CN112580017A - 认证方法及装置、电子设备、存储介质 - Google Patents

Abstract

本申请实施例公开了一种认证方法，应用于终端，该方法包括：获取访问目标资源的身份信息，并接收认证设备发送的认证信息；终端通过目标硬件接口与认证设备连接；通过认证信息对身份信息进行认证，得到认证结果；在认证结果表征身份信息为目标身份信息的情况下，确认终端能够访问目标资源。本申请实施例还同时公开了一种认证装置、电子设备和计算机可读存储介质。

Description

认证方法及装置、电子设备、存储介质

技术领域

本申请涉及计算机技术领域，尤其涉及一种认证方法及装置、电子设备、存储介质。

背景技术

近年来，随着互联网的飞速发展，移动办公场景下数据流转的安全管控也变得越来越重要。通常情况下，终端可以通过安全沙箱实现个人数据和企业数据的隔离，对企业数据采用高强度加密手段进行防护，这就保证了即使数据被非法获取也无法获取明文信息。

现有终端数据保护的方案一般通过部署统一端点管理(Unified EndpointManagement，UEM)服务端来实现。服务端用于接入沙箱时的认证、沙箱策略的配置和发送、企业内网资源的代理访问等。终端用户在使用沙箱时，需要通过因特网先向服务端进行认证，认证成功后才能访问沙箱资源，使用沙箱提供安全服务。

但在终端无法连接到服务端时，即终端处于离线状态时，终端用户就无法向服务端进行认证，导致终端用户无法进入沙箱访问沙箱资源，也无法使用沙箱提供的安全服务。

发明内容

本申请实施例提供了一种认证方法及装置、电子设备、存储介质。

本申请实施例提供了一种认证方法，应用于终端，所述方法包括：

获取访问目标资源的身份信息，并接收认证设备发送的认证信息；所述终端通过目标硬件接口与所述认证设备连接；

通过所述认证信息对所述身份信息进行认证，得到认证结果；

在所述认证结果表征所述身份信息为目标身份信息的情况下，确认所述终端能够访问所述目标资源。

本申请实施例还提供了一种认证方法，应用于认证设备，所述方法包括：

在通过目标硬件接口与终端连接的情况下，向所述终端发送认证信息，以使得所述终端基于所述认证信息对所述终端获取的访问目标资源的身份信息进行认证，得到认证结果，并在所述认证结果表征所述身份信息为目标身份信息的情况下，确认所述终端能够访问所述目标资源。

本申请实施例还提供了一种认证装置，应用于终端，所述装置包括：获取模块、认证模块和处理模块；

所述获取模块，用于获取访问目标资源的身份信息，并接收认证设备发送的认证信息；所述终端通过目标硬件接口与所述认证设备连接；

所述认证模块，用于通过所述认证信息对所述身份信息进行认证，得到认证结果；

所述处理模块，用于在所述认证结果表征所述身份信息为目标身份信息的情况下，确认所述终端能够访问所述目标资源。

本申请实施例还提供了一种认证装置，应用于认证设备，所述装置包括：发送模块；

所述发送模块，用于在通过目标硬件接口与终端连接的情况下，向所述终端发送认证信息，以使得所述终端基于所述认证信息对所述终端获取的访问目标资源的身份信息进行认证，得到认证结果，并在所述认证结果表征所述身份信息为目标身份信息的情况下，确认所述终端能够访问所述目标资源。

本申请实施例还提供了一种电子设备，所述电子设备包括：存储器和处理器；其中，

所述存储器，用于存储能够在所述处理器上运行的计算机程序；

所述处理器，用于在运行所述计算机程序时，执行如上述实施例中的任一项所述的方法。

本申请实施例还提供了一种计算机存储介质，所述计算机存储介质存储有功能应用实现程序，所述功能应用实现程序被至少一个处理器执行时实现如上述实施例中的任一项所述的方法。

本申请的实施例所提供的认证方法，通过获取访问目标资源的身份信息，并接收认证设备发送的认证信息；认证设备通过目标硬件接口与终端连接；通过认证信息对身份信息进行认证，得到认证结果；在认证结果表征身份信息为目标身份信息的情况下，确认终端能够访问目标资源。如此，将认证设备通过目标硬件接口插入终端，通过认证设备中存储的认证信息对用户的身份信息进行认证，实现了对访问沙箱的用户的身份认证，这样，既可以满足访问沙箱的用户本身的校验与终端用户的登录相互独立，又保证了访问沙箱的用户身份的合法性和安全性，又可以在离线模式下使用沙箱提供的安全服务，可以让用户的碎片化时间利用率更大化，不再依赖网络环境，依然能够使用沙箱提供的安全服务。认证设备即插即用，让用户在进入沙箱的体验更好，整个使用过程更安全、更便捷。

附图说明

图1为本申请实施例提供的认证方法中UEM的框架结构示意图；

图2为本申请实施例提供的认证方法的实现流程示意图；

图3为本申请实施例提供的认证方法中启用沙箱的产品侧示意图；

图4为本申请实施例提供的认证方法的又一实现流程示意图；

图5为本申请实施例提供的认证方法的再一实现流程示意图；

图6为本申请实施例提供的认证方法中配置认证设备的流程示意图；

图7为本申请实施例提供的认证方法中认证过程的流程示意图；

图8为本申请实施例提供的认证方法中验证设备标识的产品侧示意图；

图9为本申请实施例提供的认证方法的时序图；

图10为本申请实施例提供的认证方法中注销过程的流程示意图；

图11为本申请实施例提供的认证装置的组成结构示意图；

图12为本申请实施例提供的认证装置的又一组成结构示意图；

图13为本申请实施例提供的电子设备的实体示意图。

具体实施方式

下面结合附图及实施例对本发明再作进一步详细的描述。

这里，对本申请实施例涉及的技术名词进行简单的说明。

统一端点管理(Unified Endpoint Management，UEM)：UEM是一种基于零信任架构的数据保护方案，覆盖包括Windows、Mac、iOS、Android等系统的全部终端。这里的终端可以以各种形式来实施，本申请实施例中描述的终端可以包括笔记本电脑、掌上电脑、手机、平板电脑、个人数字助理(Personal Digital Assistant，PDA)、便捷式媒体播放器(PortableMedia Player，PMP)、导航装置、可穿戴设备、智能手环、计步器等移动终端，以及诸如数字TV、台式计算机等固定终端。

如图1所示，服务端可以是UEM服务端，UEM服务端用于提供接入沙箱时的认证、沙箱策略的配置和发送、企业内网资源的代理访问等功能。终端通过因特网向UEM服务端进行认证，认证成功后，即可登陆UEM服务端进入沙箱访问沙箱资源以及企业内网资源，并使用沙箱提供的安全服务。

沙箱：沙箱是一个高安全性的运行环境，也被称为工作空间。沙箱可以通过加密技术，使得软件运行在操作系统受限制的环境中，由于软件在受限制的环境中运行，即使一个闯入软件的入侵者也不能无限制地访问操作系统提供设施，获得软件控制权的黑客造成的换失也是有限的。

沙箱策略：在沙箱中，为了确保数据的安全，设定对文件的创建、复制、粘贴、打印等行为的特有约束。

沙箱资源，进入沙箱后才能访问的资源。需要说明的是，沙箱资源存储在终端本地，在沙箱外无法查看，也无法通过复制粘贴等外发的方式将沙箱资源泄露出去，更无法通过USB接入外设的方式泄露沙箱资源。

D-key：是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用D-key内置的密码算法实现对用户身份的认证。

D-key身份认证：D-key身份认证是一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。

目前，现有的UEM数据保护方案中，针对终端无法连接到服务端(终端离线)的场景，主要有以下两种情况：

1)终端离线，同时终端用户通过服务端接入的沙箱未注销，此时终端用户仍然能进入沙箱访问沙箱资源，沙箱提供的安全服务依然可以使用。但没有针对进入沙箱的用户有效的认证方式，而是直接复用终端的登录密码来校验进入沙箱的用户，沙箱的安全无法保证。

2)终端离线，同时终端用户通过服务端接入的沙箱注销，此时终端用户无法进入沙箱访问沙箱资源，进而无法继续使用沙箱提供的安全服务。

针对第一种情况，其存在的问题在于，如果直接使用终端的登录密码来校验身份进入沙箱，会存在不安全的问题。例如，在终端上登录了沙箱，并进入沙箱处理了一些重要的文件，如果仅仅只校验终端自身的登录密码就可以访问沙箱资源，无法有效保证进入沙箱的用户的身份，因此这种方式虽然可以保证终端离线的场景下访问沙箱资源，使用沙箱提供的安全服务，但是安全性较弱，存在隐患。

针对第二种情况，其存在的问题在于，如果直接禁止进入沙箱，就意味着一些碎片化的办公时间无法利用。例如，在高铁上，由于网络信号差，终端无法跟服务端保持时刻在线，可能时常处于离线状态，一名销售人员想将已经写了一半的标书写完，但是由于无法进入沙箱，无法访问沙箱资源来获取之前保存在沙箱中的已经完成的部分，也无法使用沙箱提供的安全服务。

为了解决现有技术中存在的上述问题，本申请实施例提供了一种认证方法，应用于终端，如图2所示，该方法包括：

S201、获取访问目标资源的身份信息，并接收认证设备发送的认证信息；终端通过目标硬件接口与认证设备连接。

这里，目标资源即沙箱资源，可以是沙箱内的数据。需要说明的是，沙箱资源是本地化的、不依赖于网络环境的资源，存储于终端。终端用户进入沙箱后，就可以访问沙箱资源，并使用沙箱提供的所有安全服务。沙箱提供的安全服务可以是沙箱内文件隔离、文件加密、剪切板隔离、进程隔离、注册表隔离、屏幕水印、红外和蓝牙设备隔离等数据保护服务。

身份信息可以是终端用户输入的用于通过因特网向服务端进行认证，以进入沙箱访问沙箱资源的在线登陆信息。

需要说明的是，身份信息还可以包括，在用户通过在线登陆信息向服务端进行认证后，服务端根据在线登陆信息生成的在线认证文件，该在线认证文件和在线登陆信息，在用户完成一次在线登陆后就保存在终端本地，终端可以根据需要随时获取。

还需要说明的是，该在线认证文件在用户通过在线登陆信息登陆服务端后生成，每登陆一次，服务端可以生成一个新的在线认证文件发送给终端，终端保存新的在线认证文件并删除之前保存的在线认证文件。

基于此，终端获取访问目标资源的身份信息可以分为两种情况。一种情况是终端与服务端连接，即在线模式，这时，身份信息包括在线登陆信息，在线登陆信息用于接入服务端，以通过服务端进入沙箱访问沙箱资源，并使用沙箱提供的安全服务。另一种情况是终端与服务端断开连接，即离线模式，这时，终端通过目标硬件接口与认证设备连接，这时，身份信息包括在线登陆信息和在线认证文件，在线登陆信息和在线认证文件用于离线认证进入沙箱，即在离线模式下通过认证设备进入沙箱以访问目标资源，并使用沙箱提供的安全服务。

