[发明专利]一种可信接入中的网络资源访问控制方法

说明书

技术领域

本发明涉及一种网络资源访问控制方法，尤其涉及一种可信接入中的网络资源访问控制方法，属于网络通信领域。 

背景技术

近年来，随着各种接入技术的普及，网络用户数量也呈爆炸性趋势增长，根据中国互联网协会的统计，截至2006年底，我国网民人数已达1.3亿，年增长率达到了30％。网络用户数的增加，也使得网络遭受安全攻击的可能性大大增加，网络黑客通过计算机网络可以轻易的传播病毒，盗取信用卡帐号，并利用网络安全漏洞获取商业利益，由此带来了大量的网络犯罪活动。根据我国公安机关发布的数据，2005年我国共处理网络安全犯罪近3万起，造成的直接经济损失约10亿元人民币。2006年底的熊猫烧香病毒，在很短的时间内，席卷了整个互联网，给我国造成了上亿元的经济损失。 

解决网络安全问题的关键是如何有效的控制非法用户的接入，于是，网络运营商采用了各种接入认证技术来限制终端节点的接入。然而IETF NEA工作组认为：仅仅使用传统的接入认证技术是不够的，恶意软件可能会利用受感染的合法终端攻击网络。由此出现了几种可信接入安全技术，这些技术的主要思路是从终端着手，通过管理员指定的安全策略，对接入网络的主机进行安全性检测，自动拒绝不安全的主机接入网络，直到这些主机符合网络内的安全策略为止。目前具有代表性的技术包括：思科的网络接入控制技术NAC，微软的网络接入保护技术NAP，及TNC组织的可信网络连接技术。这些可信接入技术的基本思路是对终端进行完整性检测和评估，并在评估的基础上对终端进行接入控制，限制终端对特定资源的访问。 

可信接入的基本目标是对终端的接入控制。接入控制通常分为两种方法：一种是被访问的网络资源与终端之间配置共享密钥，双方通过共享密钥进行认证，并根据认证结果对终端进行访问控制，然而这种方法需要在网络接入设备上配置终端信息，当网络规模较大时，密钥分配工作量将会非常大，导致密钥的存储空间需求也会很大；另一种是基于数字证书机制，只有能提供数字证书的终端用户才能访问特定的网络资源，然而这种方法需要对数字证书进行验证，增加了访问控制的时延，同时数字证书的传输也需要额外的带宽。 

发明内容

本发明为解决现有的可信接入控制技术在大规模组网中存在的存储和验证计算开销方面的问题而提出一种可信接入中的网络资源访问控制方法。 

一种可信接入中的网络资源访问控制方法，其特征在于包括如下步骤： 

第一步：可信接入服务器进行系统初始化，初始化过程如下： 

(1)用SEA算法随机创建椭圆曲线y²＝x³+ax+bmodp，并计算其阶为第一素数n； 

(2)在椭圆曲线上选取一点G作为第一基点，选取方法为： 

a.随机选择一个第二素数G_x，令x＝G_x； 

b.求解方程y²＝x³+ax+bmod p，获得相应的y，则第一基点G＝<x，y>；

其中：p为奇素数，F_p为SEA算法中的有限域，系数a、b∈F_p； 

第二步：密钥材料分发，包括资源所有者s_t的密钥分发和终端m_t′的密钥分发： 

(1)资源所有者s_t的密钥分发，包括如下步骤： 

a.对于每一个资源所有者s_t∈S，可信接入服务器随机选取一个为整数的资源所有者s_t∈Z_n； 

b.计算公钥Gst=stG=G+...+G;]]>

c.可信接入服务器保持选取的为整数的资源所有者s_t为私有信息，并将公钥 分配给对应的资源所有者s_t；