CN113014391A - 嵌入式系统的鉴权方法、终端设备及计算机可读存储介质 - Google Patents
嵌入式系统的鉴权方法、终端设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN113014391A CN113014391A CN202110089677.7A CN202110089677A CN113014391A CN 113014391 A CN113014391 A CN 113014391A CN 202110089677 A CN202110089677 A CN 202110089677A CN 113014391 A CN113014391 A CN 113014391A
- Authority
- CN
- China
- Prior art keywords
- verification information
- embedded system
- information
- authentication
- kernel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及嵌入式系统技术领域,公开了嵌入式系统的鉴权方法、终端设备及计算机可读存储介质。该方法包括:嵌入式系统的内核生成第一验证信息;嵌入式系统的应用层获取第一验证信息,并向服务器发送第二验证信息,第二验证信息根据第一验证信息得到;嵌入式系统的应用层接收服务器反馈的第三验证信息;嵌入式系统的内核获得第四验证信息,并根据第一验证信息和第四验证信息进行鉴权,在鉴权不通过时进行功能限制,第四验证信息根据第三验证信息得到。通过上述方式,能够提高嵌入式系统的安全性。
Description
技术领域
本申请涉及嵌入式系统技术领域,特别是涉及嵌入式系统的鉴权方法、终端设备及计算机可读存储介质。
背景技术
嵌入式系统由硬件和软件组成,是能够独立进行运作的器件。其软件内容包括软件运行环境及其操作系统。硬件内容包括信号处理器、存储器、通信模块等在内的多方面的内容。
使用嵌入式系统的终端设备的性能受嵌入式系统的内核影响极大,然而嵌入式系统的安全性较低。
发明内容
本申请主要解决的技术问题是提供嵌入式系统的鉴权方法、终端设备及计算机可读存储介质,能够提高嵌入式系统的安全性。
本申请采用的一种技术方案是提供一种嵌入式系统的鉴权方法,该方法包括:嵌入式系统的内核生成第一验证信息;嵌入式系统的应用层获取第一验证信息,并向服务器发送第二验证信息,第二验证信息根据第一验证信息得到;嵌入式系统的应用层接收服务器反馈的第三验证信息;嵌入式系统的内核获得第四验证信息,并根据第一验证信息和第四验证信息进行鉴权,在鉴权不通过时进行功能限制,第四验证信息根据第三验证信息得到。
其中,第一验证信息与第二验证信息相同,和/或第三验证信息与第四验证信息相同。
其中,嵌入式系统的内核生成第一验证信息包括:嵌入式系统的内核获取第一固化信息;嵌入式系统的内核基于第一固化信息生成第一随机数和第一验证信息;其中,第一验证信息包括签名信息。
其中,第三验证信息和第四验证信息均包括第二随机数,第二随机数是服务器通过第二固化信息和签名信息得到。
其中,根据第一验证信息和第四验证信息进行鉴权包括:嵌入式系统的内核基于第一随机数和第二随机数进行鉴权。
其中,嵌入式系统的应用层获取第一验证信息包括:应用层中的设备控制模块获取第一验证信息。
本申请采用的另一种技术方案是提供一种终端设备,该终端设备包括处理器、存储器和通信电路;处理器与存储器和通信电路电性耦接;其中,通信电路用于与服务器通信,存储器用于存储程序数据,处理器用于执行程序数据,以实现如上述技术方案提供的方法。
本申请采用的另一种技术方案是提供一种嵌入式系统的鉴权方法,应用于服务器,该方法包括:接收嵌入式系统的应用层发送的第二验证信息;其中,第二验证信息是由嵌入式系统的应用层根据获取的第一验证信息得到,第一验证信息是由嵌入式系统的内核生成;根据第二验证信息生成第三验证信息;向嵌入式系统的应用层发送第三验证信息。
其中,根据第二验证信息生成第三验证信息包括:获取第二固化信息;基于第二固化信息和第二验证信息生成第三验证信息。
本申请采用的另一种技术方案是提供一种服务器,该服务器包括处理器、存储器和通信电路;处理器与存储器和通信电路电性耦接;其中,通信电路用于与终端设备通信,存储器用于存储程序数据,处理器用于执行程序数据,以实现如上述技术方案提供的应用于服务器地方法。
本申请采用的另一种技术方案是提供一种计算机可读存储介质,该计算机可读存储介质用于存储程序数据,程序数据在被处理器执行时,用于实现如上述技术方案提供的任一方法。
本申请的有益效果是:区别于现有技术的情况,本申请利用嵌入式系统和服务器之间进行往返通信鉴权,且鉴权内容根据嵌入式系统的内核生成,能保证鉴权内容的权威性,又能在一旦被攻击导致往返通信出现问题时,即在鉴权不通过时进行功能限制,有效防止嵌入式系统的内核被攻击,能够降低攻击带来的损失。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。其中:
图1是本申请提供的嵌入式系统的鉴权方法一实施例的流程示意图;
图2是本申请提供的嵌入式系统的鉴权方法另一实施例的流程示意图;
图3是本申请提供的服务器和嵌入式系统的交互示意图;
图4是本申请提供的嵌入式系统的鉴权方法另一实施例的流程示意图;
图5是本申请提供的终端设备一实施例的结构示意图;
图6是本申请提供的服务器一实施例的结构示意图;
图7是本申请提供的计算机可读存储介质一实施例的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。可以理解的是,此处所描述的具体实施例仅用于解释本申请,而非对本申请的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本申请相关的部分而非全部结构。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
参阅图1,图1是本申请提供的嵌入式系统的鉴权方法一实施例的流程示意图。该方法包括:
步骤11:嵌入式系统的内核生成第一验证信息。
内核,是一个操作系统的核心。是基于硬件的第一层软件扩充,提供操作系统的最基本的功能,是操作系统工作的基础,它负责管理系统的进程、内存、设备驱动程序、文件和网络系统,决定着系统的性能和稳定性。内核可分为单内核、微内核、混合内核和外内核。
在一些实施例中,嵌入式系统可以是Minix操作系统、UNIX操作系统和Linux操作系统中任一种。
在一些实施例中,第一验证信息可以是根据嵌入式系统所在的终端设备的序列号或者UID(User Identification,用户身份证明)生成的。
在一些实施例中,第一验证信息可以是根据嵌入式系统所在的终端设备中的固化信息生成的。其中,固化信息是一种不可更改的信息。
步骤12:嵌入式系统的应用层获取第一验证信息,并向服务器发送第二验证信息,第二验证信息根据第一验证信息得到。
在本实施例中,嵌入式系统的应用层与内核之间进行通信,嵌入式系统的应用层则获取到第一验证信息。具体地,存在两种方式,第一种是应用层向内核主动传递消息,以获取相关信息,第二种是内核主动与应用层通信。
如在Linux操作系统中,可使用procfs(file system,进程文件系统)、netlink(套接字)、syscall(系统调用)和IOCTL(input/output control,输入输出操作)等方法实现应用层与内核之间的通信。
嵌入式系统的应用层在获取到第一验证信息后,可对第一验证信息进行加密处理,以得到第二验证信息,并向服务器发送第二验证信息。通过这样的方式可以保证第二验证信息在传输过程中的安全性。当然,第一验证信息本身也可以是加密信息,或第一验证信息本身也可以是未经加密信息,而第二验证信息与第一验证信息可以相同。
在一些实施例中,嵌入式系统所在的终端设备上述设置有通信电路,用于与服务器进行通信。具体地,嵌入式系统的应用层通过该通信电路向服务器发送第二验证信息。
步骤13:嵌入式系统的应用层接收服务器反馈的第三验证信息。
服务器在接收到第二验证信息后,若第二验证信息是对第一验证信息进行加密得到的,则对第二验证信息进行解密,得到第一验证信息。服务器基于第一验证信息得到第三验证信息。再将第三验证信息反馈至嵌入式系统的应用层。
步骤14:嵌入式系统的内核获得第四验证信息,并根据第一验证信息和第四验证信息进行鉴权,在鉴权不通过时进行功能限制,第四验证信息根据第三验证信息得到。
在一些实施例中,嵌入式系统的应用层在获取到第三验证信息后,可对第三验证信息进行加密处理,以得到第四验证信息。嵌入式系统的内核获得第四验证信息后,对其进行解密,得到第三验证信息。内核根据第一验证信息和第四验证信息进行鉴权,在鉴权不通过时进行功能限制。
如第一验证信息和第四验证信息为字符串,则可验证第一验证信息和第四验证信息是否相同,若相同,则确定鉴权通过;若不相同,则确定鉴权不通过,此时进行功能限制。具体地,可以使内核进入锁定状态,且和/或降低CPU(Central Processing Unit,中央处理器)运行频率,锁定部分内核特性。
在其他实施例中,嵌入式系统的应用层和嵌入式系统的内核之间的信息交互存在加解密过程,嵌入式系统的应用层与服务器之间的信息交互存在加解密过程。
在一些实施例中,第一验证信息、第二验证信息、第三验证信息和第四验证信息在传输过程中有可能被篡改,如在嵌入式系统的内核获得第四验证信息时,第四验证信息被其余恶意设备截获,并由恶意设备对嵌入式系统的内核发送第四验证信息。此时,嵌入式系统就处于不安全状态,因此,嵌入式系统的内核对第四验证信息进行验证,以确保接收到的验证信息来自服务器。
在本实施例中,利用嵌入式系统和服务器之间进行往返通信鉴权,且鉴权内容根据嵌入式系统的内核生成,能保证鉴权内容的权威性,又能在一旦被攻击导致往返通信出现问题时,即在鉴权不通过时进行功能限制,有效防止嵌入式系统的内核被攻击,能够降低攻击带来的损失,提高嵌入式系统的安全性。
参阅图2,图2是本申请提供的嵌入式系统的鉴权方法另一实施例的流程示意图。该方法包括:
步骤21:嵌入式系统的内核获取第一固化信息。
在本实施例中,第一固化信息可以从安全加密芯片中获得。将第一固化信息存储于安全加密芯片中,可以增加第一固化信息的安全性,防止被恶意获取。
步骤22:嵌入式系统的内核基于第一固化信息生成第一随机数和第一验证信息。
如,根据随机算法,将第一固化信息生成第一随机数。具体的,可以是一个随机字符串。且根据数字签名算法将第一固化信息进行处理,生成签名信息。将签名信息作为第一验证信息。
具体地,可以利用第一固化信息对第一验证信息进行加密处理。
步骤23:嵌入式系统的应用层获取第一验证信息,并向服务器发送第二验证信息。
在本实施例中,第一验证信息与第二验证信息相同。
步骤24:嵌入式系统的应用层接收服务器反馈的第三验证信息。
在本实施例中,服务器从数据库中获取第二固化信息,利用第二固化信息对第二验证信息进行解密,若解密成功,则确定第二验证信息是安全可信任的。因第一验证信息与第二验证信息相同,则可确定嵌入式系统的应用层和嵌入式系统的内核是安全的。若解密失败,则确定第二验证信息是不安全的。因第一验证信息与第二验证信息相同,则可确定嵌入式系统的应用层和嵌入式系统的内核是不安全的。
具体地,服务器的数据库中存储有与之交互的所有嵌入式系统的终端设备对应的第二固化信息,第二固化信息和终端设备中的第一固化信息相同。
在一应用场景中,嵌入式系统的应用层向服务器发送第二验证信息时,还向服务器发送了终端设备的序列号。服务器可根据此序列号从数据库中查找对应的第二固化信息。
在验证成功后,则得到作为第二验证信息的签名信息。服务器利用签名信息和第二固化信息,生成第二随机数。将第二随机数作为第三验证信息反馈给嵌入式系统的应用层。在其他实施例中,可利用第二固化信息对第二随机数进行加密,然后将加密后的第二随机数作为第三验证信息。
步骤25:嵌入式系统的内核获得第四验证信息,并嵌入式系统的内核基于第一随机数和第二随机数进行鉴权,在鉴权不通过时进行功能限制。
在本实施例中,第三验证信息与第四验证信息相同。
嵌入式系统的内核获得第四验证信息后,可通过第一固化信息对第四验证信息进行解密,解密成功,则确定第四验证信息是安全可信任的。若解密失败,则确定第四验证信息是不安全的。
在解密成功后,嵌入式系统的内核基于第一随机数和第二随机数进行鉴权,在鉴权不通过时进行功能限制。
在本实施例中,嵌入式系统的内核可根据第一固化信息定时生成第一随机数和签名信息。嵌入式系统的应用层获取签名信息,并向服务器发送该签名信息。服务器根据签名信息和第二固化信息生成第二随机数,并反馈给嵌入式系统的应用层。嵌入式系统的内核获得第二随机数后,可通过第一随机数和第二随机数据进行鉴权,在鉴权不通过时进行功能限制,在鉴权通过时保持正常功能。
其中,若在规定时间内,嵌入式系统的内核未获得第二随机数,则默认鉴权不通过时进行功能限制。嵌入式系统的内核未获得第二随机数,则表示可能终端设备出现异常。如被恶意攻击,比如上级路由通过域名或者IP(Internet Protocol,网际互连协议)拦截服务器的数据,域名解析劫持等,此时传输中断,嵌入式系统的应用层无法和服务器交互,则无法回传第二随机数给嵌入式系统的内核。此时进行功能限制,可防止内核被别攻击者使用,提高内核安全性。
在本实施例中,嵌入式系统的内核根据第一固化信息生成第一随机数和签名信息,服务器基于第二固化信息和签名信息生成第二随机数,嵌入式系统的内核基于第一随机数和第二随机数进行鉴权。通过将相同的第一固化信息和第二固化信息分别存储于加密芯片和服务器中,使嵌入式系统与服务器正常交互时,嵌入式系统的内核生成的第一随机数和服务器生成的第二随机数相同,嵌入式系统与服务器非正常交互时,嵌入式系统的内核无法获取到第二随机数,或获取到的第二随机数与第一随机数不相同。能够提高嵌入式系统的安全性,有效防止嵌入式系统的内核被攻击,若是嵌入式系统被攻击,通过在鉴权不通过时进行功能限制,使攻击者无法正常使用该嵌入式系统对应的终端设备,能够降低攻击带来的损失。
参阅图3,对嵌入式系统和服务器的交互进行说明:
嵌入式系统包括加密芯片、内核和应用层,其中,内核中有内核鉴权模块、应用层中有设备控制模块,设备控制模块中有应用层鉴权模块。
加密芯片中存储有第一固化信息。内核鉴权模块会定时获取加密芯片中的第一固化信息,并根据第一固化信息生成第一随机数,并按照特定算法生成签名信息。内核将签名信息暴露给应用层。应用层鉴权模块需要在一固定时间内传给内核正确的第二随机数,否则内核将进入锁定状态,降低CPU运行频率,锁定部分内核特性,直到应用层传入正确的第二随机数后再解锁。
应用层鉴权模块需要定期获取内核暴露的签名信息,并通过安全加密通道向服务器发送签名信息并获取服务器计算好的第二随机数,再将第二随机数传入内核,以使内核鉴权模块完成鉴权。该应用层鉴权模块集成在设备控制模块中,可确保所有成功鉴权的设备均是受控设备。
服务器接受应用层鉴权模块传来的签名信息,并根据同步上传的终端设备序列号在数据库中获取其对应的第二固化信息。其中,该第二固化信息和第一固化信息相同。然后结合第二固化信息和签名信息,利用特定算法算出第二随机数,反馈给应用层鉴权模块。
通过上述方式,将相同的第一固化信息和第二固化信息分别存储于加密芯片和服务器中,使嵌入式系统与服务器正常交互时,嵌入式系统的内核生成的第一随机数和服务器生成的第二随机数相同,嵌入式系统与服务器非正常交互时,嵌入式系统的内核无法获取到第二随机数,或获取到的第二随机数与第一随机数不相同。利用嵌入式系统和服务器之间进行往返通信鉴权,且鉴权内容根据嵌入式系统的内核生成,能保证鉴权内容的权威性,又能在一旦被攻击导致往返通信出现问题时,即在鉴权不通过时进行功能限制,有效防止嵌入式系统的内核被攻击,能够降低攻击带来的损失,提高嵌入式系统的安全性。
参阅图4,图4是本申请提供的嵌入式系统的鉴权方法另一实施例的流程示意图。该方法应用于服务器,该方法包括:
步骤41:接收嵌入式系统的应用层发送的第二验证信息。
其中,第二验证信息是由嵌入式系统的应用层根据获取的第一验证信息得到,第一验证信息是由嵌入式系统的内核生成。
具体地,嵌入式系统的内核从安全加密芯片中获得第一固化信息。然后根据第一固化信息生成第一验证信息。将第一固化信息存储于安全加密芯片中,可以增加第一固化信息的安全性,防止被恶意获取。
在一些实施例中,第一验证信息和第二验证信息相同。
步骤42:根据第二验证信息生成第三验证信息。
在一些实施例中,步骤42可以是获取第二固化信息;基于第二固化信息和第二验证信息生成第三验证信息。
具体地,服务器从数据库中获取第二固化信息,利用第二固化信息和第二验证信息生成第三验证信息。第二固化信息和上述的第一固化信息相同。
步骤43:向嵌入式系统的应用层发送第三验证信息。
嵌入式系统的应用层接收到服务器反馈的第三验证信息后,嵌入式系统的内核获得第四验证信息,并根据第一验证信息和第四验证信息进行鉴权,在鉴权不通过时进行功能限制,第四验证信息根据第三验证信息得到。
在一些实施例中,嵌入式系统的应用层在获取到服务器发送的第三验证信息后,可对第三验证信息进行加密处理,以得到第四验证信息。嵌入式系统的内核获得第四验证信息后,对其进行解密,得到第三验证信息。内核根据第一验证信息和第四验证信息进行鉴权,在鉴权不通过时进行功能限制。
在其他实施例中,嵌入式系统的应用层和嵌入式系统的内核之间的信息交互存在加解密过程,嵌入式系统的应用层与服务器之间的信息交互存在加解密过程。
在一些实施例中,第一验证信息、第二验证信息、第三验证信息和第四验证信息在传输过程中有可能被篡改,如在嵌入式系统的内核获得第四验证信息时,第四验证信息被其余恶意设备截获,并由恶意设备对嵌入式系统的内核发送第四验证信息。此时,嵌入式系统就处于不安全状态,因此,嵌入式系统的内核对第四验证信息进行验证,以确保接收到的验证信息来自服务器。
在一些实施例中,服务器可以多个嵌入式系统进行交互,以协助嵌入式系统鉴权。
嵌入式系统的内核、嵌入式系统的应用层可实现与上述其他实施例中的方法。
在本实施例中,通过接收嵌入式系统的应用层发送的第二验证信息;其中,第二验证信息是由嵌入式系统的应用层根据获取的第一验证信息得到,第一验证信息是由嵌入式系统的内核生成;根据第二验证信息生成第三验证信息;向嵌入式系统的应用层发送第三验证信息的方式,利用服务器生成嵌入式系统的验证信息,能够提高嵌入式系统的安全性。
参阅图5,图5是本申请提供的终端设备一实施例的结构示意图。该终端设备50包括处理器51、存储器52和通信电路53;处理器51与存储器52和通信电路53电性耦接;其中,通信电路53用于与服务器通信,存储器52用于存储程序数据,处理器51用于执行程序数据,以实现如下的方法:
嵌入式系统的内核生成第一验证信息;嵌入式系统的应用层获取第一验证信息,并向服务器发送第二验证信息,第二验证信息根据第一验证信息得到;嵌入式系统的应用层接收服务器反馈的第三验证信息;嵌入式系统的内核获得第四验证信息,并根据第一验证信息和第四验证信息进行鉴权,在鉴权不通过时进行功能限制,第四验证信息根据第三验证信息得到。
可以理解地,本实施例中的处理器51还可以实现上述实施例中终端设备涉及的方法步骤,这里不再赘述。
本实施例的终端设备50通过实现上述方法,利用嵌入式系统和服务器之间进行往返通信鉴权,且鉴权内容根据嵌入式系统的内核生成,能保证鉴权内容的权威性,又能在一旦被攻击导致往返通信出现问题时,即在鉴权不通过时进行功能限制,有效防止嵌入式系统的内核被攻击,能够降低攻击带来的损失,提高嵌入式系统的安全性。
参阅图6,图6是本申请提供的服务器一实施例的结构示意图。该服务器60包括处理器61、存储器62和通信电路63;处理器61与存储器62和通信电路63电性耦接;其中,通信电路63用于与终端设备通信,存储器62用于存储程序数据,处理器51用于执行程序数据,以实现如下的方法:
接收嵌入式系统的应用层发送的第二验证信息;其中,第二验证信息是由嵌入式系统的应用层根据获取的第一验证信息得到,第一验证信息是由嵌入式系统的内核生成;根据第二验证信息生成第三验证信息;向嵌入式系统的应用层发送第三验证信息。
可以理解地,本实施例中的处理器61还可以实现上述实施例中服务器涉及的方法步骤,这里不再赘述。
参阅图7,图7是本申请提供的计算机可读存储介质一实施例的结构示意图。该计算机可读存储介质70用于存储程序数据71,程序数据71在被处理器执行时,用于实现如下的方法:
嵌入式系统的内核生成第一验证信息;嵌入式系统的应用层获取第一验证信息,并向服务器发送第二验证信息,第二验证信息根据第一验证信息得到;嵌入式系统的应用层接收服务器反馈的第三验证信息;嵌入式系统的内核获得第四验证信息,并根据第一验证信息和第四验证信息进行鉴权,在鉴权不通过时进行功能限制,第四验证信息根据第三验证信息得到。或,
接收嵌入式系统的应用层发送的第二验证信息;其中,第二验证信息是由嵌入式系统的应用层根据获取的第一验证信息得到,第一验证信息是由嵌入式系统的内核生成;根据第二验证信息生成第三验证信息;向嵌入式系统的应用层发送第三验证信息。
可以理解地,本实施例中的计算机可读存储介质70还可以实现上述实施例的任一方法,这里不再赘述。
本实施例的计算机可读存储介质70应用于上述的终端设备或服务器时,实现上述方法,利用嵌入式系统和服务器之间进行往返通信鉴权,且鉴权内容根据嵌入式系统的内核生成,能保证鉴权内容的权威性,又能在一旦被攻击导致往返通信出现问题时,即在鉴权不通过时进行功能限制,有效防止嵌入式系统的内核被攻击,能够降低攻击带来的损失,提高嵌入式系统的安全性。
在本申请所提供的几个实施方式中,应该理解到,所揭露的方法以及设备,可以通过其它的方式实现。例如,以上所描述的设备实施方式仅仅是示意性的,例如,上述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施方式方案的目的。
另外,在本申请各个实施方式中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
上述其他实施方式中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施方式所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施方式,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (10)
1.一种嵌入式系统的鉴权方法,其特征在于,所述方法包括:
所述嵌入式系统的内核生成第一验证信息;
所述嵌入式系统的应用层获取所述第一验证信息,并向服务器发送第二验证信息,所述第二验证信息根据所述第一验证信息得到;
所述嵌入式系统的应用层接收所述服务器反馈的第三验证信息;
所述嵌入式系统的内核获得第四验证信息,并根据所述第一验证信息和所述第四验证信息进行鉴权,在鉴权不通过时进行功能限制,所述第四验证信息根据所述第三验证信息得到。
2.根据权利要求1所述的方法,其特征在于,
所述第一验证信息与所述第二验证信息相同,和/或所述第三验证信息与所述第四验证信息相同。
3.根据权利要求1所述的方法,其特征在于,
所述嵌入式系统的内核生成第一验证信息包括:
所述嵌入式系统的内核获取第一固化信息;
所述嵌入式系统的内核基于所述第一固化信息生成第一随机数和所述第一验证信息;其中,所述第一验证信息包括签名信息。
4.根据权利要求3所述的方法,其特征在于,
所述第三验证信息和所述第四验证信息均包括第二随机数,所述第二随机数是所述服务器通过第二固化信息和所述签名信息得到。
5.根据权利要求4所述的方法,其特征在于,
所述根据所述第一验证信息和所述第四验证信息进行鉴权包括:
所述嵌入式系统的内核基于所述第一随机数和所述第二随机数进行鉴权。
6.根据权利要求1所述的方法,其特征在于,
所述嵌入式系统的应用层获取所述第一验证信息包括:
所述应用层中的设备控制模块获取所述第一验证信息。
7.一种嵌入式系统的鉴权方法,其特征在于,应用于服务器,所述方法包括:
接收所述嵌入式系统的应用层发送的第二验证信息;其中,所述第二验证信息是由所述嵌入式系统的应用层根据获取的第一验证信息得到,所述第一验证信息是由所述嵌入式系统的内核生成;
根据所述第二验证信息生成第三验证信息;
向所述嵌入式系统的应用层发送第三验证信息。
8.根据权利要求7所述的方法,其特征在于,
所述根据所述第二验证信息生成第三验证信息包括:
获取第二固化信息;
基于所述第二固化信息和所述第二验证信息生成所述第三验证信息。
9.一种终端设备,其特征在于,所述终端设备包括处理器、存储器和通信电路;所述处理器与所述存储器和所述通信电路电性耦接;
其中,所述通信电路用于与服务器通信,所述存储器用于存储程序数据,所述处理器用于执行所述程序数据,以实现如权利要求1-6任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储程序数据,所述程序数据在被处理器执行时,用于实现如权利要求1-6任一项所述的方法或如权利要求7-8任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110089677.7A CN113014391B (zh) | 2021-01-22 | 2021-01-22 | 嵌入式系统的鉴权方法、终端设备及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110089677.7A CN113014391B (zh) | 2021-01-22 | 2021-01-22 | 嵌入式系统的鉴权方法、终端设备及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113014391A true CN113014391A (zh) | 2021-06-22 |
CN113014391B CN113014391B (zh) | 2022-10-21 |
Family
ID=76385385
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110089677.7A Active CN113014391B (zh) | 2021-01-22 | 2021-01-22 | 嵌入式系统的鉴权方法、终端设备及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113014391B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114912131A (zh) * | 2022-04-19 | 2022-08-16 | 山东鲸鲨信息技术有限公司 | 数据加密方法、系统以及电子设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017206185A1 (zh) * | 2016-06-03 | 2017-12-07 | 华为技术有限公司 | 验证应用程序合法性的方法、装置及系统 |
CN110099029A (zh) * | 2018-01-30 | 2019-08-06 | 阿里健康信息技术有限公司 | 一种身份验证方法、终端设备及服务器 |
CN110784474A (zh) * | 2019-10-31 | 2020-02-11 | 苏州思必驰信息科技有限公司 | 嵌入式产品接入授权方法和装置 |
CN111010363A (zh) * | 2019-09-20 | 2020-04-14 | 中国银联股份有限公司 | 信息认证方法及其系统、认证模块以及用户终端 |
CN112073188A (zh) * | 2020-08-31 | 2020-12-11 | 北京市商汤科技开发有限公司 | 鉴权方法、装置、设备及计算机可读存储介质 |
WO2020253801A1 (zh) * | 2019-06-21 | 2020-12-24 | 华为技术有限公司 | 一种eSIM换卡方法及相关设备 |
WO2021004392A1 (zh) * | 2019-07-05 | 2021-01-14 | 华为技术有限公司 | 鉴权方法、设备及服务器 |
-
2021
- 2021-01-22 CN CN202110089677.7A patent/CN113014391B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017206185A1 (zh) * | 2016-06-03 | 2017-12-07 | 华为技术有限公司 | 验证应用程序合法性的方法、装置及系统 |
CN110099029A (zh) * | 2018-01-30 | 2019-08-06 | 阿里健康信息技术有限公司 | 一种身份验证方法、终端设备及服务器 |
WO2020253801A1 (zh) * | 2019-06-21 | 2020-12-24 | 华为技术有限公司 | 一种eSIM换卡方法及相关设备 |
WO2021004392A1 (zh) * | 2019-07-05 | 2021-01-14 | 华为技术有限公司 | 鉴权方法、设备及服务器 |
CN111010363A (zh) * | 2019-09-20 | 2020-04-14 | 中国银联股份有限公司 | 信息认证方法及其系统、认证模块以及用户终端 |
CN110784474A (zh) * | 2019-10-31 | 2020-02-11 | 苏州思必驰信息科技有限公司 | 嵌入式产品接入授权方法和装置 |
CN112073188A (zh) * | 2020-08-31 | 2020-12-11 | 北京市商汤科技开发有限公司 | 鉴权方法、装置、设备及计算机可读存储介质 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114912131A (zh) * | 2022-04-19 | 2022-08-16 | 山东鲸鲨信息技术有限公司 | 数据加密方法、系统以及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN113014391B (zh) | 2022-10-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7231526B2 (en) | System and method for validating a network session | |
EP2887576B1 (en) | Software key updating method and device | |
WO2019111065A1 (en) | End-to-end communication security | |
US20160119291A1 (en) | Secure communication channel with token renewal mechanism | |
CN109714176B (zh) | 口令认证方法、装置及存储介质 | |
US20030204724A1 (en) | Methods for remotely changing a communications password | |
CN109167802B (zh) | 防止会话劫持的方法、服务器以及终端 | |
CN110505055B (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
KR101531662B1 (ko) | 사용자 단말과 서버간 상호 인증 방법 및 시스템 | |
US20180013832A1 (en) | Health device, gateway device and method for securing protocol using the same | |
CN113259123B (zh) | 一种区块链数据写入、访问方法及装置 | |
CN114244508B (zh) | 数据加密方法、装置、设备及存储介质 | |
US20220417241A1 (en) | Methods, Systems, and Devices for Server Control of Client Authorization Proof of Possession | |
CN110519222B (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 | |
CN113014391B (zh) | 嵌入式系统的鉴权方法、终端设备及计算机可读存储介质 | |
CN112600831B (zh) | 一种网络客户端身份认证系统和方法 | |
CN112703500A (zh) | 在低功率模式期间保护存储在IoT装置的存储器中的数据 | |
CN111740995A (zh) | 一种授权认证方法及相关装置 | |
CN113259124A (zh) | 一种区块链数据写入、访问方法及装置 | |
CN117640109B (zh) | Api接口安全访问方法、装置、电子设备及存储介质 | |
CN114745192B (zh) | 通讯方法、系统、设备及介质 | |
CN114785566B (zh) | 数据处理方法、装置及设备 | |
CN114884736B (zh) | 一种防爆破攻击的安全防护方法及装置 | |
CN110532741B (zh) | 个人信息授权方法、认证中心及服务提供方 | |
CN116545708A (zh) | 单点登录系统及登录方法、装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |