[发明专利]身份认证方法、装置、设备及介质

说明书

本申请适用于网络安全技术领域，提供了身份认证方法、装置、设备及介质，方法包括：发起认证端获取证书；向被认证端发起身份认证请求，并获取证书；自证书的多个公钥中获取被认证端的公钥；或者，通过证书的多个公钥Hash值确定本地存储的被认证端的公钥真实且完整；利用被认证端的公钥生成加密信息，并将加密信息发送给被认证端；从被认证端接收加密信息的解密信息，加密信息的解密信息用于认证被认证端的身份。本申请通过证书管理被认证端的公钥，在保证密钥认证可靠性的前提下省去了用于管理密钥的专用模块，节省了计算资源。

技术领域

本申请属于网络安全技术领域，尤其涉及身份认证方法、装置、设备及介质。

背景技术

在涉及到多端通信和交互的复杂系统中，各端节点间的身份认证是一个影响系统运行可靠性的关键问题，目前业界现有的常用技术是基于共享密钥认证、非对称密钥认证等密钥对的方式进行节点间的身份认证。

虽然这些现有技术的方案能够在涉及到多端通信和交互的复杂系统中各端节点间的通信伊始阶段，例如汽车内部各ECU/域控制器节点间的通信伊始阶段提供相对有效的身份认证，但仍然存在着下述问题。

由于复杂系统中涉及的端节点数量较多，需要的密钥对数量对应也较多，导致了密钥管理(分发、替换等)过程中较为困难。

进一步地，针对上述问题，现有技术提供了使用专门的模块对密钥进行管理的方案，然而这一方案中，相对可靠的密钥管理模块将产生较多的计算资源消耗，相对轻量的密钥管理模块有着可靠性不足的缺点。

因此，如何提供一种兼顾轻量可靠的身份认证解决方案成为了业内亟需解决的技术问题。

发明内容

本申请实施例提供了身份认证方法及装置，可以解决现有技术中密钥管理无法兼顾轻量与可靠的问题。

第一方面，本申请实施例提供了一种身份认证方法，包括：

向被认证端发起身份认证请求，并获取证书；

自所述证书的多个公钥中获取所述被认证端的公钥；或者，通过所述证书的多个公钥Hash值确定本地存储的所述被认证端的公钥真实且完整；

利用所述被认证端的公钥生成加密信息，并将所述加密信息发送给所述被认证端；

从所述被认证端接收所述加密信息的解密信息，所述加密信息的解密信息用于认证所述被认证端的身份。

上述方法通过证书管理被认证端的公钥，证书具有较高的可靠性，能够保障公钥的安全。由于证书中能够存储多个设备的公钥，故发起认证端只需从证书中调用需要进行认证的设备(即被认证端)的公钥并执行加密、发送以及验证的后续步骤即可完成验证。通过证书与密钥结合的方式，多个被认证端可以共用一个或少量的几个证书，发起认证端只需少量的证书即可管理多个被认证端的公钥，在利用证书的较高可靠性的同时规避了单纯使用证书带来的身份认证系统重型化的缺点(即，大量证书导致的系统复杂性提升的缺点)。当需要进行认证的设备存在需要更新密钥的情况(如，被认证端被替换)时，只需针对证书进行替换即可完成密钥的更新管理，无需重新生成和分发新的密钥，从而在保证密钥认证可靠性的前提下省去了用于管理密钥的专用模块，节省了计算资源。

在第一方面的一种可能的实现方式中，所述将所述加密信息发送给所述被认证端的步骤后，还包括：

从所述被认证端接收所述被认证端的标识，并根据存储于所述证书的多个被认证端的标识或者存储于所述证书的多个被认证端的标识的Hash值，判断所述发起认证端接收得到的所述被认证端的标识是否合法；所述被认证端的标识是与所述被认证端的至少一部分硬件一一对应的识别标记。

上述方法通过引入被认证端的标识，提供了针对被认证端硬件的认证，从而避免了由于被被认证端硬件被非法替换而产生的欺骗认证。