CN113037682A - 加密通信方法、加密通信装置及加密通信*** - Google Patents
加密通信方法、加密通信装置及加密通信*** Download PDFInfo
- Publication number
- CN113037682A CN113037682A CN201911251937.5A CN201911251937A CN113037682A CN 113037682 A CN113037682 A CN 113037682A CN 201911251937 A CN201911251937 A CN 201911251937A CN 113037682 A CN113037682 A CN 113037682A
- Authority
- CN
- China
- Prior art keywords
- dynamic password
- equipment
- identification information
- verification
- sending
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了加密通信方法、加密通信装置及加密通信***。加密通信方法包括:接收身份验证信息,判断身份验证信息与预先存储的身份验证信息是否对应匹配;响应于身份验证信息与预先存储的身份验证信息匹配,发送设备验证请求;接收设备标识信息,判断设备标识信息与预先存储的设备标识信息是否对应匹配;响应于设备标识信息与预先存储的设备标识信息不匹配,进行以下步骤:发送动态口令请求;接收第一动态口令;本地生成第二动态口令;判断第一动态口令与第二动态口令是否对应匹配,以得到判断结果;以及根据判断结果返回表征是否登录成功的状态消息。本发明在加密通信中进行了二次身份验证,从而增加了安全性。
Description
技术领域
本发明涉及通信安全技术领域,尤其涉及一种加密通信方法、一种加密通信装置以及一种加密通信***。
背景技术
目前,下位机和上位机交互通信是通过网络远程连接来实现,而连接的安全性是一个重要的课题,其中,如何保证业务双方的身份认证成为了首当其冲的问题。
近年来随着下位机业务的不断增长,下位机和上位机进行通信之前需进行登录绑定,而下位机的登录密码和验证方式相对来说比较简单,而且许多用户并不会更改下位机的默认密码,这虽然对于用户使用来说比较方便,但是也会让一些熟悉公司产品和使用过公司产品的非下位机用户登录并更改播放节目。对于此类问题,可以通过让用户强制更改下位机登录密码来实现,但是考虑到下位机本身的产品属性,这样对于用户的使用来说并不方便,因此需要其他的机制来保证下位机与上位机登录绑定的安全性问题。其中,身份认证是***审查用户身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,身份认证通过标识来鉴别用户的身份,提供一种判别和确认用户身份的机制,在用户登录软件***之前,必须首先向身份认证***表明自己的身份,身份验证***首先验证用户的真实性,然后根据授权数据库中用户的权限设置确定其是否有权限访问申请的资源。目前,常见身份认证的机制包括两种:一种是基于时间同步(Time Synchronization)的动态口令机制,其特点是选择单向散列函数作为认证数据的生成算法,以种子秘钥和时间值作为认证数据的生成算法,具体以种子秘钥和时间值作为单向散列函数的输入参数;另一种是基于事件同步(Event Synchronization)的动态口令机制,又称Lamport方式或哈希链(Hashchains)方式,其以事件(例如使用次数或序列数)作为变量,其特点也是选择单向散列函数作为认证数据的生成算法,以事件作为认证数据的生成算法,具体以事件作为单向散列函数的输入参数。
但上述两种机制虽然可以保证身份认证的安全性,但也分别存在时钟失步、事件失步的风险,从而频繁的时钟校正、事件校正导致下位机性能降低,用户体验感差。
发明内容
本发明的实施例提供了加密通信方法、加密通信装置及加密通信***,以实现不影响下位机性能的前提下,提高身份认证安全性的效果。
一方面,本发明实施例提供的一种加密通信方法,包括:
接收身份验证信息,判断所述身份验证信息与预先存储的身份验证信息是否对应匹配;
响应于所述身份验证信息与预先存储的身份验证信息匹配,发送设备验证请求以请求获取设备标识信息;
接收设备标识信息,判断所述设备标识信息与预先存储的设备标识信息是否对应匹配;
响应于所述设备标识信息与预先存储的设备标识信息不匹配,进行以下步骤:
发送动态口令请求以请求获取第一动态口令;
接收所述第一动态口令;
本地生成第二动态口令;
判断所述第一动态口令与所述第二动态口令是否对应匹配,以得到判断结果;以及
