WO2012048552A1 - 网络访问控制方法及系统 - Google Patents

网络访问控制方法及系统 Download PDF

Info

Publication number
WO2012048552A1
WO2012048552A1 PCT/CN2011/071821 CN2011071821W WO2012048552A1 WO 2012048552 A1 WO2012048552 A1 WO 2012048552A1 CN 2011071821 W CN2011071821 W CN 2011071821W WO 2012048552 A1 WO2012048552 A1 WO 2012048552A1
Authority
WO
WIPO (PCT)
Prior art keywords
authentication
visitor
access
identity
req
Prior art date
Application number
PCT/CN2011/071821
Other languages
English (en)
French (fr)
Inventor
杜志强
铁满霞
黄振海
曹军
Original Assignee
西安西电捷通无线网络通信股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from CN201010506041XA external-priority patent/CN101958908B/zh
Application filed by 西安西电捷通无线网络通信股份有限公司 filed Critical 西安西电捷通无线网络通信股份有限公司
Priority to JP2013533072A priority Critical patent/JP5624219B2/ja
Priority to US13/879,136 priority patent/US9038143B2/en
Priority to KR1020137012247A priority patent/KR101515312B1/ko
Publication of WO2012048552A1 publication Critical patent/WO2012048552A1/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Definitions

  • the present invention belongs to the field of network security applications in information security technologies, and in particular, to a network access control method and system. Background technique
  • the access controller in the destination network completes the authentication and authorization of the visitor, thereby implementing access control to the visitor.
  • the access controller may not be directly connected to the authentication server because of access to the controller itself or the destination network, resulting in failure to directly use the authentication server. Identification service.
  • the prior art access control method in which the access controller directly connects and uses the authentication server to provide the authentication service will not be able to satisfy the actual application requirements for access control of the visitor. Summary of the invention
  • the present invention provides an access control method and system capable of satisfying application requirements for access control of a visitor.
  • the present invention provides a network access control method, including:
  • Step 1) the visitor sends an access request message to an access controller of the destination network, where The access request message includes an access request of the visitor;
  • Step 2) after receiving the access request message, the access controller constructs an access authentication request message including the first identity authentication information, and sends the access authentication request message to the visitor;
  • the first identity authentication information is the access control Identification information of the device;
  • Step 3 After the visitor receives the access authentication request message, construct an identity authentication request message to be sent to an authentication server of the destination network, where the identity authentication request message includes the first identity authentication information. And second identity authentication information; the second identity authentication information is identity authentication information of the visitor;
  • Step 4 after receiving the identity authentication request message, the authentication server generates a first authentication result that is authenticated by the access controller according to the first identity authentication information, and performs authentication according to the second identity.
  • the information generates a second authentication result that is authenticated by the visitor; the authentication server constructs an identity authentication response message and sends the identifier to the visitor, where the identity authentication response message includes the first authentication result and the second Identification result;
  • Step 5 after receiving the identity authentication response message, the visitor constructs an access authentication response message according to the first authentication result, and sends the message to the access controller, where the access authentication response message includes the Second identification result;
  • Step 6 after receiving the access authentication response message, the access controller constructs an access response message to be sent to the visitor according to the second authentication result and an authorization policy, where the authorization policy is Is a policy for the access controller to authorize the access request.
  • the invention also provides an access device, comprising:
  • An access request interaction module configured to send an access request message to an access controller of a destination network, and receive an access authentication request message that includes the first identity authentication information sent by the access controller; the first identity authentication information Is identity authentication information of the access controller;
  • the authentication request interaction module is configured to send an identity authentication request message to an authentication server of the destination network, where the identity authentication request message includes the first identity authentication information and the second identity authentication information, and the second identity authentication information Is the identity authentication information of the visitor; and receiving an identity authentication response message sent by the authentication server, where the identity authentication response message includes a Determining, by the first identity authentication information, a first authentication result after performing identity authentication on the access controller, and a second authentication result after performing identity authentication on the visitor according to the second identity authentication information; And an interaction module, configured to send, according to the first authentication result, an access authentication response message that includes the second authentication result to the access controller, and receive an access response message sent by the accessor.
  • the invention also provides an authentication server, comprising:
  • An authentication request receiving module configured to receive an identity authentication request message sent by a visitor, where the identity authentication request message includes first identity authentication information of the destination network one access controller and second identity authentication information of the visitor;
  • An authentication execution module configured to generate, according to the first identity authentication information, a first authentication result after performing identity authentication on the access controller, and generate identity authentication by using the second identity authentication information Second identification result;
  • the authentication response sending module is configured to send an identity authentication response message to the visitor, where the identity authentication response message includes the first authentication result and the second authentication result.
  • the invention also provides an access controller, comprising:
  • An access request receiving module configured to receive an access request message sent by a visitor
  • an access authentication request constructing module configured to send an access authentication request message including the first identity authentication information to the visitor;
  • the first identity authentication information is identity authentication information of the access controller;
  • An access authentication response receiving module configured to receive an access authentication response message sent by the visitor to obtain a second authentication result, where the access authentication response message is configured by the visitor according to the first authentication result; And the second authentication result is sent by the authentication server to the visitor by using an identity authentication response message; wherein the first authentication result is included in the identity authentication request message sent by the authentication server according to the visitor
  • the first identity authentication information is generated after performing identity authentication on the access controller, and the second authentication result is determined by the authentication server according to the second identity authentication information included in the identity authentication request message, The visitor generates an identity after the identity is generated;
  • the access response sending module is configured to send an access response message to the visitor according to the obtained second authentication result and the authorization policy.
  • the invention also provides a network access control system, comprising: a visitor, an access controller of the destination network, and an authentication server; wherein:
  • the visitor is configured to send an access request message to the access controller, and receive an access authentication request message that is sent by the access controller and includes first identity authentication information; the first identity authentication information is Accessing the identity authentication information of the controller;
  • an identity authentication request message including the first identity authentication information and the second identity authentication information, where the second identity authentication information is identity authentication information of the visitor, and receiving the identity server to send An identity authentication response message including a first authentication result and a second authentication result;
  • the access controller is configured to receive the access request message, and send the access authentication request message;
  • the authentication server is configured to perform identity authentication on the access controller according to the first identity authentication information sent by the visitor to obtain a first authentication result; and generate second identity authentication information according to the visitor. Performing identity authentication on the visitor to obtain a second authentication result; and transmitting an identity authentication response message including the first authentication result and the second authentication result to the visitor.
  • the network access control method and system proposed by the present invention completes a network access control method for authenticating a visitor identity in the case where an authentication server participates and the access controller of the destination network cannot directly utilize the authentication service provided by the authentication server.
  • the invention is based on a cryptographic mechanism, which is provided by the visitor After the access request is made, the access controller in the destination network processes the access request, and the visitor initiates an authentication request for the identity of the visitor to the authentication server, and the access controller in the destination network according to the authentication server forwarded by the visitor
  • the publicly identifiable authentication result completes the identification of the identity of the visitor, and authorizes the successful authenticated visitor according to the authorization policy.
  • the present invention solves the problem that the access control cannot be implemented when the access controller cannot directly use the authentication service provided by the authentication server, and the present invention can fully satisfy the practical application requirements for access control of the visitor.
  • FIG. 1 is a flow chart of a network access control method provided by the present invention.
  • FIG. 2 is a schematic diagram of the operation of the network access control system provided by the present invention.
  • FIG. 3 is a detailed block diagram of step S1 in Figure 2.
  • FIG. 4 is a detailed block diagram of step S2 in Figure 2.
  • FIG. 5 is a detailed block diagram of step S3 in Figure 2.
  • FIG. 6 is a detailed block diagram of step S4 in Figure 2.
  • FIG. 7 is a detailed block diagram of step S5 in Figure 2.
  • FIG 8 is a detailed block diagram of step S6 in Figure 2. Detailed ways
  • the present invention provides a network access control system 100.
  • the access control system 100 includes a visitor REQ, an authentication server AS, and an access controller AC. Prior to the operation of the system 100, authentication information for verifying mutual identities has been shared between the visitor REQ and the authentication server AS, between the access controller AC and the authentication server AS, respectively.
  • the network access control system 100 completes the authentication and authorization of the visitor REQ through six steps S1 to S6.
  • Step S1 Referring to FIG. 3, the visitor REQ sends an access request message M1 to the access controller AC of the destination network.
  • the access request message M1 contains QRE Q .
  • QREQ represents the access request of the visitor REQ, the same below.
  • Step S2 Referring to FIG. 4, after receiving the access request message M1, the access controller AC of the destination network sends an access authentication request message M2 to the visitor REQ.
  • the access authentication request message M2 contains the identity authentication information II of the access controller AC, and the identity authentication information II is used to prove the validity of the access controller AC identity to the authentication server AS.
  • Step S3 Referring to FIG. 5, after the visitor REQ receives the access authentication request message M2, the constructive identity authentication request message M3 is sent to the authentication server AS.
  • the identity authentication request message M3 includes the identity authentication information II and the identity authentication information 12 of the visitor REQ.
  • the identity authentication information 12 is used to prove the legitimacy of the visitor REQ identity to the authentication server AS.
  • Step S4 Referring to FIG. 6, the authentication server AS provides an authentication service according to the identity authentication request message M3 and generates a publicly identifiable authentication result, that is, generates the access controller AC according to the identity authentication information II and 12 in the identity authentication request message M3.
  • the publicly available authentication result C1 and the publicly available authentication result C2 of the visitor REQ the authentication server AS, based on the publicly available authentication results C1 and C2, construct an identity authentication response message M4 to be sent to the visitor REQ.
  • the identity authentication response message M4 includes the publicly available authentication results C1 and C2.
  • Step S5 Referring to FIG. 7, after the visitor REQ receives the identity authentication response message M4, the access authentication response message M1 is constructed according to the publicly available authentication result C1 and sent to the access controller AC of the destination network.
  • the access authentication response message M5 includes a publicly available authentication result C2;
  • Step S6 Referring to FIG. 8, the access controller AC constructs an access response message M6 to the visitor REQ according to the authentication result C2 and the authorization policy that the authentication server AS can disclose. So far, the process of authenticating and authorizing the visitor REQ of the present invention has been completed.
  • the authorization policy refers to a policy for the access controller AC to authorize the visitor REQ to request the QREQ, and the authorization policy may be from a certain server, such as the authentication server AS, or may be from the access controller AC local.
  • the authorization policy has been previously built in the authentication server AS or the access controller AC, and the present invention only invokes the authorization policy.
  • the present invention further provides an access device, including: An access request interaction module, configured to send an access request message to an access controller of a destination network, and receive an access authentication request message that includes the first identity authentication information sent by the access controller; the first identity authentication information Is identity authentication information of the access controller;
  • the authentication request interaction module is configured to send an identity authentication request message to an authentication server of the destination network, where the identity authentication request message includes the first identity authentication information and the second identity authentication information, and the second identity authentication information Is the identity authentication information of the visitor; and receiving an identity authentication response message sent by the authentication server, where the identity authentication response message includes performing identity authentication on the access controller according to the first identity authentication information.
  • a first authentication result and a second authentication result after authenticating the visitor according to the second identity authentication information; an authentication result interaction module configured to include, according to the first authentication result, the The access authentication response message of the second authentication node is sent to the access controller, and receives an access response message sent by the accessor.
  • an authentication server including:
  • the authentication request receiving module is configured to receive an identity authentication request message sent by a visitor, where the identity authentication request message includes first identity authentication information of the destination network one access controller and second identity authentication information of the visitor. ;
  • An authentication execution module configured to generate, according to the first identity authentication information, a first authentication result after performing identity authentication on the access controller, and generate identity authentication by using the second identity authentication information Second identification result;
  • the authentication response sending module is configured to send an identity authentication response message to the visitor, where the identity authentication response message includes the first authentication result and the second authentication result.
  • an access controller including:
  • An access request receiving module configured to receive an access request message sent by a visitor
  • an access authentication request constructing module configured to send an access authentication request message including the first identity authentication information to the visitor;
  • the first identity authentication information is identity authentication information of the access controller;
  • An access authentication response receiving module configured to receive an access authentication response message sent by the visitor Obtaining a second authentication result; the access authentication response message is constructed by the visitor according to the first authentication result; the first authentication result and the second authentication result are sent by the authentication server to the access by using an identity authentication response message
  • the first authentication result is generated by the authentication server according to the first identity authentication information included in the identity authentication request message sent by the visitor, and performing identity authentication on the access controller.
  • the second authentication result is generated by the authentication server according to the second identity authentication information included in the identity authentication request message, after the identity authentication is performed on the visitor;
  • the access response sending module is configured to send an access response message to the visitor according to the obtained second authentication result and the authorization policy.
  • a network access control system with corresponding functions includes: a visitor, an access controller of a destination network, and an authentication server; wherein:
  • the visitor is configured to send an access request message to the access controller, and receive an access authentication request message that is sent by the access controller and includes first identity authentication information; the first identity authentication information is Accessing the identity authentication information of the controller;
  • an identity authentication request message including the first identity authentication information and the second identity authentication information, where the second identity authentication information is identity authentication information of the visitor, and receiving the identity server to send An identity authentication response message including a first authentication result and a second authentication result;
  • the access controller is configured to receive the access request message, and send the access authentication request message;
  • the authentication server is configured to perform identity authentication on the access controller according to the first identity authentication information sent by the visitor, to obtain a first authentication result, and send the message according to the visitor. And sending the second identity authentication information to the visitor for identity authentication to obtain a second authentication result; and sending an identity authentication response message including the first authentication result and the second authentication result to the visitor.
  • step S1 is:
  • the visitor REQ constructs the NREQI I QREQ and sends it to the access controller AC.
  • the NREQI I QREQ is the access request message M1.
  • the request message M1 may also be other messages and the other messages include at least NREQI
  • NREQ represents the random number generated by the visitor REQ, and "
  • step S2 is:
  • access controller AC After receiving the access request message M1 of the visitor REQ, that is, the NREQI IQREQ, the access controller AC constructs an access authentication request message M2, that is, NREQ
  • access The authentication request message M2 is a message containing at least NREQ
  • the N AC represents the random number generated by the access controller AC
  • the IA AC represents the identity authentication information of the access controller AC, that is, the identity authentication information II, which is the authentication information shared by the access controller AC and the authentication server AS.
  • a result of the cryptographic operation, or the identity authentication information that can be directly sent to the authentication server AS without cryptographic operations, is used to prove the validity of the access controller AC identity to the authentication server AS.
  • step S3 is:
  • the accessor REQ After receiving the access authentication request message M2 of the access controller AC, that is, NREQ
  • the ID AC is the identity of the access controller AC, the same below.
  • the authentication request message M3 is a message containing at least IDACIINREQIIIAREQIIIAAC.
  • step 4) is:
  • the identity of the access controller AC is first authenticated according to the IA AC , and if the identity of the access controller AC is illegal, 4.2); If the identity of the controller AC is legal, then 4.3).
  • the authentication server AS constructs an identity response message M4 ie ID AC
  • Res(AC) is a publicly discriminable authentication result C1
  • Res(REQ) is a publicly available authentication result C2, the same as below;
  • Res(AC) is an authentication server AS to access controller AC The result of the discrimination, or the result of the authentication result of the access controller AC by using the authentication information shared with the visitor REQ, after a cryptographic operation, the same;
  • Res (REQ) is the authentication server AS to the visitor REQ The result of the discriminating, or the result of the discriminating result of the visitor REQ by using the authentication information shared with the access controller AC, after a cryptographic operation, is the same; at this time, the authentication server AS accesses the controller AC.
  • the authentication result is "Failure", indicating that the authentication server AS fails to authenticate to the access controller AC, that is, the access controller AC is illegal, and the authentication
  • the authentication server AS authenticates the identity of the visitor REQ. If the identity of the visitor REQ is illegal, then 4.3.1); if the identity of the visitor REQ is legal, then 4.3.2).
  • the authentication server AS constructs an identity authentication response message M4, ie ID AC
  • the authentication result of the authentication server AS to the access controller AC is "True”, indicating that the access controller AC is legal; the authentication server AS's authentication result to the visitor REQ is "Failure”, indicating that the identity of the visitor REQ is illegal.
  • the authentication server AS constructs an identity authentication response message M4 ID AC
  • Res(REQ) is sent to the visitor REQ.
  • the authentication result of the authentication server AS to the access controller AC is "True”, indicating that the access controller AC is legal; the authentication server AS's authentication result to the visitor REQ is "True”, indicating that the identity of the visitor REQ is legal.
  • the identity authentication response message M4 is a message containing at least ID AC
  • step S5 is:
  • the visitor REQ After the visitor REQ receives the identity authentication response message M4 of the authentication server AS, that is, ID AC
  • Res (AC) is the result of the cryptographic operation
  • the visitor REQ performs a cryptographic operation on Res (AC) using the authentication information shared with the authentication server AS, which is used when generating Res (AC)
  • the inverse operation of the cryptographic operation obtains the authentication result of the authentication server AS to the access controller AC.
  • Res(AC) is the result of the cryptographic operation
  • the authentication result of the access controller AC to the access controller AC is directly obtained. If the authentication result is "Failure”, indicating that the access controller AC is illegal, step 5.3.1 is performed. If it is "True”, it means that the access controller AC is legal, then execute 5.3.2).
  • the visitor REQ regenerates the random number N'REQ and constructs an access authentication response message M5, ie, N AC
  • the access authentication response message M5 is a message containing at least N AC
  • step S6 is:
  • the access controller AC After receiving the access authentication response message M5 of the visitor REQ, that is, N AC
  • Access Controller AC denies access to the visitor REQ.
  • Res (REQ) is the result of cryptographic operation
  • access controller AC uses and The authentication information shared by the server AS performs a cryptographic operation on Res (REQ), which is an inverse operation of the cryptographic operation used when generating Res (REQ), and obtains the authentication result of the authentication server AS for the visitor REQ.
  • Res(REQ) is the result of the cryptographic operation
  • the authentication result of the accessor REQ by the authentication server AS is directly obtained. If the authentication result is "Failure”, indicating that the visitor REQ is illegal, the operation is performed 6.3.1); "True” means that the visitor REQ is legal, then line 6.3.2).
  • the access controller AC determines, according to the authorization policy, whether the access request QREQ sent by the visitor REQ in step S1 is legal. If it is determined that the access request QREQ sent by the visitor REQ in step S1 is invalid, 6.3.2.1) If it is determined that the access request QREQ sent by the visitor REQ in step S1 is legal, then 6.3.2.2) is performed.
  • Access Controller AC deny access to the visitor REQ.
  • R & lt access controller AC AC response data according QREQ configuration, and a response message M6 that is configured to access the transmission N'REQ
  • the response data R AC is used by the access controller AC to notify the visitor that the REQ has the right to access the destination network.
  • the authorization policy of the access controller AC to the visitor REQ may be local or provided by another server.
  • the identity authentication response message M4 in step S4 is needed. Modified to ID AC
  • the access controller AC authenticates and authorizes the visitor REQ, and the access control to the access controller AC is realized.
  • the visitor REQ After receiving the access response message M6, the visitor REQ first determines whether the random number N'REQ is the random number N'REQ generated by the visitor REQ, and if not, discards the access response message M6; if yes, judges according to the response data R AC Whether the access controller AC authorizes access to the destination network and accesses the destination network accordingly.
  • the access response message M6 is a message containing at least N'REQ
  • Step SI Step SI:
  • the visitor REQ constructs the N REQ
  • Q REQ is the access request message M1.
  • the request message M1 may also be other messages.
  • the other message includes at least N REQ
  • the access controller AC After receiving the access request message M1, that is, N REQ
  • the access authentication request message M2 is a message including at least N REQ
  • N Ae represents a random number generated by the access controller AC
  • (1 ⁇ , 1 ⁇ ) represents a result of encrypting the N REQ by using the shared key K AS ⁇ , that is, the identity authentication information II of the access controller AC
  • K AS ⁇ that is, the identity authentication information II of the access controller AC
  • a symmetric encryption algorithm the same below.
  • the visitor REQ After receiving the access authentication request message M2, that is, N REQ
  • ID Ae is the identity of the access controller AC, the same below.
  • the identity authentication request message M3 is a message containing at least ID AC
  • the authentication server AS receives the identity request request message M3
  • the authentication server AS determines, according to the ID AC, whether the access controller AC has shared the key K AS , Ae with the authentication server AS , and if the key K AS , Ae is not shared, performs 4.2.1); K AS , Ae , then perform step 4.2.2). 4.2.1), the authentication server AS terminates the authentication.
  • the authentication server AS decrypts E (K AS; AC , N REQ ), ie, the identity authentication information II, by using the shared key K AS , AC , and determines whether the N REQ obtained after decryption and the visitor REQ are in step S3.
  • the information N REQ in the identity authentication request message M3 sent to the authentication server AS is equal.
  • the information N REQ in the identity authentication request message M3 is not If they are equal, then 4.2.2.1); if the N REQ obtained after decryption is equal to the information N REQ in the identity authentication request message M3 sent by the visitor REQ to the authentication server AS in step S3, then 4.2.2.2) is performed.
  • the authentication server AS terminates the authentication.
  • the authentication server AS constructs an identity authentication response message M4 ie ID AC
  • MIC 2 is sent to the visitor REQ.
  • Res (AC) is the publicly discriminable result CI
  • Res (REQ) is the publicly discriminable result C 2
  • Res (AC) E (K AS , REQ , R (AC) )
  • Res (REQ E ( AS > AC , R (REQ) )
  • R (AC) is the first authentication result
  • R (REQ) is the second authentication result
  • MIC 2 is the message integrity authentication code
  • the authentication server AS decrypts E(K AS , REQ , N REQ ;) by using the shared key K AS , REQ , and determines whether the N REQ obtained after decryption and the visitor REQ are sent to the authentication server AS in step S3.
  • the information N REQ in the identity authentication request message M3 is equal. If the N REQ obtained after decryption is not equal to the information N REQ in the identity authentication request message M3 sent by the visitor REQ to the authentication server AS in step S3, then 4.3.
  • the authentication server AS disconnects whether the controller AC has shared the key K AS , Ae with the authentication server AS , and if the key K AS , Ae is not shared, executes 4.3.1.1); The shared key K AS , Ae , then execute 4.3.1.2).
  • the authentication server AS terminates the authentication. 4.3.1.2
  • the authentication server AS decrypts E (K AS , AC , N REQ ) by using the shared key K A ⁇ , and determines whether the N REQ obtained after decryption and the visitor REQ are sent to the authentication server AS in step S 3
  • the information N REQ in the identity authentication request message M3 is equal. If the N REQ obtained after decryption is not equal to the information N REQ in the identity authentication request message M3 sent by the visitor REQ to the authentication server AS in step S3, then 4.3 is performed. .1.2.1); If the N REQ obtained after decryption is equal to the information N REQ in the identity authentication request message M3 sent by the visitor REQ to the authentication server AS in step S3, 4.3.1.2.2) is performed.
  • the authentication server terminates the authentication.
  • the authentication server AS constructs the identity authentication response message M4
  • MIC 2 is sent to the visitor REQ.
  • R(AC) True, indicating that the authentication server AS successfully authenticates the access controller AC
  • R(REQ) Failure, indicating that the authentication server AS fails to authenticate the visitor REQ;
  • MIC 2 H (K AS , RBQ , ID AC
  • H is a one-way hash algorithm, the same below.
  • the authentication server AS according to the ID A ''j access controller AC has shared the key K AS , AC with the authentication server AS, if the key K AS , Ae is not shared, then 4.3.2.1) ; If the shared key K AS , Ae is already shared, execute 4.3.2.2);
  • MIC 2 is sent to the visitor REQ.
  • R (AC) Failure, indicating that the authentication server AS fails authentication to the access controller AC;
  • R (REQ) True, indicating that the authentication server AS successfully authenticates the visitor REQ.
  • MIOH K AS; MQ , ID AC
  • the authentication server AS determines whether the N REQ obtained by decrypting E (K AS , AC , 1 ⁇ ) by using the shared key K AS , AC and the identity of the visitor REQ sent to the authentication server AS in step S3
  • the information N MQ in the request message M3 is equal, if not, then step 4.3.2.1); if yes, execute 4.3.2.3).
  • the authentication server AS generates a session key AC.REQ between the visitor REQ and the access controller AC, and then calculates E (K) using the shared keys K AS , AE and ] req and the session keys K AE , REQ AS; AC , ID REQ
  • K AC , REQ) and E (K AS , REQ , K Ae , REQ ), and then calculate the message integrity authentication code at this time MIC 2 H (K AS ID AC
  • ID REQ is the identity of the visitor REQ, the same below.
  • the message integrity authentication code MIC 2 at this time is used to verify the message ID AC
  • R(AC) True, indicating that the authentication server AS successfully authenticates the access controller AC;
  • R(REQ) True, indicating that the authentication server AS successfully authenticates the visitor REQ.
  • the authentication server AS further constructs an identity authentication response message M4 at this time, that is, ID AC
  • MIC 2 is sent to the visitor REQ.
  • the message integrity authentication code MIC 2 H(K AS , RBQ , ID AC
  • the identity authentication response message M4 is ID AC
  • the identity authentication response Message M4 is a message containing at least ID AC
  • the interviewer REQ receives the identity identification response message ⁇ 4
  • Step 5.2 the visitor REQ discards the identity authentication response message M4.
  • Step 5.3) the visitor REQ according to ( 2 judges the integrity of the corresponding message, if not complete, execute 5.3.1); if complete, execute 5.3.2). 5.3.1), the visitor REQ discards the identity authentication response message M4.
  • the visitor REQ uses K AS , REQ to decrypt the publicly identifiable result C1, ie Res (AC), to determine the legitimacy of the access controller AC, and if the Res (AC) is decrypted, the R is obtained.
  • the visitor REQ decrypts the E (K AS , REQ , K AC; REQ ) in the identity authentication response message M4 to obtain the session key K Ae , REQ , and generates the random number N' REQ , and calculates the message integrity.
  • Authentication code MIC 3 H (K A EQ , N AC
  • MIC 3 is sent to the access controller AC.
  • the message integrity authentication code MIC 3 is used to verify the integrity of the message N AC
  • the access authentication response message M5 is one or at least
  • the access controller AC receives the identity authentication response message M5 ie N AC
  • the access controller AC receives the identity authentication response message M5 ie N AC
  • M5 ie N AC
  • Access Controller AC denied access to the visitor REQ.
  • Access Controller AC deny access to the visitor REQ.
  • the access controller AC decrypts E (K AS , AC , ID REQ
  • the access controller AC denies access to the visitor REQ. 6. 3.2.2), access controller AC confirmation decrypt E (K AS, AC, ID REQ
  • Access Controller AC deny access to the visitor REQ.
  • the access controller AC determines, according to the authorization policy, whether the access request Q RBQ sent by the visitor REQ in step S1 is legal, and if not, performs 6. 3.2.2.2.1); , then execute 6. 3.2.2.2.2
  • Access Controller AC deny access to the visitor REQ.
  • the message integrity authentication code MIC 4 is used for the integrity of the risk message N' REQ
  • the controller AC is local, and may also be provided by another server, such as the authentication server AS.
  • the identity verification message M4 in step S4 is required to be ID AC
  • E K AS , AC , ID REQ
  • E AS , REQ , K AC , REQ
  • K AC , REQ ) is modified to E(K AS , AC , ID REQ
  • the access controller AC authenticates the visitor REQ and 4 is authorized, and access control to the access controller AC is realized.
  • the visitor REQ discards the access response message M6.
  • visitors REQ decrypts E (K AC, REQ, R AC) to obtain the response data R AC, and determines whether the access controller AC authorized to access object data network in accordance with the response R AC, and accordingly the purpose of Network access.
  • the access response message M6 is a message containing at least N, REQ
  • steps S2 to S4 in the above second embodiment is:
  • the access controller AC After receiving the access request message M1, that is, N RBQ
  • REQ In other embodiments, the access authentication request message M2 is a message containing at least N REQ
  • N represents the result of hashing K AS , Ae
  • the visitor REQ After receiving the access authentication request message M2, that is, N REQ
  • N REQ ), the visitor REQ first determines whether the N REQ is a random number generated by the visitor REQ, and if not, The authentication request message M2 is discarded; if yes, the visitor REQ calculates the message integrity authentication code MIC 5 H (K A EQ , ID AC
  • the message integrity authentication code MIC 5 is used to verify the integrity of the ID AC
  • the identity authentication request message M3 is one or at least
  • the authentication server AS receives the identity verification request message M3
  • the authentication server AS judges according to the ID AC whether the access controller AC has shared the key K AS , Ae with the authentication server AS , and if the key K AS , Ae is not shared, executes 4.2.1'); Key K AS , Ae , then 4.2. V ) 0
  • the authentication server AS terminates the authentication.
  • the authentication server AS constructs an identity authentication response message M4 ie ID AC
  • MIC 2 is sent to the visitor REQ.
  • Res (AC) is the publicly discriminable result CI
  • Res (REQ) is the publicly discriminable result C 2
  • Res (AC) E (K AS , REQ , R (AC) )
  • Res (REQ E ( AS > AC , R (REQ) )
  • R (AC) is the first verification result
  • (REQ) is the second verification result
  • MIC 2 is the message integrity authentication code.
  • MIC 2 H(K AS , RBQ , ID AC
  • the authentication server AS judges according to the MIC 5 in the identity authentication request message M3
  • the authentication server AS discards the identity authentication request message M3.
  • the authentication server AS uses 1 ⁇ to determine whether the access controller AC has shared the key K AS , AC with the authentication server AS , and if the key K AS , AC is not shared, then 4.3.2.1'); The shared key K AS , AC , then 4.3.2. V ).
  • the authentication server AS constructs the identity response message M4
  • MIC 2 is sent to the visitor REQ.
  • R (AC) Failure, indicating that the authentication server AS fails authentication to the access controller AC;
  • R (REQ) True, indicating that the authentication server AS successfully authenticates the visitor REQ.
  • MIC 2 H (K AS; REQ , ID AC
  • the authentication server AS verifies the integrity of H(K AS , Ae
  • authentication server AS constructs identity authentication response message M4
  • MIC 2 is sent to the visitor REQ.
  • R (AC) Failure, indicating that the authentication server AS fails authentication to the access controller AC;
  • R (REQ) True, indicating that the authentication server AS successfully authenticates the visitor REQ.
  • MIC 2 H (K AS; MQ , ID AC
  • the authentication server AS generates a session key K Ae , REQ between the visitor REQ and the access controller AC, and then utilizes the shared keys K AS , Ae and K AS , REQ and the session key K Ae , REQ calculates E (K AC , ID REQ
  • K AC; REQ ) and E (K AS; REQ , ACREQ) , and then calculates the message integrity authentication code MIC 2 H (K AS , ID AC
  • R(AC) True, indicating that the authentication server AS successfully authenticates the access controller AC;
  • R(REQ) True, indicating that the authentication server AS successfully authenticates the visitor REQ.
  • the authentication server AS and thus the identity authentication response message M4 at this time is ID AC
  • MIC 2 is sent to the visitor REQ.
  • the message integrity authentication code MIC 2 H(K AS , REQ , ID AC
  • the identity authentication response message M4 is ID AC
  • the identity authentication response message M4 is a message containing at least ID AC
  • Embodiment 3 Step SI:
  • the visitor REQ constructs the NREQIIIREQIIQREQ and sends it to the access controller AC.
  • the NREQIIIREQIIQREQ is the access request message M1.
  • the request message M1 may also be other messages and the other messages include at least NREQ
  • the IREQ represents the identity authentication information of the visitor REQ, that is, the identity authentication information 12, which is used to prove the validity of the identity of the visitor REQ to the authentication server AS
  • the NREQ represents the random number generated by the visitor REQ
  • 1" represents the two information before and after. Between the series, the same below.
  • the access controller AC After the access controller AC receives the access request message M1, that is, NREQIIIREQIIQREQ, the access authentication request message M2, that is, NREQIINACIIIREQIIIACIISA ⁇ NREQIINACIIIREQ) is sent to the visitor REQ.
  • the access authentication request message M2 is at least including the NREQIINACIIIREQIIIACI ISA. ⁇ NREQIINACIIIREQ) message.
  • the N AC represents the random number generated by the access controller AC
  • the I AC represents the identity authentication information of the access controller AC, that is, the identity authentication information II, which is used to prove the validity of the access controller AC identity to the authentication server AS
  • SAC ⁇ NREQIINACIIIREQ indicates the signature of the access controller AC to NREQIINACHIREQ, ie digital signature SIGK
  • the visitor REQ After receiving the access authentication request message M2, that is, NREQIINACIIIREQIIIACI ISA ⁇ NREQIINACIIIREQ, the visitor REQ first determines whether the NREQ is a random number generated by the visitor REQ, and if not, discards the authentication request message M2; if yes, constructs the identity authentication request message M3 That is, N'REQIINACIIIREQIIIAC is sent to the authentication server AS. Among them, N'REQ is the random number generated by the visitor REQ, the same below.
  • the identity authentication request message M3 is a message containing at least N'REQIINACIIIREQIIIAC.
  • the authentication server receives the identity authentication request message M3 of the visitor REQ.
  • Res(I AC ) is a publicly discriminable authentication result C1, which includes the authentication result of the authentication server AS for the I AC and the public key of the access controller AC;
  • Res(lREQ) is the publicly discriminable authentication result C2, wherein Contains the authentication result of the authentication server AS for the IREQ and the public key of the visitor REQ;
  • Res(lREQ)) respectively represent the authentication server AS pair
  • the identity authentication response message M4 is at least one of
  • the visitor REQ receives the identity authentication response message M4 of the authentication server AS. First, verifying the validity of the signature S AS (N, REQ
  • the access authentication response message M5 is at least one of Message.
  • the access controller AC receives the access authentication response message M5 of the visitor REQ, that is, Res(lRE Q )
  • the access controller AC determines that the signature is included in the signature SREQ( REQ
  • the response data is constructed according to the QREQ, and the access response message M6 is constructed and sent to the visitor REQ.
  • the access response message M6 includes the response data sent to the visitor REQ, and the response data is used for notification. Whether the visitor REQ has access to the destination network. Thereby, the access behavior of the visitor REQ to the destination network is controlled.
  • the authorization policy of the access controller AC to the visitor REQ may be local, or may be provided by another server, such as the authentication server AS.
  • the identity authentication response message M4 of step S4 needs to be R eS. (lREQ)
  • the access authentication response message M5 in step S5 is Res(lRE Q )
  • IAC) needs to be modified to Res (I RE Q)
  • the verification signature S AS (N AC
  • the number N AC is identical, but it is judged that the access request QREQ sent by the visitor REQ in step S1 is invalid.
  • embodiments of the present invention can be provided as a method, system, or computer program product. Accordingly, the present invention may take the form of an entirely hardware embodiment, an entirely software embodiment, or a combination of software and hardware. Moreover, the invention can be embodied in the form of one or more computer program products embodied on a computer-usable storage medium (including but not limited to disk storage, CD-ROM, optical storage, etc.) in which computer usable program code is embodied.
  • a computer-usable storage medium including but not limited to disk storage, CD-ROM, optical storage, etc.
  • the computer program instructions can also be stored in a computer readable memory that can direct a computer or other programmable data processing device to operate in a particular manner, such that the instructions stored in the computer readable memory produce an article of manufacture comprising the instruction device.
  • the apparatus implements the functions specified in one or more blocks of a flow or a flow and/or block diagram of the flowchart.
  • These computer program instructions can also be loaded onto a computer or other programmable data processing device such that a series of operational steps are performed on a computer or other programmable device to produce computer-implemented processing for execution on a computer or other programmable device.
  • the instructions provide steps for implementing the functions specified in one or more of the flow or in a block or blocks of a flow diagram.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

网絡访问控制方法及系统 本申请要求在 2010 年 10 月 13 日提交中国专利局、 申请号为 201010506041.X 发明名称为 "网络访问控制方法及系统"、 申请号为 201010504262.3 发明名称为 "一种网络访问控制方法及系统" 以及申请号为 201010505950.1 发明名称为 "一种访问控制方法及系统" 的中国专利申请的 优先权, 其全部内容通过引用结合在本申请中。 技术领域
本发明属信息安全技术中的网络安全应用领域, 尤其涉及一种网络访问 控制方法及系统。 背景技术
现有的网络访问控制方法中, 通常在访问者向目的网络发起访问请求后, 由目的网络中的访问控制器完成对访问者的鉴别和授权, 从而实现对访问者 的访问控制。 在需要第三方, 如鉴别服务器, 参与身份鉴别的访问控制场景 中, 可能因为访问控制器自身或者是目的网络的原因, 使得访问控制器无法 直接与鉴别服务器连接, 从而导致无法直接使用鉴别服务器提供的鉴别服务。 在这种情形下, 现有技术中的由访问控制器直接连接并使用鉴别服务器提供 鉴别服务的访问控制方法, 将无法满足对访问者进行访问控制的实际应用需 求。 发明内容
为了解决背景技术中存在的上述技术问题, 本发明提供了一种能够满足 对访问者进行访问控制的应用需求的访问控制方法及系统。
本发明提供一种网络访问控制方法, 包括:
步骤 1 ), 访问者向目的网络的一访问控制器发送一访问请求消息, 所述 访问请求消息包含所述访问者的访问请求;
步骤 2 ), 所述访问控制器收到所述访问请求消息后, 构造包含第一身份 鉴别信息的接入鉴别请求消息发送给所述访问者; 所述第一身份鉴别信息是 所述访问控制器的身份鉴别信息;
步骤 3 ), 所述访问者收到所述接入鉴别请求消息后, 构造一身份鉴别请 求消息发送给所述目的网络的一鉴别服务器, 所述身份鉴别请求消息包含所 述第一身份鉴别信息和第二身份鉴别信息; 所述第二身份鉴别信息是所述访 问者的身份鉴别信息;
步骤 4 ), 所述鉴别服务器收到所述身份鉴别请求消息后, 根据所述第一 身份鉴别信息产生对所述访问控制器进行鉴别后的第一鉴别结果, 以及根据 所述第二身份鉴别信息产生对所述访问者进行鉴别后的第二鉴别结果; 所述 鉴别服务器构造一身份鉴别响应消息发送给所述访问者, 所述身份鉴别响应 消息中包含所述第一鉴别结果及第二鉴别结果;
步骤 5 ), 所述访问者收到所述身份鉴别响应消息后, 根据所述第一鉴别 结果构造一接入鉴别响应消息发送给所述访问控制器, 所述接入鉴别响应消 息包含所述第二鉴别结果;
步骤 6 ), 所述访问控制器接收到所述接入鉴别响应消息后, 根据所述第 二鉴别结果以及一授权策略, 构造一访问响应消息发送给所述访问者, 其中, 所述授权策略是所述访问控制器对所述访问请求进行授权的策略。
本发明还提供一种访问装置, 包括:
访问请求交互模块, 用于向一目的网络的一访问控制器发送访问请求消 息, 并接收所述访问控制器发送的包含第一身份鉴别信息的接入鉴别请求消 息; 所述第一身份鉴别信息是所述访问控制器的身份鉴别信息;
鉴别请求交互模块, 用于向目的网络的一鉴别服务器发送一身份鉴别请 求消息, 所述身份鉴别请求消息中包含所述第一身份鉴别信息和第二身份鉴 别信息, 所述第二身份鉴别信息是所述访问者的身份鉴别信息; 并接收所述 鉴别服务器发送的身份鉴别响应消息, 所述身份鉴别响应消息中包含根据所 述第一身份鉴别信息对所述访问控制器进行身份鉴别后的第一鉴权结果和根 据所述第二身份鉴别信息对所述访问者进行身份鉴别后的第二鉴权结果; 鉴权结果交互模块, 用于根据所述第一鉴权结果构造包含所述第二鉴权 结果的接入鉴别响应消息发送给所述访问控制器, 并接收所述访问器发送的 访问响应消息。
本发明还提供一种鉴别服务器, 包括:
鉴别请求接收模块, 用于接收一访问者发送的身份鉴别请求消息, 所述 身份鉴别请求消息中包含目的网络一访问控制器的第一身份鉴别信息和所述 访问者的第二身份鉴别信息;
鉴别执行模块, 用于根据所述第一身份鉴别信息产生对所述访问控制器 进行身份鉴别后的第一鉴别结果, 以及根据所述第二身份鉴别信息产生对所 述访问者进行身份鉴别后的第二鉴别结果;
鉴别响应发送模块, 用于构造一身份鉴别响应消息发送给所述访问者, 所述身份鉴别响应消息中包含所述第一鉴别结果及第二鉴别结果。
本发明还提供一种访问控制器, 包括:
访问请求接收模块, 用于接收一访问者发送的访问请求消息;
接入鉴别请求构造模块, 用于构造包含第一身份鉴别信息的接入鉴别请 求消息发送给所述访问者; 所述第一身份鉴别信息是所述访问控制器的身份 鉴别信息;
接入鉴别响应接收模块, 用于接收所述访问者发送的接入鉴别响应消息 得到第二鉴别结果; 所述接入鉴别响应消息由所述访问者根据第一鉴别结果 构造; 所述第一鉴别结果和第二鉴别结果由一鉴别服务器通过身份鉴别响应 消息发送给所述访问者; 其中, 所述第一鉴别结果是由所述鉴别服务器根据 所述访问者发送的身份鉴别请求消息中包含的所述第一身份鉴别信息, 对所 述访问控制器进行身份鉴别后产生, 所述第二鉴别结果是由所述鉴别服务器 根据所述身份鉴别请求消息中包含的第二身份鉴别信息, 对所述访问者进行 身份鉴别后产生; 访问响应发送模块, 用于根据获得的所述第二鉴别结果以及授权策略, 构造一访问响应消息发送给所述访问者。
本发明还提供一种网络访问控制系统, 包括: 访问者、 目的网络的访问 控制器和鉴权服务器; 其中:
所述访问者, 用于向所述访问控制器发送访问请求消息, 并接收所述访 问控制器发送的包含第一身份鉴别信息的接入鉴别请求消息; 所述第一身份 鉴别信息是所述访问控制器的身份鉴别信息; 以及
向所述鉴别服务器发送包含所述第一身份鉴别信息和第二身份鉴别信息 的身份鉴别请求消息, 所述第二身份鉴别信息是所述访问者的身份鉴别信息, 并接收所述鉴别服务器发送的包含第一鉴权结果和第二鉴权结果的身份鉴别 响应消息; 以及
根据所述第一鉴权结果构造包含所述第二鉴权结果的接入鉴别响应消息 发送给所述访问控制器, 并接收所述访问器发送的访问响应消息;
所述访问控制器, 用于接收所述访问请求消息, 并发送所述接入鉴別请 求消息; 以及
用于接收所述访问者发送的接入鉴别响应消息得到第二鉴别结果, 并根 据获得的所述第二鉴别结果以及授权策略, 构造一访问响应消息发送给所述 访问者;
所述鉴别服务器, 用于根据所述访问者发送的所述第一身份鉴别信息对 所述访问控制器进行身份鉴别, 得到第一鉴别结果; 以及根据所述访问者发 送的第二身份鉴别信息对所述访问者进行身份鉴别, 得到第二鉴别结果; 并 发送包含所述第一鉴别结果和第二鉴别结果的身份鉴别响应消息给所述访问 者。
本发明的优点是:
本发明提出的网络访问控制方法及系统, 是在有鉴别服务器参与且目的 网络的访问控制器无法直接利用鉴别服务器提供的鉴别服务的情况下, 完成 对访问者身份鉴别的网络访问控制方法。 本发明基于密码机制, 在访问者提 出访问请求后, 由目的网络中的访问控制器对访问请求进行处理, 并通过访 问者向鉴别服务器发起对访问者身份的鉴别请求, 目的网络中的访问控制器 根据由访问者转发的鉴别服务器的可公开的鉴别结果完成对访问者身份的鉴 别, 并根据授权策略对鉴别成功的访问者进行授权管理。 本发明解决了在访 问控制器无法直接使用鉴别服务器提供的鉴别服务时导致的无法实施访问控 制的问题, 本发明完全能够满足对访问者进行访问控制的实际应用需求。 附图说明
图 1是本发明所提供的网络访问控制方法流程图。
图 2为本发明所提供的网络访问控制系统的工作简图。
图 3为图 2中步骤 S1的细化框图。
图 4为图 2中步骤 S2的细化框图。
图 5为图 2中步骤 S3的细化框图。
图 6为图 2中步骤 S4的细化框图。
图 7为图 2中步骤 S5的细化框图。
图 8为图 2中步骤 S6的细化框图。 具体实施方式
请参见图 2 ,本发明提供了一种网络访问控制系统 100。访问控制系统 100 包括访问者 REQ、鉴别服务器 AS以及访问控制器 AC。在系统 100工作之前, 访问者 REQ和鉴别服务器 AS之间、 访问控制器 AC和鉴别服务器 AS之间 已分别共享用于验证相互身份的鉴别信息。
请参见图 1、 图 3至图 8 , 网络访问控制系统 100是通过 S1〜S6六个步骤 完成对访问者 REQ的鉴别和授权的。
步骤 S1 : 请参见图 3 , 访问者 REQ向目的网络的访问控制器 AC发送访 问请求消息 Ml。访问请求消息 Ml中含有 QREQ。其中, QREQ表示访问者 REQ 的访问请求, 下同。 步骤 S2: 请参见图 4 , 目的网络的访问控制器 AC收到访问请求消息 Ml 后, 构造接入鉴别请求消息 M2发送给访问者 REQ。 接入鉴别请求消息 M2 含有访问控制器 AC的身份鉴别信息 II , 身份鉴别信息 II用来向鉴别服务器 AS证明访问控制器 AC身份的合法性。
步骤 S3: 请参见图 5, 访问者 REQ收到接入鉴别请求消息 M2后, 构造 身份鉴别请求消息 M3发送给鉴别服务器 AS。 其中, 身份鉴别请求消息 M3 中包含了所述身份鉴别信息 II , 以及访问者 REQ的身份鉴别信息 12。 身份鉴 别信息 12用来向鉴别服务器 AS证明访问者 REQ身份的合法性。
步骤 S4: 请参见图 6 , 鉴别服务器 AS根据身份鉴别请求消息 M3提供鉴 别服务并产生可公开的鉴别结果,即根据身份鉴别请求消息 M3中的身份鉴别 信息 II和 12产生对访问控制器 AC的可公开的鉴别结果 C1以及访问者 REQ 的可公开的鉴别结果 C2, 鉴别服务器 AS根据可公开的鉴别结果 C1和 C2构 造身份鉴别响应消息 M4发送给访问者 REQ。 其中, 身份鉴别响应消息 M4 包含所述可公开的鉴别结果 C1和 C2。
步骤 S5: 请参见图 7 , 访问者 REQ收到身份鉴别响应消息 M4后, 根据 可公开的鉴别结果 C1构造接入鉴别响应消息 M5发送给目的网络的访问控制 器 AC。 其中, 接入鉴别响应消息 M5中包含可公开的鉴别结果 C2;
步骤 S6: 请参见图 8 , 访问控制器 AC根据所述的鉴别服务器 AS可公开 的鉴别结果 C2以及授权策略构造访问响应消息 M6发送给访问者 REQ。至此, 完成本发明对访问者 REQ的鉴别和授权的过程。 其中, 所述授权策略是指访 问控制器 AC对访问者 REQ的访问请求 QREQ进行授权的策略,所述授权策略 可以来自某一服务器,例如鉴别服务器 AS,也可以来自访问控制器 AC本地。 所述授权策略已事先内置于所述鉴别服务器 AS或访问控制器 AC中,本发明 仅对所述授权策略进行调用。
按照步骤 S 1〜S6所示之方法运作系统 100 , 即可实现对访问者 REQ的鉴 别和授权, 以满足对访问者进行访问控制的实际应用需求。
根据本发明提供的上述方法, 本发明还提供一种访问装置, 包括: 访问请求交互模块, 用于向一目的网络的一访问控制器发送访问请求消 息, 并接收所述访问控制器发送的包含第一身份鉴别信息的接入鉴别请求消 息; 所述第一身份鉴别信息是所述访问控制器的身份鉴别信息;
鉴别请求交互模块, 用于向目的网络的一鉴别服务器发送一身份鉴别请 求消息, 所述身份鉴别请求消息中包含所述第一身份鉴别信息和第二身份鉴 别信息, 所述第二身份鉴别信息是所述访问者的身份鉴别信息; 并接收所述 鉴别服务器发送的身份鉴别响应消息, 所述身份鉴别响应消息中包含根据所 述第一身份鉴别信息对所述访问控制器进行身份鉴别后的第一鉴权结果和根 据所述第二身份鉴别信息对所述访问者进行身份鉴别后的第二鉴权结果; 鉴权结果交互模块, 用于根据所述第一鉴权结果构造包含所述第二鉴权 结杲的接入鉴别响应消息发送给所述访问控制器, 并接收所述访问器发送的 访问响应消息。
相应地, 本发明还提供一种鉴别服务器, 包括:
鉴别请求接收模块, 用于接收一访问者发送的身份鉴別请求消息, 所述 身份鉴别请求消息中包含目的网络一访问控制器的第一身份鉴别信息和所述 访问者的第二身份鉴别信息;
鉴别执行模块, 用于根据所述第一身份鉴别信息产生对所述访问控制器 进行身份鉴别后的第一鉴别结果, 以及根据所述第二身份鉴别信息产生对所 述访问者进行身份鉴别后的第二鉴别结果;
鉴别响应发送模块, 用于构造一身份鉴别响应消息发送给所述访问者, 所述身份鉴别响应消息中包含所述第一鉴别结果及第二鉴别结果。
相应地, 本发明还提供一种访问控制器, 包括:
访问请求接收模块, 用于接收一访问者发送的访问请求消息;
接入鉴别请求构造模块, 用于构造包含第一身份鉴别信息的接入鉴别请 求消息发送给所述访问者; 所述第一身份鉴别信息是所述访问控制器的身份 鉴别信息;
接入鉴别响应接收模块, 用于接收所述访问者发送的接入鉴别响应消息 得到第二鉴别结果; 所述接入鉴别响应消息由所述访问者根据第一鉴别结果 构造; 所述第一鉴别结果和第二鉴别结果由一鉴别服务器通过身份鉴别响应 消息发送给所述访问者; 其中, 所述第一鉴别结果是由所述鉴别服务器根据 所述访问者发送的身份鉴别请求消息中包含的所述第一身份鉴别信息, 对所 述访问控制器进行身份鉴别后产生, 所述第二鉴别结果是由所述鉴别服务器 根据所述身份鉴别请求消息中包含的第二身份鉴别信息, 对所述访问者进行 身份鉴别后产生;
访问响应发送模块, 用于根据获得的所述第二鉴别结果以及授权策略, 构造一访问响应消息发送给所述访问者。
根据本发明提供的上述方法, 一种具备相应功能的网络访问控制系统, 包括: 访问者、 目的网络的访问控制器和鉴权月良务器; 其中:
所述访问者, 用于向所述访问控制器发送访问请求消息, 并接收所述访 问控制器发送的包含第一身份鉴别信息的接入鉴别请求消息; 所述第一身份 鉴别信息是所述访问控制器的身份鉴别信息; 以及
向所述鉴别服务器发送包含所述第一身份鉴别信息和第二身份鉴别信息 的身份鉴别请求消息, 所述第二身份鉴别信息是所述访问者的身份鉴别信息, 并接收所述鉴别服务器发送的包含第一鉴权结果和第二鉴权结果的身份鉴别 响应消息; 以及
根据所述第一鉴权结果构造包含所述第二鉴权结果的接入鉴别响应消息 发送给所述访问控制器 , 并接收所述访问器发送的访问响应消息;
所述访问控制器, 用于接收所述访问请求消息, 并发送所述接入鉴别请 求消息; 以及
用于接收所述访问者发送的接入鉴别响应消息得到第二鉴别结果, 并根 据获得的所述第二鉴别结果以及授权策略, 构造一访问响应消息发送给所述 访问者;
所述鉴别服务器, 用于根据所述访问者发送的所述第一身份鉴别信息对 所述访问控制器进行身份鉴别, 得到第一鉴别结果; 以及根据所述访问者发 送的第二身份鉴别信息对所述访问者进行身份鉴别, 得到第二鉴别结果; 并 发送包含所述第一鉴别结果和第二鉴别结果的身份鉴别响应消息给所述访问 者。
下面用具体实施例详细阐述上述网络访问控制方法中的步骤 S1〜S6。 实施例一:
作为优选, 步骤 S 1的一种具体实施例是:
访问者 REQ 构造 NREQI I QREQ发送给访问控制器 AC , 在本实施例中 NREQI I QREQ即为访问请求消息 Ml , 在其他实施例中请求消息 Ml还可为其他 消息且所述其他消息中至少包含 NREQI |QREQ。
其中, NREQ表示访问者 REQ产生的随机数, "||" 表示其前后两信息之间 为串联, 下同。
作为优选, 步骤 S2的一种具体实施例是:
访问控制器 AC收到访问者 REQ的访问请求消息 Ml即 NREQI IQREQ后, 构造接入鉴别请求消息 M2即 NREQ| |NAC| |IAac发送给访问者 REQ , 在其他实 施例中, 接入鉴别请求消息 M2为一至少包含 NREQ||NAC||IAac的消息。
其中, NAC表示访问控制器 AC产生的随机数, IAAC表示访问控制器 AC 的身份鉴别信息, 即身份鉴别信息 II , 是访问控制器 AC利用与鉴别服务器 AS之间共享的鉴别信息经过一种密码运算产生的一个结果, 或者是未经密码 运算就可直接发送给鉴别服务器 AS的身份鉴别信息, 用来向鉴别服务器 AS 证明访问控制器 AC身份的合法性。
作为优选, 步骤 S3的一种具体实施例是:
访问者 REQ 收到访问控制器 AC 的接入鉴别请求消息 M2 即 NREQ||NAC||IAac后,首先判断 NREQ是否访问者 REQ产生的随机数,如果不是, 丟弃该鉴别请求消息 M2; 如果是, 则利用与鉴别服务器 AS之间共享的鉴别 信息经过一种密码运算产生访问者 REQ的身份鉴别信息 IAREQ, 或者是未经 密码运算就可直接发送给鉴别服务器 AS 的访问者 REQ 的身份鉴别信息 IAREQ, 即身份鉴别信息 12。 然后, 访问者 REQ构造身份鉴别请求消息 M3 即 IDACIINREQIIIAREQIIIAAC发送给鉴别服务器 AS。
其中, IDAC是访问控制器 AC的身份标识, 下同。
在其他实施例 中 , 身份鉴别请求消 息 M3 为一至少 包含 IDACIINREQIIIAREQIIIAAC的消息。
作为优选, 步驟 4 ) 的一种具体实施例是:
4.1 ) 鉴别服务器 AS 收到访问者 REQ 的身份鉴别请求消息 M3 即 IDACIINREQIIIAREQIIIAAC后, 首先根据 IAAC对访问控制器 AC的身份进行鉴别, 若访问控制器 AC的身份非法, 则执行 4.2 ); 若访问控制器 AC的身份合法, 则执行 4.3 )。
4.2 ) 鉴别 服务 器 AS 构 造 身 份鉴另 响 应 消 息 M4 即 IDAC||NREQ||Res(AC)||Res(REQ)发送给访问者 REQ。 其中, 在本实施例中, Res(AC)即为可公开的鉴别结果 C1, Res(REQ)即为可公开的鉴别结果 C2, 下 同; Res(AC)是鉴别服务器 AS对访问控制器 AC的鉴别结果, 或者是利用与 访问者 REQ之间共享的鉴别信息对访问控制器 AC的鉴别结果经过一种密码 运算后产生的结果, 下同; Res(REQ)是鉴别服务器 AS对访问者 REQ的鉴别 结果, 或者是利用与访问控制器 AC之间共享的鉴别信息对访问者 REQ的鉴 别结果经过一种密码运算后产生的结果, 下同; 此时, 鉴别服务器 AS对访问 控制器 AC的鉴别结果为 "Failure" , 表示鉴别服务器 AS对访问控制器 AC 鉴别失败, 即访问控制器 AC非法, 鉴别服务器 AS对访问者 REQ的鉴别结 果为 "Null" , 表示无鉴别结果。
4.3 )鉴别服务器 AS对访问者 REQ的身份进行鉴别, 若访问者 REQ的 身份非法, 则执行 4.3.1 ); 若访问者 REQ的身份合法, 则执行 4.3.2 )。
4.3.1 ) 鉴别 服务器 AS 构造身 份鉴别 响应 消 息 M4 即 IDAC||NREQ||Res(AC)||Res(REQ)发送给访问者 REQ。此时,鉴别服务器 AS对访 问控制器 AC的鉴别结果为 "True" , 表示访问控制器 AC合法; 鉴别服务器 AS对访问者 REQ的鉴别结果为 "Failure", 表示访问者 REQ的身份非法。
4.3.2 ) 鉴别 服务器 AS 构造身 份鉴别 响应 消 息 M4 即 IDAC| |NREQ||Res(;AC)||Res(REQ)发送给访问者 REQ。此时,鉴别服务器 AS对访 问控制器 AC的鉴别结果为 "True" , 表示访问控制器 AC合法; 鉴别服务器 AS对访问者 REQ的鉴别结果为 "True" , 表示访问者 REQ的身份合法。
在其他实施例 中 , 身份鉴别响应 消 息 M4 为一至少 包含 IDAC| |NREQ||Res(AC:)||Res(REQ )的消息。
作为优选, 步骤 S5的具体实施例是:
5.1 ) 访问者 REQ 收到鉴别服务器 AS 的身份鉴别响应消息 M4 即 IDAC| |NREQ||Res(AC)||Res(REQ)后,首先判断随机数 NREQ是否访问者 REQ产生 的随机数, 若不是, 则执行 5.2 ); 若是, 则执行 5.3 )。
5.2 )访问者 REQ丢弃该身份鉴别响应消息 M4。
5.3 )若 Res(AC)是经过密码运算后的结果, 则访问者 REQ利用与鉴别服 务器 AS共享的鉴别信息对 Res(AC)进行一种密码运算,该运算是产生 Res(AC) 时所采用的密码运算的逆运算,得到鉴别服务器 AS对访问控制器 AC的鉴别 结果。 若 Res(AC)为未经过密码运算的结果, 则直接得到鉴别服务器 AS对访 问控制器 AC的鉴别结果, 若鉴别结果为 "Failure" , 表示访问控制器 AC非 法,则执行步骤 5.3.1 );若为 "True" ,表示访问控制器 AC合法,则执行 5.3.2 )。
5.3.1 )访问者 REQ终止访问。
5.3.2 )访问者 REQ重新产生随机数 N'REQ, 并构造接入鉴别响应消息 M5 即 NAC||N'REQ||Res(REQ)发送给访问控制器 AC。
在其他实施例 中 , 接入鉴别响应 消 息 M5 为一至少 包含 NAC||N'REQ||Res(REQ)的消息。
作为优选, 步驟 S6的具体实施例是:
6.1 ) 访问控制器 AC 收到访问者 REQ 的接入鉴别响应消息 M5 即 NAC||N'REQ||Res(REQ)后,首先判断随机数 NAC是否访问控制器 AC产生的随机 数 NAC, 若不是, 则执行 6.2 ); 若是, 则执行 6.3 )。
6.2 )访问控制器 AC拒绝访问者 REQ的访问。
6.3 )若 Res(REQ)是经过密码运算后的结果, 则访问控制器 AC利用与鉴 别服务器 AS共享的鉴别信息对 Res(REQ)进行一种密码运算, 该运算是产生 Res(REQ)时所釆用的密码运算的逆运算, 得到鉴别服务器 AS对访问者 REQ 的鉴别结果。 若 Res(REQ)为未经过密码运算的结果, 则直接得到鉴别服务器 AS对访问者 REQ的鉴别结果, 若鉴别结果为 "Failure" , 表示访问者 REQ非 法, 则执行 6.3.1 ); 若为 "True" , 表示访问者 REQ合法, 则行 6.3.2 )。
6.3.1 )访问控制器 AC拒绝访问者 REQ的访问。
6.3.2 )访问控制器 AC根据授权策略判断访问者 REQ在步骤 S1 中发送 的访问请求 QREQ是否合法, 若判断访问者 REQ在步骤 S1中发送的访问请求 QREQ不合法, 则执行 6.3.2.1 ); 若判断访问者 REQ在步骤 S1中发送的访问请 求 QREQ合法, 则执行 6.3.2.2 )。
6.3.2.1 )访问控制器 AC拒绝访问者 REQ的访问。
6.3.2.2 )访问控制器 AC根据 QREQ构造应答数据 RAC、并构造访问响应消 息 M6即 N'REQ||Rac发送给访问者 REQ。其中,应答数据 RAC用于访问控制器 AC通知访问者 REQ是否有权访问目的网絡。
其中, 访问控制器 AC对访问者 REQ的所述授权策略可以来自本地, 也 可以由其他服务器提供, 当所述授权策略由鉴别服务器 AS提供时, 则需要将 步骤 S4 中 的身份鉴别响应消 息 M4 修改为 IDAC||NREQ||Res(AC) |Res(REQ)||APAS, 其中, APAS表示对访问者 REQ的授权策略; 同时需要将步 骤 S5中的接入鉴别响应消息 M5修改为 NAC||N'REQ||Res(REQ)||APAS
至此, 即完成了访问控制器 AC对访问者 REQ的鉴别和授权, 实现了对 访问控制器 AC的访问控制。
访问者 REQ收到访问响应消息 M6后, 首先判断随机数 N'REQ是否访问 者 REQ产生的随机数 N'REQ, 若不是, 则丢弃该访问响应消息 M6; 若是, 则 根据应答数据 RAC判断是否被访问控制器 AC授权访问目的网络,并据此对目 的网络进行访问。
在其他实施例中, 访问响应消息 M6为一至少包含 N'REQ||Rac的消息。 实施例二: 步骤 SI:
访问者 REQ构造 NREQ||QREQ发送给访问控制器 AC, 在本实施例中 NREQ||QREQ即为访 问请求消息 Ml, 在其他实施例中, 请求消息 Ml还可为其他消息且所述其他消 息中至少包含 NREQ||QREQ。 其中 "表示其前后两信息之间为串联, 下同。
步骤 S2:
访问控制器 AC收到访问请求消息 Ml即 NREQ| |QREQ后,构造接入鉴别请求消息 M2 即 NREQ||NAe||E(KAS,AC,NREQ)发送给访问者 REQ, 在其他实施例中, 接入鉴别请求消息 M2为一至少包含 NREQ||NAC||E (KAS,AC, NREQ)的消息。
其中, NAe表示访问控制器 AC产生的随机数; (1^^,1^)表示利用共享密 钥 KAS ^对 NREQ加密的结果, 即访问控制器 AC的身份鉴别信息 II; E为一种对称加 密算法; 下同。
步骤 S3:
访问者 REQ收到接入鉴别请求消息 M2即 NREQ||NAe||E(KAS,AC, NREQ)后,首先判断 NREQ 是否访问者 REQ产生的随机数, 如果不是, 则丟弃该鉴別请求消息 M2; 如果是, 则访问者 REQ利用共享密钥 KAS,MQ计算 E (KAS,REQ, NREQ)即访问者 REQ的身份鉴别信 息 12, 并构造身份鉴别请求消息 M3即 IDAC||NREQ||E (KAS;REQ, NREQ) ||E (KA C, NREQ)发送给 鉴别服务器 AS。 其中, IDAe是访问控制器 AC的身份标识, 下同。
在其他实施例中,身份鉴别请求消息 M3为一至少包含 IDAC||NREQ||E ( AS,REQ, NREQ) ||E( AS>AC, ^的消息。
步骤 S4:
4.1 ) , 鉴 别 服 务 器 AS 收 到 身 份 鉴 别 请 求 消 息 M3 即
IDAC||NMQ||E (KAS;RBQ, NMQ) ||E (KAS;AC, NREQ)后,首先判断访问者 REQ是否已与鉴别服务器 AS共享密钥 KAS,REQ, 若未共享密钥 KAS,REQ, 则执行 4.2); 若已共享密钥 KAS,REQ, 则 执行 4.3 )。
4.2 ), 鉴别服务器 AS根据 IDAC判断访问控制器 AC是否已与鉴别服务器 AS共 享密钥 KAS,Ae, 若未共享密钥 KAS,Ae, 则执行 4.2.1); 若已共享密钥 KAS,Ae, 则执行 步骤 4.2.2 )。 4.2.1 ), 鉴别服务器 AS终止鉴别。
4.2.2 ),鉴别服务器 AS利用共享密钥 KAS,AC解密 E (KAS;AC, NREQ)即身份鉴别信息 II,并判断解密后得到的 NREQ是否与访问者 REQ在步骤 S3中发送给鉴别服务器 AS 的身份鉴别请求消息 M3中的信息 NREQ相等, 若解密后得到的 NMQ与访问者 REQ在 步骤 S3中发送给鉴别服务器 AS的身份鉴别请求消息 M3中的信息 NREQ不相等, 则 执行 4.2.2.1 );若解密后得到的 NREQ与访问者 REQ在步骤 S3中发送给鉴别服务器 AS的身份鉴别请求消息 M3中的信息 NREQ相等, 则执行 4.2.2.2 )。
4.2.2.1 ), 鉴别服务器 AS终止鉴别。
4.2.2.2 ) 鉴 别 服 务 器 AS 构 造 身 份鉴 别 响 应 消 息 M4 即 IDAC||NRBQ||Res (AC) ||Res (REQ) ||MIC2发送给访问者 REQ。 其中, Res (AC)即为可公开 的鉴别结果 CI, Res (REQ)即为可公开的鉴别结果 C 2, Res (AC) =E (KAS,REQ, R (AC) ) , Res (REQ) =E ( AS>AC, R (REQ) ) , R (AC)即为所述第一鉴别结果, R (REQ) 即为所述 第二鉴别结果, MIC2为消息完整性鉴别码, 下同; 此时, R(AC)=True, 表示访 问控制器 AC的身份合法, R(REQ)=Failure,表示访问者 REQ的身份非法; 此时, MIC2=H (KAS;REQ, IDAC||NREQ||Res (AC) ||Res (REQ) ) , 用 来 验 证 消 息 IDAC||NMQ||Res (AC) ||Res (REQ)的完整性。
4.3), 鉴别服务器 AS利用共享密钥 KAS,REQ解密 E(KAS,REQ,NREQ;), 并判断解密后 得到的 NREQ是否与访问者 REQ在步骤 S3中发送给鉴别服务器 AS的身份鉴别请求 消息 M3中的信息 NREQ相等, 若解密后得到的 NREQ与访问者 REQ在步骤 S3中发送给 鉴别服务器 AS的身份鉴别请求消息 M3中的信息 NREQ不相等, 则执行 4.3.1 ); 若 鉴别服务器 AS利用共享密钥 KAS,REQ解密 E(KAS,MQ, NREQ)后得到的 NMQ与访问者 REQ在 步骤 S 3中发送给鉴别服务器 AS的身份鉴别请求消息 M3中的信息 NREQ相等, 则执 行 4.3.2 )。
4.3.1 ), 鉴别服务器 AS根据 IDA 'j断访问控制器 AC是否已与鉴别服务器 AS 共享密钥 KAS,Ae, 若未共享密钥 KAS,Ae, 则执行 4.3.1.1); 若已共享密钥 KAS,Ae, 则 执行 4.3.1.2 )。
4.3.1.1), 鉴别服务器 AS终止鉴别。 4.3.1.2), 鉴别服务器 AS利用共享密钥 KA ^解密 E(KAS,AC,NREQ) , 并判断解密 后得到的 NREQ是否与访问者 REQ在步骤 S 3中发送给鉴别服务器 AS的身份鉴别请 求消息 M3中的信息 NREQ相等, 若解密后得到的 NREQ与访问者 REQ在步骤 S3中发送 给鉴别服务器 AS的身份鉴别请求消息 M3中的信息 NREQ不相等, 则执行 4.3.1.2.1 );若解密后得到的 NREQ与访问者 REQ在步驟 S3中发送给鉴别服务器 AS 的身份鉴别请求消息 M3中的信息 NREQ相等, 则执行 4.3.1.2.2 )。
4.3.1.2.1 ), 鉴别服务器 AS终止鉴别。
4.3.1.2.2 ) , 鉴别服务器 AS构造身份鉴别 响应 消 息 M4 即
IDAC||NRBQ||Res (AC)||Res (REQ)||MIC2发送给访问者 REQ。 此时, R(AC)=True, 表示 鉴别服务器 AS对访问控制器 AC鉴别成功, R(REQ)=Failure, 表示鉴别服务器 AS对访问者 REQ鉴别失败; 此时, MIC2=H (KAS,RBQ, IDAC||NREQ||Res (AC) ||Res (REQ) ) , 用来验证消息 IDAC||NREQ||Res(AC)||Res(REQ)的完整性。 其中, H为一种单向哈希 算法, 下同。
4.3.2 ), 鉴别服务器 AS根据 IDA ''j断访问控制器 AC是否已与鉴別服务器 AS 共享密钥 KAS,AC, 若未共享密钥 KAS,Ae, 则执行 4.3.2.1); 若已共享密钥 KAS,Ae, 则 执行 4.3.2.2 );
4.3.2.1 ) 鉴 别 服 务 器 AS 构 造 身 份鉴 别 响 应 消 息 M4 即
IDAC||NRBQ||Res (AC)||Res (REQ)||MIC2发送给访问者 REQ。 此时, R (AC) =Failure, 表 示鉴别服务器 AS对访问控制器 AC鉴别失败; R(REQ)=True, 表示鉴别服务器 AS 对访问者 REQ鉴别成功。 此时 MIOH (KAS;MQ, IDAC||NHEQ||Res (AC) || es (REQ) ), 用来 验证消息 IDAC||NREQ||Res (AC) ||Res (REQ)的完整性。
4.3.2.2 ),鉴别服务器 AS判断利用共享密钥 KAS,AC解密 E(KAS,AC, 1^)后得到的 NREQ是否与访问者 REQ在步骤 S3中发送给鉴别服务器 AS的身份鉴别请求消息 M3 中的信息 NMQ相等, 若否, 则执行步骤 4.3.2.1); 若是, 则执行 4.3.2.3)。
4.3.2.3 ), 鉴别服务器 AS生成访问者 REQ和访问控制器 AC间的会话密钥 AC.REQ, 然后利用共享密钥 KAS,AE和] req以及会话密钥 KAE,REQ计算 E (KAS;AC, IDREQ||KAC,REQ) 与 E(KAS,REQ,KAe,REQ) , 进 而 计 算 此 时 的 消 息 完 整 性 鉴 别 码 MIC2=H (KAS IDAC||NREQ||Res (AC) ||Res (REQ) ||E (KAS;AC, IDKEQ||KAC,KEQ) ||E (KAS鳥 KAC,卿) ) 。 其中, IDREQ是访问者 REQ的身份标识, 下同。 此时的消息完整性鉴别码 MIC2用 来验证消息 IDAC||NREQ||Res (AC) || es (REQ) ||E (KAS;AC, IDREQ||KAC , REQ) ||E (KAS,REQ, AC, REQ)的 整性。 此时, R(AC)=True, 表示鉴别服务器 AS对访问控制器 AC鉴别成功; R(REQ) =True, 表示鉴别服务器 AS对访问者 REQ鉴别成功。 鉴别服务器 AS进而 构 造 此 时 的 身 份 鉴 别 响 应 消 息 M4 即 IDAC||NRBQ||Res (AC) || es (REQ) ||E (KAS;AC, IDRBQ||KAC,RBQ) ||E (KA EQ, KAC ) ||MIC2发送给访问 者 REQ。
综上可以注意到, 当 R(AC)=Failure或 R(REQ)=Failure时, 消息完整性鉴 别码 MIC2=H(KAS,RBQ, IDAC||NREQ||Res(AC)||Res(REQ)), 相应的, 身份鉴别响应消息 M4 为 IDAC||NREQ||Res(AC)||Res(REQ)||MIC2, 另外, 在其他实施例中, 身份鉴别响应消 息 M4为一至少包含 IDAC||NREQ||Res (AC) ||Res (REQ) ||MIC2的消息; 当 R (AC) =True且 R (REQ) =True 时 , 消 息 完 整 性 鉴 别 码 MIC2= H (KAS,REQ, IDAC||NREQ||Res (AC) ||Res (REQ) ||E (KAS,AC, IDREQ||KAC ,REQ) ||E (KAS,REQ, KAC, REQ)) , 相应 的 , 身 份 鉴 别 响 应 消 息 M4 为 IDAC||NMQ||Res (AC) ||Res (REQ) ||E (KAS;AC, IDRBQ||KAC ,REQ) ||E (KAS,REQ, AC,HEQ)||MIC2, 另外, 在 其 他 实 施 例 中 , 身 份 鉴 别 响 应 消 息 M4 为 一 至 少 包 含 IDAC||NRBQ||Res (AC) ||Res (REQ) ||E (KAS,AC, IDRBQ||KAC,卿) ||E (KAS,REQ, AC,REQ) ||MIC2的消息。
步骤 S5:
5.1 ) , 访 问 者 REQ 收 到 身 份 鉴 别 响 应 消 息 Μ4 即
IDAC||NMQ||Res (AC) ||Res (REQ) ||MIC2 或 IDAC||NMQ||Res (AC) ||Res (REQ) ||E (KAS;AC, IDRBQ||K4C ,REQ) ||E (KAS,REQ, KAC, REQ) ||MIC2后, 首先判 断随机数 NREQ是否访问者 REQ产生的随机数, 若不是, 则执行 5.2); 若是, 则执 行 5.3 )„
步骤 5.2), 访问者 REQ丟弃该身份鉴别响应消息 M4。
步骤 5.3), 访问者 REQ根据 (2判断相应消息的完整性, 若不完整, 则执 行 5.3.1 ); 若完整, 则执行 5.3.2 )。 5.3.1 ), 访问者 REQ丟弃该身份鉴别响应消息 M4。
5.3.2 ),访问者 REQ利用 KAS,REQ对可公开的鉴别结果 C1即 Res (AC) 进行解密, 来判断访问控制器 AC的合法性 , 若对 Res (AC) 进行解密后得到的 R(AC) =Failure, 则表示访问控制器 AC非法, 则执行 5.3.2.1 ); 若对 Res (AC) 进行解密后得到的 R (AC) =True, 则表示访问控制器 AC合法, 则执行 5.3.2.2 )。
5.3.2.1 ), 访问者 REQ终止访问。
5.3.2.2 ), 访问者 REQ解密身份鉴别响应消息 M4中的 E (KAS,REQ, KAC;REQ)而获得 会话密钥 KAe,REQ , 并产生随机数 N'REQ、 计算消 息完整性鉴别码 MIC3=H (KA EQ, NAC||N,REQ||Res (REQ) ||E (KAS;AC, IDREQ||KAC,REQ) )、 构造接入鉴别响应消息 M5即 NAC||N,REQ||Res (REQ) ||E (KAS;AC, IDRBQ||KAC,RBQ) ||MIC3发送给访问控制器 AC。 其中, 消 息完整性鉴别码 MIC3用来验证消息 NAC||N'REQ||Res (REQ) ||E (KAS,AC, IDREQ||KAC,卿)的完 整性。
在其他 实施例 中 , 接入鉴别 响应 消 息 M5为 一至 少 包含
NAC||N,REQ||Res (REQ) ||E (KAS,AC, IDREQ||KAC,REQ) ||MIC3的消息。
步骤 S6:
6.1 ) , 访 问 控 制 器 AC 收 到 身 份 鉴 别 响 应 消 息 M5 即 NAC||N,REQ||Res (REQ) ||E (KAS;AC, IDREQ||KAC,REQ) ||MIC3后,首先判断随机数 NAC是否访问控制 器 AC产生的随机数, 若不是, 则执行 6.2); 若是, 则执行 6.3);
6.2 ), 访问控制器 AC拒绝访问者 REQ的访问。
6.3 ), 访问控制器 AC利用 KAS,Ae对 Res(REQ)进行解密, 若解密 Res (REQ)得到 的 R(REQ)=Failure, 表示访问者 REQ非法, 则执行 6.3.1 ); 若解密 Res(REQ)得 到的 R(REQ)=True, 表示访问者 REQ合法, 则执行 6.3.2 )。
6.3.1 ), 访问控制器 AC拒绝访问者 REQ的访问。
6.3.2), 访问控制器 AC解密 E(KAS,AC,IDREQ||KAC,REQ:), 获得会话密钥 KAC,MQ, 并根 据 MIC3判断消息 NAe||N,REQ||Res (REQ) ||E (KAS,AC, IDREQ||KAC,KEQ)完整性, 若不完整, 则执 行 6.3.2.1 ); 若完整, 则执行 6.3.2.2)。
6.3.2.1 ), 访问控制器 AC拒绝访问者 REQ的访问。 6. 3.2.2 ),访问控制器 AC确认解密 E(KAS,AC, IDREQ||KAC, 后获得的 IDREQ是否与 访问者 REQ的身份标识 IDREQ—致, 若不一致, 则执行 6. 3.2.2.1 ); 若一致, 则 执行 6. 3.2.2.2
6. 3.2.2.1 ), 访问控制器 AC拒绝访问者 REQ的访问。
6. 3.2.2.2 ), 访问控制器 AC根据所述授权策略判断访问者 REQ在步骤 S1中 发送的访问请求 QRBQ是否合法, 若不合法, 则执行 6. 3.2.2.2.1 ); 若合法, 则 执行 6. 3.2.2.2.2
6. 3.2.2.2.1 ), 访问控制器 AC拒绝访问者 REQ的访问。
6. 3.2.2.2.2 ), 访问控制器 AC根据 QREQ构造应答数据 RAC、 计算消息完整性 鉴别码 MIC4=H (KA EQ, N'RBQ (KA EQ, Rac) ) , 进而构造访问响应消息 M6即 N'REQ||E (KAC,REQ, RAC) ||MIC4发送给访问者 REQ。 其中, RAE用于访问控制器 AC通知所述 访问者 REQ是否有权访问所述目的网络。
其中, 消息完整性鉴别码 MIC4用来险证消息 N'REQ||E(KAC,REQ,RAC)的完整性, 访 问控制器 AC对访问者 REQ的所述 4受权策略可以来自访问控制器 AC本地, 也可以 由其他服务器如鉴别服务器 AS提供, 当所述授权策略由鉴别服务器 AS提供时, 则 需 将 步 骤 S4 中 的 身 份鉴 另 U 响 应 消 息 M4 即 IDAC||NREQ||Res (AC) ||Res (REQ) ||E (KAS,AC, IDREQ||KAC,REQ) ||E ( AS,REQ, KAC,REQ) ||MIC2中的 E (KAS;AC, IDREQ||KAC,REQ)修改 为 E(KAS,AC, IDREQ||KAc,REQ||APAS) , 同时需要将步骤 S5中的接入鉴别响应消息 M5即 NAC||N'REQ||E (KAS;AC, IDREQ||KAC,REQ) ||MIC3 中 的 E (KAS,AC, IDREQ||KAC,REQ) 修 改 为 E (KAS,AC, IDREQ||KAC,REQ||APAS)。 其中, APAS表示对访问者 REQ的授权策略。
至此, 即完成了访问控制器 AC对访问者 REQ的鉴别和 4受权, 实现了对访问 控制器 AC的访问控制。
6.4 ), 访问者 REQ收到访问响应消息 M6即 N'REQ||E (KAC,MQ, RAC) ||MIC4后, 首先判 断随机数 N'REQ是否访问者 REQ产生的随机数, 若不是, 则执行 6.4.1 ); 若是, 则执行 6.4.2
6.4.1 ), 访问者 REQ丢弃该访问响应消息 M6。
6.4.2 ), 访问者 REQ根据 MIC4判断消息 N'REQ||E (KAC;REQ, RAC)完整性, 若不完整, 则执行 6.4.2.1 ); 若完整, 则执行 6.4.2.2
6.4.2.1 ), 访问者 REQ丢弃该访问响应消息 M6。
6.4.2.2) , 访问者 REQ解密 E(KAC,REQ,RAC)获得所述应答数据 RAC, 并根据应答 数据 RAC判断是否被访问控制器 AC授权访问目的网絡, 然后据此对目的网络进 行访问。
在其他实施例中, 访问响应消息 M6为一至少包含 N,REQ||E (KAC;REQ, RAC) ||MIC 消息。
上述实施例二中的步骤 S2 ~ S4的另一种具体实施例是:
步骤 S2:
访问控制器 AC收到访问请求消息 Ml即 NRBQ| |QREQ后,构造接入鉴别请求消息 M2 即 NREQ||NAe||H(KAS,Ae||NREQ)发送给访问者 REQ, 在其他实施例中, 接入鉴别请求消息 M2为一至少包含 NREQ| |NAC| |H (KAS, AC| |NMQ)的消息。
其中, H(KAS,Ae||N 表示对 KAS,Ae||NREQ进行哈希运算后的结果, 即访问控制器 AC的身份鉴别信息 II。
步骤 S3:
访问者 REQ收到接入鉴别请求消息 M2即 NREQ||NAe||H(KAS,AC||NREQ)后,首先判断 NREQ 是否访问者 REQ产生的随机数, 如果不是, 则丟弃该鉴别请求消息 M2; 如果是, 则 访 问 者 REQ 利 用 共 享 密 钥 KAS,REQ 计 算 消 息 完 整 性 鉴 别 码 MIC5=H (KA EQ, IDAC||NREQ||H ( AS>AC||NREQ) ) , 并进而构造身份鉴别请求消息 M3即 IDAC||NMQp(KAS,AC||NMQ)||MIC5发送给鉴别服务器 AS。 其中, 消息完整性鉴别码 MIC5 用来验证 IDAC||NMQ||H(KAS,AC||NMQ)的完整性, MIC5即为访问者 REQ的身份鉴别信息 12。
在其他 实施例 中 , 身 份鉴别 请求 消 息 M3为 一至 少 包含
IDAC||NRBQ||H(KAS,AC||NRBQ)||MIC5的消息。
步骤 S4:
4. ) , 鉴 别 服 务 器 AS 收 到 身 份鉴 别 请 求 消 息 M3 即
IDAC||NRBQ||H(KAS,Ae||NRBQ)||MIC5后, 首先判断访问者 REQ是否已与鉴别服务器 AS共享 密钥 KAS,REQ, 若未共享密钥 KAS,REQ, 则执行 4.2 ); 若已共享密钥 KAS,REQ, 则执行 4. )。
4.2' ), 鉴别服务器 AS根据 IDAC判断访问控制器 AC是否已与鉴别服务器 AS 共享密钥 KAS,Ae, 若未共享密钥 KAS,Ae, 则执行 4.2.1' ); 若已共享密钥 KAS,Ae, 则执 行 4.2. V )0
4.2. V ), 鉴别服务器 AS终止鉴别。
4.2. V ) , 鉴别 服务 器 AS 构 造 身 份鉴别 响 应 消 息 M4 即 IDAC||NMQ||Res (AC) ||Res (REQ) ||MIC2发送给访问者 REQ。 其中, Res (AC)即为可公开 的鉴别结果 CI, Res (REQ)即为可公开的鉴别结果 C 2, Res (AC) =E (KAS,REQ, R (AC) ), Res (REQ) =E ( AS>AC, R (REQ) ) , R (AC)即为所述第一验证结果, (REQ) 即为所述 第二验证结果, MIC2为消息完整性鉴别码。 此时, R(REQ) =Failure, 表示鉴别 服务器 AS对访问者 REQ鉴别失败, R(AC)=True, 表示鉴别服务器 AS对访问控制 器 AC鉴别成功。 此时 MIC2=H(KAS,RBQ, IDAC||NREQ||Res (AC) ||Res (REQ) ) , 用来验证消息 IDAC||NMQ||Res (AC) ||Res (REQ)的完整性。
4.3 ) , 鉴别服务器 AS根据身份鉴别请求消息 M3中的 MIC5判断
IDAC||NMQ||H(KAS,AC||NMQ)的完整性, 若不完整, 则执行 4.3.1' ); 若完整, 表示访 问者 REQ合法, 则执行 4.3. V )。
4.3. V ), 鉴别服务器 AS丟弃该身份鉴别请求消息 M3。
4.3. V ), 鉴别服务器 AS利用 1^判断访问控制器 AC是否已与鉴别服务器 AS共享密钥 KAS,AC, 若未共享密钥 KAS,AC, 则执行 4.3.2.1' ); 若已共享密钥 KAS,AC, 则执行 4.3.2. V )。
4.3.2. V ) , 鉴别 服务器 AS构造身 份鉴别 响应 消 息 M4 即
IDAC||NRBQ||Res (AC)||Res (REQ)||MIC2发送给访问者 REQ。 此时, R (AC) =Failure, 表 示鉴别服务器 AS对访问控制器 AC鉴别失败; R(REQ)=True, 表示鉴别服务器 AS 对访问者 REQ鉴别成功。 此时 MIC2=H (KAS;REQ, IDAC||NREQ||Res (AC) ||Res (REQ) ), 用来 验证消息 IDAC||NREQ||Res (AC) ||Res (REQ)的完整性。
4.3.2. V ),鉴别服务器 AS根据 NREQ验证 H(KAS,Ae||NREQ)的完整性,若验证失败, 则执行 4.3.2.2. V ); 若验证成功, 则执行 4.3.2.2. V )。
4.3.2.2. V ) , 鉴别服务器 AS构造身份鉴别 响应 消 息 M4 即
IDAC||NMQ||Res (AC)||Res (REQ)||MIC2发送给访问者 REQ。 此时, R (AC) ^Failure, 表 示鉴别服务器 AS对访问控制器 AC鉴别失败; R(REQ)=True, 表示鉴别服务器 AS 对访问者 REQ鉴别成功。 此时 MIC2=H (KAS;MQ, IDAC||NREQ||Res (AC) ||Res (REQ) ), 用来 验证消息 IDAC||NREQ||Res (AC) ||Res (REQ)的完整性。
4.3.1.1.1' ), 鉴别服务器 AS生成访问者 REQ和访问控制器 AC间的会话密 钥 KAe,REQ , 然后利用共享密钥 KAS,Ae和 KAS,REQ以及会话密钥 KAe,REQ计算 E (KA C, IDREQ||KAC;REQ)与 E (KAS;REQ, ACREQ) , 进而计算此时的消息完整性鉴别码 MIC2=H (KAS , IDAC||NREQ||Res (AC) ||Res (REQ) ||E (KAS;AC, IDREQ||KAC,REQ) ||E (KAS KAC,REQ) ) , 用来验证消息 IDAC||NREQ||Res (AC) ||Res (REQ) ||E (KAS,AC, IDREQ||KAC , REQ) ||E (KAS,REQ, AC, REQ) 完整性。 此时 R(AC)=True, 表示鉴别服务器 AS对访问控制器 AC鉴别成功; R(REQ) =True, 表示鉴别服务器 AS对访问者 REQ鉴别成功。 鉴别服务器 AS进而 构 造 此 时 的 身 份 鉴 别 响 应 消 息 M4 即 IDAC||NMQ||Res (AC) ||Res (REQ) ||E (KAS,AC, IDRBQ||KAC,MQ) ||E (KAS,REQ, AC,REQ) ||MIC2发送给访问 者 REQ。
综上可以注意到, 当 R(AC)=Failure或 R(REQ)=Failure时, 消息完整性 鉴别码 MIC2=H(KAS,REQ, IDAC||N ||Res (AC)||Res(REQ)), 相应的, 身份鉴别响应消 息 M4为 IDAC||NREQ||Res(AC)||Res(REQ)||MIC2, 另外, 在其他实施例中, 身份鉴别 响应消息 M4 为一至少包含 IDAC||NREQ||Res(AC)||Res(REQ)||MIC2的消息; 当 R (AC) =True 且 R (REQ) =True 时 , 消 息 完 整 性 鉴 别 码 MIC2= H (KAS;REQ, IDAC||NREQ||Res (AC) ||Res (REQ) ||E (KAS;AC, IDREQ||KAC ,REQ) ||E (KAS,REQ, KAC,RBQ)), 相应 的 , 身 份 鉴 别 响 应 消 息 M4 为 IDAC||NRBQ||Res (AC) || es (REQ) ||E (KAS;AC, IDRBQ||KAC ,REQ) ||E (KAS,REQ, KAC, REQ) HMIC2 , 另夕卜, 在 其 他 实 施 例 中 , 身 份鉴 别 响 应 消 息 M4 为 一 至 少 包 含 IDAC||NMQ||Res (AC) ||Res (REQ) ||E (KAS;AC, IDRBQ||KAC ,REQ) ||E (KAS,REQ, KAC, REQ) ||MIC2的消息。
实施例三: 步骤 SI :
访问者 REQ构造 NREQIIIREQIIQREQ发送给访问控制器 AC, 在本实施例中 NREQIIIREQIIQREQ即为访问请求消息 Ml , 在其他实施例中, 请求消息 Ml还可 为其他消息且所述其他消息中至少包含 NREQ| |IREQ| |QREQ。
其中, IREQ表示访问者 REQ的身份鉴别信息, 即身份鉴别信息 12, 用来 向鉴别服务器 AS证明访问者 REQ身份的合法性, NREQ表示访问者 REQ产 生的随机数, 1" 表示其前后两信息之间为串联, 下同。
步骤 S2 :
访问控制器 AC收到访问请求消息 Ml即 NREQIIIREQIIQREQ后,构造接入鉴 别请求消息 M2即 NREQIINACIIIREQIIIACIISA^NREQIINACIIIREQ)发送给访问者 REQ , 在其他 实施例 中 , 接入鉴别 请求 消 息 M2 为 一至 少 包含 NREQIINACIIIREQIIIACI ISA^NREQIINACIIIREQ)的消息。
其中, NAC表示访问控制器 AC产生的随机数, IAC表示访问控制器 AC 的身份鉴别信息, 即身份鉴别信息 II , 用来向鉴别服务器 AS证明访问控制器 AC身份的合法性, SAC^NREQIINACIIIREQ)表示访问控制器 AC对 NREQIINACHIREQ 的签名, 即数字签名 SIGK
步骤 S3 :
访 问 者 REQ 收 到 接 入 鉴 别 请 求 消 息 M2 即 NREQIINACIIIREQIIIACI ISA^NREQIINACIIIREQ)后, 首先判断 NREQ是否访问者 REQ产 生的随机数, 如果不是, 丢弃该鉴别请求消息 M2 ; 如果是, 构造身份鉴别请 求消息 M3即 N'REQIINACIIIREQIIIAC发送给鉴别服务器 AS。 其中, N'REQ为访问 者 REQ产生的随机数, 下同。
在其他实施例中,身份鉴别请求消息 M3为一至少包含 N'REQIINACIIIREQIIIAC 的消息。
步骤 S4 :
鉴别服务器 AS 收到访问者 REQ 的身份鉴别请求消息 M3 即
N'REQIINACIIIREQIIIAC后, 验证 IREQ和 IAC , 并构造身份鉴别响应消息 M4 即 Res lR^IIResQA^ISA^N'REQllRes lAc^lSA^NAcllResQREQ))发送给访问者 REQ。 其中, Res(IAC)即为可公开的鉴别结果 Cl,其中包含鉴别服务器 AS对 IAC 的验证结果以及访问控制器 AC的公钥; Res(lREQ)即为可公开的鉴别结果 C2 , 其中包含鉴别服务器 AS 对 IREQ的验证结果以及访问者 REQ 的公钥; SAS(N,REQ||Res(IAC))和 SAS(NAC||Res(lREQ))分别表示鉴别服务器 AS 对
N'REQ||Res(IAC)和 NAC||Res(lREQ:)的数字签名。
在其他实施例 中 , 身份鉴别响应 消 息 M4 为一至少 包含
Res(lREQ)| |Res(IAC)| I SAS(N,REQ| |Res(IAC))|| SAS(NAC| |Res(lREQ))的消息。
步骤 S5 :
访问者 REQ收到鉴别服务器 AS的身份鉴别响应消 息 M4即
Figure imgf000025_0001
, 首先利用所述鉴 别服务器 AS的公钥验证签名 SAS(N,REQ||Res(IAC))的有效性, 若有效, 则判断 N'REQ是否与访问者 REQ在步骤 S3中发送给鉴别服务器 AS的随机数 N'REQ— 致, 若一致, 则访问者 REQ根据鉴別结果 Res(IAC)即可公开的鉴別结果 C1 , 判 断访问控制器 AC的身份是否合法, 若合法, 则从 Res(IAC)中获得所述访问控制 器 AC的公钥,并利用该公钥验证访问控制器 AC在步骤 S2中发送给访问者 REQ 的数字签名 SIG1即 SA^NREQIINACIIIREQ)的有效性, 若有效, 则访问者 REQ构造 接入鉴别响应消息 M5即 Res(lREQ)| | SAS(NAC||Res(lREQ》| | SREQ(NREQ| |NAC||IAC)发送 给访问控制器 AC, 该消息中包含可公开的鉴别结果 C2即: Res(lREQ), 该消息中 的
Figure imgf000025_0002
INACIIIAC)表示访问者 REQ对 NREQ||NAC||Iac的签名, 即数字签名 SIG2。
以下情况访问者 REQ将终止访问:
1 )、 验证签名 SAS(N'REQ||Res(IAC))无效;
2 )、 虽然验证签名 SAS(N'REQ||Res(IAC))有效, 但判断随机数 N'REQ不一致; 3 )、 虽然验证签名 SAS(N,REQ||Res(IAC))有效, 且判断随机数 N'REQ—致, 但判断访问控制器 AC身份非法;
4 )、 虽然验证签名 SAS(N,REQ||Res(IAC))有效, 且判断随机数 N'REQ—致, 且判断访问控制器 AC身份合法, 但验证签名 SAC(NREQ||NAC||IREQ)无效。
在其他实施例 中 , 接入鉴别响应 消 息 M5 为一至少 包含
Figure imgf000026_0001
消息。
步骤 S6:
访问控制器 AC 收到访问者 REQ 的接入鉴别响应消息 M5 即 Res(lREQ)| I SAS(Nac| |Res(lREQ))| I SREQCNREQI |NAC| |IAC)^, 首先利用所述鉴别服务器 AS 的公钥验证签名 SAS(NAC||Res(lREQ))的有效性, 若有效, 则根据 Res(lREQ) 即可公开的鉴别结果 C2判断访问者 REQ是否合法, 若合法, 则判断 NAC是 否与访问控制器 AC在步骤 S2中发送的随机数 NAC—致, 若一致, 则访问控 制器 AC从 Res(lREQ)中获得所述访问者 REQ的公钥, 并利用该公钥验证签名 SREQ(NREQ| |NAC| |Iac)的有效性, 若有效, 则访问控制器 AC判断包含在该签名 SREQ( REQ| |NAC| |Iac)中的 IAC是否与访问控制器 AC在步骤 S2中发送的 IAC— 致, 若一致, 则判断签名
Figure imgf000026_0002
INACI IIAC)中的 NAC是否与访问控制器 AC 在步骤 S2中发送的随机数 NAC—致, 若一致, 则访问控制器 AC根据所述授 权策略判断访问者 REQ在步驟 S 1中发送的访问请求 QREQ是否合法,若合法, 则根据 QREQ构造应答数据, 并构造访问响应消息 M6发送给访问者 REQ, 访 问响应消息 M6 包含所述应答数据发送给访问者 REQ, 所述应答数据用于通 知访问者 REQ是否有权访问所述目的网络。 借此, 访问者 REQ对于所述目 的网络的访问行为得以受到控制。
其中, 访问控制器 AC对访问者 REQ的授权策略可以来自本地, 也可以 由其他服务器如鉴别服务器 AS提供, 当由鉴别服务器 AS提供时, 则需要将 步 骤 S4 的 身 份 鉴 别 响 应 消 息 M4 即 ReS(lREQ)| |Res(IAC)| I SAS(N'REQ| |Res(IAC))|| SAS(NAC| |ReS(lREQ)) 修 改 为 ReS(lREQ)| |Res(IAC)| I SAS(N'REQ| |Res(IAC))|| SAS(NAC| |ReS(lREQ)| | APAS), 其中 APAS表 示所述授权策略, 此时步骤 S5 中的接入鉴别响应消息 M5 即 Res(lREQ)| I SAS(Nac| |Res(lREQ))| I SREQCNREQI |NAC| |IAC) 需 相 应 修 改 为 Res(IREQ)||SAs(NAc||Res(IREQ)||APAS)||SREQ(NREQ||NAc| |lAc)o 以下情况访问控制器 AC都将拒绝访问者 REQ的访问: 1 )、 验证签名 SAS(NAC||Res(lREQ))无效;
2)、 虽然验证签名 SAS(NAC||Res(lREQ))有效, 但判断访问者 REQ非法;
3)、 虽然验证签名 SAS(NAC||Res(lREQ))有效, 且判断访问者 REQ合法, 但 判断随机数 NAC不一致;
4)、 虽然验证签名 SAS(NAC||Res(lREQ))有效, 且判断访问者 REQ合法, 且 判断随机数 NAC—致, 但验证签名 SREC^NREQIINACIIIAC)无效;
5)、 虽然验证签名 SAS(NAC||Res(lREQ))有效, 且判断访问者 REQ合法, 且 判断随机数 NAC—致, 且验证签名
Figure imgf000027_0001
INACII C)有效, 但判断签名 SREQ(NREQ||NAC||Iac)中的 IAC与访问控制器 AC的身份信息不一致;
6)、 虽然验证签名 SAS(NAC||Res(lREQ))有效, 且判断访问者 REQ合法, 且 判断随机数 NAC—致, 且验证签名
Figure imgf000027_0002
INACII C)有效, 且判断签名 SREQ(NREQ||NAC||Iac)中的 IAC与访问控制器 AC 的身份信息一致, 但判断签名 SREQ(NREQ||NAC||Iac)中的随机数 NAC不一致;
7)、 虽然验证签名 SAS(NAC||Res(lREQ))有效, 且判断访问者 REQ合法, 且 判断随机数 NAC—致, 且验证签名
Figure imgf000027_0003
INACII C)有效, 且判断签名 SREQ(NREQ||NAC||Iac)中的 IAC与访问控制器 AC 的身份信息一致, 且判断签名 SREQ(NREQ| |NAC| |IAC)中的随机数 NAC一致, 但判断访问者 REQ在步骤 S 1中发 送的访问请求 QREQ不合法。
本领域内的技术人员应明白, 本发明的实施例可提供为方法、 系统、 或 计算机程序产品。 因此, 本发明可采用完全硬件实施例、 完全软件实施例、 或结合软件和硬件方面的实施例的形式。 而且, 本发明可釆用在一个或多个 其中包含有计算机可用程序代码的计算机可用存储介质 (包括但不限于磁盘 存储器、 CD-ROM、 光学存储器等) 上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、 设备(系统)、 和计算机程序产 品的流程图和 /或方框图来描述的。 应理解可由计算机程序指令实现流程图 和 /或方框图中的每一流程和 /或方框、 以及流程图和 /或方框图中的流程 和 /或方框的结合。 可提供这些计算机程序指令到通用计算机、 专用计算机、 嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器, 使得通 过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流 程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的 装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设 备以特定方式工作的计算机可读存储器中, 使得存储在该计算机可读存储器 中的指令产生包括指令装置的制造品, 该指令装置实现在流程图一个流程或 多个流程和 /或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上, 使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的 处理, 从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图 一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的步 骤。
尽管已描述了本发明的优选实施例, 但本领域内的技术人员一旦得知了 基本创造性概念, 则可对这些实施例作出另外的变更和修改。 所以, 所附权 利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然, 本领域的技术人员可以对本发明进行各种改动和变型而不脱离本 发明的精神和范围。 这样, 倘若本发明的这些修改和变型属于本发明权利要 求及其等同技术的范围之内, 则本发明也意图包含这些改动和变型在内。

Claims

权 利 要 求
1、 一种网络访问控制方法, 其特征在于包括:
步骤 1 ), 访问者向目的网络的一访问控制器发送一访问请求消息, 所述 访问请求消息包含所述访问者的访问请求;
步骤 2 ), 所述访问控制器收到所述访问请求消息后, 构造包含第一身份 鉴别信息的接入鉴別请求消息发送给所述访问者; 所述第一身份鉴别信息是 所述访问控制器的身份鉴别信息;
步骤 3 ), 所述访问者收到所述接入鉴别请求消息后, 构造一身份鉴别请 求消息发送给所述目的网络的一鉴别服务器, 所述身份鉴别请求消息包含所 述第一身份鉴别信息和第二身份鉴别信息; 所述第二身份鉴别信息是所述访 问者的身份鉴别信息;
步骤 4 ), 所述鉴别服务器收到所述身份鉴别请求消息后, 根据所述第一 身份鉴别信息产生对所述访问控制器进行鉴别后的第一鉴别结果, 以及根据 所述第二身份鉴别信息产生对所述访问者进行鉴别后的第二鉴别结果; 所述 鉴别服务器构造一身份鉴别响应消息发送给所述访问者, 所述身份鉴别响应 消息中包含所述第一鉴别结果及第二鉴别结果;
步骤 5 ), 所述访问者收到所述身份鉴别响应消息后, 根据所述第一鉴别 结果构造一接入鉴别响应消息发送给所述访问控制器, 所述接入鉴别响应消 息包含所述第二鉴别结果;
步骤 6 ), 所述访问控制器接收到所述接入鉴别响应消息后, 根据所述第 二鉴别结果以及一授权策略, 构造一访问响应消息发送给所述访问者, 其中, 所述授权策略是所述访问控制器对所述访问请求进行授权的策略。
2、 如权利要求 1所述的方法, 其特征在于, 所述步骤 4 ) 中, 所述鉴别 服务器对所述第一身份鉴别信息进行鉴别后, 当判断出所述访问控制器身份 非法时, 向所述访问者返回身份鉴别响应消息, 在所述身份鉴别响应消息中 包含第一鉴别结果为所述访问控制器身份非法, 以及包含第二鉴别结果为所 述访问者无鉴别结果。
3、 如权利要求 1所述的方法, 其特征在于, 所述步骤 4 ) 中, 所述鉴别 服务器对所述第一身份鉴别信息进行鉴别后, 当判断出所述访问控制器身份 合法时, 执行下述步骤:
进一步对所述第二身份鉴别信息进行鉴别;
当根据所述第二身份鉴别信息判断出所述访问者身份非法时, 向所述访 问者返回身份鉴别响应消息, 在该身份鉴别响应消息中包含第一鉴别结果为 所述访问控制器身份合法, 以及包含第二鉴别结果为所述访问者身份非法; 或者
当根据所述第二身份鉴别信息判断出所述访问者身份合法时, 向所述访 问者返回身份鉴别响应消息, 在该身份鉴别响应消息中包含第一鉴别结果为 所述访问控制器身份合法, 以及包含第二鉴别结果为所述访问者身份合法。
4、 如权利要求 1所述的方法, 其特征在于, 所述步骤 5 )具体包括: 当所述访问者接收到所述鉴别服务器返回的所述第一鉴别结果为所述访 问控制器身份非法时, 所述访问者终止访问; 或者
当所述访问者接收到所述第一鉴别结果为所述访问控制器身份合法时, 将所述第二鉴别结果通过所述接入鉴别响应消息发送给所述访问控制器。
5、 如权利要求 1所述的方法, 其特征在于, 所述步骤 6 )具体包括: 所述访问控制器接收到所述接入鉴别响应消息后, 当所述第二鉴别结果 表明所述访问者身份非法时, 构造一拒绝所述访问者访问的访问响应消息发 送给所述访问者; 或者
当所述第二鉴别结果表明所述访问者身份合法时, 根据一授权策略构造 一允许所述访问者访问的访问响应消息发送给所述访问者。
6、 如权利要求 5所述的方法, 其特征在于, 当所述第二鉴别结果表明为 所述访问者身份合法时, 还包括:
所述访问控制器根据所述授权策略判断所述访问者发送的访问请求是否 合法, 若所述访问请求合法, 则允许所述访问者访问; 否则, 拒绝所述访问 者访问。
7、 如权利要求 1所述的方法, 其特征在于, 所述授权策略存储在所述访 问控制器中, 或由所述鉴权服务器提供;
当所述授权策略由所述鉴权服务器提供时, 所述鉴权服务器在向所述访 问者返回所述第一鉴别结果和所述第二鉴别结果时, 还返回所述授权策略; 以及
所述访问者还将所述授权策略通过所述接入鉴别响应消息发送给所述访 问控制器。
8、 一种访问装置, 其特征在于, 包括:
访问请求交互模块, 用于向一目的网络的一访问控制器发送访问请求消 息, 并接收所述访问控制器发送的包含第一身份鉴别信息的接入鉴别请求消 息; 所述第一身份鉴别信息是所述访问控制器的身份鉴别信息;
鉴别请求交互模块, 用于向目的网络的一鉴别服务器发送一身份鉴别请 求消息, 所述身份鉴别请求消息中包含所述第一身份鉴别信息和第二身份鉴 别信息, 所述第二身份鉴别信息是所述访问者的身份鉴别信息; 并接收所述 鉴别服务器发送的身份鉴别响应消息, 所述身份鉴别响应消息中包含根据所 述第一身份鉴别信息对所述访问控制器进行身份鉴别后的第一鉴权结果和根 据所述第二身份鉴别信息对所述访问者进行身份鉴别后的第二鉴权结果; 鉴权结果交互模块, 用于根据所述第一鉴权结果构造包含所述第二鉴权 结果的接入鉴别响应消息发送给所述访问控制器 , 并接收所述访问器发送的 访问响应消息。
9、 一种鉴别服务器, 其特征在于, 包括:
鉴别请求接收模块, 用于接收一访问者发送的身份鉴别请求消息, 所述 身份鉴别请求消息中包含目的网络一访问控制器的第一身份鉴别信息和所述 访问者的第二身份鉴别信息;
鉴别执行模块, 用于根据所述第一身份鉴别信息产生对所述访问控制器 进行身份鉴别后的第一鉴别结果, 以及根据所述第二身份鉴别信息产生对所 述访问者进行身份鉴别后的第二鉴别结果;
鉴别响应发送模块, 用于构造一身份鉴别响应消息发送给所述访问者, 所述身份鉴别响应消息中包含所述第一鉴别结果及第二鉴别结果。
10、 一种访问控制器, 其特征在于, 包括:
访问请求接收模块, 用于接收一访问者发送的访问请求消息;
接入鉴别请求构造模块, 用于构造包含第一身份鉴别信息的接入鉴别请 求消息发送给所述访问者; 所述第一身份鉴别信息是所述访问控制器的身份 鉴别信息;
接入鉴别响应接收模块, 用于接收所述访问者发送的接入鉴别响应消息 得到第二鉴别结果; 所述接入鉴别响应消息由所述访问者根据第一鉴别结果 构造; 所述第一鉴别结果和第二鉴别结果由一鉴别服务器通过身份鉴别响应 消息发送给所述访问者; 其中, 所述第一鉴别结果是由所述鉴别服务器根据 所述访问者发送的身份鉴别请求消息中包含的所述第一身份鉴别信息, 对所 述访问控制器进行身份鉴别后产生, 所述第二鉴別结果是由所述鉴别服务器 根据所述身份鉴别请求消息中包含的第二身份鉴别信息, 对所述访问者进行 身份鉴别后产生;
访问响应发送模块, 用于根据获得的所述第二鉴别结果以及授权策略, 构造一访问响应消息发送给所述访问者。
11、 一种网络访问控制系统, 其特征在于, 包括: 访问者、 目的网络的 访问控制器和鉴权服务器; 其中:
所述访问者, 用于向所述访问控制器发送访问请求消息, 并接收所述访 问控制器发送的包含第一身份鉴别信息的接入鉴别请求消息; 所述第一身份 鉴别信息是所述访问控制器的身份鉴别信息; 以及
向所述鉴别服务器发送包含所述第一身份鉴别信息和第二身份鉴别信息 的身份鉴别请求消息, 所述第二身份鉴别信息是所述访问者的身份鉴别信息, 并接收所述鉴别服务器发送的包含第一鉴权结果和第二鉴权结果的身份鉴别 响应消息; 以及 根据所述第一鉴权结果构造包含所述第二鉴权结果的接入鉴别响应消息 发送给所述访问控制器, 并接收所述访问器发送的访问响应消息;
所述访问控制器, 用于接收所述访问请求消息, 并发送所述接入鉴别请 求消息; 以及
用于接收所述访问者发送的接入鉴别响应消息得到第二鉴别结果, 并根 据获得的所述第二鉴别结果以及授权策略, 构造一访问响应消息发送给所述 访问者;
所述鉴别服务器, 用于根据所述访问者发送的所述第一身份鉴别信息对 所述访问控制器进行身份鉴别, 得到第一鉴别结果; 以及根据所述访问者发 送的第二身份鉴别信息对所述访问者进行身份鉴别, 得到第二鉴别结果; 并 发送包含所述第一鉴别结果和第二鉴别结果的身份鉴别响应消息给所述访问 者。
PCT/CN2011/071821 2010-10-13 2011-03-15 网络访问控制方法及系统 WO2012048552A1 (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2013533072A JP5624219B2 (ja) 2010-10-13 2011-03-15 ネットワークアクセス制御方法およびシステム
US13/879,136 US9038143B2 (en) 2010-10-13 2011-03-15 Method and system for network access control
KR1020137012247A KR101515312B1 (ko) 2010-10-13 2011-03-15 네트워크 액세스의 제어 방법 및 시스템

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
CN201010505950 2010-10-13
CN201010504262 2010-10-13
CN201010504262.3 2010-10-13
CN201010505950.1 2010-10-13
CN201010506041.X 2010-10-13
CN201010506041XA CN101958908B (zh) 2010-10-13 2010-10-13 网络访问控制方法及系统

Publications (1)

Publication Number Publication Date
WO2012048552A1 true WO2012048552A1 (zh) 2012-04-19

Family

ID=45937855

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2011/071821 WO2012048552A1 (zh) 2010-10-13 2011-03-15 网络访问控制方法及系统

Country Status (4)

Country Link
US (1) US9038143B2 (zh)
JP (1) JP5624219B2 (zh)
KR (1) KR101515312B1 (zh)
WO (1) WO2012048552A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9171174B2 (en) 2013-11-27 2015-10-27 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for verifying user data access policies when server and/or user are not trusted
US11356460B2 (en) * 2019-12-31 2022-06-07 Equifax Inc. Secure online access control to prevent identification information misuse
CN114696999A (zh) * 2020-12-26 2022-07-01 西安西电捷通无线网络通信股份有限公司 一种身份鉴别方法和装置
CN114760045A (zh) * 2020-12-26 2022-07-15 西安西电捷通无线网络通信股份有限公司 一种身份鉴别方法和装置
CN114760039A (zh) * 2020-12-26 2022-07-15 西安西电捷通无线网络通信股份有限公司 一种身份鉴别方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1783780A (zh) * 2004-12-04 2006-06-07 华为技术有限公司 域认证和网络权限认证的实现方法及设备
US20060174322A1 (en) * 2005-01-29 2006-08-03 Cisco Technology, Inc Techniques for presenting network identities at a human interface
CN1996842A (zh) * 2006-12-29 2007-07-11 西安西电捷通无线网络通信有限公司 采用分类终端证书实现基于wapi的wlan运营的方法
CN101431517A (zh) * 2008-12-08 2009-05-13 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络连接握手方法
CN101958908A (zh) * 2010-10-13 2011-01-26 西安西电捷通无线网络通信股份有限公司 网络访问控制方法及系统

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08297638A (ja) * 1995-04-26 1996-11-12 Nippon Telegr & Teleph Corp <Ntt> 利用者認証方式
JPH08335208A (ja) 1995-06-08 1996-12-17 Nippon Telegr & Teleph Corp <Ntt> 代理認証方法及びシステム
US8341700B2 (en) 2003-10-13 2012-12-25 Nokia Corporation Authentication in heterogeneous IP networks
US9253151B2 (en) * 2006-05-25 2016-02-02 International Business Machines Corporation Managing authentication requests when accessing networks
CN100566251C (zh) * 2007-08-01 2009-12-02 西安西电捷通无线网络通信有限公司 一种增强安全性的可信网络连接方法
CN100496025C (zh) * 2007-11-16 2009-06-03 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络接入控制方法
CN101247223B (zh) * 2008-03-06 2010-06-09 西安西电捷通无线网络通信有限公司 一种基于可信第三方的实体双向鉴别方法
CN101547444B (zh) 2009-03-11 2010-11-03 西安西电捷通无线网络通信股份有限公司 在wlan中为不同终端提供特定接入流程的方法
CN101572704B (zh) 2009-06-08 2012-05-23 西安西电捷通无线网络通信股份有限公司 一种适合三元对等鉴别可信网络连接架构的访问控制方法
CN101631114B (zh) 2009-08-19 2011-09-21 西安西电捷通无线网络通信股份有限公司 一种基于公钥证书的身份鉴别方法及其系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1783780A (zh) * 2004-12-04 2006-06-07 华为技术有限公司 域认证和网络权限认证的实现方法及设备
US20060174322A1 (en) * 2005-01-29 2006-08-03 Cisco Technology, Inc Techniques for presenting network identities at a human interface
CN1996842A (zh) * 2006-12-29 2007-07-11 西安西电捷通无线网络通信有限公司 采用分类终端证书实现基于wapi的wlan运营的方法
CN101431517A (zh) * 2008-12-08 2009-05-13 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络连接握手方法
CN101958908A (zh) * 2010-10-13 2011-01-26 西安西电捷通无线网络通信股份有限公司 网络访问控制方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
HUANG ZHENHAI ET AL.: "The progress of Tri-element Peer Authentication (TePA) and Access Control Method", INFORMATION TECHNOLOGY & STANDARDIZATION, vol. 6, 2009 *

Also Published As

Publication number Publication date
KR20130103752A (ko) 2013-09-24
JP5624219B2 (ja) 2014-11-12
JP2013542521A (ja) 2013-11-21
KR101515312B1 (ko) 2015-04-24
US9038143B2 (en) 2015-05-19
US20130205374A1 (en) 2013-08-08

Similar Documents

Publication Publication Date Title
JP7175269B2 (ja) モノのインターネットデバイスの記録検証方法及び装置、ならびにid認証方法及び装置
US9467430B2 (en) Device, method, and system for secure trust anchor provisioning and protection using tamper-resistant hardware
CN111416807B (zh) 数据获取方法、装置及存储介质
US11849029B2 (en) Method of data transfer, a method of controlling use of data and cryptographic device
WO2017071496A1 (zh) 实现会话标识同步的方法及装置
WO2016180264A1 (zh) 获取电子文件的方法及装置
WO2019020051A1 (zh) 一种安全认证的方法及装置
TW201701226A (zh) 電子處方操作方法、裝置及系統
CN110958209B (zh) 基于共享密钥的双向认证方法及系统、终端
WO2020173332A1 (zh) 基于可信执行环境的应用激活方法及装置
WO2013087039A1 (zh) 一种安全传输数据方法,装置和系统
JP2016082597A (ja) セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法
CN110198295A (zh) 安全认证方法和装置及存储介质
TW201735578A (zh) 受控的安全碼認證
WO2009105996A1 (zh) 实现服务访问的方法、设备及系统
JP2005517347A (ja) クライアントが許可を検証できるキー管理プロトコルを設けるためのシステムおよび方法
TW200828944A (en) Simplified management of authentication credientials for unattended applications
WO2014187206A1 (zh) 一种备份电子签名令牌中私钥的方法和系统
WO2010069180A1 (zh) 一种密钥分发方法、系统及装置
WO2014187210A1 (zh) 一种电子签名令牌私钥的备份方法和系统
WO2015054086A1 (en) Proof of device genuineness
WO2016011588A1 (zh) 移动管理实体、归属服务器、终端、身份认证系统和方法
JP2016514913A (ja) セッション鍵を確立する方法および装置
WO2012048552A1 (zh) 网络访问控制方法及系统
CN111526130B (zh) 一种轻量级的无证书工业物联网访问控制方法和系统

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 11831949

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2013533072

Country of ref document: JP

Kind code of ref document: A

WWE Wipo information: entry into national phase

Ref document number: 13879136

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 20137012247

Country of ref document: KR

Kind code of ref document: A

122 Ep: pct application non-entry in european phase

Ref document number: 11831949

Country of ref document: EP

Kind code of ref document: A1