WO2022021256A1

WO2022021256A1 - 一种关联控制方法及相关装置

Info

Publication number: WO2022021256A1
Application number: PCT/CN2020/106006
Authority: WO
Inventors: 王勇; 陈璟
Original assignee: 华为技术有限公司
Priority date: 2020-07-30
Filing date: 2020-07-30
Publication date: 2022-02-03
Also published as: JP2023535474A; EP4184854A4; EP4184854A1; KR20230038571A; US20230239693A1; CN116235467A

Abstract

一种关联方法及装置，应用于短距离通信。方法包括：确定第二节点的身份可信（S303），向第二节点发送第一认证请求（S304），第一认证请求中包括根据共享密钥生成的第一身份认证信息；接收来自第二节点的第一认证响应，第一认证响应中包括第二身份认证信息；根据共享密钥验证第二身份认证信息（S307）；若验证失败，则更新第一认证失败计数器（S308）。能够防止节点与非法的攻击者建立关联，保护节点的数据安全。

Description

一种关联控制方法及相关装置

技术领域

本发明涉及通信技术领域，尤其涉及短距离通信技术领域，例如座舱域通信。具体涉及一种用于通信安全管理的关联控制方法及相关装置。

背景技术

在信息化飞速发展的今天，移动终端，不管是手机、平板还是其他可携带式智能终端，都是我们不可缺少的重要个人智能工具，我们在享受着信息化带来的便利的同时，也面临着安全漏洞和隐私泄露的威胁。以智能汽车为例，随着车辆通信的广泛应用，车辆通信也给汽车带来了一系列的安全隐患。例如，通过现有的短距离通信技术(例如无线保真Wi-Fi、蓝牙等)，黑客可能入侵车载信息系统，获取车辆信息，甚至远程操控汽车，对用户隐私以及车辆安全具有极高的威胁性，全球数百万台汽车受影响。再如，拒绝服务(Denial of Service，DoS)是车辆通信过程中最常见也最容易收到的一种攻击行为，其攻击者会故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象(例如车辆中的控制中心)的资源，使被攻击对象无法提供正常的服务、停止响应甚至崩溃。其中，身份验证洪水(Auth Flood)攻击是DOS攻击中的一种，攻击者将向关联的节点发送大量的请求帧，当节点收到大量的请求帧，超过所能承受的处理能力时，将导致节点瘫痪，无法继续提供正常服务，进而影响其它节点与该节点的通信。因此，为了保证通信的安全性，节点的关联控制至关重要。

现有技术中，通过白名单或者黑名单技术可以对请求关联的节点做出限制，具体可以为，若A节点的标识在B节点的白名单中，则B节点会接收来自A节点的关联请求，然后进行关联。相应的，若C节点的标识在B节点的黑名单中，则B节点可以不接收来自C节点的关联请求，或者拒绝进行关联。具体例如，蓝牙通信过程中，蓝牙设备通过建立白名单，可以使得该蓝牙设备和特定的蓝牙设备(即白名单中列出的蓝牙设备)建立关联。但是，白名单或者黑名单通常是靠标识(如设备地址)去过滤的，攻击者可以将自己的标识修改为受信任的标识，使节点不能辨别非法的攻击者，导致节点可能与攻击者建立关联，威胁节点的数据安全。

因此，如何防止节点与非法的攻击者建立关联是本领域技术人正在研究的热点问题。

发明内容

本申请实施例公开了一种关联控制方法及相关装置，能够防止节点与非法的攻击者建立关联，保护节点的数据安全。

第一方面，本申请实施例提供一种关联控制方法，该方法包括：

接收来自第二节点的第一关联请求；

确定所述第二节点的身份可信，向所述第二节点发送第一认证请求，所述第一认证请求中包括第一身份认证信息，所述第一身份认证信息为根据第一节点与所述第二节点的共享密钥生成的；其中，共享密钥可以看作是第一节点与第二节点之间共享的第一个秘密值；

接收来自所述第二节点的第一认证响应，所述第一认证响应中包括第二身份认证信息；

根据所述共享密钥验证所述第二身份认证信息；

若对所述第二身份认证信息的验证失败，则更新第一认证失败计数器，所述第一认证失败计数器表征针对所述第二节点的验证失败的次数。

本申请实施例中，在确认第二节点的身份可信后，还需要根据第一节点与第二节点的共享密钥验证第二节点的身份。这样一来，即便攻击者修改了身份标识，绕过了“确定身份可信”这一步骤，由于难以伪造身份验证信息，还是无法通过第一节点对其的身份验证，进而避免了节点与非法的攻击者建立关联，提高了节点的数据安全性。

进一步的，若验证不通过，会更新验证失败的次数，该验证失败的次数可以用于后续确定第二节点的身份是否可信，使得多次验证不通过的节点可以不再被确定为可信。而对于不被确认为可信的节点，可以不再对其的关联请求进行处理(如发送认证请求)，从而防止节点由于处理大量请求而崩溃，保证了节点所提供的服务正常进行。

在第一方面的一种可能的实施方式中，所述确定所述第二节点的身份可信，包括：

确定所述第二节点的标识在第一白名单中；

或者，确定所述第二节点的标识不在第一黑名单中；

或者，获取第一确认指示信息，所述第一确认指示信息表征所述第二节点的身份可信，其中，所述第二节点的标识不在第一黑名单中；

或者，获取第一确认指示信息，所述第一确认指示信息表征所述第二节点的身份可信；其中，所述第二节点的标识不在第一黑名单中且不在第一白名单中。

上述方法中，可以根据通过黑名单或者白名单对请求关联的节点进行控制，从而无需对不可信的第二节点进行身份认证，一方面，可以防止由于处理大量请求而崩溃，保证了服务正常进行。另一方面，由于不会与没有经过身份认证的节点建立关联，避免了节点与非法的攻击者建立关联，提高了节点的数据安全性。

在第一方面的又一种可能的实施方式中，所述确定所述第二节点的身份可信，包括：

若第一节点与所述第二节点的共享密钥的类型为预先配置类型，确定所述第二节点的标识在第一白名单中；

若第一节点与所述第二节点的共享密钥的类型为口令生成类型，确定所述第二节点的标识在第一白名单中；

若所述第二节点的标识不在第一黑名单中、第一节点与所述第二节点的共享密钥的类型为口令生成类型且所述第二节点的标识不在第一白名单中，获取第一确认指示信息，所述第一确认指示信息表征所述第二节点的身份可信。

在第一方面的又一种可能的实施方式中，所述第一认证响应中还包括第二完整性校验数据，所述第二完整性验证数据用于校验所述第一认证响应的消息完整性；所述方法还包括：

确定所述第一认证响应的消息完整性校验通过。

可以看出，在确认第二节点的身份可信之后，除了进行身份验证，还需要对携带身份验证信息的消息做完整性校验，防止第一认证响应中的内容被攻击者篡改，从而避免影响对第二节点的身份验证信息的验证，保障了节点所提供的服务的稳定运行。

在第一方面的又一种可能的实施方式中，所述接收来自第二节点的第一关联请求之前，还包括：

确定第一关联数量小于或者等于预设的第一关联阈值，其中，所述第一关联数量表征当前关联的节点数量。

上述方法中，当关联的节点数量小于或者等于预设的第一关联阈值时，才可以接收来自第二节点的关联请求。该第一关联阈值可以限制节点所能提供的服务的承受量，当超过第一关联阈值时，节点可以不再接收或者处理关联请求，避免影响与该节点关联的其它节点的通信，保障了节点所提供的服务的稳定运行。

在第一方面的又一种可能的实施方式中，所述方法还包括：

若对所述第二身份认证信息的验证通过，向所述第二节点发送第一关联响应，所述第一关联响应用于指示所述第一节点与所述第二节点建立关联。

可以看出，在确认第二节点的身份可信之后，若身份验证通过，可以向第二节点发送第一关联响应，该关联响应用于指示第一节点与所述第二节点建立关联。进一步的，该第一响应消息可以用于告知第二节点已经关联成功，可以进行通信。

在第一方面的又一种可能的实施方式中，所述方法还包括：

若对所述第二身份认证信息的验证通过，重置所述第一认证失败计数器。

可以看出，在确认第二节点的身份可信之后，若身份验证通过，需要重置针对第二节点的验证失败的次数，避免影响之后对第二节点的身份的确定，保障了节点所提供的服务的稳定运行。

在第一方面的又一种可能的实施方式中，若根据所述共享密钥验证所述第二身份信息验证不通过，则更新第一认证失败计数器之后，所述方法还包括：

确定所述第一认证失败计数器的值大于或者等于第一阈值，将所述第二节点的标识加入所述第一黑名单。

可以看出，若针对第二节点的验证失败的次数超过预设的第一阈值，表明该第二节点已经多次验证不通过，该第二节点可能是频繁发送关联请求的攻击者，因此将该第二节点的标识加入黑名单。在加入黑名单以后，该第二节点的身份将不会被确定为可信，从而避免了节点与非法的攻击者建立关联，提高了节点的数据安全性。

在第一方面的又一种可能的实施方式中，所述第一黑名单的有效期为预先定义或者配置的第一时长。

可以看出，第一黑名单中存在预先定义或者配置的第一时长，可以看作是黑名单的有效期。例如，黑名单的第一时长可以是一周，当某第二节点的标识被加入黑名单一周以后，可以被移出该黑名单。

在第一方面的又一种可能的实施方式中，所述方法还包括：

若所述第二节点的标识加入所述第一黑名单的时间超过第一时长，则将所述第二节点的标识移出所述第一黑名单，所述第一时长与所述第二节点的标识加入所述第一黑名单的次数、所述第二节点的类型中的至少一项有关。

上述实施方式说明了与第一黑名单的有效期相关的因素，一方面，第一黑名单的有效期可以与第二节点加入第一黑名单的次数有关，某一第二节点加入的第一黑名单的次数越多，其在第一黑名单中的时长也会越来越长。进一步的可选的，当其被加入第一黑名单的次数超过某一阈值以后，可以永久加入第一黑名单。

另一方面，第一黑名单的有效期可以与第二节点所属的设备类型有关，具体的，第二节点可以预先获取第二节点的设备类型，根据不同的设备类型确定不同的黑名单有效期。例如，设备类型可以包括高风险设备或者低风险设备，若第二节点属于麦克风、音响等，可以认为是低风险设备，若第二节点属于手机、电脑等，可以认为是高风险设备，高风险设备的黑名单有效期比低风险设备的黑名单有效期更长。此外，第一节点还可以预先定义第二节点对应的黑名单有效期，此处不再赘述。在第一方面的又一种可能的实施方式中，若所述第二节点的身份不可信，则不执行所述向所述第二节点发送第一认证请求的步骤。

可以看出，若第二节点的身份不可信，则不再执行后续的身份认证，避免浪费节点的资源，影响其它节点的正常关联。

第二方面，本申请实施例还提供一种关联方法，包括：

确定第一节点的身份可信，向所述第一节点发送第一关联请求；

接收来自所述第一节点的第一认证请求，所述第一认证请求中包括第一身份认证信息；

根据第二节点与所述第一节点的共享密钥验证所述第一身份认证信息；其中，共享密钥是第一节点与第二节点之间共享的一个秘密值；

若对所述第一身份认证信息的验证通过，则向所述第一节点发送第一认证响应，所述第一认证响应中包括第二身份认证信息；其中，所述第二身份认证信息为根据所述共享密钥生成的。

本申请实施例中，在确认第一节点的身份可信后，再向第一节点发送第一关联请求。然后根据第一认证请求中的第一身份认证信息，通过共享密钥验证第一节点的身份认证信息，在验证通过以后，再向第一节点发送第二身份认证信息，该第二身份认证信息可以用于第一节点验证第二节点的身份。可以看出，再确认身份可信以后，还需要双方身份认证通过才可以进行关联，从而可以使得攻击者难以通过修改标识等身份绕过第二节点对其的身份验证，进而避免了第二节点与非法的攻击者建立关联，提高了节点的数据安全性。

在第二方面的一种可能的实施方式中，所述确定所述第一节点的身份可信，包括：

确定所述第一节点的标识在第二白名单中；

或者，确定所述第一节点的标识不在第二黑名单中；

或者，获取第二确认指示信息，所述第二确认指示信息表征所述第一节点的身份可信，其中，所述第一节点的标识不在第二黑名单中；

或者，获取第二确认指示信息，所述第二确认指示信息表征所述第一节点的身份可信；其中，所述第一节点的标识不在第二黑名单中且不在第二白名单中。

上述方法中，可以根据通过黑名单或者白名单对关联节点进行控制，可以控制节点不向不可信的第一节点发送关联请求，避免了节点与非法的攻击者建立关联，提高了节点的数据安全性。

在第二方面的又一种可能的实施方式中，所述确定所述第一节点的身份可信，包括：

若第一节点与所述第二节点的共享密钥的类型为预先配置类型，确定所述第一节点的标识在第二白名单中；

若第一节点与所述第二节点的共享密钥的类型为口令生成类型，确定所述第一节点的标识在第二白名单中；

若所述第一节点的标识不在第二黑名单中、第一节点与所述第二节点的共享密钥的类型为口令生成类型且所述第一节点的标识不在第二白名单中，获取第二确认指示信息，所述第二确认指示信息表征所述第二节点的身份可信。

在第二方面的又一种可能的实施方式中，所述第一认证请求中还包括第一完整性校验数据，所述第一完整性验证数据用于校验所述第一认证请求的消息完整性；

所述方法还包括：

确定所述第一认证请求的消息完整性校验通过。

可以看出，在确认第一节点的身份可信之后，除了进行身份验证，还需要对携带身份验证信息的消息做完整性校验，防止第一认证请求中的内容被攻击者篡改，从而避免影响对第一节点的身份验证信息的验证，保障了节点所提供的服务的稳定运行。

在第二方面的又一种可能的实施方式中，所述确定第一节点的身份可信，向所述第一节点发送第一关联请求之前，还包括：

确定第二关联数量小于或者等于预设的第二关联阈值，其中，所述第二关联数量表征当前关联的节点数量。

上述方法中，当关联的节点数量小于或者等于预设的第二关联阈值时，才可以向第一节点发送关联请求。该第二阈值可以限制节点所能关联的节点的数量，当超过第二关联阈值时，节点不能再关联其它节点，避免影响与该节点关联的其它节点的通信，保障了节点所提供的服务的稳定运行。

在第二方面的又一种可能的实施方式中，所述方法还包括：

接收来自所述第一节点的第一关联响应，所述第一关联响应用于指示所述第一节点与所述第二节点建立关联。

可以看出，在确认第一节点的身份可信之后，若第一节点针对第二节点的身份验证通过，第二节点接收到来自第一节点的第一关联响应，该关联响应用于指示第一节点与所述第二节点建立关联。进一步的，该第一响应消息可以告知第二节点已经关联成功，可以进行后续的通信。

在第二方面的又一种可能的实施方式中，所述方法还包括：

重置第二认证失败计数器，所述第二认证失败计数器表征针对所述第一节点的验证失败的次数。

可以看出，在确认第一节点的身份可信之后，若身份验证通过，需要重置针对第一节点的验证失败的次数，避免影响之后对第一节点的身份的确定，从而保障了节点所提供的服务的稳定运行。

在第二方面的又一种可能的实施方式中，所述方法还包括：

若对所述第一身份认证信息的验证失败，则更新第二认证失败计数器，所述第二认证失败计数器表征针对所述第一节点的验证失败的次数。

可以看出，若对所述第一节点的身份认证信息验证失败，则更新验证第一节点的身份失败的次数，该验证失败的次数可以用于后续确定节点的身份是否可信。从而可以使得攻击者难以通过修改标识等身份绕过第一节点对其的关联控制，进而避免了节点与非法的攻击者建立关联，提高了节点的数据安全性。

在第二方面的又一种可能的实施方式中，若对所述第一身份认证信息的验证失败，则更新第二认证失败计数器之后，所述方法还包括：

确定所述第二认证失败计数器的值大于或者等于第二阈值，

将所述第一节点的标识加入所述第二黑名单。

可以看出，若针对第一节点的验证失败的次数超过预设的第二阈值，表明该第一节点已经多次验证不通过，该第一节点可能是频繁发送认证请求的攻击者，因此将该第一节点的标识加入黑名单。在加入黑名单以后，该第一节点的身份将不会被确定为可信，从而避免了节点与非法的攻击者建立关联，提高了节点的数据安全性。

在第二方面的又一种可能的实施方式中，所述第二黑名单的有效期为预先定义或者配置的第二时长。

可以看出，第二黑名单中存在预先定义或者配置的第二时长，可以看作是黑名单的有效期。例如，第二时长可以是10天，当某第一节点的标识被加入黑名单10天以后，可以被移出该黑名单。

确定所述第二认证失败计数器的值小于第二阈值，

向所述第一节点发送第二关联请求。

可以理解的是，在身份认证信息验证过程中，由于某些参数在传输过程中被丢失或者传输错误，可能也会导致身份认证信息验证失败。因此，若针对第一节点的验证失败的次数还没有超过预设的第二阈值，可以重新向第一节点发送关联请求，请求与该节点进行关联，从而提高系统的鲁棒性，保障了节点所提供的服务的稳定运行。

确定所述第二认证失败计数器的值小于第二阈值；

获取第三确认指示信息；

向所述第一节点发送第二关联请求。

可以看出，在重新发送第二关联请求之前，需要获取确认指示信息，该第三确认指示信息可以是根据用户输入的确认操作得到的指示信息，而该确认操作可以是对输出的提示信息的确认。例如，可以输出提示信息，提醒用户验证失败，需要重新发起关联请求，在接收到用户确认操作，得到第三确认指示信息后，向所述第一节点发送第二关联请求。这样一来，由用户去验证需要重新关联的第一节点的身份，可以避免与不可信的节点关联，保证了通信的安全性。

在第二方面的又一种可能的实施方式中，所述方法还包括：

若所述第一节点的标识加入所述第二黑名单的时间超过第二时长，则将所述第一节点的标识移出所述第二黑名单，所述第二时长与所述第一节点的标识加入所述第二黑名单的次数、所述第一节点的类型中的至少一项有关。

上述实施方式说明了与第二黑名单的有效期相关的因素，一方面，第二黑名单的有效期可以与第一节点加入黑名单的次数有关，某一第一节点加入的第二黑名单的次数越多，其在第二黑名单中的时长也会越来越长。进一步的可选的，当其被加入第二黑名单的次数超过某一阈值以后，可以永久加入第二黑名单。

另一方面，第二黑名单的有效期可以与第一节点所属的设备类型有关，具体的，第一节点可以预先获取第一节点的设备类型，根据不同的设备类型确定不同的第二黑名单有效期。例如，设备类型可以包括高风险设备或者低风险设备，若第一节点属于智能座舱控制器CDC、虚拟现实设备AR等，可以认为是低风险设备，若第一节点属于服务器、电脑等，可以认为是高风险设备，高风险设备的黑名单有效期比低风险设备的黑名单有效期更长。此外，第二节点还可以预先定义第一节点对应的黑名单有效期，此处不再赘述。

在第二方面的又一种可能的实施方式中，若所述第一节点的身份不可信，则不执行所述向所述第一节点发送第一关联请求的步骤。

可以看出，若第一节点的身份不可信，则不再向第一节点发送身份认证请求，避免浪费节点的资源。

第三方面，本申请实施例还提供一种关联控制装置，包括：

通信单元，用于接收来自第二节点的第一关联请求；

处理单元，用于确定所述第二节点的身份可信，通过所述通信单元向所述第二节点发送第一认证请求，所述第一认证请求中包括第一身份认证信息，所述第一身份认证信息为根据第一节点与所述第二节点的共享密钥生成的；

所述通信单元，还用于接收来自所述第二节点的第一认证响应，所述第一认证响应中包括第二身份认证信息；

所述处理单元，还用于根据所述共享密钥验证所述第二身份认证信息；

所述处理单元，还用于若对所述第二身份认证信息的验证失败，则更新第一认证失败计数器，所述第一认证失败计数器表征针对所述第二节点的验证失败的次数。

本申请实施例中，上述装置在确认第二节点的身份可信后，再根据与第二节点的共享密钥验证第二节点的身份。这样一来，即便攻击者修改了身份标识，绕过了上述装置确定身份可信这一步骤，由于难以伪造身份验证信息，还是无法通过上述装置对其的身份验证，进而避免了上述装置与非法的攻击者建立关联，提高了节点的数据安全性。

进一步的，若验证不通过，上述装置会更新验证失败的次数，该验证失败的次数可以用于后续确定第二节点的身份是否可信，使得多次验证不通过的节点可以不再被确定为可信。而对于不被确认为可信的节点，上述装置可以不再对其的关联请求进行处理(如发送认证请求)，从而防止上述装置由于处理大量请求而崩溃，保证了服务正常进行。

在第三方面的一种可能的实施方式中，所述处理单元，具体用于：

确定所述第二节点的标识在第一白名单中；

或者，确定所述第二节点的标识不在第一黑名单中；

上述装置根据通过黑名单或者白名单对请求关联的节点进行控制，从而使得无需对不可信的第二节点进行身份认证，一方面，可以防止由于处理大量请求而崩溃，保证了服务正常进行。另一方面，由于不会与没有经过身份认证的节点建立关联，避免了上述装置与非法的攻击者建立关联，提高了上述装置的数据安全性。

在第三方面的又一种可能的实施方式中，所述处理单元702，具体用于：

在第三方面的又一种可能的实施方式中，所述第一认证响应中还包括第二完整性校验数据，所述第二完整性验证数据用于校验所述第一认证响应的消息完整性；

所述处理单元，具体用于：

确定所述第一认证响应的消息完整性校验通过。

可以看出，在确认第二节点的身份可信之后，除了进行身份验证，还需要对携带身份验证信息的消息做完整性校验，防止第一认证响应中的内容被攻击者篡改，从而避免影响对第二节点的身份验证信息的验证，保障了上述装置所提供的服务的稳定运行。

在第三方面的又一种可能的实施方式中，所述处理单元，还用于：

可以看出，上述装置中预设有第一关联阈值，当关联的节点数量小于或者等于预设的第一关联阈值时，才可以接收来自第二节点的关联请求。该第一阈值可以限制上述装置所能提供的服务的承受量，当超过第一关联阈值时，上述装置可以不再接收或者处理关联请求，避免影响与上述装置关联的其它节点的通信，保障了上述装置所提供的服务的稳定运行。

在第三方面的又一种可能的实施方式中，所述通信单元，还用于：

可以看出，在确认第二节点的身份可信之后，若身份验证通过，可以向第二节点发送第一关联响应，该关联响应用于指示上述装置与所述第二节点建立关联。进一步的，该第一响应消息可以用于告知第二节点已经关联成功，可以进行通信。

可以看出，在确认第二节点的身份可信之后，若身份验证通过，需要重置针对第二节点的验证失败的次数，避免影响之后对第二节点的身份的确定，保障上述装置所提供的服务的稳定运行。

可以看出，若针对第二节点的验证失败的次数超过预设的第一阈值，表明该第二节点已经多次验证不通过，该第二节点可能是频繁发送关联请求的攻击者，因此将该第二节点的标识加入黑名单。在加入黑名单以后，该第二节点的身份将不会被确定为可信，从而避免了上述装置与非法的攻击者建立关联，提高了节点的数据安全性。

在第三方面的又一种可能的实施方式中，所述第一黑名单的有效期为预先定义或者配置的第一时长。

在第三方面的又一种可能的实施方式中，该处理单元，还用于：

另一方面，第一黑名单的有效期可以与第二节点所属的设备类型有关，具体的，第二节点可以预先获取第二节点的设备类型，根据不同的设备类型确定不同的黑名单有效期。例如，设备类型可以包括高风险设备或者低风险设备，若第二节点属于麦克风、音响等，可以认为是低风险设备，若第二节点属于手机、电脑等，可以认为是高风险设备，高风险设备的黑名单有效期比低风险设备的黑名单有效期更长。此外，第一节点还可以预先定义第二节点对应的黑名单有效期，此处不再赘述。本申请不具体限定设备类型的数量，可以根据具体的场景设计。

在第三方面的又一种可能的实施方式中，若所述第二节点的身份不可信，则不执行所述向所述第二节点发送第一认证请求的步骤。

可以看出，若第二节点的身份不可信，则不再执行后续的身份认证步骤，避免浪费上述装置的资源，影响其它节点的正常关联。

第四方面，本申请实施例还提供一种关联装置，包括：

处理单元，确定第一节点的身份可信，通过通信单元向所述第一节点发送第一关联请求；

所述通信单元，还用于接收来自所述第一节点的第一认证请求，所述第一认证请求中包括第一身份认证信息；

所述处理单元，还用于根据第二节点与所述第一节点的共享密钥验证所述第一身份认证信息；

所述通信单元，还用于若对所述第一身份认证信息的验证通过，则向所述第一节点发送第一认证响应，所述第一认证响应中包括第二身份认证信息；其中，所述第二身份认证信息为根据所述共享密钥生成的。

本申请实施例中，上述装置在确认第一节点的身份可信后，再向第一节点发送第一关联请求。然后根据第一认证请求中的第一身份认证信息，通过共享密钥验证第一节点的身份认证信息，在验证通过以后，再向第一节点发送第二身份认证信息，该第二身份认证信息可以用于第一节点验证上述装置的身份。可以看出，再确认身份可信以后，还需要双方身份认证通过才可以进行关联，从而可以使得攻击者难以通过修改标识等身份绕过第二节点对其的身份验证，进而避免了上述装置与非法的攻击者建立关联，提高了节点的数据安全性。

在第四方面的一种可能的实施方式中，所述处理单元，具体用于：

确定所述第一节点的标识在第二白名单中；

或者，确定所述第一节点的标识不在第二黑名单中；

上述方法中，可以根据通过黑名单或者白名单对关联节点进行控制，可以控制上述装置不向不可信的第一节点发送关联请求，避免了上述装置与非法的攻击者建立关联，提高了上述装置的数据安全性。

在第四方面的又一种可能的实施方式中，所述处理单元，具体用于：

在第四方面的又一种可能的实施方式中，所述第一认证请求中还包括第一完整性校验数据，所述第一完整性验证数据用于校验所述第一认证请求的消息完整性；

所述处理单元，还用于：

确定所述第一认证请求的消息完整性校验通过。

可以看出，在确认第一节点的身份可信之后，除了进行身份验证，还需要对携带身份验证信息的消息做完整性校验，防止第一认证请求中的内容被攻击者篡改，从而影响对第一节点的身份验证信息的验证，保障了上述装置所提供的服务的稳定运行。

在第四方面的又一种可能的实施方式中，所述处理单元，还用于：

可以看出，上述装置中预设有第二关联阈值，当关联的节点数量小于或者等于预设的第二关联阈值时，才可以向第一节点发送关联请求。该第二阈值可以限制上述装置所能关联的节点的数量，当超过第二关联阈值时，上述装置不能再关联其它节点，避免影响与该装置关联的其它节点的通信，保障了上述装置所提供的服务的稳定运行。

在第四方面的又一种可能的实施方式中，所述通信单元，还用于：

可以看出，在确认第一节点的身份可信之后，若第一节点针对第二节点的身份验证通过，上述装置可以接收到来自第一节点的第一关联响应，该关联响应用于指示上述装置与所述第二节点建立关联。进一步的，该第一响应消息可以告知上述装置已经关联成功，可以进行后续的通信。

可以看出，在确认第一节点的身份可信之后，若身份验证通过，需要重置针对第一节点的验证失败的次数，避免影响之后对第一节点的身份的确定，保障了上述装置所提供的服务的稳定运行。

可以看出，若对所述第一节点的身份认证信息验证失败，则上述装置更新验证第一节点的身份失败的次数，该验证失败的次数可以用于后续确定节点的身份是否可信。从而可以使得攻击者难以通过修改标识等身份绕过第一节点对其的关联控制，进而避免了上述装置与非法的攻击者建立关联，提高了上述装置的数据安全性。

确定所述第二认证失败计数器的值大于或者等于第二阈值，

将所述第一节点的标识加入所述第二黑名单。

可以看出，若针对第一节点的验证失败的次数超过预设的第二阈值，表明该第一节点已经多次验证不通过，该第一节点可能是频繁发送认证请求的攻击者，因此将该第一节点的标识加入黑名单。在加入黑名单以后，该第一节点的身份将不会被确定为可信，从而避免了上述装置与非法的攻击者建立关联，提高了节点的数据安全性。

在第四方面的又一种可能的实施方式中，所述第二黑名单的有效期为预先定义或者配置的第二时长。

可以看出，第二黑名单中存在预先定义或者配置的第二时长，可以看作是黑名单的有效期。例如，黑名单的第二时长可以是10天，当某第一节点的标识被加入黑名单10天以后，可以被移出该黑名单。

在第四方面的又一种可能的实施方式中，所述处理单元，还用于确定所述第二认证失败计数器的值小于第二阈值；

所述通信单元，还用于向所述第一节点发送第二关联请求。

可以看出，若对所述第一节点的身份认证信息验证失败，则上述装置更新验证第一节点的身份失败的次数，该验证失败的次数可以用于后续确定节点的身份是否可信。从而可以使得攻击者难以通过修改标识等身份绕过第一节点对其的关联控制，进而避免了上述装置与非法的攻击者建立关联，提高了节点的数据安全性。

在第四方面的又一种可能的实施方式中，该处理器，还用于：

确定所述第二认证失败计数器的值小于第二阈值；

获取第三确认指示信息；

向所述第一节点发送第二关联请求。

在第四方面的又一种可能的实施方式中，若所述第一节点的身份不可信，则不执行所述向所述第一节点发送第一关联请求的步骤。

第五方面，本申请实施例还提供一种通信装置，所述装置包括至少一个处理器和通信接口，所述至少一个处理器用于调用至少一个存储器中存储的计算机程序，以使得所述装置实现第一方面或者第一方面任意一种可能的实施方式所描述的方法。

在第五方面的一种可能的实施方式中，该至少一个处理器用于调用至少一个存储器中存储的计算机程序，用于执行以下操作：

通过通信接口接收来自第二节点的第一关联请求；

确定所述第二节点的身份可信，通过通信接口向所述第二节点发送第一认证请求，所述第一认证请求中包括第一身份认证信息，所述第一身份认证信息为根据第一节点与所述第二节点的共享密钥生成的；其中，共享密钥可以看作是第一节点与第二节点之间共享的第一个秘密值；

通过通信接口接收来自所述第二节点的第一认证响应，所述第一认证响应中包括第二身份认证信息；

根据所述共享密钥验证所述第二身份认证信息；

本申请实施例中，上述装置在确认第二节点的身份可信后，再根据与第二节点的共享密钥验证第二节点的身份。这样一来，即便攻击者修改了身份标识，绕过了上述装置确定身份可信这一步骤，由于难以伪造身份验证信息，还是无法通过上述装置对其的身份验证，进而避免了上述装置与非法的攻击者建立关联，提高了上述装置的数据安全性。

在第五方面的又一种可能的实施方式中，该处理器，具体用于：

确定所述第二节点的标识在第一白名单中；

或者，确定所述第二节点的标识不在第一黑名单中；

在第五方面的又一种可能的实施方式中，所述第一认证响应中还包括第二完整性校验数据，所述第二完整性验证数据用于校验所述第一认证响应的消息完整性；

该处理器，还用于确定所述第一认证响应的消息完整性校验通过。

在第五方面的又一种可能的实施方式中，该处理器，还用于：

可以看出，上述装置中预设有第一关联阈值，当关联的节点数量小于或者等于预设的第一关联阈值时，才可以接收来自第二节点的关联请求。该第一阈值可以限制节点所能提供的服务的承受量，当超过第一关联阈值时，上述装置可以不再接收或者处理关联请求，避免影响与上述装置关联的其它节点的通信，保障了上述装置所提供的服务的稳定运行。

若对所述第二身份认证信息的验证通过，通过通信接口向所述第二节点发送第一关联响应，所述第一关联响应用于指示所述第一节点与所述第二节点建立关联。

可以看出，在确认第二节点的身份可信之后，若身份验证通过，需要重置针对第二节点的验证失败的次数，避免影响之后对第二节点的身份的确定，保障了上述装置所提供的服务的稳定运行。

可以看出，若针对第二节点的验证失败的次数超过预设的第一阈值，表明该第二节点已经多次验证不通过，该第二节点可能是频繁发送关联请求的攻击者，因此将该第二节点的标识加入黑名单。在加入黑名单以后，该第二节点的身份将不会被确定为可信，从而避免了上述装置与非法的攻击者建立关联，提高了上述装置的数据安全性。

在第五方面的又一种可能的实施方式中，所述第一黑名单的有效期为预先定义或者配置的第一时长。

上述实施方式说明了与黑名单的有效期相关的因素，一方面，黑名单的有效期可以与第二节点加入黑名单的次数有关，某一第二节点加入的黑名单的次数越多，其在黑名单中的时长也会越来越长。进一步的可选的，当其被加入黑名单的次数超过某一阈值以后，可以永久加入黑名单。

另一方面，黑名单的有效期可以与第二节点所属的设备类型有关，具体的，第二节点可以预先获取第二节点的设备类型，根据不同的设备类型确定不同的黑名单有效期。例如，设备类型可以包括高风险设备或者低风险设备，若第二节点属于麦克风、音响等，可以认为是低风险设备，若第二节点属于手机、电脑等，可以认为是高风险设备，高风险设备的黑名单有效期比低风险设备的黑名单有效期更长。此外，上述装置还可以预先定义第二节点对应的黑名单有效期，此处不再赘述。

在第五方面的又一种可能的实施方式中，若所述第二节点的身份不可信，则不执行所述向所述第二节点发送第一认证请求的步骤。

第六方面，本申请实施例还提供一种通信装置，所述装置包括至少一个处理器和通信接口，所述至少一个处理器用于调用至少一个存储器中存储的计算机程序，以使得所述装置实现第一方面或者第一方面任意一种可能的实施方式所描述的方法。

在第六方面的一种可能的实施方式中，该至少一个处理器用于调用至少一个存储器中存储的计算机程序，用于执行以下操作：

本申请实施例中，上述装置在确认第一节点的身份可信后，再向第一节点发送第一关联请求。然后根据第一认证请求中的第一身份认证信息，通过共享密钥验证第一节点的身份认证信息，在验证通过以后，再向第一节点发送第二身份认证信息，该第二身份认证信息可以用于第一节点验证上述装置的身份。可以看出，再确认身份可信以后，还需要双方身份认证通过才可以进行关联，从而可以使得攻击者难以通过修改标识等身份绕过上述装置对其的身份验证，进而避免了上述装置与非法的攻击者建立关联，提高了上述装置的数据安全性。

在第六方面的又一种可能的实施方式中，该处理器，还用于：

确定所述第一节点的标识在第二白名单中；

或者，确定所述第一节点的标识不在第二黑名单中；

在第六方面的又一种可能的实施方式中，所述第一认证请求中还包括第一完整性校验数据，所述第一完整性验证数据用于校验所述第一认证请求的消息完整性；

该处理器，还用于确定所述第一认证请求的消息完整性校验通过。

可以看出，上述装置中预设有第二关联阈值，当关联的节点数量小于或者等于预设的第二关联阈值时，才可以向第一节点发送关联请求。该第二阈值可以限制上述装置所能关联的节点的数量，当超过第二关联阈值时，上述装置不能再关联其它节点，避免影响与上述装置关联的其它节点的通信，保障了上述装置所提供的服务的稳定运行。

可以看出，在确认第一节点的身份可信之后，若第一节点针对上述装置的身份验证通过，上述装置接收到来自第一节点的第一关联响应，该关联响应用于指示第一节点与第二节点建立关联。进一步的，该第一响应消息可以告知上述装置已经关联成功，可以进行后续的通信。

可以看出，若对所述第一节点的身份认证信息验证失败，则上述装置更新验证第一节点的身份失败的次数，该验证失败的次数可以用于后续确定节点的身份是否可信。从而可以使得攻击者难以通过修改标识等身份绕过上述装置对其的关联控制，进而避免了上述装置与非法的攻击者建立关联，提高了上述装置的数据安全性。

确定所述第二认证失败计数器的值大于或者等于第二阈值，

将所述第一节点的标识加入所述第二黑名单。

可以看出，若针对第一节点的验证失败的次数超过预设的第二阈值，表明该第一节点已经多次验证不通过，该第一节点可能是频繁发送认证请求的攻击者，因此将该第一节点的标识加入黑名单。在加入黑名单以后，该第一节点的身份将不会被确定为可信，从而避免了上述装置与非法的攻击者建立关联，提高了上述装置的数据安全性。

在第六方面的又一种可能的实施方式中，所述第二黑名单的有效期为预先定义或者配置的第二时长。

确定所述第二认证失败计数器的值小于第二阈值，

向所述第一节点发送第二关联请求。

可以理解的是，在身份认证信息验证过程中，由于某些参数在传输过程中被丢失或者传输错误，可能也会导致身份认证信息验证失败。因此，若针对第一节点的验证失败的次数还没有超过预设的第二阈值，可以重新向第一节点发送关联请求，请求与第一节点进行关联，从而提高系统的鲁棒性，保障了上述装置所提供的服务的稳定运行。

确定所述第二认证失败计数器的值小于第二阈值；

获取第三确认指示信息；

向所述第一节点发送第二关联请求。

另一方面，第二黑名单的有效期可以与第一节点所属的设备类型有关，具体的，第一节点可以预先获取第一节点的设备类型，根据不同的设备类型确定不同的第二黑名单有效期。例如，设备类型可以包括高风险设备或者低风险设备，若第一节点属于智能座舱控制器CDC、虚拟现实设备AR等，可以认为是低风险设备，若第一节点属于服务器、电脑等，可以认为是高风险设备，高风险设备的黑名单有效期比低风险设备的黑名单有效期更长。此外，上述装置还可以预先定义第一节点对应的黑名单有效期，此处不再赘述。

在第六方面的又一种可能的实施方式中，若所述第一节点的身份不可信，则不执行所述向所述第一节点发送第一关联请求的步骤。

第七方面，本申请实施例还提供一种关联控制方法，该方法包括：

接收来自第二节点的第一关联请求；

确定所述第二节点的身份可信，向所述第二节点发送第一认证请求，所述第一认证请求中包括第一完整性校验数据；

接收来自所述第二节点的第一认证响应，所述第一认证响应中包括第二完整性校验数据；

根据所述第二完整性验证数据验证所述第一认证响应的消息完整性；

若对所述第一认证响应的消息完整性的验证失败，则更新第一认证失败计数器，所述第一认证失败计数器表征针对所述第二节点的验证失败的次数。

本申请实施例中，在确认第二节点的身份可信后，进行关联之前还需要对来自第二节点的认证响应消息进行消息完整性验证。若消息完整性验证不通过，则更新验证失败的次数，该验证失败的次数可以用于后续确定第二节点的身份是否可信，从而可以防止攻击者篡改认证过程中的数据(如身份认证信息)，进而避免了节点与非法的攻击者建立关联，提高了节点的数据安全性。

在第七方面的一种可能的实施方式中，所述确定所述第二节点的身份可信，包括：

确定所述第二节点的标识在第一白名单中；

或者，确定所述第二节点的标识不在第一黑名单中；

上述方法中，可以根据通过黑名单或者白名单对请求关联的节点进行控制，从而无需对不可信的第二节点进行身份认证，避免了节点与非法的攻击者建立关联，提高了节点的数据安全性。

在第七方面的又一种可能的实施方式中，所述接收来自第二节点的第一关联请求之前，还包括：

可以看出，节点中预设有第一关联阈值，当关联的节点数量小于或者等于预设的第一关联阈值时，才可以接收来自第二节点的关联请求。该第一阈值可以限制节点所能提供的服务的承受量，当超过第一关联阈值时，节点可以不再接收或者处理关联请求，避免影响与该节点关联的其它节点的通信，保障了节点所提供的服务的稳定运行。

在第七方面的又一种可能的实施方式中，所述第一认证响应中还包括第二身份认证信息，所述方法还包括：

若对所述第一认证响应的完整性的验证通过，则根据与第二节点之间的共享密钥验证所述第二身份认证信息；

可以看出，在确认第二节点的身份可信之后，若完整性验证通过，则根据与第二节点的共享密钥验证第二节点的身份。若验证不通过，则更新验证失败的次数，该验证失败的次数可以用于后续确定第二节点的身份是否可信，使得多次验证不通过的节点可以不再被确定为可信。而对于不被确认为可信的节点，可以不再对其的关联请求进行处理(如发送认证请求)，从而防止节点由于处理大量请求而崩溃，保证了服务正常进行。

在第七方面的又一种可能的实施方式中，所述方法还包括：

在第七方面的又一种可能的实施方式中，所述第一黑名单的有效期为预先定义或者配置的第一时长。

在第七方面的又一种可能的实施方式中，所述方法还包括：

上述实施方式说明了与第一黑名单的有效期相关的因素，一方面，第一黑名单的有效期可以与第二节点加入第一黑名单的次数有关，某一第二节点加入的第一黑名单的次数越多，其在第一黑名单中的时长也会越来越长。进一步的可选的，当其被加入黑名单的次数超过某一阈值以后，可以永久加入黑名单。

另一方面，第一黑名单的有效期可以与第二节点所属的设备类型有关，具体的，第二节点可以预先获取第二节点的设备类型，根据不同的设备类型确定不同的黑名单有效期。例如，设备类型可以包括高风险设备或者低风险设备，若第二节点属于麦克风、音响等，可以认为是低风险设备，若第二节点属于手机、电脑等，可以认为是高风险设备，高风险设备的黑名单有效期比低风险设备的黑名单有效期更长。此外，第一节点还可以预先定义第二节点对应的黑名单有效期，此处不再赘述。在第七方面的又一种可能的实施方式中，若所述第二节点的身份不可信，则不执行所述向所述第二节点发送第一认证请求的步骤。

可以看出，若第二节点的身份不可信，则不再执行后续的身份认证步骤，避免浪费节点的资源，影响其它节点的正常关联。

第八方面，本申请实施例还提供一种关联方法，包括：

接收来自所述第一节点的第一认证请求，所述第一认证请求中包括第一完整性检验数据；

根据所述第一完整性验证数据验证所述第一认证请求的消息完整性；

若对所述第一认证请求的消息完整性的验证通过，则向所述第一节点发送第一认证响应，所述第一认证响应中包括第二完整性校验数据。

本申请实施例中，在确认第二节点的身份可信后，在进行通信之前还需要对第一节点进行认证(例如通过身份验证信息等进行验证)。为了防止攻击者篡改认证过程中的数据，需要先对第一认证请求进行消息完整性验证。若消息完整性验证通过，才允许与第一节点可以进行关联，从而可以防止攻击者篡改消息内容，进而避免了节点与非法的攻击者建立关联，提高了节点的数据安全性。

在第八方面的一种可能的实施方式中，所述确定所述第一节点的身份可信，包括：

确定所述第一节点的标识在第二白名单中；

或者，确定所述第一节点的标识不在第二黑名单中；

在第八方面的又一种可能的实施方式中，所述确定第一节点的身份可信，向所述第一节点发送第一关联请求之前，还包括：

可以看出，节点中预设有第二关联阈值，当关联的节点数量小于或者等于预设的第二关联阈值时，才可以向第一节点发送关联请求。该第二阈值可以限制节点所能关联的节点的数量，当超过第二关联阈值时，节点不能再关联其它节点，避免影响与该节点关联的其它节点的通信，保障了节点所提供的服务的稳定运行。

在第八方面的又一种可能的实施方式中，所述方法还包括：

可以看出，在确认第一节点的身份可信之后，若身份验证通过，需要重置针对第一节点的验证失败的次数，避免影响之后对第一节点的身份的确定，保障了节点所提供的服务的稳定运行。

在第八方面的又一种可能的实施方式中，所述方法还包括：

若对所述第一认证响应的消息完整性的验证失败，则更新第二认证失败计数器，所述第二认证失败计数器表征针对所述第一节点的验证失败的次数。

通常来说，若对所述第一认证响应的消息完整性验证失败，则说明该第一认证响应消息已经不再完整或者已经被攻击者修改，因此更新验证第一节点的身份失败的次数，该验证失败的次数可以用于后续确定第一节点的身份是否可信。

在第八方面的又一种可能的实施方式中，所述第一认证请求消息中还包括第一身份验证信息，所述若对所述第一认证响应的消息完整性的验证通过，则向所述第一节点发送第一认证响应，包括：

若对所述第一认证响应的消息完整性的验证通过，则根据与第一节点之间的共享密钥验证所述第一身份验证信息；

若对第一身份验证信息的验证通过，则向所述第一节点发送所述第一认证响应。

可以看出，在确认第一节点的身份可信之后，若完整性验证通过，则根据与第一节点的共享密钥验证第一节点的身份。从而可以使得攻击者难以通过修改标识等身份绕过对其的关联控制，进而避免了节点与非法的攻击者建立关联，提高了节点的数据安全性。

在第八方面的又一种可能的实施方式中，所述方法还包括：

可以看出，若对所述第一节点的身份认证信息验证失败，则更新验证第一节点的身份失败的次数，该验证失败的次数可以用于后续确定节点的身份是否可信，从而使得多次验证不通过的节点可以不再被确定为可信。而对于不被确认为可信的节点，可以不再向其发送关联请求，从而保证了节点所提供的服务正常进行。

在第八方面的又一种可能的实施方式中，所述方法还包括：

确定所述第二认证失败计数器的值大于或者等于第二阈值，

将所述第一节点的标识加入所述第二黑名单。

在第八方面的又一种可能的实施方式中，所述第二黑名单的有效期为预先定义或者配置的第二时长。

在第八方面的又一种可能的实施方式中，若对所述第一身份认证信息的验证失败，则更新第二认证失败计数器之后，所述方法还包括：

确定所述第二认证失败计数器的值小于第二阈值，

向所述第一节点发送第二关联请求。

确定所述第二认证失败计数器的值小于第二阈值；

获取第三确认指示信息；

向所述第一节点发送第二关联请求。

在第八方面的又一种可能的实施方式中，所述方法还包括：

若所述第一节点的标识加入所述第二黑名单的时间超过第二时长，则将所述第一节点的标识移出所述第二黑名单，所述第二时长与所述第一节点的标识加入所述第二黑名单的次数、所述第一节点的类型中的至少一项有有关。

另一方面，第二黑名单的有效期可以与第一节点所属的设备类型有关，具体的，第一节点可以预先获取第一节点的设备类型，根据不同的设备类型确定不同的第二黑名单有效期。例如，设备类型可以包括高风险设备或者低风险设备，若第一节点属于智能座舱控制器CDC、虚拟现实设备AR等，可以认为是低风险设备，若第一节点属于服务器、电脑等，可以认为是高风险设备，高风险设备的黑名单有效期比低风险设备的黑名单有效期更长。此外，第二节点还可以预先定义第一节点对应的黑名单有效期，此处不再赘述。在第八方面的又一种可能的实施方式中，若所述第一节点的身份不可信，则不执行所述向所述第一节点发送第一关联请求的步骤。

第九方面，本申请实施例还提供一种关联控制装置，包括：

通信单元，用于接收来自第二节点的第一关联请求；

处理单元，用于确定所述第二节点的身份可信，通过所述通信单元向所述第二节点发送第一认证请求，所述第一认证请求中包括第一完整性校验数据；

所述通信单元，还用于接收来自所述第二节点的第一认证响应，所述第一认证响应中包括第二完整性校验数据；

所述处理单元，还用于根据所述第二完整性验证数据验证所述第一认证响应的消息完整性；

所述处理单元，还用于若对所述第一认证响应的消息完整性的验证失败，则更新第一认证失败计数器，所述第一认证失败计数器表征针对所述第二节点的验证失败的次数。

本申请实施例中，上述装置在确认第二节点的身份可信后，进行关联之前还需要对来自第二节点的消息进行消息完整性验证。若消息完整性验证不通过，则更新验证失败的次数，该验证失败的次数可以用于后续确定第二节点的身份是否可信，从而可以防止攻击者篡改认证过程中的数据(如身份认证信息)，进而避免了上述装置与非法的攻击者建立关联，提高了上述装置的数据安全性。

在第九方面的一种可能的实施方式中，所述处理单元，具体用于：

确定所述第二节点的标识在第一白名单中；

或者，确定所述第二节点的标识不在第一黑名单中；

上述装置根据通过黑名单或者白名单对请求关联的节点进行控制，从而无需对不可信的第二节点进行身份认证，避免了节点与非法的攻击者建立关联，提高了节点的数据安全性。

在第九方面的又一种可能的实施方式中，所述处理单元，还用于：

可以看出，上述装置在确认第二节点的身份可信之后，若完整性验证通过，则根据与第二节点的共享密钥验证第二节点的身份。若验证不通过，则更新验证失败的次数，该验证失败的次数可以用于后续确定第二节点的身份是否可信，使得多次验证不通过的节点可以不再被确定为可信。而对于不被确认为可信的节点，可以不再对其的关联请求进行处理(如发送认证请求)，从而防止节点由于处理大量请求而崩溃，保证了服务正常进行。

在第九方面的又一种可能的实施方式中，所述通信单元，还用于：

在第九方面的又一种可能的实施方式中，所述第一黑名单的有效期为预先定义或者配置的第一时长。

在第九方面的又一种可能的实施方式中，该处理单元，还用于：

另一方面，第一黑名单的有效期可以与第二节点所属的设备类型有关，具体的，第二节点可以预先获取第二节点的设备类型，根据不同的设备类型确定不同的黑名单有效期。例如，设备类型可以包括高风险设备或者低风险设备，若第二节点属于麦克风、音响等，可以认为是低风险设备，若第二节点属于手机、电脑等，可以认为是高风险设备，高风险设备的黑名单有效期比低风险设备的黑名单有效期更长。此外，第一节点还可以预先定义第二节点对应的黑名单有效期，此处不再赘述。

在第九方面的又一种可能的实施方式中，若所述第二节点的身份不可信，则不执行所述向所述第二节点发送第一认证请求的步骤。

第十方面，本申请实施例还提供一种关联装置，包括：

处理单元，用于确定第一节点的身份可信，通过通信单元向所述第一节点发送第一关联请求；

所述通信单元，还用于接收来自所述第一节点的第一认证请求，所述第一认证请求中包括第一身份认证信息和第一完整性检验数据；

所述处理单元，还用于根据所述第一完整性验证数据验证所述第一认证请求的消息完整性；

所述通信单元，还用于若对所述第一认证请求的消息完整性的验证通过，则向所述第一节点发送第一认证响应，所述第一认证响应中包括第二完整性校验数据。

本申请实施例中，上述装置在确认第二节点的身份可信后，在进行通信之前还需要对第一节点进行认证(例如通过身份验证信息等进行验证)。为了防止攻击者篡改认证过程中的数据，需要先对第一认证请求进行消息完整性验证。若消息完整性验证通过，才允许与第一节点可以进行关联，从而可以防止攻击者篡改消息内容，进而避免了节点与非法的攻击者建立关联，提高了节点的数据安全性。

在第十方面的一种可能的实施方式中，所述处理单元，具体用于：

确定所述第一节点的标识在第二白名单中；

或者，确定所述第一节点的标识不在第二黑名单中；

在第十方面的又一种可能的实施方式中，所述处理单元，还用于：

在第十方面的又一种可能的实施方式中，所述通信单元，还用于：

通常来说，若对所述第一认证响应的消息完整性验证失败，则说明该第一认证响应消息已经不再完整或者已经被攻击者修改，因此更新针对第一节点的验证失败的次数，该验证失败的次数可以用于后续确定第一节点的身份是否可信。

在第十方面的又一种可能的实施方式中，所述第一认证请求消息中还包括第一身份验证信息，所述处理单元，还用于若对所述第一认证响应的消息完整性的验证通过，则根据与第一节点之间的共享密钥验证所述第一身份验证信息；

所述通信单元，还用于若对第一身份验证信息的验证通过，则向所述第一节点发送所述第一认证响应。

可以看出，在确认第一节点的身份可信之后，若完整性验证通过，则根据与第一节点的共享密钥验证第一节点的身份。从而可以使得攻击者难以通过修改标识等身份绕过上述装置对其的关联控制，进而避免了节点与非法的攻击者建立关联，提高了节点的数据安全性。

可以看出，若对所述第一节点的身份认证信息验证失败，则上述装置更新验证第一节点的身份失败的次数，该验证失败的次数可以用于后续确定节点的身份是否可信，从而使得多次验证不通过的节点可以不再被确定为可信。而对于不被确认为可信的节点，可以不再向其发送关联请求，从而保证了节点所提供的服务正常进行。在第十方面的又一种可能的实施方式中，所述处理单元，还用于：

确定所述第二认证失败计数器的值大于或者等于第二阈值，

将所述第一节点的标识加入所述第二黑名单。

在第十方面的又一种可能的实施方式中，所述第二黑名单的有效期为预先定义或者配置的第二时长。

在第十方面的又一种可能的实施方式中，所述处理单元，还用于确定所述第二认证失败计数器的值小于第二阈值；

所述通信单元，还用于向所述第一节点发送第二关联请求。

在第十方面的又一种可能的实施方式中，该处理单元，还用于：

确定所述第二认证失败计数器的值小于第二阈值；

获取第三确认指示信息；

向所述第一节点发送第二关联请求。

若所述第一节点的标识加入所述第二黑名单的时间超过第二时长，则将所述第一节点的标识移出所述第二黑名单，所述第二时长与所述第一节点的标识加入所述第二黑名单的次数、所述第一节点的类型有关。

另一方面，第二黑名单的有效期可以与第一节点所属的设备类型有关，具体的，第一节点可以预先获取第一节点的设备类型，根据不同的设备类型确定不同的第二黑名单有效期。例如，设备类型可以包括高风险设备或者低风险设备，若第一节点属于智能座舱控制器CDC、虚拟现实设备AR等，可以认为是低风险设备，若第一节点属于服务器、电脑等，可以认为是高风险设备，高风险设备的黑名单有效期比低风险设备的黑名单有效期更长。此外，第二节点还可以预先定义第一节点对应的黑名单有效期，此处不再赘述。在第十方面的又一种可能的实施方式中，若所述第一节点的身份不可信，则不执行所述向所述第一节点发送第一关联请求的步骤。

第十一方面，本申请实施例还提供一种通信装置，所述通信装置包括至少一个处理器和通信接口，所述至少一个处理器用于调用至少一个存储器中存储的计算机程序，以使得所述装置实现第七方面或者第七方面任意一种可能的实施方式所描述的方法。

第十二方面，本申请实施例还提供一种通信装置，所述装置包括至少一个处理器和通信接口，所述至少一个处理器用于调用至少一个存储器中存储的计算机程序，以使得所述装置实现第八方面或者第八方面任意一种可能的实施方式所描述的方法。

第十三方面，本申请实施例还提供一种通信系统，该通信系统包括第一节点和第二节点，其中，该第一节点为上述第三方面或第三方面的任意一种可能的实施方式、或者上述第五方面或上述第五方面的任意一种可能的实施方式所描述的装置，该第二节点为上述第四方面或第四方面的任意一种可能的实施方式、或者上述第六方面或上述第六方面的任意一种可能的实施方式所描述的装置。

第十四方面，本申请实施例还提供一种通信系统，该通信系统包括第一节点和第二节点，其中，该第一节点为上述第九方面或第九方面的任意一种可能的实施方式、或者上述第十一方面所描述的装置，该第二节点为上述第十方面或第十方面的任意一种可能的实施方式、或者上述第十二方所描述的装置。

第十五方面，本申请实施例公开了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，当所述计算机程序在一个或多个处理器上运行时，执行第一方面、第一方面的任意一种可能的实施方式所描述的方法，或者执行第二方面或者第二方面的任意一种可能的实施方式所描述的方法，或者执行第七方面或者第七方面的任意一种可能的实施方式所描述的方法，或者执行第八方面或者第八方面的任意一种可能的实施方式所描述的方法。

第十六方面，本申请实施例公开了一种芯片系统，所述芯片系统包括至少一个处理器，存储器和接口电路，该接口电路用于为上述至少一个处理器提供信息输入/输出，该存储器中存储有计算机程序，当所述计算机程序在一个或多个处理器上运行时，执行第一方面、第一方面的任意一种可能的实施方式所描述的方法，或者执行第二方面或者第二方面的任意一种可能的实施方式所描述的方法，或者执行第七方面或者第七方面的任意一种可能的实施方式所描述的方法，或者执行第八方面或者第八方面的任意一种可能的实施方式所描述的方法。

第十七方面，本申请实施例公开了一种车辆，所述车辆包括第一节点(例如，汽车座舱域控制器CDC)，其中所述第一节点为上述第三方面或第三方面的任意一种可能的实施方式、或者上述第五方面或上述第五方面的任意一种可能的实施方式所描述的装置。进一步的，所述车辆还包括第二节点(例如，摄像头、屏幕、麦克风、音响、雷达、电子钥匙、无钥匙进入或启动系统控制器等模块中的至少一个)，所述第二节点为上述第四方面或第四方面的任意一种可能的实施方式、或者上述第六方面或上述第六方面的任意一种可能的实施方式所描述的装置。

第十八方面，本申请实施例公开了一种车辆，所述车辆包括第一节点(例如，汽车座舱域控制器CDC)，其中所述第一节点为上述第九方面或第九方面的任意一种可能的实施方式、或者上述第十一方面所描述的装置。进一步的，所述车辆还包括第二节点(例如，摄像头、屏幕、麦克风、音响、雷达、电子钥匙、无钥匙进入或启动系统控制器等模块中的至少一个)，所述第二节点为上述第十方面或第十方面的任意一种可能的实施方式、或者上述第十二方面所描述的装置。

附图说明

以下对本申请实施例用到的附图进行介绍。

图1是本申请实施例提供的一种通信系统的架构示意图；

图2是本申请实施例提供的一种关联控制方法的使用场景示意图；

图3是本申请实施例提供的一种关联控制方法的流程示意图；

图4是本申请实施例提供的一种黑名单和白名单示意图；

图5是本申请实施例提供的又一种关联控制方法的流程示意图；

图6是本申请实施例提供的又一种关联控制方法的流程示意图；

图7是本申请实施例提供的又一种关联控制装置的结构示意图；

图8是本申请实施例提供的又一种关联装置的结构示意图；

图9是本申请实施例提供的一种通信装置的结构示意图；

图10是本申请实施例提供的又一种通信装置的结构示意图；

图11是本申请实施例提供的又一种关联控制装置的结构示意图；

图12是本申请实施例提供的又一种关联装置的结构示意图；

图13是本申请实施例提供的又一种通信装置的结构示意图；

图14是本申请实施例提供的又一种通信装置的结构示意图。

具体实施方式

下面结合本申请实施例中的附图对本申请实施例进行描述。需要说明的是，本申请中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

下面先对本申请涉及到的相关技术和专业术语进行简单的介绍以方便理解。

一、节点(node)

节点是具有数据收发能力的电子设备。例如，节点可以为汽车座舱(Cockpit Domain)设备，或者汽车座舱设备中的一个模块(例如座舱域控制器(cockpit domain controller，CDC)、摄像头、屏幕、麦克风、音响、电子钥匙、无钥匙进入或启动系统控制器等模块中的一个或者多个)。在具体实施过程中，节点可以是数据中转设备，例如路由器、中继器、桥接器或交换机，也可以是一个终端设备，例如各种类型的用户设备(user equipment，UE)、手机(mobile phone)、平板电脑(pad)、台式电脑、耳机、音响等，还可以包括机器智能设备如无人驾驶(self-driving)设备、运输安全(transportation safety)设备、虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、机器类型通信(machine type communication，MTC)设备、工业控制(industrial control)设备、远程医疗(remote medical)设备、智能电网(smart grid)设备、智慧城市(smart city)设备，还可以包括可穿戴设备(如智能手表，智能手环，计步器等)等等。在某些技术场景中，具备相类似数据收发能力的设备的名称也可能不称为节点，但是为了方便描述，本申请实施例中将具有数据收发能力的电子设备统称为节点。

二、共享密钥(shared key，SK)

在通信过程中，数据在通信节点之间传递，如果数据要进行保密，就需要通过密钥进行加密。而共享密钥是通信双方的节点中保存的相同的秘密值，共享密钥可以是在双方节点中预先定义或者预先配置的，也可以是双方通过相同的密钥获取方法生成的，还可以是一个可信设备(如KDC)分别发送给第一节点和第二节点的。

例如，车辆的座舱域控制器(cockpit domain controller，CDC)与车载雷达设备是可以进行通信的两个节点，汽车厂工作人员在部署CDC和车载雷达时已经预先配置CDC和车载雷达之间的共享密钥，通过该共享密钥，可以保证车辆的CDC与车顶雷达进行通信的安全性。

再如，车辆的座舱域控制器(cockpit domain controller，CDC)与车主的手机是可以进行通信的两个节点。当车主需要通过手机与车辆的CDC进行关联时，可以通过密钥获取方法获取共享密钥，如通过密钥协商算法在手机与车辆的CDC之间交换密钥协商算法参数生成密钥等。该共享密钥可以用于后续该手机再次请求关联车辆的CDC时，验证双方节点的身份。

三、密钥派生

密钥派生是从一个秘密值中派生出一个或多个秘密值的过程，而用于派生密钥的算法称为密钥派生算法(key derivation function，KDF)，又称为密钥导出算法。例如，通过秘密值Key派生的新的秘密值DK可以表示为：DK＝KDF(Key)。

常用的密钥派生算法有基于密码的密钥派生函数(password-based key derivation function，PBKDF)、斯克里普特(scrypt)算法等，其中PBKDF算法又包括第一代PBKDF1和第二代PBKDF2。可选的，一些KDF算法在派生密钥过程中，使用哈希算法对输入的秘密值进行哈希变化，因此KDF函数还可以接收算法标识作为输入，用于指示使用何种哈希算法。

另外需要说明的是，本申请各实施例中提到的“认证”、“校验”、“验证”，可以表征检查是否正确或者合理的意思。本申请各实施例中提“关联”表明第一节点与第二节点建立连接的过程，在一些具体的技术场景中，也可以将“关联”描述为“接入”。

下面对本申请实施例的系统架构和业务场景进行描述。需要说明的是，本申请描述的系统架构及业务场景是为了更加清楚的说明本申请的技术方案，并不构成对于本申请提供的技术方案的限定，本领域普通技术人员可知，随着系统架构的演变和新业务场景的出现，本申请提供的技术方案对于类似的技术问题，同样适用。

请参见图1，图1是本申请实施例提供的一种通信系统的架构示意图，包括第一节点101和第二节点102。第一节点101可以被第二节点202请求关联，关联成功后，第一节点101可以通过数据链路与第二节点102进行通信。可选的，第一节点101与第二节点102进行通信的数据链路可以包括各种类型的连接介质，例如无线链路，具体可以为无线保真技术(wireless fidelity，Wi-Fi)、蓝牙、紫蜂(zigbee)以及其他无线链路(如通用无线短距传输技术)等，再如有线链路，如光纤链路等。

可选的，第一节点101可以是通信的发起方，可以称为主节点或者接入点(access point，AP)，相应的，第二节点102是通信的接收方，可以称为从节点。

其中，第一节点101和第二节点102可以是相同类型的设备，也可以是不同类型的设备。例如，请参见图2，图2是本申请实施例提供的一种关联控制方法的使用场景示意图。座舱域控制器(cockpit domain controller，CDC)201是智能座舱设备中的控制中心，可以看作为第一节点101。智能手机202是可以具有数据收发能力的设备，可以看作为第二节点102。其中，CDC201可以通过蓝牙被其它蓝牙设备关联，而智能手机202支持蓝牙功能，因此可以请求关联该CDC201。

现有的通信过程中，节点很容易遭受到攻击者的攻击。例如，攻击者可以伪造第二节点的身份，请求关联第一节点，若攻击者成功关联，会导致第一节点的数据安全收到威胁。尤其是在车辆通信过程中，若CDC201接收到攻击者的关联，很容易导致车辆数据泄露，甚至被攻击者攻击，危及驾驶安全。再如，攻击者向节点发送大量的请求帧，当节点收到大量的请求帧超过所能承受的处理能力时，将导致节点瘫痪，无法继续提供正常服务，进而影响其它节点与该节点的通信。为了解决这个问题，本申请实施例提供如下的关联控制方法。

请参见图3，图3是本申请实施例提供的一种关联控制方法的流程示意图，该关联控制方法可以基于图1所示的通信系统来实现，该方法至少包括如下步骤：

步骤S301：第二节点确定第一节点的身份可信。

具体的，第二节点至少可以通过以下三种方法确定第一节点的身份可信：

方法一：通过黑名单和/或白名单来确定第一节点的身份可信。

参见图4，图4是本申请实施例提供的一种黑名单和白名单的示意图，黑名单401和白名单402中存储有多个节点的标识，其中，节点的标识可以为节点的身份标识(identification，ID)、媒体存取控制(media access control，MAC)地址、域名、域地址或其他自定义的标识，例如，黑名单401中的标识“00－00－00－AA－AA－AA”即为某一节点的标识。可选的，黑名单中还可以包括有该节点的标识的加入时间、过期时间、加入黑名单次数等等中的一项或者多项，相应的，白名单中也可以包括有该节点的标识的加入时间、过期时间、密钥配置类型等等中的一项或者多项。为了方便描述，本申请各实施例中，将第二节点中的黑名单称为第二黑名单，将第二节点中的白名单称为第二白名单。可以理解的是，节点的标识不能同时既在第二白名单中，又在第二黑名单中。

第二节点可以通过确定第一节点的标识是否在第二白名单或者第二黑名单中，来确定第一节点的身份是否可信。具体可以有以下两种实现方式：

实现方式一：第二节点确定第一节点的标识在第二白名单中，那么可以表明第一节点的身份可信。

实现方式二：第二节点确定第一节点的标识不在第二黑名单中，那么可以表明第一节点的身份可信。

可选的，第二节点可以通过获取输入的信息来获取第一节点的标识，或者通过接收第一节点广播的消息来获取第一节点的标识。例如，第一节点可以广播消息，广播的消息中可以包括第一节点的标识，第二节点接收广播的消息后，可以根据第一节点的标识、第二黑名单或者第二白名单确认第一节点的身份是否可信。可选的，第二节点中存储有一个或者多个其它节点的标识和密钥配置类型的对应关系，密钥配置类型可以为预先配置类型和口令生成类型。其中，预先配置类型表明第一节点与第二节点之间的共享密钥是预先配置或者预先定义的，例如，主机厂工作人员在装配车辆时，在CDC与麦克风之间预先配置共享密钥。口令生成类型，也可以称为“口令接入类型”，表明第一节点与第二节点之间的共享密钥是通过口令接入的方式建立关联时根据口令生成的共享密钥。进一步的，不同的密钥配置类型的节点可以有不同的确定身份可信的方式，具体还包括以下两种情况：

实现方式三：对于密钥配置类型为预先配置的第一节点，若确认该第一节点的标识在第二白名单中，则表明该节点的身份可信。可选的，若该第一节点的标识在第二黑名单中，则该第一节点的身份不可信。例如，参见表1，表1是本申请实施例提供的一种可能的节点标识与密钥配置类型的对应关系，若标识为“66－66－66－FF－FF－FF”的节点A1请求关联，由于节点A1的密钥配置类型为预先配置类型，而参见白名单402可知该节点A1的标识在白名单402中，因此可以确认该节点A1的身份可信。

表1节点标识与密钥配置类型的对应关系

标识	密钥配置类型	共享密钥
66－66－66－FF－FF－FF	预先配置	PSK1
00-00-00-AA-AA-AA	口令生成	PSK2
44-44-44-EE-EE-EE	口令生成	PSK3
77-77-77-GG-GG-GG	口令生成	PSK4

实现方式四：对于密钥配置类型为口令生成的第一节点，若确认该第一节点的标识不在第二黑名单中，则表明该第一节点的身份可信。例如，参见表1，若标识为“77-77-77-GG-GG-GG”的节点A2请求关联，由于节点A2的密钥配置类型为口令生成类型，而参见图4可知该节点A2的标识不在黑名单401中，因此可以确认该节点A2的身份可信。

方法二：通过获取第二确认指示信息确定第一节点的身份可信。

第二节点获取第二确认指示信息，该第二确认指示信息表征第一节点的身份可信。第二确认指示信息是根据用户输入的确认操作得到的指示信息，该确认操作可以是对输出的提示信息的确认，例如：

实现方式五：第二节点输出第二提示信息，提醒用户需要请求关联第一节点，在接收到用户确认操作、得到第二确认指示信息后，可以确定该第一节点的身份可信。进一步的可选的，若第二节点输出第二提示信息后，接收到用户的拒绝操作，则可以确认该第一节点的身份不可信。

方法三：通过黑和/或白名单和确认指示信息确定第一节点的身份可信。

当通过黑名单和白名单不能确认第一节点的身份是否可信时，第二节点可以通过确认指示信息来确定第一节点的身份可信。具体的，第一节点的标识不在第二黑名单中的情况下，或者第一节点的标识既不第二在黑名单也不在第二白名单时的情况下，获取第二确认指示信息，该第二确认指示信息表征第一节点的身份可信。可选的，具体实现过程中，不同的密钥配置类型还可以有不同的处理，例如：

实现方式六：对于密钥配置类型为口令生成的第一节点，若该第一节点的标识不在第二黑名单中且不在第二白名单中，则获取第二确认指示信息，该确认指示信息表明第一节点的身份可信。可选的，若没有获取到第二确认指示信息，则可以确认该第二节点的身份不可信。

可选的，第二节点可以预先定义或者配置有第二关联阈值，该第二关联阈值用于表征当前关联的节点数量，第二节点可以在确认第一节点的身份可信之前或者之后，又或者是可以周期或者非周期的确认第二节点的关联数量。即在该方法中包括以下步骤：确认第二节点当前关联的节点数量是否小于等于(或者小于)第二关联阈值或者确定第二节点当前关联的节点数量是否大于(或者大于等于)第二关联阈值。若当前关联的节点数量大于(或者大于等于)第二关联阈值，第二节点可以不向第一节点发送关联请求或者可以后续取消与第一节点之间的关联，避免影响第二节点与其它节点的通信，保障了第二节点所提供的服务的稳定运行。

步骤S302：第二节点向第一节点发送第一关联请求。

具体的，第二节点可以通过无线链路(例如Wi-Fi、蓝牙、Zigbee或者其他短距无线链路等中的一个)或者有线链路(例如光纤)向第一节点发送第一关联请求消息。

相应的，第一节点接收来自第二节点的第一关联请求。可选的，第一节点可以预先定义或者配置有第一关联阈值，该第一关联阈值用于表征当前关联的节点数量，第一节点在接收来自第二节点的第一关联请求消息之前或者之后，又或者是可以周期或者非周期的确认第一节点当前关联的节点数量，即在该方法中可以包含以下步骤：确定第一节点当前关联的节点数量是否小于等于(或者小于)第一关联阈值或者确定第一节点当前关联的节点数量是否大于(或者大于等于)第一关联阈值。该第一关联阈值可以限制第一节点所能提供的服务的承受量，当第一节点关联的节点数量大于(或者大于等于)第一关联阈值时，第一节点可以不再接收或者处理关联请求，因此不会接收或者处理上述第一关联请求，避免影响第一节点与关联的其它节点的通信，保障了第一节点所提供的服务的稳定运行。

可选的，第一关联请求消息中可以包括第二节点的身份标识或者第二节点获取的(或者生成的)新鲜性参数等等中的至少一个。其中，新鲜性参数可以包括随机数(number once，NONCE)、计数器(counter)、序列号(number)等等中的至少一个。为了方便描述，将第一关联请求消息中的新鲜性参数称为第一新鲜性参数。

步骤S303：第一节点确定第二节点的身份可信。

具体的，第一节点至少可以通过以下三种方式确定第二节点的身份可信：

方法一：通过黑名单和/或白名单来确定第二节点的身份可信。

为了方便描述，本申请各实施例中，将第一节点中的黑名单称为第一黑名单，将第一节点中的白名单称为第一白名单。可以理解的是，在第一节点中，一个节点的标识不能同时既在第一白名单中，又在第一黑名单中。

第一节点可以通过确定第二节点的标识是否在第一白名单或者第一黑名单中，来确定第二节点的身份是否可信。具体可以有以下两种案例：

案例一：第一节点确定第二节点的标识在第一白名单中，那么可以表明第二节点的身份可信。

案例二：第一节点确定第二节点的标识不在第一黑名单中，那么可以表明第二节点的身份可信。可选的，若第二节点的标识在第一黑名单中，那么表明第二节点的身份不可信，第一节点可以丢弃该第一关联请求或者忽略该请求不进行后面的步骤。

可选的，第一关联请求消息中包括第二节点的身份标识，第一节点可以通过接收第一关联请求消息获取第二节点的身份标识。

可选的，第一节点中存储有一个或者多个其它节点的标识和密钥配置类型的对应关系，密钥配置类型可以为预先配置类型和口令生成类型。其中，预先配置类型表明第一节点与第二节点之间的共享密钥是预先配置或者预先定义的，例如，主机厂工作人员在装配车辆时，在CDC与麦克风之间预先配置共享密钥。口令生成类型表明第一节点与第二节点之间的共享密钥是通过口令接入的方式建立关联，然后根据口令生成的共享密钥。进一步的，不同的密钥配置类型的节点可以有不同的确定身份可信的方式，具体实现时可以有以下两种案例：

案例三：对于密钥配置类型为预先配置的第二节点，若确认该第二节点的标识在第一白名单中，则表明该第二节点的身份可信。

案例四：对于密钥配置类型为口令生成的第二节点，若确认该第二节点的标识不在第一黑名单中，则表明该节点的身份可信。可选的，若该节点的标识在第一黑名单中，则该第二节点的身份不可信，第一节点可以丢弃该第一关联请求或者忽略该请求不进行后面的步骤。

方式二：通过获取第一确认指示信息确定第二节点的身份可信。

第一节点获取第一确认指示信息，该第一确认指示信息表征第二节点的身份可信。具体的，该第一确认指示信息是根据用户输入的确认操作得到的指示信息，该确认操作可以是对输出的提示信息的确认。例如：

案例五：第一节点输出第一提示信息，提醒用户需要关联第二节点，在接收到用户确认操作，得到第一确认指示信息后，可以确定二节点的身份可信。进一步的可选的，若第一节点输出第一提示信息后，接收到用户的拒绝操作，则可以确认该第二节点的身份不可信，第一节点可以丢弃该第一关联请求或者忽略该请求不进行后面的步骤。

方式三：通过黑和/或白名单和确认指示信息确定第二节点的身份可信。

当通过黑名单和白名单不能确认第二节点的身份是否可信时，第一节点可以通过确认指示信息来确定第二节点的身份可信。具体的，第二节点的标识不在第一黑名单中的情况下，或者第二节点的标识既不在第一黑名单也不在第一白名单时的情况下，获取第一确认指示信息，该第一确认指示信息表征第二节点的身份可信。可选的，具体实现过程中，不同的密钥配置类型还可以有不同的处理，例如：

案例六：对于密钥配置类型为口令生成的第二节点，若该第二节点的标识不在第一黑名单中且不在第一白名单中，则获取第一确认指示信息，该确认指示信息表明第二节点的身份可信。可选的，若没有获取到第一确认指示信息，则可以确认该第二节点的身份不可信，第一节点可以丢弃该第一关联请求或者忽略该请求不进行后面的步骤。

步骤S304：第一节点向第二节点发送第一认证请求。

具体的，第一认证请求中可以包括第一身份验证信息。该第一身份验证信息为第一节点根据与第二节点之间的共享密钥生成的。该共享密钥可以是第一节点与第二节点之间的预共享密钥PSK。

例如，第一节点根据预共享密钥PSK，通过KDF可以生成第一身份认证信息AUTHa，例如：AUTHa＝KDF(PSK)。

可选的，在第一关联请求中包括第一新鲜性参数的情况下，该第一身份验证信息可以是第一节点根据共享密钥和第一新鲜性参数生成的。例如，第一节点根据预共享密钥PSK和第一新鲜性参数NONCEe，通过KDF生成第一身份认证信息AUTHa，例如：AUTHa＝KDF(PSK，NONCEe)。

可选的，在实际处理中，第一节点生成第一身份认证信息的参数还可以包括其他信息，例如，生成的第一身份认证信息AUTHa可以满足：AUTHa＝KDF(PSK，第一关联请求)。

可选的，第一认证请求中还包括第二新鲜性参数，该第二新鲜性参数可以是第二节点获取的(或者生成的)随机数、随机数(number once，NONCE)、计数器(counter)、序列号(number)等等中的至少一个。进一步可选的，在第一认证请求中包括第二新鲜性参数的情况下，第一节点生成的第一身份认证信息AUTHa还可以满足：AUTHa＝KDF(PSK，NONCEa，第一关联请求)，其中，NONCEa为第一认证请求中的第二新鲜性参数。

可选的，第一认证请求中还可以包括第一完整性校验数据等等。其中，该第一完整性校验数据是根据对称密钥和完整性保护算法生成的校验数据，用于第二节点校验第一认证请求的消息完整性。在具体实现中，该校验数据也可以称为消息认证码(message authentication code，MAC)。

步骤S305：第二节点根据第二节点与第一节点的共享密钥验证第一身份认证信息。

具体的，由于第一身份认证信息是第一节点根据第一节点与第二节点之间的共享密钥生成的，因此第二节点也具有该共享密钥且可以根据该共享密钥来验证所述第一身份认证信息是否正确。

在一种可选的方案中，根据协议规定，第一节点使用什么参数生成第一身份认证信息，则第二节点也应当使用相同的参数生成校验信息，如果校验信息与第一身份认证信息相同，则认为验证通过。例如，第一身份认证信息是通过KDF生成的，因此第二节点可以通过KDF生成校验信息，也称为校验值check1。第二节点通过校验信息验证第一身份认证信息是否正确。下面进行举例说明：

例如，若第一身份认证信息AUTHa为KDF(PSK，NONCEe)，则第二节点根据PSK和第一新鲜性参数NONCEe通过KDF得到校验值check1＝KDF(PSK，NONCEe)，若校验值check1与AUTHa相同，则验证通过。

可选的，在根据第二节点与所述第一节点的共享密钥验证所述第一身份认证信息之前或者之后，第二节点校验第一认证请求的消息完整性，防止第一认证请求中的内容被攻击者篡改。例如，第一认证请求中包括第一完整性校验数据，第二节点可以根据该第一完整性校验数据校验第一认证请求的消息完整性。

可选的，若对第一认证请求的消息完整性校验失败，第二节点可以更新针对第一节点的完整性校验失败的次数，该完整性校验失败的次数可以用于后续确定第一节点的身份是否可信。进一步可选的，第二节点更新针对第一节点的完整性校验失败的次数可以有如下两种情况：

情况一：第二节点通过第二认证失败计数器表征针对第一节点的验证失败的次数。其中，针对第一节点的验证可以包括消息完整性校验和身份验证，因此若第一认证请求的消息完整性校验失败或对第二节点的身份验证失败，第二节点可以将第二认证失败计数器加1，该第二认证失败计数器可以用于后续确认第一节点的身份是否可信。

情况二：第二节点通过第二完整校验计数器表征针对第一节点的完整性校验失败的次数，若针对第一认证请求的消息完整性校验失败，第二节点可以将第二完整校验计数器加1，该第二完整校验计数器可以用于后续确认第一节点的身份是否可信。

步骤S306：若第二节点对第一身份认证信息的验证通过，则向第一节点发送第一认证响应。

具体的，第一认证响应中可以包括第二身份验证信息。该第二身份验证信息为第二节点根据与第二节点之间的共享密钥生成的。该共享密钥可以是第一节点与第二节点之间的预共享密钥PSK。

例如，第二节点根据预共享密钥PSK，通过KDF可以生成第二身份认证信息AUTHe，例如：AUTHe＝KDF(PSK)。

可选的，在第一认证请求中包括第二新鲜性参数的情况下，该第二身份验证信息可以是第二节点根据共享密钥和第二新鲜性参数生成的。例如，第二节点根据预共享密钥PSK和第二新鲜性参数NONCEa，通过KDF生成第二身份认证信息AUTHe，例如：AUTHe＝KDF(PSK，NONCEa)。

可选的，在实际处理中，第二节点生成第二身份认证信息的参数还可以包括其他信息，例如，生成的第二身份认证信息AUTHe可以满足：AUTHe＝KDF(PSK，第一认证请求)。

可选的，在第一关联请求中还可以包括第一新鲜性参数的情况下，第二节点生成的第二身份认证信息AUTHe还可以满足：AUTHe＝KDF(PSK，NONCEe，第一认证请求)，其中，NONCEe为第一关联请求中的第一新鲜性参数。

可选的，第一关联请求中还可以包括第二完整性校验数据等等。其中，该第二完整性校验数据是根据对称密钥和完整性保护算法生成的校验数据，用于第一节点校验第一关联请求的消息完整性。在具体实现中，该校验数据也可以称为消息认证码(message authentication code，MAC)。

步骤S307：第一节点根据共享密钥验证第二身份认证信息。

具体的，由于第二身份认证信息是根据第一节点与第二节点之间的共享密钥生成的，因此第一节点也具有该共享密钥且可以根据该共享密钥来验证所述第二身份认证信息是否正确。

在一种可选的方案中，根据协议规定，第二节点使用什么参数生成第二身份认证信息，则第一节点也应当使用相同的参数生成校验信息，如果校验信息与第一身份认证信息相同，则认为验证通过。例如，第二身份认证信息是通过KDF生成的，因此第一节点可以通过 KDF生成校验信息，也称为校验值check2，然后通过校验信息验证第二身份认证信息是否正确。下面进行举例说明：

例如，若第二身份认证信息AUTHe为KDF(PSK，NONCEa)，则第一节点根据PSK和第二新鲜性参数NONCEa通过KDF得到校验值check2＝KDF(PSK，NONCEa)。若校验值check2与AUTHe相同，则验证通过，若校验值check2与AUTHe不相同，则验证失败。

可选的，在根据共享密钥验证第二身份认证信息之前或者之后，第一节点校验第一认证响应的消息完整性，防止第一认证响应中的内容被攻击者篡改。具体的，第一认证响应中包括第二完整性校验数据，第一节点可以根据该第二完整性校验数据校验第一认证响应的消息完整性。

可选的，若对第一认证响应的消息完整性校验失败，第一节点可以更新针对第二节点的完整性校验失败的次数，该完整性校验失败的次数可以用于后续确定第二节点的身份是否可信。进一步可选的，第一节点更新针对第二节点的完整性校验失败的次数可以有如下两种情况：

情况一：第一节点通过第一认证失败计数器表征针对第二节点的验证失败的次数。其中，针对第二节点的验证包括消息完整性校验和身份验证，因此若第一认证响应的消息完整性校验失败或者对第二节点的身份验证失败，第一节点可以将第一认证失败计数器加1，该第一认证失败计数器可以用于后续确认第二节点的身份是否可信。

情况二：第一节点通过第一完整校验计数器表征针对第二节点的完整性校验失败的次数，若针对第一认证响应的消息完整性校验失败，第一节点可以将第一完整校验计数器加1，该第一完整校验计数器可以用于后续确认第二节点的身份是否可信。

步骤S308：若第一节点对第二身份认证信息的验证失败，则更新第一认证失败计数器。

具体的，第一认证失败计数器表征针对所述第二节点的验证失败的次数。例如，若对第二身份认证信息的验证失败，则可以将第一认证失败计数器加1，该验证失败的次数可以用于后续确定第二节点的身份是否可信。

可选的，本申请实施例所述的关联控制方法，还可以包括图5所示的步骤S501，步骤S501具体如下：

步骤S501：若第一认证失败计数器的值超过第一阈值，第一节点将第二节点的标识加入第一黑名单。

具体的，第一认证失败计数器用于表征针对第二节点的验证失败的次数，超过第一阈值可以为大于或者等于第一阈值。若第一认证失败计数器的值超过第一阈值，表明该第二节点已经多次验证不通过，因此该第二节点可能是频繁发送关联请求的攻击者，因此将该第二节点的标识加入第一黑名单。在加入第一黑名单以后，该第二节点的身份将不会被确定为可信，从而避免了节点与非法的攻击者建立关联，提高了节点的数据安全性。可理解的，由于节点的标识不能既在第一黑名单中，又在第一白名单中，因此在将第二节点的标识加入第一黑名单，若第二节点的标识在第一白名单中，需要将第一节点的标识移出第一白名单。

可选的，第一黑名单的有效期为预先定义或者配置的第一时长。例如，第一黑名单的第一时长可以是20天，当第二节点的标识被加入第一黑名单20天以后，可以被移出该黑名单。

可选的，若第二节点的标识加入第一黑名单的时间超过第一时长，则将第二节点的标识移出第一黑名单，该第一时长与第二节点的标识加入第一黑名单的次数、第二节点的设备类型有关。具体的，一方面，第一黑名单的有效期可以与第二节点加入第一黑名单的次数有关，某一第二节点加入的第一黑名单的次数越多，其在第一黑名单中的时长也会越来越长。进一步的可选的，当其被加入第一黑名单的次数超过设定值(例如超过10次)以后，可以永久加入第一黑名单，不能被移除。另一方面，第一黑名单的有效期可以与第二节点所属的设备类型有关，具体的，第二节点可以预先获取第二节点的设备类型，根据不同的设备类型确定不同的黑名单有效期。例如，设备类型可以包括高风险设备或者低风险设备，若第二节点属于麦克风、音响等，可以认为是低风险设备，若第二节点属于手机、电脑等，可以认为是高风险设备，高风险设备的黑名单有效期比低风险设备的黑名单有效期更长。此外，第一节点还可以预先定义第二节点对应的黑名单有效期，此处不再赘述。

需要说明的是，本申请不限定具体设备类型的数量，可以根据实际需要，定义多种类型的设备并设置相应的黑名单以及黑名单的有效期。具体的，第一黑名单也可以包含多组黑名单，分别用于进行更具体和细化的设备管理。

可选的，本申请实施例所述的关联控制方法，还可以包括图5所示的步骤S502，步骤S502具体如下：

步骤S502：若对第二身份认证信息的验证通过，第一节点向第二节点发送第一关联响应。

具体的，在确认第二节点的身份可信之后，若身份验证通过，第一节点可以向第二节点发送第一关联响应，该第一关联响应用于指示第一节点与所述第二节点建立关联。进一步的，该第一响应消息可以用于告知第二节点已经关联成功，可以进行通信。

可选的，本申请实施例所述的关联控制方法，还可以包括图5所示的步骤S503或者步骤503-步骤504，步骤503-步骤504具体如下：

步骤S503：若对第一身份认证信息的验证失败，第二节点更新第二认证失败计数器。

具体的，第二认证失败计数器表征针对所述第一节点的验证失败的次数。若对所述第一节点的身份认证信息验证失败，则可以将第二认证失败计数器加1，该第二认证失败计数器可以用于后续确定第一节点的身份是否可信。

步骤S504：若第二认证失败计数器的值超过第二阈值，第二节点将第一节点的标识加入第二黑名单。

具体的，若针对第一节点的验证失败的次数超过预设的第二阈值，表明该第一节点已经多次验证不通过，因此第一节点可能是频繁发送认证请求的攻击者，因此将该第一节点的标识加入第二黑名单。在加入第二黑名单以后，该第一节点的身份将不会被确定为可信，从而避免了第二节点与非法的攻击者建立关联，提高了第二节点的数据安全性。可理解的，由于第一节点的标识不能既在第二黑名单中，又在第二白名单中，因此在将第一节点的标识加入第二黑名单后，若第一节点的标识在第二白名单中，需要将第一节点的标识移出第二白名单。

可选的，第二黑名单的有效期为预先定义或者配置的第二时长。第二时长可以看作是黑名单的有效期。例如，第二黑名单的第二时长可以是10天，当某第一节点的标识被加入第二黑名单10天以后，可以被移出该第二黑名单。

可选的，该第二时长与第一节点的标识加入第二黑名单的次数、所述第一节点的类型中的至少一项有关。一方面，第二黑名单的有效期可以与第一节点加入黑名单的次数有关，某一节点加入的第二黑名单的次数越多，其在第二黑名单中的时长也会越来越长。进一步的可选的，当其被加入第二黑名单的次数超过设定值(例如超过15次)以后，可以永久加入第二黑名单，不能被移除。另一方面，第二黑名单的有效期可以与第一节点所属的设备类型有关，具体的，第一节点可以预先获取第一节点的设备类型，根据不同的设备类型确定不同的第二黑名单有效期。例如，设备类型可以包括高风险设备或者低风险设备，若第一节点属于智能座舱控制器CDC、虚拟现实设备AR等，可以认为是低风险设备，若第一节点属于服务器、电脑等，可以认为是高风险设备，高风险设备的黑名单有效期比低风险设备的黑名单有效期更长。此外，第二节点还可以预先定义第一节点对应的黑名单有效期，此处不再赘述。

可选的，若第二节点确定所述第二认证失败计数器的值小于第二阈值，可以向所述第一节点发送第二关联请求。具体的，在身份认证信息验证过程中，由于某些参数在传输过程中被丢失或者传输错误，可能也会导致身份认证信息验证失败。因此，若对第一节点的验证失败的次数还没有超过预设的第二阈值，可以重新向第一节点发送关联请求，请求与该第一节点进行关联，从而提高系统的鲁棒性，保障了节点所提供的服务的稳定运行。

可选的，在第二节点发送第二关联请求之前，可以获取第三确认指示信息，该第三确认指示信息可以是根据用户输入的确认操作得到的指示信息，而该确认操作可以是对输出的提示信息的确认。例如，第二节点可以输出提示信息，提醒用户验证失败，需要重新发起关联请求，在接收到用户确认操作，得到第三确认指示信息后，向第一节点发送第二关联请求。这样一来，由用户去验证需要重新关联的第一节点的身份，可以避免与不可信的节点关联，保证了通信的安全性。

在图3或者以及图5所示的实施例中，在确认第二节点的身份可信后，再根据与第二节点的共享密钥验证第二节点的身份。这样一来，即便攻击者修改了身份标识，绕过了“确定身份可信”这一步骤，由于难以伪造身份验证信息，还是无法通过第一节点对其的身份验证，进而避免了节点与非法的攻击者建立关联，提高了节点的数据安全性。

进一步的，若验证不通过，会更新验证失败的次数，该验证失败的次数可以用于后续确定第二节点的身份是否可信，使得多次验证不通过的节点可以不再被确定为可信。而对于不被确认为可信的节点，可以不再对其的关联请求进行处理(如发送认证请求)，从而防止节点由于处理大量请求而崩溃，保证了服务正常进行。

请参见图6，图6是本申请实施例提供的关联控制方法的流程示意图，该方法可以基于图1所示的架构来实现，该方法包括但不限于如下步骤：

步骤S601：第二节点确定第一节点的身份可信。

具体可以参考步骤S301的相关描述。

步骤S602：第二节点向第一节点发送第一关联请求。

具体可以参考步骤S302的相关描述。

步骤S603：第一节点确定第二节点的身份可信。

具体可以参考步骤S303的相关描述。

步骤S604：第一节点向第二节点发送第一认证请求。

具体的，第一认证请求中包括第一完整性校验数据等等。其中，该第一完整性校验数据是根据密钥和完整性保护算法生成的校验数据，用于第二节点校验第一认证请求的消息完整性。在具体实现中，该校验数据也可以称为消息认证码(message authentication code，MAC)。

例如，第一完整性校验数据MAC1可以是根据基于密码的消息认证码(Cipher-based Message Authentication Code，CMAC)算法，通过共享密钥K1、第一认证请求中除了MAC1外的部分或者全部数据data1得到的，例如：MAC1＝CMAC(K1，data1)。

可选的，第一认证请求中可以包括第一身份验证信息。该第一身份验证信息为第一节点根据第一节点与第二节点之间的共享密钥生成的。该共享密钥可以是第一节点与第二节点之间的预共享密钥。例如，第一节点根据预共享密钥PSK，通过KDF可以生成第一身份认证信息AUTHa，即：AUTHa＝KDF(PSK)。

可选的，在第一关联请求中包括第一新鲜性参数的情况下，该第一身份验证信息可以是第一节点根据共享密钥和第一新鲜性参数生成的。例如，第一节点根据预共享密钥PSK和第一新鲜性参数NONCEe，通过KDF生成第一身份认证信息AUTHa，例如AUTHa＝KDF(PSK，NONCEe)。进一步可选的，在实际处理中，第一节点生成第一身份认证信息的参数还可以包括其他信息，例如，生成的第一身份认证信息AUTHa可以满足：AUTHa＝KDF(PSK，第一关联请求)。进一步可选的，在第一认证请求中包括第二新鲜性参数的情况下，第一节点生成的第一身份认证信息AUTHa还可以满足：AUTHa＝KDF(PSK，NONCEa，第一关联请求)，其中，NONCEa为第一认证请求中的第二新鲜性参数。

步骤S605：第二节点校验第一认证请求的消息完整性。

具体的，第一认证请求中包括第一完整性校验数据，第二节点可以根据该第一完整性校验数据校验第一认证请求的消息完整性，防止第一认证请求中的内容被攻击者篡改。

在一种可能的方案中，第一节点通过什么样的方式生成第一完整性校验数据，第二节点也使用相同的方式生成校验值，若生成的校验值与第一完整性校验数据相同，消息完整性通过。例如，第一完整性校验数据MAC1是第一节点根据CMAC算法，通过共享密钥K1、第一认证请求中除了MAC1以外的部分或者全部数据data1得到的，那么第二节点通过相同的方式生成校验值check3：check3＝CMAC(K1，data1)，若check3与MAC1相同，说明第一认证请求中的数据data1没有被篡改，第一认证请求的完整性验证通过。

可选的，图6所示的关联控制方法还包括步骤S606，具体如下：

步骤S606：若第一认证请求的消息完整性校验失败，第二节点更新第二认证失败计数器。

具体的，第二节点可以通过第二认证失败计数器表征针对第一节点的验证失败的次数，因此若针对第一认证请求的消息完整性校验失败，第二节点可以将第二认证失败计数器的值加1，该第二认证失败计数器可以用于后续确认第一节点的身份是否可信。

可选的，图6所示的关联控制方法还包括步骤S607，具体如下：

步骤S607：若第二认证失败计数器的值超过第二阈值，第二节点将第一节点的标识加入第二黑名单。

具体的，第二认证失败计数器表征针对所述第一节点的验证失败的次数，超过第二阈值可以为大于或者等于第二阈值。若对第一认证请求的消息完整性验证失败的次数超过第二阈值，可以说明来自第一节点的消息可能多次遭到了攻击者的篡改或者原本就是错误的数据，因此将第一节点的标识加入第二黑名单，避免了第二节点与非法的攻击者建立关联，提高了第二节点的数据安全性。

可选的，若第二节点确定所述第二认证失败计数器的值小于或者等于第二阈值，可以向所述第一节点发送第二关联请求。进一步可选的，在第二节点发送第二关联请求之前，可以获取第三确认指示信息，该第三确认指示信息可以是根据用户输入的确认操作得到的指示信息，而该确认操作可以是对输出的提示信息的确认。例如，第二节点可以输出提示信息，提醒用户验证失败，需要重新发起关联请求，在接收到用户确认操作，得到第三确认指示信息后，向第一节点发送第二关联请求。这样一来，由用户去验证需要重新关联的第一节点的身份，可以避免与不可信的节点关联，保证了通信的安全性。

可选的，图6所示的关联控制方法还包括步骤S608，具体如下：

步骤S608：第二节点根据第二节点与所述第一节点的共享密钥验证第一身份认证信息。

具体可以参考步骤S305的相关描述。

可选的，图6所示的关联控制方法还包括步骤S609，具体如下：

步骤S609：若对第一身份认证信息的验证失败，第二节点更新第二认证失败计数器。

具体的，第二认证失败计数器表征针对所述第一节点的验证失败的次数。若对所述第一节点的身份认证信息验证失败，则可以将第二认证失败计数器的值加1，该第二认证失败计数器可以用于后续确定第一节点的身份是否可信。

可选的，图6所示的关联控制方法还包括步骤S610，具体如下：

步骤S610：若第二认证失败计数器的值超过第二阈值，第二节点将第一节点的标识加入第二黑名单。

具体的，第二认证失败计数器表征针对所述第一节点的验证失败的次数，超过第二阈值可以为大于或者等于第二阈值。若第二认证失败计数器的值超过第二阈值，表明该第一节点已经多次验证不通过，因此该第一节点可能是频繁发送认证请求的攻击者，因此将该第一节点的标识加入第二黑名单。在加入第二黑名单以后，该第一节点的身份将不会被确定为可信，从而避免了第二节点与非法的攻击者建立关联，提高了节点的数据安全性。

可选的，若第二节点确定所述第二认证失败计数器的值小于第二阈值，可以向所述第一节点发送第二关联请求。进一步可选的，在第二节点发送第二关联请求之前，可以获取第三确认指示信息，该第三确认指示信息可以是根据用户输入的确认操作得到的指示信息，而该确认操作可以是对输出的提示信息的确认。例如，第二节点可以输出第三提示信息，提醒用户对第一节点的身份验证失败，需要重新发起关联请求，在接收到用户确认操作，得到第三确认指示信息后，向第一节点发送第二关联请求。这样一来，由用户去验证需要重新关联的第一节点的身份，可以避免与不可信的节点关联，保证了通信的安全性。

可选的，具体实施过程中，第二节点也可以先执行步骤S608或者步骤S608-步骤S610的操作再执行步骤S605或者步骤S605-步骤S607的操作。也即是说，第二节点可以先根据共享密钥验证第一身份认证信息之后，再校验第一认证请求的消息完整性。

步骤S611：第二节点向所述第一节点发送第一认证响应。

具体的，第一认证响应中还可以包括第二完整性校验数据等等。其中，该第二完整性校验数据是根据对称密钥和完整性保护算法生成的校验数据，用于第一节点校验第一关联请求的消息完整性。在具体实现中，该校验数据也可以称为消息认证码(message authentication code，MAC)。例如，第二完整性校验数据MAC2可以是根据CMAC算法，通过共享密钥K1、第一认证响应中除了MAC2以外的部分或者全部数据data2得到的，例如：MAC2＝CMAC(K1，data2)。

可选的，若第一认证请求的消息完整性校验通过，则第二节点向第一节点发送第一认证响应。进一步可选的，若第一认证请求的消息完整性校验通过，且第二节点对第一身份认证信息的验证通过，则向第一节点发送第一认证响应。

可选的，第一认证响应中还可以包括第二身份验证信息。该第二身份验证信息为第二节点根据与第一节点之间的共享密钥生成的。该共享密钥可以是第一节点与第二节点之间的预共享密钥PSK。例如，第二节点根据预共享密钥PSK，通过KDF可以生成第二身份认证信息AUTHe，例如：AUTHe＝KDF(PSK)。

可选的，在第一认证请求中包括第二新鲜性参数的情况下，该第二身份验证信息可以是第二节点根据共享密钥和第二新鲜性参数生成的。例如，第二节点根据预共享密钥PSK和第二新鲜性参数NONCEa，通过KDF生成第二身份认证信息AUTHe，例如：AUTHe＝KDF(PSK，NONCEa)。进一步可选的，在实际处理中，第二节点生成第二身份认证信息的参数还可以包括其他信息，例如，生成的第二身份认证信息AUTHe可以满足：AUTHe＝KDF(PSK，第一认证请求)。进一步可选的，在第一关联请求中还可以包括第一新鲜性参数的情况下，第二节点生成的第二身份认证信息AUTHe还可以满足：AUTHe＝KDF(PSK，NONCEe，第一认证请求)，其中，NONCEe为第一关联请求中的第一新鲜性参数。

步骤S612：第一节点校验第一认证响应的消息完整性。

具体的，第一认证响应中包括第二完整性校验数据，第一节点可以根据该第二完整性校验数据校验第一认证响应的消息完整性，防止第一认证响应中的内容被攻击者篡改。

在一种可能的方案中，第二节点通过什么样的方式生成第二完整性校验数据，第一节点也使用相同的方式生成校验值，若生成的校验值与第二完整性校验数据相同，则消息完整性通过。例如，第二完整性校验数据MAC2是第二节点根据CMAC算法，通过共享密钥K1、第一认证响应中除了MAC2以外的部分或者全部数据data2得到的，那么第二节点通过相同的方式生成校验值check4：check4＝CMAC(K1，data2)，若check4与MAC2相同，说明第一认证响应中的数据data2没有被篡改，第一认证响应的完整性验证通过。

S613：若第一认证响应的消息完整性校验失败，第一节点更新第一认证失败计数器。

具体的，第一节点可以通过第一认证失败计数器表征针对第二节点的验证失败的次数，因此若对第一认证响应的消息完整性校验失败，第一节点可以将第一认证失败计数器的值加1，该第一认证失败计数器可以用于后续确认第二节点的身份是否可信。

可选的，图6所示的关联控制方法还包括步骤S614，具体如下：

步骤S614：若第一认证失败计数器的值超过第一阈值，第一节点将第二节点的标识加入第一黑名单。

具体的，第一认证失败计数器表征针对所述第二节点的验证失败的次数，超过第一阈值可以为大于或者等于第一阈值。若第一认证失败计数器的值超过第一阈值，可以说明来自第二节点的消息可能多次遭到了攻击者的篡改或者原本就是错误的数据，因此将第二节点的标识加入第一黑名单，避免了与非法的攻击者建立关联，提高了节点的数据安全性。

可选的，图6所示的关联控制方法还包括步骤S615，具体如下：

步骤S615：第一节点根据共享密钥验证第二身份认证信息。

具体可以参考步骤S307的相关描述。

可选的，图6所示的关联控制方法还包括步骤S616或者步骤S616-步骤S617，步骤S616-步骤S617具体如下：

步骤S616：若第一认证响应的消息完整性校验失败，第一节点更新第一认证失败计数器。

具体可以参考步骤S308的相关描述。

步骤S617：若第一认证失败计数器的值超过第一阈值，第一节点将第二节点的标识加入第一黑名单。

具体可以参考步骤S501的相关描述。

可选的，具体实施过程中，第一节点也可以先执行步骤S615或者步骤S615-步骤S617的操作再执行步骤S612或者步骤S612-步骤S613的操作。也即是说，第一节点可以先根据共享密钥验证第二身份认证信息之后，再校验第一认证响应的消息完整性。

可选的，图6所示的关联控制方法还包括步骤S618，具体如下：

步骤S618：第一节点向第二节点发送第一关联响应。

具体的，该第一关联响应用于指示第一节点与所述第二节点建立关联。进一步的，该第一响应消息可以用于告知第二节点已经关联成功，可以进行通信。

可选的，若第一认证响应的消息完整性校验通过，则第一节点向第二节点发送第一关联响应。进一步可选的，若第一认证响应的消息完整性校验通过，且第一节点对第二身份认证信息的验证通过，则第一节点向第二节点发送第一关联响应。

在图6所示的实施例中，在确认第二节点的身份可信后，进行关联之前还需要对来自第二节点的认证响应消息进行消息完整性验证。若消息完整性验证不通过，则更新验证失败的次数，该验证失败的次数可以用于后续确定第二节点的身份是否可信，从而可以防止攻击者篡改认证过程中的数据，进而避免了节点与非法的攻击者建立关联，提高了节点的数据安全性。

上述详细阐述了本申请实施例的方法，下面提供了本申请实施例的装置。

请参见图7，图7是本申请实施例提供的一种关联控制装置70的结构示意图，该装置70可以为节点，也可以为节点中的一个器件，例如芯片或者集成电路等，该装置70可以包括通信单元701和处理单元702。其中，各个单元的描述如下：

通信单元701，用于接收来自第二节点的第一关联请求；

处理单元702，用于确定所述第二节点的身份可信，通过所述通信单元701向所述第二节点发送第一认证请求，所述第一认证请求中包括第一身份认证信息，所述第一身份认证信息为根据第一节点与所述第二节点的共享密钥生成的；

所述通信单元701，还用于接收来自所述第二节点的第一认证响应，所述第一认证响应中包括第二身份认证信息；

所述处理单元702，还用于根据所述共享密钥验证所述第二身份认证信息；

所述处理单元702，还用于若对所述第二身份认证信息的验证失败，则更新第一认证失败计数器，所述第一认证失败计数器表征针对所述第二节点的验证失败的次数。

本申请实施例中，上述装置70在确认第二节点的身份可信后，再根据与第二节点的共享密钥验证第二节点的身份。这样一来，即便攻击者修改了身份标识，绕过了上述装置70确定身份可信这一步骤，由于难以伪造身份验证信息，还是无法通过上述装置对其的身份验证，进而避免了上述装置与非法的攻击者建立关联，提高了节点的数据安全性。

进一步的，若验证不通过，上述装置70会更新验证失败的次数，该验证失败的次数可以用于后续确定第二节点的身份是否可信，使得多次验证不通过的节点可以不再被确定为可信。而对于不被确认为可信的节点，上述装置70可以不再对其的关联请求进行处理(如发送认证请求)，从而防止上述装置70由于处理大量请求而崩溃，保证了服务正常进行。

这里需要说明的是，上述多个单元的划分仅是一种根据功能进行的逻辑划分，不作为对装置70具体的结构的限定。在具体实现中，其中部分功能模块可能被细分为更多细小的功能模块，部分功能模块也可能组合成一个功能模块，但无论这些功能模块是进行了细分还是组合，装置70在关联控制的过程中所执行的大致流程是相同的。例如，上述通信单元701也可以变换为接收单元、发送单元，该接收单元用于实现通信单元701中接收消息的功能，该发送单元用于实现通信单元701中发送消息的功能。通常，每个单元都对应有各自的程序代码(或者说程序指令)，这些单元各自对应的程序代码在处理器上运行时，使得该单元执行相应的流程从而实现相应功能。

在一种可能的实施方式中，所述处理单元702，具体用于：

确定所述第二节点的标识在第一白名单中；

或者，确定所述第二节点的标识不在第一黑名单中；

上述装置70根据通过黑名单或者白名单对请求关联的节点进行控制，从而使得无需对不可信的第二节点进行身份认证，一方面，可以防止由于处理大量请求而崩溃，保证了服务正常进行。另一方面，由于不会与没有经过身份认证的节点建立关联，避免了上述装置70与非法的攻击者建立关联，提高了上述装置70的数据安全性。

在一种可能的实施方式中，所述处理单元，具体用于：

在又一种可能的实施方式中，所述第一认证响应中还包括第二完整性校验数据，所述第二完整性验证数据用于校验所述第一认证响应的消息完整性；

所述处理单元702，具体用于：

确定所述第一认证响应的消息完整性校验通过。

在又一种可能的实施方式中，所述处理单元702，还用于：

在又一种可能的实施方式中，所述通信单元701，还用于：

在又一种可能的实施方式中，所述处理单元702，还用于：

在又一种可能的实施方式中，所述第一黑名单的有效期为预先定义或者配置的第一时长。

在又一种可能的实施方式中，该处理单元702，还用于：

在又一种可能的实施方式中，若所述第二节点的身份不可信，则不执行所述向所述第二节点发送第一认证请求的步骤。

需要说明的是，各个单元的实现还可以对应参照图3或图5所示的一个实施例的相应描述。该装置70可以为图3或图5所示的实施例中的第一节点。

请参见图8，图8是本申请实施例提供的一种关联装置80的结构示意图，该装置80可以为节点，也可以为节点中的一个器件，例如芯片或者集成电路等，该装置80可以包括处理单元801和通信单元802。其中，各个单元的描述如下：

处理单元801，确定第一节点的身份可信，通过通信单元802向所述第一节点发送第一关联请求；

所述通信单元802，还用于接收来自所述第一节点的第一认证请求，所述第一认证请求中包括第一身份认证信息；

所述处理单元801，还用于根据第二节点与所述第一节点的共享密钥验证所述第一身份认证信息；

所述通信单元802，还用于若对所述第一身份认证信息的验证通过，则向所述第一节点发送第一认证响应，所述第一认证响应中包括第二身份认证信息；其中，所述第二身份认证信息为根据所述共享密钥生成的。

这里需要说明的是，上述多个单元的划分仅是一种根据功能进行的逻辑划分，不作为对装置80具体的结构的限定。在具体实现中，其中部分功能模块可能被细分为更多细小的功能模块，部分功能模块也可能组合成一个功能模块，但无论这些功能模块是进行了细分还是组合，装置80在关联控制的过程中所执行的大致流程是相同的。例如，上述通信单元802也可以变换为接收单元、发送单元，该接收单元用于实现通信单元802中接收消息的功能，该发送单元用于实现通信单元802中发送消息的功能。通常，每个单元都对应有各自的程序代码(或者说程序指令)，这些单元各自对应的程序代码在处理器上运行时，使得该单元执行相应的流程从而实现相应功能。

在一种可能的实施方式中，所述处理单元801，具体用于：

确定所述第一节点的标识在第二白名单中；

或者，确定所述第一节点的标识不在第二黑名单中；

在又一种可能的实施方式中，所述处理单元801，具体用于：

在又一种可能的实施方式中，所述第一认证请求中还包括第一完整性校验数据，所述第一完整性验证数据用于校验所述第一认证请求的消息完整性；

所述处理单元801，还用于：

确定所述第一认证请求的消息完整性校验通过。

在又一种可能的实施方式中，所述处理单元801，还用于：

在又一种可能的实施方式中，所述通信单元802，还用于：

在又一种可能的实施方式中，所述处理单元801，还用于：

确定所述第二认证失败计数器的值大于或者等于第二阈值，

将所述第一节点的标识加入所述第二黑名单。

在又一种可能的实施方式中，所述第二黑名单的有效期为预先定义或者配置的第二时长。

在又一种可能的实施方式中，所述处理单元801，还用于确定所述第二认证失败计数器的值小于第二阈值；

所述通信单元802，还用于向所述第一节点发送第二关联请求。

在又一种可能的实施方式中，该处理器，还用于：

确定所述第二认证失败计数器的值小于第二阈值；

获取第三确认指示信息；

向所述第一节点发送第二关联请求。

在又一种可能的实施方式中，该处理器，还用于：

另一方面，第二黑名单的有效期可以与第一节点所属的设备类型有关，具体的，第一节点可以预先获取第一节点的设备类型，根据不同的设备类型确定不同的第二黑名单有效期。例如，设备类型可以包括高风险设备或者低风险设备，若第一节点属于智能座舱控制器CDC、虚拟现实设备AR等，可以认为是低风险设备，若第一节点属于服务器、电脑等，可以认为是高风险设备，高风险设备的黑名单有效期比低风险设备的黑名单有效期更长。此外，第二节点还可以预先定义第一节点对应的黑名单有效期，此处不再赘述。在又一种可能的实施方式中，若所述第一节点的身份不可信，则不执行所述向所述第一节点发送第一关联请求的步骤。

需要说明的是，各个单元的实现还可以对应参照图3或图5所示的一个实施例的相应描述。该装置80可以为图3或图5所示的实施例中的第二节点。

请参见图9，图9是本申请实施例提供的一种通信装置90的结构示意图，该通信装置90可以为节点，也可以为节点中的一个器件，例如芯片或者集成电路等。该装置90可以包括至少一个存储器901和至少一个处理器902。可选的，还可以包含总线903。进一步可选的，还可以包括通信接口904，其中，存储器901、处理器902和通信接口904通过总线903相连。

其中，存储器901用于提供存储空间，存储空间中可以存储操作系统和计算机程序等数据。存储器901可以是随机存储记忆体(random access memory，RAM)、只读存储器(read-only memory，ROM)、可擦除可编程只读存储器(erasable programmable read only memory，EPROM)、或便携式只读存储器(compact disc read-only memory，CD-ROM)等等中的一种或者多种的组合。

处理器902是进行算术运算和/或逻辑运算的模块，具体可以是中央处理器(central processing unit，CPU)、图片处理器(graphics processing unit，GPU)、微处理器(microprocessor unit，MPU)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程逻辑门阵列(Field Programmable Gate Array，FPGA)、复杂可编程逻辑器件(Complex programmable logic device，CPLD)等处理模块中的一种或者多种的组合。

通信接口904用于接收外部发送的数据和/或向外部发送数据，可以为包括诸如以太网电缆等的有线链路接口，也可以是无线链路(Wi-Fi、蓝牙、通用无线传输等)接口。可选的，通信接口1104还可以包括与接口耦合的发射器(如射频发射器、天线等)，或者接收器等。

该装置90中的处理器902用于读取所述存储器901中存储的计算机程序，用于执行前述的关联控制方法，例如图3或者图5所描述的关联控制方法。

举例说明，该装置90中的处理器902用于读取所述存储器901中存储的计算机程序，用于执行以下操作:

通过通信接口904接收来自第二节点的第一关联请求；

确定所述第二节点的身份可信，通过通信接口904向所述第二节点发送第一认证请求，所述第一认证请求中包括第一身份认证信息，所述第一身份认证信息为根据第一节点与所述第二节点的共享密钥生成的；其中，共享密钥可以看作是第一节点与第二节点之间共享的第一个秘密值；

通过通信接口904接收来自所述第二节点的第一认证响应，所述第一认证响应中包括第二身份认证信息；

根据所述共享密钥验证所述第二身份认证信息；

本申请实施例中，上述装置90在确认第二节点的身份可信后，再根据与第二节点的共享密钥验证第二节点的身份。这样一来，即便攻击者修改了身份标识，绕过了上述装置90确定身份可信这一步骤，由于难以伪造身份验证信息，还是无法通过上述装置90对其的身份验证，进而避免了上述装置90与非法的攻击者建立关联，提高了上述装置90的数据安全性。

进一步的，若验证不通过，上述装置90会更新验证失败的次数，该验证失败的次数可以用于后续确定第二节点的身份是否可信，使得多次验证不通过的节点可以不再被确定为可信。而对于不被确认为可信的节点，上述装置90可以不再对其的关联请求进行处理(如发送认证请求)，从而防止上述装置90由于处理大量请求而崩溃，保证了服务正常进行。

在又一种可能的实施方式中，该处理器902，具体用于：

确定所述第二节点的标识在第一白名单中；

或者，确定所述第二节点的标识不在第一黑名单中；

上述装置90根据通过黑名单或者白名单对请求关联的节点进行控制，从而使得无需对不可信的第二节点进行身份认证，一方面，可以防止由于处理大量请求而崩溃，保证了服务正常进行。另一方面，由于不会与没有经过身份认证的节点建立关联，避免了上述装置90与非法的攻击者建立关联，提高了上述装置90的数据安全性。

在又一种可能的实施方式中，该处理器902，具体用于：

该处理器902，还用于确定所述第一认证响应的消息完整性校验通过。

可以看出，在确认第二节点的身份可信之后，除了进行身份验证，还需要对携带身份验证信息的消息做完整性校验，防止第一认证响应中的内容被攻击者篡改，从而避免影响对第二节点的身份验证信息的验证，保障了上述装置90所提供的服务的稳定运行。

在又一种可能的实施方式中，该处理器902，还用于：

可以看出，上述装置90中预设有第一关联阈值，当关联的节点数量小于或者等于预设的第一关联阈值时，才可以接收来自第二节点的关联请求。该第一阈值可以限制节点所能提供的服务的承受量，当超过第一关联阈值时，上述装置90可以不再接收或者处理关联请求，避免影响与上述装置90关联的其它节点的通信，保障了上述装置90所提供的服务的稳定运行。

在又一种可能的实施方式中，该处理器902，还用于：

若对所述第二身份认证信息的验证通过，通过通信接口904向所述第二节点发送第一关联响应，所述第一关联响应用于指示所述第一节点与所述第二节点建立关联。

可以看出，在确认第二节点的身份可信之后，若身份验证通过，可以向第二节点发送第一关联响应，该关联响应用于指示上述装置90与所述第二节点建立关联。进一步的，该第一响应消息可以用于告知第二节点已经关联成功，可以进行通信。

在又一种可能的实施方式中，该处理器902，还用于：

可以看出，在确认第二节点的身份可信之后，若身份验证通过，需要重置针对第二节点的验证失败的次数，避免影响之后对第二节点的身份的确定，保障了上述装置90所提供的服务的稳定运行。

在又一种可能的实施方式中，该处理器902，还用于：

可以看出，若针对第二节点的验证失败的次数超过预设的第一阈值，表明该第二节点已经多次验证不通过，该第二节点可能是频繁发送关联请求的攻击者，因此将该第二节点的标识加入黑名单。在加入黑名单以后，该第二节点的身份将不会被确定为可信，从而避免了上述装置90与非法的攻击者建立关联，提高了上述装置90的数据安全性。

在又一种可能的实施方式中，该处理器902，还用于：

另一方面，黑名单的有效期可以与第二节点所属的设备类型有关，具体的，第二节点可以预先获取第二节点的设备类型，根据不同的设备类型确定不同的黑名单有效期。例如，设备类型可以包括高风险设备或者低风险设备，若第二节点属于麦克风、音响等，可以认为是低风险设备，若第二节点属于手机、电脑等，可以认为是高风险设备，高风险设备的黑名单有效期比低风险设备的黑名单有效期更长。此外，上述装置90还可以预先定义第二节点对应的黑名单有效期，此处不再赘述。

可以看出，若第二节点的身份不可信，则不再执行后续的身份认证步骤，避免浪费上述装置90的资源，影响其它节点的正常关联。

需要说明的是，各个单元的具体实现还可以对应参照图3或图5所示的一个实施例的相应描述。该通信装置90可以为图3或图5所示的实施例中的第一节点。

请参见图10，图10是本申请实施例提供的一种通信装置100的结构示意图，该通信装置100可以为节点，也可以为节点中的一个器件，例如芯片或者集成电路等。该装置100可以包括至少一个存储器1001和至少一个处理器1002。可选的，还可以包含总线1003。进一步可选的，还可以包括通信接口1004，其中，存储器1001、处理器1002和通信接口1004通过总线1003相连。

其中，存储器1001用于提供存储空间，存储空间中可以存储操作系统和计算机程序等数据。存储器1001可以是RAM、ROM、EPROM、CD-ROM等等中的一种或者多种的组合。

处理器1002是进行算术运算和/或逻辑运算的模块，具体可以是CPU、GPU、MPU、ASIC、FPGA、CPLD等处理模块中的一种或者多种的组合。

通信接口1004用于接收外部发送的数据和/或向外部发送数据，可以为包括诸如以太网电缆等的有线链路接口，也可以是无线链路(Wi-Fi、蓝牙等)接口。可选的，通信接口1104还可以包括与接口耦合的发射器(如射频发射器、天线等)，或者接收器等。

该装置100中的处理器1002用于读取所述存储器1001中存储的计算机程序，用于执行前述的关联控制方法，例如图3或者图5所描述的关联控制方法。

举例说明，该装置100中的处理器1002用于读取所述存储器1001中存储的计算机程序，用于执行以下操作:

本申请实施例中，上述装置100在确认第一节点的身份可信后，再向第一节点发送第一关联请求。然后根据第一认证请求中的第一身份认证信息，通过共享密钥验证第一节点的身份认证信息，在验证通过以后，再向第一节点发送第二身份认证信息，该第二身份认证信息可以用于第一节点验证上述装置100的身份。可以看出，再确认身份可信以后，还需要双方身份认证通过才可以进行关联，从而可以使得攻击者难以通过修改标识等身份绕过上述装置100对其的身份验证，进而避免了上述装置100与非法的攻击者建立关联，提高了上述装置100的数据安全性。

在又一种可能的实施方式中，该处理器1002，还用于：

确定所述第一节点的标识在第二白名单中；

或者，确定所述第一节点的标识不在第二黑名单中；

上述方法中，可以根据通过黑名单或者白名单对关联节点进行控制，可以控制上述装置100不向不可信的第一节点发送关联请求，避免了上述装置100与非法的攻击者建立关联，提高了上述装置100的数据安全性。

在又一种可能的实施方式中，该处理器1002，还用于：

可以看出，在确认第一节点的身份可信之后，除了进行身份验证，还需要对携带身份验证信息的消息做完整性校验，防止第一认证请求中的内容被攻击者篡改，从而影响对第一节点的身份验证信息的验证，保障了上述装置100所提供的服务的稳定运行。

在又一种可能的实施方式中，该处理器1002，还用于：

可以看出，上述装置100中预设有第二关联阈值，当关联的节点数量小于或者等于预设的第二关联阈值时，才可以向第一节点发送关联请求。该第二阈值可以限制上述装置100所能关联的节点的数量，当超过第二关联阈值时，上述装置100不能再关联其它节点，避免影响与上述装置100关联的其它节点的通信，保障了上述装置100所提供的服务的稳定运行。

在又一种可能的实施方式中，该处理器1002，还用于：

可以看出，在确认第一节点的身份可信之后，若第一节点针对上述装置100的身份验证通过，上述装置100接收到来自第一节点的第一关联响应，该关联响应用于指示第一节点与第二节点建立关联。进一步的，该第一响应消息可以告知上述装置100已经关联成功，可以进行后续的通信。

在又一种可能的实施方式中，该处理器1002，还用于：

可以看出，在确认第一节点的身份可信之后，若身份验证通过，需要重置针对第一节点的验证失败的次数，避免影响之后对第一节点的身份的确定，保障了上述装置100所提供的服务的稳定运行。

在又一种可能的实施方式中，该处理器1002，还用于：

可以看出，若对所述第一节点的身份认证信息验证失败，则上述装置100更新验证第一节点的身份失败的次数，该验证失败的次数可以用于后续确定节点的身份是否可信。从而可以使得攻击者难以通过修改标识等身份绕过上述装置100对其的关联控制，进而避免了上述装置100与非法的攻击者建立关联，提高了上述装置100的数据安全性。

在又一种可能的实施方式中，该处理器1002，还用于：

确定所述第二认证失败计数器的值大于或者等于第二阈值，

将所述第一节点的标识加入所述第二黑名单。

可以看出，若针对第一节点的验证失败的次数超过预设的第二阈值，表明该第一节点已经多次验证不通过，该第一节点可能是频繁发送认证请求的攻击者，因此将该第一节点的标识加入黑名单。在加入黑名单以后，该第一节点的身份将不会被确定为可信，从而避免了上述装置100与非法的攻击者建立关联，提高了上述装置100的数据安全性。

在又一种可能的实施方式中，该处理器1002，还用于：

确定所述第二认证失败计数器的值小于第二阈值，

向所述第一节点发送第二关联请求。

可以理解的是，在身份认证信息验证过程中，由于某些参数在传输过程中被丢失或者传输错误，可能也会导致身份认证信息验证失败。因此，若针对第一节点的验证失败的次数还没有超过预设的第二阈值，可以重新向第一节点发送关联请求，请求与第一节点进行关联，从而提高系统的鲁棒性，保障了上述装置100所提供的服务的稳定运行。在又一种可能的实施方式中，该处理器1002，还用于：

确定所述第二认证失败计数器的值小于第二阈值；

获取第三确认指示信息；

向所述第一节点发送第二关联请求。

在又一种可能的实施方式中，该处理器1002，还用于：

另一方面，第二黑名单的有效期可以与第一节点所属的设备类型有关，具体的，第一节点可以预先获取第一节点的设备类型，根据不同的设备类型确定不同的第二黑名单有效期。例如，设备类型可以包括高风险设备或者低风险设备，若第一节点属于智能座舱控制器CDC、虚拟现实设备AR等，可以认为是低风险设备，若第一节点属于服务器、电脑等，可以认为是高风险设备，高风险设备的黑名单有效期比低风险设备的黑名单有效期更长。此外，上述装置100还可以预先定义第一节点对应的黑名单有效期，此处不再赘述。

在又一种可能的实施方式中，若所述第一节点的身份不可信，则不执行所述向所述第一节点发送第一关联请求的步骤。

需要说明的是，各个模块的具体实现还可以对应参照图3或图5所示的一个实施例的相应描述。该通信装置100可以为图3或图5所示的实施例中的第二节点。

请参见图11，图11是本申请实施例提供的一种关联控制装置110的结构示意图，该装置110可以为节点，也可以为节点中的一个器件，例如芯片或者集成电路等，该装置110可以包括通信单元1101和处理单元1102。其中，各个单元的描述如下：

通信单元1101，用于接收来自第二节点的第一关联请求；

处理单元1102，用于确定所述第二节点的身份可信，通过所述通信单元1101向所述第二节点发送第一认证请求，所述第一认证请求中包括第一完整性校验数据；

所述通信单元1101，还用于接收来自所述第二节点的第一认证响应，所述第一认证响应中包括第二完整性校验数据；

所述处理单元1102，还用于根据所述第二完整性验证数据验证所述第一认证响应的消息完整性；

所述处理单元1102，还用于若对所述第一认证响应的消息完整性的验证失败，则更新第一认证失败计数器，所述第一认证失败计数器表征针对所述第二节点的验证失败的次数。

本申请实施例中，上述装置在确认第二节点的身份可信后，进行关联之前还需要对来自第二节点的认证响应消息进行消息完整性验证。若消息完整性验证不通过，则更新验证失败的次数，该验证失败的次数可以用于后续确定第二节点的身份是否可信，从而可以防止攻击者篡改认证过程中的数据(如身份认证信息)，进而避免了上述装置与非法的攻击者建立关联，提高了上述装置的数据安全性。

在一种可能的实施方式中，所述处理单元1102，具体用于：

确定所述第二节点的标识在第一白名单中；

或者，确定所述第二节点的标识不在第一黑名单中；

在一种可能的实施方式中，所述处理单元1102，具体用于：

在又一种可能的实施方式中，所述处理单元1102，还用于：

在又一种可能的实施方式中，所述通信单元1101，还用于：

在又一种可能的实施方式中，所述处理单元1102，还用于：

在又一种可能的实施方式中，该处理单元1102，还用于：

上述方实施方式说明了与第一黑名单的有效期相关的因素，一方面，第一黑名单的有效期可以与第二节点加入第一黑名单的次数有关，某一第二节点加入的第一黑名单的次数越多，其在第一黑名单中的时长也会越来越长。进一步的可选的，当其被加入第一黑名单的次数超过某一阈值以后，可以永久加入第一黑名单。

另一方面，第一黑名单的有效期可以与第二节点所属的设备类型有关，具体的，第二节点可以预先获取第二节点的设备类型，根据不同的设备类型确定不同的黑名单有效期。例如，设备类型可以包括高风险设备或者低风险设备，若第二节点属于麦克风、音响等，可以认为是低风险设备，若第二节点属于手机、电脑等，可以认为是高风险设备，高风险设备的黑名单有效期比低风险设备的黑名单有效期更长。此外，第一节点还可以预先定义第二节点对应的黑名单有效期，此处不再赘述。在又一种可能的实施方式中，若所述第二节点的身份不可信，则不执行所述向所述第二节点发送第一认证请求的步骤。

这里需要说明的是，上述多个单元的划分仅是一种根据功能进行的逻辑划分，不作为对装置110具体的结构的限定。在具体实现中，其中部分功能模块可能被细分为更多细小的功能模块，部分功能模块也可能组合成一个功能模块，但无论这些功能模块是进行了细分还是组合，装置110在关联控制的过程中所执行的大致流程是相同的。例如，上述通信单元也可以变换为接收单元、发送单元，该接收单元用于实现通信单元中接收消息的功能，该发送单元用于实现通信单元中发送消息的功能。通常，每个单元都对应有各自的程序代码(或者说程序指令)，这些单元各自对应的程序代码在处理器上运行时，使得该单元执行相应的流程从而实现相应功能。

需要说明的是，各个单元的实现还可以对应参照图6所示的实施例的相应描述。该装置110可以为图6所示的实施例中的第一节点。

请参见图12，图12是本申请实施例提供的一种关联控制装置120的结构示意图，该装置120可以为节点，也可以为节点中的一个器件，例如芯片或者集成电路等，该装置120可以包括处理单元1201和通信单元1202。其中，各个单元的描述如下：

处理单元1201，用于确定第一节点的身份可信，通过通信单元1202向所述第一节点发送第一关联请求；

所述通信单元1202，还用于接收来自所述第一节点的第一认证请求，所述第一认证请求中包括第一身份认证信息和第一完整性检验数据；

所述处理单元1201，还用于根据所述第一完整性验证数据验证所述第一认证请求的消息完整性；

所述通信单元1202，还用于若对所述第一认证请求的消息完整性的验证通过则向所述第一节点发送第一认证响应，所述第一认证响应中包括第二完整性校验数据。

在一种可能的实施方式中，所述处理单元1201，具体用于：

确定所述第一节点的标识在第二白名单中；

或者，确定所述第一节点的标识不在第二黑名单中；

在又一种可能的实施方式中，所述处理单元1201，具体用于：

在又一种可能的实施方式中，所述处理单元1201，还用于：

在又一种可能的实施方式中，所述通信单元1202，还用于：

在又一种可能的实施方式中，所述处理单元1201，还用于：

在又一种可能的实施方式中，所述第一认证请求消息中还包括第一身份验证信息，所述处理单元1201，还用于若对所述第一认证响应的消息完整性的验证通过，则根据与第一节点之间的共享密钥验证所述第一身份验证信息；

所述通信单元1202，还用于若对第一身份验证信息的验证通过，则向所述第一节点发送所述第一认证响应。

在又一种可能的实施方式中，所述处理单元1201，还用于：

可以看出，若对所述第一节点的身份认证信息验证失败，则上述装置更新验证第一节点的身份失败的次数，该验证失败的次数可以用于后续确定节点的身份是否可信，从而使得多次验证不通过的节点可以不再被确定为可信。而对于不被确认为可信的节点，可以不再向其发送关联请求，从而保证了节点所提供的服务正常进行。在又一种可能的实施方式中，所述处理单元1201，还用于：

确定所述第二认证失败计数器的值大于或者等于第二阈值，

将所述第一节点的标识加入所述第二黑名单。

在又一种可能的实施方式中，所述处理单元1201，还用于确定所述第二认证失败计数器的值小于第二阈值；

所述通信单元，还用于向所述第一节点发送第二关联请求。

在又一种可能的实施方式中，该处理单元1201，还用于：

确定所述第二认证失败计数器的值小于第二阈值；

获取第三确认指示信息；

向所述第一节点发送第二关联请求。

在又一种可能的实施方式中，该处理单元1201，还用于：

另一方面，第二黑名单的有效期可以与第一节点所属的设备类型有关，具体的，第一节点可以预先获取第一节点的设备类型，根据不同的设备类型确定不同的第二黑名单有效期。例如，设备类型可以包括高风险设备或者低风险设备，若第一节点属于智能座舱控制器CDC、虚拟现实设备AR等，可以认为是低风险设备，若第一节点属于服务器、电脑等，可以认为是高风险设备，高风险设备的黑名单有效期比低风险设备的黑名单有效期更长。此外，第二节点还可以预先定义第一节点对应的黑名单有效期，此处不再赘述。a在又一种可能的实施方式中，若所述第一节点的身份不可信，则不执行所述向所述第一节点发送第一关联请求的步骤。

这里需要说明的是，上述多个单元的划分仅是一种根据功能进行的逻辑划分，不作为对装置120具体的结构的限定。在具体实现中，其中部分功能模块可能被细分为更多细小的功能模块，部分功能模块也可能组合成一个功能模块，但无论这些功能模块是进行了细分还是组合，装置120在关联控制的过程中所执行的大致流程是相同的。例如，上述通信单元也可以变换为接收单元、发送单元，该接收单元用于实现通信单元中接收消息的功能，该发送单元用于实现通信单元中发送消息的功能。通常，每个单元都对应有各自的程序代码(或者说程序指令)，这些单元各自对应的程序代码在处理器上运行时，使得该单元执行相应的流程从而实现相应功能。

需要说明的是，各个单元的实现还可以对应参照图6所示的实施例的相应描述。该装置120可以为图6所示的实施例中的第二节点。

请参见图13，图13是本申请实施例提供的一种通信装置130的结构示意图，该装置130可以为节点，也可以为节点中的一个器件，例如芯片或者集成电路等。该通信装置130可以包括至少一个存储器1301和至少一个处理器1302。可选的，还可以包含总线1303。进一步可选的，还可以包括通信接口1304，其中，存储器1301、处理器1302和通信接口1304通过总线1303相连。

其中，存储器1301用于提供存储空间，存储空间中可以存储操作系统和计算机程序等数据。存储器1301可以是RAM、ROM、EPROM、CD-ROM等等中的一种或者多种的组合。

处理器1302是进行算术运算和/或逻辑运算的模块，具体可以是CPU、GPU、MPU、ASIC、FPGA、CPLD等处理模块中的一种或者多种的组合。

通信接口1304用于接收外部发送的数据和/或向外部发送数据，可以为包括诸如以太网电缆等的有线链路接口，也可以是无线链路(Wi-Fi、蓝牙等)接口。可选的，通信接口1304还可以包括与接口耦合的发射器(如射频发射器、天线等)，或者接收器等。

该通信装置130中的处理器1302用于读取所述存储器1301中存储的计算机程序，用于执行前述的关联控制方法，例如图6所描述的关联控制方法。具体实现可以对应参照图6所示的实施例的相应描述。该通信装置130可以为图6所示的实施例中的第一节点。

请参见图14，图14是本申请实施例提供的一种通信装置140的结构示意图。该通信装置140可以包括至少一个存储器1401和至少一个处理器1402。可选的，还可以包含总线1403。进一步可选的，还可以包括通信接口1404，其中，存储器1401、处理器1402和通信接口1404通过总线1403相连。

其中，存储器1401用于提供存储空间，存储空间中可以存储操作系统和计算机程序等数据。存储器1401可以是RAM、ROM、EPROM、CD-ROM等等中的一种或者多种的组合。

处理器1402是进行算术运算和/或逻辑运算的模块，具体可以是CPU、GPU、MPU、ASIC、FPGA、CPLD等处理模块中的一种或者多种的组合。

通信接口1404用于接收外部发送的数据和/或向外部发送数据，可以为包括诸如以太网电缆等的有线链路接口，也可以是无线链路(Wi-Fi、蓝牙等)接口。可选的，通信接口1304还可以包括与接口耦合的发射器(如射频发射器、天线等)，或者接收器等。

该通信装置140中的处理器1402用于读取所述存储器1401中存储的计算机程序，用于执行前述的关联控制方法，例如图6所描述的关联控制方法。具体实现可以对应参照图6所示的实施例的相应描述。该通信装置140可以为图6所示的实施例中的第二节点。

本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，当所述计算机程序在一个或多个处理器上运行时，执行图3、图5或图6所示的任意一种实施例所述的方法。

本申请实施例还提供了一种芯片系统，所述芯片系统包括至少一个处理器，存储器和接口电路，所示接口电路用于为所述至少一个处理器提供信息输入/输出，所述至少一个存储器中存储有计算机程序，当所述计算机程序在一个或多个处理器上运行时，执行图3、图5或图6所示的任意一种实施例所述的方法。

本申请实施例还提供一种智能座舱产品，所述智能座舱产品包括第一节点(例如，汽车座舱域控制器CDC)，所述第一节点为图3、图5或图6所示的任意一种实施例中的第一节点。进一步的，所述智能座舱产品还包括第二节点(例如，摄像头、屏幕、麦克风、音响、雷达、电子钥匙、无钥匙进入及启动系统控制器等模块中的至少一个)，所述第二节点为图3、图5或图6所示任意一种实施例中的第二节点。

本申请实施例还提供一种车辆，所述车辆包括第一节点(例如，汽车座舱域控制器CDC)。进一步的，所述车辆还包括第二节点(例如，摄像头、屏幕、麦克风、音响、雷达、电子钥匙、无钥匙进入或启动系统控制器等模块中的至少一个)，其中上述第一节点为图3、图5或图6所示的任意一种实施例中的第一节点，上述第二节点为图3、图5或图6所示的任意一种实施例中的第二节点。

本申请实施例还提供一种计算机程序产品，当所述计算机程序产品在一个或多个处理器上运行时，可以执行如图3、图5或图6所示的任意一种实施例所描述的关联控制方法。可替换的，上述车辆还可以替换为无人机、机器人等智能终端或者运输工具。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机程序指令时，可以全部或部分地实现本申请实施例所描述的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中，或者通过计算机可读存储介质进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如，固态硬盘(solid state disk，SSD))等。

本申请方法实施例中的步骤可以根据实际需要进行顺序调整、合并和删减。

本申请装置实施例中的模块可以根据实际需要进行合并、划分和删减。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本申请的保护范围之内。

Claims

一种关联控制方法，其特征在于，包括：

接收来自第二节点的第一关联请求；

确定所述第二节点的身份可信，向所述第二节点发送第一认证请求，所述第一认证请求中包括第一身份认证信息，所述第一身份认证信息为根据第一节点与所述第二节点的共享密钥生成的；

接收来自所述第二节点的第一认证响应，所述第一认证响应中包括第二身份认证信息；

根据所述共享密钥验证所述第二身份认证信息；

若对所述第二身份认证信息的验证失败，则更新第一认证失败计数器，所述第一认证失败计数器表征针对所述第二节点的验证失败的次数。
根据权利要求1所述的方法，其特征在于，所述确定所述第二节点的身份可信，包括：

确定所述第二节点的标识在第一白名单中；

或者，确定所述第二节点的标识不在第一黑名单中；

或者，获取第一确认指示信息，所述第一确认指示信息表征所述第二节点的身份可信，其中，所述第二节点的标识不在第一黑名单中；

或者，获取第一确认指示信息，所述第一确认指示信息表征所述第二节点的身份可信；其中，所述第二节点的标识不在第一黑名单中且不在第一白名单中。
根据权利要求1或2所述的方法，其特征在于，所述第一认证响应中还包括第二完整性校验数据，所述第二完整性验证数据用于校验所述第一认证响应的消息完整性；所述方法还包括：

确定所述第一认证响应的消息完整性校验通过。
根据权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：

确定第一关联数量小于或者等于预设的第一关联阈值，其中，所述第一关联数量表征当前关联的节点数量。
根据权利要求1-4任一项所述的方法，其特征在于，所述方法还包括：

若对所述第二身份认证信息的验证通过，向所述第二节点发送第一关联响应，所述第一关联响应用于指示所述第一节点与所述第二节点建立关联。
根据权利要求1-5任一项所述的方法，其特征在于，所述方法还包括：

若对所述第二身份认证信息的验证通过，重置所述第一认证失败计数器。
根据权利要求1-4任一项所述的方法，其特征在于，若根据所述共享密钥验证所述第二身份信息验证不通过，则更新第一认证失败计数器之后，所述方法还包括：

确定所述第一认证失败计数器的值大于或者等于第一阈值，将所述第二节点的标识加入所述第一黑名单。
根据权利要求7所述的方法，其特征在于，所述第一黑名单的有效期为预先定义或者配置的第一时长。
一种关联方法，其特征在于，包括：

确定第一节点的身份可信，向所述第一节点发送第一关联请求；

接收来自所述第一节点的第一认证请求，所述第一认证请求中包括第一身份认证信息；

根据第二节点与所述第一节点的共享密钥验证所述第一身份认证信息；

若对所述第一身份认证信息的验证通过，则向所述第一节点发送第一认证响应，所述第一认证响应中包括第二身份认证信息；其中，所述第二身份认证信息为根据所述共享密钥生成的。
根据权利要求9所述的方法，其特征在于，所述确定所述第一节点的身份可信，包括：

确定所述第一节点的标识在第二白名单中；

或者，确定所述第一节点的标识不在第二黑名单中；

或者，获取第二确认指示信息，所述第二确认指示信息表征所述第一节点的身份可信，其中，所述第一节点的标识不在第二黑名单中；

或者，获取第二确认指示信息，所述第二确认指示信息表征所述第一节点的身份可信；其中，所述第一节点的标识不在第二黑名单中且不在第二白名单中。
根据权利要求9或10所述的方法，其特征在于，所述第一认证请求中还包括第一完整性校验数据，所述第一完整性验证数据用于校验所述第一认证请求的消息完整性；所述方法还包括：

确定所述第一认证请求的消息完整性校验通过。
根据权利要求9-11任一项所述的方法，其特征在于，所述确定第一节点的身份可信，向所述第一节点发送第一关联请求之前，还包括：

确定第二关联数量小于或者等于预设的第二关联阈值，其中，所述第二关联数量表征当前关联的节点数量。
根据权利要求9-12任一项所述的方法，其特征在于，所述方法还包括：

接收来自所述第一节点的第一关联响应，所述第一关联响应用于指示所述第一节点与所述第二节点建立关联。
根据权利要求9-13任一项所述的方法，其特征在于，所述方法还包括：

重置第二认证失败计数器，所述第二认证失败计数器表征针对所述第一节点的验证失败的次数。
根据权利要求9-11任一项所述的方法，其特征在于，所述方法还包括：

若对所述第一身份认证信息的验证失败，则更新第二认证失败计数器，所述第二认证失败计数器表征针对所述第一节点的验证失败的次数。
根据权利要求15所述的方法，其特征在于，若对所述第一身份认证信息的验证失败，则更新第二认证失败计数器之后，所述方法还包括：

确定所述第二认证失败计数器的值大于或者等于第二阈值，

将所述第一节点的标识加入所述第二黑名单。
根据权利要求16所述的方法，其特征在于，所述第二黑名单的有效期为预先定义或者配置的第二时长。
根据权利要求15所述的方法，其特征在于，若对所述第一身份认证信息的验证失败，则更新第二认证失败计数器之后，所述方法还包括：

确定所述第二认证失败计数器的值小于第二阈值，

向所述第一节点发送第二关联请求。
一种关联控制装置，其特征在于，包括：

通信单元，用于接收来自第二节点的第一关联请求；

处理单元，用于确定所述第二节点的身份可信，通过所述通信单元向所述第二节点发送第一认证请求，所述第一认证请求中包括第一身份认证信息，所述第一身份认证信息为根据第一节点与所述第二节点的共享密钥生成的；

所述通信单元，还用于接收来自所述第二节点的第一认证响应，所述第一认证响应中包括第二身份认证信息；

所述处理单元，还用于根据所述共享密钥验证所述第二身份认证信息；

所述处理单元，还用于若对所述第二身份认证信息的验证失败，则更新第一认证失败计数器，所述第一认证失败计数器表征针对所述第二节点的验证失败的次数。
根据权利要求19所述的装置，其特征在于，所述处理单元，具体用于：

确定所述第二节点的标识在第一白名单中；

或者，确定所述第二节点的标识不在第一黑名单中；

或者，获取第一确认指示信息，所述第一确认指示信息表征所述第二节点的身份可信，其中，所述第二节点的标识不在第一黑名单中；

或者，获取第一确认指示信息，所述第一确认指示信息表征所述第二节点的身份可信；其中，所述第二节点的标识不在第一黑名单中且不在第一白名单中。
根据权利要求19或20所述的装置，其特征在于，所述第一认证响应中还包括第二完整性校验数据，所述第二完整性验证数据用于校验所述第一认证响应的消息完整性；

所述处理单元，具体用于：

确定所述第一认证响应的消息完整性校验通过。
根据权利要求19-21任一项所述的装置，其特征在于，所述处理单元，还用于：

确定第一关联数量小于或者等于预设的第一关联阈值，其中，所述第一关联数量表征当前关联的节点数量。
根据权利要求19-22任一项所述的装置，其特征在于，所述通信单元，还用于：

若对所述第二身份认证信息的验证通过，向所述第二节点发送第一关联响应，所述第一关联响应用于指示所述第一节点与所述第二节点建立关联。
根据权利要求19-23任一项所述的装置，其特征在于，所述处理单元，还用于：

若对所述第二身份认证信息的验证通过，重置所述第一认证失败计数器。
根据权利要求19-22任一项所述的装置，其特征在于，所述处理单元，还用于：

确定所述第一认证失败计数器的值大于或者等于第一阈值，将所述第二节点的标识加入所述第一黑名单。
根据权利要求25所述的方法，其特征在于，所述第一黑名单的有效期为预先定义或者配置的第一时长。
一种关联控制装置，其特征在于，包括：

处理单元，确定第一节点的身份可信，通过通信单元向所述第一节点发送第一关联请求；

所述通信单元，还用于接收来自所述第一节点的第一认证请求，所述第一认证请求中包括第一身份认证信息；

所述处理单元，还用于根据第二节点与所述第一节点的共享密钥验证所述第一身份认证信息；

所述通信单元，还用于若对所述第一身份认证信息的验证通过，则向所述第一节点发送第一认证响应，所述第一认证响应中包括第二身份认证信息；其中，所述第二身份认证信息为根据所述共享密钥生成的。
根据权利要求27所述的装置，其特征在于，所述处理单元，具体用于：

确定所述第一节点的标识在第二白名单中；

或者，确定所述第一节点的标识不在第二黑名单中；

或者，获取第二确认指示信息，所述第二确认指示信息表征所述第一节点的身份可信，其中，所述第一节点的标识不在第二黑名单中；

或者，获取第二确认指示信息，所述第二确认指示信息表征所述第一节点的身份可信；其中，所述第一节点的标识不在第二黑名单中且不在第二白名单中。
根据权利要求27或28所述的装置，其特征在于，所述第一认证请求中还包括第一完整性校验数据，所述第一完整性验证数据用于校验所述第一认证请求的消息完整性；

所述处理单元，还用于：

确定所述第一认证请求的消息完整性校验通过。
根据权利要求27-29任一项所述的装置，其特征在于，所述处理单元，还用于：

确定第二关联数量小于或者等于预设的第二关联阈值，其中，所述第二关联数量表征当前关联的节点数量。
根据权利要求27-30任一项所述的装置，其特征在于，所述通信单元，还用于：

接收来自所述第一节点的第一关联响应，所述第一关联响应用于指示所述第一节点与所述第二节点建立关联。
根据权利要求27-31任一项所述的装置，其特征在于，所述处理单元，还用于：

重置第二认证失败计数器，所述第二认证失败计数器表征针对所述第一节点的验证失败的次数。
根据权利要求27-29任一项所述的装置，其特征在于，所述处理单元，还用于：

若对所述第一身份认证信息的验证失败，则更新第二认证失败计数器，所述第二认证失败计数器表征针对所述第一节点的验证失败的次数。
根据权利要求33所述的装置，其特征在于，所述处理单元，还用于：

确定所述第二认证失败计数器的值大于或者等于第二阈值，

将所述第一节点的标识加入所述第二黑名单。
根据权利要求34所述的装置，其特征在于，所述第二黑名单的有效期为预先定义或者配置的第二时长。
根据权利要求33所述的装置，其特征在于，所述处理单元，还用于确定所述第二认证失败计数器的值小于第二阈值；

所述通信单元，还用于向所述第一节点发送第二关联请求。
一种关联控制方法，其特征在于，包括：

接收来自第二节点的第一关联请求；

确定所述第二节点的身份可信，向所述第二节点发送第一认证请求，所述第一认证请求中包括第一完整性校验数据；

接收来自所述第二节点的第一认证响应，所述第一认证响应中包括第二完整性校验数据；

根据所述第二完整性验证数据验证所述第一认证响应的消息完整性；

若对所述第一认证响应的消息完整性的验证失败，则更新第一认证失败计数器，所述第一认证失败计数器表征针对所述第二节点的验证失败的次数。
一种关联方法，其特征在于，包括：

确定第一节点的身份可信，向所述第一节点发送第一关联请求；

接收来自所述第一节点的第一认证请求，所述第一认证请求中包括第一完整性检验数据；

根据所述第一完整性验证数据验证所述第一认证请求的消息完整性；

若对所述第一认证请求的消息完整性的验证通过，则向所述第一节点发送第一认证响应。
一种关联控制装置，其特征在于，包括：

通信单元，用于接收来自第二节点的第一关联请求；

处理单元，用于确定所述第二节点的身份可信，通过所述通信单元向所述第二节点发送第一认证请求，所述第一认证请求中包含第一完整性校验数据；

所述通信单元，还用于接收来自所述第二节点的第一认证响应，所述第一认证响应中包括第二完整性校验数据；

所述处理单元，还用于根据所述第二完整性验证数据验证所述第一认证响应的消息完整性；

所述处理单元，还用于若对所述第一认证响应的消息完整性的验证失败，则更新第一认证失败计数器，所述第一认证失败计数器表征针对所述第二节点的验证失败的次数。
一种关联装置，其特征在于，包括：

处理单元，用于确定第一节点的身份可信，通过通信单元向所述第一节点发送第一关联请求；

所述通信单元，还用于接收来自所述第一节点的第一认证请求，所述第一认证请求中包括第一完整性检验数据；

所述处理单元，还用于根据所述第一完整性验证数据验证所述第一认证请求的消息完整性；

所述通信单元，还用于若对所述第一认证请求的消息完整性的验证通过，则向所述第一节点发送第一认证响应。
一种通信装置，其特征在于，所述装置包括至少一个处理器和通信接口，所述至少一个处理器用于调用至少一个存储器中存储的计算机程序，以使得所述装置实现如权利要求1-8中任一项所述的方法，或者实现如权利要求9-18任一项所述的方法。
一种通信装置，其特征在于，所述装置包括至少一个处理器和通信接口，所述至少一个处理器用于调用至少一个存储器中存储的计算机程序，以使得所述装置实现如权利要求37或38中所述的方法。
一种通信系统，其特征在于，包括：

第一节点，所述第一节点包含权利要求19-26任一项所述的装置；

第二节点，所述第二节点包含权利要求27-36中任一项所述的装置。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序，当所述计算机程序在一个或多个处理器上运行时，执行如权利要求1-8、37中任一项所述的方法，或者实现如权利要求9-18、38任一项所述的方法。