[发明专利]身份凭据的申请方法、身份认证的方法、设备及装置

说明书

本申请提供了一种身份凭据的申请方法、身份认证的方法、设备及装置，该方法包括第一设备向第二设备发送第一消息，该第一消息包括该第一设备的身份凭据申请信息；该第一设备接收该第二设备发送的第二消息，该第二消息包括处理后的身份凭据申请信息，其中该处理后的身份凭据申请信息是该第一设备的身份凭据申请信息经该第二设备的私钥签名之后得到的，或者经对称密钥加密之后得到的；该第一设备向第三方设备发送第三消息，该第三消息包括该处理后的身份凭据申请信息，用于向该第三方设备请求注册该第一设备的身份凭据，其中该第三方设备与该第二设备相互信任。上述技术方案能够保证设备注册身份凭据过程的安全性，提升认证设备覆盖面。

技术领域

本申请涉及通信技术领域，并且更具体地，涉及一种身份凭据的申请方法、身份认证的方法、设备及装置。

背景技术

两个设备之间进行通信时，通信双方需要交换各自的身份凭据以完成身份认证。设备的身份凭据一般在认证前从可信的第三方获取。例如申请设备生成用于标识设备身份的公私钥对后，将其中的公钥和设备的其他信息发送给第三方，用于第三方签发身份凭据。

身份凭据的注册过程涉及密钥的存储和使用，为了消减身份凭据注册流程被复制到其他恶意设备上的风险，以及确保身份凭据在设备侧可以被安全存储、使用等，第三方对请求注册身份凭据的设备具有一定要求，例如需要资源充足或具有安全环境等，以确保申请设备发送给第三方的信息没有被篡改，减少身份凭据在保存和使用过程中被盗取或篡改的风险。

但并非所有设备都具备向第三方证明注册信息完整性保护的能力，例如对于物联网 (internet of things，IoT)设备来说，有的设备可以自主登录账号，有的设备可以被账号绑定，各终端设备可以基于账号进行认证并可信互联，并不一定要求设备具有安全环境。而这样的设备如何从第三方注册身份凭据以完成与其他设备进行身份认证是一个亟待解决的问题。

发明内容

本申请提供一种身份凭据的申请方法、身份认证的方法、设备及装置，能够保证设备注册身份凭据过程的安全性，并且能够提升认证设备覆盖面。

第一方面，提供了一种身份凭据的申请方法，包括：第一设备向第二设备发送第一消息，所述第一消息包括所述第一设备的身份凭据申请信息；所述第一设备接收所述第二设备发送的第二消息，所述第二消息包括处理后的身份凭据申请信息，其中所述处理后的身份凭据申请信息是所述第一设备的身份凭据申请信息经所述第二设备的私钥签名之后得到的，或者经对称密钥加密之后得到的；所述第一设备向第三方设备发送第三消息，所述第三消息包括所述处理后的身份凭据申请信息，用于向所述第三方设备请求注册所述第一设备的身份凭据，其中所述第三方设备与所述第二设备相互信任。

本申请实施例提供的技术方案中，通过第二设备对第一设备的身份凭据申请信息进行签名或加密，以确保第一设备向第三方设备发送信息的安全性和完整性。第三方设备基于与第二设备的信任关系，在对第一设备的身份凭据申请信息的验证通过后即可为第一设备颁发身份凭据。这样由与签发设备具有信任关系的第二设备代理申请其他与第二设备具有信任基础的设备的身份凭据，能够向签发设备证明设备身份凭据注册流程没有被篡改，消减了第一设备因安全能力不足，无法向第三方设备证明身份凭据完整性的风险，提升了设备身份凭据注册的安全性。

另外一些与第二设备具有信任基础的设备，虽然自己不能注册身份凭据，但是可以请求第二设备代理申请，可以增加能够注册身份凭据的设备数量，提升认证设备的覆盖面。

本申请实施例中，第二设备与第三方设备相互信任可以理解为第二设备在第三方设备处已注册身份凭据，与第三方设备已经建立可信关系。

结合第一方面，在一种可能的实现方式中，所述第一设备为无安全环境或安全保护资源有限的设备，所述第二设备为有安全环境或安全保护资源充分的设备。

结合第一方面，在一种可能的实现方式中，所述第二消息还包括：所述第二设备的设备身份信息，和/或，所述第一设备的身份凭据的使用策略。