终端接入认证授权方法及终端接入认证授权系统

本发明属于网络安全技术领域，尤其涉及终端接入认证授权方法及终端接入 认证授权系统。

传统或现有的终端接入控制集中在终端认证上，且主要是对客户端软件进 行验证，通过客户端认证字串的本地加解密处理来实现对客户端的识别认证；其 次是采用终端用户名密码进行的登录认证方式，这种认证方式更多是针对终端帐 号进行的身份认证；其他如U-KEY等借助外接硬件设备进行的终端软件应用加 密认证等也大多停留在软件层面进行验证和识别，或对传输数据进行加密，或对 终端客户端消息进行加密传输等。

而目前，针对如伪终端接入和终端越权、越级访问非授权信息等，则现有的 单一的终端认证方式已经难以保证系统自身的整体安全。

本发明的目的在于提供一种终端接入认证授权方法及终端接入认证授权系 统，解决现有技术中单一的终端认证方式已经难以保证系统自身的整体安全的问 题。

第一方面，本发明提供了一种终端接入认证授权方法，应用于一终端设备， 所述方法包括：对所述终端设备进行硬件认证；若所述终端设备通过所述硬件认 证，则向认证服务器发起授权申请；接收所述认证服务器发送的软件授权反馈， 其中，所述软件授权反馈为所述认证服务器针对所述授权申请生成的；当接收到 的所述软件授权反馈表征允许所述终端设备接入时，所述终端设备从所述认证服 务器获得业务运行授权。

优选的，所述对所述终端设备进行硬件认证，包括：对所述终端设备进行硬 件ID校验，以判断出是否需要向所述认证服务器发起硬件系统认证；若判断结 果表明需要向所述认证服务器发起硬件系统认证时，采集所述终端设备的硬件属 性信息；通过认证逻辑对所述硬件属性信息进行处理，生成与所述硬件属性信息 对应的硬件ID；将所述硬件ID发送给所述认证服务器，所述硬件ID用于所述 认证服务器对所述终端设备进行硬件认证；接收所述认证服务器反馈的硬件认证 反馈，所述硬件认证反馈用于确认所述硬件ID为合法硬件ID或非法硬件ID， 所述硬件ID为合法硬件ID表征所述终端设备通过硬件认证。

优选的，在所述判断是否需要向所述认证服务器发起硬件系统认证之后，所 述方法还包括：若判断结果表明不需要向所述认证服务器发起硬件系统认证时， 则确定所述终端设备的硬件ID为合法硬件ID。

优选的，若所述终端设备通过硬件认证，则向认证服务器发起授权申请，包 括：若所述终端设备通过硬件认证，则对所述终端设备进行软件配置，使得所述 终端设备的软件系统确认所述硬件ID是否为合法硬件ID；在所述软件系统确认 所述硬件ID为合法硬件ID时，向所述认证服务器发起所述授权申请。

第二方面，本发明提供了一种终端接入认证授权系统，包括：硬件认证模块， 软件授权模块，以及通信模块；所述硬件认证模块，用于对所述终端设备进行硬 件认证；所述软件授权模块，用于若所述终端设备通过所述硬件认证，则调用所 述通信模块向认证服务器发起授权申请；所述通信模块，还用于接收所述认证服 务器发送的软件授权反馈，其中，所述软件授权反馈为所述认证服务器针对所述 授权申请生成的；当接收到的所述软件授权反馈表征允许所述终端设备接入时， 所述终端设备从所述认证服务器获得业务运行授权。

优选的，所述系统还包括参数采集模块，所述硬件认证模块具体用于对所述 终端设备进行硬件ID校验，以判断出是否需要向所述认证服务器发起硬件系统 认证；所述参数采集模块具体用于若判断结果表明需要向所述认证服务器发起硬 件系统认证时，采集所述终端设备的硬件属性信息；所述硬件认证模块，还用于 通过认证逻辑对所述硬件属性信息进行处理，生成与所述硬件属性信息对应的硬 件ID；调用所述通信模块，将所述硬件ID发送给所述认证服务器，所述硬件ID 用于所述认证服务器对所述终端设备进行硬件认证；

所述通信模块，具体还用于接收所述认证服务器反馈的硬件认证反馈，所述 硬件认证反馈用于确认所述硬件ID为合法硬件ID或非法硬件ID，所述硬件ID 为合法硬件ID表征所述终端设备通过硬件认证。

优选的，所述硬件认证模块，具体还用于若判断结果表明不需要向所述认证 服务器发起硬件系统认证时，则确定所述终端设备的硬件ID为合法硬件ID。

优选的，所述软件授权模块，具体用于若所述终端设备通过硬件认证，则对 所述终端设备进行软件配置，使得所述终端设备的软件系统确认所述硬件ID是 否为合法硬件ID；以及在所述软件系统确认所述硬件ID为合法硬件ID时，调 用所述通信模块向所述认证服务器发起所述授权申请。

本发明实施例提供的技术方案至少具有如下技术效果：

由于通过了硬件认证和软件授权的结合：首先，基于终端设备的硬件特性， 如设备CPU序列号、主板序列号、MAC(Media access control介质访问控制层) 地址信息和操作系统版本信息等的识别，来通过认证服务器的硬件认证，确立终 端设备的硬件身份，在硬件系统上提供了第一层的接入安全：其次，进行软件授 权，实现媒体播放软件自身的播放域权限管理。可见，硬件认证与软件授权两种 方式的有效整合，更好的保证了终端接入上的安全性，有效杜绝了各种针对终端 硬件或软件接入访问的攻击行为，使终端设备真正作为一个完整的实体进行接入 控制管理。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例 或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的 附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳 动的前提下，还可以根据提供的附图获得其他的附图；

图1为本发明实施例中的终端接入认证授权方法的流程图；

图2为本发明实施例中的终端接入认证授权方法的交互示意图；

图3为本发明实施例中的终端接入认证授权系统的模块图。

本发明实施例提供了一种终端接入认证授权方法及终端接入认证授权系统， 解决了现有技术中的单一的终端认证方式已经难以保证系统自身的整体安全的 问题，总的思路如下：

首先是识别终端设备的类型及属性，对终端设备的实体身份进行认证，随后 根据认证结果进行合理的软件授权，实现在正确的终端播放正确的媒体信息，解 决了在终端设备接入控制上“偏软”或“偏硬”的问题，使终端设备作为一个完整的 实体进行接入控制管理。

为了更好的理解上述技术方案，下面将结合说明书附图以及具体的实施方式 对上述技术方案进行详细的说明，应当理解本申请实施例以及实施例中的具体特 征是对本申请技术方案的详细的说明，而不是对本申请技术方案的限定，在不冲 突的情况下，本申请实施例以及实施例中的技术特征可以相互组合。

图1为本发明实施中的终端接入认证授权方法的流程图，该终端接入认证授 权方法应用于一终端设备，该终端设备可以为媒体终端，或其他需要接入到服务 设备的终端设备，本文不对终端设备的类型进行具体限定。

参考图1所示，该终端接入认证授权方法包括如下步骤：

S101、对终端设备进行硬件认证。

具体的，S101具体包括如下步骤：当终端设备开机时，对终端设备进行硬件 ID(identity写，身份标识号码)校验，以判断出是否需要向认证服务器发起硬 件系统认证，硬件ID校验结果证明该终端设备的硬件ID是否为合法硬件ID； 当校验结果确定该终端设备的硬件ID为合法硬件ID时，则不需要向认证服务器 发起硬件系统认证，当校验结果确定该终端设备的硬件ID不为合法硬件ID，则 需要向认证服务器发起硬件系统认证。比如：该终端设备设备为没有接入过的新 设备，或者在预设时间段内没有接入的终端设备等，都会校验出该终端设备的硬 件ID为不合法硬件ID。但是具体实施过程中，是将没有接入过的新设备的硬件 ID确认为不合法硬件ID，还是将在预设时间段内没有接入的终端设备的硬件ID 确认为不合法硬件ID，本领域技术人员可以根据实际需要进行设置，本文不进行 限制。

具体，重新向认证服务器发起硬件系统认证，终端设备需要依次执行如下流 程：

步骤1、采集终端设备的硬件属性信息。

具体的，通过参数采集模块采集终端设备的属性信息。采集的硬件属性信息 包括终端设备的CPU参数、主板参数、MAC地址信息、OS操作系统参数等等。

举例来说，可以包括终端设备的CPU序列号、主板序列号、MAC地址和操 作系统版本信息。

步骤2、通过认证逻辑对硬件属性信息进行处理，生成与硬件属性信息对应 的硬件ID；具体的，认证逻辑可以选择现有任何一种基于生成硬件ID的算法， 为了说明书的简洁，本文不再赘述。

步骤3、将硬件ID发送给认证服务器，发送给认证服务器的硬件ID用于认 证服务器对所述终端设备进行硬件认证。

具体的，终端设备对生成的硬件ID进行加密处理，然后通过调用通信模块， 将硬件ID上告给认证服务器，以向认证服务器发起硬件系统认证。认证服务器 接收到终端设备发送的认证信息，其中，认证信息包含上告的硬件ID，认证服务 器基于上告的硬件ID对终端设备进行认证，判断该终端设备是否为合法硬件设 备，生成硬件认证反馈的信息。具体的，硬件认证反馈的信息为“认证通过”或“认 证未通过”。

步骤4、终端设备接收认证服务器反馈的硬件认证反馈，硬件认证反馈用于 确认硬件ID为合法硬件ID或非法硬件ID，硬件ID为合法硬件ID表征终端设 备通过硬件认证。

假如，沿用步骤3的方式，若接收的硬件认证反馈为“认证通过”，则表明为 合法硬件ID；若接收的硬件认证反馈为“认证未通过”，则表明为非法硬件ID(即 不合法硬件ID)。

较佳的，为了提高安全性，在生成与硬件属性信息对应的硬件ID之后，通 过加密模块对硬件ID进行加密处理，然后再通过通信模块发送给认证服务器， 服务器接收到包括硬件ID的加密信息后，进行解密来获得需要进行认证的硬件 ID。

进一步，结合上述任意一种实施方式，若终端设备通过硬件认证，则对终端 设备进行软件配置，使得终端设备的软件系统确认硬件ID是否为合法硬件ID； 在配置后的软件系统确认硬件ID为合法硬件ID时，接着，执行S102。

S102、若终端设备通过硬件认证，则向认证服务器发起授权申请。

具体的，若终端设备通过硬件认证，则进行软件ID校验，以判断是否需要 从认证服务器获得授权，在具体实施过程中，有进行软件ID校验两种判断结果：

第一种：软件ID校验结果表明不需要授权，则直接允许终端设备进行接入。

第二种：软件ID校验结果表明需要认证服务器的授权，则终端设备向认证 服务器发起授权申请。具体的，发起授权申请的可以是终端设备中的认证客户端 程序，向认证服务器发送待认证的口令，认证服务器对口令进行认证，生成软件 授权反馈。

S103、接收认证服务器发送的软件授权反馈，其中，软件授权反馈为认证服 务器针对授权申请生成的。

具体的，假如口令认证通过，则实际生成的软件授权反馈可以为接入令牌， 认证服务器将接入令牌发送给终端设备，根据接入令牌获得业务运行授权。假如 口令认证未通过，则实际生成的软件授权反馈可以为拒绝接入的标识等。

S104、当接收到的软件授权反馈表征允许终端设备接入时，终端设备从认证 服务器获得业务运行授权。

通过上述的S102～S104，本发明实施例中的技术方案能够根据软件授权反馈 结果对终端设备的软件系统实现初始化，为终端软件系统打上“认证水印”，对客 户端软件进行授权，实现媒体播放软件自身的播放域权限管理。

下面参考图2，以媒体终端接入为例，对本发明所提供的终端接入认证授权 方法的交互实施例进行描述。

S1：媒体终端开机；

S2：媒体终端进行硬件ID校验，验证是否为合法硬件ID；

S3：媒体终端根据硬件ID校验判断是否需要向认证服务器发起硬件系统认 证，若是，则执行S4，否则表明需要先认证服务器发起硬件系统认证，则依次执 行S5～S10。

S4：媒体终端进行软件ID校验。

S5：媒体终端调用参数采集模块，采集媒体终端的硬件属性信息；

S6：媒体终端生成与硬件属性信息对应的生成硬件ID；

S7：媒体终端加密处理硬件ID；

S8：媒体终端向认证服务器发起硬件系统认证；

S9：认证服务器对认证信息进行解密处理，获得硬件ID；

S10：认证服务器认证硬件ID是否通过，其中，认证通过执行S11；否则禁 止媒体终端接入，认证授权过程结束。

S11:媒体终端根据软件ID校验判断是否需要向认证服务器发起授权申请。 若是，则依次执行S12～S14；若不是，执行S14，媒体终端直接接入。.

S12：媒体终端发起授权申请；

S13：认证服务器接收授权申请，进行口令认证。口令认证成功，则给媒体 终端反馈接入令牌，执行S14；口令认证不成功，则禁止媒体终端接入，认证授 权过程结束；

S14：媒体终端接入成功，获得业务授权，播放正确的媒体信息。

基于同一发明构思，本发明实施例还提供了一种终端接入认证授权系统，参 考图3所示，包括：硬件认证模块10，软件授权模块20，以及通信模块30。

硬件认证模块10，用于对终端设备进行硬件认证；

软件授权模块20，用于若终端设备通过硬件认证，则调用通信模块30向认 证服务器发起授权申请；

通信模块30，还用于接收认证服务器发送的软件授权反馈，其中，软件授权 反馈为认证服务器针对所述授权申请生成的；当接收到的软件授权反馈表征允许 终端设备接入时，终端设备从认证服务器获得业务运行授权。

优选的，所述系统还包括参数采集模块40，则硬件认证模块10具体用于对 终端设备进行硬件ID校验，以判断出是否需要向认证服务器发起硬件系统认证；

参数采集模块40具体还用于若判断结果表明需要向认证服务器发起硬件系 统认证时，采集终端设备的硬件属性信息；

硬件认证模块10，还用于通过认证逻辑对所述硬件属性信息进行处理，生成 与所述硬件属性信息对应的硬件ID；调用通信模块30，将硬件ID发送给认证服 务器，硬件ID用于认证服务器对终端设备进行硬件认证；

通信模块30，具体还用于接收认证服务器反馈的硬件认证反馈，硬件认证反 馈用于确认硬件ID为合法硬件ID或非法硬件ID，硬件ID为合法硬件ID表征 终端设备通过硬件认证。

优选的，硬件认证模块10，具体还用于若判断结果表明不需要向认证服务器 发起硬件系统认证时，则确定终端设备的硬件ID为合法硬件ID。

较佳的，为了提高安全性，在生成与硬件属性信息对应的硬件ID之后，通 过加密模块50对硬件ID进行加密处理，然后再通过通信模块30发送给认证服 务器，服务器接收到包括硬件ID的加密信息后，进行解密来获得需要进行认证 的硬件ID。

优选的，软件授权模块20，具体用于若终端设备通过硬件认证，则对终端设 备进行软件配置，使得终端设备的软件系统确认硬件ID是否为合法硬件ID；以 及在软件系统确认硬件ID为合法硬件ID时，调用通信模块30向认证服务器发 起授权申请。

由于本发明实施例中的终端接入认证授权系统为实施前述终端接入认证授 权方法所采用的，故而基于本发明实施例中所介绍的终端接入认证授权方法，本 领域所属技术人员能够了解本实施例的终端接入认证授权系统的具体实施方式 以及其各种变化形式，所以在此对于该终端接入认证授权系统不再详细介绍。只 要本领域所属技术人员实施本发明实施例中终端接入认证授权系统所采用的高 压断路设备，都属于本发明所欲保护的范围。

本发明实施例提供的技术方案至少具有如下技术效果：

由于通过了硬件认证和软件授权的结合：首先，基于终端设备的硬件特性， 如设备CPU序列号、主板序列号、MAC(Media access control介质访问控制层) 地址信息和操作系统版本信息等的识别，来通过认证服务器的硬件认证，确立终 端设备的硬件身份，在硬件系统上提供了第一层的接入安全：其次，进行软件授 权，实现媒体播放软件自身的播放域权限管理。可见，硬件认证与软件授权两种 方式的有效整合，更好的保证了终端接入上的安全性，有效杜绝了各种针对终端 硬件或软件接入访问的攻击行为，使终端设备真正作为一个完整的实体进行接入 控制管理。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本 创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意 欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明 的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等 同技术的范围之内，则本发明也意图包含这些改动和变型在内。