根据所述判断结果返回表征是否登录成功的状态消息。
本发明实施例在加密通信中进行了二次身份验证,即进行设备标识信息与预先存储的设备标识信息匹配的静态验证,以及第一动态口令与第二动态口令匹配的动态验证,从而增加了登陆难度,提高了安全性,并解决了传统加密通信中存在的时钟失步、事件失步,以及频繁的时钟校正、事件校正导致下位机性能降低、用户体验感差的问题。
在本发明的一个实施例中,响应于所述身份验证信息与预先存储的身份验证信息不匹配,返回登录失败消息。
在本发明的一个实施例中,响应于所述设备标识信息与预先存储的设备标识信息匹配,返回登录成功消息。
在本发明的一个实施例中,所述生成第二动态口令,包括:
本地生成运算因子;
获取预先存储的令牌设备标识码和令牌秘钥;
基于令牌秘钥对所述运算因子和所述令牌设备标识码进行加密,以得到加密结果;以及
根据所述加密结果生成所述第二动态口令。
在本发明的一个实施例中,所述运算因子利用事件同步方法生成。
在本发明的一个实施例中,所述预先存储的令牌设备标识码和令牌秘钥以加密的方式进行存储。
另一方面,本发明实施例提供的一种加密通信装置,适于执行如上任意一项所述的加密通信方法、且包括:
身份验证模块,用于接收身份验证信息,判断所述身份验证信息与预先存储的身份验证信息是否对应匹配;
请求发送模块,用于响应于所述身份验证信息与预先存储的身份验证信息匹配,发送设备验证请求以请求获取设备标识信息;
设备验证模块,用于接收设备标识信息,判断所述设备标识信息与预先存储的设备标识信息是否对应匹配;
动态口令验证模块,用于响应于所述设备标识信息与预先存储的设备标识信息不匹配,进行以下步骤:
发送动态口令请求以请求获取第一动态口令;
接收所述第一动态口令;
本地生成第二动态口令;
判断所述第一动态口令与所述第二动态口令是否对应匹配,以得到判断结果;以及
根据所述判断结果返回表征是否登录成功的状态消息。
再一方面,本发明实施例提供的一种加密通信方法,包括:
发送身份验证信息,以供目标嵌入式设备进行身份验证;
接收因所述身份验证成功而反馈的设备验证请求,获取并发送设备标识信息,以供所述目标嵌入式设备进行设备验证;
接收因所述设备验证失败而反馈的动态口令请求,获取动态口令,其中所述动态口令通过令牌设备生成;以及
发送所述动态口令至所述目标嵌入式设备,以供所述目标嵌入式设备进行动态口令验证。
又一方面,本发明实施例提供的加密通信装置,包括:
验证信息发送模块,用于发送身份验证信息,以供目标嵌入式设备进行身份验证;
标识信息发送模块,用于接收因所述身份验证成功而反馈的设备验证请求,获取并发送设备标识信息,以供所述目标嵌入式设备进行设备验证;
动态口令获取模块,用于接收因所述设备验证失败而反馈的动态口令请求,获取动态口令,其中所述动态口令通过令牌设备生成;以及
动态口令发送模块,用于发送所述动态口令至所述目标嵌入式设备,以供所述目标嵌入式设备进行动态口令验证。
还一方面,本发明实施例提供的一种加密通信***,包括:处理器和存储器;其中所述存储器存储由所述处理器执行的指令,且所述指令使得所述处理器执行操作以进行如上所述的任意一项加密通信方法。
本发明实施例在加密通信过程中进行了二次身份验证,即静态验证和动态验证,从而增加了登陆难度,提高了安全性,并解决了传统加密通信中存在的时钟失步、事件失步,以及频繁的时钟校正、事件校正导致下位机性能降低、用户体验感差的问题。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1A为本发明第一实施例的一种加密通信方法的流程图。
图1B为本发明第一实施例的另一种加密通信方法的流程图。
图1C为本发明第一实施例的一种加密通信方法中生成第二动态口令的流程图。
图2为本发明第二实施例的一种加密通信装置的模块示意图。
图3为本发明第三实施例的一种加密通信方法的流程图。
图4为本发明第四实施例的一种加密通信装置的模块示意图。
图5为本发明第五实施例的一种加密通信***的结构示意图。
图6为本发明第六实施例的一种存储介质的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
【第一实施例】
如图1A、1B、1C所示,本发明第一实施例提供的一种加密通信方法,例如包括以下步骤:
S11,接收身份验证信息,判断所述身份验证信息与预先存储的身份验证信息是否对应匹配;
S13,响应于所述身份验证信息与预先存储的身份验证信息匹配,发送设备验证请求以请求获取设备标识信息;
S15,接收设备标识信息,判断所述设备标识信息与预先存储的设备标识信息是否对应匹配;
S17,响应于所述设备标识信息与预先存储的设备标识信息不匹配,进行以下步骤:
S171,发送动态口令请求以请求获取第一动态口令;
S173,接收所述第一动态口令;
S175,本地生成第二动态口令;
