CN109561428B - 远程鉴权方法及其装置、设备和存储介质 - Google Patents
远程鉴权方法及其装置、设备和存储介质 Download PDFInfo
- Publication number
- CN109561428B CN109561428B CN201811624505.XA CN201811624505A CN109561428B CN 109561428 B CN109561428 B CN 109561428B CN 201811624505 A CN201811624505 A CN 201811624505A CN 109561428 B CN109561428 B CN 109561428B
- Authority
- CN
- China
- Prior art keywords
- authorized
- mobile terminal
- terminal
- server
- received
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
Abstract
本发明涉及通信领域,公开了远程鉴权方法及其装置、设备和存储介质。本发明的远程鉴权方法包括:获取并加密在待授权设备处采集的用户的第一生物识别特征;向移动终端发送加密的第一生物识别特征,以供移动终端将第一生物识别特征解密后与该移动终端中存储的用户的第二生物识别特征进行匹配;如果接收到移动终端在第一和第二生物识别特征匹配后发送的标识移动终端的第一终端ID,则将第一终端ID和标识待授权设备的第一设备ID发送给服务器。本发明在物理位置上确保请求认证和享用相关服务的都是用户本人,有效避免用户身份或者移动终端被盗用的情况,同时不存储用户的生物识别特征从而避免泄露用户生物识别特征的风险。
Description
技术领域
本发明涉及通信领域,特别涉及一种远程鉴权方法及其装置、设备和存储介质。
背景技术
随着网络化生活方式的普及,在日常生活中出现了越来越多的需要用户进行网络认证,或者说鉴权的需求,比如移动支付,共享单车等。现有的基于互联网或蓝牙通讯等技术的联网设备,比如共享单车车锁,智能门锁等智能锁等相关产品其鉴权方式均为单向鉴权,即由移动终端或者其他方式发起鉴权申请,在锁体或者云端对申请者身份进行核实,并在鉴权通过后授权相关执行机构开锁、认证、考勤等目标操作。大部分依赖移动互联网进行单向鉴权的方式均存在容易伪造地址信息的问题,在移动终端被窃取、攻破、或者复制等情况下,攻击者可以远程操作移动终端对需要鉴权的终端进行授权。
由于互联网的特性导致这种异地的信息发送几乎无法察觉,从而无法判断移动终端是否在需要授权的终端(即本文所述的执行设备)附近,进而确认是否由经过授权的用户发起鉴权申请。
即只通过检查鉴权或者认证发起者的身份信息(手机SN,手机号码,移动终端OS内置的鉴权功能如锁屏密码)目前已经证实均是可以伪造/攻破的。在这种情况下需要较高安全性的场合就不能再依靠这些传统的身份认证方式和鉴权方法。
而直接通过生物识别特征等用户唯一识别码的方式来进行认证则存在必须集中存储用户信息的问题。当相关服务是面向大众市场时会集中存储大量的用户信息,尤其是生物识别特征等无法变更的用户信息,一旦泄露将对客户造成重大的损失。也就是说任何集中存储用户信息的服务都是高风险的。采集与传输个人的生物识别特征信息在我国及世界各地都是一项高度涉及安全与法律的敏感行为。
发明内容
本发明的目的在于提供一种远程鉴权方法及其装置、设备和存储介质,可在物理位置上确保请求认证和享用相关服务的都是用户本人,有效避免用户身份或者移动终端被盗用的情况,同时不存储用户的生物识别特征从而避免泄露用户生物识别特征的风险。
为解决上述技术问题,本发明的实施方式公开了一种远程鉴权方法,该方法包括:
获取并加密在待授权设备处采集的用户的第一生物识别特征;
向移动终端发送加密的第一生物识别特征,以供移动终端将第一生物识别特征解密后与该移动终端中存储的用户的第二生物识别特征进行匹配;
如果接收到移动终端在第一和第二生物识别特征匹配后发送的标识移动终端的第一终端ID,则将第一终端ID和标识待授权设备的第一设备ID发送给服务器,以供服务器基于接收到的第一设备ID和第一终端ID以及从移动终端接收到的标识移动终端的第二终端ID和标识待授权设备的第二设备ID,确定是否发送授权信息;
其中,移动终端在第一和第二生物识别特征匹配后向服务器发送第二终端ID和从待授权设备接收到的第二设备ID。
在一示范例中,上述服务器确定是否发送授权信息包括:
服务器判断接收到的第一设备ID和第一终端ID是否与第二设备ID和第二终端ID匹配;
如果判断结果为匹配,则服务器获取预先存储的关于待授权设备和移动终端的权限信息,并基于获取到的权限信息确定是否发送授权信息。
在另一示范例中,向移动终端发送加密的第一生物识别特征包括:
判断移动终端是否满足预定通信条件,如果满足预定通信条件,则向移动终端发送加密的第一生物识别特征。
在另一示范例中,在将第一终端ID和标识待授权设备的第一设备ID发送给服务器之后,方法还包括:
如果接收到服务器发送的授权信息,则控制待授权设备执行移动终端的用户请求的相关操作。
在另一示范例中,在向移动终端发送加密的第一生物识别特征之后,待授权设备删除第一生物识别特征。
在另一示范例中,生物识别特征为指纹。
本发明的实施方式还公开了一种远程鉴权方法,该方法包括:
移动终端接收由待授权设备发送的加密的第一生物识别特征,其中,第一生物识别特征在待授权设备处采集,并由待授权设备加密;
移动终端的将加密的第一生物识别特征进行解密,并将解密后的第一生物识别特征与该移动终端中预先存储的用户的第二生物识别特征进行匹配;
移动终端在第一和第二生物识别特征匹配后,向待授权设备发送标识该移动终端的第一终端ID,并向服务器发送标识该移动终端的第二终端ID和接收自待授权设备标识待授权设备的第二设备ID,以供服务器基于接收到的第二终端ID、第二设备ID以及从待授权设备接收到的第一终端ID和标识待授权设备的第一设备ID,确定是否发送授权信息。
在一示范例中,移动终端的将解密后的第一生物识别特征与该移动终端中预先存储的用户的第二生物识别特征进行匹配后,删除第一生物识别特征。
本发明的实施方式还公开了一种远程鉴权方法,该方法包括:
服务器从待授权设备接收第一设备ID和第一终端ID,并从移动终端接收第二设备ID和第二终端ID;
服务器基于接收到的第一设备ID、第一终端ID、第二终端ID和第二设备ID确定是否发送授权信息;
其中,第一生物识别特征在待授权设备处被采集并由待授权设备加密后发送给移动终端,并且
在移动终端确定接收到第一生物识别特征与该移动终端中存储的用户的第二生物识别特征匹配后,向待授权设备发送标识移动终端的第一终端ID,并向服务器发送标识移动终端的第二终端ID和接收自待授权设备的标识待授权设备的第二设备ID,并且
待授权设备在接收到移动终端发送的第一终端ID后,向服务器发送第一终端ID和标识待授权设备的第一设备ID。
在一示范例中,服务器基于接收到的第一设备ID、第一终端ID、第二终端ID和第二设备ID确定是否发送授权信息包括:
服务器判断接收到的第一设备ID和第一终端ID是否与第二设备ID和第二终端ID匹配;
如果判断结果为匹配,则服务器获取预先存储的关于待授权设备和移动终端的权限信息,并基于获取到的权限信息确定是否发送授权信息。
在另一示范例中,服务器基于接收到的第一设备ID、第一终端ID、第二终端ID和第二设备ID确定是否发送授权信息包括:
服务器判断接收到的第一设备ID和第一终端ID是否与第二设备ID和第二终端ID分别匹配;
如果判断结果为匹配,则服务器发送授权信息。
本发明的实施方式还公开了一种远程鉴权装置,包括:
获取单元,用于获取并加密在待授权设备处采集的用户的第一生物识别特征;
第一发送单元,用于向移动终端发送加密的第一生物识别特征,以供移动终端将第一生物识别特征解密后与该移动终端中存储的用户的第二生物识别特征进行匹配;
第二发送单元,用于在接收到移动终端在第一和第二生物识别特征匹配后发送的标识移动终端的第一终端ID后,将第一终端ID和标识待授权设备的第一设备ID发送给服务器,以供服务器基于接收到的第一设备ID和第一终端ID以及从移动终端接收到的标识移动终端的第二终端ID和标识待授权设备的第二设备ID,确定是否发送授权信息。
本发明的实施方式还公开了一种移动终端,该移动终端包括:
第一接收单元,用于接收由待授权设备发送的加密的第一生物识别特征,其中,第一生物识别特征在待授权设备处采集,并由待授权设备加密;
匹配单元,用于将加密的第一生物识别特征进行解密,并将解密后的第一生物识别特征与该移动终端中预先存储的用户的第二生物识别特征进行匹配;
第三发送单元,用于在第一和第二生物识别特征匹配后,向待授权设备发送标识该移动终端的第一终端ID,并向服务器发送标识该移动终端的第二终端ID和接收自待授权设备标识待授权设备的第二设备ID,以供服务器基于接收到的第二终端ID、第二设备ID以及从待授权设备接收到的第一终端ID和标识待授权设备的第一设备ID,确定是否发送授权信息。
本发明的实施方式还公开了一种服务器,该服务器包括:
第二接收单元,用于从待授权设备接收第一设备ID和第一终端ID,并从移动终端接收第二设备ID和第二终端ID;
确定单元,用于基于接收到的第一设备ID、第一终端ID、第二终端ID和第二设备ID确定是否发送授权信息;
其中,第一生物识别特征在待授权设备处被采集并由待授权设备加密后发送给移动终端,并且
在移动终端确定接收到第一生物识别特征与该移动终端中存储的用户的第二生物识别特征匹配后,向待授权设备发送标识移动终端的第一终端ID,并向服务器发送标识移动终端的第二终端ID和接收自待授权设备的标识待授权设备的第二设备ID,并且
待授权设备在接收到移动终端发送的第一终端ID后,向服务器发送第一终端ID和标识待授权设备的第一设备ID。
本发明的实施方式还公开了一种设备,该设备包括存储有计算机可执行指令的存储器和处理器,处理器被配置为在执行计算机可执行指令时,执行上述实施方式所公开的远程鉴权方法。
本发明的实施方式还公开了一种使用计算机程序编码的非易失性计算机存储介质,其中,计算机程序包括指令,当指令被一个以上的计算机执行时,指令使得一个以上的计算机执行上述实施方式所公开的远程鉴权方法。
本发明实施方式与现有技术相比,主要区别及其效果在于:
在远程授权过程中,能够在物理位置上确保请求授权和享用相关服务的都是用户本人,有效避免用户身份或者移动终端被盗用后相关资源被盗用的情况,提高远程授权的安全性,同时,时时采集的生物识别特征被加密传输,有效防止生物识别特征的泄露和被盗用。
进一步地,使得待授权设备仅与满足预定通信条件的移动终端通信,提高了生物信息传送的安全性。
进一步地,待授权设备不存储用户的生物识别特征,也无需远程发送生物识别特征,在保证授权安全性的同时避免用户生物识别特征的泄露。
进一步地,如果发现待授权设备或者用户移动终端被盗用的情况,服务器通过拒绝发送授权信息便可单方面限制对待授权设备的使用,提高待授权设备使用的安全性。
进一步地,移动终端不存储接收到的用户的生物识别特征,也无需远程发送生物识别特征,在保证授权安全性的同时避免用户生物识别特征的泄露。
附图说明
图1是根据本发明第一实施方式的远程鉴权方法的流程示意图;
图2是根据本发明第二实施方式的远程鉴权方法的流程示意图;
图3是根据本发明第三实施方式的远程鉴权方法的流程示意图;
图4是根据本发明第四实施方式的远程鉴权装置的结构示意图;
图5是根据本发明第五实施方式的移动终端的结构示意图;
图6是根据本发明第六实施方式的服务器的结构示意图。
具体实施方式
在以下的叙述中,为了使读者更好地理解本申请而提出了许多技术细节。但是,本领域的普通技术人员可以理解,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请各权利要求所要求保护的技术方案。
可以理解,在本发明中,生物识别特征指能够唯一标识用户的生物识别特征,如指纹、虹膜、面部特征、声音等。
此外,可以理解,在本发明中,移动终端包括但不限于智能手机、平板电脑等。设备ID(标识码)指能够唯一标识待授权设备的信息,如为待授权设备设置的识别码或者识别号,或者待授权设备的IP地址、MAC地址等,或者安置在待授权设备上的,执行相关功能的设备被设置的标识码,或者待授权设备或者安置在待授权设备上的装置从服务器下载的执行相关功能的应用程序被设置的ID。移动终端的终端ID也是指能够唯一标识移动终端的信息,如MAC地址或者为终端专门设置的标识符。本发明对服务器接收到的发送来源不同的ID采用在前加第一或第二的方式进行区分,例如,第一终端ID和第二终端ID均为标识移动终端的ID,第一设备ID和第二设备ID均为标识待授权设备的ID,只是直接发送的设备不同,所以将其进行区分。
可以理解,在本发明中,待授权设备可以同时具有采集和获取生物识别特征的功能,采集生物识别特征的设备也可以不是待授权设备,在此不做限制。如果采集生物识别特征的设备不是待授权设备,则采集生物识别特征的设备在将采集到的生物识别特征发送之后,也会删除采集的生物识别特征,以保证用户生物识别特征不被集中存储和泄露。
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的实施方式作进一步地详细描述。
本发明第一实施方式涉及一种远程鉴权方法。图1是该远程鉴权方法的流程示意图。
具体地,如图1所示,该方法包括以下步骤:
在步骤101中,获取并加密在待授权设备处采集的用户的第一生物识别特征。
此后,进入步骤102。
在步骤102中,向移动终端发送加密的第一生物识别特征,以供移动终端将第一生物识别特征解密后与该移动终端中存储的用户的第二生物识别特征进行匹配。
可以理解,在本发明的各实施方式中,移动终端和待授权设备之间的通信可以是受限制的,也就是说,只有满足预定通信条件的移动终端,待授权设备才会向其发送第一生物识别特征。例如,在一示范例中,在该步骤102中,可以预先判断移动终端是否满足预定通信条件,如果满足预定通信条件,则向移动终端发送加密的第一生物识别特征。从而使得待授权设备仅与满足预定通信条件的移动终端通信,提高了生物信息传送的安全性。
设置预定通信条件是为了使得设备模块与特定的一些设备进行通信,传输生物识别特征。例如,与具有特定通信频段的设备、具有特定的标识的设备等,以提高生物识别信息传输的安全性。
此后,进入步骤103。
在步骤103中,判断是否在第一预定时间段内接收到移动终端在第一和第二生物识别特征匹配后发送的标识移动终端的第一终端ID。
如果所述判断结果为是,则进入步骤104;否则,结束本流程。
在步骤104中,将第一终端ID和标识待授权设备的第一设备ID发送给服务器,以供服务器基于接收到的第一设备ID和第一终端ID以及从移动终端接收到的标识移动终端的第二终端ID和标识待授权设备的第二设备ID,确定是否发送授权信息。
可以理解,移动终端在第一和第二生物识别特征匹配后向服务器发送第二终端ID和从待授权设备接收到的第二设备ID。
例如,在一示范例中,服务器确定是否发送授权信息包括:服务器判断接收到的第一设备ID和第一终端ID是否与第二设备ID和第二终端ID匹配;如果判断结果为匹配,则服务器获取预先存储的关于待授权设备和移动终端的权限信息,并基于获取到的权限信息确定是否发送授权信息。例如,服务器可以基于接收到的设备ID(第一设备ID或者第二设备ID)和终端ID(第一终端ID或者第二终端ID)搜索预先存储的授权信息。
可以理解,在本发明的各实施方式中,权限信息可以是待授权设备和移动终端预先发送给服务器的,也可以是待授权设备或者移动终端从服务器下载执行上述功能的相关应用程序时,服务器生成的授权信息,或者是预先在服务器记载的安装在待授权设备和移动终端中的相应的硬件模块或者芯片的信息,如芯片或者硬件模块的标识符之间的对应关系。
可以理解,在本发明的其他示范例中,服务器也可以在各ID匹配后直接发送授权信息,而无需权限信息,在此不做限制。
此后,进入步骤105。
在步骤105中,判断是否在第二预定时间段内接收到服务器发送的授权信息。
如果判断结果为是,则进入步骤106;否则,结束本流程。
在步骤106中,控制待授权设备执行移动终端的用户请求的相关操作。
例如,待授权设备为共享单车,则相关操作为打开共享单车的车锁;待授权设备为自动售卖机,则相关操作为将用户购买的商品推送给用户。
此后,结束本流程。
此外,在一示范例中,在向移动终端发送加密的第一生物识别特征之后,删除第一生物识别特征。例如,在预定时间内删除,或者接收到移动终端发送的第一终端ID之后删除生物识别特征。
如此,待授权设备不存储用户的生物识别特征,也无需远程发送生物识别特征,在保证授权安全性的同时避免用户生物识别特征的泄露。
可以理解,在本发明中,执行上述步骤的可以是待授权设备上安装有的应用程序,也可以是安装在待授权设备处的硬件模块或者芯片,移动终端中也相应地安装有这些应用程序、硬件模块或者芯片,同时,基于预先的设置(如硬件出厂时对其进行的设置,或者软件应用程序在下载是对其进行的设置),由待授权设备的这些程序、硬件模块或者芯片加密的生物识别特征,移动终端中相应的应用程序、硬件模块或者芯片能够对其进行解密。
在远程授权过程中,能够在物理位置上确保请求授权和享用相关服务的都是用户本人,有效避免用户身份或者移动终端被盗用后相关资源被盗用的情况,提高远程授权的安全性。并且,如果发现待授权设备或者用户移动终端被盗用的情况,服务器通过拒绝发送授权信息便可单方面限制对待授权设备的使用,提高待授权设备使用的安全性。
本发明的第二实施方式涉及一种远程鉴权方法。图2是该远程鉴权方法的流程示意图。
具体地,如图2所示,该远程鉴权方法包括如下步骤:
在步骤201中,移动终端接收由待授权设备发送的加密的第一生物识别特征,其中,第一生物识别特征在待授权设备处采集,并由待授权设备加密。
此后,进入步骤202。
在步骤202中,移动终端的将加密的第一生物识别特征进行解密,并将解密后的第一生物识别特征与该移动终端中预先存储的用户的第二生物识别特征进行匹配。
在本发明中,由待授权设备执行的相关步骤或者功能是该待授权设备上安装的应用程序,或者待授权设备中的硬件模块或者芯片执行的,而移动终端执行的相关步骤也可以是相应地安装的应用程序、硬件模块或者芯片执行,同时应用程序、硬件模块或者芯片被预先进行了设置,使得由待授权设备的这些程序、硬件模块或者芯片加密的生物识别特征,移动终端中相应的应用程序、硬件模块或者芯片能够对其进行解密。
可以理解,在该步骤中,优选地,将第一生物识别特征与第二生物识别特征进行匹配后,移动终端删除第一生物识别特征。如此,移动终端不存储接收到的用户的生物识别特征,也无需远程发送生物识别特征,在保证授权安全性的同时避免用户生物识别特征的泄露。
如果匹配,则进入步骤203;否则,结束本流程。
在步骤203中,向待授权设备发送标识该移动终端的第一终端ID,并向服务器发送标识该移动终端的第二终端ID和接收自待授权设备标识待授权设备的第二设备ID,以供服务器基于接收到的第二终端ID、第二设备ID以及从待授权设备接收到的第一终端ID和标识待授权设备的第一设备ID,确定是否发送授权信息。
例如,在一示范例中,服务器确定是否发送授权信息包括:服务器判断接收到的第一设备ID和第一终端ID是否与第二设备ID和第二终端ID匹配;如果判断结果为匹配,则服务器获取预先存储的关于待授权设备和移动终端的权限信息,并基于获取到的权限信息确定是否发送授权信息。例如,服务器可以基于接收到的设备ID(第一设备ID或者第二设备ID)和终端ID(第一终端ID或者第二终端ID)搜索预先存储的授权信息。
可以理解,在本发明的各实施方式中,权限信息可以是待授权设备和移动终端预先发送给服务器的,也可以是待授权设备或者移动终端从服务器下载执行上述功能的相关应用程序时,服务器生成的授权信息,或者是预先在服务器记载的安装在待授权设备和移动终端中的相应的硬件模块或者芯片的信息,如芯片或者硬件模块的标识符之间的对应关系。
可以理解,在本发明的其他示范例中,服务器也可以在各ID匹配后直接发送授权信息,而无需权限信息,在此不做限制。
此后,结束本流程。
在远程授权过程中,本发明能够在物理位置上确保请求授权和享用相关服务的都是用户本人,有效避免用户身份或者移动终端被盗用后相关资源被盗用的情况,提高远程授权的安全性。
本发明的第三实施方式涉及一种远程鉴权方法。图3是该远程鉴权方法的流程示意图。
具体地,如图3所示,该远程鉴权方法包括如下步骤:
在步骤301中,服务器从待授权设备接收第一设备ID和第一终端ID,并从移动终端接收第二设备ID和第二终端ID。
此后,进入步骤302。
在步骤302中,服务器基于接收到的第一设备ID、第一终端ID、第二终端ID和第二设备ID确定是否发送授权信息。
可以理解,第一生物识别特征在待授权设备处被采集并由待授权设备加密后发送给移动终端,并且在移动终端确定接收到第一生物识别特征与该移动终端中存储的用户的第二生物识别特征匹配后,向待授权设备发送标识移动终端的第一终端ID,并向服务器发送标识移动终端的第二终端ID和接收自待授权设备的标识待授权设备的第二设备ID,并且待授权设备在接收到移动终端发送的第一终端ID后,向服务器发送第一终端ID和标识待授权设备的第一设备ID。
此后,结束本流程。
在一示范例中,上述步骤302包括:
服务器判断接收到的第一设备ID和第一终端ID是否与第二设备ID和第二终端ID匹配;
如果判断结果为匹配,则服务器获取预先存储的关于待授权设备和移动终端的权限信息,并基于获取到的权限信息确定是否发送授权信息。
在另一示范例中,上述步骤302包括:
服务器判断接收到的第一设备ID和第一终端ID是否与第二设备ID和第二终端ID分别匹配;
如果判断结果为匹配,则服务器发送授权信息。
在远程授权过程中,能够在物理位置上确保请求授权和享用相关服务的都是用户本人,有效避免用户身份或者移动终端被盗用后相关资源被盗用的情况,提高远程授权的安全性。
本发明的第四实施方式公开了一种远程鉴权装置。图4是该远程鉴权装置的结构示意图。
具体地,如图4所示,该装置包括:
获取单元,用于获取并加密在待授权设备处采集的用户的第一生物识别特征。
第一发送单元,用于向移动终端发送加密的第一生物识别特征,以供移动终端将第一生物识别特征解密后与该移动终端中存储的用户的第二生物识别特征进行匹配。
第二发送单元,用于在接收到移动终端在第一和第二生物识别特征匹配后发送的标识移动终端的第一终端ID后,将第一终端ID和标识待授权设备的第一设备ID发送给服务器,以供服务器基于接收到的第一设备ID和第一终端ID以及从移动终端接收到的标识移动终端的第二终端ID和标识待授权设备的第二设备ID,确定是否发送授权信息。
在远程授权过程中,能够在物理位置上确保请求授权和享用相关服务的都是用户本人,有效避免用户身份或者移动终端被盗用后相关资源被盗用的情况,提高远程授权的安全性。并且,如果发现待授权设备或者用户移动终端被盗用的情况,服务器通过拒绝发送授权信息便可单方面限制对待授权设备的使用,提高待授权设备使用的安全性。
第一实施方式是与本实施方式相对应的方法实施方式,本实施方式可与第一实施方式互相配合实施。第一实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一实施方式中。
本发明的第五实施方式涉及一种移动终端。图5是该移动终端的结构示意图。具体地,如图5所示,该移动终端包括:
第一接收单元,用于接收由待授权设备发送的加密的第一生物识别特征,其中,第一生物识别特征在待授权设备处采集,并由待授权设备加密。
匹配单元,用于将加密的第一生物识别特征进行解密,并将解密后的第一生物识别特征与该移动终端中预先存储的用户的第二生物识别特征进行匹配。
第三发送单元,用于在第一和第二生物识别特征匹配后,向待授权设备发送标识该移动终端的第一终端ID,并向服务器发送标识该移动终端的第二终端ID和接收自待授权设备标识待授权设备的第二设备ID,以供服务器基于接收到的第二终端ID、第二设备ID以及从待授权设备接收到的第一终端ID和标识待授权设备的第一设备ID,确定是否发送授权信息。
第二实施方式是与本实施方式相对应的方法实施方式,本实施方式可与第二实施方式互相配合实施。第二实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第二实施方式中。
本发明第六实施方式公开了一种服务器。图6是该服务器的结构示意图。
具体地,如图6所示,该服务器包括:
第二接收单元,用于从待授权设备接收第一设备ID和第一终端ID,并从移动终端接收第二设备ID和第二终端ID;
确定单元,用于基于接收到的第一设备ID、第一终端ID、第二终端ID和第二设备ID确定是否发送授权信息;
其中,第一生物识别特征在待授权设备处被采集并由待授权设备加密后发送给移动终端,并且
在移动终端确定接收到第一生物识别特征与该移动终端中存储的用户的第二生物识别特征匹配后,向待授权设备发送标识移动终端的第一终端ID,并向服务器发送标识移动终端的第二终端ID和接收自待授权设备的标识待授权设备的第二设备ID,并且
待授权设备在接收到移动终端发送的第一终端ID后,向服务器发送第一终端ID和标识待授权设备的第一设备ID。
第三实施方式是与本实施方式相对应的方法实施方式,本实施方式可与第三实施方式互相配合实施。第三实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第三实施方式中。
本发明的第七实施方式公开了一种设备,该设备包括存储有计算机可执行指令的存储器和处理器,处理器被配置为在执行计算机可执行指令时,执行第一至第三实施方式中任一种远程鉴权方法。
本发明的第八实施方式公开了一种使用计算机程序编码的非易失性计算机存储介质,其中,计算机程序包括指令,当指令被一个以上的计算机执行时,指令使得一个以上的计算机执行第一至第三实施方式中任一种远程鉴权方法。
本发明的各方法实施方式均可以以软件、硬件、固件等方式实现。不管本发明是以软件、硬件、还是固件方式实现,指令代码都可以存储在任何类型的计算机可访问的存储器中(例如永久的或者可修改的,易失性的或者非易失性的,固态的或者非固态的,固定的或者可更换的介质等等)。同样,存储器可以例如是可编程阵列逻辑(Programmable ArrayLogic,简称“PAL”)、随机存取存储器(Random Access Memory,简称“RAM”)、可编程只读存储器(Programmable Read Only Memory,简称“PROM”)、只读存储器(Read-Only Memory,简称“ROM”)、电可擦除可编程只读存储器(Electrically Erasable Programmable ROM,简称“EEPROM”)、磁盘、光盘、数字通用光盘(Digital Versatile Disc,简称“DVD”)等等。
目前现存的电子物理身份认证主要依赖移动终端的安全性来保障其认证过程的可靠安全,故将安全***的核心保障过程交给了外部不可控的环节,从而严重的削弱了整个***的安全性,即容易出现单点失效导致的整个***失效。而集中存储用户信息又会导致巨大的信息泄露风险。本发明解决了现存的电子物理认证对移动终端的安全的单一依赖,从而避免了因为移动终端失效导致的整个安全***的鉴权机制失效,同时依据本发明所构建的***中不存在集中存储用户生物信息的问题,不容易导致大规模的用户信息泄露事件。
需要说明的是,本发明各设备实施方式中提到的各单元都是逻辑单元,在物理上,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现,这些逻辑单元本身的物理实现方式并不是最重要的,这些逻辑单元所实现的功能的组合才是解决本发明所提出的技术问题的关键。此外,为了突出本发明的创新部分,本发明上述各设备实施方式并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,这并不表明上述设备实施方式并不存在其它的单元。
需要说明的是,在本专利的权利要求和说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
虽然通过参照本发明的某些优选实施方式,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (13)
1.一种远程鉴权方法,其特征在于,包括:
获取并加密在待授权设备处采集的用户的第一生物识别特征;
向移动终端发送加密的所述第一生物识别特征,以供所述移动终端将所述第一生物识别特征解密后与该移动终端中存储的用户的第二生物识别特征进行匹配;
如果接收到所述移动终端在所述第一和第二生物识别特征匹配后发送的标识所述移动终端的第一终端ID,则将所述第一终端ID和标识所述待授权设备的第一设备ID发送给服务器,以供所述服务器基于接收到的所述第一设备ID和第一终端ID以及从所述移动终端接收到的标识所述移动终端的第二终端ID和标识所述待授权设备的第二设备ID,确定是否发送授权信息;
其中,所述移动终端在所述第一和第二生物识别特征匹配后向所述服务器发送所述第二终端ID和从所述待授权设备接收到的所述第二设备ID;
其中,所述服务器确定是否发送授权信息包括:
所述服务器判断接收到的所述第一设备ID和第一终端ID是否与所述第二设备ID和第二终端ID匹配;
如果所述判断结果为匹配,则所述服务器获取预先存储的关于所述待授权设备和所述移动终端的权限信息,并基于获取到的所述权限信息确定是否发送所述授权信息;
其中,所述权限信息是所述待授权设备和所述移动终端预先发送给所述服务器的信息,或者是所述待授权设备或所述移动终端从所述服务器下载相关应用程序时所述服务器生成的授权信息,或者是预先在所述服务器记载的安装在所述待授权设备和所述移动终端中的相应的硬件模块或芯片的信息。
2.根据权利要求1所述的远程鉴权方法,其特征在于,向移动终端发送加密的所述第一生物识别特征包括:
判断所述移动终端是否满足预定通信条件,如果满足所述预定通信条件,则向所述移动终端发送所述加密的所述第一生物识别特征。
3.根据权利要求2所述的远程鉴权方法,其特征在于,在将所述第一终端ID和标识所述待授权设备的第一设备ID发送给服务器之后,所述方法还包括:
如果接收到所述服务器发送的授权信息,则控制所述待授权设备执行所述移动终端的用户请求的相关操作。
4.根据权利要求1至3中任一项所述的远程鉴权方法,其特征在于,在向移动终端发送加密的所述第一生物识别特征之后,所述待授权设备删除所述第一生物识别特征。
5.根据权利要求1至3中任一项所述的远程鉴权方法,其特征在于,所述生物识别特征为指纹。
6.一种远程鉴权方法,其特征在于,包括:
移动终端接收由待授权设备发送的加密的第一生物识别特征,其中,所述第一生物识别特征在所述待授权设备处采集,并由所述待授权设备加密;
移动终端的将所述加密的第一生物识别特征进行解密,并将解密后的所述第一生物识别特征与该移动终端中预先存储的用户的第二生物识别特征进行匹配;
移动终端在所述第一和第二生物识别特征匹配后,向所述待授权设备发送标识该移动终端的第一终端ID,并向服务器发送标识该移动终端的第二终端ID和接收自所述待授权设备标识所述待授权设备的第二设备ID,以供所述服务器基于接收到的所述第二终端ID、第二设备ID以及从所述待授权设备接收到的所述第一终端ID和标识所述待授权设备的第一设备ID,确定是否发送授权信息;
其中,所述服务器确定是否发送授权信息包括:
所述服务器判断接收到的所述第一设备ID和第一终端ID是否与所述第二设备ID和第二终端ID匹配;
如果所述判断结果为匹配,则所述服务器获取预先存储的关于所述待授权设备和所述移动终端的权限信息,并基于获取到的所述权限信息确定是否发送所述授权信息;
其中,所述权限信息是所述待授权设备和所述移动终端预先发送给所述服务器的信息,或者是所述待授权设备或所述移动终端从所述服务器下载相关应用程序时所述服务器生成的授权信息,或者是预先在所述服务器记载的安装在所述待授权设备和所述移动终端中的相应的硬件模块或芯片的信息。
7.根据权利要求6所述的远程鉴权方法,其特征在于,所述移动终端的将解密后的所述第一生物识别特征与该移动终端中预先存储的用户的第二生物识别特征进行匹配后,删除所述第一生物识别特征。
8.一种远程鉴权方法,其特征在于,包括:
服务器从待授权设备接收第一设备ID和第一终端ID,并从移动终端接收第二设备ID和第二终端ID;
所述服务器基于接收到的所述第一设备ID、第一终端ID、第二终端ID和第二设备ID确定是否发送授权信息;
其中,第一生物识别特征在所述待授权设备处被采集并由所述待授权设备加密后发送给所述移动终端,并且
在移动终端确定接收到所述第一生物识别特征与该移动终端中存储的用户的第二生物识别特征匹配后,向所述待授权设备发送标识所述移动终端的第一终端ID,并向服务器发送标识所述移动终端的第二终端ID和接收自所述待授权设备的标识所述待授权设备的第二设备ID,并且
所述待授权设备在接收到所述移动终端发送的所述第一终端ID后,向所述服务器发送所述第一终端ID和标识所述待授权设备的第一设备ID;
其中,所述服务器基于接收到的所述第一设备ID、第一终端ID、第二终端ID和第二设备ID确定是否发送授权信息包括:
所述服务器判断接收到的所述第一设备ID和第一终端ID是否与所述第二设备ID和第二终端ID匹配;
如果所述判断结果为匹配,则所述服务器获取预先存储的关于所述待授权设备和所述移动终端的权限信息,并基于获取到的所述权限信息确定是否发送所述授权信息;
其中,所述权限信息是所述待授权设备和所述移动终端预先发送给所述服务器的信息,或者是所述待授权设备或所述移动终端从所述服务器下载相关应用程序时所述服务器生成的授权信息,或者是预先在所述服务器记载的安装在所述待授权设备和所述移动终端中的相应的硬件模块或芯片的信息。
9.一种远程鉴权装置,其特征在于,包括:
获取单元,用于获取并加密在待授权设备处采集的用户的第一生物识别特征;
第一发送单元,用于向移动终端发送加密的所述第一生物识别特征,以供所述移动终端将所述第一生物识别特征解密后与该移动终端中存储的用户的第二生物识别特征进行匹配;
第二发送单元,用于在接收到所述移动终端在所述第一和第二生物识别特征匹配后发送的标识所述移动终端的第一终端ID后,将所述第一终端ID和标识所述待授权设备的第一设备ID发送给服务器,以供所述服务器基于接收到的所述第一设备ID和第一终端ID以及从所述移动终端接收到的标识所述移动终端的第二终端ID和标识所述待授权设备的第二设备ID,确定是否发送授权信息;
其中,所述服务器确定是否发送授权信息包括:
所述服务器判断接收到的所述第一设备ID和第一终端ID是否与所述第二设备ID和第二终端ID匹配;
如果所述判断结果为匹配,则所述服务器获取预先存储的关于所述待授权设备和所述移动终端的权限信息,并基于获取到的所述权限信息确定是否发送所述授权信息;
其中,所述权限信息是所述待授权设备和所述移动终端预先发送给所述服务器的信息,或者是所述待授权设备或所述移动终端从所述服务器下载相关应用程序时所述服务器生成的授权信息,或者是预先在所述服务器记载的安装在所述待授权设备和所述移动终端中的相应的硬件模块或芯片的信息。
10.一种移动终端,其特征在于,包括:
第一接收单元,用于接收由待授权设备发送的加密的第一生物识别特征,其中,所述第一生物识别特征在所述待授权设备处采集,并由所述待授权设备加密;
匹配单元,用于将所述加密的第一生物识别特征进行解密,并将解密后的所述第一生物识别特征与该移动终端中预先存储的用户的第二生物识别特征进行匹配;
第三发送单元,用于在所述第一和第二生物识别特征匹配后,向所述待授权设备发送标识该移动终端的第一终端ID,并向服务器发送标识该移动终端的第二终端ID和接收自所述待授权设备标识所述待授权设备的第二设备ID,以供所述服务器基于接收到的所述第二终端ID、第二设备ID以及从所述待授权设备接收到的所述第一终端ID和标识所述待授权设备的第一设备ID,确定是否发送授权信息;
其中,所述服务器确定是否发送授权信息包括:
所述服务器判断接收到的所述第一设备ID和第一终端ID是否与所述第二设备ID和第二终端ID匹配;
如果所述判断结果为匹配,则所述服务器获取预先存储的关于所述待授权设备和所述移动终端的权限信息,并基于获取到的所述权限信息确定是否发送所述授权信息;
其中,所述权限信息是所述待授权设备和所述移动终端预先发送给所述服务器的信息,或者是所述待授权设备或所述移动终端从所述服务器下载相关应用程序时所述服务器生成的授权信息,或者是预先在所述服务器记载的安装在所述待授权设备和所述移动终端中的相应的硬件模块或芯片的信息。
11.一种服务器,其特征在于,包括:
第二接收单元,用于从待授权设备接收第一设备ID和第一终端ID,并从移动终端接收第二设备ID和第二终端ID;
确定单元,用于基于接收到的所述第一设备ID、第一终端ID、第二终端ID和第二设备ID确定是否发送授权信息;
其中,第一生物识别特征在所述待授权设备处被采集并由所述待授权设备加密后发送给所述移动终端,并且
在移动终端确定接收到所述第一生物识别特征与该移动终端中存储的用户的第二生物识别特征匹配后,向所述待授权设备发送标识所述移动终端的第一终端ID,并向服务器发送标识所述移动终端的第二终端ID和接收自所述待授权设备的标识所述待授权设备的第二设备ID,并且
所述待授权设备在接收到所述移动终端发送的所述第一终端ID后,向所述服务器发送所述第一终端ID和标识所述待授权设备的第一设备ID;
其中,所述确定单元基于接收到的所述第一设备ID、第一终端ID、第二终端ID和第二设备ID确定是否发送授权信息包括:
所述确定单元判断接收到的所述第一设备ID和第一终端ID是否与所述第二设备ID和第二终端ID匹配;
如果所述判断结果为匹配,则所述确定单元获取预先存储的关于所述待授权设备和所述移动终端的权限信息,并基于获取到的所述权限信息确定是否发送所述授权信息;
其中,所述权限信息是所述待授权设备和所述移动终端预先发送给所述服务器的信息,或者是所述待授权设备或所述移动终端从所述服务器下载相关应用程序时所述服务器生成的授权信息,或者是预先在所述服务器记载的安装在所述待授权设备和所述移动终端中的相应的硬件模块或芯片的信息。
12.一种远程鉴权设备,其特征在于,包括存储有计算机可执行指令的存储器和处理器,所述处理器被配置为在执行所述计算机可执行指令时,执行如权利要求1至8中任一项所述的远程鉴权方法。
13.一种使用计算机程序编码的非易失性计算机存储介质,其特征在于,所述计算机程序包括指令,当所述指令被一个以上的计算机执行时,所述指令使得所述一个以上的计算机执行如权利要求1至8中任一项所述的远程鉴权方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811624505.XA CN109561428B (zh) | 2018-12-28 | 2018-12-28 | 远程鉴权方法及其装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811624505.XA CN109561428B (zh) | 2018-12-28 | 2018-12-28 | 远程鉴权方法及其装置、设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109561428A CN109561428A (zh) | 2019-04-02 |
| CN109561428B true CN109561428B (zh) | 2021-10-29 |
Family
ID=65871688
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811624505.XA Active CN109561428B (zh) | 2018-12-28 | 2018-12-28 | 远程鉴权方法及其装置、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109561428B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110070014A (zh) * | 2019-04-12 | 2019-07-30 | 顾宏超 | 基于生物识别特征的识别方法及其装置、设备和存储介质 |
| CN111274167A (zh) * | 2020-01-21 | 2020-06-12 | 李岗 | 介质数据的保护方法及*** |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105224933A (zh) * | 2015-10-23 | 2016-01-06 | 云丁网络技术(北京)有限公司 | 一种指纹信息的安全远程授权方法以及*** |
| CN105282148A (zh) * | 2015-09-17 | 2016-01-27 | 褚维戈 | 数据的远程鉴权***和方法 |
| CN106921738A (zh) * | 2017-03-01 | 2017-07-04 | 深圳春沐源农业科技有限公司 | 一种设备控制方法及装置 |
| CN109067881A (zh) * | 2018-08-09 | 2018-12-21 | 顾宏超 | 远程授权方法及其装置、设备和存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9942710B2 (en) * | 2015-08-04 | 2018-04-10 | At&T Intellectual Property I, L.P. | Determination of location of a mobile device |
-
2018
- 2018-12-28 CN CN201811624505.XA patent/CN109561428B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105282148A (zh) * | 2015-09-17 | 2016-01-27 | 褚维戈 | 数据的远程鉴权***和方法 |
| CN105224933A (zh) * | 2015-10-23 | 2016-01-06 | 云丁网络技术(北京)有限公司 | 一种指纹信息的安全远程授权方法以及*** |
| CN106921738A (zh) * | 2017-03-01 | 2017-07-04 | 深圳春沐源农业科技有限公司 | 一种设备控制方法及装置 |
| CN109067881A (zh) * | 2018-08-09 | 2018-12-21 | 顾宏超 | 远程授权方法及其装置、设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109561428A (zh) | 2019-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109067881B (zh) | 远程授权方法及其装置、设备和存储介质 | |
| CN109150835B (zh) | 云端数据存取的方法、装置、设备及计算机可读存储介质 | |
| CN109410406B (zh) | 一种授权方法、装置和*** | |
| WO2017197974A1 (zh) | 一种基于生物特征的安全认证方法、装置及电子设备 | |
| US20090158033A1 (en) | Method and apparatus for performing secure communication using one time password | |
| KR20150029679A (ko) | 이동 단말을 이용하여 록 메커니즘의 제어를 위한 방법 및 디바이스 | |
| CN111868726B (zh) | 电子设备和电子设备的数字钥匙供应方法 | |
| US20190200223A1 (en) | Wireless network-based biometric authentication system, a mobile device and a method thereof | |
| CN107733636B (zh) | 认证方法以及认证*** | |
| CN102438013A (zh) | 基于硬件的证书分发 | |
| CN109145628B (zh) | 一种基于可信执行环境的数据采集方法及*** | |
| KR101690989B1 (ko) | Fido 인증모듈을 이용한 전자서명 방법 | |
| CN112673600A (zh) | 基于区块链的手机终端以及IoT设备之间的多重安全认证***以及方法 | |
| CN105100102A (zh) | 一种权限配置以及信息配置方法和装置 | |
| WO2016070611A1 (zh) | 一种数据处理方法、服务器及终端 | |
| KR20190130206A (ko) | 분실 보안이 강화된 IoT기기 제3자 보안인증 시스템 및 방법 | |
| CN108768941B (zh) | 一种远程解锁安全设备的方法及装置 | |
| CN109561428B (zh) | 远程鉴权方法及其装置、设备和存储介质 | |
| CN108989331B (zh) | 数据存储设备的使用鉴权方法及其设备和存储介质 | |
| CN103152326A (zh) | 一种分布式认证方法及认证*** | |
| CA2888443A1 (en) | Certificate installation and delivery process, four factor authentication, and applications utilizing same | |
| US20210406866A1 (en) | Method for Processing a Transaction, Corresponding Device, System and Program | |
| CN107818255B (zh) | 一种基于指纹识别加密增强***安全的方法 | |
| CN107786978B (zh) | 基于量子加密的nfc认证*** | |
| CN111063070B (zh) | 数字钥匙的共享方法、验证方法、及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200518 Address after: 201101 401, 39 Lane 3333, Hongxin Road, Minhang District, Shanghai Applicant after: Gu Hongchao Address before: 241000 A609, No. 35 Hengshan Road, Wuhu Economic and Technological Development Zone, Wuhu City, Anhui Province Applicant before: WUHU JIZHI INTELLIGENT TECHNOLOGY Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |