[go: up one dir, main page]

CN118337401A - 一种认证方法及认证装置 - Google Patents

一种认证方法及认证装置 Download PDF

Info

Publication number
CN118337401A
CN118337401A CN202310035336.0A CN202310035336A CN118337401A CN 118337401 A CN118337401 A CN 118337401A CN 202310035336 A CN202310035336 A CN 202310035336A CN 118337401 A CN118337401 A CN 118337401A
Authority
CN
China
Prior art keywords
domain
information
authentication
white list
belongs
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310035336.0A
Other languages
English (en)
Inventor
熊晓春
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202310035336.0A priority Critical patent/CN118337401A/zh
Priority to PCT/CN2023/139617 priority patent/WO2024149029A1/zh
Publication of CN118337401A publication Critical patent/CN118337401A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/101Server selection for load balancing based on network conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供一种认证方法及认证装置,涉及通信领域,该方法应用于第一设备,在第一设备对第二设备进行认证的过程中,考虑了第二设备的身份信息以及目标白名单,目标白名单包括有访问第一设备的权限的设备的身份信息,换句话说,不在目标白名单中的身份信息对应的设备没有访问第一设备的权限。也就是说,即使第一设备对第二设备的身份信息认证通过,若第二设备的身份信息不在目标白名单中,则第一设备与第二设备也无法传输信息,因此可以避免第一设备与第二设备的非法传输导致的安全问题。

Description

一种认证方法及认证装置
技术领域
本申请涉及通信领域,尤其涉及一种认证方法及认证装置。
背景技术
在设备与设备通信之前,一个设备根据另一个设备的身份信息对该另一个设备进行身份认证,若两个设备的身份信息互相认证都通过,则这两个设备可以互相通信。但是在一些情况下,在网络设计中,两个设备之间不能传输信息,但这两个设备的身份信息互相认证会通过,这样,若这两个设备互相认证通过,则这两个设备可能会传输信息,这两个设备传输的信息存在安全隐患,换句话说,这两个设备认证通过之后,可以进行非法传输,导致存在安全问题。
发明内容
有鉴于此,本申请提供一种认证方法及认证装置,第一设备通过第二设备的域信息确定目标白名单,根据确定的目标白名单和第二设备的身份信息对第二设备进行认证,可以避免第一设备与第二设备的非法传输导致的安全问题。
为了实现上述目的,第一方面,提供了一种认证方法,应用于第一设备,该认证方法包括:从第二设备接收第一认证请求,第一认证请求包括第二设备的域信息和第二设备的身份信息;根据第二设备的域信息确定目标白名单,目标白名单包括有访问第一设备的权限的设备的身份信息;根据目标白名单和第二设备的身份信息对第二设备进行认证;向第二设备发送第一认证请求的第一响应消息,第一响应消息用于指示第二设备认证是否成功;其中,第二设备的域信息用于指示第二设备所属的域。
上述方案中,第一设备从第二设备接收第一认证请求,第一认证请求包括第二设备的域信息和第二设备的身份信息,第一设备根据第二设备的域信息确定目标白名单,目标白名单包括有访问第一设备的权限的设备的身份信息。然后第一设备根据第二设备的身份信息和确定的目标白名单对第二设备进行认证。也就是说,在第一设备对第二设备进行认证的过程中,考虑了第二设备的身份信息以及目标白名单。目标白名单包括有访问第一设备的权限的设备的身份信息,换句话说,不在目标白名单中的身份信息对应的设备没有访问第一设备的权限。也就是说,即使第一设备对第二设备的身份信息认证通过,若第二设备的身份信息不在目标白名单中,则第一设备与第二设备也无法传输信息,因此可以避免第一设备与第二设备的非法传输导致的安全问题。
可选地,第一设备和第二设备可以是任意网络环境中的任意两个设备,例如,第一设备可以是接入网设备,第二设备可以是终端设备;又例如,第一设备可以为核心网设备,第二设备可以是接入网设备;再例如,第一设备可以是核心网设备,第二设备可以是终端设备。
可选地,第二设备的身份信息可以包括第二设备的身份标识(identity,ID)和/或第二设备的公钥,也就是说,第二设备的ID和/或第二设备的公钥可以指示第二设备的身份。
可选地,第二设备从证书颁发机构(certificate authority,CA)申请的第二设备的数字证书可以包括第二设备的身份信息。也就是说,第二设备的数字证书可以指示第二设备的身份。在一些情况下,第二设备的数字证书可以包括第二设备的ID和/或第二设备的公钥,第二设备的数字证书包括的第二设备的ID和/或第二设备的公钥可以指示第二设备的身份。
可选地,第二设备的域信息可以包括第二设备所属的域的域名或者第二设备所属的域的编号,也就是说,第二设备所属的域的域名或者第二设备所属的域的编号可以指示第二设备所属的域。
可选地,第二设备的数字证书可以包括第二设备的域信息。
可选地,第一认证请求可以包括指示第二设备的身份信息的指示信息和指示第二设备的域信息的指示信息。可选的,第一认证请求中的一个指示信息可以同时指示第二设备的身份信息和第二设备的域信息,也可以是两个指示信息分别指示第二设备的身份信息和第二设备的域信息。
可选地,目标白名单包括有访问第一设备的权限的设备的身份信息,可以为:目标白名单包括有访问第一设备的权限的至少一个设备的身份信息。
可选地,若身份信息为ID,目标白名单包括有访问第一设备的权限的至少一个设备的ID;可选地,若身份信息为公钥,目标白名单包括有访问第一设备的权限的至少一个设备的公钥;可选地,若身份信息为ID和公钥,目标白名单包括有访问第一设备的权限的至少一个设备的ID和公钥。
可选地,第一设备可以包括至少一个域信息中每个域信息的目标白名单,第一设备可以根据第二设备的域信息在每个域信息的目标白名单中确定第二设备的域信息对应的目标白名单。
可选地,若第二设备的域信息包括第二设备所属的域的域名或者第二设备所属的域的编号,第一设备根据第二设备的域信息确定目标白名单,可以为:第一设备根据第二设备所属的域的域名或者第二设备所属的域的编号确定目标白名单。
可选地,第一响应消息可以用于指示第二设备认证成功,或者也可以用于指示第二设备认证失败。
在一些实施例中,第一认证请求包括第二设备的身份信息对应的第一校验信息,在根据目标白名单和第二设备的身份信息对第二设备进行认证之前,该认证方法还包括:根据第一校验信息对第二设备的身份信息进行校验;其中,根据目标白名单和第二设备的身份信息对第二设备进行认证,包括:若第二设备的身份信息校验通过,则根据目标白名单和第二设备的身份信息对第二设备进行认证。
可选地,第一设备根据第一校验信息对第二设备的身份信息进行校验,可以理解为:第一设备根据第一校验信息判断第一设备接收到的第二设备的身份信息是否被篡改,或者第一设备根据第一校验信息判断第一设备接收到的第二设备的身份信息是否为第二设备的正确的身份信息。
在上述方案中,若第二设备的身份信息校验通过,表示第一设备校验接收到的第二设备的身份信息为第二设备的正确的身份信息,而不是被篡改过的身份信息或者不是仿冒的身份信息,这样在保证第二设备的身份信息的真实性的前提下,第一设备根据第二设备的身份信息和目标白名单对第二设备进行认证,可以提高对第二设备认证的准确性。
可选地,若第二设备的身份信息校验失败,则第二设备认证失败,向第二设备发送第二设备认证失败的消息。也就是说,第二设备的身份信息校验失败,表示第一设备校验接收到的第二设备的身份信息是仿冒的身份信息或者是被篡改过的身份信息,即第一设备接收到的第二设备的身份信息不可信,则向第二设备发送第二设备认证失败的消息。
可选地,第二设备的数字证书可以包括第一明文信息和第一签名,其中,第一明文信息可以作为第二设备的身份信息,第一签名可以作为第一校验信息。
可选地,第二设备可以根据第二设备的私钥对第二设备的身份信息进行加密,得到加密后的第二设备的身份信息,第一认证请求可以包括加密后的第二设备的身份信息。可选地,第一校验信息可以是第二设备的私钥对应的公钥。
在一些实施例中,第一设备根据目标白名单和第二设备的身份信息对第二设备进行认证,包括:若目标白名单包括第二设备的身份信息,则第二设备认证成功,第一响应消息用于指示第二设备认证成功;若目标白名单不包括第二设备的身份信息,则第二设备认证失败,第一响应消息用于指示第二设备认证失败。
在上述方案中,第一设备根据目标白名单和第二设备的身份信息对第二设备进行认证,具体地是通过判断目标白名单中是否含有第二设备的身份信息,由于目标白名单中包括有访问第一设备的权限的设备的身份信息,所以若目标白名单中包含第二设备的身份信息表示第二设备有访问第一设备的权限,若目标白名单中不包含第二设备的身份信息表示第二设备没有访问第一设备的权限,这样可以便捷地通过比对目标白名单中是否含有第二设备的身份信息对第二设备进行认证。
可选地,若第二设备的身份信息为第二设备的ID,且目标白名单包括有访问第一设备的权限的至少一个设备的ID,第一设备根据目标白名单和第二设备的身份信息对第二设备进行认证,可以为:若目标白名单中包括第二设备的ID,则第二设备认证成功,第一响应消息用于指示第二设备认证成功;若目标白名单不包括第二设备的ID,则第二设备认证失败,第一响应消息用于指示第二设备认证失败。
可选地,若第二设备的身份信息为第二设备的公钥,且目标白名单包括有访问第一设备的权限的至少一个设备的公钥,第一设备根据目标白名单和第二设备的身份信息对第二设备进行认证,可以为:若目标白名单中包括第二设备的公钥,则第二设备认证成功,第一响应消息用于指示第二设备认证成功;若目标白名单不包括第二设备的公钥,则第二设备认证失败,第一响应消息用于指示第二设备认证失败。
可选地,若第二设备的身份信息为第二设备的ID和第二设备的公钥,且目标白名单包括有访问第一设备的权限的至少一个设备的ID和公钥,第一设备根据目标白名单和第二设备的身份信息对第二设备进行认证,可以为:若目标白名单中包括第二设备的ID和第二设备的公钥,则第二设备认证成功,第一响应消息用于指示第二设备认证成功;若目标白名单;若目标白名单不包括第二设备的ID和/或第二设备的公钥,则第二设备认证失败,第一响应消息用于指示第二设备认证失败。
在一些实施例中,第一认证请求包括第二设备的域信息对应的第二校验信息,在根据第二设备的域信息确定目标白名单之前,该认证方法还包括:根据第二校验信息对第二设备的域信息进行校验;其中,根据第二设备的域信息确定目标白名单,包括:若第二设备的域信息校验通过,则根据第二设备的域信息确定目标白名单。
可选地,第一设备根据第二校验信息对第二设备的域信息进行校验,可以理解为:第一设备根据第二校验信息判断第一设备接收到的域信息是否被篡改,或者第一设备根据第二校验信息判断第一设备接收到的第二设备的域信息是否为第二设备的正确的域信息。
在上述方案中,第一设备在根据第二设备的域信息确定目标白名单之前,第一设备需要根据第二校验信息对接收到的第二设备的域信息进行校验,若第二设备的域信息校验通过,表示第一设备校验接收到的第二设备的域信息为第二设备的正确的域信息,而不是被篡改过的域信息或者不是仿冒的域信息,这样在保证第一设备接收到的第二设备的域信息的真实性的前提下,第一设备根据第二设备的域信息确定目标白名单,可以确保所确定的目标白名单的准确性。
可选地,若第二设备的域信息校验失败,则第二设备认证失败,向第二设备发送第第二设备认证失败的消息。也就是说,第二设备的域信息校验失败,表示第一设备校验接收到的第二设备的域信息是仿冒的域信息或者是被篡改过的域信息,即第一设备接收到的第二设备的域信息不可信,则向第二设备发送第二设备认证失败的消息。
可选地,第二设备的数字证书可以包括第二明文信息和第二签名,其中,第二明文信息可以作为第二设备的域信息,第二签名可以作为第二校验信息。
可选地,第二设备可以根据第二设备的私钥对第二设备的域信息进行加密,得到加密后的第二设备的域信息,第一认证请求可以包括加密后的第二设备的域信息。可选地,第二校验信息可以是第二设备的私钥对应的公钥。
在一些实施例中,第一设备根据第二设备的域信息确定目标白名单,包括:确定第二设备的域信息指示的第二设备所属的域与第一设备所属的域是否相同;若第二设备所属的域与第一设备所属的域相同,则确定目标白名单为第一白名单,第一白名单包括第一设备所属的域中有访问第一设备的权限的设备的身份信息;若第二设备所属的域与第一设备所属的域不同,则根据第二设备所属的域确定目标白名单为第二白名单,第二白名单包括第二设备所属的域中有访问第一设备的权限的设备的身份信息。
在上述方案中,第一设备根据第二设备的域信息确定目标白名单,具体地是判断第二设备的域信息指示的第二设备所属的域与第一设备所属的域是否相同,若第二设备所属的域和第一设备所属的域相同,表示第一设备和第二设备属于同一域中,则目标白名单为第一白名单,若第二设备所属的域和第一设备所属的域不同,表示第一设备和第二设备分别属于不同的域,则目标白名单为第二白名单,也就是说,第一设备可以通过第二设备的域信息确定目标白名单具体为哪一个白名单,这样可以根据第二设备的域信息快速地找出目标白名单,提高对第二设备认证的效率。
可选地,若第二设备的域信息包括第二设备所属的域的域名,第一设备可以根据第二设备所属的域的域名确定目标白名单。可选地,第一设备确定第二设备所属的域的域名与第一设备所属的域的域名是否相同;若第二设备所属的域的域名与第一设备所属的域的域名相同,则确定目标白名单为第一白名单,第一白名单包括第一设备所属的域中有访问第一设备的权限的设备的身份信息;若第二设备所属的域的域名与第一设备所属的域的域名不同,则根据第二设备所属的域的域名确定目标白名单为第二白名单,第二白名单包括第二设备所属的域中有访问第一设备的权限的设备的身份信息。
可选地,若第二设备的域信息包括第二设备所属的域的编号,第一设备可以根据第二设备所属的域的编号确定目标白名单。可选地,第一设备确定第二设备所属的域的编号与第一设备所属的域的编号是否相同;若第二设备所属的域的编号与第一设备所属的域的编号相同,则确定目标白名单为第一白名单,第一白名单包括第一设备所属的域中有访问第一设备的权限的设备的身份信息;若第二设备所属的域的编号与第一设备所属的域的编号不同,则根据第二设备所属的域的编号确定目标白名单为第二白名单,第二白名单包括第二设备所属的域中有访问第一设备的权限的设备的身份信息。
可选地,第一白名单可以称之为域内白名单,第二白名单可以称之为域间白名单。
在一些实施例中,根据第二设备所属的域确定目标白名单为第二白名单,包括:确定第二设备所属的域是否有访问第一设备所属的域的权限;若第二设备所属的域有访问第一设备所属的域的权限,则根据第二设备所属的域确定目标白名单为第二白名单。
在上述方案中,在第一设备所属的域和第二设备所属的域不同的情况下,第一设备根据第二设备所属的域确定目标白名单为第二白名单,可以是确定第二设备所属的域是否有访问第一设备所属的域的权限,若第二设备所属的域有访问第一设备所属的域的权限,则根据第二设备所属的域确定目标白名单为第二白名单,也就是说,在根据第二设备所属的域确定目标白名单为第二白名单之前,第一设备需要判断第二设备所属的域是否有访问第一设备所属的域的权限,这样可以快速地排除不能访问第一设备所属的域的其他域,以提高确定目标白名单的效率。
可选地,若第二设备所属的域没有访问第一设备所属的域的权限,则第二设备认证失败,向第二设备发送第二设备认证失败的消息。
可选地,第一设备确定第二设备所属的域是否有访问第一设备所属的域的权限,可以是:第一设备确定第二设备所属的域的域名或者第二设备所属的域的编号是否有访问第一设备所属的域的权限。
在一些实施例中,第一响应消息用于指示第二设备认证成功,在向第二设备发送第一认证请求的第一响应消息之后,该认证方法还包括:向第二设备发送第二认证请求,第二认证请求包括第一设备的域信息和第一设备的身份信息,第一设备的域信息用于指示第一设备所属的域。
在上述方案中,在第一响应消息用于指示第二设备认证成功的情况下,在第一设备向第二设备发送第一认证请求的第一响应消息之后,第一设备向第二设备发送第二认证请求,第二认证请求包括第一设备的域信息和第一设备的身份信息,也就是说,在第一设备对第二设备认证成功之后,第一设备可以将第一设备的身份信息和第一设备的域信息发送给第二设备,由第二设备对第一设备进行认证,这样通过第一设备和第二设备间的双向互相认证的方式进一步确保传输信息的安全性。
可选地,在第一响应消息用于指示第二设备认证失败的情况下,第一设备断开与第二设备的连接,也就是说,第一设备认为第二设备为不可信任的设备,第一设备和第二设备间不能传输信息。
可选地,第一设备的身份信息可以包括第一设备的ID和/或第一设备的公钥,也就是说,第一设备的ID和/或第一设备的公钥可以指示第一设备的身份。
可选地,第一设备从CA申请的第一设备的数字证书可以包括第一设备的身份信息。也就是说,第一设备的数字证书可以指示第一设备的身份。在一些情况下,第一设备的数字证书可以包括第一设备的ID和/或第一设备的公钥,第一设备的数字证书包括的第一设备的ID和/或第一设备的公钥可以指示第一设备的身份。
可选地,第二认证请求可以包括指示第一设备的身份信息的指示信息和指示第一设备的域信息的指示信息。可选的,第二认证请求中的一个指示信息可以同时指示第一设备的身份信息和第一设备的域信息,也可以是两个指示信息分别指示第一设备的身份信息和第一设备的域信息。
可选地,第一设备的域信息可以包括第一设备所属的域的域名或者第一设备所属的域的编号,也就是说,第一设备所属的域的域名或者第一设备所属的域的编号可以指示第一设备所属的域。
可选地,第一设备的数字证书可以包括第一设备的域信息。
在一些实施例中,目标白名单为预配置的白名单。
在上述方案中,目标白名单为预配置的白名单表示第一设备在本地存储了目标白名单,这样可以根据第一设备存储的预先配置的目标白名单便捷地对第二设备进行认证,提高对第二设备认证的效率。
可选地,第一设备包括至少一个白名单,第一设备包括的至少一个白名单中每个白名单包括有访问第一设备的权限的设备的身份信息,也就是说,第一设备在本地存储了至少一个白名单。可选地,至少一个白名单包括目标白名单。
第二方面,本申请提供一种认证装置,用于实现第一方面和/或其任意可能的实现方式中的认证方法。该认证装置可以是第一设备,也可以是第一设备中的装置,或者是能够和第一设备匹配使用的装置。一种设计中,该认证装置可以包括执行第一方面和/或其任意可能的实现方式中所描述的认证方法/操作/步骤/动作所对应的模块,该模块可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。一种设计中,该认证装置可以包括处理单元和收发单元。
第三方面,本申请提供一种通信装置,该通信装置包括处理器,用于实现上述第一方面和/或其任意可能的实现方式中描述的认证方法。该通信装置还可以包括存储器,可选地,存储器用于存储指令,处理器执行存储器中存储的指令时,可以实现上述第一方面和/或其任意可能的实现方式中描述的认证方法。
第四方面,本申请提供了一种计算机可读存储介质,包括计算机指令,当计算机指令在第一设备上运行时,使得第一设备执行上述任一方面任一项可能的认证方法。
第五方面,本申请提供了一种计算机程序产品,当计算机程序产品在第一设备上运行时,使得第一设备执行上述任一方面任一项可能的认证方法。
附图说明
图1为本申请实施例提供的一种身份认证的方法的示意图。
图2为本申请实施例提供的一种网络环境中的设备分布的示意图。
图3为本申请实施例提供的认证方法的示意图。
图4为本申请实施例提供的另一认证方法的示意图。
图5为本申请实施例提供的又一认证方法的示意图。
图6为本申请实施例提供的又一认证方法的示意图。
图7为本申请实施例提供的一种认证装置的示意性框图。
图8为本申请实施例提供的一种通信装置的示意性框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。其中,在本申请实施例的描述中,除非另有说明,“/”表示或的意思,例如,A/B可以表示A或B;本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,在本申请实施例的描述中,“多个”是指两个或多于两个。
以下,术语“第一”、“第二”、“第三”以及“第四”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。在本实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在任意网络环境中的任意两个设备进行通信之前,一个设备根据另一个设备的身份信息对该另一个设备进行身份认证的过程可以如图1所示,图1中第一设备从第二设备接收第二设备的身份信息,第一设备对接收到的第二设备的身份信息进行认证,若认证通过,第一设备向第二设备发送第二设备认证成功的消息,即第一设备对第二设备认证成功,换句话说,第一设备认为第二设备是可信任的设备。基于类似的处理,第二设备从第一设备接收第一设备的身份信息,第二设备对接收到的第一设备的身份信息进行认证,若认证通过,第二设备向第一设备发送第一设备认证成功的消息,即第二设备对第一设备认证成功。在第一设备和第二设备互相认证通过后,第一设备和第二设备开始通信,也就是第一设备和第二设备间可以传输信息。
图1中第一设备根据第二设备的身份信息对第二设备进行身份认证,或者第二设备根据第一设备的身份信息对第一设备进行身份认证的过程中,一般采用的身份认证的方法包括:基于数字证书的认证、基于预共享密钥(pre-shared key,PSK)的认证等。
在基于数字证书的认证方法中,图1中的第一设备和第二设备从同一个CA下分别申请了各自的数字证书,第一设备的数字证书包括第一设备的身份信息和第一设备的身份信息对应的签名,第二设备的数字证书包括第二设备的身份信息和第二设备的身份信息对应的签名。图1中第一设备根据第二设备的身份信息对第二设备进行身份认证,可以是:第一设备校验第二设备的数字证书是否正确或者是否合法,具体地,第一设备根据CA在计算第二设备的身份信息对应的签名时所使用的CA的哈希算法计算第二设备的身份信息得到摘要1,第一设备根据CA的公钥解密第二设备的身份信息对应的签名得到摘要2,第一设备判断摘要1和摘要2是否相同,若相同则表示第一设备接收到的第二设备的数字证书是正确的或合法的。其中,CA的公钥对所有在同一个CA下申请数字证书的设备而言是公开的,也就是说,第一设备和第二设备都可以获取到CA的公钥。类似地,第二设备根据第一设备的身份信息对第一设备进行身份认证,可以是:第二设备校验第一设备的数字证书是否正确或者是否合法,具体过程为了避免赘述,不详细描述。
在基于PSK的认证方法中,图1中的第一设备和第二设备共享预先协商的密钥,第一设备根据第二设备的身份信息对第二设备进行身份认证,可以是:第一设备根据预先协商的密钥对加密后的第二设备的身份信息进行解密,若解密成功,则第一设备对第二设备认证成功,若解密失败,则第一设备对第二设备认证失败,其中,加密后的第二设备的身份信息可以是第二设备根据预先协商的密钥对第二设备的身份信息进行加密后得到的。类似地,第二设备根据第一设备的身份信息对第一设备进行身份认证,可以是:第二设备根据预先协商的密钥对加密后的第一设备的身份信息进行解密,若解密成功,则第二设备对第一设备认证成功,若解密失败,则第二设备对第一设备认证失败,其中,加密后的第一设备的身份信息可以是第一设备根据预先协商的密钥对第一设备的身份信息进行加密后得到的。
以上是图1中第一设备和第二设备在开始通信之前身份认证的过程的描述,但是在一些网络设计中两个设备之间不能传输信息,但这两个设备的身份信息互相认证会通过,若这两个设备互相认证通过,则这两个设备可能会传输信息,那么这两个设备传输的信息就存在安全隐患,也就是说,这两个设备在身份认证通过之后,可以进行非法传输。
如图2所示为一种网络环境的示意图,在图2所示的网络环境中,可以规定:设备A可以访问设备C,但设备A不能访问设备D,设备A也不能访问设备B,设备B可以访问设备D,但设备B不能访问设备C,设备C可以访问设备D,设备E、设备F以及设备G都不能访问设备C或设备D,设备E可以访问设备F以及设备G,设备F不能访问设备G。图2中的单向箭头所指的设备是可以被访问的设备,带叉号的单向箭头所指的设备是不能被访问的设备,由于带叉号的单向箭头所指的设备是不能被访问的设备,因此,带叉号的单向箭头连接的两个设备间不能传输信息。若图2中的所有设备在同一个CA下申请了各自的数字证书,也就是说设备A~设备G各自持有同一个CA颁发的数字证书,那么设备A~设备G都可以获取到CA的公钥,设备A~设备G中任意的两个设备间若采用基于数字证书的认证方法进行身份认证,则在身份认证过程中都能认证通过,也就是说,设备A~设备G中任意的两个设备在身份认证通过后都可能会传输信息。
例如,图2的设备A向设备D发起访问请求,设备A向设备D发送设备A的身份信息,设备D根据接收到的设备A的身份信息对设备A进行身份认证,基于数字证书的认证方法,由于设备A持有和设备D在同一个CA下申请的数字证书,所以设备D在校验接收到的设备A的数字证书是否正确或是否合法的过程中,可以获取到CA的公钥,也就是说设备D对设备A的数字证书的校验会通过,表示设备D认为设备A为可信任的设备,设备那么设备A和设备D之间可以进行信息传输,但在图2的网络设计中,设备A不能访问设备D,即设备A与设备D之间不能传输信息,换句话说,若设备A与设备D互相认证通过后,设备A与设备D可以进行非法传输,从而导致存在安全问题。因此,若图2中的任意两个设备在都持有同一个CA颁发的合法的数字证书的情况下,基于现有的数字证书的认证方法,在身份认证过程中都可以相互认证通过,这就导致了网络设计中规定某两个设备间不能传输信息,由于这两个设备在进行身份认证通过后可以进行非法传输而带来的安全问题。
针对上述问题,本申请提供了一种认证方法,该认证方法包括:第一设备从第二设备接收第一认证请求,第一认证请求包括第二设备的域信息和第二设备的身份信息,第一设备根据第二设备的域信息确定目标白名单,目标白名单包括有访问第一设备的权限的设备的身份信息。然后第一设备根据第二设备的身份信息和确定的目标白名单对第二设备进行认证。也就是说,在第一设备对第二设备进行认证的过程中,考虑了第二设备的身份信息以及目标白名单。目标白名单包括有访问第一设备的权限的设备的身份信息,换句话说,不在目标白名单中的身份信息对应的设备没有访问第一设备的权限。也就是说,即使第一设备对第二设备的身份信息认证通过,若第二设备的身份信息不在目标白名单中,则第一设备与第二设备也无法传输信息,因此可以避免第一设备与第二设备的非法传输导致的安全问题。
下面对本申请中的域的概念进行描述,网络环境中的设备所属的域可以是根据网络环境中的一类设备和另一类设备的信任关系或信任程度的不同划分为不同的域。例如,在同一网络环境下,功能相同的设备可以组成一个域,当该网络环境中存在多种不同功能的设备时,则可以根据设备的功能划分为多个不同的域,如图2中的域1、域2以及域3可以是根据设备A~设备G的功能划分得到的三个不同的域,其中,设备A和设备B的功能相同,设备C和设备D的功能相同,设备E,设备F和设备G的功能相同,设备A和设备B与其他设备的功能不同,设备C和设备D与其他设备的功能不同,设备E,设备F和设备G与其他设备的功能不同。又例如,不同的安全环境的设备不管功能是否相同可以划分为不同的域,功能不同的设备由于部署在同一个安全环境中,也可以将功能不同的设备划分为同一个域,一个安全环境和另一个不同的安全环境下的设备,可以划分为不同的域,如图2中的域1、域2以及域3可以是根据设备A~设备G部署在不同的安全环境下划分得到的三个不同的域,设备A和设备B在安全环境1下,设备A和设备B的功能可以相同也可以不同,设备C和设备D在安全环境2下,设备C和设备D的功能可以相同也可以不同,设备E,设备F和设备G在安全环境3下,设备E,设备F和设备G中任意两个设备的功能可以相同或者不同,安全环境1,安全环境2和安全环境3属于三个不同的安全环境。
在本申请实施例中提供的以下认证方法中,第一设备所属的域或第二设备所属的域可以是根据第一设备和第二设备的功能进行划分的,或者还可以是根据第一设备和第二设备的安全环境进行划分的,或者第一设备所属的域或第二设备所属的域还可以是根据其他的属性进行划分的,本申请实施例对此不作限制。
如图3所示,图3是本申请提供的一种认证方法300的示意图,认证方法300包括:
S310,第二设备向第一设备发送第一认证请求,第一设备从第二设备接收第一认证请求,第一认证请求包括第二设备的域信息和第二设备的身份信息。
可选地,第一设备和第二设备可以是任意网络环境中的任意两个设备,例如,第一设备可以是接入网设备,第二设备可以是终端设备;又例如,第一设备可以为核心网设备,第二设备可以是接入网设备;再例如,第一设备可以是核心网设备,第二设备可以是终端设备。
可选地,第二设备的身份信息可以包括第二设备的ID和/或第二设备的公钥,也就是说,第二设备的ID和/或第二设备的公钥可以指示第二设备的身份。例如,第二设备为图2中的设备A,那么设备A的身份信息可以包括设备A的ID和/或设备A的公钥。
可选地,第二设备从CA申请的第二设备的数字证书可以包括第二设备的身份信息。也就是说,第二设备的数字证书可以指示第二设备的身份。在一些情况下,第二设备的数字证书可以包括第二设备的ID和/或第二设备的公钥,第二设备的数字证书包括的第二设备的ID和/或第二设备的公钥可以指示第二设备的身份。例如,第二设备为图2中的设备A,那么设备A的数字证书可以指示设备A的身份,设备A的数字证书可以包括设备A的ID和/或设备A的公钥。
可选地,第二设备的域信息可以包括第二设备所属的域的域名或者第二设备所属的域的编号,也就是说,第二设备所属的域的域名或者第二设备所属的域的编号可以指示第二设备所属的域。例如,第二设备为图2中的设备A,设备A的域信息可以指示设备A属于域1,设备A所属的域的域名或者设备A所属的域的编号可以为域1。
可选地,第二设备的数字证书可以包括第二设备的域信息。在一些情况下,第二设备的数字证书可以包括第二设备所属的域的域名或者第二设备所属的域的编号,第二设备的数字证书包括的第二设备所属的域的域名或者第二设备所属的域的编号可以指示第二设备的所属的域。例如,第二设备为图2中的设备A,设备A的数字证书可以包括域1。
可选地,第一认证请求可以包括指示第二设备的身份信息的指示信息和指示第二设备的域信息的指示信息。可选的,第一认证请求中的一个指示信息可以同时指示第二设备的身份信息和第二设备的域信息,也可以是两个指示信息分别指示第二设备的身份信息和第二设备的域信息。
S320,第一设备根据第二设备的域信息确定目标白名单,目标白名单包括有访问第一设备的权限的设备的身份信息。
可选地,目标白名单包括有访问第一设备的权限的设备的身份信息,可以为:目标白名单包括有访问第一设备的权限的至少一个设备的身份信息。例如,第一设备为图2中的设备D,设备D的目标白名单可以包括设备B的身份信息,或者可以包括设备C的身份信息。
可选地,若身份信息为ID,目标白名单包括有访问第一设备的权限的至少一个设备的ID;可选地,若身份信息为公钥,目标白名单包括有访问第一设备的权限的至少一个设备的公钥;可选地,若身份信息为ID和公钥,目标白名单包括有访问第一设备的权限的至少一个设备的ID和公钥。例如,第一设备为图2中的设备D,设备D的目标白名单可以包括设备B的ID和/或设备B的公钥,或者可以包括设备C的ID和/或设备C的公钥。
可选地,第一设备可以包括至少一个域信息中每个域信息的目标白名单,第一设备可以根据第二设备的域信息在每个域信息的目标白名单中确定第二设备的域信息对应的目标白名单。例如,第一设备为图2中的设备D,设备D保存了域1的白名单,域2的白名单以及域3的白名单,若第二设备为图2中的设备A,那么设备D可以根据设备A的域信息在域1的白名单,域2的白名单以及域3的白名单中确定域1对应的目标白名单,即域1的白名单。
可选地,若第二设备的域信息包括第二设备所属的域的域名或者第二设备所属的域的编号,第一设备根据第二设备的域信息确定目标白名单,可以为:第一设备根据第二设备所属的域的域名或者第二设备所属的域的编号确定目标白名单。
可选地,第一设备根据第二设备的域信息确定目标白名单,包括:确定第二设备的域信息指示的第二设备所属的域与第一设备所属的域是否相同;若第二设备所属的域与第一设备所属的域相同,则确定目标白名单为第一白名单,第一白名单包括第一设备所属的域中有访问第一设备的权限的设备的身份信息;若第二设备所属的域与第一设备所属的域不同,则根据第二设备所属的域确定目标白名单为第二白名单,第二白名单包括第二设备所属的域中有访问第一设备的权限的设备的身份信息。也就是说,第一设备判断第二设备所属的域和第一设备所属的域是否相同,若第一设备所属的域和第二设备所属的域相同表示第一设备和第二设备属于同一域内,那么目标白名单为第一白名单,若第一设备所属的域和第二设备所属的域不同表示第一设备和第二设备分别属于不同的域,那么目标白名单为第二白名单。换句话说,第一设备可以通过第二设备的域信息确定目标白名单具体为哪一个白名单,这样可以根据第二设备的域信息快速地找出目标白名单,提高对第二设备认证的效率。
例如,第一设备为图2中域2中的设备D,第二设备为图2中域1中的设备A,设备D根据设备A的域信息确定目标白名单,具体为:设备D判断设备A所属的域和设备D所属的域不同,设备D确定目标白名单为第二白名单,第二白名单包括设备A所属的域1中有访问设备D的权限的设备的身份信息,也就是说,设备D的第二白名单包括设备B的身份信息,不包括设备A的身份信息。
又例如,第一设备为图2中域3中设备G,第二设备为图2中域3中的设备F,设备G根据设备F的域信息确定目标白名单,具体为:设备G判断设备F所属的域和设备G所属的域相同,设备G确定目标白名单为第一白名单,第一白名单包括设备G所属的域3中有访问设备G的权限的设备的身份信息,也就是说,设备G的第一白名单包括设备E的身份信息,但不包括设备F的身份信息。
可选地,若第二设备的域信息包括第二设备所属的域的域名,第一设备可以根据第二设备所属的域的域名确定目标白名单。可选地,第一设备确定第二设备所属的域的域名与第一设备所属的域的域名是否相同;若第二设备所属的域的域名与第一设备所属的域的域名相同,则确定目标白名单为第一白名单,第一白名单包括第一设备所属的域中有访问第一设备的权限的设备的身份信息;若第二设备所属的域的域名与第一设备所属的域的域名不同,则根据第二设备所属的域的域名确定目标白名单为第二白名单,第二白名单包括第二设备所属的域中有访问第一设备的权限的设备的身份信息。
可选地,若第二设备的域信息包括第二设备所属的域的编号,第一设备可以根据第二设备所属的域的编号确定目标白名单。可选地,第一设备确定第二设备所属的域的编号与第一设备所属的域的编号是否相同;若第二设备所属的域的编号与第一设备所属的域的编号相同,则确定目标白名单为第一白名单,第一白名单包括第一设备所属的域中有访问第一设备的权限的设备的身份信息;若第二设备所属的域的编号与第一设备所属的域的编号不同,则根据第二设备所属的域的编号确定目标白名单为第二白名单,第二白名单包括第二设备所属的域中有访问第一设备的权限的设备的身份信息。
可选地,第一白名单可以称之为域内白名单,第二白名单可以称之为域间白名单。
可选地,第一设备根据第二设备所属的域确定目标白名单为第二白名单,包括:确定第二设备所属的域是否有访问第一设备所属的域的权限;若第二设备所属的域有访问第一设备所属的域的权限,则根据第二设备所属的域确定目标白名单为第二白名单。也就是说,第一设备在判断第二设备所属的域有访问第一设备所属的域的权限之后,第一设备根据第二设备所属的域确定目标白名单为第二白名单。
例如,第一设备为图2中域2中的设备D,第二设备为图2中域1中的设备A,设备D判断设备A所属的域1有访问设备D所属的域2的权限,那么设备D根据设备A所属的域1确定目标白名单为第二白名单。
可选地,若第二设备所属的域没有访问第一设备所属的域的权限,则第二设备认证失败,第一设备向第二设备发送第二设备认证失败的消息。
例如,第一设备为图2中域2中的设备C,第二设备为图2中域3中的设备E,设备C判断设备E所属的域3没有访问设备B所属的域2的权限,那么设备C向设备E发送设备E认证失败的消息。
可选地,第一设备确定第二设备所属的域是否有访问第一设备所属的域的权限,可以是:第一设备确定第二设备所属的域的域名或者第二设备所属的域的编号是否有访问第一设备所属的域的权限。
可选地,目标白名单为预配置的白名单。也就是说,第一设备在本地存储了目标白名单,这样可以根据本地存储的目标白名单便捷地对第二设备进行认证,提高对第二设备认证的效率。
可选地,第一设备包括至少一个白名单,第一设备包括的至少一个白名单中每个白名单包括有访问第一设备的权限的设备的身份信息,也就是说,第一设备在本地存储了至少一个白名单。可选地,至少一个白名单包括目标白名单。
例如,第一设备为图2中的设备D,第二设备为图2中的设备B,设备D的目标白名单包括第一白名单和第二白名单,第一白名单和第二白名单可以是根据图2所示的各个设备间规定的访问关系得到的,设备D的第一白名单包括有访问设备D的权限的设备C的身份信息,设备D的第二白名单包括有访问设备D的权限的设备B的身份信息。
在第一认证请求包括第二设备的域信息对应的第二校验信息的情况下,在S320之前,认证方法300还包括:根据第二校验信息对第二设备的域信息进行校验;其中,根据第二设备的域信息确定目标白名单,包括:若第二设备的域信息校验通过,则根据第二设备的域信息确定目标白名单。
可选地,第一设备根据第二校验信息对第二设备的域信息进行校验,可以理解为:第一设备根据第二校验信息判断第一设备接收到的域信息是否被篡改,或者第一设备根据第二校验信息判断第一设备接收到的第二设备的域信息是否为第二设备的正确的域信息。
可选地,若第二设备的域信息校验失败,则第二设备认证失败,向第二设备发送第二设备认证失败的消息。也就是说,第二设备的域信息校验失败,表示第一设备校验接收到的第二设备的域信息是仿冒的域信息或者是被篡改过的域信息,即第一设备接收到的第二设备的域信息不可信,则向第二设备发送第二设备认证失败的消息。
例如,第一设备为图2中的设备D,第二设备为图2中的设备E,设备E的正确的域信息为域3,设备D根据第二校验信息对接收到的设备E的域信息进行校验,若设备E的域信息校验通过,表示设备D校验接收到的设备E的域信息为设备E的正确的域信息(域3),若设备E的域信息校验失败,表示设备D校验接收到的设备E的域信息为仿冒的域信息或者是被篡改过的域信息。
S330,第一设备根据目标白名单和第二设备的身份信息对第二设备进行认证。
可选地,第一设备根据目标白名单和第二设备的身份信息对第二设备进行认证,包括:若目标白名单包括第二设备的身份信息,则第二设备认证成功,第一响应消息用于指示第二设备认证成功;若目标白名单不包括第二设备的身份信息,则第二设备认证失败,第一响应消息用于指示第二设备认证失败。
可选地,若第二设备的身份信息为第二设备的ID,且目标白名单包括有访问第一设备的权限的至少一个设备的ID,第一设备根据目标白名单和第二设备的身份信息对第二设备进行认证,可以为:若目标白名单中包括第二设备的ID,则第二设备认证成功,第一响应消息用于指示第二设备认证成功;若目标白名单不包括第二设备的ID,则第二设备认证失败,第一响应消息用于指示第二设备认证失败。
例如,第一设备为图2中的域2中的设备D,第二设备为图2中的域1中的设备A,若设备A的身份信息为设备A的ID,设备D判断确定的目标白名单中是否包括设备A的ID,对设备A进行认证,设备D的目标白名单中不包括设备A的ID,设备A认证失败,设备D向设备A发送设备A认证失败的消息。
可选地,若第二设备的身份信息为第二设备的公钥,且目标白名单包括有访问第一设备的权限的至少一个设备的公钥,第一设备根据目标白名单和第二设备的身份信息对第二设备进行认证,可以为:若目标白名单中包括第二设备的公钥,则第二设备认证成功,第一响应消息用于指示第二设备认证成功;若目标白名单不包括第二设备的公钥,则第二设备认证失败,第一响应消息用于指示第二设备认证失败。
例如,第一设备为图2中的域2中的设备D,第二设备为图2中的域1中的设备A,若设备A的身份信息为设备A的公钥,设备D判断确定的目标白名单中是否包括设备A的公钥,对设备A进行认证,设备D的目标白名单中不包括设备A的公钥,设备A认证失败,设备D向设备A发送设备A认证失败的消息。
可选地,若第二设备的身份信息为第二设备的ID和第二设备的公钥,且目标白名单包括有访问第一设备的权限的至少一个设备的ID和公钥,第一设备根据目标白名单和第二设备的身份信息对第二设备进行认证,可以为:若目标白名单中包括第二设备的ID和第二设备的公钥,则第二设备认证成功,第一响应消息用于指示第二设备认证成功;若目标白名单;若目标白名单不包括第二设备的ID和/或第二设备的公钥,则第二设备认证失败,第一响应消息用于指示第二设备认证失败。
例如,第一设备为图2中的域2中的设备D,第二设备为图2中的域1中的设备A,若设备A的身份信息为设备A的ID和设备A的公钥,设备D判断确定的目标白名单中是否包括设备A的ID和设备A的公钥,对设备A进行认证,设备D的目标白名单中不包括设备A的和/或设备A的公钥,设备A认证失败,设备D向设备A发送设备A认证失败的消息。
在第一认证请求包括第二设备的身份信息对应的第一校验信息的情况下,在S330之前,认证方法300还包括:根据第一校验信息对第二设备的身份信息进行校验;其中,根据目标白名单和第二设备的身份信息对第二设备进行认证,包括:若第二设备的身份信息校验通过,则根据目标白名单和第二设备的身份信息对第二设备进行认证。
可选地,第一设备根据第一校验信息对第二设备的身份信息进行校验,可以理解为:第一设备根据第一校验信息判断第一设备接收到的第二设备的身份信息是否被篡改,或者第一设备根据第一校验信息判断第一设备接收到的第二设备的身份信息是否为第二设备的正确的身份信息。
可选地,若第二设备的身份信息校验失败,则第二设备认证失败,向第二设备发送第二设备认证失败的消息。也就是说,第二设备的身份信息校验失败,表示第一设备校验接收到的第二设备的身份信息是仿冒的身份信息或者是被篡改过的身份信息,即第一设备接收到的第二设备的身份信息不可信,则向第二设备发送第二设备认证失败的消息。
例如,第一设备为图2中的设备D,第二设备为图2中的设备E,设备D根据第一校验信息对接收到的设备E的身份信息进行校验,若设备E的身份信息校验通过,表示设备D校验接收到的设备E的身份信息为设备E的正确的身份信息,若设备E的身份信息校验失败,表示设备D校验接收到的设备E的身份信息为仿冒的身份信息或者是被篡改过的身份信息。
S340,第一设备向第二设备发送第一认证请求的第一响应消息,第二设备从第一设备接收第一认证请求的第一响应消息。
可选地,第一响应消息可以用于指示第二设备认证成功,或者也可以用于指示第二设备认证失败。
可选地,在第一响应消息用于指示第二设备认证成功的情况下,在S340之后,该认证方法300还包括:第一设备向第二设备发送第二认证请求,第二认证请求包括第一设备的域信息和第一设备的身份信息,第一设备的域信息用于指示第一设备所属的域。也就是说,在第一设备对第二设备认证成功之后,第一设备可以将第一设备的身份信息和第一设备的域信息发送给第二设备,由第二设备对第一设备进行认证,这样通过第一设备和第二设备间的双向互相认证的方式进一步确保传输信息的安全性。
可选地,在第一响应消息用于指示第二设备认证失败的情况下,第一设备断开与第二设备的连接,也就是说,第一设备认为第二设备为不可信任的设备,第一设备和第二设备之间不能传输信息。
可选地,第一设备的身份信息可以包括第一设备的ID和/或第一设备的公钥,也就是说,第一设备的ID和/或第一设备的公钥可以指示第一设备的身份。
可选地,第一设备从CA申请的第一设备的数字证书可以包括第一设备的身份信息。也就是说,第一设备的数字证书可以指示第一设备的身份。在一些情况下,第一设备的数字证书可以包括第一设备的ID和/或第一设备的公钥,第一设备的数字证书包括的第一设备的ID和/或第一设备的公钥可以指示第一设备的身份。
可选地,第一设备的域信息可以包括第一设备所属的域的域名或者第一设备所属的域的编号,也就是说,第一设备所属的域的域名或者第一设备所属的域的编号可以指示第一设备所属的域。
可选地,第一设备的数字证书可以包括第一设备的域信息。在一些情况下,第一设备的数字证书可以包括第一设备所属的域的域名或者第一设备所属的域的编号,第一设备的数字证书包括的第一设备所属的域的域名或者第一设备所属的域的编号可以指示第一设备的所属的域。
可选地,第二认证请求可以包括指示第一设备的身份信息的指示信息和指示第一设备的域信息的指示信息。可选的,第二认证请求中的一个指示信息可以同时指示第一设备的身份信息和第一设备的域信息,也可以是两个指示信息分别指示第一设备的身份信息和第一设备的域信息。
以上是认证方法300提供的一种认证方法,可以用于避免第一设备与第二设备的非法传输导致的安全问题,以提高设备之间传输信息的安全性。
为了更好的说明认证方法300,下面结合认证方法400描述第一设备对第二设备进行认证的过程,如图4所示,认证方法400包括:
S401,第二设备向第一设备发送第一认证请求,第一设备从第二设备接收第一认证请求,第一认证请求包括第二设备的域信息、第二设备的身份信息、第一校验信息以及第二校验信息。
例如,认证方法300中的第二设备的域信息可以是S401中的第二设备的域信息,认证方法300中的第二设备的身份信息可以是S401中的第二设备的身份信息,认证方法300中的第二设备的身份信息对应的第一校验信息可以是S401中的第一校验信息,认证方法300中的第二设备的域信息对应的第二校验信息可以是S401中的第二校验信息。
S402,第一设备校验第二设备的域信息是否正确。
具体地,若第二设备的域信息校验通过,执行S403a;若第二设备的域信息校验失败,执行S403b。
可选地,在第一认证请求包括第二设备的域信息对应的第二校验信息的情况下,第一设备校验第二设备的域信息是否正确,包括:第一设备根据第二校验信息校验第二设备的域信息是否正确。
下面针对第一设备根据第二校验信息校验第二设备的域信息是否正确,根据以下两种方法分别进行具体描述。
方法一,在第二设备的数字证书包括第二明文信息和第二签名,第二明文信息为第二设备的域信息,第二签名为第二校验信息的情况下,第一设备根据第二校验信息对第二设备的域信息进行校验,包括:第一设备根据CA的公钥对第二签名进行解密得到第一摘要;第一设备使用CA的哈希算法对第二明文信息进行加密得到第二摘要;若第一摘要和第二摘要相同,则第一设备对第二设备的域信息校验通过;若第一摘要和第二摘要不同,则第一设备对第二设备的域信息校验失败。其中,CA的公钥和CA的哈希算法对在同一CA下申请数字证书的设备而言是公开的,也就是说第一设备可以获取得到CA的公钥和CA的哈希算法。
例如,第一设备为图2中的设备D,第二设备为图2中的设备E,若设备E的真实的域信息为域3,设备E在向CA申请数字证书的过程中,CA将设备E所属的域3经过CA的哈希算法和CA的私钥进行加密得到设备E的数字证书中的第二签名,同时将设备E所属的域3写入设备E的数字证书的第二明文信息中。设备D在接收到设备E的数字证书后,根据设备E的数字证书中的第二签名对设备E的数字证书的第二明文信息进行校验,具体为:设备D根据CA的公钥对第二签名进行解密得到第一摘要;设备D使用CA的哈希算法对明文信息进行加密得到第二摘要;若设备D接收到的设备E的数字证书中的第二明文信息为域3,则得到的第一摘要和第二摘要相同,即设备D对设备E的域信息校验通过;若设备D接收到的设备E的数字证书中的第二明文信息为域2,则得到的第一摘要和第二摘要不同,即设备D对设备E的域信息校验失败。
方法二,在第二设备根据第二设备的私钥对第二设备的域信息进行加密,得到加密后的第二设备的域信息,第一认证请求包括加密后的第二设备的域信息的情况下,第一设备根据第二校验信息对第二设备的域信息进行校验,包括:第一设备根据第二设备的私钥对应的公钥对加密后的第二设备的域信息进行解密;若解密成功,第一设备根据第二校验信息对第二设备的域信息校验通过;若解密失败,第一设备根据第二校验信息对第二设备的域信息校验失败。也就是说,第一设备通过判断第二校验信息中是否包含第二设备的私钥对应的公钥来对第二设备的域信息进行校验。
例如,第一设备为图2中的设备D,第二设备为图2中的设备E,若设备E的真实的域信息为域3,设备E在向设备D发送设备E的域信息之前,采用设备E的私钥对真实的设备E的域信息(域3)进行加密,得到加密后的设备E的域信息,设备D从设备E接收第二校验信息以及加密后的设备E的域信息,设备D根据第二校验信息对加密后的设备E的域信息进行解密;若解密成功,即设备E的域信息校验通过,表示第二校验信息中包含设备E的私钥对应的公钥;若解密失败,即设备E的域信息校验失败,表示第二校验信息中不包含设备E的私钥对应的公钥。
以上是第一设备对第二设备的域信息进行校验的两种可选的方法,通过对第二设备的域信息的校验来判断第一认证请求中的第二设备的域信息是否被篡改过或者为仿冒的域信息,这样在保证第二设备的域信息正确或合法的情况下,第一设备根据第二设备的域信息确定目标白名单,可以确保所确定的目标白名单的准确性。
S403a,第一设备确定第二设备所属的域与第一设备所属的域是否相同。
具体地,若第二设备所属的域与第一设备所属的域相同,执行S405a;若第二设备所属的域与第一设备所属的域不同,执行S404。
例如,认证方法300中的第一设备确定第二设备的域信息指示的所述第二设备所属的域与所述第一设备所属的域是否相同可以是S403a。
S403b,第一设备向第二设备发送第二设备认证失败的消息。
S404,第一设备确定第二设备所属的域是否有访问第一设备所属的域的权限。
具体地,若第二设备所属的域有访问第一设备所属的域的权限,执行S405a;若第二设备所属的域没有访问第一设备所属的域的权限,执行S405b。
例如,认证方法300中的第一设备确定第二设备所属的域是否有访问第一设备所属的域的权限可以是S404。
S405a,第一设备校验第二设备的身份信息是否正确。
具体地,若第二设备的身份信息校验通过,执行S406a;若第二设备的域信息校验失败,执行S406b。
可选地,在第一认证请求包括第二设备的身份信息对应的第一校验信息的情况下,第一设备校验第二设备的身份信息是否正确,包括:第一设备根据第一校验信息校验第二设备的身份信息是否正确。
下面针对第一设备根据第一校验信息校验第二设备的身份信息是否正确,根据以下两种方法分别进行描述。
方法一,在第二设备的数字证书包括第一明文信息和第一签名,第一明文信息为第二设备的身份信息,第一签名为第一校验信息的情况下,第一设备根据第一校验信息对第二设备的身份信息进行校验,包括:第一设备根据CA的公钥对第一签名进行解密得到第三摘要;第一设备根据CA的哈希算法对第一明文信息进行加密得到第四摘要;若第三摘要和第四摘要相同,则第一设备对第二设备的身份信息校验通过;若第三摘要和第四摘要不同,则第一设备对第二设备的身份信息校验失败。
例如,第一设备为图2中的设备C,第二设备为图2中的设备A,设备A在向CA申请数字证书的过程中,CA将设备A的真实的身份信息经过CA的哈希算法和CA的私钥进行加密得到设备A的数字证书中的第一签名,同时将设备A的真实的身份信息写入设备A的数字证书的第一明文信息中。设备C在接收到设备A的数字证书后,根据设备A的数字证书中的第一签名对设备A的数字证书的第一明文信息进行校验,具体为:设备C根据CA的公钥对第一签名进行解密得到第三摘要;设备C使用CA的哈希算法对第一明文信息进行加密得到第四摘要;若设备C接收到的设备A的数字证书中的第一明文信息为设备A的真实的身份信息,则得到的第三摘要和第四摘要相同,即设备C对设备A的身份信息校验通过;若设备C接收到的设备A的数字证书中的第一明文信息被篡改过,则得到的第三摘要和第四摘要不同,即设备C对设备A的身份信息校验失败。
方法二,在第二设备根据第二设备的私钥对第二设备的身份信息进行加密,得到加密后的第二设备的身份信息,第一认证请求包括加密后的第二设备的身份信息的情况下,第一设备根据第一校验信息对第二设备的身份信息进行校验,包括:第一设备根据第二设备的私钥对应的公钥对加密后的第二设备的身份信息进行解密;若解密成功,第一设备根据第一校验信息对第二设备的身份信息校验通过;若解密失败,第一设备根据第一校验信息对第二设备的身份信息校验失败。也就是说,第一设备通过判断第一校验信息中是否包含第二设备的私钥对应的公钥来对第二设备的身份信息进行校验。
例如,第一设备为图2中的设备C,第二设备为图2中的设备A,设备A在向设备C发送设备A的身份信息之前,采用设备A的私钥对真实的设备A的身份信息进行加密,得到加密后的设备A的身份信息,设备C从设备A接收第一校验信息以及加密后的设备A的身份信息,设备C根据第一校验信息对加密后的设备A的身份信息进行解密;若解密成功,即设备A的身份信息校验通过,表示第一校验信息中包含设备A的私钥对应的公钥;若解密失败,即设备A的身份信息校验失败,表示第一校验信息中不包含设备A的私钥对应的公钥。
以上是第一设备对第二设备的身份信息进行校验的两种可选的方法,通过对第二设备的身份信息的校验来判断第一认证请求中的第二设备的身份信息是否被篡改过或者为仿冒的身份信息,这样在保证第二设备的身份信息正确或合法的情况下,第一设备根据第二设备的身份信息和目标白名单对第二设备进行认证,可以提高对第二设备认证的准确性。
S405b,第一设备向第二设备发送第二设备认证失败的消息。
S406a,第一设备确定目标白名单中是否含有第二设备的身份信息。
具体地,若目标白名单中含有第二设备的身份信息,执行S407a;若目标白名单中没有第二设备的身份信息,执行S407b。
例如,认证方法300中的第一设备根据目标白名单和第二设备的身份信息对第二设备进行认证可以是S406a。
在S406a之前,认证方法400还包括:第一设备根据第二设备的域信息确定目标白名单。
S406b,第一设备向第二设备发送第二设备认证失败的消息。
S407a,第一设备向第二设备发送第二设备认证成功的消息。
例如,认证方法300中的若目标白名单包括第二设备的身份信息,则第二设备认证成功,此时认证方法300中的第一响应消息为S407a中第二设备认证成功的消息。
S407b,第一设备向第二设备发送第二设备认证失败的消息。
例如,认证方法300中的若目标白名单不包括第二设备的身份信息,则第二设备认证失败,此时认证方法300中的第一响应消息为S407b中第二设备认证失败的消息。
以上是认证方法400中第一设备对第二设备认证的过程的描述,本申请可以包括比图4更多步骤或者更少步骤,同时本申请对图4中的S402和S405a的先后顺序不做限制,也就是说,第一设备还可以先校验第二设备的身份信息再校验第二设备的域信息,或者,第一设备可以同时校验第二设备的身份信息和第二设备的域信息。图4中不同步骤的组合可以构成不同的实施例,例如,S401~S402可以构成第一设备校验第二设备的域信息的是否正确的实施例,S401~S404可以构成第一设备确定第二设备所属的域是否有访问第一设备所属的域的权限的另一实施例,S401~S407b可以构成第一设备对第二设备进行认证的又一实施例。
需要说明的是,认证方法400中的各个步骤的编号不限制方法执行的顺序,可以根据逻辑关系确定认证方法400中的各个步骤的顺序。
在一些网络设计中,可以规定某一域中所有的设备都没有访问另一域中的任意设备的权限的情况,如图2所示的域3中的所有设备都没有访问域2中的任意设备的权限,在这种场景下,本申请实施例提供了另一种认证方法500的示意图,如图5所示,认证方法500包括:
S510,第二设备向第一设备发送第一认证请求,第一设备从第二设备接收第一认证请求,第一认证请求包括第二设备的域信息、第二设备的身份信息以及第三校验信息。
例如,认证方法300中的第二设备的域信息可以是S510中的第二设备的域信息,认证方法300中的第二设备的身份信息可以是S510中的第二设备的身份信息。
其中,第三校验信息为第二设备的身份信息和第二设备的域信息对应的校验信息。
S520,第一设备根据第三校验信息校验第二设备的域信息和第二设备的身份信息。
可选地,第一设备根据第三校验信息校验第二设备的域信息和第二设备的身份信息,可以包括:第一设备根据第三校验信息判断第一认证请求中包含的第二设备的身份信息是否为第二设备的正确的身份信息,以及第二设备的域信息是否为第二设备的正确的域信息。
可选地,若第一设备根据第三校验信息对第二设备的身份信息和第二设备的域信息校验通过,则在S530中第一设备可以根据第二设备的域信息对第二设备进行认证;若第一设备根据第三校验信息对第二设备的身份信息和/或第二设备的域信息校验失败,则第二设备认证失败,向第二设备发送第二设备认证失败的消息。
可选地,第二设备的数字证书可以包括第三明文信息和第三签名,其中,第三明文信息可以为第二设备的身份信息和第二设备的域信息,第三签名可以为第三校验信息。
可选地,第二设备可以根据第二设备的私钥对第二设备的身份信息和第二设备的域信息进行加密,得到加密后的第二设备的身份信息和第二设备的域信息,第一认证请求可以包括加密后的第二设备的身份信息和第二设备的身份信息。可选地,第三校验信息可以是第二设备的私钥对应的公钥。
第一设备根据第三校验信息对第二设备的域信息和第二设备的身份信息进行校验的过程,可以参见认证方法400中第一设备根据第一校验信息对第二设备的身份信息进行校验的过程,或者参见认证方法400中第一设备根据第二校验信息对第二设备的域信息进行校验的过程,为了避免赘述,此处不详细描述。
S530,第一设备根据第二设备的域信息对第二设备进行认证。
可选地,第一设备根据第二设备的域信息对第二设备进行认证,可以是:第一设备确定第二设备的域信息指示的第二设备所属的域与第一设备所属的域是否相同;若第二设备所属的域与第一设备所属的域相同,则第二设备认证成功,第一响应消息用于指示第二设备认证成功;若第二设备所属的域与第一设备所属的域不同,则确定第二设备所属的域是否有访问第一设备所属的域的权限,其中,确定第二设备所属的域是否有访问第一设备所属的域的权限,包括:若第二设备所属的域有访问第一设备所属的域的权限,则第二设备认证成功,第一响应消息用于指示第二设备认证成功;若第二设备所属的域没有访问第一设备所属的域的权限,则第二设备认证失败,第一响应消息用于指示第二设备认证失败。
可选地,若第二设备的域信息包括第二设备所属的域的域名或者第二设备所属的域的编号,第一设备根据第二设备的域信息对第二设备进行认证,可以是:第一设备根据第二设备所属的域的域名或者第二设备所属的域的编号对第二设备进行认证。
例如,第一设备为图2的域2中的设备C,第二设备为图2的域3中设备E,设备C根据设备E的域信息对设备E进行认证,具体为:设备C确定设备E所属的域3和设备C所属的域2不同,且设备C确定设备E所属的域3没有访问设备C所属的域2的权限,设备E认证失败,设备C向设备E发送设备E认证失败的消息。
S540,与S340相同。
可选地,在第一响应消息用于指示第二设备认证成功的情况下,在S540之后,第一设备向第二设备发送第一设备的身份信息和第一设备的域信息,第一设备的域信息用于指示第一设备所属的域。也就是说,在第一设备对第二设备认证成功之后,第一设备可以将第一设备的身份信息和第一设备的域信息发送给第二设备,由第二设备对第一设备进行认证,这样通过第一设备和第二设备间的双向认证的方式进一步确保传输信息的安全性。
可选地,在第一响应消息用于指示第二设备认证失败的情况下,第一设备断开与第二设备的连接,也就是说,第一设备认为第二设备为不可信任的设备,第一设备和第二设备间不能进行信息传输。
以上是认证方法500中第一设备对第二设备认证的过程的描述,认证方法500中可以用于一些网络设计中,存在某一域中所有的设备都没有访问另一域中的任意设备的权限的场景中,第一设备可以根据第二设备的身份信息和第二设备的域信息更快捷地完成对第二设备的认证。
为了更好的说明认证方法500,下面结合认证方法600描述第一设备对第二设备进行认证的过程,如图6所示,认证方法600包括:
S601,与S510相同。
S602,第一设备校验第二设备的域信息和第二设备的身份信息是否正确。
具体地,若第二设备的域信息和第二设备的身份信息校验通过,执行S603a;若第二设备的域信息和/或第二设备的身份信息校验失败,执行S603b。
可选地,在第一认证请求包括第二设备的身份信息和第二设备的域信息对应的第三校验信息的情况下,第一设备根据第三校验信息校验第二设备的身份信息和第二设备的域信息是否正确。例如,认证方法500中的S520可以是S602。
S603a,第一设备确定第二设备所属的域与第一设备所属的域是否相同。
具体地,若第二设备所属的域与第一设备所属的域相同,执行S605a;若第二设备所属的域与第一设备所属的域不同,执行S604。
例如,认证方法500中的第一设备确定第二设备的域信息指示的所述第二设备所属的域与所述第一设备所属的域是否相同可以是S603a。
S603b,第一设备向第二设备发送第二设备认证失败的消息。
例如,认证方法500中的第二设备的域信息校验失败和/或第二设备的身份信息校验失败,则第二设备认证失败,向第二设备发送第二设备认证失败的消息可以是S603b。
S604,第一设备确定第二设备所属的域是否有访问第一设备所属的域的权限。
具体地,若第二设备所属的域有访问第一设备所属的域的权限,执行S605a;若第二设备所属的域没有访问第一设备所属的域的权限,执行S605b。
例如,认证方法500中的第一设备确定第二设备所属的域是否有访问第一设备所属的域的权限可以是S604。
S605a,第一设备向第二设备发送第二设备认证成功的消息。
例如,认证方法500中的第二设备所属的域与第一设备所属的域相同,或者第二设备所属的域与第一设备所属的域不同且第二设备所属的域有访问第一设备所属的域的权限,则第二设备认证成功,此时认证方法500中的第一响应消息为S605a中的第二设备认证成功的消息。
S605b,第一设备向第二设备发送第二设备认证失败的消息。
例如,认证方法500中的若第二设备所属的域没有访问第一设备所属的域的权限,则第二设备认证失败,此时认证方法500中的第一响应消息为S605b中的第二设备认证失败的消息。
以上是认证方法600中第一设备对第二设备认证的过程的描述,本申请可以包括比图6更多步骤或者更少步骤。图6中的S602中第一设备校验第二设备的域信息和第二设备的身份信息是否正确可以是如图4中的认证方法400中的S402和S405a给出的两个单独的不限制先后顺序的步骤。
上文描述了本申请提供的方法实施例,下文将描述本申请提供的装置实施例。应理解,装置实施例的描述与方法实施例的描述相互对应,因此,未详细描述的内容可以参见上文方法实施例,为了简洁,这里不再赘述。
图7示出了本申请实施例提供的认证装置700的示意性框图,该认证装置700可以包括收发单元710和处理单元720。在一种可能的实现方式中,该认证装置700可对应于上文方法实施例中的第一设备,例如,可以为第一设备,或者配置于第一设备中的芯片。该认证装置700用于执行上述方法中第一设备对应的各个步骤或流程。其中:
收发单元710,用于从第二设备接收第一认证请求,第一认证请求包括第二设备的域信息和第二设备的身份信息。
处理单元720,用于根据第二设备的域信息确定目标白名单,目标白名单包括有访问第一设备的权限的设备的身份信息。
处理单元720,还用于根据目标白名单和第二设备的身份信息对第二设备进行认证。
收发单元710,还用于向第二设备发送第一认证请求的第一响应消息,第一响应消息用于指示第二设备认证是否成功。
其中,第二设备的域信息用于指示第二设备所属的域。
作为一个可选实施例,在第一认证请求包括第二设备的身份信息对应的第一校验信息的情况下,处理单元720还用于:在根据目标白名单和第二设备的身份信息对第二设备进行认证之前,根据第一校验信息对第二设备的身份信息进行校验;处理单元720具体用于:若第二设备的身份信息校验通过,则根据目标白名单和第二设备的身份信息对第二设备进行认证。
作为一个可选实施例,处理单元720具体用于:若所述目标白名单包括第二设备的身份信息,则第二设备认证成功,第一响应消息用于指示第二设备认证成功;若目标白名单不包括第二设备的身份信息,则第二设备认证失败,第一响应消息用于指示第二设备认证失败。
作为一个可选实施例,在第一认证请求包括所述第二设备的域信息对应的第二校验信息的情况下,处理单元720还用于:在根据第二设备的域信息确定目标白名单之前,根据第二校验信息对第二设备的域信息进行校验;处理单元720具体用于:若第二设备的域信息校验通过,则根据第二设备的域信息确定目标白名单。
作为一个可选实施例,处理单元720具体用于:确定第二设备的域信息指示的第二设备所属的域与认证装置700所属的域是否相同;若第二设备所属的域与认证装置700所属的域相同,则确定目标白名单为第一白名单,第一白名单包括认证装置700所属的域中有访问认证装置700的权限的设备的身份信息;若第二设备所属的域与认证装置700所属的域不同,则根据第二设备所属的域确定目标白名单为第二白名单,第二白名单包括第二设备所属的域中有访问认证装置700的权限的设备的身份信息。
作为一个可选实施例,处理单元720具体用于:确定第二设备所属的域是否有访问认证装置700所属的域的权限;若第二设备所属的域有访问认证装置700所属的域的权限,则根据第二设备所属的域确定目标白名单为第二白名单。
作为一个可选实施例,在第一响应消息用于指示第二设备认证成功的情况下,收发单元710还用于:在向第二设备发送第一认证请求的第一响应消息之后,向第二设备发送第二认证请求,第二认证请求包括认证装置700的域信息和认证装置700的身份信息,认证装置700的域信息用于指示认证装置700所属的域。
作为一个可选实施例,目标白名单为认证装置700的预配置的白名单。
应理解,这里的认证装置700以功能单元的形式体现。这里的术语“单元”可以指应用特有集成电路(application specific integrated circuit,ASIC)、电子电路、用于执行一个或多个软件或固件程序的处理器(例如共享处理器、专有处理器或组处理器等)和存储器、合并逻辑电路和/或其它支持所描述的功能的合适组件。在一个可选例子中,本领域技术人员可以理解,认证装置700可以具体为上述实施例中的第一设备,可以用于执行上述方法实施例中与第一设备对应的各个流程和/或步骤;或者,认证装置700可以具体为上述实施例中的第二设备,以用于执行上述方法实施例中与第二设备对应的各个流程和/或步骤,为了避免重复,在此不再赘述。
上述各个方案的认证装置700具有实现上述方法中第一设备所执行的相应步骤的功能,或者,上述各个方案的认证装置700具有实现上述方法中第二设备所执行的相应步骤的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块;例如收发单元可以由收发机替代(例如,收发单元中的发送单元可以由发送机替代,收发单元中的接收单元可以由接收机替代),其它单元,如处理单元等可以由处理器替代,分别执行各个方法实施例中的收发操作以及相关的处理操作。
此外,上述收发单元还可以是收发电路(例如可以包括接收电路和发送电路),处理单元可以是处理电路。在本申请的实施例,图7中的认证装置700可以是前述实施例中的第一设备或第二设备,也可以是芯片或者芯片系统,例如:片上系统(system on chip,SoC)。其中,收发单元可以是输入输出电路、通信接口;处理单元为该芯片上集成的处理器或者微处理器或者集成电路。在此不做限定。
图8示出了本申请实施例提供的通信装置800。该通信装置800包括处理器810和收发器820。其中,处理器810和收发器820通过内部连接通路互相通信,该处理器810用于执行指令,以控制该收发器820发送信号和/或接收信号。
可选的,该通信装置800还可以包括存储器830,该存储器830与处理器810、收发器820通过内部连接通路互相通信。该存储器830用于存储指令,该处理器810可以执行该存储器830中存储的指令。在一种可能的实现方式中,通信装置800用于实现上述认证方法300或认证方法400中的第一设备对应的各个流程和操作。在一种可能的实现方式中,通信装置800用于实现上述认证方法300或认证方法400中的第二设备对应的各个流程和操作。在一种可能的实现方式中,通信装置800用于实现上述认证方法500或者认证方法600中的第一设备对应的各个流程和操作。在一种可能的实现方式中,通信装置800用于实现上述认证方法500或者认证方法600中的第二设备对应的各个流程和操作。
应理解,通信装置800可以具体为上述实施例中的各个设备,也可以是芯片或者芯片系统。对应的,该收发器820可以是该芯片的收发电路,在此不做限定。具体地,该通信装置800可以用于执行上述方法实施例中与各个设备对应的各个操作和/或流程。可选的,该存储器830可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器的一部分还可以包括非易失性随机存取存储器。例如,存储器还可以存储设备类型的信息。该处理器810可以用于执行存储器中存储的指令,并且当该处理器810执行存储器中存储的指令时,该处理器810用于执行上述与各个设备对应的方法实施例的各个操作和/或流程。
可选地,图7中的收发单元710可以是图8中的收发器820,图7中的处理单元720可以是图8中的处理器810。可选的,通信装置800可以是图7中的认证装置700。
在实现过程中,上述方法的各操作可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的操作可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的操作。为避免重复,这里不再详细描述。
应注意,本申请实施例中的处理器可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法实施例的各操作可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、操作及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的操作可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的操作。
可以理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(directrambus RAM,DR RAM)。应注意,本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
根据本申请实施例提供的认证方法,本申请还提供一种计算机程序产品,该计算机程序产品包括:计算机程序代码,当该计算机程序代码在计算机上运行时,使得该计算机执行上述方法实施例中各个设备所执行的各个操作或流程。
根据本申请实施例提供的认证方法,本申请还提供一种计算机可读存储介质,该计算机可读存储介质存储有程序代码,当该程序代码在计算机上运行时,使得该计算机执行上述方法实施例中各个设备(例如第一设备或第二设备)所执行的各个操作或流程。
根据本申请实施例提供的认证方法,本申请还提供一种通信系统,其包括前述的第一设备和第二设备。
上述各个装置实施例中和方法实施例中的完全对应,由相应的模块或单元执行相应的操作,例如收发单元(收发器)执行方法实施例中接收或发送的操作,除发送、接收外的其它操作可以由处理单元(处理器)执行。具体单元的功能可以基于相应的方法实施例。其中,处理器可以为一个或多个。
在本申请的实施例中,各术语及英文缩略语均为方便描述而给出的示例性举例,不应对本申请构成任何限定。本申请并不排除在已有或未来的协议中定义其它能够实现相同或相似功能的术语的可能。
应理解,本申请中,“在……情况下”、“如果……”、“当……时”、“若……”等类似的描述可以替换使用。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各种说明性逻辑块(illustrative logical block)和操作,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以基于前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
在上述实施例中,各功能单元的功能可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令(程序)。在计算机上加载和执行所述计算机程序指令(程序)时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分操作。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (18)

1.一种认证方法,其特征在于,所述认证方法应用于第一设备,包括:
从第二设备接收第一认证请求,所述第一认证请求包括所述第二设备的域信息和所述第二设备的身份信息;
根据所述第二设备的域信息确定目标白名单,所述目标白名单包括有访问所述第一设备的权限的设备的身份信息;
根据所述目标白名单和所述第二设备的身份信息对所述第二设备进行认证;
向所述第二设备发送所述第一认证请求的第一响应消息,所述第一响应消息用于指示所述第二设备认证是否成功;
其中,所述第二设备的域信息用于指示所述第二设备所属的域。
2.根据权利要求1所述的认证方法,其特征在于,所述第一认证请求包括所述第二设备的身份信息对应的第一校验信息,在所述根据所述目标白名单和所述第二设备的身份信息对所述第二设备进行认证之前,所述认证方法还包括:
根据所述第一校验信息对所述第二设备的身份信息进行校验;
其中,所述根据所述目标白名单和所述第二设备的身份信息对所述第二设备进行认证,包括:
若所述第二设备的身份信息校验通过,则根据所述目标白名单和所述第二设备的身份信息对所述第二设备进行认证。
3.根据权利要求1或2所述的认证方法,其特征在于,所述根据所述目标白名单和所述第二设备的身份信息对所述第二设备进行认证,包括:
若所述目标白名单包括所述第二设备的身份信息,则所述第二设备认证成功,所述第一响应消息用于指示所述第二设备认证成功;
若所述目标白名单不包括所述第二设备的身份信息,则所述第二设备认证失败,所述第一响应消息用于指示所述第二设备认证失败。
4.根据权利要求1至3中任一项所述的认证方法,其特征在于,所述第一认证请求包括所述第二设备的域信息对应的第二校验信息,在所述根据所述第二设备的域信息确定目标白名单之前,所述认证方法还包括:
根据所述第二校验信息对所述第二设备的域信息进行校验;
其中,所述根据所述第二设备的域信息确定目标白名单,包括:
若所述第二设备的域信息校验通过,则根据所述第二设备的域信息确定目标白名单。
5.根据权利要求1至4中任一项所述的认证方法,其特征在于,所述根据所述第二设备的域信息确定目标白名单,包括:
确定所述第二设备的域信息指示的所述第二设备所属的域与所述第一设备所属的域是否相同;
若所述第二设备所属的域与所述第一设备所属的域相同,则确定所述目标白名单为第一白名单,所述第一白名单包括所述第一设备所属的域中有访问所述第一设备的权限的设备的身份信息;
若所述第二设备所属的域与所述第一设备所属的域不同,则根据所述第二设备所属的域确定所述目标白名单为第二白名单,所述第二白名单包括所述第二设备所属的域中有访问所述第一设备的权限的设备的身份信息。
6.根据权利要求5所述的认证方法,其特征在于,所述根据所述第二设备所属的域确定所述目标白名单为第二白名单,包括:
确定所述第二设备所属的域是否有访问所述第一设备所属的域的权限;
若所述第二设备所属的域有访问所述第一设备所属的域的权限,则根据所述第二设备所属的域确定所述目标白名单为所述第二白名单。
7.根据权利要求1至6中任一项所述的认证方法,其特征在于,所述第一响应消息用于指示所述第二设备认证成功,在所述向所述第二设备发送所述第一认证请求的第一响应消息之后,所述认证方法还包括:
向所述第二设备发送第二认证请求,所述第二认证请求包括所述第一设备的域信息和所述第一设备的身份信息,所述第一设备的域信息用于指示所述第一设备所属的域。
8.根据权利要求1至7中任一项所述的认证方法,其特征在于,所述目标白名单为预配置的白名单。
9.一种认证装置,其特征在于,所述认证装置包括:
收发单元,用于从第二设备接收第一认证请求,所述第一认证请求包括所述第二设备的域信息和所述第二设备的身份信息;
处理单元,用于根据所述第二设备的域信息确定目标白名单,所述目标白名单包括有访问所述认证装置的权限的设备的身份信息;
所述处理单元,还用于根据所述目标白名单和所述第二设备的身份信息对所述第二设备进行认证;
所述收发单元,还用于向所述第二设备发送所述第一认证请求的第一响应消息,所述第一响应消息用于指示所述第二设备认证是否成功;
其中,所述第二设备的域信息用于指示所述第二设备所属的域。
10.根据权利要求9中所述的认证装置,其特征在于,所述第一认证请求包括所述第二设备的身份信息对应的第一校验信息,所述处理单元还用于:
在所述根据所述目标白名单和所述第二设备的身份信息对所述第二设备进行认证之前,根据所述第一校验信息对所述第二设备的身份信息进行校验;
所述处理单元具体用于:若所述第二设备的身份信息校验通过,则根据所述目标白名单和所述第二设备的身份信息对所述第二设备进行认证。
11.根据权利要求9或10所述的认证装置,其特征在于,所述处理单元具体用于:
若所述目标白名单包括所述第二设备的身份信息,则所述第二设备认证成功,所述第一响应消息用于指示所述第二设备认证成功;
若所述目标白名单不包括所述第二设备的身份信息,则所述第二设备认证失败,所述第一响应消息用于指示所述第二设备认证失败。
12.根据权利要求9至11中任一项所述的认证装置,其特征在于,所述第一认证请求包括所述第二设备的域信息对应的第二校验信息,所述处理单元还用于:
在所述根据所述第二设备的域信息确定目标白名单之前,根据所述第二校验信息对所述第二设备的域信息进行校验;
所述处理单元具体用于:若所述第二设备的域信息校验通过,则根据所述第二设备的域信息确定目标白名单。
13.根据权利要求9至12中任一项所述的认证装置,其特征在于,所述处理单元具体用于:
确定所述第二设备的域信息指示的所述第二设备所属的域与所述认证装置所属的域是否相同;
若所述第二设备所属的域与所述认证装置所属的域相同,则确定所述目标白名单为第一白名单,所述第一白名单包括所述认证装置所属的域中有访问所述认证装置的权限的设备的身份信息;
若所述第二设备所属的域与所述认证装置所属的域不同,则根据所述第二设备所属的域确定所述目标白名单为第二白名单,所述第二白名单包括所述第二设备所属的域中有访问所述认证装置的权限的设备的身份信息。
14.根据权利要求13中所述的认证装置,其特征在于,所述处理单元具体用于:
确定所述第二设备所属的域是否有访问所述认证装置所属的域的权限;
若所述第二设备所属的域有访问所述认证装置所属的域的权限,则根据所述第二设备所属的域确定所述目标白名单为所述第二白名单。
15.根据权利要求9至14中任一项所述的认证装置,其特征在于,所述第一响应消息用于指示所述第二设备认证成功,所述收发单元还用于:
在所述向所述第二设备发送所述第一认证请求的第一响应消息之后,向所述第二设备发送第二认证请求,所述第二认证请求包括所述认证装置的域信息和所述认证装置的身份信息,所述认证装置的域信息用于指示所述认证装置所属的域。
16.根据权利要求9至15中任一项所述的认证装置,其特征在于,所述目标白名单为预配置的白名单。
17.一种通信装置,其特征在于,包括处理器,所述处理器与存储器耦合,所述处理器用于执行所述存储器中存储的计算机程序或指令,以使得所述通信装置实现如权利要求1至8中任一项所述的认证方法。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,当所述计算机指令在第一设备上运行时,使得所述第一设备执行如权利要求1至8中任一项所述的认证方法。
CN202310035336.0A 2023-01-10 2023-01-10 一种认证方法及认证装置 Pending CN118337401A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202310035336.0A CN118337401A (zh) 2023-01-10 2023-01-10 一种认证方法及认证装置
PCT/CN2023/139617 WO2024149029A1 (zh) 2023-01-10 2023-12-18 一种认证方法及认证装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310035336.0A CN118337401A (zh) 2023-01-10 2023-01-10 一种认证方法及认证装置

Publications (1)

Publication Number Publication Date
CN118337401A true CN118337401A (zh) 2024-07-12

Family

ID=91779393

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310035336.0A Pending CN118337401A (zh) 2023-01-10 2023-01-10 一种认证方法及认证装置

Country Status (2)

Country Link
CN (1) CN118337401A (zh)
WO (1) WO2024149029A1 (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111865906B (zh) * 2015-07-17 2025-01-28 华为技术有限公司 报文传输的方法、装置和系统
CN106899542B (zh) * 2015-12-17 2021-04-20 中兴通讯股份有限公司 安全接入方法、装置及系统
CN107360184B (zh) * 2017-08-14 2020-09-08 杭州迪普科技股份有限公司 终端设备认证方法和装置
US11323431B2 (en) * 2019-01-31 2022-05-03 Citrix Systems, Inc. Secure sign-on using personal authentication tag

Also Published As

Publication number Publication date
WO2024149029A1 (zh) 2024-07-18

Similar Documents

Publication Publication Date Title
US11128477B2 (en) Electronic certification system
KR102347659B1 (ko) 디바이스의 보안 프로비저닝 및 관리
CN108684041B (zh) 登录认证的系统和方法
JP5860815B2 (ja) コンピューターポリシーを施行するためのシステムおよび方法
CN114257382B (zh) 密钥管理和业务处理方法、装置及系统
US9197420B2 (en) Using information in a digital certificate to authenticate a network of a wireless access point
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
JP2018121328A (ja) 電子デバイスのためのイベント証明書
EP2721764B1 (en) Revocation status using other credentials
US11424915B2 (en) Terminal registration system and terminal registration method with reduced number of communication operations
US10291614B2 (en) Method, device, and system for identity authentication
CN114745180B (zh) 接入认证方法、装置和计算机设备
CN112217636B (zh) 基于区块链的数据处理方法、装置、计算机设备及介质
CN112311718A (zh) 检测硬件的方法、装置、设备及存储介质
KR20170017455A (ko) 세션 키 및 인증 토큰에 기반한 상호 인증 장치들 간의 상호 인증 방법 및 상호 인증 장치들
CN113343204B (zh) 基于区块链的数字身份管理系统及方法
CN108900595B (zh) 访问云存储服务器数据的方法、装置、设备及计算介质
CN109743283B (zh) 一种信息传输方法及设备
KR20170111809A (ko) 대칭키 기반의 보안 토큰을 이용한 양방향 인증 방법
CN112261103A (zh) 一种节点接入方法及相关设备
CN117479152A (zh) 车机调试方法、服务器、车机设备及计算机可读存储介质
CN118337401A (zh) 一种认证方法及认证装置
CN114024702A (zh) 信息安全保护的方法以及计算设备
CN112714099A (zh) 通信系统和方法
KR101737925B1 (ko) 도전-응답 기반의 사용자 인증 방법 및 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination