TW201811087A - 連接建立方法、裝置和設備 - Google Patents

連接建立方法、裝置和設備 Download PDF

Info

Publication number
TW201811087A
TW201811087A TW106112040A TW106112040A TW201811087A TW 201811087 A TW201811087 A TW 201811087A TW 106112040 A TW106112040 A TW 106112040A TW 106112040 A TW106112040 A TW 106112040A TW 201811087 A TW201811087 A TW 201811087A
Authority
TW
Taiwan
Prior art keywords
user equipment
authentication code
channel
connection
authentication
Prior art date
Application number
TW106112040A
Other languages
English (en)
Inventor
王文超
張春暉
蔡艷明
趙驥
Original Assignee
阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 阿里巴巴集團服務有限公司 filed Critical 阿里巴巴集團服務有限公司
Publication of TW201811087A publication Critical patent/TW201811087A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/55Push-based network services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/403Bus networks with centralised control, e.g. polling

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

本發明提供了一種連接建立方法、裝置和設備,其中方法包括:用戶設備獲取認證碼;將包含認證碼的資料發送給管理伺服器;接收所述管理伺服器利用所述包含認證碼的資料進行認證通過後回傳的用於建立通道的參數資訊;利用所述參數資訊,建立與連接伺服器之間的秘密頻道。透過本發明能夠提高雲端與用戶端之間交互的安全性。

Description

連接建立方法、裝置和設備
本發明涉及電腦應用技術領域,特別涉及一種連接建立方法、裝置和設備。
隨著雲端計算的不斷發展,基於雲端的服務逐漸普及,雲端與用戶終端之間的交互越來越頻繁,如何保證雲端與用戶端之間資料傳輸的安全性成為極待解決的問題。
有鑑於此,本發明提供了一種連接建立方法、裝置和設備,以便於提高雲端與用戶端之間交互的安全性。
具體技術方案如下:本發明提供了一種連接建立方法,該方法包括:用戶設備獲取認證碼;將包含認證碼的資料發送給管理伺服器;接收所述管理伺服器利用所述包含認證碼的資料進行認證通過後回傳的用於建立通道的參數資訊;利用所述參數資訊,建立與連接伺服器之間的通道。
根據本發明一較佳實施方式,所述用戶設備獲取認證碼包括:所述用戶設備從標識伺服器獲取認證碼。
根據本發明一較佳實施方式,所述用戶設備從標識伺服器獲取認證碼包括:所述用戶設備發送所述用戶設備的唯一標識給標識伺服器;接收所述標識伺服器針對所述用戶設備的唯一標識回傳的認證碼。
根據本發明一較佳實施方式,所述包含認證碼的資料還包括:所述用戶設備的唯一標識。
根據本發明一較佳實施方式,所述將包含認證碼的資料發送給管理伺服器包括:對所述用戶設備的唯一標識、認證碼、應用金鑰以及應用秘密進行簽名;將簽名值、所述用戶設備的唯一標識、認證碼以及應用金鑰發送給所述管理伺服器。
根據本發明一較佳實施方式,向所述標識伺服器發送用戶設備的唯一標識、接收所述認證碼以及所述進行簽名由所述用戶設備中的安全晶片執行。
根據本發明一較佳實施方式,所述包含認證碼的資料透過HTTP POST的形式發送給所述管理伺服器;所述參數資訊透過HTTP回應的形式接收。
根據本發明一較佳實施方式,所述參數資訊包括:用於對傳輸資料進行加/解密的種子金鑰seedKey以 及連接參數。
根據本發明一較佳實施方式,接收所述管理伺服器利用所述包含認證碼的資料進行認證通過後回傳的用於建立通道的參數資訊包括:接收所述管理伺服器回傳的訊息;利用所述用戶設備的唯一標識對接收到的訊息的訊息頭進行解密,得到所述種子金鑰;利用所述種子金鑰,對所述訊息的訊息體進行解密,得到所述連接參數。
根據本發明一較佳實施方式,所述連接參數包括:會話標識、連接伺服器的IP位址和埠號。
根據本發明一較佳實施方式,利用所述參數資訊,建立與連接伺服器之間的通道包括:利用所述連接參數,與所述連接伺服器建立TCP長連接;向所述連接伺服器發送通道連接請求,以及接收所述連接伺服器回傳的通道連接確認,從而建立與所述連接伺服器之間的雲端通道;利用所述種子金鑰對所述雲端通道上傳輸的資料進行加/解密。
根據本發明一較佳實施方式,該方法還包括:在所述通道上採用非同步方式收發資料。
根據本發明一較佳實施方式,在所述通道上採用非同步方式接收封包括: 採用狀態機的方式接收和重組透過所述通道發送來的封包。
根據本發明一較佳實施方式,採用狀態機的方式接收和重組透過所述通道發送來的封包包括:在正常接收狀態下,若收到協定頭且長度可變長編碼未接收完整,則進入收包中且包長未知狀態;在收包中且包長未知狀態下,若收到完整長度的可變長編碼但封包未接收完整,則進入收包中且包長已知狀態;若收到新的分片且可變長編碼和封包均接收完整,則進入完成收包狀態;在收包中且包長已知狀態下,若收到新的分片且封包接收完整,則進入完成收包狀態;在完成收包狀態下,對屬於該封包的各分片進行重組後進入正常接收狀態。
根據本發明一較佳實施方式,該方法還包括:對透過所述通道接收到的封包進行解析;若解析所述封包為PUSH訊息時,從解密後的封包中提取應用資料並回檔給上層業務模組處理。
根據本發明一較佳實施方式,在所述通道上採用非同步方式發送封包括:利用要發送的資料建構請求訊息;將所述請求訊息掛到遠端程序呼叫協定RPC發送鏈的鏈尾。
根據本發明一較佳實施方式,該方法還包括: 透過所述通道接收到心跳訊息後,回傳心跳回應;若超過設定時長未透過所述通道收到心跳訊息,則關閉所述通道。
根據本發明一較佳實施方式,若在執行所述回檔時,出現狀態異常,則關閉所述通道。
根據本發明一較佳實施方式,該方法還包括:所述用戶設備監聽網路事件,若網路出現異常,則關閉所述通道。
根據本發明一較佳實施方式,在所述關閉所述通道之後,還包括:轉至執行所述獲取認證碼的步驟,以重新建立與連接伺服器之間的通道。
本發明還提供了一種安全連接建立方法,該方法包括:管理伺服器接收用戶設備發送的包含認證碼的資料;利用所述包含認證碼的資料進行認證通過後,向所述用戶設備回傳用於建立通道的參數資訊,以便所述用戶設備建立與連接伺服器之間的通道。
根據本發明一較佳實施方式,所述包含認證碼的資料還包括所述用戶設備的唯一標識資訊;利用所述包含認證碼的資料進行認證包括:所述管理伺服器將所述用戶設備的唯一標識資訊和所述認證碼發送給標識伺服器;獲取所述標識伺服器回傳的對所述認證碼的認證結 果。
根據本發明一較佳實施方式,所述包含認證碼的資料還包括所述用戶設備的唯一標識資訊:利用所述包含認證碼的資料進行認證包括:所述管理伺服器將所述用戶設備的唯一標識資訊發送給標識伺服器;獲取所述標識伺服器回傳的所述唯一標識資訊對應的認證碼;利用從所述標識伺服器獲取的認證碼,對所述用戶設備發送的認證碼進行認證。
根據本發明一較佳實施方式,所述包含認證碼的資料還包括應用金鑰和簽名資訊;利用所述包含認證碼的資料進行認證還包括:所述管理伺服器確定本地維護的所述應用金鑰對應的應用秘密;利用所述應用秘密、所述用戶設備的唯一標識、認證碼以及應用金鑰對所述用戶設備發送的簽名資訊進行校驗;如果校驗失敗,則認證失敗。
根據本發明一較佳實施方式,所述包含認證碼的資料透過HTTP POST的形式發送給所述管理伺服器;所述參數資訊透過HTTP回應的形式回傳給所述用戶設備。
根據本發明一較佳實施方式,所述參數資訊包括:用於對傳輸資料進行加/解密的種子金鑰以及連接參 數。
根據本發明一較佳實施方式,所述管理伺服器向所述用戶設備回傳的訊息的訊息頭中攜帶利用所述用戶設備的唯一標識加密後的種子金鑰,所述訊息的訊息體攜帶利用所述種子金鑰加密後的連接參數。
根據本發明一較佳實施方式,所述連接參數包括:會話標識、連接伺服器的IP位址和埠號。
本發明還提供了一種連接建立方法,其特徵在於,該方法包括:連接伺服器接收用戶設備利用用於建立通道的參數資訊發送的連接請求,建立與所述用戶設備之間的通道;其中所述參數資訊是管理伺服器利用用戶設備發送的認證碼進行認證通過後回傳給所述用戶設備的。
根據本發明一較佳實施方式,所述參數資訊包括:用於對傳輸資料進行加/解密的種子金鑰以及連接參數。
根據本發明一較佳實施方式,所述連接參數包括:會話標識、連接伺服器的IP位址和埠號。
根據本發明一較佳實施方式,連接伺服器建立與用戶設備之間的通道包括:建立與所述用戶設備之間的TCP長連接,該TCP長連接是所述用戶設備利用所述連接參數請求建立的;接收所述用戶設備發送的通道連接請求,以及向所述用戶設備發送通道連接確認,從而建立與所述用戶設備之 間的雲端通道;利用種子金鑰對所述雲端通道上傳輸的資料進行加/解密。
根據本發明一較佳實施方式,該方法還包括:所述連接伺服器從所述管理伺服器同步會話標識和種子金鑰之間的對應關係;透過所述通道接收到封包後,確定在該通道上採用該封包所攜帶的會話標識對應的種子金鑰。
根據本發明一較佳實施方式,該方法還包括:所述連接伺服器週期性地透過所述通道發送心跳訊息;若超過設定時長未透過所述通道接收到心跳回應,則關閉所述通道。
本發明還提供了一種連接建立方法,該方法包括:標識伺服器為用戶設備分配並發送認證碼;接收管理伺服器發送的用於認證的資訊,並配合所述管理伺服器對所述用戶設備進行認證;其中所述認證的結果用於所述管理伺服器依據認證通過的結果向用戶設備回傳用於建立通道的參數資訊。
根據本發明一較佳實施方式,所述標識伺服器為用戶設備分配並發送認證碼包括:所述標識伺服器接收到所述用戶設備發送的唯一標識資訊後,向所述用戶設備分配並回傳認證碼。
根據本發明一較佳實施方式,所述接收管理伺服器發 送的用於認證的資訊,並配合所述管理伺服器對所述用戶設備進行認證包括:接收到管理伺服器提供的所述用戶設備的認證碼後,對接收到的認證碼進行認證並向管理伺服器回傳認證結果。
根據本發明一較佳實施方式,所述對接收到的認證碼進行認證包括:利用連同所述用戶設備的認證碼一起接收到的用戶設備的唯一標識資訊,確定本地維護的與所述用戶設備的唯一標識資訊對應的認證碼;將確定出的認證碼與接收到的認證碼進行比對,如果一致,則認證通過;否則認證失敗。
根據本發明一較佳實施方式,所述接收管理伺服器發送的用於認證的資訊,並配合所述管理伺服器對所述用戶設備進行認證包括:接收到管理伺服器提供的所述用戶設備的唯一標識資訊後,向所述管理伺服器回傳所述唯一標識資訊對應的認證碼,以便所述管理伺服器利用接收到的認證碼進行認證。
根據本發明一較佳實施方式,所述標識伺服器本地維護的與所述用戶設備的唯一標識資訊對應的認證碼具有老化時間。
本發明提供了一種連接建立裝置,設置於用戶設備,該裝置包括: 認證碼獲取模組,用於獲取認證碼;參數獲取模組,用於將包含認證碼的資料發送給管理伺服器;接收所述管理伺服器利用所述包含認證碼的資料進行認證通過後回傳的用於建立通道的參數資訊;連接處理模組,用於利用所述參數資訊,建立與連接伺服器之間的通道。
本發明還提供了一種連接建立裝置,設置於管理伺服器,該裝置包括:認證碼接收模組,用於接收用戶設備發送的包含認證碼的資料;認證處理模組,用於利用所述包含認證碼的資料進行認證;參數處理模組,用於在所述認證通過後,向所述用戶設備回傳用於建立通道的參數資訊,以便所述用戶設備建立與連接伺服器之間的通道。
本發明還提供了一種連接建立裝置,設置於連接伺服器,該裝置包括:連接處理模組,用於接收用戶設備利用用於建立通道的參數資訊發送的連接請求,建立所述連接伺服器與用戶設備之間的通道;其中所述參數資訊是管理伺服器利用用戶設備發送的認證碼進行認證通過後回傳給所述用戶設備的。
本發明還提供了一種連接建立裝置,設置於標識伺服器,該標識伺服器包括: 分配模組,用於為用戶設備分配並發送認證碼;認證模組,用於接收管理伺服器發送的用於認證的資訊,並配合所述管理伺服器對所述用戶設備進行認證;其中所述認證的結果用於所述管理伺服器依據認證通過的結果向用戶設備回傳用於建立通道的參數資訊。
本發明還提供了一種設備,包括一個或者多個處理器;記憶體;一個或者多個程式,所述一個或者多個程式儲存在所述記憶體中,被所述一個或者多個處理器執行以實現如下操作:獲取認證碼;將包含認證碼的資料發送給管理伺服器;接收所述管理伺服器利用所述包含認證碼的資料進行認證通過後回傳的用於建立通道的參數資訊;利用所述參數資訊,建立用戶設備與連接伺服器之間的通道。
由以上技術方案可以看出,本發明中用戶設備需在管理伺服器處認證通過後,才能夠從管理伺服器獲取用於建立通道的參數資訊,進而與連接伺服器建立通道,這種通道的建立方式能夠提高雲端與用戶端之間交互的安全性。
01‧‧‧認證碼獲取模組
02‧‧‧參數獲取模組
03‧‧‧連接處理模組
04‧‧‧資料處理模組
05‧‧‧心跳維護模組
06‧‧‧網路監聽模組
11‧‧‧認證碼接收模組
12‧‧‧認證處理模組
13‧‧‧參數處理模組
21‧‧‧連接處理模組
22‧‧‧資料處理模組
23‧‧‧同步模組
24‧‧‧心跳維護模組
31‧‧‧分配模組
32‧‧‧認證模組
圖1為本發明實施例提供的系統架構圖; 圖2為本發明實施例提供的主要方法流程圖;圖3為本發明實施例提供的詳細方法流程圖;圖4為本發明實施例提供的狀態機示意圖;圖5為本發明實施例提供的設置於用戶設備的裝置結構圖;圖6為本發明實施例提供的設置於管理伺服器的裝置結構圖;圖7為本發明實施例提供的設置於連接伺服器的裝置結構圖;圖8為本發明實施例提供的一種設置於標識伺服器的裝置結構圖;圖9為本發明實施例提供的設備結構示意圖。
為了使本發明的目的、技術方案和優點更加清楚,下面結合圖式和具體實施例對本發明進行詳細描述。
在本發明實施例中使用的術語是僅僅出於描述特定實施例的目的,而非旨在限制本發明。在本發明實施例和所附請求項書中所使用的單數形式的“一種”、“所述”和“該”也旨在包括多數形式,除非上下文清楚地表示其他含義。
應當理解,本文中使用的術語“和/或”僅僅是一種描述關聯物件的關聯關係,表示可以存在三種關係,例如,A和/或B,可以表示:單獨存在A,同時存在A和 B,單獨存在B這三種情況。另外,本文中字元“/”,一般表示前後關聯物件是一種“或”的關係。
取決於語境,如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“回應於確定”或“回應於檢測”。類似地,取決於語境,短語“如果確定”或“如果檢測(陳述的條件或事件)”可以被解釋成為“當確定時”或“回應於確定”或“當檢測(陳述的條件或事件)時”或“回應於檢測(陳述的條件或事件)”。
為了方便對本發明的理解,首先對本發明所基於的系統架構進行描述。如圖1所示,該系統可以包括用戶設備、管理伺服器和連接伺服器,還可以進一步包括標識伺服器。其中用戶設備指的是用戶端的設備,可以包括但不限於諸如:智慧型移動終端、智慧型家電設備、網路設備、可穿戴式設備、智慧型醫療設備、PC(個人電腦)等。其中智慧型移動設備可以包括諸如手機、平板電腦、筆記型電腦、PDA(個人數位助理)等。智慧型家電設備可以包括諸如智慧型電視、智慧型空調、智慧型熱水器、智慧型冰箱、智慧型空氣清淨機等等。網路設備可以包括諸如交換機、無線AP、伺服器等。可穿戴式設備可以包括諸如智慧型手錶、智慧型眼鏡、智慧型手環等等。智慧型醫療設備可以包括諸如智慧型體溫計、智慧型血壓儀、智慧型血糖機等等。
管理伺服器和連接伺服器可以是雲端設備,例如,管 理伺服器可以為一個獨立的伺服器,連接伺服器可以設置多個(如以伺服器叢集的形式存在);又例如,管理伺服器和連接伺服器可以設置為同一個伺服器,或者,當有多個連接伺服器時,管理伺服器可以和某一個連接伺服器設置為同一伺服器,本發明不對管理伺服器和連接伺服器的存在方式做任何限制。其中管理伺服器主要負責與用戶設備協商建立通道的參數資訊,用戶設備在得到通道的參數資訊後,與連接伺服器之間建立通道,之後用戶端與雲端之間傳輸的資料就透過該通道進行傳輸,從而保證安全。
標識伺服器可以是一個獨立的伺服器,也可以和管理伺服器設置在同一個伺服器中。在本發明實施例中,標識伺服器主要負責為用戶設備分配認證碼,維護用戶設備的唯一標識資訊以及認證碼之間的對應關係,可以針對管理伺服器提供的認證碼進行認證並回傳認證結果;也可以針對管理伺服器提供的用戶設備的唯一標識資訊向管理伺服器回傳對應的認證碼,具體將在後續實施例中詳述。
本發明實施例中,對於各伺服器進行了命名,例如,管理伺服器、標識伺服器、連接伺服器,該命名的目的主要是為了描述清晰起見,實際應用中,被命名為其他名稱、但能夠實現相同或類似功能的伺服器,均屬於本發明的保護範圍。
本發明實施例中,對於各個伺服器的劃分,例如,管理伺服器、標識伺服器、連接伺服器,是從各伺服器主要實現的功能角度進行的邏輯劃分,實際應用中,各個伺服 器可以部署在一台電腦設備中;或者,各個伺服器也可以部署在多台電腦設備中;或者,各個伺服器的數量,分別可以根據實際的業務需求進行靈活設置,例如,連接伺服器可以為多個,每一個連接伺服器可以提供不同的服務;又例如,管理伺服器可以為多個,包括上級管理伺服器和下級管理伺服器,每個下級管理伺服器可以負責不同用戶設備。
圖2為本發明實施例提供的主要方法流程圖,如圖2所示,該方法主要包括以下步驟:在201中,用戶設備獲取認證碼。
認證碼是用於提供給管理伺服器進行認證時使用的,在本發明實施例中對認證碼的形式並不加以限制,只要其具有一定的隨機性和一定時間範圍內的唯一性即可。對於認證碼,可以由標識伺服器向用戶設備分配並進行維護。標識伺服器為用戶設備分配認證碼後,可以在本地維護用戶設備的唯一標識資訊與認證碼之間的對應關係。具體將在後續實施例中進行詳述。
在202中,用戶設備將包含認證碼的資料發送給管理伺服器。
在本發明實施例中,在發送認證碼的同時將用戶設備的唯一標識資訊發送給管理伺服器,以便管理伺服器利用該唯一標識資訊對認證碼進行認證。
在203中,管理伺服器利用包含認證碼的資料進行認證。
在進行認證時,管理伺服器可以將該認證碼提供給標識伺服器,由標識伺服器對該認證碼進行認證後,回傳認證結果給管理伺服器。也可以將用戶設備的唯一標識資訊提供給標識伺服器,並接收標識伺服器回傳的該唯一標識資訊對應的認證碼,然後利用該認證碼對用戶設備發送的認證碼進行認證。考慮到更高的安全性,較佳前一種實現方式。
更進一步地,用戶設備發送的包含認證碼的資料還可以包括簽名資訊,該簽名資訊用於管理伺服器進行校驗使用,具體將在後續實施例中詳述。
在204中,認證通過後,向用戶設備回傳用於建立通道的參數資訊。
其中用於建立通道的參數資訊可以包括:種子金鑰(seedKey)和連接參數。其中seedKey是用於對傳輸資料進行加/解密的金鑰;連接參數用於建立用戶設備與連接伺服器之間的連接,可以包括諸如sid、連接伺服器的IP位址和埠號等。
上述包含認證碼的資料可以透過HTTP POST的形式發送,參數資訊可以透過HTTP回應的形式發送。
在205中,用戶設備利用參數資訊,建立與連接伺服器之間的通道,後續用戶端與雲端之間要傳輸的資料透過該通道進行傳輸。
建立通道主要包括三方面的內容:一方面是利用連接參數建立用戶設備與連接伺服器之間的長連接的過程,另 一方面建立雲端通道的過程;在一方面是配置該雲端通道上資料加/解密採用seedKey。這幾個方面的內容將在後續實施例中進行詳細描述。
下面結合一個具體的實施例,對上述方法進行詳細描述。圖3為本發明實施例提供的詳細方法流程圖,其中CCP模組和ID2模組為用戶設備中的兩個模組,CCP模組為系統級別的執行模組,也可以是應用級別的執行模組,若為應用級別的執行模組,則需要ID2模組向該應用級別的模組開放存取權限。ID2模組可以為用戶設備中設置于安全執行環境的模組,例如採用安全晶片的形式,在本實施例中用戶設備的唯一標識採用ID2表示。CCP是雲端通道協議(Cloud Channel Protocol)的簡稱,對於雲端與用戶端之間的通道協定也可以採用其他協定類型,在本發明實施例中以CCP協議為例,如圖3中所示,該方法可以包括以下步驟:在301中,CCP模組向ID2模組請求ID2。
在本發明實施例中採用固化於用戶設備的晶片中,不可篡改和非法獲取的ID2作為用戶設備的唯一標識,該ID2固化于安全晶片中,該安全晶片在本發明實施例中作為ID2模組,即只有ID2模組具有對ID2進行處理的許可權,其他模組可以向ID2模組請求ID2。
當用戶設備需要與雲端進行交互時,需要首先建立用戶設備與雲端的連接伺服器之間的CCP通道以進行資料傳輸,此時可以由CCP模組向ID2模組請求ID2。
在302中,ID2模組向標識伺服器請求認證碼,該請求中攜帶該用戶設備的ID2。
在本發明實施例中標識伺服器維護有所有合法設備的ID2,並且在本發明實施例中由標識伺服器為各合法的用戶設備分配認證碼。標識伺服器接收到請求後,可以首先對請求中攜帶的ID2進行合法性驗證,如果該ID2為合法設備的ID2,則為該用戶設備分配認證碼;否則,拒絕為該用戶設備分配認證碼。
在303中,ID2模組獲取標識伺服器回傳的認證碼。
需要說明的是,ID2模組與標識伺服器之間的資訊交互透過ID2模組和標識伺服器之間的通道發送。在ID2模組中可以預置標識伺服器的連接參數,在ID2模組與標識伺服器之間建立連接後,可以採用預先約定的金鑰(該預先約定的金鑰可以預先寫入ID2模組)對上述ID2、認證碼進行加解密;也可以在連接建立後進行金鑰的協商,然後利用協商的金鑰對上述ID2、認證碼進行加解密。
在304中,ID2模組對ID2、認證碼、appkey和appsecret進行簽名後,將ID2、認證碼、appkey以及簽名資訊提供給CCP模組。
在此對簽名的方式並不加以限制,可以採用諸如RSA演算法等。
需要注意的是,在進行簽名時是對ID2、認證碼、appkey和appsecret這四個參數進行的,但發送的資料中並不包含appsecret。另外,appkey是來源於CCP模組 的,也就是說,ID2模組在進行簽名之前,首先從CCP模組獲取appkey,然後再執行上述簽名的處理後,再將ID2、認證碼、appkey和簽名資訊提供給CCP模組,該過程圖中未示出。
上述認證碼的獲取和簽名都在ID2模組進行,由於ID2模組是一塊安全晶片,屬於安全執行環境,因此認證碼無法被外界獲取和篡改,加強了安全性。
在305中,CCP模組將ID2、認證碼、應用金鑰(appkey)以及簽名資訊透過HTTP POST形式發送給管理伺服器。
在306中,管理伺服器將ID2和認證碼發送給標識伺服器。
在307中,管理伺服器利用該用戶設備的ID2、認證碼、appkey以及簽名資訊進行校驗,以及獲取標識伺服器對認證碼的認證結果。
對簽名進行校驗的過程可以包括:首先利用appkey確定對應的應用秘密(appsecret),在此需要說明的是,在管理伺服器中預先維護有各appkey對應的appsecret;然後利用確定出的appsecret對簽名資訊進行驗證,即在本地對ID2、認證碼、appkey和appsecret進行簽名,將得到的簽名資訊與用戶設備發送的簽名資訊進行比對,如果一致,則校驗通過;否則校驗失敗。
對於標識伺服器而言,在接收到管理伺服器發送的ID2和認證碼後,確定該ID2對應的認證碼。由於認證碼 是標識伺服器針對各用戶設備分配的,並且在標識伺服器本地維護了各ID2對應的認證碼,因此可以確定出管理伺服器提供的ID2對應的認證碼,然後將確定出的認證碼與接收到的認證碼進行比對,如果一致,則認證通過,否則認證失敗。其中,認證碼的分配方式可以是隨機產生的,也可以從認證碼池中隨機選擇的一個認證碼。
需要說明的是,標識伺服器維護的認證碼是存在老化時間的,當達到老化時間後,該認證碼失效。
除了上述認證的實現方式之外,還存在另一種實現方式:管理伺服器將ID2提供給標識伺服器,標識伺服器並不負責進行認證碼的認證,而是將該ID2對應的認證碼回傳給管理伺服器,由管理伺服器利用標識伺服器回傳的認證碼對用戶設備提供的認證碼進行認證,如果不一致,則認證失敗。但考慮到安全性的因素,前一種實現方式的安全性更高,因此較佳前一種實現方式。
需要說明的是,上述校驗和對認證碼的認證可以採用任意的順序先後執行,也可以同時執行。只有校驗和對認證碼的認證均成功時,才算認證通過,有一個不成功,則認為認證失敗。
或者,可以先進行校驗,如果校驗失敗,則可以不考慮或者不進行對認證碼的認證;如果校驗成功,則進一步考慮或者進行對認證碼的認證。也可以先進行對認證碼的認證,如果認證成功,再進一步進行校驗;如果認證失敗,則不用進行校驗。
在308中,如果認證通過,則將用於建立通道的參數資訊透過HTTP回應的形式發送給用戶設備,其中用於建立通道的參數資訊可以包括seedKey和連接參數,連接參數包括諸如sid、apid、連接伺服器的IP位址和Port號。
sid表示會話id,由管理伺服器產生,用於標識用戶設備與連接伺服器之間一次連接的會話,後續用戶設備與連接伺服器之間的封包都要攜帶該sid。
apid表示用戶設備的應用標識,其是用於標識應用的,屬於同一應用的各通道都採用相同的apid。該apid是可選的內容。
其中發送給用戶設備的用於建立通道的參數資訊也是經過加密的,具體方式可以為:管理伺服器向用戶設備回傳的HTTP回應訊息的訊息頭中攜帶利用用戶設備的ID2進行加密後的seedKey,訊息體中攜帶利用seedKey加密後的連接參數。
在309中,CCP模組將HTTP回應提供給ID2模組。
在310中,ID2模組解析HTTP回應得到其中的用於建立通道的參數資訊並提供給CCP模組。
解析過程可以包括:利用用戶設備的ID2對HTTP回應訊息的訊息頭進行解密,得到seedKey;再利用seedKey對訊息體進行解密,得到諸如sid、apid、連接伺服器的IP位址和Port號等連接參數。
也可以CCP模組將HTTP回應訊息的訊息頭提供給ID2模組,由ID2模組利用ID2對HTTP回應訊息的訊息 頭進行解密,得到seedKey;然後將seedKey提供給CCP模組。CCP模組利用seedKey對HTTP回應訊息的訊息體進行解密,得到諸如sid、apid、連接伺服器的IP位址和Port號等連接參數。該種實現方式圖中未示出。
在311中,CCP模組利用連接參數與連接伺服器建立TCP長連接。
TCP長連接建立過程為已有技術,在此不再詳述。
在312中,CCP模組和連接伺服器之間進行CCP連接報文的交互,從而建立用戶設備與連接伺服器之間的CCP通道。即CCP模組向連接伺服器發送CCP連接請求,連接伺服器向CCP模組發送CCP連接確認。
由於本實施例是以CCP協議為例進行描述,因此本步驟中進行通道建立時,交互的是CCP連接報文,若採用其他通道協議,則進行其他通道協議類型的連接報文。
在313中,用戶設備和連接伺服器之間透過seedKey對雲端通道上傳輸的資料進行加/解密。
管理伺服器在分配sid和seedKey給用戶設備後,會將其同步給連接伺服器,也就是說,連接伺服器可以從管理伺服器同步sid和seedKey之間的對應關係。後續用戶設備在通道上發送來的封包會攜帶sid,連接伺服器透過該sid就能夠獲知在該通道上採用什麼seedKey,即該sid對應的seedKey。
用戶設備對於發送給連接伺服器的封包採用seedKey進行加密,對於來自連接伺服器的封包採用seedKey進行 解密。連接伺服器對於發送給用戶設備的封包採用seedKey進行加密,對於來自用戶設備的封包採用seedKey進行解密。
在CCP通道上傳輸資料時,可以採用非同步的方式收發資料。下面分別對資料的接收和發送機制進行詳述。
透過CCP通道接收資料時,由於服務端回傳的TCP資料是零散的、分片的且可能跨越CCP多包的,因此為了能夠正確解析CCP的每個封包,本發明實施例可以採用狀態機的方式接收封包。狀態機示意圖可以如圖4所示,主要包括四個狀態:正常接收狀態、收包中且包長未知狀態、收包中且包長已知狀態以及完成收包狀態。
在正常接收狀態下,若收到封包的CCP協定頭,但可變長編碼並未接收完整,則進入收包中且包長未知狀態;若收到完整封包,則進入完成收包狀態。
在收包中且包長未知狀態下,若收到新的分片,但可變長編碼未接收完整,則繼續處於收包中且包長未知狀態下;若可變長編碼接收完整,但整個封包未接收完,則進入收包中且包長已知狀態;若收到新的分片,可變長編碼接收完整,則進入完成收包狀態。
在收包中且包長已知狀態下,若收到新的分片且整個封包已接收完,則進入完成收包狀態;若收到新的分片但整個封包未接收完,則繼續處於收包中且包長已知狀態下。
在完成收包狀態下,對屬於同一封包的各分片進行重 組,並上報給對封包進行解析的模組後進入正常接收狀態。
在對於接收到的封包進行解析時,可以根據包頭判斷協定類型,根據可變長編碼獲取payload(淨荷)長度;然後利用seedKey對payload進行解密。完成之後,可以建構PUSHACK訊息並非同步發送給連接伺服器。
若解析該封包的協定類型為PUSH訊息時,可以從解密後的封包中提取應用資料並回檔給上層業務模組處理。其中用戶設備在執行該回檔時,如果出現異常,可以關閉CCP通道,然後CCP模組可以重新執行圖3所示流程,從而重新建立用戶設備與連接伺服器之間的CCP通道。
在透過CCP通道發送資料時,為了滿足跨執行緒的需求,CCP使用同步async變數的data欄位來緩存要發送的報文鏈。因此,在本發明實施例中,可以利用要發送的資料建構Request訊息,然後將Request訊息掛到RPC發送鏈的鏈尾。其中利用要發送的資料建構Request訊息時,使用seedKey對要發送的資料進行加密。
另外,為了保證通道的可靠性,在CCP通道上存在一個心跳檢測機制,即連接伺服器週期性地發送心跳訊息Ping,例如,連接伺服器每隔70秒向用戶設備發送一個Ping。用戶設備接收到Ping後回傳心跳回應Pong。若連接伺服器超過設定時長未接收到Pong,則關閉該CCP通道。
在用戶設備側週期性地檢測是否接收到Ping,例如每 10秒檢測一次是否接收到Ping。若用戶設備超過設定時長未接收到Ping,例如超過120秒未接收到Ping,則也可以關閉該CCP通道。當CCP通道由於上述原因被關閉後,CCP模組可以重新執行圖3所示流程,從而重新建立用戶設備與連接伺服器之間的CCP通道。
另外,用戶設備可以對註冊的網路事件進行監聽,如果網路出現異常,則關閉該CCP通道。當網路恢復後,CCP模組可以重新執行圖3所示流程,從而重新建立用戶設備與連接伺服器之間的CCP通道。
以上是對本發明所提供方法進行的詳細描述,下面結合具體實施例對本發明提供的裝置進行詳細描述。
圖5為本發明實施例提供的設置於用戶設備的裝置結構圖,該裝置用於完成上述方法實施例中用戶設備所執行的操作。如圖5所示,該裝置可以包括:認證碼獲取模組01、參數獲取模組02和連接處理模組03,還可以進一步包括資料處理模組04、心跳維護模組05和網路監聽模組06。各組成模組的主要功能如下:認證碼獲取模組01負責獲取認證碼。具體地,認證碼獲取模組01可以從標識伺服器獲取認證碼,即發送用戶設備的唯一標識給標識伺服器;接收標識伺服器針對用戶設備的唯一標識回傳的認證碼。
參數獲取模組02負責將包含認證碼的資料發送給管理伺服器;接收管理伺服器利用包含認證碼的資料進行認證通過後回傳的用於建立通道的參數資訊。
其中包含認證碼的資料還包括:用戶設備的唯一標識。另外,認證碼獲取模組01可以對用戶設備的唯一標識、認證碼、appkey以及appsecret進行簽名。參數獲取模組02在將包含認證碼的資料發送給管理伺服器時,將認證碼獲取模組01得到的簽名值、用戶設備的唯一標識、認證碼以及appkey發送給管理伺服器。
上述的認證碼獲取模組01實際上相當於上述方法實施例中的ID2模組,其可以設置於用戶設備的安全晶片。
參數獲取模組02可以將包含認證碼的資料透過HTTP POST的形式發送給管理伺服器;接收透過HTTP回應的形式發送的用於建立通道的參數資訊。
其中,用於建立通道的參數資訊可以包括:用於對傳輸資料進行加/解密的seedKey以及連接參數。連接參數可以包括:sid、連接伺服器的IP位址和埠號。
具體地,參數獲取模組02在接收管理伺服器回傳的參數資訊時,可以首先接收管理伺服器回傳的訊息;然後利用用戶設備的唯一標識對接收到的訊息的訊息頭進行解密,得到seedKey;再利用seedKey,對訊息的訊息體進行解密,得到連接參數。
連接處理模組03負責利用用於建立通道的參數資訊,建立與連接伺服器之間的通道。具體地,可以首先利用連接參數,與連接伺服器建立TCP長連接;然後向連接伺服器發送通道連接請求,以及接收連接伺服器回傳的通道連接確認,從而建立與連接伺服器之間的雲端通道; 後續利用seedKey對雲端通道上傳輸的資料進行加/解密。
資料處理模組04負責在通道上採用非同步方式收發資料。具體地,可以採用狀態機的方式接收和重組透過通道發送來的封包,如圖4中所示,可以包括以下幾種狀態和遷移方式: 在正常接收狀態下,若收到封包的協定頭(若通道採用CCP協定,則為CCP協定頭),但長度可變長編碼並未接收完整,則進入收包中且包長未知狀態;若收到完整封包,則進入完成收包狀態。
在收包中且包長未知狀態下,若收到新的分片,但長度可變長編碼未接收完整,則繼續處於收包中且包長未知狀態下;若長度可變長編碼接收完整,但整個封包未接收完,則進入收包中且包長已知狀態;若收到新的分片,長度可變長編碼接收完整,則進入完成收包狀態。
在收包中且包長已知狀態下,若收到新的分片且整個封包已接收完,則進入完成收包狀態;若收到新的分片但整個封包未接收完,則繼續處於收包中且包長已知狀態下。
在完成收包狀態下,對屬於同一封包的各分片進行重組,並上報給對封包進行解析的模組後進入正常接收狀態。
連接處理模組03在對透過通道接收到的封包進行解析時,若解析封包為PUSH訊息時,從解密後的封包中提 取應用資料並回檔給上層業務模組處理。若連接處理模組03在執行回檔時,出現狀態異常,則關閉該通道。
資料處理模組03在通道上採用非同步方式發送資料時,可以利用要發送的資料建構請求訊息,將請求訊息掛到RPC發送鏈的鏈尾。
心跳維護模組05負責透過通道接收到心跳訊息後,回傳心跳回應;若超過設定時長未透過通道收到心跳訊息,則觸發連接處理模組03關閉通道。
網路監聽模組06負責監聽網路事件,若網路出現異常,則觸發連接處理模組03關閉通道。
對於上述情況,連接處理模組03在關閉通道後,觸發認證碼獲取模組01重新執行獲取認證碼的操作,以重新建立與連接伺服器之間的通道。
圖6為本發明實施例提供的設置於管理伺服器的裝置結構圖,該裝置用於完成方法實施例中管理伺服器所執行的操作。如圖6所示,該裝置可以包括:認證碼接收模組11、認證處理模組12和參數處理模組13。各組成模組的主要功能如下:認證碼接收模組11負責接收用戶設備發送的包含認證碼的資料。
認證處理模組12負責利用包含認證碼的資料進行認證。
上述包含認證碼的資料還包括用戶設備的唯一標識資訊,認證處理模組12在進行認證時,可以採用以下兩種 實現方式:
第一種方式:認證處理模組12將用戶設備的唯一標識資訊和認證碼發送給標識伺服器;獲取標識伺服器回傳的對所述認證碼的認證結果。
這種方式實際上是由標識伺服器負責對認證碼進行認證,即標識伺服器接收到管理伺服器發送的唯一標識資訊和認證碼後,確定本地維護的該唯一標識資訊對應的認證碼,將確定的認證碼與接收到的認證碼進行比對,如果一致,則回傳認證成功的結果,如果失敗,則回傳認證失敗的結果。
第二種方式:認證處理模組12將用戶設備的唯一標識資訊發送給標識伺服器;獲取標識伺服器回傳的唯一標識資訊對應的認證碼;利用從標識伺服器獲取的認證碼,對所述用戶設備發送的認證碼進行認證。
更進一步地,包含認證碼的資料還可以包括appkey和簽名資訊,這種情況下,認證處理模組12在進行認證時,可以進一步執行:確定本地維護的appkey對應的appsecret;利用appsecret、用戶設備的唯一標識、認證碼以及appkey對用戶設備發送的簽名資訊進行校驗;如果校驗失敗,則認證失敗。也就是說,認證處理模組12進行的認證可以包括對簽名的校驗以及對認證碼的認證,兩者都通過則認證通過,有其一失敗,則認證失敗。
參數處理模組13負責在認證通過後,向用戶設備回傳用於通道的參數資訊,以便用戶設備建立與連接伺服器 之間的通道。
上述的認證碼接收模組11接收透過HTTP POST形式發送的包含認證碼的資料;參數處理模組13將用於建立通道的參數資訊透過HTTP回應的形式回傳給用戶設備。
其中用於建立通道的參數資訊可以包括:用於對傳輸資料進行加/解密的seedKey以及連接參數,連接參數可以包括:sid、連接伺服器的IP位址和埠號。參數處理模組13向用戶設備回傳的訊息的訊息頭中攜帶利用用戶設備的唯一標識加密後的seedKey,訊息的訊息體攜帶利用seedKey加密後的連接參數。
圖7為本發明實施例提供的設置於連接伺服器的裝置結構圖,如圖7所示,該裝置可以包括:連接處理模組21,還可以包括資料處理模組22、同步模組23和心跳維護模組24。各組成模組的主要功能如下:連接處理模組21負責接收用戶設備利用用於建立通道的參數資訊發送的連接請求,建立連接伺服器與用戶設備之間的通道,其中參數資訊是管理伺服器利用用戶設備發送的認證碼進行認證通過後回傳給所述用戶設備的。
其中,用於建立通道的參數資訊包括:用於對傳輸資料進行加/解密的seedKey以及連接參數。連接參數可以包括:isd、連接伺服器的IP位址和埠號。
在建立通道時,連接處理模組21建立連接伺服器與用戶設備之間的TCP長連接,該TCP長連接是用戶設備利用連接參數請求建立的;接收用戶設備發送的通道連接 請求,以及向用戶設備發送通道連接確認,從而建立與用戶設備之間的雲端通道。後續資料處理模組22利用seedKey對雲端通道上傳輸的資料進行加/解密。
同步模組23負責從管理伺服器同步sid和seedKey之間的對應關係;資料處理模組22透過通道接收到封包後,確定在該通道上採用該封包所攜帶的sid對應的seedKey,採用該seedKey對傳輸的資料進行加/解密處理。
另外,為了保證通道的可靠性,心跳維護模組24週期性地透過通道發送心跳訊息;若超過設定時長未透過通道接收到心跳回應,則觸發連接處理模組關閉通道。
對於標識伺服器可以採用如圖8中所示的結構。圖8為本發明實施例提供的一種設置於標識伺服器的裝置結構圖,如圖8所示,該裝置可以包括:分配模組31和認證模組32。各組成模組的主要功能如下: 分配模組31負責為用戶設備分配並發送認證碼。具體地,分配模組31接收到用戶設備發送的唯一標識資訊後,向用戶設備分配並回傳認證碼。其中,認證碼的分配方式可以是隨機產生的,也可以從認證碼池中隨機選擇的一個認證碼。
另外,在標識伺服器本地會維護唯一標識資訊與認證碼之間的對應關係,且各認證碼具有老化時間,到達老化時間後,認證碼失效。
認證模組32負責接收管理伺服器發送的用於認證的 資訊,並配合管理伺服器對所述用戶設備進行認證;其中認證的結果用於所述管理伺服器依據認證通過的結果向用戶設備回傳用於建立通道的參數資訊。
認證模組32可以存在兩種實現方式:第一種實現方式:認證模組32接收到管理伺服器提供的所述用戶設備的認證碼後,對接收到的認證碼進行認證並向管理伺服器回傳認證結果。
具體地,認證模組32可以利用連同用戶設備的認證碼一起接收到的用戶設備的唯一標識資訊,確定本地維護的與用戶設備的唯一標識資訊對應的認證碼;將確定出的認證碼與接收到的認證碼進行比對,如果一致,則認證通過;否則認證失敗。
第二種實現方式:認證模組32接收到管理伺服器提供的用戶設備的唯一標識資訊後,向管理伺服器回傳唯一標識資訊對應的認證碼,以便管理伺服器利用接收到的認證碼進行認證。
本發明實施例提供的上述方法和裝置可以設置並運行於設備中的電腦程式體現。該設備可以包括一個或多個處理器,還包括記憶體和一個或多個程式,如圖9中所示。其中該一個或多個程式儲存於記憶體中,被上述一個或多個處理器執行以實現本發明上述實施例中所示的方法流程和/或裝置操作。例如,被上述一個或多個處理器執行的方法流程,可以包括: 獲取認證碼; 將包含認證碼的資料發送給管理伺服器;接收管理伺服器利用包含認證碼的資料進行認證通過後回傳的用於建立通道的參數資訊;利用該參數資訊,建立用戶設備與連接伺服器之間的通道。
本發明實施例提供的上述方法和裝置可以廣泛地應用於各種領域,例如可以應用於物聯網中各種智慧型家電設備、智慧型汽車等與雲端伺服器之間的安全通信。其中連接伺服器可以是雲端為物聯設備提供具體服務的應用伺服器。
舉一個例子,在智慧型電視中的安全晶片中預先寫入為該智慧型電視分配的ID2,基於該ID2從標識伺服器獲取認證碼,並基於該認證碼在管理伺服器處透過認證後,從管理伺服器獲取連接伺服器的連接參數。此時的連接伺服器可以為視訊伺服器,連接參數包括seedkey、會話標識、視訊伺服器的IP位址和埠號。智慧型電視可以進一步利用獲取到的視訊伺服器的IP位址和埠號,與視訊伺服器建立CCP通道,在該CCP通道上,智慧型電視與視訊伺服器之間進行的資料交互均採用seedkey進行加密,並且採用上述連接參數中的會話標識來標識該通道上的會話。這樣就保證了智慧型電視與視訊伺服器之間的安全連接。
在本發明所提供的幾個實施例中,應該理解到,所揭露的系統,裝置和方法,可以透過其它的方式實現。例 如,以上所描述的裝置實施例僅僅是示意性的,例如,所述模組的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式。
所述作為分離元件說明的模組可以是或者也可以不是物理上分開的,作為模組顯示的元件可以是或者也可以不是物理模組,即可以位於一個地方,或者也可以分佈到多個網路模組上。可以根據實際的需要選擇其中的部分或者全部模組來實現本實施例方案的目的。
另外,在本發明各個實施例中的各功能模組可以集成在一個處理模組中,也可以是各個模組單獨物理存在,也可以兩個或兩個以上模組集成在一個模組中。上述集成的模組既可以採用硬體的形式實現,也可以採用硬體加軟體功能模組的形式實現。
上述以軟體功能模組的形式實現的集成的模組,可以儲存在一個電腦可讀取儲存介質中。上述軟體功能模組儲存在一個儲存介質中,包括若干指令用以使得一台電腦設備(可以是個人電腦,伺服器,或者網路設備等)或處理器(processor)執行本發明各個實施例所述方法的部分步驟。而前述的儲存介質包括:USB隨身碟、移動硬碟、唯讀記憶體(Read-Only Memory,ROM)、隨機存取記憶體(Random Access Memory,RAM)、磁碟或者光碟等各種可以儲存程式碼的介質。
以上所述僅為本發明的較佳實施例而已,並不用以限制本發明,凡在本發明的精神和原則之內,所做的任何修 改、等同替換、改進等,均應包含在本發明保護的範圍之內。

Claims (81)

  1. 一種連接建立方法,其特徵在於,該方法包括:用戶設備獲取認證碼;將包含認證碼的資料發送給管理伺服器;接收該管理伺服器利用該包含認證碼的資料進行認證通過後回傳的用於建立通道的參數資訊;利用該參數資訊,建立與連接伺服器之間的通道。
  2. 根據請求項1所述的方法,其中,該用戶設備獲取認證碼包括:該用戶設備從標識伺服器獲取認證碼。
  3. 根據請求項2所述的方法,其中,該用戶設備從標識伺服器獲取認證碼包括:該用戶設備發送該用戶設備的唯一標識給標識伺服器;接收該標識伺服器針對該用戶設備的唯一標識回傳的認證碼。
  4. 根據請求項1所述的方法,其中,該包含認證碼的資料還包括:該用戶設備的唯一標識。
  5. 根據請求項4所述的方法,其中,該將包含認證碼的資料發送給管理伺服器包括:對該用戶設備的唯一標識、認證碼、應用金鑰以及應用秘密進行簽名;將簽名值、該用戶設備的唯一標識、認證碼以及應用金鑰發送給該管理伺服器。
  6. 根據請求項5所述的方法,其中,向該標識伺服 器發送用戶設備的唯一標識、接收該認證碼以及該進行簽名由該用戶設備中的安全晶片執行。
  7. 根據請求項1所述的方法,其中,該包含認證碼的資料透過HTTP POST的形式發送給該管理伺服器;該參數資訊透過HTTP回應的形式接收。
  8. 根據請求項1所述的方法,其中,該參數資訊包括:用於對傳輸資料進行加/解密的種子金鑰以及連接參數。
  9. 根據請求項8所述的方法,其中,接收該管理伺服器利用該包含認證碼的資料進行認證通過後回傳的用於建立通道的參數資訊包括:接收該管理伺服器回傳的訊息;利用該用戶設備的唯一標識對接收到的訊息的訊息頭進行解密,得到該種子金鑰;利用該種子金鑰,對該訊息的訊息體進行解密,得到該連接參數。
  10. 根據請求項8或9所述的方法,其中,該連接參數包括:會話標識、連接伺服器的IP位址和埠號。
  11. 根據請求項8所述的方法,其中,利用該參數資訊,建立與連接伺服器之間的通道包括:利用該連接參數,與該連接伺服器建立TCP長連接; 向該連接伺服器發送通道連接請求,以及接收該連接伺服器回傳的通道連接確認,從而建立與該連接伺服器之間的雲端通道;利用該種子金鑰對該雲端通道上傳輸的資料進行加/解密。
  12. 根據請求項1所述的方法,其中,該方法還包括:在該通道上採用非同步方式收發資料。
  13. 根據請求項12所述的方法,其中,在該通道上採用非同步方式接收封包括:採用狀態機的方式接收和重組透過該通道發送來的封包。
  14. 根據請求項13所述的方法,其中,採用狀態機的方式接收和重組透過該通道發送來的封包包括:在正常接收狀態下,若收到協定頭且長度可變長編碼未接收完整,則進入收包中且包長未知狀態;在收包中且包長未知狀態下,若收到完整長度的可變長編碼但封包未接收完整,則進入收包中且包長已知狀態;若收到新的分片且可變長編碼和封包均接收完整,則進入完成收包狀態;在收包中且包長已知狀態下,若收到新的分片且封包接收完整,則進入完成收包狀態;在完成收包狀態下,對屬於該封包的各分片進行重組後進入正常接收狀態。
  15. 根據請求項1或12所述的方法,其中,該方法還包括:對透過該通道接收到的封包進行解析;若解析該封包為PUSH訊息時,從解密後的封包中提取應用資料並回檔給上層業務模組處理。
  16. 根據請求項12所述的方法,其中,在該通道上採用非同步方式發送封包括:利用要發送的資料建構請求訊息;將該請求訊息掛到遠端程序呼叫協定RPC發送鏈的鏈尾。
  17. 根據請求項1所述的方法,其中,該方法還包括:透過該通道接收到心跳訊息後,回傳心跳回應;若超過設定時長未透過該通道收到心跳訊息,則關閉該通道。
  18. 根據請求項15所述的方法,其中,若在執行該回檔時,出現狀態異常,則關閉該通道。
  19. 根據請求項1所述的方法,其中,該方法還包括:該用戶設備監聽網路事件,若網路出現異常,則關閉該通道。
  20. 根據請求項17或19所述的方法,其中,在該關閉該通道之後,還包括:轉至執行該獲取認證碼的步驟,以重新建立與連接伺 服器之間的通道。
  21. 一種連接建立方法,其特徵在於,該方法包括:管理伺服器接收用戶設備發送的包含認證碼的資料;利用該包含認證碼的資料進行認證通過後,向該用戶設備回傳用於建立通道的參數資訊,以便該用戶設備建立與連接伺服器之間的通道。
  22. 根據請求項21所述的方法,其中,該包含認證碼的資料還包括該用戶設備的唯一標識資訊;利用該包含認證碼的資料進行認證包括:該管理伺服器將該用戶設備的唯一標識資訊和該認證碼發送給標識伺服器;獲取該標識伺服器回傳的對該認證碼的認證結果。
  23. 根據請求項21所述的方法,其中,該包含認證碼的資料還包括該用戶設備的唯一標識資訊:利用該包含認證碼的資料進行認證包括:該管理伺服器將該用戶設備的唯一標識資訊發送給標識伺服器;獲取該標識伺服器回傳的該唯一標識資訊對應的認證碼;利用從該標識伺服器獲取的認證碼,對該用戶設備發送的認證碼進行認證。
  24. 根據請求項22或23所述的方法,其中,該包含認證碼的資料還包括應用金鑰和簽名資訊;利用該包含認證碼的資料進行認證還包括: 該管理伺服器確定本地維護的該應用金鑰對應的應用秘密;利用該應用秘密、該用戶設備的唯一標識、認證碼以及應用金鑰對該用戶設備發送的簽名資訊進行校驗;如果校驗失敗,則認證失敗。
  25. 根據請求項21所述方法,其中,該包含認證碼的資料透過HTTP POST的形式發送給該管理伺服器;該參數資訊透過HTTP回應的形式回傳給該用戶設備。
  26. 根據請求項21所述方法,其中,該參數資訊包括:用於對傳輸資料進行加/解密的種子金鑰以及連接參數。
  27. 根據請求項26所述的方法,其中,該管理伺服器向該用戶設備回傳的訊息的訊息頭中攜帶利用該用戶設備的唯一標識加密後的種子金鑰,該訊息的訊息體攜帶利用該種子金鑰加密後的連接參數。
  28. 根據請求項26或27所述的方法,其中,該連接參數包括:會話標識、連接伺服器的IP位址和埠號。
  29. 一種連接建立方法,其中,該方法包括:連接伺服器接收用戶設備利用用於建立通道的參數資訊發送的連接請求,建立與該用戶設備之間的通道;其中該參數資訊是管理伺服器利用用戶設備發送的認 證碼進行認證通過後回傳給該用戶設備的。
  30. 根據請求項28所述的方法,其中,該參數資訊包括:用於對傳輸資料進行加/解密的種子金鑰以及連接參數。
  31. 根據請求項29所述的方法,其中,該連接參數包括:會話標識、連接伺服器的IP位址和埠號。
  32. 根據請求項29所述的方法,其中,連接伺服器建立與用戶設備之間的通道包括:建立與該用戶設備之間的TCP長連接,該TCP長連接是該用戶設備利用該連接參數請求建立的;接收該用戶設備發送的通道連接請求,以及向該用戶設備發送通道連接確認,從而建立與該用戶設備之間的雲端通道;利用種子金鑰對該雲端通道上傳輸的資料進行加/解密。
  33. 根據請求項31所述的方法,其中,該方法還包括:該連接伺服器從該管理伺服器同步會話標識和種子金鑰之間的對應關係;透過該通道接收到封包後,確定在該通道上採用該封包所攜帶的會話標識對應的種子金鑰。
  34. 根據請求項29所述的方法,其中,該方法還包括: 該連接伺服器週期性地透過該通道發送心跳訊息;若超過設定時長未透過該通道接收到心跳回應,則關閉該通道。
  35. 一種連接建立方法,其特徵在於,該方法包括:標識伺服器為用戶設備分配並發送認證碼;接收管理伺服器發送的用於認證的資訊,並配合該管理伺服器對該用戶設備進行認證;其中該認證的結果用於該管理伺服器依據認證通過的結果向用戶設備回傳用於建立通道的參數資訊。
  36. 根據請求項35所述的方法,其中,該標識伺服器為用戶設備分配並發送認證碼包括:該標識伺服器接收到該用戶設備發送的唯一標識資訊後,向該用戶設備分配並回傳認證碼。
  37. 根據請求項35所述的方法,其中,該接收管理伺服器發送的用於認證的資訊,並配合該管理伺服器對該用戶設備進行認證包括:接收到管理伺服器提供的該用戶設備的認證碼後,對接收到的認證碼進行認證並向管理伺服器回傳認證結果。
  38. 根據請求項37所述的方法,其中,該對接收到的認證碼進行認證包括:利用連同該用戶設備的認證碼一起接收到的用戶設備的唯一標識資訊,確定本地維護的與該用戶設備的唯一標識資訊對應的認證碼;將確定出的認證碼與接收到的認證碼進行比對,如果 一致,則認證通過;否則認證失敗。
  39. 根據請求項35所述的方法,其中,該接收管理伺服器發送的用於認證的資訊,並配合該管理伺服器對該用戶設備進行認證包括:接收到管理伺服器提供的該用戶設備的唯一標識資訊後,向該管理伺服器回傳該唯一標識資訊對應的認證碼,以便該管理伺服器利用接收到的認證碼進行認證。
  40. 根據請求項38或39所述的方法,其中,該標識伺服器本地維護的與該用戶設備的唯一標識資訊對應的認證碼具有老化時間。
  41. 一種連接建立裝置,設置於用戶設備,其特徵在於,該裝置包括:認證碼獲取模組,用於獲取認證碼;參數獲取模組,用於將包含認證碼的資料發送給管理伺服器;接收該管理伺服器利用該包含認證碼的資料進行認證通過後回傳的用於建立通道的參數資訊;連接處理模組,用於利用該參數資訊,建立與連接伺服器之間的通道。
  42. 根據請求項41所述的裝置,其中,該認證碼獲取模組,具體用於從標識伺服器獲取認證碼。
  43. 根據請求項42所述的裝置,其中,該認證碼獲取模組,具體執行:發送該用戶設備的唯一標識給標識伺服器;接收該標識伺服器針對該用戶設備的唯一標識回傳的 認證碼。
  44. 根據請求項41所述的裝置,其中,該包含認證碼的資料還包括:該用戶設備的唯一標識。
  45. 根據請求項44所述的裝置,其中,該認證碼獲取模組,還用於對該用戶設備的唯一標識、認證碼、應用金鑰以及應用秘密進行簽名;該參數獲取模組在將包含認證碼的資料發送給管理伺服器時,具體執行:將該認證碼獲取模組得到的簽名值、該用戶設備的唯一標識、認證碼以及應用金鑰發送給該管理伺服器。
  46. 根據請求項43或45所述的裝置,其中,該認證碼獲取模組設置於該用戶設備的安全晶片。
  47. 根據請求項41所述的裝置,其中,該參數獲取模組將該包含認證碼的資料透過HTTP POST的形式發送給該管理伺服器;接收透過HTTP回應的形式發送的該參數資訊。
  48. 根據請求項41所述的裝置,其中,該參數資訊包括:用於對傳輸資料進行加/解密的種子金鑰以及連接參數。
  49. 根據請求項48所述的裝置,其中,該參數獲取模組在接收該管理伺服器回傳的用於建立連接的參數資訊時,具體執行:接收該管理伺服器回傳的訊息; 利用該用戶設備的唯一標識對接收到的訊息的訊息頭進行解密,得到該種子金鑰;利用該種子金鑰,對該訊息的訊息體進行解密,得到該連接參數。
  50. 根據請求項49所述的裝置,其中,該連接參數包括:會話標識、連接伺服器的IP位址和埠號。
  51. 根據請求項48所述的裝置,其中,該連接處理模組,具體用於:利用該連接參數,與該連接伺服器建立TCP長連接;向該連接伺服器發送通道連接請求,以及接收該連接伺服器回傳的通道連接確認,從而建立與該連接伺服器之間的雲端通道;利用該種子金鑰對該雲端通道上傳輸的資料進行加/解密。
  52. 根據請求項41所述的裝置,其中,該裝置還包括:資料處理模組,用於在該通道上採用非同步方式收發資料。
  53. 根據請求項52所述的裝置,其中,該資料處理模組,具體用於採用狀態機的方式接收和重組透過該通道發送來的封包。
  54. 根據請求項53所述的裝置,其中,該資料處理 模組在採用狀態機的方式接收和重組透過該通道發送來的封包時,具體執行:在正常接收狀態下,若收到協定頭且長度可變長編碼未接收完整,則進入收包中且包長未知狀態;在收包中且包長未知狀態下,若收到完整長度的可變長編碼但封包未接收完整,則進入收包中且包長已知狀態;若收到新的分片且可變長編碼和封包均接收完整,則進入完成收包狀態;在收包中且包長已知狀態下,若收到新的分片且封包接收完整,則進入完成收包狀態;在完成收包狀態下,對屬於該封包的各分片進行重組後進入正常接收狀態。
  55. 根據請求項41或52所述的裝置,其中,該連接處理模組,還用於對透過該通道接收到的封包進行解析;若解析該封包為PUSH訊息時,從解密後的封包中提取應用資料並回檔給上層業務模組處理。
  56. 根據請求項52所述的裝置,其中,該資料處理模組在該通道上採用非同步方式發送資料時,具體執行:利用要發送的資料建構請求訊息;將該請求訊息掛到遠端程序呼叫協定RPC發送鏈的鏈尾。
  57. 根據請求項41所述的裝置,其中,該裝置還包括:心跳維護模組,用於透過該通道接收到心跳訊息後, 回傳心跳回應;若超過設定時長未透過該通道收到心跳訊息,則觸發該連接處理模組關閉該通道。
  58. 根據請求項55所述的裝置,其中,若該連接處理模組在執行該回檔時,出現狀態異常,則關閉該通道。
  59. 根據請求項41所述的裝置,其中,該裝置還包括:網路監聽模組,用於監聽網路事件,若網路出現異常,則觸發該連接處理模組關閉該通道。
  60. 根據請求項57或59所述的裝置,其中,該連接處理模組在關閉該通道後,觸發該認證碼獲取模組重新執行該獲取認證碼的操作,以重新建立與連接伺服器之間的通道。
  61. 一種連接建立裝置,設置於管理伺服器,其特徵在於,該裝置包括:認證碼接收模組,用於接收用戶設備發送的包含認證碼的資料;認證處理模組,用於利用該包含認證碼的資料進行認證;參數處理模組,用於在該認證通過後,向該用戶設備回傳用於建立通道的參數資訊,以便該用戶設備建立與連接伺服器之間的通道。
  62. 根據請求項61所述的裝置,其中,該包含認證碼的資料還包括該用戶設備的唯一標識資訊;該認證處理模組,具體用於將該用戶設備的唯一標識 資訊和該認證碼發送給標識伺服器;獲取該標識伺服器回傳的對該認證碼的認證結果。
  63. 根據請求項61所述的裝置,其中,該包含認證碼的資料還包括該用戶設備的唯一標識資訊;該認證處理模組,具體用於將該用戶設備的唯一標識資訊發送給標識伺服器;獲取該標識伺服器回傳的該唯一標識資訊對應的認證碼;利用從該標識伺服器獲取的認證碼,對該用戶設備發送的認證碼進行認證。
  64. 根據請求項62或63所述的裝置,其中,該包含認證碼的資料還包括應用金鑰和簽名資訊;該認證處理模組在進行認證時,進一步執行:確定本地維護的該應用金鑰對應的應用秘密;利用該應用秘密、該用戶設備的唯一標識、認證碼以及應用金鑰對該用戶設備發送的簽名資訊進行校驗;如果校驗失敗,則認證失敗。
  65. 根據請求項61所述的裝置,其中,該認證碼接收模組接收透過HTTP POST形式發送的包含認證碼的資料;該參數處理模組將該參數資訊透過HTTP回應的形式回傳給該用戶設備。
  66. 根據請求項61所述的裝置,其中,該參數資訊包括:用於對傳輸資料進行加/解密的種子金鑰以及連接參數。
  67. 根據請求項66所述的裝置,其中,該參數處理模組向該用戶設備回傳的訊息的訊息頭中攜帶利用該用戶設備的唯一標識加密後的種子金鑰,該訊息的訊息體攜帶利用該種子金鑰加密後的連接參數。
  68. 根據請求項66或67所述的裝置,其中,該連接參數包括:會話標識、連接伺服器的IP位址和埠號。
  69. 一種連接建立裝置,設置於連接伺服器,其特徵在於,該裝置包括:連接處理模組,用於接收用戶設備利用用於建立通道的參數資訊發送的連接請求,建立該連接伺服器與用戶設備之間的通道;其中該參數資訊是管理伺服器利用用戶設備發送的認證碼進行認證通過後回傳給該用戶設備的。
  70. 根據請求項69所述的裝置,其中,該參數資訊包括:用於對傳輸資料進行加/解密的種子金鑰以及連接參數。
  71. 根據請求項70所述的裝置,其中,該連接參數包括:會話標識、連接伺服器的IP位址和埠號。
  72. 根據請求項70或71所述的裝置,其中,該連接處理模組,具體執行:建立該連接伺服器與該用戶設備之間的TCP長連接,該TCP長連接是該用戶設備利用該連 接參數請求建立的;接收該用戶設備發送的通道連接請求,以及向該用戶設備發送通道連接確認,從而建立與該用戶設備之間的雲端通道;該裝置還包括:資料處理模組,用於利用種子金鑰對該雲端通道上傳輸的資料進行加/解密。
  73. 根據請求項71所述的裝置,其中,該裝置還包括:同步模組,用於從該管理伺服器同步會話標識和種子金鑰之間的對應關係;資料處理模組,用於透過該通道接收到封包後,確定在該通道上採用該封包所攜帶的會話標識對應的種子金鑰。
  74. 根據請求項69所述的裝置,其中,該裝置還包括:心跳維護模組,用於週期性地透過該通道發送心跳訊息;若超過設定時長未透過該通道接收到心跳回應,則觸發該連接處理模組關閉該通道。
  75. 一種連接建立裝置,設置於標識伺服器,其特徵在於,該標識伺服器包括:分配模組,用於為用戶設備分配並發送認證碼;認證模組,用於接收管理伺服器發送的用於認證的資訊,並配合該管理伺服器對該用戶設備進行認證;其中該認證的結果用於該管理伺服器依據認證通過的結果向用戶設備回傳用於建立通道的參數資訊。
  76. 根據請求項75所述的裝置,其中,該分配模組,具體用於接收到該用戶設備發送的唯一標識資訊後,向該用戶設備分配並回傳認證碼。
  77. 根據請求項75所述的裝置,其中,該認證模組,具體用於接收到管理伺服器提供的該用戶設備的認證碼後,對接收到的認證碼進行認證並向管理伺服器回傳認證結果。
  78. 根據請求項77所述的裝置,其中,該認證模組在對接收到的認證碼進行認證時,具體執行:利用連同該用戶設備的認證碼一起接收到的用戶設備的唯一標識資訊,確定本地維護的與該用戶設備的唯一標識資訊對應的認證碼;將確定出的認證碼與接收到的認證碼進行比對,如果一致,則認證通過;否則認證失敗。
  79. 根據請求項75所述的裝置,其中,該認證模組,具體用於接收到管理伺服器提供的該用戶設備的唯一標識資訊後,向該管理伺服器回傳該唯一標識資訊對應的認證碼,以便該管理伺服器利用接收到的認證碼進行認證。
  80. 根據請求項78或79所述的裝置,其中,該標識伺服器本地維護的與該用戶設備的唯一標識資訊對應的認證碼具有老化時間。
  81. 一種設備,包括一個或者多個處理器;記憶體; 一個或者多個程式,該一個或者多個程式儲存在該記憶體中,被該一個或者多個處理器執行以實現如下操作:獲取認證碼;將包含認證碼的資料發送給管理伺服器;接收該管理伺服器利用該包含認證碼的資料進行認證通過後回傳的用於建立通道的參數資訊;利用該參數資訊,建立用戶設備與連接伺服器之間的通道。
TW106112040A 2016-06-14 2017-04-11 連接建立方法、裝置和設備 TW201811087A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201610421385.8A CN107508847B (zh) 2016-06-14 2016-06-14 一种连接建立方法、装置和设备
??201610421385.8 2016-06-14

Publications (1)

Publication Number Publication Date
TW201811087A true TW201811087A (zh) 2018-03-16

Family

ID=60663934

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106112040A TW201811087A (zh) 2016-06-14 2017-04-11 連接建立方法、裝置和設備

Country Status (4)

Country Link
US (1) US10868801B2 (zh)
CN (1) CN107508847B (zh)
TW (1) TW201811087A (zh)
WO (1) WO2017215452A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI711937B (zh) * 2019-11-29 2020-12-01 中華電信股份有限公司 網路防護系統和網路防護方法

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020042002A1 (zh) * 2018-08-29 2020-03-05 深圳市元征科技股份有限公司 设备管理方法、设备管理服务器及计算机可读存储介质
CN109167834A (zh) * 2018-09-11 2019-01-08 上海庆科信息技术有限公司 一种智能设备的连云方法及其相关装置
CN110224821B (zh) * 2019-06-06 2021-11-09 安徽问天量子科技股份有限公司 一种无人移动平台的通信加密方法
CN110769402B (zh) * 2019-10-31 2022-05-24 广东美的制冷设备有限公司 运行控制方法、装置、空调器和计算机存储介质
CN111245813B (zh) * 2020-01-07 2022-04-29 北京数字认证股份有限公司 密码资源池系统、加密方法、电子设备及存储介质
CN111614752B (zh) * 2020-05-19 2022-08-30 北京百度网讯科技有限公司 用于数据传输的方法和装置
CN113839973B (zh) * 2020-06-23 2024-04-12 炬芯科技股份有限公司 通信连接方法、装置、设备及存储介质
CN112818325A (zh) * 2021-01-30 2021-05-18 浪潮云信息技术股份公司 一种基于应用实现api网关独立鉴权的方法
US11729154B2 (en) * 2021-02-25 2023-08-15 Comcast Cable Communications, Llc Systems and methods for network privacy
US11516435B1 (en) * 2021-06-30 2022-11-29 Get Heal, Inc. System and method of contacting devices and creating a communication session
CN114157693A (zh) * 2021-11-30 2022-03-08 四川虹美智能科技有限公司 通信设备的上电认证方法、通信模块和服务器
CN114422570B (zh) * 2021-12-31 2024-05-14 深圳市联软科技股份有限公司 一种跨平台的多模块通讯方法及系统

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7197550B2 (en) * 2001-08-23 2007-03-27 The Directv Group, Inc. Automated configuration of a virtual private network
US8473620B2 (en) 2003-04-14 2013-06-25 Riverbed Technology, Inc. Interception of a cloud-based communication connection
CN1658553B (zh) * 2004-02-20 2011-04-27 中国电子科技集团公司第三十研究所 一种采用公开密钥密码算法加密模式的强鉴别方法
CN101383855B (zh) * 2007-09-04 2013-01-23 沈阳 一种基于ip地址信息获取计算机精确地理位置信息的方法
US8418222B2 (en) * 2008-03-05 2013-04-09 Microsoft Corporation Flexible scalable application authorization for cloud computing environments
CN101262485B (zh) * 2008-04-10 2012-12-12 成都市华为赛门铁克科技有限公司 认证方法与系统、服务器及客户端
US8683562B2 (en) * 2011-02-03 2014-03-25 Imprivata, Inc. Secure authentication using one-time passwords
US9413811B2 (en) 2011-02-28 2016-08-09 Red Hat, Inc. Establishing upload channels to a cloud data distribution service
CN102098317B (zh) * 2011-03-22 2013-12-18 浙江中控技术股份有限公司 一种应用于云系统的数据传输方法及系统
US8799997B2 (en) 2011-04-18 2014-08-05 Bank Of America Corporation Secure network cloud architecture
CN102752269B (zh) * 2011-04-21 2015-10-07 中国移动通信集团广东有限公司 基于云计算的身份认证的方法、系统及云端服务器
CN102289773A (zh) * 2011-05-05 2011-12-21 深圳市中冠通科技有限公司 证券信息预警的方法及系统
CN102355480B (zh) * 2011-07-21 2017-03-08 中兴通讯股份有限公司 基于tftp的文件传输方法、系统、客户端和服务器
CN202472744U (zh) * 2012-02-17 2012-10-03 湖南亲安网络科技有限公司 一种认证观看网络广告用户身份的装置
US20150036807A1 (en) * 2013-08-02 2015-02-05 Hope Bay Technology Corporation Methods and Systems for Remotely Recording and Managing Associated Recorded Files & Electronic Devices
CN105187362B (zh) 2014-06-23 2020-01-10 中兴通讯股份有限公司 一种桌面云客户端和服务端之间连接认证的方法及装置
CN205281583U (zh) * 2015-12-07 2016-06-01 上海斐讯数据通信技术有限公司 一种用于家庭生活交费服务的新型云计算装置
CN105472003A (zh) * 2015-12-11 2016-04-06 珠海金山网络游戏科技有限公司 一种大规模分布式游戏服务器系统及其实现方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI711937B (zh) * 2019-11-29 2020-12-01 中華電信股份有限公司 網路防護系統和網路防護方法

Also Published As

Publication number Publication date
CN107508847B (zh) 2021-06-08
US20190182223A1 (en) 2019-06-13
WO2017215452A1 (zh) 2017-12-21
US10868801B2 (en) 2020-12-15
CN107508847A (zh) 2017-12-22

Similar Documents

Publication Publication Date Title
TW201811087A (zh) 連接建立方法、裝置和設備
JP6651096B1 (ja) データ処理方法、装置、端末及びアクセスポイントコンピュータ
WO2018214777A1 (zh) 一种数据通信方法、装置、设备和存储介质
WO2017028593A1 (zh) 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质
CN108965230A (zh) 一种安全通信方法、系统及终端设备
WO2019153701A1 (zh) 一种获得设备标识的方法及装置
WO2016180202A1 (zh) 一种安全通讯的方法和装置
CN109936529B (zh) 一种安全通信的方法、装置和系统
WO2016022717A1 (en) System and method to communicate sensitive information via one or more untrusted intermediate nodes with resilience to disconnected network topology
US8515996B2 (en) Secure configuration of authentication servers
JP2016082597A (ja) セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法
Li et al. A secure sign-on protocol for smart homes over named data networking
CN113127914A (zh) 一种电力物联网数据安全防护方法
CN104901940A (zh) 一种基于cpk标识认证的802.1x网络接入方法
JP2016514913A (ja) セッション鍵を確立する方法および装置
CN111541776A (zh) 一种基于物联网设备的安全通信装置及系统
US11943213B2 (en) Device and method for mediating configuration of authentication information
WO2017005163A1 (zh) 基于无线通信的安全认证装置
US8788825B1 (en) Method and apparatus for key management for various device-server configurations
CN114390524A (zh) 一键登录业务的实现方法和装置
KR101836211B1 (ko) 전자 기기 인증 매니저 장치
CN108989302B (zh) 一种基于密钥的opc代理连接系统和连接方法
CN113965425A (zh) 物联网设备的接入方法、装置、设备及计算机可读存储介质
WO2014201783A1 (zh) 一种自组网的加密鉴权方法、系统及终端
WO2023141876A1 (zh) 数据传输方法、装置、系统、电子设备及可读介质