【技術實現步驟摘要】
一種身份鑒別方法和裝置
[0001]本申請涉及網絡通信安全
,特別是涉及一種身份鑒別方法和裝置。
技術介紹
[0002]目前,通信網絡通常要求在用戶和網絡接入點之間進行雙向身份鑒別,確保合法用戶才能與合法網絡通信。在已有的實體鑒別方案中,實體的身份要么統一采用數字證書的形式,要么統一采用預共享密鑰的形式,但在實際應用中的某些場景下,面臨一端采用數字證書作為身份憑證、另一端采用預共享密鑰作為身份憑證的情況,這對實體身份鑒別機制提出了挑戰。
[0003]另外,在身份鑒別消息傳輸的過程中,又經常直接暴露實體的身份信息,而實體的身份信息通常包括私密或敏感信息,譬如身份證號、家庭住址、銀行卡信息、地理位置信息或所屬機構信息等,若被攻擊者截獲用于非法活動,后果將不堪設想,如何在不暴露身份敏感信息的前提下完成實體身份鑒別成為當務之急。
技術實現思路
[0004]為了解決上述技術問題,本申請提供了一種身份鑒別方法和裝置,能夠在請求設備采用預共享密鑰、鑒別接入控制器采用數字證書作為身份憑證的情況下實現實體之間的雙向身份鑒別,以及實體的身份保護。
[0005]有鑒于此,本申請第一方面提供了一種身份鑒別方法,包括:
[0006]鑒別接入控制器接收請求設備發送的身份密文消息,所述身份密文消息中包括所述請求設備的身份標識密文和所述請求設備的身份鑒別碼;所述請求設備的身份鑒別碼是所述請求設備利用與其信任的第二鑒別服務器的預共享密鑰,采用與所述第二鑒別服務器約定的密碼算法對包括所述請求設備的身份標識密...
【技術保護點】
【技術特征摘要】
1.一種身份鑒別方法,其特征在于,所述方法包括:鑒別接入控制器接收請求設備發送的身份密文消息,所述身份密文消息中包括所述請求設備的身份標識密文和所述請求設備的身份鑒別碼;所述請求設備的身份鑒別碼是所述請求設備利用與其信任的第二鑒別服務器的預共享密鑰,采用與所述第二鑒別服務器約定的密碼算法對包括所述請求設備的身份標識密文在內的信息計算生成的;所述請求設備的身份標識密文是利用消息加密密鑰對包括所述請求設備的身份標識在內的信息計算生成的;所述鑒別接入控制器利用所述消息加密密鑰對所述請求設備的身份標識密文解密得到所述請求設備的身份標識,并向其信任的第一鑒別服務器發送第一鑒別請求消息,所述第一鑒別請求消息中包括所述身份密文消息、所述請求設備的身份標識和所述鑒別接入控制器的身份信息,所述鑒別接入控制器的身份信息是根據包括所述鑒別接入控制器的數字證書在內的信息生成的;所述鑒別接入控制器接收所述第一鑒別服務器發送的第一鑒別響應消息,所述第一鑒別響應消息是根據包括第一鑒別結果信息、所述第二鑒別服務器的第一消息鑒別碼、第二鑒別結果信息和所述第一鑒別服務器的第一數字簽名在內的信息生成的;所述第一鑒別結果信息中包括對所述鑒別接入控制器的數字證書的第一驗證結果,所述第二鑒別服務器的第一消息鑒別碼是所述第二鑒別服務器利用與所述請求設備的預共享密鑰,采用與所述請求設備約定的密碼算法對包括所述第一鑒別結果信息在內的信息計算生成的;所述第二鑒別結果信息中包括對所述請求設備的第二驗證結果,所述第一數字簽名是所述第一鑒別服務器對包括所述第二鑒別結果信息在內的簽名數據計算生成的數字簽名;所述鑒別接入控制器利用所述第一鑒別服務器的公鑰對所述第一數字簽名進行驗證,若驗證通過,則所述鑒別接入控制器根據所述第二鑒別結果信息中的第二驗證結果確定所述請求設備的身份鑒別結果;當所述鑒別接入控制器確定所述請求設備的身份鑒別結果為合法時,向所述請求設備發送第三鑒別響應消息;或者,所述鑒別接入控制器利用所述第一鑒別服務器的公鑰對所述第一數字簽名進行驗證,若驗證通過,則所述鑒別接入控制器向所述請求設備發送第三鑒別響應消息以及根據所述第二鑒別結果信息中的第二驗證結果確定所述請求設備的身份鑒別結果;或者,所述鑒別接入控制器利用所述第一鑒別服務器的公鑰對所述第一數字簽名進行驗證;若所述第一數字簽名驗證通過,則所述鑒別接入控制器根據所述第二鑒別結果信息中的第二驗證結果確定所述請求設備的身份鑒別結果;所述鑒別接入控制器向所述請求設備發送第三鑒別響應消息;其中,所述第三鑒別響應消息中包括身份鑒別結果信息密文;所述身份鑒別結果信息密文是利用所述消息加密密鑰對包括所述第一鑒別結果信息和所述第二鑒別服務器的第一消息鑒別碼在內的加密數據加密生成的;所述請求設備接收到所述第三鑒別響應消息后,利用所述消息加密密鑰對所述身份鑒別結果信息密文進行解密得到所述第一鑒別結果信息和所述第二鑒別服務器的第一消息鑒別碼,并利用與所述第二鑒別服務器的預共享密鑰,采用與所述第二鑒別服務器約定的密碼算法驗證所述第二鑒別服務器的第一消息鑒別碼,若驗證通過,則所述請求設備根據所述第一鑒別結果信息中的第一驗證結果確定所述鑒別接入控制器的身份鑒別結果。
2.根據權利要求1所述的方法,其特征在于,在所述鑒別接入控制器接收請求設備發送的身份密文消息之前,所述方法還包括:所述鑒別接入控制器向所述請求設備發送密鑰請求消息,所述密鑰請求消息中包括所述鑒別接入控制器的密鑰交換參數;所述請求設備根據包括所述請求設備的密鑰交換參數對應的臨時私鑰和所述鑒別接入控制器的密鑰交換參數所包括的臨時公鑰進行密鑰交換計算生成第一密鑰,根據包括所述第一密鑰在內的信息利用密鑰導出算法計算所述消息加密密鑰;對應的,所述身份密文消息中還包括所述請求設備的密鑰交換參數;所述鑒別接入控制器根據包括所述鑒別接入控制器的密鑰交換參數對應的臨時私鑰和所述請求設備的密鑰交換參數所包括的臨時公鑰進行密鑰交換計算生成所述第一密鑰,根據包括所述第一密鑰在內的信息利用所述密鑰導出算法計算所述消息加密密鑰。3.根據權利要求2所述的方法,其特征在于,所述密鑰請求消息中還包括所述鑒別接入控制器生成的第一隨機數;則所述請求設備計算所述消息加密密鑰具體包括:所述請求設備根據包括所述第一密鑰、所述第一隨機數和所述請求設備生成的第二隨機數在內的信息計算所述消息加密密鑰;對應的,所述身份密文消息中還包括所述第二隨機數;則所述鑒別接入控制器計算所述消息加密密鑰具體包括:所述鑒別接入控制器根據包括所述第一密鑰、所述第一隨機數和所述第二隨機數在內的信息計算所述消息加密密鑰。4.根據權利要求3所述的方法,其特征在于,所述身份密文消息中還包括所述第一隨機數;則在所述鑒別接入控制器計算所述消息加密密鑰之前,所述方法還包括:所述鑒別接入控制器對所述身份密文消息中的第一隨機數和所述鑒別接入控制器生成的第一隨機數的一致性進行驗證;若驗證通過,則所述鑒別接入控制器再計算所述消息加密密鑰。5.根據權利要求2所述的方法,其特征在于,所述密鑰請求消息中還包括所述鑒別接入控制器支持的安全能力參數信息;所述方法還包括:所述請求設備根據所述安全能力參數信息確定所述請求設備使用的特定安全策略;則所述身份密文消息中還包括所述特定安全策略。