CN106411512A - 一种基于身份认证进行数据传输的设备及方法 - Google Patents
一种基于身份认证进行数据传输的设备及方法 Download PDFInfo
- Publication number
- CN106411512A CN106411512A CN201611032225.0A CN201611032225A CN106411512A CN 106411512 A CN106411512 A CN 106411512A CN 201611032225 A CN201611032225 A CN 201611032225A CN 106411512 A CN106411512 A CN 106411512A
- Authority
- CN
- China
- Prior art keywords
- main frame
- mobile terminal
- authentication
- data
- memorizer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Abstract
本发明公开了一种基于身份认证进行数据传输的设备和方法,所述设备包括:连接单元,用于将移动终端与主机进行通信连接;控制单元,用于确定主机是否要向移动终端的存储器内写入数据或要从存储器内读取数据,如果主机要向存储器内写入数据或要从存储器内读取数据,则触发认证单元对主机进行身份认证;认证单元,用于对主机进行身份认证并且在主机通过身份认证后将所述主机标识为信任方;以及传输单元,允许被标识为信任方的主机从存储器读取数据或向存储器写入数据。本发明还涉及一种用于执行或包括基于身份认证进行数据传输的设备的移动终端。
Description
技术领域
本发明涉及数据传输领域,更具体地,涉及一种基于身份认证进行数据传输的设备、方法以及移动终端。
背景技术
随着诸如手机的移动终端的普及率快速提高,人们的日常生活已经越来越依赖于移动终端的使用。目前,智能化的移动终端能够满足人们在各种领域的需求,例如,在工作领域、学习领域以及商务领域中的各种需求。在这种情况下,用户通常会将大量的个人信息保存在移动终端内。通常,这种个人信息可能包括通讯录信息、工作文档信息、个人图片信息、个人视频信息等。此外,随着用户使用移动终端进行支付的情况越来越多,移动终端内通常会存储用户的财务信息,例如,账户信息、转账信息等。
然而,目前与移动终端相关的信息泄露问题越来越普遍,这样使得用户的信息安全面临极大问题。例如,其他人获得或短暂获得用户的移动终端后,将用户的移动终端与诸如个人计算机的主机进行连接,并且通过主机来获取用户存储在移动终端内的个人信息。在另一种情况下,其他人获得或短暂获得用户的移动终端后,将用户的移动终端与诸如个人计算机的主机进行连接,并且通过主机在用户的移动终端内安装木马程序。在这种情况下,所安装的木马程序会将用户的财务信息发送给恶意者,从而会给用户造成极大的损失。
为此,现有技术存在对移动终端的数据传输进行安全管理的需求。
发明内容
为了解决上述问题,本发明提供了一种基于身份认证进行数据传输的设备,所述设备包括:
连接单元,用于将移动终端与主机进行通信连接;
控制单元,用于确定主机是否要向移动终端的存储器内写入数据或要从存储器内读取数据,如果主机要向存储器内写入数据或要从存储器内读取数据,则触发认证单元对主机进行身份认证;
认证单元,用于对主机进行身份认证并且在主机通过身份认证后将所述主机标识为信任方;以及
传输单元,允许被标识为信任方的主机从存储器读取数据或向存储器写入数据。
优选地,其中所述主机是:个人计算机、服务器或移动终端。
优选地,所述通信连接为有线通信连接或无线通信连接。
优选地,确定主机是否要向移动终端的存储器内写入数据或要从存储器内读取数据包括:确定主机是否要使用写协议向移动终端的存储器内写入数据,或者确定主机是否要使用读协议从从移动终端的存储器内读取数据。
优选地,所述数据是以下内容中的至少一种:文本文件、图像文件、音频文件、视频文件和应用程序。
优选地,其中认证单元对主机进行身份认证包括:认证单元获取主机的MAC地址,并且根据移动终端是否允许来自所述MAC地址的数据传输请求来确定所述主机是否为信任方。
优选地,其中认证单元对主机进行身份认证包括:认证单元获取主机的静态认证信息,并且根据所述静态认证信息是否通过认证来确定所述主机是否为信任方,所述静态认证信息包括用户名和密码。
优选地,其中认证单元根据所述静态认证信息是否通过认证来确定所述主机是否为信任方包括:认证单元从存储器获取预先存储的所述主机的用户名和密码,并且与静态认证信息中的用户名和密码进行比较,从而确定所述主机是否为信任方。
优选地,其中认证单元对主机进行身份认证包括:认证单元获取主机的动态认证信息,并且根据所述动态认证信息是否通过认证来确定所述主机是否为信任方,所述动态认证信息包括基于时间同步的动态密码和主机标识符。
优选地,其中认证单元根据所述动态认证信息是否通过认证来确定所述主机是否为信任方包括:认证单元根据主机标识符确定种子密钥,根据种子密钥和当前时间计算移动终端的基于时间同步的动态密码,通过比较主机的基于时间同步的动态密码和移动终端的基于时间同步的动态密码来确定所述主机是否为信任方。
根据本发明的另一方面,提供一种移动终端,包括或用于执行如上所述的基于身份认证进行数据传输的设备。
根据本发明的另一方面,提供一种基于身份认证进行数据传输的方法,所述方法包括:
将移动终端与主机进行通信连接;
确定主机是否要向移动终端的存储器内写入数据或要从存储器内读取数据,如果主机要向存储器内写入数据或要从存储器内读取数据,则触发对主机进行身份认证;
对主机进行身份认证并且在主机通过身份认证后将所述主机标识为信任方;以及
允许被标识为信任方的主机从存储器读取数据或向存储器写入数据。
优选地,其中所述主机是:个人计算机、服务器或移动终端。
优选地,所述通信连接为有线通信连接或无线通信连接。
优选地,确定主机是否要向移动终端的存储器内写入数据或要从存储器内读取数据包括:确定主机是否要使用写协议向移动终端的存储器内写入数据,或者确定主机是否要使用读协议从从移动终端的存储器内读取数据。
优选地,所述数据是以下内容中的至少一种:文本文件、图像文件、音频文件、视频文件和应用程序。
优选地,其中对主机进行身份认证包括:获取主机的MAC地址,并且根据移动终端是否允许来自所述MAC地址的数据传输请求来确定所述主机是否为信任方。
优选地,其中对主机进行身份认证包括:获取主机的静态认证信息,并且根据所述静态认证信息是否通过认证来确定所述主机是否为信任方,所述静态认证信息包括用户名和密码。
优选地,其中根据所述静态认证信息是否通过认证来确定所述主机是否为信任方包括:从存储器获取预先存储的所述主机的用户名和密码,并且与静态认证信息中的用户名和密码进行比较,从而确定所述主机是否为信任方。
优选地,其中对主机进行身份认证包括:获取主机的动态认证信息,并且根据所述动态认证信息是否通过认证来确定所述主机是否为信任方,所述动态认证信息包括基于时间同步的动态密码和主机标识符。
优选地,其中根据所述动态认证信息是否通过认证来确定所述主机是否为信任方包括:根据主机标识符确定种子密钥,根据种子密钥和当前时间计算移动终端的基于时间同步的动态密码,通过比较主机的基于时间同步的动态密码和移动终端的基于时间同步的动态密码来确定所述主机是否为信任方。
本发明的基于身份认证进行数据传输的设备及方法能够通过对与移动终端连接的其它设备进行身份认证来实现数据的安全传输。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为根据本发明实施方式的数据传输系统的结构示意图;
图2为根据本发明实施方式的基于身份认证进行数据传输的设备的结构示意图;
图3为根据本发明实施方式的基于身份认证进行数据传输的方法的流程图;
图4为根据本发明实施方式的认证单元的结构示意图;以及
图5为根据本发明实施方式的动态认证方法的流程图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为根据本发明实施方式的数据传输系统100的结构示意图。如图1所示,数据传输系统100包括:移动终端101、网络连接103以及主机103-1、103-2...103-N。优选地,移动终端101用于存储用户数据以供用户使用,并且所述用户数据可以是各种类型的数据,例如通讯录、工作文档、图片、音频、视频、账户信息以及转账信息等。移动终端101可以是任意类型的移动设备,包括移动手机、站、单元、设备、多媒体平板、通信器、膝上型计算机、个人数字助理(PDA)或其任意组合。通常,移动终端101可以通过网络连接103与其它设备进行通信连接,所述其它设备例如是主机103-1、103-2...103-N。
优选地,网络连接103根据各种有线或无线通信协议所建立的连接。网络连接103用于为移动终端101和主机103-1、103-2...103-N建立通信连接,从而形成通信网络。所述通信网络例如是数据网络、无线网络、电话网络、或其任意组合。网络连接103可以是数据线、网线、电话线以及无线连接等各种类型的连接。因此,所组成的网络可以是局域网(LAN)、城域网(MAN)、广域网(WAN)、公共数据网(例如因特网)、或任意其他适合的分组交换网络。此外,无线网络可以是例如蜂窝网络、无线保真(WiFi)等。
优选地,主机103-1、103-2...103-N通过网络连接103与移动终端101连接并且能够经由所述网络连接103向移动终端101发送数据或从移动终端101读取数据。优选地,主机103-1、103-2...103-N可以是任意类型的移动终端、固定终端、或便携式终端,包括移动手机、站、单元、设备、多媒体计算机、多媒体平板、因特网节点、通信器、桌面计算机、膝上型计算机、个人数字助理(PDA)、或其任意组合。
在根据本发明的数据传输系统100中,数据读取或写入请求均是由与移动终端101连接的对端设备所发起的,这是因为本方面要解决的问题是对对端设备访问移动终端101时的数据传输进行安全控制。而现有技术中,通常不会涉及对对端设备进行身份认证,并且只有在对端设备通过身份认证后才允许进行数据读取或写入。
图2为根据本发明实施方式的基于身份认证进行数据传输的设备200的结构示意图。优选地,设备200能够对移动终端与其它设备的数据传输进行安全管理。设备200通过确定与移动终端连接的对端设备是否需要进行对移动终端的存储器进行写入或读取操作来确定是否对对端设备进行身份认证。如果与移动终端连接的对端设备需要对移动终端的存储器进行写入或读取操作,那么设备200会对对端设备进行身份认证并且只有在对端设备通过身份认证的情况下才允许对端设备对移动终端的存储器进行写入或读取操作。
如图2所示,设备200包括:连接单元201、控制单元202、认证单元203以及传输单元204。优选地,连接单元201是将移动终端与如图1所示的主机(或者,对端设备)进行通信连接的接口设备。如上所述,连接单元201通过网络连接与主机连接并且使移动终端与主机进行数据通信。通常,当主机被允许向移动终端的存储器写入数据时,主机将要写入的数据通过连接单元201传输给移动终端。另一方面,当主机被允许从移动终端的存储器读取数据时,主机通过连接单元201从移动终端的存储器获取数据。
优选地,当主机通过网络连接与移动终端连接后,控制单元202监听来自主机的数据并且确定主机是否要向移动终端的存储器内写入数据或要从存储器内读取数据。通常,用户或恶意者都可能会将移动终端与主机进行连接,从而能够从移动终端获取数据或向移动终端写入数据。为了保证用户数据的安全,本发明需要对恶意的读取或写入进行拦截。为此,必须要监听外部设备针对移动终端内的数据的读取或写入请求,从而才能判断哪些读取或写入请求是不被允许的。
为此,如果控制单元202确定主机要向存储器内写入数据或要从存储器内读取数据,则触发认证单元203对主机进行身份认证。控制单元202确定主机是否要向移动终端的存储器内写入数据或要从存储器内读取数据包括:确定主机是否要使用写协议向移动终端的存储器内写入数据,或者确定主机是否要使用读协议从从移动终端的存储器内读取数据。如果与移动终端连接主机要使用写协议向移动终端的存储器内写入数据,或者要使用读协议从从移动终端的存储器内读取数据,那么控制单元202触发认证单元203对主机进行身份认证。通常,控制单元202可以发送控制命令给认证单元203,以触发认证单元203对主机进行身份认证。
优选地,在从控制单元202接收到控制命令后,认证单元203对主机进行身份认证并且在主机通过身份认证后将所述主机标识为信任方。另一方面,当主机没有通过身份认证时,将所述主机标识为非信任方。优选地,为了能够确定是否允许主机通过网络连接从移动终端读取数据或向移动终端写入数据,必须要对主机的身份进行认证。例如,当主机是移动终端的用户自己的计算机时,设备200允许计算机通过网络连接从移动终端读取数据或向移动终端写入数据。另一方面,当恶意者获取或暂时获取了用户移动终端并且将移动终端与特定计算机连接时,设备200应当拒绝所述特定计算机通过网络连接从移动终端读取数据或向移动终端写入数据。
为了实现这种控制,认证单元203需要对主机进行身份认证。优选地,认证单元203对主机进行身份认证包括:认证单元203获取主机的MAC地址,并且根据移动终端是否允许来自所述MAC地址的数据传输请求来确定所述主机是否为信任方。通常,当移动终端的用户利用自己的其它设备来从移动终端读取数据或向移动终端写入数据时,认证单元203会将用户自己的其它设备标识为信任方。优选地,设备200可以将用户自己的其它设备的MAC地址保存在存储器中,以供认证单元203使用。认证单元203在对主机进行身份认证时,可以将请求从移动终端读取数据或向移动终端写入数据的主机的MAC地址与事先存储的MAC地址进行比较,并且在主机的MAC地址与事先存储的MAC地址中的一个相同时,将其标识为信任方。所属领域技术人员应当了解的是,本发明以MAC地址作为实例进行说明,但是本发明并不限于MAC地址。例如,还可以使用PIN码、设备号等。
可替换地,认证单元203对主机进行身份认证包括:认证单元203获取主机的静态认证信息,并且根据所述静态认证信息是否通过认证来确定所述主机是否为信任方。优选地,静态认证信息可以是事先存储的与用户身份相关的信息,例如用户名和密码。通常,当知道静态认证信息的主机(或对端设备)请求从移动终端读取数据或向移动终端写入数据时,认证单元203会将其标识为信任方。优选地,设备200可以静态认证信息保存在存储器中,以供认证单元203使用。认证单元203在对主机进行身份认证时,可以将请求从移动终端读取数据或向移动终端写入数据的主机所发送的静态认证信息与事先存储的静态认证信息进行比较,并且在主机所发送的静态认证信息与事先存储的静态认证信息相同时,将其标识为信任方。所属领域技术人员应当了解的是,本发明以用户名和密码作为实例进行说明,但是本发明并不限于用户名和密码。
可替换地,认证单元203对主机进行身份认证包括:认证单元获取主机的动态认证信息,并且根据所述动态认证信息是否通过认证来确定所述主机是否为信任方,所述动态认证信息包括基于时间同步的动态密码和主机标识符。优选地,认证单元203根据主机标识符确定种子密钥,根据种子密钥和当前时间计算移动终端的基于时间同步的动态密码,通过比较主机的基于时间同步的动态密码和移动终端的基于时间同步的动态密码来确定所述主机是否为信任方。
优选地,在动态认证方法中,认证单元203和主机均进行动态密码的计算。其中,动态密码的计算包括根据种子密钥和当前时间计算基于时间同步的动态密码。例如,将种子密钥和当前时间组成字符串并且根据预先设置的哈希算法计算所述字符串的哈希值。将计算得到的哈希值作为基于时间同步的动态密码。优选地,设备200预先在移动终端的存储器内存储主机标识符和种子密钥的对应关系。一方面,主机根据种子密钥和当前时间,并且根据预先设定的哈希算法来计算基于时间同步的动态密码。另一方面,认证单元203根据主机标识符确定种子密钥,并且根据种子密钥和当前时间,并且根据预先设定的哈希算法来计算基于时间同步的动态密码。所属领域技术人员应当了解的是,在认证单元203确定当前时间时,会考虑传输延迟时间。例如,将当前时间减去传输延迟时间以作为用于计算的当前时间。
优选地,传输单元204允许被标识为信任方的主机从存储器读取数据或向存储器写入数据。通常,传输单元204用于根据主机的信任标识来控制主机对存储器中数据的控制。例如,当主机(或对端设备)调用读协议要对存储器中的数据进行访问时,传输单元204会核实主机的信任标识。当主机的信任标识为信任方时,传输单元204允许主机调用读协议从存储器读取数据。当主机(或对端设备)调用写协议要向存储器中写入数据时,传输单元204会核实主机的信任标识。当主机的信任标识为信任方时,传输单元204允许主机调用写协议向存储器写入数据。另一方面,当主机的信任标识为非信任方时,传输单元204不允许主机调用读协议从存储器读取数据。并且,当主机的信任标识为非信任方时,传输单元204不允许主机调用写协议向存储器写入数据。
优选地,根据本发明的优选实施方式,如上所述的设备200可以被包括在移动终端中,或由移动终端来执行。
图3为根据本发明实施方式的基于身份认证进行数据传输的方法300的流程图。优选地,方法300能够对移动终端与其它设备的数据传输进行安全管理。方法300通过确定与移动终端连接的对端设备是否需要进行对移动终端的存储器进行写入或读取操作来确定是否对对端设备进行身份认证。如果与移动终端连接的对端设备需要对移动终端的存储器进行写入或读取操作,那么方法300会对对端设备进行身份认证并且只有在对端设备通过身份认证的情况下才允许对端设备对移动终端的存储器进行写入或读取操作。
如图3所示,方法300从步骤301处开始。优选地,在步骤301,将移动终端与主机进行通信连接。通常,移动终端通过网络连接与主机连接并且移动终端与主机进行数据通信。通常,当主机被允许向移动终端的存储器写入数据时,主机将要写入的数据传输给移动终端。另一方面,当主机被允许从移动终端的存储器读取数据时,主机从移动终端的存储器获取数据。
优选地,在步骤302,确定主机是否要向移动终端的存储器内写入数据或要从存储器内读取数据,如果主机要向存储器内写入数据或要从存储器内读取数据,则触发对主机进行身份认证。优选地,当主机通过网络连接与移动终端连接后,方法300监听来自主机的数据并且确定主机是否要向移动终端的存储器内写入数据或要从存储器内读取数据。通常,用户或恶意者都可能会将移动终端与主机进行连接,从而能够从移动终端获取数据或向移动终端写入数据。为了保证用户数据的安全,本发明需要对恶意的读取或写入进行拦截。为此,必须要监听外部设备针对移动终端内的数据的读取或写入请求,从而才能判断哪些读取或写入请求是不被允许的。
为此,如果方法300确定主机要向存储器内写入数据或要从存储器内读取数据,则触发对主机进行身份认证。方法300确定主机是否要向移动终端的存储器内写入数据或要从存储器内读取数据包括:确定主机是否要使用写协议向移动终端的存储器内写入数据,或者确定主机是否要使用读协议从从移动终端的存储器内读取数据。如果与移动终端连接主机要使用写协议向移动终端的存储器内写入数据,或者要使用读协议从移动终端的存储器内读取数据,那么方法300触发对主机进行身份认证。通常,方法300可以发送控制命令给认证单元,以触发认证单元对主机进行身份认证。
优选地,在步骤303,对主机进行身份认证并且在主机通过身份认证后将所述主机标识为信任方。优选地,在接收到控制命令后,认证单元对主机进行身份认证并且在主机通过身份认证后将所述主机标识为信任方。另一方面,当主机没有通过身份认证时,将所述主机标识为非信任方。优选地,为了能够确定是否允许主机通过网络连接从移动终端读取数据或向移动终端写入数据,必须要对主机的身份进行认证。例如,当主机是移动终端的用户自己的计算机时,方法300允许计算机通过网络连接从移动终端读取数据或向移动终端写入数据。另一方面,当恶意者获取或暂时获取了用户移动终端并且将移动终端与特定计算机连接时,方法300应当拒绝所述特定计算机通过网络连接从移动终端读取数据或向移动终端写入数据。
为了实现这种控制,认证单元需要对主机进行身份认证。优选地,认证单元对主机进行身份认证包括:认证单元获取主机的MAC地址,并且根据移动终端是否允许来自所述MAC地址的数据传输请求来确定所述主机是否为信任方。通常,当移动终端的用户利用自己的其它设备来从移动终端读取数据或向移动终端写入数据时,认证单元会将用户自己的其它设备标识为信任方。优选地,方法300可以将用户自己的其它设备的MAC地址保存在存储器中,以供认证单元使用。认证单元在对主机进行身份认证时,可以将请求从移动终端读取数据或向移动终端写入数据的主机的MAC地址与事先存储的MAC地址进行比较,并且在主机的MAC地址与事先存储的MAC地址中的一个相同时,将其标识为信任方。所属领域技术人员应当了解的是,本发明以MAC地址作为实例进行说明,但是本发明并不限于MAC地址。例如,还可以使用PIN码、设备号等。
可替换地,认证单元对主机进行身份认证包括:认证单元获取主机的静态认证信息,并且根据所述静态认证信息是否通过认证来确定所述主机是否为信任方。优选地,静态认证信息可以是事先存储的与用户身份相关的信息,例如用户名和密码。通常,当知道静态认证信息的主机(或对端设备)请求从移动终端读取数据或向移动终端写入数据时,认证单元会将其标识为信任方。优选地,方法300可以静态认证信息保存在存储器中,以供认证单元使用。认证单元在对主机进行身份认证时,可以将请求从移动终端读取数据或向移动终端写入数据的主机所发送的静态认证信息与事先存储的静态认证信息进行比较,并且在主机所发送的静态认证信息与事先存储的静态认证信息相同时,将其标识为信任方。所属领域技术人员应当了解的是,本发明以用户名和密码作为实例进行说明,但是本发明并不限于用户名和密码。
可替换地,认证单元对主机进行身份认证包括:认证单元获取主机的动态认证信息,并且根据所述动态认证信息是否通过认证来确定所述主机是否为信任方,所述动态认证信息包括基于时间同步的动态密码和主机标识符。优选地,认证单元根据主机标识符确定种子密钥,根据种子密钥和当前时间计算移动终端的基于时间同步的动态密码,通过比较主机的基于时间同步的动态密码和移动终端的基于时间同步的动态密码来确定所述主机是否为信任方。
优选地,在动态认证方法中,认证单元和主机均进行动态密码的计算。其中,动态密码的计算包括根据种子密钥和当前时间计算基于时间同步的动态密码。例如,将种子密钥和当前时间组成字符串并且根据预先设置的哈希算法计算所述字符串的哈希值。将计算得到的哈希值作为基于时间同步的动态密码。优选地,方法300预先在移动终端的存储器内存储主机标识符和种子密钥的对应关系。一方面,主机根据种子密钥和当前时间,并且根据预先设定的哈希算法来计算基于时间同步的动态密码。另一方面,认证单元根据主机标识符确定种子密钥,并且根据种子密钥和当前时间,并且根据预先设定的哈希算法来计算基于时间同步的动态密码。所属领域技术人员应当了解的是,在认证单元确定当前时间时,会考虑传输延迟时间。例如,将当前时间减去传输延迟时间以作为用于计算的当前时间。
优选地,在步骤304,允许被标识为信任方的主机从存储器读取数据或向存储器写入数据。通常,方法300根据主机的信任标识来控制主机对存储器中数据的控制。例如,当主机(或对端设备)调用读协议要对存储器中的数据进行访问时,方法300会核实主机的信任标识。当主机的信任标识为信任方时,方法300允许主机调用读协议从存储器读取数据。当主机(或对端设备)调用写协议要向存储器中写入数据时,方法300会核实主机的信任标识。当主机的信任标识为信任方时,方法300允许主机调用写协议向存储器写入数据。另一方面,当主机的信任标识为非信任方时,方法300不允许主机调用读协议从存储器读取数据。并且,当主机的信任标识为非信任方时,方法300不允许主机调用写协议向存储器写入数据。
图4为根据本发明实施方式的认证单元400的结构示意图。在接收到控制命令后,认证单元400对主机进行身份认证并且在主机通过身份认证后将所述主机标识为信任方。另一方面,当主机没有通过身份认证时,将所述主机标识为非信任方。例如,当主机是移动终端的用户自己的计算机时,认证单元400允许计算机通过网络连接从移动终端读取数据或向移动终端写入数据。另一方面,当恶意者获取或暂时获取了用户移动终端并且将移动终端与特定计算机连接时,认证单元400应当拒绝所述特定计算机通过网络连接从移动终端读取数据或向移动终端写入数据。
如图4所示,认证单元400包括:MAC地址认证子单元401、静态认证子单元402和动态认证子单元403。MAC地址认证子单元401获取主机的MAC地址,并且根据移动终端是否允许来自所述MAC地址的数据传输请求来确定所述主机是否为信任方。通常,当移动终端的用户利用自己的其它设备来从移动终端读取数据或向移动终端写入数据时,MAC地址认证子单元401会将用户自己的其它设备标识为信任方。优选地,MAC地址认证子单元401可以将用户自己的其它设备的MAC地址保存在存储器中,以供使用。MAC地址认证子单元401在对主机进行身份认证时,可以将请求从移动终端读取数据或向移动终端写入数据的主机的MAC地址与事先存储的MAC地址进行比较,并且在主机的MAC地址与事先存储的MAC地址中的一个相同时,将其标识为信任方。所属领域技术人员应当了解的是,本发明以MAC地址作为实例进行说明,但是本发明并不限于MAC地址。例如,还可以使用PIN码、设备号等。
静态认证子单元402获取主机的静态认证信息,并且根据所述静态认证信息是否通过认证来确定所述主机是否为信任方。优选地,静态认证信息可以是事先存储的与用户身份相关的信息,例如用户名和密码。通常,当知道静态认证信息的主机(或对端设备)请求从移动终端读取数据或向移动终端写入数据时,静态认证子单元402会将其标识为信任方。优选地,静态认证子单元402可以静态认证信息保存在存储器中,以供使用。静态认证子单元402在对主机进行身份认证时,可以将请求从移动终端读取数据或向移动终端写入数据的主机所发送的静态认证信息与事先存储的静态认证信息进行比较,并且在主机所发送的静态认证信息与事先存储的静态认证信息相同时,将其标识为信任方。所属领域技术人员应当了解的是,本发明以用户名和密码作为实例进行说明,但是本发明并不限于用户名和密码。
优选地,动态认证子单元403获取主机的动态认证信息,并且根据所述动态认证信息是否通过认证来确定所述主机是否为信任方,所述动态认证信息包括基于时间同步的动态密码和主机标识符。优选地,动态认证子单元403根据主机标识符确定种子密钥,根据种子密钥和当前时间计算移动终端的基于时间同步的动态密码,通过比较主机的基于时间同步的动态密码和移动终端的基于时间同步的动态密码来确定所述主机是否为信任方。
优选地,在动态认证方法中,动态认证子单元403和主机均进行动态密码的计算。其中,动态密码的计算包括根据种子密钥和当前时间计算基于时间同步的动态密码。例如,将种子密钥和当前时间组成字符串并且根据预先设置的哈希算法计算所述字符串的哈希值。将计算得到的哈希值作为基于时间同步的动态密码。优选地,动态认证子单元403预先在移动终端的存储器内存储主机标识符和种子密钥的对应关系。一方面,主机根据种子密钥和当前时间,并且根据预先设定的哈希算法来计算基于时间同步的动态密码。另一方面,动态认证子单元403根据主机标识符确定种子密钥,并且根据种子密钥和当前时间,并且根据预先设定的哈希算法来计算基于时间同步的动态密码。所属领域技术人员应当了解的是,在动态认证子单元403确定当前时间时,会考虑传输延迟时间。例如,将当前时间减去传输延迟时间以作为用于计算的当前时间。
图5为根据本发明实施方式的动态认证方法500的流程图。动态认证方法500获取主机的动态认证信息,并且根据所述动态认证信息是否通过认证来确定所述主机是否为信任方,所述动态认证信息包括基于时间同步的动态密码和主机标识符。优选地,动态认证方法500根据主机标识符确定种子密钥,根据种子密钥和当前时间计算移动终端的基于时间同步的动态密码,通过比较主机的基于时间同步的动态密码和移动终端的基于时间同步的动态密码来确定所述主机是否为信任方。
动态认证方法500从步骤501处开始。在步骤501,主机根据种子密钥和当前时间,并且根据预先设定的哈希算法来计算基于时间同步的动态密码。在步骤502,主机将动态认证信息发送给动态认证子单元,所述动态认证信息包括基于时间同步的动态密码和主机标识符。在步骤503,根据主机标识符确定种子密钥,并且根据种子密钥和当前时间,并且根据预先设定的哈希算法来计算基于时间同步的动态密码。在步骤504,比较主机的基于时间同步的动态密码和移动终端的基于时间同步的动态密码来确定所述主机是否为信任方。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。
Claims (10)
1.一种基于身份认证进行数据传输的设备,所述设备包括:
连接单元,用于将移动终端与主机进行通信连接;
控制单元,用于确定主机是否要向移动终端的存储器内写入数据或要从存储器内读取数据,如果主机要向存储器内写入数据或要从存储器内读取数据,则触发认证单元对主机进行身份认证;
认证单元,用于对主机进行身份认证并且在主机通过身份认证后将所述主机标识为信任方;以及
传输单元,允许被标识为信任方的主机从存储器读取数据或向存储器写入数据。
2.根据权利要求1所述的设备,其中所述主机是:个人计算机、服务器或移动终端。
3.根据权利要求1所述的设备,所述通信连接为有线通信连接或无线通信连接。
4.根据权利要求1所述的设备,确定主机是否要向移动终端的存储器内写入数据或要从存储器内读取数据包括:确定主机是否要使用写协议向移动终端的存储器内写入数据,或者确定主机是否要使用读协议从从移动终端的存储器内读取数据。
5.一种移动终端,包括或用于执行如权利要求1-4中任意一项所述的设备。
6.一种基于身份认证进行数据传输的方法,所述方法包括:
将移动终端与主机进行通信连接;
确定主机是否要向移动终端的存储器内写入数据或要从存储器内读取数据,如果主机要向存储器内写入数据或要从存储器内读取数据,则触发对主机进行身份认证;
对主机进行身份认证并且在主机通过身份认证后将所述主机标识为信任方;以及
允许被标识为信任方的主机从存储器读取数据或向存储器写入数据。
7.根据权利要求6所述的方法,其中所述主机是:个人计算机、服务器或移动终端。
8.根据权利要求6所述的方法,所述通信连接为有线通信连接或无线通信连接。
9.根据权利要求6所述的方法,确定主机是否要向移动终端的存储器内写入数据或要从存储器内读取数据包括:确定主机是否要使用写协议向移动终端的存储器内写入数据,或者确定主机是否要使用读协议从从移动终端的存储器内读取数据。
10.根据权利要求6-9中任意一项所述的方法,所述数据是以下内容中的至少一种:文本文件、图像文件、音频文件、视频文件和应用程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611032225.0A CN106411512A (zh) | 2016-11-22 | 2016-11-22 | 一种基于身份认证进行数据传输的设备及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611032225.0A CN106411512A (zh) | 2016-11-22 | 2016-11-22 | 一种基于身份认证进行数据传输的设备及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106411512A true CN106411512A (zh) | 2017-02-15 |
Family
ID=58083153
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611032225.0A Pending CN106411512A (zh) | 2016-11-22 | 2016-11-22 | 一种基于身份认证进行数据传输的设备及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106411512A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060095771A1 (en) * | 2004-11-02 | 2006-05-04 | Guido Appenzeller | Security device for cryptographic communications |
| CN101588245A (zh) * | 2009-06-24 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 一种身份认证的方法、系统及存储设备 |
| CN103369018A (zh) * | 2012-04-06 | 2013-10-23 | 株式会社东芝 | 存储系统及存储系统的无线通信方法 |
| CN105722089A (zh) * | 2016-03-24 | 2016-06-29 | 浙江风向标科技有限公司 | 一种设备认证方法 |
-
2016
- 2016-11-22 CN CN201611032225.0A patent/CN106411512A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060095771A1 (en) * | 2004-11-02 | 2006-05-04 | Guido Appenzeller | Security device for cryptographic communications |
| CN101588245A (zh) * | 2009-06-24 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 一种身份认证的方法、系统及存储设备 |
| CN103369018A (zh) * | 2012-04-06 | 2013-10-23 | 株式会社东芝 | 存储系统及存储系统的无线通信方法 |
| CN105722089A (zh) * | 2016-03-24 | 2016-06-29 | 浙江风向标科技有限公司 | 一种设备认证方法 |
Non-Patent Citations (1)
| Title |
|---|
| 于雷,邢志良: "《网上支付与结算》", 31 July 2014 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10405181B2 (en) | Methods and apparatus for user authentication and human intent verification in mobile devices | |
| US20090298468A1 (en) | System and method for deleting data in a communication device | |
| CN110266642A (zh) | 身份认证方法及服务器、电子设备 | |
| CN107113613B (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
| CN109151820A (zh) | 一种基于“一人一机一卡一号”的安全认证方法和装置 | |
| CN106293816B (zh) | 一种增加用户与移动智能终端安装的App的黏度的方法 | |
| CN107113319A (zh) | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 | |
| CN108023873A (zh) | 信道建立方法及终端设备 | |
| CN105898743A (zh) | 一种网络连接方法、装置及系统 | |
| US20220150707A1 (en) | Authentication method and terminal device | |
| CN102685122B (zh) | 基于云端服务器的软件保护的方法 | |
| CN106488394A (zh) | 一种设备连接的方法及装置 | |
| CN106792699A (zh) | 一种无线保真Wi‑Fi连接方法及移动终端 | |
| KR20100099625A (ko) | M2m 모듈에서의 가입자 인증 정보 저장 방법 및 이를 위한 구조 | |
| CN107818253A (zh) | 人脸模板数据录入控制方法及相关产品 | |
| CN107835162B (zh) | 软件数字许可服务器给予软件开发商软件数字许可签发权限的方法及软件数字许可服务器 | |
| CN107196761A (zh) | 一种保护应用程序中的核心函数的方法 | |
| CN109981677A (zh) | 一种授信管理方法及装置 | |
| CN107645474A (zh) | 登录开放平台的方法及登录开放平台的装置 | |
| CN103607508B (zh) | 一种凭据的管理方法、装置及手机终端 | |
| CN104994498B (zh) | 一种终端应用与手机卡应用交互的方法及系统 | |
| CN108133142A (zh) | 一种移动设备远程连接及操控pc机的方法 | |
| KR20200125279A (ko) | 블록 체인기반의 사용자 인증 방법, 시스템 | |
| KR101745919B1 (ko) | 패스워드 노출 없는 소프트웨어 방식의 hsm을 이용한 사용자 인증 방법 및 시스템 | |
| KR102465744B1 (ko) | 로그인 세션 전달을 이용한 기기인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20170807 Address after: 100102, 18 floor, building 2, Wangjing street, Beijing, Chaoyang District, 1801 Applicant after: BEIJING ANYUN SHIJI SCIENCE AND TECHNOLOGY CO., LTD. Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant before: Beijing Qihu Technology Co., Ltd. |
|
| TA01 | Transfer of patent application right | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170215 |
|
| RJ01 | Rejection of invention patent application after publication |