TW201929482A - 身份認證方法、系統及計算設備 - Google Patents

身份認證方法、系統及計算設備 Download PDF

Info

Publication number
TW201929482A
TW201929482A TW107136166A TW107136166A TW201929482A TW 201929482 A TW201929482 A TW 201929482A TW 107136166 A TW107136166 A TW 107136166A TW 107136166 A TW107136166 A TW 107136166A TW 201929482 A TW201929482 A TW 201929482A
Authority
TW
Taiwan
Prior art keywords
identity information
information
encrypted
login account
identity
Prior art date
Application number
TW107136166A
Other languages
English (en)
Inventor
金海峰
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Publication of TW201929482A publication Critical patent/TW201929482A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本案揭露了一種身份認證方法、系統及計算設備。其中,該方法包括:第一設備與第二設備建立通信連接,並通過網際網路獲取加密資訊,其中,第一設備為允許存取網際網路的設備,第二設備為不允許存取網際網路的設備;第一設備使用加密資訊對登入第二設備的帳戶的身份資訊進行加密,並將加密後的身份資訊發送至第二設備;第一設備接收第二設備返回的驗證結果,其中,第二設備基於驗證資訊來驗證加密後的身份資訊。本案解決了現有技術中,在聯網設備對非聯網設備進行操作的過程中,由於非聯網設備無法連接認證伺服器,導致接入該非聯網設備的聯網設備無法完成身份認證的技術問題。

Description

身份認證方法、系統及計算設備
本案涉及物聯網領域,具體而言,涉及一種份認證方法、系統及計算設。
隨著資訊技術的發展,物聯網逐漸發展成集資訊採集、傳輸、處理於一體的系統,被廣泛運用於各行各業,可以縮短很多業務環節,減少機械勞動。在物聯網系統中,由物聯網邊緣設備採集資料,發送給伺服器進行運算處理分析,然後由伺服器下發操作指令,由邊緣設備執行。由於大量的原始資料,都需要傳輸到伺服器進行分析和處理,對網路頻寬和儲存容量要求很高。同時給伺服器帶來了很大的處理負荷,容易出現延遲、網路不穩定的現象。因而,將所有的物聯網設備都接入網際網路與伺服器進行通信,是不現實的。邊緣計算是在此基礎上發展起來的一項技術,對於物聯網而言,邊緣計算將許多對設備的控制通過本地設備來實現,大大提升了處理效率,減輕了伺服器的處理負荷。
目前,在物聯網邊緣計算中,有很多設備是無法和伺服端通信,因而,無法通過伺服端來操作這些設備,只能通過建立區域網路環境來操作。例如,通過安裝的客戶端終端與設備組件區域網路來操作設備,這邊需要對能操作設備的各個應用程式進行身份認證,才能保證物聯網設備的安全以及功能的正常使用。當用戶購買回某個物聯網設備後,只需要下載相關的客戶端程式,就控制該設備,例如,用戶在家中安裝用於監控家中情況的攝影機後,可以通過手機下載該攝影機的控制應用程式,即可看家中的情況。但是,這種方式,容易被非法者通過破解得到的IP地址連接上用戶家中的攝影機,便可查看用戶家中的情況。由此,為了保證物聯網設備的安全,並不是每個能連上該設備的客戶端都具有對該設備進行操作的權限的。而由於物聯網邊緣的設備,不具有聯網條件,在沒有上網能力的情況下,無法實現對用於操作該設備的客戶端進行認證,存在安全隱患。
針對上述現有技術中,在聯網設備對非聯網設備進行操作的過程中,由於非聯網設備無法連接認證伺服器,導致接入該非聯網設備的聯網設備無法完成身份認證的問題,目前尚未提出有效的解決方案。
本發明實施例提供了一種份認證方法、系統及計算設,以至少解決現有技術中,在聯網設備對非聯網設備進行操作的過程中,由於非聯網設備無法連接認證伺服器,導致接入該非聯網設備的聯網設備無法完成身份認證的技術問題。
根據本發明實施例的一個方面,提供了一種身份認證方法,包括:第一設備與第二設備建立通信連接,並通過網際網路獲取加密資訊,其中,第一設備為允許存取網際網路的設備,第二設備為不允許存取網際網路的設備;第一設備使用加密資訊對登入第二設備的帳戶的身份資訊進行加密,並將加密後的身份資訊發送至第二設備;第一設備接收第二設備返回的驗證結果,其中,第二設備基於驗證資訊來驗證加密後的身份資訊。
根據本發明實施例的另一方面,還提供了一種身份認證方法,包括:第二設備與第一設備建立通信連接,並接收第一設備傳輸的待驗證的身份資訊,其中,第一設備為允許存取網際網路的設備,第二設備為不允許存取網際網路的設備;第二設備基於驗證資訊來驗證第一設備傳輸的待驗證的身份資訊,得到驗證結果;其中,待驗證的身份資訊為使用加密資訊加密後的資料。
根據本發明實施例的另一方面,還提供了一種身份認證方法,包括:第二設備接收來自第一設備傳輸的待驗證的身份資訊,其中,第一設備為允許存取網際網路的設備,第二設備為不允許存取網際網路的設備;第二設備根據驗證資訊驗證待驗證的身份資訊,得到驗證結果;在驗證結果為身份資訊可信的情況下,產生用於加解密資料的共享密鑰,其中,共享密鑰用於保證第一設備和第二設備之間進行安全資料傳輸;其中,待驗證的身份資訊為使用加密資訊加密後的資料。
根據本發明實施例的另一方面,還提供了一種身份認證系統,包括:第一設備,用於通過網際網路獲取加密資訊,使用加密資訊對登入第二設備的帳戶的身份資訊進行加密,並將加密後的身份資訊發送至第二設備;第二設備,與第一設備建立通信連接,用於基於驗證資訊來驗證加密後的身份資訊,得到驗證結果,並將驗證結果返回至第一設備;其中,第一設備為允許存取網際網路的設備,第二設備為不允許存取網際網路的設備。
根據本發明實施例的另一方面,還提供了計算設備,包括:通信裝置,與控制設備建立通信連接,用於接收來自控制設備傳輸的待驗證的身份資訊,其中,控制設備為允許存取網際網路的設備;處理器,與通信裝置連接,用於根據驗證資訊,驗證控制設備傳輸的待驗證的身份資訊,得到驗證結果,並在驗證結果為身份資訊可信的情況下,產生用於加解密資料的共享密鑰,其中,共享密鑰用於保證通信裝置和控制設備之間進行安全資料傳輸。
根據本發明實施例的另一方面,還提供了一種儲存媒體,儲存媒體包括儲存的程式,其中,在程式運行時控制儲存媒體所在設備執行上述任意一項的身份認證方法。
根據本發明實施例的另一方面,還提供了一種計算終端,包括:處理器,處理器用於運行程式,其中,程式運行時執行上述任意一項的身份認證方法。
根據本發明實施例的另一方面,還提供了一種身份認證系統,包括:處理器;以及記憶體,與處理器連接,用於為處理器提供處理以下處理步驟的指令:第一設備與第二設備建立通信連接,並通過網際網路獲取加密資訊,其中,第一設備為允許存取網際網路的設備,第二設備為不允許存取網際網路的設備;第一設備使用加密資訊對登入第二設備的帳戶的身份資訊進行加密,並將加密後的身份資訊發送至第二設備;第一設備接收第二設備返回的驗證結果,其中,第二設備基於驗證資訊來驗證加密後的身份資訊。
在本發明實施例中,通過第一設備與第二設備建立通信連接,並通過網際網路獲取加密資訊,其中,第一設備為允許存取網際網路的設備,第二設備為不允許存取網際網路的設備;第一設備使用加密資訊對登入第二設備的帳戶的身份資訊進行加密,並將加密後的身份資訊發送至第二設備;第一設備接收第二設備返回的驗證結果,其中,第二設備基於驗證資訊來驗證加密後的身份資訊,達到了根據非聯網設備中內置的驗證資訊對用於操作該非聯網設備的對象的身份資訊進行驗證的目的,從而實現了在通過客戶端操作非聯網設備的時候,非聯網設備對客戶端身份進行認證以提高客戶端與非聯網設備之間資料傳輸的安全性的技術效果,進而解決了現有技術中,在聯網設備對非聯網設備進行操作的過程中,由於非聯網設備無法連接認證伺服器,導致接入該非聯網設備的聯網設備無法完成身份認證的技術問題。
為了使本技術領域的人員更好地理解本案方案,下面將結合本案實施例中的圖式,對本案實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本案一部分的實施例,而不是全部的實施例。基於本案中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都應當屬於本案保護的範圍。
需要說明的是,本案的說明書和申請專利範圍及上述圖式中的術語“第一”、“第二”等是用於區別類似的對象,而不必用於描述特定的順序或先後次序。應該理解這樣使用的資料在適當情況下可以互換,以便這裡描述的本案的實施例能夠以除了在這裡圖示或描述的那些以外的順序實施。此外,術語“包括”和“具有”以及他們的任何變形,意圖在於覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統、產品或設備不必限於清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或對於這些過程、方法、產品或設備固有的其它步驟或單元。
首先,在對本案實施例進行描述的過程中出現的部分名詞或術語適用於如下解釋:
物聯網,是指通過各種資訊傳感設備,即時採集任何需要監控、連接、互動的物體或過程等各種需要的資訊,與網際網路那個結合形成的一個巨大的網路。
邊緣計算,是指在靠近物或資料源頭的一側,採用網路、計算、儲存、應用核心能力為一體的開放平台,提供最近端服務。其應用程式在邊緣側發起,產生更快的網路服務響應,滿足即時業務、應用智慧、安全與隱私保護等方面的基本要求。物聯網邊緣計算實現了將許多對物聯網設備的控制通過本地設備實現,從而減輕了伺服端的處理負荷、提升了處理效率。
第一設備,可以是與網際網路連接的設備,可以存取網際網路,包括但不限於物聯網邊緣計算中,安裝有用於對各種物聯網基礎設備進行控制或操作的應用程式的設備。
第二設備,可以是非聯網設備,即沒有連接網際網路的設備,作為一種可選的實施例,可以是物聯網邊緣計算中的沒有連接網際網路的各種物聯網基礎設備。

實施例 1
根據本案實施例,提供了一種身份認證系統實施例,可以應用於對任何一種非聯網設備的操作對象的身份認證。
作為一種可選的實施例,本實施例可以應用於物聯網邊緣計算中對物聯網邊緣設備進行操作的客戶端或基於Web的應用中,其中,客戶端或基於Web的應用安裝於聯網設備(包括但不限於手機、筆記本電腦、平板電腦、計算機等)上,聯網設備可以與伺服端進行通信。
由於在物聯網邊緣計算中,很多物聯網基礎設備(例如,智慧燈、智慧空調等)是無法和伺服端進行通信的,而是通過聯網設備(例如,手機)上安裝的客戶端應用程式或者通過基於Web的物聯網應用來對物聯網基礎設備進行操作。
在通過聯網設備上安裝的客戶端應用或基於Web的應用存取物聯網基礎設備並對物聯網基礎設備進行操作的時候,現有技術中,第一種方式是通過這些客戶應用或基於Web的應用直接登入來對物聯網基礎設備進行操作,物聯網基礎設備不對存取或操作該物聯網基礎設備的應用進行身份認證,且傳輸的資料為明文傳輸,安全性很低;第二種方式是由這些物聯網基礎設備直接存取伺服端,由伺服端下發可信任列表,當客戶應用或基於Web的應用連接到物聯網基礎設設備上,由設備判斷當前的應用是否在可信任列表中,進而確定提供服務還是拒絕服務。
由上可以看出,上述第一種方式,在不對應用進行身份認證的情況下,直接通過應用對物聯網基礎設備進行操作,存在安全隱患;上述第二種方式,由設備與伺服端通信,大量的設備容易導致伺服端處理負荷增大。
在上述背景下,發明人經研究發現,如果可以提供一種身份認證方案,應用於沒有連接網際網路(即無法與伺服端通信)的設備,對操作該設備的對象的身份進行認證,不僅實現了對操作非聯網設備的應用進行身份認證以提高安全性,而且還不會增加伺服端的處理負荷。
作為一種可選的實施例,圖1是根據本案實施例的一種可選的身份認證系統示意圖,如圖1所示,該系統包括:第一設備101和第二設備103。其中,第一設備為允許存取網際網路的設備,第二設備為不允許存取網際網路的設備。也就是說,第一設備可以與伺服端通信,第二設備不可以與伺服端通信。需要說明的是,第二設備不可以與伺服端通信包括但不限於如下兩種情形:(1)第二設備本身沒有聯網功能(例如,物聯網邊緣計算中的各種物聯網基礎設備),無法與伺服端通信;(2)第二設備具有聯網功能,但是沒有存取伺服端的權限(例如,為了防止大量設備存取伺服端造成服務處理負荷過大的問題,而限制某些設備不允許存取伺服端)。
其中,第一設備101,用於通過網際網路獲取加密資訊,使用加密資訊對登入第二設備的帳戶的身份資訊進行加密,並將加密後的身份資訊發送至第二設備。
具體地,第一設備可以是任意一種能夠存取網際網路的終端設備,包括但不限於手機、筆記本電腦、平板電腦、計算機等;第二設備可以是能夠上網的設備,也可以是不能夠上網設備,本案實施例提供的身份認證方法主要應用於沒有與網際網路連接或者無法與伺服端通信第二設備,包括但不限於任意一種物聯網邊緣設備(或稱基礎設備)。加密資訊可以是用於對第一設備向第二設備傳輸的身份資訊進行加密的密鑰資訊。容易注意的是,採用的加密演算法不同,獲取到的加密資訊也不同。
例如,在採用對稱加密演算法的情況下,上述加密資訊可以是對身份資訊進行加密的密鑰,發送方(第一設備101)利用該加密資訊對身份資訊加密,接收方(第二設備103)利用該密鑰對身份資訊進行解密。在採用非對稱加密演算法的情況下,上述加密資訊可以包括:對身份資訊進行加密的私鑰以及對加密後的身份資訊進行解密的公鑰,發送方(第一設備101)利用該私鑰對身份資訊加密,接收方(第二設備103)利用該私鑰對應的公鑰對身份資訊進行解密。
需要說明的是,上述第一設備上安裝的應用包括但不限於如下任意一種操作系統的上應用:Windows、iOS、Android等。第一設備上安裝的應用可以是客戶端應用程式,也可是需要通過第一設備上安裝的瀏覽器來存取的一些基於Web的應用。用戶可以通過第一設備安裝的這些應用操作第二設備。
第二設備103,與第一設備建立通信連接,用於基於驗證資訊來驗證加密後的身份資訊,得到驗證結果,並將驗證結果返回至第一設備。
具體地,由於第二設備是沒有連接網際網路的,或者說是無法與對應的伺服端進行通信的,為了實現對操作第二設備的對象的身份進行認證,因而,作為一種可選的實施例,可以在第二設備出廠時可以內置一些用於對操作對象的身份進行驗證的資訊,以便當第一設備與第二設備建立通信連接後,第二設備可以通過內置的驗證資訊對操作第二設備的第一設備的身份資訊進行驗證。
一種可選的實施例中,上述驗證資訊可以是伺服端證書簽證平台的根證書,該證書簽證平台可以是用於伺服端向第一設備簽發數位憑證的平台。
可選地,第一設備101可以通過如下任意一種通信方式與第二設備103建立通信連接:傳輸控制協定TCP、用戶資料報協定UDP、藍牙、Zigbee、WiFi。
作為一種可選的實施例,如圖1所示,上述系統還可以包括:伺服器105,與第一設備101通信,該伺服器105接收第一設備101發起的登入請求,並根據登入請求產生加密資訊,其中,加密資訊包括如下至少之一:密鑰對和數位憑證。其中,密鑰對包括:私鑰和公鑰,用於對第一設備向第二設備傳輸的身份資訊進行非對稱加密,即第一設備利用私鑰對傳輸至第一設備的身份資訊進行加密,第二設備利用與該私鑰對應的公鑰對接收到的加密後的身份資訊進行解密。可選地,上述數位憑證可以用於對公鑰進行傳輸。
圖2是根據本案實施例的一種可選的身份認證系統互動示意圖,如圖2所示,第一設備101、第二設備103和伺服器105之間的互動過程如下:
(1)第一設備101獲取登入帳號,通過該登入帳號向伺服器105發出登入請求。
(2)伺服器105根據第一設備的登入請求產生對應的加密資訊,其中,加密資訊包括如下至少之一:密鑰對和數位憑證。
需要說明的是,伺服器105至少可以根據登入請求中第一設備的登入帳號產生對應的加密資訊,作為一種可選的實施例,伺服器105還可以根據登入請求中第一設備的登入帳號產生一個與該登入帳號對應的使用者帳號(也稱使用帳號,作為第一設備使用第二設備的帳號),以及對應的加密資訊。可選地,伺服器105還可以針對不同的使用者帳號授予不同的使用權限。
容易注意的是,由於使用者帳號與登入帳號是一一對應的,因而,可以直接採用第一設備的登入帳號作為操作或使用第二設備的帳號,也可以產生一個專門的使用者帳號,本案對此不作限定,只要可以用於標識第一設備的身份資訊,均屬於本案保護的範圍。
(3)第一設備101接收到伺服器105返回的加密資訊後,根據登入帳號和加密資訊,產生加密後的身份資訊。
具體地,第一設備101可以使用密鑰對中的私鑰對登入帳號和/或隨機數進行加密,得到加密結果,並基於登入帳號,以及如下至少之一的資訊產生加密後的身份資訊:加密結果和數位憑證。包括但不限於如下三種實施方式:
第一種可選的實施方式,第一設備101使用伺服器105返回的密鑰對中的私鑰對登入帳號進行加密,得到加密結果,並基於加密結果和數位憑證產生加密後的身份資訊。其中,數位憑證可以用於傳輸該私鑰對應的公鑰。
第二種可選的實施方式,第一設備101使用伺服器105返回的密鑰對中的私鑰對登入帳號和隨機數(假設為第一隨機數)進行加密,得到加密結果,並基於加密結果和數位憑證產生加密後的身份資訊。其中,數位憑證可以用於傳輸該私鑰對應的公鑰。
第三種可選的實施方式,第一設備101使用伺服器105返回的密鑰對中的私鑰對隨機數(假設為第一隨機數)進行加密,得到加密結果,並基於第一設備的登入帳號、加密結果和數位憑證產生加密後的身份資訊。其中,數位憑證可以用於傳輸該私鑰對應的公鑰。
(4)第一設備101將加密後的身份資訊發送至第二設備103。
可選地,在通過(3)中任意一種可選的實施方式,產生加密後的身份資訊後,還可以將產生的加密後的身份資訊添加第一設備的數位簽名,並將添加數位簽名後的身份資訊發送至第二設備103。
(5)第一設備101接收到來自第一設備101發送的加密後的身份資訊後,對加密的身份資訊進行解密。
具體地,在第一設備101對加密的身份資訊進行解密的時候,首先可以基於預先安裝的根證書,判斷待驗證的身份資訊中包含的數位憑證是否可信,並在數位憑證不可信的情況下,向第一設備101返回的身份驗證失敗的結果。
進一步地,在數位憑證可信的情況下,第二設備103提取數位憑證中包含的公鑰,並通過數位簽名驗證接收到的資料是否被篡改,在接收到的資料被篡改的情況下,第一設備接收第二設備返回的身份驗證失敗的結果。
進一步地,在接收到的資料未被篡改的情況下,第二設備103利用從數位憑證中提取到的公鑰對加密結果進行解密,得到登入帳號和/或隨機數(即第一隨機數),並判斷登入帳號是否存在於可信任列表中,其中,可信任列表包含允許登入第二設備的至少一個帳戶,在登入帳號不存在於可信任列表的情況下,向第一設備返回身份驗證失敗的結果。
其中,在第二設備103判斷登入帳號是否存在於可信任列表中之前,還可以判斷可信任列表中是否存在登入帳號,並在可信任列表中不存在登入帳號的情況下,第二設備將解密得到的登入帳號作為管理帳號,並添加到可信任列表中,其中,管理帳號用於管理可信任列表中的至少一個登入帳號。
可選地,在登入帳號存在於可信任列表的情況下,第二設備103產生隨機數(即第二隨機資料),並根據第一隨機數和第二隨機數,產生共享密鑰,共享密鑰用於保證後續第一設備和第二設備之間進行安全資料傳輸。
(5)第一設備101根據第一隨機數和伺服器返回的第二隨機數,產生用於保證後續第一設備和第二設備之間進行安全資料傳輸共享密鑰。

實施例 2
根據本案實施例,還提供了一種身份認證方法實施例,本實施例可以應用於實施例1中的身份認證系統中,包括但不限於實施例1中場景。需要說明的是,在圖式的流程圖示出的步驟可以在諸如一組計算機可執行指令的計算機系統中執行,並且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同於此處的順序執行所示出或描述的步驟。
由於在通過客戶終端對設備進行操作的過程中,在設備沒有聯網(即無法與伺服端進行通信)的情況下,存在已經聯網的客戶終端無法在設備上完成身份認證的技術問題。
為了解決上述問題,本案提供了一種身份認證方法實施例,圖3是根據本案實施例的一種身份認證方法流程圖,如圖3所示,包括如下步驟:
步驟S302,第一設備與第二設備建立通信連接,並通過網際網路獲取加密資訊,其中,第一設備為允許存取網際網路的設備,第二設備為不允許存取網際網路的設備。
具體地,上述加密資訊可以是用於對第一設備向第二設備傳輸的身份資訊進行加密的密鑰資訊。其中,第一設備可以是任意一種能夠存取網際網路的終端設備,包括但不限於手機、筆記本電腦、平板電腦、計算機等;第二設備可以是能夠上網的設備,也可以是不能夠上網設備,本案實施例提供的身份認證方法主要應用於沒有與網際網路連接或者無法與伺服端通信第二設備,包括但不限於任意一種物聯網邊緣設備(或稱基礎設備)。
可選地,上述第一設備上安裝的應用包括但不限於如下任意一種操作系統的上應用:Windows、iOS、Android等。第一設備上安裝的應用可以是客戶端應用程式,也可是需要通過第一設備上安裝的瀏覽器來存取的一些基於Web的應用。用戶可以通過第一設備安裝的這些應用操作第二設備。
一種可選的實施例中,第一設備可以通過如下任意一種通信方式與第二設備建立通信連接:傳輸控制協定TCP、用戶資料報協定UDP、藍牙、Zigbee、WiFi。
容易注意的是,採用的加密演算法不同,獲取到的加密資訊也不同。
作為第一種可選的實施方案,在採用對稱加密演算法的情況下,上述加密資訊可以是對身份資訊進行加密的密鑰,第一設備利用該加密資訊對身份資訊加密,第二設備利用該密鑰對身份資訊進行解密。
作為第二種可選的實施方案,在採用非對稱加密演算法的情況下,上述加密資訊可以包括:對身份資訊進行加密的私鑰以及對加密後的身份資訊進行解密的公鑰,第一設備利用該私鑰對身份資訊加密,第二設備利用該私鑰對應的公鑰對身份資訊進行解密。
步驟S304,第一設備使用加密資訊對登入第二設備的帳戶的身份資訊進行加密,並將加密後的身份資訊發送至第二設備。
具體地,在第一設備與第二設備建立通信連接,並從網際網路上獲取到對應的加密資訊,可以使用該加密資訊對第一設備登入第二設備的帳戶的身份資訊進行加密,加密方式包括但不限於如下三種:①第一設備使用加密資訊對第一設備的身份資訊進行加密,得到加密後的身份資訊;②第一設備使用加密資訊對第一設備的身份資訊和第一設備產生的隨機數進行加密,得到加密後的身份資訊;③第一設備基於第一設備的身份資訊,並使用加密資訊對和第一設備產生的隨機數進行加密,得到加密後的身份資訊。
步驟S306,第一設備接收第二設備返回的驗證結果,其中,第二設備基於驗證資訊來驗證加密後的身份資訊。
具體地,由於第二設備是沒有連接網際網路的,或者說是無法與對應的伺服端進行通信的,為了實現對操作第二設備的對象的身份進行認證,因而,作為一種可選的實施例,可以在第二設備出廠時可以內置一些用於對操作對象的身份進行驗證的資訊,以便當第一設備與第二設備建立通信連接後,第二設備根據內置的驗證資訊對接收到的來自第一設備發送的身份資訊進行驗證,並將驗證結果返回到第一設備。
作為一種可選的實施例,上述驗證資訊可以是伺服端證書簽證平台的根證書,該證書簽證平台可以是用於伺服端向第一設備簽發數位憑證的平台。
由上可知,在本案上述實施例中,通過允許存取網際網路的第一設備從網際網路上獲取加密資訊,並使用該加密資訊加密第一設備登入第二設備的帳戶的身份資訊,以便第二設備可以通過驗證資訊,對接收到的身份資訊進行驗證,以便在確定第一設備的身份資訊為可信的情況下,才與第一設備進行通信。
容易注意的是,第二設備中驗證資訊可以對第一設備獲取到的加密資訊進行驗證,以根據驗證結果,來確定第一設備的身份是否可信。因而,通過本案上述實施例揭露的方案,達到了根據非聯網設備中內置的驗證資訊對用於操作該非聯網設備的對象的身份資訊進行驗證的目的,從而實現了在通過客戶端操作非聯網設備的時候,非聯網設備對客戶端身份進行認證以提高客戶端與非聯網設備之間資料傳輸的安全性的技術效果。
由此,本案提供的上述實施例2的方案解決了現有技術中,在聯網設備對非聯網設備進行操作的過程中,由於非聯網設備無法連接認證伺服器,導致接入該非聯網設備的聯網設備無法完成身份認證的技術問題。
在一種可選的實施例中,如圖4所示,上述步驟S304,第一設備使用加密資訊對登入第二設備的帳戶的身份資訊進行加密,並將加密後的身份資訊發送至第二設備,包括:
步驟S402,第一設備獲取登入帳號,並接收認證伺服器返回的加密資訊,其中,加密資訊包括如下至少之一:密鑰對和數位憑證。
具體地,認證伺服器可以是用於認證對第二設備進行操作的對象的伺服器,例如,當第二設備為物聯網基礎設備(例如,智慧燈、智慧空調等)的情況下,該認證伺服器可以是提供應用服務的伺服器,第一設備可以通過安裝對應的應用程式來操作第二設備。由於第二設備無法與認證伺服器進行通信,為了驗證操作第二設備的第一設備的身份資訊是否為可信的,能夠與伺服端(即認證伺服器)通信的第一設備可以根據當前註冊或已註冊該應用的一個帳號登入認證伺服器,以便認證伺服器產生對應的加密資訊,用於第一設備加密第一設備向第二設備發送的身份資訊。
需要說明的是,加密資訊中的密鑰對包括:私鑰和公鑰,用於對第一設備向第二設備傳輸的身份資訊進行非對稱加密,即第一設備利用私鑰對傳輸至第一設備的身份資訊進行加密,第二設備利用與該私鑰對應的公鑰對接收到的加密後的身份資訊進行解密。可選地,上述數位憑證可以用於對公鑰進行傳輸。
容易注意的是,上述登入帳號用於表徵第一設備登入第二設備的帳戶的身份資訊,可以是第一設備登入認證伺服器的帳號,也可以是是認證伺服器根據第一設備登入認證伺服器的帳號產生的一個對應的使用者帳號(也稱使用帳號,作為第一設備使用第二設備的帳號)。
由於使用者帳號與登入帳號是一一對應的,因而,可以直接採用第一設備的登入帳號作為操作或使用第二設備的帳號,也可以產生一個專門的使用者帳號,本案對此不作限定,只要可以用於標識第一設備的身份資訊,均屬於本案保護的範圍。
步驟S404,第一設備根據登入帳號和加密資訊,產生加密後的身份資訊。
具體地,在第一設備根據登入帳號和加密資訊,產生加密後的身份資訊的過程中,可以通過如下任意一種方式來產生加密後的身份資訊:①第一設備使用加密資訊對登入帳號進行加密,得到加密後的身份資訊;②第一設備使用加密資訊對登入帳號和第一設備產生的隨機數進行加密,得到加密後的身份資訊;③第一設備基於登入帳號,並使用加密資訊對和第一設備產生的隨機數進行加密,得到加密後的身份資訊。
作為一種可選的實施方案,在採用非對稱加密演算法對身份資訊進行加密的情況下,獲取到的密鑰對的中私鑰來進行加密,則上述步驟S404可以包括: 步驟S4041,第一設備使用密鑰對中的私鑰對登入帳號和/或隨機數進行加密,得到加密結果;步驟S4043,第一設備基於登入帳號,以及如下至少之一的資訊產生加密後的身份資訊:加密結果和數位憑證。
以上述第二種方式為例,上述步驟S4041,第一設備使用密鑰對中的私鑰對登入帳號和/或隨機數進行加密,得到加密結果,可以包括如下步驟:步驟S4041a,第一設備獲取第一隨機數;步驟S4041b,第一設備使用密鑰對中的私鑰對登入帳號和第一隨機數進行加密,得到加密結果。
容易注意的是,本案中根據第一設備的登入帳號來獲取特定的密鑰對和數位憑證,具體實施可以沒有帳號,以別的媒體來獲取密鑰對的證書,均屬本案保護範圍。
步驟S406,第一設備發送加密後的身份資訊至第二設備。
具體地,第一設備在根據獲取到的據登入帳號和加密資訊,產生加密後的身份資訊後,可以將產生的加密後的身份資訊添加第一設備的數位簽名,並將添加數位簽名後的身份資訊發送至第二設備。
通過上述步驟S402至S406揭露的方案,實現對待驗證的身份資訊進行加密傳輸的目的。
在一種可選的實施例中,在第一設備使用加密資訊對登入第二設備的帳戶的身份資訊進行加密,並將加密後的身份資訊發送至第二設備之前,上述方法還可以包括:步驟S303,第一設備向認證伺服器發起登入請求,其中,認證伺服器根據登入請求產生加密資訊,其中,加密資訊包括如下至少之一:密鑰對和數位憑證。其中,密鑰對包括:私鑰和公鑰,用於對第一設備向第二設備傳輸的身份資訊進行非對稱加密,即第一設備利用私鑰對傳輸至第一設備的身份資訊進行加密,第二設備利用與該私鑰對應的公鑰對接收到的加密後的身份資訊進行解密。可選地,上述數位憑證可以用於對公鑰進行傳輸。
需要說明的是,為了確保第二設備接收到來自第一設備的資料沒有被篡改,第一設備在向第二設備發送加密後的身份資訊時,可以添加第一設備的數位簽名,並將添加數位簽名後的身份資訊發送至第二設備。因而,作為一種可選的實施例,如圖5所示,第一設備發送加密後的身份資訊至第二設備,可以包括如下步驟:
步驟S502,第一設備將加密後的身份資訊添加第一設備的數位簽名;
步驟S504,第一設備將添加數位簽名後的身份資訊發送至第二設備。
通過上述步驟S502至S504揭露的方案,可以使得第二設備在接收到第一設備發送的身份資訊後,根據數位簽名協定驗證內容是否被篡改。
基於上述實施例,作為一種可選的實施方式,如圖6所示,在第一設備將添加數位簽名後的身份資訊發送至第二設備之後,上述方法還可以包括如下步驟:
步驟S602,第二設備基於預先安裝的根證書,判斷待驗證的身份資訊中包含的數位憑證是否可信。
具體地,第二設備中的根證書可以是伺服端證書簽證平台的根證書,該證書簽證平台可以是用於伺服端向第一設備簽發數位憑證的平台。通過證書簽證平台的根證書可以驗證該證書簽證平台(即認證伺服器)向第一設備返回的數位憑證是否可信。
步驟S604,在數位憑證不可信的情況下,第一設備接收第二設備返回的身份驗證失敗的結果。
具體地,在根據第二設備中預先安裝的根證書,確定第一設備發送的待驗證的身份資訊不可信的情況下,第二設備可以返回身份驗證失敗的結果。
可選地,在數位憑證可信的情況下,上述方法還可以包括如下步驟:
步驟S606,第二設備提取數位憑證中包含的公鑰,並通過數位簽名驗證接收到的資料是否被篡改;
步驟S608,在接收到的資料被篡改的情況下,第一設備接收第二設備返回的身份驗證失敗的結果。
由於第二設備接收到來自第一設備發送的待驗證的身份資訊是採用密鑰對的中私鑰進行加密的,因而,在根據第二設備中安裝的根證書確定接收到的數位憑證可信的情況下,可以通過接收到的數位憑證中包含的公鑰對待驗證的身份資訊進行解密,為了避免不必要的操作,可以首先根據接收到的資料中包含的第一設備的數位簽名來驗證接收到資料內容是否被篡改,在篡改的情況下,返回身份驗證失敗的結果。
可選地,在接收到的資料未被篡改的情況下,上述方法還可以包括如下步驟:
步驟S610,第二設備利用公鑰對加密結果進行解密,得到登入帳號和/或第一隨機數。
在根據接收到的數位簽名根據數位簽名協定驗證第二設備接收到身份資訊內容沒有被篡改的情況下,可以根據從數位憑證中提取到的公鑰對採用私鑰加密的身份資訊進行解密,得到第一設備的身份資訊(例如,登入帳號),以及第一設備生產的隨機數(即第一隨機數)。
步驟S612,第二設備判斷登入帳號是否存在於可信任列表中,其中,可信任列表包含允許登入第二設備的至少一個帳戶。
具體地,上述可信任列表中儲存了至少一個可信的帳戶的身份資訊(例如,登入帳號,或者,根據登入帳號生產的使用者帳號)。
可選地,在判斷登入帳號是否存在於可信任列表中之前,上述方法還可以包括如下步驟:步驟S611a,第二設備判斷可信任列表中是否存在登入帳號;步驟S611b,在可信任列表中不存在登入帳號的情況下,第二設備將解密得到的登入帳號作為管理帳號,並添加到可信任列表中,其中,管理帳號用於管理可信任列表中的至少一個登入帳號。
通過上述步驟S611a和S611b,將第一設備首次傳輸到第二設備的身份資訊(例如,登入帳號,或者,根據登入帳號生產的使用者帳號)作為管理員帳號,並添加到可信任帳號列表中,其中,管理員帳號對應的帳戶可以刪除或增加可信任列表中的其他帳號,從而解決了需要將第二設備連接到伺服器來獲取可信任列表,從而到至伺服器處理負荷過高的問題。
步驟S614,在登入帳號不存在於可信任列表的情況下,第一設備接收第二設備返回的身份驗證失敗的結果。如果解密得到的登入帳號不在可信任列表中,說明該登入帳號不可信,因而,可以向第一設備返回身份驗證失敗的結果,並終止第一設備向第二設備的操作。
可選地,在登入帳號存在於可信任列表的情況下,上述方法還可以包括如下步驟:
步驟S616,第一設備根據第一隨機數和認證伺服器返回的第二隨機數,產生共享密鑰,其中,第二隨機數為第二設備在登入帳號存在於可信任列表的情況下,第二設備產生的隨機數;其中,第二設備根據第一隨機數和第二隨機數,產生共享密鑰。
在第二設備確定第一設備的身份為可信的情況下,根據產生第二隨機數和第一設備產生的第一隨機數,產生第一設備與第二設備之間傳輸資料的共享密鑰,可以用於第一設備與第二設備後續進行安全資料傳輸。
作為一種可選的實施例,圖7是根據本案實施例的一種可選的身份認證方法流程圖,如圖7所示,包括如下步驟:
(1)客戶端(即上述第一設備)登入帳號。即用戶通過客戶端設備安裝的客戶端程式或基於Web的應用登入。
(2)伺服端返回登入帳號對應的使用者帳號、密鑰對、數位憑證。
具體地,伺服端根據登入的帳號產生使用者帳號,密鑰對,並對這個密鑰通過授權平台簽發一個數位憑證。可選地,伺服端可以將這些資訊保存在資料中,以便下次該登入帳號登入時,可以直接讀取。
(3)客戶端與非聯網設備(即上述第二設備)建立通信連接。可選地,客戶端通過TCP或UDP連接非聯網設備。
(4)客戶端將使用者帳號、隨機數(即第一隨機數)利用私鑰加密,發送給非聯網設備,協定中包含數位憑證和數位簽名。
(5)非聯網設備根據根證書驗證數位憑證和簽名。
具體地,非聯網設備在接收到客戶端傳輸來的資料後,解析出數位憑證,並通過根證書驗證收到的數位憑證是否可信,如果數位憑證不可信,則返回認證失敗錯誤。如果數位憑證可信,則從數位憑證中提取出公鑰,通過數位簽名協定驗證協定內容是否被篡改過,如果內容被篡改過,則返回認證失敗錯誤。
(5)產生共享密鑰。
如果內容未被篡改,非聯網設備通過公鑰解密出使用者帳號和第一隨機數,判斷可信任列表是否空,如果可信任列表為空,則將該使用者帳號作為管理員帳號,並產生第二隨機數,與客戶端的第一隨機資料產生用於客戶端與非聯網設備之間安全資料傳輸的共享密鑰。其中,客戶端根據自己產生的第一隨機數和伺服端返回的第二隨機數,產生用於客戶端與非聯網設備之間安全資料傳輸的共享密鑰。
通過本案上述實施例揭露的方案,在第一設備與第二設備建立通信連接後,通過私鑰加密傳輸的資料,數位憑證傳輸公鑰,非聯網設備驗證數位憑證為可信後,通過從數位憑證中提取到的公鑰解密資料,得到第一設備的身份資訊,從而解決了非聯網設備需要連接伺服端來添加可信任帳號的問題,一次通信便完成身份確認和共享密鑰產生的目的。

實施例 3
根據本案實施例,還提供了一種身份認證方法實施例,本實施例可以應用於實施例1中的身份認證系統中,包括但不限於實施例1中場景。需要說明的是,在圖式的流程圖示出的步驟可以在諸如一組計算機可執行指令的計算機系統中執行,並且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同於此處的順序執行所示出或描述的步驟。
圖8是根據本案實施例的一種身份認證方法流程圖,如圖8所示,包括如下步驟:
步驟S802,第二設備與第一設備建立通信連接,並接收第一設備傳輸的待驗證的身份資訊,其中,第一設備為允許存取網際網路的設備,第二設備為不允許存取網際網路的設備。
需要說明的是,上述第二設備可以是能夠上網的設備,也可以是不能夠上網設備,本案實施例提供的身份認證方法主要應用於沒有與網際網路連接或者無法與伺服端通信第二設備,包括但不限於任意一種物聯網邊緣設備(或稱基礎設備);上述待驗證的身份資訊為使用加密資訊加密後的資料;第一設備可以是任意一種能夠存取網際網路的終端設備,包括但不限於手機、筆記本電腦、平板電腦、計算機等。
第二設備可以通過如下任意一種通信方式與第一設備建立通信連接:傳輸控制協定TCP、用戶資料報協定UDP、藍牙、Zigbee、WiFi。
步驟S804,第二設備基於驗證資訊來驗證第一設備傳輸的待驗證的身份資訊,得到驗證結果。
具體地,上述驗證資訊可以是在第二設備出廠時可以內置一些用於對操作對象的身份進行驗證的資訊;由於第二設備是沒有連接網際網路的,或者說是無法與對應的伺服端進行通信的,為了實現對操作第二設備的對象的身份進行認證,在第二設備出廠時可以內置一些用於對操作對象的身份進行驗證的資訊,以便當第一設備與第二設備建立通信連接後,第二設備根據內置的驗證資訊對接收到的來自第一設備發送的身份資訊進行驗證,並將驗證結果返回到第一設備。
一種可選的實施例中,上述驗證資訊可以是伺服端證書簽證平台的根證書,該證書簽證平台可以是用於伺服端向第一設備簽發數位憑證的平台。
由上可知,在本案上述實施例中,不允許存取網際網路的第二設備與允許存取網際網路的第一設備建立通信連接,並接收第一設備發送的待驗證的身份資訊,第二設備通過驗證資訊來第一設備的身份資訊,以便在確定第一設備的身份資訊為可信的情況下,才與第一設備進行通信。
容易注意的是,第一設備發送的待驗證的身份資訊是使用加密資訊加密後的資料,而第二設備中驗證資訊可以對第一設備獲取到的加密資訊進行驗證,以根據驗證結果,來確定第一設備的身份是否可信。因而,通過本案上述實施例揭露的方案,達到了根據非聯網設備中內置的驗證資訊對用於操作該非聯網設備的對象的身份資訊進行驗證的目的,從而實現了在通過客戶端操作非聯網設備的時候,非聯網設備對客戶端身份進行認證以提高客戶端與非聯網設備之間資料傳輸的安全性的技術效果。
由此,本案提供的上述實施例3的方案解決了現有技術中,在聯網設備對非聯網設備進行操作的過程中,由於非聯網設備無法連接認證伺服器,導致接入該非聯網設備的聯網設備無法完成身份認證的技術問題。

實施例 4
根據本案實施例,還提供了一種身份認證方法實施例,本實施例可以應用於實施例1中的身份認證系統中,包括但不限於實施例1中場景。需要說明的是,在圖式的流程圖示出的步驟可以在諸如一組計算機可執行指令的計算機系統中執行,並且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同於此處的順序執行所示出或描述的步驟。
圖9是根據本案實施例的一種身份認證方法流程圖,如圖9所示,包括如下步驟:
步驟S902,第二設備接收來自第一設備傳輸的待驗證的身份資訊,其中,第一設備為允許存取網際網路的設備,第二設備為不允許存取網際網路的設備。
具體地,上述第二設備可以是能夠上網的設備,也可以是不能夠上網設備,本案實施例提供的身份認證方法主要應用於沒有與網際網路連接或者無法與伺服端通信第二設備,包括但不限於任意一種物聯網邊緣設備(或稱基礎設備);上述待驗證的身份資訊為使用加密資訊加密後的資料;第一設備可以是任意一種能夠存取網際網路的終端設備,包括但不限於手機、筆記本電腦、平板電腦、計算機等。
步驟S904,第二設備根據驗證資訊驗證待驗證的身份資訊,得到驗證結果。
其中,驗證資訊可以是在第二設備出廠時可以內置一些用於對操作對象的身份進行驗證的資訊;一種可選的實施例中,該驗證資訊可以是伺服端證書簽證平台的根證書,該證書簽證平台可以是用於伺服端向第一設備簽發數位憑證的平台。
步驟S906,在驗證結果為身份資訊可信的情況下,產生用於加解密資料的共享密鑰,其中,共享密鑰用於保證第一設備和第二設備之間進行安全資料傳輸。
具體地,共享密鑰可以用於第一設備與第二設備後續進行安全資料傳輸的密鑰資訊。
由上可知,在本案上述實施例中,不允許存取網際網路的第二設備與允許存取網際網路的第一設備建立通信連接,並接收第一設備發送的待驗證的身份資訊,第二設備通過驗證資訊來第一設備的身份資訊是否可信,並在確定第一設備的身份資訊為可信的情況下,產生用於第一設備與第二設備之間進行通信的共享密鑰。
容易注意的是,第一設備發送的待驗證的身份資訊是使用加密資訊加密後的資料,而第二設備中驗證資訊可以對第一設備獲取到的加密資訊進行驗證,以根據驗證結果,來確定第一設備的身份是否可信。因而,通過本案上述實施例揭露的方案,達到了根據非聯網設備中內置的驗證資訊對用於操作該非聯網設備的對象的身份資訊進行驗證,並在身份可信的情況下,產生用於安全資料傳輸的共享密鑰的目的,從而實現了在通過客戶端操作非聯網設備的時候,非聯網設備對客戶端身份進行認證以提高客戶端與非聯網設備之間資料傳輸的安全性的技術效果。
由此,本案提供的上述實施例4的方案解決了現有技術中,在聯網設備對非聯網設備進行操作的過程中,由於非聯網設備無法連接認證伺服器,導致接入該非聯網設備的聯網設備無法完成身份認證的技術問題。
在一種可選的實施例中,在第二設備接收來自第一設備傳輸的待驗證的身份資訊之前,上述方法還包括:第一設備獲取登入帳號,並接收認證伺服器返回的加密資訊,其中,加密資訊包括如下至少之一:密鑰對和數位憑證;第一設備根據登入帳號和加密資訊,產生待驗證的身份資訊;第一設備發送待驗證的身份資訊至第二設備。
在一種可選的實施例中,第二設備通過如下任意一種通信方式接收第一設備發送的待驗證的身份資訊:傳輸控制協定TCP、用戶資料報協定UDP、藍牙、Zigbee、WiFi。
在一種可選的實施例中,在第一設備獲取登入帳號,並接收伺服器返回的認證伺服器返回的加密資訊之前,上述方法還包括:第一設備向認證伺服器發起登入請求,其中,認證伺服器根據登入請求產生加密資訊。
在一種可選的實施例中,第一設備根據登入帳號和加密資訊,產生待驗證的身份資訊,包括:第一設備使用密鑰對中的私鑰對登入帳號和/或隨機數進行加密,得到加密結果;第一設備基於登入帳號,以及如下至少之一的資訊產生待驗證的身份資訊:加密結果和數位憑證。
在一種可選的實施例中,第一設備使用密鑰對中的私鑰對登入帳號和/或隨機數進行加密,得到加密結果,包括:第一設備獲取第一隨機數;第一設備使用密鑰對中的私鑰對登入帳號和第一隨機數進行加密,得到加密結果。
在一種可選的實施例中,第一設備發送待驗證的身份資訊至第二設備,可以包括:第一設備將待驗證的身份資訊添加第一設備的數位簽名;第一設備將添加數位簽名後的身份資訊發送至第二設備。
在一種可選的實施例中,第二設備根據驗證資訊驗證第一設備傳輸的待驗證的身份資訊,得到驗證結果,可以包括:第二設備基於預先安裝的根證書,判斷待驗證的身份資訊中包含的數位憑證是否可信;在數位憑證不可信的情況下,第二設備向第一設備返回身份驗證失敗的結果。
可選地,在數位憑證可信的情況下,上述方法還包括:在數位憑證可信的情況下,第二設備提取數位憑證中包含的公鑰,並通過數位簽名驗證接收到的資料是否被篡改;在接收到的資料被篡改的情況下,第二設備向第一設備返回身份驗證失敗的結果。
可選地,在接收到的資料未被篡改的情況下,上述方法還包括:第二設備利用公鑰對加密結果進行解密,得到登入帳號和/或第一隨機數;第二設備判斷登入帳號是否存在於可信任列表中,其中,可信任列表包含允許登入第二設備的至少一個帳戶;在登入帳號不存在於可信任列表的情況下,第二設備向第一設備返回身份驗證失敗的結果。
可選地,在登入帳號存在於可信任列表的情況下,第二設備確定第一設備傳輸的身份資訊為可信的驗證結果。
可選地,在登入帳號存在於可信任列表的情況下,第二設備確定第一設備傳輸的身份資訊為可信的驗證結果之後,上述方法還包括:第二設備獲取第二隨機數,並根據第一隨機數和第二隨機數產生共享密鑰;其中,第一設備根據第一隨機數和認證伺服器返回的第二隨機數,產生共享密鑰。
作為一種可選的實施例,在第二設備利用公鑰對加密結果進行解密,得到登入帳號和/或第一隨機數之後,上述方法還包括:第二設備判斷可信任列表中是否存在登入帳號;在可信任列表中不存在登入帳號的情況下,第二設備將解密得到的登入帳號作為管理帳號,並添加到可信任列表中,其中,管理帳號用於管理可信任列表中的至少一個登入帳號。
需要說明的是,對於前述的各方法實施例,為了簡單描述,故將其都表述為一系列的動作組合,但是本領域技術人員應該知悉,本案並不受所描述的動作順序的限制,因為依據本案,某些步驟可以採用其他順序或者同時進行。其次,本領域技術人員也應該知悉,說明書中所描述的實施例均屬於優選實施例,所涉及的動作和模組並不一定是本案所必須的。
通過以上的實施方式的描述,本領域的技術人員可以清楚地瞭解到根據上述實施例的身份認證方法可借助軟體加必需的通用硬體平台的方式來實現,當然也可以通過硬體,但很多情況下前者是更佳的實施方式。基於這樣的理解,本案的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來,該計算機軟體產品儲存在一個儲存媒體(如ROM/RAM、磁碟、光碟)中,包括若干指令用以使得一台終端設備(可以是手機,計算機,伺服器,或者網路設備等)執行本案各個實施例所述的方法。

實施例 5
根據本案實施例,還提供了一種用於實現上述身份認證方法的計算設備實施例,圖10是根據本案實施例的一種計算設備示意圖,如圖10所示,該計算設備10包括:通信裝置1001和處理器1003。
其中,通信裝置1001,與控制設備建立通信連接,用於接收來自控制設備傳輸的待驗證的身份資訊,其中,控制設備為允許存取網際網路的設備;
處理器1003,與通信裝置連接,用於根據驗證資訊,驗證控制設備傳輸的待驗證的身份資訊,得到驗證結果,並在驗證結果為身份資訊可信的情況下,產生用於加解密資料的共享密鑰,其中,共享密鑰用於保證通信裝置和控制設備之間進行安全資料傳輸。
作為一種可選的實施例,上述計算設備可以是物聯網邊緣計算中的物聯網基礎設備(例如,智慧燈、智慧空調等),該計算設備無法和伺服端進行通信的,而是通過聯網設備(例如,手機)上安裝的客戶端應用程式或者通過基於Web的物聯網應用來對物聯網基礎設備進行操作。上述控制設備可以是用於控制或操作計算設備的聯網設備,控制設備可以與伺服端通信,並且控制設備通過安裝的客戶端應用或基於Web的應用操作上述計算設備,包括但不限於手機、筆記本電腦、平板電腦、計算機等。
計算設備10通過通信裝置1001與控制設備通信,其通訊協定包括但不限於如下任意一種:傳輸控制協定TCP、用戶資料報協定UDP、藍牙、Zigbee、WiFi。
由上可知,在本案上述實施例中,通過允許存取網際網路的第一設備從網際網路上獲取加密資訊,並使用該加密資訊加密第一設備登入第二設備的帳戶的身份資訊,以便第二設備可以通過驗證資訊,對接收到的身份資訊進行驗證,以便在確定第一設備的身份資訊為可信的情況下,才與第一設備進行通信。
容易注意的是,第二設備中驗證資訊可以對第一設備獲取到的加密資訊進行驗證,以根據驗證結果,來確定第一設備的身份。因而,通過本案上述實施例揭露的方案,達到了根據非聯網設備中內置的驗證資訊對用於操作該非聯網設備的對象的身份資訊進行驗證的目的,從而實現了在通過客戶端操作非聯網設備的時候,非聯網設備對客戶端身份進行認證以提高客戶端與非聯網設備之間資料傳輸的安全性的技術效果。
由此,本案提供的上述實施例2的方案解決了現有技術中,在聯網設備對非聯網設備進行操作的過程中,由於非聯網設備無法連接認證伺服器,導致接入該非聯網設備的聯網設備無法完成身份認證的技術問題。

實施例 6
根據本案實施例,還提供了一種用於實現上述身份認證方法的裝置實施例,圖11是根據本案實施例的一種身份認證裝置示意圖,如圖11所示,該裝置包括:獲取單元111、加密單元113和接收單元115。
其中,獲取單元111,用於通過第一設備與第二設備建立通信連接,並通過網際網路獲取加密資訊,其中,第一設備為允許存取網際網路的設備,第二設備為不允許存取網際網路的設備;
加密單元113,用於第一設備使用加密資訊對登入第二設備的帳戶的身份資訊進行加密,並將加密後的身份資訊發送至第二設備;
接收單元115,用於第一設備接收第二設備返回的驗證結果,其中,第二設備基於驗證資訊來驗證加密後的身份資訊。
此處需要說明的是,上述獲取單元111、加密單元113和接收單元115對應於實施例2中的步驟S302至S306,上述模組與對應的步驟所實現的示例和應用場景相同,但不限於上述實施例2所揭露的內容。需要說明的是,上述模組作為裝置的一部分可以在諸如一組計算機可執行指令的計算機系統中執行。
由上可知,在本案上述實施例中,通過允許存取網際網路的第一設備從網際網路上獲取加密資訊,並使用該加密資訊加密第一設備登入第二設備的帳戶的身份資訊,以便第二設備可以通過驗證資訊,對接收到的身份資訊進行驗證,以便在確定第一設備的身份資訊為可信的情況下,才與第一設備進行通信。
容易注意的是,第二設備中驗證資訊可以對第一設備獲取到的加密資訊進行驗證,以根據驗證結果,來確定第一設備的身份是否可信。因而,通過本案上述實施例揭露的方案,達到了根據非聯網設備中內置的驗證資訊對用於操作該非聯網設備的對象的身份資訊進行驗證的目的,從而實現了在通過客戶端操作非聯網設備的時候,非聯網設備對客戶端身份進行認證以提高客戶端與非聯網設備之間資料傳輸的安全性的技術效果。
由此,本案提供的上述實施例5的方案解決了現有技術中,在聯網設備對非聯網設備進行操作的過程中,由於非聯網設備無法連接認證伺服器,導致接入該非聯網設備的聯網設備無法完成身份認證的技術問題。
在一種可選的實施例中,加密單元包括:獲取模組,用於通過第一設備獲取登入帳號,並接收認證伺服器返回的加密資訊,其中,加密資訊包括如下至少之一:密鑰對和數位憑證;產生模組,用於通過第一設備根據登入帳號和加密資訊,產生加密後的身份資訊;發送模組,用於通過第一設備發送加密後的身份資訊至第二設備。
在一種可選的實施例中,產生模組包括:第一加密模組,用於通過第一設備使用密鑰對中的私鑰對登入帳號和/或隨機數進行加密,得到加密結果;第二加密模組,用於通過第一設備基於登入帳號,以及如下至少之一的資訊產生加密後的身份資訊:加密結果和數位憑證。
在一種可選的實施例中,第一加密模組還用於通過第一設備獲取第一隨機數,並通過第一設備使用密鑰對中的私鑰對登入帳號和第一隨機數進行加密,得到加密結果。
在一種可選的實施例中,上述裝置還包括:發送單元,用於通過第一設備向認證伺服器發起登入請求,其中,認證伺服器根據登入請求產生加密資訊,其中,加密資訊包括如下至少之一:密鑰對和數位憑證。
在一種可選的實施例中,上述第一設備通過如下任意一種通信方式與第二設備建立通信連接:傳輸控制協定TCP、用戶資料報協定UDP、藍牙、Zigbee、WiFi。
在一種可選的實施例中,上述發送模組還用於通過第一設備將加密後的身份資訊添加第一設備的數位簽名,並通過第一設備將添加數位簽名後的身份資訊發送至第二設備。
在一種可選的實施例中,上述裝置還包括:第一判斷單元,用於通過第二設備基於預先安裝的根證書,判斷待驗證的身份資訊中包含的數位憑證是否可信;其中,接收單元還用於在數位憑證不可信的情況下,第一設備接收第二設備返回的身份驗證失敗的結果。
在一種可選的實施例中,在數位憑證可信的情況下,上述裝置還包括:提取單元,用於在數位憑證可信的情況下,通過第二設備提取數位憑證中包含的公鑰,並通過數位簽名驗證接收到的資料是否被篡改;其中,接收單元還用於在接收到的資料被篡改的情況下,通過第一設備接收第二設備返回的身份驗證失敗的結果。
在一種可選的實施例中,在接收到的資料未被篡改的情況下,上述裝置還包括:解密單元,用於通過第二設備利用公鑰對加密結果進行解密,得到登入帳號和/或第一隨機數;第二判斷單元,用於通過第二設備判斷登入帳號是否存在於可信任列表中,其中,可信任列表包含允許登入第二設備的至少一個帳戶;其中,接收單元還用於在登入帳號不存在於可信任列表的情況下,通過第一設備接收第二設備返回的身份驗證失敗的結果。
在一種可選的實施例中,在登入帳號存在於可信任列表的情況下,上述裝置還包括:產生單元,用於第一設備根據第一隨機數和認證伺服器返回的第二隨機數,產生共享密鑰,其中,第二隨機數為第二設備在登入帳號存在於可信任列表的情況下,第二設備產生的隨機數;其中,第二設備根據第一隨機數和第二隨機數,產生共享密鑰。
在一種可選的實施例中,上述裝置包括:第三判斷單元,用於通過第二設備判斷可信任列表中是否存在登入帳號;處理單元,用於在可信任列表中不存在登入帳號的情況下,第二設備將解密得到的登入帳號作為管理帳號,並添加到可信任列表中,其中,管理帳號用於管理可信任列表中的至少一個登入帳號。

實施例 7
本案的實施例可以提供一種計算機終端,該計算機終端可以是計算機終端群中的任意一個計算機終端。可選地,在本實施例中,上述計算機終端也可以替換為計算機終端等終端設備。
可選地,在本實施例中,上述計算機終端可以位於計算機網路的多個網路設備中的至少一個存取設備。
圖12示出了一種計算機終端的硬體結構方塊圖。如圖12所示,計算機終端12可以包括一個或多個(圖中僅示出一個)處理器121(處理器121可以包括但不限於微處理器MCU或可程式化邏輯器件FPGA等的處理裝置)、用於儲存資料的記憶體123、以及用於通信功能的傳輸裝置125。除此以外,還可以包括:顯示器、輸入/輸出介面(I/O介面)、通用序列匯流排(USB)端口(可以作為I/O介面的端口中的一個端口被包括)、網路介面、電源和/或相機。本領域普通技術人員可以理解,圖12所示的結構僅為示意,其並不對上述電子裝置的結構造成限定。例如,計算機終端12還可包括比圖12中所示更多或者更少的組件,或者具有與圖12所示不同的配置。
應當注意到的是上述一個或多個處理器121和/或其他資料處理電路在本文中通常可以被稱為“資料處理電路”。該資料處理電路可以全部或部分的體現為軟體、硬體、韌體或其他任意組合。此外,資料處理電路可為單個獨立的處理模組,或全部或部分的結合到計算機終端12中的其他元件中的任意一個內。如本案實施例中所涉及到的,該資料處理電路作為一種處理器控制(例如與介面連接的可變電阻終端路徑的選擇)。
處理器121可以通過傳輸裝置調用記憶體儲存的資訊及應用程式,以執行下述步驟:基於用戶對訂單的操作,產生會話互動界面,會話互動界面對應的會話是基於訂單創建;在會話互動界面,實現針對訂單的用戶間即時通訊功能。
記憶體123可用於儲存應用軟體的軟體程式以及模組,如本案實施例中的身份認證方法對應的程式指令/資料儲存裝置,處理器121通過運行儲存在記憶體123內的軟體程式以及模組,從而執行各種功能應用以及資料處理,即實現上述的應用程式的身份認證方法。記憶體123可包括高速隨機記憶體,還可包括非揮發性記憶體,如一個或者多個磁性儲存裝置、快閃記憶體、或者其他非揮發性固態記憶體。在一些實例中,記憶體123可進一步包括相對於處理器121遠程設置的記憶體,這些遠程記憶體可以通過網路連接至計算機終端12。上述網路的實例包括但不限於網際網路、企業內部網、區域網路、移動通信網及其組合。
傳輸裝置125用於經由一個網路接收或者發送資料。上述的網路具體實例可包括計算機終端12的通信供應商提供的無線網路。在一個實例中,傳輸裝置125包括一個網路適配器(Network Interface Controller,NIC),其可通過基地台與其他網路設備相連從而可與網際網路進行通訊。在一個實例中,傳輸裝置125可以為射頻(Radio Frequency,RF)模組,其用於通過無線方式與網際網路進行通訊。
顯示器可以例如觸摸螢幕式的液晶顯示器(LCD),該液晶顯示器可使得用戶能夠與計算機終端12的用戶界面進行互動。
此處需要說明的是,在一些可選實施例中,上述圖12所示的計算機終端12可以包括硬體元件(包括電路)、軟體元件(包括儲存在計算機可讀媒體上的計算機碼)、或硬體元件和軟體元件兩者的結合。應當指出的是,圖12僅為特定具體實例的一個實例,並且旨在示出可存在於上述計算機終端12中的部件的類型。
此處需要說明的是,在一些實施例中,上述圖12所示的計算機終端具有觸摸顯示器(也被稱為“觸摸螢幕”或“觸摸顯示螢幕”)。在一些實施例中,上述圖12所示的計算機終端具有圖像用戶界面(GUI),用戶可以通過觸摸觸敏表面上的手指接觸和/或手勢來與GUI進行人機互動,此處的人機互動功能可選的包括如下互動:創建網頁、繪圖、文字處理、製作電子文檔、遊戲、視訊會議、即時通信、收發電子郵件、通話界面、播放數位視訊、播放數位音樂和/或網路瀏覽等、用於執行上述人機互動功能的可執行指令被配置/儲存在一個或多個處理器可執行的計算機程式產品或可讀儲存媒體中。
在本實施例中,上述計算機終端12可以執行應用程式的身份認證方法中以下步驟的程式碼:第一設備與第二設備建立通信連接,並通過網際網路獲取加密資訊,其中,第一設備為允許存取網際網路的設備,第二設備為不允許存取網際網路的設備;第一設備使用加密資訊對登入第二設備的帳戶的身份資訊進行加密,並將加密後的身份資訊發送至第二設備;第一設備接收第二設備返回的驗證結果,其中,第二設備基於驗證資訊來驗證加密後的身份資訊。
可選的,上述處理器還可以執行如下步驟的程式碼:第一設備與第二設備建立通信連接,並通過網際網路獲取加密資訊,其中,第一設備為允許存取網際網路的設備,第二設備為不允許存取網際網路的設備;第一設備使用加密資訊對登入第二設備的帳戶的身份資訊進行加密,並將加密後的身份資訊發送至第二設備;第一設備接收第二設備返回的驗證結果,其中,第二設備基於驗證資訊來驗證加密後的身份資訊。
可選的,上述處理器還可以執行如下步驟的程式碼:第一設備獲取登入帳號,並接收認證伺服器返回的加密資訊,其中,加密資訊包括如下至少之一:密鑰對和數位憑證;第一設備根據登入帳號和加密資訊,產生加密後的身份資訊;第一設備發送加密後的身份資訊至第二設備。
可選的,上述處理器還可以執行如下步驟的程式碼:第一設備使用密鑰對中的私鑰對登入帳號和/或隨機數進行加密,得到加密結果;第一設備基於登入帳號,以及如下至少之一的資訊產生加密後的身份資訊:加密結果和數位憑證。
可選的,上述處理器還可以執行如下步驟的程式碼:第一設備獲取第一隨機數;第一設備使用密鑰對中的私鑰對登入帳號和第一隨機數進行加密,得到加密結果。
可選的,上述處理器還可以執行如下步驟的程式碼:第一設備向認證伺服器發起登入請求,其中,認證伺服器根據登入請求產生加密資訊,其中,加密資訊包括如下至少之一:密鑰對和數位憑證。
可選的,第一設備通過如下任意一種通信方式與第二設備建立通信連接:傳輸控制協定TCP、用戶資料報協定UDP、藍牙、Zigbee、WiFi。
可選的,上述處理器還可以執行如下步驟的程式碼:第一設備將加密後的身份資訊添加第一設備的數位簽名;第一設備將添加數位簽名後的身份資訊發送至第二設備。
可選的,上述處理器還可以執行如下步驟的程式碼:第二設備基於預先安裝的根證書,判斷待驗證的身份資訊中包含的數位憑證是否可信;在數位憑證不可信的情況下,第一設備接收第二設備返回的身份驗證失敗的結果。
可選的,在數位憑證可信的情況下,上述處理器還可以執行如下步驟的程式碼:在數位憑證可信的情況下,第二設備提取數位憑證中包含的公鑰,並通過數位簽名驗證接收到的資料是否被篡改;在接收到的資料被篡改的情況下,第一設備接收第二設備返回的身份驗證失敗的結果。
可選的,在接收到的資料未被篡改的情況下,上述處理器還可以執行如下步驟的程式碼:第二設備利用公鑰對加密結果進行解密,得到登入帳號和/或第一隨機數;第二設備判斷登入帳號是否存在於可信任列表中,其中,可信任列表包含允許登入第二設備的至少一個帳戶;在登入帳號不存在於可信任列表的情況下,第一設備接收第二設備返回的身份驗證失敗的結果。
可選的,在登入帳號存在於可信任列表的情況下,上述處理器還可以執行如下步驟的程式碼:第一設備根據第一隨機數和認證伺服器返回的第二隨機數,產生共享密鑰,其中,第二隨機數為第二設備在登入帳號存在於可信任列表的情況下,第二設備產生的隨機數;其中,第二設備根據第一隨機數和第二隨機數,產生共享密鑰。
可選的,上述處理器還可以執行如下步驟的程式碼:第二設備判斷可信任列表中是否存在登入帳號;在可信任列表中不存在登入帳號的情況下,第二設備將解密得到的登入帳號作為管理帳號,並添加到可信任列表中,其中,管理帳號用於管理可信任列表中的至少一個登入帳號。
本領域普通技術人員可以理解,圖12所示的結構僅為示意,計算機終端也可以是智慧型手機(如Android手機、iOS手機等)、平板電腦、掌上電腦以及移動網際網路設備(Mobile Internet Devices,MID)、PAD等終端設備。圖12其並不對上述電子裝置的結構造成限定。例如,計算機終端12還可包括比圖12中所示更多或者更少的組件(如網路介面、顯示裝置等),或者具有與圖12所示不同的配置。
本領域普通技術人員可以理解上述實施例的各種方法中的全部或部分步驟是可以通過程式來指令終端設備相關的硬體來完成,該程式可以儲存於一計算機可讀儲存媒體中,儲存媒體可以包括:快閃記憶體碟、唯讀記憶體(Read-Only Memory,ROM)、隨機存取器(Random Access Memory,RAM)、磁碟或光碟等。

實施例 8
本案的實施例還提供了一種儲存媒體。可選的,在本實施例中,上述儲存媒體可以用於保存上述實施例所提供的身份認證方法所執行的程式碼,其中,在程式運行時控制儲存媒體所在設備執行實施例中任意一項的可選的或優選的訂單處理方法。
可選的,在本實施例中,上述儲存媒體可以位於計算機網路中移動終端群中的任意一個移動終端中,或者位於移動終端群中的任意一個移動終端中。
可選的,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式碼:第一設備與第二設備建立通信連接,並通過網際網路獲取加密資訊,其中,第一設備為允許存取網際網路的設備,第二設備為不允許存取網際網路的設備;第一設備使用加密資訊對登入第二設備的帳戶的身份資訊進行加密,並將加密後的身份資訊發送至第二設備;第一設備接收第二設備返回的驗證結果,其中,第二設備基於驗證資訊來驗證加密後的身份資訊。
可選的,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式碼:第一設備獲取登入帳號,並接收認證伺服器返回的加密資訊,其中,加密資訊包括如下至少之一:密鑰對和數位憑證;第一設備根據登入帳號和加密資訊,產生加密後的身份資訊;第一設備發送加密後的身份資訊至第二設備。
可選的,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式碼:第一設備使用密鑰對中的私鑰對登入帳號和/或隨機數進行加密,得到加密結果;第一設備基於登入帳號,以及如下至少之一的資訊產生加密後的身份資訊:加密結果和數位憑證。
可選的,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式碼:第一設備獲取第一隨機數;第一設備使用密鑰對中的私鑰對登入帳號和第一隨機數進行加密,得到加密結果。
可選的,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式碼:第一設備向認證伺服器發起登入請求,其中,認證伺服器根據登入請求產生加密資訊,其中,加密資訊包括如下至少之一:密鑰對和數位憑證。
可選的,第一設備通過如下任意一種通信方式與第二設備建立通信連接:傳輸控制協定TCP、用戶資料報協定UDP、藍牙、Zigbee、WiFi。
可選的,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式碼:第一設備將加密後的身份資訊添加第一設備的數位簽名;第一設備將添加數位簽名後的身份資訊發送至第二設備。
可選的,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式碼:第二設備基於預先安裝的根證書,判斷待驗證的身份資訊中包含的數位憑證是否可信;在數位憑證不可信的情況下,第一設備接收第二設備返回的身份驗證失敗的結果。
可選的,在本實施例中,在數位憑證可信的情況下,儲存媒體被設置為儲存用於執行以下步驟的程式碼:在數位憑證可信的情況下,第二設備提取數位憑證中包含的公鑰,並通過數位簽名驗證接收到的資料是否被篡改;在接收到的資料被篡改的情況下,第一設備接收第二設備返回的身份驗證失敗的結果。
可選的,在本實施例中,在接收到的資料未被篡改的情況下,儲存媒體被設置為儲存用於執行以下步驟的程式碼:第二設備利用公鑰對加密結果進行解密,得到登入帳號和/或第一隨機數;第二設備判斷登入帳號是否存在於可信任列表中,其中,可信任列表包含允許登入第二設備的至少一個帳戶;在登入帳號不存在於可信任列表的情況下,第一設備接收第二設備返回的身份驗證失敗的結果。
可選的,在本實施例中,在登入帳號存在於可信任列表的情況下,儲存媒體被設置為儲存用於執行以下步驟的程式碼:第一設備根據第一隨機數和認證伺服器返回的第二隨機數,產生共享密鑰,其中,第二隨機數為第二設備在登入帳號存在於可信任列表的情況下,第二設備產生的隨機數;其中,第二設備根據第一隨機數和第二隨機數,產生共享密鑰。
可選的,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式碼:第二設備判斷可信任列表中是否存在登入帳號;在可信任列表中不存在登入帳號的情況下,第二設備將解密得到的登入帳號作為管理帳號,並添加到可信任列表中,其中,管理帳號用於管理可信任列表中的至少一個登入帳號。

實施例 9
本案的實施例還提供了一種身份認證系統,包括:處理器;以及記憶體,與處理器連接,用於為處理器提供處理以下處理步驟的指令:
第一設備與第二設備建立通信連接,並通過網際網路獲取加密資訊,其中,第一設備為允許存取網際網路的設備,第二設備為不允許存取網際網路的設備;
第一設備使用加密資訊對登入第二設備的帳戶的身份資訊進行加密,並將加密後的身份資訊發送至第二設備;
第一設備接收第二設備返回的驗證結果,其中,第二設備基於驗證資訊來驗證加密後的身份資訊。
由上可知,在本案上述實施例中,通過允許存取網際網路的第一設備從網際網路上獲取加密資訊,並使用該加密資訊加密第一設備登入第二設備的帳戶的身份資訊,以便第二設備可以通過驗證資訊,對接收到的身份資訊進行驗證,以便在確定第一設備的身份資訊為可信的情況下,才與第一設備進行通信。
容易注意的是,第二設備中驗證資訊可以對第一設備獲取到的加密資訊進行驗證,以根據驗證結果,來確定第一設備的身份是否可信。因而,通過本案上述實施例揭露的方案,達到了根據非聯網設備中內置的驗證資訊對用於操作該非聯網設備的對象的身份資訊進行驗證的目的,從而實現了在通過客戶端操作非聯網設備的時候,非聯網設備對客戶端身份進行認證以提高客戶端與非聯網設備之間資料傳輸的安全性的技術效果。
由此,本案提供的上述實施例9的方案解決了現有技術中,在聯網設備對非聯網設備進行操作的過程中,由於非聯網設備無法連接認證伺服器,導致接入該非聯網設備的聯網設備無法完成身份認證的技術問題。
上述本案實施例序號僅僅為了描述,不代表實施例的優劣。
在本案的上述實施例中,對各個實施例的描述都各有側重,某個實施例中沒有詳述的部分,可以參見其他實施例的相關描述。
在本案所提供的幾個實施例中,應該理解到,所揭露的技術內容,可通過其它的方式實現。其中,以上所描述的裝置實施例僅僅是示意性的,例如所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,例如多個單元或組件可以結合或者可以集成到另一個系統,或一些特徵可以忽略,或不執行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些介面,單元或模組的間接耦合或通信連接,可以是電性或其它的形式。
所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位於一個地方,或者也可以分佈到多個網路單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。
另外,在本案各個實施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以採用硬體的形式實現,也可以採用軟體功能單元的形式實現。
所述集成的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時,可以儲存在一個計算機可讀取儲存媒體中。基於這樣的理解,本案的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟體產品的形式體現出來,該計算機軟體產品儲存在一個儲存媒體中,包括若干指令用以使得一台計算機設備(可為個人計算機、伺服器或者網路設備等)執行本案各個實施例所述方法的全部或部分步驟。而前述的儲存媒體包括:USB碟、唯讀記憶體(ROM,Read-Only Memory)、隨機存取記憶體(RAM,Random Access Memory)、移動硬碟、磁碟或者光碟等各種可以儲存程式碼的媒體。
以上所述僅是本案的優選實施方式,應當指出,對於本技術領域的普通技術人員來說,在不脫離本案原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應視為本案的保護範圍。
101‧‧‧第一設備
103‧‧‧第二設備
105‧‧‧伺服器
S302,S303,S304,S306‧‧‧步驟
S402,S404,S4041,S4041a,S4041b,S4043,S406‧‧‧步驟
S502,S504‧‧‧步驟
S602,S604,S606,S608,S610,S611a,S611b,S612,S614,S616‧‧‧步驟
S802,S804‧‧‧步驟
S902,S904,S906‧‧‧步驟
10‧‧‧計算設備
1001‧‧‧通信裝置
1003‧‧‧處理器
111‧‧‧獲取單元
113‧‧‧加密單元
115‧‧‧接收單元
12‧‧‧計算機終端
121‧‧‧處理器
123‧‧‧記憶體
125‧‧‧傳輸裝置
此處所說明的圖式用來提供對本案的進一步理解,構成本案的一部分,本案的示意性實施例及其說明用於解釋本案,並不構成對本案的不當限定。在圖式中:
圖1是根據本案實施例1的一種可選的身份認證系統示意圖;
圖2是根據本案實施例1的一種可選的身份認證系統互動示意圖;
圖3是根據本案實施例2的一種身份認證方法流程圖;
圖4是根據本案實施例2的一種可選的身份認證方法流程圖;
圖5是根據本案實施例2的一種可選的身份認證方法流程圖;
圖6是根據本案實施例2的一種可選的身份認證方法流程圖;
圖7是根據本案實施例2的一種可選的身份認證方法流程圖;
圖8是根據本案實施例3的一種身份認證方法流程圖;
圖9是根據本案實施例4的一種身份認證方法流程圖;
圖10是根據本案實施例5的一種計算設備示意圖;
圖11是根據本案實施例6的一種身份認證裝置示意圖;以及
圖12是根據本案實施例7的一種計算機終端的硬體結構方塊圖。

Claims (32)

  1. 一種身份認證系統,其特徵在於,包括: 第一設備,用於通過網際網路獲取加密資訊,使用所述加密資訊對登入第二設備的帳戶的身份資訊進行加密,並將加密後的身份資訊發送至所述第二設備; 所述第二設備,與所述第一設備建立通信連接,用於基於驗證資訊來驗證所述加密後的身份資訊,得到驗證結果,並將驗證結果返回至所述第一設備; 其中,所述第一設備為允許存取網際網路的設備,所述第二設備為不允許存取網際網路的設備。
  2. 根據申請專利範圍第1項所述的系統,其中,所述系統還包括: 伺服器,與所述第一設備通信,用於接收所述第一設備發起的登入請求,並根據所述登入請求產生所述加密資訊,其中,所述加密資訊包括如下至少之一:密鑰對和數位憑證。
  3. 一種身份認證方法,其特徵在於,包括: 第一設備與第二設備建立通信連接,並通過網際網路獲取加密資訊,其中,所述第二設備為不允許存取網際網路的設備; 所述第一設備使用所述加密資訊對登入所述第二設備的帳戶的身份資訊進行加密,並將加密後的身份資訊發送至所述第二設備; 所述第一設備接收所述第二設備返回的驗證結果,其中,所述第二設備基於驗證資訊來驗證所述加密後的身份資訊。
  4. 根據申請專利範圍第3項所述的方法,其中,所述第一設備使用所述加密資訊對登入所述第二設備的帳戶的身份資訊進行加密,並將加密後的身份資訊發送至所述第二設備,包括: 所述第一設備獲取登入帳號,並接收認證伺服器返回的所述加密資訊,其中,所述加密資訊包括如下至少之一:密鑰對和數位憑證; 所述第一設備根據所述登入帳號和所述加密資訊,產生所述加密後的身份資訊; 所述第一設備發送所述加密後的身份資訊至所述第二設備。
  5. 根據申請專利範圍第4項所述的方法,其中,所述第一設備根據所述登入帳號和所述加密資訊,產生所述加密後的身份資訊包括: 所述第一設備使用所述密鑰對中的私鑰對所述登入帳號和/或隨機數進行加密,得到加密結果; 所述第一設備基於所述登入帳號,以及如下至少之一的資訊產生所述加密後的身份資訊:所述加密結果和所述數位憑證。
  6. 根據申請專利範圍第5項所述的方法,其中,所述第一設備使用所述密鑰對中的私鑰對所述登入帳號和/或隨機數進行加密,得到加密結果,包括: 所述第一設備獲取第一隨機數; 所述第一設備使用所述密鑰對中的私鑰對所述登入帳號和所述第一隨機數進行加密,得到加密結果。
  7. 根據申請專利範圍第3項所述的方法,其中,在所述第一設備使用所述加密資訊對登入所述第二設備的帳戶的身份資訊進行加密,並將加密後的身份資訊發送至所述第二設備之前,所述方法還包括: 所述第一設備向認證伺服器發起登入請求,其中,所述認證伺服器根據所述登入請求產生所述加密資訊,其中,所述加密資訊包括如下至少之一:密鑰對和數位憑證。
  8. 根據申請專利範圍第3項所述的方法,其中,所述第一設備通過如下任意一種通信方式與第二設備建立通信連接:傳輸控制協定TCP、用戶資料報協定UDP、藍牙、Zigbee、WiFi。
  9. 根據申請專利範圍第6項所述的方法,其中,所述第一設備發送所述加密後的身份資訊至所述第二設備,包括: 所述第一設備將所述加密後的身份資訊添加所述第一設備的數位簽名; 所述第一設備將添加數位簽名後的身份資訊發送至所述第二設備。
  10. 根據申請專利範圍第9項所述的方法,其中,在所述第一設備將添加數位簽名後的身份資訊發送至所述第二設備之後,所述方法還包括: 所述第二設備基於預先安裝的根證書,判斷所述添加數位簽名後的身份資訊中包含的數位憑證是否可信; 在所述數位憑證不可信的情況下,所述第一設備接收所述第二設備返回的身份驗證失敗的結果。
  11. 根據申請專利範圍第10項所述的方法,其中,在所述數位憑證可信的情況下,所述方法還包括: 在所述數位憑證可信的情況下,所述第二設備提取所述數位憑證中包含的公鑰,並通過所述數位簽名驗證接收到的資料是否被篡改; 在所述接收到的資料被篡改的情況下,所述第一設備接收所述第二設備返回的身份驗證失敗的結果。
  12. 根據申請專利範圍第11項所述的方法,其中,在所述接收到的資料未被篡改的情況下,所述方法還包括: 所述第二設備利用所述公鑰對所述加密結果進行解密,得到所述登入帳號和/或所述第一隨機數; 所述第二設備判斷所述登入帳號是否存在於可信任列表中,其中,所述可信任列表包含允許登入所述第二設備的至少一個帳戶; 在所述登入帳號不存在於所述可信任列表的情況下,所述第一設備接收所述第二設備返回的身份驗證失敗的結果。
  13. 根據申請專利範圍第12項所述的方法,其中,在所述登入帳號存在於所述可信任列表的情況下,所述方法還包括: 所述第一設備根據所述第一隨機數和所述認證伺服器返回的第二隨機數,產生共享密鑰,其中,所述第二隨機數為所述第二設備在所述登入帳號存在於所述可信任列表的情況下,所述第二設備產生的隨機數; 其中,所述第二設備根據所述第一隨機數和所述第二隨機數,產生所述共享密鑰。
  14. 根據申請專利範圍第12項所述的方法,其中,所述方法包括: 所述第二設備判斷所述可信任列表中是否存在登入帳號; 在所述可信任列表中不存在登入帳號的情況下,所述第二設備將解密得到的所述登入帳號作為管理帳號,並添加到所述可信任列表中,其中,所述管理帳號用於管理所述可信任列表中的至少一個登入帳號。
  15. 一種身份認證方法,其特徵在於,包括: 第二設備與第一設備建立通信連接,並接收所述第一設備傳輸的待驗證的身份資訊,其中,所述第一設備為允許存取網際網路的設備,所述第二設備為不允許存取網際網路的設備; 所述第二設備基於驗證資訊來驗證所述第一設備傳輸的待驗證的身份資訊,得到驗證結果; 其中,所述待驗證的身份資訊為使用加密資訊加密後的資料。
  16. 一種身份認證方法,其特徵在於,包括: 第二設備接收來自第一設備傳輸的待驗證的身份資訊,其中,所述第一設備為允許存取網際網路的設備,所述第二設備為不允許存取網際網路的設備; 所述第二設備根據驗證資訊驗證所述待驗證的身份資訊,得到驗證結果; 在所述驗證結果為所述身份資訊可信的情況下,產生用於加解密資料的共享密鑰,其中,所述共享密鑰用於保證所述第二設備和所述第一設備之間進行安全資料傳輸; 其中,所述待驗證的身份資訊為使用加密資訊加密後的資料。
  17. 根據申請專利範圍第16項所述的方法,其中,在第二設備接收來自第一設備傳輸的待驗證的身份資訊之前,所述方法還包括: 所述第一設備獲取登入帳號,並接收認證伺服器返回的所述加密資訊,其中,所述加密資訊包括如下至少之一:密鑰對和數位憑證; 所述第一設備根據所述登入帳號和所述加密資訊,產生所述待驗證的身份資訊; 所述第一設備發送所述待驗證的身份資訊至所述第二設備。
  18. 根據申請專利範圍第17項所述的方法,其中,所述第二設備通過如下任意一種通信方式接收所述第一設備發送的所述待驗證的身份資訊:傳輸控制協定TCP、用戶資料報協定UDP、藍牙、Zigbee、WiFi。
  19. 根據申請專利範圍第17項所述的方法,其中,在所述第一設備獲取登入帳號,並接收伺服器返回的認證伺服器返回的所述加密資訊之前,所述方法還包括: 所述第一設備向所述認證伺服器發起登入請求,其中,所述認證伺服器根據所述登入請求產生所述加密資訊。
  20. 根據申請專利範圍第17項所述的方法,其中,所述第一設備根據所述登入帳號和所述加密資訊,產生所述待驗證的身份資訊,包括: 所述第一設備使用所述密鑰對中的私鑰對所述登入帳號和/或隨機數進行加密,得到加密結果; 所述第一設備基於所述登入帳號,以及如下至少之一的資訊產生所述待驗證的身份資訊:所述加密結果和所述數位憑證。
  21. 根據申請專利範圍第20項所述的方法,其中,所述第一設備使用所述密鑰對中的私鑰對所述登入帳號和/或隨機數進行加密,得到加密結果,包括: 所述第一設備獲取第一隨機數; 所述第一設備使用所述密鑰對中的私鑰對所述登入帳號和所述第一隨機數進行加密,得到加密結果。
  22. 根據申請專利範圍第21項所述的方法,其中,所述第一設備發送所述待驗證的身份資訊至所述第二設備,包括: 所述第一設備將所述待驗證的身份資訊添加所述第一設備的數位簽名; 所述第一設備將添加數位簽名後的身份資訊發送至所述第二設備。
  23. 根據申請專利範圍第22項所述的方法,其中,所述第二設備根據驗證資訊驗證所述第一設備傳輸的待驗證的身份資訊,得到驗證結果,包括: 所述第二設備基於預先安裝的根證書,判斷所述待驗證的身份資訊中包含的數位憑證是否可信; 在所述數位憑證不可信的情況下,所述第二設備向所述第一設備返回身份驗證失敗的結果。
  24. 根據申請專利範圍第23項所述的方法,其中,在所述數位憑證可信的情況下,所述方法還包括: 在所述數位憑證可信的情況下,所述第二設備提取所述數位憑證中包含的公鑰,並通過所述數位簽名驗證接收到的資料是否被篡改; 在所述接收到的資料被篡改的情況下,所述第二設備向所述第一設備返回身份驗證失敗的結果。
  25. 根據申請專利範圍第24項所述的方法,其中,在所述接收到的資料未被篡改的情況下,所述方法還包括: 所述第二設備利用所述公鑰對所述加密結果進行解密,得到所述登入帳號和/或所述第一隨機數; 所述第二設備判斷所述登入帳號是否存在於可信任列表中,其中,所述可信任列表包含允許登入所述第二設備的至少一個帳戶; 在所述登入帳號不存在於所述可信任列表的情況下,所述第二設備向所述第一設備返回身份驗證失敗的結果。
  26. 根據申請專利範圍第25項所述的方法,其中,在所述登入帳號存在於所述可信任列表的情況下,所述第二設備確定所述第一設備傳輸的身份資訊為可信的驗證結果。
  27. 根據申請專利範圍第26項所述的方法,其中,在所述登入帳號存在於所述可信任列表的情況下,所述第二設備確定所述第一設備傳輸的身份資訊為可信的驗證結果之後,所述方法還包括: 所述第二設備獲取第二隨機數,並根據所述第一隨機數和所述第二隨機數產生所述共享密鑰; 其中,所述第一設備根據所述第一隨機數和所述認證伺服器返回的所述第二隨機數,產生所述共享密鑰。
  28. 根據申請專利範圍第25項所述的方法,其中,在所述第二設備利用所述公鑰對所述加密結果進行解密,得到所述登入帳號和/或所述第一隨機數之後,所述方法包括: 所述第二設備判斷所述可信任列表中是否存在登入帳號; 在所述可信任列表中不存在登入帳號的情況下,所述第二設備將解密得到的所述登入帳號作為管理帳號,並添加到所述可信任列表中,其中,所述管理帳號用於管理所述可信任列表中的至少一個登入帳號。
  29. 一種計算設備,其特徵在於,包括: 通信裝置,與控制設備建立通信連接,用於接收來自控制設備傳輸的待驗證的身份資訊,其中,所述控制設備為允許存取網際網路的設備; 處理器,與所述通信裝置連接,用於根據驗證資訊,驗證所述控制設備傳輸的待驗證的身份資訊,得到驗證結果,並在所述驗證結果為所述身份資訊可信的情況下,產生用於加解密資料的共享密鑰,其中,所述共享密鑰用於保證所述通信裝置和所述控制設備之間進行安全資料傳輸。
  30. 一種儲存媒體,其特徵在於,所述儲存媒體包括儲存的程式,其中,在所述程式運行時控制所述儲存媒體所在設備執行申請專利範圍第3至14項中任意一項所述的身份認證方法。
  31. 一種計算終端,其特徵在於,包括:處理器,所述處理器用於運行程式,其中,所述程式運行時執行申請專利範圍第3至14項中任意一項所述的身份認證方法。
  32. 一種身份認證系統,其特徵在於,包括: 處理器;以及 記憶體,與所述處理器連接,用於為所述處理器提供處理以下處理步驟的指令: 第一設備與第二設備建立通信連接,並通過網際網路獲取加密資訊,其中,所述第一設備為允許存取網際網路的設備,所述第二設備為不允許存取網際網路的設備; 所述第一設備使用所述加密資訊對登入所述第二設備的帳戶的身份資訊進行加密,並將加密後的身份資訊發送至所述第二設備; 所述第一設備接收所述第二設備返回的驗證結果,其中,所述第二設備基於驗證資訊來驗證所述加密後的身份資訊。
TW107136166A 2017-12-18 2018-10-15 身份認證方法、系統及計算設備 TW201929482A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201711366337.4A CN109936547A (zh) 2017-12-18 2017-12-18 身份认证方法、系统及计算设备
??201711366337.4 2017-12-18

Publications (1)

Publication Number Publication Date
TW201929482A true TW201929482A (zh) 2019-07-16

Family

ID=66982722

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107136166A TW201929482A (zh) 2017-12-18 2018-10-15 身份認證方法、系統及計算設備

Country Status (6)

Country Link
US (1) US11509485B2 (zh)
EP (1) EP3731551A4 (zh)
CN (1) CN109936547A (zh)
SG (1) SG11202005708XA (zh)
TW (1) TW201929482A (zh)
WO (1) WO2019120091A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10944578B2 (en) 2019-07-24 2021-03-09 Advanced New Technologies Co., Ltd. Identity verification
TWI731594B (zh) * 2019-07-24 2021-06-21 開曼群島商創新先進技術有限公司 身分驗證資料處理方法、伺服器、終端及系統
TWI754950B (zh) * 2020-06-02 2022-02-11 鴻海精密工業股份有限公司 物聯網設備、伺服器及軟體更新方法
US11288058B2 (en) 2020-06-02 2022-03-29 Hon Hai Precision Industry Co., Ltd. Internet of things device, a server, and a software updating method

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110932858B (zh) * 2018-09-19 2023-05-02 阿里巴巴集团控股有限公司 认证方法和系统
US11164178B2 (en) * 2019-04-04 2021-11-02 Comenity Llc Adding a credit account to a mobile wallet to make a transaction when the physical card associated with the credit account is unavailable
CN112291182B (zh) * 2019-07-23 2022-06-21 腾讯科技(深圳)有限公司 保持用户账户登录态的方法、装置、电子设备及存储介质
CN112311533B (zh) * 2019-07-29 2023-05-02 中国电信股份有限公司 终端身份认证方法、系统以及存储介质
CN110392058B (zh) * 2019-08-01 2021-09-03 中数智创科技有限公司 业务保护方法、系统及终端设备
CN110519764B (zh) * 2019-09-19 2023-06-23 京东方科技集团股份有限公司 一种通信设备的安全验证方法、系统、计算机设备和介质
DE102019130067B4 (de) * 2019-11-07 2022-06-02 Krohne Messtechnik Gmbh Verfahren zur Durchführung einer erlaubnisabhängigen Kommunikation zwischen wenigstens einem Feldgerät der Automatisierungstechnik und einem Bediengerät
CN111049799B (zh) * 2019-11-13 2022-01-21 华为终端有限公司 控制方法、装置和系统
CN112953986B (zh) * 2019-12-10 2024-03-12 华为云计算技术有限公司 一种边缘应用的管理方法及装置
CN113099443B (zh) * 2019-12-23 2024-05-17 阿里巴巴集团控股有限公司 设备认证方法、装置、设备和系统
CN111064752B (zh) * 2019-12-31 2021-12-17 郑州信大捷安信息技术股份有限公司 一种基于公网的预置密钥共享系统及方法
CN113472521A (zh) * 2020-03-30 2021-10-01 山东浪潮质量链科技有限公司 基于区块链的实名数字身份管理方法、签名设备和验证设备
CN113572717B (zh) * 2020-04-29 2024-02-20 青岛海尔洗涤电器有限公司 通信连接的建立方法、洗护设备及服务器
EP4173226A4 (en) * 2020-06-29 2024-03-06 Nokia Technologies Oy ACCESS CONTROL OF A SERVICE BASED MANAGEMENT FRAMEWORK
CN114079666A (zh) * 2020-08-06 2022-02-22 阿里巴巴集团控股有限公司 设备控制系统、方法及装置
CN112218279A (zh) * 2020-10-14 2021-01-12 福建小飞科技有限公司 一种多协议的手持终端对展示终端的控制方法及设备
CN112637128B (zh) * 2020-11-25 2022-07-08 四川新网银行股份有限公司 一种数据中心主机的身份互信方法及系统
CN112672333B (zh) * 2020-12-15 2023-08-25 三维通信股份有限公司 设备连接方法及装置
CN115442061A (zh) * 2021-06-04 2022-12-06 华为技术有限公司 安全认证方法、可读介质和电子设备
CN113806723A (zh) * 2021-09-27 2021-12-17 三星电子(中国)研发中心 双因子认证方法和装置
CN114024766B (zh) * 2021-11-23 2023-06-20 重庆邮电大学 一种面向边缘计算节点的零信任身份认证方法
CN114499938A (zh) * 2021-12-21 2022-05-13 广东纬德信息科技股份有限公司 一种基于移动终端的统一身份认证方法及装置
CN115086041A (zh) * 2022-06-16 2022-09-20 北京天融信网络安全技术有限公司 账号管理方法、装置、电子设备和计算机可读存储介质
CN115250207B (zh) * 2022-09-26 2022-12-20 国网浙江省电力有限公司宁海县供电公司 用于能源互联网的安全交易方法、电子设备及存储介质
CN115834077B (zh) * 2022-11-11 2023-08-01 北京深盾科技股份有限公司 控制方法、控制系统、电子设备及存储介质

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0411560D0 (en) 2004-05-24 2004-06-23 Protx Group Ltd A method of encrypting and transferring data between a sender and a receiver using a network
US8260262B2 (en) 2009-06-22 2012-09-04 Mourad Ben Ayed Systems for three factor authentication challenge
US8112066B2 (en) 2009-06-22 2012-02-07 Mourad Ben Ayed System for NFC authentication based on BLUETOOTH proximity
US9608819B1 (en) * 2014-05-25 2017-03-28 Fujitsu Limited Learning parity with noise-based relational encryption for proximity relations
CN104202744A (zh) * 2014-08-14 2014-12-10 腾讯科技(深圳)有限公司 一种智能终端的操作认证方法、终端及系统
KR102457809B1 (ko) 2014-09-24 2022-10-24 삼성전자주식회사 데이터 통신 보안을 위한 방법, 장치 및 시스템
US10083291B2 (en) * 2015-02-25 2018-09-25 Verisign, Inc. Automating internet of things security provisioning
CN110365484B (zh) * 2015-03-17 2023-01-20 创新先进技术有限公司 一种设备认证的数据处理方法、装置及系统
US20160323283A1 (en) * 2015-04-30 2016-11-03 Samsung Electronics Co., Ltd. Semiconductor device for controlling access right to resource based on pairing technique and method thereof
CN105100052B (zh) * 2015-05-29 2019-07-05 北京奇虎科技有限公司 服务器、手机终端及其帐号与设备绑定执行、控制方法
US9717012B2 (en) 2015-06-01 2017-07-25 Afero, Inc. Internet of things (IOT) automotive device, system, and method
AU2016310529B2 (en) 2015-08-27 2020-12-17 Johnson Controls Tyco IP Holdings LLP Edge intelligence platform, and internet of things sensor streams system
CN108351930B (zh) * 2015-11-19 2021-10-01 罗伯特·博世有限公司 通过联网计算机对嵌入式设备进行的安全访问控制方法
US10275962B2 (en) * 2015-12-14 2019-04-30 Afero, Inc. Apparatus and method for internet of things (IOT) security lock and notification device
CN105450659A (zh) * 2015-12-23 2016-03-30 北京握奇智能科技有限公司 一种物联网安全认证系统及认证方法
US10044674B2 (en) 2016-01-04 2018-08-07 Afero, Inc. System and method for automatic wireless network authentication in an internet of things (IOT) system
US9866637B2 (en) 2016-01-11 2018-01-09 Equinix, Inc. Distributed edge processing of internet of things device data in co-location facilities
US10348699B2 (en) * 2016-02-11 2019-07-09 Evident ID, Inc. Identity binding systems and methods in a personal data store in an online trust system
US10097948B2 (en) * 2016-03-31 2018-10-09 Intel Corporation Point-and-connect bluetooth pairing
CN105974802B (zh) * 2016-04-27 2017-09-29 腾讯科技(深圳)有限公司 一种控制智能设备的方法、装置和系统
CN106211154A (zh) * 2016-06-29 2016-12-07 海尔优家智能科技(北京)有限公司 一种身份信息的验证方法及智能家电
US9860677B1 (en) 2016-09-30 2018-01-02 Intel Corporation Internet-of-things gateway coordination
CN106850540A (zh) * 2016-12-09 2017-06-13 深圳市金立通信设备有限公司 一种终端控制方法、终端及系统
WO2018125989A2 (en) 2016-12-30 2018-07-05 Intel Corporation The internet of things

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10944578B2 (en) 2019-07-24 2021-03-09 Advanced New Technologies Co., Ltd. Identity verification
TWI731594B (zh) * 2019-07-24 2021-06-21 開曼群島商創新先進技術有限公司 身分驗證資料處理方法、伺服器、終端及系統
TWI754950B (zh) * 2020-06-02 2022-02-11 鴻海精密工業股份有限公司 物聯網設備、伺服器及軟體更新方法
US11288058B2 (en) 2020-06-02 2022-03-29 Hon Hai Precision Industry Co., Ltd. Internet of things device, a server, and a software updating method

Also Published As

Publication number Publication date
EP3731551A4 (en) 2021-09-08
US11509485B2 (en) 2022-11-22
EP3731551A1 (en) 2020-10-28
WO2019120091A1 (zh) 2019-06-27
SG11202005708XA (en) 2020-07-29
CN109936547A (zh) 2019-06-25
US20200322170A1 (en) 2020-10-08

Similar Documents

Publication Publication Date Title
TW201929482A (zh) 身份認證方法、系統及計算設備
WO2022206349A1 (zh) 一种信息验证的方法、相关装置、设备以及存储介质
CN110636062B (zh) 设备的安全交互控制方法、装置、电子设备及存储介质
TWI780047B (zh) 身份認證方法、裝置和系統
WO2018214777A1 (zh) 一种数据通信方法、装置、设备和存储介质
JP2018116708A (ja) ネットワーク接続自動化
US20160125180A1 (en) Near Field Communication Authentication Mechanism
CN109361508B (zh) 数据传输方法、电子设备及计算机可读存储介质
US10680835B2 (en) Secure authentication of remote equipment
CN105027107A (zh) 安全虚拟机迁移
KR20040075293A (ko) 컴퓨팅 장치를 보안 네트워크에 접속시키기 위한 방법 및시스템
CN111343613A (zh) 在过程控制系统中建立安全的低能量无线通信的方法和装置
EP2978192B1 (en) Peer to peer remote control method between one or more mobile devices
KR20220160549A (ko) 클러스터 접속 방법, 장치, 전자 설비 및 매체
CA2940633A1 (en) Universal authenticator across web and mobile
JP5827724B2 (ja) データを入力する方法と装置
JP2023552421A (ja) ハードウェア・セキュリティ・モジュールのリモート管理
TWI827906B (zh) 訊息傳輸系統以及應用其中之使用者裝置與資訊安全硬體模組
CN113366461A (zh) 使用非对称密码访问固件设置
WO2016131272A1 (zh) 一种基于智能卡的在线认证方法、智能卡及认证服务器
KR101836211B1 (ko) 전자 기기 인증 매니저 장치
KR20160012546A (ko) 이동단말기의 원격제어시스템
US11611541B2 (en) Secure method to replicate on-premise secrets in a cloud environment
TW201947435A (zh) 配對認證系統及方法
TWI828558B (zh) 訊息傳輸系統以及應用其中之使用者裝置與資訊安全硬體模組