CN106960148B - 一种设备标识的分配方法和装置 - Google Patents

一种设备标识的分配方法和装置 Download PDF

Info

Publication number
CN106960148B
CN106960148B CN201610018126.0A CN201610018126A CN106960148B CN 106960148 B CN106960148 B CN 106960148B CN 201610018126 A CN201610018126 A CN 201610018126A CN 106960148 B CN106960148 B CN 106960148B
Authority
CN
China
Prior art keywords
user
identity
equipment
request
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610018126.0A
Other languages
English (en)
Other versions
CN106960148A (zh
Inventor
陈辰
陈海兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201610018126.0A priority Critical patent/CN106960148B/zh
Priority to PCT/CN2017/070148 priority patent/WO2017121270A1/zh
Publication of CN106960148A publication Critical patent/CN106960148A/zh
Priority to US16/033,128 priority patent/US11178134B2/en
Application granted granted Critical
Publication of CN106960148B publication Critical patent/CN106960148B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/73Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4588Network directories; Name-to-address mapping containing mobile subscriber information, e.g. home subscriber server [HSS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/72Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
    • H04M1/724User interfaces specially adapted for cordless or mobile telephones
    • H04M1/72403User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Power Engineering (AREA)
  • Mathematical Physics (AREA)
  • Databases & Information Systems (AREA)
  • Human Computer Interaction (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明提供了一种设备标识的分配方法和装置,其中方法包括:接收第一请求,所述第一请求中包括终端设备信息和用户认证口令;所述用户认证口令是根据在所述第一请求之前发送的第二请求生成的;利用所述用户认证口令,生成所述终端设备对应的第一设备身份标识。本发明能够防止设备身份被假冒,提高安全性。

Description

一种设备标识的分配方法和装置
【技术领域】
本发明涉及计算机应用技术领域,特别涉及一种设备标识的分配方法和装置。
【背景技术】
随着计算机技术的迅猛发展,为用户的生活提供了越来越多的便利,用户能够利用用户设备上的APP(应用软件)通过云端对与该用户绑定的终端设备进行数据交互。例如在物联网中,用户能够通过手机APP与物联设备绑定后,通过云端对物联设备进行数据交互,获取物联设备采集的私密数据。理想状况是,物联设备采集的数据通过物联网仅发送给与该物联设备绑定的用户。如图1中所示,物联设备A采集的数据发送给物联设备A的用户,物联设备B采集的数据发送给物联设备B的用户。
为了实现上述目的,物联网云端的服务器首先为物联设备及用户注册,生成物联网全局内唯一的设备身份ID及用户身份ID,然后应用户请求建立设备身份ID和用户身份ID之间的绑定关系。其流程大致如图2中所示,用户首先通过手机APP注册并获取用户身份ID;在201中物联设备向物联网云端的服务器发送注册请求,在202中由服务器给物联设备分配设备身份ID;在203中用户通过手机APP对设备查询或扫码,并在204中获取物联设备的设备身份ID;在205中用户向服务器发出绑定请求,请求绑定设备身份ID,在206中服务器在本地存储设备身份ID和用户身份ID之间的绑定关系,并向用户返回绑定成功响应。至此完成绑定。在207中若物联设备将采集到的数据发送给服务器,在208中服务器依据绑定关系将该数据转发给用户。
目前用户身份注册流程是有比较成熟的技术方案的,比如短信核对、email核对甚至实名注册审核等,用户身份注册是比较安全可靠的。但现有的设备身份注册流程是通过提供物联设备的原始物理信息,例如设备型号、设备MAC地址以及产品序列号,然后由物联网云端的服务器通过一定算法生成的设备身份ID。但这种方案存在明显的安全漏洞:由于设备身份ID来源于物联设备的原始物理信息,一旦原始物理信息被假冒,就会出现克隆设备和随之而来的数据攻击。例如克隆设备伪造了物联设备的原始物理信息进行注册,得到真实的设备身份ID,并以此设备身份ID向与该设备身份ID绑定的用户发送虚假信息。
【发明内容】
有鉴于此,本发明提供了一种设备标识的分配方法和装置,以便于防止设备身份被假冒,提高安全性。
具体技术方案如下:
本发明提供了一种设备标识的分配方法,该方法包括:
接收第一请求,所述第一请求中包括终端设备信息和用户认证口令;所述用户认证口令是根据在所述第一请求之前发送的第二请求生成的;
利用所述用户认证口令,生成所述终端设备对应的第一设备身份标识。
根据本发明一优选实施方式,所述第一请求由所述终端设备或用户终端发送;
所述第二请求由所述终端设备或所述用户终端发送。
根据本发明一优选实施方式,该方法还包括:
将所述第一设备标识发送给所述终端设备和/或所述用户终端。
根据本发明一优选实施方式,该方法还包括:
保存用户的身份信息与所述第一设备身份标识之间的绑定关系。
根据本发明一优选实施方式,所述用户认证口令采用以下方式生成:
接收所述第二请求;
确定用户的身份信息,并利用所述用户的身份信息生成用户认证口令;
保存所述用户的身份信息对应的用户认证口令。
根据本发明一优选实施方式,利用所述用户的身份信息生成用户认证口令包括:
将所述用户的身份信息和随机信息按预设的顺序进行拼接后,对拼接得到的信息进行加密处理,得到用户认证口令。
根据本发明一优选实施方式,若接收到的第一请求中不包含用户认证口令,则该方法还包括:
利用接收到的第一请求中包含的终端设备信息,生成第二设备身份标识。
根据本发明一优选实施方式,该方法还包括:
将生成的第二设备身份标识返回给所述终端设备和/或用户终端。
根据本发明一优选实施方式,所述终端设备信息包括设备型号、设备MAC地址和设备的产品序列号中的至少一种。
根据本发明一优选实施方式,利用所述用户认证口令,生成第一设备身份标识包括:
将用户认证口令采用安全哈希算法进行处理,得到第一设备身份标识;或者,
将所述终端设备信息和用户认证口令按预设的顺序进行拼接后,采用安全哈希算法对所述拼接得到的信息进行处理,得到第一设备身份标识。
根据本发明一优选实施方式,该方法还包括:
接收携带所述第一设备身份标识的注销请求;
解除所述第一设备身份标识。
根据本发明一优选实施方式,该方法还包括:
接收携带所述第一设备身份标识的注销请求;
删除所述用户的身份信息与所述第一设备身份标识之间的绑定关系。
根据本发明一优选实施方式,利用所述用户认证口令,生成所述终端设备对应的第一设备身份标识之前,该方法还包括:
判断所述第一请求包含的用户认证口令是否超出有效期,如果是,则返回注册失败的响应;否则,执行利用所述用户认证口令,生成所述终端设备对应的第一设备身份标识的步骤。
根据本发明一优选实施方式,该方法还包括:
接收登录请求;
判断所述登录请求包含的第一设备身份标识是否被解除,如果是,则登录失败;否则登录成功。
根据本发明一优选实施方式,该方法还包括:
接收包含第一设备身份标识的数据请求,判断本地是否存在与所述第一设备身份标识存在绑定关系的用户的身份信息;如果是,则将所述数据请求转发至所述用户的身份信息对应的用户终端,否则拒绝所述数据请求;或者,
接收包含用户的身份信息的数据请求,判断本地是否存在与所述用户的身份信息存在绑定关系的第一设备身份标识,如果是,则将所述数据请求转发至所述第一设备身份标识对应的终端设备;否则,拒绝所述数据请求。
根据本发明一优选实施方式,所述第一请求为身份注册请求;
所述第二请求为获取认证口令的请求。
本发明还提供了一种设备标识的分配方法,该方法包括:
从服务器端获取用户认证口令;
将所述用户认证口令发送给终端设备以触发所述终端设备利用所述用户认证口令从服务器端获取所述终端设备对应的第一设备身份标识。
根据本发明一优选实施方式,该方法还包括:
接收所述终端设备返回的第一设备身份标识。
根据本发明一优选实施方式,所述从服务器端获取用户认证口令包括:
向所述服务器端发送获取认证口令的请求;
接收所述服务器端利用用户的身份信息生成并返回的用户认证口令。
根据本发明一优选实施方式,将所述用户认证口令发送给终端设备包括:
利用局域网或者近距离通信方式将所述用户认证口令发送给终端设备。
根据本发明一优选实施方式,该方法还包括:
向所述服务器端发送携带所述第一设备身份标识的注销请求。
根据本发明一优选实施方式,该方法还包括:
向所述服务器端发送包含所述第一设备身份标识的数据请求。
本发明还提供了一种设备标识的分配方法,该方法包括:
从用户终端接收用户认证口令;
向服务器端发送包含终端设备信息和用户认证口令的第一请求;
接收并保存所述服务器端返回的第一设备身份标识。
根据本发明一优选实施方式,该方法还包括:
将所述第一设备身份标识返回给所述用户终端。
根据本发明一优选实施方式,该方法还包括:
向所述服务器端发送包含所述第一设备身份标识的登录请求;
如果登录失败,则向所述服务器端发送包含终端设备信息的第一请求;
利用接收到的第二设备身份标识替换本地保存的第一设备身份标识。
根据本发明一优选实施方式,所述从用户终端接收用户认证口令包括:
通过局域网或近距离通信方式从用户终端接收用户认证口令。
根据本发明一优选实施方式,该方法还包括:
向所述服务器端发送数据请求,所述数据请求包含本地保存的设备身份标识,该设备身份标识包括第一设备身份标识或第二设备身份标识。
本发明还提供了一种设备标识的分配装置,设置于服务器端,该装置包括:
第二交互单元,用于接收第一请求,所述第一请求中包括终端设备信息和用户认证口令;所述用户认证口令是根据在所述第一请求之前发送的第二请求生成的;
标识维护单元,用于利用所述用户认证口令,生成第一设备身份标识。
根据本发明一优选实施方式,所述第一请求由所述终端设备或用户终端发送;
所述第二请求由所述终端设备或所述用户终端发送。
根据本发明一优选实施方式,该装置还包括:第一交互单元,用于将所述第一设备标识发送给所述用户终端;和/或,
所述第一交互单元,用于将所述第一设备标识发送给所述终端设备。
根据本发明一优选实施方式,该装置还包括:
绑定处理单元,用于保存用户的身份信息与所述第一设备身份标识之间的绑定关系。
根据本发明一优选实施方式,第一交互单元和口令维护单元;
所述第一交互单元,用于接收所述第二请求;
所述口令维护单元,用于确定发送所述第二请求的用户的身份信息,并利用所述用户的身份信息生成用户认证口令;保存所述用户的身份信息对应的用户认证口令。
根据本发明一优选实施方式,所述口令维护单元在利用所述用户的身份信息生成用户认证口令时,具体执行:
将所述用户的身份信息和随机信息按预设的顺序进行拼接后,对拼接得到的信息进行加密处理,得到用户认证口令。
根据本发明一优选实施方式,所述标识维护单元,还用于在所述第一请求中不包含用户认证口令时,利用所述第一请求中包含的终端设备信息,生成第二设备身份标识。
根据本发明一优选实施方式,该装置还包括:第一交互单元,用于将所述第二设备身份标识返回给用户终端;和/或,
所述第二交互单元,还用于将所述第二设备身份标识返回给所述终端设备。
根据本发明一优选实施方式,所述终端设备信息包括设备型号、设备MAC地址和设备的产品序列号中的至少一种。
根据本发明一优选实施方式,所述标识维护单元,具体用于:
将用户认证口令采用安全哈希算法进行处理,得到第一设备身份标识;或者,
将所述终端设备信息和用户认证口令按预设的顺序进行拼接后,采用安全哈希算法对所述拼接得到的信息进行处理,得到第一设备身份标识。
根据本发明一优选实施方式,该装置还包括:第一交互单元,用于接收携带第一设备身份标识的注销请求;
所述标识维护单元,还用于依据注销请求,解除所述第一设备身份标识。
根据本发明一优选实施方式,该装置还包括:第一交互单元,用于接收携带第一设备身份标识的注销请求;
所述绑定处理单元,还用于依据所述注销请求,删除所述用户的身份信息与所述第一设备身份标识之间的绑定关系。
根据本发明一优选实施方式,该装置还包括:口令验证单元,用于在所述第二交互单元接收到所述第一请求后,判断所述第一请求包含的用户认证口令是否超出有效期,如果是,则触发所述第二交互单元返回注册失败的响应;否则,触发所述标识维护单元执行利用所述用户认证口令,生成所述终端设备对应的第一设备身份标识。
根据本发明一优选实施方式,该装置还包括:登录处理单元;
所述第二交互单元,还用于接收所述终端设备的登录请求;
所述登录处理单元,用于判断所述登录请求包含的第一设备身份标识是否被解除,如果是,则登录失败;否则登录成功。
根据本发明一优选实施方式,该装置还包括:
转发处理单元,用于在所述第二交互单元接收到所述终端设备发送的包含第一设备身份标识的数据请求时,判断本地是否存在与所述第一设备身份标识存在绑定关系的用户的身份信息,如果是,则将所述数据请求转发至所述用户的身份信息对应的用户终端,否则拒绝所述数据请求;或者,
在第一交互单元接收到包含用户的身份信息的数据请求时,判断本地是否存在与所述用户的身份信息存在绑定关系的第一设备身份标识,如果是,则通过所述第二交互单元将所述数据请求转发至所述第一设备身份标识对应的终端设备;否则,拒绝所述数据请求。
根据本发明一优选实施方式,所述第一请求为身份注册请求;
所述第二请求为获取认证口令的请求。
本发明提供了一种设备标识的分配装置,该装置设置于用户终端,该装置包括:
服务端交互单元,用于从服务器端获取用户认证口令;
终端交互单元,用于将所述用户认证口令发送给终端设备以触发所述终端设备利用所述用户认证口令从服务器端获取所述终端设备对应的第一设备身份标识。
根据本发明一优选实施方式,所述终端交互单元,还用于接收所述终端设备返回的第一设备身份标识。
根据本发明一优选实施方式,所述服务端交互单元,具体用于向所述服务器端发送获取认证口令的请求;接收所述服务器端利用用户的身份信息生成并返回的用户认证口令。
根据本发明一优选实施方式,所述终端交互单元,具体利用局域网或者近距离通信方式将所述用户认证口令发送给终端设备。
根据本发明一优选实施方式,所述服务端交互单元,还用于向所述服务器端发送携带所述第一设备身份标识的注销请求。
根据本发明一优选实施方式,所述服务端交互单元,还用于向所述服务器端发送包含所述第一设备身份标识的数据请求。
本发明还提供了一种设备标识的分配装置,该装置设置于终端设备,该装置包括:
用户端交互单元,用于从用户终端接收用户认证口令;
服务端交互单元,用于向服务器端发送包含终端设备信息和用户认证口令的第一请求;接收所述服务器端返回的第一设备身份标识;
标识保存单元,用于保存所述服务端交互单元接收到的第一设备身份标识。
根据本发明一优选实施方式,所述用户端交互单元,还用于将所述第一设备身份标识返回给所述用户终端。
根据本发明一优选实施方式,所述服务端交互单元,还用于向所述服务器端发送包含所述第一设备身份标识的登录请求;如果登陆失败,则向所述服务器端发送包含终端设备信息的第一请求;接收所述服务器端返回的第二设备身份标识;
所述标识保存单元,还用于利用所述第二设备身份标识替换本地保存的第一设备身份标识。
根据本发明一优选实施方式,所述用户端交互单元,具体用于通过局域网或近距离通信方式从用户端接收用户认证口令。
根据本发明一优选实施方式,所述服务端交互单元,还用于向所述服务器端发送数据请求,所述数据请求包含所述标识保存单元保存的设备身份标识,该设备身份标识包括第一设备身份标识或第二设备身份标识。
由以上技术方案可以看出,在本发明中,服务器端依据用户认证口令生成终端设备对应的第一设备身份标识,而并非单纯依据终端设备信息来生成第一设备身份标识。这种方式即便终端设备被克隆,由于其无法得到用户认证口令,因此无法假冒终端设备的身份,提高了安全性。
【附图说明】
图1为物联网中物联设备与用户之间的数据交互示意图;
图2为现有技术中物联设备和用户之间的绑定流程示意图;
图3为本发明实施例提供的身份注册的主要方法流程图;
图4为本发明实施例提供的解除物联设备认证的方法流程图;
图5为本发明实施例提供的另一种身份注册的方法流程图;
图6为本发明实施例提供的设置于服务器端的装置结构图;
图7为本发明实施例提供的设置于用户终端的装置结构图;
图8为本发明实施例提供的设置于终端设备的装置结构图。
【具体实施方式】
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
首先需要说明的是,本发明所提供的方法和装置并不限于物联网下的物联设备身份认证,对于任意通过服务器与用户终端进行互通的终端设备,本发明均适用。这里的用户终端可以包括但不限于手机、平板电脑、笔记本电脑、PDA(个人数字助理)等能够运行APP的智能用户设备。与用户终端互通的终端设备可以包括但不限于智能家电设备、网络设备、可穿戴式设备、智能医疗设备、PC(个人计算机)等。其中智能移动设备可以包括诸如手机、平板电脑、笔记本电脑、PDA(个人数字助理)等。智能家电设备可以包括诸如智能电视、智能空调、智能热水器、智能冰箱、智能空气净化器等等。网络设备可以包括诸如交换机、无线AP、服务器等。可穿戴式设备可以包括诸如智能手表、智能眼镜、智能手环等等。智能医疗设备可以包括诸如智能体温计、智能血压仪、智能血糖仪等等。为了方便描述,本发明均以手机与物联设备为例进行描述。
图3为本发明实施例提供的身份注册的主要方法流程图,如图3中所示,该方法可以包括以下步骤:
在301中,用户通过手机APP向服务器端发送获取认证口令的请求。
在本发明实施例中,由用户端触发物联设备的身份注册和绑定。当用户想要通过手机与某物联设备实现绑定时,登录手机APP,通过该手机APP向服务器端发送获取认证口令的请求,在该请求中包含用户的身份信息。其中用户的身份信息可以是用户的登录账号,也可以是服务器端为用户分配的用户标识(User ID),也可以是用户向服务器端注册获取的用户身份ID等。
在302中,服务器端利用用户的身份信息生成用户认证口令。
若获取认证口令的请求中包含的是用户的登录账号,则可以利用用户的登录账号确定对应的User ID,然后利用User ID生成用户认证口令。若获取认证口令的请求中包含的是User ID,则可以直接利用该User ID生成用户认证口令。当然也可以利用用户身份ID等其他用户的身份信息来生成用户认证口令,在本实施例中仅以利用User ID生成用户认证口令为例。
生成用户认证口令的过程可以包括:将User ID和随机信息按顺序进行拼接后,对得到的信息进行加密处理,得到用户认证口令。例如,可以将User ID、当前时间以及服务器端随机生成的十进制3位随机数进行一次拼接后,对拼接得到的字符串计算MD5值,将得到的值作为用户认证口令。
上述方式生成的用户认证口令具备如下特点:1)可回溯性,即可以由用户认证口令回溯到用户的身份信息;2)随机性,即服务器端针对同一用户的多次认证请求,生成各不相同的用户认证口令;3)唯一性,即任何一个用户认证口令在服务器端均是唯一的,用户认证口令不可重复。
用户认证口令生成后,将用户的身份信息与用户认证口令之间的对应关系存储于本地。另外,每个用户认证口令可以存在有效期,当超出有效期后,用户认证口令失效。用户认证口令在服务器端存储的形式可以如表1中所示。
表1
Figure BDA0000905317630000111
一旦用户认证口令被使用,即在后续利用用户认证口令生成并下发了设备身份标识,则该用户认证口令失效。另外,对于超出有效期的用户认证口令,也被设置为无效。
在303中,服务器端将生成的用户认证口令返回给用户端的手机APP。
在304中,手机APP将用户认证口令发送给物联设备。
获取用户认证口令后,用户可以通过手机APP向该用户认证口令提供给要绑定的物联设备。在本步骤中若手机和物联设备处于同一局域网,则手机APP可以通过局域网将用户认证口令发送给物联设备。或者也可以通过近距离通信方式将用户认证口令发送给物联设备,例如通过蓝牙、红外传输、NFC(近场通信)等方式。
在305中,物联设备向服务器端发送包含终端设备信息和用户认证口令的注册请求。
其中,终端设备信息可以包括但不限于设备型号、设备MAC地址和设备的SN(Serial Number,产品序列号)中的至少一种。
在306中,服务器端利用注册请求包含的终端设备信息和用户认证口令,生成第一设备身份标识,保存用户的身份信息与第一设备身份标识之间的绑定关系。
其中生成第一设备身份标识所采用的算法需保证生成的第一设备身份标识唯一,在本发明实施例中可以采用安全哈希算法(SHA,Secure Hash Algorithm)。例如,可以将设备型号、设备MAC地址和设备的SN按预设的顺序进行拼接,然后采用诸如SHA-256算法对拼接后得到的信息进行处理,得到第一设备身份标识。
除了本步骤中所提供的利用终端设备信息和用户认证口令生成第一设备身份标识之外,还可以采用仅利用用户认证口令生成第一设备身份标识的方式,例如采用SHA-256算法对用户认证口令进行处理,得到第一设备身份标识。甚至可以直接将用户认证口令作为第一设备身份标识。然后在服务器端存储终端设备信息和用户认证口令之间的对应关系。
另外,在本步骤中,服务器可以首先对接收到的注册请求中包含的用户认证口令进行验证,即验证本地是否保存有该用户认证口令且该用户认证口令是有效的,如果是,则验证通过,生成第一设备身份标识。否则,验证失败。可以向物联设备返回注册失败的响应。
在保存绑定关系时,可以保存诸如User ID与第一设备身份标识之间的对应关系,从而实现用户与物联设备之间的绑定。
在307中,服务器端将第一设备身份标识返回给物联设备。
本步骤可以将第一设备身份标识携带在注册成功的响应中返回给物联设备。
在308中,物联设备在本地保存第一设备身份标识。
在本发明实施例中,一个物联设备可以允许仅与一个用户绑定,也可以允许与多个用户绑定。当与多个用户绑定时,该物联设备具有多个第一设备身份标识,在服务器端存储有该多个第一设备身份标识与不同用户之间的绑定关系。但考虑到物联设备的数据私密性,优选前一种方式,即仅允许一个物联设备与一个用户绑定。
若仅允许一个物联设备与一个用户绑定,那么物联设备可以利用接收到的第一设备身份标识替换本地已保存的设备身份标识。也就是说,一个物联设备在同一时间仅能够具有一个设备身份标识。
在309中,物联设备将第一设备身份标识返回给手机APP。
通过图3所示流程就可以完成物联设备的身份注册以及用户与物联设备的绑定。
对于物联设备发送给用户端的数据请求,服务器端判断本地是否存在该数据请求所包含第一设备身份标识的绑定关系,如果否,则可以拒绝该数据请求。如果是,则将数据请求转发至第一设备身份标识存在绑定关系的用户。
对于用户端发送给物联设备的数据请求,服务器端判断本地是否存在与该用户的身份标识存在绑定关系的第一设备身份标识,如果是,则将该数据请求转发至该第一设备身份标识对应的物联设备;否则,拒绝该数据请求。
通过本实施例可以看出,物联设备一旦被用户认证后,就需要更新使用新的第一设备身份标识,物联设备和用户端的绑定关系隐藏于第一设备身份标识中。当物联设备被某个用户认证后,该物联设备的数据仅归属于该用户,并接受该用户的访问控制。
需要说明的是,在上述实施例中是终端设备进行身份注册为例进行的描述,但本发明并不限于身份注册,也可以适用于除了身份注册之外任意需要进行设备标识分配的过程,相应地,上述的注册请求替换为其他相应类型的业务请求。
另外,图3所示流程中的步骤也可以存在其他可替换的实现方式,例如步骤304~305可以替换为:用户终端通过诸如扫描设备二维码等方式从物联设备获取终端设备信息,然后由手机APP将用户认证口令和终端设备信息发送给服务器端,然后服务器端执行306为物联设备分配第一设备身份标识。
再例如,步骤307~309也可以替换为:服务器端将第一设备身份标识返回给手机APP,由手机APP将该第一设备身份标识提供给物联设备,物联设备保存该第一设备身份标识。或者服务器端将第一设备身份标识返回给手机APP和物联设备,物联设备保存该第一设备身份标识。
若用户想要解除物联设备认证,可以通过图4所示流程实现。图4为本发明实施例提供的解除物联设备认证的方法流程图,如图4所示,该方法可以包括以下步骤:
在401中,用户通过手机APP向服务器端发送注销请求,该注销请求携带要解除的第一设备身份标识。
在402中,服务器端依据注销请求中携带的第一设备身份标识,解除该第一设备身份标识,并删除用户的身份信息与第一设备身份标识之间的绑定关系。
本步骤中所述解除第一设备身份标识可以是将该第一设备身份标识设置为无效/非法,或者将该第一设备身份标识从服务器端删除等。
在403中,服务器端向手机APP返回注销成功的响应。
服务器解除该第一设备身份标识后,后续利用该第一设备身份标识进行的登录和数据请求均会被拒绝。例如,用户端向服务器端解除物联设备的身份标识后,该物联设备又向服务器端发送登录请求,该登录请求中包含该物联设备的第一设备身份标识;服务器端判断该第一设备身份标识已被解除,则拒绝该物联设备的登录,向物联设备返回登录失败响应。
再例如,用户端向服务器端解除物联设备的第一设备身份标识后,该物联设备又向服务器端发送数据请求,该数据请求中包含该物联设备的第一设备身份标识;服务器端判断该第一设备身份标识已被解除,则拒绝该物联设备的数据请求。
在互联网、物联网等网络下,会存在多种多样的设备。同样以物联网为例,有一些网络设备,例如设置于公共场所的温度计,温度计采集的数据是需要服务器端收集后存储于数据库的,并不与特定的用户绑定。再例如路由器,通常也不经由服务器端与特定的用户绑定。这类设备可以称为“无主设备”,对于无主设备其身份注册还是需要采用现有的注册方式,即在服务器端仅依据终端设备的终端设备信息生成第二设备身份标识。其流程可以如图5所示,包括以下步骤:
在501中,物联设备向服务器端发送注册请求,该注册请求中包含终端设备信息。
其中终端设备信息可以包括诸如设备型号、设备MAC地址和设备的SN。
对于无主物联设备可以由其主动发起注册请求。或者无主物联设备在向服务器端发送登录请求时,由于在服务器端并没有该无主物联设备的设备身份标识以及绑定关系,则在拒绝其登录的同时,会通知其采用终端设备信息进行身份注册。终端设备信息接收到该通知后,主动发起注册请求,其中包含终端设备信息。还有一种情况,即已被解除身份认证的物联设备,其向服务器端发送登录请求时,由于服务器端确定该物联设备的第一身份认证标识已被解除,并返回登录失败响应。物联设备接收到该登录失败响应后,可以主动发起注册请求,其中仅包含终端设备信息。
在502中,服务器端利用终端设备信息,生成第二设备身份标识。
这种情况下,服务器端仅利用诸如设备型号、设备MAC地址和设备的SN这些原始物理信息,生成第二设备身份标识。这种方式与现有技术中的方式相同,在此不再详述。
在503中,服务器端向物联设备返回第二设备身份标识。
在504中,物联设备保存接收到的第二设备身份标识。
如果物联设备仅允许同时具有一个设备身份标识,且在物联设备本地已经存储有第一设备身份标识,则可以利用接收到的第二设备身份标识更新本地已经存储的第一设备身份标识。
对于无主物联设备发送的数据请求,服务器端接收到该数据请求后,确定其包含的是第二设备身份标识,则可以按照预设的处理方式对该数据请求进行处理,例如将该数据请求携带的数据送入数据库。
以上是对本发明所提供方法进行的详细描述,下面结合实施例对本发明提供的装置进行详细描述。
图6为本发明实施例提供的设置于服务器端的装置结构图,如图6中所示,该装置包括:第二交互单元03和标识维护单元04,还可以包括口令维护单元01、第一交互单元02、绑定处理单元05、口令验证单元06、登录处理单元07和转发处理单元08。各组成单元的主要功能如下:
第二交互单元03负责接收第一请求,该第一请求中包括终端设备信息和用户认证口令;该用户认证口令是根据在第一请求之前发送的第二请求生成的。
其中第一请求可以由终端设备或用户终端发送;第二请求可以由终端设备或用户终端发送。
第一交互单元02可以将第一设备标识发送给用户终端;和/或,将第一设备标识发送给终端设备。
口令维护单元01负责针对用户生成用户认证口令。具体地,第一交互单元02从用户端接收第二请求;再由口令维护单元01确定发送第一请求的用户的身份信息,并利用用户的身份信息生成用户认证口令;保存用户的身份信息对应的用户认证口令。
其中口令维护单元01在利用用户的身份信息生成用户认证口令时,可以将用户的身份信息和随机信息按预设的顺序进行拼接后,对拼接得到的信息进行加密处理,得到用户认证口令。
第一交互单元02负责将生成的用户认证口令发送给用户终端。
标识维护单元04利用用户认证口令,生成第一设备身份标识后,再由第二交互单元03将标识维护单元04生成的第一设备身份标识返回给终端设备,并由绑定处理单元05保存用户的身份信息与第一设备身份标识之间的绑定关系。
其中标识维护单元04可以仅利用用户认证口令生成第一设备身份标识,例如将用户认证口令采用安全哈希算法进行处理,得到第一设备身份标识,甚至可以直接将用户认证口令作为第一设备身份标识。
标识维护单元04也可以利用终端设备信息和用户认证口令,生成第一设备身份标识。例如将终端设备信息和用户认证口令按预设的顺序进行拼接后,采用安全哈希算法对拼接得到的信息进行处理,得到第一设备身份标识。
另外,用户认证口令可以存在一定的有效期,在第二交互单元03接收到第一请求后,口令验证单元06可以判断第一请求包含的用户认证口令是否超出有效期,如果是,则触发第二交互单元03向终端设备返回注册失败的响应;否则,触发标识维护单元04执行上述利用第一请求包含的终端设备信息和用户认证口令,生成第一设备身份标识的操作。
若第二交互单元03接收到的第一请求中不包含用户认证口令,则标识维护单元04可以利用接收到的第一请求中包含的终端设备信息,生成第二设备身份标识。第二交互单元03将第二设备身份标识返回给终端设备和/或用户终端。
上述第一交互单元02会接收到携带第一设备身份标识的注销请求。标识维护单元04依据注销请求中携带的第一设备身份标识,解除第一设备身份标识。绑定处理单元05依据注销请求中携带的第一设备身份标识,删除用户的身份信息与第一设备身份标识之间的绑定关系。
第二交互单元03接收到终端设备的登录请求后,登录处理单元07可以判断登录请求包含的第一设备身份标识是否被解除,如果是,则登录失败;否则登录成功。
对于用户终端和终端设备之间的数据交互,可以由转发处理单元08处理。即在第二交互单元03接收到终端设备发送的包含第一设备身份标识的数据请求时,转发处理单元08判断本地是否存在数据请求所包含第一设备身份标识的绑定关系,如果是,则将数据请求通过第一交互单元02转发至与第一设备身份标识存在绑定关系的用户身份信息对应的用户终端,否则拒绝数据请求。
在第一交互单元02接收到用户发送的数据请求时,转发处理单元08判断本地是否存在与用户的身份信息存在绑定关系的第一设备身份标识,如果是,则通过第二交互单元03将数据请求转发至第一设备身份标识对应的终端设备;否则,拒绝数据请求。
上述装置可以应用于终端设备的身份注册流程中,在这种应用场景下,上述的第一请求为身份注册请求,第二请求为获取认证口令的请求。
图7为本发明实施例提供的设置于用户终端的装置结构图,如图7中所示,该装置包括:服务端交互单元11和终端交互单元12。各组成单元的主要功能如下:
服务端交互单元11负责从服务器端获取用户认证口令。具体地,服务端交互单元11可以向服务器端发送获取认证口令的请求;接收服务器端利用用户的身份信息生成并返回的用户认证口令。
终端交互单元12负责将用户认证口令发送给终端设备以触发终端设备从服务器端获取所述终端设备对应的第一设备身份标识。还可以进一步接收终端设备返回的第一设备身份标识。
具体地,终端交互单元12可以利用局域网或者近距离通信方式将用户认证口令发送给终端设备。其中近距离通信方式可以包括但不限于蓝牙、红外、NFC等。
当用户希望解除某终端设备的认证以及绑定关系时,可以由服务端交互单元11向服务器端发送注销请求,该注销请求中携带第一设备身份标识。
另外,当用户希望向与其绑定的终端设备发送数据时,可以将该数据携带在数据请求中向服务器端发送,或者,当用户希望获取与其绑定的终端设备的数据时,也可以将所请求数据的信息携带在数据请求中向服务器端发送。即由服务端交互单元11向服务器端发送包含第一设备身份标识的数据请求。
图8为本发明实施例提供的设置于终端设备的装置结构图,如图8中所示,该装置可以包括:用户端交互单元21、服务端交互单元22和标识保存单元23,各组成单元的主要功能如下:
用户端交互单元21负责从用户终端接收用户认证口令。
服务端交互单元22负责向服务器端发送包含终端设备信息和用户认证口令的第一请求;接收服务器端返回的第一设备身份标识。
标识保存单元23负责保存服务端交互单元22接收到的第一设备身份标识。
再由用户端交互单元21将服务端交互单元22接收到的第一设备身份标识返回给用户终端。
另外,服务端交互单元22可以向服务器端发送包含第一设备身份标识的登录请求;如果登陆失败,则向服务器端发送包含终端设备信息的第一请求;接收服务器端返回的第二设备身份标识。由标识保存单元23利用第二设备身份标识替换本地保存的第一设备身份标识。
上述第一设备身份标识是服务器端利用终端设备信息和用户认证口令生成的,第二设备身份标识是服务器端仅利用终端设备信息生成的。
当该装置应用于终端设备的身份注册时,上述第一请求可以为注册请求。
用户端交互单元21可以通过局域网或近距离通信方式从用户端接收用户认证口令。其中近距离通信方式可以包括但不限于蓝牙、红外、NFC等。
服务端交互单元22后续向服务器端发送数据请求时,在数据请求中携带标识保存单元23保存的设备身份标识。
本发明提供的上述方法和装置能够被广泛地应用于物联网中,例如用户通过手机APP采用上述方式触发设置于固定地点的火警探头进行身份注册,并成功与该火警探头绑定。当该火警探头探测到异常数据时,就能够向服务器端发送包含该异常数据的数据请求,由服务器端根据身份注册过程中保存的用户的身份信息与该火警探头的身份标识之间的绑定关系,将异常数据转发给用户的手机APP。由于是手机APP从服务器端获取用户认证口令后,将用户认证口令提供给火警探头并触发火警探头向服务器请求的身份注册,在身份注册过程中服务器端需要利用用户认证口令针对火警探头生成设备身份标识,即便存在克隆设备获取了该火警探头的原始物理信息,但由于无法获取用户认证口令,因此无法仿冒火警探头的身份而产生攻击数据或虚假数据。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (46)

1.一种设备标识的分配方法,其特征在于,该方法包括:
接收第一请求,所述第一请求中包括终端设备信息和用户认证口令;所述用户认证口令是根据在所述第一请求之前发送的第二请求包含的用户的身份信息生成的;
利用所述用户认证口令,生成所述终端设备对应的第一设备身份标识,保存所述用户的身份信息与所述第一设备身份标识之间的绑定关系,以依据所述绑定关系确定是否在终端设备和用户终端之间转发数据;
将所述第一设备身份标识发送给终端设备和所述用户终端;
接收携带所述第一设备身份标识的注销请求;
解除所述第一设备身份标识。
2.根据权利要求1所述的方法,其特征在于,所述第一请求由所述终端设备或用户终端发送;
所述第二请求由所述终端设备或所述用户终端发送。
3.根据权利要求1所述的方法,其特征在于,所述用户认证口令采用以下方式生成:
接收所述第二请求;
确定用户的身份信息,并利用所述用户的身份信息生成用户认证口令;
保存所述用户的身份信息对应的用户认证口令。
4.根据权利要求3所述的方法,其特征在于,利用所述用户的身份信息生成用户认证口令包括:
将所述用户的身份信息和随机信息按预设的顺序进行拼接后,对拼接得到的信息进行加密处理,得到用户认证口令。
5.根据权利要求1所述的方法,其特征在于,若接收到的第一请求中不包含用户认证口令,则该方法还包括:
利用接收到的第一请求中包含的终端设备信息,生成第二设备身份标识。
6.根据权利要求5所述的方法,其特征在于,该方法还包括:
将生成的第二设备身份标识返回给所述终端设备和用户终端。
7.根据权利要求1或5所述的方法,其特征在于,所述终端设备信息包括设备型号、设备MAC地址和设备的产品序列号中的至少一种。
8.根据权利要求1所述的方法,其特征在于,利用所述用户认证口令,生成第一设备身份标识包括:
将用户认证口令采用安全哈希算法进行处理,得到第一设备身份标识;或者,
将所述终端设备信息和用户认证口令按预设的顺序进行拼接后,采用安全哈希算法对所述拼接得到的信息进行处理,得到第一设备身份标识。
9.根据权利要求1所述的方法,其特征在于,该方法还包括:
接收携带所述第一设备身份标识的注销请求;
删除所述用户的身份信息与所述第一设备身份标识之间的绑定关系。
10.根据权利要求1所述的方法,其特征在于,利用所述用户认证口令,生成所述终端设备对应的第一设备身份标识之前,该方法还包括:
判断所述第一请求包含的用户认证口令是否超出有效期,如果是,则返回注册失败的响应;否则,执行利用所述用户认证口令,生成所述终端设备对应的第一设备身份标识的步骤。
11.根据权利要求10所述的方法,其特征在于,该方法还包括:
接收登录请求;
判断所述登录请求包含的第一设备身份标识是否被解除,如果是,则登录失败;否则登录成功。
12.根据权利要求1所述的方法,其特征在于,该方法还包括:
接收包含第一设备身份标识的数据请求,判断本地是否存在与所述第一设备身份标识存在绑定关系的用户的身份信息;如果是,则将所述数据请求转发至所述用户的身份信息对应的用户终端,否则拒绝所述数据请求;或者,
接收包含用户的身份信息的数据请求,判断本地是否存在与所述用户的身份信息存在绑定关系的第一设备身份标识,如果是,则将所述数据请求转发至所述第一设备身份标识对应的终端设备;否则,拒绝所述数据请求。
13.根据权利要求1至6、8至12中任一项所述的方法,其特征在于,所述第一请求为身份注册请求;
所述第二请求为获取认证口令的请求。
14.一种设备标识的分配方法,其特征在于,该方法包括:
从服务器端获取用户认证口令,所述用户认证口令是服务器端依据用户的身份信息生成的;
将所述用户认证口令发送给终端设备,以触发所述终端设备利用所述用户认证口令从服务器端获取所述终端设备对应的第一设备身份标识以及实现在所述服务器端保存用户的身份信息与所述第一设备身份标识之间的绑定关系,以依据所述绑定关系确定是否在终端设备和用户终端之间转发数据;
向所述服务器端发送携带所述第一设备身份标识的注销请求以解除所述第一设备身份标识。
15.根据权利要求14所述的方法,其特征在于,该方法还包括:
接收所述终端设备返回的第一设备身份标识。
16.根据权利要求14所述的方法,其特征在于,所述从服务器端获取用户认证口令包括:
向所述服务器端发送获取认证口令的请求;
接收所述服务器端利用用户的身份信息生成并返回的用户认证口令。
17.根据权利要求14所述的方法,其特征在于,将所述用户认证口令发送给终端设备包括:
利用局域网或者近距离通信方式将所述用户认证口令发送给终端设备。
18.根据权利要求14至17任一项所述的方法,其特征在于,该方法还包括:
向所述服务器端发送包含所述第一设备身份标识的数据请求。
19.一种设备标识的分配方法,其特征在于,该方法包括:
从用户终端接收用户认证口令,所述用户认证口令是服务器端利用用户的身份信息生成并发送给所述用户终端的;
向服务器端发送包含终端设备信息和用户认证口令的第一请求,以便所述服务器端用所述用户认证口令,生成所述终端设备对应的第一设备身份标识并保存用户的身份信息与所述第一设备身份标识之间的绑定关系,以依据所述绑定关系确定是否在终端设备和用户终端之间转发数据;
接收并保存所述服务器端返回的第一设备身份标识;
其中,所述第一设备身份标识能够依据携带所述第一设备身份标识的注销请求而被解除。
20.根据权利要求19所述的方法,其特征在于,该方法还包括:
将所述第一设备身份标识返回给所述用户终端。
21.根据权利要求19所述的方法,其特征在于,该方法还包括:
向所述服务器端发送包含所述第一设备身份标识的登录请求;
如果登录失败,则向所述服务器端发送包含终端设备信息的第一请求;
利用接收到的第二设备身份标识替换本地保存的第一设备身份标识。
22.根据权利要求19所述的方法,其特征在于,所述从用户终端接收用户认证口令包括:
通过局域网或近距离通信方式从用户终端接收用户认证口令。
23.根据权利要求19至22任一项所述的方法,其特征在于,该方法还包括:
向所述服务器端发送数据请求,所述数据请求包含本地保存的设备身份标识,该设备身份标识包括第一设备身份标识或第二设备身份标识。
24.一种设备标识的分配装置,设置于服务器端,其特征在于,该装置包括:
第二交互单元,用于接收第一请求,所述第一请求中包括终端设备信息和用户认证口令;所述用户认证口令是根据在所述第一请求之前发送的第二请求包含的用户的身份信息生成的;
标识维护单元,用于利用所述用户认证口令,生成所述终端设备对应的第一设备身份标识;
绑定处理单元,用于保存所述用户的身份信息与所述第一设备身份标识之间的绑定关系,以依据所述绑定关系确定是否在终端设备和用户终端之间转发数据;
第一交互单元,用于将所述第一设备身份标识发送给所述用户终端和所述终端设备;
所述第一交互单元,还用于接收携带第一设备身份标识的注销请求;
所述标识维护单元,还用于依据注销请求,解除所述第一设备身份标识。
25.根据权利要求24所述的装置,其特征在于,所述第一请求由所述终端设备或用户终端发送;
所述第二请求由所述终端设备或所述用户终端发送。
26.根据权利要求24所述的装置,其特征在于,该装置还包括:口令维护单元;
所述第一交互单元,用于接收所述第二请求;
所述口令维护单元,用于确定发送所述第二请求的用户的身份信息,并利用所述用户的身份信息生成用户认证口令;保存所述用户的身份信息对应的用户认证口令。
27.根据权利要求26所述的装置,其特征在于,所述口令维护单元在利用所述用户的身份信息生成用户认证口令时,具体执行:
将所述用户的身份信息和随机信息按预设的顺序进行拼接后,对拼接得到的信息进行加密处理,得到用户认证口令。
28.根据权利要求24所述的装置,其特征在于,所述标识维护单元,还用于在所述第一请求中不包含用户认证口令时,利用所述第一请求中包含的终端设备信息,生成第二设备身份标识。
29.根据权利要求28所述的装置,其特征在于,所述第一交互单元,还用于将所述第二设备身份标识返回给用户终端;和,
所述第二交互单元,还用于将所述第二设备身份标识返回给所述终端设备。
30.根据权利要求24或28所述的装置,其特征在于,所述终端设备信息包括设备型号、设备MAC地址和设备的产品序列号中的至少一种。
31.根据权利要求24所述的装置,其特征在于,所述标识维护单元,具体用于:
将用户认证口令采用安全哈希算法进行处理,得到第一设备身份标识;或者,
将所述终端设备信息和用户认证口令按预设的顺序进行拼接后,采用安全哈希算法对所述拼接得到的信息进行处理,得到第一设备身份标识。
32.根据权利要求24所述的装置,其特征在于,所述绑定处理单元,还用于依据所述注销请求,删除所述用户的身份信息与所述第一设备身份标识之间的绑定关系。
33.根据权利要求24所述的装置,其特征在于,该装置还包括:口令验证单元,用于在所述第二交互单元接收到所述第一请求后,判断所述第一请求包含的用户认证口令是否超出有效期,如果是,则触发所述第二交互单元返回注册失败的响应;否则,触发所述标识维护单元执行利用所述用户认证口令,生成所述终端设备对应的第一设备身份标识。
34.根据权利要求24所述的装置,其特征在于,该装置还包括:登录处理单元;
所述第二交互单元,还用于接收所述终端设备的登录请求;
所述登录处理单元,用于判断所述登录请求包含的第一设备身份标识是否被解除,如果是,则登录失败;否则登录成功。
35.根据权利要求34所述的装置,其特征在于,该装置还包括:
转发处理单元,用于在所述第二交互单元接收到所述终端设备发送的包含第一设备身份标识的数据请求时,判断本地是否存在与所述第一设备身份标识存在绑定关系的用户的身份信息,如果是,则将所述数据请求转发至所述用户的身份信息对应的用户终端,否则拒绝所述数据请求;或者,
在第一交互单元接收到包含用户的身份信息的数据请求时,判断本地是否存在与所述用户的身份信息存在绑定关系的第一设备身份标识,如果是,则通过所述第二交互单元将所述数据请求转发至所述第一设备身份标识对应的终端设备;否则,拒绝所述数据请求。
36.根据权利要求24至29、31至35任一项所述的装置,其特征在于,所述第一请求为身份注册请求;
所述第二请求为获取认证口令的请求。
37.一种设备标识的分配装置,该装置设置于用户终端,其特征在于,该装置包括:
服务端交互单元,用于从服务器端获取用户认证口令,所述用户认证口令是服务器端依据用户的身份信息生成的;
终端交互单元,用于将所述用户认证口令发送给终端设备,以触发所述终端设备利用所述用户认证口令从服务器端获取所述终端设备对应的第一设备身份标识以及实现在所述服务器端保存用户的身份信息与所述第一设备身份标识之间的绑定关系,以依据所述绑定关系确定是否在终端设备和用户终端之间转发数据;
所述服务端交互单元,还用于向所述服务器端发送携带所述第一设备身份标识的注销请求以解除所述第一设备身份标识。
38.根据权利要求37所述的装置,其特征在于,所述终端交互单元,还用于接收所述终端设备返回的第一设备身份标识。
39.根据权利要求37所述的装置,其特征在于,所述服务端交互单元,具体用于向所述服务器端发送获取认证口令的请求;接收所述服务器端利用用户的身份信息生成并返回的用户认证口令。
40.根据权利要求37所述的装置,其特征在于,所述终端交互单元,具体利用局域网或者近距离通信方式将所述用户认证口令发送给终端设备。
41.根据权利要求37至40任一项所述的装置,其特征在于,所述服务端交互单元,还用于向所述服务器端发送包含所述第一设备身份标识的数据请求。
42.一种设备标识的分配装置,该装置设置于终端设备,其特征在于,该装置包括:
用户端交互单元,用于从用户终端接收用户认证口令,所述用户认证口令是服务器端利用用户的身份信息生成并发送给所述用户终端的;
服务端交互单元,用于向服务器端发送包含终端设备信息和用户认证口令的第一请求,以便所述服务器端用所述用户认证口令,生成所述终端设备对应的第一设备身份标识并保存用户的身份信息与所述第一设备身份标识之间的绑定关系,以依据所述绑定关系确定是否在终端设备和用户终端之间转发数据;接收所述服务器端返回的第一设备身份标识;
标识保存单元,用于保存所述服务端交互单元接收到的第一设备身份标识;
其中,所述第一设备身份标识能够依据携带所述第一设备身份标识的注销请求而被解除。
43.根据权利要求42所述的装置,其特征在于,所述用户端交互单元,还用于将所述第一设备身份标识返回给所述用户终端。
44.根据权利要求42所述的装置,其特征在于,所述服务端交互单元,还用于向所述服务器端发送包含所述第一设备身份标识的登录请求;如果登陆失败,则向所述服务器端发送包含终端设备信息的第一请求;接收所述服务器端返回的第二设备身份标识;
所述标识保存单元,还用于利用所述第二设备身份标识替换本地保存的第一设备身份标识。
45.根据权利要求42所述的装置,其特征在于,所述用户端交互单元,具体用于通过局域网或近距离通信方式从用户端接收用户认证口令。
46.根据权利要求42至45任一项所述的装置,其特征在于,所述服务端交互单元,还用于向所述服务器端发送数据请求,所述数据请求包含所述标识保存单元保存的设备身份标识,该设备身份标识包括第一设备身份标识或第二设备身份标识。
CN201610018126.0A 2016-01-12 2016-01-12 一种设备标识的分配方法和装置 Active CN106960148B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201610018126.0A CN106960148B (zh) 2016-01-12 2016-01-12 一种设备标识的分配方法和装置
PCT/CN2017/070148 WO2017121270A1 (zh) 2016-01-12 2017-01-04 一种设备标识的分配方法和装置
US16/033,128 US11178134B2 (en) 2016-01-12 2018-07-11 Method and apparatus for allocating device identifiers

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610018126.0A CN106960148B (zh) 2016-01-12 2016-01-12 一种设备标识的分配方法和装置

Publications (2)

Publication Number Publication Date
CN106960148A CN106960148A (zh) 2017-07-18
CN106960148B true CN106960148B (zh) 2021-05-14

Family

ID=59310751

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610018126.0A Active CN106960148B (zh) 2016-01-12 2016-01-12 一种设备标识的分配方法和装置

Country Status (3)

Country Link
US (1) US11178134B2 (zh)
CN (1) CN106960148B (zh)
WO (1) WO2017121270A1 (zh)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106603586B (zh) * 2015-10-14 2020-09-29 阿里巴巴集团控股有限公司 一种生成设备标识的方法、装置和***
CN106960148B (zh) * 2016-01-12 2021-05-14 阿里巴巴集团控股有限公司 一种设备标识的分配方法和装置
CN106997527A (zh) * 2016-01-25 2017-08-01 阿里巴巴集团控股有限公司 基于移动终端p2p的信用支付方法及装置
EP3217629B1 (de) * 2016-03-09 2018-02-14 VEGA Grieshaber KG Registrierung von messgeräten über das internet
CN110034984B (zh) * 2016-03-29 2021-09-07 华为技术有限公司 一种接入方法、设备及***
JP6841052B2 (ja) * 2017-01-20 2021-03-10 ブラザー工業株式会社 通信システム及び登録サーバ
CN107483418A (zh) * 2017-07-27 2017-12-15 阿里巴巴集团控股有限公司 登录处理方法、业务处理方法、装置及服务器
CN107592245A (zh) * 2017-08-28 2018-01-16 合肥美的智能科技有限公司 基于智能冰箱的组网及控制方式、***、智能冰箱
CN107645498A (zh) * 2017-09-11 2018-01-30 珠海格力电器股份有限公司 一种身份验证方法和装置
CN107766738A (zh) * 2017-09-12 2018-03-06 阿里巴巴集团控股有限公司 一种智能设备的绑定方法、装置和***、通讯***
CN108401037B (zh) * 2018-01-23 2021-07-06 创新先进技术有限公司 用户终端和设备的绑定方法、装置和***
CN110868374A (zh) * 2018-08-27 2020-03-06 京东方科技集团股份有限公司 安全认证方法、服务器及客户端设备
CN111327561B (zh) * 2018-12-13 2022-06-03 中国电信股份有限公司 认证方法、***、认证服务器和计算机可读存储介质
CN110418344A (zh) * 2019-07-24 2019-11-05 秒针信息技术有限公司 一种设备身份标识生成的方法及装置
CN110381506A (zh) * 2019-07-24 2019-10-25 深圳市商汤科技有限公司 接入方法及装置、电子设备和存储介质
DE102019122514A1 (de) * 2019-08-21 2021-02-25 LUPUS-ELECTRONICS GmbH Verfahren zur Zuordnung eines zu registrierenden Rauchmelders und ein entsprechendes Rauchmelderverwaltungssystem
CN111246452B (zh) * 2020-01-03 2022-05-03 北京云派网络科技有限公司 基于云手机模拟真实手机的方法
CN115004666A (zh) * 2020-02-05 2022-09-02 Oppo广东移动通信有限公司 物联网设备的注册方法、装置、设备及存储介质
CN111355707B (zh) * 2020-02-12 2022-06-17 深圳市晨北科技有限公司 一种数据处理方法及相关设备
CN115098847A (zh) * 2020-04-17 2022-09-23 支付宝(杭州)信息技术有限公司 一种物联网设备身份信息生成方法、装置及电子设备
EP3937526A1 (en) * 2020-07-07 2022-01-12 Grundfos Holding A/S Enrolment procedure for a device to a cloud storage
CN111859435B (zh) * 2020-07-29 2023-06-23 北京千丁互联科技有限公司 一种数据安全处理方法及装置
CN114338055B (zh) * 2020-09-25 2023-10-13 腾讯科技(深圳)有限公司 一种身份认证方法及装置
CN112265877A (zh) * 2020-10-16 2021-01-26 上海新时达电气股份有限公司 获取电子身份证的方法、***和装置
CN113269560A (zh) * 2021-05-14 2021-08-17 河北幸福消费金融股份有限公司 身份验证方法、增强交易安全性的方法和存储介质
CN115484353A (zh) * 2021-06-16 2022-12-16 中移动信息技术有限公司 适用于水印图片的处理方法、电子设备及存储介质

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003006168A (ja) * 2001-06-25 2003-01-10 Ntt Docomo Inc 移動端末認証方法及び移動端末
JP3753039B2 (ja) * 2001-09-21 2006-03-08 ヤマハ株式会社 電子音楽装置
US7146403B2 (en) * 2001-11-02 2006-12-05 Juniper Networks, Inc. Dual authentication of a requestor using a mail server and an authentication server
JP2005025337A (ja) * 2003-06-30 2005-01-27 Sony Corp 機器登録システム、機器登録サーバ、機器登録方法、機器登録プログラム、記憶媒体、及び端末機器
WO2009030972A1 (en) * 2007-09-06 2009-03-12 Chin San Sathya Wong Method and system of generating and presenting search results
DE102010033232A1 (de) * 2010-08-03 2012-02-09 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum Bereitstellen eines Einmalpasswortes
CN102377756B (zh) * 2010-08-23 2014-11-05 ***通信有限公司 业务访问、鉴权方法及对应的***、客户端、鉴权服务器
JP5494816B2 (ja) * 2010-10-20 2014-05-21 日本電気株式会社 通信制御装置、システム、方法及びプログラム
ES2644593T3 (es) * 2012-06-29 2017-11-29 Huawei Technologies Co., Ltd. Método y dispositivo de autentificación de identidad
WO2014026199A1 (en) * 2012-08-10 2014-02-13 Chipp'd Ltd. System for providing multiple levels of authentication before delivering private content to client devices
CN104243538A (zh) * 2013-06-24 2014-12-24 腾讯科技(深圳)有限公司 资源分享方法和***
US9178877B1 (en) * 2013-09-25 2015-11-03 Juniper Networks, Inc. Providing a service based on time and location based passwords
CN103581201A (zh) * 2013-11-15 2014-02-12 华为技术有限公司 认证授权方法和装置
US20150142667A1 (en) * 2013-11-16 2015-05-21 Mads Landrok Payment authorization system
KR20160096202A (ko) * 2013-12-25 2016-08-12 후아웨이 테크놀러지 컴퍼니 리미티드 네트워크 결제 방법, 장치 및 시스템
US9306939B2 (en) * 2014-05-30 2016-04-05 Oracle International Corporation Authorization token cache system and method
CN105472597B (zh) * 2014-08-20 2020-04-07 中兴通讯股份有限公司 应用的注册方法及装置
CN105430747B (zh) * 2014-09-22 2019-04-09 阿里巴巴集团控股有限公司 一种通信方法、装置及***
US9998463B2 (en) * 2014-12-27 2018-06-12 Airwatch, Llc Peer to peer enterprise file sharing
CN105141628B (zh) * 2015-09-18 2018-06-29 飞天诚信科技股份有限公司 一种实现推送的方法及装置
US9749323B2 (en) * 2015-03-27 2017-08-29 Intel Corporation Technologies for secure server access using a trusted license agent
CN104796265B (zh) * 2015-05-06 2017-12-01 厦门大学 一种基于蓝牙通信接入的物联网身份认证方法
CN105162785B (zh) * 2015-09-07 2019-01-04 飞天诚信科技股份有限公司 一种基于认证设备进行注册的方法和设备
CN106960148B (zh) * 2016-01-12 2021-05-14 阿里巴巴集团控股有限公司 一种设备标识的分配方法和装置

Also Published As

Publication number Publication date
CN106960148A (zh) 2017-07-18
US20180324170A1 (en) 2018-11-08
US11178134B2 (en) 2021-11-16
WO2017121270A1 (zh) 2017-07-20

Similar Documents

Publication Publication Date Title
CN106960148B (zh) 一种设备标识的分配方法和装置
EP3346660B1 (en) Authentication information update method and device
KR102390410B1 (ko) 컴퓨팅 디바이스들이 서로 근접해 있을 때를 식별할 수 있게 하기 위한 기법들
CN103597799B (zh) 服务访问认证方法和***
WO2018145605A1 (zh) 鉴权方法及服务器、访问控制装置
CN108259502B (zh) 用于获取接口访问权限的鉴定方法、服务端及存储介质
TWI654534B (zh) Identity authentication method, device and server
US10419431B2 (en) Preventing cross-site request forgery using environment fingerprints of a client device
EP3297243B1 (en) Trusted login method and device
EP2924944B1 (en) Network authentication
JP2016524248A (ja) 身元情報の窃盗又は複製行為から保護する方法及びシステム
JP2016521932A (ja) 端末識別方法、ならびにマシン識別コードを登録する方法、システム及び装置
WO2016188335A1 (zh) 用户数据的访问控制方法、装置及***
Huang et al. A token-based user authentication mechanism for data exchange in RESTful API
CN104796255A (zh) 一种客户端的安全认证方法、设备及***
CN106535189B (zh) 网络访问控制信息配置方法、装置及出口网关
CN105187417A (zh) 权限获取方法和装置
CN109460647B (zh) 一种多设备安全登录的方法
CN107094079B (zh) 一种开通终端功能的方法、装置和设备
TWI738708B (zh) 驗證資訊的更新方法及裝置
CN113812125B (zh) 登录行为的校验方法及装置、***、存储介质、电子装置
CN113094719B (zh) 访问控制方法、装置、设备
CN110049067B (zh) 会话密钥的传输方法、设备及计算机可读存储介质
CN104519073A (zh) 一种aaa多因子安全增强认证方法
CN109145561B (zh) 计算机的鉴权方法及其设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant