專利名稱:實現(xiàn)可信信息傳遞的方法�����、系統(tǒng)和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域��,特別涉及實現(xiàn)可信信息傳遞的方法���、系統(tǒng)和設(shè)備。
技術(shù)背景由康柏�、惠普�、IBM�、 Intel和微軟牽頭組織了可信計算集團(Trusted Computing Group, TCG),致力于在計算平臺體系結(jié)構(gòu)上增強其安全性���,為高可信計算制定開放的標(biāo)準(zhǔn),并發(fā)布 了可信平臺模塊(Trusted Platform Module, TPM)規(guī)范���,為了給TCG發(fā)布的TPM提供一種 應(yīng)用支持�,TCG發(fā)布了可信網(wǎng)絡(luò)連接(Trusted Network Connect, TNC)規(guī)范��。其主要目的 是通過使用可信主機提供的終端技術(shù)���,實現(xiàn)網(wǎng)絡(luò)訪問控制的協(xié)同工作���。參見圖1,為TNC體系結(jié)構(gòu)示意圖��,如圖所示��,包括網(wǎng)絡(luò)訪問請求者(Access Requestor, AR)�����、策略執(zhí)行點(Policy Enforcement Point, PEP)和策略決策點(Policy Decision Point, PDP),其中�,AR,是用于請求訪問受保護網(wǎng)絡(luò)的邏輯實體(可能是一臺或多臺物理計算機或者一個獨 立的程序)����,包括網(wǎng)絡(luò)訪問請求模塊、可信客戶端和可信信息測量模塊(該AR實體中可以有 一個或多個可信信息測量模塊)�;其中,網(wǎng)絡(luò)訪問請求模塊負(fù)責(zé)發(fā)起網(wǎng)絡(luò)請求���;可信信息測量 模塊負(fù)責(zé)測量與AR實體完整性相關(guān)的可信信息(例如操作系統(tǒng)安全性�����、殺毒軟件�、防火墻����、 應(yīng)用軟件版本等信息;可信客戶端負(fù)責(zé)收集可信信息����,并將這些信息發(fā)送給對端PDP的可信 服務(wù)端進(jìn)行可信驗證。PEP,用于控制AR對受保護網(wǎng)絡(luò)的訪問��,與PDP交互并控制AR對網(wǎng)絡(luò)的訪問。 PDP�,用于根據(jù)預(yù)設(shè)的特定網(wǎng)絡(luò)訪問策略,檢查AR的訪問認(rèn)證資格�����,決定是否授權(quán)AR訪 問可信網(wǎng)絡(luò)��。包括網(wǎng)絡(luò)訪問決策模塊�����、可信服務(wù)端和可信信息驗證模塊����,其中�,網(wǎng)絡(luò)訪問 決策模塊用于通過向可信服務(wù)端詢問AR的完整性是否滿足本地安全策略,而決定AR是否應(yīng) 該得到訪問授權(quán)�����;可信服務(wù)端用于管理可信信息驗證模^t和AR的可信信息測量模塊之間的消 息交互��,將驗證結(jié)果與本地安全策略相比較�,做出最終的全局評估結(jié)果(例如�,可能是驗證 成功���、失敗或建議修復(fù)等)����;可信信息驗證模塊用于驗證從AR的可信信息測量模塊傳遞的接 入終端的可信信息���,其中�,由于接入終端可能存在多種可信信息�,且可信信息驗證方法與具體廠商和產(chǎn)品相關(guān),因而一個PDP中可以存在一個或多個可信信息驗證模塊���?����;谏鲜鯰NC體系結(jié)構(gòu)���,發(fā)明人在實現(xiàn)本發(fā)明時發(fā)現(xiàn),現(xiàn)有的TNC體系結(jié)構(gòu)規(guī)范中�,IF-T 標(biāo)準(zhǔn)文檔定義的EAP-TNC方法中,數(shù)據(jù)報文格式太過簡單����,時間序列也很粗糙��。并且�,現(xiàn)有 的標(biāo)準(zhǔn)中�,EAP-TNC沒有給出可信修復(fù)、可信簽名以及其它保證網(wǎng)絡(luò)可信的手段所需要的通 信場景的交互流程和數(shù)據(jù)傳遞方法���,僅適用于接入認(rèn)證的單一場景���,且EAP-TNC的協(xié)議數(shù)據(jù) 報文中的分片標(biāo)識位Flags字段和協(xié)議版本Ver字段總共8位,Ver字段置于Flags字段之 后��,既不符合協(xié)議版本兼容的設(shè)計方法����,又使得協(xié)議設(shè)置和擴展的空間非常小�����,不適合可信 接入技術(shù)今后發(fā)展所需要承載多種新型數(shù)據(jù)的要求�。另外,當(dāng)前的IF-T協(xié)議沒有規(guī)定如何傳 遞認(rèn)證失敗信息以及如何傳遞相關(guān)的可信修復(fù)信息���。發(fā)明內(nèi)容為了在可信信息認(rèn)證系統(tǒng)中���,實現(xiàn)各類可信信息的有效傳遞���,本發(fā)明實施例提供了實現(xiàn)可信信息傳遞的方法、系統(tǒng)和設(shè)備��。所述技術(shù)方案如下一方面���,提供了一種實現(xiàn)可信信息傳遞的方法��,所述方法包括服務(wù)器向接入終端發(fā)送基于EAP — ETNC的請求消息�����;所述請求消息用于向所述接入終端 請求進(jìn)行驗證所需要的信息��;接收來自所述接入終端的基于EAP—ETNC的響應(yīng)消息����,所述響應(yīng)消息中攜帶進(jìn)行驗證所 需要的信息���;根據(jù)所述信息對所述接入終端進(jìn)行驗證����,向所述接入終端發(fā)送基于EAP-ETNC的攜帶驗證 結(jié)果的消息。一方面���,提供了一種實現(xiàn)可信信息傳遞的系統(tǒng)���,所述系統(tǒng)包括接入終端和服務(wù)器;其中����,所述接入終端,用于接收所述服務(wù)器發(fā)送基于EAP—ETNC的請求消息�;向所述服務(wù)器發(fā) 送基于EAP — ETNC的響應(yīng)消息,所述響應(yīng)消息中攜帶進(jìn)行驗證所需要的信息�����;并接收所述服 務(wù)器發(fā)送的基于EAP-ETNC的攜帶驗證結(jié)果的消息�;所述服務(wù)器�����,用于向所述接入終端發(fā)送基于EAP—ETNC的請求消息;所述請求消息用于 向所述接入終端請求進(jìn)行驗證所需要的信息�����;接收來自所述接入終端的基于EAP—ETNC的響 應(yīng)消息�����,所述響應(yīng)消息中攜帶進(jìn)行驗證所需要的信息��;根據(jù)所述信息對所述接入終端進(jìn)行驗 證��,向所述接入終端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息��。另一方面����,提供了一種服務(wù)器,所述服務(wù)器包括獲取模塊����,用于向接入終端發(fā)送基于EAP—ETNC的請求消息;所述請求消息用于向所述 接入終端請求進(jìn)行驗證所需要的信息�;接收來自所述接入終端的基于EAP—ETNC的響應(yīng)消息, 所述響應(yīng)消息中攜帶進(jìn)行驗證所需要的信息�����;獲取所述響應(yīng)消息中攜帶的信息;處理模塊��,用于根據(jù)所述獲取模塊獲取的信息對所述接入終端進(jìn)行驗證���,向所述接入終端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息����。另一方面���,提供了一種終端�,所述終端包括接收模塊和發(fā)送模塊����,所述接收模塊,用于接收服務(wù)器發(fā)送基于EAP—ETNC的請求消息�����;并接收所述服務(wù)器發(fā) 送的基于EAP-ETNC的攜帶驗證結(jié)果的消息��;所述發(fā)送模塊����,用于根據(jù)接收模塊接收到的請求消息,向所述服務(wù)器發(fā)送基于EAP—ETNC 的響應(yīng)消息���,所述響應(yīng)消息中攜帶進(jìn)行驗證所需要的信息����。本發(fā)明實施例提供的技術(shù)方案的有益效果是通過本發(fā)明提供的EAP-ETNC協(xié)議���,實現(xiàn)可信接入����、可信修復(fù)和可信簽名信息傳遞��,并且 可以對EAP-ETNC進(jìn)行擴展�,以滿足可信接入技術(shù)今后發(fā)展所需要承載多種新型數(shù)據(jù)的要求。
圖1是現(xiàn)有技術(shù)提供的TNC體系結(jié)構(gòu)示意圖����。 圖2是本發(fā)明實施例1提供的EAP-ETNC協(xié)議數(shù)據(jù)報文格式示意圖。 圖3是本發(fā)明實施例1提供的LEN置1時的數(shù)據(jù)域格式示意圖�。 圖4是本發(fā)明實施例1提供的FIN置1時的數(shù)據(jù)域格式示意圖。 圖5是本發(fā)明實施例1提供的通信場景示意圖��。圖6是本發(fā)明實施例1提供的基于EAP-ETNC協(xié)議實現(xiàn)可信信息傳遞的方法流程示意圖。 圖7是本發(fā)明實施例1提供的接入端狀態(tài)機示意圖�����。 圖8是本發(fā)明實施例1提供的認(rèn)證端狀態(tài)機示意圖���。 圖9是本發(fā)明實施例1提供的代理狀態(tài)機示意圖�。圖10是本發(fā)明實施例1提供的有間代理的可信修復(fù)認(rèn)證時序流程示意圖�。圖11是本發(fā)明實施例1提供的無中間代理的可信簽名認(rèn)證的時序流程示意圖。圖12是本發(fā)明實施例2提供的基于EAP-ETNC協(xié)議實現(xiàn)可信信息傳遞的系統(tǒng)示意圖����。圖13是本發(fā)明實施例2提供的基于EAP-ETNC協(xié)議實現(xiàn)可信信息傳遞的系統(tǒng)的另一示意圖。圖14是本發(fā)明實施例3提供的服務(wù)器的示意圖����。圖15是本發(fā)明實施例4提供的終端的示意圖。 圖16是本發(fā)明實施例5提供的代理設(shè)備示意圖��。
具體實施方式
