技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種適合三元對等鑒別可信網(wǎng)絡(luò)連接 架構(gòu)的訪問控制方法。

背景技術(shù)

802.1x協(xié)議起源于802.11協(xié)議，后者后者是標(biāo)準(zhǔn)的無線局域網(wǎng)協(xié)議，802.1x協(xié) 議的主要目的是為了解決無線局域網(wǎng)用戶的接入鑒別問題。現(xiàn)在已經(jīng)開始被應(yīng)用于 一般的有線LAN的接入(微軟的Windows?XP，以及Cisco，華為3com等廠商的 設(shè)備已經(jīng)開始支持802.1x協(xié)議)。802.1x首先是一個鑒別協(xié)議，是一種對用戶進行 鑒別的方法和策略。802.1x是基于端口的鑒別策略(這里的端口可以是一個實實 在在的物理端口，也可以是一個就像VLAN一樣的邏輯端口，對于無線局域網(wǎng)來 說這個端口就是一條信道)。

802.1x的鑒別的最終目的就是確定一個端口是否可用。對于一個端口，如果鑒 別成功那么就打開這個端口，允許所有的報文通過；如果鑒別不成功就使這個端口 保持關(guān)閉，此時只允許802.1x的鑒別報文EAP(Extensible?Authentication?Protocol) 通過。802.1x鑒別體系結(jié)構(gòu)中包含客戶端、認證器和認證服務(wù)器三個角色，其中鑒 別報文EAP在認證器上是透傳給客戶端或認證服務(wù)器的，也就是說，802.1x鑒別 體系結(jié)構(gòu)僅適合點到點的鑒別。

為了實現(xiàn)三方鑒別協(xié)議的封裝以及網(wǎng)絡(luò)數(shù)據(jù)的傳輸控制，其中網(wǎng)絡(luò)數(shù)據(jù)的傳輸 控制指對鑒別協(xié)議數(shù)據(jù)和應(yīng)用服務(wù)數(shù)據(jù)的傳輸控制，一種基于三元對等鑒別的訪問 控制方法(中國無線局域網(wǎng)標(biāo)準(zhǔn)所采用的訪問控制方法)被提出，其鑒別體系結(jié)構(gòu) 如圖1所示：PAE(Port?Authentication?Entity)指端口鑒別實體，請求者PAE、鑒 別訪問控制器PAE和鑒別服務(wù)器傳輸三元鑒別可擴展協(xié)議(Tri-element Authentication?Extensible?Protocol，TAEP)包，請求者PAE和鑒別訪問控制器PAE 還要完成受控端口的控制，其中TAEP包的格式與EAP包的格式類同，但TAEP 的層次模型與EAP不相同。

TAEP包的格式如下：

其中，

Code：

Code字段長度為1個八位位組，表示TAEP分組的類型：

1????Request

2????Response

3????Success

4????Failure

Identifier：

Identifier字段長度為1個八位位組，用于匹配Request和Response分組。

Length：

Length字段長度為2個八位位組，表示整個TAEP分組的八位位組數(shù)，即指包 括Code、Identifier、Length和Data所有字段的長度總和。

Data：

Data字段長度可變，分組含0個或多個八位位組，其格式由Code字段的值決 定。

TAEP復(fù)用模型如下：

請求者????鑒別訪問控制器????鑒別服務(wù)器