【技术实现步骤摘要】
一种身份鉴别方法和装置
[0001]本申请涉及网络通信安全
,特别是涉及一种身份鉴别方法和装置。
技术介绍
[0002]在通信网络中,请求设备可以通过鉴别接入控制器访问网络。在一些对安全性需求较高的情况下,鉴别接入控制器需要对请求设备的身份进行鉴别,以确保访问网络的请求设备属于合法用户。此外,在区块链技术中的点对点传输,也需要在不同节点之间建立信任关系,因此对于节点的身份鉴别也是十分重要的。
[0003]在对请求设备进行身份鉴别的过程中,请求设备需要提供自身的身份信息用于身份鉴别。然而,这类身份信息一般携带了私密、敏感的信息,诸如身份证号、家庭住址、银行卡信息等。并且在实际应用过程中,请求设备的身份信息通常会包含在数字证书中,以数字证书作为身份凭证。
[0004]若在请求设备的身份鉴别过程中,请求设备的身份信息被攻击者截获用于非法用途,则会对鉴别接入控制器、请求设备及网络造成极大的安全隐患。
技术实现思路
[0005]为了解决上述技术问题,本申请提供了一种身份鉴别方法和装置,通过引入鉴别服务器,在保障实体身份相关信息机密性的同时,实现了鉴别接入控制器对请求设备的单向身份鉴别。
[0006]第一方面,本申请实施例提供了一种身份鉴别方法,包括:
[0007]鉴别接入控制器获取请求设备发送的身份密文消息,所述身份密文消息中包括所述请求设备的身份信息密文,所述身份信息密文是利用消息加密密钥对包括所述请求设备的数字证书在内的信息加密生成的;
[0008]所述鉴别接入 ...
【技术保护点】
【技术特征摘要】
1.一种身份鉴别方法,其特征在于,所述方法包括:鉴别接入控制器获取请求设备发送的身份密文消息,所述身份密文消息中包括所述请求设备的身份信息密文,所述身份信息密文是利用消息加密密钥对包括所述请求设备的数字证书在内的信息加密生成的;所述鉴别接入控制器利用所述消息加密密钥对所述身份信息密文进行解密得到所述请求设备的数字证书;所述鉴别接入控制器向其信任的第一鉴别服务器发送第一鉴别请求消息,所述第一鉴别请求消息中包括所述请求设备的数字证书;所述鉴别接入控制器接收所述第一鉴别服务器发送的第一鉴别响应消息,所述第一鉴别响应消息中包括鉴别结果信息和所述第一鉴别服务器的数字签名,所述鉴别结果信息中包括对所述请求设备的数字证书的验证结果;所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第一鉴别服务器的数字签名进行验证;若验证通过,则所述鉴别接入控制器根据所述数字证书的验证结果确定所述请求设备的身份鉴别结果。2.根据权利要求1所述的方法,其特征在于,所述身份密文消息中还包括所述请求设备的数字签名,则在所述鉴别接入控制器确定所述请求设备的身份鉴别结果之前,所述方法还包括:所述鉴别接入控制器确定所述请求设备的数字签名是否验证通过,若确定所述请求设备的数字签名验证通过,则所述鉴别接入控制器再根据所述数字证书的验证结果确定所述请求设备的身份鉴别结果。3.根据权利要求2所述的方法,其特征在于,所述鉴别接入控制器确定所述请求设备的数字签名是否验证通过具体包括:所述鉴别接入控制器利用解密所述请求设备的身份信息密文得到的所述请求设备的数字证书对所述请求设备的数字签名进行验证,根据验证结果确定所述请求设备的数字签名是否验证通过;或者,当所述鉴别结果信息中还包括所述请求设备的数字证书时,所述鉴别接入控制器利用所述鉴别结果信息中的所述请求设备的数字证书对所述请求设备的数字签名进行验证,根据验证结果确定所述请求设备的数字签名是否验证通过;或者,当所述鉴别结果信息中还包括所述请求设备的数字证书时,所述鉴别接入控制器将解密所述请求设备的身份信息密文得到的所述请求设备的数字证书与所述鉴别结果信息中所述请求设备的数字证书的一致性进行比较;若一致,则所述鉴别接入控制器再利用所述请求设备的数字证书对所述请求设备的数字签名进行验证,根据验证结果确定所述请求设备的数字签名是否验证通过;或者,所述请求设备信任的第二鉴别服务器利用接收到的所述请求设备的数字证书,对所述请求设备的数字签名进行验证,若所述鉴别接入控制器接收到所述第一鉴别响应消息,则所述鉴别接入控制器确定所述请求设备的数字签名已验证通过。4.根据权利要求1所述的方法,其特征在于,在鉴别接入控制器获取请求设备发送的身份密文消息之前,所述方法还包括:
所述鉴别接入控制器向所述请求设备发送密钥请求消息,所述密钥请求消息中包括所述鉴别接入控制器的密钥交换参数;所述请求设备根据包括所述请求设备的密钥交换参数对应的临时私钥和所述鉴别接入控制器的密钥交换参数所包括的临时公钥进行密钥交换计算生成第一密钥,根据包括所述第一密钥在内的信息利用密钥导出算法计算所述消息加密密钥;所述请求设备向所述鉴别接入控制器发送的身份密文消息中还包括所述请求设备的密钥交换参数;所述鉴别接入控制器根据包括所述鉴别接入控制器的密钥交换参数对应的临时私钥和所述请求设备的密钥交换参数所包括的临时公钥进行密钥交换计算生成所述第一密钥,根据包括所述第一密钥在内的信息利用所述密钥导出算法计算所述消息加密密钥。5.根据权利要求4所述的方法,其特征在于,所述密钥请求消息中还包括所述鉴别接入控制器生成的第一随机数;则所述请求设备计算所述消息加密密钥还包括:所述请求设备根据包括所述第一密钥、所述第一随机数和所述请求设备生成的第二随机数在内的信息计算所述消息加密密钥;对应的,所述身份密文消息中还包括所述第二随机数;则所述鉴别接入控制器计算所述消息加密密钥还包括:所述鉴别接入控制器根据包括所述第一密钥、所述第一随机数和所述第二随机数在内的信息计算所述消息加密密钥。6.根据权利要求5所述的方法,其特征在于,所述身份密文消息中还包括所述第一随机数;则在所述鉴别接入控制器计算所述消息加密密钥之前,所述方法还包括:所述鉴别接入控制器对所述身份密文消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;若验证通过,则所述鉴别接入控制器再计算所述消息加密密钥。