CN111901303A - 设备认证方法和装置、存储介质及电子装置 - Google Patents
设备认证方法和装置、存储介质及电子装置 Download PDFInfo
- Publication number
- CN111901303A CN111901303A CN202010600243.4A CN202010600243A CN111901303A CN 111901303 A CN111901303 A CN 111901303A CN 202010600243 A CN202010600243 A CN 202010600243A CN 111901303 A CN111901303 A CN 111901303A
- Authority
- CN
- China
- Prior art keywords
- chip
- password
- authentication
- key
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 96
- 238000004891 communication Methods 0.000 claims description 20
- 238000001514 detection method Methods 0.000 claims description 10
- 230000002457 bidirectional effect Effects 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 6
- 238000005336 cracking Methods 0.000 abstract description 2
- JBWKIWSBJXDJDT-UHFFFAOYSA-N triphenylmethyl chloride Chemical compound C=1C=CC=CC=1C(C=1C=CC=CC=1)(Cl)C1=CC=CC=C1 JBWKIWSBJXDJDT-UHFFFAOYSA-N 0.000 description 40
- 238000012795 verification Methods 0.000 description 27
- 230000008569 process Effects 0.000 description 23
- 238000010586 diagram Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 10
- 238000004364 calculation method Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000005259 measurement Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005034 decoration Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 229920006342 thermoplastic vulcanizate Polymers 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种设备认证方法和装置、存储介质及电子装置。该方法包括:检测到第一对象对第一设备执行的登录操作,其中,所述登录操作用于使用目标帐号和第一密码登录所述第一设备;响应所述登录操作,通过第一芯片获取第一认证数据,其中,所述第一认证数据为所述第一芯片中存储的、与所述目标帐号对应的认证数据,所述第一芯片位于所述第一设备中、且独立于所述第一设备的操作系统运行;在所述第一密码与所述第一认证数据匹配的情况下,确定对所述第一对象认证通过,允许登录所述第一设备。本发明解决了相关技术中的身份验证方式存在由于用户密码易被破解和盗用导致的身份验证可靠性差的技术问题。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种设备认证方法和装置、存储介质及电子装置。
背景技术
在多种场景下会涉及到身份验证功能,例如,本地登录,远程连接等。身份验证也称为身份认证或身份鉴别,是指在计算机及计算机网络系统中确认操作者身份,从而确定该操作者是否具有对某种资源的访问和使用权限的过程,可以防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。
对于本地登录,操作系统一般将(例如,Window,Linux等)用户密码存储在系统所在磁盘上,例如,Linux系统一般将用户密码存储在密码文件/etc/passwd中。虽然一些操作系统使用了一些保护措施(例如,加密、哈希等技术),但无法避免被破解、被盗用的可能性。
对于网络连接,网络两端在建立连接后(例如,用户连接网站或者用户远程一台计算机),一般会进行身份认证。在这种应用场景下,不管是采用单向身份验证还是双向身份验证,用于验证的密钥是存储在磁盘文件中,该磁盘文件中可以包含数据库,以存储验证密钥。这种以磁盘文件形式存在的密钥易被随意复制、盗用、破坏,很难得到安全保障。
可见,相关技术中的身份验证方式,存在由于用户密码易被破解和盗用导致身份验证可靠性差的问题。
发明内容
本申请实施例提供了一种设备认证方法和装置、存储介质及电子装置,以至少解决相关技术中的身份验证方式存在由于用户密码易被破解和盗用导致的身份验证可靠性差的技术问题。
根据本申请实施例的一个方面,提供了一种设备认证方法,包括:检测到第一对象对第一设备执行的登录操作,其中,所述登录操作用于使用目标帐号和第一密码登录所述第一设备;响应所述登录操作,通过第一芯片获取第一认证数据,其中,所述第一认证数据为所述第一芯片中存储的、与所述目标帐号对应的认证数据,所述第一芯片位于所述第一设备中、且独立于所述第一设备的操作系统运行;在所述第一密码与所述第一认证数据匹配的情况下,确定对所述第一对象认证通过,允许登录所述第一设备。
根据本申请实施例的另一方面,还提供了一种设备认证装置,包括:第一检测单元,用于检测到第一对象对第一设备执行的登录操作,其中,所述登录操作用于使用目标帐号和第一密码登录所述第一设备;第一获取单元,用于响应所述登录操作,通过第一芯片获取第一认证数据,其中,所述第一认证数据为所述第一芯片中存储的、与所述目标帐号对应的认证数据,所述第一芯片位于所述第一设备中、且独立于所述第一设备的操作系统运行;第一确定单元,用于在所述第一密码与所述第一认证数据匹配的情况下,确定对所述第一对象认证通过,允许登录所述第一设备。
根据本申请实施例的又一方面,还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述设备认证方法。
根据本申请实施例的又一方面,还提供了一种电子装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,上述处理器通过计算机程序执行上述的设备认证方法。
在本申请实施例中,采用独立的芯片存储密码的方式,通过检测到第一对象对第一设备执行的登录操作,其中,登录操作用于使用目标帐号和第一密码登录第一设备;响应登录操作,通过第一芯片获取第一认证数据,其中,第一认证数据为第一芯片中存储的、与目标帐号对应的认证数据,第一芯片位于第一设备中、且独立于第一设备的操作系统运行;在第一密码与第一认证数据匹配的情况下,确定对第一对象认证通过,允许登录第一设备,由于将密码存储于独立的芯片(例如,TPCM)中,且该芯片独立于设备的操作系统执行,可以实现保护密码难以被破解、被盗用的目的,达到提高身份验证可靠性的技术效果,进而解决了相关技术中的身份验证方式存在由于用户密码易被破解和盗用导致的身份验证可靠性差的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本申请实施例的一种可选的设备认证方法的硬件环境的示意图;
图2是根据本申请实施例的一种可选的设备认证方法的流程图;
图3是根据本申请实施例的另一种可选的设备认证方法的流程图;
图4是根据本申请实施例的一种可选的设备认证方法的示意图;
图5是根据本申请实施例的另一种可选的设备认证方法的示意图;
图6是根据本申请实施例的又一种可选的设备认证方法的流程图;
图7是根据本申请实施例的一种可选的设备认证装置的结构示意图;
图8是根据本申请实施例的一种可选的电子装置的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或者术语适用于如下解释:
TCM:Trusted Cryptography Module,可信密码模块;
TPCM:Trusted Platform Control Module,可信平台控制模块;
USB:Universal Serial Bus,通用串行总线。
根据本申请实施例的一个方面,提供了一种设备认证方法。可选地,在本实施例中,上述设备认证方法可以应用于如图1所示的由终端101和服务器103所构成的硬件环境中。如图1所示,服务器103通过网络与终端101进行连接,可用于为终端或终端上安装的第一客户端提供服务(如游戏服务、应用服务等),可在服务器上或独立于服务器设置数据库,用于为服务器103提供数据存储服务,上述网络包括但不限于:广域网、城域网或局域网,终端101并不限定于PC、手机、平板电脑等。本申请实施例的设备认证方法可以由服务器103来执行,也可以由终端101来执行,还可以是由服务器103和终端101共同执行。其中,终端101执行本申请实施例的设备认证方法也可以是由安装在其上的第一客户端来执行。
可选地,作为一种可选的实施方式,图2是根据本申请实施例的一种可选的设备认证方法的流程图,如图2所示,该方法可以包括以下步骤:
步骤S202,检测到第一对象对第一设备执行的登录操作,其中,登录操作用于使用目标帐号和第一密码登录第一设备;
步骤S204,响应登录操作,通过第一芯片获取第一认证数据,其中,第一认证数据为第一芯片中存储的、与目标帐号对应的认证数据,第一芯片位于第一设备中、且独立于第一设备的操作系统运行;
步骤S206,在第一密码与第一认证数据匹配的情况下,确定对第一对象认证通过,允许登录第一设备。
通过上述步骤S202至步骤S206,检测到第一对象对第一设备执行的登录操作,其中,登录操作用于使用目标帐号和第一密码登录第一设备;响应登录操作,通过第一芯片获取第一认证数据,其中,第一认证数据为第一芯片中存储的、与目标帐号对应的认证数据,第一芯片位于第一设备中、且独立于第一设备的操作系统运行;在第一密码与第一认证数据匹配的情况下,确定对第一对象认证通过,允许登录第一设备,解决了相关技术中的身份验证方式存在由于用户密码易被破解和盗用导致的身份验证可靠性差的技术问题,提高了身份验证可靠性。
在步骤S202提供的技术方案中,检测到第一对象对第一设备执行的登录操作,其中,登录操作用于使用目标帐号和第一密码登录第一设备。
用户可以使用用户名和密码登录到第一设备。在进行登录时,第一设备的屏幕上可以显示有帐号(例如,用户名)的输入框和密码的输入框,或者,第一设备可以调用上次登录时所使用的帐号、或者系统记录的帐号,并在屏幕上显示调用的帐号,同时显示密码的输入框。
用户(第一对象)可以通过第一设备的输入输出部件输入目标帐号和第一密码,或者,第一密码,并对该第一设备执行登录操作,以请求使用目标帐号和第一密码登录该第一设备。上述输入输出部件可以包括但不限于以下至少之一:触摸屏,键盘,鼠标,手柄,遥控器等等。上述登录操作可以包括但不限于以下至少之一:点击操作,双击操作,滑动操作等等。
在检测到上述登录操作之后,第一设备可以获取该目标帐号和第一密码,并使用该目标帐号和第一登录密码对第一对象进行身份认证。
在步骤S204提供的技术方案中,响应登录操作,通过第一芯片获取第一认证数据,其中,第一认证数据为第一芯片中存储的、与目标帐号对应的认证数据,第一芯片位于第一设备中、且独立于第一设备的操作系统运行。
第一芯片可以是一种可集成在可信计算平台中,用于建立和保障信任源点的基础核心模块,可以为可信计算平台提供主动度量、主动控制、可信认证、加密保护、可信报告等功能,该第一芯片可以是TPCM芯片,该第一设备可以是可信计算平台中的一个网络端。
TPCM支撑的可信计算平台中,TPCM是平台中第一个上电并运行的部件,在平台从引导到正常工作的整个过程中,TPCM应并行于宿主计算组件(第一设备)独立工作并不受其影响,是可信计算功能支撑的基础部件,是可信计算平台的信任源点。
需要说明的是,对于除了TPCM以外的其他芯片,只要采用相同或者类似的方式为宿主计算部件的安全保证,均可用于本实施例。
对于第一设备,第一芯片可以集成在第一设备中,第一设备可以包含第一芯片的宿主计算部件,该第一芯片是第一设备中第一个上电并运行的部件,且独立于所述第一设备的操作系统执行,并在第一设备启动到运行的过程中,对第一设备进行多级可信度量,以保证第一设备的运行安全。
第一芯片中可以集成有可信密码模块,即,TCM,该可信密码模块中可以保存有:第一设备的登录帐号和登录帐号对应的登录密码,在登录帐号有多个的情况下,登录密码也可以有多个。登录帐号和登录密码可以是一一对应的关系。通过TCM,第一芯片可以对第一设备的以下过程中的至少之一提供安全保护:本地登录时的身份验证,远程控制时的身份验证。
对于本地登录时的身份验证,在检测到上述登录操作之后,第一芯片可以获取到上述目标帐号和第一密码,并获取保存的第一认证数据,该第一认证数据是与目标帐号对应的认证数据,该第一认证数据用于对目标帐号进行身份认证。
在步骤S206提供的技术方案中,在第一密码与第一认证数据匹配的情况下,确定对第一对象认证通过,允许登录第一设备。
第一认证数据可以有多种形式,例如,其可以是以原始密码存储的数据,或者,以原始密码的转换存储的数据,上述原始密码的转换方式可以包括但不限于以下至少之一:哈希,加密。
在得到第一认证数据之后,第一芯片可以将第一密码与第一认证数据进行匹配,确定两者是否匹配,例如,第一芯片可以确定第一密码与第一认证数据(第一认证数据为原始密码)是否相同,又例如,第一芯片可以确定第一密码的哈希值与第一认证数据(第一认证数据为原始密码的哈希值)是否相同,再例如,第一芯片可以确定第一密码与对第一认证数据进行解密后得到的明文(第一认证数据为对原始密码进行加密后得到的数据)是否相同。
如果第一密码与第一认证数据匹配,则可以确定第一用户为合法用户,也就是,是有权利的用户身份,对第一对象的身份认证通过,允许登录该第一设备。
需要说明的是,本地登录时的身份认证过程可以是由第一芯片执行的,或者,由第一芯片中的特定硬件模块(例如,TCM)执行的。具体的实现过程本实施例中不作限定,只要能够通过独立芯片存储密码认证数据、并通过该认证数据进行登录时的身份热证的方式,均可用于本实施例。
需要说明的是,除了本地登录以外,对于其他登录方式,例如,登录到目标应用的客户端,可以采用与此类似的方式进行身份认证,在此情况下,可以将登录帐号和登录密码保存到运行该客户端的终端设备的TPCM芯片或者类似的芯片中,或者,保存到目标应用的后台服务器的TPCM芯片或者类似的芯片中,进行身份认证的方式与前述本地登录中进行身份认证的方式类似,在此不作赘述。
可选地,在本实施例中,在通过第一芯片获取第一认证数据之后,上述方法还包括:
S11,在第一密码与第一认证数据不匹配的情况下,确定对第一对象认证未通过,不允许登录第一设备;
S12,通过第一设备显示提示信息,其中,提示信息用于提示对第一对象认证未通过。
如果第一密码与第一认证数据不匹配,则可以确定第一用户为非法用户,也就是,不是有权利的用户身份,对第一对象的身份认证未通过,不允许登录该第一设备。
第一芯片或者第一设备可以生成提示信息,或者,调取预先保存的提示信息,并通过第一设备的屏幕显示该提示信息,该提示信息用于提示第一对象认证未通过。
用户可以重新输入登录帐号和登录密码,例如,可以输入与目标帐号不同的帐号,或者,与第一密码不同的密码,或者,与目标帐号不同的帐号和与第一密码不同的密码,以使用新输入的帐号和密码重新尝试登录。重新登录的方式与上述本地登录的方式类似,在此不作赘述。
通过本实施例,在用户身份认证未通过时,通过提示信息提示认证未通过,可以方便用户知晓认证结果,提高用户登录效率。
作为一种可选的实施例,在通过第一芯片获取第一认证数据之后,上述方法还包括:
S21,通过第一芯片使用第一密钥对中的第一密钥,对第一认证数据进行解密,得到第二密码,其中,第一密钥对存储在第一芯片中,第一认证数据为使用第一密钥对中的第二密钥对第二密码加密后得到的密文。
为保证密码的安全,除了将密码存储于独立的芯片(第一芯片,例如,TPCM芯片)中以外,还可以将密码经过该独立芯片所内置的密钥进行加密后保存,使得很难做到破解、盗用密码。
第一芯片可以内置有第一密钥对,该第一密钥对可以保存在TCM中,或者,其他位置。第一密钥对包含第一密钥和第二密钥,该第一密钥可以是私钥,也可以是公钥,该第二密钥可以是私钥,也可以是公钥。第一密钥和第二密钥的具体形式,本实施例中不作限定。
例如,密码存储于独立的TPCM芯片中,且密码经过TPCM内置密钥进行加密保存,破解、盗用很难做到。
该第一认证数据可以是经由第一芯片内置的密钥(第二密钥)对第二密码(目标帐号当前的密码)进行加密后得到的密文。为了将用户输入的第一密码与目标帐号的当前密码匹配,第一芯片可以使用第一密钥对第一认证数据进行解密,得到第二密码,也就是,目标帐号的当前密码。
在得到第二密码之后,第一芯片可以将第一密码与第二密码进行比较,如果两者相同,判定用户输入的帐号和密码匹配,认证通过。否则,判定用户输入的帐号和密码不匹配,认证不通过。
通过本实施例,通过对密码进行加密并保存,可以防止密码被破解盗用,提高用户身份认证的可靠性。
第一芯片可以内置身份验证密码模块,用户登录时输入的密码存储在该模块中。并且,密码设定、校验与变更可以通过专有接口进行操作,以保证密码存储位置、密码校验、密码更新的安全性。
作为一种可选的实施例,在检测到第一对象对第一设备执行的登录操作之前,上述方法还包括:
S31,检测到第二对象对第一设备执行的设置操作,其中,设置操作用于将目标帐号的登录密码设置为第二密码;
S32,响应设置操作,通过第一芯片使用第二密钥对第二密码进行加密,得到第一认证数据;
S33,通过第一芯片将第一认证数据保存到第一芯片中。
如果设置的登录帐号之前未使用过,或者,使用之后被删除、关闭等,用户(第二对象)可以进行密码设置。
用户可以操作第一设备的界面进入到登录帐号和登录密码的设置界面,在界面中的对应位置输入目标帐号和第二密码,以指示将目标帐号的登录密码设置为第二密码。
在检测到上述设置操作(可以包括上述输入帐号和密码的操作,以及回车等触发设置的操作)之后,第一设备可以获取目标帐号和第二密码,并将目标帐号和第二密码传输给第一芯片。
第一芯片或者第一芯片中的密码模块(例如,TCM)可以获取该目标帐号和第二密码,使用第二密钥对第二密码进行加密,得到第一认证数据,并将该第一认证数据保存到第一芯片或者第一芯片中的密码模块中。
需要说明的是,第一对象和第二对象可以是相同的对象,也可以是不同的对象。也即,设置登录帐号和登录密码和使用登录帐号和登录密码的可以是相同对象,也可以是不同对象。
通过本实施例,通过检测用户的设置操作并通过独立芯片进行登录密码进行加密并保存,可以避免密码设定过程中的密码泄露,提高用户的信息安全。
作为一种可选的实施例,在通过第一芯片获取第一认证数据之后,上述方法还包括:
S41,检测到第三对象对第一设备执行的更新操作,其中,更新操作用于将目标帐号的登录密码由第三密码更新为第四密码;
S42,响应更新操作,在第三密码与第一认证数据匹配的情况下,通过第一芯片获取第二认证数据,其中,第二认证数据为使用第二密钥对第四密码进行加密得到的密文;
S43,通过第一芯片将第二认证数据保存到第一芯片中。
对于已经设置的登录帐号和登录密码,用户(第三对象)可以通过操作第一设备进行密码更改。
用户可以操作第一设备的界面进入到登录密码的更改界面,在界面中的对应位置输入目标帐号、当前密码(原密码,例如,第三密码)、更改后的密码(新密码,例如,第四密码),以指示将目标帐号的登录密码由第三密码更改为第四密码。
在检测到上述更新操作(可以包括上述输入帐号和密码的操作,以及回车等触发更新的操作)之后,第一设备可以获取目标帐号、第三密码和第四密码,并将目标帐号、第三密码和第四密码传输给第一芯片。
第一芯片或者第一芯片中的密码模块(例如,TCM)可以获取该目标帐号、第三密码和第四密码,检测第三密码是否正确,也就是,用户是否输入了正确的原密码。如果第三密码和第一认证数据匹配,则判定用户输入了正确的原密码,允许更改密码。
第一芯片或者第一芯片中的密码模块可以使用第二密钥对新密码(例如,第四密码)进行加密,得到第二认证数据,并将该第二认证数据保存到第一芯片或者第一芯片中的密码模块中。
需要说明的是,第一对象和第三对象可以是相同的对象,也可以是不同的对象。也即,更改登录密码和使用登录密码的可以是相同对象,也可以是不同对象。
通过本实施例,通过检测用户的更新操作并通过独立芯片进行登录密码的更新并保存,可以避免密码更新过程中的密码泄露,提高用户的信息安全。
作为一种可选的实施例,在确定对第一对象认证通过之后,上述方法还包括:
S51,建立目标连接,其中,目标连接为第一设备与第二设备之间进行网络通信的专用通道连接;
S52,通过目标连接使用第一芯片和第二芯片对第一设备和第二设备进行双向认证,其中,第二芯片位于第二设备中、且独立于第二设备的操作系统运行;
S53,在对第一设备和第二设备双向认证通过的情况下,保持目标连接。
在进行远程连接的过程中,第一设备可以使用第一芯片进行远程连接中的身份认证,提高远程连接的信息安全。
上述远程连接可以是第一设备和第二设备之间的远程连接,该第一设备可以是客户端,该第二设备可以是服务端。需要说明的是,任何网络两端都可作为服务端或客户端。
为了保证网络两端主体的通信是建立上安全可靠基础之上的连接,可以建立第一设备和第二设备之间的专用通道连接,即,目标连接。上述目标连接可以是基于TPCM可信连接,也就是,基于TPCM的可信状态度量进行可信连接的建立。
为了保证通信连接两端各自身份信息的正确性,可以在建立的专用通道连接上进行身份认证,该身份认证可以是单向认证,例如,客户端对服务端的单向认证,或者,服务端对客户端的单向认证;或者,该身份认证也可以是双向认证,例如,客户端和服务端之间的双向认证。
例如,在建立了专用通道连接之后,第一设备的第一芯片和第二设备的第二芯片可以通过建立的专用通道连接对第一设备和第二设备进行双向身份认证。该第二芯片位于第二设备中、且独立于第二设备的操作系统运行,例如,第二芯片可以是TPCM芯片或者类似的芯片。
如果双向身份认证均通过,可以判定通信的双方是可信任的,保持两者之间的通信连接(例如,目标连接)。如果双向身份认证未通过(至少一方身份认证未通过),可以判定通信的双方中至少有一方是不可信的,断开两者之间的通信连接。
例如,网络通信中的专用通道可以保证网络两端主体的通信是建立上安全可靠基础之上的连接,为保证各自的身份信息正确,可以通过TPCM内置的身份验证模块进行身份认证,身份信息的正确性可以得到保证。
同时身份验证不能抛开专用通道连接单独存在,无专用通道连接基础,身份验证将失去安全基础。故TPCM内部可以同时支持可信状态度量(保证验证时终端处于可信状态)和身份验证两大功能。
通过本实施例,通过建立网络两端的专用通道连接,并在专用通道连接的基础上进行两端的双向身份认证,可以提高网络通信的安全性。
作为一种可选的实施例,通过目标连接进行第一设备和第二设备之间的双向认证包括:
S61,通过目标连接接收第二设备发送的第一随机数;
S62,通过第一芯片或者第三设备使用第二密钥对中的第三密钥,对第一随机数或者第一随机数的哈希值进行加密,得到第一密文,其中,第二密钥对存储在第一芯片或者第三设备中,第三设备为通过第一接口连接到第一设备上、且与目标帐号匹配的外接设备;
S63,通过目标连接将第一密文和第一电子证书发送给第二设备,以使第二设备使用第一密文和第一电子证书对第一设备进行身份认证,其中,第一电子证书存储在第一芯片中,第一电子证书用于唯一标识第一芯片。
在进行第一设备的身份认证时,第一设备可以通过专用通道连接接收第二设备发送的第一随机数。
独立芯片或者独立芯片中的加密模块可以包含公私钥密钥对,还可以包含电子证书。该电子证书是表示该独立芯片身份的唯一标识,用于网络通信时的身份验证。对于第一芯片,该第一芯片或者其加密模块中可以包含第二密钥对,该第二密钥对与前述第一密钥对可以是相同的密钥对,也可以是不同密钥对,还可以包含第一电子证书,该第一电子证书为该第一芯片身份的唯一标识。
对于第一随机数,可以直接使用第二密钥对中的第三密钥,对该随机数进行加密,得到第一密文;或者,对该第一随机数进行哈希计算,得到该第一随机数的哈希值,并使用第二密钥对中的第三密钥,对该第一随机数的哈希值进行加密,得到第一密文。
上述加密操作可以是由第一芯片或者第一芯片中的加密模块(例如,身份验证私钥模块)执行的,或者,是由该第一设备的外接设备(例如,第三设备)执行的。
该第三设备可以是与目标帐号匹配的外接设备(例如,UKey),并且通过第一接口连接到第一设备上,第三设备和第一设备之间的连接可以是有线连接,例如,通过USB口或其他有线接口进行的连接,也可以是无线连接,例如,通过如蓝牙、Wi-Fi等无线方式进行连接。
在得到第一密文之后,第一芯片可以将第一密文和第一电子证书通过目标连接发送给第二设备,或者,第二设备的第二芯片,以使第二设备可以使用第一密文和第一电子证书对第一设备进行身份认证。
通过本实施例,通过独立芯片对对端设备发送的随机数进行加密,并将加密得到的密文和电子证书发送给对端进行身份认证,可以提高身份认证的可靠性,进而提高网络连接的安全性。
作为一种可选的实施例,在通过目标连接接收第二设备发送的第一随机数之前,上述方法还包括:
S71,通过第二芯片生成第一随机数;
S72,通过目标连接将第一随机数发送给第一设备。
对于第二设备,第一设备接收到的第一随机数可以是由第二设备中的第二芯片生成的。第二芯片可以产生一个随机数,并通过与第一设备之间的专用通道连接将该随机数发送给第一设备。第一设备对该随机数进行上述处理,并将第一密文和第一电子证书发送给第二设备,以便第二设备根据该第一密文和第一电子证书对第一设备进行身份认证。
在通过目标连接将第一密文和第一电子证书发送给第二设备之后,上述方法还包括:
S73,通过目标连接接收第一密文和第一电子证书;
S74,对第一电子证书进行核验,确定第一电子证书的合法性;
S75,在对第一电子证书核验通过的情况下,从第一电子证书中提取出第四密钥,其中,第四密钥为第二密钥对中除了第三密钥以外的密钥;
S76,使用第四密钥对第一密文进行解密,得到第一解密数据;
S77,在第一解密数据与第一随机数或者第一随机数的哈希值相同的情况下,确定对第一设备认证通过。
在将第一随机数发送给第一设备之后,第二设备可以等待接收第一设备通过目标连接发送的身份验证信息(例如,第一密文和第一电子证书)。上述等待过程可以有一定的时间限制,例如,超过预设时间阈值之后,自动断开目标连接。
第二设备在接收到第一密文和第一电子证书之后,可以首先对第一电子证书进行核验,核验该电子证书的真实性、可靠性,从而确定该第一电子证书是否合法,上述核验可以是CA(Certificate Authority,数字证书认证中心)核验。
在对第一电子证书核验通过时,可以从第一电子证书中提取出第四密钥,该第四密钥可以是第二密钥对中的公钥,对应地,第三密钥可以是第二密钥对中的私钥。使用该第四密钥可以对第一密文进行解密,得到第一解密数据。如果该第一解密数据与第一随机数或者第一随机数的哈希值相同,则判定对第一设备认证通过,保持目标连接。
需要说明的是,上述过程可以是由第二设备、第二芯片或者第二设备和第二芯片共同完成的;将第一解密数据与第一随机数比较还是第一随机数的哈希值比较可以根据设备之间的约定或者预设的配置信息确定,本实施例中对此不作限定。
通过本实施例,通过对对端设备发送电子证书进行核验,在核验通过时对密文进行解密,并根据解密数据对对端设备进行身份认证,可以身份认证的可靠性,进而提高网络连接的安全性。
作为一种可选的实施例,通过目标连接进行第一设备和第二设备之间的双向认证包括:
S81,通过第一芯片或者第四设备生成第二随机数,其中,第四设备为通过第二接口连接到第一设备上、且与目标帐号匹配的外接设备;
S82,通过目标连接将第二随机数发送给第二设备;
S83,通过目标连接接收第二密文和第二电子证书,其中,第二电子证书存储在第二芯片中,第二电子证书用于唯一标识第二芯片,第二密文为使用第三密钥对中的第五密钥对第二随机数或者第二随机数的哈希值进行加密得到的密文,第三密钥对存储在第二芯片中;
S84,对第二电子证书进行核验,确定第二电子证书的合法性;
S85,在对第二电子证书核验通过的情况下,从第二电子证书中提取出第六密钥,其中,第六密钥为第三密钥对中除了第五密钥以外的密钥;
S86,使用第六密钥对第二密文进行解密,得到第二解密数据;
S87,在第二解密数据与第二随机数、或者第二随机数的哈希值相同的情况下,确定对第二设备认证通过。
在进行第二设备的身份认证时,第一设备产生一个随机数,将随机数通过专用通道连接发送给第二设备;等待接收第二设备的通过专用通道连接发送的身份验证信息,并根据接收的身份验证信息对第二设备进行身份认证。在第二设备的身份认证过程中第一设备执行的操作与前述在第一设备的身份认证过程中第二设备执行的操作类似,在此不做赘述。
与第一设备的身份认证过程的区别主要在于:
随机数是由第一芯片或者第四设备生成的,该第四设备与前述第三设备可以是相同,或者,类似的设备,例如,两者均为与目标帐号对应的Ukey。
通过本实施例,通过对对端设备发送电子证书进行核验,在核验通过时对密文进行解密,并根据解密数据对对端设备进行身份认证,可以身份认证的可靠性,进而提高网络连接的安全性。
作为一种可选的实施例,在通过目标连接将第二随机数发送给第二设备之后,上述方法还包括:
S91,通过目标连接接收第一设备发送的第二随机数;
S92,通过第二芯片使用第五密钥对第二随机数或者第二随机数的哈希值进行加密,得到第二密文;
S93,通过目标连接将第二密文和第二电子证书发送给第一设备。
在进行第二设备的身份认证时,第二设备通过专用通道连接接收第一设备发送的第二随机数,使用第五密钥对第二随机数或者第二随机数的哈希值进行加密,得到第二密文,并将第二密文和第二电子证书发送给第一设备。在第二设备的身份认证过程中第二设备执行的操作与前述在第一设备的身份认证过程中第一设备执行的操作类似,在此不做赘述。
需要说明的是,第一设备和第二设备可以是网络中相同或者类似的设备,第一芯片和第二芯片可以是相同类型或者类似的芯片(例如,TPCM芯片),两者的功能类似,所执行的操作也是类似的,上述对第一芯片的描述对第二芯片也是可以适用的。
通过本实施例,通过独立芯片对对端设备发送的随机数进行加密,并将加密得到的密文和电子证书发送给对端进行身份认证,可以提高身份认证的可靠性,进而提高网络连接的安全性。
需要说明的是,网络连接过程中的身份认证和本地连接中的身份认证没有必然的联系,即,不必执行本地连接的身份认证,网络连接过程中的身份认证可以作为单独的方案执行。此外,网络连接过程中的身份认证可以是单向认证,也可以是双向认证;在双向认证的过程中,可以先执行客户端的身份认证,也可以先执行服务端的身份认证,具体的身份认证过程可以根据需要设定,本实施例中对此不作具体限定。
下面结合可选示例对本申请实施例中的设备认证方法进行解释说明。在本示例中,第一芯片和第二芯片均为TPCM芯片。
在本地登录与远程连接这两种应用场景,总会涉及到身份验证功能。TPCM可以内置提供身份验证功能,以进一步加强本地登录及网络连接身份的合法性。
如图3所示,本示例中的设备认证方法的流程可以包括以下步骤:
步骤S302,使用TPCM对用户的本地登录进行身份验证。
如图4所示,用户的密码可以存储于独立的TPCM芯片中,且密码经过TPCM内置密钥进行加密保存,破解、盗用很难做到。TPCM可以内置身份验证密码模块,例如,TCM模块,用户登录时输入的密码存储在该模块中。此外,密码设定、校验与变更可以通过专有接口进行操作,这样保证了密码存储位置、密码校验、密码更新的安全性。
通过TPCM存储密码,密码存储位置独立与操作系统,只有有权的用户身份可以读取或修改;校验程序内置在TPCM固件中,不会被改写。
步骤S304,建立客户端和服务端的专用通道连接。
TPCM芯片可以内置密钥管理模块,支持密钥私钥子生成、密钥私钥不可导出、密钥私钥加密存储,使得密钥私钥可得到极高的安全保护。此外,TPCM可以内置身份验证私钥模块,该模块包含一对公私钥密钥对及电子证书。电子证书是表示TPCM身份的唯一标识,用于网络通信时的身份验证。
远程连接可以是客户端(作用同前述第一设备)和服务端(作用同前述第二设备)之间的远程网络连接。上述远程连接可以是两端之间的专用通道连接,任何网络两端都可作为服务端或者客户端。
步骤S306,通过建立的专用通道连接进行远程连接的双向身份验证。
网络通信中的专用通道可以保证网络两端主体的通信是建立上安全可靠基础之上的连接,但不能保证各自的身份信息是否正确。通过TPCM内置身份验证模块,身份验证可以得到保证。同时身份验证不能抛开专用通道连接单独存在,无专用通道连接基础,身份验证将失去安全基础,因此,TPCM内部可以同时支持可信状态度量及身份验证两大功能。
如图5和图6所示,在建立了专用通道连接之后,可以在上述专用通道连接的基础上进行客户端和服务端之间的双向身份认证。客户端机器如果使用UKey进行验证,无需本机TPCM生效。故在图5和图6中使用“TPCM/Ukey”表示二者可使用其一。
客户端在网络两端建立专用通道连接之后,可以再次发起连接请求。将TPCM或者Ukey内部生成的随机数发送给对端。
服务端接收到随机数之后,使用TPCM进行哈希计算并用内置私钥对结果进行签名。签名完成后,将TPCM电子证书以及密文发送回客户端。
客户端接收到来自服务端的数据之后,对证书进行核验(例如,CA核验);在判定电子证书是合法证书后,提取其中的公钥,并对密文进行验签。之后,客户端用TPCM或UKey对之前发送的随机数进行哈希计算,并将其与验签后的数据进行比较。比较结果不相等,认证不成功,断开连接,否则,验证成功,验证服务端阶段结束,开始下一阶段,由对端验证客户端。
服务端验证客户端的通信流程与客户端验证服务端的通信流程是类似的。不同点在于:由服务端先发起连接,将自身TPCM内部产生的随机数发送到客户端;客户端收到随机数后,用客户端的TPCM或UKey对随机数进行哈希计算并用内部私钥进行签名。之后的流程与前述类似,在此不做赘述。
通过本示例,TPCM内置提供身份验证功能,可以提高本地登录和网络连接身份的合法性。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
根据本申请实施例的另一个方面,还提供了一种用于实施上述设备认证方法的设备认证装置。图7是根据本申请实施例的一种可选的设备认证装置的结构示意图,如图7所示,该装置可以包括:
(1)第一检测单元72,用于检测到第一对象对第一设备执行的登录操作,其中,登录操作用于使用目标帐号和第一密码登录第一设备;
(2)第一获取单元74,与第一检测单元72相连,用于响应登录操作,通过第一芯片获取第一认证数据,其中,第一认证数据为第一芯片中存储的、与目标帐号对应的认证数据,第一芯片位于第一设备中、且独立于第一设备的操作系统运行;
(3)第一确定单元76,与第一获取单元74相连,用于在第一密码与第一认证数据匹配的情况下,确定对第一对象认证通过,允许登录第一设备。
需要说明的是,该实施例中的第一检测单元72可以用于执行上述步骤S202,该实施例中的第一获取单元74可以用于执行上述步骤S204,该实施例中的第一确定单元76可以用于执行上述步骤S206。
通过上述模块,检测到第一对象对第一设备执行的登录操作,其中,登录操作用于使用目标帐号和第一密码登录第一设备;响应登录操作,通过第一芯片获取第一认证数据,其中,第一认证数据为第一芯片中存储的、与目标帐号对应的认证数据,第一芯片位于第一设备中、且独立于第一设备的操作系统运行;在第一密码与第一认证数据匹配的情况下,确定对第一对象认证通过,允许登录第一设备,解决了相关技术中的身份验证方式存在由于用户密码易被破解和盗用导致的身份验证可靠性差的技术问题,提高了身份验证可靠性。
作为一种可选的实施例,上述装置还包括:
解密单元,用于在通过第一芯片获取第一认证数据之后,通过第一芯片使用第一密钥对中的第一密钥,对第一认证数据进行解密,得到第二密码,其中,第一密钥对存储在第一芯片中,第一认证数据为使用第一密钥对中的第二密钥对第二密码加密后得到的密文。
作为一种可选的实施例,上述装置还包括:
第二检测单元,用于在检测到第一对象对第一设备执行的登录操作之前,检测到第二对象对第一设备执行的设置操作,其中,设置操作用于将目标帐号的登录密码设置为第二密码;
加密单元,用于响应设置操作,通过第一芯片使用第二密钥对第二密码进行加密,得到第一认证数据;
第一保存单元,用于通过第一芯片将第一认证数据保存到第一芯片中。
作为一种可选的实施例,上述装置还包括:
第三检测单元,用于在通过第一芯片获取第一认证数据之后,检测到第三对象对第一设备执行的更新操作,其中,更新操作用于将目标帐号的登录密码由第三密码更新为第四密码;
第二获取单元,用于响应更新操作,在第三密码与第一认证数据匹配的情况下,通过第一芯片获取第二认证数据,其中,第二认证数据为使用第二密钥对第四密码进行加密得到的密文;
第二保存单元,用于通过第一芯片将第二认证数据保存到第一芯片中。
作为一种可选的实施例,上述装置还包括:
建立单元,用于在确定对第一对象认证通过之后,建立目标连接,其中,目标连接为第一设备与第二设备之间进行网络通信的专用通道连接;
认证单元,用于通过目标连接使用第一芯片和第二芯片对第一设备和第二设备进行双向认证,其中,第二芯片位于第二设备中、且独立于第二设备的操作系统运行;
保持单元,用于在对第一设备和第二设备双向认证通过的情况下,保持目标连接。
作为一种可选的实施例,认证单元包括:
第一接收模块,用于通过目标连接接收第二设备发送的第一随机数;
第一加密模块,用于通过第一芯片或者第三设备使用第二密钥对中的第三密钥,对第一随机数或者第一随机数的哈希值进行加密,得到第一密文,其中,第二密钥对存储在第一芯片或者第三设备中,第三设备为通过第一接口连接到第一设备上、且与目标帐号匹配的外接设备;
第一发送模块,用于通过目标连接将第一密文和第一电子证书发送给第二设备,以使第二设备使用第一密文和第一电子证书对第一设备进行身份认证,其中,第一电子证书存储在第一芯片中,第一电子证书用于唯一标识第一芯片。
作为一种可选的实施例,认证单元还包括:
第一生成模块,用于在通过目标连接接收第二设备发送的第一随机数之前,通过第二芯片生成第一随机数;
第二发送模块,用于通过目标连接将第一随机数发送给第一设备;
第二接收模块,用于在通过目标连接将第一密文和第一电子证书发送给第二设备之后,通过目标连接接收第一密文和第一电子证书;
第一核验模块,用于对第一电子证书进行核验,确定第一电子证书的合法性;
第一提取模块,用于在对第一电子证书核验通过的情况下,从第一电子证书中提取出第四密钥,其中,第四密钥为第二密钥对中除了第三密钥以外的密钥;
第一解密模块,用于使用第四密钥对第一密文进行解密,得到第一解密数据;
第一确定模块,用于在第一解密数据与第一随机数或者第一随机数的哈希值相同的情况下,确定对第一设备认证通过。
作为一种可选的实施例,认证单元包括:
第二生成模块,用于通过第一芯片或者第四设备生成第二随机数,其中,第四设备为通过第二接口连接到第一设备上、且与目标帐号匹配的外接设备;
第三发送模块,用于通过目标连接将第二随机数发送给第二设备;
第三接收模块,用于通过目标连接接收第二密文和第二电子证书,其中,第二电子证书存储在第二芯片中,第二电子证书用于唯一标识第二芯片,第二密文为使用第三密钥对中的第五密钥对第二随机数或者第二随机数的哈希值进行加密得到的密文,第三密钥对存储在第二芯片中;
第二核验模块,用于对第二电子证书进行核验,确定第二电子证书的合法性;
第二提取模块,用于在对第二电子证书核验通过的情况下,从第二电子证书中提取出第六密钥,其中,第六密钥为第三密钥对中除了第五密钥以外的密钥;
第二解密模块,用于使用第六密钥对第二密文进行解密,得到第二解密数据;
第二确定模块,用于在第二解密数据与第二随机数、或者第二随机数的哈希值相同的情况下,确定对第二设备认证通过。
作为一种可选的实施例,认证单元还包括:
第四接收模块,用于在通过目标连接将第二随机数发送给第二设备之后,通过目标连接接收第一设备发送的第二随机数;
第二加密模块,用于通过第二芯片使用第五密钥对第二随机数或者第二随机数的哈希值进行加密,得到第二密文;
第四发送模块,用于通过目标连接将第二密文和第二电子证书发送给第一设备。
作为一种可选的实施例,上述装置还包括:
第二确定单元,用于在通过第一芯片获取第一认证数据之后,在第一密码与第一认证数据不匹配的情况下,确定对第一对象认证未通过,不允许登录第一设备;
显示单元,用于通过第一设备显示提示信息,其中,提示信息用于提示对第一对象认证未通过。
此处需要说明的是,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在如图1所示的硬件环境中,可以通过软件实现,也可以通过硬件实现,其中,硬件环境包括网络环境。
根据本申请实施例的又一个方面,还提供了一种用于实施上述设备认证方法的电子装置,该电子装置可以是服务器、终端、或者其组合。
图8是根据本申请实施例的一种电子装置的结构框图,如图8所示,该电子装置包括存储器802和处理器804,该存储器802中存储有计算机程序,该处理器804被设置为通过计算机程序执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述电子装置可以位于计算机网络的多个网络设备中的至少一个网络设备。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,检测到第一对象对第一设备执行的登录操作,其中,登录操作用于使用目标帐号和第一密码登录第一设备;
S2,响应登录操作,通过第一芯片获取第一认证数据,其中,第一认证数据为第一芯片中存储的、与目标帐号对应的认证数据,第一芯片位于第一设备中、且独立于第一设备的操作系统运行;
S3,在第一密码与第一认证数据匹配的情况下,确定对第一对象认证通过,允许登录第一设备。
其中,存储器802可用于存储软件程序以及模块,如本申请实施例中的设备认证方法和装置对应的程序指令/模块,处理器804通过运行存储在存储器802内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述设备认证方法。存储器802可包括高速随机存储器,还可以包括非易失性存储器,如一个或多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器802可进一步包括相对于处理器804远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
作为一种示例,如图8所示,上述存储器802中可以但不限于包括上述设备认证装置中的第一检测单元72、第一获取单元74和第一确定单元76。此外,还可以包括但不限于上述设备认证装置中的其他模块单元,本示例中不再赘述。
可选地,上述的传输装置806用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置806包括一个NIC(NetworkInterface Controller,网络适配器),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置806为RF(Radio Frequency,射频)模块,其用于通过无线方式与互联网进行通讯。
此外,上述电子装置还包括:显示器808,用于显示上述客户端的界面;和连接总线810,用于连接上述电子装置中的各个模块部件。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
本领域普通技术人员可以理解,图8所示的结构仅为示意,实施上述设备认证方法的设备可以是终端设备,该终端设备可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及MID(Mobile InternetDevices,移动互联网设备)、PAD等终端设备。图8其并不对上述电子装置的结构造成限定。例如,终端设备还可包括比图8中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图8所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、ROM(Read-Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取器)、磁盘或光盘等。
根据本申请实施例的又一个方面,还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于执行设备认证方法的程序代码。
可选地,在本实施例中,上述存储介质可以位于上述实施例所示的网络中的多个网络设备中的至少一个网络设备上。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
S1,检测到第一对象对第一设备执行的登录操作,其中,登录操作用于使用目标帐号和第一密码登录第一设备;
S2,响应登录操作,通过第一芯片获取第一认证数据,其中,第一认证数据为第一芯片中存储的、与目标帐号对应的认证数据,第一芯片位于第一设备中、且独立于第一设备的操作系统运行;
S3,在第一密码与第一认证数据匹配的情况下,确定对第一对象认证通过,允许登录第一设备。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例中对此不再赘述。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、ROM、RAM、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (12)
1.一种设备认证方法,其特征在于,包括:
检测到第一对象对第一设备执行的登录操作,其中,所述登录操作用于使用目标帐号和第一密码登录所述第一设备上;
响应所述登录操作,通过第一芯片获取第一认证数据,其中,所述第一认证数据为所述第一芯片中存储的、与所述目标帐号对应的认证数据,所述第一芯片位于所述第一设备中、且独立于所述第一设备的操作系统运行;
在所述第一密码与所述第一认证数据匹配的情况下,确定对所述第一对象认证通过,允许登录所述第一设备。
2.根据权利要求1所述的方法,其特征在于,在通过所述第一芯片获取所述第一认证数据之后,所述方法还包括:
通过所述第一芯片使用第一密钥对中的第一密钥,对所述第一认证数据进行解密,得到第二密码,其中,所述第一密钥对存储在所述第一芯片中,所述第一认证数据为使用所述第一密钥对中的第二密钥对所述第二密码加密后得到的密文。
3.根据权利要求2所述的方法,其特征在于,在检测到所述第一对象对所述第一设备执行的所述登录操作之前,所述方法还包括:
检测到第二对象对所述第一设备执行的设置操作,其中,所述设置操作用于将所述目标帐号的登录密码设置为所述第二密码;
响应所述设置操作,通过所述第一芯片使用所述第二密钥对所述第二密码进行加密,得到所述第一认证数据;
通过所述第一芯片将所述第一认证数据保存到所述第一芯片中。
4.根据权利要求2所述的方法,其特征在于,在通过所述第一芯片获取所述第一认证数据之后,所述方法还包括:
检测到第三对象对所述第一设备执行的更新操作,其中,所述更新操作用于将所述目标帐号的登录密码由第三密码更新为第四密码;
响应所述更新操作,在所述第三密码与所述第一认证数据匹配的情况下,通过所述第一芯片获取第二认证数据,其中,所述第二认证数据为使用所述第二密钥对所述第四密码进行加密得到的密文;
通过所述第一芯片将所述第二认证数据保存到所述第一芯片中。
5.根据权利要求1至4中任一项所述的方法,其特征在于,在确定对所述第一对象认证通过之后,所述方法还包括:
建立目标连接,其中,所述目标连接为所述第一设备与第二设备之间进行网络通信的专用通道连接;
通过所述目标连接使用所述第一芯片和第二芯片对所述第一设备和所述第二设备进行双向认证,其中,所述第二芯片位于所述第二设备中、且独立于所述第二设备的操作系统运行;
在对所述第一设备和所述第二设备双向认证通过的情况下,保持所述目标连接。
6.根据权利要求5所述的方法,其特征在于,通过所述目标连接进行所述第一设备和所述第二设备之间的所述双向认证包括:
通过所述目标连接接收所述第二设备发送的第一随机数;
通过所述第一芯片或者第三设备使用第二密钥对中的第三密钥,对所述第一随机数或者所述第一随机数的哈希值进行加密,得到第一密文,其中,所述第二密钥对存储在所述第一芯片或者所述第三设备中,所述第三设备为通过第一接口连接到所述第一设备上、且与所述目标帐号匹配的外接设备;
通过所述目标连接将所述第一密文和第一电子证书发送给所述第二设备,以使所述第二设备使用所述第一密文和所述第一电子证书对所述第一设备进行身份认证,其中,所述第一电子证书存储在所述第一芯片中,所述第一电子证书用于唯一标识所述第一芯片。
7.根据权利要求6所述的方法,其特征在于,
在通过所述目标连接接收所述第二设备发送的所述第一随机数之前,所述方法还包括:通过所述第二芯片生成所述第一随机数;通过所述目标连接将所述第一随机数发送给所述第一设备;
在通过所述目标连接将所述第一密文和所述第一电子证书发送给所述第二设备之后,所述方法还包括:通过所述目标连接接收所述第一密文和所述第一电子证书;对所述第一电子证书进行核验,确定所述第一电子证书的合法性;在对所述第一电子证书核验通过的情况下,从所述第一电子证书中提取出第四密钥,其中,所述第四密钥为所述第二密钥对中除了所述第三密钥以外的密钥;使用所述第四密钥对所述第一密文进行解密,得到第一解密数据;在所述第一解密数据与所述第一随机数或者所述第一随机数的哈希值相同的情况下,确定对所述第一设备认证通过。
8.根据权利要求5所述的方法,其特征在于,通过所述目标连接进行所述第一设备和所述第二设备之间的所述双向认证包括:
通过所述第一芯片或者第四设备生成第二随机数,其中,所述第四设备为通过第二接口连接到所述第一设备上、且与所述目标帐号匹配的外接设备;
通过所述目标连接将所述第二随机数发送给所述第二设备;
通过所述目标连接接收第二密文和第二电子证书,其中,所述第二电子证书存储在所述第二芯片中,所述第二电子证书用于唯一标识所述第二芯片,所述第二密文为使用第三密钥对中的第五密钥对所述第二随机数或者所述第二随机数的哈希值进行加密得到的密文,所述第三密钥对存储在所述第二芯片中;
对所述第二电子证书进行核验,确定所述第二电子证书的合法性;
在对所述第二电子证书核验通过的情况下,从所述第二电子证书中提取出第六密钥,其中,所述第六密钥为所述第三密钥对中除了所述第五密钥以外的密钥;
使用所述第六密钥对所述第二密文进行解密,得到第二解密数据;
在所述第二解密数据与所述第二随机数、或者所述第二随机数的哈希值相同的情况下,确定对所述第二设备认证通过。
9.根据权利要求8所述的方法,其特征在于,在通过所述目标连接将所述第二随机数发送给所述第二设备之后,所述方法还包括:
通过所述目标连接接收所述第一设备发送的所述第二随机数;
通过所述第二芯片使用所述第五密钥对所述第二随机数或者所述第二随机数的哈希值进行加密,得到所述第二密文;
通过所述目标连接将所述第二密文和所述第二电子证书发送给所述第一设备。
10.一种设备认证装置,其特征在于,包括:
第一检测单元,用于检测到第一对象对第一设备执行的登录操作,其中,所述登录操作用于使用目标帐号和第一密码登录所述第一设备;
第一获取单元,用于响应所述登录操作,通过第一芯片获取第一认证数据,其中,所述第一认证数据为所述第一芯片中存储的、与所述目标帐号对应的认证数据,所述第一芯片位于所述第一设备中、且独立于所述第一设备的操作系统运行;
第一确定单元,用于在所述第一密码与所述第一认证数据匹配的情况下,确定对所述第一对象认证通过,允许登录所述第一设备。
11.一种存储介质,所述存储介质包括存储的程序,其中,所述程序运行时执行上述权利要求1至9任一项中所述的方法。
12.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为通过所述计算机程序执行所述权利要求1至9任一项中所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010600243.4A CN111901303A (zh) | 2020-06-28 | 2020-06-28 | 设备认证方法和装置、存储介质及电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010600243.4A CN111901303A (zh) | 2020-06-28 | 2020-06-28 | 设备认证方法和装置、存储介质及电子装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111901303A true CN111901303A (zh) | 2020-11-06 |
Family
ID=73207828
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010600243.4A Pending CN111901303A (zh) | 2020-06-28 | 2020-06-28 | 设备认证方法和装置、存储介质及电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111901303A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112115461A (zh) * | 2020-11-20 | 2020-12-22 | 腾讯科技(深圳)有限公司 | 设备认证方法、装置、计算机设备和存储介质 |
| CN112948851A (zh) * | 2021-02-25 | 2021-06-11 | 深圳壹账通智能科技有限公司 | 用户认证方法、装置、服务器及存储介质 |
| CN113596822A (zh) * | 2021-07-21 | 2021-11-02 | 深圳市力博得科技有限公司 | 数据传输加密的数据处理方法、装置、电子设备及介质 |
| CN115080998A (zh) * | 2022-06-02 | 2022-09-20 | 深圳市立创普电源技术有限公司 | 防止固件被非法复制的方法、系统、电子设备和存储介质 |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1832403A (zh) * | 2006-04-24 | 2006-09-13 | 北京易恒信认证科技有限公司 | Cpk可信认证系统 |
| CN101389133A (zh) * | 2007-09-14 | 2009-03-18 | 深圳富泰宏精密工业有限公司 | 身份验证系统及方法 |
| CN102427449A (zh) * | 2011-11-04 | 2012-04-25 | 北京工业大学 | 一种基于安全芯片的可信移动存储方法 |
| CN103186732A (zh) * | 2011-12-29 | 2013-07-03 | 中国长城计算机深圳股份有限公司 | 一种单机多硬盘多操作系统的用户身份认证方法及系统 |
| CN103491094A (zh) * | 2013-09-26 | 2014-01-01 | 成都三零瑞通移动通信有限公司 | 一种基于c/s模式的快速身份认证方法 |
| CN104580256A (zh) * | 2015-02-02 | 2015-04-29 | 北京嘀嘀无限科技发展有限公司 | 通过用户设备登录和验证用户身份的方法及设备 |
| CN104639315A (zh) * | 2013-11-10 | 2015-05-20 | 航天信息股份有限公司 | 基于身份密码和指纹识别双重认证的方法和装置 |
| CN105162797A (zh) * | 2015-09-24 | 2015-12-16 | 广东工业大学 | 一种基于视频监控系统的双向认证方法 |
| CN106302354A (zh) * | 2015-06-05 | 2017-01-04 | 北京壹人壹本信息科技有限公司 | 一种身份认证方法和装置 |
| CN106603234A (zh) * | 2015-10-14 | 2017-04-26 | 阿里巴巴集团控股有限公司 | 一种设备身份认证的方法、装置和系统 |
| CN107403109A (zh) * | 2017-08-09 | 2017-11-28 | 苏州中科安源信息技术有限公司 | 加密方法及加密系统 |
| CN108234115A (zh) * | 2016-12-15 | 2018-06-29 | 阿里巴巴集团控股有限公司 | 信息安全的验证方法、装置和系统 |
| EP3355548A1 (de) * | 2017-01-31 | 2018-08-01 | Systola GmbH | Verfahren und system zur authentisierung eines benutzers |
| CN109714185A (zh) * | 2017-10-26 | 2019-05-03 | 阿里巴巴集团控股有限公司 | 可信服务器的策略部署方法、装置、系统及计算系统 |
| CN110401640A (zh) * | 2019-07-05 | 2019-11-01 | 北京可信华泰信息技术有限公司 | 一种基于可信计算双体系架构的可信连接方法 |
| CN110602699A (zh) * | 2019-09-17 | 2019-12-20 | 中国联合网络通信集团有限公司 | 密码重置方法、装置和服务器 |
| CN110874478A (zh) * | 2018-08-29 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 密钥处理方法及装置、存储介质和处理器 |
| CN111066284A (zh) * | 2017-10-09 | 2020-04-24 | 华为技术有限公司 | 一种业务证书管理方法、终端及服务器 |
-
2020
- 2020-06-28 CN CN202010600243.4A patent/CN111901303A/zh active Pending
Patent Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1832403A (zh) * | 2006-04-24 | 2006-09-13 | 北京易恒信认证科技有限公司 | Cpk可信认证系统 |
| CN101389133A (zh) * | 2007-09-14 | 2009-03-18 | 深圳富泰宏精密工业有限公司 | 身份验证系统及方法 |
| CN102427449A (zh) * | 2011-11-04 | 2012-04-25 | 北京工业大学 | 一种基于安全芯片的可信移动存储方法 |
| CN103186732A (zh) * | 2011-12-29 | 2013-07-03 | 中国长城计算机深圳股份有限公司 | 一种单机多硬盘多操作系统的用户身份认证方法及系统 |
| CN103491094A (zh) * | 2013-09-26 | 2014-01-01 | 成都三零瑞通移动通信有限公司 | 一种基于c/s模式的快速身份认证方法 |
| CN104639315A (zh) * | 2013-11-10 | 2015-05-20 | 航天信息股份有限公司 | 基于身份密码和指纹识别双重认证的方法和装置 |
| CN104580256A (zh) * | 2015-02-02 | 2015-04-29 | 北京嘀嘀无限科技发展有限公司 | 通过用户设备登录和验证用户身份的方法及设备 |
| CN106302354A (zh) * | 2015-06-05 | 2017-01-04 | 北京壹人壹本信息科技有限公司 | 一种身份认证方法和装置 |
| CN105162797A (zh) * | 2015-09-24 | 2015-12-16 | 广东工业大学 | 一种基于视频监控系统的双向认证方法 |
| CN106603234A (zh) * | 2015-10-14 | 2017-04-26 | 阿里巴巴集团控股有限公司 | 一种设备身份认证的方法、装置和系统 |
| CN108234115A (zh) * | 2016-12-15 | 2018-06-29 | 阿里巴巴集团控股有限公司 | 信息安全的验证方法、装置和系统 |
| EP3355548A1 (de) * | 2017-01-31 | 2018-08-01 | Systola GmbH | Verfahren und system zur authentisierung eines benutzers |
| CN107403109A (zh) * | 2017-08-09 | 2017-11-28 | 苏州中科安源信息技术有限公司 | 加密方法及加密系统 |
| CN111066284A (zh) * | 2017-10-09 | 2020-04-24 | 华为技术有限公司 | 一种业务证书管理方法、终端及服务器 |
| CN109714185A (zh) * | 2017-10-26 | 2019-05-03 | 阿里巴巴集团控股有限公司 | 可信服务器的策略部署方法、装置、系统及计算系统 |
| CN110874478A (zh) * | 2018-08-29 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 密钥处理方法及装置、存储介质和处理器 |
| CN110401640A (zh) * | 2019-07-05 | 2019-11-01 | 北京可信华泰信息技术有限公司 | 一种基于可信计算双体系架构的可信连接方法 |
| CN110602699A (zh) * | 2019-09-17 | 2019-12-20 | 中国联合网络通信集团有限公司 | 密码重置方法、装置和服务器 |
Non-Patent Citations (1)
| Title |
|---|
| 雷敏: "《 网络空间安全导论》", 31 August 2018, pages: 46 - 48 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112115461A (zh) * | 2020-11-20 | 2020-12-22 | 腾讯科技(深圳)有限公司 | 设备认证方法、装置、计算机设备和存储介质 |
| CN112115461B (zh) * | 2020-11-20 | 2021-04-06 | 腾讯科技(深圳)有限公司 | 设备认证方法、装置、计算机设备和存储介质 |
| CN112948851A (zh) * | 2021-02-25 | 2021-06-11 | 深圳壹账通智能科技有限公司 | 用户认证方法、装置、服务器及存储介质 |
| WO2022179115A1 (zh) * | 2021-02-25 | 2022-09-01 | 深圳壹账通智能科技有限公司 | 用户认证方法、装置、服务器及存储介质 |
| CN113596822A (zh) * | 2021-07-21 | 2021-11-02 | 深圳市力博得科技有限公司 | 数据传输加密的数据处理方法、装置、电子设备及介质 |
| CN113596822B (zh) * | 2021-07-21 | 2023-09-19 | 东莞市力博得电子科技有限公司 | 数据传输加密的数据处理方法、装置、电子设备及介质 |
| CN115080998A (zh) * | 2022-06-02 | 2022-09-20 | 深圳市立创普电源技术有限公司 | 防止固件被非法复制的方法、系统、电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102328725B1 (ko) | 하나의 장치를 이용하여 다른 장치를 언로크하는 방법 | |
| US11539690B2 (en) | Authentication system, authentication method, and application providing method | |
| CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
| US11809540B2 (en) | System and method for facilitating authentication via a short-range wireless token | |
| US11159329B2 (en) | Collaborative operating system | |
| CN111901303A (zh) | 设备认证方法和装置、存储介质及电子装置 | |
| CN111401901A (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
| CN115834077B (zh) | 控制方法、控制系统、电子设备及存储介质 | |
| JP6378424B1 (ja) | 無欠性及び保安性が強化された使用者認証方法 | |
| CN111327629B (zh) | 身份验证方法、客户端和服务端 | |
| CN109257381A (zh) | 一种密钥管理方法、系统及电子设备 | |
| KR101206854B1 (ko) | 고유식별자 기반 인증시스템 및 방법 | |
| CN111901304B (zh) | 移动安全设备的注册方法和装置、存储介质、电子装置 | |
| TWI675579B (zh) | 網路身份驗證系統與方法 | |
| JP4998314B2 (ja) | 通信制御方法および通信制御プログラム | |
| CN109451504B (zh) | 物联网模组鉴权方法及系统 | |
| KR101912403B1 (ko) | 장비들 간의 보안 인증 방법 | |
| US12088699B2 (en) | Secure device pairing | |
| CN110972141B (zh) | 信息验证方法、装置、电子设备及可读存储介质 | |
| CN115225293B (zh) | 鉴权方法、系统、装置、设备及计算机存储介质 | |
| US20250343676A1 (en) | Security management method for passkey service, and apparatus for implementing the same | |
| TWI633231B (zh) | Smart lock and smart lock control method | |
| KR101576038B1 (ko) | 사용자 신원 인증을 안전하게 보장하기 위한 네트워크 인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201106 |
|
| RJ01 | Rejection of invention patent application after publication |