一种身份鉴别方法和装置制造方法及图纸

本申请实施例公开了一种身份鉴别方法，在请求设备和鉴别接入控制器之间传输身份信息时，即在验证方和被验证方之间传输被验证方的身份信息时，对被验证方的身份信息进行保密处理，防止被验证方的身份信息在传输过程中暴露；由此在请求设备与鉴别接入控制器的身份鉴别的过程中，保证攻击者无法获得私密、敏感信息，避免攻击者将私密、敏感信息用于非法用途，在保障实体身份相关信息机密性的同时，实现了鉴别接入控制器和请求设备之间双向或单向身份鉴别，从而确保访问网络的用户是合法的，和/或，用户访问的网络是合法的。用户访问的网络是合法的。用户访问的网络是合法的。

An identity authentication method and device

【技术实现步骤摘要】
一种身份鉴别方法和装置


[0001]本申请涉及网络通信安全
，特别是涉及一种身份鉴别方法和装置。

技术介绍

[0002]在通信网络中，请求设备可以通过鉴别接入控制器访问网络。在一些对安全性需求较高的情况下，鉴别接入控制器需要对请求设备的身份进行鉴别，并且请求设备也需要对鉴别接入控制器的身份进行鉴别，以确保访问网络的请求设备属于合法用户，和/或，请求设备访问的网络属于合法网络。此外，在区块链技术中的点对点传输，也需要在不同节点之间建立信任关系，因此对于节点的身份鉴别也是十分重要的。
[0003]在对请求设备和鉴别接入控制器的身份鉴别过程中，请求设备和鉴别接入控制器均需要提供自身的身份信息用于身份鉴别。然而，这类身份信息一般携带了私密、敏感的信息，诸如身份证号、家庭住址、银行卡信息、地理位置信息、所属机构信息等私密信息，并且在实际应用过程中，这类身份信息通常会包含在数字证书中，以数字证书作为实体的身份凭证。
[0004]若在请求设备与鉴别接入控制器的身份鉴别过程中，请求设备或鉴别接入控制器的身份信息被攻击者截获用于非法用途，则会对鉴别接入控制器、请求设备及网络造成极大的安全隐患。

技术实现思路

[0005]为了解决上述技术问题，本申请提供了一种身份鉴别方法和装置，在保障实体身份和相关信息机密性的同时，实现了鉴别接入控制器和请求设备之间双向或单向的身份鉴别，从而确保访问网络的用户是合法的，和/或，用户访问的网络是合法的。
[0006]本申请实施例公开了如下技术方案：
[0007]第一方面，本申请实施例提供了一种身份鉴别方法，包括：
[0008]鉴别接入控制器和请求设备中任一方作为被验证方，则另一方作为对应的验证方；
[0009]被验证方向验证方发送被验证方的身份鉴别请求消息，所述被验证方的身份鉴别请求消息中包括所述被验证方的身份信息密文和所述被验证方的数字签名，所述被验证方的身份信息密文是所述被验证方利用消息加密密钥对包括所述被验证方的数字证书在内的加密数据加密生成的；
[0010]所述验证方接收所述被验证方的身份鉴别请求消息，利用所述消息加密密钥对所述被验证方的身份信息密文进行解密得到所述被验证方的数字证书；
[0011]所述验证方根据所述被验证方的数字证书和所述被验证方的数字签名，验证所述被验证方的身份合法性，得到所述被验证方的身份验证结果。
[0012]第二方面，本申请实施例提供了一种鉴别接入控制器，所述鉴别接入控制器包括请求单元和验证单元中的至少一个单元；
[0013]所述请求单元，用于向请求设备发送所述鉴别接入控制器的身份鉴别请求消息，所述鉴别接入控制器的身份鉴别请求消息中包括所述鉴别接入控制器的身份信息密文和所述鉴别接入控制器的数字签名，所述鉴别接入控制器的身份信息密文是所述鉴别接入控制器利用消息加密密钥对包括所述鉴别接入控制器的数字证书在内的加密数据加密生成的；
[0014]所述验证单元，用于接收所述请求设备的身份鉴别请求消息，所述请求设备的身份鉴别请求消息中包括所述请求设备的身份信息密文和所述请求设备的数字签名，所述请求设备的身份信息密文是所述请求设备利用消息加密密钥对包括所述请求设备的数字证书在内的加密数据加密生成的；利用所述消息加密密钥对所述请求设备的身份信息密文进行解密得到所述请求设备的数字证书；根据所述请求设备的数字证书和所述请求设备的数字签名，验证所述请求设备的身份合法性得到所述请求设备的身份验证结果。
[0015]第三方面，本申请实施例提供了一种请求设备，所述请求设备包括请求单元和验证单元中的至少一个单元；
[0016]所述请求单元，用于向鉴别接入控制器发送所述请求设备的身份鉴别请求消息，所述请求设备的身份鉴别请求消息中包括所述请求设备的身份信息密文和所述请求设备的数字签名，所述请求设备的身份信息密文是所述请求设备利用消息加密密钥对包括所述请求设备的数字证书在内的加密数据加密生成的；
[0017]所述验证单元，用于接收所述鉴别接入控制器的身份鉴别请求消息，所述鉴别接入控制器的身份鉴别请求消息中包括所述鉴别接入控制器的身份信息密文和所述鉴别接入控制器的数字签名，所述鉴别接入控制器的身份信息密文是所述鉴别接入控制器利用消息加密密钥对包括所述鉴别接入控制器的数字证书在内的加密数据加密生成的；利用所述消息加密密钥对所述鉴别接入控制器的身份信息密文进行解密得到所述鉴别接入控制器的数字证书；根据所述鉴别接入控制器的数字证书和所述鉴别接入控制器的数字签名，验证所述鉴别接入控制器的身份合法性得到所述鉴别接入控制器的身份验证结果。
[0018]由上述技术方案可以看出，在请求设备和鉴别接入控制器之间传输身份信息时，即在验证方和被验证方之间传输被验证方的身份信息时，对被验证方的身份信息进行保密传输，防止被验证方的身份信息在传输过程中暴露；由此在请求设备与接入控制器之间的身份鉴别的整体过程中，保证攻击者无法获得私密、敏感信息，避免攻击者将私密、敏感信息用于非法用途，在保障实体身份相关信息机密性的同时，实现了鉴别接入控制器和请求设备之间双向或单向的身份鉴别，从而确保访问网络的用户是合法的，和/或，用户访问的网络是合法的。
附图说明
[0019]为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0020]图1为本申请实施例提供的一种身份鉴别方法的示意图；
[0021]图2为本申请实施例提供的一种请求设备REQ和鉴别接入控制器AAC协商消息加密
密钥的方法的示意图；
[0022]图3为本申请实施例提供的一种双向身份鉴别方法的示意图，其中“*”表示可选的字段或可选的操作；
[0023]图4为本申请实施例提供的另一种双向身份鉴别方法的示意图，其中“*”表示可选的字段或可选的操作；
[0024]图5为本申请实施例提供的一种单向身份鉴别方法的示意图，其中“*”表示可选的字段或可选的操作；
[0025]图6为本申请实施例提供的另一种单向身份鉴别方法的示意图，其中“*”表示可选的字段或可选的操作；
[0026]图7为本申请实施例提供的一种鉴别接入控制器AAC的结构框图；
[0027]图8为本申请实施例提供的另一种鉴别接入控制器AAC的结构框图；
[0028]图9为本申请实施例提供的又一种鉴别接入控制器AAC的结构框图；
[0029]图10为本申请实施例提供的一种请求设备REQ的结构框图；
[0030]图11为本申请实施例提供的另一种请求设备REQ的结构框图；
[0031]图12为本申请实施例提供的又一种请求设备REQ的结构框图。
具体实施方式
[0032]在通信网络中，请求设备可以通过鉴别本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种身份鉴别方法，其特征在于，所述方法包括：鉴别接入控制器和请求设备中任一方作为被验证方，则另一方作为对应的验证方；被验证方向验证方发送被验证方的身份鉴别请求消息，所述被验证方的身份鉴别请求消息中包括所述被验证方的身份信息密文和所述被验证方的数字签名，所述被验证方的身份信息密文是所述被验证方利用消息加密密钥对包括所述被验证方的数字证书在内的加密数据加密生成的；所述验证方接收所述被验证方的身份鉴别请求消息，利用所述消息加密密钥对所述被验证方的身份信息密文进行解密得到所述被验证方的数字证书；所述验证方根据所述被验证方的数字证书和所述被验证方的数字签名，验证所述被验证方的身份合法性，得到所述被验证方的身份验证结果。2.根据权利要求1所述的方法，其特征在于，所述鉴别接入控制器与所述请求设备协商生成所述消息加密密钥，包括：所述鉴别接入控制器向所述请求设备发送密钥请求消息，所述密钥请求消息中包括所述鉴别接入控制器的密钥交换参数；所述请求设备根据包括所述请求设备的密钥交换参数对应的临时私钥和所述鉴别接入控制器的密钥交换参数所包括的临时公钥进行密钥交换计算生成第一密钥，根据包括所述第一密钥在内的信息利用密钥导出算法计算所述消息加密密钥；则所述请求设备向所述鉴别接入控制器发送的所述请求设备的身份鉴别请求消息中还包括所述请求设备的密钥交换参数，或者，所述请求设备向所述鉴别接入控制器发送密钥响应消息，所述密钥响应消息中包括所述请求设备的密钥交换参数；所述鉴别接入控制器根据包括所述鉴别接入控制器的密钥交换参数对应的临时私钥和所述请求设备的密钥交换参数所包括的临时公钥进行密钥交换计算生成所述第一密钥，根据包括所述第一密钥在内的信息利用所述密钥导出算法计算所述消息加密密钥。3.根据权利要求2所述的方法，其特征在于，所述密钥请求消息中还包括所述鉴别接入控制器生成的第一随机数；则所述请求设备计算所述消息加密密钥具体包括：所述请求设备根据包括所述第一密钥、所述第一随机数和所述请求设备生成的第二随机数在内的信息计算所述消息加密密钥；对应的，所述请求设备的身份鉴别请求消息中还包括所述第二随机数，或者，所述密钥响应消息中还包括所述第二随机数；则所述鉴别接入控制器计算所述消息加密密钥具体包括：所述鉴别接入控制器根据包括所述第一密钥、所述第一随机数和所述第二随机数在内的信息计算所述消息加密密钥。4.根据权利要求3所述的方法，其特征在于，所述请求设备的身份鉴别请求消息或者所述密钥响应消息中还包括所述第一随机数，则在所述鉴别接入控制器计算所述消息加密密钥之前，所述方法还包括：所述鉴别接入控制器将所述请求设备的身份鉴别请求消息中的第一随机数或者所述密钥响应消息中的第一随机数和所述鉴别接入控制器自身生成的第一随机数进行一致性验证；
若验证通过，则所述鉴别接入控制器再计算所述消息加密密钥。5.根据权利要求2所述的方法，其特征在于，所述密钥请求消息中还包括所述鉴别接入控制器支持的安全能力参数信息，所述方法还包括：所述请求设备根据所述安全能力参数信息确定所述请求设备使用的特定安全策略；则所述请求设备的身份鉴别请求消息或者所述密钥响应消息中还包括所述特定安全策略。6.根据权利要求2所述的方法，其特征在于，所述方法还包括：所述鉴别接入控制器和所述请求设备分别计算消息完整性校验密钥；其中，所述鉴别接入控制器的消息完整性校验密钥与所述鉴别接入控制器的消息加密密钥的生成方式相同；所述请求设备的消息完整性校验密钥与所述请求设备的消息加密密钥的生成方式相同；则所述鉴别接入控制器和所述请求设备任一方作为被验证方时，所述被验证方的身份鉴别请求消息中还包括被验证方的消息完整性校验码，所述被验证方的消息完整性校验码是所述被验证方利用所述消息完整性校验密钥对包括所述被验证方的身份鉴别请求消息中除所述消息完整性校验码外的其他字段计算生成的；则在所述验证方确定所述被验证方的身份鉴别结果之前，所述方法还包括：所述验证方利用所述消息完整性校验密钥验证所述消息完整性校验码；若验证通过，验证方再执行验证所述被验证方的身份合法性得到所述被验证方的身份验证结果的步骤。7.根据权利要求1所述的方法，其特征在于，所述请求设备先作为验证方，当确定所述鉴别接入控制器的身份合法之后，所述请求设备再作为被验证方，向所述鉴别接入控制器发送所述请求设备的身份鉴别请求消息。8.根据权利要求1所述的方法，其特征在于，所述鉴别接入控制器先作为验证方，当确定所述请求设备的身份合法之后，所述鉴别接入控制器再作为被验证方，向所述请求设备发送所述鉴别接入控制器的身份鉴别请求消息。9.根据权利要求2所述的方法，其特征在于，所述请求设备作为被验证方，所述鉴别接入控制器作为验证方；则所述鉴别接入控制器先向所述请求设备发送所述密钥请求消息，再接收所述请求设备发送的所述请求设备的身份鉴别请求消息，所述请求设备的身份鉴别请求消息中包括所述请求设备的身份信息密文和所述请求设备的数字签名，所述请求设备的身份信息密文是所述请求设备利用所述消息加密密钥对包括所述请求设备的数字证书在内的加密数据加密生成的；所述鉴别接入控制器利用所述消息加密密钥对所述请求设备的身份信息密文进行解密得到所述请求设备的数字证书，根据所述请求设备的数字证书和所述请求设备的数字签名，验证所述请求设备的身份合法性得到所述请求设备的身份验证结果。10.根据权利要求2所述的方法，其特征在于，所述鉴别接入控制器作为被验证方，所述请求设备作为验证方；则所述鉴别接入控制器先向所述请求设备发送所述密钥请求消息，再接收所述请求设备发送的所述密钥响应消息，然后向所述请求设备发送所述鉴别接入控制器的身份鉴别请求消息，所述鉴别接入控制器的身份鉴别请求消息中包括所述鉴别接入控制器的身份信息密文和所述鉴别接入控制器的数字签名，所述鉴别接入控制器的身份信息密文是所述鉴别接入控制器利用所述消息加密密钥对包括所述鉴别接入控制器的数字
证书在内的加密数据加密生成的；所述请求设备利用所述消息加密密钥对所述鉴别接入控制器的身份信息密文进行解密得到所述鉴别接入控制器的数字证书，根据所述鉴别接入控制器的数字证书和所述鉴别接入控制器的数字签名，验证所述鉴别接入控制器的身份合法性得到所述鉴别接入控制器的身份验证结果。11.根据权利要求1至10任一项所述的方法，其特征在于，所述请求设备向所述鉴别接入控制器发送的消息还包括所述请求设备对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值；则所述鉴别接入控制器收到所述请求设备发送的消息时，先对接收到的消息中的杂凑值进行验证，验证通过后再执行后续操作；所述鉴别接入控制器向所述请求设备发送的消息还包括所述鉴别接入控制器对接收到的所述请求设备发送的最新前序消息计算的杂凑值；则所述请求设备收到所述鉴别接入控制器发送的消息时，先对接收到的消息中的杂凑值进行验证，验证通过后再执行后续操作。12.一种鉴别接入控制器，其特征在于，所述鉴别接入控制器包括请求单元和验证单元中的至少一个单元；所述请求单元，用于向请求设备发送所述鉴别接入控制器的身份鉴别请求消息，所述鉴别接入控制器的身份鉴别请求消息中包括所述鉴别接入控制器的身份信息密文和所述鉴别接入控制器的数字签名，所述鉴别接入控制器的身份信息密文是所述鉴别接入控制器利用消息加密密钥对包括所述鉴别接入控制器的数字证书在内的加密数据加密生成的；所述验证单元，用于接收所述请求设备的身份鉴别请求消息，所述请求设备的身份鉴别请求消息中包括所述请求设备的身份信息密文和所述请求设备的数字签名，所述请求设备的身份信息密文是所述请求设备利用消息加密密钥对包括所述请求设备的数字证书在内的加密数据加密生成的；利用所述消息加密密钥对所述请求设备的身份信息密文进行解密得到所述请求设备的数字证书；根据所述请求设备的数字证书和所述请求设备的数字签名，验证所述请求设备的身份合法性得到所述请求设备的身份验证结果。13.根据权利要求12所述的鉴别接入控制器，其特征在于，所述鉴别接入控制器与所述请求设备协商生成所述消息加密密钥，则所述鉴别接入控制器还包括：发送单元和计算单元；或者，所述鉴别接入控制器还包括：发送单元、接收单元和计算单元；其中，发送单元，用于向所述请求设备发送密钥请求消息，所述密钥请求消息中包括所述鉴别接入控制器的密钥交换参数；接收单元，用于接收所述请求设备发送的密钥响应消息，所述密钥响应消息中包括所述请求设备的密钥交换参数；或者，所述验证单元接收的所述请求设备的身份鉴别请求消息中还包括所述请求设备的密钥交换参数；计算单元，用于根据包括所述鉴别接入控制器的密钥交换参数对应的临时私钥和所述请求设备的密钥交换参数所包括的临时公钥进行密钥交换计算生成第一密钥，根据包括所述第一密钥在内的信息利用密钥导出算法计算所述消息加密密钥。14.根据权利要求...

【专利技术属性】
技术研发人员：赖晓龙，曹军，铁满霞，李琴，赵晓荣，张变玲，张国强，
申请(专利权)人：西安西电捷通无线网络通信股份有限公司，
类型：发明
国别省市：