(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210642088.1 (22)申请日 2022.06.07 (71)申请人 抖音视界 （北京） 有限公司 地址 100041 北京市石景山区实兴大街3 0 号院3号楼 2层B-0035房间 (72)发明人 黄阳琨　黄宙舒　 (74)专利代理 机构 北京世辉律师事务所 16 093 专利代理师 黄倩 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 设备认证和校验的方法、 装置、 设备和存储 介质 (57)摘要 根据本公开的实施例， 提供了 设备认证和校 验的方法、 装置、 设备和存储介质。 设备认证的方 法包括： 在第一设备处， 向第二设备发送设备激 活请求， 该设备激活请求包括第一设备的身份认 证信息以及响应于从第二设备接收到激活证书， 将激活证书存储在与第一设备相关联的可信任 环境中。 该方法还包括向第二设备 发送证书签名 请求， 该证书签名请求在可信任环 境中至少部分 地基于激活证书而生成以及将从第二设备接收 的设备证书存储在可信任环境中， 该设备证书基 于证书签名请求而生成。 以此方式， 在节约开销 的基础上实现了更为可靠的身份认证与鉴权机 制， 从而可以杜绝对设备的伪造或仿冒带来的非 法牟利的漏洞风险。 权利要求书3页 说明书13页 附图10页 CN 115037480 A 2022.09.09 CN 115037480 A 1.一种设备认证的方法， 包括： 在第一设备处向第 二设备发送设备激活请求， 所述设备激活请求包括所述第 一设备的 身份认证信息； 响应于从所述第 二设备接收到激活证书， 将所述激活证书存储在与 所述第一设备相关 联的可信任环境中； 向所述第二设备发送证书签名请求， 所述证书签名请求在所述可信任环境中至少部分 地基于所述激活证书 而生成； 以及 将从所述第 二设备接收的设备证书存储在所述可信任环境中， 所述设备证书基于所述 证书签名请求而生成。 2.根据权利要求1所述的方法， 还 包括： 建立所述第一设备与所述设备之间的安全连接， 以用于所述设备激活请求、 所述激活 证书、 所述证书签名请求和所述设备证书中至少一个的传输 。 3.根据权利要求1所述的方法， 其中将所述激活证书存储在与所述第一设备相关联的 可信任环境中包括： 基于第一非对称密钥对中的第一公钥， 对所述激活证书进行签名验证， 所述第一非对 称密钥对中的第一私钥由所述第二设备用来对所述激活证书 进行签名； 以及 响应于所述签名验证通过， 将所述激活证书存 储在所述可信任环境中。 4.根据权利要求1所述的方法， 还 包括： 在所述可信任环境中， 生成第二非对称密钥对； 利用所述第二非对称密钥对中的第二私钥对所述证书签名请求进行签名； 以及 将所述第二非对称要对中的第二公钥发送给 所述第二设备。 5.根据权利要求1所述的方法， 还 包括： 向所述第二设备发送激活确认。 6.一种设备 校验的方法， 包括： 在与第一设备相关联的可信任环境中查找激活证书， 所述激活证书由用于认证所述第 一设备的第二设备生成； 响应于确定所述激活证书存在于所述可信任环境中， 对所述激活证书进行本地验证； 以及 响应于所述激活证书通过本地验证， 生成已激活校验标识以用于所述第 一设备针对本 地服务的身份校验。 7.根据要求6所述的方法， 其中对所述激活证书 进行本地验证包括验证如下至少一项： 所述激活证书的合法性， 以及 所述激活证书的有效期。 8.根据权利要求6所述的方法， 还 包括： 响应于所述激活证书通过本地验证， 生成校验请求； 利用第二非对称密钥对中的第 二私钥对所述校验请求进行签名， 所述第 二非对称密钥 对在所述可信任环境中被生成， 其中所述第二非对称密钥对的第二 公钥在先前的设备认证 过程中已由所述第一设备发送给 所述第二设备； 以及 向所述第二设备发送经过签名的所述校验请求， 以用于所述第 一设备在远程服务中的权　利　要　求　书 1/3 页 2 CN 115037480 A 2身份校验。 9.一种设备认证的方法， 包括： 响应于接收到来自第 一设备的设备激活请求， 在第 二设备处验证所述设备激活请求中 指示的所述第一设备的身份认证信息； 响应于对所述身份认证信息的所述验证成功， 向所述第一设备发送激活证书； 以及 响应于接收到来自第一设备的证书签名请求， 向所述第一设备发送设备证书， 所述设 备证书基于证书签名请求而生成。 10.根据权利要求9所述的方法， 其中所述激活请求、 所述激活证书、 所述证书签名请求 和所述设备证书中至少一个是通过 所述第一设备与所述第二设备之间的安全连接传输的。 11.根据权利要求9所述的方法， 还 包括： 利用第一非对称密钥对中的第一私钥对所述激活证书 进行签名； 以及 将所述第一非对称密钥对中的第一公钥发送给 所述第一设备。 12.根据权利要求9所述的方法， 还 包括以如下 方式生成所述设备证书： 从所述证书签名请求中获取第 二非对称密钥对中的第 二公钥， 所述第 二非对称密钥对 在与所述第一设备相关联的可信任环境中被生成； 以及 通过对所述第二公钥进行签名来 生成所述设备证书。 13.根据权利要求9所述的方法， 还 包括： 从所述第一设备接收针对所述第一设备的激活确认。 14.根据权利要求9所述的方法， 还 包括以如下 方式对第一设备进行 校验： 响应于接收到来自第 一设备的校验请求， 利用第 二非对称密钥对中的第 二公钥对所述 校验请求进行签名验证， 所述第二非对称密钥对在与所述第一设备相关联的可信任环境中 被生成； 以及 根据所述签名验证的结果， 向所述第一设备发送相应的验证响应。 15.一种用于设备认证的装置， 包括： 激活请求发送模块， 被配置为向第二设备发送设备激活请求， 所述设备激活请求包括 所述第一设备的身份认证信息； 激活证书存储模块， 被配置为响应于从所述第二设备接收到激活证书， 将所述激活证 书存储在与所述第一设备相关联的可信任环境中； 证书签名请求发送模块， 被配置为向所述第二设备发送证书签名请求， 所述证书签名 请求在所述可信任环境中至少部分地基于所述激活证书 而生成； 以及 设备证书存储模块， 被配置为将 从所述第 二设备接收的设备证书存储在所述可信任环 境中， 所述设备证书基于所述证书签名请求而生成。 16.一种用于设备 校验的装置， 包括： 激活证书查找模块， 被配置为在与第一设备相关联的可信任环境中查找激活证书， 所 述激活证书由用于认证所述第一设备的第二设备生成； 本地验证模块， 被配置为响应于确定所述激活证书存在于所述可信任环境中， 对所述 激活证书 进行本地验证； 以及 已激活校验标识生成模块， 被配置为响应于所述激活证书通过本地验证， 生成已激活 校验标识以用于所述第一设备针对本地 服务的身份校验。权　利　要　求　书 2/3 页 3 CN 115037480 A 3