Processing

Please wait...

Settings

Settings

Goto Application

1. CN112533202 - Identity authentication method and device

Note: Text based on automatic Optical Character Recognition processes. Please use the PDF version for legal matters

[ ZH ]

权利要求书

1.一种身份鉴别方法,其特征在于,所述方法包括:
接收终端设备发送的接入网络请求,所述接入网络请求包括所述终端设备的临时隐私身份标识,所述临时隐私身份标识由身份管理服务器根据用户的身份信息生成;
根据所述终端设备所属域的主身份验证密钥和所述临时隐私身份标识,生成所述临时隐私身份标识的验证密钥;
根据所述临时隐私身份标识以及所述临时隐私身份标识的验证密钥,生成第一消息;
向所述终端设备发送第一消息;
接收所述终端设备根据所述第一消息返回的第二消息;
根据所述临时隐私身份标识以及所述临时隐私身份标识的验证密钥,对所述第二消息进行验证;
当验证通过后,允许所述终端设备接入。

2.根据权利要求1所述的方法,其特征在于,所述接收终端设备发送的接入网络请求之后,所述方法还包括:
当所述接入网络请求中包括域标识时,如果网络设备上存储有所述域标识对应的验证密钥,提取所述域标识对应的验证密钥作为所述主身份验证密钥;
如果所述网络设备上未存储有所述域标识对应的验证密钥,向所述身份管理服务器发送主身份验证密钥请求,将所述身份管理服务器返回的验证密钥作为所述主身份验证密钥。

3.根据权利要求1所述的方法,其特征在于,所述根据所述终端设备所属域的主身份验证密钥和所述临时隐私身份标识,生成所述临时隐私身份标识的验证密钥包括:
根据所述终端设备所属域的主身份验证密钥和所述临时隐私身份标识,通过单向函数进行派生计算,得到所述临时隐私身份标识的验证密钥。

4.一种身份鉴别方法,其特征在于,所述方法包括:
向网络设备发送接入网络请求,所述接入网络请求包括处于有效期内的临时隐私身份标识,所述临时隐私身份标识由身份管理服务器根据用户的身份信息生成;
接收所述网络设备根据所述接入网络请求返回的第一消息;
根据所述临时隐私身份标识以及所述临时隐私身份标识在所述有效期内的验证密钥,对所述第一消息进行验证;
当验证通过时,根据所述第一消息、所述临时隐私身份标识以及所述验证密钥,向所述网络设备发送第二消息,所述第二消息用于所述网络设备进行验证。

5.根据权利要求4所述的方法,其特征在于,所述根据所述临时隐私身份标识以及所述临时隐私身份标识在所述有效期内的验证密钥,对所述第一消息进行验证包括:
根据所述临时隐私身份标识、所述验证密钥以及所述接入网络请求所携带的第一随机数,生成第一验证码;
将所述第一验证码与所述第一消息中携带的第一特征码进行对比,当确定一致时,则验证通过,当确定不一致时,则验证不通过。

6.根据权利要求4所述的方法,其特征在于,所述第二消息携带消息内容以及第二特征码,所述第二特征码根据所述临时隐私身份标识、所述验证密钥、第二随机数以及所述接入网络请求所携带的第一随机数生成。

7.根据权利要求4所述的方法,其特征在于,所述向网络设备发送接入网络请求之前,所述方法还包括:
向所述身份管理服务器发送临时隐私身份标识请求;
接收所述身份管理服务器返回的至少一组临时隐私身份标识和验证密钥。

8.根据权利要求4所述的方法,其特征在于,所述临时隐私身份标识包括根据所述身份管理服务器的加密密钥对所述身份信息加密得到的密文以及随机数。

9.一种身份鉴别方法,其特征在于,所述方法包括:
接收终端设备的临时隐私身份标识请求,所述临时隐私身份标识请求携带所述终端设备用户的身份信息;
根据所述终端设备上用户的身份信息,生成至少一对临时隐私身份标识和对应的验证密钥;
将所述至少一对临时隐私身份标识和验证密钥发送给所述终端设备。

10.根据权利要求9所述的方法,其特征在于,所述将所述至少一对临时隐私身份标识和验证密钥发送给所述终端设备之后,所述方法还包括:
接收网络设备发送的主身份验证密钥请求;
根据所述主身份验证密钥请求,将所述至少一对临时隐私身份标识对应的验证密钥中的一个验证密钥发送给所述网络设备。

11.根据权利要求9所述的方法,其特征在于,所述根据所述终端设备上用户的身份信息,生成至少一对临时隐私身份标识和对应的验证密钥包括:
获取所述身份信息对应的私钥;
根据所述私钥,生成加密密钥和完整性验证密钥;
根据所述加密密钥,对所述身份信息进行加密,得到密文;
根据所述终端设备的管理域标识、所述完整性验证密钥以及所述密文,获取所述临时隐私身份标识的特征码;
根据所述临时隐私身份标识的特征码,生成至少一个所述临时隐私身份标识;
根据主身份验证密钥,为所述至少一个所述临时隐私身份标识,生成对应的至少一个验证密钥。

12.根据权利要求11所述的方法,其特征在于,所述获取所述身份信息对应的私钥包括下述任一步骤:
从已生成的密钥中选择一个私钥;
根据密钥生成策略,为所述身份信息生成对应的私钥。

13.一种身份鉴别装置,其特征在于,所述装置包括:
接收模块,用于接收终端设备发送的接入网络请求,所述接入网络请求包括所述终端设备的临时隐私身份标识;
密钥生成模块,用于根据所述终端设备所属域的主身份验证密钥和所述临时隐私身份标识,生成所述临时隐私身份标识的验证密钥;
消息生成模块,用于根据所述临时隐私身份标识以及所述临时隐私身份标识的验证密钥,生成第一消息;
发送模块,用于向所述终端设备发送第一消息;
所述接收模块,还用于接收所述终端设备根据所述第一消息返回的第二消息;
验证模块,用于根据所述临时隐私身份标识以及所述临时隐私身份标识的验证密钥,对所述第二消息进行验证;
接入模块,用于当验证通过后,允许所述终端设备接入。

14.根据权利要求13所述的装置,其特征在于,所述装置还包括:
提取模块,用于当所述接入网络请求中包括域标识时,如果网络设备上存储有所述域标识对应的验证密钥,提取所述域标识对应的验证密钥作为所述主身份验证密钥;
所述发送模块,还用于如果所述网络设备上未存储有所述域标识对应的验证密钥,向所述身份管理服务器发送主身份验证密钥请求。

15.根据权利要求13所述的装置,其特征在于,所述密钥生成模块用于根据终端设备所属域的主身份验证密钥和所述临时隐私身份标识,通过单向函数进行派生计算,得到所述临时隐私身份标识的验证密钥。

16.一种身份鉴别装置,其特征在于,所述装置包括:
发送模块,用于向网络设备发送接入网络请求,所述接入网络请求包括处于有效期内的临时隐私身份标识,所述临时隐私身份标识由身份管理服务器根据用户的身份信息生成;
接收模块,用于接收所述网络设备根据所述接入网络请求返回的第一消息;
验证模块,用于根据所述临时隐私身份标识以及所述临时隐私身份标识在所述有效期内的验证密钥,对所述第一消息进行验证;
所述发送模块,还用于当验证通过时,根据所述第一消息、所述临时隐私身份标识以及所述验证密钥,向所述网络设备发送第二消息,所述第二消息用于所述网络设备进行验证。

17.根据权利要求16所述的装置,其特征在于,所述装置还包括:
验证码生成模块,用于根据所述临时隐私身份标识、所述验证密钥以及所述接入网络请求所携带的第一随机数,生成第一验证码;
对比模块,用于将所述第一验证码与所述第一消息中携带的第一特征码进行对比,当确定一致时,则验证通过,当确定不一致时,则验证不通过。

18.根据权利要求16所述的装置,其特征在于,所述发送模块,还用于向所述身份管理服务器发送临时隐私身份标识请求;
所述接收模块,还用于接收所述身份管理服务器返回的至少一组临时隐私身份标识和验证密钥。

19.一种身份鉴别装置,其特征在于,所述装置包括:
接收模块,用于接收终端设备的临时隐私身份标识请求,所述临时隐私身份标识请求携带所述终端设备用户的身份信息;
生成模块,用于根据所述终端设备上用户的身份信息,生成至少一对临时隐私身份标识和对应的验证密钥;
发送模块,用于将所述至少一对临时隐私身份标识和验证密钥发送给所述终端设备。

20.根据权利要求19所述的装置,其特征在于,所述接收模块,还用于接收网络设备发送的主身份验证密钥请求;
所述发送模块,还用于根据所述主身份验证密钥请求,将所述至少一对临时隐私身份标识对应的验证密钥中的一个验证密钥发送给所述网络设备。

21.根据权利要求19所述的装置,其特征在于,所述装置还包括:
私钥获取模块,用于获取所述身份信息对应的私钥;
密钥生成模块,用于根据所述私钥,生成加密密钥和完整性验证密钥;
加密模块,用于根据所述加密密钥,对所述身份信息进行加密,得到密文;
特征码获取模块,用于根据所述终端设备的管理域标识、所述完整性验证密钥以及所述密文,获取所述临时隐私身份标识的特征码;
身份标识生成模块,用于根据所述临时隐私身份标识的特征码,生成至少一个所述临时隐私身份标识;
所述密钥生成模块,还用于根据主身份验证密钥,为所述至少一个所述临时隐私身份标识,生成对应的至少一个验证密钥。

22.根据权利要求19所述的装置,其特征在于,所述装置还包括:
选择模块,用于从已生成的密钥中选择一个私钥;
私钥生成模块,用于根据密钥生成策略,为所述身份信息生成对应的私钥。