一种网络访问控制方法及系统的制作方法

专利名称：一种网络访问控制方法及系统的制作方法
技术领域：
本发明属信息安全技术中的网络安全应用领域，尤其涉及一种网络访问控制方法及系统。
背景技术：
现有的网络访问控制方法中，通常在访问者向目的网络发起访问请求后，由目的网络中的访问控制器完成对访问者的鉴别和授权，从而实现对访问者的访问控制。在需要第三方，如鉴别服务器，参与身份鉴别的访问控制场景中，可能因为访问控制器自身或者是目的网络的原因，访问控制器无法直接与鉴别服务器连接而导致访问控制器无法直接使用鉴别服务器提供的鉴别服务。在这种情形下，现有的由访问控制器直接连接并使用鉴别服务器提供鉴别服务的访问控制方法将无法满足对访问者进行访问控制的实际应用需求。

发明内容
为了解决背景技术中存在的上述技术问题，本发明提供了一种能够满足对访问者进行访问控制的应用需求的网络访问控制方法及系统。本发明的技术解决方案是本发明提供了一种网络访问控制方法，其特殊之处在于所述网络访问控制方法包括以下步骤步骤1)，一访问者REQ向一目的网络中的一访问控制器AC发送一访问请求消息 Ml ；所述访问请求消息Ml中包括Nkeq和Qkeq ；其中，Neeq表示访问者REQ产生的随机数，Qeeq 表示访问者REQ的访问请求；步骤2)，所述访问控制器AC收到所述访问请求消息Ml后，构造一接入鉴别请求消息M2发送给所述访问者REQ ；所述接入鉴别请求消息M2包括所述访问控制器AC的用以向所述鉴别服务器AS证明所述访问控制器AC身份的合法性的一第一身份鉴别信息Il ；所述第一身份鉴别信息Il是利用KAS, A。对Nkeq进行对称密码运算后产生的结果；其中，KAS, 是所述访问控制器AC和所述鉴别服务器AS之间的共享密钥；步骤3)，访问者REQ收到所述接入鉴别请求消息M2后，构造一身份鉴别请求消息 M3发送给所述目的网络的一鉴别服务器AS ；所述身份鉴别请求消息M3中包括所述第一身份鉴别信息Il以及所述访问者REQ的第二身份鉴别信息12 ；所述第二身份鉴别信息12用以向鉴别服务器AS证明访问者REQ身份的合法性，是利用KAS, eeq对Nkeq进行对称密码运算后产生的结果；其中，KAS,KEQ是所述访问者REQ和所述鉴别服务器AS之间的共享密钥；步骤4)，鉴别服务器AS收到所述身份鉴别请求消息M3后，利用共享密钥KAS,Ac对所述身份鉴别请求消息M3中的第一身份鉴别信息Il进行鉴别并得到对所述访问控制器 AC的第一鉴别结果、利用KAS,KEQ对所述第二身份鉴别信息12进行鉴别并得到对所述访问者 REQ的第二鉴别结果，所述鉴别服务器AS将所述第一鉴别结果利用KAS, eeq进行加密形成对所述访问控制器AC的第一可公开的鉴别结果Cl以及将所述第二鉴别结果利用KAS,AC进行加密形成对所述访问者REQ的第二可公开的鉴别结果C2，所述鉴别服务器AS构造身份鉴别响应消息M4发送给所述访问者REQ ；所述身份鉴别响应消息M4包括所述第一可公开的鉴别结果Cl及所述第二可公开的鉴别结果C2 ；步骤5)，访问者REQ收到身份鉴别响应消息M4后，解密第一可公开的鉴别结果Cl 获得所述第一鉴别结果，根据所述第一鉴别结果构造接入鉴别响应消息M5发送给访问控制器AC ；所述接入鉴别响应消息M5中包括第二可公开的鉴别结果C2 ；步骤6)，访问控制器AC收到所述接入鉴别响应消息M5后，解密所述第二可公开的鉴别结果C2，得到所述第二鉴别结果，并根据一授权策略构造访问响应消息M6发送给所述访问者REQ，所述授权策略是指访问控制器AC对访问者REQ的访问请求Qkeq进行授权的策略。上述步骤1中，所述访问请求消息Mi包括NkeqI IQkeq，其中11表示其前后两信息之间为串联。可选的，上述步骤2)中，所述第一身份鉴别信息Il为E (KAS,AC，Nkeq)，所述接入鉴别请求消息M2包括NkeqI NAC| E(H)；其中，Na。表示访问控制器AC产生的随机数；E(KAS,A。，Neeq)表示利用共享密钥Kas, AC对Nkeq加密的结果；E为一种对称加密算法。上述步骤幻的一种可选的实现方式包括步骤3.1)，所述访问者REQ收到接入鉴别请求消息M2后，判断Nkeq是否访问者REQ 产生的随机数，若否，则执行步骤3. 2)；若是，则执行步骤3. 3)；步骤3. 2)，所述访问者REQ丢弃所述鉴别请求消息M2 ；步骤3. 3)，所述访问者REQ利用共享密钥KAS,KEQ计算E (KAS,EEQ, Neeq)，所述第二身份鉴别信息12是E (KAS, eeq, Neeq)，所述访问者REQ构造身份鉴别请求消息M3发送给所述鉴别服务器 AS ；所述身份鉴别请求消息 M3 包括 IDiJ INeeJ |E(Kas,eeq, Neeq) I |E(Kas,ac, Neeq)；其中，IDa。是所述访问控制器AC的身份标识。上述步骤4)的一种可选的实现方式包括步骤4. 1)，所述鉴别服务器AS收到所述身份鉴别请求消息M3后，判断所述访问者REQ是否已与所述鉴别服务器AS共享Kas, ■，若否，则执行步骤4. 2)；若是，则执行步骤 4. 3)；步骤4. 2)，所述鉴别服务器AS根据IDac判断所述访问控制器AC是否已与所述鉴别服务器AS共享KAS, ，若否，则执行步骤4. 2. 1)；若是，则执行步骤4. 2. 2)；步骤4. 2. 1)，所述鉴别服务器AS终止鉴别；步骤4. 2. 2)，所述鉴别服务器AS利用KAS,A。解密E (KAS,A。，Neeq)，并判断解密后得到的Nkeq是否与所述访问者REQ在步骤3)中发送给所述鉴别服务器AS的身份鉴别请求消息 M3中的信息Nkeq相等，若否，则执行步骤4. 2. 2. 1)；若是，则执行步骤4. 2. 2. 2)；步骤4. 2. 2. 1)，所述鉴别服务器AS终止鉴别；步骤4. 2. 2. 2)，所述鉴别服务器AS构造身份鉴别响应消息M4发送给所述访问者 REQ ；所述身份鉴别响应消息 M4 包括 IDac Neeq Res(AC) | Res (REQ) | |MIC2 ；其中，R(AC) = True，表示所述访问控制器AC的身份合法，R(REQ) = failure，表示所述访问者 REQ 的身份非法；MIC2 = H(Kas,keq，IDac Neeq Res (AC) | | Res (REQ))，用来验证消息 IDac| NeeJ Res(AC) | Res (REQ)的完整性；
步骤4. 3)，所述鉴别服务器AS利用KAS, eeq解密E (KAS, EEQ, Neeq)，并判断解密后得到的Nkeq是否与访问者REQ在步骤3)中发送给所述鉴别服务器AS的所述身份鉴别请求消息 M3中的信息Nkeq相等，若否，则执行步骤4. 3. 1)；若是，则执行步骤4. 3. 2)；步骤4. 3. 1)，所述鉴别服务器AS根据IDac判断所述访问控制器AC是否已与所述鉴别服务器AS共享KAS, A。，若否，则执行步骤4. 3. 1.1)；若是，则执行步骤4. 3. 1.2)；步骤4. 3. 1. 1)，所述鉴别服务器AS终止鉴别；步骤4. 3. 1. 2)，所述鉴别服务器AS利用KAS, A。解密E(KAS,A。，Neeq)，并判断解密后得到的Nkeq是否与所述访问者REQ在步骤幻中发送给所述鉴别服务器AS的所述身份鉴别请求消息M3中的信息Nkeq相等，若否，则执行步骤4. 3. 1.2. 1)；若是，则执行步骤 4. 3. 1. 2. 2)；步骤4. 3. 1.2. 1)，所述鉴别服务器AS终止鉴别；步骤4. 3. 1. 2. 2)，所述鉴别服务器AS构造所述身份鉴别响应消息M4发送给所述访问者REQ ；所述身份鉴别响应消息M4包括；其中，R(AC) = True，表示所述鉴别服务器AS对所述访问控制器AC鉴别成功， R(REQ) = failure，表示所述鉴别服务器AS对所述访问者REQ鉴别失败；MIC2 = H(KASjEEQ, IDac| Neeq Res (AC) | | Res (REQ))，用来验证 IDacI Neeq Res (AC) | Res (REQ) | MIC2 的完整性；其中，H为一种单向哈希算法；步骤4. 3. 2)，所述鉴别服务器AS根据IDac判断所述访问控制器AC是否已与所述鉴别服务器AS共享KAS, A。，若否，则执行步骤4. 3. 2. 1)；若是，则执行步骤4. 3. 2. 2)；步骤4. 3. 2. 1)，所述鉴别服务器AS构造所述身份鉴别响应消息M4发送给所述访问者REQ ；所述身份鉴别响应消息M4包括IDac| NeeJ Res(AC) | Res (REQ) | |MIC2 ；其中，R(AC) = failure，表示所述鉴别服务器AS对所述访问控制器AC鉴别失败； R(REQ) = True，表示所述鉴别服务器AS对所述访问者REQ鉴别成功；此时MIC2 = H(KAS, EEQ, IDac Neeq Res (AC) | | Res (REQ))，用来验证 IDacI Neeq Res (AC) | Res (REQ) | MIC2 的完整性；步骤4. 3. 2. 2)，所述鉴别服务器AS判断利用共享KAS,解密E (KAS,AC, Neeq)后得到的Nkeq是否与访问者REQ在步骤3)中发送给鉴别服务器AS的身份鉴别请求消息M3中的信息Nkeq相等，若否，则执行步骤4. 3. 2. 1)；若是，则执行步骤4. 3. 2. 3)；步骤4. 3. 2. 3)，所述鉴别服务器AS生成KAC,KEQ，KAC,KEQ为所述访问者REQ和所述访问控制器AC间的会话密钥，所述鉴别服务器(AS)利用KAS, AC、KAS, KEQ以及KAC,KEQ计算E(Kas, AC，IDeeqI |Kac,eeq)>E(Kas,eeq,Kac,eeq)以及 H(Kas,圓，IDacI | NeeqI Res(AC) | Res(REQ) | |E(Kas,ac， IDeeqI |Kac,eeq) I |E(Kas,keq，Kac,keq))；其中，MIC2 = H(KAS,細，IDacI In圆I IRes(AC) I IRes(REQ) | E(Kas,ac, IDeeqI IKac,細)I |E(KAS,圓，Kac,細))，用来验证消息 IDac| |Neeq| Res(AC) | Res(REQ) | E(KASjAC, IDeeJ Kac,eeq) I |E(Kas,圓，KAC,EEQ)的完整性；R(AC) = True，表示所述鉴别服务器 AS 对所述访问控制器AC鉴别成功；R(REQ) =True,表示所述鉴别服务器AS对所述访问者REQ 鉴别成功；所述鉴别服务器AS构造所述身份鉴别响应消息M4发送给所述访问者REQ ；所述身份鉴别响应消息 M4 包括 IDac| NeeJ Res(AC) | Res(REQ) | E(KASjAC, IDeeq Kac,eeq) | |E(Kas, eeq' Kac7 EEQ) I IMIC2 ；其中，Res(AC)为所述第一可公开的鉴别结果Cl，Res(REQ)为所述第二可公开的鉴别结果 C2，Res(AC) = E(Kas,keq，R(AC))，Res (REQ) = E(KAS,AC，R(REQ))，R(AC)为所述第一鉴别结果，R(REQ)为所述第二鉴别结果，MIC2*消息完整性鉴别码，IDkeq是所述访问者 REQ的身份标识。可选的，上述步骤2)中，所述第一身份鉴别信息(II)为H(Kas,ac| INkeq)，所述接入鉴别请求消息 M2 包括 NKEQI NacI H(Kas,ac NEEQ)；其中，Neeq表示所述访问者REQ产生的随机数；Na。表示所述访问控制器AC产生的随机数；H(Kas,a。| INeeq)表示对Kas,a。| INkeq进行哈希运算后的结果，Η为一种单向哈希算法上述步骤幻的另一种可选的实现方式包括步骤3. 1')，所述访问者REQ收到所述接入鉴别请求消息M2后，首先判断Nkeq是否所述访问者REQ产生的随机数，若否，则执行步骤3.2')；若是，则执行步骤3. 3')；步骤3. 2')，所述访问者(REQ)丢弃所述鉴别请求消息M2 ；步骤3. 3 ‘)，所述访问者REQ利用KAS,KEQ计算消息完整性鉴别码MIC5 = H (KAS,EEQ, idac| INeeqI |H(Kas,ac| INkeq))，并构造所述身份鉴别请求消息M3发送给所述鉴别服务器as ； 所述身份鉴别请求消息M3包括ida。| IneeJ |h(kas,ac| |neeq) | |mic5，其中，Mic5为消息完整性鉴别码，用来验证id」IneeJ |h(kas,ac| |neeq)的完整性，idac是所述访问控制器(Ac)的身份标识，所述第二身份鉴别信息12为mic5。上述步骤4)的另一种可选的实现方式包括步骤4. 1 ‘)，所述鉴别服务器AS收到所述身份鉴别请求消息M3后，判断所述访问者REQ是否已与所述鉴别服务器AS共享KAS,KEQ，若否，则执行步骤4.2')；若是，则执行步骤4. 3')；步骤4. 2')，所述鉴别服务器AS根据IDac判断所述访问控制器AC是否已与所述鉴别服务器AS共享KAS, A。，若否，则执行步骤4. 2.1')；若是，则执行步骤4. 2. 2')；步骤4. 2. 1 ‘)，所述鉴别服务器AS终止鉴别；步骤4. 2. 2 ‘)，所述鉴别服务器AS构造所述身份鉴别响应消息M4发送给所述访问者REQ ；所述身份鉴别响应消息M4包括IDac | | Neeq | | Res (AC) | | Res (REQ) | | MIC2 ； 其中，R(REQ) =Milure,表示所述鉴别服务器AS对所述访问者REQ鉴别失败，R(AC) =True，表示所述鉴别服务器AS对所述访问控制器AC鉴别成功；MIC2 = H (KAS, EEQ, IDac I I Neeq I I Res (AC) | | Res (REQ))，用来验证消息 IDac | | Neeq | | Res (AC) | | Res (REQ)的完整性；步骤4.3')，所述鉴别服务器AS根据所述身份鉴别请求消息M3中的MIC5判断 IDac| INkeqI |H(Kas,a。| |Nkeq)的完整性，若不完整，则执行步骤4.3. i')；若完整，表示访问者 REQ合法，则执行步骤4. 3. 2')；步骤4. 3. 1 ‘)，所述鉴别服务器AS丢弃所述身份鉴别请求消息M3 ；步骤4. 3. 2')，所述鉴别服务器AS利用IDac判断所述访问控制器AC是否已与鉴别服务器AS共享密钥KAS,A。，若否，则执行步骤4. 3. 2.1')；若是，则执行步骤4. 3. 2. 2')；步骤4. 3. 2. Γ )，所述鉴别服务器AS构造所述身份鉴别响应消息Μ4发送给所述访问者REQ ；所述身份鉴别响应消息Μ4包括IDac | | Neeq | | Res (AC) | | Res (REQ) | | MI C2 ；R(AC) = failure，表示所述鉴别服务器AS对所述访问控制器AC鉴别失败；R(REQ) =True，表示所述鉴别服务器AS对所述访问者REQ鉴别成功；其中，MIC2 = H(Kas,keq，IDac I I Neeq I I Res (AC) | | Res (REQ))，用来验证消息 IDac | | Neeq | | Res (AC) | | Res (REQ)的完整性；步骤4.3.2.2')，所述鉴别服务器AS根据Nkeq验证H(KAS,AC| Neeq)的完整性，若验证失败，则执行步骤4. 3.2.2. 1')；若验证成功，则执行步骤4. 3. 2. 2. 2')；步骤4. 3. 2. 2. Γ )，所述鉴别服务器AS构造所述身份鉴别响应消息Μ4发送给所述访问者REQ;所述身份鉴别响应消息Μ4包括IDac| NeeJ Res(AC) | Res(REQ) | |Μ IC2 ；R(AC) = failure，表示所述鉴别服务器AS对所述访问控制器AC鉴别失败；R(REQ) =True，表示所述鉴别服务器AS对所述访问者REQ鉴别成功；其中，MIC2 = H(Kas,keq， IDac I I Neeq I I Res (AC) | | Res (REQ))，用来验证消息 IDac | | Neeq | | Res (AC) | | Res (REQ)的完整性；步骤4. 3. 2. 2. 2 ‘)，所述鉴别服务器AS生成所述访问者REQ和所述访问控制器 AC间的会话密钥，所述鉴别服务器(AS)利用KAS,AC、KAS,KEQ以及KAC,KEQ计算E(KAS,AC，IDKEQ| |KAC, eeq)、E (KAS，eeqj Kac，EEQ) 以及 H(KAS,細，IDacI Neeq Res (AC) | Res (REQ) | |E(Kas,ac，IDeeq |Kac, eeq) I |E(Kas,eeq, Kac,細))；其中，MIC2 = H(Kas,eeq, IDac| |Neeq| Res(AC) | Res(REQ) | |E(Kas,ac， IDeeqI Kac,圆)I E(Kas,keQ，Kac,keq))，用来验证消息 IDac| Neeq Res(AC) | Res(REQ) | E(K減， IDeeJ Kac,eeq) I E(KASjEEQ,KACjEEQ)的完整性；R(AC) = True，表示所述鉴别服务器AS对所述访问控制器AC鉴别成功；R(REQ) = True，表示所述鉴别服务器AS对所述访问者REQ鉴别成功；所述鉴别服务器AS构造所述身份鉴别响应消息M4发送给所述访问者REQ ；所述身份鉴别响应消息 M4 包括 IDac| NeeJ Res(AC) | Res(REQ) | |E(Kas,ac，IDeeq Kac,eeq) | |E(KAS,圓，KAC,
eeq) I IMIC2 ；其中，Res(AC)为所述第一可公开的鉴别结果(Cl)，Res(REQ)为所述第二可公开的鉴别结果(C2)，Res(AC) = E(Kas,keq，R(AC))，Res (REQ) = E(KAS,AC，R(REQ))，R(AC)为所述第一鉴别结果，R(REQ)为所述第二鉴别结果，MIC2*消息完整性鉴别码，IDkeq是访问者 REQ的身份标识。上述步骤5)包括步骤5. 1)，所述访问者REQ收到所述身份鉴别响应消息M4后，判断随机数Nkeq是否所述访问者REQ产生的随机数，若否，则执行步骤5. ；若是，则执行步骤5.3)；步骤5. 2)，所述访问者REQ丢弃所述身份鉴别响应消息M4 ；步骤5. 3)，所述访问者REQ根据MIC2判断相应消息的完整性，若不完整，则执行步骤5. 3. 1)；若完整，则执行步骤5. 3. 2)；步骤5. 3. 1)，所述访问者REQ丢弃所述身份鉴别响应消息M4 ；步骤5. 3. 2)，所述访问者REQ利用KAS,KEQ对Res (AC)进行解密，借以判断所述访问控制器AC的合法性，若对Res(AC)进行解密后得到的R(AC) = failure，则表示所述访问控制器(AC)非法，则执行步骤5. 3. 2. 1)；若对Res (AC)进行解密后得到的R(AC) = True，则表示所述访问控制器AC合法，则执行步骤5. 3. 2. 2)；步骤5.3.2.1)，所述访问者REQ终止访问；步骤5. 3. 2. 2)，所述访问者REQ解密所述身份鉴别响应消息M4中的E(Kas,keq，Kac, eeq)而获得 Kag,KEQ，并产生随机数 N，■、计算 MIC3 = H(KAC,細，NacI N，細| Res(REQ) | E(KAS, Ac IDeeqI |Ka。,keq))、构造接入鉴别响应消息M5发送所述给访问控制器AC ；所述接入鉴别响应消息 M5 包括 Naci In，eeq Res(REQ) | E(KASjAC, IDeeJ Kac, eeq) | |MIC3 ；其中，MIC3 为消息完整性鉴别码，用来验证消息 Nagi In’ eeq| Res(REQ) | |E(Kas,ac, IDeeJ |Kac,eeq)的完整性。上述步骤6)包括步骤6. 1)，所述访问控制器AC收到所述身份鉴别响应消息M5后，判断随机数Nac 是否所述访问控制器AC产生的随机数，若否，则执行步骤6. 2)；若是，则执行步骤6.3)；步骤6. 2)，所述访问控制器AC拒绝所述访问者REQ的访问；步骤6. 3)，所述访问控制器AC利用KAS,AC对Res (REQ)进行解密，若解密Res (REQ) 得到的R(REQ) =I^ailure,表示所述访问者REQ非法，则执行步骤6. 3. 1)；若解密Res(REQ) 得到的R(REQ) = True，表示所述访问者REQ合法，则执行步骤6. 3. 2)； 步骤6. 3. 1)，所述访问控制器AC拒绝所述访问者REQ的访问；步骤6. 3. 2)，所述访问控制器AC解密E (KAS, Ac, IDeeq | | KAC, eeq)，获得KAC, eeq,并根据 MIC3判断NagI In，圓I Res (REQ) | |E(Kas,ag，IDeeJ Kac, eeq)的完整性，若不完整，则执行步骤 6. 3. 2. 1)；若完整，则执行步骤6. 3. 2. 2)；步骤6. 3. 2. 1)，所述访问控制器AC拒绝所述访问者REQ的访问；步骤6. 3. 2. 2)，所述访问控制器AC确认解密E (KAS,AC，IDkeq I KAC,EEQ)后获得的IDkeq 是否与所述访问者REQ的所述身份标识IDkeq —致，若不一致，则执行步骤6. 3. 2. 2. 1)；若一致，则执行步骤6. 3. 2. 2. 2)；步骤6. 3. 2. 2. 1)，所述访问控制器AC拒绝所述访问者REQ的访问；步骤6. 3. 2. 2. 2)，所述访问控制器AC根据所述授权策略判断所述访问者REQ在步骤1)中发送的Qkeq是否合法，若不合法，则执行步骤6. 3. 2. 2. 2. 1)；若合法，则执行步骤 6. 3. 2. 2. 2. 2)；步骤6. 3. 2. 2. 2. 1)，所述访问控制器AC拒绝所述访问者REQ的访问；步骤6. 3. 2. 2. 2. 2)，所述访问控制器AC根据Qkeq构造RAC、计算MIC4 = H (KAC, EEQ, N’ EEQI |E(Kac, eeq, Rac))，进而构造所述访问响应消息M6发送给所述访问者REQ;所述访问响应消息M6包括N，keq| IE(Kac,eeq, Rac) I IMIC4;其中，Rac为应答数据，用于所述访问控制器 AC通知所述访问者REQ是否有权访问所述目的网络，MIC4为消息完整性鉴别码，用以判断 N’ EEQI |E(Kac,eeq,Rac)完整性；上述授权策略调用自所述访问控制器AC或所述鉴别服务器AS，当所述授权策略调用自所述鉴别服务器AS时，步骤4)中的所述身份鉴别响应消息M4中的E (KAS, ac, IDeeqI Kac, eeq)修改为E(Kas,ac，IDeeq Kac, eeq |APas)，步骤5)中的所述接入鉴别响应消息M5 中的 E(KAS,AC，IDkeqI |KAaKEQ)修改为 E(KAS,AC，IDkeqI |Kac,eeq| |APas)；其中，APas 表示对所述授权策略。上述步骤6. 3)之后还包括步骤6. 4)，所述访问者REQ收到所述访问响应消息M6后，判断随机数N’ EEQ是否所述访问者REQ产生的随机数，若否，则执行步骤6. 4. 1)；若是，则执行步骤6. 4. 2)；步骤6. 4. 1)，所述访问者REQ丢弃所述访问响应消息M6 ；步骤6. 4. 2)，所述访问者REQ根据MIC4判断消息N，EEQ | | E (KAC, EEQ, Rac)的完整性， 若不完整，则执行步骤6. 4. 2. 1)；若完整，则执行步骤6. 4. 2. 2)；步骤6. 4. 2. 1)，所述访问者REQ丢弃所述访问响应消息M6 ；
步骤6. 4. 2. 2)，所述访问者REQ解密E (KAC,EEQ, Rac)获得Rac，并根据Rac判断所述访问者REQ是否被所述访问控制器AC授权访问所述目的网络，并据此对目的网络进行访问。一种网络访问控制系统，访问者REQ、目的网络的访问控制器AC以及鉴别服务器 AS ；其特殊之处在于所述访问者REQ向所述目的网络中的访问控制器AC发送访问请求消息Ml ；所述访问控制器AC收到所述访问请求消息Ml后，构造接入鉴别请求消息M2发送给所述访问者REQ ；所述访问者REQ收到所述接入鉴别请求消息M2后，构造身份鉴别请求消息M3发送给所述鉴别服务器AS ；所述鉴别服务器AS根据所述身份鉴别请求消息M3提供鉴别服务并产生可公开的鉴别结果，并根据所述可公开的鉴别结果构造身份鉴别响应消息 M4发送给所述访问者REQ ；所述访问者REQ收到所述身份鉴别响应消息M4后，根据所述身份鉴别响应消息(M4)中的所述可公开的鉴别结果构造接入鉴别响应消息M5发送给所述访问控制器AC ；所述访问控制器AC收到所述接入鉴别响应消息M5后，根据所述接入鉴别响应消息(M5)中的所述可公开的鉴别结果以及一授权策略构造访问响应消息M6发送给所述访问者REQ。本发明的优点是本发明提出的网络访问控制方法及系统，是在有鉴别服务器参与且目的网络的访问控制器无法直接利用鉴别服务器提供的鉴别服务的情况下，完成对访问者身份的鉴别的网络访问控制方法。本发明基于对称密码机制，在访问者提出访问请求后，由目的网络中的访问控制器对访问请求进行处理，并通过访问者向鉴别服务器发起对访问者身份的鉴别请求，目的网络中的访问控制器根据由访问者转发的鉴别服务器的可公开的鉴别结果完成对访问者身份的鉴别，并根据授权策略对鉴别成功的访问者进行授权管理。本发明解决了在访问控制器无法直接使用鉴别服务器提供的鉴别服务时而导致的无法实施访问控制的问题，满足了实际应用需求。


图1是本发明所提供的网络访问控制方法流程图。图2为本发明所提供的网络访问控制系统的工作简图。图3为图2中步骤Sl的框图。图4为图2中步骤S2的框图。图5为图2中步骤S3的框图。图6为图2中步骤S4的框图。图7为图2中步骤S5的框图。图8为图2中步骤S6的框图。
具体实施例方式请参考图2，本发明提供了一种网络访问控制系统100。访问控制系统100包括访问者REQ、鉴别服务器AS以及访问控制器AC。在系统100工作之前，访问者REQ和鉴别服务器AS之间已共享密钥KAS, KEQ，访问控制器AC和鉴别服务器AS之间已共享密钥KAS, AC。请参考图1至图8，网络访问控制系统100是通过Sl S6六个步骤完成对访问者 REQ的鉴别和授权的。
步骤Sl 请参考图3，访问者REQ向目的网络中的访问控制器AC发送访问请求消息Ml。访问请求消息Ml中含有Nkh^P Qkeq。其中，Nkeq表示访问者REQ产生的随机数，Qeeq 表示访问者REQ的访问请求，下同。步骤S2 请参考图4，访问控制器AC收到访问请求消息Ml后，构造接入鉴别请求消息M2发送给访问者REQ。接入鉴别请求消息M2含有访问控制器AC的身份鉴别信息II。 身份鉴别信息Il用以向鉴别服务器AS证明访问控制器AC身份的合法性，是利用共享密钥
KAS,AC对Nkeq进行对称密码运算后产生的结果。步骤S3 请参考图5，访问者REQ收到接入鉴别请求消息M2后，构造身份鉴别请求消息M3发送给鉴别服务器AS。其中，身份鉴别请求消息M3中包含身份鉴别信息Il以及访问者REQ的身份鉴别信息12。身份鉴别信息12用以向鉴别服务器AS证明访问者REQ身份的合法性，是利用共享密钥KAS,KEQ对Nkeq进行对称密码运算后产生的结果。步骤S4 请参考图6，鉴别服务器AS根据身份鉴别请求消息M3提供鉴别服务并产生鉴别结果。鉴别服务器AS利用共享密钥KAS, A。对身份鉴别请求消息M3中的身份鉴别信息Il进行鉴别并得到对访问控制器AC的第一鉴别结果、利用共享密钥KAS, KEQ对身份鉴别请求消息M3中的身份鉴别信息12进行鉴别并得到对访问者REQ的第二鉴别结果，鉴别服务器AS将所述第一鉴别结果利用共享密钥KAS,KEQ进行加密形成对访问控制器AC的可公开的鉴别结果Cl、将所述第二鉴别结果利用共享密钥KAS,A。进行加密形成对访问者REQ的可公开的鉴别结果C2，鉴别服务器AS构造身份鉴别响应消息M4发送给访问者REQ。其中，身份鉴别响应消息M4包含可公开的鉴别结果Cl及C2。步骤S5 请参考图7，访问者REQ收到身份鉴别响应消息M4后，解密可公开的鉴别结果Cl获得所述第一鉴别结果，根据所述第一鉴别结果构造接入鉴别响应消息M5发送给访问控制器AC。其中，接入鉴别响应消息M5中包含可公开的鉴别结果C2 ；步骤S6 请参考图8，访问控制器AC收到接入鉴别响应消息M5后，解密鉴别响应消息M5中可公开的鉴别结果C2，得到所述第二鉴别结果，并根据授权策略构造访问响应消息M6发送给访问者REQ，访问响应消息M6中包含是否授权访问者REQ对所述目的网络进行访问的信息。至此，完成本发明对访问者REQ的鉴别和授权的过程。其中，所述授权策略是指访问控制器AC对访问者REQ的访问请求Qkeq进行授权的策略。所述授权策略可以来自某一服务器，例如鉴别服务器AS，也可以来自访问控制器AC本地。所述授权策略已事先内置于所述鉴别服务器AS或访问控制器AC中，本发明仅对所述授权策略进行调用。按照步骤Sl S6所示之方法，即可实现对访问者REQ的鉴别和授权，以满足对访问者REQ进行访问控制的实际应用需求。上述步骤Sl S6的一种具体实施例是步骤Si:访问者REQ构造NkeqI I Qkeq发送给访问控制器AC，在本实施例中Nkeq I |Qkeq即为访问请求消息M1，在其他实施例中，请求消息Ml还可为其他消息且所述其他消息中至少包含 NeeqI |Qkeq。其中“I I”表示其前后两信息之间为串联，下同。步骤S2:访问控制器AC收到访问请求消息Ml即NkeqI IQkeq后，构造接入鉴别请求消息M2即 NeeqI INacI |E(Kas,ac, Neeq)发送给访问者REQ，在其他实施例中，接入鉴别请求消息M2为一至少包含 NkeqI NacI IE(K
AS, AC' Neeq)的消息。其中，Nac表示访问控制器AC产生的随机数；E(Kas,ac，Neeq)表示利用共享密钥Kas, AC对Nkeq加密的结果，即访问控制器AC的身份鉴别信息Il ；E为一种对称加密算法；下同。步骤S3:访问者REQ收到接入鉴别请求消息M2即Nkeq Nac| E (Kas, ac, Neeq)后，首先判断Nkeq 是否访问者REQ产生的随机数，如果不是，则丢弃该鉴别请求消息M2 ；如果是，则访问者REQ 利用共享密钥KAS,KEQ计算E (KAS,KEQ，Nkeq)即访问者REQ的身份鉴别信息12，并构造身份鉴别请求消息 M3 即 IDiJ INeeqI IE (Kas,eeq, Neeq) I IE (Kas,ac, Neeq)发送给鉴别服务器 AS。其中，IDac 是访问控制器AC的身份标识，下同。在其他实施例中，身份鉴别请求消息M3为一至少包含IDiJ INeeqI |E(Kas,eeq, Neeq) I IΕ(Kas,ac, Neeq)的消息。步骤S4:4. 1)，鉴别服务器AS收到身份鉴别请求消息M3即IDac | | Neeq | | E (KAS, EEQ, Neeq) I E(KASjAC,Neeq)后，首先判断访问者REQ是否已与鉴别服务器AS共享密钥Kas,KEQ，若未共享密钥KAS, KEQ，则执行4. 2)；若已共享密钥KAS, KEQ，则执行4. 3)。4. 2)，鉴别服务器AS根据IDac判断访问控制器AC是否已与鉴别服务器AS共享密钥KAS, A。，若未共享密钥KAS, A。，则执行4. 2. 1)；若已共享密钥KAS, A。，则执行步骤4. 2. 2)。4. 2. 1)，鉴别服务器AS终止鉴别。4. 2. 2)，鉴别服务器AS利用共享密钥KAS,AC解密E (KAS,AC，Nkeq)即身份鉴别信息II， 并判断解密后得到的Nkeq是否与访问者REQ在步骤S3中发送给鉴别服务器AS的身份鉴别请求消息M3中的信息Nkeq相等，若解密后得到的Nkeq与访问者REQ在步骤S3中发送给鉴别服务器AS的身份鉴别请求消息M3中的信息Nkeq不相等，则执行4. 2. 2. 1)；若解密后得到的 Nkeq与访问者REQ在步骤S3中发送给鉴别服务器AS的身份鉴别请求消息M3中的信息Nkeq 相等，则执行4. 2. 2. 2)。4. 2. 2. 1)，鉴别服务器AS终止鉴别。4.2.2.2)鉴别服务器AS构造身份鉴别响应消息M4即IDacI NeeJ Res(AC) | Res (REQ) I IMIC2发送给访问者REQ。其中，Res(AC)即为可公开的鉴别结果Cl，Res(REQ)即为可公开的鉴别结果 C2，Res(AC) = E(KAS,圓，R(AC))，Res (REQ) = E(KAS,AC，R(REQ))，R(AC) 即为所述第一鉴别结果，R(REQ)即为所述第二鉴别结果，MIC2为消息完整性鉴别码，下同；此时，R(AC) = True，表示访问控制器AC的身份合法，R(REQ) = failure，表示访问者 REQ 的身份非法；此时，MIC2 = H(Kas,keq，IDac Neeq Res (AC) | | Res (REQ))，用来验证消息 IDac Neeq Res(AC) | Res (REQ)的完整性。4. 3)，鉴别服务器AS利用共享密钥KAS, eeq解密E (KAS, EEQ, Neeq)，并判断解密后得到的Nkeq是否与访问者REQ在步骤S3中发送给鉴别服务器AS的身份鉴别请求消息M3中的信息Nkeq相等，若解密后得到的Nkeq与访问者REQ在步骤S3中发送给鉴别服务器AS的身份鉴别请求消息M3中的信息Nkeq不相等，则执行4. 3. 1)；若鉴别服务器AS利用共享密钥Kas, ■解密E(Kas,keq，Neeq)后得到的Nkeq与访问者REQ在步骤S3中发送给鉴别服务器AS的身份鉴别请求消息M3中的信息Nkeq相等，则执行4. 3. 2)。4. 3. 1)，鉴别服务器AS根据IDac判断访问控制器AC是否已与鉴别服务器AS共享密钥KAS,Ae，若未共享密钥KAS,AC，则执行4. 3. 1. 1)；若已共享密钥KAS,AC，则执行4. 3. 1. 2)。4. 3. 1. 1)，鉴别服务器AS终止鉴别。4. 3. 1. 2)，鉴别服务器AS利用共享密钥KAS,Ac解密E (KASjAC, Neeq)，并判断解密后得到的Nkeq是否与访问者REQ在步骤S3中发送给鉴别服务器AS的身份鉴别请求消息M3中的信息Nkeq相等，若解密后得到的Nkeq与访问者REQ在步骤S3中发送给鉴别服务器AS的身份鉴别请求消息M3中的信息Nkeq不相等，则执行4. 3. 1. 2. 1)；若解密后得到的Nkeq与访问者REQ在步骤S3中发送给鉴别服务器AS的身份鉴别请求消息M3中的信息Nkeq相等，则执行 4. 3. 1. 2. 2)。4. 3. 1. 2. 1)，鉴别服务器AS终止鉴别。4.3. 1.2. 2)，鉴别服务器AS构造身份鉴别响应消息MWPIDacI NeeJ Res(AC) | Re s(REQ) I IMIC2发送给访问者REQ。此时，R (AC) = True，表示鉴别服务器AS对访问控制器AC 鉴别成功，R(REQ) = failure，表示鉴别服务器AS对访问者REQ鉴别失败；此时，MIC2 = H(Kas,圓，IDac Neeq Res (AC) | | Res (REQ))，用来验证消息 IDacI Neeq Res (AC) | Res (REQ) 的完整性。其中，H为一种单向哈希算法，下同。4. 3. 2)，鉴别服务器AS根据IDac判断访问控制器AC是否已与鉴别服务器AS共享密钥KAS,Ae，若未共享密钥KAS,AC，则执行4. 3. 2. 1)；若已共享密钥KAS,AC，则执行4. 3. 2. 2)；4. 3. 2. 1)鉴别服务器AS构造身份鉴别响应消息M4即IDacI NeeJ Res(AC) | Res ( REQ) ι IMic2发送给访问者REQ。此时，R(AC) = failure，表示鉴别服务器AS对访问控制器 AC鉴别失败；R(REQ) = True，表示鉴别服务器AS对访问者REQ 鉴别成功。此时MIC2 = H(Kas,圓，IDac Neeq Res (AC) | | Res (REQ))，用来验证消息 IDacI Neeq Res (AC) | Res (REQ) 的完整性。4. 3. 2. 2)，鉴别服务器AS判断利用共享密钥KAS,A。解密E (KAS,A。，Neeq)后得到的Nkeq 是否与访问者REQ在步骤S3中发送给鉴别服务器AS的身份鉴别请求消息M3中的信息Nkeq 相等，若否，则步骤4. 3. 2. 1)；若是，则执行4. 3. 2. 3)。 4. 3. 2. 3)，鉴别服务器AS生成访问者REQ和访问控制器AC间的会话密钥KAC, eeq, 然后利用共享密钥KAS, A。和KAS, KEQ以及会话密钥K AC, EEQ 计算 E (KAS ac， IDeeqI I Kag,細)与 E (K AS, 圓，KAC,KEQ)，进而计算此时的消息完整性鉴别码MIC2 = H(KAS,細，IDac| NeeJ Res(AC) | Res ( REQ) I |E(Kas,ac，IDeeJ IKac,圃)| IE(KAS,細，Kac,圓))。其中，IDkeq 是访问者 REQ 的身份标识，下同。此时的消息完整性鉴别码MIC2用来验证消息IDac NeeJ Res(AC) | Res (REQ) | E(KAS, Ac IDeeq Kac,圆)I E(KAS,圓，Kac,圆)的完整性。此时，R(AC) = True，表示鉴别服务器AS对访问控制器AC鉴别成功；R(REQ) =True,表示鉴别服务器AS对访问者REQ鉴别成功。鉴别服务器AS进而构造此时的身份鉴别响应消息M4即ID」INeeqI Res(AC) | Res(REQ) | |E( Kas,AC，IDeeqI IKac,細)ι |E(Kas,req, Kac,eeq) Ι IMIC2 发送给访问者 REQ。 综上可以注意到，当R(AC) = Failure或R(REQ) = Failure时，消息完整性鉴别码 MIC2 = H(KASjEEQ, IDac Neeq Res (AC) | | Res (REQ))，相应的，身份鉴别响应消息 M4 为 ID Ac Neeq Res(AC) I Res(REQ) | !MIC2，另夕卜，在其他实施例中，身份鉴别响应消息M4为一至少包含 IDacI Neeq Res (AC) | Res (REQ) | MIC2 的消息；当 R(AC) = True 且 R(REQ) = True 时，消息完整性鉴别码MIC2 = H(Kas,keq，IDac Neeq Res(AC) | Res(REQ) | E(KAS,AC, IDeeq Kac, eeq) I |E(Kas,keq，KAC, KEQ))，相应的，身份鉴别响应消息 M4 为 IDac| NeeJ Res (AC) | Res (REQ)|E(KAS,AC, IDeeqI |Kac,eeq) I |E(Kas,eeq, Kac,eeq) I |MIC2，另外，在其他实施例中，身份鉴别响应消息 M4 为一至少包含 IDacI IneeqI Res(AC) | Res(REQ) | |E(Kas,ac, IDeeqI |Kac,eeq) | | E (KAS,圓，KAC, EEQ) I IMIC2 的消息。步骤S5:5. 1)，访问者REQ收到身份鉴别响应消息M4即IDacI NeeJ Res(AC) | Res (REQ) Imic2 或 idac| |neeq| Res(Ac) | Res(REQ) ι |e(kas,ac, IDeeqI ι Kac,細)11 ε (kas,聲 kac, EEQ) ι Imic2 后，首先判断随机数Nkeq是否访问者REQ产生的随机数，若不是，则执行5. 2)；若是，则执行
5.3)。步骤5. 2)，访问者REQ丢弃该身份鉴别响应消息M4。步骤5. 3)，访问者REQ根据MIC2判断相应消息的完整性，若不完整，则执行 5.3. 1)；若完整，则执行5. 3. 2)。5. 3. 1)，访问者REQ丢弃该身份鉴别响应消息M4。5.3.2)，访问者REQ利用KAS,KEQ对可公开的鉴别结果Cl即Res(AC)进行解密，来判断访问控制器AC的合法性，若对Res (AC)进行解密后得到的R(AC) = Failure,则表示访问控制器AC非法，则执行5. 3. 2. 1)；若对Res (AC)进行解密后得到的R(AC) = True,则表示访问控制器AC合法，则执行5. 3. 2. 2)。5.3.2.1)，访问者REQ终止访问。5. 3. 2. 2)，访问者REQ解密身份鉴别响应消息M4中的E (KAS, EEQ, KAC, EEQ)而获得会话密钥KA。, EEQ,并产生随机数N’ KEQ、计算消息完整性鉴别码MIC3 = H (KAC, eeq' Nac| |N，eeq| Res(REQ) | E(KASjAC, IDeeq |Kac,keq))、构造接入鉴别响应消息 M5 即 Nac| |N，J Res(REQ) | |E(Kas,ac，IDeeq |Kac,keq) | | MIC3 发送给访问控制器 AC。其中，消息完整性鉴别码 MIC3 用来验证消息 NacI In，eeq| Res(REQ) | E(KASjAC, IDeeq Kac,eeq)的完整性。在其他实施例中，接入鉴别响应消息M5为一至少包含 NacI In，圆I Res(REQ) | |E(Kas,ac，IDeeqI |Kac,圃)| |MIC3 的消息。步骤S6:6. 1)，访问控制器AC收到身份鉴别响应消息M5即NacI N' EEQ| Res (REQ) | |E(Kas, Ac IDeeqI |Kac,eeq) I IMIC3后，首先判断随机数Na。是否访问控制器AC产生的随机数，若不是， 则执行6. ；若是，则执行6. 3)；6. 2)，访问控制器AC拒绝访问者REQ的访问。6. 3)，访问控制器AC利用KAS, ac对Res (REQ)进行解密，若解密Res (REQ)得到的 R(REQ) = Failure，表示访问者REQ非法，则执行6. 3. 1)；若解密Res (REQ)得到的R(REQ) =True，表示访问者REQ合法，则执行6. 3. 2)。6. 3. 1)，访问控制器AC拒绝访问者REQ的访问。6. 3. 2)，访问控制器 AC 解密 E (KAS, Ac, IDeeq | | KAC, eeq)，获得会话密钥 KAe, EEQ,并根据MIC3判断消息Nac N，圃Res(REQ) | E(KAS,AC，IDeeq Kac,細)完整性，若不完整，则执行
6.3. 2. 1)；若完整，则执行 6. 3. 2. 2)。6. 3. 2. 1)，访问控制器AC拒绝访问者REQ的访问。6. 3. 2. 2)，访问控制器 AC 确认解密 E (KAS, Ac, IDeeq | | KAC, eeq)后获得的 IDkeq 是否与访问者REQ的身份标识IDkeq —致，若不一致，则执行6. 3. 2. 2. 1)；若一致，则执行6. 3. 2. 2. 2) 06. 3. 2. 2. 1)，访问控制器ac拒绝访问者req的访问。6. 3. 2. 2. 2)，访问控制器ac根据所述授权策略判断访问者req在步骤sl中发送的访问请求Qkeq是否合法，若不合法，则执行6. 3. 2. 2. 2. 1)；若合法，则执行6. 3. 2. 2. 2. 2)。6. 3. 2. 2. 2. 1)，访问控制器ac拒绝访问者req的访问。6. 3. 2. 2. 2. 2)，访问控制器ac根据qkeq构造应答数据rac、计算消息完整性鉴别码mic4 = h(kac,圓，n，圓i |e(kac,圓，rac))，进而构造访问响应消息m6即n，eeq| |e(kac,細， rac) i imic4发送给访问者req。其中，rac用于访问控制器ac通知所述访问者req是否有权访问所述目的网络。其中，消息完整性鉴别码mic4用来验证消息N，EEQ E(kac, eeq, rac)的完整性，访问控制器ac对访问者req的所述授权策略可以来自访问控制器ac本地，也可以由其他服务器如鉴别服务器as提供，当所述授权策略由鉴别服务器as提供时，则需将步骤s4中的身份鉴别响应消息 m4 即 IDacI Neeq res(ac) | res(req) | |E(Kas,ac，IDeeq Kac, eeq) | |E(KAS,圓， KAC,圓)IIMIC2 中的 ε (κ
AS, AC， IDeeqi |kac,eeq)修改为 e (k
AS, AC， IDeeqI I Kac,圃 I m AS/， 同时需要将步骤 S5 中的接入鉴别响应消息M5 即 NacI IN，eeq E(KASjAC, IDeeqi Kac,eeq) | imic3 中的 E(Kas, ac，ideeqi |kac,eeq)修改为 e(kas,ac，ideeqi |kac,eeq| iapas)。其中，apas 表示对访问者 req 的授权策略。至此，即完成了访问控制器ac对访问者req的鉴别和授权，实现了对访问控制器 ac的访问控制。6.4)，访问者1 0收到访问响应消息116即『1^| e (kacjeeq, rac) | |mic4后，首先判断随机数n’ ■是否访问者req产生的随机数，若不是，则执行6. 4. 1)；若是，则执行6. 4. 2)。6. 4. 1)，访问者req丢弃该访问响应消息m6。6. 4. 2)，访问者REQ根据MIC4判断消息N，圃| | E (Kac,細，Rac)完整性，若不完整，则执行6. 4. 2. 1)；若完整，则执行6. 4. 2. 2)。6. 4. 2. 1)，访问者req丢弃该访问响应消息m6。6.4.2.2)，访问者req解密e(ka。,keq，rac)获得所述应答数据rae，并根据应答数据 rac判断是否被访问控制器ac授权访问目的网络，然后据此对目的网络进行访问。在其他实施例中，访问响应消息m6为一至少包含N，EEQ| E(kac,eeq,rac) | |mic4的消肩、ο上述步骤S2-S4的另一种具体实施例是步骤s2:访问控制器ac收到访问请求消息ml即nkeqi | qkeq后，构造接入鉴别请求消息m2即 neeqi Inaci ι η (Kas,ac ι |neeq)发送给访问者req，在其他实施例中，接入鉴别请求消息m2为一至少包含 NkeqI Naci IH(K
AS, AC
Neeq)的消息。其中，h(kas,ac| ineeq)表示对kas,ac| inkeq进行哈希运算后的结果，即访问控制器ac 的身份鉴别信息ii。步骤S3:访问者req收到接入鉴别请求消息m2即neeqi nac| h(kas,ac| neeq)后，首先判断nkeq 是否访问者req产生的随机数，如果不是，则丢弃该鉴别请求消息m2 ；如果是，则访问者req利用共享密钥KAS,KEQ计算消息完整性鉴别码MIC5 = H(Kas,eeq,idac| INeeqI |H(Kas,ac| |nkeq))，并进而构造身份鉴别请求消息M3即IDA。| INEEQI Ι Η(KAS, AC Ι |NEEQ) | IMIC5发送给鉴别服务器AS。 其中，消息完整性鉴别码来验证idac| IneeqI |h(kas,ac| |neeq)的完整性，Mic5即为访问者REQ的身份鉴别信息12。在其他实施例中，身份鉴别请求消息M3为一至少包含IDiJ INeeqI ΙH(Kas, AC Neeq) ι Imic5W消息。步骤S4:4.1 ‘)，鉴别服务器AS收到身份鉴别请求消息M3即IDiJ |Neeq| |H(Kas, ac I INeeq) I IMIC5后，首先判断访问者req是否已与鉴别服务器AS共享密钥Kas,KEQ，若未共享密钥KAS, eeq,则执行4. 2 ‘)；若已共享密钥KAS, eeq,则执行4. 3 ‘)。4.2'),鉴别服务器AS根据IDac判断访问控制器AC是否已与鉴别服务器AS共享密钥KAS, Ae，若未共享密钥KAS, ，则执行4. 2. 1')；若已共享密钥KAS, AC，则执行4. 2. 2')。4. 2. 1')，鉴别服务器AS终止鉴别。4. 2.2')，鉴别服务器AS构造身份鉴别响应消息M4即IDac| | Neeq| | Res (AC) | | Res (REQ) I IMIC2发送给访问者REQ。其中，Res(AC)即为可公开的鉴别结果Cl，Res(REQ)即为可公开的鉴别结果 C2，Res(AC) = E(KAS,圓，R(AC))，Res (REQ) = E(KAS,AC，R(REQ))，R(AC) 即为所述第一验证结果，R(REQ)即为所述第二验证结果，MIC2*消息完整性鉴别码。此时， R(REQ) = hi lure，表示鉴别服务器AS对访问者REQ鉴别失败，R (AC) = True，表示鉴别服务器 AS 对访问控制器 AC 鉴别成功。此时 MIC2 = H (KAS,KEQ，IDA。I Neeq Res (AC) | Res(REQ)), 用来验证消息IDac I I Neeq I I Res (AC) | | Res (REQ)的完整性。4.3')，鉴别服务器AS根据身份鉴别请求消息M3中的MIC5判断IDiJ |Neeq| |H(Kas, ac I INeeq)的完整性，若不完整，则执行4. 3.1')；若完整，表示访问者REQ合法，则执行 4.3.2')。4.3. 1')，鉴别服务器AS丢弃该身份鉴别请求消息M3。4.3.2')，鉴别服务器AS利用IDac判断访问控制器AC是否已与鉴别服务器 AS共享密钥KAS, ac,若未共享密钥KAS, ac,则执行4. 3. 2. Γ )；若已共享密钥KAS, ac,则执行 4 ■ 3 ■ 2 ■ 2 ) ο4. 3. 2.1')，鉴别服务器AS构造身份鉴别响应消息M4即IDac | | Neeq | | Res (AC) | | R es (REQ) I IMic2发送给访问者REQ。此时，R(AC) = failure，表示鉴别服务器AS对访问控制器AC鉴别失败；R(REQ) = True，表示鉴别服务器AS对访问者REQ鉴别成功。此时MIC2 = H(Kas,圓，IDac Neeq Res (AC) | | Res (REQ))，用来验证消息 IDacI Neeq Res (AC) | Res (REQ) 的完整性。4. 3. 2.2')，鉴别服务器AS根据Nkeq验证H(Kas, Ae | | Nkeq)的完整性，若验证失败， 则执行4. 3. 2. 2. 1')；若验证成功，则执行4. 3. 2. 2. 2 ‘)。4. 3. 2. 2.1')，鉴别服务器AS构造身份鉴别响应消息M4即IDac | | Neeq | | Res (AC) Res (REQ) | |MIC2发送给访问者REQ。此时，R(AC) = failure，表示鉴别服务器AS对访问控
制器AC鉴别失败；R(REQ) = True，表示鉴别服务器AS对访问者REQ鉴别成功。此时MIC2 = H(Kas,圓，IDac Neeq Res (AC) | | Res (REQ))，用来验证消息 IDacI Neeq Res (AC) | Res (REQ) 的完整性。
4. 3. 2. 2.2')，鉴别服务器AS生成访问者REQ和访问控制器AC间的会话密钥 KAC,EEQ'然后利用共享密钥KAS,和KAS,KEQ以及会话密钥K AC，REQ 计算 E (KAS，AC，IDreqI I Kac eeq)与 E(Kas,keq，KAC,KEQ)，进而计算此时的消息完整性鉴别码 MIC2 = H(KAS,EEQ, IDacI NeeJ Res(AC) | Res(REQ) I |E(Kas,ac, IDeeqI |Kac,eeq) | IE(KAS,KEQ，KAC,KEQ))，用来验证消息 IDacI |Neeq| Res(AC) | Res(REQ) I E(KAS,AC, IDeeJ Kac,eeq) | E(KAS,EEQ,KAC,EEQ)的完整性。此时 R(AC) = True，表示鉴别服务器AS对访问控制器AC鉴别成功；R(REQ) = True，表示鉴别服务器AS对访问者REQ 鉴别成功。鉴别服务器AS进而构造此时的身份鉴别响应消息M4即IDa。| INeeqI Res(AC) | Res(REQ) I |E(Kas,ac，IDeeJ |Kac,eeq) | |E(KAS,圃，KAC,EEQ) | |MIC2 发送给访问者 REQ。综上可以注意到，当R(AC) = Failure或R(REQ) = Failure时，消息完整性鉴别码 MIC2 = H(KASjEEQ, IDac Neeq Res (AC) | | Res (REQ))，相应的，身份鉴别响应消息 M4 为 ID Ac Neeq Res(AC) I Res(REQ) | !MIC2，另夕卜，在其他实施例中，身份鉴别响应消息M4为一至少包含 IDacI Neeq Res (AC) | Res (REQ) | MIC2 的消息；当 R(AC) = True 且 R(REQ) = True 时，消息完整性鉴别码MIC2 = H(Kas,keq，IDac Neeq Res(AC) | Res(REQ) | E(KAS,AC, IDeeq Kac, eeq) I |E(Kas,keq，KAC, KEQ))，相应的，身份鉴别响应消息 M4 为 IDac| NeeJ Res (AC) | Res (REQ)
|E(Kas,ac, IDeeJ |Kac,eeq) I |E(Kas,eeq, Kac, eeq) I |MIC2，另外，在其他实施例中，身份鉴别响应消息 M4 为一至少包含 IDacI IneeqI Res(AC) | Res(REQ) | |E(Kas,ac, IDeeqI |Kac,eeq) | | E (KAS,圓，KAC, EEQ) I IMIC2 的消息。本发明基于密码学中的对称密码机制，分别提供了两种由鉴别服务器AS提供鉴别服务时在访问控制器AC与访问者REQ之间实现鉴别的具体实施方法，一种方法基于对称加密运算即前一实施例，一种方法基于哈希运算即后一实施例，都能够实现在访问控制器 AC无法直接使用鉴别服务器AS提供的鉴别服务时、由访问者REQ与鉴别服务器AS之间完成鉴别并由访问控制器AC完成对访问者REQ进行授权的访问控制过程。
权利要求
1.一种网络访问控制方法，其特征在于所述网络访问控制方法包括步骤1)，一访问者(REQ)向一目的网络中的一访问控制器(AC)发送一访问请求消息 (Ml)；所述访问请求消息(Ml)中包括Nkeq和Qkeq ；其中，Nkeq表示访问者(REQ)产生的随机数，Qkeq表示访问者(REQ)的访问请求；步骤幻，所述访问控制器(AC)收到所述访问请求消息(Ml)后，构造一接入鉴别请求消息(M2)发送给所述访问者(REQ)；所述接入鉴别请求消息(M2)包括访问控制器(AC)的用以向所述鉴别服务器(AQ证明所述访问控制器(AC)身份的合法性的一第一身份鉴别信息 (Il)；所述第一身份鉴别信息(Il)是利用KAS,A。对Nkeq进行对称密码运算后产生的结果，其中，KAS,AC是所述访问控制器(AC)和所述鉴别服务器(AQ之间的共享密钥；步骤3)，访问者(REQ)收到所述接入鉴别请求消息(M2)后，构造一身份鉴别请求消息 (M3)发送给所述目的网络的一鉴别服务器(AQ ；所述身份鉴别请求消息(Μ； )中包括所述第一身份鉴别信息(Il)以及所述访问者(REQ)的用以向所述鉴别服务器(AS)证明所述访问者(REQ)身份的合法性的一第二身份鉴别信息(1 ；所述第二身份鉴别信息(1 是利用Kas,■对Nkeq进行对称密码运算后产生的结果，其中，KAS, KEQ是所述访问者(REQ)和所述鉴别服务器(AS)之间的共享密钥；步骤4)，所述鉴别服务器(AS)收到所述身份鉴别请求消息(M3)后，利用Kas▲对所述第一身份鉴别信息(Il)进行鉴别并得到对所述访问控制器(AC)的一第一鉴别结果以及利用KAS, KEQ对所述第二身份鉴别信息(12)进行鉴别并得到对所述访问者(REQ)的一第二鉴别结果；所述鉴别服务器(AS)将所述第一鉴别结果利用KAS,KEQ进行加密形成对所述访问控制器(AC)的一第一可公开的鉴别结果(Cl)以及将所述第二鉴别结果利用KAS, A。进行加密形成对所述访问者(REQ)的一第二可公开的鉴别结果(C2)，所述鉴别服务器(AS)构造身份鉴别响应消息(M4)发送给所述访问者(REQ)；所述身份鉴别响应消息(M4)包括所述第一可公开的鉴别结果(Cl)及所述第二可公开的鉴别结果(C2)；步骤5)，所述访问者(REQ)收到身份鉴别响应消息(M4)后，解密所述第一可公开的鉴别结果(Cl)获得所述第一鉴别结果，根据所述第一鉴别结果构造接入一鉴别响应消息 (M5)发送给访问控制器(AC)；所述接入鉴别响应消息(M5)中包括第二可公开的鉴别结果 (C2)；步骤6)，所述访问控制器(AC)收到所述接入鉴别响应消息(iK)后，解密所述第二可公开的鉴别结果(C2)，得到所述第二鉴别结果，并根据一授权策略构造一访问响应消息(M6) 发送给所述访问者(REQ)；所述授权策略是指访问控制器(AC)对Qkeq进行授权的策略。
2.根据权利要求1所述的网络访问控制方法，其特征在于所述步骤1)中，所述访问请求消息(Ml)包括NkeqI IQkeq，其中，11表示其前后两信息之间为串联。
3.根据权利要求2所述的网络访问控制方法，其特征在于所述步骤幻中，所述第一身份鉴别信息(Ii)为E(KAS,AC，Nkeq)，所述接入鉴别请求消息(M2)包括NkeqI INacI |E(Kas,ac, Neeq)；其中，Na。表示访问控制器(AC)产生的随机数，E(Kas,a。，Nkeq)表示利用共享密钥Kas, 对Nkeq加密的结果，E为一种对称加密算法。
4.根据权利要求3所述的网络访问控制方法，其特征在于所述步骤幻包括步骤3. 1)，所述访问者(REQ)收到接入鉴别请求消息(M2)后，判断Nkeq是否访问者 (REQ)产生的随机数，若否，则执行步骤3. 2)；若是，则执行步骤3. 3)；步骤3. ，所述访问者(REQ)丢弃所述鉴别请求消息(M2)；步骤3.幻，所述访问者(REQ)利用KAS, KEQ计算E (KAS, KEQ，Nkeq)，所述第二身份鉴别信息 (12)为E(Kas,keq，Nkeq)，所述访问者(REQ)构造所述身份鉴别请求消息(M3)发送给所述鉴别服务器(AS)；所述身份鉴别请求消息(M3)包括 IDac| INeeJ |E(Kas,eeq, Neeq) I |E(Kas,ac, Neeq)； 其中，IDa。是所述访问控制器(AC)的身份标识。
5.根据权利要求4所述的网络访问控制方法，其特征在于所述步骤4)包括 步骤4. 1)，所述鉴别服务器(AS)收到所述身份鉴别请求消息(M3)后，判断所述访问者(REQ)是否已与所述鉴别服务器(AS)共享KAS, KEQ，若否，则执行步骤4. 2)；若是，则执行步骤4. 3)；步骤4. 2)，所述鉴别服务器(AS)根据IDac判断所述访问控制器(AC)是否已与所述鉴别服务器(AS)共享KAS, AC，若否，则执行步骤4. 2. 1)；若是，则执行步骤4. 2. 2)； 步骤4. 2. 1)，所述鉴别服务器(AQ终止鉴别；步骤4. 2. 2)，所述鉴别服务器(AS)利用KAS,AC解密E (KAS,AC, Neeq)，并判断解密后得到的 Nkeq是否与所述访问者(REQ)在步骤幻中发送给所述鉴别服务器(AQ的身份鉴别请求消息(M3)中的Nkeq相等，若否，则执行步骤4. 2. 2. 1)；若是，则执行步骤4. 2. 2. 2)； 步骤4. 2. 2. 1)，所述鉴别服务器(AQ终止鉴别；步骤4. 2. 2. 2)，所述鉴别服务器(AS)构造身份鉴别响应消息(M4)发送给所述访问者(REQ)；所述身份鉴别响应消息(M4)包括IDac Neeq Res(AC) | Res(REQ) | |MIC2 ；其中，R(AC) = True，表示所述访问控制器(AC)的身份合法，R(REQ) = failure，表示所述访问者(REQ)的身份非法；MIC2 = H(Kas,keq，IDac Neeq Res (AC) | | Res (REQ))，用来验证 IDac Neeq Res(AC) | Res (REQ)的完整性；步骤4. 3)，所述鉴别服务器(AS)利用KAS, eeq解密E (KAS, eeq, Neeq)，并判断解密后得到的 Nkeq是否与访问者(REQ)在步骤幻中发送给所述鉴别服务器(AQ的所述身份鉴别请求消息(M3)中的Nkeq相等，若否，则执行步骤4. 3. 1)；若是，则执行步骤4. 3. 2)；步骤4. 3. 1)，所述鉴别服务器(AS)根据IDac判断所述访问控制器(AC)是否已与所述鉴别服务器(AS)共享KAS, AC，若否，则执行步骤4. 3. 1. 1)；若是，则执行步骤4. 3. 1.2)； 步骤4. 3. 1. 1)，所述鉴别服务器(AQ终止鉴别；步骤4. 3. 1. 2)，所述鉴别服务器(AS)利用KAS, AC解密E(KAS, AC，Neeq)，并判断解密后得到的Nkeq是否与所述访问者(REQ)在步骤幻中发送给所述鉴别服务器(AQ的所述身份鉴别请求消息(M3)中的Nkeq相等，若否，则执行步骤4. 3. 1.2. 1)；若是，则执行步骤 4. 3. 1. 2. 2)；步骤4. 3. 1. 2. 1)，所述鉴别服务器(AS)终止鉴别；步骤4. 3. 1. 2. 2)，所述鉴别服务器(AS)构造所述身份鉴别响应消息(M4)发送给所述访问者(REQ)；所述身份鉴别响应消息(M4)包括IDac Neeq Res(AC) | Res(REQ) | |MIC2 ； 其中，R(AC) = True，表示所述鉴别服务器(AS)对所述访问控制器(AC)鉴别成功，R(REQ) =failure，表示所述鉴别服务器(AS)对所述访问者(REQ)鉴别失败；MIC2 = H(Kas,keq， IDac Neeq Res (AC) | Res (REQ))，用来验证 IDac Neeq Res(AC) | Res (REQ)的完整性；其中，H为一种单向哈希算法；步骤4. 3. 2)，所述鉴别服务器(AS)根据IDac判断所述访问控制器(AC)是否已与所述鉴别服务器(as)共享kas, AC，若否，则执行步骤4. 3. 2. 1)；若是，则执行步骤4. 3. 2. 2)；步骤4. 3. 2. 1)，所述鉴别服务器(aq构造所述身份鉴别响应消息(m4)发送给所述访问者(req)；所述身份鉴别响应消息(m4)包括idac neeq res(ac) | res(req) | |mic2 ；其中，r(ac) =milure,表示所述鉴别服务器(as)对所述访问控制器(ac)鉴别失败；r(req) =true，表示所述鉴别服务器(as)对所述访问者(req)鉴别成功；其中，mic2 = h(kas,eeq, idac neeq res (ac) | res (req))，用来验证 idac neeq res(ac) | res (req)的完整性；步骤4. 3. 2. 2)，所述鉴别服务器(as)判断利用kas, ac解密e (kas, ac, neeq)后得到的nkeq 是否与所述访问者(req)在步骤幻中发送给所述鉴别服务器(aq的所述身份鉴别请求消息(m3)中的nkeq相等，若否，则执行步骤4. 3. 2. 1)；若是，则执行步骤4. 3. 2. 3)；步骤4. 3. 2.幻，所述鉴别服务器(aq生成kac,keq，kac,keq为所述访问者(req)和所述访问控制器(ac)间的会话密钥，所述鉴别服务器(aq利用kas, AC、kas,■及kac, KEQ计算e(kas, ac，ideeqi |kac,eeq)>e(kas,eeq,kac,eeq)以及 h (kas,圓，idaci | neeqi Res(ac) | Res(req) | |e(kas,ac， IDeeqI |kac,eeq) i |e(kas,keq，kac,keq))；其中，mic2 = h(kas,細，idaci in圆i ires(ac) i ires(req) | e(kas,ac,idreq| |kac,eeq) ι |e(k as, eeq' kac, req) )，ffijfe^ile idac neeq res (ac) i res (req) | |e(kas, ac，ideeq kac,圆)i e(kas,圓，kac,圆)的完整性，r(ac) = true，表示所述鉴别服务器(as)对所述访问控制器(ac)鉴别成功，r(req) = True，表示鉴别服务器(aq对访问者(req)鉴别成功；所述鉴别服务器(as)构造所述身份鉴别响应消息(m4)发送给所述访问者(req)， 所述身份鉴别响应消息(m4)包括 idj neeq res (ac) | res (req) | e(kasjac, ideeq kac, req) i |e(kas，req，kac eeq) i imic2 ；其中，res(ac)为所述第一可公开的鉴别结果(cl)，res(req)为所述第二可公开的鉴别结果(c2)，res(ac) = e(kas,keq，r(ac))，res (req) = e(kas,ac，r(req))，r(ac)为所述第一鉴别结果，r(req)为所述第二鉴别结果，mic2*消息完整性鉴别码，idkeq是所述访问者 (req)的身份标识。
6.根据权利要求2所述的网络访问控制方法，其特征在于所述步骤幻中，所述第一身份鉴别信息(ii)为h(kas,acι |nkeq)，所述接入鉴别请求消息(m2)包括nkeqi inaci |h(kas, ac i ineeq)；其中，na。表示所述访问控制器(ac)产生的随机数，h(kas,ac| ineeq)表示对kas, ac i inkeq进行哈希运算后的结果，η为一种单向哈希算法。
7.根据权利要求6所述的网络访问控制方法，其特征在于所述步骤幻包括步骤3. 1')，所述访问者(req)收到所述接入鉴别请求消息(m2)后，判断nkeq是否所述访问者(req)产生的随机数，若否，则执行步骤3. 2')；若是，则执行步骤3. 3')； 步骤3. 2')，所述访问者(req)丢弃所述鉴别请求消息(m2)； 步骤 3. 3')，所述访问者(req)利用 kas,圓计算 mic5 = h(kas,圃，idac neej h(kas, acl inkeq))，并构造所述身份鉴别请求消息(ιο)发送给所述鉴别服务器(aq ；所述身份鉴别请求消息(m3)包括idij ineeqi ι η (kas,ac ι |neeq) | imic5 ；其中，mic5为消息完整性鉴别码，用来验证ida。i ineej |h(kas,ac| |neeq)的完整性，ida。是所述访问控制器(ac)的身份标识，所述第二身份鉴别信息(12)为mic5。
8.根据权利要求7所述的网络访问控制方法，其特征在于所述步骤4)包括步骤4. 1')，所述鉴别服务器(as)收到所述身份鉴别请求消息(m3)后，判断所述访问者(req)是否已与所述鉴别服务器(as)共享kas,KEQ，若否，则执行步骤4. 2')；若是，则执行步骤4. 3')；步骤4. 2')，所述鉴别服务器(AS)根据IDac判断所述访问控制器(AC)是否已与所述鉴别服务器(AS)共享KAS, A。，若否，则执行步骤4. 2.1')；若是，则执行步骤4. 2. 2')； 步骤4. 2. 1 ‘)，所述鉴别服务器(AQ终止鉴别；步骤4. 2.2')，所述鉴别服务器(AQ构造所述身份鉴别响应消息(M4)发送给所述访问者(REQ)；所述身份鉴别响应消息(M4)包括IDac Neeq Res(AC) | Res(REQ) | |MIC2 ； 其中，R(REQ) =Milure,表示所述鉴别服务器(AS)对所述访问者(REQ)鉴别失败，R(AC) =True，表示所述鉴别服务器(AS)对访所述问控制器(AC)鉴别成功，MIC2 = H(KAS,EEQ, IDac I I Neeq I I Res (AC) | | Res (REQ))，用来验证消息 IDac | | Neeq | | Res (AC) | | Res (REQ)的完整性；步骤4. 3')，所述鉴别服务器(AS)根据所述身份鉴别请求消息(M3)中的MIC5判断 IDiJ INkeqI |H(Kas,a。| |Nkeq)的完整性，若不完整，则执行步骤4.3. i')；若完整，表示访问者 (REQ)合法，则执行步骤4. 3. 2')；步骤4. 3. 1')，所述鉴别服务器(AQ丢弃所述身份鉴别请求消息(M3)； 步骤4. 3. 2')，所述鉴别服务器(AS)利用IDac判断所述访问控制器(AC)是否已与所述鉴别服务器(AS)共享KAS, A。，若否，则执行步骤4. 3. 2.1')；若是，则执行步骤 4. 3. 2. 2')；步骤4. 3. 2. 1 ‘)，所述鉴别服务器(AS)构造所述身份鉴别响应消息(M4)发送给所述访问者(REQ)；所述身份鉴别响应消息(M4)包括IDac| NeeJ Res(AC) | Res(REQ) | |MIC2 ；其中，R(AC) = failure，表示鉴别服务器(AS)对所述访问控制器(AC)鉴别失败，R(REQ)= True，表示所述鉴别服务器(AS)对所述访问者(REQ )鉴别成功；其中，MIC2 = H(KAS,EEQ, IDac Neeq Res (AC) | Res (REQ))，用来验证 IDac Neeq Res(AC) | Res (REQ)的完整性；步骤4. 3. 2.2')，所述鉴别服务器(AS)根据Nkeq验证H(Kas,a。| |Neeq)的完整性，若验证失败，则执行步骤4. 3.2.2. 1')；若验证成功，则执行步骤4. 3. 2. 2. 2')；步骤4. 3. 2. 2.1')，所述鉴别服务器(AS)构造所述身份鉴别响应消息(M4)发送给所述访问者(REQ)；所述身份鉴别响应消息(M4)包括IDac| |Neeq| Res(AC) | Res ( REQ) I IMIC2 ；其中，R(AC) = Failure，表示鉴别服务器(AS)对访问控制器(AC)鉴别失败，R(REQ) = True，表示鉴别服务器(AS)对访问者(REQ)鉴别成功，MIC2 = H(Kas,keq， IDac I I Neeq I I Res (AC) | | Res (REQ))，用来验证消息 IDac | | Neeq | | Res (AC) | | Res (REQ)的完整性；步骤4. 3. 2. 2.2')，所述鉴别服务器(AS)生成KAC,KEQ，Kac, KEQ为所述访问者(REQ)和所述访问控制器(AC)间的会话密钥，所述鉴别服务器(AQ利用KAS,AC、KAS,■及ΚΑα■计算 E (Kas ，ac，IDeeq I I Kac eeq) λ E (KAS EEQ, Kac EEQ)以及 H (KAS，REQ，IDac | | Neeq | I Res (AC) | I Res (REQ) | | E ( Kas,AC IDeeqI Ikac,圆)I |E(Kas,eeq, Kac,細))；其中，MIC2 = H(Kas,eeq, IDacI IneeqI Res(AC) I Res ( REQ) I |E(Kas,ac, IDeeqI |Kac,eeq) I |E(Kas,eeq, Kac,keq))，用来验证 IDacI |Neeq| Res(AC) | Res(REQ) E(KASjAC, IDeeq Kac,eeq) I |E(Kas,keq，KAC,EEQ)的完整性，R(AC) = True，表示所述鉴别服务器 (AS)对所述访问控制器(AC)鉴别成功，R(REQ) = True，表示所述鉴别服务器(AQ对所述访问者(REQ)鉴别成功；所述鉴别服务器(AS)构造所述身份鉴别响应消息(M4)发送给所述访问者(REQ)，所述身份鉴别响应消息(M4)包括IDac NeeJ Res(AC) | Res(REQ) | E(KAS,ac，IDeeq Kac_ EEQ) I E (KAS_ EEQ, KAC, REQ) I MIC2 ；其中，res(ac)为所述第一可公开的鉴别结果(cl)，res(req)为所述第二可公开的鉴别结果(c2)，res(ac) = e(kas,keq，r(ac))，res (req) = e(kas,ac，r(req))，r(ac)为所述第一鉴别结果，r(req)为所述第二鉴别结果，mic2为消息完整性鉴别码，ideeq是访问者req的身份标识。
9.根据权利要求5或8所述的网络访问控制方法，其特征在于所述步骤幻包括 步骤5. 1)，所述访问者(REQ)收到所述身份鉴别响应消息(M4)后，判断Nkeq是否所述访问者(REQ)产生的随机数，若否，则执行步骤5. 2)；若是，则执行步骤5. 3)； 步骤5. 2)，所述访问者(REQ)丢弃所述身份鉴别响应消息(M4)； 步骤5. 3)，所述访问者(REQ)根据肌(2判断消息的完整性，若不完整，则执行步骤5.3. 1)；若完整，则执行步骤5. 3. 2)；步骤5. 3. 1)，所述访问者(REQ)丢弃所述身份鉴别响应消息(M4)； 步骤5. 3. 2)，所述访问者(REQ)利用Kas■对Res (AC)进行解密，借以判断所述访问控制器(AC)的合法性，若对Res (AC)进行解密后得到的R(AC) = failure，则表示所述访问控制器(AC)非法，则执行步骤5. 3. 2. 1)；若对Res (AC)进行解密后得到的R(AC) = True，则表示所述访问控制器(AC)合法，则执行步骤5. 3. 2. 2)； 步骤5. 3. 2. 1)，所述访问者(REQ)终止访问；步骤5. 3. 2. 2)，所述访问者(req)解密所述身份鉴别响应消息(m4)中的e(KAS,KEQ，Kac, eeq)而获得 Kag,KEQ，并产生随机数 N，■、计算 MIC3 = h(KAC,細，NacI N，細| res(req) | e(KAS, ac IDeeqi iΚΑα·))、构造所述接入鉴别响应消息(IK)发送给所述访问控制器(AC)；所述接入鉴别响应消息(m5)包括 Nac In，細 res(req) | e(KAS,AC, IDeeq| Kac,圃)| |MIC3 ；其中，MIC3 为消息完整性鉴别码，用来验证Naci in，eeq res(req) | E(KASjAC, IDeeq Kac,eeq)的完整性。
10.根据权利要求9所述的网络访问控制方法，其特征在于所述步骤6)包括 步骤6. 1)，所述访问控制器(AC)收到所述接入鉴别响应消息(M5)后，判断队。是否所述访问控制器(AC)产生的随机数，若否，则执行步骤6. 2)；若是，则执行步骤6.3)； 步骤6. ，所述访问控制器(AC)拒绝所述访问者(req)的访问； 步骤6. 3)，所述访问控制器(AC)利用KAS,&对res (req)进行解密，若解密res (req)得到的r(req) =i^ai lure，表示所述访问者(req)非法，则执行步骤6. 3. 1)；若解密res(req) 得到的r(req) = true，表示所述访问者(req)合法，则执行步骤6. 3. 2)； 步骤6. 3. 1)，所述访问控制器(AC)拒绝所述访问者(req)的访问； 步骤6. 3. ，所述访问控制器(AC)解密E(Kas,ac，IDrJ |‘_)，获得1^,_并根据 MIC3判断Nag| |N，圓i res (req) | |E(Kas,ag，IDeej Kac, eeq)的完整性，若不完整，则执行步骤6.3. 2. 1)；若完整，则执行步骤6. 3. 2. 2)；步骤6. 3. 2. 1)，所述访问控制器(AC)拒绝所述访问者(REQ)的访问； 步骤6. 3. 2. 2)，所述访问控制器(AC)确认解密E(Kas,ac，IDeeq Kac, eeq)后获得的IDkeq 是否与所述访问者(REQ)的所述身份标识IDkeq —致，若不一致，则执行步骤6. 3. 2. 2. 1)；若一致，则执行步骤6. 3. 2. 2. 2)；步骤6. 3. 2. 2. 1)，所述访问控制器(AC)拒绝所述访问者(REQ)的访问；步骤6. 3. 2. 2.幻，所述访问控制器(AC)根据所述授权策略判断所述访问者(REQ)在步骤1)中发送的Qkeq是否合法，若不合法，则执行步骤6. 3. 2. 2. 2. 1)；若合法，则执行步骤 6. 3. 2. 2. 2. 2)；步骤6. 3. 2. 2. 2. 1)，所述访问控制器(AC)拒绝所述访问者(REQ)的访问； 步骤6. 3. 2. 2. 2. 2)，所述访问控制器(AC)根据Qkeq构造RAC、计算MIC4 = H(KACj EEQ, N’ EEQ| |E(Kac, eeq, Rac))，进而构造所述访问响应消息(M6)发送给所述访问者(REQ)；所述访问响应消息(M6)包括N’keq| |E(Kac,eeq,Rac) Ι IMIC4 ；其中，Rac为应答数据，用于所述访问控制器(AC)通知所述访问者(REQ)是否有权访问所述目的网络，MIC4为消息完整性鉴别码，用以判断N’keq||E(Kac,keq，Rac)完整性；
11.根据权利要求10所述的网络访问控制方法，其特征在于所述授权策略调用自所述访问控制器(AC)或所述鉴别服务器(AQ ；当所述授权策略调用自所述鉴别服务器(AS) 时，步骤4)中的所述身份鉴别响应消息(M4)中的E(KAS,A。，IDeeJ |Kac,eeq)修改为E(Kas,ac， IDeeqI KACjEEQ| I APas)，步骤5)中的所述接入鉴别响应消息(M5)中的E(KAS,AC，IDeeJ |KAC,細) 修改为E(Kas,ac，IDeeq |Kac,keq| IAPas)；其中，APas表示所述授权策略。
12.根据权利要求10所述的网络访问控制方法，其特征在于所述步骤6)还包括 步骤6. 4)，所述访问者(REQ)收到所述访问响应消息(M6)后，判断N’ ■是否所述访问者(REQ)产生的随机数，若否，则执行步骤6. 4. 1)；若是，则执行步骤6. 4. 2)； 步骤6. 4. 1)，所述访问者(REQ)丢弃所述访问响应消息(M6)； 步骤6. 4. 2)，所述访问者(REQ)根据MIC4判断N，EEQ| E(Kac,eeq, Rac)的完整性，若不完整，则执行步骤6. 4. 2. 1)；若完整，则执行步骤6. 4. 2. 2)；步骤6. 4. 2. 1)，所述访问者(REQ)丢弃所述访问响应消息(M6)； 步骤6. 4. 2. 2)，所述访问者(REQ)解密E (KAC,KEQ，Rac)获得RAe，并根据Rac判断所述访问者(REQ)是否被所述访问控制器(AC)授权访问所述目的网络，并据此对所述目的网络进行访问ο
13.—种网络访问控制系统，包括访问者(REQ)以及目的网络的访问控制器(AC)和鉴别服务器(AQ，其特征在于所述访问者(REQ)向所述访问控制器(AC)发送访问请求消息 (Ml)；所述访问控制器(AC)收到所述访问请求消息(Ml)后，构造接入鉴别请求消息(M2) 发送给所述访问者(REQ)；所述访问者(REQ)收到所述接入鉴别请求消息(Μ》后，构造身份鉴别请求消息(Μ； )发送给所述鉴别服务器(AQ ；所述鉴别服务器(AQ根据所述身份鉴别请求消息(M3)提供鉴别服务并产生可公开的鉴别结果，并根据所述可公开的鉴别结果构造身份鉴别响应消息(M4)发送给所述访问者(REQ)；所述访问者(REQ)收到所述身份鉴别响应消息(M4)后，根据所述身份鉴别响应消息(M4)中的所述可公开的鉴别结果构造接入鉴别响应消息(MQ发送给访问控制器(AC)；所述访问控制器(AC)收到所述接入鉴别响应消息(M5)后，根据所述接入鉴别响应消息(M5)中的所述可公开的鉴别结果以及一授权策略构造访问响应消息(M6)发送给访问者(REQ)。
全文摘要
本发明涉及一种网络访问控制方法及系统，该方法包括1)访问者REQ向目的网络中的访问控制器AC发送访问请求消息M1；2)访问控制器AC构造接入鉴别请求消息M2发送给访问者REQ；3)访问者REQ构造身份鉴别请求消息M3发送给目的网络的鉴别服务器AS；4)鉴别服务器AS构造身份鉴别响应消息M4发送给访问者REQ；5)访问者REQ构造接入鉴别响应消息M5发送给访问控制器AC；6)访问控制器AC构造访问响应消息M6发送给访问者REQ。本发明提供了一种能够满足对访问者进行访问控制的应用需求的网络访问控制方法及系统。
文档编号H04L9/32GK102231736SQ20111017098
公开日2011年11月2日 申请日期2011年6月23日 优先权日2010年10月13日
发明者周吉阳, 张莎, 曹军, 李剑雄, 杜志强, 王俊峰, 铁满霞 申请人:天维讯达无线电设备检测(北京)有限责任公司, 西安西电捷通无线网络通信股份有限公司