CN107070917B - 一种网络应用登陆方法和*** - Google Patents

一种网络应用登陆方法和*** Download PDF

Info

Publication number
CN107070917B
CN107070917B CN201710244614.8A CN201710244614A CN107070917B CN 107070917 B CN107070917 B CN 107070917B CN 201710244614 A CN201710244614 A CN 201710244614A CN 107070917 B CN107070917 B CN 107070917B
Authority
CN
China
Prior art keywords
information
pin code
router
terminal
intelligent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710244614.8A
Other languages
English (en)
Other versions
CN107070917A (zh
Inventor
李东声
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tendyron Corp
Original Assignee
Tendyron Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tendyron Corp filed Critical Tendyron Corp
Priority to CN201710244614.8A priority Critical patent/CN107070917B/zh
Publication of CN107070917A publication Critical patent/CN107070917A/zh
Application granted granted Critical
Publication of CN107070917B publication Critical patent/CN107070917B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明提供了一种网络应用登陆方法和***,其中方法包括:在智能密钥设备与终端建立连接后,终端触发验证设备执行智能密钥设备的PIN码验证流程;验证通过,身份认证服务器保存PIN码验证通过信息;智能密钥设备与路由器之间执行身份认证流程;路由器在认证通过时,为终端分配IP地址,保存智能密钥设备身份信息与IP地址的绑定信息;终端向应用服务器发送应用登陆服务请求信息,触发路由器与应用服务器之间执行确定与终端匹配的智能密钥设备身份信息的流程,应用服务器获得确定出的智能密钥设备身份信息;应用服务器向身份认证服务器发送PIN码验证状态查询请求;在获得PIN码验证完成确认信息的情况下,通过路由器向终端提供应用登陆服务。

Description

一种网络应用登陆方法和***
技术领域
本发明涉及一种电子技术领域,尤其涉及一种网络应用登陆方法和***。
背景技术
路由器是连接因特网中个局域网、广域网的设备,它会根据信道的情况自动选择和设定路由并传输信号。用户使用终端设备(电脑、手机等)上网时,可以通过路由器连接应用服务器。为了保证应用数据的安全性,用户的终端设备在登陆应用服务器时通常需要输入该应用对应的密码,例如:用户使用电脑登陆邮箱时,需要输入邮箱的密码。由于每个应用的密码可能不同,用户需要记住每个应用对应的密码,并且每次登陆应用时都需要输入对应的密码,从而导致用户登陆应用的过程比较繁杂。因此,现亟需一种应用登陆的方法,在保证应用数据安全性的前提下,降低用户通过路由器登陆不同应用时的繁琐性。
发明内容
本发明旨在解决上述问题之一。
本发明的主要目的在于提供一种网络应用登陆方法。
本发明的另一目的在于提供一种网络应用登陆***。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明一方面提供了一种网络应用登陆方法,该方法包括:在智能密钥设备与终端建立连接后,终端触发验证设备执行智能密钥设备的PIN码验证流程;若验证通过,身份认证服务器获取并保存PIN码验证通过信息;智能密钥设备通过终端与路由器之间执行身份认证流程;路由器在身份认证流程结果为认证通过时,为终端分配IP地址,保存智能密钥设备身份信息与IP地址的绑定信息,智能密钥设备身份信息为智能密钥设备证书或智能密钥设备ID;终端通过路由器向应用服务器发送应用登陆服务请求信息,触发路由器与应用服务器之间执行根据终端的IP地址以及智能密钥设备身份信息与IP地址的绑定信息确定与终端匹配的智能密钥设备身份信息的流程,应用服务器获得确定出的智能密钥设备身份信息;应用服务器通过路由器向身份认证服务器发送PIN码验证状态查询请求;身份认证服务器接收PIN码验证状态查询请求,查询是否存有PIN码验证通过信息及查询PIN码验证通过信息的状态,如果身份认证服务器存有PIN码验证通过信息且PIN码验证通过信息的状态为有效,则通过路由器向应用服务器发送PIN码验证完成确认信息;应用服务器在获得PIN码验证完成确认信息的情况下,根据确定出的智能密钥设备身份信息通过路由器向终端提供应用登陆服务。
此外,触发验证设备执行智能密钥设备的PIN码验证流程,包括:终端提示PIN码输入提示信息,接收PIN码并生成PIN码验证信息,将PIN码验证信息发送至智能密钥设备,智能密钥设备接收PIN码验证信息并验证,若验证通过,则生成PIN码验证通过信息,并通过终端和路由器发送至身份认证服务器;或者,终端提示PIN码输入提示信息,接收PIN码并生成PIN码验证信息,将PIN码验证信息发送至身份认证服务器,身份认证服务器接收PIN码验证信息并验证,若验证通过,则生成PIN码验证通过信息;或者,终端将PIN码输入提示信息发送至智能密钥设备,智能密钥设备接收PIN码输入提示信息并提示,接收PIN码并验证,若验证通过,则生成PIN码验证通过信息,并通过终端和路由器发送至身份认证服务器;或者,终端将PIN码输入提示信息发送至智能密钥设备,智能密钥设备接收PIN码输入提示信息并提示,接收PIN码并生成PIN码验证信息,将PIN码验证信息通过终端和路由器发送至身份认证服务器,身份认证服务器接收PIN码验证信息并验证,若验证通过,则生成PIN码验证通过信息。
此外,终端通过路由器向应用服务器发送应用登陆服务请求信息,触发路由器与应用服务器之间执行根据终端的IP地址以及智能密钥设备身份信息与IP地址的绑定信息确定与终端匹配的智能密钥设备身份信息的流程,应用服务器获得确定出的智能密钥设备身份信息,包括:终端通过路由器向应用服务器发送应用登陆服务请求信息,应用登陆服务请求信息中包括智能密钥设备身份信息和IP地址;应用服务器接收应用登陆服务请求信息,向路由器发送智能密钥设备身份验证请求,智能密钥设备身份验证请求中包括智能密钥设备身份信息和IP地址;路由器接收智能密钥设备身份验证请求,根据IP地址和绑定信息,对智能密钥设备身份验证请求中携带的智能密钥设备身份信息进行验证,得到智能密钥设备身份验证结果信息并发送至应用服务器;应用服务器接收智能密钥设备身份验证结果信息,若智能密钥设备身份验证结果信息为验证通过,则应用登陆服务请求信息中携带的智能密钥设备身份信息为确定出的智能密钥设备身份信息;或者,终端通过路由器向应用服务器发送应用登陆服务请求信息,应用登陆服务请求信息中包括IP地址;应用服务器向路由器发送智能密钥设备身份信息请求,智能密钥设备身份信息请求中至少包括IP地址;路由器接收智能密钥设备身份验证请求,根据IP地址和绑定信息,得到智能密钥设备身份信息并发送至应用服务器;应用服务器接收智能密钥设备身份信息,智能密钥设备身份信息为确定出的智能密钥设备身份信息;或者,终端向路由器发送应用登陆服务请求信息,应用登陆服务请求信息中包括IP地址;路由器接收终端发送的应用登陆服务请求信息之后,根据IP地址和绑定信息,得到智能密钥设备身份信息;路由器向应用服务器发送应用登陆服务请求信息和智能密钥设备身份信息,应用服务器接收应用登陆服务请求信息和智能密钥设备身份信息,智能密钥设备身份信息为确定出的智能密钥设备身份信息。
此外,身份认证服务器获取并保存PIN码验证通过信息之后,方法还包括:终端检测到终端与智能密钥设备的连接断开时,通过路由器向身份认证服务器发送连接断开通知信息;身份认证服务器在接收到连接断开通知信息后,执行使PIN码验证通过信息失效的操作;或者,路由器检测到路由器与终端的连接断开时,向身份认证服务器发送设备离开信息,并在检测到路由器与终端再次连接时,向身份认证服务器发送设备接入信息;身份认证服务器接收到设备离开信息,使用计时器开始计时,如果在计时达到第一预设时间之前接收到设备接入信息,则维持PIN码验证通过信息有效,如果在计时达到第一预设时间之前没有接收到设备接入信息,则执行使PIN码验证通过信息失效的操作;或者,身份认证服务器使用计时器开始计时,在计时达到第二预设时间之前,维持PIN码验证通过信息有效,在计时达到第二预设时间之后,执行使PIN码验证通过信息失效的操作。
本发明另一方面提供了一种网络应用登陆***,该***包括:终端、智能密钥设备、路由器、身份认证服务器以及应用服务器;终端,用于在与智能密钥设备建立连接后,触发验证设备执行智能密钥设备的PIN码验证流程;身份认证服务器,用于在PIN码验证流程验证通过时,获取并保存PIN码验证通过信息;智能密钥设备,用于通过终端与路由器之间执行身份认证流程;路由器,用于在身份认证流程结果为认证通过时,为终端分配IP地址,保存智能密钥设备身份信息与IP地址的绑定信息,智能密钥设备身份信息为智能密钥设备证书或智能密钥设备ID;终端,还用于通过路由器向应用服务器发送应用登陆服务请求信息,触发路由器与应用服务器之间执行根据终端的IP地址以及智能密钥设备身份信息与IP地址的绑定信息确定与终端匹配的智能密钥设备身份信息的流程;应用服务器,用于获得确定出的智能密钥设备身份信息,并通过路由器向身份认证服务器发送PIN码验证状态查询请求;身份认证服务器,还用于接收PIN码验证状态查询请求,查询是否存有PIN码验证通过信息及查询PIN码验证通过信息的状态,如果身份认证服务器存有PIN码验证通过信息且PIN码验证通过信息的状态为有效,则通过路由器向应用服务器发送PIN码验证完成确认信息;应用服务器,还用于在获得PIN码验证完成确认信息的情况下,根据确定出的智能密钥设备身份信息通过路由器向终端提供应用登陆服务。
此外,验证设备为智能密钥设备时,终端,具体用于提示PIN码输入提示信息,接收PIN码并生成PIN码验证信息,将PIN码验证信息发送至智能密钥设备;智能密钥设备,具体用于接收PIN码验证信息并验证,若验证通过,则生成PIN码验证通过信息,并通过终端和路由器发送至身份认证服务器;或者,验证设备为身份认证服务器时,终端,具体用于提示PIN码输入提示信息,接收PIN码并生成PIN码验证信息,将PIN码验证信息发送至身份认证服务器;身份认证服务器,具体用于接收PIN码验证信息并验证,若验证通过,则生成PIN码验证通过信息;或者,验证设备为智能密钥设备时,终端,具体用于在终端将PIN码输入提示信息发送至智能密钥设备;智能密钥设备,具体用于接收PIN码输入提示信息并提示,接收PIN码并验证,若验证通过,则生成PIN码验证通过信息,并通过终端和路由器发送至身份认证服务器;或者,验证设备为身份认证服务器时,终端,具体用于在终端将PIN码输入提示信息发送至智能密钥设备;智能密钥设备,具体用于接收PIN码输入提示信息并提示,接收PIN码并生成PIN码验证信息,将PIN码验证信息通过终端和路由器发送至身份认证服务器;身份认证服务器,具体用于接收PIN码验证信息并验证,若验证通过,则生成PIN码验证通过信息。
此外,终端,具体用于通过路由器向应用服务器发送应用登陆服务请求信息,应用登陆服务请求信息中包括智能密钥设备身份信息和IP地址;应用服务器,具体用于接收应用登陆服务请求信息,向路由器发送智能密钥设备身份验证请求,智能密钥设备身份验证请求中包括智能密钥设备身份信息和IP地址;路由器,具体用于接收智能密钥设备身份验证请求,根据IP地址和绑定信息,对智能密钥设备身份验证请求中携带的智能密钥设备身份信息进行验证,得到智能密钥设备身份验证结果信息并发送至应用服务器;应用服务器,具体用于接收智能密钥设备身份验证结果信息,若智能密钥设备身份验证结果信息为验证通过,则应用登陆服务请求信息中携带的智能密钥设备身份信息为确定出的智能密钥设备身份信息;或者,终端,具体用于通过路由器向应用服务器发送应用登陆服务请求信息,应用登陆服务请求信息中包括IP地址;应用服务器,具体用于向路由器发送智能密钥设备身份信息请求,智能密钥设备身份信息请求中至少包括IP地址;路由器,具体用于接收智能密钥设备身份验证请求,根据IP地址和绑定信息,得到智能密钥设备身份信息并发送至应用服务器;应用服务器,具体用于接收智能密钥设备身份信息,智能密钥设备身份信息为确定出的智能密钥设备身份信息;或者,终端,具体用于向路由器发送应用登陆服务请求信息,应用登陆服务请求信息中包括IP地址;路由器,具体用于接收终端发送的应用登陆服务请求信息之后,根据IP地址和绑定信息,得到智能密钥设备身份信息,并向应用服务器发送应用登陆服务请求信息和智能密钥设备身份信息;应用服务器,具体用于接收应用登陆服务请求信息和智能密钥设备身份信息,智能密钥设备身份信息为确定出的智能密钥设备身份信息。
此外,终端,还用于在检测到终端与智能密钥设备的连接断开时,通过路由器向身份认证服务器发送连接断开通知信息;身份认证服务器,还用于在接收到连接断开通知信息后,执行使PIN码验证通过信息失效的操作;或者,路由器,还用于在检测到路由器与终端的连接断开时,向身份认证服务器发送设备离开信息,并在检测到路由器与终端再次连接时,向身份认证服务器发送设备接入信息;身份认证服务器,还用于在接收到设备离开信息时,使用计时器开始计时,如果在计时达到第一预设时间之前接收到设备接入信息,则维持PIN码验证通过信息有效,如果在计时达到第一预设时间之前没有接收到设备接入信息,则执行使PIN码验证通过信息失效的操作;或者,身份认证服务器,还用于使用计时器开始计时,在计时达到第二预设时间之前,维持PIN码验证通过信息有效,在计时达到第二预设时间之后,执行使PIN码验证通过信息失效的操作。
用户使用终端设备(电脑、手机等)上网时,可以通过路由器访问应用服务器。现有的登陆应用服务器的方式没有使用智能密钥设备,而是使用终端通过路由器直接登陆,由于现有的这种登陆方式没有经过PIN码验证流程,更未将PIN码验证流程通过信息存储,因此,用户在每次使用终端通过路由器登陆应用服务器时,都需要再次输入该应用对应的密码。而采用本实施例提供的方法和***,用户可以使用智能密钥设备与终端连接,在通过智能密钥设备的PIN码验证流程之后,终端通过路由器连接应用服务器,由于智能密钥设备的高安全性,该方法可以使应用服务器被访问时更加安全。并且,在完成智能密钥设备的PIN码验证流程之后,身份认证服务器会保存PIN码验证通过信息,用户再次使用连接有上述智能密钥设备的终端通过该路由器访问应用服务器时,由于用户已经通过该智能密钥设备的PIN码验证流程,那么在PIN码验证通过信息有效的情况下,用户无需再次输入应用服务器的密码即可登陆应用服务器,从而简化了用户登陆应用的过程。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例1提供的网络应用登陆方法的流程图;
图2为本发明实施例1提供的一种触发验证设备执行智能密钥设备的PIN码验证流程的流程图;
图3为本发明实施例1提供的另一种触发验证设备执行智能密钥设备的PIN码验证流程的流程图;
图4为本发明实施例1提供的又一种触发验证设备执行智能密钥设备的PIN码验证流程的流程图;
图5为本发明实施例1提供的再一种触发验证设备执行智能密钥设备的PIN码验证流程的流程图;
图6为本发明实施例2提供的一种网络应用登陆***的结构示意图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或数量或位置。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
下面将结合附图对本发明实施例作进一步地详细描述。
实施例1
图1为本实施例提供的一种网络应用登陆方法的流程图,如图1所示的方法实施例,包括以下步骤(S1-S7):
步骤S1,在智能密钥设备与终端建立连接后,终端触发验证设备执行智能密钥设备的PIN码验证流程;若验证通过,身份认证服务器获取并保存PIN码验证通过信息;
步骤S2,智能密钥设备通过终端与路由器之间执行身份认证流程;
步骤S3,路由器在身份认证流程结果为认证通过时,为终端分配IP地址,保存智能密钥设备身份信息与IP地址的绑定信息,智能密钥设备身份信息为智能密钥设备证书或智能密钥设备ID;
步骤S4,终端通过路由器向应用服务器发送应用登陆服务请求信息,触发路由器与应用服务器之间执行根据终端的IP地址以及智能密钥设备身份信息与IP地址的绑定信息确定与终端匹配的智能密钥设备身份信息的流程,应用服务器获得确定出的智能密钥设备身份信息;
步骤S5,应用服务器通过路由器向身份认证服务器发送PIN码验证状态查询请求;
步骤S6,身份认证服务器接收PIN码验证状态查询请求,查询是否存有PIN码验证通过信息及查询PIN码验证通过信息的状态,如果身份认证服务器存有PIN码验证通过信息且PIN码验证通过信息的状态为有效,则通过路由器向应用服务器发送PIN码验证完成确认信息;
步骤S7,应用服务器在获得PIN码验证完成确认信息的情况下,根据确定出的智能密钥设备身份信息通过路由器向终端提供应用登陆服务。
用户使用终端设备(电脑、手机等)上网时,可以通过路由器访问应用服务器。现有的登陆应用服务器的方式没有使用智能密钥设备,而是使用终端通过路由器直接登陆,由于现有的这种登陆方式没有经过PIN码验证流程,更未将PIN码验证流程通过信息存储,因此,用户在每次使用终端通过路由器登陆应用服务器时,都需要再次输入该应用对应的密码。而采用本实施例提供的方法,用户可以使用智能密钥设备与终端连接,在通过智能密钥设备的PIN码验证流程之后,终端通过路由器连接应用服务器,由于智能密钥设备的高安全性,该方法可以使应用服务器被访问时更加安全。并且,在完成智能密钥设备的PIN码验证流程之后,身份认证服务器会保存PIN码验证通过信息,用户再次使用连接有上述智能密钥设备的终端通过该路由器访问应用服务器时,由于用户已经通过该智能密钥设备的PIN码验证流程,那么在PIN码验证通过信息有效的情况下,用户无需再次输入应用服务器的密码即可登陆应用服务器,从而简化了用户登陆应用的过程。
以下对本实施例的步骤S1-S7进行具体的说明:
步骤S1,在智能密钥设备与终端建立连接后,终端触发验证设备执行智能密钥设备的PIN码验证流程;若验证通过,身份认证服务器获取并保存PIN码验证通过信息;
本步骤中,终端包括电脑、手机等电子设备,智能密钥设备包括但不限于电子签名设备、智能卡,智能密钥设备内置安全芯片,其安全芯片具有加密、签名等保障数据安全性的功能。
本步骤中,作为一种可选的实施方式,终端可以设置有线通信接口,例如,当终端为电脑时,电脑上设置的USB接口可以为其有线通信接口;当终端为手机时,手机上设置的音频接口可以为其有线通信接口。智能密钥设备与终端建立连接,具体包括:智能密钥设备通过有线连接的方式与终端的通信接口进行连接。作为另一种可选的实施方式,终端可以设置无线通信模块,例如WIFI、蓝牙、NFC等通信模块。智能密钥设备与终端建立连接,具体包括:智能密钥设备通过无线连接(WIFI、蓝牙、NFC等)与终端建立连接。由此,终端可以借助智能密钥设备实现安全功能。
本步骤中,触发验证设备执行所述智能密钥设备的PIN码验证流程,至少包括以下四种方式中的任一方式:
方式一
本方式中,验证设备为智能密钥设备,图2为一种触发验证设备执行智能密钥设备的PIN码验证流程的流程图,如图2所示,该流程具体包括:
步骤S101,终端提示PIN码输入提示信息;
本步骤中,终端可以在屏幕上显示或通过扬声器语音播报PIN码输入提示信息,例如:终端在屏幕上显示“请输入密码”。
步骤S102,终端接收PIN码并生成PIN码验证信息;
本步骤中,在终端进行提示之后,用户可以以键盘输入、鼠标选择、语音输入等方式输入PIN码,或者,用户可以以生物信息录入的方式输入PIN码。终端接收PIN码后生成PIN码验证信息,可选地,PIN码验证信息可以是终端对PIN码加密后生成的加密数据,该加密方式可以包括对称密钥加密或非对称密钥加密,由此,可以使PIN码在终端与其他设备之间进行传输时更加安全。
步骤S103,终端将PIN码验证信息发送至智能密钥设备;
步骤S104,智能密钥设备接收PIN码验证信息并验证,若验证通过,则生成PIN码验证通过信息;
本步骤中,可选地,若PIN码验证信息为PIN码加密后生成的加密数据,则智能密钥设备对接收到的PIN码验证信息进行解密得到PIN码。智能密钥设备可以预存PIN码,将从PIN码验证信息中获得的PIN码与智能密钥设备预先存储的PIN码进行比对,若比对一致则PIN码验证信息验证通过。或者,智能密钥设备可以预存PIN码MAC值,在接收到PIN码验证信息后,对PIN码验证信息中的PIN码进行运算得到MAC值,将计算得到的MAC值与预存的PIN码MAC值进行比对,若比对一致,则PIN码验证信息验证通过。
步骤S105,智能密钥设备将PIN码验证通过信息通过终端和路由器发送至身份认证服务器。
在该可选的实施方式中,PIN码验证流程由终端发起并对PIN码输入提示信息进行提示;由智能密钥设备对PIN码进行验证;若验证通过,则由身份认证服务器存储PIN码验证通过信息。
方式二
本方式与方式一的区别在于:本方式中,验证设备为身份认证服务器。该身份认证服务器与路由器通过有线或无线的方式建立连接。图3为另一种触发验证设备执行智能密钥设备的PIN码验证流程的流程图,如图3所示,该流程具体包括:
步骤S111,终端提示PIN码输入提示信息;
步骤S112,终端接收PIN码并生成PIN码验证信息;
步骤S113,终端将PIN码验证信息发送至身份认证服务器;
本步骤中,终端可以通过路由器将PIN码验证信息发送至身份认证服务器。
步骤S114,身份认证服务器接收PIN码验证信息并验证,若验证通过,则生成PIN码验证通过信息。
作为一种可选的实施方式,身份认证服务器中可以预存PIN码,在接收到PIN码验证信息后,将PIN码验证信息中的PIN码与预存的PIN码进行比对,若比对一致,则验证通过。或者,身份认证服务器中可以预存PIN码MAC值,在接收到PIN码验证信息后,对PIN码验证信息中的PIN码进行运算得到MAC值,将计算得到的MAC值与预存的PIN码MAC值进行比对,若比对一致,则验证通过。
在该可选的实施方式中,PIN码验证流程由终端发起并对PIN码输入提示信息进行提示;由身份认证服务器对PIN码进行验证,若验证通过,则存储PIN码验证通过信息。与方式一中提供的实施方式相比,本方式中的PIN码验证流程无需智能密钥设备的参与。
方式三
本方式中,验证设备为智能密钥设备。本方式与方式一的区别在于:本方式中,由智能密钥设备提示PIN码输入提示信息并接收PIN码。图4为又一种触发验证设备执行智能密钥设备的PIN码验证流程的流程图,如图4所示,该流程具体包括:
步骤S121,终端将PIN码输入提示信息发送至智能密钥设备;
步骤S122,智能密钥设备接收PIN码输入提示信息并提示;
本步骤中,智能密钥设备可以在屏幕上显示或通过扬声器语音播报PIN码输入提示信息,例如:智能密钥设备在其屏幕上显示“请输入密码”。
步骤S123,智能密钥设备接收PIN码并验证,若验证通过,则生成PIN码验证通过信息;
本步骤中,在智能密钥设备进行提示之后,用户可以以键盘输入、鼠标选择、语音输入等方式输入PIN码,或者,用户可以以生物信息录入的方式输入PIN码。
步骤S124,智能密钥设备将PIN码验证通过信息通过终端和路由器发送至身份认证服务器。
在该可选的实施方式中,PIN码验证流程由终端发起;由智能密钥设备对PIN码输入提示信息进行提示,并对PIN码进行验证;若验证通过,则由身份认证设备存储PIN码验证通过信息。此外,在该可选的实施方式中,由于智能密钥设备直接接收PIN码并进行验证,因此PIN码或对PIN码进行处理后得到的数据无需在各个设备之间进行传输,从而使PIN码的安全性提高。
方式四
本方式中,验证设备为身份认证服务器。本方式与方式一的区别还在于:本方式中,由智能密钥设备提示PIN码输入提示信息并接收PIN码。图5为再一种触发验证设备执行智能密钥设备的PIN码验证流程的流程图,如图5所示,该流程具体包括:
步骤S131,终端将PIN码输入提示信息发送至智能密钥设备;
步骤S132,智能密钥设备接收PIN码输入提示信息并提示;
步骤S133,智能密钥设备接收PIN码并生成PIN码验证信息;
步骤S134,将PIN码验证信息通过终端和路由器发送至身份认证服务器;
步骤S135,身份认证服务器接收PIN码验证信息并验证,若验证通过,则生成PIN码验证通过信息。
在该可选的实施方式中,PIN码验证流程由终端发起;由智能密钥设备对PIN码输入提示信息进行提示;由身份认证服务器对PIN码进行验证,若验证通过,则生成验证通过信息并将其存储。
在步骤S1中,通过上述任一可选实施方式,验证设备可以通过PIN码验证的方式验证用户的身份,在验证通过后,身份认证服务器可以获取并保存PIN码验证通过信息,为后续应用登陆操作提供基础。
为了进一步提高安全性,在PIN码验证通过之后,还可以对PIN码验证信息的有效性进行维护。例如,在用户输入PIN码之后经过的时间过长、或者用户的终端与路由器断开连接等情况下,身份认证服务器会对保存的PIN码验证通过信息进行失效操作,用户需要重新进行PIN码验证,才能再次进行网络应用登陆操作。
下面对PIN码验证信息的有效性维护进行示例性说明:
本实施例一种可选的实施方式中,在步骤S1之后,该方法还包括:终端检测到终端与智能密钥设备的连接断开时,通过路由器向身份认证服务器发送连接断开通知信息;身份认证服务器在接收到连接断开通知信息后,执行使PIN码验证通过信息失效的操作。在该可选的实施方式中,身份认证服务器中可以设置一个状态参数,用于表示PIN码验证通过信息是否为有效状态。具体的,可以使用一位二进制数字表示状态参数,用不同的数字分别表示有效状态和失效状态。例如,可以用数字“1”表示PIN码验证通过信息为有效状态,用数字“0”表示PIN码验证通过信息为失效状态;或者,也可以用数字“0”表示PIN码验证通过信息为有效状态,用数字“1”表示PIN码验证通过信息为失效状态,在此不作具体限定。在具体实施过程中,在步骤S1之后,终端检测到终端与智能密钥设备的连接断开时,通过路由器向身份认证服务器发送连接断开通知信息;身份认证服务器在接收到连接断开通知信息后,则将预先存储的智能密钥设备PIN码验证通过信息的状态参数修改为失效状态,例如,在用数字“1”表示PIN码验证通过信息为有效状态的情况下,身份认证服务器将状态参数从“1”修改为“0”。
在该可选实施方式中,身份认证服务器中也可以不设置状态参数,而是通过身份认证服务器中是否存储智能密钥设备PIN码验证通过信息来判断智能密钥设备PIN码验证通过信息是否有效。具体地,在步骤S1之后,终端检测到终端与智能密钥设备的连接断开时,通过路由器向身份认证服务器发送连接断开通知信息;身份认证服务器在接收到连接断开通知信息后,则将存储的智能密钥设备PIN码验证通过信息删除。由此,只要在身份认证服务器中查找到智能密钥设备PIN码验证通过信息,则确定预先存储的智能密钥设备PIN码验证通过信息为有效状态,否则为失效状态。当终端与智能密钥的设备的连接断开时,有可能是用户本人之外的其他人在使用终端接入网络,因此,将PIN码验证通过信息确定为失效状态,能够避免用户本人之外的其他人非法接入网络;当用户本人将智能密钥设备与终端重新连接后,用户需要再次输入PIN码以完成新的PIN码验证流程。
本实施例另一种可选的实施方式中,在步骤S1之后,该方法还包括:路由器检测到路由器与终端的连接断开时,向身份认证服务器发送设备离开信息,并在检测到路由器与终端再次连接时,向身份认证服务器发送设备接入信息;身份认证服务器接收到设备离开信息,使用计时器开始计时,如果在计时达到第一预设时间之前接收到设备接入信息,则维持PIN码验证通过信息有效,如果在计时达到第一预设时间之前没有接收到设备接入信息,则执行使PIN码验证通过信息失效的操作。例如,第一预设时间为10分钟,那么如果终端与路由器断开连接后,在10分钟内重新与路由器建立连接,则无需再次输入PIN码进行新的PIN码验证流程;如果终端与路由器断开的时间超过10分钟,则终端与路由器再次连接后,需要再次输入PIN码进行新的PIN码验证流程。
在该可选的实施方式中,可以参照上一种可选的实施方式提供的在身份认证服务器中设置一个状态参数表示PIN码验证通过信息是否为有效状态,在具体实施过程中,身份认证服务器接收到设备离开信息,使用计时器开始计时,如果在计时达到第一预设时间之前接收到设备接入信息,则身份认证服务器不修改其状态参数,如果在计时达到第一预设时间之前没有接收到设备接入信息,则身份认证服务器将其状态参数进行修改,例如,在在用数字“1”表示PIN码验证通过信息为有效状态的情况下,身份认证服务器将状态参数从“1”修改为“0”;或者,在该可选的实施方式中,身份认证服务器接收到设备离开信息,使用计时器开始计时,如果在计时达到第一预设时间之前没有接收到设备接入信息,则身份认证服务器将自身存储的PIN码验证通过信息删除,由此,只要在身份认证服务器中查找到智能密钥设备PIN码验证通过信息,则确定预先存储的智能密钥设备PIN码验证通过信息为有效状态,否则为失效状态。当终端与路由器连接断开的时间过长时,使用该终端和智能密钥设备的用户可能已经变更,此时将PIN码验证通过信息确定为失效状态,能够避免用户本人之外的其他人非法接入网络;如果是用户本人再次使用该终端和智能密钥设备重新登陆应用服务器,那么再次输入PIN码即可进行登陆操作。
本实施例又一种可选的实施方式中,在步骤S1之后,该方法还包括:身份认证服务器使用计时器开始计时,在计时达到第二预设时间之前,维持PIN码验证通过信息有效,在计时达到第二预设时间之后,执行使PIN码验证通过信息失效的操作。例如,第二预设时间为8小时,那么当用户完成一次PIN码验证之后,可以在8小时内通过路由器进行免输密码的网络应用登陆操作,在超过8小时之后,用户需要再次完成一次PIN码验证流程才可以继续进行免输密码的网络应用。
在该可选的实施方式中,可以参照第一种可选的实施方式提供的在身份认证服务器中设置一个状态参数表示PIN码验证通过信息是否为有效状态,在具体实施过程中,身份认证服务器使用计时器开始计时,在计时达到第二预设时间之前,不修改其状态参数;在计时达到第二预设时间之后,将其状态参数进行修改,例如,在在用数字“1”表示PIN码验证通过信息为有效状态的情况下,身份认证服务器将状态参数从“1”修改为“0”;或者,在该可选的实施方式中,身份认证服务器使用计时器开始计时,在计时达到第二预设时间之后,身份认证服务器将自身存储的PIN码验证通过信息删除,由此,只要在身份认证服务器中查找到智能密钥设备PIN码验证通过信息,则确定预先存储的智能密钥设备PIN码验证通过信息为有效状态,否则为失效状态。
步骤S2,智能密钥设备通过终端与路由器之间执行身份认证流程;
本步骤中,路由器具有身份认证功能,具体的:路由器内置安全芯片,安全芯片中存储有数字证书和/或私钥;或者路由器内置软件以实现数字证书功能;或者路由器外接智能密钥设备。智能密钥设备是具有安全芯片的设备,安全芯片内部拥有独立的处理器和存储单元,可存储PKI数字证书,私钥、加解密密钥、验证密钥等类型的密钥以及其他特征数据,对数据进行加密、解密、签名、验签运算,为用户提供数据加密和身份认证服务。在具体实施过程中,路由器可以通过以下方式实现对智能密钥设备的身份认证:利用根证书验证接收的智能密钥设备的数字证书,和/或,使用智能密钥设备的数字证书对使用智能密钥设备私钥签名的签名数据进行验签。智能密钥设备可以通过以下方式实现对路由器的身份认证:利用根证书验证接收的路由器的数字证书,和/或,使用路由器的数字证书对使用路由器私钥签名的签名数据进行验签。路由器与智能密钥设备之间可以仅进行单向身份认证,即路由器对智能密钥设备进行身份认证,或者智能密钥设备对路由器进行身份认证;路由器与智能密钥设备之间也可以进行双向身份认证,即路由器对智能密钥设备进行身份认证以及智能密钥设备对路由器进行身份认证。
下面对智能密钥设备与路由器之间执行双向身份认证的流程进行示例性说明:
步骤S201,智能密钥设备生成随机数R1,对用其自身的私钥KS1对随机数R1和智能密钥设备ID进行签名得到签名数据S1;
在实施过程中,智能密钥设备可以对随机数R1和智能密钥设备ID进行拼接,得到拼接结果。例如:随机数R1为“7195”,智能密钥设备ID为“1000001”,则对随机数R1和智能密钥设备ID进行顺序拼接得到的拼接结果为“71951000001”。当然,对随机数R1和智能密钥设备ID进行拼接的方式不限于顺序拼接,还可以以其他规则进行拼接,在此不做限定。智能密钥设备对该拼接结果进行HASH运算,得到摘要报文X1,并利用其自身的私钥KS1对该摘要报文X1进行签名运算得到签名数据S1。
步骤S202,智能密钥设备将随机数R1、智能密钥设备ID、签名数据S1以及智能密钥设备证书通过终端发送给路由器;
步骤S203,路由器在验证智能密钥设备证书合法后,利用智能密钥设备证书中智能密钥设备的公钥KP1对签名数据S1进行验签,并在验签通过后,利用其自身安全芯片产生随机数R2。
在实施过程中,路由器利用智能密钥设备证书中的智能密钥设备的公钥KP1对接收到的签名数据S1进行运算得到运算结果X2,并将接收到的随机数R1和智能密钥设备ID进行拼接,得到拼接结果,其中,上述拼接规则与智能密钥设备中的拼接规则一致即可。路由器对得到的拼接结果进行HASH运算得到摘要报文X3,并将运算结果X2与摘要报文X3进行比对,如果比对结果一致,则路由器对签名数据S1的验签通过。
步骤S204,路由器利用智能密钥设备的公钥KP1对随机数R1和R2进行加密得到密文数据E1,并利用路由器的私钥KS2对密文数据E1进行签名得到签名数据S2;
本步骤中,由路由器进行签名操作的具体流程与步骤S201中提供的由智能密钥设备进行签名操作的流程一致,在此不再赘述。
步骤S205,路由器将密文数据E1、签名数据S2以及路由器的证书通过终端发送给智能密钥设备;
步骤S206,智能密钥设备利用接收到的证书中的路由器的公钥KP2对签名数据S2进行验签,并在验签通过后,利用智能密钥设备的私钥KS1对密文数据E1进行解密得到随机数R1和R2;
本步骤中,由智能密钥设备进行验签操作的具体流程与步骤S203中提供的由路由器进行验签操作的流程一致,在此不再赘述。
步骤S207,智能密钥设备将解密得到的随机数R1与自身生成的随机数R1进行比对,若比结果一致,则智能密钥设备与路由器之间的身份认证结果为通过。
上述步骤(S201-S207)仅为一种可选的身份认证流程,智能密钥设备和路由器之间和可以采用其他方式进行身份认证,在此不作限定。通过上述步骤,智能密钥设备和路由器二者可以互相验证对方身份是否合法,此外,在步骤S206中,智能密钥设备解密得到的随机数R2可以作为会话密钥,在智能密钥设备和路由器传输数据时,随机数R2可以作为加解密密钥,以此提高传输数据的安全性。
步骤S3,路由器在身份认证流程结果为认证通过时,为终端分配IP地址,保存智能密钥设备身份信息与IP地址的绑定信息,智能密钥设备身份信息为智能密钥设备证书或智能密钥设备ID;
本步骤中,路由器可以在身份认证流程中获取到智能密钥设备的身份信息,例如上文中步骤S202所述的流程。由此,路由器可以建立智能密钥设备身份信息和与该智能密钥设备相连的终端的IP地址的一一对应关系。
步骤S4,终端通过路由器向应用服务器发送应用登陆服务请求信息,触发路由器与应用服务器之间执行根据终端的IP地址以及智能密钥设备身份信息与IP地址的绑定信息确定与终端匹配的智能密钥设备身份信息的流程,应用服务器获得确定出的智能密钥设备身份信息;
本实施例中,步骤S4至少可以通过以下三种方式中的任一方式实现:
方式一
步骤S401,终端通过路由器向应用服务器发送应用登陆服务请求信息;
其中,应用登陆服务请求信息中包括智能密钥设备身份信息和IP地址。智能密钥设备身份信息为与该终端相连的智能密钥设备的设备证书或设备ID,IP地址为步骤S3中,路由器在身份认证流程结果为认证通过时,为该终端分配IP地址。
步骤S402,应用服务器接收应用登陆服务请求信息,向路由器发送智能密钥设备身份验证请求;
其中,智能密钥设备身份验证请求中包括智能密钥设备身份信息和IP地址。
步骤S403,路由器接收智能密钥设备身份验证请求,根据IP地址和绑定信息,对智能密钥设备身份验证请求中携带的智能密钥设备身份信息进行验证,得到智能密钥设备身份验证结果信息并发送至应用服务器;
具体地,由于路由器在身份认证流程结果为认证通过时,可以为终端分配IP地址,并保存智能密钥设备身份信息与IP地址的绑定信息,即,路由器建立了智能密钥设备身份信息和与该智能密钥设备相连的终端的IP地址的一一对应关系。路由器接收到智能密钥设备身份验证请求,其中,该智能密钥设备身份验证请求包括:智能密钥设备身份信息A1和IP地址,路由器可以根据该智能密钥设备身份验证请求中携带的IP地址,在自身保存的绑定信息中查找与该IP地址对应的智能密钥设备身份信息A2,并验证接收到的智能密钥设备身份信息A1与已保存的智能密钥设备身份信息A2是否一致,若一致,则得到智能密钥设备身份验证结果信息且验证结果为验证通过;若不一致,则得到智能密钥设备身份验证结果信息且验证结果为验证不通过。由此,路由器可以利用保存的绑定信息对终端发起的应用登陆服务请求信息中所携带的IP地址以及智能密钥设备身份信息进行验证,由于该绑定信息是路由器在身份认证流程结果为认证通过时所保存的,因此通过本步骤可以验证出终端发送的应用登陆服务请求信息是否合法,若验证通过,则该应用登陆服务请求信息合法。
步骤404,应用服务器接收智能密钥设备身份验证结果信息,若智能密钥设备身份验证结果信息为验证通过,则应用登陆服务请求信息中携带的智能密钥设备身份信息为确定出的智能密钥设备身份信息;
举例来说,若智能密钥设备身份验证结果信息为验证通过,即在步骤S403中,接收到的智能密钥设备身份信息A1与已保存的智能密钥设备身份信息A2一致,则智能密钥设备身份信息A1为确定出的智能密钥设备身份信息。由此,应用服务器可以获得合法的智能密钥设备身份信息,为后续应用服务器根据智能密钥设备身份信息通过路由器向终端提供应用登陆服务提供基础。
该可选的实施方式中,由终端向应用服务器发送应用登陆服务请求信息,且应用登陆服务请求信息中包括IP地址以及智能密钥设备身份信息,并在应用服务器发送智能密钥设备身份验证请求之后,由路由器完成对接收到的智能密钥设备身份信息的验证,以获得确定出的智能密钥设备身份信息。
方式二
步骤S411,终端通过路由器向应用服务器发送应用登陆服务请求信息;
本步骤中,应用登陆服务请求信息中包括IP地址。此外,该应用登陆服务请求信息中可以不包含智能密钥设备身份信息。
步骤S412,应用服务器向路由器发送智能密钥设备身份信息请求,
其中,智能密钥设备身份信息请求中至少包括IP地址;
步骤S413,路由器接收智能密钥设备身份验证请求,根据IP地址和绑定信息,得到智能密钥设备身份信息并发送至应用服务器;
具体地,由于路由器在身份认证流程结果为认证通过时,可以为终端分配IP地址,并保存智能密钥设备身份信息与IP地址的绑定信息,即,路由器建立了智能密钥设备身份信息和与该智能密钥设备相连的终端的IP地址的一一对应关系,由此,路由器可以在自身保存的绑定信息中查找出与接收到的IP地址对应的智能密钥设备身份信息。并且,由于路由器中保存的绑定信息是路由器在身份认证流程结果为认证通过时所保存的,因此通过本步骤得到的智能密钥设备身份信息是安全、合法的。
步骤S414,应用服务器接收智能密钥设备身份信息,智能密钥设备身份信息为确定出的智能密钥设备身份信息;
该可选的实施方式中,由终端向应用服务器发送应用登陆服务请求信息,且该应用登陆服务请求信息中包括IP地址,并在应用服务器发送智能密钥设备身份验证请求之后,由路由器利用绑定信息根据该IP地址得到合法的智能密钥设备身份信息,并将该合法的智能密钥设备身份信息发送至应用服务器,为后续应用服务器根据智能密钥设备身份信息通过路由器向终端提供应用登陆服务提供基础。
方式三
步骤S421,终端向路由器发送应用登陆服务请求信息;
该可选的实施方式中,应用登陆服务请求信息中包括IP地址。此外,该应用登陆服务请求信息中可以不包含智能密钥设备身份信息。
步骤S422,路由器接收终端发送的应用登陆服务请求信息之后,根据IP地址和绑定信息,得到智能密钥设备身份信息;
具体地,由于路由器在身份认证流程结果为认证通过时,可以为终端分配IP地址,并保存智能密钥设备身份信息与IP地址的绑定信息,即,路由器建立了智能密钥设备身份信息和与该智能密钥设备相连的终端的IP地址的一一对应关系,由此,路由器可以在自身保存的绑定信息中查找出与接收到的IP地址对应的智能密钥设备身份信息。并且,由于路由器中保存的绑定信息是路由器在身份认证流程结果为认证通过时所保存的,因此通过本步骤得到的智能密钥设备身份信息是安全、合法的。
步骤S423,路由器向应用服务器发送应用登陆服务请求信息和智能密钥设备身份信息,应用服务器接收应用登陆服务请求信息和智能密钥设备身份信息,智能密钥设备身份信息为确定出的智能密钥设备身份信息。
该可选的实施方式中,由终端向路由器发送应用登陆服务请求信息,且该应用登陆服务请求信息中包括IP地址,并由路由器利用绑定信息根据该IP地址得到合法的智能密钥设备身份信息,将该合法的智能密钥设备身份信息发送至应用服务器,为后续应用服务器根据智能密钥设备身份信息通过路由器向终端提供应用登陆服务提供基础。
在步骤S4中,通过上述任一可选实施方式,可以完成路由器与应用服务器之间执行根据终端的IP地址以及智能密钥设备身份信息与IP地址的绑定信息确定与终端匹配的智能密钥设备身份信息的流程,从而使应用服务器获得确定出的智能密钥设备身份信息。并且,通过步骤S4中任一可选实施方式获得的确定出的智能密钥设备身份信息均是合法的。由此,可以保证应用服务器根据智能密钥设备身份信息通过路由器向终端提供应用登陆服务的安全性。
步骤S5,应用服务器通过路由器向身份认证服务器发送PIN码验证状态查询请求;
步骤S6,身份认证服务器接收PIN码验证状态查询请求,查询是否存有PIN码验证通过信息及查询PIN码验证通过信息的状态,如果身份认证服务器存有PIN码验证通过信息且PIN码验证通过信息的状态为有效,则通过路由器向应用服务器发送PIN码验证完成确认信息;
本实施例中,步骤S5和S6,与步骤S4中“触发路由器与应用服务器之间执行根据终端的IP地址以及智能密钥设备身份信息与IP地址的绑定信息确定与终端匹配的智能密钥设备身份信息的流程,应用服务器获得确定出的智能密钥设备身份信息”的执行顺序没有限定。也就是说,在终端通过路由器向应用服务器发送应用登陆服务请求信息之后,可以先执行步骤S4,再执行步骤S5、S6;或者,可以先执行步骤S5、S6,再执行步骤S4;或者,可以并行地执行步骤S4和步骤S5、S6。无论上述哪一种执行顺序,只需要使应用服务器在获得PIN码验证完成确认信息的情况下,获得确定出的智能密钥设备身份信息即可继续进行后续步骤。
本实施例中,如果步骤S1中的智能密钥设备的PIN码验证流程验证未通过,身份认证服务器中也就不存在PIN码验证通过信息,那么,在应用服务器通过路由器向身份认证服务器发送PIN码验证状态查询请求之后,身份认证服务器查询到自身没有保存PIN码验证通过信息,在该情况下,应用服务器无法向终端提供应用登陆服务。
此外,在该方法包括PIN码验证信息有效性维护的情况下,即使身份认证服务器中保存有PIN码验证通过信息,但由于发生智能密钥设备与终端的连接断开,或者终端与路由器的连接断开等等的异常情况,身份认证服务器中保存的PIN码验证通过信息可能是失效状态。因此,如果步骤S1中的智能密钥设备的PIN码验证流程验证通过,但存在上述异常情况,在应用服务器通过路由器向身份认证服务器发送PIN码验证状态查询请求之后,身份认证服务器查询到自身存有PIN码验证通过信息但其状态为失效状态,在该情况下,应用服务器无法向终端提供应用登陆服务。
由此,通过本实施例的步骤S5和S6,应用服务器在向终端提供应用登陆服务之前,会通过路由器向身份认证服务器发送PIN码验证状态查询请求,以查询身份服务器是否存有有效的PIN码验证通过信息,从而确认请求登陆应用服务器的终端是否是安全合法的,在确认终端身份合法后,应用服务器才会向终端提供后续的应用登陆服务,保证了网络应用登陆过程的安全性。
步骤S7,应用服务器在获取PIN码验证完成确认信息的情况下,根据确定出的智能密钥设备身份信息通过路由器向终端提供应用登陆服务。
本步骤中,应用服务器获取到PIN码验证完成确认信息即说明请求登陆应用服务器的终端的身份是安全合法的,在这种情况下,应用服务器可以根据步骤S4中获得的确定出的智能密钥设备身份信息即可向终端提供应用登陆服务。由此,在保证网络应用登陆安全性的情况下,终端可以直接通过路由器访问应用服务器,无需在登录应用服务器时再次输入密码,使网络应用登陆更加便捷。
用户使用终端设备(电脑、手机等)上网时,可以通过路由器访问应用服务器。现有的登陆应用服务器的方式没有使用智能密钥设备,而是使用终端通过路由器直接登陆,由于现有的这种登陆方式没有经过PIN码验证流程,更未将PIN码验证流程通过信息存储,因此,用户在每次使用终端通过路由器登陆应用服务器时,都需要再次输入该应用对应的密码。而采用本实施例提供的方法,用户可以使用智能密钥设备与终端连接,在通过智能密钥设备的PIN码验证流程之后,终端通过路由器连接应用服务器,由于智能密钥设备的高安全性,该方法可以使应用服务器被访问时更加安全。并且,在完成智能密钥设备的PIN码验证流程之后,身份认证服务器会保存PIN码验证通过信息,用户再次使用连接有上述智能密钥设备的终端通过该路由器访问应用服务器时,由于用户已经通过该智能密钥设备的PIN码验证流程,那么在PIN码验证通过信息有效的情况下,用户无需再次输入应用服务器的密码即可登陆应用服务器,从而简化了用户登陆应用的过程。
实施例2
图6为本实施例提供的一种网络应用登陆***的结构示意图,如图6所示,该***包括:智能密钥设备10、终端20、路由器30、身份认证服务器40以及应用服务器50;其中,
终端20,用于在智能密钥设备10与终端20建立连接后,终端20触发验证设备执行智能密钥设备10的PIN码验证流程。
本实施例中,终端20包括电脑、手机等电子设备,智能密钥设备10包括但不限于电子签名设备、智能卡,智能密钥设备10内置安全芯片,其安全芯片具有加密、签名等保障数据安全性的功能。
作为一种可选的实施方式,终端20可以设置有线通信接口,例如,当终端20为电脑时,电脑上设置的USB接口可以为其有线通信接口;当终端20为手机时,手机上设置的音频接口可以为其有线通信接口。智能密钥设备10与终端20建立连接,具体包括:智能密钥设备10通过有线连接的方式与终端20的通信接口进行连接。作为另一种可选的实施方式,终端20可以设置无线通信模块,例如WIFI、蓝牙、NFC等通信模块。智能密钥设备10与终端20建立连接,具体包括:智能密钥设备10通过无线连接(WIFI、蓝牙、NFC等)与终端20建立连接。由此,终端20可以借助智能密钥设备10实现安全功能。
本实施例中,触发验证设备执行所述智能密钥设备10的PIN码验证流程,至少包括以下四种方式中的任一方式:
方式一
本方式中,验证设备为智能密钥设备10,终端20,具体用于提示PIN码输入提示信息,终端20接收PIN码并生成PIN码验证信息,将PIN码验证信息发送至智能密钥设备10;其中,终端20可以在屏幕上显示或通过扬声器语音播报PIN码输入提示信息,例如:终端20在屏幕上显示“请输入密码”。在终端20进行提示之后,用户可以以键盘输入、鼠标选择、语音输入等方式输入PIN码,或者,用户可以以生物信息录入的方式输入PIN码。可选地,PIN码验证信息可以是终端20对PIN码加密后生成的加密数据,该加密方式可以包括对称密钥加密或非对称密钥加密,由此,可以使PIN码在终端20与其他设备之间进行传输时更加安全。智能密钥设备10,具体用于接收PIN码验证信息并验证,若验证通过,则生成PIN码验证通过信息,并通过终端20和路由器30发送至身份认证服务器。可选地,若PIN码验证信息为PIN码加密后生成的加密数据,则智能密钥设备10对接收到的PIN码验证信息进行解密得到PIN码。智能密钥设备10可以预存PIN码,将从PIN码验证信息中获得的PIN码与智能密钥设备10预先存储的PIN码进行比对,若比对一致则PIN码验证信息验证通过。或者,智能密钥设备10可以预存PIN码MAC值,在接收到PIN码验证信息后,对PIN码验证信息中的PIN码进行运算得到MAC值,将计算得到的MAC值与预存的PIN码MAC值进行比对,若比对一致,则PIN码验证信息验证通过。
在该可选的实施方式中,PIN码验证流程由终端20发起并对PIN码输入提示信息进行提示;由智能密钥设备10对PIN码进行验证;若验证通过,则由身份认证服务器40存储PIN码验证通过信息。
方式二
本方式与方式一的区别在于:本方式中,验证设备为身份认证服务器40。该身份认证服务器40与路由器30通过有线或无线的方式建立连接。终端20,具体用于提示PIN码输入提示信息,接收PIN码并生成PIN码验证信息,将PIN码验证信息发送至身份认证服务器40。其中,终端20可以通过路由器30将PIN码验证信息发送至身份认证服务器40。身份认证服务器40,具体用于接收PIN码验证信息并验证,若验证通过,则生成PIN码验证通过信息。作为一种可选的实施方式,身份认证服务器40中可以预存PIN码,在接收到PIN码验证信息后,将PIN码验证信息中的PIN码与预存的PIN码进行比对,若比对一致,则验证通过。或者,身份认证服务器40中可以预存PIN码MAC值,在接收到PIN码验证信息后,对PIN码验证信息中的PIN码进行运算得到MAC值,将计算得到的MAC值与预存的PIN码MAC值进行比对,若比对一致,则验证通过。
在该可选的实施方式中,PIN码验证流程由终端20发起并对PIN码输入提示信息进行提示;由身份认证服务器40对PIN码进行验证,若验证通过,则存储PIN码验证通过信息。与方式一中提供的实施方式相比,本方式中的PIN码验证流程无需智能密钥设备10的参与。
方式三
本方式中,验证设备为智能密钥设备10。本方式与方式一的区别在于:本方式中,由智能密钥设备10提示PIN码输入提示信息并接收PIN码。终端20,具体用于将PIN码输入提示信息发送至智能密钥设备10。智能密钥设备10,具体用于接收PIN码输入提示信息并提示,接收PIN码并验证,若验证通过,则生成PIN码验证通过信息,并通过终端20和路由器30发送至身份认证服务器40。
在该可选的实施方式中,智能密钥设备10可以在屏幕上显示或通过扬声器语音播报PIN码输入提示信息,例如:智能密钥设备10在其屏幕上显示“请输入密码”。在智能密钥设备10进行提示之后,用户可以以键盘输入、鼠标选择、语音输入等方式输入PIN码,或者,用户可以以生物信息录入的方式输入PIN码。
在该可选的实施方式中,PIN码验证流程由终端20发起;由智能密钥设备10对PIN码输入提示信息进行提示,并对PIN码进行验证;若验证通过,则由身份认证设备存储PIN码验证通过信息。此外,由于智能密钥设备10直接接收PIN码并进行验证,因此PIN码或对PIN码进行处理后得到的数据无需在各个设备之间进行传输,从而使PIN码的安全性提高。
方式四
本方式中,验证设备为身份认证服务器40。本方式与方式一的区别还在于:本方式中,由智能密钥设备10提示PIN码输入提示信息并接收PIN码。终端20,具体用于将PIN码输入提示信息发送至智能密钥设备10;智能密钥设备10,具体用于接收PIN码输入提示信息并提示,接收PIN码并生成PIN码验证信息,将PIN码验证信息通过终端20和路由器30发送至身份认证服务器40;身份认证服务器40,具体用于接收PIN码验证信息并验证,若验证通过,则生成PIN码验证通过信息。
在该可选的实施方式中,PIN码验证流程由终端20发起;由智能密钥设备10对PIN码输入提示信息进行提示;由身份认证服务器40对PIN码进行验证,若验证通过,则生成验证通过信息并将其存储。
本实施例中,通过上述任一可选实施方式,验证设备可以通过PIN码验证的方式验证用户的身份,在验证通过后,身份认证服务器40可以获取并保存PIN码验证通过信息,为后续应用登陆操作提供基础。
身份认证服务器40,用于在该PIN码验证流程验证通过时,获取并保存PIN码验证通过信息。
为了进一步提高安全性,在PIN码验证通过之后,还可以对PIN码验证信息的有效性进行维护。例如,在用户输入PIN码之后经过的时间过长、或者用户的终端20与路由器30断开连接等情况下,身份认证服务器40会对保存的PIN码验证通过信息进行失效操作,用户需要重新进行PIN码验证,才能再次进行网络应用登陆操作。
下面对PIN码验证信息的有效性维护进行示例性说明:
本实施例一种可选的实施方式中,终端20,还用于检测到终端20与智能密钥设备10的连接断开时,通过路由器30向身份认证服务器40发送连接断开通知信息;身份认证服务器40,还用于在接收到连接断开通知信息后,执行使PIN码验证通过信息失效的操作。在该可选的实施方式中,身份认证服务器40中可以设置一个状态参数,用于表示PIN码验证通过信息是否为有效状态。具体的,可以使用一位二进制数字表示状态参数,用不同的数字分别表示有效状态和失效状态。例如,可以用数字“1”表示PIN码验证通过信息为有效状态,用数字“0”表示PIN码验证通过信息为失效状态;或者,也可以用数字“0”表示PIN码验证通过信息为有效状态,用数字“1”表示PIN码验证通过信息为失效状态,在此不作具体限定。在具体实施过程中,终端20在检测到终端20与智能密钥设备10的连接断开时,通过路由器30向身份认证服务器40发送连接断开通知信息;身份认证服务器40在接收到连接断开通知信息后,则将预先存储的PIN码验证通过信息的状态参数修改为失效状态,例如,在用数字“1”表示PIN码验证通过信息为有效状态的情况下,身份认证服务器40将状态参数从“1”修改为“0”。
在该可选实施方式中,身份认证服务器40中也可以不设置状态参数,而是通过身份认证服务器40中是否存储智能密钥设备PIN码验证通过信息来判断智能密钥设备PIN码验证通过信息是否有效。具体地,终端20,用于在检测到终端20与智能密钥设备10的连接断开时,通过路由器30向身份认证服务器40发送连接断开通知信息;身份认证服务器40,用于在接收到连接断开通知信息后,则将存储的智能密钥设备PIN码验证通过信息删除。由此,只要在身份认证服务器40中查找到智能密钥设备PIN码验证通过信息,则确定预先存储的智能密钥设备PIN码验证通过信息为有效状态,否则为失效状态。当终端20与智能密钥的设备的连接断开时,有可能是用户本人之外的其他人在使用终端20接入网络,因此,将PIN码验证通过信息确定为失效状态,能够避免用户本人之外的其他人非法接入网络;当用户本人将智能密钥设备10与终端20重新连接后,用户需要再次输入PIN码以完成新的PIN码验证流程。
本实施例另一种可选的实施方式中,路由器30,还用于检测到路由器30与终端20的连接断开时,向身份认证服务器40发送设备离开信息,并在检测到路由器30与终端20再次连接时,向身份认证服务器40发送设备接入信息;身份认证服务器40,还用于在接收到设备离开信息时,使用计时器开始计时,如果在计时达到第一预设时间之前接收到设备接入信息,则维持PIN码验证通过信息有效,如果在计时达到第一预设时间之前没有接收到设备接入信息,则执行使PIN码验证通过信息失效的操作。例如,第一预设时间为10分钟,那么如果终端20与路由器30断开连接后,在10分钟内重新与路由器30建立连接,则无需再次输入PIN码进行新的PIN码验证流程;如果终端20与路由器30断开的时间超过10分钟,则终端20与路由器30再次连接后,需要再次输入PIN码进行新的PIN码验证流程。
在该可选的实施方式中,可以参照上一种可选的实施方式提供的在身份认证服务器40中设置一个状态参数表示PIN码验证通过信息是否为有效状态,在具体实施过程中,身份认证服务器40接收到设备离开信息,使用计时器开始计时,如果在计时达到第一预设时间之前接收到设备接入信息,则身份认证服务器40不修改其状态参数,如果在计时达到第一预设时间之前没有接收到设备接入信息,则身份认证服务器40将其状态参数进行修改,例如,在在用数字“1”表示PIN码验证通过信息为有效状态的情况下,身份认证服务器40将状态参数从“1”修改为“0”;或者,在该可选的实施方式中,身份认证服务器40,用于接收到设备离开信息,使用计时器开始计时,如果在计时达到第一预设时间之前没有接收到设备接入信息,则身份认证服务器40,用于将自身存储的PIN码验证通过信息删除,由此,只要在身份认证服务器40中查找到智能密钥设备PIN码验证通过信息,则确定预先存储的智能密钥设备PIN码验证通过信息为有效状态,否则为失效状态。当终端20与路由器30连接断开的时间过长时,使用该终端20和智能密钥设备10的用户可能已经变更,此时将PIN码验证通过信息确定为失效状态,能够避免用户本人之外的其他人非法接入网络;如果是用户本人再次使用该终端20和智能密钥设备10重新登陆应用服务器50,那么再次输入PIN码即可进行登陆操作。
本实施例又一种可选的实施方式中,身份认证服务器40,还用于使用计时器开始计时,在计时达到第二预设时间之前,维持PIN码验证通过信息有效,在计时达到第二预设时间之后,执行使PIN码验证通过信息失效的操作。例如,第二预设时间为8小时,那么当用户完成一次PIN码验证之后,可以在8小时内通过路由器30进行免输密码的网络应用登陆操作,在超过8小时之后,用户需要再次完成一次PIN码验证流程才可以继续进行免输密码的网络应用。
在该可选的实施方式中,可以参照第一种可选的实施方式提供的在身份认证服务器40中设置一个状态参数表示PIN码验证通过信息是否为有效状态,在具体实施过程中,身份认证服务器40,用于使用计时器开始计时,在计时达到第二预设时间之前,不修改其状态参数;在计时达到第二预设时间之后,将其状态参数进行修改,例如,在在用数字“1”表示PIN码验证通过信息为有效状态的情况下,身份认证服务器40将状态参数从“1”修改为“0”;或者,在该可选的实施方式中,身份认证服务器40,用于使用计时器开始计时,在计时达到第二预设时间之后,身份认证服务器40将自身存储的PIN码验证通过信息删除,由此,只要在身份认证服务器40中查找到智能密钥设备PIN码验证通过信息,则确定预先存储的智能密钥设备PIN码验证通过信息为有效状态,否则为失效状态。
智能密钥设备10,用于通过终端20与路由器30之间执行身份认证流程。
本实施例中,路由器30具有身份认证功能,具体的:路由器30内置安全芯片,安全芯片中存储有数字证书和/或私钥;或者路由器30内置软件以实现数字证书功能;或者路由器30外接智能密钥设备10。智能密钥设备10是具有安全芯片的设备,安全芯片内部拥有独立的处理器和存储单元,可存储PKI数字证书,私钥、加解密密钥、验证密钥等类型的密钥以及其他特征数据,对数据进行加密、解密、签名、验签运算,为用户提供数据加密和身份认证服务。在具体实施过程中,路由器30可以通过以下方式实现对智能密钥设备10的身份认证:利用根证书验证接收的智能密钥设备10的数字证书,和/或,使用智能密钥设备10的数字证书对使用智能密钥设备10私钥签名的签名数据进行验签。智能密钥设备10可以通过以下方式实现对路由器30的身份认证:利用根证书验证接收的路由器30的数字证书,和/或,使用路由器30的数字证书对使用路由器30私钥签名的签名数据进行验签。路由器30与智能密钥设备10之间可以仅进行单向身份认证,即路由器30对智能密钥设备10进行身份认证,或者智能密钥设备10对路由器30进行身份认证;路由器30与智能密钥设备10之间也可以进行双向身份认证,即路由器30对智能密钥设备10进行身份认证以及智能密钥设备10对路由器30进行身份认证。
下面对智能密钥设备10与路由器30之间执行双向身份认证的流程进行示例性说明:
智能密钥设备10,用于生成随机数R1,对用其自身的私钥KS1对随机数R1和智能密钥设备ID进行签名得到签名数据S1。在实施过程中,智能密钥设备10可以对随机数R1和智能密钥设备ID进行拼接,得到拼接结果。例如:随机数R1为“7195”,智能密钥设备ID为“1000001”,则对随机数R1和智能密钥设备ID进行顺序拼接得到的拼接结果为“71951000001”。当然,对随机数R1和智能密钥设备ID进行拼接的方式不限于顺序拼接,还可以以其他规则进行拼接,在此不做限定。智能密钥设备10对该拼接结果进行HASH运算,得到摘要报文X1,并利用其自身的私钥KS1对该摘要报文X1进行签名运算得到签名数据S1。智能密钥设备10,还用于将随机数R1、智能密钥设备ID、签名数据S1以及智能密钥设备证书通过终端20发送给路由器30。
路由器30,还用于在验证智能密钥设备证书合法后,利用智能密钥设备证书中智能密钥设备10的公钥KP1对签名数据S1进行验签,并在验签通过后,利用其自身安全芯片产生随机数R2。在实施过程中,路由器30利用智能密钥设备证书中的智能密钥设备10的公钥KP1对接收到的签名数据S1进行运算得到运算结果X2,并将接收到的随机数R1和智能密钥设备ID进行拼接,得到拼接结果,其中,上述拼接规则与智能密钥设备10中的拼接规则一致即可。路由器30对得到的拼接结果进行HASH运算得到摘要报文X3,并将运算结果X2与摘要报文X3进行比对,如果比对结果一致,则路由器30对签名数据S1的验签通过。路由器30,还用于利用智能密钥设备10的公钥KP1对随机数R1和R2进行加密得到密文数据E1,并利用路由器30的私钥KS2对密文数据E1进行签名得到签名数据S2。其中,由路由器30进行签名操作的具体流程与上述由智能密钥设备10进行签名操作的流程一致,在此不再赘述。路由器30,还用于将密文数据E1、签名数据S2以及路由器30的证书通过终端20发送给智能密钥设备10。
智能密钥设备10,还用于利用接收到的证书中的路由器30的公钥KP2对签名数据S2进行验签,并在验签通过后,利用智能密钥设备10的私钥KS1对密文数据E1进行解密得到随机数R1和R2。其中,由智能密钥设备10进行验签操作的具体流程与上述由路由器30进行验签操作的流程一致,在此不再赘述。智能密钥设备10,还用于将解密得到的随机数R1与自身生成的随机数R1进行比对,若比结果一致,则智能密钥设备10与路由器30之间的身份认证结果为通过。
上述身份认证流程仅为一种可选的身份认证流程,智能密钥设备10和路由器30之间和可以采用其他方式进行身份认证,在此不作限定。通过上述身份认证流程,智能密钥设备10和路由器30二者可以互相验证对方身份是否合法,此外,智能密钥设备10解密得到的随机数R2可以作为会话密钥,在智能密钥设备10和路由器30传输数据时,随机数R2可以作为加解密密钥,以此提高传输数据的安全性。
路由器30,用于在身份认证流程结果为认证通过时,为终端20分配IP地址,保存智能密钥设备身份信息与IP地址的绑定信息,智能密钥设备身份信息为智能密钥设备证书或智能密钥设备ID。本实施例中,路由器30可以在身份认证流程中获取到智能密钥设备10的身份信息。由此,路由器30可以建立智能密钥设备身份信息和与该智能密钥设备10相连的终端20的IP地址的一一对应关系。
终端20,还用于通过路由器30向应用服务器50发送应用登陆服务请求信息,触发路由器30与应用服务器50之间执行根据终端20的IP地址以及智能密钥设备身份信息与IP地址的绑定信息确定与终端20匹配的智能密钥设备身份信息的流程。应用服务器50,用于获得确定出的智能密钥设备身份信息,并通过路由器30向身份认证服务器40发送PIN码验证状态查询请求。
本实施例中,至少可以通过以下三种方式中的任一方式确定出智能密钥设备身份信息:
方式一
终端20,具体用于通过路由器30向应用服务器50发送应用登陆服务请求信息。其中,应用登陆服务请求信息中包括智能密钥设备身份信息和IP地址。智能密钥设备身份信息为与该终端20相连的智能密钥设备10的设备证书或设备ID,IP地址为路由器30在身份认证流程结果为认证通过时,为该终端20分配IP地址。应用服务器50,具体用于接收应用登陆服务请求信息,向路由器30发送智能密钥设备10身份验证请求。其中,智能密钥设备10身份验证请求中包括智能密钥设备身份信息和IP地址。路由器30,具体用于接收智能密钥设备10身份验证请求,根据IP地址和绑定信息,对智能密钥设备10身份验证请求中携带的智能密钥设备身份信息进行验证,得到智能密钥设备10身份验证结果信息并发送至应用服务器50。
具体地,由于路由器30在身份认证流程结果为认证通过时,可以为终端20分配IP地址,并保存智能密钥设备身份信息与IP地址的绑定信息,即,路由器30建立了智能密钥设备身份信息和与该智能密钥设备10相连的终端20的IP地址的一一对应关系。路由器30接收到智能密钥设备10身份验证请求,其中,该智能密钥设备10身份验证请求包括:智能密钥设备身份信息A1和IP地址,路由器30可以根据该智能密钥设备10身份验证请求中携带的IP地址,在自身保存的绑定信息中查找与该IP地址对应的智能密钥设备身份信息A2,并验证接收到的智能密钥设备身份信息A1与已保存的智能密钥设备身份信息A2是否一致,若一致,则得到智能密钥设备10身份验证结果信息且验证结果为验证通过;若不一致,则得到智能密钥设备10身份验证结果信息且验证结果为验证不通过。由此,路由器30可以利用保存的绑定信息对终端20发起的应用登陆服务请求信息中所携带的IP地址以及智能密钥设备身份信息进行验证,由于该绑定信息是路由器30在身份认证流程结果为认证通过时所保存的,因此可以验证出终端20发送的应用登陆服务请求信息是否合法,若验证通过,则该应用登陆服务请求信息合法。
应用服务器50,具体用于接收智能密钥设备10身份验证结果信息,若智能密钥设备10身份验证结果信息为验证通过,则应用登陆服务请求信息中携带的智能密钥设备身份信息为确定出的智能密钥设备身份信息。举例来说,若智能密钥设备10身份验证结果信息为验证通过,即接收到的智能密钥设备身份信息A1与已保存的智能密钥设备身份信息A2一致,则智能密钥设备身份信息A1为确定出的智能密钥设备身份信息。由此,应用服务器50可以获得合法的智能密钥设备身份信息,为后续应用服务器50根据智能密钥设备身份信息通过路由器30向终端20提供应用登陆服务提供基础。
该可选的实施方式中,由终端20向应用服务器50发送应用登陆服务请求信息,且应用登陆服务请求信息中包括IP地址以及智能密钥设备身份信息,并在应用服务器50发送智能密钥设备10身份验证请求之后,由路由器30完成对接收到的智能密钥设备身份信息的验证,以获得确定出的智能密钥设备身份信息。
方式二
终端20,具体用于通过路由器30向应用服务器50发送应用登陆服务请求信息。其中,应用登陆服务请求信息中包括IP地址。此外,该应用登陆服务请求信息中可以不包含智能密钥设备身份信息。应用服务器50,具体用于向路由器30发送智能密钥设备身份信息请求。其中,智能密钥设备身份信息请求中至少包括IP地址。路由器30,具体用于接收智能密钥设备10身份验证请求,根据IP地址和绑定信息,得到智能密钥设备身份信息并发送至应用服务器50。
具体地,由于路由器30在身份认证流程结果为认证通过时,可以为终端20分配IP地址,并保存智能密钥设备身份信息与IP地址的绑定信息,即,路由器30建立了智能密钥设备身份信息和与该智能密钥设备10相连的终端20的IP地址的一一对应关系,由此,路由器30可以在自身保存的绑定信息中查找出与接收到的IP地址对应的智能密钥设备身份信息。并且,由于路由器30中保存的绑定信息是路由器30在身份认证流程结果为认证通过时所保存的,因此智能密钥设备身份信息是安全、合法的。
应用服务器50,具体用于接收智能密钥设备身份信息,智能密钥设备身份信息为确定出的智能密钥设备身份信息。
该可选的实施方式中,由终端20向应用服务器50发送应用登陆服务请求信息,且该应用登陆服务请求信息中包括IP地址,并在应用服务器50发送智能密钥设备10身份验证请求之后,由路由器30利用绑定信息根据该IP地址得到合法的智能密钥设备身份信息,并将该合法的智能密钥设备身份信息发送至应用服务器50,为后续应用服务器50根据智能密钥设备身份信息通过路由器30向终端20提供应用登陆服务提供基础。
方式三
终端20,向路由器30发送应用登陆服务请求信息。其中,应用登陆服务请求信息中包括IP地址。此外,该应用登陆服务请求信息中可以不包含智能密钥设备身份信息。路由器30,具体用于在接收终端20发送的应用登陆服务请求信息之后,根据IP地址和绑定信息,得到智能密钥设备身份信息。
具体地,由于路由器30在身份认证流程结果为认证通过时,可以为终端20分配IP地址,并保存智能密钥设备身份信息与IP地址的绑定信息,即,路由器30建立了智能密钥设备身份信息和与该智能密钥设备10相连的终端20的IP地址的一一对应关系,由此,路由器30可以在自身保存的绑定信息中查找出与接收到的IP地址对应的智能密钥设备身份信息。并且,由于路由器30中保存的绑定信息是路由器30在身份认证流程结果为认证通过时所保存的,因此智能密钥设备身份信息是安全、合法的。
路由器30,具体用于向应用服务器50发送应用登陆服务请求信息和智能密钥设备身份信息。应用服务器50,具体用于接收应用登陆服务请求信息和智能密钥设备身份信息,智能密钥设备身份信息为确定出的智能密钥设备身份信息。
该可选的实施方式中,由终端20向路由器30发送应用登陆服务请求信息,且该应用登陆服务请求信息中包括IP地址,并由路由器30利用绑定信息根据该IP地址得到合法的智能密钥设备身份信息,将该合法的智能密钥设备身份信息发送至应用服务器50,为后续应用服务器50根据智能密钥设备身份信息通过路由器30向终端20提供应用登陆服务提供基础。
本实施例中,通过上述任一可选实施方式,可以完成路由器30与应用服务器50之间执行根据终端20的IP地址以及智能密钥设备身份信息与IP地址的绑定信息确定与终端20匹配的智能密钥设备身份信息的流程,从而使应用服务器50获得确定出的智能密钥设备身份信息。并且,通过上述任一可选实施方式获得的确定出的智能密钥设备身份信息均是合法的。由此,可以保证应用服务器50根据智能密钥设备身份信息通过路由器30向终端20提供应用登陆服务的安全性。
身份认证服务器40,还用于接收PIN码验证状态查询请求,查询是否存有PIN码验证通过信息及查询PIN码验证通过信息的状态,如果身份认证服务器40存有PIN码验证通过信息且PIN码验证通过信息的状态为有效,则通过路由器30向应用服务器50发送PIN码验证完成确认信息。
本实施例中,如果智能密钥设备10的PIN码验证流程验证未通过,身份认证服务器40中也就不存在PIN码验证通过信息,那么,在应用服务器50通过路由器30向身份认证服务器40发送PIN码验证状态查询请求之后,身份认证服务器40查询到自身没有保存PIN码验证通过信息,在该情况下,应用服务器50无法向终端20提供应用登陆服务。
此外,在该***包括PIN码验证信息有效性维护的情况下,即使身份认证服务器40中保存有PIN码验证通过信息,但由于发生智能密钥设备10与终端20的连接断开,或者终端20与路由器30的连接断开等等的异常情况,身份认证服务器40中保存的PIN码验证通过信息可能是失效状态。因此,如果智能密钥设备10的PIN码验证流程验证通过,但存在上述异常情况,在应用服务器50通过路由器30向身份认证服务器40发送PIN码验证状态查询请求之后,身份认证服务器40查询到自身存有PIN码验证通过信息但其状态为失效状态,在该情况下,应用服务器50无法向终端20提供应用登陆服务。
由此,应用服务器50在向终端20提供应用登陆服务之前,会通过路由器30向身份认证服务器40发送PIN码验证状态查询请求,以查询身份服务器是否存有有效的PIN码验证通过信息,从而确认请求登陆应用服务器50的终端20是否是安全合法的,在确认终端20身份合法后,应用服务器50才会向终端20提供后续的应用登陆服务,保证了网络应用登陆过程的安全性。
应用服务器50,还用于在获得PIN码验证完成确认信息的情况下,根据确定出的智能密钥设备身份信息通过路由器30向终端20提供应用登陆服务。
本实施例中,应用服务器50获取到PIN码验证完成确认信息即说明请求登陆应用服务器50的终端20的身份是安全合法的,在这种情况下,应用服务器50可以根据确定出的智能密钥设备身份信息即可向终端20提供应用登陆服务。由此,在保证网络应用登陆安全性的情况下,终端20可以直接通过路由器30访问应用服务器50,无需在登录应用服务器50时再次输入密码,使网络应用登陆更加便捷。
用户使用终端20设备(电脑、手机等)上网时,可以通过路由器30访问应用服务器50。现有的登陆应用服务器50的方式没有使用智能密钥设备10,而是使用终端20通过路由器30直接登陆,由于现有的这种登陆方式没有经过PIN码验证流程,更未将PIN码验证流程通过信息存储,因此,用户在每次使用终端20通过路由器30登陆应用服务器50时,都需要再次输入该应用对应的密码。而采用本实施例提供的***,用户可以使用智能密钥设备10与终端20连接,在通过智能密钥设备10的PIN码验证流程之后,终端20通过路由器30连接应用服务器50,由于智能密钥设备10的高安全性,可以使应用服务器50被访问时更加安全。并且,在完成智能密钥设备10的PIN码验证流程之后,身份认证服务器40会保存PIN码验证通过信息,用户再次使用连接有上述智能密钥设备10的终端20通过该路由器30访问应用服务器50时,由于用户已经通过该智能密钥设备10的PIN码验证流程,那么在PIN码验证通过信息有效的情况下,用户无需再次输入应用服务器50的密码即可登陆应用服务器50,从而简化了用户登陆应用的过程。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行***执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。

Claims (8)

1.一种网络应用登陆方法,其特征在于,包括:
在智能密钥设备与终端建立连接后,所述终端触发验证设备执行所述智能密钥设备的PIN码验证流程;若验证通过,身份认证服务器获取并保存所述PIN码验证通过信息;其中,所述验证设备为:所述智能密钥设备、所述终端或所述身份认证服务器;
所述智能密钥设备通过所述终端,与路由器执行所述智能密钥设备与所述路由器的身份认证流程;
所述路由器在所述身份认证流程结果为认证通过时,为所述终端分配IP地址,保存智能密钥设备身份信息与所述IP地址的绑定信息,所述智能密钥设备身份信息为所述智能密钥设备证书或智能密钥设备ID;
所述终端通过所述路由器向所述应用服务器发送应用登陆服务请求信息,触发所述路由器与所述应用服务器之间执行根据所述终端的IP地址以及所述智能密钥设备身份信息与所述IP地址的绑定信息确定与所述终端匹配的所述智能密钥设备身份信息的流程,所述应用服务器获得确定出的智能密钥设备身份信息;
所述应用服务器通过所述路由器向所述身份认证服务器发送PIN码验证状态查询请求;
所述身份认证服务器接收所述PIN码验证状态查询请求,查询是否存有所述PIN码验证通过信息及查询所述PIN码验证通过信息的状态,如果所述身份认证服务器存有所述PIN码验证通过信息且所述PIN码验证通过信息的状态为有效,则通过所述路由器向所述应用服务器发送PIN码验证完成确认信息;
所述应用服务器在获得所述PIN码验证完成确认信息的情况下,根据所述确定出的智能密钥设备身份信息通过所述路由器向所述终端提供应用登陆服务。
2.根据权利要求1所述的方法,其特征在于,所述触发验证设备执行所述智能密钥设备的PIN码验证流程,包括:
所述终端提示所述PIN码输入提示信息,接收PIN码并生成PIN码验证信息,将所述PIN码验证信息发送至所述智能密钥设备,所述智能密钥设备接收所述PIN码验证信息并验证,若验证通过,则生成所述PIN码验证通过信息,并通过所述终端和所述路由器发送至所述身份认证服务器;或者,
所述终端提示所述PIN码输入提示信息,接收PIN码并生成PIN码验证信息,将所述PIN码验证信息发送至身份认证服务器,所述身份认证服务器接收所述PIN码验证信息并验证,若验证通过,则生成所述PIN码验证通过信息;或者,
所述终端将所述PIN码输入提示信息发送至所述智能密钥设备,所述智能密钥设备接收所述PIN码输入提示信息并提示,接收PIN码并验证,若验证通过,则生成所述PIN码验证通过信息,并通过所述终端和所述路由器发送至所述身份认证服务器;或者,
所述终端将所述PIN码输入提示信息发送至所述智能密钥设备,所述智能密钥设备接收所述PIN码输入提示信息并提示,接收PIN码并生成PIN码验证信息,将所述PIN码验证信息通过所述终端和所述路由器发送至身份认证服务器,所述身份认证服务器接收所述PIN码验证信息并验证,若验证通过,则生成PIN码验证通过信息。
3.根据权利要求1所述的方法,其特征在于,
所述终端通过所述路由器向所述应用服务器发送应用登陆服务请求信息,触发所述路由器与所述应用服务器之间执行根据所述终端的IP地址以及所述智能密钥设备身份信息与所述IP地址的绑定信息确定与所述终端匹配的所述智能密钥设备身份信息的流程,所述应用服务器获得确定出的智能密钥设备身份信息,包括:
所述终端通过所述路由器向所述应用服务器发送应用登陆服务请求信息,所述应用登陆服务请求信息中包括所述智能密钥设备身份信息和所述IP地址;所述应用服务器接收所述应用登陆服务请求信息,向所述路由器发送智能密钥设备身份验证请求,所述智能密钥设备身份验证请求中包括所述智能密钥设备身份信息和所述IP地址;所述路由器接收所述智能密钥设备身份验证请求,根据所述IP地址和所述绑定信息,对所述智能密钥设备身份验证请求中携带的所述智能密钥设备身份信息进行验证,得到智能密钥设备身份验证结果信息并发送至所述应用服务器;所述应用服务器接收所述智能密钥设备身份验证结果信息,若所述智能密钥设备身份验证结果信息为验证通过,则所述应用登陆服务请求信息中携带的所述智能密钥设备身份信息为所述确定出的智能密钥设备身份信息;
或者,
所述终端通过所述路由器向所述应用服务器发送应用登陆服务请求信息,所述应用登陆服务请求信息中包括所述IP地址;所述应用服务器向所述路由器发送智能密钥设备身份信息请求,所述智能密钥设备身份信息请求中至少包括所述IP地址;所述路由器接收所述智能密钥设备身份验证请求,根据所述IP地址和所述绑定信息,得到所述智能密钥设备身份信息并发送至所述应用服务器;所述应用服务器接收所述智能密钥设备身份信息,所述智能密钥设备身份信息为所述确定出的智能密钥设备身份信息;
或者,
所述终端向所述路由器发送应用登陆服务请求信息,所述应用登陆服务请求信息中包括所述IP地址;所述路由器接收所述终端发送的所述应用登陆服务请求信息之后,根据所述IP地址和所述绑定信息,得到所述智能密钥设备身份信息;所述路由器向所述应用服务器发送所述应用登陆服务请求信息和所述智能密钥设备身份信息,所述应用服务器接收所述应用登陆服务请求信息和所述智能密钥设备身份信息,所述智能密钥设备身份信息为所述确定出的智能密钥设备身份信息。
4.根据权利要求1所述的方法,其特征在于,所述身份认证服务器获取并保存所述PIN码验证通过信息之后,所述方法还包括:
所述终端检测到所述终端与所述智能密钥设备的连接断开时,通过所述路由器向所述身份认证服务器发送连接断开通知信息;所述身份认证服务器在接收到所述连接断开通知信息后,执行使所述PIN码验证通过信息失效的操作;或者,
所述路由器检测到所述路由器与所述终端的连接断开时,向所述身份认证服务器发送设备离开信息,并在检测到所述路由器与所述终端再次连接时,向所述身份认证服务器发送设备接入信息;所述身份认证服务器接收到所述设备离开信息,使用计时器开始计时,如果在计时达到第一预设时间之前接收到所述设备接入信息,则维持所述PIN码验证通过信息有效,如果在计时达到第一预设时间之前没有接收到所述设备接入信息,则执行使所述PIN码验证通过信息失效的操作;或者,
所述身份认证服务器使用计时器开始计时,在计时达到第二预设时间之前,维持所述PIN码验证通过信息有效,在计时达到第二预设时间之后,执行使所述PIN码验证通过信息失效的操作。
5.一种网络应用登陆***,其特征在于,包括:终端、智能密钥设备、路由器、身份认证服务器以及应用服务器;
所述终端,用于在与所述智能密钥设备建立连接后,触发验证设备执行所述智能密钥设备的PIN码验证流程;其中,所述验证设备为:所述智能密钥设备、所述终端或所述身份认证服务器;
所述身份认证服务器,用于在所述PIN码验证流程验证通过时,获取并保存所述PIN码验证通过信息;
所述智能密钥设备,用于通过所述终端,与路由器执行所述智能密钥设备与所述路由器的身份认证流程;
所述路由器,用于在所述身份认证流程结果为认证通过时,为所述终端分配IP地址,保存智能密钥设备身份信息与所述IP地址的绑定信息,所述智能密钥设备身份信息为所述智能密钥设备证书或智能密钥设备ID;
所述终端,还用于通过所述路由器向所述应用服务器发送应用登陆服务请求信息,触发所述路由器与所述应用服务器之间执行根据所述终端的IP地址以及所述智能密钥设备身份信息与所述IP地址的绑定信息确定与所述终端匹配的所述智能密钥设备身份信息的流程;
所述应用服务器,用于获得确定出的智能密钥设备身份信息,并通过所述路由器向所述身份认证服务器发送PIN码验证状态查询请求;
所述身份认证服务器,还用于接收所述PIN码验证状态查询请求,查询是否存有所述PIN码验证通过信息及查询所述PIN码验证通过信息的状态,如果所述身份认证服务器存有所述PIN码验证通过信息且所述PIN码验证通过信息的状态为有效,则通过所述路由器向所述应用服务器发送PIN码验证完成确认信息;
所述应用服务器,还用于在获得所述PIN码验证完成确认信息的情况下,根据所述确定出的智能密钥设备身份信息通过所述路由器向所述终端提供应用登陆服务。
6.根据权利要求5所述的***,其特征在于,
所述验证设备为所述智能密钥设备时,所述终端,具体用于提示所述PIN码输入提示信息,接收PIN码并生成PIN码验证信息,将所述PIN码验证信息发送至所述智能密钥设备;所述智能密钥设备,具体用于接收所述PIN码验证信息并验证,若验证通过,则生成所述PIN码验证通过信息,并通过所述终端和所述路由器发送至所述身份认证服务器;或者,
所述验证设备为所述身份认证服务器时,所述终端,具体用于提示所述PIN码输入提示信息,接收PIN码并生成PIN码验证信息,将所述PIN码验证信息发送至身份认证服务器;所述身份认证服务器,具体用于接收所述PIN码验证信息并验证,若验证通过,则生成所述PIN码验证通过信息;或者,
所述验证设备为所述智能密钥设备时,所述终端,具体用于在所述终端将所述PIN码输入提示信息发送至所述智能密钥设备;所述智能密钥设备,具体用于接收所述PIN码输入提示信息并提示,接收PIN码并验证,若验证通过,则生成所述PIN码验证通过信息,并通过所述终端和所述路由器发送至所述身份认证服务器;或者,
所述验证设备为所述身份认证服务器时,所述终端,具体用于在所述终端将所述PIN码输入提示信息发送至所述智能密钥设备;所述智能密钥设备,具体用于接收所述PIN码输入提示信息并提示,接收PIN码并生成PIN码验证信息,将所述PIN码验证信息通过所述终端和所述路由器发送至身份认证服务器;所述身份认证服务器,具体用于接收所述PIN码验证信息并验证,若验证通过,则生成PIN码验证通过信息。
7.根据权利要求5所述的***,其特征在于,
所述终端,具体用于通过所述路由器向所述应用服务器发送应用登陆服务请求信息,所述应用登陆服务请求信息中包括所述智能密钥设备身份信息和所述IP地址;所述应用服务器,具体用于接收所述应用登陆服务请求信息,向所述路由器发送智能密钥设备身份验证请求,所述智能密钥设备身份验证请求中包括所述智能密钥设备身份信息和所述IP地址;所述路由器,具体用于接收所述智能密钥设备身份验证请求,根据所述IP地址和所述绑定信息,对所述智能密钥设备身份验证请求中携带的所述智能密钥设备身份信息进行验证,得到智能密钥设备身份验证结果信息并发送至所述应用服务器;所述应用服务器,具体用于接收所述智能密钥设备身份验证结果信息,若所述智能密钥设备身份验证结果信息为验证通过,则所述应用登陆服务请求信息中携带的所述智能密钥设备身份信息为所述确定出的智能密钥设备身份信息;
或者,
所述终端,具体用于通过所述路由器向所述应用服务器发送应用登陆服务请求信息,所述应用登陆服务请求信息中包括所述IP地址;所述应用服务器,具体用于向所述路由器发送智能密钥设备身份信息请求,所述智能密钥设备身份信息请求中至少包括所述IP地址;所述路由器,具体用于接收所述智能密钥设备身份验证请求,根据所述IP地址和所述绑定信息,得到所述智能密钥设备身份信息并发送至所述应用服务器;所述应用服务器,具体用于接收所述智能密钥设备身份信息,所述智能密钥设备身份信息为所述确定出的智能密钥设备身份信息;
或者,
所述终端,具体用于向所述路由器发送应用登陆服务请求信息,所述应用登陆服务请求信息中包括所述IP地址;所述路由器,具体用于在接收所述终端发送的所述应用登陆服务请求信息之后,根据所述IP地址和所述绑定信息,得到所述智能密钥设备身份信息,并向所述应用服务器发送所述应用登陆服务请求信息和所述智能密钥设备身份信息;所述应用服务器,具体用于接收所述应用登陆服务请求信息和所述智能密钥设备身份信息,所述智能密钥设备身份信息为所述确定出的智能密钥设备身份信息。
8.根据权利要求5所 述的***,其特征在于,
所述终端,还用于在检测到所述终端与所述智能密钥设备的连接断开时,通过所述路由器向所述身份认证服务器发送连接断开通知信息;所述身份认证服务器,还用于在接收到所述连接断开通知信息后,执行使所述PIN码验证通过信息失效的操作;
或者,
所述路由器,还用于在检测到所述路由器与所述终端的连接断开时,向所述身份认证服务器发送设备离开信息,并在检测到所述路由器与所述终端再次连接时,向所述身份认证服务器发送设备接入信息;所述身份认证服务器,还用于在接收到所述设备离开信息时,使用计时器开始计时,如果在计时达到第一预设时间之前接收到所述设备接入信息,则维持所述PIN码验证通过信息有效,如果在计时达到第一预设时间之前没有接收到所述设备接入信息,则执行使所述PIN码验证通过信息失效的操作;
或者,
所述身份认证服务器,还用于使用计时器开始计时,在计时达到第二预设时间之前,维持所述PIN码验证通过信息有效,在计时达到第二预设时间之后,执行使所述PIN码验证通过信息失效的操作。
CN201710244614.8A 2017-04-14 2017-04-14 一种网络应用登陆方法和*** Active CN107070917B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710244614.8A CN107070917B (zh) 2017-04-14 2017-04-14 一种网络应用登陆方法和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710244614.8A CN107070917B (zh) 2017-04-14 2017-04-14 一种网络应用登陆方法和***

Publications (2)

Publication Number Publication Date
CN107070917A CN107070917A (zh) 2017-08-18
CN107070917B true CN107070917B (zh) 2020-04-10

Family

ID=59601105

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710244614.8A Active CN107070917B (zh) 2017-04-14 2017-04-14 一种网络应用登陆方法和***

Country Status (1)

Country Link
CN (1) CN107070917B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114143102B (zh) * 2021-12-06 2024-01-26 深圳市共进电子股份有限公司 一种路由器免密登录方法、免密登录设备及计算机设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1556449A (zh) * 2004-01-08 2004-12-22 中国工商银行 对网上银行数据进行加密、认证的装置和方法
CN101340285A (zh) * 2007-07-05 2009-01-07 杭州中正生物认证技术有限公司 利用指纹USBkey进行身份验证的方法及***
CN101938473A (zh) * 2010-08-24 2011-01-05 北京易恒信认证科技有限公司 单点登录***及单点登录方法
CN103905206A (zh) * 2014-04-03 2014-07-02 江苏先安科技有限公司 一种基于数据图像编码的跨设备跨应用的身份认证方法
CN105553674A (zh) * 2016-01-11 2016-05-04 飞天诚信科技股份有限公司 一种交互***、智能密钥设备、服务器及工作方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1556449A (zh) * 2004-01-08 2004-12-22 中国工商银行 对网上银行数据进行加密、认证的装置和方法
CN101340285A (zh) * 2007-07-05 2009-01-07 杭州中正生物认证技术有限公司 利用指纹USBkey进行身份验证的方法及***
CN101938473A (zh) * 2010-08-24 2011-01-05 北京易恒信认证科技有限公司 单点登录***及单点登录方法
CN103905206A (zh) * 2014-04-03 2014-07-02 江苏先安科技有限公司 一种基于数据图像编码的跨设备跨应用的身份认证方法
CN105553674A (zh) * 2016-01-11 2016-05-04 飞天诚信科技股份有限公司 一种交互***、智能密钥设备、服务器及工作方法

Also Published As

Publication number Publication date
CN107070917A (zh) 2017-08-18

Similar Documents

Publication Publication Date Title
KR102018971B1 (ko) 네트워크 액세스 디바이스가 무선 네트워크 액세스 포인트를 액세스하게 하기 위한 방법, 네트워크 액세스 디바이스, 애플리케이션 서버 및 비휘발성 컴퓨터 판독가능 저장 매체
US8769612B2 (en) Portable device association
US8099761B2 (en) Protocol for device to station association
CN110192381B (zh) 密钥的传输方法及设备
US8769289B1 (en) Authentication of a user accessing a protected resource using multi-channel protocol
CN107135205B (zh) 一种网络接入方法和***
US9445269B2 (en) Terminal identity verification and service authentication method, system and terminal
KR101706117B1 (ko) 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법
CN109920100B (zh) 一种智能锁开锁方法及***
WO2014161436A1 (zh) 电子签名令牌响应操作请求的方法及***及电子签名令牌
KR101765917B1 (ko) 개인망 엔티티 인증을 위한 방법
US11546699B2 (en) Hearing device with service mode and related method
WO2016115807A1 (zh) 无线路由器的接入处理、接入方法及装置
CN106878122B (zh) 一种网络接入方法及***
CN107070918B (zh) 一种网络应用登录方法和***
JP2006303751A (ja) 通信システム,通信方法および通信端末
CN109962781B (zh) 一种数字证书分发装置
RU2698424C1 (ru) Способ управления авторизацией
CN107070917B (zh) 一种网络应用登陆方法和***
CN106714158B (zh) 一种WiFi接入方法及装置
US20150188918A1 (en) Method and system of authenticating a network device in a location based verification framework
CN104038932B (zh) 一种安全设备
CN104065650B (zh) 一种语音通话的数据处理***
CN104080080B (zh) 一种语音通话的数据处理***
JP2023512096A (ja) デバイスとリモートサーバとの間の安全な通信

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant