本發(fā)明涉及通信技術(shù)領(lǐng)域,特別涉及一種授信的終端狀態(tài)轉(zhuǎn)換方法和系統(tǒng)。
背景技術(shù):
金融支付領(lǐng)域,為保證終端設(shè)備上程序的合法性,終端需要引入數(shù)字簽名方案,在終端預(yù)置根公鑰證書,只有使用根公鑰證書下屬的工作公鑰證書對應(yīng)的私鑰的程序才能下載到終端。終端在正常使用狀態(tài)下,下載到終端的程序都要進行簽名,對應(yīng)用程序開發(fā)人員調(diào)試造成極大不便。為了方便應(yīng)用開發(fā)人員調(diào)試,終端有一個調(diào)試狀態(tài),應(yīng)用程序不需要簽名就可以下載到終端。
技術(shù)實現(xiàn)要素:
為此,需要提供一種授信的終端狀態(tài)轉(zhuǎn)換方法,用以解決對終端進行調(diào)試態(tài)和使用態(tài)的轉(zhuǎn)換問題,應(yīng)用開發(fā)人員使用狀態(tài)轉(zhuǎn)換工具進行服務(wù)端和終端共同認證通過后,就可以切換終端的狀態(tài),既方便又安全。
為實現(xiàn)上述目的,發(fā)明人提供了一種授信的終端狀態(tài)轉(zhuǎn)換方法,技術(shù)方案如下:
一種授信的終端狀態(tài)轉(zhuǎn)換方法,包括步驟:
服務(wù)端發(fā)送第一待認證數(shù)據(jù)給狀態(tài)轉(zhuǎn)換工具,所述狀態(tài)轉(zhuǎn)換工具從U-KEY獲取工作公鑰證書和工作私鑰;狀態(tài)轉(zhuǎn)換工具使用所述工作私鑰對所述第一待認證數(shù)據(jù)進行加密,生成第一認證數(shù)據(jù),狀態(tài)轉(zhuǎn)換工具發(fā)送所述工作公鑰證書和所述第一認證數(shù)據(jù)給服務(wù)端;服務(wù)端對第一認證數(shù)據(jù)進行認證;終端發(fā)送第二待認證數(shù)據(jù)給狀態(tài)轉(zhuǎn)換工具;狀態(tài)轉(zhuǎn)換工具使用所述工作私鑰對第二待認證數(shù)據(jù)進行加密,生成第二認證數(shù)據(jù),狀態(tài)轉(zhuǎn)換工具發(fā)送所述工作公鑰證書和所述第二認證數(shù)據(jù)給終端;終端對第二認證數(shù)據(jù)進行認證;若服務(wù)端對第一認證數(shù)據(jù)認證通過且終端對第二認證數(shù)據(jù)認證通過,狀態(tài)轉(zhuǎn)換工具從終端獲取待認證數(shù)據(jù),狀態(tài)轉(zhuǎn)換工具發(fā)送所述待認證數(shù)據(jù)給服務(wù)端;服務(wù)端使用認證私鑰對所述待認證數(shù)據(jù)進行加密生成認證數(shù)據(jù),服務(wù)端發(fā)送所述認證數(shù)據(jù)給狀態(tài)轉(zhuǎn)換工具,狀態(tài)轉(zhuǎn)換工具發(fā)送所述認證數(shù)據(jù)給終端;終端對所述認證數(shù)據(jù)進行認證,若認證通過,對終端狀態(tài)進行轉(zhuǎn)換。
進一步的,服務(wù)端對第一認證數(shù)據(jù)進行認證,包括步驟:服務(wù)端接收所述工作公鑰證書,服務(wù)端提取所述工作公鑰證書中的公鑰,服務(wù)端使用所述公鑰對所述第一認證數(shù)據(jù)進行解密,獲取所述第一認證數(shù)據(jù)中的待認證數(shù)據(jù)明文,比對所述第一認證數(shù)據(jù)中的待認證數(shù)據(jù)明文與所述第一待認證數(shù)據(jù)是否一致,若一致,認證通過;終端對第二認證數(shù)據(jù)進行認證,包括步驟:終端接收所述工作公鑰證書,終端提取所述工作公鑰證書中的公鑰,終端使用所述公鑰對所述第二認證數(shù)據(jù)進行解密,獲取所述第二認證數(shù)據(jù)中的待認證數(shù)據(jù)明文,比對所述第二認證數(shù)據(jù)中的待認證數(shù)據(jù)明文與所述第二待認證數(shù)據(jù)是否一致,若一致,認證通過。
進一步的,所述終端狀態(tài)包括使用態(tài)和調(diào)試態(tài),終端不保存使用態(tài)和調(diào)試態(tài)下的應(yīng)用程序和密鑰;終端從使用態(tài)切換到調(diào)試態(tài),終端清除所述使用態(tài)下終端的密鑰;終端從調(diào)試態(tài)切換到使用態(tài),終端清除所述調(diào)試態(tài)下終端的應(yīng)用程序和密鑰。
進一步的,所述第一待認證數(shù)據(jù)是隨機數(shù),所述第二待認證數(shù)據(jù)是終端主板序列號與隨機數(shù)的組合。
本發(fā)明的有益效果是:應(yīng)用開發(fā)人員通過狀態(tài)轉(zhuǎn)換工具獲取U-KEY的工作公鑰證書和工作私鑰,而當(dāng)狀態(tài)轉(zhuǎn)換工具獲得服務(wù)端和終端的認證通過后,就可以直接使用狀態(tài)轉(zhuǎn)換工具來切換終端的狀態(tài);并且應(yīng)用開發(fā)人員使用的狀態(tài)轉(zhuǎn)換工具中,存儲的是終端根公鑰證書下屬的工作公鑰證書及對應(yīng)的私鑰簽名,保證應(yīng)用開發(fā)人員本來就有權(quán)限下載程序到終端,避免非法轉(zhuǎn)換終端狀態(tài)。
為實現(xiàn)上述目的,發(fā)明人還提供了一種授信的終端狀態(tài)轉(zhuǎn)換系統(tǒng),技術(shù)方案如下:
一種授信的終端狀態(tài)轉(zhuǎn)換系統(tǒng),包括:服務(wù)端、終端、狀態(tài)轉(zhuǎn)換工具,所述狀態(tài)轉(zhuǎn)換工具包括:服務(wù)端認證模塊、終端認證模塊和U-KEY交互模塊;所述服務(wù)端用于:發(fā)送第一待認證數(shù)據(jù)給狀態(tài)轉(zhuǎn)換工具,所述狀態(tài)轉(zhuǎn)換工具從U-KEY獲取工作公鑰證書和工作私鑰;所述U-KEY交互模塊用于:使用所述工作私鑰對所述第一待認證數(shù)據(jù)進行加密,生成第一認證數(shù)據(jù);所述服務(wù)端認證模塊用于:發(fā)送所述工作公鑰證書和所述第一認證數(shù)據(jù)給服務(wù)端;所述服務(wù)端用于:對第一認證數(shù)據(jù)進行認證;所述終端用于:發(fā)送第二待認證數(shù)據(jù)給狀態(tài)轉(zhuǎn)換工具;所述U-KEY交互模塊用于:使用所述工作私鑰對第二待認證數(shù)據(jù)進行加密,生成第二認證數(shù)據(jù);所述終端認證模塊用于:發(fā)送所述工作公鑰證書和所述第二認證數(shù)據(jù)給終端;所述終端用于:對第二認證數(shù)據(jù)進行認證;若服務(wù)端對第一認證數(shù)據(jù)認證通過且終端對第二認證數(shù)據(jù)認證通過,所述終端認證模塊用于:從終端獲取待認證數(shù)據(jù);所述服務(wù)端認證模塊用于:發(fā)送所述待認證數(shù)據(jù)給服務(wù)端;所述服務(wù)端還用于:使用認證私鑰對所述待認證數(shù)據(jù)進行加密生成認證數(shù)據(jù),服務(wù)端發(fā)送所述認證數(shù)據(jù)給狀態(tài)轉(zhuǎn)換工具;所述終端認證模塊還用于:發(fā)送所述認證數(shù)據(jù)給終端;所述終端還用于:對所述認證數(shù)據(jù)進行認證,若認證通過,對終端狀態(tài)進行轉(zhuǎn)換。
進一步的,所述服務(wù)端用于:對第一認證數(shù)據(jù)進行認證,包括:服務(wù)端接收所述工作公鑰證書,服務(wù)端提取所述工作公鑰證書中的公鑰,服務(wù)端使用所述公鑰對所述第一認證數(shù)據(jù)進行解密,獲取所述第一認證數(shù)據(jù)中的待認證數(shù)據(jù)明文,比對所述第一認證數(shù)據(jù)中的待認證數(shù)據(jù)明文與所述第一待認證數(shù)據(jù)是否一致,若一致,認證通過;所述終端用于:對第二認證數(shù)據(jù)進行認證,包括:終端接收所述工作公鑰證書,終端提取所述工作公鑰證書中的公鑰,終端使用所述公鑰對所述第二認證數(shù)據(jù)進行解密,獲取所述第二認證數(shù)據(jù)中的待認證數(shù)據(jù)明文,比對所述第二認證數(shù)據(jù)中的待認證數(shù)據(jù)明文與所述第二待認證數(shù)據(jù)是否一致,若一致,認證通過。
進一步的,所述終端狀態(tài)包括使用態(tài)和調(diào)試態(tài),終端不保存使用態(tài)和調(diào)試態(tài)下的應(yīng)用程序和密鑰;終端從使用態(tài)切換到調(diào)試態(tài),終端清除所述使用態(tài)下終端的密鑰;終端從調(diào)試態(tài)切換到使用態(tài),終端清除所述調(diào)試態(tài)下終端的應(yīng)用程序和密鑰。
進一步的,所述第一待認證數(shù)據(jù)是隨機數(shù),所述第二待認證數(shù)據(jù)是終端主板序列號與隨機數(shù)的組合。
本發(fā)明的有益效果是:應(yīng)用開發(fā)人員通過狀態(tài)轉(zhuǎn)換工具獲取U-KEY的工作公鑰證書和工作私鑰,而當(dāng)狀態(tài)轉(zhuǎn)換工具獲得服務(wù)端和終端的認證通過后,就可以直接使用狀態(tài)轉(zhuǎn)換工具來切換終端的狀態(tài);并且應(yīng)用開發(fā)人員使用的狀態(tài)轉(zhuǎn)換工具中,存儲的是終端根公鑰證書下屬的工作公鑰證書及對應(yīng)的私鑰簽名,保證應(yīng)用開發(fā)人員本來就有權(quán)限下載程序到終端,避免非法轉(zhuǎn)換終端狀態(tài)。
附圖說明
圖1為本發(fā)明一種授信的終端狀態(tài)轉(zhuǎn)換系統(tǒng)的模塊圖;
圖2為本發(fā)明一種授信的終端狀態(tài)轉(zhuǎn)換方法的流程圖。
附圖標記說明:
10、服務(wù)端,
20、終端,
30、狀態(tài)轉(zhuǎn)換工具,
40、U-KEY,
301、服務(wù)端認證模塊,
302、終端認證模塊,
303、U-KEY交互模塊,
401、工作公鑰證書,
402、工作私鑰。
具體實施方式
為詳細說明技術(shù)方案的技術(shù)內(nèi)容、構(gòu)造特征、所實現(xiàn)目的及效果,以下結(jié)合具體實施例并配合附圖詳予說明。
請參閱圖2,在本實施例中,U-KEY是插在狀態(tài)轉(zhuǎn)換工具上,本實施例中,狀態(tài)轉(zhuǎn)換工具為PC,其中U-KEY中存儲有終端根公鑰證書下屬的工作公鑰證書及工作私鑰,當(dāng)U-KEY插在狀態(tài)轉(zhuǎn)換工具上后,狀態(tài)轉(zhuǎn)換工具上安裝有交互軟件,使得狀態(tài)轉(zhuǎn)換工具可以從U-KEY上獲取工作公鑰證書和工作私鑰。
具體實現(xiàn)步驟如下:
步驟S201:狀態(tài)轉(zhuǎn)換工具從服務(wù)端獲取第一待認證數(shù)據(jù);首先服務(wù)端自己生成第一待認證數(shù)據(jù),本實施例中第一待認證數(shù)據(jù)是16字節(jié)隨機數(shù),狀態(tài)轉(zhuǎn)換工具再去從服務(wù)端獲取第一待認證數(shù)據(jù),獲取到后,狀態(tài)轉(zhuǎn)換工具把第一待認證數(shù)據(jù)發(fā)送給狀態(tài)轉(zhuǎn)換工具。
在其它實施例中,第一待認證數(shù)據(jù)也可以是其它字節(jié)的隨機數(shù),可以是32字節(jié)的字母、數(shù)字和特殊符號等等的組合,本實施例中通過每次生成16字節(jié)隨機數(shù),確保了每次產(chǎn)生的隨機數(shù)不一樣。
于是在步驟S202中:狀態(tài)轉(zhuǎn)換工具使用U-KEY生成第一認證數(shù)據(jù);狀態(tài)轉(zhuǎn)換工具收到第一待認證數(shù)據(jù)后,狀態(tài)轉(zhuǎn)換工具使用U-KEY中存儲的工作私鑰對第一待認證數(shù)據(jù)進行加密,加密后生成第一認證數(shù)據(jù)。通過使用U-KEY中存儲的工作私鑰對第一待認證數(shù)據(jù)進行加密,確保了生成的第一認證數(shù)據(jù)在數(shù)據(jù)傳輸?shù)倪^程中不會被其它非法的U-KEY截取,去冒充真正合法的U-KEY,引發(fā)安全性問題。
生成第一認證數(shù)據(jù)后,步驟S203:狀態(tài)轉(zhuǎn)換工具將第一認證數(shù)據(jù)和工作公鑰證書發(fā)給服務(wù)端進行認證;這邊的認證是指服務(wù)端通過對接收到的第一認證數(shù)據(jù)進行解密,獲取明文,比對明文是否與服務(wù)端的第一待認證數(shù)據(jù)相同,如果相同,則U-KEY通過了服務(wù)端的認證,獲得了服務(wù)端的認可,既U-KEY取得了可以從服務(wù)端獲取信息并且給服務(wù)端發(fā)送信息的權(quán)限。其中這邊所發(fā)送的工作公鑰證書里面含有可以解密第一認證數(shù)據(jù)的公鑰,是為了方便服務(wù)端收到以后可以提取里面的公鑰,再去解密第一認證數(shù)據(jù)。比如第一待認證數(shù)據(jù)是:D1,使用私鑰S對其進行加密,生成第一認證數(shù)據(jù):D2,私鑰S對應(yīng)的公鑰是G,狀態(tài)轉(zhuǎn)換工具把D2和含有G的證書發(fā)送給了服務(wù)端,服務(wù)端從證書中提取G,再用G去解密D2,獲取到D1。
步驟S204:狀態(tài)轉(zhuǎn)換工具從終端獲取第二待認證數(shù)據(jù);同樣地,終端生成第二待認證數(shù)據(jù),本實施例中第二待認證數(shù)據(jù)是終端主板序列號和隨機數(shù)的組合,這邊的終端主板序列號具有唯一性,可以唯一標識一個終端。終端生成第二待認證數(shù)據(jù)后,狀態(tài)轉(zhuǎn)換工具就去獲取第二待認證數(shù)據(jù)。
在步驟S205中:狀態(tài)轉(zhuǎn)換工具使用U-KEY生成第二認證數(shù)據(jù);狀態(tài)轉(zhuǎn)換工具使用U-KEY中的工作私鑰對第二待認證數(shù)據(jù)進行加密,生成第二認證數(shù)據(jù)。通過使用U-KEY中存儲的工作私鑰對第一待認證數(shù)據(jù)進行加密,確保了生成的第二認證數(shù)據(jù)在數(shù)據(jù)傳輸?shù)倪^程中不會被其它非法的U-KEY截取,去冒充真正合法的U-KEY,引發(fā)安全性問題。
生成第二認證數(shù)據(jù)后,步驟S206:狀態(tài)轉(zhuǎn)換工具將第二認證數(shù)據(jù)和工作公鑰證書發(fā)給終端進行認證;這邊的認證是指終端通過對接收到的第二認證數(shù)據(jù)進行解密,獲取明文,比對明文是否與終端的第二待認證數(shù)據(jù)相同,如果相同,則U-KEY通過了終端的認證,獲得了終端的認可,既U-KEY取得了可以從終端獲取信息并且給終端發(fā)送信息的權(quán)限。其中這邊所發(fā)送的工作公鑰證書里面含有可以解密第二認證數(shù)據(jù)的公鑰,是為了方便服務(wù)端收到以后可以提取里面的公鑰,再去解密第二認證數(shù)據(jù)。
步驟S207:服務(wù)端對第一認證數(shù)據(jù)認證和終端對第二認證數(shù)認證是否都通過;服務(wù)端接收所述工作公鑰證書,服務(wù)端提取所述工作公鑰證書中的公鑰,服務(wù)端使用所述公鑰對所述第一認證數(shù)據(jù)進行解密,獲取所述第一認證數(shù)據(jù)中的待認證數(shù)據(jù)明文,比對所述第一認證數(shù)據(jù)中的待認證數(shù)據(jù)明文與所述第一待認證數(shù)據(jù)是否一致,若一致,認證通過。
終端接收所述工作公鑰證書,終端提取所述工作公鑰證書中的公鑰,終端使用所述公鑰對所述第二認證數(shù)據(jù)進行解密,獲取所述第二認證數(shù)據(jù)中的待認證數(shù)據(jù)明文,比對所述第二認證數(shù)據(jù)中的待認證數(shù)據(jù)明文與所述第二待認證數(shù)據(jù)是否一致,若一致,認證通過。
通過服務(wù)端對U-KEY的認證和終端對U-KEY的認證,當(dāng)兩者都認證通過時,也就意味著U-KEY的合法性得到了服務(wù)端和終端的認可,那么接下來我們就允許U-KEY的持有者使用狀態(tài)轉(zhuǎn)換工具從終端獲取待認證數(shù)據(jù),發(fā)送給服務(wù)端,服務(wù)端使用認證私鑰對待認證數(shù)據(jù)進行加密,生成認證數(shù)據(jù),通過狀態(tài)轉(zhuǎn)換工具把認證數(shù)據(jù)發(fā)送給終端,終端對其進行認證,若認證通過,既意味著服務(wù)端也通過了終端的認可,那么通過服務(wù)端認可的U-KEY的持有者便有權(quán)限可以使用狀態(tài)轉(zhuǎn)換工具對終端的狀態(tài)進行合法地轉(zhuǎn)換,避免非法轉(zhuǎn)換,并且在U-KEY通過服務(wù)端和終端認證通過以后,后續(xù)的步驟都可以自動完成,大大提高了轉(zhuǎn)換的速度,極大地方便了應(yīng)用程序開發(fā)人員的調(diào)試。在步驟S208中:狀態(tài)轉(zhuǎn)換工具發(fā)送要轉(zhuǎn)換的狀態(tài)給終端,終端轉(zhuǎn)換狀態(tài)。狀態(tài)轉(zhuǎn)換工具會從終端獲取終端信息和待認證數(shù)據(jù),所述終端信息是指終端序列號,待認證數(shù)據(jù)是主板序列號和隨機數(shù),其中每個終端的主板序列號是唯一的,在本實施例中隨機數(shù)為16字節(jié)隨機數(shù),在其他實施例中,隨機數(shù)可以為其他位數(shù)的字母或者字符都可以。通過使用具有唯一標識終端的主板序列號與隨機數(shù)的組合,確保了待認證數(shù)據(jù)的唯一性。
狀態(tài)轉(zhuǎn)換工具把這些數(shù)據(jù)發(fā)送給服務(wù)端。服務(wù)端對終端信息進行認證,并生成認證數(shù)據(jù);服務(wù)端獲取到終端信息后,判斷該終端信息的合法性,判斷其是合法的以后,服務(wù)端再使用認證私鑰對待認證數(shù)據(jù)進行加密,生成認證數(shù)據(jù),并把認證數(shù)據(jù)發(fā)送給狀態(tài)轉(zhuǎn)換工具。
在本實施例中,出于安全性要求較高的考慮,因為每個終端使用的公鑰都是不一樣的,因此在服務(wù)端判斷終端信息的時候,不僅僅判斷其合法性,同時也根據(jù)該終端信息,使用與該終端對應(yīng)的私鑰對待認證數(shù)據(jù)進行加密。通過使用私鑰對待認證數(shù)據(jù)進行加密,確保了生成的認證數(shù)據(jù)在數(shù)據(jù)傳輸?shù)倪^程中不會被其它非法者截取,去冒充真正合法的服務(wù)端,對終端進行欺騙,引發(fā)安全性問題。
而在一些其他的實施例中,出于方便性和通用性的考慮,每個終端使用的公鑰是一樣的,因此服務(wù)端只需判斷終端信息的合法性,并且服務(wù)端用通用的私鑰對待認證數(shù)據(jù)進行加密。
狀態(tài)轉(zhuǎn)換工具發(fā)送所述認證數(shù)據(jù)給終端,終端使用公鑰對認證數(shù)據(jù)進行解密,因為服務(wù)端用的是與該終端對應(yīng)的私鑰對待認證數(shù)據(jù)進行加密,因此終端可解密成功,解密成功后,判斷解密后的數(shù)據(jù)中的主板序列號是否是本終端的主板序列號,如果是,則認證通過。認證通過后,狀態(tài)轉(zhuǎn)換工具發(fā)送要轉(zhuǎn)換的狀態(tài)給終端,終端轉(zhuǎn)換到對應(yīng)狀態(tài)。在本實施例中,為了保證安全性,在終端從調(diào)試態(tài)轉(zhuǎn)入使用態(tài)后,設(shè)備上的應(yīng)用程序和密鑰會被全部清除;同樣地終端從使用態(tài)到調(diào)試態(tài)后,設(shè)備上的密鑰也會被全部清除。
在某些實施例中,終端從使用態(tài)轉(zhuǎn)換到調(diào)試態(tài)的時候,為了避免用戶在這上面輸入個人PIN,確保安全性。調(diào)試態(tài)的界面與使用態(tài)有明顯區(qū)別,調(diào)試態(tài)下會每隔幾秒彈出警告框或水印等方式提示,提示使用者這個終端處于調(diào)試態(tài),以免使用者在這種終端上輸入個人的PIN。
請參閱圖1,在某些實施例中,本發(fā)明一種授信的終端狀態(tài)轉(zhuǎn)換系統(tǒng)的方案如下:
系統(tǒng)包括:服務(wù)端10、終端20和狀態(tài)轉(zhuǎn)換工具30,其中U-KEY40是插在狀態(tài)轉(zhuǎn)換工具30上,本實施例中,狀態(tài)轉(zhuǎn)換工具30為PC,其中U-KEY40中存儲有終端根公鑰證書下屬的工作公鑰證書401及工作私鑰402,當(dāng)U-KEY40插在狀態(tài)轉(zhuǎn)換工具30上后,狀態(tài)轉(zhuǎn)換工具30上安裝有交互軟件,使得狀態(tài)轉(zhuǎn)換工具具有U-KEY交互模塊303,其中狀態(tài)轉(zhuǎn)換工具30還包括:服務(wù)端認證模塊301和終端認證模塊302,其中終端認證模塊302主要是用來從終端20獲取信息和發(fā)送信息給終端20,其中服務(wù)端認證模塊301主要是用來從服務(wù)端10獲取信息和發(fā)送信息給服務(wù)端10。
具體如下:
服務(wù)端認證模塊301用于:從服務(wù)端10獲取第一待認證數(shù)據(jù);首先服務(wù)端10自己生成第一待認證數(shù)據(jù),本實施例中第一待認證數(shù)據(jù)是16字節(jié)隨機數(shù),服務(wù)端認證模塊301再去從服務(wù)端10獲取第一待認證數(shù)據(jù),獲取到后,服務(wù)端認證模塊301把第一待認證數(shù)據(jù)發(fā)送給U-KEY交互模塊303。
U-KEY交互模塊303用于:使用U-KEY40生成第一認證數(shù)據(jù);U-KEY交互模塊303收到第一待認證數(shù)據(jù)后,U-KEY交互模塊303使用U-KEY40中存儲的工作私鑰402對第一待認證數(shù)據(jù)進行加密,加密后生成第一認證數(shù)據(jù)。
生成第一認證數(shù)據(jù)后,服務(wù)端認證模塊301用于:將第一認證數(shù)據(jù)和工作公鑰證書401發(fā)給服務(wù)端10進行認證;其中這邊所發(fā)送的工作公鑰證書401里面含有可以解密第一認證數(shù)據(jù)的公鑰,是為了方便服務(wù)端10收到以后可以提取里面的公鑰,再去解密第一認證數(shù)據(jù)。
終端認證模塊302用于:從終端20獲取第二待認證數(shù)據(jù);同樣地,終端20生成第二待認證數(shù)據(jù),本實施例中第二待認證數(shù)據(jù)是終端主板序列號和隨機數(shù)的組合,這邊的終端主板序列號具有唯一性,可以唯一標識一個終端。終端20生成第二待認證數(shù)據(jù)后,終端認證模塊302就去獲取第二待認證數(shù)據(jù),并且終端認證模塊302把第二待認證數(shù)據(jù)發(fā)送給U-KEY交互模塊303。
U-KEY交互模塊303用于:使用U-KEY40生成第二認證數(shù)據(jù);U-KEY交互模塊303使用U-KEY40中的工作私鑰對第二待認證數(shù)據(jù)進行加密,生成第二認證數(shù)據(jù),生成第二認證數(shù)據(jù)后。
終端認證模塊302用于:將第二認證數(shù)據(jù)和工作公鑰證書401發(fā)給終端20進行認證;其中這邊所發(fā)送的工作公鑰證書401里面含有可以解密第二認證數(shù)據(jù)的公鑰,是為了方便服務(wù)端10收到以后可以提取里面的公鑰,再去解密第二認證數(shù)據(jù)。
服務(wù)端10對第一認證數(shù)據(jù)認證和終端20對第二認證數(shù)認證是否都通過;服務(wù)端10還用于:接收所述工作公鑰證書401,服務(wù)端10提取所述工作公鑰證書401中的公鑰,服務(wù)端10使用所述公鑰對所述第一認證數(shù)據(jù)進行解密,獲取所述第一認證數(shù)據(jù)中的待認證數(shù)據(jù)明文,比對所述第一認證數(shù)據(jù)中的待認證數(shù)據(jù)明文與所述第一待認證數(shù)據(jù)是否一致,若一致,認證通過;
終端20還用于:接收所述工作公鑰證書401,終端20提取所述工作公鑰證書401中的公鑰,終端20使用所述公鑰對所述第二認證數(shù)據(jù)進行解密,獲取所述第二認證數(shù)據(jù)中的待認證數(shù)據(jù)明文,比對所述第二認證數(shù)據(jù)中的待認證數(shù)據(jù)明文與所述第二待認證數(shù)據(jù)是否一致,若一致,認證通過。
兩者都驗證通過,那么也就意味著U-KEY40的合法性得到了服務(wù)端10和終端20的認可,那么接下來我們就允許U-KEY40的持有者使用狀態(tài)轉(zhuǎn)換工具30從服務(wù)端10獲取認證數(shù)據(jù),用于終端20的認證;
終端認證模塊302用于:發(fā)送要轉(zhuǎn)換的狀態(tài)給終端20,終端20轉(zhuǎn)換狀態(tài)。終端認證模塊302會從終端20獲取終端信息和待認證數(shù)據(jù),所述終端信息是指終端序列號,待認證數(shù)據(jù)是主板序列號和隨機數(shù),其中每個終端20的主板序列號是唯一的,在本實施例中隨機數(shù)為16字節(jié)隨機數(shù),在其他實施例中,隨機數(shù)可以為其他位數(shù)的字母或者字符都可以。
服務(wù)端認證模塊301用于:把這些數(shù)據(jù)發(fā)送給服務(wù)端10。
服務(wù)端10用于:對終端信息進行認證,并生成認證數(shù)據(jù);服務(wù)端10獲取到終端信息后,判斷該終端信息的合法性,判斷其是合法的以后,服務(wù)端10再使用認證私鑰對待認證數(shù)據(jù)進行加密,生成認證數(shù)據(jù),并把認證數(shù)據(jù)發(fā)送給服務(wù)端認證模塊301。
在本實施例中,出于安全性要求較高的考慮,因為每個終端20使用的公鑰都是不一樣的,因此在服務(wù)端10判斷終端信息的時候,不僅僅判斷其合法性,同時也根據(jù)該終端信息,使用與該終端20對應(yīng)的私鑰對待認證數(shù)據(jù)進行加密。
而在一些其他的實施例中,出于方便性和通用性的考慮,每個終端20使用的公鑰是一樣的,因此服務(wù)端10只需判斷終端信息的合法性,并且服務(wù)端10用通用的私鑰對待認證數(shù)據(jù)進行加密。
終端認證模塊302用于:把所述認證數(shù)據(jù)發(fā)送給終端20。
終端20還用于:使用公鑰對認證數(shù)據(jù)進行解密,因為服務(wù)端10用的是與該終端20對應(yīng)的私鑰對待認證數(shù)據(jù)進行加密,因此終端20可解密成功,解密成功后,判斷解密后的數(shù)據(jù)中的主板序列號是否是本終端20的主板序列號,如果是,則認證通過。
認證通過后,終端認證模塊302還用于:發(fā)送要轉(zhuǎn)換的狀態(tài)給終端20,終端20轉(zhuǎn)換到對應(yīng)狀態(tài)。在本實施例中,為了保證安全性,在終端20從調(diào)試態(tài)轉(zhuǎn)入使用態(tài)后,設(shè)備上的應(yīng)用程序和密鑰會被全部清除;同樣地終端20從使用態(tài)到調(diào)試態(tài)后,設(shè)備上的密鑰也會被全部清除。
在某些實施例中,終端20從使用態(tài)轉(zhuǎn)換到調(diào)試態(tài)的時候,為了避免用戶在這上面輸入個人PIN,確保安全性。調(diào)試態(tài)的界面與使用態(tài)有明顯區(qū)別,調(diào)試態(tài)下會每隔幾秒彈出警告框或水印等方式提示,提示使用者這個終端處于調(diào)試態(tài),以免使用者在這種終端20上輸入個人的PIN。
需要說明的是,在本文中,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來,而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關(guān)系或者順序。而且,術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者終端設(shè)備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、物品或者終端設(shè)備所固有的要素。在沒有更多限制的情況下,由語句“包括……”或“包含……”限定的要素,并不排除在包括所述要素的過程、方法、物品或者終端設(shè)備中還存在另外的要素。此外,在本文中,“大于”、“小于”、“超過”等理解為不包括本數(shù);“以上”、“以下”、“以內(nèi)”等理解為包括本數(shù)。
本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白,上述各實施例可提供為方法、裝置、或計算機程序產(chǎn)品。這些實施例可采用完全硬件實施例、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式。上述各實施例涉及的方法中的全部或部分步驟可以通過程序來指令相關(guān)的硬件來完成,所述的程序可以存儲于計算機設(shè)備可讀取的存儲介質(zhì)中,用于執(zhí)行上述各實施例方法所述的全部或部分步驟。所述計算機設(shè)備,包括但不限于:個人計算機、服務(wù)器、通用計算機、專用計算機、網(wǎng)絡(luò)設(shè)備、嵌入式設(shè)備、可編程設(shè)備、智能移動終端、智能家居設(shè)備、穿戴式智能設(shè)備、車載智能設(shè)備等;所述的存儲介質(zhì),包括但不限于:RAM、ROM、磁碟、磁帶、光盤、閃存、U盤、移動硬盤、存儲卡、記憶棒、網(wǎng)絡(luò)服務(wù)器存儲、網(wǎng)絡(luò)云存儲等。
上述各實施例是參照根據(jù)實施例所述的方法、設(shè)備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合??商峁┻@些計算機程序指令到計算機設(shè)備的處理器以產(chǎn)生一個機器,使得通過計算機設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
這些計算機程序指令也可存儲在能引導(dǎo)計算機設(shè)備以特定方式工作的計算機設(shè)備可讀存儲器中,使得存儲在該計算機設(shè)備可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
這些計算機程序指令也可裝載到計算機設(shè)備上,使得在計算機設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理,從而在計算機設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。
盡管已經(jīng)對上述各實施例進行了描述,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念,則可對這些實施例做出另外的變更和修改,所以以上所述僅為本發(fā)明的實施例,并非因此限制本發(fā)明的專利保護范圍,凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換,或直接或間接運用在其他相關(guān)的技術(shù)領(lǐng)域,均同理包括在本發(fā)明的專利保護范圍之內(nèi)。