[發明專利]一種有線局域網的安全訪問控制方法及其系統有效
| 申請號: | 200910023628.2 | 申請日: | 2009-08-19 |
| 公開(公告)號: | CN101631113A | 公開(公告)日: | 2010-01-20 |
| 發明(設計)人: | 鐵滿霞;曹軍;葛莉;賴曉龍;黃振海;李琴;杜志強 | 申請(專利權)人: | 西安西電捷通無線網絡通信有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L9/08;H04L9/32;H04L9/30;H04L12/56 |
| 代理公司: | 西安智邦專利商標代理有限公司 | 代理人: | 商宇科 |
| 地址: | 710075陜西省西安市高新*** | 國省代碼: | 陜西;61 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 有線 局域網 安全 訪問 控制 方法 及其 系統 | ||
1.一種有線局域網的安全訪問控制方法,其特征在于:所述方法包括以下步驟:
1)請求者REQ與鑒別訪問控制器AAC進行安全策略協商:
1.1)安全策略協商請求:當請求者REQ接入鑒別訪問控制器AAC時,鑒別訪問控制器AAC向請求者REQ發送安全策略協商請求分組,該分組包括:TIEAAC;
其中:
TIEAAC字段:表示鑒別訪問控制器AAC所支持的三元對等鑒別(TePA)的信息元素,包含鑒別訪問控制器AAC所支持的鑒別和密鑰管理套件及密碼套件;
1.2)安全策略協商響應:請求者REQ收到安全策略協商請求分組后,進行如下處理:
請求者REQ根據安全策略協商請求分組中TIEAAC字段給出的鑒別訪問控制器AAC所支持的鑒別和密鑰管理套件及密碼套件,結合本地策略選擇一種雙方共有的鑒別和密鑰管理套件及密碼套件,組成安全策略協商響應分組發送給鑒別訪問控制器AAC;若請求者REQ不支持安全策略協商請求分組中鑒別訪問控制器AAC所支持的任一鑒別和密鑰管理套件或密碼套件,根據本地策略可丟棄該分組;
安全策略協商響應分組的主要內容包括:TIEREQ;
其中:
TIEREQ字段:表示請求者REQ選擇的TePA信息元素,包含請求者REQ所選擇的鑒別和密鑰管理套件及密碼套件;
1.3)鑒別訪問控制器AAC收到安全策略協商響應分組后,進行如下處理:
1.3.1)鑒別訪問控制器AAC判斷是否支持請求者REQ所選擇的鑒別和密鑰管理套件及密碼套件,若不支持,則丟棄該分組;若支持,則執行1.3.2);
1.3.2)根據請求者REQ選擇的鑒別和密鑰管理套件開始相應的身份鑒別;
2)請求者REQ與鑒別訪問控制器AAC進行身份鑒別;
3)請求者REQ與鑒別訪問控制器AAC進行密鑰協商。
2.根據權利要求1所述的有線局域網的安全訪問控制方法,其特征在于:所述步驟1.3)中請求者REQ選擇的鑒別和密鑰管理套件是基于證書的鑒別協議TAEP-CAAP。
3.根據權利要求2所述的有線局域網的安全訪問控制方法,其特征在于:當請求者REQ選擇的鑒別和密鑰管理套件是基于證書的鑒別協議TAEP-CAAP時,所述步驟2)的具體實現方式是:
2.1.1)鑒別激活:當請求者REQ與鑒別訪問控制器AAC在安全策略協商過程中協商選擇采用證書鑒別和密鑰管理套件時,鑒別訪問控制器AAC向請求者REQ發送鑒別激活分組以激活請求者REQ進行證書鑒別,鑒別激活分組包括:SNonce、IDAS-AAC、CertAAC、ParaECDH、TIEACC以及SIGAAC;
其中:
SNonce字段:表示鑒別標識,若為首次身份鑒別,則該字段為由鑒別訪問控制器AAC產生的隨機數;若為更新的身份鑒別過程,則該字段的值是上一次身份鑒別過程中協商生成的鑒別標識值;
IDAS-AAC字段:表示鑒別訪問控制器AAC所信任的鑒別服務器AS的身份標識ID,是鑒別訪問控制器AAC的證書CertAAC的頒發者鑒別服務器AS的身份標識ID;
CertAAC字段:表示鑒別訪問控制器AAC的證書;
ParaECDH字段:表示橢圓曲線密碼體制Diffie-Hellman(ECDH)參數,是請求者REQ和鑒別訪問控制器AAC進行ECDH計算時采用的橢圓曲線密碼參數;
TIEAAC字段:表示鑒別訪問控制器AAC所支持的鑒別和密鑰管理套件及密碼套件;其值同安全策略協商請求分組中的TIEAAC字段的值;
SIGAAC字段:表示鑒別訪問控制器AAC的簽名,是鑒別訪問控制器AAC利用自己的私鑰對本分組中除本字段之外所有字段進行的簽名,此字段為可選字段;
2.1.2)接入鑒別請求:請求者REQ收到鑒別激活分組后,進行如下處理:
2.1.2.1)如果此次鑒別過程為身份鑒別的更新過程,則請求者REQ檢查鑒別激活分組中的鑒別標識字段值與上一次身份鑒別過程中保存的鑒別標識是否一致,如果不一致,則丟棄該分組;否則執行2.1.2.2);如果此次鑒別過程不是證書鑒別的更新過程,為首次身份鑒別過程,則直接執行2.1.2.2);
2.1.2.2)驗證TIEAAC字段值與安全策略協商過程中收到的安全策略協商請求分組中的TIEAAC字段值是否一致,如果不一致,則丟棄該分組;如果一致,則執行2.1.2.3);
2.1.2.3)如果收到的鑒別激活分組中包含SIGAAC字段,則驗證SIGAAC字段的正確性,如果不正確,則丟棄該分組;若正確,則執行2.1.2.4);如果收到的鑒別激活分組中未包含SIGAAC字段,則直接執行2.1.2.4);
2.1.2.4)根據鑒別激活分組中的IDAS-AAC字段選擇由該鑒別服務器AS頒發的請求者REQ的證書CertREQ或者根據本地策略選擇請求者REQ的證書CertREQ,并產生用于ECDH交換的請求者REQ密鑰數據x·P和請求者REQ詢問NREQ,生成接入鑒別請求分組,發送給鑒別訪問控制器AAC;接入鑒別請求分組主要內容包括:SNonce、NREQ、x·P、IDAAC、CertREQ、ParaECDH、ListAS-REQ、TIEREQ以及SigREQ;
其中:
SNonce字段:表示鑒別標識,其值同鑒別激活分組中的SNonce字段的值;若為首次身份鑒別過程,則該字段值直接取決于鑒別激活分組中的SNonce字段的值;若為更新的身份鑒別過程,則該字段值為上一次身份鑒別過程中計算的鑒別標識值;
NREQ字段:表示請求者REQ詢問,是請求者REQ產生的隨機數;
x·P字段:表示請求者REQ的密鑰數據,是請求者REQ生成的用于ECDH交換的臨時公鑰x·P;
IDAAC字段:表示鑒別訪問控制器AAC的身份標識ID,是根據鑒別激活分組中鑒別訪問控制器AAC的證書CertAAC字段得到;
CertREQ字段:表示請求者REQ的證書;
ParaECDH字段:表示ECDH參數,是請求者REQ和鑒別訪問控制器AAC進行ECDH計算時采用的橢圓曲線密碼參數,其值同鑒別激活分組中的ParaECDH字段的值;
ListAS-REQ字段:表示請求者REQ所信任的鑒別服務器AS列表,但不包含請求者REQ的證書CertREQ的頒發者,若請求者REQ除了信任其證書頒發者以外,還信任其他的某些實體,可以通過該字段通知鑒別服務器AAC,本字段為可選字段;
TIEREQ字段:表示請求者REQ選擇的鑒別和密鑰管理套件及密碼套件;其值同安全策略協商響應分組中的TIEREQ字段的值;
SigREQ字段:表示請求者REQ的簽名,是請求者REQ利用自己的私鑰對本分組中除本字段之外所有字段進行的簽名;
2.1.3)證書鑒別請求:鑒別訪問控制器AAC收到接入鑒別請求分組后,進行如下處理:
2.1.3.1)如果鑒別訪問控制器AAC發送了鑒別激活分組,則檢查收到的分組中的SNonce、ParaECDH字段值和鑒別激活分組中對應的字段值是否一致,如果有一個不一致,則丟棄該分組,否則執行2.1.3.2);如果鑒別訪問控制器AAC沒有發送鑒別激活分組,則檢查SNonce字段值和上一次證書鑒別過程中計算的鑒別標識是否一致,并檢查ParaECDH字段和上一次鑒別激活分組中的ParaECDH是否一致,如果有一個不一致,則丟棄該分組;否則執行2.1.3.2);
2.1.3.2)檢查IDAAC與自己的身份是否一致,并檢查TIEREQ字段的值與安全策略協商過程中收到的安全策略協商響應分組中的TIEREQ字段值是否一致,如果有一個不一致,則丟棄該分組;否則執行2.1.3.3);
2.1.3.3)如果鑒別訪問控制器AAC的本地策略要求使用鑒別服務AS來鑒別請求者REQ的證書CertREQ,則鑒別訪問控制器AAC生成證書鑒別請求分組,發送鑒別服務器AS;否則執行2.1.3.4);
2.1.3.4)鑒別訪問控制器AAC本地鑒別請求者REQ的證書CertREQ,即根據本地緩存的請求者REQ的證書CertREQ的驗證結果及根據本地策略所定義的時效性確認請求者REQ的證書CertREQ的驗證結果;若合法,則本地生成用于ECDH交換的密鑰數據以及AAC詢問NAAC,該密鑰數據是鑒別訪問控制器AAC的臨時公鑰y·P,并根據請求者REQ的臨時公鑰x·P以及自己的臨時私鑰y進行ECDH計算得到基密鑰BK以及下一次身份鑒別過程的鑒別標識并保存,然后設定接入結果為成功,構造接入鑒別響應分組發送給請求者REQ,并允許用戶訪問網絡;若CertREQ的驗證結果為不合法,則鑒別訪問控制器AAC設定接入結果為不成功,鑒別訪問控制器AAC的詢問NAAC和密鑰數據y·P可設置為任意值,構造接入鑒別響應分組發送給請求者REQ,然后解除與該請求者REQ的鏈路驗證;
證書鑒別請求分組主要內容包括:NAAC、NREQ、CertREQ、CertAAC以及ListAS-REQ;
其中:
NAAC字段:表示鑒別訪問控制器AAC詢問,是鑒別訪問控制器AAC產生的隨機數;
NREQ字段:表示請求者REQ詢問,是請求者REQ產生的隨機數,其值同請求者REQ發送的接入鑒別請求分組中NREQ字段的值;
CertREQ字段:表示請求者REQ的證書,其值同接入鑒別請求分組中CertREQ字段的值;
CertAAC字段:表示鑒別訪問控制器AAC的證書,其值同鑒別激活分組中CertAAC字段的值;
ListAS-REQ字段:表示請求者REQ信任的鑒別服務器AS列表,其值同請求者REQ發送的接入鑒別請求分組中的ListAS-REQ字段的值,本字段為可選字段;
2.1.4)證書鑒別響應:鑒別服務器AS收到證書鑒別請求分組后,進行如下處理:
2.1.4.1)如果此次鑒別過程為單向鑒別,則只需驗證請求者REQ的證書CertREQ,如果是雙向鑒別則需要同時驗證鑒別訪問控制器AAC的證書CertAAC和請求者REQ的證書CertREQ,參照RFC3280進行的證書的驗證,若無法驗證,則將相應證書的驗證結果置為證書的頒發者不明確,否則驗證證書的狀態,然后執行2.1.4.2);
2.1.4.2)根據證書的驗證結果,構造證書鑒別響應分組,并且附加相應的簽名,發往鑒別訪問控制器AAC;證書鑒別響應分組主要內容包括:RESCert、SIGAS-REQ以及SIGAS-AAC;
其中:
RESCert字段:表示證書的驗證結果,本字段包括鑒別訪問控制器AAC詢問值NAAC、請求者REQ詢問值NREQ、以及CertAAC的驗證結果、CertREQ的驗證結果;如果只是單向驗證則不包括鑒別訪問控制器AAC的證書CertAAC的驗證結果;
SIGAS-REQ字段:表示請求者REQ信任的鑒別服務器AS對本分組中證書的驗證結果RESCert字段進行的簽名;
SIGAS-AAC字段:表示鑒別訪問控制器AAC信任的鑒別服務器AS對本分組中除本字段之外所有字段進行的簽名;
2.1.5)接入鑒別響應:鑒別訪問控制器AAC收到證書鑒別響應分組后,進行如下處理:
2.1.5.1)檢查證書的驗證結果RESCert字段中的鑒別訪問控制器AAC的詢問NAAC與證書鑒別請求分組中的NAAC字段值是否相同,若不同,丟棄該分組;若相同,則執行2.1.5.2);
2.1.5.2)驗證鑒別訪問控制器AAC所信任的鑒別服務器AS的簽名SIGAS-AAC字段是否正確,若不正確,則丟棄該分組;若正確,則執行2.1.5.3);
2.1.5.3)檢查證書的驗證結果RESCert字段中CertREQ的驗證結果是否合法,若合法,則本地生成用于ECDH交換的密鑰數據以及鑒別訪問控制器AAC詢問NAAC,并根據請求者REQ的臨時公鑰x·P以及自己的臨時私鑰y進行ECDH計算得到基密鑰BK以及下一次身份鑒別過程的鑒別標識并保存,然后設定接入結果為成功,構造接入鑒別響應分組發送給請求者REQ,并允許用戶訪問網絡;所述本地生成用于ECDH交換的密鑰數據是鑒別訪問控制器AAC的臨時公鑰y·P;若CertREQ的驗證結果為不合法,則鑒別訪問控制器AAC設定接入結果為不成功,鑒別訪問控制器AAC的詢問NAAC和密鑰數據y·P可設置任意值,構造接入鑒別響應分組發送給請求者REQ,然后解除與請求者REQ的鏈路驗證,接入鑒別響應分組主要內容包括:NREQ、NAAC、AccRES、x·P、y·P、IDAAC、IDREQ、MRESCert以及SIGAAC或MIC;
其中:
NREQ字段:表示請求者REQ詢問,是請求者REQ產生的隨機數;該字段為可選字段,僅為單向鑒別過程時,接入鑒別響應分組需包含此字段;若存在,其值同請求者REQ發送的接入鑒別請求分組中NREQ字段的值;
NAAC字段:表鑒別訪問控制器AAC的詢問,是鑒別訪問控制器AAC產生的隨機數;該字段為可選字段,僅為單向鑒別過程時,接入鑒別響應分組需包含此字段;若存在,其值同鑒別訪問控制器AAC發送的證書鑒別請求分組中NAAC字段的值;
AccRES字段:表示接入結果,是鑒別訪問控制器AAC根據鑒別結果設定的接入成功或失敗以及失敗的原因;
x·P:表示請求者REQ的密鑰數據,是請求者REQ生成的用于ECDH交換的臨時公鑰x·P,其值同請求者REQ發送的接入鑒別請求分組中x·P字段的值;
y·P:表示鑒別訪問控制器AAC的密鑰數據,是鑒別訪問控制器AAC生成的用于ECDH交換的臨時公鑰y·P;
IDAAC字段:表示鑒別訪問控制器AAC的身份標識ID,是根據鑒別訪問控制器AAC的證書CertAAC字段得到;
IDREQ字段:表示請求者REQ的身份標識ID,是根據收到的接入鑒別請求分組中的請求者REQ的證書CertREQ字段得到;
MRESCert字段:表示復合的證書驗證結果,本字段是可選字段,僅為雙向鑒別過程時,在接入鑒別響應分組中需包含此字段;若存在,則該字段由證書鑒別響應分組中的各個字段組成,并且值相同;
SIGAAC字段:表示鑒別訪問控制器AAC的簽名,是鑒別訪問控制器AAC利用自己的私鑰對接入鑒別響應分組中除本字段外所有字段的簽名;
MIC字段:表示消息鑒別碼,是鑒別訪問控制器AAC利用鑒別過程中協商生成的基密鑰BK對接入鑒別響應分組中除了本字段外的所有字段及下一次證書鑒別過程的鑒別標識計算得到的雜湊值;
接入鑒別響應分組只需要包含SIGAAC字段和MIC字段二者之一即可;如果在此次身份鑒別過程中存在鑒別激活分組,且鑒別激活分組包含SIGAAC字段,則此分組中只包含MIC字段;如果此次身份鑒別過程不存在鑒別激活分組或者鑒別激活分組中沒有包含SIGAAC字段,則此分組中只包含SIGAAC字段;
2.1.6)接入鑒別確認:請求者REQ收到接入鑒別響應分組后,進行如下處理:
2.1.6.1)根據分組中的IDAAC和IDREQ字段判斷是否為對應當前接入鑒別請求分組的接入鑒別響應分組,如果不是,則丟棄該分組;若是,則執行2.1.6.2);
2.1.6.2)比較分組中請求者REQ密鑰數據x·P字段值與自己發送的接入鑒別請求分組中的x.P字段值是否一致,若不一致,則丟棄該分組,否則執行2.1.6.3);
2.1.6.3)如果是單向鑒別過程,則比較NREQ字段值與之前發送的接入鑒別請求分組中的NREQ字段值是否一致,若不一致,則丟棄該分組,否則執行2.1.6.4);如果是雙向鑒別過程,則直接執行2.1.6.4);
2.1.6.4)查看分組中的AccRES字段,如果接入結果為不成功,則解除與該鑒別訪問控制器AAC的鏈路驗證;否則執行2.1.6.5);
2.1.6.5)如果收到的接入鑒別響應分組中含有SIGAAC字段,則驗證SIGAAC的正確性,如果不正確,則丟棄該分組,否則執行2.1.6.6);如果收到的分組中含有MIC字段,則驗證MIC字段的正確性,如果不正確,則丟棄分組,否則執行2.1.6.6);
2.1.6.6)如果是單向鑒別過程,則執行2.1.6.8),否則驗證復合的證書驗證結果MRESCert字段中所包含的NREQ字段值與自己發送的接入鑒別請求分組中NREQ字段值是否一致,若不一致,則丟棄該分組;否則驗證簽名SIGAS-REQ是否正確,如果不正確則丟棄該分組,如果正確,則執行2.1.6.7);
2.1.6.7)驗證復合的證書驗證結果MRESCert字段中鑒別訪問控制器AAC證書驗證結果是否為合法,如果不合法,則得知該網絡不合法,不可以訪問該網絡;否則得到該網絡是合法的,可以進行訪問,并執行2.1.6.8);
2.1.6.8)請求者REQ根據鑒別訪問控制器AAC的臨時公鑰y·P和自己的臨時私鑰x進行ECDH計算得到基密鑰BK以及下一次證書鑒別過程的鑒別標識并保存;
2.1.6.9)如果收到的接入鑒別響應分組中含有MIC字段,則是否發送接入鑒別確認分組是可選的;如果收到的分組中含有鑒別訪問控制器AAC的簽名SIGAAC字段,則需要構造接入鑒別確認分組,發送給鑒別訪問控制器AAC,接入鑒別確認分組主要內容包括:MIC;
其中:
MIC字段:表示消息鑒別碼,是請求者REQ利用鑒別過程中協商生成的基密鑰BK對鑒別訪問控制器AAC詢問值NAAC、請求者REQ詢問值NREQ及下一次證書鑒別過程的鑒別標識計算得到的雜湊值。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于西安西電捷通無線網絡通信有限公司,未經西安西電捷通無線網絡通信有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/200910023628.2/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:礦用數字可視化安全帽通訊裝置
- 下一篇:一種無線上網卡及其身份認證方法和系統
