CN104994095A - 一种设备认证方法、客户端、服务器及系统 - Google Patents

一种设备认证方法、客户端、服务器及系统 Download PDF

Info

Publication number
CN104994095A
CN104994095A CN201510380020.0A CN201510380020A CN104994095A CN 104994095 A CN104994095 A CN 104994095A CN 201510380020 A CN201510380020 A CN 201510380020A CN 104994095 A CN104994095 A CN 104994095A
Authority
CN
China
Prior art keywords
client
key
public
server
pki
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510380020.0A
Other languages
English (en)
Other versions
CN104994095B (zh
Inventor
吴洪声
吴云彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou cipher technology Co., Ltd.
Original Assignee
Secken Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Secken Inc filed Critical Secken Inc
Priority to CN201510380020.0A priority Critical patent/CN104994095B/zh
Publication of CN104994095A publication Critical patent/CN104994095A/zh
Application granted granted Critical
Publication of CN104994095B publication Critical patent/CN104994095B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种设备认证方法,该方法包括:第一设备上的第一客户端从服务器获取公共公钥,并生成第一公钥和第一私钥,利用公共公钥将账户名和第一公钥加密后上传至服务器,以便服务器返回利用第一公钥加密的密钥至第一客户端;第一客户端根据密钥生成第二认证信息;第二设备上的第二客户端从服务器获取公共公钥,并生成第二公钥和第二私钥,利用公共公钥将第二公钥和第一客户端的账户名、第二认证信息加密后上传至服务器,以便服务器获取账户名关联的密钥及第一认证信息,将第一认证信息与第二认证信息比对一致后,返回利用第二公钥加密的密钥至第二客户端。本发明还公开了一种设备认证的客户端、服务器以及系统。

Description

一种设备认证方法、客户端、服务器及系统
技术领域
本发明涉及通信技术领域,尤其涉及一种设备认证方法、客户端、服务器及系统。
背景技术
随着智能移动终端的日益普及,越来越多的用户同时拥有并使用多台智能移动终端,例如智能手机、平板电脑等。当用户从一台终端更换至另一台终端、并使用同一应用时,通常会登录同一账号,将该账户信息同步以便使用。
而目前采用的输入账户名及密码登录同步信息而不对其进行安全认证的单独认证方式存在很大安全隐患,一旦用户账户名、密码泄漏,该账户信息就有可能被不法分子窃取。而由于个人用户的惰性登录习惯,一般会重复使用同一账户名,且密码单一,极容易被破解进而泄漏其账户信息。若多个设备均采取单独认证方式,其信息安全风险也相应增加。此外,各大网站频发安全漏洞、数据库相继被盗取的事件也极大的威胁到了用户的个人信息安全。
因此需要一种安全的设备认证方法,来确保用户信息不会被非可信设备获取。
发明内容
鉴于此,本发明提供了一种新的设备认证方案,以力图解决或至少缓解上面存在的问题。
根据本发明的一个方面,提供了一种设备认证方法,该方法包括:第一设备上的第一客户端从服务器获取公共公钥,并生成第一公钥和第一私钥,利用公共公钥将账户名和第一公钥加密后上传至服务器,以便服务器利用公共私钥解密,生成与账户名关联的密钥,根据密钥生成第一认证信息后,返回利用第一公钥加密的密钥至第一客户端,以便第一客户端利用第一私钥解密;第一客户端根据密钥生成第二认证信息;第二设备上的第二客户端从服务器获取公共公钥,并生成第二公钥和第二私钥,利用公共公钥将第二公钥和第一客户端的账户名、第二认证信息加密后上传至服务器,以便服务器利用公共私钥解密,获取该账户名关联的密钥及第一认证信息,将第一认证信息与第二认证信息比对一致后,返回利用第二公钥加密的密钥至第二客户端,以便第二客户端利用第二私钥解密。
可选地,在根据本发明的设备认证方法中,该方法还包括:第二客户端根据密钥生成第三认证信息。
可选地,在根据本发明的设备认证方法中,将账户名和第一公钥加密后上传至服务器的步骤包括:利用公共公钥将账户名、第一公钥和账户信息加密后上传至服务器,以便服务器利用公共私钥解密,将账户信息与账户名关联后存储。
可选地,在根据本发明的设备认证方法中,其中账户信息包括:开关设置键值、用户解锁手势、Google应用信息、客户端绑定信息以及日志中的一个或多个。
可选地,在根据本发明的设备认证方法中,该方法包括:第二客户端从服务器获取账户名关联的账户信息。
可选地,在根据本发明的设备认证方法中,第一认证信息、第二认证信息以及第三认证信息均为每隔同一预定时间按照同一预定规则根据密钥生成的六位数字。
可选地,在根据本发明的设备认证方法中,其中预定时间为30秒。
根据本发明的另一个方面,提供了一种第一客户端,驻留在第一设备上,包括:第一通信模块,适于从服务器获取公共公钥,还适于将加密后的账户名和第一公钥上传至服务器,以便服务器利用公共私钥解密,生成与账户名关联的密钥,并根据密钥生成第一认证信息后,返回利用第一公钥加密的密钥至第一客户端;还适于接收服务器返回的加密后的密钥;第一控制模块,适于生成第一公钥和第一私钥,还适于利用公共公钥将账户名和第一公钥加密;还适于利用第一私钥解密加密后的密钥,并根据密钥生成第二认证信息。
可选地,在根据本发明的第一客户端中,第一控制单元还适于利用公共公钥将账户名、第一公钥以及账户信息加密,第一通信单元还适于将加密后的账户信息上传至服务器,以便服务器利用公共私钥解密,将账户信息与账户名关联后存储。
可选地,在根据本发明的第一客户端中,其中账户信息包括:开关设置键值、用户解锁手势、Google应用信息、客户端绑定信息以及日志中的一个或多个。
可选地,在根据本发明的第一客户端中,其中第一认证信息和第二认证信息均为每隔同一预定时间按照同一预定规则根据所述密钥生成的六位数字。
可选地,在根据本发明的第一客户端中,其中预定时间为30秒。
根据本发明的还有一个方面,提供了一种第二客户端,驻留在第一设备上,适于与第一客户端、服务器交互来通过认证,包括:第二通信模块,适于从服务器获取公共公钥,还适于将加密后的第一客户端的账户名、第二认证信息和第二公钥上传至服务器,以便服务器利用公共私钥解密,获取账户名关联的密钥及第一认证信息,将第一认证信息与第二认证信息比对一致后,返回利用第二公钥加密的密钥至第二客户端,还适于接收服务器返回的加密后的密钥;第二控制模块,适于生成第二公钥和第二私钥,还适于利用公共公钥将第一客户端的账户名、第二认证信息和第二公钥加密。
可选地,在根据本发明的第二客户端中,第二控制模块还适于利用第一私钥解密加密后的密钥,并根据密钥生成第三认证信息。
可选地,在根据本发明的第二客户端中,第二通信模块还适于从服务器获取所述账户名关联的账户信息。
可选地,在根据本发明的第二客户端中,其中账户信息包括:开关设置键值、用户解锁手势、Google应用信息、客户端绑定信息以及日志中的一个或多个。
可选地,在根据本发明的第二客户端中,其中第一认证信息、第二认证信息以及第三认证信息均为每隔同一预定时间按照同一预定规则根据所述密钥生成的六位数字。
可选地,在根据本发明的第二客户端中,其中预定时间为30秒。
根据本发明的还有一个方面,提供了一种服务器,包括:存储模块,适于存储公共公钥和公共私钥;第三通信模块,适于发送公共公钥至第一客户端,还适于接收来自第一客户端的、利用公共公钥加密后的账户名和第一公钥;第三控制模块,适于利用公共私钥解密第三通信模块接收的来自第一客户端的数据后,生成与账户名唯一关联的密钥,根据密钥生成第一认证信息;其中存储模块还适于存储第一公钥、账户名及其关联的密钥,第三控制模块还适于利用第一公钥加密密钥,第三通信模块还适于返回加密后的密钥至第一客户端,以便第一客户端利用第一私钥解密后根据密钥生成第二认证信息。
可选地,在根据本发明的服务器中,第三通信模块还适于发送公共公钥至第二客户端,还适于接收来自第二客户端的、利用公共公钥加密后的第一客户端的账户名、第二认证信息以及第二公钥;所述第三控制模块还适于利用公共私钥解密所述第三通信模块接收的来自第二客户端的数据,获取所述账户名关联的密钥及其生成的第一认证信息。
可选地,在根据本发明的服务器中,还包括认证模块,认证模块适于比对第一认证信息与第二认证信息,若比对一致,则认证通过,否则认证不通过;认证通过后第三控制模块利用所述第二公钥加密密钥,第三通信模块返回加密后的密钥至第二客户端,以便第二客户端利用第二私钥解密后根据密钥生成第三认证信息。
可选地,在根据本发明的服务器中,第三通信模块还适于接收来自第一客户端的、利用公共公钥加密后的账户名、第一公钥以及账户信息,第三控制模块还适于利用公共私钥解密加密后的账户名、第一公钥以及账户信息,将账户信息与账户名关联后存储至存储模块。
可选地,在根据本发明的服务器中,其中账户信息包括:开关设置键值、用户解锁手势、Google应用信息、客户端绑定信息以及日志中的一个或多个。
可选地,在根据本发明的服务器中,第三通信模块还适于将所述账户名关联的账户信息发送至第二客户端。
可选地,在根据本发明的服务器中,其中第一认证信息、第二认证信息以及第三认证信息均为每隔同一预定时间按照同一预定规则根据密钥生成的六位数字。
可选地,在根据本发明的服务器中,其中预定时间为30秒。
根据本发明的还有一个方面,提供了一种设备认证系统,包括根据本发明的第一客户端,根据本发明的第二客户端,以及根据本发明的服务器。
根据本发明的系统,通过利用已认证通过的设备的认证信息来认证下一个设备这种链条式的设备认证策略,解决了单独利用账户密码认证方式可能导致的个人信息泄漏的问题,极大地提高了账户安全性,确保用户信息不会被非可信设备获取。
附图说明
为了实现上述以及相关目的,本文结合下面的描述和附图来描述某些说明性方面,这些方面指示了可以实践本文所公开的原理的各种方式,并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述,本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开,相同的附图标记通常指代相同的部件或元素。
图1示出了根据本发明一个示例性实施例的设备认证系统100的结构框图;
图2示出了根据本发明一个示例性实施例的第一客户端110的结构框图;
图3示出了根据本发明一个示例性实施例的第二客户端120的结构框图;
图4示出了根据本发明一个示例性实施例的服务器130的结构框图;
图5示出了根据本发明一个实施例的设备认证方法500的流程图;以及
图6示出了根据本发明一个实施例的设备认证方法600的流程图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个示例性实施例的设备认证系统100的结构框图。如图1所示,设备认证系统100可以包括第一客户端110、第二客户端120以及服务器130,第一客户端110和第二客户端120均通过网络与服务器130连接。其中第一客户端110驻留在第一设备上,第二客户端120驻留在第二设备上,这里第一设备和第二设备可以是移动终端,也可以是计算设备,本发明对此不做限制。第二客户端120可以通过与第一客户端110和服务器130交互,来进行认证,认证通过后,第二客户端120可利用第一客户端110和第二客户端共有的账户名登录服务器130,进行该账户下账户信息(如解锁手势等信息)的下载同步,认证过程安全等级高。
图2示出了根据本发明一个示例性实施例的第一客户端110的结构框图,第一客户端110可以包括第一通信模块111和与之相连的第二控制模块112。
图4示出了根据本发明一个示例性实施例的服务器130的结构框图,服务器130可以包括存储模块131、第三通信模块132和第三控制模块133,还可以包括认证模块134。
服务器130中存储模块131存储有公共公钥(pub)和公共私钥(pri),公共公钥用于对所传输的数据加密,公共私钥用于对所接收的公共公钥加密的数据进行解密。
第一客户端110在第一设备上安装初始化时,其第一通信模块111从服务器130获取公共公钥,例如可调用函数initevenhanded(),而后服务器130中第三通信模块132发送其存储模块131存储的公共公钥至第一客户端110。其中服务器130可以是响应第一客户端110的请求发送公共公钥至客户端,也可以是自动下发公共公钥至第一客户端110,本发明对此不作限制。
第一客户端110中第一控制模块112从第一通信模块110接收公共公钥,生成与第一客户端110唯一关联的第一公钥(pub1)和第一私钥(pri1),利用公共公钥将账户名和第一公钥加密后,上传至服务器130。账户名为用户在第一客户端及服务器上的唯一ID帐号,例如用户手机号等,加密原理通常为RSA加密。
根据本发明的一个实施方式,第一客户端110第一控制模块112还可以利用公共公钥将账户名、第一公钥以及账户信息一并加密后由第一通信模块111上传至服务器130。其中账户信息可以包括开关设置键值、用户解锁手势、Google应用信息、客户端绑定信息以及日志中的一个或多个。通常地,开关设置键值为第一客户端110中的设置开关量,代表某项设置是开启还是关闭,开启则该项开关设置键值为1,关闭则为0;用户解锁手势为用户进入第一客户端之前需要输入的手势密码,由用户自定义;Google应用信息为第一客户端中用户绑定的支持Google Authenticator的网站和应用;客户端绑定信息为第一客户端中用户绑定的其他网站和应用。
服务器130中第三通信模块132适于接收来自第一客户端110、利用公共公钥加密后的账户名和第一公钥,与第三通信模块132相连的第三控制模块133利用服务器130的公共私钥解密上述第三通信模块132接收到的、来自第一客户端110的数据,得到账户名和第一公钥。
可选地,第三通信模块132还适于接收来自第一客户端110、利用公共公钥加密后的账户名、第一公钥以及上述账户信息,与第三通信模块132相连的第三控制模块133利用服务器130的公共私钥解密上述第三通信模块132接收到的、来自第一客户端110的数据,得到账户名、第一公钥以及账户信息,而后将账户信息与账户名关联后存储至存储模块131。
第三控制模块133生成与该账户名唯一关联的密钥,生成方式可以是随机的,也可以是根据一定规律生成,本发明对此不做限制。而后第三控制模块133还适于根据该密钥生成第一认证信息,该第一认证信息同样与账户名唯一关联。可选地,在第三控制模块133生成密钥之前,第三控制模块133可以在存储模块131中查找账户名是否已存在,若该账户名及其关联的密钥、根据该密钥生成的第一认证信息已存在,则第三通信模块132向第一客户端110返回消息提示用户输入该认证信息;若账户名不存在,存储模块131则存储第一公钥、账户名以及账户名关联的密钥,还可以存储根据该密钥生成的第一认证信息。
第三控制模块133利用接收到的第一客户端110的第一公钥将密钥加密后返回至第一客户端110。
第一客户端110中第一通信模块111接收服务器130返回的利用第一公钥加密后的密钥,第一控制模块112利用第一私钥将其解密,得到与账户名关联的唯一密钥,并根据该密钥生成第二认证信息。可选地,其中第一认证信息和第二认证信息均为每隔同一预定时间按照同一预定规则根据密钥生成的六位数字(如865743),该预定时间通常为30秒,预定规则一般为HOTP算法(An HMAC-Based One-Time Password Algorithm),HOTP算法是本领域技术人员公知的,因此本发明对此不进行说明。
以上过程可以通俗地理解为第一设备中第一客户端注册并认证通过,服务器130发送至第一客户端110的数据均利用第一公钥加密,第一客户端110接收后利用第一私钥解密。第一客户端110发送至服务器130的数据均利用公共公钥加密,服务器130接收后利用公共私钥解密。而接下来其他设备中客户端需要利用第一客户端来进行认证。以下以驻留在第二设备中的第二客户端为例说明:
图3示出了根据本发明一个示例性实施例的第二客户端120的结构框图,第二客户端120可以包括第一通信模块121和与之相连的第二控制模块122。
第二客户端120在第二设备上安装初始化时,其第二通信模块121从服务器130获取公共公钥,例如可调用函数initevenhanded(),而后服务器130中第三通信模块132发送其存储模块131存储的公共公钥至第一客户端110。其中服务器130可以是响应第二客户端120的请求发送公共公钥至第二客户端120,也可以是自动下发公共公钥至第二客户端120,本发明对此不作限制。
第二客户端120中第二控制模块122从第二通信模块121接收公共公钥,生成与第二客户端120唯一关联的第一公钥(pub2)和第一私钥(pri2)。用户可以在第二客户端120中输入已经注册过的、需要在第二客户端120使用并同步的账户名(即第一客户端110的账户名),以及第一客户端110当前生成的第二认证信息,第二控制模块122利用公共公钥将第一客户端110的账户名、第二认证信息和第二公钥加密后,由第二通信模块121上传至服务器130。其中加密原理通常为RSA加密。
服务器130中第三通信模块132接收来自第二客户端120的、利用公共公钥加密后的数据,第三控制模块133利用公共私钥将其解密,得到第一客户端110的账户名、第二认证信息和第二公钥,而后第三控制模块133可以在存储模块131中查找账户名是否已存在,若该账户名已存在,则获取账户名关联的密钥及其生成的第一认证信息;可选地,若账户名不存在,第三通信模块132向第二客户端120返回消息提示用户该账户名不存在。
与第三控制模块133相连的认证模块134比对来自第二客户端120的第二认证信息与服务器130生成的第一认证信息,若二者比对一致,则认证通过,否则认证不通过,第三通信模块132可以给第二客户端返回认证失败消息。
认证通过后,第三控制模块133利用接收到的第二客户端120的第二公钥加密上述账户名关联的密钥,第三通信模块132将加密后的密钥返回至第二客户端120。
根据本发明的另一个实施方式,第三通信模块132还适于将上述账户名关联的账户信息发送至第二客户端120,这里可以是响应第二客户端120的请求发送,也可以是自动下发。
第二客户端120中第二通信模块121接收服务器130返回的加密后的密钥,第二控制模块122利用第一私钥解密该加密后的密钥,得到密钥并根据密钥生成第三认证信息。生成原理同第一认证信息、第二认证信息。
可选地,第二通信模块121还适于从服务器130获取上述账户名关联的账户信息。
服务器130发送至第二客户端120的数据均利用第二公钥加密,第二客户端120接收后利用第二私钥解密。第二客户端120发送至服务器130的数据均利用公共公钥加密,服务器130接收后利用公共私钥解密。
以上过程可以通俗地理解为第二设备中第二客户端认证通过,服务器130发送至第二客户端120的数据均利用第二公钥加密,第二客户端120接收后利用第二私钥解密。第二客户端120发送至服务器130的数据均利用公共公钥加密,服务器130接收后利用公共私钥解密。接下来其他设备中客户端均需要利用第一客户端或第二客户端中的认证信息来进行认证,以及同步账户信息,解决了因单独认证设备(账户密码认证)而带来的安全隐患,避免了账户密码泄漏而导致的账户信息、个人隐私泄漏问题。其中第一认证信息、第二认证信息、第三认证信息时间均与服务器130同步。
图5示出了根据本发明一个实施例的设备认证方法500的流程图。
如图5所示,设备认证方法500在第一设备上的第一客户端110中执行,始于步骤S510,在步骤S510中,第一设备上的第一客户端110从服务器获取公共公钥。公共公钥用于对所传输的数据加密,公共私钥用于对所接收的公共公钥加密的数据进行解密。
接下来在步骤S520中,生成第一公钥和第一私钥,该第一公钥、第一私钥与第一客户端110唯一关联。而后在步骤S530中,利用公共公钥将账户名和第一公钥加密后上传至服务器,以便服务器利用公共私钥解密,生成与账户名关联的密钥,根据密钥生成第一认证信息后,返回利用第一公钥加密的密钥至第一客户端,以便第一客户端利用第一私钥解密。
可选地,将账户名和第一公钥加密后上传至服务器的步骤包括:利用公共公钥将账户名、第一公钥和账户信息加密后上传至服务器,以便服务器利用公共私钥解密,将账户信息与账户名关联后存储。其中账户信息包括:开关设置键值、用户解锁手势、Google应用信息、客户端绑定信息以及日志中的一个或多个。
第一客户端110获取密钥后,在步骤S540中,根据密钥生成第二认证信息。
图6示出了根据本发明一个实施例的设备认证方法600的流程图。
如图5所示,设备认证方法600在第二设备上的第二客户端120中执行,始于步骤S610,在步骤S610中,从服务器获取公共公钥。接下来在步骤S620中,生成第二公钥和第二私钥,该第二公钥、第二私钥与第二客户端120唯一关联。
而后在步骤S630中,利用该公共公钥将第二公钥和第一客户端的账户名、第二认证信息加密后上传至服务器,以便服务器利用公共私钥解密,获取账户名关联的密钥及第一认证信息,将第一认证信息与第二认证信息比对一致后,返回利用第二公钥加密的密钥至第二客户端,以便第二客户端利用第二私钥解密。可选地,第二客户端120接收加密后密钥同时,还可以从服务器130获取账户名关联的账户信息。
可选地,设备认证方法600还包括S640,在步骤S640中,第二客户端120可以根据密钥生成第三认证信息。
根据本发明的还有一个实施方式,设备认证方法500和600中,第一认证信息、第二认证信息以及第三认证信息均为每隔同一预定时间按照同一预定规则根据密钥生成的六位数字,预定时间通常为30秒。
以上在结合图1、图2和图3说明二维码登录系统100的具体描述中已经对各步骤中的相应处理进行了详细解释,这里不再对重复内容进行赘述。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员应当理解在本文所公开的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中,或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
此外,所述实施例中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此,具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外,装置实施例的在此所述的元素是如下装置的例子:该装置用于实施由为了实施该发明的目的的元素所执行的功能。
本发明还包括:A3、如A1所述的方法,将账户名和第一公钥加密后上传至服务器的步骤包括:利用公共公钥将账户名、第一公钥和账户信息加密后上传至服务器,以便服务器利用公共私钥解密,将账户信息与账户名关联后存储。A4、如A3所述的方法,其中账户信息包括:开关设置键值、用户解锁手势、Google应用信息、客户端绑定信息以及日志中的一个或多个。A5、如A3或4所述的方法,该方法包括:第二客户端从服务器获取所述账户名关联的账户信息。A6、如A1-5中任一项所述的方法,所述第一认证信息、第二认证信息以及第三认证信息均为每隔同一预定时间按照同一预定规则根据所述密钥生成的六位数字。A7、如A5所述的方法,其中所述预定时间为30秒。
B10、如B9所述的第一客户端,其中所述账户信息包括:开关设置键值、用户解锁手势、Google应用信息、客户端绑定信息以及日志中的一个或多个。B11、如B8-10中任一项所述的第一客户端,其中所述第一认证信息和第二认证信息均为每隔同一预定时间按照同一预定规则根据所述密钥生成的六位数字。B12、如B11所述的第一客户端,其中所述预定时间为30秒。
C15、如C13所述的第二客户端,所述第二通信模块还适于从服务器获取所述账户名关联的账户信息。C16、如C15所述的第二客户端,其中所述账户信息包括:开关设置键值、用户解锁手势、Google应用信息、客户端绑定信息以及日志中的一个或多个。17、如C13-16中任一项所述的第二客户端,其中所述第一认证信息、第二认证信息以及第三认证信息均为每隔同一预定时间按照同一预定规则根据所述密钥生成的六位数字。C18、如C17所述的第二客户端,其中所述预定时间为30秒。
D22、如D19-21中任一项所述的服务器,所述第三通信模块还适于接收来自第一客户端的、利用公共公钥加密后的账户名、第一公钥以及账户信息,所述第三控制模块还适于利用公共私钥解密加密后的账户名、第一公钥以及账户信息,将所述账户信息与所述账户名关联后存储至所述存储模块。D23、如D22所述的服务器,其中所述账户信息包括:开关设置键值、用户解锁手势、Google应用信息、客户端绑定信息以及日志中的一个或多个。D24、如D22或23所述的服务器,所述第三通信模块还适于将所述账户名关联的账户信息发送至第二客户端。D25、如D19-24中任一项所述的服务器,其中所述第一认证信息、第二认证信息以及第三认证信息均为每隔同一预定时间按照同一预定规则根据所述密钥生成的六位数字。D26、如D25所述的服务器,其中所述预定时间为30秒。
如在此所使用的那样,除非另行规定,使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例,并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。

Claims (10)

1.一种设备认证方法,该方法包括:
第一设备上的第一客户端从服务器获取公共公钥,并生成第一公钥和第一私钥,利用所述公共公钥将账户名和第一公钥加密后上传至服务器,以便服务器利用公共私钥解密,生成与账户名关联的密钥,根据密钥生成第一认证信息后,返回利用第一公钥加密的密钥至第一客户端,以便第一客户端利用第一私钥解密;
第一客户端根据密钥生成第二认证信息;
第二设备上的第二客户端从服务器获取公共公钥,并生成第二公钥和第二私钥,利用所述公共公钥将所述第二公钥和第一客户端的账户名、第二认证信息加密后上传至服务器,以便服务器利用公共私钥解密,获取所述账户名关联的密钥及第一认证信息,将第一认证信息与第二认证信息比对一致后,返回利用第二公钥加密的密钥至第二客户端,以便第二客户端利用第二私钥解密。
2.如权利要求1所述的方法,该方法还包括:
第二客户端根据密钥生成第三认证信息。
3.一种第一客户端,驻留在第一设备上,包括:
第一通信模块,适于从服务器获取公共公钥,还适于将加密后的账户名和第一公钥上传至所述服务器,以便服务器利用公共私钥解密,生成与账户名关联的密钥,并根据密钥生成第一认证信息后,返回利用第一公钥加密的密钥至第一客户端;还适于接收所述服务器返回的加密后的密钥;
第一控制模块,适于生成第一公钥和第一私钥,还适于利用所述公共公钥将账户名和第一公钥加密;还适于利用所述第一私钥解密所述加密后的密钥,并根据所述密钥生成第二认证信息。
4.如权利要求3所述的第一客户端,所述第一控制单元还适于利用公共公钥将账户名、第一公钥以及账户信息加密,所述第一通信单元还适于将加密后的账户信息上传至服务器,以便服务器利用公共私钥解密,将账户信息与账户名关联后存储。
5.一种第二客户端,驻留在第一设备上,适于与第一客户端、服务器交互来通过认证,包括:
第二通信模块,适于从所述服务器获取公共公钥,还适于将加密后的第一客户端的账户名、第二认证信息和所述第二公钥上传至服务器,以便服务器利用公共私钥解密,获取所述账户名关联的密钥及第一认证信息,将第一认证信息与第二认证信息比对一致后,返回利用第二公钥加密的密钥至第二客户端,还适于接收所述服务器返回的加密后的密钥;
第二控制模块,适于生成第二公钥和第二私钥,还适于利用所述公共公钥将第一客户端的账户名、第二认证信息和所述第二公钥加密。
6.如权利要求5所述的第二客户端,所述第二控制模块还适于利用所述第一私钥解密所述加密后的密钥,并根据密钥生成第三认证信息。
7.一种服务器,包括:
存储模块,适于存储公共公钥和公共私钥;
第三通信模块,适于发送公共公钥至第一客户端,还适于接收来自第一客户端的、利用公共公钥加密后的账户名和第一公钥;
第三控制模块,适于利用公共私钥解密所述第三通信模块接收的来自第一客户端的数据后,生成与账户名唯一关联的密钥,根据所述密钥生成第一认证信息;
其中所述存储模块还适于存储第一公钥、账户名及其关联的密钥,所述第三控制模块还适于利用第一公钥加密所述密钥,所述第三通信模块还适于返回加密后的密钥至第一客户端,以便第一客户端利用第一私钥解密后根据所述密钥生成第二认证信息。
8.如权利要求7所述的服务器,所述第三通信模块还适于发送公共公钥至第二客户端,还适于接收来自第二客户端的、利用公共公钥加密后的第一客户端的账户名、第二认证信息以及第二公钥;所述第三控制模块还适于利用公共私钥解密所述第三通信模块接收的来自第二客户端的数据,获取所述账户名关联的密钥及其生成的第一认证信息。
9.如权利要求8所述的服务器,还包括认证模块,所述认证模块适于比对第一认证信息与第二认证信息,若比对一致,则认证通过,否则认证不通过;认证通过后所述第三控制模块利用所述第二公钥加密所述密钥,所述第三通信模块返回加密后的密钥至第二客户端,以便第二客户端利用第二私钥解密后根据所述密钥生成第三认证信息。
10.一种设备认证系统,包括如权利要求3-4中任一项所述的第一客户端,如权利要求5-6中任一项所述的第二客户端,以及如权利要求7-9中任一项所述的服务器。
CN201510380020.0A 2015-07-01 2015-07-01 一种设备认证方法、服务器及系统 Active CN104994095B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510380020.0A CN104994095B (zh) 2015-07-01 2015-07-01 一种设备认证方法、服务器及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510380020.0A CN104994095B (zh) 2015-07-01 2015-07-01 一种设备认证方法、服务器及系统

Publications (2)

Publication Number Publication Date
CN104994095A true CN104994095A (zh) 2015-10-21
CN104994095B CN104994095B (zh) 2018-10-19

Family

ID=54305847

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510380020.0A Active CN104994095B (zh) 2015-07-01 2015-07-01 一种设备认证方法、服务器及系统

Country Status (1)

Country Link
CN (1) CN104994095B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105827412A (zh) * 2016-03-14 2016-08-03 中金金融认证中心有限公司 认证方法、服务器及客户端
CN106230784A (zh) * 2016-07-20 2016-12-14 杭州华三通信技术有限公司 一种设备验证方法及装置
CN107993073A (zh) * 2017-12-29 2018-05-04 舟山振凯信息科技有限公司 一种人脸识别系统及其工作方法
CN109219814A (zh) * 2016-02-25 2019-01-15 码萨埃比公司 用于取证访问控制的系统和方法
CN111511084A (zh) * 2020-04-20 2020-08-07 北京智米科技有限公司 一种灯具智能控制方法和系统以及灯具
CN112713943A (zh) * 2020-11-30 2021-04-27 安徽澄小光智能科技有限公司 量子保密通信系统
CN113193964A (zh) * 2021-05-08 2021-07-30 国民认证科技(北京)有限公司 一种手势密码结合fido的识别身份的方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101431410A (zh) * 2007-11-09 2009-05-13 康佳集团股份有限公司 一种网络游戏客户端与服务器集群的认证方法
CN101442411A (zh) * 2008-12-23 2009-05-27 中国科学院计算技术研究所 一种p2p网络中对等用户结点间的身份认证方法
CN101969446A (zh) * 2010-11-02 2011-02-09 北京交通大学 一种移动商务身份认证方法
US20120131343A1 (en) * 2010-11-22 2012-05-24 Samsung Electronics Co., Ltd. Server for single sign on, device accessing server and control method thereof
CN104735065A (zh) * 2015-03-16 2015-06-24 联想(北京)有限公司 一种数据处理方法、电子设备及服务器

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101431410A (zh) * 2007-11-09 2009-05-13 康佳集团股份有限公司 一种网络游戏客户端与服务器集群的认证方法
CN101442411A (zh) * 2008-12-23 2009-05-27 中国科学院计算技术研究所 一种p2p网络中对等用户结点间的身份认证方法
CN101969446A (zh) * 2010-11-02 2011-02-09 北京交通大学 一种移动商务身份认证方法
US20120131343A1 (en) * 2010-11-22 2012-05-24 Samsung Electronics Co., Ltd. Server for single sign on, device accessing server and control method thereof
CN104735065A (zh) * 2015-03-16 2015-06-24 联想(北京)有限公司 一种数据处理方法、电子设备及服务器

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109219814A (zh) * 2016-02-25 2019-01-15 码萨埃比公司 用于取证访问控制的系统和方法
CN109219814B (zh) * 2016-02-25 2022-05-13 码萨埃比公司 用于取证访问控制的系统和方法
CN105827412A (zh) * 2016-03-14 2016-08-03 中金金融认证中心有限公司 认证方法、服务器及客户端
CN105827412B (zh) * 2016-03-14 2019-01-08 中金金融认证中心有限公司 认证方法、服务器及客户端
CN106230784A (zh) * 2016-07-20 2016-12-14 杭州华三通信技术有限公司 一种设备验证方法及装置
CN107993073A (zh) * 2017-12-29 2018-05-04 舟山振凯信息科技有限公司 一种人脸识别系统及其工作方法
CN107993073B (zh) * 2017-12-29 2020-10-02 舟山振凯信息科技有限公司 一种人脸识别系统及其工作方法
CN111511084A (zh) * 2020-04-20 2020-08-07 北京智米科技有限公司 一种灯具智能控制方法和系统以及灯具
CN112713943A (zh) * 2020-11-30 2021-04-27 安徽澄小光智能科技有限公司 量子保密通信系统
CN112713943B (zh) * 2020-11-30 2024-03-12 安徽澄小光智能科技有限公司 量子保密通信系统
CN113193964A (zh) * 2021-05-08 2021-07-30 国民认证科技(北京)有限公司 一种手势密码结合fido的识别身份的方法及系统
CN113193964B (zh) * 2021-05-08 2023-02-07 国民认证科技(北京)有限公司 一种手势密码结合fido的识别身份的方法及系统

Also Published As

Publication number Publication date
CN104994095B (zh) 2018-10-19

Similar Documents

Publication Publication Date Title
CN106664202B (zh) 提供多个设备上的加密的方法、系统和计算机可读介质
CN104994095A (zh) 一种设备认证方法、客户端、服务器及系统
US9767299B2 (en) Secure cloud data sharing
US9485096B2 (en) Encryption / decryption of data with non-persistent, non-shared passkey
US8984295B2 (en) Secure access to electronic devices
US10659226B2 (en) Data encryption method, decryption method, apparatus, and system
CN110099048B (zh) 一种云存储方法及设备
KR101982237B1 (ko) 클라우드 컴퓨팅 환경에서의 속성 기반 암호화를 이용한 데이터 공유 방법 및 시스템
US11451533B1 (en) Data cycling
CN105812332A (zh) 数据保护方法
CN109543434B (zh) 区块链信息加密方法、解密方法、存储方法及装置
KR102274285B1 (ko) 동적 공유 시크릿 분배 방식의 otp 보안관리 방법
CN108111497A (zh) 摄像机与服务器相互认证方法和装置
CN112115461B (zh) 设备认证方法、装置、计算机设备和存储介质
CN110708291B (zh) 分布式网络中数据授权访问方法、装置、介质及电子设备
WO2020123926A1 (en) Decentralized computing systems and methods for performing actions using stored private data
CN105262592A (zh) 一种数据交互的方法及api接口
CN107181589B (zh) 一种堡垒机私钥管理方法及装置
KR101358375B1 (ko) 스미싱 방지를 위한 문자메시지 보안 시스템 및 방법
CN105577650A (zh) 一种动态令牌的远程时间同步方法及系统
US9135449B2 (en) Apparatus and method for managing USIM data using mobile trusted module
CN210745178U (zh) 一种身份认证系统
EP3598689B1 (en) Managing central secret keys of a plurality of user devices associated with a single public key
CN112787821A (zh) 非对称加密Token验证方法、服务器、客户端及系统
CN106067875B (zh) 智能终端加密方法与系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information

Inventor after: Wu Hongsheng

Inventor before: Wu Hongsheng

Inventor before: Wu Yunbin

COR Change of bibliographic data
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20170523

Address after: 510660, room 2, 388 central street, Huangcun village, Guangzhou, Guangdong, Tianhe District

Applicant after: Guangzhou cipher technology Co., Ltd.

Address before: 100000 Beijing city Chaoyang District South Mill Road No. 37 room 1701-1703 (Downtown North boring centralized Office District No. 177427)

Applicant before: SECKEN, INC.

GR01 Patent grant
GR01 Patent grant