S177,判断所述第一动态口令与所述第二动态口令是否对应匹配,以得到判断结果;以及
S179,根据所述判断结果返回表征是否登录成功的状态消息。
具体而言,第一实施例可以应用于上位机与下位机之间的加密通信,其中,上位机可以为Web、PC等电脑端,也可以为手机端,下位机可以为多媒体播控终端等嵌入式设备,例如为西安诺瓦星云科技股份有限公司的Taurus卡,具体地,第一实施例以上位机为手机端、下位机为多媒体播控终端为例,进行例如步骤S11~S17,以及S17的例如子步骤S171~S179的实现:
在进行上述步骤S11~S17,以及S17的子步骤S171~S179之前,第一实施例中手机端用户首先进行注册工作,注册工作是为了让用户通过手机和多媒体播控终端之间建立初始信任关系。用户第一次通过手机使用没有被注册过的多媒体播控终端时,多媒体播控终端允许手机以正常方式登录,登陆后向多媒体播控终端发送令牌设备标识码和令牌秘钥KA,多媒体播控终端将令牌设备标识码和令牌秘钥KA分别加密保存于数据库中,用于防止外界对多媒体播控终端数据库的攻击造成令牌设备标识码和令牌秘钥KA泄露,进而用于后续动态口令身份验证,加密处理过程中的加密算法包括RSA、ECC、DH、ECDH等。
完成上述注册工作之后,手机端用户登录多媒体播控终端时,首先在手机端输入身份验证信息,该身份验证信息包括用户ID和静态密码,在多媒体播控终端上,出厂默认存储有预先存储的身份验证信息,预先存储的身份验证信息包括预先存储的用户ID和静态密码,如步骤S11判断预先存储的用户ID和静态密码、手机端输入的用户ID和静态密码是否对应匹配,若预先存储的用户ID和静态密码、手机端输入的用户ID和静态密码匹配,则如步骤S13中多媒体播控终端发送设备验证请求于手机端以请求获取设备标识信息,对于上位机为Web、PC等电脑端,通过获取电脑硬件编号,利用唯一标识符生成算法生成唯一标识符,即设备标识信息,优选唯一标识符生成算法包括GUID、UUID,对于手机端,直接将手机的IMEI号作为唯一标识符,即设备标识信息,手机端接收到多媒体播控终端发送的设备验证请求后,将其的设备标识信息发送于多媒体播控终端,则如步骤S15中多媒体播控终端接收该设备标识信息,并将设备标识信息与其预先存储的设备标识信息进行匹配,判断所述设备标识信息与预先存储的设备标识信息是否对应匹配,进行静态验证,预先存储的设备标识信息为最近经常登录多媒体播控终端的上位机对应的唯一标识符,之后如步骤S17所述设备标识信息与预先存储的设备标识信息不匹配时,则进行动态验证,具体地步骤S17例如包括以下子步骤:
S171,发送动态口令请求以请求获取第一动态口令;
S173,接收所述第一动态口令;
S175,本地生成第二动态口令;
S177,判断所述第一动态口令与所述第二动态口令是否对应匹配,以得到判断结果;
S179,根据所述判断结果返回表征是否登录成功的状态消息。
通过子步骤S171~S179进行动态验证,具体地,当上述静态验证失败后,多媒体播控终端将发送动态口令请求于手机端,向手机端索要进行动态验证的第一动态口令,手机端接收到该动态口令请求后,通过令牌设备生成第一动态口令,手机端获取该第一动态口令,并将第一动态口令发送于多媒体播控终端,多媒体播控终端接收第一动态口令,同时在多媒体播控终端本地生成第二动态口令,并判断第一动态口令与所述第二动态口令是否对应匹配得到一判断结果,最后根据该判断结果返回表征是否登录成功的状态消息,具体地,当第一动态口令与第二动态口令匹配时,向手机端返回登录成功消息,表明多媒体播控终端允许手机端用户正常登陆,实现动态验证,最终实现手机端用户正常登陆,以实现手机端与多媒体播控终端之间的加密通信;当第一动态口令与第二动态口令不匹配时,向手机端返回登录失败消息,表明多媒体播控终端拒绝手机端用户登陆,最终不允许该非法用户登陆,以实现手机端与多媒体播控终端之间的加密通信。其中,步骤S175本地生成第二动态口令例如包括以下子步骤:
S1751,本地生成运算因子;
S1753,获取预先存储的令牌设备标识码和令牌秘钥;
S1755,基于令牌秘钥对所述运算因子和所述令牌设备标识码进行加密,以得到加密结果;以及
S1757,根据所述加密结果生成所述第二动态口令。
通过子步骤S1751~S1757在多媒体播控终端本地生成第二动态口令,具体地,多媒体播控终端首先从数据库中获取注册时手机端提供且使用加密方式预先存储于多媒体播控终端的令牌设备标识码和令牌秘钥KA,同时在多媒体播控终端本地利用事件同步方法生成运算因子,使用预先存储的令牌秘钥KA分别对令牌设备标识码和运算因子进行加密处理得到加密结果,并利用运算因子对加密结果进行计算生成第二动态口令。其中,加密处理过程中的加密算法包括RSA、ECC、DH、ECDH等。
需要说明的是,对于多媒体播控终端的第一次登陆,允许手机端正常登录多媒体播控终端,多媒体播控终端第一次登陆成功后,支持手机端用户在手机端对静态密码进行修改,以增加安全性,当静态密码被修改时,多媒体播控终端将用该修改后的静态密码更新多媒体播控终端数据库中存储的静态密码,保证下一次手机端用户正常登陆多媒体播控终端。
进一步地,在判断所述身份验证信息与预先存储的身份验证信息是否对应匹配中,当响应于所述身份验证信息和预先存储的身份验证信息不匹配时,表明此时多媒体播控终端可能存在非法用户登陆,则返回登录失败消息,多媒体播控终端直接拒绝手机端用户的登陆。
进一步地,在判断所述设备标识信息与预先存储的设备标识信息是否对应匹配中,当响应于设备标识信息与设备标识信息匹配时,此时不需要后续进一步动态验证登陆操作,多媒体播控终端直接向手机端用户返回登录成功消息,表明多媒体播控终端允许手机端用户正常登陆。
综上所述,第一实施例下位机与上位机通信时,下位机首先判断本地预先存储的用户ID和静态密码、用户输入的用户ID和静态密码,验证两者是否匹配,如匹配成功,下位机向上位机请求设备标识信息,上位机将其设备标识信息发送于下位机,下位机从数据库中读取近期登陆下位机的上位机对应的设备标识信息,并与该请求登录的上位机的设备标识信息进行匹配,如匹配则登录成功,如不匹配则下位机请求上位机输入第一动态口令,同时下位机本地生成第二动态口令,并与上位机输入的第一动态口令进行匹配,如匹配成功则登录成功,如不匹配则拒绝登录,从而登陆过程中进行了二次身份验证,即进行上位机上设备标识信息与下位机上预先存储的设备标识信息匹配的静态验证,以及上位机提供的第一动态口令与下位机本地生成的第二动态口令匹配的动态验证,从而增加了登陆难度,提高了安全性,并解决了传统加密通信中存在的时钟失步、事件失步,以及频繁的时钟校正、事件校正导致下位机性能降低、用户体验感差的问题。
【第二实施例】
如图2所示,本发明第二实施例提供的一种加密通信装置20,所述加密通信装置20包括身份验证模块21、请求发送模块23、设备验证模块25、动态口令验证模块27。
具体而言,身份验证模块21用于接收身份验证信息,判断所述身份验证信息与预先存储的身份验证信息是否对应匹配;
请求发送模块23用于响应于所述身份验证信息与预先存储的身份验证信息匹配,发送设备验证请求以请求获取设备标识信息;
设备验证模块25用于接收设备标识信息,判断所述设备标识信息与预先存储的设备标识信息是否对应匹配;
动态口令验证模块27用于响应于所述设备标识信息与预先存储的设备标识信息不匹配,进行以下步骤:
发送动态口令请求以请求获取第一动态口令;
接收所述第一动态口令;
本地生成第二动态口令;
判断所述第一动态口令与所述第二动态口令是否对应匹配,以得到判断结果;以及
根据所述判断结果返回表征是否登录成功的状态消息。
至于身份验证模块21、请求发送模块23、设备验证模块25、动态口令验证模块27的具体功能细节可参考前述第一实施例中步骤S11、S13、S15、S17的相关描述,在此不再赘述。此外,值得一提的是,身份验证模块21、请求发送模块23、设备验证模块25、动态口令验证模块27可以为软件模块,存储于非易失性存储器中且由一个或多个处理器执行相关操作以进行前述第一实施例中的步骤S11、S13、S15、S17。
【第三实施例】
如图3所示,本发明第三实施例提供的一种加密通信方法,例如包括以下步骤:
S31,发送身份验证信息,以供目标嵌入式设备进行身份验证;
S33,接收因所述身份验证成功而反馈的设备验证请求,获取并发送设备标识信息,以供所述目标嵌入式设备进行设备验证;
S35,接收因所述设备验证失败而反馈的动态口令请求,获取动态口令,其中所述动态口令通过令牌设备生成;以及
S37,发送所述动态口令至所述目标嵌入式设备,以供所述目标嵌入式设备进行动态口令验证。
具体而言,第二实施例可以应用于上位机与下位机之间的加密通信,其中,上位机可以为Web、PC等电脑端,也可以为手机端,下位机可以为多媒体播控终端等嵌入式设备,例如为西安诺瓦星云科技股份有限公司的Taurus卡,即上述目标嵌入式设备,具体地,第二实施例如第一实施例同样以上位机为手机端、下位机为多媒体播控终端为例,进行例如步骤S31~S37的实现:
手机端如步骤S31向多媒体播控终端发送身份验证信息,该身份验证信息包括用户ID和静态密码,多媒体播控终端接收该用户ID和静态密码,并与其数据库中预先存储的用户ID和静态密码进行身份验证匹配,当身份验证匹配成功,多媒体播控终端向手机端反馈设备标识请求,进行进一步地静态验证,手机端接收到该设备验证信息后,如步骤S33手机端将其对应的设备标识信息发送于多媒体播控终端,用于与多媒体播控终端数据库中预先存储的设备标识信息进行设备验证匹配,当设备验证失败(不匹配)时,多媒体播控终端向手机端反馈动态口令请求,进行进一步地动态验证,手机端接收到该动态口令请求后,如步骤35由令牌设备生成动态口令,比如由手机令牌生成动态口令,具体地动态口令生成方法如第一实施例步骤S1751~S1757所述,在此不再赘述,手机令牌通过该生成方法生成动态口令后,由手机端用户手动将生成的动态口令输入到手机端,亦或令牌设备与手机端建立消息通信方式,将动态口令输入到手机端,如步骤S37手机端将该动态口令发送于多媒体播控终端,用于多媒体播控终端上进行动态口令验证,具体该动态口令在多媒体播控终端上的验证过程如第一实施例步骤S173~S179所述,在此不再赘述。其中,令牌设备还支持特定密码的使用,在令牌设备上生成第一动态口令前,可以通过使用特定密码的验证提高安全性,具体地,令牌设备输入特定密码,该特定密码将与预先设置并存储于令牌设备的预设密码进行匹配,当特定密码与预设密码匹配时才允许使用令牌设备生成第一动态口令,限制了非法用户的登陆,从而实现只有手机端用户本人才能使用令牌设备的双因素认证。
综上所述,第二实施例下位机与上位机通信时,上位机用户首先输入用户ID和静态密码,下位机接收用户ID和静态密码,并与下位机预先存储的用户ID和静态密码进行身份验证匹配,如身份验证匹配成功,上位机向下位机发送设备标识信息,且下位机从数据库中读取近期登陆下位机的上位机对应的设备标识信息,实现与请求登录的上位机的设备标识信息进行设备验证匹配,如设备验证匹配则登录成功,如设备验证不匹配则上位机根据下位机的请求输入动态口令,同时下位机将本地生成动态口令,与上位机输入的动态口令进行匹配,如动态口令验证匹配成功则正常登录,如动态口令验证不匹配则拒绝登录,从而登陆过程中进行了二次身份验证,即通过上位机提供的设备标识信息与下位机上预先存储的设备标识信息匹配的静态验证,以及上位机通过下位机消息生成的动态口令与下位机本地生成的动态口令匹配的动态验证,从而增加了登陆难度,提高了安全性,并解决了传统加密通信中存在的时钟失步、事件失步,以及频繁的时钟校正、事件校正导致下位机性能降低、用户体验感差的问题。
【第四实施例】
如图4所示,本发明第四实施例提供的一种加密通信装置40,所述加密通信装置40包括验证信息发送模块41、标识信息发送模块43、动态口令获取模块45、动态口令发送模块47。
具体而言,验证信息发送模块41用于发送身份验证信息,以供目标嵌入式设备进行身份验证;
标识信息发送模块43用于接收因所述身份验证成功而反馈的设备验证请求,获取并发送设备标识信息,以供所述目标嵌入式设备进行设备验证;
动态口令获取模块45用于接收因所述设备验证失败而反馈的动态口令请求,获取动态口令,其中所述动态口令通过令牌设备生成;以及
动态口令发送模块47用于发送所述动态口令至所述目标嵌入式设备,以供所述目标嵌入式设备进行动态口令验证。
至于验证信息发送模块41、标识信息发送模块43、动态口令获取模块45、动态口令发送模块47的具体功能细节可参考前述第三实施例中步骤S31、S33、S35、S37的相关描述,在此不再赘述。此外,值得一提的是,验证信息发送模块41、标识信息发送模块43、动态口令获取模块45、动态口令发送模块47可以为软件模块,存储于非易失性存储器中且由一个或多个处理器执行相关操作以进行前述第三实施例中的步骤S31、S33、S35、S37。
【第五实施例】
如图5所示,本发明第五实施例提供的一种加密通信***50,所述加密通信***50包括:处理器51和存储器53;其中,存储器53存储由处理器51执行的指令,且所述指令使得所述处理器51执行操作以进行前述第一实施例、第三实施例所述的加密通信方法。
【第六实施例】
如图6所示,本发明第六实施例提供的一种计算机可读存储介质60,其为非易失性存储器且存储有程序代码,当所述程序代码被一个或多个处理器执行时实现前述第一实施例、第三实施例所述的加密通信方法。
此外,可以理解的是,前述各个实施例仅为本发明的示例性说明,在技术特征不冲突、结构不矛盾、不违背本发明的发明目的前提下,各个实施例的技术方案可以任意组合、搭配使用。
在本发明所提供的几个实施例中,应该理解到,所揭露的***,装置和/或方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元/模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多路单元或模块可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的,作为单元/模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多路网络单元上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元/模块可以集成在一个处理单元/模块中,也可以是各个单元/模块单独物理存在,也可以两个或两个以上单元/模块集成在一个单元/模块中。上述集成的单元/模块既可以采用硬件的形式实现,也可以采用硬件加软件功能单元/模块的形式实现。
上述以软件功能单元/模块的形式实现的集成的单元/模块,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干口令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)的一个或多个处理器执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种加密通信方法,其特征在于,包括:
接收身份验证信息,判断所述身份验证信息与预先存储的身份验证信息是否对应匹配;
响应于所述身份验证信息与预先存储的身份验证信息匹配,发送设备验证请求以请求获取设备标识信息;
接收设备标识信息,判断所述设备标识信息与预先存储的设备标识信息是否对应匹配;
响应于所述设备标识信息与预先存储的设备标识信息不匹配,进行以下步骤:
发送动态口令请求以请求获取第一动态口令;
接收所述第一动态口令;
本地生成第二动态口令;
判断所述第一动态口令与所述第二动态口令是否对应匹配,以得到判断结果;以及
根据所述判断结果返回表征是否登录成功的状态消息。
2.如权利要求1所述的加密通信方法,其特征在于,还包括:
响应于所述身份验证信息与预先存储的身份验证信息不匹配,返回登录失败消息。
3.如权利要求1所述的加密通信方法,其特征在于,还包括:
响应于所述设备标识信息与预先存储的设备标识信息匹配,返回登录成功消息。
4.如权利要求1所述的加密通信方法,其特征在于,所述本地生成第二动态口令,包括:
本地生成运算因子;
获取预先存储的令牌设备标识码和令牌秘钥;
基于令牌秘钥对所述运算因子和所述令牌设备标识码进行加密,以得到加密结果;以及
根据所述加密结果生成所述第二动态口令。
5.如权利要求4所述的加密通信方法,其特征在于,所述运算因子利用事件同步方法生成。
6.如权利要求4所述的加密通信方法,其特征在于,所述预先存储的令牌设备标识码和令牌秘钥以加密的方式进行存储。
7.一种加密通信装置,其特征在于,适于执行如权利要求1至6任意一项所述的加密通信方法、且包括:
身份验证模块,用于接收身份验证信息,判断所述身份验证信息与预先存储的身份验证信息是否对应匹配;
请求发送模块,用于响应于所述身份验证信息与预先存储的身份验证信息匹配,发送设备验证请求以请求获取设备标识信息;
设备验证模块,用于接收设备标识信息,判断所述设备标识信息与预先存储的设备标识信息是否对应匹配;
动态口令验证模块,用于响应于所述设备标识信息与预先存储的设备标识信息不匹配,进行以下步骤:
发送动态口令请求以请求获取第一动态口令;
接收所述第一动态口令;
本地生成第二动态口令;
判断所述第一动态口令与所述第二动态口令是否对应匹配,以得到判断结果;以及
根据所述判断结果返回表征是否登录成功的状态消息。
8.一种加密通信方法,其特征在于,包括:
发送身份验证信息,以供目标嵌入式设备进行身份验证;
接收因所述身份验证成功而反馈的设备验证请求,获取并发送设备标识信息,以供所述目标嵌入式设备进行设备验证;
接收因所述设备验证失败而反馈的动态口令请求,获取动态口令,其中所述动态口令通过令牌设备生成;以及
发送所述动态口令至所述目标嵌入式设备,以供所述目标嵌入式设备进行动态口令验证。
9.一种加密通信装置,其特征在于,包括:
验证信息发送模块,用于发送身份验证信息,以供目标嵌入式设备进行身份验证;
标识信息发送模块,用于接收因所述身份验证成功而反馈的设备验证请求,获取并发送设备标识信息,以供所述目标嵌入式设备进行设备验证;
动态口令获取模块,用于接收因所述设备验证失败而反馈的动态口令请求,获取动态口令,其中所述动态口令通过令牌设备生成;以及
动态口令发送模块,用于发送所述动态口令至所述目标嵌入式设备,以供所述目标嵌入式设备进行动态口令验证。
10.一种加密通信***,其特征在于,包括:处理器和存储器;其中所述存储器存储有所述处理器执行的指令,且所述指令使得所述处理器执行操作以进行如权利要求1至6和8任意一项所述的加密通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911251937.5A CN113037682A (zh) | 2019-12-09 | 2019-12-09 | 加密通信方法、加密通信装置及加密通信*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911251937.5A CN113037682A (zh) | 2019-12-09 | 2019-12-09 | 加密通信方法、加密通信装置及加密通信*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113037682A true CN113037682A (zh) | 2021-06-25 |
Family
ID=76451781
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911251937.5A Pending CN113037682A (zh) | 2019-12-09 | 2019-12-09 | 加密通信方法、加密通信装置及加密通信*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113037682A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116959546A (zh) * | 2022-04-19 | 2023-10-27 | 象帝先计算技术(重庆)有限公司 | Jtag接口控制方法、接口控制模块、芯片以及电子设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739403A (zh) * | 2012-06-19 | 2012-10-17 | 深圳市文鼎创数据科技有限公司 | 动态令牌的身份认证方法及装置 |
| JP2013235338A (ja) * | 2012-05-07 | 2013-11-21 | Keepdata Ltd | ストレージサービスシステム |
| CN103986577A (zh) * | 2014-05-07 | 2014-08-13 | 无锡北斗星通信息科技有限公司 | 基于面部识别的电子交易认证方法 |
| CN104579649A (zh) * | 2013-10-28 | 2015-04-29 | 腾讯科技(深圳)有限公司 | 身份识别方法和*** |
| CN105847245A (zh) * | 2016-03-21 | 2016-08-10 | 杭州朗和科技有限公司 | 一种电子邮箱登录认证方法和装置 |
| CN106529961A (zh) * | 2016-11-07 | 2017-03-22 | 郑州游爱网络技术有限公司 | 一种银行指纹付款处理方法 |
| CN107370765A (zh) * | 2017-09-06 | 2017-11-21 | 郑州云海信息技术有限公司 | 一种ftp服务器身份认证方法及*** |
| CN107453871A (zh) * | 2016-05-30 | 2017-12-08 | 阿里巴巴集团控股有限公司 | 口令生成方法、口令验证方法、支付方法及装置 |
| CN108183924A (zh) * | 2018-03-01 | 2018-06-19 | 深圳市买买提信息科技有限公司 | 一种登录验证方法及终端设备 |
-
2019
- 2019-12-09 CN CN201911251937.5A patent/CN113037682A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013235338A (ja) * | 2012-05-07 | 2013-11-21 | Keepdata Ltd | ストレージサービスシステム |
| CN102739403A (zh) * | 2012-06-19 | 2012-10-17 | 深圳市文鼎创数据科技有限公司 | 动态令牌的身份认证方法及装置 |
| CN104579649A (zh) * | 2013-10-28 | 2015-04-29 | 腾讯科技(深圳)有限公司 | 身份识别方法和*** |
| CN103986577A (zh) * | 2014-05-07 | 2014-08-13 | 无锡北斗星通信息科技有限公司 | 基于面部识别的电子交易认证方法 |
| CN105847245A (zh) * | 2016-03-21 | 2016-08-10 | 杭州朗和科技有限公司 | 一种电子邮箱登录认证方法和装置 |
| CN107453871A (zh) * | 2016-05-30 | 2017-12-08 | 阿里巴巴集团控股有限公司 | 口令生成方法、口令验证方法、支付方法及装置 |
| CN106529961A (zh) * | 2016-11-07 | 2017-03-22 | 郑州游爱网络技术有限公司 | 一种银行指纹付款处理方法 |
| CN107370765A (zh) * | 2017-09-06 | 2017-11-21 | 郑州云海信息技术有限公司 | 一种ftp服务器身份认证方法及*** |
| CN108183924A (zh) * | 2018-03-01 | 2018-06-19 | 深圳市买买提信息科技有限公司 | 一种登录验证方法及终端设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116959546A (zh) * | 2022-04-19 | 2023-10-27 | 象帝先计算技术(重庆)有限公司 | Jtag接口控制方法、接口控制模块、芯片以及电子设备 |
| CN116959546B (zh) * | 2022-04-19 | 2024-04-16 | 象帝先计算技术(重庆)有限公司 | Jtag接口控制方法、接口控制模块、芯片以及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111429254B (zh) | 一种业务数据处理方法、设备以及可读存储介质 | |
| CN110162936B (zh) | 一种软件内容的使用授权方法 | |
| US8369833B2 (en) | Systems and methods for providing authentication and authorization utilizing a personal wireless communication device | |
| US20120204245A1 (en) | Secure authentication using one-time passwords | |
| US20090158033A1 (en) | Method and apparatus for performing secure communication using one time password | |
| US20040097217A1 (en) | System and method for providing authentication and authorization utilizing a personal wireless communication device | |
| CN108259502A (zh) | 用于获取接口访问权限的鉴定方法、服务端及存储介质 | |
| CN112769834A (zh) | 身份验证***、方法和平台 | |
| US9124571B1 (en) | Network authentication method for secure user identity verification | |
| CN104702562B (zh) | 终端融合业务接入方法、***与终端 | |
| CN102158483A (zh) | 智能电视的接入认证方法、***、智能电视及认证服务器 | |
| JP2017152880A (ja) | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム | |
| CN111130798A (zh) | 一种请求鉴权方法及相关设备 | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| KR20070075715A (ko) | 일회용 비밀번호 생성방법과 일회용 비밀번호 인증 시스템 | |
| CN111405016B (zh) | 用户信息获取方法及相关设备 | |
| CN111460410A (zh) | 服务器登录方法、装置、***与计算机可读存储介质 | |
| CN1786864A (zh) | 一种计算机安全认证方法 | |
| KR20050053967A (ko) | 시간 동기 기반 일회용 비밀번호를 이용한 인증시스템 및인증방법 | |
| CN104301288A (zh) | 在线身份认证、在线交易验证、在线验证保护的方法与*** | |
| KR20050071768A (ko) | 원타임 패스워드 서비스 시스템 및 방법 | |
| CN113852628A (zh) | 一种去中心化的单点登录方法、装置及存储介质 | |
| CN113037682A (zh) | 加密通信方法、加密通信装置及加密通信*** | |
| EP2916509B1 (en) | Network authentication method for secure user identity verification | |
| CN113794571A (zh) | 一种基于动态口令的认证方法、装置及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |