[发明专利]一种身份鉴别方法和装置

权利要求书

1.一种身份鉴别方法，其特征在于，所述方法包括：

请求设备向鉴别接入控制器发送第一身份密文消息，所述第一身份密文消息中包括第一身份信息密文，所述第一身份信息密文是利用消息加密密钥对包括所述请求设备的身份标识在内的信息加密生成的；

所述鉴别接入控制器利用所述消息加密密钥解密所述第一身份信息密文得到所述请求设备的身份标识，根据所述请求设备的身份标识确定与所述请求设备的预共享密钥，根据包括所述预共享密钥和第一密钥在内的信息计算生成身份鉴别密钥；

所述鉴别接入控制器向所述请求设备发送第二身份密文消息，所述第二身份密文消息中包括第二身份信息密文和所述鉴别接入控制器的第二密钥交换参数，所述第二身份信息密文是所述鉴别接入控制器利用所述消息加密密钥对包括所述鉴别接入控制器的身份标识在内的信息加密生成的；所述鉴别接入控制器的第二密钥交换参数是利用所述身份鉴别密钥对包括所述鉴别接入控制器生成的第二临时公钥在内的信息加密生成的；

所述请求设备利用所述消息加密密钥解密所述第二身份信息密文得到所述鉴别接入控制器的身份标识，根据所述鉴别接入控制器的身份标识确定与所述鉴别接入控制器的预共享密钥，根据包括所述预共享密钥和所述第一密钥在内的信息计算生成所述身份鉴别密钥；

所述请求设备向所述鉴别接入控制器发送第一鉴权消息，所述第一鉴权消息中包括所述请求设备的第二密钥交换参数；所述请求设备的第二密钥交换参数是所述请求设备利用所述身份鉴别密钥对包括所述请求设备生成的第二临时公钥在内的信息加密生成的；

当所述请求设备作为被验证方时，所述第一鉴权消息中还包括第一身份鉴权码，所述第一身份鉴权码是所述请求设备利用所述身份鉴别密钥对第一指定数据计算生成的；所述第一指定数据包括所述请求设备的身份标识和第二密钥，所述第二密钥是所述请求设备根据包括所述请求设备的第二临时公钥对应的第二临时私钥和由所述鉴别接入控制器的第二密钥交换参数恢复出的第二临时公钥进行密钥交换计算生成的；所述鉴别接入控制器接收所述第一鉴权消息，利用所述身份鉴别密钥和所述第一指定数据验证所述第一身份鉴权码，根据验证结果确定所述请求设备的身份鉴别结果；和/或者，

当所述鉴别接入控制器作为被验证方时，所述鉴别接入控制器向所述请求设备发送第二鉴权消息，所述第二鉴权消息中包括第二身份鉴权码；所述第二身份鉴权码是所述鉴别接入控制器利用所述身份鉴别密钥对第二指定数据计算生成的，所述第二指定数据包括所述鉴别接入控制器的身份标识和第二密钥，所述第二密钥是所述鉴别接入控制器根据包括所述鉴别接入控制器的第二临时公钥对应的第二临时私钥和由所述请求设备的第二密钥交换参数恢复出的第二临时公钥进行所述密钥交换计算生成的；所述请求设备接收所述第二鉴权消息，利用所述身份鉴别密钥和所述第二指定数据验证所述第二身份鉴权码，根据验证结果确定所述鉴别接入控制器的身份鉴别结果。

2.根据权利要求1所述的方法，其特征在于，所述请求设备和所述鉴别接入控制器通过以下方式协商所述第一密钥：

所述鉴别接入控制器向所述请求设备发送密钥协商请求消息，所述密钥协商请求消息中包括所述鉴别接入控制器生成的第一密钥交换参数，所述鉴别接入控制器的第一密钥交换参数包括所述鉴别接入控制器生成的第一临时公钥；

所述请求设备根据包括所述请求设备的第一临时公钥对应的第一临时私钥和所述鉴别接入控制器的第一临时公钥进行所述密钥交换计算得到所述第一密钥；

则所述第一身份密文消息中还包括所述请求设备的第一密钥交换参数；所述请求设备的第一密钥交换参数包括所述请求设备生成的第一临时公钥；

所述鉴别接入控制器根据包括所述鉴别接入控制器的第一临时公钥对应的第一临时私钥和所述请求设备的第一临时公钥进行所述密钥交换计算得到所述第一密钥。

3.根据权利要求2所述的方法，其特征在于，所述请求设备和所述鉴别接入控制器通过以下方式协商生成所述消息加密密钥：

所述请求设备根据包括所述第一密钥在内的计算信息，利用密钥导出算法计算所述消息加密密钥；

对应的，所述鉴别接入控制器根据包括所述第一密钥在内的计算信息，利用所述密钥导出算法计算所述消息加密密钥。