CN116361841A - 访问认证方法、系统、终端设备、服务器和存储介质 - Google Patents
访问认证方法、系统、终端设备、服务器和存储介质 Download PDFInfo
- Publication number
- CN116361841A CN116361841A CN202111615384.4A CN202111615384A CN116361841A CN 116361841 A CN116361841 A CN 116361841A CN 202111615384 A CN202111615384 A CN 202111615384A CN 116361841 A CN116361841 A CN 116361841A
- Authority
- CN
- China
- Prior art keywords
- authentication information
- mcu
- partition
- authentication
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000003860 storage Methods 0.000 title claims abstract description 39
- 238000005192 partition Methods 0.000 claims abstract description 130
- 238000004590 computer program Methods 0.000 claims description 18
- 230000001133 acceleration Effects 0.000 claims description 11
- 238000002955 isolation Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 11
- 238000012545 processing Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 101150053844 APP1 gene Proteins 0.000 description 1
- 101100189105 Homo sapiens PABPC4 gene Proteins 0.000 description 1
- 102100039424 Polyadenylate-binding protein 4 Human genes 0.000 description 1
- 102100038359 Xaa-Pro aminopeptidase 3 Human genes 0.000 description 1
- 101710081949 Xaa-Pro aminopeptidase 3 Proteins 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种访问认证方法、系统、终端设备、服务器和存储介质,通过终端设备从预先设置的MCU分区中获取自身的第一认证信息;将所述第一认证信息发送至服务器,以指示所述服务器基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证。实现了对物联网内终端设备的数据基于MCU分区进行隔离保护,以提高终端设备的数据安全性,同时通过PKI认证体系对终端设备的身份进行认证,旨在防止未经授权的终端设备进入物联网内,能够有效保证物联网体系的安全性。
Description
技术领域
本发明涉及数据安全技术领域,尤其涉及一种访问认证方法、系统、终端设备、服务器和存储介质。
背景技术
近年来,随着物联网终端数量的跳跃式增长,随之而来的安全问题给物联网的发展带来了严峻的考验。从物联网的应用现状来看,物联网体系包括终端设备和服务器,终端设备经服务器授权后,才具有合法访问物联网内数据的权限。若未经授权的终端设备非法进入物联网内,并访问其它终端设备的数据,则可能导致终端设备内存储的私密数据泄露、或者终端设备自身的程序数据被窃取及篡改,从而造成用户隐私泄露以及工业生产的安全问题。因此,如何保证物联网体系的安全是亟待解决的技术问题。
发明内容
本申请实施例提供了一种访问认证方法、系统、终端设备、服务器和存储介质,通过对物联网内终端设备的数据基于MCU分区进行隔离保护,以提高终端设备的数据安全性,同时通过PKI认证体系对终端设备的身份进行认证,旨在防止未经授权的终端设备进入物联网内,能够有效保证物联网体系的安全性。
为实现上述目的,本申请实施例第一方面提供了一种访问认证方法,应用于终端设备,所述方法包括:
从预先设置的MCU分区中获取所述终端设备自身的第一认证信息;
将所述第一认证信息发送至服务器,以指示所述服务器基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证。
本申请实施例第二方面提供了一种访问认证方法,应用于服务器,所述方法包括:
接收终端设备发送的第一认证信息;
基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证;
其中,所述第一认证信息为所述终端设备从预先设置的MCU分区中获取的所述终端设备的第一认证信息。
本申请实施例第三方面提供了一种终端设备,包括:存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如上述第一方面所述的访问认证方法的步骤。
本申请实施例第四方面提供了一种服务器,包括:存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如上述第二方面所述的访问认证方法的步骤。
本申请实施例第五方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被一个或多个处理器执行时,使得一个或多个处理器执行如上述第一方面所述的访问认证方法的步骤;
或者,使得一个或多个处理器执行如上述第二方面所述的访问认证方法的步骤。
本申请实施例第六方面提供了一种访问认证系统,包括终端设备和服务器,所述终端设备用于从预先设置的MCU分区中获取自身的第一认证信息,将所述第一认证信息发送至所述服务器;
所述服务器用于接收终端设备发送的第一认证信息,基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证。
本申请实施例提供的访问认证方法、系统、终端设备、服务器和存储介质,通过终端设备从预先设置的MCU分区中获取自身的第一认证信息;将所述第一认证信息发送至服务器,以指示所述服务器基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证。实现了对物联网内终端设备的数据基于MCU分区进行隔离保护,以提高终端设备的数据安全性,同时通过PKI认证体系对终端设备的身份进行认证,旨在防止未经授权的终端设备进入物联网内,能够有效保证物联网体系的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
图1为本申请实施例提供的访问认证方法的实现流程示意图;
图2是MCU分区的结构示意图;
图3是本申请实施例提供的访问认证系统的示意图;
图4是本申请另一实施例提供的访问认证方法的实现流程图;
图5是本申请另一实施例提供的访问认证方法的实现流程图;
图6是本申请实施例提供的终端设备的示意图;
图7是本申请实施例提供的服务器的示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
附图中所示的流程图仅是示例说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解、组合或部分合并,因此实际执行的顺序有可能根据实际情况改变。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
请参阅图1所示,图1为本申请实施例提供的访问认证方法的实现流程示意图。该访问认证方法由终端设备实现,所述终端设备包括但不限于笔记本、PAD、个人数字设备、电脑,或者智能家居、智能穿戴等智能设备等中的一种。由图1可知,本申请实施例提高的访问认证方法包括步骤S101至S102。详述如下:
S101,从预先设置的MCU分区中获取所述终端设备自身的第一认证信息。
应理解,本申请实施例中的终端设备为物联网智能终端设备,所述物联网智能终端设备是物联网中连接传感网络层和传输网络层,实现采集数据及向网络层发送数据的设备。它担负着数据采集、初步处理、加密、传输等多种功能。而物联网智能终端在接入物联网网络之前,需要得到控制端的授权,也称为服务器的授权。一旦未授权的设备接入物联网网络,则可能危害网络的正常运行。
在本申请实施例中,通过将终端设备内的数据加密或者签名后存储在预先设置的MCU分区中进行隔离保护,以防止未授权的设备接入物理网后,对终端设备内的数据进行读写及擦除操作。
其中,所述预先设置的MCU分区包括至少一个MCU分区,所述至少一个MCU分区用于存储所述第一认证信息和核心代码。应理解,所述第一认证信息和所述核心代码可以存储在同一MCU分区内,也可以存储在不同的MCU分区内。也就是说,本申请实施例提供的MCU分区可以包括多个MCU分区,根据实际应用需要,可以在不同的MCU分区内存储不同的加密信息、签名信息或者核心代码。
示例性地,本实施例提供的MCU分区包括第一MCU分区和第二MCU分区;所述第一MCU分区用于存储所述第一认证信息,所述第二MCU分区用于存储核心代码。
具体地,所述第一认证信息包括对所述终端设备的设备证书、设备随机数和设备序列号经过密码学运算后,得到的挑战码,或者所述第一认证信息包括对所述终端设备的设备证书、设备随机数和设备序列号经过签名处理后,得到的签名信息。应理解,无论是根据密码学运算原理或者是根据签名运算原理,每获取一次所述第一认证信息,需要生成一次挑战码,或者生成一次签名信息。也就是说,每次访问所述MCU分区,获取的所述第一认证信息不同。
在本申请的实施例中,可以将所述终端设备的敏感信息和核心代码分别存储在不同的MCU分区内。具体地,所述第一MCU分区内可用于存储所述终端设备的所有敏感信息,例如终端用户的私密数据包括身份证号码、指纹、声纹、通信录等。应理解,所述终端设备的敏感信息也可以分开,存储在不同的MCU分区内,具体地,本申请实施例对MCU分区的个数不做具体限定。
在一些实施例中,所述从预先设置的MCU分区中获取所述终端设备自身的第一认证信息,包括:通过所述MCU分区内置的硬件加速引擎对所述终端设备的设备证书、设备随机数和设备序列号进行加密或签名处理,得到所述第一认证信息。
具体地,所述核心代码包括用于获取第一认证信息的代码;所述从预先设置的MCU分区中获取自身的第一认证信息,包括:通过所述用于获取第一认证信息的代码,调用所述MCU分区的安全接口,从所述MCU分区内获取所述第一认证信息。
应理解,本申请实施例所述的MCU分区包括但不限于MCU FLASH分区。需要说明的是,在本申请的实施例中,所述MCU分区为访问受保护的区域。具体地,通过配置所述MCU分区的安全接口对各个所述MCU分区内数据的访问权限,实现对所述MCU分区内数据的访问权限限制,以使除授权的安全接口之外的其它设备或模块无法对所述MCU分区内数据进行访问。例如,通过所述终端设备内置的存储器管理单元MMU配置所述安全接口对所述MCU分区内数据的访问权限,具体地,可以将所述访问权限配置为不可以读写和擦除,以使所述授权的安全接口仅能够对所述MCU分区内的数据进行访问,其它设备或模块无法对所述MCU分区内的数据进行读写和擦除。以保证即使有未授权的终端设备进入网络,也无法获取所述MCU分区内的数据,能够有效保证终端设备数据的安全性。
具体地,所述安全接口对所述MCU分区内的数据进行访问,输出所述第一认证信息。应理解,所述安全接口返回的数据为经过密码学加密运算或者经过签名处理之后的数据,安全接口通过访问存储终端设备的设备证书、设备随机数和设备序列号的地址,可以获取对对应地址内数据加密运算之后的加密数据,或者可以获取对对应地址内数据签名处理之后的签名数据。而通过对所述MCU分区的访问管理,可以使其它模块或者设备无法对所述MCU分区内的数据进行读写或者擦除等操作,能够有效提高终端设备内数据的安全性。
示例性地,在所述从预先设置的MCU分区中获取所述终端设备自身的第一认证信息之前,包括:通过所述MCU分区内置的硬件加速引擎对所述终端设备的设备证书、设备随机数和设备序列号进行加密处理,或者对所述终端的设备证书、设备随机数和设备序列号进行签名处理,得到所述第一认证信息。其中,硬件加速引擎为硬件算法协处理器,由于硬件加速引擎相较于软件算法而言,其不仅可以通过并发执行来提高运算速度,并且对应的安全颗粒是门级别(软件算法时算子级别)具有较高的安全性。因此,通过硬件算法协处理器不仅能够提高对敏感数据的运算速率,同时能够保证算法的安全性及抗攻击性。
示例性地,如图2所示,图2是MCU分区的结构示意图。由图2可知,MUC分区210为MCU分区,在本实施例中,示例性地,所述MUC FLASH分区包括第一MCU分区220(图2中以APP1标识)和第二MCU分区230(图2中以APP3标识)。应理解,在本申请的其它一些实施例中,所述MCU分区不限于包括第一MCU分区和第二MCU分区,可以根据实际需要,设置1个或者多个MCU分区,具体不做任何限定。
示例性,在本实施例中,第一MCU分区220用于存储终端设备的敏感信息,第二MCU分区230用于存储终端设备的核心代码。具体地,终端设备的敏感信息包括终端设备的设备证书、设备随机数和设备序列号;终端设备的核心代码包括用于获取第一认证信息的代码。通过MMU对第一MCU分区220的访问权限进行管理,能够有效提高终端设备内铭感信息的安全性。
应理解,还可以通过MMU对第二MCU分区230的访问权限进行管理,使得其它终端无法对第二MCU分区230内的核心代码进行调用,防止未授权设备对第二MCU分区230内的核心代码进行窃取、篡改或者毁坏。具体地,MMU具有的管理权限包括但不限于取址、读写、擦除等,通过MMU可以对MCU分区配置取址、读写或者擦除等权限。通过MMU对MCU分区的访问权限进行管理,能够有效提高MCU内数据的安全性,有效防止MCU内敏感数据被读写或者擦除,并能保证MCU内核心代码不被窃取、篡改和毁坏。
此外,应理解,所述MCU分区设置属于静态设置,分区设置只能操作一次,且操作不可逆。也就是说,MCU分区一旦设置,MCU每次上电会自动加载配置。以保证敏感数据和核心代码不会被窃取、篡改和毁坏。
S102,将所述第一认证信息发送至服务器,以指示所述服务器基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证。
其中,所述服务器基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证,包括:所述服务器采用非对称算法对所述第一认证信息进行解密,或者使用验签算法得到所述终端设备的第一认证信息,将所述第一认证信息有预设的第二认证信息进行匹配,完成对所述终端设备的身份认证。其中,所述终端设备的第一认证信息包括设备证书、设备随机数和设备序列号。
通过上述分析可知,本申请实施例提供的访问认证方法,通过终端设备从预先设置的MCU分区中获取自身的第一认证信息;将所述第一认证信息发送至服务器,以指示所述服务器基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证。实现了对物联网内终端设备的数据基于MCU分区进行隔离保护,以提高终端设备的数据安全性,同时通过PKI认证体系对终端设备的身份进行认证,旨在防止未经授权的终端设备进入物联网内,能够有效保证物联网体系的安全性。
请参阅图3所示,图3是本申请实施例提供的访问认证系统的示意图。由图3可知,本申请实施例提供的访问认证系统30包括:终端设备310和服务器320。其中,所述终端设备310,用于从预先设置的MCU分区中获取自身的第一认证信息,将所述第一认证信息发送至所述服务器;
所述服务器320,用于接收终端设备发送的第一认证信息,基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证。
由图3可知,在本申请的实施例中,终端设备310内置有隔离空间MCU分区210,所述MCU分区210为MCU分区,该MCU分区被隔离保护,该FLASH分区内的数据为物理存储加密数据。具体地,在所述终端设备310内内置有存储器管理单元(Memory Management Unit,MMU)实现MCU分区的多用户区域划分及访问权限管理,为终端设备的敏感数据集核心代码划分独立的存储空间,并对访问权限进行管理。从而解决多用户开发过程中的代码保护以及数据安全问题。
此外,由图3可知,MCU分区210内置密码算法硬件加速引擎,当安全接口通过地址访问所述MCU分区内的数据时,可以通过所述硬件加速引擎对所述敏感数据基于密码学进行加密处理,得到所述敏感数据的加密数据。例如,当所述第二MCU分区通过安全接口访问所述第一MCU分区内所述终端设备的设备证书、设备随机数和设备序列号的地址时,MCU分区通过所述硬件加速引擎对所述设备证书、设备随机数和设备序列号进行加密处理,得到所述第一认证信息,以使所述安全接口返回所述第一认证信息。其中,所述硬件加速引擎为硬件算法协处理器,相较于纯软件算法而言能极大的提高加解密速度及运算的安全性。
其中,所述服务器320可以是云端服务器或者本地服务器,所述服务器320通过提供业务云平台来完成与终端设备310之间的业务交互,通过提供安全云平台与终端设备310进行单向或者双向身份认证。在服务器320与终端设备310完成身份认证成功后,可以进行密钥协商、数据加解密及其它业务流程等。
请参阅图4所示,图4是本申请另一实施例提供的访问认证方法的实现流程图。本实施例与图1所示实施例相比,S402至S403与S101至S102的具体实现过程相同,不同在于,在S402之前还包括S401。详述如下:
S401,配置所述安全接口对所述MCU分区内数据的访问权限,所述访问权限包括根据存储地址访问数据的权限。
S402,从预先设置的MCU分区中获取所述终端设备自身的第一认证信息。
在一些实施例中,所述从预先设置的MCU分区中获取所述终端设备自身的第一认证信息,包括:通过所述用于获取第一认证信息的代码,调用所述第二MCU分区的安全接口,基于对所述第一MCU分区内数据的访问权限,从所述第一MCU分区内获取所述第一认证信息。
S403,将所述第一认证信息发送至服务器,以指示所述服务器基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证。
通过上述实施例可知,本申请实施例提供的访问认证方法,通过终端设备从预先设置的MCU分区中获取自身的第一认证信息;将所述第一认证信息发送至服务器,以指示所述服务器基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证。实现了对物联网内终端设备的数据基于MCU分区进行隔离保护,以提高终端设备的数据安全性,同时通过PKI认证体系对终端设备的身份进行认证,旨在防止未经授权的终端设备进入物联网内,能够有效保证物联网体系的安全性。
请参阅图5所示,图5是本申请另一实施例提供的访问认证方法的实现流程图。本实施例提供的访问认证方法由图3或图4所示的服务器执行实现。详述如下:
S501,接收终端设备发送的第一认证信息。
S502,基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证。
其中,所述第一认证信息为所述终端设备从预先设置的MCU分区中获取的所述终端设备的第一认证信息。
在一些实施例中,所述基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证,包括:基于预设的解密算法对所述第一认证信息进行解密,得到所述终端设备的第一认证信息;将所述第一认证信息与预设的第二认证信息进行匹配,若有所述第二认证信息与所述第一认证信息相匹配,则确定对所述终端设备认证通过;若没有所述第二认证信息与所述第一认证信息相匹配,则确定对所述终端设备认证不通过。
在所述完成对所述终端设备的身份认证之后,还包括:
向所述终端设备发送自身的第二认证信息,以指示所述终端设备分析所述第二认证信息,完成对所述服务器的身份认证。
其中,所述第二认证信息可以包括第二加密认证信息或第二签名认证信息;应理解,第二认证信息的获取过程与第一认证信息的获取过程可以基于同一发明构思,在此不再赘述。
应理解,本申请实施例针对现有终端设备身份合法性认证技术简单容易被攻击的情况,在终端设备身份认证过程中采用了PKI认证体系流程,引入非对称算法及证书的概念,通过挑战码与应答码的软件安全机制对终端设备和服务器进行单向或双向认证。在保证终端设备接入合法性的同时,能够进一步降低身份认证载体被拷贝复制的风险。
此外,服务器如果对终端设备身份认证成功,服务器可以根据自己的证书及随机数通过密码学运算得到服务器挑战码,并返回服务器证书及服务器的挑战码给终端设备,以指示终端设备调用安全接口,从MCU分区内获取对应预设的服务器的证书,对服务器进行身份认证。
应理解,当终端设备与服务器进行双向身份认证成功后,可以进行密钥协商、数据加解密及其它业务流程等。
通过上述分析可知,本申请实施例提供的访问认证方法,应用于服务器时,通过服务器接收终端设备发送的第一认证信息,并基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证。其中,所述第一认证信息为所述终端设备从预先设置的MCU分区中获取的所述终端设备的第一认证信息。能够通过PKI认证体系对终端设备的身份进行认证,旨在防止未经授权的终端设备进入物联网内,能够有效保证物联网体系的安全性。
请参阅图6所示,图6是本申请实施例提供的终端设备的示意图。如图6所示,该终端设备310包括第一存储器311和第一处理器312,第一存储器311和第一处理器312通过系统总线313连接,其中,第一存储器311可以包括非易失性存储介质和内存储器。
非易失性存储介质可存储计算机程序。该计算机程序包括程序指令,该程序指令被执行时,可使得第一处理器312执行上述图1或图4所示的访问认证方法。
第一处理器312用于提供计算和控制能力,支撑整个计算机设备的运行。
内存储器为非易失性存储介质中的计算机程序的运行提供环境,该计算机程序被处理器执行时,可使得处理器执行上述图1或图4所示的访问认证方法。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的终端的限定,具体的终端可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
应当理解的是,第一处理器312可以是中央处理单元(Central Processing Unit,CPU),该第一处理器312还可以是其他通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,第一处理器312可以是微处理器或者该处理器也可以是任何常规的处理器等。
其中,第一存储器311可以是Flash芯片、只读存储器、磁盘、光盘、U盘或者移动硬盘等等。
其中,存储器中存储有计算机程序,计算机程序被第一处理器312执行时,使得处理器执行所述计算机程序时实现以下步骤:
从预先设置的MCU分区中获取所述终端设备自身的第一认证信息;
将所述第一认证信息发送至服务器,以指示所述服务器基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证。
在一实施例中,所述预先设置的MCU分区包括MCU分区,所述MCU分区包括至少一个MCU分区,所述第一认证信息包括第一加密认证信息或第一签名认证信息;
所述至少一个MCU分区用于存储所述第一认证信息和核心代码;
在所述从预先设置的MCU分区中获取所述终端设备自身的第一认证信息之前,包括:
通过所述MCU分区内置的硬件加速引擎对所述终端设备的设备证书、设备随机数和设备序列号进行加密或签名处理,得到所述第一认证信息。
在一实施例中,所述核心代码包括用于获取第一认证信息的代码;
所述从预先设置的MCU分区中获取自身的第一认证信息,包括:
通过所述用于获取第一认证信息的代码,调用所述MCU分区的安全接口,从所述MCU分区内获取所述第一认证信息。
在一实施例中,在所述从预先设置的MCU分区中获取所述终端设备自身的第一认证信息之前,包括:
配置所述安全接口对所述MCU分区内数据的访问权限,所述访问权限包括根据存储地址访问数据的权限。
在一实施例中,所述从预先设置的MCU分区中获取所述终端设备自身的第一认证信息,包括:
通过所述用于获取第一认证信息的代码,调用所述MCU分区的安全接口,基于对所述MCU分区内数据的访问权限,从所述MCU分区内获取所述第一认证信息。
请参阅图7所示,图7是本申请实施例提供的服务器的示意图。如图7所示,该服务器320包括第二存储器321和第二处理器322,第二存储器321和第二处理器322通过系统总线323连接,其中,第二存储器321可以包括非易失性存储介质和内存储器。
非易失性存储介质可存储计算机程序。该计算机程序包括程序指令,该程序指令被执行时,可使得第二处理器322执行上述图5所示的访问认证方法。
第二处理器322用于提供计算和控制能力,支撑整个计算机设备的运行。
内存储器为非易失性存储介质中的计算机程序的运行提供环境,该计算机程序被处理器执行时,可使得处理器执行上述图5所示的访问认证方法。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的终端的限定,具体的终端可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
应当理解的是,第二处理器322可以是中央处理单元(Central Processing Unit,CPU),该第二处理器322还可以是其他通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,第二处理器322可以是微处理器或者该处理器也可以是任何常规的处理器等。
其中,第二存储器321可以是Flash芯片、只读存储器、磁盘、光盘、U盘或者移动硬盘等等。
其中,存储器中存储有计算机程序,计算机程序被第二处理器322执行时,使得处理器执行所述计算机程序时实现以下步骤:
接收终端设备发送的第一认证信息;
基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证;
其中,所述第一认证信息为所述终端设备从预先设置的MCU分区中获取的所述终端设备的第一认证信息。
在一实施例中,所述基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证,包括:
基于预设的解密算法对所述第一认证信息进行解密或验签,得到所述终端设备的第一认证信息;
将所述第一认证信息与预设的第二认证信息进行匹配,若有所述第二认证信息与所述第一认证信息相匹配,则确定对所述终端设备认证通过;
若没有所述第二认证信息与所述第一认证信息相匹配,则确定对所述终端设备认证不通过。
在一实施例中,在所述完成对所述终端设备的身份认证之后,还包括:
向所述终端设备发送自身的第二认证信息,以指示所述终端设备分析所述第二认证信息,完成对所述服务器的身份认证。
本申请的实施例中还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序中包括程序指令,所述处理器执行所述程序指令,实现上述图1或图4实施例提供的访问认证方法,或者所述处理器执行所述程序指令,实现上述图5实施例提供的访问认证方法。
可选地,所述计算机可读存储介质可以是前述实施例所述的终端设备的内部存储单元,例如所述终端设备的硬盘或内存。所述计算机可读存储介质也可以是所述终端设备的外部存储设备,例如所述终端设备上配备的插接式硬盘,智能存储卡(Smart MediaCard,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当所述计算机可读存储介质是所述终端设备的内部存储单元,或所述终端设备的外部存储设备时,所述处理器执行所述计算机可读存储介质中的程序指令,实现上述图1或图4实施例提供的访问认证方法。
此外,所述计算机可读存储介质可以是前述实施例所述的服务器的内部存储单元,例如所述服务器的硬盘或内存。所述计算机可读存储介质也可以是所述服务器的外部存储设备,例如所述服务器上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当所述计算机可读存储介质是所述服务器的内部存储单元,或所述服务器的外部存储设备时,所述处理器执行所述计算机可读存储介质中的程序指令,实现上述图5实施例提供的访问认证方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,这些均属于本发明的保护之内。
Claims (12)
1.一种访问认证方法,其特征在于,应用于终端设备,所述方法包括:
从预先设置的MCU分区中获取所述终端设备自身的第一认证信息;
将所述第一认证信息发送至服务器,以指示所述服务器基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证。
2.根据权利要求1所述的方法,其特征在于,所述预先设置的MCU分区包括至少一个MCU分区,所述第一认证信息包括第一加密认证信息或第一签名认证信息;
所述至少一个MCU分区用于存储所述第一认证信息和核心代码;
在所述从预先设置的MCU分区中获取所述终端设备自身的第一认证信息之前,包括:
通过所述MCU分区内置的硬件加速引擎对所述终端设备的设备证书、设备随机数和设备序列号进行加密或签名处理,得到所述第一认证信息。
3.根据权利要求2所述的方法,其特征在于,所述核心代码包括用于获取第一认证信息的代码;
所述从预先设置的MCU分区中获取自身的第一认证信息,包括:
通过所述用于获取第一认证信息的代码,调用所述MCU分区的安全接口,从所述MCU分区内获取所述第一认证信息。
4.根据权利要求3所述的方法,其特征在于,在所述从预先设置的MCU分区中获取所述终端设备自身的第一认证信息之前,包括:
配置所述安全接口对所述MCU分区内数据的访问权限,所述访问权限包括根据存储地址访问数据的权限。
5.根据权利要求4所述的方法,其特征在于,所述从预先设置的MCU分区中获取所述终端设备自身的第一认证信息,包括:
通过所述用于获取第一认证信息的代码,调用所述MCU分区的安全接口,基于对所述MCU分区内数据的访问权限,从所述MCU分区内获取所述第一认证信息。
6.一种访问认证方法,其特征在于,应用于服务器,所述方法包括:
接收终端设备发送的第一认证信息;
基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证;
其中,所述第一认证信息为所述终端设备从预先设置的MCU分区中获取的所述终端设备的第一认证信息。
7.根据权利要求6所述的方法,其特征在于,所述基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证,包括:
基于预设的解密算法对所述第一认证信息进行解密或验签,得到所述终端设备的第一认证信息;
将所述第一认证信息与预设的第二认证信息进行匹配,若有所述第二认证信息与所述第一认证信息相匹配,则确定对所述终端设备认证通过;
若没有所述第二认证信息与所述第一认证信息相匹配,则确定对所述终端设备认证不通过。
8.根据权利要求6所述的方法,其特征在于,在所述完成对所述终端设备的身份认证之后,还包括:
向所述终端设备发送自身的第二认证信息,以指示所述终端设备分析所述第二认证信息,完成对所述服务器的身份认证。
9.一种终端设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求1至5中任一项所述的访问认证方法的步骤。
10.一种服务器,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求6至8中任一项所述的访问认证方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被一个或多个处理器执行时,使得一个或多个处理器执行如权利要求1至5中任一项所述的访问认证方法的步骤;
或者,使得一个或多个处理器执行如权利要求6至8中任一项所述的访问认证方法的步骤。
12.一种访问认证系统,其特征在于,包括终端设备和服务器;
所述终端设备用于从预先设置的MCU分区中获取自身的第一认证信息,将所述第一认证信息发送至所述服务器;
所述服务器用于接收终端设备发送的第一认证信息,基于预先设置的PKI认证体系对所述第一认证信息进行分析,完成对所述终端设备的身份认证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111615384.4A CN116361841A (zh) | 2021-12-27 | 2021-12-27 | 访问认证方法、系统、终端设备、服务器和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111615384.4A CN116361841A (zh) | 2021-12-27 | 2021-12-27 | 访问认证方法、系统、终端设备、服务器和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116361841A true CN116361841A (zh) | 2023-06-30 |
Family
ID=86925189
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111615384.4A Pending CN116361841A (zh) | 2021-12-27 | 2021-12-27 | 访问认证方法、系统、终端设备、服务器和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116361841A (zh) |
-
2021
- 2021-12-27 CN CN202111615384.4A patent/CN116361841A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105447406B (zh) | 一种用于访问存储空间的方法与装置 | |
US8572392B2 (en) | Access authentication method, information processing unit, and computer product | |
US7500098B2 (en) | Secure mode controlled memory | |
US8826391B2 (en) | Virtualized trusted descriptors | |
CN107004083B (zh) | 设备密钥保护 | |
US7861015B2 (en) | USB apparatus and control method therein | |
US20050228993A1 (en) | Method and apparatus for authenticating a user of an electronic system | |
US20040098591A1 (en) | Secure hardware device authentication method | |
US20120198538A1 (en) | Multi-enclave token | |
EP2947594A2 (en) | Protecting critical data structures in an embedded hypervisor system | |
US10747885B2 (en) | Technologies for pre-boot biometric authentication | |
WO2010052722A1 (en) | Secure storage device | |
US8364978B2 (en) | System for and method of auto-registration with cryptographic modules | |
CN113098697B (zh) | 一种区块链数据写入、访问方法及装置 | |
US7631348B2 (en) | Secure authentication using a low pin count based smart card reader | |
WO2021218278A1 (zh) | 数据处理的方法以及计算设备 | |
CN116010957A (zh) | 安全处理器的多个物理请求接口 | |
CN111932261A (zh) | 一种基于可验证声明的资产数据管理方法和装置 | |
US9076002B2 (en) | Stored authorization status for cryptographic operations | |
CN108345804B (zh) | 一种可信计算环境中的存储方法和装置 | |
WO2009070752A1 (en) | System for and method of auto-registration with cryptographic modules | |
CN114244565B (zh) | 密钥分发方法、装置、设备及存储介质 | |
CN116361841A (zh) | 访问认证方法、系统、终端设备、服务器和存储介质 | |
JP4760124B2 (ja) | 認証装置、登録装置、登録方法及び認証方法 | |
CN117786667B (zh) | 一种用于可控计算的进程权限管理方法、系统及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |