WO2021128988A1

WO2021128988A1 - 鉴权方法和设备

Info

Publication number: WO2021128988A1
Application number: PCT/CN2020/116535
Authority: WO
Inventors: 唐甜; 乔立忠; 张梦楠; 曹斌
Original assignee: 华为技术有限公司
Priority date: 2019-12-26
Filing date: 2020-09-21
Publication date: 2021-07-01
Also published as: CN111147259B; CN111147259A

Abstract

本申请实施例公开了一种鉴权方法和设备，由CA服务器等具有证书颁发功能的第二设备，为待鉴权的第一设备生成第一证书，并基于第一私钥对该第一证书进行数字签名，第一设备获取到该数字签名后的第一证书后，对该数字签名后的证书进行验证，获得第一验证结果，并基于该第一验证结果对该第一设备的使用权限进行鉴权。这样，通过具有证书颁发功能和数字签名功能、安全等级较高的第二设备通过数字签名后的第一证书，实现对待鉴权的第一设备的鉴权，克服了目前通过密码本等方式保护第一设备安全时存在的安全隐患，确保对第一设备的访问和使用更加安全和可靠。

Description

鉴权方法和设备

本申请要求于2019年12月26日提交中国国家知识产权局、申请号为201911370614.8、申请名称为“鉴权方法和设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及安全通信技术领域，特别是涉及一种鉴权方法和设备，该方法用于有开通设备或设备上接口的使用权限的需求时，对该设备或设备上接口的鉴权。

背景技术

设备上会存储很多信息，有的信息对于设备的生产商或者使用者非常重要。目前，通常采用密码本的方式对设备进行鉴权，以确保设备以及其上信息的安全。具体而言，密码本上保存着多个密码，在设备上预置一个或多个密码，当有开放该设备的使用权限的需求时，由指定人员(如：调试人员、运维人员、生产人员等)将密码本中的密码输入到设备中，和设备中预置的密码进行匹配，匹配成功时，视作该设备鉴权通过，该设备开放匹配成功的密码对应的使用权限，从而可以通过设备上已开放的使用权限访问对应的重要信息。

但是，由于密码本的存储、传输和匹配均采用的是明文，而且，人为管理密码本非常容易泄露密码本中的密码，可见，采用该密码本对设备进行鉴权，安全性较低。基于此，亟待提供一种安全等级更高的鉴权方式，确保设备在安全的情况下被开放使用权限，从而保障其上信息的安全。

发明内容

基于此，本申请实施例提供了一种鉴权方法和设备、以及对第一设备的使用权限进行鉴权的方法和设备，通过安全等级较高的证书颁发机构(英文：Certificate Authority，简称：CA)服务器等设备对证书进行数字签名并由待鉴权的设备对该具有签名的证书进行完整性验证的方式，实现对待鉴权的设备更为安全的鉴权。

第一方面，提供了一种鉴权方法，应用在包括第一设备和第二设备的场景中，以第一设备为执行主体，该鉴权方法例如可以包括：第一设备从第二设备获取采用第一私钥进行数字签名的第一证书，即可对该第一证书进行验证，获得第一验证结果，那么，第一设备就可以根据该第一验证结果，确定第一设备的使用权限。具体而言，当第一验证结果表示验证通过，则第一设备开放对应的使用权限，当第一验证结果表示验证未通过，则第一设备不开放对应的使用权限。这样，通过具有证书颁发功能和数字签名功能、安全等级较高的第二设备对第一证书进行数字签名，并由待鉴权的第一设备对该数字签名后的第一证书进行验证，实现对待鉴权的第一设备的鉴权，克服了目前通过密码本或者接口对应焊盘裸露的等方式保护第一设备安全时存在的安全隐患，通过高安全等级的第二设备颁发的证书以及数字签名技术，确保了对待鉴权的第一设备的保护更加安全和可靠。

其中，第一设备可以是待鉴权的任何设备，例如：可以指网络设备或单板，又例如：也可以指设备上的调试接口或业务接口。第二设备可以是指安全等级较高，且具有证书颁发功能和数字签名功能的鉴权服务器，例如：证书颁发机构(英文：Certificate Authority，简称：CA)服务器。当第一设备指调试接口，第二设备是CA服务器时，CA服务器颁发且通过数字签名后的证书下发到调试接口所在设备并验证通过后，该调试接口所在设备开放该调试接口的使用权限，供访问和使用该调试接口。

可选地，第一设备对第一证书进行验证，具体可以包括：第一设备根据本地存储的与第一私钥对应的第一公钥，对第一证书进行验证。具体包括对第一证书的完整性验证和合法性验证两部分，第一设备接收到的是第一证书以及第一证书的签名，第一设备可以通过第一公钥对所接收到的签名进行解密，获得第一摘要，第一设备也可以计算所接收的第一证书的哈希值，记作该第一证书的第二摘要，第一设备通过第一摘要和第二摘要的匹配验证，确定第一证书的第一验证结果，当第一摘要和第二摘要匹配，则，第一验证结果表征对第一证书的验证通过；当第一摘要和第二摘要不匹配，则，第一验证结果表征对第一证书的验证未通过。这样，通过第一设备本地存储的公钥对证书进行验证，指导第一设备对其使用权限的管理，实现对第一设备可靠和安全的鉴权。

可选地，该第一证书中可以包括证书类型，第一设备对第一证书进行验证，还可以包括：验证所述证书类型。其中，第一证书的扩展域中如果扩展了用于指示该第一证书的证书类型的字段，那么，第一设备可以读取该字段，当确定该字段指示该第一证书为鉴权证书，第一验证结果可以表征对第一证书的验证通过；否则，当确定该字段指示该第一证书不是鉴权证书，第一验证结果可以表征对第一证书的验证未通过。这样，第一设备还可以通过对所接收的第一证书的证书类型的验证，指导该第一设备对其使用权限的管理，实现对第一设备可靠和安全的鉴权。

可选地，该第一证书中还可以包括第一设备标识信息，那么，对第一证书进行验证还可以包括：基于本地存储的所述第一设备的第二设备标识信息，对所述第一证书携带的所述第一设备标识信息进行匹配验证，其中，所述第二设备标识信息用于唯一的标识所述第一设备。作为一个示例，该第一设备标识信息可以是第一设备标识(英文：Identification，简称：ID)，第一设备对第一证书进行验证，还可以包括：第一设备基于本地存储的第一设备的第二设备ID，对第一证书携带的第一设备ID进行匹配验证，其中，该第二设备ID用于唯一的标识该第一设备。作为另一个示例，为了更加安全，该第一设备标识信息也可以是第一设备ID的哈希值，那么，第一设备对第一证书进行验证，还可以包括：第一设备基于本地存储的第一设备的第二设备ID的哈希值，对第一证书携带的第一设备ID的哈希值进行匹配验证，其中，该第二设备ID用于唯一的标识该第一设备。其中，第一证书可以在其扩展域中扩展用于承载该第一设备ID或第一设备ID的哈希值的字段。需要说明的是，为了鉴权的安全进行，本申请实施例中设备ID为非公开的能够唯一标识设备的ID，例如：第二设备ID为第一设备出厂时定义的硬件唯一密钥(英文：Hardware Unique Key，简称：HUK)，又例如：第二设备ID为根据第一设备的晶片标识(英文：die Identification，简称：die ID)和唯一设备标识(英文：Unique Device Identification，简称：UDI)处理得到的。这样，通过第一设备本地存储的第二设备ID或第二设备ID的哈希值，对第一证书中携带的第一设备ID或第一设备ID的哈希值进行验证，指导第一设备对其使用权限的管理，实现对第一设备可靠和安全的鉴权。

可选的，该第一证书还可以包括第一证书标识ID，第一设备对第一证书进行验证，还可以包括：第一设备根据本地存储的第二证书ID，对该第一证书ID进行匹配验证。其中，第一证书可以在其扩展域中扩展用于承载该第一证书ID的字段。一种情况下，当第一设备还未使用该第一证书进行鉴权，那么，第一设备本地并未保存该第一证书的证书ID，该情况下，当第一设备确定本地未保存第一证书ID，即认为对该第一证书ID的匹配验证通过，可以采用第一证书进行鉴权。另一种情况下，当第一设备已使用过该第一证书进行鉴权，那么，第一设备本地保存有该第一证书的第二证书ID，该情况下，当第一设备确定本地保存第二证书ID和第一证书中的第一证书ID匹配，即认为对该第一证书ID的匹配验证通过，可以采用第一证书进行鉴权。再一种情况下，当第一设备已使用过该第一证书进行鉴权，那么，第一设备本地保存有该第一证书的第二证书ID，但是由于该第一证书使用次数超过上限或者使用时间超过上限，第二证书ID被标记为失效状态，该情况下，当第一设备确定本地保存第二证书ID和第一证书中的第一证书ID匹配，但第二证书ID的状态为失效，则认为对该第一证书ID的匹配验证未通过，不可以再使用第一证书对第一设备进行鉴权。这样，通过第一设备本地存储的第二证书ID，对第一证书中携带的第一证书ID进行验证，指导第一设备对其使用权限的管理，实现对第一设备可靠和安全的鉴权。

可选地，该第一证书还可以包括目标有效信息，该目标有效信息被设备1用于确定能否继续使用证书1进行鉴权。那么，第一设备对第一证书进行验证，还可以包括：第一设备根据实际使用信息，对目标有效信息进行验证，该实际使用信息用于表征第一设备上当前使用第一证书的情况。其中，目标有效信息为允许使用第一证书进行鉴权的最多次数(例如：5次)，则，实际使用信息为所述第一设备截止当前使用第一证书进行鉴权的实际使用次数；或者，目标有效信息为允许使用第一证书进行鉴权的最长时间(例如：20小时)，则，实际使用信息为从目标有效信息的计时起始时刻到当前时刻的实际使用时间。其中，第一证书可以在其扩展域中扩展用于承载该目标有效信息的字段。作为一个示例，当第一设备确定本地存储的实际使用信息达到该第一证书的目标有效信息时，第一设备可以将该第一证书吊销，如：将第一设备本地存储的第一证书对应的第二证书ID标记为失效。这样，通过第一设备本地存储的实际使用信息，对第一证书中携带的目标有效信息进行验证，指导第一设备对其使用权限的管理，实现对第一设备可靠和安全的鉴权。

可选的，第一证书还可以包括第二公钥，第一设备对第一证书进行验证，还可以包括：第一设备根据本地存储的第一公钥，对第二公钥进行验证。如果第一设备确定第一公钥和第二公钥不一致，则第一设备视作第二设备需要将已经不够安全的第一公钥和第一私钥进行更新，那么，本申请实施例还可以包括：第一设备将本地存储的第一公钥替换为第二公钥。这样，通过第一设备本地存储的第一公钥，对第一证书中携带的第二公钥进行验证，当公钥一致时指导第一设备对其使用权限的管理，实现对第一设备可靠和安全的鉴权；当公钥不一致时指导第一设备更新本地存储的公钥，完成第二设备对鉴权公私钥的更新，使得后续对第一设备的鉴权更加安全。

第二方面，本申请实施例还提供了一种对第一设备的使用权限进行鉴权的方法，由第二设备实施，例如可以包括：第二设备采用第一私钥对第一证书进行数字签名，其中，该第一私钥、第一证书均是第二设备为了对第一设备进行鉴权生成的；并且，第二设备向第一设备发送经过第一私钥进行数字签名的第一证书，以对第一设备的使用权限进行鉴权。这样，通过具有证书颁发功能和数字签名功能、安全等级较高的第二设备对第一证书进行数字签名，并将经过数字签名的第一证书发送给待鉴权的第一设备，从而由该第一设备对该数字签名后的第一证书进行验证，实现对待鉴权的第一设备的鉴权，克服了目前通过密码本或者接口对应焊盘裸露的等方式保护第一设备安全时存在的安全隐患，通过高安全等级的第二设备颁发的证书以及数字签名技术，确保了对待鉴权的第一设备的保护更加安全和可靠。

其中，第一设备可以是待鉴权的任何设备，例如：调试接口，第二设备可以是鉴权服务器。

可选地，本申请实施例中，第一证书中还可以包括第一设备标识信息，该第一设备标识信息被所述第一设备用于身份验证。例如：第一设备标识信息可以是第一设备ID或第一设备ID的哈希值。那么，本申请实施例还可以包括：第二设备接收证书请求消息，该证书请求消息中包括第一设备标识ID；第二设备根据本地存储的第二设备ID，对第一设备ID进行匹配验证。或者，第二设备接收证书请求消息，该证书请求消息中包括第一设备标识ID的哈希值；第二设备根据本地存储的第二设备ID的哈希值，对所述第一设备ID的哈希值进行匹配验证。匹配验证通过后，第二设备还可以将第一设备ID或第一设备ID的哈希值携带在第一证书中，发送给第一设备。本申请实施例中设备ID为非公开的能够唯一标识设备的ID，例如：第一设备ID为第一设备出厂时定义的硬件唯一密钥HUK，又例如：第一设备ID为根据第一设备的晶片标识die ID和唯一设备标识UDI处理得到的。这样，第二设备通过本地存储的第二设备ID或第二设备ID的哈希值，对证书请求消息中携带的第一设备ID或第一设备ID的哈希值进行验证，指导第二设备是否颁发第一证书给第一设备，从而使得对第一设备的鉴权更加可靠和安全。

其中，本申请实施例中，第一证书中还可以包括目标有效信息，该目标有效信息被所述第一设备用于确定能否继续使用所述第一证书进行鉴权。例如：该目标有效信息具体可以为允许使用所述第一证书进行鉴权的最多次数，或者，该目标有效信息也可以为允许使用所述第一证书进行鉴权的最长时间。那么，本申请实施例还可以包括：第二设备接收证书请求消息，该证书请求消息中还可以包括目标有效信息。

可选的，该第一证书中还可以携带证书类型、第一设备标识信息和第一证书ID中的至少一个。第一证书中具体携带的内容以及对应的第一设备对第一证书的验证方式，可以参见第一方面的相关说明。

第二方面提供的方法的各种可能的实现方式以及达到的技术效果，可以参照前述第一方面提供的方法的介绍，此处不再赘述。

第三方面，本申请还提供了第一设备，包括收发单元和处理单元。其中，收发单元用于执行上述第一方面提供的方法中的收发操作；处理单元用于执行上述第一方面中除了收发操作以外的其他操作。例如：当所述第一设备执行所述第一方面所述的方法时，所述收发单元用于获取采用第一私钥进行数字签名的第一证书；所述处理单元用于对第一证书进行验证，获得第一验证结果；所述处理单元还用于根据第一验证结果，确定第一设备的使用权限。

第四方面，本申请实施例还提供了第二设备，该第二设备包括收发单元和处理单元。其中，收发单元用于执行上述第二方面提供的方法中的收发操作；处理单元用于执行上述第二方面中除了收发操作以外的其他操作。例如：当所述第二设备执行所述第二方面所述的方法时，所述收发单元用于向第一设备发送经过第一私钥进行数字签名的第一证书；所述处理单元用于采用第一私钥对第一证书进行数字签名。

第五方面，本申请实施例还提供了一种第一设备，包括通信接口和处理器。其中，通信接口用于执行前述第一方面提供的方法中的收发操作；处理器，用于执行前述第一方面提供的方法中除所述收发操作以外的其他操作。

第六方面，本申请实施例还提供了一种第二设备，包括通信接口和处理器。其中，通信接口用于执行前述第二方面提供的方法中的收发操作；处理器，用于执行前述第二方面提供的方法中除所述收发操作以外的其他操作。

第七方面，本申请实施例还提供了一种第一设备，该第一设备包括存储器和处理器。其中，存储器用于存储程序代码；处理器用于运行所述程序代码中的指令，使得该第一设备执行以上第一方面提供的方法。

第八方面，本申请实施例还提供了一种第二设备，该第二设备包括存储器和处理器。其中，存储器用于存储程序代码；处理器用于运行所述程序代码中的指令，使得该第一设备执行以上第二方面提供的方法。

第九方面，本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得所述计算机执行以上第一方面或第二方面提供的所述的鉴权方法。

第十方面，本申请实施例还提供了计算机程序产品，当其在计算机上运行时，使得计算机执行前述第一方面或第二方面提供的所述的鉴权方法。

第十一方面，本申请实施例还提供了一种通信系统，该通信系统包括第三方面、第五方面或第七方面提供的所述的第一设备以及第四方面、第六方面或第八方面提供的第二设备。

附图说明

图1为本申请实施例中一应用场景所涉及的网络系统框架示意图；

图2为本申请实施例中在图1场景下对设备12鉴权的流程示意图；

图3为本申请实施例中一种鉴权方法100的流程示意图；

图4a为本申请实施例中一种证书的示意图；

图4b为本申请实施例中对图4a中证书进行数字签名后的证书的示意图；

图5为本申请实施例中在图1场景下一种鉴权方法200的流程示意图；

图6为本申请实施例中一种鉴权方法300的流程示意图；

图7为本申请实施例中一种对第一设备的使用权限进行鉴权的方法400的流程示意图；

图8为本申请实施例中一种第一设备800的结构示意图；

图9为本申请实施例中一种第二设备900的结构示意图；

图10为本申请实施例中一种第一设备1000的结构示意图；

图11为本申请实施例中一种第二设备1100的结构示意图；

图12为本申请实施例中一种第一设备1200的结构示意图；

图13为本申请实施例中一种第二设备1300的结构示意图；

图14为本申请实施例中一种通信系统1400的结构示意图。

具体实施方式

设备上一般会存储一些重要信息(例如：设备的硬盘数据)，这些重要信息对设备安全十分关键，需要采取一定的保护措施确保这些重要信息的安全。

目前，通常采用密码本的方式对设备进行鉴权，在设备上预置一个或多个密码，密码本上保存着多个密码，当需要开放该设备的使用权限时，由调试人员、运维人员、生产人员等指定人员将密码本中的密码输入到设备中，设备将该输入的密码和其中预置的密码进行匹配，匹配成功时，视作该设备的鉴权通过，该设备开放上匹配成功的密码对应的使用权限，从而可以通过开放的使用权限访问对应的重要信息。虽然密码本由少数的指定人员掌握，一定程度上可以保证设备上存储的重要信息的安全，但是，由于密码本的存储、传输和匹配均采用的是明文，而且，具有密码本权限的指定人员较杂，人为管理密码本非常容易泄露密码本中的密码，该采用该密码本对设备进行鉴权的方式，安全性较低。

此外，由于访问设备上的重要信息，通常通过设备上的关键接口(如：调试接口或业务接口)实现，那么，很多设备厂商在设备出厂时，将这些关键接口的连接器去掉(即，关键接口对应的焊盘裸露)，以确保设备上重要信息的安全。但是，攻击者可以通过观察以及万用表等仪器识别出这些关键接口对应的焊盘，并通过跳线将该关键接口接入分析仪，从而直接获取这些重要信息，十分不安全。例如：微软笔记本的硬件数据通常采用两级密钥进行加密保护，即，通过全卷加密密钥(英文：Full Volume Encryption Key，简称：FVEK)加密，通过卷主密钥(英文：Volume Master Key，简称：VMK)(也称为原始密钥)加密FVEK；该VMK保存在可信平台模块(英文：Trusted Platform Module，简称：TPM)中。微软在生产该笔记本电脑时，增加TPM的LPC(英文：Low Pin Count)接口以测试该笔记本电脑的性能，但是在发货时，将该接口从连接器对应的焊盘裸露，那么，攻击者很容易就可以识别出了该裸露的TPM的LPC接口，并通过跳线将该接口接入逻辑分析仪，直接获取到VMK，从而破解出由VMK加密的FVEK，进而破解出由FVEK加密的硬盘数据，严重危及该笔记本电脑的安全。

可见，无论通过密码本的保护方式还是上述在出厂时去掉设备的关键接口的连接器的方式，均不能很好的确保设备的安全以及设备上重要信息的安全。

基于此，本申请实施例提供一种鉴权方法，在用户需要访问第一设备时，第一设备需要进行鉴权，鉴权通过后才可以开放第一设备上对应的使用权限，供用户在开放的使用权限范围内安全的访问该第一设备。鉴权的过程具体可以包括：由证书颁发机构(英文：Certificate Authority，简称：CA)服务器等具有证书颁发功能的第二设备，为待鉴权的第一设备生成第一证书，并基于第一私钥对该第一证书进行数字签名，那么，该第一设备获取到该数字签名后的第一证书时，即可对该数字签名后的证书进行验证，获得第一验证结果，并基于该第一验证结果对该第一设备的使用权限进行鉴权。当第一验证结果表示验证通过，则第一设备开放对应的使用权限，当第一验证结果表示验证未通过，则第一设备不开放对应的使用权限。这样，通过具有证书颁发功能和数字签名功能、安全等级较高的第二设备对第一证书进行数字签名，并由待鉴权的第一设备对该数字签名后的第一证书进行验证，实现对待鉴权的第一设备的鉴权，克服了目前通过密码本或者接口对应焊盘裸露的等方式保护第一设备安全时存在的安全隐患，通过高安全等级的第二设备颁发的证书以及数字签名技术，确保了对待鉴权的第一设备的保护更加安全和可靠。

其中，数字签名技术可以视作数字摘要技术和公私钥技术的结合，既可以通过数字摘要技术验证证书是否被篡改，也可以通过公私钥技术验证数字摘要是否合法，是一种能够为证书提供快速和全面的完整性保护和校验的技术。数字签名通常包括一对密钥，一个密钥用于对证书、消息等的数字摘要进行签名，另一个密钥用于对该证书、消息等的签名进行校验。作为一个示例，假设对于证书X的数字签名过程可以包括下述两个过程：第一个过程，对证书X的数字摘要进行签名，即，在证书X从CA服务器下至设备Y之前，CA服务器可以首先经过哈希算法计算得到X的数字摘要digest X1，再利用私钥a对该digest X1进行数字签名得到digestEncode X1；在将证书X下至设备Y上时，发送给设备Y的包括X和digestEncode X1；第二个过程，对证书X进行验证，具体包括：设备Y先用公钥A对digestEncode X1进行验证，得到digestDecode X3，再采用与数字签名时相同的哈希算法计算X的数字摘要，生成数字摘要digest X2，如果digestDecode X3＝digest X2，则可以确定该证书X是完整的(即，证书X未被篡改)且是合法的(即，证书X为合法制造商发布的)，从而确保该次访问该设备Y是安全和可靠的。其中，私钥a和公钥A是设备Y的制造商对应的CA服务器提供的一对密钥，公钥A是公开可见的，而私钥a则是保密的，只有CA服务器可见。可见，由于CA服务器安全等级较高，所以本申请实施例中采用CA服务器颁发的证书并对证书采用数字签名技术进行数字签名，对待鉴权设备而言是高安全等级的安全保护措施。

举例来说，本申请实施例的场景之一，可以是应用到如图1所示的网络中。参见图1，该网络中包括：CA服务器11、设备12和用户13。其中，CA服务器11可以是设备12的制造商对应的安全、权威、足以信赖的服务器，该CA服务器11可以产生、分配并管理该制造商的各设备对应的证书，同时，该CA服务器11也可以用作该制造商的各设备的签名系统，对即将下至各设备的证书进行数字签名。设备12可以是任何需要进行鉴权的设备，例如：设备12可以是路由器、交换机等网络设备，也可以是手机、笔记本电脑等终端设备，还可以是U盘等移动存储设备，也可以是调试接口、业务接口或者单板。用户13具体可以是设备12的管理人员，或者，用户13也可以是设备12在安全产线的自动化工具，用于自动执行上述用户13所能实施的所有操作。

具体实现时，CA服务器11预先生成设备12的公私钥对：私钥a和公钥A，设备12获得该公钥A并将其保存在本地的安全存储区域。当需要访问设备12时，对设备12的鉴权过程参见图2，可以包括：S11，用户13在CA服务器11上提交设备12对应的证书请求消息；S12，CA服务器11响应该证书请求消息，生成证书X，并基于私钥a对证书X进行数字签名，获得证书X的签名1；S13，用户13获得证书X和签名1；S14，用户13将证书X和签名1配置到设备12上；S15，设备12利用公钥A对证书X进行验证，验证通过表示设备12的该次鉴权通过，反之，验证未通过表示设备12的该次鉴权失败。这样，实现了对待鉴权设备12更加安全的保护。

需要说明的是，上述图2所示的实现方式中，CA服务器11为离线服务器，那么，S13具体可以是用户13通过安全的生产环境设备拷贝CA服务器11上的证书X’，S14具体可以是用户13通过该存储有证书X’的该安全的生产环境设备将该证书X’配置到设备12上；或者，S13和S14也可以不通过用户13执行，而是由安全的产线自动化工具自动执行的。在另一些可能的实现方式中，CA服务器11也可以是在线服务器，无需用户13通过另外的安全生产环境设备去中转该证书X’，CA服务器11和设备12是可以通信的，CA服务器11可以直接将证书X’发送给设备12上。

需要说明的是，本申请实施例中设备本地的安全存储区域，是指设备本地的存储区域中，不能被轻易访问和篡改的存储区域。例如：安全存储区域可以是设备的一次性可编程存储器(英文：One-Time Programmable，简称：OTP)，又例如：安全存储区域也可以是设备的电熔丝(英文：electrical FUSE，简称：eFUSE)，由于OTP或eFUSE等安全存储区域上存储的内容不可更改，所以，设备本地的安全存储区域可以可靠和安全的保存公钥1和公钥2。

可以理解的是，上述场景仅是本申请实施例提供的一个场景示例，本申请实施例并不限于此场景。

下面结合附图，通过实施例来详细说明本申请实施例中鉴权方法的具体实现方式。

图3为本申请实施例中的一种鉴权方法100的流程示意图。参见图3，该方法100应用于包括设备1和设备2的网络中，其中，设备1预先保存有设备2生成的公钥1，在需要对设备1进行访问时，可以先执行该方法100对设备1进行鉴权。例如：该方法100可以应用在图1所示的网络中，设备1可以是设备12，设备2可以是CA服务器12。该方法100例如可以包括下述S101～S106：

S101，设备2生成证书1、私钥1和公钥1，其中，公钥1和私钥1对应。

其中，设备2是指具有生成证书功能和对证书进行数字签名功能的设备，例如：该设备2可以是设备1的制造商对应的CA服务器。对于待鉴权设备1以及整个网络来说，该设备2是安全可信的设备。

在一些具体的实现方式中，当对设备1有访问需求，需要对设备1进行鉴权时，在S101之前，设备2可以接收到证书请求消息，该证书请求消息用于向设备2申请设备1对应的证书1，设备2响应于该证书请求消息，执行S101。作为一个示例，设备2接收的证书请求消息，可以是用户或者安全的产线自动化工具向设备2发起的，即，用于在设备2上触发该证书请求消息；作为另一个示例，若设备2为在线设备，即，设备2可以和设备1进行通信，那么，该证书请求消息也可以是设备1发送给设备2的。

设备2接收到的证书请求消息中，可以携带设备1的设备标识信息1，该设备标识信息1可以用于唯一标识设备1。

作为一个示例，该设备标识信息1可以是设备标识(英文：Identification，简称：ID)1。若设备2在本地存储有权发放证书进行鉴权的所有待鉴权设备的设备ID组成的设备ID列表，那么，当设备2接收的证书请求消息中携带设备ID1时，设备2可以根据本地存储的设备ID列表，对设备ID1进行匹配验证，当确定设备ID1属于该设备ID列表，表征设备ID1和该设备ID列表中的某具体设备ID匹配，则，设备2执行S101，为设备1生成证书1；反之，当确定设备ID1不属于该设备ID列表，表征设备ID1和该设备ID列表中的所有设备ID均不匹配，则，说明设备2不负责为设备1的鉴权生成对应的证书，那么，该设备2不执行S101，终止本次借助设备2对设备1的鉴权。

作为另一个示例，该设备标识信息1也可以是设备ID1的哈希值。若设备2在本地存储设备2有权发放证书进行鉴权的所有待鉴权设备的设备ID的哈希值组成的设备ID的哈希值列表，那么，当设备2接收的证书请求消息中携带设备ID1的哈希值时，设备2可以根据本地存储的设备ID的哈希值列表，对设备ID1的哈希值进行匹配验证，当确定设备ID1的哈希值属于该设备ID的哈希值列表，表征设备ID1的哈希值和该设备ID的哈希值列表中的某具体设备ID的哈希值匹配，则，设备2执行S101，为设备1生成证书1；反之，当确定设备ID1的哈希值不属于该设备ID的哈希值列表，表征设备ID1的哈希值和该设备ID的哈希值列表中的所有设备ID的哈希值均不匹配，则，说明设备2不负责为设备1的鉴权生成对应的证书，那么，该设备2不执行S101，终止本次借助设备2对设备1的鉴权。

其中，该设备ID1可以是能够唯一标识该设备1的标识，为了更加安全，该设备ID1可以是设备1对外非公开的标识。例如：该设备ID1可以是设备1出厂时定义的硬件唯一密钥(英文：Hardware Unique Key，简称：HUK)；又例如：该设备ID1也可以是根据设备1的唯一设备标识(英文：Unique Device Identification，简称：UDI)和该设备1中的晶片标识(英文：die Identification，简称：die ID)获得的标识。

此外，根据鉴权的需要，该设备2接收到的证书请求消息中，也可以携带目标有效信息，该目标有效信息被设备1用于确定能否继续使用证书1进行鉴权。该目标有效信息具体可以是允许使用证书1进行鉴权的最多次数(例如：5次)，或者，是允许使用证书1进行鉴权的最长时间(例如：1天)，以便设备2参考该目标有效信息确定所要生成的该证书1的有效使用次数或时长。

具体实现时，设备2响应于所接收的证书请求消息，为设备1生成其对应的证书1，而且，为了通过数字签名的方式实现对设备1的鉴权，还生成私钥1和对应的公钥1。作为一个示例，如图4a所示，该证书1可以包括：版本号、序列号、签名算法标识符、颁发者信息、有效期、使用者信息、公钥信息和扩展域，其中，版本号即该证书1的版本号；序列号为设备2为证书1分配的编号，可以唯一标识该证书1；签名算法标识符，是指保护该证书1安全的算法及相关参数，例如：签名算法标识符可以包括：信息摘要算法(英文：Message-Digest Algorithm，简称：MD5)、RSA加密算法以及相关参数，又例如：当不进行安全保护时，该签名算法标识符可以为空；颁发者信息是指设备2的相关信息，具体可以包括设备2所属的国家、州、省、组织单位、组织单位部门、姓名、电子邮件；有效期可以包括起始时间和结束时间；使用者信息是指证书1对应的设备1所属用户的相关信息，具体可以包括设备1所属的国家、州、省、组织单位、组织单位部门、姓名、电子邮件；公钥信息是指对证书1进行安全保护的公钥1的相关信息，例如可以包括：公钥1、使用的公钥加密算法以及相应的参数；扩展域，可以包括一个或多个待扩展的数据项，该扩展域中可以扩展下述信息中的至少一个：证书类型、设备ID1、设备ID1的哈希值和证书ID1中的至少一个，例如：可以在该证书1的扩展域中扩展区域1，该区域1中的字段的值用于指示证书1的证书类型，又例如：也可以在该证书1的扩展域中扩展区域2，用于存储设备ID1或设备ID1的哈希值，再例如：也可以在该证书1的扩展域中扩展区域3，用于存储目标有效信息，又例如：还可以在证书1的扩展域中扩展区域4，用于存储能够唯一标识该证书1的证书ID1。

可见，通过S101，设备2为待鉴权的设备1生成证书1、公钥1和私钥1，为后续对证书1进行数字签名以及对设备1的鉴权提供了可靠的数据基础。

S102，设备2采用私钥1对证书1进行数字签名，获得证书1的签名1。

具体实现时，设备2对证书1进行数字签名的过程，具体可以包括：S21，设备2采用哈希算法1对证书1进行哈希计算，将哈希计算所得的哈希值记作证书1的数字摘要1；S22，设备2采用私钥1对数字摘要1进行加密，将加密后所得的值记作该证书1的签名1。

S103，设备2向设备1发送证书1和签名1。

S104，设备1获取采用私钥1进行数字签名的证书1。

作为一个示例，若设备2相对设备1是在线的，设备2和设备1之间已经建立了通信连接，那么，设备2可以基于该已经建立的通信连接将证书1和签名1发送给设备1。

作为另一个示例，在一些安全性要求更高的场景中，设备2相对设备1是离线的，即，设备2和设备1之间没有通信连接，那么，设备2向设备1发送证书1和签名1，也可以是：用户或安全的产线自动化工具先从设备2上拷贝该证书1和签名1，再将该证书1和签名1配置到设备1上。

例如：假设图4a所示的证书为S101～S103中的证书1，那么，参见图4b，S103中的证书1和签名1可以通过上述方式组合发送给设备1。需要说明的是，该图4b示出的证书1和签名1也可以视作S104中的“采用私钥1进行数字签名的证书1”。

需要说明的是，S104中“采用私钥1进行数字签名的证书1”，和S103中“证书1和私钥1”均表示相同的内容，例如：均表示图4b所示的内容。

可见，设备1获取到该采用私钥1进行数字签名的证书1，使得后续对该设备1进行鉴权成为了可能。

S105，设备1对证书1进行验证，获得验证结果1。

在S105之前，设备1本地预先存储有公钥1，若设备2相对设备1是在线的，那么，设备2可以直接将公钥1发送给设备1，设备1将所接收的公钥1存储在本地的安全存储空间。或者，若设备2相对设备1是离线的，那么，用户先从设备2上获得公钥1，再将该公钥1配置到设备1本地的安全存储空间。

具体实现时，设备1在获得证书1和签名1后，S105具体可以包括：设备1根据本地存储的公钥1对证书1进行验证。具体而言，设备1根据本地存储的公钥1对证书1进行验证的过程，具体可以包括：S31，设备1采用公钥1对签名1进行解密，将解密后所得的值记作数字摘要2；S32，设备1采用哈希算法1对证书1进行哈希计算，将哈希计算所得的哈希值记作证书1的数字摘要3；S33，设备1比较数字摘要2和数字摘要3，获得比较结果。作为一个示例，当设备1仅通过公钥1对证书1进行验证，则，上述比较结果即为验证结果1，若比较结果表示数字摘要2和数字摘要3相同，则，确定该证书1是合法且完整的，那么，验证结果1表征设备1对证书1的验证通过；否则，若比较结果表示数字摘要2和数字摘要3不相同，则，确定该证书1不合法和/或不完整，那么，验证结果1表征设备1对证书1的验证未通过。

在一些可能的实现方式中，证书1中可以包括证书类型，具体可以是在证书1的扩展域中，扩展用于存储证书类型的字段，该字段的值用于指示证书1的证书类型。那么，S105还可以包括：验证证书1中的证书类型。具体实现时，判断该证书类型是否为鉴权证书，获得判断结果，若判断结果1表示证书1的证书类型为鉴权证书，则可以确定该证书1能够用于对设备1的鉴权，否则，若判断结果表示证书1的证书类型不是鉴权证书，则可以确定该证书1不能用于对设备1的鉴权。作为一个示例，S105具体可以包括：S41，根据上述S31～S33获得比较结果；S42，判断该证书类型是否为鉴权证书，获得判断结果；S43，根据比较结果和判断结果，确定验证结果1，其中，若比较结果表示数字摘要2和数字摘要3相同，且判断结果表示证书1的证书类型为鉴权证书，则验证结果1表征设备1对证书1的验证通过；否则，该验证结果1表征设备1对证书1的验证未通过。

在另一些可能的实现方式中，证书1中还可以包括证书1所适用的设备1的设备标识信息1，以设备标识信息1为设备ID1或设备ID1的哈希值为例，具体可以是在证书1的扩展域中，扩展用于存储设备ID1或设备ID1的哈希值的字段。作为一个示例，若证书1中包括的是设备ID1，那么，S105还可以包括：基于本地存储的设备1的设备ID2，对证书1携带的设备ID1进行匹配验证，获得匹配结果1，其中，该设备ID2用于唯一的标识该设备1。若匹配结果1表示设备ID1和设备ID2相同，则可以确定该证书1为了对该设备1进行鉴权而颁发的，否则，可以确定该证书1为了对该设备1进行鉴权而颁发的。作为另一个示例，若证书1中包括的是设备ID1的哈希值，那么，S105还可以包括：基于本地存储的设备1的设备ID2的哈希值，对证书1携带的设备ID1的哈希值进行匹配验证，获得匹配结果2。若匹配结果2表示设备ID1的哈希值和设备ID2的哈希值相同，则可以确定该证书1为了对该设备1进行鉴权而颁发的，否则，可以确定该证书1为了对该设备1进行鉴权而颁发的。作为再一个示例，若证书1中包括的是设备ID1和该设备ID1的哈希值，那么，S105还可以包括：基于本地存储的设备1的设备ID2，对证书1携带的设备ID1进行匹配验证，获得匹配结果3；基于本地存储的设备1的设备ID2的哈希值，对证书1携带的设备ID1的哈希值进行匹配验证，获得匹配结果4。若匹配结果3表示设备ID1和设备ID2相同，且匹配结果4表示设备ID1的哈希值和设备ID2的哈希值相同，则可以确定该证书1为了对该设备1进行鉴权而颁发的，否则，可以确定该证书1为了对该设备1进行鉴权而颁发的。其中，设备ID2为设备1出厂时定义的硬件唯一密钥HUK，或者，设备ID2为根据设备1的晶片标识die ID和唯一设备标识UDI处理得到的。

该实现方式下，一种情况下，若证书1中只扩展了设备ID1(设备ID1的哈希值)，那么，S105具体可以包括：S51，根据上述S31～S33获得比较结果；S52，设备1基于本地存储的设备ID2(或设备ID2的哈希值)，对证书1携带的设备ID1(或设备ID1的哈希值)进行匹配验证，获得匹配结果；S53，根据比较结果和匹配结果，确定验证结果1，其中，若比较结果表示数字摘要2和数字摘要3相同，且匹配结果表征设备ID1和设备ID2相同(或设备ID1的哈希值和设备ID2的哈希值相同)，则验证结果1表征设备1对证书1的验证通过；否则，该验证结果1表征设备1对证书1的验证未通过。另一种情况下，若证书1扩展了设备ID1(设备ID1的哈希值)和证书类型，那么，S105具体可以包括：S51，根据上述S31～S33获得比较结果；S52，设备1基于本地存储的设备ID2(或设备ID2的哈希值)，对证书1携带的设备ID1(或设备ID1的哈希值)进行匹配验证，获得匹配结果；S53，判断该证书类型是否为鉴权证书，获得判断结果；S54，根据比较结果、匹配结果和判断结果，确定验证结果1，其中，若比较结果表示数字摘要2和数字摘要3相同，匹配结果表征设备ID1和设备ID2相同(或设备ID1的哈希值和设备ID2的哈希值相同)，且判断结果表征证书1为鉴权证书，则验证结果1表征设备1对证书1的验证通过；否则，该验证结果1表征设备1对证书1的验证未通过。

在又一些可能的实现方式中，证书1中还可以包括证书1的证书ID1，具体可以是在证书1的扩展域中，扩展用于存储证书ID1的字段。那么，S105还可以包括：根据本地存储的证书ID2，对证书ID1进行匹配验证。

作为一个示例，若证书1为一次性证书，即，该证书1只能完成对设备1的一次鉴权，为了确保每个下到设备1上的证书只能有效使用1次，那么，该设备1上可以保存其使用过的所有证书1的证书ID。那么，设备1在接收到证书1后，可以判断该证书1对应的证书ID1和本地存储的证书ID2是否匹配，若匹配，则表示该证书1已经在设备1上使用过，即，该证书1已经失效，不能再使用该证书1对设备1进行鉴权；反之，若不匹配，则表示该证书1是第一次被下到设备1上，可以使用该证书1对设备1进行鉴权。

作为另一个示例，若证书1不是一次性的证书，那么，可以结合证书1中扩展的目标有效信息判断该证书1是否可以继续对设备1进行鉴权，具体实现可以参见下述有关目标有效信息的相关说明。

在再一些可能的实现方式中，证书1中还可以包括目标有效信息，该目标有效信息为允许使用证书1进行鉴权的最多次数，或者，允许使用所述第一证书进行鉴权的最长时间。具体可以是在证书1的扩展域中，扩展用于存储目标有效信息的字段，该字段的值用于指示证书1的目标有效信息。那么，S105还可以包括：根据实际使用信息，对目标有效信息进行验证。其中，实际使用信息用于表征设备1上当前使用证书1的情况，当目标有效信息为允许使用证书1进行鉴权的最多次数，则，实际使用信息为设备1截止当前使用证书1进行鉴权的实际使用次数；或者，当目标有效信息为允许使用证书1进行鉴权的最长时间，则，实际使用信息为从目标有效信息的计时起始时刻到当前时刻的实际使用时间。

作为一个示例，假设证书1上包括证书ID1和目标有效信息，当设备1首次获取到该证书1时，该设备1查看设备1上还未保存该证书1对应的证书ID1，设备1存储该证书ID1至设备1的本地，并触发开始记录实际有效信息，即，记录证书ID1对应证书1的使用次数为1或触发开始记录实际使用时间。当设备1非首次获得并使用该证书1时，该S105可以包括：S61，设备1查看本地存储的证书ID1和证书1中携带的证书ID1是否一致，若一致，执行S62，否则，执行S64；S62，判断该证书ID1对应的证书1的实际使用次数是否达到目标有效信息(即，最大允许次数)，或者，判断该证书ID1对应的证书1的实际使用时长是否达到目标有效信息(即，最长允许时间)，若未达到，则执行S63，否则，执行S64；S63，确定该证书1仍然有效，能够继续使用该证书1对设备1进行鉴权，并且，若目标有效信息为次数，则更新该实际使用次数(即，将实际使用次数加一)；S64，确定该证书1无效，不基于该证书1对设备1进行鉴权。对于满足S63执行的条件后，若证书1中还包括设备ID1、设备ID1的哈希值和证书类型中的至少一个时，还可以通过对应的验证获得验证结果1，例如：判断设备1本地存储的设备ID2和设备ID1是否一致，又例如：判断设备1本地存储的设备ID2的哈希值和设备ID1的哈希值是否一致，再例如：验证该证书1的证书类型是否为鉴权证书。

可以理解的是，证书随着使用其安全性会下降。那么，设置证书的目标有效信息，可以限定证书的有效使用时间或次数，确保在证书使用至不足够安全的情况下，能够将该证书吊销，以避免该证书使用次数太多或使用时间太长，安全性下降后仍然能够对设备进行鉴权，导致鉴权效果下降，保护设备1安全的效果大打折扣。

在又一些可能的实现方式中，证书1中还包括公钥2，那么，S105具体还可以包括：根据本地存储的公钥1，对证书1中的公钥2进行验证。一种情况下，该公钥2即对证书1进行数字签名的公钥1，那么，设备1可以确定公钥2和本地存储的公钥1一致，则，可以基于该证书1对设备1进行鉴权。另一种情况下，当发现公钥1和私钥1不再安全时，为了能够继续确保该鉴权方式的安全性，设备2还可以生成新的私钥2和与该私钥2对应的公钥2，并将该公钥2携带在证书1中，发送给设备1，此时，设备1通过对比确定本地存储的公钥1和证书1中携带的公钥2不一致，为了不影响后续对设备1的鉴权，将本地存储的公钥1替换为公钥2。需要说明的是，后续，该证书1可以使用私钥2进行数字签名，获得签名2，并将签名2和证书1发送给设备1，而设备1即可利用本地存储的公钥2对证书1进行验证，获取验证结果1。

S106，设备1根据验证结果1，确定设备1的使用权限。

可以理解的是，通过S105可以获得验证结果1，一种情况下，该验证结果1可以表征该设备1对证书1的验证通过，那么，设备1可以基于该验证结果1开放设备1的使用权限。另一种情况下，该验证结果1可以表征设备1该对证书1的验证未通过，那么，设备1可以基于该验证结果1确定不开放设备1的使用权限。

设备1可以是网络设备或单板，以设备1为网络设备为例，作为一个示例，当验证结果1表征该网络设备对证书1的验证通过时，网络设备开放其上所有接口的使用权限；或者，当验证结果1表征网络设备对证书1的验证未通过时，网络设备不开放其上任何的一个接口的使用权限。作为另一个示例，该证书1还可以其扩展域携带鉴权范围，例如：鉴权接口ID，那么，当验证结果1表征该网络设备对证书1的验证通过时，网络设备可以根据该鉴权范围开放对应的使用权限，例如：开放鉴权接口ID对应的鉴权接口的使用权限；或者，当验证结果1表征网络设备对证书1的验证未通过时，网络设备不开放其上任何的一个接口的使用权限。

设备1也可以指某个设备上的调试接口或业务接口时，当验证结果1表征该调试接口或业务接口对证书1的验证通过，那么，该设备可以开放其上对应的调试接口或业务接口的使用权限。当验证结果1表征调试接口或业务接口对证书1的验证未通过，那么，该设备可以不开放该调试接口或业务接口的使用权限。

可见，通过本申请实施例提供的方法，通过具有证书颁发功能和数字签名功能、安全等级较高的设备2对证书1进行数字签名，并由待鉴权的设备1对该数字签名后的证书1进行验证，实现对待鉴权的设备1的鉴权，克服了目前通过密码本或者接口对应焊盘裸露的等方式保护设备1安全时存在的安全隐患，通过高安全等级的设备1颁发的证书1以及数字签名技术，确保了对待鉴权的设备1的保护更加安全和可靠。

为了更加清楚和详细的介绍本申请实施例，下面在图1所示的场景，以图4a和图4b所示的证书为证书1，CA服务器11和设备12不能直接通信为例，结合图5对本申请实施例中的鉴权过程进行具体说明。

其中，设备12为交换机12，该交换机12上保存有公钥3、该交换机的HUK 12。CA服务器11上保存有其负责发放证书进行鉴权的所有待鉴权设备的设备ID的哈希值组成的设备ID哈希值的列表。

参见图5，本实施例中方法200的鉴权过程例如可以包括：

S201，用户13在CA服务器上提交证书请求消息，该证书请求消息中携带HUK 12的哈希值、最大鉴权次数和鉴权范围。

其中，该鉴权范围用于指示该交换机12上的调试接口1和调试接口2。

其中，本实施例中，用户13也可以是安全的产线自动化设备，自动执行用户13所执行的所有操作。

S202，CA服务器11判断HUK 12的哈希值是否在本地存储的设备ID的哈希值的列表中，若不在，则执行S203，否则，执行下述S204～S215。

S203，CA服务器11向用户13显示提示信息，该提示信息用于告知用户13该CA服务器11不负责对交换机12的鉴权。

S204，CA服务器11生成证书12，并使用私钥3对证书12进行数字签名，获得签名12。

其中，证书12参见图4a所示，证书12和其对应的签名12参见图4b所示。其中，证书12中的公钥信息包括公钥3’，扩展域中包括：HUK 12的哈希值、证书ID12、最大鉴权次数——5次、鉴权接口1的接口ID1和鉴权接口2的接口ID2。

S205，用户13通过存储设备从CA服务器11上获得该证书12和签名12。

S206，用户13通过该存储设备将该证书12和签名12配置到交换机12上。

S207，交换机12验证本地保存的公钥3对签名12进行验证，若验证通过，则执行S208，否则，执行S216。

S208，交换机12验证证书12中的证书类型是否为鉴权证书，若是，则执行S209，否则，执行S216。

S209，交换机12验证本地保存的公钥3和证书12中保存的公钥3’是否一致，若一致，则执行S210，否则，执行S216。

S210，交换机12验证证书12中的版本号、序列号、签名算法标识符、颁发者信息、有效期、使用者信息等是否有效，若有效，则执行S211，否则，执行S216。

S211，交换机12判断该交换机12本地是否存储有证书ID12，若否，则执行S212，若是，则执行S213。

S212，交换机12在本地记录证书ID12，并将实际使用次数记为0。

S213，交换机12判断该交换机12本地存储的HUK 12的哈希值和证书12中携带的HUK 12的哈希值是否一致，若一致，则执行S214，否则，执行S216。

S214，交换机12判断实际使用次数是否达到5次，若否，则执行S215，否则，执行S216。

S215，交换机12开放调试接口1和调试接口2，并将实际使用次数加1。

S216，交换机12确定中止鉴权流程，并向CA服务器11上报鉴权错误。

需要说明的是，上述交换机12的鉴权过程中，验证和判断的顺序可以进行调整，在本申请实施例中不作具体限定。

如此，本实施例中，通过CA服务器11这一安全等级较高的设备，基于其颁发的证书12以及对证书12进行数字签名后获得的签名12，实现了交换机12对自身使用权限的管理，通过鉴权结果指示开放其上较为关键的调试接口的使用权限，实现了对交换机12更加安全的保护。

图6示出了本申请实施例中一种鉴权方法300的流程示意图，该方法300应用在包括第一设备和第二设备的场景中，以第一设备为执行主体，该鉴权方法300例如可以包括：

S301，获取采用第一私钥进行数字签名的第一证书；

S302，对所述第一证书进行验证，获得第一验证结果；

S303，根据所述第一验证结果，确定所述第一设备的使用权限。

其中，第一设备可以是方法100中的设备1，那么，第二设备为方法100中的设备2，第一私钥为方法100中的私钥1，第一公钥为方法100中的公钥1，第一证书为方法100中的证书1，第一验证结果为方法100中的验证结果1。或者，第一设备也可以是方法200中的交换机12，那么，第二设备为方法200中的CA服务器11，第一私钥为方法200中的私钥3，第一公钥为方法200中的公钥3，第一证书为方法200中的证书12。

其中，第一设备可以是待鉴权的任何设备，例如：可以指网络设备或单板，又例如：也可以指设备上的调试接口或业务接口。第二设备可以是指安全等级较高，且具有证书颁发功能和数字签名功能的鉴权服务器，例如：CA服务器。当第一设备指调试接口，第二设备是CA服务器时，CA服务器颁发且通过数字签名后的证书下发到调试接口所在设备并验证通过后，该调试接口所在设备开放该调试接口的使用权限，供访问和使用该调试接口。

作为一个示例，第一设备对第一证书进行验证，具体可以包括：第一设备根据本地存储的与第一私钥对应的第一公钥，对第一证书进行验证。这样，通过第一设备本地存储的公钥对证书进行验证，实现对第一设备可靠和安全的鉴权。

作为另一个示例，该第一证书中可以包括证书类型，S302还可以包括：验证所述证书类型。其中，第一证书的扩展域中如果扩展了用于指示该第一证书的证书类型的字段，那么，第一设备可以读取该字段，当确定该字段指示该第一证书为鉴权证书，第一验证结果可以表征对第一证书的验证通过。这样，第一设备还可以通过对所接收的第一证书的证书类型的验证，实现对第一设备可靠和安全的鉴权。

作为再一个示例，该第一证书中还可以包括第一设备标识信息，那么，S302还可以包括：基于本地存储的所述第一设备的第二设备标识信息，对所述第一证书携带的所述第一设备标识信息进行匹配验证，其中，所述第二设备标识信息用于唯一的标识所述第一设备。作为一个示例，该第一设备标识信息可以是第一设备标识，则，S302还可以包括：第一设备基于本地存储的第一设备的第二设备ID，对第一证书携带的第一设备ID进行匹配验证，其中，该第二设备ID用于唯一的标识该第一设备。作为另一个示例，为了更加安全，该第一设备标识信息也可以是第一设备ID的哈希值，那么，S302还可以包括：第一设备基于本地存储的第一设备的第二设备ID的哈希值，对第一证书携带的第一设备ID的哈希值进行匹配验证，其中，该第二设备ID用于唯一的标识该第一设备。其中，第一证书可以在其扩展域中扩展用于承载该第一设备ID或第一设备ID的哈希值的字段。这样，通过第一设备本地存储的第二设备ID或第二设备ID的哈希值，对第一证书中携带的第一设备ID或第一设备ID的哈希值进行验证，实现对第一设备可靠和安全的鉴权。例如：该

需要说明的是，为了鉴权的安全进行，本申请实施例中设备ID为非公开的能够唯一标识设备的ID，例如：第二设备ID为第一设备出厂时定义的硬件唯一密钥HUK，又例如：第二设备ID为根据第一设备的晶片标识die ID和唯一设备标识UDI处理得到的。

作为又一个示例，该第一证书还可以包括第一证书标识ID，S302还可以包括：第一设备根据本地存储的第二证书ID，对该第一证书ID进行匹配验证。其中，第一证书可以在其扩展域中扩展用于承载该第一证书ID的字段。这样，通过第一设备本地存储的第二证书ID，对第一证书中携带的第一证书ID进行验证，实现对第一设备可靠和安全的鉴权。

一种情况下，当第一设备还未使用该第一证书进行鉴权，那么，第一设备本地并未保存该第一证书的证书ID，该情况下，当第一设备确定本地未保存第一证书ID，即认为对该第一证书ID的匹配验证通过，可以采用第一证书进行鉴权。

另一种情况下，当第一设备已使用过该第一证书进行鉴权，那么，第一设备本地保存有该第一证书的第二证书ID，该情况下，当第一设备确定本地保存第二证书ID和第一证书中的第一证书ID匹配，即认为对该第一证书ID的匹配验证通过，可以采用第一证书进行鉴权。

再一种情况下，当第一设备已使用过该第一证书进行鉴权，那么，第一设备本地保存有该第一证书的第二证书ID，但是由于该第一证书使用次数超过上限或者使用时间超过上限，第二证书ID被标记为失效状态，该情况下，当第一设备确定本地保存第二证书ID和第一证书中的第一证书ID匹配，但第二证书ID的状态为失效，则认为对该第一证书ID的匹配验证未通过，不可以再使用第一证书对第一设备进行鉴权。

作为另一个示例，该第一证书还可以包括目标有效信息，该目标有效信息被设备1用于确定能否继续使用证书1进行鉴权。S302还可以包括：第一设备根据实际使用信息，对目标有效信息进行验证，该实际使用信息用于表征第一设备上当前使用第一证书的情况。其中，目标有效信息为允许使用第一证书进行鉴权的最多次数(例如：5次)，则，实际使用信息为所述第一设备截止当前使用第一证书进行鉴权的实际使用次数；或者，目标有效信息为允许使用第一证书进行鉴权的最长时间(例如：20小时)，则，实际使用信息为从目标有效信息的计时起始时刻到当前时刻的实际使用时间。其中，第一证书可以在其扩展域中扩展用于承载该目标有效信息的字段。可以理解的是，当第一设备确定本地存储的实际使用信息达到该第一证书的目标有效信息时，第一设备可以将该第一证书吊销，如：将第一设备本地存储的第一证书对应的第二证书ID标记为失效。这样，通过第一设备本地存储的实际使用信息，对第一证书中携带的目标有效信息进行验证，实现对第一设备可靠和安全的鉴权。

作为再一个示例，第一证书还可以包括第二公钥，S302还可以包括：第一设备根据本地存储的第一公钥，对第二公钥进行验证。如果第一设备确定第一公钥和第二公钥不一致，则第一设备视作第二设备需要将已经不够安全的第一公钥和第一私钥进行更新，那么，本申请实施例还可以包括：第一设备将本地存储的第一公钥替换为第二公钥。这样，通过第一设备本地存储的第一公钥，对第一证书中携带的第二公钥进行验证，当公钥一致时指导第一设备对其使用权限的管理，实现对第一设备可靠和安全的鉴权；当公钥不一致时指导第一设备更新本地存储的公钥，完成第二设备对鉴权公私钥的更新，使得后续对第一设备的鉴权更加安全。

其中，第二公钥可以是方法100中的公钥2。

需要说明的是，本申请实施例中的方法300，具体实现方式以及达到的效果可以参见上述图3和图5所示实施例中的相关说明。

图7示出了本申请实施例中一种对第一设备的使用权限进行鉴权的方法400的流程示意图，该方法400应用在包括第一设备和第二设备的场景中，以第二设备为执行主体，该方法400例如可以包括：

S401，采用第一私钥对第一证书进行数字签名；

S402，向第一设备发送经过第一私钥进行数字签名的第一证书，以便第一设备基于第一证书确定第一设备的使用权限。

其中，第二设备可以是方法100中的设备2，那么，第一设备为方法100中的设备1，第一私钥为方法100中的私钥1，第一公钥为方法100中的公钥1，第一证书为方法100中的证书1。或者，第二设备也可以是方法200中的CA服务器11，那么，第一设备为方法200中的交换机12，第一私钥为方法200中的私钥3，第一公钥为方法200中的公钥3。

这样，通过具有证书颁发功能和数字签名功能、安全等级较高的第二设备对第一证书进行数字签名，并将经过数字签名的第一证书发送给待鉴权的第一设备，从而由该第一设备对该数字签名后的第一证书进行验证，实现对待鉴权的第一设备的鉴权，克服了目前通过密码本或者接口对应焊盘裸露的等方式保护第一设备安全时存在的安全隐患，通过高安全等级的第二设备颁发的证书以及数字签名技术，确保了对待鉴权的第一设备的保护更加安全和可靠。

作为一个示例，该方法400中，第一证书中还可以包括第一设备标识信息，该第一设备标识信息被所述第一设备用于身份验证。例如：第一设备标识信息可以是第一设备ID或第一设备ID的哈希值。作为一个示例，方法400还可以包括：第二设备接收证书请求消息，该证书请求消息中包括第一设备标识ID；第二设备根据本地存储的第二设备ID，对第一设备ID进行匹配验证。作为另一个示例，该方法400还可以包括：第二设备接收证书请求消息，该证书请求消息中包括第一设备标识ID的哈希值；第二设备根据本地存储的第二设备ID的哈希值，对所述第一设备ID的哈希值进行匹配验证。匹配验证通过后，第二设备还可以将第一设备ID或第一设备ID的哈希值携带在第一证书中，发送给第一设备。这样，第二设备通过本地存储的第二设备ID或第二设备ID的哈希值，对证书请求消息中携带的第一设备ID或第一设备ID的哈希值进行验证，指导第二设备是否颁发第一证书给第一设备，从而使得对第一设备的鉴权更加可靠和安全。

其中，本申请实施例中设备ID为非公开的能够唯一标识设备的ID，例如：第一设备ID为第一设备出厂时定义的硬件唯一密钥HUK，又例如：第一设备ID为根据第一设备的晶片标识die ID和唯一设备标识UDI处理得到的。

作为再一个示例，该方法400中，第一证书中还可以包括目标有效信息，该目标有效信息被所述第一设备用于确定能否继续使用所述第一证书进行鉴权。例如：该目标有效信息具体可以为允许使用所述第一证书进行鉴权的最多次数，或者，该目标有效信息也可以为允许使用所述第一证书进行鉴权的最长时间。那么，本申请实施例还可以包括：第二设备接收证书请求消息，该证书请求消息中还可以包括目标有效信息。

作为又一个示例，该第一证书中还可以携带证书类型、第一设备标识信息和第一证书ID中的至少一个。第一证书中具体携带的内容以及对应的第一设备对第一证书的验证方式，可以参见方法300的相关说明。

需要说明的是，本申请实施例中的方法400，具体实现方式以及达到的效果可以参见上述图3、图5以及图6所示实施例中的相关说明。

此外，本申请实施例还提供了一种第一设备800，参见图8所示。该第一设备800包括收发单元801和处理单元802。其中，收发单元801用于执行上述图3所示实施例中设备1执行的收发操作，或者图5所示实施例中交换机12执行的收发操作，或者图6所示方法实施例中第一设备执行的收发操作；处理单元802用于执行上述图3所示实施例中设备1执行的除了收发操作以外的其他操作，或者图5所示实施例中交换机12执行的除了收发操作以外的其他操作，或者图6所示方法实施例中第一设备执行的除了收发操作以外的其他操作。例如：第一设备800为方法100中的设备1，那么，收发单元801用于执行获取证书1和签名1；所述处理单元802用于执行对证书1进行验证，获得验证结果1；所述处理单元802还用于根据验证结果1，确定设备1的使用权限。

此外，本申请实施例还提供了一种第二设备900，参见图9所示。该第二设备900包括收发单元901和处理单元902。其中，收发单元901用于执行上述图3所示实施例中设备2执行的收发操作，或者图5所示实施例中CA服务器11执行的收发操作，或者图7所示方法实施例中第二设备执行的收发操作；处理单元902用于执行上述图3所示实施例中设备2执行的除了收发操作以外的其他操作，或者图5所示实施例中CA服务器11执行的除了收发操作以外的其他操作，或者图7所示方法实施例中第二设备执行的除了收发操作以外的其他操作。例如：第二设备900为方法100中的设备2，那么，收发单元901用于向设备1发送经过私钥1进行数字签名的证书1；所述处理单元902用于采用私钥1对证书1进行数字签名。

此外，本申请实施例还提供了一种第一设备1000，参见图10所示。该第一设备1000包括通信接口1001和与通信接口1001连接的处理器1002。其中，其中，通信接口1001用于执行上述图3所示实施例中设备1执行的收发操作，或者图5所示实施例中交换机12执行的收发操作，或者图6所示方法实施例中第一设备执行的收发操作；处理器1002用于执行上述图3所示实施例中设备1执行的除了收发操作以外的其他操作，或者图5所示实施例中交换机12执行的除了收发操作以外的其他操作，或者图6所示方法实施例中第一设备执行的除了收发操作以外的其他操作。例如：第一设备1000为方法100中的设备1，那么，通信接口1001用于获取证书1和签名1；所述处理器1002用于执行对证书1进行验证，获得验证结果1；所述处理器1002还用于根据验证结果1，确定设备1的使用权限。

此外，本申请实施例还提供了一种第二设备1100，参见图11所示。该第二设备1100包括通信接口1101和与该通信接口1101连接的处理器1102。其中，通信接口1101用于执行上述图3所示实施例中设备2执行的收发操作，或者图5所示实施例中CA服务器11执行的收发操作，或者图7所示方法实施例中第二设备执行的收发操作；处理器1102用于执行上述图3所示实施例中设备2执行的除了收发操作以外的其他操作，或者图5所示实施例中CA服务器11执行的除了收发操作以外的其他操作，或者图7所示方法实施例中第二设备执行的除了收发操作以外的其他操作。例如：第二设备1100为方法100中的设备2，那么，通信接口1101用于向设备1发送经过私钥1进行数字签名的证书1；所述处理器1102用于采用私钥1对证书1进行数字签名。

此外，本申请实施例还提供了一种第一设备1200，参见图12所示。该第一设备1200包括存储器1201和处理器1202。其中，存储器1201用于存储程序代码；处理器1202用于运行所述程序代码中的指令，使得该第一设备1200执行以上图3所示实施例中设备1执行的方法，或者图5所示实施例中交换机12执行的方法，或者图6所示方法实施例中第一设备执行的方法。

此外，本申请实施例还提供了一种第二设备1300，参见图13所示。该第二设备1300包括存储器1301和处理器1302。其中，存储器1301用于存储程序代码；处理器1302用于运行所述程序代码中的指令，使得该第二设备1300执行以上图3所示实施例中设备2执行的方法，或者图5所示实施例中CA服务器11执行的方法，或者图7所示方法实施例中第二设备执行的方法。

可以理解的是，上述实施例中，处理器可以是中央处理器(英文：central processing unit，缩写：CPU)，网络处理器(英文：network processor，缩写：NP)或者CPU和NP的组合。处理器还可以是专用集成电路(英文：application-specific integrated circuit，缩写：ASIC)，可编程逻辑器件(英文：programmable logic device，缩写：PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文：complex programmable logic device，缩写：CPLD)，现场可编程逻辑门阵列(英文：field-programmable gate array，缩写：FPGA)，通用阵列逻辑(英文：generic array logic,缩写：GAL)或其任意组合。处理器可以是指一个处理器，也可以包括多个处理器。存储器可以包括易失性存储器(英文：volatile memory)，例如随机存取存储器(英文：random-access memory，缩写：RAM)；存储器也可以包括非易失性存储器(英文：non-volatile memory)，例如只读存储器(英文：read-only memory，缩写：ROM)，快闪存储器(英文：flash memory)，硬盘(英文：hard disk drive，缩写：HDD)或固态硬盘(英文：solid-state drive，缩写：SSD)；存储器还可以包括上述种类的存储器的组合。存储器可以是指一个存储器，也可以包括多个存储器。在一个具体实施方式中，存储器中存储有计算机可读指令，所述计算机可读指令包括多个软件模块，例如发送模块，处理模块和接收模块。处理器执行各个软件模块后可以按照各个软件模块的指示进行相应的操作。在本实施例中，一个软件模块所执行的操作实际上是指处理器根据所述软件模块的指示而执行的操作。处理器执行存储器中的计算机可读指令后，可以按照所述计算机可读指令的指示，执行第一设备或第二设备可以执行的全部操作。

可以理解的是，上述实施例中，第一设备1000的通信接口1001，具体可以被用作第一设备800中的收发单元801，实现第一设备和第二设备之间的数据通信。同理，第二设备1100的通信接口1101，具体可以被用作第二设备900中的收发单元901，实现第一设备和第二设备之间的数据通信。

此外，本申请实施例还提供了一种通信系统1400，参见图14所示。该通信系统1400包括第一设备1401以及第二设备1402，其中，第一设备1401具体可以是上述第一设备800、第一设备1000或第一设备1200，第二设备1402具体可以是上述第二设备900、第二设备1100或第二设备1300。

此外，本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得所述计算机执行以上图3、图5-图7所示实施例中的所述鉴权方法。

此外，本申请实施例还提供了计算机程序产品，当其在计算机上运行时，使得计算机执行前述图3、图5-图7所示实施例中的所述鉴权方法。

本申请实施例中提到的“第一证书”、“第一私钥”等名称中的“第一”只是用来做名字标识，并不代表顺序上的第一。该规则同样适用于“第二”等。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到上述实施例方法中的全部或部分步骤可借助软件加通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如只读存储器(英文：read-only memory，ROM)/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者诸如路由器等网络通信设备)执行本申请各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例和设备实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的，其中作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅是本申请的优选实施方式，并非用于限定本申请的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。

Claims

一种鉴权方法，其特征在于，由第一设备实施，包括：

获取采用第一私钥进行数字签名的第一证书；

对所述第一证书进行验证，获得第一验证结果；

根据所述第一验证结果，确定所述第一设备的使用权限。
根据权利要求1所述的方法，其特征在于，所述对所述第一证书进行验证，包括：

根据本地存储的与所述第一私钥对应的第一公钥，对所述第一证书进行验证。
根据权利要求1或2所述的方法，其特征在于，所述第一证书中包括证书类型，所述对所述第一证书进行验证，还包括：

验证所述证书类型。
根据权利要求1-3任一项所述的方法，其特征在于，所述第一证书中还包括第一设备标识信息，所述对所述第一证书进行验证，还包括：

基于本地存储的所述第一设备的第二设备标识信息，对所述第一证书携带的所述第一设备标识信息进行匹配验证，其中，所述第二设备标识信息用于唯一的标识所述第一设备。
根据权利要求4所述的方法，其特征在于，

所述第一设备标识信息为第一设备标识ID，所述第二设备标识信息为第二设备ID；或者

所述第一设备标识信息为所述第一设备ID的哈希值，所述第二设备标识信息为所述第二设备ID的哈希值。
根据权利要求4或5所述的方法，其特征在于，所述第二设备ID为所述第一设备出厂时定义的硬件唯一密钥HUK，或者，所述第二设备ID为根据所述第一设备的晶片标识die ID和唯一设备标识UDI处理得到的。
根据权利要求1-6任一项所述的方法，其特征在于，所述第一证书还包括第一证书标识ID，所述对所述第一证书进行验证，还包括：

根据本地存储的第二证书ID，对所述第一证书ID进行匹配验证。
根据权利要求1-7任一项所述的方法，其特征在于，所述第一证书还包括目标有效信息，所述对所述第一证书进行验证，还包括：

根据实际使用信息，对所述目标有效信息进行验证，所述实际使用信息用于表征所述第一设备上当前使用所述第一证书的情况。
根据权利要求8所述的方法，其特征在于，

所述目标有效信息为允许使用所述第一证书进行鉴权的最多次数；

或者，

所述目标有效信息为允许使用所述第一证书进行鉴权的最长时间。
根据权利要求1-9任一项所述的方法，其特征在于，所述第一证书还包括第二公钥，所述对所述第一证书进行验证，还包括：

根据本地存储的第一公钥，对所述第二公钥进行验证。
根据权利要求10所述的方法，其特征在于，所述方法还包括：

所述第二公钥和所述第一公钥不一致，则，将本地存储的所述第一公钥替换为所述第二公钥。
根据权利要求1-11任一项所述的方法，其特征在于，所述第一设备为调试接口。
一种对第一设备的使用权限进行鉴权的方法，其特征在于，由第二设备实施，包括：

采用第一私钥对第一证书进行数字签名；

向所述第一设备发送经过所述第一私钥进行数字签名的所述第一证书，以对所述第一设备的使用权限进行鉴权。
根据权利要求13所述的方法，其特征在于，所述第一证书还包括第一设备标识信息，所述第一设备标识信息被所述第一设备用于身份验证。
根据权利要求14所述的方法，其特征在于，

所述第一设备标识信息为第一设备标识ID或所述第一设备ID的哈希值。
根据权利要求15所述的方法，其特征在于，所述第一设备ID为所述第一设备出厂时定义的硬件唯一密钥HUK，或者，所述第一设备ID为根据所述第一设备的晶片标识die ID和唯一设备标识UDI处理得到的。
根据权利要求13-16任一项所述的方法，其特征在于，所述第一证书中还包括目标有效信息，所述目标有效信息被所述第一设备用于确定能否继续使用所述第一证书进行鉴权，所述目标有效信息为允许使用所述第一证书进行鉴权的最多次数，或者，所述目标有效信息为允许使用所述第一证书进行鉴权的最长时间。
根据权利要求13-17任一项所述的方法，其特征在于，所述第一证书中还携带证书类型、第一设备标识信息和第一证书ID中的至少一个。
根据权利要求13-18任一项所述的方法，其特征在于，所述第二设备为鉴权服务器。
根据权利要求13-19任一项所述的方法，其特征在于，所述第一设备为调试接口。
一种第一设备，其特征在于，包括：

通信接口；和

与所述通信接口连接的处理器；

根据所述通信接口和所述处理器，所述第一设备用于执行前述权利要求1-12任一项所述的方法。
一种第二设备，其特征在于，包括：

通信接口；和

与所述通信接口连接的处理器；

根据所述通信接口和所述处理器，所述第二设备用于执行前述权利要求13-20任一项所述的方法。
一种第一设备，其特征在于，所述第一设备包括存储器和处理器；

所述存储器，用于存储程序代码；

所述处理器，用于运行所述程序代码中的指令，使得所述第一设备执行以上权利要求1-12任一项所述的方法。
一种第二设备，其特征在于，所述第二设备包括存储器和处理器；

所述存储器，用于存储程序代码；

所述处理器，用于运行所述程序代码中的指令，使得所述第二设备执行以上权利要求13-20任一项所述的方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得所述计算机执行以上权利要求1-12或者权利要求13-20任意一项所述的方法。
一种通信系统，其特征在于，包括权利要求21或23所述的第一设备以及权利要求22或24所述的第二设备。