專利名稱:心跳握手方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及認(rèn)證技術(shù)領(lǐng)域,具體涉及心跳握手方法及系統(tǒng)����。
背景技術(shù):
802.1x協(xié)議起源于802.11協(xié)議,是一種基于端口的認(rèn)證協(xié)議�����,是一種 對用戶進(jìn)行認(rèn)證的方法和策略��。端口可以是一個物理端口,也可以是一個邏 輯端口��,如虛擬局域網(wǎng)(VLAN��, Virtual Local Area Network) 口�����。對于無 線局域網(wǎng)來說����, 一個端口就是一個信道。802.1x認(rèn)證的最終目的就是確定一 個端口是否可用��。對于一個端口�����,如果認(rèn)證成功就打開該端口���,允許所有報 文通過;如果認(rèn)證不成功就使該端口保持關(guān)閉��,即只允許802.1x認(rèn)證協(xié)議 報文通過���。
圖1為802.1x認(rèn)證系統(tǒng)的體系結(jié)構(gòu)��,如圖1所示�,其包括三個部分 客戶端、設(shè)備端和認(rèn)證服務(wù)器����。其中,客戶端端口訪問實體(PAE, Port Access Entity)負(fù)責(zé)響應(yīng)設(shè)備端的認(rèn)證請求�,向設(shè)備端提交用戶的認(rèn)證信息;設(shè)備 端PAE利用認(rèn)證服務(wù)器對需要接入局域網(wǎng)的客戶端執(zhí)行認(rèn)證�,并根據(jù)認(rèn)證 結(jié)果相應(yīng)地控制受控端口的授權(quán)/非授權(quán)狀態(tài)。
802.1 x認(rèn)證系統(tǒng)提供了 一種用戶接入認(rèn)證的手段���,它僅關(guān)注端口的打開 與關(guān)閉�。對于合法用戶接入時��,端口打開����,而對于非法用戶接入或沒有用戶 接入時,則使端口處于關(guān)閉狀態(tài)�。認(rèn)證的結(jié)果在于端口狀態(tài)的改變,而不涉 及其它認(rèn)證技術(shù)所考慮的IP地址協(xié)商和分配問題,是各種認(rèn)證技術(shù)中最為 簡化的實現(xiàn)方案��。
出于安全考慮���,現(xiàn)有方案在802.1x認(rèn)證成功后�����,增加了心跳握手機(jī)制���, 如果心跳異常,將強(qiáng)制用戶下線�����。圖2為現(xiàn)有的802.1x心跳握手流程圖���,如閨2所示���,其具體步驟如下
步驟201:認(rèn)證服務(wù)器根據(jù)私有算法對隨機(jī)密鑰(Rand—Key)進(jìn)行運(yùn)算, 得到隨機(jī)哈希(Rand—Hash)值�,將Rand—Hash值���、Rand—Key和私有算法 標(biāo)識發(fā)送給交換機(jī)/路由器��。
認(rèn)證服務(wù)器會定期更新Rand一Key���。
步驟202:交換機(jī)/路由器保存認(rèn)證服務(wù)器發(fā)來的RancLHash值���,將認(rèn)證 服務(wù)器發(fā)來的Rand—Key和私有算法標(biāo)識攜帶在802.1x心跳握手請求報文中 發(fā)送給客戶端。
步驟203:客戶端接收Rand—Key和私有算法標(biāo)識���,采用私有算法標(biāo)識 對應(yīng)的私有算法�,對該Rand—Key進(jìn)行運(yùn)算�,得到Rand—Hash值,將 Rand—Hash值攜帶在隨后發(fā)送給交換機(jī)/路由器的802.1x心跳握手響應(yīng)報文 中����。
步驟204:交換機(jī)/路由器收到客戶端發(fā)來的Rand—Hash值,判斷該 Rand一Hash值和認(rèn)證服務(wù)器發(fā)來的Rand一Hash值是否相同�����,若是�,執(zhí)行步驟 205;否則,執(zhí)行步驟206��。
步驟205:交換機(jī)/路由器繼續(xù)與客戶端進(jìn)行心跳握手,本流程結(jié)束�����。 步驟206:交換機(jī)/路由器向客戶端和認(rèn)證服務(wù)器發(fā)送下線報文��,強(qiáng)制用 戶下線��。
對于一般用戶而言�����,802.1x認(rèn)證主要用于接入用戶身^f分核查�����,不會啟用 安全特性檢查�,用戶也不會去破解802.1x心跳。但是如果想使用安全特性 檢查���,現(xiàn)有方案中雖然定期更新Rand—Key,但在用戶破解了 Rand—Key生 成RandJIash的方法后���,還是容易重寫一個心跳報文維護(hù)程序,完成客戶端 心跳破解����。做法是在802.1x認(rèn)證成功、客戶端已經(jīng)開始周期性握手后����, 異常強(qiáng)制關(guān)閉用于認(rèn)證的客戶端,使用另一程序接管握手報文�����,從而使得原 有客戶端失效��。這樣原有客戶端的一些在線的實時安全特性將失效�。
發(fā)明內(nèi)容
本發(fā)明提供一種心跳握手方法及系統(tǒng),以提高心跳握手的可靠性�����。
本發(fā)明的技術(shù)方案是這樣實現(xiàn)的 一種心跳握手方法�,該方法包括
當(dāng)有客戶端版本發(fā)布時,對該客戶端版本進(jìn)行編譯�����,將編譯文件中的代碼 片段生成指紋文件���,認(rèn)證服務(wù)器導(dǎo)入該指紋文件�;
認(rèn)證服務(wù)器發(fā)現(xiàn)客戶端通過認(rèn)證,從該客戶端的指紋文件中隨機(jī)獲取代碼 片段���,采用預(yù)設(shè)私有算法對代碼片段進(jìn)行運(yùn)算�����,得到隨機(jī)哈希值�,將該隨機(jī)哈 希值發(fā)送給設(shè)備端�����,將代碼片段的位置信息通過設(shè)備端透傳給客戶端�����;
客戶端根據(jù)代碼片段的位置信息從編譯文件中讀取代碼片段�����,采用預(yù)設(shè)私 有算法���,對讀取的代碼片段進(jìn)行運(yùn)算��,得到隨機(jī)哈希值����,將該隨機(jī)哈希值攜帶 在心跳握手響應(yīng)報文中發(fā)送給設(shè)備端;
設(shè)備端比較客戶端和認(rèn)證服務(wù)器發(fā)來的隨機(jī)哈希值���,若二者相同,則允許 客戶端在線���;否則��,讓客戶端下線���。
所述對該客戶端版本進(jìn)行編譯進(jìn)一步包括對編_澤文件進(jìn)行采樣;
所述將編譯文件中的代碼片段生成指紋文件為將采樣得到的代碼片段及 各代碼片段的入口地址生成指紋文件��。
所述將編譯文件中的代碼片段生成指紋文件之后��、認(rèn)證服務(wù)器導(dǎo)入該指紋 文件之前進(jìn)一步包括
對指紋文件進(jìn)行加密�����;
所述認(rèn)證服務(wù)器導(dǎo)入該指紋文件之后���、認(rèn)證服務(wù)器從指紋文件中隨機(jī)獲取 代碼片段之前進(jìn)一步包括認(rèn)證服務(wù)器對導(dǎo)入的指紋文件進(jìn)行解密����。
認(rèn)證服務(wù)器預(yù)先為客戶端設(shè)置指紋識別心跳啟動條件,
所述認(rèn)證服務(wù)器從指紋文件中隨機(jī)獲取代碼片段包括認(rèn)證服務(wù)器發(fā)現(xiàn)當(dāng) 前滿足預(yù)先為客戶端設(shè)置的指紋識別心跳啟動條件�,則從該客戶端的指紋文件 中隨機(jī)獲取代碼片段。所述指紋文件中包含客戶端版本號�����,
所述認(rèn)證服務(wù)器從指紋文件中隨機(jī)獲取代碼片段之前進(jìn)一步包括 認(rèn)證服務(wù)器才艮據(jù)客戶端版本號�����,查找到對應(yīng)的指紋文件���。 所述代碼片段的位置信息為代碼片段在編譯文件中的入口地址和偏移量����。 一種心跳握手系統(tǒng)��,該系統(tǒng)包括
客戶端���,當(dāng)有客戶端版本發(fā)布時����,對該客戶端版本進(jìn)行編譯,將編譯文件 中的代碼片段生成指紋文件����;根椐認(rèn)證服務(wù)器透傳來的代碼片段的位置信息從 編譯文件中讀取代碼片段,采用預(yù)設(shè)私有算法��,對讀取的代碼片段進(jìn)行運(yùn)算��, 得到隨機(jī)哈希值����,將該隨機(jī)哈希值攜帶在心跳握手響應(yīng)報文中發(fā)送給設(shè)備端�����;
設(shè)備端�����,比較客戶端和認(rèn)證服務(wù)器發(fā)來的隨機(jī)哈希值�����,若二者相同,則允 許客戶端在線�����;否則�,讓客戶端下線;
認(rèn)證J艮務(wù)器�����,導(dǎo)入客戶端的指紋文件�,當(dāng)發(fā)現(xiàn)客戶端通過認(rèn)i正,/人該客戶 端的指紋文件中隨機(jī)獲取代碼片段�,采用預(yù)設(shè)私有算法對獲取的代碼片段進(jìn)行 運(yùn)算,得到隨機(jī)哈希值�,將該隨機(jī)哈希值發(fā)送給設(shè)備端,將代碼片段的位置信 息通過設(shè)備端透傳給客戶端�����。
所述客戶端包括
編譯模塊���,當(dāng)有客戶端版本發(fā)布時�����,對該客戶端版本進(jìn)行編譯�,將編譯文 件發(fā)送給采樣模塊;
采樣模塊���,對編譯模塊發(fā)來的編譯文件進(jìn)行采樣�,將采樣得到的代碼片段 和各代碼片段的入口地址生成指紋文件�;
認(rèn)證模塊,根據(jù)設(shè)備端透傳來的代碼片段的位置信息從編譯文件中讀取代 碼片段����,采用預(yù)設(shè)私有算法,對讀取的代碼片段進(jìn)行運(yùn)算��,得到隨機(jī)哈希值�, 將該隨機(jī)哈希值攜帶在心跳握手響應(yīng)報文中發(fā)送給設(shè)備端�。
所述客戶端包括
編譯模塊,當(dāng)有客戶端版本發(fā)布時�,對該客戶端版本進(jìn)行編譯,將編譯文 件發(fā)送給采樣模塊���;
采樣模塊��,對編譯模塊發(fā)來的編譯文件進(jìn)行采樣��,將采樣得到的代碼片段和各代碼片段的入口地址生成指紋文件發(fā)送給加密;^莫塊�; 加密模塊,對采樣模塊發(fā)來的指紋文件進(jìn)行加密��;
認(rèn)證模塊��,根據(jù)設(shè)備端透傳來的代碼片段的位置信息從編譯文件中讀取代 碼片段��,采用預(yù)設(shè)私有算法����,對讀取的代碼片段進(jìn)行運(yùn)算,得到隨機(jī)哈希值�����, 將該隨機(jī)哈希值攜帶在心跳握手響應(yīng)報文中發(fā)送給設(shè)備端��;
且所述認(rèn)證服務(wù)器進(jìn)一步用于��,對導(dǎo)入的客戶端的指紋文件進(jìn)行解密�����。
所述認(rèn)證服務(wù)器包括
指紋文件存儲模塊,導(dǎo)入客戶端的指紋文件���;
指欲識別心跳啟動模塊���,當(dāng)發(fā)現(xiàn)當(dāng)前滿足預(yù)先為客戶端設(shè)置的指紋識別心 跳啟動條件時,向認(rèn)證模塊發(fā)送客戶端版本號和指紋識別心跳啟動指示�;
認(rèn)證模塊,接收客戶端版本號和指紋識別心跳啟動指示�����,根據(jù)客戶端版 本號�,從指紋文件存儲模塊獲取指紋文件,從指紋文件中隨機(jī)獲取代碼片段��, 采用預(yù)設(shè)私有算法對獲取的代碼片段進(jìn)行運(yùn)算�����,得到隨機(jī)哈希值�,將該隨機(jī) 哈希值發(fā)送給設(shè)備端�����,將代碼片段的位置信息通過設(shè)備端透傳給客戶端。
與現(xiàn)有技術(shù)相比��,本發(fā)明中���,當(dāng)有客戶端版本發(fā)布時�����,對該客戶端版本 進(jìn)行編譯���,將編譯文件中的代碼片段生成指紋文件,認(rèn)證服務(wù)器導(dǎo)入該指紋 文件��;認(rèn)證服務(wù)器發(fā)現(xiàn)客戶端通過認(rèn)證����,從該客戶端的指紋文件中隨機(jī)獲取 代碼片段,采用預(yù)設(shè)私有算法對代碼片段進(jìn)行運(yùn)算����,得到隨機(jī)哈希值,將該 隨機(jī)哈希值發(fā)送給設(shè)備端�����,將代碼片段的位置信息通過設(shè)備端透傳給客戶 端;客戶端根據(jù)代碼片段的位置信息從編譯文件中讀取代碼片段����,采用預(yù)設(shè) 私有算法,對讀取的代碼片段進(jìn)行運(yùn)算��,得到隨機(jī)哈希值�,將該隨機(jī)哈希值 攜帶在心跳握手響應(yīng)報文中發(fā)送給設(shè)備端;設(shè)備端比較客戶端和認(rèn)證服務(wù)器 發(fā)來的隨機(jī)哈希值��,若二者相同��,則允許客戶端在線���;否則�����,讓客戶端下線���。 本發(fā)明提高了心跳握手的可靠性。
圖1為現(xiàn)有的802.1x認(rèn)證系統(tǒng)的體系結(jié)構(gòu)示意圖��;圖2為現(xiàn)有的802.1x心跳握手流程圖3為本發(fā)明實施例提供的802.1x心跳握手流程圖4為本發(fā)明實施例提供的802.lx心跳握手系統(tǒng)組成圖5為本發(fā)明實施例提供的客戶端的組成圖一��;
圖6為本發(fā)明實施例提供的客戶端的組成圖二�;
圖7為本發(fā)明實施例提供的認(rèn)證服務(wù)器的組成圖。
具體實施例方式
下面結(jié)合附圖及具體實施例對本發(fā)明再作進(jìn)一步詳細(xì)的說明���。 圖3為本發(fā)明實施例提供的802.1x心跳握手流程圖�����,如圖3所示�����,其 具體步驟如下
步驟301:有新客戶端版本要發(fā)布��,客戶端上的編譯器對該客戶端版本 進(jìn)行編譯����,編譯完成后����,產(chǎn)生編譯文本。
步驟302:客戶端按照預(yù)設(shè)采樣規(guī)則�,對編譯文件進(jìn)行采樣,將采樣得 到的代碼片段和各代碼片段的入口地址生成指紋文件����,并在指紋文件中包含 客戶端版本號��,采用預(yù)設(shè)加密算法����,對指紋文件進(jìn)行加密����。
步驟303:認(rèn)證服務(wù)器導(dǎo)入加密后的指紋文件,對該指紋文件進(jìn)行解密��, 保存解密得到的指紋文件��。
步驟304:客戶端上線�,按照現(xiàn)有的802.1x心跳握手流程與設(shè)備端進(jìn)行 心跳握手。
現(xiàn)有的802.1 x心跳握手流程即圖2所示流程��。
步驟305:認(rèn)證服務(wù)器發(fā)現(xiàn)當(dāng)前滿足預(yù)先為客戶端設(shè)置的指紋識別心跳 啟動條件�,根據(jù)該客戶端版本號,查找到對應(yīng)的指紋文件����。
在802.1x認(rèn)證過程中,客戶端會將客戶端版本號上報給認(rèn)證服務(wù)器�。 指紋識別心跳啟動條件可以是在客戶端認(rèn)證成功后�����,每隔固定時間間 隔如30分鐘啟用一次指紋識別心跳握手過程;或者�,在客戶端i人證成功 時,采用預(yù)設(shè)隨機(jī)算法�����,得到一個隨機(jī)時間間隔�����,在該隨機(jī)時間間隔到達(dá)時�����,啟動一次指紋識別心跳握手過程���,然后重新釆用該預(yù)設(shè)隨機(jī)算法��,得到另一 個隨才兒時間間隔�,如此重復(fù)�。
步驟306:認(rèn)證服務(wù)器從指紋文件中隨機(jī)獲取代碼片段��,按照預(yù)設(shè)私有 算法�����,對獲取的所有代碼片段進(jìn)行運(yùn)算�,得到Rand_Hash值��,并將Rand_Hash 值和客戶端版本號發(fā)送給設(shè)備端��,將各代碼片段的位置信息和私有算法標(biāo)識 通過設(shè)備端透傳給客戶端�。
代碼片段的位置信息可以表示為代碼片段的入口地址+偏移量,代碼 片段的入口地址可以是代碼片段的函數(shù)名����,也可是采用預(yù)設(shè)轉(zhuǎn)換算法對代碼 片段的函數(shù)名轉(zhuǎn)換得到的代號。
步驟307:設(shè)備端保存認(rèn)證服務(wù)器發(fā)來的Rand—Hash值與客戶端版本號 的3于應(yīng)關(guān)系�。
步驟308:客戶端接收設(shè)備端透傳來的代碼片段的位置信息,根據(jù)該代 碼片段的位置信息從該編譯文件中獲取代碼片段����。
步驟309:客戶端采用設(shè)備端透傳來的私有算法標(biāo)識對應(yīng)的私有算法, 對獲取的所有代碼片段進(jìn)行運(yùn)算����,得到Rand_Hash值��,將該Rand—Hash值 攜帶在隨后的802.1x心跳握手響應(yīng)報文中發(fā)送給設(shè)備端���。
步驟310:設(shè)備端接收客戶端發(fā)來的Rand—Hash值,根據(jù)客戶端版本號 查找到自身保存的Rand一Hash值�。
步驟311:設(shè)備端判斷客戶端發(fā)來的Rand—Hash值和查找到的 Rand—Hash值是否相同����,若是,執(zhí)行步驟312;否則��,執(zhí)行步驟313����。
步驟312:設(shè)備端繼續(xù)與客戶端進(jìn)行心跳握手,本流程結(jié)束��。
步驟313:設(shè)備端向客戶端和認(rèn)證服務(wù)器發(fā)送下線報文���,強(qiáng)制用戶下線�����。
由于編譯文件是不對外發(fā)布的��,因此�,除客戶端和認(rèn)證服務(wù)器之外的第 三者很難根據(jù)代碼片段的位置信息獲取到代碼片段,從而保證了 802.1x心
跳握手的可靠性����;另外,每次有新客戶端版本發(fā)布后�����,只需要將該客戶端版 本的指紋文件導(dǎo)入認(rèn)證服務(wù)器中即可�����,無需對認(rèn)證服務(wù)器進(jìn)行升級����。
圖4為本發(fā)明實施例提供的802.1x心跳握手系統(tǒng)的組成圖,如圖4所示��,其主要包括客戶端41���、設(shè)備端42和認(rèn)證服務(wù)器43,其中
客戶端41:當(dāng)有新客戶端版本發(fā)布時���,對該客戶端版本進(jìn)行編譯����,將編譯 文件中的代碼片段生成指紋文件���,該指紋文件中包含客戶端版本號�����;接收i人證 服務(wù)器43透傳來的代碼片段的位置信息和私有算法標(biāo)識,根據(jù)該代碼片段的位 置信息從該編譯文件中讀取代碼片段�,釆用私有算法標(biāo)識對應(yīng)的算法,對讀取 的代碼片段進(jìn)行運(yùn)算���,得到Rand—Hash值�����,將該Rand_Hash值攜帶在隨后的心 跳握手響應(yīng)報文中發(fā)送給設(shè)備端42�����。
設(shè)備端42:接收并保存認(rèn)證服務(wù)器43發(fā)來的客戶端版本號和Rand—Hash 值的對應(yīng)關(guān)系��;接收客戶端41發(fā)來的Rand一Hash值���,根據(jù)客戶端41版本號查 找到自身保存的Rand—Hash值�,比較客戶端41發(fā)來的Rand一Hash值和查找到 的Rand—Hash值��,若二者相同�����,則允許客戶端41在線����;否則,讓客戶端41下 線����。
認(rèn)證服務(wù)器43:導(dǎo)入客戶端41的指紋文件;當(dāng)發(fā)現(xiàn)客戶端41通過認(rèn)證���, 從客戶端41的指紋文件中隨機(jī)獲取代碼片段��,采用預(yù)設(shè)私有算法對代碼片段進(jìn) 行運(yùn)算���,得到Rand一Hash值��,將該Rand—Hash值和客戶端41版本號發(fā)送給設(shè) 備端42����,將代碼片段的位置信息和私有算法標(biāo)識通過設(shè)備端42透傳給客戶端 41����。
如圖5所示,客戶端41可包括編譯模塊411�����、采樣模塊412和認(rèn)證模塊 413����,其中
編譯模塊411:當(dāng)有新客戶端版本發(fā)布時���,對該客戶端版本進(jìn)行編譯�����,將 編譯文件發(fā)送給采樣模塊412���。
采樣模塊412:對編譯模塊411發(fā)來的編譯文件進(jìn)行采樣�,將采樣得到的 代碼片段和各代碼片段的入口地址生成指紋文件���,該指紋文件中包含客戶端版 本號��。 —
認(rèn)證模塊413:接收認(rèn)證服務(wù)器43透傳來的代碼片段的位置信息和私有算 法標(biāo)識�,根據(jù)該代碼片段的位置信息從該編譯文件中讀取代碼片段����,采用該私 有算法標(biāo)識對應(yīng)的算法,對讀取的代碼片段進(jìn)行運(yùn)算����,得到Rand一Hash值,將該Rand—Hash值攜帶在隨后的心跳握手響應(yīng)報文中發(fā)送給設(shè)備端42��。
或者��,如圖6所示��,客戶端41可包括編譯模塊511��、釆樣模塊512���、加
密模塊513和認(rèn)證模塊514,其中
編譯模塊511:當(dāng)有新客戶端版本發(fā)布時����,對該客戶端版本進(jìn)行編譯,將
編譯文件發(fā)送給采樣模塊512�����。
采樣模塊512:對編譯模塊511發(fā)來的編譯文件進(jìn)行釆樣�,將采樣得到的
代碼片段和各代碼片段的入口地址生成指紋文件發(fā)送給加密模塊513,�����,該指紋
文件中包含客戶端版本號�。
加密模塊513:對采樣模塊512發(fā)來的指紋文件進(jìn)行加密。
認(rèn)證模塊514:接收設(shè)備端42透傳來的代碼片段的位置信息和私有算法標(biāo)
識�,根據(jù)該代碼片段的位置信息從該編譯文件中讀取代碼片段,采用該私有算
法標(biāo)識對應(yīng)的算法���,對讀取的代碼片段進(jìn)行運(yùn)算�����,得到Rand一Hash值,將該
Rand—Hash值攜帶在隨后的心跳握手響應(yīng)報文中發(fā)送給設(shè)備端42���。
且���,認(rèn)證服務(wù)器43進(jìn)一步用于���,對導(dǎo)入的客戶端41的指紋文件進(jìn)行解密。 如圖7所示�����,認(rèn)證服務(wù)器43可包括指紋文件存儲模塊431��、指紋識別心
跳啟動模塊432和認(rèn)證模塊433,其中
指紋文件存儲模塊431:導(dǎo)入客戶端41的指紋文件�。 指紋識別心跳啟動模塊432:當(dāng)發(fā)現(xiàn)當(dāng)前滿足預(yù)先為客戶端設(shè)置的指紋識
別心跳啟動條件時,向認(rèn)證^t塊433發(fā)送客戶端版本號和指紋識別心跳啟動指示�����。
認(rèn)證模塊433:當(dāng)發(fā)現(xiàn)客戶端通過認(rèn)證��,且未接收到指紋識別心跳啟動才莫 塊432發(fā)來的指紋識別心跳啟動指示時���,對該客戶端執(zhí)行現(xiàn)有的心跳握手流程���; 當(dāng)接收到指紋識別心跳啟動模塊432發(fā)來的客戶端版本號和指紋識別心跳啟動 指示時�����,根據(jù)客戶端版本號�,從指紋文件存儲模塊431獲取該客戶端的指紋文 件�����,從該指紋文件中隨機(jī)獲取代碼片段�,采用預(yù)設(shè)私有算法對獲取的代碼片段 進(jìn)行運(yùn)算,得到RandJIash值���,將該Rand一Hash值和客戶端版本號發(fā)送給設(shè)備 端42�,將代碼片段的位置信息和私有算法標(biāo)識通過設(shè)備端42透傳給客戶端41��。本發(fā)明提供的心跳握手方案適用于各種心跳握手機(jī)制���,例如802.1x心跳 握手機(jī)制���、Portal心跳握手機(jī)制等等。
以上所述僅為本發(fā)明的過程及方法實施例��,并不用以限制本發(fā)明�����,凡在 本發(fā)明的精神和原則之內(nèi)所做的任何修改��、等同替換���、改進(jìn)等���,均應(yīng)包含在 本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1����、一種心跳握手方法,其特征在于��,該方法包括當(dāng)有客戶端版本發(fā)布時����,對該客戶端版本進(jìn)行編譯,將編譯文件中的代碼片段生成指紋文件���,認(rèn)證服務(wù)器導(dǎo)入該指紋文件�����;認(rèn)證服務(wù)器發(fā)現(xiàn)客戶端通過認(rèn)證����,從該客戶端的指紋文件中隨機(jī)獲取代碼片段,采用預(yù)設(shè)私有算法對代碼片段進(jìn)行運(yùn)算��,得到隨機(jī)哈希值�,將該隨機(jī)哈希值發(fā)送給設(shè)備端,將代碼片段的位置信息通過設(shè)備端透傳給客戶端���;客戶端根據(jù)代碼片段的位置信息從編譯文件中讀取代碼片段���,采用預(yù)設(shè)私有算法,對讀取的代碼片段進(jìn)行運(yùn)算�����,得到隨機(jī)哈希值��,將該隨機(jī)哈希值攜帶在心跳握手響應(yīng)報文中發(fā)送給設(shè)備端��;設(shè)備端比較客戶端和認(rèn)證服務(wù)器發(fā)來的隨機(jī)哈希值����,若二者相同���,則允許客戶端在線����;否則,讓客戶端下線���。
2���、 如權(quán)利要求l所述的方法,其特征在于�,所述對該客戶端版本進(jìn)行編譯 進(jìn)一步包括對編-澤文件進(jìn)行采樣;所述將編譯文件中的代碼片段生成指紋文件為將采樣得到的代碼片段及 各代碼片段的入口地址生成指紋文件�����。
3�����、 如權(quán)利要求2所述的方法���,其特征在于�����,所述將編譯文件中的代碼片段 生成指紋文件之后���、認(rèn)證服務(wù)器導(dǎo)入該指紋文件之前進(jìn)一步包括對指紋文件進(jìn)行加密����;所述認(rèn)證服務(wù)器導(dǎo)入該指紋文件之后�、認(rèn)證服務(wù)器從指紋文件中隨機(jī)獲取 代碼片段之前進(jìn)一步包括認(rèn)證服務(wù)器對導(dǎo)入的指紋文件進(jìn)行解密。
4�����、 如權(quán)利要求l所述的方法��,其特征在于�,認(rèn)證服務(wù)器預(yù)先為客戶端設(shè)置 指紋識別心跳啟動條件,所述認(rèn)證服務(wù)器從指紋文件中隨機(jī)獲取代碼片段包括認(rèn)證服務(wù)器發(fā)現(xiàn)當(dāng) 前滿足預(yù)先為客戶端設(shè)置的指紋識別心跳啟動條件����,則從該客戶端的指紋文件 中隨機(jī)獲取代碼片段。
5�、 如權(quán)利要求l.所述的方法�,其特征在于�,所述指紋文件中包含客戶端版本號,所述認(rèn)證服務(wù)器從指紋文件中隨機(jī)獲取代碼片段之前進(jìn)一步包括 認(rèn)證服務(wù)器根據(jù)客戶端版本號�,查找到對應(yīng)的指紋文件。
6�����、 如權(quán)利要求l所述的方法����,其特征在于��,所述代碼片段的位置信息為 代碼片段在編譯文件中的入口地址和偏移量�。
7、 一種心跳握手系統(tǒng)���,其特征在于����,該系統(tǒng)包括客戶端�����,當(dāng)有客戶端版本發(fā)布時,對該客戶端版本進(jìn)行編譯���,將編譯文件 中的代碼片段生成指紋文件���;根據(jù)認(rèn)證服務(wù)器透傳來的代碼片段的位置信息從 編譯文件中讀取代碼片段,采用預(yù)設(shè)私有算法�,對讀取的代碼片段進(jìn)行運(yùn)算, 得到隨機(jī)哈希值�,將該隨機(jī)哈希值攜帶在心跳握手響應(yīng)報文中發(fā)送給設(shè)備端;設(shè)備端����,比較客戶端和認(rèn)證服務(wù)器發(fā)來的隨機(jī)哈希值,若二者相同�,則允 許客戶端在線;否則���,讓客戶端下線����;認(rèn)證服務(wù)器�����,導(dǎo)入客戶端的指紋文件,當(dāng)發(fā)現(xiàn)客戶端通過認(rèn)證�����,從該客戶 端的指紋文件中隨機(jī)獲取代碼片段��,采用預(yù)設(shè)私有算法對獲取的代碼片段進(jìn)行 運(yùn)算�,得到隨機(jī)哈希值,將該隨機(jī)哈希值發(fā)送給設(shè)備端�����,將代碼片段的位置信 息通過設(shè)備端透傳給客戶端�。 —
8�、 如權(quán)利要求7所述的系統(tǒng),其特征在于����,所述客戶端包括 編譯模塊,當(dāng)有客戶端版本發(fā)布時����,對該客戶端版本進(jìn)行編譯,將編譯文件發(fā)送給采樣模塊�����;采樣模塊,對編譯模塊發(fā)來的編譯文件進(jìn)行采樣�,將采樣得到的代碼片段 和各代碼片段的入口地址生成指紋文件;認(rèn)證模塊�,根據(jù)設(shè)備端透傳來的代碼片段的位置信息從編譯文件中讀取代 碼片段,采用預(yù)設(shè)私有算法���,對讀取的代碼片段進(jìn)行運(yùn)算�,得到隨機(jī)哈希值�����, 將該隨機(jī)哈希值攜帶在心跳握手響應(yīng)報文中發(fā)送給設(shè)備端���。
9���、 如權(quán)利要求7所述的系統(tǒng),其特征在于�����,所述客戶端包括 編譯模塊,當(dāng)有客戶端版本發(fā)布時����,對該客戶端版本進(jìn)行編譯,將編譯文件發(fā)送給采樣模塊����;采樣模塊,對編譯模塊發(fā)來的編譯文件進(jìn)行采樣���,將采樣得到的代碼片段 和各代碼片段的入口地址生成指紋文件發(fā)送給加密模塊�;加密模塊�,對采樣模塊發(fā)來的指紋文件進(jìn)行加密;認(rèn)證模塊��,根據(jù)設(shè)備端透傳來的代碼片段的位置信息從編譯文件中讀取代 碼片段���,采用預(yù)設(shè)私有算法,對讀取的代碼片段進(jìn)行運(yùn)算�����,得到隨機(jī)哈希值����, 將該隨機(jī)哈希值攜帶在心跳握手響應(yīng)報文中發(fā)送給設(shè)備端�;且所述認(rèn)證服務(wù)器進(jìn)一步用于�����,對導(dǎo)入的客戶端的指紋文件進(jìn)行解密�。
10、如權(quán)利要求7所述的系統(tǒng)����,其特征在于,所述認(rèn)證服務(wù)器包括指紋文件存儲模塊�,導(dǎo)入客戶端的指紋文件;指紋識別心跳啟動模塊����,當(dāng)發(fā)現(xiàn)當(dāng)前滿足預(yù)先為客戶端設(shè)置的指紋識別心 跳啟動條件時,向認(rèn)證模塊發(fā)送客戶端版本號和指紋識別心跳啟動指示���;認(rèn)證模塊�����,接收客戶端版本號和指紋識別心跳啟動指示�����,才艮據(jù)客戶端版本 號�����,從指紋文件存儲模塊獲取指紋文件���,從指紋文件中隨機(jī)獲取代碼片段���,采 用預(yù)設(shè)私有算法對獲取的代碼片段進(jìn)行運(yùn)算,得到隨機(jī)哈希值��,將該隨機(jī)哈希 值發(fā)送給設(shè)備端���,將代碼片段的位置信息通過設(shè)備端透傳給客戶端�。
全文摘要
本發(fā)明公開了心跳握手方法及系統(tǒng)����。方法包括對要發(fā)布的客戶端版本進(jìn)行編譯,將編譯文件中的代碼片段生成指紋文件��,認(rèn)證服務(wù)器導(dǎo)入該指紋文件��;認(rèn)證服務(wù)器發(fā)現(xiàn)客戶端通過認(rèn)證����,從該客戶端的指紋文件中隨機(jī)獲取代碼片段,對代碼片段進(jìn)行運(yùn)算��,得到隨機(jī)哈希值�,將隨機(jī)哈希值發(fā)送給設(shè)備端,將代碼片段位置信息通過設(shè)備端透傳給客戶端�;客戶端根據(jù)代碼片段位置信息從編譯文件中讀取代碼片段,對代碼片段進(jìn)行運(yùn)算����,得到隨機(jī)哈希值,將隨機(jī)哈希值攜帶在心跳握手響應(yīng)報文中發(fā)送給設(shè)備端�;設(shè)備端比較客戶端和認(rèn)證服務(wù)器發(fā)來的隨機(jī)哈希值,若二者相同�,允許客戶端在線;否則��,讓客戶端下線����。本發(fā)明提高了心跳握手的可靠性。
文檔編號H04L9/32GK101605130SQ200910088818
公開日2009年12月16日 申請日期2009年7月20日 優(yōu)先權(quán)日2009年7月20日
發(fā)明者羅友春 申請人:杭州華三通信技術(shù)有限公司