TWI705349B - 終端的認證處理、認證方法及裝置、系統 - Google Patents

終端的認證處理、認證方法及裝置、系統 Download PDF

Info

Publication number
TWI705349B
TWI705349B TW105106908A TW105106908A TWI705349B TW I705349 B TWI705349 B TW I705349B TW 105106908 A TW105106908 A TW 105106908A TW 105106908 A TW105106908 A TW 105106908A TW I705349 B TWI705349 B TW I705349B
Authority
TW
Taiwan
Prior art keywords
terminal
code
server
dynamic
dynamic pass
Prior art date
Application number
TW105106908A
Other languages
English (en)
Other versions
TW201706900A (zh
Inventor
李澤洋
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Publication of TW201706900A publication Critical patent/TW201706900A/zh
Application granted granted Critical
Publication of TWI705349B publication Critical patent/TWI705349B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/067Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本發明公開了一種終端的認證處理、認證方法及裝置、系統。其中,該終端的認證處理方法包括:終端獲取用於唯一標識所述終端的設備碼;所述終端依據所述設備碼和本地計數器的輸出值生成動態通行碼,其中,所述動態通行碼為伺服器對所述終端進行驗證的依據;所述終端將所述動態通行碼發送至所述伺服器。本發明解決了相關技術中存在的需要額外的硬體設備而導致成本較高或者需要人工輸入導致易出現輸入錯誤或者軟體版本系統時間更新易導致驗證失敗等技術問題。

Description

終端的認證處理、認證方法及裝置、系統
本發明涉及認證領域,具體而言,涉及一種終端的認證處理、認證方法及裝置、系統。
動態通行碼是一種根據專門的演算法每隔60秒生成的一個與時間相關、不可預測的隨機數字組合,每個通行碼只能使用一次。可以有效的保護交易和登錄的認證安全,採用動態通行碼就無需定期更換密碼,安全省心,對企事業內部尤其有用。動態通行碼可以實現在專門的硬體上,也可以由軟體實現。
通常情況下,用戶登錄時,需要用戶在界面上輸入動態通行碼,完成登錄認證。但是,傳統動態通行碼的認證方法存在以下缺點:需要攜帶額外的硬體設備,成本較高,容易遺失;動態通行碼需要人工輸入,存在輸錯可能;軟體版本系統時間更新後,可能會造成驗證失敗。
針對上述的問題,目前尚未提出有效的解決方案。
本發明實施例提供了一種終端的認證處理、認證方法及裝置、系統,以至少解決相關技術中存在的需要額外的硬體設備而導致成本較高或者需要人工輸入導致易出現輸入錯誤或者軟體版本系統時間更新易導致驗證失敗等技術問題。
根據本發明實施例的一個方面,提供了一種終端的認證處理方法,包括:終端獲取用於唯一標識所述終端的設備碼;所述終端依據所述設備碼和本地計數器的輸出值生成動態通行碼,其中,所述動態通行碼為伺服器對所述終端進行驗證的依據;所述終端將所述動態通行碼發送至所述伺服器。
根據本發明實施例的另一方面,還提供了一種終端的認證方法,包括:伺服器接收終端發送的第一動態通行碼,其中,所述第一動態通行碼所述終端依據本地計數器的輸出值和用於唯一標識所述終端的設備碼生成的動態通行碼;所述伺服器依據預先獲取的設備碼生成第二動態通行碼,並比較所述第一動態通行碼和所述第二動態通行碼是否一致;所述伺服器根據比較結果對所述終端進行認證,其中,在比較結果指示一致時,確定所述終端通過認證,否則,確定所述終端未通過認證。
根據本發明實施例的又一方面,還提供了一種終端的認證處理裝置,應用於終端,所述裝置包括:獲取模組,用於獲取用於唯一標識所述終端的設備碼;生成模組,用於依據所述設備碼和本地計數器的輸出值生成動態通行 碼,其中,所述動態通行碼為伺服器對所述終端進行驗證的依據;發送模組,用於將所述動態通行碼發送至所述伺服器。
根據本發明實施例的再一方面,還提供了一種終端的認證裝置,應用於伺服器,所述裝置包括:第一接收模組,用於接收所述終端發送的第一動態通行碼,其中,所述第一動態通行碼為所述終端依據本地計數器的輸出值和用於唯一標識所述終端的設備碼生成的動態通行碼;生成模組,用於依據預先獲取的設備碼生成第二動態通行碼,並比較所述第一動態通行碼和所述第二動態通行碼是否一致;認證模組,用於根據比較結果對所述終端進行認證,其中,在比較結果指示一致時,確定所述終端通過認證,否則,確定所述終端未通過認證。
根據本發明實施例的又一方面,提供了一種終端的認證系統,包括:終端和伺服器,其中,所述終端包括以上任一所述的終端的認證處理裝置;所述伺服器包括:以上任一所述的終端的認證裝置。
在本發明實施例中,採用終端依據用於唯一標識終端的設備碼和輸出值生成動態通行碼的方式,從而實現了終端可以不依賴額外設備、以及不依賴人工輸入和系統時間,而是依據自身的特徵參數生成動態通行碼,進而解決了相關技術中存在的需要額外的硬體設備而導致成本較高或者需要人工輸入導致易出現輸入錯誤或者軟體版本系統時間更新易導致驗證失敗等技術問題。
10‧‧‧計算機終端
40‧‧‧獲取模組
42‧‧‧生成模組
44‧‧‧發送模組
70‧‧‧第一接收模組
72‧‧‧生成模組
74‧‧‧認證模組
76‧‧‧發送模組
78‧‧‧第二接收模組
90‧‧‧終端
92‧‧‧伺服器
102‧‧‧處理器
104‧‧‧儲存器
106‧‧‧傳輸模組
111‧‧‧處理器
113‧‧‧儲存器
115‧‧‧傳輸裝置
420‧‧‧第一生成單元
422‧‧‧第二生成單元
此處所說明的附圖用來提供對本發明的進一步理解,構成本申請案的一部分,本發明的示意性實施例及其說明用於解釋本發明,並不構成對本發明的不當限定。在附圖中:圖1是根據本發明實施例的一種終端的認證處理方法的計算機終端的硬體結構方塊圖;圖2是根據本發明實施例的一種可選的終端的認證處理方法的流程圖;圖3是根據本發明實施例的一種可選的終端的認證處理方法的另一流程圖;圖4是根據本發明實施例的一種可選的終端的認證處理裝置的結構方塊圖;圖5是根據本發明實施例的一種可選的終端的認證處理裝置的又一結構方塊圖;圖6是根據本發明實施例的一種可選的終端的認證方法的流程圖;圖7是根據本發明實施例的一種可選的終端的認證裝置的結構方塊圖;圖8是根據本發明實施例的一種可選的終端的認證裝置的另一結構方塊圖;圖9是根據本發明實施例的一種可選的終端的認證系統的結構示意圖; 圖10是根據本發明實施例的一種可選的終端的認證系統的另一結構示意圖;圖11是根據本發明實施例的一種計算機終端的結構方塊圖。
為了使本技術領域的人員更好地理解本發明方案,下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分的實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都應當屬於本發明保護的範圍。
需要說明的是,本發明的說明書和申請專利範圍及上述附圖中的術語“第一”、“第二”等是用於區別類似的對象,而不必用於描述特定的順序或先後次序。應該理解這樣使用的資料在適當情況下可以互換,以便這裡描述的本發明的實施例能夠以除了在這裡圖示或描述的那些以外的順序實施。此外,術語“包括”和“具有”以及他們的任何變形,意圖在於覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統、產品或設備不必限於清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或對於這些過程、方法、產品或設備固有的其它步驟或單元。
實施例1
根據本發明實施例,還提供了一種終端的認證處理的方法實施例,需要說明的是,在附圖的流程圖示出的步驟可以在諸如一組計算機可執行指令的計算機系統中執行,並且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同於此處的順序執行所示出或描述的步驟。
本申請案實施例一所提供的方法實施例可以在行動終端、計算機終端或者類似的運算裝置中執行。以運行在計算機終端上為例,圖1是本發明實施例的一種終端的認證處理方法的計算機終端的硬體結構方塊圖。如圖1所示,計算機終端10可以包括一個或多個(圖中僅示出一個)處理器102(處理器102可以包括但不限於微處理器MCU或可編程邏輯裝置FPGA等的處理裝置)、用於儲存資料的儲存器104、以及用於通信功能的傳輸模組106。本領域普通技術人員可以理解,圖1所示的結構僅為示意,其並不對上述電子裝置的結構造成限定。例如,計算機終端10還可包括比圖1中所示更多或者更少的組件,或者具有與圖1所示不同的配置。
儲存器104可用於儲存應用軟體的軟體程式以及模組,如本發明實施例中的( )方法對應的程式指令/模組,處理器102透過運行儲存在儲存器104內的軟體程式以及模組,從而執行各種功能應用以及資料處理,即實現上述的應用程式的漏洞檢測方法。儲存器104可包括高速 隨機儲存器,還可包括非易失性儲存器,如一個或者多個磁性儲存裝置、閃存、或者其他非易失性固態儲存器。在一些實例中,儲存器104可進一步包括相對於處理器102遠程設置的儲存器,這些遠程儲存器可以透過網路連接至計算機終端10。上述網路的實例包括但不限於網際網路、企業內部網、區域網、行動通信網及其組合。
傳輸模組106用於經由一個網路接收或者發送資料。上述的網路具體實例可包括計算機終端10的通信供應商提供的無線網路。在一個實例中,傳輸模組106包括一個網路適配器(Network Interface Controller,NIC),其可透過基站與其他網路設備相連從而可與網際網路進行通訊。在一個實例中,傳輸模組106可以為射頻(Radio Frequency,RF)模組,其用於透過無線方式與網際網路進行通訊。
在上述運行環境下,本申請案提供了如圖2所示的終端的認證處理方法。圖2是根據本發明實施例一的終端的認證處理方法的流程圖。如圖2所示,該方法包括:
步驟S202,終端獲取用於唯一標識所述終端的設備碼;可選地,上述設備碼可以依據終端的特徵參數按照預設演算法生成,該特徵參數包括但不限於以下一個或多個參數:品牌、型號、終端序號、行動設備國際識別碼(International Mobile Equipment Identity,簡稱為IMEI) 、國際行動用戶識別碼(International Mobile Subscriber Identification,簡稱為IMSI)、媒體存取控制(Media/Medium Access Control,簡稱為MAC)地址、操作系統標識(id)。
其中,上述預設演算法可以採用相關技術中已知的演算法實現,即只要能夠根據終端本身的一些特徵參數或特徵字段生成一個用於唯一標識終端的設備碼即可。例如,在使用上面所提及的所有參數時,可以採用哈希(hash)演算法實現:deviceId=Hash(C0+C1+C2+C3+C4+C5+C6),其中,deviceId表示設備碼,C0表示品牌,C1表示型號,C2表示IMEI,C3表示IMSI,C4表示MAC地址(mac_address),C5表示終端序號(serial_num),C6表示操作系統id。
步驟S204,終端依據上述設備碼和本地計數器的輸出值生成動態通行碼,其中,上述動態通行碼為伺服器對上述終端進行驗證的依據;該本地計數器可以將本地發送的特定事件的頻率作為輸入,例如可以將終端的時間作為輸入,但不限於此。
可選地,終端可以依據設備碼生成種子密鑰,然後依據種子密鑰和上述輸出值生成動態通行碼,例如,可以依據上述設備碼、伺服器為終端分配的會話(session)id以及伺服器為終端分配的用戶身份證明(User Identification,簡稱為UID)按照第一預設規則生成對稱密鑰(即發送方和接收方需要使用相同的密鑰對明文進行 加密和解密運算);終端依據上述對稱密鑰和上述輸出值按照第二預設規則生成上述動態通行碼。
其中,上述第一預設規則可以表現為:將設備碼、session id以及UID進行組合,或者採用相關技術中的已知演算法進行加密生成密鑰,例如可以採用DES、3DES(TDEA)、IDEA等等。需要說明的是,上述第一預設規則並不限於上述表現形式。
上述動態通行碼可以透過多種方式生成,即第二預設規則的表現形式有多種,例如,可以按照以下演算法生成上述動態通行碼:Code=HMAC_SHA1(K,C),其中,code表示上述動態通行碼,HMAC_SHA1( )為密鑰相關的哈希演算法函數,HMAC表示密鑰相關的哈希運算訊息認證碼,SHA1表示安全哈希演算法,K表示上述對稱密鑰,C表示上述輸出值。
HMAC_SHA1( )在相關技術中還可以描述為HMAC-SHA1( )或HMAC(SHA1)( ),它是從SHA1哈希函數構造的一種鍵控哈希演算法,被用作HMAC(基於哈希的訊息驗證代碼)。此HMAC進程將密鑰與訊息資料混合,使用哈希函數對混合結果進行哈希計算,將所得哈希值與該密鑰混合,然後再次應用哈希函數。HMAC_SHA1( )接受任何大小的密鑰,並產生長度為160位的哈希序列。
步驟S206,終端將上述動態通行碼發送至上述伺服器。這樣,伺服器便可以基於該動態通行碼對終端進行認 證,例如可以執行和終端相同的操作生成一個動態通行碼,將該生成的動態通行碼與接收的終端發送的動態通行碼進行比對,如果比對結果為一致,則確定認證通過,否則,確定認證失敗。
基於本發明實施例提供的上述方案,由於不需要人工進行動態通行碼的輸入,整個過程,動態通行碼對用戶是不可見的,因此,可以避免由於人工輸入導致的出錯問題,並且,由於可以利用本身的特徵值生成動態通行碼,因此,不需要額外的硬體設備,減少了成本;並且,避免了透過軟體實現動態通行碼存在的因系統時間更新導致的驗證失敗問題。並且,可以將終端標識(例如在終端為手機時,該終端標識為手機號)作為用戶標識,無需用戶記住密碼;終端的設備碼與終端標識(例如在終端為手機時,該終端標識為手機號)唯一定位一台裝置,在客戶端應用重新安裝及登錄後不變。並且,在已登錄日誌分析時,可以根據當時的密鑰定位手機設備。
可選的,在一個具體實施過程中,如圖3所示,本發明實施例提供的上述技術方案可以表現為以下形式:
步驟S302,終端向上述伺服器發送註冊請求,其中,該註冊請求中攜帶有伺服器向終端請求的驗證碼、設備碼和終端的通信號碼;以手機為例,用戶在手機上使用手機號進行登錄,伺服器對手機號發送驗證碼訊息(相當於驗證請求),用戶透過手機將驗證碼、設備碼、手機號提交至伺服器。
步驟S304,在上述註冊請求驗證通過後,終端接收伺服器為終端分配的session id和UID,並保持與上述伺服器的通信連接;可選地,該通信連接可以表現為長連接或短連接,但並不限於此表現形式。
以手機為例,伺服器驗證通過後,為終端分配session(表現為session id)和UID並在本地保存;終端在收到上述session和UID後,也會儲存在本地,以便後續使用。
步驟S306,終端接收來自上述伺服器的認證請求,其中,在對上述認證請求驗證通過時,觸發上述終端生成上述動態通行碼;執行步驟S308;以手機為例,當用戶需要登錄某些網路或者系統時,伺服器將認證請求發送至手機上的客戶端上(即終端接收伺服器發送的認證請求)。
步驟S308,終端獲取用於唯一標識終端的設備碼;
步驟SS310,終端依據上述設備碼和本地計數器的輸出值生成動態通行碼,其中,上述動態通行碼為伺服器對上述終端進行驗證的依據;以手機為例,用戶在對伺服器發送的認證請求進行驗證通過後,手機上的客戶端將設備碼、session和UID按照預設演算法(例如相加)生成對稱密鑰K,將客戶端時間(即終端時間)作為加法計數器的輸出值C,產生動態通行碼。
步驟S312,終端將上述動態通行碼發送至上述伺服 器。
需要說明的是,圖3中的步驟S308-S312的較佳實施方式可以參見圖2所示步驟S202-S204的實現方式,但不限於圖2所示實施例中的實現方式。
需要說明的是,對於前述的各方法實施例,為了簡單描述,故將其都表述為一系列的動作組合,但是本領域技術人員應該知悉,本發明並不受所描述的動作順序的限制,因為依據本發明,某些步驟可以採用其他順序或者同時進行。其次,本領域技術人員也應該知悉,說明書中所描述的實施例均屬較佳實施例,所涉及的動作和模組並不一定是本發明所必須的。
透過以上的實施方式的描述,本領域的技術人員可以清楚地瞭解到根據上述實施例的方法可借助軟體加必需的通用硬體平臺的方式來實現,當然也可以透過硬體,但很多情況下前者是更佳的實施方式。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來,該計算機軟體產品儲存在一個儲存媒體(如ROM/RAM、磁碟、光碟)中,包括若干指令用以使得一台終端設備(可以是手機,計算機,伺服器,或者網路設備等)執行本發明各個實施例上述的方法。
實施例2
根據本發明實施例,還提供了一種用於實施上述終端 的認證處理方法的裝置,該裝置可以應用於終端中,該終端的結構和功能可以參見實施例1中的計算機終端,但不限於實施例1中計算機終端的結構和功能。如圖4所示,該裝置包括:獲取模組40,用於獲取用於唯一標識終端的設備碼;生成模組42,連接至獲取模組40,用於依據上述設備碼和本地計數器的輸出值生成動態通行碼,其中,上述動態通行碼為伺服器對上述終端進行驗證的依據;發送模組44,連接至生成模組42,用於將上述動態通行碼發送至上述伺服器。
在一個可選實施例中,獲取模組40,可以按照以下方式生成上述設備碼:依據上述終端的特徵參數按照預設演算法生成上述設備碼,其中,上述特徵參數包括以下一個或多個參數:品牌、型號、終端序號、行動設備國際識別碼IMEI、國際行動用戶識別碼IMSI、媒體存取控制MAC地址、操作系統標識id。
可選地,如圖5所示,生成模組42包括但不限於以下處理單元,以生成上述動態通行碼:第一生成單元420,用於依據上述設備碼、上述伺服器為上述終端分配的會話session標識id以及上述伺服器為上述終端分配的UID按照第一預設規則生成對稱密鑰;第二生成單元422,連接至第一生成單元420,用於依據上述對稱密鑰和上述輸出值按照第二預設規則生成上述動態通行碼。其 中,上述第一預設規則可以表現為:將設備碼、session id以及UID進行組合,或者採用相關技術中的已知演算法進行加密生成密鑰,例如可以採用DES、3DES(TDEA)、IDEA等等。需要說明的是,上述第一預設規則並不限於上述表現形式。上述動態通行碼可以透過多種方式生成,即第二預設規則的表現形式有多種,例如,可以按照以下演算法生成上述動態通行碼:Code=HMAC_SHA1(K,C),其中,code表示上述動態通行碼,HMAC_SHA1( )為密鑰相關的哈希演算法函數,HMAC表示密鑰相關的哈希運算訊息認證碼,SHA1表示安全哈希演算法,K表示上述對稱密鑰,C表示上述輸出值。
需要說明的是,本實施例中的各個模組是可以透過軟體或硬體的形式來實現的,對於後者,可以表現為以下實現形式,但不限於此:獲取模組40、生成模組42和發送模組44位於同一處理器中;或者,獲取模組40、生成模組42和發送模組44分別位於不同的處理器中;或者,獲取模組40、生成模組42和發送模組44中的任意兩個模組位於同一處理器中,另一個模組位於另一處理器中。
需要說明的是,本實施例中所提供的終端的認證處理裝置的較佳實施方式可以參見實施例1中的方法實施例,例如,第一生成單元420和第二生成單元422分別使用的第一預設規則和第二預設規則可以表現為以下實現方式:第一預設規則包括:將所述設備碼、所述session id以及 所述UID進行組合;和/或第二預設規則包括:按照以下演算法生成動態通行碼:Code=HMAC_SHA1(K,C),其中,code表示所述動態通行碼,HMAC_SHA1( )為密鑰相關的哈希演算法函數,HMAC表示密鑰相關的哈希運算訊息認證碼,SHA1表示安全哈希演算法,K表示所述對稱密鑰,C表示所述輸出值。此處不再贅述。
採用本實施例提供的上述技術方案,可以實現不依賴額外設備、以及不依賴人工輸入和系統時間,而是依據終端自身的特徵參數生成動態通行碼,進而解決了相關技術中存在的需要額外的硬體設備而導致成本較高或者需要人工輸入導致易出現輸入錯誤或者軟體版本系統時間更新易導致驗證失敗等技術問題。
實施例3
根據本發明實施例,還提供了一種終端的認證方法,該方法可以運行於伺服器中,該伺服器的結構可以採用實施例1中所述計算機終端的結構實現,但並不限於該結構。圖6是根據本發明實施例的一種可選的終端的認證方法的流程圖。如圖6所示,該方法包括:
步驟S602,伺服器接收上述終端發送的第一動態通行碼,其中,上述第一動態通行碼為上述終端依據本地計數器(即終端中的計數器)的輸出值和用於唯一標識終端的設備碼生成的動態通行碼;上述終端的設備碼的生成方式有多種,可以透過以下 方式確定:上述終端依據上述終端的特徵參數按照預設演算法生成上述設備碼,其中,上述特徵參數包括以下一個或多個參數:品牌、型號、終端序號、行動設備國際識別碼IMEI、國際行動用戶識別碼IMSI、媒體存取控制MAC地址、操作系統標識id。
步驟S604,伺服器依據預先獲取的設備碼生成第二動態通行碼,並比較上述第一動態通行碼和上述第二動態通行碼是否一致;可選地,在步驟S604之前,伺服器可以預先獲取設備碼並儲存,以為後續的認證過程做好前期準備,例如,在伺服器依據預先獲取的設備碼生成第二動態通行碼之前,伺服器向上述終端發送驗證請求;伺服器接收上述終端根據上述驗證請求發送的驗證碼和上述設備碼。
步驟S606,伺服器根據比較結果對上述終端進行認證,其中,在比較結果指示一致時,確定上述終端通過認證,否則,確定上述終端未通過認證。
第一動態通行碼和第二動態通行碼可以採用相同的方式生成,例如第一動態通行碼和上述第二動態通行碼透過以下方式生成:終端或伺服器依據上述設備碼、伺服器為終端分配的會話session標識id以及伺服器為終端分配的明UID按照第一預設規則生成對稱密鑰;終端或伺服器依據上述對稱密鑰和上述輸出值按照第二預設規則生成上述第一動態通行碼或上述第二動態通行碼。
採用本實施例提供的上述技術方案,可以實現不依賴 額外設備、以及不依賴人工輸入和系統時間,而是依據終端自身的特徵參數生成動態通行碼,進而解決了相關技術中存在的需要額外的硬體設備而導致成本較高或者需要人工輸入導致易出現輸入錯誤或者軟體版本系統時間更新易導致驗證失敗等技術問題。
實施例4
根據本發明實施例,還提供了一種用於實施終端的認證方法的裝置,該裝置可以應用於伺服器中,該伺服器的結構和功能可以參見實施例1中的計算機終端,但不限於實施例1中計算機終端的結構和功能。如圖7所示,該裝置包括:第一接收模組70,用於接收終端發送的第一動態通行碼,其中,上述第一動態通行碼為終端依據本地計數器的輸出值和用於唯一標識終端的設備碼生成的動態通行碼;生成模組72,連接至第一接收模組70,用於依據預先獲取的設備碼生成第二動態通行碼,並比較上述第一動態通行碼和上述第二動態通行碼是否一致;認證模組74,連接至生成模組72,用於根據比較結果對上述終端進行認證,其中,在比較結果指示一致時,確定上述終端通過認證,否則,確定上述終端未通過認證。
可選地,如圖8所示,上述裝置還可以包括以下處理 模組,以實現設備碼的預先獲取,但不限於該實現方式:發送模組76,用於在依據預先獲取的設備碼生成第二動態通行碼之前,向上述終端發送驗證請求;第二接收模組78,連接至發送模組76,用於接收終端根據上述驗證請求發送的上述驗證碼和上述設備碼。
和實施例1-3類似,本實施例中的上述設備碼也可以透過以下方式確定,但不限於此:上述終端依據上述終端的特徵參數按照預設演算法生成上述設備碼,其中,上述特徵參數包括以下一個或多個參數:品牌、型號、終端序號、IMEI、IMSI、MAC地址、操作系統id。其中,上述預設演算法包括但不限於哈希演算法。
上述生成模組,用於透過以下方式生成上述第二動態通行碼:依據上述設備碼、上述伺服器為上述終端分配的會話session標識id以及上述伺服器為上述終端分配的UID按照第一預設規則生成對稱密鑰;以及依據上述對稱密鑰和上述輸出值按照第二預設規則生成上述第二動態通行碼。其中,第一預設規則可以包括但不限於以下形式:將設備碼、session id以及UID進行組合;第二預設規則包括但不限於:按照以下演算法生成第二動態通行碼:Code=HMAC_SHA1(K,C),其中,code表示第二動態通行碼,HMAC_SHA1( )為密鑰相關的哈希演算法函數,HMAC表示密鑰相關的哈希運算訊息認證碼,所述SHA1表示安全哈希演算法,K表示所述對稱密鑰,C表示所述輸出值。
實施例5
根據本發明實施例,還提供了一種用於實施實施例1-4中所述方法或裝置的系統,圖9是根據本發明實施例的一種可選的終端的認證系統的結構示意圖,如圖9所示,該系統包括;終端90和伺服器92,其中,終端90可以包括實施例2中所述的終端的認證處理裝置;所述伺服器可以包括:實施例4中所示的終端的認證裝置。對於所述終端的認證處理裝置和所述終端的認證裝置的較佳實施方式可以參見實施例2和4中的描述,此處不再贅述。
以所示系統以及手機為例,本實施例中的終端的認證系統中的終端和伺服器的具體互動過程如下:
步驟1,用戶在手機上用手機號進行登錄,伺服器對手機號發送驗證碼訊息,用戶把驗證碼、deviceId和mobileNumber透過手機提交給伺服器。伺服器進行驗證,通過後保存並分配session及uid,客戶端保存,待後續使用。
步驟2,兩端保持長連接。
步驟3,當用戶需要登錄某些系統或者網站時,伺服器將認證請求發至手機客戶端上,用戶比對後進行確認,客戶端將deviceId、session和uid相加成對稱密鑰K,將客戶端時間做為加法計數器C,產生動態通行碼code。客戶端將動態通行碼傳送至伺服器,伺服器進行相同的操 作,比對動態通行碼即可完成認證操作。
實施例6
本發明的實施例可以提供一種計算機終端,該計算機終端可以是計算機終端群中的任意一個計算機終端設備。可選地,在本實施例中,上述計算機終端也可以替換為行動終端等終端設備。
可選地,在本實施例中,上述計算機終端可以位於計算機網路的多個網路設備中的至少一個網路設備。
在本實施例中,上述計算機終端可以執行終端的認證處理方法中以下步驟的程式代碼:終端獲取用於唯一標識所述終端的設備碼;終端依據上述設備碼和本地計數器的輸出值生成動態通行碼,其中,上述動態通行碼為伺服器對上述終端進行驗證的依據;終端將上述動態通行碼發送至上述伺服器。
可選地,圖11是根據本發明實施例的一種計算機終端的結構方塊圖。如圖11所示,該計算機終端A可以包括:一個或多個(圖中僅示出一個)處理器111、儲存器113、以及傳輸裝置115。
其中,儲存器113可用於儲存軟體程式以及模組,如本發明實施例中的終端的認證處理方法或裝置對應的程式指令/模組,處理器111透過運行儲存在儲存器113內的軟體程式以及模組,從而執行各種功能應用以及資料處理,即實現上述的系統漏洞攻擊的檢測方法。儲存器113 可包括高速隨機儲存器,還可以包括非易失性儲存器,如一個或者多個磁性儲存裝置、閃存、或者其他非易失性固態儲存器。在一些實例中,儲存器113可進一步包括相對於處理器111遠程設置的儲存器,這些遠程儲存器可以透過網路連接至終端A。上述網路的實例包括但不限於網際網路、企業內部網、區域網、行動通信網及其組合。
上述的傳輸裝置115用於經由一個網路接收或者發送資料。上述的網路具體實例可包括有線網路及無線網路。在一個實例中,傳輸裝置115包括一個網路適配器(Network Interface Controller,NIC),其可透過網線與其他網路設備與路由器相連從而可與網際網路或區域網進行通訊。在一個實例中,傳輸裝置115為射頻(Radio Frequency,RF)模組,其用於透過無線方式與網際網路進行通訊。
其中,具體地,儲存器113用於儲存預設動作條件和預設權限用戶的資訊、以及應用程式。
處理器111可以透過傳輸裝置調用儲存器113儲存的資訊及應用程式,以執行下述步驟:終端獲取用於唯一標識上述終端的設備碼;終端依據上述設備碼和本地計數器的輸出值生成動態通行碼,其中,上述動態通行碼為伺服器對上述終端進行驗證的依據;終端將上述動態通行碼發送至上述伺服器。
可選的,上述處理器111還可以執行如下步驟的程式代碼:終端依據上述終端的特徵參數按照預設演算法生成 上述設備碼,其中,上述特徵參數包括以下一個或多個參數:品牌、型號、終端序號、IMEI、IMSI、MAC地址、操作系統id。
可選的,上述處理器111還可以執行如下步驟的程式代碼:終端依據上述設備碼、上述伺服器為上述終端分配的session id以及上述伺服器為上述終端分配的UID按照第一預設規則生成對稱密鑰;終端依據上述對稱密鑰和上述輸出值按照第二預設規則生成上述動態通行碼。
可選的,上述處理器111還可以執行如下步驟的程式代碼:終端向上述伺服器發送註冊請求,其中,上述註冊請求中攜帶有上述伺服器向上述終端請求的驗證碼、上述設備碼和上述終端的通信號碼;在上述註冊請求驗證通過後,上述終端接收上述伺服器為上述終端分配的上述session id和上述UID,並保持與伺服器的通信連接。
可選的,上述處理器111還可以執行如下步驟的程式代碼:終端接收來自上述伺服器的認證請求,其中,在對上述認證請求驗證通過時,觸發上述終端生成上述動態通行碼。
採用本發明實施例提供的上述技術方案,解決了相關技術中存在的需要額外的硬體設備而導致成本較高或者需要人工輸入導致易出現輸入錯誤或者軟體版本系統時間更新易導致驗證失敗的技術問題。
本領域普通技術人員可以理解,圖11所示的結構僅為示意,計算機終端也可以是智慧型手機(如Android手 機、iOS手機等)、平板電腦、掌聲電腦以及行動網際網路設備(Mobile Internet Devices,MID)、PAD等終端設備。圖11其並不對上述電子裝置的結構造成限定。例如,計算機終端A還可包括比圖11中所示更多或者更少的組件(如網路接口、顯示裝置等),或者具有與圖11所示不同的配置。
本領域普通技術人員可以理解上述實施例的各種方法中的全部或部分步驟是可以透過程式來指令終端設備相關的硬體來完成,該程式可以儲存於一計算機可讀儲存媒體中,儲存媒體可以包括:閃存碟、只讀儲存器(Read-Only Memory,ROM)、隨機存取器(Random Access Memory,RAM)、磁碟或光碟等。
實施例7
本發明的實施例還提供了一種儲存媒體。可選地,在本實施例中,上述儲存媒體可以用於保存上述實施例一所提供的終端的認證處理方法所執行的程式代碼。
可選地,在本實施例中,上述儲存媒體可以位於計算機網路中計算機終端群中的任意一個計算機終端中,或者位於行動終端群中的任意一個行動終端中。
可選地,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式代碼:終端獲取用於唯一標識所述終端的設備碼;終端依據上述設備碼和本地計數器的輸出值生成動態通行碼,其中,上述動態通行碼為伺服器對上述 終端進行驗證的依據;終端將上述動態通行碼發送至上述伺服器。當然,該儲存媒體還可以設置為儲存用於執行實施例1中所示方法中的步驟,具體內容參見實施例1,此處不再贅述。
此處需要說明的是,上述計算機終端群中的任意一個可以與網站伺服器和掃描器建立通信關係,掃描器可以掃描計算機終端上php執行的web應用程式的值命令。
實施例8
本發明的實施例還可以提供另外一種計算機終端,該計算機終端的結構可以採用實施例6中所述的計算機終端(即圖11所示的計算機終端),此處不再贅述。
可選地,在本實施例中,計算機終端可以位於計算機網路的多個網路設備中的至少一個網路設備。
在本實施例中,上述計算機終端可以執行終端的認證方法中以下步驟的程式代碼:伺服器接收上述終端發送的第一動態通行碼,其中,上述第一動態通行碼為上述終端依據上述輸出值和用於唯一標識上述終端的設備碼生成的動態通行碼;伺服器依據預先獲取的設備碼生成第二動態通行碼,並比較上述第一動態通行碼和上述第二動態通行碼是否一致;伺服器根據比較結果對上述終端進行認證,其中,在比較結果指示一致時,確定上述終端通過認證,否則,確定上述終端未通過認證。
如圖11所示,計算機終端A可以包括:一個或多個 (圖中僅示出一個)處理器111、儲存器113、以及傳輸裝置115。
其中,儲存器113可用於儲存軟體程式以及模組,如本發明實施例中的終端的認證方法或裝置對應的程式指令/模組,處理器111透過運行儲存在儲存器113內的軟體程式以及模組,從而執行各種功能應用以及資料處理,即實現上述的系統漏洞攻擊的檢測方法。儲存器113可包括高速隨機儲存器,還可以包括非易失性儲存器,如一個或者多個磁性儲存裝置、閃存、或者其他非易失性固態儲存器。在一些實例中,儲存器113可進一步包括相對於處理器111遠程設置的儲存器,這些遠程儲存器可以透過網路連接至終端A。上述網路的實例包括但不限於網際網路、企業內部網、區域網、行動通信網及其組合。
上述的傳輸裝置115用於經由一個網路接收或者發送資料。上述的網路具體實例可包括有線網路及無線網路。在一個實例中,傳輸裝置115包括一個網路適配器(Network Interface Controller,NIC),其可透過網線與其他網路設備與路由器相連從而可與網際網路或區域網進行通訊。在一個實例中,傳輸裝置115為射頻(Radio Frequency,RF)模組,其用於透過無線方式與網際網路進行通訊。
其中,具體地,儲存器113用於儲存預設動作條件和預設權限用戶的資訊、以及應用程式。
處理器111可以透過傳輸裝置調用儲存器113儲存的 資訊及應用程式,以執行下述步驟:伺服器接收上述終端發送的第一動態通行碼,其中,上述第一動態通行碼為上述終端依據上述輸出值和用於唯一標識上述終端的設備碼生成的動態通行碼;伺服器依據預先獲取的設備碼生成第二動態通行碼,並比較上述第一動態通行碼和上述第二動態通行碼是否一致;伺服器根據比較結果對上述終端進行認證,其中,在比較結果指示一致時,確定上述終端通過認證,否則,確定上述終端未通過認證。
可選的,上述處理器111還可以執行如下步驟的程式代碼:終端依據上述終端的特徵參數按照預設演算法生成上述設備碼,其中,上述特徵參數包括以下一個或多個參數:品牌、型號、終端序號、行動設備國際識別碼IMEI、國際行動用戶識別碼IMSI、媒體存取控制MAC地址、操作系統標識id。
可選的,上述處理器111還可以執行如下步驟的程式代碼:伺服器向上述終端發送驗證請求;伺服器接收上述終端根據上述驗證請求發送的驗證碼和上述設備碼。
採用本發明實施例提供的上述技術方案,解決了相關技術中存在的需要額外的硬體設備而導致成本較高或者需要人工輸入導致易出現輸入錯誤或者軟體版本系統時間更新易導致驗證失敗的技術問題。
實施例9
本發明的實施例還提供了一種儲存媒體。可選地,在 本實施例中,上述儲存媒體可以用於保存上述實施例三所提供的終端的認證方法所執行的程式代碼。
可選地,在本實施例中,上述儲存媒體可以位於計算機網路中計算機終端群中的任意一個計算機終端中,或者位於行動終端群中的任意一個行動終端中。
可選地,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式代碼:伺服器接收上述終端發送的第一動態通行碼,其中,上述第一動態通行碼為上述終端依據上述輸出值和用於唯一標識上述終端的設備碼生成的動態通行碼;伺服器依據預先獲取的設備碼生成第二動態通行碼,並比較上述第一動態通行碼和上述第二動態通行碼是否一致;伺服器根據比較結果對上述終端進行認證,其中,在比較結果指示一致時,確定上述終端通過認證,否則,確定上述終端未通過認證。當然,該儲存媒體還可以設置為儲存用於執行實施例3中所示方法中的步驟,具體內容參見實施例3,此處不再贅述。
此處需要說明的是,上述計算機終端群中的任意一個可以與網站伺服器和掃描器建立通信關係,掃描器可以掃描計算機終端上php執行的web應用程式的值命令。
上述本發明實施例序號僅僅為了描述,不代表實施例的優劣。
在本發明的上述實施例中,對各個實施例的描述都各有側重,某個實施例中沒有詳述的部分,可以參見其他實施例的相關描述。
在本申請案所提供的幾個實施例中,應該理解到,所揭露的終端,可透過其它的方式實現。其中,以上所描述的裝置實施例僅僅是示意性的,例如所述單元或模組的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,例如多個單元或模組可以結合或者可以集成到另一個系統,或一些特徵可以忽略,或不執行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是透過一些接口,單元或模組的間接耦合或通信連接,可以是電性或其它的形式。
上述作為分離部件說明的單元或模組可以是或者也可以不是物理上分開的,作為單元或模組顯示的部件可以是或者也可以不是物理單元或物理模組,即可以位於一個地方,或者也可以分佈到多個網路單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。
另外,在本發明各個實施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以採用硬體的形式實現,也可以採用軟體功能單元的形式實現。
上述集成的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時,可以儲存在一個計算機可讀取儲存媒體中。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全 部或部分可以以軟體產品的形式體現出來,該計算機軟體產品儲存在一個儲存媒體中,包括若干指令用以使得一台計算機設備(可為個人計算機、伺服器或者網路設備等)執行本發明各個實施例上述方法的全部或部分步驟。而前述的儲存媒體包括:U碟、只讀儲存器(ROM,Read-Only Memory)、隨機存取儲存器(RAM,Random Access Memory)、行動硬碟、磁碟或者光碟等各種可以儲存程式代碼的媒體。
以上上述僅是本發明的較佳實施方式,應當指出,對於本技術領域的普通技術人員來說,在不脫離本發明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應視為本發明的保護範圍。

