CN117413557A

CN117413557A - 认证方法、装置、通信设备及存储介质

Info

Publication number: CN117413557A
Application number: CN202280001718.5A
Authority: CN
Inventors: 商正仪; 陆伟
Original assignee: Beijing Xiaomi Mobile Software Co Ltd
Current assignee: Beijing Xiaomi Mobile Software Co Ltd
Priority date: 2022-05-13
Filing date: 2022-05-13
Publication date: 2024-01-16
Also published as: WO2023216275A1

Abstract

本公开实施例提供了一种认证方法，其中，所述方法由第一根证书管理机构CA执行，所述方法包括：生成基于安全传输协议TLS的预定证书；其中，所述预定证书包括以下至少之一：第一根CA所在第一安全域内的实体的第一类证书；第二根CA所在第二安全域内的实体的第二类证书，所述第二类证书至少用于所述第一安全域和所述第二安全域的实体之间进行TLS验证。

Description

认证方法、装置、通信设备及存储介质

技术领域

本公开涉及无线通信技术领域但不限于无线通信技术领域，尤其涉及一种认证方法、装置、通信设备及存储介质。

背景技术

安全传输层协议(TLS，Transport Layer Security)在第五代移动通信技术(5G，5th Generation Mobile Communication Technology)的基于服务的架构(SBA，Service Based Architecture)中的使用无处不在。但是，与无线网中使用v2版本证书管理协议(CMPv2，Certificate Management Protocol v2)的标准化模型不同，SBA没有用于自动化证书管理的标准化模型和程序集。SBA也没有用于管理证书生命周期事件的标准化协议。因此，SBA架构中的自动化证书管理有待研究。

发明内容

本公开实施例公开了一种认证方法、装置、通信设备及存储介质。

根据本公开实施例的第一方面，提供一种认证方法，其中，所述方法由第一根证书管理机构CA执行，所述方法包括：

生成基于安全传输协议TLS的预定证书；

其中，所述预定证书包括以下至少之一：

第一根CA所在第一安全域内的实体的第一类证书；

第二根CA所在第二安全域内的实体的第二类证书，所述第二类证书至少用于所述第一安全域和所述第二安全域的实体之间进行TLS验证。

在一个实施例中，所述方法还包括：

向所述实体发送所述预定证书。

在一个实施例中，所述生成基于安全传输协议TLS的预定证书，包括：

响应于所述第一安全域和所述第二安全域之间达成互连协议，生成所述第二类证书。

生成基于所述第一根CA的私钥签名的所述第一类证书；

和/或，

生成基于所述第一根CA的私钥签名的所述第二类证书。

生成所述根证书；

其中，所述根证书用于生成所述第一类证书。

在一个实施例中，所述实体包括以下至少之一：

根CA；

TLS服务器CA；

TLS客户端CA；

TLS代理CA；

TLS服务器；

TLS客户端；

TLS代理。

根据本公开实施例的第二方面，提供一种认证方法，其中，所述方法由第一类型实体执行，所述方法包括：

获取基于安全传输协议TLS的预定证书；

其中，所述预定证书包括以下至少之一：

第一根CA所在第一安全域内的实体的第一类证书；

在一个实施例中，所述获取基于安全传输协议TLS的预定证书，包括：

获取预配置的所述预定证书；

或者，

接收第一根CA发送的所述预定证书。

在一个实施例中，所述第一类型实体包括以下至少之一：

TLS服务器CA；

TLS客户端CA；

TLS代理CA。

在一个实施例中，所述方法还包括：

生成基于所述第一类型实体的私钥签名的所述第三类证书。

在一个实施例中，所述方法还包括：

向第二类型实体发送第三类证书，其中，所述第三类证书包含公钥，用于不同实体之间建立TLS隧道。

在一个实施例中，所述第一类型实体为TLS客户端CA；所述第二类型实体为TLS客户端；所述向第二类型实体发送第三类证书，包括：

向所述TLS客户端发送TLS客户端证书。

在一个实施例中，所述第一类型实体为TLS服务器CA；所述第二类型实体为TLS服务器；所述向第二类型实体发送第三类证书，包括：

向所述TLS服务器发送TLS服务器证书。

在一个实施例中，所述第一类型实体为TLS代理CA；所述第二类型实体为TLS代理；所述向第二类型实体发送第三类证书，包括：

向所述TLS代理发送TLS代理证书。

在一个实施例中，所述向第二类型实体发送第三类证书，包括：

向所述第二类型实体发送TLS客户端证书和TLS服务器证书。

在一个实施例中，所述第二类型实体包括以下至少之一：

TLS服务器

TLS客户端

TLS代理。

根据本公开实施例的第三方面，提供一种认证方法，其中，所述方法由第二类型实体执行，所述方法包括：

获取第三类证书，其中，所述第三类证书包含公钥，用于不同实体之间建立TLS隧道。

在一个实施例中，所述获取第三类证书，包括：

获取预配置的所述第三类证书；

或者，

接收第一类型实体发送的所述第三类证书。

在一个实施例中，所述第一类型实体包括以下至少之一：

TLS服务器CA；

TLS客户端CA；

TLS代理CA。

在一个实施例中，所述第一类型实体为TLS客户端CA；所述第二类型实体为TLS客户端；所述获取第三类证书，包括：

接收所述TLS客户端CA发送的TLS客户端证书。

在一个实施例中，所述第一类型实体为TLS服务器CA；所述第二类型实体为TLS服务器；所述获取第三类证书，包括：

接收所述TLS服务器CA发送的TLS服务器证书。

在一个实施例中，所述第一类型实体为TLS代理CA；所述第二类型实体为TLS代理；所述获取第三类证书，包括：

接收所述TLS代理CA发送的TLS代理证书。

在一个实施例中，所述获取第三类证书，包括：

接收所述第一类型实体发送的TLS客户端证书和TLS服务器证书。

在一个实施例中，所述第二类型实体包括以下至少之一：

TLS服务器；

TLS客户端；

TLS代理。

根据本公开实施例的第四方面，提供一种认证方法，其中，所述方法由TLS客户端执行，所述方法包括：

响应于接收到TLS服务器的TLS服务器证书，确定所述TLS服务器证书的可信性；

其中，所述TLS服务器和所述TLS客户端在同一安全域。

在一个实施例中，所述确定TLS服务器证书的可信性，包括：

基于所述TLS服务器CA证书验证所述TLS服务器证书是否可信。

在一个实施例中，所述方法还包括：

基于所在安全域的根CA生成的根证书验证所述TLS服务器CA的证书是否可信。

根据本公开实施例的第五方面，提供一种认证方法，其中，所述方法由第一安全域中的第一TLS代理执行，所述方法包括：

响应于接收到第二安全域中的第二TLS代理发送的第二TLS代理证书，确定所述第二TLS代理证书的可信性。

在一个实施例中，所述确定所述第二TLS代理证书的可信性，包括：

基于第二安全域中的TLS代理CA证书验证所述第二TLS代理证书是否可信。

在一个实施例中，所述方法还包括：

基于第二安全域中的根证书验证TLS代理CA证书是否可信。

在一个实施例中，所述方法还包括：

基于第一安全域中的根证书验证第二安全域中的根证书是否可信。

根据本公开实施例的第六方面，提供一种认证方法，其中，所述方法由第一安全域中的第一TLS代理执行，所述方法包括：

响应于接收到第一安全域中的TLS客户端发送的TLS客户端证书，确定所述TLS客户端证书的可信性。

在一个实施例中，所述确定所述TLS客户端证书的可信性，包括：

基于第一安全域中的TLS客户端CA证书验证所述TLS客户端证书是否可信。

在一个实施例中，所述方法还包括：

基于第一安全域中的根证书验证TLS客户端CA证书是否可信。

根据本公开实施例的第七方面，提供一种认证方法，其中，所述方法由第一安全域中的第一TLS代理执行，所述方法包括：

响应于接收到第一安全域中的TLS服务器发送的TLS服务器证书，确定所述TLS服务器证书的可信性。

在一个实施例中，所述确定所述TLS服务器证书的可信性，包括：

基于第一安全域中的TLS服务器CA的公钥验证所述TLS服务器证书是否可信。

在一个实施例中，所述方法还包括：

基于第一安全域中的根证书验证TLS服务器CA证书是否可信。根据本公开实施例的第八方面，提供一种认证装置，其中，所述装置包括：

生成模块，被配置为生成基于安全传输协议TLS的预定证书；

其中，所述预定证书包括以下至少之一：

第一根CA所在第一安全域内的实体的第一类证书；

根据本公开实施例的第九方面，提供一种认证装置，其中，所述装置包括：

接收模块，被配置为接收基于安全传输协议TLS的预定证书；

其中，所述预定证书包括以下至少之一：

第一根CA所在第一安全域内的实体的第一类证书；

根据本公开实施例的第十方面，提供一种认证装置，其中，所述装置包括：

接收模块，被配置为获取第三类证书，其中，所述第三类证书包含公钥，用于不同实体之间建立TLS隧道。

根据本公开实施例的第十一方面，提供一种认证装置，其中，所述装置包括：

确定模块，被配置为：响应于接收到TLS服务器的TLS服务器证书，确定所述TLS服务器证书的可信性；

其中，所述TLS服务器和所述TLS客户端在同一安全域。

根据本公开实施例的第十二方面，提供一种认证装置，其中，所述装置包括：

确定模块，被配置为：响应于接收到第二安全域中的第二TLS代理发送的第二TLS代理证书，确定所述第二TLS代理的证书的可信性。

根据本公开实施例的第十三方面，提供一种认证装置，其中，所述装置包括：

确定模块，被配置为：响应于接收到第一安全域中的TLS客户端发送的TLS客户端证书，确定所述TLS客户端证书的可信性。

根据本公开实施例的第十四方面，提供一种认证装置，其中，所述装置包括：

确定模块，被配置为：响应于接收到第一安全域中的TLS服务器发送的TLS服务器证书，确定所述TLS服务器证书的可信性。

根据本公开实施例的第十五方面，提供一种通信设备，所述通信设备，包括：

处理器；

用于存储所述处理器可执行指令的存储器；

其中，所述处理器被配置为：用于运行所述可执行指令时，实现本公开任意实施例所述的方法。

根据本公开实施例的第十六方面，提供一种计算机存储介质，所述计算机存储介质存储有计算机可执行程序，所述可执行程序被处理器执行时实现本公开任意实施例所述的方法。

在本公开实施例中，生成基于安全传输协议TLS的预定证书；其中，所述预定证书包括以下至少之一：第一根CA所在第一安全域内的实体的第一类证书；第二根CA所在第二安全域内的实体的第二类证书，所述第二类证书至少用于所述第一安全域和所述第二安全域的实体之间进行TLS验证。如此，由于第一根证书管理机构CA能够生成所述第一类证书和/或所述第二类证书，使得相同安全域中的实体可以基于所述第一类证书实现实体之间的认证，和/或，使得不同安全域中的实体可以基于所述第二类证书实现不同安全域中实体之间的认证。相较于无域内实体认证和/或域间实体认证的情况，完善了无线通信网络的认证机制，提升了无线通信网络的认证可靠性。

附图说明

图1是根据一示例性实施例示出的一种无线通信系统的结构示意图。

图2是根据一示例性实施例示出的一种认证方法的流程示意图。

图3是根据一示例性实施例示出的一种SBA架构的示意图。

图4是根据一示例性实施例示出的一种信任链的示意图。

图5是根据一示例性实施例示出的一种信任链的示意图。

图6是根据一示例性实施例示出的一种认证方法的流程示意图。

图7是根据一示例性实施例示出的一种认证方法的流程示意图。

图8是根据一示例性实施例示出的一种认证方法的流程示意图。

图9是根据一示例性实施例示出的一种认证方法的流程示意图。

图10是根据一示例性实施例示出的一种认证方法的流程示意图。

图11是根据一示例性实施例示出的一种认证方法的流程示意图。

图12是根据一示例性实施例示出的一种认证方法的流程示意图。

图13是根据一示例性实施例示出的一种认证方法的流程示意图。

图14是根据一示例性实施例示出的一种认证方法的流程示意图。

图15是根据一示例性实施例示出的一种认证方法的流程示意图。

图16是根据一示例性实施例示出的一种认证方法的流程示意图。

图17是根据一示例性实施例示出的一种认证方法的流程示意图。

图18是根据一示例性实施例示出的一种认证方法的流程示意图。

图19是根据一示例性实施例示出的一种认证方法的流程示意图。

图20是根据一示例性实施例示出的一种认证方法的流程示意图。

图21是根据一示例性实施例示出的一种认证方法的流程示意图。

图22是根据一示例性实施例示出的一种认证方法的流程示意图。

图23是根据一示例性实施例示出的一种认证方法的流程示意图。

图24是根据一示例性实施例示出的一种认证方法的流程示意图。

图25是根据一示例性实施例示出的一种认证方法的流程示意图。

图26是根据一示例性实施例示出的一种认证方法的流程示意图。

图27是根据一示例性实施例示出的一种认证方法的流程示意图。

图28是根据一示例性实施例示出的一种认证方法的流程示意图。

图29是根据一示例性实施例示出的一种认证方法的流程示意图。

图30是根据一示例性实施例示出的一种认证方法的流程示意图。

图31是根据一示例性实施例示出的一种认证装置的示意图。

图32是根据一示例性实施例示出的一种认证装置的示意图。

图33是根据一示例性实施例示出的一种认证装置的示意图。

图34是根据一示例性实施例示出的一种认证装置的示意图。

图35是根据一示例性实施例示出的一种认证装置的示意图。

图36是根据一示例性实施例示出的一种认证装置的示意图。

图37是根据一示例性实施例示出的一种认证装置的示意图。

图38是根据一示例性实施例示出的一种终端的结构示意图。

图39是根据一示例性实施例示出的一种基站的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开实施例的一些方面相一致的装置和方法的例子。

在本公开实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

出于简洁和便于理解的目的，本文在表征大小关系时，所使用的术语为“大于”或“小于”。但对于本领域技术人员来说，可以理解：术语“大于”也涵盖了“大于等于”的含义，“小于”也涵盖了“小于等于”的含义。

请参考图1，其示出了本公开实施例提供的一种无线通信系统的结构示意图。如图1所示，无线通信系统是基于移动通信技术的通信系统，该无线通信系统可以包括：若干个用户设备110以及若干个基站120。

其中，用户设备110可以是指向用户提供语音和/或数据连通性的设备。用户设备110可以经无线接入网(Radio Access Network，RAN)与一个或多个核心网进行通信，用户设备110可以是物联网用户设备，如传感器设备、移动电话和具有物联网用户设备的计算机，例如，可以是固定式、便携式、袖珍式、手持式、计算机内置的或者车载的装置。例如，站(Station，STA)、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点、远程用户设备(remote terminal)、接入用户设备(access terminal)、用户装置(user terminal)、用户代理(user agent)、用户设备(user device)、或用户设备(user equipment)。或者，用户设备110也可以是无人飞行器的设备。或者，用户设备110也可以是车载设备，比如，可以是具有无线通信功能的行车电脑，或者是外接行车电脑的无线用户设备。或者，用户设备110也可以是路边设备，比如，可以是具有无线通信功能的路灯、信号灯或者其它路边设备等。

基站120可以是无线通信系统中的网络侧设备。其中，该无线通信系统可以是第四代移动通信技术(the 4th generation mobile communication，4G)系统，又称长期演进(Long Term Evolution，LTE)系统；或者，该无线通信系统也可以是5G系统，又称新空口系统或5G NR系统。或者，该无线通信系统也可以是5G系统的再下一代系统。其中，5G系统中的接入网可以称为NG-RAN(New Generation-Radio Access Network，新一代无线接入网)。

其中，基站120可以是4G系统中采用的演进型基站(eNB)。或者，基站120也可以是5G系统中采用集中分布式架构的基站(gNB)。当基站120采用集中分布式架构时，通常包括集中单元(central unit，CU)和至少两个分布单元(distributed unit，DU)。集中单元中设置有分组数据汇聚协议(Packet Data Convergence Protocol，PDCP)层、无线链路层控制协议(Radio Link Control，RLC)层、媒体访问控制(Media Access Control，MAC)层的协议栈；分布单元中设置有物理(Physical，PHY)层协议栈，本公开实施例对基站120的具体实现方式不加以限定。

基站120和用户设备110之间可以通过无线空口建立无线连接。在不同的实施方式中，该无线空口是基于第四代移动通信网络技术(4G)标准的无线空口；或者，该无线空口是基于第五代移动通信网络技术(5G)标准的无线空口，比如该无线空口是新空口；或者，该无线空口也可以是基于5G的更下一代移动通信网络技术标准的无线空口。

在一些实施例中，用户设备110之间还可以建立E2E(End to End，端到端)连接。比如车联网通信(vehicle to everything，V2X)中的V2V(vehicle to vehicle，车对车)通信、V2I(vehicle to Infrastructure，车对路边设备)通信和V2P(vehicle to pedestrian，车对人)通信等场景。

这里，上述用户设备可认为是下面实施例的终端设备。

在一些实施例中，上述无线通信系统还可以包含网络管理设备130。

若干个基站120分别与网络管理设备130相连。其中，网络管理设备130可以是无线通信系统中的核心网设备，比如，该网络管理设备130可以是演进的数据分组核心网(Evolved Packet Core，EPC)中的移动性管理实体(Mobility Management Entity，MME)。或者，该网络管理设备也可以是其它的核心网设备，比如服务网关(Serving GateWay，SGW)、公用数据网网关(Public Data Network GateWay，PGW)、策略与计费规则功能单元(Policy and Charging Rules Function，PCRF)或者归属签约用户服务器(Home Subscriber Server，HSS)等。对于网络管理设备130的实现形态，本公开实施例不做限定。

为了便于本领域内技术人员理解，本公开实施例列举了多个实施方式以对本公开实施例的技术方案进行清晰地说明。当然，本领域内技术人员可以理解，本公开实施例提供的多个实施例，可以被单独执行，也可以与本公开实施例中其他实施例的方法结合后一起被执行，还可以单独或结合后与其他相关技术中的一些方法一起被执行；本公开实施例并不对此作出限定。

为了更好地理解本公开任一个实施例所描述的技术方案，首先，对相关技术中的应用场景进行说明：

TLS证书在5G SBA中的使用无处不在。基于证书的网际协议将用于保护非可变带宽的芯片互联(SBI，Scaleable Bandwidth Interconnect)接口。例如，N4或者N9。但是，与在无线网络中使用CMPv2的标准化模型不同，SBA没有用于自动化证书管理的标准化模型和程序集。

SBA也没有用于管理证书生命周期事件的标准化协议。例如，引导、请求、发布、注册、撤销和更新等。如此，

1.缺乏标准化导致许多定制或者专有方法和证书管理协议的不同选择导致模型不一致。

2.一旦在服务提供商网络中引入服务切片和非公共网络(NPN，Non-Public Network)，手动管理或缺乏对属于不同法律的实体的TLS证书的生命周期管理的标准化程序可能会使架构进一步复杂化。

以上都可能增加安全风险，影响运营商5G SBA网络的部署和可用性。

为了填补SBA自动化证书管理的空白，首先应该研究SBA架构中的信任链。只有在信任链得到确认的情况下，才能分析用于管理生命周期的标准化协议。

与在无线网络中使用CMPv2的标准化模型不同，SBA没有用于自动化证书管理的标准化模型和信任链。因此，SBA架构中的自动化证书管理研究存在多个问题需要进一步研究。

在一些实施例中，需要实现以下至少之一：

1、在SBA架构中建立证书颁发机构层次结构的信任链。

2、向不同的5G网络功能(NF，Network Funtion)颁发适当的证书。

3、确保5G NF能够验证在相同安全域和不同安全域中颁发的证书。

如图2所示，本实施例中提供一种认证方法，其中，该方法由第一根证书管理机构CA执行，该方法包括：

步骤21、生成基于安全传输协议TLS的预定证书；

其中，预定证书包括以下至少之一：

第一根CA所在第一安全域内的实体的第一类证书；

第二根CA所在第二安全域内的实体的第二类证书，第二类证书至少用于所述第一安全域和所述第二安全域的实体之间进行TLS验证。

需要说明的是，本公开中涉及的SBA中的实体可以为各种类型的实体，例如，第五代移动通信(5G)网络的实体或其它演进型实体。在本公开的一些实施方式中，实体可以单独作为一个通信节点部署，也可以统一部署在已有网元内。总之，可以将实体理解为一个网络中可以灵活部署的逻辑节点，在此不做限定。请参见图3，示出了一种SBA中证书颁发机构层次结构的信任链。其中，包括2个安全域，分别为安全域A和安全域B，安全域A(Security Domain A)，对应步骤21中的第一安全域；安全域B(Security Domain B，对应步骤21中的第二安全域。该SBA包括以下至少之一的实体：

根CA _A(Root CA _A)；

根CA _B(Root CA _B)；

TLS服务器CA _A(TLS server CA _A)；

TLS代理CA _A(TLS Proxy CA _A)；

TLS客户端CA _A(TLS client CA _A)；

TLS服务器CA _B(TLS server CA _B)；

TLS代理CA _B(TLS Proxy CA _B)；

TLS客户端CA _B(TLS client CA _B)；

TLS代理A2(TLS Proxy _A2)；

TLS代理A1(TLS Proxy _A1)；

TLS代理B2(TLS Proxy _B2)；

TLS代理B1(TLS Proxy _B1)；

TLS服务器A(TLS Server _A)；

TLS客户端A(TLS Client _A)；

TLS服务器B(TLS Server _B)；

TLS客户端B(TLS Client _B)。

其中，实线箭头代表证书分发(Issues a certificate)；虚线箭头代表建立TLS连接(Establishes a TLS connection)。需要说明的是，附图中的中英文对照可参见本部分说明，附图中不再重复说明，例如，图3、图4和图5的说明。

本公开实施例中，安全域A也可以对应第二安全域，安全域B也可以对应第一安全域，在此不做限定。需要说明的是，当第一安全域为安全域A，第一根证书管理机构CA为TLS服务器CA _A；当第一安全域为安全域B，第一根证书管理机构CA为TLS服务器CA _B。本公开实施例中，安全域的数量也可以是大于2个，例如，3个，在此不做限定。

根证书颁发机构(CA，Certificate Authority)：CA为安全域内信任链中的信任锚。每个安全域内只可以有一个根CA。根CA生成根证书，该根证书为自签名证书。安全域中的所有证书均由该根证书直接或者间接签名。当运营商之间(这里，不同的运营商可以对应不同的安全域，例如，A运营商可以对应安全域A)达成互连协议时，根CA会生成交叉证书，这里，步骤21中的第二类证书可以就是交叉证书，以确保两个不同安全域的安全传输层协议(TLS，Transport Layer Security)终端实体之间能够相互认证。生成的交叉证书可以在每个安全域中进行本地配置(根CA可以向不同实体发送该交叉证书)，并与根证书共同存储在TLS终端实体中。例如，第一根CA可以是安全域A中的根CA _A。需要说明的是，生成的第一类证书本身可以就是根证书。

TLS客户端CA：为向特定运营商安全域内的TLS客户端分发TLS客户端证书的CA。

TLS服务器CA：为向特定运营商安全域内的TLS服务器分发TLS服务器证书的CA。

TLS代理CA：为向特定运营商安全域内的TLS代理分发TLS代理证书的CA。

TLS服务器：作为5G网络功能(NF，Network Function)生产者的TLS终端实体。TLS服务器具有TLS服务器CA分发的TLS服务器证书。这里，NF可以是移动性管理功能实体(AMF，Access Control And Mobility Management Function)和会话管理功能(SMF，Session Management Function)等。

TLS客户端：作为5G网络功能(NF，Network Function)消费者的TLS终端实体。TLS客户端具有TLS客户端CA分发的TLS客户端证书。这里，NF可以是移动性管理功能实体(AMF，Access Control And Mobility Management Function)和会话管理功能(SMF，Session Management Function)等。

TLS代理：在基于服务的架构(SBA，Service Based Architecture)中充当代理功能的网络功能(例如，服务通信代理SCP和安全边缘保护代理SEPP)。该TLS代理可以为TLS客户端和TLS服务器之间的中间点，也可以协助TLS终端实体建立安全域和安全域之间的TLS连接。TLS实体可以通过验证TLS代理的TLS代理证书验证TLS代理的身份。

需要说明的是，考虑到某些TLS终端实体可以同时充当NF生产者和NF消费者，可能需要TLS客户端证书和TLS服务端证书。

针对安全域内的TLS连接，信任链请参见图4，考虑到TLS服务器、TLS客户端和TLS代理信任同一个根CA，TLS服务器、TLS客户端和TLS代理可以通过验证实体证书来实现相互认证。这里，TLS实体证书包括TLS服务器证书、TLS客户端证书和TLS代理证书。

针对安全域之间的TLS连接，信任链请参见图5，安全域之间的TLS连接主要建立在不同安全域的TLS代理之间。图5示出的为跨域信任链。如图5所示，TLS proxyA信任TLS proxy CA _A，TLS Proxy CA _A信任Root CA _A，Root CA _A信任Root CA _B。考虑到Root CA _B是安全域B中的信任锚，则TLS proxyA信任安全域B内的TLS实体。反之亦然，TLS proxyB信任TLS proxy CA _B，TLS proxy CA _B信任Root CA _B，Root CA _B信任Root CA _A。考虑到Root CA _A是安全域A中的信任锚，TLS proxyB信任安全域A内的TLS实体。

在一个实施例中，生成基于安全传输协议TLS的预定证书；其中，预定证书包括以下至少之一：第一根CA所在第一安全域内的实体的第一类证书；第二根CA所在第二安全域内的实体的第二类证书，第二类证书至少用于所述第一安全域和所述第二安全域的实体之间进行TLS验证。向实体发送预定证书。

在一个实施例中，在SBA中生成证书可以包括：

1、为TLS服务器、TLS客户端或者安全域内(例如，第一安全域内)的TLS代理生成第一类证书：

根CA生成使用根CA的私钥签名的TLS服务器CA、TLS客户端CA或者TLS代理CA的第一类证书。TLS服务器CA、TLS客户端CA或者TLS代理CA生成对应的使用中间层CA的私钥签名的TLS服务器、TLS客户端或者TLS代理的第三类证书。TLS服务器、TLS客户端或者TLS代理的第三类证书包含公钥，可用于在TLS实体之间建立TLS隧道。这里，中间层CA可以是TLS服务器CA、TLS客户端CA或者TLS代理CA的任意一种。

2、为跨安全域(例如，第一安全域和第二安全域之间)TLS代理生成证书：

Root CA _A生成由Root CA _A的私钥签名的TLS proxy CA _A证书(对应第一类证书)。TLS proxy CA _A生成TLS proxyA的证书(对应第三类证书)，该证书使用TLS proxy CA _A的私钥进行签名。TLS proxyA证书包含公钥，可用于在TLS实体之间建立TLS隧道。

Root CA _A生成由Root CA _A的私钥签名的Root CA _B的交叉证书(对应第二类证书)。Root CA _B生成由Root CA _B的私钥签名的Root CA _A的交叉证书。Root CA _A和Root CA _B之间的信任关系允许不同安全域之间的域间TLS代理相互验证。

在一个实施例中，在SBA中可以验证证书

在SBA架构中验证证书：

1、验证安全域内TLS实体之间的TLS证书：

假设TLS客户端和TLS服务器在同一个安全域(例如，第一安全域)内，并且预先配置了根CA的自签名证书(即根证书)。当TLS客户端接收到TLS服务器的证书作为TLS握手的一部分时，TLS客户端执行以下过程：

步骤a1、TLS客户端检查以确保TLS服务器证书未过期。考虑到TLS服务器证书是由TLS服务器CA签署的，TLS客户端会尝试获取TLS服务器CA证书。一旦获得TLS服务器CA证书，TLS客户端使用TLS服务器CA证书中的公钥来验证TLS服务器证书是否正确签名。

步骤a2、TLS客户端尝试验证TLS服务器CA证书是否可信。考虑到TLS服务器CA证书是由根CA签署的，TLS客户端使用提供的自签名根证书中的公钥来验证TLS服务器CA证书的签名。

步骤a3、TLS客户端本地预置了一个TLS客户端隐式信任的自签名根证书，从而可以确保根证书中的公钥是可信的。此时，TLS客户端成功验证TLS服务器的身份，建立到TLS服务器的信任链，完成安全域内的TLS握手。

同理，在双向认证的情况下，TLS服务器可以验证TLS客户端证书，验证TLS客户端的身份，完成安全域内的TLS握手。

2、验证安全域之间的TLS代理之间的TLS证书：

假设TLS proxyA和TLS proxyB在不同的安全域中，并且预置了它们的根CA的自签名证书(例如，TLS proxyA预置了根CA _A的自签名证书，TLS proxyB预置了根CA _B的自签名证书)。当TLS proxyA作为SSL或TLS握手的一部分接收到TLS proxyB的证书时，TLS proxyA执行以下过程。

步骤b1、TLS proxyA检查以确保TLS proxyB的证书没有过期。考虑到TLS proxyB的证书是由TLS代理CA _B签名的，因此TLS proxyA会尝试获取TLS代理CA _B证书。一旦获得TLS代理CA _B证书，TLS proxyA使用TLS代理CA _B证书中的公钥来验证TLS代理B证书是否正确签名。

步骤b2、TLS proxyA尝试验证TLS代理CA _B证书是否可信。考虑到TLS代理CA _B证书是由根CA _B签名的，TLS代理A会尝试获取根CA _B证书。获得根CA _B证书后，TLS proxyA使用根CA _B证书中的公钥来验证TLS代理CA _B证书是否正确签名。

步骤b3、TLS proxyA尝试验证Root CA _B证书是否可信。考虑到Root CA _B证书是由Root CA _A签名的，TLS proxyA使用预置的自签名根证书中的公钥来验证Root CA _B证书的签名。

步骤b4、TLS proxyA本地预置了TLS proxyA隐式信任的自签名根证书，从而可以确保Root CA _A根证书中的公钥是可信的。此时，TLS proxyA成功验证TLS proxyB的身份，建立到TLS proxyB的信任链，完成安全域之间的SSL或者TLS握手。

需要说明的是，Root CA _A颁发Root CA _B的证书，称为交叉证书(对应本公开中的第二类证书)。TLS实体可以根据需要请求交叉证书或预先提供交叉证书(与自签名根证书一起存储)。

在本公开实施例中，生成基于安全传输协议TLS的预定证书；其中，预定证书包括以下至少之一：第一根CA所在第一安全域内的实体的第一类证书；第二根CA所在第二安全域内的实体的第二类证书，至少用于所述第一安全域和所述第二安全域的实体之间进行TLS验证如此，由于第一根证书管理机构CA能够生成第一类证书和/或第二类证书，使得相同安全域中的实体可以基于第一类证书实现实体之间的认证，和/或，使得不同安全域中的实体可以基于第二类证书实现不同安全域中实体之间的认证。相较于无域内实体认证和/或域间实体认证的情况，完善了无线通信网络的认证机制，提升了无线通信网络的认证可靠性。

需要说明的是，本领域内技术人员可以理解，本公开实施例提供的方法，可以被单独执行，也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。

如图6所示，本实施例中提供一种认证方法，其中，该方法由第一根证书管理机构CA执行，该方法包括：

步骤61、向实体发送预定证书，其中，预定证书包括以下至少之一：

第一根CA所在第一安全域内的实体的第一类证书；

在一个实施例中，生成基于安全传输协议TLS的预定证书；向实体发送预定证书，其中，预定证书包括以下至少之一：

第一根CA所在第一安全域内的实体的第一类证书；

如此，实体在接收到预定证书后，就可以将该预定证书用于实体的认证。

如图7所示，本实施例中提供一种认证方法，其中，该方法由第一根证书管理机构CA执行，该方法包括：

步骤71、响应于第一安全域和第二安全域之间达成互连协议，生成第二类证书；

其中，第二类证书为第二根CA所在第二安全域内的实体的证书，第二类证书至少用于所述第一安全域和所述第二安全域的实体之间进行TLS验证。

如图8所示，本实施例中提供一种认证方法，其中，该方法由第一根证书管理机构CA执行，该方法包括：

步骤81、生成基于所述第一根CA的私钥签名的所述第一类证书；和/或，生成基于所述第一根CA的私钥签名的所述第二类证书；

其中，第一类证书为第一根CA所在第一安全域内的实体的证书；第二类证书为第二根CA所在第二安全域内的实体的证书，第二类证书至少用于所述第一安全域和所述第二安全域的实体之间进行TLS验证。

如图9所示，本实施例中提供一种认证方法，其中，该方法由第一根证书管理机构CA执行，该方法包括：

步骤91、生成根证书；其中，根证书用于生成第一类证书，其中，第一类证书为第一根CA所在第一安全域内的实体的证书。

第一类证书可以是TLS服务器CA、TLS客户端CA或者TLS代理CA的证书。

如图10所示，本实施例中提供一种认证方法，其中，该方法由第一类型实体执行，该方法包括：

步骤101、获取基于安全传输协议TLS的预定证书；

其中，预定证书包括以下至少之一：

第一根CA所在第一安全域内的实体的第一类证书；

获取预配置的所述预定证书；

或者，

接收第一根CA发送的所述预定证书。

在一个实施例中，第一类型实体包括以下至少之一：

TLS服务器CA；

TLS客户端CA；

TLS代理CA。

在一个实施例中，根CA生成使用根CA的私钥签名的TLS服务器CA、TLS客户端CA或者TLS代理CA的第一类证书，第一类证书为第一根CA所在第一安全域内的实体的证书。根CA向第一类型实体发送第一类证书。第一类型实体获取到基于安全传输协议TLS的第一类证书。TLS服务器CA、TLS客户端CA或者TLS代理CA生成对应的使用中间层CA的私钥签名的TLS服务器、TLS客户端或者TLS代理的第三类证书。TLS服务器、TLS客户端或者TLS代理的第三类证书包含公钥，可用于在TLS实体之间建立TLS隧道。这里，中间层CA可以是TLS服务器CA、TLS客户端CA或者TLS代理CA中的任意一种。

如图11所示，本实施例中提供一种认证方法，其中，该方法由第一类型实体执行，该方法包括：

步骤111、向第二类型实体发送第三类证书，其中，第三类证书包含公钥，用于不同实体之间建立TLS隧道。

在一个实施例中，所述第二类型实体包括以下至少之一：

TLS服务器；

TLS客户端；

TLS代理。

在一个实施例中，TLS服务器CA、TLS客户端CA或者TLS代理CA生成对应的使用中间层CA的私钥签名的TLS服务器、TLS客户端或者TLS代理的第三类证书。TLS服务器、TLS客户端或者TLS代理的第三类证书包含公钥，可用于在TLS实体之间建立TLS隧道。这里，中间层CA可以是TLS服务器CA、TLS客户端CA或者TLS代理CA中的任意一种。

如图12所示，本实施例中提供一种认证方法，其中，该方法由第一类型实体执行，该方法包括：

步骤121、生成基于第一类型实体的私钥签名的第三类证书。

在一个实施例中，生成基于第一类型实体的私钥签名的第三类证书。向第二类型实体发送第三类证书，其中，第三类证书包含公钥，用于不同实体之间建立TLS隧道。

如图13所示，本实施例中提供一种认证方法，其中，该方法由第一类型实体执行，所述第一类型实体为TLS客户端CA；所述第二类型实体为TLS客户端；该方法包括：

步骤131、向TLS客户端发送TLS客户端证书。

在一个实施例中，生成基于TLS客户端CA的私钥签名的TLS客户端证书。向TLS客户端发送TLS客户端证书，其中，TLS客户端证书包含公钥，用于不同实体之间建立TLS隧道。

如图14所示，本实施例中提供一种认证方法，其中，该方法由第一类型实体执行，所述第一类型实体为TLS服务器CA；所述第二类型实体为TLS服务器；该方法包括：

步骤141、向所述TLS服务器发送TLS服务器证书。

在一个实施例中，生成基于TLS服务器CA的私钥签名的TLS服务器证书。向TLS服务器发送TLS服务器证书，其中，TLS服务器证书包含公钥，用于不同实体之间建立TLS隧道。

如图15所示，本实施例中提供一种认证方法，其中，该方法由第一类型实体执行，所述第一类型实体为TLS代理CA；所述第二类型实体为TLS代理；该方法包括：

步骤151、向TLS代理发送TLS代理证书。

在一个实施例中，生成TLS代理CA的私钥签名的TLS代理证书。向TLS代理发送TLS代理证书，其中，TLS代理证书包含公钥，用于不同实体之间建立TLS隧道。

如图16所示，本实施例中提供一种认证方法，其中，该方法由第一类型实体执行，该方法包括：

步骤161、向第二类型实体发送TLS客户端证书和TLS服务器证书。

在一个实施例中，生成第一类型实体的私钥签名的TLS客户端证书和TLS服务器证书。向第二类型实体发送TLS客户端证书和TLS服务器证书，其中，TLS客户端证书和TLS服务器证书包含公钥，用于不同实体之间建立TLS隧道。

如图17所示，本实施例中提供一种认证方法，其中，该方法由第二类型实体执行，该方法包括：

步骤171、获取第三类证书，其中，所述第三类证书包含公钥，用于不同实体之间建立TLS隧道。

在一个实施例中，获取第一类型实体发送的第三类证书，其中，所述第三类证书包含公钥，用于不同实体之间建立TLS隧道。

在一个实施例中，所述获取第三类证书，包括：

获取预配置的所述第三类证书；

或者，

接收第一类型实体发送的所述第三类证书。

在一个实施例中，所述第二类型实体包括以下至少之一：

TLS服务器；

TLS客户端；

TLS代理。

在一个实施例中，TLS服务器CA、TLS客户端CA或者TLS代理CA生成对应的使用中间层CA的私钥签名的TLS服务器、TLS客户端或者TLS代理的第三类证书，其中，所述第三类证书包含公钥，用于不同实体之间建立TLS隧道。第二类型实体获取到第一类型实体发送的第三类证书。TLS服务器、TLS客户端或者TLS代理的第三类证书包含公钥，可用于在TLS实体之间建立TLS隧道。这里，中间层CA可以是TLS服务器CA、TLS客户端CA或者TLS代理CA中的任意一种。

如图18所示，本实施例中提供一种认证方法，其中，该方法由第二类型实体执行，所述第一类型实体为TLS客户端CA；所述第二类型实体为TLS客户端；该方法包括：

步骤181、接收所述TLS客户端CA发送的TLS客户端证书。

在一个实施例中，TLS客户端CA生成基于TLS客户端CA的私钥签名的TLS客户端证书。TLS客户端CA向TLS客户端发送TLS客户端证书，其中，TLS客户端证书包含公钥，用于不同实体之间建立TLS隧道。TLS客户端接收所述TLS客户端CA发送的TLS客户端证书。

如图19所示，本实施例中提供一种认证方法，其中，该方法由第二类型实体执行，所述第一类型实体为TLS服务器CA；所述第二类型实体为TLS服务器；该方法包括：

步骤191、接收所述TLS服务器CA发送的TLS服务器证书。

在一个实施例中，TLS服务器CA生成基于TLS服务器CA的私钥签名的TLS服务器证书。TLS服务器CA向TLS服务器发送TLS服务器证书，其中，TLS服务器证书包含公钥，用于不同实体之间建立TLS隧道。TLS服务器接收所述TLS服务器CA发送的TLS服务器证书。

如图20所示，本实施例中提供一种认证方法，其中，该方法由第二类型实体执行，所述第一类型实体为TLS代理CA；所述第二类型实体为TLS代理；该方法包括：

步骤201、接收所述TLS代理CA发送的TLS代理证书。

在一个实施例中，TLS代理CA生成TLS代理CA的私钥签名的TLS代理证书。TLS代理向TLS代理发送TLS代理证书，其中，TLS代理证书包含公钥，用于不同实体之间建立TLS隧道。TLS代理接收所述TLS代理CA发送的TLS代理证书。

如图21所示，本实施例中提供一种认证方法，其中，该方法由第二类型实体执行，该方法包括：

步骤211、接收所述第一类型实体发送的TLS客户端证书和TLS服务器证书。

在一个实施例中，第一类型实体生成第一类型实体的私钥签名的TLS客户端证书和TLS服务器证书。第一类型实体向第二类型实体发送TLS客户端证书和TLS服务器证书，其中，TLS客户端证书和TLS服务器证书包含公钥，用于不同实体之间建立TLS隧道。第二类型实体接收所述第一类型实体发送的TLS客户端证书和TLS服务器证书。

如图22所示，本实施例中提供一种认证方法，其中，该方法由TLS客户端执行，该方法包括：

步骤221、响应于接收到TLS服务器的TLS服务器证书，确定所述TLS服务器证书的可信性；

其中，所述TLS服务器和所述TLS客户端在同一安全域。

在一个实施例中，假设TLS客户端和TLS服务器在同一个安全域(例如，第一安全域)内，并且预先配置了根CA的自签名证书(即根证书)。当TLS客户端接收到TLS服务器的证书作为TLS握手的一部分时，TLS客户端执行以下过程：

步骤a1、TLS客户端检查以确保TLS服务器证书未过期。考虑到TLS服务器证书是由TLS服务器CA签署的，TLS客户端会尝试获取TLS服务器CA证书。一旦获得TLS服务器CA证书，TLS客户端使用TLS服务器CA证书的公钥来验证TLS服务器证书是否正确签名。

步骤a2、TLS客户端尝试验证TLS服务器CA证书是否可信。考虑到TLS服务器CA证书是由根CA签名的，TLS客户端使用提供的自签名根证书的公钥来验证TLS服务器CA证书的签名。

步骤a3、TLS客户端本地预置了一个TLS客户端隐式信任的自签名根证书，从而可以确保根证书中的公钥是可信的。此时，TLS客户端成功验证TLS服务器的身份，建立到TLS服务器的信任链，完成安全域内的TLS握手。需要说明的是，本领域内技术人员可以理解，本公开实施例提供的方法，可以被单独执行，也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。

如图23所示，本实施例中提供一种认证方法，其中，该方法由TLS客户端执行，该方法包括：

步骤231、基于所述TLS服务器CA证书验证所述TLS服务器证书是否可信；

其中，所述TLS服务器和所述TLS客户端在同一安全域。

在一个实施例中，假设TLS客户端和TLS服务器在同一个安全域(例如，第一安全域)内，并且预先配置了根CA的自签名证书(即根证书)。当TLS客户端接收到TLS服务器的证书作为TLS握手的一部分时，TLS客户端执行以下过程：TLS客户端检查以确保TLS服务器证书未过期。考虑到TLS服务器证书是由TLS服务器CA签署的，TLS客户端会尝试获取TLS服务器CA证书。一旦获得TLS服务器CA证书，TLS客户端使用TLS服务器CA证书的公钥来验证TLS服务器证书是否正确签名。

如图24所示，本实施例中提供一种认证方法，其中，该方法由TLS客户端执行，该方法包括：

步骤241、基于所在安全域的根证书验证所述TLS服务器CA证书是否可信；

其中，所述TLS服务器和所述TLS客户端在同一安全域。

在一个实施例中，假设TLS客户端和TLS服务器在同一个安全域(例如，第一安全域)内，并且预先配置了根CA的自签名证书(即根证书)。当TLS客户端接收到TLS服务器的证书作为TLS握手的一部分时，TLS客户端执行以下过程：TLS客户端尝试验证TLS服务器CA证书是否可信。考虑到TLS服务器CA证书是由根CA签名的，TLS客户端使用预置的自签名根证书中的公钥来验证TLS服务器CA证书的签名。

如图25所示，本实施例中提供一种认证方法，其中，该方法由第一安全域中的第一TLS代理执行，该方法包括：

步骤251、响应于接收到第二安全域中的第二TLS代理发送的第二TLS代理证书，确定所述第二TLS代理证书的可信性。

在一个实施例中，假设TLS proxyA和TLS proxyB在不同的安全域中，并且预置了它们的根CA的自签名证书(例如，TLS proxyA预置了根CA _A的自签名证书，TLS proxyB预置了根CA _B的自签名证书)。当TLS proxyA作为SSL或TLS握手的一部分接收到TLS proxyB的证书时，TLS proxyA执行以下过程：

步骤b1、TLS proxyA检查以确保TLS proxyB的证书没有过期。考虑到TLS proxyB的证书是由TLS代理CA _B签名的，因此TLS proxyA会尝试获取TLS代理CA _B证书。一旦获得TLS代理CA _B证书，TLS proxyA使用TLS代理CA _B证书的公钥来验证TLS代理B证书是否正确签名。

步骤b2、TLS proxyA尝试验证TLS代理CA _B证书是否可信。考虑到TLS代理CA _B证书是由根CA _B签名的，TLS代理A会尝试获取根CA _B证书。获得根CA _B证书后，TLS proxyA使用根CA _B证书的公钥来验证TLS代理CA _B证书是否正确签名。

步骤b3、TLS proxyA尝试验证Root CA _B证书是否可信。考虑到Root CA _B证书是由Root CA _A签名的，TLS proxyA使用预置的自签名根证书的公钥来验证Root CA _B证书的签名。

步骤b4、TLS proxyA本地预置了TLS proxyA隐式信任的自签名根证书，从而可以确保Root CA _A根证书中的公钥是可信的。此时，TLS proxyA成功验证TLS proxyB的身份，建立到TLS proxyB的信任链，完成安全域之间的SSL或者TLS握手。需要说明的是，本领域内技术人员可以理解，本公开实施例提供的方法，可以被单独执行，也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。

如图26所示，本实施例中提供一种认证方法，其中，该方法由第一安全域中的第一TLS代理执行，该方法包括：

步骤261、基于第二安全域中的TLS代理CA证书验证所述第二TLS代理证书是否可信。

在一个实施例中，假设TLS proxyA和TLS proxyB在不同的安全域中，并且预置了它们的根CA的自签名证书(例如，TLS proxyA预置了根CA _A的自签名证书，TLS proxyB预置了根CA _B的自签名证书)。当TLS proxyA作为SSL或TLS握手的一部分接收到TLS proxyB的证书时，TLS proxyA执行以下过程：TLS proxyA检查以确保TLS proxyB的证书没有过期。考虑到TLS proxyB的证书是由TLS代理CA _B签名的，因此TLS proxyA会尝试获取TLS代理CA _B证书。一旦获得TLS代理CA _B证书，TLS proxyA使用TLS代理CA _B证书的公钥来验证TLS代理B证书是否正确签名。

如图27所示，本实施例中提供一种认证方法，其中，该方法由第一安全域中的第一TLS代理执行，该方法包括：

步骤271、基于第二安全域中的根证书验证TLS代理CA证书是否可信。

在一个实施例中，假设TLS proxyA和TLS proxyB在不同的安全域中，并且预置了它们的根CA的自签名证书(例如，TLS proxyA预置了根CA _A的自签名证书，TLS proxyB预置了根CA _B的自签名证书)。当TLS proxyA作为SSL或TLS握手的一部分接收到TLS proxyB证书时，TLS proxyA执行以下过程：

TLS proxyA尝试验证TLS代理CA _B证书是否可信。考虑到TLS代理CA _B证书是由根CA _B签名的，TLS代理A会尝试获取根CA _B证书。获得根CA _B证书后，TLS proxyA使用根CA _B证书中的公钥来验证TLS代理CA _B证书是否正确签名。

如图28所示，本实施例中提供一种认证方法，其中，该方法由第一安全域中的第一TLS代理执行，该方法包括：

步骤281、基于第一安全域中的根证书验证第二安全域中的根证书是否可信。

在一个实施例中，假设TLS proxyA和TLS proxyB在不同的安全域中，并且预置了它们的根CA的自签名证书(例如，TLS proxyA预置了根CA _A的自签名证书，TLS proxyB预置了根CA _B的自签名证书)。当TLS proxyA作为SSL或TLS握手的一部分接收到TLS proxyB的证书时，TLS proxyA执行以下过程：TLS proxyA尝试验证Root CA _B证书是否可信。考虑到Root CA _B证书是由Root CA _A签名的，TLS proxyA使用预置的自签名根证书中的公钥来验证Root CA _B证书的签名。

如图29所示，本实施例中提供一种认证方法，其中，该方法由第一安全域中的第一TLS代理执行，该方法包括：

步骤291、响应于接收到第一安全域中的TLS客户端发送的TLS客户端证书，确定所述TLS客户端证书的可信性。

基于第一安全域中的TLS客户端CA证书的公钥验证所述TLS客户端证书是否可信。

在一个实施例中，所述方法还包括：

基于第一安全域中的根证书的公钥验证TLS客户端CA证书是否可信。

需要说明的是，步骤291部分的相关说明可以参见步骤251至步骤281部分的说明，验证过程类似，在此不再赘述。

如图30所示，本实施例中提供一种认证方法，其中，该方法由第一安全域中的第一TLS代理执行，该方法包括：

步骤301、响应于接收到第一安全域中的TLS服务器发送的TLS服务器证书，确定所述TLS服务器证书的可信性。

基于第一安全域中的TLS服务器CA证书的公钥验证所述TLS服务器证书是否可信。

在一个实施例中，所述方法还包括：

基于第一安全域中的根证书的公钥验证TLS服务器CA证书是否可信。

需要说明的是，步骤301部分的相关说明可以参见步骤251至步骤281部分的说明，验证过程类似，在此不再赘述。

如图31所示，本实施例中提供一种认证装置，其中，所述装置包括：

生成模块311，被配置为生成基于安全传输协议TLS的预定证书；

其中，所述预定证书包括以下至少之一：

第一根CA所在第一安全域内的实体的第一类证书；

如图32所示，本实施例中提供一种认证装置，其中，所述装置包括：

接收模块321，被配置为接收基于安全传输协议TLS的预定证书；

其中，所述预定证书包括以下至少之一：

第一根CA所在第一安全域内的实体的第一类证书；

如图33所示，本实施例中提供一种认证装置，其中，所述装置包括：

接收模块331，被配置为获取第三类证书，其中，所述第三类证书包含公钥，用于不同实体之间建立TLS隧道。

如图34所示，本实施例中提供一种认证装置，其中，所述装置包括：

确定模块341，被配置为：响应于接收到TLS服务器的TLS服务器证书，确定所述TLS服务器证书的有效性；

其中，所述TLS服务器和所述TLS客户端在同一安全域。

如图35所示，本实施例中提供一种认证装置，其中，所述装置包括：

确定模块351，被配置为：响应于接收到第二安全域中的第二TLS代理发送的第二TLS代理证书，确定所述第二TLS代理的证书的可信性。

如图36所示，本实施例中提供一种认证装置，其中，所述装置包括：

确定模块361，被配置为：响应于接收到第一安全域中的TLS客户端发送的TLS客户端证书，确定所述TLS客户端证书的可信性。

如图37所示，本实施例中提供一种认证装置，其中，所述装置包括：

确定模块371，被配置为：响应于接收到第一安全域中的TLS服务器发送的TLS服务器证书，确定所述TLS服务器证书的可信性。

本公开实施例提供一种通信设备，通信设备，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，处理器被配置为：用于运行可执行指令时，实现应用于本公开任意实施例的方法。

其中，处理器可包括各种类型的存储介质，该存储介质为非临时性计算机存储介质，在通信设备掉电之后能够继续记忆存储其上的信息。

处理器可以通过总线等与存储器连接，用于读取存储器上存储的可执行程序。

本公开实施例还提供一种计算机存储介质，其中，计算机存储介质存储有计算机可执行程序，可执行程序被处理器执行时实现本公开任意实施例的方法。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

如图38所示，本公开一个实施例提供一种终端的结构。

参照图38所示终端800本实施例提供一种终端800，该终端具体可是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

参照图38，终端800可以包括以下一个或多个组件：处理组件802，存储器804，电源组件806，多媒体组件808，音频组件810，输入/输出(I/O)的接口812，传感器组件814，以及通信组件816。

处理组件802通常控制终端800的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件802可以包括一个或多个模块，便于处理组件802和其他组件之间的交互。例如，处理组件802可以包括多媒体模块，以方便多媒体组件808和处理组件802之间的交互。

存储器804被配置为存储各种类型的数据以支持在设备800的操作。这些数据的示例包括用于在终端800上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源组件806为终端800的各种组件提供电力。电源组件806可以包括电源管理系统，一个或多个电源，及其他与为终端800生成、管理和分配电力相关联的组件。

多媒体组件808包括在终端800和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件808包括一个前置摄像头和/或后置摄像头。当设备800处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件810被配置为输出和/或输入音频信号。例如，音频组件810包括一个麦克风(MIC)，当终端800处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中，音频组件810还包括一个扬声器，用于输出音频信号。

I/O接口812为处理组件802和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件814包括一个或多个传感器，用于为终端800提供各个方面的状态评估。例如，传感器组件814可以检测到设备800的打开/关闭状态，组件的相对定位，例如组件为终端800的显示器和小键盘，传感器组件814还可以检测终端800或终端800一个组件的位置改变，用户与终端800接触的存在或不存在，终端800方位或加速/减速和终端800的温度变化。传感器组件814可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件814还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件816被配置为便于终端800和其他设备之间有线或无线方式的通信。终端800可以接入基于通信标准的无线网络，如Wi-Fi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，通信组件816还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，终端800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器804，上述指令可由终端800的处理器820执行以完成上述方法。例如，非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

如图39所示，本公开一实施例示出一种基站的结构。例如，基站900可以被提供为一网络侧设备。参照图39，基站900包括处理组件922，其进一步包括一个或多个处理器，以及由存储器932所代表的存储器资源，用于存储可由处理组件922的执行的指令，例如应用程序。存储器932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件922被配置为执行指令，以执行上述方法前述应用在所述基站的任意方法。

基站900还可以包括一个电源组件926被配置为执行基站900的电源管理，一个有线或无线网络接口950被配置为将基站900连接到网络，和一个输入输出(I/O)接口958。基站900可以操作基于存储在存储器932的操作系统，例如Windows Server TM，Mac OS XTM，UnixTM，LinuxTM，FreeBSDTM或类似。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本公开旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

Claims

一种认证方法，其中，所述方法由第一根证书管理机构CA执行，所述方法包括：

生成基于安全传输协议TLS的预定证书；

其中，所述预定证书包括以下至少之一：

第一根CA所在第一安全域内的实体的第一类证书；

第二根CA所在第二安全域内的实体的第二类证书，所述第二类证书至少用于所述第一安全域和所述第二安全域的实体之间进行TLS验证。
根据权利要求1所述的方法，其中，所述方法还包括：

向所述实体发送所述预定证书。
根据权利要求1所述的方法，其中，所述生成基于安全传输协议TLS的预定证书，包括：

响应于所述第一安全域和所述第二安全域之间达成互连协议，生成所述第二类证书。
根据权利要求1所述的方法，其中，所述生成基于安全传输协议TLS的预定证书，包括：

生成基于所述第一根CA的私钥签名的所述第一类证书；

和/或，

生成基于所述第一根CA的私钥签名的所述第二类证书。
根据权利要求1所述的方法，其中，所述生成基于安全传输协议TLS的预定证书，包括：

生成所述根证书；

其中，所述根证书用于生成所述第一类证书。
根据权利要求1所述的方法，其中，所述实体包括以下至少之一：

根CA；

TLS服务器CA；

TLS客户端CA；

TLS代理CA；

TLS服务器；

TLS客户端；

TLS代理。
一种认证方法，其中，所述方法由第一类型实体执行，所述方法包括：

获取基于安全传输协议TLS的预定证书；

其中，所述预定证书包括以下至少之一：

第一根CA所在第一安全域内的实体的第一类证书；

第二根CA所在第二安全域内的实体的第二类证书，所述第二类证书至少用于所述第一安全域和所述第二安全域的实体之间进行TLS验证。
根据权利要求7所述的方法，其中，所述获取基于安全传输协议TLS的预定证书，包括：

获取预配置的所述预定证书；

或者，

接收第一根CA发送的所述预定证书。
根据权利要求7所述的方法，其中，所述第一类型实体包括以下至少之一：

TLS服务器CA；

TLS客户端CA；

TLS代理CA。
根据权利要求7所述的方法，其中，所述方法还包括：

生成基于所述第一类型实体的私钥签名的所述第三类证书。
根据权利要求10所述的方法，其中，所述方法还包括：

向第二类型实体发送第三类证书，其中，所述第三类证书包含公钥，用于不同实体之间建立TLS隧道。
根据权利要求11所述的方法，其中，所述第一类型实体为TLS客户端CA；所述第二类型实体为TLS客户端；所述向第二类型实体发送第三类证书，包括：

向所述TLS客户端发送TLS客户端证书。
根据权利要求11所述的方法，其中，所述第一类型实体为TLS服务器CA；所述第二类型实体为TLS服务器；所述向第二类型实体发送第三类证书，包括：

向所述TLS服务器发送TLS服务器证书。
根据权利要求11所述的方法，其中，所述第一类型实体为TLS代理CA；所述第二类型实体为TLS代理；所述向第二类型实体发送第三类证书，包括：

向所述TLS代理发送TLS代理证书。
根据权利要求11所述的方法，其中，所述向第二类型实体发送第三类证书，包括：

向所述第二类型实体发送TLS客户端证书和TLS服务器证书。
根据权利要求10至15任一项所述的方法，其中，所述第二类型实体包括以下至少之一：

TLS服务器

TLS客户端

TLS代理。
一种认证方法，其中，所述方法由第二类型实体执行，所述方法包括：

获取第三类证书，其中，所述第三类证书包含公钥，用于不同实体之间建立TLS隧道。
根据权利要求17所述的方法，其中，所述获取第三类证书，包括：

获取预配置的所述第三类证书；

或者，

接收第一类型实体发送的所述第三类证书。
根据权利要求17所述的方法，其中，所述第一类型实体包括以下至少之一：

TLS服务器CA；

TLS客户端CA；

TLS代理CA。
根据权利要求17所述的方法，其中，所述第一类型实体为TLS客户端CA；所述第二类型实体为TLS客户端；所述获取第三类证书，包括：

接收所述TLS客户端CA发送的TLS客户端证书。
根据权利要求17所述的方法，其中，所述第一类型实体为TLS服务器CA；所述第二类型实体为TLS服务器；所述获取第三类证书，包括：

接收所述TLS服务器CA发送的TLS服务器证书。
根据权利要求17所述的方法，其中，所述第一类型实体为TLS代理CA；所述第二类型实体为TLS代理；所述获取第三类证书，包括：

接收所述TLS代理CA发送的TLS代理证书。
根据权利要求17所述的方法，其中，所述获取第三类证书，包括：

接收所述第一类型实体发送的TLS客户端证书和TLS服务器证书。
根据权利要求20至22任一项所述的方法，其中，所述第二类型实体包括以下至少之一：

TLS服务器；

TLS客户端；

TLS代理。
一种认证方法，其中，所述方法由TLS客户端执行，所述方法包括：

响应于接收到TLS服务器的TLS服务器证书，确定所述TLS服务器证书的可信性；

其中，所述TLS服务器和所述TLS客户端在同一安全域。
根据权利要求25所述的方法，其中，所述确定TLS服务器证书的可信性，包括：

基于所述TLS服务器CA证书验证所述TLS服务器证书是否可信。
根据权利要求25所述的方法，其中，所述方法还包括：

基于所在安全域的根CA生成的根证书验证所述TLS服务器CA证书是否可信。
一种认证方法，其中，所述方法由第一安全域中的第一TLS代理执行，所述方法包括：

响应于接收到第二安全域中的第二TLS代理发送的第二TLS代理证书，确定所述第二TLS代理证书的可信性。
根据权利要求28所述的方法，其中，所述确定所述第二TLS代理证书的可信性，包括：

基于第二安全域中的TLS代理CA证书验证所述第二TLS代理证书是否可信。
根据权利要求29所述的方法，其中，所述方法还包括：

基于第二安全域中的根证书验证TLS代理CA证书是否可信。
根据权利要求30所述的方法，其中，所述方法还包括：

基于第一安全域中的根证书验证第二安全域中的根证书是否可信。
一种认证方法，其中，所述方法由第一安全域中的第一TLS代理执行，所述方法包括：

响应于接收到第一安全域中的TLS客户端发送的TLS客户端证书，确定所述TLS客户端证书的可信性。
根据权利要求32所述的方法，其中，所述确定所述TLS客户端证书的可信性，包括：

基于第一安全域中的TLS客户端CA证书验证所述TLS客户端证书是否可信。
根据权利要求33所述的方法，其中，所述方法还包括：

基于第一安全域中的根证书验证TLS客户端CA证书是否可信。
一种认证方法，其中，所述方法由第一安全域中的第一TLS代理执行，所述方法包括：

响应于接收到第一安全域中的TLS服务器发送的TLS服务器证书，确定所述TLS服务器证书的可信性。
根据权利要求35所述的方法，其中，所述确定所述TLS服务器证书的可信性，包括：

基于第一安全域中的TLS服务器CA证书验证所述TLS服务器证书是否可信。
根据权利要求36所述的方法，其中，所述方法还包括：

基于第一安全域中的根证书验证TLS服务器CA证书是否可信。
一种认证装置，其中，所述装置包括：

生成模块，被配置为生成基于安全传输协议TLS的预定证书；

其中，所述预定证书包括以下至少之一：

第一根CA所在第一安全域内的实体的第一类证书；

第二根CA所在第二安全域内的实体的第二类证书，所述第二类证书至少用于所述第一安全域和所述第二安全域的实体之间进行TLS验证。
一种认证装置，其中，所述装置包括：

接收模块，被配置为接收基于安全传输协议TLS的预定证书；

其中，所述预定证书包括以下至少之一：

第一根CA所在第一安全域内的实体的第一类证书；

第二根CA所在第二安全域内的实体的第二类证书，所述第二类证书至少用于所述第一安全域和所述第二安全域的实体之间进行TLS验证。
一种认证装置，其中，所述装置包括：

接收模块，被配置为获取第三类证书，其中，所述第三类证书包含公钥，用于不同实体之间建立TLS隧道。
一种认证装置，其中，所述装置包括：

确定模块，被配置为：响应于接收到TLS服务器的TLS服务器证书，确定所述TLS服务器证书的可信性；

其中，所述TLS服务器和所述TLS客户端在同一安全域。
一种认证装置，其中，所述装置包括：

确定模块，被配置为：响应于接收到第二安全域中的第二TLS代理发送的第二TLS代理证书，确定所述第二TLS代理的证书的可信性。
一种认证装置，其中，所述装置包括：

确定模块，被配置为：响应于接收到第一安全域中的TLS客户端发送的TLS客户端证书，确定所述TLS客户端证书的可信性。
一种认证装置，其中，所述装置包括：

确定模块，被配置为：响应于接收到第一安全域中的TLS服务器发送的TLS服务器证书，确定所述TLS服务器证书的可信性。
一种通信设备，其中，包括：

存储器；

处理器，与所述存储器连接，被配置为通过执行存储在所述存储器上的计算机可执行指令，并能够实现权利要求1至6、7至16、17至24、25至27、28至31、32至34或者35至37任一项所述的方法。
一种计算机存储介质，所述计算机存储介质存储有计算机可执行指令，所述计算机可执行指令被处理器执行后能够实现权利要求1至6、7至16、17至24、25至27、28至31、32至34或者35至37任一项所述的方法。