GB T 28455-2012 信息安全技术.引入可信第三方的实体鉴别及接入架构规范.pdf

《GB T 28455-2012 信息安全技术.引入可信第三方的实体鉴别及接入架构规范.pdf》由会员分享，可在线阅读，更多相关《GB T 28455-2012 信息安全技术.引入可信第三方的实体鉴别及接入架构规范.pdf（228页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 35. 020 L 80 中华人民不日+t: ./、GB 国国家标准G/T 28455-2012 信息安全技术引入可信第三方的实体鉴别及接入架构规范Information security technology-Entity authentication involving a trusted third party and access architecture specification 2012-06-29发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会2012-10-01实施发布-GB/T 28455-2012 目次前言.皿引言.凹1 范围.2 规范性引用文件

2、3 术语和定义24 缩略语25 引人可信第二方的实体鉴别及接人架构35.1 概述35.2 访问控制的范围45.3 系统、角色和端口45. 4 端口访问实体CPAE)85. 5 IEEE Std 802. 3-2005中端口访问控制的使用156 链路上的TAEP封装(TAEPoL) 15 6. 1 概述156.2 八位位组的发送和标识156. 3 T AEPoL MPDU在GB/T15629. 2 (IEEE 802.2)逻辑链路控制(LLC)中的格式166. 4 T AEPoL MPDU在GB/T15629. 3CIEEE 802.3)中的格式166. 5 标签TAEPoLMPDU 17 6.

3、6 TAEPoL PDU的格式176. 7 接收到TAEPoLPDU和TAEPoL协议格式处理的确认217 对等鉴别访问控制协议n7. 1 概述n7.2 鉴别过程227.3 PCAP状态机238 端口接入控制管理. . . . . . . . . . . . . . . . . . 47 8. 1 一般要求478. 2 管理功能478. 3 被管对象48. 4 数据类型488. 5 鉴别访问控制器PAE被管对象498. 6 请求者PAE管理对象548. 7 系统管理对象579 端口接入控制MIB定义58附录A(规范性附录)PICS形式表m附录B(资料性附录)基于TAEP封装的鉴别协议M -GB

4、/T 28455-2012 附录c(资料性附录)适用于无线城域网的TAAA机制.附录D(资料性附录)局域网媒体访问控制技术136附录E(资料性附录)单向控制功能的考虑参考文献221H GB/T 28455-2012 目U昌本标准按照GB/T1. 1-2009给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准主要起草单位:西安西电捷通无线网络通信股份有限公司、国家密码管理局商用密码检测中心、信息安全国家重点实验室、中国电子技术标准化研究所、国家元线电监测中心检测中心、西安电子科技大学、西安邮电学院、广州杰赛科技股份有限公司、深圳市明华澳汉科技股份有限公司

5、、中国信息安全认证中心、国家信息安全工程技术研究中心、国家计算机网络应急技术处理协调中心、国家信息技术安全研究中心、公安部第一研究所、工业和信息化部通信计量中心、公安部信息安全等级保护评估中心、国防科技大学、北京市政务网络管理中心、重庆邮电大学、宇龙计算机通信科技(深圳)有限公司、中国人民大学、中国人民解放军信息安全测评认证中心、中国电信集团公司、国家信息中心、北京大学深圳研究生/ 院、中国电力科学研究院、北京中电华大电子设计有限责任公司、东南大学、中国移动通信集团设计院有限公司、中国人民解放军信息工程大学、江南计算技术研究所、北京邮电大学、上海龙照电子有限公司、北京五龙电信技术公司、北京网贝

6、合创科技有限公司、深圳市宏电技术股份有限公司、北大方正集团公司、海尔集团公司、北京广信融科技术有限公司、北京六合万通微电子技术有限公司、弘浩明传科技(北京)有限公司、北京城市热点资讯有限公司、北京华安广通科技发展有限公司、迈普通信技术有限公司、长春吉大正元信息技术股份有限公司、清华大学、北京天一集成科技有限公司、桂林电子工业学院、西安立人科技股份有限公司、宽带无线IP标准工作组、WAPI产业联盟等。本标准主要起草人:黄振海、赖晓龙、李大为、冯登国、宋起柱、铁满霞、曹车、李建东、林宁、舒敏、朱志祥、陈晓桦、郭晓雷、李京春、余亚莉、王育民、张变玲、肖跃雷、高波、高昆仑、潘峰、胡亚楠、蒋庆生、肖雳、

7、朱建平、贾焰、施伟年、李琴、李广森、吴亚非、梁朝晖、梁琼文、罗旭光、龙昭华、沈凌云、张伟、徐平平、马华兴、高峰、仇洪冰、朱跃生、王雅辉、兰天、王志坚、杜志强、张国强、田小平、田辉、张永强、寿国梁、毛立平、曹竹青、郭志刚、高宏、韩康、王钢、自国强、陈志峰、李建良、李大伟、玉立仁、高原、岳林、井京涛。而出回-一飞-GB/T 28455-2012 引网络通信经常处于这样的环境，非授权的终端设备可以物理地连接到网络上，授权的终端设备所连接的网络也不定是它所期望的，因此在终端和网络通信前，需要通过鉴别和授权功能互相鉴别对方身份的合法性，以保证通信的安全。对此通信和信息技术业界一直在寻找经济有效的安全解决

8、方案，安全的网络应受到保护，免遭恶意和无意的攻击，并且应满足业务对信息和服务的保密性、完整性、可用性、抗抵赖、可核查性、真实性和可靠性的要求。因此本文件的主要目标是提出一套适用于网络访问控制和身份管理的、支撑上层业务的、具有普遍适用性的实体鉴别与安全接入协议和结构。本标准将采用非对称密码技术，并引入在线的可信第二方，构建鉴别协议，并定义网络安全接入架构。本标准主要内容是:一一引人可信第三方的实体鉴别及接入架构采用三元结构，将参加鉴别和授权的实体置于对等的角色，利用逻辑的端口控制方法完成双方的鉴别和授权;一一本标准确定的访问控制方法可应用于无线网络访问控制、有线网络访问控制以及IP自适应移动访问

9、控制系统等。本标准的使用者是通信行业的生产企业、检测机构和科研机构。本标准的发布机构提请注意，声明符合本标准时，可能涉及到5.4.5.4与一种三元结构的对等访问控制方法、一种三元结构的对等访问控制系统等相关的专利的使用。本标准的发布机构对于该专利的真实性、有效性和范围无任何立场。该专利持有人已向本标准的发布机构保证，他愿意同任何申请人在合理且无歧视的条款和条件下，就专利授权许可进行谈判。该专利持有人的声明已在本标准发布机构备案。相关信息可通过以下联系方式获得:专利权人:西安西电捷通无线网络通信股份有限公司地址:西安市高新区科技二路68号西安软件园秦风阁A201联系人:刘长春邮政编码:71007

10、5 电子邮件:ipriiwncomm. com 电话:029-87607836 传真:029-87607829 网址:http:/请注意除了上述专利外，本标准的某些内容仍可能涉及专利。本标准的发布机构不承担识别这些专利的责任。N 范围信息安全技术引入可信第三方的实体鉴别及接入架构规范本标准规定了引入可信第三方的实体鉴别及接入架构的一般方法。包括:a) 引入可信第二方的实体鉴别及接入架构的框架;b) 引人可信第三方的实体鉴别及接人架构的基本原理;GB/T 28455-2012 c) 定义引人可信第二方的实体鉴别及接入架构的不同级别以及相应收发数据时端口的行为;d) 定义引人可信第三方的实体鉴别及

