[发明专利]鉴权方法和设备

说明书

本申请实施例公开了一种鉴权方法和设备，由CA服务器等具有证书颁发功能的第二设备，为待鉴权的第一设备生成第一证书，并基于第一私钥对该第一证书进行数字签名，第一设备获取到该数字签名后的第一证书后，对该数字签名后的证书进行验证，获得第一验证结果，并基于该第一验证结果对该第一设备的使用权限进行鉴权。这样，通过具有证书颁发功能和数字签名功能、安全等级较高的第二设备通过数字签名后的第一证书，实现对待鉴权的第一设备的鉴权，克服了目前通过密码本等方式保护第一设备安全时存在的安全隐患，确保对第一设备的访问和使用更加安全和可靠。

技术领域

本申请涉及安全通信技术领域，特别是涉及一种鉴权方法和设备，该方法用于有开通设备或设备上接口的使用权限的需求时，对该设备或设备上接口的鉴权。

背景技术

设备上会存储很多信息，有的信息对于设备的生产商或者使用者非常重要。目前，通常采用密码本的方式对设备进行鉴权，以确保设备以及其上信息的安全。具体而言，密码本上保存着多个密码，在设备上预置一个或多个密码，当有开放该设备的使用权限的需求时，由指定人员(如：调试人员、运维人员、生产人员等)将密码本中的密码输入到设备中，和设备中预置的密码进行匹配，匹配成功时，视作该设备鉴权通过，该设备开放匹配成功的密码对应的使用权限，从而可以通过设备上已开放的使用权限访问对应的重要信息。

但是，由于密码本的存储、传输和匹配均采用的是明文，而且，人为管理密码本非常容易泄露密码本中的密码，可见，采用该密码本对设备进行鉴权，安全性较低。基于此，亟待提供一种安全等级更高的鉴权方式，确保设备在安全的情况下被开放使用权限，从而保障其上信息的安全。

发明内容

基于此，本申请实施例提供了一种鉴权方法和设备、以及对第一设备的使用权限进行鉴权的方法和设备，通过安全等级较高的证书颁发机构(英文：CertificateAuthority，简称： CA)服务器等设备对证书进行数字签名并由待鉴权的设备对该具有签名的证书进行完整性验证的方式，实现对待鉴权的设备更为安全的鉴权。

第一方面，提供了一种鉴权方法，应用在包括第一设备和第二设备的场景中，以第一设备为执行主体，该鉴权方法例如可以包括：第一设备从第二设备获取采用第一私钥进行数字签名的第一证书，即可对该第一证书进行验证，获得第一验证结果，那么，第一设备就可以根据该第一验证结果，确定第一设备的使用权限。具体而言，当第一验证结果表示验证通过，则第一设备开放对应的使用权限，当第一验证结果表示验证未通过，则第一设备不开放对应的使用权限。这样，通过具有证书颁发功能和数字签名功能、安全等级较高的第二设备对第一证书进行数字签名，并由待鉴权的第一设备对该数字签名后的第一证书进行验证，实现对待鉴权的第一设备的鉴权，克服了目前通过密码本或者接口对应焊盘裸露的等方式保护第一设备安全时存在的安全隐患，通过高安全等级的第二设备颁发的证书以及数字签名技术，确保了对待鉴权的第一设备的保护更加安全和可靠。

其中，第一设备可以是待鉴权的任何设备，例如：可以指网络设备或单板，又例如：也可以指设备上的调试接口或业务接口。第二设备可以是指安全等级较高，且具有证书颁发功能和数字签名功能的鉴权服务器，例如：证书颁发机构(英文：CertificateAuthority，简称：CA)服务器。当第一设备指调试接口，第二设备是CA服务器时，CA服务器颁发且通过数字签名后的证书下发到调试接口所在设备并验证通过后，该调试接口所在设备开放该调试接口的使用权限，供访问和使用该调试接口。