[发明专利]一种网络访问控制方法及系统

说明书

技术领域

本发明属信息安全技术中的网络安全应用领域，尤其涉及一种网络访问控制方法及系统。

背景技术

现有的网络访问控制方法中，通常在访问者向目的网络发起访问请求后，由目的网络中的访问控制器完成对访问者的鉴别和授权，从而实现对访问者的访问控制。在需要第三方，如鉴别服务器，参与身份鉴别的访问控制场景中，可能因为访问控制器自身或者是目的网络的原因，访问控制器无法直接与鉴别服务器连接而导致访问控制器无法直接使用鉴别服务器提供的鉴别服务。在这种情形下，现有的由访问控制器直接连接并使用鉴别服务器提供鉴别服务的访问控制方法将无法满足对访问者进行访问控制的实际应用需求。

发明内容

为了解决背景技术中存在的上述技术问题，本发明提供了一种能够满足对访问者进行访问控制的应用需求的网络访问控制方法及系统。

本发明的技术解决方案是：本发明提供了一种网络访问控制方法，其特殊之处在于：所述网络访问控制方法包括以下步骤：

步骤1)，一访问者REQ向一目的网络中的一访问控制器AC发送一访问请求消息M1；所述访问请求消息M1中包括N_REQ和Q_REQ；其中，N_REQ表示访问者REQ产生的随机数，Q_REQ表示访问者REQ的访问请求；

步骤2)，所述访问控制器AC收到所述访问请求消息M1后，构造一接入鉴别请求消息M2发送给所述访问者REQ；所述接入鉴别请求消息M2包括所述访问控制器AC的用以向所述鉴别服务器AS证明所述访问控制器AC身份的合法性的一第一身份鉴别信息I1；所述第一身份鉴别信息I1是利用K_AS，AC对N_REQ进行对称密码运算后产生的结果；其中，K_AS，AC是所述访问控制器AC和所述鉴别服务器AS之间的共享密钥；

步骤3)，访问者REQ收到所述接入鉴别请求消息M2后，构造一身份鉴别请求消息M3发送给所述目的网络的一鉴别服务器AS；所述身份鉴别请求消息M3中包括所述第一身份鉴别信息I1以及所述访问者REQ的第二身份鉴别信息I2；所述第二身份鉴别信息I2用以向鉴别服务器AS证明访问者REQ身份的合法性，是利用K_AS，REQ对N_REQ进行对称密码运算后产生的结果；其中，K_AS，REQ是所述访问者REQ和所述鉴别服务器AS之间的共享密钥；

步骤4)，鉴别服务器AS收到所述身份鉴别请求消息M3后，利用共享密钥K_AS，AC对所述身份鉴别请求消息M3中的第一身份鉴别信息I1进行鉴别并得到对所述访问控制器AC的第一鉴别结果、利用K_AS，REQ对所述第二身份鉴别信息I2进行鉴别并得到对所述访问者REQ的第二鉴别结果，所述鉴别服务器AS将所述第一鉴别结果利用K_AS，REQ进行加密形成对所述访问控制器AC的第一可公开的鉴别结果C1以及将所述第二鉴别结果利用K_AS，AC进行加密形成对所述访问者REQ的第二可公开的鉴别结果C2，所述鉴别服务器AS构造身份鉴别响应消息M4发送给所述访问者REQ；所述身份鉴别响应消息M4包括所述第一可公开的鉴别结果C1及所述第二可公开的鉴别结果C2；

步骤5)，访问者REQ收到身份鉴别响应消息M4后，解密第一可公开的鉴别结果C1获得所述第一鉴别结果，根据所述第一鉴别结果构造接入鉴别响应消息M5发送给访问控制器AC；所述接入鉴别响应消息M5中包括第二可公开的鉴别结果C2；

步骤6)，访问控制器AC收到所述接入鉴别响应消息M5后，解密所述第二可公开的鉴别结果C2，得到所述第二鉴别结果，并根据一授权策略构造访问响应消息M6发送给所述访问者REQ，所述授权策略是指访问控制器AC对访问者REQ的访问请求Q_REQ进行授权的策略。

上述步骤1中，所述访问请求消息M1包括N_REQ||Q_REQ，其中||表示其前后两信息之间为串联。

可选的，上述步骤2)中，所述第一身份鉴别信息I1为E(K_AS，AC，N_REQ)，所述接入鉴别请求消息M2包括N_REQ||N_AC||E(K_AS，AC，N_REQ)；