技術領域

本發明涉及一種適合三元對等鑒別可信網絡連接架構的網絡傳輸方法。

背景技術

隨著信息化的發展，病毒、蠕蟲等惡意軟件的問題異常突出。目前已經出現了超過三萬 五千種的惡意軟件，每年都有超過四千萬的計算機被感染。要遏制住這類攻擊，不僅通過解 決安全的傳輸和數據輸入時的檢查，還要從源頭即從每一臺連接到網絡的終端開始防御。而 傳統的安全防御技術已經無法防御種類繁多的惡意攻擊。

國際可信計算組織(Trusted?Computing?Group，TCG)針對這個問題，專門制定了一個 基于可信計算技術的網絡連接規范枛可信網絡連接(Trusted?Network?Connect，TNC)，簡 記為TCG-TNC，其包括了開放的終端完整性架構和一套確保安全互操作的標準。TCG-TNC架構 參見圖1。

由于TCG-TNC架構中的策略執行點處于網絡邊緣，且訪問請求者不對策略執行點進行平 臺鑒別，所以該架構存在策略執行點不可信賴的問題。為了解決這一問題，一種基于三元對 等鑒別(Tri-element?Peer?Authentication，TePA)的TNC架構被提出。基于TePA的TNC架 構參見圖2。

可擴展鑒別協議(Extensible?Authentication?Protocol，EAP)是一個鑒別框架，它 用于點到點的鑒別，可支持多種鑒別機制。EAP并不在鏈路控制階段指定鑒別方法，而是把 這個過程推遲到鑒別階段。這樣鑒別器就可以要求更多的信息以后再決定使用什么鑒別方法 。這種機制允許使用一臺“后端”鑒別服務器來真正執行鑒別機制，而鑒別器只是傳遞鑒別 交換信息。

由于EAP僅僅是一個適合點到點鑒別協議的鑒別框架，所以EAP不適合實現三方鑒別協議 ，如：三元對等鑒別協議枛鑒別雙方基于可信第三方來實現雙向鑒別。為了滿足三方鑒別協 議的需要，一種適合三方鑒別協議的鑒別框架構枛三元鑒別可擴展協議(Tri-element Authentication?Extensible?Protocol，TAEP)被提出，其中TAEP包的格式與EAP包的格式 類同，但TAEP的層次模型與EAP不相同。

TAEP包的格式如下：

Code

Code字段長度為1個八位位組，表示TAEP分組的類型：

1????Request

2????Response

3????Success

4????Failure

Identifier

Identifier字段長度為1個八位位組，用于匹配Request和Response分組。

Length

Length字段長度為2個八位位組，表示整個TAEP分組的八位位組數，即指包括Code、 Identifier、Length和Data所有字段的長度總和。

Data

Data字段長度可變，分組含0個或多個八位位組，其格式由Code字段的值決定。若Code 字段的值為Request或Response，則Data字段包含Type字段和Type-Date字段，其中Type字段 可為Identity和TP?Authentication等。若Code字段的值為Success或Failure，則Data字段 不存在。

TAEP復用模型如圖3所示：

TAEP消息交換的步驟如下：

1)鑒別訪問控制器發送Request分組給請求者要求開始鑒別，Request有一個Tpye字段 指示請求的類型，Type字段是Identity，表示身份；

2)請求者發送Response分組給鑒別訪問控制器來響應有效的Request，Response分組中 包含一個Type字段，對應于Request分組中的Type字段，Type-Data字段中包含有對等體的身 份；

3)鑒別訪問控制器發送Request分組給鑒別服務器，Request有一個Type字段指示請求 的類型，Type是TP?Authentication，用于向鑒別服務器請求鑒別方法類型；

4)鑒別服務器發送Response分組給鑒別訪問控制器，Response分組中包含一個Type字 段，對應于Request分組中的Type字段；