CN101159542B - 在终端网络设备上保存和获取鉴权参数的方法及系统 - Google Patents
在终端网络设备上保存和获取鉴权参数的方法及系统 Download PDFInfo
- Publication number
- CN101159542B CN101159542B CN2007101772199A CN200710177219A CN101159542B CN 101159542 B CN101159542 B CN 101159542B CN 2007101772199 A CN2007101772199 A CN 2007101772199A CN 200710177219 A CN200710177219 A CN 200710177219A CN 101159542 B CN101159542 B CN 101159542B
- Authority
- CN
- China
- Prior art keywords
- authentication parameter
- parameter
- main control
- identifying code
- control module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种在终端网络设备上保存和/或获取鉴权参数的方法,当在终端网络设备上保存鉴权参数时,用户终端对加密后的鉴权参数计算生成第一验证码;而在终端网络设备上获取鉴权参数时,终端网络设备对预先保存的加密后的鉴权参数生成第二验证码,并将第一验证码与第二验证码进行比较,唯有两者相同,终端网络设备才会将加密后的鉴权参数发送给用户终端进行解密。本发明还相应提供一种在终端网络设备上保存和/或获取鉴权参数的系统。借此,本发明在终端网络设备被非法盗窃后,如果非法者没有同时获得验证码,就无法获得鉴权参数,从而无法正常使用盗窃来的终端网络设备,保护了终端网络设备所有者的权益,同时提高了网络通讯的安全性。
Description
技术领域
本发明涉及网络通信的安全领域,尤其涉及一种在终端网络设备上保存和获取鉴权参数的方法及系统。
背景技术
随着网络技术的高速发展,人们对网络通信的安全性要求也越来越高,许多新的安全技术被逐渐采用,如:PKMv2(Privacy Key Management Version 2,密钥管理系统版本2)协议、EAP(Extensible Authentication Protocol,可扩展鉴权协议)协议和AES(Advanced Encryption Standard,高级加密标准)算法等,它们提供了访问控制、数据完整性、数据保密性、防重放攻击、自动密钥管理等安全服务,在一定程度上提高了数据传输和用户认证、授权的安全性。但是,再安全的系统,如果鉴权参数被盗用,也是无计可施的,因此,在网络安全技术中对鉴权参数的保存是十分重要的。
目前,由于自动连接网络等需求的出现,导致很多鉴权参数被保存在了网卡等终端网络设备上,这便给不法分子有了可乘之机,因为在终端网络设备丢失之后,如果用户没有立即锁定帐户,不法分子就可以使用与终端网络设备相匹配的正规软件从设备上读出鉴权参数,进而连接到网络,给合法用户造成损失,在这种情况下,仅对鉴权参数进行简单的加密和解密处理是没有太多用处的,因为,非法者使用的也是正规软件,可以对加密后的鉴权参数进行正确解密。
综上可知,现有在终端网络设备上保存和获取鉴权参数的技术,在实际使用上显然存在不便与缺陷,所以有必要加以改进。
发明内容
针对上述的缺陷,本发明的目的在于提供一种在终端网络设备上保存和获取鉴权参数的方法及系统,其能保证保存在终端网络设备上的鉴权参数不被非法获取,进而提高了网络通讯的安全性。
为了实现上述目的,本发明提供一种在终端网络设备上保存和获取鉴权参数的方法,应用于包括用户终端和终端网络设备的系统,所述方法包括保存鉴权参数的步骤和获取鉴权参数的步骤,所述保存鉴权参数的步骤包括:
A)用户终端接收到用户的保存鉴权参数请求后,对鉴权参数进行加密;
B)用户终端对加密后的鉴权参数计算生成第一验证码,并将该第一验证码进行保存;
C)用户终端将加密后的鉴权参数发给终端网络设备,由终端网络设备对该加密后的鉴权参数进行保存;
所述获取鉴权参数的步骤包括:
a)用户终端接收到用户的获取鉴权参数请求后,该用户终端获取先前保存的第一验证码;
b)用户终端将该获取鉴权参数请求发送给终端网络设备,且在该获取鉴权参数请求中携带有第一验证码;
c)终端网络设备根据先前保存的加密后的鉴权参数计算生成第二验证码,并将第二验证码与第一验证码进行比较,若两者相同,则执行步骤d,否则执行步骤e;
d)终端网络设备将加密后的鉴权参数发送给用户终端,由用户终端对该加密后的鉴权参数进行解密;
e)终端网络设备返回错误信息给用户终端。
根据本发明的方法,所述用户终端包括有第一主控模块、参数加密模块、参数解密模块、第一验证码生成模块和第一存储介质;所述终端网络设备包括有第二主控模块、参数保存模块、参数获取模块、第二验证码生成模块和第二存储介质;
所述保存鉴权参数的步骤进一步包括:
A)用户终端的第一主控模块接收到用户的保存鉴权参数请求后,将鉴权参数发送给参数加密模块,由该参数加密模块对鉴权参数进行加密,且参数加密模块将加密后的鉴权参数返回给第一主控模块;
B)用户终端的第一主控模块将该加密后的鉴权参数发送给第一验证码生成模块,由第一验证码生成模块对该加密后的鉴权参数计算生成第一验证码,并将该第一验证码保存到第一存储介质中;
C)用户终端的第一主控模块向终端网络设备的第二主控模块发送保存鉴权参数请求,且该保存鉴权参数请求中包括加密后的鉴权参数,由终端网络设备的第二主控模块将该加密后的鉴权参数发送给参数保存模块,再由该参数保存模块将加密后的鉴权参数保存到第二存储介质中;
所述获取鉴权参数的步骤进一步包括:
a)用户终端的第一主控模块接收到用户的获取鉴权参数请求后,该第一主控模块向第一验证码生成模块发送获取第一验证码请求,该第一验证码生成模块从第一存储介质中读取第一验证码并返回给第一主控模块;
b)用户终端的第一主控模块将该获取鉴权参数请求发送给终端网络设备的第二主控模块,且在该获取鉴权参数请求中携带有第一验证码;
c)终端网络设备的第二主控模块将该获取鉴权参数请求发送给参数获取模块,该参数获取模块从第二存储介质中读取加密后的鉴权参数并返回给第二主控模块;该第二主控模块将该加密后的鉴权参数发送给第二验证码生成模块,该第二验证码生成模块对该加密后的鉴权参数计算生成第二验证码并返回给第二主控模块,由第二主控模块将该第二验证码与第一验证码进行比较,若两者相同,则执行步骤d,否则执行步骤e;
d)终端网络设备的第二主控模块将加密后的鉴权参数发送给用户终端的第一主控模块,再由第一主控模块将该加密后的鉴权参数转发给用户终端的参数解密模块,由参数解密模块对该加密后的鉴权参数进行解密,并将解密后的鉴权参数发送给第一主控模块;
e)终端网络设备的第二主控模块向用户终端的第一主控模块返回错误信息。
根据本发明的方法,所述用户终端的第一主控模块、参数加密模块、参数解密模块以及第一验证码生成模块构成了用户终端侧应用子系统。
根据本发明的方法,所述终端网络设备的第二主控模块、参数保存模块、参数获取模块以及第二验证码生成模块构成了终端网络设备侧嵌入式子系统。
根据本发明的方法,所述保存鉴权参数的步骤中,所述步骤C之后还包括:
D、终端网络设备的参数保存模块将鉴权参数保存结果发送给第二主控模块;第二主控模块再将该鉴权参数保存结果返回给用户终端的第一主控模块;该第一主控模块将该鉴权参数保存结果报告给用户。
根据本发明的方法,所述获取鉴权参数的步骤中:
所述步骤d中用户终端得到解密后的鉴权参数后,用户终端的第一主控模块向用户报告鉴权参数获取成功信息;
所述步骤e中用户终端接收到错误信息后,用户终端的第一主控模块向用户报告鉴权参数获取失败信息。
根据本发明的方法,所述保存鉴权参数的步骤为用户首次登陆网络时应用,而所述获取鉴权参数的步骤为用户除首次之外的登陆网络时应用。
根据本发明的方法,所述用户终端和终端网络设备分别使用相同的算法对加密后的鉴权参数生成第一验证码和第二验证码。
本发明还提供一种在终端网络设备上保存和获取鉴权参数的系统,包括用户终端和终端网络设备,其中:
所述用户终端,用于在保存鉴权参数时,收到用户的保存鉴权参数请求后,对鉴权参数进行加密,并对加密后的鉴权参数计算生成第一验证码予以保存,再由用户终端将加密后的鉴权参数发给终端网络设备;所述用户终端用于在获取鉴权参数时,收到用户的获取鉴权参数请求后,获取先前保存的第一验证码,并将该获取鉴权参数请求和第一验证码发送给终端网络设备;以及用于对终端网络设备返回的加密后的鉴权参数进行解密;
所述终端网络设备,用于在保存鉴权参数时,对该加密后的鉴权参数进行保存;所述终端网络设备用于在获取鉴权参数时,收到获取鉴权参数请求后,根据先前保存的加密后的鉴权参数计算生成第二验证码,并将该第二验证码与第一验证码进行比较,若两者相同,则终端网络设备将该加密后的鉴权参数发送给用户终端处理;否则,终端网络设备返回错误信息给用户终端。
根据本发明的系统,所述用户终端包括有第一主控模块、参数加密模块、参数解密模块、第一验证码生成模块和第一存储介质;所述终端网络设备包括有第二主控模块、参数保存模块、参数获取模块、第二验证码生成模块和第二存储介质;
所述用户终端的第一主控模块,用于在保存鉴权参数时,收到用户的保存鉴权参数请求后,将鉴权参数发送给参数加密模块以进行加密,再将加密后的鉴权参数发送给第一验证码生成模块以生成第一验证码;第一主控模块还用于向终端网络设备的第二主控模块发送保存鉴权参数请求,且该保存鉴权参数请求中包括加密后的鉴权参数;所述用户终端的第一主控模块用于在获取鉴权参数时,收到用户的获取鉴权参数请求后,向第一验证码生成模块发送获取第一验证码请求以获取第一验证码,并将该获取鉴权参数请求和第一验证码发送给终端网络设备的第二主控模块;第一主控模块还用于收到终端网络设备的第二主控模块发来的加密后的鉴权参数后,将该加密后的鉴权参数转送给参数解密模块以进行解密,或者接收终端网络设备的第二主控模块发来的错误信息;
所述用户终端的参数加密模块,用于在保存鉴权参数时,对该鉴权参数进行加密,并将加密后的鉴权参数返回给第一主控模块;
所述用户终端的参数解密模块,用于在获取鉴权参数时,对该加密后的鉴权参数进行解密,并将解密后的鉴权参数发送给第一主控模块;
所述用户终端的第一验证码生成模块,用于在保存鉴权参数时,对该加密后的鉴权参数计算生成第一验证码,并将该第一验证码保存到第一存储介质中;所述用户终端的第一验证码生成模块用于在获取鉴权参数时,从第一存储介质中读取第一验证码并返回给第一主控模块;
所述终端网络设备的第二主控模块,用于在保存鉴权参数时,将该加密后的鉴权参数发送给参数保存模块以进行保存;所述终端网络设备的第二主控模块用于在获取鉴权参数时,收到该获取鉴权参数请求后转发给参数获取模块以获取加密后的鉴权参数,并将该加密后的鉴权参数发送给第二验证码生成模块以获取第二验证码;再由第二主控模块将该第二验证码与第一验证码进行比较,若两者相同,则第二主控模块将加密后的鉴权参数发送给用户终端的第一主控模块,若两者不相同,则第二主控模块向用户终端的第一主控模块返回错误信息;
所述终端网络设备的参数保存模块,用于在保存鉴权参数时,将加密后的鉴权参数保存到第二存储介质中;
所述终端网络设备的参数获取模块,用于在获取鉴权参数时,从第二存储介质中读取加密后的鉴权参数并返回给第二主控模块;
所述终端网络设备的第二验证码生成模块,用于在获取鉴权参数时,对该加密后的鉴权参数计算生成第二验证码并返回给第二主控模块。
本发明提供了一种在终端网络设备上安全地保存和/或获取鉴权参数的技术,当在终端网络设备上保存鉴权参数时,用户终端对加密后的鉴权参数计算生成第一验证码;而在终端网络设备上获取鉴权参数时,终端网络设备对预先保存的加密后的鉴权参数生成第二验证码,并将第一验证码与第二验证码进行比较,唯有两者相同,终端网络设备才会将加密后的鉴权参数发送给用户终端进行解密。借此,本发明在终端网络设备被非法盗窃后,如果非法者没有同时获得验证码,即使在用户终端能够对加密后的鉴权参数进行正确解码的情况下,也无法获得鉴权参数,从而无法正常使用盗窃来的终端网络设备,保护了终端网络设备所有者的权益,同时提高了网络通讯的安全性。
附图说明
图1是本发明在终端网络设备上保存和/或获取鉴权参数的系统结构图;
图2是本发明在终端网络设备上保存鉴权参数的方法流程图;
图3是本发明在终端网络设备上获取鉴权参数的方法流程图;
图4是本发明优选实施例中保存鉴权参数的流程示例图;
图5是本发明优选实施例中获取鉴权参数的流程示例图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种在终端网络设备上保存和获取鉴权参数的系统,如图1所示,该系统1包括用户终端100和终端网络设备200,所述用户终端100可以是PC(Personal Computer,个人电脑),笔记本电脑以及手机等;而所述终端网络设备200优选插置于用户终端100中,其可以是网卡等,其中:
所述系统1应用于保存鉴权参数的处理过程时:
用户终端100,用于收到用户的保存鉴权参数请求后,对鉴权参数进行加密,并对加密后的鉴权参数计算生成第一验证码予以保存,该生成第一验证码的算法可以是MD5(Message-Digest algorithm 5,信息摘要算法5)算法,再由用户终端100将加密后的鉴权参数发给终端网络设备200。
终端网络设备200,用于对该加密后的鉴权参数进行保存。
上述保存鉴权参数的流程为用户首次登陆网络时应用。
所述系统1应用于获取鉴权参数的处理过程时:
用户终端100,用于收到用户的获取鉴权参数请求后,获取先前保存的第一验证码,并将该获取鉴权参数请求和第一验证码发送给终端网络设备200;以及用于对终端网络设备200返回的加密后的鉴权参数进行解密。
终端网络设备200,用于在收到用户终端100获取鉴权参数请求后,根据先前保存的加密后的鉴权参数使用相同的算法,如也使用MD5算法计算生成第二验证码,并将该第二验证码与第一验证码进行比较,若两者相同,则终端网络设备200将该加密后的鉴权参数发送给用户终端100处理;否则,终端网络设备200返回错误信息给用户终端100。
上述获取鉴权参数的过程为用户除首次之外的登陆网络时应用。
借此,本系统1可以在终端网络设备200上安全地保存和/或获取鉴权参数,当终端网络设备200被非法盗窃后,如果非法者没有同时获得验证码,即使在用户终端100能够对加密后的鉴权参数进行正确解码的情况下,也无法获得鉴权参数,从而提高了网络通讯的安全性。
具体而言,所述用户终端100包括有第一主控模块11、参数加密模块12、参数解密模块13、第一验证码生成模块14和第一存储介质15;所述终端网络设备200则包括有第二主控模块21、参数保存模块22、参数获取模块23、第二验证码生成模块24和第二存储介质25。其中,用户终端100的第一主控模块11、参数加密模块12、参数解密模块13以及第一验证码生成模块14构成了用户终端侧应用子系统10;而终端网络设备200的第二主控模块21、参数保存模块22、参数获取模块23以及第二验证码生成模块24构成了终端网络设备侧嵌入式子系统20。
用户终端侧应用子系统10,其装载并运行在用户终端100上,例如为拨号程序,作为与用户的直接接口,完成用户发出的鉴权参数保存和获取等操作,其包含有第一主控模块11、参数加密模块12、参数解密模块13和第一验证码生成模块14等,其中:
第一主控模块11,用于接收用户的指示,协调其他模块完成鉴权参数的保存和获取等功能。
参数加密模块12,用于在向终端网络设备200保存鉴权参数时,完成对鉴权参数的加密工作。
参数解密模块13,用于在从终端网络设备200获取鉴权参数时,完成对鉴权参数的解密工作。
第一验证码生成模块14,用于在向终端网络设备200保存鉴权参数时,生成在获取鉴权参数时所需要的第一验证码。
用户终端100还包括有第一存储介质15,用于存储第一验证码生成模块14所生成的第一验证码,其可以是用户终端100的硬盘或其他存储介质。
终端网络设备侧嵌入式子系统20,集成并运行在终端网络设备200上,接收用户终端侧应用子系统10发送来的鉴权参数保存或获取请求,并对请求进行相应处理后,将处理的结果返回给用户终端侧应用子系统10。终端网络设备侧嵌入式子系统20包含有:第二主控模块21、参数保存模块22、参数获取模块23和第二验证码生成模块24等,其中:
第二主控模块21,用于接收用户终端侧应用子系统10的请求,协调其他模块完成鉴权参数的保存和获取等功能,并把处理结果返回给用户终端侧应用子系统10。
参数保存模块22,用于将接收到的鉴权参数保存到终端网络设备200的第二存储介质25上。
参数获取模块23,用于从终端网络设备200的第二存储介质25上读取鉴权参数。
第二验证码生成模块24,用于在获取鉴权参数时,根据从终端网络设备200中读出的鉴权参数来计算生成第二验证码,如果第二验证码与用户终端侧应用子系统10发来的第一验证码不同,则用户终端侧应用子系统10无法成功获取鉴权参数。
终端网络设备200还包括有第二存储介质25,其为终端网络设备200的存储设备,用于保存鉴权参数等。
下面从保存和获取鉴权参数的两个过程,对各模块进行更详细描述。
在保存鉴权参数的处理过程中:
用户终端100的第一主控模块11,用于收到用户的保存鉴权参数请求后,将鉴权参数发送给参数加密模块12以进行加密,再将加密后的鉴权参数发送给第一验证码生成模块14以生成第一验证码。第一主控模块11还用于向终端网络设备200的第二主控模块21发送保存鉴权参数请求,且该保存鉴权参数请求中包括加密后的鉴权参数。
用户终端100的参数加密模块12,用于对该鉴权参数进行加密,并将加密后的鉴权参数返回给第一主控模块11。
用户终端100的第一验证码生成模块14,用于对该加密后的鉴权参数计算生成第一验证码,并将该第一验证码保存到第一存储介质15中。
终端网络设备200的第二主控模块21,用于将该加密后的鉴权参数发送给参数保存模块22以进行保存。
终端网络设备200的参数保存模块22,用于将加密后的鉴权参数保存到第二存储介质25中。
在获取鉴权参数的处理过程中:
用户终端100的第一主控模块11,用于收到用户的获取鉴权参数请求后,向第一验证码生成模块14发送获取第一验证码请求以获取第一验证码;并将该获取鉴权参数请求和第一验证码发送给终端网络设备200的第二主控模块21;第一主控模块11还用于收到终端网络设备200的第二主控模块21发来的加密后的鉴权参数后,将该加密后的鉴权参数转送给参数解密模块13以进行解密,或者接收终端网络设备200的第二主控模块21发来的错误信息。
用户终端100的第一验证码生成模块14,用于从第一存储介质15中读取第一验证码并返回给第一主控模块11。
用户终端100的参数解密模块13,用于对该加密后的鉴权参数进行解密,并将解密后的鉴权参数发送给第一主控模块11。
终端网络设备200的第二主控模块21,用于收到该获取鉴权参数请求后转发给参数获取模块23以获取加密后的鉴权参数;并将该加密后的鉴权参数发送给第二验证码生成模块24以获取第二验证码;再由第二主控模块21将该第二验证码与第一验证码进行比较,若两者相同,则第二主控模块21将加密后的鉴权参数发送给用户终端100的第一主控模块11,若两者不相同,则第二主控模块21向用户终端100的第一主控模块11返回错误信息。
终端网络设备200的参数获取模块23,用于从第二存储介质25中读取加密后的鉴权参数并返回给第二主控模块21。
终端网络设备200的第二验证码生成模块24,用于对该加密后的鉴权参数计算生成第二验证码并返回给第二主控模块21。
图2示出了本发明在终端网络设备上保存鉴权参数的方法流程,该方法通过图1所示的系统1实现,具体包括步骤有:
步骤S201,用户终端100接收到用户的保存鉴权参数请求后,对鉴权参数进行加密。
步骤S202,用户终端100对加密后的鉴权参数计算生成第一验证码,并将该第一验证码进行保存。
步骤S203,用户终端100将加密后的鉴权参数发给终端网络设备200,由终端网络设备200对该加密后的鉴权参数进行保存。
图3是本发明在终端网络设备上获取鉴权参数的方法流程,该方法通过图1所示的系统1实现,具体包括步骤有:
步骤S301,用户终端100接收到用户的获取鉴权参数请求后,该用户终端100获取先前保存的第一验证码。
步骤S302,用户终端100将该获取鉴权参数请求发送给终端网络设备200,且在该获取鉴权参数请求中携带有第一验证码。
步骤S303,终端网络设备200根据先前保存的加密后的鉴权参数计算生成第二验证码,并将第二验证码与第一验证码进行比较,若两者相同,则执行步骤S304,否则执行步骤S305。
步骤S304,终端网络设备200将加密后的鉴权参数发送给用户终端100,由用户终端100对该加密后的鉴权参数进行解密。
步骤S305,终端网络设备200返回错误信息给用户终端100。
图4示出了本发明优选实施例中保存鉴权参数的流程示例,其通过图1所示的系统1来实现,所述保存鉴权参数的流程为用户首次登陆网络时应用,具体包括步骤如下:
步骤S401,用户向用户终端侧应用子系统10的第一主控模块11发送保存鉴权参数请求,由于是用户首次登录网络,所以此时用户需要输入相应的鉴权参数,例如用户名和密码等。
步骤S402,用户终端侧应用子系统10的第一主控模块11接收到用户的保存鉴权参数请求后,将鉴权参数发送给参数加密模块12请求加密。
步骤S403,用户终端侧应用子系统10的参数加密模块12采用AES算法等对鉴权参数进行加密,且参数加密模块12将加密后的鉴权参数返回给第一主控模块11。
步骤S404,用户终端侧应用子系统10的第一主控模块11将该加密后的鉴权参数发送给第一验证码生成模块14,以请求生成第一验证码。
步骤S405,用户终端侧应用子系统10的第一验证码生成模块14对该加密后的鉴权参数使用MD5算法等计算生成第一验证码,并将所生成的第一验证码保存到第一存储介质15中。
步骤S406,用户终端侧应用子系统10的第一主控模块11向终端网络设备侧嵌入式子系统20的第二主控模块21发送保存鉴权参数请求,且该保存鉴权参数请求中包括加密后的鉴权参数。
步骤S407,终端网络设备侧嵌入式子系统20的第二主控模块21将该加密后的鉴权参数发送给参数保存模块22。
步骤S408,终端网络设备侧嵌入式子系统20的参数保存模块22将加密后的鉴权参数保存到第二存储介质25中。
步骤S409,终端网络设备侧嵌入式子系统20的第二存储介质25向参数保存模块22返回鉴权参数保存结果。
步骤S410,终端网络设备侧嵌入式子系统20的参数保存模块22将该鉴权参数保存结果发送给第二主控模块21。
步骤S411,终端网络设备侧嵌入式子系统20的第二主控模块21再将该鉴权参数保存结果返回给用户终端侧应用子系统10的第一主控模块11。
步骤S412,用户终端侧应用子系统10的第一主控模块11将该鉴权参数保存结果报告给用户,优选为将鉴权参数保存结果显示给用户。
图5是本发明优选实施例中获取鉴权参数的流程示例,其通过图1所示的系统1来实现,所述获取鉴权参数的流程为用户除首次之外的登陆网络时应用,即自动登录网络时用,具体包括步骤如下:
步骤S501,用户向用户终端侧应用子系统10的第一主控模块11发送获取鉴权参数请求。
步骤S502,用户终端侧应用子系统10的第一主控模块11接收到用户的获取鉴权参数请求后,该第一主控模块11向第一验证码生成模块14发送获取第一验证码请求。
步骤S503,用户终端侧应用子系统10的第一验证码生成模块14从第一存储介质15中读取先前保存的第一验证码。
步骤S504,用户终端侧应用子系统10的第一存储介质15向第一验证码生成模块14返回第一验证码。
步骤S505,第一验证码生成模块14将第一验证码返回给第一主控模块11。
步骤S506,用户终端侧应用子系统10的第一主控模块11将该获取鉴权参数请求发送给终端网络设备侧嵌入式子系统20的第二主控模块21,且在该获取鉴权参数请求中携带有第一验证码。
步骤S507,终端网络设备侧嵌入式子系统20的第二主控模块21将该获取鉴权参数请求发送给参数获取模块23。
步骤S508,终端网络设备侧嵌入式子系统20的参数获取模块23从第二存储介质25中读取加密后的鉴权参数。
步骤S509,终端网络设备侧嵌入式子系统20的第二存储介质25中返回加密后的鉴权参数给参数获取模块23。
步骤S510,终端网络设备侧嵌入式子系统20的参数获取模块23将该加密后的鉴权参数返回给第二主控模块21。
步骤S511,终端网络设备侧嵌入式子系统20的第二主控模块21将该加密后的鉴权参数发送给第二验证码生成模块24,以请求生成第二验证码。
步骤S512,终端网络设备侧嵌入式子系统20的第二验证码生成模块24对该加密后的鉴权参数采用MD5算法等计算生成第二验证码并返回给第二主控模块21。
步骤S513,终端网络设备侧嵌入式子系统20的第二主控模块21将该第二验证码与第一验证码进行比较,若两者相同,则第二主控模块21向用户终端侧应用子系统10的第一主控模块11返回加密后的鉴权参数,并执行步骤S514;否则向第一主控模块11返回错误信息,并直接转到步骤S516。
步骤S514,用户终端侧应用子系统10的第一主控模块11将该加密后的鉴权参数转发给参数解密模块13。
步骤S515,用户终端侧应用子系统10的参数解密模块13使用AES算法等对该加密后的鉴权参数进行解密,并将解密后的鉴权参数发送给第一主控模块11。
步骤S516,用户终端侧应用子系统10的第一主控模块11向用户报告获取参数的结果,当第一主控模块11获得解密的鉴权参数,则向用户报告鉴权参数获取成功信息,报告的方式有限为显示;或者,当第一主控模块11获得错误信息,则向用户报告鉴权参数获取失败信息。
综上可知,本发明提供了一种在终端网络设备上安全地保存和获取鉴权参数的技术,当在终端网络设备上保存鉴权参数时,用户终端对加密后的鉴权参数计算生成第一验证码;而在终端网络设备上获取鉴权参数时,终端网络设备对预先保存的加密后的鉴权参数生成第二验证码,并将第一验证码与第二验证码进行比较,唯有两者相同,终端网络设备才会将加密后的鉴权参数发送给用户终端进行解密。借此,本发明在终端网络设备被非法盗窃后,如果非法者没有同时获得验证码,即使在用户终端能够对加密后的鉴权参数进行正确解码的情况下,也无法获得鉴权参数,从而无法正常使用盗窃来的终端网络设备,保护了终端网络设备所有者的权益,同时提高了网络通讯的安全性。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (9)
1.一种在终端网络设备上保存和获取鉴权参数的方法,应用于包括用户终端和终端网络设备的系统,其特征在于,所述方法包括保存鉴权参数的步骤和获取鉴权参数的步骤,所述保存鉴权参数的步骤包括:
A)用户终端接收到用户的保存鉴权参数请求后,对鉴权参数进行加密;
B)用户终端对加密后的鉴权参数计算生成第一验证码,并将该第一验证码进行保存;
C)用户终端将加密后的鉴权参数发给终端网络设备,由终端网络设备对该加密后的鉴权参数进行保存;
所述获取鉴权参数的步骤包括:
a)用户终端接收到用户的获取鉴权参数请求后,该用户终端获取先前保存的第一验证码;
b)用户终端将该获取鉴权参数请求发送给终端网络设备,且在该获取鉴权参数请求中携带有第一验证码;
c)终端网络设备根据先前保存的加密后的鉴权参数计算生成第二验证码,并将第二验证码与第一验证码进行比较,若两者相同,则执行步骤d,否则执行步骤e;
d)终端网络设备将加密后的鉴权参数发送给用户终端,由用户终端对该加密后的鉴权参数进行解密;
e)终端网络设备返回错误信息给用户终端;
所述用户终端和终端网络设备分别使用相同的算法对加密后的鉴权参数生成第一验证码和第二验证码。
2.根据权利要求1所述的方法,其特征在于,所述用户终端包括有第一主控模块、参数加密模块、参数解密模块、第一验证码生成模块和第一存储介质;所述终端网络设备包括有第二主控模块、参数保存模块、参数获取模块、第二验证码生成模块和第二存储介质;
所述保存鉴权参数的步骤进一步包括:
A)用户终端的第一主控模块接收到用户的保存鉴权参数请求后,将鉴权参数发送给参数加密模块,由该参数加密模块对鉴权参数进行加密,且参数加密模块将加密后的鉴权参数返回给第一主控模块;
B)用户终端的第一主控模块将该加密后的鉴权参数发送给第一验证码生成模块,由第一验证码生成模块对该加密后的鉴权参数计算生成第一验证码,并将该第一验证码保存到第一存储介质中;
C)用户终端的第一主控模块向终端网络设备的第二主控模块发送保存鉴权参数请求,且该保存鉴权参数请求中包括加密后的鉴权参数,由终端网络设备的第二主控模块将该加密后的鉴权参数发送给参数保存模块,再由该参数保存模块将加密后的鉴权参数保存到第二存储介质中;
所述获取鉴权参数的步骤进一步包括:
a)用户终端的第一主控模块接收到用户的获取鉴权参数请求后,该第一主控模块向第一验证码生成模块发送获取第一验证码请求,该第一验证码生成模块从第一存储介质中读取第一验证码并返回给第一主控模块;
b)用户终端的第一主控模块将该获取鉴权参数请求发送给终端网络设备的第二主控模块,且在该获取鉴权参数请求中携带有第一验证码;
c)终端网络设备的第二主控模块将该获取鉴权参数请求发送给参数获取模块,该参数获取模块从第二存储介质中读取加密后的鉴权参数并返回给第二主控模块;该第二主控模块将该加密后的鉴权参数发送给第二验证码生成模块,该第二验证码生成模块对该加密后的鉴权参数计算生成第二验证码并返回给第二主控模块,由第二主控模块将该第二验证码与第一验证码进行比较,若两者相同,则执行步骤d,否则执行步骤e;
d)终端网络设备的第二主控模块将加密后的鉴权参数发送给用户终端的第一主控模块,再由第一主控模块将该加密后的鉴权参数转发给用户终端的参数解密模块,由参数解密模块对该加密后的鉴权参数进行解密,并将解密后的鉴权参数发送给第一主控模块;
e)终端网络设备的第二主控模块向用户终端的第一主控模块返回错误信息。
3.根据权利要求2所述的方法,其特征在于,所述用户终端的第一主控模块、参数加密模块、参数解密模块以及第一验证码生成模块构成了用户终端侧应用子系统。
4.根据权利要求2所述的方法,其特征在于,所述终端网络设备的第二主控模块、参数保存模块、参数获取模块以及第二验证码生成模块构成了终端网络设备侧嵌入式子系统。
5.根据权利要求2所述的方法,其特征在于,所述保存鉴权参数的步骤中,所述步骤C之后还包括:
D、终端网络设备的参数保存模块将鉴权参数保存结果发送给第二主控模块;第二主控模块再将该鉴权参数保存结果返回给用户终端的第一主控模块;该第一主控模块将该鉴权参数保存结果报告给用户。
6.根据权利要求2所述的方法,其特征在于,所述获取鉴权参数的步骤中:
所述步骤d中用户终端得到解密后的鉴权参数后,用户终端的第一主控模块向用户报告鉴权参数获取成功信息;
所述步骤e中用户终端接收到错误信息后,用户终端的第一主控模块向用户报告鉴权参数获取失败信息。
7.根据权利要求1所述的方法,其特征在于,所述保存鉴权参数的步骤为用户首次登陆网络时应用,而所述获取鉴权参数的步骤为用户除首次之外的登陆网络时应用。
8.一种实现如权利要求1~7任一项方法的系统,包括用户终端和终端网络设备,其特征在于,
所述用户终端,用于在保存鉴权参数时,收到用户的保存鉴权参数请求后,对鉴权参数进行加密,并对加密后的鉴权参数计算生成第一验证码予以保存,再由用户终端将加密后的鉴权参数发给终端网络设备;所述用户终端用于在获取鉴权参数时,收到用户的获取鉴权参数请求后,获取先前保存的第一验证码,并将该获取鉴权参数请求和第一验证码发送给终端网络设备;以及用于对终端网络设备返回的加密后的鉴权参数进行解密;
所述终端网络设备,用于在保存鉴权参数时,对该加密后的鉴权参数进行保存;所述终端网络设备用于在获取鉴权参数时,收到获取鉴权参数请求后,根据先前保存的加密后的鉴权参数计算生成第二验证码,并将该第二验证码与第一验证码进行比较,若两者相同,则终端网络设备将该加密后的鉴权参数发送给用户终端处理;否则,终端网络设备返回错误信息给用户终端;
所述用户终端和终端网络设备分别使用相同的算法对加密后的鉴权参数生成第一验证码和第二验证码。
9.根据权利要求8所述的系统,其特征在于,所述用户终端包括有第一主控模块、参数加密模块、参数解密模块、第一验证码生成模块和第一存储介质;所述终端网络设备包括有第二主控模块、参数保存模块、参数获取模块、第二验证码生成模块和第二存储介质;
所述用户终端的第一主控模块,用于在保存鉴权参数时,收到用户的保存鉴权参数请求后,将鉴权参数发送给参数加密模块以进行加密,再将加密后的鉴权参数发送给第一验证码生成模块以生成第一验证码;第一主控模块还用于向终端网络设备的第二主控模块发送保存鉴权参数请求,且该保存鉴权参数请求中包括加密后的鉴权参数;所述用户终端的第一主控模块用于在获取鉴权参数时,收到用户的获取鉴权参数请求后,向第一验证码生成模块发送获取第一验证码请求以获取第一验证码,并将该获取鉴权参数请求和第一验证码发送给终端网络设备的第二主控模块;第一主控模块还用于收到终端网络设备的第二主控模块发来的加密后的鉴权参数后,将该加密后的鉴权参数转送给参数解密模块以进行解密,或者接收终端网络设备的第二主控模块发来的错误信息;
所述用户终端的参数加密模块,用于在保存鉴权参数时,对该鉴权参数进行加密,并将加密后的鉴权参数返回给第一主控模块;
所述用户终端的参数解密模块,用于在获取鉴权参数时,对该加密后的鉴权参数进行解密,并将解密后的鉴权参数发送给第一主控模块;
所述用户终端的第一验证码生成模块,用于在保存鉴权参数时,对该加密后的鉴权参数计算生成第一验证码,并将该第一验证码保存到第一存储介质中;所述用户终端的第一验证码生成模块用于在获取鉴权参数时,从第一存储介质中读取第一验证码并返回给第一主控模块;
所述终端网络设备的第二主控模块,用于在保存鉴权参数时,将该加密后的鉴权参数发送给参数保存模块以进行保存;所述终端网络设备的第二主控模块用于在获取鉴权参数时,收到该获取鉴权参数请求后转发给参数获取模块以获取加密后的鉴权参数,并将该加密后的鉴权参数发送给第二验证码生成模块以获取第二验证码;再由第二主控模块将该第二验证码与第一验证码进行比较,若两者相同,则第二主控模块将加密后的鉴权参数发送给用户终端的第一主控模块,若两者不相同,则第二主控模块向用户终端的第一主控模块返回错误信息;
所述终端网络设备的参数保存模块,用于在保存鉴权参数时,将加密后的鉴权参数保存到第二存储介质中;
所述终端网络设备的参数获取模块,用于在获取鉴权参数时,从第二存储介质中读取加密后的鉴权参数并返回给第二主控模块;
所述终端网络设备的第二验证码生成模块,用于在获取鉴权参数时,对该加密后的鉴权参数计算生成第二验证码并返回给第二主控模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101772199A CN101159542B (zh) | 2007-11-12 | 2007-11-12 | 在终端网络设备上保存和获取鉴权参数的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101772199A CN101159542B (zh) | 2007-11-12 | 2007-11-12 | 在终端网络设备上保存和获取鉴权参数的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101159542A CN101159542A (zh) | 2008-04-09 |
| CN101159542B true CN101159542B (zh) | 2010-06-09 |
Family
ID=39307478
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101772199A Expired - Fee Related CN101159542B (zh) | 2007-11-12 | 2007-11-12 | 在终端网络设备上保存和获取鉴权参数的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101159542B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101807236B (zh) * | 2010-02-08 | 2012-11-28 | 深圳市同洲电子股份有限公司 | 一种鉴权方法、系统及对应的前端设备 |
| CN101815292B (zh) * | 2010-04-22 | 2014-04-30 | 中兴通讯股份有限公司 | 一种移动终端的数据保护装置及方法 |
| CN102231766B (zh) * | 2011-07-28 | 2013-10-09 | 北京蓝汛通信技术有限责任公司 | 一种域名解析验证的方法及系统 |
| CN111047849B (zh) * | 2019-12-30 | 2021-05-18 | 江苏大周基业智能科技有限公司 | 一种联网遥控密码模块及安全遥控系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1547142A (zh) * | 2003-12-12 | 2004-11-17 | ���пƼ���ѧ | 一种动态身份认证方法和系统 |
| CN1567294A (zh) * | 2003-06-14 | 2005-01-19 | 华为技术有限公司 | 一种对用户进行认证的方法 |
| CN1949235A (zh) * | 2006-04-24 | 2007-04-18 | 南京熊猫电子股份有限公司 | 税控设备软件版本智能升级加密验证方法 |
| CN101043335A (zh) * | 2007-03-12 | 2007-09-26 | 中国建设银行股份有限公司 | 一种信息安全控制系统 |
-
2007
- 2007-11-12 CN CN2007101772199A patent/CN101159542B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567294A (zh) * | 2003-06-14 | 2005-01-19 | 华为技术有限公司 | 一种对用户进行认证的方法 |
| CN1547142A (zh) * | 2003-12-12 | 2004-11-17 | ���пƼ���ѧ | 一种动态身份认证方法和系统 |
| CN1949235A (zh) * | 2006-04-24 | 2007-04-18 | 南京熊猫电子股份有限公司 | 税控设备软件版本智能升级加密验证方法 |
| CN101043335A (zh) * | 2007-03-12 | 2007-09-26 | 中国建设银行股份有限公司 | 一种信息安全控制系统 |
Non-Patent Citations (2)
| Title |
|---|
| JP特开平10-83297A 1998.03.31 |
| 文炜,温斌.SCDMA无线数字集群系统安全与信息保护.现代电信科技.2003,26-30. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101159542A (zh) | 2008-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100490372C (zh) | 一种对加密密钥进行备份与恢复的方法 | |
| CN105205898B (zh) | 一种智能锁的电子密码权限管理系统 | |
| US8904195B1 (en) | Methods and systems for secure communications between client applications and secure elements in mobile devices | |
| CN102065148A (zh) | 基于通信网络的存储系统访问授权方法 | |
| CN105553951A (zh) | 数据传输方法和装置 | |
| KR20050065534A (ko) | 저장된 콘텐츠를 보호하기 위한 이동 통신망 인증 | |
| US20170230365A1 (en) | Method and system for securing electronic data exchange between an industrial programmable device and a portable programmable device | |
| US20150304321A1 (en) | An image management system and an image management method based on fingerprint authentication | |
| US9276748B2 (en) | Data-encrypting method and decrypting method for a mobile phone | |
| US11985245B2 (en) | Access security system using security card and mobile terminal, and security method for same | |
| CN110505055B (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
| CN103888938A (zh) | 一种基于参数的动态生成密钥的pki私钥保护方法 | |
| CN111970114B (zh) | 文件加密方法、系统、服务器和存储介质 | |
| CN101771680B (zh) | 一种向智能卡写入数据的方法、系统以及远程写卡终端 | |
| CN113472793A (zh) | 一种基于硬件密码设备的个人数据保护系统 | |
| EP2365660A1 (en) | System and method for remote reset of password and encryption key | |
| US9400892B2 (en) | Apparatus and method to secure an electronic storage using a secure element | |
| CN101711028B (zh) | 一种移动终端设备上用户数据的自动保护方法 | |
| CN115150180A (zh) | 存储设备管理方法、存储设备、管理设备及存储介质 | |
| CN101159542B (zh) | 在终端网络设备上保存和获取鉴权参数的方法及系统 | |
| KR101358375B1 (ko) | 스미싱 방지를 위한 문자메시지 보안 시스템 및 방법 | |
| KR101680536B1 (ko) | 기업용 모바일 업무데이터 보안 서비스 방법 및 그 시스템 | |
| Baek et al. | Secure and lightweight authentication protocol for NFC tag based services | |
| CN103916834A (zh) | 一种用户独享密钥的短信加密方法和系统 | |
| Kavya et al. | Vulnerability analysis and security system for NFC-enabled mobile phones |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100609 Termination date: 20151112 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |