【技术实现步骤摘要】
一种身份鉴别方法和装置
[0001]本申请涉及网络通信安全
,特别是涉及一种身份鉴别方法和装置。
技术介绍
[0002]目前,通信网络通常要求在用户和网络接入点之间执行双向身份鉴别,确保合法用户访问合法网络。在已有的实体鉴别方案中,实体的身份凭证要么统一采用数字证书的形式,要么统一采用预共享密钥的形式,但在实际应用中,通常面临一端采用数字证书作为身份凭证、另一端采用预共享密钥作为身份凭证的情况,这对实体身份鉴别机制提出了挑战。
技术实现思路
[0003]为了解决上述技术问题,本申请提供了一种身份鉴别方法和装置,实现请求设备采用数字证书以及鉴别接入控制器采用预共享密钥作为身份凭证的情况下的实体双向身份鉴别。
[0004]鉴于此,本申请第一方面提供了一种身份鉴别方法,包括:
[0005]鉴别接入控制器接收请求设备发送的身份消息,所述身份消息中包括所述请求设备的数字证书;
[0006]所述鉴别接入控制器向其信任的第一鉴别服务器发送第一鉴别请求消息,所述第一鉴别请求消息中包括所述请求设备的数字证书和所述鉴别接入控制器的身份鉴别码;所述鉴别接入控制器的身份鉴别码是所述鉴别接入控制器利用与所述第一鉴别服务器的预共享密钥,采用与所述第一鉴别服务器约定的密码算法对包括所述请求设备的数字证书在内的信息计算生成的;
[0007]所述鉴别接入控制器接收所述第一鉴别服务器发送的第一鉴别响应消息,所述第一鉴别响应消息中包括第一鉴别结果信息、所述请求设备信任的第二鉴别服务器的第一数字签名、第...
【技术保护点】
【技术特征摘要】
1.一种身份鉴别方法,其特征在于,所述方法包括:鉴别接入控制器接收请求设备发送的身份消息,所述身份消息中包括所述请求设备的数字证书;所述鉴别接入控制器向其信任的第一鉴别服务器发送第一鉴别请求消息,所述第一鉴别请求消息中包括所述请求设备的数字证书和所述鉴别接入控制器的身份鉴别码;所述鉴别接入控制器的身份鉴别码是所述鉴别接入控制器利用与所述第一鉴别服务器的预共享密钥,采用与所述第一鉴别服务器约定的密码算法对包括所述请求设备的数字证书在内的信息计算生成的;所述鉴别接入控制器接收所述第一鉴别服务器发送的第一鉴别响应消息,所述第一鉴别响应消息中包括第一鉴别结果信息、所述请求设备信任的第二鉴别服务器的第一数字签名、第二鉴别结果信息和所述第一鉴别服务器的第一消息鉴别码;所述第一鉴别结果信息中包括对所述鉴别接入控制器的身份鉴别码的第一验证结果,所述第一数字签名是所述第二鉴别服务器对包括所述第一鉴别结果信息在内的签名数据计算生成的数字签名,所述第二鉴别结果信息中包括对所述请求设备的数字证书的第二验证结果,所述第一鉴别服务器的第一消息鉴别码是所述第一鉴别服务器利用与所述鉴别接入控制器的预共享密钥,采用与所述鉴别接入控制器约定的密码算法对包括所述第二鉴别结果信息在内的信息计算生成的;所述鉴别接入控制器利用与所述第一鉴别服务器的预共享密钥,采用与所述第一鉴别服务器约定的密码算法验证所述第一鉴别服务器的第一消息鉴别码,若验证通过,则所述鉴别接入控制器根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;当所述鉴别接入控制器确定所述请求设备的身份鉴别结果为合法时,向所述请求设备发送第三鉴别响应消息;或者,所述鉴别接入控制器利用与所述第一鉴别服务器的预共享密钥,采用与所述第一鉴别服务器约定的密码算法验证所述第一鉴别服务器的第一消息鉴别码,若验证通过,则所述鉴别接入控制器向所述请求设备发送第三鉴别响应消息以及根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;或者,所述鉴别接入控制器利用与所述第一鉴别服务器的预共享密钥,采用与所述第一鉴别服务器约定的密码算法验证所述第一鉴别服务器的第一消息鉴别码;若所述第一鉴别服务器的第一消息鉴别码验证通过,则所述鉴别接入控制器根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;所述鉴别接入控制器向所述请求设备发送第三鉴别响应消息;其中,所述第三鉴别响应消息中包括所述第一鉴别结果信息和所述第一数字签名;所述请求设备接收到所述第三鉴别响应消息后,利用所述第二鉴别服务器的公钥对所述第一数字签名进行验证,若验证通过,则根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。2.根据权利要求1所述的方法,其特征在于,在所述鉴别接入控制器接收请求设备发送的身份消息之前,所述方法还包括:所述鉴别接入控制器向所述请求设备发送第一消息,所述第一消息中包括所述鉴别接入控制器生成的第一随机数;
则所述身份消息中还包括所述第一随机数;则所述鉴别接入控制器接收到所述身份消息之后,对所述身份消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;若验证通过,则所述鉴别接入控制器再发送所述第一鉴别请求消息。3.根据权利要求2所述的方法,其特征在于,所述第一消息中还包括所述鉴别接入控制器支持的安全能力参数信息;所述方法还包括:所述请求设备根据所述安全能力参数信息确定所述请求设备使用的特定安全策略;则所述身份消息中还包括所述特定安全策略。4.根据权利要求2所述的方法,其特征在于,所述第一消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识;所述方法还包括:所述请求设备根据所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识,确定所述请求设备信任的至少一个鉴别服务器的身份标识;则所述身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识;所述方法还包括:所述鉴别接入控制器根据所述身份消息中所述请求设备信任的至少一个鉴别服务器的身份标识和所述第一消息中的鉴别接入控制器信任的至少一个鉴别服务器的身份标识,确定所述第一鉴别服务器。5.根据权利要求1所述的方法,其特征在于,所述身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识;所述方法还包括:所述鉴别接入控制器根据所述请求设备信任的至少一个鉴别服务器的身份标识和所述鉴别接入控制器信任的鉴别服务器的身份标识,确定所述第一鉴别服务器。6.根据权利要求2所述的方法,其特征在于,所述第一鉴别请求消息中还包括所述鉴别接入控制器的身份标识和/或所述鉴别接入控制器生成的第一随机数;对应的,所述第一鉴别响应消息中还包括所述鉴别接入控制器的身份标识和/或所述第一随机数;则在所述鉴别接入控制器确定所述请求设备的身份鉴别结果之前,所述方法还包括:所述鉴别接入控制器对所述第一鉴别响应消息中的所述鉴别接入控制器的身份标识和所述鉴别接入控制器自身的身份标识的一致性进行验证,和/或,对所述第一鉴别响应消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;若验证通过,则所述鉴别接入控制器再根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果。7.根据权利要求2所述的方法,其特征在于,所述身份消息中还包括所述请求设备的身份标识和/或所述请求设备生成的第二随机数;所述第三鉴别响应消息中还包括所述请求设备的身份标识和/或所述第二随机数;则在所述请求设备确定所述鉴别接入控制器的身份鉴别结果之前,所述方法还包括:所述请求设备对所述第三鉴别响应消息中的请求设备的身份标识和所述请求设备自身的身份标识的一致性进行验证,和/或,对所述第三鉴别响应消息中的第二随机数和所述请求设备生成的第二随机数的一致性进行验证;若验证通过,则所述请求设备再根据所述第一鉴别结果信息中的第一验证结果确定所
述鉴别接入控制器的身份鉴别结果。8.根据权利要求1所述的方法,其特征在于,所述身份消息中还包括所述请求设备的数字签名,则在所述鉴别接入控制器确定所述请求设备的身份鉴别结果之前,所述方法还包括:所述鉴别接入控制器确定所述请求设备的数字签名是否验证通过,若确定所述请求设备的数字签名验证通过,则所述鉴别接入控制器再根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果。9.根据权利要求8所述的方法,其特征在于,所述鉴别接入控制器确定所述请求设备的数字签名是否验证通过具体包括:所述第二鉴别服务器利用所述请求设备的数字证书,对所述请求设备的数字签名进行验证,若所述鉴别接入控制器接收到所述第一鉴别响应消息,则所述鉴别接入控制器确定所述请求设备的数字签名已验证通过;或者,所述鉴别接入控制器利用所述身份消息中的所述请求设备的数字证书对所述请求设备的数字签名进行验证,根据验证结果确定所述请求设备的数字签名是否验证通过;或者,当所述第二鉴别结果信息中还包括所述请求设备的数字证书时,所述鉴别接入控制器利用所述第二鉴别结果信息中的所述请求设备的数字证书对所述请求设备的数字签名进行验证,根据验证结果确定所述请求设备的数字签名是否验证通过;或者,当所述第二鉴别结果信息中还包括所述请求设备的数字证书时,所述鉴别接入控制器验证所述第二鉴别结果信息中的所述请求设备的数字证书和所述身份消息中的所述请求设备的数字证书的一致性;若一致,则所述鉴别接入控制器利用所述请求设备的数字证书对所述请求设备的数字签名进行验证,根据验证结果确定所述请求设备的数字签名是否验证通过。10.根据权利要求1所述的方法,其特征在于,所述第一鉴别结果信息中还包括所述鉴别接入控制器的身份标识,则在所述请求设备确定所述鉴别接入控制器的身份鉴别结果之前,所述方法还包括:所述请求设备对所述第一鉴别结果信息中的所述鉴别接入控制器的身份标识和所述第三鉴别响应消息中携带的所述鉴别接入控制器的身份标识的一致性进行验证;或者,所述请求设备对所述第一鉴别结果信息中的所述鉴别接入控制器的身份标识和所述第一消息中携带的所述鉴别接入控制器的身份标识的一致性进行验证;若验证通过,则所述请求设备再根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。11.根据权利要求1至10任一项所述的方法,其特征在于,所述鉴别接入控制器信任的第一鉴别服务器和所述请求设备信任的第二鉴别服务器是同一个鉴别服务器;所述方法还包括:所述第一鉴别服务器对所述鉴别接入控制器的身份鉴别码进行验证得到第一验证结果,对所述请求设备的数字证书进行合法性验证得到第二验证结果,根据包括第一验证结果在内的信息生成所述第一鉴别结果信息,根据包括第二验证结果在内的信息生成所述第二鉴别结果信息,对包括所述第二鉴别结果信息在内的信息计算生成所述第一消息鉴别码,对包括所述第一鉴别结果信息在内的签名数据计算生成所述第一数字签名,根据包括
所述第一鉴别结果信息、所述第一数字签名、所述第二鉴别结果信息和所述第一消息鉴别码在内的信息生成所述第一鉴别响应消息。12.根据权利要求1至10任一项所述的方法,其特征在于,所述鉴别接入控制器信任的第一鉴别服务器和所述请求设备信任的第二鉴别服务器是两个不同的鉴别服务器;所述方法还包括:所述第一鉴别服务器对所述鉴别接入控制器的身份鉴别码进行验证得到第一验证结果,根据包括第一验证结果在内的信息生成所述第一鉴别结果信息,对包括所述第一鉴别结果信息和所述请求设备的数字证书在内的签名数据计算生成第二数字签名或利用与所述第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法对包括所述第一鉴别结果信息和所述请求设备的数字证书在内的信息计算生成第二消息鉴别码;所述第一鉴别服务器向所述第二鉴别服务器发送第二鉴别请求消息,所述第二鉴别请求消息中包括所述第一鉴别结果信息、所述请求设备的数字证书和所述第二数字签名或所述第二鉴别请求消息中包括所述第一鉴别结果信息、所述请求设备的数字证书和所述第二消息鉴别码;由所述第二鉴别服务器利用所述第一鉴别服务器的公钥验证所述第二数字签名或由所述第二鉴别服务器利用与所述第一鉴别服务器的预共享密钥,采用与所述第一鉴别服务器约定的密码算法验证所述第二消息鉴别码,若验证通过,则由所述第二鉴别服务器对所述请求设备的数字证书进行合法性验证得到第二验证结果,根据包括第二验证结果在内的信息生成所述第二鉴别结果信息,对包括所述第一鉴别结果信息在内的签名数据计算生成所述第一数字签名,对包括所述第二鉴别结果信息在内的签名数据计算生成第三数字签名或利用与所述第一鉴别服务器的预共享密钥,采用与所述第一鉴别服务器约定的密码算法对包括所述第二鉴别结果信息在内的信息计算生成第三消息鉴别码;所述第一鉴别服务器接收所述第二鉴别服务器发送的第二鉴别响应消息,所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第一数字签名、所述第二鉴别结果信息和所述第三数字签名或所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第一数字签名、所述第二鉴别结果信息和所述第三消息鉴别码;所述第一鉴别服务器利用所述第二鉴别服务器的公钥验证所述第三数字签名或所述第一鉴别服务器利用与所述第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法验证所述第三消息鉴别码,若验证通过,则所述第一鉴别服务器对包括所述第二鉴别结果信息在内的信息计算生成所述第一消息鉴别码,根据包括所述第一鉴别结果信息、所述第一数字签名、所述第二鉴别结果信息和所述第一消息鉴别码在内的信息生成所述第一鉴别响应消息。13.根据权利要求1至10任一项所述的方法,其特征在于,所述请求设备向所述鉴别接入控制器发送的消息还包括所述请求设备对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值;则所述鉴别接入控制器收到所述请求设备发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述鉴别接入控制器向所述请求设备发送的消息还包括所述鉴别接入控制器对接收到的所述请求设备发送的最新前序消息计算的杂凑值;则所述请求设备收到所述鉴别接入控制器发送的消息时,先对接收到的消息中的杂凑
值进行验证,验证通过后再执行后续操作;所述鉴别接入控制器向所述第一鉴别服务器发送的消息还包括所述鉴别接入控制器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值;则所述第一鉴别服务器收到所述鉴别接入控制器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述第一鉴别服务器向所述鉴别接入控制器发送的消息还包括所述第一鉴别服务器对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值;则所述鉴别接入控制器收到所述第一鉴别服务器器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述第一鉴别服务器向所述第二鉴别服务器发送的消息还包括所述第一鉴别服务器对接收到的所述第二鉴别服务器发送的最新前序消息计算的杂凑值;则所述第二鉴别服务器收到所述第一鉴别服务器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述第二鉴别服务器向所述第一鉴别服务器发送的消息还包括所述第二鉴别服务器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值;则所述第一鉴别服务器收到所述第二鉴别服务器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作。14.一种请求设备,其特征在于,所述请求设备包括:发送模块,用于向鉴别接入控制器发送身份消息,所述身份消息中包括所述请求设备的数字证书;接收模块,用于接收所述鉴别接入控制器发送的第三鉴别响应消息,所述第三鉴别响应消息中包括第一鉴别结果信息和第一数字签名;所述第一鉴别结果信息中包括对所述鉴别接入控制器的第一验证结果,所述第一数字签名是所述请求设备信任的第二鉴别服务器对包括所述第一鉴别结果信息在内的签名数据计算生成的数字签名;验证模块,用于利用所述第二鉴别服务器的公钥对所述第一数字签名进行验证;确定模块,用于若验证通过,则根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。15.根据权利要求14所述的请求设备,其特征在于,所述接收模块还用于:在所述发送模块向鉴别接入控制器发送身份消息之前,接收所述鉴别接入控制器发送的第一消息,所述第一消息中包括所述鉴别接入控制器生成的第一随机数;则所述身份消息中还包括所述第一随机数。16.根据权利要求15所述的请求设备,其特征在于,所述第一消息中还包括所述鉴别接入控制器支持的安全能力参数信息;所述确定模块还用于:根据所述安全能力参数信息确定所述请求设备使用的特定安全策略;则所述身份消息中还包括所述特定安全策略。17.根据权利要求15所述的请求设备,其特征在于,所述第一消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识...
【专利技术属性】
技术研发人员:铁满霞,曹军,赵晓荣,赖晓龙,李琴,张变玲,张国强,
申请(专利权)人:西安西电捷通无线网络通信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。