发明内容
有鉴于此,本申请提供的技术方案,可以简化自助设备的授权过程,并且避免授权证书外泄,有助于提升授权安全性,并实现全自动远程授权。
为实现上述目的,本申请提供技术方案如下:
根据本申请的第一方面,提出了一种设备自动授权方法,应用于授权服务器,包括:
接收由设备运营商发起的针对自助设备的注册请求,并根据所述注册请求中包含为所述自助设备预配置的唯一设备编号,执行设备注册操作;
接收由所述自助设备发起的授权请求,并当所述授权请求中的唯一设备编号已注册时,向所述自助设备返回授权证书。
根据本申请的第二方面,提出了一种设备自动授权方法,应用于自助设备,包括:
当授权流程被触发时,向授权服务器发起授权请求,该授权请求中包含为所述自助设备预配置的唯一设备编号,以由所述授权服务器判断接收到的授权请求中的唯一设备编号是否已注册;
接收并保存所述授权服务器在所述唯一设备编号已注册的情况下返回的授权证书。
根据本申请的第三方面,提出了一种设备自动授权装置,应用于授权服务器,包括:
注册单元,接收由设备运营商发起的针对自助设备注册请求,并根据所述注册请求中包含为所述自助设备预配置的唯一设备编号,执行设备注册操作;
授权单元,接收由所述自助设备发起的授权请求,并当所述授权请求中的唯一设备编号已注册时,向所述自助设备返回授权证书。
根据本申请的第四方面,提出了一种设备自动授权装置,应用于自助设备,包括:
授权请求单元,当授权流程被触发时,向授权服务器发起授权请求,该授权请求中包含为所述自助设备预配置的唯一设备编号,以由所述授权服务器判断接收到的授权请求中的唯一设备编号是否已注册;
证书管理单元,接收并保存所述授权服务器在所述唯一设备编号已注册的情况下返回的授权证书。
本申请通过基于唯一设备编号的注册操作和基于授权请求的证书发放机制,可以简化自助设备的授权过程,并且避免授权证书外泄,有助于提升授权安全性,并实现全自动远程授权。
具体实施方式
自助设备由设备生产商生产后,由设备运营商将其部署在规划的位置。通过由授权服务器为自助设备进行授权,则用户可以使用该自助设备实现各种操作,比如用于实现自助交易,例如通过自助贩卖机购买商品、通过自助收银机缴纳费用等。
针对与自助设备相关联的设备生产商和设备运营商,可以由设备生产商在生产自助设备时直接进行授权,比如授权服务器针对自助设备生成和发放授权证书,并由设备生产商直接将授权证书写入自助设备中,或者也可以由设备运营商在部署或需要部署自助设备时写入授权证书。但正如背景技术中所述,该过程可能存在设备生产商泄露授权证书的风险,比如不法分子可能将泄露的授权证书用于非法交易,甚至危及用户的交易安全。
为此,背景技术提及了基于授权码的验证方式,以解决直接写入授权证书时可能存在的证书泄露风险。然而,由于自助设备的写入需要两方面的支持:第一,自助设备本身支持写入功能,但大部分自助设备并不具备该功能;第二,需要专门的工作人员执行授权码的写入工作,但为了提高安全性授权码本身必然较为复杂,容易导致输入错误,这必将导致较高的工作量,且工作效率很低,同时可能产生泄漏风险。
因此,为了在避免安全性风险的同时,简化自助设备的授权过程,降低对自助设备的功能要求,提升授权过程的执行效率,本申请提出了一种新的设备自动授权方法,该方法直接应用于自助设备和授权服务器两侧,下面结合图1和图2,分别从自助设备和授权服务器两侧进行详细描述。
请参考图1,图1示出了根据本申请的一示例性实施例的设备自动授权方法,应用于自助设备,包括:
步骤102,当授权流程被触发时,向授权服务器发起授权请求,该授权请求中包含为所述自助设备预配置的唯一设备编号,以由所述授权服务器判断接收到的授权请求中的唯一设备编号是否已注册;
在本实施例中,自助设备的唯一设备编号可以为SN码,用于区分不同的自助设备。具体地,SN码可以由设备生产商或设备运营商配置和生成,或者由设备生产商或设备运营商进行算法配置并在自助设备中直接生成,只要能够生成该SN码即可,本申请并不限制生成SN码的具体方式。
为了提升授权安全性,可以通过提升SN码的复杂程度等方式,尽可能降低SN码被猜测的可能性。具体地,比如根据自助设备的设备生产商信息、生产日期、生产人员信息、设备生产批次、随机字符串等,生成对应的SN码。
其中,所述的“授权流程”的触发,具体可以是指对“授权流程”的开启操作。具体地,授权流程可以在自助设备完整部署后自动触发,以满足无人值守的应用需求;或者,基于可控需求,也可以由设备运营商来触发,比如按下自助设备上的按键,或者通过遥控触发、网络触发等。
步骤106,接收并保存所述授权服务器在所述唯一设备编号已注册的情况下返回的授权证书。本领域技术人员应该理解的是,授权证书具体可以是指数字证书,该授权证书可以用于与各种类型的服务器进行通讯时的身份验证,以便进行授权的自助设备可以进行自助交易。
对应地,图2示出了应用于授权服务器的设备自动授权方法,包括:
步骤202,接收由设备运营商发起的针对自助设备的注册请求;
在本实施例中,设备运营商具体可以通过账户登录机制,在授权服务器处实现账户登录,从而基于该登录账户发起对自助设备的注册请求。
步骤204,根据所述注册请求中包含为所述自助设备预配置的唯一设备编号,执行设备注册操作;
步骤206,接收由所述自助设备发起的授权请求;
步骤208,当所述授权请求中的唯一设备编号已注册时,向所述自助设备返回授权证书。
本实施例中,以自助交易的自助设备进行授权的过程为例进行说明:授权服务器可以对自助设备进行注册和授权方面的管理,自助设备在得到授权服务器下发的授权证书后,就可以与自助设备之间实现自助交易。当然,本实施例中,基于实际应用,可以使用不同的服务器,以作为授权服务器和自助交易服务器,或者也可以在同一服务器上实现授权服务器和自助交易服务器的功能。
由上述技术方案可知,本申请的技术方案中,基于SN码的注册和授权请求的发起,使得整个授权过程中,授权证书直接由授权服务器发放至自助设备中,避免了设备生产商和设备运营商对授权证书的接触,有效提升了安全性。同时,通过将授权证书直接发放至自助设备中,则无需向自助设备输入授权证书或授权码等信息,无需为自助设备配置对应的功能和硬件设备,有助于控制自助设备的生产成本。
请参考图3,下面将结合自助设备和授权服务器两端,对上述的授权过程进行详细描述,其过程可以包括:
步骤302,在设备生产商生产自助设备的过程中,为每台自助设备生成对应的唯一设备编号,比如SN码。
具体地,设备生产商可以根据预设要求直接生成SN码后,通过输入设备(可以是自助设备自带的,也可以是外接的独立设备)写入对应的自助设备中,也可以由设备生产商将算法配置于自助设备中,并由自助设备自行生成并存储SN码;
步骤304,由设备运营商向授权服务器发起注册请求,该注册请求中包含相应自助设备的SN码。
步骤306,根据接收到的注册请求,授权服务器提取出其中的SN码,并对该SN码进行注册。
具体地,授权服务器可以维护如表1所示的注册信息表,则通过将SN码写入该注册信息表中的表现内,即可认为对相应的自助设备完成了注册,并且还可以记录如“注册时间”、“运营商信息”等辅助信息。
注册时间 |
SN码 |
运营商信息 |
2013.10.25 |
36ac29561 |
运营商A |
2014.05.06 |
63jx58959 |
运营商B |
… |
… |
… |
表1
步骤308,设备运营商还可以在授权服务器上为每台自助设备配置对应的可授权期限。
具体地,比如表2示出了为每个SN码配置的可授权期限,即设置一个时间窗口,使得在该时间窗口内发起的授权请求有效,否则无效。当然,可授权期限并非必须设置,并且设备运营商也可以不必一一配置可授权期限,而可以采用预设长度的可授权期限,比如从“注册时间”起的3个月内等。那么,表2中的SN码为“36ac29561”的自助设备,其注册时间为2013年10月25日,其可授权期限为设备运营商配置的1个月,即截止时间为2013年11月25日;而SN码为“63jx58959”的自助设备,其注册时间为2014年05月06日,其可授权期限为预设长度3个月,即截止时间为2014年08月06日。
注册时间 |
SN码 |
可授权期限 |
2013.10.25 |
36ac29561 |
2013.11.25 |
2014.05.06 |
63jx58959 |
2014.08.06 |
… |
… |
… |
表2
步骤310,授权服务器可以将注册成功的消息告知设备运营商。
步骤312,在授权流程被触发时,由自助设备向授权服务器发送授权请求,该授权请求内包含相应自助设备的SN码。
具体地,授权流程可以在自助设备完整部署后自动触发,以满足无人值守的应用需求;或者,基于可控需求,也可以由设备运营商来触发,比如按下自助设备上的按键,或者通过遥控触发、网络触发等。其中,授权服务器可以是任一授权平台的服务器,比如“支付宝”平台的授权服务器。
步骤314,授权服务器提取授权请求中的SN码,并在如表1或表2所示的注册信息表中查找该SN码,若查找到,则说明该SN码已注册,否则说明未注册。
步骤316,若存在对应的可授权期限,则需要确定当前时间点是否处于该SN码对应的可授权期限内,若处于该可授权期限内,则允许返回授权证书,否则不允许。
具体地,图4示出了一示例性实施例的对应于可授权期限的时间窗口示意图,假定在t1时间点对某个SN码进行了注册,并且可以该t1时间点或之后的任意时间点设置对应的可授权期限,比如设置为t2时间点。那么,在t1时间点和t2时间点之间发生的授权请求均应该被接受,并允许返回相应的授权证书,比如图4所示的授权请求1对应的t3时间点即处于t1与t2之间,则授权服务器应当返回授权证书(假定相应的SN码同样满足其他条件);而对于图4所示的授权请求2,由于其对应的t4时间点在可授权期限t2之后,则该授权请求2不应当被接受,即不允许返回授权证书。
步骤318,返回授权证书。为了确保安全性,授权服务器可以通过预配置的安全通道,将授权证书返回自助设备中。
本步骤中,假定当前的授权请求的SN码已注册并且处于可授权期限内。当然,在不满足上述假定条件时,可不返回任何信息,或者返回授权失败等信息。
步骤320,在返回授权证书的同时,授权服务器还可以将相应的SN码标记为已授权状态。
具体地,如表3所示,假定授权服务器在2013.11.25之前接收到SN码为“36ac29561”的自助设备发起的授权请求,则由于对应的设备状态为“已授权”,则说明该SN码已经被另一自助设备用于获取授权证书,因而为了避免不法分子通过该方式获取授权证书,即便该SN码满足“已注册”和“处于可授权期限内”的条件,仍然应当拒绝返回授权证书。而对于SN码为“63jx58959”的自助设备,当其满足“已注册”和“处于可授权期限内”的条件时,由于其设备状态为“未授权”,则应当返回授权证书,完成正常的授权过程。
注册时间 |
SN码 |
可授权期限 |
设备状态 |
2013.10.25 |
36ac29561 |
2013.11.25 |
已授权 |
2014.05.06 |
63jx58959 |
2014.08.06 |
未授权 |
… |
… |
… |
… |
表3
请参考图5,图5通过系统结构的形式描述了设备生产商、设备运营商、自助设备和授权服务器之间的交互关系。
具体地,由设备生产商生产得到自助设备,设备生产商可以通过生成并写入的方式,将SN码输入自助设备中,或者可以由自助设备直接生成SN码。
设备运营商从设备生产商处购买得到自助设备后,首先利用自助设备的SN码向授权服务器进行注册,即通过流程①向授权服务器发送包含SN码的注册请求,则授权服务器在注册成功后,可以通过流程②向设备运营商返回注册成功消息。
设备运营商在触发注册操作的同时或之后,可以在授权服务器上完成时限设置,即针对自助设备的SN码,设置相应的可授权时限。
设备运营商在完成对自助设备的部署后,可以触发自助设备的授权流程(当然,也可以由自助设备自动触发授权流程),具体通过流程③向授权服务器发送包含SN码的授权请求,则授权服务器在该SN码已注册、当前时间点处于可授权时限内、该SN码为未授权状态的情况下,通过流程④向自助设备返回授权证书,由自助设备存储该授权证书,作为一示例性实施例,该授权证书可以用于与自助交易服务器(图中未示出)进行自助交易。
其中,当授权服务器和自助交易服务器(用于举例,在非“自助交易”场景下,可以为其他服务器)为同一服务器时,则自助设备利用获得的授权证书,可以直接与图5所示的授权服务器进行自助交易,则此时的授权服务器同时承载了“自助交易服务器”的功能,比如该授权服务器可以为“支付宝”平台的服务器。当然,授权服务器和自助交易服务器可以为各自独立的服务器,则自助设备从授权服务器处获得授权证书,而利用该授权证书与自助交易服务器进行自助交易。
对应于上述的设备自动授权方法,本申请还提出了一种如图6所示的授权服务器。请参考图6,在硬件层面,该授权服务器包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成设备自动授权装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理操作的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
请参考图7,在软件实施方式中,设备自动授权装置可以包括:
注册单元,接收由设备运营商发起的针对自助设备的注册请求,并根据所述注册请求中包含为所述自助设备预配置的唯一设备编号,执行设备注册操作;
授权单元,接收由所述自助设备发起的授权请求,并当所述授权请求中的唯一设备编号已注册时,向所述自助设备返回授权证书。
可选的,还包括:
判断单元,判断接收到的授权请求中的唯一设备编号对应的设备状态;
当设备状态为已授权时,所述授权单元不返回授权证书;当设备状态为未授权时,若相应的唯一设备编号已注册,则所述授权单元返回授权证书,并将设备状态更新为已授权。
可选的,还包括:
获取单元,在接收到授权请求时,获取该授权请求中的唯一设备编号对应的预配置可授权期限;
在当前时间点不属于所述预配置可授权期限内时,所述授权单元不返回授权证书;在当前时间点属于所述预配置可授权期限内时,若相应的唯一设备编号已注册,则所述授权单元返回授权证书。
本申请还提出了一种如图8所示的自助设备,请参考图8,在硬件层面,该自助设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成设备自动授权装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理操作的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
请参考图9,在软件实施方式中,设备自动授权装置可以包括:
授权请求单元,当授权流程被触发时,向授权服务器发起授权请求,该授权请求中包含为所述自助设备预配置的唯一设备编号,以由所述授权服务器判断接收到的授权请求中的唯一设备编号是否已注册;
证书管理单元,接收并保存所述授权服务器在所述唯一设备编号已注册的情况下返回的授权证书。
因此,本申请通过基于唯一设备编号的注册操作和基于授权请求的证书发放机制,可以简化自助设备的授权过程,并且避免授权证书外泄,有助于提升授权安全性,并实现全自动远程授权。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。