一种安全认证方法、配置方法以及相关设备与流程

文档序号：21644014发布日期：2020-07-29 02:57阅读：136来源：国知局

本发明涉及网络通信领域,尤其涉及的是一种安全认证方法、配置方法以及相关设备。

背景技术：

现有技术中，配置设备能够对待配置的第一终端进行配置，以使待配置的第一终端能够接收到配置设备发送的经过加密的配置信息，接收到所述配置信息的第一终端若希望和第二终端建立安全连接，则所述第一终端将所述配置信息转发给所述第二终端，所述第二终端能够对所述配置信息进行验证，若验证通过，则所述第一终端和所述第二终端能够建立安全连接。例如，在无线局域网(wirelesslocalareanetwork，简称wlan)中，所述第一终端可为接入点(accesspoint，简称ap)，所述第二终端可为站点(station，简称sta)，其中，ap能够将所述配置设备发送的配置信息发送给sta，sta对所述配置信息进行验证，若验证通过，则sta能够接入所述ap，还例如，在对等网络p2pnetwork中，所述第一终端可为groupowner简称go设备，go设备可作为p2pnetwork的中心节点，第二终端可为p2p设备，其中，go设备能够将所述配置设备发送的配置信息发送给p2p设备，p2p设备对所述配置信息进行验证若验证通过，则p2p设备能够接入所述go设备；

但是，现有技术中的缺陷在于，以无线局域网为例，若攻击终端接收到所述配置设备发送的所述配置信息，所述攻击终端能够改变自己的角色，进而使得攻击终端能够假冒ap设备，攻击终端将自己的信息设置为ap的服务集标识(ssid，servicesetidentifier)，当有sta来连接ap时，攻击终端将从所述配置设备接收到的配置信息给sta，sta根据配置信息进行验证，且能够验证成功，sta无法识别攻击终端是假冒的ap，当攻击终端与sta建立连接后，攻击终端即可窃听sta的信息，可见，现有技术中的终端之间建立连接存在安全隐患。

技术实现要素：

本发明提供了一种安全认证方法、配置方法以及相关设备。

本发明实施例第一方面提供了一种安全认证方法，包括：

第一终端接收配置设备发送的所述配置设备的签名公钥；

所述第一终端接收的第二签名信息和第二类型信息，所述第二签名信息为所述配置设备发送给第二终端的签名信息，所述第二签名信息由配置设备至少根据所述第二类型信息和所述配置设备的签名私钥生成，所述第二类型信息为所述第二终端的角色类型信息，和/或，所述第二终端能够连接的角色类型信息，所述配置设备的签名公钥和所述配置设备的签名私钥对应；

所述第一终端至少根据所述第二类型信息和所述第二签名信息确定所述第一终端生成密钥信息，所述密钥信息用于第一终端与第二终端建立安全连接。

结合本发明实施例第一方面，本发明实施例第一方面的第一种实现方式中，

所述方法还包括：

所述第一终端接收所述配置设备发送的第一签名信息，所述第一签名信息由所述配置设备至少根据所述第一类型信息和签名私钥生成，所述第一类型信息为所述第一终端的角色类型信息，和/或，所述第一终端能够连接的角色类型信息。

结合本发明实施例第一方面的第一种实现方式，本发明实施例第一方面的第二种实现方式中，

所述第一终端的角色类型信息，和/或，所述第一终端能够连接的角色类型信息包括：

站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备，非码中心设备，外设，源设备，目标设备，配置器，接入设备，支持的能力，支持的服务，服务集标识或媒体访问控制地址。

结合本发明实施例第一方面的第二种实现方式，本发明实施例第一方面的第三种实现方式中，

所述第二终端的角色类型信息，和/或，所述第二终端能够连接的角色类型信息包括：

结合本发明实施例第一方面的第三种实现方式，本发明实施例第一方面的第四种实现方式中，

结合本发明实施例第一方面至本发明实施例第一方面的第三种实现方式的任意一种方式,本发明实施例第一方面的第四种实现方式中，

所述第一终端至少根据所述第二类型信息和第二签名信息确定所述第一终端生成密钥信息包括：

所述第一终端确定所述第一类型信息和所述第二类型信息相匹配，且，所述第一终端确认所述第二签名信息与所述第二类型信息相匹配，则所述第一终端确定生成密钥信息。

结合本发明实施例第一方面的第四种实现方式,本发明实施例第一方面的第五种实现方式中,

所述第一终端至少根据所述第二类型信息和第二签名信息确定所述第一终端生成密钥信息之后包括：

所述第一终端生成所述密钥信息。

本发明实施例第二方面提供了一种配置方法，包括：

配置设备获得所述终端的类型信息，所述类型信息为终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成签名信息；

所述配置设备将所述签名信息和所述配置设备的签名公钥发送给所述终端，所述配置设备的签名公钥与所述配置设备的签名私钥相对应。

结合本发明实施例第二方面,本发明实施例第二方面的第一种实现方式中,

所述配置设备获得所述终端的类型信息包括：

所述配置设备接收所述终端发送的指示消息，所述指示消息包含所述类型信息。

结合本发明实施例第二方面,本发明实施例第二方面的第二种实现方式中,

所述配置设备获得所述终端的类型信息包括：

所述配置设备接收所述终端发送的发现消息；

所述配置设备根据所述发现消息确定所述类型信息，且所述发现消息与所述类型信息对应。

结合本发明实施例第二方面,本发明实施例第二方面的第三种实现方式中,

所述配置设备获得所述终端的类型信息包括：

所述配置设备接收用户输入的操作指令，所述操作指令用于指示所述类型信息。

结合本发明实施例第二方面,本发明实施例第二方面的第四种实现方式中,

所述配置设备获得所述终端的类型信息包括：

所述配置设备扫描所述终端中包含的所述类型信息的二维码；

或，

所述配置设备建立与所述终端的近距离无线通讯技术nfc连接以获取所述类型信息。

结合本发明实施例第二方面至本发明实施例第二方面的第四种实现方式任一项所示,本发明实施例第二方面的第五种实现方式中,

所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息包括：

站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备、非码中心设备、原设备、外部设备、目标设备、服务集标识、媒体访问控制地址、或接入设备。

结合本发明实施例第二方面至本发明实施例第二方面的第五种实现方式任一项所示,本发明实施例第二方面的第六种实现方式中,

所述签名信息还包括第一哈希值，所述第一哈希值为所述配置设备至少对所述类型信息进行哈希运算所生成的哈希值。

本发明实施例第三方面提供了一种配置方法，包括：

终端将所述终端的类型信息传递给配置设备，所述类型信息为所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

所述终端接收所述配置设备发送的签名信息和所述配置设备的签名公钥，所述签名信息为所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成，所述配置设备的签名公钥和所述配置设备的签名私钥对应。

结合本发明实施例第三方面,本发明实施例第三方面的第一种实现方式中,

所述终端将类型信息传递给配置设备包括：

所述终端生成指示消息，所述指示消息包含有所述类型信息；

所述终端将所述指示消息发送给所述配置设备。

结合本发明实施例第三方面,本发明实施例第三方面的第二种实现方式中,

所述终端将类型信息传递给配置设备包括：

所述终端生成发现消息；

所述终端将所述发现消息发送给所述配置设备，所述发现消息与所述类型信息对应。

结合本发明实施例第三方面,本发明实施例第三方面的第三种实现方式中,

所述终端将类型信息传递给配置设备包括：

所述终端生成二维码，所述二维码包含有所述类型信息；

或，

所述终端建立与所述配置设备的近距离无线通讯技术nfc连接；

所述终端通过所述nfc将所述类型信息发送给所述配置设备。

结合本发明实施例第三方面至本发明实施例第三方面的第三种实现方式任一项所述的方法,本发明实施例第三方面的第四种实现方式中,

所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息包括：

本发明实施例第四方面提供了一种第一终端，包括：

第一接收单元，用于接收配置设备发送的所述配置设备的签名公钥；

第二接收单元，用于接收第二签名信息和第二类型信息，所述第二签名信息为所述配置设备发送给第二终端的签名信息，所述第二签名信息由配置设备至少根据所述第二类型信息和所述配置设备的签名私钥生成，所述第二类型信息为所述第二终端的角色类型信息，和/或，所述第二终端能够连接的角色类型信息，所述配置设备的签名公钥和所述配置设备的签名私钥对应；

第一确定单元，用于至少根据所述第二类型信息和所述第二签名信息确定生成密钥信息，所述密钥信息用于第一终端与第二终端建立安全连接。

结合本发明实施例第四方面,本发明实施例第四方面的第一种实现方式中,

所述第一终端还包括：

第三接收单元，用于接收所述配置设备发送的第一签名信息，所述第一签名信息由所述配置设备至少根据所述第一类型信息和签名私钥生成，所述第一类型信息为所述第一终端的角色类型信息，和/或，所述第一终端能够连接的角色类型信息。

结合本发明实施例第四方面的第一种实现方式,本发明实施例第四方面的第二种实现方式中,

所述第一终端的角色类型信息，和/或，所述第一终端能够连接的角色类型信息包括：

结合本发明实施例第四方面的第二种实现方式,本发明实施例第四方面的第三种实现方式中,

所述第二终端的角色类型信息，和/或，所述第二终端能够连接的角色类型信息包括：

结合本发明实施例第四方面的第三种实现方式,本发明实施例第四方面的第四种实现方式中,

所述第一确定单元还用于，在确定所述第一类型信息和所述第二类型信息相匹配，并且所述第一终端确认所述第二签名信息匹配所述第二类型信息，则所述第一终端确定生成生成密钥信息。

结合本发明实施例第四方面的第四种实现方式,本发明实施例第四方面的第五种实现方式中,

所述第一终端还包括：

第一生成单元，用于生成所述密钥信息。

结合本发明实施例第四方面的第五种实现方式,本发明实施例第四方面的第六种实现方式中,

所述第一终端还包括：

第一发送单元，用于将所述第一签名信息发送给所述第二终端。

本发明实施例第五方面提供了一种配置设备，包括：

第四接收单元，用于获得所述终端的类型信息，所述类型信息为终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

第二生成单元，用于至少根据所述类型信息和所述配置设备的签名私钥生成签名信息；

第二发送单元，用于将所述签名信息和所述配置设备的签名公钥发送给所述终端，所述配置设备的签名公钥与所述配置设备的签名私钥相对应。

结合本发明实施例第五方面,本发明实施例第五方面的第一种实现方式中,

所述第四接收单元还用于，接收所述终端发送的指示消息，所述指示消息包含所述类型信息。

结合本发明实施例第五方面,本发明实施例第五方面的第二种实现方式中,

所述第四接收单元包括：

接收模块，用于接收所述终端发送的发现消息；

确定模块，用于根据所述发现消息确定所述类型信息，且所述发现消息与所述类型信息对应。

结合本发明实施例第五方面,本发明实施例第五方面的第三种实现方式中,

所述第四接收单元还用于，接收用户输入的操作指令，所述操作指令用于指示所述类型信息。

结合本发明实施例第五方面,本发明实施例第五方面的第四种实现方式中,

所述第四接收单元还用于，扫描所述终端中包含的所述类型信息的二维码；

或，

所述第四接收单元还用于，建立与所述终端的近距离无线通讯技术nfc连接以获取所述类型信息。

结合本发明实施例第五方面至本发明实施例第五方面的第四种实现方式的任意一种方式，本发明实施例第五方面的第五种实现方式中,

所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息包括：

结合本发明实施例第五方面至本发明实施例第五方面的第五种实现方式的任意一种方式,本发明实施例第五方面的第六种实现方式中,

所述签名信息还包括第一哈希值，所述第一哈希值为所述配置设备至少对所述类型信息进行哈希运算所生成的哈希值。

本发明实施例第六方面提供一种终端，包括：

第三发送单元，用于将所述终端的类型信息传递给配置设备，所述类型信息为所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

第五接收单元，用于接收所述配置设备发送的签名信息和所述配置设备的签名公钥，所述签名信息为所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成，所述配置设备的签名公钥和所述配置设备的签名私钥对应。

结合本发明实施例第六方面,本发明实施例第六方面的第一种实现方式中,

所述第三发送单元包括：

第一生成模块，用于生成指示消息，所述指示消息包含有所述类型信息；

第二发送模块，用于将所述指示消息发送给所述配置设备。

结合本发明实施例第六方面,本发明实施例第六方面的第二种实现方式中,

所述第三发送单元包括：

第二生成模块，用于生成发现消息；

第三发送模块，用于将所述发现消息发送给所述配置设备，所述发现消息与所述类型信息对应。

结合本发明实施例第六方面,本发明实施例第六方面的第三种实现方式中,

所述第三发送单元包括：

第三生成模块，用于生成二维码，所述二维码包含有所述类型信息；

或，

所述第三发送单元包括：

建立模块，用于建立与所述配置设备的近距离无线通讯技术nfc连接；

第四发送模块，用于通过所述nfc将所述类型信息发送给所述配置设备。

结合本发明实施例第六方面至发明实施例第六方面的第三种实现方式任一项所述的终端，本发明实施例第六方面的第四种实现方式中,

所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息包括：

本发明实施例第七方面,提供了一种第一终端，

包括接收器、发送器和处理器，且所述处理器分别和所述接收器和所述发送器连接；

所述接收器，用于接收配置设备发送的所述配置设备的签名公钥；

所述接收器，用于接收第二签名信息和第二类型信息，所述第二签名信息为所述配置设备发送给第二终端的签名信息，所述第二签名信息由配置设备至少根据所述第二类型信息和所述配置设备的签名私钥生成，所述第二类型信息为所述第二终端的角色类型信息，和/或，所述第二终端能够连接的角色类型信息，所述配置设备的签名公钥和所述配置设备的签名私钥对应；

所述处理器，用于至少根据所述第二类型信息和所述第二签名信息确定所述第一终端生成密钥信息，所述密钥信息用于第一终端与第二终端建立安全连接。

结合本发明实施例第七方面,本发明实施例第七方面的第一种实现方式中,

所述接收器，用于接收所述配置设备发送的第一签名信息，所述第一签名信息由所述配置设备至少根据所述第一类型信息和签名私钥生成，所述第一类型信息为所述第一终端的角色类型信息，和/或，所述第一终端能够连接的角色类型信息。

结合本发明实施例第七方面,本发明实施例第七方面的第二种实现方式中,

所述第一终端的角色类型信息，和/或，所述第一终端能够连接的角色类型信息包括：

结合本发明实施例第七方面的第二种实现方式,本发明实施例第七方面的第三种实现方式中,

所述第二终端的角色类型信息，和/或，所述第二终端能够连接的角色类型信息包括：

结合本发明实施例第七方面的第三种实现方式,本发明实施例第七方面的第四种实现方式中,

所述处理器，用于在确定所述第一类型信息和所述第二类型信息相匹配，并且所述第一终端确认所述第二签名信息匹配所述第二类型信息，则确定生成生成密钥信息。

结合本发明实施例第七方面的第四种实现方式,本发明实施例第七方面的第五种实现方式中,

所述处理器，用于生成所述密钥信息。

结合本发明实施例第七方面的第五种实现方式,本发明实施例第七方面的第六种实现方式中,

所述发送器，用于将所述第一签名信息发送给所述第二终端。

本发明第八方面提供了一种配置设备，

包括发送器、接收器和处理器，且所述处理器分别和所述发送器和所述接收器连接；

所述接收器，用于获得所述终端的类型信息，所述类型信息为终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

所述处理器，用于至少根据所述类型信息和所述配置设备的签名私钥生成签名信息；

所述发送器，用于将所述签名信息和所述配置设备的签名公钥发送给所述终端，所述配置设备的签名公钥与所述配置设备的签名私钥相对应。

结合本发明八方面,本发明八方面的第一种实现方式中,

所述接收器，用于接收所述终端发送的指示消息，所述指示消息包含所述类型信息。

结合本发明八方面的第一种实现方式,本发明八方面的第二种实现方式中,

所述接收器，用于接收所述终端发送的发现消息；

所述处理器，用于根据所述发现消息确定所述类型信息，且所述发现消息与所述类型信息对应。

结合本发明第八方面,本发明八方面的第三种实现方式中,

所述接收器，用于接收用户输入的操作指令，所述操作指令用于指示所述类型信息。

结合本发明第八方面,本发明八方面的第四种实现方式中,

所述接收器，用于扫描所述终端中包含的所述类型信息的二维码；

或，

所述接收器，用于建立与所述终端的近距离无线通讯技术nfc连接以获取所述类型信息。

结合本发明第八方面至本发明八方面的第四种实现方式中任一项所述的配置设备，本发明八方面的第五种实现方式中,

所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息包括：

结合本发明第八方面至本发明八方面的第五种实现方式中任一项所述的配置设备，本发明八方面的第六种实现方式中,

所述签名信息还包括第一哈希值，所述第一哈希值为所述配置设备至少对所述类型信息进行哈希运算所生成的哈希值。

结合本发明第九方面提供了一种终端，

包括：发送器、接收器和处理器，其中，所述处理器分别和所述发送器和所述接收器连接；

发送器，用于将所述终端的类型信息传递给配置设备，所述类型信息为所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

接收器，用于接收所述配置设备发送的签名信息和所述配置设备的签名公钥，所述签名信息为所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成，所述配置设备的签名公钥和所述配置设备的签名私钥对应。

结合本发明第九方面,本发明第九方面的第一种实现方式中,

所述处理器，用于生成指示消息，所述指示消息包含有所述类型信息；

所述发送器，用于将所述指示消息发送给所述配置设备。

结合本发明第九方面,本发明第九方面的第二种实现方式中,

所处理器，用于生成发现消息；

所述发送器，用于将所述发现消息发送给所述配置设备，所述发现消息与所述类型信息对应。

结合本发明第九方面,本发明第九方面的第三种实现方式中,

所述处理器，用于生成二维码，所述二维码包含有所述类型信息；

或，

所述处理器，用于建立与所述配置设备的近距离无线通讯技术nfc连接；

所述发送器，用于通过所述nfc将所述类型信息发送给所述配置设备。

结合本发明第九方面至本发明第九方面的第三种实现方式任一项所述的终端,本发明第九方面的第四种实现方式中,

所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息包括：

通过本实施例所提供的一种安全认证方法、配置方法以及相关设备，在建立第一终端与第二终端安全连接的过程中，所述第一终端不仅需要根据第二签名信息中所包含的用于建立连接的信息进行验证，且所述第一终端还需验证所述第二终端的类型信息，只有在验证通过的情况下，所述第一终端才会建立所述第一终端与所述第二终端的安全连接，有效的避免了终端对角色的篡改，从而有效的避免了终端与更改了角色的攻击终端建立连接，进而避免攻击终端获取终端的信息，有效的保障了终端的安全。

附图说明

图1为本发明实施例所提供的安全认证方法的一种步骤流程图；

图2为本发明实施例所提供的安全认证方法的另一种步骤流程图；

图3为本发明实施例所提供的配置方法的一种步骤流程图；

图4为本发明实施例所提供的配置方法的另一种步骤流程图；

图5为本发明实施例所提供的第一终端的一种结构示意图；

图6为本发明实施例所提供的第一终端的另一种结构示意图；

图7为本发明实施例所提供的配置设备的一种结构示意图；

图8为本发明实施例所提供的配置设备的另一种结构示意图；

图9为本发明实施例所提供的终端的一种结构示意图；

图10为本发明实施例所提供的终端的另一种结构示意图；

图11为本发明实施例所提供的第一终端的另一种结构示意图；

图12为本发明实施例所提供的配置设备的另一种结构示意图；

图13为本发明实施例所提供的终端的另一种结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

当本发明实施例提及“第一”、“第二”等序数词时，除非根据上下文其确实表达顺序之意，应当理解为仅仅起区分的作用。

图1为本发明实施例所提供的一种安全认证方法的步骤流程图，下面按照图1所示对本发明实施例所提供的安全认证方法进行详细说明，本发明实施例提供的安全认证方法包括：

101、第一终端接收配置设备发送的所述配置设备的签名公钥。

其中，配置器是对终端进行配置的设备，以使得配置后的终端可以和其他终端建立安全连接。

102、所述第一终端接收第二签名信息和第二类型信息；

其中，所述第二类型信息为所述第二终端的角色类型信息。

即：第二类型信息可为第二终端的角色类型信息、第二类型信息还可为第二终端的角色类型信息和第二终端能够连接的角色类型信息、第二类型信息还可为第二终端能够连接的角色类型信息。

所述第二类型信息由所述第二终端发送给所述第一终端。

所述第二签名信息为所述配置设备发送给第二终端的签名信息，所述第二签名信息由配置设备至少根据所述第二类型信息和所述终端的签名私钥生成。

具体的，配置设备可以对所述第二类型信息进行哈希运算，并利用所述签名私钥对哈希运算的结果进行加密从而形成所述第二签名信息。

所述配置设备的签名公钥和所述配置设备的签名私钥对应。

用于第一终端能够利用配置设备的签名公钥对经过所述签名私钥加密的所述第二签名信息进行解密。

103、所述第一终端至少根据所述第二类型信息和所述第二签名信息确定所述第一终端生成密钥信息；

所述密钥信息用于第一终端与第二终端建立安全连接。

本实施例对所述第一终端具体如何根据所述第二类型信息和所述第二签名信息确定所述密钥信息的不做限定，只要所述第一终端能够确定所述第二终端角色类型信息。

可选的，在其他实施例中，只要所述第二终端能够连接的角色类型信息的情况下，建立所述第一终端与所述第二终端的安全连接即可。

第一终端可以根据预设条件判断第一终端与第二终端的连接是否能够通过验证，其中，预设条件包括：第二类型信息和第二签名签名信息。预设条件还可以包括：配置器的信息，例如：网络标识(networkid)、对端密钥(peerkey)等。

当第一终端判断第二终端发送的信息符合预设条件时，确定第二终端的连接请求通过认证，则第一终端生成密钥信息，以指示第一终端可以与第二终端建立安全连接。

具体的，用于建立所述第一终端与所述第二终端安全连接的所述密钥信息为现有技术，所述第一终端具体如何通过所述密钥信息建立所述第一终端与所述第二终端的安全连接亦为现有技术，具体在本实施例中不做赘述。

本实施例中，在所述第一终端与所述第二终端建立安全连接的过程中，所述第一终端不仅需要根据第二签名信息中所包含的用于建立连接的信息进行验证，且所述第一终端还需验证所述第二终端的类型信息，只有在验证通过的情况下，所述第一终端才会与所述第二终端建立安全连接，有效的避免了终端对角色的篡改，从而有效的避免了终端与更改了角色的攻击终端建立连接，进而避免攻击终端获取终端的信息，有效的保障了终端的安全。

图2为本发明实施例安全认证方法的另一种步骤流程图，用于具体说明所述第一终端具体是如何对第二终端进行安全认证，从而建立所述第一终端与所述第二终端的安全连接的。

201、所述第一终端接收所述配置设备发送的第一签名信息和所述配置设备的签名公钥；

所述第一签名信息由所述配置设备至少根据所述第一类型信息和所述配置设备的签名私钥生成；

所述第一类型信息为所述第一终端的角色类型信息。

可选的，所述第一类型信息还可为所述第一终端能够连接的角色类型信息。

具体的，所述第一终端的角色类型信息。

和/或，所述第一终端能够连接的角色类型信息可为以下类型信息的任一项：

站点sta，接入点ap，点对点组长设备p2pgo，点对点客户设备p2pclient，锚主设备master，非锚主设备non-master，中继器repeater，码中心设备dockcenter，非码中心设备dockee，外设peripheral，源设备source，目标设备sink，服务集标识(ssid，servicesetidentifier)，媒体访问控制地址(mac，mediaaccesscontrol)，接入设备enrollee等。

需明确的是，以上仅为对所述第一终端的角色类型信息的示例性说明。

具体的，本实施例中，所述第一终端的角色类型信息和所述第一终端能够连接的角色类型信息为相互对应的两个角色类型信息，且相互对应角色的两个终端能够建立连接。

需要说明的是，相互对应的两个角色的类型信息可为：sta对应ap、p2pgo对应p2pclient、master对应non-master、sta对应repeater、ap对应repeater。

例如，若所述第一终端的角色类型信息为ap，则所述第一终端能够连接的角色类型信息为sta，反之，若所述第一终端能够连接的角色类型信息为ap，则所述第一终端的角色类型信息为sta；

若第一终端的角色类型信息为repeater，则该第一终端能够连接的角色类型信息可为sta，也可为ap。

进一步的，若所述第一终端的角色类型信息为所述第一终端支持的能力，则所述第一终端能够连接的角色类型信息也为对应的第一终端支持的能力。

例如，所述第一终端的角色类型信息为所述第一终端能够支持p2p的设备，那么所述第一终端能够连接的角色类型信息为支持所述p2p的设备；

所述第一终端的角色类型信息为所述第一终端能够支持临近感知网络nan的设备，那么所述第一终端能够连接的角色类型信息为支持所述临近感知网络nan的设备；所述第一终端的角色类型信息为支持某基站子系统bss的设备，那么所述第一终端能够连接的角色类型信息为支持所述基站子系统bss的设备；

更具体的，若所述第一终端的角色类型信息为所述第一终端支持的某服务信息，则所述第一终端能够连接的角色类型信息也为对应的第一终端支持的某服务信息。

202、所述第一终端接收第二签名信息和第二类型信息；

所述第二签名信息由配置设备至少根据所述第二类型信息和所述配置设备的签名私钥生成，并由配置设备发送给第二终端，且，所述配置设备的签名公钥和所述配置设备的签名私钥对应。

所述第一终端还接收第二终端发送第二终端的公钥，用以生成密钥信息。

具体的，当所述第二终端要建立与所述第一终端的连接时，所述第二终端将第二签名信息和第二类型信息发送给所述第一终端。

其中，所述第二类型信息为所述第二终端的角色类型信息，和/或，所述第二终端能够连接的角色类型信息；

具体的，所述第二终端的角色类型信息，和/或，所述第二终端能够连接的角色类型信息可为以下类型信息的任一项：

此处对所述第二终端的角色类型信息，和/或，所述第二终端能够连接的角色类型信息的具体说明请详见步骤201中，对所述第一终端的角色类型信息，和/或，所述第一终端能够连接的角色类型信息的说明，此处不再赘述。

203、所述第一终端确定所述第一类型信息和所述第二类型信息相匹配，且第一终端确认所述第二签名信息与所述第二类型信息相匹配，则第一终端确定生成密钥信息。

具体的，若所述第一终端确定所述第二类型信息为所述第二终端能够连接的角色类型信息，且所述第一终端确定所述第一类型信息为所述第一终端能够连接的角色类型信息，若所述第二终端能够连接能够连接的角色类型信息与所述第一终端能够确定所述第一终端能够连接的角色类型信息相匹配，则说明所述第一终端和所述第二终端相匹配；

例如，所述第二终端能够连接能够连接的角色类型信息为sta，而所述第一终端能够连接的角色类型信息为ap，则说明所述第一终端和所述第二终端相匹配。

具体的，若所述第一终端确定所述第二类型信息为所述第二终端的角色类型信息，且所述第一终端确定所述第一类型信息为所述第一终端的角色类型信息，若所述第二终端的角色类型信息与所述第一终端的角色类型信息相匹配，则说明所述第一终端和所述第二终端相匹配；

例如，所述第一终端确定所述第二终端的角色类型信息为ap，所述第一终端确定所述第一终端的角色类型信息为sta，则说明所述第一终端和所述第二终端相匹配。

具体的，若所述第一终端确定所述第二类型信息为所述第二终端能够连接的角色类型信息，且所述第一终端确定所述第一类型信息为所述第一终端的角色类型信息，若所述第二终端能够连接能够连接的角色类型信息与所述第一终端的角色类型信息相匹配，则说明所述第一终端和所述第二终端相匹配；

例如，所述第二终端能够连接能够连接的角色类型信息为ap，所述第一终端的角色类型信息为ap，则说明所述第一终端和所述第二终端相匹配；

上述示例以设备角色类型对应关系为：sta对应ap为示例以说明如何确定所述第一类型信息和所述第二类型信息相匹配进行示例说明，设备角色类型对应关系为p2pgo对应p2pclient、master对应non-master、sta对应repeater、ap对应repeater时，确定是否匹配的过程与sta对应ap相同，具体不再赘述。

还例如，若所述第一终端确定所述第二类型信息为所述第二终端的角色类型信息，且所述第二终端的角色类型信息为p2p设备，所述第二终端能够连接的角色类型信息是p2p设备，两者是相同的，则第一终端确定所述第一终端的角色类型信息是否是p2p设备即可，若第一终端的角色类型信息是p2p设备，则说明所述第一终端和所述第二终端相匹配；

还例如，若所述第一终端确定所述第二类型信息为所述第二终端角色类型信息，且所述第二终端角色类型信息为所述第二终端能够支持的服务，所述第一终端能够确定所述第一终端的角色类型信息为所述第一终端能够支持的服务，若所述第一终端确定所述第一终端能够支持的服务与所述第二终端能够支持的服务相同，则说明所述第一终端和所述第二终端相匹配。

具体的，判断第二签名信息与第二类型信息相匹配，包括：

所述第一终端至少对所述第二类型信息进行哈希运算以生成第二哈希值。

其中，哈希运算为现有技术，具体在本实施例中不做赘述。

所述第一终端通过所述签名公钥对所述第二签名信息进行解密以获取第一哈希值；

具体的，所述第一哈希值为所述配置设备至少对所述第二类型信息进行哈希运算所生成的哈希值；所述第一终端能够通过所述签名公钥对所述第二签名信息进行解密以获取到的第一哈希值。

所述第一终端确定第一哈希值是否等于所述第二哈希值，即第一终端确认第二签名信息是否与第二类型信息相匹。

具体的，所述配置设备对第一预定信息生成所述第一哈希值，所述第一终端对第二预定信息生成第二哈希值，当所述第一预定信息等于所述第二预定信息时，所述第一哈希值等于第二哈希值。

需明确的是，上述执行过程中，所述第一终端所述第一终端通过步骤203确定所述第一类型信息和所述第二类型信息相匹配。

本发明实施例中，对于计算哈希值的步骤，以及第一类型信息与第二类型信息是否匹配的步骤的执行步骤可以更换；当在所述第一类型信息和所述第二类型信息相匹配，且第一终端确认第二签名信息与第二类型信息相匹配时，第一终端确定第二终端通过认证，第一终端生成密钥。

本实施例中，所述第一终端生成所述密钥信息时，所述第一终端至少基于所述第一类型信息和所述第二类型信息相匹配以及所述第一哈希值等于所述第二哈希值；

即在具体应用过程中，所述第一终端在生成所述密钥信息前，还可进行其他验证，具体在本实施例中不做限定；

即在具体应用过程中，所述第一终端在生成所述密钥信息前，还可进行其他验证，比如netid，peerkey等信息，具体在本实施例中不做限定；

例如所述第一终端接收第二设备发送的携带有上述信息的消息；

消息包含如下信息：

netid，peerkey，所述第二终端能够连接的角色类型信息；

netkey，所述第二终端的角色类型信息。

所述消息可以是action消息，修改现有802.11中的消息，或，新定义的消息。

所述第一终端接收到所述第二终端发送的所述第二签名信息后，所述第一终端验证net-id是否与所述第一终端的net-id相同，并检查peerkey是否匹配peer’snetworkkey(即，所述第一终端的networkkey)，或，匹配wildcard。

其中，对公钥peerkey进行验证的具体过程请详见现有技术所示，另外验证这些信息的签名信息具体过程请详见现有技术所示，具体不再赘述。

即所述第一终端至少基于所述第一类型信息和所述第二类型信息相匹配以及所述第一哈希值等于所述第二哈希值时，所述第一终端生成成对主密钥pmk。

208、所述第一终端将所述第一签名信息发送给所述第二终端。

本实施例中，，所述第一终端可将所述第一签名消息发送给所述第二终端。

209、所述第一终端根据所述密钥信息建立所述第一终端与所述第二终端的安全连接；

具体的，所述第一终端利用所述第二终端的所述公钥netkey和所述第一终端的私钥生成所述pmk，从而根据所述pmk建立所述第一终端与所述第二终端的安全连接。

采用本实施例所示的安全认证方法，在建立所述第一终端与所述第二终端安全连接的过程中，所述第一终端不仅需要根据第二签名信息中所包含的用于建立连接的信息进行验证，且所述第一终端还需验证所述第二类型信息，在确定所述第一类型信息和所述第二类型信息匹配，且在确定所述第二签名信息正确的情况下，所述第一终端建立所述第一终端与所述第二终端的安全连接，有效的避免了终端对角色的篡改，从而有效的避免了终端与更改了角色的攻击终端建立连接，进而避免攻击终端获取终端的信息，有效的保障了终端的安全。

上述过程中，所述第一终端通过第二终端发送的第二类型信息确定所述第二终端的角色类型信息，和/或，所述第二终端能够连接的角色类型信息为一种示例，不做限定；

例如，所述第一终端与所述第二终端之间执行发现过程，所述第一终端通过此过程获得所述第二终端的角色类型信息和/或，所述第二终端能够连接的角色类型信息；

而在此过程中，所述第二终端亦可获得所述第一终端的角色类型信息和/或，所述第一终端能够连接的角色类型信息；

比如执行802.11过程，所述第二终端作为sta发送proberequest给所述第一终端，所述第一终端作为ap响应response。

所述第一终端可以获得所述第二终端的角色类型信息，和/或，所述第二终端能够连接的角色类型信息，同样第二终端亦可获得所述第一终端的角色类型信息，和/或，所述第一终端能够连接的角色类型信息；

因为这些发现过程中，终端的角色类型信息不同，则发送的消息也不同，可以通过终端发送的消息判断出终端的角色类型信息，和/或，能够连接的角色类型信息。

图1至图2所示的实施例说明了如何建立所述第一终端与所述第二终端如何进行安全认证以进行安全连接的，以下结合图3所示说明配置设备是如何对终端进行配置，以使配置后的终端能够建立与其他终端的安全连接关系的；

其中，图3为本发明实施例所提供的配置方法的一种步骤流程图；

301、终端将所述终端的类型信息传递给配置设备；

所述类型信息为所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

本实施例中，对所述终端具体如何将所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息传递给配置设备的不做限定，只要所述配置设备能够获取到所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息即可。

302、配置设备获得所述终端的类型信息；

所述类型信息为终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

本实施例对所述配置设备具体如何获得终端的角色类型信息，和/或，所述终端能够连接的角色类型信息的不做限定；

本实施例中，配置设备可以仅获取终端的角色类型信息，还可以获取终端的角色类型信息和终端能够连接的角色类型信息，也可以仅获取终端能够连接的角色类型信息。

本实施例中，对所述配置设备所获取到的所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息不做限定；

具体的，所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息可为以下类型信息的任一项，需明确的是，以下对所述终端的角色类型信息仅仅为示例性的说明，不做限定；

站点sta，接入点ap，点对点组长设备p2pgo，点对点客户设备p2pclient，锚主设备master，非锚主设备non-master，中继器repeater，码中心设备dockcenter，非码中心设备dockee，外设peripheral，源设备source，目标设备sink，ssid服务集标识(servicesetidentifier)，mac媒体访问控制地址，接入设备enrollee；

具体的，本实施例中，所述终端的角色类型信息和所述终端能够连接的角色类型信息为相互对应的两个角色类型信息，且相互对应的两个终端能够建立连接；

例如，若所述终端的角色类型信息为ap，则所述终端能够连接的角色类型信息为sta，反之，若所述终端能够连接的角色类型信息为ap，则所述终端的角色类型信息为sta；

还例如，相互对应的两个角色类型信息可为：sta对应ap、p2pgo对应p2pclient、master对应non-master、sta对应repeater、ap对应repeater；

具体的，若终端的角色类型信息为repeater，则该终端能够连接的角色类型信息可为sta，也可为ap；

更具体的，若所述终端的角色类型信息为所述终端支持的能力，则所述终端能够连接的角色类型信息也为对应的终端支持的能力；

例如，所述终端的角色类型信息为所述终端能够支持p2p的设备，那么所述终端能够连接的角色类型信息为支持所述p2p的设备；

还例如，所述终端的角色类型信息为所述终端能够支持临近感知网络nan的设备，那么所述终端能够连接的角色类型信息为支持所述临近感知网络nan的设备；

还例如，所述终端的角色类型信息为支持某基站子系统bss的设备，那么所述终端能够连接的角色类型信息为支持所述基站子系统bss的设备；

更具体的，若所述终端的角色类型信息为所述终端支持的某服务信息，则所述终端能够连接的角色类型信息也为对应的终端支持的某服务信息。

303、所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成签名信息；

具体的，所述配置设备至少将所述类型信息进行哈希运算以生成哈希值，并将已生成的哈希值通过签名私钥进行加密以生成所述签名信息；

需明确的是，具体如何根据签名私钥生成所述签名信息为现有技术，具体在本实施例中不做赘述。

304、所述配置设备将所述签名信息和所述配置设备的签名公钥发送给所述终端；

本实施例中，对所述配置设备具体如何发送所述签名信息和所述签名公钥的不做限定；

例如，所述配置设备可将所述签名信息和所述签名公钥作为独立的两个消息或一个消息同时发送给终端，通过同一消息发送给终端，还可以或将所述签名信息和所述签名公钥先后分别发送至所述终端，具体不做限定；

305、所述终端接收所述配置设备发送的签名信息和所述配置设备的签名公钥；

所述签名信息为所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成；

其中，所述配置设备的签名公钥与所述配置设备的签名私钥相对应，以使接收到所述签名公钥的终端能够对经过所述签名私钥加密的所述签名信息进行解密处理。

当所述终端接收到所述配置设备发送的签名信息和所述配置设备的签名公钥则完成所述配置设备对所述终端的配置，从而使得终端能够基于所述配置设备的配置以进行图1至图2所示的安全认证的过程。

采用本实施例所示的配置方法，所述配置设备向终端发送签名信息和所述配置设备的签名公钥，从而使得终端在需要接入到其他终端时，终端能够将配置设备发送的所述签名信息和自己的类型信息发送给其他终端，进而使得其他终端不仅仅要验证所述签名信息是否正确，还需要验证终端之间是否匹配，只有两个终端的类型信息相互匹配且所述签名信息正确时，才会建立两个终端之间的安全连接关系，有效的避免了终端对角色的篡改，从而有效的避免了终端与更改了角色的攻击终端建立连接，进而避免攻击终端获取终端的信息，有效的保障了终端的安全。

以下结合图4所示对配置设备具体如何对终端进行配置的进行详细说明，其中，图4为本发明实施例所提供的配置方法的另一种步骤流程图；

401、所述配置设备获取所述终端的第一dh公钥；

具体的，所述终端拥有用于进行密钥交换的第一dh公钥和第一dh私钥，配置设备拥有用于进行密钥交换的第二dh公钥和第二dh私钥；

所述配置设备获取所述第一dh公钥的方式可为：所述配置设备扫描所述终端包含有所述第一dh公钥的二维码，或者，所述终端将其拥有的第一dh公钥发送给所述配置设备，具体不做限定；

402、配置设备将第二dh公钥发送给终端；

403、配置设备生成第二交互密钥；

具体的，所述配置设备根据所述第一dh公钥和所述第二dh私钥通过密钥交换算法计算第二交互密钥；

所述密钥交互算法可为dh算法或ecdh算法，具体请详见现有技术所示，具体不再赘述；

404、所述终端生成第一交互密钥；

具体的，所述终端根据所述第二dh公钥和所述第一dh私钥通过所述密钥交换计算所述第一交互密钥；

405、所述配置设备和所述终端建立安全连接；

具体的，因所述第一交互密钥和所述第二交互密钥为对等的，基于这个对等密钥，或，对等密钥的衍生密钥，所述配置设备即可与所述终端建立安全连接。

本实施例中，对所述配置设备具体何时获得终端的类型信息的不做限定；

例如，所述配置设备在可所述配置设备与所述终端建立安全连接的过程中获取终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

还例如，所述配置设备在可所述配置设备与所述终端建立安全连接成功后，获取终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

以下首先说明所述配置设备如何在所述配置设备与所述终端建立安全连接的过程中获取所述类型信息的进行说明：

所述配置设备获取所述终端的身份公钥；

具体的，所述配置设备获取所述终端qr-code中的身份公钥identitykey；

更具体的，所述配置设备获取所述终端的身份公钥的具体方式不做限定，例如，所述终端可通过包含有所述身份公钥的消息发送给所述配置设备，或者，所述配置设备扫描所述终端包含有所述身份公钥的二维码等方式；

所述配置设备将与所述身份公钥对应的第一目标哈希值发送给所述终端；

具体的，所述配置设备对所述身份公钥进行哈希运算以生成所述第一目标哈希值；

更具体的，所述配置设备和通过包含有所述第一目标哈希值的消息dppauthenticationrequest发送给所述终端；

其中，所述dppauthenticationrequest可为：h(ei),h(ci),ce,{c-nonce}k1→

其中，h(ei)为利用所述终端的身份公钥identitykey生成所述第一目标哈希值，h(ci)为所述配置设备的身份公钥identitykey生成哈希值；

若所述终端确定所述第一目标哈希值满足预设要求，则所述终端生成响应消息；

具体的，所述终端接收到所述消息dppauthenticationrequest后，所述终端对所述终端的身份公钥进行哈希运算以生成第二目标哈希值；

所述预设要求为所述第一目标哈希值等于所述第二目标哈希值；

所述响应消息dppauthenticationresponse可为：dppauthenticationresponse：←h(ei),[h(ci),]{e-nonce|c-nonce|en}k1,{e-auth}ke；

且本实施例所示的响应消息还携带有所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

所述终端将所述响应消息发送给所述配置设备；

所述配置设备根据所述响应消息即可确定所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

所述配置设备在确定了所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息后，则向所述终端发送确认消息；

所述确认消息为dppauthenticationconfirm：h(ei),[h(ci),]{c-auth}ke→

本实施例以配置设备在可所述配置设备与所述终端建立安全连接成功后，获取终端的角色类型信息，和/或，所述终端能够连接的角色类型信息为例进行说明：

即在执行了步骤401至步骤405以使所述配置设备和终端建立了安全连接后，则执行步骤406；

406、所述配置设备获得所述终端的类型信息；

所述终端的类型信息为所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

本实施例中，所述配置设备获得终端的角色类型信息，和/或，所述终端能够连接的角色类型信息的方式有以下几种情况，需明确的是，以下对所述配置设备获得终端的角色类型信息，和/或，所述终端能够连接的角色类型信息的方式为示例性的说明，不做限定：

一种、所述配置设备接收所述终端发送的指示消息；

其中，所述终端能够在所述指示消息里指示所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息。

另一种、所述配置设备接收所述终端发送的发现消息；

所述配置设备根据所述发现消息确定所述类型信息；

其中，所述发现消息与所述类型信息对应；

例如，所述配置设备与终端之间执行发现过程，配置设备通过此过程获得终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

比如执行802.11过程，若所述配置设备确定所接收到的发现消息为proberequest，则所述配置设备即可确定所述终端的角色类型信息为sta，和/或，所述配置设备能够确定所述终端能够连接的角色类型信息为ap；

若所述配置设备所接收到的发现消息为response，则所述配置设备即可确定所述终端的角色类型信息为ap，和/或，所述配置设备能够确定所述终端能够连接的角色类型信息为sta；

所述配置设备采用本种确定方式的原因在于，因为这些发现过程中，终端的角色不同，发送的发现消息也会不同，从而使得配置设备可以通过终端发送的发现消息的不同判断出终端的角色类型信息，和/或，所述终端能够连接的角色类型信息。

另一种、所述配置设备设置有操作界面，用户可通过所述操作界面输入操作指令，以使用户通过所述操作指令直接指示所述类型信息。

比如：用户选择输入配置设备到网络中，配置器获得终端设备的角色类型为sta，能连接的设备类型为ap，比如用户选择输入配置网络，配置器获得终端设备的角色类型为ap，能连接的设备类型为sta。

另一种，所述配置设备可扫描所述终端的二维码，所述终端的二维码里包含有所述类型信息，以使配置设备通过扫描所述二维码能够直接获取所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息。

另一种，所述配置设备建立与所述终端的近距离无线通讯技术nfc连接，从而使得所述配置设备能够通过所述nfc连接以获取所述类型信息。

407、所述终端设备将公钥netkey传递给配置设备；

408、所述配置设备生成配置消息；

本实施例中，所述配置消息至少包括公钥netkey、所述配置设备的签名公钥和所述终端的所述类型信息；

当然，所述配置消息里还可包括其他内容，具体在本实施例中不做限定；

具体的，所述配置消息dppconfigurationresponse可为：{net-id,cruft,c-name,c-sign-key,connector,[connector…][,configurators][,introducers]}ke→

其中，字段connector::＝

sequence{

netidinteger,

peerkeysubjectpublickeyinfo，

所述终端能够连接的角色类型信息，

netkeysubjectpublickeyinfo,

所述终端的角色类型信息，

introducerdirectorystring}

409、所述配置设备对所述配置信息进行哈希运算；

410、所述配置设备确定签名信息。

其中，所述签名信息为经过哈希运算后的所述配置信息通过所述配置设备的签名私钥进行加密所形成的。

其中，哈希hash运算为一种散列算法，hash算法可以将输入一些数经过hash运算后生成另外一些数，并且具有单向性。

具体的，本实施例中，所述签名信息包括第一哈希值，所述第一哈希值为所述配置设备对所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息进行哈希运算所生成的哈希值。

以下结合图5所示对能够实现图1所示的安全认证方法的第一终端的具体结构进行详细说明，其中，图5为本发明实施例所提供的第一终端的一种结构示意图；

所述第一终端包括：

第一接收单元501，用于接收配置设备发送的所述配置设备的签名公钥；

第二接收单元502，用于接收第二签名信息和第二类型信息，所述第二签名信息为所述配置设备发送给第二终端的签名信息，所述第二签名信息由配置设备至少根据所述第二类型信息和所述配置设备的签名私钥生成，所述第二类型信息为所述第二终端的角色类型信息，和/或，所述第二终端能够连接的角色类型信息，所述配置设备的签名公钥和所述配置设备的签名私钥对应；

第一确定单元503，用于至少根据所述第二类型信息和所述第二签名信息确定生成密钥信息，所述密钥信息用于第一终端与第二终端建立安全连接。

本实施例中，在建立所述第一终端与所述第二终端安全连接的过程中，所述第一终端不仅需要根据第二签名信息中所包含的用于建立连接的信息进行验证，且所述第一终端还需验证所述第二终端的类型信息，只有在验证通过的情况下，所述第一终端才会建立所述第一终端与所述第二终端的安全连接，有效的避免了终端对角色的篡改，从而有效的避免了终端与更改了角色的攻击终端建立连接，进而避免攻击终端获取终端的信息，有效的保障了终端的安全。

以下结合图6所示对能够实现图2所示的安全认证方法的第一终端的具体结构进行详细说明，其中，图6为本发明实施例所提供的第一终端的另一种结构示意图；

第三接收单元601，用于接收所述配置设备发送的第一签名信息，所述第一签名信息由所述配置设备至少根据所述第一类型信息和签名私钥生成，所述第一类型信息为所述第一终端的角色类型信息，和/或，所述第一终端能够连接的角色类型信息；

其中，所述第一终端的角色类型信息，和/或，所述第一终端能够连接的角色类型信息包括：

第一接收单元602，用于接收配置设备发送的所述配置设备的签名公钥；

第二接收单元603，用于接收第二签名信息和第二类型信息，所述第二签名信息为所述配置设备发送给第二终端的签名信息，所述第二签名信息由配置设备至少根据所述第二类型信息和所述配置设备的签名私钥生成，所述第二类型信息为所述第二终端的角色类型信息，和/或，所述第二终端能够连接的角色类型信息，所述配置设备的签名公钥和所述配置设备的签名私钥对应；

所述第二终端的角色类型信息，和/或，所述第二终端能够连接的角色类型信息包括：

第一确定单元604，用于至少根据所述第二类型信息和所述第二签名信息确定生成密钥信息，所述密钥信息用于第一终端与第二终端建立安全连接。

具体的，所述第一确定单元604还用于，在确定所述第一类型信息和所述第二类型信息相匹配，并且所述第一终端确认所述第二签名信息匹配所述第二类型信息，则所述第一终端确定生成生成密钥信息；

第一生成单元605，用于生成所述密钥信息。

第一发送单元606，用于将所述第一签名信息发送给所述第二终端。

采用本实施例所示的第一终端，在建立所述第一终端与所述第二终端安全连接的过程中，所述第一终端不仅需要根据第二签名信息中所包含的用于建立连接的信息进行验证，且所述第一终端还需验证所述第二类型信息，在确定所述第一类型信息和所述第二类型信息匹配，且在确定所述第二签名信息正确的情况下，所述第一终端建立所述第一终端与所述第二终端的安全连接，有效的避免了终端对角色的篡改，从而有效的避免了终端与更改了角色的攻击终端建立连接，进而避免攻击终端获取终端的信息，有效的保障了终端的安全。

以下结合图7所示对能够实现对终端进行配置，以使终端之间能够建立安全连接的配置设备的具体结构进行说明，其中，图7为本发明实施例所提供的配置设备的一种结构示意图；

所述配置设备包括：

第四接收单元701，用于获得所述终端的类型信息，所述类型信息为终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

第二生成单元702，用于至少根据所述类型信息和所述配置设备的签名私钥生成签名信息；

第二发送单元703，用于将所述签名信息和所述配置设备的签名公钥发送给所述终端，所述配置设备的签名公钥与所述配置设备的签名私钥相对应。

采用本实施例所示的配置设备，所述配置设备向终端发送签名信息和所述配置设备的签名公钥，从而使得终端在需要接入到其他终端时，终端能够将配置设备发送的所述签名信息和自己的类型信息发送给其他终端，进而使得其他终端不仅仅要验证所述签名信息是否正确，还需要验证终端之间是否匹配，只有两个终端的类型信息相互匹配且所述签名信息正确时，才会建立两个终端之间的安全连接关系，有效的避免了终端对角色的篡改，从而有效的避免了终端与更改了角色的攻击终端建立连接，进而避免攻击终端获取终端的信息，有效的保障了终端的安全。

以下结合图8所示对所述配置设备的具体结构进行进一步的详细说明，其中，图8为本发明实施例所提供的配置设备的另一种结构示意图；

第四接收单元801，用于获得所述终端的类型信息，所述类型信息为终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息包括：

所述第四接收单元801还用于，接收所述终端发送的指示消息，所述指示消息包含所述类型信息。

所述第四接收单元801还用于，接收用户输入的操作指令，所述操作指令用于指示所述类型信息。

所述第四接收单元801还用于，扫描所述终端中包含的所述类型信息的二维码；

所述第四接收单元801还用于，建立与所述终端的近距离无线通讯技术nfc连接以获取所述类型信息。

可选的，所述第四接收单元801包括：

接收模块8011，用于接收所述终端发送的发现消息；

确定模块8012，用于根据所述发现消息确定所述类型信息，且所述发现消息与所述类型信息对应。

第二生成单元802，用于至少根据所述类型信息和所述配置设备的签名私钥生成签名信息；

所述签名信息还包括第一哈希值，所述第一哈希值为所述配置设备至少对所述类型信息进行哈希运算所生成的哈希值。

第二发送单元803，用于将所述签名信息和所述配置设备的签名公钥发送给所述终端，所述配置设备的签名公钥与所述配置设备的签名私钥相对应。

图7至图8所示从配置设备的角度说明了当所述配置设备对所述终端设备进行配置时，所述配置设备的具体结构，以下结合图9所示说明所述配置设备对所述终端设备进行配置时，所述终端的具体结构；

其中，图9为本发明实施例所提供的终端的一种结构示意图；

所述终端包括：

第三发送单元901，用于将所述终端的类型信息传递给配置设备，所述类型信息为所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

第五接收单元902，用于接收所述配置设备发送的签名信息和所述配置设备的签名公钥，所述签名信息为所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成，所述配置设备的签名公钥和所述配置设备的签名私钥对应。

采用本实施例所示的终端，所述配置设备向终端发送签名信息和所述配置设备的签名公钥，从而使得终端在需要接入到其他终端时，终端能够将配置设备发送的所述签名信息和自己的类型信息发送给其他终端，进而使得其他终端不仅仅要验证所述签名信息是否正确，还需要验证终端之间是否匹配，只有两个终端的类型信息相互匹配且所述签名信息正确时，才会建立两个终端之间的安全连接关系，有效的避免了终端对角色的篡改，从而有效的避免了终端与更改了角色的攻击终端建立连接，进而避免攻击终端获取终端的信息，有效的保障了终端的安全。

以下结合图10所示对所述终端的具体结构进行进一步的详细说明：

其中，图10为本发明实施例所提供的终端的另一种结构示意图；

所述终端包括：

第三发送单元1001，用于将所述终端的类型信息传递给配置设备，所述类型信息为所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

具体的，所述第三发送单元1001包括：

第一生成模块10011，用于生成指示消息，所述指示消息包含有所述类型信息；

第二发送模块10012，用于将所述指示消息发送给所述配置设备；

或者，

所述第三发送单元1001包括：

第二生成模块10013，用于生成发现消息；

第三发送模块10014，用于将所述发现消息发送给所述配置设备，所述发现消息与所述类型信息对应。

或者，

所述第三发送单元1001包括：

第三生成模块10015，用于生成二维码，所述二维码包含有所述类型信息；

或者，

所述第三发送单元1001包括：

建立模块10016，用于建立与所述配置设备的近距离无线通讯技术nfc连接；

第四发送模块10017，用于通过所述nfc将所述类型信息发送给所述配置设备。

第五接收单元1002，用于接收所述配置设备发送的签名信息和所述配置设备的签名公钥，所述签名信息为所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成，所述配置设备的签名公钥和所述配置设备的签名私钥对应；

其中，所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息包括：

图5至图6所示的实施例从功能模块的角度对第一终端的具体结构进行说明，以下结合图11所示的实施例从硬件角度对第一终端的具体结构进行说明：

如图11所示，该第一终端包括：发送器1101、接收器1102和处理器1103；其中，处理器1103可为一个或多个，在本实施例中以一个为例进行说明：

且本实施例中发送器1101、接收器1102和处理器1103之间通过总线进行连接，当然也可采用其他的连接方式，具体连接方式在本实施例中不作限定。

本发明实施例涉及的第一终端可以具有比图11所示出的更多或更少的部件，可以组合两个或更多个部件，或者可以具有不同的部件配置或设置，各个部件可以在包括一个或多个信号处理和/或专用集成电路在内的硬件、软件或硬件和软件的组合实现。

所述接收器1102，用于接收配置设备发送的所述配置设备的签名公钥；

所述接收器1102，用于接收第二签名信息和第二类型信息，所述第二签名信息为所述配置设备发送给第二终端的签名信息，所述第二签名信息由配置设备至少根据所述第二类型信息和所述配置设备的签名私钥生成，所述第二类型信息为所述第二终端的角色类型信息，和/或，所述第二终端能够连接的角色类型信息，所述配置设备的签名公钥和所述配置设备的签名私钥对应；

所述处理器1103，用于至少根据所述第二类型信息和所述第二签名信息确定所述第一终端生成密钥信息，所述密钥信息用于第一终端与第二终端建立安全连接。

可选的，所述接收器1102，用于接收所述配置设备发送的第一签名信息，所述第一签名信息由所述配置设备至少根据所述第一类型信息和签名私钥生成，所述第一类型信息为所述第一终端的角色类型信息，和/或，所述第一终端能够连接的角色类型信息。

可选的，所述第一终端的角色类型信息，和/或，所述第一终端能够连接的角色类型信息包括：

可选的，所述第二终端的角色类型信息，和/或，所述第二终端能够连接的角色类型信息包括：

可选的，所述处理器1103，用于在确定所述第一类型信息和所述第二类型信息相匹配，并且所述第一终端确认所述第二签名信息匹配所述第二类型信息，则确定生成生成密钥信息。

可选的，所述处理器1103，用于生成所述密钥信息。

可选的，所述发送器1101，用于将所述第一签名信息发送给所述第二终端。

图7至图8所示的实施例从功能模块的角度对配置设备的具体结构进行说明，以下结合图12所示的实施例从硬件角度对配置设备的具体结构进行说明：

如图12所示，该配置设备包括：发送器1201、接收器1202和处理器1203；其中，处理器1203可为一个或多个，在本实施例中以一个为例进行说明：

且本实施例中发送器1201、接收器1202和处理器1203之间通过总线进行连接，当然也可采用其他的连接方式，具体连接方式在本实施例中不作限定。

本发明实施例涉及的配置设备可以具有比图12所示出的更多或更少的部件，可以组合两个或更多个部件，或者可以具有不同的部件配置或设置，各个部件可以在包括一个或多个信号处理和/或专用集成电路在内的硬件、软件或硬件和软件的组合实现。

所述接收器1202，用于获得所述终端的类型信息，所述类型信息为终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

所述处理器1203，用于至少根据所述类型信息和所述配置设备的签名私钥生成签名信息；

所述发送器1201，用于将所述签名信息和所述配置设备的签名公钥发送给所述终端，所述配置设备的签名公钥与所述配置设备的签名私钥相对应。

可选的，所述接收器1202，用于接收所述终端发送的指示消息，所述指示消息包含所述类型信息。

可选的，所述接收器1202，用于接收所述终端发送的发现消息；

所述处理器1203，用于根据所述发现消息确定所述类型信息，且所述发现消息与所述类型信息对应。

可选的，所述接收器1202，用于接收用户输入的操作指令，所述操作指令用于指示所述类型信息。

可选的，所述接收器1202，用于扫描所述终端中包含的所述类型信息的二维码；

或，

所述接收器1202，用于建立与所述终端的近距离无线通讯技术nfc连接以获取所述类型信息。

可选的，所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息包括：

可选的，所述签名信息还包括第一哈希值，所述第一哈希值为所述配置设备至少对所述类型信息进行哈希运算所生成的哈希值。

图9至图10所示的实施例从功能模块的角度对终端的具体结构进行说明，以下结合图13所示的实施例从硬件角度对终端的具体结构进行说明：

如图13所示，该终端包括：发送器1301、接收器1302和处理器13031303；其中，处理器13031303可为一个或多个，在本实施例中以一个为例进行说明：

且本实施例中发送器1301、接收器1302和处理器13031303之间通过总线进行连接，当然也可采用其他的连接方式，具体连接方式在本实施例中不作限定。

本发明实施例涉及的终端可以具有比图13所示出的更多或更少的部件，可以组合两个或更多个部件，或者可以具有不同的部件配置或设置，各个部件可以在包括一个或多个信号处理和/或专用集成电路在内的硬件、软件或硬件和软件的组合实现。

所述终端包括：

发送器1301，用于将所述终端的类型信息传递给配置设备，所述类型信息为所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息；

接收器1302，用于接收所述配置设备发送的签名信息和所述配置设备的签名公钥，所述签名信息为所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成，所述配置设备的签名公钥和所述配置设备的签名私钥对应。

可选的，

所述处理器1303，用于生成指示消息，所述指示消息包含有所述类型信息；

所述发送器1301，用于将所述指示消息发送给所述配置设备。

可选的，

所处理器1303，用于生成发现消息；

所述发送器1301，用于将所述发现消息发送给所述配置设备，所述发现消息与所述类型信息对应。

可选的，所述处理器1303，用于生成二维码，所述二维码包含有所述类型信息；

或，

所述处理器1303，用于建立与所述配置设备的近距离无线通讯技术nfc连接；

所述发送器1301，用于通过所述nfc将所述类型信息发送给所述配置设备。

可选的，所述终端的角色类型信息，和/或，所述终端能够连接的角色类型信息包括：

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

完整全部详细技术资料下载

当前第1页1 2

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：庞高昆;方平
技术所有人：华为技术有限公司
我是此专利的发明人

上一篇：一种饮水用安全消毒装置的制作方法
上一篇：一种云台式摄影机器人移动底座的制作方法

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。