本申請涉及計(jì)算機(jī)軟件技術(shù)領(lǐng)域,尤其涉及信息交互方法及裝置。
背景技術(shù):
隨著移動互聯(lián)網(wǎng)的發(fā)展,通過手機(jī)短信下發(fā)身份身份驗(yàn)證碼作為一種輔助的身份認(rèn)證方式得到了廣泛的應(yīng)用。
但是,不法者有針對性的一些攻擊手段給身份驗(yàn)證碼的安全帶來了較大威脅,比如,短信木馬、復(fù)制手機(jī)卡、偽基站、釣魚程序等。
例如,攻擊者可以預(yù)先將短信木馬種植于某用戶的手機(jī)中,當(dāng)該用戶手機(jī)接收到短信時(shí),短信木馬自動將短信隱秘地發(fā)送給攻擊者,則短信中包含的身份驗(yàn)證碼會泄露。
又例如,攻擊者可以通過非法手段復(fù)制一張與用戶的手機(jī)卡,并可以利用復(fù)制的手機(jī)卡同步接收該用戶的短信,則短信中包含的身份驗(yàn)證碼也會泄露。
由此可知,不法者的上述攻擊手段對現(xiàn)有技術(shù)中通過手機(jī)短信下發(fā)的身份驗(yàn)證碼的安全帶來了較大威脅,導(dǎo)致身份驗(yàn)證碼容易泄露。
技術(shù)實(shí)現(xiàn)要素:
本申請實(shí)施例提供信息交互方法及裝置,用以解決如下技術(shù)問題:現(xiàn)有技術(shù)中通過手機(jī)短信下發(fā)的身份驗(yàn)證碼容易泄露的問題。
為解決上述技術(shù)問題,本申請實(shí)施例是這樣實(shí)現(xiàn)的:
本申請實(shí)施例提供的第一種信息交互方法,設(shè)備中包含客戶端、處于預(yù)設(shè)的可信環(huán)境內(nèi)的認(rèn)證器模塊,所述方法包括:
所述客戶端獲得所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識,所述設(shè)備驗(yàn)證標(biāo)識由所述認(rèn)證器模塊根據(jù)所述設(shè)備的硬件信息得到;
所述客戶端將所述設(shè)備驗(yàn)證標(biāo)識發(fā)送給云端,以便于所述云端在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回用于所述認(rèn)證器模塊展示的身份驗(yàn)證碼。
本申請實(shí)施例提供的第一種信息交互裝置,設(shè)備中包含客戶端、處于預(yù)設(shè)的可信環(huán)境內(nèi)的認(rèn)證器模塊,所述裝置位于所述客戶端,包括:
獲得模塊,獲得所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識,所述設(shè)備驗(yàn)證標(biāo)識由所述認(rèn)證器模塊根據(jù)所述設(shè)備的硬件信息得到;
發(fā)送模塊,將所述設(shè)備驗(yàn)證標(biāo)識發(fā)送給云端,以便于所述云端在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回用于所述認(rèn)證器模塊展示的身份驗(yàn)證碼。
本申請實(shí)施例提供的第二種信息交互方法,設(shè)備中包含客戶端、處于預(yù)設(shè)的可信環(huán)境內(nèi)的認(rèn)證器模塊,所述方法包括:
所述認(rèn)證器模塊接收到所述客戶端的標(biāo)識獲取請求;
所述認(rèn)證器模塊向所述客戶端返回所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識,所述設(shè)備驗(yàn)證標(biāo)識由所述認(rèn)證器模塊根據(jù)所述設(shè)備的硬件信息得到;
所述認(rèn)證器模塊展示云端在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回的身份驗(yàn)證碼,其中,所述云端驗(yàn)證的所述設(shè)備驗(yàn)證標(biāo)識是由所述客戶端發(fā)送給所述云端的。
本申請實(shí)施例提供的第二種信息交互裝置,設(shè)備中包含客戶端、處于預(yù)設(shè)的可信環(huán)境內(nèi)的認(rèn)證器模塊,所述裝置位于所述認(rèn)證器模塊,包括:
接收模塊,接收到所述客戶端的標(biāo)識獲取請求;
返回模塊,向所述客戶端返回所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識,所述設(shè)備驗(yàn)證標(biāo)識由所述認(rèn)證器模塊根據(jù)所述設(shè)備的硬件信息得到;
展示模塊,展示云端在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回的身份驗(yàn)證碼,其中,所述云端驗(yàn)證的所述設(shè)備驗(yàn)證標(biāo)識是由所述客戶端發(fā)送給所述云端的。
本申請實(shí)施例提供的第三種信息交互方法,設(shè)備中包含客戶端、處于預(yù)設(shè)的可信環(huán)境內(nèi)的認(rèn)證器模塊,所述方法包括:
云端獲得所述客戶端發(fā)送的所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識,所述設(shè)備驗(yàn)證標(biāo)識由所述認(rèn)證器模塊根據(jù)所述設(shè)備的硬件信息得到;
所述云端對所述設(shè)備驗(yàn)證標(biāo)識進(jìn)行驗(yàn)證;
所述云端在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回用于所述認(rèn)證器模塊展示的身份驗(yàn)證碼。
本申請實(shí)施例提供的第三種信息交互裝置,設(shè)備中包含客戶端、處于預(yù)設(shè)的可信環(huán)境內(nèi)的認(rèn)證器模塊,所述裝置位于云端,包括:
獲得模塊,獲得所述客戶端發(fā)送的所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識,所述設(shè)備驗(yàn)證標(biāo)識由所述認(rèn)證器模塊根據(jù)所述設(shè)備的硬件信息得到;
驗(yàn)證模塊,對所述設(shè)備驗(yàn)證標(biāo)識進(jìn)行驗(yàn)證;
返回模塊,在所述驗(yàn)證模塊對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回用于所述認(rèn)證器模塊展示的身份驗(yàn)證碼。
本申請實(shí)施例采用的上述至少一個技術(shù)方案能夠達(dá)到以下有益效果:所述設(shè)備可以是諸如手機(jī)等用戶終端,可以基于對根據(jù)設(shè)備的硬件信息得到的設(shè)備驗(yàn)證標(biāo)識的驗(yàn)證通過,確定該設(shè)備確實(shí)為可信設(shè)備,再向設(shè)備下發(fā)身份驗(yàn)證碼,因此可以抵御復(fù)制手機(jī)卡、偽基站等攻擊,不僅如此,由于設(shè)備驗(yàn)證標(biāo)識的生成以及后續(xù)身份驗(yàn)證碼的展示都是在設(shè)備中的可信環(huán)境內(nèi)進(jìn)行的,因此可以抵御短信木馬、釣魚程序等攻擊。綜上所述,本申請的方案可以提高身份驗(yàn)證碼的安全性,降低身份驗(yàn)證碼泄露的可能性,可以部分或全部地解決現(xiàn)有技術(shù)中的問題。
附圖說明
為了更清楚地說明本申請實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本申請中記載的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1為本申請實(shí)施例提供的第一種信息交互方法的流程示意圖;
圖2為本申請實(shí)施例提供的第二種信息交互方法的流程示意圖;
圖3為本申請實(shí)施例提供的第三種信息交互方法的流程示意圖;
圖4為本申請實(shí)施例提供的一種實(shí)際應(yīng)用場景下,上述信息交互方法的一種業(yè)務(wù)架構(gòu)示意圖;
圖5為本申請實(shí)施例提供的一種實(shí)際應(yīng)用場景下,上述信息交互方法的一種技術(shù)架構(gòu)示意圖;
圖6為本申請實(shí)施例提供的一種實(shí)際應(yīng)用場景下,上述信息交互方法的一種交互流程示意圖;
圖7為本申請實(shí)施例提供的對應(yīng)于圖1的一種信息交互裝置的結(jié)構(gòu)示意圖;
圖8為本申請實(shí)施例提供的對應(yīng)于圖2的一種信息交互裝置的結(jié)構(gòu)示意圖;
圖9為本申請實(shí)施例提供的對應(yīng)于圖3的一種信息交互裝置的結(jié)構(gòu)示意圖。
具體實(shí)施方式
本申請實(shí)施例提供信息交互方法及裝置。
為了使本技術(shù)領(lǐng)域的人員更好地理解本申請中的技術(shù)方案,下面將結(jié)合本申請實(shí)施例中的附圖,對本申請實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本申請一部分實(shí)施例,而不是全部的實(shí)施例。基于本申請中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例,都應(yīng)當(dāng)屬于本申請保護(hù)的范圍。
本申請的方案的具體實(shí)施可以涉及客戶端、認(rèn)證器模塊、云端的動作,云端具體可以只包括一端(比如,消息分發(fā)服務(wù)器),也可以包括至少兩端(比如,消息分發(fā)服務(wù)器、該客戶端對應(yīng)的服務(wù)端等)。
客戶端、認(rèn)證器模塊可以處于同一設(shè)備。客戶端、認(rèn)證器模塊所處設(shè)備一般是手機(jī)、平板電腦、智能可穿戴設(shè)備、車機(jī)等用戶終端。
服務(wù)端、消息分發(fā)服務(wù)器可以處于不同設(shè)備,也可以處于同一設(shè)備。服務(wù)端、消息分發(fā)服務(wù)器所處設(shè)備一般是用作服務(wù)器的計(jì)算機(jī)、計(jì)算機(jī)集群等。
如無特殊說明,以下提到的“設(shè)備”均是指客戶端與認(rèn)證器模塊所處設(shè)備。
本申請實(shí)施例提供了一共三種信息交互方法及裝置,這三種信息交互方法及裝置基于同一發(fā)明思路并相互對應(yīng),是分別以客戶端、認(rèn)證器模塊、云端中的每一端作為執(zhí)行主體進(jìn)行描述的,通過上述任一種信息交互方法或裝置可以實(shí)現(xiàn)身份驗(yàn)證碼的獲取、下發(fā)及展示,可以提高身份驗(yàn)證碼的安全性,降低身份驗(yàn)證碼泄露的可能性。
下面對本申請的方案進(jìn)行詳細(xì)說明。
圖1為本申請實(shí)施例提供的第一種信息交互方法的流程示意圖,下述設(shè)備中包含客戶端、處于預(yù)設(shè)的可信環(huán)境(Trusted Execution Environment,TEE)內(nèi)的認(rèn)證器模塊。圖1中的流程可以是在需要獲取身份驗(yàn)證碼時(shí),按照指定方式觸發(fā)執(zhí)行的。比如,在客戶端的業(yè)務(wù)第一次在設(shè)備上使用,需激活設(shè)備時(shí),或者,用戶以同一賬號在移動設(shè)備的客戶端與非移動設(shè)備的對應(yīng)客戶端上切換操作時(shí),等等。
在本申請實(shí)施例中,可信環(huán)境是依托其所在設(shè)備的硬件的,其通??梢曰谖?nèi)核的操作系統(tǒng)提供可信服務(wù),可以有多種具體實(shí)現(xiàn)方式,本申請并不做限定。列舉其中三種實(shí)現(xiàn)方式作為示例:
第一種,利用intel TXT或AMD的SVM均可提供可信環(huán)境,即基于處理器CPU的特殊指令,提供動態(tài)信任根DRTM服務(wù),實(shí)現(xiàn)可信環(huán)境;
第二種,利用ARM TrustZone或TI M-Shield機(jī)制,直接在中央處理器硬件上提供的安全區(qū)域/非安全區(qū)域隔離機(jī)制,實(shí)現(xiàn)可信環(huán)境;
第三種,利用hypervisor/VMM虛擬化機(jī)制,提供安全應(yīng)用/非安全應(yīng)用之間的隔離,實(shí)現(xiàn)可信環(huán)境。
對圖1中的信息交互方法的說明也適用于本申請實(shí)施例提供的另幾種信息交互方法,后面不再贅述。
圖1中的流程的執(zhí)行主體為客戶端,該流程可以包括以下步驟:
S101:所述客戶端獲得所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識,所述設(shè)備驗(yàn)證標(biāo)識由所述認(rèn)證器模塊根據(jù)所述設(shè)備的硬件信息得到。
在本申請實(shí)施例中,客戶端可以是用戶終端上任意需要使用身份驗(yàn)證碼的客戶端,比如,第三方支付應(yīng)用的客戶端、即時(shí)通訊應(yīng)用的客戶端、電子銀行應(yīng)用的客戶端等。
在本申請實(shí)施例中,可以根據(jù)設(shè)備的硬件信息將該設(shè)備與其他設(shè)備進(jìn)行區(qū)分。以手機(jī)為例,硬件信息可以是國際移動設(shè)備身份碼(International Mobile Equipment Identity,IMEI)、物理地址等。
一般地,設(shè)備驗(yàn)證標(biāo)識可以在一定的范圍(比如,網(wǎng)絡(luò)范圍、設(shè)備范圍、地域范圍等)唯一標(biāo)識其對應(yīng)的設(shè)備,范圍具體多大本申請不做限定,取決于具體實(shí)施情況。比如,若在某個國家內(nèi)實(shí)施本申請的方案,則對于該國家內(nèi)的設(shè)備,其設(shè)備驗(yàn)證標(biāo)識只要在該國家內(nèi)具有唯一性即可。
在本申請實(shí)施例中,設(shè)備驗(yàn)證標(biāo)識可以是認(rèn)證器模塊通過對設(shè)備的硬件信息進(jìn)行一定的邏輯運(yùn)算生成的,所述邏輯運(yùn)算可以有多種具體實(shí)施方法,本申請并不作限定,列舉一種作為示例。
例如,可以通過執(zhí)行base64(Hash(HardID+random))生成設(shè)備驗(yàn)證標(biāo)識,其中,base64為一種密碼算法,Hash表示哈希函數(shù),HardID表示所使用的硬件信息,random表示隨機(jī)數(shù)。由于生成過程是在設(shè)備的可信環(huán)境內(nèi)進(jìn)行的,因此,這種方式有利于提高設(shè)備驗(yàn)證標(biāo)識的安全性,而且也有利于防止硬件信息泄露。
當(dāng)然,認(rèn)證器模塊也可以將設(shè)備的硬件信息直接作為設(shè)備驗(yàn)證標(biāo)識。
在本申請實(shí)施例中,客戶端可以是通過直接或間接地向認(rèn)證器模塊發(fā)送標(biāo)識獲取請求,而獲得認(rèn)證器模塊返回的設(shè)備驗(yàn)證標(biāo)識。
S102:所述客戶端將所述設(shè)備驗(yàn)證標(biāo)識發(fā)送給云端,以便于所述云端在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回用于所述認(rèn)證器模塊展示的身份驗(yàn)證碼。
在本申請實(shí)施例中,云端通過對設(shè)備驗(yàn)證標(biāo)識進(jìn)行驗(yàn)證,可以確定客戶端所處設(shè)備是否為客戶端所提供業(yè)務(wù)的可信設(shè)備,若是,則驗(yàn)證通過。
在本申請實(shí)施例中,云端與設(shè)備是通過互聯(lián)網(wǎng)(IP網(wǎng)絡(luò))進(jìn)行交互的。
在本申請實(shí)施例中,身份驗(yàn)證碼的形式可以有多種。列舉幾種作為示例,比如,身份驗(yàn)證碼可以是一串?dāng)?shù)字(6位數(shù)字、4位數(shù)字等等),一串字符等(比如,中文字符、英文字符或者其他語言的字符),一個任務(wù)(比如,將九宮格中的第1個字符和和最后一個字符交換順序,將第2個字符和第5個字符交換順序,將第3個字符和第8個字符用直線連接;九宮格是需要用戶進(jìn)行身份驗(yàn)證時(shí)展示在界面上,用戶接到上述所述任務(wù)時(shí),按照任務(wù)內(nèi)容執(zhí)行便可通過身份驗(yàn)證),等等。
通過圖1的方法,所述設(shè)備可以是諸如手機(jī)等用戶終端,可以基于對根據(jù)設(shè)備的硬件信息得到的設(shè)備驗(yàn)證標(biāo)識的驗(yàn)證通過,確定該設(shè)備確實(shí)為可信設(shè)備,再向設(shè)備下發(fā)身份驗(yàn)證碼,因此可以抵御復(fù)制手機(jī)卡、偽基站等攻擊,不僅如此,由于設(shè)備驗(yàn)證標(biāo)識的生成以及后續(xù)身份驗(yàn)證碼的展示都是在設(shè)備中的可信環(huán)境內(nèi)進(jìn)行的,因此可以抵御短信木馬、釣魚程序等攻擊。綜上所述,本申請的方案可以提高身份驗(yàn)證碼的安全性,降低身份驗(yàn)證碼泄露的可能性,可以部分或全部地解決現(xiàn)有技術(shù)中的問題。
基于圖1的方法,本申請實(shí)施例還提供了該方法的一些具體實(shí)施方案,以及擴(kuò)展方案,下面進(jìn)行說明。
在本申請實(shí)施例中,如前所述,云端可以包括兩端,消息分發(fā)服務(wù)器、該客戶端對應(yīng)的服務(wù)端。以下實(shí)施例主要基于這種情況進(jìn)行說明。
在這種情況下,對于步驟S102,所述云端包括消息分發(fā)服務(wù)器、所述客戶端對應(yīng)的服務(wù)端;
所述客戶端將所述設(shè)備驗(yàn)證標(biāo)識發(fā)送給云端,具體可以包括:所述客戶端將所述設(shè)備驗(yàn)證標(biāo)識發(fā)送給所述服務(wù)端;
所述云端在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回用于所述認(rèn)證器模塊展示的身份驗(yàn)證碼,具體可以包括:所述服務(wù)端通過調(diào)用所述消息分發(fā)服務(wù)器,使所述消息分發(fā)服務(wù)器在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回用于所述認(rèn)證器模塊展示的身份驗(yàn)證碼。
在本申請實(shí)施例中,所述服務(wù)端是客戶端對應(yīng)的服務(wù)端,比如,支付應(yīng)用的客戶端對應(yīng)的服務(wù)端即為該支付應(yīng)用的服務(wù)端。
消息分發(fā)服務(wù)器可以是一個公用平臺,在這種情況下,多個不同的服務(wù)端可以調(diào)用同一個消息分發(fā)服務(wù)器。當(dāng)然,不同的服務(wù)端也可以有自己獨(dú)享的消息分發(fā)服務(wù)器。需要說明的是,消息分發(fā)服務(wù)器并非移動運(yùn)營商的短信服務(wù)器,因此,本申請的方案可以不像現(xiàn)有技術(shù)那樣依賴于短信來發(fā)送和接收身份驗(yàn)證碼,而是可以基于互聯(lián)網(wǎng)傳遞身份驗(yàn)證碼。
在本申請實(shí)施例中,服務(wù)端通過調(diào)用消息分發(fā)服務(wù)器,可以將接收到的客戶端發(fā)送的設(shè)備驗(yàn)證標(biāo)識發(fā)送給消息分發(fā)服務(wù)器,以請求消息分發(fā)服務(wù)器對設(shè)備驗(yàn)證標(biāo)識進(jìn)行驗(yàn)證。消息分發(fā)服務(wù)器通過對設(shè)備驗(yàn)證標(biāo)識驗(yàn)證,可以確定客戶端所處設(shè)備是否為可信設(shè)備,若是,則驗(yàn)證通過。
具體地,可以按照指定方式(比如,出廠預(yù)設(shè)、用戶實(shí)名認(rèn)證等、將該設(shè)備與另一可信設(shè)備進(jìn)行綁定等),預(yù)先將設(shè)備的設(shè)備驗(yàn)證標(biāo)識在消息分發(fā)服務(wù)器注冊,注冊過的設(shè)備為可信設(shè)備。在這種情況下,消息分發(fā)服務(wù)器可以通過將步驟S102中的設(shè)備驗(yàn)證標(biāo)識與注冊的設(shè)備驗(yàn)證標(biāo)識進(jìn)行比較,對S102中的設(shè)備驗(yàn)證標(biāo)識進(jìn)行驗(yàn)證。
例如,對于出廠預(yù)設(shè)的方式,無需用戶干預(yù),可以由廠家注冊設(shè)備驗(yàn)證標(biāo)識,以確定設(shè)備的硬件本身是可信的。這種方式主要強(qiáng)調(diào)“硬件層面上可信”。
又例如,對于用戶實(shí)名認(rèn)證方式,可以由用戶預(yù)先針對任意客戶端的業(yè)務(wù),通過與對應(yīng)的服務(wù)端以及消息分發(fā)服務(wù)器進(jìn)行交互,注冊用戶的實(shí)名等相關(guān)身份信息(比如,身份證號碼等)和設(shè)備驗(yàn)證標(biāo)識,以確定設(shè)備對于該業(yè)務(wù)和該用戶而言是可信的。這種方式主要強(qiáng)調(diào)“業(yè)務(wù)層面上可信”。
在本申請實(shí)施例中,身份驗(yàn)證碼可以由服務(wù)端和/或消息分發(fā)服務(wù)器生成。一般地,身份驗(yàn)證碼是與客戶端或服務(wù)端的業(yè)務(wù)相關(guān)的(比如,進(jìn)行該業(yè)務(wù)所需基于該身份驗(yàn)證碼進(jìn)行認(rèn)證,或者,該身份驗(yàn)證碼需要基于該業(yè)務(wù)相關(guān)信息生成,等等),在這種情況下,身份驗(yàn)證碼優(yōu)選地可以由服務(wù)端生成,如此有利于減少消息分發(fā)服務(wù)器對該業(yè)務(wù)的干涉。
在本申請實(shí)施例中,對于步驟S101,所述客戶端獲得的所述設(shè)備驗(yàn)證標(biāo)識是所述認(rèn)證器模塊進(jìn)行加密處理和/或簽名處理過的,進(jìn)行加密處理的目的是可以防止設(shè)備驗(yàn)證標(biāo)識被明文傳輸,降低泄露風(fēng)險(xiǎn),進(jìn)行簽名處理的目的是防止設(shè)備驗(yàn)證標(biāo)識被非法篡改。在這種情況下,消息分發(fā)服務(wù)器后續(xù)需要相應(yīng)地進(jìn)行解密處理和/或簽名驗(yàn)證處理后,才能對設(shè)備驗(yàn)證標(biāo)識進(jìn)行驗(yàn)證,解密處理和/或簽名驗(yàn)證所需的密鑰可以由設(shè)備與消息分發(fā)服務(wù)器預(yù)先協(xié)商。
類似地,所述消息分發(fā)服務(wù)器返回的所述身份驗(yàn)證碼也可以是進(jìn)行加密處理和/或簽名處理過的。
在本申請實(shí)施例中,設(shè)備驗(yàn)證標(biāo)識還可以由認(rèn)證器模塊根據(jù)設(shè)備的硬件信息和客戶端的業(yè)務(wù)信息得到,不同的客戶端還可以預(yù)先指定不同的邏輯運(yùn)算算法,以用于生成設(shè)備驗(yàn)證標(biāo)識。如此,可以實(shí)現(xiàn)不同客戶端的設(shè)備驗(yàn)證標(biāo)識差異化,而且設(shè)備驗(yàn)證標(biāo)識還可以隨著同一個客戶端業(yè)務(wù)信息的變化而變化,有利于提高設(shè)備驗(yàn)證標(biāo)識的安全性。
在本申請實(shí)施例中,對于以上信息交互流程,所述客戶端與所述認(rèn)證器模塊之間的交互,和/或所述消息分發(fā)服務(wù)器與所述設(shè)備(包括但不限于認(rèn)證器模塊)之間的交互可以是基于所述設(shè)備上預(yù)定的安全服務(wù)所實(shí)現(xiàn)的安全通道進(jìn)行的,比如,消息分發(fā)服務(wù)器與所述設(shè)備之間的交互基于第一安全通道進(jìn)行,所述客戶端與所述認(rèn)證器模塊之間的交互基于第二安全通道進(jìn)行,等等。
原因在于,雖然認(rèn)證器模塊處于可信環(huán)境中,但是客戶端、消息分發(fā)服務(wù)器未必處于可信環(huán)境中,所述安全服務(wù)以其實(shí)現(xiàn)的安全通道有利于降低這幾端之間的交互風(fēng)險(xiǎn)。
所述安全服務(wù)可以由獨(dú)立于上述幾端的功能模塊提供,也可以由上述幾端自身提供,所述安全服務(wù)可以包括但不限于連接管理、訪問控制、會話協(xié)商、連接心跳維護(hù)、安全隧道、密碼控制等。
需要說明的是,上述的安全通道可以是針對開放式系統(tǒng)互聯(lián)(Open System Interconnection,OSI)模型中的某一層或多層實(shí)現(xiàn)的,不同層對應(yīng)的安全通道具體實(shí)現(xiàn)方式不同。比如,對于應(yīng)用層,可以基于加密和/或簽名實(shí)現(xiàn)安全通道;對于傳輸層,可以基于TLS實(shí)現(xiàn)安全通道;對于網(wǎng)絡(luò)層,可以基于IPSec實(shí)現(xiàn)安全通道;對于鏈路層,可以基于L2TP實(shí)現(xiàn)安全通道;等等。
圖2為本申請實(shí)施例提供的第二種信息交互方法的流程示意圖。圖2中的流程的執(zhí)行主體為認(rèn)證器模塊,該流程可以包括以下步驟:
S201:所述認(rèn)證器模塊接收到所述客戶端的標(biāo)識獲取請求。
S202:所述認(rèn)證器模塊向所述客戶端返回所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識,所述設(shè)備驗(yàn)證標(biāo)識由所述認(rèn)證器模塊根據(jù)所述設(shè)備的硬件信息得到。
S203:所述認(rèn)證器模塊展示云端在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回的身份驗(yàn)證碼,其中,所述云端驗(yàn)證的所述設(shè)備驗(yàn)證標(biāo)識是由所述客戶端發(fā)送給所述云端的。
由于圖2與圖1的方法是對應(yīng)的,因此,圖2的方法也具有圖1的方法的技術(shù)效果,基于圖2的方法,本申請實(shí)施例還提供了該方法的一些具體實(shí)施方案,以及擴(kuò)展方案,對于在上面已經(jīng)說明過的部分,下面不再贅述或只進(jìn)行簡單說明。后面的幾種信息交互方法也是如此,不再贅述。
在本申請實(shí)施例中,所述云端可以包括消息分發(fā)服務(wù)器、所述客戶端對應(yīng)的服務(wù)端;
所述認(rèn)證器模塊展示的所述身份驗(yàn)證碼是所述消息分發(fā)服務(wù)器對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回的,其中,所述消息分發(fā)服務(wù)器驗(yàn)證的所述設(shè)備驗(yàn)證標(biāo)識是通過所述客戶端將所述設(shè)備驗(yàn)證標(biāo)識發(fā)送給所述服務(wù)端,以及所述服務(wù)端調(diào)用所述消息分發(fā)服務(wù)器而獲得的。
在本申請實(shí)施例中,對于步驟S202,所述認(rèn)證器模塊向所述客戶端返回所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識,具體可以包括:所述認(rèn)證器模塊根據(jù)所述設(shè)備的硬件信息,得到所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識;所述認(rèn)證器模塊對得到的設(shè)備驗(yàn)證標(biāo)識進(jìn)行加密處理和/或簽名處理;所述認(rèn)證器模塊向所述客戶端返回加密處理和/或簽名處理過的設(shè)備驗(yàn)證標(biāo)識,以便所述客戶端將加密處理和/或簽名處理過的設(shè)備驗(yàn)證標(biāo)識發(fā)送給所述服務(wù)端。
進(jìn)一步地,所述認(rèn)證器模塊根據(jù)所述設(shè)備的硬件信息,得到所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識,具體可以包括:所述認(rèn)證器模塊獲得所述客戶端的業(yè)務(wù)信息;所述認(rèn)證器模塊根據(jù)所述設(shè)備的硬件信息和所述業(yè)務(wù)信息,得到所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識。
在本申請實(shí)施例中,所述認(rèn)證器模塊展示消息分發(fā)服務(wù)器在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回的身份驗(yàn)證碼,具體可以包括:所述認(rèn)證器模塊獲得所述消息分發(fā)服務(wù)器在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回的身份驗(yàn)證碼;所述認(rèn)證器模塊生成可信界面,所述可信界面處于所述可信環(huán)境內(nèi);所述認(rèn)證器模塊在所述可信界面中展示所述身份驗(yàn)證碼。
在可信界面展示的條件下,由于可信環(huán)境的隔離性和安全特性可以不允許其他進(jìn)程運(yùn)行,或者只允許指定進(jìn)程運(yùn)行,因此可以防止短信木馬、釣魚程序等惡意程序竊取在可信界面中展示的消息。
在本申請實(shí)施例中,所述認(rèn)證器模塊獲得的所述身份驗(yàn)證碼可以是所述消息分發(fā)服務(wù)器進(jìn)行加密處理和/或簽名處理過的;類似地,所述認(rèn)證器模塊在所述可信界面中展示所述身份驗(yàn)證碼前,還可以執(zhí)行:所述認(rèn)證器模塊對加密處理和/或簽名處理過的身份驗(yàn)證碼進(jìn)行解密處理和/或簽名驗(yàn)證處理。
在本申請實(shí)施例中,所述消息分發(fā)服務(wù)器與所述設(shè)備之間的交互是基于第一安全通道進(jìn)行的,所述第一安全通道由所述設(shè)備上預(yù)定的安全服務(wù)實(shí)現(xiàn);和/或,所述客戶端與所述認(rèn)證器模塊之間的交互是基于第二安全通道進(jìn)行的,所述第二安全通道由所述設(shè)備上預(yù)定的安全服務(wù)實(shí)現(xiàn)。
在本申請實(shí)施例中,所述設(shè)備可以包括用戶終端。
圖3為本申請實(shí)施例提供的第三種信息交互方法的流程示意圖。圖3中的流程的執(zhí)行主體為云端,該流程可以包括以下步驟:
S301:云端獲得所述客戶端發(fā)送的所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識,所述設(shè)備驗(yàn)證標(biāo)識由所述認(rèn)證器模塊根據(jù)所述設(shè)備的硬件信息得到。
S302:所述云端對所述設(shè)備驗(yàn)證標(biāo)識進(jìn)行驗(yàn)證。
S303:所述云端在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回用于所述認(rèn)證器模塊展示的身份驗(yàn)證碼。
在本申請實(shí)施例中,所述云端可以包括消息分發(fā)服務(wù)器、所述客戶端對應(yīng)的服務(wù)端;在這種情況下,對于步驟S301,云端獲得所述客戶端發(fā)送的所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識,具體可以包括:所述服務(wù)端獲得所述客戶端發(fā)送的所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識;
對于步驟S302,所述云端對所述設(shè)備驗(yàn)證標(biāo)識進(jìn)行驗(yàn)證,具體可以包括:所述服務(wù)端通過調(diào)用消息分發(fā)服務(wù)器,將所述設(shè)備驗(yàn)證標(biāo)識發(fā)送給所述消息分發(fā)服務(wù)器,所述消息分發(fā)服務(wù)器對接收到的所述設(shè)備驗(yàn)證標(biāo)識進(jìn)行驗(yàn)證;
對于步驟S303,所述云端在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回用于所述認(rèn)證器模塊展示的身份驗(yàn)證碼,具體可以包括:所述消息分發(fā)服務(wù)器在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回用于所述認(rèn)證器模塊展示的身份驗(yàn)證碼。
在本申請實(shí)施例中,所述客戶端發(fā)送的所述設(shè)備驗(yàn)證標(biāo)識是所述認(rèn)證器模塊進(jìn)行加密處理和/或簽名處理過的;和/或,所述消息分發(fā)服務(wù)器返回的所述身份驗(yàn)證碼是進(jìn)行加密處理和/或簽名處理過的。
在本申請實(shí)施例中,前面已經(jīng)提到,消息優(yōu)選地可以由服務(wù)端生成。在這種情況下,所述將所述設(shè)備驗(yàn)證標(biāo)識發(fā)送給所述消息分發(fā)服務(wù)器后,還可以執(zhí)行:所述服務(wù)端在所述消息分發(fā)服務(wù)器在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,生成所述身份驗(yàn)證碼;所述服務(wù)端將所述身份驗(yàn)證碼發(fā)送給所述消息分發(fā)服務(wù)器,以便于所述消息分發(fā)服務(wù)器向所述設(shè)備返回所述身份驗(yàn)證碼。
在本申請實(shí)施例中,所述消息分發(fā)服務(wù)器接收到的所述設(shè)備驗(yàn)證標(biāo)識可以是所述認(rèn)證器模塊進(jìn)行加密處理和/或簽名處理過的;在這種情況下,所述消息分發(fā)服務(wù)器對所述設(shè)備驗(yàn)證標(biāo)識進(jìn)行驗(yàn)證前,還可以執(zhí)行:所述消息分發(fā)服務(wù)器對加密處理和/或簽名處理過的設(shè)備驗(yàn)證標(biāo)識進(jìn)行解密處理和/或簽名驗(yàn)證處理。
在本申請實(shí)施例中,所述消息分發(fā)服務(wù)器向所述設(shè)備返回用于所述認(rèn)證器模塊展示的身份驗(yàn)證碼,具體可以包括:所述消息分發(fā)服務(wù)器向所述服務(wù)端發(fā)送表明對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過的通知消息;所述消息分發(fā)服務(wù)器接收所述服務(wù)端生成并返回的身份驗(yàn)證碼;所述消息分發(fā)服務(wù)器向所述設(shè)備返回所述身份驗(yàn)證碼,以用于所述認(rèn)證器模塊展示。
在本申請實(shí)施例中,所述消息分發(fā)服務(wù)器向所述設(shè)備返回所述身份驗(yàn)證碼,具體可以包括:所述消息分發(fā)服務(wù)器對所述身份驗(yàn)證碼進(jìn)行加密處理和/或簽名處理;所述消息分發(fā)服務(wù)器向所述設(shè)備返回加密處理和/或簽名處理過的身份驗(yàn)證碼,以用于所述認(rèn)證器模塊進(jìn)行解密處理和/或簽名驗(yàn)證處理后展示。
在本申請實(shí)施例中,所述消息分發(fā)服務(wù)器與所述設(shè)備之間的交互可以是基于第一安全通道進(jìn)行的,所述第一安全通道由所述設(shè)備上預(yù)定的安全服務(wù)實(shí)現(xiàn);和/或,所述客戶端與所述認(rèn)證器模塊之間的交互可以是基于第二安全通道進(jìn)行的,所述第二安全通道由所述設(shè)備上預(yù)定的安全服務(wù)實(shí)現(xiàn)。
在本申請實(shí)施例中,所述設(shè)備可以包括用戶終端。
上面分別以各端為執(zhí)行主體對本申請實(shí)施例提供的信息交互方法進(jìn)行了說明。為了便于理解,本申請實(shí)施例還提供了一種實(shí)際應(yīng)用場景下,上述信息交互方法的一種具體實(shí)施方案,下面結(jié)合圖4、圖5、圖6進(jìn)行說明。
圖4為本申請實(shí)施例提供的一種實(shí)際應(yīng)用場景下,上述信息交互方法的一種業(yè)務(wù)架構(gòu)示意圖。
在圖4中,“可信界面+設(shè)備認(rèn)證標(biāo)識”是客戶端所處設(shè)備中涉及本申請的方案的關(guān)鍵部分之一,安全通道可以是基于上述的安全服務(wù)所實(shí)現(xiàn)的。每個服務(wù)提供商分別有其對應(yīng)于服務(wù)端與對應(yīng)的客戶端,各服務(wù)提供商可以通過消息分發(fā)服務(wù)器向客戶端下發(fā)諸如身份驗(yàn)證碼等消息,前提是消息分發(fā)服務(wù)器對客戶端所處設(shè)備的設(shè)備認(rèn)證標(biāo)識驗(yàn)證通過。其中,圖4中三方之間的交互都是基于互聯(lián)網(wǎng)的,無需依賴移動運(yùn)營商的網(wǎng)絡(luò)以及短信平臺,有利于靈活地使用各種安全策略以提高業(yè)務(wù)架構(gòu)的安全性,而且,業(yè)務(wù)架構(gòu)中的可信界面相比于現(xiàn)有技術(shù)中的短信界面也更加安全。
圖5為本申請實(shí)施例提供的一種實(shí)際應(yīng)用場景下,上述信息交互方法的一種技術(shù)架構(gòu)示意圖。
在圖5中,對于客戶端所在設(shè)備,主要可以實(shí)現(xiàn)以下功能(可以對應(yīng)于相應(yīng)的功能模塊)。
連接管理:負(fù)責(zé)網(wǎng)絡(luò)socket連接的創(chuàng)建、管理和維護(hù);
會話協(xié)商:基于socket連接建立時(shí)和消息分發(fā)服務(wù)器協(xié)商,獲取本次會話的密鑰;
心跳維護(hù):保持長連接(比如,安全服務(wù)與消息分發(fā)服務(wù)器之間可以建立的長連接)的維護(hù);
可信界面:安全界面,根據(jù)后臺運(yùn)營中心的要求繪制界面,可以是六位密碼展示界面也可以是其他的;
協(xié)議組裝:根據(jù)業(yè)務(wù)要求組裝數(shù)據(jù)并安全加解密及簽名,網(wǎng)絡(luò)層的包組裝;
協(xié)議解析:網(wǎng)路層的包解析及業(yè)務(wù)數(shù)據(jù)包的解析;
設(shè)備數(shù)據(jù)采集:采集:客戶端所在設(shè)備的可信數(shù)據(jù);
設(shè)備密鑰:客戶端所在設(shè)備出廠的時(shí)候內(nèi)置,提供簽名接口;
設(shè)備ID:設(shè)備模塊以硬件ID為基礎(chǔ)生成業(yè)務(wù)的唯一ID(比如,上述的設(shè)備驗(yàn)證標(biāo)識)并返回;
加解密:密鑰算法模塊。
在圖5中,對于云端示出了消息分發(fā)服務(wù)器,消息分發(fā)服務(wù)器主要可以實(shí)現(xiàn)以下功能(可以對應(yīng)于相應(yīng)的功能模塊)。
連接管理:負(fù)責(zé)消息分發(fā)服務(wù)器連接的管理和維護(hù);
會話協(xié)商:根據(jù)與客戶端所在設(shè)備的協(xié)商生成和管理會話密鑰,同時(shí)保證會話和連接的維護(hù);
心跳維護(hù):保證長連接;
協(xié)議組裝:組裝網(wǎng)絡(luò)層的數(shù)據(jù)包并封裝業(yè)務(wù);
協(xié)議解析:組裝網(wǎng)絡(luò)層的數(shù)據(jù)包并解析業(yè)務(wù);
設(shè)備ID管理:設(shè)備ID的查詢,廢棄及增加;
設(shè)備密鑰管理:設(shè)備密鑰的查詢,廢棄及增加;
設(shè)備風(fēng)險(xiǎn)管理:根據(jù)設(shè)備采集的數(shù)據(jù)形成設(shè)備風(fēng)險(xiǎn)管理;
訪問控制:對服務(wù)端調(diào)用的訪問控制。
模板中心:形成消息內(nèi)容及展示方式
運(yùn)營中心:對消息的管理及運(yùn)營。
圖6為本申請實(shí)施例提供的一種實(shí)際應(yīng)用場景下,上述信息交互方法的一種交互流程示意圖。
在圖6中,非可信環(huán)境與可信環(huán)境處于設(shè)備上,安全服務(wù)由一個指定的功能模塊實(shí)現(xiàn),認(rèn)證器模塊處于可信環(huán)境中,認(rèn)證器模塊至少包含“可信邏輯處理”和“可信界面展示”兩個子模塊。安全服務(wù)與消息分發(fā)服務(wù)器通過心跳保持長連接。
客戶端所提供的業(yè)務(wù)第一次在設(shè)備上使用時(shí),通過激活設(shè)備的操作觸發(fā)后續(xù)流程的執(zhí)行??蛻舳送ㄟ^安全服務(wù)獲得設(shè)備驗(yàn)證標(biāo)識,其中,設(shè)備驗(yàn)證標(biāo)識是由可信邏輯處理模塊根據(jù)設(shè)備的硬件信息通過執(zhí)行“執(zhí)行base64(Hash(HardID+random))”生成,并采用設(shè)備的私鑰簽名后通過安全服務(wù)返回給客戶端的。
客戶端將獲得的簽名過的設(shè)備驗(yàn)證標(biāo)識發(fā)送給服務(wù)端請求驗(yàn)證,服務(wù)端調(diào)用消息分發(fā)服務(wù)器,以請求消息分發(fā)服務(wù)器對從客戶端收到的簽名過的設(shè)備驗(yàn)證標(biāo)識進(jìn)行驗(yàn)證。
消息分發(fā)服務(wù)器利用預(yù)先獲得的設(shè)備的數(shù)據(jù)(比如,公鑰、硬件信息、設(shè)備驗(yàn)證標(biāo)識等)驗(yàn)證當(dāng)前得到的設(shè)備驗(yàn)證標(biāo)識的簽名是否合法,以及確定設(shè)備是否為可信設(shè)備。
消息分發(fā)服務(wù)器對設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,下發(fā)簽名過的消息到安全服務(wù),安全服務(wù)透傳該消息到可信邏輯處理模塊。
可信邏輯處理模塊驗(yàn)證該消息的簽名,確保該消息可信,驗(yàn)證通過后,調(diào)用可信界面展示模塊生成可信界面以展示該消息。
上面對本申請實(shí)施例提供的信息交互方法進(jìn)行了說明,基于同樣的發(fā)明思路,本申請實(shí)施例還提供了對應(yīng)的裝置,如圖7、圖8、圖9所示。
圖7為本申請實(shí)施例提供的對應(yīng)于圖1的一種信息交互裝置的結(jié)構(gòu)示意圖,設(shè)備中包含客戶端、處于預(yù)設(shè)的可信環(huán)境內(nèi)的認(rèn)證器模塊,所述裝置位于所述客戶端,包括:
獲得模塊701,獲得所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識,所述設(shè)備驗(yàn)證標(biāo)識由所述認(rèn)證器模塊根據(jù)所述設(shè)備的硬件信息得到;
發(fā)送模塊702,將所述設(shè)備驗(yàn)證標(biāo)識發(fā)送給云端,以便于所述云端在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回用于所述認(rèn)證器模塊展示的身份驗(yàn)證碼。
可選地,所述云端包括消息分發(fā)服務(wù)器、所述客戶端對應(yīng)的服務(wù)端;
所述發(fā)送模塊702將所述設(shè)備驗(yàn)證標(biāo)識發(fā)送給云端,具體包括:
所述發(fā)送模塊702將所述設(shè)備驗(yàn)證標(biāo)識發(fā)送給所述服務(wù)端;
所述云端在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回用于所述認(rèn)證器模塊展示的身份驗(yàn)證碼,具體包括:
所述服務(wù)端通過調(diào)用所述消息分發(fā)服務(wù)器,使所述消息分發(fā)服務(wù)器在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回用于所述認(rèn)證器模塊展示的身份驗(yàn)證碼。
可選地,所述客戶端獲得的所述設(shè)備驗(yàn)證標(biāo)識是所述認(rèn)證器模塊進(jìn)行加密處理和/或簽名處理過的;和/或,
所述消息分發(fā)服務(wù)器返回的所述身份驗(yàn)證碼是進(jìn)行加密處理和/或簽名處理過的。
可選地,所述設(shè)備驗(yàn)證標(biāo)識由所述認(rèn)證器模塊根據(jù)所述設(shè)備的硬件信息和所述客戶端的業(yè)務(wù)信息得到。
可選地,所述消息分發(fā)服務(wù)器與所述設(shè)備之間的交互是基于第一安全通道進(jìn)行的,所述第一安全通道由所述設(shè)備上預(yù)定的安全服務(wù)實(shí)現(xiàn);和/或,
所述客戶端與所述認(rèn)證器模塊之間的交互是基于第二安全通道進(jìn)行的,所述第二安全通道由所述設(shè)備上預(yù)定的安全服務(wù)實(shí)現(xiàn)。
可選地,所述設(shè)備包括用戶終端。
圖8為本申請實(shí)施例提供的對應(yīng)于圖2的一種信息交互裝置的結(jié)構(gòu)示意圖,設(shè)備中包含客戶端、處于預(yù)設(shè)的可信環(huán)境內(nèi)的認(rèn)證器模塊,所述裝置位于所述認(rèn)證器模塊,包括:
接收模塊801,接收到所述客戶端的標(biāo)識獲取請求;
返回模塊802,向所述客戶端返回所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識,所述設(shè)備驗(yàn)證標(biāo)識由所述認(rèn)證器模塊根據(jù)所述設(shè)備的硬件信息得到;
展示模塊803,展示云端在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回的身份驗(yàn)證碼,其中,所述云端驗(yàn)證的所述設(shè)備驗(yàn)證標(biāo)識是由所述客戶端發(fā)送給所述云端的。
可選地,所述云端包括消息分發(fā)服務(wù)器、所述客戶端對應(yīng)的服務(wù)端;
所述認(rèn)證器模塊展示的所述身份驗(yàn)證碼是所述消息分發(fā)服務(wù)器對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回的,其中,所述消息分發(fā)服務(wù)器驗(yàn)證的所述設(shè)備驗(yàn)證標(biāo)識是通過所述客戶端將所述設(shè)備驗(yàn)證標(biāo)識發(fā)送給所述服務(wù)端,以及所述服務(wù)端調(diào)用所述消息分發(fā)服務(wù)器而獲得的。
可選地,所述返回模塊802向所述客戶端返回所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識,具體包括:
所述返回模塊802根據(jù)所述設(shè)備的硬件信息,得到所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識,對得到的設(shè)備驗(yàn)證標(biāo)識進(jìn)行加密處理和/或簽名處理,向所述客戶端返回加密處理和/或簽名處理過的設(shè)備驗(yàn)證標(biāo)識,以便所述客戶端將加密處理和/或簽名處理過的設(shè)備驗(yàn)證標(biāo)識發(fā)送給所述服務(wù)端。
可選地,所述返回模塊802根據(jù)所述設(shè)備的硬件信息,得到所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識,具體包括:
所述返回模塊802獲得所述客戶端的業(yè)務(wù)信息,根據(jù)所述設(shè)備的硬件信息和所述業(yè)務(wù)信息,得到所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識。
可選地,所述展示模塊803展示云端在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回的身份驗(yàn)證碼,具體包括:
所述展示模塊803獲得所述消息分發(fā)服務(wù)器在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回的身份驗(yàn)證碼,生成可信界面,所述可信界面處于所述可信環(huán)境內(nèi),在所述可信界面中展示所述身份驗(yàn)證碼。
可選地,所述認(rèn)證器模塊獲得的所述身份驗(yàn)證碼是所述消息分發(fā)服務(wù)器進(jìn)行加密處理和/或簽名處理過的;
所述展示模塊803在所述可信界面中展示所述身份驗(yàn)證碼前,對加密處理和/或簽名處理過的身份驗(yàn)證碼進(jìn)行解密處理和/或簽名驗(yàn)證處理。
可選地,所述消息分發(fā)服務(wù)器與所述設(shè)備之間的交互是基于第一安全通道進(jìn)行的,所述第一安全通道由所述設(shè)備上預(yù)定的安全服務(wù)實(shí)現(xiàn);和/或,
所述客戶端與所述認(rèn)證器模塊之間的交互是基于第二安全通道進(jìn)行的,所述第二安全通道由所述設(shè)備上預(yù)定的安全服務(wù)實(shí)現(xiàn)。
可選地,所述設(shè)備包括用戶終端。
圖9為本申請實(shí)施例提供的對應(yīng)于圖3的一種信息交互裝置的結(jié)構(gòu)示意圖,設(shè)備中包含客戶端、處于預(yù)設(shè)的可信環(huán)境內(nèi)的認(rèn)證器模塊,所述裝置位于云端,包括:
獲得模塊901,獲得所述客戶端發(fā)送的所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識,所述設(shè)備驗(yàn)證標(biāo)識由所述認(rèn)證器模塊根據(jù)所述設(shè)備的硬件信息得到;
驗(yàn)證模塊902,對所述設(shè)備驗(yàn)證標(biāo)識進(jìn)行驗(yàn)證;
返回模塊903,在所述驗(yàn)證模塊902對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回用于所述認(rèn)證器模塊展示的身份驗(yàn)證碼。
可選地,所述裝置包括:消息分發(fā)服務(wù)器、所述客戶端對應(yīng)的服務(wù)端;所述獲得模塊901位于所述服務(wù)端,所述驗(yàn)證模塊902、所述返回模塊903位于所述消息分發(fā)服務(wù)器;
所述獲得模塊901獲得所述客戶端發(fā)送的所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識,具體包括:
所述服務(wù)端獲得所述客戶端發(fā)送的所述設(shè)備的設(shè)備驗(yàn)證標(biāo)識;
所述驗(yàn)證模塊902對所述設(shè)備驗(yàn)證標(biāo)識進(jìn)行驗(yàn)證,具體包括:
所述服務(wù)端通過調(diào)用所述消息分發(fā)服務(wù)器,將所述設(shè)備驗(yàn)證標(biāo)識發(fā)送給所述消息分發(fā)服務(wù)器;
所述消息分發(fā)服務(wù)器對接收到的所述設(shè)備驗(yàn)證標(biāo)識進(jìn)行驗(yàn)證;
所述返回模塊903在所述驗(yàn)證模塊902對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回用于所述認(rèn)證器模塊展示的身份驗(yàn)證碼,具體包括:
所述消息分發(fā)服務(wù)器在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,向所述設(shè)備返回用于所述認(rèn)證器模塊展示的身份驗(yàn)證碼。
可選地,所述客戶端發(fā)送的所述設(shè)備驗(yàn)證標(biāo)識是所述認(rèn)證器模塊進(jìn)行加密處理和/或簽名處理過的;和/或,
所述消息分發(fā)服務(wù)器返回的所述身份驗(yàn)證碼是進(jìn)行加密處理和/或簽名處理過的。
可選地,所述服務(wù)端通過調(diào)用消息分發(fā)服務(wù)器,將所述設(shè)備驗(yàn)證標(biāo)識發(fā)送給所述消息分發(fā)服務(wù)器后,在所述消息分發(fā)服務(wù)器在對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過后,生成所述身份驗(yàn)證碼,將所述消息發(fā)送給所述消息分發(fā)服務(wù)器,以便于所述消息分發(fā)服務(wù)器向所述設(shè)備返回所述身份驗(yàn)證碼。
可選地,所述消息分發(fā)服務(wù)器接收到的所述設(shè)備驗(yàn)證標(biāo)識是所述認(rèn)證器模塊進(jìn)行加密處理和/或簽名處理過的;
所述消息分發(fā)服務(wù)器對所述設(shè)備驗(yàn)證標(biāo)識進(jìn)行驗(yàn)證前,對加密處理和/或簽名處理過的設(shè)備驗(yàn)證標(biāo)識進(jìn)行解密處理和/或簽名驗(yàn)證處理。
可選地,所述消息分發(fā)服務(wù)器向所述設(shè)備返回所述身份驗(yàn)證碼,具體包括:
所述消息分發(fā)服務(wù)器向所述服務(wù)端發(fā)送表明對所述設(shè)備驗(yàn)證標(biāo)識驗(yàn)證通過的通知消息,接收所述服務(wù)端生成并返回的身份驗(yàn)證碼,向所述設(shè)備返回所述身份驗(yàn)證碼,以用于所述認(rèn)證器模塊展示。
可選地,所述消息分發(fā)服務(wù)器向所述設(shè)備返回所述身份驗(yàn)證碼,具體包括:
所述消息分發(fā)服務(wù)器對所述身份驗(yàn)證碼進(jìn)行加密處理和/或簽名處理,向所述設(shè)備返回加密處理和/或簽名處理過的身份驗(yàn)證碼,以用于所述認(rèn)證器模塊進(jìn)行解密處理和/或簽名驗(yàn)證處理后展示。
可選地,所述消息分發(fā)服務(wù)器與所述設(shè)備之間的交互是基于第一安全通道進(jìn)行的,所述第一安全通道由所述設(shè)備上預(yù)定的安全服務(wù)實(shí)現(xiàn);和/或,
所述客戶端與所述認(rèn)證器模塊之間的交互是基于第二安全通道進(jìn)行的,所述第二安全通道由所述設(shè)備上預(yù)定的安全服務(wù)實(shí)現(xiàn)。
可選地,所述設(shè)備包括用戶終端。
本申請實(shí)施例提供的裝置與方法是一一對應(yīng)的,因此,裝置也具有與其對應(yīng)的方法類似的有益技術(shù)效果,由于上面已經(jīng)對方法的有益技術(shù)效果進(jìn)行了詳細(xì)說明,因此,這里不再贅述對應(yīng)裝置的有益技術(shù)效果。
在20世紀(jì)90年代,對于一個技術(shù)的改進(jìn)可以很明顯地區(qū)分是硬件上的改進(jìn)(例如,對二極管、晶體管、開關(guān)等電路結(jié)構(gòu)的改進(jìn))還是軟件上的改進(jìn)(對于方法流程的改進(jìn))。然而,隨著技術(shù)的發(fā)展,當(dāng)今的很多方法流程的改進(jìn)已經(jīng)可以視為硬件電路結(jié)構(gòu)的直接改進(jìn)。設(shè)計(jì)人員幾乎都通過將改進(jìn)的方法流程編程到硬件電路中來得到相應(yīng)的硬件電路結(jié)構(gòu)。因此,不能說一個方法流程的改進(jìn)就不能用硬件實(shí)體模塊來實(shí)現(xiàn)。例如,可編程邏輯器件(Programmable Logic Device,PLD)(例如現(xiàn)場可編程門陣列(Field Programmable Gate Array,F(xiàn)PGA))就是這樣一種集成電路,其邏輯功能由用戶對器件編程來確定。由設(shè)計(jì)人員自行編程來把一個數(shù)字系統(tǒng)“集成”在一片PLD上,而不需要請芯片制造廠商來設(shè)計(jì)和制作專用的集成電路芯片。而且,如今,取代手工地制作集成電路芯片,這種編程也多半改用“邏輯編譯器(logic compiler)”軟件來實(shí)現(xiàn),它與程序開發(fā)撰寫時(shí)所用的軟件編譯器相類似,而要編譯之前的原始代碼也得用特定的編程語言來撰寫,此稱之為硬件描述語言(Hardware Description Language,HDL),而HDL也并非僅有一種,而是有許多種,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware Description Language)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(Ruby Hardware Description Language)等,目前最普遍使用的是VHDL(Very-High-Speed Integrated Circuit Hardware Description Language)與Verilog。本領(lǐng)域技術(shù)人員也應(yīng)該清楚,只需要將方法流程用上述幾種硬件描述語言稍作邏輯編程并編程到集成電路中,就可以很容易得到實(shí)現(xiàn)該邏輯方法流程的硬件電路。
控制器可以按任何適當(dāng)?shù)姆绞綄?shí)現(xiàn),例如,控制器可以采取例如微處理器或處理器以及存儲可由該(微)處理器執(zhí)行的計(jì)算機(jī)可讀程序代碼(例如軟件或固件)的計(jì)算機(jī)可讀介質(zhì)、邏輯門、開關(guān)、專用集成電路(Application Specific Integrated Circuit,ASIC)、可編程邏輯控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320,存儲器控制器還可以被實(shí)現(xiàn)為存儲器的控制邏輯的一部分。本領(lǐng)域技術(shù)人員也知道,除了以純計(jì)算機(jī)可讀程序代碼方式實(shí)現(xiàn)控制器以外,完全可以通過將方法步驟進(jìn)行邏輯編程來使得控制器以邏輯門、開關(guān)、專用集成電路、可編程邏輯控制器和嵌入微控制器等的形式來實(shí)現(xiàn)相同功能。因此這種控制器可以被認(rèn)為是一種硬件部件,而對其內(nèi)包括的用于實(shí)現(xiàn)各種功能的裝置也可以視為硬件部件內(nèi)的結(jié)構(gòu)?;蛘呱踔粒梢詫⒂糜趯?shí)現(xiàn)各種功能的裝置視為既可以是實(shí)現(xiàn)方法的軟件模塊又可以是硬件部件內(nèi)的結(jié)構(gòu)。
上述實(shí)施例闡明的系統(tǒng)、裝置、模塊或單元,具體可以由計(jì)算機(jī)芯片或?qū)嶓w實(shí)現(xiàn),或者由具有某種功能的產(chǎn)品來實(shí)現(xiàn)。一種典型的實(shí)現(xiàn)設(shè)備為計(jì)算機(jī)。具體的,計(jì)算機(jī)例如可以為個人計(jì)算機(jī)、膝上型計(jì)算機(jī)、蜂窩電話、相機(jī)電話、智能電話、個人數(shù)字助理、媒體播放器、導(dǎo)航設(shè)備、電子郵件設(shè)備、游戲控制臺、平板計(jì)算機(jī)、可穿戴設(shè)備或者這些設(shè)備中的任何設(shè)備的組合。
為了描述的方便,描述以上裝置時(shí)以功能分為各種單元分別描述。當(dāng)然,在實(shí)施本申請時(shí)可以把各單元的功能在同一個或多個軟件和/或硬件中實(shí)現(xiàn)。
本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白,本發(fā)明的實(shí)施例可提供為方法、系統(tǒng)、或計(jì)算機(jī)程序產(chǎn)品。因此,本發(fā)明可采用完全硬件實(shí)施例、完全軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且,本發(fā)明可采用在一個或多個其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲介質(zhì)(包括但不限于磁盤存儲器、CD-ROM、光學(xué)存儲器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。
本發(fā)明是參照根據(jù)本發(fā)明實(shí)施例的方法、設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合??商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機(jī)器,使得通過計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
這些計(jì)算機(jī)程序指令也可存儲在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲器中,使得存儲在該計(jì)算機(jī)可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實(shí)現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上,使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理,從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。
在一個典型的配置中,計(jì)算設(shè)備包括一個或多個處理器(CPU)、輸入/輸出接口、網(wǎng)絡(luò)接口和內(nèi)存。
內(nèi)存可能包括計(jì)算機(jī)可讀介質(zhì)中的非永久性存儲器,隨機(jī)存取存儲器(RAM)和/或非易失性內(nèi)存等形式,如只讀存儲器(ROM)或閃存(flash RAM)。內(nèi)存是計(jì)算機(jī)可讀介質(zhì)的示例。
計(jì)算機(jī)可讀介質(zhì)包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術(shù)來實(shí)現(xiàn)信息存儲。信息可以是計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序的模塊或其他數(shù)據(jù)。計(jì)算機(jī)的存儲介質(zhì)的例子包括,但不限于相變內(nèi)存(PRAM)、靜態(tài)隨機(jī)存取存儲器(SRAM)、動態(tài)隨機(jī)存取存儲器(DRAM)、其他類型的隨機(jī)存取存儲器(RAM)、只讀存儲器(ROM)、電可擦除可編程只讀存儲器(EEPROM)、快閃記憶體或其他內(nèi)存技術(shù)、只讀光盤只讀存儲器(CD-ROM)、數(shù)字多功能光盤(DVD)或其他光學(xué)存儲、磁盒式磁帶,磁帶磁磁盤存儲或其他磁性存儲設(shè)備或任何其他非傳輸介質(zhì),可用于存儲可以被計(jì)算設(shè)備訪問的信息。按照本文中的界定,計(jì)算機(jī)可讀介質(zhì)不包括暫存電腦可讀媒體(transitory media),如調(diào)制的數(shù)據(jù)信號和載波。
還需要說明的是,術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、商品或者設(shè)備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、商品或者設(shè)備所固有的要素。在沒有更多限制的情況下,由語句“包括一個……”限定的要素,并不排除在包括所述要素的過程、方法、商品或者設(shè)備中還存在另外的相同要素。
本領(lǐng)域技術(shù)人員應(yīng)明白,本申請的實(shí)施例可提供為方法、系統(tǒng)或計(jì)算機(jī)程序產(chǎn)品。因此,本申請可采用完全硬件實(shí)施例、完全軟件實(shí)施例或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且,本申請可采用在一個或多個其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲介質(zhì)(包括但不限于磁盤存儲器、CD-ROM、光學(xué)存儲器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。
本申請可以在由計(jì)算機(jī)執(zhí)行的計(jì)算機(jī)可執(zhí)行指令的一般上下文中描述,例如程序模塊。一般地,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程、程序、對象、組件、數(shù)據(jù)結(jié)構(gòu)等等。也可以在分布式計(jì)算環(huán)境中實(shí)踐本申請,在這些分布式計(jì)算環(huán)境中,由通過通信網(wǎng)絡(luò)而被連接的遠(yuǎn)程處理設(shè)備來執(zhí)行任務(wù)。在分布式計(jì)算環(huán)境中,程序模塊可以位于包括存儲設(shè)備在內(nèi)的本地和遠(yuǎn)程計(jì)算機(jī)存儲介質(zhì)中。
本說明書中的各個實(shí)施例均采用遞進(jìn)的方式描述,各個實(shí)施例之間相同相似的部分互相參見即可,每個實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處。尤其,對于裝置實(shí)施例或系統(tǒng)實(shí)施例而言,由于其基本相似于方法實(shí)施例,所以描述的比較簡單,相關(guān)之處參見方法實(shí)施例的部分說明即可。
以上所述僅為本申請的實(shí)施例而已,并不用于限制本申請。對于本領(lǐng)域技術(shù)人員來說,本申請可以有各種更改和變化。凡在本申請的精神和原理之內(nèi)所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本申請的權(quán)利要求范圍之內(nèi)。