TWI738708B - 驗證資訊的更新方法及裝置 - Google Patents

驗證資訊的更新方法及裝置 Download PDF

Info

Publication number
TWI738708B
TWI738708B TW106101937A TW106101937A TWI738708B TW I738708 B TWI738708 B TW I738708B TW 106101937 A TW106101937 A TW 106101937A TW 106101937 A TW106101937 A TW 106101937A TW I738708 B TWI738708 B TW I738708B
Authority
TW
Taiwan
Prior art keywords
smart device
verification
random number
session
password
Prior art date
Application number
TW106101937A
Other languages
English (en)
Other versions
TW201828730A (zh
Inventor
安勍
李克鵬
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Priority to TW106101937A priority Critical patent/TWI738708B/zh
Publication of TW201828730A publication Critical patent/TW201828730A/zh
Application granted granted Critical
Publication of TWI738708B publication Critical patent/TWI738708B/zh

Links

Images

Landscapes

  • Telephonic Communication Services (AREA)

Abstract

本發明提供一種驗證資訊的方法及裝置,該方法包括:接收來自終端設備需要與智慧設備進行綁定的第一請求消息,該第一請求消息中攜帶有該智慧設備的通用唯一識別碼UUID;確定該UUID與該終端設備的用戶標識的綁定關係,並產生與該綁定關係對應的會話亂數;根據該會話亂數產生該智慧設備的新的驗證號和新的驗證密碼。在本發明的技術方案可以實現會話過程中的驗證資訊的動態更新,提高驗證資訊在更新過程被監聽的難度。

Description

驗證資訊的更新方法及裝置
本發明關於網路安全技術領域,尤其關於一種驗證資訊的更新方法及裝置。
為了實現向用戶提供智慧家居、移動醫療等物聯網服務,需要收集來自多個智慧設備的資訊,例如,用戶在家中的溫度計、濕度計、電冰箱、電燈等家庭設備資訊,以及血壓、血糖、心率、身高、體重等個人健康資訊。現有技術通過管理平台為每一台智慧設備分配驗證號(Key)與驗證密碼(Secret),根據驗證號與驗證密碼計算得到簽名值,通過簽名值在管理平台對智慧設備的身份進行認證,由於驗證號與驗證密碼均是在智慧設備出廠時預置,並且對同一類的智慧設備分配相同的驗證號與驗證密碼,因此會導智慧設備容易被冒充或攻擊,智慧設備的安全性低。
有鑑於此,本發明提供一種新的技術方案,通過對智 慧設備的驗證資訊進行動態更新,提高驗證資訊在更新過程被監聽的難度。
為實現上述目的,本發明提供技術方案如下:根據本發明的第一方面,提出了一種驗證資訊的更新方法,應用在伺服器上,包括:接收來自終端設備需要與智慧設備進行綁定的第一請求消息,該第一請求消息中攜帶有該智慧設備的通用唯一識別碼UUID;確定該UUID與該終端設備的用戶標識的綁定關係,並產生與該綁定關係對應的會話亂數;根據該會話亂數產生該智慧設備的新的驗證號和新的驗證密碼。
根據本發明的第二方面,提出了一種驗證資訊的更新方法,應用在終端設備上,包括:向伺服器發送需要與智慧設備進行綁定的第一請求消息,該第一請求消息中攜帶有該智慧設備的通用唯一識別碼UUID;接收來自該伺服器根據該第一請求消息產生的會話亂數;將該會話亂數發送給該智慧設備,以供該智慧設備根據該會話亂數產生該智慧設備的新的驗證號和驗證密碼。
根據本發明的第三方面,提出了一種驗證資訊的更新方法,應用在智慧設備上,包括:接收終端設備轉發的來自伺服器的會話亂數; 根據該會話亂數產生該智慧設備的新的驗證號和新的驗證密碼。
根據本發明的第四方面,提出了一種驗證資訊的更新裝置,應用於伺服器上,包括:第一接收模組,用於接收來自終端設備需要與智慧設備進行綁定的第一請求消息,該第一請求消息中攜帶有該智慧設備的UUID;第一確定模組,用於確定該第一接收模組接收到的該UUID與該終端設備的用戶標識的綁定關係,並產生與該綁定關係對應的會話亂數;第一產生模組,用於根據該第一確定模組確定的該會話亂數產生該智慧設備的新的驗證號和新的驗證密碼。
根據本發明的第五方面,提出了一種驗證資訊的更新裝置,應用於終端設備上,包括:第三發送模組,用於向伺服器發送需要與智慧設備進行綁定的第一請求消息,該第一請求消息中攜帶有該智慧設備的通用唯一識別碼UUID;第四接收模組,用於接收來自該伺服器根據該第三發送模組發送的該第一請求消息產生的會話亂數;第四發送模組,用於將該第四接收模組接收到的該會話亂數發送給該智慧設備,以供該智慧設備根據該會話亂數產生該智慧設備的新的驗證號和驗證密碼。
根據本發明的第六方面,提出了一種驗證資訊的更新裝置,應用於智慧設備上,包括: 第七接收模組,用於接收終端設備轉發的來自伺服器的會話亂數;第三產生模組,用於根據該第七接收模組接收到的該會話亂數產生該智慧設備的新的驗證號和新的驗證密碼。
由以上技術方案可見,本發明通過引入終端設備,利用智慧設備的UUID與終端設備的用戶標識的綁定關係產生會話亂數,來實現智慧設備的驗證資訊(本發明中智慧設備的驗證號和驗證密碼)的動態更新,提高了驗證資訊在更新過程中被監聽的難度,使智慧設備和伺服器基於會話中的驗證資訊實現認證和授權,加強了系統的安全性,有效地避免了智慧設備在物聯網中被冒充或攻擊。
1301‧‧‧第一接收模組
1302‧‧‧第一確定模組
1303‧‧‧第一產生模組
1304‧‧‧第一發送模組
1305‧‧‧第二接收模組
1306‧‧‧第一計算模組
1307‧‧‧第二產生模組
1308‧‧‧第三接收模組
1309‧‧‧第一清除模組
13031‧‧‧第一確定單元
13032‧‧‧第一產生單元
13033‧‧‧第二產生單元
1501‧‧‧第三發送模組
1502‧‧‧第四接收模組
1503‧‧‧第四發送模組
1504‧‧‧第五發送模組
1505‧‧‧第五接收模組
1506‧‧‧第六接收模組
1507‧‧‧第二清除模組
15031‧‧‧發送單元
15032‧‧‧顯示單元
1701‧‧‧第七接收模組
1702‧‧‧第三產生模組
1703‧‧‧第六發送模組
1704‧‧‧第八接收模組
1705‧‧‧第四產生模組
1706‧‧‧第七發送模組
17021‧‧‧第二確定單元
17022‧‧‧第三產生單元
17023‧‧‧第四產生單元
圖1A示出了根據本發明的一示例性實施例一的驗證資訊的更新方法的流程示意圖;圖1B示出了根據本發明的一示例性實施例一的場景圖;圖2示出了根據本發明的一示例性實施例二的驗證資訊的更新方法的流程示意圖;圖3示出了根據本發明的一示例性實施例三的驗證資訊的更新方法的流程示意圖;圖4示出了根據本發明的一示例性實施例四的驗證資訊的更新方法的流程示意圖;圖5示出了根據本發明的一示例性實施例五的驗證資 訊的更新方法的流程示意圖;圖6示出了根據本發明的一示例性實施例六的驗證資訊的更新方法的流程示意圖;圖7示出了根據本發明的一示例性實施例七的驗證資訊的更新方法的流程示意圖;圖8示出了根據本發明的一示例性實施例八的驗證資訊的更新方法的流程示意圖;圖9示出了根據本發明的一示例性實施例的驗證資訊的更新方法的信令圖;圖10示出了根據本發明的一示例性實施例的伺服器的結構示意圖;圖11示出了根據本發明的一示例性實施例的終端設備的結構示意圖;圖12示出了根據本發明的一示例性實施例的智慧設備的結構示意圖;圖13示出了根據本發明的一示例性實施例一的驗證資訊的更新裝置的結構示意圖;圖14示出了根據本發明的一示例性實施例二的驗證資訊的更新裝置的結構示意圖;圖15示出了根據本發明的一示例性實施例三的驗證資訊的更新裝置的結構示意圖;圖16示出了根據本發明的一示例性實施例四的驗證資訊的更新裝置的結構示意圖;圖17示出了根據本發明的一示例性實施例五的驗證 資訊的更新裝置的結構示意圖;圖18示出了根據本發明的一示例性實施例六的驗證資訊的更新裝置的結構示意圖。
這裡將詳細地對示例性實施例進行說明,其示例表示在圖式中。下面的描述涉及圖式時,除非另有表示,不同圖式中的相同數字表示相同或相似的要素。以下示例性實施例中所描述的實施方式並不代表與本發明相一致的所有實施方式。相反,它們僅是與如所附申請專利範圍中所詳述的、本發明的一些方面相一致的裝置和方法的例子。
在本發明使用的術語是僅僅出於描述特定實施例的目的,而非旨在限制本發明。在本發明和所附申請專利範圍中所使用的單數形式的“一種”、“所述”和“該”也旨在包括多數形式,除非上下文清楚地表示其他含義。還應當理解,本文中使用的術語“和/或”是指並包含一個或多個相關聯的列出專案的任何或所有可能組合。
應當理解,儘管在本發明可能採用術語第一、第二、第三等來描述各種資訊,但這些資訊不應限於這些術語。這些術語僅用來將同一類型的資訊彼此區分開。例如,在不脫離本發明範圍的情況下,第一資訊也可以被稱為第二資訊,類似地,第二資訊也可以被稱為第一資訊。取決於語境,如在此所使用的詞語“如果”可以被解釋成為“在......時”或“當......時”或“回應於確定”。
本發明通過引入終端設備,利用智慧設備的UUID與終端設備的用戶標識的綁定關係產生會話亂數,來實現智慧設備的驗證資訊(本發明中智慧設備的驗證號和驗證密碼)的動態更新,提高了驗證資訊在更新過程中被監聽的難度,使智慧設備和伺服器基於會話中的驗證資訊實現認證和授權,加強了系統的安全性,有效地避免了智慧設備在物聯網中被冒充或攻擊。
為對本發明進行進一步說明,提供下列實施例:圖1A示出了根據本發明的一示例性實施例一的驗證資訊更新方法的流程示意圖,圖1B示出了根據本發明的一示例性實施例一的場景圖;本實施例應用在伺服器上,如圖1A所示,包括如下步驟:步驟101,接收來自終端設備需要與智慧設備進行綁定的第一請求消息,第一請求消息中攜帶有智慧設備的UUID;步驟102,確定UUID與終端設備的用戶標識的綁定關係,並產生與綁定關係對應的會話亂數;步驟103,根據會話亂數產生智慧設備的新的驗證號和新的驗證密碼。
在步驟101中,在一實施例中,終端設備可以為智慧手機、平板電腦等可以安裝應用程式(app)或者軟體的設備,智慧設備可以為智慧電冰箱、智慧電視、智慧體溫計等具有通信功能的設備。在一實施例中,第一請求消息可以由用戶通過終端設備上安裝的應用程式的用戶介面上 的按鍵觸發產生,智慧設備的通用唯一識別碼(Universally Unique Identifier,簡稱為UUID)。
在步驟102中,可以在智慧設備在伺服器上註冊時產生智慧設備的UUID,並記錄該台智慧設備與用戶標識的綁定關係,由此可以確定出只有具有綁定關係的用戶標識具有管理智慧設備的許可權。在一實施例中,可以通過偽隨機演算法產生會話亂數(session_random)。
在步驟103中,在一實施例中,伺服器可以根據會話亂數計算新的驗證號和新的驗證密碼,例如,session_key=key+session_random;session_Secret=Hash(secret+session_random);其中,session_random為會話亂數,session_key為新的驗證號,session_Secret為新的驗證密碼,key為智慧設備的初始驗證號,secret為初始驗證密碼。
如圖1B所示,以智慧設備為智慧冰箱11、終端設備為智慧手機12為例進行示例性說明,伺服器13通過從智慧冰箱11獲取設備資料,並通過智慧手機12上的應用程式提供智慧冰箱11的查詢和控制等服務。當伺服器13需要對智慧冰箱11進行認證時,伺服器13會為智慧冰箱11一個初始驗證號和一個初始驗證密碼。當智慧冰箱11需要在伺服器13上註冊時,通過上述步驟101-步驟103產生新的驗證號和新的驗證密碼,智慧冰箱11和伺服器13在之後的認證流程中,通過新的驗證號和新的驗證密碼對智慧冰箱11進行身份認證,從而避免智慧冰箱11被 非法設備冒充或攻擊。
由上述描述可知,本發明實施例通過引入終端設備,利用智慧設備的UUID與終端設備的用戶標識的綁定關係產生會話亂數,來實現智慧設備的驗證資訊(本發明中智慧設備的驗證號和驗證密碼)的動態更新,提高了驗證資訊在更新過程中被監聽的難度,使智慧設備和伺服器基於會話中的驗證資訊實現認證和授權,加強了系統的安全性,有效地避免了智慧設備在物聯網中被冒充或攻擊;此外,在惡意用戶獲取到智慧設備的UUID後由於UUID已經與合法的用戶標識進行了綁定,因此惡意用戶無法對該智慧設備進行綁定。
圖2示出了根據本發明的一示例性實施例二的驗證資訊的更新方法的流程示意圖;本實施例以如何在伺服器側產生會話亂數為例進行示例性說明,如圖2所示,包括如下步驟:步驟201,接收來自終端設備需要與智慧設備進行綁定的第一請求消息,第一請求消息中攜帶有智慧設備的UUID;步驟202,確定UUID與終端設備的用戶標識的綁定關係,並產生與綁定關係對應的會話亂數;步驟203,確定智慧設備的初始驗證號和初始驗證密碼;步驟204,根據初始驗證號和會話亂數產生智慧設備的新的驗證號; 步驟205,根據初始驗證密碼和會話亂數產生智慧設備的新的驗證密碼;步驟206,向終端設備返回會話亂數,以供終端設備將會話亂數轉發給智慧設備後,智慧設備根據會話亂數產生智慧設備的新的驗證號和驗證密碼。
步驟201-步驟202可以參見上述步驟101-步驟102的相關描述,在此不再詳述。
在步驟203中,在一實施例中,可以在智慧設備出廠投入使用前,伺服器為每一種型號的智慧設備預先分配初始驗證號和初始驗證密碼(Key/Secret對),可以通過硬體寫入等方式分配為智慧設備,從而可以降低伺服器的運維複雜度。
在步驟204和步驟205中產生新的驗證號和新的驗證密碼的描述可以參見上述圖1A所示實施例的相關描述,在此不再詳述。
在步驟206中,在一實施例中,智慧設備可以根據會話亂數採用與上述步驟204和步驟205相同的產生方法在智慧設備側產生新的驗證號和新的驗證密碼,從而可以確保智慧設備與伺服器各自產生的新的驗證號和新的驗證密碼能夠相同,方便伺服器通過新的驗證號和新的驗證密碼對智慧設備進行驗證。
本實施例中,通過終端設備將會話亂數轉發給智慧設備,可以確保伺服器與智慧設備雙方產生的新的驗證號和新的驗證密碼相同,方便伺服器通過新的驗證號和新的驗 證密碼對智慧設備進行驗證,由於避免了在網路中傳輸新的驗證號和新的驗證密碼,降低了新的驗證號和新的驗證密碼在網路上被洩露的風險。
