CN111953477B - 终端设备及其标识令牌的生成方法和客户端的交互方法 - Google Patents

Abstract

本发明提供了一种终端设备及其标识令牌的生成方法和客户端的交互方法。该终端设备标识令牌的生成方法包括：获取终端设备的硬件标识码；获取与服务端协商的随机数和递增码；将递增码按照预定的递增方式进行递增处理；根据硬件标识码、随机数和递增处理后的递增码生成第一字符串；获取终端设备的可信私钥；采用可信私钥对第一字符串做数字签名；以及根据数字签名和第一字符串生成终端设备的标识令牌。通过本发明，能够生成具备可用性、可信性、不变性、唯一性和稳定性的标识令牌。

Description

终端设备及其标识令牌的生成方法和客户端的交互方法

技术领域

本发明涉及通信技术领域，尤其涉及一种终端设备及其标识令牌的生成方法和客户端的交互方法。

背景技术

在终端设备向业务系统请求服务和数据，以及业务系统响应终端设备的过程中，通常需要终端设备的标识令牌来标识终端设备，以使业务系统能够通过标识令牌来识别和区分终端设备，进而执行不同的响应策略等。

发明人在研究过程中发现，基于标识令牌的这种使用场景，要求标识令牌需要同时具备以下特点：

第一，可用性，也即该标识令牌是可以被计算出来的；

第二，可信性，也即该标识令牌不容易被仿冒；

第三，不变性，也即该标识令牌需要防止被破坏；

第四，唯一性，也即该标识令牌对于不同的终端设备应该是不同的；

第五，稳定性，也即该标识令牌在终端设备发生临时性故障时，终端设备的标识令牌不应该快速变化。

因此，提供一种终端设备及其标识令牌的生成方法和客户端的交互方法，以使标识令牌能够同时满足上述特点，成为本领域正待解决的技术问题。

发明内容

本发明的目的是提供一种终端设备及其标识令牌的生成方法和客户端的交互方法，用于解决现有技术中存在的上述技术问题。

为实现上述目的，本发明提供了一种终端设备标识令牌的生成方法。

该终端设备标识令牌的生成方法包括：获取终端设备的硬件标识码；获取与服务端协商的随机数和递增码；将递增码按照预定的递增方式进行递增处理；根据硬件标识码、随机数和递增处理后的递增码生成第一字符串；获取终端设备的可信私钥；采用可信私钥对第一字符串做数字签名；以及根据数字签名和第一字符串生成终端设备的标识令牌。

进一步地，终端设备的硬件标识码根据终端设备的CPU标识、硬盘序列号和/或物理网卡的MAC地址计算得到。

进一步地，获取与服务端协商的随机数和递增码的步骤包括：判断距离上次与服务端协商随机数和递增码的时间间隔是否超过预定时间值；若时间间隔超过预定时间值时，通过与服务端协商，获取和存储随机数和递增码；若时间间隔未超过预定时间值时，获取本地存储的随机数和递增码。

进一步地，存储随机数和递增码的步骤包括：缓存随机数和递增码至内存中；获取本地存储的随机数和递增码的步骤包括：在内存中获取随机数和递增码；在将递增码按照预定的递增方式进行递增处理之后，终端设备标识令牌的生成方法还包括：采用递增处理后的递增码更新内存中的递增码。

进一步地，根据硬件标识码、随机数和递增处理后的递增码生成第一字符串的步骤包括：将硬件标识码、随机数和递增处理后的递增码拼接生成第一字符串。

进一步地，根据数字签名生成终端设备的标识令牌的步骤包括：采用服务端的公钥对第一字符串进行加密，将加密后的第一字符串和数字签名作为标识令牌。

为实现上述目的，本发明提供了一种终端设备标识令牌的生成装置。

该终端设备标识令牌的生成装置包括：第一获取模块，用于获取终端设备的硬件标识码；第二获取模块，用于获取与服务端协商的随机数和递增码；第一处理模块，用于将递增码按照预定的递增方式进行递增处理；第二处理模块，用于根据硬件标识码、随机数和递增处理后的递增码生成第一字符串；第三获取模块，用于获取终端设备的可信私钥；第三处理模块，用于采用可信私钥对第一字符串做数字签名；以及第四处理模块，用于根据数字签名和第一字符串生成终端设备的标识令牌。

为实现上述目的，本发明还提供了一种客户端的交互方法。

该客户端的交互方法包括：向服务端申请终端设备可信证书；对终端设备可信证书进行验证；以及在终端设备可信证书验证通过后，响应第三方客户端调用标识令牌接口的请求，其中，标识令牌接口用于采用本发明提供的任意一种终端设备标识令牌的生成方法生成终端设备的标识令牌，第三方客户端用于发送业务访问请求，业务访问请求包括标识令牌。

进一步地，向服务端申请终端设备可信证书的步骤包括：对服务端进行单向认证；在对服务端认证通过后，获取终端设备的公钥，以得到第一公钥；计算终端设备的硬件标识码，以得到第一硬件标识码；发送可信证书请求至服务端，其中，可信证书请求包括第一公钥和第一硬件标识码；接收服务端下发的终端设备可信证书，其中，终端设备可信证书根据第一公钥和第一硬件标识码生成。

进一步地，终端设备可信证书包括证书指纹，对终端设备可信证书进行验证的步骤包括：计算终端设备可信证书的二进制信息，得到第一二进制信息；获取终端设备本地存储的服务端的公钥；采用服务端的公钥对证书指纹进行解密，得到第二二进制信息，其中，证书指纹由服务端的公钥对终端设备可信证书的二进制信息进行加密得到；在第一二进制信息和第二二进制信息相匹配时，根据终端设备可信证书获取硬件标识码，以得到第二硬件标识码；在第一硬件标识码和第二硬件标识码相匹配时，获取终端设备的可信私钥，其中，可信私钥与第一公钥为密钥对；根据终端设备可信证书获取公钥，以得到第二公钥；采用可信私钥对第二公钥进行验证。

为实现上述目的，本发明还提供一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，该处理器执行计算机程序时实现上述终端设备标识令牌的生成方法的步骤。

为实现上述目的，本发明还提供计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述终端设备标识令牌的生成方法的步骤。

本发明提供的终端设备及其标识令牌的生成方法和客户端的交互方法，生成标识令牌时采用终端设备的硬件标识码、随机数、递增码和可信私钥进行计算，满足终端设备标识令牌的可用性。其中的随机数是与服务端协商得到，且随机数是由服务端或客户端随机生成，递增码在每次生成标识令牌时均会递增，可信私钥为终端设备的密钥，满足终端设备标识令牌的可信性。其中的硬件标识码是通过终端设备的硬件信息获得，可信私钥为终端设备的密钥，满足终端设备标识令牌的不变性。其中的硬件标识码对终端设备具有唯一性，满足终端设备标识令牌的唯一性。其中的硬件标识码、随机数、递增码和可信私钥均不会在终端设备发生临时性故障时发生改变，满足终端设备标识令牌的稳定性。

附图说明

图1为本发明实施例一提供的终端设备标识令牌的生成方法的流程图；

图2为本发明实施例二提供的终端设备标识令牌的生成装置的框图；

图3为本发明实施例三提供的客户端的交互方法的流程图；

图4为本发明实施例三提供的客户端的交互方法中申请可信证书的流程图；

图5为本发明实施例三提供的客户端的交互方法中验证可信证书的流程图；

图6为本发明实施例四提供的计算机设备的硬件结构图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供了一种终端设备及其标识令牌的生成方法、装置，客户端的交互方法，计算机设备，以及计算机可读存储介质。在本发明提供的终端设备标识令牌的生成方法中，获取终端设备的硬件标识码、与服务端协商的随机数和递增码以及终端设备的可信私钥，对递增码按照预定的递增方式进行递增处理，然后根据硬件标识码、随机数和递增处理后的递增码生成字符串，并用可信私钥对该字符串做数字签名，最终根据该数字签名和该字符串生成终端设备的标识令牌。其中，由于能够通过硬件标识码、随机数、递增码和可信私钥计算得出，满足终端设备标识令牌的可用性；由于随机数是与服务端协商出的随机数，递增码在每次生成标识令牌时均会递增，且可信私钥为终端设备的密钥，使得该标识令牌不容易被仿冒，满足终端设备标识令牌的可信性；由于硬件标识码是通过终端设备的硬件信息获得，可信私钥为终端设备的密钥，因此该设备标识不易被破坏，满足终端设备标识令牌的不变性；由于不同的终端设备具有不同的硬件，也即具有不同的硬件标识码，因此不同的终端设备具有不同的标识令牌，满足终端设备标识令牌的唯一性；由于硬件标识码、随机数、递增码和可信私钥均不会在终端设备发生临时性故障时发生改变，因此终端设备的标识令牌不会在终端设备发生临时性故障时变化，满足终端设备标识令牌的稳定性。

关于本发明提供的终端设备及其标识令牌的生成方法、装置，客户端的交互方法，计算机设备的具体实施例，将在下文中详细描述。

实施例一

本发明实施例一提供了一种终端设备标识令牌的生成方法，该生成方法可以应用于如下的业务场景，具体地：该生成方法的执行主体可以为设置于终端设备上的客户端，该客户端可以由实现访问代理的计算机程序形成。该客户端通过与服务端的交互，获得随机数和递增码，通过与终端设备的底层模块的交互，获得硬件标识码和可信私钥，然后通过该生成方法生成标识令牌。当终端设备的第三方客户端向业务系统发送业务请求时，可调用前述客户端生成标识令牌，并在提交业务请求时携带标识令牌。服务端能够对标识令牌进行验证，访问控制系统可根据服务端对标识令牌的验证结果，确定该业务请求是否可正常达到业务系统。通过该生成方法，能够提供一种可信、可用、不变、唯一和稳定的标识终端设备的信息，能够隔更好的通过该标识令牌识别终端设备对业务系统的业务请求，从而实现业务系统一端响应业务请求的策略控制。具体地，

图1为本发明实施例一提供的终端设备标识令牌的生成方法的流程图，如图1所示，该实施例提供的终端设备标识令牌的生成方法包括如下的步骤S101至步骤S107。

步骤S101：获取终端设备的硬件标识码。

终端设备的硬件标识码是用于标识终端设备的硬件，可以由终端设备的若干硬件部分的标识信息计算生成，在该步骤中，可以通过获取各硬件部分的标识信息然后计算得到，也可以直接获取计算生成后的硬件标识码。

可选地，终端设备的硬件标识码根据终端设备的CPU标识、硬盘序列号和/或物理网卡的MAC地址计算得到。其中，CPU标识包括信息处理器的类型、型号、制造商信息、商标信息、缓存大小和钟速度等等；硬盘序列号是指硬盘物理序列号，是指硬盘的出厂编码，具有唯一性；物理网卡的MAC(Media Access Control,介质访问控制)地址是烧录在物理网卡里的硬件地址信息，是物理网卡厂家自己分配的唯一标志符。

采用CPU标识、硬盘序列号和/或物理网卡的MAC地址来计算终端设备的硬件标识码，一方面，能够较好的从硬件角度标识终端设备，使得不同终端数设备具有不同的硬件标识码；另一方面，能够在终端设备发生磁盘磁道损坏、临时增加外设等临时性故障或变化时，硬件标识码不会发生变化，有利于提升标识令牌的稳定性。

步骤S102：获取与服务端协商的随机数和递增码。

该随机数和递增码通过客户端和服务端协商得到，其中，随机数可在客户端与服务端协商时由服务端随机生成，在服务端设置初始递增码，客户端向服务端获取该初始递增码。

可选地，设置预定时间值为随机数和递增码的有效时间，例如，设置预定时间值为5分钟，那么，在该步骤中，首先确定客户端当前的随机数和递增码是否在有效时间内，并且当不再有效时间内时，重新与服务端进行协商。具体地，该步骤S102包括：

步骤S1021：判断距离上次与服务端协商随机数和递增码的时间间隔是否超过预定时间值。

可选地，设置协商时间变量，在每次协商随机数和递增码后，利用协商时的时间更新协商时间变量，在该步骤S1021时，可通过计算当前时间的值和协商时间变量的值之间的差值，得到距离上次与服务端协商随机数和递增码的时间间隔，然后再判断该时间间隔是否超过预定时间值。其中，若时间间隔超过预定时间值时，则执行下述步骤S1022，若时间间隔未超过预定时间值时，则执行下述步骤S1023。

步骤S1022：通过与服务端协商，获取和存储随机数和递增码。

具体地，可将与服务端协商来获取随机数和递增码封装为一个函数，当时间间隔超过预定时间值，需要与服务端协商，以获取和存储随机数和递增码时，调用该函数进行获取。

可选地，终端设备设置有密钥对，密钥对包括公钥和可信私钥，客户端在与服务端协商随机数和递增码时，可使用该密钥对进行协商，以增强随机数和递增码的安全性。

进一步地，客户端与服务端协商获取到随机数和递增码后，将其缓存至内存中。

步骤S1023：获取本地存储的随机数和递增码。

具体地，当时间间隔未超过预定时间值，也即当前的随机数和递增码仍处于有效时间内，则只需要从本地存储获取随机数和递增码。可选地，可直接在内存中获取随机数和递增码，提升标识令牌生成的速度。

步骤S103：将递增码按照预定的递增方式进行递增处理。

预配置递增码的递增方式，在获取到递增码以后，按照前述递增方式进行递增处理，例如，将递增码增加预定步长，该预定步长可以为1。

同时，采用递增处理后的递增码更新内存中的递增码，使得每次从内存中获取到的递增码按照相同的递增方式进行递增处理后，也均不相同。

步骤S104：根据硬件标识码、随机数和递增处理后的递增码生成第一字符串。

在该步骤中，可对硬件标识码、随机数和递增处理后的递增码进行运算，得到一个字符串，在该处定义为第一字符串。可选地，将硬件标识码、随机数和递增处理后的递增码通过拼接的方式生成第一字符串，生成方式简单。

步骤S105：获取终端设备的可信私钥。

可选地，终端设备的可信私钥存储于终端设备的本地，且通过加密的方式存储至本地，例如存储于安全芯片中，或者存储于自我保护的存储区域中防止被破坏，以增加可信私钥的保密性。

步骤S106：采用可信私钥对第一字符串做数字签名。

步骤S107：根据数字签名和第一字符串生成终端设备的标识令牌。

可选地，可对第一字符串进行运算，标识令牌可包括运算后的字符串以及数据签名，在根据标识令牌验证终端设备时，可首先根据数字签名对字符串进行校验，确定字符串未被篡改时，在利用字符串中的内容验证终端设备，具体地，可对第一字符串进行加密，例如采用服务端的公钥对第一字符串进行加密，使得通信过程中传递的标识令牌更加安全可靠。

在本发明提供的标识令牌的生成方法中，生成标识令牌时采用终端设备的硬件标识码、随机数、递增码和可信私钥进行计算，也即标识令牌是可以计算得到的，不会由于攻击而出现无法计算的情况，满足终端设备标识令牌的可用性。其中的随机数是与服务端协商得到，且随机数是由服务端或客户端随机生成，不易被仿冒；递增码在每次生成标识令牌时均会递增，由于递增码的持续变化，使得每次生成的标识令牌都会发生变化，即使标识令牌被截取，也无法仿冒使用；此外，可信私钥为终端设备的密钥，不易被盗取，进一步增强标识令牌不易被仿冒的特性，采用该标识令牌生成方法生成标识令牌，满足可信性。其中的硬件标识码是通过终端设备的硬件信息获得，无法被破坏，可信私钥为终端设备的密钥，通常会通过一定的保密措施存储在本地，能够防止被破坏，使得该终端设备标识不易被破坏，满足终端设备标识令牌的不变性。其中的硬件标识码对终端设备具有唯一性，也即不同的终端设备具有不同的硬件，也即具有不同的硬件标识码，因此不同的终端设备具有不同的标识令牌，满足终端设备标识令牌的唯一性。其中的硬件标识码、随机数、递增码和可信私钥均不会在终端设备发生临时性故障时发生改变，因此终端设备的标识令牌不会在终端设备发生临时性故障时变化，满足终端设备标识令牌的稳定性。综上所述，采用本发明提供的标识令牌的生成方法生成的标识令牌，具备可用性、可信性、不变性、唯一性和稳定性的特点。

实施例二

本发明实施例二提供了一种终端设备标识令牌的生成装置，可以为设置于终端设备上的客户端的组成部分，该生成装置与上述实施例一提供的终端设备标识令牌的生成方法相对应，相应的技术特征和技术效果在本实施例中不再详述，相关之处可参考上述实施例一。

图2为本发明实施例二提供的终端设备标识令牌的生成装置的框图，如图2所示，该终端设备标识令牌的生成装置包括第一获取模块201、第二获取模块202、第一处理模块203、第二处理模块204、第三获取模块205、第三处理模块206和第四处理模块207。其中，第一获取模块201用于获取终端设备的硬件标识码；第二获取模块202用于获取与服务端协商的随机数和递增码；第一处理模块203用于将递增码按照预定的递增方式进行递增处理；第二处理模块204用于根据硬件标识码、随机数和递增处理后的递增码生成第一字符串；第三获取模块205用于获取终端设备的可信私钥；第三处理模块206用于采用可信私钥对第一字符串做数字签名；第四处理模块207用于根据数字签名和第一字符串生成终端设备的标识令牌。

可选地，终端设备的硬件标识码根据终端设备的CPU标识、硬盘序列号和/或物理网卡的MAC地址计算得到。

可选地，第二获取模块202在获取与服务端协商的随机数和递增码时，具体执行的步骤包括：判断距离上次与服务端协商随机数和递增码的时间间隔是否超过预定时间值；若时间间隔超过预定时间值时，通过与服务端协商，获取和存储随机数和递增码；若时间间隔未超过预定时间值时，获取本地存储的随机数和递增码。

可选地，第二获取模块202在存储随机数和递增码时，将随机数和递增码缓存至内存中；若时间间隔未超过预定时间值时，第二获取模块202在获取本地存储的随机数和递增码时，在内存中获取随机数和递增码。第一处理模块203在将递增码按照预定的递增方式进行递增处理之后，还用于采用递增处理后的递增码更新内存中的递增码。

可选地，第二处理模块204用于将硬件标识码、随机数和递增处理后的递增码拼接生成第一字符串。

可选地，第四处理模块207用于采用服务端的公钥对第一字符串进行加密，将加密后的所述第一字符串和所述数字签名作为所述标识令牌。

实施例三

本发明实施例三提供了一种客户端的交互方法，该交互方法可以应用于如下的业务场景，具体地：该客户端的交互方法的执行主体可以为设置于终端设备上的客户端，该客户端可以由实现访问代理的计算机程序形成。该客户端通过与服务端的交互，向服务端申请终端设备可信证书，并对终端设备可信证书进行验证，并在终端设备可信证书验证通过后，响应第三方客户端调用标识令牌接口的请求，生成终端设备的标识令牌返回至第三方客户端。使得第三方客户端向业务系统发送业务请求时，能够携带标识令牌提交业务请求时。服务端能够对标识令牌进行验证，访问控制系统可根据服务端对标识令牌的验证结果，确定该业务请求是否可正常达到业务系统。通过该交互方法，客户端在生成标识令牌之前，需要向服务端申请可信证书，并对可信证书进行验证，一方面使得服务端能够对终端设备做访问策略，另一方面，也能够防止可信证书的盗用，同时，其中，终端设备标识令牌的生成方法可以采用实施例一所述的生成方法，关于其技术特征和相应的技术效果，可参考上述实施例一，该实施例中不再赘述。

具体地，图3为本发明实施例三提供的客户端的交互方法的流程图，如图3所示，该实施例提供的客户端的交互方法包括如下的步骤S301至步骤S303。

步骤S301：向服务端申请终端设备可信证书。

可选地，如图4所示，该步骤S301包括如下的步骤S3011至步骤S3015：

步骤S3011：对服务端进行单向认证。

客户端在向服务端申请终端设备可信证书是，首先对服务端做单向认证，以保证客户端所申请的服务端是可信任的服务端，也即为验证服务端的合法性，避免服务端的仿冒。

其中，服务端在安装时会生成自己的加密公私钥，其中，不同企业的服务端可具有不同的公私钥。客户端的安装程序从要部署的服务端动态生成，生成的安装包中已经带有服务端的公钥，即每个客户端都保存了自己所属服务端的公钥。在客户端对服务端进行单向认证时，可通过保存的所属服务端的公钥对服务端进行认证。

步骤S3012：在对服务端认证通过后，获取终端设备的公钥，以得到第一公钥。

客户端对服务端进行单向认证通过后，客户端生成终端设备一侧的密钥对进行存储，密钥对中的可信私钥可存储在自我保护的安全存储区域，密钥对中的公钥在该处定义为第一公钥。

步骤S3013：计算终端设备的硬件标识码，以得到第一硬件标识码。

客户端在计算终端设备的硬件标识码时，可采用上文中描述的硬件标识码的计算方式得到，在该实施例中不再赘述，计算得到的硬件标识码在该处定义为第一硬件标识码。

步骤S3014：发送可信证书请求至服务端。

其中，可信证书请求包括第一公钥和第一硬件标识码，可选地，可信证书请求还可包括一些定制信息，在服务端，可通过对第一硬件标识码以及定制信息的判定，来确定是否可下发终端设备可信证书。

步骤S3015：接收服务端下发的终端设备可信证书。

其中，服务端在生成终端设备可信证书时，根据第一公钥和第一硬件标识码生成，也即，终端设备可信证书中可携带有第一公钥和第一硬件标识码。

通过上述的步骤S3011至步骤S3015，实现终端设备可信证书的申请。可选地，客户端在每次运行时，可先检测本地是否存在终端设备可信证书，当本地存在终端设备可信证书时，采用如下的步骤对终端设备可信证书进行验证，当本地不存在终端设备可信证书时，可采用上述的步骤申请终端设备可信证书。

步骤S302：对终端设备可信证书进行验证。

可选地，终端设备可信证书包括证书指纹，终端设备可信证书的证书指纹是采用服务端的公钥对证书的二进制信息进行加密得到，如图5所示，该步骤S302包括如下的步骤S3021至步骤S3027：

步骤S3021：计算终端设备可信证书的二进制信息，得到第一二进制信息。

客户端根据终端设备可信证书计算得到的二进制信息，在该处定义为第一二进制信息。

步骤S3022：获取终端设备本地存储的服务端的公钥。

步骤S3023：采用服务端的公钥对证书指纹进行解密，得到第二二进制信息。

客户端利用获取到的服务端的公钥对证书指纹进行解密，解密得到的二进制信息在该处定义为第二二进制信息。

步骤S3024：在第一二进制信息和第二二进制信息相匹配时，根据终端设备可信证书获取硬件标识码，以得到第二硬件标识码；

当第一二进制信息和第二二进制信息相匹配时，说明证书指纹验证通过，此时，对终端设备可信证书进行计算，计算获取到的硬件标识码在该处定义为第二硬件标识码。

当第一二进制信息和第二二进制信息不匹配时，说明证书指纹验证没有通过，此时，吊销本地的终端设备可信证书，返回步骤S301重新申请。

步骤S3025：在第一硬件标识码和第二硬件标识码相匹配时，获取终端设备的可信私钥。

将步骤S3013中根据终端设备硬件信息计算得到第一硬件标识码，与步骤S3024中根据终端设备可信证书计算得到的第二硬件标识码进行匹配，实现通过硬件标识码对可信证书的验证。

当第一硬件标识码和第二硬件标识码相匹配时，说明利用硬件标识码对可信证书的验证通过，此时，获取终端设备的可信私钥。

当第一硬件标识码和第二硬件标识码不匹配时，说明利用硬件标识码对可信证书的验证没有通过，此时，吊销本地的终端设备可信证书，返回步骤S301重新申请。

步骤S3026：根据终端设备可信证书获取公钥，以得到第二公钥。

对终端设备可信证书进行计算，计算获取到的公钥在该处定义为第二公钥。

步骤S3027：采用可信私钥对第二公钥进行验证。

可选地，可生成随机数并使用可信私钥进行数字签名，以验证第二公钥。当第二公钥验证成功，说明可信证书验证通过，执行下述的步骤S303，当第二公钥验证失败，吊销本地的终端设备可信证书，返回步骤S301重新申请。

步骤S303：在终端设备可信证书验证通过后，响应第三方客户端调用标识令牌接口的请求。

其中，标识令牌接口用于采用上述实施例一提供的终端设备标识令牌的生成方法生成标识令牌，第三方客户端在发送业务访问请求时，业务访问请求包括该标识令牌。

在本发明提供的客户端的交互方法中，向服务端申请终端设备可信证书，并在终端设备可信证书验证通过后，向第三方客户端提供终端设备的标识令牌，该标识令牌具备可用性、可信性、不变性、唯一性和稳定性的特点。进一步地，在申请终端设备可信证书之前，对服务端进行验证，保证了服务端的合法性，避免非法服务端向客户端下发仿冒的可信证书；可信证书包括终端设备的硬件信息和公钥，终端设备通过对该硬件信息和公钥两个方面的认证实现对可信证书的认证。

实施例四

本实施例还提供一种计算机设备，如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器，或者多个服务器所组成的服务器集群)等。如图6所示，本实施例的计算机设备01至少包括但不限于：可通过系统总线相互通信连接的存储器011、处理器012，如图6所示。需要指出的是，图6仅示出了具有组件存储器011和处理器012的计算机设备01，但是应理解的是，并不要求实施所有示出的组件，可以替代的实施更多或者更少的组件。

本实施例中，存储器011(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如，SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中，存储器011可以是计算机设备01的内部存储单元，例如该计算机设备01的硬盘或内存。在另一些实施例中，存储器011也可以是计算机设备01的外部存储设备，例如该计算机设备01上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)等。当然，存储器011还可以既包括计算机设备01的内部存储单元也包括其外部存储设备。本实施例中，存储器011通常用于存储安装于计算机设备01的操作系统和各类应用软件，例如实施例一的终端设备标识令牌的生成方法的程序代码等。此外，存储器011还可以用于暂时地存储已经输出或者将要输出的各类数据。

处理器012在一些实施例中可以是中央处理器(Central Processing Unit，CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器012通常用于控制计算机设备01的总体操作。本实施例中，处理器012用于运行存储器011中存储的程序代码或者处理数据，例如终端设备标识令牌的生成方法等。

实施例五

本实施例还提供一种计算机可读存储介质，如闪存、硬盘、多媒体卡、卡型存储器(例如，SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等，其上存储有计算机程序，程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储终端设备标识令牌的生成方法，被处理器执行时实现实施例一的终端设备标识令牌的生成方法。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (12)

1.一种终端设备标识令牌的生成方法，其特征在于，包括：

获取终端设备的硬件标识码；

获取与服务端协商的随机数和递增码；

将所述递增码按照预定的递增方式进行递增处理；

根据所述硬件标识码、所述随机数和递增处理后的递增码生成第一字符串；

获取所述终端设备的可信私钥；

采用所述可信私钥对所述第一字符串做数字签名；以及

根据所述数字签名和所述第一字符串生成所述终端设备的标识令牌。

2.根据权利要求1所述的终端设备标识令牌的生成方法，其特征在于，所述终端设备的硬件标识码根据所述终端设备的CPU标识、硬盘序列号和/或物理网卡的MAC地址计算得到。

3.根据权利要求1所述的终端设备标识令牌的生成方法，其特征在于，获取与服务端协商的随机数和递增码的步骤包括：

判断距离上次与服务端协商随机数和递增码的时间间隔是否超过预定时间值；

若所述时间间隔超过所述预定时间值时，通过与所述服务端协商，获取和存储所述随机数和递增码；

若所述时间间隔未超过所述预定时间值时，获取本地存储的所述随机数和递增码。

4.根据权利要求3所述的终端设备标识令牌的生成方法，其特征在于，

存储所述随机数和递增码的步骤包括：缓存所述随机数和递增码至内存中；

获取本地存储的所述随机数和递增码的步骤包括：在所述内存中获取所述随机数和递增码；

在将所述递增码按照预定的递增方式进行递增处理之后，所述终端设备标识令牌的生成方法还包括：采用递增处理后的递增码更新所述内存中的递增码。

5.根据权利要求1所述的终端设备标识令牌的生成方法，其特征在于，根据所述硬件标识码、所述随机数和递增处理后的递增码生成第一字符串的步骤包括：将所述硬件标识码、所述随机数和递增处理后的递增码拼接生成所述第一字符串。

6.根据权利要求1所述的终端设备标识令牌的生成方法，其特征在于，根据所述数字签名和所述第一字符串生成所述终端设备的标识令牌的步骤包括：采用所述服务端的公钥对所述第一字符串进行加密，将加密后的所述第一字符串和所述数字签名作为所述标识令牌。

7.一种终端设备标识令牌的生成装置，其特征在于，包括：

第一获取模块，用于获取终端设备的硬件标识码 ；

第二获取模块，用于获取与服务端 协商的随机数和递增码；

第一处理模块，用于将所述递增码按照预定的递增方式进行递增处理；

第二处理模块，用于根据所述硬件标识码、所述随机数和递增处理后的递增码生成第一字符串 ；

第三获取模块，用于获取所述终端设备的可信私钥；

第三处理模块，用于采用所述可信私钥对所述第一字符串做数字签名；以及

第四处理模块，用于根据所述数字签名和所述第一字符串生成所述终端设备的标识令牌。

8.一种客户端的交互方法，其特征在于，包括：

向服务端申请终端设备可信证书；

对所述终端设备可信证书进行验证；以及

在所述终端设备可信证书验证通过后，响应第三方客户端调用标识令牌接口的请求，其中，所述标识令牌接口用于采用权利要求1至6中任一项所述的方法生成终端设备的标识令牌，所述第三方客户端用于发送业务访问请求，所述业务访问请求包括所述标识令牌。

9.根据权利要求8所述的客户端的交互方法，其特征在于，向服务端申请终端设备可信证书的步骤包括：

对所述服务端进行单向认证；

在对所述服务端认证通过后，获取所述终端设备的公钥，以得到第一公钥；

计算所述终端设备的硬件标识码，以得到第一硬件标识码；

发送可信证书请求至所述服务端，其中，所述可信证书请求包括所述第一公钥和所述第一硬件标识码；

接收所述服务端下发的所述终端设备可信证书，其中，所述终端设备可信证书根据所述第一公钥和所述第一硬件标识码生成。

10.根据权利要求9所述的客户端的交互方法，其特征在于，所述终端设备可信证书包括证书指纹，对所述终端设备可信证书进行验证的步骤包括：

计算所述终端设备可信证书的二进制信息，得到第一二进制信息；

获取所述终端设备本地存储的所述服务端的公钥；

采用所述服务端的公钥对所述证书指纹进行解密，得到第二二进制信息，其中，所述证书指纹由所述服务端的公钥对所述终端设备可信证书的二进制信息进行加密得到；

在所述第一二进制信息和所述第二二进制信息相匹配时，根据所述终端设备可信证书获取硬件标识码，以得到第二硬件标识码；

在所述第一硬件标识码和所述第二硬件标识码相匹配时，获取所述终端设备的可信私钥，其中，所述可信私钥与所述第一公钥为密钥对；

根据所述终端设备可信证书获取公钥，以得到第二公钥；

采用所述可信私钥对所述第二公钥进行验证。

11.一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至6任一项所述方法的步骤。

12.一种计算机可读存储介质，其上存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现权利要求1至6任一项所述方法的步骤。

Images