【技術(shù)實現(xiàn)步驟摘要】
一種身份鑒別方法和裝置
[0001]本申請涉及網(wǎng)絡(luò)通信安全
,特別是涉及一種身份鑒別方法和裝置。
技術(shù)介紹
[0002]目前,通信網(wǎng)絡(luò)通常要求在用戶和網(wǎng)絡(luò)接入點之間執(zhí)行雙向身份鑒別,確保合法用戶訪問合法網(wǎng)絡(luò),在已有的實體鑒別方案中,實體的身份要么統(tǒng)一采用數(shù)字證書,要么實體之間采用預(yù)共享密鑰的形式,但在實際應(yīng)用中某些場景下,面臨一端采用數(shù)字證書作為身份憑證、另一端采用預(yù)共享密鑰作為身份憑證的情況,這對實體身份鑒別機制提出了挑戰(zhàn)。
[0003]另外,在身份鑒別過程中,直接暴露實體的身份信息,而某些時候,實體的身份信息包含了實體的若干私密或敏感信息,譬如身份證號、家庭住址、銀行卡信息等,若被攻擊者截獲繼而被其利用從事非法活動,后果將不堪設(shè)想,如何在不暴露身份敏感信息的前提下完成實體身份鑒別成為當(dāng)務(wù)之急。
技術(shù)實現(xiàn)思路
[0004]為了解決上述技術(shù)問題,本申請?zhí)峁┝艘环N身份鑒別方法和裝置,能夠?qū)崿F(xiàn)在請求設(shè)備采用數(shù)字證書、鑒別接入控制器采用預(yù)共享密鑰作為身份憑證的情況下實體雙向身份鑒別以及實體的身份保護。
[0005]有鑒于此,本申請第一方面提供了一種身份鑒別方法,包括:
[0006]鑒別接入控制器接收請求設(shè)備發(fā)送的身份密文消息,所述身份密文消息包括第一身份信息密文;所述第一身份信息密文是所述請求設(shè)備利用加密證書的公鑰對包括所述請求設(shè)備的身份信息和所述請求設(shè)備的第一身份密鑰在內(nèi)的信息加密生成的;所述請求設(shè)備的身份信息包括所述請求設(shè)備的數(shù)字證書;所述第一身份密鑰包括第二密鑰;>[0007]所述鑒別接入控制器向其信任的第一鑒別服務(wù)器發(fā)送第一鑒別請求消息,所述第一鑒別請求消息中包括所述第一身份信息密文和所述鑒別接入控制器的身份鑒別碼;所述鑒別接入控制器的身份鑒別碼是所述鑒別接入控制器利用與所述第一鑒別服務(wù)器的預(yù)共享密鑰,采用與所述第一鑒別服務(wù)器約定的密碼算法對包括所述第一身份信息密文在內(nèi)的信息計算生成的;
[0008]所述鑒別接入控制器接收所述第一鑒別服務(wù)器發(fā)送的第一鑒別響應(yīng)消息,所述第一鑒別響應(yīng)消息包括第一鑒別結(jié)果信息、所述請求設(shè)備信任的第二鑒別服務(wù)器的第一數(shù)字簽名、第二鑒別結(jié)果信息密文和所述第一鑒別服務(wù)器的第一消息鑒別碼;所述第一鑒別結(jié)果信息中包括對所述鑒別接入控制器的第一驗證結(jié)果,所述第一數(shù)字簽名是所述第二鑒別服務(wù)器對包括所述第一鑒別結(jié)果信息在內(nèi)的簽名數(shù)據(jù)計算生成的數(shù)字簽名,所述第二鑒別結(jié)果信息密文是利用所述第二密鑰對包括第二鑒別結(jié)果信息在內(nèi)的信息加密生成的,所述第二鑒別結(jié)果信息中包括對所述請求設(shè)備的數(shù)字證書的第二驗證結(jié)果,所述第一鑒別服務(wù)器的第一消息鑒別碼是所述第一鑒別服務(wù)器利用與所述鑒別接入控制器的預(yù)共享密鑰,采
用與所述鑒別接入控制器約定的密碼算法對包括所述第二鑒別結(jié)果信息密文在內(nèi)的信息計算生成的;
[0009]所述鑒別接入控制器利用與所述第一鑒別服務(wù)器的預(yù)共享密鑰,采用與所述第一鑒別服務(wù)器約定的密碼算法驗證所述第一鑒別服務(wù)器的第一消息鑒別碼,若驗證通過,向所述請求設(shè)備發(fā)送第三鑒別響應(yīng)消息,所述第三鑒別響應(yīng)消息中包括身份鑒別結(jié)果信息密文,所述身份鑒別結(jié)果信息密文是所述鑒別接入控制器利用消息加密密鑰對包括第一鑒別結(jié)果信息和所述第一數(shù)字簽名在內(nèi)的加密數(shù)據(jù)加密生成的;
[0010]所述請求設(shè)備利用所述消息加密密鑰解密所述身份鑒別結(jié)果信息密文得到所述第一鑒別結(jié)果信息和所述第一數(shù)字簽名;
[0011]所述請求設(shè)備利用所述第二鑒別服務(wù)器的公鑰對所述第一數(shù)字簽名進(jìn)行驗證,若驗證通過,則所述請求設(shè)備根據(jù)所述第一鑒別結(jié)果信息中的第一驗證結(jié)果確定所述鑒別接入控制器的身份鑒別結(jié)果;當(dāng)所述請求設(shè)備確定所述鑒別接入控制器的身份鑒別結(jié)果為合法時,向所述鑒別接入控制器發(fā)送第四鑒別響應(yīng)消息;或者,
[0012]所述請求設(shè)備利用所述第二鑒別服務(wù)器的公鑰對所述第一數(shù)字簽名進(jìn)行驗證,若驗證通過,則所述請求設(shè)備向所述鑒別接入控制器發(fā)送第四鑒別響應(yīng)消息以及根據(jù)所述第一鑒別結(jié)果信息中的第一驗證結(jié)果確定所述鑒別接入控制器的身份鑒別結(jié)果;或者,
[0013]所述請求設(shè)備利用所述第二鑒別服務(wù)器的公鑰對所述第一數(shù)字簽名進(jìn)行驗證;若所述第一數(shù)字簽名驗證通過,則所述請求設(shè)備根據(jù)所述第一鑒別結(jié)果信息中的第一驗證結(jié)果確定所述鑒別接入控制器的身份鑒別結(jié)果;所述請求設(shè)備向所述鑒別接入控制器發(fā)送第四鑒別響應(yīng)消息;
[0014]其中,所述第四鑒別響應(yīng)消息包括第二密鑰密文,所述第二密鑰密文是利用所述消息加密密鑰對包括所述第二密鑰在內(nèi)的信息加密生成的;
[0015]所述鑒別接入控制器接收到所述第四鑒別響應(yīng)消息后,利用所述消息加密密鑰解密所述第二密鑰密文得到第二密鑰,利用所述第二密鑰對所述第二鑒別結(jié)果信息密文進(jìn)行解密得到第二鑒別結(jié)果信息,根據(jù)所述第二鑒別結(jié)果信息中的第二驗證結(jié)果確定所述請求設(shè)備的身份鑒別結(jié)果。
[0016]本申請第二方面提供了一種請求設(shè)備,包括:
[0017]加密模塊,用于利用加密證書的公鑰對包括所述請求設(shè)備的身份信息和所述請求設(shè)備的第一身份密鑰在內(nèi)的信息加密生成第一身份信息密文,所述請求設(shè)備的身份信息包括所述請求設(shè)備的數(shù)字證書,所述第一身份密鑰包括第二密鑰;
[0018]發(fā)送模塊,用于向鑒別接入控制器發(fā)送身份密文消息,所述身份密文消息包括所述第一身份信息密文;
[0019]接收模塊,用于接收所述鑒別接入控制器發(fā)送的第三鑒別響應(yīng)消息,所述第三鑒別響應(yīng)消息中包括身份鑒別結(jié)果信息密文,所述身份鑒別結(jié)果信息密文是所述鑒別接入控制器利用消息加密密鑰對包括第一鑒別結(jié)果信息和第一數(shù)字簽名在內(nèi)的加密數(shù)據(jù)加密生成的;所述第一鑒別結(jié)果信息中包括對所述鑒別接入控制器的第一驗證結(jié)果,所述第一數(shù)字簽名是所述請求設(shè)備信任的第二鑒別服務(wù)器對包括所述第一鑒別結(jié)果信息在內(nèi)的簽名數(shù)據(jù)計算生成的數(shù)字簽名;
[0020]解密模塊,用于利用所述消息加密密鑰解密所述身份鑒別結(jié)果信息密文得到所述
第一鑒別結(jié)果信息和所述第一數(shù)字簽名;
[0021]驗證模塊,用于利用所述第二鑒別服務(wù)器的公鑰對所述第一數(shù)字簽名進(jìn)行驗證,若驗證通過,則確定模塊根據(jù)所述第一鑒別結(jié)果信息中的第一驗證結(jié)果確定所述鑒別接入控制器的身份鑒別結(jié)果;當(dāng)所述確定模塊確定所述鑒別接入控制器的身份鑒別結(jié)果為合法時,所述發(fā)送模塊向所述鑒別接入控制器發(fā)送第四鑒別響應(yīng)消息;或者,
[0022]用于利用所述第二鑒別服務(wù)器的公鑰對所述第一數(shù)字簽名進(jìn)行驗證,若驗證通過,則所述發(fā)送模塊向所述鑒別接入控制器發(fā)送第四鑒別響應(yīng)消息以及確定模塊根據(jù)所述第一鑒別結(jié)果信息中的第一驗證結(jié)果確定所述鑒別接入控制器的身份鑒別結(jié)果;或者,
[0023]用于利用所述第二鑒別服務(wù)器的公鑰對所述第一數(shù)字簽名進(jìn)行驗證;若所述第一數(shù)字簽名驗證通過,則確定模塊根據(jù)所述第一鑒別結(jié)果信息中的第一驗證結(jié)果確定所述鑒別接入控制器的身份鑒別結(jié)果;所述發(fā)送模塊向所述鑒別接入控制器發(fā)送第四鑒別響應(yīng)消息;
[0024]其中,所述第四鑒別響應(yīng)消息包括第二密本文檔來自技高網(wǎng)...
【技術(shù)保護點】
【技術(shù)特征摘要】
1.一種身份鑒別方法,其特征在于,所述方法包括:鑒別接入控制器接收請求設(shè)備發(fā)送的身份密文消息,所述身份密文消息包括第一身份信息密文;所述第一身份信息密文是所述請求設(shè)備利用加密證書的公鑰對包括所述請求設(shè)備的身份信息和所述請求設(shè)備的第一身份密鑰在內(nèi)的信息加密生成的;所述請求設(shè)備的身份信息包括所述請求設(shè)備的數(shù)字證書;所述第一身份密鑰包括第二密鑰;所述鑒別接入控制器向其信任的第一鑒別服務(wù)器發(fā)送第一鑒別請求消息,所述第一鑒別請求消息中包括所述第一身份信息密文和所述鑒別接入控制器的身份鑒別碼;所述鑒別接入控制器的身份鑒別碼是所述鑒別接入控制器利用與所述第一鑒別服務(wù)器的預(yù)共享密鑰,采用與所述第一鑒別服務(wù)器約定的密碼算法對包括所述第一身份信息密文在內(nèi)的信息計算生成的;所述鑒別接入控制器接收所述第一鑒別服務(wù)器發(fā)送的第一鑒別響應(yīng)消息,所述第一鑒別響應(yīng)消息包括第一鑒別結(jié)果信息、所述請求設(shè)備信任的第二鑒別服務(wù)器的第一數(shù)字簽名、第二鑒別結(jié)果信息密文和所述第一鑒別服務(wù)器的第一消息鑒別碼;所述第一鑒別結(jié)果信息中包括對所述鑒別接入控制器的第一驗證結(jié)果,所述第一數(shù)字簽名是所述第二鑒別服務(wù)器對包括所述第一鑒別結(jié)果信息在內(nèi)的簽名數(shù)據(jù)計算生成的數(shù)字簽名,所述第二鑒別結(jié)果信息密文是利用所述第二密鑰對包括第二鑒別結(jié)果信息在內(nèi)的信息加密生成的,所述第二鑒別結(jié)果信息中包括對所述請求設(shè)備的數(shù)字證書的第二驗證結(jié)果,所述第一鑒別服務(wù)器的第一消息鑒別碼是所述第一鑒別服務(wù)器利用與所述鑒別接入控制器的預(yù)共享密鑰,采用與所述鑒別接入控制器約定的密碼算法對包括所述第二鑒別結(jié)果信息密文在內(nèi)的信息計算生成的;所述鑒別接入控制器利用與所述第一鑒別服務(wù)器的預(yù)共享密鑰,采用與所述第一鑒別服務(wù)器約定的密碼算法驗證所述第一鑒別服務(wù)器的第一消息鑒別碼,若驗證通過,向所述請求設(shè)備發(fā)送第三鑒別響應(yīng)消息,所述第三鑒別響應(yīng)消息中包括身份鑒別結(jié)果信息密文,所述身份鑒別結(jié)果信息密文是所述鑒別接入控制器利用消息加密密鑰對包括第一鑒別結(jié)果信息和所述第一數(shù)字簽名在內(nèi)的加密數(shù)據(jù)加密生成的;所述請求設(shè)備利用所述消息加密密鑰解密所述身份鑒別結(jié)果信息密文得到所述第一鑒別結(jié)果信息和所述第一數(shù)字簽名;所述請求設(shè)備利用所述第二鑒別服務(wù)器的公鑰對所述第一數(shù)字簽名進(jìn)行驗證,若驗證通過,則所述請求設(shè)備根據(jù)所述第一鑒別結(jié)果信息中的第一驗證結(jié)果確定所述鑒別接入控制器的身份鑒別結(jié)果;當(dāng)所述請求設(shè)備確定所述鑒別接入控制器的身份鑒別結(jié)果為合法時,向所述鑒別接入控制器發(fā)送第四鑒別響應(yīng)消息;或者,所述請求設(shè)備利用所述第二鑒別服務(wù)器的公鑰對所述第一數(shù)字簽名進(jìn)行驗證,若驗證通過,則所述請求設(shè)備向所述鑒別接入控制器發(fā)送第四鑒別響應(yīng)消息以及根據(jù)所述第一鑒別結(jié)果信息中的第一驗證結(jié)果確定所述鑒別接入控制器的身份鑒別結(jié)果;或者,所述請求設(shè)備利用所述第二鑒別服務(wù)器的公鑰對所述第一數(shù)字簽名進(jìn)行驗證;若所述第一數(shù)字簽名驗證通過,則所述請求設(shè)備根據(jù)所述第一鑒別結(jié)果信息中的第一驗證結(jié)果確定所述鑒別接入控制器的身份鑒別結(jié)果;所述請求設(shè)備向所述鑒別接入控制器發(fā)送第四鑒別響應(yīng)消息;其中,所述第四鑒別響應(yīng)消息包括第二密鑰密文,所述第二密鑰密文是利用所述消息
加密密鑰對包括所述第二密鑰在內(nèi)的信息加密生成的;所述鑒別接入控制器接收到所述第四鑒別響應(yīng)消息后,利用所述消息加密密鑰解密所述第二密鑰密文得到第二密鑰,利用所述第二密鑰對所述第二鑒別結(jié)果信息密文進(jìn)行解密得到第二鑒別結(jié)果信息,根據(jù)所述第二鑒別結(jié)果信息中的第二驗證結(jié)果確定所述請求設(shè)備的身份鑒別結(jié)果。2.根據(jù)權(quán)利要求1所述的方法,其特征在于,在所述鑒別接入控制器接收請求設(shè)備發(fā)送的身份密文消息之前,所述方法還包括:所述鑒別接入控制器向所述請求設(shè)備發(fā)送密鑰請求消息,所述密鑰請求消息中包括所述鑒別接入控制器的密鑰交換參數(shù);所述請求設(shè)備根據(jù)包括所述請求設(shè)備的密鑰交換參數(shù)對應(yīng)的臨時私鑰和所述鑒別接入控制器的密鑰交換參數(shù)所包括的臨時公鑰進(jìn)行密鑰交換計算生成第一密鑰,根據(jù)包括所述第一密鑰在內(nèi)的信息利用密鑰導(dǎo)出算法計算所述消息加密密鑰;則所述身份密文消息中還包括所述請求設(shè)備的密鑰交換參數(shù);所述鑒別接入控制器根據(jù)包括所述鑒別接入控制器的密鑰交換參數(shù)對應(yīng)的臨時私鑰和所述請求設(shè)備的密鑰交換參數(shù)所包括的臨時公鑰進(jìn)行密鑰交換計算生成所述第一密鑰,根據(jù)包括所述第一密鑰在內(nèi)的信息利用所述密鑰導(dǎo)出算法計算所述消息加密密鑰。3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述密鑰請求消息中還包括所述鑒別接入控制器生成的第一隨機數(shù);則所述請求設(shè)備計算所述消息加密密鑰具體包括:所述請求設(shè)備根據(jù)包括所述第一密鑰、所述第一隨機數(shù)和所述請求設(shè)備生成的第二隨機數(shù)在內(nèi)的信息計算所述消息加密密鑰;對應(yīng)的,所述身份密文消息中還包括所述第二隨機數(shù);則所述鑒別接入控制器計算所述消息加密密鑰具體包括:所述鑒別接入控制器根據(jù)包括所述第一密鑰、所述第一隨機數(shù)和所述第二隨機數(shù)在內(nèi)的信息計算所述消息加密密鑰。4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述身份密文消息中還包括所述第一隨機數(shù);則在所述鑒別接入控制器計算所述消息加密密鑰之前,所述方法還包括:所述鑒別接入控制器對所述身份密文消息中的第一隨機數(shù)和所述鑒別接入控制器生成的第一隨機數(shù)的一致性進(jìn)行驗證;若驗證通過,則所述鑒別接入控制器再計算所述消息加密密鑰。5.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述密鑰請求消息中還包括所述鑒別接入控制器支持的安全能力參數(shù)信息;所述方法還包括:所述請求設(shè)備根據(jù)所述安全能力參數(shù)信息確定所述請求設(shè)備使用的特定安全策略;則所述身份密文消息中還包括所述特定安全策略。6.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述密鑰請求消息中還包括所述鑒別接入控制器信任的至少一個鑒別服務(wù)器的身份標(biāo)識;則所述方法還包括:所述請求設(shè)備根據(jù)所述鑒別接入控制器信任的至少一個鑒別服務(wù)器的身份標(biāo)識,確定所述請求設(shè)備信任的至少一個鑒別服務(wù)器的身份標(biāo)識;則所述身份密文消息中還包括所述請求設(shè)備信任的至少一個鑒別服務(wù)器的身份標(biāo)識;則所述方法還包括:
所述鑒別接入控制器根據(jù)所述身份密文消息中所述請求設(shè)備信任的至少一個鑒別服務(wù)器的身份標(biāo)識和所述密鑰請求消息中所述鑒別接入控制器信任的至少一個鑒別服務(wù)器的身份標(biāo)識,確定所述第一鑒別服務(wù)器。7.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述身份密文消息中還包括所述請求設(shè)備信任的至少一個鑒別服務(wù)器的身份標(biāo)識;則所述方法還包括:所述鑒別接入控制器根據(jù)所述請求設(shè)備信任的至少一個鑒別服務(wù)器的身份標(biāo)識和所述鑒別接入控制器信任的鑒別服務(wù)器的身份標(biāo)識,確定所述第一鑒別服務(wù)器。8.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述第一鑒別請求消息中還包括所述鑒別接入控制器的身份標(biāo)識和/或所述鑒別接入控制器生成的第一隨機數(shù);對應(yīng)的,所述第一鑒別響應(yīng)消息中還包括所述鑒別接入控制器的身份標(biāo)識和/或所述第一隨機數(shù);則在所述鑒別接入控制器向所述請求設(shè)備發(fā)送第三鑒別響應(yīng)消息之前,所述方法還包括:所述鑒別接入控制器對所述第一鑒別響應(yīng)消息中的所述鑒別接入控制器的身份標(biāo)識和所述鑒別接入控制器自身的身份標(biāo)識的一致性進(jìn)行驗證,和/或,對所述第一鑒別響應(yīng)消息中的所述第一隨機數(shù)和所述鑒別接入控制器生成的第一隨機數(shù)的一致性進(jìn)行驗證;若驗證通過,則所述鑒別接入控制器再執(zhí)行相關(guān)操作。9.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述請求設(shè)備的身份信息還包括所述請求設(shè)備的身份標(biāo)識;所述第一身份密鑰還包括第三密鑰;則所述第一鑒別響應(yīng)消息中還包括所述請求設(shè)備的身份標(biāo)識密文,所述請求設(shè)備的身份標(biāo)識密文是利用所述第三密鑰對包括所述請求設(shè)備的身份標(biāo)識在內(nèi)的信息加密生成的;則所述第三鑒別響應(yīng)消息中的身份鑒別結(jié)果信息密文的加密數(shù)據(jù)還包括所述請求設(shè)備的身份標(biāo)識密文;則在所述請求設(shè)備確定所述鑒別接入控制器的身份鑒別結(jié)果之前,所述方法還包括:所述請求設(shè)備利用消息加密密鑰解密所述身份鑒別結(jié)果信息密文還得到所述請求設(shè)備的身份標(biāo)識密文,并根據(jù)所述請求設(shè)備自身的身份標(biāo)識和所述第三密鑰對所述請求設(shè)備的身份標(biāo)識密文進(jìn)行驗證;若驗證通過,則所述請求設(shè)備再執(zhí)行相關(guān)操作。10.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述身份密文消息中還包括所述請求設(shè)備生成的第二隨機數(shù),則所述第一鑒別請求消息中還包括所述第二隨機數(shù),所述第一鑒別響應(yīng)消息中還包括所述第二隨機數(shù);則所述第三鑒別響應(yīng)消息中的身份鑒別結(jié)果信息密文的加密數(shù)據(jù)還包括所述第二隨機數(shù);則在所述請求設(shè)備確定所述鑒別接入控制器的身份鑒別結(jié)果之前,所述方法還包括:所述請求設(shè)備利用消息加密密鑰解密所述身份鑒別結(jié)果信息密文還得到所述第二隨機數(shù),并驗證其與所述請求設(shè)備生成的第二隨機數(shù)的一致性;若驗證通過,則所述請求設(shè)備再執(zhí)行相關(guān)操作。11.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述第三鑒別響應(yīng)消息中還包括第一消息完整性校驗碼,所述第一消息完整性校驗碼是所述鑒別接入控制器利用消息完整性校驗密鑰對包括所述第三鑒別響應(yīng)消息中除所述第一消息完整性校驗碼外的其他字段計算生
成的;所述鑒別接入控制器的消息完整性校驗密鑰與所述鑒別接入控制器的消息加密密鑰的生成方式相同;則在所述請求設(shè)備確定所述鑒別接入控制器的身份鑒別結(jié)果之前,所述方法還包括:所述請求設(shè)備利用消息完整性校驗密鑰對所述第一消息完整性校驗碼進(jìn)行驗證;若驗證通過,則所述請求設(shè)備再執(zhí)行相關(guān)操作;所述請求設(shè)備的消息完整性校驗密鑰與所述請求設(shè)備的消息加密密鑰的生成方式相同。12.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述請求設(shè)備發(fā)送的所述第四鑒別響應(yīng)消息中還包括第二消息完整性校驗碼,所述第二消息完整性校驗碼是所述請求設(shè)備利用消息完整性校驗密鑰對包括所述第四鑒別響應(yīng)消息中除所述第二消息完整性校驗碼外的其他字段計算生成的;所述請求設(shè)備的消息完整性校驗密鑰與所述請求設(shè)備的消息加密密鑰的生成方式相同;相應(yīng)的,在所述鑒別接入控制器確定所述請求設(shè)備的身份鑒別結(jié)果之前,所述方法還包括:所述鑒別接入控制器利用消息完整性校驗密鑰驗證所述第二消息完整性校驗碼;若驗證通過,則所述鑒別接入控制器再執(zhí)行相關(guān)操作;所述鑒別接入控制器的消息完整性校驗密鑰與所述鑒別接入控制器的消息加密密鑰的生成方式相同。13.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述第一鑒別請求消息中還包括第二身份信息密文,所述第二身份信息密文是所述鑒別接入控制器利用加密證書的公鑰對包括所述鑒別接入控制器的身份標(biāo)識和所述鑒別接入控制器的第二身份密鑰在內(nèi)的信息加密生成的,所述第二身份密鑰包括第四密鑰和第五密鑰;相應(yīng)的,所述第一鑒別響應(yīng)消息中還包括所述鑒別接入控制器的身份標(biāo)識密文,所述鑒別接入控制器的身份標(biāo)識密文是利用所述第五密鑰對包括所述鑒別接入控制器的身份標(biāo)識在內(nèi)的信息加密生成的;所述第一鑒別結(jié)果信息是利用所述第四密鑰對包括所述鑒別接入控制器的第一驗證結(jié)果在內(nèi)的信息加密生成的;則所述方法還包括:所述鑒別接入控制器根據(jù)自身的身份標(biāo)識和所述第五密鑰對所述鑒別接入控制器的身份標(biāo)識密文進(jìn)行驗證,若驗證通過,則再向所述請求設(shè)備發(fā)送第三鑒別響應(yīng)消息;則所述第三鑒別響應(yīng)消息中的身份鑒別結(jié)果信息密文的加密數(shù)據(jù)還包括所述第四密鑰;則所述請求設(shè)備利用所述消息加密密鑰解密所述身份鑒別結(jié)果信息密文還得到所述第四密鑰,并利用所述第四密鑰解密所述第一鑒別結(jié)果信息得到所述第一驗證結(jié)果。14.根據(jù)權(quán)利要求1所述的方法,其特征在于,當(dāng)所述身份密文消息中還包括所述請求設(shè)備的數(shù)字簽名時,在所述鑒別接入控制器確定所述請求設(shè)備的身份鑒別結(jié)果之前,所述方法還包括:所述鑒別接入控制器確定所述請求設(shè)備的數(shù)字簽名是否驗證通過,若確定所述請求設(shè)備的數(shù)字簽名驗證通過,則再根據(jù)所述第二鑒別結(jié)果信息中的第二驗證結(jié)果確定所述請求設(shè)備的身份鑒別結(jié)果。15.根據(jù)權(quán)利要求14所述的方法,其特征在于,所述鑒別接入控制器確定所述請求設(shè)備的數(shù)字簽名是否驗證通過具體包括:所述第二鑒別服務(wù)器利用所述請求設(shè)備的數(shù)字證書對所述請求設(shè)備的數(shù)字簽名進(jìn)行
驗證,若所述鑒別接入控制器接收到所述第一鑒別響應(yīng)消息,則所述鑒別接入控制器確定所述請求設(shè)備的數(shù)字簽名已驗證通過;或者,當(dāng)所述第二鑒別結(jié)果信息中還包括所述請求設(shè)備的數(shù)字證書時,所述鑒別接入控制器利用所述請求設(shè)備的數(shù)字證書對所述請求設(shè)備的數(shù)字簽名進(jìn)行驗證,根據(jù)驗證結(jié)果確定所述請求設(shè)備的數(shù)字簽名是否驗證通過。16.根據(jù)權(quán)利要求1至15任一項所述的方法,其特征在于,所述鑒別接入控制器信任的第一鑒別服務(wù)器和所述請求設(shè)備信任的第二鑒別服務(wù)器是同一個鑒別服務(wù)器,則所述方法還包括:所述第一鑒別服務(wù)器對所述鑒別接入控制器的身份鑒別碼進(jìn)行驗證得到第一驗證結(jié)果,利用加密證書對應(yīng)的私鑰解密所述第一身份信息密文得到所述請求設(shè)備的數(shù)字證書和所述第二密鑰,對所述請求設(shè)備的數(shù)字證書進(jìn)行合法性驗證得到第二驗證結(jié)果,根據(jù)包括所述第一驗證結(jié)果在內(nèi)的信息生成第一鑒別結(jié)果信息,根據(jù)包括所述第二驗證結(jié)果在內(nèi)的信息生成第二鑒別結(jié)果信息,利用所述第二密鑰對包括第二鑒別結(jié)果信息在內(nèi)的信息加密生成第二鑒別結(jié)果信息密文,對包括所述第一鑒別結(jié)果信息在內(nèi)的簽名數(shù)據(jù)計算生成第一數(shù)字簽名,對包括所述第二鑒別結(jié)果信息密文在內(nèi)的信息計算生成所述第一消息鑒別碼,根據(jù)包括所述第一鑒別結(jié)果信息、所述第一數(shù)字簽名、所述第二鑒別結(jié)果信息密文和所述第一消息鑒別碼在內(nèi)的信息生成所述第一鑒別響應(yīng)消息。17.根據(jù)權(quán)利要求1至15任一項所述的方法,其特征在于,所述鑒別接入控制器信任的第一鑒別服務(wù)器和所述請求設(shè)備信任的第二鑒別服務(wù)器是兩個不同的鑒別服務(wù)器;則所述方法還包括:所述第一鑒別服務(wù)器對所述鑒別接入控制器的身份鑒別碼進(jìn)行驗證得到第一驗證結(jié)果,根據(jù)包括所述第一驗證結(jié)果在內(nèi)的信息生成所述第一鑒別結(jié)果信息,對包括所述第一鑒別結(jié)果信息和所述第一身份信息密文在內(nèi)的簽名數(shù)據(jù)計算生成第二數(shù)字簽名或?qū)Πㄋ龅谝昏b別結(jié)果信息和所述第一身份信息密文在內(nèi)的信息計算生成第二消息鑒別碼;所述第一鑒別服務(wù)器向第二鑒別服務(wù)器發(fā)送第二鑒別請求消息,所述第二鑒別請求消息中包括所述第一鑒別結(jié)果信息、所述第一身份信息密文和所述第二數(shù)字簽名或所述第二鑒別請求消息中包括所述第一鑒別結(jié)果信息、所述第一身份信息密文和所述第二消息鑒別碼;由所述第二鑒別服務(wù)器利用所述第一鑒別服務(wù)器的公鑰驗證所述第二數(shù)字簽名或由所述第二鑒別服務(wù)器利用與所述第一鑒別服務(wù)器的預(yù)共享密鑰驗證所述第二消息鑒別碼,若驗證通過,則由所述第二鑒別服務(wù)器利用加密證書對應(yīng)的私鑰解密所述第一身份信息密文得到所述請求設(shè)備的數(shù)字證書和所述第二密鑰,對所述請求設(shè)備的數(shù)字證書進(jìn)行合法性驗證得到第二驗證結(jié)果,根據(jù)包括所述第二驗證結(jié)果在內(nèi)的信息生成第二鑒別結(jié)果信息,利用所述第二密鑰對包括第二鑒別結(jié)果信息在內(nèi)的信息加密生成第二鑒別結(jié)果信息密文,對包括所述第一鑒別結(jié)果信息在內(nèi)的簽名數(shù)據(jù)計算生成第一數(shù)字簽名,對包括所述第二鑒別結(jié)果信息密文在內(nèi)的簽名數(shù)據(jù)計算生成第三數(shù)字簽名或?qū)Πㄋ龅诙b別結(jié)果信息密文在內(nèi)的信息計算生成第三消息鑒別碼;所述第一鑒別服務(wù)器接收所述第二鑒別服務(wù)器發(fā)送的第二鑒別響應(yīng)消息,所述第二鑒別響應(yīng)消息中包括所述第一鑒別結(jié)果信息、所述第一數(shù)字簽名、所述第二鑒別結(jié)果信息密文和所述第三數(shù)字簽名或所述第二鑒別響應(yīng)消息中包括所述第一鑒別結(jié)果信息、所述第一
數(shù)字簽名、所述第二鑒別結(jié)果信息密文和所述第三消息鑒別碼;所述第一鑒別服務(wù)器利用所述第二鑒別服務(wù)器的公鑰驗證所述第三數(shù)字簽名或所述第一鑒別服務(wù)器利用與所述第二鑒別服務(wù)器的預(yù)共享密鑰驗證所述第三消息鑒別碼,若驗證通過,則所述第一鑒別服務(wù)器對包括所述第二鑒別結(jié)果信息密文在內(nèi)的信息計算生成所述第一鑒別服務(wù)器的第一消息鑒別碼,根據(jù)包括所述第一鑒別結(jié)果信息、所述第一數(shù)字簽名、所述第二鑒別結(jié)果信息密文和所述第一鑒別服務(wù)器的第一消息鑒別碼在內(nèi)的信息生成所述第一鑒別響應(yīng)消息。18.根據(jù)權(quán)利要求1至15任一項所述的方法,其特征在于,所述請求設(shè)備向所述鑒別接入控制器發(fā)送的消息還包括所述請求設(shè)備對接收到的所述鑒別接入控制器發(fā)送的最新前序消息計算的雜湊值;則所述鑒別接入控制器收到所述請求設(shè)備發(fā)送的消息時,先對接收到的消息中的雜湊值進(jìn)行驗證,驗證通過后再執(zhí)行后續(xù)操作;所述鑒別接入控制器向所述請求設(shè)備發(fā)送的消息還包括所述鑒別接入控制器對接收到的所述請求設(shè)備發(fā)送的最新前序消息計算的雜湊值;則所述請求設(shè)備收到所述鑒別接入控制器發(fā)送的消息時,先對接收到的消息中的雜湊值進(jìn)行驗證,驗證通過后再執(zhí)行后續(xù)操作;所述鑒別接入控制器向所述第一鑒別服務(wù)器發(fā)送的消息還包括所述鑒別接入控制器對接收到的所述第一鑒別服務(wù)器發(fā)送的最新前序消息計算的雜湊值;則所述第一鑒別服務(wù)器收到所述鑒別接入控制器發(fā)送的消息時,先對接收到的消息中的雜湊值進(jìn)行驗證,驗證通過后再執(zhí)行后續(xù)操作;所述第一鑒別服務(wù)器向所述鑒別接入控制器發(fā)送的消息還包括所述第一鑒別服務(wù)器對接收到的所述鑒別接入控制器發(fā)送的最新前序消息計算的雜湊值;則所述鑒別接入控制器收到所述第一鑒別服務(wù)器器發(fā)送的消息時,先對接收到的消息中的雜湊值進(jìn)行驗證,驗證通過后再執(zhí)行后續(xù)操作;所述第一鑒別服務(wù)器向所述第二鑒別服務(wù)器發(fā)送的消息還包括所述第一鑒別服務(wù)器對接收到的所述第二鑒別服務(wù)器發(fā)送的最新前序消息計算的雜湊值;則所述第二鑒別服務(wù)器收到所述第一鑒別服務(wù)器發(fā)送的消息時,先對接收到的消息中的雜湊值進(jìn)行驗證,驗證通過后再執(zhí)行后續(xù)操作;所述第二鑒別服務(wù)器向所述第一鑒別服務(wù)器發(fā)送的消息還包括所述第二鑒別服務(wù)器對接收到的所述第一鑒別服務(wù)器發(fā)送的最新前序消息計算的雜湊值;則所述第一鑒別服務(wù)器收到所述第二鑒別服務(wù)器發(fā)送的消息時,先對接收到的消息中的雜湊值進(jìn)行驗證,驗證通過后再執(zhí)行后續(xù)操作。19.一種請求設(shè)備,其特征在于,所述請求設(shè)備包括:加密模塊,用于利用加密證書的公鑰對包括所述請求設(shè)備的身份信息和所述請求設(shè)備的第一身份密鑰在內(nèi)的信息加密生成第一身份信息密文,所述請求設(shè)備的身份信息包括所述請求設(shè)備的數(shù)字證書,所述第一身份密鑰包括第二密鑰;發(fā)送模塊,用于向鑒別接入控制器發(fā)送身份密文消息,所述身份密文消息包括所述第一身份信息密文;接收模塊,用于接收所述鑒別接入控制器發(fā)送的第三鑒別響應(yīng)消息,所述第三鑒別響
應(yīng)消息中包括身份鑒別結(jié)果信息密文,所述身份鑒別結(jié)果信息密文是所述鑒別接入控制器利用消息加密密鑰對包括第一鑒別結(jié)果信息和第一數(shù)字簽名在內(nèi)的加密數(shù)據(jù)加密生成的;所述第一鑒別結(jié)果信息中包括對所述鑒別接入控制器的第一驗證結(jié)果,所述第一數(shù)字簽名是所述請求設(shè)備信任的第二鑒別服務(wù)器對包括所述第一鑒別結(jié)果信息在內(nèi)的簽名數(shù)據(jù)計算生成的數(shù)字簽名;解密模塊,用于利用所述消息加密密鑰解密所述身份鑒別結(jié)果信息密文得到所述第一鑒別結(jié)果信息和所述第一數(shù)字簽名;驗證模塊,用于利用所述第二鑒別服務(wù)器的公鑰對所述第一數(shù)字簽名進(jìn)行驗證,若驗證通過,則確定模塊根據(jù)所述第一鑒別結(jié)果信息中的第一驗證結(jié)果確定所述鑒別接入控制器的身份鑒別結(jié)果;當(dāng)所述確定模塊確定所述鑒別接入控制器的身份鑒別結(jié)果為合法時,所述發(fā)送模塊向所述鑒別接入控制器發(fā)送第四鑒別響應(yīng)消息;或者,用于利用所述第二鑒別服務(wù)器的公鑰對所述第一數(shù)字簽名進(jìn)行驗證,若驗證通過,則所述發(fā)送模塊向所述鑒別接入控制器發(fā)送第四鑒別響應(yīng)消息以及確定模塊根據(jù)所述第一鑒別結(jié)果信息中的第一驗證結(jié)果確定所述鑒別接入控制器的身份鑒別結(jié)果;或者,用于利用所述第二鑒別服務(wù)器的公鑰對所述第一數(shù)字簽名進(jìn)行驗證;若所述第一數(shù)字簽名驗證通過,則確定模塊根據(jù)所述第一鑒別結(jié)果信息中的第一驗證結(jié)果確定所述鑒別接入控制器的身份鑒別結(jié)果;所述發(fā)送模塊向所述鑒別接入控制...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:鐵滿霞,曹軍,趙曉榮,賴曉龍,李琴,張變玲,黃振海,王月輝,
申請(專利權(quán))人:西安西電捷通無線網(wǎng)絡(luò)通信股份有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。