专利名称:一种三元结构的对等访问控制系统的制作方法
技术领域:
本发明涉及一种网络访问控制系统,特别涉及一种三元结构的对等访问控制系统。
背景技术:
网络的基本功能是给各种终端提供网络服务,虽然终端可以物理的连接到网络上,但是连接到网络上的不一定是经过授权的合法终端,终端连接的也并不一定是它所需要的网络,因此在终端和网络通信前需要鉴别和授权功能来互相鉴别对方的合法性,即需要进行终端和网络间的双向访问控制,以保证通信的安全。
图1是终端和网络间的双向防问控制示意图,终端1通过接入控制器3接入网络4,在终端1开始使用网络4的资源之前,终端1和接入控制器3之间要完成访问控制2,即1、接入控制器3检查终端1是否有访问网络4的权限,即对终端1进行认证;2、终端1检查接入控制器3是否是合法的设备,防止数据被截取,即对网络4进行认证。
在认证中需要用到实体和元的概念,其中实体是指在网络结构中完成特定功能,能够独立存在的功能体,一般采用独立的设备实现;元是指在网络接入认证中具有认证功能的功能体。在网络中,实体如果具有认证功能,它就是一个元;如果实体没有认证功能,它就不是一个元。
根据参与认证的实体的数目不同,实现终端与网络的双向认证有两种网络结构形式,在可扩展的认证协议(RFC3748 Extensible Authentication Protocol,EAP)中有详细描述。
第一种网络结构参见图2所示的二元二实体结构,包括终端和接入控制器,终端对应实体一,接入控制器对应实体二。其中终端具有认证凭证、认证功能和控制是否接入网络的功能,对应元一;接入控制器具有认证凭证、认证功能和根据认证结果控制终端接入的功能,对应元二。在该网络结构中,终端和接入控制器都有认证功能,支持双向认证。
但是二元二实体结构不存在认证服务器,灵活性受到很大限制。而且终端的数量通常都比较多,如果接入控制器的数量也比较多,那么终端和接入控制器之间的关系就是多对多,非常难于管理。因此这种结构形式一般只用于接入控制器数量很少的情况下,其应用具有很大的局限性。
第二种网络结构参见图3所示的二元三实体结构,包括终端、接入控制器和服务器,分别对应实体一、实体二和实体三。其中终端具有认证凭证、认证功能和控制是否接入网络的功能,对应元;接入控制器具有根据认证结果控制终端接入的功能,没有认证功能;服务器具有认证凭证和认证功能,对应元二。二元三实体网络结构也叫透传(Pass-through)模式,在该网络结构中,终端和服务器都有认证功能,而接入控制器没有认证功能,所以该结构形式是通过将实体二作为实体三的中继来支持双向认证。
二元三实体结构的接入控制器虚化,只在终端和服务器之间进行认证,将多个终端对应多个接入控制器的关系演变为多个终端对应一个服务器的关系,即在它们之间建立信任关系A。但是最终需要在终端和接入控制器之间建立信任关系B,因此信任关系必须进行安全的转移,即从信任关系A转移到信任关系B。信任关系的转移是通过从服务器发送一个密钥给接入控制器来完成的。但是该密钥如果泄漏将严重影响网络安全,因此为了避免这一问题,接入控制器和服务器之间必须建立信任关系C和安全通道。而接入控制器收到密钥后,终端和接入控制器还必须确认信任关系B。所以,终端和接入控制器之间信任关系的建立需要经过三次信任关系的传递才能完成。而多次的信任关系传递不但导致认证的复杂而且可能影响网络的安全,应该尽量避免。
发明内容
本发明目的是提供一种安全实现终端与网络双向认证的三元结构对等访问控制系统,不但解决了现有的二元二实体结构访问控制系统中接入形式的灵活性受到限制、接入控制器数量不宜扩展的技术问题,而且解决了现有的二元三实体结构访问控制系统中信任关系建立的过程复杂且影响网络安全的技术问题。
本发明的技术解决方案是一种三元结构的对等访问控制系统,包括主体、鉴权者和认证服务器,所述主体包括主体的底层、主体的封装层、主体的对等体层和主体的认证方法层,所述主体的底层具有传送数据以及根据认证结果控制主体是否接入鉴权者的功能,所述主体的认证方法层具有根据认证凭证进行认证的功能;所述鉴权者包括鉴权者的底层、鉴权者的传输层、鉴权者的封装层和鉴权者的鉴权者层,所述鉴权者的底层具有控制鉴权者是否允许主体接入的功能;所述认证服务器包括认证服务器的传输层、认证服务器的封装层、认证服务器的对等体层和认证服务器的认证方法层,所述认证服务器的认证方法层具有根据认证凭证进行认证的功能;其特殊之处在于所述鉴权者还包括鉴权者的认证方法层,所述鉴权者的认证方法层具有根据认证凭证进行认证的功能;所述主体的认证方法层、鉴权者的认证方法层和认证服务器的认证方法层共同构成认证协议层;所述主体的认证方法层依次通过主体的对等体层、主体的封装层、主体的底层、鉴权者的底层、鉴权者的封装层、鉴权者的鉴权者层同鉴权者的认证方法层进行认证协议通信,所述鉴权者的认证方法层依次通过鉴权者的鉴权者层、鉴权者的封装层、鉴权者的底层、主体的底层、主体的封装层、主体的对等体层同主体的认证方法层进行认证协议通信;所述鉴权者的认证方法层依次通过鉴权者的鉴权者层、鉴权者的封装层、鉴权者的传输层、认证服务器的传输层、认证服务器的封装层、认证服务器的对等体层同认证服务器的认证方法层进行认证协议通信,所述认证服务器的认证方法层依次通过认证服务器的对等体层、认证服务器的封装层、认证服务器的传输层、鉴权者的传输层、鉴权者的封装层、鉴权者的鉴权者层同鉴权者的认证方法层进行认证协议通信。
上述主体的认证方法层同鉴权者的认证方法层进行的认证协议通信包含鉴权者的认证方法层发送给主体的认证方法层的请求消息和主体的认证方法层发送给鉴权者的认证方法层的响应消息,上述请求消息中包含一个类型字段,该类型字段是用来指示请求消息类型的字段,上述响应消息中包含一个类型字段,对应于请求消息中的类型字段。
上述鉴权者的认证方法层同认证服务器的认证方法层进行的认证协议通信包含鉴权者的认证方法层发送给认证服务器的认证方法层的请求消息和认证服务器的认证方法层向鉴权者的认证方法层响应消息,上述请求消息中包含一类型字段,该类型字段是用来指示请求消息类型的字段,所述响应消息中包含一个类型字段,对应于请求消息中的类型字段。
上述主体的具体结构形式是终端;上述鉴权者的具体结构形式是接入控制器;上述认证服务器的具体结构形式是服务器。
本发明的优点是1、安全性能高。在本发明网络结构形式下,终端(主体)和接入控制器(鉴权者)进行认证,需要通过服务器(认证服务器)的协助来完成。终端可以和接入控制器通信,不能和服务器通信,接入控制器可以和终端通信,也可以和服务器通信。终端、接入控制器和服务器都参与认证,直接在终端和接入控制器之间一次性建立信任关系,具有极好的安全性。
2、无需改变现有网络结构。本发明是三元结构,但是能和二元二实体结构兼容。对比图2和图4,可知在认证服务器不存在的情况下,本发明完全兼容于二元二实体的网络结构。因此不论对于二元二实体结构还是三元三实体结构,本发明都可以适用,充分符合现有的网络结构。
3、认证协议具有相对的独立性。在实现符合本发明的系统时,认证方法层可以使用已有的认证协议,也可设计新的认证协议。
图1是现有的终端和网络间的双向访问控制示意图;图2是现有技术二元二实体结构的网络访问控制系统的连接关系图;图3是现有技术二元三实体结构的网络访问控制系统的连接关系图;图4是本发明三元三实体结构的网络对等访问控制系统的连接关系图;图5是本发明三元三实体结构的网络对等访问控制系统的工作流程图;图6是本发明系统应用于一种具体证书鉴别过程的流程图;
其中1-终端,2-访问控制,3-接入控制器,4-网络。
具体实施例方式
本发明对等访问控制系统的具体结构见图4,包括终端、接入控制器和服务器,终端(对应于主体)包括底层(对应主体的底层)、封装层(对应主体的封装层)、对等体层(对应主体的对等体层)和认证方法层(对应主体的认证方法层),接入控制器(对应于鉴权者)包括底层(对应鉴权者的底层)、传输层(对应鉴权者的传输层)、封装层(对应鉴权者的封装层)、鉴权者层(对应鉴权者的鉴权者层)和认证方法层(对应鉴权者的认证方法层),服务器包括传输层(对应认证服务器的传输层)、封装层(对应认证服务器的封装层)、对等体层(对应认证服务器的对等体层)和认证方法层(对应认证服务器的认证方法层)。
终端具有认证凭证、认证功能和控制是否接入接入控制器的功能,其中终端的认证方法层具有根据认证凭证进行认证的功能,终端的底层具有传送数据以及根据认证结果控制终端是否接入接入控制器的功能;接入控制器具有认证凭证、认证功能和控制终端接入的功能,其中接入控制器的底层具有控制是否允许终端接入接入控制器的功能;接入控制器的认证方法层具有根据认证凭证进行认证的功能;服务器具有认证凭证和认证功能,是通过服务器的认证方法层来实现该功能的;终端的认证方法层、接入控制器的认证方法层和服务器的认证方法层共同构成认证协议层。
终端的认证方法层依次通过终端的对等体层、封装层、底层以及接入控制器的底层、封装层、鉴权者层来和接入控制器的认证方法层之间进行认证协议通信;接入控制器的认证方法层依次通过接入控制器的鉴权者层、封装层、底层以及终端的底层、封装层、对等体层来和终端的认证方法层之间进行认证协议通信。
接入控制器的认证方法层依次通过接入控制器的鉴权者层、封装层、传输层以及服务器的传输层、封装层、对等体层来和服务器的认证方法层之间进行认证协议通信;服务器的认证方法层依次通过服务器的对等体层、封装层、传输层以及接入控制器的传输层、封装层、鉴权者层来和接入控制器的认证方法层之间进行认证协议通信。
本发明系统的工作过程见图5,具体如下1、在终端中实现主体功能,在接入控制器中实现鉴权者功能,在服务器中实现认证服务器功能;2、在终端、接入控制器和服务器中实现认证方法的相应协议;3、接入控制器发送请求消息给终端要求开始认证,请求消息有一个类型字段指示请求的种类,类型可以是Identity,MD5-Chanllenge等;4、终端发送响应消息给接入控制器来响应有效的请求消息,响应消息中包含一个类型字段,对应于请求消息中的类型字段;5、接入控制器发送请求消息给终端,终端发送响应消息给接入控制器,请求消息和响应消息的序列根据需要持续交互;根据认证方法的不同,接入控制器必要时向服务器发送请求消息,而服务器向接入控制器发送响应消息,此请求消息和响应消息的序列会持续需要的长度;根据认证方法的不同,终端可以不对接入控制器发送的请求消息进行响应;6、对话一直持续到接入控制器不能认证终端,接入控制器或停止发送请求消息,结束消息交互,接入控制器将发送失败消息给终端,接入控制器不允许终端接入接入控制器;或者接入控制器判断成功的认证已经完成,接入控制器或停止发送请求消息,结束消息交互,或发送成功消息给终端,接入控制器允许终端接入接入控制器;此时终端和接入控制器之间的访问控制完成。
本发明的实施方式之一是在国标GB15629.11-2003/XG1-2006中定义的认证方法的模型下应用,该标准中描述的证书鉴别过程应用本发明步骤详见图6,具体如下图6中的ASUE是鉴别请求者实体,也就是终端,实现主体功能;AE是鉴别器实体,也就是接入控制器,实现鉴权者功能;ASE是鉴别服务单元,也就是服务器,实现认证服务器功能。标准中描述的认证方法在ASUE、AE和ASE中都要实现,符合本发明方法的模型,可以应用在本发明的系统中1]AE向ASUE发送请求消息;2]ASUE向AE发送响应消息;3]AE向ASE发送请求消息;
4]ASE向AE发送响应消息;5]AE向ASUE发送请求消息;6]ASUE收到请求消息,不需发送响应消息;7]AE停止发送消息。
消息中所包含的具体字段定义参见国标GB15629.11-2003/XG1-2006的定义。
本发明的实施方式之二是在Otway-Rees协议下应用,参见Otway,D.andRess,O.,“Efficient and timely mutual authentication”ACEOSR,Vol.21,No.1,pp.8-10,Jan.1987。该协议是用于身份认证的,不能在以前的网络结构形式下应用。本发明的系统与该协议结合,其具体步骤如下参与者为Alice、Bob和Trent。
1]Bob发送请求消息要求开始认证;2]Alice生成一条消息,其中包括一个索引号码、她的身份、Bob的身份和一个随机数,并将这条消息采用她和Trent的共享密钥加密。然后,将密文连同索引号、Alice和Bob的身份一起发送给Bob;3]Bob生成一条消息,其中包括一个新的随机数、索引号、Alice和Bob的身份,并将这条消息采用他和Trent的共享密钥加密。然后,将密文连同Alice的密文、索引号、Alice和Bob的身份一起发送给Trent;4]Trent生成一个随机的会话密钥。此后,生成两条消息。第一条消息是将Alice的随机数和会话密钥采用他和Alice的共享密钥加密。第二条消息是将Bob的随机数和会话密钥采用他和Bob的共享密钥加密。最后,Trent将这两条消息连同索引号一起发送给Bob。
5]Bob将属于Alice的那条消息连同索引号一起发送给Alice。
6]如果所有的随机数都匹配,而且通信过程中索引号没有被改动,那么认证成功。
可以看出,Alice、Bob和Trent分别实现主体、鉴权者和认证服务器功能,该认证协议可以在本发明的系统中应用。
本发明原理认证协议是两个或两个以上的参与者为完成认证而采取的一系列步骤。主体、鉴权者和认证服务器的认证方法层是认证协议在各个参与者中的实现,它们共同构成认证协议层,完成认证协议功能。
本发明对终端、接入控制器和服务器的功能进行了调整,使接入控制器具有认证凭证和认证功能,将网络结构形式变成三元三实体实体一/元一终端(实体一),具有认证凭证、认证功能和控制是否接入网络的功能(元一)。
实体二/元二接入控制器(实体二),具有认证凭证、认证功能和根据认证结果控制终端接入的功能(元二)。
实体三/元三服务器(实体三),具有认证凭证和认证功能(元三)。
在这种结构形式下,终端(主体)和接入控制器(鉴权者)进行认证,需要通过服务器(认证服务器)的协助来完成。终端可以和接入控制器通信,不能和服务器通信,接入控制器可以和终端通信,也可以和服务器通信。终端、接入控制器和服务器都参与认证,直接在终端和接入控制器之间一次性建立信任关系,具有极好的安全性。
如果认证协议只需要主体和鉴权者参与,则主体的认证方法层和鉴权者的认证方法层共同构成认证协议层,共同完成认证协议功能。如果主体和鉴权者进行认证需要服务器的参与,则需要主体的认证方法层、鉴权者的认证方法层和认证服务器的认证方法层共同构成认证协议层,共同完成认证协议功能;三者之间可以运行同一个认证协议,也可以两两之间运行不同的认证协议,但本质上两两之间的消息是有关联的,共同完成一个目的,即完成主体和鉴权者之间的认证。
在本技术领域中,底层、传输层、封装层、对等体层、鉴权者层和认证方法层的概念如下底层底层和传输层负责在对等体和鉴权者之间传送和接收TEAP帧,该传输层是逻辑概念,表示该层和相邻的底层可以不是同一种技术。
封装层封装层通过底层传送和接收数据包,实现重复帧检测和重传、在对等体层和鉴权者层之间传送消息。
对等体层和鉴权者层对等体层和鉴权者层解析收到的数据包,传送到对等体层或鉴权者层。
认证方法层认证方法层实现了认证算法,通过对等体层和鉴权者层传送消息。
权利要求
1.一种三元结构的对等访问控制系统,包括主体、鉴权者和认证服务器,所述主体包括主体的底层、主体的封装层、主体的对等体层和主体的认证方法层,所述主体的底层具有传送数据以及根据认证结果控制主体是否接入鉴权者的功能,所述主体的认证方法层具有根据认证凭证进行认证的功能;所述鉴权者包括鉴权者的底层、鉴权者的传输层、鉴权者的封装层和鉴权者的鉴权者层,所述鉴权者的底层具有控制是否允许主体接入鉴权者的功能;所述认证服务器包括认证服务器的传输层、认证服务器的封装层、认证服务器的对等体层和认证服务器的认证方法层,所述认证服务器的认证方法层具有根据认证凭证进行认证的功能;其特征在于所述鉴权者还包括鉴权者的认证方法层,所述鉴权者的认证方法层具有根据认证凭证进行认证的功能;所述主体的认证方法层、鉴权者的认证方法层和认证服务器的认证方法层共同构成认证协议层;所述主体的认证方法层依次通过主体的对等体层、主体的封装层、主体的底层、鉴权者的底层、鉴权者的封装层、鉴权者的鉴权者层同鉴权者的认证方法层进行认证协议通信,所述鉴权者的认证方法层依次通过鉴权者的鉴权者层、鉴权者的封装层、鉴权者的底层、主体的底层、主体的封装层、主体的对等体层同主体的认证方法层进行认证协议通信;所述鉴权者的认证方法层依次通过鉴权者的鉴权者层、鉴权者的封装层、鉴权者的传输层、认证服务器的传输层、认证服务器的封装层、认证服务器的对等体层同认证服务器的认证方法层进行认证协议通信,所述认证服务器的认证方法层依次通过认证服务器的对等体层、认证服务器的封装层、认证服务器的传输层、鉴权者的传输层、鉴权者的封装层、鉴权者的鉴权者层同鉴权者的认证方法层进行认证协议通信。
2.根据权利要求1所述的三元结构的对等访问控制系统,其特征在于所述主体的认证方法层同鉴权者的认证方法层进行的认证协议通信包含鉴权者的认证方法层发送给主体的认证方法层的请求消息和主体的认证方法层发送给鉴权者的认证方法层的响应消息,所述请求消息中包含一个类型字段,该类型字段是用来指示请求消息类型的字段,所述响应消息中包含一个类型字段,对应于请求消息中的类型字段。
3.根据权利要求1所述的三元结构的对等访问控制系统,其特征在于所述鉴权者的认证方法层同认证服务器的认证方法层进行的认证协议通信包含鉴权者的认证方法层发送给认证服务器的认证方法层的请求消息和认证服务器的认证方法层发送给鉴权者的认证方法层的响应消息,所述请求消息中包含一个类型字段,该类型字段是用来指示请求消息类型的字段,所述响应消息中包含一个类型字段,对应于请求消息中的类型字段。
4.根据权利要求1或2或3所述的三元结构的对等访问控制系统,其特征在于所述主体的具体结构形式是终端;所述鉴权者的具体结构形式是接入控制器;所述认证服务器的具体结构形式是服务器。
全文摘要
本发明涉及一种可安全实现终端与网络双向认证的三元结构的对等访问控制系统,其在现有二元三实体结构的接入控制器上设置了认证方法层,该认证方法层具有根据认证凭证进行认证的功能,形成了三元三实体结构,使得终端、接入控制器和服务器都参与认证,直接在终端和接入控制器之间一次性建立信任关系;本发明系统不但解决了现有的二元二实体结构访问控制系统中接入形式的灵活性受到限制、接入控制器数量不宜扩展的技术问题,而且解决了现有的二元三实体结构访问控制系统中信任关系建立的过程复杂且影响网络安全的技术问题,具有安全性能高、无需改变现有网络结构、认证协议具有相对的独立性的优点。
文档编号H04L9/32GK1976338SQ20061010520
公开日2007年6月6日 申请日期2006年12月18日 优先权日2006年12月18日
发明者赖晓龙, 曹军, 铁满霞, 张变玲 申请人:西安西电捷通无线网络通信有限公司