具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
图1为根据本发明的用于设备连接的认证方法的一个实施例的流程图。如图所示,实施例的方法包括如下步骤:
S11、终端设备待与信息安全设备进行需要认证的数据交互时,通过互联网利用索引信息从服务器获得与信息安全设备对应的认证信息;
例如,将软件的关键代码段植入信息安全设备中的情况下,该软件运行在终端设备上期间,在需要执行该关键代码段时,终端设备就需要与信息安全设备进行数据交互。为了保护数据安全,现有技术中进行该数据交互前通常需要先进行认证,例如输入PIN码。本实施例的认证方法免除了每次认证都需要手动输入PIN码的繁琐操作。具体地,当终端设备与信息安全设备进行需要认证的数据交互时,与服务器进行通信以获得对应于该信息安全设备认证信息。在服务器中预先存储有索引信息、认证信息以及记录索引信息和认证信息之间的对应关系的映射表。这里,索引信息可以是登录信息或者信息安全设备的标识信息。如果索引信息为登录信息,则终端设备利用该登录信息登录到服务器以后,查询并获取服务器中存储的与该登录信息对应的认证信息。如果索引信息为信息安全设备的标识信息,则终端设备登录到服务器后,查询并获取服务器中存储的与该标识信息对应的认证信息。
S12、所述终端设备利用所述认证信息自动与所述信息安全设备进行认证,认证通过则所述终端设备与所述信息安全设备进行上述数据交互。
这里,终端设备利用认证信息进行与信息安全设备的认证过程例如可以是:通过用预定算法对认证信息进行加密后,将得到的加密数据发送给信息安全设备,信息安全设备再用对应的预定算法对接收到的加密数据进行解密后,将解密得到的数据与预存的认证信息进行对比,对比结果为一致则通过认证;或者,终端设备用认证信息对特定数据进行加密后将得到的加密数据发送给信息安全设备进行认证,信息安全设备用内部预存的认证信息对接收到的加密数据进行解密后,将解密得到的数据与内部预存的特定数据进行对比,对比结果为一致则通过认证。
在步骤S12之后,还可以将终端设备的标识信息存储到信息安全设备中,并且当该终端设备与该信息安全设备再次进行数据交互时,该信息安全设备根据其已存储的该终端设备的标识信息而确定该终端设备为信任设备,从而该终端设备和该信息安全设备之间不经过再次认证即建立通信连接。
通过本实施例的认证方法,终端设备与信息安全设备进行需要认证的数据交互时,可以自动进行身份认证,无需手动输入PIN码,并且具有较强的通用性,更换与信息安全设备数据交互的终端设备时使用比较方便。
图2为根据本发明的用于设备连接的认证方法的另一个实施例的流程图。如图2所示,本实施例的认证方法包括:
S21、终端设备待与信息安全设备进行需要认证的数据交互时,确定终端设备中是否存储有与信息安全设备对应的认证信息,是则执行步骤S22,否则执行步骤S23;
当终端设备首次与信息安全设备进行需要认证的数据交互时,未存储有对应的认证信息,或者所存储的认证信息丢失时,则前往步骤S23从服务器获取认证信息。当终端设备中存储有对应的认证信息时,前往步骤S22进行下一步判断。确定是否存储有对应的认证信息可以通过确认终端设备中是否存储有该信息安全设备的标识信息,并且确认认证信息是否与该标识信息对应存储来进行。可以在终端设备与信息安全设备完成一次与数据交互相关的认证之后将该信息安全设备的标识信息存储在终端设备中,以便下次与信息安全设备进行需要认证的数据交互时,可以判断与终端设备中存储的信息安全设备标识信息是否对应,如果对应,则可直接利用终端设备中对应存储的认证信息来进行与信息安全设备的认证,而无需每次与信息安全设备进行需要认证的数据交互时都登录到服务器去获取认证信息。
S22、判断所存储的认证信息是否需要更新,是则执行步骤S23,否则执行步骤S24;
这里,当终端设备中存储有认证信息且已经是最新版本时,可直接前往步骤S24与信息安全设备进行认证。而当该认证信息不是最新版本时,则前往步骤S23从服务器重新获取新版本的认证信息。认证信息的版本确认例如可通过对比终端设备中的认证信息的更新时间和信息安全设备中的认证信息的更新时间来进行,如果信息安全设备中的认证信息的更新时间较早,则可确认终端设备中的认证信息为最新版本,反之,如果终端设备中的认证信息的更新时间较早,则可确认终端设备中的认证信息不是最新版本,需要到服务器获取新版的认证信息。信息安全设备中的认证信息的更新时间可由信息安全设备发送给终端设备。或者,例如可由终端设备将所存储的认证信息的更新时间发送给信息安全设备,由信息安全设备进行对比后发回判断结果。也可以通过其他方式验证认证信息是否需要更新,例如设置固定周期对认证信息进行更新,比如当设置为每周更新一次时,判定已存储的认证信息的存储时间是否已超过一周,如果超过则进行更新。
S23、终端设备通过互联网利用索引信息从服务器获得与信息安全设备对应的认证信息,并执行步骤S24;
当确认终端设备中未存储有认证信息或者所存储的认证信息不是最新版本时,终端设备与服务器进行通信以获得对应于该信息安全设备对应的最新认证信息。服务器中可以存储有索引信息、认证信息以及记录索引信息和认证信息之间的对应关系的映射表。这里,索引信息可以是登录信息或者信息安全设备的标识信息。如果索引信息为登录信息,则终端设备利用该登录信息登录到服务器以后,查询并获取服务器中存储的与该登录信息对应的认证信息。如果索引信息为信息安全设备的标识信息,则终端设备登录到服务器后,查询并获取服务器中存储的与该标识信息对应的认证信息。
S4、终端设备利用认证信息自动与信息安全设备进行认证,认证通过则终端设备与信息安全设备进行上述数据交互。
这里,终端设备利用认证信息进行与信息安全设备的认证过程例如可以是:通过用预定算法对认证信息进行加密后,将得到的加密数据发送给信息安全设备,信息安全设备再用对应的预定算法对接收到的加密数据进行解密后,将解密得到的数据与预存的认证信息进行对比,对比结果为一致则通过认证;或者,终端设备用认证信息对特定数据进行加密后将得到的加密数据发送给信息安全设备进行认证,信息安全设备用内部预存的认证信息对接收到的加密数据进行解密后,将解密得到的数据与内部预存的特定数据进行对比,对比结果为一致则通过认证。
在步骤S4之后,还可以将终端设备的标识信息存储到信息安全设备中,并且当该终端设备与该信息安全设备再次进行数据交互时,该信息安全设备根据其已存储的该终端设备的标识信息而确定该终端设备为信任设备,从而该终端设备和该信息安全设备之间不经过再次认证即建立通信连接。
通过本实施例的认证方法,终端设备与信息安全设备进行需要认证的数据交互时,可以自动进行身份认证,无需手动输入PIN码,并且具有较强的通用性,更换与信息安全设备数据交互的终端设备时使用比较方便。此外,本实施例的认证方法实现了云同步,当信息安全设备中的如PIN码等认证信息更改时,各终端设备只需要与云服务器连接,即可同步更改后的认证信息。
在本发明一个实施例中,终端设备可以预先与信息安全设备协商确定认证信息后上传到服务器,并在信息安全设备中保留认证信息用于数据交互时的认证。
在本发明另一个实施例中,信息安全设备可在出厂时预设有认证信息,该认证信息被上传到服务器并存储到上述映射表中。使用时将该映射表中与特定的信息安全设备关联的认证信息对应的索引信息(例如标识信息或登录信息)分配给用户,用户可使用任一具备联网功能的终端设备通过互联网利用该分配的索引信息从服务器获取对应的认证信息。
在本发明的另一实施例中,存储在服务器中的映射表中的对应关系可以是一项索引信息与一项认证信息对应的一对一关系,也可以是一项索引信息与多项认证信息对应的一对多关系。当对应关系为一对一关系时,终端设备登录到服务器后,查询与索引信息唯一对应的认证信息并进行下载。当对应关系为一对多关系时,终端设备登录到服务器后,查询索引信息对应的多项认证信息,并根据用户指令而从中选择至少一项认证信息进行下载。如此,可根据用户要使用的信息安全设备的数量来设定映射表中的映射关系,提高使用上的便利性。
本发明中使用的信息安全设备的标识信息可以包括设备ID、MAC地址、蓝牙唯一序列号或自定义的具有唯一标识的信息。
本发明实施例中,终端设备和信息安全设备之间可以通过有线通信连接或无线通信连接来进行数据交互。有线通信连接的情况例如为将信息安全设备通过USB接口连接到终端设备上进行通信,无线通信连接的情况包括蓝牙通信连接、红外通信连接和NFC通信连接等。
在本发明实施例中使用的认证信息可以是令牌(token)或密钥等。其中密钥可以是PIN码,或者其他预先协商好的密钥。
本发明实施例中的信息安全设备可以为加密锁或Key等,例如具备蓝牙功能的KEY。终端设备可以为移动终端,如智能手机、平板电脑、PDA、智能手表等具备联网功能、可接入互联网的设备。
本发明实施例中,服务器可以是联网的物理服务器或云服务器。
图3为根据本发明的用于设备连接的认证系统的一个实施例的结构框图。
如图3所示,本实施例的用于设备连接的认证系统包括终端设备、信息安全设备和服务器。
其中,终端设备可以包括:第一通信模块,其配置为当终端设备待与所息安全设备进行需要认证的数据交互时,通过互联网利用索引信息从服务器获得与信息安全设备对应的认证信息并发送给第二通信模块;该第二通信模块,其配置为利用第一通信模块从服务器获取的认证信息自动与信息安全设备进行认证,认证通过则与信息安全设备进行上述数据交互。
信息安全设备可以包括:第二存储模块,其存储认证信息;认证模块,其配置为对接收自终端设备的认证数据进行认证,以及将认证结果返回给终端设备。
服务器可以包括:第三存储模块,其配置为存储索引信息、认证信息和记录索引信息和认证信息之间的对应关系的映射表;发送模块,其配置为响应于终端设备的请求而将与索引信息对应的认证信息发送给终端设备。
通过本实施例的认证系统,终端设备要与信息安全设备进行需要认证的数据交互时,可以自动进行身份认证,无需手动输入PIN码,并且具有较强的通用性,更换与信息安全设备连接的终端设备时使用比较方便。
图4为根据本发明的用于设备连接的认证系统的另一个实施例的结构框图。
如图4所示,本实施例的用于设备连接的认证系统包括终端设备、信息安全设备和服务器。
其中,终端设备可以包括:第一存储模块,其用于至少存储认证信息;第一判定模块,其用于确定第一存储模块中是否存储有与待与终端设备连接的信息安全设备对应的认证信息,存有认证信息则向第二判定模块发送确认信息,否则向第一通信模块发送下载指令;第二判定模块,其在接收到第一判定模块发来的确认信息后,进一步判断所存储的认证信息是否需要更新,如需更新则向第一通信模块发送更新指令,否则向第二通信模块发送认证指令;第一通信模块,其在接收到来自第一判定模块的下载指令或来自第二判定模块的更新指令时,通过互联网利用索引信息从服务器获得与该信息安全设备对应的认证信息并发送给第二通信模块;第二通信模块,其在接收到来自第二判定模块的认证指令或来自第一通信模块的认证信息后,利用认证信息自动与该信息安全设备进行认证,认证通过则与该信息安全设备进行数据交互。
信息安全设备可以包括:第二存储模块,其存储认证信息;认证模块,其用于对接收自终端设备的认证数据进行认证,以及将认证结果返回给终端设备。
服务器可以包括:第三存储模块,其存储索引信息、认证信息和记录索引信息和认证信息之间的对应关系的映射表;发送模块,其响应于终端设备的请求而将与索引信息对应的认证信息发送给终端设备。
在通过信息安全设备的认证后,第二通信模块可以将信息安全设备的标识信息以及从服务器获得的认证信息对应地存储在第一存储模块中。这样,第一判定模块可以通过确定第一存储模块中是否存储有信息安全设备的标识信息及对应的认证信息来确定终端设备中是否存储有与该信息安全设备对应的认证信息。
通过本发明的认证系统,终端设备与信息安全设备进行需要认证的数据交互时,可以自动进行身份认证,无需手动输入PIN码,并且具有较强的通用性,更换与信息安全设备数据交互的终端设备时使用比较方便。此外,本发明的认证系统实现了云同步,当信息安全设备中的PIN码等认证信息更改时,各终端设备只需要与云服务器连接,即可同步更改后的认证信息。
在本发明实施例中,第二通信模块可以配置为用HMAC等预定算法对认证信息进行加密后,将得到的加密数据作为认证数据发送给信息安全设备进行认证,并且信息安全设备中的认证模块可以配置为用对应的HMAC等预定算法对从终端设备接收到的认证数据进行解密后,将解密得到的数据与信息安全设备的第二存储模块中存储的认证信息进行对比,对比结果为一致则通过认证。
在本发明另一实施例中,第二通信模块还可以配置为用认证信息对特定数据进行加密后,将得到的加密数据发送给信息安全设备进行认证,并且在信息安全设备中,第二存储模块中还存储有该特定数据,认证模块可以配置为用第二存储模块中存储的认证信息对接收到的加密数据进行解密后,将解密得到的数据与第二存储模块中存储的特定数据进行对比,对比结果为一致则通过认证。
信息安全设备的认证模块还可以配置为在通过对终端设备的认证后将终端设备的标识信息存储到第二存储模块中,并且当该终端设备与该信息安全设备再次进行数据交互时,认证模块根据已存储在第二存储模块中的该终端设备的标识信息而确定该终端设备为信任设备,从而该终端设备和该信息安全设备之间不经过再次认证即可迅速建立通信连接。
在本发明的实施例中,上述认证信息可以由终端设备的第二通信模块与信息安全设备预先协商确定,并由终端设备的第一通信模块将该认证信息上传到服务器。此外,还可以在信息安全设备出厂时预设认证信息,然后将预设的认证信息上传到服务器。
在本发明的实施例中,服务器的第三存储模块中存储的映射表中记录的对应关系可以是一项索引信息与一项认证信息对应的一对一关系或者为一项索引信息与多项认证信息对应的一对多关系。当该对应关系为一对一关系时,由第一通信模块在登录到服务器后查询与该索引信息唯一对应的认证信息并进行下载。当该对应关系为一对多关系时,由第一通信模块在登录到服务器后查询与该索引信息对应的多项认证信息,并根据用户指令而从中选择至少一项认证信息进行下载。
本发明实施例中的索引信息可以是登录信息或信息安全设备的标识信息。
本发明中使用的信息安全设备的标识信息可以包括设备ID、MAC地址、蓝牙唯一序列号或自定义的具有唯一标识的信息。
本发明实施例中,终端设备和信息安全设备之间可以通过有线通信连接或无线通信连接进行上述数据交互。有线通信连接的情况例如为将信息安全设备通过USB接口连接到终端设备上进行通信,无线通信连接的情况包括蓝牙通信连接、红外通信连接和NFC通信连接等。
在本发明实施例中使用的认证信息可以是令牌(token)或密钥等。密钥可以是PIN码。
本发明实施例中的信息安全设备可以为加密锁或Key等,例如具备蓝牙功能的KEY。终端设备可以为移动终端,如智能手机、平板电脑、PDA、智能手表等具备联网功能、可接入互联网的设备。
本发明实施例中,服务器可以是联网的物理服务器或云服务器。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换以及改进等,均应包含在本发明的保护范围之内。