CN115037480A - 设备认证和校验的方法、装置、设备和存储介质 - Google Patents
设备认证和校验的方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN115037480A CN115037480A CN202210642088.1A CN202210642088A CN115037480A CN 115037480 A CN115037480 A CN 115037480A CN 202210642088 A CN202210642088 A CN 202210642088A CN 115037480 A CN115037480 A CN 115037480A
- Authority
- CN
- China
- Prior art keywords
- certificate
- activation
- request
- verification
- trusted environment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 87
- 238000012795 verification Methods 0.000 title claims abstract description 81
- 230000004913 activation Effects 0.000 claims abstract description 207
- 230000004044 response Effects 0.000 claims abstract description 41
- 230000008569 process Effects 0.000 claims description 45
- 238000012545 processing Methods 0.000 claims description 18
- 238000012790 confirmation Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000010200 validation analysis Methods 0.000 claims description 3
- 238000013475 authorization Methods 0.000 abstract description 7
- 238000001994 activation Methods 0.000 description 158
- 238000010586 diagram Methods 0.000 description 36
- 230000006854 communication Effects 0.000 description 15
- 238000004891 communication Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 8
- 230000003993 interaction Effects 0.000 description 4
- 230000002452 interceptive effect Effects 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 101000822695 Clostridium perfringens (strain 13 / Type A) Small, acid-soluble spore protein C1 Proteins 0.000 description 1
- 101000655262 Clostridium perfringens (strain 13 / Type A) Small, acid-soluble spore protein C2 Proteins 0.000 description 1
- 101000655256 Paraclostridium bifermentans Small, acid-soluble spore protein alpha Proteins 0.000 description 1
- 101000655264 Paraclostridium bifermentans Small, acid-soluble spore protein beta Proteins 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
根据本公开的实施例,提供了设备认证和校验的方法、装置、设备和存储介质。设备认证的方法包括:在第一设备处,向第二设备发送设备激活请求,该设备激活请求包括第一设备的身份认证信息以及响应于从第二设备接收到激活证书,将激活证书存储在与第一设备相关联的可信任环境中。该方法还包括向第二设备发送证书签名请求,该证书签名请求在可信任环境中至少部分地基于激活证书而生成以及将从第二设备接收的设备证书存储在可信任环境中,该设备证书基于证书签名请求而生成。以此方式,在节约开销的基础上实现了更为可靠的身份认证与鉴权机制,从而可以杜绝对设备的伪造或仿冒带来的非法牟利的漏洞风险。
Description
技术领域
本公开的示例实施例总体涉及计算机领域,特别地涉及用于设备认证和校验的方法、装置、设备和计算机可读存储介质。
背景技术
目前,随着通信技术的发展,越来越多的用户通过智能手机、平板、可穿戴设备等智能通信设备来从服务提供者处获取不同类型的服务。然而,不法分子往往利用此类设备利于伪造和冒用的特点进行大量的虚拟复制,以实施身份作弊及非法牟利等不法行为。因此需要有效手段来从源头上杜绝此类非法牟利的漏洞风险。
发明内容
在本公开的第一方面,提供了一种设备认证的方法。该方法包括在第一设备处,向第二设备发送设备激活请求,该设备激活请求包括所述第一设备的身份认证信息以及响应于从第二设备接收到激活证书,将激活证书存储在与第一设备相关联的可信任环境中。该方法还包括向第二设备发送证书签名请求,该证书签名请求在可信任环境中至少部分地基于激活证书而生成以及将从第二设备接收的设备证书存储在可信任环境中,该设备证书基于所述证书签名请求而生成。
在本公开的第二方面,提供了一种设备校验的方法。该方法包括在与第一设备相关联的可信任环境中查找激活证书,该激活证书由用于认证第一设备的第二设备生成。响应于确定激活证书存在于可信任环境中,对该激活证书进行本地验证。该方法还包括响应于激活证书通过本地验证,生成已激活校验标识以用于第一设备针对本地服务的身份校验。
在本公开的第三方面,提供了一种设备认证的方法。该方法包括响应于接收到来自第一设备的设备激活请求,在第二设备处验证设备激活请求中指示的第一设备的身份认证信息。响应于对该身份认证信息的验证成功,向第一设备发送激活证书。该方法还包括响应于接收到来自第一设备的证书签名请求,向第一设备发送设备证书,该设备证书基于证书签名请求而生成。
在本公开的第四方面,提供了一种用于设备认证的装置。该装置包括激活请求发送模块,被配置为向第二设备发送设备激活请求,所述设备激活请求包括所述第一设备的身份认证信息;激活证书存储模块,被配置为响应于从所述第二设备接收到激活证书,将所述激活证书存储在与所述第一设备相关联的可信任环境中;证书签名请求发送模块,被配置为向所述第二设备发送证书签名请求,所述证书签名请求在所述可信任环境中至少部分地基于所述激活证书而生成;以及设备证书存储模块,被配置为将从所述第二设备接收的设备证书存储在所述可信任环境中,所述设备证书基于所述证书签名请求而生成。
在本公开的第五方面,提供了一种用于设备校验的装置。该装置包括:激活证书查找模块,被配置为在与第一设备相关联的可信任环境中查找激活证书,所述激活证书由用于认证所述第一设备的第二设备生成;本地验证模块,被配置为响应于确定所述激活证书存在于所述可信任环境中,对所述激活证书进行本地验证;以及已激活校验标识生成模块,被配置为响应于所述激活证书通过本地验证,生成已激活校验标识以用于所述第一设备针对本地服务的身份校验。
在本公开的第六方面,提供了一种用于设备认证的装置。该装置包括认证信息验证模块,被配置为响应于接收到来自第一设备的设备激活请求,验证所述设备激活请求中指示的所述第一设备的身份认证信息;激活证书发送模块,被配置为响应于对所述身份认证信息的所述验证成功,向所述第一设备发送激活证书;以及设备证书发送模块,被配置为响应于接收到来自第一设备的证书签名请求,向所述第一设备发送设备证书,所述设备证书基于证书签名请求而生成。
在本公开的第七方面,提供了一种电子设备。该设备包括至少一个处理单元;以及至少一个存储器,至少一个存储器被耦合到至少一个处理单元并且存储用于由至少一个处理单元执行的指令。指令在由至少一个处理单元执行时使设备执行第一方面、第二方面或第三方面所述的方法。
在本公开的第八方面,提供了一种计算机可读存储介质。介质上存储有计算机程序,程序被处理器执行时实现第一方面、第二方面或第三方面所述的方法。
应当理解,本发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键特征或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的描述而变得容易理解。
附图说明
结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了本公开的实施例能够在其中实现的示例环境的示意图;
图2示出了根据本公开的一些实施例的用于设备认证的交互过程的示意图;
图3示出了根据本公开的一些实施例的用于设备认证的交互过程的示意图;
图4示出了根据本公开的一些实施例的用于设备校验的交互过程的示意图;
图5示出了根据本公开的一些实施例的用于设备认证的过程的流程图;
图6示出了根据本公开的一些实施例的用于设备校验的过程的流程图;
图7示出了根据本公开的一些实施例的用于设备认证的过程的流程图;
图8示出了根据本公开的一些实施例的用于设备校验的过程的流程图;
图9示出了根据本公开的一些实施例的用于设备认证的装置的框图;
图10示出了根据本公开的一些实施例的用于设备校验的装置的框图;
图11示出了根据本公开的一些实施例的用于设备认证的装置的框图;
图12示出了根据本公开的一些实施例的用于设备校验的装置的框图;以及
图13示出了能够实施本公开的多个实施例的设备的框图。
具体实施方式
下面将参照附图更详细地描述本公开的实施例。虽然附图中示出了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反,提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
在本公开的实施例的描述中,术语“包括”及其类似用语应当理解为开放性包含,即“包括但不限于”。术语“基于”应当理解为“至少部分地基于”。术语“一个实施例”或“该实施例”应当理解为“至少一个实施例”。术语“一些实施例”应当理解为“至少一些实施例”。下文还可能包括其他明确的和隐含的定义。
如上文所述,在用户使用智能手机、智能平板或可穿戴设备等智能通信设备获取相应服务时,常常要面对设备被伪造和冒用的风险。不法分子通过伪造和冒用设备进行身份作弊并且进而获取非法牟利。
目前针对通过模拟器制造虚拟设备来进行刷量作弊、盗用或是伪造真实用户的设备信息来进行非法操作以及利用伪造的设备信息从服务器侧骗取未授权的服务资源等非法行为缺乏有效手段来识别,从而导致用户和服务器均存在利益受损的风险。
在本公开的实施例中,术语“设备认证”可以涉及终端设备在远程设备处的身份信息注册和状态激活过程。在本公开的实施例中,术语“设备校验”可以涉及终端设备的在请求本地或远程服务过程中,根据在设备认证过程中已经被认证的终端设备的身份信息而对终端设备所实施的身份验证。
根据本公开的各个实施例,提出一种用于设备认证和校验的方案。例如,在终端设备进行身份认证的过程中,服务提供者能够根据终端设备的身份认证信息向设备提供针对该终端设备的激活证书。在将该激活证书存储至该终端设备的可信任环境(TEE)中后,终端设备向服务提供者发送证书签名请求。服务提供者通过对证书签名请求中的、由终端设备生成的公钥进行签名来生成设备证书并且将该设备证书发送至终端设备。终端设备将该设备证书存储在TEE中,以完成该终端设备的认证过程。
在终端设备请求本地或远程相关服务时,如果终端设备在其可信任环境中查找到针对该终端设备的激活证书,则对该激活证书进行合法性和有效性验证。一方面,如果该激活证书被成功验证,则生成已激活标识以用于针对本地可访问的授权服务和资源的签名校验。另一方面,如果该激活证书被成功验证,终端设备可以利用该终端设备的私钥向服务提供者发送远程服务请求,服务提供者可以采用设备证书中的公钥来验证该服务请求,以发送针对该服务请求的响应。
根据本公开的实现,通过在可信任环境(TEE)中,利用激活证书和设备证书以及结合数字签名来对设备侧和服务器侧之间的身份和授权服务进行相互确认,可以提供更加可信的设备身份认证以及校验过程。以此方式,能够杜绝针对设备的伪造和冒用并且防止对设备本地或服务器侧的服务资源的不法获取。
示例环境
首先参见图1,其示意性示出了其中可以实施根据本公开的示例性实现方式的示例环境100的示意图。
如图1所示,环境100可以包括终端设备110(在本公开中也可以被称作第一设备)和远程设备120(在本公开中也可以被称作第二设备)。在示例环境100中,远程设备120可以与终端设备110进行通信,以实现针对终端设备110所请求的服务的供应。
在一些实施例中,终端设备110所请求的服务例如可以包括从远程设备120上直接获取到的服务,也可以包括由远程设备120供应到安装在终端设备110的应用的服务。
在一些实施例中,在终端设备110与远程设备120建立连接并请求所需服务的过程中,远程设备120可以对终端设备110的身份进行认证,以确定终端设备110能够请求的服务权限,从而为终端设备110提供在该服务权限所允许的范围内的服务。
在一些实施例中,终端设备110可以是任意类型的移动终端、固定终端或便携式终端,包括移动手机、台式计算机、膝上型计算机、笔记本计算机、上网本计算机、平板计算机、媒体计算机、多媒体平板、个人通信系统(PCS)设备、个人导航设备、个人数字助理(PDA)、音频/视频播放器、数码相机/摄像机、定位设备、电视接收器、无线电广播接收器、电子书设备、游戏设备或者前述各项的任意组合,包括这些设备的配件和外设或者其任意组合。在一些实施例中,终端设备110也能够支持任意类型的针对用户的接口(诸如“可佩戴”电路等)。远程设备120例如可以是能够提供计算能力的各种类型的计算系统/服务器,包括但不限于大型机、边缘计算节点、云环境中的计算设备,等等。
应当理解,仅出于示例性的目的描述环境100的结构和功能,而不暗示对于本公开的范围的任何限制。
设备认证过程
图2示出了根据本公开的一些实施例的用于设备认证的过程200的示意图。过程200可以在终端设备110和远程设备120处实现。为便于讨论,将参考图1的环境100来描述过程200。
现在参考图2,终端设备110向远程设备120发送(204)针对该终端设备110认证激活请求。该认证激活请求可以包括终端设备110的身份认证信息。
在一些实施例中,该身份认证信息可以包括终端设备110的设备标识(DeviceID)。该设备标识是终端设备110的唯一身份标识,通常可以是终端设备110的芯片标识或是终端设备110的生产序列号。该设备标识可以在终端设备110被生产时写入与该终端设备110相关联的可信任环境中,以保证每次读取的真实性和不可篡改性。
在一些实施例中,该身份认证信息还可以包括终端设备110自身的激活码或是终端设备110所请求的应用或服务的账号密码等口令信息。应当理解,在针对终端设备110的不同的请求激活场景下,该身份认证信息可以包括其他的、与当前请求激活场景相对应的信息。
远程设备120从终端设备110接收的身份认证信息进行验证。在一些实施中,远程设备120可以基于该身份认证信息确定终端设备110被授权的服务范围,例如终端设备110可以使用的服务。可选的或附加的,远程设备120还可以确定终端设备110可以使用这些服务的时效。远程设备120可以基于以上确定的内容来生成针对终端设备110的授权内容,
在一些实施例中,远程设备120可以生成一对非对称密钥对(在本公开中也被称作第一非对称密钥对)。该第一非对称密钥对例如可以通过公开密钥系统(RSA)来生成。可选的或附加的,该非对称密钥对例如还可以通过数字签名算法(DSA),椭圆曲线数字签名算法(ECDSA)的等其他数字签名方法来生成。
远程设备120可以对所确定的针对终端设备110的授权内容进行哈希计算来生成摘要值。通过利用该第一非对称密钥对中的第一私钥对授权内容和摘要值进行加密,远程设备120可以生成(206)针对该终端设备110的激活证书(activate.crt)。在该激活证书中除经加密的内容自信之外还可以包括第一非对称密钥对中的第一公钥。此外,该激活证书还可以包括终端设备110的设备身份标识。应当理解,一本激活证书是远程设备120为一个终端设备所唯一签发的。
远程设备120将所生成的激活证书发送(208)至终端设备110。在收到激活证书之后,终端设备110可以对激活证书进行签名验证。例如终端设备110可以采用激活证书中的第一公钥对激活证书的签名进行解密以获取激活证书中的字段信息,例如授权内容以及与该授权内容相关联的摘要值。终端设备110可以对授权内容同样进行哈希计算来生成另一摘要值,并将该另一摘要值与从激活证书中解密得到的摘要值进行比较。如果两个摘要值相同,则表示该激活证书被成功地验证。
被成功验证的激活证书可以被终端设备110存储(210)至与该终端设备110相关联的可信任环境中。在一些实施例中,终端设备110的可信任环境取决于在终端设备110上运行的操作系统的类型。例如运行在终端设备110上的系统为安卓系统,则可信任环境可以是基于安卓系统的可信任环境。可选的或附加的,终端设备110的可信任环境还可以取决于与该终端设备110相关联的其他硬件和/或软件环境。通过引入可信任环境,可以保障信任承载的证书以及密钥等敏感信息不被泄露。
在终端设备110处也可以生成一对非对称密钥对(在本公开中也被称作第二非对称密钥对)。终端设备110可以通过该第二非对称密钥对中的第二私钥对从激活证书中获取到的字段信息,例如授权内容进行加密,并且基于经加密的字段信息和该第二非对称密钥对中的第二公钥来生成(212)证书签名请求。该证书签名请求例如可以是签名请求文件(Certificate Signing Request,CSR)。
终端设备110将该证书签名请求发送(214)至远程设备120。远程设备120可以基于该证书签名请求生成(216)设备证书。
可选的,远程设备120可以利用第三非对称密钥对中的第三私钥来对证书签名请求中所包括的第二公钥和字段信息进行加密来生成设备证书(device.crt)。在该设备证书中还可以包括第三非对称密钥对中的第三公钥。
此外,该设备证书还可以包括终端设备110的设备身份标识。应当理解,一本设备证书是远程设备120为一个终端设备所唯一签发的。
远程设备120将该设备证书发送(218)给终端设备110。终端设备110可以通过利用第三公钥对设备证书进行解密来获取第二公钥和字段信息。如果终端设备110确定该第二公钥没有被篡改,则将该设备证书存储(220)至可信任环境中。此外,终端设备110还可以向远程设备120发送针对终端设备110的激活确认请求。一旦远程设备120接收到激活确认请求,则将终端设备110的当前状态设置为激活。
可选地,终端设备110可以在向远程设备120发送激活确认请求之后进行设备重启。
在图2示出的示例过程200中,可选地或附加地,终端设备110可以与远程设备120之间建立(202)安全连接。在一些实施例中,该安全连接可以是mTLS连接。mTLS连接是一种基于链路层安全协议的连接,其能够在终端设备110和远程设备120之间建立双向加密通道,以保证终端设备110和远程设备120之间的通信安全。一旦该mTLS连接,终端设备110和远程设备120之间的通信均可以在链路层安全协议下进行。例如在上文中已经描述的由终端设备110发送至远程设备的认证激活请求和证书签名请求以及由远程设备120发送至终端设备的激活证书和设备证书均可以经由该mTLS连接来传输。
通过采用基于mTLS的安全连接,能够在终端设备110和远程设备120进行信息交互的初始阶段构建信任传递的安全通道,从而为终端设备110和远程设备120之间的通信过程提供初步安全保证。
在一些实施中,可以通过预置证书(pre.crt)来建立该mTLS连接。该预置证书可以被包括在终端设备110的出厂设置中。预置证书包括私钥(pre.key)。该私钥可以被存储于终端设备110中。预置证书还可以包括终端设备110的批次证书以及预置证书的公钥。该预置证书可以被设置为长期有效类型的证书。
在一些实施例中,可以为不同的终端设备均配置同样的预置证书。例如不同的终端设备可以是同批次生产的不同终端设备。以此方式可以降低为不同终端设备均分别配置不同预置证书带来的成本。
应当理解,终端设备110与远程设备120之间建立的mTLS连接仅仅是本公开的一种实现。可选地或附加的,终端设备110和远程设备120之间也可以在其他安全协议的基础上来进行通信。
以此方式,终端设备110和远程设备120各持有一本包含认证内容的数字证书,由此通过激活证书与设备证书的互相嵌套实现了服务端对设备的完整身份认证。
在结合图2描述的设备认证过程中,终端设备110通过在可信任环境中获取远程设备120所签发的安全证书来保证设备认证过程的可靠性。在一些实施例中,终端设备110与远程设备120之间的交互还可以包括终端设备110远程设备120所涉及各个组件之间的交互。
图3示出了根据本公开的一些实施例的用于设备认证的交互过程的示意图。在图3中,远程设备120可以包括网关121,服务端122,数据库123和证书中心124。以下结合图3进一步详细描述设备认证的过程300。在过程300中与过程200相同或相似的步骤的详细描述在此不再重复。
现在参考图3,终端设备110可以与网关121之间建立(302)安全连接。终端设备110向网关120发送(304)针对该终端设备110认证激活请求。该认证激活请求可以包括终端设备110的身份认证信息。网关121将该认证激活请求转发(306)至服务端122。该服务端122可以从数据库123查询(308)与终端设备110相关联的身份认证信息。如果数据库123确定所接收的终端设备110的身份认证信息与在数据库123中查询到的身份认证信息彼此匹配,则将查询成功的结果发送(310)至服务端122。服务端122生成激活证书签发请求,并将该激活证书签发请求发送(312)至证书中心124。签发请求中例如可以包括服务端122所确定的终端设备110被授权的服务范围,例如终端设备110可以使用的服务。
在一些实施例中,证书中心124可以通过哈希计算生成针对终端设备110被授权的服务范围(在本公开中也被称作授权内容)的摘要值并利用第一非对称密钥对中的第一私钥对授权内容以及摘要值进行加密,以生成激活证书。该激活证书从证书中心124经由服务端123和网关122被发送(314)到终端设备110。该激活证书可以包括第一非对称密钥对中的第一公钥。
在该激活证书被终端设备110基于第一公钥验证成功之后,终端设备110将该激活证书存储(316)至可信任环境中。
终端设备110可以通过由其生成的第二非对称密钥对中的第二私钥对从激活证书中获取到的字段信息,例如授权内容进行加密,并且基于经加密的字段信息和该第二非对称密钥对中的第二公钥来生成(318)证书签名请求。
终端设备110经由网关121将证书签名请求发送(320)到服务端122。服务端122基于证书签名请求调用(322)证书中心124的证书签发接口。在证书中心124,可以利用第三非对称密钥对中的第三私钥来对证书签名请求中所包括的第二公钥和字段信息进行加密来生成设备证书。在该设备证书中还可以包括第三非对称密钥对中的第三公钥。
证书中心124将所签发的设备证书发送(324)至服务端122,服务端122经由网关121将设备证书发送(326)至终端设备110。
终端设备110将设备证书存储(328)至可信任环境中并且向经由网关121向服务器122发送(330)激活确认请求。服务器122在接收到激活确认请求之后向数据库123请求(332)将终端设备110在数据库123中的状态更改为激活成功。
通过图3进一步描述了终端设备110与远程设备120中的相应组件之间的交互过程。应当理解,图3仅示例性地示出了远程设备120包括的组件。在图3中示出的远程设备120所包括的组件可以被修改或替换。
设备校验过程
在终端设备110请求本地或远程服务时,可以利用在结合图2和图3描述的设备认证过程中获取到的安全证书来同时保证服务提供方和服务接收方的数据安全。图4示出了根据本公开的一些实施例的设备校验的过程400的流程图。过程400可以在终端设备110和远程设备120处实现。为便于讨论,将参考图1的环境100来描述过程400。
现在参考图4,在终端设备110重启或开机后,终端设备110查找(402)在其可信任环境中是否存储有激活证书。如果确定该激活证书已经存在,则终端设备110可以根据在激活证书中指示的激活证书的合法性和/或时效来确定该激活证书是否仍然有效。
如果确定该激活证书不存在,则生成激活状态标识,以触发例如结合图2和图3所描述的设备认证过程。
在一些实施例中,如果终端设备110确定激活证书仍然有效,则生成(404)激活状态标识。该激活状态标识例如可以通过存储在与终端设备110相关联的可信任环境中的设备证书来生成。例如,通过哈希计算基于设备证书中的字段信息(例如授权内容)生成摘要值,然后通过由终端设备110生成的第二非对称密钥对中的私钥对摘要值进行加密来生成激活状态标识。
在一些实施例中,如果终端设备110确定激活证书失效或被篡改,则触发终端设备110的关机和/或向远程设备120发送警告。
如在上文中已经描述的,终端设备110可以请求本地服务或远程服务。本地服务可以被视作已经由远程设备120提供到终端设备110本地的服务,其可以包括已经被安装在终端设备110处或已经授权到终端设备110处的离线服务,例如由安装在终端设备110上的应用所提供的离线服务、离线游戏或离线书籍等。相反的,远程服务可以被视作需要由远程设备120提供的在线服务。
在请求本地服务时,终端设备110可以对所生成的激活状态标识进行签名校验(406)。在校验过程中,通过由终端设备110生成的第二非对称密钥对中的公钥对激活状态标识进行解密获得摘要值。终端设备110可以将该解密得到的摘要值与通过哈希计算得到的摘要值进行比较,如果两者彼此匹配,则确定对所生成的激活状态标识进行的签名校验是成功的。终端设备110可以访问或获取所请求的本地服务。如果两者不匹配,则拒绝向终端设备110提供所请求的服务。
在请求远程服务时,同样需要对所生成的激活状态标识进行签名校验。如果激活状态标识被成功校验,则通过由终端设备110生成的第二非对称密钥对中的私钥对所请求的远程服务内容进行加密来生成服务请求。终端设备110将该服务请求发送(408)至远程设备120。远程设备120通过由终端设备110生成的第二非对称密钥对中的公钥对服务请求进行解密,以验证(410)该服务请求。类似地,远程设备120通过公钥解密得到所请求的服务内容和终端设备110通过对服务内容进行哈希计算得到的摘要值。远程设备120可以对所请求的服务内容进行哈希计算得到摘要值并将该摘要值与解密得到的摘要值进行比较。如果两者彼此匹配,则确定服务请求被成功验证。在这种情况下,远程设备120可以向终端设备110提供(412)其所请求的服务内容。
以此方式,在设备进行服务请求的过程中,基于在设备认证阶段获取的安全证书对设备身份进行验证,从而有效杜绝针对设备的伪造和冒用行为,进而防止服务提供方和服务接收方的利益受到不法侵害。
示例过程
图5示出了根据本公开的一些实施例的用于设备认证的过程500的流程图。过程500可以在第一设备110处实现。
在框510,第一设备向第二设备发送设备激活请求。该设备激活请求包括所述第一设备的身份认证信息。
在框520,第一设备确定是否接收到激活证书。如果第一设备确定接收到激活证书,则在框530,将激活证书存储于与该第一设备相关联的可信任环境中。
在一些实施例中,第一设备可以基于第一非对称密钥对中的第一公钥,对激活证书进行签名验证,该第一非对称密钥对中的第一私钥由第二设备用来对激活证书进行签名。如果确定签名验证通过,则第一设备可以将该激活证书存储在可信任环境中。
在一些实施例中,第一设备可以生成第二非对称密钥对。第一设备可以利用该第二非对称密钥对中的第二私钥对证书签名请求进行签名并且将第二非对称要对中的第二公钥发送给第二设备。
在框540,第一设备向第二设备发送证书签名请求。该证书签名请求在可信任环境中至少部分地基于激活证书而生成。
在框550,第一设备将从第二设备接收的设备证书存储在可信任环境中。该设备证书基于所述证书签名请求而生成。
在一些实施例中,第一设备可以建立所述第一设备与所述设备之间的安全连接,以用于设备激活请求、激活证书、证书签名请求和设备证书中至少一个的传输。
在一些实施例中,第一设备可以向第二设备发送激活确认。
图6示出了根据本公开的一些实施例的用于设备校验的过程600的流程图。过程600可以在第一设备110处实现。
在框610,第一设备在与第一设备相关联的可信任环境中查找激活证书,该激活证书由用于认证第一设备的第二设备生成。
在框610,第一设备通过查找结果确定是否存在激活证书。如果确定存在激活证书,则在框630,对该激活证书进行本地验证。如果确定不存在激活证书,则在框660,触发激活认证过程的执行。
在框640,第一设备确定激活证书是否通过本地验证。如果激活证书通过本地验证,则在框650,第一设备生成已激活校验标识。如果激活证书未通过本地验证,则在框670,关闭第一设备和/或向第二设备发送警告。
在一些实施例中,对激活证书进行本地验证包括验证激活证书的合法性以及激活证书的有效期中至少一项。
在一些实施例中,如果确定激活证书通过本地验证,第一设备可以生成校验请求。利用第二非对称密钥对中的第二私钥对校验请求进行签名,该第二非对称密钥对可以在可信任环境中被生成,其中该第二公钥在先前的设备认证过程中已由第一设备发送给第二设备。第一设备还可以向第二设备发送经过签名的校验请求,以用于第一设备在远程服务中的身份校验。
图7示出了根据本公开的一些实施例的用于设备认证的过程700的流程图。过程700可以在第二设备120处实现。
在框710,第二设备确定是否接收到来自第一设备的设备激活请求。如果确定接收到设备激活请求,则在框720,第二设备验证设备激活请求中指示的第一设备的身份认证信息。
在框730,第二设备确定该身份认证信息是否被验证成功。如果确定该身份认证信息被验证成功,则在框740,第二设备向第一设备发送激活证书。在框750,如果第二设备确定接收到来自第一设备的证书签名请求,则在框750,第二设备向第一设备发送设备证书该设备证书基于证书签名请求而生成。
在一些实施例中,设备激活请求、激活证书、证书签名请求和设备证书中至少一个是通过第一设备与第二设备之间的安全连接传输的。
在一些实施例中,第二设备还可以利用第一非对称密钥对中的第一私钥对所述激活证书进行签名并将第一非对称密钥对中的第一公钥发送给第一设备。
在一些实施例中,第二设备还可以从证书签名请求中获取第二非对称密钥对中的第二公钥。该第二非对称密钥对在与第一设备相关联的可信任环境中被生成。第二设备通过对所述第二公钥进行签名来生成设备证书。
在一些实施例中,第二设备还可以从第一设备接收针对第一设备的激活确认。
图8示出了根据本公开的一些实施例的用于设备校验的过程800的流程图。过程800可以在第二设备120处实现。
在框810,如果第二设备接收到来自第一设备的校验请求,则在框820,第二设备利用第二非对称密钥对中的第二公钥对校验请求进行签名验证。该第二非对称密钥对在与第一设备相关联的可信任环境中被生成。在框830,第二设备根据签名验证的结果,向第一设备发送相应的验证响应。
示例装置和设备
本公开的实施例还提供了用于实现上述方法或过程的相应装置。图9示出了根据本公开的一些实施例的用于设备认证的装置900的示意性结构框图。
如图9所示,装置900可以包括激活请求发送模块910,被配置为向第二设备发送设备激活请求。设备激活请求包括第一设备的身份认证信息。装置900可以包括激活证书存储模块920,被配置为响应于从第二设备接收到激活证书,将激活证书存储在与第一设备相关联的可信任环境中。装置900还可以包括证书签名请求发送模块930,被配置为向第二设备发送证书签名请求,证书签名请求在可信任环境中至少部分地基于激活证书而生成以及设备证书存储模块940,被配置为将从第二设备接收的设备证书存储在可信任环境中。设备证书基于证书签名请求而生成。
在一些实施例中,装置900还可以被配置为建立第一设备与设备之间的安全连接,以用于设备激活请求、激活证书、证书签名请求和设备证书中至少一个的传输。
在一些实施例中,激活证书存储模块920还可以被配置为基于第一非对称密钥对中的第一公钥,对激活证书进行签名验证,该第一非对称密钥对中的第一私钥由第二设备用来对激活证书进行签名。如果确定签名验证通过,将该激活证书存储在可信任环境中。
在一些实施例中,装置900还可以被配置为生成第二非对称密钥对以及利用该第二非对称密钥对中的第二私钥对证书签名请求进行签名并且将第二非对称要对中的第二公钥发送给第二设备。
在一些实施例中,装置900还可以被配置为向第二设备发送激活确认。
图10示出了根据本公开的一些实施例的用于设备校验的装置1000的示意性结构框图。
如图10所示,装置1000可以包括激活证书查找模块1010,被配置为在与第一设备相关联的可信任环境中查找激活证书.激活证书由用于认证第一设备的第二设备生成。装置1000可以包括本地验证模块1020,被配置为响应于确定激活证书存在于可信任环境中,对激活证书进行本地验证。装置1000还可以包括已激活校验标识生成模块1030,被配置为响应于激活证书通过本地验证,生成已激活校验标识以用于第一设备针对本地服务的身份校验。
在一些实施例中,对激活证书进行本地验证包括验证激活证书的合法性以及激活证书的有效期中至少一项。
在一些实施例中,装置1000还可以包括响应于激活证书通过本地验证,生成校验请求;利用第二非对称密钥对中的第二私钥对校验请求进行签名,第二非对称密钥对在可信任环境中被生成,其中第二非对称密钥对的第二公钥在先前的设备认证过程中已由第一设备发送给第二设备;以及向第二设备发送经过签名的校验请求,以用于第一设备在远程服务中的身份校验。
图11示出了根据本公开的一些实施例的用于设备认证的装置1100的示意性结构框图。
如图11所示,装置1100可以包括认证信息验证模块1110,被配置为响应于接收到来自第一设备的设备激活请求,验证设备激活请求中指示的第一设备的身份认证信息。装置1100可以包括激活证书发送模块1120,被配置为响应于对身份认证信息的验证成功,向第一设备发送激活证书。装置1100还可以包括设备证书发送模块1130,被配置为响应于接收到来自第一设备的证书签名请求,向第一设备发送设备证书。设备证书基于证书签名请求而生成。
在一些实施例中,激活请求、激活证书、证书签名请求和设备证书中至少一个是通过第一设备与第二设备之间的安全连接传输的。
在一些实施例中,装置1100还可以被配置为利用第一非对称密钥对中的第一私钥对激活证书进行签名;以及将第一非对称密钥对中的第一公钥发送给第一设备。
在一些实施例中,装置1100还可以被配置为从证书签名请求中获取第二非对称密钥对中的第二公钥,第二非对称密钥对在与第一设备相关联的可信任环境中被生成;以及通过对第二公钥进行签名来生成设备证书。
在一些实施例中,装置1100还可以被配置为从第一设备接收针对第一设备的激活确认。
图12示出了根据本公开的一些实施例的用于设备校验的装置1200的示意性结构框图。
如图12所示,装置1200可以包括签名验证模块1210,被配置为响应于接收到来自第一设备的校验请求,利用第二非对称密钥对中的第二公钥对校验请求进行签名验证,第二非对称密钥对在与第一设备相关联的可信任环境中被生成;以及验证响应发送模块1220,被配置为根据签名验证的结果,向第一设备发送相应的验证响应。
装置900、装置1000、装置1100和/或装置1200中所包括的单元可以利用各种方式来实现,包括软件、硬件、固件或其任意组合。在一些实施例中,一个或多个单元可以使用软件和/或固件来实现,例如存储在存储介质上的机器可执行指令。除了机器可执行指令之外或者作为替代,装置900、装置1000、装置1100和/或装置1200中的部分或者全部单元可以至少部分地由一个或多个硬件逻辑组件来实现。作为示例而非限制,可以使用的示范类型的硬件逻辑组件包括现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准品(ASSP)、片上系统(SOC)、复杂可编程逻辑器件(CPLD),等等。
图13示出了其中可以实施本公开的一个或多个实施例的计算设备/服务器1300的框图。应当理解,图13所示出的计算设备/服务器1300仅仅是示例性的,而不应当构成对本文所描述的实施例的功能和范围的任何限制。
如图13所示,计算设备/服务器1300是通用计算设备的形式。计算设备/服务器1300的组件可以包括但不限于一个或多个处理器或处理单元1310、存储器1320、存储设备1330、一个或多个通信单元1340、一个或多个输入设备1360以及一个或多个输出设备1360。处理单元1310可以是实际或虚拟处理器并且能够根据存储器1320中存储的程序来执行各种处理。在多处理器系统中,多个处理单元并行执行计算机可执行指令,以提高计算设备/服务器1300的并行处理能力。
计算设备/服务器1300通常包括多个计算机存储介质。这样的介质可以是计算设备/服务器1300可访问的任何可以获得的介质,包括但不限于易失性和非易失性介质、可拆卸和不可拆卸介质。存储器1320可以是易失性存储器(例如寄存器、高速缓存、随机访问存储器(RAM))、非易失性存储器(例如,只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、闪存)或它们的某种组合。存储设备1330可以是可拆卸或不可拆卸的介质,并且可以包括机器可读介质,诸如闪存驱动、磁盘或者任何其他介质,其可以能够用于存储信息和/或数据(例如用于训练的训练数据)并且可以在计算设备/服务器1300内被访问。
计算设备/服务器1300可以进一步包括另外的可拆卸/不可拆卸、易失性/非易失性存储介质。尽管未在图13中示出,可以提供用于从可拆卸、非易失性磁盘(例如“软盘”)进行读取或写入的磁盘驱动和用于从可拆卸、非易失性光盘进行读取或写入的光盘驱动。在这些情况中,每个驱动可以由一个或多个数据介质接口被连接至总线(未示出)。存储器1320可以包括计算机程序产品1325,其具有一个或多个程序模块,这些程序模块被配置为执行本公开的各种实施例的各种方法或动作。
通信单元1340实现通过通信介质与其他计算设备进行通信。附加地,计算设备/服务器1300的组件的功能可以以单个计算集群或多个计算机器来实现,这些计算机器能够通过通信连接进行通信。因此,计算设备/服务器1300可以使用与一个或多个其他服务器、网络个人计算机(PC)或者另一个网络节点的逻辑连接来在联网环境中进行操作。
输入设备1350可以是一个或多个输入设备,例如鼠标、键盘、追踪球等。输出设备1360可以是一个或多个输出设备,例如显示器、扬声器、打印机等。计算设备/服务器1300还可以根据需要通过通信单元1340与一个或多个外部设备(未示出)进行通信,外部设备诸如存储设备、显示设备等,与一个或多个使得用户与计算设备/服务器1300交互的设备进行通信,或者与使得计算设备/服务器1300与一个或多个其他计算设备通信的任何设备(例如,网卡、调制解调器等)进行通信。这样的通信可以经由输入/输出(I/O)接口(未示出)来执行。
根据本公开的示例性实现方式,提供了一种计算机可读存储介质,其上存储有一条或多条计算机指令,其中一条或多条计算机指令被处理器执行以实现上文描述的方法。
这里参照根据本公开实现的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理单元,从而生产出一种机器,使得这些指令在通过计算机或其他可编程数据处理装置的处理单元执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其他可编程数据处理装置、或其他设备上,使得在计算机、其他可编程数据处理装置或其他设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其他可编程数据处理装置、或其他设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实现的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本公开的各实现,上述说明是示例性的,并非穷尽性的,并且也不限于所公开的各实现。在不偏离所说明的各实现的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实现的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其他普通技术人员能理解本文公开的各实现。
Claims (19)
1.一种设备认证的方法,包括:
在第一设备处向第二设备发送设备激活请求,所述设备激活请求包括所述第一设备的身份认证信息;
响应于从所述第二设备接收到激活证书,将所述激活证书存储在与所述第一设备相关联的可信任环境中;
向所述第二设备发送证书签名请求,所述证书签名请求在所述可信任环境中至少部分地基于所述激活证书而生成;以及
将从所述第二设备接收的设备证书存储在所述可信任环境中,所述设备证书基于所述证书签名请求而生成。
2.根据权利要求1所述的方法,还包括:
建立所述第一设备与所述设备之间的安全连接,以用于所述设备激活请求、所述激活证书、所述证书签名请求和所述设备证书中至少一个的传输。
3.根据权利要求1所述的方法,其中将所述激活证书存储在与所述第一设备相关联的可信任环境中包括:
基于第一非对称密钥对中的第一公钥,对所述激活证书进行签名验证,所述第一非对称密钥对中的第一私钥由所述第二设备用来对所述激活证书进行签名;以及
响应于所述签名验证通过,将所述激活证书存储在所述可信任环境中。
4.根据权利要求1所述的方法,还包括:
在所述可信任环境中,生成第二非对称密钥对;
利用所述第二非对称密钥对中的第二私钥对所述证书签名请求进行签名;以及
将所述第二非对称要对中的第二公钥发送给所述第二设备。
5.根据权利要求1所述的方法,还包括:
向所述第二设备发送激活确认。
6.一种设备校验的方法,包括:
在与第一设备相关联的可信任环境中查找激活证书,所述激活证书由用于认证所述第一设备的第二设备生成;
响应于确定所述激活证书存在于所述可信任环境中,对所述激活证书进行本地验证;以及
响应于所述激活证书通过本地验证,生成已激活校验标识以用于所述第一设备针对本地服务的身份校验。
7.根据要求6所述的方法,其中对所述激活证书进行本地验证包括验证如下至少一项:
所述激活证书的合法性,以及
所述激活证书的有效期。
8.根据权利要求6所述的方法,还包括:
响应于所述激活证书通过本地验证,生成校验请求;
利用第二非对称密钥对中的第二私钥对所述校验请求进行签名,所述第二非对称密钥对在所述可信任环境中被生成,其中所述第二非对称密钥对的第二公钥在先前的设备认证过程中已由所述第一设备发送给所述第二设备;以及
向所述第二设备发送经过签名的所述校验请求,以用于所述第一设备在远程服务中的身份校验。
9.一种设备认证的方法,包括:
响应于接收到来自第一设备的设备激活请求,在第二设备处验证所述设备激活请求中指示的所述第一设备的身份认证信息;
响应于对所述身份认证信息的所述验证成功,向所述第一设备发送激活证书;以及
响应于接收到来自第一设备的证书签名请求,向所述第一设备发送设备证书,所述设备证书基于证书签名请求而生成。
10.根据权利要求9所述的方法,其中所述激活请求、所述激活证书、所述证书签名请求和所述设备证书中至少一个是通过所述第一设备与所述第二设备之间的安全连接传输的。
11.根据权利要求9所述的方法,还包括:
利用第一非对称密钥对中的第一私钥对所述激活证书进行签名;以及
将所述第一非对称密钥对中的第一公钥发送给所述第一设备。
12.根据权利要求9所述的方法,还包括以如下方式生成所述设备证书:
从所述证书签名请求中获取第二非对称密钥对中的第二公钥,所述第二非对称密钥对在与所述第一设备相关联的可信任环境中被生成;以及
通过对所述第二公钥进行签名来生成所述设备证书。
13.根据权利要求9所述的方法,还包括:
从所述第一设备接收针对所述第一设备的激活确认。
14.根据权利要求9所述的方法,还包括以如下方式对第一设备进行校验:
响应于接收到来自第一设备的校验请求,利用第二非对称密钥对中的第二公钥对所述校验请求进行签名验证,所述第二非对称密钥对在与所述第一设备相关联的可信任环境中被生成;以及
根据所述签名验证的结果,向所述第一设备发送相应的验证响应。
15.一种用于设备认证的装置,包括:
激活请求发送模块,被配置为向第二设备发送设备激活请求,所述设备激活请求包括所述第一设备的身份认证信息;
激活证书存储模块,被配置为响应于从所述第二设备接收到激活证书,将所述激活证书存储在与所述第一设备相关联的可信任环境中;
证书签名请求发送模块,被配置为向所述第二设备发送证书签名请求,所述证书签名请求在所述可信任环境中至少部分地基于所述激活证书而生成;以及
设备证书存储模块,被配置为将从所述第二设备接收的设备证书存储在所述可信任环境中,所述设备证书基于所述证书签名请求而生成。
16.一种用于设备校验的装置,包括:
激活证书查找模块,被配置为在与第一设备相关联的可信任环境中查找激活证书,所述激活证书由用于认证所述第一设备的第二设备生成;
本地验证模块,被配置为响应于确定所述激活证书存在于所述可信任环境中,对所述激活证书进行本地验证;以及
已激活校验标识生成模块,被配置为响应于所述激活证书通过本地验证,生成已激活校验标识以用于所述第一设备针对本地服务的身份校验。
17.一种用于设备认证的装置,包括:
认证信息验证模块,被配置为响应于接收到来自第一设备的设备激活请求,验证所述设备激活请求中指示的所述第一设备的身份认证信息;
激活证书发送模块,被配置为响应于对所述身份认证信息的所述验证成功,向所述第一设备发送激活证书;以及
设备证书发送模块,被配置为响应于接收到来自第一设备的证书签名请求,向所述第一设备发送设备证书,所述设备证书基于证书签名请求而生成。
18.一种电子设备,包括:
至少一个处理单元;以及
至少一个存储器,所述至少一个存储器被耦合到所述至少一个处理单元并且存储用于由所述至少一个处理单元执行的指令,所述指令在由所述至少一个处理单元执行时使所述电子设备执行根据权利要求1至5中任一项,根据权利要求6至8中任一项,根据权利要求9至13中任一项或根据权利要求14所述的方法。
19.一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现根据权利要求1至5中任一项,根据权利要求6至8中任一项,根据权利要求9至13中任一项或根据权利要求14所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210642088.1A CN115037480A (zh) | 2022-06-07 | 2022-06-07 | 设备认证和校验的方法、装置、设备和存储介质 |
| PCT/CN2023/093556 WO2023236720A1 (zh) | 2022-06-07 | 2023-05-11 | 设备认证和校验的方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210642088.1A CN115037480A (zh) | 2022-06-07 | 2022-06-07 | 设备认证和校验的方法、装置、设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115037480A true CN115037480A (zh) | 2022-09-09 |
Family
ID=83123762
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210642088.1A Pending CN115037480A (zh) | 2022-06-07 | 2022-06-07 | 设备认证和校验的方法、装置、设备和存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN115037480A (zh) |
| WO (1) | WO2023236720A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023236720A1 (zh) * | 2022-06-07 | 2023-12-14 | 抖音视界(北京)有限公司 | 设备认证和校验的方法、装置、设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105978682A (zh) * | 2016-06-27 | 2016-09-28 | 武汉斗鱼网络科技有限公司 | 移动端令牌生成系统及其判断登录用户身份的方法 |
| CN108769043A (zh) * | 2018-06-06 | 2018-11-06 | 中国联合网络通信集团有限公司 | 可信应用认证系统和可信应用认证方法 |
| CN112511316A (zh) * | 2020-12-08 | 2021-03-16 | 深圳依时货拉拉科技有限公司 | 单点登录接入方法、装置、计算机设备及可读存储介质 |
| CN114207618A (zh) * | 2019-08-06 | 2022-03-18 | 三星电子株式会社 | 用于基于融合密匙生成证明证书的电子设备和方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108990060B (zh) * | 2017-06-05 | 2021-02-02 | 中国移动通信集团公司 | 一种基站设备的证书分发系统及方法 |
| CN111625781B (zh) * | 2020-08-03 | 2020-11-10 | 腾讯科技(深圳)有限公司 | Sdk授权认证方法、装置、设备及存储介质 |
| CN115037480A (zh) * | 2022-06-07 | 2022-09-09 | 抖音视界(北京)有限公司 | 设备认证和校验的方法、装置、设备和存储介质 |
-
2022
- 2022-06-07 CN CN202210642088.1A patent/CN115037480A/zh active Pending
-
2023
- 2023-05-11 WO PCT/CN2023/093556 patent/WO2023236720A1/zh unknown
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105978682A (zh) * | 2016-06-27 | 2016-09-28 | 武汉斗鱼网络科技有限公司 | 移动端令牌生成系统及其判断登录用户身份的方法 |
| CN108769043A (zh) * | 2018-06-06 | 2018-11-06 | 中国联合网络通信集团有限公司 | 可信应用认证系统和可信应用认证方法 |
| CN114207618A (zh) * | 2019-08-06 | 2022-03-18 | 三星电子株式会社 | 用于基于融合密匙生成证明证书的电子设备和方法 |
| CN112511316A (zh) * | 2020-12-08 | 2021-03-16 | 深圳依时货拉拉科技有限公司 | 单点登录接入方法、装置、计算机设备及可读存储介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023236720A1 (zh) * | 2022-06-07 | 2023-12-14 | 抖音视界(北京)有限公司 | 设备认证和校验的方法、装置、设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023236720A1 (zh) | 2023-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11489678B2 (en) | Platform attestation and registration for servers | |
| CN109075976B (zh) | 取决于密钥认证的证书发布 | |
| US9838205B2 (en) | Network authentication method for secure electronic transactions | |
| US8689290B2 (en) | System and method for securing a credential via user and server verification | |
| US9231925B1 (en) | Network authentication method for secure electronic transactions | |
| US7568114B1 (en) | Secure transaction processor | |
| CN109639427B (zh) | 一种数据发送的方法及设备 | |
| CN107086981B (zh) | 受控安全代码认证 | |
| US10650168B2 (en) | Data processing device | |
| TW201732669A (zh) | 受控的安全碼鑑認 | |
| US20140006781A1 (en) | Encapsulating the complexity of cryptographic authentication in black-boxes | |
| EP3206329B1 (en) | Security check method, device, terminal and server | |
| JP6650513B2 (ja) | 情報を登録および認証する方法およびデバイス | |
| US20220247576A1 (en) | Establishing provenance of applications in an offline environment | |
| WO2016173211A1 (zh) | 一种管理应用标识的方法及装置 | |
| CN116458117A (zh) | 安全数字签名 | |
| CN111062059B (zh) | 用于业务处理的方法和装置 | |
| JP2018117185A (ja) | 情報処理装置、情報処理方法 | |
| US7073062B2 (en) | Method and apparatus to mutually authentication software modules | |
| US20190305963A1 (en) | Method for Providing Secure Digital Signatures | |
| WO2023236720A1 (zh) | 设备认证和校验的方法、装置、设备和存储介质 | |
| CN111241492A (zh) | 一种产品多租户安全授信方法、系统及电子设备 | |
| KR20200016506A (ko) | 익명 디지털 아이덴티티 수립 방법 | |
| CN115242471B (zh) | 信息传输方法、装置、电子设备及计算机可读存储介质 | |
| TWI673621B (zh) | 資訊註冊、認證方法及裝置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |