WO2022135378A1

WO2022135378A1 - 一种身份鉴别方法和装置

Info

Publication number: WO2022135378A1
Application number: PCT/CN2021/140000
Authority: WO
Inventors: 铁满霞; 曹军; 赵晓荣; 赖晓龙; 李琴; 张变玲; 黄振海
Original assignee: 西安西电捷通无线网络通信股份有限公司
Priority date: 2020-12-26
Filing date: 2021-12-21
Publication date: 2022-06-30
Also published as: CN114760037A

Abstract

本申请公开一种身份鉴别方法和装置，鉴别接入控制器AAC接收请求设备REQ发送的包括REQ的身份标识和REQ的身份鉴别码的身份消息，并向其信任的第一鉴别服务器发送包括身份消息和AAC的数字证书的第一鉴别请求消息，AAC接收第一鉴别服务器发送的第一鉴别响应消息，第一鉴别响应消息包括第一鉴别结果信息、第二鉴别服务器的第一消息鉴别码、第二鉴别结果信息和第一鉴别服务器的第一数字签名，AAC在第一数字签名验证通过后，根据第二鉴别结果信息确定REQ的身份鉴别结果，并向REQ发送第三鉴别响应消息，REQ在第二鉴别服务器的第一消息鉴别码验证通过后，根据第一鉴别结果信息确定AAC的身份鉴别结果，从而实现双向鉴别。

Description

一种身份鉴别方法和装置

相关申请的交叉引用

本申请要求在2020年12月26日提交中国专利局、申请号为202011569206.8、申请名称为“一种身份鉴别方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及网络通信安全技术领域，特别是涉及一种身份鉴别方法和装置。

背景技术

目前，通信网络通常要求在用户和网络接入点之间执行双向身份鉴别，确保合法用户访问合法网络，在已有的实体鉴别方案中，实体的身份要么统一采用数字证书，要么统一采用预共享密钥的形式，但在实际应用中可能面临一端采用数字证书作为身份凭证、另一端采用预共享密钥作为身份凭证的特殊情况，这对实体身份鉴别机制提出了挑战。

发明内容

为了解决上述技术问题，本申请提供了一种身份鉴别方法和装置，能够实现在请求设备采用预共享密钥以及鉴别接入控制器采用数字证书作为身份凭证的情况下实体之间的双向身份鉴别。

鉴于此，本申请第一方面提供了一种身份鉴别方法，包括：

鉴别接入控制器接收请求设备发送的身份消息，所述身份消息中包括所述请求设备的身份标识和所述请求设备的身份鉴别码，所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥、采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的；

所述鉴别接入控制器向其信任的第一鉴别服务器发送第一鉴别请求消息，所述第一鉴别请求消息中包括所述身份消息和所述鉴别接入控制器的数字证书；

所述鉴别接入控制器接收所述第一鉴别服务器发送的第一鉴别响应消息，所述第一鉴别响应消息中包括第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、第二鉴别结果信息和所述第一鉴别服务器的第一数字签名；所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果，所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥、采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的，所述第二鉴别结果信息中包括对所述请求设备的身份鉴别码的第二验证结果，所述第一数字签名是所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成的数字签名；

所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证，若验证通过，则所述鉴别接入控制器根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果；当所述鉴别接入控制器确定所述请求设备的身份鉴别结果为合法时，向所述请求设备发送第三鉴别响应消息；或者，

所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证，若验证通过，则所述鉴别接入控制器向所述请求设备发送第三鉴别响应消息以及根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果；或者，

所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证；若所述第一数字签名验证通过，则所述鉴别接入控制器根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果；所述鉴别接入控制器向所述请求设备发送第三鉴别响应消息；

其中，所述第三鉴别响应消息中包括所述第一鉴别结果信息和所述第二鉴别服务器的第一消息鉴别码；

所述请求设备接收到所述第三鉴别响应消息后，利用与所述第二鉴别服务器的预共享密钥、采用与所述第二鉴别服务器约定的密码算法验证所述第二鉴别服务器的第一消息鉴别码，若验证通过，则所述请求设备根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。

本申请第二方面提供了一种请求设备，包括：

生成模块，用于利用与所述请求设备信任的第二鉴别服务器的预共享密钥、采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成所述请求设备的身份鉴别码；

发送模块，用于向鉴别接入控制器发送身份消息，所述身份消息中包括所述请求设备的身份标识和所述请求设备的身份鉴别码；

接收模块，用于接收所述鉴别接入控制器发送的第三鉴别响应消息，所述第三鉴别响应消息中包括第一鉴别结果信息和所述第二鉴别服务器的第一消息鉴别码；所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果，所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥、采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的；

验证模块，用于利用与所述第二鉴别服务器的预共享密钥、采用与所述第二鉴别服务器约定的密码算法验证所述第二鉴别服务器的第一消息鉴别码；

确定模块，用于若验证通过，则根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。

本申请第三方面提供了一种鉴别接入控制器，包括：

接收模块，用于接收请求设备发送的身份消息，所述身份消息中包括所述请求设备的身份标识和所述请求设备的身份鉴别码，所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥、采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的；

发送模块，用于向所述鉴别接入控制器信任的第一鉴别服务器发送第一鉴别请求消息，所述第一鉴别请求消息中包括所述身份消息和所述鉴别接入控制器的数字证书；

所述接收模块，还用于接收所述第一鉴别服务器发送的第一鉴别响应消息，所述第一鉴别响应消息中包括第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、第二鉴别结果信息和所述第一鉴别服务器的第一数字签名；所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果，所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥、采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的，所述第二鉴别结果信息中包括对所述请求设备的身份鉴别码的第二验证结果，所述第一数字签名是所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成的数字签名；

验证模块，用于利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证；若验证通过，则确定模块根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果；当所述确定模块确定所述请求设备的身份鉴别结果为合法时，所述发送模块向所述请求设备发送第三鉴别响应消息；或者，

用于利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证，若验证通过，则所述发送模块向所述请求设备发送第三鉴别响应消息以及确定模块根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果；或者，

用于利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证；若所述第一数字签名验证通过，则确定模块根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果；所述发送模块向所述请求设备发送第三鉴别响应消息；

其中，所述第三鉴别响应消息中包括所述第一鉴别结果信息和所述第二鉴别服务器的第一消息鉴别码。

本申请第四方面提供了一种第一鉴别服务器，包括：

接收模块，用于接收鉴别接入控制器发送的第一鉴别请求消息，所述第一鉴别请求消息中包括身份消息和所述鉴别接入控制器的数字证书；所述身份消息中包括请求设备的身份标识和所述请求设备的身份鉴别码，所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥、采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的；

发送模块，用于向所述鉴别接入控制器发送第一鉴别响应消息，所述第一鉴别响应消息中包括第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、第二鉴别结果信息和所述第一鉴别服务器的第一数字签名；所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果，所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥、采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的，所述第二鉴别结果信息中包括对所述请求设备的身份鉴别码的第二验证结果，所述第一数字签名是所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成的数字签名。

本申请第五方面提供了一种第二鉴别服务器，包括：

接收模块，用于接收第一鉴别服务器发送的第二鉴别请求消息，所述第二鉴别请求消息中包括第一鉴别结果信息、身份消息和第二数字签名或所述第二鉴别请求消息中包括第一鉴别结果信息、身份消息和第二消息鉴别码；所述第一鉴别结果信息是所述第一鉴别服务器对鉴别接入控制器的数字证书进行合法性验证得到第一验证结果，并根据包括所述第一验证结果在内的信息生成的；所述身份消息中包括请求设备的身份标识和所述请求设备的身份鉴别码，所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥、采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的；所述第二数字签名是所述第一鉴别服务器对包括所述第一鉴别结果信息和所述身份消息在内的签名数据计算生成，或所述第二消息鉴别码是所述第一鉴别服务器对包括所述第一鉴别结果信息和所述身份消息在内的信息计算生成的；

验证模块，用于利用所述第一鉴别服务器的公钥验证所述第二数字签名或利用与所述第一鉴别服务器的预共享密钥验证所述第二消息鉴别码，若验证通过，对所述身份消息中所述请求设备的身份鉴别码进行验证得到第二验证结果；

生成模块，用于根据包括所述第二验证结果在内的信息生成第二鉴别结果信息，对包括所述第一鉴别结果信息在内的信息计算生成第二鉴别服务器的第一消息鉴别码，并对包括所述第二鉴别结果信息在内的签名数据计算生成第三数字签名或对包括所述第二鉴别结果信息在内的信息计算生成第三消息鉴别码；

发送模块，用于向所述第一鉴别服务器发送第二鉴别响应消息，所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三数字签名或所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三消息鉴别码。

本申请第六方面提供了一种请求设备，包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行上述第一方面中请求设备侧的方法。

本申请第七方面提供了一种鉴别接入控制器，包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行上述第一方面中鉴别接入控制器侧的方法。

本申请第八方面提供了一种第一鉴别服务器，包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行上述第一方面中第一鉴别服务器侧的方法。

本申请第九方面提供了一种第二鉴别服务器，包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行上述第一方面中第二鉴别服务器侧的方法。

本申请第十方面提供了一种计算机存储介质，所述计算机存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行上述第一方面所述的方法。

由上可知，在本申请提供的一种身份鉴别方法中，请求设备采用预共享密钥作为其身份凭证，鉴别接入控制器采用数字证书作为其身份凭证，在身份鉴别过程中，请求设备先向鉴别接入控制器发送身份消息，该身份消息中包括请求设备的身份标识和利用预共享密钥生成的请求设备的身份鉴别码；鉴别接入控制器再向自身信任的第一鉴别服务器发送包括该身份消息和自身的数字证书的第一鉴别请求消息，以通过第一鉴别服务器完成对请求设备和鉴别接入控制器的身份鉴别；其中，由请求设备信任的第二鉴别服务器根据请求设备的身份鉴别码实现对请求设备身份合法性的验证，由所述第一鉴别服务器根据鉴别接入控制器的数字证书实现对鉴别接入控制器身份合法性的验证，完成验证后，第一鉴别服务器向鉴别接入控制器发送第一鉴别响应消息，鉴别接入控制器从第一鉴别响应消息中获取请求设备对应的验证结果，以确定请求设备身份是否合法，请求设备从鉴别接入控制器发送的第三鉴别响应消息中获取鉴别接入控制器对应的验证结果，以确定鉴别接入控制器身份是否合法，从而实现鉴别接入控制器和请求设备的双向身份鉴别，为保证只有合法用户才能与合法网络通信奠定基础。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种身份鉴别方法的示意图；

图2为本申请实施例提供的一种身份鉴别方法的示意图，其中“*”表示可选的字段或可选的操作；

图3为本申请实施例提供的一种身份鉴别方法的示意图，其中“*”表示可选的字段或可选的操作；

图4为本申请实施例提供的一种身份鉴别方法的示意图，其中“*”表示可选的字段或可选的操作；

图5为本申请实施例提供的一种身份鉴别方法的示意图，其中“*”表示可选的字段或可选的操作；

图6为本申请实施例提供的一种请求设备REQ的结构框图；

图7为本申请实施例提供的一种鉴别接入控制器AAC的结构框图；

图8为本申请实施例提供的一种第一鉴别服务器AS-AAC的结构框图；

图9为本申请实施例提供的一种第二鉴别服务器AS-REQ的结构框图；

图10为本申请实施例提供的另一种请求设备REQ的结构框图；

图11为本申请实施例提供的另一种鉴别接入控制器AAC的结构框图；

图12为本申请实施例提供的另一种第一鉴别服务器AS-AAC的结构框图；

图13为本申请实施例提供的另一种第二鉴别服务器AS-REQ的结构框图。

具体实施方式

在通信网络中，请求设备可以通过鉴别接入控制器访问网络，为了确保访问网络的请求设备属于合法用户，以及请求设备访问的网络为合法网络，鉴别接入控制器和请求设备之间需要进行双向身份鉴别(Mutual Identity Authentication，简称MIA)。

以目前的无线通信和移动通信场景为例，在请求设备通过鉴别接入控制器接入无线网络的场景下，请求设备可以为手机、个人数字助理(Personal Digital Assistant，简称PDA)、平板电脑等终端设备，鉴别接入控制器可以是无线接入点、无线路由器等网络侧设备。在请求设备通过鉴别接入控制器接入有线网络的场景下，请求设备可以为台式机、笔记本电脑等终端设备，鉴别接入控制器可以是交换机或路由器等网络侧设备。在请求设备通过鉴别接入控制器接入第四/五代移动通信技术(The 4th/5th Generation mobile communication technology，简称4G/5G)网络的场景下，请求设备可以为手机、平板电脑等终端设备，鉴别接入控制器可以为基站等网络侧设备。当然，本申请同样适用于其他有线网络、近距离通信网络等各种数据通信场景。

然而，在目前的实体鉴别方案中，实体的身份凭证要么统一采用数字证书的形式，要么统一采用预共享密钥的形式，而针对实际应用中一端采用数字证书作为身份凭证、另一端采用预共享密钥作为身份凭证的情况，并没有提出简洁、有效的身份鉴别机制。

为解决上述技术问题，本申请实施例提供了一种身份鉴别方法，针对请求设备采用预共享密钥，鉴别接入控制器采用数字证书的鉴别方式的应用场景，通过引入鉴别服务器，由鉴别接入控制器信任的第一鉴别服务器对鉴别接入控制器的数字证书进行合法性验证得到第一验证结果，由请求设备信任的第二鉴别服务器利用与请求设备的预共享密钥对请求设备的身份鉴别码进行验证得到第二验证结果，请求设备和鉴别接入控制器分别依据对方实体所对应的验证结果来确定对方实体是否合法，实现鉴别接入控制器与请求设备之间的双向身份鉴别，为确保只有合法用户才能与合法网络通信奠定基础。

为便于介绍，在本申请实施例中，将以请求设备(REQuester，简称REQ)、鉴别接入控制器(Authentication Access Controller，简称AAC)和鉴别服务器(Authentication Server，简称AS)为例对本申请的身份鉴别方法进行介绍。

其中，AAC信任的AS称为第一鉴别服务器AS-AAC，REQ信任的AS称为第二鉴别服务器AS-REQ。AS-AAC持有符合ISO/IEC 9594-8/ITU X.509、其他标准或其他技术体系规定的数字证书和数字证书对应的私钥，AS-AAC能够验证AAC的身份合法性，AS-REQ能够验证REQ的身份合法性。AS-AAC和AS-REQ可以是同一AS，也可以是不同的AS，当AS-AAC与AS-REQ相同时，即非漫游情况；当AS-AAC与AS-REQ不相同时，即漫游情况，此时，AS-AAC与AS-REQ之间具有有效的预共享密钥，或者，当AS-REQ持有符合ISO/IEC 9594-8/ITU X.509、其他标准或其他技术体系规定的数字证书和数字证书对应的私钥，AS-AAC与AS-REQ相互知晓对方的数字证书或数字证书中的公钥。

REQ可以是参与身份鉴别过程的一个端点，与AAC建立连接，访问AAC提供的服务，且通过AAC访问AS，且与AS-REQ之间具有有效的预共享密钥。AAC可以是参与身份鉴别过程的另一个端点，与REQ建立连接，提供服务，并与REQ通信，且可直接访问AS-AAC，AAC持有符合ISO/IEC 9594-8/ITU X.509、其他标准或其他技术体系规定的数字证书和数字证书对应的私钥，且知晓其信任的AS-AAC的数字证书或数字证书中的公钥。

下面结合图1，说明本申请实施例提供的一种身份鉴别方法，该方法包括：

S101、AAC接收REQ发送的身份消息REQInit。

所述REQInit中包括REQ的身份标识IDREQ和REQ的身份鉴别码MICREQ。其中，MICREQ是REQ利用与其信任的AS-REQ的预共享密钥、采用与AS-REQ约定的密码算法对包括IDREQ在内的信息计算生成的。

作为本申请的一个示例，REQ与AS-REQ约定的密钥算法可以是杂凑算法，REQ利用与AS-REQ的预共享密钥K _{REQ_AS}，采用与AS-REQ约定的杂凑算法对包括REQInit中MIC _REQ字段之前的其他字段，如包括ID _REQ在内的信息，进行杂凑运算得到杂凑值，该杂凑值即作为REQ的身份鉴别码MIC _REQ。

在本实施例中，REQ采用身份鉴别码MIC _REQ作为身份信息，AAC采用AAC的数字证书Cert _AAC作为身份信息，AS-REQ可以对MIC _REQ进行验证以确定REQ身份的合法性，AS-AAC可以对Cert _AAC进行合法性验证以确定AAC身份的合法性。

S102、AAC向其信任的AS-AAC发送第一鉴别请求消息AACVeri。

所述AACVeri中包括REQInit和Cert _AAC。

需要说明的是，当AAC信任的AS-AAC和REQ信任的AS-REQ为同一个鉴别服务器时，REQ和AAC共同信任的鉴别服务器可以用AS-AAC(当然也可以用AS-REQ)来表示。此种情形下，由AS-AAC(也可以表示为AS-REQ)对Cert _AAC和REQInit中的MIC _REQ进行验证。其中，对Cert _AAC进行合法性验证得到第一验证结果Res _AAC，根据所述REQInit中的ID _REQ确定与REQ的预共享密钥K _{REQ_AS}和约定的密码算法，并利用所述K _{REQ_AS}，采用所述密码算法对MIC _REQ进行验证得到第二验证结果Res _REQ，根据包括所述Res _AAC在内的信息生成第一鉴别结果信息Pub _AAC，根据包括所述Res _REQ在内的信息生成第二鉴别结果信息Pub _REQ，再利用所述K _{REQ_AS}，采用所述密码算法对包括所述Pub _AAC在内的信息计算生成AS-AAC的第一消息鉴别码MIC _{AS_AAC}(也可以表示为AS-REQ的第一消息鉴别码MIC _{AS_REQ})，对包括所述Pub _REQ在内的签名数据计算生成第一数字签名Sig _{AS_AAC1}(也可以表示为Sig _{AS_REQ1})，根据包括所述Pub _AAC、所述MIC _{AS_AAC}(也可以表示为MIC _{AS_REQ})、所述Pub _REQ和所述Sig _{AS_AAC1}(也可以表示为Sig _{AS_REQ1})在内的信息生成第一鉴别响应消息ASVeri。

当AAC信任的AS-AAC和REQ信任的AS-REQ为两个不同的鉴别服务器时，此种情形下，由AS-AAC对Cert _AAC进行合法性验证得到第一验证结果Res _AAC，根据包括所述Res _AAC在内的信息生成第一鉴别结果信息Pub _AAC，对包括所述Pub _AAC和所述REQInit在内的签名数据计算生成第二数字签名Sig _{AS_AAC2}，并向AS-REQ发送第二鉴别请求消息AS-AACVeri，所述AS-AACVeri中包括所述Pub _AAC、所述REQInit和所述Sig _{AS_AAC2}；其中，Sig _{AS_AAC2}可替换为MIC _{AS_AAC2}，MIC _{AS_AAC2}是AS-AAC利用与AS-REQ的预共享密钥、采用与AS-REQ约定的密码算法对包括Pub _AAC和REQInit在内的信息计算生成的第二消息鉴别码。

AS-REQ接收所述AS-AACVeri后，利用AS-AAC的公钥对所述Sig _{AS_AAC2}进行验证，或者利用与AS-AAC的预共享密钥、采用与AS-AAC约定的密码算法验证所述MIC _{AS_AAC2}，验证通过后，根据所述REQInit中的ID _REQ确定与REQ的预共享密钥K _{REQ_AS}和约定的密码算法，利用所述K _{REQ_AS}，采用所述密码算法对所述REQInit中的MIC _REQ进行验证得到第二验证结果Res _REQ，根据包括所述Res _REQ在内的信息生成第二鉴别结果信息Pub _REQ，利用所述K _{REQ_AS}，采用所述密码算法对包括所述Pub _AAC在内的信息计算生成AS-REQ的第一消息鉴别码MIC _{AS_REQ}，对包括所述Pub _REQ在内的签名数据计算生成第三数字签名Sig _{AS_REQ3}，并向AS-AAC发送第二鉴别响应消息AS-REQVeri，所述AS-REQVeri中包括所述Pub _AAC、所述MIC _{AS_REQ}、所述Pub _REQ和所述Sig _{AS_REQ3}；其中，Sig _{AS_REQ3}可替换为MIC _{AS_REQ3}，MIC _{AS_REQ3}是AS-REQ利用与AS-AAC的预共享密钥、采用与AS-AAC约定的密码算法对包括所述Pub _REQ在内的信息计算生成的第三消息鉴别码。

AS-AAC接收所述AS-REQVeri后，利用AS-REQ的公钥对所述Sig _{AS_REQ3}进行验证，或者利用与AS-REQ的预共享密钥、采用与AS-REQ约定的密码算法验证所述MIC _{AS_REQ3}，验证通过后，对包括所述Pub _REQ在内的签名数据计算生成第一数字签名Sig _{AS_AAC1}，并根据包括所述Pub _AAC、所述MIC _{AS_REQ}、所述Pub _REQ和所述Sig _{AS_AAC1}在内的信息生成所述第一鉴别响应消息ASVeri。

S103、AAC接收AS-AAC发送的第一鉴别响应消息ASVeri。

所述ASVeri中包括第一鉴别结果信息Pub _AAC、AS-REQ的第一消息鉴别码MIC _{AS_REQ}、第二鉴别结果信息Pub _REQ和AS-AAC的第一数字签名Sig _{AS_AAC1}。

S104、AAC利用AS-AAC的公钥对所述Sig _{AS_AAC1}进行验证。

S105、AAC根据所述Pub _REQ中的Res _REQ确定REQ的身份鉴别结果。

由于Res _REQ可以反映出REQ是否合法，AAC便可以根据Pub _REQ中的Res _REQ确定REQ是否合法，为确保只有合法的REQ能够访问网络奠定基础。

S106、AAC向REQ发送第三鉴别响应消息AACAuth。

所述AACAuth中包括所述Pub _AAC和所述MIC _{AS_REQ}。

需要说明的是，S104至S106的执行顺序并不影响本申请的具体实现，在实际应用中，可根据需求设定S104至S106的执行顺序。优选建议，先执行S104，当AAC对所述Sig _{AS_AAC1}验证不通过，则丢弃ASVeri，当AAC对所述Sig _{AS_AAC1}验证通过后，再执行S105，当AAC确定REQ为合法时，再执行S106，当AAC确定REQ为不合法时，则AAC根据本地策略选择是否执行S106，考虑到效率，优选方案为不执行并结束本次鉴别过程。

S107、REQ利用与AS-REQ的预共享密钥K _{REQ_AS}，采用与AS-REQ约定的密码算法验证所述 MIC _{AS_REQ}，若验证通过，则根据所述Pub _AAC中的Res _AAC确定AAC的身份鉴别结果。

由于Res _AAC可以反映出AAC是否合法，因此REQ对所述MIC _{AS_REQ}验证通过后，便可以根据Pub _AAC中包括的Res _AAC确定AAC是否合法，为确保REQ能够访问合法网络奠定基础；若REQ对所述MIC _{AS_REQ}验证不通过，则丢弃所述AACAuth。

由上可知，本申请实施例提供了一种身份鉴别方法，针对请求设备采用预共享密钥，鉴别接入控制器采用数字证书进行鉴别的应用场景，通过引入鉴别服务器，由鉴别接入控制器信任的第一鉴别服务器对鉴别接入控制器的数字证书进行合法性验证得到第一验证结果，由请求设备信任的第二鉴别服务器对请求设备的身份鉴别码进行验证得到第二验证结果，请求设备和鉴别接入控制器分别获取对方实体所对应的验证结果，从而确定对方实体是否合法，实现鉴别接入控制器与请求设备之间的双向身份鉴别，为确保只有合法用户才能与合法网络通信奠定基础。

请参考图1，为保障鉴别结果的可靠性，在S107中REQ确定AAC的身份鉴别结果之前，REQ还要确定AAC的数字签名Sig _AAC是否验证通过，若确定Sig _AAC验证通过，REQ再根据Pub _AAC中的Res _AAC确定AAC的身份鉴别结果。其中，REQ确定Sig _AAC是否验证通过包括以下方式：

一种方式为，当S102的AACVeri中还包括AAC的数字签名Sig _AAC时，则AS-AAC利用AACVeri中的Cert _AAC验证所述Sig _AAC，验证通过后再继续执行后续操作，因此若REQ能够接收到S106的AACAuth，则REQ确定所述Sig _AAC已验证通过。

另一种方式为，当S106的AACAuth中还包括AAC的数字签名Sig _AAC时，相应的，所述Pub _AAC中还包括Cert _AAC；则在S107中，REQ还要利用所述Pub _AAC中的Cert _AAC验证所述Sig _AAC，根据验证结果确定所述Sig _AAC是否验证通过。

在另一些实施例中，请求设备和/或鉴别接入控制器产生的随机数、身份标识等信息可以在身份鉴别过程交互的消息中进行传递。在正常情况下，接收的消息中携带的随机数和/或身份标识与发送的消息中携带的随机数和/或身份标识应该相同，但是在遇到网络抖动或攻击等情况时，可能造成消息中参数信息的丢失或篡改。因此本申请的一些实施例中，还可以通过比较收发消息中的随机数和/或身份标识是否一致来保障鉴别结果的可靠性。具体如下：

请参考图1，在S101即AAC接收REQInit之前，AAC先向REQ发送第一消息AACInit，所述AACInit中包括AAC生成的第一随机数Nonce _AAC，对应的，所述REQInit中还包括Nonce _AAC。如此，在S102即AAC发送AACVeri之前，AAC先对REQInit中的Nonce _AAC和AAC生成的Nonce _AAC(也就是AAC通过AACInit发出去的Nonce _AAC)的一致性进行验证，若验证通过，则AAC再执行S102；若验证不通过，则AAC丢弃REQInit。

同样的，还可以对身份标识的一致性进行验证。请参考图1，S102的AACVeri中还可以包括AAC的身份标识ID _AAC和/或AAC生成的第一随机数Nonce _AAC，对应地，S103的ASVeri中还包括ID _AAC和/或Nonce _AAC。如此，在S105之前，AAC可以先对ASVeri中的ID _AAC和AAC自身的身份标识ID _AAC的一致性进行验证，和/或，对ASVeri中的Nonce _AAC和AAC生成的Nonce _AAC的一致性进行验证，若验证通过，则AAC再根据Pub _REQ中的Res _REQ确定REQ的身份鉴别结果；若验证不通过，则AAC丢弃ASVeri。

上述实施例中，在S101之前，AAC向REQ发送的AACInit中还可以包括AAC支持的安全能力参数信息Security capabilities _AAC，所述Security capabilities _AAC包括AAC支持的身份鉴别套件(身份鉴别套件中包含一种或多种身份鉴别方法)和/或密钥导出算法等，以便REQ根据所述Security capabilities _AAC选择REQ使用的特定安全策略Security capabilities _REQ，所述Security capabilities _REQ表示REQ相应确定使用的身份鉴别方法和/或密钥导出算法等。对应的，S101的REQInit中还可以包括Security capabilities _REQ，则AAC可以根据所述Security capabilities _REQ确定使用的安全策略。

为保障鉴别结果的可靠性，REQ也可以对REQ生成的第二随机数Nonce _REQ和/或REQ的身份标识ID _REQ进行一致性进行验证。具体如下：

请参考图1，S102的AACVeri中还可以包括ID _REQ和/或Nonce _REQ，其中，ID _REQ和/或Nonce _REQ是AAC从S101的REQInit中获取的，则S103的ASVeri中还包括ID _REQ和/或Nonce _REQ，S106的AACAuth中还包括ID _REQ和/或Nonce _REQ。则在S107中REQ确定AAC的身份鉴别结果之前，REQ可以先对AACAuth中的ID _REQ和REQ自身的身份标识ID _REQ的一致性进行验证，和/或，对AACAuth中的Nonce _REQ和REQ生成的Nonce _REQ的一致性进行验证，若验证通过，则REQ再根据Pub _AAC中的Res _AAC确定AAC的身份鉴别结果。

在另一些实施例中，若S103的ASVeri中，所述Pub _REQ中还包括ID _REQ，则在S105之前，AAC还可以对所述Pub _REQ中的ID _REQ和S101的REQInit中的ID _REQ的一致性进行验证，若验证通过，则AAC再根据所述Pub _REQ中的Res _REQ确定REQ的身份鉴别结果。

本申请实施例还提供了利用AAC和REQ之间信息交互来确定本次鉴别过程所使用的第一鉴别服务器和/或第二鉴别服务器的方法：

一种实现方式为，AAC主动将其信任的至少一个鉴别服务器的身份标识ID _{AS_AAC}发送给REQ，例如在S101之前，AAC向REQ发送的AACInit中还包括所述ID _{AS_AAC}，则REQ可以从ID _{AS_AAC}中选取至少一个鉴别服务器且是自身信任的鉴别服务器作为ID _{AS_REQ}，若选取失败，则REQ将自身信任的至少一个鉴别服务器作为ID _{AS_REQ}(其中，选取成功对应非漫游情况，选取失败对应漫游情况)，将该ID _{AS_REQ}添加至S101的REQInit中发送给AAC。进而，AAC可以根据ID _{AS_AAC}和ID _{AS_REQ}确定第一鉴别服务器，例如AAC可以判断ID _{AS_REQ}和ID _{AS_AAC}是否存在至少一个相同的鉴别服务器的身份标识，若存在，即为非漫游情况，AAC从上述至少一个REQ和AAC共同信任的鉴别服务器的身份标识中，确定参与身份鉴别的第一鉴别服务器；若不存在，则为漫游情况，AAC需要根据ID _{AS_AAC}确定参与身份鉴别的第一鉴别服务器AS-AAC，并将ID _{AS_REQ}发送给AS-AAC，以便AS-AAC根据ID _{AS_REQ}确定第二鉴别服务器AS-REQ。

另一种实现方式为，AAC可以不必向REQ发送ID _{AS_AAC}，而由REQ主动将其信任的至少一个鉴别服务器的身份标识ID _{AS_REQ}发送给AAC，例如REQ将ID _{AS_REQ}添加至S101的REQInit中发送给AAC。根据ID _{AS_REQ}和AAC自身信任的鉴别服务器的身份标识ID _{AS_AAC}确定参与身份鉴别的第一鉴别服务器和/或第二鉴别服务器的具体实现方式如前一种实现方式。

由于REQ和AAC信任的鉴别服务器可以相同也可以不同，当REQ和AAC信任的鉴别服务器相同时，即为非漫游情况；当REQ和AAC信任的鉴别服务器不同时，即为漫游的情况。基于前述实施例，下面结合非漫游和漫游的应用场景，对本申请实施例提供的身份鉴别方法进行介绍。其中，针对以下四种情况进行介绍：(一)非漫游情况下，由REQ验证Sig _AAC的身份鉴别方法；(二)非漫游情况下，由AS-AAC验证Sig _AAC的身份鉴别方法；(三)漫游情况下，由REQ验证Sig _AAC的身份鉴别方法；(四)漫游情况下，由AS-AAC验证Sig _AAC的身份鉴别方法。

参见图2，为上述(一)情况下身份鉴别方法的实施例，此情形下REQ信任的AS-REQ和AAC信任的AS-AAC为同一个鉴别服务器，可以用AS-AAC(当然也可以用AS-REQ)表示REQ和AAC共同信任的鉴别服务器。该身份鉴别方法包括：

S201、AAC生成Nonce _AAC，根据需要生成Security capabilities _AAC。

S202、AAC向REQ发送第一消息AACInit。

所述AACInit中包括Nonce _AAC和Security capabilities _AAC。Security capabilities _AAC为可选字段，表示AAC支持的安全能力参数信息，包括AAC支持的身份鉴别套件和/或密钥导出算法等(下文同)。

S203、REQ接收到AACInit后，执行下述操作(若无特别说明或逻辑上的关系，本文中以(1)、(2)……编号的动作并不因为有编号而存在必然的先后顺序，全文同)，包括：

(1)、生成Nonce _REQ；

(2)、根据需要生成Security capabilities _REQ；

(3)、计算生成REQ的身份鉴别码MIC _REQ。

S204、REQ向AAC发送身份消息REQInit。

所述REQInit中包括Nonce _AAC、Nonce _REQ、Security capabilities _REQ、ID _REQ和MIC _REQ。其中，Security capabilities _REQ为可选字段，REQ是否生成Security capabilities _REQ取决于AAC向REQ发送的AACInit中是否携带Security capabilities _AAC。Security capabilities _REQ表示REQ根据Security capabilites _AAC作出的特定安全策略的选择，即REQ确定使用的身份鉴别方法和/或密钥导出算法等(下文同)。MIC _REQ是REQ利用与AS-AAC的预共享密钥K _{REQ_AS}，采用与AS-AAC约定的密码算法对包括REQInit中MIC _REQ之前的其他字段计算生成的，例如当REQInit中依次包括Nonce _AAC、Nonce _REQ、Security capabilities _REQ、ID _REQ及MIC _REQ时，REQ利用所述K _{REQ_AS}，采用所述密码算法(可以是杂凑算法)对包括Nonce _AAC、Nonce _REQ、Security capabilities _REQ及ID _REQ在内的信息进行杂凑运算得到杂凑值，该杂凑值即作为REQ的身份鉴别码MIC _REQ。

S205、AAC检查REQInit中的Nonce _AAC与AAC生成的Nonce _AAC是否一致，若一致，则继续执行后续步骤，若不一致，则丢弃REQInit。

S206、AAC向AS-AAC发送第一鉴别请求消息AACVeri。

所述AACVeri中包括REQInit、ID _AAC和Cert _AAC。

S207、AS-AAC接收到AACVeri后，执行下述操作，包括：

(1)、验证Cert _AAC的合法性得到Res _AAC，根据包括Res _AAC和Cert _AAC在内的信息生成Pub _AAC；

(2)、验证REQInit中的MIC _REQ得到Res _REQ，根据包括ID _REQ和Res _REQ在内的信息生成Pub _REQ；

验证MIC _REQ的过程包括：AS-AAC根据REQInit中的ID _REQ确定与REQ的预共享密钥K _{REQ_AS}和约定的密码算法，利用所述K _{REQ_AS}，采用所述密码算法对REQInit中MIC _REQ之前的其他字段在本地计算出MIC _REQ，并将其和接收到的MIC _REQ进行比较，若相同，则MIC _REQ验证通过，AS-AAC判定REQ 的身份鉴别结果为合法，若不同，则MIC _REQ验证不通过，AS-AAC根据本地策略可有如下处理方式，包括：丢弃AACVeri或判定REQ的身份鉴别结果为不合法等。

(3)、计算AS-AAC的第一消息鉴别码MIC _{AS_AAC}和第一数字签名Sig _{AS_AAC1}。

S208、AS-AAC向AAC发送第一鉴别响应消息ASVeri。

所述ASVeri中包括ID _REQ、Nonce _REQ、Pub _AAC、MIC _{AS_AAC}、ID _AAC、Nonce _AAC、Pub _REQ和Sig _{AS_AAC1}。其中，ID _REQ、Nonce _REQ、ID _AAC、Nonce _AAC应分别等于AACVeri中的相应字段；MIC _{AS_AAC}是由AS-AAC利用与REQ的预共享密钥K _{REQ_AS}，采用与REQ约定的密码算法(可以是杂凑算法)对包括ID _REQ、Nonce _REQ、Pub _AAC在内的信息计算生成的；Sig _{AS_AAC1}是由AS-AAC对包括ID _AAC、Nonce _AAC、Pub _REQ在内的签名数据计算生成的。本申请中，将被签名的对象称为签名数据。

S209、AAC接收到ASVeri后，执行下述操作，包括：

(1)、检查ASVeri中的ID _AAC、Nonce _AAC是否分别与AAC自身的身份标识ID _AAC、AAC生成的Nonce _AAC相同；

(2)、利用AS-AAC的公钥验证Sig _{AS_AAC1}；

(3)、检查Pub _REQ中的ID _REQ是否与接收的REQInit中的ID _REQ相同；

(4)、上述检查与验证中任一步不通过，则立即丢弃ASVeri；上述检查和验证均通过后，根据Pub _REQ中的Res _REQ确定REQ的身份鉴别结果；若AAC确定REQ为不合法时，结束本次鉴别过程；

(5)、计算AAC的数字签名Sig _AAC。

S210、AAC向REQ发送第三鉴别响应消息AACAuth。

所述AACAuth中包括ID _REQ、Nonce _REQ、Pub _AAC、MIC _{AS_AAC}和Sig _AAC。其中，ID _REQ、Nonce _REQ、Pub _AAC、MIC _{AS_AAC}来源于ASVeri；Sig _AAC的签名数据包括所述AACAuth中Sig _AAC之前的其他字段，例如包括ID _REQ、Nonce _REQ、Pub _AAC及MIC _{AS_AAC}。

S211、REQ接收到AACAuth后，执行下述操作，包括：

(1)、检查ID _REQ、Nonce _REQ是否分别与REQ自身的身份标识ID _REQ、REQ生成的Nonce _REQ相同；

(2)、验证Sig _AAC和MIC _{AS_AAC}；

其中，REQ利用Pub _AAC中的Cert _AAC对Sig _AAC进行验证，利用与AS-AAC的预共享密钥K _{REQ_AS}，采用与AS-AAC约定的密码算法(可以是杂凑算法)对AACAuth中包括ID _REQ、Nonce _REQ、Pub _AAC在内的信息在本地计算出MIC _{AS_AAC}，并将其和接收到的AACAuth中的MIC _{AS_AAC}进行比较，若相同，则验证通过，若不同，则验证不通过，从而实现对MIC _{AS_AAC}的验证。

(3)、上述检查与验证中任一步不通过，则立即丢弃AACAuth；上述检查和验证均通过后，根据Pub _AAC中的Res _AAC确定AAC的身份鉴别结果。

参见图3，为上述(二)情况下身份鉴别方法的实施例，此情形下REQ信任的AS-REQ和AAC信任的AS-AAC为同一个鉴别服务器，可以用AS-AAC(也可以用AS-REQ)表示REQ和AAC共同信任的鉴别服务器。该身份鉴别方法包括：

