主权项 |
一种网络访问控制方法,其特征在于:所述网络访问控制方法包括:步骤1),一访问者(REQ)向一目的网络中的一访问控制器(AC)发送一访问请求消息(M1);所述访问请求消息(M1)中包括N<sub>REQ</sub>和Q<sub>REQ</sub>;其中,N<sub>REQ</sub>表示访问者(REQ)产生的随机数,Q<sub>REQ</sub>表示访问者(REQ)的访问请求;步骤2),所述访问控制器(AC)收到所述访问请求消息(M1)后,构造一接入鉴别请求消息(M2)发送给所述访问者(REQ);所述接入鉴别请求消息(M2)包括访问控制器(AC)的用以向鉴别服务器(AS)证明所述访问控制器(AC)身份的合法性的一第一身份鉴别信息(I1);所述第一身份鉴别信息(I1)是利用K<sub>AS</sub>,<sub>AC</sub>对N<sub>REQ</sub>进行对称密码运算后产生的结果,其中,K<sub>AS</sub>,<sub>AC</sub>是所述访问控制器(AC)和所述鉴别服务器(AS)之间的共享密钥;步骤3),访问者(REQ)收到所述接入鉴别请求消息(M2)后,构造一身份鉴别请求消息(M3)发送给所述目的网络的鉴别服务器(AS);所述身份鉴别请求消息(M3)中包括所述第一身份鉴别信息(I1)以及所述访问者(REQ)的用以向所述鉴别服务器(AS)证明所述访问者(REQ)身份的合法性的一第二身份鉴别信息(I2);所述第二身份鉴别信息(I2)是利用K<sub>AS</sub>,<sub>REQ</sub>对N<sub>REQ</sub>进行对称密码运算后产生的结果,其中,K<sub>AS</sub>,<sub>REQ</sub>是所述访问者(REQ)和所述鉴别服务器(AS)之间的共享密钥;步骤4),所述鉴别服务器(AS)收到所述身份鉴别请求消息(M3)后,利用K<sub>AS</sub>,<sub>AC</sub>对所述第一身份鉴别信息(I1)进行鉴别并得到对所述访问控制器(AC)的一第一鉴别结果以及利用K<sub>AS</sub>,<sub>REQ</sub>对所述第二身份鉴别信息(I2)进行鉴别并得到对所述访问者(REQ)的一第二鉴别结果;所述鉴别服务器(AS)将所述第一鉴别结果利用K<sub>AS</sub>,<sub>REQ</sub>进行加密形成对所述访问控制器(AC)的一第一可公开的鉴别结果(C1)以及将所述第二鉴别结果利用K<sub>AS</sub>,<sub>AC</sub>进行加密形成对所述访问者(REQ)的一第二可公开的鉴别结果(C2),所述鉴别服务器(AS)构造身份鉴别响应消息(M4)发送给所述访问者(REQ);所述身份鉴别响应消息(M4)包括所述第一可公开的鉴别结果(C1)及所述第二可公开的鉴别结果(C2);步骤5),所述访问者(REQ)收到身份鉴别响应消息(M4)后,解密所述第一可公开的鉴别结果(C1)获得所述第一鉴别结果,根据所述第一鉴别结果构造接入鉴别响应消息(M5)发送给访问控制器(AC);所述接入鉴别响应消息(M5)中包括第二可公开的鉴别结果(C2);步骤6),所述访问控制器(AC)收到所述接入鉴别响应消息(M5)后,解密所述第二可公开的鉴别结果(C2),得到所述第二鉴别结果,并根据一授权策略构造一访问响应消息(M6)发送给所述访问者(REQ);所述授权策略是指访问控制器(AC)对Q<sub>REQ</sub>进行授权的策略。 |