鉴权的方法、终端和服务器与流程

本发明涉及通信领域，并且更具体地，涉及鉴权的方法、终端和服务器。
背景技术：
：：移动通信的安全问题正越来越多地受到关注。目前，第三代伙伴关系项目(3rdgenerationpartnershipproject，简称“3gpp”)网际协议多媒体子系统(internetprotocolmultimediasubsystem，简称“ims”)的终端接入机制，是典型的卡接入机制。即，单个终端内置ims用户身份模块(ipmultimediaservicesidentitymodule，简称“imis”)卡，网络为各终端预发放与网络共享的密钥，各终端基于该密钥，与网络侧交互完成网络接入认证。也就是说，该鉴权认证体系要求网络对每台设备都需要预发放密钥。随着物联网(internetofthings，简称“iot”)技术的发展，海量终端、移动应用以及开放社区开发者接入网络，存在大量的机器到机器(machinetomachine，简称“m2m”)。其中，存在大量的无卡(例如，用户标识模块(subscriberidentitymodule，简称“sim”)卡、通用移动通讯系统用户标识模块(universalmobiletelecommunicationsystemsubscriberidentitymodule，简称“usim”)或者isim)设备。无卡设备每次接入网络，都需要人全程参与认证流程，通过人机交互完成认证。因此，对于无卡设备的认证强烈依赖人工交互干预，不适合m2m类型的无人看护的通讯特点。技术实现要素：本申请提供一种鉴权的方法、终端和服务器，以减少终端设备在接入服务器的鉴权流程中的人工参与度。第一方面，本申请提供一种鉴权的方法，所述方法应用于通过安全密钥与服务器进行鉴权的系统中，所述方法包括：第一设备在第一时段向服务器发送第一接入请求消息，所述第一接入请求消息用于请求接入所述服务器，所述第一设备为未持有所述安全密钥的设备；所述第一设备接收所述服务器 基于所述第一接入请求消息发送的第一鉴权挑战消息，所述第一鉴权挑战消息携带鉴权参数，所述鉴权参数用于生成派生密钥，所述第一鉴权挑战消息用于指示所述第一设备基于担保设备提供的第一安全密钥与所述服务器进行鉴权，其中，所述第一安全密钥用于所述服务器与所述担保设备之间的鉴权；所述第一设备向所述担保设备发送鉴权担保请求消息，所述鉴权担保请求消息中携带所述鉴权参数；所述第一设备接收所述担保设备基于所述鉴权担保请求消息发送的第一派生密钥，所述第一派生密钥由所述担保设备基于所述第一安全密钥和所述鉴权参数生成；所述第一设备向所述服务器发送所述第一派生密钥，以与所述服务器进行鉴权。可选地，所述安全属性信息包括所述第一设备请求接入所述服务器的接口类型。应理解，所述第一安全密钥包括网络向第一安全级别预发放的共享密钥，或者第二安全级别设备与所述服务器共享的私人密钥。通过第一设备从担保设备获取第一派生密钥，基于担保设备提供的第一派生密钥完成第一设备与服务器间的鉴权流程，减少了人工参与，适合m2m通讯特点，同时不需要网络为每台设备预发放共享密钥，即，不强依赖于网络预发放，开放性好。结合第一方面，在第一方面的第一种可能的实现方式中，所述第一设备接收所述服务器基于所述第一接入请求消息发送的第一鉴权挑战消息，包括：所述第一设备接收所述服务器基于所述第一接入请求消息发送的第一鉴权挑战消息，所述第一鉴权挑战消息中携带有担保设备的信息，所述担保设备由所述服务器根据所述第一接入请求消息和预存的可信设备集合确定；所述第一设备向所述担保设备发送鉴权担保请求消息，所述鉴权担保请求消息中携带所述鉴权参数，包括：所述第一设备根据所述服务器确定的所述担保设备的信息，向所述担保设备发送所述鉴权担保请求消息，所述鉴权担保请求消息中携带所述鉴权参数。进一步地，所述第一设备在第一时段向服务器发送第一接入请求，包括：所述第一设备根据第一预设条件，确定担保设备集合，所述担保设备集合包括至少一台设备，其中，所述第一预设条件包括：所述担保设备集合中的各设备均访问目标业务，所述目标业务为所述第一设备在所述第一时段所访问的业务，且所述担保设备集合中的各设备与所述第一设备的距离小于等于第一预设范围；所述第一设备向所述服务器发送所述第一接入请求消息，所述 第一接入请求消息中携带所述担保设备集合中各设备的信息，其中，所述担保设备集合用于所述服务器确定所述担保设备，所述担保设备属于所述担保设备集合，且所述担保设备属于所述可信设备集合。通过第一设备和服务器共同参与确定担保设备，使得担保设备的可信度提高，从而提高了第一设备接入服务器的安全性。更进一步地，所述第一设备根据第一预设条件，确定担保设备集合，包括：所述第一设备根据所述目标业务的业务类型，确定第一互信组，所述第一互信组包括至少一台设备，所述第一互信组由第二设备建立，所述第二设备持有与所述服务器共享的第二安全密钥，所述第一互信组中的各设备与所述第二设备的距离处于第二预设范围内，且所述第一互信组中至少有一台设备访问所述目标业务；所述第一设备根据所述第一预设条件，从所述第一互信组中确定所述担保设备集合。通过第一设备在设备侧预选第一互信组，再从第一互信组中确定担保设备集合，可以在设备侧对担保设备集合作优化，减少服务器的负担。结合第一方面的上述可能的实现方式，在第一方面的第二种可能的实现方式中，所述第一设备向服务器发送第一接入请求消息，包括：所述第一设备向所述服务器发送第一接入请求消息，所述第一接入请求消息中携带有所述第一设备的位置信息和请求访问的目标业务的信息，以便于所述服务器根据所述第一设备的位置信息和上述目标业务的业务类型，为所述第一设备确定担保设备。所述担保设备与所述第一设备的距离小于第一预设范围，且所述担保设备所访问的业务的业务类型与所述第一设备所访问的目标业务的业务类型相同。通过服务器确定担保设备，简化了确定担保设备的流程，更适用于对安全要求较低的业务的访问。结合第一方面的上述可能的实现方式，在第一方面的第三种可能的实现方式中，所述安全密钥包括网络预发放的共享密钥，所述担保设备为第一安全级别设备，所述第一安全级别设备为持有网络预发放的第一共享密钥的设备，所述第一设备接收所述第一安全级别设备基于所述鉴权担保请求消息发送的第一派生密钥，所述第一派生密钥由所述第一安全级别设备基于所述第一安全密钥和所述鉴权参数生成，包括：所述第一设备接收所述第一安全级别设备基于所述鉴权担保请求消息发送的第一派生密钥，所述第一派生密钥 由所述第一安全级别设备基于所述共享密钥和所述鉴权参数生成。结合第一方面的上述可能的实现方式，在第一方面的第四种可能的实现方式中，所述安全密钥包括终端设备与所述服务器共享的私人密钥，所述担保设备为至少两台第二安全级别设备，所述第二级别设备为持有所述私人密钥的设备，所述至少两台第二安全级别设备包括第三设备和第四设备，所述第三设备为持有与所述服务器共享的第一私人密钥的设备，所述第四设备为持有与所述服务器共享的第二私人密钥的设备，所述第一设备接收所述担保设备基于所述鉴权担保请求消息发送的第一派生密钥，所述第一派生密钥由所述担保设备基于所述第一安全密钥和所述鉴权参数生成，包括：所述第一设备接收所述第三设备基于所述鉴权担保请求消息发送的第一派生子密钥，所述第一派生子密钥由所述第三设备基于所述第一私人密钥和所述鉴权参数生成；所述第一设备接收所述第四设备基于所述鉴权担保请求消息发送的第二派生子密钥，所述第二派生子密钥由所述第四设备基于所述第二私人密钥和所述鉴权参数生成；所述第一设备对所述第一派生子密钥和所述第二派生子密钥进行处理，生成所述第一派生密钥。结合第一方面的上述可能的实现方式，在第一方面的第五种可能的实现方式中，在所述第一设备向所述服务器发送所述第一派生密钥，以与所述服务器进行鉴权之后，所述方法还包括：所述第一设备生成第三私人密钥；所述第一设备向所述服务器发送所述第三私人密钥，所述第三私人密钥基于所述担保设备提供的第一安全密钥生效，所述第三私人密钥为所述第一设备与所述服务器共享的私人密钥。通过服务器保存第一设备第一次鉴权时生成的第三私人密钥，便于后续自助接入，大大减少了人工参与度，也不依赖于网络预发放，开放性好。结合第一方面的上述可能的实现方式，在第一方面的第六种可能的实现方式中，所述第一设备在第一时段向服务器发送第一接入请求消息，包括：所述第一设备在所述第一时段向所述服务器发送所述第一接入请求消息，所述第一接入请求消息携带所述第一设备的设备id；所述方法还包括：所述第一设备在第二时段向所述服务器发送第二接入请求消息，所述第二接入请求消息携带所述第一设备的设备id，所述第二时段处于所述第一时段之后；所述第一设备接收所述服务器基于所述第二接入请求消息发送的第二鉴权挑战消息，所述第二鉴权挑战消息携带鉴权参数，所述第二鉴权挑战消息用 于指示所述第一设备基于所述第三私人密钥与所述服务器进行鉴权；所述第一设备基于所述第三私人密钥和所述鉴权参数，生成鉴权响应消息；所述第一设备向所述服务器发送所述鉴权响应消息，以与所述服务器进行鉴权。通过根据预存在服务器中的第三私人密钥与服务器进行鉴权，大大减少了人工参与度，简化了第一设备的鉴权流程。第二方面，本申请提供一种鉴权的方法，所述方法应用于通过安全密钥与服务器进行鉴权的系统中，所述方法包括：服务器接收第一设备在第一时段发送的第一接入请求消息，所述第一接入请求消息用于请求接入所述服务器；；所述服务器基于所述第一接入请求消息和预存的可信设备集合，确定所述第一设备为未持有所述安全密钥的设备；所述服务器根据所述可信设备集合，为所述第一设备确定担保设备，所述担保设备持有与所述服务器共享的第一安全密钥，所述第一安全密钥用于所述服务器与所述担保设备之间的鉴权，其中，所述可信设备集合不包括所述第一设备，且所述可信设备集合包括所述担保设备；所述服务器基于所述第一接入请求消息，向所述第一设备发送第一鉴权挑战消息，所述第一鉴权挑战消息中携带有所述担保设备的信息和鉴权参数，所述鉴权参数用于生成派生密钥，所述第一鉴权挑战消息用于指示所述第一设备基于所述担保设备提供的所述第一安全密钥与所述服务器进行鉴权；所述服务器接收所述第一设备发送的第一派生密钥，所述第一派生密钥由所述第一设备从所述担保设备获取，且所述派生密钥由所述担保设备基于所述鉴权参数和所述第一安全密钥生成；所述服务器根据所述第一派生密钥，与所述第一设备进行鉴权。通过第一设备从担保设备获取第一派生密钥，基于担保设备提供的第一派生密钥完成第一设备与服务器间的鉴权流程，减少了人工参与，适合m2m通讯特点，同时不需要网络为每台设备预发放共享密钥，即，不强依赖于网络预发放，开放性好。结合第二方面，在第二方面的第一种可能的实现方式中，所述第一接入请求消息中携带所述第一设备确定的担保设备集合，所述担保设备集合中的各设备所访问的业务包括所述第一设备所访问的目标业务，且所述担保设备集合中的各设备与所述第一设备的距离小于等于第一预设范围，所述服务器基于所述第一接入请求和预存的可信设备集合，为所述第一设备确定担保设备，包括：所述服务器基于所述第一接入请求，从预存的所述可信设备集合 和所述担保设备集合中，确定候选担保设备集合，所述候选担保设备集合为所述可信设备集合和所述担保设备集合的交集；所述服务器确定所述候选担保设备集合包括第一安全级别设备时，确定所述担保设备属于所述第一安全级别设备，或者，所述服务器确定所述候选担保设备集合不包括所述第一安全级别设备时，且所述候选担保设备集合包括至少两台第二安全级别设备时，确定所述担保设备为所述至少两台第二安全级别设备，其中，所述安全密钥包括网络预发放的共享密钥或者终端设备与服务器共享的私人密钥，所述第一安全级别设备为持有网络预发放的第一共享密钥的设备，所述第二安全级别设备为持有与所述服务器共享的第一私人密钥的设备，所述第一安全级别设备的安全性高于所述第二安全级别设备的安全性。通过第一设备和服务器共同参与确定担保设备，使得担保设备的可信度提高，从而提高了第一设备接入服务器的安全性。结合第二方面的上述可能的实现方式，在第二方面的第二种可能的实现方式中，在所述服务器根据所述第一派生密钥，与所述第一设备进行鉴权之后，所述方法还包括：所述服务器确定所述第一设备鉴权成功；所述服务器更新所述可信设备集合，更新后的所述可信设备集合包括所述第一设备。通过服务器根据已通过鉴权流程的设备，更新可信设备集合，为后续其他无卡设备的接入提供了担保设备。第三方面，本申请提供一种鉴权的方法，所述方法应用于通过安全密钥与服务器进行鉴权的系统中，所述方法包括：担保设备接收第一设备发送的鉴权担保请求消息，所述鉴权担保请求消息携带服务器下发的鉴权参数，所述鉴权参数用于生成派生密钥；所述担保设备基于所述鉴权参数和与所述服务器共享的第一安全密钥，生成第一派生密钥；所述担保设备向所述第一设备发送所述第一派生密钥。通过第一设备从担保设备获取第一派生密钥，基于担保设备提供的第一派生密钥完成第一设备与服务器间的鉴权流程，减少了人工参与，适合m2m通讯特点，同时不需要网络为每台设备预发放共享密钥，即，不强依赖于网络预发放，开放性好。结合第三方面，在第三方面的第一种可能的实现方式中，所述安全密钥包括网络预发放的共享密钥，所述担保设备为第一安全级别设备，所述第一安全级别设备为持有网络预发放的第一共享密钥的设备，所述第一安全级别 设备基于所述鉴权参数和与所述服务器共享的第一安全密钥，生成第一派生密钥，包括：所述第一安全级别设备基于所述鉴权参数和所述第一共享密钥，生成所述第一派生密钥。结合第三方面的上述可能的实现方式，在第三方面的第二种可能的实现方式中，所述安全密钥包括终端设备与所述服务器共享的私人密钥，所述担保设备为第二安全级别设备，所述第二安全级别设备为持有与所述服务器共享的第一私人密钥的设备，所述第一派生密钥包括第一派生子密钥，所述担保设备基于所述鉴权参数和与所述服务器共享的第一安全密钥，生成第一派生密钥，包括：所述第二安全级别设备基于所述鉴权参数和所述第一私人密钥，生成所述第一派生子密钥。第四方面，本申请提供一种终端，用于执行第一方面或第一方面的任意可能的实现方式中的方法。具体地，该终端包括用于执行第一方面或第一方面的任意可能的实现方式中的方法的模块。第五方面，本申请提供一种服务器，用于执行第二方面或第二方面的任意可能的实现方式中的方法。具体地，该终端包括用于执行第二方面或第二方面的任意可能的实现方式中的方法的模块。第六方面，本申请提供一种终端，用于执行第三方面或第三方面的任意可能的实现方式中的方法。具体地，该终端包括用于执行第三方面或第三方面的任意可能的实现方式中的方法的模块。第七方面，本申请提供一种终端，该终端包括：接收器、发送器、存储器、处理器和总线系统。其中，该接收器、该发送器、该存储器和该处理器通过该总线系统相连，该存储器用于存储指令，该处理器用于执行该存储器存储的指令，以控制接收器接收信号，并控制发送器发送信号，并且当该处理器执行该存储器存储的指令时，该执行使得该处理器执行第一方面或第一方面的任意可能的实现方式中的方法。第八方面，本申请提供一种服务器，该服务器包括：接收器、发送器、存储器、处理器和总线系统。其中，该接收器、该发送器、该存储器和该处理器通过该总线系统相连，该存储器用于存储指令，该处理器用于执行该存储器存储的指令，以控制接收器接收信号，并控制发送器发送信号，并且当该处理器执行该存储器存储的指令时，该执行使得该处理器执行第二方面或第二方面的任意可能的实现方式中的方法。第九方面，本申请提供一种终端，该终端包括：接收器、发送器、存储器、处理器和总线系统。其中，该接收器、该发送器、该存储器和该处理器通过该总线系统相连，该存储器用于存储指令，该处理器用于执行该存储器存储的指令，以控制接收器接收信号，并控制发送器发送信号，并且当该处理器执行该存储器存储的指令时，该执行使得该处理器执行第三方面或第三方面的任意可能的实现方式中的方法。第十方面，本申请提供一种计算机可读介质，用于存储计算机程序，该计算机程序包括用于执行第一方面或第一方面的任意可能的实现方式中的方法的指令。第十一方面，本申请提供一种计算机可读介质，用于存储计算机程序，该计算机程序包括用于执行第二方面或第二方面的任意可能的实现方式中的方法的指令。第十二方面，本申请提供一种计算机可读介质，用于存储计算机程序，该计算机程序包括用于执行第三方面或第三方面的任意可能的实现方式中的方法的指令。本申请提供了一种鉴权的方法、终端和服务器，能够减少终端设备在接入服务器的鉴权流程中的人工参与度。附图说明为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，显而易见地，下面所描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是根据本发明实施例的网络架构的示意图。图2是现有技术中基于aka的ims接入认证的示意性流程图。图3是根据本发明一实施例的鉴权的方法的示意性流程图。图4是根据本发明一实施例的第一互信组的示意性框图。图5是根据本发明另一实施例的第一互信组和第二互信组的示意性框图。图6是根据本发明另一实施例的鉴权的方法的示意性流程图。图7是根据本发明又一实施例的鉴权的方法的示意性流程图。图8是根据本发明一实施例的终端的示意性框图。图9是根据本发明一实施例的服务器的示意性框图。图10根据本发明另一实施例的终端的示意性框图。图11是根据本发明一实施例的终端的另一示意性框图。图12是根据本发明一实施例的服务器的另一示意性框图。图13根据本发明另一实施例的终端的另一示意性框图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都应属于本发明保护的范围。在本说明书中使用的术语“部件”、“模块”、“系统”等用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。例如，部件可以是但不限于，在处理器上运行的进程、处理器、对象、可执行文件、执行线程、程序和/或计算机。通过图示，在计算设备上运行的应用和计算设备都可以是部件。一个或多个部件可驻留在进程和/或执行线程中，部件可位于一个计算机上和/或分布在2个或更多个计算机之间。此外，这些部件可从在上面存储有各种数据结构的各种计算机可读介质执行。部件可例如根据具有一个或多个数据分组(例如来自与本地系统、分布式系统和/或网络间的另一部件交互的二个部件的数据，例如通过信号与其它系统交互的互联网)的信号通过本地和/或远程进程来通信。应理解，本发明的技术方案可以应用于各种通信系统，例如：全球移动通讯(globalsystemofmobilecommunication，gsm)系统、码分多址(codedivisionmultipleaccess，cdma)系统、宽带码分多址(widebandcodedivisionmultipleaccess，wcdma)系统、通用分组无线业务(generalpacketradioservice，gprs)、长期演进(longtermevolution，lte)系统、先进的长期演进(advancedlongtermevolution，lte-a)系统、通用移动通信系统(universalmobiletelecommunicationsystem，umts)、5g等。还应理解，在本发明实施例中，用户设备(userequipment，ue)包括但不限于移动台(mobilestation，ms)、移动终端(mobileterminal)、移动电话(mobiletelephone)、手机(handset)及便携设备(portableequipment) 等，该用户设备可以经无线接入网(radioaccessnetwork，ran)与一个或多个核心网进行通信，例如，用户设备可以是移动电话(或称为“蜂窝”电话)、具有无线通信功能的计算机等，用户设备还可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置。图1是根据本发明实施例的网络架构的示意图。如图1所示，终端设备通过网络接入到iot平台120中。其中，终端设备可以包括：有卡设备111和无卡设备112。如图1所示，有卡设备111可以包括设备1(为便于理解和区分，记作d1)，无卡设备可以包括设备2(为便于理解和区分，记作d2)、设备3(为便于理解和区分，记作d3)和设备4(为便于理解和区分，记作d4)。其中，d1、d2和d3已通过认证接入iot平台120中，d4未通过认证，无法接入iot平台120。需要说明的是，在以下所呈现的具体实施例中，d1为有卡设备，且已经通过服务器的认证，可以理解为高安全级别设备。d2和d3为无卡设备，已经通过服务器的认证，可以理解为低安全级别设备。d2和d3通过服务器的认证的具体过程与本发明实施例中d4基于担保设备的担保通过认证的具体过程相似。以下，对d1、d2和d3不作特别说明的情况下，d1指代高安全级别设备，d2和d3指代低安全级别设备。应理解，终端设备都可以通过现有的电信网络接入iot平台120中，本发明对此并未特别限定。iot平台120可以理解为一个或多个服务器，可以为用户提供各种行业类型的服务，例如，医疗保健、运输追踪、环境监测等。iot平台120中包含有鉴权装置130，该鉴权装置130可以包含有多个功能模块，例如包括：联合id管理模块n1131、iot设备和业务数据管理模块n2132、iot低安全设备接入防火墙模块n3133和大数据分析模块n4134。其中，n1131用于综合管理归属同一iot平台的设备关系，为服务器提供统一的管理界面。n1131可以保存可信设备集合，该可信设备集合中的设备为通过服务器认证接入服务器的设备。n1131根据设备标识符(identifier，简称“id”)，管理可信设备集合中各设备间的互信关系；n2132用于对n1131中所管理的可信设备集合内的终端的接入进行管理；n3133可以理解为iot平台120的防火墙；n4134用于提供历史数据，以帮助各模块确定接入的设备是否具有安全威胁。其中，互信关系可以理解为两台设备互相认为对方安全，可以信任。 对于第一安全级别设备或者第二安全级别设备而言，它可以为与之具有互信关系的未接入服务器的设备作担保；对于未接入服务器的设备而言，它可以选择与之具有互信关系的第一安全级别设备或者第二安全级别设备为其接入作担保。需要说明的是，n2132、n3133和n4134可以复用现有技术中已有的模块，对其功能进行上述相应功能的扩展。其中，n4134可以为一个独立的模块，也可以内置在n1131、n2132和n3133中，作为n1131、n2132和n3133的一部分扩展功能。鉴权装置130中的n1131可以与电信网络侧的归属用户服务器(homesubscriberserver，简称“hss”)或者归属位置寄存器(homelocationresgister，简称“hlr”)、证书颁发中心(certificateauthority，简称“ca”)以及认证、授权和计费(authentication，authorizationandaccouting，简称“aaa”)服务器连接，通过标准接口服用网络中已有的hss、ca和aaa功能。具体来说，n1131可以从电信网络获取运营商为有卡设备111预发放的共享密钥(key)、安全证书或者其他私密信息，复用有卡设备111与电信网络运营商所共享的共享密钥、安全证书或者其他私密信息，用于鉴权装置130对有卡设备111的鉴权。有卡设备111可以通过其自身所持有的高安全性的共享密钥，经鉴权装置130的认证直接接入iot平台120的网络中。下文中，在没有必要将共享密钥、安全证书或者其他私密信息等区分开描述时，用共享密钥统一指代电信网络运营商预发放的共享密钥、安全证书、用户名口令或者其他私密信息。与此相对，无卡设备112在向鉴权装置130请求接入iot平台120时，首先会接入n3133，n3133可以向n4134请求提供历史数据的分析结果，来判断该无卡设备112的安全性。n3133确定该无卡设备112的接入请求安全威胁低之后，放行到n2132，n2132再进一步根据该无卡设备112请求接入的服务器所提供的业务的业务类型以及网络配置等信息，还可以参考n4134中的历史数据，确认是否允许接入，并进一步地要求n1131提供接入认证。n1131根据再次对无卡设备112进行认证，最终确定是否允许接入iot平台的网络中。需要说明的是，上述列举的有卡设备和无卡设备是为便于区分和说明而记作的简称。其区别在于，有卡设备是持有2g网络的sim卡的设备，或者 是持有3、4g网络的usim卡或isim卡等的设备，又或者是未来5g中持有用于识别用户身份的其他用户识别模块的设备，还可以是持有网络预发放的具有高安全能力或者具有高安全性的预制证书的设备，或者还可以是具有强共享密钥(例如，用户名口令等)接入能力的设备。这里为方便说明，以下将2g网络的sim卡、3、4g网络的usim卡或isim卡以及5g网络的其他用户设备模块统称为sim卡。在本发明实施例中，有卡设备因已通过运营商对sim卡的鉴权，具有运营商网络预发放的共享密钥，可以借用该共享密钥，自身完成鉴权认证，在鉴权的全过程中无需人工或者其他设备的参与。因此，有卡设备可以理解为安全性较高的设备，或者说，高安全级别设备。例如，有卡设备可以为：持有sim卡的手机。无卡设备是未持有上述sim卡的设备，因此，在请求接入网络的认证过程中，因不具有运营商网络预发放的共享密钥，无法自身完成认证流程，必须依赖人工的参与，通过人机交互来完成认证。因此，无卡设备可以理解为安全性较低的设备，或者说，低安全级别设备。例如，无卡设备可以为：可穿戴设备、用于环境监测的传感器等。在本发明实施例中，为便于理解和区分，将有卡设备(或者说，高安全级别设备)记作第一安全级别设备，将无卡设备(或者说，低安全级别设备)记作第二安全级别设备。应理解，以上所列举的有卡设备所持有的卡的具体内容仅为示例性说明，不应对本发明构成任何限定，本发明也不应限于此。所有通过用户识别模块与运营商完成鉴权认证的设备都可以称为有卡设备。以上，结合图1详细说明了根据本发明实施例的网络架构的示意图。以下，为便于理解，简要说明现有技术中基于认证和密钥协商(authenticationandkeyagreement，简称“aka”)机制的鉴权流程。以下，为便于理解，结合图2简要说明现有技术中基于aka的ims接入认证的方法200。需要说明的是，基于aka的ims接入认证可以理解为通用移动通讯系统(universalmobiletelecommunicationssystem，简称“umts”)鉴权机制的一种实现方式。它的实现基于一个长期共享密钥(key0)和一个序列号(sequence，简称“sqn”)，它们仅在hss或者hlr的认证中心模块 (authenticationcenter，简称“auc”)和ue的isim中可见。由于hss不与ue直接通信，因此，他们不会将真实的key暴露给外界。图2是现有技术中基于aka的ims接入认证的示意性流程图。如图2所示，该方法200包括：s201，ue向鉴权装置发送接入请求(register)消息；s202，鉴权装置基于该接入请求消息，从hss获取鉴权向量(或者说，鉴权参数)，鉴权向量包括随机数(randomnumber，简称“rand”)、预期响应(expectedresponse，简称“xres”)和认证令牌(authenticationtoken，简称“autn”)。s203，鉴权装置将上述鉴权向量中的rand和autn发送给ue，将xres保留下来，等待ue的响应(response，简称“res”)，当ue的发送来的res与鉴权装置保留的xres相同时，认为该ue鉴权成功；s204，ue基于接收到的rand和autn，对网络进行鉴权。具体地，ue基于网络预发放的共享密钥(key0)来校验autn，ue通过rand和key计算出匿名密钥(anonymitykey，简称“ak”)，然后使用ak来恢复序列号(sequence，简称“sqn”)，验证该sqn是否合法。接着通过得到的合法sqn、rand和isim中保存的认证管理域(authenticationmanagementfield，简称“amf”)来计算期望的消息认证码(expectedmessageauthenticationcode，简称“xmac”)，若该xmac与从autn中取得的由hss计算的消息认证码mac一致，则校验成功，认为认证数据是从归属网络中发过来的。s205，ue在对网络的鉴权成功后，通过rand和key0来计算响应(response，简称“res”)，并将res发送给网络设备；s206，网络设备将接收到的res和自身保存的预期响应(expectedres，简称，“xres)”作校验，若两个参数一致，则认为对终端的鉴权成功。应理解，以上所列举的鉴权流程的具体流程仅为示例性说明，不应对本发明构成任何限定。以下，结合图3和图4详细说明根据本发明实施例的鉴权的方法的示意性流程图。应理解，本发明实施例所列举的设备与服务器间鉴权的方法仅为示例性说明，不应对本发明构成任何限定，该方法可以应用于通过安全密钥与网络(例如，服务器)进行鉴权的系统中。图3是根据本发明一实施例的鉴权的方法300的示意性流程图。需要说明的是，在方法300中，第一设备可以对应于图1中的无卡设备d4，担保设备可以对应于图2中的有卡设备d1，或者担保设备也可以对应于图1中的无卡设备d2和d3。以下，为方便说明，以d4作为第一设备，d1作为担保设备为例，详细说明根据本发明实施例的鉴权的方法300。如图3所示，该方法300包括：s301，第一设备在第一时段向服务器发送第一接入请求消息。具体而言，在第一时段内，d4需要接入服务器，首先需要向服务器发送接入请求消息(为便于区分和理解，记作第一接入请求消息)。该第一接入请求消息中携带该d4的安全属性信息。例如，d4可以通过请求接入服务器的接口类型(authtype)来指示安全属性。在本发明实施例中，无卡设备可以请求通过低能耗机器类型通讯(lowenergy_machinetypecommunication，简称“le_mtc”)机制通过服务器的鉴权流程。该le_mtc可以理解与有卡设备的umts机制相对应的鉴权机制。关于umts鉴权机制在上文的方法200中已经详细描述，为了简洁，这里不再赘述。在本发明实施例中，d4向服务器(例如，iot平台)发送第一接入请求消息，该请求消息首先到达n3，n3向n4请求提供历史数据的分析结果，来判断d4的安全性。n4可以根据d4的ip地址，向n3提供该ip地址所处的网段是否可信，或者该ip地址接入的安全风险等信息。n3根据n4提供的信息，可以确定d4的接入请求的安全性。当n3确定d4的接入请求安全威胁较低时，将d4的请求放行到n2。n2根据d4的接入请求进行业务判决，确定是否允许d4通过第一安全级别设备担保的方式(或者说，互信方式)接入。n2进一步确定网络策略是否允许第二安全级别设备接入。n2在确定网络策略允许第二安全级别设备接入后，确认允许d4接入，并进一步确认d4为新接入的设备，请求n1进行接入认证。s302，服务器确定第一设备为未持有安全密钥的设备。服务器可以根据第一接入请求消息中所携带的安全属性信息，确定第一设备为未持有网络预发放的共享密钥的设备。并且，服务器结合n1中保存的可信设备集合，当该集合中未保存该第一设备的信息(例如，设备id或者设备id的私人密钥)时，服务器认为第一设备为第一次接入服务器的设备。或者说，第一设备未持有与服务器共享私人密钥。或者，服务器也可以直接根据n1中保存的可信设备集合，确定第一设备为未持有安全密钥的设备。s303，服务器向第一设备发送第一鉴权挑战消息。具体而言，服务器在接收到d4发送的第一接入请求消息后，可以根据接口类型，确定d4为无卡设备，需要通过无卡设备的鉴权机制进行鉴权。换句话说，服务器根据借口类型，可以确定d4为未持有网络与发放的共享密钥的设备。因此，服务器向d4发送鉴权挑战消息(为便于区分和理解，记作第一鉴权挑战消息)。该第一鉴权挑战消息用于指示d4基于担保设备提供的第一安全密钥(即，安全密钥的一例)与服务器进行鉴权。该第一鉴权挑战消息中携带有鉴权参数(例如，方法200中的rand和autn)，该鉴权参数用于终端设备和服务器的双向鉴权。具体地，该鉴权参数用于d4的担保设备生成派生密钥，以辅助d4与服务器之间进行双向鉴权。需要说明的是，该鉴权参数可以由服务器从hss或者hlr中获取，也可以由服务器基于与设备间的共享的安全密钥生成。具体地，当第一设备的担保设备为高安全级别的设备，持有网络运营商预发放的共享密钥，则服务器可以直接从hss或者hlr获取该鉴权参数。当第一设备的担保设备为低安全级别的设备，未持有网络运营商预发放的共享密钥，但是持有与服务器间共享的私人密钥，则服务器可以基于该私人密钥，自行生成鉴权参数。可选地，第一鉴权挑战消息中携带有担保设备的信息，该担保设备由服务器根据第一接入请求消息和预存的可信设备集合确定。具体而言，服务器在基于第一接入请求消息确定d4为无卡设备后，可以为d4确定担保设备。例如，服务器(例如，图1中的n1)中可以预存有可信安全设备集合，该安全设备集合中存储了通过认证的设备的信息。服务器可以从该可信安全设备集合中，为d4确定担保设备，以提高d4接入的安全性。服务器可以在第一鉴权挑战消息中携带该担保设备的信息，例如，设备id，以便于d4根据该担保设备的信息，确定担保设备。作为一个实施例，第一设备根据第一预设条件，确定担保设备集合，其中，该第一预设条件包括：担保设备集合中的各设备均访问目标业务，该目标业务为该第一设备在第一时段所访问的业务，且该担保设备集合中的各设备与第一设备的距离小于等于第一预设范围；第一设备向服务器发送第一接入请求消息，第一接入请求消息中携带担 保设备集合，其中，担保设备集合用于服务器确定担保设备，担保设备为担保设备集合和可信设备集合的交集。也就是说，d4在向服务器发送第一接入请求消息前，可以预先确定一个担保设备集合，并将该担保设备集合中各设备的信息携带在第一接入请求消息中发送给服务器。服务器可以根据该担保设备集合，结合预存的可信设备集合，为d4确定担保设备。换句话说，担保设备同时属于d4确定的担保设备集合和服务器预存的可信设备集合。因此，通过第一设备和服务器双方共同确定担保设备，可以提高d4接入的安全性。可选地，第一设备可以根据目标业务的业务类型，确定第一互信组，该第一互信组包括至少一台设备，该第一互信组由第二设备建立，该第二设备持有与服务器共享的第二安全密钥，该第一互信组中的各设备与第二设备的距离处于第二预设范围内，且第一互信组中至少有一台设备访问目标业务；第一设备根据第一预设条件，从第一互信组中确定担保设备集合。也就是说，第一设备可以在设备侧作两次筛选，首先确定一个互信组，即，第一互信组，然后再从该第一互信组中确定担保设备集合。以下详细说明第一互信组的建立过程、第一设备如何确定第一互信组，以及如何从第一互信组中确定担保设备集合。需要说明的是，服务器侧所预存的可信设备集合与终端设备侧的互信组是对应的。为便于理解和区分，将设备侧具有互信关系的设备集合记作互信组，将服务器侧具有互信关系的设备集合记作可信设备集合。在本发明实施例中，当一台有卡设备(例如，d1)基于网络预发放的共享密钥，通过服务器的认证，接入服务器时，d1的设备信息(例如，设备id、访问的业务类型等)可以保存在服务器侧的可信设备集合中。同时，d1可以感知其周围的其他设备。具体地，在第二预设范围内，d1可以通过广播或者多播的方式，查找其他设备。例如，d1可以通过发送心跳包的方式查找第二预设范围内的设备，该心跳包中携带有d1的设备id(为便于区分和理解，记作d1.id)。并且，d1可以在心跳包中携带d1所访问的业务的业务类型。在距离d1第二预设范围内的d2接收到该心跳包时，可以向d1回复心跳包，该心跳包中携带d2的设备id(为便于区分和理解，记作d1.id)。并且，d2也可以在心跳包中携带d2所访问的业务的业务类型。当d1接收到其 他设备(例如，d2)回复的心跳包时，可以进一步确定d2与d1所访问的业务的业务类型是否相同。如果d1确定与d2所访问的业务的业务类型有一个或多个相同时，可以通过本地组网，将d2加入d1所建立的互信组中，该互信组可以记作互信组1。进一步地，若d2是已经通过服务器认证的设备，则服务器侧的可信设备集合中已经保存了d2的设备信息。若d2是未通过服务器认证的设备，则d2在通过服务器认证后可以保存在可信设备集合中。进一步地，互信组建立后，可以通过互信组内的各成员设备协商选举出本地通讯的近端密钥，该近端密钥用于互信组内的各成员设备的通讯加密。并且，可以定期更新该近端密钥，以避免密钥泄露造成的信息泄露。具体地，用于选举近端密钥的选举算法可以采用低功耗自适应聚类(lowenergyadaptiveclusteringhierarchy，简称“leach”)算法来让各成员节点分担开销并代理聚合通讯，达到降低功耗和成本的目的。各成员设备间通过近端密钥来进行通讯加密的方法可以采用高级加密标准(advancedencryptionstandard，简称“aes”)128位或者其他轻量级加密算法。本发明对于选举算法以及加密算法的具体内容并未特别限定。在本发明实施例中，第一安全级别设备(例如d1)的设备id可以是运营商网络预先发放的公众身份标识(publicidentity)或者私密身份标识(privateidentity)，服务器(具体地，n1)可以从运营商网络中获取，并存储在n1中。第二安全级别设备(例如d2、d3和d4)的设备id可以为硬件序列号，或者首次随机产生并永久存储的标识，也可以是基于软件的自定义标识，本发明对此并未特别限定。需要说明的是，每台设备都可以同时访问多种业务。例如，d1可以同时访问业务1和业务2，d2也可以同时访问业务2和业务3。d1确定与d2所访问的业务有交集，则将d2加入到d1所建立的互信组中，例如，互信组1{d1.id(业务2)，d2.id(业务2)}。又例如，d1同时查找另一台设备d3，d3同时访问业务1和业务4，d1可以将d3也加入到d1所建立的互信组中，但该互信组与互信组1不是同一个互信组，例如，该互信组可以为互信组2{d1.id(业务1)，d3.id(业务1)}。也就是说，一个设备可以建立多个互信组，或者说，可以存在于多个互信组中。换句话说，互信组中的每台设备可以同时属于一个或多个互信组。本发明对此并未特别限定。并且，d1在建立互信组后，还可以退出互信组。例如，由于d1的地理位置变化，与d2、 d3的距离发生了变化，不满足第二预设范围的限制，则d1可以主动退出互信组，但并不退出服务器。也就是说，服务器中的可信设备集合中仍保存有d1的信息。又例如，d1退出服务器后，服务器将d1从可信设备集合中删除，但是本地互信组并不知道d1退出服务器，未更新互信组信息，仍然保存有d1的信息。因此，担保设备需要本地设备与服务器共同确定。即，担保设备可以理解为担保设备集合和可信设备集合的交集，该交集可以包括一台设备，也可以包括多台设备。在本发明实施例中，互信组可以为个人局域网(personalareanetwork，简称“pan”)内的设备组成的互信组，还可以为现场网络(fieldnetwork)内的设备组成的互信组，还可以为对等(peertopeer，简称“p2p”)网状(mesh)网内的设备组成的互信组，或者，还可以为即兴网状(ad-hocmesh)网内的设备组成的互信组。在本发明实施例中，互信组的组网配对可以通过蓝牙配对、无线保真(wireless-fidelity)接入或者预置duckling纽扣密钥等方式实现。d4首次加入到第一互信组中，可以通过人工按键干预或纽扣硬件插入等方式完成。应理解，互信组组网的具体方式以及第一设备加入第一互信组的具体实现方式均为现有技术，为了简洁，这里不再赘述。需要说明的是，互信组可以由持有与服务器共享的安全密钥的设备建立。也就是说，互信组可以由已经通过服务器验证的设备建立。新加入到互信组中的设备，可以通过互信组中已通过服务器认证的设备的担保，进行鉴权。新加入到互信组中的设备通过已通过服务器认证的设备的担保进行鉴权的具体流程后文中将详细描述。在本发明实施例中，d4可以根据自身请求访问的目标业务的业务类型，在第一预设范围内通过广播或多播的方式，查找与d4所访问的目标业务(为便于理解和说明，假设目标业务为业务1)的业务类型相同的设备。当d4在第一预设范围内查找到d1，并确定所访问的业务也为业务1时，可以请求与d1组网。d1根据d4的请求，结合d4所请求访问的目标业务的业务类型，确定可以将d4加入互信组2(即，第一互信组的一例)中。因此，互信组2更新为{d1(业务1)，d3(业务1)，d4(业务1)}。其中，d4是新加入的设备。但是，由于d4未通过服务器的认证，因此在服务器侧的可信设备集合中未保存d4的设备信息。进一步地，d4可以根据互信组2中的设备的信息，确定担保设备集合。假设d3与d4的距离也处于第一预设范围内，则d4可以确定担保设备集合为d4.trust_grp＝{d1，d3}。但是d4并不知道d1和d3是否已经通过服务器的认证，保存在服务器侧的可信设备集合中。因此，需要通过服务器来最终确定担保设备。在本发明实施例中，由于d1为有卡设备，并且已经通过了服务器的认证，保存在服务器侧的可信设备集合中。假设d3未通过服务器的认证，未保存在服务器侧的可信设备列集合中。因此，d1即为可信设备集合和担保设备集合的交集。也就是说，服务器可以确定d1就可以作为d4的担保设备。需要说明的是，服务器侧的可信设备集合与终端设备侧的互信组是对应的，可信设备集合中也可以保存设备的信息，例如，设备id、访问的业务类型等信息。但是，可信设备集合和互信组又不是实时同步的。例如，当某一无卡设备加入到互信组中时，可能未通过服务器认证，因此，未保存到可信设备集合中；或者，某一有卡设备虽然已通过服务器认证，但是由于位置变化，又退出互信组，但服务器侧并不知道，因此也就不能从可信设备集合中删除该有卡设备。还需要说明的是，iot平台可以为一台服务器，也可以为多个虚拟的服务器实例。其中，每一个服务器实例提供一种业务类型的服务。也就是说，一台服务器可以提供一种或者多种业务类型的服务。因此处于同一互信组中的设备必须同时接入同一台服务器或者同一个服务器实例。下文中，在没有必要将服务器或者服务器实例区分开描述时，用服务器指代服务器或者服务器实例。还需要说明的是，以上所述的第二预设范围可以理解为本地网络传递信息可达的范围。也就是说，当设备间的距离超出第二预设范围时，即超出了网络的可达范围，设备之间的互信关系也就不存在，因此，超出该第二预设范围的设备与第二设备不能组成互信组。还需要说明的是，以上所述的第一预设范围、第二预设范围可以理解为第一设备确定担保设备集合的条件之一。还需要说明的是，第一预设范围、第二预设范围可以通过设置设备间的转发跳数或者传输时延的阈值等方法来约束。应理解，以上所列举的设备、业务类型、互信组以及担保设备集合的具 体内容仅为示例性说明，不应对本发明构成任何限定，本发明也不应限于此。例如，担保设备集合也可以仅包括一台设备{d1}。进一步地，服务器可以根据预设的安全策略确定担保设备。为便于区分和理解，将上述服务器基于互信组和可信设备集合确定的担保设备记作候选担保设备集合。服务器根据预存的安全策略，从该候选担保设备集合中确定担保设备。例如，当该候选担保设备集合中的设备包含有卡设备(或者说，高安全级别的设备)时，服务器确定一台有卡设备为担保设备；当该候选担保设备集合中的设备不包含有卡设备时，服务器进一步查找经过认证的无卡设备(或者说，低安全级别的设备)，服务器可以确定至少两台无卡设备为担保设备，共同为第一设备作担保；当该候选担保设备集合中既不包含有卡设备，又仅有一台无卡设备时，服务器可以拒绝第一设备的接入请求消息，第一设备无法完成鉴权。或者说，第一设备需要寻找新的担保设备集合，再向服务器再次发接入请求消息。换句话说，当候选担保设备集合包含第一安全级别设备时，服务器确定担保设备为一台或者多台第一安全级别设备。或者，服务器确定担保设备属于第一安全级别设备。当候选担保设备集合不包含第一安全级别设备，且包含至少两台第二安全级别设备时，服务器确定担保设备为该至少两台第二安全级别设备。与此相对应地，安全密钥包括网络预发放的共享密钥，或者，终端设备与服务器共享的私人密钥。具体地，安全密钥可以为网络向第一安全级别设备预发放的共享密钥，也可以为终端设备与第二安全级别设备共享的私人密钥。应理解，以上所列举的安全策略仅为示例性说明，不应对本发明构成任何限定，本发明也不应限于此。服务器可以根据不同的业务类型、不同的业务场景以及不同的安全需求，预设不同的安全策略。例如，担保设备只能为有卡设备(或者说，第一安全级别设备)，或者，担保设备为至少两台有卡设备等，本发明对此并未特别限定。图4是根据本发明一实施例的第一互信组40的示意性框图。如图4所示，该第一互信组40中包括：有卡设备(例如，d1)41、无卡设备(例如，d2)42、无卡设备(例如，d3)43和无卡设备(例如，d4)44，其中，d444是新加入的设备。由于该第一互信组40中包含有一个有卡设备d141，可以直接通过d141辅助完成d444的鉴权流程。也就是说，d141可以作为担保 设备。应理解，以上所列举的担保设备及其确定担保设备的方法仅为示例性说明，不应对本发明构成任何限定，本发明也不应限于此。例如，图1所示的第一互信组中可以包含更多的有卡设备，d4可以根据与各有卡设备的空间距离，或者根据网络预设的用于作为担保设备的优先级(例如，设备安全级别的优先级)等因素，选择其中的一台或多台有卡设备作为担保设备。图4所示的第一互信组中也可以包含更多的无卡设备，d4也可以根据与各无卡设备的空间距离，或者根据网络预设的用于作为担保设备的优先级等因素，选择其中的两台或更多台无卡设备作为担保设备。还应理解，以上所列举的各设备与互信组的关系的具体形式仅为示例性说明，不应对本发明构成任何限定，本发明也不应限于此。例如，第一互信组中还可以包括更多的有卡设备或者无卡设备；或者，第二互信组中还可以包括更多的无卡设备；或者，各设备还可以同属于更多的互信组。本发明对此并未特别限定。在本发明实施例中，如图4所示的第一互信组40中，d4可以在第一接入请求消息中携带d1的设备信息，例如，设备id。例如，该第一接入请求消息的格式可以如下：reg＝{id＝d4.id，auth-type＝le_mtc，trust_grp＝{d1.id}，seq＝seq_clt}。该消息代表设备id为d4.id的设备希望通过互信关系接入(register)服务器；trust_grp＝{d1.id}表示与d4具有互信关系的担保设备的设备id为d1.id；auth-type＝le_mtc表示d4希望通过接口类型(auth-type)为le_mtc的接口接入服务器；seq代表该消息的序列号(sequence)，clt代表客户端(client)，seq＝seq_clt代表客户端发出的消息的序列号。服务器接收到该第一接入请求消息后，从本地保存的可信设备集合中查找到d1，且确定d1为第一安全级别设备，则确定d1为担保设备。作为对第一接入请求消息的响应，服务器向d4发送的第一鉴权挑战消息的格式可以如下：challenge＝{guarantor＝{d1.id}，seq＝seq_srv，algo＝h-3gpp-gba，rand＝rand1，autn＝autn1}。其中，guarantor＝{d1.id}代表担保设备的设备id是d1.id；srv代表服务器(server)；seq＝seq_clt代表服务器发出的消息的序列号；algo＝h-3gpp-gba 代表算法采用3gpp的通用引导架构(genericbootstrappingarchitecture，简称“gba”)的鉴权机制；rand和autn是鉴权参数，或者说，鉴权向量；rand1和autn1分别代表rand和autn的具体取值。其中，algo代表算法(algorithm)，h代表哈希(hash)。服务器向d4发送第一鉴权挑战消息后，等待d4的响应，若该响应中所携带的从d1获取的派生密钥与服务器中预存的鉴权参数相匹配，则鉴权成功。s304，第一设备向担保设备发送鉴权担保请求消息，该鉴权担保请求消息中携带鉴权参数。具体而言，d4向d1发送鉴权参数，该鉴权参数由d4在s302中从服务器获取，未经任何修改，直接发送给担保设备，等待d1提供派生密钥。例如，该鉴权担保请求消息的格式可以如下：grant＝{algo＝h-3gpp-gba，rand＝rand1，autn＝autn1}。该消息可以理解为d4请求d1许可(grant)担保，并基于鉴权参数(rand和autn)通过3gpp的通用引导架构(genericbootstrappingarchitecture，简称“gba”)的鉴权机制下的鉴权流程。s305，担保设备基于鉴权参数，生成第一派生密钥。具体而言，d1接收到该鉴权参数后，检查本地保存的互信组信息，确定d4为第一互信组中的设备时，可选地，可以进一步确定是否开启担保功能，从而确定是否为d4作担保，完成鉴权流程。d1在确定为d4作担保后，基于d4发送的鉴权参数和d1与d1所持有的网络预发放的第一共享密钥(为便于理解和区分，记作key1，即，第一安全密钥的一例)，生成第一派生密钥。或者说，担保设备通过自身与网络共享的第一安全密钥，对鉴权参数进行处理，生成第一派生密钥。可选地，担保设备在接收到第一设备发送来的鉴权参数后，基于该鉴权参数，对网络侧进行鉴权。也就是说，担保设备的担保过程可以为双向鉴权的过程，既包括了网络侧对终端的鉴权，也包括终端对网络侧的鉴权。具体而言，d1对网络侧的鉴权的具体流程与方法200中终端对网络的鉴权的具体流程相似，为了简洁，这里不再赘述。d1在完成对网络侧的鉴权后，基于鉴权参数，生成第一派生密钥。具体地，d1基于d1本地保存的key1对接收到的rand1进行处理，得到一个响应值res1，该响应值res1即为d1基于共享密钥key1的一个派生密钥。该第一派生密钥用于作为担保信息，经第一设备发送给服务器，向服务器证明d1愿意为d4作担保。s306，担保设备向第一设备发送第一派生密钥。例如，d1向d4发送的派生密钥的消息格式如下：grant_rsp＝{res1}。该消息可以理解为d1对d4请求d1许可(grant)担保的响应，响应值为{res1}。d4将该{res1}发送给服务器，以便于服务器对d4的鉴权。s307，第一设备向服务器发送第一派生密钥。具体而言，d4接收到d1发送的第一派生密钥后，将该第一派生密钥转发给服务器，以向服务器证明d1是d4的担保设备，或者说，d1愿意为d4作担保，完成鉴权流程。s308，服务器校验第一派生密钥。具体而言，服务器接收到d4发送的第一派生密钥{res1}后，将其与本地保存的{xres1}进行比较，若一致，则对d4的鉴权成功，执行s309；若不一致，则对d4的鉴权失败，d4无法接入服务器。但是，由于d4并未对网络侧进行鉴权，d4在向服务器发送派生密钥前，并不确定该服务器是否是可信的，若直接把d1发送的派生密钥转发给服务器，就有可能造成隐私泄露。可选地，s307第一设备向服务器发送第一派生密钥，包括：该第一设备对该第一派生密钥进行哈希散列处理，获得该第一派生密钥的散列值；该第一设备向服务器发送该散列值。具体而言，d4基于一个随机数rand2对{res1}作哈希散列处理，获得该{res1}的散列值，即h(res1，rand2)。d4将该h(res1，rand2)和随机数rand2发送给服务器，由于服务器中保存有期望的响应值xres1，服务器基于xres1和rand2作哈希散列处理，获得{xres1}的散列值，即h(xres1，rand2)。若h(res1，rand2)＝h(xres1，rand2)，则鉴权成功，d4获得接入服务器的权限；否则，鉴权失败。s309，服务器确定第一设备鉴权成功。可选地，服务器向第一设备发送鉴权成功消息。服务器向d4发送鉴权成功消息，以通知d4鉴权成功，d4获得接入服务器的权限。d4由此可以接入服务器。可选地，在s301第一设备向服务器发送第一接入请求消息中，还可以携带第一设备的设备id；该方法300还包括：s310，第一设备生成第三私人密钥；s311，第一设备向服务器发送该第三私人密钥。具体而言，该d4在第一次认证接入服务器的同时，还可以在服务器预存一个属于d4自己的私人密钥(为便于区分和理解，记作第三私人密钥)，以便于后续接入时自身就能够完成认证。该第三私人密钥可以由d4在认证前生成，但是该第三私人密钥是基于担保设备的安全密钥而生效的，或者说，基于服务器的认证而生效的。可选地，第一设备基于第一派生密钥，生成第三私人密钥。具体而言，由于d4并未对网络侧进行鉴权，若直接将生成的第三私人密钥发送给服务器，可能会造成隐私泄露。因此，可以基于第一派生密钥，对第三私人密钥进行加密。需要说明的是，s306中的派生密钥和s311中的私人密钥可以分两次发送，也可以一次发送，本发明对此并未特别限定。例如，d4向服务器发送第一派生密钥和第三私人密钥的消息格式可以如下：reg＝{id＝d4.id，auth-type＝le_mtc，trust_grp＝{d1.id}，rand＝rand2，seq＝seq_clt+1，res＝h(res1，rand2，seq_clt+1)，key＝e(key4，res1)}。其中，rand＝rand2是不同于网络侧所下发的随机数rand1。seq＝seq_clt+1是不同于上述第一接入请求消息中的序列号seq_clt。具体来说，序列号可用于检验消息的真实性。服务器对接收到前一条消息的序列号(为便于理解和说明，记作第一序列号)与后一条消息的序列号(为便于理解和说明，记作第二序列号)进行比较，若第二序列号比第一序列号的值大，或者，第二序列号比第一序列号的值大且第二序列号与第一序列号的差值在预设范围内，则认为该消息是同一设备发出的，而非其他中间设备(middleman)拦截重放的消息。若第一序列号比第二序列号的值大或者两者相等，则说明 该消息不是同一设备发出的，其中有一条消息有可能是其他中间设备(middleman)拦截重放的消息。服务器在确定seq_clt+1>seq_clt后，将序列号更新为seq_clt+1，并保存，以备下次使用。key＝e(key4，res1)表示基于res1对key4进行加密，其中，e代表加密，key4为第三私人密钥。服务器在接收到d4发送的消息后，检查h(xres1，rand2，seq_clt+1)＝h(res1，rand2，seq_clt+1)是否成立。当等式成立时，鉴权成功。服务器进一步从解密d4的第三私人密钥key4＝d(e(key4，res))。其中，d代表解密。应理解d与e是可逆的过程，d4基于res1对key4进行加密，服务器由于一直与res1相同的xres1，基于xres1对key4进行解密，即可得到d4的第三私人密钥。并且，d4与服务器在交互过程中，隐私信息res1和key4均通过加密，避免了隐私泄露。可选地，该方法300还包括：s312，服务器保存第一设备的设备id和第三私人密钥。服务器在d4第一次认证通过后，保存d4的设备id和第三私人密钥key4。或者说，服务器更新本地保存的可信设备集合，以便于d4在后续接入时可以通过第三私人密钥自助完成鉴权流程。可选地，服务器也可将d4的设备id和私人密钥key1保存在与n1相连的aaa中。可选地，该方法300还包括：s313，第一设备定期更新第三私人密钥。d4可以基于服务器的指示，定期更新与服务器共享的第三私人密钥。d4可以自助更新第三私人密钥，也可以通过担保设备的参与更新第三私人密钥。d4定期更新，并将更新后的第三私人密钥发送给服务器，以作备用。应理解，方法300中各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。例如，s310可以在s309之后执行，也可以在s309之前或者与s309同时执行，本发明对此并未特别限定。因此，根据本发明实施例的鉴权的方法，通过第一设备从担保设备获取第一派生密钥，基于担保设备提供的第一派生密钥完成第一设备与服务器间的鉴权流程，减少了人工参与，适合m2m通讯特点，同时不需要网络为每台设备预发放共享密钥，即，不强依赖于网络预发放，开放性好。以上，结合图3和图4详细说明了根据本发明一实施例的鉴权的方法300。 以下，结合图5和图6详细说明根据本发明另一实施例的鉴权的方法500。图5是根据本发明实施例的第一互信组50的另一示意性框图。如图5所示，该第一互信组50中包括：无卡设备(例如，d2)52、无卡设备(例如，d3)53和无卡设备(例如，d4)54。其中，d454是新加入的设备，d252和d353与有卡设备(例如，d1)51又同属于第二互信组60。也就是说，d252和d353同时访问两类业务，可以同属两个互信组。d151所访问的业务的业务类型与d454请求访问的目标业务的业务类型不同，不属于一个互信组。因此，d454可以通过d252和d353共同担保，辅助完成d454的鉴权流程。也就是说，d252和d353可以共同作为担保设备。以下，结合图6详细说明无卡设备d2和d3共同作为担保设备的鉴权流程。图6是根据本发明另一实施例的鉴权的方法600的示意性流程图。如图6所示，该方法600包括：s601，第一设备向服务器发送第一接入请求消息。例如，d4向服务器发送的第一接入请求消息的格式可以如下：reg＝{id＝d4.id，auth-type＝le_mtc，trust_grp＝{d2.id，d3.id}，seq＝seq_clt}。s602，服务器确定第一设备为未持有安全密钥的设备。s603，服务器生成鉴权参数。在本发明实施例中，由于担保设备d2、d3也是基于方法300的鉴权流程接入服务器的，不具有运营商网络预发放的共享密钥，但已生成私人密钥，并保存在服务器中。因此，服务器基于该私人密钥，以及随机生成的随机数rand，运算获得autn和xres。由于担保设备包含有d2和d3，故对应两个私人密钥，即，d2持有第一私人密钥(为便于区分和理解，记作key2)；d3持有第二私人密钥(为便于区分和理解，记作key3)，基于key2和key3可以分别生成autn2、xres2和autn3、xres3。具体计算方法如下：autn2＝xor(seq_srv，aka_f5(rand3，key2)+aka_f1(rand，key2，seq_srv))，xres2＝aka_f2(rand3，key2)；autn3＝xor(seq_srv，aka_f5(rand3，key3)+aka_f1(rand3，key3，seq_srv))，xres3＝aka_f2(rand3，key3)。其中，rand3是区别于上文中的rand1和rand2的随机数。aka_f5、aka_f1和aka_f2分别为umts机制中的三个鉴权向量产生函数，用于umts的鉴权流程。当输入一个随机数rand3和私人密钥key2，通过aka_f5、aka_f1和aka_f2三个函数得到三个输出值，autn2可以理解为将这三个输出值交织在一起所得到的结果。与此相似地，xres2是是区别于上文中的xres1的预期响应。xres2可以通过服务器基于key2和rand3，通过aka_f2计算出来的。与此相似地，autn3和xres3也分别是基于rand3和key3，通过不同的函数计算得到的。s604，服务器基于第一接入请求消息，向第一设备发送第一鉴权挑战消息。例如，该第一鉴权挑战消息的格式可以如下：challenge＝{guarantor＝{d2.id，d3.id}，seq＝seq_srv，algo＝h-le-mtc，rand＝rand3，autn＝{autn2，autn3}}。s605，第一设备向担保设备发送鉴权担保请求消息，该鉴权担保请求消息中携带鉴权参数。例如，d4向d2和d3发送的鉴权担保请求的消息格式可以如下：grant＝{algo＝h-3gpp-gba，rand＝rand3，autn＝autn2}；grant＝{algo＝h-3gpp-gba，rand＝rand3，autn＝autn3}。s601至s604的具体过程与s301至s304的具体过程基本相似，不同点在于，在本发明实施例中，第一设备(例如，图5中的d4)确定的担保设备集合中不包含第一安全级别设备，确定担保设备集合为d4.trust_grp＝{d2.id，d3.id}。服务器根据该担保设备集合以及预存的可信设备集合，确定由两台第二安全级别设备(例如，图5中的d2、d3)作为担保设备。例如，服务器中预存的可信设备集合为s1＝{d1，d2，d3，...}。服务器由此可以确定候选担保设备集合为{d2，d3}。服务器进而根据安全策略，确定担保设备。若该安全策略要求有至少两台第二安全级别设备提供担保，则服务器可以确定担保设备即为{d2，d3}。换句话说，当候选担保设备不包括第一安全级别设备，且包括至少两台第二安全级别设备时，服务器确定担保设备为至少两台第二安全级别设备。服务器确定担保设后，可以通过第一鉴权挑战消息携带担保设 备的信息，以便于d4向担保设备d2、d3发送鉴权担保请求消息。d4在向d2和d3发送的鉴权担保请求消息中分别携带鉴权参数，以请求d2和d3分别为第一设备提供用于鉴权的派生子密钥。应理解，图5所列举的各设备间的互信关系仅为示例性说明，不应对本发明构成任何限定，本发明也不应限于此。例如，d1可以为建立第一互信组50的设备，即，d1与d2、d3同时访问一种业务类型的业务。但是d1在建立了第一互信组50后，退出了对该业务的访问，此时，服务器侧的可信设备集合中可能仍然保存了{d1，d2，d3}的互信组信息。服务器可以根据接收到的d4所确定的担保设备集合d4.trust_grp＝{d2.id，d3.id}和本地预存的互信设备集合，确定候选担保设备集合。进而根据安全策略，确定担保设备为{d2，d3}。s606，担保设备基于鉴权参数，生成派生子密钥。d2和d3基于接收到的鉴权担保请求消息，根据自身所持有的私人密钥和接收到的鉴权参数，可以生成派生子密钥。具体地，d2基于所持有的第一私人密钥和接收到的鉴权参数，生成第一派生子密钥；d3基于所持有的第二私人密钥和接收到的鉴权参数，生成第二派生子密钥。在本发明实施例中，d2基于key2和接收到的rand3，生成{res2}，d3基于key3和接收到的rand3，生成{res3}。可选地，担保设备在接收到第一设备发送来的鉴权参数后，基于该鉴权参数，对网络侧进行鉴权。在本发明实施例中，由于d2持有私人密钥key2服务器将计算出来的autn2以及随机数rand发送给d2，d2可以根据自身持有的key2和接收到的rand，基于aka_f5、aka_f1和aka_f2三个函数计算出的结果与服务器一致，并且进一步交织在一起的结果autn也与服务器中发送来的autn相同，则完成对服务器的鉴权。s607，担保设备向第一设备发送派生子密钥。d2向第一设备发送第一派生子密钥，d3向第一设备发送第二派生子密钥。d2和d3分别向d4发送派生子密钥{res2}和{res3}。s608，第一设备基于接收到的派生子密钥，生成第一派生密钥。d4基于接收到的第一派生子密钥{res2}和第二派生子密钥{res3}，生 成用于鉴权的第一派生密钥{res2+res3}。这里需要说明的是，“+”标识字符串连接，{res2+res3}可以理解为res2和res3的字符串连接成一个字符串。s609，第一设备向服务器发送第一派生密钥。s610，服务器校验第一派生密钥。s611，服务器确定第一设备鉴权成功。可选地，服务器可以向第一设备发送鉴权成功信息。s612，第一设备生成第三私人密钥。s613，第一设备向服务器发送第三私人密钥。例如，d4向服务器发送第一派生密钥和第三私人密钥的消息格式可以如下：reg＝{id＝d3.id，auth-type＝le_mtc，trust_grp＝{d2.id，d3.id}，rand＝rand4，seq＝seq_clt+1，res＝h(res2+res3，rand3，seq_clt+1)，key＝e(key1，res2+res3)}.s614，服务器保存第一设备的设备id和第三私人密钥。服务器保存d4的设备信息，例如，设备id以及第三私人密钥。同时，服务器还可以保存d4的安全属性以及d4与d2、d3的互信关系。具体地，服务器可以d4的设备信息保存在n1中。换句话说，服务器可以更新可信设备列表。在其他无卡设备请求接入服务器时，服务器可以基于该可信设备列表中的设备来为其他无卡设备确定担保设备。s615，第一设备定期更新第三私人密钥。应理解，方法600中的具体流程与方法300中的具体流程基本相似，为了简洁，这里不再赘述。还应理解，方法600中各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。例如，s612可以在s611之后执行，也可以在s611之前或者与s611同时执行，本发明对此并未特别限定。因此，根据本发明实施例的鉴权的方法，通过第一设备从担保设备获取第一派生密钥，基于担保设备提供的第一派生密钥完成第一设备与服务器间的鉴权流程，减少了人工参与，适合m2m通讯特点，同时不需要网络为每 台设备预发放共享密钥，即，不强依赖于网络预发放，开放性好。以上，结合图5和图6详细说明了根据本发明另一实施例的鉴权的方法600。以下，结合图7详细说明根据本发明又一实施例的鉴权的方法700。图7是根据本发明又一实施例的鉴权的方法700的示意性流程图。如图7所示，该方法700包括：s701，第一设备在第二时段向服务器发送第二接入请求消息，该第二接入请求消息携带第一设备的设备id。该第二时段处于第一时段之后。也就是说，第一设备在第一时段接入服务器后，退出服务器，又在第二时段请求接入服务器。s702，服务器确定第一设备为持有与服务器共享的私人密钥的设备。服务器确定第一设备是否持有私人密钥的具体方法与s302中服务器确定第一设备是否持有安全密钥的具体方法相似，为了简洁，这里不再赘述。s703，服务器生成鉴权参数。autn4＝xor(seq_srv，aka_f5(rand4，key4)+aka_f1(rand4，key4，seq_srv))，xres4＝aka_f2(rand4，key4)。s704，服务器向第一设备发送第二鉴权挑战消息，该第二鉴权挑战消息携带该鉴权参数。challenge＝{seq＝seq_srv，rand＝rand4，autn＝autn4}。其中，rand4是区别于上文中rand1、rand2和rand3的随机数。autn4是区别于上文中autn1、autn2和autn3的认证令牌。s705，第一设备基于该鉴权参数和第三私人密钥，生成鉴权响应。reg＝{id＝d3.id，auth-type＝le_mtc，rand＝rand4，seq＝seq_clt+1，res＝h(key4，rand4，seq_clt+1)}。s706，第一设备向服务器发送鉴权响应。s707，服务器校验鉴权响应。h(xres4，rand4，seq_clt+1)＝h(key4，rand4，seq_clt+1)，则鉴权成功。s708，服务器向第一设备发送鉴权成功信息。应理解，s701～s708的具体实现方法与方法300和方法600中的具体实现方法相似，为了简洁，这里不再赘述。因此，根据本发明实施例的鉴权的方法，通过服务器保存第一设备第一 次鉴权时生成的第三私人密钥，便于后续自助接入，大大减少了人工参与度，也不依赖于网络预发放，开放性好。以上，结合图1至图7详细说明了根据本发明实施例的鉴权的方法。以下，结合图8至图10详细说明根据本发明实施例的终端和服务器。图8是根据本发明一实施例的终端800的示意性框图。该终端800应用于通过安全密钥与服务器进行鉴权的系统中。如图8所示，该终端800包括：发送模块810和接收模块820。其中，该发送模块810用于在第一时段向服务器发送第一接入请求消息，该第一接入请求消息用于请求接入该服务器，该终端800为未持有安全密钥的设备；该接收模块820用于接收服务器基于第一接入请求消息发送的第一鉴权挑战消息，第一鉴权挑战消息携带鉴权参数，鉴权参数用于生成派生密钥，第一鉴权挑战消息用于指示终端800基于担保设备提供的第一安全密钥与服务器进行鉴权，其中，第一安全密钥用于服务器与担保设备之间的鉴权；该发送模块810还用于向担保设备发送鉴权担保请求消息，鉴权担保请求消息中携带鉴权参数；该接收模块820还用于接收担保设备基于鉴权担保请求消息发送的第一派生密钥，第一派生密钥由担保设备基于第一安全密钥和鉴权参数生成；该发送模块810还用于向服务器发送接收模块820接收到的第一派生密钥，以与服务器进行鉴权。根据本发明实施例的终端800可对应于根据本发明实施例的鉴权的方法300、方法600和方法700中的第一设备，并且，该终端800中的各模块和上述其他操作和/或功能分别为了实现图3至图7中各个方法的相应流程，为了简洁，在此不再赘述。因此，根据本发明实施例的终端，通过从担保设备获取第一派生密钥，基于担保设备提供的第一派生密钥完成与服务器间的鉴权流程，减少了人工参与，适合m2m通讯特点，同时不需要网络为每台设备预发放共享密钥，即，不强依赖于网络预发放，开放性好。图9是根据本发明一实施例的服务器900的示意性框图。该服务器900应用于通过安全密钥与终端进行鉴权的系统中。如图9所示，该服务器900包括接收模块910、确定模块920、发送模块930和处理模块940。其中，该接收模块910用于接收第一设备在第一时段发送的第一接入请求消息，该第一接入请求消息用于请求接入该服务器900；该确定模块920用于基于第一接入请求消息和预存的可信设备集合，确定该第一设备为未持有安全密钥的设备；并为该第一设备确定担保设备，担保设备具有与服务器900共享的第一安全密钥，第一安全密钥用于服务器900与担保设备之间的鉴权，其中，可信设备集合不包括第一设备，且可信设备集合包括担保设备；该发送模块930用于基于接收模块接收到的第一接入请求消息，向第一设备发送第一鉴权挑战消息，第一鉴权挑战消息中携带有担保设备的信息和鉴权参数，鉴权参数用于生成派生密钥，第一鉴权挑战消息用于指示第一设备基于担保设备提供的第一安全密钥与服务器900进行鉴权；接收模块910还用于接收第一设备发送的第一派生密钥，第一派生密钥由第一设备从担保设备获取，且派生密钥由担保设备基于鉴权参数和第一安全密钥生成；该处理模块940用于根据第一派生密钥，与第一设备进行鉴权。根据本发明实施例的服务器900可对应于根据本发明实施例的鉴权的方法300、方法600和方法700中的服务器900，并且，该服务器900中的各模块和上述其他操作和/或功能分别为了实现图3至图7中各个方法的相应流程，为了简洁，在此不再赘述。因此，根据本发明实施例的服务器，通过第一设备从担保设备获取第一派生密钥，并基于担保设备提供的第一派生密钥完成与第一设备间的鉴权流程，减少了人工参与，适合m2m通讯特点，同时不需要网络为每台设备预发放共享密钥，即，不强依赖于网络预发放，开放性好。图10根据本发明另一实施例的终端1000的示意性框图。该终端1000应用于通过安全密钥与服务器进行鉴权的系统中。如图10所示，该终端1000包括接收模块1100、生成模块1200和发送模块1300。其中，该接收模块1100用于接收第一设备发送的鉴权担保请求消息，鉴权担保请求消息携带服务器下发的鉴权参数，鉴权参数用于生成派生密钥；该生成模块1200用于基于鉴权参数和与服务器共享的第一安全密钥，生成第一派生密钥；该发送模块1300用于向第一设备发送第一派生密钥。根据本发明实施例的终端1000可对应于根据本发明实施例的鉴权的方 法300、方法600和方法700中的担保设备，并且，该终端1000中的各模块和上述其他操作和/或功能分别为了实现图3至图7中各个方法的相应流程，为了简洁，在此不再赘述。因此，根据本发明实施例的终端，通过向第一设备提供第一派生密钥，使第一设备基于第一派生密钥完成与服务器间的鉴权流程，减少了人工参与，适合m2m通讯特点，同时不需要网络为每台设备预发放共享密钥，即，不强依赖于网络预发放，开放性好。以上，结合图8至图10详细说明了根据本发明实施例的鉴权的终端和服务器。以下，结合图11至图13详细说明根据本发明另一实施例的终端和服务器。图11是根据本发明一实施例的终端2000的另一示意性框图。该终端2000应用于通过安全密钥与服务器进行鉴权的系统中。如图11所示，该终端2000包括：接收器2100、发送器2200、处理器2300、存储器2400和总线系统2500。其中，接收器2100、发送器2200、处理器2300和存储器2400通过总线系统2500相连，该存储器2400用于存储指令，该处理器2300用于执行该存储器2400存储的指令，以控制接收器2100接收信号，并控制发送器2200发送信号。其中，该发送器2200用于在第一时段向服务器发送第一接入请求消息，该第一接入请求消息用于请求接入该服务器，该终端2000为未持有安全密钥的设备；该接收器2100用于接收服务器基于第一接入请求消息发送的第一鉴权挑战消息，第一鉴权挑战消息携带鉴权参数，鉴权参数用于生成派生密钥，第一鉴权挑战消息用于指示终端基于担保设备提供的第一安全密钥与服务器进行鉴权，其中，第一安全密钥用于服务器与担保设备之间的鉴权；该发送器2200还用于向担保设备发送鉴权担保请求消息，鉴权担保请求消息中携带鉴权参数；该接收器2100还用于接收担保设备基于鉴权担保请求消息发送的第一派生密钥，第一派生密钥由担保设备基于第一安全密钥和鉴权参数生成；该发送器2200还用于向服务器发送接收器2100接收到的第一派生密钥，以与服务器进行鉴权。应理解，在本发明实施例中，该处理器2300可以是中央处理单元(central processingunit，简称为“cpu”)，该处理器2300还可以是其他通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现成可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。该存储器2400可以包括只读存储器和随机存取存储器，并向处理器2300提供指令和数据。存储器2400的一部分还可以包括非易失性随机存取存储器。例如，存储器2400还可以存储设备类型的信息。该总线系统2500除包括数据总线之外，还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见，在图中将各种总线都标为总线系统2500。在实现过程中，上述方法的各步骤可以通过处理器2300中的硬件的集成逻辑电路或者软件形式的指令完成。结合本发明实施例所公开的定位方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器2400，处理器2300读取存储器2400中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。根据本发明实施例的终端2000可对应于根据本发明实施例的鉴权的方法300、方法600和方法700中的第一设备，以及根据本发明实施例的终端800，并且，该终端2000中的各模块和上述其他操作和/或功能分别为了实现图3至图7中各个方法的相应流程，为了简洁，在此不再赘述。因此，根据本发明实施例的终端，通过从担保设备获取第一派生密钥，基于担保设备提供的第一派生密钥完成与服务器间的鉴权流程，减少了人工参与，适合m2m通讯特点，同时不需要网络为每台设备预发放共享密钥，即，不强依赖于网络预发放，开放性好。图12是根据本发明一实施例的服务器3000的另一示意性框图。该服务器3000应用于通过安全密钥与终端进行鉴权的系统中。如图12所示，该服务器3000包括：接收器3100、发送器3200、处理器3300、存储器3400和总线系统3500。其中，接收器3100、发送器3200、处理器3300和存储器3400通过总线系统3500相连，该存储器3400用于存储指令，该处理器3300用于执行该存储器3400存储的指令，以控制接收器3100接收信号，并控制 发送器3200发送信号。其中，该接收器3100用于接收第一设备在第一时段发送的第一接入请求消息，该第一接入请求消息用于请求接入该服务器3000；该处理器3300用于基于第一接入请求消息和预存的可信设备集合，确定该第一设备为未持有安全密钥的设备，并为该第一设备确定担保设备，担保设备具有与服务器共享的第一安全密钥，第一安全密钥用于服务器与担保设备之间的鉴权，其中，可信设备集合不包括第一设备，且可信设备集合包括担保设备；该发送器3200用于基于接收单元接收到的第一接入请求消息，向第一设备发送第一鉴权挑战消息，第一鉴权挑战消息中携带有担保设备的信息和鉴权参数，鉴权参数用于生成派生密钥，第一鉴权挑战消息用于指示第一设备基于担保设备提供的第一安全密钥与服务器进行鉴权；接收器3100还用于接收第一设备发送的第一派生密钥，第一派生密钥由第一设备从担保设备获取，且派生密钥由担保设备基于鉴权参数和第一安全密钥生成；该处理器3300用于根据第一派生密钥，与第一设备进行鉴权。根据本发明实施例的服务器3000可对应于根据本发明实施例的鉴权的方法300、方法600和方法700中的服务器，以及根据本发明实施例的服务器900，并且，该服务器3000中的各模块和上述其他操作和/或功能分别为了实现图3至图7中各个方法的相应流程，为了简洁，在此不再赘述。因此，根据本发明实施例的服务器，通过第一设备从担保设备获取第一派生密钥，并基于担保设备提供的第一派生密钥完成与第一设备间的鉴权流程，减少了人工参与，适合m2m通讯特点，同时不需要网络为每台设备预发放共享密钥，即，不强依赖于网络预发放，开放性好。图13根据本发明另一实施例的终端4000的另一示意性框图。该终端4000应用于通过安全密钥与服务器进行鉴权的系统中。如图13所示，该终端4000包括：接收器4100、发送器4200、处理器4300、存储器4400和总线系统4500。其中，接收器4100、发送器4200、处理器4300和存储器4400通过总线系统4500相连，该存储器4400用于存储指令，该处理器4300用于执行该存储器4400存储的指令，以控制接收器4100接收信号，并控制发送器4200发送信号。其中，该接收器4100用于接收第一设备发送的鉴权担保请求消息，鉴权担保请求消息携带服务器下发的鉴权参数，鉴权参数用于生成派生密钥；该处理器4300用于基于鉴权参数和与服务器共享的第一安全密钥，生成第一派生密钥；该发送器4200用于向第一设备发送第一派生密钥。根据本发明实施例的终端4000可对应于根据本发明实施例的鉴权的方法300、方法600和方法700中的担保设备，以及根据本发明实施例的终端1000，并且，该终端4000中的各模块和上述其他操作和/或功能分别为了实现图3至图7中各个方法的相应流程，为了简洁，在此不再赘述。因此，根据本发明实施例的终端，通过向第一设备提供第一派生密钥，使第一设备基于第一派生密钥完成与服务器间的鉴权流程，减少了人工参与，适合m2m通讯特点，同时不需要网络为每台设备预发放共享密钥，即，不强依赖于网络预发放，开放性好。应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。应理解，在本发明的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可 以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-onlymemory，ram)、随机存取存储器(randomaccessmemory，rom)、磁碟或者光盘等各种可以存储程序代码的介质。以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本
技术领域：
：的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。当前第1页12当前第1页12