本申请实施例公开了一种鉴权方法和设备,由CA服务器等具有证书颁发功能的第二设备,为待鉴权的第一设备生成第一证书,并基于第一私钥对该第一证书进行数字签名,第一设备获取到该数字签名后的第一证书后,对该数字签名后的证书进行验证,获得第一验证结果,并基于该第一验证结果对该第一设备的使用权限进行鉴权。这样,通过具有证书颁发功能和数字签名功能、安全等级较高的第二设备通过数字签名后的第一证书,实现对待鉴权的第一设备的鉴权,克服了目前通过密码本等方式保护第一设备安全时存在的安全隐患,确保对第一设备的访问和使用更加安全和可靠。
【技术实现步骤摘要】
鉴权方法和设备
本申请涉及安全通信
,特别是涉及一种鉴权方法和设备,该方法用于有开通设备或设备上接口的使用权限的需求时,对该设备或设备上接口的鉴权。
技术介绍
设备上会存储很多信息,有的信息对于设备的生产商或者使用者非常重要。目前,通常采用密码本的方式对设备进行鉴权,以确保设备以及其上信息的安全。具体而言,密码本上保存着多个密码,在设备上预置一个或多个密码,当有开放该设备的使用权限的需求时,由指定人员(如:调试人员、运维人员、生产人员等)将密码本中的密码输入到设备中,和设备中预置的密码进行匹配,匹配成功时,视作该设备鉴权通过,该设备开放匹配成功的密码对应的使用权限,从而可以通过设备上已开放的使用权限访问对应的重要信息。但是,由于密码本的存储、传输和匹配均采用的是明文,而且,人为管理密码本非常容易泄露密码本中的密码,可见,采用该密码本对设备进行鉴权,安全性较低。基于此,亟待提供一种安全等级更高的鉴权方式,确保设备在安全的情况下被开放使用权限,从而保障其上信息的安全。
技术实现思路
基于此,本申请实施例提供了一种鉴权方法和设备、以及对第一设备的使用权限进行鉴权的方法和设备,通过安全等级较高的证书颁发机构(英文:CertificateAuthority,简称:CA)服务器等设备对证书进行数字签名并由待鉴权的设备对该具有签名的证书进行完整性验证的方式,实现对待鉴权的设备更为安全的鉴权。第一方面,提供了一种鉴权方法,应用在包括第一设备和第二设备的场景中,以第一设备为执行主体,该鉴权方法例如可以包括:第一设备从第二设备获取采用第一私钥进行数字签名的第一证书,即可对该第一证书进行验证,获得第一验证结果,那么,第一设备就可以根据该第一验证结果,确定第一设备的使用权限。具体而言,当第一验证结果表示验证通过,则第一设备开放对应的使用权限,当第一验证结果表示验证未通过,则第一设备不开放对应的使用权限。这样,通过具有证书颁发功能和数字签名功能、安全等级较高的第二设备对第一证书进行数字签名,并由待鉴权的第一设备对该数字签名后的第一证书进行验证,实现对待鉴权的第一设备的鉴权,克服了目前通过密码本或者接口对应焊盘裸露的等方式保护第一设备安全时存在的安全隐患,通过高安全等级的第二设备颁发的证书以及数字签名技术,确保了对待鉴权的第一设备的保护更加安全和可靠。其中,第一设备可以是待鉴权的任何设备,例如:可以指网络设备或单板,又例如:也可以指设备上的调试接口或业务接口。第二设备可以是指安全等级较高,且具有证书颁发功能和数字签名功能的鉴权服务器,例如:证书颁发机构(英文:CertificateAuthority,简称:CA)服务器。当第一设备指调试接口,第二设备是CA服务器时,CA服务器颁发且通过数字签名后的证书下发到调试接口所在设备并验证通过后,该调试接口所在设备开放该调试接口的使用权限,供访问和使用该调试接口。可选地,第一设备对第一证书进行验证,具体可以包括:第一设备根据本地存储的与第一私钥对应的第一公钥,对第一证书进行验证。具体包括对第一证书的完整性验证和合法性验证两部分,第一设备接收到的是第一证书以及第一证书的签名,第一设备可以通过第一公钥对所接收到的签名进行解密,获得第一摘要,第一设备也可以计算所接收的第一证书的哈希值,记作该第一证书的第二摘要,第一设备通过第一摘要和第二摘要的匹配验证,确定第一证书的第一验证结果,当第一摘要和第二摘要匹配,则,第一验证结果表征对第一证书的验证通过;当第一摘要和第二摘要不匹配,则,第一验证结果表征对第一证书的验证未通过。这样,通过第一设备本地存储的公钥对证书进行验证,指导第一设备对其使用权限的管理,实现对第一设备可靠和安全的鉴权。可选地,该第一证书中可以包括证书类型,第一设备对第一证书进行验证,还可以包括:验证所述证书类型。其中,第一证书的扩展域中如果扩展了用于指示该第一证书的证书类型的字段,那么,第一设备可以读取该字段,当确定该字段指示该第一证书为鉴权证书,第一验证结果可以表征对第一证书的验证通过;否则,当确定该字段指示该第一证书不是鉴权证书,第一验证结果可以表征对第一证书的验证未通过。这样,第一设备还可以通过对所接收的第一证书的证书类型的验证,指导该第一设备对其使用权限的管理,实现对第一设备可靠和安全的鉴权。可选地,该第一证书中还可以包括第一设备标识信息,那么,对第一证书进行验证还可以包括:基于本地存储的所述第一设备的第二设备标识信息,对所述第一证书携带的所述第一设备标识信息进行匹配验证,其中,所述第二设备标识信息用于唯一的标识所述第一设备。作为一个示例,该第一设备标识信息可以是第一设备标识(英文:Identification,简称:ID),第一设备对第一证书进行验证,还可以包括:第一设备基于本地存储的第一设备的第二设备ID,对第一证书携带的第一设备ID进行匹配验证,其中,该第二设备ID用于唯一的标识该第一设备。作为另一个示例,为了更加安全,该第一设备标识信息也可以是第一设备ID的哈希值,那么,第一设备对第一证书进行验证,还可以包括:第一设备基于本地存储的第一设备的第二设备ID的哈希值,对第一证书携带的第一设备ID的哈希值进行匹配验证,其中,该第二设备ID用于唯一的标识该第一设备。其中,第一证书可以在其扩展域中扩展用于承载该第一设备ID或第一设备ID的哈希值的字段。需要说明的是,为了鉴权的安全进行,本申请实施例中设备ID为非公开的能够唯一标识设备的ID,例如:第二设备ID为第一设备出厂时定义的硬件唯一密钥(英文:HardwareUniqueKey,简称:HUK),又例如:第二设备ID为根据第一设备的晶片标识(英文:dieIdentification,简称:dieID)和唯一设备标识(英文:UniqueDeviceIdentification,简称:UDI)处理得到的。这样,通过第一设备本地存储的第二设备ID或第二设备ID的哈希值,对第一证书中携带的第一设备ID或第一设备ID的哈希值进行验证,指导第一设备对其使用权限的管理,实现对第一设备可靠和安全的鉴权。可选的,该第一证书还可以包括第一证书标识ID,第一设备对第一证书进行验证,还可以包括:第一设备根据本地存储的第二证书ID,对该第一证书ID进行匹配验证。其中,第一证书可以在其扩展域中扩展用于承载该第一证书ID的字段。一种情况下,当第一设备还未使用该第一证书进行鉴权,那么,第一设备本地并未保存该第一证书的证书ID,该情况下,当第一设备确定本地未保存第一证书ID,即认为对该第一证书ID的匹配验证通过,可以采用第一证书进行鉴权。另一种情况下,当第一设备已使用过该第一证书进行鉴权,那么,第一设备本地保存有该第一证书的第二证书ID,该情况下,当第一设备确定本地保存第二证书ID和第一证书中的第一证书ID匹配,即认为对该第一证书ID的匹配验证通过,可以采用第一证书进行鉴权。再一种情况下,当第一设备已使用过该第一证书进行鉴权,那么,第一设备本地保存有该第一证书的第二证书ID,但是由于该第一证书使用次数超过上限或者使用时间超过上限本文档来自技高网...
【技术保护点】
1.一种鉴权方法,其特征在于,由第一设备实施,包括:/n获取采用第一私钥进行数字签名的第一证书;/n对所述第一证书进行验证,获得第一验证结果;/n根据所述第一验证结果,确定所述第一设备的使用权限。/n
【技术特征摘要】
1.一种鉴权方法,其特征在于,由第一设备实施,包括:
获取采用第一私钥进行数字签名的第一证书;
对所述第一证书进行验证,获得第一验证结果;
根据所述第一验证结果,确定所述第一设备的使用权限。
2.根据权利要求1所述的方法,其特征在于,所述对所述第一证书进行验证,包括:
根据本地存储的与所述第一私钥对应的第一公钥,对所述第一证书进行验证。
3.根据权利要求1或2所述的方法,其特征在于,所述第一证书中包括证书类型,所述对所述第一证书进行验证,还包括:
验证所述证书类型。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述第一证书中还包括第一设备标识信息,所述对所述第一证书进行验证,还包括:
基于本地存储的所述第一设备的第二设备标识信息,对所述第一证书携带的所述第一设备标识信息进行匹配验证,其中,所述第二设备标识信息用于唯一的标识所述第一设备。
5.根据权利要求4所述的方法,其特征在于,
所述第一设备标识信息为第一设备标识ID,所述第二设备标识信息为第二设备ID;或者
所述第一设备标识信息为所述第一设备ID的哈希值,所述第二设备标识信息为所述第二设备ID的哈希值。
6.根据权利要求4或5所述的方法,其特征在于,所述第二设备ID为所述第一设备出厂时定义的硬件唯一密钥HUK,或者,所述第二设备ID为根据所述第一设备的晶片标识dieID和唯一设备标识UDI处理得到的。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述第一证书还包括第一证书标识ID,所述对所述第一证书进行验证,还包括:
根据本地存储的第二证书ID,对所述第一证书ID进行匹配验证。
8.根据权利要求1-7任一项所述的方法,其特征在于,所述第一证书还包括目标有效信息,所述对所述第一证书进行验证,还包括:
根据实际使用信息,对所述目标有效信息进行验证,所述实际使用信息用于表征所述第一设备上当前使用所述第一证书的情况。
9.根据权利要求8所述的方法,其特征在于,
所述目标有效信息为允许使用所述第一证书进行鉴权的最多次数;
或者,
所述目标有效信息为允许使用所述第一证书进行鉴权的最长时间。
10.根据权利要求1-9任一项所述的方法,其特征在于,所述第一证书还包括第二公钥,所述对所述第一证书进行验证,还包括:
根据本地存储的第一公钥,对所述第二公钥进行验证。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
所述第二公钥和所述第一公钥不一致,则,将本地存储的所述第一公钥替换为所述第二公钥。
12.根据权利要求1-11任一项所述的方法,其特征在于,所述第一设备为调试接口。
13.一种对第一设备的使用权限进行鉴权的方法,其特征在于,由第二设...
【专利技术属性】
技术研发人员:唐甜,乔立忠,张梦楠,曹斌,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。