專(zhuān)利名稱(chēng):網(wǎng)絡(luò)訪問(wèn)控制方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬信息安全技術(shù)中的網(wǎng)絡(luò)安全應(yīng)用領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)訪問(wèn)控制方法 及系統(tǒng)�。
背景技術(shù):
現(xiàn)有的網(wǎng)絡(luò)訪問(wèn)控制方法中,通常在訪問(wèn)者向目的網(wǎng)絡(luò)發(fā)起訪問(wèn)請(qǐng)求后���,由目的 網(wǎng)絡(luò)中的訪問(wèn)控制器完成對(duì)訪問(wèn)者的鑒別和授權(quán)�����,從而實(shí)現(xiàn)對(duì)訪問(wèn)者的訪問(wèn)控制���。在需要 第三方,如鑒別服務(wù)器�,參與身份鑒別的訪問(wèn)控制場(chǎng)景中,可能因?yàn)樵L問(wèn)控制器自身或者是 目的網(wǎng)絡(luò)的原因��,訪問(wèn)控制器無(wú)法直接與鑒別服務(wù)器連接而導(dǎo)致無(wú)法直接使用鑒別服務(wù)器 提供的鑒別服務(wù)�。在這種情形下,現(xiàn)有的由訪問(wèn)控制器直接連接并使用鑒別服務(wù)器提供鑒 別服務(wù)的訪問(wèn)控制方法將無(wú)法滿足對(duì)訪問(wèn)者進(jìn)行訪問(wèn)控制的實(shí)際應(yīng)用需求���。
發(fā)明內(nèi)容
為了解決背景技術(shù)中存在的上述技術(shù)問(wèn)題�����,本發(fā)明提供了一種能夠滿足對(duì)訪問(wèn)者 進(jìn)行訪問(wèn)控制的應(yīng)用需求的訪問(wèn)控制方法及系統(tǒng)�����。本發(fā)明的技術(shù)解決方案是本發(fā)明提供了一種網(wǎng)絡(luò)訪問(wèn)控制方法�,其特殊之處在 于所述網(wǎng)絡(luò)訪問(wèn)控制方法包括步驟1),一訪問(wèn)者REQ向一目的網(wǎng)絡(luò)的一訪問(wèn)控制器AC發(fā)送一訪問(wèn)請(qǐng)求消息M1����, 所述訪問(wèn)請(qǐng)求消息Ml含有Qkeq,其中��,Qeeq表示所述訪問(wèn)者REQ的訪問(wèn)請(qǐng)求�;步驟2),所述訪問(wèn)控制器AC收到所述訪問(wèn)請(qǐng)求消息Ml后���,構(gòu)造一接入鑒別請(qǐng)求消 息M2發(fā)送給所述訪問(wèn)者REQ����,所述接入鑒別請(qǐng)求消息M2包括所述訪問(wèn)控制器AC的用以向 所述鑒別服務(wù)器AS證明所述訪問(wèn)控制器AC身份合法性的一第一身份鑒別信息Il �����;步驟3)��,所述訪問(wèn)者REQ收到所述接入鑒別請(qǐng)求消息M2后���,構(gòu)造一身份鑒別請(qǐng)求 消息M3發(fā)送給所述目的網(wǎng)絡(luò)的一鑒別服務(wù)器AS����,所述身份鑒別請(qǐng)求消息M3包含所述第一 身份鑒別信息Il以及所述訪問(wèn)者REQ的用以向所述鑒別服務(wù)器AS證明所述訪問(wèn)者REQ身 份合法性的一第二身份鑒別信息12 ��;步驟4)�,所述鑒別服務(wù)器AS收到所述身份鑒別請(qǐng)求消息M3后,根據(jù)所述第一及第 二身份鑒別信息11����、12產(chǎn)生對(duì)所述訪問(wèn)控制器AC的一第一可公開(kāi)的鑒別結(jié)果Cl以及對(duì)所 述訪問(wèn)者REQ的一第二可公開(kāi)的鑒別結(jié)果C2,所述鑒別服務(wù)器AS構(gòu)造一身份鑒別響應(yīng)消息 M4發(fā)送給所述訪問(wèn)者REQ��,所述身份鑒別響應(yīng)消息M4包含所述第一及第二可公開(kāi)的鑒別結(jié) 果 C1��、C2 ��;步驟5)�,所述訪問(wèn)者REQ收到所述身份鑒別響應(yīng)消息M4后��,根據(jù)所述第一可公開(kāi) 的鑒別結(jié)果Cl構(gòu)造一接入鑒別響應(yīng)消息M5發(fā)送給所述訪問(wèn)控制器AC�,所述接入鑒別響應(yīng) 消息M5包含所述第二可公開(kāi)的鑒別結(jié)果C2 ���;步驟6)��,所述訪問(wèn)控制器AC收到所述接入鑒別響應(yīng)消息M5后��,根據(jù)所述第二可公 開(kāi)的鑒別結(jié)果C2以及一授權(quán)策略����,構(gòu)造一訪問(wèn)響應(yīng)消息M6發(fā)送給所述訪問(wèn)者REQ�,其中,所
6述授權(quán)策略是所述訪問(wèn)控制器AC對(duì)Qkeq進(jìn)行授權(quán)的策略���。上訪問(wèn)者REQ和所述鑒別服務(wù)器AS之間共享用于驗(yàn)證相互身份的第一鑒別信息�, 所述訪問(wèn)控制器AC和所述鑒別服務(wù)器AS之間共享用于驗(yàn)證相互身份的第二鑒別信息��。上述授權(quán)策略調(diào)用自所述鑒別服務(wù)器AS或調(diào)用自所述訪問(wèn)控制器AC���。上述步驟1)中�����,所述訪問(wèn)請(qǐng)求消息Ml包含NkeqI IQkeq��,其中���,Nkeq表示所述訪問(wèn)者 REQ產(chǎn)生的隨機(jī)數(shù),I I表示其前后兩信息之間為串聯(lián)��。上述步驟2)中���,所述第一身份鑒別信息11為IAac,所述接入鑒別請(qǐng)求消息M2包含 Neeq ι I Nac I I IAac �����;其中��,Nac表示所述訪問(wèn)控制器AC產(chǎn)生的隨機(jī)數(shù)��;IAac是訪問(wèn)控制器AC利用 與鑒別服務(wù)器AS之間共享的所述第二鑒別信息����,經(jīng)過(guò)密碼運(yùn)算產(chǎn)生的結(jié)果或者是未經(jīng)密 碼運(yùn)算直接發(fā)送給鑒別服務(wù)器AS的訪問(wèn)控制器AC的身份鑒別信息����。上述步驟3)包括步驟3. 1)�,所述訪問(wèn)者REQ收到所述接入鑒別請(qǐng)求消息M2后���,判斷Nkeq是否所述 訪問(wèn)者REQ產(chǎn)生的隨機(jī)數(shù)��,若不是�,則執(zhí)行步驟3. 2)����;若是,則執(zhí)行步驟3.3)�;步驟3. 2),所述訪問(wèn)者REQ丟棄所述鑒別請(qǐng)求消息M2 ��;步驟3. 3)��,所述訪問(wèn)者REQ利用與所述鑒別服務(wù)器AS之間共享的所述第一鑒 別信息�����,經(jīng)過(guò)密碼運(yùn)算產(chǎn)生或者是未經(jīng)密碼運(yùn)算直接發(fā)送給鑒別服務(wù)器AS的所述訪問(wèn)者 REQ的所述第二身份鑒別信息12��,所述第二身份鑒別信息12為IA·���,所述訪問(wèn)者REQ構(gòu) 造所述身份鑒別請(qǐng)求消息M3發(fā)送給所述鑒別服務(wù)器AS�,所述身份鑒別請(qǐng)求消息M3包含 IDac| INeeqI I IAeeJ | IAac,其中��,IDac是所述訪問(wèn)控制器AC的身份標(biāo)識(shí)�����。上述步驟4)包括步驟4. 1)���,所述鑒別服務(wù)器AS收到所述身份鑒別請(qǐng)求消息M3后,根據(jù)IAa����。對(duì)所 述訪問(wèn)控制器AC的身份進(jìn)行鑒別,若所述訪問(wèn)控制器AC的身份非法�����,則執(zhí)行步驟4. 2)��;若 所述訪問(wèn)控制器AC的身份合法����,則執(zhí)行步驟4. 3);步驟4. 2),所述鑒別服務(wù)器AS構(gòu)造所述身份鑒別響應(yīng)消息Μ4發(fā)送給所述訪問(wèn)者 REQ��,所述鑒別響應(yīng)消息Μ4包含IDac Neeq Res(AC) | Res(REQ)��;其中����,Res(AC)是所述鑒別 服務(wù)器AS對(duì)訪問(wèn)控制器AC的一第一鑒別結(jié)果或者是所述鑒別服務(wù)器AS利用與所述訪問(wèn) 者REQ之間共享的所述第一鑒別信息對(duì)所述訪問(wèn)控制器AC的所述第一鑒別結(jié)果經(jīng)過(guò)密碼 運(yùn)算后產(chǎn)生的結(jié)果,Res(REQ)是所述鑒別服務(wù)器AS對(duì)訪問(wèn)者REQ的一第二鑒別結(jié)果或者 是利用與所述訪問(wèn)控制器AC之間共享的所述第二鑒別信息對(duì)所述訪問(wèn)者REQ的所述第二 鑒別結(jié)果經(jīng)過(guò)密碼運(yùn)算后產(chǎn)生的結(jié)果�����;所述第一可公開(kāi)的鑒別結(jié)果Cl為Res(AC)�����,所述第 二可公開(kāi)的鑒別結(jié)果C2為Res(REQ)���;其中��,所述鑒別服務(wù)器AS對(duì)所述訪問(wèn)控制器AC的所 述第一鑒別結(jié)果為Failure���,表示所述鑒別服務(wù)器AS對(duì)所述訪問(wèn)控制器AC鑒別失敗,即所 述訪問(wèn)控制器AC非法����,鑒別服務(wù)器AS對(duì)訪問(wèn)者REQ的所述第二鑒別結(jié)果為Nul 1��,表示無(wú)鑒 別結(jié)果�����;步驟4. 3)�����,所述鑒別服務(wù)器AS對(duì)所述訪問(wèn)者REQ的身份進(jìn)行鑒別�����,若所述訪問(wèn)者 REQ的身份非法��,則執(zhí)行步驟4. 3. 1);若所述訪問(wèn)者REQ的身份合法����,則執(zhí)行步驟4. 3. 2);步驟4. 3. 1)�,所述鑒別服務(wù)器AS構(gòu)造所述身份鑒別響應(yīng)消息M4發(fā)送給訪問(wèn)者 REQ,所述身份鑒別響應(yīng)消息M4包含IDac| | NeeqI Res(AC) | Res(REQ)����;其中��,所述鑒別服務(wù) 器AS對(duì)所述訪問(wèn)控制器AC的所述第一鑒別結(jié)果為T(mén)rue�,表示所述訪問(wèn)控制器AC合法����,所
7述鑒別服務(wù)器AS對(duì)訪問(wèn)者REQ的所述第二鑒別結(jié)果為Failure,表示所述訪問(wèn)者REQ的身 份非法����;步驟4. 3. 2),所述鑒別服務(wù)器AS構(gòu)造所述身份鑒別響應(yīng)消息M4即發(fā)送給訪問(wèn)者 REQ����,所述身份鑒別響應(yīng)消息M4包含IDac| | NeeqI Res(AC) | Res(REQ);其中�,所述鑒別服務(wù) 器AS對(duì)所述訪問(wèn)控制器AC的所述第一鑒別結(jié)果為T(mén)rue,表示所述訪問(wèn)控制器AC合法�����,所 述鑒別服務(wù)器AS對(duì)訪問(wèn)者REQ的所述第二鑒別結(jié)果為T(mén)rue���,表示所述訪問(wèn)者REQ的身份合法�����。上述步驟5)包括步驟5. 1)����,所述訪問(wèn)者REQ收到所述身份鑒別響應(yīng)消息M4后,判斷Nkeq是否所述 訪問(wèn)者REQ產(chǎn)生的隨機(jī)數(shù)�����,若不是�����,則執(zhí)行步驟5. 2)�����;若是���,則執(zhí)行步驟5.3);步驟5. 2)���,所述訪問(wèn)者REQ丟棄所述身份鑒別響應(yīng)消息M4 ����;步驟5. 3) ,SRes(AC)是經(jīng)過(guò)密碼運(yùn)算后的結(jié)果,則所述訪問(wèn)者REQ利用與所述鑒 別服務(wù)器AS共享的所述第一鑒別信息對(duì)Res (AC)進(jìn)行密碼運(yùn)算����,該運(yùn)算是產(chǎn)生Res (AC)時(shí) 所采用的密碼運(yùn)算的逆運(yùn)算,得到所述鑒別服務(wù)器AS對(duì)所述訪問(wèn)控制器AC的所述第一鑒 別結(jié)果��;若Res(AC)為未經(jīng)過(guò)密碼運(yùn)算的結(jié)果����,則所述訪問(wèn)者REQ直接得到鑒別服務(wù)器AS 對(duì)訪問(wèn)控制器AC的所述第一鑒別結(jié)果,若得到的所述第一鑒別結(jié)果為Failure�,表示所述 訪問(wèn)控制器AC非法,則執(zhí)行步驟5. 3. 1)��;若得到的所述第一鑒別結(jié)果為T(mén)rue���,表示所述訪 問(wèn)控制器AC合法����,則執(zhí)行步驟5. 3. 2)�;步驟5.3.1),所述訪問(wèn)者REQ終止訪問(wèn)��;步驟5. 3. 2);所述訪問(wèn)者REQ產(chǎn)生N’·����,并構(gòu)造所述接入鑒別響應(yīng)消息M5發(fā)送給 所述訪問(wèn)控制器AC,所述接入鑒別響應(yīng)消息M5包含Nac I I N’ EEQI I Res (REQ)���,其中��,N’ KEQ表示 所述訪問(wèn)者REQ重新產(chǎn)生的隨機(jī)數(shù)����。上述步驟6)包括步驟6. 1)�,所述訪問(wèn)控制器AC收到所述接入鑒別響應(yīng)消息M5后,判斷Nac是否所 述訪問(wèn)控制器AC產(chǎn)生的隨機(jī)數(shù)�����,若不是����,則執(zhí)行步驟6. 2);若是�����,則執(zhí)行步驟6.3)��;步驟6. 2)���,所述訪問(wèn)控制器AC拒絕所述訪問(wèn)者REQ的訪問(wèn)�;步驟6. 3) ,SRes(REQ)是經(jīng)過(guò)密碼運(yùn)算后的結(jié)果�,則所述訪問(wèn)控制器AC利用與鑒 別服務(wù)器AS共享的所述第二鑒別信息對(duì)Res (REQ)進(jìn)行密碼運(yùn)算,該運(yùn)算是產(chǎn)生Res (REQ) 時(shí)所采用的密碼運(yùn)算的逆運(yùn)算����,得到所述鑒別服務(wù)器AS對(duì)所述訪問(wèn)者REQ的所述第二鑒別 結(jié)果;若Res(REQ)為未經(jīng)過(guò)密碼運(yùn)算的結(jié)果�����,則所述訪問(wèn)控制器AC直接得到鑒別服務(wù)器 AS對(duì)訪問(wèn)者REQ的所述第二鑒別結(jié)果����,若得到的所述第二鑒別結(jié)果為Failure,表示訪問(wèn) 者REQ非法���,則執(zhí)行步驟6. 3. 1)��;若得到的所述第二鑒別結(jié)果為為T(mén)rue�����,表示訪問(wèn)者REQ合 法����,則執(zhí)行步驟6. 3. 2);步驟6. 3. 1)���,所述訪問(wèn)控制器AC拒絕所述訪問(wèn)者REQ的訪問(wèn)�����;步驟6. 3. 2)����,所述訪問(wèn)控制器AC根據(jù)所述授權(quán)策略判斷所述訪問(wèn)者REQ在 步驟1)中發(fā)送的Qkeq是否合法����,若不合法,則執(zhí)行步驟6. 3. 2. 1)�����;若合法,則執(zhí)行步驟 6. 3. 2. 2)���;步驟6. 3. 2. 1)���,所述訪問(wèn)控制器AC拒絕所述訪問(wèn)者REQ的訪問(wèn)�;步驟6. 3. 2. 2),所述訪問(wèn)控制器AC根據(jù)Qkeq構(gòu)造應(yīng)答數(shù)據(jù)RAe���、并構(gòu)造所述訪問(wèn)響應(yīng)消息M6發(fā)送給訪問(wèn)者REQ��,所述訪問(wèn)響應(yīng)消息M6包含N����,KEQ | | RAC�,其中,Rac用于所述訪問(wèn) 控制器AC通知所述訪問(wèn)者REQ是否有權(quán)訪問(wèn)所述目的網(wǎng)絡(luò)��。上述步驟6)還包括步驟6. 4)����,所述訪問(wèn)者REQ收到訪所述問(wèn)響應(yīng)消息M6后,判斷N’ EEQ是否所述訪 問(wèn)者REQ產(chǎn)生的隨機(jī)數(shù)�����,若不是,則執(zhí)行步驟6. 4. 1)����;若是,則執(zhí)行步驟6. 4. 2)���; 步驟6. 4. 1)�����,所述訪問(wèn)者REQ丟棄所述訪問(wèn)響應(yīng)消息M6 ����;步驟6. 4. 2)����,所述訪問(wèn)者REQ根據(jù)Rac判斷是否被所述訪問(wèn)控制器AC授權(quán)訪問(wèn)所 述目的網(wǎng)絡(luò),并據(jù)此對(duì)所述目的網(wǎng)絡(luò)進(jìn)行訪問(wèn)���。上述授權(quán)策略調(diào)用自所述訪問(wèn)控制器AC或所述鑒別服務(wù)器AS;當(dāng)所述授 權(quán)策略調(diào)用自所述鑒別服務(wù)器AS時(shí)�,步驟4)中的所述身份鑒別響應(yīng)消息M4中的 IDac I I Neeq I I Res (AC) | | Res (REQ)修改為 IDac | | Neeq | | Res (AC) | | APas,其中 APas 表示所述 授權(quán)策略���,步驟5)中的所述接入鑒別響應(yīng)消息M5中的Na��。| |N’ eeq Res(REQ)修改為
NacI I N����,keq||APas。一種網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)�,包括訪問(wèn)者REQ�����、目的網(wǎng)絡(luò)的訪問(wèn)控制器AC以及鑒別服 務(wù)器AS��,其特殊之處在于所述訪問(wèn)者REQ向所述訪問(wèn)控制器AC發(fā)送訪問(wèn)請(qǐng)求消息Ml ����;所 述訪問(wèn)控制器AC收到所述訪問(wèn)請(qǐng)求消息Ml后,構(gòu)造接入鑒別請(qǐng)求消息M2發(fā)送給所述訪問(wèn) 者REQ ��;所述訪問(wèn)者REQ收到所述接入鑒別請(qǐng)求消息M2后����,構(gòu)造身份鑒別請(qǐng)求消息M3發(fā)送 給所述鑒別服務(wù)器AS ;所述鑒別服務(wù)器AS根據(jù)所述身份鑒別請(qǐng)求消息M3提供鑒別服務(wù)并 產(chǎn)生可公開(kāi)的鑒別結(jié)果�����,并根據(jù)所述可公開(kāi)的鑒別結(jié)果構(gòu)造身份鑒別響應(yīng)消息M4發(fā)送給 所述訪問(wèn)者REQ ;所述訪問(wèn)者REQ收到所述身份鑒別響應(yīng)消息M4后�,根據(jù)所述身份鑒別響 應(yīng)消息M4中的所述可公開(kāi)的鑒別結(jié)果構(gòu)造接入鑒別響應(yīng)消息M5發(fā)送給所述訪問(wèn)控制器 AC ;所述訪問(wèn)控制器AC收到所述接入鑒別響應(yīng)消息M5后����,根據(jù)所述接入鑒別響應(yīng)消息M5 中的所述可公開(kāi)的鑒別結(jié)果以及一授權(quán)策略構(gòu)造訪問(wèn)響應(yīng)消息M6發(fā)送給所述訪問(wèn)者REQ。本發(fā)明的優(yōu)點(diǎn)是本發(fā)明提出的網(wǎng)絡(luò)訪問(wèn)控制方法及系統(tǒng)����,是在有鑒別服務(wù)器參與且目的網(wǎng)絡(luò)的訪 問(wèn)控制器無(wú)法直接利用鑒別服務(wù)器提供的鑒別服務(wù)的情況下,完成對(duì)訪問(wèn)者身份的鑒別的 網(wǎng)絡(luò)訪問(wèn)控制方法�。本發(fā)明基于密碼機(jī)制,在訪問(wèn)者提出訪問(wèn)請(qǐng)求后�����,由目的網(wǎng)絡(luò)中的訪問(wèn) 控制器對(duì)訪問(wèn)請(qǐng)求進(jìn)行處理�,并通過(guò)訪問(wèn)者向鑒別服務(wù)器發(fā)起對(duì)訪問(wèn)者身份的鑒別請(qǐng)求, 目的網(wǎng)絡(luò)中的訪問(wèn)控制器根據(jù)由訪問(wèn)者轉(zhuǎn)發(fā)的鑒別服務(wù)器的可公開(kāi)的鑒別結(jié)果完成對(duì)訪 問(wèn)者身份的鑒別�����,并根據(jù)授權(quán)策略對(duì)鑒別成功的訪問(wèn)者進(jìn)行授權(quán)管理����。本發(fā)明解決了在訪 問(wèn)控制器無(wú)法直接使用鑒別服務(wù)器提供的鑒別服務(wù)時(shí)而導(dǎo)致的無(wú)法實(shí)施訪問(wèn)控制的問(wèn)題�, 本發(fā)明完全能夠滿足對(duì)訪問(wèn)者進(jìn)行訪問(wèn)控制的實(shí)際應(yīng)用需求��。
圖1是本發(fā)明所提供的網(wǎng)絡(luò)訪問(wèn)控制方法流程圖����。圖2為本發(fā)明所提供的網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)的工作簡(jiǎn)圖。圖3為圖2中步驟Sl的框圖����。圖4為圖2中步驟S2的框圖�。圖5為圖2中步驟S3的框圖。
9
圖6為圖2中步驟S4的框圖�。圖7為圖2中步驟S5的框圖。圖8為圖2中步驟S6的框圖�。
具體實(shí)施例方式請(qǐng)參見(jiàn)圖2,本發(fā)明提供了一種網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)100��。訪問(wèn)控制系統(tǒng)100包括訪 問(wèn)者REQ���、鑒別服務(wù)器AS以及訪問(wèn)控制器AC�����。在系統(tǒng)100工作之前��,訪問(wèn)者REQ和鑒別服 務(wù)器AS之間���、訪問(wèn)控制器AC和鑒別服務(wù)器AS之間已分別共享用于驗(yàn)證相互身份的鑒別信 肩���、ο請(qǐng)參見(jiàn)圖1、圖3至圖7����,網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)100是通過(guò)Sl S6六個(gè)步驟完成對(duì) 訪問(wèn)者REQ的鑒別和授權(quán)的。步驟Sl 請(qǐng)參見(jiàn)圖3��,訪問(wèn)者REQ向目的網(wǎng)絡(luò)的訪問(wèn)控制器AC發(fā)送訪問(wèn)請(qǐng)求消息 Ml��。訪問(wèn)請(qǐng)求消息Ml中含有Qkeq�。其中,Qkeq表示訪問(wèn)者REQ的訪問(wèn)請(qǐng)求���,下同����。