7.根据权利要求4所述的方法,其特征在于,所述密钥请求消息中还包括所述鉴别接入控制器支持的安全能力参数信息,所述方法还包括:所述请求设备根据所述安全能力参数信息确定所述请求设备使用的特定安全策略;则所述身份密文消息中还包括所述特定安全策略。8.根据权利要求4所述的方法,其特征在于,所述密钥请求消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识;所述方法还包括:所述请求设备根据所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识,确定所述请求设备信任的至少一个鉴别服务器的身份标识;则所述身份密文消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识;所述方法还包括:所述鉴别接入控制器根据所述身份密文消息中所述请求设备信任的至少一个鉴别服务器的身份标识和所述密钥请求消息中所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识,确定参与身份鉴别的第一鉴别服务器。9.根据权利要求1所述的方法,其特征在于,所述身份密文消息中还包括所述请求设备
信任的至少一个鉴别服务器的身份标识;则所述方法还包括:所述鉴别接入控制器根据所述请求设备信任的至少一个鉴别服务器的身份标识和所述鉴别接入控制器信任的鉴别服务器的身份标识,确定参与身份鉴别的第一鉴别服务器。10.根据权利要求1所述的方法,其特征在于,所述第一鉴别请求消息中还包括所述鉴别接入控制器的身份标识和/或所述鉴别接入控制器生成的第一随机数;对应的,所述第一鉴别响应消息中还包括所述鉴别接入控制器的身份标识和/或所述第一随机数;则在所述鉴别接入控制器确定所述请求设备的身份鉴别结果之前,所述方法还包括:所述鉴别接入控制器对所述第一鉴别响应消息中的鉴别接入控制器的身份标识和所述鉴别接入控制器自身的身份标识的一致性进行验证,和/或,对所述第一鉴别响应消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;若验证通过,则所述鉴别接入控制器再根据所述数字证书的验证结果确定所述请求设备的身份鉴别结果。11.根据权利要求1至10任一项所述的方法,其特征在于,所述鉴别接入控制器信任的第一鉴别服务器和所述请求设备信任的第二鉴别服务器是同一个鉴别服务器,则所述方法还包括:所述第一鉴别服务器对所述请求设备的数字证书进行合法性验证得到所述数字证书的验证结果,根据包括所述数字证书的验证结果在内的信息生成所述鉴别结果信息,对包括所述鉴别结果信息在内的签名数据计算生成第一鉴别服务器的数字签名,根据包括所述鉴别结果信息和所述第一鉴别服务器的数字签名在内的信息生成所述第一鉴别响应消息。12.根据权利要求1至10任一项所述的方法,其特征在于,所述鉴别接入控制器信任的第一鉴别服务器和所述请求设备信任的第二鉴别服务器是两个不同的鉴别服务器,则所述方法还包括:所述第一鉴别服务器接收所述第一鉴别请求消息后,向所述请求设备信任的第二鉴别服务器发送第二鉴别请求消息,所述第二鉴别请求消息中包括所述请求设备的数字证书;由所述第二鉴别服务器对所述请求设备的数字证书进行合法性验证得到所述数字证书的验证结果,根据包括所述数字证书的验证结果在内的信息生成所述鉴别结果信息,对包括所述鉴别结果信息在内的签名数据计算生成第二鉴别服务器的数字签名;所述第一鉴别服务器接收所述第二鉴别服务器发送的第二鉴别响应消息,所述第二鉴别响应消息中包括所述鉴别结果信息和所述第二鉴别服务器的数字签名;所述第一鉴别服务器利用所述第二鉴别服务器的公钥对所述第二鉴别服务器的数字签名进行验证;若验证通过,则所述第一鉴别服务器对包括所述鉴别结果信息在内的签名数据计算生成所述第一鉴别服务器的数字签名,根据包括所述鉴别结果信息和所述第一鉴别服务器的数字签名在内的信息生成所述第一鉴别响应消息。13.根据权利要求3至10任一项所述的方法,其特征在于,所述请求设备向所述鉴别接入控制器发送的消息还包括所述请求设备对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值;则所述鉴别接入控制器收到所述请求设备发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;
所述鉴别接入控制器向所述请求设备发送的消息还包括所述鉴别接入控制器对接收到的所述请求设备发送的最新前序消息计算的杂凑值;则所述请求设备收到所述鉴别接入控制器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述鉴别接入控制器向所述第一鉴别服务器发送的消息还包括所述鉴别接入控制器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值;则所述第一鉴别服务器收到所述鉴别接入控制器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述第一鉴别服务器向所述鉴别接入控制器发送的消息还包括所述第一鉴别服务器对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值;则所述鉴别接入控制器收到所述第一鉴别服务器器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续...
【专利技术属性】
技术研发人员:铁满霞,曹军,赖晓龙,赵晓荣,李琴,张变玲,张国强,
申请(专利权)人:西安西电捷通无线网络通信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。