一种网络访问控制方法及系统技术方案

本发明专利技术涉及一种网络访问控制方法及系统，该方法包括：1)访问者REQ向目的网络中的访问控制器AC发送访问请求消息M1；2)访问控制器AC构造接入鉴别请求消息M2发送给访问者REQ；3)访问者REQ构造身份鉴别请求消息M3发送给目的网络的鉴别服务器AS；4)鉴别服务器AS构造身份鉴别响应消息M4发送给访问者REQ；5)访问者REQ构造接入鉴别响应消息M5发送给访问控制器AC；6)访问控制器AC构造访问响应消息M6发送给访问者REQ。本发明专利技术提供了一种能够满足对访问者进行访问控制的应用需求的网络访问控制方法及系统。

【技术实现步骤摘要】

【技术保护点】
１．一种网络访问控制方法，其特征在于：所述网络访问控制方法包括：步骤１），一访问者（ＲＥＱ）向一目的网络中的一访问控制器（ＡＣ）发送一访问请求消息（Ｍ１）；所述访问请求消息（Ｍ１）中包括ＮＲＥＱ和ＱＲＥＱ；其中，ＮＲＥＱ表示访问者（ＲＥＱ）产生的随机数，ＱＲＥＱ表示访问者（ＲＥＱ）的访问请求；步骤２），所述访问控制器（ＡＣ）收到所述访问请求消息（Ｍ１）后，构造一接入鉴别请求消息（Ｍ２）发送给所述访问者（ＲＥＱ）；所述接入鉴别请求消息（Ｍ２）包括访问控制器（ＡＣ）的用以向所述鉴别服务器（ＡＳ）证明所述访问控制器（ＡＣ）身份的合法性的一第一身份鉴别信息（Ｉ１）；所述第一身份鉴别信息（Ｉ１）是利用ＫＡＳ，ＡＣ对ＮＲＥＱ进行对称密码运算后产生的结果，其中，ＫＡＳ，ＡＣ是所述访问控制器（ＡＣ）和所述鉴别服务器（ＡＳ）之间的共享密钥；步骤３），访问者（ＲＥＱ）收到所述接入鉴别请求消息（Ｍ２）后，构造一身份鉴别请求消息（Ｍ３）发送给所述目的网络的一鉴别服务器（ＡＳ）；所述身份鉴别请求消息（Ｍ３）中包括所述第一身份鉴别信息（Ｉ１）以及所述访问者（ＲＥＱ）的用以向所述鉴别服务器（ＡＳ）证明所述访问者（ＲＥＱ）身份的合法性的一第二身份鉴别信息（Ｉ２）；所述第二身份鉴别信息（Ｉ２）是利用ＫＡＳ，ＲＥＱ对ＮＲＥＱ进行对称密码运算后产生的结果，其中，ＫＡＳ，ＲＥＱ是所述访问者（ＲＥＱ）和所述鉴别服务器（ＡＳ）之间的共享密钥；步骤４），所述鉴别服务器（ＡＳ）收到所述身份鉴别请求消息（Ｍ３）后，利用ＫＡＳ，ＡＣ对所述第一身份鉴别信息（Ｉ１）进行鉴别并得到对所述访问控制器（ＡＣ）的一第一鉴别结果以及利用ＫＡＳ，ＲＥＱ对所述第二身份鉴别信息（Ｉ２）进行鉴别并得到对所述访问者（ＲＥＱ）的一第二鉴别结果；所述鉴别服务器（ＡＳ）将所述第一鉴别结果利用ＫＡＳ，ＲＥＱ进行加密形成对所述访问控制器（ＡＣ）的一第一可公开的鉴别结果（Ｃ１）以及将所述第二鉴别结果利用ＫＡＳ，ＡＣ进行加密形成对所述访问者（ＲＥＱ）的一第二可公开的鉴别结果（Ｃ２），所述鉴别服务器（ＡＳ）构造身份鉴别响应消息（Ｍ４）发送给所述访问者（ＲＥＱ）；所述身份鉴别响应消息（Ｍ４）包括所述第一可公开的鉴别结果（Ｃ１）及所述第二可公开的鉴别结果（Ｃ２）；步骤５），所述访问者（ＲＥＱ）收到身份鉴别响应消息（Ｍ４）后，解密所述第一可公开的鉴别结果（Ｃ１）获得所述第一鉴别结果，根据所述第一鉴别结果构造接入一鉴别响应消息（Ｍ５）发送给访问控制器（ＡＣ）；所述接入鉴别响应消息（Ｍ５）中包括第二可公开的鉴别结果（Ｃ２）；步骤６），所述访问控制器（ＡＣ）收到所述接入鉴别响应消息（Ｍ５）后，解密所述第二可公开的鉴别结果（Ｃ２），得到所述第二鉴别结果，并根据一授权策略构造一访问响应消息（Ｍ６）发送给所述访问者（ＲＥＱ）；所述授权策略是指访问控制器（ＡＣ）对ＱＲＥＱ进行授权的策略。...

【技术特征摘要】
...

【专利技术属性】
技术研发人员：李剑雄，杜志强，铁满霞，曹军，周吉阳，王俊峰，张莎，
申请(专利权)人：天维讯达无线电设备检测北京有限责任公司，西安西电捷通无线网络通信股份有限公司，
类型：发明
国别省市：11