6.根據權利要求2所述的方法,其特征在于,所述密鑰請求消息中還包括所述鑒別接入控制器信任的至少一個鑒別服務器的身份標識;則所述方法還包括:所述請求設備根據所述鑒別接入控制器信任的至少一個鑒別服務器的身份標識,確定所述請求設備信任的至少一個鑒別服務器的身份標識;則所述身份密文消息中還包括所述請求設備信任的至少一個鑒別服務器的身份標識;則所述方法還包括:所述鑒別接入控制器根據所述身份密文消息中所述請求設備信任的至少一個鑒別服務器的身份標識和所述密鑰請求消息中所述鑒別接入控制器信任的至少一個鑒別服務器
的身份標識,確定所述第一鑒別服務器。7.根據權利要求1所述的方法,其特征在于,所述身份密文消息中還包括所述請求設備信任的至少一個鑒別服務器的身份標識;則所述方法還包括:所述鑒別接入控制器根據所述請求設備信任的至少一個鑒別服務器的身份標識和所述鑒別接入控制器信任的至少一個鑒別服務器的身份標識,確定所述第一鑒別服務器。8.根據權利要求1所述的方法,其特征在于,所述第一鑒別請求消息中還包括所述鑒別接入控制器的身份標識,和/或,所述鑒別接入控制器生成的第一隨機數;對應的,所述第一鑒別響應消息中還包括所述鑒別接入控制器的身份標識,和/或,所述第一隨機數;則在所述鑒別接入控制器確定所述請求設備的身份鑒別結果之前,所述方法還包括:所述鑒別接入控制器對所述第一鑒別響應消息中的鑒別接入控制器的身份標識和所述鑒別接入控制器自身的身份標識的一致性進行驗證;和/或,對所述第一鑒別響應消息中的第一隨機數和所述鑒別接入控制器生成的第一隨機數的一致性進行驗證;若驗證通過,則所述鑒別接入控制器再根據所述第二驗證結果確定所述請求設備的身份鑒別結果。9.根據權利要求1所述的方法,其特征在于,所述第二鑒別結果信息中還包括所述請求設備的身份標識,則在所述鑒別接入控制器確定所述請求設備的身份鑒別結果之前,所述方法還包括:所述鑒別接入控制器對所述第二鑒別結果信息中的所述請求設備的身份標識和解密所述請求設備的身份標識密文得到的所述請求設備的身份標識的一致性進行驗證;若驗證通過,則所述鑒別接入控制器再根據所述第二鑒別結果信息中的第二驗證結果確定所述請求設備的身份鑒別結果。10.根據權利要求1所述的方法,其特征在于,所述身份密文消息中還包括所述請求設備生成的第二隨機數,則所述第一鑒別請求消息中還包括所述第二隨機數;對應的,所述第一鑒別響應消息中還包括所述請求設備的身份標識和/或所述第二隨機數;所述第三鑒別響應消息中的身份鑒別結果信息密文的加密數據還包括所述請求設備的身份標識和/或所述第二隨機數;則在所述請求設備確定所述鑒別接入控制器的身份鑒別結果之前,所述方法還包括:所述請求設備對解密所述第三鑒別響應消息中的身份鑒別結果信息密文得到的請求設備的身份標識和所述請求設備自身的身份標識的一致性進行驗證,和/或,對解密所述第三鑒別響應消息中的身份鑒別結果信息密文得到的第二隨機數和所述請求設備生成的第二隨機數的一致性進行驗證;若驗證通過,則所述請求設備再根據所述第一鑒別結果信息中的第一驗證結果確定所述鑒別接入控制器的身份鑒別結果。11.根據權利要求1所述的方法,其特征在于,在所述請求設備確定所述鑒別接入控制器的身份鑒別結果之前,所述方法還包括:所述請求設備確定所述鑒別接入控制器的數字簽名是否驗證通過,若確定所述鑒別接入控制器的數字簽名驗證通過,則再根據所述第一鑒別結果信息中的第一驗證結果確定所
述鑒別接入控制器的身份鑒別結果。12.根據權利要求11所述的方法,其特征在于,所述請求設備確定所述鑒別接入控制器的數字簽名是否驗證通過具體包括:當所述第一鑒別請求消息中還包括所述鑒別接入控制器的數字簽名時,所述第一鑒別服務器利用所述第一鑒別請求消息中的所述鑒別接入控制器的數字證書,對所述鑒別接入控制器的數字簽名進行驗證,若所述請求設備接收到所述第三鑒別響應消息,則所述請求設備確定所述鑒別接入控制器的數字簽名已驗證通過;或者,當所述第三鑒別響應消息中還包括所述鑒別接入控制器的數字簽名時,相應的,所述第一鑒別結果信息中還包括所述鑒別接入控制器的數字證書;則所述請求設備利用所述第一鑒別結果信息中的所述鑒別接入控制器的數字證書對所述鑒別接入控制器的數字簽名進行驗證,根據驗證結果確定所述鑒別接入控制器的數字簽名是否驗證通過。13.根據權利要求1所述的方法,其特征在于,所述鑒別接入控制器的身份信息是由所述鑒別接入控制器利用加密證書的公鑰對包括所述鑒別接入控制器的數字證書在內的加密數據加密生成;相應的,所述第一鑒別服務器獲取利用加密證書對應的私鑰對所述身份信息進行解密得到的所述鑒別接入控制器的數字證書。14.根據權利要求1所述的方法,其特征在于,所述鑒別接入控制器的身份信息是由所述鑒別接入控制器利用加密證書的公鑰對包括所述鑒別接入控制器的數字證書和第二密鑰在內的加密數據加密生成的;相應的,所述第一鑒別結果信息是利用所述第二密鑰對包括所述第一驗證結果在內的信息加密生成的;相應的,所述第三鑒別響應消息中的所述身份鑒別結果信息密文的加密數據還包括所述第二密鑰;所述請求設備在接收所述第三鑒別響應消息之后,所述方法還包括:所述請求設備利用所述消息加密密鑰對所述身份鑒別結果信息密文進行解密還得到所述第二密鑰,利用所述第二密鑰對所述第一鑒別結果信息解密得到所述第一驗證結果。15.根據權利要求14所述的方法,其特征在于,所述鑒別接入控制器的身份信息的加密數據還包括所述鑒別接入控制器的身份標識和第三密鑰;相應的,所述第一鑒別響應消息中還包括所述鑒別接入控制器的身份標識密文;所述鑒別接入控制器的身份標識密文是利用所述第三密鑰對包括所述鑒別接入控制器的身份標識在內的信息加密生成的;則所述鑒別接入控制器在接收所述第一鑒別響應消息之后,所述方法還包括:所述鑒別接入控制器根據自身的身份標識和所述第三密鑰對所述鑒別接入控制器的身份標識密文進行驗證。16.根據權利要求1至15任一項所述的方法,其特征在于,所述鑒別接入控制器信任的第一鑒別服務器和所述請求設備信任的第二鑒別服務器是同一個鑒別服務器,則所述方法還包括:所述第一鑒別服務器對所述鑒別接入控制器的數字證書進行合法性驗證得到第一驗證結果,對所述請求設備的身份鑒別碼進行驗證得到第二驗證結果,并根據包括所述第一
驗證結果在內的信息生成所述第一鑒別結果信息,根據包括所述第二驗證結果在內的信息生成所述第二鑒別結果信息,對包括所述第一鑒別結果信息在內的信息計算生成第一鑒別服務器的第一消息鑒別碼,對包括所述第二鑒別結果信息在內的簽名數據計算生成第一數字簽名,根據包括所述第一鑒別結果信息、所述第一鑒別服務器的第一消息鑒別碼、所述第二鑒別結果信息和所述第一數字簽名在內的信息計算生成所述第一鑒別響應消息。17.根據權利要求1至15任一項所述的方法,其特征在于,所述鑒別接入控制器信任的第一鑒別服務器和所述請求設備信任的第二鑒別服務器是兩個不同的鑒別服務器;則所述方法還包括:所述第一鑒別服務器對所述鑒別接入控制器的數字證書進行合法性驗證得到第一驗證結果,根據包括所述第一驗證結果在內的信息生成所述第一鑒別結果信息,對包括所述第一鑒別結果信息、所述請求設備的身份標識和所述身份密文消息在內的簽名數據計算生成第二數字簽名或對包括所述第一鑒別結果信息、所述請求設備的身份標識和所述身份密文消息在內的信息計算生成第二消息鑒別碼;所述第一鑒別服務器向第二鑒別服務器發送第二鑒別請求消息,所述第二鑒別請求消息中包括所述第一鑒別結果信息、所述身份密文消息、所述請求設備的身份標識和所述第二數字簽名或所述第二鑒別請求消息中包括所述第一鑒別結果信息、所述身份密文消息、所述請求設備的身份標識和所述第二消息鑒別碼;由所述第二鑒別服務器利用所述第一鑒別服務器的公鑰驗證所述第二數字簽名或由所述第二鑒別服務器利用與所述第一鑒別服務器的預共享密鑰驗證所述第二消息鑒別碼,若驗證通過,則由所述第二鑒別服務器對所述身份密文消息中所述請求設備的身份鑒別碼進行驗證得到第二驗證結果,根據包括所述第二驗證結果在內的信息生成所述第二鑒別結果信息,對包括所述第一鑒別結果信息在內的信息計算生成第二鑒別服務器的第一消息鑒別碼,對包括所述第二鑒別結果信息在內的簽名數據計算生成第三數字簽名或對包括所述第二鑒別結果信息在內的信息計算生成第三消息鑒別碼;所述第一鑒別服務器接收所述第二鑒別服務器發送的第二鑒別響應消息,所述第二鑒別響應消息中包括所述第一鑒別結果信息、所述第二鑒別服務器的第一消息鑒別碼、所述第二鑒別結果信息和第三數字簽名或所述第二鑒別響應消息中包括所述第一鑒別結果信息、所述第二鑒別服務器的第一消息鑒別碼、所述第二鑒別結果信息和第三消息鑒別碼;所述第一鑒別服務器利用所述第二鑒別服務器的公鑰驗證所述第三數字簽名或所述第一鑒別服務器利用與所述第二鑒別服務器的預共享密鑰驗證所述第三消息鑒別碼,若驗證通過,則所述第一鑒別服務器對包括所述第二鑒別結果信息在內的簽名數據計算生成第一數字簽名,根據包括所述第一鑒別結果信息、所述第二鑒別服務器的第一消息鑒別碼、所述第二鑒別結果信息和所述第一數字簽名在內的信息生成所述第一鑒別響應消息。18.根據權利要求1至15任一項所述的方法,其特征在于,所述請求設備向所述鑒別接入控制器發送的消息還包括所述請求設備對接收到的所述鑒別接入控制器發送的最新前序消息計算的雜湊值;則所述鑒別接入控制器收到所述請求設備發送的消息時,先對接收到的消息中的雜湊值進行驗證,驗證通過后再執行后續操作;所述鑒別接入控制器向所述請求設備發送的消息還包括所述鑒別接入控制器對接收
到的所述請求設備發送的最新前序消息計算的雜湊值;則所述請求設備收到所述鑒別接入控制器發送的消息時,先對接收到的消息中的雜湊值進行驗證,驗證通過后再執行后續操作;所述鑒別接入控制器向所述第一鑒別服務器發送的消息還包括所述鑒別接入控制器對接收到的所述第一鑒別服務器發送的最新前序消息計算的雜湊值;則所述第一鑒別服務器收到所述鑒別接入控制器發送的消息時,先對接收到的消息中的雜湊值進行驗證,驗證通過后再執行后續操作;所述第一鑒別服務器向所述鑒別接入控制器發送的消息還包括所述第一鑒別服務器對接收到的所述鑒別接入控制器發送的最新前序消息計算的雜湊值;則所述鑒別接入控制器收到所述第一鑒別服務器器發送的消息時,先對接收到的消息中的雜湊值進行驗證,驗證通過后再執行后續操作;所述第一鑒別服務器向所述第二鑒別服務器發送的消息還包括所述第一鑒別服務器對接收到的所述第二鑒別服務器發送的最新前序消息計算的雜湊值;則所述第二鑒別服務器收到所述第一鑒別服務器發送的消息時,先對接收到的消息中的雜湊值進行驗證,驗證通過后再執行后續操作;所述第二鑒別服務器向所述第一鑒別服務器發送的消息還包括所述第二鑒別服務器對接收到的所述第一鑒別服務器發送的最新前序消息計算的雜湊值;則所述第一鑒別服務器收到所述第二鑒別服務器發送的消息時,先對接收到的消息中的雜湊值進行驗證,驗證通過后再執行后續操作。19.一種請求設備,其特征在于,所述請求設備包括:生成模塊,用于利用消息加密密鑰對包括所述請求設備的身份標識在內的信息計算生成所述請求設備的身份標識密文,并利用與所述請求設備信任的第二鑒別服務器的預共享密鑰,采用與所述第二鑒別服務器約定的密碼算法對包括所述請求設備的身份標識密文在內的信息計算生成所述請求設備的身份鑒別碼;發送模塊,用于向鑒別接入控制器發送身份密文消息,所述身份密文消息中包括所述請求設備的身份標識密文和所述請求設備的身份鑒別碼;接收模塊,用于接收所述鑒別接入控制器發送的第三鑒別響應消息,所述第三鑒別響應消息中包括身份鑒別結果信息密文;所述身份鑒別結果信息密文是利用所述消息加密密鑰對包括第一鑒別結果信息和所述第二鑒別服務器的第一消息鑒別碼在內的加密數據加密生成的;解密模塊,用于利用所述消息加密密鑰對所述身份鑒別結果信息密文進行解密得到所述第一鑒別結果信息和所述第二鑒別服務器的第一消息鑒別碼;所述第二鑒別服務器的第一消息鑒別碼是所述第二鑒別服務器利用與所述請求設備的預共享密鑰,采用與所述請求設備約定的密碼算法對包括所述第一鑒別結果信息在內的信息計算生成的;驗證模塊,用于利用與所述第二鑒別服務器的預共享密鑰,采用與所述第二鑒別服務器約定的密碼算法驗證所述第二鑒別服務器的第一消息鑒別碼;確定模塊,用于若驗證通過,則根據所述第一鑒別結果信息中的第一驗證結果確定所述鑒別接入控制器的身份鑒別結果。20.根據權利要求19所述的請求設備,其特征在于,所述接收模塊還用于:接收所述鑒
別接入控制器發送的密鑰請求消息,所述密鑰請求消息中包括所述鑒別接入控制器的密鑰交換參數;所述生成模塊還用于:根據包括所述請求設備的密鑰交換參數對應的臨時私鑰和所述鑒別接入控制器的密鑰交換參數所包括的臨時公鑰進行密鑰交換計算生成第一密鑰,根據包括所述第一密鑰在內的信息利用密鑰導出算法計算所述消息加密密鑰;對應的,所述身份密文消息中還包括所述請求設備的密鑰交換參數。21.根據權利要求20所述的請求設備,其特征在于,所述密鑰請求消息中還包括所述鑒別接入控制器生成的第一隨機數;則所述生成模塊具體用于:根據包括所述第一密鑰、所述第一隨機數和所述請求設備生成的第二隨機數在內的信息計算所述消息...
【專利技術屬性】
技術研發人員:鐵滿霞,曹軍,趙曉榮,賴曉龍,李琴,張變玲,王月輝,
申請(專利權)人:西安西電捷通無線網絡通信股份有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。