口令管理方法和装置与流程
本申请涉及物联网技术,特别涉及口令管理方法和装置。
背景技术:
在物联网中,物联网设备数量庞大、且分布较广。在此种前提下,对物联网设备的安全管理尤为重要。目前,在物联网设备接入物理网系统时,为保证物联网设备的接入安全,常需要按照传统的知识因子认证方式对物联网设备进行认证。
当按照传统的知识因子认证方式对物联网设备进行认证时,需要物联网系统运维人员输入物联网设备的用户名、设备口令(相当于密码)。对于物联网系统运维人员而言,其同时管理数万、乃至上百万的物联网设备,很难同时记住如此多的物联网设备的设备口令。
为了方便物联网系统运维人员记住物联网设备的设备口令,常为所有物联网设备设置相同且易记忆的设备口令。但是,这会为整个物联网环境的安全带来极其严重的安全风险。
技术实现要素:
本申请提供了口令管理方法和装置,以通过口令管理装置为物联网设备生成安全度高的设备口令且为运维人员提供物联网设备的设备口令。
一种口令管理方法,该方法应用于口令管理装置,包括:
当确定对物联网设备的设备口令进行管理时,生成随机数,并将所述随机数转换为满足预设口令规则要求的目标口令;
将所述目标口令作为所述物联网设备的设备口令进行存储,并控制所述物联网设备将所述目标口令设置为所述物联网设备的设备口令。
作为一个实施例,所述确定对物联网设备的设备口令进行管理包括:
当获取到所述物联网设备的设备信息时,确定对所述物联网设备的设备口令进行管理;所述物联网设备的设备信息至少包括:所述物联网设备的设备标识;或者,
当检测到所述设备口令的更新周期到达时,确定对所述物联网设备的设备口令进行管理。
作为一个实施例,所述获取到所述物联网设备的设备信息包括:
接收外部输入的所述物联网设备的设备信息;或者,
按照指定下载路径下载所述物联网设备的设备信息。
作为一个实施例,所述控制物联网设备将所述目标口令设置为所述物联网设备的设备口令包括:
建立从所述口令管理装置至所述物联网设备之间的连接;
通过所述连接向所述物联网设备发送所述修改消息,以使所述物联网设备依据所述修改消息将所述物联网设备的设备口令修改为所述目标口令。
作为一个实施例,该方法进一步包括:
当通过本地接口接收到已通过所述口令管理装置认证的口令使用方发送的查询指令,所述查询指令用于指示查询所述物联网设备的设备口令,或者,当检测到导出指令,所述导出指令是由已通过口令管理装置认证的所述口令使用方通过触发已配置的离线导出功能发出的,用于指示导出所述物联网设备的设备口令,则向所述口令使用方发送所述指定存储介质已存储的所述物联网设备的设备口令,以使所述口令使用方依据所述物联网设备的设备口令登录至所述物联网设备执行业务操作。
作为一个实施例,所述将目标口令作为物联网设备的设备口令进行存储包括:依据已生成的口令加密密钥对所述物联网设备的设备口令进行加密得到第一加密密文,将所述第一加密密文存储至所述指定存储介质。
基于此,在一个例子中,当通过本地接口接收到所述口令使用方发送的查询指令时,所述向口令使用方发送所述指定存储介质已存储的所述物联网设备的设备口令包括:从所述指定存储介质获取所述第一加密密文,依据已生成的口令加密密钥对所述第一加密密文进行解密得到所述物联网设备的设备口令;依据已生成的与所述口令使用方对应的加密公钥对所述物联网设备的设备口令进行加密得到第二加密密文,向口令使用方发送第二加密密文以使口令使用方使用已获取的加密私钥对所述第二加密密文进行解密得到所述物联网设备的设备口令。
在另一个例子中,当检测到导出指令时,所述向口令使用方发送所述指定存储介质已存储的所述物联网设备的设备口令包括:从所述指定存储介质获取所述第一加密密文,依据已生成的口令加密密钥对所述第一加密密文进行解密得到所述物联网设备的设备口令;依据已生成的与所述口令使用方对应的加密公钥对所述物联网设备的设备口令进行加密得到第二加密密文,依据已生成的指定密钥对所述第二加密密文再进行加密得到第三加密密文;将所述第三加密密文、所述指定密钥发送至已配置的口令离线管理工具,以由所述口令离线管理工具依据所述指定密钥、已获取的与所述口令使用方对应的加密私钥对所述第三加密密文进行解密得到所述目标口令并在接收到所述口令使用方的请求指令时向所述口令使用方发送所述物联网设备的设备口令。
作为一个实施例,所述依据已生成的口令加密密钥对所述第一加密密文进行解密得到所述物联网设备的设备口令进一步包括:为所述物联网设备的设备口令设置有效期;
所述确定对物联网设备的设备口令进行管理包括:
当检测到所述物联网设备的设备口令的有效期结束时,确定对所述物联网设备的设备口令进行管理。
作为一个实施例,所述依据已生成的口令加密密钥对所述物联网设备的设备口令进行加密得到第一加密密文包括:
调用与所述口令管理装置绑定的第一密码部件,所述第一密码部件为用于提供密钥管理和密码运算的部件,以由所述第一密码部件依据已生成的口令加密密钥对所述物联网设备的设备口令进行加密得到第一加密密文。
作为一个实施例,在所述口令使用方通过所述口令管理装置认证前,进一步包括:
接收来自终端发送的所述口令使用方的注册信息;
将所述口令使用方注册至所述口令管理装置,并依据所述注册信息生成用于对所述口令使用方进行认证的认证信息,向所述终端发送所述认证信息,以由所述终端通过将所述认证信息、所述口令使用方的标识写入至第二密码部件而将所述口令使用方绑定至第二密码部件,所述第二密码部件为用于提供密钥管理和密码运算的部件。
作为一个实施例,所述依据所述注册信息生成用于对所述口令使用方进行认证的认证信息包括:
基于所述注册信息生成口令使用方签名证书;
生成与所述口令使用方对应的加密密钥对,所述加密密钥对包括与所述口令使用方对应的加密公钥、加密私钥;
依据所述加密私钥生成加密证书;
将至少包括所述口令使用方签名证书、所述加密证书的信息确定为所述认证信息。
作为一个实施例,所述口令管理装置是在检测到所述口令使用方绑定的第二密码部件被插入至终端时依据所述第二密码部件中的认证信息对所述口令使用方进行认证。
本申请实施例还提供了一种口令管理装置。所述口令管理装置包括:
确定单元,用于确定对物联网设备的设备口令进行管理;
随机数单元,用于当所述确定单元确定对物联网设备的设备口令进行管理时,生成随机数;
转换单元,用于将所述随机数转换为满足预设口令规则要求的目标口令;
管理单元,用于控制所述物联网设备将所述目标口令设置为所述物联网设备的设备口令,并将所述目标口令作为所述物联网设备的设备口令进行存储。
本申请实施例还提供了一种电子设备。该电子设备包括:处理器和机器可读存储介质;
所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
所述处理器用于执行机器可执行指令,以实现上述公开的口令管理方法的步骤。
由以上技术方案可以看出,本申请中,通过生成随机数并将随机数转换为满足预设口令规则要求的目标口令,实现了随机动态生成物联网设备的设备口令,这保证生成的物联网设备的设备口令很难被破解,满足了口令设置的安全要求,提高了设备口令的安全性。
进一步地,口令管理装置通过将上述目标口令作为上述物联网设备的设备口令进行存储,以实现口令使用方比如运维人员直接获取已存储的物联网设备的设备口令,无需口令使用方比如运维人员记忆物联网设备的设备口令。
再进一步地,本申请中,口令管理装置通过将上述目标口令作为上述物联网设备的设备口令进行存储,并控制物联网设备将上述目标口令设置为上述物联网设备的设备口令,实现了存储的设备口令与物联网设备存储的设备口令的一致性,便于口令使用方比如运维人员基于获取的已存储的物联网设备的设备口令成功登录至物联网设备(登录时输入的设备口令与物联网设备已有的设备口令一致,则表示成功登录)。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1为本申请实施例提供的方法流程图;
图2为本申请实施例提供的口令获取流程图;
图3为本申请提供的第一实施例流程图;
图4为本申请提供的第二实施例流程图;
图5为本申请实施例提供的注册流程图;
图6为本申请实施例提供的认证流程图;
图7为本申请实施例提供的装置结构图;
图8为本申请实施例提供的电子设备结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
参见图1,图1为本申请实施例提供的方法流程图。该流程应用于口令管理装置。这里的口令管理装置用于集中管理各物联网设备的设备口令,可集成在服务器上,也可独立于服务器,本申请实施例并不具体限定。另外,在具体实现时,口令管理装置可通过软件实现,也可通过硬件实现,本申请实施例并不具体限定。
如图1所示,该流程可包括以下步骤:
步骤101,当确定对物联网设备的设备口令进行管理时,生成随机数。
在一个例子中,口令管理装置会预先绑定一个密码部件(记为第一密码部件)。这里,第一密码部件为用于提供密钥管理和密码运算的部件。需要说明的是,这里之所以记为第一密码部件,只是为便于描述,不用于限定。
基于第一密码部件的上述功能,则作为一个实施例,本步骤101中生成随机数可包括:调用上述第一密码部件,以由第一密码部件随机生成一个随机数。需要说明的是,这里生成的随机数的长度为指定长度。指定长度为物联网设备的设备口令所要求的长度。
作为一个实施例,本步骤101中确定对物联网设备的设备口令进行管理有很多实现形式,下文会举例描述两种实现方式,这里暂不赘述。
步骤102,将随机数转换为满足预设口令规则要求的目标口令。
作为一个实施例,本步骤102中,将随机数转换为满足预设口令规则要求的目标口令可包括:按照设定的随机数-口令转换方式将随机数转换为对应的口令,依据预设口令规则要求对该口令进行调整以使调整后的口令满足预设口令规则要求,将调整后的口令确定为上述满足预设口令规则要求的目标口令。在一个例子中,这里的预设口令规则要求比如可为:设备口令需要包括大小写字母,数字,特殊字符等中的至少一个。
作为一个实施例,在本步骤102之前,会预先将口令管理策略导入至口令管理装置。基于此,上述的预设口令规则要求是与上述物联网设备匹配的口令管理策略中的规则要求。需要说明的是,这里的口令管理策略除了包括上述预设口令规则要求外,还包括:设备口令的更新周期等,下文在涉及到时会详细描述,这里暂不赘述。
步骤103,将上述目标口令作为上述物联网设备的设备口令进行存储,并控制物联网设备将上述目标口令设置为上述物联网设备的设备口令。
本实施例中,可将上述目标口令作为上述物联网设备的设备口令存储至指定存储介质,这里的指定存储介质可为数据库或者其它具有存储功能的存储介质。下文会举例描述如何将目标口令作为物联网设备的设备口令进行存储。
还有,本实施例中,之所以控制物联网设备将上述目标口令设置为上述物联网设备的设备口令,其目的是保证口令管理装置存储的设备口令与物联网设备存储的设备口令一致。至于如何控制物联网设备将上述目标口令设置为上述物联网设备的设备口令,其可有很多实现形式,下文会举例描述其中一种实现方式,这里暂不赘述。
至此,完成图1所示流程。
通过图1所示流程可以看出,本申请中,通过生成随机数并将随机数转换为满足预设口令规则要求的目标口令,实现了随机生成物联网设备的设备口令,这保证生成的物联网设备的设备口令很难被破解,满足了口令设置的安全要求,提高了设备口令的安全性。
进一步地,口令管理装置通过将上述目标口令作为上述物联网设备的设备口令存储至指定存储介质,以实现口令使用方比如运维人员直接获取已存储的物联网设备的设备口令,无需口令使用方比如运维人员记忆物联网设备的设备口令。
再进一步地,本申请中,口令管理装置通过将上述目标口令作为上述物联网设备的设备口令进行存储(比如存储至指定存储介质),并控制物联网设备将上述目标口令设置为上述物联网设备的设备口令,实现了已存储的设备口令与物联网设备存储的设备口令一致,便于口令使用方比如运维人员基于获取的已存储的物联网设备的设备口令成功登录至物联网设备(登录时输入的设备口令与物联网设备已有的设备口令一致,则表示成功登录)。
下面对上述步骤101中如何确定对物联网设备的设备口令进行管理进行描述:
在一个例子中,当获取到上述物联网设备的设备信息时,则确定需要对该物联网设备进行密码重置(即需要对上述物联网设备的设备口令进行管理)。基于此,上述步骤101中确定对物联网设备的设备口令进行管理可包括:当获取到上述物联网设备的设备信息时,确定对上述物联网设备的设备口令进行管理。其中,物联网设备的设备信息至少包括:物联网设备的设备标识比如ip地址、端口(port)、用户名(usr)、设备口令(pwd),协议类型(例如onvif协议、asix协议、gb28181协议等)中的至少一个。
需要说明的是,在具体实现时,上述获取到物联网设备的设备信息有很多方式,比如接收外部输入的上述物联网设备的设备信息;或者,按照指定下载路径下载上述物联网设备的设备信息等,本申请并不具体限定。
在另一个例子中,如上描述,物联网设备匹配的口令管理策略中包括设备口令的更新周期。当设备口令的更新周期达到时,则表示物联网设备已有的设备口令需要更新(即需要对上述物联网设备的设备口令进行管理)。基于此,上述步骤101中确定对物联网设备的设备口令进行管理可包括:当检测到物联网设备的设备口令的更新周期到达时,确定对物联网设备的设备口令进行管理。
以上对上述步骤101中如何确定对物联网设备的设备口令进行管理进行了描述。
下面对步骤103中如何控制物联网设备将上述目标口令设置为上述物联网设备的设备口令进行描述:
本步骤103中控制物联网设备将上述目标口令设置为上述物联网设备的设备口令可包括
步骤a1,建立从口令管理装置至上述物联网设备之间的连接。
如上描述,上述物联网设备的设备信息包括物联网设备支持的协议类型。基于此,在一个例子中,当口令管理装置判断出本口令管理装置与物联网设备支持的协议类型一致时,则可根据本口令管理装置与物联网设备支持的协议类型建立从口令管理装置至上述物联网设备之间的连接。
在另一个例子中,当口令管理装置判断出本口令管理装置与物联网设备支持的协议类型不一致时,则口令管理装置可调用已安装的设备协议插件与物联网设备建立连接。这里的设备协议插件具备较高的可扩展性,可适配所有物联网设备。
步骤a2,通过所述连接向所述物联网设备发送所述修改消息,以使所述物联网设备依据所述修改消息将所述物联网设备的设备口令修改为所述目标口令。
这里的修改消息可包括目标口令。
至此,通过步骤a1至步骤a2,则实现了上述步骤103中如何控制物联网设备将上述目标口令设置为上述物联网设备的设备口令。
另外,在上述步骤103中,当将目标口令作为物联网设备的设备口令进行存储(比如存储至指定存储介质)后,则后续口令使用方可获取已存储的物联网设备的设备口令。下文进行描述:
参见图2,图2为本申请实施例提供的口令获取流程图。该流程仍应用于上述的口令管理装置。如图2所示,该流程可包括:
步骤201,当通过本地接口接收到已通过所述口令管理装置认证的口令使用方发送的查询指令,或者,当检测到导出指令,则执行步骤202。
在一个例子中,查询指令用于指示查询所述物联网设备的设备口令。下文实施例1举例描述了收到查询指令后如何执行步骤202,这里不再赘述,
在一个例子中,导出指令是由已通过口令管理装置认证的所述口令使用方通过触发已配置的离线导出功能发出的,用于指示导出所述物联网设备的设备口令。这里,离线导出功能是配置在口令管理界面(由口令管理装置提供)。下文实施例2举例描述了检测到导出指令后如何执行步骤202,这里不再赘述。
步骤202,向所述口令使用方发送已存储的所述物联网设备的设备口令,以使所述口令使用方依据所述物联网设备的设备口令登录至所述物联网设备执行业务操作。
本步骤202具体实现可参见下文实施例1、实施例2,这里不再赘述。
至此,完成图2所示流程。
通过图2所示流程可以看出,口令管理装置在接收到上述查询指令或者在检测到上述导出指令时,将已存储的上述物联网设备的设备口令发送至口令使用方,无需口令使用方比如运维人员记忆物联网设备的设备口令。
下面通过两个实施例对上述图2所示流程进行举例描述:
实施例1:
本实施例1是在接收到上述查询指令的前提下执行的。作为一个实施例,上述的查询指令一般是在物联网设备在线的前提下发出的。
在对本实施例1描述之前,先对上述步骤103中将目标口令作为物联网设备的设备口令进行存储进行描述:
在一个例子中,为了提高设备口令的存储安全性,常在存储物联网设备的设备口令之前,对物联网设备的设备口令进性加密。基于此,上述步骤103中将目标口令作为物联网设备的设备口令进行存储可包括:依据已生成的口令加密密钥对物联网设备的设备口令进行加密得到第一加密密文,将第一加密密文存储至指定存储介质。这里,指定存储介质可为数据库等,本实施例不具体限定。第一加密密文与上述物联网设备的设备信息对应存储至指定存储介质。
需要说明的是,上述口令加密密钥是口令管理装置在初始化时通过调用上述的第一密码部件生成的,其可为第一密码部件随机生成的一个随机数(比如64位的随机数)。基于此,上述依据已生成的口令加密密钥对目标口令进行加密得到第一加密密文可为:调用上述第一密码部件,以由第一密码部件依据已生成的口令加密密钥对物联网设备的设备口令进行加密得到第一加密密文。
本实施例1下,上述步骤202中向口令使用方发送已存储的所述物联网设备的设备口令包括:从指定存储介质获取第一加密密文,依据已生成的口令加密密钥对第一加密密文进行解密,得到上述目标口令;依据已生成的与上述口令使用方对应的加密公钥对上述物联网设备的设备口令进行加密得到第二加密密文,将第二加密密文发送至上述口令使用方,以使上述口令使用方使用已获取的加密私钥对第二加密密文进行解密得到目标口令。至此,实现了将指定存储介质存储的上述物联网设备的设备口令发送至口令使用方。
下面通过一个具体实施例进行实例描述:
参见图3,图3为本申请提供的第一实施例流程图。如图3所示,该流程可包括:
步骤301,口令管理装置通过本地接口接收已通过认证的口令使用方发送的查询指令。
在一个例子中,这里的查询指令携带上述物联网设备的至少一个设备信息比如设备标识(id)、ip地址。
步骤302,口令管理装置依据查询指令从指定存储介质中查询到上述第一加密密文。
如上描述,第一加密密文与物联网设备的设备信息对应存储。基于此,口令管理装置以查询指令携带的物联网设备信息为关键字在指定存储介质中查找到该关键字对应的上述第一加密密文。
步骤303,口令管理装置依据已生成的口令加密密钥对第一加密密文进行解密,得到物联网设备的设备口令。
如上描述,口令加密密钥是口令管理装置在初始化时通过调用上述的第一密码部件生成的,基于此,本步骤303中,口令管理装置调用第一密码部件对第一加密密文进行解密,得到上述物联网设备的设备口令。
步骤304,口令管理装置使用已生成的与上述口令使用方对应的加密公钥对目标口令进行加密得到第二加密密文,向上述口令使用方发送第二加密密文。
这里,与上述口令使用方对应的加密公钥是在上述口令使用方注册至口令管理装置时由第一密码部件生成的,下文会描述口令使用方如何注册至口令管理装置,这里暂不赘述。基于此,在一个例子中,口令管理装置可调用第一密码部件使用已生成的与口令使用方对应的加密公钥对目标口令进行加密得到第二加密密文。
至此,完成图3所示流程。在图3所示流程中,当口令管理装置向已通过认证的口令使用方发送第二加密密文后,口令使用方可使用已获取的加密私钥对第二加密密文进行解密得到物联网设备的设备口令。之后即可依据物联网设备的设备口令登录至物联网设备进行业务操作。这里,加密私钥与上述的口令使用方对应的加密公钥组成加密密钥对。加密密钥对是在口令使用方注册至口令管理装置时由第一密码部件生成的,下文会描述口令使用方如何注册至口令管理装置,这里暂不赘述。
以上对实施例1进行了举例描述。下面对实施例2进行描述:
实施例2:
本实施例2是在检测到上述导出指令的前提下执行的。作为一个实施例,上述导出指令一般是在上述物联网设备离线的前提下发出的。
应用于本实施例2中,为了提高设备口令的存储安全性,常在存储物联网设备的设备口令之前,对物联网设备的设备口令进性加密。基于此,上述步骤103中将目标口令作为物联网设备的设备口令进行存储可包括:依据已生成的口令加密密钥对物联网设备的设备口令进行加密得到第一加密密文,将第一加密密文存储至指定存储介质。这里,指定存储介质可为数据库等,本实施例不具体限定。第一加密密文与上述物联网设备的设备信息对应存储至指定存储介质。
需要说明的是,上述口令加密密钥是口令管理装置在初始化时通过调用上述的第一密码部件生成的,其可为第一密码部件随机生成的一个随机数(比如64位的随机数)。基于此,上述依据已生成的口令加密密钥对目标口令进行加密得到第一加密密文可为:调用上述第一密码部件,以由第一密码部件依据已生成的口令加密密钥对物联网设备的设备口令进行加密得到第一加密密文。
本实施例2下,上述步骤202中,向口令使用方发送已存储的所述物联网设备的设备口令可包括:从指定存储介质获取所述第一加密密文,依据已生成的口令加密密钥对第一加密密文进行解密得到所述物联网设备的设备口令;依据已生成的与所述口令使用方对应的加密公钥对物联网设备的设备口令进行加密得到第二加密密文,依据已生成的指定密钥对所述第二加密密文再进行加密得到第三加密密文;将所述第三加密密文、所述指定密钥发送至已生成的口令离线管理工具,以由所述口令离线管理工具依据所述指定密钥、已获取的与所述口令使用方对应的加密私钥对所述第三加密密文进行解密得到物联网设备的设备口令并在接收到所述口令使用方的请求指令时向口令使用方发送物联网设备的设备口令。至此,通过实施例2实现了将指定存储介质存储的上述物联网设备的设备口令发送至口令使用方。
下面通过一个具体实施例进行实例描述:
参见图4,图4为本申请提供的第二实施例流程图。如图3所示,该流程可包括以下步骤:
步骤401,口令管理装置检测到导出指令,则依据导出指令从指定存储介质中查询到上述第一加密密文。
如上描述,导出指令用于指示导出物联网设备的设备口令,是由已通过口令管理装置认证的口令使用方触发口令管理装置提供的口令管理界面上的离线导出功能发出的。作为一个实施例,上述导出指令可在物联网设备离线时发出。
在一个例子中,导出指令与上述的查询指令类似,可携带上述物联网设备的至少一个设备信息比如设备标识(id)、ip地址。
步骤402,口令管理装置依据导出指令从指定存储介质中查询到上述第一加密密文。
本步骤402与上述302类似,不再赘述。
步骤403,口令管理装置依据已生成的口令加密密钥对第一加密密文进行解密得到物联网设备的设备口令。
本步骤403与上述303类似,不再赘述。
步骤404,口令管理装置依据已生成的与上述口令使用方对应的加密公钥对物联网设备的设备口令进行加密得到第二加密密文。
本步骤404与上述304中得到第二加密密文的方式类似,不再赘述。至于本步骤如何确定口令使用方,其可在后文口令使用方进行认证时描述,这里暂不涉及。
步骤405,口令管理装置依据已生成的指定密钥对所述第二加密密文再进行加密得到第三加密密文,并将第三加密密文、指定密钥发送至已生成的口令离线管理工具,以由口令离线管理工具依据指定密钥、已获取的与口令使用方对应的加密私钥对第三加密密文进行解密得到物联网设备的设备口令并在接收到所述口令使用方的请求指令时向口令使用方发送物联网设备的设备口令。
作为一个实施例,这里的指定密钥可为静态白盒库。在一个例子中,这里的静态白盒是指通过将密码算法结合特定的密钥经过白盒密码技术处理后形成特定的密码算法库,也称为白盒库,其具备特定的密码功能(加密、解密以及加解密),并能在白盒攻击环境下有效保护原有密钥的安全。
另外,在一个实施例中,上述的口令离线管理工具可在将第三加密密文发送之前生成,比如收到导出指令时生成等。为方便管理,这里可设置口令离线管理工具、物联网设备具有一一对应关系,这样在口令使用方请求物联网设备的设备指令时可以专向物联网设备对应的口令离线管理工具发送请求指令,以获取物联网设备的设备口令。
至此,完成图4所示的流程。通过图4所示流程,最终口令使用方可获取物联网设备的设备口令,之后即可依据物联网设备的设备口令登录至物联网设备进行业务操作。
需要说明的是,本实施例2中,在上述步骤403依据已生成的口令加密密钥对所述第一加密密文进行解密得到物联网设备的设备口令时可进一步包括:为物联网设备的设备口令设置有效期。在一个例子中,这里设置的有效期可根据实际情况设置,比如1个月、1周等,本申请实施例并不具体限定。
基于此,在本实施例2中,上述步骤101确定对物联网设备的设备口令进行管理还可扩展为:当检测到物联网设备的设备口令的有效期结束时,确定对物联网设备的设备口令进行管理。
以上对实施例2进行了举例描述。
下面对口令管理装置对口令使用方进行认证进行描述:
为便于理解口令管理装置对口令使用方进行认证的方案,下面先描述口令使用方的注册。通过口令使用方的注册,口令管理装置可将口令使用方与对应的用户密码部件(简称第二密码部件)绑定。下面进行描述:
参见图5,图5为本申请实施例提供的注册流程图。该流程仍应用于口令管理装置。如图5所示,该流程可包括以下步骤:
步骤501,接收来自终端发送得口令使用方的注册信息。
在一个例子中,当与口令使用方待绑定的第二密码部件插入终端时,终端可向口令管理装置发送上述注册信息。这里,终端可为web平台所处的终端,或者服务所处的终端。第二密码部件与上述第一密码部件类似,为用于提供密钥管理和密码运算的部件。
作为一个实施例,上述的注册信息可包括口令使用方的标识(比如用户名)、密码。优选地,当第二密码部件插入终端时,还可调用第二密码部件生成签名密钥对(简称用户签名密钥对)。这里的用户签名密钥对包括签名公钥和签名私钥。基于此,上述注册信息还可进一步包括:签名公钥。
步骤502,将口令使用方注册至本口令管理装置,并依据注册信息生成用于对口令使用方进行认证的认证信息,向终端发送认证信息,以由终端通过将认证信息、口令使用方的标识写入至第二密码部件而使口令使用方绑定至第二密码部件。
这里,将口令使用方注册至口令管理装置可为:将注册信息中的口令使用方标识(比如用户名)、密码存储至本口令管理装置。
在一个例子中,本步骤502中依据注册信息生成用于对口令使用方进行认证的认证信息可包括:
步骤b1,基于注册信息生成口令使用方签名证书。
如上描述的注册信息,则步骤b1中,可调用内部逻辑并基于注册信息中的口令使用方标识(比如用户名)、密码、以及上述签名公钥生成用户签名证书(即口令使用方签名证书)。
步骤b2,生成与口令使用方对应的加密密钥对,加密密钥对包括与口令使用方对应的加密公钥、加密私钥,并依据加密私钥生成加密证书。
在一个例子中,口令管理装置可调用绑定的第一密码部件生成与口令使用方对应的加密密钥对。
这里,依据加密私钥生成加密证书类似现有证书生成方式,这里不再赘述。
步骤b3,将至少包括上述口令使用方签名证书、加密证书的信息确定为认证信息。
在一个例子中,还可将加密私钥封装为数字信封。基于此,上述认证信息也可进一步包括数字信封。
最终,通过上述步骤b1至步骤b3,实现了依据注册信息生成用于对口令使用方进行认证的认证信息。
以上对口令使用方的注册进行了描述,下面再对口令使用方的认证进行描述:
参见图6,图6为本申请实施例提供的认证流程图。该流程仍应用于口令管理装置。如图6所示,该流程可包括以下步骤:
步骤601,当口令使用方已绑定的第二密码部件插入至终端时,接收终端发送的认证信息。
当口令使用方已绑定的第二密码部件插入至终端时,则终端会校验口令使用方输入的口令使用方标识与第二密码部件已存储的口令使用方标识是否一致,若一致,则从第二密码部件中提取上述的认证信息比如口令使用方签名证书和加密证书并向口令管理装置发送。
步骤602,基于认证信息对口令使用方进行认证。
以上述认证信息为口令使用方签名证书为例,则基于认证信息对口令使用方进行认证可采用基于证书的身份认证方式进行认证。在一个例子中,基于证书的身份认证方式可简单概括为下述步骤c1和步骤c2:
步骤c1,验证口令使用方签名证书的有效性,当验证通过时,调用第一密码部件生成随机数1(random1),并将random1和本口令管理装置的签名证书发送给上述终端。
如上描述,口令使用方签名证书是第一密码部件生成的,其在生成口令使用方签名证书时会为口令使用方签名证书设置有效期。基于此,这里,验证口令使用方签名证书的有效性是指:验证口令使用方签名证书是否在有效期内,如果是,则确定口令使用方签名证书有效,否则,确定口令使用方签名证书无效。
在一个实施例中,口令管理装置可在初始化时调用第一密码部件生成签名密钥对(简称装置签名密钥对),该签名密钥对包括签名公钥和签名私钥,口令管理装置依据签名公钥生成签名证书(可称为口令管理装置的签名证书)。
步骤c2,接收上述终端发送的第一签名结果,并对第一签名结果进行验签,验签通过,则向终端发送第二签名结果。
在一个例子中,当终端接收到口令管理装置在上述步骤c1发送的random1和口令管理装置的签名证书时,会验证已存储的口令管理装置的签名证书是否有效,当有效时,调用上述第二密码部件生成random2,使用上述用户签名密钥对中的签名私钥对random1、random2、口令管理装置标识进行签名得到上述第一签名结果。之后,向上述口令管理装置发送第一签名结果。
如步骤c2描述,当口令管理装置接收到上述第一签名结果时,使用上述用户签名密钥对中的签名公钥对第一签名结果进行验签,若验签通过,则表示口令使用方通过认证。
当然在一个例子中,当口令使用方通过认证时,终端也可进一步对口令管理装置进行认证,具体可为:口令管理装置使用上述装置签名密钥对中的签名私钥对口令使用方的标识、验签通过得到的random1、random2进行签名得到第二签名结果。之后,向上述终端发送第二签名结果。当终端接收到第二签名结果,则使用已获取的上述装置签名密钥对中的签名公钥对第二签名结果进行验签,若验签通过,则表示口令管理装置通过认证。
至此,完成对口令使用方的认证描述。当口令使用方通过认证,则可执行上述实施例1或实施例2公开的方法。
以上对本申请提供的方法进行了描述,下面对本申请提供的装置进行描述:
参见图7,图7为本申请提供的装置结构图。如图7所示,该装置可包括:
确定单元,用于确定对物联网设备的设备口令进行管理;
随机数单元,用于当确定单元确定对物联网设备的设备口令进行管理时,生成随机数。
转换单元,用于将所述随机数转换为满足预设口令规则要求的目标口令。
管理单元,用于控制所述物联网设备将所述目标口令设置为所述物联网设备的设备口令,并将所述目标口令作为所述物联网设备的设备口令进行存储。
作为一个实施例,上述确定单元确定对物联网设备的设备口令进行管理可包括:
当获取到所述物联网设备的设备信息时,确定对所述物联网设备的设备口令进行管理;所述物联网设备的设备信息至少包括:所述物联网设备的设备标识;或者,
当检测到所述设备口令的更新周期到达时,确定对所述物联网设备的设备口令进行管理。
作为一个实施例,上述获取到所述物联网设备的设备信息可包括:
接收外部输入的所述物联网设备的设备信息;或者,
按照指定下载路径下载所述物联网设备的设备信息。
作为一个实施例,管理单元控制物联网设备将所述目标口令设置为所述物联网设备的设备口令包括:
建立从所述口令管理装置至所述物联网设备之间的连接;
通过所述连接向所述物联网设备发送所述修改消息,以使所述物联网设备依据所述修改消息将所述物联网设备的设备口令修改为所述目标口令。
作为一个实施例,上述管理单元进一步在本地接口接收到已通过所述口令管理装置认证的口令使用方发送的查询指令,所述查询指令用于指示查询所述物联网设备的设备口令,或者,在检测到导出指令,所述导出指令是由已通过口令管理装置认证的所述口令使用方通过触发已配置的离线导出功能发出的,用于指示导出所述物联网设备的设备口令,则向口令使用方发送指定存储介质已存储的物联网设备的设备口令,以使口令使用方依据所述物联网设备的设备口令登录至物联网设备执行业务操作。
在一个例子中,管理单元将目标口令作为物联网设备的设备口令进行存储包括:依据已生成的口令加密密钥对所述物联网设备的设备口令进行加密得到第一加密密文,将所述第一加密密文存储至所述指定存储介质。
基于此,当通过本地接口接收到所述口令使用方发送的查询指令时,上述管理单元向口令使用方发送所述指定存储介质已存储的所述物联网设备的设备口令包括:从指定存储介质获取所述第一加密密文,依据已生成的口令加密密钥对所述第一加密密文进行解密得到所述物联网设备的设备口令;依据已生成的与所述口令使用方对应的加密公钥对所述物联网设备的设备口令进行加密得到第二加密密文,向口令使用方发送第二加密密文以使口令使用方使用已获取的加密私钥对所述第二加密密文进行解密得到所述物联网设备的设备口令。
作为另一个实施例,当检测到导出指令时,管理单元向口令使用方发送所述指定存储介质已存储的所述物联网设备的设备口令包括:从所述指定存储介质获取所述第一加密密文,依据已生成的口令加密密钥对所述第一加密密文进行解密得到所述物联网设备的设备口令;依据已生成的与所述口令使用方对应的加密公钥对所述物联网设备的设备口令进行加密得到第二加密密文,依据已生成的指定密钥对所述第二加密密文再进行加密得到第三加密密文;将所述第三加密密文、所述指定密钥发送至已配置的口令离线管理工具,以由所述口令离线管理工具依据所述指定密钥、已获取的与所述口令使用方对应的加密私钥对所述第三加密密文进行解密得到所述目标口令并在接收到所述口令使用方的请求指令时向所述口令使用方发送所述物联网设备的设备口令。
作为一个实施例,上述管理单元依据已生成的口令加密密钥对所述第一加密密文进行解密得到所述物联网设备的设备口令进一步包括:为所述物联网设备的设备口令设置有效期。基于此,上述确定单元确定对物联网设备的设备口令进行管理可包括:当检测到所述物联网设备的设备口令的有效期结束时,确定对所述物联网设备的设备口令进行管理。
在一个例子中,上述管理单元依据已生成的口令加密密钥对所述物联网设备的设备口令进行加密得到第一加密密文包括:
调用与所述口令管理装置绑定的第一密码部件,所述第一密码部件为用于提供密钥管理和密码运算的部件,以由所述第一密码部件依据已生成的口令加密密钥对所述物联网设备的设备口令进行加密得到第一加密密文。
作为一个实施例,上述管理单元进一步在确定所述口令使用方通过所述口令管理装置认证前,进一步接收来自终端发送的所述口令使用方的注册信息;将所述口令使用方注册至所述口令管理装置,并依据所述注册信息生成用于对所述口令使用方进行认证的认证信息,向所述终端发送所述认证信息,以由所述终端通过将所述认证信息、所述口令使用方的标识写入至第二密码部件而将所述口令使用方绑定至第二密码部件,所述第二密码部件为用于提供密钥管理和密码运算的部件。
这里,管理单元依据所述注册信息生成用于对所述口令使用方进行认证的认证信息可包括:
基于所述注册信息生成口令使用方签名证书;
生成与所述口令使用方对应的加密密钥对,所述加密密钥对包括与所述口令使用方对应的加密公钥、加密私钥;
依据所述加密私钥生成加密证书;
将至少包括所述口令使用方签名证书、所述加密证书的信息确定为所述认证信息。
需要说明的是,在一个例子中,上述管理单元对所述口令使用方进行认证是在检测到所述口令使用方绑定的第二密码部件被插入至终端时依据所述第二密码部件中的认证信息执行的。
至此,完成图7所示的装置描述。
参见图8,图8为本申请实施例提供的电子设备结构图。如图8所示,该硬件结构可包括:处理器和机器可读存储介质,机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现本申请上述示例公开的方法。
基于与上述方法同样的申请构思,本申请实施例还提供一种机器可读存储介质,所述机器可读存储介质上存储有若干计算机指令,所述计算机指令被处理器执行时,能够实现本申请上述示例公开的方法。
示例性的,上述机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:ram(radomaccessmemory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
- 还没有人留言评论。精彩留言会获得点赞!