ICS35.020 L80 中华人民共和国国家标准 GB/T28455—2012 信 息安全技术 引入可信第三方的实体 鉴别及接入架构规范 Informationsecuritytechnology—Entityauthenticationinvolvingatrusted thirdpartyandaccessarchitecturespecification 2012-06-29发布 2012-10-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 2 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 引入可信第三方的实体鉴别及接入架构 3 ……………………………………………………………… 5.1 概述 3 ………………………………………………………………………………………………… 5.2 访问控制的范围 4 …………………………………………………………………………………… 5.3 系统、角色和端口 4 …………………………………………………………………………………… 5.4 端口访问实体(PAE) 8 ……………………………………………………………………………… 5.5 IEEEStd802.3-2005中端口访问控制的使用 15 ………………………………………………… 6 链路上的TAEP封装(TAEPoL) 15 …………………………………………………………………… 6.1 概述 15 ………………………………………………………………………………………………… 6.2 八位位组的发送和标识 15 …………………………………………………………………………… 6.3 TAEPoLMPDU在GB/T15629.2(IEEE802.2)逻辑链路控制(LLC)中的格式 16 ………… 6.4 TAEPoLMPDU在GB/T15629.3(IEEE802.3)中的格式 16 ………………………………… 6.5 标签TAEPoLMPDU 17 …………………………………………………………………………… 6.6 TAEPoLPDU的格式 17 …………………………………………………………………………… 6.7 接收到TAEPoLPDU和TAEPoL协议格式处理的确认 21 …………………………………… 7 对等鉴别访问控制协议 21 ………………………………………………………………………………… 7.1 概述 21 ………………………………………………………………………………………………… 7.2 鉴别过程 22 …………………………………………………………………………………………… 7.3 PCAP状态机 23 ……………………………………………………………………………………… 8 端口接入控制管理 47 ……………………………………………………………………………………… 8.1 一般要求 47 …………………………………………………………………………………………… 8.2 管理功能 47 …………………………………………………………………………………………… 8.3 被管对象 48 …………………………………………………………………………………………… 8.4 数据类型 48 …………………………………………………………………………………………… 8.5 鉴别访问控制器PAE被管对象 49 ………………………………………………………………… 8.6 请求者PAE管理对象 54 …………………………………………………………………………… 8.7 系统管理对象 57 ……………………………………………………………………………………… 9 端口接入控制MIB定义 58 ……………………………………………………………………………… 附录A(规范性附录) PICS形式表 85 …………………………………………………………………… 附录B(资料性附录) 基于TAEP封装的鉴别协议 91 …………………………………………………… ⅠGB/T28455—2012 附录C(资料性附录) 适用于无线城域网的TAAA机制 116 …………………………………………… 附录D(资料性附录) 局域网媒体访问控制技术 136 …………………………………………………… 附录E(资料性附录) 单向控制功能的考虑 219 ………………………………………………………… 参考文献 221 …………………………………………………………………………………………………… ⅡGB/T28455—2012 前 言 本标准按照GB/T1.1—2009给出的规则起草。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准主要起草单位:西安西电捷通无线网络通信股份有限公司、国家密码管理局商用密码检测中 心、信息安全国家重点实验室、中国电子技术标准化研究所、国家无线电监测中心检测中心、西安电子科 技大学、西安邮电学院、广州杰赛科技股份有限公司、深圳市明华澳汉科技股份有限公司、中国信息安全 认证中心、国家信息安全工程技术研究中心、国家计算机网络应急技术处理协调中心、国家信息技术安 全研究中心、公安部第一研究所、工业和信息化部通信计量中心、公安部信息安全等级保护评估中心、国 防科技大学、北京市政务网络管理中心、重庆邮电大学、宇龙计算机通信科技(深圳)有限公司、中国人民 大学、中国人民解放军信息安全测评认证中心、中国电信集团公司、国家信息中心、北京大学深圳研究生 院、中国电力科学研究院、北京中电华大电子设计有限责任公司、东南大学、中国移动通信集团设计院有 限公司、中国人民解放军信息工程大学、江南计算技术研究所、北京邮电大学、上海龙照电子有限公司、 北京五龙电信技术公司、北京网贝合创科技有限公司、深圳市宏电技术股份有限公司、北大方正集团公 司、海尔集团公司、北京广信融科技术有限公司、北京六合万通微电子技术有限公司、弘浩明传科技(北 京)有限公司、北京城市热点资讯有限公司、北京华安广通科技发展有限公司、迈普通信技术有限公司、 长春吉大正元信息技术股份有限公司、清华大学、北京天一集成科技有限公司、桂林电子工业学院、西安 立人科技股份有限公司、宽带无线IP标准工作组、WAPI产业联盟等。 本标准主要起草人:黄振海、赖晓龙、李大为、冯登国、宋起柱、铁满霞、曹军、李建东、林宁、舒敏、 朱志祥、陈晓桦、郭晓雷、李京春、余亚莉、王育民、张变玲、肖跃雷、高波、高昆仑、潘峰、胡亚楠、蒋庆生、 肖雳、朱建平、贾焰、施伟年、李琴、李广森、吴亚非、梁朝晖、梁琼文、罗旭光、龙昭华、沈凌云、张伟、 徐平平、马华兴、高峰、仇洪冰、朱跃生、王雅辉、兰天、王志坚、杜志强、张国强、田小平、田辉、张永强、 寿国梁、毛立平、曹竹青、郭志刚、高宏、韩康、王钢、白国强、陈志峰、李建良、李大伟、王立仁、高原、岳林、 井京涛。 ⅢGB/T28455—2012 引 言 网络通信经常处于这样的环境,非授权的终端设备可以物理地连接到网络上,授权的终端设备所连 接的网络也不一定是它所期望的,因此在终端和网络通信前,需要通过鉴别和授权功能互相鉴别对方身 份的合法性,以保证通信的安全。对此通信和信息技术业界一直在寻找经济有效的安全解决方案,安全 的网络应受到保护,免遭恶意和无意的攻击,并且应满足业务对信息和服务的保密性、完整性、可用性、 抗抵赖、可核查性、真实性和可靠性的要求。 因此本文件的主要目标是提出一套适用于网络访问控制和身份管理的、支撑上层业务的、具有普遍 适用性的实体鉴别与安全接入协议和结构。本标准将采用非对称密码技术,并引入在线的可信第三方, 构建鉴别协议,并定义网络安全接入架构。 本标准主要内容是: ———引入可信第三方的实体鉴别及接入架构采用三元结构,将参加鉴别和授权的实体置于对等的 角色,利用逻辑的端口控制方法完成双方的鉴别和授权; ———本标准确定的访问控制方法可应用于无线网络访问控制、有线网络访问控制以及IP自适应移 动访问控制系统等。 本标准的使用者是通信行业的生产企业、检测机构和科研机构。 本标准的发布机构提请注意,声明符合本标准时,可能涉及到5.4.5.4与“一种三元结构的对等访 问控制方法”、“一种三元结构的对等访问控制系统”等相关的专利的使用。 本标准的发布机构对于该专利的真实性、有效性和范围无任何立场。 该专利持有人已向本标准的发布机构保证,他愿意同任何申请人在合理且无歧视的条款和条件下, 就专利授权许可进行谈判。该专利持有人的声明已在本标准发布机构备案。相关信息可通过以下联系 方式获得: 专利权人:西安西电捷通无线网络通信股份有限公司 地址:西安市高新区科技二路68号西安软件园秦风阁A201 联系人:刘长春 邮政编码:710075 电子邮件:[email protected] 电 话:029-87607836 传 真: