一种访问控制方法及系统的制作方法

文档序号:7702555阅读:208来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种访问控制方法及系统的制作方法
技术领域
本发明属信息安全技术中的网络安全应用领域,尤其涉及一种访问控制方法及系统。
背景技术
现有的网络访问控制方法中,通常在访问者向目的网络发起访问请求后,由目的网络中的访问控制器完成对访问者的鉴别和授权,从而实现对访问者的访问控制。在需要第三方,如鉴别服务器,参与身份鉴别的访问控制场景中,可能因为访问控制器自身或者是目的网络的原因,访问控制器无法直接与鉴别服务器连接而导致访问控制器无法直接使用鉴别服务器提供的鉴别服务。在这种情形下,现有的由访问控制器直接连接并使用鉴别服务器提供鉴别服务的访问控制方法将无法满足对访问者进行访问控制的实际应用需求。

发明内容
为了解决背景技术中存在的上述技术问题,本发明提供了一种能够满足对访问者进行访问控制的应用需求的访问控制方法及系统。本发明的技术解决方案是本发明提供了一种访问控制方法,其特殊之处在于 所述访问控制方法包括步骤1),一访问者REQ向一目的网络的一访问控制器AC发送一访问请求消息Ml ; 所述访问请求消息Ml包括Qkeq和所述访问者REQ用来向所述目的网络的一鉴别服务器AS 证明所述访问者REQ身份的合法性的一第二身份鉴别信息12 ;其中,Qkeq表示访问者REQ的访问请求;步骤2),所述访问控制器AC收到所述访问请求消息Ml后,构造一接入鉴别请求消息M2发送给所述访问者REQ ;所述接入鉴别请求消息M2包括所述访问控制器AC用以向所述访问者REQ证明所述访问控制器AC身份的合法性的一第一数字签名SIGl以及所述访问控制器AC用来向所述鉴别服务器AS证明所述访问控制器AC身份的合法性的一第一身份鉴别信息Il ;步骤3)所述访问者REQ收到所述接入鉴别请求消息M2后,构造一身份鉴别请求消息M3发送给所述鉴别服务器AS ;所述身份鉴别请求消息M3中包括所述第一身份鉴别信息Il以及第二身份鉴别信息12 ;步骤4),所述鉴别服务器AS收到所述身份鉴别请求消息(M3)后,对所述第一身份鉴别信息Il以及所述第二身份鉴别信息12进行验证,并产生对所述访问控制器AC的一第一可公开的鉴别结果Cl和对所述访问者REQ的一第二可公开的鉴别结果C2,所述鉴别服务器AS构造一身份鉴别响应消息M4发送给所述访问者REQ ;所述身份鉴别响应消息M4包括所述第一可公开的鉴别结果Cl和所述第二可公开的鉴别结果C2 ;步骤5),所述访问者REQ收到所述身份鉴别响应消息M4后,根据所述第一可公开的鉴别结果Cl对所述第一数字签名SIGl进行验证,并根据验证结果选择是否构造一接入
5鉴别响应消息M5发送给所述目的网络的访问控制器AC;如果发送,则所述接入鉴别响应消息M5中包括所述第二可公开的鉴别结果C2以及所述访问者REQ的用以向所述访问控制器 AC证明访问者REQ身份的合法性的一第二数字签名SIG2 ;步骤6),所述访问控制器AC收到所述接入鉴别响应消息M5后,根据所述第二可公开的鉴别结果C2验证所述第二数字签名SIG2,并根据验证结果及一授权策略构造一访问响应消息M6发送给所述访问者REQ,所述授权策略是指访问控制器AC对Qkeq进行授权的策略。上述访问者(REQ)和所述访问控制器(AC)均已持有所述鉴别服务器(AQ的公钥。上述步骤1)中,所述访问请求消息MI包括NkeqI IIkeqI Qeeq;其中,所述第二身份鉴别信息12为Ikeq ;所述Nkeq表示所述访问者REQ产生的随机数;11表示其前后两信息之间为串联。上述步骤2)中,所述第一身份鉴别信息Il为IAC,所述第一数字签名SIGl为
Sac(NeeqI INacI II圓),所述接入鉴别请求消息M2包括ν圓ι INacI IieeqI IiacI sAC(neeq| |nac| |ιΕΕ Q);其中,所述Na。表示所述访问控制器AC产生的随机数;IAa。表示所述访问控制器AC的身份鉴别信息。上述步骤3)包括步骤3. 1),所述访问者REQ收到所述接入鉴别请求消息M2后,判断Nkeq是否所述访问者REQ产生的随机数,若否,则执行步骤3. ;若是,则执行步骤3.3);步骤3. 2),所述访问者(REQ)丢弃所述鉴别请求消息M2 ;步骤3. 3),所述访问者(REQ)构造所述身份鉴别请求消息M3发送给所述鉴别服务器AS ;所述身份鉴别请求消息M3包括N’ EEQI I Nac I I Ieeq I I Iac ;其中,N’ EEQ为访问者REQ产生的随机数。上述步骤4)中,所述鉴别响应消息 M4 是 ReS(IKEQ) | Res (Iac) | Sas(N'eeq Res (IAC ))I Sas (NacI Res (Ieeq));其中,所述第一可公开的鉴别结果Cl为Res(IA。),Res (Iac)包含所述鉴别服务器AS对Iac的验证结果以及所述访问控制器AC的公钥;所述第二可公开的鉴别结果C2 为ReS(IKEQ),Res (Ieeq)包含所述鉴别服务器AS对Ikeq的验证结果以及所述访问者REQ 的公钥fAS(N’ EEQ| Res (Iac))表示所述鉴别服务器AS对N’ EEQ| Res (Iac)的数字签名, Sas (Nac Res (Ieeq))表示所述鉴别服务器AS对Nac | Res (Ieeq)的数字签名。上述步骤5)包括步骤5. 1),所述访问者REQ收到所述身份鉴别响应消息M4后,利用所述鉴别服务器AS的公钥验证签名^ (N’ EEQ| Res (Iac))的有效性;若有效,则执行步骤5. 2);若无效, 则执行步骤5. 6);步骤5.幻,所述访问者判断N’ EEQ是否与所述访问者REQ在步骤幻中发送给所述鉴别服务器AS的随机数N’· 一致,若一致,则执行步骤5. 3);若不一致,则执行步骤5. 6);步骤5. 3),所述访问者REQ根据鉴别结果Res (Iac)判断访问控制器AC的身份是否合法,若合法,则执行步骤5. 4);若不合法,则执行步骤5. 6);步骤5. 4),所述访问者REQ从Res (Iac)中获得所述访问控制器AC的公钥,并利用该公钥验证访问控制器AC在步骤2)中发送给所述访问者REQW ^(Nkeqι INacI IIeeq)的有效性,若有效,则执行步骤5. 5);若无效,则执行步骤5. 6);步骤5. 5),所述访问者REQ构造接入鉴别响应消息M5发送给所述访问控制器AC ;所述接入鉴别响应消息 M5 包括 ReS(IKEQ) I Sas(Nac) Res (Ieeq)) | Seeq (Neeq Nac| | Iac);其中, Seeq (Neeq I |Nac| |iAC)表示所述访问者REQ对NeeqI |Na。| |Ia。的签名,所述第二数字签名SIG2为 Sreq (Neeq I NacI Iac);步骤5.6),所述访问者REQ将终止访问。上述步骤6)包括步骤6. 1),所述访问控制器AC收到所述身份鉴别响应消息M5后,利用所述鉴别服务器AS的公钥验证Sas (Nac I I Res (Ieeq))的有效性;若有效,则执行步骤6. 2);若无效,则执行步骤6. 9); 步骤6. 2),所述访问控制器AC根据Res (Ieeq)判断所述访问者REQ是否合法,若合法,则执行步骤6. 3);若不合法,则执行步骤6. 9);步骤6. 3),所述访问控制器AC判断Nac是否与所述访问控制器AC在步骤2)中发送的随机数Na。一致,若一致,则执行步骤6. 4);若不一致,则执行步骤6. 9);步骤6. 4),所述访问控制器AC从Res (Ieeq)中获得所述访问者REQ的公钥,并利用该公钥验证sKEQ(Nkeq| |Nac| |Iac)的有效性,若有效,则执行步骤6.5);若无效,则执行步骤 6. 9);步骤6. 5),所述访问控制器AC判断Skeq(NkeqI |NAC| |lAC)中的^是否与所述访问控制器AC在步骤2)中发送的Iac—致,若一致,则执行步骤6. 6);若不一致,则执行步骤 6. 6);步骤6. 6),所述访问控制器AC判断Skeq (Neeq | | Nac | | Iac)中的Nac是否与所述访问控制器AC在步骤2)中发送的随机数Na。一致,若一致,则执行步骤6. 2. 7);若不一致,则执行步骤6. 9);步骤6. 7),所述访问控制器AC根据所述授权策略判断所述访问者REQ在步骤1) 中发送的访问请求Qkeq是否合法,若合法,则执行步骤6.8);若不一致,则执行步骤6. 9);步骤6. 8),所述访问控制器AC根据Qkeq构造应答数据,并构造访问响应消息M6发送给访问者REQ,所述访问响应消息M6包括所述应答数据,所述应答数据用于通知访问者 REQ是否有权访问所述目的网络;步骤6. 9),所述访问控制器AC拒绝访问者REQ的访问。上述授权策略调用自所述访问控制器AC或所述鉴别服务器AS;当所述授权策略调用自所述鉴别服务器AS时,步骤4)中的身份鉴别响应消息M4中的Res (Ikeq) | Res (Iac)
Sas(N'eeq Res (Iac)) I Sas(Nac) Res (Ieeq))修改为 Res (I細)| Res (Iac) | Sas(N'eeq Res (IA c)) I Sas (NacI Res (Ieeq) | | APas),其中APas表示所述授权策略,步骤5)中的接入鉴别响应消
息 M5 中的 Res (Ieeq) | | Sas (Nac | | Res (Ieeq) ) | | Seeq (Neeq | | Nac | | Iac)修改为 Res (Ieeq) | | Sas (Nac | Res (Ieeq) I IAPas) | ISkeq (N圆 | |Nac| |iAC)。一种访问控制系统,其特殊之处在于所述访问控制系统包括访问者REQ、访问控制器AC以及鉴别服务器AS ;所述访问者REQ向目的网络的访问控制器AC发送访问请求消息Ml ;所述访问控制器AC收到访问请求消息Ml后,构造接入鉴别请求消息M2发送给访问者REQ ;所述访问者REQ收到接入鉴别请求消息M2后,构造身份鉴别请求消息M3发送给鉴别服务器AS ;所述鉴别服务器(AS)对身份鉴别请求消息(M3)中所述的访问控制器(AC)的身份鉴别信息进行验证,并分别产生对访问控制器(AC)的可公开的鉴别结果构造身份鉴别响应消息M4发送给访问者REQ ;所述访问者REQ收到身份鉴别响应消息M4后,构造接入鉴别响应消息M5发送给目的网络的访问控制器AC ;所述访问控制器AC收到接入鉴别响应消息M5后,构造访问响应消息M6发送给访问者REQ。本发明的优点是本发明提出的网络访问控制方法及系统,是在有鉴别服务器参与且目的网络的访问控制器无法直接利用鉴别服务器提供的鉴别服务的情况下,完成对访问者身份的鉴别的网络访问控制方法。本发明基于非对称密码机制,在访问者提出访问请求后,由目的网络中的访问控制器对访问请求进行处理,并通过访问者向鉴别服务器发起对访问者身份的鉴别请求,目的网络中的访问控制器根据由访问者转发的鉴别服务器的可公开的鉴别结果完成对访问者身份的鉴别,并根据授权策略对鉴别成功的访问者进行授权管理。本发明解决了在访问控制器无法直接使用鉴别服务器提供的鉴别服务时而导致的无法实施访问控制的问题,满足了实际应用需求。


图1是本发明所提供的访问控制方法流程图。图2为本发明所提供的访问控制系统的工作简图。图3为图2中步骤Sl的框图。图4为图2中步骤S2的框图。图5为图2中步骤S3的框图。图6为图2中步骤S4的框图。图7为图2中步骤S5的框图。图8为图2中步骤S6的框图。
具体实施例方式请参考图2,本发明提供了一种访问控制系统100。访问控制系统100包括访问者 REQ、鉴别服务器AS以及访问控制器AC。在系统100工作之前,访问者REQ和访问控制器 AC均已持有鉴别服务器AS的公钥。请参考图1至图8,网络访问控制系统100是通过Sl S6六个步骤完成对访问者 REQ的鉴别和授权的。步骤Sl 请参考图3,访问者REQ向目的网络的访问控制器AC发送访问请求消息 Ml。访问请求消息Ml中含有Qkeq和访问者REQ的身份鉴别信息12。其中,Qkeq表示访问者 REQ的访问请求,身份鉴别信息12用来向鉴别服务器AS证明访问者REQ身份的合法性,下同。步骤S2 请参考图4,访问控制器AC收到访问请求消息Ml后,构造接入鉴别请求消息M2发送给访问者REQ。接入鉴别请求消息M2含有访问控制器AC的数字签名SIGl和身份鉴别信息II,数字签名SIGl用以向访问者REQ证明访问控制器AC身份的合法性,身份
8鉴别信息Il用来向鉴别服务器AS证明访问控制器AC身份的合法性。步骤S3 请参考图5,访问者REQ收到接入鉴别请求消息M2后,构造身份鉴别请求消息M3发送给鉴别服务器AS。身份鉴别请求消息M3中包含了访问控制器AC的身份鉴别信息II,以及访问者REQ的身份鉴别信息12。步骤S4 请参考图6,鉴别服务器AS对身份鉴别请求消息M3中所述的访问控制器 AC的身份鉴别信息Il以及访问者REQ的身份鉴别信息12进行验证,并分别产生对访问控制器AC的可公开的鉴别结果Cl和对访问者REQ的可公开的鉴别结果C2,鉴别服务器AS构造身份鉴别响应消息M4发送给访问者REQ。其中,身份鉴别响应消息M4包含所述可公开的鉴别结果Cl和C2。步骤S5 请参考图7,访问者REQ收到身份鉴别响应消息M4后,根据可公开的鉴别结果Cl对所述数字签名SIGl进行验证,并根据验证结果选择是否构造接入鉴别响应消息 M5发送给目的网络的访问控制器AC。如果发送,则接入鉴别响应消息M5中包含所述可公开的鉴别结果C2以及访问者REQ的数字签名SIG2。数字签名SIG2用以向访问控制器AC 证明访问者REQ身份的合法性。步骤S6 请参考图8,访问控制器AC收到接入鉴别响应消息M5后,根据可公开的鉴别结果C2验证数字签名SIG2,并根据验证结果及授权策略构造访问响应消息M6发送给访问者REQ,访问响应消息M6中包含是否授权访问者REQ对所述目的网络进行访问的信息。 至此,完成本发明对访问者REQ的鉴别和授权的过程。其中,所述授权策略是指访问控制器 AC对访问者REQ的访问请求Qkeq进行授权的策略,所述授权策略可以来自某一服务器,例如鉴别服务器AS,也可以来自访问控制器AC本地。所述授权策略已事先内置于所述鉴别服务器AS或访问控制器AC中,本发明仅对所述授权策略进行调用。按照步骤Sl S6所示之方法运作系统100,即可实现对访问者REQ的鉴别和授权,以满足对访问者进行访问控制的实际应用需求。上述步骤Sl的一种具体实施例是访问者REQ构造NkeqI I IeeJ Qeeq发送给访问控制器AC,在本实施例中 Neeq ι I Ieeq Ι I Qeeq即为访问请求消息Ml,在其他实施例中,请求消息Ml还可为其他消息且所述
其他消息中至少包含NkeqI IIkeqI |Qkeq。
其中,Ikeq表示访问者REQ的身份鉴别信息,即身份鉴别信息12,用来向鉴别服务器AS证明访问者REQ身份的合法性,Nkeq表示访问者REQ产生的随机数,“| |”表示其前后两信息之间为串联,下同。上述步骤S2的一种具体实施例是访问控制器AC收到访问请求消息Ml即NkeqI | IEEQ| | Qkeq后,构造接入鉴别请求消息 M2即NkeqI |nac| IieeJ |iAC| sAC(neeq| |nac| |iEEQ)发送给访问者req,在其他实施例中,接入鉴别请求消息m2 为一至少包含 neeqI nac| iieej |iac| sac(neeq| nac| |ieeq)的消息。其中,Na。表示访问控制器AC产生的随机数,^表示访问控制器AC的身份鉴别信息,即身份鉴别信息II,用来向鉴别服务器AS证明访问控制器AC身份的合法性, Sac (Neeq I I Nac I I Ieeq)表示访问控制器AC对Neeq I I Nac | | Ieeq的签名,即数字签名SIGl。上述步骤S3的一种具体实施例是访问者REQ 收到接入鉴别请求消息 M2 即 NkeqI Nac| | Ieeq| | Iac| Sac(Neeq| Nac| | Ieeq)后,首先判断Nkeq是否访问者REQ产生的随机数,如果不是,丢弃该鉴别请求消息M2 ;如果是,构造身份鉴别请求消息M3即N’keq| INacI IIkeqI Ι Iac发送给鉴别服务器AS。其中,N’khj为访问者REQ产生的随机数,下同。在其他实施例中,身份鉴别请求消息M3为一至少包含N’ EEQ| INacI IieeqI |iAC的消肩、ο上述步骤S4的一种具体实施例是鉴别服务器AS收到访问者REQ的身份鉴别请求消息M3即N,keq| INac| | Ikeq| | Iac后, 验证 I·和 IAC,并构造鉴别响应消息 M4 即 Res (Ieeq) | | Res (Iac) | | Sas (N,EEQ | | Res (Iac) ) | | Sas (Nac ι ι Res (Ieeq))发送给访问者 REQ。其中,Res (Iac)即为可公开的鉴别结果Cl,其中包含鉴别服务器AS对Iac的验证结果以及访问控制器AC的公钥;ReS(IKEQ)即为可公开的鉴别结果C2,其中包含鉴别服务器AS 对Ikeq的验证结果以及访问者REQ的公钥fAS(N’KEQ| Res(IJ)和^(Nac| Res (Ieeq))分别表示鉴别服务器AS对N’ EEQ Res (Iac)和NiJ Res (Ieeq)的数字签名。在其他实施例中,鉴别响应消息M4为一至少包含ReS(IKEQ) I Res (Iac) | Sas(N'eeq| Res(IAC)) I Sas(Nac) Res (Ieeq))的消息。上述步骤S5的一种具体实施例是访问者REQ收到鉴别服务器AS的身份鉴别响应消息M4即Res (Ieeq) | | Res (Iac) | Sas(N'eeq| Res (Iac)) I Sas (Nac I Res (Ieeq))后,首先利用所述鉴别服务器AS的公钥验证签名 Sas(N'eeq| Res (Iac))的有效性,若有效,则判断N’keq是否与访问者REQ在步骤S3中发送给鉴别服务器AS的随机数N’· 一致,若一致,则访问者REQ根据鉴别结果ResdJ即可公开的鉴别结果Cl,判断访问控制器AC的身份是否合法,若合法,则从Res (IJ中获得所述访问控制器AC的公钥,并利用该公钥验证访问控制器AC在步骤S2中发送给访问者REQ的数字签名SIGi即^(NkeqI INacI IIeeq)的有效性,若有效,则访问者req构造接入鉴别响应消息 M5 即 ReS(IKEQ) I Sas (Nac Res (Ieeq)) | Seeq (Neeq Nac| | Iac)发送给访问控制器 AC,该消息中包含可公开的鉴别结果C2即Res (Ikeq),该消息中的Skeq(Nkeq| Nac| | Iac)表示访问者REQ对 NeeqI Nac I Iac的签名,即数字签名SIG2。若验证签名Sas (N,細I I Res (Iac))无效,或虽然验证签名Sas (N,細| | Res (Iac))有效但判断随机数N’ KEQ不一致,或虽然验证签名^ (N’ EEQ| Res (Iac))有效且判断随机数N’ EEQ 一致但判断访问控制器AC身份非法,或虽然验证签名^ (N’ EEQ| Res (Iac))有效且判断随机数N’ KEQ—致且判断访问控制器AC身份合法但验证签名ac(Nkeq| INacI |Ieeq)无效,则访问者REQ将终止访问。在其他实施例中,接入鉴别响应消息M5为一至少包含Res (Ieeq) | | Sas (Nac | | Res (Iee q)) I Seeq(neeqι INacI |iac)的消息。上述步骤S6的一种具体实施例是访问控制器AC收到访问者REQ的身份鉴别响应消息M5即Res (Ieeq) | | Sas (N Acl Res(W) I Seeq(Neeqι InacI |IAC)后,首先利用所述鉴别服务器as的公钥验证签名 Sas(Nac| Res(W)的有效性,若有效,则根据Res (Ikeq)即可公开的鉴别结果C2判断访问者REQ是否合法,若合法,则判断Nac是否与访问控制器AC在步骤S2中发送的随机数 Nac 一致,若一致,则访问控制器AC从Res (Ieeq)中获得所述访问者REQ的公钥,并利用该公钥验证签名sKEQ(nkeqI |Nac| |iAC)的有效性,若有效,则访问控制器ac判断包含在该签名 Seeq(neeqI |nac| |iAC)中的iAe是否与访问控制器Ac在步骤S2中发送的iAe—致,若一致,则判断签名sKEQ(nkeq| |Nac| |Iac)中的Nac是否与访问控制器ac在步骤S2中发送的随机数Nac 一致,若一致,则访问控制器AC根据所述授权策略判断访问者REQ在步骤Sl中发送的访问请求Qkeq是否合法,若合法,则根据Qkeq构造应答数据,并构造访问响应消息M6发送给访问者REQ,访问响应消息M6包含所述应答数据发送给访问者REQ,所述应答数据用于通知访问者REQ是否有权访问所述目的网络。借此,访问者REQ对于所述目的网络的访问行为得以受到控制。其中,访问控制器AC对访问者REQ的授权策略可以来自本地,也可以由其他服务器如鉴别服务器AS提供,当由鉴别服务器AS提供时,则需要将步骤S4的身份鉴别响应消息 M4 即 Res (Ikeq) | Res (Iac) | Sas (N' EEQ| Res (Iac)) | Sas (Nac Res (Ieeq))修改为 Res (I細)
Res (Iac) I Sas(N'eeq Res (Iac)) | Sas(Nac) Res (Ieeq) | | APas),其中 APas 表示所述授权策略, 此时步骤 S5 中的接入鉴别响应消息 M5 即 Res (Ikeq) | Sas (Nac Res (Ieeq)) | Seeq (Neeq Nac| 11 ac)需相应修改为 Res (I圃)I I Sas (Nac I Res (Ieeq) | APas) I I Sreq (Nreq | I Nac | | Iac)。若验证签名^ (Nac I I Res (Ieeq))无效,或虽然验证签名^ (Nac | | Res (Ieeq))有效但判断访问者REQ非法,或虽然验证签名i5AS(NAC| Res (Ieeq))有效且判断访问者REQ合法但判断随机数Nac不一致,或虽然验证签名i5AS(NAC| Res (Ieeq))有效且判断访问者REQ合法且判断随机数Nac —致但验证签名Skeq (Nkeq I Nac| |IAC)无效,或虽然验证签名^ (Nac I Res (Ieeq)) 有效且判断访问者REQ合法且判断随机数Nac —致且验证签名sKEQ(NkeqI INacI |Iac)有效但判断签名Skeq(NkeqI INacI |Iac)中的iAe与访问控制器AC的身份信息不一致,或虽然验证签名i5AS(NAC| Res (Ieeq))有效且判断访问者REQ合法且判断随机数Nac—致且验证签名Skeq(NkeqI INacI |Iac)有效且判断签名Skeq(nkeq| |Nac| |Iac)中的iAC与访问控制器AC 的身份信息一致但判断签名sKEQ(Nkeq| |Nac| |Iac)中的随机数Na。不一致,或虽然验证签名i5AS(NAC| Res (Ieeq))有效且判断访问者REQ合法且判断随机数Na。一致且验证签名 Seeq(Neeq I |Nac| |iAC)有效且判断签名Skeq(Nkeq| |Nac| |Iac)中的iAC与访问控制器AC的身份信息一致且判断签名Skeq(NkeqI INacI I Iac)中的随机数Nac —致但判断访问者REQ在步骤Sl中发送的访问请求Qkeq不合法,则访问控制器AC都将拒绝访问者REQ的访问。综上所述,本发明基于非对称密码技术中的数字签名及验证机制,实现了在访问控制器AC无法直接使用鉴别服务器AS提供的鉴别服务时、由访问者REQ与鉴别服务器AS 之间完成鉴别并由访问控制器AC完成对访问者REQ进行授权的访问控制过程。
1权利要求
1.一种访问控制方法,其特征在于所述访问控制方法包括步骤1),一访问者(req)向一目的网络的一访问控制器(ac)发送一访问请求消息 (ml);所述访问请求消息(ml)包括qkeq和所述访问者(req)用来向所述目的网络的一鉴别服务器(aq证明所述访问者(req)身份的合法性的一第二身份鉴别信息12 ;其中,qkeq表示所述访问者(req)的访问请求;步骤幻,所述访问控制器(ac)收到所述访问请求消息(ml)后,构造一接入鉴别请求消息(m》发送给所述访问者(req);所述接入鉴别请求消息(μ》包括所述访问控制器 (ac)的用以向所述访问者(req)证明所述访问控制器(ac)身份的合法性的一第一数字签名(sigl)以及所述访问控制器(ac)的用来向所述鉴别服务器(aq证明所述访问控制器 (ac)身份的合法性的一第一身份鉴别信息(il);步骤幻,所述访问者(req)收到所述接入鉴别请求消息(μ》后,构造一身份鉴别请求消息(μ; )发送给所述鉴别服务器(aq ;所述身份鉴别请求消息(μ; )中包括所述第一身份鉴别信息(il)以及所述第二身份鉴别信息(12);步骤4),所述鉴别服务器(aq收到所述身份鉴别请求消息(μ; )后,对所述第一身份鉴别信息(il)以及所述第二身份鉴别信息(12)进行鉴别,并产生对所述访问控制器(ac) 的一第一可公开的鉴别结果(cl)和对所述访问者(req)的一第二可公开的鉴别结果(c2), 所述鉴别服务器(aq构造一身份鉴别响应消息(m4)发送给所述访问者(req);所述身份鉴别响应消息(m4)包括所述第一可公开的鉴别结果(cl)和所述第二可公开的鉴别结果 (c2);步骤5),所述访问者(req)收到所述身份鉴别响应消息(m4)后,根据所述第一可公开的鉴别结果(cl)对所述第一数字签名(sigl)进行验证,并根据验证结果选择是否构造一接入鉴别响应消息(m5)发送给所述访问控制器(ac);如果发送,则所述接入鉴别响应消息 (m5)包括所述第二可公开的鉴别结果(c2)以及所述访问者(req)的用以向所述访问控制器(ac)证明所述访问者(req)身份的合法性一第二数字签名(sig2);步骤6),所述访问控制器(ac)收到所述接入鉴别响应消息(ik)后,根据所述第二可公开的鉴别结果(c2)验证所述第二数字签名(sig2),并根据验证结果及一授权策略构造一访问响应消息(m6)发送给所述访问者(req);所述授权策略是所述访问控制器(ac)对qkeq 进行授权的策略。
2.根据权利要求1所述的访问控制方法,其特征在于所述访问者(req)和所述访问控制器(ac)均已持有所述鉴别服务器(as)的公钥。
3.根据权利要求2所述的访问控制方法,其特征在于所述步骤1)中,所述访问请求消息(mi)包括 nkeqi iikeqi qeeq ;其中,所述第二身份鉴别信息(1 为ikeq ;nkeq表示所述访问者(req)产生的随机数; i表示其前后两信息之间为串联。
4.根据权利要求3所述的访问控制方法,其特征在于所述步骤幻中,所述第一身份鉴别信息(il)为iae,所述第一数字签名(sigl)为^(nkeqi i na。i iikeq),所述接入鉴别请求消息(m2)包含nkeq| nac| iieej |iac| i sac(neeq11nac11 ikeq),其中,nac表示所述访问控制器(ac) 产生的随机数,iaa。表示所述访问控制器(ac)的身份鉴别信息。
5.根据权利要求4所述的访问控制方法,其特征在于所述步骤幻包括步骤3. 1),所述访问者(REQ)收到所述接入鉴别请求消息(M2)后,判断Nkeq是否所述访问者(REQ)产生的随机数,若否,则执行步骤3. 2);若是,则执行步骤3. 3); 步骤3. ,所述访问者(REQ)丢弃所述鉴别请求消息(M2);步骤3.幻,所述访问者(REQ)构造所述身份鉴别请求消息(Μ; )发送给所述鉴别服务器 (AS);所述身份鉴别请求消息(M3)包括N’ EEQ| INacI IIeeqI |iAC; 其中,N’ ■为所述访问者(REQ)产生的随机数。
6.根据权利要求5所述的访问控制方法,其特征在于所述步骤4)中,所述鉴别响应消息(M4)包括 Res (I國)I Res (Iac) | Sas (N' EEQ Res (Iac)) | Sas(Nac) Res (Ieeq));其中,所述第一可公开的鉴别结果(Cl)为ResdJ,Res (Iac)包含所述鉴别服务器 (AS)对Iac的验证结果以及所述访问控制器(AC)的公钥;所述第二可公开的鉴别结果(C2) 为Res (Ikeq),Res (Ikeq)包含所述鉴别服务器(AQ对Ikeq的验证结果以及所述访问者(REQ) 的公钥Aas (N’ EEQ| Res (Iac))表示所述鉴别服务器(AS)对N’ EEQ| Res (Iac)的数字签名, Sas(Nac| Res (Ieeq))表示所述鉴别服务器(AS)对NiJ Res (Ieeq)的数字签名。
7.根据权利要求6所述的访问控制方法,其特征在于所述步骤幻包括步骤5. 1),所述访问者(REQ)收到所述身份鉴别响应消息(M4)后,利用所述鉴别服务器(AS)的公钥验证^ (N’ EEQ| Res (Iac))的有效性;若有效,则执行步骤5. 2);若无效,则执行步骤5. 6);步骤5. ,所述访问者(REQ)判断N’·是否与所述访问者(REQ)在步骤幻中发送给所述鉴别服务器(AQ的N’· 一致,若一致,则执行步骤5. ;若不一致,则执行步骤5. 6); 步骤5. 3),所述访问者(REQ)根据Res(IA。)判断所述访问控制器(AC)的身份是否合法,若合法,则执行步骤5. 4);若不合法,则执行步骤5. 6);步骤5. 4),所述访问者(REQ) WResdJ中获得所述访问控制器(AC)的公钥, 并利用该公钥验证所述访问控制器(AC)在步骤2)中发送给所述访问者(REQ)的 sAC(neeqI |nac| Iieeq)的有效性,若有效,则执行步骤5.幻;若无效,则执行步骤5.6);步骤5.…,所述访问者(REQ)构造所述接入鉴别响应消息(iK)发送给所述访问控制器 (AC);所述接入鉴别响应消息(M5)包括 ReS(IKEQ) I Sas(Nac) Res (Ieeq)) | Seeq (Neeq| Nac| | Ia c);其中,Skeq(NkeqI InacI |iac)表示所述访问者(req)对nkeq| Inac11 Iac的签名,所述第二数字签名(SIG2)为 sKEQ (Nkeq ι InacI |iAC);步骤5. 6),所述访问者(REQ)将终止访问。
8.根据权利要求7所述的访问控制方法,其特征在于所述步骤6)包括步骤6. 1),所述访问控制器(AC)收到所述身份鉴别响应消息(M5)后,利用所述鉴别服务器(AS)的公钥验证^ (Nac I Res (Ieeq))的有效性;若有效,则执行步骤6. 2);若无效,则执行步骤6. 9);步骤6.幻,所述访问控制器(AC)根据ReS(IKEQ)判断所述访问者(REQ)是否合法,若合法,则执行步骤6. 3);若非法,则执行步骤6. 9);步骤6. ,所述访问控制器(AC)判断Na。是否与所述访问控制器(AC)在步骤幻中发送的Nac—致,若一致,则执行步骤6. 4);若不一致,则执行步骤6. 9)步骤6. 4),所述访问控制器(AC)从Res (Ikeq)中获得所述访问者(REQ)的公钥,并利用该公钥验证Skeq(NkeqI INacI |Iac)的有效性,若有效,则执行步骤6.5);若无效,则执行步骤·6. 9);步骤6.5),所述访问控制器(ac)判断skeq(nkeqI InacI |iac)中的iac是否与所述访问控制器(Ac)在步骤2)中发送的Iac—致,若一致,则执行步骤6. 6);若不一致,则执行步骤 6. 9);步骤6.6),所述访问控制器(AC)判断sKEQ(nkeqI InacI |Iac)中的na。是否与所述访问控制器(Ac)在步骤2)中发送的Na。一致,若一致,则执行步骤6. 7);若不一致,则执行步骤 6. 9);步骤6. 7),所述访问控制器(AC)根据所述授权策略判断访问者(REQ)在步骤1)中发送的Qkeq是否合法,若合法,则执行步骤6. 8);若非法,则执行步骤6. 9);步骤6. 8),所述访问控制器(AC)根据Qkeq构造一应答数据,并构造所述访问响应消息 (M6)发送给所述访问者(REQ),所述访问响应消息(M6)包括所述应答数据,所述应答数据用于通知所述访问者(REQ)是否有权访问所述目的网络;步骤6. 9),所述访问控制器(AC)拒绝所述访问者(REQ)的访问。
9.根据权利要求8所述的访问控制方法,其特征在于所述授权策略调用自所述访问控制器(AC)或所述鉴别服务器(AQ ;当所述授权策略调用自所述鉴别服务器(AQ时,步骤 4)中的身份鉴别响应消息(M4)中的 Res(ikeq) i Res (iac) | sas(n'eeq Res (iac)) | sas (nacRes (Ieeq))修改为 Res (Ikeq) | Res (Iac) | Sas(N'eeq Res (Iac)) | Sas(Nac) Res (Ieeq) | |APas), 其中APas表示所述授权策略,步骤5)中的接入鉴别响应消息(M5)中的ReS(IKEQ) I Sas(NacI Res(W) I Seeq(neeqι InacI |iAC)修改为Res(Ikeq) I sas(nac| Res(Ieeq) | IAPas) | Iskeq(N圃| |nac I I Iac) °
10.一种访问控制系统,包括访问者(REQ)、目的网络的访问控制器(AC)以及鉴别服务器(AQ,其特征在于所述访问者(REQ)向所述访问控制器(AC)发送访问请求消息(Ml); 所述访问控制器(AC)收到所述访问请求消息(Ml)后,构造接入鉴别请求消息(M2)发送给所述访问者(REQ),所述接入鉴别请求消息(IC)含有所述访问控制器(AC)的第一数字签名(SIGl);所述访问者(REQ)收到所述接入鉴别请求消息(Μ》后,构造身份鉴别请求消息(M3)发送给所述鉴别服务器(AS);所述鉴别服务器(AS)根据所述身份鉴别请求消息 (M3)提供鉴别服务并产生可公开的鉴别结果,并根据所述可公开的鉴别结果构造身份鉴别响应消息(M4)发送给所述访问者(REQ);所述访问者(REQ)收到所述身份鉴别响应消息 (M4)后,根据所述身份鉴别响应消息(M4)中的所述可公开的鉴别结果验证所述第一数字签名(SIGl)并根据验证结果构造接入鉴别响应消息(M5)发送给所述访问控制器(AC),所述接入鉴别响应消息(MO包含所述访问者(REQ)的第二数字签名(SIG》;所述访问控制器(AC)收到所述接入鉴别响应消息(M5)后,根据所述接入鉴别响应消息(M5)中的所述可公开的鉴别结果验证所述第二数字签名(SIG2),并根据验证结果以及一授权策略构造访问响应消息(M6)发送给所述访问者(REQ)。
全文摘要
一种访问控制方法及系统,该方法包括1)访问者REQ向访问控制器AC发送访问请求消息M1;2)访问控制器AC接入鉴别请求消息M2发送给访问者REQ;3)访问者REQ构造身份鉴别请求消息M3发送给鉴别服务器AS;4)鉴别服务器AS构造身份鉴别响应消息M4发送给访问者REQ;5)访问者REQ构造接入鉴别响应消息M5发送给目的网络的访问控制器AC;6)访问控制器AC构造一访问响应消息M6发送给访问者REQ。本发明提供了一种能够满足对访问者进行访问控制的应用需求的访问控制方法及系统。
文档编号H04L29/06GK102202065SQ20111017098
公开日2011年9月28日 申请日期2011年6月23日 优先权日2010年10月13日
发明者刘晓勇, 曹军, 杜志强, 王俊峰, 铁满霞, 陶洪波, 黄振海 申请人:天维讯达无线电设备检测(北京)有限责任公司, 西安西电捷通无线网络通信股份有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:王俊峰;杜志强;铁满霞;黄振海;曹军;陶洪波;刘晓勇
  • 技术所有人:天维讯达无线电设备检测(北京)有限责任公司;西安西电捷通无线网络通信股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
信息系统访问控制机制相关技术
访问控制系统相关技术
信息系统访问控制策略相关技术
令牌环访问控制方法相关技术
自主型访问控制方法相关技术
访问控制方法相关技术
有哪几种访问控制策略相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2