1.一種有線局域網(wǎng)的安全訪問控制方法，其特征在于：所述方法包括以下步驟：

1)請求者REQ與鑒別訪問控制器AAC進(jìn)行安全策略協(xié)商：

1.1)安全策略協(xié)商請求：當(dāng)請求者REQ接入鑒別訪問控制器AAC時(shí)，鑒別訪問控制器AAC向請求者REQ發(fā)送安全策略協(xié)商請求分組，該分組包括：TIE_AAC；

其中：

TIE_AAC字段：表示鑒別訪問控制器AAC所支持的三元對等鑒別(TePA)的信息元素，包含鑒別訪問控制器AAC所支持的鑒別和密鑰管理套件及密碼套件；

1.2)安全策略協(xié)商響應(yīng)：請求者REQ收到安全策略協(xié)商請求分組后，進(jìn)行如下處理：

請求者REQ根據(jù)安全策略協(xié)商請求分組中TIE_AAC字段給出的鑒別訪問控制器AAC所支持的鑒別和密鑰管理套件及密碼套件，結(jié)合本地策略選擇一種雙方共有的鑒別和密鑰管理套件及密碼套件，組成安全策略協(xié)商響應(yīng)分組發(fā)送給鑒別訪問控制器AAC；若請求者REQ不支持安全策略協(xié)商請求分組中鑒別訪問控制器AAC所支持的任一鑒別和密鑰管理套件或密碼套件，根據(jù)本地策略可丟棄該分組；

安全策略協(xié)商響應(yīng)分組的主要內(nèi)容包括：TIE_REQ；

其中：

TIE_REQ字段：表示請求者REQ選擇的TePA信息元素，包含請求者REQ所選擇的鑒別和密鑰管理套件及密碼套件；

1.3)鑒別訪問控制器AAC收到安全策略協(xié)商響應(yīng)分組后，進(jìn)行如下處理：

1.3.1)鑒別訪問控制器AAC判斷是否支持請求者REQ所選擇的鑒別和密鑰管理套件及密碼套件，若不支持，則丟棄該分組；若支持，則執(zhí)行1.3.2)；

1.3.2)根據(jù)請求者REQ選擇的鑒別和密鑰管理套件開始相應(yīng)的身份鑒別；

2)請求者REQ與鑒別訪問控制器AAC進(jìn)行身份鑒別；

3)請求者REQ與鑒別訪問控制器AAC進(jìn)行密鑰協(xié)商。

2.根據(jù)權(quán)利要求1所述的有線局域網(wǎng)的安全訪問控制方法，其特征在于：所述步驟1.3)中請求者REQ選擇的鑒別和密鑰管理套件是基于證書的鑒別協(xié)議TAEP-CAAP。

3.根據(jù)權(quán)利要求2所述的有線局域網(wǎng)的安全訪問控制方法，其特征在于：當(dāng)請求者REQ選擇的鑒別和密鑰管理套件是基于證書的鑒別協(xié)議TAEP-CAAP時(shí)，所述步驟2)的具體實(shí)現(xiàn)方式是：

2.1.1)鑒別激活：當(dāng)請求者REQ與鑒別訪問控制器AAC在安全策略協(xié)商過程中協(xié)商選擇采用證書鑒別和密鑰管理套件時(shí)，鑒別訪問控制器AAC向請求者REQ發(fā)送鑒別激活分組以激活請求者REQ進(jìn)行證書鑒別，鑒別激活分組包括：SNonce、ID_AS-AAC、Cert_AAC、Para_ECDH、TIE_ACC以及SIG_AAC；

其中：

SNonce字段：表示鑒別標(biāo)識(shí)，若為首次身份鑒別，則該字段為由鑒別訪問控制器AAC產(chǎn)生的隨機(jī)數(shù)；若為更新的身份鑒別過程，則該字段的值是上一次身份鑒別過程中協(xié)商生成的鑒別標(biāo)識(shí)值；

ID_AS-AAC字段：表示鑒別訪問控制器AAC所信任的鑒別服務(wù)器AS的身份標(biāo)識(shí)ID，是鑒別訪問控制器AAC的證書Cert_AAC的頒發(fā)者鑒別服務(wù)器AS的身份標(biāo)識(shí)ID；

Cert_AAC字段：表示鑒別訪問控制器AAC的證書；

Para_ECDH字段：表示橢圓曲線密碼體制Diffie-Hellman(ECDH)參數(shù)，是請求者REQ和鑒別訪問控制器AAC進(jìn)行ECDH計(jì)算時(shí)采用的橢圓曲線密碼參數(shù)；

TIE_AAC字段：表示鑒別訪問控制器AAC所支持的鑒別和密鑰管理套件及密碼套件；其值同安全策略協(xié)商請求分組中的TIE_AAC字段的值；

SIG_AAC字段：表示鑒別訪問控制器AAC的簽名，是鑒別訪問控制器AAC利用自己的私鑰對本分組中除本字段之外所有字段進(jìn)行的簽名，此字段為可選字段；

2.1.2)接入鑒別請求：請求者REQ收到鑒別激活分組后，進(jìn)行如下處理：

2.1.2.1)如果此次鑒別過程為身份鑒別的更新過程，則請求者REQ檢查鑒別激活分組中的鑒別標(biāo)識(shí)字段值與上一次身份鑒別過程中保存的鑒別標(biāo)識(shí)是否一致，如果不一致，則丟棄該分組；否則執(zhí)行2.1.2.2)；如果此次鑒別過程不是證書鑒別的更新過程，為首次身份鑒別過程，則直接執(zhí)行2.1.2.2)；

2.1.2.2)驗(yàn)證TIE_AAC字段值與安全策略協(xié)商過程中收到的安全策略協(xié)商請求分組中的TIE_AAC字段值是否一致，如果不一致，則丟棄該分組；如果一致，則執(zhí)行2.1.2.3)；

2.1.2.3)如果收到的鑒別激活分組中包含SIG_AAC字段，則驗(yàn)證SIG_AAC字段的正確性，如果不正確，則丟棄該分組；若正確，則執(zhí)行2.1.2.4)；如果收到的鑒別激活分組中未包含SIG_AAC字段，則直接執(zhí)行2.1.2.4)；

2.1.2.4)根據(jù)鑒別激活分組中的ID_AS-AAC字段選擇由該鑒別服務(wù)器AS頒發(fā)的請求者REQ的證書Cert_REQ或者根據(jù)本地策略選擇請求者REQ的證書Cert_REQ，并產(chǎn)生用于ECDH交換的請求者REQ密鑰數(shù)據(jù)x·P和請求者REQ詢問N_REQ，生成接入鑒別請求分組，發(fā)送給鑒別訪問控制器AAC；接入鑒別請求分組主要內(nèi)容包括：SNonce、N_REQ、x·P、ID_AAC、Cert_REQ、Para_ECDH、List_AS-REQ、TIE_REQ以及Sig_REQ；

其中：

SNonce字段：表示鑒別標(biāo)識(shí)，其值同鑒別激活分組中的SNonce字段的值；若為首次身份鑒別過程，則該字段值直接取決于鑒別激活分組中的SNonce字段的值；若為更新的身份鑒別過程，則該字段值為上一次身份鑒別過程中計(jì)算的鑒別標(biāo)識(shí)值；

N_REQ字段：表示請求者REQ詢問，是請求者REQ產(chǎn)生的隨機(jī)數(shù)；

x·P字段：表示請求者REQ的密鑰數(shù)據(jù)，是請求者REQ生成的用于ECDH交換的臨時(shí)公鑰x·P；

ID_AAC字段：表示鑒別訪問控制器AAC的身份標(biāo)識(shí)ID，是根據(jù)鑒別激活分組中鑒別訪問控制器AAC的證書Cert_AAC字段得到；

Cert_REQ字段：表示請求者REQ的證書；

Para_ECDH字段：表示ECDH參數(shù)，是請求者REQ和鑒別訪問控制器AAC進(jìn)行ECDH計(jì)算時(shí)采用的橢圓曲線密碼參數(shù)，其值同鑒別激活分組中的Para_ECDH字段的值；

List_AS-REQ字段：表示請求者REQ所信任的鑒別服務(wù)器AS列表，但不包含請求者REQ的證書Cert_REQ的頒發(fā)者，若請求者REQ除了信任其證書頒發(fā)者以外，還信任其他的某些實(shí)體，可以通過該字段通知鑒別服務(wù)器AAC，本字段為可選字段；

TIE_REQ字段：表示請求者REQ選擇的鑒別和密鑰管理套件及密碼套件；其值同安全策略協(xié)商響應(yīng)分組中的TIE_REQ字段的值；

Sig_REQ字段：表示請求者REQ的簽名，是請求者REQ利用自己的私鑰對本分組中除本字段之外所有字段進(jìn)行的簽名；

2.1.3)證書鑒別請求：鑒別訪問控制器AAC收到接入鑒別請求分組后，進(jìn)行如下處理：

2.1.3.1)如果鑒別訪問控制器AAC發(fā)送了鑒別激活分組，則檢查收到的分組中的SNonce、Para_ECDH字段值和鑒別激活分組中對應(yīng)的字段值是否一致，如果有一個(gè)不一致，則丟棄該分組，否則執(zhí)行2.1.3.2)；如果鑒別訪問控制器AAC沒有發(fā)送鑒別激活分組，則檢查SNonce字段值和上一次證書鑒別過程中計(jì)算的鑒別標(biāo)識(shí)是否一致，并檢查Para_ECDH字段和上一次鑒別激活分組中的Para_ECDH是否一致，如果有一個(gè)不一致，則丟棄該分組；否則執(zhí)行2.1.3.2)；

2.1.3.2)檢查ID_AAC與自己的身份是否一致，并檢查TIE_REQ字段的值與安全策略協(xié)商過程中收到的安全策略協(xié)商響應(yīng)分組中的TIE_REQ字段值是否一致，如果有一個(gè)不一致，則丟棄該分組；否則執(zhí)行2.1.3.3)；

2.1.3.3)如果鑒別訪問控制器AAC的本地策略要求使用鑒別服務(wù)AS來鑒別請求者REQ的證書Cert_REQ，則鑒別訪問控制器AAC生成證書鑒別請求分組，發(fā)送鑒別服務(wù)器AS；否則執(zhí)行2.1.3.4)；

2.1.3.4)鑒別訪問控制器AAC本地鑒別請求者REQ的證書Cert_REQ，即根據(jù)本地緩存的請求者REQ的證書Cert_REQ的驗(yàn)證結(jié)果及根據(jù)本地策略所定義的時(shí)效性確認(rèn)請求者REQ的證書Cert_REQ的驗(yàn)證結(jié)果；若合法，則本地生成用于ECDH交換的密鑰數(shù)據(jù)以及AAC詢問N_AAC，該密鑰數(shù)據(jù)是鑒別訪問控制器AAC的臨時(shí)公鑰y·P，并根據(jù)請求者REQ的臨時(shí)公鑰x·P以及自己的臨時(shí)私鑰y進(jìn)行ECDH計(jì)算得到基密鑰BK以及下一次身份鑒別過程的鑒別標(biāo)識(shí)并保存，然后設(shè)定接入結(jié)果為成功，構(gòu)造接入鑒別響應(yīng)分組發(fā)送給請求者REQ，并允許用戶訪問網(wǎng)絡(luò)；若Cert_REQ的驗(yàn)證結(jié)果為不合法，則鑒別訪問控制器AAC設(shè)定接入結(jié)果為不成功，鑒別訪問控制器AAC的詢問N_AAC和密鑰數(shù)據(jù)y·P可設(shè)置為任意值，構(gòu)造接入鑒別響應(yīng)分組發(fā)送給請求者REQ，然后解除與該請求者REQ的鏈路驗(yàn)證；

證書鑒別請求分組主要內(nèi)容包括：N_AAC、N_REQ、Cert_REQ、Cert_AAC以及List_AS-REQ；

其中：

N_AAC字段：表示鑒別訪問控制器AAC詢問，是鑒別訪問控制器AAC產(chǎn)生的隨機(jī)數(shù)；

N_REQ字段：表示請求者REQ詢問，是請求者REQ產(chǎn)生的隨機(jī)數(shù)，其值同請求者REQ發(fā)送的接入鑒別請求分組中N_REQ字段的值；

Cert_REQ字段：表示請求者REQ的證書，其值同接入鑒別請求分組中Cert_REQ字段的值；

Cert_AAC字段：表示鑒別訪問控制器AAC的證書，其值同鑒別激活分組中Cert_AAC字段的值；

List_AS-REQ字段：表示請求者REQ信任的鑒別服務(wù)器AS列表，其值同請求者REQ發(fā)送的接入鑒別請求分組中的List_AS-REQ字段的值，本字段為可選字段；

2.1.4)證書鑒別響應(yīng)：鑒別服務(wù)器AS收到證書鑒別請求分組后，進(jìn)行如下處理：

2.1.4.1)如果此次鑒別過程為單向鑒別，則只需驗(yàn)證請求者REQ的證書Cert_REQ，如果是雙向鑒別則需要同時(shí)驗(yàn)證鑒別訪問控制器AAC的證書Cert_AAC和請求者REQ的證書Cert_REQ，參照RFC3280進(jìn)行的證書的驗(yàn)證，若無法驗(yàn)證，則將相應(yīng)證書的驗(yàn)證結(jié)果置為證書的頒發(fā)者不明確，否則驗(yàn)證證書的狀態(tài)，然后執(zhí)行2.1.4.2)；

2.1.4.2)根據(jù)證書的驗(yàn)證結(jié)果，構(gòu)造證書鑒別響應(yīng)分組，并且附加相應(yīng)的簽名，發(fā)往鑒別訪問控制器AAC；證書鑒別響應(yīng)分組主要內(nèi)容包括：RES_Cert、SIG_AS-REQ以及SIG_AS-AAC；

其中：

RES_Cert字段：表示證書的驗(yàn)證結(jié)果，本字段包括鑒別訪問控制器AAC詢問值N_AAC、請求者REQ詢問值N_REQ、以及Cert_AAC的驗(yàn)證結(jié)果、Cert_REQ的驗(yàn)證結(jié)果；如果只是單向驗(yàn)證則不包括鑒別訪問控制器AAC的證書Cert_AAC的驗(yàn)證結(jié)果；

SIG_AS-REQ字段：表示請求者REQ信任的鑒別服務(wù)器AS對本分組中證書的驗(yàn)證結(jié)果RES_Cert字段進(jìn)行的簽名；

SIG_AS-AAC字段：表示鑒別訪問控制器AAC信任的鑒別服務(wù)器AS對本分組中除本字段之外所有字段進(jìn)行的簽名；

2.1.5)接入鑒別響應(yīng)：鑒別訪問控制器AAC收到證書鑒別響應(yīng)分組后，進(jìn)行如下處理：

2.1.5.1)檢查證書的驗(yàn)證結(jié)果RES_Cert字段中的鑒別訪問控制器AAC的詢問N_AAC與證書鑒別請求分組中的N_AAC字段值是否相同，若不同，丟棄該分組；若相同，則執(zhí)行2.1.5.2)；

2.1.5.2)驗(yàn)證鑒別訪問控制器AAC所信任的鑒別服務(wù)器AS的簽名SIG_AS-AAC字段是否正確，若不正確，則丟棄該分組；若正確，則執(zhí)行2.1.5.3)；

2.1.5.3)檢查證書的驗(yàn)證結(jié)果RES_Cert字段中Cert_REQ的驗(yàn)證結(jié)果是否合法，若合法，則本地生成用于ECDH交換的密鑰數(shù)據(jù)以及鑒別訪問控制器AAC詢問N_AAC，并根據(jù)請求者REQ的臨時(shí)公鑰x·P以及自己的臨時(shí)私鑰y進(jìn)行ECDH計(jì)算得到基密鑰BK以及下一次身份鑒別過程的鑒別標(biāo)識(shí)并保存，然后設(shè)定接入結(jié)果為成功，構(gòu)造接入鑒別響應(yīng)分組發(fā)送給請求者REQ，并允許用戶訪問網(wǎng)絡(luò)；所述本地生成用于ECDH交換的密鑰數(shù)據(jù)是鑒別訪問控制器AAC的臨時(shí)公鑰y·P；若Cert_REQ的驗(yàn)證結(jié)果為不合法，則鑒別訪問控制器AAC設(shè)定接入結(jié)果為不成功，鑒別訪問控制器AAC的詢問N_AAC和密鑰數(shù)據(jù)y·P可設(shè)置任意值，構(gòu)造接入鑒別響應(yīng)分組發(fā)送給請求者REQ，然后解除與請求者REQ的鏈路驗(yàn)證，接入鑒別響應(yīng)分組主要內(nèi)容包括：N_REQ、N_AAC、Acc_RES、x·P、y·P、ID_AAC、ID_REQ、MRES_Cert以及SIG_AAC或MIC；

其中：

N_REQ字段：表示請求者REQ詢問，是請求者REQ產(chǎn)生的隨機(jī)數(shù)；該字段為可選字段，僅為單向鑒別過程時(shí)，接入鑒別響應(yīng)分組需包含此字段；若存在，其值同請求者REQ發(fā)送的接入鑒別請求分組中N_REQ字段的值；

N_AAC字段：表鑒別訪問控制器AAC的詢問，是鑒別訪問控制器AAC產(chǎn)生的隨機(jī)數(shù)；該字段為可選字段，僅為單向鑒別過程時(shí)，接入鑒別響應(yīng)分組需包含此字段；若存在，其值同鑒別訪問控制器AAC發(fā)送的證書鑒別請求分組中N_AAC字段的值；

Acc_RES字段：表示接入結(jié)果，是鑒別訪問控制器AAC根據(jù)鑒別結(jié)果設(shè)定的接入成功或失敗以及失敗的原因；

x·P：表示請求者REQ的密鑰數(shù)據(jù)，是請求者REQ生成的用于ECDH交換的臨時(shí)公鑰x·P，其值同請求者REQ發(fā)送的接入鑒別請求分組中x·P字段的值；

y·P：表示鑒別訪問控制器AAC的密鑰數(shù)據(jù)，是鑒別訪問控制器AAC生成的用于ECDH交換的臨時(shí)公鑰y·P；

ID_AAC字段：表示鑒別訪問控制器AAC的身份標(biāo)識(shí)ID，是根據(jù)鑒別訪問控制器AAC的證書Cert_AAC字段得到；

ID_REQ字段：表示請求者REQ的身份標(biāo)識(shí)ID，是根據(jù)收到的接入鑒別請求分組中的請求者REQ的證書Cert_REQ字段得到；

MRES_Cert字段：表示復(fù)合的證書驗(yàn)證結(jié)果，本字段是可選字段，僅為雙向鑒別過程時(shí)，在接入鑒別響應(yīng)分組中需包含此字段；若存在，則該字段由證書鑒別響應(yīng)分組中的各個(gè)字段組成，并且值相同；

SIG_AAC字段：表示鑒別訪問控制器AAC的簽名，是鑒別訪問控制器AAC利用自己的私鑰對接入鑒別響應(yīng)分組中除本字段外所有字段的簽名；

MIC字段：表示消息鑒別碼，是鑒別訪問控制器AAC利用鑒別過程中協(xié)商生成的基密鑰BK對接入鑒別響應(yīng)分組中除了本字段外的所有字段及下一次證書鑒別過程的鑒別標(biāo)識(shí)計(jì)算得到的雜湊值；

接入鑒別響應(yīng)分組只需要包含SIG_AAC字段和MIC字段二者之一即可；如果在此次身份鑒別過程中存在鑒別激活分組，且鑒別激活分組包含SIG_AAC字段，則此分組中只包含MIC字段；如果此次身份鑒別過程不存在鑒別激活分組或者鑒別激活分組中沒有包含SIG_AAC字段，則此分組中只包含SIG_AAC字段；

2.1.6)接入鑒別確認(rèn)：請求者REQ收到接入鑒別響應(yīng)分組后，進(jìn)行如下處理：

2.1.6.1)根據(jù)分組中的ID_AAC和ID_REQ字段判斷是否為對應(yīng)當(dāng)前接入鑒別請求分組的接入鑒別響應(yīng)分組，如果不是，則丟棄該分組；若是，則執(zhí)行2.1.6.2)；

2.1.6.2)比較分組中請求者REQ密鑰數(shù)據(jù)x·P字段值與自己發(fā)送的接入鑒別請求分組中的x.P字段值是否一致，若不一致，則丟棄該分組，否則執(zhí)行2.1.6.3)；

2.1.6.3)如果是單向鑒別過程，則比較N_REQ字段值與之前發(fā)送的接入鑒別請求分組中的N_REQ字段值是否一致，若不一致，則丟棄該分組，否則執(zhí)行2.1.6.4)；如果是雙向鑒別過程，則直接執(zhí)行2.1.6.4)；

2.1.6.4)查看分組中的Acc_RES字段，如果接入結(jié)果為不成功，則解除與該鑒別訪問控制器AAC的鏈路驗(yàn)證；否則執(zhí)行2.1.6.5)；

2.1.6.5)如果收到的接入鑒別響應(yīng)分組中含有SIG_AAC字段，則驗(yàn)證SIG_AAC的正確性，如果不正確，則丟棄該分組，否則執(zhí)行2.1.6.6)；如果收到的分組中含有MIC字段，則驗(yàn)證MIC字段的正確性，如果不正確，則丟棄分組，否則執(zhí)行2.1.6.6)；

2.1.6.6)如果是單向鑒別過程，則執(zhí)行2.1.6.8)，否則驗(yàn)證復(fù)合的證書驗(yàn)證結(jié)果MRES_Cert字段中所包含的N_REQ字段值與自己發(fā)送的接入鑒別請求分組中N_REQ字段值是否一致，若不一致，則丟棄該分組；否則驗(yàn)證簽名SIG_AS-REQ是否正確，如果不正確則丟棄該分組，如果正確，則執(zhí)行2.1.6.7)；

2.1.6.7)驗(yàn)證復(fù)合的證書驗(yàn)證結(jié)果MRES_Cert字段中鑒別訪問控制器AAC證書驗(yàn)證結(jié)果是否為合法，如果不合法，則得知該網(wǎng)絡(luò)不合法，不可以訪問該網(wǎng)絡(luò)；否則得到該網(wǎng)絡(luò)是合法的，可以進(jìn)行訪問，并執(zhí)行2.1.6.8)；

2.1.6.8)請求者REQ根據(jù)鑒別訪問控制器AAC的臨時(shí)公鑰y·P和自己的臨時(shí)私鑰x進(jìn)行ECDH計(jì)算得到基密鑰BK以及下一次證書鑒別過程的鑒別標(biāo)識(shí)并保存；

2.1.6.9)如果收到的接入鑒別響應(yīng)分組中含有MIC字段，則是否發(fā)送接入鑒別確認(rèn)分組是可選的；如果收到的分組中含有鑒別訪問控制器AAC的簽名SIG_AAC字段，則需要構(gòu)造接入鑒別確認(rèn)分組，發(fā)送給鑒別訪問控制器AAC，接入鑒別確認(rèn)分組主要內(nèi)容包括：MIC；

其中：

MIC字段：表示消息鑒別碼，是請求者REQ利用鑒別過程中協(xié)商生成的基密鑰BK對鑒別訪問控制器AAC詢問值N_AAC、請求者REQ詢問值N_REQ及下一次證書鑒別過程的鑒別標(biāo)識(shí)計(jì)算得到的雜湊值。