CN105516111A

CN105516111A - 智能设备实时数据交互方法

Info

Publication number: CN105516111A
Application number: CN201510869029.8A
Authority: CN
Inventors: 刘金明
Original assignee: CHENGDU HARMONY TECHNOLOGY Co Ltd
Current assignee: CHENGDU HARMONY TECHNOLOGY Co Ltd
Priority date: 2015-12-02
Filing date: 2015-12-02
Publication date: 2016-04-20

Abstract

本发明提供了一种智能设备实时数据交互方法，该方法包括：智能设备接收应用平台的身份认证请求，使用基于RFID的身份标识芯片获取身份信息并验证其合法性，并将身份信息的验证结果返回至应用平台。本发明提出了一种智能设备实时数据交互方法，针对智能设备与服务器的环境实现了高效实时的用户身份认证，提高了移动互联网用户身份的保密性和真实性。

Description

智能设备实时数据交互方法

技术领域

本发明涉及智能设备通信，特别涉及一种智能设备实时数据交互方法。

背景技术

随着互联网技术的不断发展，电子政务、电子商务，电子金融以及社交网络等网络服务的重要性逐渐增加。移动互联网将移动设备与互联网相结合，使用户可以随时随地从互联网中获取资源和服务，为用户体验互联网服务提供更为便捷的方式。随着移动互联网和物联网的技术发展日渐成熟以及不断普及应用，网络空间逐渐形成了一种泛在互联网环境。网络空间另一方面也带来了各种网络安全和个人隐私保护问题的挑战。出现用户隐私信息泄露。归根结底在于缺乏一种安全有效的网络信任与身份管理体系。网络空间中用户身份具有虚拟性和难以确定性。网络用户缺乏网络行为责任意识，利用网络身份的虚拟性，进行发布不良信息、甚至参与非法活动，进一步加重了网络空间用户身份管理的严峻局势。当前互联网的实名方法普遍采用通过姓名，身份证号，或者还有手机信息验证用户的身份。但是无法完全确定用户身份的可信性，难以从根本上对用户隐私进行保护，同时也无法真正保证网络用户身份的实名可信性。此外，现有的身份认证方法都无法有效地适用于智能设备。

发明内容

为解决上述现有技术所存在的问题，本发明提出了一种智能设备实时数据交互方法，包括：

智能设备接收应用平台的身份认证请求，使用基于RFID的身份标识芯片获取身份信息并验证其合法性，并将身份信息的验证结果返回至应用平台。

优选地，所述基于RFID的身份标识芯片内置RFID通信模块，使用非接触方式与智能设备交互，配置相应的RFID读卡器与PC连接，身份标识芯片的内部物理结构包括主处理器，片上存储器、RFID模块即前端单元模块，天线；身份标签采用PKI，在网络环境中把需要传输的数字信息进行加密和签名，将个人的身份标签与后台数据库关联，设置PUK码保护机制，在用户使用身份标签时首先验证用户的输入PUK码；

所述客户端读取身份标识芯片中的有效信息，并与认证服务器建立安全的会话通道验证身份信息的合法性，之后客户端将身份信息的验证结果返回至应用平台；客户端包括分别用于读取芯片信息、身份认证、结果处理，用户显示和日志记录的模块；当用户使用登录时，APP发出身份认证的请求，同时向客户端程序提供APP标识，用于身份认证成功后查询并获取用户帐户列表；验证PUK码成功之后，将获取的身份信息传入身份认证模块，通过无线局域网络建立可信网络会话通道，与认证服务器进行信息交互；认证服务器返回的认证信息由三个域组成，分别是认证结果、用户ID、异常代码，当身份认证失败时，认证服务器返回异常代码，根据异常代码的不同向用户显示相关信息，同时向应用平台返回认证失败；如果身份认证成功，认证服务器返回由应用平台特征码、身份许可证信息、时间戳计算出来的传输标记符，结果处理模块向应用平台返回认证成功的结果提示，同时将该传输标记符返回应用平台，应用平台根据传输标记符进行后续的验证操作；将身份认证的结果返回APP，显示结果，若认证成功即显示成功；若认证失败根据返回的错误情况代码给用户相应的提示；记录最近的身份认证结果作为后台数据备份，包括APP申请身份认证的时间戳、APP标识、身份许可证序列号、认证结果、认证结束时间以及备注信息；日志文件采用文本格式，加密存储在客户端自身的程序空间内；

应用平台管理端向认证服务器申请应用平台特征码，认证服务器审核应用平台管理端的合法性，为每个应用平台管理端分配一个唯一标识应用平台的字符串记为应用平台特征码；应用平台向认证服务器验证身份信息时，提供应用平台特征码，认证服务器先检验应用平台特征码的合法性，随后再处理应用平台提交的身份验证请求；应用平台与客户端交互，发送身份认证请求以及用户的事务请求，同时接收并解析客户端反馈的身份验证结果；应用平台使用程序间调用或者使用浏览器调用客户端提出身份认证申请，并接收客户端返冋的身份认证结果；根据获取到的结果进一步对用户的身份进行判定；若认证成功，应用平台将用户ID发送至应用平台所在的服务器；服务器收到用户ID后，与认证服务器建立安全可信的会话通道，验证用户ID的合法性；验证通过之后获取与身份关联的用户信息，由应用平台所在服务器执行事务逻辑，同时用户端应用平台完成登录操作。

本发明相比现有技术，具有以下优点：

本发明提出了一种智能设备实时数据交互方法，针对智能设备与服务器的环境实现了高效实时的用户身份认证，提高了移动互联网用户身份的保密性和真实性。

附图说明

图1是根据本发明实施例的智能设备实时数据交互方法的流程图。

具体实施方式

下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明，但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定，并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节，并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。

本发明的一方面提供了一种智能设备实时数据交互方法。图1是根据本发明实施例的智能设备实时数据交互方法流程图。本发明的移动身份认证系统整体框架包含四个部分：认证服务器、基于RFID的身份标识芯片、客户端和应用平台。其中，认证服务器在整体框架中为各个应用平台提供身份认证服务，认证服务器收到用户的登录请求后，会获取用户的身份许可证，并通过SSL安全通道，将许可证提交身份信息服务器进行校验。认证服务器鉴定身份许可证成功之后，通过安全可靠的可信标记符机制实现用户以注册的信息系统帐户的权限，访问应用平台。其次，基于RFID的身份标识芯片，为适用于智能设备而设计。身份标识芯片除了内置RFID通信单元，实现与智能设备的通信，内置安全模块，保障卡中信息的安全存储，通过片上存储器中保存的加密算法，可以对数据进行加密传输。再次，客户端是身份标识芯片与认证服务器交互的中间部件，客户端用于接收应用平台发送的身份认证请求，通过智能设备的RFID通信单元获取身份标识芯片中信息，代理验证用户身份信息的合法性，并将身份信息的验证结果返回至应用平台。

认证服务器有两个模块构成，一个是认证单元，一个是存储传输单元。认证单元提供用户的许可证校验服务以及认证事务处理服务；存储传输单元通过实现安全传输、安全操作以及安全存储为用户提供安全可靠的安全保障环境。

认证单元采用集中验证，创建统一的验证中心，为各个应用平台提供身份认证服务，根据用户身份标识芯片中的许可证进行身份鉴别和有效状态的查询确认。通过认证后用户可以访问相应的应用平台。认证单元除了为应用平台提供用户合法性的验证服务之外，还为认证用户提供身份认证系统与应用平台的帐户信息关联，获取关联信息，以及撤销身份认证系统与应用平台的帐户信息关联。认证服务器支持高访问量并发用户的访问请求并且可以有效地防止外部攻击，具有冗余备份和故障恢复机制。

认证服务器为各个应用平台提供统一的身份认证服务，当应用平台收到用户的登录请求时，将重定向于认证服务器。认证单元的功能包括：用户首次登录时，对身份信息与应用平台帐户进行映射的帐户关联、用户非首次登录过程中，用于进行身份许可证校验、身份校验通过后的可信标记符生成、信息系统验证标记符的标记符有效性确认。

用户使用身份首次登录应用平台时，先将身份认证系统与应用平台帐户信息关联，一个身份可以关联多个应用平台的多个帐户信息。认证服务器本地保存将身份信息与应用平台的帐户信息的对应关系，通过加密存储技术保证数据存储的安全性；在用户每次使用登录应用平台时，认证服务器直接读取本地数据，获取身份信息所映射的应用平台帐户信息。此外，帐户关联允许用户随时撤销认证信息与帐户信息的关联关系，认证服务器后台实时更新关联信息。身份许可证验证包括验证身份信息的真实性，代理验证身份信息的合法性，之后将验证结果返回至身份验证请求方。用户的身份信息验证成功以后，认证服务器根据应用平台特征码、身份信息和时间戳等计算出传输标记符，将标记符的值以URL的形式返回给客户端。接收应用平台提供的应用平台特征码和标记符，验证标记符的合法有效性，如果标记符己经过时或失效，则返回应用平台相应错误提示；如果标记符验证成功，则返回应用平台与身份所关联的帐户列表。

所述存储传输单元通过安全传输、安全操作以及安全存储来实现使用身份进行身份认证的稳定环境。

安全存储单元分为许可证撤销列表缓存，加密数据存储和安全检验日志3个单元。设置许可证撤销列表缓存，为应用平台提供高效的查询服务，同时更新最近特定时间内身份的许可证撤销列表，保证缓存中存储数据的实时有效性。其次，采用对存储数据的加密是安全存储的基础。采用DES算法对数据进行加密存储。另外，安全检验单元记录服务器运行过程中所形成的操作信息。可对服务器访问信息，数据库中数据的更新，以及系统出现故障等进行实时监测，并形成日志文件，加密存储至后台数据库中，为认证服务器的检验工作提供可靠依据。安全操作单元保障认证服务器的帐户信息关联、关键操作核准以及身份认证管理。在身份信息关联、身份信息验证等关键操作环节，从功能和性能两方面分别进行实时检测，如果出现异常情况及时进行处理。安全传输单元通过对数据进行加密传输，防止信息在网络传输时被恶意攻击或截获。在与应用平台、客户端以及身份信息服务器进行交互时，通过安全传输单元规定的传输加密协议，将需要传输的数据有明文转为密文，发送至接收方。接收方根据密钥再将密文转换为明文。安全传输单元有效保证认证服务器与应用平台以及客户端的安全通信。此外，为减少通信流量的产生，降低网络延迟，安全传输单元设计高效、精简、安全的通信协议和数据格式应用于认证服务器与应用平台之间的通信。

本发明基于RFID的身份终端内置RFID通信模块，使用非接触方式与智能设备交互，配置相应的RFID读卡器与PC连接，将身份标识芯片接近读卡器，即可使用身份标签进行身份认证。身份标识芯片的内部物理结构包括主处理器，片上存储器、RFID模块即前端单元模块，天线以及其他必要的物理硬件。身份标识芯片中各个组件协调工作，共同实现了身份标识芯片的各项功能。

身份标签采用PKI，通过在网络环境中把需要传输的数字信息进行加密和签名，来保证信息传输的真实性、完整性、机密性和不可否认性。身份认证采用PKI机制将个人的身份与后台数据库关联，从而实现前端匿名，后端实名，有效地保护用户的个人隐私信息。此外，身份设置PUK码保护机制，用户使用身份时需要先输入PUK码，保证了身份标识芯片的安全使用。

RFID通信控制模块，用于身份标识芯片周围射频信号的调解与解调工作，同时也处理非接触通信的相关协议与规则，以实现信号的发送与接收，另一边通过单线连接协议SWP与可信平台模块通信，进行RFID标签信息的读写操作。

为保障片上存储器中数据的安全存储，在片上存储器中添加可信平台模块。对于片上存储器中存储的敏感数据进行运算和加密，通过RFID前端模块，与外部读写设备进行通信，保证数据交换过程中的安全性。

客户端用于与终端用户进行交互，读取身份标识芯片中的有效信息，并与认证服务器建立安全的会话通道验证身份信息的合法性，之后，客户端将身份信息的验证结果返回至应用平台。

客户端由五个模块构成：读取芯片信息、身份认证、结果处理，用户显示和日志记录模块。当用户使用登录时，APP会调用客户端，发出身份认证的请求，同时向客户端程序提供APP标识，此标识用于身份认证成功后查询并获取用户帐户列表。客户端通过智能设备的RFID单元获取相关身份信息。验证用户输入PUK码。验证PUK码成功之后，将获取的身份信息传入身份认证模块，通过无线局域网络建立安全可信的网络会话通道，与认证服务器进行信息交互。认证服务器返回的认证信息由三个域组成，分别是认证结果、用户ID、异常代码，根据认证结果的不同，这三个域组合使用，可分为两大类。一类是身份认证失败，认证服务器返回异常代码，此时根据异常代码的不同向用户显示相关信息，与此同时向应用平台返回认证失败，无法进行后续操作的结果。另一类是身份认证成功，此时认证服务器返回由应用平台特征码、身份许可证信息、时间戳等数据计算出来的传输标记符，结果处理模块向应用平台返回认证成功的结果提示，同时将此传输标记符返回应用平台，应用平台根据传输标记符进行后续的验证操作。身份认证的结果返回APP，显示结果，认证成功即显示成功；认证失败根据返回的错误情况代码给用户相应的提示，如身份许可证过期；记录最近的身份认证结果作为后台数据备份，包括APP申请身份认证的时间戳、APP标识、身份许可证序列号、认证结果、认证结束时间以及其他备注信息。日志文件采用文本格式，加密存储在客户端自身的程序空间内。客户端对外提供特定的功能接口，方便APP的接口。在客户端运行的整个周期内，用户只需要将身份标识芯片接近智能设备背面即可获得相应的身份信息。

应用平台管理端先向认证服务器应用平台特征码，认证服务器审核应用平台管理端的合法性，之后为每个应用平台管理端分配一个唯一标识应用平台的字符串记为应用平台特征码。应用平台向认证服务器验证身份信息时，提供应用平台特征码，认证服务器先检验应用平台特征码的合法性，随后再处理应用平台提交的身份验证请求。

应用平台一方面与客户端交互，发送身份认证请求以及用户的事务请求(包括登录、注册和修改密码)，同时接收并解析客户端反馈的身份验证结果；另一方面，应用还与认证服务器进行安全的通信，验证传输标记符的有效性，并根据验证结果执行相应的事务逻辑操作。

应用平台使用程序间调用或者使用浏览器调用客户端提出身份认证申请，并接收客户端返冋的身份认证结果。应用平台根据获取到的结果进一步对用户的身份进行判定。认证失败直接拒绝操作。认证成功，客户端会返回网络，此时应用平台需要将此用户ID发送至应用平台所在的服务器。服务器收到用户ID后，需要与认证服务器建立安全可信的会话通道，验证此用户ID的合法性。验证通过之后获取与身份关联的用户信息，由应用平台所在服务器执行事务逻辑，同时用户端应用平台完成登录操作。

根据移动身份认证的框架，将移动身份认证的操作流程细化为以下步骤，其中将应用平台进一步细化为应用门户和后台服务器。

用户登录应用平台，应用门户向后台服务器发起登录请求。

后台服务器检测到用户登录请求，将用户的登录请求、身份认证服务的访问路径以及应用平台唯一标识发给应用门户。其中，应用平台特征码是标识应用平台的唯一序列号。应用门户根据登录请求类型跳转到客户端。

客户端收到登录请求，提示用户将身份标识芯片接近智能设备，进行读取身份标识芯片信息操作。在成功验证身份标识芯片PUK码之后，客户端通过智能设备的RFID功能与身份标识芯片通信，获取身份标识芯片中的有效信息。

客户端向认证服务器提交身份信息和应用平台特征码。

认证服务器验证身份信息的真实合法性，如果验证成功，则根据时间戳、身份信息和应用平台特征码计算出用户传输标记符，返回给客户端；如果验证失败，则向客户端返回相应的异常代码。

客户端根据应用平台特征码，将身份信息的验证结果返回给应用门户。

应用门户根据身份信息的验证结果，执行下一步的逻辑操作。如果验证成功，后台服务器将获取验证结果中的标记符；如果验证失败，后台服务器拒绝用户访问应用门户，认证流程结束。

后台服务器携带标记符访问认证服务器，验证标记符的合法有效性。

认证服务器在标记符验证通过之后，向应用平台返回身份信息所关联的用户名列表。如果标记符验证失败，则返回验证失败结果。

后台服务器根据标记符的验证结果选择相应的事务逻辑。

如果验证结果为成功，则以身份信息所关联的用户名登录应用平台；如果验证结果为失败，则拒绝用户访问应用平台，要求用户重新验证身份信息。

客户端通过HTTPS协议与认证服务器建立安全可靠的会话通道。客户端或者浏览器首先向服务器端发出连接的请求，请求中包含加密算法的种类，所产生的随机数以及其他客户端与服务器端通信所需要的信息；

服务器端把所支持的加密算法对应的许可证返回客户端，包含CA颁发机构和加密公钥等信息；

客户端根据接收到的信息验证服务器端的合法性，之后随机产生一个对称密钥，并利用服务器端提供的加密公钥对其进行加密，再将加密后的对称密钥发送至服务器端；

服务器端要求客户端进行身份认证，客户端产生一个随机数然后对其进行数据签名，并将含有数字签名的随机数和客户端自己的许可证一起传给服务器。

服务器端验证客户端的身份合法性，如果验证没有通过，则立刻中断通信；如果验证通过，服务器端用自己的私钥解开加密的“对称密钥”，然后产生通信密码，客户端也通过相同的方法产生对应的通信密码。

客户端和服务器端约定，指明后面的数据通信将使用的通信密码为对称密钥。

综上所述，本发明提出了一种智能设备实时数据交互方法，针对智能设备与服务器的环境实现了高效实时的用户身份认证，提高了移动互联网用户身份的保密性和真实性。

显然，本领域的技术人员应该理解，上述的本发明的各模块或各步骤可以用通用的计算系统来实现，它们可以集中在单个的计算系统上，或者分布在多个计算系统所组成的网络上，可选地，它们可以用计算系统可执行的程序代码来实现，从而，可以将它们存储在存储系统中由计算系统来执行。这样，本发明不限制于任何特定的硬件和软件结合。

应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。

Claims

1.一种智能设备实时数据交互方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述基于RFID的身份标识芯片内置RFID通信模块，使用非接触方式与智能设备交互，配置相应的RFID读卡器与PC连接，身份标识芯片的内部物理结构包括主处理器，片上存储器、RFID模块即前端单元模块，天线；身份标签采用PKI，在网络环境中把需要传输的数字信息进行加密和签名，将个人的身份标签与后台数据库关联，设置PUK码保护机制，在用户使用身份标签时首先验证用户的输入PUK码；