技術(shù)領(lǐng)域

本發(fā)明涉及一種有線局域網(wǎng)的安全訪問控制方法及其系統(tǒng)，特別涉及一種有線局域網(wǎng)LAN(Local?Area?Network)中用戶接入網(wǎng)絡(luò)時基于三元對等鑒別TePA(Tri-element?Peer?Authentication)機制的安全訪問控制方法TLAC(Tri-elementLAN?Access?Contro1)及其系統(tǒng)。

背景技術(shù)

三元對等鑒別TePA技術(shù)是我國首次提出的一種終端與網(wǎng)絡(luò)間對等鑒別的技術(shù)思想和框架方法，該技術(shù)定義了一種三元實體鑒別架構(gòu)，基于對等鑒別的思想，可完成用戶與網(wǎng)絡(luò)之間的雙向?qū)Φ辱b別。

在有線局域網(wǎng)中，目前IEEE通過對IEEE802.3進(jìn)行安全增強來實現(xiàn)鏈路層的安全，采用典型的安全接入架構(gòu)協(xié)議IEEE?802.1x及基于IEEE802.1x鑒別的密鑰管理協(xié)議等。IEEE802.1x的基本鑒別方法是在終端和接入點設(shè)備之外增加鑒別服務(wù)器，接入點設(shè)備利用鑒別服務(wù)器對終端的身份進(jìn)行鑒別，從而實現(xiàn)對終端的安全接入控制。接入點設(shè)備直接轉(zhuǎn)發(fā)終端和鑒別服務(wù)器間的鑒別信息，并不作為獨立實體參與身份鑒別過程。這種模式僅能實現(xiàn)網(wǎng)絡(luò)對終端身份的合法性鑒別，卻不能滿足終端對接入網(wǎng)絡(luò)的合法性鑒別需求，無法實現(xiàn)終端與網(wǎng)絡(luò)間的雙向鑒別。終端無法對接入點設(shè)備的身份予以確認(rèn)，即使后期在此類安全架構(gòu)上通過增加安全補丁等措施來彌補安全漏洞，但不能徹底解決諸如中間人攻擊、終端接入非法的網(wǎng)絡(luò)等安全問題。這類安全接入技術(shù)協(xié)議延用至今，已經(jīng)對產(chǎn)業(yè)發(fā)展造成嚴(yán)重的障礙。

發(fā)明內(nèi)容

為了解決背景技術(shù)中存在的上述技術(shù)問題，本發(fā)明提供了一種可實現(xiàn)用戶與網(wǎng)絡(luò)之間的雙向(單向)鑒別，又可實現(xiàn)終端與網(wǎng)絡(luò)設(shè)備之間保密通信所使用的密鑰協(xié)商的有線局域網(wǎng)的安全訪問控制方法及其系統(tǒng)。

本發(fā)明的技術(shù)解決方案是：本發(fā)明提供了一種有線局域網(wǎng)的安全訪問控制方法，其特殊之處在于：該方法包括以下步驟：

1)請求者REQ與鑒別訪問控制器AAC進(jìn)行安全策略協(xié)商；

2)請求者REQ與鑒別訪問控制器AAC進(jìn)行身份鑒別；

3)請求者REQ與鑒別訪問控制器AAC進(jìn)行密鑰協(xié)商。

上述步驟1)的具體實現(xiàn)方式是：

1.1)安全策略協(xié)商請求：當(dāng)請求者REQ接入鑒別訪問控制器AAC時，鑒別訪問控制器AAC向請求者REQ發(fā)送安全策略協(xié)商請求分組，該分組包括：TIE_ACC；

其中：

TIE_ACC字段：表示鑒別訪問控制器AAC所支持的TePA的信息元素(TePA?IE：TePA?information?element)，包含鑒別訪問控制器AAC所支持的鑒別和密鑰管理套件及密碼套件；

1.2)安全策略協(xié)商響應(yīng)：請求者REQ收到安全策略協(xié)商請求分組后，進(jìn)行如下處理：

請求者REQ根據(jù)安全策略協(xié)商請求分組中TIE_ACC字段給出的鑒別訪問控制器AAC所支持的鑒別和密鑰管理套件及密碼套件，結(jié)合本地策略選擇一種雙方共有的鑒別和密鑰管理套件及密碼套件，組成安全策略協(xié)商響應(yīng)分組發(fā)送給鑒別訪問控制器AAC；若請求者REQ不支持安全策略協(xié)商請求分組中鑒別訪問控制器AAC所支持的任一鑒別和密鑰管理套件或密碼套件，根據(jù)本地策略可丟棄該分組；

安全策略協(xié)商響應(yīng)分組的主要內(nèi)容包括：TIE_REQ；

其中：

TIE_REQ字段：表示請求者REQ選擇的TePA信息元素，包含請求者REQ所選擇的鑒別和密鑰管理套件及密碼套件；

1.3)鑒別訪問控制器AAC收到安全策略協(xié)商響應(yīng)分組后，進(jìn)行如下處理：

1.3.1)鑒別訪問控制器AAC判斷是否支持請求者REQ所選擇的鑒別和密鑰管理套件及密碼套件，若不支持，則丟棄該分組；若支持，則執(zhí)行1.3.2)；

1.3.2)根據(jù)請求者REQ選擇的鑒別和密鑰管理套件開始相應(yīng)的身份鑒別。

上述步驟1.3)中當(dāng)請求者REQ選擇的鑒別和密鑰管理套件是基于證書的鑒別和密鑰管理套件時，其身份鑒別過程采用基于證書的鑒別協(xié)議TAEP-CAAP。

所述步驟2)的具體實現(xiàn)方式是：