為使本發(fā)明的目的�、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合附圖對本發(fā)明實施方式作進(jìn) 一步地詳細(xì)描述��。針對現(xiàn)有的TNC體系結(jié)構(gòu)規(guī)范中涉及的EAP-TNC的數(shù)據(jù)報文格式過于簡單���,且無法完成 可信修復(fù)����、可信簽名以及其它保證網(wǎng)絡(luò)可信的手段所需要的通信場景的交互流程和數(shù)據(jù)傳遞 的問題��,本發(fā)明實施例提供了一種實現(xiàn)可信信息傳遞的方法��,該方法內(nèi)容如下服務(wù)器向接 入終端發(fā)送基于EAP—ETNC的請求消息��;請求消息用于向接入終端請求進(jìn)行驗證所需要的信 息��;接收來自接入終端的基于EAP—ETNC的響應(yīng)消息�����,響應(yīng)消息中攜帶進(jìn)行驗證所需要的信 息�;根據(jù)信息對接入終端進(jìn)行驗證,向接入終端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息����。利用本發(fā)明實施例提供的方法可以實現(xiàn)可信接入、可信修復(fù)和可信簽名信息傳遞���,并且 可以對EAP-ETNC進(jìn)行擴展�,以滿足可信接入技術(shù)今后發(fā)展所需要承載多種新型數(shù)據(jù)的要求。針對上述本發(fā)明實施例提供的實現(xiàn)可信信息傳遞的方法���,參見圖2���,為本發(fā)明實施例提 供的EAP-ETNC(增強的EAP-TNC)協(xié)議數(shù)據(jù)報文格式示意圖,其中(1) EAP協(xié)議頭中的代碼Code字段代表傳送的數(shù)據(jù)的類型:例如表示是請求消息Request ���, 還是響應(yīng)消息Response;識別Identifier字段用來驗證發(fā)出的請求消息Request是否和收 到的響應(yīng)消息Response匹配����;報文長度Length字段表示了 EAP報文的報文長度�����。(2) EAP—ETNC協(xié)議頭包括類型Type字段�,版本Version字段和標(biāo)志位Flags字段。 其中�,Type字段可以定為138,長度為1字節(jié)����;Version字段為版本號,可以設(shè)置為1; Flags 字段為標(biāo)志位�,長度為2字節(jié)�����,這種字段的設(shè)置方法克服了原有EAP-TNC方法版本域和標(biāo)志 位域擴展性差的缺點���,并且預(yù)留10位標(biāo)志位RSV�����,以滿足日后擴展的要求���。(3) EAP-ETNC數(shù)據(jù)域字段Data��,該字段為用于傳遞具體數(shù)據(jù)的載體空間�,其中�,根據(jù)EAP 一ETNC協(xié)議頭中的標(biāo)志位Flags字段中的具體標(biāo)志位的不同,該數(shù)據(jù)域會有不同的實現(xiàn)格式�����, 參見下文下面詳細(xì)說明上述EAP—ETNC協(xié)議頭中的標(biāo)志位Flags字段中的標(biāo)志位以及其相應(yīng)的數(shù) 據(jù)域字段Data格式一�����、LEN標(biāo)識符(指示數(shù)據(jù)域是否包含長度的標(biāo)識位)該LEN標(biāo)識符用于指示數(shù)據(jù)的長度,例如����,當(dāng)該LEN標(biāo)識符置1時,表示數(shù)據(jù)域的前N位為數(shù)據(jù)長度Data Length,其中���,該數(shù)值N優(yōu)選取值位為32�。參見圖3�,提供了 LEN置1 時的數(shù)據(jù)域格式示意圖,如圖所示����,LEN置1,該數(shù)據(jù)域的中存在指示數(shù)據(jù)長度的空間Data Length,例如����,存在32位的數(shù)據(jù)長度Data Length。
特別地�,當(dāng)采用分片的形式傳輸數(shù)據(jù)時,第一片數(shù)據(jù)必須設(shè)置此字段�����,并在數(shù)據(jù)域的前 32位給出分片前整個數(shù)據(jù)的長度,其它分片數(shù)據(jù)的傳輸中�����,此LEN標(biāo)識符位必須置O�。
二、 MFG標(biāo)識符(指示是否具有下一片分片的標(biāo)識位)
該MFG標(biāo)識符用于指示當(dāng)采用分片的形式傳輸數(shù)據(jù)時�,當(dāng)前傳輸?shù)臄?shù)據(jù)是否為最后一個 分片。例如�,MFG位置O表示當(dāng)前報文是數(shù)據(jù)的最后一個分片;該位置l,表示當(dāng)前報文為所 要傳輸數(shù)據(jù)的眾多分片之一����,而非所要傳輸數(shù)據(jù)的最后一個分片����。
三、 STR標(biāo)識符(起始報文標(biāo)識位)
該STR標(biāo)識符用于指示攜帶的數(shù)據(jù)是否為空�,例如,STR位置1時��,表示當(dāng)前報文為該 方法會話的起始報文����,攜帶的數(shù)據(jù)為空。其中,例如����,接入終端AR收到STR置1的空數(shù)據(jù)請 求后,可以回復(fù)STR置1的空數(shù)據(jù)響應(yīng)��;或可以回復(fù)STR置O����, TSC置1的數(shù)據(jù)域攜帶接入終 端AR擁有的可信簽名的響應(yīng)。
四�、 RCV & TSC標(biāo)識符(指示標(biāo)識位)
釆用兩個標(biāo)志位進(jìn)行基于全譯碼方式組合使用。其中�,RCV置1代表與修復(fù)相關(guān),TSC置 l代表與證書相關(guān)�����,兩個字段均置1時表示認(rèn)證請求��,參見表l��,提供了RCV&TSC標(biāo)識符和 數(shù)據(jù)域的關(guān)系示意表����。
表1 RCV & TSC標(biāo)志符和和數(shù)據(jù)域的關(guān)系示意表
RCVTSCData域攜帶數(shù)據(jù)
00普通認(rèn)證的TNC客戶/服務(wù)接收IF-TNCCS數(shù)據(jù)
01證書認(rèn)證的可信服務(wù)器下發(fā)的可信簽名TISA-TS數(shù)據(jù)
10修復(fù)認(rèn)證的修復(fù)標(biāo)識及相關(guān)數(shù)據(jù)����,也可做修復(fù)請求認(rèn)證
11請求認(rèn)證的來自服務(wù)器����,可選擇回復(fù)00或01并攜帶相關(guān)數(shù)據(jù)
五、FIN標(biāo)識符(結(jié)束報文標(biāo)識位)
FIN標(biāo)識符用于指示當(dāng)前傳送的數(shù)據(jù)是否為本次EAP決前的最后一個數(shù)據(jù)報文�。例如, 當(dāng)該位置l�,表示當(dāng)前報文為本次會話EAP決策前的最后一個報文,相應(yīng)地�����,數(shù)據(jù)域Data中 存在過濾器標(biāo)識符Filter-ID�、決策結(jié)果標(biāo)識符Result-code,例如����,設(shè)置數(shù)據(jù)域Data中的 前8位為過濾器標(biāo)識符Filter-ID,用于攜帶策略執(zhí)行點PEP (如�,EAP中間代理或協(xié)議轉(zhuǎn)換 器)所需要的過濾器ID,(其中�����,過濾器Filter用于在終端對可信網(wǎng)絡(luò)進(jìn)行訪問時,實施訪
14問控制功能)�,相應(yīng)地,策略執(zhí)行點PEP收到該類型的數(shù)據(jù)報文進(jìn)行處理后���,要把該過濾器標(biāo) 識符Filter-ID字段置空后才能繼續(xù)傳輸����,從而保證了隔離接入終端AR和可信網(wǎng)絡(luò)的目的����, 確保了可信網(wǎng)絡(luò)的安全性和可靠性;設(shè)置數(shù)據(jù)域Data中的次8位為決策結(jié)果標(biāo)識符 Result-code,如設(shè)置"l"代表決策為可信認(rèn)證成功Success, "2"代表可信認(rèn)證失敗Failure, "3"代表需要進(jìn)行可信修復(fù)Remedy,當(dāng)設(shè)置為"2"或"3"時��,數(shù)據(jù)域Data中會包含相關(guān) 信息��,例如當(dāng)Result-code置為"3"�����,在數(shù)據(jù)域Data中攜帶用于進(jìn)行修復(fù)的相關(guān)數(shù)據(jù)信息��。 參見圖4提供了FIN置1時的數(shù)據(jù)域格式示意圖����。如圖所示�����,當(dāng)該FIN置1時���,數(shù)據(jù)域字段 Data中包括過濾器標(biāo)識符Filter-ID和決策結(jié)果標(biāo)識符Result-code。 六���、RSV標(biāo)識符(保留標(biāo)識位)
該RSV標(biāo)識符為保留位��,用于供該EAP-ETNC協(xié)議版本升級和擴展使用�����,通常該位置位0��, 如圖所示2����,預(yù)留了 IO位RSV標(biāo)識符���。當(dāng)對該EAP-ETNC協(xié)議版進(jìn)行擴展使用時,可以根據(jù) 具體的需要�����,選擇其中的一個或幾個RSV標(biāo)識符設(shè)置新的含義。
實施例1
基于上述定義的EAP-ETNC(增強的EAP-TNC)協(xié)議數(shù)據(jù)報文格式���,下面將論述如何基于 EAP-ETNC協(xié)議實現(xiàn)可信信息傳遞的方法����,以圖5提供的通信場景示意圖為例�,其中,AR為接 入終端���、PEP為策略執(zhí)行點(或稱為代理)�����、PDP為策略決策點(具體為接入服務(wù)器)�����、TRS為 位于可信修復(fù)網(wǎng)絡(luò)中的修復(fù)服務(wù)器���,TISA (Trusted Information Sign Agent,可信信息簽 名機構(gòu))為下發(fā)可信簽名的服務(wù)器。參見圖6����,該方法內(nèi)容如下
101:接入終端AR提供用戶名�����,請求接入可信網(wǎng)絡(luò)����。具體內(nèi)容為
接入終端AR通過認(rèn)證信息的攜帶協(xié)議(IF-PEP��,在具體實現(xiàn)中可以采用 RADIUS/PANA/Diameter或者它們的結(jié)合認(rèn)證方法)請求接入可信網(wǎng)絡(luò)�,接入終端AR等待可 信網(wǎng)絡(luò)的服務(wù)器的EAP-Identity方法報文到達(dá)時,提供用戶名�;Tunnel EAP交互,建立安 全隧道�����,啟動EAP-ETNC方法���;
102:服務(wù)器收到接入終端AR的接入請求�����,根據(jù)獲取的AR的用戶名����,發(fā)送一個STR置l����、 RCV & TSC置11或10的空報文。
其中�����,STR置1表示當(dāng)前報文為該方法會話的起始報文�,攜帶的數(shù)據(jù)為空;
其中���,RCV & TSC置11表示該報文用于進(jìn)行請求認(rèn)證�����;RCV & TSC置10表示該報文來自 修復(fù)服務(wù)器TRS�����,用于進(jìn)行修復(fù)請求認(rèn)證��。
103:接入終端AR收到上述報文�,回復(fù)EAP響應(yīng)EAP-Response。其中��,該EAP響應(yīng)
15EAP-Response攜帶的具體內(nèi)容為
1��、 若上述報文為修復(fù)服務(wù)器TRS發(fā)來的請求報文����,則回復(fù)RCV和TSC置10, STR置1 的空報文�;
2、 若接入終端AR擁有可信簽名證書�����,則回復(fù)RCV置O����, TSC置l的攜帶可信簽名證書數(shù) 據(jù)的報文;
3��、 若接入終端AR沒有擁有可信簽名證書�,則回復(fù)RCV和TSC置11, STR置1的空報文; 104:當(dāng)接入服務(wù)器PDP收到的EAP響應(yīng)EAP-Response為空報文消息時����,則向接入終端
AR發(fā)出完整性驗證請求�����,該請求報文中需要將STR置O;
當(dāng)修復(fù)服務(wù)器TRS收到的EAP響應(yīng)EAP-Response為空報文消息時,則向接入終端AR發(fā) 送修復(fù)身份信息傳遞請求��,該請求報文中����,需要將STR置O;
當(dāng)接入服務(wù)器PDP收到接入終端AR發(fā)送的可信簽名證書時,則將該簽名證書發(fā)送給相應(yīng) 處理接口���,并啟動接入服務(wù)器上驗證該可信簽名證書的程序準(zhǔn)備連接TISA進(jìn)行證書驗證����。
105:當(dāng)接入終端AR收到接入服務(wù)器PDP發(fā)送的完整性驗證請求后�����,采集自身的完整性 數(shù)據(jù)��,通過應(yīng)答報文發(fā)送采集的數(shù)據(jù)����,其中�,該應(yīng)答報文的數(shù)據(jù)域Data中攜帶采集的數(shù)據(jù)���;
當(dāng)接入終端AR收到修復(fù)服務(wù)器TRS發(fā)送的修復(fù)身份信息傳遞請求后�����,通過應(yīng)答報文發(fā)送 修復(fù)身份標(biāo)識��,其中����,該應(yīng)答報文的數(shù)據(jù)域Data中攜帶該接入終端AR的修復(fù)身份標(biāo)識�;
106:當(dāng)接入服務(wù)器PDP收到接入終端AR發(fā)送的應(yīng)答報文,根據(jù)該應(yīng)答報文中攜帶的接 入終端AR的完整性檢査數(shù)據(jù)�����,進(jìn)行完整性檢查�。其中,接入終端AR和接入服務(wù)器的該過程 可交互多次���,直到接入服務(wù)器PDP可以作出關(guān)于該接入終端AR的接入決策結(jié)果成功���、失敗 或修復(fù)���;
當(dāng)修復(fù)服務(wù)器TRS收到接入終端AR發(fā)送的應(yīng)答報文,根據(jù)該應(yīng)答報文中攜帶的接入終端 AR的修復(fù)身份標(biāo)識���,進(jìn)行修復(fù)身份驗證�,修復(fù)服務(wù)器直接作出關(guān)于該接入終端AR的修復(fù)決 策結(jié)果修復(fù)成功或失敗���。
107:當(dāng)接入服務(wù)器PDP作出決策結(jié)果后,向接入終端AR發(fā)送結(jié)果通知消息�����,由于該結(jié) 果通知消息為接入服務(wù)器PDP向接入終端AR發(fā)送的最后一輪請求�����,所以該結(jié)果通知消息中需 要將FIN置1���,代表當(dāng)前報文為本次EAP會話的最后一個報文�,并且該結(jié)果通知消息中通過 數(shù)據(jù)域Data字段的決策結(jié)果標(biāo)識符Result-Code攜帶相應(yīng)的決策結(jié)果信息。例如�,設(shè)置"1" 代表接入成功����,設(shè)置"2"代表接入失敗��,設(shè)置"3"代表修復(fù)�����,相應(yīng)地���,利用數(shù)據(jù)域攜帶相 關(guān)的信息。
進(jìn)一步地�,若在接入終端AR和接入服務(wù)器中存在策略執(zhí)行點PEP,上述接入服務(wù)器PDP發(fā)送的結(jié)果通知消息中還需要在過濾器標(biāo)識符Filter-ID攜帶相應(yīng)的過濾器的信息;當(dāng)對應(yīng) 于該過濾器標(biāo)識符Filter-ID的策略執(zhí)行點PEP收到接入服務(wù)器發(fā)送的結(jié)果通知消息后����,將 該結(jié)果通知消息中的Filter-ID置為空,存儲于訪問控制表后���,轉(zhuǎn)發(fā)Filter-ID置空后的結(jié) 果通知消息�����,從而保證了隔離接入終端AR和可信網(wǎng)絡(luò)的目的�����,確保了可信網(wǎng)絡(luò)的安全性和可 靠性���;
其中���,修復(fù)服務(wù)器TRS作出決策結(jié)果后,向接入終端AR發(fā)送結(jié)果通知消息的情況類似�, 不再贅述。
108:接入終端AR收到結(jié)果通知消息后��,獲取該結(jié)果通知消息中攜帶的決策結(jié)果信息����, 執(zhí)行相應(yīng)的處理�����。具體為
當(dāng)接入終端AR收到接入服務(wù)器PDP/修復(fù)服務(wù)器TRS發(fā)送的決策結(jié)果信息為失敗Failure 時�,則等待EAP會話結(jié)束。
當(dāng)接入終端AR收到接入服務(wù)器PDP發(fā)送的決策結(jié)果信息為修復(fù)Remedy時�,則獲取修復(fù) 數(shù)據(jù)送相應(yīng)處理接口后,等待此次接入認(rèn)證的會話結(jié)束�;
當(dāng)接入終端AR收到接入服務(wù)器PDP/修復(fù)服務(wù)器TRS發(fā)送的決策結(jié)果信息為成功Success 時���,則等待EAP會話結(jié)束。
109: EAP-ETNC方法層輸出消息給Tunnel EAP方法層���,Tunnel EAP層協(xié)議發(fā)送EAP-Success 或EAP-Failure,會話結(jié)束��。
綜上所述���,成功論述了利用EAP-ETNC實現(xiàn)接入終端AR和接入服務(wù)器/修復(fù)服務(wù)器進(jìn)行交 互的過程,實現(xiàn)了基于EAP-ETNC協(xié)議迸行可信信息傳遞的方法���。本領(lǐng)域技術(shù)人員可以獲知����, 任何一種EAP方法的實現(xiàn)����,其實質(zhì)上都是其特定狀態(tài)機的實現(xiàn)。發(fā)明人相應(yīng)地針對EAP-ETNC 方法依據(jù)功能場景需要���,定義了三種狀態(tài)機接入端狀態(tài)機�����、認(rèn)證端狀態(tài)機和代理狀態(tài)機�, 其中,
參見圖7���,提供了接入端(接入終端AR)狀態(tài)機示意圖�����,如圖所示實現(xiàn)接入終端AR上的 狀態(tài)����、事件�����、動作�,為了便于說明���,該圖中示意了修復(fù)認(rèn)證和接入認(rèn)證兩套狀態(tài)機��,其中�����, 圖中的圓點線及其連接的狀態(tài)表示修復(fù)認(rèn)證與接入認(rèn)證的公用事件和狀態(tài)��,虛線及其連接的 狀態(tài)表示修復(fù)認(rèn)證的事件和狀態(tài)����,實線及其連接的狀態(tài)表示接入認(rèn)證的事件和狀態(tài)。
參見圖8���,提供了認(rèn)證端狀態(tài)機示意圖���,如圖所示實現(xiàn)了認(rèn)證服務(wù)器(接入服務(wù)器/修復(fù) 服務(wù)器)上的狀態(tài)、事件�����、動作����,為了便于說明,該圖中示意了接入服務(wù)器的接入認(rèn)證和修 復(fù)服務(wù)器的修復(fù)認(rèn)證兩套狀態(tài)機�����,其中,圖中的圓點線及其連接的狀態(tài)表示修復(fù)認(rèn)證與接入 認(rèn)證的公用事件和狀態(tài)���,虛線及其連接的狀態(tài)表示修復(fù)認(rèn)證的事件和狀態(tài)��,實線及其連接的狀態(tài)表示接入認(rèn)證的事件和狀態(tài)�����。
參見圖9���,提供了代理狀態(tài)機,如圖所示實現(xiàn)了通過決策執(zhí)行點PEP (代理)進(jìn)行認(rèn)證端 和接入端之間消息傳遞的狀態(tài)���、事件�����、動作�,根據(jù)決策報文的指示執(zhí)行相應(yīng)訪問控制策略�����。
下面針對上述實現(xiàn)了基于EAP-ETNC協(xié)議進(jìn)行可信信息傳遞的方法���,給出具體的示例進(jìn)行 闡述:其中����,示例一為基于EAP-ETNC的存在中間代理的可信修復(fù)場景;示例二為基于EAP-ETNC 的無中間代理的可信簽名認(rèn)證場景�����,具體內(nèi)容參見如下
示例一
為了便于說明���,以EAP-ETNC用于有中間代理的可信修復(fù)場景時����,以成功可信修復(fù)認(rèn)證為 例進(jìn)行說明�����,參見圖10 �,提供了有中間代理的成功可信修復(fù)認(rèn)證時序流程示意圖,具體內(nèi) 容如下
1�����、 修復(fù)服務(wù)器向接入終端AR發(fā)送EAP請求EAP Request,其中�����,該EAP Request中STR 置l, RCV置1���,數(shù)據(jù)域Data為空����,該EAP Request為空報文��。
2�����、 接入終端AR收到EAP Request后����,回復(fù)EAP響應(yīng)EAP Response,其中,該EAP Response 中RCV置1�,數(shù)據(jù)域Data為空,該EAP Response為空報文�����。
3�、 修復(fù)服務(wù)器向接入終端AR發(fā)送EAP請求EAP Request,其中����,該EAP Request用于 向接入終端AR請求修復(fù)標(biāo)識��,該EAP Request中RCV置1,數(shù)據(jù)域Data攜帶修復(fù)標(biāo)識請求信 息����。
4���、 接入終端AR收到EAP Request后���,回復(fù)EAP響應(yīng)EAP Response,其中,該EAP Response 中RCV置1����,數(shù)據(jù)域Data攜帶接入終端AR提供的修復(fù)標(biāo)識。
5���、 修復(fù)服務(wù)器收到EAP Response后��,根據(jù)其中攜帶的接入終端AR的修復(fù)標(biāo)識進(jìn)行修復(fù) 驗證通過后���,發(fā)送EAP請求EAP Request,其中�����,該EAP Request中的FIN置1����, Filter-ID 攜帶中間代理標(biāo)識�����,Result-Code置位"成功"(例如置位l代表成功����,2代表失敗),數(shù)據(jù)域 Data為空��。
6��、 與上述中間代理標(biāo)識對應(yīng)的中間代理收到修復(fù)服務(wù)器發(fā)送的EAP Request后��,將 Filter-ID置空后���,將EAP Request轉(zhuǎn)發(fā)給接入終端AR��。
7�����、 接入終端AR收到EAP Request后����,回復(fù)EAP響應(yīng)EAP Response,其中���,該EAP Response 中RCV置1�,數(shù)據(jù)域Data為空���,該EAP Response為空報文�。
8�、 Tunnel EAP層協(xié)議發(fā)送EAP-Success。
在可信修復(fù)場景下��,EAP-ETNC需要完成的功能是傳遞修復(fù)服務(wù)器所需要的身份標(biāo)識���, 并且按照修復(fù)認(rèn)證流程進(jìn)行修復(fù)認(rèn)證��,認(rèn)證完成后���,接入終端AR的認(rèn)證流程即可結(jié)束���,訪問控制以及向修復(fù)服務(wù)器的重定向工作交由中間代理來完成。
代理在收到最后一個FIN報文之后����,將Filter-Type保存于自身的訪問控制表中,待接 入終端連接修復(fù)網(wǎng)絡(luò)進(jìn)行修復(fù)時���,代理會根據(jù)接入終端的IP地址和Filter-Type,將其重定 向到修復(fù)服務(wù)器����。這樣��,修復(fù)服務(wù)器就可以被代理隱藏起來�,使得外界無法直接訪問,保證 了修復(fù)服務(wù)器和修復(fù)資源的安全���。
同理����,普通的接入認(rèn)證在最后一輪FIN報文中的Filter-ID會被中間代理保存于自身的 訪問控制表中��,接入終端AR只能通過中間代理來訪問網(wǎng)絡(luò)�����。當(dāng)接入終端AR欲訪問可信網(wǎng)絡(luò) 時,中間代理可以根據(jù)接入終端AR的IP地址和Filter-ID來控制其數(shù)據(jù)包是否可以通過�����, 可信網(wǎng)絡(luò)中的哪些站點可以被訪問等等�����,從而體現(xiàn)了可信網(wǎng)絡(luò)的訪問可控性���。
綜上,論述了 EAP-ETNC用于有中間代理的可信修復(fù)場景的示例��,下面將對EAP-ETNC用 于無中間代理的可信簽名認(rèn)證的應(yīng)用場景進(jìn)行說明
示例二
為了便于說明��,以EAP-ETNC用于無中間代理的可信簽名認(rèn)證的應(yīng)用場景時���,以成功提供 可信簽名為例進(jìn)行說明��,參見圖ll�,提供了無中間代理的可信簽名認(rèn)證成功的時序流程示意 圖����,具體內(nèi)容如下
1����、 接入服務(wù)器向接入終端AR發(fā)送EAP Request,其中�,該EAP Request中STR置1,RCV&TSC 置l����,數(shù)據(jù)域Data為空。
2�、 接入終端AR收到EAP Request后,回復(fù)EAP Response,其中���,該EAP Response中 TSC置1����,數(shù)據(jù)域Data中攜帶可信簽名(TS���, Trust Sign)或者TNC客戶/服務(wù)接口可信簽名 TS-IF-TNCCS���。
3、接入服務(wù)器收到EAP Response,獲取其中攜帶的接入終端AR的可信簽名,通過和 下發(fā)可信簽名的服務(wù)器TISA的交互后�,對該可信簽名認(rèn)證通過后,向接入終端AR發(fā)送EAP Request,其中�,該EAP Request中FIN置1, Filter-ID攜帶相應(yīng)的信息���,Result-Code置 位"成功"(例如置位l代表成功�����,2代表失敗)��,數(shù)據(jù)域Data為空�。
4����、接入終端AR向接入服務(wù)器返回EAP Response,其中�,該EAP Response中TSC置1, 數(shù)據(jù)域Data為空����。
7、 Tunnel EAP層協(xié)議發(fā)送EAP-Success�。
其中,沒有中間代理的情況, 一般是類似PPP協(xié)議的直連情況��,接入終端AR通過底層直 連的某種協(xié)議與接入服務(wù)器之間通信并進(jìn)行認(rèn)證����,接入終端AR進(jìn)行網(wǎng)絡(luò)訪問時, 一般是對接 入服務(wù)器進(jìn)行直接訪問或者是接入服務(wù)器將對應(yīng)于接入終端AR的控制決策派發(fā)給一個特定
19的網(wǎng)絡(luò)訪問點�,由這個網(wǎng)絡(luò)訪問點來控制接入終端AR對可信網(wǎng)絡(luò)的訪問。該情況下�,EAP-ETNC 保留向接入終端發(fā)送的EAP Request中攜帶的Filter-ID,使得接入終端AR獲取到該EAP Request消息后���,能夠更進(jìn)一步地了解自己的訪問權(quán)限�,為自身的其他網(wǎng)絡(luò)訪問應(yīng)用程序提 供方便����。
本示例中的涉及的可信簽名認(rèn)證方案是非可信接入技術(shù)和可信接入技術(shù)之間的一種平滑 過渡方案,該方案使用可信簽名證書(標(biāo)識)的方式使得可信接入技術(shù)能夠得以廣泛認(rèn)可和 推廣���。該場景下����,EAP-ETNC需要完成的功能是傳遞可信簽名證書(標(biāo)識)到接入服務(wù)器���, 以便接入服務(wù)器可以和分發(fā)該可信簽名證書(標(biāo)識)的服務(wù)器TISA交互驗證該可信簽名的有 效性�����。
綜上所述��,本發(fā)明實施例提供的基于EAP-ETNC協(xié)議進(jìn)行可信信息傳遞的方法����,無論是否 存在EAP中間代理,都可以正常使用���,特別是�����,存在中間代理的接入/修復(fù)場景下����,中間代理 可以對接入終端隱藏服務(wù)器端的決策細(xì)節(jié)���,使得接入終端無須明確了解自身的訪問權(quán)限就可 以安全的訪問可信網(wǎng)絡(luò),并且中間代理可以對修復(fù)服務(wù)器和接入服務(wù)器進(jìn)行隱藏�,保證了可 信網(wǎng)絡(luò)的安全性和可靠性。
本發(fā)明實施例提供的EAP-ETNC協(xié)議,還可以應(yīng)用于認(rèn)證��、授權(quán)�����、計費的AAA領(lǐng)域�����,可以 通過在安全認(rèn)證信息承載協(xié)議和安全EAP協(xié)議之上���,以可選的OPTION形式實現(xiàn)�����,其中��,進(jìn)行 版本升級時�����,可將Version設(shè)置為相應(yīng)版本�����,RSV保留標(biāo)志位設(shè)置成其他含義并定義相應(yīng)的 數(shù)據(jù)格式����。
實施例2
參見圖12,本發(fā)明實施例提供了一種實現(xiàn)可信信息傳遞的系統(tǒng)��,所述系統(tǒng)包括接入終 端和服務(wù)器��;其中����,
接入終端,用于接收服務(wù)器發(fā)送基于EAP—ETNC的請求消息�����;向服務(wù)器發(fā)送基于EAP— ETNC的響應(yīng)消息�,響應(yīng)消息中攜帶進(jìn)行驗證所需要的信息;并接收服務(wù)器發(fā)送的基于 EAP-ETNC的攜帶驗證結(jié)果的消息���;
服務(wù)器����,用于向接入終端發(fā)送基于EAP—ETNC的請求消息���;請求消息用于向接入終端請 求進(jìn)行驗證所需要的信息�����;接收來自接入終端的基于EAP — ETNC的響應(yīng)消息�����,響應(yīng)消息中攜 帶進(jìn)行驗證所需要的信息��;根據(jù)信息對接入終端進(jìn)行驗證���,向接入終端發(fā)送基于EAP-ETNC的 攜帶驗證結(jié)果的消息。
一��、其中���,服務(wù)器具體為接入服務(wù)器���;接入服務(wù)器,用于接收接入終端的接入請求��,向接入終端發(fā)送攜帶起始報文標(biāo)識的基于 EAP—ETNC的認(rèn)證請求�;并接收接入終端發(fā)送的攜帶起始報文標(biāo)識的響應(yīng)����;向接入終端發(fā)送 基于EAP—ETNC的完整性驗證請求消息�����,完整性驗證請求消息中攜帶指示標(biāo)識�����,指示標(biāo)識用 于指示接入終端根據(jù)完整性驗證請求消息返回相應(yīng)的可信信息;接收來自接入終端的基于EAP 一ETNC的響應(yīng)消息����,響應(yīng)消息中攜帶進(jìn)行完整性驗證的可信信息;根據(jù)可信信息對接入終端 進(jìn)行完整性驗證�����,向接入終端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息�,攜帶驗證結(jié)果的消 息中攜帶結(jié)束報文標(biāo)識和過濾器標(biāo)識。
二���、 其中��,服務(wù)器具體為接入服務(wù)器�����;接入終端��,用于接收接入終端的接入請求�����;向接 入終端發(fā)送基于EAP — ETNC的認(rèn)證請求消息�����,認(rèn)證請求消息攜帶起始報文標(biāo)識�����、指示標(biāo)識�����; 指示標(biāo)識用于指示接入終端根據(jù)認(rèn)證請求消息返回相應(yīng)的可信簽名���;接收接入終端發(fā)送的基 于EAP—ETNC的響應(yīng)消息,響應(yīng)消息中攜帶可信簽名�;根據(jù)可信簽名驗證接入終端��,向接入 終端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息�����,消息中攜帶結(jié)束報文標(biāo)識和過濾器標(biāo)識���。
三、 其中�,服務(wù)器具體為修復(fù)服務(wù)器;
修復(fù)服務(wù)器��,用于向接入終端發(fā)送基于EAP—ETNC的修復(fù)認(rèn)證請求消息���,修復(fù)認(rèn)證請求 消息中攜帶起始報文標(biāo)識����、指示標(biāo)識�,指示標(biāo)識用于指示請求消息用于進(jìn)行修復(fù)認(rèn)證;接收 接入終端返回的攜帶指示標(biāo)識的響應(yīng)消息����,來自接入終端的指示標(biāo)識用于表示接入終端進(jìn)行 修復(fù)認(rèn)證;修復(fù)服務(wù)器向接入終端發(fā)送基于EAP—ETNC的修復(fù)請求消息,修復(fù)請求消息中攜 帶指示標(biāo)識�����;指示標(biāo)識用于指示接入終端根據(jù)修復(fù)請求消息返回相應(yīng)的修復(fù)數(shù)據(jù)��;接收接入 終端發(fā)送的基于EAP—ETNC的響應(yīng)消息��,響應(yīng)消息中攜帶修復(fù)數(shù)據(jù)����,根據(jù)修復(fù)數(shù)據(jù)驗證接入 終端是否修復(fù)成功����,向接入終端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息,消息中攜帶結(jié)束 報文標(biāo)識和過濾器標(biāo)識�����。
參見圖13�,本發(fā)明實施例提供的系統(tǒng),進(jìn)一步地還包括中間代理�����,其中,該中間代理 用于接收基于EAP-ETNC的攜帶驗證結(jié)果的消息��,消息中攜帶結(jié)束報文標(biāo)識和過濾器標(biāo)識�����,保 存過濾器標(biāo)識��,并刪除驗證結(jié)果中攜帶的過濾器標(biāo)識�,將刪除過濾器標(biāo)識后的基于EAP-ETNC 的攜帶驗證結(jié)果的消息轉(zhuǎn)發(fā)給接入終端。
其中����,該中間代理通過對接入端隱藏決策細(xì)節(jié),使得接入終端無須明確了解自身的訪問 權(quán)限就可以安全的訪問網(wǎng)絡(luò)���。另夕卜����,代理對修復(fù)服務(wù)器和接入服務(wù)器也都進(jìn)行了很好的隱藏����, 保證了網(wǎng)絡(luò)的安全可靠。
綜上所述���,本發(fā)明實施例提供的實現(xiàn)可信信息傳遞的系統(tǒng)�,通過EAP-ETNC攜帶更多類 型的數(shù)據(jù),不但可以滿足日后可信網(wǎng)絡(luò)框架不斷完善的要求�,還提供了修復(fù)和可信簽名信息的攜帶方法,并對兩種信息的傳遞定義了完整的時間序列���,使得可信接入技術(shù)的框架變得更 加完善���,更容易被推廣和使用,并且本發(fā)明實施例提供的系統(tǒng)中無論是否存在EAP中間代理���, 都可以正常工作運行,而且更適合于存在中間代理的接入/修復(fù)場景���。在這種場景下�,代理可 以對接入端隱藏決策細(xì)節(jié)�,使得接入終端無須明確了解自身的訪問權(quán)限就可以安全的訪問網(wǎng) 絡(luò)。另外���,代理對修復(fù)服務(wù)器和接入服務(wù)器也都進(jìn)行了很好的隱藏�,保證了網(wǎng)絡(luò)的安全可靠����。
實施例3
參見圖14�����,本發(fā)明實施例提供了一種服務(wù)器��,服務(wù)器包括-
獲取模塊����,用于向接入終端發(fā)送基于EAP—ETNC的請求消息���;請求消息用于向接入終端 請求進(jìn)行驗證所需要的信息���;接收來自接入終端的基于EAP — ETNC的響應(yīng)消息,響應(yīng)消息中 攜帶進(jìn)行驗證所需要的信息�����;獲取響應(yīng)消息中攜帶的信息����;
處理模塊,用于根據(jù)獲取模塊獲取的信息對接入終端進(jìn)行驗證�����,向接入終端發(fā)送基于 EAP-ETNC的攜帶驗證結(jié)果的消息。
其中���,服務(wù)器具體為接入服務(wù)器���,接入服務(wù)器還包括
通信模塊,用于接收接入終端的接入請求����,向接入終端發(fā)送攜帶起始報文標(biāo)識的基于EAP 一ETNC的認(rèn)證請求;并接收接入終端發(fā)送的攜帶起始報文標(biāo)識的響應(yīng)�; 相應(yīng)地,獲取模塊�����,具體為第一獲取單元��;
第一獲取單元����,用于向接入終端發(fā)送基于EAP—ETNC的完整性驗證請求消息��,完整性驗 證請求消息中攜帶指示標(biāo)識,指示標(biāo)識用于指示接入終端根據(jù)完整性驗證請求消息返回相應(yīng) 的可信信息�����;接收來自接入終端的基于EAP—ETNC的響應(yīng)消息�����,響應(yīng)消息中攜帶進(jìn)行完整性 驗證的可信信息���;
相應(yīng)地�����,處理模塊具體為第一處理單元�����;
第一處理單元�,用于根據(jù)第一獲取單元獲取的可信信息對接入終端進(jìn)行完整性驗證�����,向 接入終端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息��,攜帶驗證結(jié)果的消息中攜帶結(jié)束報文標(biāo) 識和過濾器標(biāo)識。
其中�����,服務(wù)器具體為接入服務(wù)器����,接入服務(wù)器還包括
通信模塊,用于接收接入終端的接入請求�; 相應(yīng)地,獲取模塊��,具體為第二獲取單元�����;
第二獲取單元���,用于向接入終端發(fā)送基于EAP—ETNC的認(rèn)證請求消息,認(rèn)證請求消息攜 帶起始報文標(biāo)識����、指示標(biāo)識;指示標(biāo)識用于指示接入終端根據(jù)認(rèn)證請求消息返回相應(yīng)的可信
22簽名�;接收接入終端發(fā)送的基于EAP—ETNC的響應(yīng)消息����,響應(yīng)消息中攜帶可信簽名�;獲取 可信簽名;
相應(yīng)地�,處理模塊具體為第二處理單元;
第二處理單元��,用于根據(jù)第二獲取單元獲取的可信簽名驗證接入終端���,向接入終端發(fā)送 基于EAP-ETNC的攜帶驗證結(jié)果的消息����,消息中攜帶結(jié)束報文標(biāo)識和過濾器標(biāo)識�����。 其中��,服務(wù)器具體為修復(fù)服務(wù)器�����,修復(fù)服務(wù)器還包括
通信模塊,用于向接入終端發(fā)送基于EAP—ETNC的修復(fù)認(rèn)證請求消息��,修復(fù)認(rèn)證請求消 息中攜帶起始報文標(biāo)識���、指示標(biāo)識���,指示標(biāo)識用于指示請求消息用于進(jìn)行修復(fù)認(rèn)證;接收接 入終端返回的攜帶指示標(biāo)識的響應(yīng)消息��,來自接入終端的指示標(biāo)識用于表示接入終端進(jìn)行修 復(fù)認(rèn)證��;
相應(yīng)地���,獲取模塊��,具體為第三獲取單元���;
第三獲取單元,用于向接入終端發(fā)送基于EAP—ETNC的修復(fù)請求消息����,修復(fù)請求消息中 攜帶指示標(biāo)識;指示標(biāo)識用于指示接入終端根據(jù)修復(fù)請求消息返回相應(yīng)的修復(fù)數(shù)據(jù)���;接收接 入終端發(fā)送的基于EAP—ETNC的響應(yīng)消息���,響應(yīng)消息中攜帶修復(fù)數(shù)據(jù),獲取修復(fù)數(shù)據(jù)���;
相應(yīng)地����,處理模塊具體為第三處理單元���;
第三處理單元��,用于根據(jù)第三獲取單元獲取的修復(fù)數(shù)據(jù)驗證接入終端是否修復(fù)成功����,向 接入終端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息��,消息中攜帶結(jié)束報文標(biāo)識和過濾器標(biāo) 識�。
本發(fā)明實施例提供的服務(wù)器,通過EAP-ETNC攜帶更多類型的數(shù)據(jù)�,不但可以滿足日后可 信網(wǎng)絡(luò)框架不斷完善的要求,還提供了修復(fù)和可信簽名信息的攜帶方法��,并對兩種信息的傳 遞定義了完整的時間序列,使得可信接入技術(shù)的框架變得更加完善��,更容易被推廣和使用���。
實施例4
參見圖15�,本發(fā)明實施例提供了一種終端����,終端包括接收模塊和發(fā)送模塊,其中�,
接收模塊,用于接收服務(wù)器發(fā)送基于EAP—ETNC的請求消息���;并接收服務(wù)器發(fā)送的基于 EAP-ETNC的攜帶驗證結(jié)果的消息����;
發(fā)送模塊����,用于根據(jù)接收模塊接收到的請求消息,向服務(wù)器發(fā)送基于EAP—ETNC的響應(yīng) 消息�,響應(yīng)消息中攜帶進(jìn)行驗證所需要的信息。
其中���,當(dāng)終端作為客戶端��,其服務(wù)器端具體為接入服務(wù)器時���,終端要進(jìn)行完整性接入驗 證時,終端還包括通信模塊��,用于向接入服務(wù)器發(fā)送接入請求���,接收接入服務(wù)器發(fā)送的攜帶起始報文標(biāo)識 的基于EAP—ETNC的認(rèn)證請求后�;向接入服務(wù)器發(fā)送攜帶起始報文標(biāo)識的響應(yīng)�;
相應(yīng)地,接收模塊具體為第一接收單元
第一接收單元��,用于接收接入服務(wù)器發(fā)送的基于EAP—ETNC的完整性驗證請求消息���,完 整性驗證請求消息中攜帶指示標(biāo)識��,指示標(biāo)識用于指示接入終端根據(jù)完整性驗證請求消息返 回相應(yīng)的可信信息�;并接收接入服務(wù)器發(fā)送的基于EAP-ETNC的攜帶驗證結(jié)果的消息�,攜帶驗
證結(jié)果的消息中攜帶結(jié)束報文標(biāo)識和過濾器標(biāo)識; 相應(yīng)地�,發(fā)送模塊具體為第一發(fā)送單元��;
第一發(fā)送單元���,用于在第一接收單元收到接入服務(wù)器發(fā)送的完整性驗證請求消息后,根
據(jù)指示標(biāo)識����,向接入服務(wù)器發(fā)送基于EAP—ETNC的響應(yīng)消息,響應(yīng)消息中攜帶進(jìn)行完整性驗 證的可信信息��。
其中�,當(dāng)終端作為客戶端,其服務(wù)器端具體為接入服務(wù)器時���,終端要進(jìn)行預(yù)設(shè)的特定含
義的認(rèn)證時�����,終端還包括
通信模塊��,用于向接入服務(wù)器發(fā)送接入請求��; 相應(yīng)地�,接收模塊具體為第二接收單元
第二接收單元��,用于接收接入服務(wù)器發(fā)送的基于EAP—ETNC的認(rèn)證請求消息,認(rèn)證請求 消息攜帶起始報文標(biāo)識�、指示標(biāo)識;指示標(biāo)識用于指示接入終端根據(jù)認(rèn)證請求消息返回相應(yīng) 的可信簽名����;并接收接入服務(wù)器發(fā)送的基于EAP-ETNC的攜帶驗證結(jié)果的消息,消息中攜帶結(jié) 束報文標(biāo)識和過濾器標(biāo)識�。
相應(yīng)地�����,發(fā)送模塊具體為第二發(fā)送單元�����;
第二發(fā)送單元�����,用于在第二接收單元接收到接入服務(wù)器發(fā)送的認(rèn)證請求消息后�����,向接入
服務(wù)器發(fā)送基于EAP—ETNC的響應(yīng)消息���,響應(yīng)消息中攜帶可信簽名��。
其中���,當(dāng)終端作為客戶端�,其服務(wù)器端具體為修復(fù)服務(wù)器時�,終端要進(jìn)行修復(fù)認(rèn)證時, 終端還包括
通信模塊��,用于接收修復(fù)服務(wù)器發(fā)送的基于EAP—ETNC的修復(fù)認(rèn)證請求消息�,修復(fù)認(rèn)證 請求消息中攜帶起始報文標(biāo)識、指示標(biāo)識����,指示標(biāo)識用于指示請求消息用于進(jìn)行修復(fù)認(rèn)證; 向修復(fù)服務(wù)器發(fā)送攜帶指示標(biāo)識的響應(yīng)消息�����,來自接入終端的指示標(biāo)識用于表示接入終端進(jìn) 行修復(fù)認(rèn)證���;
相應(yīng)地����,接收模塊具體為第三接收單元;
第三接收單元��,用于接收修復(fù)服務(wù)器發(fā)送的基于EAP—ETNC的修復(fù)請求消息�,修復(fù)請求消息中攜帶指示標(biāo)識;指示標(biāo)識用于指示接入終端根據(jù)修復(fù)請求消息返回相應(yīng)的修復(fù)數(shù)據(jù)���; 并接收修復(fù)服務(wù)器發(fā)送的基于EAP-ETNC的攜帶驗證結(jié)果的消息��,消息中攜帶結(jié)束報文標(biāo)識和 過濾器標(biāo)識����;
相應(yīng)地��,發(fā)送模塊具體為第三發(fā)送單元
第三發(fā)送單元���,用于在第三接收單元接收到修復(fù)服務(wù)器發(fā)送的基于EAP—ETNC的修復(fù)請 求消息后,向修復(fù)服務(wù)器發(fā)送基于EAP—ETNC的響應(yīng)消息���,響應(yīng)消息中攜帶修復(fù)數(shù)據(jù)���。
本發(fā)明實施例提供的終端,通過EAP-ETNC攜帶更多類型的數(shù)據(jù)�,不但可以滿足日后可信 網(wǎng)絡(luò)框架不斷完善的要求�,還提供了修復(fù)和可信簽名信息的攜帶方法����,并對兩種信息的傳遞 定義了完整的時間序列,使得可信接入技術(shù)的框架變得更加完善�,更容易被推廣和使用。
實施例5
參見圖16,本發(fā)明實施例提供了一種代理設(shè)備�����,所述代理設(shè)備包括
第一處理模塊�,用于接收攜帶結(jié)束報文標(biāo)識和過濾器標(biāo)識的驗證結(jié)果,保存過濾器標(biāo)識�, 并刪除驗證結(jié)果中攜帶的過濾器標(biāo)識;
第二處理模塊���,用于將第一處理模塊刪除過濾器標(biāo)識后的驗證結(jié)果轉(zhuǎn)發(fā)給接入終端����。
本發(fā)明實施例提供的代理設(shè)備�����,通過對接入端隱藏決策細(xì)節(jié),使得接入終端無須明確了 解自身的訪問權(quán)限就可以安全的訪問網(wǎng)絡(luò)��。另外���,代理對修復(fù)服務(wù)器和接入服務(wù)器也都進(jìn)行 了很好的隱藏�,保證了網(wǎng)絡(luò)的安全可靠�。
本領(lǐng)域技術(shù)人員可以理解附圖只是一個優(yōu)選實施例的示意圖,附圖中的模塊或流程并不 一定是實施本發(fā)明所必須的���。
本領(lǐng)域技術(shù)人員可以理解實施例中的裝置中的模塊可以按照實施例描述分布于實施例的 裝置中���,也可以進(jìn)行相應(yīng)變化位于不同于本實施例的一個或多個裝置中。上述實施例的模塊 可以合并為一個模塊����,也可以進(jìn)一步拆分成多個子模塊����。
上述本發(fā)明實施例序號僅僅為了描述方便,不代表實施例的優(yōu)劣��。
本發(fā)明實施例中的部分步驟����,可以利用軟件實現(xiàn)��,相應(yīng)的軟件程序可以存儲在可讀取的 存儲介質(zhì)中�,如光盤或硬盤等�����。
以上所述僅為本發(fā)明的較佳實施例��,并不用以限制本發(fā)明����,凡在本發(fā)明的精神和原則之 內(nèi),所作的任何修改��、等同替換��、改進(jìn)等����,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
2權(quán)利要求
1����、一種實現(xiàn)可信信息傳遞的方法,其特征在于,所述方法包括服務(wù)器向接入終端發(fā)送基于EAP-ETNC的請求消息���;所述請求消息用于向所述接入終端請求進(jìn)行驗證所需要的信息�;接收來自所述接入終端的基于EAP-ETNC的響應(yīng)消息�����,所述響應(yīng)消息中攜帶進(jìn)行驗證所需要的信息��;根據(jù)所述信息對所述接入終端進(jìn)行驗證�,向所述接入終端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息。
2�、 如權(quán)利要求1所述的方法,其特征在于����,所述EAP-ETNC的協(xié)議數(shù)據(jù)報文包括EAP 協(xié)議頭、EAP-ETNC協(xié)議頭和數(shù)據(jù)域��;所述EAP協(xié)議頭包括代碼字段�����、識別字段����、和報文長度字段;所述EAP-ETNC協(xié)議頭包括類型字段�����、版本字段�、和標(biāo)志位字段;所述標(biāo)志位字段具體 包括起始報文標(biāo)識位STR�����、結(jié)束報文標(biāo)識位FIN�����、指示標(biāo)識位RCV&TSC和指示數(shù)據(jù)域是否包 含長度的標(biāo)識位LEN�����、指示是否具有下一片分片的標(biāo)識位MFG和保留標(biāo)識位RSV���。
3�、 如權(quán)利要求2所述的方法����,其特征在于��,所述服務(wù)器向接入終端發(fā)送基于EAP—ETNC 的請求消息的步驟之前��,所述方法還包括接入服務(wù)器接收接入終端的接入請求����,向所述接入終端發(fā)送攜帶起始報文標(biāo)識的基于EAP 一ETNC的認(rèn)證請求���,并接收所述接入終端發(fā)送的攜帶起始報文標(biāo)識的響應(yīng)�;相應(yīng)地���,所述服務(wù)器向接入終端發(fā)送基于EAP—ETNC的請求消息的步驟�����,具體為所述接入服務(wù)器向所述接入終端發(fā)送基于EAP—ETNC的完整性驗證請求消息����,所述完整 性驗證請求消息中攜帶指示標(biāo)識���,所述指示標(biāo)識用于指示所述接入終端根據(jù)所述完整性驗證 請求消息返回相應(yīng)的可信信息����;相應(yīng)地�����,所述接收來自所述接入終端的基于EAP—ETNC的響應(yīng)消息����,根據(jù)所述信息對所 述接入終端進(jìn)行驗證,向所述接入終端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息的步驟�,具 體為接收來自所述接入終端的基于EAP—ETNC的響應(yīng)消息,所述響應(yīng)消息中攜帶進(jìn)行完整性 驗證的可信信息����;根據(jù)所述可信信息對所述接入終端進(jìn)行完整性驗證,向所述接入終端發(fā)送基于EAP-ETNC 的攜帶驗證結(jié)果的消息���,所述攜帶驗證結(jié)果的消息中攜帶結(jié)束報文標(biāo)識和過濾器標(biāo)識��。
4��、 如權(quán)利要求3所述的方法����,其特征在于,所述驗證結(jié)果的類型包括認(rèn)證成功���、認(rèn)證 失敗��、可信修復(fù)�;相應(yīng)地�,所述攜帶驗證結(jié)果的消息中還攜帶驗證結(jié)果標(biāo)識,所述驗證結(jié)果標(biāo)識用于指示所述驗證 結(jié)果的類型���。
5�����、 如權(quán)利要求2所述的方法����,其特征在于�,所述服務(wù)器向接入終端發(fā)送基于EAP—ETNC 的請求消息的步驟之前,所述方法還包括接入服務(wù)器接收接入終端的接入請求�����;相應(yīng)地�����,所述服務(wù)器向接入終端發(fā)送基于EAP—ETNC的請求消息的步驟,具體為 接入服務(wù)器向所述接入終端發(fā)送基于EAP—ETNC的認(rèn)證請求消息��,所述認(rèn)證請求消息攜帶起始報文標(biāo)識��、指示標(biāo)識�;所述指示標(biāo)識用于指示所述接入終端根據(jù)所述認(rèn)證請求消息返回相應(yīng)的可信簽名�����;相應(yīng)地�,所述接收來自所述接入終端的基于EAP—ETNC的響應(yīng)消息,根據(jù)所述信息對所 述接入終端進(jìn)行驗證����,向所述接入終端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息的步驟,具 體為-接收所述接入終端發(fā)送的基于EAP—ETNC的響應(yīng)消息����,所述響應(yīng)消息中攜帶可信簽名; 根據(jù)所述可信簽名驗證所述接入終端�����,向所述接入終端發(fā)送基于EAP-ETNC的攜帶驗證結(jié) 果的消息,所述消息中攜帶結(jié)束報文標(biāo)識和過濾器標(biāo)識��。
6���、 如權(quán)利要求2所述的方法��,其特征在于�,所述服務(wù)器向接入終端發(fā)送基于EAP—ETNC 的請求消息的步驟之前���,所述方法還包括修復(fù)服務(wù)器向接入終端發(fā)送基于EAP—ETNC的修復(fù)認(rèn)證請求消息�,所述修復(fù)認(rèn)證請求消 息中攜帶起始報文標(biāo)識�����、指示標(biāo)識����,所述指示標(biāo)識用于指示所述請求消息用于進(jìn)行修復(fù)認(rèn)證;接收所述接入終端返回的攜帶指示標(biāo)識的響應(yīng)消息����,來自所述接入終端的指示標(biāo)識用于 表示所述接入終端進(jìn)行修復(fù)認(rèn)證;相應(yīng)地,服務(wù)器向接入終端發(fā)送基于EAP—ETNC的請求消息的步驟�����,具體為所述修復(fù)服務(wù)器向所述接入終端發(fā)送基于EAP—ETNC的修復(fù)請求消息��,所述修復(fù)請求消息中攜帶指示標(biāo)識���;所述指示標(biāo)識用于指示所述接入終端根據(jù)所述修復(fù)請求消息返回相應(yīng)的 修復(fù)數(shù)據(jù)�;相應(yīng)地�����,所述接收來自所述接入終端的基于EAP—ETNC的響應(yīng)消息��,根據(jù)所述信息對所 述接入終端進(jìn)行驗證�����,向所述接入終端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息的步驟����,具 體為接收所述接入終端發(fā)送的基于EAP—ETNC的響應(yīng)消息���,所述響應(yīng)消息中攜帶修復(fù)數(shù)據(jù)����, 根據(jù)所述修復(fù)數(shù)據(jù)驗證所述接入終端是否修復(fù)成功,向所述接入終端發(fā)送基于EAP-ETNC的攜 帶驗證結(jié)果的消息�,所述消息中攜帶結(jié)束報文標(biāo)識和過濾器標(biāo)識。
7���、 如權(quán)利要求5或6所述的方法����,其特征在于�,所述驗證結(jié)果類型包括認(rèn)證成功、認(rèn) 證失?����?;相應(yīng)地,所述驗證結(jié)果消息還攜帶驗證結(jié)果標(biāo)識����,所述驗證結(jié)果標(biāo)識用于指示所述驗證結(jié)果的類型。
8�、 如權(quán)利要求3�����、 5或6任一權(quán)利要求所述的方法��,其特征在于���,所述方法還包括 中間代理接收所述基于EAP-ETNC的攜帶驗證結(jié)果的消息,所述消息中攜帶結(jié)束報文標(biāo)識和過濾器標(biāo)識�,保存所述過濾器標(biāo)識,并刪除所述驗證結(jié)果中攜帶的過濾器標(biāo)識�,將刪除過 濾器標(biāo)識后的基于EAP-ETNC的攜帶驗證結(jié)果的消息轉(zhuǎn)發(fā)給所述接入終端。
9�����、 一種實現(xiàn)可信信息傳遞的系統(tǒng)�,其特征在于�,所述系統(tǒng)包括接入終端和服務(wù)器;其中�����,所述接入終端���,用于接收所述服務(wù)器發(fā)送的基于EAP—ETNC的請求消息�����;向所述服務(wù)器 發(fā)送基于EAP—ETNC的響應(yīng)消息�,所述響應(yīng)消息中攜帶進(jìn)行驗證所需要的信息;并接收所述 服務(wù)器發(fā)送的基于EAP-ETNC的攜帶驗證結(jié)果的消息�;所述服務(wù)器,用于向所述接入終端發(fā)送 基于EAP—ETNC的請求消息�;所述請求消息用于向所述接入終端請求進(jìn)行驗證所需要的信息; 接收來自所述接入終端的基于EAP-ETNC的響應(yīng)消息����,所述響應(yīng)消息中攜帶進(jìn)行驗證所需要 的信息;根據(jù)所述信息對所述接入終端進(jìn)行驗證�,向所述接入終端發(fā)送基于EAP-ETNC的攜帶 驗證結(jié)果的消息。
10�、 如權(quán)利要求9所述的系統(tǒng),其特征在于�����,所述服務(wù)器具體為接入服務(wù)器�; 所述接入服務(wù)器,用于接收所述接入終端的接入請求��,向所述接入終端發(fā)送攜帶起始報文標(biāo)識的基于EAP—ETNC的認(rèn)證請求;并接收所述接入終端發(fā)送的攜帶起始報文標(biāo)識的響應(yīng); 向所述接入終端發(fā)送基于EAP—ETNC的完整性驗證請求消息�����,所述完整性驗證請求消息中攜 帶指示標(biāo)識����,所述指示標(biāo)識用于指示所述接入終端根據(jù)所述完整性驗證請求消息返回相應(yīng)的 可信信息;接收來自所述接入終端的基于EAP—ETNC的響應(yīng)消息����,所述響應(yīng)消息中攜帶進(jìn)行 完整性驗證的可信信息;根據(jù)所述可信信息對所述接入終端進(jìn)行完整性驗證�,向所述接入終 端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息,所述攜帶驗證結(jié)果的消息中攜帶結(jié)束報文標(biāo)識 和過濾器標(biāo)識�。
11、 如權(quán)利要求9所述的系統(tǒng)����,其特征在于���,所述服務(wù)器具體為接入服務(wù)器�����;所述接入 終端��,用于接收所述接入終端的接入請求�;向所述接入終端發(fā)送基于EAP—ETNC的認(rèn)證請求 消息,所述認(rèn)證請求消息攜帶起始報文標(biāo)識����、指示標(biāo)識;所述指示標(biāo)識用于指示所述接入終 端根據(jù)所述認(rèn)證請求消息返回相應(yīng)的可信簽名���;接收所述接入終端發(fā)送的基于EAP-ETNC的 響應(yīng)消息����,所述響應(yīng)消息中攜帶可信簽名���;根據(jù)所述可信簽名驗證所述接入終端�����,向所述接 入終端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息����,所述消息中攜帶結(jié)束報文標(biāo)識和過濾器標(biāo) 識����。
12���、 如權(quán)利要求9所述的系統(tǒng),其特征在于��,所述服務(wù)器具體為修復(fù)服務(wù)器��; 所述修復(fù)服務(wù)器���,用于向所述接入終端發(fā)送基于EAP—ETNC的修復(fù)認(rèn)證請求消息��,所述修復(fù)認(rèn)證請求消息中攜帶起始報文標(biāo)識�����、指示標(biāo)識����,所述指示標(biāo)識用于指示所述請求消息用 于進(jìn)行修復(fù)認(rèn)證���;接收所述接入終端返回的攜帶指示標(biāo)識的響應(yīng)消息,來自所述接入終端的 指示標(biāo)識用于表示所述接入終端進(jìn)行修復(fù)認(rèn)證;所述修復(fù)服務(wù)器向所述接入終端發(fā)送基于EAP 一ETNC的修復(fù)請求消息����,所述修復(fù)請求消息中攜帶指示標(biāo)識��;所述指示標(biāo)識用于指示所述接 入終端根據(jù)所述修復(fù)請求消息返回相應(yīng)的修復(fù)數(shù)據(jù);接收所述接入終端發(fā)送的基于EAP—ETNC 的響應(yīng)消息����,所述響應(yīng)消息中攜帶修復(fù)數(shù)據(jù)�,根據(jù)所述修復(fù)數(shù)據(jù)驗證所述接入終端是否修復(fù) 成功,向所述接入終端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息���,所述消息中攜帶結(jié)束報文 標(biāo)識和過濾器標(biāo)識�����。
13��、 如權(quán)利要求9所述的系統(tǒng)�,其特征在于�����,所述系統(tǒng)還包括中間代理�,所述中間代理,用于接收所述基于EAP-ETNC的攜帶驗證結(jié)果的消息,所述消息中攜帶結(jié) 束報文標(biāo)識和過濾器標(biāo)識��,保存所述過濾器標(biāo)識�����,并刪除所述驗證結(jié)果中攜帶的過濾器標(biāo)識�����, 將刪除過濾器標(biāo)識后的基于EAP-ETNC的攜帶驗證結(jié)果的消息轉(zhuǎn)發(fā)給所述接入終端����。
14、 一種服務(wù)器����,其特征在于,所述服務(wù)器包括獲取模塊�,用于向接入終端發(fā)送基于EAP—ETNC的請求消息;所述請求消息用于向所述 接入終端請求進(jìn)行驗證所需要的信息�����;接收來自所述接入終端的基于EAP—ETNC的響應(yīng)消息�, 所述響應(yīng)消息中攜帶進(jìn)行驗證所需要的信息;獲取所述響應(yīng)消息中攜帶的信息;處理模塊���,用于根據(jù)所述獲取模塊獲取的信息對所述接入終端進(jìn)行驗證,向所述接入終 端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息����。
15、 如權(quán)利要求14所述的服務(wù)器��,其特征在于�,所述服務(wù)器具體為接入服務(wù)器,所述接 入服務(wù)器還包括通信模塊����,用于接收所述接入終端的接入請求,向所述接入終端發(fā)送攜帶起始報文標(biāo)識 的基于EAP—ETNC的認(rèn)證請求��;并接收所述接入終端發(fā)送的攜帶起始報文標(biāo)識的響應(yīng)����; 相應(yīng)地,所述獲取模塊�,具體為第一獲取單元;所述第一獲取單元�����,用于向所述接入終端發(fā)送基于EAP—ETNC的完整性驗證請求消息, 所述完整性驗證請求消息中攜帶指示標(biāo)識�,所述指示標(biāo)識用于指示所述接入終端根據(jù)所述完 整性驗證請求消息返回相應(yīng)的可信信息;接收來自所述接入終端的基于EAP—ETNC的響應(yīng)消 息��,所述響應(yīng)消息中攜帶進(jìn)行完整性驗證的可信信息���;相應(yīng)地�����,所述處理模塊具體為第一處理單元����;所述第一處理單元��,用于根據(jù)所述第一獲取單元獲取的可信信息對所述接入終端進(jìn)行完 整性驗證��,向所述接入終端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息�����,所述攜帶驗證結(jié)果的 消息中攜帶結(jié)束報文標(biāo)識和過濾器標(biāo)識����。
16��、 如權(quán)利要求14所述的服務(wù)器�����,其特征在于,所述服務(wù)器具體為接入服務(wù)器����,所述接 入服務(wù)器還包括通信模塊,用于接收所述接入終端的接入請求�����; 相應(yīng)地���,所述獲取模塊����,具體為第二獲取單元����;所述第二獲取單元�,用于向所述接入終端發(fā)送基于EAP—ETNC的認(rèn)證請求消息����,所述認(rèn) 證請求消息攜帶起始報文標(biāo)識、指示標(biāo)識����;所述指示標(biāo)識用于指示所述接入終端根據(jù)所述認(rèn) 證請求消息返回相應(yīng)的可信簽名;接收所述接入終端發(fā)送的基于EAP—ETNC的響應(yīng)消息��,所 述響應(yīng)消息中攜帶可信簽名�;獲取所述可信簽名;相應(yīng)地�,所述處理模塊具體為第二處理單元;所述第二處理單元��,用于根據(jù)所述第二獲取單元獲取的可信簽名驗證所述接入終端�,向 所述接入終端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息,所述消息中攜帶結(jié)束報文標(biāo)識和過 濾器標(biāo)識�。
17、 如權(quán)利要求H所述的服務(wù)器��,其特征在于�����,所述服務(wù)器具體為修復(fù)服務(wù)器,所述修復(fù)服務(wù)器還包括通信模塊�,用于向接入終端發(fā)送基于EAP—ETNC的修復(fù)認(rèn)證請求消息,所述修復(fù)認(rèn)證請 求消息中攜帶起始報文標(biāo)識����、指示標(biāo)識,所述指示標(biāo)識用于指示所述請求消息用于進(jìn)行修復(fù) 認(rèn)證����;接收所述接入終端返回的攜帶指示標(biāo)識的響應(yīng)消息,來自所述接入終端的指示標(biāo)識用 于表示所述接入終端進(jìn)行修復(fù)認(rèn)證���;相應(yīng)地,所述獲取模塊�,具體為第三獲取單元;所述第三獲取單元����,用于向所述接入終端發(fā)送基于EAP—ETNC的修復(fù)請求消息,所述修 復(fù)請求消息中攜帶指示標(biāo)識��;所述指示標(biāo)識用于指示所述接入終端根據(jù)所述修復(fù)請求消息返 回相應(yīng)的修復(fù)數(shù)據(jù)����;接收所述接入終端發(fā)送的基于EAP—ETNC的響應(yīng)消息���,所述響應(yīng)消息中 攜帶修復(fù)數(shù)據(jù),獲取所述修復(fù)數(shù)據(jù)�;相應(yīng)地,所述處理模塊具體為第三處理單元����;所述第三處理單元,用于根據(jù)所述第三獲取單元獲取的修復(fù)數(shù)據(jù)驗證所述接入終端是否 修復(fù)成功���,向所述接入終端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息�����,所述消息中攜帶結(jié)束 報文標(biāo)識和過濾器標(biāo)識���。
18、 一種終端�����,其特征在于�����,所述終端包括接收模塊和發(fā)送模塊, 所述接收模塊���,用于接收服務(wù)器發(fā)送基于EAP—ETNC的請求消息��;并接收所述服務(wù)器發(fā)送的基于EAP-ETNC的攜帶驗證結(jié)果的消息�;所述發(fā)送模塊���,用于根據(jù)接收模塊接收到的請求消息���,向所述服務(wù)器發(fā)送基于EAP—ETNC 的響應(yīng)消息,所述響應(yīng)消息中攜帶進(jìn)行驗證所需要的信息�。
19、如權(quán)利要求18所述的終端�,其特征在于��,所述終端還包括通信模塊��,用于向接入服務(wù)器發(fā)送接入請求�����,接收所述接入服務(wù)器發(fā)送的攜帶起始報文標(biāo)識的基于EAP—ETNC的認(rèn)證請求后���;向所述接入服務(wù)器發(fā)送攜帶起始報文標(biāo)識的響應(yīng)�����; 相應(yīng)地�,所述接收模塊具體為第一接收單元;所述第一接收單元����,用于接收所述接入服務(wù)器發(fā)送的基于EAP—ETNC的完整性驗證請求 消息,所述完整性驗證請求消息中攜帶指示標(biāo)識�,所述指示標(biāo)識用于指示所述接入終端根據(jù) 所述完整性驗證請求消息返回相應(yīng)的可信信息;并接收所述接入服務(wù)器發(fā)送的基于EAP-ETNC 的攜帶驗證結(jié)果的消息����,所述攜帶驗證結(jié)果的消息中攜帶結(jié)束報文標(biāo)識和過濾器標(biāo)識;相應(yīng)地�,所述發(fā)送模塊具體為第一發(fā)送單元;所述第一發(fā)送單元���,用于在所述第一接收單元收到所述接入服務(wù)器發(fā)送的所述完整性驗 證請求消息后���,根據(jù)所述指示標(biāo)識,向所述接入服務(wù)器發(fā)送基于EAP—ETNC的響應(yīng)消息,所 述響應(yīng)消息中攜帶進(jìn)行完整性驗證的可信信息�。
20、 如權(quán)利要求18所述的終端����,其特征在于,所述終端還包括 通信模塊�,用于向所述接入服務(wù)器發(fā)送接入請求;相應(yīng)地���,所述接收模塊具體為第二接收單元�;所述第二接收單元��,用于接收所述接入服務(wù)器發(fā)送的基于EAP—ETNC的認(rèn)證請求消息���, 所述認(rèn)證請求消息攜帶起始報文標(biāo)識����、指示標(biāo)識�����;所述指示標(biāo)識用于指示所述接入終端根據(jù) 所述認(rèn)證請求消息返回相應(yīng)的可信簽名�����;并接收所述接入服務(wù)器發(fā)送的基于EAP-ETNC的攜帶 驗證結(jié)果的消息��,所述消息中攜帶結(jié)束報文標(biāo)識和過濾器標(biāo)識�����。相應(yīng)地�����,所述發(fā)送模塊具體為第二發(fā)送單元��;所述第二發(fā)送單元����,用于在所述第二接收單元接收到所述接入服務(wù)器發(fā)送的認(rèn)證請求消息后,向所述接入服務(wù)器發(fā)送基于EAP-ETNC的響應(yīng)消息���,所述響應(yīng)消息中攜帶可信簽名�����。
21�、 如權(quán)利要求18所述的終端,其特征在于����,所述終端還包括通信模塊,用于接收修復(fù)服務(wù)器發(fā)送的基于EAP—ETNC的修復(fù)認(rèn)證請求消息����,所述修復(fù) 認(rèn)證請求消息中攜帶起始報文標(biāo)識、指示標(biāo)識�,所述指示標(biāo)識用于指示所述請求消息用于進(jìn) 行修復(fù)認(rèn)證;向所述修復(fù)服務(wù)器發(fā)送攜帶指示標(biāo)識的響應(yīng)消息�,來自所述接入終端的指示標(biāo) 識用于表示所述接入終端進(jìn)行修復(fù)認(rèn)證;相應(yīng)地���,所述接收模塊具體為第三接收單元-所述第三接收單元�,用于接收所述修復(fù)服務(wù)器發(fā)送的基于EAP—ETNC的修復(fù)請求消息�, 所述修復(fù)請求消息中攜帶指示標(biāo)識;所述指示標(biāo)識用于指示所述接入終端根據(jù)所述修復(fù)請求 消息返回相應(yīng)的修復(fù)數(shù)據(jù)�����;并接收所述修復(fù)服務(wù)器發(fā)送的基于EAP-ETNC的攜帶驗證結(jié)果的消 息���,所述消息中攜帶結(jié)束報文標(biāo)識和過濾器標(biāo)識;相應(yīng)地,所述發(fā)送模塊具體為第三發(fā)送單元�����;所述第三發(fā)送單元���,用于在所述第三接收單元接收到所述修復(fù)服務(wù)器發(fā)送的基于EAP— ETNC的修復(fù)請求消息后����,向所述修復(fù)服務(wù)器發(fā)送基于EAP—ETNC的響應(yīng)消息��,所述響應(yīng)消息 中攜帶修復(fù)數(shù)據(jù)�����。
全文摘要
本發(fā)明公開了實現(xiàn)可信信息傳遞的方法��、系統(tǒng)和設(shè)備�����,屬于通信領(lǐng)域�����。所述方法包括服務(wù)器向接入終端發(fā)送基于EAP-ETNC的請求消息;所述請求消息用于向所述接入終端請求進(jìn)行驗證所需要的信息�;接收來自所述接入終端的基于EAP-ETNC的響應(yīng)消息,所述響應(yīng)消息中攜帶進(jìn)行驗證所需要的信息����;根據(jù)所述信息對所述接入終端進(jìn)行驗證,向所述接入終端發(fā)送基于EAP-ETNC的攜帶驗證結(jié)果的消息���。所述系統(tǒng)包括接入終端和服務(wù)器���。服務(wù)器包括獲取模塊和處理模塊。終端包括接收模塊和發(fā)送模塊�。本發(fā)明通過提供的EAP-ETNC,可以成功實現(xiàn)可信接入��、可信修復(fù)和可信簽名信息傳遞��,并且可以對EAP-ETNC進(jìn)行擴展��,以滿足可信接入技術(shù)今后發(fā)展所需要承載多種新型數(shù)據(jù)的要求�����。
文檔編號H04L12/56GK101656661SQ20081014710
公開日2010年2月24日 申請日期2008年8月18日 優(yōu)先權(quán)日2008年8月18日
發(fā)明者丁一蘭, 厲益舟, 晶 張, 健 王, 賈翔鵬, 紀(jì) 趙 申請人:華為技術(shù)有限公司