[发明专利]一种有线局域网的安全访问控制方法及其系统

说明书

技术领域

本发明涉及一种有线局域网的安全访问控制方法及其系统，特别涉及一种有线局域网LAN(Local Area Network)中用户接入网络时基于三元对等鉴别TePA(Tri-element Peer Authentication)机制的安全访问控制方法TLAC(Tri-elementLAN Access Contro1)及其系统。

背景技术

三元对等鉴别TePA技术是我国首次提出的一种终端与网络间对等鉴别的技术思想和框架方法，该技术定义了一种三元实体鉴别架构，基于对等鉴别的思想，可完成用户与网络之间的双向对等鉴别。

在有线局域网中，目前IEEE通过对IEEE802.3进行安全增强来实现链路层的安全，采用典型的安全接入架构协议IEEE 802.1x及基于IEEE802.1x鉴别的密钥管理协议等。IEEE802.1x的基本鉴别方法是在终端和接入点设备之外增加鉴别服务器，接入点设备利用鉴别服务器对终端的身份进行鉴别，从而实现对终端的安全接入控制。接入点设备直接转发终端和鉴别服务器间的鉴别信息，并不作为独立实体参与身份鉴别过程。这种模式仅能实现网络对终端身份的合法性鉴别，却不能满足终端对接入网络的合法性鉴别需求，无法实现终端与网络间的双向鉴别。终端无法对接入点设备的身份予以确认，即使后期在此类安全架构上通过增加安全补丁等措施来弥补安全漏洞，但不能彻底解决诸如中间人攻击、终端接入非法的网络等安全问题。这类安全接入技术协议延用至今，已经对产业发展造成严重的障碍。

发明内容

为了解决背景技术中存在的上述技术问题，本发明提供了一种可实现用户与网络之间的双向(单向)鉴别，又可实现终端与网络设备之间保密通信所使用的密钥协商的有线局域网的安全访问控制方法及其系统。

本发明的技术解决方案是：本发明提供了一种有线局域网的安全访问控制方法，其特殊之处在于：该方法包括以下步骤：

1)请求者REQ与鉴别访问控制器AAC进行安全策略协商；

2)请求者REQ与鉴别访问控制器AAC进行身份鉴别；

3)请求者REQ与鉴别访问控制器AAC进行密钥协商。

上述步骤1)的具体实现方式是：

1.1)安全策略协商请求：当请求者REQ接入鉴别访问控制器AAC时，鉴别访问控制器AAC向请求者REQ发送安全策略协商请求分组，该分组包括：TIE_ACC；

其中：

TIE_ACC字段：表示鉴别访问控制器AAC所支持的TePA的信息元素(TePA IE：TePA information element)，包含鉴别访问控制器AAC所支持的鉴别和密钥管理套件及密码套件；

1.2)安全策略协商响应：请求者REQ收到安全策略协商请求分组后，进行如下处理：

请求者REQ根据安全策略协商请求分组中TIE_ACC字段给出的鉴别访问控制器AAC所支持的鉴别和密钥管理套件及密码套件，结合本地策略选择一种双方共有的鉴别和密钥管理套件及密码套件，组成安全策略协商响应分组发送给鉴别访问控制器AAC；若请求者REQ不支持安全策略协商请求分组中鉴别访问控制器AAC所支持的任一鉴别和密钥管理套件或密码套件，根据本地策略可丢弃该分组；

安全策略协商响应分组的主要内容包括：TIE_REQ；

其中：

TIE_REQ字段：表示请求者REQ选择的TePA信息元素，包含请求者REQ所选择的鉴别和密钥管理套件及密码套件；

1.3)鉴别访问控制器AAC收到安全策略协商响应分组后，进行如下处理：

1.3.1)鉴别访问控制器AAC判断是否支持请求者REQ所选择的鉴别和密钥管理套件及密码套件，若不支持，则丢弃该分组；若支持，则执行1.3.2)；

1.3.2)根据请求者REQ选择的鉴别和密钥管理套件开始相应的身份鉴别。

上述步骤1.3)中当请求者REQ选择的鉴别和密钥管理套件是基于证书的鉴别和密钥管理套件时，其身份鉴别过程采用基于证书的鉴别协议TAEP-CAAP。

所述步骤2)的具体实现方式是：