11、接入架构的参与实体间的消息交互协议;的定义使用消息交互协议完成引人可信第三方的实体鉴别及接入架构的过程;f) 规定协议交互消息中的数据编码1g) 建立引入可信第三方的实体鉴别及接入架构管理的需求，识别管理对象，定义管理操作;h) 描述远程管理者利用简单网络管理协议CSNMP)所能进行的管理操作;i) 描述符合本标准的设备应满足的需求，见附录A。本标准适用于无线网络访问控制、有线网络访问控制和IP网络访问控制系统等。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注目期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T

12、 15629.2-2008信息技术系统间远程通信和信息交换局域网和城域网特定要求第2部分:逻辑链路控制GB/T 15629.3-1995 信息处理系统局域网第3部分:带碰撞检测的载波侦听多址访问(CSMA/CD)的访问方法和物理层规范GB 15629. 11-2003信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问控制和物理层规范ISO/IEC 9798一3:1998/ Amd. 1: 2010信息技术安全技术实体鉴别第3部分:采用数字签名技术的机制修改单1(Information technology-Security techr叫ues-Entityau

13、thentication Part 3: Mechanisms using digital signature techniques-Amendment 1) IEEE Std 802. 3_2005 局域网和城域网规范第3部分:带检测冲突的载波检测多址存取(CSMA/CD)方法和物理层规范IEEEStandard for Local and Metropolitan Area Networks-Part 3: Carrier Sense Multiple Access with Collision Det巳ction(CSMA/CD) Access Method and Physical L

14、ayer Specifications IEEE Std 802. 1D-2004 局域网和城域网规范媒体访问控制桥IEEEStandard for Local and Metropolitan Area Networks-Media Access ControlCMAC) Bridges IEEE Std 802. lQTM-2003 局域网和城域网规范局域网虚拟桥(IEEEStandards for Local and Metropolitan Area Networks-Virtual Bridged Local Area Networks) IEEE Std 802. lx-2004

15、局域网和城域网规范基于端口的网络访问控制(lEEEStandards for Local and Metropolitan Area Networks-Port-Based Network Access Control) 一一-一GB/T 28455-2012 3 术语和定义下列术语和定义适用于本文件。3.1 鉴别访问控制器authentication access controller 位于点到点链路一端的实体，该实体可以鉴别和被鉴别另外端的实体，它与鉴别服务器有直接的通信。3.2 请求者requester REQ 位于点到点链路一端器与鉴别服务器通信。中工作站和元线3. 7 端口访问实体p

16、 PAE 3.8 系统system 它必须通过鉴别访问控制有一个或多个网络接入端口的设备，包括终端工作站、服务器、桥和路由器等。4 缩略i吾AAC AS ASF CBAP CHAP CMAP 2 鉴别访问控制器鉴别服务器警告标准论坛基于证书的鉴别协议挑战握手认证协议基于证书的WMAN鉴别协议Authentication Access Controller Authentication Server Alerting Standards Forum Certificate Based Authentication Protocol Challenge Handshake Authenticati

17、on Protocol Certificate-based WMAN Authentication Protocol PAJ ZY川山川rrumPort PPP REQ SNAP TAEP TAEP TePA: TePA TP 5.1 概述动态主机配置协议分布式光纤数据接口基于身份签名的鉴别协议互联网协议链路访问控制IEEE 802局域网逻辑链接控制媒体访问控制消息完整性校验MAC协议数据单元客体标识符回GB/T 28455-2012 Dynamic Host Configuration Protocol Fib巳rDistributed Data Interface Identity Bas

18、ed Authentication Protocol Int巳rnetProtocol Link Access Control IEEE 802 Local Area Network Logical Link Control Media Access Control Message Integrity Check 一一如4-A.卫rotocolData Unit 引入可信第二方的实体鉴别关-入系统采用三元结构，将参加鉴别和援校的实体置于对等的角色，利用逻辑的端口控制方法完成现方的率如耻择扭非本一样提班主的访可控制方法可应用于无线网络访问控制、有线网络访问控制以及TP盲运虫移动访问控制系统等。三

19、/本章描述了引入可信第三方的实体鉴刑没接买系统的结构框架、控制功能以及采用该机制的设备所进行的各项操作之间的关系。引人可信第三方的实体鉴别及接入架构对系统功能进行了扩展，它提供了一种访问控制方法，可以用来阻止请求者对鉴别访问控制器系统的资源进行未授权的访问，同时阻止请求者误访问未授权的鉴别访问控制器系统;还可以让请求者用来阻止来自未授权鉴别访问控制器系统的连接。例如，对于MAC桥系统，引入可信第三方的实体鉴别及接入架构可以实现限制用户只能访问公共桥端口，或者在一个组织内，限制组织内资源只能被组织内用户访问等应用场景。访问控制是通过对连接在受控端口上的系统进行鉴别来实现的，所谓端口是指参加鉴别和

20、授权的实体附着于它们之间的逻辑点到点连接的接口，例如GB15629. 11-2003无线局域网的关联、GB/T15629.3-1995 LAN交换机的端口。根据鉴别的结果，请求者系统或鉴别访问控制器系统决定是否给予对方授权，允许对方通过受控端口访问自己的资源。如果对方没有获得授权，根据受控端口的OperControlledDirections参数限制在请求者系统和鉴别访问控制器系统间未授权的数据流动。引人可信第三方的实体鉴别及接入架构采用基于三元GB/T 28455-2012 对等鉴别的访问控制技术(TePA-AC)，可以被-个系统用来鉴别其他任何连接在该系统受控端口上的系统，系统可以是路由器

21、、终端设备、交换机、无线接入点、无线基站、网关、应用程序等。附录C和附录D描述了三元对等鉴别的访问控制在城域网和局域网设备的参考实现。本标准中，请求者系统和鉴别访问控制器系统之间的鉴别采用基于密码技术的鉴别协议实现。鉴别协议运行要求双方具有密钥的信任基础，即双方共享一个秘密密钥，作为双方的信任凭证。如果只有请求者系统和鉴别访问控制器系统这两种实体，密钥管理将是对多个请求者系统和多个鉴别访问控制器系统之间的管理，也就是管理多对多的信任关系。多对多的信任关系导致系统实现异常复杂，为了降低系统实现的复杂性，本标准定义了第三种实体鉴别服务器。鉴别服务器和请求者系统有密钥的信任基础，鉴别服务器和鉴别访问

22、控制器系统也有密钥的信任基础，而请求者系统和鉴别访问控制器系统之间没有密钥的信任基础。这样多对多的信任关系将演变为两个多对一的信任关系，有效地降低了系统实现的复杂性。本标准中，请求者系统和鉴别访问控制器系统之间的鉴别可以通过鉴别服务器作为中介来实现，鉴别协议在请求者系统、鉴别访问控制器系统和鉴别服务器三个实体上运行，称为三元对等鉴别。5.2 访问控制的范围引人可信第三方的实体鉴别及接入架构的操作假设所操作的端口在请求者与鉴别访问控制器之间提供点到点的连接。本标准提供了一个用于在请求者与鉴别访问控制器之间、鉴别访问控制器和鉴别服务器之间传递消息的协议，并根据协议执行的结果来决定请求者与鉴别访问控

23、制器的端口状态。5. 3 系统、角色和端口5.3. 1 概述系统的端口提供了种于段，通过该方式可以访问其他系统提供的服务，也可以通过该方式向其他系统提供服务。引人可信第三方的实体鉴别及接入架构可以控制系统的端口状态，保证只有被授权的系统才能访问该系统提供的服务，或者访问被授权系统提供的服务。为了描述引人可信第三方的实体鉴别及接人架构的操作，一个系统的端口(更准确地说，是端口的端口控制实体PAE)可以采用以下两种角色:二一鉴别访问控制器(AAC):如果系统需要通过端口提供资源给其他系统访问，那么它采用鉴别访问控制器的角色;鉴别访问控制器也可以通过该端口访问其他系统的资源，鉴别访问控制器可以直接与

24、鉴别服务器通信。请求者CREQ):如果系统需要通过端口访问其他系统提供的资源，那么它采用请求者的角色;请求者要通过鉴别访问控制器与鉴别服务器通信。另外还定义了一个系统角色:一-鉴别服务器CAS):鉴别访问控制器和请求者进行鉴别时，需要通过鉴别服务器完成鉴别协议的交互过程。鉴别服务器作为鉴别访问控制器和请求者共同信任的可信第二方提供初始信任。以上描述的三种角色在通常情况下的系统中都需要，以完成鉴别协议交换。但在某些特殊情况下，鉴别服务器并不是必须存在的。例如，当两个系统采用共享密钥鉴别，且不需要其他的管理时，鉴别服务器就没有必要存在。一个系统可以采用其中一个角色或多个角色，例如，AAC可和AS在

25、一个系统中实现;PAE可以在一个协议交换中采用AAC角色，而在另一个协议交换中采用REQ角色。GB/T 28455-2012 5.3.2 受控端口与非受控端口引人可信第二方的实体鉴别及接入架构在系统和链路的连接点上建立两个不同的访问点，一个是非受控端口，不论授权状态如何，允许链路上的系统之间不受控地交换数据包;一个是受控端口，只有处于授权状态，才允许交换数据包。非受控端口和受控端口是同一连接点的两个部分，从物理连接点得到的数据帧会被它们同时得到。见图1。系统受控端口非受控端口连接点! l一_一一一一_一一一-一一一_1一一一-一一一-一一一_.J链路说明:尽管数据包在受控端口和非受控端口均可得

26、到，但协议实体在某一时刻只能关联到其中一个端口。图1受控端口与非受控端口系统与链路的连接点可以是物理端口，也可以是逻辑端口，该端口提供到其他系统的一对一连接。例如，在交换的LAN中，该连接点可以通过MAC地址实现，MAC地址使鉴别访问控制器和请求者之间一对多的关系成为可能;在IP网络中，该连接点可以通过IP地址实现;对于应用程序，该连接点可以通过应用程序和会话层/传输层的接口实现;在GB15629. 11-2003无线局域网中，无线接入点和工作站之间存在独立的关联实现一对一的连接;在PPP连接中，终端和网关之间是点对点的连接。在本标准中，两个系统之间建立单独的关联是引入可信第三方的实体鉴别及接

27、入架构方法实施的前提条件。受控端口和非受控端口是逻辑概念，它将数据流进行了分类。管理和控制流可以通过非受控端口，信息流则通过受控端口，在不影响系统通信管理的前提下，通过受控端口对信息流进行控制。图2描述了受控端口AuthControlledPortStatus和LAC控制的结果。任何对链路的访问都要受到端口的链路访问控制能力LAC(LAC在802网络是MAC，在IP网络中是IP)当前的管理性和可操作性状态以及Au thControlledPortSta tus参数的控制。如果LAC在物理上或管理上不可操作时，那么无论在受控端口还是非受控端口都不会发生基于LAC的任何协议交换。在图2的系统1中，

28、因为到链路连接点的LAC是可操作的，受控端口和非受控端口均可访问链路;而在图2的系统2中，因为到链路连接点的LAC是不可操作的，受控端口和非受控端口都不能访问链路，LAC的不可操作性也导致系统的受控端口状态为非授权的。AuthControlledPortStatus通过一个开关来表示，开或者关表示允许或阻止数据包通过该端口。图2中有两个系统，每个系统均有一个受控端口，端口的OperControlledDirections参数为Both。图2的系统2中受控端口的AuthCon trolledPortSta tus为Unauthorized，因此不允许数据包通过，故开关的状态是断开的;图2的系统1

29、中受控端口AuthControlledPortSta tus为Authorized，因此允许数据包通过的，故开关的状态是闭合的。5 回GB/T 28455-2012 系统1系统2受控端口非受控端口口端控受A|非受控端口LAC Disabled 接入链路接入链路除了AuthControlle控制端口的授权状态必参port、trol参数使管理员可以3个值:强制授权的ForceAuthorizet、动自uto、强制非授权的Force Unauthorize 值为Auto0 AuthControlledPortStatus和Aufu_(:,;_on ttqledPortControl之个可能值:Act

30、ive portStatus参数值为Unauthorized。一个系统中每个端口的AuthControlledPortControl参数值都受到系统SystemAuthControl参数值的控制。SystemAuthControl参数值可以为Enabled和Disabled，默认值是Disabled。如果SystemAuthControl被置为Enabled，那么鉴别对于系统即为可用，则每个端口的授权状态均由AuthControlledPortCon trol参数来控制。如果Syst巳mAuthControl被置为Disabled，则表示所有端口的AuthControlledPortContr

31、ol参数均被置为ForceAuthorized。实际上，将SystemAuthControl参数设置为Disabled会导致所有端口的鉴别被禁止，使得所有受控端口被授权。通常希望其他系统的协议交换使用本系统的一个或多个受控端口，然而，一个给定的协议可能需要绕过授权功能而使用非受控端口。图3显示了鉴别访问控制器系统和请求者系统中的受控和非受控端口，以及PAEs根据授权交换的结果来控制受控端口的授权状态，其中，为了完成协议交换，PAEs需要利用非受控端口。6 r-町-一-囚一一一请求者系统应用一使用鉴别访问控制器请求者PAE端口非授权授权/非授权接入链路仨:.-一5.3.3 接收和发送控制G/T

32、28455-2012 一一一一一一-一一一一一一一一-一-._鉴别访问控制器系统鉴别访问控服务鉴别访问fliiJ器PAE授权/非授权;-1 此请拆系统无法访问鉴别访问控.议互相通信，鉴别访问控制器每个受控端口的受控方向参数AdminControlledDirections和OperControlledDirections决定未授权的控制端口是对双向的通信进行控制(向内进入的帧和向外发送的帧)，还是仅对来向通信(仅只对向内进入的帧)进行控制。受控方向参数取值为Both或In。这两个参数的含义如下:一-AdminControlDirection= Both:表示对受控端口的向内进入和向外发送的双向

33、传输均进行控制。如果AdminControlledDirections=Both，则OperControlledDirections参数的值无条件等于Botho一-AdminControlledDirection= 1川表示仅对受控端口向内进入的传输进行控制。如果Admin7 飞.-一GB/T 28455-2012 ControlledDirections = In，则OperControlledDirections参数的值在初始化且端口的LAC服务可用时为In。然而，如果出现下列任何一种情况，则OperControlledDirections参数值将为Both: 端口是一个桥端口，且桥检测状

34、态机(见IEEEStd 802. 1D-2004中的第17章)检测到另外一个桥连接到该端口; 端口是一个桥端口，且该端口的EdgePort参数值为FALSE; 端口的LAC不可用。AdminControlledDirection参数的值只能通过管理操作进行修改。引人可信第三方的实体鉴别及接入架构的实施应支持能够独立地将每个受控端口的AdminControllledDirection参数设置为Both以及独立地将每个受控端口的AdminControllledDirection参数设置为In。注:当一个与受控端口相连的设备需要从受控端口获得协议消息，即从受控端口传输出去协议消息，以支持某种形式的启

35、动或初始化时(例如，W ake-on- LAN) ，In的设置允许基于端口的访问控制将安全条件放宽，但是它仍然希望在鉴别完成之前阻止与之相连的设备给受控端口发送数据(参见E.l)。很明显，受控端口采用这种形式放宽的安全限制，减弱了基于端口的访问控制处理某些攻击的有效性。5.4 端口访问实体CPAE)5.4. 1 概述端口访问实体CPAE)对第7章定义的协议进行操作。对于支持端口访问控制功能的系统，每个端口都存在PAE，无论该系统扮演请求者角色还是鉴别访问控制器角色。在鉴别交换中扮演请求者角色的PAE被称为请求者PAE。在鉴别交换中扮演鉴别访问控制器角色的PAE被称为鉴别访问控制器PAE。这两种

36、PAE角色均根据鉴别过程的结果控制受控端口的授权/未授权状态。5.4.2 鉴别访问控制器角色鉴别访问控制器PAE负责对连接到其受控端口的请求者PAE进行鉴别，并且对受控端口的授权状态进行相应的控制。在鉴别过程中，鉴别访问控制器PAE可能会使用鉴别服务器。鉴别服务器可能与鉴别访问控制器处于同一系统，或者处于能通过远程通讯机制、基于LAN或其他机制进行访问的其他系统中。请求者PAE和鉴别访问控制器PAE的通信，以及鉴别访问控制器PAE和鉴别服务器(当鉴别服务器和鉴别访问控制器不在同一个系统中时)之间的通信将通过第7章描述的协议和程序来完成。5.4.3 请求者角色请求者PAE负责将请求者的鉴别凭证发

37、送给鉴别访问控制器PAE，作为对鉴别访问控制器PAE请求的响应，还负责根据与鉴别访问控制器PAE进行鉴别交换的结果来控制受控端口的授权状态。请求者PAE也可能发起鉴别交换，完成特定的注销交换。5.4.4 端口访问限制鉴别一般发生在系统初始化时或者请求者系统连接到鉴别访问控制器系统的端口时。在鉴别成功完成之前，请求者系统只能访问鉴别访问控制器系统来完成鉴别交换，或者访问鉴别访问控制器系统提供的、没有访问控制限制的、处于鉴别访问控制器非受控端口上或者请求者非受控端口上的服务(见5.3)。一且鉴别成功完成，两个系统均允许请求者系统访问通过鉴别访问控制器系统受控端口提供的服务。支持受控端口的LAC的操

38、作状态可以被启用或禁用。如果LAC的操作状态为禁用，那么元论受控端口的授权状态是什么，LAC都不能使用。GB/T 28455-2012 注1:IEEE Std 802. 10-2004中的第6章描述了表示端口的MAC启用/禁用状态的桥(Bridge)端口。GB/T 15629.3-1995描述了类似的参数，它定义了通过聚合提供的逻辑端口的启用/禁用状态。在使用PAE的系统中，受控端口在鉴别之前一直处于未授权状态，因此是禁用的。一旦鉴别成功，且PAE决定授权所鉴别的用户来访问受控端口，则受控端口将进入授权状态。如果受控端口没有被其他原因禁用(例如，由于管理方面的原因而禁用LAC)，受控端口就可以

39、使用(见5.3)。注2:当鉴别访问控制器系统的受控端口处于未授权状态时，动态主机配置协议)11lnt山tiali阳Ilaut出hAbor川t lNTIALIZE taauetphNaAboobRorterAtq=u=tFhFAA()LL, SSEE, , UCT IDLE authStart= FALSE; maeuptRheSqta&rt & REQUEST taepRtxeqR=cqF(A)L、SE; taepTimeout taepoltaep taepReq RESPONSE authTimeout=FALSE; taepoltaep二FALSE;taepNoReq=FALSE; a

40、While= serverPeriod; taepResp=TRUE ; taepNoReq aWhile=O aepFail !taepSuccess IGNORE taepNoReq=FALSE; taepolt挝pltaep 一一/民taepReq Time咀utTIMEOUT authTimeout=TRUE; UCTI FAIL authFail=TRUE ; txReq( ); UCT 图28鉴别访问控制器后台状态机7.3.9.3 鉴别访问控制器后台维护的计数器7.3.9.3.1 概述&ta&epa Success authStart LtaepReq SUCCESS txReq(

41、 ); auktehySRucucne=sTs=RTUREU, E, UCT 为便于诊断，鉴别访问控制器后台状态机对以下计数器进行维护。这些计数器的值可通过第8章给出的管理操作进行访问。如果这些计数器增长超过最大允许值，它们回转为0。7.3.9.3.2 backendAuthSuccesses 该参数表示状态机收到上层成功的指示(例如，taepSuccess工TRUE)，从RESPONSE状态转移到SUCCESS状态的次数。36 -GB/T 28455-2012 7.3.9.3.3 backendAuthFails 表示状态机收到上层失败的指示(例如，taepFail=TRUE)，从RESPO

42、NSE状态转移到FAIL状态的次数。7.3.9.4 REQUEST 在该状态下，状态机收到来自上层的TAEP-Request分组，并将该分组通过TAEPoL帧发送到请求者。若TAEP-Request分组丢失，TAEP将重传该分组，同时状态机将转回REQUEST状态。如果从请求者处收到包含TAEP-Response分组的TAEPoL帧，状态机将转移到RESPONSE状态。7.3.9.5 RESPONSE 在该状态下，状态机收到来自请求者封装在TAEPoL帧中的TAEP-Response分组，并将该分组传递给上层，然后等待上层的指令。aWhile变量用于判定上层响应是否超时，包含以下几种情况:如果

43、发生超时，状态机将转入TIMEOUT状态;如果上层指示鉴别成功(taepSuccess)，则状态机转入SUCCESS状态;如果上层指示鉴别失败(taepFail)，则状态机转入FAIL状态;如果上层决定忽略收到的TAEP-Response分组，它将置位taepNoReq(将该位置为何值)，则状态机转入IGNORE状态;如果上层准备发送TAEP-Request分组，则状态机转入REQUEST状态。7.3.9.6 SUCCESS 状态机设置全局变量authSuccess为TRUE，以通知鉴别访问控制器状态机鉴别会话已成功完成。如果KeyRun变量被设置为TRUE，状态机转入IDLE状态。7.3.9

44、.7 FAIL 状态机设置全局变量a川hFail为TRUE，以通知鉴别访问控制器状态机鉴别会话已失败，状态机将转入IDLE状态。7.3.9.8 TI岛1EOUT如果鉴别超时或上层通过taepTimeout通知超时，则状态机进入TIMEOUT状态。状态机设置全局变量authTimeout为TRUE，以通知鉴别访问控制器状态机鉴别会话已因超时而停止，状态机将转入IDLE状态。7.3.9.9 IDLE 在该状态下，状态机等待鉴别访问控制器状态机通知是否开始新的鉴别会话。当authStart变成TRUE时，表示上层已经准备开始一个新的会话，状态机转入REQUEST状态。上层可以不进行鉴别会话而直接置位

45、taepSuccess或taepFail，使状态机转入SUCCESS或FAIL状态。7.3.9. 10 INITIALIZE 如果鉴别访问控制器状态机设置全局变量authAbort为TRUE，或者系统进行初始化，则状态机将进入INITIALlZE状态。abortAuth过程用于释放系统资源，一旦变量initialize、taepNoReq和authAbort被设置为FALSE，则状态机转入IDLE状态。37 、.-GB/T 28455-2012 7.3.9. 11 IGNORE 如果上层决定忽略收到的TAEP-Response消息，则状态机将进入IGNORE状态。在这种情况下，上层置位taepNoReq，指示没有相应于TAEP-Response 消息的请求要发送。当收到下一个TAEP-Response消息时，该状态将清除TAEPNoR叫变量，转入RESPONSE状态。7.3. 10 受控方向状态机7.3. 10. 1 一般要求现图29描述的功能(参见IEEEStd 802. lx)。AE为请求者。7.3.13.7 AAC_STATUS /仨一己吨mRJdG人E为鉴川说8.1 8.2. 1 概述配置管理功能用于对