CN107483419B - 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质 - Google Patents
服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质 Download PDFInfo
- Publication number
- CN107483419B CN107483419B CN201710630063.9A CN201710630063A CN107483419B CN 107483419 B CN107483419 B CN 107483419B CN 201710630063 A CN201710630063 A CN 201710630063A CN 107483419 B CN107483419 B CN 107483419B
- Authority
- CN
- China
- Prior art keywords
- terminal
- operation information
- information
- server
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
Abstract
本发明应用于通信领域,提供了一种服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质,所述方法包括:接收终端发送的连接请求,所述连接请求携带有终端运行信息;获取预存的终端运行信息,将终端运行信息与预存的终端运行信息按照预设的匹配策略进行匹配;当终端运行信息与预存的终端运行信息匹配一致时,向终端发送认证成功信息,并与终端建立通信。本发明实施例中,由于终端运行信息不易于被读取和修改,通过检测终端运行信息可以有效避免伪造了合法通信数据的主机程序的接入,非常安全和可靠,且通过预设的匹配策略对终端运行信息进行检测,可多方面对终端的合法性进行检测,具有针对性,可靠性更高,可避免数据泄露的风险。
Description
技术领域
本发明属于通信技术领域,尤其涉及一种服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质。
背景技术
随着科学技术的发展,越来越多的终端需要经过Internet连接到远程服务器才能向用户提供服务,包括,面向物联网的M2M等设备,但是,数据来源经过网络后,会存在各种伪造的可能性,连接过来的终端可能是合法终端,也可能只是伪造了合法通信数据的主机程序,因此,为保证接入终端为合法的终端,远程服务器往往需要对请求接入的终端进行认证才能进一步向其提供服务。
目前,在对终端进行认证时,通常需要采用以下方式进行认证,第一种方式,采用设备唯一识别码进行认证,比如,IMEI,但是,由于厂商的IMEI的保护机制存在不可靠性,易被读取和修改,第二种方式是通过在产品出厂前向其预置一些密钥数据,例如,依赖于PKI基础设施向终端预置密钥来完成认证,通过这种方式,需要在每台终端出厂前都需要预置密钥,成本过高,且由于终端可能是由第三方厂商生产的,因此,密钥的导入还会增加数据泄露风险和成本,并且,终端很有可能在生命周期内因密钥保护不周而导致密钥丢失(如用户在智能手机中选择了恢复出厂设置),因而服务无法使用或者只能回厂返修,而给厂商带来不小的损失。
因此,通过上述方式进行终端接入的认证,在实际操作中可靠性低,易被读取和修改,存在数据泄露的风险的问题。
发明内容
本发明实施例提供一种服务器认证接入终端的方法,旨在解决现有技术中可靠性低,易被读取和修改,存在数据泄露的风险的问题。
第一方面,本发明实施例提供了一种服务器认证接入终端的方法,应用于服务器,所述方法包括:
接收终端发送的连接请求,所述连接请求携带有终端运行信息;
获取预存的终端运行信息,将所述终端运行信息与所述预存的终端运行信息按照预设的匹配策略进行匹配,所述终端运行信息包括进程信息、代码段哈希、堆栈特征信息或者应用签名信息中的一个或其任意组合;
当所述终端运行信息与所述预存的终端运行信息匹配一致时,向所述终端发送认证成功信息,并与所述终端建立通信。
第二方面,本发明实施例提供了一种服务器认证接入终端的装置,应用于服务器,所述装置包括:
连接请求接收单元,用于接收终端发送的连接请求,所述连接请求携带有终端运行信息;
匹配单元,用于获取预存的终端运行信息,将所述终端运行信息与所述预存的终端运行信息按照预设的匹配策略进行匹配,所述终端运行信息包括进程信息、代码段哈希、堆栈特征信息或者应用签名信息中的一个或其任意组合;
通信建立单元,用于当所述终端运行信息与所述预存的终端运行信息匹配一致时,向所述终端发送认证成功信息,并与所述终端建立通信。
第三方面,本发明实施例还提供了一种服务器认证接入终端的系统,包括:
终端,用于获取终端运行信息,并将所述终端运行信息发送给服务器。
所述服务器,用于接收所述终端发送的终端运行信息,并根据所述终端运行信息对所述终端进行合法认证;
所述服务器包括:
连接请求接收单元,用于接收终端发送的连接请求,所述连接请求携带有终端运行信息;
匹配单元,用于获取预存的终端运行信息,将所述终端运行信息与所述预存的终端运行信息按照预设的匹配策略进行匹配;
通信建立单元,用于当所述终端运行信息与所述预存的终端运行信息匹配一致时,向所述终端发送认证成功信息,并与所述终端建立通信。
第四方面,本发明实施例还提供了一种服务器,
包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现第一方面所述方法的步骤。
第五方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序(指令),所述计算机程序(指令)被处理器执行时实现第一方面所述方法的步骤。
在本发明实施例中,服务器接收到终端发送的连接请求,该连接请求携带有终端运行信息,服务器通过预设的匹配策略检测终端的终端运行信息与预存的终端运行信息是否匹配,当该终端运行信息与预存的终端运行信息匹配时,允许该终端接入,可与服务器进行通信,由于终端运行信息不易于被读取和修改,通过检测终端运行信息可以有效避免伪造了合法通信数据的主机程序的接入,非常安全和可靠,并且通过预设的匹配策略对终端运行信息进行检测,可多方面对终端的合法性进行检测,具有针对性,可靠性更高,可避免了数据泄露的风险。
附图说明
图1是本发明实施例提供的一种服务器认证接入终端的系统的场景示意图;
图2是本发明实施例一提供的一种服务器认证接入终端的方法的实现流程图;
图3是本发明实施例二提供的一种服务器认证接入终端的方法的实现流程图;
图4是本发明实施例三提供的一种服务器认证接入终端的方法的实现流程图;
图5是本发明实施例四提供的一种服务器认证接入终端的方法的实现流程图;
图6是本发明实施例五提供的一种服务器认证接入终端的装置的结构示意图;
图7是本发明实施例六提供的一种通信建立单元的结构示意图;
图8是本发明实施例七提供的一种服务器认证接入终端的装置的结构示意图;
图9是本发明实施例八提供的一种通信建立单元的结构示意图;
图10是本发明实施例九提供的一种服务器认证接入终端的系统的结构示意图;
图11是本发明一个实施例提供的服务器的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在本发明实施例中,服务器接收到终端发送的连接请求,该连接请求携带有终端运行信息,服务器通过预设的匹配策略检测终端的终端运行信息与预存的终端运行信息是否匹配,当该终端运行信息与预存的终端运行信息匹配时,允许该终端接入,可与服务器进行通信,由于终端运行信息不易于被读取和修改,通过检测终端运行信息可以有效避免伪造了合法通信数据的主机程序的接入,非常安全和可靠,并且通过预设的匹配策略对终端运行信息进行检测,可多方面对终端的合法性进行检测,具有针对性,可靠性更高,可避免了数据泄露的风险。
图1示出了本发明实施例提供的一种服务器认证接入终端的系统的场景示意图,为了便于说明,仅示出了与本发明实施例相关的部分。
参见图1,服务器2可与至少一个终端1通过网络进行通信,终端1通过网络向服务器发送连接请求,该连接请求中携带有终端认证信息,服务器2接收到该连接请求,获取预存的终端运行信息,并调用对应的匹配策略,将该终端运行信息与预存的终端运行信息进行匹配,当当匹配一致时,向终端发送建立通信的信息,此时,终端1与服务器2通信,实现终端接入。
在本发明实施例中,标识信息为标识名称或者标识码,用来唯一标识同一终端1。
在本发明实施例中,网络可以是LAN(局字段网)、WAN(广字段网)、无线网络、点对点网络、星形网络、令牌环网络、网络集线器网络或其它配置,在本发明中不受限制。终端可以为个人电脑(Personal Computer,PC)、笔记本电脑、私人数字助理(Personal DigitalAssistant,PDA)、手机等设备。
实施例一、
图2示出了本发明实施例一提供的一种服务器认证接入终端的方法的实现流程,应用于服务器,详述如下:
在步骤S110中,接收终端发送的连接请求,所述连接请求携带有终端运行信息。
在本发明实施例中,终端运行信息包括终端运行信息包括进程信息、代码段哈希、堆栈特征信息或者应用签名信息中的一个或其任意组合。
在本发明实施例中,进程信息包括但不仅限于创建者,权限,调试信息,打开的文件和socket列表,进程ID,父进程ID,分配的用户ID,组ID,所属用户组列表,拥有的能力、权限(capability),APP申请的Android权限列表。终端在收集进程信息时,可以通过下述方式进行,比如,在Android系统中读取/proc/self/status的信息,查看父进程ID(PPID)是否为期望的调用者进程ID,接收跟踪该进程信息的进程的ID号(TracePID)可以标示本进程是否处于被调试状态,用户身份证明(UID)和组ID可以标示进程是否分配了合适的用户ID和用户组,进程的能力(CapEff)等可以标示本进程获取的能力是否合适。
在本发明实施例中,代码段哈希可以通过程序获取,比如,对所有可执行文件的.text段,通过哈希算法进行计算获取。
在本发明实施例中,堆栈信息可以通过下述方式获取,比如,终端可以在将堆栈信息发送给服务器之前,先在栈中的局部变量设置随机数,并将其随机数的地址传递给收集该堆栈的函数,然后通过该函数将该函数的栈地址到该随机数的地址之间的数据进行收集,该数据为堆栈信息,其中,可以在多个存在层级调用关系的函数栈设置随机数,但是,此前提为,收集函数执行中设置的函数栈未结束。
其中,该随机数可以为终端生成的,也可以为服务器发送的随机数。
在步骤S120中,获取预存的终端运行信息,将所述终端运行信息与所述预存的终端运行信息按照预设的匹配策略进行匹配。
在本发明实施例中,预存的终端运行信息为服务器的认证数据库存储的终端运行信息,由于不同种类的终端收集到的进程信息模式上是不一样的,但是同一类终端的进程信息基本相同,因此,可在产品发货前,将每一类终端进程信息录入认证数据库,进行存储,其中同一类终端可为同一操作系统、同一品牌、同一型号的终端。
在本发明实施例中,预设的匹配策略为服务器系统预设的,也可以为策略服务器发送的。
在本发明实施例中,预设的匹配策略为,将所有接收到的终端运行信息均与预设的终端运行信息进行匹配,或者,在终端发送的终端运行信息中选择至少一个与预设的终端运行信息进行匹配。
在本发明实施例中,服务器在接收到终端发送的终端运行信息时,可通过正则表达式,将终端运行信息与认证数据库中预存的终端运行信息进行认证检测,具体的,根据数据库中预存的终端运行信息,生成正则表达式,并可根据正则表达式规则,设置一个匹配规则列表,根据正则表达式的字段顺序对终端运行信息进行依次匹配,当正则表达式中的字段均匹配成功时,说明终端运行信息检测成功,终端可合法接入,否则,检测失败,终端接入失败。
在本发明的一个优选实施例中,终端可通过在堆栈中设置认证码,服务根据该认证码的分布情况,对堆栈的内存进行保护,避免他人在认证阶段通过可利用的缓冲区溢出等漏洞进行非法接入,具体的,在堆栈中设置多个认证码,比如,在层级函数调用关系的函数栈中设置认证码,通过处于深层的函数遍历还未被回收的浅层函数栈中的认证码,计算每个函数中的两两之间的随机数的地址的差值,根据该差值反应的函数间的调用关系,由于,该调用关系确定,当其中一个函数收到攻击时,函数栈中的随机数和可能被破坏,因此函数调用关系也会存在异常,因此,通过检测该函数调用关系是否异常,就可以判断出,当前是否受到他人的攻击,从而实现对堆栈内存的保护。
其中,认证码可以为终端生成的随机数,也可以为服务器发送的随机数。
在步骤S130中,当所述终端运行信息与所述预存的终端运行信息匹配一致时,向所述终端发送认证成功信息,并与所述终端建立通信。
在本发明实施例中,服务器接收终端发送的加密后的终端运行信息,并根据该终端运行信息进行终端的合法检测,决定是否使该终端接入。通过对终端运行信息进行加密后在传输给服务器,可以保证终端运行信息在传输过程中的安全性,避免受到他人的攻击,可以降低数据泄露的风险。
实施例二、
图3示出了本发明实施例二提供的一种服务器认证接入终端的方法的实现流程,其与实施例一相似,不同之处,在于,所述当当所述终端运行信息与所述预存的终端运行信息匹配一致时,向所述终端发送检测结果信息,并与所述终端建立通信,包括:
在步骤S210中,当所述终端运行信息与所述预存的终端运行信息匹配一致时,获取认证指令,并根据所述认证指令生成对应的预期输出信息。
在本发明实施例中,在根据终端发送的终端运行信息与预存的终端运行信息进行匹配成功后,获取认证指令,并根据该认证指令生成对应的预期输出信息,比如,该认证指令为生成本进程号,服务器会根据该认证指令生成预期的输出信息,如,本进程号为进程号A。
其中,该认证指令为服务器生成的,也可为服务器在终端运行信息成功后,向策略服务器发送认证成功的信息,并接收该策略服务器返回的认证指令。
在本发明实施例中,该认证指令可以为获取本进程号或者父进程号,也可以是进程加载的内存地址等,具体可以根据实际情况进行设置。
在步骤S220中,将所述认证指令以及所述认证成功信息发送给所述终端,接收所述终端返回的根据所述认证指令生成的认证输出信息。
在步骤S230中,判断所述认证输出信息与所述预期输出信息是否相匹配,当匹配一致时,与所述终端建立通信。
在本发明实施例中,预期输出信息为服务器在将认证指令发送给终端时,会根据该认证指令生成一个对应的预期输出信息,比如,认证指令为本进程号时,服务器获取当前的进程号为A,则生成进程号为A的预期输出信息。
在本发明实施例中,在根据服务器发送的认证指令生成认证输出信息后,将该认证输出信息发送给服务器,以使服务器根据该认证输出信息,与预期输出信息进行匹配,当匹配成功后,说明终端合法,此时,可接入服务器,比如认证指令为本进程号,生成的认证输出信息为进程号A,预期输出信息也为进程号A,则说明认证输出信息符合预期输出信息,可接入到服务器中。
实施例三、
图4示出了本发明实施例三提供的一种服务器认证接入终端的方法的实现流程,其与实施例一相似,不同之处,接收终端发送的连接请求,所述连接请求携带有终端运行信息,之前还包括:
在步骤S310中,接收所述终端发送的会话请求。
在步骤S320中,生成随机数,并发送给所述终端,以使所述终端根据所述随机数生成对应的协商密钥。
在本发明实施例中,服务器在接收到终端发送的会话请求时,触发服务器根据随机数生成算法生成对应的随机数,并发送给终端,以进行协商密钥的生成,其中,随机数生成算法可包括多种方式,比如,可以为Math.random(),具体的可以根据实际情况进行设置,本发明不做限定。
在本发明实施例中,协商密钥可通过如下计算方式获取,协商密钥ka=f(随机数,IMEI),其中IMEI为移动设备国际识别码,唯一用来标识同一终端设备,f为运算关系,可根据实际情况进行设置,通过服务器发送的随机数以及终端设备的唯一识别码IMEI,基于密钥协商协议,通过上述算法公式,采用与、或等双输入的计算得到协商密钥ka,密钥协商协议可以为因特网密钥交换协议IKE。
进一步的,协商密钥ka还可以通过其他的算法进行计算,本发明实施例不做限定。
所述接收终端发送的连接请求,所述连接请求携带有终端运行信息;包括:
在步骤S330中,接收所述终端发送的连接请求,所述连接请求携带有通过所述协商密钥加密的终端运行信息。
在本发明实施例中,服务器接收到终端发送的连接请求,该连接请求携带有终端运行信息,服务器通过预设的匹配策略检测终端的终端运行信息与预存的终端运行信息是否匹配,当该终端运行信息与预存的终端运行信息匹配时,允许该终端接入,可与服务器进行通信,由于终端运行信息不易于被读取和修改,通过检测终端运行信息可以有效避免伪造了合法通信数据的主机程序的接入,非常安全和可靠,并且通过预设的匹配策略对终端运行信息进行检测,可多方面对终端的合法性进行检测,具有针对性,可靠性更高,可避免了数据泄露的风险。
本发明实施例中,所述获取预存的终端运行信息,将所述终端运行信息与所述预存的终端运行信息按照预设的匹配策略进行匹配,之前还包括:
在步骤S340中,根据所述随机数,生成所述协商密钥。
在本发明实施例中,协商密钥可通过如下计算方式获取,协商密钥ka=f(随机数,IMEI),其中IMEI为移动设备国际识别码,唯一用来标识同一终端设备,f为运算关系,可根据实际情况进行设置,通过服务器发送的随机数以及终端设备的唯一识别码IMEI,基于密钥协商协议,通过上述算法公式,采用与、或等双输入的计算得到协商密钥ka,密钥协商协议可以为因特网密钥交换协议IKE。
进一步的,协商密钥ka还可以通过其他的算法进行计算,本发明实施例不做限定。
在步骤S350中,根据所述协商密钥对所述加密的终端运行信息进行解密处理。
在本发明实施例中,当服务器生成随机数后,也会根据该随机数生成一协商密钥,该协商密钥与终端生成的协商密钥相对应,当接收到终端发送的用该协商密钥加密的终端运行信息时,服务器根据生成的协商密钥对该终端运行信息进行解密处理,以获取解密后的终端运行信息。
实施例四、
图5示出了本发明实施例五提供的一种服务器认证接入终端的方法,其与实施例一相似,不同之处在于,所述当所述检测通过时,向所述终端发送检测结果信息,并与所述终端建立通信,还包括:
在步骤S410中,当所述终端运行信息与所述预存的终端运行信息匹配一致时,生成会话密钥。
在本发明实施例中,当服务器通过预设的匹配策略对预存的终端运行信息以及终端发送的终端运行信息进行匹配,且匹配一致时,可生成会话密钥,并通过协商密钥将该会话密钥进行加密,终端接收到该加密的会话密钥,并通过协商密钥进行解密,在与服务器进行通话时,可以通过该会话密钥进行加密,以便安全的进行通信,其中,会话密钥可使用CryptDeriveKey函数从杂乱信号数值中导出。
在发明实施例中,该会话密钥也可以直接使用协商密钥代替。
在步骤S420中,向所述终端发送认证成功信息以及所述会话密钥,以与所述终端建立连接,并通过所述会话密钥与所述终端进行会话。
在本发明实施例中,为保证会话密钥在传输过程中的安全性,可使用协商密钥将该会话密钥加密,终端在接收到该会话密钥时,可通过协商密钥解密,以使用该会话密钥对通信过程的会话进行加密。
在本发明的一个实施例中,在上述每个交互步骤中,服务器会对交互时间进行记录,即,形成时间戳,可根据该时间戳,判断是否交互时间过长,以便及时进行对应处理,比如,停止连接过程等,可防止终端下断点调试。
在本发明实施例中,服务器接收到终端发送的连接请求,该连接请求携带有终端运行信息,服务器通过预设的匹配策略检测终端的终端运行信息与预存的终端运行信息是否匹配,当该终端运行信息与预存的终端运行信息匹配时,允许该终端接入,可与服务器进行通信,由于终端运行信息不易于被读取和修改,通过检测终端运行信息可以有效避免伪造了合法通信数据的主机程序的接入,非常安全和可靠,并且通过预设的匹配策略对终端运行信息进行检测,可多方面对终端的合法性进行检测,具有针对性,可靠性更高,可避免了数据泄露的风险。
实施例五、
图6示出了本发明实施例五提供的一种服务器认证接入终端的装置500,应用于服务器,为了便于说明,仅示出了与本发明实施例相关的部分。
服务器认证接入终端的装置500还包括:连接请求接收单元51、匹配单元52以及通信建立单元。
连接请求接收单元51,用于接收终端发送的连接请求,所述连接请求携带有终端运行信息。
在本发明实施例中,终端运行信息包括终端运行信息包括进程信息、代码段哈希、堆栈特征信息或者应用签名信息中的一个或其任意组合。
在本发明实施例中,进程信息包括但不仅限于创建者,权限,调试信息,打开的文件和socket列表,进程ID,父进程ID,分配的用户ID,组ID,所属用户组列表,拥有的能力、权限(capability),APP申请的Android权限列表。终端在收集进程信息时,可以通过下述方式进行,比如,在Android系统中读取/proc/self/status的信息,查看父进程ID(PPID)是否为期望的调用者进程ID,接收跟踪该进程信息的进程的ID号(TracePID)可以标示本进程是否处于被调试状态,用户身份证明(UID)和组ID可以标示进程是否分配了合适的用户ID和用户组,进程的能力(CapEff)等可以标示本进程获取的能力是否合适。
在本发明实施例中,代码段哈希可以通过程序获取,比如,对所有可执行文件的.text段,通过哈希算法进行计算获取。
在本发明实施例中,堆栈信息可以通过下述方式获取,比如,终端可以在将堆栈信息发送给服务器之前,先在栈中的局部变量设置随机数,并将其随机数的地址传递给收集该堆栈的函数,然后通过该函数将该函数的栈地址到该随机数的地址之间的数据进行收集,该数据为堆栈信息,其中,可以在多个存在层级调用关系的函数栈设置随机数,但是,此前提为,收集函数执行中设置的函数栈未结束。
其中,该随机数可以为终端生成的,也可以为服务器发送的随机数。
匹配单元52,用于获取预存的终端运行信息,将所述终端运行信息与所述预存的终端运行信息按照预设的匹配策略进行匹配。
在本发明实施例中,预存的终端运行信息为服务器的认证数据库存储的终端运行信息,由于不同种类的终端收集到的进程信息模式上是不一样的,但是同一类终端的进程信息基本相同,因此,可在产品发货前,将每一类终端进程信息录入认证数据库,进行存储,其中同一类终端可为同一操作系统、同一品牌、同一型号的终端。
在本发明实施例中,预设的匹配策略为服务器系统预设的,也可以为策略服务器发送的。
在本发明实施例中,预设的匹配策略为,将所有接收到的终端运行信息均与预设的终端运行信息进行匹配,或者,在终端发送的终端运行信息中选择至少一个与预设的终端运行信息进行匹配。
在本发明实施例中,服务器在接收到终端发送的终端运行信息时,可通过正则表达式,将终端运行信息与认证数据库中预存的终端运行信息进行认证检测,具体的,根据数据库中预存的终端运行信息,生成正则表达式,并可根据正则表达式规则,设置一个匹配规则列表,根据正则表达式的字段顺序对终端运行信息进行依次匹配,当正则表达式中的字段均匹配成功时,说明终端运行信息检测成功,终端可合法接入,否则,检测失败,终端接入失败。
在本发明的一个优选实施例中,终端可通过在堆栈中设置认证码,服务根据该认证码的分布情况,对堆栈的内存进行保护,避免他人在认证阶段通过可利用的缓冲区溢出等漏洞进行非法接入,具体的,在堆栈中设置多个认证码,比如,在层级函数调用关系的函数栈中设置认证码,通过处于深层的函数遍历还未被回收的浅层函数栈中的认证码,计算每个函数中的两两之间的随机数的地址的差值,根据该差值反应的函数间的调用关系,由于,该调用关系确定,当其中一个函数收到攻击时,函数栈中的随机数和可能被破坏,因此函数调用关系也会存在异常,因此,通过检测该函数调用关系是否异常,就可以判断出,当前是否受到他人的攻击,从而实现对堆栈内存的保护。
其中,认证码可以为终端生成的随机数,也可以为服务器发送的随机数。
通信建立单元53,用于当所述终端运行信息与所述预存的终端运行信息匹配一致时,向所述终端发送认证成功信息,并与所述终端建立通信。
在本发明实施例中,服务器接收终端发送的加密后的终端运行信息,并根据该终端运行信息进行终端的合法检测,决定是否使该终端接入。通过对终端运行信息进行加密后在传输给服务器,可以保证终端运行信息在传输过程中的安全性,避免受到他人的攻击,可以降低数据泄露的风险。
实施例六、
图7示出了本发明实施例六提供的一种通信建立单元53的结构,为了便于说明,仅示出了与本发明实施例相关的部分。
通信建立单元53包括:预期输出信息生成模块531、认证输出信息接收模块532以及第一通信建立模块533。
预期输出信息生成模块531,用于当所述终端运行信息与所述预存的终端运行信息匹配一致时,获取认证指令,并根据所述认证指令生成对应的预期输出信息。
在本发明实施例中,在根据终端发送的终端运行信息与预存的终端运行信息进行匹配成功后,获取认证指令,并根据该认证指令生成对应的预期输出信息,比如,该认证指令为生成本进程号,服务器会根据该认证指令生成预期的输出信息,如,本进程号为进程号A。
其中,该认证指令为服务器生成的,也可为服务器在终端运行信息成功后,向策略服务器发送认证成功的信息,并接收该策略服务器返回的认证指令。
在本发明实施例中,该认证指令可以为获取本进程号或者父进程号,也可以是进程加载的内存地址等,具体可以根据实际情况进行设置。
认证输出信息接收模块532,用于,将所述认证指令以及所述认证成功信息发送给所述终端,接收所述终端返回的根据所述认证指令生成的认证输出信息。
第一通信建立模块533,判断所述认证输出信息与所述预期输出信息是否相匹配,当匹配一致时,与所述终端建立通信。
在本发明实施例中,预期输出信息为服务器在将认证指令发送给终端时,会根据该认证指令生成一个对应的预期输出信息,比如,认证指令为本进程号时,服务器获取当前的进程号为A,则生成进程号为A的预期输出信息。
在本发明实施例中,在根据服务器发送的认证指令生成认证输出信息后,将该认证输出信息发送给服务器,以使服务器根据该认证输出信息,与预期输出信息进行匹配,当匹配成功后,说明终端合法,此时,可接入服务器,比如认证指令为本进程号,生成的认证输出信息为进程号A,预期输出信息也为进程号A,则说明认证输出信息符合预期输出信息,可接入到服务器中。
实施例七、
图8示出了本发明实施例八提供的一种服务器认证接入终端的装置的结构,为了便于说明,仅示出了与本发明相关的部分。
服务器认证接入终端的装置500还包括:会话请求接收单元54以及随机数生成单元65。
会话请求接收单元54,用于接收所述终端发送的会话请求。
随机数生成单元55,用于生成随机数,并发送给所述终端,以使所述终端根据所述随机数生成对应的协商密钥。
在本发明实施例中,服务器在接收到终端发送的会话请求时,触发服务器根据随机数生成算法生成对应的随机数,并发送给终端,以进行协商密钥的生成,其中,随机数生成算法可包括多种方式,比如,可以为Math.random(),具体的可以根据实际情况进行设置,本发明不做限定。
在本发明实施例中,协商密钥可通过如下计算方式获取,协商密钥ka=f(随机数,IMEI),其中IMEI为移动设备国际识别码,唯一用来标识同一终端设备,f为运算关系,可根据实际情况进行设置,通过服务器发送的随机数以及终端设备的唯一识别码IMEI,基于密钥协商协议,通过上述算法公式,采用与、或等双输入的计算得到协商密钥ka,密钥协商协议可以为因特网密钥交换协议IKE。
进一步的,协商密钥ka还可以通过其他的算法进行计算,本发明实施例不做限定。
所述连接请求接收单元51,包括:连接请求接收模块511。
连接请求接收模块511,用于接收所述终端发送的连接请求,所述连接请求携带有通过所述协商密钥加密的终端运行信息。
在本发明实施例中,服务器接收到终端发送的连接请求,该连接请求携带有终端运行信息,服务器通过预设的匹配策略检测终端的终端运行信息与预存的终端运行信息是否匹配,当该终端运行信息与预存的终端运行信息匹配时,允许该终端接入,可与服务器进行通信,由于终端运行信息不易于被读取和修改,通过检测终端运行信息可以有效避免伪造了合法通信数据的主机程序的接入,非常安全和可靠,并且通过预设的匹配策略对终端运行信息进行检测,可多方面对终端的合法性进行检测,具有针对性,可靠性更高,可避免了数据泄露的风险。
在本发明实施例中,服务器认证接入终端的装置500还包括:协商密钥生成单元56以及解密单元57。
协商密钥生成单元56,用于根据所述随机数,生成所述协商密钥在本发明实施例中,协商密钥可通过如下计算方式获取,协商密钥ka=f(随机数,IMEI),其中IMEI为移动设备国际识别码,唯一用来标识同一终端设备,f为运算关系,可根据实际情况进行设置,通过服务器发送的随机数以及终端设备的唯一识别码IMEI,基于密钥协商协议,通过上述算法公式,采用与、或等双输入的计算得到协商密钥ka,密钥协商协议可以为因特网密钥交换协议IKE。
进一步的,协商密钥ka还可以通过其他的算法进行计算,本发明实施例不做限定。
解密单元57,用于根据所述协商密钥对所述加密的终端运行信息进行解密处理。
在本发明实施例中,当服务器生成随机数后,也会根据该随机数生成一协商密钥,该协商密钥与终端生成的协商密钥相对应,当接收到终端发送的用该协商密钥加密的终端运行信息时,服务器根据生成的协商密钥对该终端运行信息进行解密处理,以获取解密后的终端运行信息。
实施例八、
图9示出了本发明实施例九提供的另一种通信建立单元,为了便于说明,进行示出了与发明实施例相关的部分。
通信建立单元53包括:会话密钥生成模块534以及第二通信建立模块535。
会话密钥生成模块534,用于当所述终端运行信息与所述预存的终端运行信息匹配一致时,生成会话密钥。
在本发明实施例中,当服务器通过预设的匹配策略对预存的终端运行信息以及终端发送的终端运行信息进行匹配,且匹配一致时,可生成会话密钥,并通过协商密钥将该会话密钥进行加密,终端接收到该加密的会话密钥,并通过协商密钥进行解密,在与服务器进行通话时,可以通过该会话密钥进行加密,以便安全的进行通信,其中,会话密钥可使用CryptDeriveKey函数从杂乱信号数值中导出。
在发明实施例中,该会话密钥也可以直接使用协商密钥代替。
第二通信建立模块535,用于向所述终端发送认证成功信息以及所述会话密钥,以与所述终端建立连接,并通过所述会话密钥与所述终端进行会话。
在本发明实施例中,为保证会话密钥在传输过程中的安全性,可使用协商密钥将该会话密钥加密,终端在接收到该会话密钥时,可通过协商密钥解密,以使用该会话密钥对通信过程的会话进行加密。
在本发明实施例中,服务器接收到终端发送的连接请求,该连接请求携带有终端运行信息,服务器通过预设的匹配策略检测终端的终端运行信息与预存的终端运行信息是否匹配,当该终端运行信息与预存的终端运行信息匹配时,允许该终端接入,可与服务器进行通信,由于终端运行信息不易于被读取和修改,通过检测终端运行信息可以有效避免伪造了合法通信数据的主机程序的接入,非常安全和可靠,并且通过预设的匹配策略对终端运行信息进行检测,可多方面对终端的合法性进行检测,具有针对性,可靠性更高,可避免了数据泄露的风险。
实施例十、
图10示出了本发明实施例提供的一种服务器认证接入终端的系统,为了便于说明,仅示出了与本发明实施例相关的部分。
终端1,用于获取终端运行信息,并将终端运行信息发送给服务器2。
服务器2,用于接收述终端2发送的终端运行信息,并根据终端运行信息对终端1进行合法认证;
服务器2包括:
连接请求接收单元51,用于接收终端发送的连接请求,所述连接请求携带有终端运行信息;
匹配单元52,用于获取预存的终端运行信息,将所述终端运行信息与所述预存的终端运行信息按照预设的匹配策略进行匹配;
通信建立单元53,用于当所述终端运行信息与所述预存的终端运行信息匹配一致时,向所述终端发送认证成功信息,并与所述终端建立通信。
关于服务器2的具体实施例可参考上述服务器认证接入终端的装置的实施例部分,本发明在此不再赘述。
在本发明实施例中,认证系统还包括:
安全策略服务器3,用于向服务器2提供匹配策略,以使服务器2根据该匹配策略对终端运行信息进行匹配。
本发明实施例还提供了一种服务器,该服务器包括处理器和存储器,处理器用于执行存储器中存储的计算机程序时实现上述发明实施例提供的服务器认证终端接入的方法的步骤。
本发明实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序(指令),该计算机程序(指令)被处理器执行时实现上述发明实施例提供的服务器认证终端接入的方法步骤。
图11示出了本发明一个实施例提供的服务器的结构示意图。
服务器400可以采用本结构,用于实施上述实施例中提供的服务器认证接入终端的方法。
服务器400包括中央处理单元(CPU)401,包括随机存取存储器(RAM)402和只读存储器(ROM)403的系统存储器404,以及连接系统存储器404和中央处理单元401的系统总线405。服务器400还包括帮助计算机内的各个器件之间传输信息的基本输入/输出系统(I/O系统)406,和用于存储操作系统412、应用程序414和其他程序模块415的大容量存储设备407。
基本I/O系统406包括有用于显示信息的显示器408和用于用户输入信息的诸如鼠标、键盘之类的输入设备409。其中显示器408和输入设备409都通过连接到系统总线405的输入/输出控制器410连接到中央处理单元401。基本I/O系统406还可以包括输入/输出控制器410以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地,输入/输出控制器410还提供输出到显示屏、打印机或其他类型的输出设备。
大容量存储设备407通过连接到系统总线405的大容量存储控制器(未示出)连接到中央处理单元401。大容量存储设备407及其相关联的计算机可读介质为服务器400提供非易失性存储。也就是说,大容量存储设备407可以包括诸如硬盘或者CD-ROM驱动器之类的计算机可读介质(未示出)。
不失一般性,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、EPROM、EEPROM、闪存或其他固态存储其技术,CD-ROM、DVD或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知计算机存储介质不局限于上述几种。上述的系统存储器404和大容量存储设备407可以统称为存储器。
根据本发明的各种实施例,服务器400还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即服务器400可以通过连接在系统总线405上的网络接口单元411连接到网络413,或者说,也可以使用网络接口单元411来连接到其他类型的网络或远程计算机系统(未示出)。
存储器还包括一个或者一个以上的程序,一个或者一个以上程序存储于存储器中,且经配置以由一个或者一个以上中央处理单元401执行。上述一个或者一个以上程序包含用于执行如图2,图3、图4、图5所示出的服务器认证接入终端的方法。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,该程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种服务器认证接入终端的方法,应用于服务器,其特征在于,所述服务器认证接入终端的方法包括:
接收终端发送的连接请求,所述连接请求携带有终端运行信息;
获取预存的终端运行信息,将所述终端运行信息与所述预存的终端运行信息按照预设的匹配策略进行匹配,其中,所述预存的终端运行信息为根据终端种类收集并录入认证数据库的运行信息,所述终端运行信息包括进程信息、代码段哈希、堆栈特征信息或者应用签名信息中的一个或其任意组合;
当所述终端运行信息与所述预存的终端运行信息匹配一致时,获取认证指令,并根据所述认证指令生成对应的预期输出信息;
将所述认证指令以及所述认证成功信息发送给所述终端,接收所述终端返回的根据所述认证指令生成的认证输出信息;
判断所述认证输出信息与所述预期输出信息是否相匹配,当匹配一致时,与所述终端建立通信。
2.如权利要求1所述的服务器认证接入终端的方法,其特征在于,所述接收终端发送的连接请求,所述连接请求携带有终端运行信息,之前还包括:
接收所述终端发送的会话请求;
生成随机数,并发送给所述终端,以使所述终端根据所述随机数生成对应的协商密钥;
所述接收终端发送的连接请求,所述连接请求携带有终端运行信息;包括:
接收所述终端发送的连接请求,所述连接请求携带有通过所述协商密钥加密的终端运行信息。
3.如权利要求2所述的服务器认证接入终端的方法,其特征在于,所述获取预存的终端运行信息,将所述终端运行信息与所述预存的终端运行信息按照预设的匹配策略进行匹配,之前还包括:
根据所述随机数,生成所述协商密钥;
根据所述协商密钥对所述加密的终端运行信息进行解密处理。
4.如权利要求1所述的服务器认证接入终端的方法,其特征在于,所述当所述终端运行信息与所述预存的终端运行信息匹配一致时,向所述终端发送认证成功信息,并与所述终端建立通信,还包括:
当所述终端运行信息与所述预存的终端运行信息匹配一致时,生成会话密钥;
向所述终端发送认证成功信息以及所述会话密钥,以与所述终端建立连接,并通过所述会话密钥与所述终端进行会话。
5.一种服务器认证接入终端的装置,应用于服务器,其特征在于,所述服务器包括:
连接请求接收单元,用于接收终端发送的连接请求,所述连接请求携带有终端运行信息;
匹配单元,用于获取预存的终端运行信息,将所述终端运行信息与所述预存的终端运行信息按照预设的匹配策略进行匹配,其中,所述预存的终端运行信息为根据终端种类收集并录入认证数据库的运行信息,所述终端运行信息包括进程信息、代码段哈希、堆栈特征信息或者应用签名信息中的一个或其任意组合;
通信建立单元,包括:
预期输出信息生成模块,用于当所述终端运行信息与所述预存的终端运行信息匹配一致时,获取认证指令,并根据所述认证指令生成对应的预期输出信息;
认证输出信息接收模块,用于将所述认证指令以及所述认证成功信息发送给所述终端,接收所述终端返回的根据所述认证指令生成的认证输出信息;
第一通信建立模块,用于判断所述认证输出信息与所述预期输出信息是否相匹配,当匹配一致时,与所述终端建立通信。
6.如权利要求5所述的服务器认证接入终端的装置,其特征在于,所述装置还包括:
会话请求接收单元,用于接收所述终端发送的会话请求;
随机数生成单元,用于生成随机数,并发送给所述终端,以使所述终端根据所述随机数生成对应的协商密钥;
所述连接请求接收单元;包括:
连接请求接收模块,用于接收所述终端发送的连接请求,所述连接请求携带有通过所述协商密钥加密的终端运行信息。
7.如权利要求6所述的服务器认证接入终端的装置,其特征在于,所述装置还包括:
协商密钥生成单元,用于根据所述随机数,生成所述协商密钥;
解密单元,用于根据所述协商密钥对所述加密的终端运行信息进行解密处理。
8.如权利要求5所述的服务器认证接入终端的装置,其特征在于,所述通信建立单元,还包括:
会话密钥生成模块,用于当所述终端运行信息与所述预存的终端运行信息匹配一致时,生成会话密钥;
第二通信建立模块,用于向所述终端发送认证成功信息以及所述会话密钥,以与所述终端建立连接,并通过所述会话密钥与所述终端进行会话。
9.一种服务器认证接入终端的系统,其特征在于,所述认证系统包括:
终端,用于获取终端运行信息,并将所述终端运行信息发送给服务器;
所述服务器,用于接收所述终端发送的终端运行信息,并根据所述终端运行信息对所述终端进行合法认证;
所述服务器包括:
连接请求接收单元,用于接收终端发送的连接请求,所述连接请求携带有终端运行信息;
匹配单元,用于获取预存的终端运行信息,将所述终端运行信息与所述预存的终端运行信息按照预设的匹配策略进行匹配,其中,所述预存的终端运行信息为根据终端种类收集并录入认证数据库的运行信息,所述终端运行信息包括进程信息、代码段哈希、堆栈特征信息或者应用签名信息中的一个或其任意组合;
通信建立单元,包括:
预期输出信息生成模块,用于当所述终端运行信息与所述预存的终端运行信息匹配一致时,获取认证指令,并根据所述认证指令生成对应的预期输出信息;
认证输出信息接收模块,用于将所述认证指令以及所述认证成功信息发送给所述终端,接收所述终端返回的根据所述认证指令生成的认证输出信息;
第一通信建立模块,用于判断所述认证输出信息与所述预期输出信息是否相匹配,当匹配一致时,与所述终端建立通信。
10.如权利要求9所述服务器认证接入终端的系统,其特征在于,所述认证系统还包括:
安全策略服务器,用于向所述服务器提供匹配策略,以使所述服务器根据所述匹配策略对所述终端运行信息进行匹配。
11.一种服务器,其特征在于,所述服务器包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1-4中任意一项所述方法的步骤。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-4中任意一项所述方法的步骤。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710630063.9A CN107483419B (zh) | 2017-07-28 | 2017-07-28 | 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质 |
| PCT/CN2018/094515 WO2019019887A1 (zh) | 2017-07-28 | 2018-07-04 | 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质 |
| US16/699,529 US11258792B2 (en) | 2017-07-28 | 2019-11-29 | Method, device, system for authenticating an accessing terminal by server, server and computer readable storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710630063.9A CN107483419B (zh) | 2017-07-28 | 2017-07-28 | 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107483419A CN107483419A (zh) | 2017-12-15 |
| CN107483419B true CN107483419B (zh) | 2020-06-09 |
Family
ID=60598483
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710630063.9A Active CN107483419B (zh) | 2017-07-28 | 2017-07-28 | 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11258792B2 (zh) |
| CN (1) | CN107483419B (zh) |
| WO (1) | WO2019019887A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483419B (zh) * | 2017-07-28 | 2020-06-09 | 深圳市优克联新技术有限公司 | 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质 |
| CN108284805B (zh) * | 2017-12-18 | 2019-09-10 | 航天新长征大道科技有限公司 | 一种车载终端异常登录处理方法、服务器、车载终端 |
| CN112637161B (zh) * | 2018-09-12 | 2022-07-08 | 宁德时代新能源科技股份有限公司 | 数据传输方法和存储介质 |
| CN109617895A (zh) * | 2018-12-27 | 2019-04-12 | 东莞见达信息技术有限公司 | 访问安全控制方法及系统 |
| CN109922123B (zh) * | 2018-12-27 | 2022-01-11 | 北京奥鹏远程教育中心有限公司 | 服务器间调用关系的展示方法及展示装置 |
| JP7222789B2 (ja) * | 2019-03-29 | 2023-02-15 | キヤノン株式会社 | 情報処理装置およびその制御方法、通信装置、並びにプログラム |
| CN110113355B (zh) * | 2019-05-22 | 2022-05-31 | 北京安护环宇科技有限公司 | 物联网云端的接入方法及装置 |
| CN111274008B (zh) * | 2020-01-08 | 2023-07-18 | 百度在线网络技术(北京)有限公司 | 进程控制方法、服务器和电子设备 |
| CN111770114B (zh) * | 2020-09-01 | 2020-12-22 | 北京安帝科技有限公司 | 一种基于指纹采集的工业控制应用程序安全监测方法 |
| CN112422516B (zh) * | 2020-10-27 | 2022-08-16 | 中国南方电网有限责任公司 | 基于电力边缘计算的可信连接方法、装置和计算机设备 |
| CN112738051B (zh) * | 2020-12-24 | 2023-12-01 | 深圳赛安特技术服务有限公司 | 数据信息加密方法、系统及计算机可读存储介质 |
| CN114785611A (zh) * | 2022-05-10 | 2022-07-22 | 山东高速信息集团有限公司 | 一种用于智能监控终端的通讯协议配置方法、设备及介质 |
| CN115695053A (zh) * | 2023-01-03 | 2023-02-03 | 国网浙江省电力有限公司金华供电公司 | 一种配电物联网接入系统 |
| CN116437349B (zh) * | 2023-06-13 | 2023-09-05 | 武汉博易讯信息科技有限公司 | 对移动网络进行访问控制的方法、装置、设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104378758A (zh) * | 2014-05-12 | 2015-02-25 | 腾讯科技(深圳)有限公司 | 接入点连接方法、终端及服务器 |
| CN104484259A (zh) * | 2014-11-25 | 2015-04-01 | 北京奇虎科技有限公司 | 应用程序的流量监控方法、装置和移动终端 |
| CN104618585A (zh) * | 2015-01-14 | 2015-05-13 | 宇龙计算机通信科技(深圳)有限公司 | 一种基于多系统终端建立通信连接的方法及装置 |
| CN104717184A (zh) * | 2013-12-13 | 2015-06-17 | 中兴通讯股份有限公司 | 一种终端应用会话五元组的获取方法及装置 |
| CN106027614A (zh) * | 2016-05-09 | 2016-10-12 | 百度在线网络技术(北京)有限公司 | 信息推送的方法、装置和系统 |
| CN106488453A (zh) * | 2016-12-07 | 2017-03-08 | 上海斐讯数据通信技术有限公司 | 一种portal认证的方法及系统 |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9391985B2 (en) * | 2005-04-26 | 2016-07-12 | Guy Hefetz | Environment-based two-factor authentication without geo-location |
| US20070143834A1 (en) * | 2005-12-20 | 2007-06-21 | Nokia Corporation | User authentication in a communication system supporting multiple authentication schemes |
| CN101064604B (zh) * | 2006-04-29 | 2012-04-18 | 西门子公司 | 远程访问方法、系统及设备 |
| US8756660B2 (en) * | 2008-04-17 | 2014-06-17 | Microsoft Corporation | Enabling two-factor authentication for terminal services |
| CN101286846B (zh) * | 2008-05-19 | 2014-04-16 | 郑宽永 | 交互式身份认证方法 |
| US20100132017A1 (en) * | 2008-11-21 | 2010-05-27 | Avaya, Inc. | Process for authenticating a user by certificate using an out-of band message exchange |
| WO2012162843A1 (en) * | 2011-06-03 | 2012-12-06 | Research In Motion Limted | System and method for accessing private networks |
| CN102270287B (zh) * | 2011-07-13 | 2013-07-24 | 中国人民解放军海军计算技术研究所 | 一种提供主动安全服务的可信软件基 |
| CN102957951A (zh) * | 2011-08-29 | 2013-03-06 | 北京数字太和科技有限责任公司 | 一种双向数字电视内容分发版权管理的实现方法 |
| US20130339740A1 (en) * | 2012-03-08 | 2013-12-19 | Omer Ben-Shalom | Multi-factor certificate authority |
| KR101579603B1 (ko) * | 2012-06-27 | 2016-01-04 | 네이버 주식회사 | 이미지 인증키를 이용한 tv와 스마트폰의 연동 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 |
| WO2014176539A1 (en) * | 2013-04-26 | 2014-10-30 | Interdigital Patent Holdings, Inc. | Multi-factor authentication to achieve required authentication assurance level |
| CN103281334A (zh) * | 2013-06-17 | 2013-09-04 | 福建伊时代信息科技股份有限公司 | 终端处理方法、终端及服务器 |
| US10366391B2 (en) * | 2013-08-06 | 2019-07-30 | Visa International Services Association | Variable authentication process and system |
| CN104426658B (zh) * | 2013-09-02 | 2017-12-01 | 中国移动通信集团公司 | 对移动终端上的应用进行身份验证的方法及装置 |
| US9374364B2 (en) * | 2013-10-16 | 2016-06-21 | Teleperformance Se | Method and system for implementing video two factor authentication |
| CN103593617B (zh) * | 2013-10-27 | 2016-08-17 | 西安电子科技大学 | 基于vmm的软件完整性校验系统及其方法 |
| US9973534B2 (en) * | 2013-11-04 | 2018-05-15 | Lookout, Inc. | Methods and systems for secure network connections |
| CN105744517A (zh) * | 2014-12-08 | 2016-07-06 | 中国移动通信集团江苏有限公司 | 一种信息认证的方法及网络侧设备 |
| CN104639640A (zh) * | 2015-02-10 | 2015-05-20 | 深圳优合胜通信技术有限公司 | 一种基于功能手机平台实现语音通讯的方法和系统 |
| US10390222B2 (en) * | 2015-09-26 | 2019-08-20 | Intel Corporation | Technologies for touch-free multi-factor authentication |
| CN105391687A (zh) * | 2015-10-13 | 2016-03-09 | 南京联成科技发展有限公司 | 一种向中小企业提供信息安全运维服务的系统与方法 |
| WO2017134632A1 (en) * | 2016-02-03 | 2017-08-10 | Averon Us, Inc. | Method and apparatus for facilitating frictionless two-factor authentication |
| CN106549957B (zh) * | 2016-10-26 | 2020-01-31 | 上海众人网络安全技术有限公司 | 一种终端应用正版的认证方法及系统 |
| CN106878283B (zh) * | 2017-01-13 | 2020-06-26 | 新华三技术有限公司 | 一种认证方法及装置 |
| CN107483419B (zh) * | 2017-07-28 | 2020-06-09 | 深圳市优克联新技术有限公司 | 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质 |
-
2017
- 2017-07-28 CN CN201710630063.9A patent/CN107483419B/zh active Active
-
2018
- 2018-07-04 WO PCT/CN2018/094515 patent/WO2019019887A1/zh active Application Filing
-
2019
- 2019-11-29 US US16/699,529 patent/US11258792B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104717184A (zh) * | 2013-12-13 | 2015-06-17 | 中兴通讯股份有限公司 | 一种终端应用会话五元组的获取方法及装置 |
| CN104378758A (zh) * | 2014-05-12 | 2015-02-25 | 腾讯科技(深圳)有限公司 | 接入点连接方法、终端及服务器 |
| CN104484259A (zh) * | 2014-11-25 | 2015-04-01 | 北京奇虎科技有限公司 | 应用程序的流量监控方法、装置和移动终端 |
| CN104618585A (zh) * | 2015-01-14 | 2015-05-13 | 宇龙计算机通信科技(深圳)有限公司 | 一种基于多系统终端建立通信连接的方法及装置 |
| CN106027614A (zh) * | 2016-05-09 | 2016-10-12 | 百度在线网络技术(北京)有限公司 | 信息推送的方法、装置和系统 |
| CN106488453A (zh) * | 2016-12-07 | 2017-03-08 | 上海斐讯数据通信技术有限公司 | 一种portal认证的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11258792B2 (en) | 2022-02-22 |
| WO2019019887A1 (zh) | 2019-01-31 |
| CN107483419A (zh) | 2017-12-15 |
| US20200106775A1 (en) | 2020-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107483419B (zh) | 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质 | |
| CN111949953B (zh) | 基于区块链的身份认证方法、系统、装置和计算机设备 | |
| US10834170B2 (en) | Cloud authenticated offline file sharing | |
| EP3206329B1 (en) | Security check method, device, terminal and server | |
| CN109145628B (zh) | 一种基于可信执行环境的数据采集方法及系统 | |
| CN111131300B (zh) | 通信方法、终端及服务器 | |
| CN111814132B (zh) | 安全认证方法及装置、安全认证芯片、存储介质 | |
| CN110213247A (zh) | 一种提高推送信息安全性的方法及系统 | |
| CN108777691B (zh) | 网络安全防护方法及装置 | |
| US11057392B2 (en) | Data security method utilizing mesh network dynamic scoring | |
| CN114444134A (zh) | 一种数据使用授权方法、系统及装置 | |
| CN111259428A (zh) | 基于区块链的数据处理方法、装置、节点设备及存储介质 | |
| CN110034922B (zh) | 请求处理方法、处理装置以及请求验证方法、验证装置 | |
| CN109302442B (zh) | 一种数据存储证明方法及相关设备 | |
| KR20170103691A (ko) | Ip 주소와 sms를 이용한 인증 방법 및 시스템 | |
| CN108574658B (zh) | 一种应用登录方法及其设备 | |
| CN114172923B (zh) | 数据传输方法、通信系统及通信装置 | |
| CN115563588A (zh) | 一种软件离线鉴权的方法、装置、电子设备和存储介质 | |
| CN112732676B (zh) | 基于区块链的数据迁移方法、装置、设备及存储介质 | |
| CN113572717B (zh) | 通信连接的建立方法、洗护设备及服务器 | |
| CN106533685B (zh) | 身份认证方法、装置及系统 | |
| CN114745115A (zh) | 一种信息传输方法、装置、计算机设备及存储介质 | |
| CN114595465A (zh) | 数据加密处理方法、装置及电子设备 | |
| CN111711628B (zh) | 网络通信身份认证方法、装置、系统、设备及存储介质 | |
| KR102534012B1 (ko) | 컨텐츠 제공자의 보안등급을 인증하는 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |