身份鉴别方法及装置制造方法及图纸

本申请提供了一种身份鉴别方法及装置，属于通信技术领域。本申请提供的方案，通过终端设备在有网络接入需求时，向网络设备发送携带有临时隐私身份标识的接入网络请求，并根据该临时隐私身份标识对应的验证密钥，来与网络设备之间进行消息交互和验证，从而完成身份鉴别流程，而网络设备无需维护身份资料库就能够实现对用户匿名身份的鉴别，能够保证用户隐私不被泄露，同时，由于网络设备在身份鉴别过程中可以在身份管理服务器前侧即过滤掉虚假请求包，大大降低了网络设备的处理压力，也就避免了处理资源大量被占用，不会影响对正常请求包进行处理，能够保证网络服务的正常运行。

【技术实现步骤摘要】
身份鉴别方法及装置
本申请涉及通信
，特别涉及一种身份鉴别方法及装置。
技术介绍
随着网络技术的发展，网络越来越多地渗透到人们的日常生活中，用户在使用网络时，常常需要自己的真实姓名、身份证号、银行账户等隐私信息来进行某种操作，因此，网络安全问题也就变得越来越重要。在面对大量设备请求接入网络时，服务器会对请求接入的设备进行身份鉴别，以防止伪造的、不合法的用户接入网络，损害网络管理域内部其他用户的合法权益，但来自网络管理域内部的攻击事件还是时有发生，而且，并不是所有的网络环境都是安全的，这样会给用户的隐私信息和财产安全等带来极大的威胁。因此，亟需一种身份鉴别方法来对请求接入网络的用户身份进行鉴别，以保证网络环境的安全性和可靠性。目前未来移动电话系统第五代(fifth-generation，5G)常用的身份鉴别方法主要包括下述过程：用户设备使用非对称密码算法进行加密的方式，来避免在基于订阅用户永久标识符(subscriberpermanentidentifier，SUPI)进行网络接入时的隐私泄露问题(空口监听)，即用户设备使用非对称密码算法加密SUPI，并向身份管理服务器发送鉴别请求包，身份管理服务器利用非对称密码算法机制解密该鉴别请求包，解密后进行鉴别，鉴别通过后通知接入服务器，以允许该用户设备接入。在上述实现方式中，虽然采用了基于非对称密码学对SUPI的隐私保护，但是有些用户设备会发送虚假请求包，来对网络服务进行攻击，而对于这类虚假请求包，身份管理服务器仍需要解密后执行鉴别流程，导致处理资源大量被占用，从而影响了导致无法对正常请求包进行处理，对网络服务的正常运行造成巨大影响。
技术实现思路
本申请实施例提供了一种身份鉴别方法及装置，可以在保证接入安全以及用户隐私的同时，避免由于虚假请求包对网络服务正常运行造成的影响。第一方面，提供了一种身份鉴别方法，所述方法包括：接收终端设备发送的接入网络请求，该接入网络请求包括该终端设备的临时隐私身份标识，该临时隐私身份标识由身份管理服务器根据用户的身份信息生成；根据该终端设备所属域的主身份验证密钥和该临时隐私身份标识，生成该临时隐私身份标识的验证密钥；根据该临时隐私身份标识以及该临时隐私身份标识的验证密钥，生成第一消息；向该终端设备发送第一消息；接收该终端设备根据该第一消息返回的第二消息；根据该临时隐私身份标识以及该临时隐私身份标识的验证密钥，对该第二消息进行验证；当验证通过后，允许该终端设备接入。在上述实施过程中，通过终端设备在有网络接入需求时，向网络设备发送携带有临时隐私身份标识的接入网络请求，并根据该临时隐私身份标识对应的验证密钥，来与网络设备之间进行消息交互和验证，从而完成身份鉴别流程，不仅能够做到对网络的鉴别，还能够实现对终端设备的身份鉴别，这种根据临时隐私身份标识的双向鉴别流程，大大提高了网络接入的安全性，而网络设备无需维护身份资料库就能够实现身份鉴别，能够保证用户隐私不被泄露，同时，由于网络设备在身份鉴别过程中可以在身份管理服务器前侧即过滤掉虚假请求包，大大降低了网络设备的处理压力，也就避免了处理资源大量被占用，不会影响对正常请求包进行处理，能够保证网络服务的正常运行。另外，上述过程中使用了对称加密机制，其计算速度快，可以减轻采用公钥机制的针对集中式身份管理服务器的分布式拒绝服务(distributeddenialofservice，DDoS)攻击问题。在第一方面的第一种可能实现方式中，所述接收终端设备发送的接入网络请求之后，方法还包括：当该接入网络请求中包括域标识时，如果网络设备上存储有该域标识对应的验证密钥，提取该域标识对应的验证密钥作为该主身份验证密钥；如果该网络设备上未存储有该域标识对应的验证密钥，向该身份管理服务器发送主身份验证密钥请求，将该身份管理服务器返回的验证密钥作为该主身份验证密钥。在上述实施过程中，通过获取主身份验证密钥，可以据此结合临时隐私身份标识生成临时隐私身份标识的验证密钥，用于第一特征码和第二特征码的生成和验证，实现根据临时隐私身份标识的双向鉴别。在第一方面的第二种可能实现方式中，所述根据该终端设备所属域的主身份验证密钥和该临时隐私身份标识，生成该临时隐私身份标识的验证密钥包括：根据该终端设备所属域的主身份验证密钥和该临时隐私身份标识，通过单向函数进行派生计算，得到该临时隐私身份标识的验证密钥。在上述实施过程中，通过根据单向函数的派生计算，可以结合临时隐私身份标识生成临时隐私身份标识的验证密钥，用于第一特征码和第二特征码的生成和验证，实现根据临时隐私身份标识的双向鉴别。第二方面，提供了一种身份鉴别方法，所述方法包括：向网络设备发送接入网络请求，该接入网络请求包括处于有效期内的临时隐私身份标识，该临时隐私身份标识由身份管理服务器根据用户的身份信息生成；接收该网络设备根据该接入网络请求返回的第一消息；根据该临时隐私身份标识以及该临时隐私身份标识在该有效期内的验证密钥，对该第一消息进行验证；当验证通过时，根据该第一消息、该临时隐私身份标识以及该验证密钥，向该网络设备发送第二消息，该第二消息用于该网络设备进行验证。在上述实施过程中，通过终端设备在有网络接入需求时，向网络设备发送携带有临时隐私身份标识的接入网络请求，并根据该临时隐私身份标识对应的验证密钥，来与网络设备之间进行消息交互和验证，从而完成身份鉴别流程，不仅能够做到对网络的鉴别，还能够实现对终端设备的身份鉴别，这种根据临时隐私身份标识的双向鉴别流程，大大提高了网络接入的安全性，而网络设备无需维护身份资料库就能够实现身份鉴别，能够保证用户隐私不被泄露，同时，在身份鉴别过程中，对于终端设备发送的鉴别请求包，由于网络设备在身份管理服务器前侧即可以过滤掉其中的虚假请求包，大大降低了网络设备的处理压力，也就避免了处理资源大量被占用，不会影响对正常请求包进行处理，能够保证网络服务的正常运行。在第二方面的第一种可能实现方式中，所述根据该临时隐私身份标识以及该临时隐私身份标识在该有效期内的验证密钥，对该第一消息进行验证包括：根据该临时隐私身份标识、该验证密钥以及该接入网络请求所携带的第一随机数，生成第一验证码；将该第一验证码与该第一消息中携带的第一特征码进行对比，当确定一致时，则验证通过，当确定不一致时，则验证不通过。在上述实施过程中，提供了一种对第一消息进行验证的具体过程，能够实现对网络设备返回的消息的安全性验证，从而完成对网络设备的鉴别，保证了网络设备的合法性。在第二方面的第二种可能实现方式中，该第二消息携带消息内容以及第二特征码，该第二特征码根据该临时隐私身份标识、该验证密钥、第二随机数以及该接入网络请求所携带的第一随机数生成。在上述实施过程中，在上述实施过程中，提供了一种第二消息的生成的具体过程，能够在对网络设备验证通过后，进一步为网络设备提供能够用于对终端设本文档来自技高网...

【技术保护点】
1.一种身份鉴别方法，其特征在于，所述方法包括：/n接收终端设备发送的接入网络请求，所述接入网络请求包括所述终端设备的临时隐私身份标识，所述临时隐私身份标识由身份管理服务器根据用户的身份信息生成；/n根据所述终端设备所属域的主身份验证密钥和所述临时隐私身份标识，生成所述临时隐私身份标识的验证密钥；/n根据所述临时隐私身份标识以及所述临时隐私身份标识的验证密钥，生成第一消息；/n向所述终端设备发送第一消息；/n接收所述终端设备根据所述第一消息返回的第二消息；/n根据所述临时隐私身份标识以及所述临时隐私身份标识的验证密钥，对所述第二消息进行验证；/n当验证通过后，允许所述终端设备接入。/n

【技术特征摘要】
1.一种身份鉴别方法，其特征在于，所述方法包括：
接收终端设备发送的接入网络请求，所述接入网络请求包括所述终端设备的临时隐私身份标识，所述临时隐私身份标识由身份管理服务器根据用户的身份信息生成；
根据所述终端设备所属域的主身份验证密钥和所述临时隐私身份标识，生成所述临时隐私身份标识的验证密钥；
根据所述临时隐私身份标识以及所述临时隐私身份标识的验证密钥，生成第一消息；
向所述终端设备发送第一消息；
接收所述终端设备根据所述第一消息返回的第二消息；
根据所述临时隐私身份标识以及所述临时隐私身份标识的验证密钥，对所述第二消息进行验证；
当验证通过后，允许所述终端设备接入。


2.根据权利要求1所述的方法，其特征在于，所述接收终端设备发送的接入网络请求之后，所述方法还包括：
当所述接入网络请求中包括域标识时，如果网络设备上存储有所述域标识对应的验证密钥，提取所述域标识对应的验证密钥作为所述主身份验证密钥；
如果所述网络设备上未存储有所述域标识对应的验证密钥，向所述身份管理服务器发送主身份验证密钥请求，将所述身份管理服务器返回的验证密钥作为所述主身份验证密钥。


3.根据权利要求1所述的方法，其特征在于，所述根据所述终端设备所属域的主身份验证密钥和所述临时隐私身份标识，生成所述临时隐私身份标识的验证密钥包括：
根据所述终端设备所属域的主身份验证密钥和所述临时隐私身份标识，通过单向函数进行派生计算，得到所述临时隐私身份标识的验证密钥。


4.一种身份鉴别方法，其特征在于，所述方法包括：
向网络设备发送接入网络请求，所述接入网络请求包括处于有效期内的临时隐私身份标识，所述临时隐私身份标识由身份管理服务器根据用户的身份信息生成；
接收所述网络设备根据所述接入网络请求返回的第一消息；
根据所述临时隐私身份标识以及所述临时隐私身份标识在所述有效期内的验证密钥，对所述第一消息进行验证；
当验证通过时，根据所述第一消息、所述临时隐私身份标识以及所述验证密钥，向所述网络设备发送第二消息，所述第二消息用于所述网络设备进行验证。


5.根据权利要求4所述的方法，其特征在于，所述根据所述临时隐私身份标识以及所述临时隐私身份标识在所述有效期内的验证密钥，对所述第一消息进行验证包括：
根据所述临时隐私身份标识、所述验证密钥以及所述接入网络请求所携带的第一随机数，生成第一验证码；
将所述第一验证码与所述第一消息中携带的第一特征码进行对比，当确定一致时，则验证通过，当确定不一致时，则验证不通过。


6.根据权利要求4所述的方法，其特征在于，所述第二消息携带消息内容以及第二特征码，所述第二特征码根据所述临时隐私身份标识、所述验证密钥、第二随机数以及所述接入网络请求所携带的第一随机数生成。


7.根据权利要求4所述的方法，其特征在于，所述向网络设备发送接入网络请求之前，所述方法还包括：
向所述身份管理服务器发送临时隐私身份标识请求；
接收所述身份管理服务器返回的至少一组临时隐私身份标识和验证密钥。


8.根据权利要求4所述的方法，其特征在于，所述临时隐私身份标识包括根据所述身份管理服务器的加密密钥对所述身份信息加密得到的密文以及随机数。


9.一种身份鉴别方法，其特征在于，所述方法包括：
接收终端设备的临时隐私身份标识请求，所述临时隐私身份标识请求携带所述终端设备用户的身份信息；
根据所述终端设备上用户的身份信息，生成至少一对临时隐私身份标识和对应的验证密钥；
将所述至少一对临时隐私身份标识和验证密钥发送给所述终端设备。


10.根据权利要求9所述的方法，其特征在于，所述将所述至少一对临时隐私身份标识和验证密钥发送给所述终端设备之后，所述方法还包括：
接收网络设备发送的主身份验证密钥请求；
根据所述主身份验证密钥请求，将所述至少一对临时隐私身份标识对应的验证密钥中的一个验证密钥发送给所述网络设备。


11.根据权利要求9所述的方法，其特征在于，所述根据所述终端设备上用户的身份信息，生成至少一对临时隐私身份标识和对应的验证密钥包括：
获取所述身份信息对应的私钥；
根据所述私钥，生成加密密钥和完整性验证密钥；
根据所述加密密钥，对所述身份信息进行加密，得到密文；
根据所述终端设备的管理域标识、所述完整性验证密钥以及所述密文，获取所述临时隐私身份标识的特征码；
根据所述临时隐私身份标识的特征码，生成至少一个所述临时隐私身份标识；
根据主身份验证密钥，为所述至少一个所述临时隐私身份标识，生成对应的至少一个验证密钥。

【专利技术属性】
技术研发人员：江伟玉，刘冰洋，万俊杰，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44