认证信息可以是，服务端写入认证设备中的离线登陆信息，该离线登录信息用于接入服务端，或是对身份信息中的在线登录信息进行认证，以离线访问沙箱。

需要说明的是，认证信息还可以包括，认证设备根据在线认证文件生成的离线认证文件。

此时，终端接收认证设备发送的认证信息同样分为两种情况，一种情况是终端与服务端连接，即在线模式，这时终端通过目标硬件接口与认证设备连接，服务端验证认证信息，这时，认证信息包括离线登陆信息，离线登陆信息用于接入服务端，以通过服务端进入沙箱访问沙箱资源，并使用沙箱提供的安全服务。另一种情况是终端与服务端断开连接，即离线模式，终端通过目标硬件接口与认证设备连接，终端通过认证信息对身份信息进行验证，以进入沙箱，这时，认证信息包括离线登陆信息和离线认证文件。也就是说，终端在离线模式下通过认证设备进入沙箱，访问沙箱资源，使用沙箱提供的安全服务。

认证设备通过目标硬件接口与终端连接指的是，通过将认证设备插入终端的方式实现认证设备与终端的连接，以通过认证信息对身份信息进行认证。这里的目标硬件接口，可以是通用串行总线(Universal Serial Bus，USB)接口、高清多媒体接口(HighDefinition Multimedia Interface，HDMI)、网线接口等用于数据交互的接口。

S202、通过认证信息对身份信息进行认证，得到认证结果。

基于上述描述，这里终端通过认证信息对身份信息进行认证，得到认证结果，同样包括两种情况：在线模式下，服务端对认证设备中的离线登陆信息进行认证，或是服务端对终端保存的在线登录信息进行认证，以接入服务端进入沙箱访问沙箱资源，并使用沙箱提供的安全服务。离线模式下，终端通过离线登陆信息和离线认证文件对在线登陆信息和在线认证文件进行认证，以进入沙箱访问沙箱资源，并使用沙箱提供的安全服务，即终端在离线模式下通过认证设备进入沙箱。

这里的认证结果，可以包括认证成功和认证失败，认证成功表征身份信息为目标身份信息；认证失败表征身份信息不为目标身份信息。认证失败可以包括登陆信息不匹配和认证文件不匹配，相应地，会在不同情况下输出对应的提示信息。

S203、在认证结果表征身份信息为目标身份信息的情况下，确认终端能够访问目标资源。

基于上述描述，这里在认证结果表征身份信息为目标身份信息时，同样存在两种情况：即在线模式下，认证成功后，终端直接通过服务端进入沙箱访问沙箱资源，并使用沙箱提供的安全服务，无需获取输入的账号密码来接入服务端；离线模式下，认证成功后，终端通过认证设备进入沙箱，这时，终端可以访问沙箱资源，并使用沙箱提供的安全服务。这里，在认证结果表征身份信息不为目标身份信息时，也就是说，当前期望进入沙箱的终端用户不是服务端授权的终端用户，因此，无法访问沙箱。

由此可见，本申请实施例所提供的认证方法，将认证设备通过目标硬件接口插入终端，通过认证设备中存储的认证信息对用户的身份信息进行认证，实现了对访问沙箱的用户的身份认证，这样，既可以满足访问沙箱的用户本身的校验与终端用户的登录相互独立，又保证了访问沙箱的用户身份的合法性和安全性，又可以在离线模式下使用沙箱提供的安全服务，可以让用户的碎片化时间利用率更大化，不再依赖网络环境，依然能够使用沙箱提供的安全服务。认证设备即插即用，让用户在进入沙箱的体验更好，整个使用过程更安全、更便捷。

基于上述实施例，在S203中的确认终端能够访问目标资源之后，还可以包括以下步骤：

S204、获取访问策略，根据访问策略访问目标资源。

这里，在确认终端能够访问目标资源之后，终端会获取相应的访问策略，并根据访问策略提供的权限访问目标资源。

需要说明的是，访问策略可以是沙箱策略，沙箱策略指的是在沙箱中，为了确保数据的安全，设定对文件的创建、复制、粘贴、打印等行为的特有约束。需要注意的是，沙箱认证成功后，除了文件隔离(即沙箱内的文件不会显示在沙箱外)和文件加密(沙箱内的文件被加密存储)是沙箱内置的，无需配置沙箱策略即可生效。其余的沙箱策略，均按照终端获取到的访问策略为准。

这里，获取访问策略同样包括两种情况，一种是在线模式下，终端可以直接从服务端获取在线访问策略来访问沙箱资源，并使用沙箱提供的安全服务；另一种是离线模式下，终端无法连接到服务端，也就无法接收服务端发送的在线访问策略，这时，终端可以通过获取上一次在线登陆时保存的访问策略，即离线访问策略，来访问沙箱资源，并使用沙箱提供的安全服务。也就是说，在离线模式下，终端仅可以根据上一次在线登陆的时获取的离线访问策略来访问沙箱资源，并使用沙箱提供的安全服务。

基于上述实施例，S201中的获取访问目标资源的身份信息，可以通过以下步骤实现：

S2011、检测终端与服务端的连接状态；在终端与服务端断开连接的情况下，获取访问目标资源的身份信息。

这里，获取访问目标资源的身份信息包括检测终端与服务端的连接状态，在终端与服务端断开连接的情况下，即在离线模式下，获取终端本地保存的身份信息，这里的身份信息包括在线登陆信息和/或在线认证文件。

基于上述实施例，在S201中的获取访问目标资源的身份信息之前，还可以包括以下步骤：

S2012、在终端与服务端连接的情况下，获取输入的在线登陆信息，并将在线登陆信息发送至服务端，以使服务端基于在线登录信息进行认证处理，得到在线认证文件和访问策略；

S2013、接收并保存服务端发送的在线认证文件和访问策略，其中，身份信息包括在线登陆信息和/或在线认证文件。

这里，需要说明的是，在进行沙箱的离线认证时需要有两个前置条件：

1)用户在进行沙箱的离线认证前，需要进行过一次沙箱的在线认证，即终端通过在线登陆信息登陆过服务端，并根据服务端发送的访问策略访问过目标资源。并且此时终端上需要保留在线登录后生成的在线认证文件和访问策略，如果在线认证文件被破坏或者被删除，此时则会提示离线认证失败。

2)既然是进行沙箱的离线认证，此时如果终端并没有启用沙箱，则也无法完成离线认证。

基于此，在获取访问目标资源的身份信息之前，需要终端通过在线登陆信息登陆过服务端，并进入过沙箱，以使服务端基于在线登录信息进行认证处理，得到在线认证文件和访问策略，并将在线认证文件和访问策略发送至终端，与在线登陆信息一起保存在终端本地，供终端离线登陆沙箱时使用。其中，身份信息包括在线登陆信息和/或在线认证文件，用于沙箱的在线认证或离线认证。

此外，如图3所示，在配置沙箱时，服务端配置沙箱为只要通过终端，就默认开启沙箱。

基于上述实施例，S201中的接收认证设备发送的认证信息，可以通过以下步骤实现：

S2014、向认证设备发送在线认证文件，以使认证设备基于在线认证文件生成离线认证文件；

这里，离线认证文件是由认证设备生成，并由认证设备发送给终端。认证设备先获取终端本地保存的在线认证文件，通过认证设备中保存的密钥对在线认证文件进行加密处理后生成离线认证文件，再发送至终端进行验证。

S2015、接收认证设备发送的离线认证文件；认证信息包括离线登陆信息和/或离线认证文件。

这里，认证设备通过目标硬件接口与终端连接后，认证设备会接收终端发送的在线认证文件，再根据认证设备中保存的密钥对在线认证文件进行处理，生成离线认证文件，并将离线认证文件和认证设备中保存的离线登陆信息发送至终端，以使终端通过认证信息对身份信息进行认证。终端接收认证设备发送的离线认证文件，认证信息包括离线登陆信息和/或离线认证文件，并根据认证信息对身份信息进行认证。

基于上述实施例，S202中通过认证信息对身份信息进行认证，得到认证结果，可以通过以下步骤实现：

S2021、将离线登陆信息与在线登陆信息进行匹配；

S2022、在离线登陆信息与在线登陆信息匹配的情况下，将离线认证文件与在线认证文件进行匹配，得到认证结果。

这里，终端在获取了身份信息和认证信息之后，会通过认证信息对身份信息进行认证，这里，同样分为两种情况。在线模式下，终端直接通过离线登录信息或在线登陆信息接入服务端，即可进入沙箱，访问沙箱资源，并使用沙箱提供的安全服务。离线模式下，终端首先将身份信息中的在线登陆信息与认证信息中的离线登陆信息进行匹配，匹配成功时，说明认证设备中保存的离线登陆信息是服务端授权了离线访问权限的登陆信息；进一步，在离线登陆信息与在线登陆信息匹配的情况下，终端将离线认证文件与在线认证文件进行匹配，得到认证结果。这里的离线认证文件是根据认证设备中的密钥，以及从终端获取的在线认证文件在认证设备中生成的，在离线认证文件与在线认证文件匹配成功时，得到表征身份信息为目标身份信息的认证结果。进而，确认终端能够访问沙箱资源，并使用沙箱提供的安全服务。即终端能够通过认证设备离线登陆沙箱，访问沙箱资源，并使用沙箱提供的安全服务。

需要说明的是，在终端通过认证设备接入沙箱后，终端会判断当前终端是离线接入沙箱的还是在线接入沙箱的，并在离线接入沙箱时将当前终端标记为离线登陆终端，在线接入沙箱时将当前终端标记为在线登陆终端，用以在终端与认证设备断开连接时，拒绝离线登陆终端进入沙箱继续访问沙箱资源。

基于上述实施例，在S203中确认终端能够访问目标资源之后，还可以包括以下步骤：

S205、监测终端与认证设备的连接状态；

S206、若终端与认证设备处于断开连接状态，检测终端是否为离线登陆终端；

S207、在终端为离线登陆终端的情况下，确认拒绝访问所述目标资源。

这里，在确认终端能够访问目标资源之后，终端会根据获取到的访问策略访问目标资源，并实时监测终端与认证设备的连接状态，在终端与认证设备断开连接的情况下，判断当前终端是否为离线登陆终端，在当前终端为离线登陆终端时，拒绝当前终端进入沙箱继续访问沙箱资源。如果当前终端不是离线登陆终端，在终端与认证设备断开连接的情况下，终端仍可以进入沙箱继续访问沙箱资源。

由此可见，本申请实施例所提供的认证方法，将认证设备通过目标硬件接口插入终端，通过认证设备中存储的认证信息对用户的身份信息进行认证，实现了对访问沙箱的用户的身份认证，这样，既可以满足访问沙箱的用户本身的校验与终端用户的登录相互独立，又保证了访问沙箱的用户身份的合法性和安全性，又可以在离线模式下使用沙箱提供的安全服务，可以让用户的碎片化时间利用率更大化，不再依赖网络环境，依然能够使用沙箱提供的安全服务。认证设备即插即用，让用户在进入沙箱的体验更好，即拔即注销，让整个使用过程更安全、更便捷。

本发明又一实施例提供了一种认证方法，应用于认证设备，如图4所示，该方法包括：

S401、在通过目标硬件接口与终端连接的情况下，向终端发送认证信息，以使得终端基于认证信息对终端获取的访问目标资源的身份信息进行认证，得到认证结果，并在认证结果表征身份信息为目标身份信息的情况下，确认终端能够访问目标资源。

这里的目标硬件接口，可以是USB接口、HDMI、网线接口等用于数据交互的接口。

基于上述描述，终端获取访问目标资源的身份信息可以分为两种情况。一种情况是终端与服务端连接，即在线模式，这时，身份信息包括在线登陆信息，在线登陆信息用于接入服务端，以通过服务端进入沙箱访问沙箱资源，并使用沙箱提供的安全服务。另一种情况是终端与服务端断开连接，即离线模式，这时，终端通过目标硬件接口与认证设备连接，这时，身份信息包括在线登陆信息和在线认证文件，在线登陆信息和在线认证文件用于离线认证进入沙箱，即在离线模式下通过认证设备进入沙箱以访问目标资源，并使用沙箱提供的安全服务。

终端接收认证设备发送的认证信息同样分为两种情况，一种情况是终端与服务端连接，即在线模式，这时终端通过目标硬件接口与认证设备连接，服务端验证认证信息，这时，认证信息包括离线登陆信息，离线登陆信息用于接入服务端，以通过服务端进入沙箱访问沙箱资源，并使用沙箱提供的安全服务。另一种情况是终端与服务端断开连接，即离线模式，终端通过目标硬件接口与认证设备连接，终端通过认证信息对身份信息进行验证，以进入沙箱，这时，认证信息包括离线登陆信息和离线认证文件。也就是说，终端在离线模式下通过认证设备进入沙箱，访问沙箱资源，使用沙箱提供的安全服务。

基于上述实施例，在S401向终端发送认证信息之前，还可以包括以下步骤：

S400、在认证设备与服务端连接的情况下，接收服务端发送的离线登陆信息和密钥。

这里，通过认证设备进行沙箱的离线认证之前，需要对认证设备进行配置，通过服务端将离线登陆信息和密钥发送至认证设备，以通过离线登陆信息验证在线登陆信息；并通过密钥对在线认证文件进行处理，得到离线认证文件，并通过离线认证文件对在线认证文件进行验证，判断身份信息是否为目标身份信息。

基于上述实施例，S401向终端发送认证信息，可以通过以下步骤实现：

S4011、接收终端发送在线认证文件；

S4012、基于密钥和在线认证文件生成离线认证文件；

S4013、向终端发送离线认证文件，其中，认证信息包括离线登陆信息和/或离线认证文件。

这里，认证设备向终端发送的认证信息包括离线登陆信息，以及认证设备根据密钥和在线认证文件生成的离线认证文件，具体生成离线认证文件的过程为，认证设备首先接收终端发送的在线认证文件，再通过认证设备中的密钥和在线认证文件生成离线认证文件，并将离线登陆信息和离线认证文件作为认证信息发送至终端，以通过认证信息对身份信息进行认证，得到认证结果，并在认证结果表征身份信息为目标身份信息的情况下，确认终端能够访问目标资源。

由此可见，本申请实施例所提供的认证方法，将认证设备通过目标硬件接口插入终端，通过认证设备中存储的认证信息对用户的身份信息进行认证，实现了对访问沙箱的用户的身份认证，这样，既可以满足访问沙箱的用户本身的校验与终端用户的登录相互独立，又保证了访问沙箱的用户身份的合法性和安全性，又可以在离线模式下使用沙箱提供的安全服务，可以让用户的碎片化时间利用率更大化，不再依赖网络环境，依然能够使用沙箱提供的安全服务。认证设备即插即用，让用户在进入沙箱的体验更好，整个使用过程更安全、更便捷。

本发明再一实施例提供了一种认证方法，如图5所示，该方法包括：

S501、在认证设备与服务端连接的情况下，认证设备接收服务端发送的设备标识、离线登陆信息和密钥。

具体地，如图6，以及图9中的时序1所示，首先，终端通过在线登录信息登陆服务端，服务端随机生成密钥并保存。这里的服务端可以是UEM服务端控制台，通过UEM服务端控制台实现离线登陆信息与认证设备的唯一映射关系。

然后，终端确认认证设备通过目标硬件接口与终端连接。

接着，服务端对认证设备进行配置。这里的认证设备可以是D-key、U盾等能够实现用户身份认证的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用认证设备内置的密码算法实现对用户身份的认证。

需要说明的是，D-key是一种外置的USB设备，但是它的数据写入不同于U盘或者其他移动存储介质，需要配合D-key出厂时提供的接口才能将用于认证的信息写入D-key中，每一个D-key的数据写入后，不能直接更改，需要调用D-key接口进行初始化后才能写入新的数据。这也是D-key本身作为物理介质用于身份验证时确保安全性的一种机制。

接着，服务端新建离线登陆信息，并授权启用离线认证。这里的离线登陆信息可以是创建一个全新的用户账号，并授权该账号能够通过离线认证访问沙箱；也可以是对已有的能够在线访问沙箱的用户账号，授权启用离线认证，使得该账号能够通过离线认证访问沙箱。

接着，服务端向认证设备配置密钥、离线登陆信息和设备标识，参见图9中的时序2-4，这里的离线登陆信息可以是新建的授权启用离线认证的用户账号，也可以是授权启用离线认证的已有用户账号。这里的密钥可以是服务端随机生成的密钥，该密钥用于在终端离线时，对终端保存的在线认证文件进行处理，得到离线认证文件，进而实现对终端进行身份认证。这里的设备标识可以是终端与认证设备连接时，用于访问认证设备的信息。也就是说，当认证设备与终端连接时，需要确定设备标识是否为预设标识，进而确定终端是否可以访问认证设备。这里的设备标识可以是PIN码，终端通过PIN码访问认证设备。在服务端向认证设备配置密钥、离线登陆信息和设备标识之后，认证设备保存相应的密钥、离线登陆信息和设备标识。

最后，服务端创建认证设备，并判断是否创建成功。这里在配置完密钥、离线认证信息和设备标识以后，创建认证设备，在创建成功时，提示创建成功，拔出认证设备，供后续使用。在创建失败时，拔出认证设备，并重新插入认证设备，再次开启配置和创建认证设备的过程。

S502、在终端与服务端连接的情况下，服务端接收终端发送的在线登陆信息并生成在线认证文件和访问策略，发送至终端。

如图9所示，基于上述实施例可知，在获取访问目标资源的身份信息之前，需要终端通过在线登陆信息登陆过服务端，以使服务端基于在线登录信息进行认证处理，得到在线认证文件和访问策略，并将在线认证文件和访问策略发送至终端，与在线登陆信息一起保存。参见图9中的时序5-9，在终端与服务端连接的情况下，即终端通过在线登陆信息登陆服务端，服务端认证通过后，会生成在线认证文件和访问策略，并向终端发送在线认证文件和访问策略，终端将在线认证文件和访问策略保存在本地，供离线时使用。这里，在终端登陆服务端时，会生成相应的认证文件。再通过服务端随机生成的密钥(即配置到认证设备中的密钥)对认证文件进行加密运算，得到相应的加密文件作为在线认证文件，并将在线认证文件和访问策略发送至终端进行保存。此时，终端本地保存的身份信息包括在线登陆信息和/或在线认证文件。

需要说明的是，认证文件可以是服务端根据在线登陆信息生成的Token文件；通过服务端随机生成的密钥对认证文件进行加密运算可以是对Token文件进行哈希消息认证码(Hash-based Message Authentication Code，HMAC)运算，得到相应的HMAC值作为在线认证文件。HMAC运算是基于哈希(Hash)函数和密钥进行认证的方法，通过HMAC运算能够验证授权数据和认证数据，确认接受到的请求是否为已授权的请求，还可以确认命令在传送的过程中有没有被改动过。

至此，完成了通过服务端对认证设备和终端的配置，认证设备中包含有相应的离线登陆信息和密钥。终端本地保存有相应的在线登陆信息和在线认证文件。

需要说明的是，本申请实施例对配置认证设备和配置终端的顺序不作具体限定，也就是说，可以是先配置终端，再配置认证设备；也可以是先配置认证设备，再配置终端。

S503、在终端与认证设备连接的情况下，终端检测到认证设备的插入，检查设备标识的合法性。

如图7和图8所示，这里的设备标识可以是终端与认证设备连接时，用于访问认证设备的信息。参见图9中的时序10和11，也就是说，当认证设备与终端连接时，需要确定设备标识是否为预设标识，进而确定终端是否可以访问认证设备。这里的设备标识可以是PIN码，终端通过PIN码访问认证设备。这里终端可以识别离线环境，监听认证设备的插拔行为，进而实现认证和注销。

需要说明的是，在将认证设备插入终端后，首先需要判断终端与服务端的连接状态，进而确定认证设备是用于在线登陆，还是用于离线认证。

S504、终端将在线认证文件发送至认证设备，以使认证设备基于在线认证文件生成离线认证文件。

这里，参见图9中的时序12和13，终端会将上一次在线登陆时保存的在线认证文件发送至认证设备，认证设备通过保存的密钥对在线认证文件进行加密，得到离线认证文件。这里加密的过程与服务端生成在线认证文件的过程相同。认证设备通过密钥对在线认证文件中的Token文件进行HMAC运算，得到相应的HMAC值作为离线认证文件，并将离线认证文件发送至终端。

S505、终端接收认证设备发送的认证信息；认证信息包括离线登陆信息和/或离线认证文件。参见图9中的时序14，终端接收认证设备发送的认证信息，这里的认证信息包括离线登陆信息和/或离线认证文件。终端在接收到认证信息后，会通过认证信息对身份信息进行认证，以确认终端是否可以离线访问沙箱。

S506、将离线登陆信息与在线登陆信息进行匹配；在离线登陆信息与在线登陆信息匹配的情况下，将离线认证文件与在线认证文件进行匹配，得到认证结果。

这里，参见图9中的时序15，首先将认证信息中的离线认证信息与身份信息中的在线认证信息进行匹配，以确定当前的登陆信息是否为服务端授权的登陆信息，当登陆信息不是服务端授权的登录信息时，即认证信息中的离线认证信息与身份信息中的在线认证信息不匹配时，输出认证失败，并提示登陆信息不匹配。当认证信息中的离线认证信息与身份信息中的在线认证信息匹配时，判断离线认证文件与在线认证文件是否匹配，不匹配时，输出失败，并提示认证文件不匹配。当离线认证文件与在线认证文件匹配时，确认认证结果表征身份信息为目标身份信息，此时终端可以访问离线沙箱。

通过在线认证时生成的唯一token文件和D-key中保存的密钥进行HMAC运算来校验终端的合法性，用户重新在线认证之后，之前的token文件就会无效，可以保证每次认证过程中最终HMAC运算后的结果都会不一致，更好的保障认证的安全性。

需要说明的是，在将离线登陆信息与在线登陆信息进行匹配；在离线登陆信息与在线登陆信息匹配的情况下，将离线认证文件与在线认证文件进行匹配，得到认证结果之后，还可以包括：判断终端是否开启沙箱，并在终端启用沙箱的情况下，离线进入沙箱，使用访问策略配置的功能，并将当前终端标记为离线登陆终端。在终端未开启沙箱策略时，无法进入沙箱，并给出提示信息未启用沙箱。

需要说明的是，在线模式下，用户可以根据服务端发送的访问策略访问沙箱资源，并使用沙箱提供的安全服务；离线模式下，无法连接服务端，也就无法接收服务端发送的访问策略，这时，用户可以需获取上次保存的访问策略，即可访问沙箱资源，使用沙箱提供的安全服务。

这里，在确认终端能够访问目标资源之后，终端会获取访问策略，并根据访问策略提供的权限访问目标资源。沙箱离线认证成功后，除了文件隔离(即沙箱内的文件不会显示在沙箱外)和文件加密(沙箱内的文件被加密存储)是沙箱内置的，无需配置访问策略即可使用，其他的访问策略，均以服务端发送至终端的访问策略为准。

S507、在确认终端能够访问目标资源之后，还包括：监测认证设备与终端的连接状态；在认证设备与终端断开连接的情况下，检测终端是否为离线登陆终端；在终端为离线登陆终端的的情况下，确认拒绝访问目标资源。

如图10所示，在完成离线沙箱的认证之后，终端会实时监测终端与认证设备的连接状态，当认证设备与终端断开连接时，检测终端是否为离线登陆终端。在终端为离线登陆终端时，退出沙箱。终端不为离线登陆终端时，认证设备断开连接，此时相当于认证设备用于登陆服务端，则无需退出沙箱，终端可以继续通过服务端访问沙箱。

由此可见，本申请实施例所提供的认证方法，将认证设备通过目标硬件接口插入终端，通过认证设备中存储的认证信息对用户的身份信息进行认证，实现了对访问沙箱的用户的身份认证，这样，既可以满足访问沙箱的用户本身的校验与终端用户的登录相互独立，又保证了访问沙箱的用户身份的合法性和安全性，又可以在离线模式下使用沙箱提供的安全服务，可以让用户的碎片化时间利用率更大化，不再依赖网络环境，依然能够使用沙箱提供的安全服务。认证设备即插即用，让用户在进入沙箱的体验更好，即拔即注销，让整个使用过程更安全、更便捷。

本发明在上述实施例的基础上提供了一种认证装置，如图11所示，该装置110包括：获取单元1101、认证单元1102和处理单元1103；其中，

所述获取模块1101，用于获取访问目标资源的身份信息，并接收认证设备发送的认证信息；所述终端通过目标硬件接口与所述认证设备连接；

所述认证模块1102，用于通过所述认证信息对所述身份信息进行认证，得到认证结果；

所述处理单元1103，用于在所述认证结果表征所述身份信息为目标身份信息的情况下，确认所述终端能够访问所述目标资源。

以上装置实施例的描述，与上述终端侧的方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本发明装置实施例中未披露的技术细节，请参照本发明方法实施例的描述而理解。

本发明在上述实施例的基础上提供了一种认证装置，如图12所示，该装置120包括：发送单元1201；

所述发送单元1201，用于在通过目标硬件接口与终端连接的情况下，向所述终端发送认证信息，以使得所述终端基于所述认证信息对所述终端获取的访问目标资源的身份信息进行认证，得到认证结果，并在所述认证结果表征所述身份信息为目标身份信息的情况下，确认所述终端能够访问所述目标资。

以上装置实施例的描述，与上述认证设备侧的方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本发明装置实施例中未披露的技术细节，请参照本发明方法实施例的描述而理解。

需要说明的是，本发明一示例性实施例中，如果以软件功能单元的形式实现上述的认证方法，并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明一示例性实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以包括个人计算机、服务器等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ReadOnly Memory，ROM)、磁碟或者光盘等各种可以存储程序代码的介质。这样，本发明一示例性实施例不限制于任何特定的硬件和软件结合。

对应地，本发明一示例性实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述实施例中提供的认证方法中的步骤。

可以理解地，在本实施例中，“单元”可以是部分电路、部分处理器、部分程序或软件等等，当然也可以是模块，还可以是非模块化的。而且在本实施例中的各组成部分可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

所述集成的单元如果以软件功能模块的形式实现并非作为独立的产品进行销售或使用时，可以存储在一个计算机可读取存储介质中，基于这样的理解，本实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或processor(处理器)执行本实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

基于上述认证装置110或认证装置120的组成以及计算机存储介质，参见图13，其示出了本申请实施例提供的电子设备130的具体硬件结构示意图。如图13所示，可以包括：通信接口1301、存储器1302和处理器1303；各个组件通过总线系统1304耦合在一起。可理解，总线系统1304用于实现这些组件之间的连接通信。总线系统1304除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图13中将各种总线都标为总线系统1304。其中，

通信接口1301，配置为在与其他外部网元之间进行收发信息过程中，信号的接收和发送；

存储器1302，配置为存储能够在处理器1303上运行的可执行指令；

处理器1303，配置为在运行所述可执行指令时，执行：

获取访问目标资源的身份信息，并接收认证设备发送的认证信息；所述终端通过目标硬件接口与所述认证设备连接；

通过所述认证信息对所述身份信息进行认证，得到认证结果；

在所述认证结果表征所述身份信息为目标身份信息的情况下，确认所述终端能够访问所述目标资源。

或是执行：

在通过目标硬件接口与终端连接的情况下，向所述终端发送认证信息，以使得所述终端基于所述认证信息对所述终端获取的访问目标资源的身份信息进行认证，得到认证结果，并在所述认证结果表征所述身份信息为目标身份信息的情况下，确认所述终端能够访问所述目标资源。

可以理解，本申请实施例中的存储器1302可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRate SDRAM，DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步链动态随机存取存储器(Synchronous link DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DRRAM)。本文描述的系统和方法的存储器1302旨在包括但不限于这些和任意其它适合类型的存储器。

而处理器1303可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器1303中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1303可以是通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1302，处理器1303读取存储器1302中的信息，结合其硬件完成上述方法的步骤。

可以理解的是，本文描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现，处理单元可以实现在一个或多个专用集成电路(ApplicationSpecific Integrated Circuits，ASIC)、数字信号处理器(Digital Signal Processing，DSP)、数字信号处理设备(DSP Device，DSPD)、可编程逻辑设备(Programmable LogicDevice，PLD)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本发明所述功能的其它电子单元或其组合中。

对于软件实现，可通过执行本文所述功能的模块(例如过程、函数等)来实现本文所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims (13)

1.一种认证方法，其特征在于，应用于终端，所述方法包括：

获取访问目标资源的身份信息，并接收认证设备发送的认证信息；所述终端通过目标硬件接口与所述认证设备连接；

通过所述认证信息对所述身份信息进行认证，得到认证结果；

在所述认证结果表征所述身份信息为目标身份信息的情况下，确认所述终端能够访问所述目标资源。

2.根据权利要求1所述的方法，其特征在于，在所述确认所述终端能够访问所述目标资源之后，还包括：

获取访问策略，并根据所述访问策略访问所述目标资源。

3.根据权利要求1或2所述的方法，其特征在于，所述获取访问目标资源的身份信息，包括：

检测所述终端与服务端的连接状态；

在所述终端与所述服务端断开连接的情况下，获取访问所述目标资源的所述身份信息。

4.根据权利要求1或2所述的方法，其特征在于，在所述获取访问目标资源的身份信息之前，还包括：

在所述终端与所述服务端连接的情况下，获取输入的在线登陆信息，并将所述在线登陆信息发送至所述服务端，以使所述服务端基于所述在线登录信息进行在线认证处理，得到在线认证文件和访问策略；

接收并保存所述服务端发送的所述在线认证文件和所述访问策略，其中，所述身份信息包括所述在线登陆信息和/或所述在线认证文件。

5.根据权利要求4所述的方法，其特征在于，所述接收认证设备发送的认证信息，包括：

向所述认证设备发送所述在线认证文件，以使所述认证设备基于所述在线认证文件生成离线认证文件；

接收所述认证设备发送的所述离线认证文件，其中，所述认证信息包括离线登陆信息和/或所述离线认证文件。

6.根据权利要求5所述的方法，其特征在于，所述通过所述认证信息对所述身份信息进行认证，得到认证结果，包括：

将所述离线登陆信息与所述在线登陆信息进行匹配；

在所述离线登陆信息与所述在线登陆信息匹配的情况下，将所述离线认证文件与所述在线认证文件进行匹配，得到所述认证结果。

7.根据权利要求1或2所述的方法，其特征在于，在所述确认所述终端能够访问所述目标资源之后，还包括：

监测所述终端与所述认证设备的连接状态；

若所述终端与所述认证设备处于断开连接状态，检测所述终端是否为离线登陆终端；

在所述终端为离线登陆终端的情况下，确认拒绝访问所述目标资源。

8.一种认证方法，其特征在于，应用于认证设备，所述方法包括：

在通过目标硬件接口与终端连接的情况下，向所述终端发送认证信息，以使得所述终端基于所述认证信息对所述终端获取的访问目标资源的身份信息进行认证，得到认证结果，并在所述认证结果表征所述身份信息为目标身份信息的情况下，确认所述终端能够访问所述目标资源。

9.根据权利要求8所述的方法，其特征在于，在所述向所述终端发送认证信息之前，还包括：

在所述认证设备与服务端连接的情况下，接收所述服务端发送的离线登陆信息和密钥。

10.根据权利要求9所述的方法，其特征在于，所述向所述终端发送认证信息，包括：

接收所述终端发送在线认证文件；

基于所述密钥和所述在线认证文件生成离线认证文件；

向所述终端发送所述离线认证文件，其中，所述认证信息包括所述离线登陆信息和/或所述离线认证文件。

11.一种认证装置，其特征在于，应用于终端，所述装置包括：获取模块、认证模块和处理模块；

所述获取模块，用于获取访问目标资源的身份信息，并接收认证设备发送的认证信息；所述终端通过目标硬件接口与所述认证设备连接；

所述认证模块，用于通过所述认证信息对所述身份信息进行认证，得到认证结果；

所述处理模块，用于在所述认证结果表征所述身份信息为目标身份信息的情况下，确认所述终端能够访问所述目标资源。

12.一种电子设备，其特征在于，所述电子设备包括：存储器和处理器；其中，

所述存储器，用于存储能够在所述处理器上运行的计算机程序；

所述处理器，用于在运行所述计算机程序时，执行如权利要求1至7或8至10中的任一项所述的方法。

13.一种计算机存储介质，其特征在于，所述计算机存储介质存储有功能应用实现程序，所述功能应用实现程序被至少一个处理器执行时实现如权利要求1至7或8至10中的任一项所述的方法。

Images