WO2020259203A1 - 一种安全控制方法、装置及系统 - Google Patents

一种安全控制方法、装置及系统 Download PDF

Info

Publication number
WO2020259203A1
WO2020259203A1 PCT/CN2020/093218 CN2020093218W WO2020259203A1 WO 2020259203 A1 WO2020259203 A1 WO 2020259203A1 CN 2020093218 W CN2020093218 W CN 2020093218W WO 2020259203 A1 WO2020259203 A1 WO 2020259203A1
Authority
WO
WIPO (PCT)
Prior art keywords
authentication factor
authentication
user equipment
office equipment
equipment
Prior art date
Application number
PCT/CN2020/093218
Other languages
English (en)
French (fr)
Inventor
李东声
Original Assignee
天地融科技股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 天地融科技股份有限公司 filed Critical 天地融科技股份有限公司
Publication of WO2020259203A1 publication Critical patent/WO2020259203A1/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/14Direct-mode setup

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Telephonic Communication Services (AREA)
  • Telephone Function (AREA)

Abstract

本发明提供了一种安全控制方法、装置及系统,其中,该方法包括:步骤1,建立通信连接;步骤2,协商认证因子;步骤3,监测认证因子滚动周期和认证扫描周期;步骤4,到达认证因子滚动周期,将下一个认证因子作为办公设备当前的第一认证因子;步骤5,到达认证扫描周期,扫描第二认证因子;步骤6,扫描到第二认证因子,判断第二认证因子与第一认证因子是否一致,若一致步骤3,否则步骤9;步骤7,没有扫描到,判断距离上一次扫描到第二认证因子的时间间隔是否超过第一预定时间,如是步骤9,否则步骤8;步骤8,等待第二预定时间,扫描用户设备发送的第二认证因子,扫描到,步骤6,没有扫描到,步骤7;步骤9,执行第一安全控制操作。

Description

一种安全控制方法、装置及系统
相关申请的交叉引用
本申请要求天地融科技股份有限公司于2019年6月26日提交的、发明名称为“一种安全控制方法、装置”的、中国专利申请号“201910560952.1”的优先权。
技术领域
本发明涉及一种电子技术领域,尤其涉及一种安全控制方法、装置及系统。
背景技术
目前,为了保证办公系统的安全,传统的解决方案是在用户首次登录办公系统时,用户输入用户名和口令或密码,系统对用户输入的用户名和口令或密码进行鉴权,在鉴权通过之后,用户便可以使用办公系统,直到用户手动注销登录状态或手动锁屏,再次使用时需要再次鉴权。
采用上述的安全控制手段,在用户鉴权通过之后,无法实时监控用户的使用状态,在用户没有用户手动注销登录状态或手动锁屏的情况下,无论用户是否在现场,都不会执行安全控制,但在实际使用时,在鉴权通过之后,手动注销登录状态或手动锁屏之前,用户很可能暂时离开办公位,在这个期间,办公系统并未执行安全控制,则其他用户可能非法使用办公系统,导致信息泄漏或办公系统受到非法攻击等问题。
发明内容
本发明旨在解决上述技术问题。
本发明的主要目的在于提供一种安全控制方法。
本发明的另一目的在于提供一种安全控制装置。
本发明的又一目的在于提供一种安全控制系统。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明一方面提供了一种安全控制方法,包括:步骤1,办公设备与用户设备建立近距离无线通信连接;步骤2,所述办公设备与所述用户设备进行认证因子协商,至少得到初始认证因子,将所述初始认证因子作为所述办公设备当前的第一认证因子;步骤3,所 述办公设备监测是否到达预定的认证因子滚动周期和认证扫描周期,在监测到达认证因子滚动周期的情况下,执行步骤4,在监测到达认证扫描周期的情况下,执行步骤5;步骤4,按照与所述用户设备约定的认证因子滚动方式,获取所述办公设备当前的第一认证因子的下一个认证因子,将所述下一个认证因子作为所述办公设备当前的第一认证因子,返回步骤3;步骤5,所述办公设备向所述用户设备发送扫描指令,扫描所述用户设备发送的第二认证因子,在扫描到所述用户设备发送的第二认证因子的情况下,执行步骤6,在没有扫描到所述用户设备发送的第二认证因子的情况下,执行步骤7;步骤6,所述办公设备判断扫描到的所述第二认证因子与所述办公设备当前的第一认证因子是否一致,在一致的情况下,返回步骤3,否则,执行步骤9;步骤7,所述办公设备判断当前距离上一次扫描到所述用户设备发送的第二认证因子的时间间隔是否超过第一预定时间,如果是,则执行步骤9,否则,执行步骤8;步骤8,所述办公设备等待第二预定时间后,向所述用户设备发送扫描指令,扫描所述用户设备发送的第二认证因子,在扫描到所述用户设备发送的第二认证因子的情况下,执行步骤6,在没有扫描到所述用户设备发送的第二认证因子的情况下,执行步骤7,其中,第二预定时间小于第一预定时间;步骤9,所述办公设备按照预定的安全策略执行相应的第一安全控制操作。
本发明另一方面提供了一种安全控制装置,位于办公设备中,包括:通信建立模块,用于与用户设备建立近距离无线通信连接;认证因子协商模块,用于与所述用户设备进行相互认证并协商认证因子,至少得到初始认证因子,将所述初始认证因子作为所述办公设备当前的第一认证因子;周期监测模块,用于监测是否到达预定的认证因子滚动周期或认证扫描周期,在监测到达认证因子滚动周期的情况下,触发认证因子滚动模块,在监测到达认证扫描周期的情况下,触发心跳检测模块;所述认证因子滚动模块,用于按照与所述用户设备约定的认证因子滚动方式,获取所述办公设备当前的第一认证因子的下一个认证因子,将所述下一个认证因子作为所述办公设备当前的第一认证因子,触发所述周期监测模块;所述心跳检测模块,用于向所述用户设备发送扫描认证指令,扫描所述用户设备发送的第二认证因子,在扫描到所述用户设备发送的第二认证因子的情况下,触发认证因子验证模块,在没有扫描到所述用户设备发送的第二认证因子的情况下,触发回连验证模块;所述认证因子验证模块,用于判断扫描到的所述第二认证因子与所述办公设备当前的第一认证因子是否一致,在一致的情况下,触发所述周期监测模块,否则,触发安全控制模块;所述回连验证模块,用于判断当前距离上一次扫描到所述用户设备广播的第二认证因子的时间间隔是否超过第一预定时间,如果是,则触发所述安全控制模块,否则触发回连数据监测模块;所述回连数据监测模块,用于在等待第二预定时间后,向所述用户设备发送扫 描指令,扫描所述用户设备发送的第二认证因子,在扫描到所述用户设备发送的第二认证因子的情况下,触发所述认证因子验证模块,在没有扫描到所述用户设备发送的第二认证因子的情况下,触发所述回连验证模块,其中,第二预定时间小于第一预定时间;所述安全控制模块,用于按照预定的安全策略执行相应的第一安全控制操作。
本发明又一方面提供了一种安全控制系统,包括办公设备和用户设备,其中,所述办公设备包括上述的安全控制装置;所述用户设备,用于:与所述办公设备建立近距离无线通信连接;与所述用户设备进行认证因子协商,得到初始认证因子,将所述初始认证因子作为所述用户设备当前的第二认证因子;接收所述办公设备发送的扫描认证指令,发送所述用户设备当前的第二认证因子;以及在监测到达认证因子滚动周期时,按照与所述办公设备约定的认证因子滚动方式获取所述用户设备当前的第二认证因子的下一个第二认证因子,将所述下一个第二认证因子作为所述用户设备当前的第二认证因子。
本发明又一方面提供了一种计算机可读存储介质,包括计算机指令,当所述计算机指令被执行时,使得执行如上所述的安全控制方法。
由上述本发明提供的技术方案可以看出,本发明提供了一种安全控制方案,在本发明提供的技术方案中,办公设备与用户设备建立近距离无线通信连接,协商认证因子,按预定的认证因子滚动周期更新认证因子,按预定的认证扫描周期扫描用户设备发送的认证因子,在预定时间间隔内没有扫描到用户设备发送的认证因子的情况下,执行安全控制操作,从而可以在用户登录之后,实时监控用户是否离开办公设备,并在用户离开办公设备超过预定时间的情况下,执行安全控制操作,避免了在用户离开期间,其他用户非法使用办公系统,导致信息泄漏或办公系统受到非法攻击等问题。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例提供的一种安全控制系统的架构示意图;
图2为本发明实施例提供的一种安全控制方法的流程图;
图3为本发明实施例提供的一种安全控制装置的结构示意图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
下面将结合附图对本发明实施例作进一步地详细描述。
本实施例提供了一种安全控制系统。
图1为本实施例提供的一种安全控制系统的架构示意图,如图1所示,该安全控制系统主要包括:办公设备10和用户设备20。在本实施例中,办公设备10可以是电脑,也可以是具有一定处理能力的外围设备,例如,安全键盘等。用户设备20可以是方便用户随身携带的电子设备,例如,手机,或者智能卡等,用户设备20中可以存储具有唯一性的用户标识,例如,用户ID,通过用户设备20可以确定用户的身份。
在本实施例中,办公设备10与用户设备20建立近距离无线通信连接。在具体应用中,办公设备10与用户设备20之间可以通过蓝牙、WIFI等建立无线通信,具体本实施例中不作限定。
在具体应用中,在办公设备10与用户设备20之间建立无线通信连接之前,用户设备20之间可以通过刷卡、扫码等方式进行身份认证。例如,办公设备10上设置读卡模块,在用户需要登录办公系统时,用户设备20(可以为智能卡)放置在办公设备10的读卡模块处刷卡,办公设备10读取用户设备20中存储的身份认证信息,身份认证信息可以是用户名及密码等,然后办公设备10对读取的身份认证信息进行身份认证,身份认证通过之后,完成安全登录。
在办公设备10与用户设备20之间建立无线通信连接时,办公设备10与用户设备20之间可以交换双方的设备信息,通过交换的设备信息建立无线通信连接,例如,如果办公设备10与用户设备20之间建立蓝牙连接,则办公设备10与用户设备20之间可以交换蓝牙连接信息,进行蓝牙配对,从而完成蓝牙连接。
在建立近距离无线通信连接之后,办公设备10与用户设备20进行认证因子协商,至少得到初始认证因子,办公设备10和用户设备20分别将该初始认证因子作为办公设备10当前的第一认证因子和用户设备20当前的第二认证因子。在具体应用中,在办公设备10对用户设备20的身份认证通过之后,办公设备10与用户设备20协商认证因子。
在本发明实施例的一个可选实施方式中,认证因子可以是密钥。例如,办公设备10与用户设备20在协商认证因子时,办公设备10与用户设备20可以先建立安全通道,然后办公设备10与用户设备20协商并生成初始的传输密钥,将传输密钥作为认证因子。
在具体应用中,为了保证传输密钥的安全,办公设备10与用户设备20在建立安全通道时,可以通过办公设备10和用户设备20的公私钥对进行相互的身份认证,例如,办公设备10可以产生随机数,使用办公设备10的私钥对随机数进行签名,将签名数据和随机数发送给用户设备20,用户设备20使用办公设备10的公钥,对接收到的签名数据进行验签,验签通过,则确认办公设备10的身份,而用户设备20可以使用自身的私钥对接收到的随机数进行签名,将签名得到的签名数据发送给办公设备10,办公设备10使用用户设备20的公钥对接收到的签名数据进行验签,验签通过,则确认用户设备20的身份。当然,在实际应用中,办公设备10和用户设备20之间还可以采用其它的方式进行相互的身份认证,具体本实施例中不作限定。
在本发明实施例的另一个可选实施方式中,认证因子也可以是办公设备10和用户设备20的本地时钟的时间值。在该可选实施方式中,办公设备10与用户设备20在协商认证因子时,进行时间同步,在时间同步后,办公设备10与用户设备20各自将本地时钟的当前值作为初始认证因子。
或者,在本发明实施例的另一个可选实施方式中,认证因子也可以是办公设备10和用户设备20的本地计数器的数值。在该可选实施方式中,办公设备10与用户设备20在协商认证因子时,确定相互间的本地计数器的初始值相同,然后办公设备10与用户设备20各自将本地计数器的当前值作为初始认证因子。在具体应用中,办公设备10和用户设备20的本地计数器用于记录相同事件发生的次数,例如,可以记录本地的认证因子的滚动次数,即每当办公设备10当前的第一认证因子的值改变一次,办公设备10的本地记数器的值就加1,同样,用户设备20当前的第二认证因子的值每变化一次,用户设备20侧的本地记数器的值也加1,从而可以保证办公设备10和用户设备20的记数器的值一致。
在本发明实施例中,办公设备10在与用户设备20认证因子协商完成后,办公设备10监测是否到达预定的认证因子滚动周期和认证扫描周期:
(1)在监测到达认证因子滚动周期的情况下,按照与用户设备20约定的认证因子滚动方式,获取办公设备10当前的第一认证因子的下一个认证因子,将下一个认证因子作为办公设备10当前的第一认证因子,然后继续监测是否到达预定的认证因子滚动周期和认证扫描周期。
(2)在监测到达认证扫描周期的情况下,办公设备10向用户设备20发送扫描指令,扫描用户设备20发送的第二认证因子,在扫描到用户设备20发送的第二认证因子的情况下,判断扫描到的第二认证因子与办公设备10当前的第一认证因子是否一致,在一致的情况下,继续监测是否到达预定的认证因子滚动周期和认证扫描周期,在不一致的情况下, 办公设备10按照预定的安全策略执行相应的第一安全控制操作;在没有扫描到用户设备20发送的第二认证因子的情况下,办公设备10判断当前距离上一次扫描到用户设备20发送的第二认证因子的时间间隔是否超过第一预定时间,如果是,则办公设备10按照预定的安全策略执行相应的第一安全控制操作,否则,办公设备10等待第二预定时间后,向用户设备20发送扫描指令,扫描用户设备20发送的第二认证因子,在扫描到用户设备20发送的第二认证因子的情况下,判断扫描到的第二认证因子与办公设备10当前的第一认证因子是否一致,在一致的情况下,继续监测是否到达预定的认证因子滚动周期和认证扫描周期,在不一致的情况下,办公设备10按照预定的安全策略执行相应的第一安全控制操作,在没有扫描到用户设备20发送的第二认证因子的情况下,办公设备10返回执行判断当前距离上一次扫描到用户设备20发送的第二认证因子的时间间隔是否超过第一预定时间的操作,其中,第二预定时间小于第一预定时间。
在本发明实施例中,第二预定时间的时长可以小于认证扫描周期的时长,即在本发明实施例中,办公设备10在某个认证扫描周期到达时,如果没有扫描到用户设备20发送的第二认证因子,则办公设备10可以缩短扫描周期,扫描用户设备20发送的第二认证因子,以及时对用户设备20的第二认证因子进行认证。
通过本发明实施例提供的上述安全控制系统,办公设备10与用户设备20建立近距离无线通信连接,协商认证因子,按预定的认证因子滚动周期更新认证因子,按预定的认证扫描周期扫描用户设备发送的认证因子,在预定时间间隔内没有扫描到用户设备发送的认证因子的情况下,执行第一安全控制操作,从而可以在用户登录之后,实时监控用户是否离开办公设备,并在用户离开办公设备超过预定时间的情况下,执行安全控制操作,避免了在用户离开期间,其他用户非法使用办公系统,导致信息泄漏或办公系统受到非法攻击等问题。
在本发明实施例的一个可选实施方式中,办公设备10在没有扫描到用户设备20发送的第二认证因子的情况下,在判断当前距离上一次扫描到用户设备20发送的第二认证因子的时间间隔是否超过第一预设时间之前,可以先判断当前距离上一次扫描到用户设备20发送的第二认证因子的时间间隔是否超过预定门限,如果是,则先按照预定的安全策略执行相应的第二安全控制操作,然后再判断当前距离上一次扫描到用户设备20发送的第二认证因子的时间间隔是否超过第一预设时间。其中,预定门限所指示的时间值小于第一预设时间所指示的时间值。
在上述可选实施方式中,第一安全控制操作与第二安全控制操作是不同的安全操作,在具体应用中,第一安全控制操作可以是比第二安全控制操作更为严格的安全控制操作, 例如,第一安全控制操作可以包括:向办公设备10的主处理器发送登出系统的指令和/或向办公设备10的主处理器发送关机指令。而第二安全控制操作可以包括:向办公设备10的主处理器发送锁屏指令和/或向办公设备10的报警器发送报警指令等。通过该可选实施方式,可以执行分级的安全控制策略,例如,在具体应用中,预定门限可以设置为5分钟,第一预设时间可以设置为10分钟,办公设备10在5分钟内没有扫描到用户设备20发送的第二认证因子,则执行第二安全控制操作,向办公设备10的主处理器发送锁屏指令和/或向办公设备10的报警器发送报警指令,主机锁屏和/或报警器报警,但办公设备10维持认证因子的滚动,如果在5-10分钟之间,收到用户设备20发送的第二认证因子,则对接收到的第二认证因子进行认证,在认证通过之后,继续维持认证因子滚动,并定期扫描用户设备20发送的第二认证因子,如果到10分钟还未收到用户设备20发送的第二认证因子,则执行第一安全控制操作,向办公设备10的主处理器发送登出系统的指令和/或向办公设备10的主处理器发送关机指令,办公设备10的主处理器接收到指令之后,执行相应的操作,办公设备10退出当前流程,不再执行认证因子滚动和认证因子的定期扫描。
在本发明实施例的一个可选实施方式中,为了保证某些关键操作的安全,办公设备10在与用户设备20完成认证因子协商之后,同时监测是否有预定的关键事件发生,在监测到有关键事件发生的情况下,办公设备10启动摄像装置采集用户的人脸数据,判断采集到的人脸数据与办公设备10中存储的认证人脸数据进行是否匹配,如果是,则继续监测,否则,执行第一安全控制操作。在该可选实施方式中,办公设备10中存储的认证人脸数据可以是用户在注册的时候输入的,也可以是在其它时候输入的,例如,用户需要开通某些特定的功能前,具体本实施例不作限定。通过该可选实施方式,办公设备10可以在执行某些关键操作之前,对当前操作人的人脸进行验证,进一步确保当前使用者的身份,避免用户的账号被盗用。
在上述可选实施方式中,预定的关键事件包括但不限于以下至少之一:
(1)办公设备10与用户设备20协商认证因子完成;即办公设备10在与用户设备20协商完认证因子之后,即采集用户的人脸信息,对采集的人脸信息进行认证。通过该可选实施方式,办公设备10可以在确保用户的身份之后,开始认证因子滚动和认证扫描,可以节约流程。
(2)办公设备10接收到加密输入指令;在该可选实施方式中,办公系统设置了加密输入功能,即用户通过键盘输入的信息为加密的信息,当用户输入加密输入指令时,启动该功能,在用户启动该功能时,办公设备10采集用户的人脸信息,对采集的人脸信息进行认证。通过该可选实施方式,办公设备10可以在确保用户的身份的情况下,开启加密输入 功能。
(3)办公设备10接收到密码输入指令。即在该可选实施方式中,办公设备10在需要向办公系统输入密码(例如,PIN码等)时,先采集用户的人脸信息,对采集的人脸信息进行认证。通过该可选实施方式,办公设备10可以在确保用户的身份的情况下,再让用户输入密码,确保密码的安全性。
在本发明实施例中,办公设备10和用户设备20在进行认证因子滚动时,可根据具体使用的不同种类的认证因子,按照不同的方式进行认证因子滚动,下面以办公设备10为例进行描述,对于用户设备20则采用与办公设备10相应的方式进行认证因子滚动。
在本发明实施例的一个可选实施方式中,办公设备10可以按照以下方式之一进行认证因子滚动:
(1)按照预设策略从认证因子池中选择办公设备10当前的第一认证因子的下一个认证因子,其中,所述认证因子池中包括包含所述初始认证因子在内的多个认证因子;即在该实施方式中,在办公设备10和用户设备20中各设置了一个相同的认证因子池,预设策略中约定了认证因子滚动的方式,例如,按照认证因子在认证因子池中的排序,循环顺序滚动,或者间隔一个认证因子循环滚动等方式,办公设备10和用户设备20根据该预设策略,可以获得当前的认证因子的下一个认证因子。
例如,假设认证因子池中存储的认证因子如表1所示,认证因子滚动的预设策略是间隔一个认证因子循环滚动。若当前的认证因子为M2,则当前的认证因子的下一个认证因子为M4。若当前的认证因子为M8,则当前的认证因子的下一个认证因子为M1。
表1.认证因子池
序号 1 2 3 4 5 6 7 8 9
认证因子 M1 M2 M3 M4 M5 M6 M7 M8 M9
在该实施方式中,认证因子池中的各个认证因子可以是办公设备10与用户设备20在进行认证因子协商时协商出来,即以表1为例,办公设备10与用户设备20在进行认证因子协商时,协商出来9个认证因子,其中M1为初始认证因子。或者,办公设备10与用户设备20也可以在进行认证因子协商时,只协商出初始认证因子,然后办公设备10和用户设备20按照相同的算法,计算出认证因子池中的其它认证因子,具体采用哪种方式可以根据实际应用确定,具体本实施例中不作限定。
(2)办公设备10按照与用户设备20协商的认证因子算法,对办公设备10当前的第一认证因子或生成办公设备10当前的第一认证因子的预设参数进行计算,得到办公设备 10当前的第一认证因子的下一个认证因子;即在该实施方式中,办公设备10和用户设备20每到一个认证因子滚动周期,对当前使用的认证因子进行更新,得到新的认证因子,将新的认证因子作为当前的认证因子。在具体应用中,办公设备10可以对当前的第一认证因子进行计算得到当前第一认证因子的下一个认证因子,例如,对当前的第一认证因子进行MAC运算,或者对当前的第一认证因子+当前时间进行MAC运算等。或者,办公设备10也可以对生成办公设备10当前的第一认证因子的预设参数进行计算,例如,假设,办公设备10当前的第一认证因子Mi=f(xi),xi为预设参数,在认证因子滚动周期到达时,对预设参数进行更新,可以设置xi=g(xi),然后使用更新后的xi计算新的认证因子,从而得到当前的第一认证因子的下一个认证因子。
(3)办公设备10读取认证因子计算器的当前值,将所述认证因子计算器的当前值作为所述办公设备10当前的第一认证因子的下一个认证因子。在该可选实施方式中,认证因子计算器可以是计时器,也可以是计数器等,具体本实施例不作限定。办公设备10与用户设备20可以在进行认证因子协商时,计时器记录相同的起始时间或者计数器记录相同的数值,在认证因子计算器为计数器的情况下,办公设备10与用户设备20的计数器用于记录相同的事件发生的次数,例如,认证因子滚动次数。
在上述可选实施方式中,计时器可以是办公设备10的本地时钟和用户设备20的本地时钟,在这种情况下,办公设备10与用户设备20在进行认证因子协商时,可以进行时钟同步;或者,计时器也可以专门办公设备10和用户设备20专门为认证因子设置的,用于记录当前认证因子的值,在这种情况下,办公设备10与用户设备20在进行认证因子协商时,可以双方用于记录当前认证因子的计时器的起始时间置为相同值。
在本发明实施例中,办公设备10在第一预定时间内没有扫描到用户设备20发送的第二认证因子的情况下,则说明用户设备20远离办公设备10的时间已超过第一预定时间,由于用户设备20随身携带在用户身上,因此,可以判定用户已远离办公设备10,因此,在本发明实施例中,办公设备10按照预定的安全策略执行相应的第一安全控制操作,从而可以保证在用户远离办公设备10超过一定时间之后,执行第一安全策略,从而可以避免办公系统被其他人非法使用的问题。在本发明实施例的一个可选实施方式中,为了方便用户下一次使用,在办公设备10按照预定的安全策略执行相应的第一安全控制操作之后,办公设备10可以删除本地保存的所有认证因子,从而方便办公设备10后续被使用。
在本发明实施例中,用户设备20可以在接收到办公设备10发送的扫描指令的情况下,广播用户设备20当前的第二认证因子。或者,在本发明实施例的一个可选实施方式中,为了节约用户设备20的电能,用户设备20可以在与办公设备10进行认证因子协商之后,进 入休眠状态,然后每隔预定唤醒周期唤醒一次,在唤醒期间,广播用户设备20当前的第二认证因子,在该可选实施方式中,唤醒周期小于办公设备10的认证扫描周期,一个认证扫描周期可以包含多个唤醒周期,具体设置可以根据实际使用设置。通过该可选实施方式,可以节省用户设备20的电能,提高用户设备20的电池的使用时间。
在本发明实施例的一个可选实施方式中,用户设备20也可以判断用户是否远离办公设备10,在该可选实施方式中,在办公设备10与用户设备20进行认证因子协商之后,用户设备20可以判断在预定时间段内是否接收到办公设备10发送的扫描认证指令,如果是,则用户设备20发送用户设备20当前的第二认证因子,否则,用户设备20删除本地保存的所有第二认证因子。在该可选实施方式中,预定时间段的时长可以与上述办公设备10判断的第一预设时间的时长相同,这样,用户设备20侧可以与办公设备10侧的保持一致,当然,预定时间段的时长也不一定必须与第一预设时间的时长一致,只要两者相差不大即可。
在实际应用中,用户可能在使用办公系统的过程,暂时离开,离开的时长可能小于第一预定时间,为了保证这段时间内,办公系统的安全,还可以设置一个预定门限,该预定门限的时长小于第一预定时间的时长,例如,第一预定时间的时长为5分钟,预定门限的时长为1分钟,在用户离开超过预定门限的情况下,为了保证办公系统的安全,用户设备10可以执行第二安全控制操作,例如,锁屏等。因此,在本发明实施例的一个可选实施方式中,办公设备10在没有扫描到用户设备20发送的第二认证因子的情况下,在判断距离上一次扫描到用户设备20发送的第二认证因子的时间间隔是否超过第一预定时间前,办公设备10先判断当前距离上一次扫描到用户设备20发送的第二认证因子的时间间隔是否超过预定门限内,如果否,则继续监测是否到达下一个认证扫描周期,否则,按照预定的安全策略执行相应的第二安全控制操作,然后再判断距离上一次扫描到用户设备20发送的第二认证因子的时间间隔是否超过第一预定时间,并根据判断结果执行相应的操作。在本实施例中,第二安全控制操作与第一安全控制操作不同,由此,可以根据用户离开的时间不同,设置不同的安全控制策略,执行多级的安全控制,以在保证安全的同时,为用户提供便利性。
本发明实施例还提供了一种安全控制方法,该方法可以通过上文所述的安全控制系统实现。图2是本发明实施例提供的一种安全控制方法的流程图。具体相关事宜可参见上文,此处仅对安全控制方法的流程进行简要描述。如图2所示,该方法主要包括以下步骤:
步骤201,办公设备与用户设备建立近距离无线通信连接。
步骤202,办公设备与用户设备进行认证因子协商,至少得到初始认证因子,将初始 认证因子作为办公设备当前的第一认证因子。
在本发明实施例的另一个可选实施方式中,认证因子也可以是办公设备和用户设备的本地时钟的时间值。在该可选实施方式中,办公设备与用户设备在协商认证因子时,进行时间同步,在时间同步后,办公设备与用户设备各自将本地时钟的当前值作为初始认证因子。
或者,在本发明实施例的另一个可选实施方式中,认证因子也可以是办公设备和用户设备的本地计数器的数值。在该可选实施方式中,办公设备与用户设备在协商认证因子时,确定相互间的本地计数器的初始值相同,然后办公设备与用户设备各自将本地计数器的当前值作为初始认证因子。在具体应用中,办公设备和用户设备的本地计数器用于记录相同事件发生的次数,例如,可以记录本地的认证因子的滚动次数,即每当办公设备当前的第一认证因子的值改变一次,办公设备的本地记数器的值就加1,同样,用户设备当前的第二认证因子的值每变化一次,用户设备侧的本地记数器的值也加1,从而可以保证办公设备和用户设备的记数器的值一致。
步骤203,办公设备监测是否到达预定的认证因子滚动周期和认证扫描周期,在监测到达认证因子滚动周期的情况下,执行步骤204,在监测到达认证扫描周期的情况下,执行步骤205。
在本发明实施例的一个可选实施方式中,为了保证某些关键操作的安全,办公设备在与用户设备完成认证因子协商之后,同时监测是否有预定的关键事件发生,在监测到有关键事件发生的情况下,办公设备启动摄像装置采集用户的人脸数据,判断采集到的人脸数据与办公设备中存储的认证人脸数据进行是否匹配,如果是,则继续监测,否则,执行第一安全控制操作。
步骤204,按照与用户设备约定的认证因子滚动方式,获取办公设备当前的第一认证因子的下一个认证因子,将下一个认证因子作为办公设备当前的第一认证因子,返回步骤203。
同样,用户设备在与办公设备认证因子协商完成后,将协商得到的初始认证因子作为用户设备当前的第二认证因子,并监测是否到达预定的认证因子滚动周期,在监测到达认证因子滚动周期时,按照与办公设备约定的认证因子滚动方式获取用户设备当前的第二认证因子的下一个第二认证因子,将下一个第二认证因子作为用户设备当前的第二认证因子,以确保用户设备侧的第二认证因子与办公设备侧的第一认证因子同步。
在本发明实施例中,办公设备和用户设备在进行认证因子滚动时,可根据具体使用的不同种类的认证因子,按照不同的方式进行认证因子滚动,下面以办公设备为例进行描述, 对于用户设备则采用与办公设备相应的方式进行认证因子滚动。
在本发明实施例的一个可选实施方式中,办公设备可以按照以下方式之一进行认证因子滚动:
(1)按照预设策略从认证因子池中选择办公设备当前的第一认证因子的下一个认证因子,其中,所述认证因子池中包括包含所述初始认证因子在内的多个认证因子;即在该实施方式中,在办公设备和用户设备中各设置了一个相同的认证因子池,预设策略中约定了认证因子滚动的方式,例如,按照认证因子在认证因子池中的排序,循环顺序滚动,或者间隔一个认证因子循环滚动等方式,办公设备和用户设备根据该预设策略,可以获得当前的认证因子的下一个认证因子。
(2)办公设备按照与用户设备协商的认证因子算法,对办公设备当前的第一认证因子或生成办公设备当前的第一认证因子的预设参数进行计算,得到办公设备当前的第一认证因子的下一个认证因子;即在该实施方式中,办公设备和用户设备每到一个认证因子滚动周期,对当前使用的认证因子进行更新,得到新的认证因子,将新的认证因子作为当前的认证因子。
(3)办公设备读取认证因子计算器的当前值,将所述认证因子计算器的当前值作为所述办公设备当前的第一认证因子的下一个认证因子。在该可选实施方式中,认证因子计算器可以是计时器,也可以是计数器等,具体本实施例不作限定。
步骤205,办公设备向用户设备发送扫描指令,扫描所述用户设备发送的第二认证因子,在扫描到所述用户设备发送的第二认证因子的情况下,执行步骤206,在没有扫描到所述用户设备发送的第二认证因子的情况下,执行步骤207。
在本发明实施例中,用户设备可以在接收办公设备发送的扫描认证指令时,发送用户设备当前的第二认证因子。或者,在本发明实施例的一个可选实施方式中,为了节约用户设备的电能,用户设备可以在与办公设备进行认证因子协商之后,进入休眠状态,然后每隔预定唤醒周期唤醒一次,在唤醒期间,广播用户设备当前的第二认证因子,在该可选实施方式中,唤醒周期小于办公设备的认证扫描周期,一个认证扫描周期可以包含多个唤醒周期,具体设置可以根据实际使用设置。通过该可选实施方式,可以节省用户设备的电能,提高用户设备的电池的使用时间。
步骤206,办公设备判断扫描到的第二认证因子与办公设备当前的第一认证因子是否一致,在一致的情况下,返回步骤203,否则,执行步骤209。
步骤207,办公设备判断当前距离上一次扫描到所述用户设备发送的第二认证因子的时间间隔是否超过第一预定时间,如果是,则执行步骤209,否则,执行步骤208。
步骤208,办公设备等待第二预定时间后,向用户设备发送扫描指令,扫描用户设备发送的第二认证因子,在扫描到用户设备发送的第二认证因子的情况下,执行步骤206,在没有扫描到所述用户设备发送的第二认证因子的情况下,执行步骤207,其中,第二预定时间小于第一预定时间。
步骤209,办公设备按照预定的安全策略执行相应的第一安全控制操作。
在本发明实施例的一个可选实施方式中,办公设备在没有扫描到用户设备发送的第二认证因子的情况下,在判断当前距离上一次扫描到用户设备发送的第二认证因子的时间间隔是否超过第一预设时间之前,可以先判断当前距离上一次扫描到用户设备发送的第二认证因子的时间间隔是否超过预定门限,如果是,则先按照预定的安全策略执行相应的第二安全控制操作,然后再执行步骤S207判断当前距离上一次扫描到用户设备发送的第二认证因子的时间间隔是否超过第一预设时间。其中,预定门限所指示的时间值小于第一预设时间所指示的时间值。
在上述可选实施方式中,第一安全控制操作与第二安全控制操作是不同的安全操作,在具体应用中,第一安全控制操作可以是比第二安全控制操作更为严格的安全控制操作,例如,第一安全控制操作可以包括:向办公设备的主处理器发送登出系统的指令和/或向办公设备的主处理器发送关机指令。而第二安全控制操作可以包括:向办公设备的主处理器发送锁屏指令和/或向办公设备的报警器发送报警指令等。通过该可选实施方式,可以执行分级的安全控制策略,以在保证安全的同时,为用户提供便利性,例如,在具体应用中,预定门限可以设置为5分钟,第一预设时间可以设置为分钟,办公设备在5分钟内没有扫描到用户设备发送的第二认证因子,则执行第二安全控制操作,向办公设备的主处理器发送锁屏指令和/或向办公设备的报警器发送报警指令,主机锁屏和/或报警器报警,但办公设备维持认证因子的滚动,如果在5分钟之间,收到用户设备发送的第二认证因子,则对接收到的第二认证因子进行认证,在认证通过之后,继续维持认证因子滚动,并定期扫描用户设备发送的第二认证因子,如果到分钟还未收到用户设备发送的第二认证因子,则执行第一安全控制操作,向办公设备的主处理器发送登出系统的指令和/或向办公设备的主处理器发送关机指令,办公设备的主处理器接收到指令之后,执行相应的操作,办公设备退出当前流程,不再执行认证因子滚动和认证因子的定期扫描。
在本发明实施例中,办公设备在第一预定时间内没有扫描到用户设备发送的第二认证因子的情况下,则说明用户设备远离办公设备的时间已超过第一预定时间,由于用户设备随身携带在用户身上,因此,可以判定用户已远离办公设备,因此,在本发明实施例中,办公设备按照预定的安全策略执行相应的第一安全控制操作,从而可以保证在用户远离办 公设备超过一定时间之后,执行第一安全策略,从而可以避免办公系统被其他人非法使用的问题。在本发明实施例的一个可选实施方式中,为了方便用户下一次使用,在办公设备按照预定的安全策略执行相应的第一安全控制操作之后,办公设备可以删除本地保存的所有认证因子,从而方便办公设备后续被使用。
在本发明实施例的一个可选实施方式中,用户设备20也可以判断用户是否远离办公设备10,在该可选实施方式中,在办公设备10与用户设备20进行认证因子协商之后,该方法还可以包括:用户设备判断在第一预定时间内是否接收到办公设备发送的扫描认证指令,如果是,则用户设备发送用户设备当前的第二认证因子,否则,用户设备删除本地保存的所有第二认证因子。在该可选实施方式中,预定时间段的时长可以与上述办公设备10判断的第一预设时间的时长相同,这样,用户设备侧可以与办公设备侧的保持一致,当然,预定时间段的时长也不一定必须与第一预设时间的时长一致,只要两者相差不大即可。
通过本发明实施例提供的安全控制方法,办公设备与用户设备建立近距离无线通信连接,协商认证因子,按预定的认证因子滚动周期更新认证因子,按预定的认证扫描周期扫描用户设备发送的认证因子,在预定时间间隔内没有扫描到用户设备发送的认证因子的情况下,执行第一安全控制操作,从而可以在用户登录之后,实时监控用户是否离开办公设备,并在用户离开办公设备超过预定时间的情况下,执行安全控制操作,避免了在用户离开期间,其他用户非法使用办公系统,导致信息泄漏或办公系统受到非法攻击等问题。
本实施例还提供了一种计算机可读存储介质,包括计算机指令,当所述计算机指令被执行时,使得执行如上所述的安全控制方法。
本实施例还提供了一种安全控制装置,该装置可以设置在上文所述的办公设备中,用于执行上文所述的安全控制方法。图3为本实施例提供的一种安全控制装置的结构示意图,如图3所示,该安全控制装置主要包括:通信建立模块301、认证因子协商模块302、周期监测模块303、认证因子滚动模块304、心跳检测模块305、认证因子验证模块306、回连验证模块307、回连数据监测模块308和安全控制模块309。下面主要对安全控制装置的各个模块的功能进行说明,其它相关事宜可以参见实施例1和实施例2的描述。
在本发明实施例中,通信建立模块301,用于与用户设备建立近距离无线通信连接;认证因子协商模块302,用于与所述用户设备进行相互认证并协商认证因子,至少得到初始认证因子,将所述初始认证因子作为所述办公设备当前的第一认证因子;周期监测模块303,用于监测是否到达预定的认证因子滚动周期或认证扫描周期,在监测到达认证因子滚 动周期的情况下,触发认证因子滚动模块304,在监测到达认证扫描周期的情况下,触发心跳检测模块305;所述认证因子滚动模块304,用于按照与所述用户设备约定的认证因子滚动方式,获取所述办公设备当前的第一认证因子的下一个认证因子,将所述下一个认证因子作为所述办公设备当前的第一认证因子,触发所述周期监测模块303;所述心跳检测模块305,用于向所述用户设备发送扫描认证指令,扫描所述用户设备发送的第二认证因子,在扫描到所述用户设备发送的第二认证因子的情况下,触发认证因子验证模块306,在没有扫描到所述用户设备发送的第二认证因子的情况下,触发回连验证模块307;所述认证因子验证模块306,用于判断扫描到的所述第二认证因子与所述办公设备当前的第一认证因子是否一致,在一致的情况下,触发所述周期监测模块303,否则,触发安全控制模块309;所述回连验证模块307,用于判断当前距离上一次扫描到所述用户设备广播的第二认证因子的时间间隔是否超过第一预定时间,如果是,则触发所述安全控制模块309,否则触发回连数据监测模块308;所述回连数据监测模块308,用于在等待第二预定时间后,向所述用户设备发送扫描指令,扫描所述用户设备发送的第二认证因子,在扫描到所述用户设备发送的第二认证因子的情况下,触发所述认证因子验证模块306,在没有扫描到所述用户设备发送的第二认证因子的情况下,触发所述回连验证模块307,其中,第二预定时间小于第一预定时间;所述安全控制模块309,用于按照预定的安全策略执行相应的第一安全控制操作。
通过本发明实施例提供的安全控制装置,与用户设备建立近距离无线通信连接,协商认证因子,按预定的认证因子滚动周期更新认证因子,按预定的认证扫描周期扫描用户设备发送的认证因子,在预定时间间隔内没有扫描到用户设备发送的认证因子的情况下,执行安全控制操作,从而可以在用户登录之后,实时监控用户是否离开办公设备,并在用户离开办公设备超过预定时间的情况下,执行安全控制操作,避免了在用户离开期间,其他用户非法使用办公系统,导致信息泄漏或办公系统受到非法攻击等问题。
在本发明实施例的一个可选实施方式中,该装置还可以:人脸验证模块;周期监测模块303还用于是否有预定的关键事件发生,在监测到有关键事件发生的情况下,触发人脸验证模块;人脸验证模块,用于启动摄像装置采集用户的人脸数据,判断采集到的人脸数据与所述办公设备中存储的认证人脸数据进行是否匹配,如果是,则触发所述周期监测模块303,否则,触发所述安全控制模块309。
在本发明实施例的一个可选实施方式中,认证因子滚动模块304可以按照以下方式获取所述办公设备当前的第一认证因子的下一个认证因子:
按照预设策略从认证因子池中选择所述办公设备当前的第一认证因子的下一个认证因 子,其中,所述认证因子池中包括包含所述初始认证因子在内的多个认证因子;或者,
按照与所述用户设备协商的认证因子算法,对所述办公设备当前的第一认证因子或生成所述办公设备当前的第一认证因子的预设参数进行计算,得到所述办公设备当前的第一认证因子的下一个认证因子;或者
读取认证因子计算器的当前值,将所述认证因子计算器的当前值作为所述办公设备当前的第一认证因子的下一个认证因子。
在本发明实施例的一个可选实施方式中,该装置还可以包括:密钥清空模块,用于在所述安全控制模块309执行所述第一安全控制操作之后,删除所述办公设备保存的所有认证因子。
在本发明实施例的一个可选实施方式中,该装置还可以包括:门限检测模块,用于在心跳检测模块305没有扫描到所述用户设备发送的第二认证因子的情况下,在触发回连验证模块307之前,判断当前距离上一次扫描到所述用户设备发送的第二认证因子的时间间隔是否超过预定门限内,如果未超过,则触发周期检测模块303,否则,按照预定的安全策略执行相应的第二安全控制操作,然后触发回连验证模块307。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以 软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

Claims (17)

  1. 一种安全控制方法,其特征在于,包括:
    步骤1,办公设备与用户设备建立近距离无线通信连接;
    步骤2,所述办公设备与所述用户设备进行认证因子协商,至少得到初始认证因子,将所述初始认证因子作为所述办公设备当前的第一认证因子;
    步骤3,所述办公设备监测是否到达预定的认证因子滚动周期和认证扫描周期,在监测到达认证因子滚动周期的情况下,执行步骤4,在监测到达认证扫描周期的情况下,执行步骤5;
    步骤4,按照与所述用户设备约定的认证因子滚动方式,获取所述办公设备当前的第一认证因子的下一个认证因子,将所述下一个认证因子作为所述办公设备当前的第一认证因子,返回步骤3;
    步骤5,所述办公设备向所述用户设备发送扫描指令,扫描所述用户设备发送的第二认证因子,在扫描到所述用户设备发送的第二认证因子的情况下,执行步骤6,在没有扫描到所述用户设备发送的第二认证因子的情况下,执行步骤7;
    步骤6,所述办公设备判断扫描到的所述第二认证因子与所述办公设备当前的第一认证因子是否一致,在一致的情况下,返回步骤3,否则,执行步骤9;
    步骤7,所述办公设备判断当前距离上一次扫描到所述用户设备发送的第二认证因子的时间间隔是否超过第一预定时间,如果是,则执行步骤9,否则,执行步骤8;
    步骤8,所述办公设备等待第二预定时间后,向所述用户设备发送扫描指令,扫描所述用户设备发送的第二认证因子,在扫描到所述用户设备发送的第二认证因子的情况下,执行步骤6,在没有扫描到所述用户设备发送的第二认证因子的情况下,执行步骤7,其中,第二预定时间小于第一预定时间;
    步骤9,所述办公设备按照预定的安全策略执行相应的第一安全控制操作。
  2. 根据权利要求1所述的方法,其特征在于,
    所述步骤3还包括:所述办公设备监测是否有预定的关键事件发生,在监测到有关键事件发生的情况下,执行步骤10;
    步骤10,所述办公设备启动摄像装置采集用户的人脸数据,判断采集到的人脸数据与所述办公设备中存储的认证人脸数据进行是否匹配,如果是,则返回步骤3,否则,执行步骤9。
  3. 根据权利要求2所述的方法,其特征在于,所述预定的关键事件包括以下至少之一: 所述办公设备与所述用户设备协商认证因子完成、所述办公设备接收到加密输入指令、以及所述办公设备接收到密码输入指令。
  4. 根据权利要求1所述的方法,其特征在于,按照与所述用户设备约定的认证因子滚动方式,获取所述办公设备当前的第一认证因子的下一个认证因子,包括:
    所述办公设备按照预设策略从认证因子池中选择所述办公设备当前的第一认证因子的下一个认证因子,其中,所述认证因子池中包括包含所述初始认证因子在内的多个认证因子;或者,
    所述办公设备按照与所述用户设备协商的认证因子算法,对所述办公设备当前的第一认证因子或生成所述办公设备当前的第一认证因子的预设参数进行计算,得到所述办公设备当前的第一认证因子的下一个认证因子;或者
    所述办公设备读取认证因子计算器的当前值,将所述认证因子计算器的当前值作为所述办公设备当前的第一认证因子的下一个认证因子。
  5. 根据权利要求1至4任一项所述的方法,其特征在于,
    在所述办公设备按照预定的安全策略执行相应的第一安全控制操作之后,所述方法还包括:所述办公设备删除本地保存的所有认证因子。
  6. 根据权利要求1至4任一项所述的方法,其特征在于,所述办公设备与所述用户设备进行认证因子协商之后,所述方法还包括:
    所述用户设备进入休眠状态,每隔预定唤醒周期唤醒一次,在唤醒期间,广播所述用户设备当前的第二认证因子。
  7. 根据权利要求1至4任一项所述的方法,其特征在于,所述办公设备与所述用户设备进行认证因子协商之后,所述方法还包括:
    所述用户设备判断在所述第一预定时间内是否接收到所述办公设备发送的扫描认证指令,如果是,则所述用户设备发送所述用户设备当前的第二认证因子,否则,所述用户设备删除本地保存的所有第二认证因子。
  8. 根据权利要求1至4任一项所述的方法,其特征在于,在所述步骤5中,在没有扫描到所述用户设备发送的第二认证因子的情况下,在执行步骤7之前,所述方法还包括:
    所述办公设备判断当前距离上一次扫描到所述用户设备发送的第二认证因子的时间间隔是否超过预定门限内,如果否,则返回步骤3,如果是,则按照预定的安全策略执行相应的第二安全控制操作,然后执行步骤7。
  9. 一种安全控制装置,位于办公设备中,其特征在于,包括:
    通信建立模块,用于与用户设备建立近距离无线通信连接;
    认证因子协商模块,用于与所述用户设备进行相互认证并协商认证因子,至少得到初始认证因子,将所述初始认证因子作为所述办公设备当前的第一认证因子;
    周期监测模块,用于监测是否到达预定的认证因子滚动周期或认证扫描周期,在监测到达认证因子滚动周期的情况下,触发认证因子滚动模块,在监测到达认证扫描周期的情况下,触发心跳检测模块;
    所述认证因子滚动模块,用于按照与所述用户设备约定的认证因子滚动方式,获取所述办公设备当前的第一认证因子的下一个认证因子,将所述下一个认证因子作为所述办公设备当前的第一认证因子,触发所述周期监测模块;
    所述心跳检测模块,用于向所述用户设备发送扫描认证指令,扫描所述用户设备发送的第二认证因子,在扫描到所述用户设备发送的第二认证因子的情况下,触发认证因子验证模块,在没有扫描到所述用户设备发送的第二认证因子的情况下,触发回连验证模块;
    所述认证因子验证模块,用于判断扫描到的所述第二认证因子与所述办公设备当前的第一认证因子是否一致,在一致的情况下,触发所述周期监测模块,否则,触发安全控制模块;
    所述回连验证模块,用于判断当前距离上一次扫描到所述用户设备广播的第二认证因子的时间间隔是否超过第一预定时间,如果是,则触发所述安全控制模块,否则触发回连数据监测模块;
    所述回连数据监测模块,用于在等待第二预定时间后,向所述用户设备发送扫描指令,扫描所述用户设备发送的第二认证因子,在扫描到所述用户设备发送的第二认证因子的情况下,触发所述认证因子验证模块,在没有扫描到所述用户设备发送的第二认证因子的情况下,触发所述回连验证模块,其中,第二预定时间小于第一预定时间;
    所述安全控制模块,用于按照预定的安全策略执行相应的第一安全控制操作。
  10. 根据权利要求9所述的装置,其特征在于,还包括:人脸验证模块;
    所述周期监测模块还用于是否有预定的关键事件发生,在监测到有关键事件发生的情况下,触发人脸验证模块;
    所述人脸验证模块,用于启动摄像装置采集用户的人脸数据,判断采集到的人脸数据与所述办公设备中存储的认证人脸数据进行是否匹配,如果是,则触发所述周期监测模块,否则,触发所述安全控制模块。
  11. 根据权利要求9所述的装置,其特征在于,所述认证因子滚动模块按照以下方式获取所述办公设备当前的第一认证因子的下一个认证因子:
    按照预设策略从认证因子池中选择所述办公设备当前的第一认证因子的下一个认证因 子,其中,所述认证因子池中包括包含所述初始认证因子在内的多个认证因子;或者,
    按照与所述用户设备协商的认证因子算法,对所述办公设备当前的第一认证因子或生成所述办公设备当前的第一认证因子的预设参数进行计算,得到所述办公设备当前的第一认证因子的下一个认证因子;或者
    读取认证因子计算器的当前值,将所述认证因子计算器的当前值作为所述办公设备当前的第一认证因子的下一个认证因子。
  12. 根据权利要求9至11任一项所述的装置,其特征在于,还包括:
    密钥清空模块,用于在所述安全控制模块执行所述第一安全控制操作之后,删除所述办公设备保存的所有认证因子。
  13. 根据权利要求9至11任一项所述的装置,其特征在于,还包括:
    门限检测模块,用于在所述心跳检测模块没有扫描到所述用户设备发送的第二认证因子的情况下,在触发所述回连验证模块之前,判断当前距离上一次扫描到所述用户设备发送的第二认证因子的时间间隔是否超过预定门限内,如果未超过,则触发所述周期监测模块,否则,按照预定的安全策略执行相应的第二安全控制操作,然后触发所述回连验证模块。
  14. 一种安全控制系统,其特征在于,包括办公设备和用户设备,其中,
    所述办公设备包括权利要求9至13中任一项所述的装置;
    所述用户设备,用于:与所述办公设备建立近距离无线通信连接;与所述用户设备进行认证因子协商,得到初始认证因子,将所述初始认证因子作为所述用户设备当前的第二认证因子;接收所述办公设备发送的扫描认证指令,发送所述用户设备当前的第二认证因子;以及在监测到达认证因子滚动周期时,按照与所述办公设备约定的认证因子滚动方式获取所述用户设备当前的第二认证因子的下一个第二认证因子,将所述下一个第二认证因子作为所述用户设备当前的第二认证因子。
  15. 根据权利要求14所述的系统,其特征在于,所述用户设备还用于在预定时间段内未接收到所述办公设备发送的扫描认证指令的情况下,删除本地保存的所有第二认证因子。
  16. 根据权利要求14所述的系统,其特征在于,所述用户设备还用于在与所述用户设备进行认证因子协商之后,进入休眠状态,每隔预定唤醒周期唤醒一次,在唤醒期间,广播所述用户设备当前的第二认证因子。
  17. 一种计算机可读存储介质,包括计算机指令,当所述计算机指令被执行时,使得执行权利要求1-8中任一项所述的安全控制方法。
PCT/CN2020/093218 2019-06-26 2020-05-29 一种安全控制方法、装置及系统 WO2020259203A1 (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201910560952.1A CN112152810B (zh) 2019-06-26 2019-06-26 一种安全控制方法、装置及系统
CN201910560952.1 2019-06-26

Publications (1)

Publication Number Publication Date
WO2020259203A1 true WO2020259203A1 (zh) 2020-12-30

Family

ID=73869849

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2020/093218 WO2020259203A1 (zh) 2019-06-26 2020-05-29 一种安全控制方法、装置及系统

Country Status (2)

Country Link
CN (1) CN112152810B (zh)
WO (1) WO2020259203A1 (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070101413A1 (en) * 2005-10-31 2007-05-03 Sbc Knowledge Ventures, L.P. System and method of using personal data
CN102136048A (zh) * 2011-03-28 2011-07-27 东南大学 基于手机蓝牙的计算机环绕智能防护装置及方法
CN104363226A (zh) * 2014-11-12 2015-02-18 深圳市腾讯计算机系统有限公司 一种登录操作系统的方法、装置及系统
WO2015116166A1 (en) * 2014-01-31 2015-08-06 Hewlett-Packard Development Company, L.P. Authentication system and method
CN105893802A (zh) * 2016-03-29 2016-08-24 四川效率源信息安全技术股份有限公司 一种基于蓝牙锁定/解锁电脑屏幕的方法
CN108846270A (zh) * 2018-06-30 2018-11-20 常州大学 一种计算机安全登录保障系统
CN109583160A (zh) * 2018-11-21 2019-04-05 安徽云融信息技术有限公司 计算机开机身份认证系统及其认证方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8943560B2 (en) * 2008-05-28 2015-01-27 Microsoft Corporation Techniques to provision and manage a digital telephone to authenticate with a network
CN101872392A (zh) * 2009-04-23 2010-10-27 陶梦曦 一种计算机动态安全认证方法
WO2011054044A1 (en) * 2009-11-06 2011-05-12 Emue Holdings Pty Ltd A method and a system for validating identifiers
CN102685330A (zh) * 2012-05-15 2012-09-19 江苏中科梦兰电子科技有限公司 一种以手机为鉴权工具登录操作系统的方法
CN103488932A (zh) * 2013-10-16 2014-01-01 重庆邮电大学 一种移动设备与个人电脑的桌面安全互信系统及其实现方法
EP2925037A1 (en) * 2014-03-28 2015-09-30 Nxp B.V. NFC-based authorization of access to data from a third party device
CN105744468A (zh) * 2016-02-03 2016-07-06 重庆邮电大学 基于蓝牙通信技术的出勤监控方法及系统
CN105681328B (zh) * 2016-02-26 2019-04-09 安徽华米信息科技有限公司 控制电子设备的方法、装置及电子设备
CN106792436A (zh) * 2016-11-21 2017-05-31 深圳市金立通信设备有限公司 一种切换模式的方法、第一终端及第二终端
CN107733872B (zh) * 2017-09-18 2022-03-25 北京小米移动软件有限公司 信息打印方法及装置
CN108322507B (zh) * 2017-12-28 2021-02-19 天地融科技股份有限公司 一种利用安全设备执行安全操作的方法及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070101413A1 (en) * 2005-10-31 2007-05-03 Sbc Knowledge Ventures, L.P. System and method of using personal data
CN102136048A (zh) * 2011-03-28 2011-07-27 东南大学 基于手机蓝牙的计算机环绕智能防护装置及方法
WO2015116166A1 (en) * 2014-01-31 2015-08-06 Hewlett-Packard Development Company, L.P. Authentication system and method
CN104363226A (zh) * 2014-11-12 2015-02-18 深圳市腾讯计算机系统有限公司 一种登录操作系统的方法、装置及系统
CN105893802A (zh) * 2016-03-29 2016-08-24 四川效率源信息安全技术股份有限公司 一种基于蓝牙锁定/解锁电脑屏幕的方法
CN108846270A (zh) * 2018-06-30 2018-11-20 常州大学 一种计算机安全登录保障系统
CN109583160A (zh) * 2018-11-21 2019-04-05 安徽云融信息技术有限公司 计算机开机身份认证系统及其认证方法

Also Published As

Publication number Publication date
CN112152810A (zh) 2020-12-29
CN112152810B (zh) 2022-02-22

Similar Documents

Publication Publication Date Title
JP4679205B2 (ja) 認証システム、装置、方法、プログラム、および通信端末
US11140157B1 (en) Proximity-based access
US9628478B2 (en) Technologies for secure storage and use of biometric authentication information
CN101563881B (zh) 多个装置之间的自组织网络的建立
US8321916B2 (en) Method, apparatus and system for remote management of mobile devices
WO2016086584A1 (zh) 一种解锁管理权限的方法和认证设备
CN106780901A (zh) 一种基于手机mac地址的智能门锁系统及其应用
CN104751032A (zh) 身份验证方法及装置
WO2019134404A1 (zh) 智能门锁的控制方法、装置及其相关设备
US9730001B2 (en) Proximity based authentication using bluetooth
CN110322599B (zh) 门锁管理方法、装置、电子设备及存储介质
CN106664652B (zh) 一种唤醒无线保真网络的方法和终端
US9853971B2 (en) Proximity based authentication using bluetooth
US11461165B2 (en) Techniques for repairing an inoperable auxiliary device using another device
US20160330201A1 (en) Systems and Methods for Controlling Access to a Computer Device
US9876792B2 (en) Apparatus and method for host abstracted networked authorization
JP5941490B2 (ja) パワー・ステートを制御する方法、コンピュータ・プログラムおよびコンピュータ
WO2020259203A1 (zh) 一种安全控制方法、装置及系统
WO2014183500A1 (zh) 一种动态令牌的工作方法
WO2020259202A1 (zh) 一种办公环境中的设备认证方法、办公设备及系统
CN112102524A (zh) 开锁方法和开锁系统
CN112152960B (zh) 一种办公系统安全控制方法、装置及系统
CN112149099B (zh) 一种办公安全控制方法、安全键盘及办公系统
CN112149083B (zh) 一种设备认证方法、安全键盘及办公系统
CN112149082A (zh) 一种办公系统安全控制方法、装置及系统

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20830920

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 20830920

Country of ref document: EP

Kind code of ref document: A1