一种物联TCP设备登录认证方法和系统

技术领域

本发明属于数据安全领域，尤其涉及一种物联TCP设备登录认证方法和系统。

背景技术

物联网智能设备通信领域，一套安全便捷的数据通信认证对于整个物联网设备来说是非常重要的一个环节，可确保整体物联网设备方案的先进性。物联网智能设备通信认证方式目前采用较多的有用户名密码认证、一次性认证、非对称加密认证。其中，用户名密码认证方案，设备部署在未知网络中时极容易被网络抓包捕获密码，存在安全性隐患，该方案通常适用于安全网络中的认证。一次性认证方案对于设备来说快捷方便，但同样适用于安全网络中。而非对称加密方案，对设备算力要求较高，不太适用于算力较低的设备。

发明内容

本申请实施例提供了一种物联TCP设备登录认证方法和系统，以至少解决现有物联网数据通信认证方法无法兼得安全性与快捷性的问题。

第一方面，本申请实施例提供了一种物联TCP设备登录认证方法，包括：第一认证步骤，使用一客户端向一web服务端发起一第一登录认证，若认证成功，则所述web服务端向所述客户端返回一令牌；TCP连接步骤，所述客户端通过TCP协议长连接一TCP服务端；第二认证步骤，所述客户端通过所述TCP服务端，根据所述令牌与所述web服务端进行一第二登录认证，并返回所述第二登录认证结果。

优选的，所述第一认证步骤包括：参数发送步骤，所述客户端通过一加密算法向所述web服务端发送一令牌参数；令牌生成步骤，所述web服务端通过一对等的所述加密算法对所述令牌参数进行校验，若校验成功，则生成所述令牌并发送至所述客户端。

优选的，所述第二认证步骤包括：数据包发送步骤，所述客户端根据所述令牌，通过所述加密算法生成一第一token，并组成一包括所述第一token的数据包，将所述数据包发送至所述TCP服务端；转发认证步骤，所述TCP服务端将所述数据包转发至所述web服务端，所述web服务端对所述数据包进行登录校验，并销毁所述令牌，返回认证结果。

优选的，所述转发认证步骤还包括：所述web服务器在所述数据包中提取出所述令牌，并通过对等的所述加密算法生成一第二token，与所述第一token进行校验。

优选的，所述第二认证步骤还包括：若所述第二登录认证失败，则断开所述客户端与所述TCP服务端的长连接。

优选的，所述第二认证步骤还包括：若所述第二登录认证失败，则强制回归执行所述第一认证步骤。

优选的，所述加密算法为MD5算法。

优选的，所述方法还包括一令牌配置步骤，所述web服务端预先配置所述令牌的属性，包括所述令牌的时间有效性。

第二方面，本申请实施例提供了一种物联TCP设备登录认证系统，适用于上述一种物联TCP设备登录认证方法，包括：第一认证单元，使用一客户端向一web服务端发起一第一登录认证，若认证成功，则所述web服务端向所述客户端返回一令牌；TCP连接单元，所述客户端通过TCP协议长连接一TCP服务端；第二认证单元，所述客户端通过所述TCP服务端，根据所述令牌与所述web服务端进行一第二登录认证，并返回所述第二登录认证结果。

在其中一些实施例中，所述系统还包括一令牌配置单元，所述web服务端预先配置所述令牌的属性，包括所述令牌的时间有效性。

相比于相关技术，本申请实施例提供的一种物联TCP设备登录认证方法对设备性能要求不高，通用性更强；本方法采用二次认证，两次认证过程中产生的令牌均为一次性临时令牌，用后立即销毁，无论认证成功与否，安全性强；本方法一次登录认证经由web服务器处理，因此在抗恶意攻击上更拓展性更好。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本发明的物联TCP设备登录认证方法流程图；

图2为图1中步骤S2的分步骤流程图；

图3为图1中步骤S4的分步骤流程图；

图4为本发明的物联TCP设备登录认证系统的框架图；

图5为本发明的电子设备的框架图；

以上图中：

1、令牌配置单元；2、第一认证单元；3、TCP连接单元；4、第二认证单元；21、参数发送模块；22、令牌生成模块；41、数据包发送模块；42、转发认证模块；60、总线；61、处理器；62、存储器；63、通信接口。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

显而易见地，下面描述中的附图仅仅是本申请的一些示例或实施例，对于本领域的普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图将本申请应用于其他类似情景。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的技术内容的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。

在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。

除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

以下，结合附图详细介绍本发明的实施例：

图1为本发明的物联TCP设备登录认证方法流程图，请参见图1，本发明物联TCP设备登录认证方法包括如下步骤：

S1：web服务端预先配置令牌的属性，包括所述令牌的时间有效性。

在具体实施中，前置条件为客户端预置了向WEB服务器获取的证书及ID。

S2：使用一客户端向一web服务端发起一第一登录认证，若认证成功，则所述web服务端向所述客户端返回一令牌。

可选的，图2为图1中步骤S2的分步骤流程图，请参见图2：

S21：所述客户端通过一加密算法向所述web服务端发送一令牌参数；可选的，所述加密算法为MD5算法。

在具体实施中，客户端通过预置的证书、ID以及请求时间等通过MD5算法生成令牌参数向WEB服务端发起一次登录认证，该过程会将生成的令牌、ID发送到服务端，该步骤会触发S22。

S22：所述web服务端通过一对等的所述加密算法对所述令牌参数进行校验，若校验成功，则生成所述令牌并发送至所述客户端。

在具体实施中，收到客户端请求后，通过客户端ID从数据库中提取证书，再通过对等MD5算法生成令牌并验证客户端的令牌校验合法性，校验成功则会生成一个一次性临时令牌，该令牌会缓存在WEB服务端，同时也会返回给客户端。

请继续参见图1：

S3：所述客户端通过TCP协议长连接一TCP服务端。

在具体实施中，设备成功完成了一次登录认证获取服务端返回的一个一次性临时令牌后，通过TCP协议长连接TCP服务端，可选的，收到客户端的TCP连接后响应如“连接成功”等数据，提示连接的有效性。

S4：所述客户端通过所述TCP服务端，根据所述令牌与所述web服务端进行一第二登录认证，并返回所述第二登录认证结果。可选的，若所述第二登录认证失败，则断开所述客户端与所述TCP服务端的长连接。可选的，若所述第二登录认证失败，则强制回归执行所述第一认证步骤。

可选的，图3为图1中步骤S4的分步骤流程图，请参见图3：

S41：所述客户端根据所述令牌，通过所述加密算法生成一第一token，并组成一包括所述第一token的数据包，将所述数据包发送至所述TCP服务端。

S42：所述TCP服务端将所述数据包转发至所述web服务端，所述web服务端对所述数据包进行登录校验，并销毁所述令牌，返回认证结果。可选的，所述web服务器在所述数据包中提取出所述令牌，并通过对等的所述加密算法生成一第二token，与所述第一token进行校验。

在具体实施中，客户端和TCP服务端保持了长连接，通过获取的一次性临时令牌结合设备预置的证书再次进行MD5算法进行免密计算生成二次登录的token，以生成的token、ID等信息组合一个json格式的数据包发送到TCP服务端。

在具体实施中，收到客户端发送过来的TCP登录数据包后，转发给WEB服务器进行登录校验，WEB服务器提取为ID生成的一次性临时令牌，通过和客户端中对等的MD5算法生成token，并且和发送过来的token进行校验，之后销毁由生成的ID对应的令牌等信息，并且返回本次校验结果。

在具体实施中，TCP服务端发送客户端校验结果，若校验失败，则主动断开和客户端的TCP长连接，客户端无法进行以后的步骤可选的，可强制回归到步骤S2。

在具体实施中，若TCP长连接若未被断开，则可对TCP服务端数据包进行发送及接收。

需要说明的是，在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本申请实施例提供了一种物联TCP设备登录认证系统，适用于上述的一种物联TCP设备登录认证方法。如以下所使用的，术语“单元”、“模块”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件、或者软件和硬件的组合的实现也是可能并被构想的。

图4为根据本发明的物联TCP设备登录认证系统的框架图，请参见图4，包括：

令牌配置单元1：web服务端预先配置令牌的属性，包括所述令牌的时间有效性。

在具体实施中，前置条件为客户端预置了向WEB服务器获取的证书及ID。

第一认证单元2：使用一客户端向一web服务端发起一第一登录认证，若认证成功，则所述web服务端向所述客户端返回一令牌。

可选的，所述第一认证单元2还包括：

参数发送模块21：所述客户端通过一加密算法向所述web服务端发送一令牌参数；可选的，所述加密算法为MD5算法。

在具体实施中，客户端通过预置的证书、ID以及请求时间等通过MD5算法生成令牌参数向WEB服务端发起一次登录认证，该过程会将生成的令牌、ID发送到服务端。

令牌生成模块22：所述web服务端通过一对等的所述加密算法对所述令牌参数进行校验，若校验成功，则生成所述令牌并发送至所述客户端。

在具体实施中，收到客户端请求后，通过客户端ID从数据库中提取证书，再通过对等MD5算法生成令牌并验证客户端的令牌校验合法性，校验成功则会生成一个一次性临时令牌，该令牌会缓存在WEB服务端，同时也会返回给客户端。

TCP连接单元3：所述客户端通过TCP协议长连接一TCP服务端。

在具体实施中，设备成功完成了一次登录认证获取服务端返回的一个一次性临时令牌后，通过TCP协议长连接TCP服务端，可选的，收到客户端的TCP连接后响应如“连接成功”等数据，提示连接的有效性。

第二认证单元4：所述客户端通过所述TCP服务端，根据所述令牌与所述web服务端进行一第二登录认证，并返回所述第二登录认证结果。可选的，若所述第二登录认证失败，则断开所述客户端与所述TCP服务端的长连接。可选的，若所述第二登录认证失败，则强制回归执行第一认证单元2。

可选的，所述第二认证单元4还包括：

数据包发送模块41：所述客户端根据所述令牌，通过所述加密算法生成一第一token，并组成一包括所述第一token的数据包，将所述数据包发送至所述TCP服务端。

转发认证模块42：所述TCP服务端将所述数据包转发至所述web服务端，所述web服务端对所述数据包进行登录校验，并销毁所述令牌，返回认证结果。可选的，所述web服务器在所述数据包中提取出所述令牌，并通过对等的所述加密算法生成一第二token，与所述第一token进行校验。

在具体实施中，客户端和TCP服务端保持了长连接，通过获取的一次性临时令牌结合设备预置的证书再次进行MD5算法进行免密计算生成二次登录的token，以生成的token、ID等信息组合一个json格式的数据包发送到TCP服务端。

在具体实施中，收到客户端发送过来的TCP登录数据包后，转发给WEB服务器进行登录校验，WEB服务器提取为ID生成的一次性临时令牌，通过和客户端中对等的MD5算法生成token，并且和发送过来的token进行校验，之后销毁由生成的ID对应的令牌等信息，并且返回本次校验结果。

在具体实施中，TCP服务端发送客户端校验结果，若校验失败，则主动断开和客户端的TCP长连接，客户端无法进行以后的步骤可选的，可强制回归到第一认证单元2。

在具体实施中，若TCP长连接若未被断开，则可对TCP服务端数据包进行发送及接收。

另外，结合图1、图2、图3描述的一种物联TCP设备登录认证方法可以由一电子设备来实现。图5为本发明的电子设备的框架图。

电子设备可以包括处理器61以及存储有计算机程序指令的存储器62。

具体地，上述处理器61可以包括中央处理器(CPU)，或者特定集成电路(Application Specific Integrated Circuit，简称为ASIC)，或者可以被配置成实施本申请实施例的一个或多个集成电路。

其中，存储器62可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器62可包括硬盘驱动器(Hard Disk Drive，简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive，简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus，简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器62可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器62可在数据处理装置的内部或外部。在特定实施例中，存储器62是非易失性(Non-Volatile)存储器。在特定实施例中，存储器62包括只读存储器(Read-Only Memory，简称为ROM)和随机存取存储器(RandomAccess Memory，简称为RAM)。在合适的情况下，该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory，简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory，简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory，简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory，简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下，该RAM可以是静态随机存取存储器(Static Random-Access Memory，简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory，简称为DRAM)，其中，DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory，简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory，简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory，简称SDRAM)等。

存储器62可以用来存储或者缓存需要处理和/或通信使用的各种数据文件，以及处理器61所执行的可能的计算机程序指令。

处理器61通过读取并执行存储器62中存储的计算机程序指令，以实现上述实施例中的任意一种物联TCP设备登录认证方法。

在其中一些实施例中，电子设备还可包括通信接口63和总线60。其中，如图5所示，处理器61、存储器62、通信接口63通过总线60连接并完成相互间的通信。

通信端口63可以实现与其他部件例如：外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。

总线60包括硬件、软件或两者，将电子设备的部件彼此耦接在一起。总线60包括但不限于以下至少之一：数据总线(Data Bus)、地址总线(Address Bus)、控制总线(ControlBus)、扩展总线(Expans ion Bus)、局部总线(Local Bus)。举例来说而非限制，总线60可包括图形加速接口(Accelerated Graphics Port，简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture，简称为EISA)总线、前端总线(FrontSide Bus，简称为FSB)、超传输(Hyper Transport，简称为HT)互连、工业标准架构(Industry Standard Architecture，简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count，简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture，简称为MCA)总线、外围组件互连(Peripheral Component Interconnect，简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment，简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus，简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线60可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线，但本申请考虑任何合适的总线或互连。

该电子设备可以执行本申请实施例中的一种物联TCP设备登录认证方法。

另外，结合上述实施例中的一种物联TCP设备登录认证方法，本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种物联TCP设备登录认证方法。

而前述的存储介质包括：U盘、移动硬盘、只读存储器(ReadOnly Memory，简称为ROM)、随机存取存储器(Random Access Memory，简称为RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。