【技术实现步骤摘要】
一种身份鉴别方法和装置
[0001]本申请涉及网络通信安全
,特别是涉及一种身份鉴别方法和装置。
技术介绍
[0002]在通信网络中,请求设备可以通过鉴别接入控制器接入网络。在一些对安全性需求较高的情况下,鉴别接入控制器需要对请求设备的身份进行鉴别,并且请求设备也需要对鉴别接入控制器的身份进行鉴别,以确保访问网络的请求设备属于合法用户,且请求设备访问的网络属于合法网络。此外,在区块链技术中的点对点传输,也需要在不同节点之间建立信任关系,因此对于节点的身份鉴别也是十分重要的。
[0003]在请求设备和鉴别接入控制器的双向身份鉴别的过程中,请求设备和鉴别接入控制器均需要提供自身的身份信息用于身份鉴别。然而,这类身份信息一般携带了诸如身份证号、家庭住址、银行卡信息、地理位置信息或所属机构信息等私密、敏感的信息;并且在实际应用过程中,这类身份信息通常会包含在数字证书中,以数字证书作为实体的身份凭证。
[0004]若在请求设备与鉴别接入控制器的双向身份鉴别过程中,请求设备或鉴别接入控制器的身份信息被攻击者截获用于非法用途,则会对鉴别接入控制器、请求设备及网络造成极大的安全隐患。
技术实现思路
[0005]为了解决上述技术问题,本申请提供了一种身份鉴别方法和装置,通过引入鉴别服务器,在保障实体身份相关信息机密性的同时,实现了鉴别接入控制器与请求设备之间的双向身份鉴别。
[0006]第一方面,本申请实施例提供了一种身份鉴别方法,包括:
[0007]鉴别接入控制器获取请求设备发送...
【技术保护点】
【技术特征摘要】
1.一种身份鉴别方法,其特征在于,所述方法包括:鉴别接入控制器获取请求设备发送的身份密文消息,所述身份密文消息中包括所述请求设备的身份信息密文,所述身份信息密文是利用消息加密密钥对包括所述请求设备的数字证书在内的加密数据加密生成的;所述鉴别接入控制器利用所述消息加密密钥对所述请求设备的身份信息密文进行解密得到所述请求设备的数字证书;所述鉴别接入控制器向其信任的第一鉴别服务器发送第一鉴别请求消息,所述第一鉴别请求消息中包括所述请求设备的数字证书和所述鉴别接入控制器的数字证书;所述鉴别接入控制器接收所述第一鉴别服务器发送的第一鉴别响应消息,所述第一鉴别响应消息中包括第一鉴别结果信息、第一数字签名、第二鉴别结果信息和第二数字签名,所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果,所述第一数字签名是所述请求设备信任的第二鉴别服务器对包括所述第一鉴别结果信息在内的签名数据计算生成的数字签名,所述第二鉴别结果信息中包括对所述请求设备的数字证书的第二验证结果,所述第二数字签名是所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成的数字签名;所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第二数字签名进行验证,若验证通过,则所述鉴别接入控制器根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;当所述鉴别接入控制器确定所述请求设备的身份鉴别结果为合法时,向所述请求设备发送第三鉴别响应消息;或者,所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第二数字签名进行验证,若验证通过,则所述鉴别接入控制器向所述请求设备发送第三鉴别响应消息以及根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;或者,所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第二数字签名进行验证;若所述第二数字签名验证通过,则所述鉴别接入控制器根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;所述鉴别接入控制器向所述请求设备发送第三鉴别响应消息;其中,所述第三鉴别响应消息中包括身份鉴别结果信息密文,所述身份鉴别结果信息密文是利用所述消息加密密钥对包括所述第一鉴别结果信息和所述第一数字签名在内的加密数据加密生成的;所述请求设备接收到所述第三鉴别响应消息后,利用所述消息加密密钥对所述身份鉴别结果信息密文进行解密得到所述第一鉴别结果信息和所述第一数字签名,所述请求设备利用所述第二鉴别服务器的公钥对所述第一数字签名进行验证,若验证通过,则所述请求设备根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。2.根据权利要求1所述的方法,其特征在于,在所述鉴别接入控制器获取请求设备发送的身份密文消息之前,所述方法还包括:所述鉴别接入控制器向所述请求设备发送密钥请求消息,所述密钥请求消息中包括所述鉴别接入控制器的密钥交换参数;所述请求设备根据包括所述请求设备的密钥交换参数对应的临时私钥和所述鉴别接
入控制器的密钥交换参数所包括的临时公钥进行密钥交换计算生成第一密钥,根据包括所述第一密钥在内的信息利用密钥导出算法计算所述消息加密密钥;所述请求设备向所述鉴别接入控制器发送的身份密文消息中还包括所述请求设备的密钥交换参数;所述鉴别接入控制器根据包括所述鉴别接入控制器的密钥交换参数对应的临时私钥和所述请求设备的密钥交换参数所包括的临时公钥进行密钥交换计算生成所述第一密钥,根据包括所述第一密钥在内的信息利用所述密钥导出算法计算所述消息加密密钥。3.根据权利要求2所述的方法,其特征在于,所述密钥请求消息中还包括所述鉴别接入控制器生成的第一随机数;则所述请求设备计算所述消息加密密钥具体包括:所述请求设备根据包括所述第一密钥、所述第一随机数和所述请求设备生成的第二随机数在内的信息计算所述消息加密密钥;对应的,所述身份密文消息中还包括所述第二随机数;则所述鉴别接入控制器计算所述消息加密密钥具体包括:所述鉴别接入控制器根据包括所述第一密钥、所述第一随机数和所述第二随机数在内的信息计算所述消息加密密钥。4.根据权利要求3所述的方法,其特征在于,所述身份密文消息中还包括所述第一随机数;则在所述鉴别接入控制器计算所述消息加密密钥之前,所述方法还包括:所述鉴别接入控制器对所述身份密文消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;若验证通过,则所述鉴别接入控制器再计算所述消息加密密钥。5.根据权利要求2所述的方法,其特征在于,所述密钥请求消息中还包括所述鉴别接入控制器支持的安全能力参数信息,所述方法还包括:所述请求设备根据所述安全能力参数信息确定所述请求设备使用的特定安全策略;则所述身份密文消息中还包括所述特定安全策略。6.根据权利要求2所述的方法,其特征在于,所述密钥请求消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识;则所述方法还包括:所述请求设备根据所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识,确定所述请求设备信任的至少一个鉴别服务器的身份标识;则所述身份密文消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识;则所述鉴别接入控制器根据所述身份密文消息中所述请求设备信任的至少一个鉴别服务器的身份标识和所述密钥请求消息中所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识,确定所述第一鉴别服务器。7.根据权利要求1所述的方法,其特征在于,所述身份密文消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识;则所述方法还包括:所述鉴别接入控制器根据所述身份密文消息中所述请求设备信任的至少一个鉴别服务器的身份标识和所述鉴别接入控制器信任的鉴别服务器的身份标识,确定所述第一鉴别服务器。8.根据权利要求1所述的方法,其特征在于,所述第一鉴别请求消息中还包括所述鉴别
接入控制器的身份标识和/或所述鉴别接入控制器生成的第一随机数;相应的,所述第一鉴别响应消息中还包括所述鉴别接入控制器的身份标识和/或所述第一随机数;则在所述鉴别接入控制器确定所述请求设备的身份鉴别结果之前,所述方法还包括:所述鉴别接入控制器对所述第一鉴别响应消息中所述鉴别接入控制器的身份标识和所述鉴别接入控制器自身的身份标识的一致性进行验证;和/或,对所述第一鉴别响应消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;若验证通过,则所述鉴别接入控制器再根据所述第二验证结果确定所述请求设备的身份鉴别结果。9.根据权利要求1所述的方法,其特征在于,所述身份密文消息中还包括所述请求设备生成的第二随机数,和/或,所述身份密文消息中的身份信息密文的加密数据还包括所述请求设备的身份标识;相应的,所述第一鉴别请求消息中还包括所述第二随机数和/或所述请求设备的身份标识;所述第一鉴别响应消息中还包括所述第二随机数和/或所述请求设备的身份标识;所述第三鉴别响应消息中的身份鉴别结果信息密文的加密数据还包括所述第二随机数和/或所述请求设备的身份标识;则在所述请求设备确定所述鉴别接入控制器的身份鉴别结果之前,所述方法还包括:所述请求设备利用所述消息加密密钥对所述身份鉴别结果信息密文进行解密还得到所述第二随机数和/或所述请求设备的身份标识;所述请求设备对解密得到的所述第二随机数和所述请求设备生成的第二随机数的一致性进行验证,和/或,对解密得到的所述请求设备的身份标识和所述请求设备自身的身份标识的一致性进行验证;若验证通过,则所述请求设备再根据所述第一验证结果确定所述鉴别接入控制器的身份鉴别结果。10.根据权利要求1所述的方法,其特征在于,所述身份密文消息中还包括所述请求设备的数字签名,则在所述鉴别接入控制器确定所述请求设备的身份鉴别结果之前,所述方法还包括:所述鉴别接入控制器确定所述请求设备的数字签名是否验证通过,若确定所述请求设备的数字签名验证通过,则所述鉴别接入控制器再根据所述第二验证结果确定所述请求设备的身份鉴别结果。11.根据权利要求10所述的方法,其特征在于,所述鉴别接入控制器确定所述请求设备的数字签名是否验证通过具体包括:所述鉴别接入控制器利用解密所述请求设备的身份信息密文得到的所述请求设备的数字证书对所述请求设备的数字签名进行验证,根据验证结果确定所述请求设备的数字签名是否验证通过;或者,当所述第二鉴别结果信息中还包括所述请求设备的数字证书时,所述鉴别接入控制器利用所述第二鉴别结果信息中的所述请求设备的数字证书对所述请求设备的数字签名进行验证,根据验证结果确定所述请求设备的数字签名是否验证通过;或者,
当所述第二鉴别结果信息中还包括所述请求设备的数字证书时,所述鉴别接入控制器对所述第二鉴别结果信息中所述请求设备的数字证书和解密所述身份密文消息中的身份信息密文获得的所述请求设备的数字证书的一致性进行验证;若一致,则所述鉴别接入控制器再利用所述请求设备的数字证书对所述请求设备的数字签名进行验证,根据验证结果确定所述请求设备的数字签名是否验证通过;或者,所述第二鉴别服务器利用接收到的所述请求设备的数字证书对所述请求设备的数字签名进行验证,若所述鉴别接入控制器接收到所述第一鉴别响应消息,则确定所述请求设备的数字签名已验证通过。12.根据权利要求1所述的方法,其特征在于,在所述请求设备确定所述鉴别接入控制器的身份鉴别结果之前,所述方法还包括:所述请求设备确定所述鉴别接入控制器的数字签名是否验证通过,若确定所述鉴别接入控制器的数字签名验证通过,则所述请求设备再根据所述第一验证结果确定所述鉴别接入控制器的身份鉴别结果。13.根据权利要求12所述的方法,其特征在于,所述请求设备确定所述鉴别接入控制器的数字签名是否验证通过具体包括:当所述第一鉴别请求消息中还包括所述鉴别接入控制器的数字签名时,所述第一鉴别服务器利用所述第一鉴别请求消息中的所述鉴别接入控制器的数字证书对所述鉴别接入控制器的数字签名进行验证,若所述请求设备接收到所述第三鉴别响应消息,则确定所述鉴别接入控制器的数字签名已验证通过;或者,当所述第三鉴别响应消息中还包括所述鉴别接入控制器的数字签名时,相应的,所述第一鉴别结果信息中还包括所述鉴别接入控制器的数字证书;则所述请求设备利用所述鉴别接入控制器的数字证书对所述鉴别接入控制器的数字签名进行验证,根据验证结果确定所述鉴别接入控制器的数字签名是否验证通过。14.根据权利要求2所述的方法,其特征在于,所述第三鉴别响应消息中还包括消息完整性校验码,所述消息完整性校验码是所述鉴别接入控制器利用消息完整性校验密钥对包括所述第三鉴别响应消息中除所述消息完整性校验码外的其他字段计算生成的;所述鉴别接入控制器的消息完整性校验密钥与所述鉴别接入控制器的消息加密密钥的生成方式相同;则在所述请求设备确定所述鉴别接入控制器的身份鉴别结果之前,所述方法还包括:所述请求设备利用所述消息完整性校验密钥验证所述消息完整性校验码;所述请求设备的消息完整性校验密钥与所述请求设备的消息加密密钥的生成方式相同。15.根据权利要求1至14任一项所述的方法,其特征在于,所述鉴别接入控制器信任的第一鉴别服务器和所述请求设备信任的第二鉴别服务器是同一个鉴别服务器,则所述方法还包括:所述第一鉴别服务器对所述鉴别接入控制器的数字证书进行合法性验证得到第一验证结果,对所述请求设备的数字证书进行合法性验证得到第二验证结果,根据包括所述第一验证结果在内的信息生成所述第一鉴别结果信息,根据包括所述第二验证结果在内的信息生成所述第二鉴别结果信息,对包括所述第一鉴别结果信息在内的签名数据计算生成第一数字签名,对包括所述第二鉴别结果信息在内的签名数据计算生成第二数字签名,根据
包括所述第一鉴别结果信息、所述第一数字签名、所述第二鉴别结果信息和所述第二数字签名在内的信息生成所述第一鉴别响应消息。16.根据权利要求1至14任一项所述的方法,其特征在于,所述鉴别接入控制器信任的第一鉴别服务器和所述请求设备信任的第二鉴别服务器是两个不同的鉴别服务器;则所述方法还包括:所述第一鉴别服务器对所述鉴别接入控制器的数字证书进行合法性验证得到第一验证结果,根据包括所述第一验证结果在内的信息生成所述第一鉴别结果信息,对包括所述第一鉴别结果信息和所述请求设备的数字证书在内的签名数据计算生成第三数字签名;所述第一鉴别服务器向第二鉴别服务器发送第二鉴别请求消息,所述第二鉴别请求消息中包括所述第一鉴别结果信息、所述请求设备的数字证书和所述第三数字签名;由所述第二鉴别服务器利用所述第一鉴别服务器的公钥验证所述第三数字签名,若验证通过,则由所述第二鉴别服务器对所述请求设备的数字证书进行合法性验证得到第二验证结果,根据包括所述第二验证结果在内的信息生成所述第二鉴别结果信息,对包括所述第一鉴别结果信息在内的签名数据计算生成第一数字签名,对包括所述第二鉴别结果信息在内的签名数据计算生成第四数字签名;所述第一鉴别服务器接收所述第二鉴别服务器发送的第二鉴别响应消息,所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第一数字签名、所述第二鉴别结果信息和所述第四数字签名;所述第一鉴别服务器利用所述第二鉴别服务器的公钥验证所述第四数字签名,若验证通过,则所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成第二数字签名,根据包括所述第一鉴别结果信息、所述第一数字签名、所述第二鉴别结果信息和所述第二数字签名在内的信息生成所述第一鉴别响应消息。17.根据权利要求1至14任一项所述的方法,其特征在于,所述请求设备向所述鉴别接入控制器发送的消息还包括所述请求设备对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值;则所述鉴别接入控制器收到所述请求设备发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述鉴别接入控制器向所述请求设备发送的消息还包括所述鉴别接入控制器对接收到的所述请求设备发送的最新前序消息计算的杂凑值;则所述请求设备收到所述鉴别接入控制器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述鉴别接入控制器向所述第一鉴别服务器发送的消息还包括所述鉴别接入控制器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值;则所述第一鉴别服务器收到所述鉴别接入控制器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述第一鉴别服务器向所述鉴别接入控制器发送的消息还包括所述第一鉴别服务器对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值;则所述鉴别接...
【专利技术属性】
技术研发人员:赖晓龙,曹军,铁满霞,李琴,赵晓荣,张变玲,黄振海,
申请(专利权)人:西安西电捷通无线网络通信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。