CN117439781A - 身份鉴权方法、装置及存储介质 - Google Patents

Abstract

本申请公开了一种身份鉴权方法、装置及存储介质，涉及通信技术领域，能够提高终端设备鉴权的安全性。该方法包括：接收来自第一终端设备的访问请求信息；访问请求信息包括第一终端设备的标识信息；基于访问请求信息，向第一终端设备发送第一字段；第一字段为通过与第一终端设备的对应的第一密钥对第二字段加密后确定的字段；接收来自第一终端设备的第三字段；第三字段是第一终端设备基于自身存储的密钥解密第一字段得到的；根据第二字段和第三字段的对比结果，验证第一终端设备的合法性。本申请用于终端设备鉴权。

Description

身份鉴权方法、装置及存储介质

技术领域

本申请涉及通信技术领域，尤其涉及一种身份鉴权方法、装置及存储介质。

背景技术

随着信息化、数字化、智能化的高速发展，网络攻击呈现出多元化、复杂化等新的态势。网络攻击成为破坏集体安全的手段之一，因此做好攻防环境下的终端设备鉴权是十分必要的。

相关技术中，待鉴权的第一终端设备向具有鉴权功能的第二终端设备发送第一终端设备的名称和密码，第二终端设备基于自身存储的信息对第一终端设备鉴权。由于可以非法获取第一终端设备发送给第二终端设备的待鉴权信息，因此上述鉴权方案存在严重安全风险。因此，如何提高终端设备鉴权的安全性是仍待解决的技术问题。

发明内容

本申请提供了一种身份鉴权方法、装置及存储介质，用于实现提高终端设备鉴权的安全性的目的。

为达到上述目的，本申请采用如下技术方案：

第一方面，本申请实施例提供了一种身份鉴权方法，身份管理系统接收来自第一终端设备的访问请求信息；访问请求信息包括第一终端设备的标识信息；身份管理系统基于访问请求信息，向第一终端设备发送第一字段；第一字段为通过与第一终端设备的对应的第一密钥对第二字段加密后确定的字段；身份管理系统接收来自第一终端设备的第三字段；第三字段是第一终端设备基于自身存储的密钥解密第一字段得到的；身份管理系统根据第二字段和第三字段的对比结果，验证第一终端设备的合法性。

在一种可能的实现方式中，若第三字段与第二字段相同，则确定第一终端设备合法。

在一种可能的实现方式中，在第一终端设备合法的情况下，基于第一密钥加密第四字段，得到第五字段；向第一终端设备发送第一报文；第一报文包括第五字段，第一报文用于触发第一终端设备进行二次认证。

在一种可能的实现方式中，接收来自第一终端设备的第二报文；第二报文包括第六字段，第六字段是第一终端设备基于自身存储的密钥解密第五字段得到的；所说第二报文用于请求第二终端设备配置资源；若第六字段与第四字段相同，则确定第一终端设备通过二次认证；基于第二终端设备的标识信息，向第二终端设备转发第二报文；访问请求信息还包括第一终端设备请求访问的第二终端设备的标识信息。

在一种可能的实现方式中，在向第一终端设备发送第一报文之前，方法还包括：基于第一终端设备的标识信息，确定允许第一终端设备访问的第二资源；若第二资源包括第一资源，则将第一资源的标识信息添加至第一报文。

在一种可能的实现方式中，基于第二终端设备的标识信息，确定第二终端设备对应的第二密钥；基于第二密钥加密第七字段，得到第八字段；将第八字段添加至第一报文。

在一种可能的实现方式中，第二报文包括：第八字段和、第一资源的标识信息以及第一终端设备的标识信息。

在一种可能的实现方式中，向第一终端设备发送第一终端设备对应的第一密钥；向第二终端设备发送第二终端设备对应的第二密钥。

第二方面，本申请提供了一种身份鉴权装置，包括：通信单元和处理单元：通信单元，用于接收来自第一终端设备的访问请求信息；访问请求信息包括第一终端设备的标识信息；处理单元，用于基于访问请求信息，向第一终端设备发送第一字段；第一字段为通过与第一终端设备的对应的第一密钥对第二字段加密后确定的字段；通信单元，还用于接收来自第一终端设备的第三字段；第三字段是第一终端设备基于自身存储的密钥解密第一字段得到的；处理单元，还用于根据第二字段和第三字段的对比结果，验证第一终端设备的合法性。

在一种可能的实现方式中，处理单元，还用于若第三字段与第二字段相同，则确定第一终端设备合法。

在一种可能的实现方式中，处理单元，还用于在第一终端设备合法的情况下，基于第一密钥加密第四字段，得到第五字段；通信单元，还用于向第一终端设备发送第一报文；第一报文包括第五字段，第一报文用于触发第一终端设备进行二次认证。

在一种可能的实现方式中，通信单元，还用于接收来自第一终端设备的第二报文；第二报文包括第六字段，第六字段是第一终端设备基于自身存储的密钥解密第五字段得到的；所说第二报文用于请求第二终端设备配置资源；处理单元，还用于若第六字段与第四字段相同，则确定第一终端设备通过二次认证；处理单元，还用于基于第二终端设备的标识信息，向第二终端设备转发第二报文；访问请求信息还包括第一终端设备请求访问的第二终端设备的标识信息。

在一种可能的实现方式中，处理单元，还用于基于第一终端设备的标识信息，确定允许第一终端设备访问的第二资源；若第二资源包括第一资源，则将第一资源的标识信息添加至第一报文。

在一种可能的实现方式中，处理单元，还用于基于第二终端设备的标识信息，确定第二终端设备对应的第二密钥；基于第二密钥加密第七字段，得到第八字段；将第八字段添加至第一报文。

在一种可能的实现方式中，第二报文包括：第八字段和、第一资源的标识信息以及第一终端设备的标识信息。

在一种可能的实现方式中，通信单元，还用于向第一终端设备发送第一终端设备对应的第一密钥；通信单元，还用于向第二终端设备发送第二终端设备对应的第二密钥。

第三方面，本申请提供了一种身份鉴权装置，该身份鉴权装置包括：处理器以及存储器；其中，存储器用于存储计算机执行指令，当身份鉴权装置运行时，处理器执行存储器存储的计算机执行指令，以使身份鉴权装置执行如第一方面和第一方面的任一种可能的实现方式中描述的身份鉴权方法。

第四方面，本申请提供了一种计算机可读存储介质，计算机可读存储介质中存储有指令，当计算机可读存储介质中的指令由身份鉴权装置的处理器执行时，使得身份鉴权装置能够执行如第一方面和第一方面的任一种可能的实现方式中描述的身份鉴权方法。

第五方面，本申请实施例提供一种芯片，芯片包括处理器和通信接口，通信接口和处理器耦合，处理器用于运行计算机程序或指令，以实现上述第一方面和第一方面的任一种可能的实现方式中描述的身份鉴权方法。

第六方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第一方面和第一方面的任一种可能的实现方式中描述的身份鉴权方法。

本申请的这些方面或其他方面在以下的描述中会更加简明易懂。

上述方案至少带来以下有益效果：本申请实施例中，身份管理系统接收来自第一终端设备的访问请求信息，基于访问请求信息，向第一终端设备发送第一字段。由于第一字段为通过与第一终端设备的对应的第一密钥对第二字段加密后确定的字段，第三字段是第一终端设备基于自身存储的密钥解密第一字段得到的，因此，身份管理系统可以基于第二字段和第三字段的对比结果，验证第一终端设备的合法性。与现有技术相比，本申请通过第一终端设备中的预存的密钥和身份管理系统中预存的第一终端设备对应第一密钥，验证第一终端设备的合法性。这样，只有在待鉴权的终端设备名称与访问请求信息中终端设备名称相同的情况下，第一终端设备中的预存的密钥和身份管理系统中预存的第一终端设备对应第一密钥才会相同。避免现有技术中，待鉴权的终端设备非法获取其他终端设备的认证，非法得到认证结果。且加密的第一字段在传输的过程中，可以避免第三方非法获取第二字段，从而提高了终端设备鉴权的安全性。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种身份鉴权系统的结构示意图；

图2为本申请实施例提供的一种身份鉴权装置的结构示意图；

图3为本申请实施例提供的一种身份鉴权方法的流程图；

图4为本申请实施例提供的一种身份鉴权方法的流程图；

图5为本申请实施例提供的一种身份鉴权方法的流程图；

图6为本申请实施例提供的一种身份鉴权方法的流程图；

图7为本申请实施例提供的一种身份鉴权方法的流程图；

图8为本申请实施例提供的一种身份鉴权方法的流程图；

图9为本申请实施例提供的一种身份鉴权方法的流程图；

图10为本申请实施例提供的一种身份鉴权装置的结构示意图。

具体实施方式

本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。

本申请的说明书以及附图中的术语“第一”和“第二”等是用于区别不同的对象，或者用于区别对同一对象的不同处理，而不是用于描述对象的特定顺序。

此外，本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选的还包括其他没有列出的步骤或单元，或可选的还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

需要说明的是，本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

在本申请的描述中，除非另有说明，“多个”的含义是指两个或两个以上。

随着信息化、数字化、智能化的高速发展，网络攻击呈现出多元化、复杂化等新的态势。网络攻击成为破坏集体安全的手段之一，因此做好攻防环境下的终端设备鉴权是十分必要的。

相关技术中，待鉴权的第一终端设备向具有鉴权功能的第二终端设备发送第一终端设备的名称和密码，第二终端设备基于自身存储的信息对第一终端设备鉴权。由于可以非法获取第一终端设备发送给第二终端设备的待鉴权信息，因此上述鉴权方案存在严重安全风险。因此，如何提高终端设备鉴权的安全性是仍待解决的技术问题。

为了解决相关技术中存在的技术问题，本申请实施例中，身份管理系统接收来自第一终端设备的访问请求信息，基于访问请求信息，向第一终端设备发送第一字段。由于第一字段为通过与第一终端设备的对应的第一密钥对第二字段加密后确定的字段，第三字段是第一终端设备基于自身存储的密钥解密第二字段得到的，因此，身份管理系统可以基于第二字段和第三字段的对比结果，验证第一终端设备的合法性。与现有技术相比，本申请通过第一终端设备中的预存的密钥和身份管理系统中预存的第一终端设备对应第一密钥，验证第一终端设备的合法性。这样，只有在待鉴权的终端设备名称与访问请求信息中终端设备名称相同的情况下，第一终端设备中的预存的密钥和身份管理系统中预存的第一终端设备对应第一密钥才会相同。避免现有技术中待鉴权的终端设备非法获取其他终端设备的认证，非法得到认证结果。且加密的第一字段在传输的过程中，可以避免第三方非法获取第二字段，从而提高了终端设备鉴权的安全性。

以下，结合附图1对本申请实施例提供的一种身份鉴权系统10进行详细说明，如图1所示，该身份鉴权系统包括：身份管理系统11、第一终端设备12、第二终端设备13。

其中，身份管理系统11，被配置为：接收来自第一终端设备12的访问请求信息；访问请求信息包括第一终端设备12的标识信息；基于访问请求信息，向第一终端设备12发送第一字段；第一字段为通过与第一终端设备12的对应的第一密钥对第二字段加密后确定的字段；接收来自第一终端设备12的第三字段；第三字段是第一终端设备12基于自身存储的密钥解密第二字段得到的；根据第二字段和第三字段的对比结果，验证第一终端设备12的合法性。

第一终端设备12，被配置为：向身份管理系统11发送访问请求信息；访问请求信息包括第一终端设备12的标识信息。

第二终端设备13，被配置为：基于第二报文开放第一终端设备12的访问资源的权限。

可选的，身份管理系统11包括：密钥分发服务111、身份验证服务112以及访问控制服务113。

密钥分发服务111，被配置为：向第一终端设备12发送第一密钥，向第二终端设备13发送第二密钥。

身份验证服务112，被配置为：鉴权第一终端设备12。

访问控制服务113，被配置为：向第二终端设备13发送第二报文。

本申请需要说明的是第一终端设备12、第二终端设备13是一种具有无线通信功能的设备，可以部署在陆地上，包括室内或室外、手持或车载。也可以部署在水面上(如轮船等)。还可以部署在空中(例如飞机、气球和卫星上等)。用户终端设备又称之为移动台(mobile station，MS)、移动终端设备(mobile terminal，MT)以及终端设备等，是一种向用户提供语音和/或数据连通性的设备。例如，移动终端设备包括具有无线连接功能的手持式设备、车载设备等。目前，移动终端设备可以是：手机(mobile phone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internet device，MID)、可穿戴设备(例如智能手表、智能手环、计步器等)，车载设备(例如，汽车、自行车、电动车、飞机、船舶、火车、高铁等)、虚拟现实(virtual reality，VR)设备、增强现实(augmented reality，AR)设备、工业控制(industrial control)中的无线终端设备、智能家居设备(例如，冰箱、电视、空调、电表等)、智能机器人、车间设备、无人驾驶(self driving)中的无线终端设备、远程手术(remote medical surgery)中的无线终端设备、智能电网(smart grid)中的无线终端设备、运输安全(transportation safety)中的无线终端设备、智慧城市(smart city)中的无线终端设备，或智慧家庭(smart home)中的无线终端设备、飞行设备(例如，智能机器人、热气球、无人机、飞机)等。本申请一种可能的应用的场景中终端设备为经常工作在地面的终端设备，例如车载设备。在本申请中，为了便于叙述，部署在上述设备中的芯片，例如片上系统(System-On-a-Chip，SOC)、基带芯片等，或者其他具备通信功能的芯片也可以称为用户终端设备。

可选的，第一终端设备12、第二终端设备13可以是嵌入式通信装置，也可以是用户手持通信设备，包括手机，平板电脑等。

作为示例，在本申请实施例中，该第一终端设备12、第二终端设备13还可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备，是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，例如：智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能首饰等。

本申请实施例提供了一种身份鉴权装置，应用于执行本申请实施例提供的身份鉴权系统，图2为本申请实施例提供的一种身份鉴权装置的结构示意图。如图2所示，该身份鉴权装置200包括至少一个处理器201，通信线路202，以及至少一个通信接口204，还可以包括存储器203。其中，处理器201，存储器203以及通信接口204三者之间可以通过通信线路202连接。

处理器201可以是一个中央处理器(central processing unit，CPU)，也可以是特定集成电路(application specific integrated circuit，ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多数量字信号处理器(digital signalprocessor，DSP)，或，一个或者多个现场可编程门阵列(field programmable gate array，FPGA)。

通信线路202可以包括一通路，用于在上述组件之间传送信息。

通信接口204，用于与其他设备或通信网络通信，可以使用任何收发器一类的装置，如以太网，无线接入网(radio access network，RAN)，WLAN等。

存储器203可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于包括或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

一种可能的设计中，存储器203可以独立于处理器201存在，即存储器203可以为处理器201外部的存储器，此时，存储器203可以通过通信线路202与处理器201相连接，用于存储执行指令或者应用程序代码，并由处理器201来控制执行，实现本申请下述实施例提供的身份鉴权方法。又一种可能的设计中，存储器203也可以和处理器201集成在一起，即存储器203可以为处理器201的内部存储器，例如，该存储器203为高速缓存，可以用于暂存一些数据和指令信息等。

作为一种可实现方式，处理器201可以包括一个或多个CPU，例如图2中的CPU0和CPU1。作为另一种可实现方式，身份鉴权装置200可以包括多个处理器，例如图2中的处理器201和处理器207。作为再一种可实现方式，身份鉴权装置200还可以包括输出设备205和输入设备206。

以下，结合附图3对本申请实施例提供的身份鉴权方法进行详细说明，如图3所示，该身份鉴权方法包括：

S301、第一终端设备向身份管理系统发送访问请求信息。相应的，身份管理系统接收来自第一终端设备的访问请求信息。

其中，访问请求信息包括第一终端设备的标识信息。

可选的，第一终端设备包括主体。

S302、身份管理系统基于访问请求信息，向第一终端设备发送第一字段。

其中，第一字段为通过与第一终端设备的对应的第一密钥对第二字段加密后确定的字段。

一种可能的实现方式中，身份管理系统基于第一终端设备的标识信息和密钥对照表，确定第一终端设备对应的第一密钥；基于第一密钥加密第二字段，得到第一字段。身份管理系统向第一终端设备发送第一字段和第一指示信息。其中，第一指示信息用于指示第一终端设备解密第一字段。

可选的，身份管理系统包括密钥对照表，密钥对照表包括至少两个密钥，每个密钥对照至少一个终端设备。

一种可能的实现方式中，身份管理系统基于第一预设算法和第一密钥加密第二字段，得到第一字段。

可选的，预设算法包括以下至少一项：对称加密算法、非对称加密算法、Hash加密算法。

需要解释的是，第二字段为身份管理系统随机产生的字符。

可选的，身份管理系统保存第二字段。

可选的，身份管理系统向第一终端设备发送第一字段和第一指示信息以及第一预设算法。

需要解释的是，第一指示信息用于指示第一终端设备基于自身存储的密钥和第一预设算法解密第一字段。

S303、第一终端设备向身份管理系统发送第三字段。相应的，身份管理系统接收来自第一终端设备的第三字段。

其中，第三字段是第一终端设备基于自身存储的密钥解密第一字段得到的。

一种可能的实现方式中，第一终端设备向身份管理系统发送第一响应信息。其中，第一响应信息包括第三字段；第三字段是第一终端设备基于自身存储的密钥解密第二字段得到的。

需要解释的是，第一终端设备基于自身存储的密钥、第一预设算法解密第二字段，生成第一响应信息。

需要解释的是，当第一终端设备基于自身存储的密钥、第一预设算法无法解密第一字段时，第一终端设备向身份管理系统发送第一响应信息，第一消息包括None。

S304、身份管理系统根据第二字段和第三字段的对比结果，验证第一终端设备的合法性。

一种可能的实现方式中，身份管理系统基于第三字段与第二字段的起始位置依次比较每个字符。当第三字段中每个位置的字符与第二字段中每个位置的字符均相同的情况下，第三字段与第二字段相同，否则第三字段与第二字段不相同。

上述方案至少带来以下有益效果：本申请实施例中，身份管理系统接收来自第一终端设备的访问请求信息，基于访问请求信息，向第一终端设备发送第一字段。由于第一字段为通过与第一终端设备的对应的第一密钥对第二字段加密后确定的字段，第三字段是第一终端设备基于自身存储的密钥解密第一字段得到的，因此，身份管理系统可以基于第二字段和第三字段的对比结果，验证第一终端设备的合法性。与现有技术相比，本申请通过第一终端设备中的预存的密钥和身份管理系统中预存的第一终端设备对应第一密钥，验证第一终端设备的合法性。这样，只有在待鉴权的终端设备名称与访问请求信息中终端设备名称相同的情况下，第一终端设备中的预存的密钥和身份管理系统中预存的第一终端设备对应第一密钥才会相同。避免现有技术中，待鉴权的终端设备非法获取其他终端设备的认证，非法得到认证结果。且加密的第一字段在传输的过程中，可以避免第三方非法获取第二字段，从而提高了终端设备鉴权的安全性。

一种可能的实现方式中，结合图3，如图4所示，在上述S304、身份管理系统根据第二字段和第三字段的对比结果，验证第一终端设备的合法性的过程具体可以通过以下S401实现。

S401、若第三字段与第二字段相同，则身份管理系统确定第一终端设备合法。

需要解释的是，若第三字段与第二字段不相同，则身份管理系统确定第一终端设备不合法。

上述方案至少带来以下有益效果：本申请实施例中，身份管理系统基于第三字段与第二字段可以确定第一终端设备的合法性。

一种可能的实现方式中，结合图4，如图5所示，在上述S401、若第三字段与第二字段相同，则身份管理系统确定第一终端设备合法之后，身份管理系统触发第一终端设备进行二次认证。身份管理系统触发第一终端设备进行二次认证的过程具体可以通过以下S501-S502实现。

S501、在第一终端设备合法的情况下，身份管理系统基于第一密钥加密第四字段，得到第五字段。

一种可能的实现方式中，在第一终端设备合法的情况下，身份管理系统基于第一密钥和第一预设算法加密第四字段，得到第五字段。

S502、身份管理系统向第一终端设备发送第一报文。

其中，第一报文包括第五字段，第一报文用于触发第一终端设备进行二次认证。

可选的，在身份管理系统向第一终端设备发送第一报文之前，身份管理系统与第一终端设备建立专用加密通信信道。身份管理系统通过专用加密通信信道向第一终端设备发送第一报文。

可以理解的是，专用加密通信信道具有防止传输的信息被窃取的特性，在第一终端设备合法的情况下，身份管理系统与第一终端设备建立专用加密通信信道，这样只针对合法性比较大的第一终端设备建立专用加密通信信道，提高资源的利用率，进一步可以二次验证第一终端设备的合法性。

上述方案至少带来以下有益效果：本申请实施例中，在第一终端设备合法的情况下，身份管理系统向第一终端设备发送用于触发第一终端设备进行二次认证的第一报文，可以提高验证第一终端设备合法性的准确度。

一种可能的实现方式中，结合图5，如图6所示，在上述S502、身份管理系统向第一终端设备发送第一报文之后，身份管理系统向第二终端设备转发第二报文。身份管理系统向第二终端设备转发第二报文的过程具体可以通过以下S601-S603实现。

S601、第一终端设备向身份管理系统接发送第二报文。相应的，身份管理系统接收来自第一终端设备的第二报文。

其中，第二报文包括第六字段，第六字段是第一终端设备基于自身存储的密钥解密第五字段得到的；第二报文用于请求第二终端设备配置资源。

一种可能的实现方式中，第一终端设备通过专用加密通信信道向身份管理系统发送第二报文。

可以理解的是，第一终端设备通过专用加密通信信道向身份管理系统发送第二报文，可以避免第三方非法获取第六字段，提高了终端设备鉴权的安全性。

需要解释的是，第一终端设备接收到第一报文后，基于自身存储的密钥和第一预设算法解密第五字段，生成第六字段。第一终端设备在第一报文中将第五字段替换为第六字段，得到第二报文。或者，第一终端设备将第六字段写入空白报文，得到第二报文。

S602、若第六字段与第四字段相同，则身份管理系统确定第一终端设备通过二次认证。

一种可能的实现方式中，身份管理系统基于第六字段与第四字段的起始位置依次比较每个字符。当第六字段中每个位置的字符与第四字段中每个位置的字符均相同的情况下，第六字段与第四字段相同，否则第六字段与第四字段不相同。

S603、身份管理系统基于第二终端设备的标识信息，向第二终端设备转发第二报文。

其中，访问请求信息还包括第一终端设备请求访问的第二终端设备的标识信息。

一种可能的试想方式中，身份管理系统基于第二终端设备的标识信息，向第二终端设备转发第二报文和第二指示信息。其中，第二指示信息用于指示第二终端设备基于第二报文开放第一终端设备的访问资源的权限。

需要解释的是，第二终端设备接收到第二报文和第二指示信息后，基于第二报文中第一终端设备请求的第一资源开放第一终端设备的访问资源的权限。第二终端设备向第一终端设备发送令牌，第一终端设备可以基于令牌访问第二终端设备中的第一资源。

可以理解的是，若第一终端设备未通过二次认证，则身份管理系统不会向第二终端设备转发报文。

需要解释的是，由于第一终端设备通过二次认证，因此，第一终端设备的合法性更高，这样，身份管理系统基于第二终端设备的标识信息，向第二终端设备转发第二报文，可以提高通信的安全性。

上述方案至少带来以下有益效果：本申请实施例中，在第一终端设备通过二次认证的情况下，身份管理系统基于第二终端设备的标识信息，向第二终端设备转发第二报文，可以提高通信的安全性。

一种可能的实现方式中，结合图6，如图7所示，在上述S502、身份管理系统向第一终端设备发送第一报文之前，身份管理系统生成第一报文。身份管理系统生成第一报文的过程具体可以通过以下S701-S702实现。

S701、身份管理系统基于第一终端设备的标识信息，确定允许第一终端设备访问的第二资源。

其中，访问请求信息还包括第一终端设备请求的第一资源的标识信息。

示例性的，第二资源包括：A资源、B资源、C资源、D资源、E资源。

S702、若第二资源包括第一资源，则身份管理系统将第一资源的标识信息添加至第一报文。

一种可能的实现方式中，身份管理系统比较第一资源和第二资源，若第二资源包括第一资源，则身份管理系统将第一资源的标识信息添加至第一报文；若第二资源不包括第一资源，则身份管理系统向第一终端设备发送第三指示信息，第三指示信息用于指示第一终端设备的资源请求失败。

示例性的，第二资源包括：A资源、B资源、C资源、D资源、E资源，当第一资源包括：A资源、B资源、C资源时，身份管理系统将第一资源的标识信息添加至第一报文；当第一资源包括：A资源、F资源时，身份管理系统向第一终端设备发送第三指示信息。

另一种可能的实现方式中，若第二资源不包括第一资源，则身份管理系统将第二资源与第一资源共有的资源的标识信息添加至第一报文。

示例性的，第二资源包括：A资源、B资源、C资源、D资源、E资源，当第一资源包括：A资源、B资源、G资源时，身份管理系统将A资源、B资源的标识信息添加至第一报文。

上述方案至少带来以下有益效果：本申请实施例中，身份管理系统确定第一终端设备能够访问的资源，从而基于第一终端设备能够访问的第二资源请求第二终端设备开放第一终端设备访问资源的权限。

一种可能的实现方式中，结合图6，如图8所示，在上述S502、身份管理系统向第一终端设备发送第一报文之前，身份管理系统生成第一报文。身份管理系统生成第一报文的过程具体可以通过以下S801-S803实现。

S801、身份管理系统基于第二终端设备的标识信息，确定第二终端设备对应的第二密钥。

其中，访问请求信息还包括第一终端设备请求访问的第二终端设备的标识信息。

一种可能的实现方式中，身份管理系统基于第二终端设备的标识信息和密钥对照表，确定第二终端设备对应的第二密钥。

S802、身份管理系统基于第二密钥加密第七字段，得到第八字段。

一种可能的实现方式中，身份管理系统基于第二预设算法和第二密钥加密第七字段，得到第八字段。

S803、身份管理系统将第八字段添加至第一报文。

需要理解的是，身份管理系统向第一终端设备发送第一报文后，第一终端设备在第一报文中将第五字段替换为第六字段，得到第二报文。由于第一报文包括第八字段，因此第一报文也包括第八字段。第一终端设备将第一终端设备的标识信息以及第一终端设备的互联网协议(Internet Protocol，IP)地址添加至第二报文。

可选的，第二报文包括：第八字段、第一资源的标识信息以及第一终端设备的标识信息。

示例性的，如表1所示，第一报文ZF包括：加密的第五字段、加密的第八字段以及第一资源的标识信息。

表1、第一报文ZF

示例性的，如表2所示，第二报文ZF1包括：解密的第六字段、加密的第八字段、第一资源的标识信息以及第一终端设备的标识信息。

表2、第二报文ZF1

需要解释的是，第二终端设备接收到第二报文和第二指示信息后，基于自身的密钥解密第八字段。若第二终端设备能够解密第八字段，则第二终端设备自身的密钥与身份管理系统存储的第二密钥相同，即身份管理系统是合法。这样，第二终端设备基于第二报文中第一终端设备请求的第一资源开放第一终端设备的访问资源的权限。

上述方案至少带来以下有益效果：本申请实施例中，身份管理系统基于第二密钥加密第七字段，得到第八字段，这样以便于第二终端设备验证身份管理系统的合法性。

一种可能的实现方式中，结合图3，如图9所示，在上述S301、第一终端设备向身份管理系统发送访问请求信息之前，身份管理系统配置分别配置第一终端设备和第二终端设备的密钥。身份管理系统配置分别配置第一终端设备和第二终端设备的密钥的过程具体可以通过以下S901-S902实现。

S901、身份管理系统向第一终端设备发送第一终端设备对应的第一密钥。

一种可能的实现方式中，身份管理系统向第一终端设备发送第一密钥和第一预设算法。

可选的，身份管理系统基于终端设备的类型，向终端设备发送密钥。相同类型的终端设备具有共同的密钥，这样，身份管理系统可以在节省资源的情况下向终端设备发送密钥。

S902、身份管理系统向第二终端设备发送第二终端设备对应的第二密钥。

一种可能的实现方式中，身份管理系统向第二终端设备发送第二密钥和第二预设算法。

需要解释的是我们不对S901和S902的先后顺序做进一步限定。

上述方案至少带来以下有益效果：本申请实施例中，身份管理系统向第一终端设备和第二终端设备发送密钥，以便于相互鉴权。

可以看出，上述主要从方法的角度对本申请实施例提供的技术方案进行了介绍。为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的模块及算法步骤，本申请实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

本申请实施例还提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当计算机执行该指令时，该计算机执行上述方法实施例所示的方法流程中的各个步骤。

如图10所示，为本申请实施例提供的一种身份鉴权装置的结构示意图。该身份鉴权装置可以用于执行图3、图4、图5、图6、图7、图8、图9所示的身份鉴权的方法。图10所示身份鉴权装置100包括：通信单元1001、处理单元1002。

通信单元1001，用于接收来自第一终端设备的访问请求信息；访问请求信息包括第一终端设备的标识信息；处理单元1002，用于基于访问请求信息，向第一终端设备发送第一字段；第一字段为通过与第一终端设备的对应的第一密钥对第二字段加密后确定的字段；通信单元1001，还用于接收来自第一终端设备的第三字段；第三字段是第一终端设备基于自身存储的密钥解密第一字段得到的；处理单元1002，还用于根据第二字段和第三字段的对比结果，验证第一终端设备的合法性。

可选的，处理单元1002，还用于若第三字段与第二字段相同，则确定第一终端设备合法。

可选的，处理单元1002，还用于在第一终端设备合法的情况下，基于第一密钥加密第四字段，得到第五字段；通信单元1001，还用于向第一终端设备发送第一报文；第一报文包括第五字段，第一报文用于触发第一终端设备进行二次认证。

可选的，通信单元1001，还用于接收来自第一终端设备的第二报文；第二报文包括第六字段，第六字段是第一终端设备基于自身存储的密钥解密第五字段得到的；所说第二报文用于请求第二终端设备配置资源；处理单元1002，还用于若第六字段与第四字段相同，则确定第一终端设备通过二次认证；处理单元1002，还用于基于第二终端设备的标识信息，向第二终端设备转发第二报文；访问请求信息还包括第一终端设备请求访问的第二终端设备的标识信息。

可选的，处理单元1002，还用于基于第一终端设备的标识信息，确定允许第一终端设备访问的第二资源；若第二资源包括第一资源，则将第一资源的标识信息添加至第一报文。

可选的，处理单元1002，还用于基于第二终端设备的标识信息，确定第二终端设备对应的第二密钥；基于第二密钥加密第七字段，得到第八字段；将第八字段添加至第一报文。

可选的，第二报文包括：第八字段和、第一资源的标识信息以及第一终端设备的标识信息。

可选的，通信单元1001，还用于向第一终端设备发送第一终端设备对应的第一密钥；通信单元1001，还用于向第二终端设备发送第二终端设备对应的第二密钥。

本申请实施例还提供一种计算机可读存储介质，计算机可读存储介质包括计算机执行指令，当计算机执行指令在计算机上运行时，使得计算机执行如上述实施例提供的身份鉴权方法。

本申请实施例还提供一种芯片，芯片包括处理器和通信接口，通信接口和处理器耦合，处理器用于运行计算机程序或指令，以实现上述方法实施例中的身份鉴权方法。

本申请的实施例提供一种包含指令的计算机程序产品，当指令在计算机上运行时，使得计算机执行上述方法实施例中的身份鉴权方法。

其中，计算机可读存储介质，例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘。随机存取存储器(Random Access Memory，RAM)、只读存储器(Read-Only Memory，ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory，EPROM)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、光存储器件、磁存储器件、或者上述的人以合适的组合、或者本领域数值的任何其他形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(Application Specific Integrated Circuit，ASIC)中。在本发明实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

由于本发明的实施例中的装置、设备、计算机可读存储介质、计算机程序产品可以应用于上述方法，因此，其所能获得的技术效果也可参考上述方法实施例，本申请实施例在此不再赘述。

以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应该以权利要求的保护范围为准。

Claims (11)

1.一种身份鉴权方法，其特征在于，应用于身份管理系统，所述方法包括：

接收来自所述第一终端设备的访问请求信息；所述访问请求信息包括所述第一终端设备的标识信息；

基于所述访问请求信息，向所述第一终端设备发送第一字段；所述第一字段为通过与所述第一终端设备的对应的第一密钥对第二字段加密后确定的字段；

接收来自所述第一终端设备的第三字段；所述第三字段是所述第一终端设备基于自身存储的密钥解密所述第一字段得到的；

根据所述第二字段和所述第三字段的对比结果，验证所述第一终端设备的合法性。

2.根据权利要求1所述的方法，其特征在于，所述根据所述第二字段和所述第三字段的对比结果，验证所述第一终端设备的合法性，包括：

若所述第三字段与所述第二字段相同，则确定所述第一终端设备合法。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

在所述第一终端设备合法的情况下，基于所述第一密钥加密第四字段，得到第五字段；

向所述第一终端设备发送第一报文；所述第一报文包括所述第五字段，所述第一报文用于触发所述第一终端设备进行二次认证。

4.根据权利要求3所述的方法，其特征在于，在所述向所述第一终端设备发送第一报文之后，所述方法还包括：

接收来自所述第一终端设备的第二报文；所述第二报文包括第六字段，所述第六字段是所述第一终端设备基于自身存储的密钥解密所述第五字段得到的；所述第二报文用于请求第二终端设备配置资源；

若所述第六字段与所述第四字段相同，则确定所述第一终端设备通过二次认证；

基于所述第二终端设备的标识信息，向所述第二终端设备转发所述第二报文；所述访问请求信息还包括所述第一终端设备请求访问的所述第二终端设备的标识信息。

5.根据权利要求4所述的方法，其特征在于，所述访问请求信息还包括所述第一终端设备请求的第一资源；

在所述向所述第一终端设备发送第一报文之前，所述方法还包括：

基于所述第一终端设备的标识信息，确定允许所述第一终端设备访问的第二资源；

若所述第二资源包括所述第一资源，则将所述第一资源的标识信息添加至所述第一报文。

6.根据权利要求4所述的方法，其特征在于，所述访问请求信息还包括所述第一终端设备请求访问的所述第二终端设备的标识信息；在所述向所述第一终端设备发送第一报文之前，所述方法还包括：

基于所述第二终端设备的标识信息，确定所述第二终端设备对应的第二密钥；

基于所述第二密钥加密第七字段，得到第八字段；

将所述第八字段添加至所述第一报文。

7.根据权利要求6所述的方法，其特征在于，所述第二报文包括：所述第八字段、所述第一资源的标识信息以及所述第一终端设备的标识信息。

8.根据权利要求4-7任一项所述的方法，其特征在于，在所述接收来自所述第一终端设备的访问请求信息之前，所述方法还包括：

向所述第一终端设备发送所述第一终端设备对应的第一密钥；

向所述第二终端设备发送所述第二终端设备对应的第二密钥。

9.一种身份鉴权装置，其特征在于，所述装置包括：通信单元和处理单元；

所述通信单元，用于接收来自所述第一终端设备的访问请求信息；所述访问请求信息包括所述第一终端设备的标识信息；

所述处理单元，用于基于所述访问请求信息，向所述第一终端设备发送第一字段；所述第一字段为通过与所述第一终端设备的对应的第一密钥对第二字段加密后确定的字段；

所述通信单元，还用于接收来自所述第一终端设备的第三字段；所述第三字段是所述第一终端设备基于自身存储的密钥解密所述第一字段得到的；

所述处理单元，还用于根据所述第二字段和所述第三字段的对比结果，验证所述第一终端设备的合法性。

10.一种身份鉴权装置，其特征在于，包括：处理器以及存储器；其中，所述存储器用于存储计算机执行指令，当所述身份鉴权装置运行时，所述处理器执行所述存储器存储的所述计算机执行指令，以使所述身份鉴权装置执行权利要求1-8中任一项所述的身份鉴权方法。

11.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括指令，所述指令当被身份鉴权装置执行时使所述计算机执行如权利要求1-8中任一项所述的身份鉴权方法。