Claims (10)

  1. 一種終端的認證處理方法,其特徵在於,包括:終端獲取用於唯一標識該終端的設備碼;該終端依據該設備碼和本地計數器的輸出值生成動態通行碼,其中,該動態通行碼為伺服器對該終端進行驗證的依據;該終端將該動態通行碼發送至該伺服器,其中,該終端依據該設備碼和本地計數器的輸出值生成動態通行碼,包括:該終端依據該設備碼、該伺服器為該終端分配的會話session標識id以及該伺服器為該終端分配的用戶身份證明UID按照第一預設規則生成對稱密鑰;該終端依據該對稱密鑰和該輸出值按照第二預設規則生成該動態通行碼,其中,該第一預設規則包括:將該設備碼、該session id以及該UID進行組合;和/或該第二預設規則包括:按照以下演算法生成該動態通行碼:Code=HMAC_SHA1(K,C),其中,code表示該動態通行碼,HMAC_SHA1( )為密鑰相關的哈希演算法函數,HMAC表示密鑰相關的哈希運算訊息認證碼,該SHA1表示安全哈希演算法,K表示該對稱密鑰,C表示該輸出值。
  2. 根據申請專利範圍第1項所述的方法,其中,終端獲取用於唯一標識該終端的設備碼,包括:該終端依據該終端的特徵參數按照預設演算法生成該 設備碼,其中,該特徵參數包括以下一個或多個參數:品牌、型號、終端序號、行動設備國際識別碼IMEI、國際行動用戶識別碼IMSI、媒體存取控制MAC地址、操作系統標識id。
  3. 根據申請專利範圍第1項所述的方法,其中,該終端接收來自該伺服器的認證請求之前,包括:該終端向該伺服器發送註冊請求,其中,該註冊請求中攜帶有該伺服器向該終端請求的驗證碼、該設備碼和該終端的通信號碼;在該註冊請求驗證通過後,該終端接收該伺服器為該終端分配的該session id和該UID,並保持與該伺服器的通信連接。
  4. 一種終端的認證方法,其特徵在於,包括:伺服器接收該終端發送的第一動態通行碼,其中,該第一動態通行碼為該終端依據本地計數器的輸出值和用於唯一標識該終端的設備碼生成的動態通行碼;該伺服器依據預先獲取的設備碼生成第二動態通行碼,並比較該第一動態通行碼和該第二動態通行碼是否一致;該伺服器根據比較結果對該終端進行認證,其中,在比較結果指示一致時,確定該終端通過認證,否則,確定該終端未通過認證,其中,該第一動態通行碼和/或該第二動態通行碼透過以下方式生成:該終端或該伺服器依據該設備碼、該伺 服器為該終端分配的會話session標識id以及該伺服器為該終端分配的用戶身份證明UID按照第一預設規則生成對稱密鑰;該終端或該伺服器依據該對稱密鑰和該輸出值按照第二預設規則生成該第一動態通行碼或該第二動態通行碼,其中,該第一預設規則包括:將該設備碼、該session id以及該UID進行組合;和/或該第二預設規則包括:按照以下演算法生成該動態通行碼:Code=HMAC_SHA1(K,C),其中,code表示該動態通行碼,HMAC_SHA1( )為密鑰相關的哈希演算法函數,HMAC表示密鑰相關的哈希運算訊息認證碼,該SHA1表示安全哈希演算法,K表示該對稱密鑰,C表示該輸出值。
  5. 根據申請專利範圍第4項所述的方法,其中,該伺服器依據預先獲取的設備碼生成第二動態通行碼之前,包括:該伺服器向該終端發送驗證請求;該伺服器接收該終端根據該驗證請求發送的驗證碼和該設備碼。
  6. 根據申請專利範圍第4項所述的方法,其中,該設備碼透過以下方式確定:該終端依據該終端的特徵參數按照預設演算法生成該設備碼,其中,該特徵參數包括以下一個或多個參數:品牌、型號、終端序號、行動設備國際識別碼 IMEI、國際行動用戶識別碼IMSI、媒體存取控制MAC地址、操作系統標識id。
  7. 一種終端的認證處理裝置,應用於終端,其特徵在於,該裝置包括:獲取模組,用於獲取用於唯一標識該終端的設備碼;生成模組,用於依據該設備碼和本地計數器的輸出值生成動態通行碼,其中,該動態通行碼為伺服器對該終端進行驗證的依據;發送模組,用於將該動態通行碼發送至該伺服器,其中,該生成模組包括:第一生成單元,用於依據該設備碼、該伺服器為該終端分配的會話session標識id以及該伺服器為該終端分配的用戶身份證明UID按照第一預設規則生成對稱密鑰;第二生成單元,用於依據該對稱密鑰和該輸出值按照第二預設規則生成該動態通行碼,其中,該第一預設規則包括:將該設備碼、該session id以及該UID進行組合;和/或該第二預設規則包括:按照以下演算法生成該動態通行碼:Code=HMAC_SHA1(K,C),其中,code表示該動態通行碼,HMAC_SHA1( )為密鑰相關的哈希演算法函數,HMAC表示密鑰相關的哈希運算訊息認證碼,該SHA1表示安全哈希演算法,K表示該對稱密鑰,C表示該輸出值。
  8. 根據申請專利範圍第7項所述的裝置,其中,該獲取模組,用於依據該終端的特徵參數按照預設演算法生成 該設備碼,其中,該特徵參數包括以下一個或多個參數:品牌、型號、終端序號、行動設備國際識別碼IMEI、國際行動用戶識別碼IMSI、媒體存取控制MAC地址、操作系統標識id。
  9. 一種終端的認證裝置,應用於伺服器,其特徵在於,該裝置包括:第一接收模組,用於接收終端發送的第一動態通行碼,其中,該第一動態通行碼為該終端依據本地計數器的輸出值和用於唯一標識該終端的設備碼生成的動態通行碼;生成模組,用於依據預先獲取的設備碼生成第二動態通行碼,並比較該第一動態通行碼和該第二動態通行碼是否一致;認證模組,用於根據比較結果對該終端進行認證,其中,在比較結果指示一致時,確定該終端通過認證,否則,確定該終端未通過認證,其中,該生成模組,用於透過以下方式生成該第二動態通行碼:依據該設備碼、該伺服器為該終端分配的會話session標識id以及該伺服器為該終端分配的用戶身份證明UID按照第一預設規則生成對稱密鑰;以及依據該對稱密鑰和該輸出值按照第二預設規則生成該第二動態通行碼,其中,該第一預設規則包括:將該設備碼、該session id以及該UID進行組合;和/或 該第二預設規則包括:按照以下演算法生成該動態通行碼:Code=HMAC_SHA1(K,C),其中,code表示該動態通行碼,HMAC_SHA1( )為密鑰相關的哈希演算法函數,HMAC表示密鑰相關的哈希運算訊息認證碼,該SHA1表示安全哈希演算法,K表示該對稱密鑰,C表示該輸出值。
  10. 根據申請專利範圍第9項所述的裝置,其中,該設備碼透過以下方式確定:該終端依據該終端的特徵參數按照預設演算法生成該設備碼,其中,該特徵參數包括以下一個或多個參數:品牌、型號、終端序號、行動設備國際識別碼IMEI、國際行動用戶識別碼IMSI、媒體存取控制MAC地址、操作系統標識id。
TW105106908A 2015-07-08 2016-03-07 終端的認證處理、認證方法及裝置、系統 TWI705349B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201510397391.X 2015-07-08
CN201510397391.XA CN106341372A (zh) 2015-07-08 2015-07-08 终端的认证处理、认证方法及装置、系统

Publications (2)

Publication Number Publication Date
TW201706900A TW201706900A (zh) 2017-02-16
TWI705349B true TWI705349B (zh) 2020-09-21

Family

ID=57731500

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105106908A TWI705349B (zh) 2015-07-08 2016-03-07 終端的認證處理、認證方法及裝置、系統

Country Status (6)

Country Link
US (1) US10523664B2 (zh)
EP (1) EP3320523B1 (zh)
JP (1) JP2018528504A (zh)
KR (1) KR102039316B1 (zh)
CN (1) CN106341372A (zh)
TW (1) TWI705349B (zh)

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10333923B2 (en) 2012-08-19 2019-06-25 Rajul Johri Authentication based on visual memory
US9769157B2 (en) * 2015-09-21 2017-09-19 American Express Travel Related Services Company, Inc. Systems and methods for secure one-time password validation
SE540668C2 (en) * 2016-08-30 2018-10-09 No Common Payment Ab Generation and verification of a temporary card security code for use in card based transactions
US20180145957A1 (en) * 2016-11-22 2018-05-24 Ca, Inc. User-defined dynamic password
US10333913B2 (en) * 2017-05-15 2019-06-25 International Business Machines Corporation Dynamic object passwords
CN107360132B (zh) * 2017-06-02 2021-03-09 台州市吉吉知识产权运营有限公司 一种防止会话重演的方法及系统
US10681037B2 (en) * 2017-06-29 2020-06-09 Amadeus S.A.S. Terminal authentication
CN109286932B (zh) * 2017-07-20 2021-10-19 阿里巴巴集团控股有限公司 入网认证方法、装置及系统
US11240240B1 (en) 2017-08-09 2022-02-01 Sailpoint Technologies, Inc. Identity defined secure connect
US11303633B1 (en) 2017-08-09 2022-04-12 Sailpoint Technologies, Inc. Identity security gateway agent
CN108023873B (zh) * 2017-11-08 2020-12-11 深圳市文鼎创数据科技有限公司 信道建立方法及终端设备
CN107888383B (zh) * 2017-11-27 2020-10-09 新华三技术有限公司 登录认证方法及装置
CN108024249B (zh) * 2017-11-30 2021-08-06 郑州云海信息技术有限公司 一种防止wifi暴力破解的方法及系统
CN109962878B (zh) * 2017-12-14 2021-04-16 大唐移动通信设备有限公司 一种ims用户的注册方法及装置
US11463426B1 (en) * 2018-01-25 2022-10-04 Sailpoint Technologies, Inc. Vaultless authentication
CN107995229A (zh) * 2018-01-31 2018-05-04 苏州锦佰安信息技术有限公司 一种身份验证方法和装置
CN108306883A (zh) * 2018-01-31 2018-07-20 苏州锦佰安信息技术有限公司 一种身份验证方法和装置
RU2697953C2 (ru) 2018-02-06 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ вынесения решения о компрометации данных
TWI753102B (zh) * 2018-02-09 2022-01-21 劉根田 實名認證服務系統及實名認證服務方法
CN108446400A (zh) * 2018-03-29 2018-08-24 京东方科技集团股份有限公司 增强现实装置、服务器、增强现实系统和共享方法
CN109684799B (zh) * 2018-08-21 2023-12-26 Tcl金融科技(深圳)有限公司 账户登录方法、登录装置、账户登录设备及存储介质
CN110932858B (zh) * 2018-09-19 2023-05-02 阿里巴巴集团控股有限公司 认证方法和系统
CN109510702B (zh) * 2018-10-27 2023-05-16 福建福诺移动通信技术有限公司 一种基于计算机特征码的密钥存储及使用的方法
CN109547217B (zh) * 2019-01-11 2021-10-22 北京中实信达科技有限公司 基于动态口令的一对多身份认证系统和方法
CN110048834A (zh) * 2019-03-12 2019-07-23 深圳壹账通智能科技有限公司 动态密码发送方法、装置及计算机可读存储介质
CN109920114B (zh) * 2019-03-13 2021-08-03 深圳市利成兴科技有限公司 一种基于地理位置的门锁控制方法及系统
CN111723362B (zh) * 2019-03-22 2023-09-08 倪晓 一种权限密码生成方法、系统、装置及终端设备
CN110099065A (zh) * 2019-05-10 2019-08-06 北京百度网讯科技有限公司 物联网设备及认证方法、云服务器、处理设备、可读介质
US10541995B1 (en) * 2019-07-23 2020-01-21 Capital One Services, Llc First factor contactless card authentication system and method
CN110659522B (zh) * 2019-09-04 2020-11-10 广西电网有限责任公司防城港供电局 存储介质安全认证方法、装置、计算机设备和存储介质
SE545872C2 (en) 2019-09-27 2024-02-27 No Common Payment Ab Generation and verification of a temporary authentication value for use in a secure transmission
WO2021065650A1 (ja) * 2019-09-30 2021-04-08 積水メディカル株式会社 正規品自動認証方法
CN111432405A (zh) * 2020-03-31 2020-07-17 中电四川数据服务有限公司 一种用于电子病历的授权认证方法及系统
CN111953481A (zh) * 2020-07-28 2020-11-17 麒麟软件有限公司 一种基于pam的动态密码认证方法
US10965665B1 (en) 2020-09-16 2021-03-30 Sailpoint Technologies, Inc Passwordless privilege access
CN112217632B (zh) * 2020-10-12 2023-09-08 国网数字科技控股有限公司 一种基于智能合约和哈希链的身份认证方法及装置
CN113256910A (zh) * 2020-12-31 2021-08-13 深圳怡化电脑股份有限公司 金融自助终端的验证方法、装置、计算机设备及存储介质
US20220343004A1 (en) * 2021-04-27 2022-10-27 Spotify Ab Access control for on-device machine learning models
CN113378189A (zh) * 2021-05-31 2021-09-10 中国电力科学研究院有限公司 一种用于负荷辨识模组的认证校验方法及系统
CN113507368A (zh) * 2021-06-17 2021-10-15 北京惠而特科技有限公司 基于动态口令的工业控制设备身份认证方法及装置
US11570180B1 (en) * 2021-12-23 2023-01-31 Eque Corporation Systems configured for validation with a dynamic cryptographic code and methods thereof
CN114500098A (zh) * 2022-03-03 2022-05-13 广州市智荟环保有限公司 一种验证方法、装置和计算机设备及可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102684878A (zh) * 2012-04-05 2012-09-19 苏州佳世达电通有限公司 一种基于imei和定位技术的认证系统及方法
TW201349824A (zh) * 2012-05-17 2013-12-01 Gamania Digital Entertainment Co Ltd 使用裝置識別碼的身份驗證方法及其系統
US20140156531A1 (en) * 2010-12-14 2014-06-05 Salt Technology Inc. System and Method for Authenticating Transactions Through a Mobile Device
CN103888938A (zh) * 2012-12-19 2014-06-25 深圳市华营数字商业有限公司 一种基于参数的动态生成密钥的pki私钥保护方法

Family Cites Families (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001067320A (ja) 1999-08-25 2001-03-16 Railway Technical Res Inst 情報提供支援方法及びその手順を記録した記録媒体
CN1142653C (zh) 2000-04-28 2004-03-17 杨宏伟 动态口令认证系统及方法
US6591098B1 (en) 2000-11-07 2003-07-08 At&T Wireless Services, Inc. System and method for using a temporary electronic serial number for over-the-air activation of a mobile device
JP2002297547A (ja) 2001-04-03 2002-10-11 Sony Corp 情報処理装置および方法、情報処理システム、記録媒体、並びにプログラム
JPWO2003069489A1 (ja) 2002-02-14 2005-11-04 若山 裕典 本人認証の方法
US7653200B2 (en) * 2002-03-13 2010-01-26 Flash Networks Ltd Accessing cellular networks from non-native local networks
US20030204732A1 (en) 2002-04-30 2003-10-30 Yves Audebert System and method for storage and retrieval of a cryptographic secret from a plurality of network enabled clients
AU2003293125A1 (en) 2002-11-27 2004-06-23 Rsa Security Inc Identity authentication system and method
US20040181696A1 (en) 2003-03-11 2004-09-16 Walker William T. Temporary password login
US7474894B2 (en) * 2004-07-07 2009-01-06 At&T Mobility Ii Llc System and method for IMEI detection and alerting
AU2005295579B2 (en) * 2004-10-15 2011-08-04 NortonLifeLock Inc. One time password
CN100505927C (zh) 2004-10-22 2009-06-24 北京握奇数据系统有限公司 动态口令认证方法
WO2006119184A2 (en) * 2005-05-04 2006-11-09 Tricipher, Inc. Protecting one-time-passwords against man-in-the-middle attacks
US20070260556A1 (en) * 2005-06-06 2007-11-08 Michael Pousti System and method for verification of identity for transactions
US7757275B2 (en) * 2005-06-15 2010-07-13 Microsoft Corporation One time password integration with Kerberos
KR101019458B1 (ko) * 2005-08-11 2011-03-07 샌디스크 아이엘 엘티디 확장된 일회용 암호 방법 및 장치
US20070186115A1 (en) * 2005-10-20 2007-08-09 Beijing Watch Data System Co., Ltd. Dynamic Password Authentication System and Method thereof
US20070165582A1 (en) * 2006-01-18 2007-07-19 Puneet Batta System and method for authenticating a wireless computing device
KR100937702B1 (ko) * 2006-03-10 2010-01-20 (주)와이즈그램 가상식별정보 제공 시스템 및 가상식별정보 제공 방법
EP3457307B1 (en) * 2006-04-24 2019-08-14 Yubico Ab Device for identification and authentication
US9002018B2 (en) 2006-05-09 2015-04-07 Sync Up Technologies Corporation Encryption key exchange system and method
US8117458B2 (en) 2006-05-24 2012-02-14 Vidoop Llc Methods and systems for graphical image authentication
ATE552685T1 (de) * 2006-11-15 2012-04-15 Research In Motion Ltd Sicheres, auf kundenberechtigungsnachweis basierendes sitzungsauthentifizierungsverfahren und vorrichtung
US20100253470A1 (en) * 2007-10-22 2010-10-07 Microlatch Pty Ltd Transmitter For Transmitting A Secure Access Signal
US8756661B2 (en) 2009-08-24 2014-06-17 Ufp Identity, Inc. Dynamic user authentication for access to online services
WO2011032263A1 (en) 2009-09-17 2011-03-24 Meir Weis Mobile payment system with two-point authentication
US8549594B2 (en) 2009-09-18 2013-10-01 Chung-Yu Lin Method of identity authentication and fraudulent phone call verification that utilizes an identification code of a communication device and a dynamic password
CN101778381B (zh) 2009-12-31 2012-07-04 卓望数码技术(深圳)有限公司 数字证书生成方法、用户密钥获取方法、移动终端及设备
KR101198120B1 (ko) * 2010-05-28 2012-11-12 남궁종 홍채정보를 이용한 양방향 상호 인증 전자금융거래시스템과 이에 따른 운영방법
US8312519B1 (en) * 2010-09-30 2012-11-13 Daniel V Bailey Agile OTP generation
US8838973B1 (en) * 2011-02-28 2014-09-16 Google Inc. User authentication method
TWI465094B (zh) 2011-04-26 2014-12-11 Telepaq Technology Inc User identification methods and systems for Internet transactions
KR101716221B1 (ko) * 2011-12-27 2017-03-14 인텔 코포레이션 장치-특정 일회용 패스워드를 통한 네트워크 인증
US9292670B2 (en) 2012-02-29 2016-03-22 Infosys Limited Systems and methods for generating and authenticating one time dynamic password based on context information
US9654466B1 (en) * 2012-05-29 2017-05-16 Citigroup Technology, Inc. Methods and systems for electronic transactions using dynamic password authentication
EP2885904B1 (en) * 2012-08-03 2018-04-25 Vasco Data Security International GmbH User-convenient authentication method and apparatus using a mobile authentication application
JP5993285B2 (ja) 2012-11-12 2016-09-14 株式会社三菱東京Ufj銀行 ユーザ認証装置及びユーザ認証プログラム
CN103023876B (zh) * 2012-11-22 2016-05-04 中国科学院声学研究所 一种网络终端及其安全认证、注册激活方法,服务器
GB2510120A (en) 2013-01-24 2014-07-30 Ibm User authentication based on dynamically selected service authentication levels
US9208335B2 (en) * 2013-09-17 2015-12-08 Auburn University Space-time separated and jointly evolving relationship-based network access and data protection system
JP5555799B1 (ja) 2013-10-01 2014-07-23 さくら情報システム株式会社 ワンタイムパスワード装置、方法及びプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140156531A1 (en) * 2010-12-14 2014-06-05 Salt Technology Inc. System and Method for Authenticating Transactions Through a Mobile Device
CN102684878A (zh) * 2012-04-05 2012-09-19 苏州佳世达电通有限公司 一种基于imei和定位技术的认证系统及方法
TW201349824A (zh) * 2012-05-17 2013-12-01 Gamania Digital Entertainment Co Ltd 使用裝置識別碼的身份驗證方法及其系統
CN103888938A (zh) * 2012-12-19 2014-06-25 深圳市华营数字商业有限公司 一种基于参数的动态生成密钥的pki私钥保护方法

Also Published As

Publication number Publication date
US10523664B2 (en) 2019-12-31
US20170012969A1 (en) 2017-01-12
EP3320523B1 (en) 2021-09-01
JP2018528504A (ja) 2018-09-27
EP3320523A1 (en) 2018-05-16
EP3320523A4 (en) 2019-02-27
KR20180011226A (ko) 2018-01-31
TW201706900A (zh) 2017-02-16
CN106341372A (zh) 2017-01-18
KR102039316B1 (ko) 2019-11-01

Similar Documents

Publication Publication Date Title
TWI705349B (zh) 終端的認證處理、認證方法及裝置、系統
US10277577B2 (en) Password-less authentication system and method
CN107979514B (zh) 一种对设备进行绑定的方法和设备
US9779224B2 (en) Methods and systems for client-enhanced challenge-response authentication
WO2017186005A1 (zh) 一种云桌面认证的方法、服务器及终端
CN111783068B (zh) 设备认证方法、系统、电子设备及存储介质
CN106921663B (zh) 基于智能终端软件/智能终端的身份持续认证系统及方法
US11638149B2 (en) Instant secure wireless network setup
EP2993933B1 (en) Wireless terminal configuration method, apparatus and wireless terminal
CN112543166B (zh) 实名登录的方法及装置
CN108809907B (zh) 一种证书请求消息发送方法、接收方法和装置
CN106304264B (zh) 一种无线网络接入方法及装置
CN106464493B (zh) 包含一次性通行码的持久性认证系统
CN104901940A (zh) 一种基于cpk标识认证的802.1x网络接入方法
CN103716334A (zh) 基于802.1x协议的认证方法及系统
CN113411187A (zh) 身份认证方法和系统、存储介质及处理器
CN109858201A (zh) 一种安全软件模式切换授权方法、客户端及服务端
CN105141629A (zh) 一种基于WPA/WPA2 PSK多密码提升公用Wi-Fi网络安全性的方法
WO2014180431A1 (zh) 一种网管安全认证方法、装置、系统及计算机存储介质
JP7185978B2 (ja) 認証情報の設定を仲介するための装置及び方法
CN107204959B (zh) 验证码的验证方法、装置及系统
CN104954125A (zh) 密钥协商方法、用户设备、路由器及位置服务器
CN110717177A (zh) 一种利用移动终端实时安全解锁计算机的方法
EP2506485A1 (en) Method and device for enhancing security of user security model
CN108809927A (zh) 身份认证方法及装置