[发明专利]用于验证设备或用户的方法和装置

说明书

公开了用于认证设备的方法和装置。一种方法可以包括：从服务器接收公共‑私有密钥对的私有密钥和相关证书，其中所述证书包括公共‑私有密钥对的公共密钥；以及通过第一安全外壳会话向所述第二设备认证所述第一设备；响应于所述第一安全外壳会话的成功认证，向所述第二设备发送所述证书；以及使用所述公共密钥通过第二安全外壳会话向所述第二设备认证所述第一设备。

技术领域

本公开的实施例一般涉及信息安全技术，并且更具体地，涉及通过网络对设备或用户的认证。

背景技术

通常，对计算资源和数据的访问可能受限于授权的设备或用户。例如，在用于宽带接入的OAM(运营管理)系统中，可以将诸如ONT(光网络终端)或CPE(客户驻地设备)之类的终端远程部署在最终用户的家中，以提供数据、语音和/或视频服务。通常，对于电信客户，光网络单元管理和控制接口(OMCI)用于支持千兆级的无源光网络(GPON)管理，TR69/WEB用于RG(住宅网关)管理。图1示出了这样的OAM系统100。如图1所示，第一维护设备112可以通过OMCI到ONT 120的信道102向客户提供OAM服务。第二维护设备114可以经由TR-069到ONT120/CPE 122的信道104向客户提供OAM服务。第三维护设备116可以经由WEB到ONT 120/CPE122的信道106向客户提供OAM服务。

客户的OAM要求，包括一些简单的故障排除要求，例如日志、ping ip等。这些OAM要求可以经由OMCI、TR69和/或WEB的信道进行处理。相关的OAM操作是根据客户要求定制的，并且通常受限于最低权限。

尽管有些情况不是在正式的OMCI/TR69/WEB OAM中设计的(并且无法在正式的OMCI/TR69/WEB OAM中处理)。例如，由维护设备提供服务的某些远程设备会进入故障状态、并且需要进行远程故障排除/维护。在部署的设备中暴露了一些安全漏洞或发现了一些制造问题，为此，维护设备需要修复维护设备所服务的所有远程设备中的漏洞/问题。这些情况不是客户要求的，而是由设备供应商或网络运营商来执行远程故障排除/修复/维护的操作。这些操作具有更多权限，因此需要更严格的认证。

对于上述情况，建立一个独立的安全信道以提供远程故障排除/操作/维护服务将是有利的。

发明内容

提供本发明内容以简化形式介绍概念的选择，这些概念将在下面的详细描述中进一步描述。本发明内容既不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于限制所要求保护的主题的范围。

根据本公开的第一方面，提供了一种在第一设备处实现的用于向第二设备认证所述第一设备的方法。所述方法可以包括从服务器接收公共-私有密钥对的私有密钥和相关证书，其中所述证书包括所述公共-私有密钥对的公共密钥；通过第一安全外壳会话向所述第二设备认证所述第一设备；响应于所述第一安全外壳会话的成功认证，在所述第一安全外壳会话中建立的加密信道上作为业务数据向所述第二设备发送所述证书；以及使用所述公共密钥通过第二安全外壳会话，向所述第二设备认证所述第一设备。

在实施例中，提供了在所述第一设备处执行的用于向所述第二设备认证所述第一设备的方法。所述方法包括从服务器接收公共-私有密钥对的私有密钥和相关证书。所述证书包括所述公共-私有密钥对的公共密钥。所述方法还包括通过第一安全外壳会话向所述第二设备认证所述第一设备；以及响应于第一安全外壳会话的成功认证，向所述第二设备发送所述证书。所述方法还包括使用所述公共密钥通过第二安全外壳会话向所述第二设备认证所述第一设备。

在实施例中，在所述第一安全外壳会话中，认证所述第一设备可以包括向所述第二设备发送第一设备的密码或固定公共密钥，从而使得所述第一设备基于所述密码或所述固定公共密钥而被认证。

在实施例中，在所述第二安全外壳会话中，认证所述第一设备可以包括向所述第二设备发送所述公共密钥。

在实施例中，所述证书可以由原始证书颁发机构的证书的私有密钥签名。