一种身份鉴别方法和装置制造方法及图纸

本申请实施例公开了一种身份鉴别方法，利用预共享密钥实现了鉴别接入控制器和请求设备之间的双向或单向身份鉴别，从而为确保访问网络的用户是合法的和/或用户访问的网络是合法的奠定基础，以实现请求设备与鉴别接入控制器之间的保密通信。此外，在身份鉴别的过程中，被验证方对包括双方的预共享密钥和双方各自生成的随机数在内的信息计算得到身份鉴别密钥，利用该身份鉴别密钥对指定内容进行计算得到被验证方的身份鉴别码，本申请提供的这种计算身份鉴别码的方式结合了密钥交换计算，通过巧妙的细节设计增强了该鉴别过程的抗字典暴力破解或者抗量子计算攻击能力。力破解或者抗量子计算攻击能力。力破解或者抗量子计算攻击能力。

An identity authentication method and device

【技术实现步骤摘要】
一种身份鉴别方法和装置


[0001]本申请涉及网络通信安全
，特别是涉及一种身份鉴别方法和装置。

技术介绍

[0002]在通信网络中，请求设备可以通过鉴别接入控制器访问网络。在一些对安全性需求较高的情况下，鉴别接入控制器需要对请求设备的身份进行鉴别，有时，请求设备也需要对鉴别接入控制器的身份进行鉴别，为确保访问网络的请求设备属于合法用户和/或请求设备访问的网络属于合法网络奠定基础，以实现请求设备与鉴别接入控制器之间保密通信。此外，在区块链技术中的点对点传输，也需要在不同节点之间建立信任关系，因此对于节点的身份鉴别也是十分重要的。
[0003]目前，请求设备和鉴别接入控制器可以利用预共享密钥进行身份验证，这种鉴别机制简单快捷，但在实际应用中，由于预共享密钥很容易遭受字典暴力破解，导致这种鉴别机制的安全性并不高，难以满足身份鉴别业务的高安全性需求。

技术实现思路

[0004]为了解决上述技术问题，本申请提供了一种身份鉴别方法和装置，利用预共享密钥实现了鉴别接入控制器和请求设备之间双向或单向的身份鉴别，从而为确保访问网络的用户是合法的和/或用户访问的网络是合法的奠定基础，以实现请求设备与鉴别接入控制器之间保密通信。同时，结合密钥交换算法并通过巧妙的细节设计，增强了该鉴别过程的抗字典暴力破解或者抗量子计算攻击能力。
[0005]本申请实施例公开了如下技术方案：
[0006]第一方面，本申请实施例提供了一种身份鉴别方法，将请求设备和鉴别接入控制器双方中一方作为被验证方，则将另一方作为对应的验证方，所述方法包括：
[0007]所述被验证方向所述验证方发送所述被验证方的身份鉴别请求消息，所述被验证方的身份鉴别请求消息中包括所述被验证方的身份鉴别码；其中，所述被验证方的身份鉴别码是所述被验证方利用身份鉴别密钥对指定内容进行计算得到的，所述指定内容包括第一密钥；
[0008]所述验证方利用所述身份鉴别密钥和所述指定内容对所述被验证方的身份鉴别码进行校验得到校验结果；所述身份鉴别密钥是对包括验证方与被验证方之间的预共享密钥在内的信息计算得到的；
[0009]所述验证方根据所述校验结果确定所述被验证方的身份鉴别结果。
[0010]第二方面，本申请实施例提供了一种鉴别接入控制器，所述鉴别接入控制器包括请求单元和处理单元中的至少一个单元；
[0011]所述请求单元，用于向请求设备发送所述鉴别接入控制器的身份鉴别请求消息，所述鉴别接入控制器的身份鉴别请求消息中包括所述鉴别接入控制器的身份鉴别码；其中，所述鉴别接入控制器的身份鉴别码是所述鉴别接入控制器利用身份鉴别密钥对指定内
容进行计算得到的，所述指定内容包括第一密钥；
[0012]所述处理单元，用于接收所述请求设备发送的所述请求设备的身份鉴别请求消息，所述请求设备的身份鉴别请求消息中包括所述请求设备的身份鉴别码；其中，所述请求设备的身份鉴别码是所述请求设备利用身份鉴别密钥对指定内容进行计算得到的，所述指定内容包括第一密钥；
[0013]所述处理单元还用于利用所述身份鉴别密钥和所述指定内容对所述请求设备的身份鉴别码进行校验得到校验结果，根据所述校验结果确定所述请求设备的身份鉴别结果；所述身份鉴别密钥是对包括所述请求设备与所述鉴别接入控制器之间的预共享密钥在内的信息计算得到的。
[0014]第三方面，本申请实施例提供了一种请求设备，所述请求设备包括请求单元和处理单元中的至少一个单元；
[0015]所述请求单元，用于向鉴别接入控制器发送所述请求设备的身份鉴别请求消息，所述请求设备的身份鉴别请求消息中包括所述请求设备的身份鉴别码；其中，所述请求设备的身份鉴别码是所述请求设备利用身份鉴别密钥对指定内容进行计算得到的，所述指定内容包括第一密钥；
[0016]所述处理单元，用于接收所述鉴别接入控制器发送的所述鉴别接入控制器的身份鉴别请求消息，所述鉴别接入控制器的身份鉴别请求消息中包括所述鉴别接入控制器的身份鉴别码；其中，所述鉴别接入控制器的身份鉴别码是所述鉴别接入控制器利用身份鉴别密钥对指定内容进行计算得到的，所述指定内容包括第一密钥；
[0017]所述处理单元还用于利用所述身份鉴别密钥和所述指定内容对所述鉴别接入控制器的身份鉴别码进行校验得到校验结果，根据所述校验结果确定所述鉴别接入控制器的身份鉴别结果；所述身份鉴别密钥是对包括所述鉴别接入控制器和所述请求设备之间的预共享密钥在内的信息计算得到的。
[0018]由上述技术方案可以看出，本申请实施例提供的身份鉴别方法，利用预共享密钥实现了鉴别接入控制器和请求设备之间的双向或单向身份鉴别，从而为确保访问网络的用户是合法的和/或用户访问的网络是合法的奠定基础，以实现请求设备与鉴别接入控制之间的保密通信。此外，在身份鉴别的过程中，被验证方对包括双方的预共享密钥在内的信息计算得到身份鉴别密钥，利用该身份鉴别密钥对指定内容进行计算得到被验证方的身份鉴别码，本申请提供的这种计算身份鉴别码的方式结合了密钥交换计算，通过巧妙的细节设计增强了该鉴别过程的抗字典暴力破解或抗量子计算攻击的能力。
附图说明
[0019]为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0020]图1为本申请实施例提供的一种身份鉴别方法的示意图；
[0021]图2为本申请实施例提供的一种请求设备REQ和鉴别接入控制器AAC计算身份鉴别密钥的方法的示意图；
[0022]图3为本申请实施例提供的一种双向身份鉴别方法的示意图，其中“*”表示可选的字段或可选的操作；
[0023]图4为本申请实施例提供的一种单向身份鉴别方法的示意图，其中“*”表示可选的字段或可选的操作；
[0024]图5为本申请实施例提供的另一种单向身份鉴别方法的示意图，其中“*”表示可选的字段或可选的操作；
[0025]图6为本申请实施例提供的一种鉴别接入控制器AAC的结构框图；
[0026]图7为本申请实施例提供的另一种鉴别接入控制器AAC的结构框图；
[0027]图8为本申请实施例提供的又一种鉴别接入控制器AAC的结构框图；
[0028]图9为本申请实施例提供的一种请求设备REQ的结构框图；
[0029]图10为本申请实施例提供的另一种请求设备REQ的结构框图；
[0030]图11为本申请实施例提供的又一种请求设备REQ的结构框图。
具体实施方式
[0031]在通信网络中，请求设备可以通过鉴别接入控制器接入网络，为了确保访问网络的请求设备属于合法用户和/或用户请求访问的网络为合法网络，鉴别接入控制器和请求设备之间通常需要进行双向或单向的身份鉴别。
[0032]例如，在请求设备通过鉴别接入本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种身份鉴别方法，其特征在于，将请求设备和鉴别接入控制器双方中一方作为被验证方，则将另一方作为对应的验证方，所述方法包括：所述被验证方向所述验证方发送所述被验证方的身份鉴别请求消息，所述被验证方的身份鉴别请求消息中包括所述被验证方的身份鉴别码；其中，所述被验证方的身份鉴别码是所述被验证方利用身份鉴别密钥对指定内容进行计算得到的，所述指定内容包括第一密钥；所述验证方利用所述身份鉴别密钥和所述指定内容对所述被验证方的身份鉴别码进行校验得到校验结果；所述身份鉴别密钥是对包括验证方与被验证方之间的预共享密钥在内的信息计算得到的；所述验证方根据所述校验结果确定所述被验证方的身份鉴别结果。2.根据权利要求1所述的方法，其特征在于，所述鉴别接入控制器向所述请求设备发送密钥协商请求消息，所述密钥协商请求消息中包括所述鉴别接入控制器生成的第一随机数；所述请求设备向所述鉴别接入控制器发送密钥协商响应消息，所述密钥协商响应消息中包括所述请求设备生成的第二随机数；则所述请求设备利用密钥导出算法对包括与所述鉴别接入控制器的预共享密钥、所述第一随机数和所述第二随机数在内的信息计算得到所述身份鉴别密钥；则所述鉴别接入控制器利用所述密钥导出算法对包括与所述请求设备的预共享密钥、所述第一随机数和所述第二随机数在内的信息计算得到所述身份鉴别密钥。3.根据权利要求2所述的方法，其特征在于，所述密钥协商响应消息中还包括所述请求设备的密钥交换参数，所述请求设备的密钥交换参数是利用所述身份鉴别密钥对包括所述请求设备生成的临时公钥在内的信息进行加密计算的结果；则所述鉴别接入控制器向所述请求设备发送所述鉴别接入控制器的密钥交换参数，所述鉴别接入控制器的密钥交换参数是利用所述身份鉴别密钥对包括所述鉴别接入控制器生成的临时公钥在内的信息进行加密计算的结果；则所述请求设备和所述鉴别接入控制器双方各自根据包括自身的临时公钥对应的临时私钥和由对方的密钥交换参数所恢复出的临时公钥进行密钥交换计算得到第一密钥。4.根据权利要求3所述的方法，其特征在于，所述请求设备的密钥交换参数的计算方法包括：所述请求设备对所述身份鉴别密钥的杂凑值和包括所述请求设备生成的临时公钥在内的信息进行异或运算；相应的，所述鉴别接入控制器的密钥交换参数的计算方法包括：所述鉴别接入控制器对所述身份鉴别密钥的杂凑值和包括所述鉴别接入控制器生成的临时公钥在内的信息进行异或运算；或者，所述请求设备的密钥交换参数的计算方法包括：所述请求设备对扩展身份鉴别密钥和包括所述请求设备生成的临时公钥在内的信息进行异或运算，其中，所述扩展身份鉴别密钥是所述请求设备根据包括所述身份鉴别密钥在内的信息利用密钥导出算法计算得到的；相应的，所述鉴别接入控制器的密钥交换参数的计算方法包括：所述鉴别接入控制器对扩展身份鉴别密钥和包括所述鉴别接入控制器生成的临时公钥在内的信息进行异或运
算，其中，所述扩展身份鉴别密钥是所述鉴别接入控制根据包括所述身份鉴别密钥在内的信息利用密钥导出算法计算得到的。5.根据权利要求2所述的方法，其特征在于，所述密钥协商响应消息中还包括所述第一随机数，则在所述鉴别接入控制器计算所述身份鉴别密钥之前，所述方法还包括：所述鉴别接入控制器将所述密钥协商响应消息中的第一随机数和所述鉴别接入控制器生成的第一随机数进行一致性验证；若验证通过，则所述鉴别接入控制器再执行相关步骤。6.根据权利要求2所述的方法，其特征在于，所述密钥协商请求消息中还包括所述鉴别接入控制器支持的安全能力参数信息，则所述方法还包括：所述请求设备根据所述安全能力参数信息确定所述请求设备使用的特定安全策略；则所述密钥协商响应消息中还包括所述特定安全策略。7.根据权利要求2所述的方法，其特征在于，所述密钥协商请求消息中还包括所述鉴别接入控制器的身份标识；对应的，所述密钥协商响应消息中还包括所述请求设备的身份标识。8.根据权利要求1所述的方法，其特征在于，将所述鉴别接入控制器和所述请求设备中任一方作为被验证方，则将另一方作为对应的验证方，包括：将所述请求设备作为被验证方，并将所述鉴别接入控制器作为对应的验证方；以及，将所述鉴别接入控制器作为被验证方，并将所述请求设备作为对应的验证方；所述请求设备作为被验证方时，所述指定内容还包括所述请求设备的身份标识；所述鉴别接入控制器作为被验证方时，所述指定内容还包括所述鉴别接入控制器的身份标识。9.根据权利要求8所述的方法，其特征在于，在所述请求设备和所述鉴别接入控制器互相验证对方的身份合法时，所述方法还包括：所述请求设备和所述鉴别接入控制器使用双方各自根据包括所述第一密钥和所述身份鉴别密钥在内的信息计算得到的共享密钥，作为下一次身份鉴别的预共享密钥。10.根据权利要求1所述的方法，其特征在于，将所述鉴别接入控制器和所述请求设备中任一方作为被验证方，则将另一方作为对应的验证方，包括：将所述请求设备作为被验证方，并将所述鉴别接入控制器作为对应的验证方；或者，将所述鉴别接入控制器作为被验证方，并将所述请求设备作为对应的验证方；所述指定内容还包括所述鉴别接入控制器的身份标识和所述请求设备的身份标识。11.根据权利要求8或10所述的方法，其特征在于，在所述请求设备验证所述鉴别接入控制器的身份为合法时和/或在所述鉴别接入控制器验证所述请求设备的身份为合法时，所述方法还包括：所述请求设备和所述鉴别接入控制器双方使用会话密钥进行后续的保密通信，所述会话密钥是所述请求设备和所述鉴别接入控制器双方各自根据包括所述第一密钥和双方各自的身份标识在内的信息计算得到的。12.根据权利要求1至10任一项所述的方法，其特征在于，所述请求设备向所述鉴别接入控制器发送的消息还包括所述请求设备对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值；
则所述鉴别接入控制器收到所述请求设备发送的消息时，先对接收到的消息中的杂凑值进行验证，验证通过后再执行后续操作；所述鉴别接入控制器向所述请求设备发送的消息还包括所述鉴别接入控制器对接收到的所述请求设备发送的最新前序消息计算的杂凑值；则所述请求设备收到所述鉴别接入控制器发送的消息时，先对接收到的消息中的杂凑值进行验证，验证通过后再执行后续操作。13.一种鉴别接入控制器，其特征在于，所述鉴别接入控制器包括请求单元和处理单元中的至少一个单元；所述请求单元，用于向请求设备发送所述鉴别接入控制器的身份鉴别请求消息，所述鉴别接入控制器的身份鉴别请求消息中包括所述鉴别接入控制器的身份鉴别码；其中，所述鉴别接入控制器的身份鉴别码是所述鉴别接入控制器利用身份鉴别密钥对指定内容进行计算得到的，所述指定内容包括第一密钥；所述处理单元，用于接收所述请求设备发送的所述请求设备的身份鉴别请求消息，所述请求设备的身份鉴别请求消息中包括所述请求设备的身份鉴别码；其中，所述请求设备的身份鉴别码是所述请求设备利用身份鉴别密钥对指定内容进行计算得到的，所述指定内容包括第一密钥；所述处理单元还用于利用所述身份鉴别密钥和所述指定内容对所述请求设备的身份鉴别码进行校验得到校验结果，根据所述校验结果确定所述请求设备的身份鉴别结果；所述身份鉴别密钥是对包括所述请求设备与所述鉴别接入控制器之间的预共享密钥在内的信息计算得到的。14.根据权利要求13所述的鉴别接入控制器，其特征在于，所述鉴别接入控制器还包括：发送单元，用于向所述请求设备发送密钥协商请求消息，所述密钥协商请求消息中包括所述鉴别接入控制器生成的第一随机数；接收单元，用于接收所述请求设备发送的密钥协商响应消息，所述密钥协商响应消息中包括所述请求设备生成的第二随机数；则所述请求单元和/或所述处理单元具体用于利用密钥导出算法对包括与所述请求设备的预共享密钥、所述第一随机数和所述第二随机数在内的信息计算得到所述身份鉴别密钥。15.根据权利要求14所述的鉴别接入控制器，其特征在于，所述接收单元接收的密钥协商响应消息中还包括所述请求设备的密钥交换参数，所述请求设备的密钥交换参数是利用所述身份鉴别密钥对包括所述请求设备生成的临时公钥在内的信息进行加密计算的结果；则所述发送单元还用于向所述请求设备发送所述鉴别接入控制器的密钥交换参数，所述鉴别接入控制器的密钥交换参数是利用所述身份鉴别...

【专利技术属性】
技术研发人员：铁满霞，曹军，赵晓荣，赖晓龙，李琴，张变玲，颜湘，马丹丹，
申请(专利权)人：西安西电捷通无线网络通信股份有限公司，
类型：发明
国别省市：