【技术实现步骤摘要】
一种身份鉴别方法和装置
[0001]本申请涉及网络通信安全
,特别是涉及一种身份鉴别方法和装置。
技术介绍
[0002]目前,通信网络通常要求在用户和网络接入点之间进行双向身份鉴别,确保合法用户才能与合法网络通信。在已有的实体鉴别方案中,实体的身份要么统一采用数字证书的形式,要么统一采用预共享密钥的形式,但在实际应用中的某些场景下,面临一端采用数字证书作为身份凭证、另一端采用预共享密钥作为身份凭证的情况,这对实体身份鉴别机制提出了挑战。
[0003]另外,在身份鉴别消息传输的过程中,又经常直接暴露实体的身份信息,而实体的身份信息通常包括私密或敏感信息,譬如身份证号、家庭住址、银行卡信息、地理位置信息或所属机构信息等,若被攻击者截获用于非法活动,后果将不堪设想,如何在不暴露身份敏感信息的前提下完成实体身份鉴别成为当务之急。
技术实现思路
[0004]为了解决上述技术问题,本申请提供了一种身份鉴别方法和装置,能够在请求设备采用预共享密钥、鉴别接入控制器采用数字证书作为身份凭证的情况下实现实体之间的双向身份鉴别,以及实体的身份保护。
[0005]有鉴于此,本申请第一方面提供了一种身份鉴别方法,包括:
[0006]鉴别接入控制器接收请求设备发送的身份密文消息,所述身份密文消息中包括所述请求设备的身份标识密文和所述请求设备的身份鉴别码;所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识密...
【技术保护点】
【技术特征摘要】
1.一种身份鉴别方法,其特征在于,所述方法包括:鉴别接入控制器接收请求设备发送的身份密文消息,所述身份密文消息中包括所述请求设备的身份标识密文和所述请求设备的身份鉴别码;所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识密文在内的信息计算生成的;所述请求设备的身份标识密文是利用消息加密密钥对包括所述请求设备的身份标识在内的信息计算生成的;所述鉴别接入控制器利用所述消息加密密钥对所述请求设备的身份标识密文解密得到所述请求设备的身份标识,并向其信任的第一鉴别服务器发送第一鉴别请求消息,所述第一鉴别请求消息中包括所述身份密文消息、所述请求设备的身份标识和所述鉴别接入控制器的身份信息,所述鉴别接入控制器的身份信息是根据包括所述鉴别接入控制器的数字证书在内的信息生成的;所述鉴别接入控制器接收所述第一鉴别服务器发送的第一鉴别响应消息,所述第一鉴别响应消息是根据包括第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、第二鉴别结果信息和所述第一鉴别服务器的第一数字签名在内的信息生成的;所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果,所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥,采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的;所述第二鉴别结果信息中包括对所述请求设备的第二验证结果,所述第一数字签名是所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成的数字签名;所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证,若验证通过,则所述鉴别接入控制器根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;当所述鉴别接入控制器确定所述请求设备的身份鉴别结果为合法时,向所述请求设备发送第三鉴别响应消息;或者,所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证,若验证通过,则所述鉴别接入控制器向所述请求设备发送第三鉴别响应消息以及根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;或者,所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证;若所述第一数字签名验证通过,则所述鉴别接入控制器根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;所述鉴别接入控制器向所述请求设备发送第三鉴别响应消息;其中,所述第三鉴别响应消息中包括身份鉴别结果信息密文;所述身份鉴别结果信息密文是利用所述消息加密密钥对包括所述第一鉴别结果信息和所述第二鉴别服务器的第一消息鉴别码在内的加密数据加密生成的;所述请求设备接收到所述第三鉴别响应消息后,利用所述消息加密密钥对所述身份鉴别结果信息密文进行解密得到所述第一鉴别结果信息和所述第二鉴别服务器的第一消息鉴别码,并利用与所述第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法验证所述第二鉴别服务器的第一消息鉴别码,若验证通过,则所述请求设备根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。
2.根据权利要求1所述的方法,其特征在于,在所述鉴别接入控制器接收请求设备发送的身份密文消息之前,所述方法还包括:所述鉴别接入控制器向所述请求设备发送密钥请求消息,所述密钥请求消息中包括所述鉴别接入控制器的密钥交换参数;所述请求设备根据包括所述请求设备的密钥交换参数对应的临时私钥和所述鉴别接入控制器的密钥交换参数所包括的临时公钥进行密钥交换计算生成第一密钥,根据包括所述第一密钥在内的信息利用密钥导出算法计算所述消息加密密钥;对应的,所述身份密文消息中还包括所述请求设备的密钥交换参数;所述鉴别接入控制器根据包括所述鉴别接入控制器的密钥交换参数对应的临时私钥和所述请求设备的密钥交换参数所包括的临时公钥进行密钥交换计算生成所述第一密钥,根据包括所述第一密钥在内的信息利用所述密钥导出算法计算所述消息加密密钥。3.根据权利要求2所述的方法,其特征在于,所述密钥请求消息中还包括所述鉴别接入控制器生成的第一随机数;则所述请求设备计算所述消息加密密钥具体包括:所述请求设备根据包括所述第一密钥、所述第一随机数和所述请求设备生成的第二随机数在内的信息计算所述消息加密密钥;对应的,所述身份密文消息中还包括所述第二随机数;则所述鉴别接入控制器计算所述消息加密密钥具体包括:所述鉴别接入控制器根据包括所述第一密钥、所述第一随机数和所述第二随机数在内的信息计算所述消息加密密钥。4.根据权利要求3所述的方法,其特征在于,所述身份密文消息中还包括所述第一随机数;则在所述鉴别接入控制器计算所述消息加密密钥之前,所述方法还包括:所述鉴别接入控制器对所述身份密文消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;若验证通过,则所述鉴别接入控制器再计算所述消息加密密钥。5.根据权利要求2所述的方法,其特征在于,所述密钥请求消息中还包括所述鉴别接入控制器支持的安全能力参数信息;所述方法还包括:所述请求设备根据所述安全能力参数信息确定所述请求设备使用的特定安全策略;则所述身份密文消息中还包括所述特定安全策略。6.根据权利要求2所述的方法,其特征在于,所述密钥请求消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识;则所述方法还包括:所述请求设备根据所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识,确定所述请求设备信任的至少一个鉴别服务器的身份标识;则所述身份密文消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识;则所述方法还包括:所述鉴别接入控制器根据所述身份密文消息中所述请求设备信任的至少一个鉴别服务器的身份标识和所述密钥请求消息中所述鉴别接入控制器信任的至少一个鉴别服务器
的身份标识,确定所述第一鉴别服务器。7.根据权利要求1所述的方法,其特征在于,所述身份密文消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识;则所述方法还包括:所述鉴别接入控制器根据所述请求设备信任的至少一个鉴别服务器的身份标识和所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识,确定所述第一鉴别服务器。8.根据权利要求1所述的方法,其特征在于,所述第一鉴别请求消息中还包括所述鉴别接入控制器的身份标识,和/或,所述鉴别接入控制器生成的第一随机数;对应的,所述第一鉴别响应消息中还包括所述鉴别接入控制器的身份标识,和/或,所述第一随机数;则在所述鉴别接入控制器确定所述请求设备的身份鉴别结果之前,所述方法还包括:所述鉴别接入控制器对所述第一鉴别响应消息中的鉴别接入控制器的身份标识和所述鉴别接入控制器自身的身份标识的一致性进行验证;和/或,对所述第一鉴别响应消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;若验证通过,则所述鉴别接入控制器再根据所述第二验证结果确定所述请求设备的身份鉴别结果。9.根据权利要求1所述的方法,其特征在于,所述第二鉴别结果信息中还包括所述请求设备的身份标识,则在所述鉴别接入控制器确定所述请求设备的身份鉴别结果之前,所述方法还包括:所述鉴别接入控制器对所述第二鉴别结果信息中的所述请求设备的身份标识和解密所述请求设备的身份标识密文得到的所述请求设备的身份标识的一致性进行验证;若验证通过,则所述鉴别接入控制器再根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果。10.根据权利要求1所述的方法,其特征在于,所述身份密文消息中还包括所述请求设备生成的第二随机数,则所述第一鉴别请求消息中还包括所述第二随机数;对应的,所述第一鉴别响应消息中还包括所述请求设备的身份标识和/或所述第二随机数;所述第三鉴别响应消息中的身份鉴别结果信息密文的加密数据还包括所述请求设备的身份标识和/或所述第二随机数;则在所述请求设备确定所述鉴别接入控制器的身份鉴别结果之前,所述方法还包括:所述请求设备对解密所述第三鉴别响应消息中的身份鉴别结果信息密文得到的请求设备的身份标识和所述请求设备自身的身份标识的一致性进行验证,和/或,对解密所述第三鉴别响应消息中的身份鉴别结果信息密文得到的第二随机数和所述请求设备生成的第二随机数的一致性进行验证;若验证通过,则所述请求设备再根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。11.根据权利要求1所述的方法,其特征在于,在所述请求设备确定所述鉴别接入控制器的身份鉴别结果之前,所述方法还包括:所述请求设备确定所述鉴别接入控制器的数字签名是否验证通过,若确定所述鉴别接入控制器的数字签名验证通过,则再根据所述第一鉴别结果信息中的第一验证结果确定所
述鉴别接入控制器的身份鉴别结果。12.根据权利要求11所述的方法,其特征在于,所述请求设备确定所述鉴别接入控制器的数字签名是否验证通过具体包括:当所述第一鉴别请求消息中还包括所述鉴别接入控制器的数字签名时,所述第一鉴别服务器利用所述第一鉴别请求消息中的所述鉴别接入控制器的数字证书,对所述鉴别接入控制器的数字签名进行验证,若所述请求设备接收到所述第三鉴别响应消息,则所述请求设备确定所述鉴别接入控制器的数字签名已验证通过;或者,当所述第三鉴别响应消息中还包括所述鉴别接入控制器的数字签名时,相应的,所述第一鉴别结果信息中还包括所述鉴别接入控制器的数字证书;则所述请求设备利用所述第一鉴别结果信息中的所述鉴别接入控制器的数字证书对所述鉴别接入控制器的数字签名进行验证,根据验证结果确定所述鉴别接入控制器的数字签名是否验证通过。13.根据权利要求1所述的方法,其特征在于,所述鉴别接入控制器的身份信息是由所述鉴别接入控制器利用加密证书的公钥对包括所述鉴别接入控制器的数字证书在内的加密数据加密生成;相应的,所述第一鉴别服务器获取利用加密证书对应的私钥对所述身份信息进行解密得到的所述鉴别接入控制器的数字证书。14.根据权利要求1所述的方法,其特征在于,所述鉴别接入控制器的身份信息是由所述鉴别接入控制器利用加密证书的公钥对包括所述鉴别接入控制器的数字证书和第二密钥在内的加密数据加密生成的;相应的,所述第一鉴别结果信息是利用所述第二密钥对包括所述第一验证结果在内的信息加密生成的;相应的,所述第三鉴别响应消息中的所述身份鉴别结果信息密文的加密数据还包括所述第二密钥;所述请求设备在接收所述第三鉴别响应消息之后,所述方法还包括:所述请求设备利用所述消息加密密钥对所述身份鉴别结果信息密文进行解密还得到所述第二密钥,利用所述第二密钥对所述第一鉴别结果信息解密得到所述第一验证结果。15.根据权利要求14所述的方法,其特征在于,所述鉴别接入控制器的身份信息的加密数据还包括所述鉴别接入控制器的身份标识和第三密钥;相应的,所述第一鉴别响应消息中还包括所述鉴别接入控制器的身份标识密文;所述鉴别接入控制器的身份标识密文是利用所述第三密钥对包括所述鉴别接入控制器的身份标识在内的信息加密生成的;则所述鉴别接入控制器在接收所述第一鉴别响应消息之后,所述方法还包括:所述鉴别接入控制器根据自身的身份标识和所述第三密钥对所述鉴别接入控制器的身份标识密文进行验证。16.根据权利要求1至15任一项所述的方法,其特征在于,所述鉴别接入控制器信任的第一鉴别服务器和所述请求设备信任的第二鉴别服务器是同一个鉴别服务器,则所述方法还包括:所述第一鉴别服务器对所述鉴别接入控制器的数字证书进行合法性验证得到第一验证结果,对所述请求设备的身份鉴别码进行验证得到第二验证结果,并根据包括所述第一
验证结果在内的信息生成所述第一鉴别结果信息,根据包括所述第二验证结果在内的信息生成所述第二鉴别结果信息,对包括所述第一鉴别结果信息在内的信息计算生成第一鉴别服务器的第一消息鉴别码,对包括所述第二鉴别结果信息在内的签名数据计算生成第一数字签名,根据包括所述第一鉴别结果信息、所述第一鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第一数字签名在内的信息计算生成所述第一鉴别响应消息。17.根据权利要求1至15任一项所述的方法,其特征在于,所述鉴别接入控制器信任的第一鉴别服务器和所述请求设备信任的第二鉴别服务器是两个不同的鉴别服务器;则所述方法还包括:所述第一鉴别服务器对所述鉴别接入控制器的数字证书进行合法性验证得到第一验证结果,根据包括所述第一验证结果在内的信息生成所述第一鉴别结果信息,对包括所述第一鉴别结果信息、所述请求设备的身份标识和所述身份密文消息在内的签名数据计算生成第二数字签名或对包括所述第一鉴别结果信息、所述请求设备的身份标识和所述身份密文消息在内的信息计算生成第二消息鉴别码;所述第一鉴别服务器向第二鉴别服务器发送第二鉴别请求消息,所述第二鉴别请求消息中包括所述第一鉴别结果信息、所述身份密文消息、所述请求设备的身份标识和所述第二数字签名或所述第二鉴别请求消息中包括所述第一鉴别结果信息、所述身份密文消息、所述请求设备的身份标识和所述第二消息鉴别码;由所述第二鉴别服务器利用所述第一鉴别服务器的公钥验证所述第二数字签名或由所述第二鉴别服务器利用与所述第一鉴别服务器的预共享密钥验证所述第二消息鉴别码,若验证通过,则由所述第二鉴别服务器对所述身份密文消息中所述请求设备的身份鉴别码进行验证得到第二验证结果,根据包括所述第二验证结果在内的信息生成所述第二鉴别结果信息,对包括所述第一鉴别结果信息在内的信息计算生成第二鉴别服务器的第一消息鉴别码,对包括所述第二鉴别结果信息在内的签名数据计算生成第三数字签名或对包括所述第二鉴别结果信息在内的信息计算生成第三消息鉴别码;所述第一鉴别服务器接收所述第二鉴别服务器发送的第二鉴别响应消息,所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和第三数字签名或所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和第三消息鉴别码;所述第一鉴别服务器利用所述第二鉴别服务器的公钥验证所述第三数字签名或所述第一鉴别服务器利用与所述第二鉴别服务器的预共享密钥验证所述第三消息鉴别码,若验证通过,则所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成第一数字签名,根据包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第一数字签名在内的信息生成所述第一鉴别响应消息。18.根据权利要求1至15任一项所述的方法,其特征在于,所述请求设备向所述鉴别接入控制器发送的消息还包括所述请求设备对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值;则所述鉴别接入控制器收到所述请求设备发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述鉴别接入控制器向所述请求设备发送的消息还包括所述鉴别接入控制器对接收
到的所述请求设备发送的最新前序消息计算的杂凑值;则所述请求设备收到所述鉴别接入控制器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述鉴别接入控制器向所述第一鉴别服务器发送的消息还包括所述鉴别接入控制器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值;则所述第一鉴别服务器收到所述鉴别接入控制器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述第一鉴别服务器向所述鉴别接入控制器发送的消息还包括所述第一鉴别服务器对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值;则所述鉴别接入控制器收到所述第一鉴别服务器器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述第一鉴别服务器向所述第二鉴别服务器发送的消息还包括所述第一鉴别服务器对接收到的所述第二鉴别服务器发送的最新前序消息计算的杂凑值;则所述第二鉴别服务器收到所述第一鉴别服务器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述第二鉴别服务器向所述第一鉴别服务器发送的消息还包括所述第二鉴别服务器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值;则所述第一鉴别服务器收到所述第二鉴别服务器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作。19.一种请求设备,其特征在于,所述请求设备包括:生成模块,用于利用消息加密密钥对包括所述请求设备的身份标识在内的信息计算生成所述请求设备的身份标识密文,并利用与所述请求设备信任的第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识密文在内的信息计算生成所述请求设备的身份鉴别码;发送模块,用于向鉴别接入控制器发送身份密文消息,所述身份密文消息中包括所述请求设备的身份标识密文和所述请求设备的身份鉴别码;接收模块,用于接收所述鉴别接入控制器发送的第三鉴别响应消息,所述第三鉴别响应消息中包括身份鉴别结果信息密文;所述身份鉴别结果信息密文是利用所述消息加密密钥对包括第一鉴别结果信息和所述第二鉴别服务器的第一消息鉴别码在内的加密数据加密生成的;解密模块,用于利用所述消息加密密钥对所述身份鉴别结果信息密文进行解密得到所述第一鉴别结果信息和所述第二鉴别服务器的第一消息鉴别码;所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥,采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的;验证模块,用于利用与所述第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法验证所述第二鉴别服务器的第一消息鉴别码;确定模块,用于若验证通过,则根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。20.根据权利要求19所述的请求设备,其特征在于,所述接收模块还用于:接收所述鉴
别接入控制器发送的密钥请求消息,所述密钥请求消息中包括所述鉴别接入控制器的密钥交换参数;所述生成模块还用于:根据包括所述请求设备的密钥交换参数对应的临时私钥和所述鉴别接入控制器的密钥交换参数所包括的临时公钥进行密钥交换计算生成第一密钥,根据包括所述第一密钥在内的信息利用密钥导出算法计算所述消息加密密钥;对应的,所述身份密文消息中还包括所述请求设备的密钥交换参数。21.根据权利要求20所述的请求设备,其特征在于,所述密钥请求消息中还包括所述鉴别接入控制器生成的第一随机数;则所述生成模块具体用于:根据包括所述第一密钥、所述第一随机数和所述请求设备生成的第二随机数在内的信息计算所述消息...
【专利技术属性】
技术研发人员:铁满霞,曹军,赵晓荣,赖晓龙,李琴,张变玲,王月辉,
申请(专利权)人:西安西电捷通无线网络通信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。