CN111343133B - 一种认证方法、设备及计算机可读存储介质 - Google Patents
一种认证方法、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN111343133B CN111343133B CN201811558097.2A CN201811558097A CN111343133B CN 111343133 B CN111343133 B CN 111343133B CN 201811558097 A CN201811558097 A CN 201811558097A CN 111343133 B CN111343133 B CN 111343133B
- Authority
- CN
- China
- Prior art keywords
- authentication
- terminal
- information
- platform
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 146
- 238000004891 communication Methods 0.000 claims description 107
- 230000008569 process Effects 0.000 claims description 53
- 238000012545 processing Methods 0.000 claims description 18
- 230000006870 function Effects 0.000 description 27
- 238000010586 diagram Methods 0.000 description 12
- 238000013475 authorization Methods 0.000 description 10
- 238000005406 washing Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 4
- 230000001360 synchronised effect Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例公开了一种认证方法,包括:获取第一鉴权信息和第二鉴权信息;发送所述第一鉴权信息至第一认证平台,并发送所述第二鉴权信息至第二认证平台;接收所述第一认证平台发送的第一认证结果,以及所述第二认证平台发送的第二认证结果;基于所述第一认证结果和所述第二认证结果,确定所述第一终端的操作对象与所述第二终端是否匹配,得到第三认证结果;发送所述第三认证结果至所述第一终端和/或所述第二终端。本发明实施例还同时公开了一种认证设备及计算机可读存储介质。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种认证方法、设备及计算机可读存储介质。
背景技术
在物联网行业中,由于要实现海量机器类通信(Machine-To-Machine,M2M)之间的全面交互,特别是实现用户可以与同网络下的物终端能够建立互联关系,方便用户对物终端进行控制,因此在物联网中也需要进行海量的人和物终端的身份验证和绑定过程,对于这些海量人和物的身份信息,保证该身份信息的安全性和有效性显得尤为重要。
现有技术中,对人物的身份认证主要采用用户名加密码的口令模式,对物终端的认证主要采用编码对比,然后根据已存储的人与物终端之间的绑定关系进行识别。但是在网络环境中,由于用户名并不会与用户的实名信息挂钩,因此可能被模仿和盗用,与此同时,物终端的编码信息也容易被伪造,以上情况皆会造成人与物之间在相互认证和绑定过程中产生巨大的安全隐患,为用户带来不好的体验。
发明内容
为解决上述技术问题,本发明实施例期望提供一种认证方法、设备及计算机存储介质,解决了互联网通信中人与物终端之间绑定时的安全问题,提高了用户在物联网人与物互联绑定过程中的安全体验。
为达到上述目的,本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种认证方法,所述方法包括:
获取第一鉴权信息和第二鉴权信息,其中,所述第一鉴权信息是用于对第一终端的操作对象进行鉴权的信息,所述第二鉴权信息是用于对第二终端进行鉴权相关的信息;
发送所述第一鉴权信息至第一认证平台,并发送所述第二鉴权信息至第二认证平台;
接收所述第一认证平台发送的第一认证结果,以及所述第二认证平台发送的第二认证结果;其中,所述第一认证结果包括所述第一认证平台对所述第一鉴权信息的认证结果,所述第二认证结果包括所述第二认证平台对所述第二鉴权信息的认证结果;
基于所述第一认证结果和所述第二认证结果,确定所述第一终端的操作对象与所述第二终端是否匹配,得到第三认证结果;
发送所述第三认证结果至所述第一终端和/或所述第二终端;其中,所述第三认证结果用于指示所述第一终端和/或第二终端基于所述第三认证结果对预设操作请求信息进行处理。
上述方案中,所述获取第一鉴权信息和第二鉴权信息,包括:
若所述第一终端与第三认证平台具有通信连接,接收所述第一终端发送的所述第一鉴权信息和所述第二鉴权信息;
相应的,所述发送所述第三认证结果至所述第一终端和/或所述第二终端,包括:
发送所述第三认证结果至所述第一终端;其中,所述第三认证结果用于指示所述第一终端基于所述第三认证结果确定是否发送所述操作请求信息至所述第二终端。
上述方案中,所述获取第一鉴权信息和第二鉴权信息,包括:
若所述第二终端与所述第三认证平台具有通信连接,接收所述第二终端发送的所述第一鉴权信息和所述第二鉴权信息;
相应的,所述发送所述第三认证结果至所述第一终端和/或所述第二终端,包括:
发送所述第三认证结果至所述第二终端;其中,所述第三认证结果用于指示所述第二终端基于所述第三认证结果处理所述操作请求信息。
上述方案中,所述获取第一鉴权信息和第二鉴权信息,包括:
若所述第一终端和所述第二终端均与所述第三认证平台具有通信连接,接收所述第一终端发送的所述第一鉴权信息和所述第二鉴权信息,以及接收所述第二终端发送的所述第三鉴权信息和所述第四鉴权信息;其中,所述第三鉴权信息是用于对所述第一终端的操作对象进行鉴权的信息,所述第四鉴权信息是用于对所述第二终端进行鉴权相关的信息;所述第一认证结果还包括所述第一认证平台对所述第三鉴权信息的认证结果,所述第二认证结果还包括所述第二认证平台对所述第四鉴权信息的认证结果;
相应的,所述发送所述第三认证结果至所述第一终端和/或所述第二终端,包括:
发送所述第三认证结果至所述第一终端和所述第二终端;其中,所述第三认证结果用于指示所述第一终端基于所述第三认证结果确定是否发送所述操作请求信息至所述第二终端,以及所述第二终端基于所述第三认证结果处理所述操作请求信息。
上述方案中,所述方法还包括:
若所述第三认证结果为所述第一终端与所述第二终端匹配,获取所述第一终端对所述第二终端的操作权限信息;
若所述第一终端与所述第三认证平台具有通信连接,发送所述操作权限信息至所述第一终端;其中,所述操作权限信息用于指示所述第一终端基于所述操作权限信息控制所述第二终端执行预设操作;
若所述第二终端与所述第三认证平台具有通信连接,发送所述操作权限信息至所述第二终端;其中,所述操作权限信息用于指示所述第二终端可执行的预设操作;
若所述第一终端和所述第二终端均与所述第三认证平台具有通信连接,发送所述操作权限信息至所述第一终端和所述第二终端,其中所述操作权限信息用于指示所述第一终端基于所述操作权限信息控制所述第二终端执行预设操作,以及指示所述第二终端可执行的预设操作。
本发明实施例提供了一种认证方法,所述方法包括:
接收第三认证平台发送的第一鉴权信息;其中,所述第一鉴权信息是第一终端或第二终端发送至所述第三认证平台的;
基于所述第一鉴权信息,对所述第一终端的操作对象进行认证得到第一认证结果;
发送所述第一认证结果至所述第三认证平台;其中,所述第一认证结果用于指示所述第三认证平台基于所述第一认证结果对所述操作对象和所述第二终端的匹配关系进行认证。
上述方案中,所述方法还包括:
接收所述第三认证平台发送的第三鉴权信息;其中,所述第三鉴权信息是所述第一终端或所述第二终端发送至所述第三认证平台的;
相应的,所述基于所述第一鉴权信息,对所述第一终端的操作对象进行认证得到第一认证结果,包括:
分别基于所述第一鉴权信息和所述第三鉴权信息,对所述操作对象进行认证得到所述第一认证结果。
本发明实施例提供了一种认证方法,所述方法包括:
接收第三认证平台发送的第二鉴权信息;其中,所述第二鉴权信息是第一终端或第二终端发送至所述第三认证平台的;
基于所述第二鉴权信息,对所述第二终端进行认证得到第二认证结果;
发送所述第二认证结果至所述第三认证平台;其中,所述第二认证结果用于指示所述第三认证平台基于所述第二认证结果对所述操作对象和所述第二终端的匹配关系进行认证。
上述方案中,所述方法还包括:
接收所述第三认证平台发送的第四鉴权信息;其中,所述第四鉴权信息是对所述第二终端或所述第一终端发送至所述第三认证平台的;
相应的,所述基于所述第二鉴权信息,对所述第二终端进行认证得到第二认证结果,包括:
分别基于所述第二鉴权信息和所述第四鉴权信息,对所述第二终端进行认证得到所述第二认证结果。
本发明实施例提供了一种认证方法,所述方法包括:
接收第二终端发送的第二鉴权信息;其中,所述第二鉴权信息是用于对所述第二终端进行鉴权的信息;
若第一终端与第三认证平台具有通信连接,发送第一鉴权信息和所述第二鉴权信息至所述第三认证平台;其中,所述第一鉴权信息是用于对所述第一终端的操作对象进行鉴权的信息;
接收所述第三认证平台发送的第三认证结果;其中,所述第三认证结果用于指示所述第三认证平台基于所述第一鉴权信息和所述第二鉴权信息,对所述操作对象和所述第二终端的匹配关系进行认证;
基于所述第三认证结果发送用于控制所述第二终端执行预设操作的操作请求至所述第二终端。
上述方案中,在所述接收第二终端发送的第二鉴权信息之后,所述方法还包括:
若所述第一终端与第三认证平台不具有通信连接且所述第二终端与所述第三认证平台具有通信连接,基于所述第一终端存储的白名单数据库对所述第二鉴权信息进行认证;
若认证通过,发送所述第一鉴权信息和用于控制所述第二终端执行预设操作的操作请求至所述第二终端;其中,所述第一鉴权信息是用于对所述第一终端的操作对象进行鉴权的信息,并用于指示所述第二终端发送所述第一鉴权信息至所述第三认证平台。
上述方案中,所述基于所述第三认证结果发送用于控制所述第二终端执行预设操作的操作请求至所述第二终端,包括:
若所述第三认证结果为所述第一终端与所述第二终端匹配,接收所述第三认证平台发送的所述第一终端对所述第二终端的操作权限信息;
基于所述操作权限信息,发送用于控制所述第二终端执行预设操作的操作请求至所述第二终端。
本发明实施例提供了一种认证方法,所述方法包括:
接收第一终端发送的第一鉴权信息;其中,所述第一鉴权信息是用于对所述第一终端的操作对象进行鉴权的信息;
若第二终端与第三认证平台具有通信连接,发送所述第一鉴权信息和第二鉴权信息至所述第三认证平台;其中,所述第二鉴权信息是用于对所述第二终端进行鉴权的信息;
接收所述第三认证平台发送的第三认证结果;其中,所述第三认证结果用于指示所述第三认证平台基于所述第一鉴权信息和所述第二鉴权信息,对所述操作对象和所述第二终端的匹配关系进行认证;
接收第一终端发送的用于控制所述第二终端执行预设操作的操作请求,并基于所述第三认证结果处理所述操作请求。
上述方案中,在所述接收第一终端发送的第一鉴权信息之后,所述方法还包括:
若所述第二终端与所述第三认证平台不具有通信连接且所述第一终端与所述第三认证平台具有通信连接,基于所述第二终端已存储的白名单数据库对所述第一鉴权信息进行认证;
若认证通过,发送所述第二鉴权信息至所述第一终端;其中,所述第二鉴权信息是用于对所述第二终端进行鉴权的信息,并用于指示所述第一终端发送所述第二鉴权信息至所述第三认证平台;
接收第一终端发送的用于控制所述第二终端执行预设操作的操作请求,并基于所述操作请求执行所述预设操作。
上述方案中,所述接收第一终端发送的用于控制所述第二终端执行预设操作的操作请求,并基于所述第三认证结果处理所述操作请求,包括:
若所述第三认证结果为所述第一终端与所述第二终端匹配,接收所述第三认证平台发送的所述第一终端对所述第二终端的操作权限信息;
接收所述第一终端发送的所述操作请求;
确定所述操作请求与所述操作权限信息是否匹配,若所述操作请求与所述操作权限信息匹配,基于所述操作请求执行所述预设操作。
本发明实施例提供一种第三认证平台,所述第三认证平台包括:第一处理器、第一存储器和第一通信总线;其中,
所述第一通信总线,用于实现所述第一处理器和所述第一存储器之间的通信连接;
所述第一存储器,用于存储能够在所述第一处理器上运行的认证程序;
所述第一处理器,用于获取第一鉴权信息和第二鉴权信息,其中,所述第一鉴权信息是用于对第一终端的操作对象进行鉴权的信息,所述第二鉴权信息是用于对第二终端进行鉴权相关的信息;
发送所述第一鉴权信息至第一认证平台,并发送所述第二鉴权信息至第二认证平台;
接收所述第一认证平台发送的第一认证结果,以及所述第二认证平台发送的第二认证结果;其中,所述第一认证结果包括所述第一认证平台对所述第一鉴权信息的认证结果,所述第二认证结果包括所述第二认证平台对所述第二鉴权信息的认证结果;
基于所述第一认证结果和所述第二认证结果,确定所述第一终端的操作对象与所述第二终端是否匹配,得到第三认证结果;
发送所述第三认证结果至所述第一终端和/或所述第二终端;其中,所述第三认证结果用于指示所述第一终端和/或第二终端基于所述第三认证结果对预设操作请求信息进行处理。
本发明实施例提供一种第一认证平台,所述第一认证平台包括:第二处理器、第二存储器和第二通信总线;其中,
所述第二通信总线,用于实现所述第二处理器和所述第二存储器之间的通信连接;
所述第二存储器,用于存储能够在所述第二处理器上运行的认证程序;
所述第二处理器,用于接收第三认证平台发送的第一鉴权信息;其中,所述第一鉴权信息是第一终端或第二终端发送至所述第三认证平台的;
基于所述第一鉴权信息,对所述第一终端的操作对象进行认证得到第一认证结果;
发送所述第一认证结果至所述第三认证平台;其中,所述第一认证结果用于指示所述第三认证平台基于所述第一认证结果对所述操作对象和所述第二终端的匹配关系进行认证。
本发明实施例提供一种第二认证平台,所述第二认证平台包括:第三处理器、第三存储器和第三通信总线;其中,
所述通信总线,用于实现所述第三处理器和所述第三存储器之间的通信连接;
所述存储器,用于存储能够在所述第三处理器上运行的认证程序;
所述处理器,用于接收第三认证平台发送的第二鉴权信息;其中,所述第二鉴权信息是第一终端或第二终端发送至所述第三认证平台的;
基于所述第二鉴权信息,对所述第二终端进行认证得到第二认证结果;
发送所述第二认证结果至所述第三认证平台;其中,所述第二认证结果用于指示所述第三认证平台基于所述第二认证结果对所述操作对象和所述第二终端的匹配关系进行认证.
本发明实施例提供一种第一终端,所述第一终端包括:第四处理器、第四存储器和第四通信总线;其中,
所述第四通信总线,用于实现所述第四处理器和所述第四存储器之间的通信连接;
所述第四存储器,用于存储能够在所述第四处理器上运行的认证程序;
所述第四处理器,用于接收第二终端发送的第二鉴权信息;其中,所述第二鉴权信息是用于对所述第二终端进行鉴权的信息;
若第一终端与第三认证平台具有通信连接,发送第一鉴权信息和所述第二鉴权信息至所述第三认证平台;其中,所述第一鉴权信息是用于对所述第一终端的操作对象进行鉴权的信息;
接收所述第三认证平台发送的第三认证结果;其中,所述第三认证结果用于指示所述第三认证平台基于所述第一鉴权信息和所述第二鉴权信息,对所述操作对象和所述第二终端的匹配关系进行认证;
基于所述第三认证结果发送用于控制所述第二终端执行预设操作的操作请求至所述第二终端。
本发明实施例提供一种第二终端,所述第二终端包括:第五处理器、第五存储器和第五通信总线;其中,
所述第五通信总线,用于实现所述第五处理器和所述第五存储器之间的通信连接;
所述第五存储器,用于存储能够在所述第五处理器上运行的认证程序;
所述第五处理器,用于接收第一终端发送的第一鉴权信息;其中,所述第一鉴权信息是用于对所述第一终端的操作对象进行鉴权的信息;
若第二终端与第三认证平台具有通信连接,发送所述第一鉴权信息和第二鉴权信息至所述第三认证平台;其中,所述第二鉴权信息是用于对所述第二终端进行鉴权的信息;
接收所述第三认证平台发送的第三认证结果;其中,所述第三认证结果用于指示所述第三认证平台基于所述第一鉴权信息和所述第二鉴权信息,对所述操作对象和所述第二终端的匹配关系进行认证;
接收第一终端发送的用于控制所述第二终端执行预设操作的操作请求,并基于所述第三认证结果处理所述操作请求。
本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如第一至第五个方案中任一项所述的认证方法的步骤。
本发明的实施例所提供的一种认证方法、设备及计算机可读存储介质,通过获取第一鉴权信息和第二鉴权信息;发送所述第一鉴权信息至第一认证平台,并发送所述第二鉴权信息至第二认证平台;接收所述第一认证平台发送的第一认证结果,以及所述第二认证平台发送的第二认证结果;基于所述第一认证结果和所述第二认证结果,确定所述第一终端的操作对象与所述第二终端是否匹配,得到第三认证结果;发送所述第三认证结果至所述第一终端和/或所述第二终端。这样,通过第一认证平台和第二认证平台对第一终端操作对象和第二终端的身份信息进行安全认证,再在第三认证平台上对已验证身份的操作对象与第二终端进行绑定关系的认证,其中的任何一个认证过程验证不通过就会阻止第一终端和第二终端之间建立绑定关系实现进一步操作,有效的提高了物联网中人与物在互联认证过程中的安全性。
附图说明
图1为本发明实施例提供的一种认证方法流程示意图;
图2为本发明实施例提供的另一种认证方法流程示意图;
图3为本发明实施例提供的又一种认证方法流程示意图;
图4为本发明另一实施例提供的一种认证方法流程示意图;
图5为本发明另一实施例提供的另一种认证方法流程示意图;
图6为本发明另一实施例提供的又一种认证方法流程示意图;
图7为本发明又一实施例提供的一种认证方法流程示意图;
图8为本发明又一实施例提供的另一种认证方法流程示意图;
图9为本发明实施例提供的一种第三认证平台的硬件结构示意图;
图10为本发明实施例提供的一种第一认证平台的硬件结构示意图;
图11为本发明实施例提供的一种第二认证平台的硬件结果示意图;
图12为本发明实施例提供的一种第一终端的硬件结构示意图;
图13为本发明实施例提供的一种第二终端的硬件结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
本发明实施例实现一种认证方法,该认证方法应用于第三认证平台,参照图1所示,本实施例认证方法包括以下步骤:
步骤101:获取第一鉴权信息和第二鉴权信息;
具体地,此处的第一鉴权信息是用于对第一终端的操作对象进行鉴权的信息,第二鉴权信息是用于对第二终端进行鉴权相关的信息。
可以理解地,本发明实施例中的第三认证平台是一种人与物互认证关联平台,该平台用于对用户(也即是本发明实施例中的人,使用者,第一终端的操作对象)与物终端(也即是本发明实施例中第二终端,目标终端,受控终端,被控终端)之间的绑定关系进行认证,在该认证通过后,控制终端的操作用户可以通过对目标终端发送控制指令,实现用户所需的功能。
可以理解地,此处的第一鉴权信息是用于对第一终端的操作对象进行鉴权的信息,第二鉴权信息是用于对第二终端进行鉴权相关的信息。此处,第一终端的使用者可以通过第一终端向平台发送使用者的身份认证信息,并可以操作该第一终端进行其他可实现的终端操作。此处的第一终端和第二终端可以是包括手机、平板电脑、个人电脑等任何一种具备网络连接和数据收发功能的电子设备,用于在同一网络下建立连接关系,并可以与平台或者其他终端之间发送和接收信息。此处,第一终端和第二终端优选通过无线通讯方式建立连接,也可以通过其他方式使第一终端与第二终端之间建立连接,此处不再赘述。
可以理解地,传统的鉴权信息可以是通过密码来验证,其前提是获取密码的用户已经被授权,只有在鉴权通过之后,发送鉴权信息的终端或者用户才可以被授权进行下一步操作。
可以理解地,常用的鉴权模式包括:超文本传输协议基本认证(HTTP BasicAuthentication),本地终端会话存储(session-cookie),令牌验证(Token),开放授权认证(Open Authorization,OAuth)等,具体的授权以及实现过程此处不再赘述。
具体地,本发明实施里中的第一鉴权信息可以用于验证用户是否拥有访问***的合法身份,第二鉴权信息可以用于验证第二终端是否是拥有访问***的合法身份。
步骤102:发送第一鉴权信息至第一认证平台,并发送第二鉴权信息至第二认证平台;
可以理解地,此处的第一认证平台是一种针对用户身份进行认证的平台,第二认证平台是一种针对终端身份进行认证识别的平台。
优选地,本发明实施里中的第一认证平台是中信网安服务平台,本发明实施里中的第二认证平台是物联网的安全服务平台,对应的,本发明实施例中的第一鉴权信息是公民网络电子身份标识(electronic Identity,eID)信息,具体地,是与第一终端操作对象身份相关的eID的特征值和eID数字签名信息,第二鉴权信息是搭载安全要素技术的智能卡(Secure Element-Subscriber Identification Module,SE-SIM)信息,具体地,是与第二终端身份相关的SE特征值和SE数字签名信息。
具体地,本发明实施例中的eID是以密码技术为基础、以智能安全芯片为载体、由“公安部公民网络身份识别***”签发给公民的网络电子身份标识,能够在***露身份信息的前提下在线远程识别身份。根据载体类型的不同,eID目前主要有通用eID与SIM-eID两种,其中通用eID常加载于银行金融IC卡、USBkey、手机安全芯片等,SIMeID主要加载于支持SIM/USIM功能的载体,常见的载体方式有SIM卡、全球用户识别卡(Universal SubscriberIdentity Module,USIM)、SIM贴膜卡、嵌入式SIM卡(Embedded-SIM,eSIM)等。
相较于现有技术中网络远程身份验证普遍使用“关联比对”方法,即将用户输入的“姓名+公民身份号码”等个人信息,传到后台对个人信息的正确性进行比对来认定其身份的方法,eID具有以下优势:1)权威性:eID基于面对面的身份核验,由“公安部公民网络身份识别***”统一签发,可进行跨地域、跨行业的网络身份服务;2)安全性:eID含有一对由智能安全芯片内部产生的非对称密钥,通过高强度安全机制确保其无法被非法读取、复制、篡改或使用;3)普适性:eID不受载体物理形态的限制,只要载体中的安全智能芯片符合eID载体相关标准即可;4)隐私性:eID的唯一性标识采用国家商用密码算法生成,不含任何个人身份信息,有效保护了公民身份信息。
具体地,本发明实施例中的SE通常以芯片形式出现,为了防止外部恶意解析攻击,保护数据安全,在SE芯片中具有加密/解密逻辑电路,通过硬件加密的方式保护存储于SE中的敏感数据不会被终端操作***(Operating System,OS)直接操作,因此从理论上无法对其进行安全恶意攻击。
可选地,本发明实施例中的SE可以是用户识别模式卡(User Identity ModelCard,UIM card),该卡使用SIM卡的个人识别密码(Personal Identification Number,PIN)进行加密,也可以是通用集成电路卡(Universal Integrated Circuit Card,UICC),还可以是安全数码卡(SD card,Secure Digital Memory Card)等等,至于SE卡的具体使用,可以基于现有技术,此处不再赘述。
可选地,本发明实施例中的第一认证平台还可以是其他针对用户身份进行认证的平台,本发明实施例中的第二认证平台还可以是其他针对物识别认证的平台,此处不再赘述。
步骤103:接收第一认证平台发送的第一认证结果,以及第二认证平台发送的第二认证结果;
具体地,第一认证结果包括第一认证平台对第一鉴权信息的认证结果,第二认证结果包括第二认证平台对第二鉴权信息的认证结果。
可以理解地,此处的第一认证平台对第一鉴权信息进行认证后,可以得到对第一终端操作对象身份认证的第一认证结果,相同地,当第二认证平台对第二鉴权信息进行认证后,也可以得到对第二终端的第二认证结果。
具体地,本发明实施例中第一认证平台的认证过程是中信网安服务平台验证与第一终端操作对象身份相关的eID的特征值和eID数字签名信息是否正确。第二认证平台的认证过程是物联网安全服务平台验证第二终端的SE-SIM特征值和SE-SIM数字签名信息是否正确。随后,第一认证平台将第一认证结果发送给人物互认证关联平台,第二认证平台将第二认证结果也发送给人物互认证关联平台。
步骤104:基于第一认证结果和第二认证结果,确定第一终端的操作对象与第二终端是否匹配,得到第三认证结果;
可以理解地,此处的人物互认证关联平台可以基于第一认证结果和第二认证结果,确定第一终端的操作对象与第二终端是否匹配,并生成第三认证结果。
具体地,若第一认证结果和第二认证结果中有未通过的情况,则第三认证结果即为不通过,说明当前第一终端对应的操作用户与该操作用户试图操作的第二终端之间不存在匹配关系。
可以理解地,在某些场景下,由于用户身份或者物终端身份在对应的安全平台上未能验证会导致第一认证结果和第二认证结果中出现不通过,若第一认证结果和第二认证结果中有一方不通过,则第三认证结果就为不通过。该情况可以被认为是一种未认证信息的非法入侵而被人物互认证关联平台发现并阻止。在另一种可能的情况下,用户身份和终端身份在对应的安全平台都验证通过了,但是第三认证结果仍为不通过,这是由于本实施例的人物互认证关联平台上预先存储有用户与终端之间的绑定关系,而虽然用户与终端信息都在各自的认证平台上认证通过了,但是人物互认证关联平台并未发现该用户与该终端之间具有绑定关系,则第三认证结果仍为不通过。综上,只有当用户身份与终端身份都认证通过,且第三认证平台可以匹配该用户与该终端之间存在绑定关系时,第三认证结果才为通过。
可选地,在本实施例的一种可实现方式中,若第三认证结果为第一终端发送的操作者信息与第二终端信息相匹配,则第三认证平台可以获取第一终端对第二终端的操作权限信息;此时,基于第一终端和第二终端与第三认证平台之间是否连接,可以分为以下情况:
若第一终端与第三认证平台具有通信连接,第三认证平台发送操作权限信息至第一终端。具体地,操作权限信息用于指示第一终端基于操作权限信息控制第二终端执行预设操作;
若第二终端与第三认证平台具有通信连接,第三认证平台发送操作权限信息至第二终端。具体地,操作权限信息用于指示第二终端可执行的预设操作;
若第一终端和第二终端均与第三认证平台具有通信连接,第三认证平台发送操作权限信息至第一终端和第二终端。具体地,操作权限信息用于指示第一终端基于操作权限信息控制第二终端执行预设操作,以及指示第二终端可执行的预设操作。
步骤105:发送第三认证结果至第一终端和/或第二终端;
具体地,此处的第三认证结果用于指示第一终端和/或第二终端基于第三认证结果对预设操作请求信息进行处理。
可以理解地,此处的人物互认证关联平台将第三认证结果发送给第一终端和/或第二终端;第三认证结果可以用于指示第一终端和/或第二终端对预设操作请求信息进行处理。
具体地,当第三认证结果为通过时,用户操作的第一终端就获取授权,可以继续向第二终端发送操作请求信息;或者第二终端可以在第三认证结果为通过时获取授权,对第一终端发送的操作请求信息进行处理。
可选地,在本发明实施例中,第三认证平台中还可以预先存储与第二终端对应的操作权限信息,该操作权限信息主要用于对第二终端可实现的操作和功能进行限定,从而使第一终端发起的操作请求是可实现的。比如,对于互联网电视机,对应的操作权限应包括换台和音量加减等操作,若用户的操作请求是调节温度,则是一条无效的操作请求信息。
具体地,当第三认证结果为通过时,第三认证平台可以在发送第三认证结果时一并发送第二终端的操作权限信息给第一终端,用户根据该操作权限信息使用第一终端发送该权限内的操作请求,则可以使第二终端对操作请求进行处理。
可选地,当第三认证结果为通过时,第三认证平台也可以发送第三认证结果时一并发送第二终端的操作权限信息给第二终端,使第二终端知悉是否能够响应第一终端发送的操作请求信息。
通过图1对应的实施例提供的技术方案,可以看出本发明实施例中的人物互关联认证平台通过从与人对应的第一终端和/或与物终端对应的第二终端获取人物身份认证信息和物终端的身份认证信息,并将这些信息发送到各自对应的认证平台中进行认证,即使人物身份和物终端身份认证通过,还要进一步在人物互关联平台上对人与物终端之间是否存在预设绑定关系进行再认证,这样,任何在认证过程中出现的身份变化和伪造信息都可以立刻因为不匹配而被发现,明显地,这种多层级的认证过程可以增强物联网中人与物终端互联过程的安全性。
基于前述实施例,本发明实施例实现一种认证方法,该认证方法应用于第一认证平台,参照图2所示,本实施例认证方法包括以下步骤:
步骤201:接收第三认证平台发送的第一鉴权信息;
可以理解地,本发明实施例中的第一认证平台是指人物认证平台,具体地,是中信网安服务平台。本发明实施例中的第三认证平台是一种人与物互认证关联平台,该平台用于对用户(也即是本发明实施例中的人,使用者,第一终端的操作对象)与物终端(也即是本发明实施例中第二终端,目标终端,受控终端,被控终端)之间的绑定关系进行认证,在该认证通过后,控制终端的操作用户可以通过对目标终端发送控制指令,实现用户所需的功能。
可以理解地,此处的第一鉴权信息是与第一终端的操作对象鉴权相关的信息,可以由第一终端或第二终端发送至第三认证平台。本发明实施例中的第一鉴权信息可以是公民网络电子身份标识eID信息,具体地,是与第一终端操作对象身份相关的eID的特征值和eID数字签名信息,此处不再赘述。
步骤202:基于第一鉴权信息,对第一终端的操作对象进行认证得到第一认证结果;
可以理解地,对于第一鉴权信息的鉴权过程是在第一认证平台上完成的,第一认证平台可以基于第一鉴权信息,对第一终端的操作对象的身份信息进行认证,从而得到认证结果,对于具体认证的过程,此处不再赘述。
步骤203:发送第一认证结果至第三认证平台。
具体地,此处的第一认证结果用于指示第三认证平台基于第一认证结果对操作对象和第二终端的匹配关系进行认证。
可以理解地,第三认证平台中预先存储了第一终端的操作对象与第二终端之间的匹配关系,而在第三认证平台对第一终端的操作对象与第二终端的绑定关系进行匹配之前,首先需要分别验证操作对象与第二终端的信息是否在各自的平台上认证通过。因此,需要第一认证平台对第一鉴权信息的第一认证结果。
通过图2对应的实施例提供的技术方案,可以看出本发明实施例中的人身份认证平台是通过人物互关联平台获取到人的身份认证信息,并且人物身份认证信息来源于与人物互关联平台具备连接关系的终端,也就是说既可以由与用户对应的第一终端发送,也可以由与物终端对应的第二终端发送,这样,有效保证了只要与人对应的终端或与物终端对应的终端其中有一方处于在线连接,就可以使人身份在认证平台上进行验证,有效避免了人物互关联认证过程中,因为设备离线导致无法在专业的认证平台上认证,从而出现人身份信息被伪造的安全隐患。
基于前述实施例,本发明实施例实现一种认证方法,该认证方法应用于第二认证平台,参照图3所示,本实施例认证方法包括以下步骤:
步骤301:接收第三认证平台发送的第二鉴权信息;
可以理解地,本发明实施例中的第二认证平台是一种针对终端身份进行认证识别的平台,可以对终端的身份信息进行认证,具体地,是物联网安全服务平台。本发明实施例中的第三认证平台是一种人与物互认证关联平台,该平台用于对用户(也即是本发明实施例中的人,使用者,第一终端的操作对象)与物终端(也即是本发明实施例中第二终端,目标终端,受控终端,被控终端)之间的绑定关系进行认证,在该认证通过后,控制终端的操作用户可以通过对目标终端发送控制指令,实现用户所需的功能。
可以理解地,此处的第二鉴权信息是与第二终端鉴权相关的信息,可以由第一终端或第二终端发送至第三认证平台。本发明实施例中的第二鉴权信息可以是SE-SIM信息,具体地,是与第二终端相关的SE特征值和SE数字签名信息,此处不再赘述。
步骤302:基于第二鉴权信息,对第二终端进行认证得到第二认证结果;
可以理解地,对于第二鉴权信息的鉴权过程是在第二认证平台上完成的,第二认证平台可以基于第二鉴权信息,对第二终端的身份信息进行认证,从而得到认证结果,对于具体认证的过程,此处不再赘述。
步骤303:发送第二认证结果至第三认证平台。
具体地,第二认证结果用于指示第三认证平台基于第二认证结果对操作对象和第二终端的匹配关系进行认证。
可以理解地,第三认证平台中预先存储了第一终端的操作对象与第二终端之间的匹配关系,而在第三认证平台对第一终端的操作对象与第二终端的绑定关系进行匹配之前,首先需要分别验证操作对象与第二终端的信息是否在各自的平台上认证通过。因此,需要第二认证平台对第二鉴权信息的第二认证结果。
通过图3对应的实施例提供的技术方案,可以看出本发明实施例中的物终端身份认证平台是通过人物互关联平台获取到物终端的身份认证信息,并且物终端身份认证信息来源于与人物互关联平台具备连接关系的终端,也就是说既可以由与用户对应的第一终端发送,也可以由与物终端对应的第二终端发送。这样,有效保证了只要与人对应的终端或与物终端对应的终端其中有一方处于在线连接,就可以使物终端身份在认证平台上进行验证,有效避免了人物互关联认证过程中,因为设备离线导致无法在专业的认证平台上认证,从而出现物终端身份信息被伪造的安全隐患。
基于前述实施例,本发明实施例实现一种认证方法,该认证方法应用于第一终端,参照图4所示,本实施例认证方法包括以下步骤:
步骤401:接收第二终端发送的第二鉴权信息;
可以理解地,本发明实施例中的第一终端是用户(也即是本发明实施例中的人,使用者,操作对象)对应的终端,藉由与第二终端建立连接并通过第三认证平台与第二终端进行绑定,以对第二终端进行发送预设控制指令,实现对应的控制功能;第二终端是与物终端(也即是本发明实施例中目标终端,受控终端,被控终端)对应的终端,具体地,用于在与第一终端在第三认证平台进行绑定后,接收第一终端发送的控制指令,实现对应的功能。
可以理解地,此处第二鉴权信息是用于对第二终端进行鉴权的信息。本发明实施例中的第二鉴权信息可以是SE-SIM信息,具体地,是与第二终端相关的SE特征值和SE数字签名信息,此处不再赘述。
步骤402:若第一终端与第三认证平台具有通信连接,发送第一鉴权信息和第二鉴权信息至第三认证平台;
可以理解地,此处由于是第一终端与第三认证平台具有通信连接,就可以通过第一终端发送第一鉴权信息和第二鉴权信息给第三认证平台进行认证,以解决第二终端与第三认证平台无法通信连接时,对第二鉴权信息无法认证的问题。
可以理解地,此处的第一鉴权信息是用于对第一终端的操作对象进行鉴权的信息。本发明实施例中的第一鉴权信息可以是公民网络电子身份标识eID信息,具体地,是与第一终端操作对象身份相关的eID的特征值和eID数字签名信息,此处不再赘述。
步骤403:接收第三认证平台发送的第三认证结果;
可以理解地,此处的第三认证结果用于指示第三认证平台基于第一鉴权信息和第二鉴权信息,对操作对象和第二终端的匹配关系进行认证。
具体地,此处的第三认证平台将第一鉴权信息和第二鉴权信息分别发送给不同的认证平台进行认证处理,并根据对第一鉴权信息和第二鉴权信息的反馈结果,对操作对象和第二终端的匹配关系进行认证。
可以理解地,当第一鉴权信息和第二鉴权信息中任一个在对应的认证平台上鉴权失败时,第三认证平台可以向与第三认证平台建立了通信连接的第一终端反馈因为鉴权信息认证未通过导致匹配失败的第三认证结果。
可以理解地,当第一鉴权信息和第二鉴权信息都在对应的认证平台上鉴权成功时,第三认证平台可以基于已存储的操作对象和第二终端的匹配关系进行比对;若比对失败,则向与第三认证平台建立了通信连接的第一终端反馈匹配失败的第三认证结果;若比对成功,则向与第三认证平台建立了通信连接的第一终端反馈匹配成功的第三认证结果。
步骤404:基于第三认证结果发送用于控制第二终端执行预设操作的操作请求至第二终端。
可以理解地,只有当第一终端接收到了匹配成功的第三认证结果之后,才可以向第二终端发送用于控制第二终端执行预设操作的操作请求以实现功能。
具体地,在本发明实施例中,当第三认证结果为匹配时,第一终端可以接收第三认证平台发送的与第二终端对应的操作权限信息,此处的操作权限信息用于指示第一终端可以基于该操作权限信息控制第二终端可执行的预设操作,即第一终端向第二终端发送的操作请求信息必须是基于这个操作权限信息的操作请求信息,也就是说,任何不在该操作权限内的操作请求原则上都不可以被第一终端发送给第二终端。例如,对于洗衣机,其操作权限信息可能包括调节转速,调节洗涤温度等,那么,即使在人的操作终端和洗衣机都已认证身份通过的情况下,由于频道换台这一控制指令并不在洗衣机的操作权限信息以内,因此操作终端无法向洗衣机发送频道换台的控制指令。
通过图4对应的实施例提供的技术方案,可以看出本发明实施例中与人对应的第一终端通过接收与物对应的第二终端的身份认证信息,可以同时发送人的身份认证信息和物终端的身份认证信息给人物互关联平台,这样,有效保证了只要与人对应的终端处于在线连接,也可以使物终端身份在认证平台上进行验证,有效避免了人物互关联认证过程中,因为设备离线导致无法在专业的认证平台上认证,从而出现物终端身份信息被伪造的安全隐患。并且,当人物互关联平台的认证结果通过时,人的操作终端是基于物终端的操作权限向物终端发送操作请求信息。这样,有效地避免了人向物终端发送无效操作请求,提高了物联网互联过程中的操作效率。
基于前述实施例,本发明实施例实现一种认证方法,该认证方法应用于第二终端,参照图5所示,本实施例认证方法包括以下步骤:
步骤501:接收第一终端发送的第一鉴权信息;
可以理解地,本发明实施例中的第二终端是与物终端(也即是本发明实施例中目标终端,受控终端,被控终端)对应的终端,藉由与第一终端建立连接并通过第三认证平台与第一终端进行绑定,以接收第一终端进行发送预设控制指令,通过对控制指令进行处理,实现对应的控制功能。此处的第一终端是用户(也即是本发明实施例中的人,使用者,操作对象)对应的终端,用于在与第二终端在第三认证平台进行绑定后,向第二终端发送控制指令。
可以理解地,此处第一鉴权信息是用于对第一终端的操作对象进行鉴权的信息。本发明实施例中的第一鉴权信息可以是公民网络电子身份标识eID信息,具体地,是与第一终端操作对象身份相关的eID的特征值和eID数字签名信息,此处不再赘述。
步骤502:若第二终端与第三认证平台具有通信连接,发送第一鉴权信息和第二鉴权信息至第三认证平台;
可以理解地,此处由于是第二终端与第三认证平台具有通信连接,就可以通过第二终端发送第一鉴权信息和第二鉴权信息给第三认证平台进行认证,以解决第一终端与第三认证平台无法通信连接时,对第一鉴权信息无法认证的问题。
可以理解地,此处第二鉴权信息是用于对第二终端进行鉴权的信息。本发明实施例中的第二鉴权信息可以是SE-SIM信息,具体地,是与第二终端相关的SE特征值和SE数字签名信息,此处不再赘述。
步骤503:接收第三认证平台发送的第三认证结果;
可以理解地,此处的第三认证结果用于指示第三认证平台基于第一鉴权信息和第二鉴权信息,对操作对象和第二终端的匹配关系进行认证。
具体地,此处的第三认证平台将第一鉴权信息和第二鉴权信息分别发送给不同的认证平台进行认证处理,并根据对第一鉴权信息和第二鉴权信息的反馈结果,对操作对象和第二终端的匹配关系进行认证。
可以理解地,当第一鉴权信息和第二鉴权信息中任一个在对应的认证平台上鉴权失败时,第三认证平台可以向与第三认证平台建立了通信连接的第一终端反馈因为鉴权信息认证未通过导致匹配失败的第三认证结果。
可以理解地,当第一鉴权信息和第二鉴权信息都在对应的认证平台上鉴权成功时,第三认证平台可以基于已存储的操作对象和第二终端的匹配关系进行比对;若比对失败,则向与第三认证平台建立了通信连接的第一终端反馈匹配失败的第三认证结果;若比对成功,则向与第三认证平台建立了通信连接的第一终端反馈匹配成功的第三认证结果。
步骤504:接收第一终端发送的用于控制第二终端执行预设操作的操作请求,并基于第三认证结果处理操作请求。
可以理解地,只有当第二终端接收到了匹配成功的第三认证结果之后,才可以对第一终端发送的操作请求信息进行处理。
具体地,在本发明实施例中,当第三认证结果为匹配时,第二终端可以接收第三认证平台发送的与第二终端对应的操作权限信息,此处的操作权限信息用于指示第二终端对第一终端发送的操作指令进行处理,即第二终端对第一终端发送的用于控制第二终端执行预设操作的操作请求进行处理,必须基于该操作权限信息,也就是说,任何不在该操作权限内的操作请求原则上都不可以被第二终端进行处理。例如,对于洗衣机,其操作权限信息可能包括调节转速,调节洗涤温度等,即使在人的操作终端和洗衣机都已认证身份通过的情况下,该洗衣机接收到了人的操作终端发送了频道换台的控制指令,该指令并不在操作权限信息以内,因此洗衣机依然不会对该指令进行处理。
通过图5对应的实施例提供的技术方案,可以看出本发明实施例中与物终端对应的第二终端通过接收与人对应的第一终端的身份认证信息,可以同时发送人的身份认证信息和物终端的身份认证信息给人物互关联平台,这样,有效保证了只要与物对应的终端处于在线连接,也可以使人身份在认证平台上进行验证,有效避免了人物互关联认证过程中,因为设备离线导致无法在专业的认证平台上认证,从而出现人物身份信息被伪造的安全隐患。并且,当人物互关联平台的认证结果通过时,物终端对应的终端是基于操作权限对接收到的操作请求信息进行处理。这样,有效地避免了目标终端处理无效的操作请求,提高了物联网互联过程中的物终端对操作请求的响应效率。
基于前述实施例,本发明实施例实现一种认证方法,该认证方法应用于第一终端与第三认证平台具有通信连接,并且第二终端与第三认证平台不具有通信连接的情况,参照图6所示,本实施例认证方法包括以下步骤:
步骤601:第一终端发送第一鉴权信息至第二终端;
可以理解地,本发明实施例中的第一终端对应物联网中的人终端,用户通过第一终端向其他终端发送控制指令实现期望的操作功能,第二终端对应物联网中的物终端,通过对人终端发送的控制指令响应实现用户期望的操作功能。此处的第一终端和第二终端可以是包括手机、平板电脑、个人电脑等任何一种具备网络连接和数据收发功能的电子设备,用于在同一网络下建立连接关系,并可以与平台或者其他终端之间发送和接收信息。此处,第一终端和第二终端优选通过无线通讯方式建立连接,也可以通过其他方式使第一终端与第二终端之间建立连接,此处不再赘述。
可以理解地,该步骤中的第一鉴权信息是对应第一终端的操作对象的身份认证信息,具体地,此处第一鉴权信息是eID认证信息,包括eID的特征值和eID数字签名信息。
可以理解地,第一鉴权信息还可以是其他类型的鉴权信息,用于验证用户是否拥有访问***的合法身份,此处不再赘述。
步骤602:第二终端接收第一终端发送的第一鉴权信息,基于白名单数据库对第一鉴权信息进行认证;
可以理解地,此处由于第二终端没有与认证平台建立连接关系,因此采用离线认证的方法对第一终端的鉴权信息进行认证。具体地,是第二终端接收到第一终端发送的第一鉴权信息之后,基于自身存储白名单数据库中的第一终端的白名单数据对第一鉴权信息进行比对认证。
可选地,第二终端还可以通过其他方式对第一终端的鉴权信息进行离线认证,此处不再赘述。
步骤603:若认证通过,第二终端发送第二鉴权信息至第一终端;
可以理解地,若步骤602中的认证不通过,则说明第一终端发送的鉴权信息具有安全隐患,针对这种情况,第二终端可以选择断开与第一终端的连接,防止发生被网络攻击非法侵入盗权的侵害,也可以选择其他防止停止第一终端与第二终端之间的绑定和认证过程,此处不再赘述。
可以理解地,若步骤602中的认证通过,则说明第一鉴权信息是安全有效的,此时需要对第二终端的鉴权信息进行再认证,因此,第二终端向第一终端发送用于第二终端鉴权的第二鉴权信息。此处的第二鉴权信息是用于对第二终端进行鉴权相关的信息,具体地,可以是第二终端的SE-SIM卡信息,包括与第二终端身份相关的SE特征值和SE数字签名信息。
可以理解地,第二鉴权信息还可以是其他类型的鉴权信息,用于验证第二终端是否是拥有访问***的合法身份,此处不再赘述。
步骤604:第一终端接收第二终端发送的第二鉴权信息;
可以理解地,由于第一终端与第三认证平台之间具有连接关系,因此接收第二终端的鉴权信息后,就可以将第二终端的鉴权信息发送至第三认证平台进行认证。明显地,将鉴权信息在网络认证平台进行实时在线认证比设备利用自身存储的离线数据进行认证的过程更加高效和安全。
步骤605:第一终端发送第一鉴权信息和第二鉴权信息至第三认证平台;
可以理解地,第三认证平台是对第一终端与第二终端之间关联关系进行认证的网络平台,当第一终端与第二终端的身份鉴权认证通过后,可以在第三认证平台上建立互联的绑定关系,从而使第一终端获取发送操作指令的授权,并使第二终端获取接收操作指令和实现操作的授权。
此处虽然第一鉴权信息已在步骤602进行了离线认证,但是为了进一步提升认证安全等级,需要将第一鉴权信息发送给第三认证平台进行再次认证。同时,第一终端也向第三认证平台发送第二终端的鉴权信息进行在线认证。
步骤606:第三认证平台接收第一终端发送的第一鉴权信息和第二鉴权信息;
步骤607:第三认证平台发送第一鉴权信息至第一认证平台;
步骤608:第三认证平台发送第二鉴权信息至第二认证平台;
可以理解地,第三认证平台主要负责对第一终端的操作对象和第二终端之间是否匹配以及是否可以建立互联关系进行认证,因此,第三认证平台将第一终端和第二终端的鉴权信息分别发送至各自的对应认证平台进行认证。此处的第一认证平台是一种针对用户身份信息进行认证的平台,第二认证平台是一种针对终端身份信息进行认证识别的平台。
具体地,第一认证平台是对eID信息认证的平台,本发明实施例中优选为中信网安服务平台,第二认证平台是对SE信息认证的平台,本发明实施例中优选为第一终端和第二终端所在物联网的安全服务平台。
可以理解地,第一认证平台和第二认证平台是专门验证第一鉴权信息和第二鉴权信息的认证平台,因此,可以基于鉴权信息的类型选择对应的专业认证平台,以达到最优的安全认证效果。
步骤609:第一认证平台接收第三认证平台发送的第一鉴权信息,并进行认证,得到第一认证结果;
可以理解地,第一认证平台是针对人物身份信息鉴权的平台,因此,可以对第一鉴权信息进行认证,从而得到认证结果。对于具体的认证过程,此处不再赘述。
步骤610:第一认证平台发送第一认证结果至第三认证平台;
第一认证平台在得到第一认证结果后,将该结果发送给第三认证平台用于第一终端与第二终端之间的互联认证。
具体地,若第一认证结果不通过,则说明第一终端发送的人身份鉴权信息具有安全隐患,第一认证平台就向第三认证平台反馈认证不通过的认证结果;若第一认证结果通过,则说明第一终端发送的鉴权信息是安全有效的信息,第一认证平台就向第三认证平台反馈认证通过的认证结果。
可以理解地,第一认证平台可以通过其他现有技术中常规方式通知第三认证平台对于第一鉴权信息的认证结果,此处不再赘述。
步骤611:第二认证平台接收第三认证平台发送的第二鉴权信息,并进行认证,得到第二认证结果;
可以理解地,第二认证平台是针对物终端身份信息鉴权的平台,因此,可以对第二鉴权信息进行认证,从而得到认证结果。对于具体的认证过程,此处不再赘述。
步骤612:第二认证平台发送第二认证结果至第三认证平台;
第二认证平台在得到第二认证结果后,将该结果发送给第三认证平台用于第一终端与第二终端之间的互联认证。
具体地,若第二认证结果不通过,则说明第二终端的物终端身份鉴权信息具有安全隐患,第二认证平台就向第三认证平台反馈认证不通过的认证结果;若第二认证结果通过,则说明第二终端的物终端身份鉴权信息是安全有效的信息,第二认证平台就向第三认证平台反馈认证通过的认证结果。
可以理解地,第二认证平台可以通过其他现有技术中常规方式通知第三认证平台对于第二鉴权信息的认证结果,此处不再赘述。
步骤613:第三认证平台接收第一认证平台发送的第一认证结果,并接收第二认证平台发送的第二认证结果;
可以理解地,第三认证平台从第一认证平台和第二认证平台接收到了对第一鉴权信息和第二鉴权信息的认证结果,若认证结果中有一个不通过时,说明第一终端与第二终端建立互联关系具有安全隐患,第三认证平台可以向与其具有连接关系的第一终端发送认证不通过的通知信息,并拒绝建立在物联网中建立第一终端与第二终端的互联;若认证结果都通过,第三认证平台可以对第一终端和第二终端是否可以建立互联进行进一步认证。
步骤614:第三认证平台确定第一终端的操作对象和第二终端是否匹配得到第三认证结果,并在第三认证结果为匹配时,获取第一终端对第二终端的操作权限信息;
步骤615:第三认证平台发送第三认证结果至第一终端,并在第三认证结果为匹配时,发送操作权限信息至第一终端;
可以理解地,第三认证平台自身已存储有预设的对第一终端的操作对象和第二终端之间的绑定关系,并在第一认证结果和第二认证结果都通过的条件下对操作对象和第二终端之间是否具有预设绑定关系进行认证。例如,人物A是幼童,可以与终端a电视和b电脑具有控制关系,人物B是成人,可以控制终端a电视和c门锁,明显地,即使人物A和终端c的认证信息无误,也不应在第三认证平台建立互联关系,否则可能出现幼童打开门锁走失的危险。由于可见,第三认证平台中存储的预设绑定关系是基于用户需求并且具有导向性,基于该绑定关系对第一终端的操作对象和第二终端是否匹配进行验证可以在方便用户操作的同时实现用户的各项授权需求。
可选地,也可以在第三认证平台对第一终端和第二终端进行匹配,这取决于第三认证平台预存储的匹配关系为何种方式。
可以理解地,当第三认证结果为匹配时,说明第一终端的操作对象与第二终端确实具有绑定关系,那么第一终端和第二终端之间就可以被授权进行操作,进一步地,第三认证平台需要获取第一终端对第二终端的操作权限信息,使第一终端可以知悉对于第二终端可执行的操作。例如,物终端a是电视机,那么对应的权限操作是更换频道或者调节音量高和低等,明显地,即使a与人物A建立了互联关系,a接收到A发送漂洗衣物的指令是没有意义的。因此,使第一终端的操作对象知悉第二终端的操作权限很有必要。
步骤616:第一终端接收第三认证平台发送的第三认证结果,并在第三认证结果为匹配时,接收第三认证平台发送的操作权限信息;
可以理解地,本发明实施例中是第一终端与第三认证平台具有连接关系,因此可以接收第三认证平台发送的第三认证结果。当第三认证结果为匹配通过时,还可以接收第三认证平台发送的对第二终端的操作权限信息。
步骤617:第一终端基于第三认证结果为匹配时接收的操作权限信息发送操作请求信息至第二终端;
步骤618:第二终端接收第一终端发送的操作请求信息,基于操作请求信息执行对应的操作。
可以理解地,第一终端必须基于第二终端的操作权限信息向第二终端发送操作请求,任何在操作权限以外的操作请求都会被第二终端拒绝响应。
可选地,若操作权限信息和操作请求信息相互之间不匹配,第二终端可以将该匹配结果告知第一终端,此处不再赘述。
通过图6对应的实施例提供的技术方案,可以看出本发明实施例中当第二终端与第三认证平台不具有连接关系时,第二终端可以自行对第一鉴权信息进行认证,并在认证通过时发送第二鉴权信息给第一终端,使第一终端可以同时向第三认证平台发送第一鉴权信息和第二鉴权信息,实现在第三认证平台上完成第一终端的操作对象与第二终端之间的互认证过程,有效提升当第二终端与认证平台不具有连接关系时对第二鉴权信息认证的安全性。
基于前述实施例,本发明实施例实现一种认证方法,该认证方法应用于第二终端与第三认证平台具有连接关系,并且第一终端与第三认证平台不具有连接关系的情况,参照图7所示,本实施例认证方法包括以下步骤:
步骤701:第二终端发送第二鉴权信息至第一终端;
可以理解地,本发明实施例中的第一终端对应物联网中的人终端,用户通过第一终端向其他终端发送控制指令实现期望的操作功能,第二终端对应物联网中的物终端,通过对人终端发送的控制指令响应实现用户期望的操作功能。此处的第一终端和第二终端可以是包括手机、平板电脑、个人电脑等任何一种具备网络连接和数据收发功能的电子设备,用于在同一网络下建立连接关系,并可以与平台或者其他终端之间发送和接收信息。此处,第一终端和第二终端优选通过无线通讯方式建立连接,也可以通过其他方式使第一终端与第二终端之间建立连接,此处不再赘述。
可以理解地,该步骤中的第二鉴权信息是对应第二终端的身份认证信息,具体地,此处第二鉴权信息是SE认证信息,包括SE特征值和SE数字签名信息。
可以理解地,第二鉴权信息还可以是其他类型的鉴权信息,用于验证物终端是否拥有访问***的合法身份,此处不再赘述。
步骤702:第一终端接收第二终端发送的第二鉴权信息,并基于自身存储的白名单数据库对第二鉴权信息进行认证;
可以理解地,此处由于第一终端没有与第三认证平台建立连接,因此采用离线认证的方法对第二终端的鉴权信息进行认证。具体地,是第一终端接收到第二终端发送的第二鉴权信息之后,基于自身存储白名单数据库中的第二终端的白名单数据对第二鉴权信息进行比对认证。
可选地,第一终端还可以通过其他方式对第二终端的鉴权信息进行离线认证,此处不再赘述。
步骤703:若认证通过,第一终端发送第一鉴权信息和操作请求至第二终端;
可以理解地,当认证通过时,需要第二终端对第一终端的鉴权信息进行认证,因此,第一终端将第一鉴权信息发送给第二终端。此处的第一鉴权信息是对第一终端的操作对象进行身份认证的信息。具体地,可以是采用eID技术的认证信息,包括eID特征值和eID数字签名,对于其他种类的人身份认证方法和技术,此处不再赘述。
同时,第一终端发送操作请求给第二终端,期望实现预设的操作功能。需要注意的是,在本发明实施例中,由于第一终端是期望操作的发起方,所以只要第一终端对第二终端的鉴权信息认证通过,就可以向第二终端发送操作请求。
可选地,鉴于可能出现第一终端的操作请求对于第二终端来说超过操作权限范围,也可以在第二终端对第一鉴权信息的认证通过后再向第二终端发送操作请求,此处不再赘述。
步骤704:第二终端接收第一终端发送的第一鉴权信息和操作请求;
可以理解地,由于第二终端与第三认证平台之间具有连接关系,因此接收第一终端的鉴权信息后,就可以将第一终端的鉴权信息发送至第三认证平台进行认证。明显地,将鉴权信息在网络认证平台进行实时在线认证比设备利用自身存储的离线数据进行认证的过程更加高效和安全。
步骤705:第二终端发送第一鉴权信息和第二鉴权信息至第三认证平台;
可以理解地,第三认证平台是对第一终端与第二终端之间关联关系进行认证的网络平台,当第一终端与第二终端的身份鉴权认证通过后,可以在第三认证平台上建立互联的绑定关系,从而使第二终端可以对第一终端发送的操作指令进行执行。
此处虽然第二鉴权信息已在步骤702进行了离线认证,但是为了进一步提升认证安全等级,需要将第二鉴权信息通过第一终端发送给第三认证平台进行再次认证。同时,第一终端也向第三认证平台发送第一鉴权信息进行在线认证。
步骤706:第三认证平台接收第二终端发送的第一鉴权信息和第二鉴权信息;
步骤707:第三认证平台发送第一鉴权信息至第一认证平台;
步骤708:第三认证平台发送第二鉴权信息至第二认证平台;
可以理解地,第三认证平台主要负责对第一终端的操作对象和第二终端之间是否匹配以及是否可以建立互联关系进行认证,因此,第三认证平台将第一终端和第二终端的鉴权信息分别发送至各自的对应认证平台进行认证。此处的第一认证平台是一种针对用户身份信息进行认证的平台,第二认证平台是一种针对终端身份信息进行认证识别的平台。
具体地,第一认证平台是对eID信息认证的平台,本发明实施例中优选为中信网安服务平台,第二认证平台是对SE信息认证的平台,本发明实施例中优选为第一终端和第二终端所在物联网的安全服务平台。
可以理解地,第一认证平台和第二认证平台是专门验证第一鉴权信息和第二鉴权信息的认证平台,因此,可以基于鉴权信息的类型选择对应的专业认证平台,以达到最优的安全认证效果。
步骤709:第一认证平台接收第三认证平台发送的第一鉴权信息,并进行认证,得到第一认证结果;
可以理解地,第一认证平台是针对人物身份信息鉴权的平台,因此,可以对第一鉴权信息进行认证,从而得到认证结果。对于具体的认证过程,此处不再赘述。
步骤710:第一认证平台发送第一认证结果至第三认证平台;
第一认证平台在得到第一认证结果后,将该结果发送给第三认证平台用于第一终端与第二终端之间的互联认证。
具体地,若第一认证结果不通过,则说明第一终端发送的人身份鉴权信息具有安全隐患,第一认证平台就向第三认证平台反馈认证不通过的认证结果;若第一认证结果通过,则说明第一终端发送的鉴权信息是安全有效的信息,第一认证平台就向第三认证平台反馈认证通过的认证结果。
可以理解地,第一认证平台可以通过其他现有技术中常规方式通知第三认证平台对于第一鉴权信息的认证结果,此处不再赘述。
步骤711:第二认证平台接收第三认证平台发送的第二鉴权信息,并通过认证得到第二认证结果;
可以理解地,第二认证平台是针对物终端身份信息鉴权的平台,因此,可以对第二鉴权信息进行认证,从而得到认证结果。对于具体的认证过程,此处不再赘述。
步骤712:第二认证平台发送第二认证结果至第三认证平台;
第二认证平台在得到第二认证结果后,将该结果发送给第三认证平台用于第一终端与第二终端之间的互联认证。
具体地,若第二认证结果不通过,则说明第二终端的物终端身份鉴权信息具有安全隐患,第二认证平台就向第三认证平台反馈认证不通过的认证结果;若第二认证结果通过,则说明第二终端的物终端身份鉴权信息是安全有效的信息,第二认证平台就向第三认证平台反馈认证通过的认证结果。
可以理解地,第二认证平台可以通过其他现有技术中常规方式通知第三认证平台对于第二鉴权信息的认证结果,此处不再赘述。
步骤713:第三认证平台接收第一认证平台发送的第一认证结果,并接收第二认证平台发送的第二认证结果;
可以理解地,第三认证平台从第一认证平台和第二认证平台接收到了对第一鉴权信息和第二鉴权信息的认证结果,若认证结果中有一个不通过时,说明第一终端与第二终端建立互联关系具有安全隐患,第三认证平台可以向与其具有连接关系的第一终端发送认证不通过的通知信息,并拒绝建立在物联网中建立第一终端与第二终端的互联;若认证结果都通过,第三认证平台可以对第一终端和第二终端是否可以建立互联进行进一步认证。
步骤714:第三认证平台确定第一终端的操作对象和第二终端是否匹配,得到第三认证结果,并在第三认证结果为匹配时,获取第一终端对第二终端的操作权限信息;
步骤715:第三认证平台发送第三认证结果至第二终端,并在第三认证结果为匹配时,发送操作权限信息至第二终端;
可以理解地,第三认证平台自身已存储有预设的对第一终端的操作对象和第二终端之间的绑定关系,并在第一认证结果和第二认证结果都通过的条件下对操作对象和第二终端之间是否具有预设绑定关系进行认证。例如,人物A是幼童,可以与终端a电视和b电脑具有控制关系,人物B是成人,可以控制终端a电视和c门锁,明显地,即使人物A和终端c的认证信息无误,也不应在第三认证平台建立互联关系,否则可能出现幼童打开门锁走失的危险。由于可见,第三认证平台中存储的预设绑定关系是基于用户需求并且具有导向性,基于该绑定关系对第一终端的操作对象和第二终端是否匹配进行验证可以在方便用户操作的同时实现用户的各项授权需求。
可选地,也可以在第三认证平台对第一终端和第二终端进行匹配,这取决于第三认证平台预存储的匹配关系为何种方式。
可以理解地,当第三认证结果为匹配时,说明第一终端的操作对象与第二终端确实具有绑定关系,那么第一终端和第二终端之间就可以被授权进行操作,进一步地,第三认证平台需要获取第一终端对第二终端的操作权限信息,使第一终端可以知悉对于第二终端可执行的操作。例如,物终端a是电视机,那么对应的权限操作是更换频道或者调节音量高和低等,明显地,即使a与人物A建立了互联关系,a接收到A发送漂洗衣物的指令是没有意义的。因此,使第二终端得知自身所能实现的操作权限是很有必要的。
步骤716:第二终端接收第三认证平台发送的第三认证结果,并在第三认证结果为匹配时,接收第三认证平台发送的操作权限信息;
可以理解地,本发明实施例中是第二终端与第三认证平台具有连接关系,因此可以接收第三认证平台发送的第三认证结果。当第三认证结果为匹配通过时,还可以接收第三认证平台发送的操作权限信息。
步骤717:第二终端确定接收到的操作权限信息与操作请求信息是否匹配;
可以理解地,第二终端已经获取了第一终端发送的操作请求和自身所能实现的操作权限信息,第二终端必须基于自身的操作权限信息对操作请求进行响应,任何在操作权限范围以外的操作请求都会被第二终端拒绝响应。
可选地,若操作权限信息和操作请求信息相互之间不匹配,第二终端可以将该匹配结果告知第一终端,此处不再赘述。
步骤718:若匹配,第二终端基于操作请求信息执行对应的操作。
可以理解地,若操作权限信息和操作请求信息相互之间匹配,第二终端可以执行第一终端发送的操作请求,实现第一终端操作对象所期望的功能。
通过图7对应的实施例提供的技术方案,可以看出本发明实施例中当第一终端与第三认证平台不具有连接关系时,第一终端可以自行对第二鉴权信息进行认证,并在认证通过时发送第一鉴权信息给第二终端,使第二终端可以同时向第三认证平台发送第一鉴权信息和第二鉴权信息,实现在第三认证平台上完成第一终端的操作对象与第二终端之间的互认证过程,有效提升当第一终端与认证平台不具有连接关系时对第一鉴权信息认证的安全性。
基于前述实施例,本发明实施例实现一种认证方法,该认证方法应用于第一终端和第二终端均与第三认证平台具有连接关系的情况,参照图8所示,本实施例认证方法包括以下步骤:
步骤801:第二终端发送第二鉴权信息至第一终端;
可以理解地,本发明实施例中的第一终端对应物联网中的人终端,用户通过第一终端向其他终端发送控制指令实现期望的操作功能,第二终端对应物联网中的物终端,通过对人终端发送的控制指令响应实现用户期望的操作功能。此处的第一终端和第二终端可以是包括手机、平板电脑、个人电脑等任何一种具备网络连接和数据收发功能的电子设备,用于在同一网络下建立连接关系,并可以与平台或者其他终端之间发送和接收信息。此处,第一终端和第二终端优选通过无线通讯方式建立连接,也可以通过其他方式使第一终端与第二终端之间建立连接,此处不再赘述。
可以理解地,该步骤中的第二鉴权信息是对应第二终端的身份认证信息,具体地,此处第二鉴权信息是SE认证信息,包括SE特征值和SE数字签名信息。
可以理解地,第二鉴权信息还可以是其他类型的鉴权信息,用于验证物终端是否拥有访问***的合法身份,此处不再赘述。
步骤802:第一终端接收第二终端发送的第一鉴权信息;
步骤803:第一终端发送第一鉴权信息和第二鉴权信息至第三认证平台;
可以理解地,本发明实施例中是需要第一终端和第二终端分别发送第一终端操作对象的鉴权信息和第二终端的鉴权信息至第三认证平台进行在线认证。此处首先通过第一终端发送第一终端和第二终端的鉴权信息至第三认证平台。
可以理解地,此处的第一鉴权信息是对第一终端的操作对象进行身份认证的信息。具体地,可以是采用eID技术的认证信息,包括eID特征值和eID数字签名,对于其他种类的人身份认证方法和技术,此处不再赘述。
可以理解地,第三认证平台是对第一终端与第二终端之间关联关系进行认证的网络平台,当第一终端与第二终端的身份鉴权认证通过后,可以在第三认证平台上建立互联的绑定关系,从而使第二终端可以对第一终端发送的操作指令进行执行。
步骤804:第三认证平台接收第一终端发送的第一鉴权信息和第二鉴权信息;
步骤805:第三认证平台发送第一鉴权信息至第一认证平台;
步骤806:第三认证平台发送第二鉴权信息至第二认证平台;
可以理解地,第三认证平台主要负责对第一终端的操作对象和第二终端之间是否匹配以及是否可以建立互联关系进行认证,因此,第三认证平台将第一终端和第二终端的鉴权信息分别发送至各自的对应认证平台进行认证。此处的第一认证平台是一种针对用户身份信息进行认证的平台,第二认证平台是一种针对终端身份信息进行认证识别的平台。
具体地,第一认证平台是对eID信息认证的平台,本发明实施例中优选为中信网安服务平台,第二认证平台是对SE信息认证的平台,本发明实施例中优选为第一终端和第二终端所在物联网的安全服务平台。
可以理解地,第一认证平台和第二认证平台是专门验证第一鉴权信息和第二鉴权信息的认证平台,因此,可以基于鉴权信息的类型选择对应的专业认证平台,以达到最优的安全认证效果。
步骤807:第一认证平台接收第三认证平台发送的第一鉴权信息,并进行认证,得到第一认证结果;
可以理解地,第一认证平台是针对人物身份信息鉴权的平台,因此,可以对第一鉴权信息进行认证,从而得到认证结果。对于具体的认证过程,此处不再赘述。
步骤808:第一认证平台发送第一认证结果至第三认证平台;
第一认证平台在得到第一认证结果后,将该结果发送给第三认证平台用于第一终端与第二终端之间的互联认证。
具体地,若第一认证结果不通过,则说明第一终端发送的人身份鉴权信息具有安全隐患,第一认证平台就向第三认证平台反馈认证不通过的认证结果;若第一认证结果通过,则说明第一终端发送的鉴权信息是安全有效的信息,第一认证平台就向第三认证平台反馈认证通过的认证结果。
可以理解地,第一认证平台可以通过其他现有技术中常规方式通知第三认证平台对于第一鉴权信息的认证结果,此处不再赘述。
步骤809:第二认证平台接收第三认证平台发送的第二鉴权信息,并进行认证,得到第二认证结果;
可以理解地,第二认证平台是针对物终端身份信息鉴权的平台,因此,可以对第二鉴权信息进行认证,从而得到认证结果。对于具体的认证过程,此处不再赘述。
步骤810:第二认证平台发送第二认证结果至第三认证平台;
第二认证平台在得到第二认证结果后,将该结果发送给第三认证平台用于第一终端与第二终端之间的互联认证。
具体地,若第二认证结果不通过,则说明第二终端的物终端身份鉴权信息具有安全隐患,第二认证平台就向第三认证平台反馈认证不通过的认证结果;若第二认证结果通过,则说明第二终端的物终端身份鉴权信息是安全有效的信息,第二认证平台就向第三认证平台反馈认证通过的认证结果。
可以理解地,第二认证平台可以通过其他现有技术中常规方式通知第三认证平台对于第二鉴权信息的认证结果,此处不再赘述。
步骤811:第三认证平台接收第一认证平台发送的第一认证结果,并接收第二认证平台发送的第二认证结果;
可以理解地,第三认证平台从第一认证平台和第二认证平台接收到了对第一鉴权信息和第二鉴权信息的认证结果,若认证结果中有一个不通过时,说明第一终端与第二终端建立互联关系具有安全隐患,第三认证平台可以向与其具有连接关系的第一终端发送认证不通过的通知信息,并拒绝建立在物联网中建立第一终端与第二终端的互联;若认证结果都通过,第三认证平台可以对第一终端和第二终端是否可以建立互联进行进一步认证。
步骤812:第三认证平台确定第一终端的操作对象和第二终端是否匹配,得到第三认证结果,并在第三认证结果为匹配时,获取第一终端对第二终端的操作权限信息;
步骤813:第三认证平台发送第三认证结果至第一终端,并在第三认证结果为匹配时,发送操作权限信息至第一终端;
可以理解地,第三认证平台自身已存储有预设的对第一终端的操作对象和第二终端之间的绑定关系,并在第一认证结果和第二认证结果都通过的条件下对操作对象和第二终端之间是否具有预设绑定关系进行认证。例如,人物A是幼童,可以与终端a电视和b电脑具有控制关系,人物B是成人,可以控制终端a电视和c门锁,明显地,即使人物A和终端c的认证信息无误,也不应在第三认证平台建立互联关系,否则可能出现幼童打开门锁走失的危险。由于可见,第三认证平台中存储的预设绑定关系是基于用户需求并且具有导向性,基于该绑定关系对第一终端的操作对象和第二终端是否匹配进行验证可以在方便用户操作的同时实现用户的各项授权需求。
可选地,也可以在第三认证平台对第一终端和第二终端进行匹配,这取决于第三认证平台预存储的匹配关系为何种方式。
可以理解地,当第三认证结果为匹配时,说明第一终端的操作对象与第二终端确实具有绑定关系,那么第一终端和第二终端之间就可以被授权进行操作,进一步地,第三认证平台需要获取第一终端对第二终端的操作权限信息,使第一终端可以知悉对于第二终端可执行的操作。例如,物终端a是电视机,那么对应的权限操作是更换频道或者调节音量高和低等,明显地,即使a与人物A建立了互联关系,a接收到A发送漂洗衣物的指令是没有意义的。因此,使第一终端知悉针对第二终端的操作权限是很有必要。
步骤814:第一终端接收第三认证平台发送的第三认证结果,并在第三认证结果为匹配时,接收第三认证平台发送的第二终端的操作权限信息;
可以理解地,本发明实施例中第一终端与第三认证平台具有连接关系,因此可以接收第三认证平台发送的第三认证结果。当第三认证结果为匹配通过时,还可以接收第三认证平台发送的对第二终端的操作权限信息。
步骤815:第一终端基于接收的操作权限信息发送操作请求信息至第二终端,并发送第一鉴权信息至第二终端;
步骤816:第二终端接收第一终端发送到操作请求信息,并接收第一终端发送的第一鉴权信息;
可以理解地,第一终端必须基于第二终端的操作权限信息向第二终端发送操作请求,任何在操作权限以外的操作请求都会被第二终端拒绝响应。
此处需注意的是,尽管第一鉴权信息和第二鉴权信息都已经在第三认证平台上通过认证,但是鉴于可能出现已认证的身份信息因网络攻击而被调换的情况,需要对第一终端操作对象的身份鉴权信息和第二终端的鉴权信息在第三认证平台上进行再次认证。此次认证需要通过第二终端发送第一终端操作对象的鉴权信息和第二终端的鉴权信息至第三认证平台,以检验由第二终端发送的鉴权信息是否是安全的。明显地,这种通过两方终端分别发送鉴权信息进行在线认证的方法会显著提升互联认证的安全性。因此,需要第一终端发送鉴权信息给第二终端。
步骤817:第二终端发送第三鉴权信息和第四鉴权信息给第三认证平台;
需要注意的是,此处的第三鉴权信息可以与第一鉴权信息相同,是第一终端操作对象的鉴权信息,而此处的第四鉴权信息可以与第二鉴权信息相同,是第二终端的鉴权信息;第三鉴权信息和第四鉴权信息在此处特指是,在第一终端向第三认证平台发送鉴权信息之后,由第二终端向第三认证平台发送的鉴权信息。
步骤818:第三认证平台接收第二终端发送的第三鉴权信息和第四鉴权信息;
步骤819:第三认证平台发送第三鉴权信息至第一认证平台;
步骤820:第三认证平台发送第四鉴权信息至第二认证平台;
可以理解地,步骤818-820与步骤804-806的方案类似,唯一区别在于步骤804中的鉴权信息是由第一终端发送给第三认证平台的;而步骤818中的鉴权信息是由第二终端发送给第三认证平台的。
步骤821:第一认证平台接收第三认证平台发送的第三鉴权信息,并进行认证,得到第一认证结果;
步骤822:第一认证平台发送第一认证结果至第三认证平台;
可以理解地,此处的第一认证结果是第一认证平台对第三鉴权信息的认证结果,第三鉴权信息与第一鉴权信息的内容相同,都是对应第一终端操作对象身份的鉴权信息,此处只是为了凸显是由第二终端发送给第三认证平台的鉴权信息。
步骤823:第二认证平台接收第三认证平台发送的第四鉴权信息,并进行认证,得到第二认证结果;
步骤824:第二认证平台发送第二认证结果至第三认证平台;
可以理解地,此处的第二认证结果是第二认证平台对第四鉴权信息的认证结果,第四鉴权信息与第二鉴权信息的内容相同,都是对应第二终端的鉴权信息,此处只是为了凸显是由第二终端发送给第三认证平台的鉴权信息。
步骤825:第三认证平台接收第一认证平台发送的第一认证结果,并接收第二认证平台发送的第二认证结果;
可以理解地,第三认证平台从第一认证平台和第二认证平台接收到了对第一鉴权信息和第二鉴权信息的认证结果,若认证结果中有一个不通过时,说明第一终端与第二终端建立互联关系具有安全隐患,第三认证平台可以向与其具有连接关系的第一终端发送认证不通过的通知信息,并拒绝建立在物联网中建立第一终端与第二终端的互联;若认证结果都通过,第三认证平台可以对第一终端和第二终端是否可以建立互联进行进一步认证。
步骤826:第三认证平台确定第一终端的操作对象和第二终端是否匹配,得到第三认证结果,并在第三认证结果为匹配时,获取第一终端对第二终端的操作权限信息;
步骤827:第三认证平台发送第三认证结果至第二终端;若第三认证结果为匹配,还发送第二终端的操作权限给第二终端;
此处第三认证平台对于第二终端发送的鉴权信息的认证结果进行再次的验证,并再次生成第三认证结果。
可以理解地,第三认证平台自身已存储有预设的对第一终端的操作对象和第二终端之间的绑定关系,并在第一认证结果和第二认证结果都通过的条件下对操作对象和第二终端之间是否具有预设绑定关系进行认证。例如,人物A是幼童,可以与终端a电视和b电脑具有控制关系,人物B是成人,可以控制终端a电视和c门锁,明显地,即使人物A和终端c的认证信息无误,也不应在第三认证平台建立互联关系,否则可能出现幼童打开门锁走失的危险。由于可见,第三认证平台中存储的预设绑定关系是基于用户需求并且具有导向性,基于该绑定关系对第一终端的操作对象和第二终端是否匹配进行验证可以在方便用户操作的同时实现用户的各项授权需求。
可选地,也可以在第三认证平台对第一终端和第二终端进行匹配,这取决于第三认证平台预存储的匹配关系为何种方式。
可以理解地,当第三认证结果为匹配时,说明第一终端的操作对象与第二终端确实具有绑定关系,那么第一终端和第二终端之间就可以被授权进行操作,进一步地,第三认证平台需要获取第一终端对第二终端的操作权限信息,使第一终端可以知悉对于第二终端可执行的操作。例如,物终端a是电视机,那么对应的权限操作是更换频道或者调节音量高和低等,明显地,即使a与人物A建立了互联关系,a接收到A发送漂洗衣物的指令是没有意义的。因此,使第二终端得知自身所能实现的操作权限是很有必要的。
步骤828:第二终端接收第三认证平台发送的第三认证结果,若第三认证结果为匹配,还接收第三认证平台发送的操作权限信息;
可以理解地,本发明实施例中第二终端与第三认证平台也具有连接关系,因此可以接收第三认证平台发送的第三认证结果。当第三认证结果为匹配时,第二终端也可以接收第三认证平台发送的操作权限信息,从而知晓自身所能执行的操作。
步骤829:第二终端确定操作权限信息与操作请求信息是否匹配;
可以理解地,第二终端已经获取了第一终端发送的操作请求和自身所能实现的操作权限信息,第二终端必须基于自身的操作权限信息对操作请求进行响应,任何在操作权限范围以外的操作请求都会被第二终端拒绝响应。
可选地,若操作权限信息和操作请求信息相互之间不匹配,第二终端可以将该匹配结果告知第一终端,此处不再赘述。
步骤830:若匹配,第二终端基于操作请求执行对应的操作。
可以理解地,此处是第二终端也可以接收到操作权限信息,那么,第二终端就可以基于操作权限信息对第一终端发送的操作请求进行处理。这样,可以有效避免在认证通过后,第一终端发送的操作请求不符合第二终端权限要求的事件,可以提高第二终端对操作请求的处理效率。
需要注意的是,本发明实施例的一种可实现方式中,还可以使第一终端和第二终端同时向第三认证平台发送鉴权信息,即第一终端发送第一鉴权信息和第二鉴权信息时,第二终端也发送第三鉴权信息和第四鉴权信息。此时,第三认证平台获取的第一认证结果包括对第一鉴权信息和第三鉴权信息的认证结果,第二认证结果包括对第二鉴权信息和第四鉴权信息的认证结果,第三认证结果也就同时包括用于指示第一终端是否发送操作请求信息至第二终端,以及第二终端是否处理操作请求信息,对于其他细节,此处不再赘述。
需要指出的是,由于本发明实施例的技术方案是将鉴权信息都通过第三认证平台上进行认证的方案,因此若第一终端与第二终端都无法与第三认证平台具有连接关系,那么第一终端与第二终端只能相互之间根据自身存储数据对鉴权信息进行离线认证,明显地,这种不通过认证平台对鉴权信息进行认证的方案,其安全性大打折扣。
通过图8对应的实施例提供的技术方案,可以看出本发明实施例中当第一终端和第二终端均与第三认证平台具有连接关系时,第一终端和第二终端分别将第一终端操作对象的鉴权信息和第二终端的鉴权信息发送给第三认证平台进行了认证,也就是说,第一终端与第二终端分别利用第三认证平台对实时的第一终端操作对象的鉴权信息和第二终端的鉴权信息进行了认证,相比传统的第一终端与第二终端之间直接相互发送鉴权信息进行验证的方法,本发明实施例的方案对需要认证的信息进行了多侧认证和多次认证过程,其中任何一次认证不通过,第一终端发送的操作请求就无法被第二终端获取和执行,这样能够显著地提高认证安全。
参照图9所示,其示出了本发明的实施例提供的一种第三认证平台的硬件结构,该第三认证平台9可以包括:第一存储器92和第一处理器93;各个组件通过第一通信总线91耦合在一起。可理解,第一通信总线91用于实现这些组件之间的连接通信。第一通信总线91除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图9中将各种总线都标为第一通信总线91。
第一存储器92,用于存储能够在第一处理器93上运行的认证方法程序;
第一处理器93,用于在运行认证方法程序时,执行图1、6-8对应的实施例提供的认证方法的步骤。
参照图10所示,其示出了本发明的实施例提供的一种第一认证平台的硬件结构,该第一认证平台10可以包括:第二存储器102和第二处理器103;各个组件通过第二通信总线101耦合在一起。可理解,第二通信总线101用于实现这些组件之间的连接通信。第二通信总线101除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图10中将各种总线都标为第二通信总线101。
第二存储器102,用于存储能够在第二处理器103上运行的认证方法程序;
第二处理器103,用于在运行认证方法程序时,执行图2、6-8对应的实施例提供的认证方法的步骤。
参照图11所示,其示出了本发明的实施例提供的一种第二认证平台的硬件结构,该第二认证平台11可以包括:第三存储器112和第三处理器113;各个组件通过第三通信总线111耦合在一起。可理解,第三通信总线111用于实现这些组件之间的连接通信。第三通信总线111除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图11中将各种总线都标为第三通信总线111。
第三存储器112,用于存储能够在第三处理器113上运行的认证方法程序;
第三处理器113,用于在运行认证方法程序时,执行图3、6-8对应的实施例提供的认证方法的步骤。
参照图12所示,其示出了本发明的实施例提供的一种第一终端的硬件结构,该第一终端12可以包括:第四存储器122和第四处理器123;各个组件通过第四通信总线121耦合在一起。可理解,第四通信总线121用于实现这些组件之间的连接通信。第四通信总线121除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图12中将各种总线都标为第四通信总线121。
第四存储器122,用于存储能够在第四处理器123上运行的认证方法程序;
第四处理器123,用于在运行认证方法程序时,执行图4、图6-8对应的实施例提供的认证方法的步骤。
参照图13所示,其示出了本发明的实施例提供的一种第二终端的硬件结构,该第二终端13可以包括:第五存储器132和第五处理器133;各个组件通过第五通信总线131耦合在一起。可理解,第五通信总线131用于实现这些组件之间的连接通信。第五通信总线131除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图13中将各种总线都标为第五通信总线131。
第五存储器132,用于存储能够在第五处理器133上运行的认证方法程序;
第五处理器133,用于在运行认证方法程序时,执行图5、图6-8对应的实施例提供的认证方法的步骤。
可以理解地,本发明实施例中的第一存储器92、第二存储器102、第三存储器112、第四存储器122和第五存储器132可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(ErasablePROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(SynchronousDRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct RambusRAM,DRRAM)。本文描述的***和方法的第一存储器92、第二存储器102、第三存储器112、第四存储器122和第五存储器132旨在包括但不限于这些和任意其它适合类型的存储器。
而第一处理器93、第二处理器103、第三处理器113、第四处理器123、第五处理器133可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过而第一处理器93、第二处理器103、第三处理器113、第四处理器123、第五处理器133中的硬件的集成逻辑电路或者软件形式的指令完成。上述的而第一处理器93、第二处理器103、第三处理器113、第四处理器123、第五处理器133可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific IntegratedCircuit,ASIC)、现成可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于第一存储器92、第二存储器102、第三存储器112、第四存储器122和第五存储器132,第一处理器93读取第一存储器92中的信息,第二处理器103读取第二存储器102中的信息,第三处理器113读取第三存储器112中的信息,第四处理器123读取第四存储器122中的信息,第五处理器133读取第五存储器132中的信息,结合其硬件完成上述方法的步骤。
基于前述实施例,本发明实施例提供一种计算机可读存储介质,该计算机可读存储介质存储有认证程序,认证程序被至少一个处理器执行时实现上述任一实施例中认证方法的步骤。
可以理解地,以上实施例中的方法步骤,可以存储在计算机可读取存储介质中,基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或processor(处理器)执行本发明实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
可以理解的是,本文描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现,处理单元可以实现在一个或多个专用集成电路(ApplicationSpecific Integrated Circuits,ASIC)、数字信号处理器(Digital Signal Processing,DSP)、数字信号处理设备(DSP Device,DSPD)、可编程逻辑设备(Programmable LogicDevice,PLD)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本申请功能的其它电子单元或其组合中。
对于软件实现,可通过执行本文功能的模块(例如过程、函数等)来实现本文的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (21)
1.一种认证方法,应用于第三认证平台,其特征在于,所述方法包括:
获取第一鉴权信息和第二鉴权信息,其中,所述第一鉴权信息是用于对第一终端的操作对象进行鉴权的信息,所述第二鉴权信息是用于对第二终端进行鉴权相关的信息;所述第一鉴权信息包括与第一终端操作对象身份相关的eID 的特征值和eID 数字签名信息,所述第二鉴权信息是与第二终端身份相关的SE 特征值和SE 数字签名信息;
发送所述第一鉴权信息至第一认证平台,并发送所述第二鉴权信息至第二认证平台;
接收所述第一认证平台发送的第一认证结果,以及所述第二认证平台发送的第二认证结果;其中,所述第一认证结果包括所述第一认证平台对所述第一鉴权信息的认证结果,所述第二认证结果包括所述第二认证平台对所述第二鉴权信息的认证结果;
基于所述第一认证结果和所述第二认证结果,确定所述第一终端的操作对象与所述第二终端是否匹配,得到第三认证结果;
发送所述第三认证结果至所述第一终端和/或所述第二终端;其中,所述第三认证结果用于指示所述第一终端和/或第二终端基于所述第三认证结果对预设操作请求信息进行处理。
2.根据权利要求1所述的认证方法,所述获取第一鉴权信息和第二鉴权信息,包括:
若所述第一终端与所述第三认证平台具有通信连接,接收所述第一终端发送的所述第一鉴权信息和所述第二鉴权信息;
相应的,所述发送所述第三认证结果至所述第一终端和/或所述第二终端,包括:
发送所述第三认证结果至所述第一终端;其中,所述第三认证结果用于指示所述第一终端基于所述第三认证结果确定是否发送所述操作请求信息至所述第二终端。
3.根据权利要求1所述的认证方法,所述获取第一鉴权信息和第二鉴权信息,包括:
若所述第二终端与所述第三认证平台具有通信连接,接收所述第二终端发送的所述第一鉴权信息和所述第二鉴权信息;
相应的,所述发送所述第三认证结果至所述第一终端和/或所述第二终端,包括:
发送所述第三认证结果至所述第二终端;其中,所述第三认证结果用于指示所述第二终端基于所述第三认证结果处理所述操作请求信息。
4.根据权利要求1所述的认证方法,所述获取第一鉴权信息和第二鉴权信息,包括:
若所述第一终端和所述第二终端均与所述第三认证平台具有通信连接,接收所述第一终端发送的所述第一鉴权信息和所述第二鉴权信息,以及接收所述第二终端发送的第三鉴权信息和第四鉴权信息;其中,所述第三鉴权信息是用于对所述第一终端的操作对象进行鉴权的信息,所述第四鉴权信息是用于对所述第二终端进行鉴权相关的信息;所述第一认证结果还包括所述第一认证平台对所述第三鉴权信息的认证结果,所述第二认证结果还包括所述第二认证平台对所述第四鉴权信息的认证结果;
相应的,所述发送所述第三认证结果至所述第一终端和/或所述第二终端,包括:
发送所述第三认证结果至所述第一终端和所述第二终端;其中,所述第三认证结果用于指示所述第一终端基于所述第三认证结果确定是否发送所述操作请求信息至所述第二终端,以及所述第二终端基于所述第三认证结果处理所述操作请求信息。
5.根据权利要求1所述的认证方法,其特征在于,所述方法还包括:
若所述第三认证结果为所述第一终端与所述第二终端匹配,获取所述第一终端对所述第二终端的操作权限信息;
若所述第一终端与所述第三认证平台具有通信连接,发送所述操作权限信息至所述第一终端;其中,所述操作权限信息用于指示所述第一终端基于所述操作权限信息控制所述第二终端执行预设操作;
若所述第二终端与所述第三认证平台具有通信连接,发送所述操作权限信息至所述第二终端;其中,所述操作权限信息用于指示所述第二终端可执行的预设操作;
若所述第一终端和所述第二终端均与所述第三认证平台具有通信连接,发送所述操作权限信息至所述第一终端和所述第二终端,其中所述操作权限信息用于指示所述第一终端基于所述操作权限信息控制所述第二终端执行预设操作,以及指示所述第二终端可执行的预设操作。
6.一种认证方法,应用于第一认证平台,其特征在于,所述方法包括:
接收第三认证平台发送的第一鉴权信息;其中,所述第一鉴权信息是第一终端或第二终端发送至所述第三认证平台的;所述第一鉴权信息包括与第一终端操作对象身份相关的eID 的特征值和eID 数字签名信息;
基于所述第一鉴权信息,对所述第一终端的操作对象进行认证得到第一认证结果;
发送所述第一认证结果至所述第三认证平台;其中,所述第一认证结果用于指示所述第三认证平台基于所述第一认证结果对所述操作对象和所述第二终端的匹配关系进行认证。
7.根据权利要求6所述的认证方法,其特征在于,所述方法还包括:
接收所述第三认证平台发送的第三鉴权信息;其中,所述第三鉴权信息是对所述第一终端或所述第二终端发送至所述第三认证平台的;
相应的,所述基于所述第一鉴权信息,对所述第一终端的操作对象进行认证得到第一认证结果,包括:
分别基于所述第一鉴权信息和所述第三鉴权信息,对所述操作对象进行认证得到所述第一认证结果。
8.一种认证方法,应用于第二认证平台,其特征在于,所述方法包括:
接收第三认证平台发送的第二鉴权信息;其中,所述第二鉴权信息是第一终端或第二终端发送至所述第三认证平台的;所述第二鉴权信息是与第二终端身份相关的SE 特征值和SE 数字签名信息;
基于所述第二鉴权信息,对所述第二终端进行认证得到第二认证结果;
发送所述第二认证结果至所述第三认证平台;其中,所述第二认证结果用于指示所述第三认证平台基于所述第二认证结果对所述第一终端的操作对象和所述第二终端的匹配关系进行认证。
9.根据权利要求8所述的认证方法,其特征在于,所述方法还包括:
接收所述第三认证平台发送的第四鉴权信息;其中,所述第四鉴权信息是所述第二终端或所述第一终端发送至所述第三认证平台的;
相应的,所述基于所述第二鉴权信息,对所述第二终端进行认证得到第二认证结果,包括:
分别基于所述第二鉴权信息和所述第四鉴权信息,对所述第二终端进行认证得到所述第二认证结果。
10.一种认证方法,应用于第一终端,其特征在于,所述方法包括:
接收第二终端发送的第二鉴权信息;其中,所述第二鉴权信息是用于对所述第二终端进行鉴权的信息;所述第二鉴权信息是与第二终端身份相关的SE 特征值和SE 数字签名信息;
若第一终端与第三认证平台具有通信连接,发送第一鉴权信息和所述第二鉴权信息至所述第三认证平台;其中,所述第一鉴权信息是用于对所述第一终端的操作对象进行鉴权的信息;所述第一鉴权信息包括与第一终端操作对象身份相关的eID 的特征值和eID 数字签名信息;
接收所述第三认证平台发送的第三认证结果;其中,所述第三认证结果用于指示所述第三认证平台基于所述第一鉴权信息和所述第二鉴权信息,对所述操作对象和所述第二终端的匹配关系进行认证;
基于所述第三认证结果发送用于控制所述第二终端执行预设操作的操作请求至所述第二终端。
11.根据权利要求10所述的认证方法,其特征在于,在所述接收第二终端发送的第二鉴权信息之后,所述方法还包括:
若所述第一终端与所述第三认证平台不具有通信连接且所述第二终端与所述第三认证平台具有通信连接,基于所述第一终端存储的白名单数据库对所述第二鉴权信息进行认证;
若认证通过,发送所述第一鉴权信息和用于控制所述第二终端执行预设操作的操作请求至所述第二终端;其中,所述第一鉴权信息是用于对所述第一终端的操作对象进行鉴权的信息,并用于指示所述第二终端发送所述第一鉴权信息至所述第三认证平台。
12.根据权利要求10所述的认证方法,其特征在于,所述基于所述第三认证结果发送用于控制所述第二终端执行预设操作的操作请求至所述第二终端,包括:
若所述第三认证结果为所述第一终端与所述第二终端匹配,接收所述第三认证平台发送的所述第一终端对所述第二终端的操作权限信息;
基于所述操作权限信息,发送用于控制所述第二终端执行预设操作的操作请求至所述第二终端。
13.一种认证方法,应用于第二终端,其特征在于,所述方法包括:
接收第一终端发送的第一鉴权信息;其中,所述第一鉴权信息是用于对所述第一终端的操作对象进行鉴权的信息;所述第一鉴权信息包括与第一终端操作对象身份相关的eID的特征值和eID 数字签名信息;
若第二终端与第三认证平台具有通信连接, 发送所述第一鉴权信息和第二鉴权信息至所述第三认证平台;其中,所述第二鉴权信息是用于对所述第二终端进行鉴权的信息;所述第二鉴权信息是与第二终端身份相关的SE 特征值和SE 数字签名信息;
接收所述第三认证平台发送的第三认证结果;其中,所述第三认证结果用于指示所述第三认证平台基于所述第一鉴权信息和所述第二鉴权信息,对所述操作对象和所述第二终端的匹配关系进行认证;
接收第一终端发送的用于控制所述第二终端执行预设操作的操作请求,并基于所述第三认证结果处理所述操作请求。
14.根据权利要求13所述的认证方法,其特征在于,在所述接收第一终端发送的第一鉴权信息之后,所述方法还包括:
若所述第二终端与所述第三认证平台不具有通信连接且所述第一终端与所述第三认证平台具有通信连接,基于所述第二终端已存储的白名单数据库对所述第一鉴权信息进行认证;
若认证通过,发送所述第二鉴权信息至所述第一终端;其中,所述第二鉴权信息是用于对所述第二终端进行鉴权的信息,并用于指示所述第一终端发送所述第二鉴权信息至所述第三认证平台;
接收第一终端发送的用于控制所述第二终端执行预设操作的操作请求,并基于所述操作请求执行所述预设操作。
15.根据权利要求13所述的认证方法,其特征在于,所述接收第一终端发送的用于控制所述第二终端执行预设操作的操作请求,并基于所述第三认证结果处理所述操作请求,包括:
若所述第三认证结果为所述第一终端与所述第二终端匹配,接收所述第三认证平台发送的所述第一终端对所述第二终端的操作权限信息;
接收所述第一终端发送的所述操作请求;
确定所述操作请求与所述操作权限信息是否匹配,若所述操作请求与所述操作权限信息匹配,基于所述操作请求执行所述预设操作。
16.一种第三认证平台,其特征在于,所述第三认证平台包括:第一处理器、第一存储器和第一通信总线;其中,
所述第一通信总线,用于实现所述第一处理器和所述第一存储器之间的通信连接;
所述第一存储器,用于存储能够在所述第一处理器上运行的认证程序;
所述第一处理器,用于获取第一鉴权信息和第二鉴权信息,其中,所述第一鉴权信息是用于对第一终端的操作对象进行鉴权的信息,所述第二鉴权信息是用于对第二终端进行鉴权相关的信息;所述第一鉴权信息包括与第一终端操作对象身份相关的eID 的特征值和eID 数字签名信息,所述第二鉴权信息是与第二终端身份相关的SE 特征值和SE 数字签名信息;
发送所述第一鉴权信息至第一认证平台,并发送所述第二鉴权信息至第二认证平台;
接收所述第一认证平台发送的第一认证结果,以及所述第二认证平台发送的第二认证结果;其中,所述第一认证结果包括所述第一认证平台对所述第一鉴权信息的认证结果,所述第二认证结果包括所述第二认证平台对所述第二鉴权信息的认证结果;
基于所述第一认证结果和所述第二认证结果,确定所述第一终端的操作对象与所述第二终端是否匹配,得到第三认证结果;
发送所述第三认证结果至所述第一终端和/或所述第二终端;其中,所述第三认证结果用于指示所述第一终端和/或第二终端基于所述第三认证结果对预设操作请求信息进行处理。
17.一种第一认证平台,其特征在于,所述第一认证平台包括:第二处理器、第二存储器和第二通信总线;其中,
所述第二通信总线,用于实现所述第二处理器和所述第二存储器之间的通信连接;
所述第二存储器,用于存储能够在所述第二处理器上运行的认证程序;
所述第二处理器,用于接收第三认证平台发送的第一鉴权信息;其中,所述第一鉴权信息是第一终端或第二终端发送至所述第三认证平台的;所述第一鉴权信息包括与第一终端操作对象身份相关的eID 的特征值和eID 数字签名信息;
基于所述第一鉴权信息,对所述第一终端的操作对象进行认证得到第一认证结果;发送所述第一认证结果至所述第三认证平台;其中,所述第一认证结果用于指示所述第三认证平台基于所述第一认证结果对所述操作对象和所述第二终端的匹配关系进行认证。
18.一种第二认证平台,其特征在于,所述第二认证平台包括:第三处理器、第三存储器和第三通信总线;其中,
所述第三通信总线,用于实现所述第三处理器和所述第三存储器之间的通信连接;
所述第三存储器,用于存储能够在所述第三处理器上运行的认证程序;
所述第三处理器,用于接收第三认证平台发送的第二鉴权信息;其中,所述第二鉴权信息是第一终端或第二终端发送至所述第三认证平台的;所述第二鉴权信息是与第二终端身份相关的SE 特征值和SE 数字签名信息;
基于所述第二鉴权信息,对所述第二终端进行认证得到第二认证结果;
发送所述第二认证结果至所述第三认证平台;其中,所述第二认证结果用于指示所述第三认证平台基于所述第二认证结果对所述第一终端的操作对象和所述第二终端的匹配关系进行认证。
19.一种第一终端,其特征在于,所述第一终端包括:第四处理器、第四存储器和第四通信总线;其中,
所述第四通信总线,用于实现所述第四处理器和所述第四存储器之间的通信连接;
所述第四存储器,用于存储能够在所述处理器上运行的认证程序;
所述第四处理器,用于接收第二终端发送的第二鉴权信息;其中,所述第二鉴权信息是用于对所述第二终端进行鉴权的信息;所述第二鉴权信息是与第二终端身份相关的SE 特征值和SE 数字签名信息;
若第一终端与第三认证平台具有通信连接,发送第一鉴权信息和所述第二鉴权信息至所述第三认证平台;其中,所述第一鉴权信息是用于对所述第一终端的操作对象进行鉴权的信息;所述第一鉴权信息包括与第一终端操作对象身份相关的eID 的特征值和eID 数字签名信息;
接收所述第三认证平台发送的第三认证结果;其中,所述第三认证结果用于指示所述第三认证平台基于所述第一鉴权信息和所述第二鉴权信息,对所述操作对象和所述第二终端的匹配关系进行认证;
基于所述第三认证结果发送用于控制所述第二终端执行预设操作的操作请求至所述第二终端。
20.一种第二终端,其特征在于,所述第二终端包括:第五处理器、第五存储器和第五通信总线;其中,
所述第五通信总线,用于实现所述第五处理器和所述第五存储器之间的通信连接;
所述第五存储器,用于存储能够在所述处理器上运行的认证程序;
所述第五处理器,用于接收第一终端发送的第一鉴权信息;其中,所述第一鉴权信息是用于对所述第一终端的操作对象进行鉴权的信息;所述第一鉴权信息包括与第一终端操作对象身份相关的eID 的特征值和eID 数字签名信息;
若第二终端与第三认证平台具有通信连接, 发送所述第一鉴权信息和第二鉴权信息至所述第三认证平台;其中,所述第二鉴权信息是用于对所述第二终端进行鉴权的信息;所述第二鉴权信息是与第二终端身份相关的SE 特征值和SE 数字签名信息;
接收所述第三认证平台发送的第三认证结果;其中,所述第三认证结果用于指示所述第三认证平台基于所述第一鉴权信息和所述第二鉴权信息,对所述操作对象和所述第二终端的匹配关系进行认证;
接收第一终端发送的用于控制所述第二终端执行预设操作的操作请求,并基于所述第三认证结果处理所述操作请求。
21.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1至5、6至7、8至9、10至12或13至15中任一项所述认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811558097.2A CN111343133B (zh) | 2018-12-19 | 2018-12-19 | 一种认证方法、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811558097.2A CN111343133B (zh) | 2018-12-19 | 2018-12-19 | 一种认证方法、设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111343133A CN111343133A (zh) | 2020-06-26 |
| CN111343133B true CN111343133B (zh) | 2022-05-13 |
Family
ID=71183288
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811558097.2A Active CN111343133B (zh) | 2018-12-19 | 2018-12-19 | 一种认证方法、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111343133B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017076216A1 (zh) * | 2015-11-03 | 2017-05-11 | 国民技术股份有限公司 | 服务器、移动终端、网络实名认证***及方法 |
| WO2018113437A1 (zh) * | 2016-12-21 | 2018-06-28 | 杨宪国 | 基于鉴权装置的电子身份证认证服务*** |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581154B (zh) * | 2012-08-08 | 2017-01-25 | ***通信集团公司 | 物联网***中的鉴权方法和装置 |
| CN103763392B (zh) * | 2014-01-29 | 2018-09-07 | 百度在线网络技术(北京)有限公司 | 设备的控制方法、装置及*** |
| CN105262733B (zh) * | 2015-09-21 | 2018-11-06 | 宇龙计算机通信科技(深圳)有限公司 | 一种指纹鉴权方法、云端服务器、指纹识别方法和终端 |
| CN106688004B (zh) * | 2015-11-16 | 2021-02-09 | 华为技术有限公司 | 一种交易认证方法、装置、移动终端、pos终端及服务器 |
| CN106533861A (zh) * | 2016-11-18 | 2017-03-22 | 郑州信大捷安信息技术股份有限公司 | 一种智能家居物联网安全控制***及认证方法 |
| CN106507334A (zh) * | 2016-12-30 | 2017-03-15 | 维沃移动通信有限公司 | 一种身份认证方法及移动终端 |
| CN108737485B (zh) * | 2017-04-25 | 2021-05-11 | 中移物联网有限公司 | 针对物联网资源的操作的方法及*** |
| CN108834144B (zh) * | 2018-06-05 | 2021-01-15 | 恒宝股份有限公司 | 运营商码号与账号的关联管理方法与*** |
-
2018
- 2018-12-19 CN CN201811558097.2A patent/CN111343133B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017076216A1 (zh) * | 2015-11-03 | 2017-05-11 | 国民技术股份有限公司 | 服务器、移动终端、网络实名认证***及方法 |
| WO2018113437A1 (zh) * | 2016-12-21 | 2018-06-28 | 杨宪国 | 基于鉴权装置的电子身份证认证服务*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111343133A (zh) | 2020-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10445487B2 (en) | Methods and apparatus for authentication of joint account login | |
| US20190281028A1 (en) | System and method for decentralized authentication using a distributed transaction-based state machine | |
| CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
| CN107733636B (zh) | 认证方法以及认证*** | |
| US11823007B2 (en) | Obtaining device posture of a third party managed device | |
| CN109714769B (zh) | 信息绑定方法、装置、设备及存储介质 | |
| KR20180013710A (ko) | 공개키 기반의 서비스 인증 방법 및 시스템 | |
| CN107241329B (zh) | 账号登录处理方法及装置 | |
| WO2016188335A1 (zh) | 用户数据的访问控制方法、装置及*** | |
| CN111800377B (zh) | 一种基于安全多方计算的移动终端身份认证*** | |
| CN104700479A (zh) | 基于带外认证的门禁方法 | |
| US20200322131A1 (en) | System and method for blockchain-based device authentication based on a cryptographic challenge | |
| CN111431840A (zh) | 安全处理方法和装置 | |
| CN112153638B (zh) | 车载移动终端安全认证方法及设备 | |
| CN101394276A (zh) | 基于usb硬件令牌的认证***及方法 | |
| CN109246062B (zh) | 一种基于浏览器插件的认证方法及*** | |
| US9977907B2 (en) | Encryption processing method and device for application, and terminal | |
| WO2017076257A1 (zh) | 一种app认证的***和方法 | |
| CN111865998A (zh) | 网络安全区登录方法及装置 | |
| CN111343133B (zh) | 一种认证方法、设备及计算机可读存储介质 | |
| CN108574657B (zh) | 接入服务器的方法、装置、***以及计算设备和服务器 | |
| KR102016976B1 (ko) | 싱글 사인 온 서비스 기반의 상호 인증 방법 및 시스템 | |
| CN110717177A (zh) | 一种利用移动终端实时安全解锁计算机的方法 | |
| CN114500074B (zh) | 单点***安全访问方法、装置及相关设备 | |
| CN110784395B (zh) | 一种基于fido认证的邮件安全登录方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |