一种三元结构的对等访问控制方法
专利汇可以提供一种三元结构的对等访问控制方法专利检索,专利查询,专利分析的服务。并且本 发明 涉及一种可安全实现终端与网络双向认证三元结构的对等 访问 控制方法,该方法在现有的二元三实体结构访问控制方法的 基础 上,在接入 控制器 中实现鉴权者功能,并在终端和接入控制器中实现认证协议功能,使得终端、接入控制器和 服务器 都参与认证,直接在终端和接入控制器之间一次性建立信任关系,本发明不但解决了现有的二元二实体结构访问控制方法的接入形式灵活性受到限制、接入控制器数量不宜扩展的技术问题,而且解决了现有的二元三实体结构访问控制方法的信任关系建立的过程复杂且影响网络安全的技术问题,具有安全性能高、无需改变现有网络结构、认证协议具有相对的独立性的优点。,下面是一种三元结构的对等访问控制方法专利的具体信息内容。
1、一种三元结构的对等访问控制方法,其特征在于:该方法包括以下步骤:
1]在主体中实现主体功能,在鉴权者中实现鉴权者功能,在认证服务器中实 现认证服务器功能:
在主体中设置主体的认证方法层、主体的对等体层、主体的封装层和主体的 底层;在鉴权者中设置鉴权者的认证方法层、鉴权者的鉴权者层、鉴权者的封装 层、鉴权者的底层和鉴权者的传输层;在认证服务器中设置认证服务器的认证方 法层、认证服务器的对等体层、认证服务器的封装层和认证服务器的传输层;
在主体的认证方法层实现根据认证凭证进行认证的功能,在主体的底层实现 传送数据以及根据认证结果控制主体是否接入鉴权者的功能;在鉴权者的认证方 法层中实现根据认证凭证进行认证的功能,在鉴权者的底层实现控制是否允许主 体接入鉴权者的功能;在认证服务器的认证方法层中实现根据认证凭证进行认证 的功能;
2]在主体和鉴权者中实现认证协议功能:
在主体的认证方法层和鉴权者的认证方法层中共同实现认证协议功能;
3]主体和鉴权者进行认证过程:
鉴权者的认证方法层发送请求消息给主体的认证方法层;主体的认证方法层 发送响应消息给鉴权者的认证方法层来响应有效的请求消息;
4]认证结束,实现访问控制:
当鉴权者的认证方法层根据响应消息不能认证主体时,鉴权者的认证方法层 或者停止发送请求消息并结束消息交互,鉴权者的认证方法层通知鉴权者的底层 不允许主体接入鉴权者;鉴权者的认证方法层或者发送失败消息给主体的认证方 法层,主体的认证方法层通知主体的底层不允许主体接入鉴权者;
当鉴权者的认证方法层根据响应消息判断认证已经成功完成,鉴权者的认证 方法层或者停止发送请求消息并结束消息交互,鉴权者的认证方法层通知鉴权者 的底层允许主体接入鉴权者;鉴权者的认证方法层或者发送成功消息给主体的认 证方法层,主体的认证方法层通知主体的底层允许主体接入鉴权者。
2、根据权利要求1所述的三元结构的对等访问控制方法,其特征在于:所述 鉴权者的认证方法层发送给主体的认证方法层的请求消息中包含一个类型字段, 该类型字段是用来指示请求消息类型的字段,所述主体的认证方法层发送给鉴权 者的认证方法层的响应消息中包含一个类型字段,对应于请求消息中的类型字段。
3、根据权利要求1或2所述的三元结构的对等访问控制方法,其特征在于: 所述方法还包括以下步骤:
鉴权者的认证方法层发送请求消息和主体的认证方法层响应请求消息根据需 要持续交互。
4、根据权利要求1所述的三元结构的对等访问控制方法,其特征在于:
所述方法包括以下步骤:
1]在主体中实现主体功能,在鉴权者中实现鉴权者功能,在认证服务器中实 现认证服务器功能;
2]在主体和鉴权者实现认证协议功能的同时,在认证服务器中实现认证协议 功能:
在主体的认证方法层、鉴权者的认证方法层和认证服务器的认证方法层中共 同实现认证协议功能;
3]主体和鉴权者进行认证过程:
在主体的认证方法层和鉴权者的认证方法层交互消息的同时,鉴权者的认证 方法层向认证服务器的认证方法层发送请求消息,认证服务器的认证方法层向鉴 权者的认证方法层发送响应消息;
4]认证结束,实现访问控制:
当鉴权者的认证方法层根据主体的认证方法层的响应消息或者根据认证服务 器的认证方法层的响应消息不能认证主体时,鉴权者的认证方法层或者停止发送 请求消息并结束消息交互,鉴权者的认证方法层通知鉴权者的底层不允许主体接 入鉴权者;鉴权者的认证方法层或者发送失败消息给主体的认证方法层,主体的 认证方法层通知主体的底层不允许主体接入鉴权者;
当鉴权者的认证方法层根据主体的认证方法层的响应消息或者根据认证服务 器的认证方法层的响应消息判断认证已经成功完成,鉴权者的认证方法层或者停 止发送请求消息并结束消息交互,鉴权者的认证方法层通知鉴权者的底层允许主 体接入鉴权者;鉴权者的认证方法层或者发送成功消息给主体的认证方法层,主 体的认证方法层通知主体的底层允许主体接入鉴权者。
5、根据权利要求4所述的三元结构的对等访问控制方法,其特征在于:所述 鉴权者的认证方法层发送给主体的认证方法层的请求消息中包含一类型字段,该 类型字段是用来指示请求消息类型的字段,所述主体的认证方法层发送给鉴权者 的认证方法层的响应消息中包含一个类型字段,对应于请求消息中的类型字段; 所述鉴权者的认证方法层向认证服务器的认证方法层发送的请求消息中包含一类 型字段,该类型字段是用来指示请求消息类型的字段,认证服务器的认证方法层 向鉴权者的认证方法层发送的响应消息中包含一个类型字段,对应于请求消息中 的类型字段。
6、根据权利要求4或5所述的三元结构的对等访问控制方法,其特征在于: 所述方法还包括以下步骤;
鉴权者的认证方法层发送请求消息和主体的认证方法层响应请求消息根据需 要持续交互;
鉴权者的认证方法层发送请求消息和认证服务器的认证方法层响应请求消息 根据需要持续交互。
7、根据权利要求1或4所述的三元结构的对等访问控制方法,其特征在于: 所述主体的具体结构形式是终端;所述鉴权者的具体结构形式是接入控制器;所 述认证服务器的具体结构形式是服务器。
技术领域
本发明涉及一种网络访问控制方法,特别涉及一种三元结构的对等访问控制 方法。
背景技术
图1是终端和网络间的双向访问控制示意图,终端1通过接入控制器3接入 网络4,在终端1开始使用网络4的资源之前,终端1和接入控制器3之间要完成 访问控制2,即:
1、接入控制器3检查终端1是否有访问网络4的权限,即对终端1进行认证;
2、终端1检查接入控制器3是否是合法的设备,防止数据被截取,即对网络 4进行认证。
在认证中需要用到实体和元的概念,其中实体是指在网络结构中完成特定功 能,能够独立存在的功能体,一般采用独立的设备实现;元是指在网络接入认证 中具有认证功能的功能体。在网络中,实体如果具有认证功能,它就是一个元; 如果实体没有认证功能,它就不是一个元。
根据参与认证的实体的数目不同,实现终端与网络的双向认证有两种网络结 构形式,在可扩展的认证协议(RFC3748 Extensible Authentication Protocol, EAP)中有描述:
第一种网络结构参见图2所示的二元二实体结构,包括终端和接入控制器, 终端对应实体一,接入控制器对应实体二。其中终端具有认证凭证、认证功能和 控制是否接入网络的功能,对应元一;接入控制器具有认证凭证、认证功能和根 据认证结果控制终端接入的功能,对应元二。在该网络结构中,终端和接入控制 器都有认证功能,支持双向认证。
但是二元二实体结构不存在认证服务器,灵活性受到很大限制。而且终端的 数量通常都比较多,如果接入控制器的数量也比较多,那么终端和接入控制器之 间的关系就是多对多,非常难于管理。因此这种结构形式一般只用于接入控制器 数量很少的情况下,其应用具有很大的局限性。
第二种网络结构参见图3所示的二元三实体结构,包括终端、接入控制器和 服务器,分别对应实体一、实体二和实体三。其中终端具有认证凭证、认证功能 和控制是否接入网络的功能,对应元一;接入控制器具有根据认证结果控制终端 接入的功能,没有认证功能;服务器具有认证凭证和认证功能,对应元二。二元 三实体网络结构也叫透传(Pass-through)模式,在该网络结构中,终端和服务器 都有认证功能,而接入控制器没有认证功能,所以该结构形式是通过将实体二作 为实体三的中继来支持双向认证。
二元三实体结构的接入控制器虚化,只在终端和服务器之间进行认证,将多 个终端对应多个接入控制器的关系演变为多个终端对应一个服务器的关系,即在 它们之间建立信任关系A。但是最终需要在终端和接入控制器之间建立信任关系B, 因此信任关系必须进行安全的转移,即从信任关系A转移到信任关系B。信任关系 的转移是通过从服务器发送一个密钥给接入控制器来完成的。但是该密钥如果泄 漏将严重影响网络安全,因此为了避免这一问题,接入控制器和服务器之间必须 建立信任关系C和安全通道。而接入控制器收到密钥后,终端和接入控制器还必 须确认信任关系B。所以,终端和接入控制器之间信任关系的建立需要经过三次信 任关系的传递才能完成。而多次的信任关系传递不但导致认证的复杂而且可能影 响网络的安全,应该尽量避免。
发明内容
本发明的第一种技术解决方案是:
一种三元结构的对等访问控制方法,包括以下步骤:
1]在主体中实现主体功能,在鉴权者中实现鉴权者功能,在认证服务器中实 现认证服务器功能:
在主体中设置主体的认证方法层、主体的对等体层、主体的封装层和主体的 底层;在鉴权者中设置鉴权者的认证方法层、鉴权者的鉴权者层、鉴权者的封装 层、鉴权者的底层和鉴权者的传输层;在认证服务器中设置认证服务器的认证方 法层、认证服务器的对等体层、认证服务器的封装层和认证服务器的传输层;
在主体的认证方法层实现根据认证凭证进行认证的功能,在主体的底层实现 传送数据以及根据认证结果控制主体是否接入鉴权者的功能;在鉴权者的认证方 法层中实现根据认证凭证进行认证的功能,在鉴权者的底层实现控制是否允许主 体接入鉴权者的功能;在认证服务器的认证方法层中实现根据认证凭证进行认证 的功能;
2]在主体和鉴权者中实现认证协议功能:
在主体的认证方法层和鉴权者的认证方法层中共同实现认证协议功能;
3]主体和鉴权者进行认证过程:
鉴权者的认证方法层发送请求消息给主体的认证方法层;主体的认证方法层 发送响应消息给鉴权者的认证方法层来响应有效的请求消息;
4]认证结束,实现访问控制:
当鉴权者的认证方法层根据响应消息不能认证主体时,鉴权者的认证方法层 或者停止发送请求消息并结束消息交互,鉴权者的认证方法层通知鉴权者的底层 不允许主体接入鉴权者;鉴权者的认证方法层或者发送失败消息给主体的认证方 法层,主体的认证方法层通知主体的底层不允许主体接入鉴权者;
当鉴权者的认证方法层根据响应消息判断认证已经成功完成,鉴权者的认证 方法层或者停止发送请求消息并结束消息交互,鉴权者的认证方法层通知鉴权者 的底层允许主体接入鉴权者;鉴权者的认证方法层或者发送成功消息给主体的认 证方法层,主体的认证方法层通知主体的底层允许主体接入鉴权者。
上述鉴权者的认证方法层发送给主体的认证方法层的请求消息中包含一个类 型字段,该类型字段是用来指示请求消息类型的字段,所述主体的认证方法层发 送给鉴权者的认证方法层的响应消息中包含一个类型字段,对应于请求消息中的 类型字段。
上述方法还可包括以下步骤:
鉴权者的认证方法层发送请求消息和主体的认证方法层响应请求消息根据需 要持续交互。
上述主体的具体结构形式是终端;上述鉴权者的具体结构形式是接入控制器; 上述认证服务器的具体结构形式是服务器。
本发明的第二种技术解决方案是:
一种三元结构的对等访问控制方法,包括以下步骤:
1]在主体中实现主体功能,在鉴权者中实现鉴权者功能,在认证服务器中实 现认证服务器功能:
在主体中设置主体的认证方法层、主体的对等体层、主体的封装层和主体的 底层;在鉴权者中设置鉴权者的认证方法层、鉴权者的鉴权者层、鉴权者的封装 层、鉴权者的底层和鉴权者的传输层;在认证服务器中设置认证服务器的认证方 法层、认证服务器的对等体层、认证服务器的封装层和认证服务器的传输层;
在主体的认证方法层实现根据认证凭证进行认证的功能,在主体的底层实现 传送数据以及根据认证结果控制主体是否接入鉴权者的功能;在鉴权者的认证方 法层中实现根据认证凭证进行认证的功能,在鉴权者的底层实现控制是否允许主 体接入鉴权者的功能;在认证服务器的认证方法层中实现根据认证凭证进行认证 的功能;
2]在主体、鉴权者和认证服务器中实现认证协议功能:
在主体的认证方法层、鉴权者的认证方法层和认证服务器的认证方法层中共 同实现认证协议功能;
3]主体和鉴权者进行认证过程:
在主体的认证方法层和鉴权者的认证方法层交互消息的同时,鉴权者的认证 方法层向认证服务器的认证方法层发送请求消息,认证服务器的认证方法层向鉴 权者的认证方法层发送响应消息;
4]认证结束,实现访问控制:
当鉴权者的认证方法层根据主体的认证方法层的响应消息或者根据认证服务 器的认证方法层的响应消息不能认证主体时,鉴权者的认证方法层或者停止发送 请求消息并结束消息交互,鉴权者的认证方法层通知鉴权者的底层不允许主体接 入鉴权者;鉴权者的认证方法层或者发送失败消息给主体的认证方法层,主体的 认证方法层通知主体的底层不允许主体接入鉴权者;
当鉴权者的认证方法层根据主体的认证方法层的响应消息或者根据认证服务 器的认证方法层的响应消息判断认证已经成功完成,鉴权者的认证方法层或者停 止发送请求消息并结束消息交互,鉴权者的认证方法层通知鉴权者的底层允许主 体接入鉴权者;鉴权者的认证方法层或者发送成功消息给主体的认证方法层,主 体的认证方法层通知主体的底层允许主体接入鉴权者。
上述鉴权者的认证方法层发送给主体的认证方法层的请求消息中包含一类型 字段,该类型字段是用来指示请求消息类型的字段,所述主体的认证方法层发送 给鉴权者的认证方法层的响应消息中包含一个类型字段,对应于请求消息中的类 型字段;所述鉴权者的认证方法层向认证服务器的认证方法层发送的请求消息中 包含一类型字段,该类型字段是用来指示请求消息类型的字段,认证服务器的认 证方法层向鉴权者的认证方法层发送的响应消息中包含一个类型字段,对应于请 求消息中的类型字段。
上述方法还可包括以下步骤;
鉴权者的认证方法层发送请求消息和主体的认证方法层响应请求消息根据需 要持续交互;
鉴权者的认证方法层发送请求消息和认证服务器的认证方法层响应请求消息 根据需要持续交互。
上述主体的具体结构形式是终端;上述鉴权者的具体结构形式是接入控制器; 上述认证服务器的具体结构形式是服务器。
本发明的优点是:
1、安全性能高。本发明方法应用于具体网络结构形式时,终端(主体)和接 入控制器(鉴权者)进行认证,需要通过服务器的协助来完成。终端可以和接入 控制器通信,不能和服务器通信,接入控制器可以和终端通信,也可以和服务器 通信。终端、接入控制器和服务器都参与认证,直接在终端和接入控制器之间一 次性建立信任关系,具有极好的安全性。
2、无需改变现有网络结构。本发明方法可应用于三元结构,但是兼容于二元 二实体结构。对比图2和图5,就可知在认证服务器不存在的情况下,本发明方法 的应用完全兼容于二元二实体的网络结构。因此不论对于二实体还是三实体结构, 本发明方法都可以适用,充分符合现有的网络结构。
3、认证协议具有相对的独立性。在实现符合本发明的方法时,认证协议层可 以使用已有的认证协议,也可设计新的认证协议。
附图说明
图1是现有的终端和网络间的双向访问控制示意图。
图2是现有技术二元二实体结构的网络访问控制系统的连接关系图。
图3是现有技术二元三实体结构的网络访问控制系统的连接关系图。
图4是本发明的网络对等访问控制方法的流程图。
图5是本发明的网络对等访问控制方法所应用的三元三实体结构的连接关系 图。
图6是本发明方法应用于具体证书鉴别过程的流程图。
其中:1-终端,2-访问控制,3-接入控制器,4-网络。
具体实施方式
1、在终端中实现主体功能,在接入控制器中实现鉴权者功能,在服务器中实 现认证服务器功能;
2、在终端、接入控制器和服务器中实现认证方法的相应协议;
3、接入控制器发送请求消息给终端要求开始认证,请求消息有一个类型字段 指示请求的种类,类型可以是Identity,MD5-Chanllenge等;
4、终端发送响应消息给接入控制器来响应有效的请求消息,响应消息中包含 一个类型字段,对应于请求消息中的类型字段;
5、接入控制器发送请求消息给终端,终端发送响应消息给接入控制器,请求 消息和响应消息的序列根据需要持续交互;根据认证方法的不同,接入控制器必 要时向服务器发送请求消息,而服务器向接入控制器发送响应消息,此请求消息 和响应消息的序列会持续需要的长度;根据认证方法的不同,终端可能不对接入 控制器发送的请求消息进行响应;
6、对话一直持续到接入控制器不能认证终端,接入控制器或停止发送请求消 息,结束消息交互,接入控制器将发送失败消息给终端,接入控制器不允许终端 接入接入控制器;或者接入控制器判断成功的认证已经完成,接入控制器或停止 发送请求消息,结束消息交互,或发送成功消息给终端,接入控制器允许终端接 入接入控制器;此时完成终端和接入控制器之间的访问控制。
本发明的实施方式之一是在国标GB15629.11-2003/XG1-2006中定义的认证方 法的模型下应用,该标准中描述的证书鉴别过程应用本方法步骤见图6,具体如下:
图6中的ASUE是鉴别请求者实体,也就是终端,实现主体功能;AE是鉴别器 实体,也就是接入控制器,实现鉴权者功能;ASE是鉴别服务单元,也就是服务器, 实现认证服务器功能。标准中描述的认证方法在ASUE、AE和ASE中都要实现,符 合本发明方法的模型,可以应用在本发明方法的模型中:
1]AE向ASUE发送请求消息;
2]ASUE向AE发送响应消息;
3]AE向ASE发送请求消息;
4]ASE向AE发送响应消息;
5]AE向ASUE发送请求消息;
6]ASUE收到请求消息,不需发送响应消息;
7]AE停止发送消息。
消息中所包含的具体字段定义参见国标GB15629.11-2003/XG1-2006中的定 义。
本发明的实施方式之二是在Otway-Rees协议下应用,参见Otway,D.and Ress,0.,“Efficient and timely mutu alauthentication”ACE 0SR,Vol.21,No.1,pp.8-10,Jan.1987。该协议是用于身份认证的,不能在以前的 网络结构形式下应用。本发明的方法与该协议结合,其具体步骤如下:
参与者为Alice、Bob和Trent。
1]Bob发送请求消息要求开始认证;
2]Alice生成一条消息,其中包括一个索引号码、她的身份、Bob的身份和一 个随机数,并将这条消息采用她和Trent的共享密钥加密。然后,将密文连同索 引号、Alice和Bob的身份一起发送给Bob;
3]Bob生成一条消息,其中包括一个新的随机数、索引号、Alice和Bob的身 份,并将这条消息采用他和Trent的共享密钥加密。然后,将密文连同Alice的 密文、索引号、Alice和Bob的身份一起发送给Trent;
4]Trent生成一个随机的会话密钥。此后,生成两条消息。第一条消息是将 Alice的随机数和会话密钥采用他和Alice的共享密钥加密。第二条消息是将Bob 的随机数和会话密钥采用他和Bob的共享密钥加密。最后,Trent将这两条消息连 同索引号一起发送给Bob。
5]Bob将属于Alice的那条消息连同索引号一起发送给Alice。
6]如果所有的随机数都匹配,而且通信过程中索引号没有被改动,那么认证 成功。
可以看出,,Alice、Bob和Trent分别实现主体、鉴权者和认证服务器功能该 认证协议可以在本发明的方法中应用。
本发明原理:
认证协议是两个或两个以上的参与者为完成认证而采取的一系列步骤。主体、 鉴权者和认证服务器的认证方法层是认证协议在各个参与者中的实现,它们共同 构成认证协议层,完成认证协议功能。
本发明对终端、接入控制器和服务器的功能进行了调整,使接入控制器具有 认证凭证和认证功能,将网络结构形式变成三元三实体,见图5:
实体一/元一:终端,具有认证凭证、认证功能和控制是否接入网络的功能。
实体二/元二:接入控制器,具有认证凭证、认证功能和根据认证结果控制终 端接入的功能。
实体三/元三:服务器,具有认证凭证和认证功能。
在这种结构形式下,终端(主体)和接入控制器(鉴权者)进行认证,需要 通过服务器(认证服务器)的协助来完成。终端可以和接入控制器通信,不能和 服务器通信,接入控制器可以和终端通信,也可以和服务器通信。终端、接入控 制器和服务器都参与认证,直接在终端和接入控制器之间一次性建立信任关系, 具有极好的安全性。
如果认证协议只需要主体和鉴权者参与,则主体的认证方法层和鉴权者的认 证方法层共同构成认证协议层,共同完成认证协议功能。如果主体和鉴权者进行 认证需要服务器的参与,则需要主体的认证方法层、鉴权者的认证方法层和认证 服务器的认证方法层共同构成认证协议层,共同完成认证协议功能;三者之间可 以运行同一个认证协议,也可以两两之间运行不同的认证协议,但本质上两两之 间的消息是有关联的,共同完成一个目的,即完成主体和鉴权者之间的认证。
在本技术领域中,底层、传输层、封装层、对等体层、鉴权者层和认证方法层 的概念如下:
底层:底层和传输层负责在对等体和鉴权者之间传送和接收TEAP帧,该传输 层是逻辑概念,表示该层和相邻的底层可以不是同一种技术。
封装层:封装层通过底层传送和接收数据包,实现重复帧检测和重传、在对等 体层和鉴权者层之间传送消息。
对等体层和鉴权者层:对等体层和鉴权者层解析收到的数据包,传送到对等体 层或鉴权者层。
认证方法层:认证方法层实现了认证算法,通过对等体层和鉴权者层传送消息。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种轧钢生产工艺 | 2021-07-06 | 5 |
| 一种阳光玫瑰葡萄无核栽培方法 | 2020-09-22 | 3 |
| 一种输电线路电力负荷平衡方法 | 2021-06-05 | 3 |
| 髋臼缺损重建假体 | 2020-11-16 | 2 |
| 一种生丝脱胶方法 | 2020-05-14 | 3 |
| 一种网络主机信息的安全检测方法和装置 | 2022-05-24 | 1 |
| 一种蚀刻液组合物及其镍铬硅薄膜的湿法刻蚀方法 | 2021-02-12 | 3 |
| 具有杀虫活性的哌啶并吡啶酮类衍生物的制备方法 | 2021-07-31 | 5 |
| 一种昆布保健饮品 | 2020-12-07 | 2 |
| RB‑SiC光学元件抛光工艺加工方法 | 2021-01-08 | 5 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
