【技术实现步骤摘要】
一种身份鉴别方法和装置
[0001]本申请涉及网络通信安全
,特别是涉及一种身份鉴别方法和装置。
技术介绍
[0002]在通信网络中,请求设备可以通过鉴别接入控制器访问网络。在一些对安全性需求较高的情况下,鉴别接入控制器和请求设备均需要鉴别对方的身份,为确保访问网络的请求设备属于合法用户和/或请求设备访问的网络属于合法网络奠定基础。此外,在区块链技术中的点对点传输,也需要在不同节点之间建立信任关系,因此对于节点的身份鉴别也是十分重要的。
[0003]目前,请求设备和鉴别接入控制器可以采用基于预共享密钥的鉴别机制进行身份验证,这种鉴别机制简单快捷,但遗憾的是协商出的密钥通常不具有完美前向保密性(Perfect Forward Secrecy,PFS)或鉴别过程不能抵抗量子计算攻击或易遭受字典暴力破解等,导致这种鉴别机制的可靠性并不高,难以满足身份鉴别业务的高安全性需求。
技术实现思路
[0004]为了解决上述技术问题,本申请提供了一种身份鉴别方法和装置,利用预共享密钥实现鉴别接入控制器和请求设备之间的双向身份鉴别,从而为确保合法用户访问合法网络奠定基础。同时,结合密钥交换计算,如迪菲
·
赫尔曼(Diffie
‑
Hellman,简称DH)等密钥交换算法,并通过巧妙的细节设计,增强了该鉴别过程的抗字典暴力破解或抗量子计算攻击的能力,使得协商出的密钥具有完美前向保密性;另外还支持鉴别接入控制器和/或请求设备的身份保密传输。
[0005]第一方面,本申请...
【技术保护点】
【技术特征摘要】
1.一种身份鉴别方法,其特征在于,所述方法包括:鉴别服务器接收鉴别接入控制器发送的鉴别请求消息,根据所述鉴别请求消息获取所述鉴别接入控制器的身份标识和请求设备的身份标识,并根据所述鉴别接入控制器的身份标识确定与所述鉴别接入控制器的第一预共享密钥以及根据所述请求设备的身份标识确定与所述请求设备的第二预共享密钥;所述鉴别服务器生成身份鉴别密钥,利用所述第一预共享密钥对包括所述身份鉴别密钥在内的信息加密生成第一参数,并利用所述第二预共享密钥对包括所述身份鉴别密钥在内的信息加密生成第二参数;所述鉴别接入控制器接收所述鉴别服务器发送的鉴别响应消息,所述鉴别响应消息中包括所述第一参数和所述第二参数,并利用所述第一预共享密钥解密所述第一参数得到所述身份鉴别密钥,向所述请求设备发送第一身份鉴别请求消息,所述第一身份鉴别请求消息中包括所述第二参数和第一消息完整性校验码,所述第一消息完整性校验码是所述鉴别接入控制器根据包括所述身份鉴别密钥和所述第一身份鉴别请求消息中除所述第一消息完整性校验码外的其他字段在内的信息计算生成的;所述请求设备接收所述第一身份鉴别请求消息,利用所述第二预共享密钥解密所述第二参数得到所述身份鉴别密钥,并利用所述身份鉴别密钥对所述第一消息完整性校验码进行校验得到第一校验结果,根据所述第一校验结果确定所述鉴别接入控制器的身份鉴别结果;所述请求设备向所述鉴别接入控制器发送第二身份鉴别请求消息,所述第二身份鉴别请求消息中包括第二消息完整性校验码,所述第二消息完整性校验码是所述请求设备根据包括所述身份鉴别密钥和所述第二身份鉴别请求消息中除所述第二消息完整性校验码外的其他字段在内的信息计算生成的;所述鉴别接入控制器接收所述请求设备发送的第二身份鉴别请求消息,利用所述身份鉴别密钥对所述第二消息完整性校验码进行校验得到第二校验结果,根据所述第二校验结果确定所述请求设备的身份鉴别结果。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述鉴别接入控制器与所述请求设备双方协商生成消息完整性校验密钥;则所述第一消息完整性校验码具体是所述鉴别接入控制器利用所述消息完整性校验密钥对包括所述身份鉴别密钥和所述第一身份鉴别请求消息中除所述第一消息完整性校验码外的其他字段在内的信息计算得到的;则所述第二消息完整性校验码具体是所述请求设备利用所述消息完整性校验密钥对包括所述身份鉴别密钥和所述第二身份鉴别请求消息中除所述第二消息完整性校验码外的其他字段在内的信息计算得到的。3.根据权利要求2所述的方法,其特征在于,所述鉴别接入控制器与所述请求设备双方协商生成消息完整性校验密钥,包括:所述请求设备接收所述鉴别接入控制器发送的密钥协商请求消息,所述密钥协商请求消息中包括所述鉴别接入控制器的第一密钥交换参数,并将包括所述请求设备生成的第一临时公钥对应的第一临时私钥和所述鉴别接入控制器生成的第一临时公钥进行密钥交换计算得到第一密钥,并根据包括所述第一密钥在内的计算信息计算所述消息完整性校验密
钥;其中,所述鉴别接入控制器的第一密钥交换参数包括所述鉴别接入控制器的第一临时公钥;所述鉴别接入控制器接收所述请求设备发送的密钥协商响应消息,所述密钥协商响应消息中包括所述请求设备的第一密钥交换参数,并将包括所述鉴别接入控制器的第一临时公钥对应的第一临时私钥和所述请求设备的第一临时公钥进行密钥交换计算得到所述第一密钥,并根据包括所述第一密钥在内的计算信息计算所述消息完整性校验密钥;其中,所述请求设备的第一密钥交换参数包括所述请求设备的第一临时公钥。4.根据权利要求3所述的方法,其特征在于,所述密钥协商请求消息中还包括所述鉴别接入控制器生成的第一随机数;则所述请求设备计算所述消息完整性校验密钥的计算信息还包括所述第一随机数和所述请求设备生成的第二随机数;对应的,所述密钥协商响应消息中还包括所述第二随机数;则所述鉴别接入控制器计算所述消息完整性校验密钥的计算信息还包括所述第一随机数和所述第二随机数。5.根据权利要求4所述的方法,其特征在于,所述密钥协商响应消息中还包括所述第一随机数;则所述方法还包括:所述鉴别接入控制器对所述密钥协商响应消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;若验证通过,则所述鉴别接入控制器再计算所述消息完整性校验密钥。6.根据权利要求3所述的方法,其特征在于,所述密钥协商请求消息中还包括所述鉴别接入控制器支持的安全能力参数信息,所述方法还包括:所述请求设备根据所述安全能力参数信息确定所述请求设备使用的特定安全策略;则所述密钥协商响应消息中还包括所述特定安全策略。7.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述鉴别接入控制器与所述请求设备双方协商生成第一密钥,并根据包括所述第一密钥和所述身份鉴别密钥在内的信息计算生成消息完整性校验密钥;则所述第一消息完整性校验码具体是所述鉴别接入控制器利用所述消息完整性校验密钥对包括所述第一身份鉴别请求消息中除所述第一消息完整性校验码外的其他字段计算得到的;则所述第二消息完整性校验码具体是所述请求设备利用所述消息完整性校验密钥对包括所述第二身份鉴别请求消息中除所述第二消息完整性校验码外的其他字段计算得到的。8.根据权利要求7所述的方法,其特征在于,所述鉴别接入控制器与所述请求设备双方协商生成所述第一密钥,包括:所述请求设备接收所述鉴别接入控制器发送的密钥协商请求消息,所述密钥协商请求消息中包括所述鉴别接入控制器的第一密钥交换参数,并将包括所述请求设备生成的第一临时公钥对应的第一临时私钥和所述鉴别接入控制器生成的第一临时公钥进行密钥交换计算得到第一密钥;其中,所述鉴别接入控制器的第一密钥交换参数包括所述鉴别接入控制器的第一临时公钥;
所述鉴别接入控制器接收所述请求设备发送的密钥协商响应消息,所述密钥协商响应消息中包括所述请求设备的第一密钥交换参数,并将包括所述鉴别接入控制器的第一临时公钥对应的第一临时私钥和所述请求设备的第一临时公钥进行密钥交换计算得到所述第一密钥;其中,所述请求设备的第一密钥交换参数包括所述请求设备的第一临时公钥。9.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述鉴别接入控制器接收所述请求设备发送的第二身份标识密文,所述第二身份标识密文是所述请求设备利用消息加密密钥对包括所述请求设备的身份标识在内的信息加密生成的,所述消息加密密钥是所述鉴别接入控制器与所述请求设备双方协商生成的;则所述鉴别接入控制器利用所述消息加密密钥解密所述第二身份标识密文得到所述请求设备的身份标识;则所述鉴别请求消息中包括所述请求设备的身份标识;则所述第一身份鉴别请求消息中还包括第一身份标识密文,所述第一身份标识密文是所述鉴别接入控制器利用所述消息加密密钥对包括所述鉴别接入控制器的身份标识在内的信息加密生成的。10.根据权利要求9所述的方法,其特征在于,所述鉴别接入控制器与所述请求设备双方通过以下方式协商所述消息加密密钥:所述请求设备接收所述鉴别接入控制器发送的密钥协商请求消息,所述密钥协商请求消息中包括所述鉴别接入控制器的第一密钥交换参数,并将包括所述请求设备生成的第一临时公钥对应的第一临时私钥和所述鉴别接入控制器生成的第一临时公钥进行密钥交换计算得到第一密钥,并根据包括所述第一密钥在内的计算信息计算所述消息加密密钥;其中,所述鉴别接入控制器的第一密钥交换参数包括所述鉴别接入控制器的第一临时公钥;所述鉴别接入控制器接收所述请求设备发送的密钥协商响应消息,所述密钥协商响应消息中包括所述请求设备的第一密钥交换参数,并将包括所述鉴别接入控制器的第一临时公钥对应的第一临时私钥和所述请求设备的第一临时公钥进行密钥交换计算得到所述第一密钥,并根据包括所述第一密钥在内的计算信息计算所述消息加密密钥;其中,所述请求设备的第一密钥交换参数包括所述请求设备的第一临时公钥。11.根据权利要求10所述的方法,其特征在于,所述密钥协商请求消息中还包括所述鉴别接入控制器生成的第一随机数;则所述请求设备计算所述消息加密密钥的计算信息还包括所述第一随机数和所述请求设备生成的第二随机数;对应的,所述密钥协商响应消息中还包括所述第二随机数;则所述鉴别接入控制器计算所述消息加密密钥的计算信息还包括所述第一随机数和所述第二随机数。12.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述鉴别接入控制器接收所述请求设备发送的第二身份标识密文,所述第二身份标识密文是所述请求设备利用加密证书的公钥对包括所述请求设备的身份标识在内的信息加密生成的;所述鉴别接入控制器利用加密证书的公钥对包括所述鉴别接入控制器的身份标识在内的信息加密生成所述第一身份标识密文;
则所述鉴别请求消息中包括:所述第二身份标识密文和第一身份标识密文;则所述鉴别服务器根据所述鉴别请求消息获取所述鉴别接入控制器的身份标识和所述请求设备的身份标识,具体包括:所述鉴别服务器利用加密证书对应的私钥解密所述第二身份标识密文得到所述请求设备的身份标识,并利用所述加密证书对应的私钥解密所述第一身份标识密文得到所述鉴别接入控制器的身份标识;则所述第一参数具体是利用所述第一预共享密钥对包括所述身份鉴别密钥和所述请求设备的身份标识在内的信息加密生成的;所述第二参数具体是利用所述第二预共享密钥对包括所述身份鉴别密钥和所述鉴别接入控制器的身份标识在内的信息加密生成的。13.根据权利要求1所述的方法,其特征在于,所述第一身份鉴别请求消息中还包括所述鉴别接入控制器的第二密钥交换参数,所述鉴别接入控制器的第二密钥交换参数是所述鉴别接入控制器利用所述身份鉴别密钥对包括所述鉴别接入控制器生成的第二临时公钥在内的信息加密生成的;所述第二身份鉴别请求消息中还包括所述请求设备的第二密钥交换参数,所述请求设备的第二密钥交换参数是所述请求设备利用所述身份鉴别密钥对包括所述请求设备生成的第二临时公钥在内的信息加密生成的;则所述方法还包括:所述请求设备和所述鉴别接入控制器双方均根据包括第二密钥以及双方各自的身份标识在内的信息计算会话密钥,用于后续的保密通信;其中,所述请求设备和所述鉴别接入控制器双方均利用包括自身的第二临时公钥对应的第二临时私钥与由对方的第二密钥交换参数所恢复出的第二临时公钥进行密钥交换计算得到所述第二密钥。14.根据权利要求13所述的方法,其特征在于,所述鉴别接入控制器计算所述鉴别接入控制器的第二密钥交换参数包括:所述鉴别接入控制器的第二密钥交换参数是对所述身份鉴别密钥的杂凑值和包括所述鉴别接入控制器生成的第二临时公钥在内的信息进行异或运算的结果;相应的,所述请求设备计算所述请求设备的第二密钥交换参数包括:所述请求设备的第二密钥交换参数是对所述身份鉴别密钥的杂凑值和包括所述请求设备生成的第二临时公钥在内的信息进行异或运算的结果;或者,所述鉴别接入控制器的第二密钥交换参数是对扩展身份鉴别密钥和包括所述鉴别接入控制器生成的第二临时公钥在内的信息进行异或运算的结果,其中,所述扩展身份鉴别密钥是所述鉴别接入控制器根据包括所述身份鉴别密钥在内的信息计算生成的;相应的,所述请求设备计算所述请求设备的第二密钥交换参数包括:所述请求设备的第二密钥交换参数是对扩展身份鉴别密钥和包括所述请求设备生成的第二临时公钥在内的信息进行异或运算的结果,其中,所述扩展身份鉴别密钥是所述请求设备器根据包括所述身份鉴别密钥在内的信息计算生成的。15.根据权利要求1至14任一项所述的方法,其特征在于,所述请求设备向所述鉴别接入控制器发送的消息还包括所述请求设备对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值;
则所述鉴别接入控制器收到所述请求设备发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述鉴别接入控制器向所述请求设备发送的消息还包括所述鉴别接入控制器对接收到的所述请求设备发送的最新前序消息计算的杂凑值;则所述请求设备收到所述鉴别接入控制器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述鉴别接入控制器向所述鉴别服务器发送的消息还包括所述鉴别接入控制器对接收到的所述鉴别服务器发送的最新前序消息计算的杂凑值;则所述鉴别服务器收到所述鉴别接入控制器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述鉴别服务器向所述鉴别接入控制器发送的消息还包括所述鉴别服务器器对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值;则所述鉴别接入控制器收到所述鉴别服务器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作。16.一种鉴别接入控制器,其特征在于,所述鉴别接入控制器包括:发送单元,用于向鉴别服务器发送鉴别请求消息;接收单元,用于接收所述鉴别服务器发送的鉴别响应消息,所述鉴别响应消息中包括第一参数和第二参数;所述第一参数是所述鉴别服务器利用与所述鉴别接入控制器的第一预共享密钥对包括所述鉴别服务器生成的身份鉴别密钥在内的信息加密生成的,所述第二参数是所述鉴别服务器利用与请求设备的第二预共享密钥对包括所述身份鉴别密钥在内的信息加密生成的;解密单元,用于利用所述第一预共享密钥解密所述第一参数得到所述身份鉴别密钥;所述发送单元,还用于向请求设备发送第一身份鉴别请求消息,所述第一身份鉴别请求消息中包括所述第二参数和第一消息完整性校验码,所述第一消息完整性校验码是所述鉴别接入控制器根据包括所述身份鉴别密钥和所述第一身份鉴别请求消息中除所述第一消息完整性校验码外的其他字段在内的信息计算生成的;所述接收单元,还用于接收所述请求设备发送的第二身份鉴别请求消息,所述第二身份鉴别请求消息中包括第二消息完整性校验码,所述第二消息完整性校验码是所述请求设备根据包括所述身份鉴别密钥和所述第二身份鉴别请求消息中除所述第二消息完整性校验码外的其他字段在内的信息计算生成的;校验单元,用于利用所述身份鉴别密钥对所述第二消息完整性校验码进行校验得到第二校验结果,根据所述第二校验结果确定所述请求设备的身份鉴别结果。17.根据权利要求16所述的鉴别接入控制器,其特征在于,所述鉴别接入控制器还包括:第一生成单元,用于与所述请求设备协商生成消息完整性校验密钥;则所述第一消息完整性校验码具体是所述鉴别接入控制器利用所述消息完整性校验密钥对包括所述身份鉴别密钥和所述第一身份鉴别请求消息中除所述第一消息完整性校验码外的其他字段在内的信息计算得到的。18.根据权利要求16所述的鉴别接入控制器,其特征在于,所述发送单元还用于向所述
请求设备发送密钥协商请求消息,所述密钥协商请求消息中包括所述鉴别接入控制器的第一密钥交换参数,所述鉴别接入控制器的第一密钥交换参数包括所述鉴别接入控制器生成的第一临时公钥;所述接收单元还用于接收所述请求设备发送的密钥协商响应消息,所述密钥协商响应消息中包括所述请求设备的第一密钥交换参数,所述请求设备的第一密钥交换参数包括所述请求设备生成的第一临时公钥;所述第一生成单元具体用于将包括所述鉴别接入控制器的第一临时公钥对应的第一临时私钥和所述请求设备的第一临时公钥进行密钥交换计算得到第一密钥,并根据包括所述第一密钥在内的计算信息计算所述消息完整性校验密钥。19.根据权利要求18所述的鉴别接入控制器,其特征在于,所述发送单元发送的密钥协商请求消息中还包括所述鉴别接入控制器生成的第一随机数;对应的,所述接收单元接收的密钥协商响应消息中还包括所述请求设备生成的第二随机数;则所述第一生成单元计算所述消息完整性校验密钥的计算信息还包括所述第一随机数和所述第二随机数。20.根据...
【专利技术属性】
技术研发人员:铁满霞,曹军,赵晓荣,赖晓龙,李琴,张变玲,张国强,黄振海,
申请(专利权)人:西安西电捷通无线网络通信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。