一種用於電子憑證認證的終端設備及方法
2023-10-09 10:35:19 1
一種用於電子憑證認證的終端設備及方法
【專利摘要】本發明涉及一種終端設備,其通過與認證伺服器的間接通信對用戶終端的電子憑證進行認證,所述終端設備包括:輸入單元,用於獲取與認證相關的動態信息,所述與認證相關的動態信息包括以下內容中的至少一個:終端設備的許可信息、終端設備的狀態信息以及終端設備的級別信息;存儲單元,存儲所述終端設備的標識符以及與認證相關的動態信息;認證數據生成單元,基於所述終端設備的標識符以及與認證相關的動態信息,生成第一認證數據;轉換單元,用於將所述第一認證數據轉換為第一音頻信號;揚聲器,將所述第一音頻信號通過音頻通信信道傳送給用戶終端;以及無線通信單元,周期性地通過無線通信與認證伺服器進行時間同步以保持時間一致。
【專利說明】一種用於電子憑證認證的終端設備及方法
【技術領域】
[0001]一般地,本發明涉及通信領域,並且更具體地涉及在通信網絡中利用音頻信號進行終端設備電子憑證認證的終端設備及方法。
【背景技術】
[0002]現在的通信時代帶來了有線和無線網絡的巨大擴展。機器間通信由於其增長潛力已經變為技術創新都關注的領域。由於機器間通信的用於連接許多不同目的的設備的潛力,機器間通信還令許多用戶和開發者感到興奮,不同目的例如是電子憑證、智能認證、網絡認證、智能家居、智能電錶、車隊管理、遠程醫療、接入網絡操作管理和許多其它使用。
[0003]機器間通信典型地涉及設備或設備組與遠程伺服器或計算機系統的連接,所述連接能夠實現遠程認證或信息的遠程報告。在一些情況下,機器間通信涉及一個或多個終端設備或其它節點或設備的使用,以收集可以經由一些形式的網關設備被傳遞到網絡或計算設備的信息。目前,已經將近場音頻通信應用到機器間通信的【技術領域】。聲波原本是一種模擬信號,很難與智慧型手機或其它電子設備進行通信。但經過一定的編碼和調試,利用特定的揚聲器可以把數位訊號轉化為聲波模擬信號。通過聲波的方式把這些模擬信號傳送出去,數字設備的麥克風接受到聲波又可以把模擬信號攜帶的信息轉化為數位訊號。從而實現了不同數字設備之間的通信。聲波具有衰減性的特徵,超過一定距離其它設備就無法接受,只有在較短距離內有效,這在很大程度上保證了近距離通信的安全性。
[0004]由於蜂窩通信系統目前提供的廣闊覆蓋區域,機器間通信應用可利用蜂窩通信系統與遠程認證系統進行通信。機器間通信系統中的典型端點設備是具有相對低的傳輸功率能力的相對較小的電池運行的設備。因此,通過與能夠連接到蜂窩通信系統的附近用戶終端進行接口,端點設備能夠以低功率運行並通過用戶終端作為移動網際網路接入網關,例如通過蜂窩網絡接入等,可將信息提供給遠程計算或存儲設備。雖然在上述情況下,很明顯是由蜂窩網絡資源提供網關和接入點之間的連接,但作為網關的用戶終端和端點之間的連接是典型的一些短矩離通訊。因此,對於過去一些機器間通信通常是,需要用戶終端和端點設備兩個設備之間進行短矩離通訊,兩個設備分別通過蜂窩通訊接入移動網際網路,因此端點設備典型地不是較小電池運行的設備,而是更大功率的機器。
[0005]因此,現有技術中存在利用近場音頻通信設備來實現電子憑證認證的需要。
【發明內容】
[0006]根據本發明的第一方面,提供一種終端設備,其通過與認證伺服器的間接通信對用戶終端的電子憑證進行認證,所述終端設備包括:輸入單元,用於獲取與認證相關的動態信息,所述與認證相關的動態信息包括以下內容中的至少一個:終端設備的許可信息、終端設備的狀態信息以及終端設備的級別信息;存儲單元,所述終端設備的標識符以及與認證相關的動態信息;認證數據生成單元,基於所述終端設備的標識符以及與認證相關的動態信息,生成第一認證數據;轉換單元,用於將所述第一認證數據轉換為第一音頻信號;揚聲器,將所述第一音頻信號通過音頻通信信道傳送給用戶終端;以及無線通信單元,周期性地通過無線通信與認證伺服器進行時間同步以保持時間一致。
[0007]根據本發明的另一方面,提供一種認證方法,所述終端設備通過與認證伺服器的間接通信對用戶終端的電子憑證進行認證,所述方法包括:通過終端設備的輸入單元獲取所述終端設備的標識符以及與認證相關的動態信息,所述與認證相關的動態信息包括以下內容中的至少一個:終端設備的許可信息、終端設備的狀態信息以及終端設備的級別信息;基於所述終端設備的標識符以及與認證相關的動態信息,生成第一認證數據;用於將所述第一認證數據轉換為第一音頻信號;將所述第一音頻信號通過音頻通信信道傳送給用戶終端;以及周期性地通過無線通信與認證伺服器進行時間同步以保持時間一致。
[0008]優選地,進一步包括,所述用戶終端將接收到的第一音頻信號轉換為第一認證數據,並且基於所述第一認證數據、用戶終端的標識符和電子憑證生成第二認證數據,將所述第二認證數據發送到認證伺服器。優選地,進一步包括,所述認證伺服器根據所述第二認證數據中的第一認證數據和用戶終端標識符來對電子憑證進行認證,如果認證成功,則將認證成功消息發送給所述用戶終端;如果認證失敗,則將認證失敗消息發送給所述用戶終端。優選地,其中所述用戶終端將所述認證成功消息或認證失敗消息轉換為第二音頻信號,將所述第二音頻信號發送給所述終端設備,所述終端設備將接收到的所述第二音頻信號轉換為認證成功消息或認證失敗消息,並且在終端設備的顯示屏幕上顯示所述認證成功消息或認證失敗消息,或通過終端設備的LED燈指示所述認證成功消息或認證失敗消息分別對應的狀態。優選地,其中將所述第一音頻信號通過音頻通信信道傳送給用戶終端具體為:使用3DES算法對所述第一音頻信號進行加密,並且將經過加密的第一音頻信號通過音頻通信信道傳送給用戶終端;和/或其中將所述第二音頻信號發送給所述終端設備具體為:使用3DES算法對所述第二音頻信號進行加密,並且將經過加密的第二音頻信號發送給所述終端設備。優選地,進一步包括,所述終端設備根據加密算法對當前時間進行加密以生成時間加密因子,將所述時間加密因子增加到所述第一認證數據中,以確保對所述電子憑證進行認證的時間保持一致。
【專利附圖】
【附圖說明】
[0009]已經大致地描述了本發明,現在參照附圖,其不必按照規定比例繪製,其中:
[0010]圖1示出了根據本發明的示例實施方式的通信系統的示意圖;
[0011]圖2示出了根據本發明的示例實施方式的終端設備的示意圖;
[0012]圖3示出了根據本發明示例實施方式的認證方法的流程圖;
[0013]圖4示出了根據本發明示例實施方式的生成電子憑證的方法的流程圖;以及
[0014]圖5示出了根據本發明另一示例實施方式的認證方法的流程圖。
【具體實施方式】
[0015]以下,參照附圖更完整地描述本發明實施方式,在附圖中,示出本發明的一些實施方式,而並非所有實施方式。當然,本發明的各種實施例可通過許多不同形式實現,並且不應理解為限制為這裡闡述的實施方式;而是,提供這些實施方式使得所述公開內容將滿足可適用的合法要求。其中類似的標號表示類似的元素。其中,術語「數據」、「內容」、「信息」和類似術語可交換使用,以表示能夠根據本發明實施方式發送、接收和/或存儲的數據。因此,任意這樣術語的使用不應被用來限制本發明實施方式的精神和範圍。
[0016]此外,如這裡使用的,術語「電路」指的是(a)僅硬體電路方案(例如用模擬電路和/或數字電路的方案);(b)包括在一個或多個計算機可讀存儲器上存儲的軟體和/或固件指令的電路和電腦程式產品的組合,其在一起工作以使得正在執行這裡所述的一個或多個功能;以及(C)需要用於操作的軟體或固件(即使軟體或固件非物理存在)的電路,例如微處理器或微處理器的一部分。「電路」的這個定義應用於在此,包括任意權利要求,對這個術語的所有使用。作為其他實例,這裡,術語「電路」還包括含有一個或多個處理器和/或其部分以及伴隨軟體和/或固件的方案。作為另一實例,這裡使用的術語「電路」還包括,例如用於行動電話的基帶集成電路或應用處理器集成電路,或伺服器、蜂窩網絡設備、其他網絡設備、和/或其他計算設備中的類似集成電路。
[0017]如此處定義的,指代物理存儲介質(例如,易失性或非易失性存儲器設備)的「計算機可讀存儲介質」,可能與指代電磁信號的「計算機可讀傳輸介質」不同。
[0018]如上所指示的,通常要求機器對機器(M2M,Machine-to_Machine)通信系統中充當網關設備的用戶終端使用兩個不同的無線電,特別地當與包括相對低功率(例如,低傳輸功率)的傳感器或傳感器網絡的M2M通信系統一起使用時。本發明的一些實施方式可以提供一種機制,通過所述機制可以由接入點為傳感器或傳感器網絡分配具體的無線網絡資源,使得不需要兩個無線電。在一些情況下,在使用蜂窩網絡資源的無線網絡中,蜂窩網絡接入點可為在一個或多個端點機器(例如,傳感器)與接入點和網關設備之間進行的通信分配具體的蜂窩網絡資源。例如,接入點可以為從接入點到機器的和網關設備(或中繼器)與機器之間的下行鏈路方向通信分配蜂窩下行鏈路信道資源。於是,可通過網關設備來路由將從機器提供給接入點的通信,並且網關設備可經由蜂窩網絡上行鏈路資源來中繼這些通信。
[0019]圖1示出了根據本發明的示例實施方式的通信系統的示意圖。如圖1所示,所述通信系統包括:認證伺服器,終端設備和用戶終端。優選地,所述認證伺服器根據從用戶終端接收的認證數據對用戶終端的進行認證。優選地,所述認證可以是對用戶終端的電子憑證進行認證(例如,用戶對網絡站點的接入、對用戶的身份認證),所述認證可以是對用戶終端上運行的應用的認證(例如,用戶終端是否具有對某個應用的訪問權限)。優選地,所述終端設備通過向用戶終端發送與認證相關的數據來實現對用戶終端的認證。例如,所述終端設備可以是電子印章、或銷售終端(P0S機)。優選地,所述用戶終端可以是能夠運行和存儲各種應用的任意類型設備,例如個人數字助理(PDA)、智慧型手機、平板計算機、無線電話、移動計算設備、照相機、視頻記錄器、音頻/視頻播放器、定位設備(例如,全球定位系統(GPS)設備)、遊戲設備、無線電設備或各種其它類似的設備或其組合。
[0020]根據本發明的優選實施方式,按功能和/或硬體結構來劃分,所述終端設備可以包括:輸入單元、時鐘單元、無線通信單元、時間加密單元、音頻輸出單元、音頻輸入單元、輸出設備、加密解密單元、存儲單元、轉換單元、調製解調單元和認證數據生成單元。優選地,所述輸入單元實現終端設備與用戶的交互,用於獲取與認證相關的動態信息,所述與認證相關的動態信息包括以下內容中的至少一個:終端設備的許可信息、終端設備的狀態信息以及終端設備的級別信息。優選地,所述輸入單元可以是鍵盤、數字鍵盤、觸控螢幕、滑鼠等各種輸入設備。所述時鐘單元用於產生終端設備的內部時鐘,通過所述內部時鐘來對終端設備的當前時間進行計時。優選地,所述無線通信單元包括用於發射和接收信號的發射機和接收機,或者是收發機。所述無線通信單元用於將終端設備的當前時間發送給認證伺服器,以及從認證伺服器接收認證伺服器的當前時間,從而實現終端設備和認證伺服器之間的時間同步。優選地,所述時間加密單元用於根據加密算法對終端設備的當前時間進行加密以生成時間加密因子,並且將所述時間加密因子增加到所述第一認證數據中。從而在認證伺服器接收到第一認證數據(其包括在第二認證數據中)時,可以對時間加密因子進行解密以獲得終端設備的當前時間,從而驗證認證的時效性。優選地,所述第一認證數據可以包括:終端設備的標識符、與認證相關的動態信息,和/或時間加密因子。其中終端設備的標識符可以是終端設備的設備ID或設備硬體標識,所述終端設備的標識符是全局唯一的。優選地,所述與認證相關的動態信息包括以下內容中的至少一個:終端設備的許可信息、終端設備的狀態信息以及終端設備的級別信息。優選地,終端設備的許可信息可以包括提供商(通過終端設備來代表)的電子憑證的許可信息(例如,許可範圍、許可程度等)。優選地,所述終端設備的狀態信息可以包括提供商提供相關服務或授權的狀態(例如,已經失效、仍未失效),以及認證方的身份、認證方的ID等,例如在電子商務中為提供商的ID。優選地,所述終端設備的級別信息包括提供相關服務的級別或授權級別等。優選地,利用存儲單元來存儲終端設備的標識符和與認證相關的動態信息。所述存儲單元可以是易失性或非易失性存儲器,例如,隨機存取存儲器或只讀存儲器。優選地,所述認證數據生成單元基於所述終端設備的標識符以及與認證相關的動態信息,生成第一認證數據
[0021]優選地,加密解密單元利用3DES算法,即三重數據加密算法(TDEA,Triple DataEncryption Algorithm)塊密碼,來對上述第一認證數據進行加密。Triple DES,又稱3DES,是DES加密算法的一種模式,它使用3條56位的密鑰對3DES數據進行三次加密。數據加密標準(DES)是美國的一種由來已久的加密標準,它使用對稱密鑰加密法,並ANSI組織規範為ANSIX.3.92。DES使用56位密鑰和密碼塊的方法,而在密碼塊的方法中,文本被分成64位大小的文本塊然後再進行加密。比起最初的DES,3DES更為安全。優選地,轉換單元對加密後的第一認證數據進行數模轉換,從而生成第一音頻信號。優選地,所述轉換單元對第二音頻信號進行模數轉換,從而生成相關的數位訊號(例如經加密的認證回覆信息)。優選地,所述音頻輸出單元用於將第一音頻信號輸出給用戶終端,並且所述音頻輸入單元用於從用戶終端接收第二音頻信號。優選地,所述音頻輸入單元可以是麥克風,且所述音頻輸出單元可以是揚聲器。
[0022]根據本發明的優選實施方式,還包括輸出設備,將所述原始認證回復消息提供給用戶。優選地,所述輸出設備為顯示器、揚聲器、指示器或印表機,並且利用輸出設備將所述原始認證回復消息提供給用戶具體為:利用顯示器顯示所述原始認證回復消息的內容、利用揚聲器通過聲音來輸出所述原始認證回復消息的內容、利用指示器通過指示燈方式指示所述原始認證回復消息對應的認證狀態或利用印表機輸出所述原始認證回復消息的內容。優選地,所述原始認證回復消息可以是認證成功消息或認證失敗消息。優選地,所述顯示器可以顯示認證成功或失敗的信息,例如,顯示用戶終端標識符、電子憑證和認證結果(成功或失敗)。優選地,所述揚聲器可利用聲音來提不認證成功或失敗的信息,例如,利用聲音播放用戶終端標識符、電子憑證和認證結果(成功或失敗)。優選地,所述指示器可指示認證成功或失敗的信息,例如指示器以紅色表示認證失敗,以綠色標誌認證成功,以及以黃色表示沒有應答。優選地,所述印表機可以講指示認證成功或失敗的信息列印輸出,例如,列印用戶終端標識符、電子憑證和認證結果(成功或失敗)。優選地,還包括調製解調單元,用於對信號進行調製和解調製。
[0023]根據本發明的優選實施方式,按功能和/或硬體結構來劃分,所述用戶終端可以包括:無線通信單元、音頻輸出單元、音頻輸入單元、加密解密單元、存儲單元、轉換單元和調製解調單元。優選地,所述無線通信單元包括用於發射和接收信號的發射機和接收機、或收發機。優選地,所述無線通信單元用於將第二認證數據通過無線通信信道發送給認證伺服器,並且通過無線通信信道從認證伺服器接收加密後的認證回復消息或原始認證回復消息。優選地,所述第二認證數據包括第一認證數據、用戶終端的標識符和電子憑證(例如卡號)。其中,所述認證消息指示認證成功或認證失敗。優選地,加密解密單元用於對經過加密的第一音頻信號進行解密。優選地,存儲單元用於存儲用戶終端的標識符和電子憑證。優選地,所述電子憑證例如是網絡站點的伺服器、銀行伺服器或第三方伺服器頒發的電子憑證。優選地,所述轉換單元用於將第一音頻信號轉換為第一認證數據,以及用於將指示認證成功或認證失敗的經加密的認證回復消息或原始認證回復消息轉換為第二音頻信號。優選地,所述音頻輸入單元用於從終端設備接收第一音頻信號,並且所述音頻輸出單元將所述第二音頻信號發送給所述終端設備。優選地,所述音頻輸入單元可以是麥克風,且所述音頻輸出單元可以是揚聲器。優選地,還包括調製解調單元,用於對信號進行調製和解調製。
[0024]根據本發明的優選實施方式,認證伺服器包括認證單元、無線通信單元和時鐘單元。優選地,所述時鐘單元用於產生認證伺服器的內部時鐘,通過所述內部時鐘來對認證伺服器的當前時間進行計時。優選地,認證伺服器定期與終端設備進行時鐘同步,具體為:終端設備定義將其內部時鐘通過無線通信單元發送給認證伺服器,認證伺服器根據所述內部時鐘以及傳輸延遲來確定終端設備的內部時鐘是否與認證伺服器的內部時鐘同步。優選地,所述認證伺服器的內部時鐘可以是GPS時鐘、線路使用和振蕩器時鐘。優選地,所述無線通信單元用於與終端設備進行時鐘同步,以及與用戶終端進行數據交互。
[0025]優選地,所述認證單元根據用戶終端發送的第二認證數據對用戶終端的電子憑證進行認證。例如,認證單元根據第二認證數據中包括的第一認證數據、用戶終端的標識符來對用戶終端的電子憑證進行認證。優選地,所述第一認證數據還包括:所述終端設備的標識符、與認證相關的動態信息和/或時間加密因子。即,認證單元根據終端設備的標識符、與認證相關的動態信息、時間加密因子、用戶終端的標識符對電子憑證進行認證。優選地,終端設備的標識符用於標識終端設備的身份,以及用於標識電子憑證的授權方。優選地,與認證相關的動態信息包括認證方的信息,例如商戶的信息、電子憑證的類型、種類等。優選地,時間加密因子標識終端設備的時間,防止複製的電子憑證或過期的電子憑證。優選地,用戶終端的標識符例如是用戶終端的設備ID,例如手機作為用戶終端具有其唯一的設備編碼,利用媒體訪問控制(MAC,Media Access Control)地址和國際行動裝置身份碼(MEI,International Mobile Equipment Identity)可定義設備的唯一性。優選地,每次安裝應用時可定義應用的安裝標識符ID。另外,可將用戶的註冊信息綁定在手機端,從而為用戶生成唯一用戶標識符nD,並通過簡訊校驗碼綁定用戶手機號,確保用戶身份真實唯一。優選地,將用戶帳號對應的電子憑證存儲在雲端伺服器,緩存在手機本地,通過手機的數據通信將用戶身份對應的電子憑證下載和更新到手機本地。[0026]圖2示出了根據本發明的示例實施方式的終端設備的電路示意圖。優選地,圖2示出的終端設備例如是POS機。所述POS機包括:MCU單片機、Audio Codec內置功放、IS07816控制器1C、PSAM卡,揚聲器、麥克風(MIC)、電池轉換和充電電路。優選地,MCU單片機實現對電子印章的整體控制。Audio Codec內置功放實現音頻模擬信號轉換為數位訊號和數位訊號轉換為音頻模擬信號,以及實現對音量、降噪、回聲抑制、輸入輸出的音頻模擬信號的放大。優選地,ISO 7816控制IC用於MCU單片機與PSAM卡之間建立通信接口。優選地,PSAM (Purchase SecureAccess Module)卡是一種加密IC晶片,用於商戶P0S、網點終端、直聯終端等終端設備上,負責裝置的安全控管。優選地,它支持一卡多應用,各應用之間相互獨立(多應用、防火牆功能)。支持多種文件類型,包括二進位文件、定長記錄文件、變長記錄文件、循環文件、錢包文件。在通訊過程中支持多種安全保護機制(信息的機密性和完整性保護)。支持多種安全訪問方式和權限(認證功能和口令保護)。支持中國人民銀行認可的Single DES, Triple DES算法。支持多級密鑰分散機制,產生《中國金融集成電路(IC)卡規範》中定義的MACl和校驗MAC2。可用此模塊實現金融安全級別的身份校驗。NFC及天線用於實現近場通信。優選地,預留充電電路與MT35電池倉用於實現對認證終端的充電,但設備是固定位置使用,所以只需要外接電源供電,默認不配置充電電路和電池。優選地,IXD顯示器能夠顯示認證狀態,例如,認證進行中、認證成功或認證失敗。優選地,所述字庫用於將數位訊號轉換為用戶可讀字符,例如可以是Unicode或GB2312。優選地,熱敏列印頭能夠將與用戶相關的認證信息列印到熱敏紙上,並輸出給用戶。優選地,揚聲器用於輸出音頻信號。麥克風用於接收音頻信號。
[0027]圖3示出了根據本發明示例實施方式的認證方法的流程圖。優選地,所述方法適用於在通信網絡中對電子憑證進行認證,其中所述通信網絡包括用戶終端、認證伺服器和認證終端。所述方法在步驟300處開始。優選地,
[0028]優選地,在步驟301處,獲取所述終端設備的標識符以及與認證相關的動態信息,所述與認證相關的動態信息包括以下內容中的至少一個:終端設備的許可信息、終端設備的狀態信息以及終端設備的級別信息。
[0029]優選地,在步驟302處,基於所述終端設備的標識符以及與認證相關的動態信息,生成第一認證數據。優選地,在步驟303處,對用於將所述第一認證數據轉換為第一音頻信號。優選地,對所述第一認證數據進行數模轉換,以生成第一音頻信號。優選地,在步驟304處,將所述第一音頻信號通過音頻通信信道傳送給用戶終端。優選地,周期性地通過無線通信與認證伺服器進行時間同步以保持時間一致。
[0030]優選地,在步驟301之前還包括:用戶終端將電子憑證經過數模轉換轉換為音頻信號,通過音頻通信信道將所述音頻信號傳送給終端設備,所述終端設備接收音頻信號,並且通過模數轉換將其轉換為電子憑證。優選地,所述第一認證數據包括:所述終端設備的標識符和與認證相關的動態信息。優選地,與認證相關的動態信息包括以下內容中的至少一個:終端設備的許可信息、終端設備的狀態信息以及終端設備的級別信息。
[0031]優選地,所述與認證相關的動態信息包括以下內容中的至少一個:終端設備的許可信息、終端設備的狀態信息以及終端設備的級別信息。優選地,終端設備的許可信息可以包括提供商(通過終端設備來代表)的電子憑證的許可信息(例如,許可範圍、許可程度等)。優選地,所述終端設備的狀態信息可以包括提供商提供相關服務或授權的狀態(例如,已經失效、仍未失效),以及認證方的身份、認證方的ID等,例如在電子商務中為提供商的ID。優選地,所述終端設備的級別信息包括提供相關服務的級別或授權級別等。
[0032]優選地,在對所述第一認證數據進行數模轉換之前,還包括使用3DES算法對所述第一認證數據進行加密。替代地或附加地,步驟301中的隨後步驟,即對所述第一認證數據進行數模轉換,以生成第一音頻信號中所涉及的第一認證數據是經過加密的第一認證數據。優選地,在生成第一認證數據時,終端設備根據加密算法對所述時間進行加密以生成時間加密因子,將所述時間加密因子增加到所述第一認證數據中。優選地,所述終端設備和所述認證伺服器通過時間加密因子確定時間是否保持一致。優選地,在認證伺服器接收到第一認證數據(其包括在第二認證數據中)時,可以對時間加密因子進行解密以獲得終端設備的當前時間,從而驗證認證的時效性。
[0033]根據本發明的另一優選實施方式,所述用戶終端經過模數轉換將所述第一音頻信號轉換為第一認證數據,並且基於所述第一認證數據、用戶終端的標識符和電子憑證生成第二認證數據。由此可知,第二認證數據包括:(經加密的或未經加密的)第一認證數據、用戶終端的標識符和電子憑證。優選地,將所述第二認證數據發送給認證伺服器。優選地,將所述第二認證數據發送給認證伺服器是通過無線信道來進行的。
[0034]優選地,認證伺服器根據所述第二認證數據中的第一認證數據和用戶終端標識符來對電子憑證進行認證,並且生成指示認證成功或認證失敗的原始認證回復消息,根據加密算法對原始認證回復消息進行加密並將加密後的認證回復消息發送給用戶終端。優選地,所述用戶終端將經加密的認證回復消息數模轉換為第二音頻信號,將所述第二音頻信號發送給所述終端設備,所述終端設備對接收到的所述第二音頻信號進行模數轉換,以轉換為經加密的認證回復消息,對所述經加密的認證回復消息進行解密以生成原始認證回復消息,並且利用輸出設備將所述原始認證回復消息提供給用戶。優選地,所述輸出設備為顯示器、揚聲器、指示器或印表機,並且利用輸出設備將所述原始認證回復消息提供給用戶具體為:利用顯示器顯示所述原始認證回復消息的內容、利用揚聲器通過聲音來輸出所述原始認證回復消息的內容、利用指示器通過指示燈方式指示所述原始認證回復消息對應的認證狀態或利用印表機輸出所述原始認證回復消息的內容。
[0035]根據本發明的優選實施方式,所述終端設備保持與認證伺服器相同的時間。優選地,所述終端設備和所述認證伺服器通過無線通信定期同步時間以保持時間一致。認證伺服器定期與終端設備進行時鐘同步,具體為:終端設備定義將其內部時鐘通過無線通信單元發送給認證伺服器,認證伺服器根據所述內部時鐘以及傳輸延遲來確定終端設備的內部時鐘是否與認證伺服器的內部時鐘同步。優選地,所述認證伺服器的內部時鐘可以是GPS時鐘、線路使用和振蕩器時鐘。
[0036]根據本發明的另一優選實施方式,進行音頻通信的終端設備和用戶終端通常具有以下基本特性:1)採樣率44.1k (最通用的採樣率,絕大多數終端設備和用戶終端支持這個採樣率);2)載波頻率17.6k (人類很難聽見這個頻率的聲音);3)採用半雙工方式雙向通τΗ ο
[0037]優選地,終端設備發出音頻信號(即發出聲音通信)的流程:1)將終端設備的設備標識符,提供商標識符,時間戳進行編碼;2)將編碼數據進行3DES加密;3)計算加密後數據的hash值,保存備用;4)在加密數據前加上數據包頭和標誌數據,後面加上校驗數據組成數據包;5)對數據包進行2ASK (二進位幅度鍵控)調製,得到音頻波形採樣數據;6)發聲。
[0038]優選地,用戶終端接收音頻信號(即接收聲音通信)的流程:1)對音頻波形採樣數據濾波;2)2ASK解調;3)判斷包頭和標誌;4)校驗數據的正確性;5)計算數據包的hash值,保存備用;6)解碼出來的數據加上用戶終端標識符和電子憑證組成認證數據包;7)加密認證數據包並上傳到認證伺服器。
[0039]優選地,用戶終端發送音頻信號(即發送聲音通信)的流程:1)用戶終端收到認證伺服器的響應數據包;2)解密;3)在數據前加上數據包頭和保存的hash,後面加上校驗數據組成數據包;4)對數據包進行2ASK調製,得到音頻波形採樣數據;5)發聲。
[0040]優選地,終端設備接收音頻信號(即接收聲音通信)的流程:1)對音頻波形採樣數據濾波;2)2ASK解調;3)判斷包頭是否正確,hash是否與保存的hash —致;4)校驗數據的正確性;5) 3DES解密;6)判斷數據包是否本次認證的有效應答數據包;7)解碼數據包得到認證伺服器對本次認證的認證結果;8)在顯示器上顯示認證結果(或利用印表機輸出認證結果)。
[0041]圖4示出了根據本發明示例實施方式的生成電子憑證的方法的流程圖。步驟401,終端設備用戶終端發放電子憑證,利用聲波驗證提供確認指令和密鑰;步驟402,用戶終端的應用通過聲波接收指令,將用戶終端的標識符、終端設備的標識符通過移動網際網路傳送到伺服器;步驟403,電子憑證身份核驗系統解密提供商的設備密鑰,確認提供商身份,同時確認用戶身份;以及步驟404,電子憑證內容核驗系統將該提供商的電子憑證與用戶終端的標識符綁定,電子憑證生成。
[0042]圖5示出了根據本發明再一示例實施方式的認證方法的流程圖。步驟501,用戶終端的應用通過伺服器來更新電子憑證並發送終端設備。步驟502,終端設備用聲波驗證設備靠近用戶終端,傳送終端設備的終端設備標識符和終端設備密鑰。步驟503,用戶終端的應用電子憑證接受終端設備的終端設備標識符和密鑰,並傳送到伺服器。步驟504,電子憑證身份核驗系統解密密鑰,確認終端設備身份,用戶終端身份。步驟505,電子憑證內容核驗系統檢測該用戶終端是否在該終端設備存在對應權益,電子憑證內容是否相符,相符則電子憑證驗證成功。步驟506,伺服器回傳數據到用戶終端應用,所述應用顯示電子憑證內容更改。步驟507,所述應用將成功信息回傳給聲波驗證設備,聲波驗證設備確認驗證成功信號,並列印輸出相關數據。
[0043]在先前的說明書和相關附圖中呈現的教導下,本發明涉及的領域內普通技術人員將得知在此闡述的本發明的許多修改和其他實施方式。因此,可以理解,本發明實施方式不限於這裡公開的特定實施方式,並且其修改和其他實施方式也被包括在所附權利要求的範圍內。此外,儘管以上說明書和相關附圖描述了在元件和/或功能的某些示例性組合的環境下的示例性實施方式,但是應理解可通過備選實施方式提供元件和/或功能的不同組合,而不脫離所附權利要求的範圍。在這點上,例如,如可在所附權利要求中闡述的那樣,也可設想除了以上明確所述的元件和/或功能之外的不同組合。儘管這裡採用的特定術語,但是它們可僅通過一般性和描述性概念來使用,並非用於限制的目的。
【權利要求】
1.一種終端設備,其通過與認證伺服器的間接通信對用戶終端的電子憑證進行認證,所述終端設備包括: 輸入單元,用於獲取與認證相關的動態信息,所述與認證相關的動態信息包括以下內容中的至少一個:終端設備的許可信息、終端設備的狀態信息以及終端設備的級別信息;存儲單元,存儲所述終端設備的標識符以及與認證相關的動態信息; 認證數據生成單元,基於所述終端設備的標識符以及與認證相關的動態信息,生成第一認證數據; 轉換單元,用於將所述第一認證數據轉換為第一音頻信號; 揚聲器,將所述第一音頻信號通過音頻通信信道傳送給用戶終端;以及 無線通信單元,周期性地通過無線通信與認證伺服器進行時間同步以保持時間一致。
2.根據權利要求1所述的設備,進一步包括,所述用戶終端將接收到的第一音頻信號轉換為第一認證數據,並且基於所述第一認證數據、用戶終端的標識符和電子憑證生成第二認證數據,將所述第二認證數據發送到認證伺服器。
3.根據權利要求2所述的設備,進一步包括,所述認證伺服器根據所述第二認證數據中的第一認證數據和用戶終端標識符來對電子憑證進行認證,如果認證成功,則將認證成功消息發送給所述用戶終端;如果認證失敗,則將認證失敗消息發送給所述用戶終端。
4.根據權利要求3所述的設備,其中所述用戶終端將所述認證成功消息或認證失敗消息轉換為第二音頻信號,將所述第二音頻信號發送給所述終端設備,所述終端設備將接收到的所述第二音頻信號轉換為認證成功消息或認證失敗消息,並且在終端設備的顯示屏幕上顯示所述認證成功消息或認證失敗消息、通過終端設備的LED燈指示所述認證成功消息或認證失敗消息分別對應的狀態、或通過印表機輸出認證成功消息或認證失敗消息、或利用揚聲器通過聲音來輸出輸出認證成功`消息或認證失敗消息。
5.根據權利要求1至4中任意一項所述的設備,其中將所述第一音頻信號通過音頻通信信道傳送給用戶終端具體為:使用3DES算法對所述第一音頻信號進行加密,並且將經過加密的第一音頻信號通過音頻通信信道傳送給用戶終端;和/或其中將所述第二音頻信號發送給所述終端設備具體為:使用3DES算法對所述第二音頻信號進行加密,並且將經過加密的第二音頻信號發送給所述終端設備。
6.根據權利要求1至4中任意一項所述的設備,進一步包括,所述終端設備根據加密算法對當前時間進行加密以生成時間加密因子,將所述時間加密因子增加到所述第一認證數據中,以確保對所述電子憑證進行認證的時間保持一致。
7.—種認證方法,所述終端設備通過與認證伺服器的間接通信對用戶終端的電子憑證進行認證,所述方法包括: 通過終端設備的輸入單元獲取所述終端設備的標識符以及與認證相關的動態信息,所述與認證相關的動態信息包括以下內容中的至少一個:終端設備的許可信息、終端設備的狀態信息以及終端設備的級別信息; 基於所述終端設備的標識符以及與認證相關的動態信息,生成第一認證數據; 用於將所述第一認證數據轉換為第一音頻信號; 將所述第一音頻信號通過音頻通信信道傳送給用戶終端;以及 周期性地通過無線通信與認證伺服器進行時間同步以保持時間一致。
8.根據權利要求7所述的方法,其中,所述用戶終端將接收到的第一音頻信號轉換為第一認證數據,並且基於所述第一認證數據、用戶終端的標識符和電子憑證生成第二認證數據,將所述第二認證數據發送到認證伺服器。
9.根據權利要求8所述的方法,進一步包括,所述認證伺服器根據所述第二認證數據中的第一認證數據和用戶終端標識符來對電子憑證進行認證,如果認證成功,則將認證成功消息發送給所述用戶終端;如果認證失敗,則將認證失敗消息發送給所述用戶終端。
10.根據權利要求8所述的方法,其中所述用戶終端將所述認證成功消息或認證失敗消息轉換為第二音頻信號,將所述第二音頻信號發送給所述終端設備,所述終端設備將接收到的所述第二音頻信號轉換為認證成功消息或認證失敗消息,並且在終端設備的顯示屏幕上顯示所述認證成功消息或認證失敗消息、通過終端設備的LED燈指示所述認證成功消息或認證失敗消息分別對應的狀態、或通過印表機輸出認證成功消息或認證失敗消息、或利用揚聲器通過聲音來輸出輸出認證成功消息或認證失敗消息。
11.根據權利要求7至10中任意一項所述的方法,其中將所述第一音頻信號通過音頻通信信道傳送給用戶終端具體為:使用3DES算法對所述第一音頻信號進行加密,並且將經過加密的第一音頻信號通過音頻通信信道傳送給用戶終端;和/或其中將所述第二音頻信號發送給所述終端設備具體為:使用3DES算法對所述第二音頻信號進行加密,並且將經過加密的第二音頻信號發送給所述終端設備。
12.根據權利要求7至10中任意一項所述的方法,進一步包括,所述終端設備根據加密算法對當前時間進行加密以生成時間加密因子,將所述時間加密因子增加到所述第一認證數據中,以確保對所述電子憑證進行認證的時間保持一致。
【文檔編號】H04L9/32GK103731828SQ201210386991
【公開日】2014年4月16日 申請日期:2012年10月12日 優先權日:2012年10月12日
【發明者】李巖, 羅幸福, 邵九洲 申請人:北京微智全景信息技術有限公司