(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210962563.3 (22)申请日 2022.08.11 (71)申请人 沈阳风驰软件股份有限公司 地址 110167 辽宁省沈阳市 浑南区上深沟 村861-17号 （3门） (72)发明人 裴志伟　贾正锋　 (74)专利代理 机构 辽宁惟则知识产权代理事务 所(普通合伙) 21273 专利代理师 李巨智 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 67/02(2022.01) H04L 69/16(2022.01) (54)发明名称 基于UKEY硬件的web访问安全加密验证方法 和设备 (57)摘要 本发明提供了基于UKEY硬件的web访问安全 加密验证方法和设备。 方法包括 当本地浏览器进 行web访问时， 通过本地web监听服务程序建立本 地UKEY硬件与web服务进行信息交互的通道， 本 地web监听服务程序通过websocket监听本地网 络端口， web服务请求获取本地UKEY硬件相关信 息， 本地web监听服务程序以信息数据加密方式 通过websocket回传web服务进行数据信息验证。 以此方式， 可以替代传统的web访问需要通过本 地浏览器安装ActiveX插件方式与硬件交互， 解 决传统方式的安装ActiveX插件带来的安全问 题、 浏览器版本对ActiveX插件的兼容性问题以 及浏览器对A ctiveX插件逐渐不再支持从而影 响 正常使用的问题。 权利要求书2页 说明书8页 附图2页 CN 115333828 A 2022.11.11 CN 115333828 A 1.一种基于UKE Y硬件的web访问安全加密验证方法， 其特 征在于， 包括： 当本地浏览器进行web访问时， 本地web监听服务程序通过websocket监听本地网络端 口， 与web服务之间建立第一通道； 所述第一通道用于本地web监听服务程序与web服务之间 的数据交 互； 所述本地web监听服务程序响应于所述web服务的第一请求， 从本地UKEY硬件获取待验 证信息； 所述第一请求由所述 web服务通过websocket发送至所述本地网络端口； 所述本地web监听服务程序将所述待验证信息进行数据加密， 并通过websocket回传给 所述web服务进行数据信息验证。 2.根据权利 要求1所述的方法， 其特征在于， 所述本地web监听服务程序 通过websocket 监听本地网络端口， 包括： 所述本地web监听服务程序创建网络端口列表； 所述网络端口列表包括若干个网络端 口地址， 且相邻两个网络端口地址之间相差固定偏移值； 所述本地 web监听服 务程序与所述 web服务对于所述网络端口列表 协商一致； 所述本地web监听服务程序以所述网络端口列表的起始端口开始创建websocket服务 端； websocket服务端用于监听所述本地网络端口； 若当前网络端口被占用， 则以当前网络 端口增加固定偏移值后的网络端口重新创建websocket服 务端， 直至创建成功。 3.根据权利 要求2所述的方法， 其特征在于， 本地web监听服务程序与web服务之间建立 第一通道， 包括： 本地浏览器通过向所述web服务请求数据， 使web服务获取到本地socket网络通信数 据， 所述web服务根据获取到的本地socket网络通信数据建立与所述本地web监听服务程序 的第一通道。 4.根据权利要求3所述的方法， 其特征在于， 所述web服务根据获取到的本地socket网 络通信数据建立与所述本地 web监听服 务程序的第一 通道， 包括： 所述web服务创建websocket客户端， 对所述网络端口列表进行扫描， 从起始端口地址 开始以固定偏移值尝试与所述本地web监听服务建立的websocket服务端建立网络连接， 若 当前网络端口建立网络连接失败， 则以当前网络端口增加固定偏移 值后的网络端口重新建 立websocket的网络连接， 直至成功创建所述web服务与所述本地web监听服务程序的网络 连接， 完成建立所述第一 通道。 5.根据权利要求1所述的方法， 其特 征在于， 还 包括： 当本地浏览器访问web主页时， 所述本地浏览器调用所述本地web监听服务程序提供的 本地web服务接口， 根据所述本地web服务接口的返回值判断所述本地web监听服务程序的 状态， 若检测到所述本地web监听服务程序处于运行状态， 则不进行任何启动动作； 若所述 本地web监听服务程序处于未运行状态， 通过调用URL协议启动运行所述本地web监听服务 程序， 使所述本地web监听服务程序重新建立websocket服务端， 与所述web服务之间重新建 立第一通道。 6.根据权利要求1所述的方法， 其特 征在于， 还 包括： 所述web服务向所述本地web监听服务程序周期性发送心跳数据包， 以检测本地web监 听服务程序的运行状态； 若未收到所述本地web监听服务程序回包数据的次数超过预设次数阈值， 则判定所述权　利　要　求　书 1/2 页 2 CN 115333828 A 2本地web监听服务程序处于未运行状态， 所述web服务通过本地浏览器调用URL协议启动运 行所述本地web监听服务程序， 使所述本地web监听服务程序重新建立websocket服务端， 与 所述web服务之间重新建立第一 通道。 7.根据权利要求1所述的方法， 其特 征在于， 还 包括： 所述本地web监听服务程序通过调用所述UKEY硬件的SDK接 口获取所述UKEY硬件的状 态， 并将所述UKEY硬件的状态通过websocket返回所述web服务； 若UKEY处于在线状态， 则根 据所述浏览器页面跳转请求执行浏览器页面跳转； 若UKEY处于离线状态， 则不执行浏览器 页面跳转。 8.根据权利要求1所述的方法， 其特 征在于， 所述数据信息验证， 包括： 所述web服务将加密后的所述待验证信息进行解密， 并将所述待验证信息与web服务数 据库中的对应信息进行验证； 所述待验证信息包括登录用户信息和用户访问权限ID信息； 若所述登录用户信息与web服务数据库中对应的登录用户信息一致， 则执行浏览器页 面访问； 否则， 不执 行浏览器页面访问； 当执行浏览器页面访问时， 根据所述用户访问权限ID信息获取web服务数据库中对应 ID的用户访问权限， 根据用户访问权限执 行浏览器页面访问。 9.一种电子设备， 包括至少一个处 理器； 以及 与所述至少一个处 理器通信连接的存 储器； 其特 征在于， 所述存储器存储有可被所述至少一个处理器执行的指令， 所述指令被所述至少一个处 理器执行， 以使所述至少一个处 理器能够执 行权利要求1 ‑8中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115333828 A 3