S301、AAC生成Nonce _AAC，根据需要生成Security capabilities _AAC。

S302、AAC向REQ发送第一消息AACInit。

所述AACInit中包括Nonce _AAC和Security capabilities _AAC。Security capabilities _AAC为可选字段。

S303、REQ接收到AACInit后，执行下述操作，包括：

(1)、生成Nonce _REQ；

(2)、根据需要生成Security capabilities _REQ；

(3)、计算REQ的身份鉴别码MIC _REQ。

S304、REQ向AAC发送身份消息REQInit。

所述REQInit中包括Nonce _AAC、Nonce _REQ、Security capabilities _REQ、ID _REQ和MIC _REQ。其中，Security capabilities _REQ为可选字段，REQ是否生成Security capabilities _REQ取决于AAC向REQ发送的AACInit中是否携带Security capabilities _AAC；所述MIC _REQ的生成参见图2实施例中的相关描述。

S305、AAC接收到REQInit后，执行下述操作，包括：

(1)、检查REQInit中的Nonce _AAC与AAC生成的Nonce _AAC是否一致，若不一致，则丢弃REQInit；

(2)、计算Sig _AAC。

S306、AAC向AS-AAC发送第一鉴别请求消息AACVeri。

所述AACVeri中包括REQInit、ID _AAC、Cert _AAC和Sig _AAC。其中，Sig _AAC的签名数据包括所述AACVeri中Sig _AAC之前的其他字段，例如包括REQInit、ID _AAC和Cert _AAC。

S307、AS-AAC接收到AACVeri后，执行下述操作，包括：

(1)、利用Cert _AAC验证Sig _AAC，若验证不通过，则丢弃AACVeri；

(2)、验证Cert _AAC的合法性得到Res _AAC，根据包括Res _AAC在内的信息生成Pub _AAC；

(3)、验证REQInit中的MIC _REQ得到Res _REQ，根据包括ID _REQ和Res _REQ在内的信息生成Pub _REQ；MIC _REQ的验证参见图2实施例中的相关描述；

(4)、计算AS-AAC的第一消息鉴别码MIC _{AS_AAC}和第一数字签名Sig _{AS_AAC1}。

S308、AS-AAC向AAC发送第一鉴别响应消息ASVeri。

所述ASVeri中包括ID _REQ、Nonce _REQ、Pub _AAC、MIC _{AS_AAC}、ID _AAC、Nonce _AAC、Pub _REQ和Sig _{AS_AAC1}。其中，ID _REQ、Nonce _REQ、ID _AAC、Nonce _AAC应分别等于AACVeri中的相应字段；MIC _{AS_AAC}是由AS-AAC利用与REQ的预共享密钥K _{REQ_AS}，采用与REQ约定的杂凑算法对包括ID _REQ、Nonce _REQ、Pub _AAC在内的信息计算生成的；Sig _{AS_AAC1}是由AS-AAC对包括ID _AAC、Nonce _AAC、Pub _REQ在内的签名数据计算生成的。

S309、AAC接收到ASVeri后，执行下述操作，包括：

(2)、利用AS-AAC的公钥验证Sig _{AS_AAC1}；

(4)、上述检查与验证中任一步不通过，则立即丢弃ASVeri；上述检查和验证均通过后，根据Pub _REQ中的Res _REQ确定REQ的身份鉴别结果；若AAC确定REQ为不合法时，则结束本次鉴别过程。

S310、AAC向REQ发送第三鉴别响应消息AACAuth。

所述AACAuth中包括ID _REQ、Nonce _REQ、Pub _AAC和MIC _{AS_AAC}。其中，ID _REQ、Nonce _REQ、Pub _AAC、MIC _{AS_AAC}来源于ASVeri。

S311、REQ接收到AACAuth后，执行下述操作，包括：

(2)、验证MIC _{AS_AAC}，验证过程参见图2实施例中的相关内容描述；

参见图4，为上述(三)情况下身份鉴别方法的实施例，此情形下REQ信任的AS-REQ和AAC信任的AS-AAC为两个不同的鉴别服务器。该身份鉴别方法包括：

S401、AAC生成Nonce _AAC，根据需要生成Security capabilities _AAC。

S402、AAC向REQ发送第一消息AACInit。

所述AACInit中包括Nonce _AAC、Security capabilities _AAC和ID _{AS_AAC}。Security capabilities _AAC和ID _{AS_AAC}为可选字段，且ID _{AS_AAC}表示AAC信任的至少一个鉴别服务器的身份标识，用于使得REQ根据ID _{AS_AAC}确定是否存在共同信任的鉴别服务器(下文同)。

S403、REQ接收到AACInit后，执行下述操作，包括：

(1)、生成Nonce _REQ；

(2)、根据需要生成ID _{AS_REQ}；

(3)、根据需要生成Security capabilities _REQ；

(4)、计算REQ的身份鉴别码MIC _REQ。

S404、REQ向AAC发送身份消息REQInit。

所述REQInit中包括Nonce _AAC、Nonce _REQ、Security capabilities _REQ、ID _{AS_REQ}、ID _REQ和MIC _REQ。其中，Nonce _AAC应等于AACInit中的相应字段；Security capabilities _REQ和ID _{AS_REQ}为可选字段，且ID _{AS_REQ}表示REQ信任的至少一个鉴别服务器的身份标识，当AACInit中存在ID _{AS_AAC}时，REQ尽量从其信任的鉴别服务器中选择至少一个与ID _{AS_AAC}中相同的鉴别服务器作为ID _{AS_REQ}，若选择失败，则将自身信任的至少一个鉴别服务器作为ID _{AS_REQ}；当AACInit中不存在ID _{AS_AAC}时，REQ将自身信任的至少一个鉴别服务器作为ID _{AS_REQ}。(下文同)。MIC _REQ是REQ利用与AS-REQ的预共享密钥K _{REQ_AS}，采用与AS-REQ约定的密码算法对包括REQInit中MIC _REQ之前的其他字段计算生成的。例如，REQ利用所述K _{REQ_AS}，采用与AS-REQ约定的密码算法(可以是杂凑算法)对包括Nonce _AAC、Nonce _REQ、Security capabilities _REQ、ID _{AS_REQ}和ID _REQ在内的信息进行杂凑运算得到杂凑值，该杂凑值即作为REQ的身份鉴别码MIC _REQ。

S405、AAC接收到REQInit后，执行下述操作，包括：

(2)、若REQInit中携带ID _{AS_REQ}且AACInit中携带ID _{AS_AAC}，则AAC判断ID _{AS_REQ}和ID _{AS_AAC}是否存在至少一个相同的鉴别服务器的身份标识，若存在，即为非漫游情况，AAC从上述至少一个REQ和AAC共同信任的鉴别服务器的身份标识中，确定参与身份鉴别的第一鉴别服务器；若不存在，则为漫游情况，AAC需要根据ID _{AS_AAC}确定参与身份鉴别的第一鉴别服务器AS-AAC，并将ID _{AS_REQ}发送给AS-AAC，以便AS-AAC根据ID _{AS_REQ}确定第二鉴别服务器AS-REQ；或者，

若REQInit中携带ID _{AS_REQ}但AACInit中不携带ID _{AS_AAC}，则AAC判断ID _{AS_REQ}和AAC所信任的鉴别服务器是否存在至少一个相同的鉴别服务器的身份标识，若存在，即为非漫游情况，AAC从上述至少一个REQ和AAC共同信任的鉴别服务器的身份标识中，确定参与身份鉴别的第一鉴别服务器；若不存在，则为漫游情况，AAC需要根据自身信任的鉴别服务器确定参与身份鉴别的第一鉴别服务器AS-AAC，并将ID _{AS_REQ}发送给AS-AAC，以便AS-AAC根据ID _{AS_REQ}确定第二鉴别服务器AS-REQ；

需要说明的是，此实施例判断出的结果应为漫游情况。

S406、AAC向AS-AAC发送第一鉴别请求消息AACVeri。

所述AACVeri中包括REQInit、ID _AAC和Cert _AAC。

S407、AS-AAC接收到AACVeri后，执行下述操作，包括：

(2)、若AACVeri中的REQInit中存在ID _{AS_REQ}，则AS-AAC根据ID _{AS_REQ}确定第二鉴别服务器AS-REQ；若不存在，则表示AS-AAC已确知AS-REQ；

(3)、计算第二数字签名Sig _{AS_AAC2}。

S408、AS-AAC向AS-REQ发送第二鉴别请求消息AS-AACVeri。

所述AS-AACVeri中包括REQInit、ID _AAC、Pub _AAC及Sig _{AS_AAC2}。其中，Sig _{AS_AAC2}的签名数据包括AS-AACVeri中Sig _{AS_AAC2}之前的其他字段，例如包括REQInit、ID _AAC及Pub _AAC。

S409、AS-REQ接收到AS-AACVeri后，执行下述操作，包括：

(1)、利用AS-AAC的公钥验证Sig _{AS_AAC2}，若验证不通过，则丢弃AS-AACVeri；

具体的，AS-REQ根据REQInit中的ID _REQ确定与REQ的预共享密钥K _{REQ_AS}和约定的密码算法，利用所述K _{REQ_AS}，采用所述密码算法对REQInit中MIC _REQ之前的其他字段在本地计算出MIC _REQ，并将其和接收到的MIC _REQ进行比较，若相同，则MIC _REQ验证通过，AS-REQ判定REQ的身份鉴别结果为合法，若不同，则MIC _REQ验证不通过，AS-REQ根据本地策略可有如下处理方式，包括：丢弃AS-AACVeri或判定REQ的身份鉴别结果为不合法等。

(3)、计算AS-REQ的第一消息鉴别码MIC _{AS_REQ}和第三数字签名Sig _{AS_REQ3}。

S410、AS-REQ向AS-AAC发送第二鉴别响应消息AS-REQVeri。

所述AS-REQVeri中包括ID _REQ、Nonce _REQ、Pub _AAC、MIC _{AS_REQ}、ID _AAC、Nonce _AAC、Pub _REQ和Sig _{AS_REQ3}。其中，ID _REQ、Nonce _REQ、Pub _AAC、ID _AAC、Nonce _AAC应分别等于AS-AACVeri中的相应字段。MIC _{AS_REQ}是由AS-REQ利用与REQ的预共享密钥K _{REQ_AS}，采用与REQ约定的密码算法(可以是杂凑算法)对包括ID _REQ、Nonce _REQ、Pub _AAC在内的信息计算生成的；Sig _{AS_REQ3}是由AS-REQ对包括ID _AAC、Nonce _AAC、Pub _REQ在内的签名数据计算生成的。

S411、AS-AAC接收到AS-REQVeri后，执行下述操作，包括：

(1)、利用AS-REQ的公钥验证Sig _{AS_REQ3}；若验证不通过，则丢弃AS-REQVeri；

(2)、计算第一数字签名Sig _{AS_AAC1}。

S412、AS-AAC向AAC发送第一鉴别响应消息ASVeri。

所述ASVeri中包括ID _REQ、Nonce _REQ、Pub _AAC、MIC _{AS_REQ}、ID _AAC、Nonce _AAC、Pub _REQ和Sig _{AS_AAC1}。其中，ID _REQ、Nonce _REQ、Pub _AAC、MIC _{AS_REQ}、ID _AAC、Nonce _AAC、Pub _REQ来源于AS-REQVeri。Sig _{AS_AAC1}是由AS-AAC对包括ID _AAC、Nonce _AAC、Pub _REQ在内的签名数据计算生成的。

S413、AAC接收到ASVeri后，执行下述操作，包括：

(2)、利用AS-AAC的公钥验证Sig _{AS_AAC1}；

(3)、检查Pub _REQ中的ID _REQ是否与REQInit中的ID _REQ相同；

(4)、上述检查与验证中任一步不通过，则立即丢弃ASVeri；上述检查和验证均通过后，根据Pub _REQ中的Res _REQ确定REQ的身份鉴别结果；若AAC确定REQ为不合法时，则结束本次鉴别过程；

(5)、计算Sig _AAC。

S414、AAC向REQ发送第三鉴别响应消息AACAuth。

所述AACAuth中包括ID _REQ、Nonce _REQ、Pub _AAC、MIC _{AS_REQ}和Sig _AAC。其中，ID _REQ、Nonce _REQ、Pub _AAC、MIC _{AS_REQ}来源于ASVeri；Sig _AAC的签名数据包括所述AACAuth中Sig _AAC之前的其他字段，例如包括ID _REQ、Nonce _REQ、Pub _AAC及MIC _{AS_REQ}。

S415、REQ接收到AACAuth后，执行下述操作，包括：

(2)、验证Sig _AAC和MIC _{AS_REQ}；

其中，REQ利用Pub _AAC中的Cert _AAC验证Sig _AAC；利用与AS-REQ的预共享密钥K _{REQ_AS}，采用与AS-REQ约定的杂凑算法对AACAuth中包括ID _REQ、Nonce _REQ、Pub _AAC在内的信息在本地计算出MIC _{AS_REQ}，并将其和接收到的AACAuth中的MIC _{AS_REQ}进行比较，若相同，则验证通过，若不同，则验证不通过，从而实现对MIC _{AS_REQ}的验证。

(3)、上述检查和验证均通过后，根据Pub _AAC中的Res _AAC确定AAC的身份鉴别结果；上述检查与验证中任一步不通过，则立即丢弃AACAuth。

需要说明的是，S407、S408中的第二数字签名Sig _{AS_AAC2}可以替换为第二消息鉴别码MIC _{AS_AAC2}，其中，MIC _{AS_AAC2}是AS-AAC利用与AS-REQ的预共享密钥、采用与AS-REQ约定的杂凑算法对包括AS-AACVeri中MIC _{AS_AAC2}之前的其他字段计算的杂凑值；则S409中AS-REQ验证Sig _{AS_AAC2}替换为验证MIC _{AS_AAC2}。S409、S410中的第三数字签名Sig _{AS_REQ3}可以替换为第三消息鉴别码MIC _{AS_REQ3}，其中，MIC _{AS_REQ3}是AS-REQ利用与AS-AAC的预共享密钥、采用与AS-AAC约定的杂凑算法对包括AS-REQVeri中的ID _AAC、Nonce _AAC、Pub _REQ在内的字段计算的杂凑值；则S411中AS-AAC验证Sig _{AS_REQ3}替换为验证MIC _{AS_REQ3}。

参见图5，为上述(四)情况下身份鉴别方法的实施例，此情形下REQ信任的AS-REQ和AAC信任的AS-AAC为两个不同的鉴别服务器。该身份鉴别方法包括：

S501、AAC生成Nonce _AAC，根据需要生成Security capabilities _AAC。

S502、AAC向REQ发送第一消息AACInit。

所述AACInit中包括Nonce _AAC、Security capabilities _AAC和ID _{AS_AAC}。其中，Security capabilities _AAC和ID _{AS_AAC}为可选字段。

S503、REQ接收到AACInit后，执行下述操作，包括：

(1)、生成Nonce _REQ；

(2)、根据需要生成ID _{AS_REQ}；

(3)、根据需要生成Security capabilities _REQ；

(4)、计算生成REQ的身份鉴别码MIC _REQ。

S504、REQ向AAC发送身份消息REQInit。

所述REQInit中包括Nonce _AAC、Nonce _REQ、Security capabilities _REQ、ID _{AS_REQ}、ID _REQ和MIC _REQ。其中，Nonce _AAC应等于AACInit中的相应字段；Security capabilities _REQ和ID _{AS_REQ}为可选字段；MIC _REQ的生成参见图4实施例中的相关描述。

S505、AAC接收到REQInit后，执行下述操作，包括：

(2)、AAC确定参与身份鉴别的第一鉴别服务器AS-AAC的情况同图4实施例的相关描述；需要说明的是，此实施例判断出的结果应为漫游情况；

(3)、计算数字签名Sig _AAC。

S506、AAC向AS-AAC发送第一鉴别请求消息AACVeri。

S507、AS-AAC接收到AACVeri后，执行下述操作，包括：

(1)、利用AACVeri中的Cert _AAC验证Sig _AAC；

(3)、AS-AAC确定第二鉴别服务器AS-REQ的情况同图4实施例的相关描述；

(4)、计算生成第二数字签名Sig _{AS_AAC2}。

S508、AS-AAC向AS-REQ发送第二鉴别请求消息AS-AACVeri。

所述AS-AACVeri中包括REQInit、ID _AAC、Pub _AAC和Sig _{AS_AAC2}。Sig _{AS_AAC2}的签名数据包括AS-AACVeri中Sig _{AS_AAC2}之前的其他字段，例如包括REQInit、ID _AAC及Pub _AAC。

S509、AS-REQ接收到AS-AACVeri后，执行下述操作，包括：

(2)、验证REQInit中的MIC _REQ得到Res _REQ，根据包括ID _REQ和Res _REQ在内的信息生成Pub _REQ；MIC _REQ的验证参照图4实施例中的相关内容；

S510、AS-REQ向AS-AAC发送第二鉴别响应消息AS-REQVeri。

所述AS-REQVeri中包括ID _REQ、Nonce _REQ、Pub _AAC、MIC _{AS_REQ}、ID _AAC、Nonce _AAC、Pub _REQ和Sig _{AS_REQ3}。其中，ID _REQ、Nonce _REQ、Pub _AAC、ID _AAC、Nonce _AAC应分别等于AS-AACVeri中的相应字段；MIC _{AS_REQ} 是由AS-REQ利用与REQ的预共享密钥K _{REQ_AS}，采用与REQ约定的杂凑算法对包括ID _REQ、Nonce _REQ、Pub _AAC在内的信息计算生成的；Sig _{AS_REQ3}是由AS-REQ对包括ID _AAC、Nonce _AAC、Pub _REQ在内的签名数据计算生成的。

S511、AS-AAC接收到AS-REQVeri后，执行下述操作，包括：

(2)、计算第一数字签名Sig _{AS_AAC1}。

S512、AS-AAC向AAC发送第一鉴别响应消息ASVeri。

S513、AAC接收到ASVeri后，执行下述操作，包括：

(2)、利用AS-AAC的公钥验证Sig _{AS_AAC1}；

(3)、检查Pub _REQ中的ID _REQ是否与REQInit中的ID _REQ相同；

(4)、若上述检查与验证中任一步不通过，则立即丢弃ASVeri；上述检查和验证均通过后，根据Pub _REQ中的Res _REQ确定REQ的身份鉴别结果；若AAC确定REQ为不合法时，结束本次鉴别过程；

S514、AAC向REQ发送第三鉴别响应消息AACAuth。

所述AACAuth中包括ID _REQ、Nonce _REQ、Pub _AAC和MIC _{AS_REQ}。其中，AACAuth中的字段均来源于ASVeri。

S515、REQ接收到AACAuth后，执行下述操作，包括：

(2)、验证MIC _{AS_REQ}，验证过程参见图4实施例中的相关描述；

(3)、上述检查和验证均通过后，根据Pub _AAC中的Res _AAC确定AAC的身份鉴别结果；若上述检查与验证中任一步不通过，则立即丢弃AACAuth。

需要说明的是，S507、S508中的第二数字签名Sig _{AS_AAC2}可以替换为第二消息鉴别码MIC _{AS_AAC2}，其中，MIC _{AS_AAC2}是AS-AAC利用与AS-REQ的预共享密钥、采用与AS-REQ约定的杂凑算法对包括AS-AACVeri中MIC _{AS_AAC2}之前的其他字段计算的杂凑值；则S509中AS-REQ验证Sig _{AS_AAC2}替换为验证MIC _{AS_AAC2}。S509、S510中的第三数字签名Sig _{AS_REQ3}可以替换为第三消息鉴别码MIC _{AS_REQ3}，其中，MIC _{AS_REQ3}是AS-REQ利用与AS-AAC的预共享密钥、采用与AS-AAC约定的杂凑算法对包括AS-REQVeri中的ID _AAC、Nonce _AAC、Pub _REQ在内的字段计算的杂凑值；则S511中AS-AAC验证Sig _{AS_REQ3}替换为验证MIC _{AS_REQ3}。

在上述各实施例中，每条消息还可以携带一个杂凑值HASH _{X_Y}，该杂凑值HASH _{X_Y}是该消息的发送方实体X利用杂凑算法对接收到的对端实体Y发送的最新前序消息计算得到的，用于对端实体Y来验证实体X是否接收到完整的最新前序消息。其中，HASH _{REQ_AAC}表示REQ对接收到的AAC发送的最新前序消息计算的杂凑值，HASH _{AAC_REQ}表示AAC对接收到的REQ发送的最新前序消息计算的杂凑值，HASH _{AAC_AS-AAC}表示AAC对接收到的AS-AAC发送的最新前序消息计算的杂凑值，HASH _{AS-AAC_AAC}表示AS-AAC对接收到的AAC发送的最新前序消息计算的杂凑值，HASH _{AS-AAC_AS-REQ}表示AS-AAC对接收到的AS-REQ发送的最新前序消息计算的杂凑值，HASH _{AS-REQ_AS-AAC}表示AS-REQ对接收到的AS-AAC发送的最新前序消息计算的杂凑值。若发送方实体X当前发送的消息为实体X和实体Y之间交互的首条消息，意味着实体X未曾收到对端实体Y发送的前序消息，则该条消息中HASH _{X_Y}可以不存在或者无意义。

对应的，对端实体Y接收到实体X发送的消息后，若该条消息中包含HASH _{X_Y}，则当实体Y未曾向实体X发送过前序消息时，实体Y忽略HASH _{X_Y}；当实体Y曾向实体X发送过前序消息时，实体Y利用杂凑算法对之前向实体X发送的最新前序消息在本地计算杂凑值，并与接收到的消息中携带的杂凑值HASH _{X_Y}比较，若一致，则执行后续步骤，否则丢弃或者结束本次鉴别过程。

本发明中，对实体X而言，对端实体Y向实体X发送的前序消息指的是：实体X向对端实体Y发送消息M之前，接收过的对端实体Y向实体X发送的消息；对端实体Y向实体X发送的最新前序消息指的是：实体X向对端实体Y发送消息M之前，接收的对端实体Y向实体X发送的最新一条消息。若实体X向其对端实体Y发送的消息M是实体X和实体Y之间交互的第一条消息，则实体X向其对端实体Y发送消息M之前，不存在对端实体Y向实体X发送的前序消息。

上述图2至图5所对应实施例中的可选字段和可选操作，在说明书附图的图2至图5中用“*”表示。以上所有实施例涉及的消息中所包括的各个内容不限定顺序，并且在没有特别说明的情况下，不限定消息接收方收到该消息后对相关消息的操作顺序以及对消息中所包括的内容进行处理的顺序。

基于图1至图5所对应的实施例，参见图6，本申请实施例还提供了一种请求设备600，包括：

生成模块610，用于利用与所述请求设备信任的第二鉴别服务器的预共享密钥、采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成所述请求设备的身份鉴别码；

发送模块620，用于向鉴别接入控制器发送身份消息，所述身份消息中包括所述请求设备的身份标识和所述请求设备的身份鉴别码；

接收模块630，用于接收所述鉴别接入控制器发送的第三鉴别响应消息，所述第三鉴别响应消息中包括第一鉴别结果信息和所述第二鉴别服务器的第一消息鉴别码；所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果，所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥、采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的；

验证模块640，用于利用与所述第二鉴别服务器的预共享密钥、采用与所述第二鉴别服务器约定的密码算法验证所述第二鉴别服务器的第一消息鉴别码；

确定模块650，用于若验证通过，则根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。

可选的，接收模块630还用于：接收所述鉴别接入控制器发送的第一消息，所述第一消息中包括所述鉴别接入控制器生成的第一随机数；

对应的，发送模块620发送的身份消息中还包括所述第一随机数。

可选的，接收模块630接收的第一消息中还包括所述鉴别接入控制器支持的安全能力参数信息；确定模块650还用于：根据所述安全能力参数信息确定所述请求设备使用的特定安全策略；

对应的，发送模块620发送的身份消息中还包括所述特定安全策略。

可选的，接收模块630接收的第一消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识；确定模块650还用于：根据所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识，确定所述请求设备信任的至少一个鉴别服务器的身份标识；则发送模块620发送的身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识。

可选的，发送模块620发送的身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识。

可选的，接收模块630接收的第三鉴别响应消息还包括所述请求设备的身份标识和/或第二随机数；在所述确定模块650确定所述鉴别接入控制器的身份鉴别结果之前，验证模块640还用于：对所述第三鉴别响应消息中所述请求设备的身份标识和所述请求设备自身的身份标识的一致性进行验证，和/或，对所述第三鉴别响应消息中的第二随机数和所述请求设备生成的第二随机数的一致性进行验证；且确定一致性验证通过。

可选的，确定模块650在确定所述鉴别接入控制器的身份鉴别结果之前，还用于确定所述鉴别接入控制器的数字签名验证通过。

可选的，确定模块650根据下列方式确定所述鉴别接入控制器的数字签名是否验证通过：

当所述鉴别接入控制器向其信任的第一鉴别服务器发送的第一鉴别请求消息中还包括所述鉴别接入控制器的数字签名时，所述第一鉴别服务器利用所述第一鉴别请求消息中的所述鉴别接入控制器的数字证书，对所述鉴别接入控制器的数字签名进行验证，若接收模块630接收到所述第三鉴别响应消息，则确定所述鉴别接入控制器的数字签名已验证通过；

当接收模块630接收的第三鉴别响应消息中还包括所述鉴别接入控制器的数字签名时，相应的，所述第一鉴别结果信息中还包括所述鉴别接入控制器的数字证书；则利用所述第一鉴别结果信息中的所述鉴别接入控制器的数字证书对所述鉴别接入控制器的数字签名进行验证，根据验证结果确定所述鉴别接入控制器的数字签名是否验证通过。

可选的，所述请求设备向所述鉴别接入控制器发送的消息还包括所述请求设备对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值。

参见图7，本申请实施例还提供了一种鉴别接入控制器700，包括：

接收模块710，用于接收请求设备发送的身份消息，所述身份消息中包括所述请求设备的身份标识和所述请求设备的身份鉴别码，所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥、采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的；

发送模块720，用于向所述鉴别接入控制器信任的第一鉴别服务器发送第一鉴别请求消息，所述第一鉴别请求消息中包括所述身份消息和所述鉴别接入控制器的数字证书；

接收模块710还用于接收所述第一鉴别服务器发送的第一鉴别响应消息，所述第一鉴别响应消息中包括第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、第二鉴别结果信息和所述第一鉴别服务器的第一数字签名；所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果，所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥、采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的，所述第二鉴别结果信息中包括对所述请求设备的身份鉴别码的第二验证结果，所述第一数字签名是所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成的数字签名；

验证模块730，用于利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证；若验证通过，则确定模块740根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果；当确定模块740确定所述请求设备的身份鉴别结果为合法时，发送模块720向所述请求设备发送第三鉴别响应消息；或者，

验证模块730，用于利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证，若验证通过，则发送模块720向所述请求设备发送第三鉴别响应消息以及确定模块740根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果；或者，

验证模块730，用于利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证；若所述第一数字签名验证通过，则确定模块740根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果；发送模块720向所述请求设备发送第三鉴别响应消息；

可选的，在所述接收模块710接收请求设备发送的身份消息之前，发送模块720还用于：向所述请求设备发送第一消息，所述第一消息中包括所述鉴别接入控制器生成的第一随机数；

对应的，接收模块710接收的身份消息中还包括所述第一随机数；则在所述发送模块720向所述鉴别接入控制器信任的第一鉴别服务器发送第一鉴别请求消息之前，验证模块730还用于：对所述身份消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证，且确定一致性验证通过。

可选的，发送模块720发送的第一消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识；则接收模块710接收的身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识；所述请求设备信任的至少一个鉴别服务器的身份标识是所述请求设备根据所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识确定的；

确定模块740还用于：根据所述身份消息中所述请求设备信任的至少一个鉴别服务器的身份标识和所述第一消息中所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识，确定所述第一鉴别服务器。

可选的，接收模块710接收的身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识；确定模块740还用于：根据所述请求设备信任的至少一个鉴别服务器的身份标识和所述鉴别接入控制器信任的鉴别服务器的身份标识，确定所述第一鉴别服务器。

可选的，发送模块720发送的第一鉴别请求消息中还包括所述鉴别接入控制器的身份标识和/或所述鉴别接入控制器生成的第一随机数；对应的，接收模块710接收的第一鉴别响应消息中还包括所述鉴别接入控制器的身份标识和/或所述第一随机数；

在所述确定模块740确定所述请求设备的身份鉴别结果之前，验证模块730还用于：对所述第一鉴别响应消息中所述鉴别接入控制器的身份标识和所述鉴别接入控制器自身的身份标识的一致性进行验证，和/或，对所述第一鉴别响应消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证；且确定一致性验证通过。

可选的，接收模块710接收的第一鉴别响应消息中的第二鉴别结果信息中还包括所述请求设备的身份标识；

在所述确定模块740确定所述请求设备的身份鉴别结果之前，验证模块730还用于：对所述第二鉴别结果信息中的所述请求设备的身份标识和所述身份消息中的所述请求设备的身份标识的一致性进行验证，且确定一致性验证通过。

可选的，所述鉴别接入控制器向所述请求设备发送的消息还包括所述鉴别接入控制器对接收到的所述请求设备发送的最新前序消息计算的杂凑值；所述鉴别接入控制器向所述第一鉴别服务器发送的消息还包括所述鉴别接入控制器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值。

参见图8，本申请实施例还提供了一种第一鉴别服务器800，包括：

接收模块810，用于接收鉴别接入控制器发送的第一鉴别请求消息，所述第一鉴别请求消息中包括身份消息和所述鉴别接入控制器的数字证书；所述身份消息中包括请求设备的身份标识和所述请求设备的身份鉴别码，所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥、采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的；

发送模块820，用于向所述鉴别接入控制器发送第一鉴别响应消息，所述第一鉴别响应消息中包括第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、第二鉴别结果信息和所述第一鉴别服务器的第一数字签名；所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果，所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥、采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的，所述第二鉴别结果信息中包括对所述请求设备的身份鉴别码的第二验证结果，所述第一数字签名是所述第一鉴别服务器对包括所述第二鉴别结果信息在内的信息计算生成的数字签名。

可选的，第一鉴别服务器800还包括：

第一验证模块，用于对所述鉴别接入控制器的数字证书进行合法性验证得到第一验证结果，对所述请求设备的身份鉴别码进行验证得到第二验证结果；

第一生成模块，用于根据包括所述第一验证结果在内的信息生成所述第一鉴别结果信息，根据包括所述第二验证结果在内的信息生成所述第二鉴别结果信息，对包括所述第一鉴别结果信息在内的信息计算生成第一鉴别服务器的第一消息鉴别码，对包括所述第二鉴别结果信息在内的签名数据计算生成第一数字签名；

第二生成模块，用于根据包括所述第一鉴别结果信息、所述第一鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第一数字签名在内的信息计算生成所述第一鉴别响应消息。

可选的，第一鉴别服务器800还包括：

第二验证模块，用于对所述鉴别接入控制器的数字证书进行合法性验证得到第一验证结果；

第三生成模块，用于根据包括所述第一验证结果在内的信息生成所述第一鉴别结果信息，对包括所述第一鉴别结果信息和所述身份消息在内的签名数据计算生成第二数字签名或对包括所述第一鉴别结果信息和所述身份消息在内的信息计算生成第二消息鉴别码；

发送模块820还用于：向所述第二鉴别服务器发送第二鉴别请求消息，所述第二鉴别请求消息中包括所述第一鉴别结果信息、所述身份消息和所述第二数字签名或所述第二鉴别请求消息中包括所述第一鉴别结果信息、所述身份消息和所述第二消息鉴别码；由所述第二鉴别服务器利用所述第一鉴别服务器的公钥验证所述第二数字签名或由所述第二鉴别服务器利用与所述第一鉴别服务器的预共享密钥验证所述第二消息鉴别码，若验证通过，则由所述第二鉴别服务器对所述身份消息中所述请求设备的身份鉴别码进行验证得到第二验证结果，根据包括所述第二验证结果在内的信息生成所述第二鉴别结果信息，对包括所述第一鉴别结果信息在内的信息计算生成第二鉴别服务器的第一消息鉴别码，对包括所述第二鉴别结果信息在内的签名数据计算生成第三数字签名或对包括所述第二鉴别结果信息在内的信息计算生成第三消息鉴别码；

接收模块810还用于：接收所述第二鉴别服务器发送的第二鉴别响应消息，所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三数字签名或所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三消息鉴别码；

第二验证模块还用于：利用所述第二鉴别服务器的公钥验证所述第三数字签名或利用与所述第二鉴别服务器的预共享密钥验证所述第三消息鉴别码；

第三生成模块还用于：若所述第三数字签名或所述第三消息鉴别码验证通过，则对包括所述第二鉴别结果信息在内的签名数据计算生成第一数字签名，根据包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第一数字签名在内的信息生成所述第一鉴别响应消息。

可选的，所述第一鉴别服务器向所述鉴别接入控制器发送的消息还包括所述第一鉴别服务器对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值；所述第一鉴别服务器向所述第二鉴别服务器发送的消息还包括所述第一鉴别服务器对接收到的所述第二鉴别服务器发送的最新前序消息计算的杂凑值。

参见图9，本申请实施例还提供了一种第二鉴别服务器900，包括：

接收模块910，用于接收第一鉴别服务器发送的第二鉴别请求消息，所述第二鉴别请求消息中包括第一鉴别结果信息、身份消息和第二数字签名或所述第二鉴别请求消息中包括第一鉴别结果信息、身份消息和第二消息鉴别码；所述第一鉴别结果信息是所述第一鉴别服务器对鉴别接入控制器的数字证书进行合法性验证得到第一验证结果，并根据包括所述第一验证结果在内的信息生成的；所述身份消息中包括请求设备的身份标识和所述请求设备的身份鉴别码，所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥、采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的；所述第二数字签名是所述第一鉴别服务器对包括所述第一鉴别结果信息和所述身份消息在内的签名数据计算生成，或所述第二消息鉴别码是所述第一鉴别服务器对包括所述第一鉴别结果信息和所述身份消息在内的信息计算生成的；

验证模块920，用于利用所述第一鉴别服务器的公钥验证所述第二数字签名或利用与所述第一鉴别服务器的预共享密钥验证所述第二消息鉴别码，若验证通过，对所述身份消息中所述请求设备的身份鉴别码进行验证得到第二验证结果；

生成模块930，用于根据包括所述第二验证结果在内的信息生成第二鉴别结果信息，对包括所述第一鉴别结果信息在内的信息计算生成第二鉴别服务器的第一消息鉴别码，并对包括所述第二鉴别结果信息在内的签名数据计算生成第三数字签名或对包括所述第二鉴别结果信息在内的信息计算生成第三消息鉴别码；

发送模块940，用于向所述第一鉴别服务器发送第二鉴别响应消息，所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三数字签名或所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三消息鉴别码。

可选的，所述第二鉴别服务器向所述第一鉴别服务器发送的消息还包括所述第二鉴别服务器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值。

参见图10，本申请实施例还提供了一种请求设备REQ，包括：

存储器1001，用于存储程序指令；

处理器1002，用于调用所述存储器1001中存储的程序指令，按照获得的程序执行以实现上述实施例中的REQ执行的步骤。

应理解，该请求设备可以实现本申请实施例的各个方法中由REQ实现的相应流程，为了简洁，在此不再赘述。

参见图11，本申请实施例还提供了一种鉴别接入控制器AAC，包括：

存储器1101，用于存储程序指令；

处理器1102，用于调用所述存储器1101中存储的程序指令，按照获得的程序执行以实现上述实施例中的AAC执行的步骤。

应理解，该鉴别接入控制器可以实现本申请实施例的各个方法中由AAC实现的相应流程，为了简洁，在此不再赘述。

参见图12，本申请实施例还提供了一种第一鉴别服务器AS-AAC，包括：

存储器1201，用于存储程序指令；

处理器1202，用于调用所述存储器1201中存储的程序指令，按照获得的程序执行以实现上述实施例中的AS-AAC执行的步骤。

应理解，该第一鉴别服务器可以实现本申请实施例的各个方法中由AS-AAC实现的相应流程，为了简洁，在此不再赘述。

参见图13，本申请实施例还提供了一种第二鉴别服务器AS-REQ，包括：

存储器1301，用于存储程序指令；

处理器1302，用于调用所述存储器1301中存储的程序指令，按照获得的程序执行以实现上述实施例中的AS-REQ执行的步骤。

应理解，该第二鉴别服务器可以实现本申请实施例的各个方法中由AS-REQ实现的相应流程，为了简洁，在此不再赘述。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质可以是下述介质中的至少一种：只读存储器(英文：Read-Only Memory，缩写：ROM)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备及系统实施例而言，由于其与方法实施例相一致和对应，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅是示意性的，其中作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本申请的一种具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应该以权利要求的保护范围为准。

Claims

一种身份鉴别方法，其特征在于，所述方法包括：

鉴别接入控制器接收请求设备发送的身份消息，所述身份消息中包括所述请求设备的身份标识和所述请求设备的身份鉴别码；所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥、采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的；

所述鉴别接入控制器向其信任的第一鉴别服务器发送第一鉴别请求消息，所述第一鉴别请求消息中包括所述身份消息和所述鉴别接入控制器的数字证书；

所述鉴别接入控制器接收所述第一鉴别服务器发送的第一鉴别响应消息，所述第一鉴别响应消息中包括第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、第二鉴别结果信息和所述第一鉴别服务器的第一数字签名；所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果，所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥、采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的，所述第二鉴别结果信息中包括对所述请求设备的身份鉴别码的第二验证结果，所述第一数字签名是所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成的数字签名；

所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证，若验证通过，则所述鉴别接入控制器根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果；当所述鉴别接入控制器确定所述请求设备的身份鉴别结果为合法时，向所述请求设备发送第三鉴别响应消息；或者，

所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证，若验证通过，则所述鉴别接入控制器向所述请求设备发送第三鉴别响应消息以及根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果；或者，

所述鉴别接入控制器利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证；若所述第一数字签名验证通过，则所述鉴别接入控制器根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果；所述鉴别接入控制器向所述请求设备发送第三鉴别响应消息；

其中，所述第三鉴别响应消息中包括所述第一鉴别结果信息和所述第二鉴别服务器的第一消息鉴别码；

所述请求设备接收到所述第三鉴别响应消息后，利用与所述第二鉴别服务器的预共享密钥、采用与所述第二鉴别服务器约定的密码算法验证所述第二鉴别服务器的第一消息鉴别码，若验证通过，则所述请求设备根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。
根据权利要求1所述的方法，其特征在于，在所述鉴别接入控制器接收请求设备发送的身份消息之前，所述方法还包括：

所述鉴别接入控制器向所述请求设备发送第一消息，所述第一消息中包括所述鉴别接入控制器生成的第一随机数；

对应的，所述身份消息中还包括所述第一随机数。
根据权利要求2所述的方法，其特征在于，所述第一消息中还包括所述鉴别接入控制器支持的安全能力参数信息，所述方法还包括：

所述请求设备根据所述安全能力参数信息确定所述请求设备使用的特定安全策略；

则所述身份消息中还包括所述特定安全策略。
根据权利要求2所述的方法，其特征在于，在所述鉴别接入控制器向其信任的第一鉴别服务器发送第一鉴别请求消息之前，所述方法还包括：

所述鉴别接入控制器对所述身份消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证，且确定一致性验证通过。
根据权利要求2所述的方法，其特征在于，所述第一消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识；则所述方法还包括：

所述请求设备根据所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识，确定所述请求设备信任的至少一个鉴别服务器的身份标识；

则所述身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识；

则所述方法还包括：

所述鉴别接入控制器根据所述身份消息中所述请求设备信任的至少一个鉴别服务器的身份标识和所述第一消息中所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识，确定所述第一鉴别服务器。
根据权利要求1所述的方法，其特征在于，所述身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识；则所述方法还包括：

所述鉴别接入控制器根据所述请求设备信任的至少一个鉴别服务器的身份标识和所述鉴别接入控制器信任的鉴别服务器的身份标识，确定所述第一鉴别服务器。
根据权利要求2所述的方法，其特征在于，所述第一鉴别请求消息中还包括所述鉴别接入控制器的身份标识和/或所述鉴别接入控制器生成的第一随机数；

对应的，所述第一鉴别响应消息中还包括所述鉴别接入控制器的身份标识和/或所述第一随机数；

则在所述鉴别接入控制器确定所述请求设备的身份鉴别结果之前，所述方法还包括：

所述鉴别接入控制器对所述第一鉴别响应消息中所述鉴别接入控制器的身份标识和所述鉴别接入控制器自身的身份标识的一致性进行验证，和/或，对所述第一鉴别响应消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证；且确定一致性验证通过。
根据权利要求2所述的方法，其特征在于，所述第一鉴别请求消息中还包括所述请求设备的身份标识和/或所述请求设备生成的第二随机数；所述请求设备的身份标识和/或所述第二随机数是所述鉴别接入控制器从所述身份消息中获取的；

对应的，所述第一鉴别响应消息中还包括所述请求设备的身份标识和/或所述第二随机数；以及，所述第三鉴别响应消息还包括所述请求设备的身份标识和/或所述第二随机数；

则在所述请求设备确定所述鉴别接入控制器的身份鉴别结果之前，所述方法还包括：

所述请求设备对所述第三鉴别响应消息中所述请求设备的身份标识和所述请求设备自身的身份标识的一致性进行验证，和/或，对所述第三鉴别响应消息中的第二随机数和所述请求设备生成的第二随机数的一致性进行验证；且确定一致性验证通过。
根据权利要求1所述的方法，其特征在于，在所述请求设备确定所述鉴别接入控制器的身份鉴别结果之前，所述方法还包括：

所述请求设备确定所述鉴别接入控制器的数字签名验证通过。
根据权利要求9所述的方法，其特征在于，所述请求设备根据下列方式确定所述鉴别接入控制器的数字签名是否验证通过：

当所述第一鉴别请求消息中还包括所述鉴别接入控制器的数字签名时，所述第一鉴别服务器利用所述第一鉴别请求消息中的所述鉴别接入控制器的数字证书，对所述鉴别接入控制器的数字签名进行验证，若所述请求设备接收到所述第三鉴别响应消息，则所述请求设备确定所述鉴别接入控制器的数字签名已验证通过；

当所述第三鉴别响应消息中还包括所述鉴别接入控制器的数字签名时，相应的，所述第一鉴别结果信息中还包括所述鉴别接入控制器的数字证书；则所述请求设备利用所述第一鉴别结果信息中的所述鉴别接入控制器的数字证书对所述鉴别接入控制器的数字签名进行验证，根据验证结果确定所述鉴别接入控制器的数字签名是否验证通过。
根据权利要求1所述的方法，其特征在于，所述第二鉴别结果信息中还包括所述请求设备的身份标识，则在所述鉴别接入控制器确定所述请求设备的身份鉴别结果之前，所述方法还包括：

所述鉴别接入控制器对所述第二鉴别结果信息中的所述请求设备的身份标识和所述身份消息中的所述请求设备的身份标识的一致性进行验证，且确定一致性验证通过。
根据权利要求1至11任一项所述的方法，其特征在于，所述鉴别接入控制器信任的第一鉴别服务器和所述请求设备信任的第二鉴别服务器是同一个鉴别服务器，则所述方法还包括：

所述第一鉴别服务器对所述鉴别接入控制器的数字证书进行合法性验证得到第一验证结果，对所述请求设备的身份鉴别码进行验证得到第二验证结果，根据包括所述第一验证结果在内的信息生成所述第一鉴别结果信息，根据包括所述第二验证结果在内的信息生成所述第二鉴别结果信息，对包括所述第一鉴别结果信息在内的信息计算生成第一鉴别服务器的第一消息鉴别码，对包括所述第二鉴别结果信息在内的签名数据计算生成第一数字签名，根据包括所述第一鉴别结果信息、所述第一鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第一数字签名在内的信息生成所述第一鉴别响应消息。
根据权利要求1至11任一项所述的方法，其特征在于，所述鉴别接入控制器信任的第一鉴别服务器和所述请求设备信任的第二鉴别服务器是两个不同的鉴别服务器；则所述方法还包括：

所述第一鉴别服务器对所述鉴别接入控制器的数字证书进行合法性验证得到第一验证结果，根据包括所述第一验证结果在内的信息生成所述第一鉴别结果信息，对包括所述第一鉴别结果信息和所述身份消息在内的签名数据计算生成第二数字签名或对包括所述第一鉴别结果信息和所述身份消息在内的信息计算生成第二消息鉴别码；

所述第一鉴别服务器向第二鉴别服务器发送第二鉴别请求消息，所述第二鉴别请求消息中包括所述第一鉴别结果信息、所述身份消息和所述第二数字签名或所述第二鉴别请求消息中包括所述第一鉴别结果信息、所述身份消息和所述第二消息鉴别码；由所述第二鉴别服务器利用所述第一鉴别服务器的公钥验证所述第二数字签名或由所述第二鉴别服务器利用与所述第一鉴别服务器的预共享密钥验证所述第二消息鉴别码，若验证通过，则由所述第二鉴别服务器对所述身份消息中所述请求设备的身份鉴别码进行验证得到第二验证结果，根据包括所述第二验证结果在内的信息生成所述第二鉴别结果信息，对包括所述第一鉴别结果信息在内的信息计算生成第二鉴别服务器的第一消息鉴别码，对包括所述第二鉴别结果信息在内的签名数据计算生成第三数字签名或对包括所述第二鉴别结果信息在内的信息计算生成第三消息鉴别码；

所述第一鉴别服务器接收所述第二鉴别服务器发送的第二鉴别响应消息，所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三数字签名或所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三消息鉴别码；

所述第一鉴别服务器利用所述第二鉴别服务器的公钥验证所述第三数字签名或所述第一鉴别服务器利用与所述第二鉴别服务器的预共享密钥验证所述第三消息鉴别码，若验证通过，则所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成第一数字签名，根据包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第一数字签名在内的信息生成所述第一鉴别响应消息。
根据权利要求1至11任一项所述的方法，其特征在于，该方法还包括：

所述请求设备向所述鉴别接入控制器发送的消息还包括所述请求设备对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值；则所述鉴别接入控制器收到所述请求设备发送的消息时，对接收到的消息中的杂凑值进行验证，且确定验证通过；

所述鉴别接入控制器向所述请求设备发送的消息还包括所述鉴别接入控制器对接收到的所述请求设备发送的最新前序消息计算的杂凑值；则所述请求设备收到所述鉴别接入控制器发送的消息时，对接收到的消息中的杂凑值进行验证，且确定验证通过；

所述鉴别接入控制器向所述第一鉴别服务器发送的消息还包括所述鉴别接入控制器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值；则所述第一鉴别服务器收到所述鉴别接入控制器发送的消息时，对接收到的消息中的杂凑值进行验证，且确定验证通过；

所述第一鉴别服务器向所述鉴别接入控制器发送的消息还包括所述第一鉴别服务器对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值；则所述鉴别接入控制器收到所述第一鉴别服务器发送的消息时，对接收到的消息中的杂凑值进行验证，且确定验证通过；

所述第一鉴别服务器向所述第二鉴别服务器发送的消息还包括所述第一鉴别服务器对接收到的所述第二鉴别服务器发送的最新前序消息计算的杂凑值；则所述第二鉴别服务器收到所述第一鉴别服务器发送的消息时，对接收到的消息中的杂凑值进行验证，且确定验证通过；

所述第二鉴别服务器向所述第一鉴别服务器发送的消息还包括所述第二鉴别服务器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值；则所述第一鉴别服务器收到所述第二鉴别服务器发送的消息时，对接收到的消息中的杂凑值进行验证，且确定验证通过。
一种请求设备，其特征在于，所述请求设备包括：

生成模块，用于利用与所述请求设备信任的第二鉴别服务器的预共享密钥、采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成所述请求设备的身份鉴别码；

发送模块，用于向鉴别接入控制器发送身份消息，所述身份消息中包括所述请求设备的身份标识和所述请求设备的身份鉴别码；

接收模块，用于接收所述鉴别接入控制器发送的第三鉴别响应消息，所述第三鉴别响应消息中包括第一鉴别结果信息和所述第二鉴别服务器的第一消息鉴别码；所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果，所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥、采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的；

验证模块，用于利用与所述第二鉴别服务器的预共享密钥、采用与所述第二鉴别服务器约定的密码算法验证所述第二鉴别服务器的第一消息鉴别码；

确定模块，用于若验证通过，则根据所述第一鉴别结果信息中的第一验证结果确定所述鉴别接入控制器的身份鉴别结果。
根据权利要求15所述的请求设备，其特征在于，所述接收模块还用于：接收所述鉴别接入控制器发送的第一消息，所述第一消息中包括所述鉴别接入控制器生成的第一随机数；

对应的，所述发送模块发送的身份消息中还包括所述第一随机数。
根据权利要求16所述的请求设备，其特征在于，所述第一消息中还包括所述鉴别接入控制器支持的安全能力参数信息；

所述确定模块还用于：根据所述安全能力参数信息确定所述请求设备使用的特定安全策略；

对应的，所述发送模块发送的身份消息中还包括所述特定安全策略。
根据权利要求16所述的请求设备，其特征在于，所述第一消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识；

所述确定模块还用于：根据所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识，确定所述请求设备信任的至少一个鉴别服务器的身份标识；

则所述发送模块发送的身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识。
根据权利要求15所述的请求设备，其特征在于，所述发送模块发送的身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识。
根据权利要求16所述的请求设备，其特征在于，所述第三鉴别响应消息还包括所述请求设备的身份标识和/或第二随机数；在所述确定模块确定所述鉴别接入控制器的身份鉴别结果之前，所述验证模块还用于：对所述第三鉴别响应消息中所述请求设备的身份标识和所述请求设备自身的身份标识的一致性进行验证，和/或，对所述第三鉴别响应消息中的第二随机数和所述请求设备生成的第二随机数的一致性进行验证；且确定一致性验证通过。
根据权利要求15所述的请求设备，其特征在于，所述确定模块在确定所述鉴别接入控制器的身份鉴别结果之前，还用于确定所述鉴别接入控制器的数字签名验证通过。
根据权利要求21所述的请求设备，其特征在于，所述确定模块根据下列方式确定所述鉴别接入控制器的数字签名是否验证通过：

当所述鉴别接入控制器向其信任的第一鉴别服务器发送的第一鉴别请求消息中还包括所述鉴别接入控制器的数字签名时，所述第一鉴别服务器利用所述第一鉴别请求消息中的所述鉴别接入控制器的数字证书，对所述鉴别接入控制器的数字签名进行验证，若所述接收模块接收到所述第三鉴别响应消息，则确定所述鉴别接入控制器的数字签名已验证通过；

当所述第三鉴别响应消息中还包括所述鉴别接入控制器的数字签名时，相应的，所述第一鉴别结果信息中还包括所述鉴别接入控制器的数字证书；则利用所述第一鉴别结果信息中的所述鉴别接入控制器的数字证书对所述鉴别接入控制器的数字签名进行验证，根据验证结果确定所述鉴别接入控制器的数字签名是否验证通过。
根据权利要求15至22任一项所述的请求设备，其特征在于，所述请求设备向所述鉴别接入控制器发送的消息还包括所述请求设备对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值。
一种鉴别接入控制器，其特征在于，所述鉴别接入控制器包括：

接收模块，用于接收请求设备发送的身份消息，所述身份消息中包括所述请求设备的身份标识和所述请求设备的身份鉴别码，所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥、采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的；

发送模块，用于向所述鉴别接入控制器信任的第一鉴别服务器发送第一鉴别请求消息，所述第一鉴别请求消息中包括所述身份消息和所述鉴别接入控制器的数字证书；

所述接收模块，还用于接收所述第一鉴别服务器发送的第一鉴别响应消息，所述第一鉴别响应消息中包括第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、第二鉴别结果信息和所述第一鉴别服务器的第一数字签名；所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果，所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥、采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的，所述第二鉴别结果信息中包括对所述请求设备的身份鉴别码的第二验证结果，所述第一数字签名是所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成的数字签名；

验证模块，用于利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证，若验证通过，则确定模块根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果；当所述确定模块确定所述请求设备的身份鉴别结果为合法时，所述发送模块向所述请求设备发送第三鉴别响应消息；或者，

用于利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证，若验证通过，则所述发送模块向所述请求设备发送第三鉴别响应消息以及确定模块根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果；或者，

用于利用所述第一鉴别服务器的公钥对所述第一数字签名进行验证；若所述第一数字签名验证通过，则确定模块根据所述第二鉴别结果信息中的第二验证结果确定所述请求设备的身份鉴别结果；所述发送模块向所述请求设备发送第三鉴别响应消息；

其中，所述第三鉴别响应消息中包括所述第一鉴别结果信息和所述第二鉴别服务器的第一消息鉴别码。
根据权利要求24所述的鉴别接入控制器，其特征在于，在所述接收模块接收请求设备发送的身份消息之前，所述发送模块还用于：向所述请求设备发送第一消息，所述第一消息中包括所述鉴别接入控制器生成的第一随机数；

对应的，所述接收模块接收的身份消息中还包括所述第一随机数；

在所述发送模块向所述鉴别接入控制器信任的第一鉴别服务器发送第一鉴别请求消息之前，所述验证模块还用于：对所述身份消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证，且确定一致性验证通过。
根据权利要求25所述的鉴别接入控制器，其特征在于，所述发送模块发送的第一消息中还包括所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识；

则所述接收模块接收的身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识；所述请求设备信任的至少一个鉴别服务器的身份标识是所述请求设备根据所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识确定的；

所述确定模块还用于：根据所述身份消息中所述请求设备信任的至少一个鉴别服务器的身份标识和所述第一消息中所述鉴别接入控制器信任的至少一个鉴别服务器的身份标识，确定所述第一鉴别服务器。
根据权利要求24所述的鉴别接入控制器，其特征在于，所述接收模块接收的身份消息中还包括所述请求设备信任的至少一个鉴别服务器的身份标识；

所述确定模块还用于：根据所述请求设备信任的至少一个鉴别服务器的身份标识和所述鉴别接入控制器信任的鉴别服务器的身份标识，确定所述第一鉴别服务器。
根据权利要求25所述的鉴别接入控制器，其特征在于，所述发送模块发送的第一鉴别请求消息中还包括所述鉴别接入控制器的身份标识和/或所述鉴别接入控制器生成的第一随机数；

对应的，所述接收模块接收的第一鉴别响应消息中还包括所述鉴别接入控制器的身份标识和/或所述第一随机数；

在所述确定模块确定所述请求设备的身份鉴别结果之前，所述验证模块还用于：对所述第一鉴别响应消息中所述鉴别接入控制器的身份标识和所述鉴别接入控制器自身的身份标识的一致性进行验证，和/或，对所述第一鉴别响应消息中的第一随机数和所述鉴别接入控制器生成的第一随机数的一致性进行验证；且确定一致性验证通过。
根据权利要求24所述的鉴别接入控制器，其特征在于，所述接收模块接收的第一鉴别响应消息中的第二鉴别结果信息中还包括所述请求设备的身份标识；

在所述确定模块确定所述请求设备的身份鉴别结果之前，所述验证模块还用于：对所述第二鉴别结果信息中的所述请求设备的身份标识和所述身份消息中的所述请求设备的身份标识的一致性进行验证，且确定一致性验证通过。
根据权利要求24至29任一项所述的鉴别接入控制器，其特征在于，所述鉴别接入控制器向所述请求设备发送的消息还包括所述鉴别接入控制器对接收到的所述请求设备发送的最新前序消息计算的杂凑值；所述鉴别接入控制器向所述第一鉴别服务器发送的消息还包括所述鉴别接入控制器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值。
一种第一鉴别服务器，其特征在于，所述第一鉴别服务器包括：

接收模块，用于接收鉴别接入控制器发送的第一鉴别请求消息，所述第一鉴别请求消息中包括身份消息和所述鉴别接入控制器的数字证书；所述身份消息中包括请求设备的身份标识和所述请求设备的身份鉴别码，所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥、采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的；

发送模块，用于向所述鉴别接入控制器发送第一鉴别响应消息，所述第一鉴别响应消息中包括第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、第二鉴别结果信息和所述第一鉴别服务器的第一数字签名；所述第一鉴别结果信息中包括对所述鉴别接入控制器的数字证书的第一验证结果，所述第二鉴别服务器的第一消息鉴别码是所述第二鉴别服务器利用与所述请求设备的预共享密钥、采用与所述请求设备约定的密码算法对包括所述第一鉴别结果信息在内的信息计算生成的，所述第二鉴别结果信息中包括对所述请求设备的身份鉴别码的第二验证结果，所述第一数字签名是所述第一鉴别服务器对包括所述第二鉴别结果信息在内的签名数据计算生成的数字签名。
根据权利要求31所述的第一鉴别服务器，其特征在于，所述第一鉴别服务器还包括：

第一验证模块，用于对所述鉴别接入控制器的数字证书进行合法性验证得到第一验证结果，对所述请求设备的身份鉴别码进行验证得到第二验证结果；

第一生成模块，用于根据包括所述第一验证结果在内的信息生成所述第一鉴别结果信息，根据包括所述第二验证结果在内的信息生成所述第二鉴别结果信息，对包括所述第一鉴别结果信息在内的信息计算生成第一鉴别服务器的第一消息鉴别码，对包括所述第二鉴别结果信息在内的签名数据计算生成第一数字签名；

第二生成模块，用于根据包括所述第一鉴别结果信息、所述第一鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第一数字签名在内的信息计算生成所述第一鉴别响应消息。
根据权利要求31所述的第一鉴别服务器，其特征在于，所述第一鉴别服务器还包括：

第二验证模块，用于对所述鉴别接入控制器的数字证书进行合法性验证得到第一验证结果；

第三生成模块，用于根据包括所述第一验证结果在内的信息生成所述第一鉴别结果信息，对包括所述第一鉴别结果信息和所述身份消息在内的签名数据计算生成第二数字签名或对包括所述第一鉴别结果信息和所述身份消息在内的信息计算生成第二消息鉴别码；

所述发送模块还用于：向所述第二鉴别服务器发送第二鉴别请求消息，所述第二鉴别请求消息中包括所述第一鉴别结果信息、所述身份消息和所述第二数字签名或所述第二鉴别请求消息中包括所述第一鉴别结果信息、所述身份消息和所述第二消息鉴别码；由所述第二鉴别服务器利用所述第一鉴别服务器的公钥验证所述第二数字签名或由所述第二鉴别服务器利用与所述第一鉴别服务器的预共享密钥验证所述第二消息鉴别码，若验证通过，则由所述第二鉴别服务器对所述身份消息中所述请求设备的身份鉴别码进行验证得到第二验证结果，根据包括所述第二验证结果在内的信息生成所述第二鉴别结果信息，对包括所述第一鉴别结果信息在内的信息计算生成第二鉴别服务器的第一消息鉴别码，对包括所述第二鉴别结果信息在内的签名数据计算生成第三数字签名或对包括所述第二鉴别结果信息在内的信息计算生成第三消息鉴别码；

所述接收模块还用于：接收所述第二鉴别服务器发送的第二鉴别响应消息，所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三数字签名或所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三消息鉴别码；

所述第二验证模块还用于：利用所述第二鉴别服务器的公钥验证所述第三数字签名或利用与所述第二鉴别服务器的预共享密钥验证所述第三消息鉴别码；

所述第三生成模块还用于：若所述第三数字签名或所述第三消息鉴别码验证通过，则对包括所述第二鉴别结果信息在内的签名数据计算生成第一数字签名，根据包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第一数字签名在内的信息生成所述第一鉴别响应消息。
根据权利要求31至33任一项所述的第一鉴别服务器，其特征在于，所述第一鉴别服务器向所述鉴别接入控制器发送的消息还包括所述第一鉴别服务器对接收到的所述鉴别接入控制器发送的最新前序消息计算的杂凑值；所述第一鉴别服务器向所述第二鉴别服务器发送的消息还包括所述第一鉴别服务器对接收到的所述第二鉴别服务器发送的最新前序消息计算的杂凑值。
一种第二鉴别服务器，其特征在于，所述第二鉴别服务器包括：

接收模块，用于接收第一鉴别服务器发送的第二鉴别请求消息，所述第二鉴别请求消息中包括第一鉴别结果信息、身份消息和第二数字签名或所述第二鉴别请求消息中包括第一鉴别结果信息、身份消息和第二消息鉴别码；所述第一鉴别结果信息是所述第一鉴别服务器对鉴别接入控制器的数字证书进行合法性验证得到第一验证结果，并根据包括所述第一验证结果在内的信息生成的；所述身份消息中包括请求设备的身份标识和所述请求设备的身份鉴别码，所述请求设备的身份鉴别码是所述请求设备利用与其信任的第二鉴别服务器的预共享密钥、采用与所述第二鉴别服务器约定的密码算法对包括所述请求设备的身份标识在内的信息计算生成的；所述第二数字签名是所述第一鉴别服务器对包括所述第一鉴别结果信息和所述身份消息在内的签名数据计算生成，或所述第二消息鉴别码是所述第一鉴别服务器对包括所述第一鉴别结果信息和所述身份消息在内的信息计算生成的；

验证模块，用于利用所述第一鉴别服务器的公钥验证所述第二数字签名或利用与所述第一鉴别服务器的预共享密钥验证所述第二消息鉴别码，若验证通过，对所述身份消息中所述请求设备的身份鉴别码进行验证得到第二验证结果；

生成模块，用于根据包括所述第二验证结果在内的信息生成第二鉴别结果信息，对包括所述第一鉴别结果信息在内的信息计算生成第二鉴别服务器的第一消息鉴别码，并对包括所述第二鉴别结果信息在内的签名数据计算生成第三数字签名或对包括所述第二鉴别结果信息在内的信息计算生成第三消息鉴别码；

发送模块，用于向所述第一鉴别服务器发送第二鉴别响应消息，所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三数字签名或所述第二鉴别响应消息中包括所述第一鉴别结果信息、所述第二鉴别服务器的第一消息鉴别码、所述第二鉴别结果信息和所述第三消息鉴别码。
根据权利要求35所述的第二鉴别服务器，其特征在于，所述第二鉴别服务器向所述第一鉴别服务器发送的消息还包括所述第二鉴别服务器对接收到的所述第一鉴别服务器发送的最新前序消息计算的杂凑值。
一种请求设备，其特征在于，所述请求设备包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行如权利要求1～14任一项中请求设备侧的方法。
一种鉴别接入控制器，其特征在于，所述鉴别接入控制器包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行如权利要求1～14任一项中鉴别接入控制器侧的方法。
一种第一鉴别服务器，其特征在于，所述第一鉴别服务器包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行如权利要求1～14任一项中第一鉴别服务器侧的方法。
一种第二鉴别服务器，其特征在于，所述第二鉴别服务器包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行如权利要求1～14任一项中第二鉴别服务器侧的方法。
一种计算机存储介质，其特征在于，所述计算机存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行权利要求1至14任一项所述的方法。