鉴权方法及设备技术

本申请实施例公开了一种鉴权方法及设备，鉴权工具(即，第二设备)将采用第一私钥加密的第一信息发送给待鉴权的第一设备，第一设备即可根据第一公钥进行解密，获得该第一信息，其中，第一公钥与第一私钥对应；那么，第一设备即可对第一信息和本地存储的第二信息进行匹配验证，获得验证结果，并根据该验证结果，确定第一设备的使用权限。这样，通过加解密技术以及具有鉴权功能的鉴权设备，实现对待鉴权的第一设备的鉴权，克服了目前通过密码本或者接口对应焊盘裸露的等方式保护第一设备安全时存在的安全隐患，确保了对待鉴权的第一设备更加安全和可靠的保护。全和可靠的保护。全和可靠的保护。

【技术实现步骤摘要】
鉴权方法及设备


[0001]本申请涉及安全通信
，特别是涉及一种鉴权方法和设备，该方法可以用于有开通设备或设备上接口的使用权限的需求时，对该设备或设备上接口的鉴权。

技术介绍

[0002]设备上会存储很多信息，有的信息对于设备的生产商或者使用者非常重要。目前，通常采用密码本的方式对设备进行鉴权，以确保设备以及其上信息的安全。具体而言，密码本上保存着多个密码，在设备上预置一个或多个密码，当有开放该设备的使用权限的需求时，由指定人员(如：调试人员、运维人员、生产人员等)将密码本中的密码输入到设备中，和设备中预置的密码进行匹配，匹配成功时，视作该设备鉴权通过，该设备上匹配成功的密码对应的使用权限开放，从而可以通过设备上已开放的使用权限访问对应的重要信息。
[0003]但是，由于密码本的存储、传输和匹配均采用的是明文，而且，人为管理密码本非常容易泄露密码本中的密码，可见，采用该密码本对设备进行鉴权，安全性较低。基于此，亟待提供一种安全等级更高的鉴权方式，确保设备在安全的情况下被开放使用权限，从而保障其上信息的安全。

技术实现思路

[0004]基于此，本申请实施例提供了一种鉴权方法和设备，通过鉴权工具对待鉴权设备发送来的信息进行加密，并由待鉴权设备进行解密的方式，实现对待鉴权设备更为安全的鉴权。
[0005]第一方面，提供了一种鉴权方法，应用在包括第一设备和第二设备的场景中，以第一设备为执行主体，该鉴权方法例如可以包括：第一设备接收第二设备发送的采用第一私钥加密的第一信息后，根据第一公钥进行解密，获得该第一信息，其中，第一公钥与第一私钥对应；那么，第一设备即可对第一信息和本地存储的第二信息进行匹配验证，获得验证结果，并根据该验证结果，确定第一设备的使用权限。具体而言，当验证结果表示验证通过，则第一设备开放对应的使用权限，当验证结果表示验证未通过，则第一设备不开放对应的使用权限。这样，通过加解密技术以及具有鉴权功能的第二设备，实现对待鉴权的第一设备的鉴权，克服了目前通过密码本或者接口对应焊盘裸露的等方式保护第一设备安全时存在的安全隐患，确保了对待鉴权的第一设备更加安全和可靠的保护。
[0006]其中，第一设备可以是待鉴权的任何设备，例如：可以指网络设备或单板，又例如：也可以指设备上的调试接口或业务接口。第二设备可以是指具有鉴权功能的鉴权工具。当第一设备指调试接口时，鉴权工具将第一私钥加密的第一信息下发到调试接口所在设备并由第一公钥进行解密，通过验证通过后，该调试接口所在设备开放该调试接口的使用权限，供访问和使用该调试接口。
[0007]可选的，第一私钥和第一公钥可以是第二设备生成的；或者，第一私钥和第一公钥也可以是鉴权服务器为第二设备配置的。
[0008]为了更加安全，本申请实施例中还可以包括：第一设备接收第二设备发送的经过鉴权服务器的第二私钥加密的第一公钥；第一设备使用本地存储的鉴权服务器的第二公钥，对加密的第一公钥进行解密，获得所述第一公钥。这样，通过鉴权服务器这一安全等级较高的服务器对第一公钥进行加密，相比在第一设备上直接保存第一公钥，更加安全和可靠。
[0009]可选地，第二信息包括第一随机数，在所述接收第二设备发送的采用第一私钥加密的第一信息之前，本申请实施例还可以包括：第一设备向第二设备发送挑战请求消息，该挑战请求消息中携带第一随机数；那么，第一设备接收第二设备发送的采用第一私钥加密的第一信息，包括：第一设备接收所述第二设备发送的响应消息，该响应消息中携带所述第一信息，所述第一信息包括第二随机数；此时，第一设备对所述第一信息和本地存储的第二信息进行匹配验证，包括：对所述第一随机数和所述第二随机数进行匹配验证。其中，第一随机数可以唯一标识对第一设备的一次鉴权，使用随机数进行鉴权，确保每次鉴权中都可以基于本次生成的随机数进行，能够有效防止第一设备的信息被复制，防止重放攻击。
[0010]可选地，该第二信息还可以包括第一设备标识信息，第一信息中包括第二设备标识信息，其中，第一设备标识信息用于唯一标识所述第一设备，那么，第一设备对所述第一信息和本地存储的第二信息进行匹配验证，还可以包括：对所述第一设备标识信息和所述第二设备标识信息进行匹配验证。作为一个示例，所述第一设备标识信息为第一设备ID，所述第二设备标识信息为第二设备ID，那么，所述第一设备对所述第一信息和本地存储的第二信息进行匹配验证，还可以包括：对所述第一设备ID和所述第二设备ID进行匹配验证。作为另一个示例，为了更加安全，所述第一设备标识信息为第一设备ID的哈希值，所述第二设备标识信息为第二设备ID的哈希值，那么，第一设备对所述第一信息和本地存储的第二信息进行匹配验证，还可以包括：对所述第一设备ID的哈希值和第二设备ID的哈希值进行匹配验证。其中，所述第一设备ID用于唯一标识所述第一设备。为了鉴权的安全进行，本申请实施例中设备ID为非公开的能够唯一标识设备的ID，例如：第一设备ID为第一设备出厂时定义的硬件唯一密钥(英文：Hardware Unique Key，简称：HUK)，又例如：第一设备ID为根据第一设备的晶片标识(英文：die Identification，简称：die ID)和唯一设备标识(英文：Unique Device Identification，简称：UDI)处理得到的。这样，通过第一设备本地存储的第一设备ID或第一设备ID的哈希值等第一设备标识信息，对解密后获得的第二设备ID或第二设备ID的哈希值等第二设备标识信息进行验证，指导第一设备对其使用权限的管理，实现对第一设备可靠和安全的鉴权。
[0011]可选的，该第二信息还可以包括目标有效信息，所述第一信息中包括实际使用信息，其中，实际使用信息用于表征所述第一设备上当前使用所述第二设备鉴权的情况。那么，第一设备对所述第一信息和本地存储的第二信息进行匹配验证，还可以包括：第一设备根据所述目标有效信息，对所述实际使用信息进行验证，以确定所述第二设备能否继续用于对所述第一设备进行鉴权。当第一设备确定实际使用信息还未达到目标有效信息，则，确定第二设备对于第一设备而言有效，可以继续使用第二设备对第一设备进行鉴权；否则，当第一设备确定实际使用信息已经达到目标有效信息，则，确定第二设备对于第一设备而言已经失效，不能继续使用第二设备对第一设备进行鉴权。其中，目标有效信息为允许使用所述第二设备进行鉴权的最多次数(例如：5次)；或者，目标有效信息为允许使用所述第二设
备进行鉴权的最长时间(例如：20小时)。这样，通过第一设备本地存储的目标有效信息，对第一信息中携带的实际使用信息进行验证，指导第一设备对其使用权限的管理，实现对第一设备可靠和安全的鉴权。
[0012]可选地，该第一信息还可以包括指示信息，所述指示信息用于指示下述信息中的至少一个：开放所述使用权限的时间、开放所述使用权限的接口或开放所述使用权限的操作。其中，该指示信息可以是第一设备在挑战请求消息中发送给第二设备的，也可以是第二设备根据自身的鉴权范围指定的对应的指示信息；还可以是第一设备在本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种鉴权方法，其特征在于，由第一设备实施，包括：接收第二设备发送的采用第一私钥加密的第一信息；根据第一公钥进行解密，获得所述第一信息，所述第一公钥与所述第一私钥对应；对所述第一信息和本地存储的第二信息进行匹配验证，获得验证结果；根据所述验证结果，确定所述第一设备的使用权限。2.根据权利要求1所述的方法，其特征在于，所述第一私钥和所述第一公钥为所述第二设备生成的；或者，所述第一私钥和所述第一公钥为鉴权服务器为所述第二设备配置的。3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：接收所述第二设备发送的经过鉴权服务器的第二私钥加密的第一公钥；使用本地存储的所述鉴权服务器的第二公钥对所述加密的第一公钥进行解密，获得所述第一公钥。4.根据权利要求1-3任一项所述的方法，其特征在于，所述第二信息包括第一随机数，在所述接收第二设备发送的采用第一私钥加密的第一信息之前，所述方法还包括：向所述第二设备发送挑战请求消息，所述挑战请求消息中携带所述第一随机数；所述接收第二设备发送的采用第一私钥加密的第一信息，包括：接收所述第二设备发送的响应消息，所述响应消息中携带所述第一信息，所述第一信息包括第二随机数；所述对所述第一信息和本地存储的第二信息进行匹配验证，包括：对所述第一随机数和所述第二随机数进行匹配验证。5.根据权利要求1-4任一项所述的方法，其特征在于，所述第二信息还包括第一设备标识信息，所述第一信息中包括第二设备标识信息，所述第一设备标识信息用于唯一标识所述第一设备，所述对所述第一信息和本地存储的第二信息进行匹配验证，还包括：对所述第一设备标识信息和所述第二设备标识信息进行匹配验证。6.根据权利要求5所述的方法，其特征在于，所述第一设备标识信息为第一设备标识ID，所述第二设备标识信息为第二设备ID；或者所述第一设备标识信息为第一设备ID的哈希值，所述第二设备标识信息为第二设备ID的哈希值。7.根据权利要求6所述的方法，其特征在于，所述第一设备ID为所述第一设备出厂时定义的硬件唯一密钥HUK，或者，所述第一设备ID为根据所述第一设备的晶片标识die ID和唯一设备标识UDI处理得到的。8.根据权利要求1-7任一项所述的方法，其特征在于，所述第二信息还包括目标有效信息，所述第一信息中包括实际使用信息，所述实际使用信息用于表征所述第一设备上当前使用所述第二设备鉴权的情况，所述对所述第一信息和本地存储的第二信息进行匹配验证，还包括：根据所述目标有效信息，对所述实际使用信息进行验证，以确定所述第二设备能否继续用于对所述第一设备进行鉴权。
9.根据权利要求8所述的方法，其特征在于，所述目标有效信息为允许使用所述第二设备进行鉴权的最多次数；或者，所述目标有效信息为允许使用所述第二设备进行鉴权的最长时间。10.根据权利要求1-9任意一项所述的方法，其特征在于，所述第一信息还包括指示信息，所述指示信息用于指示下述信息中的至少一个：开放所述使用权限的时间、开放所述使用权限的接口或开放所述使用权限的操作。11.根据权利要求1-10任一项所述的方法，其特征在于，所述第一设备为调试接口。12.一种对第一设备的使用权限进行鉴权的方法，其特征在于，由第二设备实施，包括：采用本地存储的第一私钥对第一信息进行加密；向所述第一设备发送经过所述第一私钥加密的所述第一信息，以对所述第一设备的...

【专利技术属性】
技术研发人员：唐甜，乔立忠，张梦楠，曹斌，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：