CN110505185A - 身份验证方法、设备和系统 - Google Patents
身份验证方法、设备和系统 Download PDFInfo
- Publication number
- CN110505185A CN110505185A CN201810483273.4A CN201810483273A CN110505185A CN 110505185 A CN110505185 A CN 110505185A CN 201810483273 A CN201810483273 A CN 201810483273A CN 110505185 A CN110505185 A CN 110505185A
- Authority
- CN
- China
- Prior art keywords
- identity
- client device
- equipment
- client
- validation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Abstract
本发明实施例提供一种身份验证方法、设备和系统,该方法包括:客户端设备响应于对客户端的访问请求向身份验证设备发送身份验证指令;客户端设备接收身份验证设备发送的第一加密数据,第一加密数据是身份验证设备对自身的设备验证信息进行加密获得的,设备验证信息中包括身份验证设备的设备标识;客户端设备将第一加密数据发送至客户端对应的服务器,以使服务器在确定设备标识是客户端设备预先绑定的合法身份验证设备的设备标识时输出访问响应数据;客户端设备接收服务器发送的访问响应数据。当用户对客户端触发访问请求时,仅需将预先与其客户端设备绑定的身份验证设备与客户端设备连接即可基于上述方案实现简单方便地对用户身份的可靠验证。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种身份验证方法、设备和系统。
背景技术
用户的诸如手机、电脑等终端设备中往往会安装有多种应用程序,简称为多种客户端,用户在使用这些客户端时,往往需要先通过输入注册时提供的账号、密码等方式登录客户端,只有当用户输入的账号和密码正确时才能使用该客户端提供的服务,也就是说,通过验证输入的密码和账号的准确性来验证用户身份。
而连入互联网络的用户终端设备都有被攻击的风险,因此,如果黑客攻击了某用户的用户终端设备,盗取了该用户的某些客户端的登录账号和密码,将会对该用户的信息安全产生严重的影响。目前为克服该安全问题,可以通过诸如让用户设置具有更强复杂性的密码等方式来降低密码被破译的可能性,但是这种方式对用户来说,操作不便,因此,迫切需要提供一种实现更为简单可靠地方式来实现对用户使用某个客户端时用户身份的验证。
发明内容
有鉴于此,本发明实施例提供一种身份验证方法、设备和系统,用以提高用户身份验证的用户操作便捷性。
第一方面,本发明实施例提供一种身份验证方法,应用于客户端设备,所述客户端设备与身份验证设备连接,所述方法包括:
响应于对客户端的访问请求,向所述身份验证设备发送身份验证指令;
接收所述身份验证设备发送的第一加密数据,所述第一加密数据是所述身份验证设备对自身的设备验证信息进行加密获得的,所述设备验证信息中包括所述身份验证设备的设备标识;
将所述第一加密数据发送至所述客户端对应的服务器,以使所述服务器在确定所述设备标识是所述客户端设备预先绑定的合法身份验证设备的设备标识时输出访问响应数据;
接收所述服务器发送的访问响应数据。
第二方面,本发明实施例提供一种身份验证装置,应用于客户端设备,包括:
发送模块,用于响应于对客户端的访问请求,向身份验证设备发送身份验证指令。
接收模块,用于接收所述身份验证设备发送的第一加密数据,所述第一加密数据是所述身份验证设备对自身的设备验证信息进行加密获得的,所述设备验证信息中包括所述身份验证设备的设备标识。
所述发送模块,还用于将所述第一加密数据发送至所述客户端对应的服务器,以使所述服务器在确定所述设备标识是所述客户端设备预先绑定的合法身份验证设备的设备标识时输出访问响应数据。
所述接收模块,还用于接收所述服务器发送的访问响应数据。
第三方面,本发明实施例提供一种客户端设备,包括处理器和存储器,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时实现上述第一方面中的身份验证方法。该客户端设备还可以包括通信接口,用于与其他设备或通信网络通信。
本发明实施例提供了一种计算机存储介质,用于储存计算机程序,所述计算机程序使计算机执行时实现上述第一方面中的身份验证方法。
第四方面,本发明实施例提供一种身份验证方法,应用于身份验证设备,所述身份验证设备与客户端设备连接,所述方法包括:
接收所述客户端设备发送的身份验证指令,所述身份验证指令是所述客户端设备响应于用户对客户端触发的访问请求而发送的;
对所述身份验证设备对应的设备验证信息进行加密以获得第一加密数据,所述设备验证信息中包括所述身份验证设备的设备标识;
将所述第一加密数据通过所述客户端设备发送至所述客户端对应的服务器,以使所述服务器确定所述设备标识是否为所述客户端设备预先绑定的合法身份验证设备的设备标识。
第五方面,本发明实施例提供一种身份验证装置,应用于身份验证设备,包括:
接收模块,用于接收客户端设备发送的身份验证指令,所述身份验证指令是所述客户端设备响应于用户对客户端触发的访问请求而发送的。
数据处理模块,用于对所述身份验证设备对应的设备验证信息进行加密以获得第一加密数据,所述设备验证信息中包括所述身份验证设备的设备标识。
发送模块,用于将所述第一加密数据通过所述客户端设备发送至所述客户端对应的服务器,以使所述服务器确定所述设备标识是否为所述客户端设备预先绑定的合法身份验证设备的设备标识。
第六方面,本发明实施例提供一种身份验证设备,包括处理器和存储器,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时实现上述第四方面中的身份验证方法。该身份验证设备还可以包括通信接口,用于与其他设备或通信网络通信。
本发明实施例提供了一种计算机存储介质,用于储存计算机程序,所述计算机程序使计算机执行时实现上述第四方面中的身份验证方法。
第七方面,本发明实施例提供一种身份验证方法,应用于服务器,所述方法包括:
接收客户端设备发送的第一加密数据,所述第一加密数据是与所述客户端设备连接的身份验证设备对自身的设备验证信息进行加密获得的,所述设备验证信息中包括所述身份验证设备的设备标识;
若确定所述设备标识是所述客户端设备预先绑定的合法身份验证设备的设备标识,则向所述客户端设备输出访问响应数据。
第八方面,本发明实施例提供一种身份验证装置,应用于服务器,包括:
接收模块,用于接收客户端设备发送的第一加密数据,所述第一加密数据是与所述客户端设备连接的身份验证设备对自身的设备验证信息进行加密获得的,所述设备验证信息中包括所述身份验证设备的设备标识。
验证模块,用于确定所述设备标识是否为所述客户端设备预先绑定的合法身份验证设备的设备标识。
发送模块,用于若所述验证模块确定所述设备标识是否为所述客户端设备预先绑定的合法身份验证设备的设备标识,则向所述客户端设备输出访问响应数据。
第九方面,本发明实施例提供一种服务器,包括处理器和存储器,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时实现上述第七方面中的身份验证方法。该服务器还可以包括通信接口,用于与其他设备或通信网络通信。
本发明实施例提供了一种计算机存储介质,用于储存计算机程序,所述计算机程序使计算机执行时实现上述第七方面中的身份验证方法。
第十方面,本发明实施例提供一种身份验证系统,包括:
身份验证设备、与所述身份验证设备连接的客户端设备、与所述客户端设备中的客户端对应的服务器;
所述客户端设备,用于响应于对所述客户端的访问请求,向所述身份验证设备发送身份验证指令,以及将从所述身份验证设备接收的第一加密数据发送至所述服务器,以及接收所述服务器发送的访问响应数据;
所述身份验证设备,用于对自身的设备验证信息进行加密以获得所述第一加密数据,并将所述第一加密数据发送至所述客户端设备,其中,所述设备验证信息中包括所述身份验证设备的设备标识;
所述服务器,用于在确定所述设备标识是所述客户端设备预先绑定的合法身份验证设备的设备标识时向所述客户端设备发送所述访问响应数据。
本发明实施例提供的身份验证方法、设备和系统,该系统包括身份验证设备、与身份验证设备连接的客户端设备、与客户端设备中的客户端对应的服务器。当用户对客户端触发访问请求时,客户端设备向身份验证设备发送身份验证指令,以触发身份验证设备对自身的设备验证信息进行加密以获得第一加密数据。身份验证设备将该第一加密数据通过客户端设备发送至服务器,由于该第一加密数据中包括身份验证设备的设备标识,服务器可以对该第一加密数据进行解密以确定其中的设备标识是否为该客户端设备预先绑定的合法身份验证设备的设备标识即确定该身份验证设备是否是客户端设备所属用户的身份验证设备,若是,则服务器认为对该客户端触发访问请求的是该用户本人即认为该访问请求有效,此时向客户端设备输出访问响应数据以响应访问请求。从而,当用户触发针对客户端的访问请求时,仅需要将预先与其客户端设备绑定的身份验证设备与该客户端设备连接即可基于上述方案实现简单方便地对用户身份的可靠验证。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的身份验证系统的组成示意图;
图2为本发明实施例提供的身份验证系统的一种执行过程的交互流程图;
图3为本发明实施例提供的身份验证系统的另一种执行过程的交互流程图;
图4为本发明实施例提供的身份验证系统的又一种执行过程的交互流程图;
图5为本发明实施例提供的身份验证方法实施例一的流程图;
图6为本发明实施例提供的身份验证方法实施例二的流程图;
图7为本发明实施例提供的身份验证方法实施例三的流程图;
图8为本发明实施例提供的身份验证方法实施例四的流程图;
图9为本发明实施例提供的身份验证方法实施例五的流程图;
图10为本发明实施例提供的身份验证方法实施例六的流程图;
图11为本发明实施例提供的一种身份验证装置的结构示意图;
图12为与图11所示实施例提供的身份验证装置对应的客户端设备的结构示意图;
图13为本发明实施例提供的另一种身份验证装置的结构示意图;
图14为与图13所示实施例提供的身份验证装置对应的身份验证设备的结构示意图;
图15为本发明实施例提供的又一种身份验证装置的结构示意图;
图16为与图15所示实施例提供的身份验证装置对应的服务器的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义,“多种”一般包含至少两种。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
取决于语境,如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的商品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种商品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的商品或者系统中还存在另外的相同要素。
图1为本发明实施例提供的身份验证系统的组成示意图,如图1所示,该系统包括:身份验证设备、与身份验证设备连接的客户端设备、与客户端设备中的客户端对应的服务器。
其中,客户端设备是指内部安装有客户端的用户终端设备。
其中,客户端设备与身份验证设备的连接方式可以是通过USB连接,客户端设备与服务器间的连接方式为网络连接。
其中,客户端设备与身份验证设备通过USB方式连接时,可选地,身份验证设备可以设置有USB公口和USB母口。从而,当客户端设备上具有USB母口时,比如客户端设备为PC机时,可以将身份验证设备的USB公口直接插入PC机的USB母口即可实现身份验证设备与该PC机间的USB连接,此时PC机还可以为身份验证设备充电。而当客户端设备上不具有USB母口时,比如客户端设备为手机时,可以将手机电源线的USB公口插入身份验证设备的USB母口,电源线的另一端口插入手机的相应接口,从而实现手机与身份验证设备的连接。进一步地,当客户端设备为手机时,还可以将身份验证设备的USB公口插入手机电源适配器的USB母口,电源适配器插入电源即可对身份验证设备充电。
实际应用中,当用户想要使用该客户端时,会启动该客户端,此时往往会展示该客户端的用户登录界面以供用户进行客户端登录操作。此时,用户可以通过输入账号、密码或者通过扫码等方式实现客户端登录。当用户执行客户端登录操作后,可以基于传统的验证方式验证该账号、密码的正确性,当验证该账号、密码正确后,并不意味着该登录操作一定是由注册该账号、密码的用户来操作完成的,此时,触发客户端设备执行本发明实施例提供的身份验证方法,以实现对该用户身份的验证。可选地,为了实现对该用户身份的验证,上述客户端设备、身份验证设备和服务器各自的执行过程如下:
客户端设备,用于响应于对客户端的访问请求,向身份验证设备发送身份验证指令,以及将从身份验证设备接收的第一加密数据发送至服务器,以及接收服务器发送的访问响应数据。
身份验证设备,用于对自身的设备验证信息进行加密以获得第一加密数据,并将第一加密数据发送至客户端设备,其中,设备验证信息中包括身份验证设备的设备标识。
服务器,用于在确定所述设备标识是客户端设备预先绑定的合法身份验证设备的设备标识时向客户端设备发送访问响应数据。
在具体介绍上述身份验证过程前,先对身份验证设备进行简要介绍。可选地,身份验证设备与客户端设备对应,每个用户的客户端设备可以预先绑定有一个身份验证设备,称为合法身份验证设备。从而,针对某客户端设备来说,针对该客户端设备中的客户端的访问请求,都可以通过该合法身份验证设备来验证触发该访问请求的用户身份的合法性,亦即验证该访问请求的有效性。
其中,客户端设备与合法身份验证设备的绑定过程简单来说可以是:在客户端设备中下载并安装身份验证设备对应的应用程序,用户完成相应注册信息的填写后,可以触发该客户端设备与合法身份验证设备的绑定。在绑定过程中,用户将合法身份验证设备与客户端设备通过USB连接线连接,此时,合法身份验证设备可以将自己的设备标识发送至客户端设备,从而,客户端设备存储与其绑定的合法身份验证设备的设备标识。另外,客户端设备也可以将该设备标识发送至客户端对应的服务器中保存,以使得服务器知道该客户端设备与合法身份验证设备的设备标识间的对应关系。
上述介绍了合法身份验证设备与客户端设备对应的情况,但是,在另一可选实施例中,合法身份验证设备也可以是与用户账号对应或者说与客户端对应,此时,在合法身份验证设备注册的过程中,还可以让用户输入其用于登陆某一个或多个客户端的用户账号,从而,服务器中可以维护用户账号、合法身份验证设备的设备标识间的对应关系,甚至也可以维护用户账号、客户端设备标识与合法身份验证设备的设备标识间的对应关系。
为了更加直观地理解上述客户端设备、身份验证设备和服务器各自的执行过程,下面结合图2所示实施例进行该执行过程的具体说明。
图2为本发明实施例提供的身份验证系统的一种执行过程的交互流程图,如图2所示,可以包括如下步骤:
201、客户端设备响应于对客户端的访问请求,向身份验证设备发送身份验证指令。
实际应用中,上述访问请求可以认为是前述提及的登录客户端的操作而触发的,或者也可以认为是验证登录账号、密码正确后认为用户对该客户端触发了访问请求。
上述访问请求可能是该客户端设备的所属用户触发的,也可能是其他人触发的。为了验证该访问请求的触发用户的身份合法性,客户端设备向身份验证设备发送身份验证指令。
可以理解的是,此时,客户端设备可能并未连接身份验证设备,因此,客户端设备可以基于上述访问请求,通过语音或界面显示等方式输出身份验证设备连接提示信息,以使得用户将自己的身份验证设备比如通过USB连接线连接到该客户端设备上。当某个身份验证设备与该客户端设备连接后,该客户端设备向该身份验证设备发送身份验证指令。
值得说明的是,如果此时没有身份验证设备连接到该客户端设备,则客户端设备可以直接认为此时无法对触发访问请求的用户进行身份验证,此时不响应该访问请求。
202、身份验证设备对自身的设备验证信息进行加密以获得第一加密数据,设备验证信息中包括身份验证设备的设备标识。
身份验证设备接收到客户端设备发送的身份验证指令后,对自身的设备验证信息进行加密以获得第一加密数据。其中,该设备验证信息中包括身份验证设备的设备标识,以用于对该身份验证设备的识别。该设备标识可以是设备序列号,身份验证设备出厂时即固定存在。该设备验证信息中还可以包括诸如标识码、时间戳、随机数等信息。其中,标识码可以是身份验证设备随机生成的一定长度的随机数,时间戳对应于身份验证设备接收到该身份验证指令的时间。设备验证信息中的这些其他信息可以对破译第一加密数据以获得其中的设备标识产生干扰。
在一种情形下,假设某用户拥有不止一个身份验证设备,此时,与客户端连接的身份验证设备有可能不是之前与该客户端设备绑定的合法身份验证设备,因此,可选地,上述身份验证指令中可以包括合法身份验证设备的设备标识,从而,此时与客户端设备连接的身份验证设备若根据该设备标识确定自身为合法身份验证设备,则获得上述第一加密数据。
其中,上述第一加密数据所使用的加密密钥可以是身份验证设备基于预设的加密算法生成的,比如为3DES算法。
203、身份验证设备将第一加密数据发送至客户端设备。
204、客户端设备将第一加密数据发送至服务器。
205、服务器在确定身份验证设备的设备标识是客户端设备预先绑定的合法身份验证设备的设备标识时,获取访问响应数据。
服务器基于同样的加密算法比如3DES算法产生解密密钥,对第一加密数据进行解密以获得其中包含的设备标识,由于服务器中预先存储有客户端设备对应的合法身份验证设备的设备标识,从而,服务器可以根据解密到的设备标识是否与该合法身份验证设备的设备标识一致来确定此时客户端设备对应的合法身份验证设备是否被用户连接到客户端设备上,以此来实现对触发访问请求的用户的身份验证。
具体来说,如果解密到的设备标识是否与该合法身份验证设备的设备标识一致,说明用户将客户端设备对应的合法身份验证设备连接到了客户端设备上,从而间接证明了该访问请求是合法用户触发的,因为如果是非法用户触发的,其不会具有该合法身份验证设备,不能够将该合法身份验证设备连接到客户端设备上。
206、服务器向客户端设备发送访问响应数据。
当服务器验证触发访问请求的用户身份合法时,该服务器可以获取用于响应该访问请求的访问响应数据,从而将该访问响应数据发送至客户端设备。
举例来说,假设访问请求对应于登录邮箱的操作,则该访问响应数据可以是用户的邮件信息。
综上,当用户触发针对客户端的访问请求时,仅需要将预先与其客户端设备绑定的身份验证设备与该客户端设备连接即可基于上述方案实现简单方便地对用户身份的可靠验证。即如果在触发上述访问请求时存在与客户端设备连接的身份验证设备,且该身份验证设备是预先与该客户端设备绑定的合法身份验证设备,那么则认为该访问请求有效亦即认为触发该访问请求的用户身份合法,从而实现了对触发访问请求的用户的身份合法性验证。
在另一可选实施例中,为了进一步提高上述用户身份验证结果的可靠性,本发明实施例还提供了如下的方案:
客户端设备,用于响应于对客户端的访问请求,向身份验证设备发送身份验证指令,身份验证指令中包括合法身份验证设备的设备标识;以及将从身份验证设备接收的第一加密数据和第一数字签名发送至服务器;以及接收服务器发送的访问响应数据。
身份验证设备,用于若根据身份验证指令中包括的设备标识确定自身为合法身份验证设备,则对自身的设备验证信息进行加密以获得第一加密数据,使用身份验证设备对应的第一密钥对第一加密数据进行签名以获得第一数字签名,将第一加密数据和第一数字签名发送至客户端设备。
服务器,用于接收客户端设备发送的第一加密数据和第一数字签名,若确定第一加密数据中的设备标识是客户端设备预先绑定的合法身份验证设备的设备标识,并且根据合法身份验证设备对应的第二密钥对第一数字签名验签通过,则向客户端设备发送访问响应数据。
为了更加直观地理解上述实施例中客户端设备、身份验证设备和服务器各自的执行过程,下面结合图3所示实施例进行该执行过程的具体说明。
图3为本发明实施例提供的身份验证系统的另一种执行过程的交互流程图,如图3所示,可以包括如下步骤:
301、客户端设备响应于对客户端的访问请求,向身份验证设备发送身份验证指令,身份验证指令中包括合法身份验证设备的设备标识。
302、身份验证设备若根据身份验证指令中包括的设备标识确定自身为合法身份验证设备,则对自身的设备验证信息进行加密以获得第一加密数据,使用身份验证设备对应的第一密钥对第一加密数据进行签名以获得第一数字签名,设备验证信息中包括身份验证设备的设备标识。
身份验证设备出厂时内部存储有上述第一密钥,该第一密钥可以是采用诸如RSA等算法生成的非对称加密密钥中的私钥,相对应的,下文中的第二密钥是与该私钥对应的公钥。针对与客户端设备预先绑定的合法身份验证设备来说,其对应的第二密钥在绑定过程中,可以通过客户端设备发送至服务器中,以使服务器存储有该客户端设备对应的合法身份验证设备的第二密钥。
在一可选实施例中,第一加密数据可以是对身份验证设备的设备标识、标识码、时间戳等设备验证信息进行加密得到的。
在一可选实施例中,上述身份验证指令中还可以包括用户身份信息,比如用户登录客户端的用户账号等信息,此时,上述第一加密数据的生成过程中除了对上述设备验证信息进行加密外,还可以对该身份验证指令进行加密,即相当于对该身份验证指令中包含的信息进行加密。
上述第一数字签名的生成过程可以是:假设第一加密数据为C,则可以先对第一加密数据进行哈希运算,假设哈希值为D,即HASH(C)=D,继而,可以使用第一密钥对设备验证信息和D进行数字签名得到第一数字签名。
通过使用身份验证设备的第一密钥对第一加密数据进行数字签名,可以便于后续服务器对接收到的第一加密数据和第一数字签名是否是合法身份验证设备发出的进行验证,即可以验证发送者是否为客户端设备对应的合法身份验证设备。
303、身份验证设备将第一加密数据和第一数字签名发送至客户端设备。
304、客户端设备将第一加密数据和第一数字签名发送至服务器。
305、服务器若确定第一加密数据中的设备标识是客户端设备预先绑定的合法身份验证设备的设备标识,并且根据合法身份验证设备对应的第二密钥对第一数字签名验签通过,则获取访问响应数据。
306、服务器向客户端设备发送访问响应数据。
服务器接收到第一加密数据和第一数字签名后,一方面可以解密第一加密数据以获得其中包含的设备标识,另一方面使用客户端设备对应的合法身份验证设备的第二密钥比如公钥对第一数字签名进行验签。若验签通过,说明该第一数字签名和第一加密数据是客户端设备对应的合法身份验证设备发送的。可以理解的是,如果第一数字签名中的信息下传输过程中被篡改或者第一数字签名所使用的不是合法身份验证设备的第一密钥,则上述验签结果将为不通过。
本实施例中,通过解密第一加密数据和验签第一数字签名,相当于既从发送的数据内容方面又从数据内容的发送者方面对触发访问请求的用户进行了身份验证,即若确定出第一加密数据和第一数字签名确实是由客户端设备对应的合法身份验证设备发送的,且发送的设备标识准确无误,则证明了该访问请求是合法用户触发的。
在前述图2和图3所示实施例中,服务器向客户端设备发送访问响应数据,可以是直接将该访问响应数据发送至客户端设备,但是,可选地,为了进一步避免服务器发送的访问响应数据在传输过程中被修改,影响用户的客户端访问安全性,针对服务器反馈访问响应数据的过程,本发明实施例还提供了如下方案:
在向客户端设备发送访问响应数据的过程中,服务器具体用于:对访问响应数据进行加密以获得第二加密数据;使用合法身份验证设备对应的第二密钥对第二加密数据进行签名以获得第二数字签名;将第二数字签名通过客户端设备发送至身份验证设备。
身份验证设备,还用于在使用身份验证设备对应的第一密钥对第二数字签名验签通过时解密第二加密数据以获得访问响应数据,将访问响应数据发送至客户端设备。
为了更加直观地理解上述实施例中客户端设备、身份验证设备和服务器各自的执行过程,下面结合图4所示实施例进行该执行过程的具体说明。
图4为本发明实施例提供的身份验证系统的又一种执行过程的交互流程图,如图4所示,访问响应数据的反馈过程可以包括如下步骤:
401、服务器对访问响应数据进行加密以获得第二加密数据,使用合法身份验证设备对应的第二密钥对第二加密数据进行签名以获得第二数字签名。
402、服务器将第二数字签名发送至客户端设备。
403、客户端设备将第二数字签名发送至身份验证设备。
404、身份验证设备使用自身对应的第一密钥对第二数字签名验签通过时解密第二加密数据以获得访问响应数据。
405、身份验证设备将访问响应数据发送至客户端设备。
上述第二加密数据的加密和第二数字签名的签名过程可以参见前述实施例中第一加密数据的加密和第一数字签名的签名过程,第二数字签名的验签过程亦可参见第一数字签名的验签过程,在此不赘述。
参见第一数字签名的验签过程可知,在对第二数字签名验签的过程中,可以获得第二加密数据,在第二数字签名验签通过后,可以解密该第二加密数据从而得到被加密的访问响应数据。
本实施例中,身份验证设备对第二数字签名验签通过,则说明访问响应数据确实是由服务器发送出的且没有没篡改,证明了访问响应数据的可靠性,保证了用户的访问安全性。
上述几个实施例是从身份验证系统的角度即从身份验证系统执行过程的角度对本发明实施例提供的身份验证方法进行了介绍,下面分别站在图1所示的几个系统组成单元的角度对该身份验证方法的执行过程进行说明。
图5为本发明实施例提供的身份验证方法实施例一的流程图,本实施例中的身份验证方法可以由图1所示的客户端设备来执行。如图5所示,该方法包括如下步骤:
501、响应于对客户端的访问请求,向身份验证设备发送身份验证指令。
本实施例中,假设在用户触发该访问请求时,已经将身份验证设备连接到客户端设备上。
502、接收身份验证设备发送的第一加密数据,第一加密数据是身份验证设备对自身的设备验证信息进行加密获得的,设备验证信息中包括所述身份验证设备的设备标识。
503、将第一加密数据发送至客户端对应的服务器,以使服务器在确定所述设备标识是客户端设备预先绑定的合法身份验证设备的设备标识时输出访问响应数据。
504、接收服务器发送的访问响应数据。
本实施例中未尽的执行过程和技术效果可以参见前述相关实施例中的描述,在此不赘述。
图6为本发明实施例提供的身份验证方法实施例二的流程图,本实施例中的身份验证方法可以由图1所示的客户端设备来执行。如图6所示,可以包括如下步骤:
601、响应于对客户端的访问请求,向身份验证设备发送身份验证指令,身份验证指令中包括合法身份验证设备的设备标识,以供身份验证设备确定自身是否为合法身份验证设备。
602、接收身份验证设备发送的第一加密数据和第一数字签名,第一数字签名是身份验证设备使用身份验证设备对应的第一密钥对第一加密数据进行签名获得的,第一加密数据是身份验证设备对自身的设备验证信息进行加密获得的,设备验证信息中包括所述身份验证设备的设备标识。
603、将第一加密数据和第一数字签名发送至服务器,以供服务器在根据合法身份验证设备对应的第二密钥对第一数字签名进行验签通过,并且在确定所述设备标识是客户端设备预先绑定的合法身份验证设备的设备标识时获取访问响应数据。
604、接收服务器发送的第二数字签名,第二数字签名是服务器使用合法身份验证设备对应的第二密钥对第二加密数据进行签名获得的,第二加密数据是服务器对访问响应数据进行加密得到的。
605、将第二数字签名发送至身份验证设备。
606、接收身份验证设备发送的访问响应数据,访问响应数据是身份验证设备在使用身份验证设备对应的第一密钥对第二数字签名验签通过时解密第二加密数据获得的。
本实施例中未尽的执行过程和技术效果可以参见前述相关实施例中的描述,在此不赘述。
图7为本发明实施例提供的身份验证方法实施例三的流程图,本实施例中的身份验证方法可以由图1所示的身份验证设备来执行。如图7所示,可以包括如下步骤:
701、接收客户端设备发送的身份验证指令,身份验证指令是客户端设备响应于用户对客户端触发的访问请求而发送的。
702、对身份验证设备对应的设备验证信息进行加密以获得第一加密数据,设备验证信息中包括身份验证设备的设备标识。
703、将第一加密数据通过客户端设备发送至客户端对应的服务器,以使服务器确定所述设备标识是否为客户端设备预先绑定的合法身份验证设备的设备标识。
本实施例中未尽的执行过程和技术效果可以参见前述相关实施例中的描述,在此不赘述。
图8为本发明实施例提供的身份验证方法实施例四的流程图,本实施例中的身份验证方法可以由图1所示的身份验证设备来执行。如图8所示,可以包括如下步骤:
801、接收客户端设备发送的身份验证指令,身份验证指令是客户端设备响应于用户对客户端触发的访问请求而发送的,身份验证指令中包括合法身份验证设备的设备标识。
802、若根据设备标识确定该身份验证设备为合法身份验证设备,则对设备验证信息进行加密以获得第一加密数据,使用身份验证设备对应的第一密钥对第一加密数据进行签名以获得第一数字签名,设备验证信息中包括身份验证设备的设备标识。
803、将第一加密数据和第一数字签名通过客户端设备发送至服务器,第一数字签名用于使得服务器根据合法身份验证设备对应的第二密钥对第一数字签名进行验签,第一加密数据用于使得服务器确定所述设备标识是否为客户端设备预先绑定的合法身份验证设备的设备标识。
基于前述相关实施例中的介绍可知,若服务器对第一数字签名验签通过,且确定第一加密数据中的设备标识与合法身份验证设备的设备标识一致,则会获得用于响应访问请求的访问响应数据。从而,可选地,可以直接将该访问响应数据反馈给客户端设备,但是,可选地,也可以对该访问响应数据进行加密,得到第二加密数据,进而使用合法身份验证设备的第二密钥对该第二加密数据进行签名得到第二数字签名。从而,在该情况下,上述身份验证设备还可以执行如下过程:
接收服务器通过客户端设备发送的第二数字签名,第二数字签名是服务器使用合法身份验证设备对应的第二密钥对第二加密数据进行签名获得的,第二加密数据是服务器对访问响应数据进行加密得到的,访问响应数据用于响应访问请求;
使用身份验证设备对应的第一密钥对第二数字签名验签通过时解密第二加密数据以获得访问响应数据;
将访问响应数据发送至客户端设备。
本实施例中未尽的执行过程和技术效果可以参见前述相关实施例中的描述,在此不赘述。
图9为本发明实施例提供的身份验证方法实施例五的流程图,本实施例中的身份验证方法可以由图1所示的服务器来执行。如图9所示,可以包括如下步骤:
901、接收客户端设备发送的第一加密数据,第一加密数据是与客户端设备连接的身份验证设备对自身的设备验证信息进行加密获得的,设备验证信息中包括所述身份验证设备的设备标识。
如前述相关实施例中的介绍,客户端设备响应于用户对客户端触发的访问请求,向此时与客户端设备连接的身份验证设备发送身份验证指令,以使身份验证设备生成上述第一加密数据并发送至客户端设备。
902、若确定所述设备标识是客户端设备预先绑定的合法身份验证设备的设备标识,则向客户端设备输出访问响应数据。
本实施例中未尽的执行过程和技术效果可以参见前述相关实施例中的描述,在此不赘述。
图10为本发明实施例提供的身份验证方法实施例六的流程图,本实施例中的身份验证方法可以由图1所示的服务器来执行。如图10所示,可以包括如下步骤:
1001、接收客户端设备发送的第一加密数据和第一数字签名,第一数字签名是身份验证设备使用身份验证设备对应的第一密钥对第一加密数据进行签名获得的,第一加密数据是与客户端设备连接的身份验证设备对自身的设备验证信息进行加密获得的,设备验证信息中包括所述身份验证设备的设备标识。
1002、若确定所述设备标识是客户端设备预先绑定的合法身份验证设备的设备标识,并且根据合法身份验证设备对应的第二密钥对第一数字签名验签通过,则向客户端设备输出访问响应数据。
可选地,向客户端设备输出访问响应数据的过程,可以实现为:
对访问响应数据进行加密以获得第二加密数据;
使用合法身份验证设备对应的第二密钥对第二加密数据进行签名以获得第二数字签名;
将第二数字签名通过客户端设备发送至身份验证设备,以使身份验证设备在使用身份验证设备对应的第一密钥对第二数字签名验签通过时解密第二加密数据获得访问响应数据并将访问响应数据发送至客户端设备。
本实施例中未尽的执行过程和技术效果可以参见前述相关实施例中的描述,在此不赘述。
综上各方法实施例,当用户触发针对客户端的访问请求时,仅需要将预先与其客户端设备绑定的身份验证设备与该客户端设备连接即可基于上述方案实现简单方便地对用户身份的可靠验证。即如果在触发上述访问请求时存在与客户端设备连接的身份验证设备,且该身份验证设备是预先与该客户端设备绑定的合法身份验证设备,那么则认为该访问请求有效亦即认为触发该访问请求的用户身份合法,从而实现了对触发访问请求的用户的身份合法性验证。
以下将详细描述本发明的一个或多个实施例的身份验证装置。本领域技术人员可以理解,这些身份验证装置均可使用市售的硬件组件通过本方案所教导的步骤进行配置来构成。
图11为本发明实施例提供的一种身份验证装置的结构示意图,如图11所示,该装置包括:发送模块11、接收模块12。
发送模块11,用于响应于对客户端的访问请求,向身份验证设备发送身份验证指令。
接收模块12,用于接收所述身份验证设备发送的第一加密数据,所述第一加密数据是所述身份验证设备对自身的设备验证信息进行加密获得的,所述设备验证信息中包括所述身份验证设备的设备标识。
所述发送模块11,还用于将所述第一加密数据发送至所述客户端对应的服务器,以使所述服务器在确定所述设备标识是所述客户端设备预先绑定的合法身份验证设备的设备标识时输出访问响应数据。
所述接收模块12,还用于接收所述服务器发送的访问响应数据。
图11所示装置可以执行前述各实施例中客户端设备的各相关处理步骤,本实施例未详细描述的部分,可参考前述实施例的相关说明。
以上描述了身份验证装置的内部功能和结构,在一个可能的设计中,该身份验证装置的结构可实现为客户端设备,如图12所示,该客户端设备可以包括:第一处理器21和第一存储器22。其中,所述第一存储器22用于存储支持该客户端设备执行前述实施例中提供的身份验证方法的程序,所述第一处理器21被配置为用于执行所述第一存储器22中存储的程序。
所述程序包括一条或多条计算机指令,其中,所述一条或多条计算机指令被所述第一处理器21执行时能够实现如下步骤:
响应于对客户端的访问请求,向所述身份验证设备发送身份验证指令;
接收所述身份验证设备发送的第一加密数据,所述第一加密数据是所述身份验证设备对自身的设备验证信息进行加密获得的,所述设备验证信息中包括所述身份验证设备的设备标识;
将所述第一加密数据发送至所述客户端对应的服务器,以使所述服务器在确定所述设备标识是所述客户端设备预先绑定的合法身份验证设备的设备标识时输出访问响应数据;
接收所述服务器发送的访问响应数据。
可选地,所述第一处理器21还用于执行前述实施例中的全部或部分步骤。
其中,所述客户端设备的结构中还可以包括第一通信接口23,用于该客户端设备与其他设备比如存储节点或通信网络通信。
另外,本发明实施例提供了一种计算机存储介质,用于储存上述客户端设备所用的计算机软件指令,其包含用于执行前述实施例中身份验证方法所涉及的程序。
图13为本发明实施例提供的另一种身份验证装置的结构示意图,如图13所示,该装置包括:接收模块31、数据处理模块32、发送模块33。
接收模块31,用于接收客户端设备发送的身份验证指令,所述身份验证指令是所述客户端设备响应于用户对客户端触发的访问请求而发送的。
数据处理模块32,用于对所述身份验证设备对应的设备验证信息进行加密以获得第一加密数据,所述设备验证信息中包括所述身份验证设备的设备标识。
发送模块33,用于将所述第一加密数据通过所述客户端设备发送至所述客户端对应的服务器,以使所述服务器确定所述设备标识是否为所述客户端设备预先绑定的合法身份验证设备的设备标识。
图13所示装置可以执行前述各实施例中身份验证设备的各相关处理步骤,本实施例未详细描述的部分,可参考前述实施例的相关说明。
以上描述了身份验证装置的内部功能和结构,在一个可能的设计中,该身份验证装置的结构可实现为身份验证设备,如图14所示,该身份验证设备可以包括:第二处理器41和第二存储器42。其中,所述第二存储器42用于存储支持该身份验证设备执行前述实施例中提供的身份验证方法的程序,所述第二处理器41被配置为用于执行所述第二存储器42中存储的程序。
所述程序包括一条或多条计算机指令,其中,所述一条或多条计算机指令被所述第二处理器41执行时能够实现如下步骤:
接收客户端设备发送的身份验证指令,所述身份验证指令是所述客户端设备响应于用户对客户端触发的访问请求而发送的;
对所述身份验证设备对应的设备验证信息进行加密以获得第一加密数据,所述设备验证信息中包括所述身份验证设备的设备标识;
将所述第一加密数据通过所述客户端设备发送至所述客户端对应的服务器,以使所述服务器确定所述设备标识是否为所述客户端设备预先绑定的合法身份验证设备的设备标识。
可选地,所述第二处理器41还用于执行前述实施例中的全部或部分步骤。
其中,所述身份验证设备的结构中还可以包括第二通信接口43,用于该身份验证设备与其他设备比如存储节点或通信网络通信。
另外,本发明实施例提供了一种计算机存储介质,用于储存上述身份验证设备所用的计算机软件指令,其包含用于执行前述实施例中身份验证方法所涉及的程序。
图15为本发明实施例提供的又一种身份验证装置的结构示意图,如图15所示,该装置包括:接收模块51、验证模块52、发送模块53。
接收模块51,用于接收客户端设备发送的第一加密数据,所述第一加密数据是与所述客户端设备连接的身份验证设备对自身的设备验证信息进行加密获得的,所述设备验证信息中包括所述身份验证设备的设备标识。
验证模块52,用于确定所述设备标识是否为所述客户端设备预先绑定的合法身份验证设备的设备标识。
发送模块53,用于若所述验证模块52确定所述设备标识是否为所述客户端设备预先绑定的合法身份验证设备的设备标识,则向所述客户端设备输出访问响应数据。
图15所示装置可以执行前述各实施例中服务器的各相关处理步骤,本实施例未详细描述的部分,可参考前述实施例的相关说明。
以上描述了身份验证装置的内部功能和结构,在一个可能的设计中,该身份验证装置的结构可实现为服务器,如图16所示,该服务器可以包括:第三处理器61和第三存储器62。其中,所述第三存储器62用于存储支持该服务器执行前述实施例中提供的身份验证方法的程序,所述第三处理器61被配置为用于执行所述第三存储器62中存储的程序。
所述程序包括一条或多条计算机指令,其中,所述一条或多条计算机指令被所述第三处理器61执行时能够实现如下步骤:
接收客户端设备发送的第一加密数据,所述第一加密数据是与所述客户端设备连接的身份验证设备对自身的设备验证信息进行加密获得的,所述设备验证信息中包括所述身份验证设备的设备标识;
若确定所述设备标识是所述客户端设备预先绑定的合法身份验证设备的设备标识,则向所述客户端设备输出访问响应数据。
可选地,所述第三处理器61还用于执行前述实施例中的全部或部分步骤。
其中,所述服务器的结构中还可以包括第三通信接口63,用于该服务器与其他设备比如存储节点或通信网络通信。
另外,本发明实施例提供了一种计算机存储介质,用于储存上述服务器所用的计算机软件指令,其包含用于执行前述实施例中身份验证方法所涉及的程序。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助加必需的通用硬件平台的方式来实现,当然也可以通过硬件和软件结合的方式来实现。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以计算机产品的形式体现出来,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程身份验证设备的处理器以产生一个机器,使得通过计算机或其他可编程身份验证设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程身份验证设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程身份验证设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (17)
1.一种身份验证方法,其特征在于,应用于客户端设备,所述客户端设备与身份验证设备连接,所述方法包括:
响应于对客户端的访问请求,向所述身份验证设备发送身份验证指令;
接收所述身份验证设备发送的第一加密数据,所述第一加密数据是所述身份验证设备对自身的设备验证信息进行加密获得的,所述设备验证信息中包括所述身份验证设备的设备标识;
将所述第一加密数据发送至所述客户端对应的服务器,以使所述服务器在确定所述设备标识是所述客户端设备预先绑定的合法身份验证设备的设备标识时输出访问响应数据;
接收所述服务器发送的访问响应数据。
2.根据权利要求1所述的方法,其特征在于,所述身份验证指令中包括所述合法身份验证设备的设备标识,以供所述身份验证设备确定是否为所述合法身份验证设备。
3.根据权利要求1或2所述的方法,其特征在于,所述接收所述身份验证设备发送的第一加密数据,包括:
接收所述身份验证设备发送的所述第一加密数据和第一数字签名,所述第一数字签名是所述身份验证设备使用所述身份验证设备对应的第一密钥对所述第一加密数据进行签名获得的;
所述将所述第一加密数据发送至所述客户端对应的服务器,包括:
将所述第一加密数据和所述第一数字签名发送至所述服务器,以供所述服务器根据所述合法身份验证设备对应的第二密钥对所述第一数字签名进行验签。
4.根据权利要求1或2所述的方法,其特征在于,所述接收所述服务器发送的访问响应数据,包括:
接收所述服务器发送的第二数字签名,所述第二数字签名是使用所述合法身份验证设备对应的第二密钥对第二加密数据进行签名获得的,所述第二加密数据是对所述访问响应数据进行加密得到的;
将所述第二数字签名发送至所述身份验证设备;
接收所述身份验证设备发送的所述访问响应数据,所述访问响应数据是所述身份验证设备在使用所述身份验证设备对应的第一密钥对所述第二数字签名验签通过时解密所述第二加密数据获得的。
5.一种身份验证方法,其特征在于,应用于身份验证设备,所述身份验证设备与客户端设备连接,所述方法包括:
接收所述客户端设备发送的身份验证指令,所述身份验证指令是所述客户端设备响应于用户对客户端触发的访问请求而发送的;
对所述身份验证设备对应的设备验证信息进行加密以获得第一加密数据,所述设备验证信息中包括所述身份验证设备的设备标识;
将所述第一加密数据通过所述客户端设备发送至所述客户端对应的服务器,以使所述服务器确定所述设备标识是否为所述客户端设备预先绑定的合法身份验证设备的设备标识。
6.根据权利要求5所述的方法,其特征在于,所述身份验证指令中包括所述合法身份验证设备的设备标识;
所述对所述身份验证设备对应的设备验证信息进行加密以获得第一加密数据,包括:
若根据所述设备标识确定所述身份验证设备为所述合法身份验证设备,则对所述设备验证信息进行加密以获得所述第一加密数据。
7.根据权利要求5或6所述的方法,其特征在于,所述方法还包括:
使用所述身份验证设备对应的第一密钥对所述第一加密数据进行签名以获得第一数字签名;
所述将所述第一加密数据通过所述客户端设备发送至所述客户端对应的服务器,包括:
将所述第一加密数据和所述第一数字签名通过所述客户端设备发送至所述服务器,所述第一数字签名用于使得所述服务器根据所述合法身份验证设备对应的第二密钥对所述第一数字签名进行验签。
8.根据权利要求5或6所述的方法,其特征在于,所述方法还包括:
接收所述服务器通过所述客户端设备发送的第二数字签名,所述第二数字签名是所述服务器使用所述合法身份验证设备对应的第二密钥对第二加密数据进行签名获得的,所述第二加密数据是所述服务器对访问响应数据进行加密得到的,所述访问响应数据用于响应所述访问请求;
使用所述身份验证设备对应的第一密钥对所述第二数字签名验签通过时解密所述第二加密数据以获得所述访问响应数据;
将所述访问响应数据发送至所述客户端设备。
9.一种身份验证方法,其特征在于,应用于服务器,所述方法包括:
接收客户端设备发送的第一加密数据,所述第一加密数据是与所述客户端设备连接的身份验证设备对自身的设备验证信息进行加密获得的,所述设备验证信息中包括所述身份验证设备的设备标识;
若确定所述设备标识是所述客户端设备预先绑定的合法身份验证设备的设备标识,则向所述客户端设备输出访问响应数据。
10.根据权利要求9所述的方法,其特征在于,所述接收客户端设备发送的第一加密数据,包括:
接收所述客户端设备发送的所述第一加密数据和第一数字签名,所述第一数字签名是所述身份验证设备使用所述身份验证设备对应的第一密钥对所述第一加密数据进行签名获得的;
所述若确定所述设备标识是所述客户端设备预先绑定的合法身份验证设备的设备标识,则向所述客户端设备输出访问响应数据,包括:
若确定所述设备标识是所述客户端设备预先绑定的合法身份验证设备的设备标识,并且根据所述合法身份验证设备对应的第二密钥对所述第一数字签名验签通过,则向所述客户端设备输出访问响应数据。
11.根据权利要求9或10所述的方法,其特征在于,所述向所述客户端设备输出访问响应数据,包括:
对所述访问响应数据进行加密以获得第二加密数据;
使用所述合法身份验证设备对应的第二密钥对所述第二加密数据进行签名以获得第二数字签名;
将所述第二数字签名通过所述客户端设备发送至所述身份验证设备,以使所述身份验证设备在使用所述身份验证设备对应的第一密钥对所述第二数字签名验签通过时解密所述第二加密数据获得所述访问响应数据并将所述访问响应数据发送至所述客户端设备。
12.一种身份验证系统,其特征在于,包括:
身份验证设备、与所述身份验证设备连接的客户端设备、与所述客户端设备中的客户端对应的服务器;
所述客户端设备,用于响应于对所述客户端的访问请求,向所述身份验证设备发送身份验证指令,以及将从所述身份验证设备接收的第一加密数据发送至所述服务器,以及接收所述服务器发送的访问响应数据;
所述身份验证设备,用于对自身的设备验证信息进行加密以获得所述第一加密数据,并将所述第一加密数据发送至所述客户端设备,其中,所述设备验证信息中包括所述身份验证设备的设备标识;
所述服务器,用于在确定所述设备标识是所述客户端设备预先绑定的合法身份验证设备的设备标识时向所述客户端设备发送所述访问响应数据。
13.根据权利要求12所述的系统,其特征在于,所述身份验证指令中包括所述合法身份验证设备的设备标识;
所述身份验证设备,用于若根据所述设备标识确定自身为所述合法身份验证设备,则对自身的设备验证信息进行加密以获得所述第一加密数据,使用所述身份验证设备对应的第一密钥对所述第一加密数据进行签名以获得第一数字签名,将所述第一加密数据和所述第一数字签名发送至所述客户端设备;
所述服务器,用于接收所述客户端设备发送的所述第一加密数据和所述第一数字签名,若确定所述设备标识是所述客户端设备预先绑定的合法身份验证设备的设备标识,并且根据所述合法身份验证设备对应的第二密钥对所述第一数字签名验签通过,则向所述客户端设备发送所述访问响应数据。
14.根据权利要求12或13所述的系统,其特征在于,在向所述客户端设备发送所述访问响应数据的过程中,所述服务器具体用于:对所述访问响应数据进行加密以获得第二加密数据;使用所述合法身份验证设备对应的第二密钥对所述第二加密数据进行签名以获得第二数字签名;将所述第二数字签名通过所述客户端设备发送至所述身份验证设备;
所述身份验证设备,还用于在使用所述身份验证设备对应的第一密钥对所述第二数字签名验签通过时解密所述第二加密数据以获得所述访问响应数据,将所述访问响应数据发送至所述客户端设备。
15.一种客户端设备,其特征在于,包括:存储器、处理器;其中,
所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时实现如权利要求1至4中任一项所述的身份验证方法。
16.一种身份验证设备,其特征在于,包括:存储器、处理器;其中,
所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时实现如权利要求5至8中任一项所述的身份验证方法。
17.一种服务器,其特征在于,包括:存储器、处理器;其中,
所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时实现如权利要求9至11中任一项所述的身份验证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810483273.4A CN110505185A (zh) | 2018-05-18 | 2018-05-18 | 身份验证方法、设备和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810483273.4A CN110505185A (zh) | 2018-05-18 | 2018-05-18 | 身份验证方法、设备和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110505185A true CN110505185A (zh) | 2019-11-26 |
Family
ID=68584013
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810483273.4A Pending CN110505185A (zh) | 2018-05-18 | 2018-05-18 | 身份验证方法、设备和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110505185A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111585995A (zh) * | 2020-04-27 | 2020-08-25 | 平安银行股份有限公司 | 安全风控信息传输、处理方法、装置、计算机设备及存储介质 |
| CN112637157A (zh) * | 2020-12-14 | 2021-04-09 | 国网电动汽车服务有限公司 | 一种可信的换电设备接入方法 |
| CN113051623A (zh) * | 2021-03-11 | 2021-06-29 | 华控清交信息科技(北京)有限公司 | 一种数据处理方法、装置和电子设备 |
| CN115037521A (zh) * | 2022-05-11 | 2022-09-09 | 广州小马智卡科技有限公司 | 服务数据验证方法、装置、计算机设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101931530A (zh) * | 2009-12-14 | 2010-12-29 | 北京神州付电子支付科技有限公司 | 动态口令生成方法、认证方法和装置及网络系统 |
| CN104065653A (zh) * | 2014-06-09 | 2014-09-24 | 韩晟 | 一种交互式身份验证方法、装置、系统和相关设备 |
| US20160294809A1 (en) * | 2003-12-22 | 2016-10-06 | Assa Abloy Ab | Trusted and unsupervised digital certificate generation using a security token |
| CN106686004A (zh) * | 2017-02-28 | 2017-05-17 | 飞天诚信科技股份有限公司 | 一种登录认证方法及系统 |
-
2018
- 2018-05-18 CN CN201810483273.4A patent/CN110505185A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160294809A1 (en) * | 2003-12-22 | 2016-10-06 | Assa Abloy Ab | Trusted and unsupervised digital certificate generation using a security token |
| CN101931530A (zh) * | 2009-12-14 | 2010-12-29 | 北京神州付电子支付科技有限公司 | 动态口令生成方法、认证方法和装置及网络系统 |
| CN104065653A (zh) * | 2014-06-09 | 2014-09-24 | 韩晟 | 一种交互式身份验证方法、装置、系统和相关设备 |
| CN106686004A (zh) * | 2017-02-28 | 2017-05-17 | 飞天诚信科技股份有限公司 | 一种登录认证方法及系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111585995A (zh) * | 2020-04-27 | 2020-08-25 | 平安银行股份有限公司 | 安全风控信息传输、处理方法、装置、计算机设备及存储介质 |
| CN111585995B (zh) * | 2020-04-27 | 2023-10-17 | 平安银行股份有限公司 | 安全风控信息传输、处理方法、装置、计算机设备及存储介质 |
| CN112637157A (zh) * | 2020-12-14 | 2021-04-09 | 国网电动汽车服务有限公司 | 一种可信的换电设备接入方法 |
| CN113051623A (zh) * | 2021-03-11 | 2021-06-29 | 华控清交信息科技(北京)有限公司 | 一种数据处理方法、装置和电子设备 |
| CN115037521A (zh) * | 2022-05-11 | 2022-09-09 | 广州小马智卡科技有限公司 | 服务数据验证方法、装置、计算机设备和存储介质 |
| CN115037521B (zh) * | 2022-05-11 | 2024-02-02 | 广州小马智卡科技有限公司 | 服务数据验证方法、装置、计算机设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106487511B (zh) | 身份认证方法及装置 | |
| CN105162772B (zh) | 一种物联网设备认证与密钥协商方法和装置 | |
| CN104869175B (zh) | 跨平台的账号资源共享实现方法、装置及系统 | |
| CN105007279B (zh) | 认证方法和认证系统 | |
| CN110291757A (zh) | 用于提供简化帐户注册服务、用户认证服务的方法及利用其的认证服务器 | |
| CN110505185A (zh) | 身份验证方法、设备和系统 | |
| CN106452772B (zh) | 终端认证方法和装置 | |
| CN109067801A (zh) | 一种身份认证方法、身份认证装置及计算机可读介质 | |
| CN109150548A (zh) | 一种数字证书签名、验签方法及系统、数字证书系统 | |
| US11349660B2 (en) | Secure self-identification of a device | |
| CN106055936B (zh) | 可执行程序数据包加密/解密方法及装置 | |
| CN106612180A (zh) | 实现会话标识同步的方法及装置 | |
| CN105490997B (zh) | 安全校验方法、装置、终端及服务器 | |
| CN109587110A (zh) | 一种弱口令检测方法、装置、计算机设备及业务服务器 | |
| CN110473318A (zh) | 解锁方法、实现解锁的设备及计算机可读介质 | |
| CN105447715A (zh) | 用于与第三方合作的防盗刷电子优惠券的方法和装置 | |
| CN109361508A (zh) | 数据传输方法、电子设备及计算机可读存储介质 | |
| CN109831311A (zh) | 一种服务器验证方法、系统、用户终端及可读存储介质 | |
| CN110365928A (zh) | 一种基于区块链的驾考录像存储方法、装置及系统 | |
| CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
| CN105741116B (zh) | 一种快捷支付方法、装置及系统 | |
| CN106101160A (zh) | 一种系统登录方法及装置 | |
| CN105635075A (zh) | 登录云终端的方法、云终端、云服务器及云系统 | |
| CN108959990A (zh) | 一种二维码的验证方法及装置 | |
| US20230179412A1 (en) | Private key creation using location data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191126 |