本申請提供了一種身份憑據的申請方法、身份認證的方法、設備及裝置，該方法包括第一設備向第二設備發送第一消息，該第一消息包括該第一設備的身份憑據申請信息；該第一設備接收該第二設備發送的第二消息，該第二消息包括處理后的身份憑據申請信息，其中該處理后的身份憑據申請信息是該第一設備的身份憑據申請信息經該第二設備的私鑰簽名之后得到的，或者經對稱密鑰加密之后得到的；該第一設備向第三方設備發送第三消息，該第三消息包括該處理后的身份憑據申請信息，用于向該第三方設備請求注冊該第一設備的身份憑據，其中該第三方設備與該第二設備相互信任。上述技術方案能夠保證設備注冊身份憑據過程的安全性，提升認證設備覆蓋面。

技術領域

本申請涉及通信技術領域，并且更具體地，涉及一種身份憑據的申請方法、身份認證的方法、設備及裝置。

背景技術

兩個設備之間進行通信時，通信雙方需要交換各自的身份憑據以完成身份認證。設備的身份憑據一般在認證前從可信的第三方獲取。例如申請設備生成用于標識設備身份的公私鑰對后，將其中的公鑰和設備的其他信息發送給第三方，用于第三方簽發身份憑據。

身份憑據的注冊過程涉及密鑰的存儲和使用，為了消減身份憑據注冊流程被復制到其他惡意設備上的風險，以及確保身份憑據在設備側可以被安全存儲、使用等，第三方對請求注冊身份憑據的設備具有一定要求，例如需要資源充足或具有安全環境等，以確保申請設備發送給第三方的信息沒有被篡改，減少身份憑據在保存和使用過程中被盜取或篡改的風險。

但并非所有設備都具備向第三方證明注冊信息完整性保護的能力，例如對于物聯網 (internet of things，IoT)設備來說，有的設備可以自主登錄賬號，有的設備可以被賬號綁定，各終端設備可以基于賬號進行認證并可信互聯，并不一定要求設備具有安全環境。而這樣的設備如何從第三方注冊身份憑據以完成與其他設備進行身份認證是一個亟待解決的問題。

發明內容

本申請提供一種身份憑據的申請方法、身份認證的方法、設備及裝置，能夠保證設備注冊身份憑據過程的安全性，并且能夠提升認證設備覆蓋面。

第一方面，提供了一種身份憑據的申請方法，包括：第一設備向第二設備發送第一消息，所述第一消息包括所述第一設備的身份憑據申請信息；所述第一設備接收所述第二設備發送的第二消息，所述第二消息包括處理后的身份憑據申請信息，其中所述處理后的身份憑據申請信息是所述第一設備的身份憑據申請信息經所述第二設備的私鑰簽名之后得到的，或者經對稱密鑰加密之后得到的；所述第一設備向第三方設備發送第三消息，所述第三消息包括所述處理后的身份憑據申請信息，用于向所述第三方設備請求注冊所述第一設備的身份憑據，其中所述第三方設備與所述第二設備相互信任。

本申請實施例提供的技術方案中，通過第二設備對第一設備的身份憑據申請信息進行簽名或加密，以確保第一設備向第三方設備發送信息的安全性和完整性。第三方設備基于與第二設備的信任關系，在對第一設備的身份憑據申請信息的驗證通過后即可為第一設備頒發身份憑據。這樣由與簽發設備具有信任關系的第二設備代理申請其他與第二設備具有信任基礎的設備的身份憑據，能夠向簽發設備證明設備身份憑據注冊流程沒有被篡改，消減了第一設備因安全能力不足，無法向第三方設備證明身份憑據完整性的風險，提升了設備身份憑據注冊的安全性。

另外一些與第二設備具有信任基礎的設備，雖然自己不能注冊身份憑據，但是可以請求第二設備代理申請，可以增加能夠注冊身份憑據的設備數量，提升認證設備的覆蓋面。

本申請實施例中，第二設備與第三方設備相互信任可以理解為第二設備在第三方設備處已注冊身份憑據，與第三方設備已經建立可信關系。

結合第一方面，在一種可能的實現方式中，所述第一設備為無安全環境或安全保護資源有限的設備，所述第二設備為有安全環境或安全保護資源充分的設備。

結合第一方面，在一種可能的實現方式中，所述第二消息還包括：所述第二設備的設備身份信息，和/或，所述第一設備的身份憑據的使用策略。