技術領域

本發明涉及設備的操作權限認證方法和系統，尤其涉及基于云動態密碼的設備使用權限認證系統和方法。

背景技術

設備的操作權限指的是只有具有權限的操作員才能進行設備的操作，或者，只有具有特定操作動作權限的操作員才能進行設備的特定動作的操作，對于這種操作權限的認證，現有技術中，很多設備需要通過動態密碼驗證后，才能對設備進行操作。一般采用以下兩種種方式：

1.固定動態密碼，專人保管，定期在設備上更換動態密碼。

2.采用動態口令令牌，集中保管在管理處，在得到某一設備請求動態密碼時，找出對應的動態密碼令牌，告知其當前動態密碼。

以上兩種方式均有不足之處。

對于方式1，不足之處在于固定動態密碼容易被通過觀測的方式獲取。更換動態密碼一般需要管理人員在設備上進行，人力成本高。動態密碼更換頻率過高則導致人力成本高，對動態密碼管理人員記憶力要求高。頻率低則導致動態密碼容易泄漏。

對于方式2，不足之處在于在設備較多時，查找相應的動態密碼令牌比較麻煩，需要專人管理動態密碼令牌。

同時，以上兩種方式都不能避免內部人員，或內部人員勾結獲得設備操作動態密碼。

發明內容

為了彌補以上描述的現有技術中的不足，本發明提供了一種基于云動態密碼的設備使用權限認證方法，用以對操作廠家設備的操作員的操作權限進行認證；包括如下步驟：

在廠家端：

S1：響應所述廠家設備的外部輸入，發起認證請求，該認證請求以第一私鑰加密，且包含廠家設備和與之綁定的廠家數據服務器至少之一的信息；

S2：以第一私鑰解密獲得所述認證請求中的信息，進而開始操作員的身份驗證，驗證通過后進入步驟S3；

S3：對解密后的所述認證請求中的信息再以第二私鑰加密，并通過網絡傳至云端；

在云端：

S4：以第二私鑰解密所述認證請求中的信息，進而開始操作員的身份驗證，驗證通過后進入步驟S5；

S5：根據解密后的所述認證請求中的信息，查找并得到對應的加密種子，根據該加密種子生成動態密碼，然后反饋一以第二私鑰加密的反饋信息至廠家端，所述反饋信息包含了廠家設備和與之綁定的廠家數據服務器兩者至少之一的信息、以及所述動態密碼；

在廠家端：

S6：以第二私鑰解密所述反饋信息，進而開始操作員的身份驗證，驗證通過后進入步驟S7；

S7：將解密后的所述反饋信息再以第一私鑰加密，傳至所述廠家設備；

S8：所述廠家設備對所述反饋信息以第一私鑰解碼后進行動態密碼認證，認證通過后，所述廠家設備被允許操作或特定動作的操作或特定動作的操作。

可選的，所述廠家設備的信息包含所述廠家設備的編號，所述廠家數據服務器的信息包含所述廠家數據服務器的編號。

可選的，所述第一私鑰與第二私鑰為不同的私鑰。

可選的，所述身份驗證為通過簽名驗證實現操作員的身份驗證。

可選的，進行動態密碼認證的過程包括：將所述反饋信息中的動態密碼與本地運算出的動態密碼進行比較，若匹配，則判斷認證成功。

本發明還提供了一種基于云動態密碼的設備使用權限認證系統，包括云端和至少一個廠家端，所述廠家端包括廠家數據服務器、簽名驗證器和至少一個廠家設備；所述云端包括第三方數據服務器和動態密碼發生器；

所述廠家設備用以：

響應外部輸入，發起認證請求，該認證請求以第一私鑰加密，且包含廠家設備和與之綁定的廠家數據服務器至少之一的信息；

對自所述廠家數據服務器反饋而來的反饋信息以第一私鑰解碼后進行動態密碼認證，并在認證通過后，被允許操作或特定動作的操作；

所述廠家數據服務器用以：

將所述廠家設備傳輸而來的所述認證請求傳輸至所述簽名驗證器；

將所述簽名驗證器傳輸而來的以第二私鑰加密后的認證請求通過網絡傳至所述云端的第三方數據服務器；

響應自所述云端的第三方數據服務器通過網絡傳輸而來的經第二私鑰加密后的反饋信息，并傳輸至所述簽名驗證器；

將所述簽名驗證器傳輸而來的經第一私鑰加密后的反饋信息傳輸至所述廠家設備；

所述簽名驗證器用以：

響應所述廠家數據服務器傳輸而來的認證請求，對其以第一私鑰進行解密后，進行操作員的身份認證，認證通過后，對所述認證請求的信息以第二私鑰進行加密，再傳輸至所述廠家數據服務器；