认证方法、装置、系统及治疗设备的制造方法

认证方法、装置、系统及治疗设备的制造方法
【专利摘要】本发明公开了一种认证方法、装置、系统及治疗设备，该方法包括：读取本机预设的服务器信息，按照服务器信息自动以无线通信方式与服务器建立通信连接；治疗设备发起自身认证，其中，自身认证包括：读取本机预存的全局唯一标识码和产品序列号；加密治疗设备存储的全局唯一标识码和产品序列号，并将加密的全局唯一标识码和产品序列号发送至服务器请求自身认证；根据服务器返回的信息确认所述自身认证结果；若自身认证通过，则与服务器开始进行数据传输；若自身认证失败，则断开与服务器间的通信连接。本发明降低了身份认证的操作难度和复杂度。
【专利说明】
认证方法、装置、系统及治疗设备
技术领域
[0001]本发明涉及身份认证技术领域，更具体地，涉及一种用于治疗设备的认证方法、用于服务器的认证方法、用于治疗设备的认证装置、用于认证服务器的认证装置、治疗设备及认证系统。
【背景技术】
[0002]身份认证是系统审查用户身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限，在用户进入云平台查看设备信息时，也需要增加身份认证过程，以防数据被他人窥测和泄露。远程医疗是使用远程通信技术与计算机多媒体技术提供信息服务的工作模式，这种模式突破了多媒体设备和资源在时间和空间方面的诸多限制，现有的基于云的物联网技术采用三层架构，即感知层、传输层和云平台。传输层的主要功能是将设备采集到的数据上传至云平台，具体是通过以太网、无线局域网或GPRS进行传输的，然而这条链路是公用的网络信道，是不安全的传输通道，很容易受到外界的攻击，信息容易被盗取和篡改，用户的身份认证得不到保证。
[0003]目前采用比较多的身份认证方法主要有:基于密码的身份认证，用户需要熟记密码，并且存在密码攻击和破解的安全漏洞;基于地址的身份认证，操作繁琐;双因素身份认证需要用户熟记密码，使用不够方便;零知识证明身份认证，目前有Kerberos协议和SSL协议。其缺点是Kerberos协议在交换密钥时的安全性难以保障，并且需要中心服务器的持续相应，SSL协议不能提供除传输过程外其他的安全保证和隐私保护。
[0004]特别地，对于呼吸机等治疗设备也存在身份认证不安全及操作繁琐的问题，因此建立一个安全的网络身份认证机制和数据传输环境是远程医疗系统中一个重点需要解决的问题。因此，需要一种新的认证方法和认证装置，使得用户不需要进行繁琐的操作和记忆，同时还可以保证传输内容和交换密钥时的安全性。

【发明内容】

[0005]本发明实施例的一个目的是解决现有的身份认证方法不能脱离用户操作而自动实现认证的问题。
[0006]根据本发明的第一方面，提供了一种用于治疗设备的认证方法，其包括:
[0007]治疗设备读取本机预设的服务器信息，按照所述服务器信息自动以无线通信方式与服务器建立通信连接；
[0008]所述治疗设备发起自身认证，其中，所述自身认证包括:
[0009]所述治疗设备读取本机预存的全局唯一标识码和产品序列号；
[0010]加密所述治疗设备存储的全局唯一标识码和产品序列号，并将加密的全局唯一标识码和产品序列号发送至所述服务器请求自身认证；
[0011 ]所述治疗设备根据所述服务器返回的信息确认所述自身认证结果；
[0012]若所述自身认证通过，则与服务器开始进行数据传输；
[0013]若所述自身认证失败，则断开与所述服务器间的通信连接。
[0014]优选的是，所述治疗设备自身认证前，所述方法还包括:
[0015]所述治疗设备以非对称加密方式，发起请求所述服务器的认证申请；
[0016]所述治疗设备根据所述服务器返回的信息确认认证结果；
[0017]若认证通过，执行所述自身认证；
[0018]若认证失败，断开与所述服务器连接。
[0019]优选的是，所述治疗设备以非对称加密方式，发起请求所述服务器的认证申请包括:
[0020]生成服务器认证随机数列；
[0021 ]利用所述治疗设备设置的预设算法计算所述服务器认证随机数列，得到服务器认证基准；
[0022]利用非对称加密算法加密所述服务器认证随机数列；
[0023]将加密的服务器认证随机数列发送至所述服务器请求所述服务器的认证；
[0024]接收所述服务器返回的计算结果；
[0025]所述治疗设备根据所述服务器返回的计算结果确认所述服务器认证结果；
[0026]若所述计算结果与所述服务器认证基准一致，则所述服务器认证通过；
[0027]若所述计算结果与所述服务器认证基准不一致，则所述服务器认证失败。
[0028]优选的是，所述认证方法还包括请求用对称加密算法进行所述自身认证:
[0029]按照规则生成密钥确定随机数列；
[0030]利用非对称加密算法加密所述密钥确定随机数列；
[0031 ]将加密的密钥确定随机数列发送至所述服务器；
[0032]接收所述服务器返回的消息；
[0033]根据所述服务器返回的消息确认请求结果；
[0034]若请求成功，利用所述对称加密算法加密所述全局唯一标识码和产品序列号。
[0035]根据本发明的第二方面，提供了一种用于服务器的认证方法，其包括:
[0036]建立与治疗设备的通信连接；
[0037]响应所述治疗设备在建立所述通信连接后发起的对所述服务器的认证；
[0038]接收所述治疗设备发送的加密的产品序列号和全局唯一标识码，并进行解密，其中，所述加密的产品序列号和全局唯一标识码被设置为在所述治疗设备认证所述服务器成功后发出；以及，
[0039]将所述服务器的数据库中存储的全局唯一标识码和产品序列号与所述服务器解密得到的产品序列号和全局唯一标识码相匹配，若匹配到相同记录，则向所述治疗设备发送所述治疗设备认证成功的认证结果信息，若未匹配到相同记录，则向所述治疗设备发送所述治疗设备认证失败的认证结果信息。
[0040]优选的是，所述认证方法还包括:
[0041]接收所述治疗设备对所述服务器认证成功后发出的、利用对称加密算法进行所述治疗设备自身认证的请求信息；
[0042]判断所述请求信息是否符合要求，如是，则向所述治疗设备返回确认消息，其中，所述确认消息为已确认利用所述对称加密算法进行设备认证的消息。
[0043]优选的是，所述判断所述请求信息是否符合要求包括:
[0044]接收所述治疗设备在进行所述响应后发出的、利用非对称加密算法加密的密钥确定随机数列，并进行解密，其中，所述密钥确定随机数列为按照规则生成的、作为所述请求信息的数据；
[0045]判断解密得到的密钥确定随机数列是否满足所述规则，如是，则确定所述请求信息符合要求。
[0046]优选的是，所述响应治疗设备在建立所述通信连接后发起的服务器认证包括:
[0047]接收所述治疗设备发送的、利用非对称加密算法加密的服务器认证随机数列，并进行解密；
[0048]利用所述服务器设置的预设算法计算解密得到的服务器认证随机数列，获得计算结果；
[0049]利用非对称加密算法加密所述计算结果；
[0050]将加密的计算结果发送至所述治疗设备，其中，所述计算结果被设置为用于供所述治疗设备确定所述服务器认证是否成功。
[0051]根据本发明的第三方面，提供了一种用于治疗设备的认证装置，其包括:
[0052]设备端通信模块，用于读取本机预设的服务器信息，按照所述服务器信息自动以无线通信方式与服务器建立通信连接；
[0053]设备认证发起模块，用于发起治疗设备的自身认证，其中，所述设备认证发起模块进一步包括:
[0054]设备认证数据读取单元，用于读取本机预存的全局唯一标识码和产品序列号；
[0055]设备认证数据加密单元，用于加密所述治疗设备存储的全局唯一标识码和产品序列号；
[0056]设备认证请求单元，用于将加密的全局唯一标识码和产品序列号发送至所述服务器请求自身认证；以及，
[0057]设备认证处理单元，用于根据所述服务器返回的信息确认所述自身认证结果；若所述自身认证通过，则与服务器开始进行数据传输;若所述自身认证失败，则断开与所述服务器间的通信连接。
[0058]优选的是，所述认证装置还包括:
[0059]服务器认证发起模块，用于在所述治疗设备的自身认证前，以非对称加密方式发起请求所述服务器的认证申请，并根据所述服务器返回的信息确认认证结果，若认证通过，执行所述自身认证，若认证失败，断开与所述服务器连接。
[0060]优选的是，所述服务器认证发起模块进一步包括:
[0061 ]服务器认证数据生成单元，用于生成服务器认证随机数列；
[0062]认证基准计算单元，用于利用所述治疗设备设置的预设算法计算所述服务器认证随机数列，得到服务器认证基准；
[0063]服务器认证数据加密单元，用于利用非对称加密算法加密所述服务器认证随机数列；
[0064]服务器认证请求单元，用于将加密的服务器认证随机数列发送至所述服务器请求所述服务器的认证；以及，
[0065]服务器认证分析单元，用于接收所述服务器返回的计算结果，并根据所述服务器返回的计算结果确认所述服务器认证结果，其中，若所述计算结果与所述服务器认证基准一致，则所述服务器认证通过;若所述计算结果与所述服务器认证基准不一致，则所述服务器认证失败。
[0066]优选的是，所述认证设备还包括:
[0067]算法协商发起模块，用于向所述服务器请求利用对称加密算法进行所述自身认证，所述算法协商发起模块进一步包括:
[0068]算法协商数据生成单元，用于按照规则生成密钥确定随机数列；
[0069]算法协商数据加密单元，用于利用非对称加密算法加密所述密钥确定随机数列；以及，
[0070]算法协商数据发送单元，用于将加密的密钥确定随机数列发送至所述服务器；
[0071]算法协商结果确认单元，用于接收所述服务器返回的确认消息，根据所述服务器返回的消息确认请求结果;若请求成功，向所述设备认证数据加密单元发送确定用对称加密算法加密所述全局唯一标识码和产品序列号的消息。
[0072]根据本发明的第四方面，提供了一种用于服务器的认证装置，其包括:
[0073]服务器端通信模块，用于根据治疗设备的无线连接请求，与所述治疗设备建立通信连接；
[0074]设备认证响应模块，用于响应所述治疗设备发起的自身认证，其中，所述设备认证响应模块进一步包括:
[0075]设备认证数据解密单元，用于接收所述治疗设备发送的加密的产品序列号和全局唯一标识码，并解密；以及，
[0076]设备认证数据匹配单元，根据所述服务器的数据库中存储的全局唯一标识码和产品序列号与所述服务器解密得到的产品序列号和全局唯一标识码匹配；若匹配到相同记录，则向所述治疗设备返回自身认证通过的信息;若未匹配到相同记录，则向所述治疗设备返回自身认证失败的信息。
[0077]优选的是，所述认证设备还包括:
[0078]服务器认证响应模块，用于在响应所述治疗设备的自身认证前，响应所述治疗设备以非对称加密方式发起的请求所述服务器的认证申请，并返回供所述治疗设备进行服务器认证的信息。
[0079]优选的是，所述服务器认证响应模块进一步包括:
[0080]服务器认证数据解密单元，用于接收所述治疗设备发送的、利用非对称加密算法加密的服务器认证随机数列，并解密；
[0081 ]服务器认证数据计算单元，用于利用所述服务器设置的预设算法计算解密得到的服务器认证随机数列，获得计算结果；
[0082]计算结果加密单元，用于利用非对称加密算法加密所述计算结果，形成供所述治疗设备进行服务器认证的信息；以及，
[0083]计算结果返回单元，用于向所述治疗设备发送加密的计算结果。
[0084]优选的是，所述认证装置还包括:
[0085]算法协商响应模块，用于响应所述治疗设备利用对称加密算法进行所述自身认证的请求，所述算法协商响应模块进一步包括:
[0086]算法协商数据解密单元，用于接收所述治疗设备发出的密钥确定随机数列，并解密；以及，
[0087]算法协商结果反馈单元，用于判断所述密钥确定随机数列是否满足约定规则，若满足设定规则，则向所述治疗设备返回用对称加密算法进行所述自身认证的确认消息。
[0088]根据本发明的第五方面，提供了一种认证系统，包括如本发明第三方面和第四方面所述的装置。
[0089]根据本发明的第六方面，提供了一种治疗设备，包括如本发明第三方面所述的装置。
[0090]根据本发明的第七方面，提供了一种治疗设备，包括存储器和处理器，其中，所述存储器用于存储指令，所述指令用于控制所述处理器进行操作以执行根据本发明第一方面所述的方法。
[0091]本发明的发明人发现，在现有技术中，身份认证时，需要用户进行繁琐的操作，并且特征信息不保证唯一。而在本发明中，验证过程不需要用户参与，治疗设备在进行身份认证过程中不需要采集用户其它信息，使身份认证方便快捷;并且本发明使用产品序列号和全局唯一标识码双重唯一识别码进行身份认证，保证了身份认证的正确性和安全性，避免了不同治疗设备具有同一身份的情况;治疗设备身份认证过程中采用加密算法，避免用户的身份认证数据被他人窥视或侧录，也保障了服务网站与治疗设备间网络传输的可靠性和安全性。因此，本发明所要解决的技术问题是本领域技术人员从未想到或者没有预期到的，故本发明是一种新的技术方案。
[0092]通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得清楚。
【附图说明】
[0093]被结合在说明书中并构成说明书的一部分的附图示出了本发明的实施例，并且连同其说明一起用于解释本发明的原理。
[0094]图1是根据本发明认证方法的一种实施方式的流程图。
[0095]图2是根据本发明的认证方法的另一种实施方式的流程图。
[0096]图3是根据本发明的认证方法的第三种实施方式的流程图。
[0097]图4是根据本发明的认证方法的第四种实施方式的流程图。
[0098]图5是根据本发明的认证装置的一种实施结构的方框原理图。
[0099]图6是根据本发明的认证装置的另一种实施结构的方框原理图。
[0100]图7是根据本发明的认证装置的第三种实施结构的方框原理图。
[0101]图8是根据本发明的认证装置的第四种实施结构的方框原理图。
【具体实施方式】
[0102]现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
[0103]以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。
[0104]对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。
[0105]在这里示出和讨论的所有例子中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它例子可以具有不同的值。
[0106]应注意到:相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
[0107]图1是根据本发明的认证方法的一种实施方式的流程图，本发明图1至图4中实线代表治疗设备和服务器各自的实施流程，虚线代表治疗设备与服务器间进行交互的实施流程，即服务器端发送，治疗设备端接收，或者治疗设备端发送，服务器端接收。
[0108]如图1所示，在步骤S100，治疗设备读取本机预设的服务器信息。
[0109]治疗设备仅存储有所对应服务器的服务器信息，以使治疗设备可以根据该服务器信息连接至唯一对应的服务器，这有利于提高连接的可靠性，该服务器信息即为用于建立通信连接的域名信息。
[0110]在步骤S110，治疗设备按照服务器信息自动以无线通信方式与服务器建立通信连接，以进行治疗设备的自身认证。
[0111]该自身认证具体包括如下步骤SI 20至步骤S170。
[0112]在步骤S120，治疗设备先读取本机预存的全局唯一标识码(GUID)和产品序列号(SN)，并加密该⑶ID和SN。
[0113]其中，治疗设备具有SN和⑶ID两种标识码，GUID—般是128位的、16字节的整数，例如 6F9619FF-8B86-D011-B42D-00C04FC964FF，GUID 能够唯一确定一台设备；SN 为同一类产品的编号，一般长度较短，当同类产品产量很大时，有可能会出现SN重复的情况，而本发明的一个创新之处在于，用SN和GUID共同作为设备的标识，保证了身份认证的安全性和可靠性。
[0114]在此，可利用例如是RSA的非对称加密算法加密⑶ID和SN，也可以利用例如是3DES的对称加密算法加密GUID和SN，其中，采用对称加密算法加密可以加快加密速度，提高认证效率。
[0115]在步骤SI 30，治疗设备将加密的GUID和SN发送至服务器请求自身认证。
[0116]在步骤S140:服务器接收治疗设备发送的加密的GUID和SN，并解密。
[0117]在步骤S150:根据服务器的数据库中存储的⑶ID和SN与服务器解密得到的⑶ID和SN匹配。
[0118]服务器存储有所有注册过的治疗设备的GUID和SN，以进行治疗设备的自身认证。
[0119]在步骤S160:判断是否匹配到相同记录，如是，则向治疗设备返回自身认证通过的信息;如否，则向治疗设备返回自身认证失败的信息。
[0120]在步骤S170，治疗设备根据服务器返回的信息确认自身认证是否成功，如是，则与服务器开始进行数据传输;如否，则断开与服务器间的通信连接，以保证数据安全。
[0121]之后，可以利用服务器返回的反映认证结果的信息进行其他操作，例如，治疗设备接收到该信息后，将该信息发送至治疗设备的显示装置进行认证结果的显示；也可以在认证失败后提示可能导致认证失败的原因，或上传认证失败的详细信息等。
[0122]由此可见，本发明方法在进行治疗设备的身份认证时，自动完成与服务器之间的通信连接，并在建立通信连接后自动执行认证，整个认证过程不需要用户参与，而且身份认证过程中不需要采集用户其它信息，使身份认证方便快捷;并且，本发明方法使用产品序列号和全局唯一标识码双重唯一识别码进行身份认证，保证了身份认证的正确性和安全性，避免了不同治疗设备具有同一身份的情况;最后，本发明方法在身份认证过程中对需要传输的数据采用加密处理，避免用户的身份认证数据被他人窥视或侧录，也保障了服务网站与治疗设备间网络传输的可靠性和安全性。
[0123]为了进一步提高通信连接的可靠性和安全性，在本发明认证方法的另一种实施方式中，治疗设备在建立通信连接后，先对服务器进行认证，如果服务器认证成功，再进行上述的自身认证，即通过双重认证模式保证数据传输的安全、可靠性。图2示出了根据本发明认证方法的另一种实施方式的流程图。
[0124]根据图2所示，在步骤S200，以非对称加密方式，发起请求服务器的认证申请。
[0125]该以非对称加密方式即为在进行服务器的认证过程中对认证数据进行非对称加密、解密。
[0126]在步骤S210，服务器响应治疗设备以非对称加密方式发起的请求服务器的认证申请。
[0127]在步骤S220，服务器返回供治疗设备进行服务器认证的信息。
[0128]在步骤S230，治疗设备根据服务器返回的信息确认服务器认证是否通过，如是，则执行上述自身认证；如否，则断开与服务器连接，以终止与当前服务器之间的数据传输，并可以进行报警提示。
[0129]图3是进行服务器的认证的一种实施例的流程图。
[0130]根据图3，在步骤S300，治疗设备生成服务器认证随机数列。
[0131]该服务器认证随机数列至少包括一个随机数，产生随机数列的方法可以为线性同余法，即选取足够大的正整数M和任意自然数no，a，b，由递推公式(I)计算出种子m:
[0132]ru=(a Xni—i+b)modM(i = 0，I，2，......M-1) (I)
[0133]其中:M，a，b和ru分别称作模数、乘数、增量和初始值。再根据公式(2)计算随机数
T1:
[0134]ri = a+(b-a) X (m/M) (2)
[0135]在一个优选的实施例中，€( = 75』=0、1=231-1、11()为系统时间。
[0136]这种生成随机数的算法较为简单，容易实现，并且随机性较好。
[0137]增加随机数列中的随机数个数可以增强算法的安全性，例如可以使用5个随机数或者10个随机数组成的随机数列。
[0138]也可以使用其他随机数算法实现随机数生成，例如正态随机分布随机数，均匀分布随机数等等。
[0139]在步骤S310，治疗设备根据设置的预设算法计算服务器认证随机数列，治疗设备得到服务器认证基准。
[0140]其中，治疗设备和对应的服务器中均设置有该预设算法。
[0141]在步骤S320，利用例如是RSA的非对称加密算法加密服务器认证随机数列。
[0142]在步骤S330，治疗设备将加密的服务器认证随机数列发送至服务器请求服务器的认证。
[0143]在步骤S340，服务器接收治疗设备发送的、利用非对称加密算法加密的服务器认证随机数列，并解密。
[0144]在步骤S350，利用服务器设置的预设算法计算服务器解密得到的服务器认证随机数列，获得计算结果。
[0145]在步骤S360，服务器利用非对称加密算法加密该计算结果，形成供治疗设备进行服务器认证的信息。
[0146]在步骤S370，服务器向治疗设备发送加密的计算结果。
[0147]在步骤S380，治疗设备接收服务器返回的加密的计算结果，并解密。
[0148]在步骤S390，治疗设备判断解密得到的计算结果与在步骤S310获得的服务器认证基准是否一致，如是，则服务器认证通过，并开始进行上述自身认证;如否，则服务器认证失败，断开与服务器间的通信连接。
[0149]在此，治疗设备对服务器的认证方法并不局限于图3所示的实施例，只要是能够根据约定规则识别服务器身份即可，例如，治疗设备采用非对称算法加密一段数据发送至服务器;服务器接收治疗设备加密的一段数据并解密;服务器利用哈希算法计算解密得到的一段数据，得到计算结果;服务器加密计算结果，并发送至治疗设备；治疗设备接收加密的计算结果并解密;治疗设备判断解密得到的计算结果是否为原始的一段数据的哈希值，如是，则服务器认证通过。
[0150]对于先以非对称加密方式进行服务器的认证，并在服务器的认证通过后，再进行治疗设备的自身认证的实施方式，如果设置为采用对称加密算法进行该自身认证，则需要在进行自身认证前先进行加密算法的协商，即治疗设备向服务器发送利用对称加密算法进行自身认证的请求，服务器判断该请求是否符合要求，如是，则向治疗设备返回确认消息，完成协商。
[0151]图4为进行加密算法协商的一种可供选择的实施例。
[0152]根据图4所示，在步骤S400，治疗设备按照规则生成密钥确定随机数列，以提高协商数据的安全性。
[0153]该规则是与服务器预先约定的规则，其可以是约定密钥确定随机数列的组成形式，例如是必须包括数字和字母，也可以是约定密钥确定随机数列的位数，还可以是约定密钥确定随机数据必须具有的特定数字和/或字母，当然也可以包括上述各种约定的任意组入口 ο
[0154]在步骤S410，利用例如是RSA的非对称加密算法加密该密钥确定随机数列。
[0155]在步骤S420，治疗设备将加密的密钥确定随机数列发送至服务器进行加密算法协商。
[0156]在步骤S430，服务器接收该加密的密钥确定随机数列，并解密。
[0157]在步骤S440，服务器判断解密得到的密钥确定随机数列是否满足约定规则，如是，则于步骤S450向治疗设备返回用对称加密算法进行自身认证的确认消息。
[0158]在步骤S460，治疗设备接收服务器返回的消息，并根据该消息确认请求结果，如果该消息为确认消息，则利用对称加密算法执行图1所示认证过程。
[0159]另外，为了保证服务平台数据可以被用户安全访问，在用户进行网站注册时，需要进行身份认证，所以本发明的方法还可以包括注册步骤，这个步骤用来将用户的注册信息通过PIN码上传至服务器中，该注册步骤可以由以下的过程进行:
[0160]首先，设备通过GUID产生PIN码，这个过程可以是将32位的⑶ID每4位按十进制加权求和得到8个整数，再将这8个整数转换成16进制数，取第1、3、5、7、8个十六进制的第一个字符，连接组成P IN码。例如一个设备的⑶ID为13DF5115-2831-4259-9F69-2543A4A3EADF，则通过这个运算规则产生的PIN码即为PIN-a = 2E213。
[0161]进一步，用户在服务网站用户注册页面上输入SN和PIN-a码。服务器根据SN查询数据库以获得SN对应的GUID，再根据GUID按照前述的规则运算得到PIN-b。即服务器根据SN在数据库中找到相应的项，然后找到这个SN所对应的GUID，使用与前面生成PIN-a相同的规则生成PIN-b。由于这个生成PIN-a和PIN-b的算法是具有确定性的，即对同一个值运算，生成的结果也一定相同。
[0162]最后，比较PIN-a与PIN-b是否相同，若相同，注册时认证成功，之后用户可以随时登陆软件服务平台查看治疗数据，若不同，注册时认证失败。
[0163]在一个实施例中，正压通气呼吸机的SN号为1209D105，其GUID为13DF5115-2845-4259-9F69-2543A4A3EADF。为了方便用户的注册，呼吸机根据⑶ID计算出PIN-a码，PIN-a =21213，用户可以通过操作呼吸机在其显示屏看到这个PIN-a码，然后可以进入服务网站的用户注册页面来注册，注册时需要输入SN号1209D105和PIN码21213以及其他的用户信息。服务器根据接收到的SN号查询数据库，获取这个SN号对应的设备的GUID，再根据GUID号用同样的规则运算得到PIN码，即PIN-b，并比较PIN-a与PIN-b是否相等，若相等，则注册成功，之后用户可以随时登陆服务网站查看治疗数据，若不等，则注册失败。
[0164]这样的注册方式的优点在于，很好的利用了SN和⑶ID之间的联系，GUID长度较长，用于验证身份很安全，但是位数很长，用户输入起来很不方便，而SN—般长度较短，输入起来不复杂，这样，利用这一点在数据库中将SN和GUID关联起来，使得用户使用SN进行输入，然后用SN所关联的GUID进行验证，就完成了输入方便与验证安全的双重优点。
[0165]本发明另一方面提供了用于治疗设备的认证装置及用于服务器的认证装置。
[0166]图5为用于治疗设备的认证装置510和用于服务器的认证装置520的一种实施结构的方框原理图。
[0167]根据图5所示，治疗设备的认证装置510包括设备端通信模块511和设备认证发起模块513，该设备认证发起模块513进一步包括设备认证数据读取单元5131、设备认证数据加密单元5132、设备认证请求单元5133和设备认证处理单元5134。对应地，服务器的认证装置520包括服务器端通信模块521和设备认证响应模块523，该设备认证响应模块523进一步包括设备认证数据解密单元5231和设备认证数据匹配单元5232。
[0168]上述设备端通信模块511用于读取本机预设的服务器信息，并按照服务器信息自动以无线通信方式与服务器的服务器端通信模块521建立通信连接。
[0169]上述设备认证发起模块513用于发起治疗设备的自身认证，具体地:
[0170]上述设备认证数据读取单元5131用于读取本机预存的全局唯一标识码和产品序列号。
[0171]上述设备认证数据加密单元5132用于加密治疗设备存储的全局唯一标识码和产品序列号。
[0172]上述设备认证请求单元5133用于将加密的全局唯一标识码和产品序列号发送至服务器请求自身认证。
[0173]上述设备认证处理单元5134用于根据服务器返回的信息确认自身认证结果;若自身认证通过，则与服务器开始进行数据传输;若自身认证失败，则断开与服务器间的通信连接。
[0174]上述服务器端通信模块521用于根据治疗设备的无线连接请求，与治疗设备建立通信连接。
[0175]上述设备认证响应模块523用于响应治疗设备发起的自身认证。
[0176]上述设备认证数据解密单元5231用于接收治疗设备发送的加密的产品序列号和全局唯一标识码，并解密。
[0177]上述设备认证数据匹配单元5232用于根据服务器的数据库中存储的全局唯一标识码和产品序列号与所述服务器解密得到的产品序列号和全局唯一标识码匹配;若匹配到相同记录，则向所述治疗设备返回自身认证通过的信息;若未匹配到相同记录，则向所述治疗设备返回自身认证失败的信息。
[0178]图6为用于治疗设备的认证装置510和用于服务器的认证装置520的另一种实施结构的方框原理图。
[0179]根据图6所示，认证装置510还包括服务器认证发起模块512，该服务器认证发起模块用于在所述治疗设备的自身认证前，以非对称加密方式发起请求所述服务器的认证申请，并根据所述服务器返回的信息确认认证结果，若认证通过，执行所述自身认证，若认证失败，断开与所述服务器连接。对应地，认证装置520还包括服务器认证响应模块523，该服务器认证响应模块523用于在响应所述治疗设备的自身认证前，响应所述治疗设备以非对称加密方式发起的请求所述服务器的认证申请，并返回供所述治疗设备进行服务器认证的?目息O
[0180]图7为服务器认证发起模块和对应的服务器认证响应模块的一种实施结构的方框原理图，在图7中，服务器认证发起模块被标记为712，服务器认证响应模块被标记为722。
[0181]该服务器认证发起模块712可包括服务器认证数据生成单元7121、认证基准计算单元7122、服务器认证数据加密单元7123、服务器认证请求单元7124和服务器认证分析单元7125。
[0182]上述服务器认证数据生成单元7121用于生成服务器认证随机数列。
[0183]上述认证基准计算单元7122用于利用治疗设备设置的预设算法计算所述服务器认证随机数列，得到服务器认证基准。
[0184]上述服务器认证数据加密单元7123用于利用非对称加密算法加密所述服务器认证随机数列。
[0185]上述服务器认证请求单元7124用于将加密的服务器认证随机数列发送至所述服务器请求所述服务器的认证。
[0186]上述服务器认证分析单元7125用于接收所述服务器返回的计算结果，并根据所述服务器返回的计算结果确认所述服务器认证结果，其中，若所述计算结果与所述服务器认证基准一致，则所述服务器认证通过;若所述计算结果与所述服务器认证基准不一致，则所述服务器认证失败。
[0187]对应地，上述服务器认证响应模块722可包括服务器认证数据解密单元7221、服务器认证数据计算单元7222和计算结果加密单元7223。
[0188]上述服务器认证数据解密单元7221用于接收治疗设备发送的、利用非对称加密算法加密的服务器认证随机数列，并进行解密。
[0189]上述服务器认证数据计算单元7222用于利用服务器设置的预设算法计算解密得到的服务器认证随机数列，获得计算结果。
[0190]上述计算结果加密单元7223用于利用非对称加密算法加密计算结果，并将加密的计算结果发送至治疗设备，其中，计算结果被设置为用于供治疗设备确定所述服务器认证是否成功。
[0191]图8为用于治疗设备的认证装置和用于服务器的认证装置的第三种实施结构的方框原理图，该实施结构对应双重身份认证中请求采用对称加密算法进行治疗设备的自身设备的应用。
[0192]根据图8所示，用于治疗设备的认证装置还包括算法协商发起模块815，用于服务器的认证装置还包括算法协商响应模块825。
[0193]上述算法协商发起模块815用于向服务器请求利用对称加密算法进行所述自身认证。对应地，上述算法协商响应模块825用于响应治疗设备利用对称加密算法进行所述自身认证的请求。
[0194]上述算法协商发起模块815进一步包括算法协商数据生成单元8151、算法协商数据加密单元8152、算法协商数据发送单元8153和算法协商结果确认单元8154。
[0195]上述算法协商数据生成单元8151用于按照规则生成密钥确定随机数列。
[0196]上述算法协商数据加密单元8152用于利用非对称加密算法加密所述密钥确定随机数列。
[0197]上述算法协商数据发送单元8153用于将加密的密钥确定随机数列发送至所述服务器。
[0198]上述算法协商结果确认单元8154用于接收所述服务器返回的确认消息，根据所述服务器返回的消息确认请求结果;若请求成功，向所述设备认证数据加密单元发送确定用对称加密算法加密所述全局唯一标识码和产品序列号的消息。
[0199]对应地，上述算法协商响应模块825进一步包括算法协商数据解密单元8252和算法协商结果反馈单元8253。
[0200]上述算法协商数据解密单元8252用于接收所述治疗设备发出的密钥确定随机数列，并解密。
[0201]上述算法协商结果反馈单元8253用于判断所述密钥确定随机数列是否满足约定规则，若满足设定规则，则向所述治疗设备返回用对称加密算法进行所述自身认证的确认消息。
[0202]本发明还提供了一种治疗设备，在一方面，该治疗设备包括前述的用于治疗设备的认证装置。
[0203]在另一方面，该治疗设备包括处理器、存储器、接口装置、输入装置、显示装置、提示装置、通信装置等等。
[0204]该存储器用于存储指令，该指令用于控制处理器进行操作以执行根据本发明的用于治疗设备的认证方法，技术人员可以根据本发明所公开方案设计指令。指令如何控制处理器进行操作，这是本领域公知，故在此不再详细描述。
[0205]该通信装置例如能够进行有有线或无线通信。
[0206]该接口装置例如包括USB接口、RS232接口、RS485接口等。
[0207]该输入装置例如可以包括触摸屏、按键等。
[0208]该显示装置例如是液晶显示屏、触摸显示屏等。
[0209]该提示装置例如是蜂鸣器、指示灯等。
[0210]本发明还提供了一种认证系统，包括前述的用于治疗设备的认证装置以及前述的用于服务器的认证装置。
[0211]具体地，治疗设备可以为呼吸机，服务器可以是医疗信息管理平台，服务器的数据库中记录呼吸机的SN和⑶ID，还可以包含设备的出厂日期等其他信息。
[0212]在使用本发明的治疗设备以及认证系统时，在开机后治疗设备与服务器进行通信时，便可以自动进行认证过程，同时用户也可以随时登陆服务器网址查询治疗信息，大大简化了用户操作，十分方便。
[0213]上述各实施例主要重点描述与其他实施例的不同之处，但本领域技术人员应当清楚的是，上述各实施例可以根据需要单独使用或者相互结合使用。
[0214]本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分相互参见即可，每个实施例重点说明的都是与其他实施例的不同之处，但本领域技术人员应当清楚的是，上述各实施例可以根据需要单独使用或者相互结合使用。另外，对于装置实施例而言，由于其是与方法实施例相对应，所以描述得比较简单，相关之处参见方法实施例的对应部分的说明即可。以上所描述的系统实施例仅仅是示意性的，其中作为分离部件说明的模块可以是或者也可以不是物理上分开的。
[0215]本发明可以是装置、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于使处理器实现本发明的各个方面的计算机可读程序指令。
[0216]计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是一一但不限于一一电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
[0217]这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。
[0218]用于执行本发明操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言一诸如Smalltalk、C++等，以及常规的过程式编程语言一诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络一包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)，该电子电路可以执行计算机可读程序指令，从而实现本发明的各个方面。
[0219]这里参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。
[0220]这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
[0221]也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
[0222]附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。对于本领域技术人员来说公知的是，通过硬件方式实现、通过软件方式实现以及通过软件和硬件结合的方式实现都是等价的。
[0223]以上已经描述了本发明的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。本发明的范围由所附权利要求来限定。
【主权项】
1.一种用于治疗设备的认证方法，其特征在于，包括: 治疗设备读取本机预设的服务器信息，按照所述服务器信息自动以无线通信方式与服务器建立通信连接； 所述治疗设备发起自身认证，其中，所述自身认证包括: 所述治疗设备读取本机预存的全局唯一标识码和产品序列号； 加密所述治疗设备存储的全局唯一标识码和产品序列号，并将加密的全局唯一标识码和产品序列号发送至所述服务器请求自身认证； 所述治疗设备根据所述服务器返回的信息确认所述自身认证结果； 若所述自身认证通过，则与服务器开始进行数据传输； 若所述自身认证失败，则断开与所述服务器间的通信连接。2.根据权利要求1所述的认证方法，其特征在于，所述治疗设备自身认证前，所述方法还包括: 所述治疗设备以非对称加密方式，发起请求所述服务器的认证申请； 所述治疗设备根据所述服务器返回的信息确认认证结果； 若认证通过，执行所述自身认证； 若认证失败，断开与所述服务器连接。3.根据权利要求2所述的认证方法，其特征在于，所述治疗设备以非对称加密方式，发起请求所述服务器的认证申请包括: 生成服务器认证随机数列； 利用所述治疗设备设置的预设算法计算所述服务器认证随机数列，得到服务器认证基准； 利用非对称加密算法加密所述服务器认证随机数列； 将加密的服务器认证随机数列发送至所述服务器请求所述服务器的认证； 接收所述服务器返回的计算结果； 所述治疗设备根据所述服务器返回的计算结果确认所述服务器认证结果； 若所述计算结果与所述服务器认证基准一致，则所述服务器认证通过； 若所述计算结果与所述服务器认证基准不一致，则所述服务器认证失败。4.根据权利要求2或3所述的认证方法，其特征在于，所述认证方法还包括请求用对称加密算法进行所述自身认证: 按照规则生成密钥确定随机数列； 利用非对称加密算法加密所述密钥确定随机数列； 将加密的密钥确定随机数列发送至所述服务器； 接收所述服务器返回的消息； 根据所述服务器返回的消息确认请求结果； 若请求成功，利用所述对称加密算法加密所述全局唯一标识码和产品序列号。5.一种用于服务器的认证方法，其特征在于，包括: 根据治疗设备的无线连接请求，与所述治疗设备建立通信连接； 响应所述治疗设备发起的自身认证； 其中，所述响应所述治疗设备发起的自身认证包括: 接收所述治疗设备发送的加密的产品序列号和全局唯一标识码，并解密； 根据所述服务器的数据库中存储的全局唯一标识码和产品序列号与所述服务器解密得到的产品序列号和全局唯一标识码匹配； 若匹配到相同记录，则向所述治疗设备返回自身认证通过的信息； 若未匹配到相同记录，则向所述治疗设备返回自身认证失败的信息。6.根据权利要求5所述的认证方法，其特征在于，响应所述治疗设备发起的自身认证前，所述方法还包括: 响应所述治疗设备以非对称加密方式发起的请求所述服务器的认证申请； 返回供所述治疗设备进行服务器认证的信息。7.根据权利要求6所述的认证方法，其特征在于，所述响应所述治疗设备以非对称加密方式发起的请求所述服务器的认证申请，返回供所述治疗设备进行服务器认证的信息包括: 接收所述治疗设备发送的、利用非对称加密算法加密的服务器认证随机数列，并解密； 利用所述服务器设置的预设算法计算解密得到的服务器认证随机数列，获得计算结果; 利用非对称加密算法加密所述计算结果，形成供所述治疗设备进行服务器认证的信息; 向所述治疗设备发送加密的计算结果。8.根据权利要求6或7所述的认证方法，其特征在于，所述认证方法还包括响应所述治疗设备利用对称加密算法进行所述自身认证的请求: 接收所述治疗设备发出的密钥确定随机数列，并解密； 判断所述密钥确定随机数列是否满足约定规则； 若满足设定规则，则向所述治疗设备返回用对称加密算法进行所述自身认证的确认消息。9.一种用于治疗设备的认证装置，其特征在于，包括: 设备端通信模块，用于读取本机预设的服务器信息，按照所述服务器信息自动以无线通信方式与服务器建立通信连接； 设备认证发起模块，用于发起治疗设备的自身认证，其中，所述设备认证发起模块进一步包括: 设备认证数据读取单元，用于读取本机预存的全局唯一标识码和产品序列号； 设备认证数据加密单元，用于加密所述治疗设备存储的全局唯一标识码和产品序列号； 设备认证请求单元，用于将加密的全局唯一标识码和产品序列号发送至所述服务器请求自身认证；以及， 设备认证处理单元，用于根据所述服务器返回的信息确认所述自身认证结果；若所述自身认证通过，则与服务器开始进行数据传输;若所述自身认证失败，则断开与所述服务器间的通信连接。10.根据权利要求9所述的认证装置，其特征在于，所述认证装置还包括: 服务器认证发起模块，用于在所述治疗设备的自身认证前，以非对称加密方式发起请求所述服务器的认证申请，并根据所述服务器返回的信息确认认证结果，若认证通过，执行所述自身认证，若认证失败，断开与所述服务器连接。11.根据权利要求10所述的认证装置，其特征在于，所述服务器认证发起模块进一步包括: 服务器认证数据生成单元，用于生成服务器认证随机数列； 认证基准计算单元，用于利用所述治疗设备设置的预设算法计算所述服务器认证随机数列，得到服务器认证基准； 服务器认证数据加密单元，用于利用非对称加密算法加密所述服务器认证随机数列；服务器认证请求单元，用于将加密的服务器认证随机数列发送至所述服务器请求所述服务器的认证；以及， 服务器认证分析单元，用于接收所述服务器返回的计算结果，并根据所述服务器返回的计算结果确认所述服务器认证结果，其中，若所述计算结果与所述服务器认证基准一致，则所述服务器认证通过;若所述计算结果与所述服务器认证基准不一致，则所述服务器认证失败。12.根据权利要求10或11所述的认证设备，其特征在于，所述认证设备还包括: 算法协商发起模块，用于向所述服务器请求利用对称加密算法进行所述自身认证，所述算法协商发起模块进一步包括: 算法协商数据生成单元，用于按照规则生成密钥确定随机数列； 算法协商数据加密单元，用于利用非对称加密算法加密所述密钥确定随机数列；以及， 算法协商数据发送单元，用于将加密的密钥确定随机数列发送至所述服务器；以及， 算法协商结果确认单元，用于接收所述服务器返回的确认消息，根据所述服务器返回的消息确认请求结果;若请求成功，向所述设备认证数据加密单元发送确定用对称加密算法加密所述全局唯一标识码和产品序列号的消息。13.一种用于服务器的认证装置，其特征在于，包括: 服务器端通信模块，用于根据治疗设备的无线连接请求，与所述治疗设备建立通信连接； 设备认证响应模块，用于响应所述治疗设备发起的自身认证，其中，所述设备认证响应模块进一步包括: 设备认证数据解密单元，用于接收所述治疗设备发送的加密的产品序列号和全局唯一标识码，并解密；以及， 设备认证数据匹配单元，根据所述服务器的数据库中存储的全局唯一标识码和产品序列号与所述服务器解密得到的产品序列号和全局唯一标识码匹配;若匹配到相同记录，则向所述治疗设备返回自身认证通过的信息；若未匹配到相同记录，则向所述治疗设备返回自身认证失败的信息。14.根据权利要求13所述的认证装置，其特征在于，所述认证设备还包括: 服务器认证响应模块，用于在响应所述治疗设备的自身认证前，响应所述治疗设备以非对称加密方式发起的请求所述服务器的认证申请，并返回供所述治疗设备进行服务器认证的信息。15.根据权利要求14所述的认证装置，其特征在于，所述服务器认证响应模块进一步包括: 服务器认证数据解密单元，用于接收所述治疗设备发送的、利用非对称加密算法加密的服务器认证随机数列，并解密； 服务器认证数据计算单元，用于利用所述服务器设置的预设算法计算解密得到的服务器认证随机数列，获得计算结果； 计算结果加密单元，用于利用非对称加密算法加密所述计算结果，形成供所述治疗设备进行服务器认证的信息；以及， 计算结果返回单元，用于向所述治疗设备发送加密的计算结果。16.根据权利要求13、14或15所述的认证装置，其特征在于，所述认证装置还包括: 算法协商响应模块，用于响应所述治疗设备利用对称加密算法进行所述自身认证的请求，所述算法协商响应模块进一步包括: 算法协商数据解密单元，用于接收所述治疗设备发出的密钥确定随机数列，并解密；以及， 算法协商结果反馈单元，用于判断所述密钥确定随机数列是否满足约定规则，若满足设定规则，则向所述治疗设备返回用对称加密算法进行所述自身认证的确认消息。17.—种治疗设备，其特征在于，包括如权利要求9至12中任一项所述的认证装置。18.—种治疗设备，其特征在于，包括存储器和处理器，其中，所述存储器用于存储指令，所述指令用于控制所述处理器进行操作以执行根据权利要求1至4中任一项所述的方法。19.一种认证系统，包括如权利要求9至12中任一项所述的用于治疗设备的认证装置、及如权利要求13至16中任一项所述的用于服务器的认证装置。
【文档编号】H04L29/06GK105871857SQ201610228987
【公开日】2016年8月17日
【申请日】2016年4月13日
【发明人】王青松, 张银平, 庄志
【申请人】北京怡和嘉业医疗科技有限公司