【技术实现步骤摘要】
一种身份鉴别方法和装置
[0001]本申请涉及网络通信安全
,特别是涉及一种身份鉴别方法和装置。
技术介绍
[0002]目前,通信网络通常要求在用户和网络接入点之间执行双向身份鉴别,确保只有合法用户才能与合法网络通信,在已有的实体鉴别方案中,实体的身份要么统一采用数字证书,要么实体之间采用预共享密钥的形式,但在实际应用中某些场景下,面临一端采用数字证书作为身份凭证、另一端采用预共享密钥作为身份凭证的情况,这对实体身份鉴别机制提出了挑战。
[0003]另外,在身份鉴别过程中,直接暴露实体的身份信息,而某些时候,实体的身份信息包含了实体的若干私密或敏感信息,譬如身份证号、家庭住址、银行卡信息等,若被攻击者截获继而被其利用从事非法活动,后果将不堪设想,如何在不暴露身份敏感信息的前提下完成实体身份鉴别成为当务之急。
技术实现思路
[0004]为了解决上述技术问题,本申请提供了一种身份鉴别方法和装置,实现在请求设备采用数字证书以及鉴别接入控制器采用预共享密钥作为身份凭证的情况下实体双向身份鉴别以及实体的身份保护。
[0005]有鉴于此,本申请第一方面提供了一种身份鉴别方法,包括:
[0006]鉴别接入控制器接收请求设备发送的身份密文消息,所述身份密文消息中包括所述请求设备的身份信息密文,所述请求设备的身份信息密文是所述请求设备利用消息加密密钥对包括所述请求设备的数字证书在内的加密数据加密生成的;
[0007]所述鉴别接入控制器利用所述消息加密密钥解密所述请求设备的身份信息密...
【技术保护点】
【技术特征摘要】
1.一种身份鉴别方法,其特征在于,所述方法包括:鉴别接入控制器接收请求设备发送的身份密文消息,所述身份密文消息中包括所述请求设备的身份信息密文,所述请求设备的身份信息密文是所述请求设备利用消息加密密钥对包括所述请求设备的数字证书在内的加密数据加密生成的;所述鉴别接入控制器利用所述消息加密密钥解密所述请求设备的身份信息密文得到所述请求设备的数字证书,向其信任的第一鉴别服务器发送第一鉴别请求消息,所述第一鉴别请求消息中包括所述请求设备的数字证书和所述鉴别接入控制器的身份鉴别码;所述鉴别接入控制器的身份鉴别码是所述鉴别接入控制器利用与所述第一鉴别服务器的预共享密钥,采用与所述第一鉴别服务器约定的密码算法对包括所述请求设备的数字证书在内的信息计算生成的;所述鉴别接入控制器接收所述第一鉴别服务器发送的第一鉴别响应消息,所述第一鉴别响应消息中包括第一鉴别结果信息、所述请求设备信任的第二鉴别服务器的第一数字签名、第二鉴别结果信息和所述第一鉴别服务器的第一消息鉴别码;所述第一鉴别结果信息中包括对所述鉴别接入控制器的身份鉴别码的第一验证结果,所述第一数字签名是所述第二鉴别服务器对包括所述第一鉴别结果信息在内的签名数据计算生成的数字签名,所述第二鉴别结果信息中包括对所述请求设备的数字证书的第二验证结果,所述第一鉴别服务器的第一消息鉴别码是所述第一鉴别服务器利用与所述鉴别接入控制器的预共享密钥,采用与所述鉴别接入控制器约定的密码算法对包括所述第二鉴别结果信息在内的信息计算生成的;所述鉴别接入控制器利用与所述第一鉴别服务器的预共享密钥,采用与所述第一鉴别服务器约定的密码算法验证所述第一鉴别服务器的第一消息鉴别码,若验证通过,则所述鉴别接入控制器根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;当所述鉴别接入控制器确定所述请求设备的身份鉴别结果为合法时,向所述请求设备发送第三鉴别响应消息;或者,所述鉴别接入控制器利用与所述第一鉴别服务器的预共享密钥,采用与所述第一鉴别服务器约定的密码算法验证所述第一鉴别服务器的第一消息鉴别码,若验证通过,则所述鉴别接入控制器向所述请求设备发送第三鉴别响应消息以及根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;或者,所述鉴别接入控制器利用与所述第一鉴别服务器的预共享密钥,采用与所述第一鉴别服务器约定的密码算法验证所述第一鉴别服务器的第一消息鉴别码;若所述第一鉴别服务器的第一消息鉴别码验证通过,则所述鉴别接入控制器根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;所述鉴别接入控制器向所述请求设备发送第三鉴别响应消息;其中,所述第三鉴别响应消息中包括鉴别结果信息密文,所述鉴别结果信息密文是所述鉴别接入控制器利用所述消息加密密钥对包括所述第一鉴别结果信息和所述第一数字签名在内的加密数据加密生成的;所述请求设备接收到所述第三鉴别响应消息后,利用所述消息加密密钥解密所述鉴别结果信息密文得到所述第一鉴别结果信息和所述第一数字签名,利用所述第二鉴别服务器的公钥对所述第一数字签名进行验证,若验证通过,则根据所述第一鉴别结果信息中的第
一验证结果确定所述鉴别接入控制器的身份鉴别结果。2.根据权利要求1所述的方法,其特征在于,在所述鉴别接入控制器接收请求设备发送的身份密文消息之前,所述方法还包括:所述鉴别接入控制器向所述请求设备发送密钥请求消息,所述密钥请求消息中包括所述鉴别接入控制器的密钥交换参数;所述请求设备根据包括所述请求设备的密钥交换参数对应的临时私钥和所述鉴别接入控制器的密钥交换参数所包括的临时公钥进行密钥交换计算生成第一密钥,根据包括所述第一密钥在内的信息利用密钥导出算法计算所述消息加密密钥;则所述身份密文消息中还包括所述请求设备的密钥交换参数;所述鉴别接入控制器根据包括所述鉴别接入控制器的密钥交换参数对应的临时私钥和所述请求设备的密钥交换参数所包括的临时公钥进行密钥交换计算生成所述第一密钥,根据包括所述第一密钥在内的信息利用所述密钥导出算法计算所述消息加密密钥。3.根据权利要求2所述的方法,其特征在于,所述密钥请求消息中还包括所述鉴别接入控制器生成的第一随机数;则所述请求设备计算所述消息加密密钥具体包括:所述请求设备根据包括所述第一密钥、所述第一随机数和所述请求设备生成的第二随机数在内的信息计算所述消息加密密钥;对应的,所述身份密文消息中还包括所述第二随机数;则所述鉴别接入控制器计算所述消息加密密钥具体包括:所述鉴别接入控制器根据包括所述第一密钥、所述第一随机数和所述第二随机数在内的信息计算所述消息加密密钥。4.根据权利要求3所述的方法,其特征在于,所述身份密文消息中还包括所述第一随机数;则在所述鉴别接入控制器计算所述消息加密密钥之前,所述方法还包括:所述鉴别接入控制器对所述身份密文消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;若验证通过,则所述鉴别接入控制器再计算所述消息加密密钥。5.根据权利要求2所述的方法,其特征在于,所述密钥请求消息中还包括所述鉴别接入控制器支持的安全能力参数信息;所述方法还包括:所述请求设备根据所述安全能力参数信息确定所述请求设备使用的特定安全策略;则所述身份密文消息中还包括所述特定安全策略。6.根据权利要求2所述的方法,其特征在于,所述密钥请求消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识;则所述方法还包括:所述请求设备根据所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识,确定所述请求设备信任的至少一个鉴别服务器的身份标识;则所述身份密文消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识;所述方法还包括:所述鉴别接入控制器根据所述身份密文消息中所述请求设备信任的至少一个鉴别服务器的身份标识和所述密钥请求消息中的所述鉴别接入控制器信任的至少一个鉴别服务
器的身份标识,确定所述第一鉴别服务器。7.根据权利要求1所述的方法,其特征在于,所述身份密文消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识;则所述方法还包括:所述鉴别接入控制器根据所述请求设备信任的至少一个鉴别服务器的身份标识和所述鉴别接入控制器信任的鉴别服务器的身份标识,确定所述第一鉴别服务器。8.根据权利要求1所述的方法,其特征在于,所述第一鉴别请求消息中还包括所述鉴别接入控制器的身份标识和/或所述鉴别接入控制器生成的第一随机数;对应的,所述第一鉴别响应消息中还包括所述鉴别接入控制器的身份标识和/或所述第一随机数;则在所述鉴别接入控制器确定所述请求设备的身份鉴别结果之前,所述方法还包括:所述鉴别接入控制器对所述第一鉴别响应消息中的所述鉴别接入控制器的身份标识和所述鉴别接入控制器自身的身份标识的一致性进行验证;和/或,对所述第一鉴别响应消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;若验证通过,则所述鉴别接入控制器再根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果。9.根据权利要求1所述的方法,其特征在于,所述第一鉴别请求消息中还包括所述请求设备的身份标识,和/或,所述请求设备生成的第二随机数;所述请求设备的身份标识是所述接入控制器解密所述请求设备的身份信息密文获取的,所述第二随机数是所述鉴别接入控制器从所述身份密文消息中获取的;相应的,所述第一鉴别响应消息中还包括所述请求设备的身份标识和/或所述第二随机数;以及,所述第三鉴别响应消息中的鉴别结果信息密文的加密数据还包括所述请求设备的身份标识和/或所述第二随机数;相应的,所述请求设备对所述第三鉴别响应消息中的鉴别结果信息密文解密还得到所述请求设备的身份标识和/或所述第二随机数;则在所述请求设备确定所述鉴别接入控制器的身份鉴别结果之前,所述方法还包括:所述请求设备对解密所述鉴别结果信息密文得到的所述请求设备的身份标识与所述请求设备自身的身份标识的一致性进行验证,和/或,对解密所述鉴别结果信息密文得到的所述第二随机数和所述请求设备生成的第二随机数的一致性进行验证;若验证通过,则所述请求设备再根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。10.根据权利要求1所述的方法,其特征在于,当所述身份密文消息中还包括所述请求设备的数字签名时,在所述鉴别接入控制器确定所述请求设备的身份鉴别结果之前,所述方法还包括:所述鉴别接入控制器确定所述请求设备的数字签名是否验证通过,若确定所述请求设备的数字签名验证通过,则所述鉴别接入控制器再根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果。11.根据权利要求10所述的方法,其特征在于,所述鉴别接入控制器确定所述请求设备的数字签名是否验证通过,包括:所述第二鉴别服务器利用获取的所述请求设备的数字证书,对所述请求设备的数字签
名进行验证,若所述鉴别接入控制器接收到所述第一鉴别响应消息,则确定所述请求设备的数字签名已验证通过;或者,所述鉴别接入控制器利用解密所述身份信息密文得到的所述请求设备的数字证书对所述请求设备的数字签名进行验证,根据验证结果确定所述请求设备的数字签名是否验证通过;或者,当所述第二鉴别结果信息中还包括所述请求设备的数字证书时,所述鉴别接入控制器利用所述第二鉴别结果信息中的所述请求设备的数字证书对所述请求设备的数字签名进行验证,根据验证结果确定所述请求设备的数字签名是否验证通过;或者,当所述第二鉴别结果信息中还包括所述请求设备的数字证书时,所述鉴别接入控制器验证所述第二鉴别结果信息中的所述请求设备的数字证书和解密所述身份信息密文获得的所述请求设备的数字证书的一致性;若一致,则所述鉴别接入控制器再利用所述请求设备的数字证书对所述请求设备的数字签名进行验证,根据验证结果确定所述请求设备的数字签名是否验证通过。12.根据权利要求1所述的方法,其特征在于,所述第三鉴别响应消息中还包括消息完整性校验码,所述消息完整性校验码是所述鉴别接入控制器利用消息完整性校验密钥对包括所述第三鉴别响应消息中除所述消息完整性校验码外的其他字段计算生成的;所述鉴别接入控制器利用的消息完整性校验密钥的生成方式与所述鉴别接入控制器生成消息加密密钥的方式相同;则在所述请求设备确定所述鉴别接入控制器的身份鉴别结果之前,所述方法还包括:所述请求设备利用消息完整性校验密钥对所述消息完整性校验码进行验证;若验证通过,则再执行所述确定所述鉴别接入控制器的身份鉴别结果的步骤;所述请求设备利用的消息完整性校验密钥的生成方式与所述请求设备生成消息加密密钥的方式相同。13.根据权利要求1至12任一项所述的方法,其特征在于,所述鉴别接入控制器信任的第一鉴别服务器和所述请求设备信任的第二鉴别服务器是同一个鉴别服务器;则所述方法还包括:所述第一鉴别服务器对所述鉴别接入控制器的身份鉴别码进行验证得到第一验证结果,对所述请求设备的数字证书进行合法性验证得到第二验证结果,根据包括所述第一验证结果在内的信息生成所述第一鉴别结果信息,根据包括所述第二验证结果在内的信息生成所述第二鉴别结果信息,对包括所述第二鉴别结果信息在内的信息计算生成第一鉴别服务器的第一消息鉴别码,对包括所述第一鉴别结果信息在内的签名数据计算生成所述第一数字签名,根据包括所述第一鉴别结果信息、所述第一数字签名、所述第二鉴别结果信息和所述第一鉴别服务器的第一消息鉴别码在内的信息生成所述第一鉴别响应消息。14.根据权利要求1至12任一项所述的方法,其特征在于,所述鉴别接入控制器信任的第一鉴别服务器和所述请求设备信任的第二鉴别服务器是两个不同的鉴别服务器;则所述方法还包括:所述第一鉴别服务器对所述鉴别接入控制器的身份鉴别码进行验证得到第一验证结果,根据包括所述第一验证结果在内的信息生成所述第一鉴别结果信息,对包括所述第一鉴别结果信息和所述请求设备的数字证书在内的签名数据计算生成第二数字签名或利用与所述第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法对包括
所述第一鉴别结果信息和所述请求设备的数字证书在内的信息计算生成第二消息鉴别码;所述第一鉴别服务器向第二鉴别服务器发送第二鉴别请求消息,所述第二鉴别请求消息中包括所述第一鉴别结果信息、所述请求设备的数字证书和所述第二数字签名或所述第二鉴别请求消息中包括所述第一鉴别结果信息、所述请求设备的数字证书和所述第二消息鉴别码;由所述第二鉴别服务器利用所述第一鉴别服务器的公钥验证所述第二数字签名或由所述第二鉴别服务器利用与所述第一鉴别服务器的预共享密钥,采用与所述第一鉴别服务器约定的密码算法验证所述第二消息鉴别码,若验证通过,则所述第二鉴别服务器对所述请求设备的数字证书进行合法性验证得到第二验证结果,根据包括所述第二验证结果在内的信息生成所述第二鉴别结果信息,对包括所述第一鉴别结果信息在内的签名数据计算生成所述第一数字签名,对包括所述第二鉴别结果信息在内的签名数据计算生成第三数字签名或利用与所述第一鉴别服务器的预共享密钥,采用与所述第一鉴别服务器约定的密码算法对包括所述第二鉴别结果信息在内的信息计算生成第三消息鉴别码;所述第一鉴别服务器接收所述第二鉴别服务器发送的第二鉴别响应消息,所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第一数字签名、所述第二鉴别结果信息和所述第三数字签名或所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第一数字签名、所述第二鉴别结果信息和所述第三消息鉴别码;所述第一鉴别服务器利用所述第二鉴别服务器的公钥验证所述第三数字签名或利用与所述第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法验证所述第三消息鉴别码,若验证通过,则对包括所述第二鉴别结果信息在内的信息计算生成所述第一鉴别服务器的第一消息鉴别码,根据包括所述第一鉴别结果信息、所述第一数字签名、所述第二鉴别结果信息和所述第一鉴别服务器的第一消息鉴别码在内的信息生成所述第一鉴别响应消息。15.根据权利要求1至12任一项所述的方法,其特征在于,所述请求设备向所述鉴别接入控制器发送的消息还包括所述请求设备对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值;则所述鉴别接入控制器收到所述请求设备发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述鉴别接入控制器向所述请求设备发送的消息还包括所述鉴别接入控制器对接收到的所述请求设备发送的最新前序消息计算的杂凑值;则所述请求设备收到所述鉴别接入控制器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述鉴别接入控制器向所述第一鉴别服务器发送的消息还包括所述鉴别接入控制器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值;则所述第一鉴别服务器收到所述鉴别接入控制器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述第一鉴别服务器向所述鉴别接入控制器发送的消息还包括所述第一鉴别服务器对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值;则所述鉴别接入控制器收到所述第一鉴别服务器器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;
所述第一鉴别服务器向所述第二鉴别服务器发送的消息还包括所述第一鉴别服务器对接收到的所述第二鉴别服务器发送的最新前序消息计算的杂凑值;则所述第二鉴别服务器收到所述第一鉴别服务器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述第二鉴别服务器向所述第一鉴别服务器发送的消息还包括所述第二鉴别服务器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值;则所述第一鉴别服务器收到所述第二鉴别服务器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作。16.一种请求设备,其特征在于,所述请求设备包括:发送模块,用于向鉴别接入控制器发送身份密文消息,所述身份密文消息中包括所述请求设备的身份信息密文,所述请求设备的身份信息密文是所述请求设备利用消息加密密钥对包括所述请求设备的数字证书在内的加密数据加密生成的;接收模块,用于接收所述鉴别接入控制器发送的第三鉴别响应消息,所述第三鉴别响应消息中包括鉴别结果信息密文,所述鉴别结果信息密文是所述鉴别接入控制器利用所述消息加密密钥对包括第一鉴别结果信息和第一数字签名在内的加密数据加密生成的;所述第一鉴别结果信息中包括对所述鉴别接入控制器的身份鉴别码的第一验证结果,所述第一数字签名是第二鉴别服务器对包括所述第一鉴别结果信息在内的签名数据计算生成的数字签名;解密模块,用于利用所述消息加密密钥解密所述鉴别结果信息密文得到所述第一鉴别结果信息和所述第一数字签名;验证模块,用于利用所述第二鉴别服务器的公钥对所述第一数字签名进行验证;确定模块,用于若验证通过,则根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。17.根据权利要求16所述的请求设备,其特征在于,所述接收模块还用于:在所述发送模块发送身份密文消息之前,接收所述鉴别接入控制器发送的密钥请求消息,所述密钥请求消息中包括所述鉴别接入控制器的密钥交换参数;所述请求设备还包括:计算模块,用于根据包括所述请求设备的密钥交换参数对应的临时私钥和所述鉴别接入控制器的密钥交换参数所包括的临时公钥进行密钥交换计算生成第一密钥,根据包括所述第一密钥在内的信息利用密钥导出算法计算所述消息加密密钥;则所述身份密文消息中还包括所述请求设备的密钥交换参数。18.根据权利要求17所述的...
【专利技术属性】
技术研发人员:铁满霞,曹军,赵晓荣,赖晓龙,李琴,张变玲,黄振海,芦亮,
申请(专利权)人:西安西电捷通无线网络通信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。