CN115766077A - 离线鉴权方法、装置、系统及存储介质 - Google Patents

离线鉴权方法、装置、系统及存储介质 Download PDF

Info

Publication number
CN115766077A
CN115766077A CN202211226786.XA CN202211226786A CN115766077A CN 115766077 A CN115766077 A CN 115766077A CN 202211226786 A CN202211226786 A CN 202211226786A CN 115766077 A CN115766077 A CN 115766077A
Authority
CN
China
Prior art keywords
target
authentication
authentication information
equipment
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211226786.XA
Other languages
English (en)
Inventor
薛升俊
罗旭平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Xiaomi Mobile Software Co Ltd
Original Assignee
Beijing Xiaomi Mobile Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Xiaomi Mobile Software Co Ltd filed Critical Beijing Xiaomi Mobile Software Co Ltd
Priority to CN202211226786.XA priority Critical patent/CN115766077A/zh
Publication of CN115766077A publication Critical patent/CN115766077A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Telephonic Communication Services (AREA)

Abstract

本公开是关于一种离线鉴权方法、装置、系统及存储介质,涉及通信技术领域,用于在离线场景下减少用户输入鉴权信息的信息长度,提高适用性。该方法包括:获取第二设备发送的鉴权请求,鉴权请求用于请求服务器生成鉴权信息,鉴权信息用于对第一设备进行鉴权;基于鉴权请求确定待鉴权的第一设备,并确定第一设备所对应的目标鉴权等级,其中,不同的第一设备对应不同的鉴权等级;基于目标鉴权等级,确定与目标鉴权等级所对应的目标字节长度,其中,不同的鉴权等级对应的鉴权信息的字节长度不同;生成字节长度符合目标字节长度的目标鉴权信息;将目标鉴权信息发送至第二设备,由第二设备将目标鉴权信息提供给第一设备。

Description

离线鉴权方法、装置、系统及存储介质
技术领域
本公开涉及通信技术领域,尤其涉及离线鉴权方法、装置、系统及存储介质。
背景技术
鉴权(authentication)是指验证用户是否拥有访问系统的权利。一般是由待鉴权设备请求服务器授权,服务器校验请求待鉴权设备和请求用户直接之间的权限关系,通过后进行签名发送给待鉴权设备;待鉴权设备通过预置的服务器公钥验证签名,如通过则认为服务器同意此次操作,即允许用户进行操作。
但由于签名数据长度一般较长,离线场景时,很难借助手动输入以适用,一般用在服务器与待鉴权设备可以直接通信时。
发明内容
为克服相关技术中存在的问题,本公开提供一种离线鉴权方法、装置、系统及存储介质。
根据本公开实施例的第一方面,提供一种离线鉴权方法,应用于服务器,所述方法包括:获取第二设备发送的鉴权请求,所述鉴权请求用于请求所述服务器生成鉴权信息,所述鉴权信息用于对第一设备进行鉴权;基于所述鉴权请求确定待鉴权的第一设备,并确定所述第一设备所对应的目标鉴权等级,其中,不同的第一设备对应不同的鉴权等级;基于所述目标鉴权等级,确定与所述目标鉴权等级所对应的目标字节长度,其中,不同的鉴权等级对应的鉴权信息的字节长度不同;生成字节长度符合所述目标字节长度的目标鉴权信息;将所述目标鉴权信息发送至所述第二设备,由所述第二设备将所述目标鉴权信息提供给所述第一设备。
一种实施方式中,所述生成字节长度符合所述目标鉴权信息字节长度的目标鉴权信息,包括:确定所述第一设备的设备标识信息和临时公钥;基于所述服务器的私钥、所述第一设备的设备标识信息和所述临时公钥,生成第一鉴权信息,所述第一鉴权信息中的字节长度为指定字节长度;从所述第一鉴权信息中截取字节长度为所述目标字节长度的鉴权信息,作为所述目标鉴权信息。
另一种实施方式中,所述鉴权请求包括识别码,所述识别码由所述第二设备扫描所述第一设备显示部件中显示的识别码获取,并用于标识所述第一设备。
又一种实施方式中,所述将所述目标鉴权信息发送至所述第一设备之前,所述方法还包括:对所述第一设备进行身份验证,并确定对所述第一设备验证通过。
根据本公开实施例的第二方面,提供一种离线鉴权方法,应用于第一设备,所述方法包括:
接收用户输入的目标鉴权信息,所述目标鉴权信息与所述第一设备的目标鉴权等级对应,所述目标鉴权信息的字节长度为目标字节长度,其中,不同的设备对应不同的鉴权等级,不同的鉴权等级对应的鉴权信息的字节长度不同;基于所述目标鉴权信息进行鉴权。
一种实施方式中,所述基于所述目标鉴权信息进行鉴权包括:获取第二鉴权信息,所述第二鉴权信息基于服务器的公钥和所述第一设备的设备标识信息以及所述第一设备的临时公钥确定;基于所述目标字节长度,将所述目标鉴权信息和所述第二鉴权信息中对应的目标字节进行对比;响应于所述目标鉴权信息和所述第二鉴权信息的目标字节对比一致,鉴权通过。
另一种实施方式中,在接收用户输入的目标鉴权信息之前,所述方法还包括:接收所述用户的目标操作,基于所述目标操作生成识别码并显示输入界面,所述识别码用于标识所述第一设备,所述输入界面用于接收用户输入的目标鉴权信息。
又一种实施方式中,所述基于所述目标操作生成识别码,包括:基于所述目标操作生成临时公钥;基于所述设备标识信息和所述临时公钥,生成所述识别码。
根据本公开实施例的第三方面,提供一种离线鉴权方法,应用于第二设备,所述方法包括:响应于获取到第一设备的设备标识信息,向服务器发送鉴权请求,所述鉴权请求用于请求所述服务器生成鉴权信息,所述鉴权信息用于对第一设备进行鉴权;其中,所述第一设备对应有目标鉴权等级,所述目标鉴权等级对应有目标字节长度,不同的第一设备对应不同的鉴权等级,不同的鉴权等级对应的鉴权信息的字节长度不同;接收所述服务器发送的目标鉴权信息,并将所述目标鉴权信息提供给所述第一设备。
一种实施方式中,所述获取到第一设备的设备标识信息,包括:扫描所述第一设备显示部件中显示的识别码,所述识别码用于标识所述第一设备;基于所述识别码获取所述第一设备的设备标识信息和临时公钥。
根据本公开实施例的第四方面,提供一种离线鉴权装置,应用于服务器,所述装置包括:获取模块,用于获取第二设备发送的鉴权请求,所述鉴权请求用于请求所述服务器生成鉴权信息,所述鉴权信息用于对第一设备进行鉴权;处理模块,用于基于所述鉴权请求确定待鉴权的第一设备,并确定所述第一设备所对应的目标鉴权等级,其中,不同的第一设备对应不同的鉴权等级;基于所述目标鉴权等级,确定与所述目标鉴权等级所对应的目标字节长度,其中,不同的鉴权等级对应的鉴权信息的字节长度不同;生成字节长度符合所述目标字节长度的目标鉴权信息;发送模块,用于将所述目标鉴权信息发送至所述第二设备,由所述第二设备将所述目标鉴权信息提供给所述第一设备。
一种实施方式中,所述处理模块,具体用于确定所述第一设备的设备标识信息和临时公钥;基于所述服务器的私钥、所述第一设备的设备标识信息和所述第一设备的临时公钥,生成第一鉴权信息,所述第一鉴权信息中的字节长度为指定字节长度;从所述第一鉴权信息中截取字节长度为所述目标字节长度的鉴权信息,作为所述目标鉴权信息。
另一种实施方式中,所述鉴权请求包括识别码,所述识别码由所述第二设备扫描所述第一设备显示部件中显示的识别码获取,并用于标识所述第一设备。
又一种实施方式中,验证模块,用于对所述第一设备进行身份验证,并确定对所述第一设备验证通过。
根据本公开实施例的第五方面,提供一种离线鉴权装置,应用于第一设备,所述装置包括:接收模块,用于接收用户输入的目标鉴权信息,所述目标鉴权信息与所述第一设备的目标鉴权等级对应,所述目标鉴权信息的字节长度为目标字节长度,其中,不同的设备对应不同的鉴权等级,不同的鉴权等级对应的鉴权信息的字节长度不同;处理模块,用于基于所述目标鉴权信息进行鉴权。
一种实施方式中,所述处理模块,具体用于获取第二鉴权信息,所述第二鉴权信息基于服务器的公钥和所述第一设备的设备标识信息以及临时公钥确定;基于所述目标字节长度,将所述目标鉴权信息和所述第二鉴权信息中对应的目标字节进行对比;响应于所述目标鉴权信息和所述第一鉴权信息的目标字节对比一致,鉴权通过。
另一种实施方式中,所述接收模块,用于接收所述用户的目标操作;所述处理模块,还用于基于所述目标操作生成识别码并显示输入界面,所述识别码用于标识所述第一设备,所述输入界面用于接收用户输入的目标鉴权信息。
又一种实施方式中,所述处理模块,具体还用于基于所述目标操作生成随机数;基于所述设备标识信息和所述随机数,生成所述识别码。
根据本公开实施例的第六方面,提供一种离线鉴权装置,应用于第二设备,所述装置包括:发送模块,用于响应于获取到第一设备的设备标识信息,向服务器发送鉴权请求,所述鉴权请求用于请求所述服务器生成鉴权信息,所述鉴权信息用于对第一设备进行鉴权;其中,所述第一设备对应有目标鉴权等级,所述目标鉴权等级对应有目标字节长度,不同的第一设备对应不同的鉴权等级,不同的鉴权等级对应的鉴权信息的字节长度不同;接收模块,用于接收所述服务器发送的目标鉴权信息,并将所述目标鉴权信息提供给所述第一设备。
一种实施方式中,所述发送模块,具体用于扫描所述第一设备显示部件中显示的识别码,所述识别码用于标识所述第一设备;基于所述识别码获取所述第一设备的设备标识信息和临时公钥。
根据本公开实施例的第七方面,提供一种离线鉴权系统,所述系统包括:第二设备,用于获取到第一设备的设备标识信息,向服务器发送鉴权请求;所述服务器,用于基于所述鉴权请求确定待鉴权的第一设备,并确定所述第一设备所对应的目标鉴权等级;基于所述目标鉴权等级,确定与所述目标鉴权等级所对应的目标字节长度;生成字节长度符合所述目标字节长度的目标鉴权信息;将所述目标鉴权信息发送至所述第二设备;所述第二设备,还用于显示所述目标鉴权信息;所述第一设备,用于接收用户输入的目标鉴权信息,并基于所述目标鉴权信息进行鉴权。
一种实施方式中,所述服务器,具体用于确定所述第一设备的设备标识信息和临时公钥;基于所述服务器的私钥、所述第一设备的设备标识信息和所述临时公钥,生成第一鉴权信息,所述第一鉴权信息中的字节长度为指定字节长度;从所述第一鉴权信息中截取字节长度为所述目标字节长度的鉴权信息,作为所述目标鉴权信息。
另一种实施方式中,所述第一设备,具体用于获取第二鉴权信息,所述第二鉴权信息基于服务器的公钥和所述第一设备的设备标识信息以及所述第一设备的临时公钥确定;基于所述目标字节长度,将所述目标鉴权信息和所述第二鉴权信息中对应的目标字节进行对比;响应于所述目标鉴权信息和所述第二鉴权信息的目标字节对比一致,鉴权通过。
又一种实施方式中,所述鉴权请求包括识别码,所述识别码用于标识所述第一设备;
所述第一设备,还用于接收所述用户的目标操作;基于所述目标操作生成识别码并显示输入界面,所述输入界面用于接收用户输入的目标鉴权信息。
又一种实施方式中,所述第一设备,具体用于基于所述目标操作生成临时公钥,并基于所述设备标识信息和所述临时公钥,生成所述识别码。
又一种实施方式中,所述第二设备,具体用于扫描所述第一设备显示部件中显示的识别码,基于所述识别码获取所述第一设备的设备标识信息和临时公钥。
又一种实施方式中,所述服务器,还用于对所述第一设备进行身份验证,并确定对所述第一设备验证通过。
根据本公开实施例的第八方面,提供一种离线鉴权装置,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为执行如上述第一方面、第二方面以及第三方面及其实施方式所述的离线鉴权方法。
根据本公开实施例的第九方面,提供一种非临时性计算机可读存储介质,当所述存储介质中的指令由移动终端的处理器执行时,使得移动终端能够执行如上述第一方面、第二方面以及第三方面及其实施方式所述的离线鉴权方法。
本公开的实施例提供的技术方案可以包括以下有益效果:基于鉴权请求确定待鉴权的第一设备,并确定第一设备所对应的目标鉴权等级,由于不同的第一设备对应不同的鉴权等级,根据鉴权等级可以确定出不同设备的鉴权信息的字节长度,无需获取鉴权信息的全部字节。同时,目标鉴权信息由第二设备接收,用户只需要通过第二设备获取目标鉴权信息,并将目标鉴权信息的目标字节输入至第一设备中即可,第一设备和服务器无需直接连接,降低了用户手动输入的信息长度。进一步的,第一设备无需预置和鉴权服务器的共享秘密,第一设备和服务器通过第二设备实现信息的交互,因此无需担心某一第一设备的破解导致全部系统的终端被破解,在离线场景下也能实现鉴权并保证鉴权的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1是根据一示例性实施例示出的一种离线鉴权系统的应用场景图。
图2是根据一示例性实施例示出的一种离线鉴权系统进行离线鉴权的流程图。
图3是根据一示例性实施例示出的一种离线鉴权系统进行离线鉴权的流程图。
图4是根据一示例性实施例示出的一种离线鉴权方法的流程图。
图5是根据一示例性实施例示出的另一种离线鉴权方法的流程图。
图6是根据一示例性实施例示出的又一种离线鉴权方法的流程图。
图7是根据一示例性实施例示出的又一种离线鉴权方法的流程图。
图8是根据一示例性实施例示出的又一种离线鉴权方法的流程图。
图9是根据一示例性实施例示出的又一种离线鉴权方法的流程图。
图10是根据一示例性实施例示出的一种离线鉴权装置的框图。
图11是根据一示例性实施例示出的另一种离线鉴权装置的框图。
图12是根据一示例性实施例示出的又一种离线鉴权装置的框图。
图13是根据一示例性实施例示出的一种应用于离线鉴权方法的装置的框图。
图14是根据一示例性实施例示出的另一种应用于离线鉴权方法的装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。
如背景技术所述,鉴权是指验证用户是否拥有访问系统的权利,一般由待鉴权设备请求服务器授权,服务器校验请求待鉴权设备和请求用户直接之间的权限关系,通过后进行签名发送给待鉴权设备;待鉴权设备通过预置的服务器公钥验证签名,如通过则认为服务器同意此次操作,即允许用户进行操作。但由于签名数据长度一般较长,对于离线场景很难适用,一般用在服务器与待鉴权设备可以直接通信时。
目前的鉴权方法中,有一些采取默认管理员口令,即待鉴权设备需要输入特定的管理员口令才可以执行,管理员在设备启用后修改默认管理员口令,之后必须用新的管理员口令才可以操作。此种方法使用场景有限,即当待鉴权设备并非在用户使用阶段,或者产品无法设置管理员角色,都无法采用此方法。
还有一些采取预置共享密钥或预置共享秘密算法,预置共享密钥即待鉴权设备预置一把密钥,服务器存储所有待鉴权设备的预置密钥,然后基于此共享的密钥进行权限挑战和认证;预置共享秘密算法也被称为自定义派生算法,即待鉴权设备和服务器之间都预置相同的算法,算法根据特定的演变规则(比如每分钟生成一次校验码),当需要鉴权认证时,用户从服务器获取当前的校验码,然后输入给待鉴权设备,待鉴权设备采用相同的方法计算,比较输入值和计算值是否一致。但二者本质都是待鉴权设备和服务器之间共享秘密。这类方法缺点是,一旦攻击者知道了预置密钥,或者自定义派生算法,则整个系统就失效或者崩溃了。因此要求对共享秘密的保护级别非常高。
基于上述问题,本公开提供了一种离线鉴权方法,可适用于离线场景,基于待鉴权设备的鉴权等级确定符合目标字节长度的目标鉴权信息,目标鉴权信息由扫描设备接收,用户只需要通过扫描设备获取目标鉴权信息,并将目标鉴权信息的目标字节输入至待鉴权设备中即可,待鉴权设备和服务器无需直接连接,降低了用户手动输入的信息长度。同时待鉴权设备和鉴权服务器通过协商产生共享秘密,无需预置,待鉴权设备和服务器通过扫描设备实现信息的交互,因此无需担心某一待鉴权设备的破解导致全部系统的终端被破解,保证了鉴权的安全性。
图1是根据一示例性实施例示出的一种离线鉴权系统的示意图,如图1所示,包括待鉴权设备1、扫描设备2、服务器3以及用户。
其中,待鉴权设备1处于离线状态,待鉴权设备1中预置服务器3的公钥,同时待鉴权设备具备显示部件,可以输出信息显示至显示部件中,也可以接收用户的输入。扫描设备2与服务器3连接处于联网状态,扫描设备2具有显示部件,可以输出信息显示至显示部件中。同时,扫描设备2还需要具备扫描识别码的功能。服务器3中存储由所有待鉴权设备1的设备标识信息、用户信息、服务器3的私钥以及服务器3的公钥,并将服务器3的公钥公开。用户能够获取扫描设备2中显示的信息,并将扫描设备2中显示的信息输入至待鉴权设备1中。
在本公开实施例中,通过扫描设备实现待鉴权设备和服务器之间的交互,在离线场景下也能够实现鉴权。
本公开实施例中为描述方便,将待鉴权设备称为第一设备,将扫描设备称为第二设备。
基于图1所示的离线鉴权系统,对离线鉴权系统进行离线鉴权的过程进行具体说明。如图2所示,图2是根据一示例性实施例示出的一种离线鉴权系统进行离线鉴权的流程示意图,其中:
第二设备,用于获取第一设备的设备标识信息ID和临时公钥k*G,向服务器发送鉴权请求;
服务器,用于基于鉴权请求确定待鉴权的第一设备,并确定第一设备所对应的目标鉴权等级;基于目标鉴权等级,确定与目标鉴权等级所对应的目标字节长度;生成字节长度符合目标字节长度的目标鉴权信息v;将目标鉴权信息v发送至第二设备;
第二设备,还用于显示目标鉴权信息v;
第一设备,用于接收用户输入的目标鉴权信息v,并基于目标鉴权信息v进行鉴权。
在本公开实施例中,服务器基于鉴权请求确定待鉴权的第一设备,并确定第一设备所对应的目标鉴权等级,由于不同的第一设备对应不同的鉴权等级,根据鉴权等级可以确定出不同设备的鉴权信息的字节长度,无需获取鉴权信息的全部字节。同时,目标鉴权信息由第二设备接收,用户只需要通过第二设备获取目标鉴权信息,并将目标鉴权信息的目标字节输入至第一设备中即可,第一设备和服务器无需直接连接,降低了用户手动输入的信息长度。进一步的,第一设备无需预置和鉴权服务器的共享秘密,第一设备和服务器通过第二设备实现信息的交互,因此无需担心某一第一设备的破解导致全部系统的终端被破解,在离线场景下也能实现鉴权并保证鉴权的安全性。
一些实施例中,第一设备中显示有识别码,第二设备扫描第一设备显示部件中显示的识别码,基于识别码获取第一设备的设备标识信息ID和临时公钥k*G。
一种实施方式是,第一设备通过接收用户的目标操作,基于目标操作生成识别码并显示输入界面,输入界面用于接收用户输入的目标鉴权信息v。
示例性的,第一设备基于目标操作生成临时公钥k*G,并基于设备标识信息ID和临时公钥k*G,生成识别码。其中,k为第一设备的临时私钥,G为基点。
在本公开实施例中,通过第二设备扫描第一设备显示部件中显示的识别码,可以获取第一设备的设备标识信息,从而无需第一设备和服务器进行交互,在第一设备处于离线状态时,服务器也可以获取到第一设备的设备标识信息。同时第一设备通过设备标识信息和每次随机生成的临时公钥生成的识别码,可以抵御重放攻击。
一些实施例中,服务器确定第一设备的设备标识信息ID和临时公钥k*G;基于服务器的私钥d、第一设备的设备标识信息ID和临时公钥k*G,生成第一鉴权信息V,第一鉴权信息V中的字节长度为指定字节长度;从第一鉴权信息V中截取字节长度为目标字节长度的鉴权信息,作为目标鉴权信息v。
示例性的,通过公式V=HMAC(M,ID)计算第一鉴权信息V。其中,HMAC表示HMAC算法,M表示服务器与第一设备的共享秘密,M=d*(k*G),d表示服务器的私钥,(k*G)表示第一设备的临时公钥,k表示第一设备的临时私钥,G表示基点,ID表示第一设备的设备标识信息。
进一步的,从第一鉴权信息V中截取字节长度为目标字节长度的鉴权信息的截取方式为服务器与第一设备预先约定好的。
在本公开实施例中,通过从第一鉴权信息中截取字节长度为目标字节长度的鉴权信息,作为目标鉴权信息,减少了用户输入鉴权信息的字节长度,提高易用性。
一些实施例中,第一设备获取第二鉴权信息v’,第二鉴权信息v’基于服务器的公钥R和第一设备的设备标识信息ID以及第一设备的临时公钥k*G确定;基于目标字节长度,将目标鉴权信息v和第二鉴权信息v’中对应的目标字节进行对比;响应于目标鉴权信息v和第二鉴权信息v’的目标字节对比一致,鉴权通过。
示例性的,基于v'=HMAC(M',ID)确定第二鉴权信息v’。其中,v'表示第二鉴权信息,HMAC表示HMAC算法,M'=k*R,M'表示服务器与第一设备的共享秘密,k表示第一设备生成的临时私钥,R表示服务器的公钥,ID表示第一设备的设备标识信息。
在本公开实施例中,第一设备和服务器的共享秘密是每次鉴权基于第一设备的临时私钥实时生成的,第一设备无需预置共享秘密,也无需存储其他秘密信息,只需保存服务器的公钥即可,因此无需担心某一第一设备的破解导致全部系统的第一设备均被破解。
为了更清楚的描述本公开实施例的离线鉴权系统,如图3所示,图3示出了一种离线鉴权系统进行离线鉴权的详细流程示意图,具体的:当第一设备接收到用户的目标操作时,第一设备生成临时公钥k*G,第一设备将第一设备的设备标识信息ID和第一设备的临时公钥k*G生成识别码,显示在第一设备中并显示输入界面,输入界面用于提醒用户输入目标鉴权信息v。用户通过扫码设备扫描第一设备中显示的识别码获取第一设备的设备标识信息ID和第一设备的临时公钥k*G,并将ID和K*G发送至服务器,服务器利用ID和k*G对第一设备进行身份验证,当身份验证通过后,服务器根据公式V=HMAC(d*(k*G),ID)计算第一鉴权信息V(其中,d表示服务器的私钥),并从第一鉴权信息V中截取字节长度为目标字节长度的鉴权信息,作为目标鉴权信息v,进而将目标鉴权信息v发送至第二设备,由第二设备显示目标鉴权信息v,当用户通过第二设备获取目标鉴权信息v后,将目标鉴权信息v输入至第一设备的输入界面。由第一设备根据公式v'=HMAC(k*R,ID)计算第二鉴权信息v’(其中,k表示第一设备生成的临时私钥,R表示服务器的公钥),第一设备通过将目标鉴权信息v和第二鉴权信息v’中对应的目标字节进行对比,当目标鉴权信息v和第二鉴权信息v’的目标字节对比一致,鉴权通过。
在本公开实施例中,第一设备和服务器无需直接交互,通过第二设备来完成鉴权,使得本公开实施例的方案在离线场景下也适用。同时,用户只需要在第一设备中输入目标鉴权信息的字节长度即可,大大降低了手动输入信息的长度,提高了实用性。
基于本公开实施例提供的离线鉴权系统,本公开实施例还提供一种离线鉴权方法,以下实施例将分别以服务器、第一设备以及第二设备为执行主体进行说明。
图4是根据一示例性实施例示出的一种离线鉴权方法的流程图,如图4所示,离线鉴权方法用于服务器中,包括以下步骤。
在步骤S11中,获取第二设备发送的鉴权请求。
其中,鉴权请求用于请求服务器生成鉴权信息,鉴权信息用于对第一设备进行鉴权。
在步骤S12中,基于鉴权请求确定待鉴权的第一设备,并确定第一设备所对应的目标鉴权等级。
其中,不同的第一设备对应不同的鉴权等级。
可选的,设备与鉴权等级的对应关系可预先存储在服务器中,也可以是鉴权请求中携带有待鉴权的第一设备对应的鉴权等级。
例如,当设备与鉴权等级的对应关系预先存储在服务器中,通过鉴权请求确定出待鉴权的第一设备,服务器从存储的设备与鉴权等级的对应关系中寻找该第一设备对应的及安全等级。又例如,当鉴权请求中携带有待鉴权的第一设备对应的鉴权等级,服务器只需要解析鉴权请求,即可确定第一设备以及对应的鉴权等级。
在步骤S13中,基于目标鉴权等级,确定与目标鉴权等级所对应的目标字节长度。
其中,不同的鉴权等级对应的鉴权信息的字节长度不同。
应理解,鉴权等级越高,对应的鉴权信息的字节长度越长。示例性的,第一设备A的鉴权等级为2,则第一设备A的鉴权信息的字节长度为4;第一设备B的鉴权等级为4,则第二设备B的鉴权信息的字节长度为8。
在步骤S14中,生成字节长度符合目标字节长度的目标鉴权信息v。
在步骤S15中,将目标鉴权信息v发送至第二设备,由第二设备将目标鉴权信息v提供给第一设备。
其中,第二设备的将目标鉴权信息v提供给第一设备可以为用户通过第二设备获取目标鉴权信息v,并将目标鉴权信息v输入至第一设备。
在本公开实施例中,通过获取第二设备发送的鉴权请求,基于鉴权请求确定待鉴权的第一设备,并确定第一设备所对应的目标鉴权等级,由于不同的第一设备对应不同的鉴权等级,根据鉴权等级可以确定出不同设备的鉴权信息的字节长度,无需获取鉴权信息的全部字节。同时,目标鉴权信息由第二设备接收,用户只需要通过第二设备获取目标鉴权信息,并将目标鉴权信息的目标字节输入至第一设备中即可,第一设备和服务器无需直接连接,降低了用户手动输入的信息长度。进一步的,第一设备无需预置和鉴权服务器的共享秘密,第一设备和服务器通过第二设备实现信息的交互,因此无需担心某一第一设备的破解导致全部系统的终端被破解,在离线场景下也能实现鉴权并保证鉴权的安全性。
一些实施例中,通过步骤S21-S23生成字节长度符合目标鉴权信息字节长度的目标鉴权信息,如图5所示,包括以下步骤:
在步骤S21中,确定第一设备的设备标识信息ID和临时公钥k*G。
在步骤S22中,基于服务器的私钥d、第一设备的设备标识信息ID和临时公钥k*G,生成第一鉴权信息V。
其中,第一鉴权信息V中的字节长度为指定字节长度。
可选的,指定字节长度为预设算法所计算出的字节长度。通过共享秘密M,再计算用于校验的鉴权信息V,可以采用公开算法进行派生,如HMAC算法、hash摘要算法、AES加密算法等,也可以自定义派生算法。本示例中以HMAC算法为例:
示例性的,通过公式V=HMAC(M,ID)计算第一鉴权信息。其中,V表示第一鉴权信息,HMAC表示HMAC算法,M表示服务器与第一设备的共享秘密,M=d*(k*G),d表示服务器的私钥,(k*G)表示第一设备的临时公钥,k表示第一设备的临时私钥,G表示非对称加密算法中椭圆曲线的基点,ID表示第一设备的设备标识信息。
本示例中第一设备和服务器各自计算得到共享秘密的方式是ECDH的典型过程,但计算共享秘密的密钥协商算法包括但不限于ECDH、DH等算法,任何密钥协商算法均可以。
在步骤S23中,从第一鉴权信息V中截取字节长度为目标字节长度的鉴权信息,作为目标鉴权信息v。
其中,从第一鉴权信息V中截取字节长度为目标字节长度的鉴权信息的截取方式为服务器与第一设备预先约定好的。例如,从第一鉴权信息截取前6位作为目标鉴权信息。
在本公开实施例中,通过从第一鉴权信息V中截取字节长度为目标字节长度的鉴权信息,作为目标鉴权信息v,减少了用户输入鉴权信息的字节长度,提高易用性。
一些实施例中,鉴权请求包括识别码,识别码由第二设备扫描第一设备显示部件中显示的识别码获取,并用于标识第一设备。
在本公开实施例中,通过第二设备扫描第一设备显示部件中显示的识别码,可以获取第一设备的设备标识信息ID和临时公钥k*G,从而无需第一设备和服务器进行交互,在第一设备处于离线状态时,服务器也可以获取到第一设备的设备标识信息。
一些实施例中,将目标鉴权信息v发送至第一设备之前,需要对第一设备进行身份验证,并确定对第一设备验证通过。
可选的,服务器中预先存储有所有第一设备的设备标识信息,通过解析第二设备扫描第一设备显示部件中显示的识别码,获取该待鉴权的第一设备的设备标识信息,与服务器中预先存储的设备标识信息进行对比,若对比一致,则第一设备的身份验证通过。
在本公开实施例中,服务器首选需要对第一设备进行身份验证,以证明第一设备是符合鉴权要求的,以避免第一设备的身份不符合要求。
图6是根据一示例性实施例示出的一种离线鉴权方法的流程图,如图6所示,鉴权方法用于第一设备中,包括以下步骤。
在步骤S31中,接收用户输入的目标鉴权信息v。
其中,目标鉴权信息与第一设备的目标鉴权等级对应,目标鉴权信息的字节长度为目标字节长度。
应理解,不同的设备对应不同的鉴权等级,不同的鉴权等级对应的鉴权信息的字节长度不同。
在步骤S32中,基于目标鉴权信息v进行鉴权。
在本公开实施例中,由于目标鉴权信息的字节长度为目标字节长度,用户在输入鉴权信息时无需输入全部的鉴权信息,只需输入目标鉴权信息即可,减少了用户输入鉴权信息的字节长度,提高易用性。同时,在基于目标鉴权信息进行鉴权时,由于目标鉴权信息的字节长度减少,也提高了鉴权的速度。
在一些实施例中,通过步骤S41-S43实现基于目标鉴权信息进行鉴权,如图7所示,包括以下步骤:
在步骤S41中,获取第二鉴权信息v'。
其中,第二鉴权信息v'基于服务器的公钥和第一设备的设备标识信息以及第一设备的临时公钥确定。
一种实施方式是,当目标鉴权信息v是通过公式V=HMAC(M,ID)计算得到的第一鉴权信息中截取时。基于v'=HMAC(M',ID)确定第二鉴权信息。其中,v'表示第二鉴权信息,HMAC表示HMAC算法,M'=k*R,M'表示服务器与第一设备的共享秘密,k表示第一设备生成的临时私钥,R表示服务器的公钥,ID表示第一设备的设备标识信息。
在步骤S42中,基于目标字节长度,将目标鉴权信息v和第二鉴权信息v'中对应的目标字节进行对比。
示例性的,目标字节长度为6且为目标鉴权信息的前6位,则将目标鉴权信息V和第二鉴权信息V'中对应的前6位进行对比。
在步骤S43中,响应于目标鉴权信息v和第二鉴权信息v'的目标字节对比一致,鉴权通过。
示例性的,若目标鉴权信息为514564,第二鉴权信息的目标字节为748566,则表示对比不一致,鉴权不通过。若目标鉴权信息为514564,第二鉴权信息的目标字节为514564,则表示对比一致,鉴权通过。
在本公开实施例中,第一设备和服务器的共享秘密是每次鉴权基于第一设备的临时私钥实时生成的,第一设备无需预置共享秘密,也无需存储其他秘密信息,只需保存服务器的公钥即可,因此无需担心某一第一设备的破解导致全部系统的第一设备均被破解。
一些实施例中,如图8所示,在接收用户输入的目标鉴权信息之前,所述方法还包括以下步骤:
在步骤S51中,接收用户的目标操作。
在步骤S52中,基于目标操作生成识别码并显示输入界面。
其中,识别码用于标识第一设备,输入界面用于接收用户输入的目标鉴权信息。
在本公开实施例中,接受到用户的目标操作,通过目标操作生成识别码,在离线场景下,服务器也可以通过第二设备扫描识别码获取第一设备的设备标识信息,提高了适用性。
一些实施例中,通过以下方式实现基于目标操作生成识别码:基于目标操作生成临时公钥,基于设备标识信息和临时公钥,生成识别码。
在本公开实施例,通过设备标识信息和每次随机生成的随机数生成的识别码,可以抵御重放攻击。
在本公开实施例,为了防止攻击者采取在第一设备中多次输入目标鉴权信息的方案来暴力攻击,第一设备中可以预先设置两次鉴权失败的时间间隔、最多允许输入目标鉴权信息的次数、若干次鉴权失败后重新生成识别码过程等措施,来提高安全强度。
图9是根据一示例性实施例示出的一种离线鉴权方法的流程图,如图9所示,鉴权方法用于第二设备中,包括以下步骤。
在步骤S61中,响应于获取到第一设备的设备标识信息ID和临时公钥k*G,向服务器发送鉴权请求。
其中,鉴权请求用于请求服务器生成鉴权信息,鉴权信息用于对第一设备进行鉴权。
进一步的,第一设备对应有目标鉴权等级,目标鉴权等级对应有目标字节长度,不同的第一设备对应不同的鉴权等级,不同的鉴权等级对应的鉴权信息的字节长度不同。
在步骤S62中,接收服务器发送的目标鉴权信息v,并将目标鉴权信息v提供给第一设备。
在本公开实施例中,通过第二设备向服务器发送鉴权请求,并通过第二设备向第一设备提供目标鉴权信息,使得第一设备在离线状态也可以接受到服务器生成的目标鉴权信息。同时由于目标鉴权信息的字节长度是根据第一设备的鉴权等级确定的,因此用户在将目标鉴权信息输入值第一设备时,可以降低用户手动输入的信息长度,提高适用性。
一种实施方式中,通过以下方式获取第一设备的设备标识信息:扫描第一设备显示部件中显示的识别码,识别码用于标识第一设备,并基于识别码获取第一设备的设备标识信息和临时公钥。
在本公开实施例中,通过第二设备扫描第一设备中显示的识别码获取第一设备的设备标识信息,避免了第二设备获取到错误的设备标识信息,从而使鉴权出现错误。
另一种实施方式中,可以通过用户在第二设备中输入第一设备的设备标识信息,使第二设备获取第一设备的设备标识信息。
一些实施例中,为了进一步提高鉴权的安全性,可以在第二设备中进行用户的身份校验,例如可以要求用户在第二设备中登录用户信息,比如账号和密码,生物特征等,以便服务器可以对用户身份进行鉴权。
基于相同的构思,本公开实施例还提供一种鉴权装置。
可以理解的是,本公开实施例提供的鉴权装置为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。结合本公开实施例中所公开的各示例的单元及算法步骤,本公开实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同的方法来实现所描述的功能,但是这种实现不应认为超出本公开实施例的技术方案的范围。
图10是根据一示例性实施例示出的一种离线鉴权装置框图,应用于服务器中。参照图10,该装置包括获取模块101,处理模块102、发送模块103和验证模块104。
获取模块101,用于获取第二设备发送的鉴权请求,鉴权请求用于请求服务器生成鉴权信息,鉴权信息用于对第一设备进行鉴权;
处理模块102,用于基于鉴权请求确定待鉴权的第一设备,并确定第一设备所对应的目标鉴权等级,其中,不同的第一设备对应不同的鉴权等级;基于目标鉴权等级,确定与目标鉴权等级所对应的目标字节长度,其中,不同的鉴权等级对应的鉴权信息的字节长度不同;生成字节长度符合目标字节长度的目标鉴权信息;
发送模块103,用于将目标鉴权信息发送至第二设备,由第二设备将目标鉴权信息提供给第一设备。
一种实施方式中,处理模块102,具体用于确定第一设备的设备标识信息和临时公钥;基于服务器的私钥、第一设备的设备标识信息以及第一设备的临时公钥,生成第一鉴权信息,第一鉴权信息中的字节长度为指定字节长度;从第一鉴权信息中截取字节长度为目标字节长度的鉴权信息,作为目标鉴权信息。
另一种实施方式中,鉴权请求包括识别码,识别码由第二设备扫描第一设备显示部件中显示的识别码获取,并用于标识第一设备。
又一种实施方式中,验证模块104,用于对第一设备进行身份验证,并确定对第一设备验证通过。
图11是根据一示例性实施例示出的一种离线鉴权装置框图,应用于第一设备中。参照图11,该装置包括接收模块201和处理模块202。
接收模块201,用于接收用户输入的目标鉴权信息,目标鉴权信息与第一设备的目标鉴权等级对应,目标鉴权信息的字节长度为目标字节长度,其中,不同的设备对应不同的鉴权等级,不同的鉴权等级对应的鉴权信息的字节长度不同;
处理模块202,用于基于目标鉴权信息进行鉴权。
一种实施方式中,处理模块202,具体用于获取第二鉴权信息,第二鉴权信息基于服务器的公钥和第一设备的设备标识信息以及临时公钥确定;基于目标字节长度,将目标鉴权信息和所述第二鉴权信息中对应的目标字节进行对比;响应于目标鉴权信息和所述第一鉴权信息的目标字节对比一致,鉴权通过。
另一种实施方式中,接收模块201,用于接收用户的目标操作;
处理模块202,还用于基于目标操作生成识别码并显示输入界面,识别码用于标识所述第一设备,输入界面用于接收用户输入的目标鉴权信息。
又一种实施方式中,处理模块202,具体还用于基于目标操作生成随机数;基于设备标识信息和随机数,生成识别码。
图12是根据一示例性实施例示出的一种离线鉴权装置框图,应用于第二设备中。参照图12,该装置包括发送模块301和接收模块302。
发送模块,用于响应于获取到第一设备的设备标识信息,向服务器发送鉴权请求,鉴权请求用于请求服务器生成鉴权信息,鉴权信息用于对第一设备进行鉴权;其中,第一设备对应有目标鉴权等级,目标鉴权等级对应有目标字节长度,不同的第一设备对应不同的鉴权等级,不同的鉴权等级对应的鉴权信息的字节长度不同;接收模块,用于接收服务器发送的目标鉴权信息,并将目标鉴权信息提供给第一设备。
一种实施方式中,发送模块301,具体用于扫描第一设备显示部件中显示的识别码,识别码用于标识第一设备;基于识别码获取第一设备的设备标识信息和临时公钥。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图13是根据一示例性实施例示出的一种用于鉴权方法的装置400的框图。例如,装置400可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
参照图13,装置400可以包括以下一个或多个组件:处理组件402,存储器404,电力组件406,多媒体组件408,音频组件410,输入/输出(I/O)接口412,传感器组件414,以及通信组件416。
处理组件402通常控制装置400的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件402可以包括一个或多个处理器420来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件402可以包括一个或多个模块,便于处理组件402和其他组件之间的交互。例如,处理组件402可以包括多媒体模块,以方便多媒体组件408和处理组件402之间的交互。
存储器404被配置为存储各种类型的数据以支持在装置400的操作。这些数据的示例包括用于在装置400上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器404可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电力组件406为装置400的各种组件提供电力。电力组件406可以包括电源管理系统,一个或多个电源,及其他与为装置400生成、管理和分配电力相关联的组件。
多媒体组件408包括在所述装置400和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件408包括一个前置摄像头和/或后置摄像头。当装置400处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件410被配置为输出和/或输入音频信号。例如,音频组件410包括一个麦克风(MIC),当装置400处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器404或经由通信组件416发送。在一些实施例中,音频组件410还包括一个扬声器,用于输出音频信号。
I/O接口412为处理组件402和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件414包括一个或多个传感器,用于为装置400提供各个方面的状态评估。例如,传感器组件414可以检测到装置400的打开/关闭状态,组件的相对定位,例如所述组件为装置400的显示器和小键盘,传感器组件414还可以检测装置400或装置400一个组件的位置改变,用户与装置400接触的存在或不存在,装置400方位或加速/减速和装置400的温度变化。传感器组件414可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件414还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件414还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件416被配置为便于装置400和其他设备之间有线或无线方式的通信。装置400可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件416经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件416还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,装置400可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器404,上述指令可由装置400的处理器420执行以完成上述方法。例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
图14是根据一示例性实施例示出的一种用于鉴权的装置500的框图。例如,装置500可以被提供为一服务器。参照图14,装置500包括处理组件522,其进一步包括一个或多个处理器,以及由存储器532所代表的存储器资源,用于存储可由处理组件522的执行的指令,例如应用程序。存储器532中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件522被配置为执行指令,以执行上述离线鉴权方法。
装置500还可以包括一个电源组件526被配置为执行装置500的电源管理,一个有线或无线网络接口550被配置为将装置500连接到网络,和一个输入输出(I/O)接口558。装置500可以操作基于存储在存储器532的操作系统,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
可以理解的是,本公开中“多个”是指两个或两个以上,其它量词与之类似。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
进一步可以理解的是,术语“第一”、“第二”等用于描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开,并不表示特定的顺序或者重要程度。实际上,“第一”、“第二”等表述完全可以互换使用。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。
进一步可以理解的是,除非有特殊说明,“连接”包括两者之间不存在其他构件的直接连接,也包括两者之间存在其他元件的间接连接。
进一步可以理解的是,本公开实施例中尽管在附图中以特定的顺序描述操作,但是不应将其理解为要求按照所示的特定顺序或是串行顺序来执行这些操作,或是要求执行全部所示的操作以得到期望的结果。在特定环境中,多任务和并行处理可能是有利的。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利范围来限制。

Claims (29)

1.一种离线鉴权方法,其特征在于,应用于服务器,所述方法包括:
获取第二设备发送的鉴权请求,所述鉴权请求用于请求所述服务器生成鉴权信息,所述鉴权信息用于对第一设备进行鉴权;
基于所述鉴权请求确定待鉴权的第一设备,并确定所述第一设备所对应的目标鉴权等级,其中,不同的第一设备对应不同的鉴权等级;
基于所述目标鉴权等级,确定与所述目标鉴权等级所对应的目标字节长度,其中,不同的鉴权等级对应的鉴权信息的字节长度不同;
生成字节长度符合所述目标字节长度的目标鉴权信息;
将所述目标鉴权信息发送至所述第二设备,由所述第二设备将所述目标鉴权信息提供给所述第一设备。
2.根据权利要求1所述的方法,其特征在于,所述生成字节长度符合所述目标鉴权信息字节长度的目标鉴权信息,包括:
确定所述第一设备的设备标识信息和临时公钥;
基于所述服务器的私钥、所述第一设备的设备标识信息和所述临时公钥,生成第一鉴权信息,所述第一鉴权信息中的字节长度为指定字节长度;
从所述第一鉴权信息中截取字节长度为所述目标字节长度的鉴权信息,作为所述目标鉴权信息。
3.根据权利要求1或2所述的方法,其特征在于,所述鉴权请求包括识别码,所述识别码由所述第二设备扫描所述第一设备显示部件中显示的识别码获取,并用于标识所述第一设备。
4.根据权利要求1所述的方法,其特征在于,所述将所述目标鉴权信息发送至所述第一设备之前,所述方法还包括:
对所述第一设备进行身份验证,并确定对所述第一设备验证通过。
5.一种离线鉴权方法,其特征在于,应用于第一设备,所述方法包括:
接收用户输入的目标鉴权信息,所述目标鉴权信息与所述第一设备的目标鉴权等级对应,所述目标鉴权信息的字节长度为目标字节长度,其中,不同的设备对应不同的鉴权等级,不同的鉴权等级对应的鉴权信息的字节长度不同;
基于所述目标鉴权信息进行鉴权。
6.根据权利要求5所述的方法,其特征在于,所述基于所述目标鉴权信息进行鉴权包括:
获取第二鉴权信息,所述第二鉴权信息基于服务器的公钥和所述第一设备的设备标识信息以及所述第一设备的临时公钥确定;
基于所述目标字节长度,将所述目标鉴权信息和所述第二鉴权信息中对应的目标字节进行对比;
响应于所述目标鉴权信息和所述第二鉴权信息的目标字节对比一致,鉴权通过。
7.根据权利要求5或6所述的方法,其特征在于,在接收用户输入的目标鉴权信息之前,所述方法还包括:
接收所述用户的目标操作;
基于所述目标操作生成识别码并显示输入界面,所述识别码用于标识所述第一设备,所述输入界面用于接收用户输入的目标鉴权信息。
8.根据权利要求7所述的方法,其特征在于,所述基于所述目标操作生成识别码,包括:
基于所述目标操作生成临时公钥;
基于所述设备标识信息和所述临时公钥,生成所述识别码。
9.一种离线鉴权方法,其特征在于,应用于第二设备,所述方法包括:
响应于获取到第一设备的设备标识信息和临时公钥,向服务器发送鉴权请求,所述鉴权请求用于请求所述服务器生成鉴权信息,所述鉴权信息用于对第一设备进行鉴权;其中,所述第一设备对应有目标鉴权等级,所述目标鉴权等级对应有目标字节长度,不同的第一设备对应不同的鉴权等级,不同的鉴权等级对应的鉴权信息的字节长度不同;
接收所述服务器发送的目标鉴权信息,并将所述目标鉴权信息提供给所述第一设备。
10.根据权利要求9所述的方法,其特征在于,所述获取到第一设备的设备标识信息和临时公钥,包括:
扫描所述第一设备显示部件中显示的识别码,所述识别码用于标识所述第一设备;
基于所述识别码获取所述第一设备的设备标识信息和临时公钥。
11.一种离线鉴权装置,其特征在于,应用于服务器,所述装置包括:
获取模块,用于获取第二设备发送的鉴权请求,所述鉴权请求用于请求所述服务器生成鉴权信息,所述鉴权信息用于对第一设备进行鉴权;
处理模块,用于基于所述鉴权请求确定待鉴权的第一设备,并确定所述第一设备所对应的目标鉴权等级,其中,不同的第一设备对应不同的鉴权等级;基于所述目标鉴权等级,确定与所述目标鉴权等级所对应的目标字节长度,其中,不同的鉴权等级对应的鉴权信息的字节长度不同;生成字节长度符合所述目标字节长度的目标鉴权信息;
发送模块,用于将所述目标鉴权信息发送至所述第二设备,由所述第二设备将所述目标鉴权信息提供给所述第一设备。
12.根据权利要求11所述的装置,其特征在于,
所述处理模块,具体用于确定所述第一设备的设备标识信息和临时公钥;基于所述服务器的私钥、所述第一设备的设备标识信息和所述第一设备的临时公钥,生成第一鉴权信息,所述第一鉴权信息中的字节长度为指定字节长度;从所述第一鉴权信息中截取字节长度为所述目标字节长度的鉴权信息,作为所述目标鉴权信息。
13.根据权利要求11或12所述的装置,其特征在于,所述鉴权请求包括识别码,所述识别码由所述第二设备扫描所述第一设备显示部件中显示的识别码获取,并用于标识所述第一设备。
14.根据权利要求11所述的装置,其特征在于,
验证模块,用于对所述第一设备进行身份验证,并确定对所述第一设备验证通过。
15.一种离线鉴权装置,其特征在于,应用于第一设备,所述装置包括:
接收模块,用于接收用户输入的目标鉴权信息,所述目标鉴权信息与所述第一设备的目标鉴权等级对应,所述目标鉴权信息的字节长度为目标字节长度,其中,不同的设备对应不同的鉴权等级,不同的鉴权等级对应的鉴权信息的字节长度不同;
处理模块,用于基于所述目标鉴权信息进行鉴权。
16.根据权利要求15所述的装置,其特征在于,
所述处理模块,具体用于获取第二鉴权信息,所述第二鉴权信息基于服务器的公钥和所述第一设备的设备标识信息以及临时公钥确定;基于所述目标字节长度,将所述目标鉴权信息和所述第二鉴权信息中对应的目标字节进行对比;响应于所述目标鉴权信息和所述第二鉴权信息的目标字节对比一致,鉴权通过。
17.根据权利要求15或16所述的装置,其特征在于,
所述接收模块,用于接收所述用户的目标操作;
所述处理模块,还用于基于所述目标操作生成识别码并显示输入界面,所述识别码用于标识所述第一设备,所述输入界面用于接收用户输入的目标鉴权信息。
18.根据权利要求17所述的装置,其特征在于,所述处理模块,具体还用于基于所述目标操作生成随机数;基于所述设备标识信息和所述随机数,生成所述识别码。
19.一种离线鉴权装置,其特征在于,应用于第二设备,所述装置包括:
发送模块,用于响应于获取到第一设备的设备标识信息,向服务器发送鉴权请求,所述鉴权请求用于请求所述服务器生成鉴权信息,所述鉴权信息用于对第一设备进行鉴权;其中,所述第一设备对应有目标鉴权等级,所述目标鉴权等级对应有目标字节长度,不同的第一设备对应不同的鉴权等级,不同的鉴权等级对应的鉴权信息的字节长度不同;
接收模块,用于接收所述服务器发送的目标鉴权信息,并将所述目标鉴权信息提供给所述第一设备。
20.根据权利要求19所述的装置,其特征在于,
所述发送模块,具体用于扫描所述第一设备显示部件中显示的识别码,所述识别码用于标识所述第一设备;基于所述识别码获取所述第一设备的设备标识信息和临时公钥。
21.一种离线鉴权系统,其特征在于,所述系统包括:
第二设备,用于获取到第一设备的设备标识信息和临时公钥,向服务器发送鉴权请求;
所述服务器,用于基于所述鉴权请求确定待鉴权的第一设备,并确定所述第一设备所对应的目标鉴权等级;基于所述目标鉴权等级,确定与所述目标鉴权等级所对应的目标字节长度;生成字节长度符合所述目标字节长度的目标鉴权信息;将所述目标鉴权信息发送至所述第二设备;
所述第二设备,还用于显示所述目标鉴权信息;
所述第一设备,用于接收用户输入的目标鉴权信息,并基于所述目标鉴权信息进行鉴权。
22.根据权利要求21所述的系统,其特征在于,
所述服务器,具体用于确定所述第一设备的设备标识信息和临时公钥;基于所述服务器的私钥、所述第一设备的设备标识信息和所述临时公钥,生成第一鉴权信息,所述第一鉴权信息中的字节长度为指定字节长度;从所述第一鉴权信息中截取字节长度为所述目标字节长度的鉴权信息,作为所述目标鉴权信息。
23.根据权利要求22所述的系统,其特征在于,
所述第一设备,具体用于获取第二鉴权信息,所述第二鉴权信息基于服务器的公钥和所述第一设备的设备标识信息以及所述第一设备的临时公钥确定;基于所述目标字节长度,将所述目标鉴权信息和所述第二鉴权信息中对应的目标字节进行对比;响应于所述目标鉴权信息和所述第二鉴权信息的目标字节对比一致,鉴权通过。
24.根据权利要求21至23任一项所述的系统,其特征在于,所述鉴权请求包括识别码,所述识别码用于标识所述第一设备;
所述第一设备,还用于接收所述用户的目标操作;基于所述目标操作生成识别码并显示输入界面,所述输入界面用于接收用户输入的目标鉴权信息。
25.根据权利要求24所述的系统,其特征在于,
所述第一设备,具体用于基于所述目标操作生成临时公钥,并基于所述设备标识信息和所述临时公钥,生成所述识别码。
26.根据权利要求25所述的系统,其特征在于,
所述第二设备,具体用于扫描所述第一设备显示部件中显示的识别码,基于所述识别码获取所述第一设备的设备标识信息和临时公钥。
27.根据权利要求21所述的系统,其特征在于,
所述服务器,还用于对所述第一设备进行身份验证,并确定对所述第一设备验证通过。
28.一种离线鉴权装置,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:执行如权利要求1-4或5-8或9-10任一项所述的离线鉴权方法。
29.一种非临时性计算机可读存储介质,当所述存储介质中的指令由移动终端的处理器执行时,使得移动终端能够执行如权利要求1-4或5-8或9-10任一项所述的离线鉴权方法。
CN202211226786.XA 2022-10-09 2022-10-09 离线鉴权方法、装置、系统及存储介质 Pending CN115766077A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211226786.XA CN115766077A (zh) 2022-10-09 2022-10-09 离线鉴权方法、装置、系统及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211226786.XA CN115766077A (zh) 2022-10-09 2022-10-09 离线鉴权方法、装置、系统及存储介质

Publications (1)

Publication Number Publication Date
CN115766077A true CN115766077A (zh) 2023-03-07

Family

ID=85350797

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211226786.XA Pending CN115766077A (zh) 2022-10-09 2022-10-09 离线鉴权方法、装置、系统及存储介质

Country Status (1)

Country Link
CN (1) CN115766077A (zh)

Similar Documents

Publication Publication Date Title
EP3657370B1 (en) Methods and devices for authenticating smart card
US9819652B2 (en) Information interaction methods and devices
CN109146470B (zh) 生成付款码的方法及装置
CN113242224B (zh) 授权方法及装置、电子设备和存储介质
CN108811179B (zh) 无线网络的连接方法、装置及存储介质
CN109039860B (zh) 发送和展示消息的方法及装置、身份认证的方法及装置
US10313870B2 (en) Identity verification method and apparatus, and storage medium
CN110765434A (zh) 身份验证方法、装置、电子设备和存储介质
CN110049062B (zh) 验证码校验方法、装置、系统、服务器、电子设备及存储介质
CN110738778B (zh) 门禁控制方法及装置、设备、存储介质
CN111611075A (zh) 虚拟资源请求处理方法、装置、电子设备及存储介质
CN113343212A (zh) 设备注册方法及装置、电子设备和存储介质
CN112202770A (zh) 设备联网方法及装置、设备、存储介质
CN104869001A (zh) 短信认证方法及装置
CN104852800B (zh) 数据传输方法及装置
CN111917728A (zh) 一种密码验证方法及装置
CN114221764A (zh) 基于区块链的公钥更新方法、装置和设备
CN113055169B (zh) 数据加密方法、装置、电子设备及存储介质
CN112784243A (zh) 授权管理方法及装置、电子设备和存储介质
CN108712384B (zh) 终端认证方法、装置、终端及服务器
CN107302519B (zh) 一种终端设备的身份认证方法、装置和终端设备、服务器
CN115766077A (zh) 离线鉴权方法、装置、系统及存储介质
CN108924136B (zh) 授权认证方法、装置及存储介质
CN113868505A (zh) 数据处理方法、装置、电子设备、服务器及存储介质
CN111371563A (zh) 口令验证方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination