[发明专利]一种身份认证的方法、系统及服务器和终端

说明书

本申请实施例公开了一种身份认证的方法，包括：当服务器接收第一终端发送的加入信任群组的入群请求时，服务器根据第一版本号为第一终端生成第一证书，服务器向第一终端发送第一证书以及第一版本号；当服务器确认第二终端从信任群组中撤销时，服务器按照预设规则更新第一版本号为第二版本号，服务器根据第二版本号为信任群组中未撤销的终端分别生成对应的第二证书，服务器向信任群组中未撤销的终端分别发送对应的第二证书以及第二版本号。这样，使得终端在进行认证时，可以通过对比对方的版本号，则可以进行身份验证，提高了验证的效率。

技术领域

本申请涉及认证领域，尤其是一种身份认证的方法、系统及服务器和终端。

背景技术

在未来物联网的场景下，所有设备皆以各种方式连接上网，但设备间常常需要成为一个群组，共同协作，例如在一个智慧家庭内，家里的冰箱、电视、洗衣机、空调、灯、智能锁、网关、手机、平板等都要能互相通信，让主人能够简单地控制各个设备，以及让设备间自行沟通，例如一打开智能门锁，锁即发出指令将屋内的电灯及空调打开；当衣服洗好时，洗衣机在电视上提醒主人可以晒干等等。诸如此类的设备间通信，若没有适当的安全保护，极有可能成为黑客攻击的目标。

设备间通信的安全保护不外乎两方面，认证与加密。认证指的是两个设备间要彼此通信之前，必须先确认对方是我们要沟通的可信任目标，而不是黑客伪造的设备。而加密则是开始通信后，对传输的信息作加密保护，避免黑客从中窃听。一般设备经过认证之后，可以通过密钥交换协议来交换密钥并加密，因此主要的安全关键还是在设备的认证。建立一个信任群组，首先需要有一个信任中心，负责签发每个设备的公钥证书，也就是设备的身份证，内含信任中心对设备公钥的签名，设备内则握有相对应的私钥。公钥证书是公开信息，当设备要证明自己的身份时，必须提出公钥证书，并以相对应的私钥来签名，证明拥有此证书对应的私钥。因此，设备认证最重要的就是密钥管理，如何正确的让每个设备确认其他设备的公钥证书还在信任群组内而没有被注销，是一个重要的课题。

目前互联网上面最普遍的公钥基础设施(英文全称：Public KeyInfrastructure，英文缩写：PKI)架构是建立一个证书管理机构(英文全称：CertificateAuthority，英文缩写：CA)作为可信中心，由此CA签发每个设备的公钥证书。每当有设备要加入群组时，就和CA申请公钥证书，当有群组成员需要被撤销时，则CA将此设备放入一个撤销列表。两设备要做认证时，验证方收到对方公钥证书后，先向CA索取撤销列表，并使用CA的公钥去验证证书和撤销列表的签名是否正确。若签名都正确，且此证书不在撤销列表内，则认证成功，可基于此公钥进行密钥交换。这样，每次基于对方公钥进行密钥交换，通信成本大，回合数多，且无法做到预计算，使得认证的效率比较低。

发明内容

本申请实施例提供了一种身份认证的方法、系统及服务器和终端，用于提高认证的效率。

本申请实施例第一方面提供一种身份认证的方法，包括：

当第一终端加入信任群组时，服务器接收到第一终端的入群请求，该入群请求包含第一终端的标识和公钥，服务器将第一终端的标识和公钥存储于设备列表中，并通过服务器的私钥根据第一版本号为第一终端生成第一证书，生成第一证书的条件参数还可以包括第一终端的标识、公钥、该信任群组名称标识，服务器向第一终端发送所述第一证书以及第一版本号；其中，设备列表中存储该信任群组中的所有终端的标识和公钥。

当服务器确认第二终端从信任群组中撤销时，服务器将该第二终端的标识和公钥从设备列表中删除，并且服务器按照预设规则更新所述第一版本号为第二版本号，比如版本号可以是一个数值，该预设规则可以是累加规则，若第一版本号为数值10，那么累加一次得到第二版本号为数值11；服务器根据第二版本号为所述信任群组中未撤销的终端分别生成对应的第二证书，生成第二证书的条件参数还可以包括所对应的终端的标识、公钥、该信任群组名称标识；生成第二证书后，服务器向所述信任群组中未撤销的终端分别发送对应的第二证书以及第二版本号。其中，第一终端与第二终端可以为同一终端，也可以为不同的终端。