一种身份鉴别方法和装置制造方法及图纸

本申请实施例公开了一种身份鉴别方法，请求设备和鉴别接入控制器采用对称密钥的实体鉴别协议进行双向身份鉴别的过程中，所传输的请求设备的身份标识为临时身份标识，而并非其真实的身份标识，由此保证身份鉴别过程中请求设备的真实身份信息的安全性。另外，鉴别接入控制器在验证请求设备的身份合法后，会相应地向请求设备信任的第一鉴别服务器发送第一存证消息，以便第一鉴别服务器记录请求设备请求访问网络的行为，为后续网络接入点计费提供客观证据，有效地防止网络接入点对没有在其服务区内尝试访问网络的用户恶意计费。区内尝试访问网络的用户恶意计费。区内尝试访问网络的用户恶意计费。

An identity authentication method and device

【技术实现步骤摘要】
一种身份鉴别方法和装置


[0001]本申请涉及网络通信安全
，特别是涉及一种身份鉴别方法和装置。

技术介绍

[0002]目前，通信网络通常要求在用户和网络接入点之间执行双向身份鉴别，来确保合法用户能够与合法网络通信，在已有的实体鉴别方案中，通常不能保护用户的隐私信息，且会存在网络接入点进行恶意计费，给用户造成异常收费的问题。

技术实现思路

[0003]为了解决上述技术问题，本申请提供了一种身份鉴别方法和装置，采用对称密钥的实体鉴别协议，在保障实体身份和相关信息机密性的同时，实现了请求设备和鉴别接入控制器之间的双向身份鉴别，确保合法用户访问合法网络。同时，选择采用密钥交换计算并通过巧妙的细节设计，增强了协议的抗量子计算攻击或者抗字典暴力破解的能力。
[0004]本申请实施例公开了如下技术方案：
[0005]第一方面，本申请实施例提供了一种身份鉴别方法，包括：
[0006]请求设备向鉴别接入控制器发送鉴别请求消息，所述鉴别请求消息中包括所述请求设备的临时身份标识；
[0007]所述鉴别接入控制器向其信任的第二鉴别服务器发送携带所述请求设备的临时身份标识的第一鉴权请求消息，接收所述第二鉴别服务器发送的第一鉴权响应消息，从所述第一鉴权响应消息中获得所述请求设备信任的第一鉴别服务器在确定所述请求设备身份合法后产生的存证随机数；
[0008]所述鉴别接入控制器向所述请求设备发送第一验证消息，所述第一验证消息中包括所述存证随机数；
[0009]所述请求设备向所述鉴别接入控制器发送第二验证消息，所述第二验证消息中包括第一身份鉴权码和第一消息完整性校验码；其中，所述第一身份鉴权码是所述请求设备利用其与所述第一鉴别服务器的预共享存证校验密钥对包括所述存证随机数在内的信息计算生成的；所述第一消息完整性校验码是所述请求设备利用其与所述鉴别接入控制器之间的消息完整性校验密钥对包括所述第二验证消息中除所述第一消息完整性校验码外的其他字段计算生成的；
[0010]所述鉴别接入控制器对所述第一消息完整性校验码进行验证，验证通过后，确定所述请求设备的身份为合法，产生所述请求设备的新临时身份标识，再生成鉴别完成消息和第一存证消息；其中，所述鉴别完成消息中包括所述请求设备的新临时身份标识和第二消息完整性校验码，所述第二消息完整性校验码是所述鉴别接入控制器利用所述消息完整性校验密钥对包括所述鉴别完成消息中除所述第二消息完整性校验码外的其他字段计算生成的；所述第一存证消息中包括所述请求设备的新临时身份标识和所述第一身份鉴权码；
[0011]所述请求设备对所述鉴别完成消息中的第二消息完整性校验码进行验证，验证通过后，确定所述鉴别接入控制器的身份为合法，使用所述鉴别完成消息中所述请求设备的新临时身份标识替换所述请求设备的临时身份标识；
[0012]所述第一鉴别服务器利用所述预共享存证校验密钥和所述存证随机数对所述第一存证消息中的所述第一身份鉴权码进行验证，验证通过后，生成并保存所述请求设备的请求通过记录，使用所述第一存证消息中所述请求设备的新临时身份标识替换所述请求设备的临时身份标识。
[0013]第二方面，本申请实施例提供了一种鉴别接入控制器，包括：
[0014]接收单元，用于接收请求设备发送的鉴别请求消息，所述鉴别请求消息中包括所述请求设备的临时身份标识；
[0015]发送单元，用于向所述鉴别接入控制器信任的第二鉴别服务器发送携带所述请求设备的临时身份标识的第一鉴权请求消息；
[0016]所述接收单元，还用于接收所述第二鉴别服务器发送的第一鉴权响应消息，并从所述第一鉴权响应消息中获得所述请求设备信任的第一鉴别服务器在确定所述请求设备身份合法后产生的存证随机数；
[0017]所述发送单元还用于向所述请求设备发送第一验证消息，所述第一验证消息中包括所述存证随机数；
[0018]所述接收单元还用于接收所述请求设备发送的第二验证消息，所述第二验证消息中包括第一身份鉴权码和第一消息完整性校验码；所述第一消息完整性校验码是所述请求设备利用其与所述鉴别接入控制器之间的消息完整性校验密钥对包括所述第二验证消息中除所述第一消息完整性校验码外的其他字段计算生成的；
[0019]处理单元，用于对所述第一消息完整性校验码进行验证，验证通过后，确定所述请求设备的身份为合法，产生所述请求设备的新临时身份标识，再生成鉴别完成消息和第一存证消息；其中，所述鉴别完成消息中包括所述请求设备的新临时身份标识和第二消息完整性校验码，所述第二消息完整性校验码是所述鉴别接入控制器利用所述消息完整性校验密钥对包括所述鉴别完成消息中除所述第二消息完整性校验码外的其他字段计算生成的；所述第一存证消息中包括所述请求设备的新临时身份标识和所述第一身份鉴权码；
[0020]所述发送单元还用于向所述请求设备发送所述鉴别完成消息，以及向所述第一鉴别服务器发送所述第一存证消息。
[0021]第三方面，本申请实施例提供了一种请求设备，包括：
[0022]发送单元，用于向鉴别接入控制器发送鉴别请求消息，所述鉴别请求消息中包括所述请求设备的临时身份标识；
[0023]接收单元，用于接收所述鉴别接入控制器发送的第一验证消息，所述第一验证消息中包括所述请求设备信任的第一鉴别服务器在确定所述请求设备身份合法后产生的存证随机数；
[0024]处理单元，用于利用所述请求设备与所述第一鉴别服务器的预共享存证校验密钥对包括所述存证随机数在内的信息计算生成第一身份鉴权码；以及利用所述请求设备与所述鉴别接入控制器之间的消息完整性校验密钥对包括第二验证消息中除第一消息完整性校验码外的其他字段计算生成第一消息完整性校验码；
[0025]所述发送单元还用于向所述鉴别接入控制器发送所述第二验证消息，所述第二验证消息中包括所述第一身份鉴权码和所述第一消息完整性校验码；
[0026]所述接收单元还用于接收所述鉴别接入控制器发送的鉴别完成消息，所述鉴别完成消息中包括所述请求设备的新临时身份标识和第二消息完整性校验码；所述第二消息完整性校验码是所述鉴别接入控制器利用所述消息完整性校验密钥对包括所述鉴别完成消息中除所述第二消息完整性校验码外的其他字段计算生成的；
[0027]所述处理单元还用于对所述鉴别完成消息中的第二消息完整性校验码进行验证，验证通过后，确定所述鉴别接入控制器的身份为合法，使用所述鉴别完成消息中所述请求设备的新临时身份标识替换所述请求设备的临时身份标识。
[0028]第四方面，本申请实施例提供了一种第一鉴别服务器，所述第一鉴别服务器为请求设备信任的鉴别服务器，包括：
[0029]处理单元，用于在确定所述请求设备身份合法后产生存证随机数；
[0030]所述处理单元还用于利用预共享存证校验密钥和所述存证随机数对第一存证消息中的第一身份鉴权码进行验证，验证通过后，生成并保存所述请求设备的请求通过记录，使用所述第一存证消息中所述请求设备的新临时身份本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种身份鉴别方法，其特征在于，所述方法包括：请求设备向鉴别接入控制器发送鉴别请求消息，所述鉴别请求消息中包括所述请求设备的临时身份标识；所述鉴别接入控制器向其信任的第二鉴别服务器发送携带所述请求设备的临时身份标识的第一鉴权请求消息，接收所述第二鉴别服务器发送的第一鉴权响应消息，从所述第一鉴权响应消息中获得所述请求设备信任的第一鉴别服务器在确定所述请求设备身份合法后产生的存证随机数；所述鉴别接入控制器向所述请求设备发送第一验证消息，所述第一验证消息中包括所述存证随机数；所述请求设备向所述鉴别接入控制器发送第二验证消息，所述第二验证消息中包括第一身份鉴权码和第一消息完整性校验码；其中，所述第一身份鉴权码是所述请求设备利用其与所述第一鉴别服务器的预共享存证校验密钥对包括所述存证随机数在内的信息计算生成的；所述第一消息完整性校验码是所述请求设备利用其与所述鉴别接入控制器之间的消息完整性校验密钥对包括所述第二验证消息中除所述第一消息完整性校验码外的其他字段计算生成的；所述鉴别接入控制器对所述第一消息完整性校验码进行验证，验证通过后，确定所述请求设备的身份为合法，产生所述请求设备的新临时身份标识，再生成鉴别完成消息和第一存证消息；其中，所述鉴别完成消息中包括所述请求设备的新临时身份标识和第二消息完整性校验码，所述第二消息完整性校验码是所述鉴别接入控制器利用所述消息完整性校验密钥对包括所述鉴别完成消息中除所述第二消息完整性校验码外的其他字段计算生成的；所述第一存证消息中包括所述请求设备的新临时身份标识和所述第一身份鉴权码；所述请求设备对所述鉴别完成消息中的第二消息完整性校验码进行验证，验证通过后，确定所述鉴别接入控制器的身份为合法，使用所述鉴别完成消息中所述请求设备的新临时身份标识替换所述请求设备的临时身份标识；所述第一鉴别服务器利用所述预共享存证校验密钥和所述存证随机数对所述第一存证消息中的所述第一身份鉴权码进行验证，验证通过后，生成并保存所述请求设备的请求通过记录，使用所述第一存证消息中所述请求设备的新临时身份标识替换所述请求设备的临时身份标识。2.根据权利要求1所述的方法，其特征在于，所述鉴别接入控制器先发送所述第一存证消息，所述第一鉴别服务器对所述第一存证消息中的所述第一身份鉴权码验证通过后，生成第一存证确认消息；所述鉴别接入控制器接收所述第一存证确认消息后再向所述请求设备发送所述鉴别完成消息。3.根据权利要求1所述的方法，其特征在于，所述消息完整性校验密钥是所述请求设备和所述鉴别接入控制器协商生成的，包括：所述鉴别接入控制器从所述第一鉴权响应消息中获得来自所述第一鉴别服务器的身份鉴别密钥，利用所述身份鉴别密钥对包括所述鉴别接入控制器产生的临时公钥在内的信息加密生成第一密钥交换参数，则所述第一验证消息中还包括所述第一密钥交换参数；所述请求设备生成所述身份鉴别密钥，利用所述身份鉴别密钥对包括所述请求设备产
生的临时公钥在内的信息加密生成第二密钥交换参数，则所述第二验证消息中还包括所述第二密钥交换参数；其中，所述身份鉴别密钥是根据包括所述第一鉴别服务器与所述请求设备的预共享加密密钥在内的计算数据计算出来的；所述请求设备根据包括所述第二密钥交换参数对应的临时私钥和由所述第一密钥交换参数恢复的临时公钥进行密钥交换计算生成第一密钥，根据包括所述第一密钥在内的信息利用密钥导出算法计算所述消息完整性校验密钥；所述鉴别接入控制器根据包括所述第一密钥交换参数对应的临时私钥和由所述第二密钥交换参数恢复的临时公钥进行密钥交换计算生成所述第一密钥，根据包括所述第一密钥在内的信息利用所述密钥导出算法计算所述消息完整性校验密钥。4.根据权利要求3所述的方法，其特征在于，所述鉴别接入控制器利用所述身份鉴别密钥对包括所述鉴别接入控制器产生的临时公钥在内的信息加密生成第一密钥交换参数包括：所述鉴别接入控制器计算扩展身份鉴别密钥，对所述扩展身份鉴别密钥和包括所述鉴别接入控制器产生的临时公钥在内的信息进行异或运算生成所述第一密钥交换参数，其中，所述扩展身份鉴别密钥是所述鉴别接入控制器根据包括所述身份鉴别密钥在内的信息利用密钥导出算法计算生成的；或者，所述鉴别接入控制器计算所述身份鉴别密钥的杂凑值，对所述杂凑值和包括所述鉴别接入控制器产生的临时公钥在内的信息进行异或运算生成所述第一密钥交换参数；以及，所述请求设备利用所述身份鉴别密钥对包括所述请求设备产生的临时公钥在内的信息加密生成第二密钥交换参数包括：所述请求设备计算扩展身份鉴别密钥，对所述扩展身份鉴别密钥和包括所述请求设备产生的临时公钥在内的信息进行异或运算生成所述第二密钥交换参数，其中，所述扩展身份鉴别密钥是所述请求设备根据包括所述身份鉴别密钥在内的信息利用密钥导出算法计算生成的；或者，所述请求设备计算所述身份鉴别密钥的杂凑值，对所述杂凑值和包括所述请求设备产生的临时公钥在内的信息进行异或运算生成所述第二密钥交换参数。5.根据权利要求3所述的方法，其特征在于，所述鉴别请求消息中还包括所述请求设备生成的第一随机数，所述第一鉴权请求消息中还包括所述第一随机数和所述鉴别接入控制器生成的第二随机数，则所述方法还包括：所述第一鉴权响应消息中还包括所述第一随机数和所述第二随机数，所述第一验证消息中还包括所述第一随机数和所述第二随机数，所述身份鉴别密钥的计算数据还包括所述第一随机数和所述第二随机数，所述第二验证消息中还包括所述第二随机数；则所述鉴别接入控制器向所述请求设备发送第一验证消息之前，还包括：所述鉴别接入控制器验证所述第一鉴权响应消息中的第二随机数和所述鉴别接入控制器生成的第二随机数的一致性；则所述请求设备向所述鉴别接入控制器发送第二验证消息之前，还包括：所述请求设备验证所述第一验证消息中的第一随机数和所述请求设备生成的第一随机数的一致性；则所述鉴别接入控制器在确定所述请求设备的身份合法之前，还包括：所述鉴别接入控制器对所述第二验证消息中的第二随机数和所述鉴别接入控制器生
成的第二随机数的一致性进行验证。6.根据权利要求1所述的方法，其特征在于，所述鉴别请求消息中还包括所述请求设备支持的安全能力参数信息，则所述方法还包括：所述鉴别接入控制器根据所述安全能力参数信息确定所述鉴别接入控制器使用的特定安全策略，则所述第一验证消息中还包括所述特定安全策略。7.根据权利要求1所述的方法，其特征在于，所述鉴别请求消息还包括所述请求设备信任的至少一个鉴别服务器的身份标识，则所述方法还包括：所述鉴别接入控制器根据所述鉴别请求消息中所述请求设备信任的至少一个鉴别服务器的身份标识和所述鉴别接入控制器信任的鉴别服务器的身份标识，确定所述第二鉴别服务器。8.根据权利要求1所述的方法，其特征在于，所述第一鉴别服务器在产生所述存证随机数之前，所述方法还包括：所述第一鉴别服务器判断所述请求设备的临时身份标识是否满足时效性，若是，则所述第一鉴别服务器产生所述存证随机数。9.根据权利要求3所述的方法，其特征在于，所述鉴别接入控制器从所述第一鉴权响应消息中获得来自所述第一鉴别服务器的身份鉴别密钥，包括：所述鉴别接入控制器利用与所述第二鉴别服务器的预共享加密密钥解密身份鉴别密钥密文得到所述身份鉴别密钥；其中，所述身份鉴别密钥密文是所述第二鉴别服务器利用与所述鉴别接入控制器的预共享加密密钥对包括所述身份鉴别密钥在内的信息加密生成的。10.根据权利要求1所述的方法，其特征在于，所述第一存证消息中还包括第二身份鉴权码，所述第二身份鉴权码是所述鉴别接入控制器利用与所述第二鉴别服务器的预共享校验密钥对所述第一存证消息中所述第二身份鉴权码之前的其他字段计算生成的，则所述第一鉴别服务器在保存所述请求设备的请求通过记录之前，所述方法还包括：所述第二鉴别服务器利用与所述鉴别接入控制器的预共享校验密钥验证所述第二身份鉴权码的正确性。11.根据权利要求1所述的方法，其特征在于，所述第一鉴权请求消息中还包括所述鉴别接入控制器的身份标识；则所述第一鉴权响应消息中还包括所述鉴别接入控制器的身份标识，所述鉴别接入控制器向所述请求设备发送第一验证消息之前，还包括：所述鉴别接入控制器验证所述第一鉴权响应消息中的所述鉴别接入控制器的身份标识和所述鉴别接入控制器自身的身份标识的一致性。12.根据权利要求3所述的方法，其特征在于，所述第一验证消息中还包括所述鉴别接入控制器的身份标识，所述方法还包括：当确定所述请求设备身份为合法时，所述鉴别接入控制器根据包括所述第一密钥、所述请求设备的临时身份标识和所述鉴别接入控制器的身份标识在内的信息计算生成用于所述请求设备和所述鉴别接入控制器之间保密通信的会话密钥；当确定所述鉴别接入控制器身份为合法时，所述请求设备根据包括所述第一密钥、所述请求设备的临时身份标识和所述鉴别接入控制器的身份标识在内的信息计算生成用于所述请求设备和所述鉴别接入控制器之间保密通信的会话密钥。
13.根据权利要求1所述的方法，其特征在于，所述第一鉴别服务器和所述第二鉴别服务器不同时，则所述方法还包括：所述第二鉴别服务器接收所述鉴别接入控制器发送的第一鉴权请求消息，根据所述第一鉴权请求消息生成第二鉴权请求消息，向所述第一鉴别服务器发送所述第二鉴权请求消息；其中，所述第二鉴权请求消息中包括所述请求设备的临时身份标识；所述第一鉴别服务器产生存证随机数，并向所述第二鉴别服务器发送第二鉴权响应消息；其中，所述第二鉴权响应消息中包括所述存证随机数；所述第二鉴别服务器根据所述第二鉴权响应消息生成所述第一鉴权响应消息；所述鉴别接入控制器生成所述第一存证消息之后，向所述第二鉴别服务器发送所述第一存证消息；所述第二鉴别服务器根据所述第一存证消息生成第二存证消息，向所述第一鉴别服务器发送所述第二存证消息；其中，所述第二存证消息中包括所述第一身份鉴权码；则所述第一鉴别服务器对所述第一身份鉴权码进行验证，具体为所述第一鉴别服务器验证所述第二存证消息中的所述第一身份鉴权码。14.根据权利要求13所述的方法，其特征在于，所述鉴别接入控制器先向所述第二鉴别服务器发送所述第一存证消息，所述第二鉴别服务器根据所述第一存证消息生成第二存证消息，向所述第一鉴别服务器发送所述第二存证消息，所述第一鉴别服务器验证所述第二存证消息中的所述第一身份鉴权码，验证通过后生成第二存证确认消息；所述第二鉴别服务器接收所述第二存证确认消息后生成第一存证确认消息，并向所述鉴别接入控制器发送所述第一存证确认消息；所述鉴别接入控制器接收所述第一存证确认消息后再向所述请求设备发送所述鉴别完成消息。15.根据权利要求1至14任一项所述的方法，其特征在于，所述第一消息完整性校验码是所述请求设备利用所述消息完整性校验密钥对包括所述第二验证消息中除所述第一消息完整性校验码外的其他字段计算生成的；所述第二消息完整性校验码是所述鉴别接入控制器利用所述消息完整性校验密钥对包括所述鉴别完成消息中除所述第二消息完整性校验码外的其他字段计算生成的。16.根据权利要求1至14任一项所述的方法，其特征在于，所述请求设备向所述鉴别接入控制器发送的消息还包括所述请求设备对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值；则所述鉴别接入控制器收到所述请求设备发送的消息时，先对接收到的消息中的杂凑值进行验证，验证通过后再执行后续操作；所述鉴别接入控制器向所述请求设备发送的消息还包括所述鉴别接入控制器对接收到的所述请求设备发送的最新前序消息计算的杂凑值；则所述请求设备收到所述鉴别接入控制器发送的消息时，先对接收到的消息中的杂凑值进行验证，验证通过后再执行后续操作；所述鉴别接入控制器向所述第二鉴别服务器发送的消息还包括所述鉴别接入控制器对接收到的所述第二鉴别服务器发送的最新前序消息计算的杂凑值；则所述第二鉴别服务器收到所述鉴别接入控制器发送的消息时，先对接收到的消息中
的杂凑值进行验证，验证通过后再执行后续操作；所述第二鉴别服务器向所述鉴别接入控制器发送的消息还包括所述第二鉴别服务器对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值；则所述鉴别接入控制器收到所述第二鉴别服务器器发送的消息时，先对接收到的消息中的杂凑值进行验证，验证通过后再执行后续操作；所述第一鉴别服务器向所述第二鉴别服务器发送的消息还包括所述第一鉴别服务器对接收到的所述第二鉴别服务器发送的最新前序消息计算的杂凑值；则所述第二鉴别服务器收到所述第一鉴别服务器发送的消息时，先对接收到的消息中的杂凑值进行验证，验证通过后再执行后续操作；所述第二鉴别服务器向所述第一鉴别服务器发送的消息还包括所述第二鉴别服务器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值；则所述第一鉴别服务器收到所述第二鉴别服务器发送的消息时，先对接收到的消息中的杂凑值进行验证，验证通过后再执行后续操作。17.一种鉴别接入控制器，其特征在于，所述鉴别接入控制器包括：接收单元，用于接收请求设备发送的鉴别请求消息，所述鉴别请求消息中包括所述请求设备的临时身份标识；发送单元，用于向所述鉴别接入控制器信任的第二鉴别服务器发送携带所述请求设备的临时身份标识的第一鉴权请求消息；所述接收单元还用于接收所述第二鉴别服务器发送的第一鉴权响应消息，并从所述第一鉴权响应消息中获得所述请求设备信任的第一鉴别服务器在确定所述请求设备身份合法后产生的存证随机数；所述发送单元还用于向所述请求设备发送第一验证消息，所述第一验证消息中包括所述存证随机数；所述接收单元还用于接收所述请求设备发送的第二验证消息，所述第二验证消息中包括第一身份鉴权码和第一消息完整性校验码；所述第一消息完整性校验码是所述请求设备利用其与所述鉴别接入控制器之间的消息完整性校验密钥对包括所述第二验证消息中除所述第一消息完整性校验码外的其他字段计算生成的；处理单元，用于对所述第一消息完整性校验码进行验证，验证通过后，确定所述请求设备的身份为合法，产生所述请求设备的新临时身份标识，再生成鉴别完成消息和第一存证消息；其中，所述鉴别完成消息中包括所述请求设备的新临时身份标识和第二消息完整性校验码，所述第二消息完整性校验码是所述鉴别接入控制器利用所述消息完整性校验密钥对包括所述鉴别完成消息中除所述...

【专利技术属性】
技术研发人员：赖晓龙，曹军，铁满霞，赵晓荣，李琴，张变玲，杜志强，孙晓辉，
申请(专利权)人：西安西电捷通无线网络通信股份有限公司，
类型：发明
国别省市：