CN105245541B - 鉴权方法、设备及系统 - Google Patents

鉴权方法、设备及系统 Download PDF

Info

Publication number
CN105245541B
CN105245541B CN201510711862.XA CN201510711862A CN105245541B CN 105245541 B CN105245541 B CN 105245541B CN 201510711862 A CN201510711862 A CN 201510711862A CN 105245541 B CN105245541 B CN 105245541B
Authority
CN
China
Prior art keywords
account
token information
server
application
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510711862.XA
Other languages
English (en)
Other versions
CN105245541A (zh
Inventor
任杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201510711862.XA priority Critical patent/CN105245541B/zh
Publication of CN105245541A publication Critical patent/CN105245541A/zh
Priority to PCT/CN2016/084205 priority patent/WO2017071208A1/zh
Priority to US15/707,783 priority patent/US10666440B2/en
Application granted granted Critical
Publication of CN105245541B publication Critical patent/CN105245541B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/40User authentication by quorum, i.e. whereby two or more security principals are required
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)
  • Telephonic Communication Services (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开一种鉴权方法、设备和系统;方法包括:第一设备基于第一设备用户持有的对应第一应用的第一账号从服务器获取令牌信息;将令牌信息在设备群的设备中以限制复制的方式进行传输,令牌信息用于供服务器对设备群中具有所述令牌信息的第二设备进行鉴权,在鉴权通过时为第二设备分配第一账号的使用权限;确定第二设备基于第一账号的使用权限登录第一应用,从基于第一账号登录第一应用的状态切换为中止使用第一账号登录第一应用的状态。采用本发明,能够在多设备使用同一账号登录应用时,避免账号的密钥泄露以有效保障账号安全。

Description

鉴权方法、设备及系统
技术领域
本发明涉及通信领域的安全控制技术,尤其涉及一种鉴权方法、设备及系统。
背景技术
随着设备的智能化,人们除了拥有台式机、笔记本电脑等常规的设备,还拥有智能手机、平板电脑、智能眼镜(Google眼镜)、智能手表(Apple watch)等多种形式的智能设备,这些设备都具有强大的智能性,能够运行多种不同的应用,例如,可以运行提供多种形式服务,包括线上服务(如在线多媒体播放、网上银行、社交服务如微信、微博等),还包括线下服务(网上预定家政服务、在线购买提供送花上门服务的商品,如外卖、家政服务、电子产品、服装等)。
用户需要使用预先注册的账号和密钥登录在设备中运行的应用才能使用应用所提供的服务,但是在账号的管理上存在安全隐患。
在一个典型的场景中,用户1往往拥有多台设备,如智能手机、平板电脑等,并且用户往往会使用所拥有的设备来使用相同的服务,例如用户1可能在不同的时刻分别使用智能手机和平板电脑来使用微信,这就需要用户1在所持有的设备中分别设置存储微信的账号和密钥,由于用户1一般只会随身携带智能手机,而不会总是随身携带平板电脑、笔记本电脑等设备,这就给用户1的账号安全带来了隐患,导致恶意用户2可能使用用户的设备而登录应用使用服务,给用户1带来损失;
在另一个典型的场景中,用户1希望将自身的账号(例如淘宝账号)暂时让渡给用户3使用,这就需要用户1通过特定方式向用户3告知用户1的账号和密钥(如用户1通过口头方式告知用户3,或通过用户1持有的设备向用户3持有的设备发送信息的方式告知),这对用户1的账号安全带来了巨大的安全隐患。
综上所述,相关技术对于在多设备使用同一账号时,避免账号的密钥泄露以有效保障账号安全、尚无有效解决方案。
发明内容
本发明实施例提供一种鉴权方法、设备及系统,能够在多设备使用同一账号登录应用时,避免账号的密钥泄露以有效保障账号安全。
本发明实施例的技术方案是这样实现的:
第一方面,本发明实施例提供一种鉴权方法,所述方法包括:
第一设备基于第一设备用户持有的对应第一应用的第一账号从服务器获取令牌信息,所述令牌信息为所述服务器基于所述第一账号生成,用于表征所述第一设备用户拥有所述第一账号的所有权;
将所述令牌信息在设备群的设备中以限制复制的方式进行传输,所述令牌信息还用于供所述服务器对所述设备群中具有所述令牌信息的第二设备进行鉴权,在鉴权通过时为所述第二设备分配所述第一账号的使用权限,以支持所述第二设备使用所述第一账号登录所述第一应用;
确定所述第二设备基于所述第一账号的使用权限登录所述第一应用,从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态。
第二方面,本发明实施例提供一种鉴权方法,所述方法包括:
服务器基于第一设备用户持有的对应第一应用的第一账号,生成对应所述第一账号的令牌信息,所述令牌信息表征所述第一设备用户拥有所述第一账号的所有权;
将所述令牌信息发送至第一设备,所述令牌信息用于供所述第一设备在设备群的设备中以限制复制的方式进行传输;
基于所述令牌信息对所述设备群中具有所述令牌信息的第二设备进行鉴权,在鉴权通过时为所述第二设备分配所述第一账号的使用权限,以支持所述第二设备使用所述第一账号登录所述第一应用;
确定所述第二设备基于所述第一账号的使用权限登录所述第一应用,触发所述第一设备从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态。
第三方面,本发明实施例提供一种第一设备,所述第一设备包括:
获取单元,用于基于第一设备用户持有的对应第一应用的第一账号从服务器获取令牌信息,所述令牌信息为所述服务器基于所述第一账号生成,用于表征所述第一设备用户拥有所述第一账号的所有权;
第一传输单元,用于将所述令牌信息在设备群的设备中以限制复制的方式进行传输,所述令牌信息还用于供所述服务器对所述设备群中具有所述令牌信息的第二设备进行鉴权,在鉴权通过时为所述第二设备分配所述第一账号的使用权限,以支持所述第二设备使用所述第一账号登录所述第一应用;
切换单元,用于确定所述第二设备基于所述第一账号的使用权限登录所述第一应用,从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态。
第四方面,本发明实施例提供一种服务器,包括:
令牌单元,用于基于第一设备用户持有的对应第一应用的第一账号,生成对应所述第一账号的令牌信息,所述令牌信息表征所述第一设备用户拥有所述第一账号的所有权;
第二传输单元,用于将所述令牌信息发送至第一设备,所述令牌信息用于供所述第一设备在设备群的设备中以限制复制的方式进行传输;
鉴权单元,用于基于所述令牌信息对所述设备群中具有所述令牌信息的第二设备进行鉴权,在鉴权通过时为所述第二设备分配所述第一账号的使用权限,以支持所述第二设备使用所述第一账号登录所述第一应用;
触发单元,用于确定所述第二设备基于所述第一账号的使用权限登录所述第一应用,触发所述第一设备从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态。
第五方面,本发明实施例提供一种鉴权系统,包括前述的第一设备以及服务器。
本发明实施例中,第一设备基于第一应用的第一账号获取令牌信息,将令牌信息作为设备群中的设备使用第一账号登录第一应用的鉴权凭证,在第一设备用户不必告知设备群中的设备用户与第一账号相应的密钥的前提下,即可对具有令牌信息的第二设备进行鉴权认证,避免了第一账号的密钥泄露的风险;同时,在第二设备基于第一账号登录第一应用时,第一设备还暂停使用第一账号登录第一应用以避免第一账号的登录冲突问题。
附图说明
图1是本发明实施例中鉴权系统的结构示意图;
图2是本发明实施例中鉴权方法的流程示意图一;
图3是本发明实施例中鉴权方法的流程示意图二;
图4是本发明实施例中鉴权方法的流程示意图三;
图5是本发明实施例中鉴权方法的流程示意图四;
图6是本发明实施例中鉴权方法的流程示意图五;
图7是本发明实施例中第一设备运行的第一应用处于不可操作的状态示意图;
图8是本发明实施例中操作第一设备回收第一账号的使用权限的示意图;
图9是本发明实施例中第一设备的结构示意图;
图10是本发明实施例中服务器的结构示意图。
具体实施方式
以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例记载一种鉴权方法,可以应用基于第一账号登录应用第一应用)的第一设备100中,上述的第一应并非特指第一设备100中运行的某一个应用,而是指基于账号和密钥对用户进行鉴权,在鉴权通过时允许第一设备100相应服务的应用,例如微信、QQ、以及提供第三方服务(包括线上的社交、购物、外卖等服务、以及线下的家政等服务)的各种应用,同理,上述的第一设备100也并非特指某一个或某一类设备,而是指能够运行上述应用并具备通信能力的设备,并与设备群的设备进行区分。
上述的第一设备100以及设备群中的设备可以是智能手机、平板电脑或穿戴式设备(如智能眼镜、智能手表等),还可以是智能汽车、智能家电(如智能冰箱、智能电池、机顶盒等);智能手机的操作系统可以是安卓操作系统、IOS操作系统或其他任意第三方开发的可以运行于微型计算机结构(至少包括处理器和内存)的操作系统(如移动版Linux系统、黑莓QNX操作系统等)。
第一设备100以及设备群中的设备可以内置各种通信模块以支持设备之间的通信,如近场通信(NFC)模块、蓝牙通信模块、红外通信模块、WiFi通信模块、蜂窝通信模块(支持2/3/4G下各种制式如CDMA/WCDMA/TD-SCDMA下的通信);当设备群中的设备需要与目标设备进行通信时,可以在近距离通信的有效范围内探测是否能够与目标设备进行近距离方式的通信(如蓝牙、WiFi,以WiFi为例,可以通过向目标设备发送回声请求消息,如果接收到目标设备返回的数据包,则表明处于近距离的有效通信范围内);如果在近距离的有效范围内没有探测到设备,则可以基于远程通信方式(如蜂窝通信)与目标设备建立通信。
本发明实施例中还涉及服务器300,服务器300是可以是为实施本发明实施例而专门设置的服务器(也可以采用服务器集群的方式),当然,服务器300也可以是第一应用的后台服务器,例如,当第一应用为微信时,相应的服务器300可以为微信的后台服务器;当第一应用为QQ时,相应的服务器300可以为QQ的后台服务器。
基于上述记载的第一设备100、设备群和服务器300,参见图2,在步骤101中,第一设备100基于第一设备100用户持有的对应第一应用的第一账号从服务器300获取令牌信息;令牌信息为服务器300基于第一账号生成,用于表征第一设备100用户拥有第一账号的所有权;在步骤102中,第一设备100将令牌信息在设备群的设备中以限制复制的方式进行传输;令牌信息还用于供服务器300对设备群中具有令牌信息的第二设备200进行鉴权,在鉴权通过时为第二设备200分配第一账号的使用权限,以支持第二设备200使用第一账号登录第一应用;在步骤103中,第一设备100确定第二设备200基于第一账号的使用权限登录第一应用,相应地,在步骤104中,从基于第一账号登录第一应用的状态切换为中止使用第一账号登录第一应用的状态。
上述方案中,第一设备100基于第一应用的第一账号获取令牌信息,将令牌信息作为设备群中的设备使用第一账号登录第一应用的鉴权凭证,在第一设备100用户不必告知设备群中的设备用户与第一账号相应的密钥的前提下,即可对具有令牌信息的第二设备200进行鉴权认证,避免了第一账号的密钥泄露的风险;同时,在第二设备200基于第一账号登录第一应用时,第一设备100还暂停使用第一账号登录第一应用以避免第一账号的登录冲突问题;同时,令牌信息在设备群中是不可复制的方式传递的,这就有效杜绝了多个设备持有令牌并基于第一账号登录第一应用的情况。
基于上述记载的第一设备100、设备群、服务器300以及鉴权方法,提出以下各具体实施例。
实施例一
本实施例针对以下场景中的问题提出解决的技术方案,参见图1,第一设备100中运行第一应用,第一设备100用户通过第一设备100注册了使用第一应用所提供服务的账号信息,包括:第一账号以及相应的密钥信息;当第一设备100用户希望将第一账号临时给第二设备200(第二设备200用户可以与第一设备100用户为同一用户,也可以为不同的用户)使用,而又不希望泄露对应第一账号的密钥给第二设备200。
参见图3示出的鉴权方法,包括以下步骤:
步骤201,第一设备100向服务器300发送令牌信息请求。
令牌信息请求携带第一设备100用户注册的对应第一应用的第一账户的信息。
步骤202,服务器300接收到第一设备100发送的令牌信息请求时,生成对应第一账户的标识,加密标识得到对应的令牌信息。
服务器300可以采用非对称加密算法(或对称加密算法)对标识进行加密,为放置令牌信息被恶意更改,令牌信息中还可以附有数字签名或数字证书,第一设备100利用数字签名来验证令牌信息的可靠性。
步骤203,服务器300维护第一账号与标识的对应关系。
对于不同的第一设备100发送令牌信息请求时,服务器300均根据各第一设备100中的运行的第一应用的账号对应生成标识(针对不同的第一账号生成的标识不同),并维护各第一账号与对应生成的标识的对应关系;具体实施时,可以采用任意具有单一映射功能的函数对第一账号进行计算得到对应的标识,也可以不利用第一账号进行计算,而是利用
令牌信息用于表征第一设备100用户拥有第一账号的所有权。
步骤204,服务器300传递令牌信息至第一设备100。
步骤205,第一设备100将令牌信息在设备群的设备中以限制复制的方式进行传输。
第一设备100可以主动发起令牌信息在设备群的传递,或者,在接收到设备群中的设备(设为第二设备200)使用第一账号登录第一应用的请求时,传递令牌信息至第二设备200,当第二设备200获取到令牌信息时,可以基于令牌信息向服务器300请求使用第一账号登录第一应用的使用权限,在使用完毕时以限制复制的方式传递令牌信息至设备群中的其他设备;当然,第二设备200也可以在获取到令牌信息时不向服务器300请求第一账号的使用权限,而是直接将令牌信息以限制复制的方式传递至设备群中的其他设备;由于令牌信息在设备群中是以限制复制方式传递的,因此,在第二设备200传递令牌信息至设备群中的其他设备之后,第二设备200没有保留令牌信息,也就是说,一旦令牌信息在设备群中传递,在任一个时刻设备群中只有一个设备具有令牌信息。
后续以设备群中的第二设备200基于令牌信息请求基于第一账号登录第一应用的使用权限进行说明。
步骤206,设备群中的第二设备200基于令牌信息向服务器300请求登录第一应用。
第二设备200向服务器300发送的请求中携带令牌信息;本实施例中,第一设备100仅仅将令牌信息传递给第二设备200,也就是说,第二设备200不具有第一设备100用户所具有的第一应用第一账号,在第二设备200使用第一账号之前,确保了第一设备100用户的账号安全。
步骤207,服务器300对设备群中具有令牌信息的第二设备200进行鉴权,在鉴权通过时为第二设备200分配第一账号的使用权限。
服务器300接收到第二设备200的请求时,利用令牌信息的数字签名(或数字证书)验证令牌信息是否为服务器300下发并且未经修改,之后解密出令牌信息中的标识,利用服务器300所维护的标识与第一账号的对应关系,确定第二设备200所请求使用的第一账号,并为第二设备200分配第一账号的使用权限,将第二设备200中运行的第一应用的状态置为基于第一账号的登录状态,从而使第二设备200用户获得了第一账号的使用权限。
上述过程中第一设备100用于不需要将第一账号的密钥告知第二设备200,就可以实现让第二设备200基于第一账号登录第一应用的目的,避免了密钥泄露给第二十设备而可能导致的账号的风险。
步骤208,服务器300触发第一设备100从基于第一账号登录第一应用的状态,切换为中止使用第一账号登录第一应用的状态。
服务器300在为第二设备200分配第一账号的使用权限(也就是使第二设备200基于第二账号登录的第一应用)之后,将第一设备100基于第一账号的使用状态切换为中止使用的状态,第一设备100的显示界面上可以显示当前不可操作的提示,以支持第二设备200用户基于第一账号使用第一应用提供的服务。
针对上述的提出的场景,参见图1,第一设备100用户基于自身的第一账号登录第一应用后,在第一应用的图形界面发起向服务器300申请令牌信息的操作,在接收到服务器300下发的令牌信息时,将令牌信息发送到第二设备200,第二设备200基于令牌信息向服务器300请求第一账号的使用权限,服务器300基于令牌信息鉴权成功后,为第二设备200分配第一账号的使用权限,第二设备200运行的第一应用处于基于第一账号登录的状态,第一设备100中运行的第一应用处于中止基于第一账号登录的状态。
实施例二
实施例一中第二设备200在请求第一账号的使用权限时,仅具有令牌信息,而不具有第一账号的信息(如名称),由服务器300基于维护的标识与第一账号的对应关系确定;本实施例中,第二设备200在请求第一账号的使用权限时,具有令牌信息以及第一账号的信息(如名称),第二设备200基于名称和令牌信息请求第一账号的使用权限,由服务器300进行账号和令牌的双重验证,提升了鉴权的安全性。
参见图4示出的鉴权方法,包括以下步骤:
步骤301,第一设备100向服务器300发送令牌信息请求。
令牌信息请求携带第一设备100用户注册的对应第一应用的第一账户的信息。
步骤302,服务器300接收到第一设备100发送的令牌信息请求时,生成对应第一账户的标识,加密标识得到对应的令牌信息。
服务器300可以采用非对称加密算法(或对称加密算法)对标识进行加密,为放置令牌信息被恶意更改,令牌信息中还可以附有数字签名或数字证书,第一设备100利用数字签名来验证令牌信息的可靠性。
步骤303,服务器300维护第一账号与标识的对应关系。
具体处理与实施例一的记载相同,这里不再赘述。
步骤304,服务器300传递令牌信息至第一设备100。
后续以第一设备100用户将令牌信息传递给第二设备200,以使第二设备200基于第一账号登录第一应用为例说明。
步骤305,第一设备100将令牌信息和第一账号传递给第二设备200。
为了避免数据传递被恶意拦截而导致令牌信息和第一账号泄露的问题,第一设备100可以将令牌信息和第一账号分别传递至第二设备200,由于后续服务器300是基于第一账号和令牌信息进行鉴权的,即使第一账号和令牌信息中的一个被恶意获取,也无法通过服务器300的鉴权。
步骤306,设备群中的第二设备200基于令牌信息和第一账号向服务器300请求登录第一应用。
第二设备200向服务器300发送的请求中携带令牌信息和第一账号的信息;本实施例中,第一设备100将令牌信息和第一应用的信息传递给第二设备200,也就是说,第二设备200具有第一应用第一账号的名称。
步骤307,服务器300对设备群中具有令牌信息的第二设备200进行鉴权,在鉴权通过时为第二设备200分配第一账号的使用权限。
服务器300接收到第二设备200的请求时,利用令牌信息的数字签名(或数字证书)验证令牌信息是否为服务器300下发并且未经修改,之后解密出令牌信息中的标识,利用服务器300所维护的标识与第一账号的对应关系,确定令牌信息中的标识所对应的第一账号与第二设备200发送的请求携带的第一账号是否一致,如果一致则为第二设备200分配第一账号的使用权限,将第二设备200中运行的第一应用的状态置为基于第一账号的登录状态,从而使第二设备200获得第一账号的使用权限。
上述过程中第一账号的密钥不需要泄露给第二设备200用户,就可以实现让第二设备200基于第一账号登录第一应用的目的,避免了密钥泄露的风险。
步骤308,服务器300触发第一设备100从基于第一账号登录第一应用的状态,切换为中止使用第一账号登录第一应用的状态。
服务器300在为第二设备200分配第一账号的使用权限(也就是使第二设备200基于第二账号登录的第一应用)之后,将第一设备100基于第一账号的使用状态切换为中止使用的状态,第一设备100的显示界面上可以显示当前不可操作的提示,以支持第二设备200基于第一账号使用第一应用提供的服务。
需要指出的是,前述实施例中是以第二设备200具有令牌信息为例进行说明的,第二设备200可以将令牌信息在设备群中以限制复制的方式传递,对于设备群中的第三设备400(不同于第二设备200的其他设备)具有令牌信息并向服务器300请求第一账号的使用权限时,服务器300进行的鉴权处理与前述实施例中服务器300对第二设备200的鉴权处理相同,这里不再赘述。
另外,前述实施例以使第一设备100和设备群中的设备归属于不同的用户为例进行说明,通过向设备群中的设备传递令牌信息,可以在设备群中的设备不具有第一账号的密钥的前提下使用第一账号登录第一应用,从而不需要向其他设备用户(也就设备群中的设备用户)透露第一账号的密钥信息。
实施例三
本实施例基于实施例一和实施例二,在前述实施例中,第二设备200获取到第一账号的使用权限之后,服务器300需要确定分配给第二设备200的使用权限何时中止;可以通过以下方式结合判断:
1)第二设备200具有令牌信息,当第二设备200不具有令牌信息时,说明令牌信息在设备群中发生了限制复制的传递,并为设备群中的其他设备所具有,此时应当中止第二设备200的对应第一账号的使用权限;
实际实施时,在采用方式1)进行判断的基础上,还可以结合方式2)进行判断:
2)第二设备200具有令牌信息,且令牌信息没有超出有效期限;
在前述实施例中,服务器300向第一设备100下发的令牌信息没有有效期的限制,也就是说,令牌信息在设备群中以限制复制的方式传递时,传递的时间没有时间上的限制;实际实施时,可能需要令牌信息在一段时间内有效,当令牌信息在设备群中传递而超出有效期限时,令牌信息即失效,即使设备群中的设备具有令牌也无法获得第一账号的使用权限。
本实施例记载的鉴权方法对前述实施例中第二设备200获取到第一账号的使用权限(也就是基于第一账号登录第一应用)之后的处理进行说明;本实施例中,设定在前述实施例中服务器300向第一设备100下发的令牌信息中还具有时限信息,例如当令牌信息中携带数字证书时,时限信息可以以数字证书的有效期来设定。
参见图5示出的鉴权方法,包括以下步骤:
步骤401,服务器300检测第二设备200是否具有令牌信息,如果具有,则执行步骤402;否则,执行步骤403。
步骤402,服务器300检测第二设备200获取的第一账号的使用权限是否处于有效期,如果未超出,则返回步骤401;否则,执行步骤403。
步骤403,服务器300中止分配给第二设备200的对应第一账号的使用权限。
步骤404,服务器300触发第一设备100从基于第一账号登录第一应用的状态,切换为中止使用第一账号登录第一应用的状态。
对于设备群中具有令牌信息的任意设备在基于令牌信息获取到第一账号的使用权限之后,服务器300都会检测具有第一账号的使用权限的设备是否具有令牌信息以及令牌信息是否超出有效期限的操作,实现了对令牌信息在设备群中传递的监测,确保了第一账号的使用安全。
实施例四
针对以下场景的处理进行说明:
1)第一设备100和设备群中设备属于同一用户,第二设备200获取到第一账号的使用权限之后,用户需要使用第一设备100并基于第一账号来登录第一应用(此时第二设备200往往是临时用作第一应用的登录设备)。
2)第一设备100和设备群中的设备属于不同的用户,当第一设备100用户的对应第一应用的第一账号的使用权限分配给第二设备200用户之后,第一设备100用户需要使用第一账号登录第一应用,也就是希望停止第二设备200用户在第二设备200上使用第一账号登录第一应用的行为。
在上述两个场景中,服务器300有必要回收分配给第二设备200的对应第一账号的使用权限,以使第一设备100能够基于第一账号登录第一应用。
参见图6示出的鉴权方法,包括以下步骤:
步骤501,第一设备100向服务器300发送携带令牌信息的回收请求。
回收请求中携带第一设备100从服务器请求的令牌信息,请求从设备群中具有令牌信息的设备中回收第一账号的使用权限,以使用户能够在第一设备基于第一账号登录第一应用。
参见图7,第一设备100中止基于第一账号登录第一应用的状态时,第一应用的显示窗口处于不可操作的状态,相当于对用户的输入的操作进行了屏蔽接收,并可以提供如图8所示的回收第一应用的使用权限的虚拟按钮,当该虚拟按钮被触发时,第一设备100对应执行上述步骤501,以触发服务器300回收所分配的第一账号的使用权限,使第一设备100中第一应用的显示窗口重新处于可以操作的状态。
步骤502,服务器300判断第一设备100是否拥有第一账号的所有权,如果使则执行步骤503;否则,停止处理。
步骤503,中止为第二设备200分配的对应第一账号的使用权限。
令牌信息中具有加密的标识,标识与第一账号对应,服务器300可以维护的标识与第一设备100的标识(如产品序列号,可以在向服务器300请求令牌信息时发送至服务器300,由服务器300将对应第一账号的标识、以及第一设备100标识加密形成令牌信息;也就是说,本实施例中。令牌信息中可以携带加密的以下标识:对应第一账号的标识;第一设备100的标识。
服务器300可以通过以下方式确定第一设备100是否具有第一账号的所有权:解密出令牌信息中的第一设备100的标识,与回收请求中携带的明文的第一设备100的标识匹配,如果匹配成功,则确定发送回收请求的设备具有第一账号的所有权。
步骤504,服务器300触发第一设备100从中止基于第一账号登录第一应用的状态,切换为使用第一账号登录第一应用的状态。
本实施例中通过令牌信息对发送回收请求的第一设备100进行验证,确定具有第一账号的所有权时,中止为第二设备200分配的对应第一账号的使用权限,并恢复第一设备100使用第一账号登录第一应用的状态,便于基于第一设备100使用第一应用。
实施例五
与前述实施例的记载相对应,本实施例还记载一种第一设备,参见图9,包括:
获取单元110,用于基于第一设备100用户持有的对应第一应用的第一账号从服务器300获取令牌信息,令牌信息为服务器300基于第一账号生成,用于表征第一设备100用户拥有第一账号的所有权;
第一传输单元120,用于将令牌信息在设备群的设备中以限制复制的方式进行传输,令牌信息还用于供服务器300对设备群中具有令牌信息的第二设备200进行鉴权,在鉴权通过时为第二设备200分配第一账号的使用权限,以支持第二设备200使用第一账号登录第一应用;
切换单元130,用于确定第二设备200基于第一账号的使用权限登录第一应用,从基于第一账号登录第一应用的状态切换为中止使用第一账号登录第一应用的状态。
获取单元110,还用于通过令牌信息请求从服务器300获取令牌信息,令牌信息请求用于供服务器300生成对应第一账户的标识,加密标识得到令牌信息,并维护第一账号与标识的对应关系;
第一账号与标识的对应关系用于供服务器300从令牌信息解密出标识、并基于对应关系确定与标识对应的第一账号,分配第一账号的使用权限给第二设备200。
获取单元110,还用于通过令牌信息请求从服务器300获取令牌信息,令牌信息请求用于供服务器300加密标识得到令牌信息;
令牌信息和第一账号的信息还用于供第二设备200发送至服务器300,使服务器300验证第一账号与令牌信息中携带的标识是否匹配,在匹配时分配第一账号的使用权限给第二设备200。
令牌信息中携带时限信息,用于供服务器300检测第二设备200获取的第一账号的使用权限是否处于有效期,并在超出有效期时中止分配给第二设备200的第一账号的使用权限。
第一设备100还包括:
回收单元140,用于向服务器300发送针对令牌信息的回收请求,回收请求中携带令牌信息,令牌信息用于供服务器300确定第一设备100用户拥有第一账号的所有权时,中止为第二设备200分配的对应第一账号的使用权限;
切换单元130,还用于从中止使用第一账号登录第一应用的状态切换为使用第一账号登录第一应用的状态。
令牌信息还用于供服务器300检测设备群中分配有对应第一账号的使用权限的第二设备200是否具有令牌信息,在不具有时中止为第二设备200分配的对应第一账号的使用权限。
实际实施时,第一设备100中的各单元执行的逻辑处理功能可以由第一设备100中的处理器、微处理器(MCU)、专用集成电路(ASIC)或逻辑可编程门阵列(FPGA)实现,第一设备100中与第二设备200、以及与服务器300的通信功能可由第一设备100中的WiFi通信芯片、蜂窝通信芯片以及相应的外围电路和天线实现。
实施例六
与前述实施例的记载相对应,本实施例还记载一种服务器300,参见图10,包括:
令牌单元310,用于基于第一设备100用户持有的对应第一应用的第一账号,生成对应第一账号的令牌信息,令牌信息表征第一设备100用户拥有第一账号的所有权;
第二传输单元320,用于将令牌信息发送至第一设备100,令牌信息用于供第一设备100在设备群的设备中以限制复制的方式进行传输;
鉴权单元330,用于基于令牌信息对设备群中具有令牌信息的第二设备200进行鉴权,在鉴权通过时为第二设备200分配第一账号的使用权限,以支持第二设备200使用第一账号登录第一应用;
切换触发单元340,用于确定第二设备200基于第一账号的使用权限登录第一应用,触发第一设备100从基于第一账号登录第一应用的状态切换为中止使用第一账号登录第一应用的状态。
令牌单元310,包括:接收模块,用于接收第一设备100发送的令牌信息请求时,生成对应第一账户的标识;加密模块,用于加密标识得到令牌信息,并维护第一账号与标识的对应关系。
鉴权单元330包括:
解密模块,用于从第二设备200发送的令牌信息解密出标识;
分配单元,用于基于对应关系确定与标识对应的第一账号,分配第一账号的使用权限给第二设备200;或者,
分配单元用于基于对应关系验证第二设备200发送的第一账号与令牌信息中携带的标识是否匹配,在匹配时分配第一账号的使用权限给第二设备200。
令牌信息中携带时限信息;鉴权单元330还用于基于时限信息检测为第二设备200获取的第一账号的使用权限是否处于有效期;超出有效期时,中止为第二设备200分配的对应第一应用的使用权限。
传输单元320还用于接收第一设备100发送的针对令牌信息的回收请求,回收请求中携带令牌信息;鉴权单元330,还用于基于令牌信息确定第一设备100用户拥有第一账号的所有权时,中止为第二设备200分配的对应第一账号的使用权限;切换单元,还用于触发第一设备100从中止使用第一账号登录第一应用的状态切换为使用第一账号登录第一应用的状态。
鉴权单元330还用于检测设备群中分配有对应第一账号的使用权限的第二设备200是否具有令牌信息,在不具有令牌信息时,中止为第二设备200分配的对应第一账号的使用权限。
实际实施时,服务器300中的各单元执行的逻辑处理功能可以由服务器300中的处理器、微处理器(MCU)、专用集成电路(ASIC)或逻辑可编程门阵列(FPGA)实现,服务器300中与第二设备200、以及与第一设备100的通信功能可由服务器300的WiFi通信芯片、蜂窝通信芯片以及相应的外围电路和天线实现。
实施例七
本发明实施例还记载一种图2所示的鉴权系统,包括前述的第一设备100、以及服务器300。
实施例八
本实施例记载一种计算机可读介质,可以为ROM(例如,只读存储器、FLASH存储器、转移装置等)、磁存储介质(例如,磁带、磁盘驱动器等)、光学存储介质(例如,CD-ROM、DVD-ROM、纸卡、纸带等)以及其他熟知类型的程序存储器;计算机可读介质中存储有计算机可执行指令(例如腾讯视频等投射应用的二进制可执行指令),当执行指令时,引起第一设备100至少一个处理器执行包括以下的操作:
基于第一设备100用户持有的对应第一应用的第一账号从服务器300获取令牌信息,令牌信息为服务器300基于第一账号生成,用于表征第一设备100用户拥有第一账号的所有权;
将令牌信息在设备群的设备中以限制复制的方式进行传输,令牌信息还用于供服务器300对设备群中具有令牌信息的第二设备200进行鉴权,在鉴权通过时为第二设备200分配第一账号的使用权限,以支持第二设备200使用第一账号登录第一应用;
确定第二设备200基于第一账号的使用权限登录第一应用,从基于第一账号登录第一应用的状态切换为中止使用第一账号登录第一应用的状态。
实施例九
本实施例记载一种计算机可读介质,可以为ROM(例如,只读存储器、FLASH存储器、转移装置等)、磁存储介质(例如,磁带、磁盘驱动器等)、光学存储介质(例如,CD-ROM、DVD-ROM、纸卡、纸带等)以及其他熟知类型的程序存储器;计算机可读介质中存储有计算机可执行指令(例如腾讯视频等投射应用的二进制可执行指令),当执行指令时,引起服务器300至少一个处理器执行包括以下的操作:
基于第一设备100用户持有的对应第一应用的第一账号,生成对应第一账号的令牌信息,令牌信息表征第一设备100用户拥有第一账号的所有权;
将令牌信息发送至第一设备100,令牌信息用于供第一设备100在设备群的设备中以限制复制的方式进行传输;
基于令牌信息对设备群中具有令牌信息的第二设备200进行鉴权,在鉴权通过时为第二设备200分配第一账号的使用权限,以支持第二设备200使用第一账号登录第一应用;
确定第二设备200基于第一账号的使用权限登录第一应用,触发第一设备100从基于第一账号登录第一应用的状态切换为中止使用第一账号登录第一应用的状态。
综上所述,第一设备基于第一应用的第一账号获取令牌信息,将令牌信息作为设备群中的设备使用第一账号登录第一应用的鉴权凭证,在第一设备用户不必告知设备群中的设备用户与第一账号相应的密钥的前提下,即可对具有令牌信息的第二设备进行鉴权认证,避免了第一账号的密钥泄露的风险;同时,在第二设备基于第一账号登录第一应用时,第一设备还暂停使用第一账号登录第一应用以避免第一账号的登录冲突问题。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、随机存取存储器(RAM,Random Access Memory)、只读存储器(ROM,Read-Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、RAM、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (20)

1.一种鉴权方法,其特征在于,所述方法包括:
第一设备基于第一设备用户持有的对应第一应用的第一账号从服务器获取令牌信息,所述令牌信息为所述服务器基于所述第一账号生成,所述令牌信息中附有数字签名或数字证书,用于表征所述第一设备用户拥有所述第一账号的所有权;
将所述令牌信息在设备群的设备中以限制复制的方式进行传输,所述令牌信息还用于供所述服务器对所述设备群中具有所述令牌信息的第二设备进行鉴权,在鉴权通过时为所述第二设备分配所述第一账号的使用权限,以支持所述第二设备使用所述第一账号登录所述第一应用;
所述令牌信息中携带时限信息,用于供所述服务器检测所述第二设备获取的所述第一账号的使用权限是否处于有效期,并在超出有效期时中止分配给所述第二设备的所述第一账号的使用权限;
确定所述第二设备基于所述第一账号的使用权限登录所述第一应用,从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态。
2.如权利要求1所述的方法,其特征在于,所述第一设备基于第一设备用户持有的对应第一应用的第一账号从服务器获取令牌信息,包括:
所述第一设备通过令牌信息请求从所述服务器获取所述令牌信息,所述令牌信息请求用于供所述服务器生成对应所述第一账户的标识;
加密所述标识得到所述令牌信息,并维护所述第一账号与所述标识的对应关系。
3.如权利要求2所述的方法,其特征在于,
所述第一账号与所述标识的对应关系用于供所述服务器从所述令牌信息解密出所述标识、并基于所述对应关系确定与所述标识对应的所述第一账号,分配所述第一账号的使用权限给所述第二设备;或者,
所述令牌信息和所述第一账号的信息用于供所述第二设备发送至所述服务器,使所述服务器基于所述对应关系验证所述第二设备发送的所述第一账号与所述令牌信息中携带的所述标识是否匹配,在匹配时分配所述第一账号的使用权限给所述第二设备。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
向所述服务器发送针对所述令牌信息的回收请求,所述回收请求中携带的所述令牌信息用于供所述服务器确定所述第一设备用户拥有所述第一账号的所有权时,中止为所述第二设备分配的对应所述第一账号的使用权限;
从中止使用所述第一账号登录所述第一应用的状态切换为恢复使用所述第一账号登录所述第一应用的状态。
5.如权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:
所述令牌信息还用于供所述服务器检测所述设备群中分配有对应所述第一账号的使用权限的所述第二设备是否具有所述令牌信息,在不具有时中止为所述第二设备分配的对应所述第一账号的使用权限。
6.一种鉴权方法,其特征在于,所述方法包括:
服务器基于第一设备用户持有的对应第一应用的第一账号,生成对应所述第一账号的令牌信息,所述令牌信息中附有数字签名或数字证书,所述令牌信息表征所述第一设备用户拥有所述第一账号的所有权;
将所述令牌信息发送至第一设备,所述令牌信息用于供所述第一设备在设备群的设备中以限制复制的方式进行传输;
基于所述令牌信息对所述设备群中具有所述令牌信息的第二设备进行鉴权,在鉴权通过时为所述第二设备分配所述第一账号的使用权限,以支持所述第二设备使用所述第一账号登录所述第一应用;
基于所述令牌信息携带的时限信息检测所述第二设备获取的所述第一账号的使用权限是否处于有效期,并在超出有效期时,中止为所述第二设备分配的对应所述第一应用的使用权限;
确定所述第二设备基于所述第一账号的使用权限登录所述第一应用,触发所述第一设备从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态。
7.如权利要求6所述的方法,其特征在于,
所述服务器基于第一设备用户持有的对应第一应用的第一账号,生成对应所述第一账号的令牌信息,包括:
接收所述第一设备发送的令牌信息请求时,生成对应所述第一账户的标识;
加密所述标识得到所述令牌信息,并维护所述第一账号与所述标识的对应关系。
8.如权利要求7所述的方法,所述基于所述令牌信息对所述设备群中具有所述令牌信息的第二设备进行鉴权,包括:
从所述第二设备发送的所述令牌信息解密出所述标识;
基于所述对应关系确定与所述标识对应的所述第一账号,分配所述第一账号的使用权限给所述第二设备;
所述基于所述令牌信息对所述设备群中具有所述令牌信息的第二设备进行鉴权,包括:
从所述第二设备发送的所述令牌信息解密出所述标识;
基于所述对应关系验证所述第二设备发送的所述第一账号与所述第二设备发送的所述令牌信息中携带的所述标识是否匹配,在匹配时分配所述第一账号的使用权限给所述第二设备。
9.如权利要求6所述的方法,其特征在于,所述方法还包括:
接收所述第一设备发送的针对所述令牌信息的回收请求,所述回收请求中携带所述令牌信息;
基于所述令牌信息确定所述第一设备用户拥有所述第一账号的所有权时,中止为所述第二设备分配的对应所述第一账号的使用权限;
触发所述第一设备从中止使用所述第一账号登录所述第一应用的状态切换为恢复使用所述第一账号登录所述第一应用的状态。
10.如权利要求6至9任一项所述的方法,其特征在于,所述方法还包括:
检测所述设备群中分配有对应所述第一账号的使用权限的所述第二设备是否具有所述令牌信息,
在不具有所述令牌信息时,中止为所述第二设备分配的对应所述第一账号的使用权限。
11.一种第一设备,其特征在于,所述第一设备包括:
获取单元,用于基于第一设备用户持有的对应第一应用的第一账号从服务器获取令牌信息,所述令牌信息为所述服务器基于所述第一账号生成,所述令牌信息中附有数字签名或数字证书,用于表征所述第一设备用户拥有所述第一账号的所有权;
第一传输单元,用于将所述令牌信息在设备群的设备中以限制复制的方式进行传输,所述令牌信息还用于供所述服务器对所述设备群中具有所述令牌信息的第二设备进行鉴权,在鉴权通过时为所述第二设备分配所述第一账号的使用权限,以支持所述第二设备使用所述第一账号登录所述第一应用;以及
用于基于所述令牌信息携带的时限信息供所述服务器检测所述第二设备获取的所述第一账号的使用权限是否处于有效期,并在超出有效期时中止分配给所述第二设备的所述第一账号的使用权限;
切换单元,用于确定所述第二设备基于所述第一账号的使用权限登录所述第一应用,从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态。
12.如权利要求11所述的第一设备,其特征在于,
所述获取单元,还用于通过令牌信息请求从所述服务器获取所述令牌信息,所述令牌信息请求用于供所述服务器生成对应所述第一账户的标识,加密所述标识得到所述令牌信息,并维护所述第一账号与所述标识的对应关系。
13.如权利要求11或12任一项所述的第一设备,其特征在于,所述第一设备还包括:
回收单元,用于向所述服务器发送针对所述令牌信息的回收请求,所述回收请求中携带所述令牌信息,所述令牌信息用于供所述服务器确定所述第一设备用户拥有所述第一账号的所有权时,中止为所述第二设备分配的对应所述第一账号的使用权限;
所述切换单元,还用于从中止使用所述第一账号登录所述第一应用的状态切换为使用所述第一账号登录所述第一应用的状态。
14.一种服务器,其特征在于,所述服务器包括:
令牌单元,用于基于第一设备用户持有的对应第一应用的第一账号,生成对应所述第一账号的令牌信息,所述令牌信息中附有数字签名或数字证书,所述令牌信息表征所述第一设备用户拥有所述第一账号的所有权;
第二传输单元,用于将所述令牌信息发送至第一设备,所述令牌信息用于供所述第一设备在设备群的设备中以限制复制的方式进行传输;
鉴权单元,用于基于所述令牌信息对所述设备群中具有所述令牌信息的第二设备进行鉴权,在鉴权通过时为所述第二设备分配所述第一账号的使用权限,以支持所述第二设备使用所述第一账号登录所述第一应用;以及
用于基于所述令牌信息携带的时限信息检测所述第二设备获取的所述第一账号的使用权限是否在有效期,并在超出有效期时,中止为所述第二设备分配的对应所述第一应用的使用权限;
触发单元,用于确定所述第二设备基于所述第一账号的使用权限登录所述第一应用,触发所述第一设备从基于所述第一账号登录所述第一应用的状态切换为中止使用所述第一账号登录所述第一应用的状态。
15.如权利要求14所述的服务器,其特征在于,
所述令牌单元,包括:
接收模块,用于接收所述第一设备发送的令牌信息请求时,生成对应所述第一账户的标识;
加密模块,用于加密所述标识得到所述令牌信息,并维护所述第一账号与所述标识的对应关系。
16.如权利要求15所述的服务器,其特征在于,
所述鉴权单元包括:
解密模块,用于从所述第二设备发送的所述令牌信息解密出所述标识;
分配单元,用于基于所述对应关系确定与所述标识对应的所述第一账号,分配所述第一账号的使用权限给所述第二设备;或者,用于基于所述对应关系验证所述第二设备发送的所述第一账号与所述令牌信息中携带的所述标识是否匹配,在匹配时分配所述第一账号的使用权限给所述第二设备。
17.如权利要求14所述的服务器,其特征在于,
所述传输单元还用于接收所述第一设备发送的针对所述令牌信息的回收请求,所述回收请求中携带所述令牌信息;
所述鉴权单元,还用于基于所述令牌信息确定所述第一设备用户拥有所述第一账号的所有权时,中止为所述第二设备分配的对应所述第一账号的使用权限;
所述切换单元,还用于触发所述第一设备从中止使用所述第一账号登录所述第一应用的状态切换为使用所述第一账号登录所述第一应用的状态。
18.如权利要求14至17任一项所述的服务器,其特征在于,
所述鉴权单元还用于检测所述设备群中分配有对应所述第一账号的使用权限的所述第二设备是否具有所述令牌信息,在不具有所述令牌信息时,中止为所述第二设备分配的对应所述第一账号的使用权限。
19.一种鉴权系统,其特征在于,包括权利要求11至13任一项所述的第一设备、以及权利要求14至18任一项所述的服务器。
20.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-10任一项所述的鉴权方法。
CN201510711862.XA 2015-10-28 2015-10-28 鉴权方法、设备及系统 Active CN105245541B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201510711862.XA CN105245541B (zh) 2015-10-28 2015-10-28 鉴权方法、设备及系统
PCT/CN2016/084205 WO2017071208A1 (zh) 2015-10-28 2016-05-31 鉴权方法、设备、服务器、系统及存储介质
US15/707,783 US10666440B2 (en) 2015-10-28 2017-09-18 Authentication method, device, server, and system, and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510711862.XA CN105245541B (zh) 2015-10-28 2015-10-28 鉴权方法、设备及系统

Publications (2)

Publication Number Publication Date
CN105245541A CN105245541A (zh) 2016-01-13
CN105245541B true CN105245541B (zh) 2020-02-18

Family

ID=55043041

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510711862.XA Active CN105245541B (zh) 2015-10-28 2015-10-28 鉴权方法、设备及系统

Country Status (3)

Country Link
US (1) US10666440B2 (zh)
CN (1) CN105245541B (zh)
WO (1) WO2017071208A1 (zh)

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105187282B (zh) * 2015-08-13 2018-10-26 小米科技有限责任公司 智能家居设备的控制方法、装置、系统及设备
CN105245541B (zh) * 2015-10-28 2020-02-18 腾讯科技(深圳)有限公司 鉴权方法、设备及系统
US10652365B2 (en) * 2016-01-06 2020-05-12 Adobe Inc. Robust computing device identification framework
CN106599696B (zh) * 2016-11-14 2019-04-30 浙江麦知网络科技有限公司 一种信息访问系统
CN107018123B (zh) * 2016-11-14 2020-05-15 郭铮铮 一种管理设备访问权限的方法、装置和系统
CN109428850B (zh) * 2017-06-30 2021-06-25 北京橙鑫数据科技有限公司 数据通信的方法、装置以及系统
CN109587364A (zh) * 2017-09-29 2019-04-05 中国移动通信集团公司 处理流量数据红包的方法、服务器及设备
CN109756447B (zh) * 2017-11-01 2022-03-29 华为技术有限公司 一种安全认证方法及相关设备
CN108667791B (zh) * 2017-12-18 2021-01-01 中国石油天然气股份有限公司 身份验证方法
CN108365958B (zh) * 2018-03-01 2021-06-29 广州南方人才资讯科技有限公司 账号登录的验证方法、装置、计算机设备和存储介质
KR102539598B1 (ko) * 2018-04-05 2023-06-05 삼성전자주식회사 네트워크 장치 및 네트워크 장치의 제어 방법
WO2020047710A1 (zh) * 2018-09-03 2020-03-12 华为技术有限公司 一种登录方法、令牌发送方法及设备
US10789352B2 (en) * 2018-10-19 2020-09-29 Slack Technologies, Inc. Multidevice user authentication in group-based communication systems
KR102657527B1 (ko) * 2019-03-21 2024-04-15 삼성전자주식회사 계정 관련 정보에 기반하여 장치를 설정하는 방법 및 그 전자 장치
CN110473063B (zh) * 2019-08-05 2024-07-16 腾讯科技(深圳)有限公司 一种智能设备管理方法、设备、系统及存储介质
CN113225188B (zh) * 2020-01-19 2023-09-22 华为技术有限公司 登录认证方法、装置与系统
CN111814131B (zh) * 2020-06-15 2024-03-08 北京天空卫士网络安全技术有限公司 一种设备注册和配置管理的方法和装置
CN111880953A (zh) * 2020-07-31 2020-11-03 北京致远互联软件股份有限公司 一种应用程序通信方法、装置、电子设备及存储介质
CN112235246A (zh) * 2020-09-14 2021-01-15 上海硬通网络科技有限公司 跨终端的账号登录方法、装置及电子设备
CN112084485B (zh) * 2020-09-16 2023-09-15 腾讯科技(深圳)有限公司 数据获取方法、装置、设备以及计算机存储介质
CN114254332A (zh) * 2020-09-21 2022-03-29 中移物联网有限公司 一种资源授权方法、装置、电子设备和可读存储介质
CN112399216B (zh) * 2020-10-27 2023-05-09 维沃移动通信(杭州)有限公司 资源分享方法、装置和电子设备
CN113422752B (zh) * 2020-10-30 2024-03-26 阿里巴巴集团控股有限公司 用户登录的处理方法、装置及电子设备
US11882116B2 (en) * 2020-12-16 2024-01-23 Synchronoss Technologies, Inc Method and system for near field communication authorization sharing
CN112714122B (zh) * 2020-12-24 2022-11-15 汉海信息技术(上海)有限公司 一种通信系统和方法
CN113407427A (zh) * 2021-06-18 2021-09-17 北京小米移动软件有限公司 校验信息处理方法及装置、终端设备及存储介质
US11463130B1 (en) * 2021-10-13 2022-10-04 Roku, Inc. Proving physical possession of internet-of-things (IoT) devices
DE102022106864A1 (de) 2022-03-23 2023-09-28 Dr. Ing. H.C. F. Porsche Aktiengesellschaft Verfahren zum Feststellen einer Zugehörigkeit eines tragbaren Gerätes zu einer assoziierten Gruppe von tragbaren Geräten auf Basis einer Blockchain
CN115208648B (zh) * 2022-07-05 2023-04-28 中电金信软件有限公司 一种登录令牌生成方法、装置、电子设备及存储介质
CN117641359A (zh) * 2022-08-17 2024-03-01 荣耀终端有限公司 数据处理方法及电子设备
CN117156438B (zh) * 2023-02-03 2024-07-16 荣耀终端有限公司 账号登录方法及终端设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506492A (zh) * 2014-11-28 2015-04-08 北京奇艺世纪科技有限公司 一种多终端帐号同步的方法及装置
CN104994073A (zh) * 2015-05-29 2015-10-21 北京奇虎科技有限公司 手机终端、服务器及其帐号与设备绑定控制、执行方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6360254B1 (en) * 1998-09-15 2002-03-19 Amazon.Com Holdings, Inc. System and method for providing secure URL-based access to private resources
US8171303B2 (en) * 2004-11-03 2012-05-01 Astav, Inc. Authenticating a login
US9277017B2 (en) * 2012-10-30 2016-03-01 Netiq Corporation Techniques for device independent session migration
US10033719B1 (en) * 2012-12-20 2018-07-24 Amazon Technologies, Inc. Mobile work platform for remote data centers
US9323916B1 (en) * 2013-02-14 2016-04-26 Google Inc. Secure authorization for accessing content on a shareable device
US9549318B2 (en) * 2013-10-10 2017-01-17 Shaw Cablesystems G.P. System and method for delayed device registration on a network
CN105245541B (zh) * 2015-10-28 2020-02-18 腾讯科技(深圳)有限公司 鉴权方法、设备及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506492A (zh) * 2014-11-28 2015-04-08 北京奇艺世纪科技有限公司 一种多终端帐号同步的方法及装置
CN104994073A (zh) * 2015-05-29 2015-10-21 北京奇虎科技有限公司 手机终端、服务器及其帐号与设备绑定控制、执行方法

Also Published As

Publication number Publication date
US10666440B2 (en) 2020-05-26
WO2017071208A1 (zh) 2017-05-04
US20180006818A1 (en) 2018-01-04
CN105245541A (zh) 2016-01-13

Similar Documents

Publication Publication Date Title
CN105245541B (zh) 鉴权方法、设备及系统
US10389531B2 (en) Authentication system and authentication method
CA2968051C (en) Systems and methods for authentication using multiple devices
CN106657152B (zh) 一种鉴权方法及服务器、访问控制装置
EP3324572B1 (en) Information transmission method and mobile device
CN107438230B (zh) 安全无线测距
US9571164B1 (en) Remote authentication using near field communication tag
CN111737366B (zh) 区块链的隐私数据处理方法、装置、设备以及存储介质
WO2017210145A1 (en) Flexible provisioning of attestation keys in secure enclaves
US10601590B1 (en) Secure secrets in hardware security module for use by protected function in trusted execution environment
CN108111497B (zh) 摄像机与服务器相互认证方法和装置
KR102218572B1 (ko) 복제 공격을 방지하기 위한 처리 방법, 및 서버 및 클라이언트
US10237057B2 (en) Method and system for controlling the exchange of privacy-sensitive information
CN105512576A (zh) 一种数据安全存储的方法及电子设备
JP5380583B1 (ja) デバイス認証方法及びシステム
US11424915B2 (en) Terminal registration system and terminal registration method with reduced number of communication operations
CN106650373A (zh) 一种sim卡信息保护方法及装置
EP4172821B1 (en) Method and system of securing vpn communications
KR20120072032A (ko) 모바일 단말의 상호인증 시스템 및 상호인증 방법
CN107026730B (zh) 数据处理方法、装置及系统
CN106992978B (zh) 网络安全管理方法及服务器
WO2016035466A1 (ja) 通信システム、サーバ装置用プログラム及びこれを記録した記録媒体、通信装置用プログラム及びこれを記録した記録媒体、端末装置用プログラム及びこれを記録した記録媒体
CN112769789A (zh) 一种加密通信方法及系统
US9900300B1 (en) Protection against unauthorized cloning of electronic devices
US11606196B1 (en) Authentication system for a multiuser device

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant