CN114760037A - 一种身份鉴别方法和装置 - Google Patents

一种身份鉴别方法和装置 Download PDF

Info

Publication number
CN114760037A
CN114760037A CN202011569206.8A CN202011569206A CN114760037A CN 114760037 A CN114760037 A CN 114760037A CN 202011569206 A CN202011569206 A CN 202011569206A CN 114760037 A CN114760037 A CN 114760037A
Authority
CN
China
Prior art keywords
authentication
identity
message
access controller
authentication server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011569206.8A
Other languages
English (en)
Inventor
铁满霞
曹军
赵晓荣
赖晓龙
李琴
张变玲
黄振海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Priority to CN202011569206.8A priority Critical patent/CN114760037A/zh
Priority to PCT/CN2021/140000 priority patent/WO2022135378A1/zh
Publication of CN114760037A publication Critical patent/CN114760037A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开一种身份鉴别方法,包括:鉴别接入控制器AAC接收请求设备REQ发送的包括REQ的身份标识和REQ的身份鉴别码的身份消息,并向其信任的第一鉴别服务器发送包括身份消息和AAC的数字证书的第一鉴别请求消息,AAC接收第一鉴别服务器发送的第一鉴别响应消息,第一鉴别响应消息中包括第一鉴别结果信息、第二鉴别服务器的第一消息鉴别码、第二鉴别结果信息和第一鉴别服务器的第一数字签名,AAC在第一数字签名验证通过后,根据第二鉴别结果信息确定REQ的身份鉴别结果,并向REQ发送第三鉴别响应消息,REQ在第二鉴别服务器的第一消息鉴别码验证通过后,根据第一鉴别结果信息确定AAC的身份鉴别结果,从而实现双向鉴别。

Description

一种身份鉴别方法和装置
技术领域
本申请涉及网络通信安全技术领域,特别是涉及一种身份鉴别方法和装置。
背景技术
目前,通信网络通常要求在用户和网络接入点之间执行双向身份鉴别,确保合法用户访问合法网络,在已有的实体鉴别方案中,实体的身份要么统一采用数字证书,要么统一采用预共享密钥的形式,但在实际应用中可能面临一端采用数字证书作为身份凭证、另一端采用预共享密钥作为身份凭证的特殊情况,这对实体身份鉴别机制提出了挑战。
发明内容
为了解决上述技术问题,本申请提供了一种身份鉴别方法和装置,能够实现在请求设备采用预共享密钥以及鉴别接入控制器采用数字证书作为身份凭证的情况下实体之间的双向身份鉴别。
鉴于此,本申请第一方面提供了一种身份鉴别方法,包括:
鉴别接入控制器接收请求设备发送的身份消息,所述身份消息中包括所述请求设备的身份标识和所述请求设备的身份鉴别码,所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的;
所述鉴别接入控制器向其信任的第一鉴别服务器发送第一鉴别请求消息,所述第一鉴别请求消息中包括所述身份消息和所述鉴别接入控制器的数字证书;
所述鉴别接入控制器接收所述第一鉴别服务器发送的第一鉴别响应消息,所述第一鉴别响应消息中包括第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、第二鉴别结果信息和所述第一鉴别服务器的第一数字签名;所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果,所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥,采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的,所述第二鉴别结果信息中包括对所述请求设备的身份鉴别码的第二验证结果,所述第一数字签名是所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成的数字签名;
所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证,若验证通过,则所述鉴别接入控制器根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;当所述鉴别接入控制器确定所述请求设备的身份鉴别结果为合法时,向所述请求设备发送第三鉴别响应消息;或者,
所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证,若验证通过,则所述鉴别接入控制器向所述请求设备发送第三鉴别响应消息以及根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;或者,
所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证;若所述第一数字签名验证通过,则所述鉴别接入控制器根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;所述鉴别接入控制器向所述请求设备发送第三鉴别响应消息;
其中,所述第三鉴别响应消息中包括所述第一鉴别结果信息和所述第二鉴别服务器的第一消息鉴别码;
所述请求设备接收到所述第三鉴别响应消息后,利用与所述第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法验证所述第二鉴别服务器的第一消息鉴别码,若验证通过,则所述请求设备根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。
本申请第二方面提供了一种请求设备,包括:
生成模块,用于利用与所述请求设备信任的第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成所述请求设备的身份鉴别码;
发送模块,用于向鉴别接入控制器发送身份消息,所述身份消息中包括所述请求设备的身份标识和所述请求设备的身份鉴别码;
接收模块,用于接收所述鉴别接入控制器发送的第三鉴别响应消息,所述第三鉴别响应消息中包括第一鉴别结果信息和所述第二鉴别服务器的第一消息鉴别码;所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果,所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥,采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的;
验证模块,用于利用与所述第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法验证所述第二鉴别服务器的第一消息鉴别码;
确定模块,用于若验证通过,则根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。
本申请第三方面提供了一种鉴别接入控制器,包括:
接收模块,用于接收请求设备发送的身份消息,所述身份消息中包括所述请求设备的身份标识和所述请求设备的身份鉴别码,所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的;
发送模块,用于向所述鉴别接入控制器信任的第一鉴别服务器发送第一鉴别请求消息,所述第一鉴别请求消息中包括所述身份消息和所述鉴别接入控制器的数字证书;
所述接收模块,还用于接收所述第一鉴别服务器发送的第一鉴别响应消息,所述第一鉴别响应消息中包括第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、第二鉴别结果信息和所述第一鉴别服务器的第一数字签名;所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果,所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥,采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的,所述第二鉴别结果信息中包括对所述请求设备的身份鉴别码的第二验证结果,所述第一数字签名是所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成的数字签名;
验证模块,用于利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证;若验证通过,则确定模块根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;当所述确定模块确定所述请求设备的身份鉴别结果为合法时,所述发送模块向所述请求设备发送第三鉴别响应消息;或者,
用于利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证,若验证通过,则所述发送模块向所述请求设备发送第三鉴别响应消息以及确定模块根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;或者,
用于利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证;若所述第一数字签名验证通过,则确定模块根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;所述发送模块向所述请求设备发送第三鉴别响应消息;
其中,所述第三鉴别响应消息中包括所述第一鉴别结果信息和所述第二鉴别服务器的第一消息鉴别码。
本申请第四方面提供了一种第一鉴别服务器,包括:
接收模块,用于接收鉴别接入控制器发送的第一鉴别请求消息,所述第一鉴别请求消息中包括身份消息和所述鉴别接入控制器的数字证书;所述身份消息中包括请求设备的身份标识和所述请求设备的身份鉴别码,所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的;
发送模块,用于向所述鉴别接入控制器发送第一鉴别响应消息,所述第一鉴别响应消息中包括第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、第二鉴别结果信息和所述第一鉴别服务器的第一数字签名;所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果,所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥,采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的,所述第二鉴别结果信息中包括对所述请求设备的身份鉴别码的第二验证结果,所述第一数字签名是所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成的数字签名。
本申请第五方面提供了一种第二鉴别服务器,包括:
接收模块,用于接收第一鉴别服务器发送的第二鉴别请求消息,所述第二鉴别请求消息中包括第一鉴别结果信息、身份消息和第二数字签名或所述第二鉴别请求消息中包括第一鉴别结果信息、身份消息和第二消息鉴别码;所述第一鉴别结果信息是所述第一鉴别服务器对鉴别接入控制器的数字证书进行合法性验证得到第一验证结果,并根据包括所述第一验证结果在内的信息生成的;所述身份消息中包括请求设备的身份标识和所述请求设备的身份鉴别码,所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的;所述第二数字签名是所述第一鉴别服务器对包括所述第一鉴别结果信息和所述身份消息在内的签名数据计算生成,或所述第二消息鉴别码是所述第一鉴别服务器对包括所述第一鉴别结果信息和所述身份消息在内的信息计算生成的;
验证模块,用于利用所述第一鉴别服务器的公钥验证所述第二数字签名或利用与所述第一鉴别服务器的预共享密钥验证所述第二消息鉴别码,若验证通过,对所述身份消息中所述请求设备的身份鉴别码进行验证得到第二验证结果;
生成模块,用于根据包括所述第二验证结果在内的信息生成第二鉴别结果信息,对包括所述第一鉴别结果信息在内的信息计算生成第二鉴别服务器的第一消息鉴别码,并对包括所述第二鉴别结果信息在内的签名数据计算生成第三数字签名或对包括所述第二鉴别结果信息在内的信息计算生成第三消息鉴别码;
发送模块,用于向所述第一鉴别服务器发送第二鉴别响应消息,所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三数字签名或所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三消息鉴别码。
由上可知,在本申请提供的一种身份鉴别方法中,请求设备采用预共享密钥作为其身份凭证,鉴别接入控制器采用数字证书作为其身份凭证,在身份鉴别过程中,请求设备先向鉴别接入控制器发送身份消息,该身份消息中包括请求设备的身份标识和利用预共享密钥生成的请求设备的身份鉴别码;鉴别接入控制器再向自身信任的第一鉴别服务器发送包括该身份消息和自身的数字证书的第一鉴别请求消息,以通过第一鉴别服务器完成对请求设备和鉴别接入控制器的身份鉴别;其中,由请求设备信任的第二鉴别服务器根据请求设备的身份鉴别码实现对请求设备身份合法性的验证,由所述第一鉴别服务器根据鉴别接入控制器的数字证书实现对鉴别接入控制器身份合法性的验证,完成验证后,第一鉴别服务器向鉴别接入控制器发送第一鉴别响应消息,鉴别接入控制器从第一鉴别响应消息中获取请求设备对应的验证结果,以确定请求设备身份是否合法,请求设备从鉴别接入控制器发送的第三鉴别响应消息中获取鉴别接入控制器对应的验证结果,以确定鉴别接入控制器身份是否合法,从而实现鉴别接入控制器和请求设备的双向身份鉴别,为保证只有合法用户才能与合法网络通信奠定基础。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种身份鉴别方法的示意图;
图2为本申请实施例提供的一种身份鉴别方法的示意图,其中“*”表示可选的字段或可选的操作;
图3为本申请实施例提供的一种身份鉴别方法的示意图,其中“*”表示可选的字段或可选的操作;
图4为本申请实施例提供的一种身份鉴别方法的示意图,其中“*”表示可选的字段或可选的操作;
图5为本申请实施例提供的一种身份鉴别方法的示意图,其中“*”表示可选的字段或可选的操作;
图6为本申请实施例提供的一种请求设备REQ的结构框图;
图7为本申请实施例提供的一种鉴别接入控制器AAC的结构框图;
图8为本申请实施例提供的一种第一鉴别服务器AS-AAC的结构框图;
图9为本申请实施例提供的一种第二鉴别服务器AS-REQ的结构框图。
具体实施方式
在通信网络中,请求设备可以通过鉴别接入控制器访问网络,为了确保访问网络的请求设备属于合法用户,以及请求设备访问的网络为合法网络,鉴别接入控制器和请求设备之间需要进行双向身份鉴别(Mutual Identity Authentication,简称MIA)。
以目前的无线通信和移动通信场景为例,在请求设备通过鉴别接入控制器接入无线网络的场景下,请求设备可以为手机、个人数字助理(Personal Digital Assistant,简称PDA)、平板电脑等终端设备,鉴别接入控制器可以是无线接入点、无线路由器等网络侧设备。在请求设备通过鉴别接入控制器接入有线网络的场景下,请求设备可以为台式机、笔记本电脑等终端设备,鉴别接入控制器可以是交换机或路由器等网络侧设备。在请求设备通过鉴别接入控制器接入第四/五代移动通信技术(the 4th/5th Generation mobilecommunication technology,简称4G/5G)网络的场景下,请求设备可以为手机、平板电脑等终端设备,鉴别接入控制器可以为基站等网络侧设备。当然,本申请同样适用于其他有线网络、近距离通信网络等各种数据通信场景。
然而,在目前的实体鉴别方案中,实体的身份凭证要么统一采用数字证书的形式,要么统一采用预共享密钥的形式,而针对实际应用中一端采用数字证书作为身份凭证、另一端采用预共享密钥作为身份凭证的情况,并没有提出简洁、有效的身份鉴别机制。
为解决上述技术问题,本申请实施例提供了一种身份鉴别方法,针对请求设备采用预共享密钥,鉴别接入控制器采用数字证书的鉴别方式的应用场景,通过引入鉴别服务器,由鉴别接入控制器信任的第一鉴别服务器对鉴别接入控制器的数字证书进行合法性验证得到第一验证结果,由请求设备信任的第二鉴别服务器利用与请求设备的预共享密钥对请求设备的身份鉴别码进行验证得到第二验证结果,请求设备和鉴别接入控制器分别依据对方实体所对应的验证结果来确定对方实体是否合法,实现鉴别接入控制器与请求设备之间的双向身份鉴别,为确保只有合法用户才能与合法网络通信奠定基础。
为便于介绍,在本申请实施例中,将以请求设备(REQuester,简称REQ)、鉴别接入控制器(Authentication Access Controller,简称AAC)和鉴别服务器(AuthenticationServer,简称AS)为例对本申请的身份鉴别方法进行介绍。
其中,AAC信任的AS称为第一鉴别服务器AS-AAC,REQ信任的AS称为第二鉴别服务器AS-REQ。AS-AAC持有符合ISO/IEC 9594-8/ITU X.509、其他标准或其他技术体系规定的数字证书和数字证书对应的私钥,AS-AAC能够验证AAC的身份合法性,AS-REQ能够验证REQ的身份合法性。AS-AAC和AS-REQ可以是同一AS,也可以是不同的AS,当AS-AAC与AS-REQ相同时,即非漫游情况;当AS-AAC与AS-REQ不相同时,即漫游情况,此时,AS-AAC与AS-REQ之间具有有效的预共享密钥,或者,当AS-REQ持有符合ISO/IEC 9594-8/ITU X.509、其他标准或其他技术体系规定的数字证书和数字证书对应的私钥,AS-AAC与AS-REQ相互知晓对方的数字证书或数字证书中的公钥。
REQ可以是参与身份鉴别过程的一个端点,与AAC建立连接,访问AAC提供的服务,且通过AAC访问AS,且与AS-REQ之间具有有效的预共享密钥。AAC可以是参与身份鉴别过程的另一个端点,与REQ建立连接,提供服务,并与REQ通信,且可直接访问AS-AAC,AAC持有符合ISO/IEC 9594-8/ITU X.509、其他标准或其他技术体系规定的数字证书和数字证书对应的私钥,且知晓其信任的AS-AAC的数字证书或数字证书中的公钥。
下面结合图1,说明本申请实施例提供的一种身份鉴别方法,该方法包括:
S101、AAC接收REQ发送的身份消息REQInit。
所述REQInit中包括REQ的身份标识IDREQ和REQ的身份鉴别码MICREQ。其中,MICREQ是REQ利用与其信任的AS-REQ的预共享密钥,采用与AS-REQ约定的密码算法对包括IDREQ在内的信息计算生成的。
作为本申请的一个示例,REQ与AS-REQ约定的密钥算法可以是杂凑算法,REQ利用与AS-REQ的预共享密钥KREQ_AS,采用与AS-REQ约定的杂凑算法对包括REQInit中MICREQ字段之前的其他字段,如包括IDREQ在内的信息,进行杂凑运算得到杂凑值,该杂凑值即作为REQ的身份鉴别码MICREQ
在本实施例中,REQ采用身份鉴别码MICREQ作为身份信息,AAC采用AAC的数字证书CertAAC作为身份信息,AS-REQ可以对MICREQ进行验证以确定REQ身份的合法性,AS-AAC可以对CertAAC进行合法性验证以确定AAC身份的合法性。
S102、AAC向其信任的AS-AAC发送第一鉴别请求消息AACVeri。
所述AACVeri中包括REQInit和CertAAC
需要说明的是,当AAC信任的AS-AAC和REQ信任的AS-REQ为同一个鉴别服务器时,REQ和AAC共同信任的鉴别服务器可以用AS-AAC(当然也可以用AS-REQ)来表示。此种情形下,由AS-AAC(也可以表示为AS-REQ)对CertAAC和REQInit中的MICREQ进行验证。其中,对CertAAC进行合法性验证得到第一验证结果ResAAC,根据所述REQInit中的IDREQ确定与REQ的预共享密钥KREQ_AS和约定的密码算法,并利用所述KREQ_AS,采用所述密码算法对MICREQ进行验证得到第二验证结果ResREQ,根据包括所述ResAAC在内的信息生成第一鉴别结果信息PubAAC,根据包括所述ResREQ在内的信息生成第二鉴别结果信息PubREQ,再利用所述KREQ_AS,采用所述密码算法对包括所述PubAAC在内的信息计算生成AS-AAC的第一消息鉴别码MICAS_AAC(也可以表示为AS-REQ的第一消息鉴别码MICAS_REQ),对包括所述PubREQ在内的签名数据计算生成第一数字签名SigAS_AAC1(也可以表示为SigAS_REQ1),根据包括所述PubAAC、所述MICAS_AAC(也可以表示为MICAS_REQ)、所述PubREQ和所述SigAS_AAC1(也可以表示为SigAS_REQ1)在内的信息生成第一鉴别响应消息ASVeri。
当AAC信任的AS-AAC和REQ信任的AS-REQ为两个不同的鉴别服务器时,此种情形下,由AS-AAC对CertAAC进行合法性验证得到第一验证结果ResAAC,根据包括所述ResAAC在内的信息生成第一鉴别结果信息PubAAC,对包括所述PubAAC和所述REQInit在内的签名数据计算生成第二数字签名SigAS_AAC2,并向AS-REQ发送第二鉴别请求消息AS-AACVeri,所述AS-AACVeri中包括所述PubAAC、所述REQInit和所述SigAS_AAC2;其中,SigAS_AAC2可替换为MICAS_AAC2,MICAS_AAC2是AS-AAC利用与AS-REQ的预共享密钥,采用与AS-REQ约定的密码算法对包括PubAAC和REQInit在内的信息计算生成的第二消息鉴别码。
AS-REQ接收所述AS-AACVeri后,利用AS-AAC的公钥对所述SigAS_AAC2进行验证,或者利用与AS-AAC的预共享密钥,采用与AS-AAC约定的密码算法验证所述MICAS_AAC2,验证通过后,根据所述REQInit中的IDREQ确定与REQ的预共享密钥KREQ_AS和约定的密码算法,利用所述KREQ_AS,采用所述密码算法对所述REQInit中的MICREQ进行验证得到第二验证结果ResREQ,根据包括所述ResREQ在内的信息生成第二鉴别结果信息PubREQ,利用所述KREQ_AS,采用所述密码算法对包括所述PubAAC在内的信息计算生成AS-REQ的第一消息鉴别码MICAS_REQ,对包括所述PubREQ在内的签名数据计算生成第三数字签名SigAS_REQ3,并向AS-AAC发送第二鉴别响应消息AS-REQVeri,所述AS-REQVeri中包括所述PubAAC、所述MICAS_REQ、所述PubREQ和所述SigAS_REQ3;其中,SigAS_REQ3可替换为MICAS_REQ3,MICAS_REQ3是AS-REQ利用与AS-AAC的预共享密钥,采用与AS-AAC约定的密码算法对包括所述PubREQ在内的信息计算生成的第三消息鉴别码。
AS-AAC接收所述AS-REQVeri后,利用AS-REQ的公钥对所述SigAS_REQ3进行验证,或者利用与AS-REQ的预共享密钥,采用与AS-REQ约定的密码算法验证所述MICAS_REQ3,验证通过后,对包括所述PubREQ在内的签名数据计算生成第一数字签名SigAS_AAC1,并根据包括所述PubAAC、所述MICAS_REQ、所述PubREQ和所述SigAS_AAC1在内的信息生成所述第一鉴别响应消息ASVeri。
S103、AAC接收AS-AAC发送的第一鉴别响应消息ASVeri。
所述ASVeri中包括第一鉴别结果信息PubAAC、AS-REQ的第一消息鉴别码MICAS_REQ、第二鉴别结果信息PubREQ和AS-AAC的第一数字签名SigAS_AAC1
S104、AAC利用AS-AAC的公钥对所述SigAS_AAC1进行验证。
S105、AAC根据所述PubREQ中的ResREQ确定REQ的身份鉴别结果。
由于ResREQ可以反映出REQ是否合法,AAC便可以根据PubREQ中的ResREQ确定REQ是否合法,为确保只有合法的REQ能够访问网络奠定基础。
S106、AAC向REQ发送第三鉴别响应消息AACAuth。
所述AACAuth中包括所述PubAAC和所述MICAS_REQ
需要说明的是,S104至S106的执行顺序并不影响本申请的具体实现,在实际应用中,可根据需求设定S104至S106的执行顺序。优选建议,先执行S104,当AAC对所述SigAS_AAC1验证不通过,则丢弃ASVeri,当AAC对所述SigAS_AAC1验证通过后,再执行S105,当AAC确定REQ为合法时,再执行S106,当AAC确定REQ为不合法时,则AAC根据本地策略选择是否执行S106,考虑到效率,优选方案为不执行并结束本次鉴别过程。
S107、REQ利用与AS-REQ的预共享密钥KREQ_AS,采用与AS-REQ约定的密码算法验证所述MICAS_REQ,若验证通过,则根据所述PubAAC中的ResAAC确定AAC的身份鉴别结果。
由于ResAAC可以反映出AAC是否合法,因此REQ对所述MICAS_REQ验证通过后,便可以根据PubAAC中包括的ResAAC确定AAC是否合法,为确保REQ能够访问合法网络奠定基础;若REQ对所述MICAS_REQ验证不通过,则丢弃所述AACAuth。
由上可知,本申请实施例提供了一种身份鉴别方法,针对请求设备采用预共享密钥,鉴别接入控制器采用数字证书进行鉴别的应用场景,通过引入鉴别服务器,由鉴别接入控制器信任的第一鉴别服务器对鉴别接入控制器的数字证书进行合法性验证得到第一验证结果,由请求设备信任的第二鉴别服务器对请求设备的身份鉴别码进行验证得到第二验证结果,请求设备和鉴别接入控制器分别获取对方实体所对应的验证结果,从而确定对方实体是否合法,实现鉴别接入控制器与请求设备之间的双向身份鉴别,为确保只有合法用户才能与合法网络通信奠定基础。
请参考图1,为保障鉴别结果的可靠性,在S107中REQ确定AAC的身份鉴别结果之前,REQ还要确定AAC的数字签名SigAAC是否验证通过,若确定SigAAC验证通过,REQ再根据PubAAC中的ResAAC确定AAC的身份鉴别结果。其中,REQ确定SigAAC是否验证通过包括以下方式:
一种方式为,当S102的AACVeri中还包括AAC的数字签名SigAAC时,则AS-AAC利用AACVeri中的CertAAC验证所述SigAAC,验证通过后再继续执行后续操作,因此若REQ能够接收到S106的AACAuth,则REQ确定所述SigAAC已验证通过。
另一种方式为,当S106的AACAuth中还包括AAC的数字签名SigAAC时,相应的,所述PubAAC中还包括CertAAC;则在S107中,REQ还要利用所述PubAAC中的CertAAC验证所述SigAAC,根据验证结果确定所述SigAAC是否验证通过。
在另一些实施例中,请求设备和/或鉴别接入控制器产生的随机数、身份标识等信息可以在身份鉴别过程交互的消息中进行传递。在正常情况下,接收的消息中携带的随机数和/或身份标识与发送的消息中携带的随机数和/或身份标识应该相同,但是在遇到网络抖动或攻击等情况时,可能造成消息中参数信息的丢失或篡改。因此本申请的一些实施例中,还可以通过比较收发消息中的随机数和/或身份标识是否一致来保障鉴别结果的可靠性。具体如下:
请参考图1,在S101即AAC接收REQInit之前,AAC先向REQ发送第一消息AACInit,所述AACInit中包括AAC生成的第一随机数NonceAAC,对应的,所述REQInit中还包括NonceAAC。如此,在S102即AAC发送AACVeri之前,AAC先对REQInit中的NonceAAC和AAC生成的NonceAAC(也就是AAC通过AACInit发出去的NonceAAC)的一致性进行验证,若验证通过,则AAC再执行S102;若验证不通过,则AAC丢弃REQInit。
同样的,还可以对身份标识的一致性进行验证。请参考图1,S102的AACVeri中还可以包括AAC的身份标识IDAAC和/或AAC生成的第一随机数NonceAAC,对应地,S103的ASVeri中还包括IDAAC和/或NonceAAC。如此,在S105之前,AAC可以先对ASVeri中的IDAAC和AAC自身的身份标识IDAAC的一致性进行验证,和/或,对ASVeri中的NonceAAC和AAC生成的NonceAAC的一致性进行验证,若验证通过,则AAC再根据PubREQ中的ResREQ确定REQ的身份鉴别结果;若验证不通过,则AAC丢弃ASVeri。
上述实施例中,在S101之前,AAC向REQ发送的AACInit中还可以包括AAC支持的安全能力参数信息Security capabilitiesAAC,所述Security capabilitiesAAC包括AAC支持的身份鉴别套件(身份鉴别套件中包含一种或多种身份鉴别方法)和/或密钥导出算法等,以便REQ根据所述Security capabilitiesAAC选择REQ使用的特定安全策略SecuritycapabilitiesREQ,所述Security capabilitiesREQ表示REQ相应确定使用的身份鉴别方法和/或密钥导出算法等。对应的,S101的REQInit中还可以包括Security capabilitiesREQ,则AAC可以根据所述Security capabilitiesREQ确定使用的安全策略。
为保障鉴别结果的可靠性,REQ也可以对REQ生成的第二随机数NonceREQ和/或REQ的身份标识IDREQ进行一致性进行验证。具体如下:
请参考图1,S102的AACVeri中还可以包括IDREQ和/或NonceREQ,其中,IDREQ和/或NonceREQ是AAC从S101的REQInit中获取的,则S103的ASVeri中还包括IDREQ和/或NonceREQ,S106的AACAuth中还包括IDREQ和/或NonceREQ。则在S107中REQ确定AAC的身份鉴别结果之前,REQ可以先对AACAuth中的IDREQ和REQ自身的身份标识IDREQ的一致性进行验证,和/或,对AACAuth中的NonceREQ和REQ生成的NonceREQ的一致性进行验证,若验证通过,则REQ再根据PubAAC中的ResAAC确定AAC的身份鉴别结果。
在另一些实施例中,若S103的ASVeri中,所述PubREQ中还包括IDREQ,则在S105之前,AAC还可以对所述PubREQ中的IDREQ和S101的REQInit中的IDREQ的一致性进行验证,若验证通过,则AAC再根据所述PubREQ中的ResREQ确定REQ的身份鉴别结果。
本申请实施例还提供了利用AAC和REQ之间信息交互来确定本次鉴别过程所使用的第一鉴别服务器和/或第二鉴别服务器的方法:
一种实现方式为,AAC主动将其信任的至少一个鉴别服务器的身份标识IDAS_AAC发送给REQ,例如在S101之前,AAC向REQ发送的AACInit中还包括所述IDAS_AAC,则REQ可以从IDAS_AAC中选取至少一个鉴别服务器且是自身信任的鉴别服务器作为IDAS_REQ,若选取失败,则REQ将自身信任的至少一个鉴别服务器作为IDAS_REQ(其中,选取成功对应非漫游情况,选取失败对应漫游情况),将该IDAS_REQ添加至S101的REQInit中发送给AAC。进而,AAC可以根据IDAS_AAC和IDAS_REQ确定第一鉴别服务器,例如AAC可以判断IDAS_REQ和IDAS_AAC是否存在至少一个相同的鉴别服务器的身份标识,若存在,即为非漫游情况,AAC从上述至少一个REQ和AAC共同信任的鉴别服务器的身份标识中,确定参与身份鉴别的第一鉴别服务器;若不存在,则为漫游情况,AAC需要根据IDAS_AAC确定参与身份鉴别的第一鉴别服务器AS-AAC,并将IDAS_REQ发送给AS-AAC,以便AS-AAC根据IDAS_REQ确定第二鉴别服务器AS-REQ。
另一种实现方式为,AAC可以不必向REQ发送IDAS_AAC,而由REQ主动将其信任的至少一个鉴别服务器的身份标识IDAS_REQ发送给AAC,例如REQ将IDAS_REQ添加至S101的REQInit中发送给AAC。根据IDAS_REQ和AAC自身信任的鉴别服务器的身份标识IDAS_AAC确定参与身份鉴别的第一鉴别服务器和/或第二鉴别服务器的具体实现方式如前一种实现方式。
由于REQ和AAC信任的鉴别服务器可以相同也可以不同,当REQ和AAC信任的鉴别服务器相同时,即为非漫游情况;当REQ和AAC信任的鉴别服务器不同时,即为漫游的情况。基于前述实施例,下面结合非漫游和漫游的应用场景,对本申请实施例提供的身份鉴别方法进行介绍。其中,针对以下四种情况进行介绍:(一)非漫游情况下,由REQ验证SigAAC的身份鉴别方法;(二)非漫游情况下,由AS-AAC验证SigAAC的身份鉴别方法;(三)漫游情况下,由REQ验证SigAAC的身份鉴别方法;(四)漫游情况下,由AS-AAC验证SigAAC的身份鉴别方法。
参见图2,为上述(一)情况下身份鉴别方法的实施例,此情形下REQ信任的AS-REQ和AAC信任的AS-AAC为同一个鉴别服务器,可以用AS-AAC(当然也可以用AS-REQ)表示REQ和AAC共同信任的鉴别服务器。该身份鉴别方法包括:
S201、AAC生成NonceAAC,根据需要生成Security capabilitiesAAC
S202、AAC向REQ发送第一消息AACInit。
所述AACInit中包括NonceAAC和Security capabilitiesAAC。SecuritycapabilitiesAAC为可选字段,表示AAC支持的安全能力参数信息,包括AAC支持的身份鉴别套件和/或密钥导出算法等(下文同)。
S203、REQ接收到AACInit后,执行下述操作(若无特别说明或逻辑上的关系,本文中以(1)、(2)……编号的动作并不因为有编号而存在必然的先后顺序,全文同),包括:
(1)、生成NonceREQ
(2)、根据需要生成Security capabilitiesREQ
(3)、计算生成REQ的身份鉴别码MICREQ
S204、REQ向AAC发送身份消息REQInit。
所述REQInit中包括NonceAAC、NonceREQ、Security capabilitiesREQ、IDREQ和MICREQ。其中,Security capabilitiesREQ为可选字段,REQ是否生成Security capabilitiesREQ取决于AAC向REQ发送的AACInit中是否携带Security capabilitiesAAC。SecuritycapabilitiesREQ表示REQ根据Security capabilitesAAC作出的特定安全策略的选择,即REQ确定使用的身份鉴别方法和/或密钥导出算法等(下文同)。MICREQ是REQ利用与AS-AAC的预共享密钥KREQ_AS,采用与AS-AAC约定的密码算法对包括REQInit中MICREQ之前的其他字段计算生成的,例如当REQInit中依次包括NonceAAC、NonceREQ、Security capabilitiesREQ、IDREQ及MICREQ时,REQ利用所述KREQ_AS,采用所述密码算法(可以是杂凑算法)对包括NonceAAC、NonceREQ、Security capabilitiesREQ及IDREQ在内的信息进行杂凑运算得到杂凑值,该杂凑值即作为REQ的身份鉴别码MICREQ
S205、AAC检查REQInit中的NonceAAC与AAC生成的NonceAAC是否一致,若一致,则继续执行后续步骤,若不一致,则丢弃REQInit。
S206、AAC向AS-AAC发送第一鉴别请求消息AACVeri。
所述AACVeri中包括REQInit、IDAAC和CertAAC
S207、AS-AAC接收到AACVeri后,执行下述操作,包括:
(1)、验证CertAAC的合法性得到ResAAC,根据包括ResAAC和CertAAC在内的信息生成PubAAC
(2)、验证REQInit中的MICREQ得到ResREQ,根据包括IDREQ和ResREQ在内的信息生成PubREQ
验证MICREQ的过程包括:AS-AAC根据REQInit中的IDREQ确定与REQ的预共享密钥KREQ_AS和约定的密码算法,利用所述KREQ_AS,采用所述密码算法对REQInit中MICREQ之前的其他字段在本地计算出MICREQ,并将其和接收到的MICREQ进行比较,若相同,则MICREQ验证通过,AS-AAC判定REQ的身份鉴别结果为合法,若不同,则MICREQ验证不通过,AS-AAC根据本地策略可有如下处理方式,包括:丢弃AACVeri或判定REQ的身份鉴别结果为不合法等。
(3)、计算AS-AAC的第一消息鉴别码MICAS_AAC和第一数字签名SigAS_AAC1
S208、AS-AAC向AAC发送第一鉴别响应消息ASVeri。
所述ASVeri中包括IDREQ、NonceREQ、PubAAC、MICAS_AAC、IDAAC、NonceAAC、PubREQ和SigAS_AAC1。其中,IDREQ、NonceREQ、IDAAC、NonceAAC应分别等于AACVeri中的相应字段;MICAS_AAC是由AS-AAC利用与REQ的预共享密钥KREQ_AS,采用与REQ约定的密码算法(可以是杂凑算法)对包括IDREQ、NonceREQ、PubAAC在内的信息计算生成的;SigAS_AAC1是由AS-AAC对包括IDAAC、NonceAAC、PubREQ在内的签名数据计算生成的。本申请中,将被签名的对象称为签名数据。
S209、AAC接收到ASVeri后,执行下述操作,包括:
(1)、检查ASVeri中的IDAAC、NonceAAC是否分别与AAC自身的身份标识IDAAC、AAC生成的NonceAAC相同;
(2)、利用AS-AAC的公钥验证SigAS_AAC1
(3)、检查PubREQ中的IDREQ是否与接收的REQInit中的IDREQ相同;
(4)、上述检查与验证中任一步不通过,则立即丢弃ASVeri;上述检查和验证均通过后,根据PubREQ中的ResREQ确定REQ的身份鉴别结果;若AAC确定REQ为不合法时,结束本次鉴别过程;
(5)、计算AAC的数字签名SigAAC
S210、AAC向REQ发送第三鉴别响应消息AACAuth。
所述AACAuth中包括IDREQ、NonceREQ、PubAAC、MICAS_AAC和SigAAC。其中,IDREQ、NonceREQ、PubAAC、MICAS_AAC来源于ASVeri;SigAAC的签名数据包括所述AACAuth中SigAAC之前的其他字段,例如包括IDREQ、NonceREQ、PubAAC及MICAS_AAC
S211、REQ接收到AACAuth后,执行下述操作,包括:
(1)、检查IDREQ、NonceREQ是否分别与REQ自身的身份标识IDREQ、REQ生成的NonceREQ相同;
(2)、验证SigAAC和MICAS_AAC
其中,REQ利用PubAAC中的CertAAC对SigAAC进行验证,利用与AS-AAC的预共享密钥KREQ_AS,采用与AS-AAC约定的密码算法(可以是杂凑算法)对AACAuth中包括IDREQ、NonceREQ、PubAAC在内的信息在本地计算出MICAS_AAC,并将其和接收到的AACAuth中的MICAS_AAC进行比较,若相同,则验证通过,若不同,则验证不通过,从而实现对MICAS_AAC的验证。
(3)、上述检查与验证中任一步不通过,则立即丢弃AACAuth;上述检查和验证均通过后,根据PubAAC中的ResAAC确定AAC的身份鉴别结果。
参见图3,为上述(二)情况下身份鉴别方法的实施例,此情形下REQ信任的AS-REQ和AAC信任的AS-AAC为同一个鉴别服务器,可以用AS-AAC(也可以用AS-REQ)表示REQ和AAC共同信任的鉴别服务器。该身份鉴别方法包括:
S301、AAC生成NonceAAC,根据需要生成Security capabilitiesAAC
S302、AAC向REQ发送第一消息AACInit。
所述AACInit中包括NonceAAC和Security capabilitiesAAC。SecuritycapabilitiesAAC为可选字段。
S303、REQ接收到AACInit后,执行下述操作,包括:
(1)、生成NonceREQ
(2)、根据需要生成Security capabilitiesREQ
(3)、计算REQ的身份鉴别码MICREQ
S304、REQ向AAC发送身份消息REQInit。
所述REQInit中包括NonceAAC、NonceREQ、Security capabilitiesREQ、IDREQ和MICREQ。其中,Security capabilitiesREQ为可选字段,REQ是否生成Security capabilitiesREQ取决于AAC向REQ发送的AACInit中是否携带Security capabilitiesAAC;所述MICREQ的生成参见图2实施例中的相关描述。
S305、AAC接收到REQInit后,执行下述操作,包括:
(1)、检查REQInit中的NonceAAC与AAC生成的NonceAAC是否一致,若不一致,则丢弃REQInit;
(2)、计算SigAAC
S306、AAC向AS-AAC发送第一鉴别请求消息AACVeri。
所述AACVeri中包括REQInit、IDAAC、CertAAC和SigAAC。其中,SigAAC的签名数据包括所述AACVeri中SigAAC之前的其他字段,例如包括REQInit、IDAAC和CertAAC
S307、AS-AAC接收到AACVeri后,执行下述操作,包括:
(1)、利用CertAAC验证SigAAC,若验证不通过,则丢弃AACVeri;
(2)、验证CertAAC的合法性得到ResAAC,根据包括ResAAC在内的信息生成PubAAC
(3)、验证REQInit中的MICREQ得到ResREQ,根据包括IDREQ和ResREQ在内的信息生成PubREQ;MICREQ的验证参见图2实施例中的相关描述;
(4)、计算AS-AAC的第一消息鉴别码MICAS_AAC和第一数字签名SigAS_AAC1
S308、AS-AAC向AAC发送第一鉴别响应消息ASVeri。
所述ASVeri中包括IDREQ、NonceREQ、PubAAC、MICAS_AAC、IDAAC、NonceAAC、PubREQ和SigAS_AAC1。其中,IDREQ、NonceREQ、IDAAC、NonceAAC应分别等于AACVeri中的相应字段;MICAS_AAC是由AS-AAC利用与REQ的预共享密钥KREQ_AS,采用与REQ约定的杂凑算法对包括IDREQ、NonceREQ、PubAAC在内的信息计算生成的;SigAS_AAC1是由AS-AAC对包括IDAAC、NonceAAC、PubREQ在内的签名数据计算生成的。
S309、AAC接收到ASVeri后,执行下述操作,包括:
(1)、检查ASVeri中的IDAAC、NonceAAC是否分别与AAC自身的身份标识IDAAC、AAC生成的NonceAAC相同;
(2)、利用AS-AAC的公钥验证SigAS_AAC1
(3)、检查PubREQ中的IDREQ是否与接收的REQInit中的IDREQ相同;
(4)、上述检查与验证中任一步不通过,则立即丢弃ASVeri;上述检查和验证均通过后,根据PubREQ中的ResREQ确定REQ的身份鉴别结果;若AAC确定REQ为不合法时,则结束本次鉴别过程。
S310、AAC向REQ发送第三鉴别响应消息AACAuth。
所述AACAuth中包括IDREQ、NonceREQ、PubAAC和MICAS_AAC。其中,IDREQ、NonceREQ、PubAAC、MICAS_AAC来源于ASVeri。
S311、REQ接收到AACAuth后,执行下述操作,包括:
(1)、检查IDREQ、NonceREQ是否分别与REQ自身的身份标识IDREQ、REQ生成的NonceREQ相同;
(2)、验证MICAS_AAC,验证过程参见图2实施例中的相关内容描述;
(3)、上述检查与验证中任一步不通过,则立即丢弃AACAuth;上述检查和验证均通过后,根据PubAAC中的ResAAC确定AAC的身份鉴别结果。
参见图4,为上述(三)情况下身份鉴别方法的实施例,此情形下REQ信任的AS-REQ和AAC信任的AS-AAC为两个不同的鉴别服务器。该身份鉴别方法包括:
S401、AAC生成NonceAAC,根据需要生成Security capabilitiesAAC
S402、AAC向REQ发送第一消息AACInit。
所述AACInit中包括NonceAAC、Security capabilitiesAAC和IDAS_AAC。SecuritycapabilitiesAAC和IDAS_AAC为可选字段,且IDAS_AAC表示AAC信任的至少一个鉴别服务器的身份标识,用于使得REQ根据IDAS_AAC确定是否存在共同信任的鉴别服务器(下文同)。
S403、REQ接收到AACInit后,执行下述操作,包括:
(1)、生成NonceREQ
(2)、根据需要生成IDAS_REQ
(3)、根据需要生成Security capabilitiesREQ
(4)、计算REQ的身份鉴别码MICREQ
S404、REQ向AAC发送身份消息REQInit。
所述REQInit中包括NonceAAC、NonceREQ、Security capabilitiesREQ、IDAS_REQ、IDREQ和MICREQ。其中,NonceAAC应等于AACInit中的相应字段;Security capabilitiesREQ和IDAS_REQ为可选字段,且IDAS_REQ表示REQ信任的至少一个鉴别服务器的身份标识,当AACInit中存在IDAS_AAC时,REQ尽量从其信任的鉴别服务器中选择至少一个与IDAS_AAC中相同的鉴别服务器作为IDAS_REQ,若选择失败,则将自身信任的至少一个鉴别服务器作为IDAS_REQ;当AACInit中不存在IDAS_AAC时,REQ将自身信任的至少一个鉴别服务器作为IDAS_REQ。(下文同)。MICREQ是REQ利用与AS-REQ的预共享密钥KREQ_AS,采用与AS-REQ约定的密码算法对包括REQInit中MICREQ之前的其他字段计算生成的。例如,REQ利用所述KREQ_AS,采用与AS-REQ约定的密码算法(可以是杂凑算法)对包括NonceAAC、NonceREQ、Security capabilitiesREQ、IDAS_REQ和IDREQ在内的信息进行杂凑运算得到杂凑值,该杂凑值即作为REQ的身份鉴别码MICREQ
S405、AAC接收到REQInit后,执行下述操作,包括:
(1)、检查REQInit中的NonceAAC与AAC生成的NonceAAC是否一致,若不一致,则丢弃REQInit;
(2)、若REQInit中携带IDAS_REQ且AACInit中携带IDAS_AAC,则AAC判断IDAS_REQ和IDAS_AAC是否存在至少一个相同的鉴别服务器的身份标识,若存在,即为非漫游情况,AAC从上述至少一个REQ和AAC共同信任的鉴别服务器的身份标识中,确定参与身份鉴别的第一鉴别服务器;若不存在,则为漫游情况,AAC需要根据IDAS_AAC确定参与身份鉴别的第一鉴别服务器AS-AAC,并将IDAS_REQ发送给AS-AAC,以便AS-AAC根据IDAS_REQ确定第二鉴别服务器AS-REQ;或者,
若REQInit中携带IDAS_REQ但AACInit中不携带IDAS_AAC,则AAC判断IDAS_REQ和AAC所信任的鉴别服务器是否存在至少一个相同的鉴别服务器的身份标识,若存在,即为非漫游情况,AAC从上述至少一个REQ和AAC共同信任的鉴别服务器的身份标识中,确定参与身份鉴别的第一鉴别服务器;若不存在,则为漫游情况,AAC需要根据自身信任的鉴别服务器确定参与身份鉴别的第一鉴别服务器AS-AAC,并将IDAS_REQ发送给AS-AAC,以便AS-AAC根据IDAS_REQ确定第二鉴别服务器AS-REQ;
需要说明的是,此实施例判断出的结果应为漫游情况。
S406、AAC向AS-AAC发送第一鉴别请求消息AACVeri。
所述AACVeri中包括REQInit、IDAAC和CertAAC
S407、AS-AAC接收到AACVeri后,执行下述操作,包括:
(1)、验证CertAAC的合法性得到ResAAC,根据包括ResAAC和CertAAC在内的信息生成PubAAC
(2)、若AACVeri中的REQInit中存在IDAS_REQ,则AS-AAC根据IDAS_REQ确定第二鉴别服务器AS-REQ;若不存在,则表示AS-AAC已确知AS-REQ;
(3)、计算第二数字签名SigAS_AAC2
S408、AS-AAC向AS-REQ发送第二鉴别请求消息AS-AACVeri。
所述AS-AACVeri中包括REQInit、IDAAC、PubAAC及SigAS_AAC2。其中,SigAS_AAC2的签名数据包括AS-AACVeri中SigAS_AAC2之前的其他字段,例如包括REQInit、IDAAC及PubAAC
S409、AS-REQ接收到AS-AACVeri后,执行下述操作,包括:
(1)、利用AS-AAC的公钥验证SigAS_AAC2,若验证不通过,则丢弃AS-AACVeri;
(2)、验证REQInit中的MICREQ得到ResREQ,根据包括IDREQ和ResREQ在内的信息生成PubREQ
具体的,AS-REQ根据REQInit中的IDREQ确定与REQ的预共享密钥KREQ_AS和约定的密码算法,利用所述KREQ_AS,采用所述密码算法对REQInit中MICREQ之前的其他字段在本地计算出MICREQ,并将其和接收到的MICREQ进行比较,若相同,则MICREQ验证通过,AS-REQ判定REQ的身份鉴别结果为合法,若不同,则MICREQ验证不通过,AS-REQ根据本地策略可有如下处理方式,包括:丢弃AS-AACVeri或判定REQ的身份鉴别结果为不合法等。
(3)、计算AS-REQ的第一消息鉴别码MICAS_REQ和第三数字签名SigAS_REQ3
S410、AS-REQ向AS-AAC发送第二鉴别响应消息AS-REQVeri。
所述AS-REQVeri中包括IDREQ、NonceREQ、PubAAC、MICAS_REQ、IDAAC、NonceAAC、PubREQ和SigAS_REQ3。其中,IDREQ、NonceREQ、PubAAC、IDAAC、NonceAAC应分别等于AS-AACVeri中的相应字段。MICAS_REQ是由AS-REQ利用与REQ的预共享密钥KREQ_AS,采用与REQ约定的密码算法(可以是杂凑算法)对包括IDREQ、NonceREQ、PubAAC在内的信息计算生成的;SigAS_REQ3是由AS-REQ对包括IDAAC、NonceAAC、PubREQ在内的签名数据计算生成的。
S411、AS-AAC接收到AS-REQVeri后,执行下述操作,包括:
(1)、利用AS-REQ的公钥验证SigAS_REQ3;若验证不通过,则丢弃AS-REQVeri;
(2)、计算第一数字签名SigAS_AAC1
S412、AS-AAC向AAC发送第一鉴别响应消息ASVeri。
所述ASVeri中包括IDREQ、NonceREQ、PubAAC、MICAS_REQ、IDAAC、NonceAAC、PubREQ和SigAS_AAC1。其中,IDREQ、NonceREQ、PubAAC、MICAS_REQ、IDAAC、NonceAAC、PubREQ来源于AS-REQVeri。SigAS_AAC1是由AS-AAC对包括IDAAC、NonceAAC、PubREQ在内的签名数据计算生成的。
S413、AAC接收到ASVeri后,执行下述操作,包括:
(1)、检查ASVeri中的IDAAC、NonceAAC是否分别与AAC自身的身份标识IDAAC、AAC生成的NonceAAC相同;
(2)、利用AS-AAC的公钥验证SigAS_AAC1
(3)、检查PubREQ中的IDREQ是否与REQInit中的IDREQ相同;
(4)、上述检查与验证中任一步不通过,则立即丢弃ASVeri;上述检查和验证均通过后,根据PubREQ中的ResREQ确定REQ的身份鉴别结果;若AAC确定REQ为不合法时,则结束本次鉴别过程;
(5)、计算SigAAC
S414、AAC向REQ发送第三鉴别响应消息AACAuth。
所述AACAuth中包括IDREQ、NonceREQ、PubAAC、MICAS_REQ和SigAAC。其中,IDREQ、NonceREQ、PubAAC、MICAS_REQ来源于ASVeri;SigAAC的签名数据包括所述AACAuth中SigAAC之前的其他字段,例如包括IDREQ、NonceREQ、PubAAC及MICAS_REQ
S415、REQ接收到AACAuth后,执行下述操作,包括:
(1)、检查IDREQ、NonceREQ是否分别与REQ自身的身份标识IDREQ、REQ生成的NonceREQ相同;
(2)、验证SigAAC和MICAS_REQ
其中,REQ利用PubAAC中的CertAAC验证SigAAC;利用与AS-REQ的预共享密钥KREQ_AS,采用与AS-REQ约定的杂凑算法对AACAuth中包括IDREQ、NonceREQ、PubAAC在内的信息在本地计算出MICAS_REQ,并将其和接收到的AACAuth中的MICAS_REQ进行比较,若相同,则验证通过,若不同,则验证不通过,从而实现对MICAS_REQ的验证。
(3)、上述检查和验证均通过后,根据PubAAC中的ResAAC确定AAC的身份鉴别结果;上述检查与验证中任一步不通过,则立即丢弃AACAuth。
需要说明的是,S407、S408中的第二数字签名SigAS_AAC2可以替换为第二消息鉴别码MICAS_AAC2,其中,MICAS_AAC2是AS-AAC利用与AS-REQ的预共享密钥,采用与AS-REQ约定的杂凑算法对包括AS-AACVeri中MICAS_AAC2之前的其他字段计算的杂凑值;则S409中AS-REQ验证SigAS_AAC2替换为验证MICAS_AAC2。S409、S410中的第三数字签名SigAS_REQ3可以替换为第三消息鉴别码MICAS_REQ3,其中,MICAS_REQ3是AS-REQ利用与AS-AAC的预共享密钥,采用与AS-AAC约定的杂凑算法对包括AS-REQVeri中的IDAAC、NonceAAC、PubREQ在内的字段计算的杂凑值;则S411中AS-AAC验证SigAS_REQ3替换为验证MICAS_REQ3
参见图5,为上述(四)情况下身份鉴别方法的实施例,此情形下REQ信任的AS-REQ和AAC信任的AS-AAC为两个不同的鉴别服务器。该身份鉴别方法包括:
S501、AAC生成NonceAAC,根据需要生成Security capabilitiesAAC
S502、AAC向REQ发送第一消息AACInit。
所述AACInit中包括NonceAAC、Security capabilitiesAAC和IDAS_AAC。其中,Security capabilitiesAAC和IDAS_AAC为可选字段。
S503、REQ接收到AACInit后,执行下述操作,包括:
(1)、生成NonceREQ
(2)、根据需要生成IDAS_REQ
(3)、根据需要生成Security capabilitiesREQ
(4)、计算生成REQ的身份鉴别码MICREQ
S504、REQ向AAC发送身份消息REQInit。
所述REQInit中包括NonceAAC、NonceREQ、Security capabilitiesREQ、IDAS_REQ、IDREQ和MICREQ。其中,NonceAAC应等于AACInit中的相应字段;Security capabilitiesREQ和IDAS_REQ为可选字段;MICREQ的生成参见图4实施例中的相关描述。
S505、AAC接收到REQInit后,执行下述操作,包括:
(1)、检查REQInit中的NonceAAC与AAC生成的NonceAAC是否一致,若不一致,则丢弃REQInit;
(2)、AAC确定参与身份鉴别的第一鉴别服务器AS-AAC的情况同图4实施例的相关描述;需要说明的是,此实施例判断出的结果应为漫游情况;
(3)、计算数字签名SigAAC
S506、AAC向AS-AAC发送第一鉴别请求消息AACVeri。
所述AACVeri中包括REQInit、IDAAC、CertAAC和SigAAC。其中,SigAAC的签名数据包括所述AACVeri中SigAAC之前的其他字段,例如包括REQInit、IDAAC和CertAAC
S507、AS-AAC接收到AACVeri后,执行下述操作,包括:
(1)、利用AACVeri中的CertAAC验证SigAAC
(2)、验证CertAAC的合法性得到ResAAC,根据包括ResAAC在内的信息生成PubAAC
(3)、AS-AAC确定第二鉴别服务器AS-REQ的情况同图4实施例的相关描述;
(4)、计算生成第二数字签名SigAS_AAC2
S508、AS-AAC向AS-REQ发送第二鉴别请求消息AS-AACVeri。
所述AS-AACVeri中包括REQInit、IDAAC、PubAAC和SigAS_AAC2。SigAS_AAC2的签名数据包括AS-AACVeri中SigAS_AAC2之前的其他字段,例如包括REQInit、IDAAC及PubAAC
S509、AS-REQ接收到AS-AACVeri后,执行下述操作,包括:
(1)、利用AS-AAC的公钥验证SigAS_AAC2,若验证不通过,则丢弃AS-AACVeri;
(2)、验证REQInit中的MICREQ得到ResREQ,根据包括IDREQ和ResREQ在内的信息生成PubREQ;MICREQ的验证参照图4实施例中的相关内容;
(3)、计算AS-REQ的第一消息鉴别码MICAS_REQ和第三数字签名SigAS_REQ3
S510、AS-REQ向AS-AAC发送第二鉴别响应消息AS-REQVeri。
所述AS-REQVeri中包括IDREQ、NonceREQ、PubAAC、MICAS_REQ、IDAAC、NonceAAC、PubREQ和SigAS_REQ3。其中,IDREQ、NonceREQ、PubAAC、IDAAC、NonceAAC应分别等于AS-AACVeri中的相应字段;MICAS_REQ是由AS-REQ利用与REQ的预共享密钥KREQ_AS,采用与REQ约定的杂凑算法对包括IDREQ、NonceREQ、PubAAC在内的信息计算生成的;SigAS_REQ3是由AS-REQ对包括IDAAC、NonceAAC、PubREQ在内的签名数据计算生成的。
S511、AS-AAC接收到AS-REQVeri后,执行下述操作,包括:
(1)、利用AS-REQ的公钥验证SigAS_REQ3;若验证不通过,则丢弃AS-REQVeri;
(2)、计算第一数字签名SigAS_AAC1
S512、AS-AAC向AAC发送第一鉴别响应消息ASVeri。
所述ASVeri中包括IDREQ、NonceREQ、PubAAC、MICAS_REQ、IDAAC、NonceAAC、PubREQ和SigAS_AAC1。其中,IDREQ、NonceREQ、PubAAC、MICAS_REQ、IDAAC、NonceAAC、PubREQ来源于AS-REQVeri。SigAS_AAC1是由AS-AAC对包括IDAAC、NonceAAC、PubREQ在内的签名数据计算生成的。
S513、AAC接收到ASVeri后,执行下述操作,包括:
(1)、检查ASVeri中的IDAAC、NonceAAC是否分别与AAC自身的身份标识IDAAC、AAC生成的NonceAAC相同;
(2)、利用AS-AAC的公钥验证SigAS_AAC1
(3)、检查PubREQ中的IDREQ是否与REQInit中的IDREQ相同;
(4)、若上述检查与验证中任一步不通过,则立即丢弃ASVeri;上述检查和验证均通过后,根据PubREQ中的ResREQ确定REQ的身份鉴别结果;若AAC确定REQ为不合法时,结束本次鉴别过程;
S514、AAC向REQ发送第三鉴别响应消息AACAuth。
所述AACAuth中包括IDREQ、NonceREQ、PubAAC和MICAS_REQ。其中,AACAuth中的字段均来源于ASVeri。
S515、REQ接收到AACAuth后,执行下述操作,包括:
(1)、检查IDREQ、NonceREQ是否分别与REQ自身的身份标识IDREQ、REQ生成的NonceREQ相同;
(2)、验证MICAS_REQ,验证过程参见图4实施例中的相关描述;
(3)、上述检查和验证均通过后,根据PubAAC中的ResAAC确定AAC的身份鉴别结果;若上述检查与验证中任一步不通过,则立即丢弃AACAuth。
需要说明的是,S507、S508中的第二数字签名SigAS_AAC2可以替换为第二消息鉴别码MICAS_AAC2,其中,MICAS_AAC2是AS-AAC利用与AS-REQ的预共享密钥,采用与AS-REQ约定的杂凑算法对包括AS-AACVeri中MICAS_AAC2之前的其他字段计算的杂凑值;则S509中AS-REQ验证SigAS_AAC2替换为验证MICAS_AAC2。S509、S510中的第三数字签名SigAS_REQ3可以替换为第三消息鉴别码MICAS_REQ3,其中,MICAS_REQ3是AS-REQ利用与AS-AAC的预共享密钥,采用与AS-AAC约定的杂凑算法对包括AS-REQVeri中的IDAAC、NonceAAC、PubREQ在内的字段计算的杂凑值;则S511中AS-AAC验证SigAS_REQ3替换为验证MICAS_REQ3
在上述各实施例中,每条消息还可以携带一个杂凑值HASHX_Y,该杂凑值HASHX_Y是该消息的发送方实体X利用杂凑算法对接收到的对端实体Y发送的最新前序消息计算得到的,用于对端实体Y来验证实体X是否接收到完整的最新前序消息。其中,HASHREQ_AAC表示REQ对接收到的AAC发送的最新前序消息计算的杂凑值,HASHAAC_REQ表示AAC对接收到的REQ发送的最新前序消息计算的杂凑值,HASHAAC_AS-AAC表示AAC对接收到的AS-AAC发送的最新前序消息计算的杂凑值,HASHAS-AAC_AAC表示AS-AAC对接收到的AAC发送的最新前序消息计算的杂凑值,HASHAS-AAC_AS-REQ表示AS-AAC对接收到的AS-REQ发送的最新前序消息计算的杂凑值,HASHAS-REQ_AS-AAC表示AS-REQ对接收到的AS-AAC发送的最新前序消息计算的杂凑值。若发送方实体X当前发送的消息为实体X和实体Y之间交互的首条消息,意味着实体X未曾收到对端实体Y发送的前序消息,则该条消息中HASHX_Y可以不存在或者无意义。
对应的,对端实体Y接收到实体X发送的消息后,若该条消息中包含HASHX_Y,则当实体Y未曾向实体X发送过前序消息时,实体Y忽略HASHX_Y;当实体Y曾向实体X发送过前序消息时,实体Y利用杂凑算法对之前向实体X发送的最新前序消息在本地计算杂凑值,并与接收到的消息中携带的杂凑值HASHX_Y比较,若一致,则执行后续步骤,否则丢弃或者结束本次鉴别过程。
本发明中,对实体X而言,对端实体Y向实体X发送的前序消息指的是:实体X向对端实体Y发送消息M之前,接收过的对端实体Y向实体X发送的消息;对端实体Y向实体X发送的最新前序消息指的是:实体X向对端实体Y发送消息M之前,接收的对端实体Y向实体X发送的最新一条消息。若实体X向其对端实体Y发送的消息M是实体X和实体Y之间交互的第一条消息,则实体X向其对端实体Y发送消息M之前,不存在对端实体Y向实体X发送的前序消息。
上述图2至图5所对应实施例中的可选字段和可选操作,在说明书附图的图2至图5中用“*”表示。以上所有实施例涉及的消息中所包括的各个内容不限定顺序,并且在没有特别说明的情况下,不限定消息接收方收到该消息后对相关消息的操作顺序以及对消息中所包括的内容进行处理的顺序。
基于图1至图5所对应的实施例,参见图6,本申请实施例还提供了一种请求设备600,包括:
生成模块610,用于利用与所述请求设备信任的第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成所述请求设备的身份鉴别码;
发送模块620,用于向鉴别接入控制器发送身份消息,所述身份消息中包括所述请求设备的身份标识和所述请求设备的身份鉴别码;
接收模块630,用于接收所述鉴别接入控制器发送的第三鉴别响应消息,所述第三鉴别响应消息中包括第一鉴别结果信息和所述第二鉴别服务器的第一消息鉴别码;所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果,所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥,采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的;
验证模块640,用于利用与所述第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法验证所述第二鉴别服务器的第一消息鉴别码;
确定模块650,用于若验证通过,则根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。
可选的,接收模块630还用于:接收所述鉴别接入控制器发送的第一消息,所述第一消息中包括所述鉴别接入控制器生成的第一随机数;
对应的,发送模块620发送的身份消息中还包括所述第一随机数。
可选的,接收模块630接收的第一消息中还包括所述鉴别接入控制器支持的安全能力参数信息;确定模块650还用于:根据所述安全能力参数信息确定所述请求设备使用的特定安全策略;
对应的,发送模块620发送的身份消息中还包括所述特定安全策略。
可选的,接收模块630接收的第一消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识;确定模块650还用于:根据所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识,确定所述请求设备信任的至少一个鉴别服务器的身份标识;则发送模块620发送的身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识。
可选的,发送模块620发送的身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识。
可选的,接收模块630接收的第三鉴别响应消息还包括所述请求设备的身份标识和/或第二随机数;验证模块640还用于:对所述第三鉴别响应消息中所述请求设备的身份标识和所述请求设备自身的身份标识的一致性进行验证,和/或,对所述第三鉴别响应消息中的第二随机数和所述请求设备生成的第二随机数的一致性进行验证;若验证通过,则确定模块650再根据第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。
可选的,确定模块650还用于:确定所述鉴别接入控制器的数字签名是否验证通过,若确定所述鉴别接入控制器的数字签名验证通过,则再根据第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。
可选的,确定模块650确定所述鉴别接入控制器的数字签名是否验证通过具体包括:
当所述鉴别接入控制器向其信任的第一鉴别服务器发送的第一鉴别请求消息中还包括所述鉴别接入控制器的数字签名时,所述第一鉴别服务器利用所述第一鉴别请求消息中的所述鉴别接入控制器的数字证书,对所述鉴别接入控制器的数字签名进行验证,若接收模块630接收到所述第三鉴别响应消息,则确定所述鉴别接入控制器的数字签名已验证通过;
当接收模块630接收的第三鉴别响应消息中还包括所述鉴别接入控制器的数字签名时,相应的,所述第一鉴别结果信息中还包括所述鉴别接入控制器的数字证书;则利用所述第一鉴别结果信息中的所述鉴别接入控制器的数字证书对所述鉴别接入控制器的数字签名进行验证,根据验证结果确定所述鉴别接入控制器的数字签名是否验证通过。
可选的,所述请求设备向所述鉴别接入控制器发送的消息还包括所述请求设备对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值。
参见图7,本申请实施例还提供了一种鉴别接入控制器700,包括:
接收模块710,用于接收请求设备发送的身份消息,所述身份消息中包括所述请求设备的身份标识和所述请求设备的身份鉴别码,所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的;
发送模块720,用于向所述鉴别接入控制器信任的第一鉴别服务器发送第一鉴别请求消息,所述第一鉴别请求消息中包括所述身份消息和所述鉴别接入控制器的数字证书;
接收模块710还用于接收所述第一鉴别服务器发送的第一鉴别响应消息,所述第一鉴别响应消息中包括第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、第二鉴别结果信息和所述第一鉴别服务器的第一数字签名;所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果,所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥,采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的,所述第二鉴别结果信息中包括对所述请求设备的身份鉴别码的第二验证结果,所述第一数字签名是所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成的数字签名;
验证模块730,用于利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证;若验证通过,则确定模块740根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;当确定模块740确定所述请求设备的身份鉴别结果为合法时,发送模块720向所述请求设备发送第三鉴别响应消息;或者,
验证模块730,用于利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证,若验证通过,则发送模块720向所述请求设备发送第三鉴别响应消息以及确定模块740根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;或者,
验证模块730,用于利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证;若所述第一数字签名验证通过,则确定模块740根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;发送模块720向所述请求设备发送第三鉴别响应消息;
其中,所述第三鉴别响应消息中包括所述第一鉴别结果信息和所述第二鉴别服务器的第一消息鉴别码。
可选的,发送模块720还用于:向所述请求设备发送第一消息,所述第一消息中包括所述鉴别接入控制器生成的第一随机数;
对应的,接收模块710接收的身份消息中还包括所述第一随机数;
则验证模块730还用于:对所述身份消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;若验证通过,则发送模块720再向所述鉴别接入控制器信任的第一鉴别服务器发送第一鉴别请求消息。
可选的,发送模块720发送的第一消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识;
则接收模块710接收的身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识;所述请求设备信任的至少一个鉴别服务器的身份标识是所述请求设备根据所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识确定的;
确定模块740还用于:根据所述身份消息中所述请求设备信任的至少一个鉴别服务器的身份标识和所述第一消息中所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识,确定所述第一鉴别服务器。
可选的,接收模块710接收的身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识;确定模块740还用于:根据所述请求设备信任的至少一个鉴别服务器的身份标识和所述鉴别接入控制器信任的鉴别服务器的身份标识,确定所述第一鉴别服务器。
可选的,发送模块720发送的第一鉴别请求消息中还包括所述鉴别接入控制器的身份标识和/或所述鉴别接入控制器生成的第一随机数;
对应的,接收模块710接收的第一鉴别响应消息中还包括所述鉴别接入控制器的身份标识和/或所述第一随机数;
验证模块730还用于:对所述第一鉴别响应消息中所述鉴别接入控制器的身份标识和所述鉴别接入控制器自身的身份标识的一致性进行验证,和/或,对所述第一鉴别响应消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;若验证通过,则确定模块740再根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果。
可选的,接收模块710接收的第一鉴别响应消息中的第二鉴别结果信息中还包括所述请求设备的身份标识;
验证模块730还用于:对所述第二鉴别结果信息中的所述请求设备的身份标识和所述身份消息中的所述请求设备的身份标识的一致性进行验证;若验证通过,则确定模块740再根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果。
可选的,所述鉴别接入控制器向所述请求设备发送的消息还包括所述鉴别接入控制器对接收到的所述请求设备发送的最新前序消息计算的杂凑值;所述鉴别接入控制器向所述第一鉴别服务器发送的消息还包括所述鉴别接入控制器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值。
参见图8,本申请实施例还提供了一种第一鉴别服务器800,包括:
接收模块810,用于接收鉴别接入控制器发送的第一鉴别请求消息,所述第一鉴别请求消息中包括身份消息和所述鉴别接入控制器的数字证书;所述身份消息中包括请求设备的身份标识和所述请求设备的身份鉴别码,所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的;
发送模块820,用于向所述鉴别接入控制器发送第一鉴别响应消息,所述第一鉴别响应消息中包括第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、第二鉴别结果信息和所述第一鉴别服务器的第一数字签名;所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果,所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥,采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的,所述第二鉴别结果信息中包括对所述请求设备的身份鉴别码的第二验证结果,所述第一数字签名是所述第一鉴别服务器对包括所述第二鉴别结果信息在内的信息计算生成的数字签名。
可选的,第一鉴别服务器800还包括:
第一验证模块,用于对所述鉴别接入控制器的数字证书进行合法性验证得到第一验证结果,对所述请求设备的身份鉴别码进行验证得到第二验证结果;
第一生成模块,用于根据包括所述第一验证结果在内的信息生成所述第一鉴别结果信息,根据包括所述第二验证结果在内的信息生成所述第二鉴别结果信息,对包括所述第一鉴别结果信息在内的信息计算生成第一鉴别服务器的第一消息鉴别码,对包括所述第二鉴别结果信息在内的签名数据计算生成第一数字签名;
第二生成模块,用于根据包括所述第一鉴别结果信息、所述第一鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第一数字签名在内的信息计算生成所述第一鉴别响应消息。
可选的,第一鉴别服务器800还包括:
第二验证模块,用于对所述鉴别接入控制器的数字证书进行合法性验证得到第一验证结果;
第三生成模块,用于根据包括所述第一验证结果在内的信息生成所述第一鉴别结果信息,对包括所述第一鉴别结果信息和所述身份消息在内的签名数据计算生成第二数字签名或对包括所述第一鉴别结果信息和所述身份消息在内的信息计算生成第二消息鉴别码;
发送模块820还用于:向所述第二鉴别服务器发送第二鉴别请求消息,所述第二鉴别请求消息中包括所述第一鉴别结果信息、所述身份消息和所述第二数字签名或所述第二鉴别请求消息中包括所述第一鉴别结果信息、所述身份消息和所述第二消息鉴别码;由所述第二鉴别服务器利用所述第一鉴别服务器的公钥验证所述第二数字签名或由所述第二鉴别服务器利用与所述第一鉴别服务器的预共享密钥验证所述第二消息鉴别码,若验证通过,则由所述第二鉴别服务器对所述身份消息中所述请求设备的身份鉴别码进行验证得到第二验证结果,根据包括所述第二验证结果在内的信息生成所述第二鉴别结果信息,对包括所述第一鉴别结果信息在内的信息计算生成第二鉴别服务器的第一消息鉴别码,对包括所述第二鉴别结果信息在内的签名数据计算生成第三数字签名或对包括所述第二鉴别结果信息在内的信息计算生成第三消息鉴别码;
接收模块810还用于:接收所述第二鉴别服务器发送的第二鉴别响应消息,所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三数字签名或所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三消息鉴别码;
第二验证模块还用于:利用所述第二鉴别服务器的公钥验证所述第三数字签名或利用与所述第二鉴别服务器的预共享密钥验证所述第三消息鉴别码;
第三生成模块还用于:若所述第三数字签名或所述第三消息鉴别码验证通过,则对包括所述第二鉴别结果信息在内的签名数据计算生成第一数字签名,根据包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第一数字签名在内的信息生成所述第一鉴别响应消息。
可选的,所述第一鉴别服务器向所述鉴别接入控制器发送的消息还包括所述第一鉴别服务器对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值;所述第一鉴别服务器向所述第二鉴别服务器发送的消息还包括所述第一鉴别服务器对接收到的所述第二鉴别服务器发送的最新前序消息计算的杂凑值。
参见图9,本申请实施例还提供了一种第二鉴别服务器900,包括:
接收模块910,用于接收第一鉴别服务器发送的第二鉴别请求消息,所述第二鉴别请求消息中包括第一鉴别结果信息、身份消息和第二数字签名或所述第二鉴别请求消息中包括第一鉴别结果信息、身份消息和第二消息鉴别码;所述第一鉴别结果信息是所述第一鉴别服务器对鉴别接入控制器的数字证书进行合法性验证得到第一验证结果,并根据包括所述第一验证结果在内的信息生成的;所述身份消息中包括请求设备的身份标识和所述请求设备的身份鉴别码,所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的;所述第二数字签名是所述第一鉴别服务器对包括所述第一鉴别结果信息和所述身份消息在内的签名数据计算生成,或所述第二消息鉴别码是所述第一鉴别服务器对包括所述第一鉴别结果信息和所述身份消息在内的信息计算生成的;
验证模块920,用于利用所述第一鉴别服务器的公钥验证所述第二数字签名或利用与所述第一鉴别服务器的预共享密钥验证所述第二消息鉴别码,若验证通过,对所述身份消息中所述请求设备的身份鉴别码进行验证得到第二验证结果;
生成模块930,用于根据包括所述第二验证结果在内的信息生成第二鉴别结果信息,对包括所述第一鉴别结果信息在内的信息计算生成第二鉴别服务器的第一消息鉴别码,并对包括所述第二鉴别结果信息在内的签名数据计算生成第三数字签名或对包括所述第二鉴别结果信息在内的信息计算生成第三消息鉴别码;
发送模块940,用于向所述第一鉴别服务器发送第二鉴别响应消息,所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三数字签名或所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三消息鉴别码。
可选的,所述第二鉴别服务器向所述第一鉴别服务器发送的消息还包括所述第二鉴别服务器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质可以是下述介质中的至少一种:只读存储器(英文:Read-Only Memory,缩写:ROM)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备及系统实施例而言,由于其与方法实施例相一致和对应,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅是示意性的,其中作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本申请的一种具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。

Claims (36)

1.一种身份鉴别方法,其特征在于,所述方法包括:
鉴别接入控制器接收请求设备发送的身份消息,所述身份消息中包括所述请求设备的身份标识和所述请求设备的身份鉴别码;所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的;
所述鉴别接入控制器向其信任的第一鉴别服务器发送第一鉴别请求消息,所述第一鉴别请求消息中包括所述身份消息和所述鉴别接入控制器的数字证书;
所述鉴别接入控制器接收所述第一鉴别服务器发送的第一鉴别响应消息,所述第一鉴别响应消息中包括第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、第二鉴别结果信息和所述第一鉴别服务器的第一数字签名;所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果,所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥,采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的,所述第二鉴别结果信息中包括对所述请求设备的身份鉴别码的第二验证结果,所述第一数字签名是所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成的数字签名;
所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证,若验证通过,则所述鉴别接入控制器根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;当所述鉴别接入控制器确定所述请求设备的身份鉴别结果为合法时,向所述请求设备发送第三鉴别响应消息;或者,
所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证,若验证通过,则所述鉴别接入控制器向所述请求设备发送第三鉴别响应消息以及根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;或者,
所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证;若所述第一数字签名验证通过,则所述鉴别接入控制器根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;所述鉴别接入控制器向所述请求设备发送第三鉴别响应消息;
其中,所述第三鉴别响应消息中包括所述第一鉴别结果信息和所述第二鉴别服务器的第一消息鉴别码;
所述请求设备接收到所述第三鉴别响应消息后,利用与所述第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法验证所述第二鉴别服务器的第一消息鉴别码,若验证通过,则所述请求设备根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。
2.根据权利要求1所述的方法,其特征在于,在所述鉴别接入控制器接收请求设备发送的身份消息之前,所述方法还包括:
所述鉴别接入控制器向所述请求设备发送第一消息,所述第一消息中包括所述鉴别接入控制器生成的第一随机数;
对应的,所述身份消息中还包括所述第一随机数。
3.根据权利要求2所述的方法,其特征在于,所述第一消息中还包括所述鉴别接入控制器支持的安全能力参数信息,所述方法还包括:
所述请求设备根据所述安全能力参数信息确定所述请求设备使用的特定安全策略;
则所述身份消息中还包括所述特定安全策略。
4.根据权利要求2所述的方法,其特征在于,在所述鉴别接入控制器向其信任的第一鉴别服务器发送第一鉴别请求消息之前,所述方法还包括:
所述鉴别接入控制器对所述身份消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;
若验证通过,则所述鉴别接入控制器再发送所述第一鉴别请求消息。
5.根据权利要求2所述的方法,其特征在于,所述第一消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识;则所述方法还包括:
所述请求设备根据所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识,确定所述请求设备信任的至少一个鉴别服务器的身份标识;
则所述身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识;
则所述方法还包括:
所述鉴别接入控制器根据所述身份消息中所述请求设备信任的至少一个鉴别服务器的身份标识和所述第一消息中所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识,确定所述第一鉴别服务器。
6.根据权利要求1所述的方法,其特征在于,所述身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识;则所述方法还包括:
所述鉴别接入控制器根据所述请求设备信任的至少一个鉴别服务器的身份标识和所述鉴别接入控制器信任的鉴别服务器的身份标识,确定所述第一鉴别服务器。
7.根据权利要求2所述的方法,其特征在于,所述第一鉴别请求消息中还包括所述鉴别接入控制器的身份标识和/或所述鉴别接入控制器生成的第一随机数;
对应的,所述第一鉴别响应消息中还包括所述鉴别接入控制器的身份标识和/或所述第一随机数;
则在所述鉴别接入控制器确定所述请求设备的身份鉴别结果之前,所述方法还包括:
所述鉴别接入控制器对所述第一鉴别响应消息中所述鉴别接入控制器的身份标识和所述鉴别接入控制器自身的身份标识的一致性进行验证,和/或,对所述第一鉴别响应消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;
若验证通过,则所述鉴别接入控制器再根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果。
8.根据权利要求2所述的方法,其特征在于,所述第一鉴别请求消息中还包括所述请求设备的身份标识和/或所述请求设备生成的第二随机数;所述请求设备的身份标识和/或所述第二随机数是所述鉴别接入控制器从所述身份消息中获取的;
对应的,所述第一鉴别响应消息中还包括所述请求设备的身份标识和/或所述第二随机数;以及,所述第三鉴别响应消息还包括所述请求设备的身份标识和/或所述第二随机数;
则在所述请求设备确定所述鉴别接入控制器的身份鉴别结果之前,所述方法还包括:
所述请求设备对所述第三鉴别响应消息中所述请求设备的身份标识和所述请求设备自身的身份标识的一致性进行验证,和/或,对所述第三鉴别响应消息中的第二随机数和所述请求设备生成的第二随机数的一致性进行验证;
若验证通过,则所述请求设备再根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。
9.根据权利要求1所述的方法,其特征在于,在所述请求设备确定所述鉴别接入控制器的身份鉴别结果之前,所述方法还包括:
所述请求设备确定所述鉴别接入控制器的数字签名是否验证通过,若确定所述鉴别接入控制器的数字签名验证通过,则再根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。
10.根据权利要求9所述的方法,其特征在于,所述请求设备确定所述鉴别接入控制器的数字签名是否验证通过具体包括:
当所述第一鉴别请求消息中还包括所述鉴别接入控制器的数字签名时,所述第一鉴别服务器利用所述第一鉴别请求消息中的所述鉴别接入控制器的数字证书,对所述鉴别接入控制器的数字签名进行验证,若所述请求设备接收到所述第三鉴别响应消息,则所述请求设备确定所述鉴别接入控制器的数字签名已验证通过;
当所述第三鉴别响应消息中还包括所述鉴别接入控制器的数字签名时,相应的,所述第一鉴别结果信息中还包括所述鉴别接入控制器的数字证书;则所述请求设备利用所述第一鉴别结果信息中的所述鉴别接入控制器的数字证书对所述鉴别接入控制器的数字签名进行验证,根据验证结果确定所述鉴别接入控制器的数字签名是否验证通过。
11.根据权利要求1所述的方法,其特征在于,所述第二鉴别结果信息中还包括所述请求设备的身份标识,则在所述鉴别接入控制器确定所述请求设备的身份鉴别结果之前,所述方法还包括:
所述鉴别接入控制器对所述第二鉴别结果信息中的所述请求设备的身份标识和所述身份消息中的所述请求设备的身份标识的一致性进行验证;
若验证通过,则所述鉴别接入控制器再根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果。
12.根据权利要求1至11任一项所述的方法,其特征在于,所述鉴别接入控制器信任的第一鉴别服务器和所述请求设备信任的第二鉴别服务器是同一个鉴别服务器,则所述方法还包括:
所述第一鉴别服务器对所述鉴别接入控制器的数字证书进行合法性验证得到第一验证结果,对所述请求设备的身份鉴别码进行验证得到第二验证结果,根据包括所述第一验证结果在内的信息生成所述第一鉴别结果信息,根据包括所述第二验证结果在内的信息生成所述第二鉴别结果信息,对包括所述第一鉴别结果信息在内的信息计算生成第一鉴别服务器的第一消息鉴别码,对包括所述第二鉴别结果信息在内的签名数据计算生成第一数字签名,根据包括所述第一鉴别结果信息、所述第一鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第一数字签名在内的信息生成所述第一鉴别响应消息。
13.根据权利要求1至11任一项所述的方法,其特征在于,所述鉴别接入控制器信任的第一鉴别服务器和所述请求设备信任的第二鉴别服务器是两个不同的鉴别服务器;则所述方法还包括:
所述第一鉴别服务器对所述鉴别接入控制器的数字证书进行合法性验证得到第一验证结果,根据包括所述第一验证结果在内的信息生成所述第一鉴别结果信息,对包括所述第一鉴别结果信息和所述身份消息在内的签名数据计算生成第二数字签名或对包括所述第一鉴别结果信息和所述身份消息在内的信息计算生成第二消息鉴别码;
所述第一鉴别服务器向第二鉴别服务器发送第二鉴别请求消息,所述第二鉴别请求消息中包括所述第一鉴别结果信息、所述身份消息和所述第二数字签名或所述第二鉴别请求消息中包括所述第一鉴别结果信息、所述身份消息和所述第二消息鉴别码;由所述第二鉴别服务器利用所述第一鉴别服务器的公钥验证所述第二数字签名或由所述第二鉴别服务器利用与所述第一鉴别服务器的预共享密钥验证所述第二消息鉴别码,若验证通过,则由所述第二鉴别服务器对所述身份消息中所述请求设备的身份鉴别码进行验证得到第二验证结果,根据包括所述第二验证结果在内的信息生成所述第二鉴别结果信息,对包括所述第一鉴别结果信息在内的信息计算生成第二鉴别服务器的第一消息鉴别码,对包括所述第二鉴别结果信息在内的签名数据计算生成第三数字签名或对包括所述第二鉴别结果信息在内的信息计算生成第三消息鉴别码;
所述第一鉴别服务器接收所述第二鉴别服务器发送的第二鉴别响应消息,所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三数字签名或所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三消息鉴别码;
所述第一鉴别服务器利用所述第二鉴别服务器的公钥验证所述第三数字签名或所述第一鉴别服务器利用与所述第二鉴别服务器的预共享密钥验证所述第三消息鉴别码,若验证通过,则所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成第一数字签名,根据包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第一数字签名在内的信息生成所述第一鉴别响应消息。
14.根据权利要求1至11任一项所述的方法,其特征在于,所述请求设备向所述鉴别接入控制器发送的消息还包括所述请求设备对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值;
则所述鉴别接入控制器收到所述请求设备发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;
所述鉴别接入控制器向所述请求设备发送的消息还包括所述鉴别接入控制器对接收到的所述请求设备发送的最新前序消息计算的杂凑值;
则所述请求设备收到所述鉴别接入控制器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;
所述鉴别接入控制器向所述第一鉴别服务器发送的消息还包括所述鉴别接入控制器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值;
则所述第一鉴别服务器收到所述鉴别接入控制器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;
所述第一鉴别服务器向所述鉴别接入控制器发送的消息还包括所述第一鉴别服务器对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值;
则所述鉴别接入控制器收到所述第一鉴别服务器器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;
所述第一鉴别服务器向所述第二鉴别服务器发送的消息还包括所述第一鉴别服务器对接收到的所述第二鉴别服务器发送的最新前序消息计算的杂凑值;
则所述第二鉴别服务器收到所述第一鉴别服务器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作;
所述第二鉴别服务器向所述第一鉴别服务器发送的消息还包括所述第二鉴别服务器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值;
则所述第一鉴别服务器收到所述第二鉴别服务器发送的消息时,先对接收到的消息中的杂凑值进行验证,验证通过后再执行后续操作。
15.一种请求设备,其特征在于,所述请求设备包括:
生成模块,用于利用与所述请求设备信任的第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成所述请求设备的身份鉴别码;
发送模块,用于向鉴别接入控制器发送身份消息,所述身份消息中包括所述请求设备的身份标识和所述请求设备的身份鉴别码;
接收模块,用于接收所述鉴别接入控制器发送的第三鉴别响应消息,所述第三鉴别响应消息中包括第一鉴别结果信息和所述第二鉴别服务器的第一消息鉴别码;所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果,所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥,采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的;
验证模块,用于利用与所述第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法验证所述第二鉴别服务器的第一消息鉴别码;
确定模块,用于若验证通过,则根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。
16.根据权利要求15所述的请求设备,其特征在于,所述接收模块还用于:接收所述鉴别接入控制器发送的第一消息,所述第一消息中包括所述鉴别接入控制器生成的第一随机数;
对应的,所述发送模块发送的身份消息中还包括所述第一随机数。
17.根据权利要求16所述的请求设备,其特征在于,所述第一消息中还包括所述鉴别接入控制器支持的安全能力参数信息;
所述确定模块还用于:根据所述安全能力参数信息确定所述请求设备使用的特定安全策略;
对应的,所述发送模块发送的身份消息中还包括所述特定安全策略。
18.根据权利要求16所述的请求设备,其特征在于,所述第一消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识;
所述确定模块还用于:根据所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识,确定所述请求设备信任的至少一个鉴别服务器的身份标识;
则所述发送模块发送的身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识。
19.根据权利要求15所述的请求设备,其特征在于,所述发送模块发送的身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识。
20.根据权利要求16所述的请求设备,其特征在于,所述第三鉴别响应消息还包括所述请求设备的身份标识和/或第二随机数;所述验证模块还用于:对所述第三鉴别响应消息中所述请求设备的身份标识和所述请求设备自身的身份标识的一致性进行验证,和/或,对所述第三鉴别响应消息中的第二随机数和所述请求设备生成的第二随机数的一致性进行验证;
若验证通过,则所述确定模块再根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。
21.根据权利要求15所述的请求设备,其特征在于,所述确定模块还用于:确定所述鉴别接入控制器的数字签名是否验证通过,若确定所述鉴别接入控制器的数字签名验证通过,则再根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。
22.根据权利要求21所述的请求设备,其特征在于,所述确定模块确定所述鉴别接入控制器的数字签名是否验证通过具体包括:
当所述鉴别接入控制器向其信任的第一鉴别服务器发送的第一鉴别请求消息中还包括所述鉴别接入控制器的数字签名时,所述第一鉴别服务器利用所述第一鉴别请求消息中的所述鉴别接入控制器的数字证书,对所述鉴别接入控制器的数字签名进行验证,若所述接收模块接收到所述第三鉴别响应消息,则确定所述鉴别接入控制器的数字签名已验证通过;
当所述第三鉴别响应消息中还包括所述鉴别接入控制器的数字签名时,相应的,所述第一鉴别结果信息中还包括所述鉴别接入控制器的数字证书;则利用所述第一鉴别结果信息中的所述鉴别接入控制器的数字证书对所述鉴别接入控制器的数字签名进行验证,根据验证结果确定所述鉴别接入控制器的数字签名是否验证通过。
23.根据权利要求15至22任一项所述的请求设备,其特征在于,所述请求设备向所述鉴别接入控制器发送的消息还包括所述请求设备对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值。
24.一种鉴别接入控制器,其特征在于,所述鉴别接入控制器包括:
接收模块,用于接收请求设备发送的身份消息,所述身份消息中包括所述请求设备的身份标识和所述请求设备的身份鉴别码,所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的;
发送模块,用于向所述鉴别接入控制器信任的第一鉴别服务器发送第一鉴别请求消息,所述第一鉴别请求消息中包括所述身份消息和所述鉴别接入控制器的数字证书;
所述接收模块,还用于接收所述第一鉴别服务器发送的第一鉴别响应消息,所述第一鉴别响应消息中包括第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、第二鉴别结果信息和所述第一鉴别服务器的第一数字签名;所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果,所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥,采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的,所述第二鉴别结果信息中包括对所述请求设备的身份鉴别码的第二验证结果,所述第一数字签名是所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成的数字签名;
验证模块,用于利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证,若验证通过,则确定模块根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;当所述确定模块确定所述请求设备的身份鉴别结果为合法时,所述发送模块向所述请求设备发送第三鉴别响应消息;或者,
用于利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证,若验证通过,则所述发送模块向所述请求设备发送第三鉴别响应消息以及确定模块根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;或者,
用于利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证;若所述第一数字签名验证通过,则确定模块根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果;所述发送模块向所述请求设备发送第三鉴别响应消息;
其中,所述第三鉴别响应消息中包括所述第一鉴别结果信息和所述第二鉴别服务器的第一消息鉴别码。
25.根据权利要求24所述的鉴别接入控制器,其特征在于,所述发送模块还用于:向所述请求设备发送第一消息,所述第一消息中包括所述鉴别接入控制器生成的第一随机数;
对应的,所述接收模块接收的身份消息中还包括所述第一随机数;
则所述验证模块还用于:对所述身份消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;
若验证通过,则所述发送模块再向所述鉴别接入控制器信任的第一鉴别服务器发送第一鉴别请求消息。
26.根据权利要求25所述的鉴别接入控制器,其特征在于,所述发送模块发送的第一消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识;
则所述接收模块接收的身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识;所述请求设备信任的至少一个鉴别服务器的身份标识是所述请求设备根据所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识确定的;
所述确定模块还用于:根据所述身份消息中所述请求设备信任的至少一个鉴别服务器的身份标识和所述第一消息中所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识,确定所述第一鉴别服务器。
27.根据权利要求24所述的鉴别接入控制器,其特征在于,所述接收模块接收的身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识;
所述确定模块还用于:根据所述请求设备信任的至少一个鉴别服务器的身份标识和所述鉴别接入控制器信任的鉴别服务器的身份标识,确定所述第一鉴别服务器。
28.根据权利要求25所述的鉴别接入控制器,其特征在于,所述发送模块发送的第一鉴别请求消息中还包括所述鉴别接入控制器的身份标识和/或所述鉴别接入控制器生成的第一随机数;
对应的,所述接收模块接收的第一鉴别响应消息中还包括所述鉴别接入控制器的身份标识和/或所述第一随机数;
所述验证模块还用于:对所述第一鉴别响应消息中所述鉴别接入控制器的身份标识和所述鉴别接入控制器自身的身份标识的一致性进行验证,和/或,对所述第一鉴别响应消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证;
若验证通过,则所述确定模块再根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果。
29.根据权利要求24所述的鉴别接入控制器,其特征在于,所述接收模块接收的第一鉴别响应消息中的第二鉴别结果信息中还包括所述请求设备的身份标识;
所述验证模块还用于:对所述第二鉴别结果信息中的所述请求设备的身份标识和所述身份消息中的所述请求设备的身份标识的一致性进行验证;
若验证通过,则所述确定模块再根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果。
30.根据权利要求24至29任一项所述的鉴别接入控制器,其特征在于,所述鉴别接入控制器向所述请求设备发送的消息还包括所述鉴别接入控制器对接收到的所述请求设备发送的最新前序消息计算的杂凑值;所述鉴别接入控制器向所述第一鉴别服务器发送的消息还包括所述鉴别接入控制器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值。
31.一种第一鉴别服务器,其特征在于,所述第一鉴别服务器包括:
接收模块,用于接收鉴别接入控制器发送的第一鉴别请求消息,所述第一鉴别请求消息中包括身份消息和所述鉴别接入控制器的数字证书;所述身份消息中包括请求设备的身份标识和所述请求设备的身份鉴别码,所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的;
发送模块,用于向所述鉴别接入控制器发送第一鉴别响应消息,所述第一鉴别响应消息中包括第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、第二鉴别结果信息和所述第一鉴别服务器的第一数字签名;所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果,所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥,采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的,所述第二鉴别结果信息中包括对所述请求设备的身份鉴别码的第二验证结果,所述第一数字签名是所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成的数字签名。
32.根据权利要求31所述的第一鉴别服务器,其特征在于,所述第一鉴别服务器还包括:
第一验证模块,用于对所述鉴别接入控制器的数字证书进行合法性验证得到第一验证结果,对所述请求设备的身份鉴别码进行验证得到第二验证结果;
第一生成模块,用于根据包括所述第一验证结果在内的信息生成所述第一鉴别结果信息,根据包括所述第二验证结果在内的信息生成所述第二鉴别结果信息,对包括所述第一鉴别结果信息在内的信息计算生成第一鉴别服务器的第一消息鉴别码,对包括所述第二鉴别结果信息在内的签名数据计算生成第一数字签名;
第二生成模块,用于根据包括所述第一鉴别结果信息、所述第一鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第一数字签名在内的信息计算生成所述第一鉴别响应消息。
33.根据权利要求31所述的第一鉴别服务器,其特征在于,所述第一鉴别服务器还包括:
第二验证模块,用于对所述鉴别接入控制器的数字证书进行合法性验证得到第一验证结果;
第三生成模块,用于根据包括所述第一验证结果在内的信息生成所述第一鉴别结果信息,对包括所述第一鉴别结果信息和所述身份消息在内的签名数据计算生成第二数字签名或对包括所述第一鉴别结果信息和所述身份消息在内的信息计算生成第二消息鉴别码;
所述发送模块还用于:向所述第二鉴别服务器发送第二鉴别请求消息,所述第二鉴别请求消息中包括所述第一鉴别结果信息、所述身份消息和所述第二数字签名或所述第二鉴别请求消息中包括所述第一鉴别结果信息、所述身份消息和所述第二消息鉴别码;由所述第二鉴别服务器利用所述第一鉴别服务器的公钥验证所述第二数字签名或由所述第二鉴别服务器利用与所述第一鉴别服务器的预共享密钥验证所述第二消息鉴别码,若验证通过,则由所述第二鉴别服务器对所述身份消息中所述请求设备的身份鉴别码进行验证得到第二验证结果,根据包括所述第二验证结果在内的信息生成所述第二鉴别结果信息,对包括所述第一鉴别结果信息在内的信息计算生成第二鉴别服务器的第一消息鉴别码,对包括所述第二鉴别结果信息在内的签名数据计算生成第三数字签名或对包括所述第二鉴别结果信息在内的信息计算生成第三消息鉴别码;
所述接收模块还用于:接收所述第二鉴别服务器发送的第二鉴别响应消息,所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三数字签名或所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三消息鉴别码;
所述第二验证模块还用于:利用所述第二鉴别服务器的公钥验证所述第三数字签名或利用与所述第二鉴别服务器的预共享密钥验证所述第三消息鉴别码;
所述第三生成模块还用于:若所述第三数字签名或所述第三消息鉴别码验证通过,则对包括所述第二鉴别结果信息在内的签名数据计算生成第一数字签名,根据包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第一数字签名在内的信息生成所述第一鉴别响应消息。
34.根据权利要求31至33任一项所述的第一鉴别服务器,其特征在于,所述第一鉴别服务器向所述鉴别接入控制器发送的消息还包括所述第一鉴别服务器对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值;所述第一鉴别服务器向所述第二鉴别服务器发送的消息还包括所述第一鉴别服务器对接收到的所述第二鉴别服务器发送的最新前序消息计算的杂凑值。
35.一种第二鉴别服务器,其特征在于,所述第二鉴别服务器包括:
接收模块,用于接收第一鉴别服务器发送的第二鉴别请求消息,所述第二鉴别请求消息中包括第一鉴别结果信息、身份消息和第二数字签名或所述第二鉴别请求消息中包括第一鉴别结果信息、身份消息和第二消息鉴别码;所述第一鉴别结果信息是所述第一鉴别服务器对鉴别接入控制器的数字证书进行合法性验证得到第一验证结果,并根据包括所述第一验证结果在内的信息生成的;所述身份消息中包括请求设备的身份标识和所述请求设备的身份鉴别码,所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥,采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的;所述第二数字签名是所述第一鉴别服务器对包括所述第一鉴别结果信息和所述身份消息在内的签名数据计算生成,或所述第二消息鉴别码是所述第一鉴别服务器对包括所述第一鉴别结果信息和所述身份消息在内的信息计算生成的;
验证模块,用于利用所述第一鉴别服务器的公钥验证所述第二数字签名或利用与所述第一鉴别服务器的预共享密钥验证所述第二消息鉴别码,若验证通过,对所述身份消息中所述请求设备的身份鉴别码进行验证得到第二验证结果;
生成模块,用于根据包括所述第二验证结果在内的信息生成第二鉴别结果信息,对包括所述第一鉴别结果信息在内的信息计算生成第二鉴别服务器的第一消息鉴别码,并对包括所述第二鉴别结果信息在内的签名数据计算生成第三数字签名或对包括所述第二鉴别结果信息在内的信息计算生成第三消息鉴别码;
发送模块,用于向所述第一鉴别服务器发送第二鉴别响应消息,所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三数字签名或所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三消息鉴别码。
36.根据权利要求35所述的第二鉴别服务器,其特征在于,所述第二鉴别服务器向所述第一鉴别服务器发送的消息还包括所述第二鉴别服务器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值。
CN202011569206.8A 2020-12-26 2020-12-26 一种身份鉴别方法和装置 Pending CN114760037A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202011569206.8A CN114760037A (zh) 2020-12-26 2020-12-26 一种身份鉴别方法和装置
PCT/CN2021/140000 WO2022135378A1 (zh) 2020-12-26 2021-12-21 一种身份鉴别方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011569206.8A CN114760037A (zh) 2020-12-26 2020-12-26 一种身份鉴别方法和装置

Publications (1)

Publication Number Publication Date
CN114760037A true CN114760037A (zh) 2022-07-15

Family

ID=82158809

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011569206.8A Pending CN114760037A (zh) 2020-12-26 2020-12-26 一种身份鉴别方法和装置

Country Status (2)

Country Link
CN (1) CN114760037A (zh)
WO (1) WO2022135378A1 (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101616410B (zh) * 2009-06-25 2011-08-10 中兴通讯股份有限公司 一种蜂窝移动通信网络的接入方法和系统
CN101631113B (zh) * 2009-08-19 2011-04-06 西安西电捷通无线网络通信股份有限公司 一种有线局域网的安全访问控制方法及其系统
US20140133656A1 (en) * 2012-02-22 2014-05-15 Qualcomm Incorporated Preserving Security by Synchronizing a Nonce or Counter Between Systems
CN102739687B (zh) * 2012-07-09 2016-03-23 广州杰赛科技股份有限公司 基于标识的应用服务网络访问方法及系统

Also Published As

Publication number Publication date
WO2022135378A1 (zh) 2022-06-30

Similar Documents

Publication Publication Date Title
CN111654481B (zh) 一种身份认证方法、装置和存储介质
WO2022135391A1 (zh) 身份鉴别方法、装置、存储介质、程序、及程序产品
EP4270860A1 (en) Identity authentication method, authentication access controller, request device, storage medium, program, and program product
CN114696999A (zh) 一种身份鉴别方法和装置
WO2022135379A1 (zh) 一种身份鉴别方法和装置
EP4270866A1 (en) Identity authentication method and apparatus, device, chip, storage medium, and program
US20240064006A1 (en) Identity authentication method and apparatus, storage medium, program, and program product
WO2022135383A1 (zh) 一种身份鉴别方法和装置
CN114760037A (zh) 一种身份鉴别方法和装置
WO2022135380A1 (zh) 一种身份鉴别方法和装置
WO2022135387A1 (zh) 一种身份鉴别方法和装置
WO2022135384A1 (zh) 一种身份鉴别方法和装置
WO2022135386A1 (zh) 一种身份鉴别方法和装置
WO2022135385A1 (zh) 一种身份鉴别方法和装置
WO2022135404A1 (zh) 身份鉴别方法、装置、存储介质、程序、及程序产品
WO2022135418A1 (zh) 一种身份鉴别方法和装置
CN110022559A (zh) 一种网络用户认证方法
EP4262133A1 (en) Identity authentication method, authentication access controller, requesting device, storage medium, program, and program product
US20240064025A1 (en) Identity authentication method and apparatus, device, chip, storage medium, and program
US20240064024A1 (en) Identity authentication method and apparatus, and device, chip, storage medium and program
WO2022135382A1 (zh) 一种身份鉴别方法和装置
CN114760031A (zh) 一种身份鉴别方法和装置
CN114760032A (zh) 一种身份鉴别方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination