安全认证方法、装置、系统和电子设备及存储介质与流程

1.本发明涉及通信及网络安全技术领域，尤指一种安全认证方法、装置、系统和电子设备及存储介质。


背景技术：

2.在传统的通信网络中，为了减少切换，在室内覆盖以及高速公路等场景下，大量存在基站射频设备(如：ru或rru等)的级联场景，而随着新的o-ran(开放式无线接入网络)协议的引入，使得不同设备商的基站射频设备设备之间进行互联互通成为更为广泛的应用，在该形势下，如何实现不同设备商的基站射频设备之间的安全互联成为摆在人们面前一个亟待解决的问题。
3.现有技术中对于如上问题的处理有两种做法：
4.1、在不同设备商的基站射频设备之间建立连接时，并不进行任何安全认证，导致由此之间建立的连接存在安全隐患。
5.2、仅使用简单的用户名和密码方式进行不同设备商的基站射频设备设备之间的安全认证，此种认证方式安全级别较低，并不能完全保证由此之间建立的连接的安全性。
6.基于如上现状而言，目前亟待提出一种针对不同设备商的基站射频设备之间进行安全认证方法，使得不同设备商的基站射频设备之间实现安全互联。


技术实现要素：

7.有鉴于此，本发明实施例提供一种安全认证方法、装置、系统和电子设备及存储介质，本发明所提供的技术方案通过增加证书替换过程，将基站射频设备的原厂设备证书替换成携带共同信任机构签名的设备证书，使得基站射频设备拥有携带共同信任机构签名的设备证书，从而当所述基站射频设备与不同设备商的基站射频设备级联时，基于所述携带共同信任机构签名的设备证书进行安全认证，由此实现了不同设备商基站射频设备之间的安全互联并建立安全连接。
8.第一方面，本发明实施例提供了一种安全认证方法，应用于基站射频设备，其中，所述基站射频设备预置有由所述基站射频设备的设备商ca签发的设备证书，所述方法包括：
9.从共同信任机构ca服务器获取携带共同信任机构签名的设备证书；将本地中的所述由所述基站射频设备的设备商ca签发的设备证书替换为所述携带共同信任机构签名的设备证书并存储至本地；
10.当所述基站射频设备与不同设备商的基站射频设备级联时，基于所述携带共同信任机构签名的设备证书进行安全认证。
11.优选地，所述从共同信任机构ca服务器获取携带共同信任机构签名的设备证书，具体包括：
12.当所述基站射频设备初始化时，与所述共同信任机构ca服务器建立通信连接；
13.在建立通信连接成功之后，从共同信任机构ca服务器获取所述携带共同信任机构签名的设备证书。
14.优选地，所述与所述共同信任机构ca服务器建立通信连接，具体包括：
15.在基于所述由所述基站射频设备的设备商ca签发的设备证书从dhcp服务器获取ip地址后，基于所述ip地址与所述共同信任机构ca服务器建立通信连接。
16.优选地，其中，所述通信连接包括：https连接，ftp连接或http连接；当所述通信连接为https连接时，所述基于所述ip地址与所述共同信任机构ca服务器建立通信连接，具体包括：
17.基于所述ip地址和共同信任机构的自签名证书与所述共同信任机构ca服务器建立https连接，其中，所述共同信任机构的自签名证书预置于所述基站射频设备的受信列表中，用于认证所述共同信任机构ca服务器。
18.优选地，所述从共同信任机构ca服务器获取携带共同信任机构签名的设备证书，具体还包括：
19.所述基站射频设备向所述共同信任机构ca服务器发送证书签名请求csr文件，以使所述共同信任机构ca服务器基于所述证书签名请求csr文件生成所述携带共同信任机构签名的设备证书；其中，所述证书签名请求csr文件包含所述基站射频设备的序列号；
20.接收所述共同信任机构ca服务器所发送的所述携带共同信任机构签名的设备证书。
21.第二方面，本发明实施例还提供了一种安全认证方法，应用于共同信任机构ca服务器，所述方法包括：
22.生成携带共同信任机构签名的设备证书；
23.将所述携带共同信任机构签名的设备证书发送给基站射频设备，以使所述基站射频设备将本地中的由所述基站射频设备的设备商ca签发的设备证书替换为所述携带共同信任机构签名的设备证书并存储至所述基站射频设备本地，并以使当所述基站射频设备与不同设备商的基站射频设备级联时，基于所述携带共同信任机构签名的设备证书进行安全认证。
24.优选地，所述生成携带共同信任机构签名的设备证书，具体包括：
25.当基站射频设备初始化时，所述共同信任机构ca服务器与所述基站射频设备建立通信连接；
26.在建立通信连接成功之后，生成携带共同信任机构签名的设备证书。
27.优选地，其中，所述通信连接包括：https连接，ftp连接或http连接；当所述通信连接为https连接时，所述所述共同信任机构ca服务器与所述基站射频设备建立通信连接，具体包括：
28.基于所述基站射频设备的设备商的自签名证书与所述基站射频设备建立https连接；其中，所述基站射频设备的设备商的自签名证书预置于所述共同信任机构ca服务器的受信列表中，用于认证所述基站射频设备。
29.优选地，所述生成携带共同信任机构签名的设备证书，具体还包括：
30.接收所述基站射频设备发送的证书签名请求csr文件，其中，所述证书签名请求csr文件中包含所述基站射频设备的序列号；
31.基于所述证书签名请求csr文件生成所述携带共同信任机构签名的设备证书。
32.第三方面，本发明实施例提供了一种安全认证装置，设置于基站射频设备，其中，所述基站射频设备预置有由所述基站射频设备的设备商ca签发的设备证书，所述装置包括：
33.设备证书替换模块，设置为从共同信任机构ca服务器获取携带共同信任机构签名的设备证书；将本地中的所述由所述基站射频设备的设备商ca签发的设备证书替换为所述携带共同信任机构签名的设备证书并存储至本地；
34.安全认证模块，设置为当所述基站射频设备与不同设备商的基站射频设备级联时，基于所述携带共同信任机构签名的设备证书进行安全认证。
35.第四方面，本发明实施例提供了一种安全认证装置，设置于共同信任机构ca服务器，所述装置包括：
36.设备证书生成模块，设置为生成携带共同信任机构签名的设备证书；
37.设备证书发送模块，设置为将所述携带共同信任机构签名的设备证书发送给基站射频设备，以使所述基站射频设备将本地中的由所述基站射频设备的设备商ca签发的设备证书替换为所述携带共同信任机构签名的设备证书并存储至所述基站射频设备本地，并以使当所述基站射频设备与不同设备商的基站射频设备级联时，基于所述携带共同信任机构签名的设备证书进行安全认证。
38.第五方面，本发明实施例提供了一种电子设备，包括存储器和处理器，所述存储器用于存储一条或多条计算机程序指令，其中，所述一条或多条计算机程序指令被所述处理器执行以实现第一方面或第二方面所述的方法。
39.第六方面，本发明实施例提供了一种安全认证系统，包括：设置有如第四方面所述装置的共同信任机构ca服务器，以及设置有如第三方面所述装置的基站射频设备。
40.第七方面，本发明实施例提供了一种存储介质，所述存储介质用于存储计算机程序，所述计算机程序用于实现第一方面或第二方面所述的方法。
附图说明
41.通过以下参照附图对本发明实施例的描述，本发明的上述以及其它目的、特征和优点将更为清楚，在附图中：
42.图1是本发明实施例的一种安全认证方法流程图；
43.图2是本发明实施例的另一种安全认证方法流程图；
44.图3是本发明实施例的再一种安全认证方法流程图；
45.图4是本发明实施例的又一种安全认证方法流程图；
46.图5是本发明实施例的一种安全认证装置的结构示意图；
47.图6是本发明实施例的另一种安全认证装置的结构示意图；
48.图7是本发明实施例的电子设备的硬件结构示意图；
49.图8是本发明实施例的安全认证系统结构示意图。
具体实施方式
50.以下基于实施例对本发明进行描述，但是本发明并不仅仅限于这些实施例。在下
文对本发明的细节描述中，详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。为了避免混淆本发明的实质，公知的方法、过程、流程、元件和电路并没有详细叙述。
51.此外，本领域普通技术人员应当理解，在此提供的附图都是为了说明的目的，并且附图不一定是按比例绘制的。
52.同时，应当理解，在以下的描述中，“电路”是指由至少一个元件或子电路通过电气连接或电磁连接构成的导电回路。当称元件或电路“连接到”另一元件或称元件/电路“连接在”两个节点之间时，它可以是直接耦接或连接到另一元件或者可以存在中间元件，元件之间的连接可以是物理上的、逻辑上的、或者其结合。相反，当称元件“直接耦接到”或“直接连接到”另一元件时，意味着两者不存在中间元件。
53.除非上下文明确要求，否则在说明书的“包括”、“包含”等类似词语应当解释为包含的含义而不是排他或穷举的含义；也就是说，是“包括但不限于”的含义。
54.在本发明的描述中，需要理解的是，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。此外，在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。
55.本发明基于证书认证方式进行不同设备商基站射频设备之间的安全认证。证书认证是一种被广泛接受并应用的安全认证方式。目前，通常实现中，每个基站射频设备设备出厂时默认会设置一个由设备商ca中心(即：证书授权中心)签发的设备证书，在不同设备商的基站射频设备进行级联的具体应用场景下，当运营商购买了不同设备商的基站射频设备时，由于基站射频设备的默认设备证书都是由该基站射频设备的设备商ca中心进行签发的，从而当a设备商的基站射频设备和b设备商的基站射频设备进行连接的安全认证时，a设备商的基站射频设备无法识别和信任由b设备商的ca中心签发的b设备的设备证书，反之，b设备商的基站射频设备也无法识别和信任由a设备商的ca中心签发的a设备的设备证书，所以无法基于各自的出厂默认证书进行证书认证并建立安全连接。
56.本发明所提供的技术方案通过增加证书替换过程，将基站射频设备的原厂设备证书替换成携带共同信任机构签名的设备证书，使得基站射频设备拥有携带共同信任机构签名的设备证书，从而当所述基站射频设备与不同设备商的基站射频设备级联时，基于所述携带共同信任机构签名的设备证书进行安全认证。
57.图1是本发明实施例的一种安全认证方法流程图。本发明实施例从基站射频设备侧对安全认证方法进行描述，其中，该基站射频设备预置有由该基站射频设备的设备商ca签发的设备证书，具体如图1所示，该方法包括以下步骤：
58.步骤s110：从共同信任机构ca服务器获取携带共同信任机构签名的设备证书；将本地中的所述由所述基站射频设备的设备商ca签发的设备证书替换为所述携带共同信任机构签名的设备证书并存储至本地。
59.本发明默认不同设备商之间是互不信任对方的设备证书的，即：a设备商的基站射频设备与b设备商的基站射频设备之间建立连接时，并不能基于各自所设置的设备商的ca中心签发的设备证书进行安全认证。因此，在本发明中引入了“共同信任机构”的概念，它指的是基于商业合作、业务往来或其他合作关系，被不同设备商共同信任的机构。基于“共同信任机构”，使不同设备商之间也建立了互相信任关系。
60.在本技术的示例性实施例中，“共同信任机构”可以为同时购买不同设备商的基站射频设备的运营商，“共同信任机构ca服务器”即为同时购买不同设备商的基站射频设备的运营商ca服务器。在一具体示例中，假设运营商需购买a设备商和b设备商的基站射频设备进行组网，则需要a设备商和b设备商在基站射频设备出厂之前在各自的设备商ca上将设备序列号作为唯一编号为其每台设备分别申请带各自设备商签名的设备证书，然后在工厂流程中按照设备订单信息将该基站射频设备的设备商ca签发的设备证书写入到每台设备中。当a设备商和b设备商分别将各自的基站射频设备交付给运营商时，每台设备上即包含了由该基站射频设备的设备商ca签发的设备证书。由于每台设备的设备序列号不同，因此不论是相同设备商的基站射频设备，还是不同设备商的基站设备设备，每台设备中所预置的由该基站射频设备的设备商ca签发的设备证书也是互不一样的。
61.具体地，在从共同信任机构ca服务器获取携带共同信任机构签名的设备证书时，从获取方式方面讲，可以选择在线或离线方式，离线方式一般使用邮件或者u盘拷贝等方式，在线的话可以通过先建立ftp、http或https等通信连接，然后基于所建立的通信连接与共同信任机构ca服务器进行信息交互。对于在线方式，从共同信任机构ca服务器获取携带共同信任机构签名的设备证书，具体包括：
62.当所述基站射频设备初始化时，与所述共同信任机构ca服务器建立通信连接；在建立通信连接成功之后，从共同信任机构ca服务器获取所述携带共同信任机构签名的设备证书。
63.在与共同信任机构ca服务器建立通信连接时，可以先基于预置在本地的由该基站射频设备的设备商ca签发的设备证书通过动态主机配置协议dhcp从dhcp服务器获取一个ip地址，然后基于该ip地址与共同信任机构ca服务器建立通信连接。除此动态获取ip地址的方式外，也可以通过其他方式获取ip地址，比如：通过为每个设备预设一个ip地址的方式等，由于基于设备证书动态获取ip地址的方式通过使用设备证书申请ip地址，因此dhcp服务器会认为ip申请者是合法的，这样才能确认申请到的ip地址也是合法的，所以相比其他方式，该方式更加安全可靠。
64.在本技术的示例性实施例中，与共同信任机构ca服务器建立的通信连接包括但不限于：https连接，ftp连接以及http连接其中的一种。由于https连接建立过程中需要使用证书进行认证，因此相比ftp连接以及http连接，所建立的通信连接更加安全。在该通信连接为https连接的情况下，需在该基站射频设备出厂之前，在该基站射频设备的受信列表中预置共同信任机构的自签名证书。在一具体示例实施例中，如果该共同信任机构为购买该基站射频设备的运营商，则具体由该基站射频设备的设备商向购买设备的运营商申请运营商的自签名证书，然后在工厂流程中按照设备订单信息将运营商的自签名证书写入到每台设备的受信列表中，以此将购买设备的运营商的自签名证书设置为可信证书。自签名证书又称为根证书，是自己颁发给自己的证书，即证书中的颁发者和主体名相同。自签名证书可以有许多不同的证书类型，包括：ssl/tls证书、s/mime证书、代码签名证书等，其中最常见的证书类型是自签名ssl证书。在一具体示例中，本发明中所涉及的“共同信任机构的的自签名证书”为ssl/tls证书类型。
65.https有两种验证方式：单向认证和双向认证。单向认证是指通信双方中一方验证另一方是否合法；双向认证是指通信双方需要互相验证对方是否合法，服务器验证客户端，
客户端验证服务器。一般而言，服务器都是对所有客户端开放的，因此，通常的单向认证是指客户端验证服务器，服务器对来访的客户端身份不做任何限制。如果服务器需要限制客户端的身份，则可以选择开启服务端验证，进行双向认证。
66.在本发明中，基站射频设备作为客户端，共同信任机构ca服务器作为服务端，具体在建立https连接时，若使用单向认证的话，则由该基站射频设备使用本地所预置的共同信任机构的自签名证书认证共同信任机构ca服务器。如果验证该共同信任机构ca服务器是合法的，则建立https连接成功。
67.在基站射频设备与共同信任机构ca服务器之间建立通信连接(如：https连接)成功之后，即两者之间建立了通信安全的连接，接下来，基站射频设备与共同信任机构ca服务器则会基于该通信连接(如：https连接)进行信息交互。
68.具体地，在从共同信任机构ca服务器获取携带共同信任机构签名的设备证书时，从获取过程方面讲，需执行如下步骤：
69.首先，基站射频设备向共同信任机构ca服务器发送证书签名请求csr文件，以使共同信任机构ca服务器基于该证书签名请求csr文件生成携带共同信任机构签名的设备证书；其中，所述证书签名请求csr文件中包含所述基站射频设备的序列号。
70.csr文件是基站射频设备的公钥证书原始文件，包含了设备相关信息。在生成csr文件时，必须使用自己的私钥来签署。csr文件的生成可选择使用keytool或openssl工具，具体csr文件的内容可根据所使用的工具的提示进行设定，在设定时需将设备序列号作为其中一项进行输入。在一具体示例中，本发明采用openssl工具生成证书签名请求csr文件，例如可以使用下面命令来生成证书签名请求csr文件：
71.openssl req-new-key rru/privkey.pem-out rru/csr.pem-subj"/c＝cn/st＝sichuan/l＝chengdu/o＝companyname/ou＝modulename/cn＝bl103100099.company.com"
72.其中，“rru/privkey.pem”为签署csr文件的私钥，“rru/csr.pem”即为所生成的证书签名请求csr文件，“bl103100099”为该基站射频设备的设备序列号，作为输入项被包含在csr文件中。
73.在基于所建立通信连接将所生成的证书签名请求csr文件发送给共同信任机构ca服务器时，如果自动传送的话需要开发小工具进行支持。
74.然后，在共同信任机构ca服务器收到证书签名请求csr文件后，对其进行签署，携带上自己的签名，并将所生成的crt格式的携带共同信任机构签名的设备证书发送给该基站射频设备，该基站射频设备接收共同信任机构ca服务器发送的该携带共同信任机构签名的设备证书。
75.在从共同信任机构ca服务器获取携带共同信任机构签名的设备证书之后，该基站射频设备再将本地中所预置的由该基站射频设备的设备商ca签发的设备证书替换为从共同信任机构ca服务器获取的携带共同信任机构签名的设备证书并存储至本地，即：将携带共同信任机构签名的设备证书拷贝到本地并覆盖由该基站射频设备的设备商ca签发的设备证书。
76.步骤s120：当所述基站射频设备与不同设备商的基站射频设备级联时，基于所述携带共同信任机构签名的设备证书进行安全认证。
77.在通过上述步骤s110完成证书替换过程后，由于基站射频设备上保存了携带共同
ext_rru
89.其中，“rru/csr.pem”为所接收到的证书签名请求csr文件，“rru/crt.pem”为所生成的携带共同信任机构签名的设备证书，“intermediate/privkey.pem”为用于签发的私钥证书文件，“intermediate/crt.pem”为用于签发的根ca证书。
90.步骤s220：将所述携带共同信任机构签名的设备证书发送给基站射频设备，以使所述基站射频设备将本地中的由所述基站射频设备的设备商ca签发的设备证书替换为所述携带共同信任机构签名的设备证书并存储至所述基站射频设备本地，并以使当所述基站射频设备与不同设备商的基站射频设备级联时，基于所述携带共同信任机构签名的设备证书进行安全认证。
91.在基于所建立的通信连接(如：https连接)将所生成的携带共同信任机构签名的设备证书发送给该基站射频设备时，如果自动传送的话需要开发小工具进行支持。
92.由上述步骤可知，本发明实施例通过增加证书替换过程，将基站射频设备的原厂设备证书替换成携带共同信任机构签名的设备证书，使得基站射频设备拥有携带共同信任机构签名的设备证书，从而当所述基站射频设备与不同设备商的基站射频设备级联时，基于所述携带共同信任机构签名的设备证书进行安全认证，由此实现了不同设备商基站射频设备之间的安全互联并建立安全连接。
93.图3是本发明实施例的再一种安全认证方法流程图。本发明实施例从基站射频设备和共同信任机构ca服务器两侧对安全认证方法进行描述，其中，两者之间建立的通信连接为ftp或http连接，为方便描述，基站射频设备包括a设备商的基站射频设备和b设备商的基站射频设备，以a设备商的基站射频设备执行本发明实施例所提供的方法步骤为例，具体如图3所示，该方法包括以下步骤：
94.步骤s310：在出厂之前，a设备商的基站射频设备在本地预置由a设备商ca签发的设备证书。
95.步骤s320：当a设备商的基站射频设备初始化时，基于本地中由a设备商ca签发的设备证书从dhcp服务器获取ip地址。
96.步骤s330：基于所获取的ip地址建立ftp或http连接。
97.步骤s340：a设备商的基站射频设备生成证书签名请求csr文件。
98.步骤s350：a设备商的基站射频设备向共同信任机构ca服务器发送证书签名请求csr文件，其中，所述证书签名请求csr文件包含所述基站射频设备的序列号。
99.步骤s360：共同信任机构ca服务器接收a设备商的基站射频设备发送的证书签名请求csr文件，基于该证书签名请求csr文件生成携带共同信任机构签名的设备证书。
100.步骤s370：共同信任机构ca服务器向a设备商的基站射频设备发送携带共同信任机构签名的设备证书。
101.步骤s380：a设备商的基站射频设备接收共同信任机构ca服务器所发送的携带共同信任机构签名的设备证书，将本地中的由a设备商ca签发的设备证书替换为携带共同信任机构签名的设备证书并存储至本地。
102.步骤s390：当a设备商的基站射频设备与b设备商的基站射频设备级联时，基于携带共同信任机构签名的设备证书进行安全认证。
103.需要说明的是：如果b设备商的基站射频设备同样执行了步骤s310～s380(所不同
的是：将对应步骤中的“a设备商”替换为“b设备商”)从而在本地设置了携带共同信任机构签名的设备证书，则a设备商的基站射频设备与b设备商的基站射频设备安全认证成功进而安全互联并建立安全连接；如果b设备商的基站射频设备并未执行步骤s310～s380，即本地设置的是由b设备商ca签发的设备证书而并未设置携带共同信任机构签名的设备证书，则a设备商的基站射频设备与b设备商的基站射频设备安全认证失败，则不会建立安全连接。
104.图4是本发明实施例的又一种安全认证方法流程图。本发明实施例从基站射频设备和共同信任机构ca服务器两侧对安全认证方法进行描述，其中，两者之间建立的通信连接为https连接，为方便描述，基站射频设备包括a设备商的基站射频设备和b设备商的基站射频设备，以a设备商的基站射频设备执行本发明实施例所提供的方法步骤为例，具体如图3所示，该方法包括以下步骤：
105.步骤s410：在出厂之前，a设备商的基站射频设备在本地预置由a设备商ca签发的设备证书。
106.步骤s420：在出厂之前，a设备商的基站射频设备在本地受信列表中预置共同信任机构的自签名证书。
107.步骤s430：共同信任机构ca服务器将a设备商的自签名证书预置于本地受信列表中。
108.需要说明的是：步骤s430针对建立https连接时使用双向认证的情况，若使用单向认证，本步骤则不执行。
109.应理解，步骤s410～s430之间并没有前后执行顺序的限制。
110.步骤s440：当a设备商的基站射频设备初始化时，基于本地中由a设备商ca签发的设备证书从dhcp服务器获取ip地址。
111.步骤s450：建立https连接。其中，若使用单向认证，则仅需a设备商的基站射频设备使用共同信任机构的自签名证书认证共同信任机构ca服务器，即可建立https连接；若使用双向认证，则a设备商的基站射频设备使用共同信任机构的自签名证书认证共同信任机构ca服务器，且共同信任机构ca服务器使用a设备商的自签名证书认证a设备商的基站射频设备，进而建立https连接。
112.步骤s460：a设备商的基站射频设备生成证书签名请求csr文件。
113.步骤s470：a设备商的基站射频设备向共同信任机构ca服务器发送证书签名请求csr文件，其中，所述证书签名请求csr文件包含所述基站射频设备的序列号。
114.步骤s480：共同信任机构ca服务器接收a设备商的基站射频设备发送的证书签名请求csr文件，基于该证书签名请求csr文件生成携带共同信任机构签名的设备证书。
115.步骤s490：共同信任机构ca服务器向a设备商的基站射频设备发送携带共同信任机构签名的设备证书。
116.步骤s4a0：a设备商的基站射频设备接收共同信任机构ca服务器所发送的携带共同信任机构签名的设备证书，将本地中的由a设备商ca签发的设备证书替换为携带共同信任机构签名的设备证书并存储至本地。
117.步骤s4b0：当a设备商的基站射频设备与b设备商的基站射频设备级联时，基于携带共同信任机构签名的设备证书进行安全认证。
118.需要说明的是：如果b设备商的基站射频设备同样执行了步骤s410～s4a0(所不同
的是：将对应步骤中的“a设备商”替换为“b设备商”)从而在本地设置了携带共同信任机构签名的设备证书，则a设备商的基站射频设备与b设备商的基站射频设备安全认证成功进而安全互联并建立安全连接；如果b设备商的基站射频设备并未执行步骤s410～s4a0，即本地设置的是由b设备商ca签发的设备证书而并未设置携带共同信任机构签名的设备证书，则a设备商的基站射频设备与b设备商的基站射频设备安全认证失败，则不会建立安全连接。
119.图5是本发明实施例的一种安全认证装置的结构示意图，设置于基站射频设备，其中，所述基站射频设备预置有由所述基站射频设备的设备商ca签发的设备证书，如图5所示，本发明实施例的安全认证装置5包括：设备证书替换模块510，设置为从共同信任机构ca服务器获取携带共同信任机构签名的设备证书；将本地中的所述由所述基站射频设备的设备商ca签发的设备证书替换为所述携带共同信任机构签名的设备证书并存储至本地；安全认证模块520，设置为当所述基站射频设备与不同设备商的基站射频设备级联时，基于所述携带共同信任机构签名的设备证书进行安全认证。
120.图6是本发明实施例的另一种安全认证装置的结构示意图，设置于共同信任机构ca服务器，如图6所示，本发明实施例的安全认证装置6包括：设备证书生成模块610，设置为生成携带共同信任机构签名的设备证书；设备证书发送模块620，设置为将所述携带共同信任机构签名的设备证书发送给基站射频设备，以使所述基站射频设备将本地中的由所述基站射频设备的设备商ca签发的设备证书替换为所述携带共同信任机构签名的设备证书并存储至所述基站射频设备本地，并以使当所述基站射频设备与不同设备商的基站射频设备级联时，基于所述携带共同信任机构签名的设备证书进行安全认证。
121.图7为本发明实施例的电子设备的硬件结构示意图。如图7所示，该电子设备包括：存储器710和处理器720，其中，存储器710和处理器720通信；示例性的，存储器710和处理器720通过通信总线730通信，所述存储器710用于存储计算机程序，所述处理器720执行所述计算机程序实现上述实施例所示的安全认证方法。
122.可选地，该电子设备还可以包括发送器和/或接收器。
123.可选地，上述处理器可以是中央处理单元(central processing unit，cpu)，还可以是其他通用处理器、plc(programmable logic controller，可编程逻辑控制器)、fpga(field－programmable gate array，现场可编程门阵列)、dsp(digital signal processor，数字信号处理器)或asic(application specific integrated circuit，专用集成电路)来实现。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。
124.图8是本发明实施例的安全认证系统结构示意图，如图8所示，该安全认证系统8包括：设置有上述实施例所示的另一种安全认证装置6的共同信任机构ca服务器810，以及设置有上述实施例所示的一种安全认证装置5的基站射频设备820。
125.本发明实施例提供一种存储介质，所述存储介质用于存储计算机程序，所述计算机程序用于实现上述任意方法实施例所述的安全认证方法。
126.本发明实施例提供一种芯片，该芯片用于支持接收设备(例如终端设备、网络设备等)实现本发明实施例所示的功能，该芯片具体用于芯片系统，该芯片系统可以由芯片构成，也可以包括芯片和其他分立器件。当实现上述方法的为接收设备内的芯片时，芯片包括
处理单元，进一步的，芯片还可以包括通信单元，所述处理单元例如可以是处理器，当芯片包括通信单元时，所述通信单元例如可以是输入/输出接口、管脚或电路等。处理单元执行本发明实施例中各个处理模块所执行的全部或部分动作，通信单元可执行相应的接收或发送动作。在另一个具体的实施例中，本发明实施例中的接收设备的处理模块可以是芯片的处理单元，控制设备的接收模块或发送模块是芯片的通信单元。
127.本领域的技术人员应明白，本技术的实施例可提供为方法、装置(设备)或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可读存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品。
128.本技术是参照根据本技术实施例的方法、装置(设备)和计算机程序产品的流程图来描述的。应理解可由计算机程序指令实现流程图中的每一流程。
129.这些计算机程序指令可以存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现流程图一个流程或多个流程中指定的功能。
130.也可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程中指定的功能的装置。
131.本发明的另一实施例涉及一种非易失性存储介质，用于存储计算机可读程序，所述计算机可读程序用于供计算机执行上述部分或全部的方法实施例。
132.即，本领域技术人员可以理解，实现上述实施例方法中的全部或部分步骤是可以通过程序来指定相关的硬件来完成，该程序存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本技术各实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
133.以上所述仅为本发明的优选实施例，并不用于限制本发明，对于本领域技术人员而言，本发明可以有各种改动和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。