(yù)共享密鑰的WAI協(xié)議等����;
1.3. 1)鑒別訪問控制器與請求者之間、鑒別訪問控制器與鑒別服務(wù)器之間交互一系列TAEP的Request分組和Response分組�,直到建立請求者與鑒別訪問控制器之間的安全隧道,其中Type字段為步驟l. 3)中鑒別訪問控制器選取的鑒別方法�,Type-Data中包含Type字段的值對應(yīng)的鑒別協(xié)議消息;
2)請求者��、鑒別訪問控制器和內(nèi)鑒別服務(wù)器執(zhí)行內(nèi)鑒別過程����,如它們執(zhí)行平臺鑒別協(xié)議,其中請求者和鑒別訪問控制器之間的內(nèi)TAEP包是利用步驟l )中建立的安全隧道進(jìn)行保護(hù)的�;
2. 1 )鑒別訪問控制器利用TAEP的Request分組和Response分組來獲取請求者的內(nèi)鑒別身
份;
2.1.1) 鑒別訪問控制器向請求者發(fā)送TAEP的Request分組�,其中Type字段的值為步驟1.3)中鑒別訪問控制器選取的鑒別方法,Type-Data字段的值為內(nèi)TAEP包�����。內(nèi)TAEP包的Code字段的值為Request�, Type字段的值為Identity;
2.1.2) 請求者向鑒別訪問控制器發(fā)送TAEP的Response分組���,其中Type字段對應(yīng)步驟2.1.1)中TAEP的Request分組中的Type字段,Type-Data字段的值為內(nèi)TAEP包�。內(nèi)TAEP包的Code字段的值為Response, Type字段對應(yīng)步驟2. 1. 1中內(nèi)TAEP包的Request分組中的Type字段���,Type-Data字段中包含請求者的內(nèi)鑒別身份����;
上述步驟2. 1)為可選步驟�����。
2. 2)鑒別訪問控制器利用TAEP的Request分組和Response分組來向內(nèi)鑒別服務(wù)器獲取鑒別方法類型����;
2.2. 1)鑒別訪問控制器向內(nèi)鑒別服務(wù)器發(fā)送TAEP的Request分組�,其中Type字段的值為TP Authentication, Type-Data中包含請求者和鑒別訪問控制器的內(nèi)鑒別身份;
2. 2. 2)內(nèi)鑒別服務(wù)器向鑒別訪問控制器發(fā)送TAEP的Response分組�,其中Type字段對應(yīng)步驟2. 2. 1)中TAEP的Request分組中的Type字段,Type-Data中包含鑒別方法類型�����;
上述步驟2.2.2)中的Type-Data中還可以包含鑒別方法的鑒別策略,如內(nèi)鑒別服務(wù)器在該步驟的Type-Data中包含平臺鑒別策略����,用于向鑒別訪問控制器下發(fā)平臺鑒別策略。
上述步驟2.2)為可選步驟����。若鑒別訪問控制器為內(nèi)鑒別過程已配置了特定的鑒別方法和鑒別策略,則不需要執(zhí)行步驟2.2)���。
2.3)鑒別訪問控制器選取一種鑒別方法與請求者����、內(nèi)鑒別服務(wù)器執(zhí)行內(nèi)鑒別過程�����,如:它們執(zhí)行平臺鑒別協(xié)議����;
2.3. 1)鑒別訪問控制器與請求者之間、鑒別訪問控制器與內(nèi)鑒別服務(wù)器之間交互一系列TAEP的Request分組和Response分組����,直到內(nèi)鑒別過程完成��。對于鑒別訪問控制器與請求者之間交互的一系列TAEP的Request分組和Response分組���,其中Type字段的值為步驟l. 3)中鑒別訪問控制器選取的鑒別方法,Type-Data字段的值為內(nèi)TAEP包�����。內(nèi)TAEP包的Type字段的值為步驟2. 3)中鑒別訪問控制器選取的鑒別方法�,Type-Data字段中包含Type字段的值對應(yīng)的鑒別協(xié)議消息;對于鑒別訪問控制器與內(nèi)鑒別服務(wù)器之間交互的一系列TAEP的Request分組和Response分組�����,其中Type字段的值為步驟2. 3)中鑒別訪問控制器選取的鑒別方法�����,Type-Data字段中包含Type字段的值對應(yīng)的鑒別協(xié)議消息��。
3)鑒別訪問控制器利用TAEP的Success分組或Failure分組結(jié)束鑒別過程�����;
3.1) 若在步驟2.3)中的內(nèi)鑒別過程中鑒別訪問控制器成功認(rèn)證請求者�����,則向請求者發(fā)送TAEP的Success分組�;
3.2) 若在步驟2.3)中的內(nèi)鑒別過程中鑒別訪問控制器不能成功認(rèn)證請求者,則向請求者發(fā)送TAEP的Failure分組���。
本發(fā)明在提供一種基于隧道技術(shù)的三元鑒別可擴(kuò)展方法的同時(shí)���,還提供了一種基于隧道技術(shù)的三元鑒別可擴(kuò)展系統(tǒng),該系統(tǒng)包括請求者���、鑒別訪問控制器����、鑒別服務(wù)器以及內(nèi)鑒別服務(wù)器���;請求者�、鑒別服務(wù)器以及內(nèi)鑒別服務(wù)器分別和鑒別訪問控制器通過TAEP連通����;請求者、鑒別訪問控制器和鑒別服務(wù)器執(zhí)行外鑒別過程,建立請求者和鑒別訪問控制器之間的安全隧道���;請求者�、鑒別訪問控制器和內(nèi)鑒別服務(wù)器執(zhí)行內(nèi)鑒別過程����。請求者、鑒別訪問控制器和鑒別服務(wù)器執(zhí)行外鑒別過程��,建立請求者和鑒別訪問控制器之間的安全隧道��,如它們執(zhí)行用戶鑒別過程并建立請求者和鑒別訪問控制器之間的會話密鑰��,其中鑒別服務(wù)器可以不參與該外鑒別過程���。請求者��、鑒別訪問控制器和內(nèi)鑒別服務(wù)器執(zhí)行內(nèi)鑒別過程����,如它們執(zhí)行平臺鑒別協(xié)議����,其中鑒別訪問控制器和內(nèi)鑒別服務(wù)器之間傳輸?shù)腡AEP包的Type字段的值為內(nèi)鑒別過程方法,Type-Data字段的值為內(nèi)鑒別過程消息����,而請求者和鑒別訪問控制器之間傳輸TAEP包的Type字段為外鑒別過程方法,Type-Data字段為內(nèi)TAEP包����,內(nèi)TAEP包的Type字段的值為內(nèi)鑒別過程方法,Type-Data字段的值為內(nèi)鑒別過程消息��。
權(quán)利要求
1.一種基于隧道技術(shù)的三元鑒別可擴(kuò)展方法�,其特征在于該方法包括以下步驟1)請求者、鑒別訪問控制器和鑒別服務(wù)器執(zhí)行外鑒別過程���,并建立請求者與鑒別訪問控制器之間的安全隧道�����;2)請求者��、鑒別訪問控制器和內(nèi)鑒別服務(wù)器執(zhí)行內(nèi)鑒別過程���,其中請求者和鑒別訪問控制器之間的內(nèi)TAEP包是利用步驟1)中建立的安全隧道進(jìn)行保護(hù)的;3)鑒別訪問控制器利用TAEP的Success分組或Failure分組結(jié)束鑒別過程��。
2. 根據(jù)權(quán)利要求l所述的基于隧道技術(shù)的三元鑒別可擴(kuò)展方法,其特 征在于所述步驟l)的具體實(shí)現(xiàn)方式是`1.1) 鑒別訪問控制器利用TAEP的Request分組和Response分組來獲取請求者的外鑒別 身份��;`1.2) 鑒別訪問控制器利用TAEP的Request分組和Response分組來向鑒別服務(wù)器獲取鑒 別方法類型����;`1.3) 鑒別訪問控制器選取一種鑒別方法與請求者、鑒別服服務(wù)器執(zhí)行外鑒別過程���,并 建立請求者與鑒別訪問控制器之間的安全隧道����。
3. 根據(jù)權(quán)利要求2所述的基于隧道技術(shù)的三元鑒別可擴(kuò)展方法��,其特 征在于所述步驟l.l)的具體實(shí)現(xiàn)方式是`1.1.1) 鑒別訪問控制器向請求者發(fā)送TAEP的Request分組�,其中Type字段的值為 Identity;`1.1.2) 請求者向鑒別訪問控制器發(fā)送TAEP的Response分組,其中Type字段對應(yīng)步驟 1. 1. 1)中TAEP的Request分組中的Type字段�����,Type-Data中包含請求者的外鑒別身份��。
4. 根據(jù)權(quán)利要求3所述的基于隧道技術(shù)的三元鑒別可擴(kuò)展方法����,其特 征在于所述步驟1.2)的具體實(shí)現(xiàn)方式是`1.2.1)鑒別訪問控制器向鑒別服務(wù)器發(fā)送TAEP的Request分組����,其中Type字段的值為TP Authentication, Type-Data中包含請求者和鑒別訪問控制器的外鑒別身份���;(1. 2. 2)鑒別服務(wù)器向鑒別訪問控制器發(fā)送TAEP的Response分組,其中Type字段對應(yīng)步 驟1.2. 1)中TAEP的Request分組中的Type字段��,Type-Data中包含鑒別方法類型���。
5.根據(jù)權(quán)利要求4所述的基于隧道技術(shù)的三元鑒別可擴(kuò)展方法����,其特 征在于所述步驟1.3)的具體實(shí)現(xiàn)方式是鑒別訪問控制器與請求者之間����、鑒別訪問控制 器與鑒別服務(wù)器之間交互一系列TAEP的Request分組和Response分組,直到建立請求者與鑒 別訪問控制器之間的安全隧道��,其中Type字段為步驟l. 3)中鑒別訪問控制器選取的鑒別方 法��,Type-Data中包含Type字段的值對應(yīng)的鑒別協(xié)議消息���。
6.根據(jù)權(quán)利要求1或2或3或4或5所述的基于隧道技術(shù)的三元鑒別可擴(kuò) 展方法����,其特征在于所述步驟2)的具體實(shí)現(xiàn)方式是(2. 1 )鑒別訪問控制器利用TAEP的Request分組和Response分組來獲取請求者的內(nèi)鑒別 身份;(2. 2)鑒別訪問控制器利用TAEP的Request分組和Response分組來向內(nèi)鑒別服務(wù)器獲取 鑒別方法類型����;(2.3)鑒別訪問控制器選取一種鑒別方法與請求者、內(nèi)鑒別服務(wù)器執(zhí)行內(nèi)鑒別過程���。
7.根據(jù)權(quán)利要求6所述的基于隧道技術(shù)的三元鑒別可擴(kuò)展方法����,其特 征在于所述步驟2. 1)的具體實(shí)現(xiàn)方式是(2.1.1) 鑒別訪問控制器向請求者發(fā)送TAEP的Request分組��,其中Type字段的值為步驟 1.3)中鑒別訪問控制器選取的鑒別方法���,Type-Data字段的值為內(nèi)TAEP包����,內(nèi)TAEP包的 Code字段的值為Request���, Type字段的值為Identity;(2.1.2) 請求者向鑒別訪問控制器發(fā)送TAEP的Response分組�����,其中Type字段對應(yīng)步驟 2.1.1)中TAEP的Request分組中的Type字段��,Type-Data字段的值為內(nèi)TAEP包����,內(nèi)TAEP包的 Code字段的值為Response, Type字段對應(yīng)步驟2. 1. 1中內(nèi)TAEP包的Request分組中的Type字段 �,Type-Data字段中包含請求者的內(nèi)鑒別身份�。
8.根據(jù)權(quán)利要求7所述的基于隧道技術(shù)的三元鑒別可擴(kuò)展方法,其特 征在于所述步驟2.2)的具體實(shí)現(xiàn)方式是(2.2.1)鑒別訪問控制器向內(nèi)鑒別服務(wù)器發(fā)送TAEP的Request分組��,其中Type字段的值 為TP Authentication, Type-Data中包含請求者和鑒別訪問控制器的內(nèi)鑒別身份����;(2. 2. 2)內(nèi)鑒別服務(wù)器向鑒別訪問控制器發(fā)送TAEP的Response分組,其中Type字段對應(yīng) 步驟2. 2. 1)中TAEP的Request分組中的Type字段�����,Type-Data中包含鑒別方法類型����。
9.根據(jù)權(quán)利要求8所述的基于隧道技術(shù)的三元鑒別可擴(kuò)展方法,其特 征在于所述步驟2.3)的具體實(shí)現(xiàn)方式是鑒別訪問控制器與請求者之間����、鑒別訪問控制 器與內(nèi)鑒別服務(wù)器之間交互一系列TAEP的Request分組和Response分組�,直到內(nèi)鑒別過程完 成�����;對于鑒別訪問控制器與請求者之間交互的一系列TAEP的Request分組和Response分組�, 其中Type字段的值為步驟l. 3)中鑒別訪問控制器選取的鑒別方法,Type-Data字段的值為內(nèi) TAEP包���;內(nèi)TAEP包的Type字段的值為步驟2.3)中鑒別訪問控制器選取的鑒別方法�����, Type-Data字段中包含Type字段的值對應(yīng)的鑒別協(xié)議消息�����;對于鑒別訪問控制器與內(nèi)鑒別服 務(wù)器之間交互的一系列TAEP的Request分組和Response分組��,其中Type字段的值為步驟2. 3) 中鑒別訪問控制器選取的鑒別方法�����,Type-Data字段中包含Type字段的值對應(yīng)的鑒別協(xié)議消 息��。
10.根據(jù)權(quán)利要求9所述的基于隧道技術(shù)的三元鑒別可擴(kuò)展方法���,其 特征在于所述步驟3)的具體實(shí)現(xiàn)方式是3.1) 若在步驟2.3)中的內(nèi)鑒別過程中鑒別訪問控制器成功認(rèn)證請求者��,則向請求者 發(fā)送TAEP的Success分組���;3.2) 若在步驟2.3)中的內(nèi)鑒別過程中鑒別訪問控制器不能成功認(rèn)證請求者,則向請 求者發(fā)送TAEP的Failure分組���。
11. 一種基于隧道技術(shù)的三元鑒別可擴(kuò)展系統(tǒng),其特征在于所述基于隧道技術(shù)的三元鑒別可擴(kuò)展系統(tǒng)包括請求者���、鑒別訪問控制器�����、鑒別服務(wù)器以及內(nèi)鑒別服務(wù)器��;所述請求者�����、鑒別服務(wù)器以及內(nèi)鑒別服務(wù)器分別和鑒別訪問控制器通過TAEP連通�;所 述請求者、鑒別訪問控制器和鑒別服務(wù)器執(zhí)行外鑒別過程����,建立請求者和鑒別訪問控制器之 間的安全隧道;所述請求者�、鑒別訪問控制器和內(nèi)鑒別服務(wù)器執(zhí)行內(nèi)鑒別過程。
全文摘要
本發(fā)明涉及一種基于隧道技術(shù)的三元鑒別可擴(kuò)展方法及其系統(tǒng)����。該方法包括以下步驟1)請求者、鑒別訪問控制器和鑒別服務(wù)器執(zhí)行外鑒別過程�,并建立請求者與鑒別訪問控制器之間的安全隧道;2)請求者�、鑒別訪問控制器和內(nèi)鑒別服務(wù)器執(zhí)行內(nèi)鑒別過程,其中請求者和鑒別訪問控制器之間的內(nèi)TAEP包是利用步驟1)中建立的安全隧道進(jìn)行保護(hù)的��;3)鑒別訪問控制器利用TAEP的Success分組或Failure分組結(jié)束鑒別過程�。本發(fā)明提供了一種可增加該隧道TAEP的應(yīng)用性以及增強(qiáng)內(nèi)鑒別過程的安全性的基于隧道技術(shù)的三元鑒別可擴(kuò)展方法及其系統(tǒng)。
文檔編號H04L12/46GK101662410SQ20091030746
公開日2010年3月3日 申請日期2009年9月22日 優(yōu)先權(quán)日2009年9月22日
發(fā)明者軍 曹, 肖躍雷, 莉 葛, 黃振海 申請人:西安西電捷通無線網(wǎng)絡(luò)通信有限公司