圖3示出了根據本發明的一示例性實施例三的驗證資訊的更新方法的流程示意圖;本實施例以智慧設備在伺服器獲取UUID為例進行示例性說明,如圖3所示,包括如下步驟:步驟301,接收來自智慧設備需要在伺服器上註冊的第二請求消息,第二請求消息中攜帶有智慧設備的身份資訊和智慧設備的第一簽名值;步驟302,根據身份資訊對應的初始驗證號和初始驗證密碼計算智慧設備的第二簽名值;步驟303,如果第二簽名值與第一簽名值相同,為智慧設備產生UUID;步驟304,將UUID返回給智慧設備。
在步驟301中,在一實施例中,智慧設備的身份資訊可以包括但不限於智慧設備的MAC、智慧設備的型號、智慧設備的晶片身份標識(ID)、智慧設備的初始驗證碼。在一實施例中,第一簽名值可以由智慧設備根據智慧設備的初始驗證號和初始驗證密碼進行排序並組成字串後,利用雜湊演算法計算得到,其中,初始驗證號和初始驗證密碼的相關描述可以參見上述圖2所示實施例,在此不再詳述。
在步驟302中,在一實施例中,第二簽名值同樣可以 由伺服器根據智慧設備的初始驗證號和初始驗證密碼進行排序並組成字串後,利用雜湊演算法計算得到。
在步驟303中,可以通過散列演算法產生智慧設備的UUID,本領域技術人員可以理解的是,本發明對UUID的產生方法不做限定,只要能夠確保智慧設備的UUID具有唯一性即可。
在步驟304中,通過將UUID返回給智慧設備,可以使智慧設備與終端設備在後續的交互中通過UUID來識別智慧設備,避免智慧設備被非法設備仿冒。
本實施例中,在第二簽名值與第一簽名值相同的情形下,為智慧設備產生具有唯一標識的UUID,從而可以使伺服器將UUID與終端設備的用戶標識進行綁定並建立二者的綁定關係,從而可以在伺服器上上以及惡意用戶獲取到智慧設備的UUID後也無法對該智慧設備進行綁定,防止非法用戶控制智慧設備並防範惡意設備對智慧設備的註冊攻擊,提高了系統的安全性。
圖4示出了根據本發明的一示例性實施例四的驗證資訊的更新方法的流程示意圖;本實施例以智慧設備被重置之後如何在伺服器清楚智慧設備的新的驗證號和新的驗證密碼步驟401,接收來自智慧設備進行重置的通知消息;步驟402,根據通知消息清除智慧設備的新的驗證號和新的驗證密碼。
在步驟401中,在一實施例中,可以通過物理按鍵對智慧設備進行重置後產生的通知消息。
在步驟402中,在一實施例中,可以將智慧設備的相關資訊均進行清除。
本實施例中,在智慧設備被重置後,通過對智慧設備的新的驗證號和新的驗證密碼清除,可以有效釋放伺服器的儲存空間,並避免新的驗證號和新的驗證密碼被其它智慧設備的非法利用。
圖5示出了根據本發明的一示例性實施例五的驗證資訊的更新方法的流程示意圖;本實施例可以應用在終端設備上,終端設備可以為智慧手機、平板電腦等可以安裝應用程式(app)或者軟體的設備,如圖5所示,包括如下步驟:步驟501,向伺服器發送需要與智慧設備進行綁定的第一請求消息,第一請求消息中攜帶有智慧設備的通用唯一識別碼;步驟502,接收來自伺服器根據第一請求消息產生的會話亂數;步驟503,將會話亂數發送給智慧設備,以供智慧設備根據會話亂數產生智慧設備的新的驗證號和驗證密碼。
步驟501中的智慧設備和第一請求消息的相關描述可以參見上述圖1A所示實施例,在此不再詳述。
步驟502中的會話亂數的產生方法可以參見上述圖1A所示實施例,在此不再詳述。
在步驟503中,通過智慧應用與智慧設備建立的點到 點的通信鏈路將會話亂數發送給智慧設備;或者,將會話亂數顯示在終端設備的用戶介面上,以供智慧設備的用戶輸入模組輸入獲取用戶輸入的會話亂數。
由上述描述可知,本發明實施例通過終端設備獲取伺服器產生的與UUID與終端設備的用戶標識的綁定關係對應的會話亂數,將會話亂數發送給智慧設備,以供智慧設備根據會話亂數產生智慧設備的新的驗證號和驗證密碼,實現通過第三方的方式動態更新驗證資訊(本發明中智慧設備的驗證號和驗證密碼),提高了驗證資訊在更新過程中被監聽的難度,使智慧設備和伺服器基於會話中的驗證資訊實現認證和授權,加強了系統的安全性,有效地避免了智慧設備在物聯網中被冒充或攻擊。
圖6示出了根據本發明的一示例性實施例六的驗證資訊的更新方法的流程示意圖;本實施例以如何在伺服器側產生智慧設備的UUID以及如何重置智慧設備的UUID和會話亂數為例進行示例性說明,如圖6所示,包括如下步驟:
步驟601,向智慧設備發送與智慧設備建立連接的第三請求消息,第三請求消息中攜帶有用戶帳號;
步驟602,在智慧設備對用戶帳號進行鑑定後,接收來自智慧設備根據第三請求消息返回的智慧設備的UUID。
步驟603,接收來自智慧設備進行重置的通知消息;
步驟604,根據通知消息清除智慧設備的UUID和會話亂數。
在步驟601中,當用戶需要控制智慧設備時,可以通過用戶帳號和用戶密碼登錄到終端設備上用於控制智慧設備的應用程式,通過應用程式向智慧設備發送與智慧設備建立連接的第三請求消息。
在步驟602中,智慧設備可以對用戶帳號進行鑑定,以確定該用戶帳號是否為合法用戶,如果是合法用戶,接收智慧設備的UUID獲取智慧設備的UUID,如果為非法用戶,則智慧設備拒絕向終端設備返回UUID。
在步驟603和步驟604中,可以通過物理按鍵對智慧設備進行重置後產生的通知消息,可以將智慧設備的相關資訊均進行清除。
本實施例中,通過從智慧設備獲取智慧設備的UUID,從而可以在第一請求消息中攜帶該UUID,進而使伺服器產生與UUID和終端設備的用戶標識的綁定關係對應的會話亂數,將會話亂數發送給智慧設備,防止非法用戶控制智慧設備並防範惡意設備對智慧設備的註冊攻擊,提高了系統的安全性;在智慧設備被重置後,通過對智慧設備的新的驗證號和新的驗證密碼清除,可以有效釋放伺服器的儲存空間,並避免新的驗證號和新的驗證密碼被其它智慧設備的非法利用。
圖7示出了根據本發明的一示例性實施例七的驗證資訊的更新方法的流程示意圖;本實施例可以應用在智慧設備上,智慧設備可以為智慧電冰箱、智慧電視、智慧體溫 計等具有通信功能的設備,如圖7所示,包括如下步驟:步驟701,接收終端設備轉發的來自伺服器的會話亂數;步驟702,根據會話亂數產生智慧設備的新的驗證號和新的驗證密碼。
在一實施例中,會話亂數的產生方法以及根據會話亂數產生智慧設備的新的驗證號和新的驗證密碼均可以參見上述圖1A所示實施例,在此不再詳述。
由上述描述可知,本發明實施例通過接收終端設備轉發的來自伺服器的會話亂數,根據會話亂數產生智慧設備的新的驗證號和新的驗證密碼,來實現智慧設備的驗證資訊(本發明中智慧設備的驗證號和驗證密碼)的動態更新,提高了驗證資訊在更新過程中被監聽的難度。
圖8示出了根據本發明的一示例性實施例八的驗證資訊的更新方法的流程示意圖;本實施例以如何在智慧設備側產生會話亂數為例進行示例性說明,如圖8所示,包括如下步驟:步驟801,確定智慧設備的初始驗證號和初始驗證密碼;步驟802,根據初始驗證號和會話亂數產生智慧設備的新的驗證號;步驟803,根據初始驗證密碼和會話亂數產生智慧設備的新的驗證密碼;步驟804,在檢測到用於重置的按鍵被觸發後,產生通知消息;步驟805,將通知消息發送終端設備和伺服器,以供伺服器根據通知消息清除智慧設備的新的驗證號和新的驗證密碼,以及終端設備根據通知消息清除智慧設備的UUID和會話亂數。
步驟801-步驟803的描述請參見上述圖2所示實施例的相關描述,在此不再詳述。步驟804-步驟805的描述請參見上述圖4所示實施例的相關描述,在此不再詳述。
本實施例中,通過終端設備將會話亂數轉發給智慧設備,可以確保伺服器與智慧設備雙方產生的新的驗證號和新的驗證密碼相同,方便伺服器通過新的驗證號和新的驗證密碼對智慧設備進行驗證,由於避免了在網路中傳輸新的驗證號和新的驗證密碼,降低了新的驗證號和新的驗證密碼在網路上被洩露的風險;在智慧設備被重置後,通過對智慧設備的新的驗證號和新的驗證密碼清除,可以有效釋放伺服器的儲存空間,並避免新的驗證號和新的驗證密碼被其它智慧設備的非法利用。
圖9示出了根據本發明的一示例性實施例的驗證資訊的更新方法的信令圖;其中,在智慧設備出廠投入使用前,伺服器需要針對每一種型號的智慧設備預先分配初始驗證號和初始驗證密碼(又可稱為初始Key/Secret對),可以通過硬體寫入的方式分配給每一台智慧設備。如圖9所示,包括如下步驟:
步驟901,智慧設備使用初始Key/Secret對,向伺服 器發送第二請求消息,以進行設備註冊。其中,在第二請求消息中可以攜帶智慧設備的MAC、智慧設備的型號、智慧設備的晶片身份標識(ID)、智慧設備的初始驗證碼。第一簽名值可以是是將智慧設備的初始驗證號與初始驗證密碼進行字典排序組成字串後,利用雜湊演算法(雜湊演算法例如為MD5)計算得出。
步驟902,伺服器接收到第二請求消息後,利用初始Key/Secret對計算得到第二簽名值,若第二簽名值與收到的第一簽名值相同,則驗證成功,同時為該智慧設備產生一個唯一的UUID。
步驟903,伺服器將產生的UUID返回給智慧設備。
步驟904,智慧設備在收到UUID後,將該UUID保存在智慧設備的本地。
步驟905,終端設備建立與智慧設備的通信連接。其中,可以通過用戶帳號和用戶密碼的方式登錄到終端設備的應用程式,通過應用程式向智慧設備發送建立通信連接的請求,以連接至智慧設備,獲取智慧設備的UUID。
步驟906,智慧設備將UUID返回給終端設備。
步驟907,終端設備向伺服器發送第一請求消息,以請求與智慧設備進行綁定。其中,第一請求消息中攜帶待綁定的智慧設備的UUID。
步驟908,伺服器記錄用戶與智慧設備的綁定關係,產生會話亂數(session_random)。
步驟909,伺服器向終端設備返回會話亂數。
步驟910,終端設備將該會話亂數轉發給智慧設備。其中,轉發的方法可以包括但不限於:一、終端設備通過與智慧設備建立點到點的通信鏈路,直接將會話亂數發送給智慧設備;二、在智慧設備具有用戶輸入模組的情形下,終端設備將接收到的會話亂數在應用程式的用戶介面上顯示給用戶,用戶通過智慧設備上的用戶輸入模組,向智慧設備輸入會話亂數。
步驟911,智慧設備與伺服器採用相同的計算方法分別根據會話亂數計算新的驗證號和新的驗證密碼。
之後,智慧設備使用驗證號和新的驗證密碼進行身份認證,直到智慧設備重置。重置之後,智慧設備和伺服器都會清除新的驗證號和新的驗證密碼。
由此,可以在伺服器上實現對惡意設備註冊攻擊的防範,惡意用戶獲取到智慧設備的UUID後也無法對此台智慧設備進行綁定,提高了系統的安全性。
對應於上述的驗證資訊的更新方法,本發明還提出了圖10所示的根據本發明的一示例性實施例的伺服器的示意結構圖。請參考圖10,在硬體層面,該何服器包括處理器、內部匯流排、網路介面、記憶體以及非揮發性記憶體,當然還可能包括其他業務所需要的硬體。處理器從非揮發性記憶體中讀取對應的電腦程式到記憶體中然後運行,在邏輯層面上形成驗證資訊的更新裝置。當然,除了軟體實現方式之外,本發明並不排除其他實現方式,比如邏輯器件抑或軟硬體結合的方式等等,也就是說以下處理 流程的執行主體並不限定於各個邏輯單元,也可以是硬體或邏輯器件。
對應於上述的驗證資訊的更新方法,本發明還提出了圖11所示的根據本發明的一示例性實施例的終端設備的示意結構圖。請參考圖11,在硬體層面,該終端設備包括處理器、內部匯流排、網路介面、記憶體以及非揮發性記憶體,當然還可能包括其他業務所需要的硬體。處理器從非揮發性記憶體中讀取對應的電腦程式到記憶體中然後運行,在邏輯層面上形成驗證資訊的更新裝置。當然,除了軟體實現方式之外,本發明並不排除其他實現方式,比如邏輯器件抑或軟硬體結合的方式等等,也就是說以下處理流程的執行主體並不限定於各個邏輯單元,也可以是硬體或邏輯器件。
對應於上述的驗證資訊的更新方法,本發明還提出了圖12所示的根據本發明的一示例性實施例的智慧設備的示意結構圖。請參考圖12,在硬體層面,該智慧設備包括處理器、內部匯流排、網路介面、記憶體以及非揮發性記憶體,當然還可能包括其他業務所需要的硬體。處理器從非揮發性記憶體中讀取對應的電腦程式到記憶體中然後運行,在邏輯層面上形成驗證資訊的更新裝置。當然,除了軟體實現方式之外,本發明並不排除其他實現方式,比如邏輯器件抑或軟硬體結合的方式等等,也就是說以下處理流程的執行主體並不限定於各個邏輯單元,也可以是硬體或邏輯器件。
圖13示出了根據本發明的一示例性實施例一的驗證資訊的更新裝置的結構示意圖;可應用於伺服器上,如圖13所示,該驗證資訊的更新裝置可以包括:第一接收模組1301、第一確定模組1302、第一產生模組1303。其中:第一接收模組1301,用於接收來自終端設備需要與智慧設備進行綁定的第一請求消息,第一請求消息中攜帶有智慧設備的UUID;第一確定模組1302,用於確定第一接收模組1301接收到的UUID與終端設備的用戶標識的綁定關係,並產生與綁定關係對應的會話亂數;第一產生模組1303,用於根據第一確定模組1302確定的會話亂數產生智慧設備的新的驗證號和新的驗證密碼。
圖14示出了根據本發明的一示例性實施例二的驗證資訊的更新裝置的結構示意圖;如圖14所示,在上述圖13所示實施例的基礎上,驗證資訊的更新裝置還可包括:第一發送模組1304,用於向終端設備返回第一確定模組1302確定的會話亂數,以供終端設備將會話亂數轉發給智慧設備後,智慧設備根據會話亂數產生智慧設備的新的驗證號和驗證密碼。
在一實施例中,第一產生模組1303可包括:第一確定單元13031,用於確定智慧設備的的初始驗 證號和初始驗證密碼;第一產生單元13032,用於根據第一確定單元13031確定的初始驗證號和會話亂數產生智慧設備的新的驗證號;第二產生單元13033,用於根據第一確定單元13031確定的初始驗證密碼和會話亂數產生智慧設備的新的驗證密碼。
在一實施例中,裝置還包括:第二接收模組1305,用於接收來自智慧設備需要在伺服器上註冊的第二請求消息,第二請求消息中攜帶有智慧設備的身份資訊和智慧設備的第一簽名值;第一計算模組1306,用於根據第二接收模組1305接收到的第二請求消息中攜帶的身份資訊對應的初始驗證號和初始驗證密碼計算智慧設備的第二簽名值;第二產生模組1307,用於如果第一計算模組1306計算得到的第二簽名值與若第一簽名值相同,為智慧設備產生UUID;第二發送模組,用於將第二產生模組產生的UUID返回給智慧設備。
在一實施例中,第一簽名值可以由智慧設備根據智慧設備的初始驗證號和初始驗證密碼進行排序並組成字串後,利用雜湊演算法計算得到的。
在一實施例中,裝置還可包括:第三接收模組1308,用於接收來自智慧設備進行重 置的通知消息;第一清除模組1309,用於根據第三接收模組1308接收到的通知消息清除智慧設備的新的驗證號和新的驗證密碼。
圖15示出了根據本發明的一示例性實施例三的驗證資訊的更新裝置的結構示意圖;可應用於終端設備上,如圖15所示,該驗證資訊的更新裝置可以包括:第三發送模組1501、第四接收模組1502、第四發送模組1503。其中:第三發送模組1501,用於向伺服器發送需要與智慧設備進行綁定的第一請求消息,第一請求消息中攜帶有智慧設備的通用唯一識別碼UUID;第四接收模組1502,用於接收來自伺服器根據第三發送模組1501發送的第一請求消息產生的會話亂數;第四發送模組1503,用於將第四接收模組1502接收到的會話亂數發送給智慧設備,以供智慧設備根據會話亂數產生智慧設備的新的驗證號和驗證密碼。
圖16示出了根據本發明的一示例性實施例四的驗證資訊的更新裝置的結構示意圖;如圖16所示,在上述圖15所示實施例的基礎上,驗證資訊的更新裝置還包括:第五發送模組1504,用於向智慧設備發送與智慧設備建立連接的第三請求消息,第三請求消息中攜帶有用戶帳號;第五接收模組1505,用於在智慧設備對第五發送模 組1504發送的第三請求消息中攜帶的用戶帳號進行鑑定後,接收來自智慧設備根據第三請求消息返回的智慧設備的UUID。
在一實施例中,第四發送模組1503可包括:發送單元15031,用於通過智慧應用與智慧設備建立的點到點的通信鏈路將會話亂數發送給智慧設備;或者,顯示單元15032,用於將會話亂數顯示在終端設備的用戶介面上,以供智慧設備的用戶輸入模組輸入獲取用戶輸入的會話亂數。
在一實施例中,驗證資訊的更新裝置還可包括:第六接收模組1506,用於接收來自智慧設備進行重置的通知消息;第二清除模組1507,用於根據第六接收模組1506接收到的通知消息清除智慧設備的UUID和會話亂數。
圖17示出了根據本發明的一示例性實施例五的驗證資訊的更新裝置的結構示意圖;可應用於智慧設備上,如圖17所示,該驗證資訊的更新裝置可以包括:第七接收模組1701、第三產生模組1702。其中:第七接收模組1701,用於接收終端設備轉發的來自伺服器的會話亂數;第三產生模組1702,用於根據第七接收模組1701接收到的會話亂數產生智慧設備的新的驗證號和新的驗證密碼。
圖18示出了根據本發明的一示例性實施例六的驗證資訊的更新裝置的結構示意圖;如圖18所示,在上述圖17所示實施例的基礎上,驗證資訊的更新裝置還可包括:第六發送模組1703,用於向伺服器發送需要在伺服器上註冊的第二請求消息,第二請求消息中攜帶有智慧設備的身份資訊和智慧設備的第一簽名值;第八接收模組1704,用於接收伺服器根據第二請求消息產生的智慧設備的UUID。
在一實施例中,第三產生模組1702可包括:第二確定單元17021,用於確定智慧設備的的初始驗證號和初始驗證密碼;第三產生單元17022,用於根據第二確定單元17021確定的初始驗證號和會話亂數產生智慧設備的新的驗證號;第四產生單元17023,用於根據第三產生單元17022確定的初始驗證密碼和會話亂數產生智慧設備的新的驗證密碼。
在一實施例中,驗證資訊的更新裝置還可包括:第四產生模組1705,用於在檢測到用於重置的按鍵被觸發後,產生通知消息;第七發送模組1706,用於將第四產生模組1705產生的通知消息發送終端設備和伺服器,以供伺服器根據通知消息清除智慧設備的新的驗證號和新的驗證密碼,以及終端設備根據通知消息清除智慧設備的UUID和會話亂數。
上述實施例可見,本發明通過引入終端設備,利用智慧設備與伺服器之間的交互機制,來實現動態更新和管理智慧設備的驗證號和驗證密碼,從而可以確保伺服器在後續通過更新後的驗證號和驗證密碼(本發明中的新的驗證號和新的驗證密碼)對智慧設備進行認證和授權,提高了驗證號和驗證密碼在更新過程中被監聽的難度,同時還可以有效避免智慧設備被物聯網中的其它智慧設備冒充或攻擊,進一步加強了系統的安全性。
本領域技術人員在考慮說明書及實踐這裡公開的發明後,將容易想到本發明的其它實施方案。本發明旨在涵蓋本發明的任何變型、用途或者適應性變化,這些變型、用途或者適應性變化遵循本發明的一般性原理並包括本發明未公開的本技術領域中的公知常識或慣用技術手段。說明書和實施例僅被視為示例性的,本發明的真正範圍和精神由下面的申請專利範圍指出。
還需要說明的是,術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、商品或者設備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、商品或者設備所固有的要素。在沒有更多限制的情況下,由語句“包括一個......”限定的要素,並不排除在包括該要素的過程、方法、商品或者設備中還存在另外的相同要素。
以上所述僅為本發明的較佳實施例而已,並不用以限制本發明,凡在本發明的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本發明保護的範圍之內。

Claims (14)

  1. 一種驗證資訊的更新方法,應用在伺服器上,其特徵在於,該方法包括:接收來自單一終端設備需要與單一智慧設備進行綁定的第一請求消息,該第一請求消息中攜帶有該智慧設備的通用唯一識別碼UUID;確定該UUID與該終端設備的用戶標識的綁定關係,並產生與該綁定關係對應的會話亂數;根據該會話亂數產生該智慧設備的新的驗證號和新的驗證密碼,其中,該根據該會話亂數產生該智慧設備的新的驗證號和新的驗證密碼,包括:確定該智慧設備的的初始驗證號和該初始驗證密碼;根據該初始驗證號和該會話亂數產生該智慧設備的新的驗證號;根據該初始驗證密碼和該會話亂數產生該智慧設備的新的驗證密碼。
  2. 根據申請專利範圍第1項所述的方法,其中,該方法還包括:向該終端設備返回該會話亂數,以供該終端設備將該會話亂數轉發給該智慧設備後,該智慧設備根據該會話亂數產生該智慧設備的新的驗證號和驗證密碼。
  3. 根據申請專利範圍第1項所述的方法,其中,該方 法還包括:接收來自該智慧設備需要在該伺服器上註冊的第二請求消息,該第二請求消息中攜帶有該智慧設備的身份資訊和該智慧設備的第一簽名值;根據該身份資訊對應的初始驗證號和初始驗證密碼計算該智慧設備的第二簽名值;如果該第二簽名值與該第一簽名值相同,為該智慧設備產生該UUID;將該UUID返回給該智慧設備。
  4. 根據申請專利範圍第3項所述的方法,其中,該第一簽名值由該智慧設備根據該智慧設備的該初始驗證號和該初始驗證密碼進行排序並組成字串後,利用雜湊演算法計算得到的。
  5. 根據申請專利範圍第1-4項任一項所述的方法,其中,該方法還包括:接收來自該智慧設備進行重置的通知消息;根據該通知消息清除該智慧設備的該新的驗證號和該新的驗證密碼。
  6. 一種驗證資訊的更新方法,應用在智慧設備上,其特徵在於,該方法包括:接收終端設備轉發的來自伺服器的會話亂數;根據該會話亂數產生該智慧設備的新的驗證號和新的驗證密碼;在檢測到用於重置的按鍵被觸發後,產生通知消息; 將該通知消息發送該終端設備和該伺服器,以供該伺服器根據該通知消息清除該智慧設備的該新的驗證號和該新的驗證密碼,以及該終端設備根據該通知消息清除該智慧設備的UUID和該會話亂數,其中,該根據該會話亂數產生該智慧設備的新的驗證號和新的驗證密碼,包括:確定該智慧設備的的初始驗證號和該初始驗證密碼;根據該初始驗證號和該會話亂數產生該智慧設備的新的驗證號;根據該初始驗證密碼和該會話亂數產生該智慧設備的新的驗證密碼。
  7. 根據申請專利範圍第6項所述的方法,其中,該方法還包括:向該伺服器發送需要在該伺服器上註冊的第二請求消息,該第二請求消息中攜帶有該智慧設備的身份資訊和該智慧設備的第一簽名值;接收該伺服器根據該第二請求消息產生的該智慧設備的UUID。
  8. 一種驗證資訊的更新裝置,應用在伺服器上,其特徵在於,該裝置包括:第一接收模組,用於接收來自單一終端設備需要與單一智慧設備進行綁定的第一請求消息,該第一請求消息中攜帶有該智慧設備的UUID; 第一確定模組,用於確定該第一接收模組接收到的該UUID與該終端設備的用戶標識的綁定關係,並產生與該綁定關係對應的會話亂數;第一產生模組,用於根據該第一確定模組確定的該會話亂數產生該智慧設備的新的驗證號和新的驗證密碼,其中,該第一產生模組包括:第一確定單元,用於確定該智慧設備的的初始驗證號和該初始驗證密碼;第一產生單元,用於根據該第一確定單元確定的該初始驗證號和該會話亂數產生該智慧設備的新的驗證號;第二產生單元,用於根據該第一確定單元確定的該初始驗證密碼和該會話亂數產生該智慧設備的新的驗證密碼。
  9. 根據申請專利範圍第8項所述的裝置,其中,該裝置還包括:第一發送模組,用於向該終端設備返回該第一確定模組確定的該會話亂數,以供該終端設備將該會話亂數轉發給該智慧設備後,該智慧設備根據該會話亂數產生該智慧設備的新的驗證號和驗證密碼。
  10. 根據申請專利範圍第8項所述的裝置,其中,該裝置還包括:第二接收模組,用於接收來自該智慧設備需要在該伺服器上註冊的第二請求消息,該第二請求消息中攜帶有該 智慧設備的身份資訊和該智慧設備的第一簽名值;第一計算模組,用於根據該第二接收模組接收到的該第二請求消息中攜帶的該身份資訊對應的初始驗證號和初始驗證密碼計算該智慧設備的第二簽名值;第二產生模組,用於如果該第一計算模組計算得到的該第二簽名值與若該第一簽名值相同,為該智慧設備產生該UUID;第二發送模組,用於將該第二產生模組產生的該UUID返回給該智慧設備。
  11. 根據申請專利範圍第10項所述的裝置,其中,該第一簽名值由該智慧設備根據該智慧設備的該初始驗證號和該初始驗證密碼進行排序並組成字串後,利用雜湊演算法計算得到的。
  12. 根據申請專利範圍第8-11項任一項所述的裝置,其中,該裝置還包括:第三接收模組,用於接收來自該智慧設備進行重置的通知消息;第一清除模組,用於根據該第三接收模組接收到的該通知消息清除該智慧設備的該新的驗證號和該新的驗證密碼。
  13. 一種驗證資訊的更新裝置,應用在智慧設備上,其特徵在於,該裝置包括:第七接收模組,用於接收終端設備轉發的來自伺服器的會話亂數; 第三產生模組,用於根據該第七接收模組接收到的該會話亂數產生該智慧設備的新的驗證號和新的驗證密碼;第四產生模組,用於在檢測到用於重置的按鍵被觸發後,產生通知消息;第七發送模組,用於將該第四產生模組產生的該通知消息發送該終端設備和該伺服器,以供該伺服器根據該通知消息清除該智慧設備的該新的驗證號和該新的驗證密碼,以及該終端設備根據該通知消息清除該智慧設備的UUID和該會話亂數,其中,該第三產生模組包括:第二確定單元,用於確定該智慧設備的的初始驗證號和該初始驗證密碼;第三產生單元,用於根據該第二確定單元確定的該初始驗證號和該會話亂數產生該智慧設備的新的驗證號;第四產生單元,用於根據該第二確定單元確定的該初始驗證密碼和該會話亂數產生該智慧設備的新的驗證密碼。
  14. 根據申請專利範圍第13項所述的裝置,其中,該裝置還包括:第六發送模組,用於向該伺服器發送需要在該伺服器上註冊的第二請求消息,該第二請求消息中攜帶有該智慧設備的身份資訊和該智慧設備的第一簽名值;第八接收模組,用於接收該伺服器根據該第二請求消 息產生的該智慧設備的UUID。
TW106101937A 2017-01-19 2017-01-19 驗證資訊的更新方法及裝置 TWI738708B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW106101937A TWI738708B (zh) 2017-01-19 2017-01-19 驗證資訊的更新方法及裝置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW106101937A TWI738708B (zh) 2017-01-19 2017-01-19 驗證資訊的更新方法及裝置

Publications (2)

Publication Number Publication Date
TW201828730A TW201828730A (zh) 2018-08-01
TWI738708B true TWI738708B (zh) 2021-09-11

Family

ID=63960241

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106101937A TWI738708B (zh) 2017-01-19 2017-01-19 驗證資訊的更新方法及裝置

Country Status (1)

Country Link
TW (1) TWI738708B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230007006A1 (en) * 2020-03-27 2023-01-05 Motorola Solutions, Inc. Method and apparatus for preventing access to an iot device

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080034216A1 (en) * 2006-08-03 2008-02-07 Eric Chun Wah Law Mutual authentication and secure channel establishment between two parties using consecutive one-time passwords
US20120278871A1 (en) * 2011-04-26 2012-11-01 Fonestock Technology Inc. User identification method applicable to network transaction and system thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080034216A1 (en) * 2006-08-03 2008-02-07 Eric Chun Wah Law Mutual authentication and secure channel establishment between two parties using consecutive one-time passwords
US20120278871A1 (en) * 2011-04-26 2012-11-01 Fonestock Technology Inc. User identification method applicable to network transaction and system thereof

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230007006A1 (en) * 2020-03-27 2023-01-05 Motorola Solutions, Inc. Method and apparatus for preventing access to an iot device
US12041055B2 (en) * 2020-03-27 2024-07-16 Motorola Solutions, Inc. Method and apparatus for preventing access to an IoT device

Also Published As

Publication number Publication date
TW201828730A (zh) 2018-08-01

Similar Documents

Publication Publication Date Title
WO2017036310A1 (zh) 验证信息的更新方法及装置
JP7175269B2 (ja) モノのインターネットデバイスの記録検証方法及び装置、ならびにid認証方法及び装置
CN106960148B (zh) 一种设备标识的分配方法和装置
US9659160B2 (en) System and methods for authentication using multiple devices
US9264423B2 (en) Password-less authentication system and method
JP6590807B2 (ja) プライバシー機密情報の交換を制御するための方法およびシステム
CN112989426B (zh) 授权认证方法及装置、资源访问令牌的获取方法
CN103747036A (zh) 一种桌面虚拟化环境下的可信安全增强方法
CN105897424A (zh) 一种增强身份认证的方法
WO2016188335A1 (zh) 用户数据的访问控制方法、装置及系统
WO2016188053A1 (zh) 一种无线网络接入方法、装置及计算机存储介质
CN112333214B (zh) 一种用于物联网设备管理的安全用户认证方法及系统
JP2011070513A (ja) アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム
US20220353081A1 (en) User authentication techniques across applications on a user device
JP2020509625A (ja) 乱数に基づくデータメッセージ認証
WO2024060696A1 (zh) 一种基于tee的智能家居远程控制方法及相关装置
TWI738708B (zh) 驗證資訊的更新方法及裝置
CN109460647B (zh) 一种多设备安全登录的方法
CN114915534A (zh) 面向信任增强的网络部署架构及其网络访问方法
TWI625643B (zh) 無線感測網路的匿名認證方法
WO2023236925A1 (zh) 一种认证方法和通信装置
TWI714168B (zh) 網路之加密方法
KR20170032155A (ko) Otp를 이용한 사용자 인증 방법 및 시스템