步驟S2 請(qǐng)參見(jiàn)圖4�,目的網(wǎng)絡(luò)的訪問(wèn)控制器AC收到訪問(wèn)請(qǐng)求消息Ml后����,構(gòu)造接 入鑒別請(qǐng)求消息M2發(fā)送給訪問(wèn)者REQ���。接入鑒別請(qǐng)求消息M2含有訪問(wèn)控制器AC的身份鑒 別信息II�����,身份鑒別信息Il用來(lái)向鑒別服務(wù)器AS證明訪問(wèn)控制器AC身份的合法性�����。步驟S3 請(qǐng)參見(jiàn)圖5����,訪問(wèn)者REQ收到接入鑒別請(qǐng)求消息M2后���,構(gòu)造身份鑒別請(qǐng) 求消息M3發(fā)送給鑒別服務(wù)器AS。其中�����,身份鑒別請(qǐng)求消息M3中包含了所述身份鑒別信息 II���,以及訪問(wèn)者REQ的身份鑒別信息12�。身份鑒別信息12用來(lái)向鑒別服務(wù)器AS證明訪問(wèn) 者REQ身份的合法性。步驟S4 請(qǐng)參見(jiàn)圖6�,鑒別服務(wù)器AS根據(jù)身份鑒別請(qǐng)求消息M3提供鑒別服務(wù)并產(chǎn) 生可公開(kāi)的鑒別結(jié)果,即根據(jù)身份鑒別請(qǐng)求消息M3中的身份鑒別信息Il和12產(chǎn)生對(duì)訪問(wèn) 控制器AC的可公開(kāi)的鑒別結(jié)果Cl以及訪問(wèn)者REQ的可公開(kāi)的鑒別結(jié)果C2�,鑒別服務(wù)器AS 根據(jù)可公開(kāi)的鑒別結(jié)果Cl和C2構(gòu)造身份鑒別響應(yīng)消息M4發(fā)送給訪問(wèn)者REQ。其中�����,身份 鑒別響應(yīng)消息M4包含所述可公開(kāi)的鑒別結(jié)果Cl和C2����。步驟S5 請(qǐng)參見(jiàn)圖7,訪問(wèn)者REQ收到身份鑒別響應(yīng)消息M4后�����,根據(jù)可公開(kāi)的鑒別 結(jié)果Cl構(gòu)造接入鑒別響應(yīng)消息M5發(fā)送給目的網(wǎng)絡(luò)的訪問(wèn)控制器AC���。其中��,接入鑒別響應(yīng) 消息M5中包含可公開(kāi)的鑒別結(jié)果C2 ��;步驟S6 請(qǐng)參見(jiàn)圖8���,訪問(wèn)控制器AC根據(jù)所述的鑒別服務(wù)器AS可公開(kāi)的鑒別結(jié)果 C2以及授權(quán)策略構(gòu)造訪問(wèn)響應(yīng)消息M6發(fā)送給訪問(wèn)者REQ�。至此�����,完成本發(fā)明對(duì)訪問(wèn)者REQ 的鑒別和授權(quán)的過(guò)程��。其中�����,所述授權(quán)策略是指訪問(wèn)控制器AC對(duì)訪問(wèn)者REQ的訪問(wèn)請(qǐng)求Qkeq 進(jìn)行授權(quán)的策略�����,所述授權(quán)策略可以來(lái)自某一服務(wù)器��,例如鑒別服務(wù)器AS�,也可以來(lái)自訪問(wèn) 控制器AC本地。所述授權(quán)策略已事先內(nèi)置于所述鑒別服務(wù)器AS或訪問(wèn)控制器AC中��,本發(fā) 明僅對(duì)所述授權(quán)策略進(jìn)行調(diào)用�����。按照步驟Sl S6所示之方法運(yùn)作系統(tǒng)100����,即可實(shí)現(xiàn)對(duì)訪問(wèn)者REQ的鑒別和授 權(quán),以滿足對(duì)訪問(wèn)者進(jìn)行訪問(wèn)控制的實(shí)際應(yīng)用需求���。作為優(yōu)選���,步驟Sl的一種具體實(shí)施例是訪問(wèn)者REQ構(gòu)造NkeqI I Qkeq發(fā)送給訪問(wèn)控制器AC,在本實(shí)施例中Nkeq I |Qkeq即為訪 問(wèn)請(qǐng)求消息M1�,在其他實(shí)施例中請(qǐng)求消息Ml還可為其他消息且所述其他消息中至少包含
10Nreq I I Qreq °其中,Nkeq表示訪問(wèn)者REQ產(chǎn)生的隨機(jī)數(shù)��,“| |”表示其前后兩信息之間為串聯(lián)���,下 同��。作為優(yōu)選�����,步驟S2的一種具體實(shí)施例是訪問(wèn)控制器AC收到訪問(wèn)者REQ的訪問(wèn)請(qǐng)求消息Ml即NkeqI | Qkeq后����,構(gòu)造接入鑒別 請(qǐng)求消息M2即Nkeq I I Nac I I IAac發(fā)送給訪問(wèn)者REQ,在其他實(shí)施例中���,接入鑒別請(qǐng)求消息M2為
一至少包含Neeq Nac| I IAac的消息�。其中����,Nac表示訪問(wèn)控制器AC產(chǎn)生的隨機(jī)數(shù),IAac表示訪問(wèn)控制器AC的身份鑒別 信息�,即身份鑒別信息II,是訪問(wèn)控制器AC利用與鑒別服務(wù)器AS之間共享的鑒別信息經(jīng)過(guò) 一種密碼運(yùn)算產(chǎn)生的一個(gè)結(jié)果����,或者是未經(jīng)密碼運(yùn)算就可直接發(fā)送給鑒別服務(wù)器AS的身 份鑒別信息,用來(lái)向鑒別服務(wù)器AS證明訪問(wèn)控制器AC身份的合法性����。作為優(yōu)選,步驟S3的一種具體實(shí)施例是訪問(wèn)者REQ收到訪問(wèn)控制器AC的接入鑒別請(qǐng)求消息M2即NkeqI | Nac| | IAac后�����,首先 判斷Nkeq是否訪問(wèn)者REQ產(chǎn)生的隨機(jī)數(shù)�,如果不是���,丟棄該鑒別請(qǐng)求消息M2;如果是�����,則利用 與鑒別服務(wù)器AS之間共享的鑒別信息經(jīng)過(guò)一種密碼運(yùn)算產(chǎn)生的或者是未經(jīng)密碼運(yùn)算就可 直接發(fā)送給鑒別服務(wù)器AS的訪問(wèn)者REQ的身份鑒別信息IAkeq����,即身份鑒別信息12。然后����, 訪問(wèn)者REQ構(gòu)造身份鑒別請(qǐng)求消息M3即IDac| | Nkeq| | IAkeqI | IAa。發(fā)送給鑒別服務(wù)器AS�。其中,IDa���。是訪問(wèn)控制器AC的身份標(biāo)識(shí)���,下同。在其他實(shí)施例中��,身份鑒別請(qǐng)求消息M3為一至少包含Da�����。| INkeqI IIAkeqI ιIAa。的消 肩���、o作為優(yōu)選�����,步驟4)的一種具體實(shí)施例是4. 1)鑒別服務(wù)器AS收到訪問(wèn)者REQ的身份鑒別請(qǐng)求消息M3即 idac| InkeqI IiakeqI I iaa��。后�,首先根據(jù)iaa����。對(duì)訪問(wèn)控制器Ac的身份進(jìn)行鑒別��,若訪問(wèn)控制器 AC的身份非法�����,則執(zhí)行4. 2)�;若訪問(wèn)控制器AC的身份合法,則執(zhí)行4. 3)����。4. 2)鑒別服務(wù)器AS構(gòu)造身份鑒別響應(yīng)消息M4即IDacI NeeJ Res(AC) | Res(REQ) 發(fā)送給訪問(wèn)者REQ�����。其中,在本實(shí)施例中����,Res(AC)即為可公開(kāi)的鑒別結(jié)果Cl,Res (REQ)即 為可公開(kāi)的鑒別結(jié)果C2��,下同����;Res (AC)是鑒別服務(wù)器AS對(duì)訪問(wèn)控制器AC的鑒別結(jié)果,或 者是利用與訪問(wèn)者REQ之間共享的鑒別信息對(duì)訪問(wèn)控制器AC的鑒別結(jié)果經(jīng)過(guò)一種密碼運(yùn) 算后產(chǎn)生的結(jié)果�����,下同���;Res(REQ)是鑒別服務(wù)器AS對(duì)訪問(wèn)者REQ的鑒別結(jié)果�����,或者是利用 與訪問(wèn)控制器AC之間共享的鑒別信息對(duì)訪問(wèn)者REQ的鑒別結(jié)果經(jīng)過(guò)一種密碼運(yùn)算后產(chǎn)生 的結(jié)果�����,下同����;此時(shí),鑒別服務(wù)器AS對(duì)訪問(wèn)控制器AC的鑒別結(jié)果為“Failure”����,表示鑒別服 務(wù)器AS對(duì)訪問(wèn)控制器AC鑒別失敗,即訪問(wèn)控制器AC非法��,鑒別服務(wù)器AS對(duì)訪問(wèn)者REQ的 鑒別結(jié)果為“Null”���,表示無(wú)鑒別結(jié)果����。4. 3)鑒別服務(wù)器AS對(duì)訪問(wèn)者REQ的身份進(jìn)行鑒別�����,若訪問(wèn)者REQ的身份非法,則 執(zhí)行4. 3. 1)���;若訪問(wèn)者REQ的身份合法�,則執(zhí)行4. 3. 2)���。4. 3. 1)鑒別服務(wù)器AS構(gòu)造身份鑒別響應(yīng)消息M4即 IDac I I Neeq I I Res (AC) | | Res (REQ)發(fā)送給訪問(wèn)者REQ0此時(shí)�����,鑒別服務(wù)器AS對(duì)訪問(wèn)控制器AC 的鑒別結(jié)果為“True”,表示訪問(wèn)控制器AC合法����;鑒別服務(wù)器AS對(duì)訪問(wèn)者REQ的鑒別結(jié)果 為“Failure”,表示訪問(wèn)者REQ的身份非法����。
4. 3. 2)鑒別服務(wù)器AS構(gòu)造身份鑒別響應(yīng)消息M4即 IDac I I Neeq I I Res (AC) | | Res (REQ)發(fā)送給訪問(wèn)者REQ0此時(shí),鑒別服務(wù)器AS對(duì)訪問(wèn)控制器AC 的鑒別結(jié)果為“True”����,表示訪問(wèn)控制器AC合法;鑒別服務(wù)器AS對(duì)訪問(wèn)者REQ的鑒別結(jié)果 為“True”����,表示訪問(wèn)者REQ的身份合法��。在其他實(shí)施例中����,身份鑒別響應(yīng)消息M4為一至少包含 IDac| Neeq Res(AC) | Res (REQ)的消息�。作為優(yōu)選,步驟S5的具體實(shí)施例是5. 1)訪問(wèn)者REQ收到鑒別服務(wù)器AS的身份鑒別響應(yīng)消息M4即 IDac Neeq Res(AC) | Res(REQ)后���,首先判斷隨機(jī)數(shù)Nkeq是否訪問(wèn)者REQ產(chǎn)生的隨機(jī)數(shù)�,若 不是�,則執(zhí)行5. 2);若是�����,則執(zhí)行5. 3)���。5. 2)訪問(wèn)者REQ丟棄該身份鑒別響應(yīng)消息M4���。5. 3)若Res(AC)是經(jīng)過(guò)密碼運(yùn)算后的結(jié)果,則訪問(wèn)者REQ利用與鑒別服務(wù)器AS共 享的鑒別信息對(duì)Res (AC)進(jìn)行一種密碼運(yùn)算�����,該運(yùn)算是產(chǎn)生Res (AC)時(shí)所采用的密碼運(yùn)算 的逆運(yùn)算,得到鑒別服務(wù)器AS對(duì)訪問(wèn)控制器AC的鑒別結(jié)果���。若Res(AC)為未經(jīng)過(guò)密碼運(yùn)算 的結(jié)果����,則直接得到鑒別服務(wù)器AS對(duì)訪問(wèn)控制器AC的鑒別結(jié)果���,若鑒別結(jié)果為“Failure”���, 表示訪問(wèn)控制器AC非法,則執(zhí)行步驟5. 3. 1)���;若為“True”,表示訪問(wèn)控制器AC合法�����,則執(zhí) 行 5. 3. 2)�。5.3.1)訪問(wèn)者REQ終止訪問(wèn)。5. 3. 2)訪問(wèn)者REQ重新產(chǎn)生隨機(jī)數(shù)N���,EEQ,并構(gòu)造接入鑒別響應(yīng)消息M5即 Nac |N��,eeq| Res (REQ)發(fā)送給訪問(wèn)控制器AC����。在其他實(shí)施例中,接入鑒別響應(yīng)消息M5為一至少包含NiJ In�,eeq Res(REQ)的消 肩、ο作為優(yōu)選���,步驟S6的具體實(shí)施例是6. 1)訪問(wèn)控制器AC收到訪問(wèn)者REQ的接入鑒別響應(yīng)消息M5即 NacI |N'eeq| Res(REQ)后����,首先判斷隨機(jī)數(shù)Na�����。是否訪問(wèn)控制器AC產(chǎn)生的隨機(jī)數(shù)Na�。,若不是����, 則執(zhí)行6. 2);若是�,則執(zhí)行6. 3)���。6. 2)訪問(wèn)控制器AC拒絕訪問(wèn)者REQ的訪問(wèn)。6.3)若Res(REQ)是經(jīng)過(guò)密碼運(yùn)算后的結(jié)果�,則訪問(wèn)控制器AC利用與鑒別服務(wù) 器AS共享的鑒別信息對(duì)Res (REQ)進(jìn)行一種密碼運(yùn)算,該運(yùn)算是產(chǎn)生Res (REQ)時(shí)所采用 的密碼運(yùn)算的逆運(yùn)算����,得到鑒別服務(wù)器AS對(duì)訪問(wèn)者REQ的鑒別結(jié)果。若Res(REQ)為未經(jīng) 過(guò)密碼運(yùn)算的結(jié)果�����,則直接得到鑒別服務(wù)器AS對(duì)訪問(wèn)者REQ的鑒別結(jié)果���,若鑒別結(jié)果為 "Failure",表示訪問(wèn)者REQ非法�,則執(zhí)行6. 3. 1)���;若為"True",表示訪問(wèn)者REQ合法,則行 6. 3. 2) ο6. 3. 1)訪問(wèn)控制器AC拒絕訪問(wèn)者REQ的訪問(wèn)�。6.3.2)訪問(wèn)控制器AC根據(jù)授權(quán)策略判斷訪問(wèn)者REQ在步驟Sl中發(fā)送的訪問(wèn) 請(qǐng)求Qkeq是否合法,若判斷訪問(wèn)者REQ在步驟Sl中發(fā)送的訪問(wèn)請(qǐng)求Qkeq不合法�,則執(zhí)行 6. 3. 2. 1);若判斷訪問(wèn)者REQ在步驟Sl中發(fā)送的訪問(wèn)請(qǐng)求Qkeq合法���,則執(zhí)行6. 3. 2. 2)���。6. 3. 2. 1)訪問(wèn)控制器AC拒絕訪問(wèn)者REQ的訪問(wèn)����。6.3.2.2)訪問(wèn)控制器AC根據(jù)Qkeq構(gòu)造應(yīng)答數(shù)據(jù)Rac���、并構(gòu)造訪問(wèn)響應(yīng)消息M6即N’keq| I Rac發(fā)送給訪問(wèn)者REQ�����。其中����,應(yīng)答數(shù)據(jù)Rac用于訪問(wèn)控制器AC通知訪問(wèn)者REQ是否 有權(quán)訪問(wèn)目的網(wǎng)絡(luò)���。其中��,訪問(wèn)控制器AC對(duì)訪問(wèn)者REQ的所述授權(quán)策略可以來(lái)自本地�,也可以由其他 服務(wù)器提供���,當(dāng)所述授權(quán)策略由鑒別服務(wù)器AS提供時(shí)��,則需要將步驟S4中的身份鑒別響應(yīng) 消息M4修改為IDac| Neeq Res(AC) | | APas,其中��,APas表示對(duì)訪問(wèn)者REQ的授權(quán)策略�����;同時(shí) 需要將步驟S5中的接入鑒別響應(yīng)消息M5修改為NacI IN’ eeq| |APas���。至此����,即完成了訪問(wèn)控制器AC對(duì)訪問(wèn)者REQ的鑒別和授權(quán)��,實(shí)現(xiàn)了對(duì)訪問(wèn)控制器 AC的訪問(wèn)控制�。訪問(wèn)者REQ收到訪問(wèn)響應(yīng)消息M6后,首先判斷隨機(jī)數(shù)N’ EEQ是否訪問(wèn)者REQ產(chǎn)生 的隨機(jī)數(shù)N’ ■��,若不是�����,則丟棄該訪問(wèn)響應(yīng)消息M6 ��;若是���,則根據(jù)應(yīng)答數(shù)據(jù)RA�。判斷是否被 訪問(wèn)控制器AC授權(quán)訪問(wèn)目的網(wǎng)絡(luò)�����,并據(jù)此對(duì)目的網(wǎng)絡(luò)進(jìn)行訪問(wèn)�����。在其他實(shí)施例中��,訪問(wèn)響應(yīng)消息M6為一至少包含N’ EEQ Rac的消息�����。
權(quán)利要求
一種網(wǎng)絡(luò)訪問(wèn)控制方法����,其特征在于所述網(wǎng)絡(luò)訪問(wèn)控制方法包括步驟1),一訪問(wèn)者(REQ)向一目的網(wǎng)絡(luò)的一訪問(wèn)控制器(AC)發(fā)送一訪問(wèn)請(qǐng)求消息(M1)�����,所述訪問(wèn)請(qǐng)求消息(M1)含有QREQ����,其中�,QREQ表示所述訪問(wèn)者(REQ)的訪問(wèn)請(qǐng)求���;步驟2)���,所述訪問(wèn)控制器(AC)收到所述訪問(wèn)請(qǐng)求消息(M1)后,構(gòu)造一接入鑒別請(qǐng)求消息(M2)發(fā)送給所述訪問(wèn)者(REQ)���,所述接入鑒別請(qǐng)求消息(M2)包括所述訪問(wèn)控制器(AC)的用以向所述鑒別服務(wù)器(AS)證明所述訪問(wèn)控制器(AC)身份合法性的一第一身份鑒別信息(I1)��;步驟3)����,所述訪問(wèn)者(REQ)收到所述接入鑒別請(qǐng)求消息(M2)后�����,構(gòu)造一身份鑒別請(qǐng)求消息(M3)發(fā)送給所述目的網(wǎng)絡(luò)的一鑒別服務(wù)器(AS)�����,所述身份鑒別請(qǐng)求消息(M3)包含所述第一身份鑒別信息(I1)以及所述訪問(wèn)者(REQ)的用以向所述鑒別服務(wù)器(AS)證明所述訪問(wèn)者(REQ)身份合法性的一第二身份鑒別信息(I2);步驟4)��,所述鑒別服務(wù)器(AS)收到所述身份鑒別請(qǐng)求消息(M3)后���,根據(jù)所述第一及第二身份鑒別信息(I1、I2)產(chǎn)生對(duì)所述訪問(wèn)控制器(AC)的一第一可公開(kāi)的鑒別結(jié)果(C1)以及對(duì)所述訪問(wèn)者(REQ)的一第二可公開(kāi)的鑒別結(jié)果(C2)�,所述鑒別服務(wù)器(AS)構(gòu)造一身份鑒別響應(yīng)消息(M4)發(fā)送給所述訪問(wèn)者(REQ),所述身份鑒別響應(yīng)消息(M4)包含所述第一及第二可公開(kāi)的鑒別結(jié)果(C1�����、C2)����;步驟5),所述訪問(wèn)者(REQ)收到所述身份鑒別響應(yīng)消息(M4)后����,根據(jù)所述第一可公開(kāi)的鑒別結(jié)果(C1)構(gòu)造一接入鑒別響應(yīng)消息(M5)發(fā)送給所述訪問(wèn)控制器(AC),所述接入鑒別響應(yīng)消息(M5)包含所述第二可公開(kāi)的鑒別結(jié)果(C2)����;步驟6),所述訪問(wèn)控制器(AC)收到所述接入鑒別響應(yīng)消息(M5)后�,根據(jù)所述第二可公開(kāi)的鑒別結(jié)果(C2)以及一授權(quán)策略,構(gòu)造一訪問(wèn)響應(yīng)消息(M6)發(fā)送給所述訪問(wèn)者(REQ),其中��,所述授權(quán)策略是所述訪問(wèn)控制器(AC)對(duì)QREQ進(jìn)行授權(quán)的策略�����。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)訪問(wèn)控制方法�,其特征在于所述訪問(wèn)者(REQ)和所述 鑒別服務(wù)器(AS)之間共享用于驗(yàn)證相互身份的第一鑒別信息,所述訪問(wèn)控制器(AC)和所 述鑒別服務(wù)器(AS)之間共享用于驗(yàn)證相互身份的第二鑒別信息�����。
3.根據(jù)權(quán)利要求1或2所述的網(wǎng)絡(luò)訪問(wèn)控制方法��,其特征在于所述授權(quán)策略調(diào)用自 所述鑒別服務(wù)器(AS)或調(diào)用自所述訪問(wèn)控制器(AC)���。
4.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)訪問(wèn)控制方法����,其特征在于在所述步驟1)中��,所述訪 問(wèn)請(qǐng)求消息(Ml)包含NkeqI IQkeq�����,其中,Nkeq表示所述訪問(wèn)者(REQ)產(chǎn)生的隨機(jī)數(shù)�����,I I表示其 前后兩信息之間為串聯(lián)��。
5.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)訪問(wèn)控制方法��,其特征在于在所述步驟2)中�,所述第 一身份鑒別信息(ID為IAac�����,所述接入鑒別請(qǐng)求消息(M2)包含NkeqI INacI I IAac �;其中,Nac表 示所述訪問(wèn)控制器(AC)產(chǎn)生的隨機(jī)數(shù)�;IAac是訪問(wèn)控制器(AC)利用與鑒別服務(wù)器(AS)之 間共享的所述第二鑒別信息,經(jīng)過(guò)密碼運(yùn)算產(chǎn)生的結(jié)果或者是未經(jīng)密碼運(yùn)算直接發(fā)送給鑒 別服務(wù)器(AS)的訪問(wèn)控制器(AC)的身份鑒別信息���。
6.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)訪問(wèn)控制方法���,其特征在于所述步驟3)包括步驟3. 1),所述訪問(wèn)者(REQ)收到所述接入鑒別請(qǐng)求消息(M2)后����,判斷Nkeq是否所述 訪問(wèn)者(REQ)產(chǎn)生的隨機(jī)數(shù)���,若不是,則執(zhí)行步驟3. 2)�����;若是�,則執(zhí)行步驟3. 3);步驟3. 2)��,所述訪問(wèn)者(REQ)丟棄所述鑒別請(qǐng)求消息(M2)�����;步驟3. 3)��,所述訪問(wèn)者(REQ)利用與所述鑒別服務(wù)器(AS)之間共享的所述第一鑒別 信息�����,經(jīng)過(guò)密碼運(yùn)算產(chǎn)生或者是未經(jīng)密碼運(yùn)算直接發(fā)送給鑒別服務(wù)器(AS)的所述訪問(wèn)者 (REQ)的所述第二身份鑒別信息(12)��,所述第二身份鑒別信息(12)為IA·��,所述訪問(wèn)者 (REQ)構(gòu)造所述身份鑒別請(qǐng)求消息(M3)發(fā)送給所述鑒別服務(wù)器(AS),所述身份鑒別請(qǐng)求消 息(M3)包含IDacI InkeqI IiakeqI ι IAac,其中��,idac是所述訪問(wèn)控制器(Ac)的身份標(biāo)識(shí)���。
7.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)訪問(wèn)控制方法�,其特征在于所述步驟4)包括步驟4. 1)�����,所述鑒別服務(wù)器(AS)收到所述身份鑒別請(qǐng)求消息(M3)后���,根據(jù)IAa。對(duì)所述 訪問(wèn)控制器(AC)的身份進(jìn)行鑒別�����,若所述訪問(wèn)控制器(AC)的身份非法�,則執(zhí)行步驟4. 2); 若所述訪問(wèn)控制器(AC)的身份合法�,則執(zhí)行步驟4. 3);步驟4. 2)�����,所述鑒別服務(wù)器(AS)構(gòu)造所述身份鑒別響應(yīng)消息(M4)發(fā)送給所述訪問(wèn)者 (REQ),所述鑒別響應(yīng)消息(M4)包含 IDac Neeq Res(AC) | Res(REQ)���;其中���,Res(AC)是所 述鑒別服務(wù)器(AS)對(duì)訪問(wèn)控制器AC的一第一鑒別結(jié)果或者是所述鑒別服務(wù)器(AS)利用 與所述訪問(wèn)者(REQ)之間共享的所述第一鑒別信息對(duì)所述訪問(wèn)控制器(AC)的所述第一鑒 別結(jié)果經(jīng)過(guò)密碼運(yùn)算后產(chǎn)生的結(jié)果,Res(REQ)是所述鑒別服務(wù)器(AS)對(duì)訪問(wèn)者(REQ)的 一第二鑒別結(jié)果或者是利用與所述訪問(wèn)控制器(AC)之間共享的所述第二鑒別信息對(duì)所述 訪問(wèn)者(REQ)的所述第二鑒別結(jié)果經(jīng)過(guò)密碼運(yùn)算后產(chǎn)生的結(jié)果�;所述第一可公開(kāi)的鑒別結(jié) 果(Cl)為Res(AC),所述第二可公開(kāi)的鑒別結(jié)果(C2)為Res(REQ)�;其中,所述鑒別服務(wù)器 (AS)對(duì)所述訪問(wèn)控制器(AC)的所述第一鑒別結(jié)果為Failure�,表示所述鑒別服務(wù)器(AS) 對(duì)所述訪問(wèn)控制器(AC)鑒別失敗,即所述訪問(wèn)控制器(AC)非法���,鑒別服務(wù)器(AS)對(duì)訪問(wèn) 者(REQ)的所述第二鑒別結(jié)果為Null��,表示無(wú)鑒別結(jié)果���;步驟4. 3),所述鑒別服務(wù)器(AS)對(duì)所述訪問(wèn)者(REQ)的身份進(jìn)行鑒別��,若所述訪問(wèn) 者(REQ)的身份非法�,則執(zhí)行步驟4. 3. 1);若所述訪問(wèn)者(REQ)的身份合法�,則執(zhí)行步驟 4. 3. 2)����;步驟4. 3. 1)����,所述鑒別服務(wù)器(AS)構(gòu)造所述身份鑒別響應(yīng)消息(M4)發(fā)送給訪問(wèn)者 (REQ),所述身份鑒別響應(yīng)消息(M4)包含IDac| |NeeqI Res(AC) | Res(REQ)����;其中,所述鑒別 服務(wù)器(AS)對(duì)所述訪問(wèn)控制器(AC)的所述第一鑒別結(jié)果為T(mén)rue�,表示所述訪問(wèn)控制器 (AC)合法,所述鑒別服務(wù)器(AS)對(duì)訪問(wèn)者(REQ)的所述第二鑒別結(jié)果為Failure�,表示所 述訪問(wèn)者(REQ)的身份非法;步驟4. 3. 2)�����,所述鑒別服務(wù)器(AS)構(gòu)造所述身份鑒別響應(yīng)消息(M4)即發(fā)送給訪問(wèn) 者(REQ)�����,所述身份鑒別響應(yīng)消息(M4)包含IDac| |NkeqI Res(AC) | Res(REQ)�����;其中���,所述鑒 別服務(wù)器(AS)對(duì)所述訪問(wèn)控制器(AC)的所述第一鑒別結(jié)果為T(mén)rue�����,表示所述訪問(wèn)控制器 (AC)合法��,所述鑒別服務(wù)器(AS)對(duì)訪問(wèn)者(REQ)的所述第二鑒別結(jié)果為T(mén)rue����,表示所述訪 問(wèn)者(REQ)的身份合法�。
8.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)訪問(wèn)控制方法,其特征在于所述步驟5)包括 步驟5. 1)��,所述訪問(wèn)者(REQ)收到所述身份鑒別響應(yīng)消息(M4)后��,判斷Nkeq是否所述 訪問(wèn)者(REQ)產(chǎn)生的隨機(jī)數(shù)���,若不是��,則執(zhí)行步驟5. 2)�����;若是�,則執(zhí)行步驟5. 3); 步驟5. 2)��,所述訪問(wèn)者(REQ)丟棄所述身份鑒別響應(yīng)消息(M4)�; 步驟5. 3) ,SRes(AC)是經(jīng)過(guò)密碼運(yùn)算后的結(jié)果,則所述訪問(wèn)者(REQ)利用與所述鑒別 服務(wù)器(AS)共享的所述第一鑒別信息對(duì)Res (AC)進(jìn)行密碼運(yùn)算��,該運(yùn)算是產(chǎn)生Res (AC)時(shí)所采用的密碼運(yùn)算的逆運(yùn)算���,得到所述鑒別服務(wù)器(AS)對(duì)所述訪問(wèn)控制器(AC)的所述第 一鑒別結(jié)果�����;若Res(AC)為未經(jīng)過(guò)密碼運(yùn)算的結(jié)果����,則所述訪問(wèn)者(REQ)直接得到鑒別服務(wù) 器(AS)對(duì)訪問(wèn)控制器(AC)的所述第一鑒別結(jié)果����,若得到的所述第一鑒別結(jié)果為Failure���, 表示所述訪問(wèn)控制器(AC)非法��,則執(zhí)行步驟5. 3. 1)��;若得到的所述第一鑒別結(jié)果為T(mén)rue�����, 表示所述訪問(wèn)控制器(AC)合法����,則執(zhí)行步驟5. 3. 2); 步驟5. 3. 1)��,所述訪問(wèn)者(REQ)終止訪問(wèn)��;步驟5. 3. 2)�;所述訪問(wèn)者(REQ)產(chǎn)生N’·,并構(gòu)造所述接入鑒別響應(yīng)消息(M5)發(fā)送給 所述訪問(wèn)控制器(AC)����,所述接入鑒別響應(yīng)消息(M5)包含NiJ |N’ eeq| IRes(REQ),其中���,N’ EEQ 表示所述訪問(wèn)者(REQ)重新產(chǎn)生的隨機(jī)數(shù)���。
9.根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)訪問(wèn)控制方法����,其特征在于所述步驟6)包括步驟6. 1)�,所述訪問(wèn)控制器(AC)收到所述接入鑒別響應(yīng)消息(M5)后,判斷隊(duì)�。是否所 述訪問(wèn)控制器(AC)產(chǎn)生的隨機(jī)數(shù),若不是�,則執(zhí)行步驟6. 2);若是��,則執(zhí)行步驟6.3)����; 步驟6. 2),所述訪問(wèn)控制器(AC)拒絕所述訪問(wèn)者(REQ)的訪問(wèn)��; 步驟6. 3) ,SRes(REQ)是經(jīng)過(guò)密碼運(yùn)算后的結(jié)果���,則所述訪問(wèn)控制器(AC)利用與鑒別 服務(wù)器(AS)共享的所述第二鑒別信息對(duì)Res (REQ)進(jìn)行密碼運(yùn)算�����,該運(yùn)算是產(chǎn)生Res (REQ) 時(shí)所采用的密碼運(yùn)算的逆運(yùn)算���,得到所述鑒別服務(wù)器(AS)對(duì)所述訪問(wèn)者(REQ)的所述第二 鑒別結(jié)果;若Res(REQ)為未經(jīng)過(guò)密碼運(yùn)算的結(jié)果���,則所述訪問(wèn)控制器(AC)直接得到鑒別服 務(wù)器(AS)對(duì)訪問(wèn)者(REQ)的所述第二鑒別結(jié)果��,若得到的所述第二鑒別結(jié)果為Failure��,表 示訪問(wèn)者REQ非法�����,則執(zhí)行步驟6. 3. 1)���;若得到的所述第二鑒別結(jié)果為為T(mén)rue,表示訪問(wèn)者 (REQ)合法�����,則執(zhí)行步驟6. 3. 2)�;步驟6. 3. 1),所述訪問(wèn)控制器(AC)拒絕所述訪問(wèn)者(REQ)的訪問(wèn)�����; 步驟6. 3. 2),所述訪問(wèn)控制器(AC)根據(jù)所述授權(quán)策略判斷所述訪問(wèn)者(REQ)在 步驟1)中發(fā)送的Qkeq是否合法�����,若不合法��,則執(zhí)行步驟6. 3. 2. 1)�����;若合法�,則執(zhí)行步驟 6. 3. 2. 2);步驟6. 3. 2. 1)���,所述訪問(wèn)控制器(AC)拒絕所述訪問(wèn)者(REQ)的訪問(wèn)��; 步驟6. 3. 2. 2)��,所述訪問(wèn)控制器(AC)根據(jù)Qkeq構(gòu)造應(yīng)答數(shù)據(jù)RAe���、并構(gòu)造所述訪問(wèn)響應(yīng) 消息(M6)發(fā)送給訪問(wèn)者REQ,所述訪問(wèn)響應(yīng)消息(M6)包含N’KEQ| | RAe�,其中,RAe用于所述訪 問(wèn)控制器(AC)通知所述訪問(wèn)者(REQ)是否有權(quán)訪問(wèn)所述目的網(wǎng)絡(luò)����。
10.根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)訪問(wèn)控制方法����,其特征在于所述步驟6)還包括 步驟6. 4)���,所述訪問(wèn)者(REQ)收到訪所述問(wèn)響應(yīng)消息(M6)后,判斷N’ ■是否所述訪問(wèn)者(REQ)產(chǎn)生的隨機(jī)數(shù)��,若不是��,則執(zhí)行步驟6. 4. 1)�;若是,則執(zhí)行步驟6. 4. 2)�; 步驟6. 4. 1),所述訪問(wèn)者(REQ)丟棄所述訪問(wèn)響應(yīng)消息(M6)��; 步驟6. 4. 2)�����,所述訪問(wèn)者(REQ)根據(jù)Rac判斷是否被所述訪問(wèn)控制器(AC)授權(quán)訪問(wèn)所 述目的網(wǎng)絡(luò)��,并據(jù)此對(duì)所述目的網(wǎng)絡(luò)進(jìn)行訪問(wèn)�����。
11.根據(jù)權(quán)利要求9或10所述的網(wǎng)絡(luò)訪問(wèn)控制方法,其特征在于所述授權(quán)策略調(diào)用 自所述訪問(wèn)控制器(AC)或所述鑒別服務(wù)器(AS)��;當(dāng)所述授權(quán)策略調(diào)用自所述鑒別服務(wù)器 (AS)時(shí)����,步驟4)中的所述身份鑒別響應(yīng)消息(M4)中的IDac Neeq Res(AC) | Res(REQ)修 改為IDa。| INeeqI Res(AC) I I APas��,其中APas表示所述授權(quán)策略��,步驟5)中的所述接入鑒別響 應(yīng)消息(M5)中的Nac N��,圃Res (REQ)修改為Nac N�,細(xì)| | APaso
12. —種網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng),包括訪問(wèn)者(REQ)�����、目的網(wǎng)絡(luò)的訪問(wèn)控制器(AC)以及鑒 別服務(wù)器(AS)�,其特征在于所述訪問(wèn)者(REQ)向所述訪問(wèn)控制器(AC)發(fā)送訪問(wèn)請(qǐng)求消息 (Ml);所述訪問(wèn)控制器(AC)收到所述訪問(wèn)請(qǐng)求消息(Ml)后�����,構(gòu)造接入鑒別請(qǐng)求消息(M2) 發(fā)送給所述訪問(wèn)者(REQ);所述訪問(wèn)者(REQ)收到所述接入鑒別請(qǐng)求消息(M2)后��,構(gòu)造身 份鑒別請(qǐng)求消息(M3)發(fā)送給所述鑒別服務(wù)器(AS)�;所述鑒別服務(wù)器(AS)根據(jù)所述身份鑒 別請(qǐng)求消息(M3)提供鑒別服務(wù)并產(chǎn)生可公開(kāi)的鑒別結(jié)果,并根據(jù)所述可公開(kāi)的鑒別結(jié)果 構(gòu)造身份鑒別響應(yīng)消息(M4)發(fā)送給所述訪問(wèn)者(REQ)����;所述訪問(wèn)者(REQ)收到所述身份鑒 別響應(yīng)消息(M4)后���,根據(jù)所述身份鑒別響應(yīng)消息(M4)中的所述可公開(kāi)的鑒別結(jié)果構(gòu)造接 入鑒別響應(yīng)消息(M5)發(fā)送給所述訪問(wèn)控制器(AC)����;所述訪問(wèn)控制器(AC)收到所述接入鑒 別響應(yīng)消息(M5)后�����,根據(jù)所述接入鑒別響應(yīng)消息(M5)中的所述可公開(kāi)的鑒別結(jié)果以及一 授權(quán)策略構(gòu)造訪問(wèn)響應(yīng)消息(M6)發(fā)送給所述訪問(wèn)者(REQ)��。
全文摘要
本發(fā)明涉及一種網(wǎng)絡(luò)訪問(wèn)控制方法及系統(tǒng)����,該方法包括1)訪問(wèn)者REQ向訪問(wèn)控制器AC發(fā)送訪問(wèn)請(qǐng)求消息M1;2)訪問(wèn)控制器AC構(gòu)造接入鑒別請(qǐng)求消息M2發(fā)送給訪問(wèn)者REQ����;3)訪問(wèn)者REQ構(gòu)造身份鑒別請(qǐng)求消息M3發(fā)送給鑒別服務(wù)器AS���;4)鑒別服務(wù)器AS構(gòu)造身份鑒別響應(yīng)消息M4發(fā)送給訪問(wèn)者REQ;5)訪問(wèn)者REQ收到構(gòu)造接入鑒別響應(yīng)消息M5發(fā)送給訪問(wèn)控制器AC�;6)訪問(wèn)控制器AC構(gòu)造訪問(wèn)響應(yīng)消息M6發(fā)送給訪問(wèn)者REQ。本發(fā)明提供了一種能夠滿足對(duì)訪問(wèn)者進(jìn)行訪問(wèn)控制的應(yīng)用需求的訪問(wèn)控制方法及系統(tǒng)����。
文檔編號(hào)H04L29/06GK101958908SQ20101050604
公開(kāi)日2011年1月26日 申請(qǐng)日期2010年10月13日 優(yōu)先權(quán)日2010年10月13日
發(fā)明者曹軍, 杜志強(qiáng), 鐵滿霞, 黃振海 申請(qǐng)人:西安西電捷通無(wú)線網(wǎng)絡(luò)通信股份有限公司