GB/T 28455-2012 信息安全技术 引入可信第三方的实体鉴别及接入架构规范

　　ICS 35. 020 L 80

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 28455—2012

　　信息安全技术 引入可信第三方的实体

　　鉴别及接入架构规范

　　Information securitytechnology—Entity authentication involving a trusted

　　thirdparty and accessarchitecturespecification

　　2012-06-29发布 2012-10-01实施

　　中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会

　　

　　发

　　

　　布

　　GB/T 28455—2012

　　目 次

　　前言 Ⅲ

　　引言 Ⅳ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 2

　　4 缩略语 2

　　5 引入可信第三方的实体鉴别及接入架构 3

　　5. 1 概述 3

　　5. 2 访问控制的范围 4

　　5. 3 系统 、角色和端 口 4

　　5. 4 端口访问实体(PAE) 8

　　5. 5 IEEE Std802. 3-2005 中端口访问控制的使用 15

　　6 链路上的 TAEP封装(TAEPoL) 15

　　6. 1 概述 15

　　6. 2 八位位组的发送和标识 15

　　6. 3 TAEPoL MPDU 在 GB/T 15629. 2(IEEE 802. 2)逻辑链路控制(LLC)中的格式 16

　　6. 4 TAEPoL MPDU 在 GB/T 15629. 3(IEEE 802. 3)中的格式 16

　　6. 5 标签 TAEPoL MPDU 17

　　6. 6 TAEPoLPDU 的格式 17

　　6. 7 接收到 TAEPoLPDU 和 TAEPoL协议格式处理的确认 21

　　7 对等鉴别访问控制协议 21

　　7. 1 概述 21

　　7. 2 鉴别过程 22

　　7. 3 PCAP状态机 23

　　8 端口接入控制管理 47

　　8. 1 一般要求 47

　　8. 2 管理功能 47

　　8. 3 被管对象 48

　　8. 4 数据类型 48

　　8. 5 鉴别访问控制器 PAE被管对象 49

　　8. 6 请求者 PAE管理对象 54

　　8. 7 系统管理对象 57

　　9 端口接入控制 MIB定义 58

　　附录 A (规范性附录) PICS形式表 85

　　附录 B (资料性附录) 基于 TAEP封装的鉴别协议 91

　　Ⅰ

　　GB/T 28455—2012

　　附录 C (资料性附录) 适用于无线城域网的 TAAA机制 116

　　附录 D (资料性附录) 局域网媒体访问控制技术 136

　　附录 E (资料性附录) 单向控制功能的考虑 219

　　参考文献 221

　　Ⅱ

　　GB/T 28455—2012

　　前 言

　　本标准按照 GB/T 1. 1—2009给出的规则起草 。

　　本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归 口 。

　　本标准主要起草单位 :西安西电捷通无线网络通信股份有限公司 、国家密码管理局商用密码检测中心 、信息安全国家重点实验室 、中国电子技术标准化研究所 、国家无线电监测中心检测中心 、西安电子科技大学 、西安邮电学院 、广州杰赛科技股份有限公司 、深圳市明华澳汉科技股份有限公司 、中国信息安全认证中心 、国家信息安全工程技术研究中心 、国家计算机网络应急技术处理协调中心 、国家信息技术安全研究中心 、公安部第一研究所 、工业和信息化部通信计量中心 、公安部信息安全等级保护评估中心 、国防科技大学 、北京市政务网络管理中心 、重庆邮电大学 、宇龙计算机通信科技(深圳)有限公司 、中国人民大学 、中国人民解放军信息安全测评认证中心 、中国电信集团公司 、国家信息中心 、北京大学深圳研究生院 、中国电力科学研究院 、北京中电华大电子设计有限责任公司 、东南大学 、中国移动通信集团设计院有限公司 、中国人民解放军信息工程大学 、江南计算技术研究所 、北京邮电大学 、上海龙照电子有限公司 、北京五龙电信技术公司 、北京网贝合创科技有限公司 、深圳市宏电技术股份有限公司 、北大方正集团公司 、海尔集团公司 、北京广信融科技术有限公司 、北京六合万通微电子技术有限公司 、弘浩明传科技(北京)有限公司 、北京城市热点资讯有限公司 、北京华安广通科技发展有限公司 、迈普通信技术有限公司 、长春吉大正元信息技术股份有限公司 、清华大学 、北京天一集成科技有限公司 、桂林电子工业学院 、西安立人科技股份有限公司 、宽带无线 IP标准工作组 、WAPI产业联盟等 。

　　本标准主要起草人 :黄振 海 、赖 晓 龙 、李 大 为 、冯 登 国 、宋 起 柱 、铁 满 霞 、曹 军 、李 建 东 、林 宁 、舒 敏 、朱志祥 、陈晓桦 、郭晓雷 、李京春 、余亚莉 、王育民 、张变玲 、肖跃雷 、高波 、高昆仑 、潘峰 、胡亚楠 、蒋庆生 、肖雳 、朱建平 、贾焰 、施 伟 年 、李 琴 、李 广 森 、吴 亚 非 、梁 朝 晖 、梁 琼 文 、罗 旭 光 、龙 昭 华 、沈 凌 云 、张 伟 、徐平平 、马华兴 、高峰 、仇洪冰 、朱 跃 生 、王 雅 辉 、兰 天 、王 志 坚 、杜 志 强 、张 国 强 、田 小 平 、田 辉 、张 永 强 、寿国梁 、毛立平 、曹竹青 、郭志刚 、高宏 、韩康 、王钢 、白国强 、陈志峰 、李建良 、李大伟 、王立仁 、高原 、岳林 、井京涛 。

　　Ⅲ

　　GB/T 28455—2012

　　引 言

　　网络通信经常处于这样的环境 ,非授权的终端设备可以物理地连接到网络上 ,授权的终端设备所连接的网络也不一定是它所期望的 , 因此在终端和网络通信前 ,需要通过鉴别和授权功能互相鉴别对方身份的合法性 , 以保证通信的安全 。对此通信和信息技术业界一直在寻找经济有效的安全解决方案 ,安全的网络应受到保护 ,免遭恶意和无意的攻击 ,并且应满足业务对信息和服务的保密性 、完整性 、可用性 、抗抵赖 、可核查性 、真实性和可靠性的要求 。

　　因此本文件的主要目标是提出一套适用于网络访问控制和身份管理的 、支撑上层业务的 、具有普遍适用性的实体鉴别与安全接入协议和结构 。本标准将采用非对称密码技术 ,并引入在线的可信第三方 ,构建鉴别协议 ,并定义网络安全接入架构 。

　　本标准主要内容是 :

　　— 引入可信第三方的实体鉴别及接入架构采用三元结构 ,将参加鉴别和授权的实体置于对等的角色 ,利用逻辑的端口控制方法完成双方的鉴别和授权 ;

　　— 本标准确定的访问控制方法可应用于无线网络访问控制 、有线网络访问控制以及 IP 自适应移动访问控制系统等 。

　　本标准的使用者是通信行业的生产企业 、检测机构和科研机构 。

　　本标准的发布机构提请注意 ,声明符合本标准时 ,可能涉及到 5. 4. 5. 4 与 “一种三元结构的对等访问控制方法 ”、“一种三元结构的对等访问控制系统 ”等相关的专利的使用 。

　　本标准的发布机构对于该专利的真实性 、有效性和范围无任何立场 。

　　该专利持有人已向本标准的发布机构保证 ,他愿意同任何申请人在合理且无歧视的条款和条件下 ,就专利授权许可进行谈判 。该专利持有人的声明已在本标准发布机构备案 。相关信息可通过以下联系方式获得 :

　　专利权人 :西安西电捷通无线网络通信股份有限公司

　　地址:西安市高新区科技二路 68号西安软件园秦风阁 A201

　　联系人 :刘长春

　　邮政编码 :710075

　　电子邮件 :ipri@iwncomm. com

　　电 话 :029-87607836

　　传 真 :029-87607829

　　网 址:http://www. iwncomm. com

　　请注意除了上述专利外 ,本标准的某些内容仍可能涉及专利 。本标准的发布机构不承担识别这些专利的责任 。

　　Ⅳ

　　GB/T 28455—2012

　　信息安全技术 引入可信第三方的实体

　　鉴别及接入架构规范

　　1 范围

　　本标准规定了引入可信第三方的实体鉴别及接入架构的一般方法 。包括 :

　　a) 引入可信第三方的实体鉴别及接入架构的框架 ;

　　b) 引入可信第三方的实体鉴别及接入架构的基本原理 ;

　　c) 定义引入可信第三方的实体鉴别及接入架构的不同级别以及相应收发数据时端口的行为 ;

　　d) 定义引入可信第三方的实体鉴别及接入架构的参与实体间的消息交互协议 ;

　　e) 定义使用消息交互协议完成引入可信第三方的实体鉴别及接入架构的过程 ;

　　f) 规定协议交互消息中的数据编码 ;

　　g) 建立引入可信第三方的实体鉴别及接入架构管理的需求 ,识别管理对象 ,定义管理操作 ;

　　h) 描述远程管理者利用简单网络管理协议(SNMP)所能进行的管理操作 ;

　　i) 描述符合本标准的设备应满足的需求 ,见附录 A。

　　本标准适用于无线网络访问控制 、有线网络访问控制和 IP 网络访问控制系统等 。

　　2 规范性引用文件

　　下列文件对于本文件的应用是必不可少的 。凡是注 日期的引用文件 ,仅注 日期的版本适用于本文件 。凡是不注日期的引用文件 ,其最新版本(包括所有的修改单)适用于本文件 。

　　GB/T 15629. 2—2008 信息技术 系统间远程通信和信息交换 局域网和城域网 特定要求 第2部分 :逻辑链路控制

　　GB/T 15629. 3—1995 信 息 处 理 系 统 局 域 网 第 3 部 分 : 带 碰 撞 检 测 的 载 波 侦 听 多 址 访 问(CSMA/CD)的访问方法和物理层规范

　　GB 15629. 11—2003 信息技术 系统间远程通信和信息交换 局域网和城域网 特定要求 第11部分 :无线局域网媒体访问控制和物理层规范

　　ISO/IEC 9798-3:1998/Amd. 1:2010 信息技术 安全技术 实体鉴别 第 3 部分 : 采用数字签名技 术 的 机 制 修 改 单 1 (Information technology—Security techniques—Entity authentication— Part3:Mechanisms using digital signature techniques—Amendment1)

　　IEEE Std802. 3TM-2005 局 域 网 和 城 域 网 规 范 第 3 部 分 : 带 检 测 冲 突 的 载 波 检 测 多 址 存 取 (CSMA/CD)方法和物理层规范[IEEE Standard for Local and Metropolitan Area Networks—Part3: Carrier Sense Multiple Access with Collision Detection (CSMA/CD) Access Method and Physical Layer Specifications]

　　IEEE Std802. 1DTM-2004 局域网和城域网规范 媒体访问控制桥[IEEE Standard for Localand Metropolitan Area Networks—Media Access Control(MAC) Bridges]

　　IEEE Std802. 1QTM-2003 局域网和城域网规范 局域网虚拟桥 (IEEE Standards for Local and Metropolitan Area Networks—VirtualBridged LocalArea Networks)

　　IEEE Std802. 1xTM-2004 局域网和城域网规范 基于端口的网络访问控制 (IEEE Standards for Localand Metropolitan Area Networks—Port-Based Network Access Control)

　　1

　　GB/T 28455—2012

　　3 术语和定义

　　下列术语和定义适用于本文件 。

　　3. 1

　　鉴别访问控制器 authentication accesscontroller

　　位于点到点链路一端的实体 ,该实体可以鉴别和被鉴别另外一端的实体 ,它与鉴别服务器有直接的通信 。

　　3. 2

　　请求者 requester

　　REQ

　　位于点到点链路一端的实体 ,该实体可以鉴别和被鉴别另外一端的实体 ,它必须通过鉴别访问控制器与鉴别服务器通信 。

　　3. 3

　　鉴别服务器 authentication server

　　AS

　　提供鉴别服务给请求者和鉴别访问控制器 ,使请求者和鉴别访问控制器可以相互鉴别 。 3. 4

　　桥端口 bridgeport

　　IEEE802. 1D或者 802. 1Q桥的端 口 。

　　3. 5

　　边缘端口 edgeport

　　连到一个 LAN 的端 口 ,该 LAN 没有连接其他桥 。

　　3. 6

　　网络接入端口 network accessport

　　系统和链路的连接点 ,它可以是物理端 口 ,如一个 LAN MAC,或是一个逻辑端 口 ,如 GB 15629.11中工作站和无线接入点的关联 。

　　3. 7

　　端口访问实体 portaccessentity

　　PAE

　　关联于端口的协议实体 ,它可以支持自适应 、请求者或鉴别访问控制器的功能 。

　　3. 8

　　系统 system

　　有一个或多个网络接入端口的设备 ,包括终端工作站 、服务器 、桥和路由器等 。

　　4 缩略语

　　AAC

　　鉴别访问控制器

　　Authentication Access Controller

　　AS

　　鉴别服务器

　　Authentication Server

　　ASF

　　警告标准论坛

　　Alerting Standards Forum

　　CBAP

　　基于证书的鉴别协议

　　Certificate Based Authentication Protocol

　　CHAP

　　挑战握手认证协议

　　Challenge Handshake Authentication Protocol

　　CMAP

　　基于证书的 WMAN鉴别协议

　　Certificate-based WMAN Authentication Protocol

　　2

　　GB/T 28455—2012

　　DHCP

　　动态主机配置协议 Dynamic HostConfiguration Protocol

　　FDDI

　　分布式光纤数据接 口 FiberDistributed Data Interface

　　IBAP

　　基于身份签名的鉴别协议 Identity Based Authentication Protocol

　　IP

　　互联网协议 InternetProtocol

　　LAC

　　链路访问控制 Link Access Control

　　LAN

　　IEEE 802局域网 IEEE 802 LocalArea Network

　　LLC

　　逻辑链接控制 Logical Link Control

　　MAC

　　媒体访问控制 Media Access Control

　　MIC

　　消息完整性校验 Message Integrity Check

　　MPDU

　　MAC 协议数据单元 MAC ProtocolData Unit

　　OID

　　客体标识符 ObjectIdentifier

　　OUI

　　组织全球惟一性标识 Organizationally Unique Identifier

　　PCAP

　　对等控制访问协议 Peer ControlAccess Protocol

　　PDU

　　协议数据单元 ProtocolData Unit

　　Port

　　网络访问端 口 network access port

　　PPP

　　点到点协议 Point-to-PointProtocol

　　REQ

　　请求者 Requester

　　SNAP

　　子网络访问协议 Subnetwork Access Protocol

　　SNMP

　　简单网络管理协议 Simple Network ManagementProtocol

　　TAEP

　　三元鉴别可扩展协议 Tri-elementAuthentication Extensible Protocol

　　TAEPoL

　　基于链路的三元鉴别可扩展协议 TAEP over Link

　　TePA

　　三元对等鉴别 Tri-elementPeer Authentication

　　TePA-AC

　　基于三元对等鉴别的访问控制技术TePA-based Access Control

　　TP

　　可信第三方 the Trusted third Party

　　VLAN

　　虚拟局域网 Virtual LAN

　　5 引入可信第三方的实体鉴别及接入架构

　　5. 1 概述

　　引入可信第三方的实体鉴别及接入系统采用三元结构 ,将参加鉴别和授权的实体置于对等的角色 ,利用逻辑的端口控制方法完成双方的鉴别和授权 。本标准确定的访问控制方法可应用于无线网络访问控制 、有线网络访问控制以及 IP 自适应移动访问控制系统等 。

　　本章描述了引入可信第三方的实体鉴别及接入系统的结构框架 、控制功能以及采用该机制的设备所进行的各项操作之间的关系 。

　　引入可信第三方的实体鉴别及接入架构对系统功能进行了扩展 ,它提供了一种访问控制方法 ,可以用来阻止请求者对鉴别访问控制器系统的资源进行未授权的访问 , 同时阻止请求者误访问未授权的鉴别访问控制器系统 ; 还 可 以 让 请 求 者 用 来 阻 止 来 自 未 授 权 鉴 别 访 问 控 制 器 系 统 的 连 接 。 例 如 , 对 于MAC桥系统 ,引入可信第三方的实体鉴别及接入架构可以实现限制用户只能访问公共桥端 口 ,或者在一个组织内 , 限制组织内资源只能被组织内用户访问等应用场景 。访问控制是通过对连接在受控端 口上的系统进行鉴别来实现的 ,所谓端口是指参加鉴别和授权的实体附着于它们之间的逻辑点到点连接的接 口 ,例如 GB 15629. 11—2003无线局域网的关联 、GB/T 15629. 3—1995 LAN 交换机的端 口 。 根据鉴别的结果 ,请求者系统或鉴别访问控制器系统决定是否给予对方授权 ,允许对方通过受控端口访问自己的资源 。如果对方没有获得授权 ,根据受控端口的 OperControlledDirections参数限制在请求者系统和鉴别访问控制器系统间未授权的数据流动 。 引入可信第三方的实体鉴别及接入架构采用基于三元

　　3

　　GB/T 28455—2012

　　对等鉴别的访问控制技术(TePA-AC) ,可以被一个系统用来鉴别其他任何连接在该系统受控端口上的系统 ,系统可以是路由器 、终 端 设 备 、交 换 机 、无 线 接 入 点 、无 线 基 站 、网 关 、应 用 程 序 等 。 附 录 C 和 附录 D描述了三元对等鉴别的访问控制在城域网和局域网设备的参考实现 。

　　本标准中 ,请求者系统和鉴别访问控制器系统之间的鉴别采用基于密码技术的鉴别协议实现 。鉴别协议运行要求双方具有 “密钥 ”的信任基础 , 即双方共享一个秘密 — 密钥 ,作为双方的信任凭证 。如果只有请求者系统和鉴别访问控制器系统这两种实体 ,密钥管理将是对多个请求者系统和多个鉴别访问控制器系统之间的管理 ,也就是管理多对多的信任关系 。多对多的信任关系导致系统实现异常复杂 ,为了降低系统实现的复杂性 ,本标准定义了第三种实体— 鉴别服务器 。鉴别服务器和请求者系统有“密钥 ”的信任基础 ,鉴别服务器和鉴别访问控制器系统也有 “密钥 ”的信任基础 ,而请求者系统和鉴别访问控制器系统之间没有 “密钥 ”的信任基础 。这样多对多的信任关系将演变为两个多对一的信任关系 ,有效地降低了系统实现的复杂性 。

　　本标准中 ,请求者系统和鉴别访问控制器系统之间的鉴别可以通过鉴别服务器作为中介来实现 ,鉴别协议在请求者系统 、鉴别访问控制器系统和鉴别服务器三个实体上运行 ,称为三元对等鉴别 。

　　5. 2 访问控制的范围

　　引入可信第三方的实体鉴别及接入架构的操作假设所操作的端口在请求者与鉴别访问控制器之间提供点到点的连接 。

　　本标准提供了一个用于在请求者与鉴别访问控制器之间 、鉴别访问控制器和鉴别服务器之间传递消息的协议 ,并根据协议执行的结果来决定请求者与鉴别访问控制器的端口状态 。

　　5. 3 系统、角色和端口

　　5. 3. 1 概述

　　系统的端口提供了一种手段 ,通过该方式可以访问其他系统提供的服务 ,也可以通过该方式向其他系统提供服务 。 引入可信第三方的实体鉴别及接入架构可以控制系统的端口状态 ,保证只有被授权的系统才能访问该系统提供的服务 ,或者访问被授权系统提供的服务 。

　　为了描述引入可信第三方的实体鉴别及接入架构的操作 ,一个系统的端 口 (更准确地说 ,是端 口 的端口控制实体 PAE)可以采用以下两种角色 :

　　— 鉴别访问控制器(AAC) :如果系统需要通过端口提供资源给其他系统访问 ,那么它采用鉴别访问控制器的角色 ;鉴别访问控制器也可以通过该端口访问其他系统的资源 ,鉴别访问控制器可以直接与鉴别服务器通信 。

　　— 请求者(REQ) :如果系统需要通过端口访问其他系统提供的资源 ,那么它采用请求者的角色 ;请求者要通过鉴别访问控制器与鉴别服务器通信 。

　　另外还定义了一个系统角色 :

　　— 鉴别服务器(AS) :鉴别访问控制器和请求者进行鉴别时 ,需要通过鉴别服务器完成鉴别协议的交互过程 。鉴 别 服 务 器 作 为 鉴 别 访 问 控 制 器 和 请 求 者 共 同 信 任 的 可 信 第 三 方 提 供 初 始信任 。

　　以上描述的三种角色在通常情况下的系统中都需要 , 以完成鉴别协议交换 。但在某些特殊情况下 ,鉴别服务器并不是必须存在的 。例如 , 当两个系统采用共享密钥鉴别 ,且不需要其他的管理时 ,鉴别服务器就没有必要存在 。一个系统可以采用其中一个角色或多个角色 ,例如 ,AAC可和 AS在一个系统中实现;PAE可以在一个协议交换中采用 AAC角色 ,而在另一个协议交换中采用 REQ角色 。

　　4

　　GB/T 28455—2012

　　5. 3. 2 受控端口与非受控端口

　　引入可信第三方的实体鉴别及接入架构在系统和链路的连接点上建立两个不同的访问点 ,一个是非受控端 口 ,不论授权状态如何 ,允许链路上的系统之间不受控地交换数据包 ;一个是受控端 口 ,只有处于授权状态 ,才允许交换数据包 。非受控端口和受控端口是同一连接点的两个部分 ,从物理连接点得到的数据帧会被它们同时得到 。见图 1。

　　说明 : 尽管数据包在受控端口和非受控端口均可得到 ,但协议实体在某一时刻只能关联到其中一个端 口 。

　　图 1 受控端口与非受控端口

　　系统与链路的连接点可以是物理端 口 ,也可以是逻辑端 口 ,该端口提供到其他系统的一对一连接 。例如 ,在交换的 LAN 中 ,该连接点可以通过 MAC地址实现 ,MAC地址使鉴别访问控制器和请求者之间一对多的关系成为可能 ;在 IP 网络中 ,该连接点可以通过 IP地址实现 ;对于应用程序 ,该连接点可以通过应用程序和会话层/传输层的接口实现 ;在 GB 15629. 11—2003无线局域网中 ,无线接入点和工作站之间存在独立的关联实现一对一的连接 ; 在 PPP 连接中 ,终端和网关之间是点对点的连接 。 在本标准中 ,两个系统之间建立单独的关联是引入可信第三方的实体鉴别及接入架构方法实施的前提条件 。

　　受控端口和非受控端口是逻辑概念 ,它将数据流进行了分类 。管理和控制流可以通过非受控端 口 ,信息流则通过受控端 口 ,在不影响系统通信管理的前提下 ,通过受控端口对信息流进行控制 。

　　图 2 描述了受控端 口 AuthControlledPortStatus和 LAC控制的结果 。 任何对链路的访问都要受到端口的链路访问控制能力 LAC(LAC在 802网络是 MAC,在 IP 网络中是 IP) 当前的管理性和可操作性状态以及 AuthControlledPortStatus参数的控制 。如果 LAC在物理上或管理上不可操作时 ,那么无论在受控端口还是非受控端口都不会发生基于 LAC 的任何协议交换 。在图 2 的系统 1 中 , 因为到链路连接点的 LAC是可操作的 ,受控端口和非受控端口均可访问链路 ;而在图 2 的系统 2 中 , 因为到链路连接点的 LAC是不可操作的 ,受控端口和非受控端口都不能访问链路 ,LAC 的不可操作性也导致系统的受控端口状态为非授权的 。

　　AuthControlledPortStatus通过一个开 关 来 表 示 , 开 或 者 关 表 示 允 许 或 阻 止 数 据 包 通 过 该 端 口 。图 2 中有两个系统 ,每个系统均有一个受控端 口 ,端 口 的 OperControlledDirections参数为 Both。 图 2的系统 2 中受控端口的 AuthControlledPortStatus为 Unauthorized, 因此不允许数据包通过 ,故开关的状态是断开的 ; 图 2 的系统 1 中受控端 口 AuthControlledPortStatus为 Authorized, 因此允许数据包通过的 ,故开关的状态是闭合的 。

　　5

　　GB/T 28455—2012

　　图 2 LAC对端口的影响

　　除了 AuthControlledPortStatus以外 ,受控端 口 的 AuthControlledPortControl参数使管理员可以控制端口的授权状 态 。 该 参 数 有 3 个 值 : 强 制 授 权 的 ForceAuthorized、自 动 的 Auto、强 制 非 授 权 的Force Unauthorized, 其 默 认 值 为 Auto。 AuthControlledPortStatus和 AuthControlledPortControl之间的关系如下 :

　　— 当 AuthControlledPortControl的值为 ForceUnauthorized 时 ,使得鉴别访问控制器或请求者状态机将受控端 口 AuthControlledPortStatus的值设置为 Unauthorized, 即 受 控 端 口 无 条 件地设置为未授权 ;

　　— 当 AuthControlledPortControl 的值为 ForceAuthorized 时 ,使得鉴别访问控制器或请求者状态机将 AuthControlledPortStatus的值设置为 Authorized, 即受控端口 无 条 件 地 鉴 别 访 问 控制器或请求者为授权 ;

　　— 当 AuthControlledPortControl的值为 Auto时 ,鉴别访问控制器和请求者状态机根据请求者 、鉴别访问控制器和鉴别服务器之间的鉴别交换的结果确定 AuthControlledPortStatus的值 。

　　在上述 3种情况中 ,AuthControlledPortStatus的值直 接 反 映 鉴 别 访 问 控 制 器 和 请 求 者 状 态 机 中portStatus变量的值 。 以下 3个因素影响 portStatus变量的值 :

　　— 鉴别访问控制器状态机的授权状态(如果端口上没有实施状态机 ,则认为是 “授权的 ”) 。

　　— 请求者状态机的授权状态(如果端口没有实施状态机 ,则认为是 “授权的 ”) 。

　　—REQ Access ControlWith AAC Administrative Control参数 。该参数有两个可能值 :Active和 Inactive,默认是 Inactive,支持 Active是可选的 。 只有当 AAC状态机和 REQ状态机在 一个端口都实现时 ,该参 数 才 有 效 。 如 果 该 参 数 值 是 Inactive,则 portStatus参 数 值 仅 被 AAC状态机的授权状态确定 。如果该参数的值是 Active,则 portStatus参数值被 AAC状态机和REQ状 态 机 共 同 决 定 , AAC 和 REQ 状 态 机 中 任 何 一 个 状 态 是 Unauthorized 时 , 则portStatus参数值为 Unauthorized。

　　一个系统中每个端 口 的 AuthControlledPortControl参数值都受到系统 SystemAuthControl参数值的控 制 。 SystemAuthControl参 数 值 可 以 为 Enabled 和 Disabled, 默 认 值 是 Disabled。 如 果 Sys- temAuthControl被置为 Enabled,那么鉴别对于系统即为可用 ,则每个端 口 的授权状态均由 AuthCon- trolledPortControl参数来控制 。如果 SystemAuthControl被置为 Disabled,则表示所有端 口 的 Auth- ControlledPortControl参 数 均 被 置 为 ForceAuthorized。 实 际 上 , 将 SystemAuthControl参 数 设 置 为Disabled会导致所有端口的鉴别被禁止 ,使得所有受控端口被授权 。

　　通常希望其他系统的协议交换使用本系统的一个或多个受控端 口 ,然而 ,一个给定的协议可能需要绕过授权功能而使用非受控端 口 。 图 3显示了鉴别访问控制器系统和请求者系统中的受控和非受控端口 , 以及 PAEs根据授权交换的结果来控制受控端口的授权状态 ,其中 , 为了完成协议交换 ,PAEs需要利用非受控端 口 。

　　6

　　GB/T 28455—2012

　　图 3 鉴别访问控制器系统和请求者系统中的受控和非受控端口

　　图 4显示了请求者 、鉴别访问控制器和鉴别服务器 , 以及它们之间信息交换的关系 。

　　图 4 请求者、鉴别访问控制器和鉴别服务器系统

　　图 4 中 ,鉴别访问控制器和请求者的受控端口为未授权状态 , 因此请求者系统无法访问鉴别访问控制器系统提供的服务 。 两 个 PAE 利 用 各 自 的 非 受 控 端 口 , 使 用 鉴 别 协 议 互 相 通 信 , 鉴 别 访 问 控 制 器PAE通过高层协议负载的鉴别协议与鉴别服务器进行通信 。

　　鉴别访问控制器和鉴别服务器之间的通信可以利用 LAN ,或使用其他通信信道 。如果鉴别服务器和鉴别访问控制器没有设置在一台设备上 ,则其之间应进行鉴别协议交换 。

　　5. 3. 3 接收和发送控制

　　每个受控端口的受控方向参数 AdminControlledDirections和 OperControlledDirections决定未授权的控制端口是对双向的通信进行控制(向内进入的帧和向外发送的帧) ,还是仅对来向通信(仅只对向内进入的帧)进行控制 。受控方向参数取值为 Both或 In。这两个参数的含义如下 :

　　于 Both。

　　— 制(A)d。m如in果 Ad(Contr)m(o)lin(D)iC(re)o(c)ntro(tion)edD(Bot)ir(h)e:ct(表)ion(示)B(受)oth(控端),则 Ope(口的向)rC(内)on(进)tr(入)o和lled(向)D(外)irt(送)io参(双)数(向)的(传)值(输)无(均)条(进)件(行)等(控)

　　7

　　—AdminControlledDirection= In:表示仅对受控端 口 向内进入的传输进行控 制 。 如 果 Admin-

　　GB/T 28455—2012

　　务(C)o可用(ntro)l时le为 In(dDire)ti然(o)n而(s)=,如(In)果,出(则)现下(Ope)r列(C)o任(nt)何(ro)l一le种(dD)情ire况(ct)i,o则(n)sOp(参)Co(的)nt(值)rl初ledD(始)ict(且)is口参数值(的 LA)将(C)为(服)

　　Both:

　　● 端口是一个桥端 口 ,且桥检测状态机(见 IEEE Std802. 1D-2004中的第 17章)检测到另外一个桥连接到该端 口 ;

　　● 端口是一个桥端 口 ,且该端口的 Edge Port参数值为 FALSE;

　　● 端口的 LAC不可用 。

　　AdminControlledDirection参数的值只能通过管理操作进行修改 。 引入可信第三方的实体鉴别及接入架构的实施应支持能够独立地将每个受控端 口 的 AdminControllledDirection参数设置为 Both以及独立地将每个受控端口的 AdminControllledDirection参数设置为 In。

　　注 : 当一个与受控端口相连的设备需要从受控端口获得协议消息 , 即从受控端口传输出去协议消息 , 以支持某种形式的启动或初始化时(例如 ,Wake-on-LAN) ,In的设置允许基于端 口 的访问控制将安全条件放宽 ,但 是 它 仍 然希望在鉴别完成之前阻止与之相连的设备给 受 控 端 口 发 送 数 据(参 见 E. 1) 。很 明 显 ,受 控 端 口 采 用 这 种 形 式放宽的安全限制 ,减弱了基于端口的访问控制处理某些攻击的有效性 。

　　5. 4 端口访问实体(PAE)

　　5. 4. 1 概述

　　端口访问实体(PAE)对第 7章定义的协议进行操作 。对于支持端口访问控制功能的系统 ,每个端口都存在 PAE,无论该系统扮演请求者角色还是鉴别访问控制器角色 。

　　在鉴别交换中扮演请求者角色的 PAE被称为请求者 PAE。

　　在鉴别交换中扮演鉴别访问控制器角色的 PAE被称为鉴别访问控制器 PAE。

　　这两种 PAE角色均根据鉴别过程的结果控制受控端口的授权/未授权状态 。

　　5. 4. 2 鉴别访问控制器角色

　　鉴别访问控制器 PAE负责对连接到其受控端口的请求者 PAE进行鉴别 ,并且对受控端 口 的授权状态进行相应的控制 。

　　在鉴别过程中 ,鉴别访问控制器 PAE可能会使用鉴别服务器 。 鉴别服务器可能与鉴别访问控制器处于同一系统 ,或者处于能通过远程通讯机制 、基于 LAN 或其他机制进行访问的其他系统中 。请求者 PAE和鉴别访问控制器 PAE 的通信 , 以及鉴别访问控制器 PAE和鉴别服务器(当鉴别服务器和鉴别访问控制器不在同一个系统中时)之间的通信将通过第 7章描述的协议和程序来完成 。

　　5. 4. 3 请求者角色

　　请求者 PAE负责将请求者的鉴别凭证发送给鉴别访问控制器 PAE,作为对鉴别访问控制器 PAE请求的响应 ,还负责根据与鉴别访问控制器 PAE进行鉴别交换的结果来控制受控端口的授权状态 。请求者 PAE也可能发起鉴别交换 ,完成特定的注销交换 。

　　5. 4. 4 端口访问限制

　　鉴别一般发生在系统初始化时或者请求者系统连接到鉴别访问控制器系统的端口时 。在鉴别成功完成之前 ,请求者系统只能访问鉴别访问控制器系统来完成鉴别交换 ,或者访问鉴别访问控制器系统提供的、没有访问控制限制的、处于鉴别访问控制器非受控端口上或者请求者非受控端口上的服务(见 5. 3) 。一旦鉴别成功完成 ,两个系统均允许请求者系统访问通过鉴别访问控制器系统受控端口提供的服务 。

　　支持受控端口的 LAC的操作状态可以被启用或禁用 。如果 LAC的操作状态为禁用 ,那么无论受控端口的授权状态是什么 ,LAC都不能使用 。

　　8

　　GB/T 28455—2012

　　注 1: IEEE Std 802. 1D-2004 中 的 第 6 章 描 述 了 表 示 端 口 的 MAC 启 用/禁 用 状 态 的 桥 (Bridge) 端 口 。

　　GB/T 15629. 3—1995描述了类似的参数 ,它定义了通过聚合提供的逻辑端口的启用/禁用状态 。

　　在使用 PAE 的系统中 ,受控端口在鉴别之前一直处于未授权状态 , 因此是禁用的 。一旦鉴别成功 ,且 PAE决定授权所鉴别的用户来访问受控端 口 ,则受控端口将进入授权状态 。如果受控端口没有被其他原因禁用(例如 , 由于管理方面的原因而禁用 LAC) ,受控端口就可以使用(见 5. 3) 。

　　注 2: 当鉴别访问控制器系统的受控端口处于未授权状态时 ,动态主机配置协议(DHCP)和其他初始化传输可能不会通过受控端口发送和接收 ,这 依 赖 于 端 口 控 制 的 层 次 和 端 口 的 ControlledDirection参 数 。 因 此 , 鉴 别 需 要在终端工作站的初始化序列时就进行(例如 ,在 DHCP和 IP初始化之前) 。 当请求者的受控端口处于未授权状态时 ,不能发送和接收 DHCP和其他初始化传输 。请求者在授权之前试图利用受控端 口 ,将会导致 DHCP或初始化包的丢失 ,还可能会导致无法获取 IP地址 。

　　除了能控制受控端口的授权状态之外 ,PAE 的操作还能支持受控端口授权状态的老化 ,可在任何时间激活请求者或鉴别访问控制器进行重新鉴别 。在重新鉴别期间 ,受控端口保持授权状态 ,仅在重新鉴别失败时 ,才转变到未授权状态 。

　　在某些配置中不需要对特定端口进行鉴别(例如 ,在 Inter-Bridge链路中 ,端口连接到服务器上) ,因此鉴别是针对每个端口进行配置的 。这种配置的管理操作将在第 8章中描述 。

　　5. 4. 5 TAEP

　　5. 4. 5. 1 概述

　　PAE包含鉴别控制和互相通信两个功能 ,其中鉴别控制功能实现 PAE 的状态转换 ,见第 7 章 ; 通信功能传递两个 PAE之间的鉴别消息 。 以下定义的 TAEP(Triple-elementAuthentication Extensible Protocol)协议支持鉴别访问控制器 PAE和请求者 PAE之间 、鉴别访问控制器 PAE 和鉴别服务器之间的通信功能 。

　　5. 4. 5. 2 TAEP分组格式

　　图 5 给出了 TAEP分组格式 。

　　图 5 TAEP分组格式

　　TAEP分组各个域的定义见表 1。

　　表 1 TAEP分组域定义

　　名称

　　长度(比特)

　　描 述

　　Code编码

　　8

　　表示 TAEP分组的类型

　　1 Request

　　2 Response

　　3 Success

　　4 Failure

　　Identifier标识

　　8

　　用于匹配 Request和 Response分组

　　Length长度

　　16

　　表 示 整 个 TAEP 分 组 的 八 位 位 组 数 , 即 指 包 括 Code、Identifier、 Length和 Data所有字段的长度总和

　　Data数据

　　可变

　　分组含 0个或多个八位位组 ,其格式由 Code字段的值决定

　　9

　　GB/T 28455—2012

　　5. 4. 5. 3 TAEP分组字段各个域定义

　　5. 4. 5. 3. 1 Request和 Response格式见图 6。

　　图 6 Request和 Response分组格式

　　图 6 给出了 Request和 Response分组格式 。

　　其中 Application Type字段表示 TAEP协议运行的应用环境 :

　　0:表示未特定定义的应用环境 。

　　1~ 223:表示公有的应用环境 ,数值含义等待定义 。

　　224~ 239:表示私有的应用环境 ,用于 TAEP在私有应用环境中使用 ,数值含义由使用者定义 。 240~ 255:保留 。

　　Application Type字段默认值为 0。

　　其中 Type字段长度为 1个八位位组 ,它表示 Request和 Response分组的类型 ,定义见表 2。

　　表 2 Request和 Reponse分组类型定义

　　Type值

　　定义

　　描 述

　　1

　　Identity

　　Identity类型用于鉴别访问控制器询问请求者的身份 。对于 Identity类型的 Request分 组 , 包 含 可 显 示 的 消 息 , 采 用 UTF-8 编 码 的 ISO 10646字符 ,用于提示请求者 ;请 求 者 应 发 送 Identity类 型 的 Response分组来响应 Identity类型的 Request分组

　　2

　　Notification

　　Notification类型用于将 一 个 可 显 示 的 消 息 从 鉴 别 访 问 控 制 器 传 递到请求者 。在鉴别过程完成之前 ,鉴 别 访 问 控 制 器 可 在 任 何 时 候 发 送一个 Notification类型的 Request分组到请求者 , 除非正在进行的 鉴 别协议禁止使用 Nofification类 型 的 分 组 ;请 求 者 收 到 Notification类 型的 Request分组后应使用 Notification类 型 的 Response来 响 应 鉴 别 访问控制器

　　3

　　Nak (Response only)

　　Nak在 Response分组中存在 ,用于表示不支持 Request分 组 中 提 议的鉴别方法 。Nak类型的 Type-Data字段的内容包含可变长度的 8 位位组 ,每个 8位位组表示 1个通用的鉴别方法 。数值 4~ 249表示可以替代使用鉴别方法 ,如果没有可替代的鉴别方 法 ,Type-Data字 段 内 容为数值 0

　　248

　　TAEP-IBAP

　　TAEP-IBAP是一个基于身份签名机制的鉴别协议 ,Type-Data定义参见附录 B 的 B. 1 中描述 TAEP-IBAP类型的分组中 Type-Data字段的内容

　　249

　　TAEP-CBAP

　　TAEP-CBAP是一个 基 于 三 实 体 公 钥 的 鉴 别 协 议 , Type-Data定 义参见附录 B. 2 中 描 述 TAEP-CBAP类 型 的 分 组 中 Type-Data字 段 的内容

　　10

　　GB/T 28455—2012

　　表 2 (续)

　　Type值

　　定义

　　描 述

　　250

　　TP Authentication

　　TP Authentication类型用 于 鉴 别 访 问 控 制 器 向 鉴 别 服 务 器 询 问 可用的鉴别方法

　　254

　　Expanded Types

　　Expanded Types用来支持 厂 商 自 定 义 的 鉴 别 协 议 以 及 扩 展 通 用 鉴别协议类型的范围到预定数值 255以外

　　255

　　Experimentaluse