一种身份鉴别方法和装置制造方法及图纸

本申请实施例公开了一种身份鉴别方法，鉴别接入控制器AAC获取请求设备REQ发送的身份密文消息，身份密文消息中包括REQ的身份信息密文，AAC解密REQ的身份信息密文得到REQ的数字证书Cert

【技术实现步骤摘要】
一种身份鉴别方法和装置


[0001]本申请涉及网络通信安全
，特别是涉及一种身份鉴别方法和装置。

技术介绍

[0002]在通信网络中，请求设备可以通过鉴别接入控制器访问网络。在一些对安全性需求较高的情况下，鉴别接入控制器需要对请求设备的身份进行鉴别，以确保访问网络的请求设备属于合法用户。此外，在区块链技术中的点对点传输，也需要在不同节点之间建立信任关系，因此对于节点的身份鉴别也是十分重要的。
[0003]在对请求设备进行身份鉴别的过程中，请求设备需要提供自身的身份信息用于身份鉴别。然而，这类身份信息一般携带了私密、敏感的信息，诸如身份证号、家庭住址、银行卡信息等。并且在实际应用过程中，请求设备的身份信息通常会包含在数字证书中，以数字证书作为身份凭证。
[0004]若在请求设备的身份鉴别过程中，请求设备的身份信息被攻击者截获用于非法用途，则会对鉴别接入控制器、请求设备及网络造成极大的安全隐患。

技术实现思路

[0005]为了解决上述技术问题，本申请提供了一种身份鉴别方法和装置，通过引入鉴别服务器，在保障实体身份相关信息机密性的同时，实现了鉴别接入控制器对请求设备的单向身份鉴别。
[0006]第一方面，本申请实施例提供了一种身份鉴别方法，包括：
[0007]鉴别接入控制器获取请求设备发送的身份密文消息，所述身份密文消息中包括所述请求设备的身份信息密文，所述身份信息密文是利用消息加密密钥对包括所述请求设备的数字证书在内的信息加密生成的；
[0008]所述鉴别接入控制器利用所述消息加密密钥对所述身份信息密文进行解密得到所述请求设备的数字证书；
[0009]所述鉴别接入控制器向其信任的第一鉴别服务器发送第一鉴别请求消息，所述第一鉴别请求消息中包括所述请求设备的数字证书；
[0010]所述鉴别接入控制器接收所述第一鉴别服务器发送的第一鉴别响应消息，所述第一鉴别响应消息中包括鉴别结果信息和所述第一鉴别服务器的数字签名，所述鉴别结果信息中包括对所述请求设备的数字证书的验证结果；
[0011]所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第一鉴别服务器的数字签名进行验证；
[0012]若验证通过，则所述鉴别接入控制器根据所述数字证书的验证结果确定所述请求设备的身份鉴别结果。
[0013]第二方面，本申请实施例提供了一种鉴别接入控制器，包括：
[0014]获取单元，用于获取请求设备发送的身份密文消息，所述身份密文消息中包括所
述请求设备的身份信息密文，所述身份信息密文是利用消息加密密钥对包括所述请求设备的数字证书在内的信息加密生成的；
[0015]解密单元，用于利用所述消息加密密钥对所述身份信息密文进行解密得到所述请求设备的数字证书；
[0016]第一发送单元，用于向所述鉴别接入控制器信任的第一鉴别服务器发送第一鉴别请求消息，所述第一鉴别请求消息中包括所述请求设备的数字证书；
[0017]接收单元，用于接收所述第一鉴别服务器发送的第一鉴别响应消息，所述第一鉴别响应消息中包括鉴别结果信息和所述第一鉴别服务器的数字签名，所述鉴别结果信息中包括对所述请求设备的数字证书的验证结果；
[0018]第一验证单元，用于利用所述第一鉴别服务器的公钥对所述第一鉴别服务器的数字签名进行验证；
[0019]第一确定单元，用于当所述第一鉴别服务器的数字签名验证通过时，根据所述数字证书的验证结果确定所述请求设备的身份鉴别结果。
[0020]第三方面，本申请实施例提供了一种请求设备，包括：
[0021]加密单元，用于利用消息加密密钥对包括所述请求设备的数字证书在内的信息加密生成身份信息密文；
[0022]发送单元，用于向鉴别接入控制器发送身份密文消息，所述身份密文消息中包括所述请求设备的身份信息密文。
[0023]由上述技术方案可以看出，在请求设备与鉴别接入控制器之间传输身份信息时，对请求设备的身份信息进行保密处理，可以防止身份信息在传输过程中暴露，保证攻击者无法获得私密、敏感信息，并且通过引入鉴别服务器，在保障实体身份相关信息机密性的同时，实现了鉴别接入控制器对请求设备的单向身份的实时鉴别，为保证只有合法用户才能访问网络奠定基础。
附图说明
[0024]为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0025]图1为本申请实施例提供的一种身份鉴别方法的示意图；
[0026]图2为本申请实施例提供的一种请求设备REQ和鉴别接入控制器AAC协商消息加密密钥的方法的示意图；
[0027]图3为本申请实施例提供的非漫游情况下一种身份鉴别方法的示意图；
[0028]图4为本申请实施例提供的漫游情况下一种身份鉴别方法的示意图；
[0029]图5为本申请实施例提供的非漫游情况下另一种身份鉴别方法的示意图，其中“*”表示可选的字段或可选的操作；
[0030]图6为本申请实施例提供的漫游情况下另一种身份鉴别方法的示意图，其中“*”表示可选的字段或可选的操作；
[0031]图7为本申请实施例提供的一种鉴别接入控制器AAC的结构框图；
[0032]图8为本申请实施例提供的一种请求设备REQ的结构框图。
具体实施方式
[0033]在通信网络中，请求设备可以通过鉴别接入控制器访问网络，为了确保访问网络的请求设备属于合法用户，鉴别接入控制器需要对请求设备的身份进行鉴别。
[0034]以目前的无线通信和移动通信场景为例，在请求设备通过鉴别接入控制器接入无线网络的场景下，请求设备可以为手机、个人数字助理(Personal Digital Assistant，简称PDA)、平板电脑等终端设备，鉴别接入控制器可以是无线接入点、无线路由器等网络侧设备。在请求设备通过鉴别接入控制器接入第四/五代移动通信技术(the 4th/5th Generation mobile communication technology，简称4G/5G)网络的场景下，请求设备可以为手机、平板电脑等终端设备，鉴别接入控制器可以为基站等网络侧设备。当然，本申请同样适用于其他有线网络、近距离通信网络等各种数据通信场景。
[0035]然而，在对请求设备进行身份鉴别的过程中，请求设备需要提供自身的身份信息用于鉴别，例如该身份信息可以为请求设备的数字证书，该数字证书中通常携带了身份证号、家庭住址、银行卡信息等私密、敏感信息；若攻击者截获了该数字证书，便可获取其中的私密、敏感信息并用于非法用途，会对鉴别接入控制器、请求设备甚至网络造成极大的安全隐患。
[0036]为了解决上述技术问题，本申请实施例提供了一种身份鉴别方法，包括：鉴别接入控制器获取请求设备本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种身份鉴别方法，其特征在于，所述方法包括：鉴别接入控制器获取请求设备发送的身份密文消息，所述身份密文消息中包括所述请求设备的身份信息密文，所述身份信息密文是利用消息加密密钥对包括所述请求设备的数字证书在内的信息加密生成的；所述鉴别接入控制器利用所述消息加密密钥对所述身份信息密文进行解密得到所述请求设备的数字证书；所述鉴别接入控制器向其信任的第一鉴别服务器发送第一鉴别请求消息，所述第一鉴别请求消息中包括所述请求设备的数字证书；所述鉴别接入控制器接收所述第一鉴别服务器发送的第一鉴别响应消息，所述第一鉴别响应消息中包括鉴别结果信息和所述第一鉴别服务器的数字签名，所述鉴别结果信息中包括对所述请求设备的数字证书的验证结果；所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第一鉴别服务器的数字签名进行验证；若验证通过，则所述鉴别接入控制器根据所述数字证书的验证结果确定所述请求设备的身份鉴别结果。2.根据权利要求1所述的方法，其特征在于，所述身份密文消息中还包括所述请求设备的数字签名，则在所述鉴别接入控制器确定所述请求设备的身份鉴别结果之前，所述方法还包括：所述鉴别接入控制器确定所述请求设备的数字签名是否验证通过，若确定所述请求设备的数字签名验证通过，则所述鉴别接入控制器再根据所述数字证书的验证结果确定所述请求设备的身份鉴别结果。3.根据权利要求2所述的方法，其特征在于，所述鉴别接入控制器确定所述请求设备的数字签名是否验证通过具体包括：所述鉴别接入控制器利用解密所述请求设备的身份信息密文得到的所述请求设备的数字证书对所述请求设备的数字签名进行验证，根据验证结果确定所述请求设备的数字签名是否验证通过；或者，当所述鉴别结果信息中还包括所述请求设备的数字证书时，所述鉴别接入控制器利用所述鉴别结果信息中的所述请求设备的数字证书对所述请求设备的数字签名进行验证，根据验证结果确定所述请求设备的数字签名是否验证通过；或者，当所述鉴别结果信息中还包括所述请求设备的数字证书时，所述鉴别接入控制器将解密所述请求设备的身份信息密文得到的所述请求设备的数字证书与所述鉴别结果信息中所述请求设备的数字证书的一致性进行比较；若一致，则所述鉴别接入控制器再利用所述请求设备的数字证书对所述请求设备的数字签名进行验证，根据验证结果确定所述请求设备的数字签名是否验证通过；或者，所述请求设备信任的第二鉴别服务器利用接收到的所述请求设备的数字证书，对所述请求设备的数字签名进行验证，若所述鉴别接入控制器接收到所述第一鉴别响应消息，则所述鉴别接入控制器确定所述请求设备的数字签名已验证通过。4.根据权利要求1所述的方法，其特征在于，在鉴别接入控制器获取请求设备发送的身份密文消息之前，所述方法还包括：
所述鉴别接入控制器向所述请求设备发送密钥请求消息，所述密钥请求消息中包括所述鉴别接入控制器的密钥交换参数；所述请求设备根据包括所述请求设备的密钥交换参数对应的临时私钥和所述鉴别接入控制器的密钥交换参数所包括的临时公钥进行密钥交换计算生成第一密钥，根据包括所述第一密钥在内的信息利用密钥导出算法计算所述消息加密密钥；所述请求设备向所述鉴别接入控制器发送的身份密文消息中还包括所述请求设备的密钥交换参数；所述鉴别接入控制器根据包括所述鉴别接入控制器的密钥交换参数对应的临时私钥和所述请求设备的密钥交换参数所包括的临时公钥进行密钥交换计算生成所述第一密钥，根据包括所述第一密钥在内的信息利用所述密钥导出算法计算所述消息加密密钥。5.根据权利要求4所述的方法，其特征在于，所述密钥请求消息中还包括所述鉴别接入控制器生成的第一随机数；则所述请求设备计算所述消息加密密钥还包括：所述请求设备根据包括所述第一密钥、所述第一随机数和所述请求设备生成的第二随机数在内的信息计算所述消息加密密钥；对应的，所述身份密文消息中还包括所述第二随机数；则所述鉴别接入控制器计算所述消息加密密钥还包括：所述鉴别接入控制器根据包括所述第一密钥、所述第一随机数和所述第二随机数在内的信息计算所述消息加密密钥。6.根据权利要求5所述的方法，其特征在于，所述身份密文消息中还包括所述第一随机数；则在所述鉴别接入控制器计算所述消息加密密钥之前，所述方法还包括：所述鉴别接入控制器对所述身份密文消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证；若验证通过，则所述鉴别接入控制器再计算所述消息加密密钥。7.根据权利要求4所述的方法，其特征在于，所述密钥请求消息中还包括所述鉴别接入控制器支持的安全能力参数信息，所述方法还包括：所述请求设备根据所述安全能力参数信息确定所述请求设备使用的特定安全策略；则所述身份密文消息中还包括所述特定安全策略。8.根据权利要求4所述的方法，其特征在于，所述密钥请求消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识；所述方法还包括：所述请求设备根据所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识，确定所述请求设备信任的至少一个鉴别服务器的身份标识；则所述身份密文消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识；所述方法还包括：所述鉴别接入控制器根据所述身份密文消息中所述请求设备信任的至少一个鉴别服务器的身份标识和所述密钥请求消息中所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识，确定参与身份鉴别的第一鉴别服务器。9.根据权利要求1所述的方法，其特征在于，所述身份密文消息中还包括所述请求设备
信任的至少一个鉴别服务器的身份标识；则所述方法还包括：所述鉴别接入控制器根据所述请求设备信任的至少一个鉴别服务器的身份标识和所述鉴别接入控制器信任的鉴别服务器的身份标识，确定参与身份鉴别的第一鉴别服务器。10.根据权利要求1所述的方法，其特征在于，所述第一鉴别请求消息中还包括所述鉴别接入控制器的身份标识和/或所述鉴别接入控制器生成的第一随机数；对应的，所述第一鉴别响应消息中还包括所述鉴别接入控制器的身份标识和/或所述第一随机数；则在所述鉴别接入控制器确定所述请求设备的身份鉴别结果之前，所述方法还包括：所述鉴别接入控制器对所述第一鉴别响应消息中的鉴别接入控制器的身份标识和所述鉴别接入控制器自身的身份标识的一致性进行验证，和/或，对所述第一鉴别响应消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证；若验证通过，则所述鉴别接入控制器再根据所述数字证书的验证结果确定所述请求设备的身份鉴别结果。11.根据权利要求1至10任一项所述的方法，其特征在于，所述鉴别接入控制器信任的第一鉴别服务器和所述请求设备信任的第二鉴别服务器是同一个鉴别服务器，则所述方法还包括：所述第一鉴别服务器对所述请求设备的数字证书进行合法性验证得到所述数字证书的验证结果，根据包括所述数字证书的验证结果在内的信息生成所述鉴别结果信息，对包括所述鉴别结果信息在内的签名数据计算生成第一鉴别服务器的数字签名，根据包括所述鉴别结果信息和所述第一鉴别服务器的数字签名在内的信息生成所述第一鉴别响应消息。12.根据权利要求1至10任一项所述的方法，其特征在于，所述鉴别接入控制器信任的第一鉴别服务器和所述请求设备信任的第二鉴别服务器是两个不同的鉴别服务器，则所述方法还包括：所述第一鉴别服务器接收所述第一鉴别请求消息后，向所述请求设备信任的第二鉴别服务器发送第二鉴别请求消息，所述第二鉴别请求消息中包括所述请求设备的数字证书；由所述第二鉴别服务器对所述请求设备的数字证书进行合法性验证得到所述数字证书的验证结果，根据包括所述数字证书的验证结果在内的信息生成所述鉴别结果信息，对包括所述鉴别结果信息在内的签名数据计算生成第二鉴别服务器的数字签名；所述第一鉴别服务器接收所述第二鉴别服务器发送的第二鉴别响应消息，所述第二鉴别响应消息中包括所述鉴别结果信息和所述第二鉴别服务器的数字签名；所述第一鉴别服务器利用所述第二鉴别服务器的公钥对所述第二鉴别服务器的数字签名进行验证；若验证通过，则所述第一鉴别服务器对包括所述鉴别结果信息在内的签名数据计算生成所述第一鉴别服务器的数字签名，根据包括所述鉴别结果信息和所述第一鉴别服务器的数字签名在内的信息生成所述第一鉴别响应消息。13.根据权利要求3至10任一项所述的方法，其特征在于，所述请求设备向所述鉴别接入控制器发送的消息还包括所述请求设备对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值；则所述鉴别接入控制器收到所述请求设备发送的消息时，先对接收到的消息中的杂凑值进行验证，验证通过后再执行后续操作；
所述鉴别接入控制器向所述请求设备发送的消息还包括所述鉴别接入控制器对接收到的所述请求设备发送的最新前序消息计算的杂凑值；则所述请求设备收到所述鉴别接入控制器发送的消息时，先对接收到的消息中的杂凑值进行验证，验证通过后再执行后续操作；所述鉴别接入控制器向所述第一鉴别服务器发送的消息还包括所述鉴别接入控制器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值；则所述第一鉴别服务器收到所述鉴别接入控制器发送的消息时，先对接收到的消息中的杂凑值进行验证，验证通过后再执行后续操作；所述第一鉴别服务器向所述鉴别接入控制器发送的消息还包括所述第一鉴别服务器对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值；则所述鉴别接入控制器收到所述第一鉴别服务器器发送的消息时，先对接收到的消息中的杂凑值进行验证，验证通过后再执行后续...

【专利技术属性】
技术研发人员：铁满霞，曹军，赖晓龙，赵晓荣，李琴，张变玲，张国强，
申请(专利权)人：西安西电捷通无线网络通信股份有限公司，
类型：发明
国别省市：