【技术实现步骤摘要】
身份鉴别方法及装置
本申请涉及通信
,特别涉及一种身份鉴别方法及装置。
技术介绍
随着网络技术的发展,网络越来越多地渗透到人们的日常生活中,用户在使用网络时,常常需要自己的真实姓名、身份证号、银行账户等隐私信息来进行某种操作,因此,网络安全问题也就变得越来越重要。在面对大量设备请求接入网络时,服务器会对请求接入的设备进行身份鉴别,以防止伪造的、不合法的用户接入网络,损害网络管理域内部其他用户的合法权益,但来自网络管理域内部的攻击事件还是时有发生,而且,并不是所有的网络环境都是安全的,这样会给用户的隐私信息和财产安全等带来极大的威胁。因此,亟需一种身份鉴别方法来对请求接入网络的用户身份进行鉴别,以保证网络环境的安全性和可靠性。目前未来移动电话系统第五代(fifth-generation,5G)常用的身份鉴别方法主要包括下述过程:用户设备使用非对称密码算法进行加密的方式,来避免在基于订阅用户永久标识符(subscriberpermanentidentifier,SUPI)进行网络接入时的隐私泄露问题(空口监听),即用户设备使用非对称密码算法加密SUPI,并向身份管理服务器发送鉴别请求包,身份管理服务器利用非对称密码算法机制解密该鉴别请求包,解密后进行鉴别,鉴别通过后通知接入服务器,以允许该用户设备接入。在上述实现方式中,虽然采用了基于非对称密码学对SUPI的隐私保护,但是有些用户设备会发送虚假请求包,来对网络服务进行攻击,而对于这类虚假请求包,身份管理服务器仍需要解密后执行鉴别流程,导致处理资源大量 ...
【技术保护点】
1.一种身份鉴别方法,其特征在于,所述方法包括:/n接收终端设备发送的接入网络请求,所述接入网络请求包括所述终端设备的临时隐私身份标识,所述临时隐私身份标识由身份管理服务器根据用户的身份信息生成;/n根据所述终端设备所属域的主身份验证密钥和所述临时隐私身份标识,生成所述临时隐私身份标识的验证密钥;/n根据所述临时隐私身份标识以及所述临时隐私身份标识的验证密钥,生成第一消息;/n向所述终端设备发送第一消息;/n接收所述终端设备根据所述第一消息返回的第二消息;/n根据所述临时隐私身份标识以及所述临时隐私身份标识的验证密钥,对所述第二消息进行验证;/n当验证通过后,允许所述终端设备接入。/n
【技术特征摘要】 【专利技术属性】
1.一种身份鉴别方法,其特征在于,所述方法包括:
接收终端设备发送的接入网络请求,所述接入网络请求包括所述终端设备的临时隐私身份标识,所述临时隐私身份标识由身份管理服务器根据用户的身份信息生成;
根据所述终端设备所属域的主身份验证密钥和所述临时隐私身份标识,生成所述临时隐私身份标识的验证密钥;
根据所述临时隐私身份标识以及所述临时隐私身份标识的验证密钥,生成第一消息;
向所述终端设备发送第一消息;
接收所述终端设备根据所述第一消息返回的第二消息;
根据所述临时隐私身份标识以及所述临时隐私身份标识的验证密钥,对所述第二消息进行验证;
当验证通过后,允许所述终端设备接入。
2.根据权利要求1所述的方法,其特征在于,所述接收终端设备发送的接入网络请求之后,所述方法还包括:
当所述接入网络请求中包括域标识时,如果网络设备上存储有所述域标识对应的验证密钥,提取所述域标识对应的验证密钥作为所述主身份验证密钥;
如果所述网络设备上未存储有所述域标识对应的验证密钥,向所述身份管理服务器发送主身份验证密钥请求,将所述身份管理服务器返回的验证密钥作为所述主身份验证密钥。
3.根据权利要求1所述的方法,其特征在于,所述根据所述终端设备所属域的主身份验证密钥和所述临时隐私身份标识,生成所述临时隐私身份标识的验证密钥包括:
根据所述终端设备所属域的主身份验证密钥和所述临时隐私身份标识,通过单向函数进行派生计算,得到所述临时隐私身份标识的验证密钥。
4.一种身份鉴别方法,其特征在于,所述方法包括:
向网络设备发送接入网络请求,所述接入网络请求包括处于有效期内的临时隐私身份标识,所述临时隐私身份标识由身份管理服务器根据用户的身份信息生成;
接收所述网络设备根据所述接入网络请求返回的第一消息;
根据所述临时隐私身份标识以及所述临时隐私身份标识在所述有效期内的验证密钥,对所述第一消息进行验证;
当验证通过时,根据所述第一消息、所述临时隐私身份标识以及所述验证密钥,向所述网络设备发送第二消息,所述第二消息用于所述网络设备进行验证。
5.根据权利要求4所述的方法,其特征在于,所述根据所述临时隐私身份标识以及所述临时隐私身份标识在所述有效期内的验证密钥,对所述第一消息进行验证包括:
根据所述临时隐私身份标识、所述验证密钥以及所述接入网络请求所携带的第一随机数,生成第一验证码;
将所述第一验证码与所述第一消息中携带的第一特征码进行对比,当确定一致时,则验证通过,当确定不一致时,则验证不通过。
6.根据权利要求4所述的方法,其特征在于,所述第二消息携带消息内容以及第二特征码,所述第二特征码根据所述临时隐私身份标识、所述验证密钥、第二随机数以及所述接入网络请求所携带的第一随机数生成。
7.根据权利要求4所述的方法,其特征在于,所述向网络设备发送接入网络请求之前,所述方法还包括:
向所述身份管理服务器发送临时隐私身份标识请求;
接收所述身份管理服务器返回的至少一组临时隐私身份标识和验证密钥。
8.根据权利要求4所述的方法,其特征在于,所述临时隐私身份标识包括根据所述身份管理服务器的加密密钥对所述身份信息加密得到的密文以及随机数。
9.一种身份鉴别方法,其特征在于,所述方法包括:
接收终端设备的临时隐私身份标识请求,所述临时隐私身份标识请求携带所述终端设备用户的身份信息;
根据所述终端设备上用户的身份信息,生成至少一对临时隐私身份标识和对应的验证密钥;
将所述至少一对临时隐私身份标识和验证密钥发送给所述终端设备。
10.根据权利要求9所述的方法,其特征在于,所述将所述至少一对临时隐私身份标识和验证密钥发送给所述终端设备之后,所述方法还包括:
接收网络设备发送的主身份验证密钥请求;
根据所述主身份验证密钥请求,将所述至少一对临时隐私身份标识对应的验证密钥中的一个验证密钥发送给所述网络设备。
11.根据权利要求9所述的方法,其特征在于,所述根据所述终端设备上用户的身份信息,生成至少一对临时隐私身份标识和对应的验证密钥包括:
获取所述身份信息对应的私钥;
根据所述私钥,生成加密密钥和完整性验证密钥;
根据所述加密密钥,对所述身份信息进行加密,得到密文;
根据所述终端设备的管理域标识、所述完整性验证密钥以及所述密文,获取所述临时隐私身份标识的特征码;
根据所述临时隐私身份标识的特征码,生成至少一个所述临时隐私身份标识;
根据主身份验证密钥,为所述至少一个所述临时隐私身份标识,生成对应的至少一个验证密钥。
技术研发人员:江伟玉,刘冰洋,万俊杰,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。