身份认证方法、装置和电子设备与流程

1.本公开涉及身份认证领域，具体涉及一种身份认证方法、装置及电子设备。


背景技术：

2.设备上的实体(如应用)如果希望与另一设备进行通信(如从另一设备获取资源)，另一设备通常需要对该实体的身份进行认证。
3.相关技术仅关注设备身份和/或实体身份的认证，这种身份认证方式不够可靠。


技术实现要素：

4.有鉴于此，本公开提供一种身份认证方法、装置和电子设备，以提高身份认证的可靠性。
5.第一方面，提供一种身份认证方法，所述方法应用于第一设备，所述第一设备上运行有第一实体，所述方法包括：向第二设备发送所述第一实体的身份凭证，所述身份凭证包括所述第一实体的当前环境属性，所述当前环境属性用于所述第二设备验证所述第一实体的环境合法性；在所述第二设备对所述身份凭证的验证通过之后，通过所述第一实体与所述第二设备进行通信。
6.可选地，在一些实施例中，所述第一实体的身份凭证包括所述第一实体的身份私钥的私钥签名，所述当前环境属性包含在所述私钥签名中，所述方法还包括：向所述第二设备发送所述第一实体的身份证书，所述第一实体的身份证书包括所述第一实体的身份公钥以及所述第一实体的环境属性，以便所述第二设备基于所述第一实体的身份公钥从所述私钥签名中获取所述当前环境属性，并通过比较所述当前环境属性与所述第一实体的身份证书中的环境属性，验证所述第一实体的环境合法性。
7.可选地，在一些实施例中，所述第一实体的身份证书还包括所述第一实体的身份标识和所述第一设备的身份标识，所述第一实体的身份标识用于所述第二设备验证所述第一实体的身份合法性，所述第一设备的身份标识用于所述第二设备验证所述第一设备的身份合法性。
8.可选地，在一些实施例中，在所述向第二设备发送第一实体的身份凭证之前，所述方法还包括：向第一证书颁发机构发送所述第一实体的身份注册消息，所述第一实体的身份注册消息包括所述第一设备的身份标识、所述第一实体的身份标识以及所述第一实体的环境属性；从所述第一证书颁发机构接收所述第一实体的身份证书。
9.可选地，在一些实施例中，所述第一实体的身份证书还包括以下信息中的至少一种：所述第一实体的身份证书的序列号，所述第一实体的身份标识，所述第一设备的身份标识，所述第一实体的身份公钥，所述第一证书颁发机构的私钥签名以及时间戳。
10.可选地，在一些实施例中，所述第一实体的身份注册消息还包括所述第一设备的身份证书，在所述向第一证书颁发机构发送所述第一实体的身份注册消息之前，所述方法还包括：向第二证书颁发机构发送所述第一设备的身份注册消息，所述第一设备的身份注
册消息包括所述第一设备的身份标识和所述第一实体的身份标识；从所述第二证书颁发机构接收所述第一设备的身份证书，所述第一设备的身份证书包括所述第一设备的身份标识和所述第一实体的身份标识。
11.可选地，在一些实施例中，所述第一设备的身份证书还包括以下信息中的至少一种：所述第一设备的身份证书的序列号，所述第一设备的设备属性、所述第二证书颁发机构的私钥签名、所述第一设备的身份公钥以及时间戳。
12.可选地，在一些实施例中，所述第一设备上安装有身份代理模块，所述第一实体与所述身份代理模块通信连接，以触发所述身份代理模块执行以下操作中的至少一种：向第一证书颁发机构发送所述第一实体的身份注册消息，以获取所述第一实体的身份证书；向第二证书颁发机构发送所述第一设备的身份注册消息，以获取所述第一设备的身份证书；生成所述第一实体的身份凭证。
13.可选地，在一些实施例中，所述第一设备包括可信硬件模块，所述可信硬件模块中存储有所述第一设备的身份私钥和/或所述第一实体的身份私钥。
14.可选地，在一些实施例中，所述第一实体的当前环境属性包括：所述第一设备的当前设备属性和/或所述第一实体的当前运行环境属性。
15.第二方面，提供一种身份认证方法，所述方法应用于第二设备，所述方法包括：从第一设备接收所述第一设备上运行的第一实体的身份凭证，所述身份凭证包括所述第一实体的当前环境属性；对所述身份凭证进行验证，所述身份凭证的验证包括基于所述当前环境属性对所述第一实体的环境合法性进行验证；如果所述身份凭证的验证通过，与所述第一实体进行通信。
16.可选地，在一些实施例中，所述第一实体的身份凭证包括所述第一实体的身份私钥的私钥签名，所述当前环境属性包含在所述私钥签名中，所述对所述身份凭证进行验证，包括：从所述第一设备接收所述第一实体的身份证书，所述第一实体的身份证书包括所述第一实体的身份公钥以及所述第一实体的环境属性；利用所述第一实体的身份公钥对所述私钥签名进行解密，得到所述当前环境属性；如果所述当前环境属性与所述第一实体的身份证书中的环境属性匹配，确定所述第一实体的环境合法。
17.可选地，在一些实施例中，所述第一实体的身份证书还包括所述第一实体的身份标识和所述第一设备的身份标识，所述对所述身份凭证进行验证，包括：根据所述第一实体的身份标识对所述第一实体的身份合法性进行验证；根据所述第一设备的身份标识对所述第一设备的身份合法性进行验证。
18.可选地，在一些实施例中，所述第一实体的身份证书由第一证书颁发机构颁发，所述第一实体的身份证书还包括以下信息中的至少一种：所述第一实体的身份证书的序列号，所述第一证书颁发机构的私钥签名和所述第一实体的身份公钥。
19.可选地，在一些实施例中，所述第一实体的当前环境属性包括：所述第一设备的当前设备属性和/或所述第一实体的当前运行环境属性。
20.第三方面，提供一种身份认证方法，所述方法应用于第一证书颁发机构，所述方法包括：从所述第一设备接收所述第一设备上运行的第一实体的身份注册消息，所述第一实体的身份注册消息包括所述第一实体的环境属性；向所述第一设备发送所述第一实体的身份证书，所述第一实体的身份证书包括所述第一实体的环境属性。
21.可选地，在一些实施例中，所述第一实体的身份证书还包括以下信息中的至少一种：所述第一实体的身份证书的序列号，所述第一实体的身份标识，所述第一设备的身份标识，所述第一实体的身份公钥，所述第一证书颁发机构的私钥签名以及时间戳。
22.可选地，在一些实施例中，所述第一实体的身份注册消息还包括所述第一设备的身份证书。
23.可选地，在一些实施例中，所述第一设备的身份证书包括所述第一设备的身份标识和所述第一实体的身份标识。
24.可选地，在一些实施例中，所述第一设备的身份证书还包括以下信息中的至少一种：所述第一设备的身份证书的序列号，所述第一设备的设备属性、所述第二证书颁发机构的私钥签名、所述设备的身份公钥以及时间戳。
25.可选地，在一些实施例中，所述第一设备上安装有身份代理模块，所述第一实体与所述身份代理模块通信连接，所述第一实体的身份注册消息是由所述身份代理模块发送至所述第一证书颁发机构的。
26.第四方面，提供一种身份认证装置，所述身份认证装置应用于第一设备，所述第一设备上运行有第一实体，所述装置包括：发送模块，用于向第二设备发送所述第一实体的身份凭证，所述身份凭证包括所述第一实体的当前环境属性，所述当前环境属性用于所述第二设备验证所述第一实体的环境合法性；通信模块，用于在所述第二设备对所述身份凭证的验证通过之后，通过所述第一实体与所述第二设备进行通信。
27.第五方面，提供一种身份认证装置，所述身份认证装置应用于第二设备，所述装置包括：接收模块，用于从第一设备接收所述第一设备上运行的第一实体的身份凭证，所述身份凭证包括所述第一实体的当前环境属性；验证模块，对所述身份凭证进行验证，所述身份凭证的验证包括基于所述当前环境属性对所述第一实体的环境合法性进行验证；通信模块，用于如果所述身份凭证的验证通过，与所述第一实体进行通信。
28.第六方面，提供一种身份认证装置，所述身份认证装置应用于第一证书颁发机构，所述装置包括：接收模块，用于从第一设备接收所述第一设备上运行的第一实体的身份注册消息，所述第一实体的身份注册消息包括所述第一实体的环境属性；发送模块，用于向所述第一设备发送所述第一实体的身份证书，所述第一实体的身份证书包括所述第一实体的环境属性。
29.第七方面，提供一种电子设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器被配置为执行所述可执行代码，以实现如第一方面所述的方法。
30.第八方面，提供一种电子设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器被配置为执行所述可执行代码，以实现如第二方面所述的方法。
31.第九方面，提供一种电子设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器被配置为执行所述可执行代码，以实现如第三方面所述的方法。
32.第七方面，提供一种计算机可读存储介质，其上存储有可执行代码，当所述可执行代码被执行时，能够实现如第一方面至第三方面任一所述的方法。
33.第十方面，提供一种计算机程序产品，包括可执行代码，当所述可执行代码被执行时，能够实现如第一方面至第三方面任一所述的方法。
34.本公开实施例在身份凭证中添加了实体的当前环境属性(或实时环境属性)，使得
通信对方可以对实体的当前环境属性进行验证，提高了身份认证的可靠性。
附图说明
35.图1是本公开一实施例提供的第一实体的身份凭证的示意图。
36.图2是本公开一实施例提供的身份认证方法的流程示意图。
37.图3是本公开一实施例提供的第一实体的身份证书的结构示意图。
38.图4是本公开一实施例提供的身份认证方法的流程示意图。
39.图5是本公开一实施例提供的身份认证方法的流程示意图。
40.图6是本公开实施例提供的第一设备的身份证书示意图。
41.图7是本公开一实施例提供的身份认证系统示意图。
42.图8是本技术一实施例提供的身份认证装置的结构示意图。
43.图9是本技术一实施例提供的身份认证装置的结构示意图。
44.图10是本技术一实施例提供的身份认证装置的结构示意图。
45.图11是本技术一实施例提供的电子设备的结构示意图。
具体实施方式
46.为了鉴于理解，先对本技术实施例涉及的一些概念进行介绍。
47.设备
48.本技术提及的设备指的是通信前需要进行身份认证的设备。设备也可称为节点或平台(platform)。设备可以指物理设备，例如手机、平板电脑、笔记本电脑、掌上电脑、服务器等。设备也可以指虚拟设备，例如弹性云服务器(elastic cloud server，ecs)、网络交易平台等。
49.实体
50.实体可以在运行在设备上的具有通信功能的软件。例如，实体可以指运行在设备上的应用、组件、pod等。
51.设备属性
52.设备属性也可称为平台属性。设备属性例如可以指与设备相关的、可以用于标识设备身份的信息或特征。例如设备属性可以包括以下属性中的一种或多种：bios属性、os属性、os内核属性、os加载属性、其它固件属性等。
53.实体的环境属性
54.实体的环境可以指设备的启动环境和/或运行环境。实体的环境也可以指实体的软硬件环境，如实体的操作系统环境或实体所属的应用环境。实体的环境属性例如可以指与实体相关的、可以用于标识实体的运行环境的信息或特征。例如，可以指第一实体的运行时间、第一实体所在的操作系统的类型等。
55.在上述概念的基础上，下面对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本公开一部分实施例，而不是全部的实施例。
56.随着信息化过程的不断推进以及计算机网络技术的发展，人们的日常生活不断网络化，资产不断数字化，通信双方在通信前的身份认证逐渐成为保障信息安全的基本手段。
57.身份认证是以实体的身份管理为基础，以身份可信、权限可控、行为受约束为目
标，通过识别和验证通信双方身份的真实性和合法性，保障实体的信息安全，防止数据被盗用的技术。
58.一些相关技术采用口令的形式进行身份认证。或者，为了提升身份认证的可靠性，采用在口令验证的基础上增加动态验证码的方式进行身份认证。然而，口令及动态验证码在分发和使用过程中易被劫取。此外，该方法并未考虑设备身份的合法性，第三方(例如恶意攻击者)可以通过其他设备，使用劫取到的口令及动态验证码，与对端设备进行通信，从而导致数据泄露。
59.为了解决上述问题，一些相关技术在身份认证过程中增加了对设备身份的合法性的验证。
60.然而，验证设备身份的合法性，仅能保证运行该实体的设备为可信设备并不能保证实体所处的环境(如操作系统环境或应用环境)是合法的。
61.为了提高身份认证的可靠性，还有一些相关技术基于可信硬件进行身份证明。该可信硬件例如可以是可信平台控制模块(trusted platform control module，tpcm)、可信平台模块(trusted platform module，tpm)、可信平台模块(trusted platform module，tpm)或支持指令集扩展(software guard extensions，sgx)的可信硬件。
62.tpcm、tcm、tpm等可信硬件除了能够提供受保护的安全存储、密码运算能力外，还可以借助设备的身份证书，向通信对方提供设备身份可信的证明能力。设备身份证书例如可以指ak证书(attestation key certificate)。但是，基于可信硬件的身份证明方案最多对实体在启动或记载阶段的环境进行验证，并未考虑实体在启动之后的运行环境是否合法。
63.综上可知，目前的身份认证方式的可靠性仍然有待提高。
64.针对上述问题，下面结合图1至图6对本公开实施例提供的身份认证方法进行详细描述。
65.图1至图6是站在第一设备和第二设备通信的角度进行描述的。这里提及的第一设备和第二设备可以是任意两个通信节点。例如，可以是基于英特网通信的两个通信节点。第一设备或第二设备例如可以指手机、平板电脑、服务器等。第一设备和第二设备可以相同，也可以不同。例如，第一设备可以指手机，第二设备可以指服务器。
66.第一设备上运行有第一实体。第一实体可以是需要通过第一设备从第二设备获取数据的任意实体。该第一实体例如可以指第一设备上运行的客户端、应用、pod等软件。以访问支付宝为例，第一实体可以指支付宝的客户端，第一设备可以指安装有该客户端的手机，第二实体可以指维护支付宝应用的服务器。
67.本公开实施例在第一实体的身份凭证中加入了第一实体的当前环境属性(或称实时环境属性)。当前环境属性可用于第二设备验证第一实体的环境合法性。由于身份凭证中加入的是第一实体的实时环境属性，因此该身份凭证为动态凭证。在一些实施例中，可以将该身份凭证称为实体身份请求动态凭证。在第二设备对身份凭证的验证通过之后，第一实体可以与第二设备进行通信。本技术实施例将第一实体的当前环境合法作为第一设备和第二设备进行通信的必要条件，从而提高了身份认证和通信的可靠性。
68.图1是本公开一实施例提供的身份认证方法的流程示意图。
69.参见图1，在步骤s110，第一设备向第二设备发送第一实体的身份证书和身份凭
证。
70.第一实体的身份证书可以由证书颁发机构颁发，后文会结合图4，对第一实体的身份证书的颁发过程进行详细描述，此处暂不详述。
71.图2给出了第一实体的实体身份证书的一个示例。参见图2，第一实体的实体身份证书可以包括以下信息中的一种或多种：实体证书序列号、第一设备的身份标识、第一实体的身份标识、第一实体的身份公钥、第一实体的环境属性、第一证书颁发机构的私钥签名以及时间戳。
72.第一实体的身份公钥和第一实体的环境属性可用于第二设备对身份凭证中的当前环境属性进行解密和验证，详细描述参见后文中的步骤s120。
73.第一实体的身份标识可用于第二设备验证第一实体的身份合法性。第一设备的身份标识可用于第二设备验证第一设备的身份合法性。通过将第一实体的身份标识与第一设备的身份标识绑定，可以保证实体身份和设备身份同时可信。
74.第一实体的环境属性可以指第一设备启动或加载时对应的环境属性。环境属性可以包括第一设备的系统软硬件环境，也可以包括第一设备的运行环境。第一设备的运行环境可以指第一实体运行在第一设备上时，第一设备的环境属性。
75.图3给出了第一实体的身份凭证的一个示例。如图3所示，第一实体的身份凭证可以包括第一实体的身份凭证序列号，第一设备的身份标识，第一实体的身份标识，第一实体的身份私钥对当前环境属性签名以及时间戳。
76.在一些实施例中，第一设备可以包括可信硬件模块。可信硬件模块例如可以指tpm模块或sgx模块。第一实体的私钥可以存储在可信硬件模块中。可信硬件模块具有极高的安全性，存储于可信硬件模中的数据通常无法被外界获取。将第一实体的身份私钥存储在可信硬件设备中，可以进一步提高第一实体的可信性。
77.第一实体的身份凭证中包括的第一实体的身份私钥对当前环境属性的签名，签名可以由第一设备上的可信硬件实施，也可以依赖宿主cpu或加密卡实施。
78.在步骤s120，第二设备验证第一实体的身份凭证。
79.第二设备可以首先提取第一实体的身份证书中的身份公钥。基于第一实体的身份公钥，第二设备可以从第一实体的身份凭证中的私钥签名中，获取当前环境属性。
80.第二设备获取当前环境属性后，可以比较当前环境属性与第一实体身份证书中的环境属性，验证第一实体的环境合法性。
81.在步骤s130，在身份凭证验证通过之后，第一实体与第二设备通信。例如，第一实体可以通过第二设备获取数据资源。
82.本公开实施例通过利用第一实体的身份私钥，对第一实体的当前环境属性加密，进一步保证当前环境属性的不易被篡改，从而提升身份认证的可靠性。
83.图4是本公开一实施例提供的身份认证方法的流程示意图。图4的方法是站在第一设备与第一证书颁发机构交互的角度进行描述。通过图4的方法，第一设备可以对第一实体进行注册，并获取第一实体的身份证书。
84.如图4所示，在步骤s410，第一设备向第一证书颁发机构发送第一设备上运行的第一实体的身份注册消息。第一实体的身份注册消息可以包括第一实体的环境属性。
85.第一证书颁发机构指用于颁发证书的机构。第一证书颁发机构可以用于负责实体
身份密钥、证书的管控。因此，也可以将第一证书颁发机构称为密钥管理ca。
86.第一实体的身份注册消息，可以在第一实体准备向第二设备发送通信请求之前，向第一证书颁发机构发送。第一实体的身份注册消息，也可以在第一实体首次在第一设备上运行时，根据第一设备上设定的程序被动向第一证书颁发机构发送。
87.例如，第一实体指交通银行客户端，第一设备指用户终端。当交通银行客户端首次在用户终端上安装时，用户终端可以在接收到安装请求时，同时向第一证书颁发机构发送身份注册消息，为交通银行客户端请求身份证书。
88.第一实体的环境属性可以包括第一设备的属性和/或第一实体的运行环境属性。
89.在一些实施例中，第一实体的身份注册消息还可以包括第一设备的身份证书。第一设备的身份证书的获取方式参见图5，此处暂不详述。
90.在步骤s420，第一证书颁发机构向第一设备发送第一实体的身份证书。第一实体的身份证书包括第一实体的环境属性。第一实体的环境属性可以指第一实体所处的第一设备的环境属性，也可以指第一实体在第一设备上运行时的环境属性，也可以指二者结合的环境属性。
91.在一些实施例中，第一实体的身份证书可以包括以下信息中的至少一种：第一实体的身份证书的序列号，第一实体的身份标识，第一设备的身份标识，第一实体的身份公钥，第一证书颁发机构的私钥签名以及时间戳。
92.第一颁发机构的私钥签名，可以指第一颁发机构利用自己的私钥，对第一实体的身份证书中包含的内容进行签名。例如，第一颁发机构的私钥签名，可以是第一颁发机构用自身的私钥，对第一实体的身份公钥、第一实体的身份标识、第一设备的身份标识、第一实体的环境属性签名而成。
93.下面结合图5，对第一设备的身份证书的获取过程进行介绍。
94.图5是本公开一实施例提供的身份认证方法的流程示意图。
95.在步骤s510，第一设备向第二证书颁发机构发送身份注册消息。第一证书颁发机构与第二证书颁发机构可以是相同的证书颁发机构，也可以是不同的证书颁发机构。第二证书颁发机构可以用于负责系统、第一设备身份私钥对应的公钥及平台身份证书的管控。第二证书颁发机构例如可以指隐私ca。
96.在步骤s520，第二证书颁发机构向第一设备发送第一设备的设备身份证书。
97.图6给出了第一设备的身份证书的格式的一个示例。如图6所示，第一设备的设备身份证书可以包括以下信息中的至少一种：设备证书序列号、第一设备的身份标识、第一实体的身份标识、第一设备的身份公钥、第一设备的设备属性、第二证书颁发机构的私钥签名、时间戳。
98.通过将第一实体的身份标识加入到第一设备的身份证书中，可以使第一实体和第一设备绑定。第一实体和第一设备可以相互证明可信，进一步提升实体的可信度。
99.在一些实施例中，可以在第一实体向第一证书颁发机构发送第一实体的身份注册消息时，首先向第二证书颁发机构发送第一设备的身份注册消息，以获取第一设备的身份证书。
100.第一设备的身份证书和/或第一实体的身份证书，可以通过身份代理获取。第一实体的身份凭证可以通过身份代理获取，也可以由身份代理生成。
101.身份代理可以协助第一实体和/或第一设备与证书颁发机构(例如第一证书颁发机构和/或第二证书颁发机构)通信，以管理第一实体和/或第一设备的信息(例如身份证书)。
102.通过增加身份代理管理第一实体和/或第一设备的身份证书和凭证，可以避免对实体(如应用)的软件结构或功能进行修改。第一实体可以通过身份代理完成本公开实施例提及的身份注册，甚至可以在身份代理的协助下完成本公开实施例提及的身份认证，从而简化第一实体的功能。
103.例如，第一实体指支付宝客户端，第一设备指用户终端。用户终端中可以配置身份代理模块。用户登录支付宝客户端时，身份代理模块获取用户登录操作，并根据该操作触发本公开实施例提供的身份认证流程。支付宝的服务器根据身份代理模块提供的支付宝客户端的身份证书以及身份凭证，确认该支付宝客户端的合法性。
104.在一些实施例中，第一实体与身份代理(例如安装在第一设备上的身份代理模块)通信连接，身份代理可以执行以下操作中的至少一种：向第一证书颁发机构发送第一实体的身份注册消息，以获取第一实体的身份证书；向第二证书颁发机构发送第一设备的身份注册消息，以获取第一设备的身份证书；生成所述第一实体的身份凭证。
105.第一实体在申请与第二设备通信时，可以直接由身份代理完成认证相关的工作。例如，身份代理收到第一实体发送给第二设备的申请通信的消息时，主动为第一实体申请第一实体的身份凭证。第一实体无需感知身份认证的具体操作，满足用户对通信过程简单可靠的需求。
106.下面以图7为例，具体介绍本公开的身份认证方法。图7中的平台和设备可以理解为同一含义。例如，实体平台指的是运行该实体的设备。参见图7，该身份认证系统包括实体710、身份代理720、平台信息及实体平台身份证书库730、第一证书颁发机构740、第二证书颁发机构750、密钥池760、实体密钥和实体身份证书库770以及实体身份信息库780。
107.如图7所示，在步骤s7002，实体向身份代理注册。实体可以指第一实体，也可以指第一设备。
108.在本实施例中，要获得第一实体的身份证书，需要首先从第二证书颁发机构750那获取到第一设备的身份证书后，携带第一实体的身份信息、第一设备的信息哈希值(例如第一设备的属性信息进行哈希计算后得到的哈希值)及第一设备的身份证书。再到第一证书颁发机构740处获取第一设备身份和第一实体身份关联的第一实体的身份凭证(证书或token)、密钥。
109.因此，在本实施例中，在第一实体注册前，在步骤s7002，第一设备向身份代理720注册。
110.在步骤s7004，身份代理720向第二证书颁发机构750注册第一设备。
111.在步骤s7006，第二证书颁发机构750向身份代理720授予第一设备的身份证书。第二证书机构750同时将第一设备的密钥和身份证书存入密钥池760。
112.第一设备的密钥(例如公私钥对)可以通过第一设备上的可信硬件(例如可信芯片)生成。第一设备的私钥可以存储在可信硬件中，以保证私钥不被外界获取，提升数据安全。
113.第一设备的身份证书可以包括：第一设备证书序列号、第一设备的身份标识、第一
实体的身份标识、第一设备的身份公钥、第一设备的属性、第二证书颁发机构750的私钥签名以及时间戳。
114.在步骤s7008，身份代理720向第一设备转发第一设备的身份证书。
115.完成第一设备的注册后，身份代理继续执行以下步骤，获取第一实体的身份证书。
116.在步骤s7002，第一实体向身份代理720注册。
117.在步骤s7010，身份代理720向第一证书颁发机构740注册第一实体。
118.在步骤s7012，第一证书颁发机构740向身份代理720授予第一实体的身份证书。第一证书颁发机构740同时将第一实体的密钥和身份证书存入实体密钥和实体身份证书库770。
119.第一实体的密钥(例如公私钥对)可以通过第一设备上的可信硬件(例如可信芯片)生成。第一实体的私钥可以存储在可信硬件中，以保证私钥不被外界获取，提升数据安全。
120.第一实体的身份证书可以包括：第一实体证书序列号、第一设备的身份标识、第一实体的身份标识、第一实体的身份公钥、第一实体的环境属性、第一证书颁发机构740的私钥签名以及时间戳。
121.在步骤s7014，身份代理720向第一实体转发第一实体的身份证书。
122.上面结合图1至图7，详细描述了本技术的方法实施例，下面结合图8至图11，详细描述本技术的装置实施例。应理解，方法实施例的描述与装置实施例的描述相互对应，因此，未详细描述的部分可以参见前面方法实施例。
123.图8是本技术一实施例提供的身份认证装置的结构示意图。图8所示的身份认证装置800可应用于前文提到的第一设备。该第一设备上运行有第一实体。该装置800可以包括发送模块810和通信模块820。
124.发送模块810可用于向第二设备发送所述第一实体的身份凭证，所述身份凭证包括所述第一实体的当前环境属性，所述当前环境属性用于所述第二设备验证所述第一实体的环境合法性。
125.通信模块820可用于在所述第二设备对所述身份凭证的验证通过之后，通过所述第一实体与所述第二设备进行通信。
126.图9是本技术一实施例提供的身份认证装置的结构示意图。图9所示的身份认证装置900可应用于前文提到的第二设备。该装置900可以包括接收模块910，验证模块920以及通信模块930。
127.接收模块910可用于从第一设备接收所述第一设备上运行的第一实体的身份凭证，所述身份凭证包括所述第一实体的当前环境属性。
128.验证模块920可用于对所述身份凭证进行验证，所述身份凭证的验证包括基于所述当前环境属性对所述第一实体的环境合法性进行验证。
129.通信模块930可用于如果所述身份凭证的验证通过，与所述第一实体进行通信。
130.图10是本技术一实施例提供的身份认证装置的结构示意图。图10所示的身份认证装置1000可应用于第一证书颁发机构。该装置1000可以包括接收模块1010和发送模块1020。
131.接收模块1010可用于从第一设备接收所述第一设备上运行的第一实体的身份注
册消息，所述第一实体的身份注册消息包括所述第一实体的环境属性。
132.发送模块1020可用于向所述第一设备发送所述第一实体的身份证书，所述第一实体的身份证书包括所述第一实体的环境属性。
133.图11是本技术一实施例提供的电子设备的结构示意图。该设备1100例如可以是前文提到的第一设备、第二设备或第一证书颁发机构中的任意一个。设备1100可以包括存储器1110和处理器1120。存储器1110可用于存储可执行代码。处理器1120可用于执行所述存储器1110中存储的可执行代码，以实现前文描述的各个方法中的步骤。在一些实施例中，该设备1100还可以包括网络接口1130，处理器1120与外部设备的数据交换可以通过该网络接口1130实现。
134.应理解，在本公开的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本公开实施例的实施过程构成任何限定。
135.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其他任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本公开实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如数字视频光盘(digital video disc，dvd))、或者半导体介质(例如固态硬盘(solid state disk，ssd))等。
136.本领域普通技术人员可以意识到，结合本公开实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本公开的范围。
137.在本公开所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
138.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目
的。
139.另外，在本公开各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
140.以上所述，仅为本公开的具体实施方式，但本公开的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本公开揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本公开的保护范围之内。因此，本公开的保护范围应以所述权利要求的保护范围为准。