一种基于双链路的安全通信方法及设备转让专利
申请号 : CN202210094465.2
文献号 : CN114697956B
文献日 : 2023-04-11
发明人 : 叶雄飞
申请人 : 深圳市三诺数字科技有限公司
摘要 :
本申请实施例属于身份认证领域,涉及一种基于双链路的安全通信方法,包括认证终端响应接收的身份认证请求,生成第一认证信息,并与目标终端建立第一通信连接,向目标终端发送第一认证信息;目标终端响应第一认证信息,生成第二认证信息,并与认证终端建立第二通信连接,向认证终端发送第二认证信息,其中第一通信连接和第二通信连接中一个为有线通信连接,另一个为无线通信连接;认证终端根据第二认证信息认证目标终端的身份;在目标终端身份通过后,认证终端通过第一通信连接传输第一数据,目标终端通过第二通信连接传输第二数据。本申请还提供一种基于双链路的安全通信的相关设备。本申请有效提升认证终端和目标终端认证和数据传输时的安全性。
权利要求 :
1.一种基于双链路的安全通信方法,其特征在于,包括下述步骤:认证终端响应接收的身份认证请求,生成第一认证信息,并与目标终端建立第一通信连接,向所述目标终端发送所述第一认证信息;
所述目标终端响应所述第一认证信息,生成第二认证信息,并与所述认证终端建立第二通信连接,向所述认证终端发送所述第二认证信息,其中所述第一通信连接和所述第二通信连接中一个为有线通信连接,另一个为无线通信连接;
所述认证终端根据所述第二认证信息认证所述目标终端的身份;
在所述目标终端身份通过后,所述认证终端通过所述第一通信连接传输第一数据,所述目标终端通过所述第二通信连接传输第二数据。
2.根据权利要求1所述的基于双链路的安全通信方法,其特征在于,所述认证终端响应接收的身份认证请求,生成第一认证信息的步骤包括:认证终端响应接收的身份认证请求,获取认证码;
根据预设的第一加密方式对所述认证码进行加密处理,生成第一认证信息。
3.根据权利要求2所述的基于双链路的安全通信方法,其特征在于,所述目标终端响应所述第一认证信息,生成第二认证信息的步骤包括:所述目标终端根据预设的第一解密方式对所述第一认证信息进行解密处理,生成第一解密码,其中所述第一解密方式与所述第一加密方式对应;
所述目标终端根据预设的第二加密方式对所述第一解密码进行加密处理,生成第二认证信息。
4.根据权利要求3所述的基于双链路的安全通信方法,其特征在于,所述认证终端根据所述第二认证信息认证所述目标终端的身份的步骤包括:所述认证终端通过预设的第二解密方式对所述第二认证信息进行解密处理,得到第二解密码,其中所述第二解密方式与所述第二加密方式对应;
所述认证终端认证所述第二解密码与所述认证码是否一致,生成认证结果。
5.根据权利要求4所述的基于双链路的安全通信方法,其特征在于,所述认证终端认证所述第二解密码与所述认证码是否一致,生成认证结果的步骤包括:若所述第二解密码与所述认证码一致,则认证结果为所述目标终端的身份认证通过;
若所述第二解密码与所述认证码不一致,获取所述目标终端的当次认证次数,判断所述当次认证次数是否满足预设次数阈值,根据所述当次认证次数是否满足预设次数阈值的结果确定所述认证结果。
6.根据权利要求5所述的基于双链路的安全通信方法,其特征在于,所述根据所述当次认证次数是否满足预设次数阈值的结果确定所述认证结果的步骤包括:若所述当次认证次数不满足所述预设次数阈值,则所述认证终端生成新第一认证信息,将所述新第一认证信息通过所述第一通信连接发送至所述目标终端,并通过所述第二通信连接接收所述目标终端响应所述新第一认证信息生成的新第二认证信息,根据所述第二认证信息认证所述目标终端的身份;
若所述当次认证次数满足所述预设次数阈值,则认证结果为所述目标终端的身份认证不通过。
7.根据权利要求1至6中任一项所述的基于双链路的安全通信方法,其特征在于,所述并与目标终端建立第一通信连接的步骤包括:当所述认证终端为虚拟终端时,所述认证终端响应所述身份认证请求,进入预设虚拟模式,并根据所述预设虚拟模式,所述认证终端与所述目标终端建立第一通信连接;
或,所述并与所述认证终端建立第二通信连接的步骤之前,还包括:当所述目标终端为虚拟终端时,所述目标终端响应所述身份认证请求,进入预设虚拟模式;
所述并与所述认证终端建立第二通信连接的步骤包括:根据所述预设虚拟模式,所述目标终端与认证终端建立第二通信连接。
8.一种基于双链路的安全通信装置,其特征在于,包括:
第一发送模块,用于认证终端响应接收的身份认证请求,生成第一认证信息,并与目标终端建立第一通信连接,以向所述目标终端发送所述第一认证信息;
第二发送模块,用于所述目标终端响应所述第一认证信息,生成第二认证信息,并与所述认证终端建立第二通信连接,向所述认证终端发送所述第二认证信息,其中所述第一通信连接和所述第二通信连接中一个为有线通信连接,另一个为无线通信连接;
身份认证模块,用于所述认证终端根据所述第二认证信息认证所述目标终端的身份;
及
数据传输模块,用于在所述目标终端身份通过后,所述认证终端通过所述第一通信连接传输第一数据,所述目标终端通过所述第二通信连接传输第二数据。
9.一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的基于双链路的安全通信方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的基于双链路的安全通信方法的步骤。
说明书 :
一种基于双链路的安全通信方法及设备
技术领域
[0001] 本申请涉及通信安全技术领域,尤其涉及一种基于双链路的安全通信方法、及其相关设备。
背景技术
[0002] 目前,在通过终端(如PC机、平板电脑等)对无线产品进行数据配置,如序列号配置、MAC地址配置/固件升级/降低或数据导入/导出时,需先对终端和/或无线产品进行认证,如终端为认证终端,无线产品为目标终端,认证终端先采用公钥对认证码进行加密,之后将加密的认证码发送至目标终端,目标终端通过预存的私钥加密的认证码进行解密,若解密成功,则认证通过,但此方式容易受到恶意客户端暴力破解,致使在后续认证终端和目标终端均采用上述单链路通信连接向对方进行数据传输,恶意客户端可窃取认证终端和目标终端双方之间传输的数据,安全性低。
发明内容
[0003] 本申请实施例的目的在于提出一种基于双链路的安全通信方法、及其相关设备,以解决现有技术中认证及数据传输安全性低的问题。
[0004] 为了解决上述技术问题,本申请实施例提供一种基于双链路的安全通信方法,采用了如下所述的技术方案:
[0005] 认证终端响应接收的身份认证请求,生成第一认证信息,并与目标终端建立第一通信连接,向所述目标终端发送所述第一认证信息;
[0006] 所述目标终端响应所述第一认证信息,生成第二认证信息,并与所述认证终端建立第二通信连接,向所述认证终端发送所述第二认证信息,其中所述第一通信连接和所述第二通信连接中一个为有线通信连接,另一个为无线通信连接;
[0007] 所述认证终端根据所述第二认证信息认证所述目标终端的身份;
[0008] 在所述目标终端身份通过后,所述认证终端通过所述第一通信连接传输第一数据,所述目标终端通过所述第二通信连接传输第二数据。
[0009] 进一步的,所述认证终端响应接收的身份认证请求,生成第一认证信息的步骤包括:
[0010] 认证终端响应接收的身份认证请求,获取认证码;
[0011] 根据预设的第一加密方式对所述认证码进行加密处理,生成第一认证信息。
[0012] 进一步的,所述目标终端响应所述第一认证信息,生成第二认证信息的步骤包括:
[0013] 所述目标终端根据预设的第一解密方式对所述第一认证信息进行解密处理,生成第一解密码;
[0014] 所述目标终端根据预设的第二加密方式对所述第一解密码进行加密处理,生成第二认证信息。
[0015] 进一步的,所述认证终端根据所述第二认证信息认证所述目标终端的身份的步骤包括:
[0016] 所述认证终端通过预设的第二解密方式对所述第二认证信息进行解密处理,得到第二解密码;
[0017] 所述认证终端认证所述第二解密码与所述认证码是否一致,生成认证结果。
[0018] 进一步的,所述认证终端认证所述第二解密码与所述认证码是否一致,生成认证结果的步骤包括:
[0019] 若所述第二解密码与所述认证码一致,则认证结果为所述目标终端的身份认证通过;
[0020] 若所述第二解密码与所述认证码不一致,获取所述目标终端的当次认证次数,判断所述当次认证次数是否满足预设次数阈值,根据所述当次认证次数是否满足预设次数阈值的结果确定所述认证结果。
[0021] 进一步的,所述根据所述当次认证次数是否满足预设次数阈值的结果确定所述认证结果的步骤之包括:
[0022] 若所述当次认证次数不满足所述预设次数阈值,则所述认证终端生成新第一认证信息,将所述新第一认证信息通过所述第一通信连接发送至所述目标终端,并通过所述第二通信连接接收所述目标终端响应所述新第一认证信息生成的新第二认证信息,根据所述第二认证信息认证所述目标终端的身份;
[0023] 若所述当次认证次数满足所述预设次数阈值,则认证结果为所述目标终端的身份认证不通过。
[0024] 进一步的,所述并与目标终端建立第一通信连接的步骤包括:
[0025] 当所述认证终端为虚拟终端时,所述认证终端响应所述身份认证请求,进入预设虚拟模式,并根据所述预设虚拟模式,所述认证终端与所述目标终端建立第一通信连接;
[0026] 或,所述并与所述认证终端建立第二通信连接的步骤之前,还包括:当所述目标终端为虚拟终端时,所述目标终端响应所述身份认证请求,进入预设虚拟模式;
[0027] 所述并与所述认证终端建立第二通信连接的步骤包括:根据所述预设虚拟模式,所述目标终端与认证终端建立第二通信连接。
[0028] 为了解决上述技术问题,本申请实施例还提供一种基于双链路的安全通信装置,采用了如下所述的技术方案:
[0029] 第一发送模块,用于认证终端响应接收的身份认证请求,生成第一认证信息,并与目标终端建立第一通信连接,以向所述目标终端发送所述第一认证信息;
[0030] 第二发送模块,用于所述目标终端响应所述第一认证信息,生成第二认证信息,并与所述认证终端建立第二通信连接,向所述认证终端发送所述第二认证信息,其中所述第一通信连接和所述第二通信连接中一个为有线通信连接,另一个为无线通信连接;
[0031] 身份认证模块,用于所述认证终端根据所述第二认证信息认证所述目标终端的身份;及
[0032] 数据传输模块,用于在所述目标终端身份通过后,所述认证终端通过所述第一通信连接传输第一数据,所述目标终端通过所述第二通信连接传输第二数据。
[0033] 为了解决上述技术问题,本申请实施例还提供一种计算机设备,采用了如下所述的技术方案:
[0034] 包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时实现如上所述的基于双链路的安全通信方法的步骤。
[0035] 为了解决上述技术问题,本申请实施例还提供一种计算机可读存储介质,采用了如下所述的技术方案:
[0036] 所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的基于双链路的安全通信方法的步骤。
[0037] 与现有技术相比,本申请实施例主要有以下有益效果:通过认证终端响应接收的身份认证请求,生成第一认证信息,并与目标终端建立第一通信连接,向目标终端发送第一认证信息;目标终端响应第一认证信息,生成第二认证信息,并与认证终端建立第二通信连接,向认证终端发送第二认证信息,其中第一通信连接和第二通信连接中一个为有线通信连接,另一个为无线通信连接;认证终端根据第二认证信息认证目标终端的身份;在目标终端身份通过后,认证终端通过第一通信连接传输第一数据,目标终端通过第二通信连接传输第二数据。本申请的认证终端通过第一通信连接向目标终端发送第一认证信息,且目标终端响应第一认证信息生成第二认证信息,并通过第二通信连接向认证终端发送第二认证信息,其中第一通信连接和第二通信连接的通信方式不同,之后认证终端根据第二认证信息认证目标终端的身份,形成双链路式的身份认证,有效提升认证阶段的安全性,同时在目标终端身份通过后,认证终端通过第一通信连接传输第一数据,目标终端通过第二通信连接传输第二数据,这样可有效避免认证终端与目标终端在进行数据传输时,数据被非法修改的现象,大大提升了数据传输的安全性。
附图说明
[0038] 为了更清楚地说明本申请中的方案,下面将对本申请实施例描述中所需要使用的附图作一个简单介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0039] 图1是本申请可以应用于其中的示例性系统架构图;
[0040] 图2是根据本申请的基于双链路的安全通信方法的一个实施例的流程图;
[0041] 图3是根据本申请的基于双链路的安全通信装置的一个实施例的结构示意图;
[0042] 图4是根据本申请的计算机设备的一个实施例的结构示意图。
具体实施方式
[0043] 除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同;本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请;本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。本申请的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。
[0044] 在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
[0045] 为了使本技术领域的人员更好地理解本申请方案,下面将结合附图,对本申请实施例中的技术方案进行清楚、完整地描述。
[0046] 如图1所示,系统架构100可以包括终端设备101、102、103,网络104 和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
[0047] 用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如网页浏览器应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
[0048] 终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving Picture EXperts Group Audio Layer III,动态影像专家压缩标准音频层面 3)、MP4(Moving Picture EXperts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。
[0049] 服务器105可以是提供各种服务的服务器,例如对终端设备101、102、 103上显示的页面提供支持的后台服务器。
[0050] 需要说明的是,本申请实施例所提供的基于双链路的安全通信方法一般由服务器/终端设备执行,相应地,基于双链路的安全通信装置一般设置于服务器/终端设备中。
[0051] 应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
[0052] 继续参考图2,示出了根据本申请的基于双链路的安全通信的方法的一个实施例的流程图。所述的基于双链路的安全通信方法,包括以下步骤:
[0053] 步骤S201,认证终端响应接收的身份认证请求,生成第一认证信息,并与目标终端建立第一通信连接,向所述目标终端发送所述第一认证信息。
[0054] 在本实施例中,上述身份认证请求可由用户操作认证终端生成,如用户通过操作认证终端上的虚拟按键或实体按键生成;身份认证请求还可由第三终端发送至认证终端,如第三终端为用户端,认证终端为PC机,由用户端生成身份认证请求,之后将身份认证请求发送至PC机。
[0055] 上述第一认证信息由文字和/或数字构成,其中第一认证信息的构成越复杂,第一认证信息的安全性越高。
[0056] 上述第一通信连接可为有线通信或无线通信;示例的,有线通信可为USB 通信、type‑c通信等,无线通信可为蓝牙通信、WIFI通信、2.4G通信等。
[0057] 步骤S202,所述目标终端响应所述第一认证信息,生成第二认证信息,并与所述认证终端建立第二通信连接,向所述认证终端发送所述第二认证信息,其中所述第一通信连接和所述第二通信连接中一个为有线通信连接,另一个为无线通信连接。
[0058] 在本实施例中,目标终端对第一认证信息进行解密和加密步骤(具体请参见下文描述)后,生成第二认证信息,其中第二认证信息与第一认证信息不同,第一认证信息用于供目标终端进行验证,第二认证信息用于供认证终端进行验证,这样配合第一通信连接和第二通信连接,实现双链路认证,有效提升认证的安全性,减少信息被修改的可能性。
[0059] 上述第二通信连接可为有线通信或无线通信;示例的,有线通信可为USB 通信、type‑c通信等,无线通信可为蓝牙通信、WIFI通信、2.4G通信等。
[0060] 需要说明的是,第二通信连接与第一通信连接的通信方式不同,以实现双链路认证;示例的,当第二通信连接为USB通信时,第一通信连接可为蓝牙通信、WIFI通信、2.4G通信。
[0061] 进一步说明的是,目标终端发送第一认证信息时,还携带发送用于建立第二通信连接的通信指令,在当目标终端接收到通信指令后,响应该通信指令,与认证终端建立第二通信连接;此外,也可在认证终端与目标终端建立第一通信连接时,同时建立第二通信连接,也可在目标终端响应第一认证信息后,自动与认证终端建立第二通信连接。
[0062] 步骤S203,所述认证终端根据所述第二认证信息认证所述目标终端的身份。
[0063] 在本实施例中,关于认证终端根据第二认证信息认证目标终端身份的步骤请参见下文描述。
[0064] 在本步骤中,若目标终端身份认证通过后,即表征为第一通信连接和第二通信连接的认证通过,此时认证终端可通过第一通信连接向目标终端传输数据,而目标终端可通过第二通信连接向认证终端传输数据。
[0065] 若目标终端身份认证不通过,则通过发送提示至认证终端和/或目标终端,由用户确认后,再进行重新认证,或目标终端身份认证不通过后,自动重新认证。
[0066] 综上,在上述步骤S201至S203;示例的,上述认证终端可为虚拟终端,上述目标终端可为具有USB功能及蓝牙功能(用于建立第二通信连接)的终端,初始时,目标终端通过USB线材接入至认证终端中,之后用户操作或自动触发认证终端的预设虚拟模式指令,认证终端进入预设虚拟模式,作为虚拟终端,并根据USB线材与目标终端建立第一通信连接,之后依据上述步骤 S202和S203认证目标终端的身份;这样将认证终端作为虚拟终端,模拟串口的模式,可通过认证终端对目标终端进行固件升级、系统修改等权限操作,大大提升了权限操作的便利性。
[0067] 步骤S204,在所述目标终端身份通过后,所述认证终端通过所述第一通信连接传输第一数据,所述目标终端通过所述第二通信连接传输第二数据。
[0068] 在本实施例中,第一通信连接为单向传输,认证终端可通过第一通信连接传输数据至目标终端,目标终端不可通过第一通信连接传输数据至认证终端,若需实现目标终端通过第一通信连接传输数据至认证终端,则需进行身份认证;如A终端可通过第一通信连接传输数据至B终端,B终端不可通过第一通信连接传输数据至A终端,则可通过将B终端作为认证终端,A终端作为目标终端,重复步骤S201至S203,从而实现B终端对A终端的身份认证,若 A终端的身份认证通过后,B终端即可通过第一通信连接传输数据至A终端。
[0069] 同理,第二通信连接为单向传输,目标终端可通过第二通信连接向认证终端传输数据,若需实现认证终端可通过第二通信连接向目标终端传输数据,则需对目标终端进行认证,具体认证方式与上文中“B终端认证A终端”相同。
[0070] 进一步的,在数据库中预存有重要标识,每当认证终端通过第一通信连接传输第一数据,和/或目标终端通过第二通信连接传输第二数据,都需确认第一数据/第二数据是否为重要数据,若第一数据/第二数据为重要数据时,则对第一数据/第二数据进行加密,如认证终端传输的第一数据通过下述的第一加密方式进行加密,目标终端的第二数据通过下述的第二加密方式进行加密,以保证数据传输的安全性。
[0071] 其中,上述重要标识可为编码,如第一数据/第二数据携带有编码为01 的标识时,则认为携带该标识的第一数据/第二数据为重要数据,需对第一数据/第二数据进行加密;又如上述重要标识可为预设文本信息,如通过识别第一数据/第二数据的文本信息,若第一数据/第二数据包含重要标识(如重要标识为MAC、S/N等字段)时,则认为携带该标识的第一数据/第二数据为重要数据,需对第一数据/第二数据进行加密。
[0072] 需要说明的是,也可无需确认第一数据/第二数据是否为重要数据,每当认证终端通过第一通信连接传输第一数据,和/或目标终端通过第二通信连接传输第二数据,都需对第一数据/第二数据进行加密处理,以进一步保证数据传输的安全性。
[0073] 在一些可选的实现方式中,上述步骤S201,所述认证终端响应接收的身份认证请求,生成第一认证信息的步骤包括:
[0074] 认证终端响应接收的身份认证请求,获取认证码;
[0075] 根据预设的第一加密方式对所述认证码进行加密处理,生成第一认证信息。
[0076] 在本实施例中,上述认证码为随机码,以提升认证的安全性,进一步的防止认证终端受到恶意攻击;其中,上述随机码可为数字和/或文字的构成,如随机码为“30”,又如随机码为“数字50”,这样使随机码的随机性更强,安全性更高。
[0077] 需要说明的是,在当次生成的随机码还用于在后续步骤中与第二认证信息进行比对,以根据随机码和第二认证信息是否一致,得到第二终端的身份认证结果。
[0078] 上述第一加密方式预存于认证终端中,如第一加密方式采用约定的密钥 KeyA将随机码StrN加密为StrA,上述中StrA即为第一认证信息。
[0079] 在一些可选的实现方式中,上述步骤S202,所述目标终端响应所述第一认证信息,生成第二认证信息的步骤包括:
[0080] 所述目标终端根据预设的第一解密方式对所述第一认证信息进行解密处理,生成第一解密码;
[0081] 所述目标终端根据预设的第二加密方式对所述第一解密码进行加密处理,生成第二认证信息。
[0082] 在本实施例中,上述第一解密方式和第二加密方式预存于目标终端中,其中第一解密方式与第一加密方式对应,以用于解密第一加密方式加密后的信息;如第一解密方式采用约定的密钥KeyA将StrA解密为StrN2,其中StrN2 为第一解密码,之后通过第二加密方式所采用的KeyB将第一解密码StrN2加密为StrB,上述中StrB即为第二认证信息。
[0083] 在一些可选的实现方式中,上述步骤S203,所述认证终端根据所述第二认证信息认证所述目标终端的身份的步骤包括:
[0084] 所述认证终端通过预设的第二解密方式对所述第二认证信息进行解密处理,得到第二解密码;
[0085] 所述认证终端认证所述第二解密码与所述认证码是否一致,生成认证结果。
[0086] 在本实施例中,上述第二解密方式预存于目标终端中,其中第二解密方式与第二加密方式对应,以用于解密第二加密方式加密后的信息;如第二解密方式采用约定的KeyB将StrB解密为StrN3,其中StrN3为第二解密码,之后将第二解密码StrN3与认证码StrN进行比对,生成认证结果。
[0087] 在一些可选的实现方式中,所述认证终端认证所述第二解密码与所述认证码是否一致,生成认证结果的步骤包括:
[0088] 若所述第二解密码与所述认证码一致,则认证结果为所述目标终端的身份认证通过;
[0089] 若所述第二解密码与所述认证码不一致,获取所述目标终端的当次认证次数,判断所述当次认证次数是否满足预设次数阈值,根据所述当次认证次数是否满足预设次数阈值的结果确定所述认证结果。
[0090] 在本实施例中,上述步骤中“若第二解密码与认证码一致”,则得到目标终端认证通过的认证结果,若认证终端传输目标数据至目标终端,可通过第一加密方式将目标数据进行加密后,得到加密数据,之后认证终端通过第一通信连接将加密数据发送至目标终端中,目标终端通过第一解密方式将加密数据进行解密后,得到目标数据;同理,若目标终端传输目标数据至认证终端时,通过第二加密方式对目标数据进行加密,得到加密数据,之后目标终端通过第二通信连接将加密数据发送至认证终端中,认证终端通过第二解密方式将加密数据进行解密后,得到目标数据;这样以有效提升数据传输的安全性,以避免数据被恶意修改的现象。
[0091] 上述“若第二解密码与认证码不一致”,则获取目标终端的当次认证次数,其中当次认证次数表征为目标终端在当次的认证总次数,如目标终端在当次认证次数为1,当目标终端在预设时间段内再次进行认证时,则当次认证次数加1,此时当次认证次数为2,以此类推。
[0092] 上述“根据所述当次认证次数是否满足预设次数阈值的结果确定所述认证结果”的步骤的具体过程请参见下文描述。
[0093] 在一些可选的实现方式中,所述根据所述当次认证次数是否满足预设次数阈值的结果确定所述认证结果的步骤之包括:
[0094] 若所述当次认证次数不满足所述预设次数阈值,则所述认证终端生成新第一认证信息,将所述新第一认证信息通过所述第一通信连接发送至所述目标终端,并通过所述第二通信连接接收所述目标终端响应所述新第一认证信息生成的新第二认证信息,根据所述第二认证信息认证所述目标终端的身份;
[0095] 若所述当次认证次数满足所述预设次数阈值,则认证结果为所述目标终端的身份认证不通过。
[0096] 在本实施例中,若当次认证次数不满足预设次数阈值,如当次认证次数小于预设次数阈值时,则向认证终端和/或目标终端上展示认证失败信息,并可同时展示是否需要重新认证的提示,可通过确认重新认证的操作对目标终端进行重新认证;若当次认证次数满足预设次数阈值时,如当次认证次数大于或等于预设次数阈值时,则向认证终端和/或目标终端上展示认证失败信息,并展示是否需要等待一段时间后才可重新认证的提示。
[0097] 进一步的,若当次认证次数满足预设次数阈值时,可向目标终端提供另一认证方式,如获取目标终端的历史认证记录,若在历史认证记录中最近时间段内认证通过的次数大于或等于预设值,则目标终端向认证终端发送数字证书,认证终端将数字证书与历史认证记录中的数字证书比对,若一致,则目标终端认证通过,若不一致,则目标终端认证失败,向认证终端和/或目标终端上展示认证失败信息,并展示是否需要等待一段时间后才可重新认证的提示。
[0098] 在一些可选的实现方式中,上述步骤S201,所述并与目标终端建立第一通信连接的步骤包括:
[0099] 当所述认证终端为虚拟终端时,所述认证终端响应所述身份认证请求,进入预设虚拟模式,并根据所述预设虚拟模式,所述认证终端与所述目标终端建立第一通信连接。
[0100] 在本实施例中,当认证终端与目标终端连接时(如通过USB线材连接),认证终端自动进入预设虚拟模式,此时使认证终端作为虚拟终端,之后虚拟终端(认证终端)与目标终端建立第一通信连接,以当目标终端认证通过后,虚拟终端(认证终端)可通过第一通信连接对目标终端进行固件更新、数据导出、数据录入等操作。
[0101] 或,所述并与所述认证终端建立第二通信连接的步骤之前,还包括:当所述目标终端为虚拟终端时,所述目标终端响应所述身份认证请求,进入预设虚拟模式;
[0102] 所述并与所述认证终端建立第二通信连接的步骤包括:根据所述预设虚拟模式,所述目标终端与认证终端建立第二通信连接。
[0103] 在本实施例中,可在“目标终端与认证终端建立第二通信连接”之前的任意时候,使目标终端进入预设虚拟模式,以使目标终端作为虚拟终端。
[0104] 需要说明的是,“认证终端为虚拟终端”和“目标终端为虚拟终端”的不同之处在于:二者的终端主体不同,但二者同样可实现认证的功能;当认证终端为虚拟终端时,示例的,如认证终端为PC机,目标终端为蓝牙产品,由 PC机对蓝牙产品进行认证;当目标终端为虚拟终端时,示例的,如认证终端为蓝牙产品,目标终端为PC机,由蓝牙产品对PC机进行认证。
[0105] 本申请的认证终端通过第一通信连接向目标终端发送第一认证信息,且目标终端响应第一认证信息生成第二认证信息,并通过第二通信连接向认证终端发送第二认证信息,其中第一通信连接和第二通信连接的通信方式不同,之后认证终端根据第二认证信息认证目标终端的身份,形成双链路式的身份认证,有效提升认证阶段的安全性,同时在目标终端身份通过后,认证终端通过第一通信连接传输第一数据,目标终端通过第二通信连接传输第二数据,这样可有效避免认证终端与目标终端在进行数据传输时,数据被非法修改的现象,大大提升了数据传输的安全性。
[0106] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,前述的存储介质可为磁碟、光盘、只读存储记忆体(Read‑Only Memory,ROM)等非易失性存储介质,或随机存储记忆体(Random Access Memory, RAM)等。
[0107] 应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
[0108] 进一步参考图3,作为对上述图2所示方法的实现,本申请提供了一种基于双链路的安全通信装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
[0109] 如图3所示,本实施例所述的基于双链路的安全通信装置300包括:第一发送模块301、第二发送模块302、身份认证模块303以及数据传输模块304。
[0110] 其中:
[0111] 第一发送模块301,用于认证终端响应接收的身份认证请求,生成第一认证信息,并与目标终端建立第一通信连接,以向所述目标终端发送所述第一认证信息;
[0112] 第二发送模块302,用于所述目标终端响应所述第一认证信息,生成第二认证信息,并与所述认证终端建立第二通信连接,向所述认证终端发送所述第二认证信息,其中所述第一通信连接和所述第二通信连接中一个为有线通信连接,另一个为无线通信连接;
[0113] 身份认证模块303,用于所述认证终端根据所述第二认证信息认证所述目标终端的身份;及
[0114] 数据传输模块304,用于在所述目标终端身份通过后,所述认证终端通过所述第一通信连接传输第一数据,所述目标终端通过所述第二通信连接传输第二数据。
[0115] 本申请的认证终端通过第一通信连接向目标终端发送第一认证信息,且目标终端响应第一认证信息生成第二认证信息,并通过第二通信连接向认证终端发送第二认证信息,其中第一通信连接和第二通信连接的通信方式不同,之后认证终端根据第二认证信息认证目标终端的身份,形成双链路式的身份认证,有效提升认证阶段的安全性,同时在目标终端身份通过后,认证终端通过第一通信连接传输第一数据,目标终端通过第二通信连接传输第二数据,这样可有效避免认证终端与目标终端在进行数据传输时,数据被非法修改的现象,大大提升了数据传输的安全性。
[0116] 在本实施例的一些可选的实现方式中,上述第一发送模块301包括获取子模块以及第一加密子模块;其中:
[0117] 获取子模块,用于认证终端响应接收的身份认证请求,获取认证码;
[0118] 第一加密子模块,用于根据预设的第一加密方式对所述认证码进行加密处理,生成第一认证信息。
[0119] 在本实施例的一些可选的实现方式中,上述第二发送模块302包括第一解密子模块以及第二加密子模块;其中:
[0120] 第一解密子模块,用于所述目标终端根据预设的第一解密方式对所述第一认证信息进行解密处理,生成第一解密码;
[0121] 第二加密子模块,用于所述目标终端根据预设的第二加密方式对所述第一解密码进行加密处理,生成第二认证信息。
[0122] 在本实施例的一些可选的实现方式中,上述身份认证模块303包括第二解密子模块以及认证子模块;其中:
[0123] 第二解密子模块,用于所述认证终端通过预设的第二解密方式对所述第二认证信息进行解密处理,得到第二解密码;
[0124] 认证子模块,用于所述认证终端认证所述第二解密码与所述认证码是否一致,生成认证结果。
[0125] 在本实施例的一些可选的实现方式中,上述认证子模块包括认证通过单元以及确定单元;其中:
[0126] 认证通过单元,用于若所述第二解密码与所述认证码一致,则认证结果为所述目标终端的身份认证通过;
[0127] 确定单元,用于若所述第二解密码与所述认证码不一致,获取所述目标终端的当次认证次数,判断所述当次认证次数是否满足预设次数阈值,根据所述当次认证次数是否满足预设次数阈值的结果确定所述认证结果。
[0128] 在本实施例的一些可选的实现方式中,上述确定单元包括认证子单元以及认证不通过子单元;其中:
[0129] 认证子单元,用于若所述当次认证次数不满足所述预设次数阈值,则所述认证终端生成新第一认证信息,将所述新第一认证信息通过所述第一通信连接发送至所述目标终端,并通过所述第二通信连接接收所述目标终端响应所述新第一认证信息生成的新第二认证信息,根据所述第二认证信息认证所述目标终端的身份;
[0130] 认证不通过子单元,用于若所述当次认证次数满足所述预设次数阈值,则认证结果为所述目标终端的身份认证不通过。
[0131] 在本实施例的一些可选的实现方式中,上述第一发送模块301包括第一建立子模块;或,还包括模式切换模块,且上述第二发送模块302包括第二建立子模块;其中:
[0132] 第一建立子模块,用于当所述认证终端为虚拟终端时,所述认证终端响应所述身份认证请求,进入预设虚拟模式,并根据所述预设虚拟模式,所述认证终端与所述目标终端建立第一通信连接;
[0133] 模式切换模块,用于当所述目标终端为虚拟终端时,所述目标终端响应所述身份认证请求,进入预设虚拟模式;
[0134] 第二建立子模块,用于所述并与所述认证终端建立第二通信连接的步骤包括:根据所述预设虚拟模式,所述目标终端与认证终端建立第二通信连接。
[0135] 为解决上述技术问题,本申请实施例还提供计算机设备。具体请参阅图4,图4为本实施例计算机设备基本结构框图。
[0136] 所述计算机设备4包括通过系统总线相互通信关系存储器41、处理器42、网络接口43。需要指出的是,图中仅示出了具有组件41‑43的计算机设备4,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。其中,本技术领域技术人员可以理解,这里的计算机设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程门阵列(Field-Programmable Gate Array, FPGA)、数字处理器(Digital Signal Processor,DSP)、嵌入式设备等。
[0137] 所述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
[0138] 所述存储器41至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器41可以是所述计算机设备4的内部存储单元,例如该计算机设备4的硬盘或内存。在另一些实施例中,所述存储器41也可以是所述计算机设备4的外部存储设备,例如该计算机设备 4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字 (Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,所述存储器 41还可以既包括所述计算机设备4的内部存储单元也包括其外部存储设备。本实施例中,所述存储器41通常用于存储安装于所述计算机设备4的操作系统和各类应用软件,例如基于双链路的安全通信方法的程序代码等。此外,所述存储器41还可以用于暂时地存储已经输出或者将要输出的各类数据。
[0139] 所述处理器42在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器42通常用于控制所述计算机设备4的总体操作。本实施例中,所述处理器 42用于运行所述存储器41中存储的程序代码或者处理数据,例如运行所述基于双链路的安全通信方法的程序代码。
[0140] 所述网络接口43可包括无线网络接口或有线网络接口,该网络接口43 通常用于在所述计算机设备4与其他电子设备之间建立通信关系。
[0141] 本申请的认证终端通过第一通信连接向目标终端发送第一认证信息,且目标终端响应第一认证信息生成第二认证信息,并通过第二通信连接向认证终端发送第二认证信息,其中第一通信连接和第二通信连接的通信方式不同,之后认证终端根据第二认证信息认证目标终端的身份,形成双链路式的身份认证,有效提升认证阶段的安全性,同时在目标终端身份通过后,认证终端通过第一通信连接传输第一数据,目标终端通过第二通信连接传输第二数据,这样可有效避免认证终端与目标终端在进行数据传输时,数据被非法修改的现象,大大提升了数据传输的安全性。
[0142] 本申请还提供了另一种实施方式,即提供一种计算机可读存储介质,所述计算机可读存储介质存储有基于双链路的安全通信程序,所述基于双链路的安全通信程序可被至少一个处理器执行,以使所述至少一个处理器执行如上述的基于双链路的安全通信方法的步骤。
[0143] 本申请的认证终端通过第一通信连接向目标终端发送第一认证信息,且目标终端响应第一认证信息生成第二认证信息,并通过第二通信连接向认证终端发送第二认证信息,其中第一通信连接和第二通信连接的通信方式不同,之后认证终端根据第二认证信息认证目标终端的身份,形成双链路式的身份认证,有效提升认证阶段的安全性,同时在目标终端身份通过后,认证终端通过第一通信连接传输第一数据,目标终端通过第二通信连接传输第二数据,这样可有效避免认证终端与目标终端在进行数据传输时,数据被非法修改的现象,大大提升了数据传输的安全性。
[0144] 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘) 中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
[0145] 显然,以上所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例,附图中给出了本申请的较佳实施例,但并不限制本申请的专利范围。本申请可以以许多不同的形式来实现,相反地,提供这些实施例的目的是使对本申请的公开内容的理解更加透彻全面。尽管参照前述实施例对本申请进行了详细的说明,对于本领域的技术人员来而言,其依然可以对前述各具体实施方式所记载的技术方案进行修改,或者对其中部分技术特征进行等效替换。凡是利用本申请说明书及附图内容所做的等效结构,直接或间接运用在其他相关的技术领域,均同理在本申请专利保护范围之内。