专利名称::一种有线局域网的安全访问控制方法及其系统的制作方法
技术领域:
:本发明涉及一种有线局域网的安全访问控制方法及其系统,特别涉及一禾中有线局域网LAN(LocalAreaNetwork)中用户接入网络时基于三元对等鉴别TePA(Tri-elementPeerAuthentication)机制的安全访问控制方法TLAC(Tri-elementLANAccessControl)及其系统。
背景技术:
:三元对等鉴别TePA技术是我国首次提出的一种终端与网络间对等鉴别的技术思想和框架方法,该技术定义了一种三元实体鉴别架构,基于对等鉴别的思想,可完成用户与网络之间的双向对等鉴别。在有线局域网中,目前IEEE通过对IEEE802.3进行安全增强来实现链足各层的安全,采用典型的安全接入架构协议IEEE802.1x及基于IEEE802.1x鉴别的密钥管理协议等。IEEE802.1x的基本鉴别方法是在终端和接入点设备之外增加鉴别服务器,接入点设备利用鉴别服务器对终端的身份进行鉴别,从而实现对终端的安全接入控制。接入点设备直接转发终端和鉴别服务器间的鉴别信息,并不作为独立实体参与身份鉴别过程。这种模式仅能实现网络对终端身份的合法'性鉴别,却不能满足终端对接入网络的合法性鉴别需求,无法实现终端与网t各间的双向鉴别。终端无法对接入点设备的身份予以确认,即使后期在此类安全架构上通过增加安全补丁等措施来弥补安全漏洞,但不能彻底解决诸如中间人攻击、终端接入非法的网络等安全问题。这类安全接入技术协议延用至今,已会圣对产业发展造成严重的障碍。
发明内容为了解决
背景技术:
中存在的上述技术问题,本发明提供了一种可实i见用户与网络之间的双向(单向)鉴别,又可实现终端与网络设备之间保密通《言所使用的密钥协商的有线局域网的安全访问控制方法及其系统。本发明的技术解决方案是本发明提供了一种有线局域网的安全访问控制方法,其特殊之处在于该方法包括以下步骤1)请求者REQ与鉴别访问控制器AAC进行安全策略协商;2)请求者REQ与鉴别访问控制器AAC进行身份鉴别;3)请求者REQ与鉴别访问控制器AAC进行密钥协商。上述步骤l)的具体实现方式是1.1)安全策略协商请求当请求者REQ接入鉴别访问控制器AAC时,鉴别访问控制器AAC向请求者REQ发送安全策略协商请求分组,该分组包括TIEAcc;其中TIEacc字段表示鉴别访问控制器AAC所支持的TePA的信息元素(TePAIE:TePAinformationelement),包含鉴别访问控制器AAC所支持的鉴别和密钥管理套件及密码套件;1.2)安全策略协商响应请求者REQ收到安全策略协商请求分组后,进行如下处理请求者REQ根据安全策略协商请求分组中TIEAcc字段给出的鉴别访问控制器AAC所支持的鉴别和密钥管理套件及密码套件,结合本地策略选择一种双方共有的鉴别和密钥管理套件及密码套件,组成安全策略协商响应分组发送给鉴别访问控制器AAC;若请求者REQ不支持安全策略协商请求分组中鉴别访问控制器AAC所支持的任一鉴别和密钥管理套件或密码套件,根据本地策略可丢弃该分组;安全策略协商响应分组的主要内容包括T正req;其中.-TIEreq字段表示请求者REQ选择的TePA信息元素,包含请求者REQ所选择的鉴别和密钥管理套件及密码套件;1.3)鉴别访问控制器AAC收到安全策略协商响应分组后,进行如下处理1.3.1)鉴别访问控制器AAC判断是否支持请求者REQ所选择的鉴别和密钥管理套件及密码套件,若不支持,则丢弃该分组;若支持,则执行1.3.2);1.3.2)根据请求者REQ选择的鉴别和密钥管理套件开始相应的身份鉴别。上述步骤1.3)中当请求者REQ选择的鉴别和密钥管理套件是基于证书的鉴别和密钥管理套件时,其身份鉴别过程采用基于证书的鉴别协议TAEP-CAAP。所述步骤2)的具体实现方式是2丄1)鉴别激活当请求者REQ与鉴别访问控制器AAC在安全策略协商过程中协商选择采用证书鉴别和密钥管理套件时,鉴别访问控制器AAC向i青求者REQ发送鉴别激活分组以激活请求者REQ进行证书鉴别,鉴别激活分组包括SNonce、IDas-aac、CertAAc、ParaECDH、TIEacc以及SIGaac;其中SNonce字段表示鉴别标识,若为首次身份鉴别,则该字段为由鉴别访问控制器AAC产生的随机数;若为更新的身份鉴别过程,则该字段的值是上一次身份鉴别过程中协商生成的鉴别标识值;IDAs-AAc字段表示鉴别访问控制器AAC所信任的鉴别服务器AS的身份标识ID(identity),是鉴别访问控制器AAC的证书CerUAc的颁发者鉴别服务器AS的身份标识ID;CertAAc字段表示鉴别访问控制器AAC的证书;ParaECDH字段表示椭圆曲线密码体制的Diffie-Hellman交换ECDH参数,是请求者REQ和鉴别访问控制器AAC进行ECDH计算时采用的椭圆曲线密码参数;TIEaac字段表示鉴别访问控制器AAC所支持的鉴别和密钥管理套^j^及密码套件;其值同安全策略协商请求分组中的TIE^c字段的值;SIGaac字段表示鉴别访问控制器AAC的签名,是鉴别访问控制器AAC利用自己的私钥对鉴别激活分组中除本字段之外所有字段进行的签名,此字段为可选字段;2丄2)接入鉴别请求请求者REQ收到鉴别激活分组后,进行如下处理2.1.2.1)如果此次鉴别过程为身份鉴别的更新过程,则请求者REQ检查鉴别激活分组中的鉴别标识字段值与上一次身份鉴别过程中计算的鉴别标识是否一致,如果不一致,则丢弃该分组;否则执行2丄2.2);如果此次鉴别过程不是身份鉴别的更新过程,为首次身份鉴别过程,则直接执行2丄2.2);2丄2.2)验证TIEAAC字段值与安全策略协商过程中收到的安全策略协商请求分组中的T正AAc字段值是否一致,如果不一致,则丢弃该分组;如果一致,则执行2丄2.3);2丄2.3)如果收到的鉴别激活分组中包含SIGAAc字段,则验证SIGAAc字段的正确性,如果不正确,则丢弃该分组;如果正确,则执行2丄2.4);如果收到的鉴别激活分组中未包含SIGaac字段,则直接执行2.1.2.4);2丄2.4)根据鉴别激活分组中的IDas-aac字段逸捧由该鉴别服务器AS分页发的请求者REQ的证书CertREQ或者根据本地策略选择请求者REQ的证书CertREQ,并产生用于ECDH交换的请求者REQ密钥数据x.P和请求者REQ询问NREQ,生成接入鉴别请求分组,发送给鉴别访问控制器AAC;接入鉴别请求分组主要内容包括SNonce、Nreq、x.P、IDaac、CertREQ、Paraecdh、Listas.req、TIEREQ以及SigREQ;其中SNonce字段表示鉴别标识,其值同鉴别激活分组中的SNonce字段的值。若为首次身份鉴别过程,则该字段值直接取决于鉴别激活分组中的SNonce字段的值;若为更新的身份鉴别过程,则该字段值为上一次身份鉴别过程中计算的鉴别标识值;Nreq字段表示请求者REQ询问,是请求者REQ产生的随机数;x-P字段表示请求者REQ的密钥数据,是请求者REQ生成的用于ECDH交换的临时公钥x-P;IDaac字段表示鉴别访问控制器AAC的身份标识ID,是根据鉴别激活分组中鉴别访问控制器AAC的证书CertAAc字段得到;CertREQ字段表示请求者REQ的证书;ParaECDH字段表示ECDH参数,是请求者REQ和鉴别访问控制器AAC进行ECDH计算时采用的椭圆曲线密码参数,其值同鉴别激活分组中的ParaECDH字段的值;LisUs-req字段表示请求者REQ所信任的鉴别服务器AS列表,但不包含请求者REQ的证书CertR^的颁发者,若请求者REQ除了信任其证书颁发者以外,还信任其他的某些实体,可以通过该字段通知鉴别服务器AAC,本字段为可选字段;TIEkeq字段表示请求者REQ选择的鉴别和密钥管理套件及密码套件;其值同安全策略协商响应分组中的TIEreq字段的僮;Sig卿字段表示请求者REQ的签名,是请求者REQ利用自己的私钥对接入鉴别请求分组中除本字段之外所有字段进行的签名,182丄3)证书鉴别请求鉴别访问控制器AAC收到接入鉴别请求分组后,进行如下处理2丄3.1)如果鉴别访问控制器AAC发送了鉴别激活分组,则检査收到的分组中的SNonce、PamECDH字段值和鉴别激活分组中对应的字段值是否一致,如果有一个不一致,则丢弃该分组,否则执行2丄3.2);如果鉴别访问控制器AAC没有发送鉴别激活分组,则检查SNonce字段值和上一次证书鉴别过程中计算的鉴别标识是否一致,并检査ParaECDH字段和上一次鉴别激活分组中的PamECDH是否一致,如果有一个不一致,则丢弃该分组;否则执行2丄3.2);2丄3.2)检査IDAAc与自己的身份是否一致,并检查TIEREQ字段的值与安全策略协商过程中收到的安全策略协商响应分组中的TIEREQ字段值是否一致,如果有一个不一致,则丢弃该分组;否则执行2丄3.3);2丄3.3)验证请求者REQ的签名SigREQ字段的正确性,如果正确,则执行2丄3.4);否则,执行丢弃该分组;2丄3.4)如果鉴别访问控制器AAC的本地策略要求使用鉴别服务AS来鉴别请求者REQ的证书CertR^,则鉴别访问控制器AAC生成证书鉴别请求分组,发送鉴别服务器AS;否则执行2丄3.5);2丄3.5)鉴别访问控制器AAC本地鉴别请求者REQ的证书CertREQ,即根据本地缓存的请求者REQ的证书CertREQ的验证结果及根据本地策略所定义的时效性确认请求者REQ的证书CertREQ的验证结果;若合法,则本地生成用于ECDH交换的密钥数据以及AAC询问NAAc,该密钥数据是鉴别访问控制器AAC的临时公钥y-P,并根据请求者REQ的临时公钥x'P以及自己的临时私钥y进行ECDH计算得到基密钥BK(Basekey)以及下一次身份鉴别过程的鉴别标识并保存,然后设定接入结果为成功,构造接入鉴别响应分组发送给请求者REQ,并允许用户访问网络;若CertREQ的验证结果为不合法,则鉴别访问控制器AAC设定接入结果为不成功,鉴别访问控制器AAC的询问NAAc和密钥数据yP可设置为任意值,构造接入鉴别响应分组发送给请求者REQ,然后解除与该请求者REQ的链路验证;证书鉴别请求分组主要内容包括Naac、Nreq、CertREQ、CertAAc以及List八s-req;其中Naac字段表示鉴别访问控制器AAC询问,是鉴别访问控制器AAC产生的随机数;Nreq字段表示请求者REQ询问,是请求者REQ产生的随机数,其值同请求者REQ发送的接入鉴别请求分组中NREQ字段的值;CertREQ字段表示请求者REQ的证书,其值同接入鉴别请求分组中CertREQ字段的值;CertAAc字段表示鉴别访问控制器AAC的证书,其值同鉴别激活分组中CertMc字段的值;LisUs.req字段表示请求者REQ信任的鉴别服务器AS列表,其值同请求者REQ发送的接入鉴别请求分组中的List^.r^字段的值,本字段为可选字段;2丄4)证书鉴别响应鉴别服务器AS收到证书鉴别请求分组后,进行如下处理2丄4.1)如果此次鉴别过程为单向鉴别,则只需验证请求者REQ的证书CertREQ,如果是双向鉴别则需要同时验证鉴别访问控制器AAC的证书CertAAc和请求者REQ的证书CertRE(j,参照RFC3280进行的证书的验证,若无法验证,则将相应证书的验证结果置为证书的颁发者不明确,否则验证证书的状态,然后执行2丄4,2);2丄4.2)根据证书的验证结果,构造证书鉴别响应分组,并且附加相应的签名,发往鉴别访问控制器AAC;证书鉴别响应分组主要内容包括RESCert、SIGas-req以及SIGas-aac;其中REScen字段表示证书的验证结果,本字段包括鉴别访问控制器AAC询问値Naac、请求者REQ询问值NREQ、以及CertAAc的验证结果、CertREQ的验证结果;如果只是单向验证则不包括鉴别访问控制器AAC的证书CertAAc的验证结果;SIGas-req字段表示请求者REQ信任的鉴别服务器AS对本分组中证书的验证结果REScert字段进行的签名;SIGas.aac字段表示鉴别访问控制器AAC信任的鉴别服务器AS对证书鉴别响应分组中除本字段之外所有字段进行的签名,本字段为可选字段,如果对证书验证结果进行签名的鉴别服务器AS和鉴别访问控制器AAC信任的鉴别服务器AS相同,则不需要本字段。2丄5)接入鉴别响应鉴别访问控制器AAC收到证书鉴别响应分组后,进行如下处理2丄5.1)检査证书的验证结果RESc:ert字段中的鉴别访问控制器AAC的询问NAAC与证书鉴别请求分组中的NAAC字段值是否相同,若不同,丢弃该分组;若相同,贝U执1亍2丄5.2);2丄5.2)如果分组中含有两个签名字段,则检査鉴别访问控制器AAC所信任的鉴别服务器AS的签名SIGAs.AAc字段是否正确,若不正确,则丢弃该分组;若正确则执行2丄5.3);如果分组中只含有一个签名字段,即表明对证书验证结果进行签名的鉴别服务器AS也是鉴别访问控制器AAC所信任的鉴别服务器AS,则检查SIGAs.REQ字段是否正确,若不正确,则丢弃该分组;若正确则执行2丄53);2丄5.3)检查证书的验证结果REScert字段中CertREQ的验证结果是否合法,若合法,则本地生成用于ECDH交换的密钥数据(鉴别访问控制器AAC的临时公钥y-P)以及鉴别访问控制器AAC询问NAAc,并根据请求者REQ的临时公钥x,P以及自己的临时私钥y进行ECDH计算得到基密钥BK以及下一次身份鉴别过程的鉴别标识并保存,然后设定接入结果为成功,构造接入鉴别响应分组发送给请求者REQ,并允许用户访问网络;若CertREQ的验证结果为不合法,则鉴别访问控制器AAC设定接入结果为不成功,鉴别访问控制器AAC的询问NAAc和密钥数据yP可设置为任意值,构造接入鉴别响应分组发送给请求者REQ,然后解除与请求者REQ的链路验证,接入鉴别响应分组主要内容包括Nreq、Naac、Accres、x-P、yP、IDaac、IDreq、MREScert以及SIGAAc或MIC;其中Nre(2字段表示请求者REQ询问,是请求者REQ产生的随机数;该字段为可选字段,仅为单向鉴别过程时,接入鉴别响应分组需包含此字段;若存在,其值同请求者REQ发送的接入鉴别请求分组中NREQ字段的值;Naac字段表鉴别访问控制器AAC的询问,是鉴别访问控制器AAC产生的随机数;该字段为可选字段,仅为单向鉴别过程时,接入鉴别响应分组需包含此字段;若存在,其值同鉴别访问控制器AAC发送的证书鉴别请求分组中NAAC字段的值;21Accres字段表示接入结果,是鉴别访问控制器AAC根据鉴别结果设定的接入成功或失败以及失败的原因;x-P:表示请求者REQ的密钥数据,是请求者REQ生成的用于ECDH交换的临时公钥x-P,其值同请求者REQ发送的接入鉴别请求分组中x.P字段的值;y-P:表示鉴别访问控制器AAC的密钥数据,是鉴别访问控制器AAC生成的用于ECDH交换的临时公钥y-P;IDaac字段表示鉴别访问控制器AAC的身份标识ID,是根据鉴别访问控制器AAC的证书CertAAc字段得到;IDreq字段表示请求者REQ的身份标识ID,是根据收到的接入鉴别请求分组中的请求者REQ的证书CertREQ字段得到;MREScert字段表示复合的证书验证结果,本字段是可选字段,仅为双向鉴别过程时,在接入鉴别响应分组中需包含此字段;若存在,则该字段由证书鉴别响应分组中的各个字段组成,并且值相同;SIGaac字段表示鉴别访问控制器AAC的签名,是鉴别访问控制器AAC利用自己的私钥对接入鉴别响应分组中除本字段外所有字段的签名;MIC字段表示消息鉴别码,是鉴别访问控制器AAC利用鉴别过程中协商生成的基密钥BK对接入鉴别响应分组中除了本字段外的所有字段及下一次证书鉴别过程的鉴别标识计算得到的杂凑值;接入鉴别响应分组只需要包含SIGAAc字段和MIC字段二者之一即可;如果在此次身份鉴别过程中存在鉴别激活分组,且鉴别激活分组包含SIGAAC字段,则此分组中只包含MIC字段;如果此次身份鉴别过程不存在鉴别激活分组或者鉴别激活分組中没有包含SIGaac;字段,则此分组中只包含SIGAAC字段;2丄6)接入鉴别确认请求者REQ收到接入鉴别响应分组后,进行如下处理-2丄6.1)根据分组中咖DAAc和IDREQ字段判断是否为对应当前接入鉴别请求分组的接入鉴别响应分组,如果不是,则丢弃该分组;如果是,则执行2丄6.2);2丄6.2)比较分组中请求者REQ密钥数据x.P字段值与自己发送的接入鉴别请求分组中的x.P字段值是否一致,若不一致,则丢弃该分组,否则执行2丄6.3);2丄6.3)如果是单向鉴别过程,则比较NREo字段值与之前发送的接入鉴别请求分組中的Nreq字段僮是否一致,若不一致,则丢弃该分组,否则执行2丄6.4);如果是双向鉴别过程,则直接执行2丄6.4);2丄6.4)査看分組中的Accres字段,如果接入结果为不成功,则解除与该鉴别访问控制器AAC的链路验证;否则执行2丄6.5);2丄6.5)如果收到的接入鉴别响应分组中含有SIGAAC字段,则验证SIGAAc的正确性,如果不正确,则丢弃该分组,否则执行2丄6.6);如果收到的分组中含有MIC字段,则验证MIC字段的正确性,如果不正确,则丢弃分组,否则执《亍2.1.6.6);2丄6.6)如果是单向鉴别过程,则执行2丄6.8),否则验证复合的证书验i正结果MREScert字段中所包含的NREQ字段值与自己发送的接入鉴别请求分组中NRE(j字段值是否一致,若不一致,则丢弃该分组;否则验证签名SIGAS.REQ是否正确,如果不正确则丢弃该分组,如果正确,则执行2丄6.7);2丄6.7)验证复合的证书验证结果MREScert字段中鉴别访问控制器AACH正书验证结果是否为合法,如果不合法,则得知该网络不合法,不可以访问该网乡各;否则得到该网络是合法的,可以进行访问,并执行2丄6.8);2丄6.S)请求者REQ根据鉴别访问控制器AAC的临时公钥yP和自己的临时私钥x进行ECDH计算得到基密钥BK以及下一次证书鉴别过程的鉴别标识并j呆存;2丄6.9)如果收到的接入鉴别响应分组中含有MIC字段,则是否发送接入鉴别确认分组是可选的;如果收到的分组中含有鉴别访问控制器AAC的签名SIGaac字段,则需要构造接入鉴别确认分组,发送给鉴别访问控制器AAC,接入鉴别确认分组主要内容包括MIC;其中MIC字段表示消息鉴别码,是请求者REQ利用鉴别过程中协商生成的基密钥BK对鉴别访问控制器AAC询问值NAAc、请求者REQ询问值NREQ及下一次证书鉴别过程的鉴别标识计算得到的杂凑值。上述步骤2丄6)中鉴别访问控制器AAC在发送接入鉴别响应分组给请求者REQ之后,如果发送的接入鉴别响应分组中包含的是鉴别访问控制器AAC的签名SIGaac字段,则鉴别访问控制器AAC需要等待接收接入鉴别确认分组。上述步骤2丄6)中鉴别访问控制器AAC在收到请求者REQ发送的接入鉴别确认分组之后,要验证分组中MIC字段的正确性,如果正确,则请求者REQ具有和自己一致的基密钥BK;如果不正确则丢弃该分组。上述步骤3)中,请求者REQ与鉴别访问控制器AAC之间的密钥协商包手舌,单播密钥协商过程和组播密钥/站间密钥的通告过程;密钥协商步骤中的单f番密钥协商过程的具体实现方式是3丄1)单播密钥协商请求在鉴别访问控制器AAC完成身份鉴别过程后,鉴别访问控制器AAC向请求者REQ发送单播密钥协商请求分组开始与请求者REQ进行单播密钥协商,单播密钥协商请求分组主要内容包括Naac以及MIC;其中Naac字段表示鉴别访问控制器AAC的询问,若为首次单播密钥协商,则该字段为由鉴别访问控制器AAC产生的随机数;若为单播密钥的更新过程,则该字段的值是上一次单播密钥协商过程中保存的NAAc值;MIC字段表示消息鉴别码,由鉴别访问控制器AAC利用鉴别过程中协商生成的基密钥BK对单播密钥协商请求分组中除本字段外所有字段进行计算f寻到的杂凑值;3丄2)单播密钥协商响应请求者REQ收到单播密钥协商请求分组后,进行如下处理3丄2.1)如果此次密钥协商过程为单播密钥的更新过程,则检查分组中NAAc字段与上次密钥协商过程中保存的NAAc是否一致,若不一致,则丢弃该分组;若一致,则执行3丄2.2);如果此次密钥协商过程不是单播密钥的更新过程则直接执行3丄2.2);3丄2.2)验证MIC字段是否正确,若不正确则丢弃该分组;若正确则执行3.1.2.3);3丄2.3)请求者REQ产生请求者REQ询问NREQ,然后通过哈希计算得到单播会话密钥,以及下次密钥协商过程使用的NAAc并保存;其中单播会话密钥包含单播加密密钥UEK、单播完整性校验密钥UCK、消息鉴别密钥MAK以及密钥加密密钥KEK;3丄2.4)利用消息鉴别密钥MAK计算消息鉴别码MIC,构造单播密钥^J、商响应分组,发送给鉴别访问控制器AAC;3丄2.5)请求者REQ安装新协商的单播会话密钥;单播密钥协商响应分组主要内容包括Nreq、Naac以及MIC;其中Nreq字段表示请求者REQ的询问,是请求者REQ产生的随机数;N^c字段表示鉴别访问控制器AAC的询问,其值同单播密钥协商i青求分組中的Naac字段的僮;若为首次单播密钥协商过程,则该字段值直接取决于单播密钥协商请求分组中的NAAc字段的值;若为单播密钥更新过程,则该字段值为上一次单播密钥协商过程中保存的naac值;MIC字段表示消息鉴别码,由请求者REQ利用生成的消息鉴别密钥MAK对单播密钥协商响应分组中除本字段外所有字段进行计算得到的杂凑值;3丄3)单播密钥协商确认鉴别访问控制器AAC收到单播密钥协商响应分组后,进行如下处理3丄3J)如果此次密钥协商过程为单播密钥的更新过程,则检查分组中的naac字段与上次密钥协商过程中保存的naac是否一致,若不一致,则丢弃该分组,若一致,则执行3丄3.2);如果此次密钥协商过程不是单播密钥的更新过禾呈,则需要检查分组中的naac字段值是否与单播密钥协商请求分组中的naac字段值一致,若不一致则丢弃该分组,若一致,则执行3丄3.2);3丄3.2)根据分組中的字段Nrecj和Naac字段,通过哈希计算得到单播会i舌密钥以及下次密钥协商过程使用的NAAc并保存;其中单播会话密钥包含单播加密密钥UEK、单播完整性校验密钥UCK、消息鉴别密钥MAK以及密钥加密密牵月KEK;3丄3.3)利用消息鉴别密钥MAK,验证分组中的MIC是否正确,如果不正确则丢弃该分组;如果正确,则执行3丄3.4);3丄3.4)利用消息鉴别密钥MAK计算消息鉴别码MIC,构造单播密钥协商确认分组,发送给请求者REQ;3丄3.5)鉴别访问控制器AAC安装新协商的单播会话密钥;启用新安装的单播会话密钥的收发功能,即允许利用该新密钥对单播数据进行加解密。若lt匕欠单播密钥协商过程为更新过程,则还需删除旧的单播会话密钥;单播密钥协商确认分组主要内容包括Nreq以及MIC;其中-Nreq字段表示请求者REQ的询问,是请求者REQ产生的随机数,其值同单播密钥协商响应分组中的nreq字段的值;MIC字段表示消息鉴别码,由鉴别访问控制器AAC利用生成的消息鉴别密钥MAK对单播密钥协商确认分组中除本字段外所有字段进行计算得到的杂凑值;3丄4)请求者REQ收到单播密钥协商确认分组后,进行如下处理3丄4.1)检查nreq字段与自己发送的单播密钥协商响应分组中的nre(3字段是否相同,若不同,则丢弃该分组;若相同,则执行3.1.4.2);3丄4.2)利用消息鉴别密钥MAK,验证分组中的MIC是否正确,若不正确则丢弃该分组;若正确则执行3丄4,3);3丄4.3)启用新安装的单播会话密钥的发送功能,即允许利用该新密钥加密发送单播数据;若此次单播密钥协商过程为更新过程,则还需删除旧的单播会话密钥。密钥协商步骤中的组播密钥/站间密钥通告过程的具体实现方式是3.2.1)组播密钥或站间密钥通告组播密钥或站间密钥通告分组主要内容包括KN、Enmk以及MIC;其中KN字段表示密钥通告标识,初始化为一个整数,在每次密钥更新通告时该字段值加l,若通告的密钥不变,则该字段值保持不变;Ewmk字段表示密钥加密数据,是鉴别访问控制器AAC利用密钥加密密钥KEK对通告主密钥NMK(NotificationMasterKey)加密后的数据;MIC字段表示消息鉴别码,由鉴别访问控制器AAC利用单播密钥协商过程中生成的消息鉴别密钥MAK对组播密钥/站间密钥通告分组中除本字段外所有字段进行计算得到的;3.2.2)组播密钥/站间密钥响应请求者REQ收到组播密钥/站间密钥通告分组后,进行如下处理3.2.2.1)利用单播密钥协商过程中生成的消息鉴别密钥MAK验证MIC字段是否正确,若不正确,则丢弃该分组;若正确则执行3.2.2.2);3.2.2.2)査看KN字段是否单调递增,如果不是则丢弃该分组;如果是则执行3.2.2.3);3.2.2.3)利用单播密钥协商过程中生成的密钥加密密钥KEK解密ENMK字段得到通告主密钥NMK;利用哈希算法即可得到会话密钥;3.2.2.4)保存此次的密钥通告标识KN字段的值,并生成组播密钥/站间密钥响应分组,发送给鉴别访问控制器AAC;3.2.2.5)安装密钥;组播密钥/站间密钥响应分组主要内容包括KN以及MIC;其中-KN字段表示密钥通告标识,其值同组播密钥/站间密钥通告分组中的KN字段的值;MIC字段表示消息鉴别码,由请求者REQ利用单播密钥协商过程中生成的消息鉴别密钥MAK对组播密钥/站间密钥确认分组中除本字段外所有字段进行计算得到的;3.2.3)鉴别访问控制器AAC收到组播密钥/站间密钥响应分组后,将进行如下处理3.2.3.1)利用单播密钥协商过程中生成的消息鉴别密钥MAK验证MIC字段是否正确,若不正确,则丢弃该分组;若正确则执行3.2.3.2);3.2.3.2)比较KN字段与之前发送的组播密钥/站间密钥通告密钥分组中对应的字段值是否一致,如果不一致,则丢弃该分组;如果一致,则安装密钥。一种有线局域网的安全访问控制系统,其特殊之处在于所述有线局域网的安全访问控制系统包括请求者REQ、鉴别访问控制器AAC以及鉴别服务器AS;请求者REQ和鉴别服务器AS分别和鉴别访问控制器AAC连接,鉴别访问控制器AAC为请求者REQ提供服务端口;鉴别服务器AS为请求者REQ和鉴别访问控制器AAC提供鉴别服务。本发明的优点是本发明提供了一种有线局域网LAN中用户接入网络时基于三元对等鉴别TePA机制的安全访问控制方法TLAC及其系统,实现用户与网络接入控制设备之间的直接身份鉴别;实现用于链路层数据保护的会话密钥的协商及动态更新;支持企业网、电信网等多种网络架构;具有良好的可扩展性,支持多种鉴别方法;支持不同安全等级的鉴别协议,满足各类用户需求;协议的子模块独立、灵活,便于取舍。图l为本发明所述安全策略协商过程示意图;图2为本发明所述TAEP-CAAP的核心鉴别过程示意图;图3为本发明所述单播密钥协商过程示意图;图4为本发明所述组播密钥/站间密钥通告过程示意图。具体实施例方式参见图l-4,本发明提供了一种有线局域网的安全访问控制方法,该方法分为三部分安全策略协商过程、身份鉴别过程和密钥协商过程。其具体实施方式如下1)安全策略协商过程如图l所示,具体过程如下1.1)安全策略协商请求当请求者REQ接入鉴别访问控制器AAC时,鉴别访问控制器AAC向请求者REQ发送安全策略协商请求分组。安全策略协商请求分组的主要,容包括ITIEACCI其中TIEacc字段表示鉴别访问控制器AAC所支持的TePA的信息元素。包含鉴别访问控制器AAC所支持的鉴别和密钥管理套件及密码套件等。1.2)安全策略协商响应请求者REQ收到安全策略协商请求分组后,进行如下处理请求者REQ根据安全策略协商请求分组中TIEAcc字段给出的鉴别访问控制器AAC所支持的鉴别和密钥管理套件及密码套件等,结合本地策略选择一种双方共有的鉴别和密钥管理套件及密码套件,组成安全策略协商响应分组发送给鉴别访问控制器AAC;若请求者REQ不支持安全策略协商请求分组中鉴别访问控制器AAC所支持的任一鉴别和密钥管理套件或密码套件,根据本地策略可丢弃该分组。安全策略协商响应分组的主要内容包括其中TIEreo字段表示请求者REQ选择的TePA信息元素,包含请求者REQ所选择的鉴别和密钥管理套件及密码套件。1.3)鉴别访问控制器AAC收到安全策略协商响应分组后,进行如下处理1.3.1)鉴别访问控制器AAC判断是否支持请求者REQ所选择的鉴别和密钥管理套件及密码套件,若不支持,则丢弃该分组;否则执行1.3.2);1.3.2)根据请求者REQ选择的鉴别和密钥管理套件开始相应的核心鉴别过程。在本发明中,给出一种基于证书的鉴别协议TAEP-CAAP(Triple-elementAuthenticationExtensibleProtocol-Certificate-basedlAnAuthenticationProtocol)。2)基于证书的鉴别协议TAEP-CAAP过程如图2所示,具体过程如下2.1)鉴别激活当请求者REQ与鉴别访问控制器AAC在安全策略协商过程中协商选择采用证书鉴别和密钥管理套件时,鉴别访问控制器AAC向请求者REQ发送鉴别激活分组以激活请求者REQ进行证书鉴别过程。鉴别激活分组的主要内容包括SNonceIDas墨aacCertAAcParaECDH丁正accSIGaac其中SNonce字段表示鉴别标识,若为首次身份鉴别,则该字段为由鉴别访问控制器AAC产生的随机数;若为更新的身份鉴别过程,则该字段的值是上一次身份鉴别过程中协商生成的鉴别标识值;IDAs.AAc字段表示鉴别访问控制器AAC所信任的鉴别服务器AS的身份标识ID(identity),是鉴别访问控制器AAC的证书CerUAc的颁发者鉴别服务器AS的身份标识ID。CertAAc字段表示鉴别访问控制器AAC的证书。ParaECDH字段表示椭圆曲线密码体制的Di伍e-Hellman交换ECDH参数,是请求者REQ和鉴别访问控制器AAC进行ECDH计算时采用的椭圆曲线密码参数。TIEaac字段表示鉴别访问控制器AAC所支持的鉴别和密钥管理套件及密码套件。其值同安全策略协商请求分组中的TIEAAC字段的值。SIGaac字段表示鉴别访问控制器AAC的签名,是鉴别访问控制器AAC利用自己的私钥对本分组中除本字段之外所有字段进行的签名。此字段为可选字段。2.2)接入鉴别请求请求者REQ收到鉴别激活分组后,进行如下处理2.2.1)如果此次鉴别过程为身份鉴别的更新过程,则请求者REQ检査鉴别激活分组中的鉴别标识字段值与上一次身份鉴别过程中计算的鉴别标识是否一致,如果不一致,则丢弃该分组;否则执行2丄2);如果此次鉴别过程不是身份鉴别的更新过程,为首次身份鉴别过程,则直接执行2丄2);2.2.2)验证TIEAAc字段值与安全策略协商过程中收到的安全策略协商请求分组中的TIEAAc字段值是否一致,如果不一致,则丢弃该分组;否则执行2.2.3);2.2.3)如果收到的鉴别激活分组中包含SIGAAc字段,则验证SIGAAc字段的正确性,如果不正确则丢弃该分组,否则执行2.2.4);如果收到的鉴别激活分组中未包含SIGaac字段,则直接执行2.2.4);2.2.4)根据鉴别激活分组中的IDAs.AAc字段选择由该鉴别服务器AS颁发的请求者REQ的证书CertREQ或者根据本地策略选择请求者REQ的证书CertREQ,并产生用于ECDH交换的请求者REQ密钥数据x'P和请求者REQ询问NREQ,生成接入鉴别请求分组,发送给鉴别访问控制器AAC。接入鉴别请求分组主要内容包括:SNonceN,x.PIDaacCert卿ParaECDHLlStAS-REQTIEreqSig卿其中:SNonce字段表示鉴别标识,其值同鉴别激活分组中的SNonce字段的值。若为首次身份鉴别过程,则该字段值直接取决于鉴别激活分组中的SNonce字段的值;若为更新的身份鉴别过程,则该字段值为上一次身份鉴别过程中计算的鉴别标识值。Nreq字段表示请求者REQ询问,是请求者REQ产生的随机数。x-P字段表示请求者REQ的密钥数据,是请求者REQ生成的用于ECDH交换的临时公钥x-P。IDaac字段表示鉴别访问控制器AAC的身份标识ID,是根据鉴别激活分组中鉴别访问控制器AAC的证书CertAAc字段得到。CertREQ字段表示请求者REQ的证书。ParaECDH字段表示ECDH参数,是请求者REQ和鉴别访问控制器AAC进行ECDH计算时采用的椭圆曲线密码参数。其值同鉴别激活分组中的PamECDH字段的值。LisUs.REQ字段表示请求者REQ所信任的鉴别服务器AS列表,但不包含请求者REQ的证书CertREQ的颁发者。若请求者REQ除了信任其证书颁发者以外,还信任其他的某些实体,可以通过该字段通知鉴别服务器AAC。本字段为可选字段。T正req字段表示请求者REQ选择的鉴别和密钥管理套件及密码套件。其值同安全策略协商响应分组中的T正RE(j字段的值。SigREQ字段表示请求者REQ的签名,是请求者REQ利用自己的私钥对本分组中除本字段之外所有字段进行的签名。2.3)证书鉴别请求鉴别访问控制器AAC收到接入鉴别请求分组后,进行如下处理2.3.1)如果鉴别访问控制器AAC发送了鉴别激活分组,则检査收到的分组中的SNonce、ParaECDH字段值和鉴别激活分组中对应的字段值是否一致,如果有一个不一致,则丢弃该分组,否则执行2.3.2);如果鉴别访问控制器AAC没有发送鉴别激活分组,则检査SNonce字段值和上一次证书鉴别过程中计算的鉴别标识是否一致,并检查ParaECDH字段和上一次鉴别激活分组中的ParaECDH是否一致,如果有一个不一致,则丢弃该分组,否则执行2.3.2);2.3.2)检査IDAAc与自己的身份是否一致,并检査T正RE(j字段的值与安全策略协商过程中收到的安全策略协商响应分组中的TIERE(j字段值是否一致,如果有一个不一致,则丢弃该分组,否则执行2.3.3);2.3.3)验证请求者REQ的签名SigREQ字段的正确性,如果正确,则执行2.3.4);否则,执行丢弃该分组;2.3.4)如果鉴别访问控制器AAC的本地策略要求使用鉴别服务AS来鉴别请求者REQ的证书CertR^,则鉴别访问控制器AAC生成证书鉴别请求分组,发送鉴别服务器AS;否则执行2.3.5);2.3.5)鉴别访问控制器AAC本地鉴别请求者REQ的证书CertREQ,即根据本地缓存的请求者REQ的证书CertREQ的验证结果及根据本地策略所定义的时效性确认请求者REQ的证书CertREQ的验证结果。若合法,则本地生成用于ECDH交换的密钥数据(鉴别访问控制器AAC的临时公钥yP)以及AAC询问NAAc,并根据请求者REQ的临时公钥xvP以及自己的临时私钥y进行ECDH计算得到基密钥BK(Basekey)以及下一次证书鉴别过程的鉴别标识并保存,然后设定接入结果为成功,构造接入鉴别响应分组发送给请求者REQ,并允许用户访问网络;若CertREQ的验证结果为不合法,则鉴别访问控制器AAC设定接入结果为不成功,鉴别访问控制器AAC的询问NAAc和密钥数据yP可设置为任意值,构造接入鉴别响应分组发送给请求者REQ,然后解除与该请求者REQ的链路验证。证书鉴别请求分组主要内容包括N嵐N卿Cert卿CertAAcList八s-req其中-Naac字段表示鉴别访问控制器AAC询问,是鉴别访问控制器AAC产生的随机数。Nreq字段表示请求者REQ询问,是请求者REQ产生的随机数。其值同请求者REQ发送的接入鉴别请求分组中NRE(j字段的值。CertRE9字段表示请求者REQ的证书,其值同接入鉴别请求分组中CertREcj字段的值。CertAAc字段表示鉴别访问控制器AAC的证书,其值同鉴别激活分组中CertAAC字段的值。LisUs.req字段表示请求者REQ信任的鉴别服务器AS列表,其值同请求者REQ发送的接入鉴别请求分组中的LisUs.req字段的值。本字段为可选字段。2.4)证书鉴别响应鉴别服务器AS收到证书鉴别请求分组后,进行如下处理2.4.1)如果此次鉴别过程为单向鉴别,则只需验证请求者REQ的证书CertREQ,如果是双向鉴别则需要同时验证鉴别访问控制器AAC的证书CertAAc和请求者REQ的证书CertREQ。参照RFC3280进行证书的验证,若无法验证,则将相应证书的验证结果置为证书的颁发者不明确,否则验证证书的状态,然后执行2.4.2);322.4.2)根据证书的验证结果,构造证书鉴别响应分组,并且附加相应的签名,发往鉴别访问控制器AAC。证书鉴别响应分组主要内容包括RESCertSIGas-reqSIG'as-aac其中REScert字段表示证书的验证结果,本字段包括鉴别访问控制器AAC询问僮Naac、请求者REQ询问值NREQ、以及CertAAc的验证结果、CertREQ的验证结果。如果只是单向验证则不包括鉴别访问控制器AAC的证书CertAAc的验证结果。SIGas.req字段表示请求者REQ信任的鉴别服务器AS对本分组中证书的验证结果REScert字段进行的签名。SIGas.aac字段表示鉴别访问控制器AAC信任的鉴别服务器AS对证书鉴别响应分组中除本字段之外所有字段进行的签名,本字段为可选字段,如果对i正书验证结果进行签名的鉴别服务器AS和鉴别访问控制器AAC信任的鉴别服务器AS相同,则不需要本字段。2.5)接入鉴别响应鉴别访问控制器AAC收到证书鉴别响应分组后,进今亍如下处理2.5.1)检査证书的验证结果REScert字段中的鉴别访问控制器AAC的询问NAAc与证书鉴别请求分组中的NAAC字段值是否相同,若不同,丢弃该分组,否则执行2.5,2);2.5.2)如果分组中含有两个签名字段,则检査鉴别访问控制器AAC所信^f壬的鉴别服务器AS的签名SIGAS.aac字段是否正确,若不正确,则丢弃该分组;若正确则执行2.5,3);如果分组中只含有一个签名字段,即表明对证书验证结果进行签名的鉴别服务器AS也是鉴别访问控制器AAC所信任的鉴别服务器AS,则检査SIGas.req字段是否正摘,若不正确,则丢弃该分组;若正确则执行2.5.3);2.5.3)检査证书的验证结果REScert字段中CertREQ的验证结果是否合法,若合法,则本地生成用于ECDH交换的密钥数据(鉴别访问控制器AAC的临时公钥y-P)以及鉴别访问控制器AAC询问NAAc,并根据请求者REQ的临时公钥x,P以及自己的临时私钥y进行ECDH计算得到基密钥BK以及下一次身份鉴别过程的鉴别标识并保存,然后设定接入结果为成功,构造接入鉴别响应分组发送给请求者REQ,并允许用户访问网络;若CertREcj的验证结果为不合法,则鉴别访问控制器AAC设定接入结果为不成功,鉴别访问控制器AAC的询问NAAc和密钥数据y-P可设置为任意值,构造接入鉴别响应分组发送给请求者REQ,然后解除与请求者REQ的链路验证。接入鉴别响应分组主要内容包括:<table>tableseeoriginaldocumentpage34</column></row><table>其中:Nre(2字段表示请求者REQ询问,是请求者REQ产生的随机数。该字段为可选字段,仅为单向鉴别过程时,接入鉴别响应分组需包含此字段。若存在,其值同请求者REQ发送的接入鉴别请求分组中NREC3字段的值。Naac字段表鉴别访问控制器AAC的询问,是鉴别访问控制器AAC产生的随机数。该字段为可选字段,仅为单向鉴别过程时,接入鉴别响应分组需包含此字段。若存在,其值同鉴别访问控制器AAC发送的证书鉴别请求分组中NAAc字段的值。Accres字段表示接入结果,是鉴别访问控制器AAC根据鉴别结果设定的接入成功或失败以及失败的原因。x-P:表示请求者REQ的密钥数据,是请求者REQ生成的用于ECDH交换的临时公钥x,P。其值同请求者REQ发送的接入鉴别请求分组中xT字段的值。y-P:表示鉴别访问控制器AAC的密钥数据,是鉴别访问控制器AAC生成的用于ECDH交换的临时公钥y-P。IDaac字段表示鉴别访问控制器AAC的身份标识ID,是根据鉴别访问控制器AAC的证书CertAAc字段得到。IDreq字段表示请求者REQ的身份标识ID,是根据收到的接入鉴别请求分组中的请求者REQ的证书CertREQ字段得到。MREScert字段表示复合的证书验证结果。本字段是可选字段,仅为双向鉴别过程时,在接入鉴别响应分组中需包含此字段。若存在,则该字段由证书鉴别响应分组中的各个字段组成,并且值相同。SIGaac字段表示鉴别访问控制器AAC的签名,是鉴别访问控制器AAC利用自己的私钥对接入鉴别响应分组中除本字段外所有字段的签名。MIC字段表示消息鉴别码,是鉴别访问控制器AAC利用鉴别过程中协商生成的基密钥BK对接入鉴别响应分组中除了本字段外的所有字段及下一次^E书鉴别过程的鉴别标识计算得到的杂凑值。接入鉴别响应分组只需要包含SIGAAc;字段和MIC字段二者之一即可。如果在此次身份鉴别过程中存在鉴别激活分组,且鉴别激活分组包含SIGAAC字段,则此分组中只包含MIC字段;如果此次身份鉴别过程不存在鉴别激活分组或者鉴别激活分組中没有包含SIGaac字段,则此分组中只包含SIGAAc字段。2.6)接入鉴别确认请求者REQ收到接入鉴别响应分组后,进行如下处理2.6.1)根据分组中的IDAAc和D,字段判断是否为对应当前接入鉴别请求分组的接入鉴别响应分组,如果不是,则丢弃该分组,否则执行2.6,2);2.6.2)比较分组中请求者REQ密钥数据x'P字段值与自己发送的接入鉴别请求分组中的&P字段值是否一致,若不一致,则丢弃该分组,否则执行2.6.3);2.6.3)如果是单向鉴别过程,则比较nreq字段值与之前发送的接入鉴别请求分组中的nreq字段值是否一致,若不一致,则丢弃该分组,否则执行2.6.4);如果是双向鉴别过程,则直接执行2.6.4);2.6.4)査看分組中的Accres字段,如果接入结果为不成功,则解除与该鉴别访问控制器AAC的链路验证;否则执行2.6.5);2.6.5)如果收到的接入鉴别响应分组中含有SIGAAc字段,则验证SIGAAc的正确性,如果不正确,则丢弃该分组,否则执行2.6.6);如果收到的分组中含有MIC字段,则验证MIC字段的正确性,如果不正确,则丢弃分组,否则执行2.6.6);2.6.6)如果是单向鉴别过程,则执行2.6.8),否则验证复合的证书验证结果MRES^字段中所包含的Nreq字段信与自己发送的接入鉴别请求分组中nreq字段值是否一致,若不一致,则丢弃该分组,否则验证签名SIGAS.req是否正确,如果不正确则丢弃该分组,否则执行2.6.7);;2.6.7)验证复合的证书验证结果MREScert字段中鉴别访问控制器AAC证书验证结果是否为合法,如果不合法,则得知该网络不合法,不可以访问该网络;否则得到该网络是合法的,可以进行访问,并执行2.6.8);2.6.8)请求者REQ根据鉴别访问控制器AAC的临时公钥yP和自己的临时私钥x进行ECDH计算得到基密钥BK以及下一次证书鉴别过程的鉴别标识并保存;2.6.9)如果收到的接入鉴别响应分组中含有MIC字段,则是否发送接入鉴别确认分组是可选的;如果收到的分组中含有鉴别访问控制器AAC的签名SIGAAC字段,则需要构造接入鉴别确认分组,发送给鉴别访问控制器AAC。接入鉴别确认分组主要内容包括MIC其中MIC字段表示消息鉴别码,是请求者REQ利用鉴别过程中协商生成的基密钥BK对鉴别访问控制器AAC询问值NAAc、请求者REQ询问值NRE(3及下一次证书鉴别过程的鉴别标识计算得到的杂凑值。鉴别访问控制器AAC在发送接入鉴别响应分组给请求者REQ之后,如果发送的接入鉴别响应分组中包含的是鉴别访问控制器AAC的签名SIGAAc字段,则鉴别访问控制器AAC需要等接收接入鉴别确认分组。鉴别访问控制器AAC在收到请求者REQ发送的接入鉴别确认分组之后,要验证分组中MIC字段的正确性,如果正确,则意味着请求者REQ具有和自己一致的基密钥BK,否则,丢弃该分组。该协议功能高度集中,即可实现双向鉴别,又可实现单向鉴别,还支持鉴别更新以及简化的鉴别更新。所谓简化的鉴别更新就是指不需要鉴别服务器AS验证证书,鉴别访问控制器AAC与请求者REQ之间直接进行签名验证。反映在分组中的内容上,就是接入鉴别响应分组中不包含复合的证书验证结果字段。简化的鉴别过程只能用作鉴别更新过程,不能用作客户端与网络连接时的首次鉴别。3)单播密钥协商过程如图4所示,具体过程如下3.1)单播密钥协商请求在鉴别访问控制器AAC完成身份鉴别过程后,鉴别访问控制器AAC向请求者REQ发送单播密钥协商请求分组开始与请求者REQ进行单播密钥协商。单播密钥协商请求分组主要内容包括NaacMIC其中Naac字段表示鉴别访问控制器AAC的询问,若为首次单播密钥协商,则36该字段为由鉴别访问控制器AAC产生的随机数;若为单播密钥的更新过程,则该字段的值是上一次单播密钥协商过程中保存的NAAc值;MIC字段表示消息鉴别码,由鉴别访问控制器AAC利用其与请求者REQ之间共同拥有的基密钥BK进行计算得到的杂凑值。3.2)单播密钥协商响应。请求者REQ收到单播密钥协商请求分组后,进行如下处理3.2.1)如果此次密钥协商过程为单播密钥的更新过程,则检查分组中NAAc字段与上次密钥协商过程中保存的NAAc是否一致,若不一致,则丢弃该分组;否则执行3.2.2);如果此次密钥协商过程不是单播密钥的更新过程则直接执行3.2.2);3.2.2)验证MIC字段是否正确,如果不正确则丢弃该分组,否则执行3.2.3);3.2.3)请求者REQ产生请求者REQ询问NRE(3,然后通过哈希计算得到单播会话密钥,以及下次密钥协商过程使用的NAAC并保存。其中单播会话密钥包含单播加密密钥UEK(unicastencryptionkey)、单播完整性校验密钥UCK(unicastcheckkey)、消息鉴别密钥MAK(messageauthenticationkey)以及密钥加密密钥KEK(keyencryptionkey);利用消息鉴别密钥MAK计算消息鉴别码MIC,构造单播密钥协商响应分组,发送给鉴别访问控制器AAC;请求者REQ安装新协商的单播会话密钥。单播密钥协商响应分组主要内容包括recjNaacMIC其中Nreq字段表示请求者REQ的询问,是请求者REQ产生的随机数。Naac字段表示鉴别访问控制器AAC的询问,其值同单播密钥协商请求分組中的Naac字段的値。若为首次单播密钥协商过程,则该字段值直接取决于单播密钥协商请求分组中的NAAC字段的值;若为单播密钥更新过程,则该字段值为上一次单播密钥协商过程中保存的NAAc值。MIC字段表示消息鉴别码,由请求者REQ利用生成的消息鉴别密钥MAK对单播密钥协商响应分组中除本字段外所有字段进行计算得到的杂凑值。3.3)单播密钥协商确认。鉴别访问控制器AAC收到单播密钥协商响应分组后,进行如下处理3.3.1)如果此次密钥协商过程为单播密钥的更新过程,则检査分组中的NAAc字段与上次密钥协商过程中保存的NAAc是否一致,若不一致,则丢弃该分组,否则执行3.3.2);如果此次密钥协商过程不是单播密钥的更新过程,则需要检査分组中的NAAC字段值是否与单播密钥协商请求分组中的NAAc字段值一致,如果不一致则丢弃该分组,否则执行3.3,2);3.3.2)根据分組中的字段Nreq和Naac字段,通过哈希计算得到单播会话密钥以及下次密钥协商过程使用的naac并保存。其中单播会话密钥包含单播加密密钥UEK、单播完整性校验密钥UCK、消息鉴别密钥MAK以及密钥加密密钥KEK;3.3.3)利用消息鉴别密钥MAK,验证分组中的MIC是否正确,如果不正确则丢弃该分组,否则执行3.3.4);3.3.4)利用消息鉴别密钥MAK计算消息鉴别码MIC,构造单播密钥协商确认分组,发送给请求者REQ;3.3.5)鉴别访问控制器AAC安装新协商的单播会话密钥;启用新安装的单播会话密钥的收发功能,即允许利用该新密钥对单播数据进行加解密。若此次单播密钥协商过程为更新过程,则还需删除旧的单播会话密钥。单播密钥协商确认分组主要内容包括<table>tableseeoriginaldocumentpage38</column></row><table>其中-Nreq字段表示请求者REQ的询问,是请求者REQ产生的随机数。其值同单播密钥协商响应分组中的nreq字段的值。MIC字段表示消息鉴别码,由鉴别访问控制器AAC利用生成的消息鉴别密钥MAK对单播密钥协商确认分组中除本字段外所有字段进行计算得到的杂凑值。3.4)请求者REQ收到单播密钥协商确认分组后,进行如下处理3.4.1)检查NREQ字段与自己发送的单播密钥协商响应分组中的NR^字段是否相同,若不同,则丢弃该分组;否则,执行3.4.2);3.4.2)利用消息鉴别密钥MAK,验证分组中的MIC是否正确,如果不正确则丢弃该分组,否则执行3.4.3);3.4.3)启用新安装的单播会话密钥的发送功能,即允许利用该新密钥加密发送单播数据。若此次单播密钥协商过程为更新过程,则还需删除旧的单播会话密钥。4)组播密钥/站间密钥通告过程如图5所示,具体过程如下4.1)组播密钥/站间密钥通告组播密钥/站间密钥通告分组主要内容包括<table>tableseeoriginaldocumentpage39</column></row><table>其中KN字段表示密钥通告标识,初始化为一个整数,在每次密钥更新通告时该字段值加l,若通告的密钥不变,则该字段值保持不变。Ewmk字段表示密钥加密数据,是鉴别访问控制器AAC利用密钥加密密钥KEK对通告主密钥NMK(NotificationMasterKey)加密后的数据。MIC字段表示消息鉴别码,由鉴别访问控制器AAC利用单播密钥协商过程中生成的消息鉴别密钥MAK对组播密钥/站间密钥通告分组中除本字段外所有字段进行计算得到的。4.2)组播密钥/站间密钥响应请求者REQ收到组播密钥/站间密钥通告分组后,进行如下处理4.2.1)利用单播密钥协商过程中生成的消息鉴别密钥MAK验证MIC字段是否正确,若不正确,则丢弃该分组;否则,执行4.2.2);4.2.2)査看KN字段是否单调递增,如果不是则丢弃该分组;否则执行4.2.3);4.2.3)利用单播密钥协商过程中生成的密钥加密密钥KEK解密EwMK字段即可得到通告主密钥NMK;利用哈希算法即可得到会话密钥;4.2.4)保存此次的密钥通告标识KN字段的值,并生成组播密钥/站间密钥响应分组,发送给鉴别访问控制器AAC;4.2.5)安装密钥。组播密钥/站间密钥响应分,且主要内容包括<table>tableseeoriginaldocumentpage39</column></row><table>其中KN字段表示密钥通告标识。其值同组播密钥/站间密钥通告分组中的KN字段的值。MIC字段表示消息鉴别码,由请求者REQ利用单播密钥协商过程中生成的消息鉴别密钥MAK对组播密钥/站间密钥确认分组中除本字段外所有字段进行计算得到的。4.3)鉴别访问控制器AAC收到组播密钥/站间密钥响应分组后,将进行如下处理4.3.1)利用单播密钥协商过程中生成的消息鉴别密钥MAK验证MIC字段是否正确,若不正确,则丢弃该分组;否则,执行4.3.2);4.3.2)比较KN字段是否与之前发送的组播密钥/站间密钥通告密钥分组中对应的字段值一致,如果不一致,则丢弃该分组;否则安装密钥。本发明在提供一种有线局域网的安全访问控制方法的同时,还提供了一种有线局域网的安全访问控制系统,该系统实现包括三个实体部分请求者REQ(Requester)、鉴别访问控制器AAC(AuthenticationAccessController)和鉴别服务器AS(AuthenticatorServer)。请求者REQ和鉴别服务器AS分别和鉴别访问控制器AAC连接,鉴别访问控制器AAC为请求者REQ提供服务端口;鉴别服务器AS为请求者REQ和鉴别访问控制器AAC提供鉴别服务。40权利要求1、一种有线局域网的安全访问控制方法,其特征在于所述方法包括以下步骤1)请求者REQ与鉴别访问控制器AAC进行安全策略协商;2)请求者REQ与鉴别访问控制器AAC进行身份鉴别;3)请求者REQ与鉴别访问控制器AAC进行密钥协商。2、根据权利要求l所述的有线局域网的安全访问控制方法,其特征在于-所述步骤l)的具体实现方式是,1.1)安全策略协商请求当请求者REQ接入鉴别访问控制器AAC时,鉴别访问控制器AAC向请求者REQ发送安全策略协商请求分组,该分组包括TIEacc;其中-TIEacc字段表示鉴别访问控制器AAC所支持的TePA的信息元素,包含鉴别访问控制器AAC所支持的鉴别和密钥管理套件及密码套件;,1.2)安全策略协商响应请求者REQ收到安全策略协商请求分组后,进行如下处理请求者REQ根据安全策略协商请求分组中TIEAcc字段给出的鉴别访问控制器AAC所支持的鉴别和密钥管理套件及密码套件,结合本地策略选择一种双方共有的鉴别和密钥管理套件及密码套件,组成安全策略协商响应分组发送给鉴别访问控制器AAC;若请求者REQ不支持安全策略协商请求分组中鉴别访问控制器AAC所支持的任一鉴别和密钥管理套件或密码套件,根据本地策略可丢弃该分组;安全策略协商响应分组的主要内容包括TIEreq;其中TIEkeq字段表示请求者REQ选择的TePA信息元素,包含请求者REQ所选择的鉴别和密钥管理套件及密码套件;,1.3)鉴别访问控制器AAC收到安全策略协商响应分组后,进行如下处理1.3.1)鉴别访问控制器AAC判断是否支持请求者REQ所选择的鉴别和密钥管理套件及密码套件,若不支持,则丢弃该分组;若支持,则执行1.3.2);1.3.2)根据请求者REQ选择的鉴别和密钥管理套件开始相应的身份鉴另lJ。3、根据权利要求2所述的有线局域网的安全访问控制方法,其特征在于所述步骤1.3)中请求者REQ选择的鉴别和密钥管理套件是基于证书的鉴另ij协i义TAEP-CAAP。4、根据权利要求3所述的有线局域网的安全访问控制方法,其特征在于当请求者REQ选择的鉴别和密钥管理套件是基于证书的鉴别协议TAEP-CAAP时,所述步骤2)的具体实现方式是2丄1)鉴别激活当请求者REQ与鉴别访问控制器AAC在安全策略协商过程中协商选择采用证书鉴别和密钥管理套件时,鉴别访问控制器AAC向i青求者REQ发送鉴别激活分组以激活请求者REQ迸行证书鉴别,鉴别激活分组包括SNonce、IDas.aac、CertAAc、ParaECDH、TIE八cc以及SIGaac;其中SNonce字段表示鉴别标识,若为首次身份鉴别,则该字段为由鉴另i"方问控制器AAC产生的随机数;若为更新的身份鉴别过程,则该字段的值是上一次身份鉴别过程中协商生成的鉴别标识值;IDas-aac字段表示鉴别访问控制器AAC所信任的鉴别服务器AS的身份标识ID(identity),是鉴别访问控制器AAC的证书CertAAc的颁发者鉴别服务器AS的身份标识ID;CertAAc字段表示鉴别访问控制器AAC的证书;ParaECDH字段表示椭圆曲线密码体制的Diffie-Hellman交换ECDH参数,是请求者REQ和鉴别访问控制器AAC进行ECDH计算时采用的椭圆曲线密码参数;TIEaac字段表示鉴别访问控制器AAC所支持的鉴别和密钥管理套〗牛及密码套件;其值同安全策略协商请求分组中的T正AAc:字段的值;SIGaac字段表示鉴别访问控制器AAC的签名,是鉴别访问控制器AAC利用自己的私钥对本分组中除本字段之外所有字段进行的签名,此字段为可选字段;2丄2)接入鉴别请求请求者REQ收到鉴别激活分组后,进行如下处理/2丄2.D如果此次鉴别过程为身份鉴别的更新过程,则请求者REQ检查鉴别激活分组中的鉴别标识字段值与上一次身份鉴别过程中保存的鉴别标识是否一致,如果不一致,则丢弃该分组;否则执行2丄2.2);如果此次鉴别过程不是i正书鉴别的更新过程,为首次身份鉴别过程,则直接执行2丄2.2);/2丄2.2)验证T正AAc字段值与安全策略协商过程中收到的安全策略协商请求分组中的T正AAc字段值是否一致,如果不一致,则丢弃该分组;如果一致,则执行2丄2.3);/2丄2.3)如果收到的鉴别激活分组中包含SIGAAc字段,则验证SIGAAc字段的正确性,如果不正确,则丢弃该分组;若正确,则执行2丄2.4);如果收到的鉴别激活分组中未包含SIGAAc字段,则直接执行2丄2.4);/2.1.2.4)根据鉴别激活分组中的IDAs—AAc字段选择由该鉴别服务器AS分员发的请求者REQ的证书CertREQ或者根据本地策略选择请求者REQ的证书CertREQ,并产生用于ECDH交换的请求者REQ密钥数据x'P和请求者REQ询问NREQ,生成接入鉴别请求分组,发送给鉴别访问控制器AAC;接入鉴别请求分组主要内容包括SNonce、Nreq、x.P、IDaac、CertREQ、Paraecdh、Listas.req、TIERgQ以及SigREQ;其中SNonce字段表示鉴别标识,其值同鉴别激活分组中的SNonce字段的值;若为首次身份鉴别过程,则该字段值直接取决于鉴别激活分组中的SNonce字段的值;若为更新的身份鉴别过程,则该字段值为上一次身份鉴别过程中i十算的鉴别标识值;Nreq字段表示请求者REQ询问,是请求者REQ产生的随机数;x'P字段表示请求者REQ的密钥数据,是请求者REQ生成的用于ECDH交换的临时公钥x-P;IDaac字段表示鉴别访问控制器AAC的身份标识ID,是根据鉴别激活分组中鉴别访问控制器AAC的证书CertAAc字段得到;CertREQ字段表示请求者REQ的证书;PamECDH字段表示ECDH参数,是请求者REQ和鉴别访问控制器AAC进行ECDH计算时采用的椭圆曲线密码参数,其值同鉴别激活分组中的ParaECDH字段的值;ListAs-req字段表示请求者REQ所信任的鉴别服务器AS列表,但不包含请求者REQ的证书CertREQ的颁发者,若请求者REQ除了信任其证书颁发者以夕卜,还信任其他的某些实体,可以通过该字段通知鉴别服务器AAC,本字段为可选字段;TIEreq字段表示请求者REQ选择的鉴别和密钥管理套件及密码套f牛;其值同安全策略协商响应分组中的TIEreq字段的値;SigREQ字段表示请求者REQ的签名,是请求者REQ利用自己的私钥对本分组中除本字段之外所有字段进行的签名,2丄3)证书鉴别请求鉴别访问控制器AAC收到接入鉴别请求分组后,进行如下处理2丄3.1)如果鉴别访问控制器AAC发送了鉴别激活分组,则检査收到的分组中的SNonce、ParaECDH字段值和鉴别激活分组中对应的字段值是否一致,如果有一个不一致,则丢弃该分组,否则执行2丄3.2);如果鉴别访问控制器AAC没有发送鉴别激活分组,则检查SNonce字段值和上一次证书鉴别过程中计算的鉴别标识是否一致,并检査ParaECDH字段和上一次鉴别激活分组中的ParaECDH是否一致,如果有一个不一致,则丢弃该分组;否则执行2丄3.2);2丄3.2)检查IDAAc与自己的身份是否一致,并检査TIEREQ字段的值与安全策略协商过程中收到的安全策略协商响应分组中的TIEREQ字段值是否一致,如果有一个不一致,则丢弃该分组;否则执行2丄3.3);2丄3.3)验证请求者REQ的签名SigREQ字段的正确性,如果正确,则执行2.1.3.4);否则,执行丢弃该分组;2丄3.4)如果鉴别访问控制器AAC的本地策略要求使用鉴别服务AS来鉴别请求者REQ的证书CertREQ,则鉴别访问控制器AAC生成证书鉴别请求分组,发送鉴别服务器AS;否则执行2丄3.5);2丄3.5)鉴别访问控制器AAC本地鉴别请求者REQ的证书CertREQ,即根据本地缓存的请求者REQ的证书CertREQ的验证结果及根据本地策略所定义的时效性确认请求者REQ的证书CertRE(3的验证结果;若合法,则本地生成用于ECDH交换的密钥数据以及AAC询问NAAc,该密钥数据是鉴别访问控制器AAC的临吋公钥yP,并根据请求者REQ的临时公钥x'P以及自己的临时私钥y进行ECDH计算得到基密钥BK(Basekey)以及下一次身份鉴别过程的鉴别标识并保存,然后设定接入结果为成功,构造接入鉴别响应分组发送给请求者REQ,并允许用户i方问网络;若CertREQ的验证结果为不合法,则鉴别访问控制器AAC设定接入结果为不成功,鉴别访问控制器AAC的询问NAAc和密钥数据yP可设置为任意值,构造接入鉴别响应分组发送给请求者REQ,然后解除与该请求者REQ的链路验i正;证书鉴别请求分组主要内容包括Naac、Nreq、CertREQ、CertAAc以及ListAs-req;其中-Naac字段表示鉴别访问控制器AAC询问,是鉴别访问控制器AAC产生的随机数;Nreq字段表示请求者REQ询问,是请求者REQ产生的随机数,其值同请求者REQ发送的接入鉴别请求分组中NR^字段的值;CertR^字段表示请求者REQ的证书,其值同接入鉴别请求分组中CertREQ字段的值;CertAAc字段表示鉴别访问控制器AAC的证书,其值同鉴别激活分组中CertAAc字段的值;LisUs-req字段表示请求者REQ信任的鉴别服务器AS列表,其值同i青求者REQ发送的接入鉴别请求分组中的LisUs.req字段的值,本字段为可选字段;2丄4)证书鉴别响应鉴别服务器AS收到证书鉴别请求分组后,进行如下处理2丄4.1)如果此次鉴别过程为单向鉴别,则只需验证请求者REQ的证书CertREQ,如果是双向鉴别则需要同时验证鉴别访问控制器AAC的证书CertAAc和请求者REQ的证书CertREQ,参照RFC3280进行的证书的验证,若无法验i正,则将相应证书的验证结果置为证书的颁发者不明确,否则验证证书的状态,然后执行2.1.4.2);2丄4.2)根据证书的验证结果,构造证书鉴别响应分组,并且附加相应的签名,发往鉴别访问控制器AAC;证书鉴别响应分组主要内容包括RESCert、SIGas.req以及SIGas-aac;其中REScert字段表示证书的验证结果,本字段包括鉴别访问控制器AAOl旬问信Naac、请求者REQ询问值NREQ、以及CertAAc的验证结果、CertREQ的验证结果;如果只是单向验证则不包括鉴别访问控制器AAC的证书CertAAc的验证结果;SIGas.req字段表示请求者REQ信任的鉴别服务器AS对本分组中证书的验证结果RESc:ert字段进行的签名;SIGas.aac字段表示鉴别访问控制器AAC信任的鉴别服务器AS对证书鉴别响应分组中除本字段之外所有字段进行的签名,本字段为可选字段,如果对i正书验证结果进行签名的鉴别服务器AS和鉴别访问控制器AAC信任的鉴别服务器AS相同,则不需要本字段;2丄5)接入鉴别响应鉴别访问控制器AAC收到证书鉴别响应分组后,进行如下处理2丄5.1)检査证书的验证结果REScert字段中的鉴别访问控制器AAC的询问NAAC与证书鉴别请求分组中的NAAC字段值是否相同,若不同,丢弃该分会且;若相同,则执行2丄5.2);2丄5.2)如果分组中含有两个签名字段,则检查鉴别访问控制器AAC所信任的鉴别服务器AS的签名SIGAs.AAc字段是否正确,若不正确,则丢弃该分会且;若正确则执行2丄5.3);如果分组中只含有一个签名字段,即表明对证书验i正结果进行签名的鉴别服务器AS也是鉴别访问控制器AAC所信任的鉴别服务器AS,则检查SIGAs.req字段是否正确,若不正确,则丢弃该分组;若正确则执行2丄5.3);2丄5.3)检査证书的验证结果REScert字段中CertREQ的验证结果是否合f去,若合法,则本地生成用于ECDH交换的密钥数据(鉴别访问控制器AAC的临时公钥y-P)以及鉴别访问控制器AAC询问NAAc,并根据请求者REQ的临时公钥xT以及自己的临时私钥y进行ECDH计算得到基密钥BK以及下一次身份鉴别过禾呈的鉴别标识并保存,然后设定接入结果为成功,构造接入鉴别响应分组发送会合请求者REQ,并允许用户访问网络;若CertREQ的验证结果为不合法,则鉴别访问控制器AAC设定接入结果为不成功,鉴别访问控制器AAC的询问NAAc和密,月数据yP可设置任意值,构造接入鉴别响应分组发送给请求者REQ,然后解除与请求者REQ的链路验证,接入鉴别响应分组主要内容包括Nreq、Naac、Accres、x-P、y-P、IDaac、IDreq、MREScert以及SIGAAc或MIC;其中-Nreq字段表示请求者REQ询问,是请求者REQ产生的随机数;该字段为可选字段,仅为单向鉴别过程时,接入鉴别响应分组需包含此字段;若存在,其值同请求者REQ发送的接入鉴别请求分组中Nreq字段的值;Naac字段表鉴别访问控制器AAC的询问,是鉴别访问控制器AAC产生的随机数;该字段为可选字段,仅为单向鉴别过程时,接入鉴别响应分组需包含此字段;若存在,其值同鉴别访问控制器AAC发送的证书鉴别请求分组中NAAc字段的值;Accres字段表示接入结果,是鉴别访问控制器AAC根据鉴别结果设定的接入成功或失败以及失败的原因;x-P:表示请求者REQ的密钥数据,是请求者REQ生成的用于ECDH交换的临时公钥x.P,其值同请求者REQ发送的接入鉴别请求分组中xT字段的值;y-P:表示鉴别访问控制器AAC的密钥数据,是鉴别访问控制器AAC生成的用于ECDH交换的临时公钥y-P;IDaac字段表示鉴别访问控制器AAC的身份标识ID,是根据鉴别访问控希lj器AAC的证书CertAAc字段得到;IDreq字段表示请求者REQ的身份标识ID,是根据收到的接入鉴别i青求分组中的请求者REQ的证书CertREQ字段得到;MREScert字段表示复合的证书验证结果,本字段是可选字段,仅为双向鉴别过程时,在接入鉴别响应分组中需包含此字段;若存在,则该字段由i正书鉴别响应分组中的各个字段组成,并且值相同;SIGaac字段表示鉴别访问控制器AAC的签名,是鉴别访问控制器AAC禾!J用自己的私钥对接入鉴别响应分组中除本字段外所有字段的签名;MIC字段表示消息鉴别码,是鉴别访问控制器AAC利用鉴别过程中i^J、商生成的基密钥BK对接入鉴别响应分组中除了本字段外的所有字段及下一7欠证书鉴别过程的鉴别标识计算得到的杂凑值;接入鉴别响应分组只需要包含SIGAAc;字段和MIC字段二者之一即可;^I果在此次身份鉴别过程中存在鉴别激活分组,且鉴别激活分组包含SIGAAC字段,贝lj此分组中只包含MIC字段;如果此次身份鉴别过程不存在鉴别激活分组或者鉴别激活分組中没有包含SIGaac字段,则此分组中只包含SIGAAc字段;/2丄6)接入鉴别确认请求者REQ收到接入鉴别响应分组后,进行々n下处理/2丄6.1)根据分组中的IDAAC和D卿字段判断是否为对应当前接入鉴别请求分组的接入鉴别响应分组,如果不是,则丢弃该分组;若是,则执行2丄6.2);/2丄6.2)比较分组中请求者REQ密钥数据x'P字段值与自己发送的接入鉴别请求分组中的vP字段值是否一致,若不一致,则丢弃该分组,否则执行2.1.63);/2丄6.3)如果是单向鉴别过程,则比较NREQ字段值与之前发送的接入鉴别请求分组中的NR印字段值是否一致,若不一致,则丢弃该分组,否则执行/2.1.6.4);如果是双向鉴别过程,则直接执行2丄6.4);/2.1.6.4)查看分组中的AccREs字段,如果接入结果为不成功,则解除与该鉴别访问控制器AAC的链路验证;否则执行2丄6.5);/2丄6.5)如果收到的接入鉴别响应分组中含有SIGAAc字段,则验证SIGAAc:的正确性,如果不正确,则丢弃该分组,否则执行2丄6.6);如果收到的分乡且中含有MIC字段,则验证MIC字段的正确性,如果不正确,则丢弃分组,否则执行2.1.6.6);/2丄6.6)如果是单向鉴别过程,则执行2丄6.8),否则验证复合的证书验证结果MREScert字段中所包含的NREQ字段值与自己发送的接入鉴别请求分乡且中Nreq字段値是否一致,若不一致,则丢弃该分组;否则验证签名SIGAS.req是否正确,如果不正确则丢弃该分组,如果正确,则执行2丄6.7);/2丄6.7)验证复合的证书验证结果MREScert字段中鉴别访问控制器AAC证书验证结果是否为合法,如果不合法,则得知该网络不合法,不可以访问该网络;否则得到该网络是合法的,可以进行访问,并执行2丄6.8);2丄6.8)请求者REQ根据鉴别访问控制器AAC的临时公钥yP和自己的临时私钥x进行ECDH计算得到基密钥BK以及下一次证书鉴别过程的鉴别标i只并f呆存;,2.1.6.9)如果收到的接入鉴别响应分组中含有MIC字段,则是否发送接入鉴别确认分组是可选的;如果收到的分组中含有鉴别访问控制器AAC的签名SIGaac字段,则需要构造接入鉴别确认分组,发送给鉴别访问控制器AAC,接入鉴别确认分组主要内容包括MIC;其中MIC字段表示消息鉴别码,是请求者REQ利用鉴别过程中协商生成的基密钥BK对鉴别访问控制器AAC询问值NAAc;、请求者REQ询问值NREQ及下一7欠i正书鉴别过程的鉴别标识计算得到的杂凑值。5、根据权利要求4所述的有线局域网的安全访问控制方法,其特征在于所述步骤2丄6)中鉴别访问控制器AAC在发送接入鉴别响应分组给请求者REQ之后,如果发送的接入鉴别响应分组中包含的是鉴别访问控制器AAC的签名SIGaac字段,则鉴别访问控制器AAC需要等待接收接入鉴别确认分组。6、根据权利要求4所述的有线局域网的安全访问控制方法,其特征在于所述步骤2丄6)中鉴别访问控制器AAC在收到请求者REQ发送的接入鉴别确认分组之后,要验证分组中MIC字段的正确性,如果正确,则请求者REQ具有禾口自己一致的基密钥BK;如果不正确则丢弃该分组。7、根据权利要求4或5或6所述的有线局域网的安全访问控制方法,其特征在于所述步骤3)的具体实现方式是3丄1)单播密钥协商请求在鉴别访问控制器AAC完成身份鉴别过程后,鉴别访问控制器AAC向请求者REQ发送单播密钥协商请求分组开始与请求者REQ进行单播密钥协商,单播密钥协商请求分组主要内容包括Naac以及MIC;其中Naac字段表示鉴别访问控制器AAC的询问,若为首次单播密钥协商,则该字段为由鉴别访问控制器AAC产生的随机数;若为单播密钥的更新过禾呈,则该字段的值是上一次单播密钥协商过程中保存的NAAc值;MIC字段表示消息鉴别码,由鉴别访问控制器AAC利用其与请求者REQ之间共同拥有的基密钥BK进行计算得到的杂凑值;3丄2)单播密钥协商响应请求者REQ收到单播密钥协商请求分组后,进行如下处理3丄2.1)如果此次密钥协商过程为单播密钥的更新过程,则检査分组中NAAc字段与上次密钥协商过程中保存的NAAC是否一致,若不一致,则丢弃该分纟且,若一致,贝1」执行3丄2.2);如果此次密钥协商过程不是单播密钥的更新过程则直接执行3丄2.2);3丄2.2)验证MIC字段是否正确,若不正确则丢弃该分组;若正确贝lj执《亍3丄2.3);3丄2.3)请求者REQ产生请求者REQ询问NREQ,然后通过哈希计算得至lj单播会话密钥,以及下次密钥协商过程使用的NAAc并保存;其中单播会话密f月包含单播加密密钥UEK、单播完整性校验密钥UCK、消息鉴别密钥MAK以及密钥加密密钥KEK;利用消息鉴别密钥MAK计算消息鉴别码MIC,构造单播密钥协商响应分纟且,发送给鉴别访问控制器AAC;请求者REQ安装新协商的单播会话密钥;单播密钥协商响应分组主要内容包括Nreq、Naac以及MIC;其中Nreq字段表示请求者REQ的询问,是请求者REQ产生的随机数;Naac字段表示鉴别访问控制器AAC的询问,其值同单播密钥协商i青求分组中的N^c字段的值;若为首次单播密钥协商过程,则该字段值直接取决于单播密钥协商请求分组中的NAAC字段的值;若为单播密钥更新过程,则该字段值为上一次单播密钥协商过程中保存的Naac信;MIC字段表示消息鉴别码,由请求者REQ利用生成的消息鉴别密钥MAK对单播密钥协商响应分组中除本字段外所有字段进行计算得到的杂凑值;3丄3)单播密钥协商确认鉴别访问控制器AAC收到单播密钥协商响应分组后,进行如下处理-(3丄3.1)如果此次密钥协商过程为单播密钥的更新过程,则检查分组中的NAAC字段与上次密钥协商过程中保存的NAAC是否一致,若不一致,则丢弃该分组;若一致,则执行3丄3.2);如果此次密钥协商过程不是单播密钥的更新过禾呈,则需要检查分组中的NAAc字段值是否与单播密钥协商请求分组中的NAAC字段f直一致,如果不一致则丢弃该分组,否则执行3丄3.2);(3丄3.2)根据分組中的字段Nreq和Naac字段,通过哈希计算得到单播会i舌密钥以及下次密钥协商过程使用的NAAc并保存;其中单播会话密钥包含单播力口密密钥UEK、单播完整性校验密钥UCK、消息鉴别密钥MAK以及密钥加密密韦月KEK;(3丄3.3)利用消息鉴别密钥MAK,验证分组中的MIC是否正确,如果不正确则丢弃该分组;如果正确,则执行3丄3.4);(3.1.3.4)利用消息鉴别密钥MAK计算消息鉴别码MIC,构造单播密钥协商确认分组,发送给请求者REQ;(3丄3.5)鉴别访问控制器AAC安装新协商的单播会话密钥;启用新安装的单播会话密钥的收发功能,即允许利用该新密钥对单播数据进行加解密。若it匕7欠单播密钥协商过程为更新过程,则还需删除旧的单播会话密钥;单播密钥协商确认分组主要内容包括Nreq、TIEaac以及MIC;其中Nreq字段表示请求者REQ的询问,是请求者REQ产生的随机数,其值同单播密钥协商响应分组中的NREQ字段的值;MIC字段表示消息鉴别码,由鉴别访问控制器AAC利用生成的消息鉴另IJ密钥MAK对单播密钥协商确认分组中除本字段外所有字段进行计算得到的杂7奏值;(3丄4)请求者REQ收到单播密钥协商确认分组后,进行如下处理3丄4.1)检查NRE(2字段与自己发送的单播密钥协商响应分组中的NREQ字段是否相同,若不同,则丢弃该分组;若相同,则执行3丄4.2);(3丄4.2)利用消息鉴别密钥MAK,验证分组中的MIC是否正确,若不正确则丢弃该分组;若正确则执行3丄4,3);3丄4.3)启用新安装的单播会话密钥的发送功能,即允许利用该新密钥加密发送单播数据;若此次单播密钥协商过程为更新过程,则还需删除旧的单矛番会话密钥。8、根据权利要求4或5或6所述的有线局域网的安全访问控制方法,其特征在于所述步骤3)的具体实现方式是3.2.1)组播密钥或站间密钥通告组播密钥或站间密钥通告分组主要内容包括KN、Ewmk以及MIC;其中KN字段表示密钥通告标识,初始化为一个整数,在每次密钥更新通告时该字段值加l,若通告的密钥不变,则该字段值保持不变;E,k字段表示密钥加密数据,是鉴别访问控制器AAC利用密钥加密密钥KEK对通告主密钥NMK(NotificationMasterKey)加密后的数据;MIC字段表示消息鉴别码,由鉴别访问控制器AAC利用单播密钥协商过程中生成的消息鉴别密钥MAK对组播密钥/站间密钥通告分组中除本字段夕卜戶万有字段进行计算得到的;3.2.2)组播密钥/站间密钥响应请求者REQ收到组播密钥/站间密钥通告分组后,进行如下处理3.2.2.1)利用单播密钥协商过程中生成的消息鉴别密钥MAK验证MIC字段是否正确,若不正确,则丢弃该分组;若正确则执行3.2.2.2);3.2.2.2)查看KN字段是否单调递增,如果不是则丢弃该分组;如果是则执行3,2.2.3);3.2.2.3)利用单播密钥协商过程中生成的密钥加密密钥KEK解密EwMK字段f寻到通告主密钥NMK;利用哈希算法即可得到会话密钥;3.2.2.4)保存此次的密钥通告标识KN字段的值,并生成组播密钥/站间密钥响应分组,发送给鉴别访问控制器AAC;3.2.2.5)安装密钥;组播密钥/站间密钥响应分组主要内容包括KN以及MIC;其中KN字段表示密钥通告标识,其值同组播密钥/站间密钥通告分组中的KN字段的值;MIC字段表示消息鉴别码,由请求者REQ利用单播密钥协商过程中生成的消息鉴别密钥MAK对组播密钥/站间密钥确认分组中除本字段外所有字段进《亍计算得到的;(3.2.3)鉴别访问控制器AAC收到组播密钥湖间密钥响应分组后,将进行如下处理(3.2.3.1)利用单播密钥协商过程中生成的消息鉴别密钥MAK验证MIC字段是否正确,若不正确,则丢弃该分组;若正确则执行3.2.3,2);(3.2.3.2)比较KN字段是否与之前发送的组播密钥/站间密钥通告密钥分乡且中对应的字段值一致,如果不一致,则丢弃该分组;如果一致,则安装密钥。9、一种有线局域网的安全访问控制系统,其特征在于所述有线局域网的安全访问控制系统包括请求者REQ、鉴别访问控制器AAC以及鉴别服务器AS;所述请求者REQ和鉴别服务器AS分别和鉴别访问控制器AAC连接,所述鉴别访问控制器AAC为请求者REQ提供服务端口;所述鉴别服务器AS为请求者REQ和鉴别访问控制器AAC提供鉴别服务。全文摘要本发明涉及一种有线局域网的安全访问控制方法及其系统,该方法包括以下步骤1)请求者REQ与鉴别访问控制器AAC进行安全策略协商;2)请求者REQ与鉴别访问控制器AAC进行身份鉴别;3)请求者REQ与鉴别访问控制器AAC进行密钥协商。本发明实现用户与网络接入控制设备之间的直接身份鉴别;实现用于链路层数据保护的会话密钥的协商及动态更新;支持企业网、电信网等多种网络架构;具有良好的可扩展性,支持多种鉴别方法;支持不同安全等级的鉴别协议,满足各类用户需求;协议的子模块独立、灵活,便于取舍。文档编号H04L29/06GK101631113SQ200910023628公开日2010年1月20日申请日期2009年8月19日优先权日2009年8月19日发明者军曹,琴李,杜志强,莉葛,赖晓龙,铁满霞,黄振海申请人:西安西电捷通无线网络通信有限公司