技术特征:
1.一种身份鉴别方法,其特征在于,所述方法包括:鉴别接入控制器获取请求设备发送的身份密文消息,所述身份密文消息中包括所述请求设备的身份信息密文,所述身份信息密文是利用消息加密密钥对包括所述请求设备的数字证书在内的信息加密生成的;所述鉴别接入控制器利用所述消息加密密钥对所述身份信息密文进行解密得到所述请求设备的数字证书;所述鉴别接入控制器向其信任的第一鉴别服务器发送第一鉴别请求消息,所述第一鉴别请求消息中包括所述请求设备的数字证书;所述鉴别接入控制器接收所述第一鉴别服务器发送的第一鉴别响应消息,所述第一鉴别响应消息中包括鉴别结果信息和所述第一鉴别服务器的数字签名,所述鉴别结果信息中包括对所述请求设备的数字证书的验证结果;所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第一鉴别服务器的数字签名进行验证;若验证通过,则所述鉴别接入控制器根据所述数字证书的验证结果确定所述请求设备的身份鉴别结果。2.根据权利要求1所述的方法,其特征在于,所述身份密文消息中还包括所述请求设备的数字签名,则在所述鉴别接入控制器确定所述请求设备的身份鉴别结果之前,所述方法还包括:所述鉴别接入控制器确定所述请求设备的数字签名是否验证通过,若确定所述请求设备的数字签名验证通过,则所述鉴别接入控制器再根据所述数字证书的验证结果确定所述请求设备的身份鉴别结果。3.根据权利要求2所述的方法,其特征在于,所述鉴别接入控制器确定所述请求设备的数字签名是否验证通过具体包括:所述鉴别接入控制器利用解密所述请求设备的身份信息密文得到的所述请求设备的数字证书对所述请求设备的数字签名进行验证,根据验证结果确定所述请求设备的数字签名是否验证通过;或者,当所述鉴别结果信息中还包括所述请求设备的数字证书时,所述鉴别接入控制器利用所述鉴别结果信息中的所述请求设备的数字证书对所述请求设备的数字签名进行验证,根据验证结果确定所述请求设备的数字签名是否验证通过;或者,当所述鉴别结果信息中还包括所述请求设备的数字证书时,所述鉴别接入控制器将解密所述请求设备的身份信息密文得到的所述请求设备的数字证书与所述鉴别结果信息中所述请求设备的数字证书的一致性进行比较;若一致,则所述鉴别接入控制器再利用所述请求设备的数字证书对所述请求设备的数字签名进行验证,根据验证结果确定所述请求设备的数字签名是否验证通过;或者,所述请求设备信任的第二鉴别服务器利用接收到的所述请求设备的数字证书,对所述请求设备的数字签名进行验证,若所述鉴别接入控制器接收到所述第一鉴别响应消息,则所述鉴别接入控制器确定所述请求设备的数字签名已验证通过。4.根据权利要求1所述的方法,其特征在于,在鉴别接入控制器获取请求设备发送的身份密文消息之前,所述方法还包括:
所述鉴别接入控制器向所述请求设备发送密钥请求消息,所述密钥请求消息中包括所述鉴别接入控制器的密钥交换参数;所述请求设备根据包括所述请求设备的密钥交换参数对应的临时私钥和所述鉴别接入控制器的密钥交换参数所包括的临时公钥进行密钥交换计算生成第一密钥,根据包括所述第一密钥在内的信息利用密钥导出算法计算所述消息加密密钥;所述请求设备向所述鉴别接入控制器发送的身份密文消息中还包括所述请求设备的密钥交换参数;所述鉴别接入控制器根据包括所述鉴别接入控制器的密钥交换参数对应的临时私钥和所述请求设备的密钥交换参数所包括的临时公钥进行密钥交换计算生成所述第一密钥,根据包括所述第一密钥在内的信息利用所述密钥导出算法计算所述消息加密密钥。5.根据权利要求4所述的方法,其特征在于,所述密钥请求消息中还包括所述鉴别接入控制器生成的第一随机数;则所述请求设备计算所述消息加密密钥还包括:所述请求设备根据包括所述第一密钥、所述第一随机数和所述请求设备生成的第二随机数在内的信息计算所述消息加密密钥;对应的,所述身份密文消息中还包括所述第二随机数;则所述鉴别接入控制器计算所述消息加密密钥还包括:所述鉴别接入控制器根据包括所述第一密钥、所述第一随机数和所述第二随机数在内的信息计算所述消息加密密钥。6.根据权利要求5所述的方法,其特征在于,所述身份密文消息中还包括所述第一随机数;则在所述鉴别接入控制器计算所述消息加密密钥之前,所述方法还包括:所述鉴别接入控制器对所述身份密文消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;若验证通过,则所述鉴别接入控制器再计算所述消息加密密钥。7.根据权利要求4所述的方法,其特征在于,所述密钥请求消息中还包括所述鉴别接入控制器支持的安全能力参数信息,所述方法还包括:所述请求设备根据所述安全能力参数信息确定所述请求设备使用的特定安全策略;则所述身份密文消息中还包括所述特定安全策略。8.根据权利要求4所述的方法,其特征在于,所述密钥请求消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识;所述方法还包括:所述请求设备根据所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识,确定所述请求设备信任的至少一个鉴别服务器的身份标识;则所述身份密文消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识;所述方法还包括:所述鉴别接入控制器根据所述身份密文消息中所述请求设备信任的至少一个鉴别服务器的身份标识和所述密钥请求消息中所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识,确定参与身份鉴别的第一鉴别服务器。9.根据权利要求1所述的方法,其特征在于,所述身份密文消息中还包括所述请求设备
信任的至少一个鉴别服务器的身份标识;则所述方法还包括:所述鉴别接入控制器根据所述请求设备信任的至少一个鉴别服务器的身份标识和所述鉴别接入控制器信任的鉴别服务器的身份标识,确定参与身份鉴别的第一鉴别服务器。10.根据权利要求1所述的方法,其特征在于,所述第一鉴别请求消息中还包括所述鉴别接入控制器的身份标识和/或所述鉴别接入控制器生成的第一随机数;对应的,所述第一鉴别响应消息中还包括所述鉴别接入控制器的身份标识和/或所述第一随机数;则在所述鉴别接入控制器确定所述请求设备的身份鉴别结果之前,所述方法还包括:所述鉴别接入控制器对所述第一鉴别响应消息中的鉴别接入控制器的身份标识和所述鉴别接入控制器自身的身份标识的一致性进行验证,和/或,对所述第一鉴别响应消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;若验证通过,则所述鉴别接入控制器再根据所述数字证书的验证结果确定所述请求设备的身份鉴别结果。11.根据权利要求1至10任一项所述的方法,其特征在于,所述鉴别接入控制器信任的第一鉴别服务器和所述请求设备信任的第二鉴别服务器是同一个鉴别服务器,则所述方法还包括:所述第一鉴别服务器对所述请求设备的数字证书进行合法性验证得到所述数字证书的验证结果,根据包括所述数字证书的验证结果在内的信息生成所述鉴别结果信息,对包括所述鉴别结果信息在内的签名数据计算生成第一鉴别服务器的数字签名,根据包括所述鉴别结果信息和所述第一鉴别服务器的数字签名在内的信息生成所述第一鉴别响应消息。12.根据权利要求1至10任一项所述的方法,其特征在于,所述鉴别接入控制器信任的第一鉴别服务器和所述请求设备信任的第二鉴别服务器是两个不同的鉴别服务器,则所述方法还包括:所述第一鉴别服务器接收所述第一鉴别请求消息后,向所述请求设备信任的第二鉴别服务器发送第二鉴别请求消息,所述第二鉴别请求消息中包括所述请求设备的数字证书;由所述第二鉴别服务器对所述请求设备的数字证书进行合法性验证得到所述数字证书的验证结果,根据包括所述数字证书的验证结果在内的信息生成所述鉴别结果信息,对包括所述鉴别结果信息在内的签名数据计算生成第二鉴别服务器的数字签名;所述第一鉴别服务器接收所述第二鉴别服务器发送的第二鉴别响应消息,所述第二鉴别响应消息中包括所述鉴别结果信息和所述第二鉴别服务器的数字签名;所述第一鉴别服务器利用所述第二鉴别服务器的公钥对所述第二鉴别服务器的数字签名进行验证;若验证通过,则所述第一鉴别服务器对包括所述鉴别结果信息在内的签名数据计算生成所述第一鉴别服务器的数字签名,根据包括所述鉴别结果信息和所述第一鉴别服务器的数字签名在内的信息生成所述第一鉴别响应消息。13.根据权利要求3至10任一项所述的方法,其特征在于,所述请求设备向所述鉴别接入控制器发送的消息还包括所述请求设备对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值;则所述鉴别接入控制器收到所述请求设备发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;
所述鉴别接入控制器向所述请求设备发送的消息还包括所述鉴别接入控制器对接收到的所述请求设备发送的最新前序消息计算的杂凑值;则所述请求设备收到所述鉴别接入控制器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述鉴别接入控制器向所述第一鉴别服务器发送的消息还包括所述鉴别接入控制器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值;则所述第一鉴别服务器收到所述鉴别接入控制器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述第一鉴别服务器向所述鉴别接入控制器发送的消息还包括所述第一鉴别服务器对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值;则所述鉴别接入控制器收到所述第一鉴别服务器器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述第一鉴别服务器向所述第二鉴别服务器发送的消息还包括所述第一鉴别服务器对接收到的所述第二鉴别服务器发送的最新前序消息计算的杂凑值;则所述第二鉴别服务器收到所述第一鉴别服务器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;所述第二鉴别服务器向所述第一鉴别服务器发送的消息还包括所述第二鉴别服务器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值;则所述第一鉴别服务器收到所述第二鉴别服务器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作。14.一种鉴别接入控制器,其特征在于,所述鉴别接入控制器包括:获取单元,用于获取请求设备发送的身份密文消息,所述身份密文消息中包括所述请求设备的身份信息密文,所述身份信息密文是利用消息加密密钥对包括所述请求设备的数字证书在内的信息加密生成的;解密单元,用于利用所述消息加密密钥对所述身份信息密文进行解密得到所述请求设备的数字证书;第一发送单元,用于向所述鉴别接入控制器信任的第一鉴别服务器发送第一鉴别请求消息,所述第一鉴别请求消息中包括所述请求设备的数字证书;接收单元,用于接收所述第一鉴别服务器发送的第一鉴别响应消息,所述第一鉴别响应消息中包括鉴别结果信息和所述第一鉴别服务器的数字签名,所述鉴别结果信息中包括对所述请求设备的数字证书的验证结果;第一验证单元,用于利用所述第一鉴别服务器的公钥对所述第一鉴别服务器的数字签名进行验证;第一确定单元,用于当所述第一鉴别服务器的数字签名验证通过时,根据所述数字证书的验证结果确定所述请求设备的身份鉴别结果。15.根据权利要求14所述的鉴别接入控制器,其特征在于,所述获取单元获取的身份密文消息中还包括所述请求设备的数字签名,则在所述第一确定单元确定所述请求设备的身份鉴别结果之前,所述第一确定单元还用于确定所述请求设备的数字签名是否验证通过,若确定所述请求设备的数字签名验证通过,则所述第一确定单元再根据所述数字证书的验
证结果确定所述请求设备的身份鉴别结果。16.根据权利要求15所述的鉴别接入控制器,其特征在于,所述第一确定单元具体用于:利用所述解密单元解密所述请求设备的身份信息密文得到的所述请求设备的数字证书对所述请求设备的数字签名进行验证,根据验证结果确定所述请求设备的数字签名是否验证通过;或者,当所述鉴别结果信息中还包括所述请求设备的数字证书时,利用所述鉴别结果信息中的所述请求设备的数字证书对所述请求设备的数字签名进行验证,根据验证结果确定所述请求设备的数字签名是否验证通过;或者,当所述鉴别结果信息中还包括所述请求设备的数字证书时,将解密所述请求设备的身份信息密文得到的所述请求设备的数字证书与所述鉴别结果信息中的所述请求设备的数字证书的一致性进行比较,若一致,则再利用所述请求设备的数字证书对所述请求设备的数字签名进行验证,根据验证结果确定所述请求设备的数字签名是否验证通过;或者,当所述请求设备信任的第二鉴别服务器利用接收到的所述请求设备的数字证书对所述请求设备的数字签名进行验证,若所述接收单元接收到所述第一鉴别响应消息,则确定所述请求设备的数字签名已验证通过。17.根据权利要求14所述的鉴别接入控制器,其特征在于,所述鉴别接入控制器还包括:第二发送单元,用于向所述请求设备发送密钥请求消息,所述密钥请求消息中包括所述鉴别接入控制器的密钥交换参数;则所述获取单元获取的身份密文消息中还包括所述请求设备的密钥交换参数;计算单元,用于根据包括所述鉴别接入控制器的密钥交换参数对应的临时私钥和所述请求设备的密钥交换参数所包括的临时公钥进行密钥交换计算生成第一密钥,根据包括所述第一密钥在内的信息利用密钥导出算法计算所述消息加密密钥。18.根据权利要求17所述的鉴别接入控制器,其特征在于,所述第二发送单元发送的密钥请求消息中还包括所述鉴别接入控制器生成的第一随机数;对应的,所述获取单元获取的身份密文消息中还包括所述请求设备生成的第二随机数;所述计算单元具体用于根据包括所述第一密钥、所述第一随机数和所述第二随机数在内的信息计算所述消息加密密钥。19.根据权利要求18所述的鉴别接入控制器,其特征在于,所述获取单元获取的身份密文消息中还包括所述第一随机数;所述鉴别接入控制器还包括:第二验证单元,用于对所述身份密文消息中的第一随机数和所述鉴别接入控制生成的第一随机数的一致性进行验证;验证通过后,所述计算单元再计算所述消息加密密钥。20.根据权利要求17所述的鉴别接入控制器,其特征在于,所述第二发送单元发送的密钥请求消息中还包括所述鉴别接入控制器支持的安全能力参数信息;则所述获取单元获取的身份密文消息中还包括请求设备使用的特定安全策略,所述特定安全策略是所述请求设备根据所述安全能力参数信息确定的。21.根据权利要求17所述的鉴别接入控制器,其特征在于,所述第二发送单元发送的密钥请求消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识;则所述
获取单元获取的身份密文消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识;所述鉴别接入控制器还包括:第二确定单元,用于根据所述身份密文消息中所述请求设备信任的至少一个鉴别服务器的身份标识和所述密钥请求消息中所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识,确定参与身份鉴别的第一鉴别服务器。22.根据权利要求14所述的鉴别接入控制器,其特征在于,所述获取单元获取的身份密文消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识;所述鉴别接入控制器还包括:第三确定单元,用于根据所述请求设备信任的至少一个鉴别服务器的身份标识和所述鉴别接入控制器信任的鉴别服务器的身份标识,确定参与身份鉴别的第一鉴别服务器。23.根据权利要求14所述的鉴别接入控制器,其特征在于,所述第一发送单元发送的第一鉴别请求消息中还包括所述鉴别接入控制器的身份标识和/或所述鉴别接入控制器生成的第一随机数;对应的,所述接收单元接收的第一鉴别响应消息中还包括所述鉴别接入控制器的身份标识和/或所述第一随机数;则所述鉴别接入控制器还包括:第三验证单元,用于对所述第一鉴别响应消息中的鉴别接入控制器的身份标识和所述鉴别接入控制器自身的身份标识的一致性进行验证,和/或,对所述第一鉴别响应消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;验证通过后,所述第一确定单元再根据所述数字证书的验证结果确定所述请求设备的身份鉴别结果。24.根据权利要求14至23任一项所述的鉴别接入控制器,其特征在于,所述鉴别接入控制器向所述请求设备发送的消息还包括所述鉴别接入控制器对接收到的所述请求设备发送的最新前序消息计算的杂凑值;所述鉴别接入控制器向所述第一鉴别服务器发送的消息还包括所述鉴别接入控制器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值。25.一种请求设备,其特征在于,所述请求设备包括:加密单元,用于利用消息加密密钥对包括所述请求设备的数字证书在内的信息加密生成身份信息密文;发送单元,用于向鉴别接入控制器发送身份密文消息,所述身份密文消息中包括所述请求设备的身份信息密文。26.根据权利要求25所述的请求设备,其特征在于,所述请求设备还包括:接收单元,用于接收所述鉴别接入控制器发送的密钥请求消息,所述密钥请求消息中包括所述鉴别接入控制器的密钥交换参数;计算单元,用于根据包括所述请求设备的密钥交换参数对应的临时私钥和所述鉴别接入控制器的密钥交换参数所包括的临时公钥进行密钥交换计算生成第一密钥,根据包括所述第一密钥在内的信息利用密钥导出算法计算所述消息加密密钥;所述发送单元发送的身份密文消息中还包括所述请求设备的密钥交换参数。27.根据权利要求26所述的请求设备,其特征在于,所述接收单元接收的密钥请求消息
中还包括所述鉴别接入控制器生成的第一随机数;所述计算单元,具体用于根据包括所述第一密钥、所述第一随机数和所述请求设备生成的第二随机数在内的信息计算所述消息加密密钥;所述发送单元发送的身份密文消息中还包括所述第二随机数。28.根据权利要求26所述的请求设备,其特征在于,所述接收单元接收的密钥请求消息中还包括所述鉴别接入控制器支持的安全能力参数信息,所述请求设备还包括:第一确定单元,用于根据所述安全能力参数信息确定所述请求设备使用的特定安全策略;所述发送单元发送的身份密文消息中还包括所述特定安全策略。29.根据权利要求26所述的请求设备,其特征在于,所述接收单元接收的密钥请求消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识;则所述请求设备还包括:第二确定单元,用于根据所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识,确定所述请求设备信任的至少一个鉴别服务器的身份标识;则所述发送单元发送的身份密文消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识。30.根据权利要求25所述的请求设备,其特征在于,所述发送单元发送的身份密文消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识。31.根据权利要求27所述的请求设备,其特征在于,所述发送单元发送的身份密文消息中还包括所述鉴别接入控制器生成的第一随机数。32.根据权利要求25至31任一项所述的请求设备,其特征在于,所述请求设备向所述鉴别接入控制器发送的消息还包括所述请求设备对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值。
技术总结
本申请实施例公开了一种身份鉴别方法,鉴别接入控制器AAC获取请求设备REQ发送的身份密文消息,身份密文消息中包括REQ的身份信息密文,AAC解密REQ的身份信息密文得到REQ的数字证书Cert
技术研发人员:铁满霞 曹军 赖晓龙 赵晓荣 李琴 张变玲 张国强
受保护的技术使用者:西安西电捷通无线网络通信股份有限公司
技术研发日:2020.12.26
技术公布日:2022/7/14