CN112153642B - 一种办公环境中的设备认证方法、办公设备及系统 - Google Patents
一种办公环境中的设备认证方法、办公设备及系统 Download PDFInfo
- Publication number
- CN112153642B CN112153642B CN201910560503.7A CN201910560503A CN112153642B CN 112153642 B CN112153642 B CN 112153642B CN 201910560503 A CN201910560503 A CN 201910560503A CN 112153642 B CN112153642 B CN 112153642B
- Authority
- CN
- China
- Prior art keywords
- authentication factor
- authentication
- office
- user equipment
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
Abstract
本发明提供了一种办公环境中的设备认证方法、办公设备及系统,其中,方法包括:S1办公设备与用户设备建立短距离无线通信连接;S2将协商生成的初始认证因子作为办公设备当前的第一认证因子;S3监测到认证因子滚动事件发生执行S4;监测到认证扫描事件发生执行S5;S4获取下一个第一认证因子,将下一个第一认证因子作为当前的第一认证因子,返回S3;S5扫描到用户设备广播的第二认证因子;S6获取当前的第一认证因子的下1至m个和上1至n个第一认证因子;S7分别与第二认证因子比对,将与第二认证因子比对一致的第一认证因子作为当前的第一认证因子,返回S3;如果没有一致的情况,执行S8;S8执行安全控制操作。
Description
技术领域
本发明涉及一种电子技术领域,尤其涉及一种办公环境中的设备认证方法、办公设备及系统。
背景技术
在传统的办公系统中,在登录安全控制上大都采用口令、密码、用户确认等方式,但仅在首次登录时办公设备对用户设备进行认证,在认证通过之后,不再实时地对该用户设备进行认证,以在电脑上登录微信为例,如果是第一次登录,电脑上会出现二维码,用户手机扫码电脑上的二维码,用户在手机上确认后,登录成功,用户可以使用电脑来完成微信功能。在该员工暂时离开该办公设备后,其他人员也可以使用该办公设备,无法保护该员工的隐私以及信息安全。
另外,有些场景中,员工离开后需要手动锁屏或注销登录状态,再次使用时仍需要再次认证,在使用过程中安全性和便捷性都有待提高。
发明内容
本发明旨在解决上述问题/之一。
本发明的主要目的在于提供一种办公环境中的设备认证方法。
本发明的另一目的在于提供一种办公系统。
本发明的另一目的在于提供一种办公设备。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明一方面提供了一种办公环境中的设备认证方法,包括:步骤1、办公设备与用户设备建立短距离无线通信连接;步骤2、所述办公设备与所述用户设备协商生成初始认证因子,将所述初始认证因子作为所述办公设备当前的第一认证因子;步骤3、所述办公设备监测是否有认证因子滚动事件和认证扫描事件发生,在监测到有认证因子滚动事件发生的情况下,执行步骤4,在监测到有认证扫描事件发生的情况下,执行步骤5;步骤4、所述办公设备按照与所述用户设备约定的认证因子滚动方式,获取所述办公设备当前的第一认证因子的下一个第一认证因子,并将所述下一个第一认证因子作为所述办公设备当前的第一认证因子;并返回步骤3;步骤5、所述办公设备扫描所述用户设备广播的第二认证因子,在扫描到所述用户设备广播的第二认证因子的情况下,执行步骤6;步骤6、按照与所述用户设备约定的认证因子滚动方式,获取所述办公设备当前的第一认证因子的下1至m个第一认证因子和所述办公设备当前的第一认证因子的上1至n个第一认证因子,其中,m、n为大于1的正整数;步骤7、将所述办公设备当前的第一认证因子、所述办公设备当前的第一认证因子的下1至m个第一认证因子以及所述办公设备当前的第一认证因子的上1至n个第一认证因子分别与所述第二认证因子进行比对,如果有一致的情况,则将与所述第二认证因子比对一致的第一认证因子作为所述办公设备当前的第一认证因子,并返回步骤3;如果没有一致的情况,则执行步骤8;步骤8、所述办公设备按照预定的安全策略执行相应的安全控制操作。
可选的,所述办公设备当前的第一认证因子包括以下一种或多种:获取时间、获取时的累计认证因子个数以及按照与所述用户设备协商的算法生成的密钥。
可选的,所述认证因子滚动事件至少包括:达到预设的滚动周期,每个所述滚动周期为预设时长;所述认证扫描事件至少包括以下之一:所述办公设备与所述用户设备协商生成初始认证因子完成、接收到扫描指令、达到预设的扫描周期。
可选的,所述按照与所述用户设备约定的认证因子滚动方式,获取所述办公设备当前的第一认证因子的下一个第一认证因子,包括:所述办公设备与所述用户设备进行协商,得到包括多个第一认证因子的第一认证因子池,按预先协商的认证因子跳变策略从所述第一认证因子池中选择所述办公设备当前的第一认证因子的下一个第一认证因子;或者,所述办公设备基于所述办公设备当前的第一认证因子按照与所述用户设备协商的认证因子获取策略获取所述办公设备当前的第一认证因子的下一个第一认证因子。
可选的,在没有扫描到所述用户设备发送的第二认证因子的情况下,所述方法还包括:
所述办公设备在预设监测门限内检测是否扫描到所述用户设备广播的第二认证因子,如果扫描到,则执行所述步骤6;如果没有扫描到,则在预设时间间隔内检测是否扫描到所述用户设备广播的第二认证因子;如果扫描到,则执行所述步骤6;如果没有扫描到,则执行步骤8。
可选的,在所述步骤3还包括:所述办公设备监测是否有预定的关键事件发生,在监测到有预定的关键事件发生的情况下,执行步骤9;步骤9,所述办公设备启动摄像装置采集用户的人脸图像信息,并对所述人脸图像信息进行人脸识别认证;其中,所述预定的关键事件包括以下至少之一:所述办公设备与所述用户设备协商生成初始认证因子完成、所述办公设备接收到加密输入指令、以及所述办公设备识别接收到密码输入。
可选的,所述办公设备按照预定的安全策略执行相应的安全控制操作至少包括:所述办公设备向所述用户设备发送休眠指令。
可选的,在所述办公设备按照预定的安全策略执行相应的安全控制操作之后,所述方法还包括:
所述办公设备删除本地保存的所有第一认证因子。
可选的,在所述办公设备与所述用户设备协商生成初始认证因子之后,所述方法还包括:所述用户设备进入休眠模式,并在进入所述休眠模式后,每隔预定唤醒周期唤醒一次,在唤醒期间,广播所述用户设备当前的第二认证因子。
本发明另一方面提供了一种办公设备,包括:通信模块,用于与用户设备建立短距离无线通信连接;认证因子协商模块,用于与所述用户设备协商生成初始认证因子,将所述初始认证因子作为所述办公设备当前的第一认证因子,触发监测模块工作;所述监测模块,用于监测是否有认证因子滚动事件和认证扫描事件发生,在监测到有认证因子滚动事件发生的情况下,触发认证因子滚动模块工作;在监测到有认证扫描事件发生的情况下,触发扫描检测模块工作;所述认证因子滚动模块,用于按照与所述用户设备约定的因子滚动方式,获取所述办公设备当前的第一认证因子的下一个第一认证因子,并将所述下一个第一认证因子作为所述办公设备当前的第一认证因子,并触发所述监测模块;所述扫描检测模块,用于扫描所述用户设备广播的第二认证因子,在扫描到所述用户设备广播的第二认证因子的情况下,触发认证模块;所述认证模块,用于按照与所述用户设备约定的认证因子滚动方式,获取所述办公设备当前的第一认证因子的下1至m个第一认证因子和所述办公设备当前的第一认证因子的上1至n个第一认证因子,其中,m、n为大于1的正整数;将所述办公设备当前的第一认证因子、所述办公设备当前的第一认证因子的下1至m个第一认证因子以及所述办公设备当前的第一认证因子的上1至n个第一认证因子分别与所述第二认证因子进行比对,如果有一致的情况,则将与所述第二认证因子比对一致的第一认证因子作为所述办公设备当前的第一认证因子,并触发所述监测模块;如果没有一致的情况,则触发安全控制模块;所述安全控制模块,用于按照预定的安全策略执行相应的安全控制操作。
可选的,所述办公设备当前的第一认证因子包括以下一种或多种:获取时间、获取时的累计认证因子个数以及按照与所述用户设备协商的算法生成的密钥。
可选的,所述认证因子滚动事件至少包括:达到预设的滚动周期,每个所述滚动周期为预设时长;所述认证扫描事件至少包括以下之一:所述办公设备与所述用户设备协商生成初始认证因子完成、接收到扫描指令、达到预设的扫描周期。
可选的,所述认证因子滚动模块按照以下方式获取所述办公设备当前的第一认证因子的下一个第一认证因子:与所述用户设备进行协商,得到包括多个第一认证因子的第一认证因子池,按照预先协商的认证因子跳变策略从所述第一认证因子池中选择所述办公设备当前的第一认证因子的下一个第一认证因子;或者,基于所述办公设备当前的第一认证因子按照与所述用户设备协商的认证因子获取策略获取所述办公设备当前的第一认证因子的下一个第一认证因子。
可选的,所述扫描检测模块,还用于在没有扫描到所述用户设备广播的第二认证因子的情况下,触发回连验证模块;在预设监测门限内检测是否扫描到所述用户设备广播的第二认证因子,如果扫描到,则触发所述认证模块;如果没有扫描到,在预设时间间隔内检测是否扫描到所述用户设备广播的第二认证因子;如果扫描到,则触发所述认证模块;如果没有扫描到,则触发所述安全控制模块。
可选的,该办公设备还包括:人脸验证模块;所述监测模块,还用于监测是否有预定的关键事件发生,在监测到有预定的关键事件发生的情况下,触发所述人脸验证模块;其中,所述预定的关键事件包括以下至少之一:所述办公设备与所述用户设备协商生成初始认证因子完成、所述办公设备接收到加密输入指令、以及所述办公设备识别接收到密码输入;所述人脸验证模块,用于启动摄像装置采集用户的人脸图像信息,并对所述人脸图像信息进行人脸识别认证。
可选的,所述安全控制模块按照预定的安全策略执行相应的安全控制操作至少通过以下方式:触发所述通信模块向所述用户设备发送休眠指令;所述通信模块,还用于向所述用户设备发送所述休眠指令。
可选的,该办公设备还包括:认证因子清空模块,用于在所述安全控制模块执行所述安全控制操作之后,删除所述办公设备保存的所有第一认证因子。
本发明另一方面还提供了一种办公系统,包括:用户设备和如上所述的办公设备,其中:
所述用户设备,用于与所述办公设备建立短距离无线通信连接后,与所述办公设备协商生成初始认证因子,将所述初始认证因子作为所述用户设备当前的第二认证因子;还用于广播所述用户设备当前的第二认证因子;还用于监测是否有认证因子滚动事件发生,在监测到有认证因子滚动事件发生的情况下,按照与所述办公设备约定的认证因子滚动方式,获取所述用户设备当前的第二认证因子的下一个第二认证因子,并将所述下一个第二认证因子作为所述用户设备当前的第二认证因子。
可选的,所述用户设备,还用于在接收到所述办公设备发送的休眠指令的情况下,进入休眠状态。
可选的,所述用户设备,还用于在与所述办公设备协商生成初始认证因子后,进入休眠模式,并在进入所述休眠模式后,每隔预定唤醒周期唤醒一次,在唤醒期间,广播所述用户设备当前的第二认证因子。
可选的,所述用户设备的认证因子滚动事件至少包括:达到预设的滚动周期,其中,所述滚动周期的预设时长与所述办公设备的滚动周期的预设时长相同。
由上述本发明提供的技术方案可以看出,本发明提供了一种办公环境中的设备认证方法、办公设备及办公系统,办公设备可以实时的对用户设备进行认证,一旦认证无法通过,则执行安全控制操作,从而保证在员工的用户设备与办公设备建立通信后始终为同一用户设备且合法用户设备在登录使用该办公设备,保护该员工的业务机密,避免无关人员在这台办公设备执行相应操作,造成信息泄露。在认证时,可以避免因丢包或时钟偏移引起的失步,办公设备可以自身纠错,确保失步后办公设备与用户设备侧的认证因子保持同步。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例提供的办公系统的结构示意图;
图2为本发明实施例提供的办公环境中的设备认证方法的流程图;
图3为本发明实施例提供的办公设备的结构示意图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或数量或位置。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
下面将结合附图对本发明实施例作进一步地详细描述。
本发明实施例基于一种办公系统,如图1所示,该办公系统包括办公设备10和用户设备20。其中,办公设备10可以为公司内部的共享办公设备,如电脑、打印机、键盘、扫描仪、固定电话等等办公设备。用户设备20是为公司的每个员工单独配发的与该员工绑定的设备,可以为移动终端(如智能手机)、智能密钥设备(如U盾)、智能卡、可穿戴设备(如手环、智能手表、智能眼镜)等等。每个员工有唯一的用户ID,但可以拥有一台或多台上述用户设备,用户设备中存储有该员工的用户ID,可以标识该员工,确定该员工的用户身份。在该用户设备与办公设备建立短距离无线通信、认证以及登录的过程中,代表该员工在使用该办公设备。一个员工的多台用户设备不能同时使用,即,如果一个用户设备已经登录一个办公设备,该员工的其他用户设备欲与其他办公设备连接时,当前登录的办公设备会提示该员工有该员工的其他用户设备请求登录办公设备,用户可以拒绝该请求,继续使用该登录的办公设备;或者,也可以同意该请求,使当前用户设备退出登录的办公设备,并使另一用户设备在请求的其他办公设备上登录。
本发明中的办公设备10与用户设备20之间可以建立短距离无线通信,例如,办公设备10与用户设备20之间可以通过RF、NFC、蓝牙、WIFI、2.4G以及433M等方式建立无线通信连接。在建立无线通信连接后,办公设备10与用户设备20进行认证因子协商,至少得到各自的初始认证因子,办公设备10和用户设备20分别将该初始认证因子作为办公设备10当前的第一认证因子和用户设备20当前的第二认证因子。然后,基于各自的初始认证因子,办公设备10与用户设备20在监测到认证因子滚动事件发生时同步进行认证因子的滚动,即双方可以以同样的滚动事件采用同样的策略在同一时刻生成相同的认证因子(不考虑双方的时钟误差)。办公设备10在监测到预设的认证扫描事件发生时,将其当前的第一认证因子以及当前的第一认证因子的前后特定个第一认证因子与扫描获取到的用户设备20广播的其当前的第二认证因子进行比对,如果一致的情况,则认证通过,否则认证失败,则办公设备按照预定的安全策略执行相应的安全控制操作。认证扫描事件可以为初始认证因子完成、接收到扫描指令、达到预设的扫描周期等等,所以,基于认证扫描事件本发明中办公设备可以实时的对用户设备进行认证,一旦认证无法通过,则按照预定的安全策略执行相应的安全控制操作,从而保证在员工的用户设备与办公设备建立通信后始终为同一用户设备且合法用户在登录该办公设备,确保该员工的业务机密不被泄露,避免无关人员在这台办公设备执行相应操作。
实施例1
本实施例提供了一种办公环境中的设备认证方法。该认证方法可以应用于如图1所示的办公系统。如图2所示,该办公环境中的设备认证方法具体包括如下步骤S101-S108:
S101、办公设备与用户设备建立短距离无线通信连接;
具体地,办公设备与用户设备之间可以建立短距离无线通信连接,例如,办公设备与用户设备之间可以通过RF、NFC、蓝牙、WIFI、2.4G以及433M等方式建立无线通信连接,这在本发明中不做具体限制。办公设备与用户设备通过短距离无线通信连接进行数据传输,如办公设备通过短距离无线通信连接获取用户设备广播的认证因子,从而完成办公设备对用户设备的实时认证。当然,在实际应用中,办公设备与用户设备也可以建立有线连接,本发明实施例中仅以办公设备与用户设备建立短距离无线通信连接为例进行说明。
作为本发明实施例的一个可选实施方式,办公设备与用户设备建立短距离无线通信连接包括:办公设备与用户设备建立第一无线连接;办公设备与用户设备通过第一无线连接传输建立短距离无线通信连接的链路关联信息;办公设备与用户设备利用该链路关联信息建立短距离无线通信连接。其中,第一无线连接可以包括但不限于,NFC连接、蓝牙连接、WIFI连接、人体通信连接等,相应的,传输的链路关联信息可以包括蓝牙配对信息、WIFI密码等,这在本发明中不做具体限制。在实际应用中,例如,员工可以将工卡(即用户设备)放置在键盘(即办公室设备)的读卡区,工卡与键盘建立NFC连接,通过NFC连接传输蓝牙配对信息,建立键盘与工卡的蓝牙连接后,员工可以将工卡从键盘的读卡区拿开,不必一直将工卡放置在键盘的读卡区才能登录使用该键盘,提高用户体验。通过NFC连接传输蓝牙配对信息,可以快速找到待连接设备,提高蓝牙连接的速度,避免传统蓝牙连接中蓝牙广播各自信息,搜索对方进行配对而导致的速度慢的问题,进一步避免出现待连接设备与其他蓝牙设备连接而无法与本设备连接的问题。进一步的,作为一种可选的实施方式,在办公设备与用户设备通过NFC连接传输蓝牙配对信息之前,本实施例提供的方法还包括:通过NFC进行认证,以确保建立蓝牙连接的两个设备是合法安全的。
为了保证办公设备与用户设备的数据传输安全,作为本发明实施例的一个可选实施方式,办公设备与用户设备建立短距离无线通信连接之前或之后,本实施例提供的办公环境中的设备认证方法还包括:办公设备与用户设备进行互相认证。该认证方式可以包括但不限于,验证对方的数字证书、验证对方发送的数字签名、验证对方设备的设备标识和验证用户设备中存储的用户ID等方式,这种验证方式可以采用现有的验证方式,在此不再赘述。通过验证对方的数字证书、验证对方发送的数字签名、验证对方设备的设备标识,可以确保双方设备的合法性,进而确保员工的信息不会被泄露,并可以确保用户设备为该员工登录该办公设备的唯一设备。通过验证用户设备中存储的用户ID,可以确保用户设备的使用者为该公司的员工,且登录合法。
S102、办公设备与用户设备协商生成初始认证因子,将初始认证因子作为办公设备当前的第一认证因子;
具体地,办公设备与用户设备在建立短距离无线通信连接后,办公设备与用户设备进行认证因子协商,至少得到各自的初始认证因子,办公设备和用户设备分别将该初始认证因子作为办公设备当前的第一认证因子和用户设备当前的第二认证因子。然后,基于各自的初始认证因子,办公设备与用户设备在监测到认证因子滚动事件发生时同步进行认证因子的滚动,即双方可以以同样的滚动事件采用同样的策略在同一时刻生成相同的认证因子(不考虑双方的时钟误差)。
其中,办公设备的第一认证因子包括与用户设备同步生成的多个,初始认证因子是办公设备第一认证因子的首个认证因子。作为本实施例一种可选的实施方式,办公设备当前的第一认证因子(包括初始认证因子)包括但不限于以下一种或多种:获取时间、获取时的累计认证因子个数以及按照与用户设备协商的算法生成的密钥。
对于获取时间,作为一种可选的实施方式,第一认证因子可以是办公设备的本地时钟的时间值或者是对该时间值采用预设算法计算得到的时间校验值。在该可选实施方式中,办公设备与用户设备在协商初始认证因子时,进行时间同步,在时间同步后,办公设备与用户设备各自将本地时钟的当前值或者根据时钟的当前值计算得到的时间校验值作为初始认证因子。在办公设备与用户设备同步进行认证因子的滚动的过程中,在监测到认证因子滚动事件发生时,以各自本地时钟当前的时间值或时间校验值作为各自当前的认证因子。办公设备与用户设备的时钟保持同步,从而可以保证办公设备和用户设备的当前的时间值一致。
对于获取时的累计认证因子个数,作为一种可选的实施方式,第一认证因子可以是办公设备的本地计数器的计数值或者是对该计数值采用预设算法计算得到的计数校验值。在该可选实施方式中,办公设备与用户设备在协商初始认证因子时,同步清零各自的本地计数器,并将各自的计数器加1,然后办公设备与用户设备各自将本地计数器的当前值或者根据计数器的当前值计算得到的计数校验值作为初始认证因子。在办公设备与用户设备同步进行认证因子的滚动的过程中,在监测到认证因子滚动事件发生时,以各自本地计数器当前的计数值或计数校验值作为各自当前的认证因子。在具体应用中,办公设备和用户设备的本地计数器用于记录相同事件发生的次数,例如,可以记录本地的认证因子的滚动次数,即每当办公设备当前的第一认证因子的值改变一次,办公设备的本地记数器的值就加1,同样,用户设备当前的第二认证因子的值每变化一次,用户设备侧的本地记数器的值也加1,从而可以保证办公设备和用户设备的记数器的值一致。
对于用户设备协商的算法生成的密钥,作为一种可选的实施方式,第一认证因子可以是密钥。例如,办公设备与用户设备在协商初始认证因子时,办公设备与用户设备可以先建立安全通道,然后办公设备与用户设备协商并生成初始的密钥,将该初始的密钥作为第一认证因子。该密钥可以包括但不限于对称密钥、MAC值、随机数等。在办公设备与用户设备同步进行认证因子的滚动的过程中,在监测到认证因子滚动事件发生时,各自按照约定的认证因子滚动方式,获取各自当前的认证因子。
S103、办公设备监测是否有认证因子滚动事件和认证扫描事件发生,在监测到有认证因子滚动事件发生的情况下,执行步骤S104,在监测到有认证扫描事件发生的情况下,执行步骤S105;
作为本实施例一种可选的实施方式,认证因子滚动事件至少包括:达到预设的滚动周期,每个滚动周期为从当前的第一认证因子滚动到下一个第一认证因子间隔的第一预设时长;认证扫描事件至少包括以下之一:办公设备与用户设备协商生成初始认证因子完成、接收到扫描指令、达到预设的扫描周期,其中,扫描周期为两次扫描之间间隔的第二预设时长。。
具体地,认证因子滚动事件用于在发生该事件时触发获取办公设备当前的第一认证因子,该事件为周期性事件,每隔预定时长触发因子滚动。办公设备的滚动周期的预设时长与用户设备的滚动周期的预设时长设置相同,以确保办公设备与用户设备间隔相同的时长滚动到下一认证因子,即确保双方同步生成各自的认证因子。具体地,办公设备只要监测到计时达到滚动周期的预设时长后,即执行步骤S104,并重新开始计时,继续监测是否达到滚动周期的预设时长,进行周期性地监测,以完成认证因子的滚动生成。在实际应用时,办公设备可以设置用于监测认证因子滚动周期的复位定时器,计时周期为预设时长,在计时到时后,复位并重新计时,进行周期性计时,当然也可以采用计数器、时钟芯片等等,本实施例中复位定时器仅作为实现认证因子滚动事件的一种方式,本发明并不做限制。
具体地,认证扫描事件用于在发生该事件时触发办公设备扫描用户设备广播的认证因子。其中,该认证扫描事件可以为办公设备与用户设备在建立短距离无线通信连接并协商好初始认证因子,在监测到该认证扫描事件后执行步骤S105。具体地,办公设备可以在监测到与用户设备协商生成初始认证因子完成后持续性的扫描用户设备广播的认证因子;也可以由登录该办公设备的用户发起,向该办公设备输入扫描指令指示该办公设备扫描该用户的用户设备广播的认证因子;还可以为周期性事件,设置扫描周期为预设时长,每当监测到计时达到预设时长,则扫描用户设备广播的认证因子,并重新开始计时,继续监测是否达到预设的扫描周期,进行周期性地监测。在实际应用时,办公设备可以设置用于监测扫描周期的复位定时器,计时周期为预设时长,在计时到时后,复位并重新计时,进行周期性计时。
S104、办公设备按照与用户设备约定的认证因子滚动方式,获取办公设备当前的第一认证因子的下一个第一认证因子,并将下一个第一认证因子作为办公设备当前的第一认证因子;并返回步骤S103;
作为本实施例一种可选的实施方式,办公设备按照与用户设备约定的认证因子滚动方式,获取办公设备当前的第一认证因子的下一个第一认证因子,包括以下方式之一:
(1)办公设备与用户设备进行协商,得到包括多个第一认证因子的第一认证因子池,按预先协商的认证因子跳变策略从第一认证因子池中选择办公设备当前的第一认证因子的下一个第一认证因子;
(2)办公设备基于办公设备当前的第一认证因子按照与用户设备协商的认证因子获取策略获取办公设备当前的第一认证因子的下一个第一认证因子。由此确保办公设备与用户设备可以同步地滚动各自的认证因子。
对于第(1)种方式,办公设备与用户设备在认证因子滚动前预先生成认证因子池,认证因子池包括按照与用户设备协商的算法生成的多个密钥,与用户设备协商的算法生成的密钥可以为但不限于对称密钥、MAC值、随机数等。双方可以按照预先协商的策略在该认证因子池中进行认证因子滚动。例如,办公设备与用户设备在建立通信连接协商初始认证因子时生成各自的认证因子池,认证因子池中的多个认证因子按序排列,双方可以每当监测到达到滚动周期即按顺序选择下一个认证因子,又或者可以按照预先协商的策略选择下一个认证因子(如间隔一个认证因子选择获得当前的认证因子的下一个认证因子),对此本发明并不做限制,只要可以保证双方的认证因子滚动同步即可。由此,办公设备与用户设备均在监测达到预设的滚动周期时同步滚动到下一认证因子。该获取方式,可以使得办公设备与用户设备在提前一次生成多个认证因子以供认证因子的滚动,避免了因为时钟误差导致单次生成一个认证因子时容易出错的问题,进而避免因为时钟误差导致认证失败的问题。
对于第(2)种方式,办公设备与用户设备实时的生成下一个认证因子。可选的,可以将当前时间、截止当前累计生成的认证因子个数、以及按照办公设备与用户设备协商的算法生成的密钥作为下一个认证因子,具体可以参见步骤S102中关于第一认证因子的获取方式的详细描述,此处不再赘述。当然,本实施例并不限于上述几种生成下一个认证因子的方式。其中,生成密钥的因子中可以包括但不限于当前时间、截止当前累计生成的认证因子个数以及随机数等等。本实施例中办公设备与用户设备均实时生成下一个认证因子,可以防止攻击者预先伪造下一个认证因子进而恶意登录办公设备,保护办公设备的安全。
S105、办公设备扫描用户设备广播的第二认证因子,在扫描到用户设备广播的第二认证因子的情况下,执行步骤S106;
办公设备在监测到有认证扫描事件发生的情况下,在其信号覆盖范围内扫描用户设备广播的第二认证因子。
在本实施例中,用户设备在与办公设备建立短距离通信连接后,与办公设备同步进行认证因子的滚动。具体地,用户设备与办公设备协商生成初始认证因子,将初始认证因子作为用户设备当前的第二认证因子;用户设备在监测到有认证因子滚动事件发生的情况下,按照与办公设备约定的认证因子滚动方式,获取用户设备当前的第二认证因子的下一个第二认证因子,并将下一个第二认证因子作为用户设备当前的第二认证因子,并继续监测认证因子滚动事件,完成认证因子的滚动。其中,用户设备获取当前的第二认证因子的方式与办公设备侧获取当前的第一认证因子的方式是相同的,认证因子滚动事件必须与办公设备侧设置一致以确保滚动同步,具体的相关信息可以参见步骤S102至步骤S104中对办公设备获取办公设备当前的第一认证因子的描述,这里不再赘述。
用户设备在办公设备与协商生成初始认证因子之后,持续性地或者周期性地广播其滚动生成的当前的第二认证因子。作为本实施例中一种可选的实施方式,在办公设备与用户设备协商生成初始认证因子之后,本实施例提供的方法还包括:用户设备进入休眠模式,并在进入休眠模式后,每隔预定唤醒周期唤醒一次,在唤醒期间,广播用户设备当前的第二认证因子。由此可以节省用户设备的电量,延长使用时间。其中,在休眠期间,用户设备保持与办公设备同步滚动认证因子。当然,用户设备也可以不进入休眠模式,一直持续性地或周期性地广播当前的第二认证因子,从而使得办公设备无需等待或唤醒用户设备恢复工作状态,可以及时扫描到用户设备的第二认证因子,及时完成实时认证。
需要说明的是,无论用户设备自动进入休眠状态还是短暂的与办公设备断开连接,只要用户没有彻底离开办公设备,即只有用户设备在预设时间内接收不到办公设备的扫描指令,或者只要用户设备没有接收到办公设备发送的清空认证因子的指令、断开连接指令或者休眠指令等用于指示用户设备不能再使用该办公设备的指令,用户设备就继续按照之前的认证因子滚动方式与办公设备同步进行认证因子的滚动,以便该员工携带用户设备在短暂离开返回后使用该办公设备或从休眠状态周期唤醒后再次使用该办公设备时,用户设备可以保持与办公设备侧的认证因子滚动同步,办公设备可以继续实时地进行双方当前认证因子的比对。
S106、按照与用户设备约定的认证因子滚动方式,获取办公设备当前的第一认证因子的下1至m个第一认证因子和办公设备当前的第一认证因子的上1至n个第一认证因子,其中,m、n为大于1的正整数;
S107、将办公设备当前的第一认证因子、办公设备当前的第一认证因子的下1至m个第一认证因子以及办公设备当前的第一认证因子的上1至n个第一认证因子分别与第二认证因子进行比对,如果有一致的情况,则将与第二认证因子比对一致的第一认证因子作为办公设备当前的第一认证因子,并返回步骤S103;如果没有一致的情况,则执行步骤S108;
本实施例中,为了避免因丢包或时钟偏移引起的失步(即比对不一致,认证失败),办公设备增加了冗余比对、自身纠错的方式。即,在步骤S106中办公设备设置了失步追回的窗口,该窗口包含办公设备当前的第一认证因子以及之前和之后的特定个数个第一认证因子。当办公设备扫描到用户设备广播的当前第二认证因子后,与窗口中的所有第一认证因子比对,如果有一致的,则可以认证通过,说明当前使用的办公设备的用户与办公设备当前绑定的一致,且用户没有离开办公设备,因此,办公设备返回步骤S103,继续监测是否有认证因子滚动事件和认证扫描事件发生。如果该与第二认证因子比对一致的第一认证因子不是办公设备当前的第一认证因子,而是上n个或下m个中的一个,说明存在丢包或时钟偏移引起的失步,但由于可以匹配到窗口中的第一认证因子,办公设备可以自身纠错,修正当前的第一认证因子,将与第二认证因子比对一致的第一认证因子作为办公设备当前的第一认证因子,并返回步骤S103,办公设备在监测到有认证因子滚动事件发生的情况下,按照与用户设备约定的认证因子滚动方式,获取与第二认证因子比对一致的第一认证因子的下一个第一认证因子(即修正后的第一认证因子),并将获取到的下一个第一认证因子作为办公设备当前的第一认证因子,从而确保在出现因丢包或时钟偏移引起的失步后,办公设备可以通过对用户设备的认证,确保用户可以继续使用该办公设备,而无需重新执行连接认证登录的操作。同时可以自身纠错,确保在下一个滚动周期到来时与用户设备滚动到同一认证因子,即确保失步后与用户设备侧的第二认证因子重新同步。
举例说明,假设办公设备与用户设备按照约定的认证因子滚动方式生成的认证因子依次为:A、B、C、D、E、F、G、H…。设置m为1,n为1,当办公设备当前的第一认证因子为C,失步追回的窗口包括[B,C,D],在正常认证因子滚动同步的情况下,此时扫描到的用户设备发送的第二认证因子也应该是C。但若办公设备扫描到的用户设备广播的第二认证因子为D,而D是在窗口内的,视为认证因子比对一致,认证通过。由于没有扫描到C,说明发生了丢包(或者是时钟不同步),需要进行纠错,办公设备将D作为当前的第一认证因子,在下一滚动周期到来时,下一个第一认证因子应该为E,而此时用户设备侧的第二认证因子也滚动到E,从而达到办公设备失步后与用户设备侧的第二认证因子重新同步的目的。
作为本实施例中一种可选的实施方式,办公设备按照与用户设备约定的认证因子滚动方式,获取办公设备当前的第一认证因子的下m个第一认证因子和办公设备当前的第一认证因子的上n个第一认证因子的方式可以包括:按预先协商的认证因子跳变策略从第一认证因子池中选择办公设备当前的第一认证因子的下m个和/或上n个第一认证因子;或者,办公设备基于办公设备当前的第一认证因子按照与用户设备协商的认证因子获取策略获取办公设备当前的第一认证因子的下m个和/或上n个第一认证因子。具体地,当前的第一认证因子的下m个和/或上n个第一认证因子的获取方式与当前的第一认证因子的下一个第一认证因子的获取方式类似。具体可以参见步骤S104中对获取办公设备当前的第一认证因子的下一个第一认证因子的描述。此处不再赘述。
S108、办公设备按照预定的安全策略执行相应的安全控制操作。
其中,安全控制操作可以包括:第一安全控制操作和第二安全控制操作。其中,两个安全控制操作的级别不同,例如,第一安全控制操作可以作为高级别控制,在认证不通过或者用户长期离开办公设备时,采用第一策略执行第一安全控制操作,使得用户设备不能再连接使用该办公设备;第二安全控制作为可以作为低级别控制,在用户暂时离开时,为了防止信息泄露且方便用户返回后方便使用,采用第二策略执行第二安全控制操作,使得该办公设备暂时不能被使用,从而可以避免员工短暂离开后办公设备被其他人非法使用的问题。
作为本实施例中的一种可选实施方式,第一安全控制操作可以包括但不限于以下之一:办公设备向用户设备发送休眠指令向用户设备发送断开连接指令、与用户设备断开连接、办公设备关机。例如,在办公设备对用户设备的认证失败后,办公设备向用户设备发送强制用户设备休眠的指令,用户设备在收到休眠指令后进入休眠状态,使得用户设备无法正常登录使用该办公设备,从而避免办公设备上存储的信息被泄露的风险,防止非法用户或非同一用户设备使用该办公设备,保护员工的隐私安全。
作为本实施例中的一种可选实施方式,第二安全控制操作可以包括但不限于以下之一:办公设备锁屏、通知与办公设备连接的PC锁屏、办公设备进入休眠状态和办公设备报警等等,只要用户设备不能再使用该办公设备即可,本发明对此种方式并不做限制。由此,不仅可以避免员工短暂离开后办公设备被其他人非法使用的问题,而且在员工短暂离开返回后,方便员工快速恢复办公设备为可用状态。
为了节省存储空间,在用户设备不再使用该办公设备的情况下,办公设备删除本地保存的所有第一认证因子,为下一个用户设备与其连接后同步滚动认证因子提供更充足的空间。作为本实施例中的一种可选实施方式,在办公设备按照预定的安全策略执行相应的安全控制操作之后,本实施例提供的方法还包括:办公设备删除本地保存的所有第一认证因子。即在办公设备按照预定的安全策略执行相应的安全控制操作后,办公设备不再为该用户设备所登录使用,从而可以节省本地存储空间,为下一个用户设备与其连接后同步滚动认证因子提供更充足的空间。此外,办公设备还可以向用户设备发送清空认证因子的指令,用户设备在接收到该指令后,删除其本地保存的所有第二认证因子,以节省用户设备的空间,便于请求登录下一个办公设备,可以与其连接后同步滚动认证因子提供更充足的空间。
通过本实施例提供的办公环境中的设备认证方法,办公设备可以实时的对用户设备进行认证,一旦认证无法通过,则执行安全控制操作,从而保证在员工的用户设备与办公设备建立通信后始终为同一用户设备且合法用户设备在登录使用该办公设备,保护该员工的业务机密,避免无关人员在这台办公设备执行相应操作,造成信息泄露。在认证时,可以避免因丢包或时钟偏移引起的失步,办公设备可以自身纠错,确保失步后办公设备与用户设备侧的认证因子保持同步。
在本实施例中,如果用户需要携带其用户设备短暂地离开办公设备一段时间,为了保证用户在返回后还可以继续正常使用该办公设备,作为本实施例中的一种可选实施方式,在没有扫描到用户设备发送的第二认证因子的情况下,本实施例提供的方法还包括:办公设备在预设监测门限内检测是否扫描到用户设备广播的第二认证因子,如果扫描到,则执行步骤S106;如果没有扫描到,则在预设时间间隔内检测是否扫描到用户设备广播的第二认证因子;如果扫描到,则执行步骤S106;如果没有扫描到,则执行步骤S108。
在本实施例中,在步骤S105中没有扫描到用户设备广播的第二认证因子的情况下,认证扫描事件依然在发生,以认证扫描事件为到达预设的扫描周期为例,每当到达预设的扫描周期,办公设备均执行设备扫描用户设备广播的第二认证因子的操作。预设监测门限+预设时间间隔可以理解为为用户短暂离开设置的合理断开连接的时间,如果在该预设监测门限办公设备没有扫描到用户设备广播的第二认证因子,可以理解为该员工只是暂时离开办公设备,办公设备可以按照第二安全策略执行第二全控制操作,如办公设备锁屏、休眠等,同时为了等待该员工返回,在预设时间间隔内继续保持认证因子的滚动,并在预设时间间隔内检测是否扫描到用户设备广播的第二认证因子,如果仍未扫描到用户设备广播的第二认证因子,则视为用户已离开不再使用该办公设备,办公设备则可以按照第一安全策略执行第一安全控制操作,如与用户设备断开连接、删除用户设备的链路关联信息和办公设备关机等等。
在实际应用中,员工可能在使用办公系统的过程,暂时离开,例如,设置预设监测门限为1分钟,如果员工离开1分钟没有返回,办公设备在预设监测门限内检测没有扫描到用户设备广播的第二认证因子,为了保证办公系统的安全,用户设备可以执行第二安全控制操作,例如,锁屏等。例如,设置预设时间间隔为5分钟,如果员工离开5分钟还没有返回,办公设备在预设时间间隔内检测没有扫描到用户设备广播的第二认证因子,为了保证办公系统的安全,用户设备可以执行第一安全控制操作,例如,关机等。在本实施例中,第二安全控制操作与第一安全控制操作不同,由此,可以根据用户离开的时间不同,设置不同的安全控制策略,执行多级的安全控制,以在保证安全的同时,为用户提供便利性。
作为本实施例中一种可选的实施方式,如果用户设备在预设时间内没有接收到办公设备发送的扫描指令(说明用户彻底离开办公设备在一段时间内不再使用该办公设备),执行删除本地保存的所有第二认证因子,以节省用户设备的空间,便于请求登录下一个办公设备,可以与其连接后同步滚动认证因子提供更充足的空间。如需要与该办公设备再次进行连接,则重新执行步骤S101至S108。
作为本实施例中的一种可选实施方式,步骤S103还包括:办公设备监测是否有预定的关键事件发生,在监测到有预定的关键事件发生的情况下,执行步骤S109(图1未示出);步骤S109,办公设备启动摄像装置采集用户的人脸图像信息,并对人脸图像信息进行人脸识别认证;其中,预定的关键事件包括以下至少之一:办公设备与用户设备协商生成初始认证因子完成、办公设备接收到加密输入指令、以及办公设备识别接收到密码输入。如果认证通过则返回步骤S103继续监测是否有预定的关键事件发生;如果认证不通过,则执行步骤S108。例如,在需要对用户在键盘上输入的信息加密时,用户可以向键盘发出加密输入指令,键盘接收到用户输入的加密输入指令后,用户输入键盘的信息将被加密,同时执行步骤S109。又例如,用户在键盘上输入PIN码时,键盘在接收到该PIN码时识别为接收到密码输入,此时也可以执行步骤S109。本实施可以支持在用户设备执行关键动作(例如,对用户在键盘上输入的信息加密或者,输入PIN码等关键动作)时,启用人脸识别辅助,当采集到的操作人与登录人不符的时候,执行安全控制操作,确保操作人与登录该办公设备的用户设备使用者为同一人,进而在一些关键事件中保护数据安全不被恶意窃取。
图1示出了本发明实施例提供的办公系统,图3示出了本发明实施例提供的办公设备。该办公系统及办公设备均采用上述办公环境中的设备认证方法,以下仅对办公系统及办公设备的结构进行简要说明,其他未尽事宜,请参考上述办公环境中的设备认证方法的相关说明。参见图1,本发明实施例提供的办公系统,包括:办公设备10和用户设备20;其中:
办公设备10,用于与用户设备建立短距离无线通信连接后,与用户设备协商生成初始认证因子,将初始认证因子作为办公设备当前的第一认证因子;还用于监测是否有认证因子滚动事件和认证扫描事件发生,在监测到有认证因子滚动事件发生的情况下,按照与用户设备约定的认证因子滚动方式,获取办公设备当前的第一认证因子的下一个第一认证因子,并将下一个第一认证因子作为办公设备当前的第一认证因子;在监测到有认证扫描事件发生的情况下,扫描用户设备广播的第二认证因子,在扫描到用户设备广播的第二认证因子的情况下,按照与用户设备约定的认证因子滚动方式,获取办公设备当前的第一认证因子的下1至m个第一认证因子和办公设备当前的第一认证因子的上1至n个第一认证因子,其中,m、n为大于1的正整数;将办公设备当前的第一认证因子、办公设备当前的第一认证因子的下1至m个第一认证因子以及办公设备当前的第一认证因子的上1至n个第一认证因子分别与第二认证因子进行比对,如果有一致的情况,则将与第二认证因子比对一致的第一认证因子作为办公设备当前的第一认证因子,并继续监测是否有认证因子滚动事件发生;如果没有一致的情况,则按照预定的安全策略执行相应的安全控制操作。
用户设备20,用于与办公设备建立短距离无线通信连接后,与办公设备协商生成初始认证因子,将初始认证因子作为用户设备当前的第二认证因子;还用于广播用户设备当前的第二认证因子;还用于监测是否有认证因子滚动事件发生,在监测到有认证因子滚动事件发生的情况下,按照与办公设备约定的认证因子滚动方式,获取用户设备当前的第二认证因子的下一个第二认证因子,并将下一个第二认证因子作为用户设备当前的第二认证因子。
作为本实施例中一种可选的实施方式,用户设备20,还用于在接收到办公设备发送的休眠指令的情况下,进入休眠状态。
作为本实施例中一种可选的实施方式,用户设备20,还用于在与办公设备协商生成初始认证因子后,进入休眠模式,并在进入休眠模式后,每隔预定唤醒周期唤醒一次,在唤醒期间,广播用户设备当前的第二认证因子。
作为本实施例中一种可选的实施方式,用户设备的认证因子滚动事件至少包括:达到预设的滚动周期,其中,滚动周期的预设时长与办公设备的滚动周期的预设时长相同。
参见图3,办公设备10包括:通信模块101、认证因子协商模块102、监测模块103、认证因子滚动模块104、扫描检测模块105、认证模块106和安全控制模块107;其中:
通信模块101,用于与用户设备20建立短距离无线通信连接;
认证因子协商模块102,用于与用户设备20协商生成初始认证因子,将初始认证因子作为办公设备10当前的第一认证因子,触发监测模块103工作;
监测模块103,用于监测是否有认证因子滚动事件和认证扫描事件发生,在监测到有认证因子滚动事件发生的情况下,触发认证因子滚动模块104工作;在监测到有认证扫描事件发生的情况下,触发扫描检测模块105工作;
认证因子滚动模块104,用于按照与用户设备20约定的因子滚动方式,获取办公设备当前的第一认证因子的下一个第一认证因子,并将下一个第一认证因子作为办公设备当前的第一认证因子,并触发监测模块103;
扫描检测模块105,用于扫描用户设备20广播的第二认证因子,在扫描到用户设备20广播的第二认证因子的情况下,触发认证模块106;
认证模块106,用于按照与用户设备20约定的认证因子滚动方式,获取办公设备10当前的第一认证因子的下1至m个第一认证因子和办公设备10当前的第一认证因子的上1至n个第一认证因子,其中,m、n为大于1的正整数;将办公设备10当前的第一认证因子、办公设备10当前的第一认证因子的下1至m个第一认证因子以及办公设备10当前的第一认证因子的上1至n个第一认证因子分别与第二认证因子进行比对,如果有一致的情况,则将与第二认证因子比对一致的第一认证因子作为办公设备10当前的第一认证因子,并触发监测模块103;如果没有一致的情况,则触发安全控制模块107;
安全控制模块107,用于按照预定的安全策略执行相应的安全控制操作。
作为本实施例中一种可选的实施方式,办公设备10当前的第一认证因子包括以下一种或多种:获取时间、获取时的累计认证因子个数以及按照与用户设备协商的算法生成的密钥。
作为本实施例中一种可选的实施方式,认证因子滚动事件至少包括:达到预设的滚动周期,每个滚动周期为预设时长;认证扫描事件至少包括以下之一:办公设备10与用户设备20协商生成初始认证因子完成、接收到扫描指令、达到预设的扫描周期。
作为本实施例中一种可选的实施方式,认证因子滚动模块104按照以下方式获取办公设备当前的第一认证因子的下一个第一认证因子:与用户设备20进行协商,得到包括多个第一认证因子的第一认证因子池,按照预先协商的认证因子跳变策略从第一认证因子池中选择办公设备10当前的第一认证因子的下一个第一认证因子;或者,基于办公设备10当前的第一认证因子按照与用户设备20协商的认证因子获取策略获取办公设备10当前的第一认证因子的下一个第一认证因子。
作为本实施例中一种可选的实施方式,其中:
扫描检测模块105,还用于在没有扫描到用户设备20广播的第二认证因子的情况下,在预设监测门限内检测是否扫描到用户设备20广播的第二认证因子,如果扫描到,则触发认证模块106;如果没有扫描到,在预设时间间隔内检测是否扫描到用户设备20广播的第二认证因子;如果扫描到,则触发认证模块106;如果没有扫描到,则触发安全控制模块107。
作为本实施例中一种可选的实施方式,办公设备10还包括:人脸验证模块108;
监测模块103,还用于监测是否有预定的关键事件发生,在监测到有预定的关键事件发生的情况下,触发人脸验证模块108;其中,预定的关键事件包括以下至少之一:办公设备10与用户设备20协商生成初始认证因子完成、办公设备10接收到加密输入指令、以及办公设备10识别接收到密码输入;人脸验证模块108,用于启动摄像装置采集用户的人脸图像信息,并对人脸图像信息进行人脸识别认证。
作为本实施例中一种可选的实施方式,安全控制模块107按照预定的安全策略执行相应的安全控制操作至少通过以下方式:触发通信模块101向用户设备20发送休眠指令;通信模块101,还用于向用户设备20发送休眠指令。
作为本实施例中一种可选的实施方式,办公设备10还包括:认证因子清空模块109,用于在安全控制模块107执行安全控制操作之后,删除办公设备10保存的所有第一认证因子。
通过本实施例提供的办公系统及办公设备,办公设备可以实时的对用户设备进行认证,一旦认证无法通过,则执行安全控制操作,从而保证在员工的用户设备与办公设备建立通信后始终为同一用户设备且合法用户设备在登录使用该办公设备,保护该员工的业务机密,避免无关人员在这台办公设备执行相应操作,造成信息泄露。在认证时,可以避免因丢包或时钟偏移引起的失步,办公设备可以自身纠错,确保失步后办公设备与用户设备侧的认证因子保持同步。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。
Claims (19)
1.一种办公环境中的设备认证方法,其特征在于,包括:
步骤1、办公设备与用户设备建立短距离无线通信连接;
步骤2、所述办公设备与所述用户设备协商生成初始认证因子,将所述初始认证因子作为所述办公设备当前的第一认证因子;
步骤3、所述办公设备监测是否有认证因子滚动事件和认证扫描事件发生,在监测到有认证因子滚动事件发生的情况下,执行步骤4,在监测到有认证扫描事件发生的情况下,执行步骤5;
步骤4、所述办公设备按照与所述用户设备约定的认证因子滚动方式,获取所述办公设备当前的第一认证因子的下一个第一认证因子,并将所述下一个第一认证因子作为所述办公设备当前的第一认证因子;并返回步骤3;
步骤5、所述办公设备扫描所述用户设备广播的第二认证因子,在扫描到所述用户设备广播的第二认证因子的情况下,执行步骤6;
步骤6、按照与所述用户设备约定的认证因子滚动方式,获取所述办公设备当前的第一认证因子的下1至m个第一认证因子和所述办公设备当前的第一认证因子的上1至n个第一认证因子,其中,m、n为大于1的正整数;
步骤7、将所述办公设备当前的第一认证因子、所述办公设备当前的第一认证因子的下1至m个第一认证因子以及所述办公设备当前的第一认证因子的上1至n个第一认证因子分别与所述第二认证因子进行比对,如果有一致的情况,则将与所述第二认证因子比对一致的第一认证因子作为所述办公设备当前的第一认证因子,并返回步骤3;如果没有一致的情况,则执行步骤8;
步骤8、所述办公设备按照预定的安全策略执行相应的安全控制操作;
其中:
所述按照与所述用户设备约定的认证因子滚动方式,获取所述办公设备当前的第一认证因子的下一个第一认证因子,包括:
所述办公设备与所述用户设备进行协商,得到包括多个第一认证因子的第一认证因子池,按预先协商的认证因子跳变策略从所述第一认证因子池中选择所述办公设备当前的第一认证因子的下一个第一认证因子;或者,
所述办公设备基于所述办公设备当前的第一认证因子按照与所述用户设备协商的认证因子获取策略获取所述办公设备当前的第一认证因子的下一个第一认证因子;
所述第二认证因子通过如下方式获得:
用户设备与办公设备协商生成初始认证因子,将初始认证因子作为用户设备当前的第二认证因子;用户设备在监测到有认证因子滚动事件发生的情况下,按照与办公设备约定的认证因子滚动方式,获取用户设备当前的第二认证因子的下一个第二认证因子,并将下一个第二认证因子作为用户设备当前的第二认证因子,并继续监测认证因子滚动事件,完成认证因子的滚动,其中,用户设备获取当前的第二认证因子的方式与办公设备侧获取当前的第一认证因子的方式是相同的。
2.根据权利要求1所述的方法,其特征在于,
所述办公设备当前的第一认证因子包括以下一种或多种:获取时间、获取时的累计认证因子个数以及按照与所述用户设备协商的算法生成的密钥。
3.根据权利要求1所述的方法,其特征在于,
所述认证因子滚动事件至少包括:达到预设的滚动周期,每个所述滚动周期为从所述当前的第一认证因子滚动到下一个第一认证因子间隔的第一预设时长;
所述认证扫描事件至少包括以下之一:所述办公设备与所述用户设备协商生成初始认证因子完成、接收到扫描指令、达到预设的扫描周期,其中,所述扫描周期为两次扫描之间间隔的第二预设时长。
4.根据权利要求1至3任一项所述的方法,其特征在于,
在没有扫描到所述用户设备发送的第二认证因子的情况下,所述方法还包括:
所述办公设备在预设监测门限内检测是否扫描到所述用户设备广播的第二认证因子,如果扫描到,则执行所述步骤6;如果没有扫描到,则在预设时间间隔内检测是否扫描到所述用户设备广播的第二认证因子;如果扫描到,则执行所述步骤6;如果没有扫描到,则执行步骤8。
5.根据权利要求4所述的方法,其特征在于,
在所述步骤3还包括:所述办公设备监测是否有预定的关键事件发生,在监测到有预定的关键事件发生的情况下,执行步骤9;
步骤9,所述办公设备启动摄像装置采集用户的人脸图像信息,并对所述人脸图像信息进行人脸识别认证;其中,所述预定的关键事件包括以下至少之一:所述办公设备与所述用户设备协商生成初始认证因子完成、所述办公设备接收到加密输入指令、以及所述办公设备识别接收到密码输入。
6.根据权利要求5所述的方法,其特征在于,
所述办公设备按照预定的安全策略执行相应的安全控制操作至少包括:所述办公设备向所述用户设备发送休眠指令。
7.根据权利要求6所述的方法,其特征在于,
在所述办公设备按照预定的安全策略执行相应的安全控制操作之后,所述方法还包括:
所述办公设备删除本地保存的所有第一认证因子。
8.根据权利要求7所述的方法,其特征在于,在所述办公设备与所述用户设备协商生成初始认证因子之后,所述方法还包括:
所述用户设备进入休眠模式,并在进入所述休眠模式后,每隔预定唤醒周期唤醒一次,在唤醒期间,广播所述用户设备当前的第二认证因子。
9.一种办公设备,其特征在于,包括:
通信模块,用于与用户设备建立短距离无线通信连接;
认证因子协商模块,用于与所述用户设备协商生成初始认证因子,将所述初始认证因子作为所述办公设备当前的第一认证因子,触发监测模块工作;
所述监测模块,用于监测是否有认证因子滚动事件和认证扫描事件发生,在监测到有认证因子滚动事件发生的情况下,触发认证因子滚动模块工作;在监测到有认证扫描事件发生的情况下,触发扫描检测模块工作;
所述认证因子滚动模块,用于按照与所述用户设备约定的因子滚动方式,获取所述办公设备当前的第一认证因子的下一个第一认证因子,并将所述下一个第一认证因子作为所述办公设备当前的第一认证因子,并触发所述监测模块;
所述扫描检测模块,用于扫描所述用户设备广播的第二认证因子,在扫描到所述用户设备广播的第二认证因子的情况下,触发认证模块;
所述认证模块,用于按照与所述用户设备约定的认证因子滚动方式,获取所述办公设备当前的第一认证因子的下1至m个第一认证因子和所述办公设备当前的第一认证因子的上1至n个第一认证因子,其中,m、n为大于1的正整数;将所述办公设备当前的第一认证因子、所述办公设备当前的第一认证因子的下1至m个第一认证因子以及所述办公设备当前的第一认证因子的上1至n个第一认证因子分别与所述第二认证因子进行比对,如果有一致的情况,则将与所述第二认证因子比对一致的第一认证因子作为所述办公设备当前的第一认证因子,并触发所述监测模块;如果没有一致的情况,则触发安全控制模块;
所述安全控制模块,用于按照预定的安全策略执行相应的安全控制操作;
其中:
所述认证因子滚动模块按照以下方式获取所述办公设备当前的第一认证因子的下一个第一认证因子:
与所述用户设备进行协商,得到包括多个第一认证因子的第一认证因子池,按照预先协商的认证因子跳变策略从所述第一认证因子池中选择所述办公设备当前的第一认证因子的下一个第一认证因子;或者,
基于所述办公设备当前的第一认证因子按照与所述用户设备协商的认证因子获取策略获取所述办公设备当前的第一认证因子的下一个第一认证因子;
所述第二认证因子通过如下方式获得:
用户设备与办公设备协商生成初始认证因子,将初始认证因子作为用户设备当前的第二认证因子;用户设备在监测到有认证因子滚动事件发生的情况下,按照与办公设备约定的认证因子滚动方式,获取用户设备当前的第二认证因子的下一个第二认证因子,并将下一个第二认证因子作为用户设备当前的第二认证因子,并继续监测认证因子滚动事件,完成认证因子的滚动,其中,用户设备获取当前的第二认证因子的方式与办公设备侧获取当前的第一认证因子的方式是相同的。
10.根据权利要求9所述的办公设备,其特征在于,
所述办公设备当前的第一认证因子包括以下一种或多种:获取时间、获取时的累计认证因子个数以及按照与所述用户设备协商的算法生成的密钥。
11.根据权利要求9所述的办公设备,其特征在于,
所述认证因子滚动事件至少包括:达到预设的滚动周期,每个所述滚动周期为从所述当前的第一认证因子滚动到下一个第一认证因子间隔的第一预设时长;
所述认证扫描事件至少包括以下之一:所述办公设备与所述用户设备协商生成初始认证因子完成、接收到扫描指令、达到预设的扫描周期,其中,所述扫描周期为两次扫描之间间隔的第二预设时长。
12.根据权利要求11所述的办公设备,其特征在于,
所述扫描检测模块,还用于在没有扫描到所述用户设备广播的第二认证因子的情况下,在预设监测门限内检测是否扫描到所述用户设备广播的第二认证因子,如果扫描到,则触发所述认证模块;如果没有扫描到,在预设时间间隔内检测是否扫描到所述用户设备广播的第二认证因子;如果扫描到,则触发所述认证模块;如果没有扫描到,则触发所述安全控制模块。
13.根据权利要求12所述的办公设备,其特征在于,还包括:人脸验证模块;
所述监测模块,还用于监测是否有预定的关键事件发生,在监测到有预定的关键事件发生的情况下,触发所述人脸验证模块;其中,所述预定的关键事件包括以下至少之一:所述办公设备与所述用户设备协商生成初始认证因子完成、所述办公设备接收到加密输入指令、以及所述办公设备识别接收到密码输入;
所述人脸验证模块,用于启动摄像装置采集用户的人脸图像信息,并对所述人脸图像信息进行人脸识别认证。
14.根据权利要求9至13任一项所述的办公设备,其特征在于,
所述安全控制模块按照预定的安全策略执行相应的安全控制操作至少通过以下方式:触发所述通信模块向所述用户设备发送休眠指令;
所述通信模块,还用于向所述用户设备发送所述休眠指令。
15.根据权利要求9至13任一项所述的办公设备,其特征在于,还包括:
认证因子清空模块,用于在所述安全控制模块执行所述安全控制操作之后,删除所述办公设备保存的所有第一认证因子。
16.一种办公系统,其特征在于,包括:用户设备和如权利要求9至15任一项所述的办公设备,其中:
所述用户设备,用于与所述办公设备建立短距离无线通信连接后,与所述办公设备协商生成初始认证因子,将所述初始认证因子作为所述用户设备当前的第二认证因子;还用于广播所述用户设备当前的第二认证因子;还用于监测是否有认证因子滚动事件发生,在监测到有认证因子滚动事件发生的情况下,按照与所述办公设备约定的认证因子滚动方式,获取所述用户设备当前的第二认证因子的下一个第二认证因子,并将所述下一个第二认证因子作为所述用户设备当前的第二认证因子。
17.根据权利要求16所述的办公系统,其特征在于,
所述用户设备,还用于在接收到所述办公设备发送的休眠指令的情况下,进入休眠状态。
18.根据权利要求16所述的办公系统,其特征在于,
所述用户设备,还用于在与所述办公设备协商生成初始认证因子后,进入休眠模式,并在进入所述休眠模式后,每隔预定唤醒周期唤醒一次,在唤醒期间,广播所述用户设备当前的第二认证因子。
19.根据权利要求16所述的办公系统,其特征在于,
所述用户设备的认证因子滚动事件至少包括:达到预设的滚动周期,其中,所述滚动周期的预设时长与所述办公设备的滚动周期的预设时长相同。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910560503.7A CN112153642B (zh) | 2019-06-26 | 2019-06-26 | 一种办公环境中的设备认证方法、办公设备及系统 |
PCT/CN2020/093217 WO2020259202A1 (zh) | 2019-06-26 | 2020-05-29 | 一种办公环境中的设备认证方法、办公设备及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910560503.7A CN112153642B (zh) | 2019-06-26 | 2019-06-26 | 一种办公环境中的设备认证方法、办公设备及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112153642A CN112153642A (zh) | 2020-12-29 |
CN112153642B true CN112153642B (zh) | 2022-02-22 |
Family
ID=73869786
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910560503.7A Active CN112153642B (zh) | 2019-06-26 | 2019-06-26 | 一种办公环境中的设备认证方法、办公设备及系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN112153642B (zh) |
WO (1) | WO2020259202A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FI130737B1 (fi) * | 2022-01-14 | 2024-02-20 | Framery Oy | Detektorin määrittelemän tilan kommunikaation ohjaus |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101872392A (zh) * | 2009-04-23 | 2010-10-27 | 陶梦曦 | 一种计算机动态安全认证方法 |
CN102047708A (zh) * | 2008-05-28 | 2011-05-04 | 微软公司 | 用于提供并管理数字电话以便向网络认证的技术 |
WO2011054044A1 (en) * | 2009-11-06 | 2011-05-12 | Emue Holdings Pty Ltd | A method and a system for validating identifiers |
CN102685330A (zh) * | 2012-05-15 | 2012-09-19 | 江苏中科梦兰电子科技有限公司 | 一种以手机为鉴权工具登录操作系统的方法 |
CN103488932A (zh) * | 2013-10-16 | 2014-01-01 | 重庆邮电大学 | 一种移动设备与个人电脑的桌面安全互信系统及其实现方法 |
CN104363226A (zh) * | 2014-11-12 | 2015-02-18 | 深圳市腾讯计算机系统有限公司 | 一种登录操作系统的方法、装置及系统 |
EP2925037A1 (en) * | 2014-03-28 | 2015-09-30 | Nxp B.V. | NFC-based authorization of access to data from a third party device |
CN105681328A (zh) * | 2016-02-26 | 2016-06-15 | 安徽华米信息科技有限公司 | 控制电子设备的方法、装置及电子设备 |
CN105744468A (zh) * | 2016-02-03 | 2016-07-06 | 重庆邮电大学 | 基于蓝牙通信技术的出勤监控方法及系统 |
CN105893802A (zh) * | 2016-03-29 | 2016-08-24 | 四川效率源信息安全技术股份有限公司 | 一种基于蓝牙锁定/解锁电脑屏幕的方法 |
CN106792436A (zh) * | 2016-11-21 | 2017-05-31 | 深圳市金立通信设备有限公司 | 一种切换模式的方法、第一终端及第二终端 |
CN108322507A (zh) * | 2017-12-28 | 2018-07-24 | 天地融科技股份有限公司 | 一种利用安全设备执行安全操作的方法及系统 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005038608A2 (en) * | 2003-10-15 | 2005-04-28 | Koolspan, Inc. | Mass subscriber management |
CN101102192A (zh) * | 2007-07-18 | 2008-01-09 | 北京飞天诚信科技有限公司 | 认证设备、方法和系统 |
AU2009282791A1 (en) * | 2008-08-20 | 2010-02-25 | Wherepro, Llc | Data packet generator for generating passcodes |
US9425968B2 (en) * | 2013-11-15 | 2016-08-23 | Landis+Gyr Innovations, Inc. | System and method for updating an encryption key across a network |
CN107222306A (zh) * | 2017-01-22 | 2017-09-29 | 天地融科技股份有限公司 | 一种密钥更新方法、装置及系统 |
CN107733872B (zh) * | 2017-09-18 | 2022-03-25 | 北京小米移动软件有限公司 | 信息打印方法及装置 |
-
2019
- 2019-06-26 CN CN201910560503.7A patent/CN112153642B/zh active Active
-
2020
- 2020-05-29 WO PCT/CN2020/093217 patent/WO2020259202A1/zh active Application Filing
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102047708A (zh) * | 2008-05-28 | 2011-05-04 | 微软公司 | 用于提供并管理数字电话以便向网络认证的技术 |
CN101872392A (zh) * | 2009-04-23 | 2010-10-27 | 陶梦曦 | 一种计算机动态安全认证方法 |
WO2011054044A1 (en) * | 2009-11-06 | 2011-05-12 | Emue Holdings Pty Ltd | A method and a system for validating identifiers |
CN102685330A (zh) * | 2012-05-15 | 2012-09-19 | 江苏中科梦兰电子科技有限公司 | 一种以手机为鉴权工具登录操作系统的方法 |
CN103488932A (zh) * | 2013-10-16 | 2014-01-01 | 重庆邮电大学 | 一种移动设备与个人电脑的桌面安全互信系统及其实现方法 |
EP2925037A1 (en) * | 2014-03-28 | 2015-09-30 | Nxp B.V. | NFC-based authorization of access to data from a third party device |
CN104363226A (zh) * | 2014-11-12 | 2015-02-18 | 深圳市腾讯计算机系统有限公司 | 一种登录操作系统的方法、装置及系统 |
CN105744468A (zh) * | 2016-02-03 | 2016-07-06 | 重庆邮电大学 | 基于蓝牙通信技术的出勤监控方法及系统 |
CN105681328A (zh) * | 2016-02-26 | 2016-06-15 | 安徽华米信息科技有限公司 | 控制电子设备的方法、装置及电子设备 |
CN105893802A (zh) * | 2016-03-29 | 2016-08-24 | 四川效率源信息安全技术股份有限公司 | 一种基于蓝牙锁定/解锁电脑屏幕的方法 |
CN106792436A (zh) * | 2016-11-21 | 2017-05-31 | 深圳市金立通信设备有限公司 | 一种切换模式的方法、第一终端及第二终端 |
CN108322507A (zh) * | 2017-12-28 | 2018-07-24 | 天地融科技股份有限公司 | 一种利用安全设备执行安全操作的方法及系统 |
Non-Patent Citations (2)
Title |
---|
"A very simple user access control technique through smart device authentication using Bluetooth communication";Sohum Misra;《 International Conference on Electronics, Communication and Instrumentation (ICECI)》;20140317;全文 * |
基于蓝牙模块的双因子身份认证机制的设计与实现;祁树壮;《中国优秀硕士学位论文全文数据库 信息科技辑》;20160715;全文 * |
Also Published As
Publication number | Publication date |
---|---|
WO2020259202A1 (zh) | 2020-12-30 |
CN112153642A (zh) | 2020-12-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4679205B2 (ja) | 認証システム、装置、方法、プログラム、および通信端末 | |
US9288677B2 (en) | Communication system, communication apparatus and method for setting communication parameters of the apparatus | |
CN106780901A (zh) | 一种基于手机mac地址的智能门锁系统及其应用 | |
EP3941014A1 (en) | Digital key-based identity authentication method, terminal apparatus, and medium | |
CN104727658B (zh) | 智能锁、智能钥匙及其控制方法及装置 | |
CN109920100B (zh) | 一种智能锁开锁方法及系统 | |
CN104751032A (zh) | 身份验证方法及装置 | |
CN109344588A (zh) | 安全认证方法及终端设备 | |
CN108322507B (zh) | 一种利用安全设备执行安全操作的方法及系统 | |
KR20120099782A (ko) | 본인 인증 방법, 본인 인증 시스템 및 휴대형 통신단말기 | |
CN109472903A (zh) | 一种蓝牙门禁控制方法及其装置 | |
CN112153642B (zh) | 一种办公环境中的设备认证方法、办公设备及系统 | |
CN108337235B (zh) | 一种利用安全设备执行安全操作的方法及系统 | |
CN111405016B (zh) | 用户信息获取方法及相关设备 | |
EP2907330B1 (en) | Method and apparatus for disabling algorithms in a device | |
CN112149099B (zh) | 一种办公安全控制方法、安全键盘及办公系统 | |
CN112149083B (zh) | 一种设备认证方法、安全键盘及办公系统 | |
CN112152810B (zh) | 一种安全控制方法、装置及系统 | |
CN112152960B (zh) | 一种办公系统安全控制方法、装置及系统 | |
CN112149096A (zh) | 一种办公认证方法、安全键盘及办公系统 | |
CN106792687B (zh) | 移动终端wifi网络的连接方法及系统 | |
CN112149082A (zh) | 一种办公系统安全控制方法、装置及系统 | |
CN112149098A (zh) | 一种办公系统安全控制方法、装置及系统 | |
CN109067798B (zh) | 反向互联的认证方法和装置 | |
CN113038464B (zh) | 一种信息传输方法及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |