CN106537864A - 一种访问资源的方法及装置 - Google Patents

一种访问资源的方法及装置 Download PDF

Info

Publication number
CN106537864A
CN106537864A CN201480078982.4A CN201480078982A CN106537864A CN 106537864 A CN106537864 A CN 106537864A CN 201480078982 A CN201480078982 A CN 201480078982A CN 106537864 A CN106537864 A CN 106537864A
Authority
CN
China
Prior art keywords
authorization
server
resource
client
sent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201480078982.4A
Other languages
English (en)
Other versions
CN106537864B (zh
Inventor
李克鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Cloud Computing Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201911097131.5A priority Critical patent/CN111030996B/zh
Publication of CN106537864A publication Critical patent/CN106537864A/zh
Application granted granted Critical
Publication of CN106537864B publication Critical patent/CN106537864B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/80Actions related to the user profile or the type of traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及通信技术领域,尤其涉及一种访问资源的方法及装置,在该方案中,即使客户端和授权服务器之间无法直接通信,客户端也可以通过资源服务器向授权服务器发起授权验证,进而,资源服务器在接收到授权服务器返回的授权响应时,再向客户端返回资源访问响应,解决了目前客户端无法访问资源的缺陷。

Description

一种访问资源的方法及装置 技术领域
本发明涉及通信技术领域,特别涉及一种访问资源的方法及装置。
背景技术
物联网(The Internet of things)是新一代信息技术的重要组成部分,是指通过各种信息传感设备,实时采集任何需要监控、连接、互动的物体或过程等各种需要的信息,与互联网结合形成的一个巨大网络。
通常,在物联网中,资源服务器(Resource Server,RS)上面包含一个或多个资源实体,资源实体可以是传感器,如湿度传感器、温度传感器、重力传感器、各种工业传感器等;资源实体也可以是控制器,如灯的开关、温度调节器、各种工业控制器等。
资源服务器是受限节点,受限节点相对于非受限节点,拥有有限的中央处理单元、有限的存储空间、有限的电池容量、有限的数据传输能力、有限的用户界面等,通常指传感器、控制器、智能对象、智能设备等。受限节点中的RAM(Random Access Memory,随机存储器)的存储容量小等于50千字节,非授权节点中的ROM(Read Only Memory,只读存储器)的存储容量小于等于为250千字节。由受限节点组成的网络通常称做受限网络,这样的网络通常传输通道不稳定、带宽有限而且不可预测、网络拓扑结构也不稳定。
在实际应用中,客户端需要访问资源服务器上的资源实体来获取相关的资源,但是,由于资源服务器上可能包含隐私数据,例如,在健康医疗的场景中,传感器上可能有用户的血压、心率等信息,为了提高数据的安全性,客户端要从资源服务器上获取这些隐私数据时,需要获得可以访问资源服务器的权限才行,因此,在物联网中对客户端进行授权显得尤为重要。
在实际应用中,授权服务器一般位于资源服务器的归属域,是非受限节 点,非受限节点是指,相对于受限节点,处理能力强、存储空间大、电池容量大、传输能力强、用户界面丰富等特点的设备,非授权节点中的RAM的存储容量大于50千字节,非授权节点中的ROM的存储容量大于为250千字节。授权服务器它代表资源拥有者来协助资源服务器行使对客户端的权限认证和授权控制,授权服务器的主要功能包括下列功能的一项或者多项:1)从资源拥有者处获取资源服务器的授权信息,即:哪个客户端对哪个资源服务器在什么条件下拥有哪些访问权限;2)协助资源服务器来建立客户端与资源服务器之间的安全数据传输通道,即:协商会话密钥或提供认证信息;3)根据客户端或资源服务器的请求,针对不同的客户端和不同的授权服务器上的不同的资源信息,返回授权信息;4)存储资源拥有者设置的授权规则,并根据授权规则,对来自于客户端或资源服务器的授权请求做授权验证。
现有技术中,客户端访问资源的过程如下:
步骤S1:客户端向资源服务器发送资源访问请求;
步骤S2:资源服务器向客户端返回授权服务器的地址信息;
步骤S3:客户端根据授权服务器的地址信息向授权服务器发送授权请求;
步骤S4:授权服务器向客户端返回授权响应;
其中,授权响应可以为授权验证成功响应,也可以为授权验证失败响应,授权验证成功响应中携带用于表示验证结果的授权验证凭证,若授权响应为授权验证成功响应时,还要执行步骤S5。
步骤S5:客户端向资源服务器发送资源访问请求;
其中,资源访问请求中携带授权验证凭证;
步骤S6:资源服务器根据授权验证凭证向客户端返回资源访问响应。
上述客户端授权时,客户端和授权服务器之间可以直接交互,是在客户端和授权服务器可以通信的情况下实现的,但是,实际应用中,当客户端和授权服务器之间无法直接通信,例如客户端和授权服务器之间处于离线状态时,此时,就无法实现客户端的授权,进而客户端也就无法从资源服务器中获取资源。
发明内容
本发明实施例提供一种访问资源的方法及装置,用以解决目前客户端和授权服务器无法通信时客户端无法访问资源的缺陷。
第一方面,提供一种访问资源的方法,应用于物联网场景下,包括:
向授权服务器发送授权请求;
确定未接收到所述授权服务器返回的授权响应后,向资源服务器发送资源访问请求,所述资源访问请求中携带用于指示所述资源服务器向所述授权服务器发送授权请求的第一指示信息;
接收所述资源服务器返回的资源访问响应,所述资源访问响应是所述资源服务器根据所述第一指示信息向所述授权服务器发送授权请求,并接收到所述授权服务器发送的授权响应后,根据所述资源访问请求返回的。
结合第一方面,在第一种可能的实现方式中,向授权服务器发送授权请求之前,还包括:
向资源目录服务器发送授权服务器地址获取请求,其中,所述授权服务器地址获取请求携带与所述授权服务器对应的资源服务器的标识信息;
接收所述资源目录服务器返回的所述授权服务器的地址信息;
向授权服务器发送授权请求,具体包括:
根据所述地址信息向所述授权服务器发送授权请求。
结合第一方面,或者第一方面的第一种可能的实现方式,在第二种可能的实现方式中,接收所述资源服务器返回的资源访问响应,具体包括:
接收所述资源服务器返回的授权验证失败响应;
其中,所述授权验证失败响应中携带所述客户端无权限的信息、所述客户端所拥有的权限与所述客户端所请求的权限不符合的信息、所述客户端对所述资源的请求的本地条件不满足预设规则的信息中的一种或者任意组合。
第二方面,提供一种访问资源的方法,应用于物联网场景下,包括:
接收客户端在未接收到授权服务器返回的授权响应后发送的资源访问请 求,所述资源访问请求中携带用于指示所述资源服务器向所述授权服务器发送授权请求的第一指示信息;
根据所述第一指示信息向所述授权服务器发送授权请求;
接收所述授权服务器返回的授权响应;
根据所述授权响应向所述客户端返回资源访问响应。
结合第二方面,在第一种可能的实现方式中,根据所述授权响应向所述客户端返回资源访问响应,具体包括:
根据所述授权响应向所述客户端返回授权验证失败响应;
其中,所述授权验证失败响应中携带所述客户端无权限的信息、所述客户端所拥有的权限与所述客户端所请求的权限不符合的信息、所述客户端对所述资源的请求的本地条件不满足预设规则的信息中的一种或者任意组合。
第三方面,提供一种访问资源的方法,应用于物联网场景下,包括:
接收客户端通过资源服务器发送的授权请求;
根据所述授权请求向所述资源服务器发送授权响应,以使得所述资源服务器根据所述授权响应向所述客户端返回资源访问响应。
第四方面,提供一种访问资源的方法,应用于物联网场景下,包括:
向授权服务器发送授权请求,所述授权请求中携带用于指示获取授权信息标识的指示信息;
接收所述授权服务器根据所述指示信息生成的所述授权信息的授权信息标识;
向资源服务器发送携带所述授权信息标识的资源访问请求;
接收所述资源服务器返回的资源访问响应,所述资源访问响应是所述资源服务器根据所述授权信息标识接收到所述授权服务器发送的授权响应后返回的。
结合第四方面,在第一种可能的实现方式中,向授权服务器发送授权请求之前,还包括:
向资源目录服务器发送授权服务器地址获取请求,其中,所述授权服务 器地址获取请求携带与所述授权服务器对应的资源服务器的标识信息;
接收所述资源目录服务器返回的所述授权服务器的地址信息;
向授权服务器发送授权请求,具体包括:
根据所述地址信息向所述授权服务器发送授权请求。
结合第四方面,或者第四方面的第一种可能的实现方式,在第二种可能的实现方式中,向资源服务器发送携带所述授权信息标识的资源访问请求之后,还包括:
接收所述资源服务器返回的授权验证失败响应;
其中,所述授权验证失败响应中携带所述客户端无权限的信息、所述客户端所拥有的权限与所述客户端所请求的权限不符合的信息、所述客户端对所述资源的请求的本地条件不满足预设规则的信息中的一种或者任意组合。
第五方面,提供一种访问资源的方法,应用于物联网场景下,包括:
接收客户端发送的携带所述授权信息标识的资源访问请求,所述授权信息标识是授权服务器根据所述客户端发送的用于指示获取授权信息标识的指示信息生成的;
根据所述授权信息标识接收所述授权服务器发送的授权响应;
根据所述授权响应向所述客户端返回资源访问响应。
结合第五方面,在第一种可能的实现方式中,根据所述授权信息标识接收所述授权服务器发送的授权响应,具体包括:
对所述授权信息标识进行解析,获取数字签名信息;
将所述数据签名信息验证成功后,向所述授权服务器发送携带访问令牌标识的授权请求;
接收所述授权服务器根据所述访问令牌标识返回的授权响应。
结合第五方面,或者第五方面的第一种可能的实现方式,在第二种可能的实现方式中,根据所述授权响应向所述客户端返回资源访问响应,具体包括:
根据所述授权响应向所述客户端返回授权验证失败响应;
其中,所述授权验证失败响应中携带所述客户端无权限的信息、所述客户端所支持的权限与所述客户端所请求的权限不符合的信息、所述客户端对所述资源的请求的本地条件不满足预设规则的信息中的一种或者任意组合
第六方面,提供一种访问资源的方法,应用于物联网场景下,包括:
接收客户端发送的授权请求,所述授权请求中携带所述客户端用于指示获取授权信息标识的指示信息;
根据所述指示信息生成授权信息的授权信息标识;
将所述授权信息标识发送至所述客户端;
接收所述资源服务器发送的授权请求,其中,所述授权请求中携带授权信息标识;
根据所述授权信息标识向所述资源服务器返回授权响应。
第七方面,提供一种访问资源的方法,应用于物联网场景下,包括:
向授权服务器发送授权请求,所述授权请求中携带用于指示所授权服务器将授权信息发送至资源服务器的指示信息;
接收所述授权服务器将所述授权信息发送至所述资源服务器后发送的授权反馈响应;
根据所述授权反馈响应向所述资源服务器发送资源访问请求,所述资源访问请求中携带标识所述授权服务器已经将所述授权信息发送至所述资源服务器的标识信息;
接收所述资源服务器返回的资源访问响应,所述资源访问响应是所述资源服务器根据所述所述标识信息获取所述授权服务器发送的授权信息后,根据所述授权信息返回的。
结合第七方面,在第一种可能的实现方式中,向授权服务器发送授权请求之前,还包括:
向资源目录服务器发送授权服务器地址获取请求,其中,所述授权服务器地址获取请求携带与所述授权服务器对应的资源服务器的标识信息;
接收所述资源目录服务器返回的所述授权服务器的地址信息;
向授权服务器发送授权请求,具体包括:
根据所述地址信息向所述授权服务器发送授权请求。
结合第七方面,或者第七方面的第一种可能的实现方式,在第二种可能的实现方式中,接收所述资源服务器返回的资源访问响应,具体包括:
接收所述资源服务器返回的授权验证失败响应;
其中,所述授权验证失败响应中携带所述客户端无权限的信息、所述客户端所拥有的权限与所述客户端所请求的权限不符合的信息、所述客户端对所述资源的请求的本地条件不满足预设规则的信息中的一种或者任意组合。
第八方面,提供一种访问资源的方法,应用于物联网场景下,包括:
接收授权服务器发送的授权信息,所述授权信息是所述授权服务器根据客户端发送的授权请求中携带的指示信息发送的,所述指示信息用于指示所授权服务器将授权信息发送至资源服务;
接收客户端发送的资源访问请求,所述资源访问请求中携带标识所述授权服务器将所述授权信息发送至所述资源服务器的标识信息;
向所述客户端返回资源访问响应,所述资源访问响应是根据所述标识信息获取所述授权服务器发送的授权信息后,根据所述授权信息返回的。
结合第八方面,在第一种可能的实现方式中,向所述客户端返回资源访问响应,具体包括:
向所述客户端返回授权验证失败响应;
其中,所述授权验证失败响应中携带所述客户端无权限的信息、所述客户端所拥有的权限与所述客户端所请求的权限不符合的信息、所述客户端对所述资源的请求的本地条件与不满足预设规则的信息中的一种或者任意组合。
第九方面,提供一种访问资源的方法,应用于物联网场景下,包括:
接收客户端发送的授权请求,所述授权请求中携带用于指示授权服务器将授权信息发送至资源服务器的指示信息;
根据所述指示信息向所述资源服务器发送授权信息,以使得所述资源服 务器根据所述授权信息向所述客户端返回资源访问响应。
第十方面,提供一种访问资源的方法,应用于物联网场景下,包括:
向授权服务器发送资源访问请求;
接收所述授权服务器返回的资源访问响应,所述资源访问响应是所述授权服务器对所述资源访问请求验证成功后发送至资源服务器后,所述资源服务器对所述资源访问请求验证成功后发送至所述授权服务器的。
结合第十方面,在第一种可能的实现方式中,向授权服务器发送资源访问请求之前,还包括:
向资源目录服务器发送授权服务器地址获取请求,其中,所述授权服务器地址获取请求携带与所述授权服务器对应的资源服务器的标识信息;
接收所述资源目录服务器返回的所述授权服务器的地址信息;
向授权服务器发送资源访问请求,具体包括:
根据所述地址信息向所述授权服务器发送资源访问请求。
第十一方面,提供一种访问资源的方法,应用于物联网场景下,包括:
接收授权服务器发送的携带授权信息的资源访问请求,所述资源访问请求是所述授权服务器验证客户端发送的资源访问请求成功后发送的;
对所述授权信息进行验证,生成资源访问响应;
将所述资源访问响应通过所述授权服务器返回至客户端。
结合第十一方面,在第一种可能的实现方式中,对所述授权信息进行验证,生成资源访问响应,具体包括:
对所述授权信息进行验证,生成授权验证失败响应;
其中,所述授权验证失败响应中携带所述客户端无权限的信息、所述客户端所支持的权限与所述客户端所请求的权限不符合的信息、所述客户端对所述资源的请求的本地与不满足预设规则的信息中的一种或者任意组合。
第十二方面,提供一种访问资源的方法,应用于物联网场景下,包括:
接收客户端发送的资源访问请求;
对所述资源访问请求验证成功后,生成授权信息;
将所述授权信息携带在所述资源访问请求中发送至资源服务器;
接收所述资源服务器返回的资源访问响应,并将所述资源访问响应发送至所述客户端。
结合第十二方面,在第一种可能的实现方式中,接收所述资源服务器返回的资源访问响应,具体包括:
接收所述资源服务器返回的授权验证失败响应;
将所述授权验证失败响应发送至所述客户端;
其中,所述授权验证失败响应中携带所述客户端无权限的信息、所述客户端所拥有的权限与所述客户端所请求的权限不符合的信息、所述客户端对所述资源的请求的本地条件与不满足预设规则的信息中的一种或者任意组合。
第十三方面,提供一种客户端,应用于物联网场景下,包括:
发射器,用于向授权服务器发送授权请求;
所述发射器还用于,确定未接收到所述授权服务器返回的授权响应后,向资源服务器发送资源访问请求,所述资源访问请求中携带用于指示所述资源服务器向所述授权服务器发送授权请求的第一指示信息;
接收器,用于接收所述资源服务器返回的资源访问响应,所述资源访问响应是所述资源服务器根据所述第一指示信息向所述授权服务器发送授权请求,并接收到所述授权服务器发送的授权响应后,根据所述资源访问请求返回的。
结合第十三方面,在第一种可能的实现方式中,所述发射器还用于:
向资源目录服务器发送授权服务器地址获取请求,其中,所述授权服务器地址获取请求携带与所述授权服务器对应的资源服务器的标识信息;
所述接收器还用于,接收所述资源目录服务器返回的所述授权服务器的地址信息;
所述发射器向授权服务器发送授权请求时,具体用于:
根据所述地址信息向所述授权服务器发送授权请求。
第十四方面,提供一种资源服务器,应用于物联网场景下,包括:
接收器,用于接收客户端在未接收到授权服务器返回的授权响应后发送的资源访问请求,所述资源访问请求中携带用于指示所述资源服务器向所述授权服务器发送授权请求的第一指示信息;
发射器,用于根据所述第一指示信息向所述授权服务器发送授权请求;
所述接收器还用于,接收所述授权服务器返回的授权响应;
所述发射器还用于,根据所述授权响应向所述客户端返回资源访问响应。
第十五方面,提供一种授权服务器,应用于物联网场景下,包括:
接收器,用于接收客户端通过资源服务器发送的授权请求;
发射器,用于根据所述授权请求向所述资源服务器发送授权响应,以使得所述资源服务器根据所述授权响应向所述客户端返回资源访问响应。
第十六方面,提供一种客户端,应用于物联网场景下,包括:
发射器,用于向授权服务器发送授权请求,所述授权请求中携带用于指示获取授权信息标识的指示信息;
接收器,用于接收所述授权服务器根据所述指示信息生成的所述授权信息的授权信息标识;
所述发射器还用于,向资源服务器发送携带所述授权信息标识的资源访问请求;
所述接收器还用于,接收所述资源服务器返回的资源访问响应,所述资源访问响应是所述资源服务器根据所述授权信息标识接收到所述授权服务器发送的授权响应后返回的。
结合第十六方面,在第一种可能的实现方式中,所述发射器还用于:
向资源目录服务器发送授权服务器地址获取请求,其中,所述授权服务器地址获取请求携带与所述授权服务器对应的资源服务器的标识信息;
所述接收器还用于,接收所述资源目录服务器返回的所述授权服务器的地址信息;
所述发射器向授权服务器发送授权请求时,具体为:
根据所述地址信息向所述授权服务器发送授权请求。
第十七方面,提供一种资源服务器,应用于物联网场景下,包括:
接收器,用于接收客户端发送的携带所述授权信息标识的资源访问请求,所述授权信息标识是授权服务器根据所述客户端发送的用于指示获取授权信息标识的指示信息生成的;
发射器,用于根据所述授权信息标识接收所述授权服务器发送的授权响应;
所述发射器还用于,根据所述授权响应向所述客户端返回资源访问响应。
结合第十七方面,在第一种可能的实现方式中,还包括处理器,所述处理器用于:
对所述授权信息标识进行解析,获取数字签名信息;
将所述数据签名信息验证成功后,所述发射器还用于,向所述授权服务器发送携带访问令牌标识的授权请求;
所述接收器还用于,接收所述授权服务器根据所述访问令牌标识返回的授权响应。
第十八方面,提供一种授权服务器,应用于物联网场景下,包括:
接收器,用于接收客户端发送的授权请求,所述授权请求中携带所述客户端用于指示获取授权信息标识的指示信息;
处理器,用于根据所述指示信息生成授权信息的授权信息标识;
发射器,用于将所述授权信息标识发送至所述客户端;
所述接收器还用于,接收所述资源服务器发送的授权请求,其中,所述授权请求中携带授权信息标识;
所述发射器还用于,根据所述授权信息标识向所述资源服务器返回授权响应。
第十九方面,提供一种客户端,应用于物联网场景下,包括:
发射器,用于向授权服务器发送授权请求,所述授权请求中携带用于指示所授权服务器将授权信息发送至资源服务器的指示信息;
接收器,用于接收所述授权服务器将所述授权信息发送至所述资源服务器后发送的授权反馈响应;
所述发射器还用于,根据所述授权反馈响应向所述资源服务器发送资源访问请求,所述资源访问请求中携带标识所述授权服务器已经将所述授权信息发送至所述资源服务器的标识信息;
所述接收器还用于,接收所述资源服务器返回的资源访问响应,所述资源访问响应是所述资源服务器根据所述所述标识信息获取所述授权服务器发送的授权信息后,根据所述授权信息返回的。
结合第十九方面,在第一种可能的实现方式中,所述发射器还用于:
向资源目录服务器发送授权服务器地址获取请求,其中,所述授权服务器地址获取请求携带与所述授权服务器对应的资源服务器的标识信息;
所述接收器还用于,接收所述资源目录服务器返回的所述授权服务器的地址信息;
所述发射器向授权服务器发送授权请求时,具体为:
根据所述地址信息向所述授权服务器发送授权请求。
第二十方面,提供一种资源服务器,应用于物联网场景下,包括:
接收器,用于接收授权服务器发送的授权信息,所述授权信息是所述授权服务器根据客户端发送的授权请求中携带的指示信息发送的,所述指示信息用于指示所授权服务器将授权信息发送至资源服务;
所述接收器还用于,接收客户端发送的资源访问请求,所述资源访问请求中携带标识所述授权服务器将所述授权信息发送至所述资源服务器的标识信息;
发射器,用于向所述客户端返回资源访问响应,所述资源访问响应是根据所述标识信息获取所述授权服务器发送的授权信息后,根据所述授权信息返回的。
第二十一方面,提供一种授权服务器,应用于物联网场景下,包括:
接收器,用于接收客户端发送的授权请求,所述授权请求中携带用于指 示授权服务器将授权信息发送至资源服务器的指示信息;
发射器,用于根据所述指示信息向所述资源服务器发送授权信息,以使得所述资源服务器根据所述授权信息向所述客户端返回资源访问响应。
第二十二方面,提供一种客户端,应用于物联网场景下,包括:
发射器,用于向授权服务器发送资源访问请求;
接收器,用于接收所述授权服务器返回的资源访问响应,所述资源访问响应是所述授权服务器对所述资源访问请求验证成功后发送至资源服务器后,所述资源服务器对所述资源访问请求验证成功后发送至所述授权服务器的。
结合第二十二方面,在第一种可能的实现方式中,所述发射器还用于:
向资源目录服务器发送授权服务器地址获取请求,其中,所述授权服务器地址获取请求携带与所述授权服务器对应的资源服务器的标识信息;
所述接收器还用于,接收所述资源目录服务器返回的所述授权服务器的地址信息;
所述发射器向授权服务器发送资源访问请求时,具体为:
根据所述地址信息向所述授权服务器发送资源访问请求。
第二十三方面,提供一种资源服务器,应用于物联网场景下,包括:
接收器,用于接收授权服务器发送的携带授权信息的资源访问请求,所述资源访问请求是所述授权服务器验证客户端发送的资源访问请求成功后发送的;
处理器,用于对所述授权信息进行验证,生成资源访问响应;
发射器,用于将所述资源访问响应通过所述授权服务器返回至客户端。
第二十四方面,提供一种授权服务器,应用于物联网场景下,包括:
接收器,用于接收客户端发送的资源访问请求;
处理器,用于对所述资源访问请求验证成功后,生成授权信息;
发射器,用于将所述授权信息携带在所述资源访问请求中发送至资源服务器;
所述接收器还用于,接收所述资源服务器返回的资源访问响应,并将所述资源访问响应发送至所述客户端。
为了解决目前客户端和授权服务器之间无法直接通信的情况下,客户端无法访问资源的问题,本发明实施例中提出一种访问资源的方法,在该方案中,向授权服务器发送授权请求;确定未接收到授权服务器返回的授权响应后,向资源服务器发送资源访问请求,资源访问请求中携带用于指示资源服务器向授权服务器发送授权请求的第一指示信息;接收资源服务器返回的资源访问响应,资源访问响应是资源服务器根据第一指示信息向所述资源服务器发送授权请求,并接收到授权服务器发送的授权响应后,根据资源访问请求返回的,这样,即使客户端和授权服务器之间无法直接通信,客户端也可以通过资源服务器向授权服务器发起授权验证,进而,资源服务器在接收到授权服务器返回的授权响应时,再向客户端返回资源访问响应,解决了目前客户端无法访问资源的缺陷。
附图说明
图1A为现有技术中离线状态的示意图;
图1B为本发明实施例中访问资源的一种流程图;
图2为本发明实施例中访问资源的另一种流程图;
图3A为本发明实施例中访问资源的另一种流程图;
图3B为现有技术中访问资源的一种流程图;
图3C为本发明实施例中访问资源的另一种流程图;
图4为本发明实施例中访问资源的另一种流程图;
图5为本发明实施例中访问资源的另一种流程图;
图6为本发明实施例中访问资源的另一种流程图;
图7为本发明实施例中访问资源的另一种流程图;
图8为本发明实施例中访问资源的另一种流程图;
图9为本发明实施例中访问资源的另一种流程图;
图10为本发明实施例中访问资源的另一种流程图;
图11为本发明实施例中访问资源的另一种流程图;
图12为本发明实施例中访问资源的另一种流程图;
图13为本发明实施例中客户端和资源服务器协商密钥的一种流程图;
图14为本发明实施例中客户端和资源服务器协商密钥的另一种流程图;
图15为本发明实施例中客户端和资源服务器协商密钥的另一种流程图;
图16为本发明实施例中客户端的一种结构示意图;
图17为本发明实施例中资源服务器的一种结构示意图;
图18为本发明实施例中授权服务器的一种结构示意图;
图19为本发明实施例中客户端的另一种结构示意图;
图20为本发明实施例中资源服务器的另一种结构示意图;
图21为本发明实施例中授权服务器的另一种结构示意图;
图22为本发明实施例中客户端的另一种结构示意图;
图23为本发明实施例中资源服务器的另一种结构示意图;
图24为本发明实施例中授权服务器的另一种结构示意图;
图25为本发明实施例中客户端的另一种结构示意图;
图26为本发明实施例中资源服务器的另一种结构示意图;
图27为本发明实施例中授权服务器的另一种结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
另外,本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例 如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字母“/”,一般表示前后关联对象是一种“或”的关系。
下面结合说明书附图对本发明优选的实施方式进行详细说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
认证管理器位于客户端的归属域,是非受限节点,它代表客户端拥有者来协助客户端行使认证和授权功能。认证管理器是逻辑实体,可以与客户端合设或与授权服务器合设。如果客户端是非受限节点,认证管理器可以合设在客户端内。如果客户端是受限节点,认证管理器可以单独存在,或者位于授权服务器内。认证管理器的主要功能包括下列功能的一项或者多项:1)协助客户端来建立客户端与资源服务器之间、客户端与授权服务器之间的安全数据传输通道,即:协商会话密钥或提供认证信息;2)代表客户端,向授权服务器发送授权请求,以及接收授权响应。
RDS(Resource Directory Server,资源目录服务器)用于存储资源服务器的目录信息,其中包括一个归属域的所有资源服务器的属性信息,包括资源服务器所对应的授权服务器的地址、标识、端口号等信息,还包括资源服务器上的资源的属性信息。资源目录服务器支持来自于客户端的资源查询、资源发现操作,也支持来自于资源服务器的资源注册、资源更新、资源删除等操作。
实际应用中,物联网应用中,任何两个节点之间都可能处于离线状态,如图1A所示,第一种情况为客户端和授权服务器之间处于离线,第二种情况为授权服务器和资源服务器之间处于离线,第三种情况为客户端和资源服务器之间处于离线。
下面结合附图对本发明优选的实施方式进行详细说明。
参阅图1B所示,本发明实施例中,访问资源的一种流程如下,该流程应用于物联网场景下:
步骤100:客户端向授权服务器发送授权请求;
步骤110:客户端确定未接收到授权服务器返回的授权响应后,向资源服务器发送资源访问请求,资源访问请求中携带用于指示资源服务器向授权服务器发送授权请求的第一指示信息;
步骤120:客户端接收资源服务器返回的资源访问响应,资源访问响应是资源服务器根据第一指示信息向授权服务器发送授权请求,并接收到授权服务器发送的授权响应后,根据资源访问请求返回的。
本发明实施例中,向授权服务器发送授权请求之前,如果没有授权服务器的地址信息,一般还要获取该授权服务器的地址信息,因此,向授权服务器发送授权请求之前,还可以包括如下操作:
向资源目录服务器发送授权服务器地址获取请求,其中,授权服务器地址获取请求携带与授权服务器对应的资源服务器的标识信息;
接收资源目录服务器返回的授权服务器的地址信息。
例如:
客户端向资源目录服务器发送资源访问请求:
GET coap://www.resourcdirectory.com/.well-known/rd?ep=node1
资源目录服务器向客户端返回资源访问响应:
<node1>;rt=”auth-request”;title=”Request Client Authorization”;
anchor=”coaps://www.authserver1234.com”
当然,也可以采用如下方式:
向资源服务器发送资源访问请求,其中,资源访问请求中未包含授权信息;
接收资源服务器返回的授权服务器的地址信息。
当然,还有其他获取授权服务器的地址信息的方式,在此不再进行一一详述。
在获取授权服务器的地址信息后,向授权服务器发送授权请求时,可以采用如下方式:
根据地址信息向授权服务器发送授权请求。
本发明实施例中,资源访问请求可以是用于获取(Get)资源、更新(Put)资源、生成(Post)资源、删除(Delete)资源的资源访问请求。
本发明实施例中,如果客户端和资源服务器中有一方是受限节点,则基于CoAP(Constrained Application Protocol,受限应用协议)来发送资源访问请求;如果客户端和资源服务器都是非受限节点,则基于HTTP(Hyper Text Transfer Protocol,超文本传输协议)发送资源访问请求。
CoAP协议是基于UDP(User Datagram Protocol,用户数据报协议)的二进制协议,适用于物联网中的客户端发送资源访问请求或者接收资源访问响应。
本发明实施例中,在客户端确定未接收到授权服务器返回的授权响应后,如果资源服务器是受限节点,客户端可以基于CoAP协议来向资源服务器发送资源访问请求,其中,资源访问请求中可以包括如下信息中的一种或者任意组合:
客户端的标识信息、客户端的地址信息,资源服务器的地址信息、资源服务器的端口号信息,客户端待访问的资源的地址信息,客户端对资源的目标操作信息等。
例如:
Client-ID:ClientIdentifier1234;    --客户端的标识信息;
Uri-Host:www.resourceserver1234.com;  --资源服务器的地址信息;
Uri-Port:5683;                  --资源服务器的端口号信息;
Code:Get;         --客户端对待访问的资源所请求的的操作为获取资源;
Uri-Path:light1;             --客户端待访问的资源的地址信息;
本发明实施例中,资源访问请求基于CoAP协议传输时,授权服务器的地址信息的携带在Payload字段中,关键字AS表明Payload字段中携带的是授权服务器地址信息。
例如:
Payload:{AS:"coaps://www.resourceserver1234.com"}。
本发明实施例中,资源访问响应基于CoAP协议传输时,授权信息携带在Content-Format字段中;Code字段用于指示授权服务器授权成功或者失败,如,Code字段中的值为4.01,指示授权失败,Code字段中的值为2.01,指示授权成功:
Code:4.01(Unauthorized);            --未授权
Content-Format:application/ace;     --授权信息
本发明实施例中,资源访问请求基于CoAP协议传输中,可以用扩展的Auth-Request-Uri字段表示第一指示信息,也就是,Auth-Request-Uri字段指示资源服务器向授权服务器请求授权信息,此选项的值可以是授权服务器的地址信息。比如:
Auth-Request-Uri:www.authserver1234.com
本发明是实施例中,授权信息包括访问令牌和/或数字签名,访问令牌可以包括如下信息中的一种或者任意组合:
Client-ID:客户端的标识信息或客户端的地址信息;
Role:角色,可以是管理员、访客、黑名单等;
Resource-Uri:待访问的资源的地址信息;
Allowed-Operation:客户端对待访问资源所允许的操作信息,如:Get信息、Post信息、Put信息、Delete信息;
Local-Condition:授权服务器的条件(包括时间条件、状态条件、位置条件等);
Validity:有效期,指访问令牌的有效时间,资源服务器在此时间内缓存此访问令牌,在有效期内使用,有效期可以是绝对时间,也可以是相对时间;
Signature:数字签名,用于表明此访问令牌是经过授权服务器签名的。
参阅图2所示,本发明实施例中,访问资源的另一种流程如下,该流程应用于物联网场景下:
步骤200:资源服务器接收客户端在未接收到授权服务器返回的授权响应后发送的资源访问请求,资源访问请求中携带用于指示资源服务器向授权服 务器发送授权请求的第一指示信息;
步骤210:资源服务器根据第一指示信息向授权服务器发送授权请求;
步骤220:资源服务器接收授权服务器返回的授权响应;
步骤230:资源服务器根据授权响应向客户端返回资源访问响应。
本发明实施例中,根据第一指示信息向授权服务器发送授权请求,其中,授权请求可以基于CoAP协议传输,在Uri-Path字段中用Client-Authorize关键字表明该授权请求的作用是请求获取授权信息,Uri-Host字段中携带授权服务器的地址信息,在Uri-Port字段中携带授权服务器端口号信息,Payload字段携带客户端的标识信息、客户端的地址信息、客户端待访问的资源的地址信息、客户端对待访问的资源所请求的操作、时间戳等信息,Code字段中携带Post操作,Post操作来请求授权信息,在Content-Format字段中,用application/Auth-Request来指示Payload字段中携带的是什么信息。
例如:
Uri-Host:www.authserver1234.com;      --授权服务器的地址信息;
Uri-Port:5683;                        --授权服务器的端口号信息;
Code:Post;                            --授权请求;
Uri-Path:Authorization-Handling;   --该授权请求的作用是请求获取授权信息;
Content-Format:application/Auth-Request;--指示Payload中携带的内容;
Payload:{[Client-ID:“ClientIdentifier1234”,Uri-Path:“light1”,Operation:“Get”,Time-Stamp:20140902T16:37:00]}。
本发明实施例中,授权请求中时间戳可以用于防止资源服务器与授权服务器上的时间不一致,便于授权服务器得知资源服务器的时间。
本发明实施例中,授权请求中可以不携带客户端的认证信息,此时,假定认证信息在DTLS(Datagram Transport Layer Security,数据包传输层安全性协议)消息中传输的,授权请求是基于DTLS安全通道来传输的;或者, 授权请求本身是经过双方协商好的密钥加密了的。
本发明实施例中,向客户端返回的资源访问响应可以是授权验证成功响应,当然,也可以是授权验证失败响应,因此,本发明实施例中,根据授权响应向客户端返回资源访问响应的方式有多种,可选的,可以采用如下方式:
根据授权响应向客户端返回授权验证失败响应;
其中,授权验证失败响应中携带客户端无权限的信息、客户端所拥有的权限与客户端所请求的权限不符合的信息、客户端对资源的请求的本地条件不满足预设规则的信息中的一种或者任意组合。
参阅图3A所示,本发明实施例中,访问资源的另一种流程如下,该流程应用于物联网场景下:
步骤300:授权服务器接收客户端通过资源服务器发送的授权请求;
步骤310:授权服务器根据所述授权请求向所述资源服务器发送授权响应,以使得所述资源服务器根据所述授权响应向所述客户端返回资源访问响应。
本发明实施例中,授权服务器接收到客户端通过资源服务器发送的授权请求时,根据预先配置的授权规则对授权请求进行授权验证,如果验证失败,向资源服务器发送授权失败响应;如果验证通过,向资源服务器发送授权成功响应,其中,授权成功响应中携带访问令牌(Access-Token)。
本发明实施例中,可选的,访问令牌中包括用于标识客户端拥有对哪个资源的哪一种操作的权限信息,以及授权服务器的本地条件信息等。
本发明实施例中,由于资源服务器是受限节点,授权请求可以基于CoAP协议来传输。其中:授权失败响应可以用Code字段中的值来指示,如Code中的值为4.01,则表示授权失败,如Code字段中的值为2.00,则表示授权成功。
进一步的,还可以携带访问令牌,可选的,访问令牌可以在Payload字段中携带,在Content-Format字段中,用application/Access-Token来表明Payload字段中携带的是访问令牌的信息。
本发明实施例中,可选的,访问令牌也可以基于扩展的Access-Token字段携带。
访问令牌可以包括如下信息中的一种或者任意组合:
Client-ID:客户端的标识信息或客户端的地址信息;
Role:角色,可以是管理员、访客、黑名单等;
Resource-Uri:待访问的资源的地址信息;
Allowed-Operation:客户端对待访问资源所允许的操作信息,如:Get信息、Post信息、Put信息、Delete信息;
Local-Condition:授权服务器的条件(包括时间条件、状态条件、位置条件等);
Validity:有效期,指访问令牌的有效时间,资源服务器在此时间内缓存此访问令牌,在有效期内使用,有效期可以是绝对时间,也可以是相对时间;
Signature:签名信息,用于表明此访问令牌是经过授权服务器签名的。
比如,授权服务器向资源服务器返回的授权成功响应实例为:
Uri-Host:www.resourceserver1234.com;  --资源服务器的地址信息;
Uri-Port:5683;                        --资源服务器的端口号信息;
Code:2.00;                            --指示授权成功;
Access-Token:[Client-ID=ClientIdentifier1234,Role=Guest,Resource-Uri=light1,Allowed-Operation=Get&Post&Put,Local-Condition=time>9am&time<5pm,Signature=akjkj8767];--访问令牌。
需要说明的是,在特定条件下,访问令牌可以进行简化,比如,仅仅包含表示允许(Yes)或不允许(No)的信息即可。
另外,为了提高访问令牌的安全性,本发明实施例中,对于访问令牌,授权服务器可以进行加密,资源服务器进行解密获取访问令牌。
现有技术中,如图3B所示,客户端从授权服务器获取授权信息,然后,将授权信息发送至资源服务器,那么,客户端给资源服务器发送资源访问请 求后,资源服务器知道了客户端具有访问资源服务器的权限,才给客户端返回资源访问响应。但是,在实际应用中,客户端和授权服务器之间可能无法直接通信,此时,客户端就无法访问资源服务器。
本发明实施例中,即使客户端和授权服务器之间无法直接通信,客户端也可以向资源服务器发送携带第一指示信息的资源访问请求,第一指示信息用于指示资源服务器向授权服务器发送授权请求,进而,资源服务器在接收到授权服务器返回的授权响应时,再向客户端返回资源访问响应,客户端、授权服务器和资源服务器之间的交互示意图如图3C所示:
步骤A;客户端向资源服务器发送资源访问请求;
步骤B:资源服务器向授权服务器发送授权请求;
步骤C;授权服务器向资源服务器返回授权响应;
步骤D:资源服务器向客户端返回资源访问响应。
上述实现过程可以解决目前客户端无法访问资源的缺陷。上述图1B、图2、图3A是从客户端、资源服务器和授权服务器几侧分别进行说明的,但是不影响效果的实现。
参阅图4所示,本发明实施例中,访问资源的另一种流程如下,该流程应用于物联网场景下:
步骤400:客户端向授权服务器发送授权请求,授权请求中携带用于指示获取授权信息标识的指示信息;
步骤410:客户端接收授权服务器根据指示信息生成的授权信息的授权信息标识;
步骤420:客户端向资源服务器发送携带授权信息标识的资源访问请求;
步骤430:客户端接收资源服务器返回的资源访问响应,资源访问响应是资源服务器根据授权信息标识接收到授权服务器发送的授权响应后返回的。
本发明实施例中,向授权服务器发送授权请求之前,还包括如下操作:
向资源目录服务器发送授权服务器地址获取请求,其中,授权服务器地址获取请求携带与授权服务器对应的资源服务器的标识信息;
接收资源目录服务器返回的授权服务器的地址信息;
可选的,向授权服务器发送授权请求,可以采用如下方式:
根据地址信息向授权服务器发送授权请求。
本发明实施例中,如果客户端是非受限节点,授权请求可以基于HTTP协议来传输;如果客户端是受限节点,授权请求可以基于CoAP协议来传输。
如果通过CoAP协议传输的话,授权请求中的Code字段中的Post操作用于指示请求授权信息;使用Uri-Host字段和Uri-Port字段分别携带授权服务器的地址信息和授权服务器的端口号信息;在Uri-Path字段Auth-Info-Uri关键字表明授权请求请求的是授权信息的标识;Payload字段中携带客户端的标识信息、客户端的地址信息、客户端待访问的资源的地址信息、客户端对待访问的资源的目标操作信息中的一种或者任意组合。在Content-Format字段中,用application/Auth-Request来指示Payload字段中携带的是什么内容。
本发明实施例中,授权服务器接收到客户端发送的授权请求后,根据预设授权规则生成授权信息,并给生成的授权信息分配授权信息标识,然后,将分配的授权信息标识发送至客户端。
本发明实施例中,可选的,授权信息标识中可以携带访问令牌标识和/或授权服务器的数字签名。
本发明实施例中,授权信息标识可以基于CoAP协议传输,授权信息标识可以携带在Payload字段中,在Content-Format字段中,用application/Auth-Info-Uri来表示Payload字段中携带的是什么内容;或者是使用扩展的Auth-Info-Uri字段来表示Payload字段中携带的是什么内容。
Auth-Info-Uri是一个结构体,可以包含Access-Token-Uri(访问令牌标识)和Signature(数字签名),例如:
Auth-Info-Uri:[Access-Token-Uri:“Access_Token_Uri_example”,Signature:”adkljfafk987”]
本发明实施例中,向资源服务器发送携带授权信息标识的资源访问请求时,可以采用CoAP协议传输,此时,授权信息标识可以携带在扩展的 Auth-Info-Uri字段中。
进一步的,资源访问请求中可以携带资源服务器的地址信息、资源服务器的端口号信息、待访问的资源的地址信息、客户端对待访问的资源所请求的操作信息。
本发明实施例中,向资源服务器发送携带授权信息标识的资源访问请求之后,还包括如下操作:
接收资源服务器返回的授权验证失败响应;
其中,授权验证失败响应中携带客户端无权限的信息、客户端所拥有的权限与客户端所请求的权限不符合的信息、客户端对资源的请求的本地条件不满足预设规则的信息中的一种或者任意组合。
参阅图5所示,本发明实施例中,访问资源的另一种流程如下,该流程应用于物联网场景下:
步骤500:资源服务器接收客户端发送的携带授权信息标识的资源访问请求,授权信息标识是授权服务器根据客户端发送的用于指示获取授权信息标识的指示信息生成的;
步骤510:资源服务器根据授权信息标识接收授权服务器发送的授权响应;
步骤520:资源服务器根据授权响应向客户端返回资源访问响应。
本发明实施例中,根据授权信息标识接收授权服务器发送的授权响应的方式有多种,可选的,可以采用如下方式:
对授权信息标识进行解析,获取访问令牌标识和数字签名;
将数据签名验证成功后,向授权服务器发送携带访问令牌标识的授权请求;
接收授权服务器根据访问令牌标识返回的授权响应。
本发明实施例中,根据授权响应向客户端返回资源访问响应的方式有多种,可选的,可以采用如下方式:
根据授权响应向客户端返回授权验证失败响应;
其中,授权验证失败响应中携带客户端无权限的信息、客户端所支持的权限与客户端所请求的权限不符合的信息、客户端对资源的请求的本地条件不满足预设规则的信息中的一种或者任意组合。
参阅图6所示,本发明实施例中,访问资源的另一种流程如下,该流程应用于物联网场景下:
步骤600:授权服务器接收客户端发送的授权请求,授权请求中携带客户端用于指示获取授权信息标识的指示信息;
步骤610:授权服务器根据指示信息生成授权信息的授权信息标识;
步骤620:授权服务将授权信息标识发送至客户端,接收资源服务器发送的授权请求,其中,授权请求中携带授权信息标识;
步骤630:授权服务根据授权信息标识向资源服务器返回授权响应。
现有技术中,客户端向授权服务器发送授权请求,授权服务器将授权信息发送至客户端,然后,客户端再将授权请求发送至资源服务器,而传输授权信息的信令比传输授权信息标识的信令的消耗较大,因此,目前访问资源的方式存在信令消耗较大,资源浪费较严重的缺陷,而上述图4、图5和图6三个实施例中提供的访问资源的方案,客户端向授权服务器发送的授权请求中携带客户端用于指示获取授权信息标识的指示信息,授权服务器根据指示信息生成授权信息的授权信息标识,并将授权信息标识发送至客户端,客户端再将授权信息标识发送至资源服务器,资源服务器根据授权信息标识去授权服务器中获取授权信息,而传输授权信息标识的信令的消耗较传输授权信息的信令的消耗小,这样,本发明实施例提供的方案降低了信令的消耗,避免了资源浪费,上述图4、图5和图6三个实施例中分别是从客户端、资源服务器和授权服务三侧来说明的,但是不影响上述效果的实现。
参阅图7所示,本发明实施例中,访问资源的另一种流程如下,该流程应用于物联网场景下:
步骤700:客户端向授权服务器发送授权请求,授权请求中携带用于指示所授权服务器将授权信息发送至资源服务器的指示信息;
步骤710:客户端接收授权服务器将授权信息发送至资源服务器后发送的授权反馈响应;
步骤720:客户端根据授权反馈响应向资源服务器发送资源访问请求,资源访问请求中携带标识授权服务器已经将授权信息发送至资源服务器的标识信息;
步骤730:客户端接收资源服务器返回的资源访问响应,资源访问响应是资源服务器根据标识信息获取授权服务器发送的授权信息后,根据授权信息返回的。
本发明实施例中,向授权服务器发送授权请求之前,还包括如下操作:
向资源目录服务器发送授权服务器地址获取请求,其中,授权服务器地址获取请求携带与授权服务器对应的资源服务器的标识信息;
接收资源目录服务器返回的授权服务器的地址信息;
此时,向授权服务器发送授权请求的方式有多种,可选的,可以采用如下方式:
根据地址信息向授权服务器发送授权请求。
本发明实施例中,如果客户端是非受限节点,资源访问请求可以基于HTTP协议来传输;如果客户端是受限节点,资源访问请求优选基于CoAP协议来传输。
资源访问请求优选基于CoAP协议来传输时:
使用Post操作来请求授权信息;使用Uri-Host字段和Uri-Port字段分别携带授权服务器的地址信息和授权服务器的端口号信息;使用扩展的Auth-Info-To-RS字段携带标识授权服务器将授权信息发送至资源服务器的标识信息,也可以在Uri-Query字段中使用“Auth-Info=True”关键字中携带标识授权服务器将授权信息发送至资源服务器的标识信息;使用Payload字段来携带需要授权的请求,包含客户端的标识信息或客户端的地址信息、客户端对待访问的资源的地址、客户端对待访问的资源请求的操作,在Content-Format字段中,用application/Auth-Request来表明Payload字段中携带的是什么信息。
本发明实施例中,接收资源服务器返回的资源访问响应的方式有多种,可选的,可以采用如下方式:
接收资源服务器返回的授权验证失败响应;
其中,授权验证失败响应中携带客户端无权限的信息、客户端所拥有的权限与客户端所请求的权限不符合的信息、客户端对资源的请求的本地条件不满足预设规则的信息中的一种或者任意组合。
参阅图8所示,本发明实施例中,访问资源的另一种流程如下,该流程应用于物联网场景下:
步骤800:资源服务器接收授权服务器发送的授权信息,授权信息是授权服务器根据客户端发送的授权请求中携带的指示信息发送的,指示信息用于指示所授权服务器将授权信息发送至资源服务;
步骤810:资源服务器接收客户端发送的资源访问请求,资源访问请求中携带标识授权服务器将授权信息发送至资源服务器的标识信息;
步骤820:资源服务器向客户端返回资源访问响应,资源访问响应是根据标识信息获取授权服务器发送的授权信息后,根据授权信息返回的。
本发明实施例中,向客户端返回资源访问响应的方式有多种,可选的,可以采用如下方式:
向客户端返回授权验证失败响应;
其中,授权验证失败响应中携带客户端无权限的信息、客户端所拥有的权限与客户端所请求的权限不符合的信息、客户端对资源的请求的本地条件与不满足预设规则的信息中的一种或者任意组合。
参阅图9所示,本发明实施例中,访问资源的另一种流程如下,该流程应用于物联网场景下:
步骤900:授权服务器接收客户端发送的授权请求,授权请求中携带用于指示授权服务器将授权信息发送至资源服务器的指示信息;
步骤910:授权服务器根据指示信息向资源服务器发送授权信息,以使得资源服务器根据授权信息向客户端返回资源访问响应。
本发明实施例中,授权信息中包含访问令牌、客户端标识、客户端待访问的资源的地址等信息中的一项或者多项。
使用CoAP消息传输时:
使用Post操作来下发授权信息;
使用Uri-Host字段携带资源服务器的地址信息;
使用Uri-Port字段携带资源服务器的端口号信息;
使用Uri-Path字段携带客户端待访问的资源的地址信息;
在Content-Format字段中,用application/Auth-Info来表示消息体中携带的是授权信息。
授权信息可以在Payload中携带,其中必选包含Access-Token(访问令牌),可选包括客户端标识。
客户端标识和客户端待访问的资源的地址主要用于资源服务器的索引,当资源服务器上存储有多个访问令牌时,在收到来自于客户端的请求时,便于资源服务器根据客户端标识和客户端待访问的资源的地址查找到对应的访问令牌。在实现上,如果消息中没有明确携带客户端标识和客户端待访问的资源的地址,资源服务器也可以从访问令牌中提取相应的字段,从而生成索引。
消息实例:
Code:Post;                            --授权信息发送请求;
Uri-Host:www.resourceserver1234.com;   --资源服务器的地址信息;
Uri-Port:5683;                         --资源服务器的端口号信息;
Uri-Path:light1;                      --客户端待访问的资源的地址信息;
Content-Format:application/Auth-Info; --消息体内容使授权信息;
Payload:{Access-Token:[Client-ID=ClientIdentifier1234,Role=Guest,Resource-Uri=light1,Allowed-Operation=Get&Post&Put, Local-Condition=time>9am&time<5pm,Signature=akjkj8767]};--访问令牌。
本发明实施例中,根据指示信息向资源服务器发送授权信息之后,还包括如下操作:
向客户端发送授权反馈响应。
现有技术中,客户端向授权服务器发送授权请求,授权服务器将授权信息发送至客户端,然后,客户端再将授权请求发送至资源服务器,而传输授权信息的信令比传输授权信息标识的信令的消耗较大,因此,目前访问资源的方式存在信令消耗较大,资源浪费较严重的缺陷,而上述图7、图8和图9三个实施例中提供的访问资源的方案,客户端向授权服务器发送的授权请求中携带指示信息,该指示信息用于客户端指示授权服务器将授权信息发送至资源服务器,这样,避免了客户端从授权服务器获取授权信息,然后,客户端再将授权信息发送至资源服务器的缺陷,降低了客户端和授权服务器之间信令的消耗,避免了资源浪费,上述图7、图8和图9三个实施例中分别是从客户端、资源服务器和授权服务三侧来撰写的,但是不影响上述效果的实现。参阅图10所示,本发明实施例中,访问资源的另一种流程如下,该流程应用于物联网场景下:
步骤1000:客户端向授权服务器发送资源访问请求;
步骤1010:客户端接收授权服务器返回的资源访问响应,资源访问响应是授权服务器对资源访问请求验证成功后发送至资源服务器,资源服务器对资源访问请求验证成功后发送至授权服务器的。
本发明实施例中,向授权服务器发送资源访问请求之前,还包括如下操作:
向资源目录服务器发送授权服务器地址获取请求,其中,授权服务器地址获取请求携带与授权服务器对应的资源服务器的标识信息;
接收资源目录服务器返回的授权服务器的地址信息;
向授权服务器发送资源访问请求时,可选的,可以采用如下方式:
根据地址信息向授权服务器发送资源访问请求。
本发明实施例中,资源访问请求中包含客户端的标识信息、客户端的地址信息、资源服务器的地址信息、客户端待访问的资源的地址信息、客户端对待访问的资源要执行的操作信息、授权服务器的地址信息、时间戳信息等。
基于CoAP协议传输资源访问请求时,具体如下:
使用UDP的Source字段来携带客户端的地址,采用扩展的Client-ID字段来携带客户端标识;
使用Proxy-Uri字段,或是新扩展Auth-URI字段来携带资源服务器的地址信息、客户端待访问的资源的地址信息;
使用Code字段,来携带对资源的目标操作,比如Get、Delete、Post、Put;
使用Uri-Host、Uri-Port来携带授权服务器的地址信息和授权服务器的端口号信息;
可以使用Uri-Path字段或Uri-Query字段来需要授权服务器对资源获取请求进行授权,比如Uri-Query:Auth=true;
消息例子如下:
Client-ID:ClientIdentifier1234;  --客户端标识;
Proxy-Uri:www.resoureserver.com/light1;  --客户端待访问资源的地址信息;
Uri-Host:www.authserver1234.com;  --授权服务器的地址信息;
Uri-Port:5683;  --授权服务器的端口号信息;
Code:Get;  --对目标资源的操作:获取;
Uri-Query:Auth=true;  --指示需要对资源请求进行授权。
值得说明的是,本消息实例中并未携带客户端的认证信息。本实施例假定认证信息在DTLS消息中传输,其他消息是基于DTLS安全通道来传输的。
如果客户端与授权服务器之间传输的消息使用HTTP协议进行传输,也需要包含上面所说的字段信息,只是消息格式不同而已。
参阅图11所示,本发明实施例中,访问资源的另一种流程如下,该流程 应用于物联网场景下:
步骤1100:资源服务器接收授权服务器发送的携带授权信息的资源访问请求,资源访问请求是授权服务器验证客户端发送的资源访问请求成功后发送的;
步骤1110:资源服务器对授权信息进行验证,生成资源访问响应;
步骤1120:资源服务器将资源访问响应通过授权服务器返回至客户端。
本发明实施例中,授权失败响基于CoAP协议传输时,可以用Code字段中的值来表示,如Code字段中的值为4.01,表示授权失败,如Code字段中的值为2.00,表示授权成功。
在资源访问请求和资源访问响应中可以携带Message-Id字段和Token字段,Message-Id字段中携带的消息标识可以用于关联单个的资源访问请求和资源访问响应,Token字段中携带的令牌可以用于关联多个相关联的资源访问请求和资源访问响应。基于这两个字段,授权服务器可以将资源访问请求和资源访问响应关联起来,从而可以将资源访问响应转发给客户端。
本发明实施例中,对授权信息进行验证,生成资源访问响应的方式有多种,可选的,可以采用如下方式:
对授权信息进行验证,生成授权验证失败响应;
其中,授权验证失败响应中携带客户端无权限的信息、客户端所支持的权限与客户端所请求的权限不符合的信息、客户端对资源的请求的本地与不满足预设规则的信息中的一种或者任意组合。
参阅图12所示,本发明实施例中,访问资源的另一种流程如下,该流程应用于物联网场景下:
步骤1200:授权服务器接收客户端发送的资源访问请求;
步骤1210:授权服务器对资源访问请求验证成功后,生成授权信息;
步骤1220:授权服务器将授权信息携带在资源访问请求中发送至资源服务器;
步骤1230:授权服务器接收资源服务器返回的资源访问响应,并将资源 访问响应发送至客户端。
现有技术中,客户端向资源服务器发送资源访问请求,资源服务器将资源访问响应返回至客户端,但是,客户端和资源服务器之间无法通信时,客户端就无法访问资源,而上述图10、图11和图12三个实施例中提供的访问资源的方案,客户端向授权服务器发送资源访问请求,授权服务器将资源访问请求验证成功后发送至资源服务器,资源服务器对资源访问请求验证成功后发送资源访问响应至授权服务器,上述图10、图11和图12三个实施例中分别是从客户端、资源服务器和授权服务三侧来说明的,但是不影响上述效果的实现。
本发明实施例中,授权服务器根据预设的授权规则对资源访问请求进行授权验证,如果验证失败,向客户端发送授权失败响应;如果验证通过,向资源服务器发送资源访问请求,其中,资源访问请求中可以携带访问令牌(Access-Token)、客户端的标识信息、资源服务器的地址信息、客户端待访问的资源的地址信息、客户端对待访问的资源所请求的操作信息。
访问令牌用于指示哪个客户端拥有对哪个资源的哪一种操作权限,以及指示本地条件信息等。
由于资源服务器是受限节点,资源访问请求优选基于CoAP协议传输。其中,访问令牌可以基于扩展的Access-Token字段来传输,访问令牌可以包括如下信息中的一种或者任意组合:
Client-ID:客户端的标识信息或客户端的地址信息;
Role:角色,可以是管理员、访客、黑名单等;
Resource-Uri:待访问的资源的地址信息;
Allowed-Operation:允许的操作,包括Get、Post、Put、Delete及其组合;
Local-Condition:授权服务器的条件,包括时间条件、状态条件、位置条件等;
Validity:有效期,访问令牌的有效时间,资源服务器在此时间内缓存此访问令牌,用于后续使用;
Signature:签名信息,用于表明此访问令牌是经过授权服务器签名的;
例如,资源访问请求如下:
Client-ID:ClientIdentifier1234;  --客户端的标识信息;
Uri-Host:www.resourceserver.com;  --资源服务器的地址信息;
Uri-Port:5683;  --资源服务器的端口号信息;
Uri-Path:light1;  --待访问的资源的地址信息;
Code:Get;  --对待访问的资源的操作:获取;
Access-Token:[Client-ID=ClientIdentifier1234,Role=Guest,Resource-Uri=light1,Allowed-Operation=Get&Post&Put,Local-Condition=time>9am&time<5pm,Signature=akjkj8767];--访问令牌。
需要说明的是,在特定条件下,访问令牌可以进行简化,比如仅仅包含表示允许(Yes)或不允许(No)的信息即可。另外,对于访问令牌,发送方可以进行加密,接收方进行解密获取内容。
本发明实施例中,接收资源服务器返回的资源访问响应的方式有多种,可选的,可以采用如下方式:
接收资源服务器返回的授权验证失败响应;
将授权验证失败响应发送至客户端;
其中,授权验证失败响应中携带客户端无权限的信息、客户端所拥有的权限与客户端所请求的权限不符合的信息、客户端对资源的请求的本地条件与不满足预设规则的信息中的一种或者任意组合。
为了保护客户端与资源服务器之间的传输的消息的安全性,客户端与资源服务器之间需要协商密钥,用于对客户端和资源服务器之间传输的消息进行加解密,因此,提出了如下实施例:
参阅图13所示,本发明实施例中,客户端和资源服务器协商密钥的一种 流程如下,该流程应用于物联网场景下:
步骤1300:授权服务器对第一密钥分别采用第二密钥和第三密钥加密,第一密钥用于客户端和资源服务器之间建立安全通道,第二密钥为授权服务器和资源服务器之间的共享密钥,第三密钥为授权服务器和客户端之间的共享密钥;
步骤1310:授权服务器将采用第二密钥加密的第一密钥发送至资源服务器;
步骤1320:授权服务器将采用第三密钥加密的第一密钥通过资源服务器发送至客户端。
本发明实施例中,发送至资源服务器的第一密钥是基于第二密钥和资源服务器随机数(Nonce_AS)加密得到,通过资源服务器发送至客户端的第一密钥是基于第三密钥和客户端随机数(Nonce_AS)加密得到。
客户端随机数和资源服务器随机数可以每次都不一样。
这两个随机数是明文传输,加密算法采用对称算法,比如DES(Data Encryption Standard)算法,TDEA(Triple Data Encryption Algorithm)算法,Blowfish算法,RC5算法,IDEA(International Data Encryption Algorithm)算法等,加解密双方需要事先协商好算法,协商过程在此不再进行详述。
与资源服务器之间传输密钥时,可以基于CoAP协议传递,密钥和随机数可以在消息体字段中携带,可以使用数据结构字段携带,如:
EncryptedRSKey:采用第二密钥加密的第一密钥;
EncryptedClientKey:采用第三密钥加密的第一密钥;
Nonce_AS:资源服务器的随机数;
Nonce_C:客户端的随机数。
参阅图14所示,本发明实施例中,客户端和资源服务器协商密钥的一种流程如下,该流程应用于物联网场景下:
步骤1400:资源服务器接收授权服务器发送的采用第二密钥加密的第一密钥,第一密钥用于客户端和资源服务器之间建立安全通道,第二密钥为授 权服务器和资源服务器之间的共享密钥;
步骤1410:资源服务器将采用第二密钥加密的第一密钥进行解密,获取第一密钥;
步骤1420:资源服务器接收授权服务器发送的采用第三密钥加密的第一密钥,并将采用第三密钥加密的第一密钥发送至客户端,以使得客户端获取第一密钥要与资源服务器之间建立安全通道;其中,第三密钥为授权服务器和客户端之间的共享密钥。
资源服务器收到第一密钥后,通过事先预置的授权服务器与资源服务器之间的共享的第二密钥,资源服务器的随机数,通过预先协商好的算法,得到第一密钥。
参阅图15所示,本发明实施例中,客户端和资源服务器协商密钥的一种流程如下,该流程应用于物联网场景下:
步骤1500:客户端接收授权服务器通过资源服务器发送的采用第三密钥加密的第一密钥,第三密钥为授权服务器和客户端之间的共享密钥;
步骤1510:客户端获取对采用第三密钥加密的第一密钥解密后的第一密钥;
步骤1520:客户端根据第一密钥与资源服务器之间建立安全通道。
本发明实施例中,接收授权服务器通过资源服务器发送的采用第三密钥加密的第一密钥之前,还包括如下操作:
向授权服务器发送密钥请求,密钥请求中携带客户端的标识信息、资源服务器的标识信息或资源服务器的地址信息;
密钥请求基于CoAP协议传输,可以采用扩展的Key_Request字段或者定义专用的的Key_Request URI字段表示该请求用于请求客户端和资源服务器之间的密钥。
本发明实施例中,获取对采用第三密钥加密的第一密钥解密后的第一密钥的方式有多种,可选的,可以采用如下方式:
将采用第三密钥加密的第一密钥发送至认证管理器;
接收认证管理器对采用第三密钥加密的第一密钥解密后的第一密钥。
可选的,具体可以采用如下方式:
客户端通过第三密钥和客户端的随机数,通过预先协商好的算法,对得到第一密钥,当然,也可以是认证管理器来解密,并将解密得到的第一密钥发送至客户端。
本发明实施例中,可选的,初始密钥可以携带在K_RS-C字段中。
现有技术中,客户端和资源服务器之间基于密钥建立安全通道,而密钥是客户端从授权服务器获取,然后,再将密钥发送至资源服务器,而授权服务器和客户端之间无法通信时,客户端就无法获取客户端和资源服务器之间建立安全通道的密钥,无法建立安全通道,而本发明实施例中,资源服务器从授权服务器中获取客户端和资源服务器之间建立安全通道的密钥,然后将该密钥发送至客户端,这样,客户端和资源服务器之间可以基于密钥建立安全通道,解决了现有技术中存在的缺陷,并且,上述图13、图14、图15是分别从授权服务器、资源服务器和客户端三侧来撰写的,同样可以实现上述效果。
综合上面图1B至图3A所提及的方案,为了避免客户端和授权服务器无法通信的情况下,客户端无法访问资源的缺陷,本发明提出一种实施例,在该实施例中,客户端通过资源服务器获取访问资源服务器的权限,避免了免客户端和授权服务器无法通信的情况下,客户端无法访问资源的缺陷;
综合上面图4至图9所提及的方案,为了避免资源浪费,降低信令消耗,本发明实施例中,资源服务器可以直接从授权服务器获取授权信息,而不是通过客户端来获取,因此,避免了资源浪费,降低了信令消耗。
综合上面图10至图12所提及的方案,为了避免客户端和资源服务器无法通信的情况下,客户端无法访问资源服务器的密钥的缺陷,本发明实施例中,客户端通过授权服务器来访问资源服务器,因此,避免了客户端和资源服务器无法通信的情况下,客户端无法访问资源服务器的密钥的缺陷。
综合上面图13至图15所提及的方案,为了避免客户端和授权服务器无 法通信的情况下,客户端无法获取与资源服务器的密钥的缺陷,本发明实施例中,授权服务器通过资源服务器将密钥发送至客户端,解决了客户端和授权服务器无法通信的情况下,客户端无法获取与资源服务器的密钥的缺陷。
基于上述技术方案,参阅图16所示,本发明实施例相应地提供一种客户端,应用于物联网场景下,该客户端包括发射器1600、接收器1610,其中:
发射器1600,用于向授权服务器发送授权请求;
发射器1600还用于,确定未接收到授权服务器返回的授权响应后,向资源服务器发送资源访问请求,资源访问请求中携带用于指示资源服务器向授权服务器发送授权请求的第一指示信息;
接收器1610,用于接收资源服务器返回的
资源访问响应,资源访问响应是资源服务器根据第一指示信息向授权服务器发送授权请求,并接收到授权服务器发送的授权响应后,根据资源访问请求返回的。
进一步的,发射器1600还用于:
向资源目录服务器发送授权服务器地址获取请求,其中,授权服务器地址获取请求携带与授权服务器对应的资源服务器的标识信息;
接收器1610还用于,接收资源目录服务器返回的授权服务器的地址信息;
发射器1600向授权服务器发送授权请求时,具体用于:
根据地址信息向授权服务器发送授权请求。
可选的,接收器1610具体用于:
接收资源服务器返回的授权验证失败响应;
其中,授权验证失败响应中携带客户端无权限的信息、客户端所拥有的权限与客户端所请求的权限不符合的信息、客户端对资源的请求的本地条件不满足预设规则的信息中的一种或者任意组合。
基于上述技术方案,参阅图17所示,本发明实施例相应地提供一种资源服务器,应用于物联网场景下,该资源服务器包括接收器1700、发射器1710,其中:
接收器1700,用于接收客户端在未接收到授权服务器返回的授权响应时发送的资源访问请求,资源访问请求中携带用于指示资源服务器向授权服务器发送授权请求的第一指示信息;
发射器1710,用于根据第一指示信息向授权服务器发送授权请求;
接收器1700还用于,接收授权服务器返回的授权响应;
发射器1710还用于,根据授权响应向客户端返回资源访问响应。
进一步的,发射器1710还用于:
根据授权响应向客户端返回授权验证失败响应;
其中,授权验证失败响应中携带客户端无权限的信息、客户端所拥有的权限与客户端所请求的权限不符合的信息、客户端对资源的请求的本地条件不满足预设规则的信息中的一种或者任意组合。
基于上述技术方案,参阅图18所示,本发明实施例相应地提供一种授权服务器,应用于物联网场景下,该授权服务器包括接收器1800、发射器1810,其中:
接收器1800,用于接收客户端通过资源服务器发送的授权请求;
发射器1810,用于根据授权请求向资源服务器发送授权响应,以使得资源服务器根据授权响应向客户端返回资源访问响应。
基于上述技术方案,参阅图19所示,本发明实施例相应地提供一种客户端,应用于物联网场景下,该客户端包括发射器1900、接收器1910,其中:
发射器1900,用于向授权服务器发送授权请求,授权请求中携带用于指示获取授权信息标识的指示信息;
接收器1910,用于接收授权服务器根据指示信息生成的授权信息的授权信息标识;
发射器1900还用于,向资源服务器发送携带授权信息标识的资源访问请求;
接收器1910还用于,接收资源服务器返回的资源访问响应,资源访问响应是资源服务器根据授权信息标识接收到授权服务器发送的授权响应后返回 的。
进一步的,发射器1900还用于:
向资源目录服务器发送授权服务器地址获取请求,其中,授权服务器地址获取请求携带与授权服务器对应的资源服务器的标识信息;
接收器1910还用于,接收资源目录服务器返回的授权服务器的地址信息;
发射器1900向授权服务器发送授权请求时,具体为:
根据地址信息向授权服务器发送授权请求。
进一步的,接收器1910还用于:
接收资源服务器返回的授权验证失败响应;
其中,授权验证失败响应中携带客户端无权限的信息、客户端所拥有的权限与客户端所请求的权限不符合的信息、客户端对资源的请求的本地条件不满足预设规则的信息中的一种或者任意组合。
基于上述技术方案,参阅图20所示,本发明实施例相应地提供一种资源服务器,应用于物联网场景下,该资源服务器包括接收器2000、发射器2010,其中:
接收器2000,用于接收客户端发送的携带授权信息标识的资源访问请求,授权信息标识是授权服务器根据客户端发送的用于指示获取授权信息标识的指示信息生成的;
发射器2010,用于根据授权信息标识接收授权服务器发送的授权响应;
发射器2010还用于,根据授权响应向客户端返回资源访问响应。
进一步的,还包括处理器,处理器用于:
对授权信息标识进行解析,获取数字签名信息;
将数据签名信息验证成功后,发射器还用于,向授权服务器发送携带访问令牌标识的授权请求;
接收器还用于,接收授权服务器根据访问令牌标识返回的授权响应。
进一步的,发射器2010还用于:
根据授权响应向客户端返回授权验证失败响应;
其中,授权验证失败响应中携带客户端无权限的信息、客户端所支持的权限与客户端所请求的权限不符合的信息、客户端对资源的请求的本地条件不满足预设规则的信息中的一种或者任意组合。
基于上述技术方案,参阅图21所示,本发明实施例相应地提供一种授权服务器,应用于物联网场景下,该授权服务器包括接收器2100、处理器2110及发射器2120,其中:
接收器2100,用于接收客户端发送的授权请求,授权请求中携带客户端用于指示获取授权信息标识的指示信息;
处理器2110,用于根据指示信息生成授权信息的授权信息标识;
发射器2120,用于将授权信息标识发送至客户端;
接收器2100还用于,接收资源服务器发送的授权请求,其中,授权请求中携带授权信息标识;
发射器2120还用于,根据授权信息标识向资源服务器返回授权响应。
基于上述技术方案,参阅图22所示,本发明实施例相应地提供一种客户端,应用于物联网场景下,该客户端包括发射器2200、接收器2210,其中
发射器2200,用于向授权服务器发送授权请求,授权请求中携带用于指示所授权服务器将授权信息发送至资源服务器的指示信息;
接收器2210,用于接收授权服务器将授权信息发送至资源服务器后发送的授权反馈响应;
发射器2200还用于,根据授权反馈响应向资源服务器发送资源访问请求,资源访问请求中携带标识授权服务器已经将授权信息发送至资源服务器的标识信息;
接收器2210还用于,接收资源服务器返回的资源访问响应,资源访问响应是资源服务器根据标识信息获取授权服务器发送的授权信息后,根据授权信息返回的。
进一步的,发射器2200还用于:
向资源目录服务器发送授权服务器地址获取请求,其中,授权服务器地 址获取请求携带与授权服务器对应的资源服务器的标识信息;
接收器2210还用于,接收资源目录服务器返回的授权服务器的地址信息;
发射器2200向授权服务器发送授权请求时,具体为:
根据地址信息向授权服务器发送授权请求。
进一步的,接收器2210还用于:
接收资源服务器返回的授权验证失败响应;
其中,授权验证失败响应中携带客户端无权限的信息、客户端所拥有的权限与客户端所请求的权限不符合的信息、客户端对资源的请求的本地条件不满足预设规则的信息中的一种或者任意组合。
基于上述技术方案,参阅图23所示,本发明实施例相应地提供一种资源服务器,应用于物联网场景下,该资源服务器包括接收器2300、发射器2310,其中:
接收器2300,用于接收授权服务器发送的授权信息,授权信息是授权服务器根据客户端发送的授权请求中携带的指示信息发送的,指示信息用于指示所授权服务器将授权信息发送至资源服务;
接收器2300还用于,接收客户端发送的资源访问请求,资源访问请求中携带标识授权服务器将授权信息发送至资源服务器的标识信息;
发射器2310,用于向客户端返回资源访问响应,资源访问响应是根据标识信息获取授权服务器发送的授权信息后,根据授权信息返回的。
可选的,发射器2310用于:
向客户端返回授权验证失败响应;
其中,授权验证失败响应中携带客户端无权限的信息、客户端所拥有的权限与客户端所请求的权限不符合的信息、客户端对资源的请求的本地条件与不满足预设规则的信息中的一种或者任意组合。
基于上述技术方案,参阅图24所示,本发明实施例相应地提供一种授权服务器,应用于物联网场景下,该授权服务器包括接收器2400、发射器2410,其中:
接收器2400,用于接收客户端发送的授权请求,授权请求中携带用于指示授权服务器将授权信息发送至资源服务器的指示信息;
发射器2410,用于根据指示信息向资源服务器发送授权信息,以使得资源服务器根据授权信息向客户端返回资源访问响应。
基于上述技术方案,参阅图25所示,本发明实施例相应地提供一种客户端,应用于物联网场景下,该客户端包括发射器2500、接收器2510,其中:
发射器2500,用于向授权服务器发送资源访问请求;
接收器2510,用于接收授权服务器返回的资源访问响应,资源访问响应是授权服务器对资源访问请求验证成功后发送至资源服务器后,资源服务器对资源访问请求验证成功后发送至授权服务器的。
进一步的,发射器2500还用于:
向资源目录服务器发送授权服务器地址获取请求,其中,授权服务器地址获取请求携带与授权服务器对应的资源服务器的标识信息;
接收器2510还用于,接收资源目录服务器返回的授权服务器的地址信息;
发射器2500向授权服务器发送资源访问请求时,具体为:
根据地址信息向授权服务器发送资源访问请求。
基于上述技术方案,参阅图26所示,本发明实施例相应地提供一种资源服务器,应用于物联网场景下,该资源服务器包括接收器2600、处理器2610及发射器2620,其中:
接收器2600,用于接收授权服务器发送的携带授权信息的资源访问请求,资源访问请求是授权服务器验证客户端发送的资源访问请求成功后发送的;
处理器2610,用于对授权信息进行验证,生成资源访问响应;
发射器2620,用于将资源访问响应通过授权服务器返回至客户端。
可选的,处理器2610具体用于:
对授权信息进行验证,生成授权验证失败响应;
其中,授权验证失败响应中携带客户端无权限的信息、客户端所支持的权限与客户端所请求的权限不符合的信息、客户端对资源的请求的本地与不 满足预设规则的信息中的一种或者任意组合。
基于上述技术方案,参阅图27所示,本发明实施例相应地提供一种授权服务器,应用于物联网场景下,该授权服务器包括接收器2700、处理器2710及发射器2720,其中:
接收器2700,用于接收客户端发送的资源访问请求;
处理器2710,用于对资源访问请求验证成功后,生成授权信息;
发射器2720,用于将授权信息携带在资源访问请求中发送至资源服务器;
接收器2700还用于,接收资源服务器返回的资源访问响应,并将资源访问响应发送至客户端。
可选的,接收器2700具体用于:
接收资源服务器返回的授权验证失败响应;
发射器2720还用于,将授权验证失败响应发送至客户端;
其中,授权验证失败响应中携带客户端无权限的信息、客户端所拥有的权限与客户端所请求的权限不符合的信息、客户端对资源的请求的本地条件与不满足预设规则的信息中的一种或者任意组合。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (42)

  1. 一种访问资源的方法,应用于物联网场景下,其特征在于,包括:
    向授权服务器发送授权请求;
    确定未接收到所述授权服务器返回的授权响应后,向资源服务器发送资源访问请求,所述资源访问请求中携带用于指示所述资源服务器向所述授权服务器发送授权请求的第一指示信息;
    接收所述资源服务器返回的资源访问响应,所述资源访问响应是所述资源服务器根据所述第一指示信息向所述授权服务器发送授权请求,并接收到所述授权服务器发送的授权响应后,根据所述资源访问请求返回的。
  2. 如权利要求1所述的方法,其特征在于,向授权服务器发送授权请求之前,还包括:
    向资源目录服务器发送授权服务器地址获取请求,其中,所述授权服务器地址获取请求携带与所述授权服务器对应的资源服务器的标识信息;
    接收所述资源目录服务器返回的所述授权服务器的地址信息;
    向授权服务器发送授权请求,具体包括:
    根据所述地址信息向所述授权服务器发送授权请求。
  3. 如权利要求1或2所述的方法,其特征在于,接收所述资源服务器返回的资源访问响应,具体包括:
    接收所述资源服务器返回的授权验证失败响应;
    其中,所述授权验证失败响应中携带所述客户端无权限的信息、所述客户端所拥有的权限与所述客户端所请求的权限不符合的信息、所述客户端对所述资源的请求的本地条件不满足预设规则的信息中的一种或者任意组合。
  4. 一种访问资源的方法,应用于物联网场景下,其特征在于,包括:
    接收客户端在未接收到授权服务器返回的授权响应后发送的资源访问请求,所述资源访问请求中携带用于指示所述资源服务器向所述授权服务器发送授权请求的第一指示信息;
    根据所述第一指示信息向所述授权服务器发送授权请求;
    接收所述授权服务器返回的授权响应;
    根据所述授权响应向所述客户端返回资源访问响应。
  5. 如权利要求4所述的方法,其特征在于,根据所述授权响应向所述客户端返回资源访问响应,具体包括:
    根据所述授权响应向所述客户端返回授权验证失败响应;
    其中,所述授权验证失败响应中携带所述客户端无权限的信息、所述客户端所拥有的权限与所述客户端所请求的权限不符合的信息、所述客户端对所述资源的请求的本地条件不满足预设规则的信息中的一种或者任意组合。
  6. 一种访问资源的方法,应用于物联网场景下,其特征在于,包括:
    接收客户端通过资源服务器发送的授权请求;
    根据所述授权请求向所述资源服务器发送授权响应,以使得所述资源服务器根据所述授权响应向所述客户端返回资源访问响应。
  7. 一种访问资源的方法,应用于物联网场景下,其特征在于,包括:
    向授权服务器发送授权请求,所述授权请求中携带用于指示获取授权信息标识的指示信息;
    接收所述授权服务器根据所述指示信息生成的所述授权信息的授权信息标识;
    向资源服务器发送携带所述授权信息标识的资源访问请求;
    接收所述资源服务器返回的资源访问响应,所述资源访问响应是所述资源服务器根据所述授权信息标识接收到所述授权服务器发送的授权响应后返回的。
  8. 如权利要求7所述的方法,其特征在于,向授权服务器发送授权请求之前,还包括:
    向资源目录服务器发送授权服务器地址获取请求,其中,所述授权服务器地址获取请求携带与所述授权服务器对应的资源服务器的标识信息;
    接收所述资源目录服务器返回的所述授权服务器的地址信息;
    向授权服务器发送授权请求,具体包括:
    根据所述地址信息向所述授权服务器发送授权请求。
  9. 如权利要求7或8所述的方法,其特征在于,向资源服务器发送携带所述授权信息标识的资源访问请求之后,还包括:
    接收所述资源服务器返回的授权验证失败响应;
    其中,所述授权验证失败响应中携带所述客户端无权限的信息、所述客户端所拥有的权限与所述客户端所请求的权限不符合的信息、所述客户端对所述资源的请求的本地条件不满足预设规则的信息中的一种或者任意组合。
  10. 一种访问资源的方法,应用于物联网场景下,其特征在于,包括:
    接收客户端发送的携带所述授权信息标识的资源访问请求,所述授权信息标识是授权服务器根据所述客户端发送的用于指示获取授权信息标识的指示信息生成的;
    根据所述授权信息标识接收所述授权服务器发送的授权响应;
    根据所述授权响应向所述客户端返回资源访问响应。
  11. 如权利要求10所述的方法,其特征在于,根据所述授权信息标识接收所述授权服务器发送的授权响应,具体包括:
    对所述授权信息标识进行解析,获取数字签名信息;
    将所述数据签名信息验证成功后,向所述授权服务器发送携带访问令牌标识的授权请求;
    接收所述授权服务器根据所述访问令牌标识返回的授权响应。
  12. 如权利要求10或11所述的方法,其特征在于,根据所述授权响应向所述客户端返回资源访问响应,具体包括:
    根据所述授权响应向所述客户端返回授权验证失败响应;
    其中,所述授权验证失败响应中携带所述客户端无权限的信息、所述客户端所支持的权限与所述客户端所请求的权限不符合的信息、所述客户端对所述资源的请求的本地条件不满足预设规则的信息中的一种或者任意组合。
  13. 一种访问资源的方法,应用于物联网场景下,其特征在于,包括:
    接收客户端发送的授权请求,所述授权请求中携带所述客户端用于指示获取授权信息标识的指示信息;
    根据所述指示信息生成授权信息的授权信息标识;
    将所述授权信息标识发送至所述客户端;
    接收所述资源服务器发送的授权请求,其中,所述授权请求中携带授权信息标识;
    根据所述授权信息标识向所述资源服务器返回授权响应。
  14. 一种访问资源的方法,应用于物联网场景下,其特征在于,包括:
    向授权服务器发送授权请求,所述授权请求中携带用于指示所授权服务器将授权信息发送至资源服务器的指示信息;
    接收所述授权服务器将所述授权信息发送至所述资源服务器后发送的授权反馈响应;
    根据所述授权反馈响应向所述资源服务器发送资源访问请求,所述资源访问请求中携带标识所述授权服务器已经将所述授权信息发送至所述资源服务器的标识信息;
    接收所述资源服务器返回的资源访问响应,所述资源访问响应是所述资源服务器根据所述所述标识信息获取所述授权服务器发送的授权信息后,根据所述授权信息返回的。
  15. 如权利要求14所述的方法,其特征在于,向授权服务器发送授权请求之前,还包括:
    向资源目录服务器发送授权服务器地址获取请求,其中,所述授权服务器地址获取请求携带与所述授权服务器对应的资源服务器的标识信息;
    接收所述资源目录服务器返回的所述授权服务器的地址信息;
    向授权服务器发送授权请求,具体包括:
    根据所述地址信息向所述授权服务器发送授权请求。
  16. 如权利要求14或15所述的方法,其特征在于,接收所述资源服务器返回的资源访问响应,具体包括:
    接收所述资源服务器返回的授权验证失败响应;
    其中,所述授权验证失败响应中携带所述客户端无权限的信息、所述客户端所拥有的权限与所述客户端所请求的权限不符合的信息、所述客户端对所述资源的请求的本地条件不满足预设规则的信息中的一种或者任意组合。
  17. 一种访问资源的方法,应用于物联网场景下,其特征在于,包括:
    接收授权服务器发送的授权信息,所述授权信息是所述授权服务器根据客户端发送的授权请求中携带的指示信息发送的,所述指示信息用于指示所授权服务器将授权信息发送至资源服务;
    接收客户端发送的资源访问请求,所述资源访问请求中携带标识所述授权服务器将所述授权信息发送至所述资源服务器的标识信息;
    向所述客户端返回资源访问响应,所述资源访问响应是根据所述标识信息获取所述授权服务器发送的授权信息后,根据所述授权信息返回的。
  18. 如权利要求17所述的方法,其特征在于,向所述客户端返回资源访问响应,具体包括:
    向所述客户端返回授权验证失败响应;
    其中,所述授权验证失败响应中携带所述客户端无权限的信息、所述客户端所拥有的权限与所述客户端所请求的权限不符合的信息、所述客户端对所述资源的请求的本地条件与不满足预设规则的信息中的一种或者任意组合。
  19. 一种访问资源的方法,应用于物联网场景下,其特征在于,包括:
    接收客户端发送的授权请求,所述授权请求中携带用于指示授权服务器将授权信息发送至资源服务器的指示信息;
    根据所述指示信息向所述资源服务器发送授权信息,以使得所述资源服务器根据所述授权信息向所述客户端返回资源访问响应。
  20. 一种访问资源的方法,应用于物联网场景下,其特征在于,包括:
    向授权服务器发送资源访问请求;
    接收所述授权服务器返回的资源访问响应,所述资源访问响应是所述授 权服务器对所述资源访问请求验证成功后发送至资源服务器后,所述资源服务器对所述资源访问请求验证成功后发送至所述授权服务器的。
  21. 如权利要求20所述的方法,其特征在于,向授权服务器发送资源访问请求之前,还包括:
    向资源目录服务器发送授权服务器地址获取请求,其中,所述授权服务器地址获取请求携带与所述授权服务器对应的资源服务器的标识信息;
    接收所述资源目录服务器返回的所述授权服务器的地址信息;
    向授权服务器发送资源访问请求,具体包括:
    根据所述地址信息向所述授权服务器发送资源访问请求。
  22. 一种访问资源的方法,应用于物联网场景下,其特征在于,包括:
    接收授权服务器发送的携带授权信息的资源访问请求,所述资源访问请求是所述授权服务器验证客户端发送的资源访问请求成功后发送的;
    对所述授权信息进行验证,生成资源访问响应;
    将所述资源访问响应通过所述授权服务器返回至客户端。
  23. 如权利要求22所述的方法,其特征在于,对所述授权信息进行验证,生成资源访问响应,具体包括:
    对所述授权信息进行验证,生成授权验证失败响应;
    其中,所述授权验证失败响应中携带所述客户端无权限的信息、所述客户端所支持的权限与所述客户端所请求的权限不符合的信息、所述客户端对所述资源的请求的本地与不满足预设规则的信息中的一种或者任意组合。
  24. 一种访问资源的方法,应用于物联网场景下,其特征在于,包括:
    接收客户端发送的资源访问请求;
    对所述资源访问请求验证成功后,生成授权信息;
    将所述授权信息携带在所述资源访问请求中发送至资源服务器;
    接收所述资源服务器返回的资源访问响应,并将所述资源访问响应发送至所述客户端。
  25. 如权利要求24所述的方法,其特征在于,接收所述资源服务器返回 的资源访问响应,具体包括:
    接收所述资源服务器返回的授权验证失败响应;
    将所述授权验证失败响应发送至所述客户端;
    其中,所述授权验证失败响应中携带所述客户端无权限的信息、所述客户端所拥有的权限与所述客户端所请求的权限不符合的信息、所述客户端对所述资源的请求的本地条件与不满足预设规则的信息中的一种或者任意组合。
  26. 一种客户端,应用于物联网场景下,其特征在于,包括:
    发射器,用于向授权服务器发送授权请求;
    所述发射器还用于,确定未接收到所述授权服务器返回的授权响应后,向资源服务器发送资源访问请求,所述资源访问请求中携带用于指示所述资源服务器向所述授权服务器发送授权请求的第一指示信息;
    接收器,用于接收所述资源服务器返回的资源访问响应,所述资源访问响应是所述资源服务器根据所述第一指示信息向所述授权服务器发送授权请求,并接收到所述授权服务器发送的授权响应后,根据所述资源访问请求返回的。
  27. 如权利要求26所述的客户端,其特征在于,所述发射器还用于:
    向资源目录服务器发送授权服务器地址获取请求,其中,所述授权服务器地址获取请求携带与所述授权服务器对应的资源服务器的标识信息;
    所述接收器还用于,接收所述资源目录服务器返回的所述授权服务器的地址信息;
    所述发射器向授权服务器发送授权请求时,具体用于:
    根据所述地址信息向所述授权服务器发送授权请求。
  28. 一种资源服务器,应用于物联网场景下,其特征在于,包括:
    接收器,用于接收客户端在未接收到授权服务器返回的授权响应后发送的资源访问请求,所述资源访问请求中携带用于指示所述资源服务器向所述授权服务器发送授权请求的第一指示信息;
    发射器,用于根据所述第一指示信息向所述授权服务器发送授权请求;
    所述接收器还用于,接收所述授权服务器返回的授权响应;
    所述发射器还用于,根据所述授权响应向所述客户端返回资源访问响应。
  29. 一种授权服务器,应用于物联网场景下,其特征在于,包括:
    接收器,用于接收客户端通过资源服务器发送的授权请求;
    发射器,用于根据所述授权请求向所述资源服务器发送授权响应,以使得所述资源服务器根据所述授权响应向所述客户端返回资源访问响应。
  30. 一种客户端,应用于物联网场景下,其特征在于,包括:
    发射器,用于向授权服务器发送授权请求,所述授权请求中携带用于指示获取授权信息标识的指示信息;
    接收器,用于接收所述授权服务器根据所述指示信息生成的所述授权信息的授权信息标识;
    所述发射器还用于,向资源服务器发送携带所述授权信息标识的资源访问请求;
    所述接收器还用于,接收所述资源服务器返回的资源访问响应,所述资源访问响应是所述资源服务器根据所述授权信息标识接收到所述授权服务器发送的授权响应后返回的。
  31. 如权利要求30所述的客户端,其特征在于,所述发射器还用于:
    向资源目录服务器发送授权服务器地址获取请求,其中,所述授权服务器地址获取请求携带与所述授权服务器对应的资源服务器的标识信息;
    所述接收器还用于,接收所述资源目录服务器返回的所述授权服务器的地址信息;
    所述发射器向授权服务器发送授权请求时,具体为:
    根据所述地址信息向所述授权服务器发送授权请求。
  32. 一种资源服务器,应用于物联网场景下,其特征在于,包括:
    接收器,用于接收客户端发送的携带所述授权信息标识的资源访问请求, 所述授权信息标识是授权服务器根据所述客户端发送的用于指示获取授权信息标识的指示信息生成的;
    发射器,用于根据所述授权信息标识接收所述授权服务器发送的授权响应;
    所述发射器还用于,根据所述授权响应向所述客户端返回资源访问响应。
  33. 如权利要求32所述的资源服务器,其特征在于,还包括处理器,所述处理器用于:
    对所述授权信息标识进行解析,获取数字签名信息;
    将所述数据签名信息验证成功后,所述发射器还用于,向所述授权服务器发送携带访问令牌标识的授权请求;
    所述接收器还用于,接收所述授权服务器根据所述访问令牌标识返回的授权响应。
  34. 一种授权服务器,应用于物联网场景下,其特征在于,包括:
    接收器,用于接收客户端发送的授权请求,所述授权请求中携带所述客户端用于指示获取授权信息标识的指示信息;
    处理器,用于根据所述指示信息生成授权信息的授权信息标识;
    发射器,用于将所述授权信息标识发送至所述客户端;
    所述接收器还用于,接收所述资源服务器发送的授权请求,其中,所述授权请求中携带授权信息标识;
    所述发射器还用于,根据所述授权信息标识向所述资源服务器返回授权响应。
  35. 一种客户端,应用于物联网场景下,其特征在于,包括:
    发射器,用于向授权服务器发送授权请求,所述授权请求中携带用于指示所授权服务器将授权信息发送至资源服务器的指示信息;
    接收器,用于接收所述授权服务器将所述授权信息发送至所述资源服务器后发送的授权反馈响应;
    所述发射器还用于,根据所述授权反馈响应向所述资源服务器发送资源 访问请求,所述资源访问请求中携带标识所述授权服务器已经将所述授权信息发送至所述资源服务器的标识信息;
    所述接收器还用于,接收所述资源服务器返回的资源访问响应,所述资源访问响应是所述资源服务器根据所述所述标识信息获取所述授权服务器发送的授权信息后,根据所述授权信息返回的。
  36. 如权利要求35所述的客户端,其特征在于,所述发射器还用于:
    向资源目录服务器发送授权服务器地址获取请求,其中,所述授权服务器地址获取请求携带与所述授权服务器对应的资源服务器的标识信息;
    所述接收器还用于,接收所述资源目录服务器返回的所述授权服务器的地址信息;
    所述发射器向授权服务器发送授权请求时,具体为:
    根据所述地址信息向所述授权服务器发送授权请求。
  37. 一种资源服务器,应用于物联网场景下,其特征在于,包括:
    接收器,用于接收授权服务器发送的授权信息,所述授权信息是所述授权服务器根据客户端发送的授权请求中携带的指示信息发送的,所述指示信息用于指示所授权服务器将授权信息发送至资源服务;
    所述接收器还用于,接收客户端发送的资源访问请求,所述资源访问请求中携带标识所述授权服务器将所述授权信息发送至所述资源服务器的标识信息;
    发射器,用于向所述客户端返回资源访问响应,所述资源访问响应是根据所述标识信息获取所述授权服务器发送的授权信息后,根据所述授权信息返回的。
  38. 一种授权服务器,应用于物联网场景下,其特征在于,包括:
    接收器,用于接收客户端发送的授权请求,所述授权请求中携带用于指示授权服务器将授权信息发送至资源服务器的指示信息;
    发射器,用于根据所述指示信息向所述资源服务器发送授权信息,以使得所述资源服务器根据所述授权信息向所述客户端返回资源访问响应。
  39. 一种客户端,应用于物联网场景下,其特征在于,包括:
    发射器,用于向授权服务器发送资源访问请求;
    接收器,用于接收所述授权服务器返回的资源访问响应,所述资源访问响应是所述授权服务器对所述资源访问请求验证成功后发送至资源服务器后,所述资源服务器对所述资源访问请求验证成功后发送至所述授权服务器的。
  40. 如权利要求39所述的客户端,其特征在于,所述发射器还用于:
    向资源目录服务器发送授权服务器地址获取请求,其中,所述授权服务器地址获取请求携带与所述授权服务器对应的资源服务器的标识信息;
    所述接收器还用于,接收所述资源目录服务器返回的所述授权服务器的地址信息;
    所述发射器向授权服务器发送资源访问请求时,具体为:
    根据所述地址信息向所述授权服务器发送资源访问请求。
  41. 一种资源服务器,应用于物联网场景下,其特征在于,包括:
    接收器,用于接收授权服务器发送的携带授权信息的资源访问请求,所述资源访问请求是所述授权服务器验证客户端发送的资源访问请求成功后发送的;
    处理器,用于对所述授权信息进行验证,生成资源访问响应;
    发射器,用于将所述资源访问响应通过所述授权服务器返回至客户端。
  42. 一种授权服务器,应用于物联网场景下,其特征在于,包括:
    接收器,用于接收客户端发送的资源访问请求;
    处理器,用于对所述资源访问请求验证成功后,生成授权信息;
    发射器,用于将所述授权信息携带在所述资源访问请求中发送至资源服务器;
    所述接收器还用于,接收所述资源服务器返回的资源访问响应,并将所述资源访问响应发送至所述客户端。
CN201480078982.4A 2014-10-24 2014-10-24 一种访问资源的方法及装置 Active CN106537864B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911097131.5A CN111030996B (zh) 2014-10-24 2014-10-24 一种访问资源的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2014/089466 WO2016061819A1 (zh) 2014-10-24 2014-10-24 一种访问资源的方法及装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN201911097131.5A Division CN111030996B (zh) 2014-10-24 2014-10-24 一种访问资源的方法及装置

Publications (2)

Publication Number Publication Date
CN106537864A true CN106537864A (zh) 2017-03-22
CN106537864B CN106537864B (zh) 2019-11-22

Family

ID=55760100

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201911097131.5A Active CN111030996B (zh) 2014-10-24 2014-10-24 一种访问资源的方法及装置
CN201480078982.4A Active CN106537864B (zh) 2014-10-24 2014-10-24 一种访问资源的方法及装置

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201911097131.5A Active CN111030996B (zh) 2014-10-24 2014-10-24 一种访问资源的方法及装置

Country Status (4)

Country Link
US (3) US10587531B2 (zh)
EP (2) EP3203698B1 (zh)
CN (2) CN111030996B (zh)
WO (1) WO2016061819A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111030996A (zh) * 2014-10-24 2020-04-17 华为技术有限公司 一种访问资源的方法及装置
CN111737681A (zh) * 2020-06-08 2020-10-02 海尔优家智能科技(北京)有限公司 资源的获取方法及装置、存储介质和电子装置

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10193997B2 (en) * 2016-08-05 2019-01-29 Dell Products L.P. Encoded URI references in restful requests to facilitate proxy aggregation
US11283612B2 (en) * 2017-05-30 2022-03-22 Nec Corporation Information processing device, verification device, and information processing system
US11416852B1 (en) * 2017-12-15 2022-08-16 Worldpay, Llc Systems and methods for generating and transmitting electronic transaction account information messages
CN108989848B (zh) * 2018-07-26 2020-04-28 网宿科技股份有限公司 一种视频资源文件的获取方法和管理系统
JP7247692B2 (ja) * 2019-03-22 2023-03-29 富士フイルムビジネスイノベーション株式会社 トークン管理装置及びトークン管理プログラム
CN110661817B (zh) * 2019-10-25 2022-08-26 新华三大数据技术有限公司 资源访问方法、装置及服务网关
CN111277565B (zh) * 2020-01-08 2022-04-12 北京小米松果电子有限公司 信息处理方法及装置、存储介质
CN111639319B (zh) * 2020-06-02 2023-04-25 抖音视界有限公司 用户资源授权方法、装置及计算机可读存储介质
US11005849B1 (en) * 2020-06-30 2021-05-11 Cyberark Software Ltd. Distributed directory caching techniques for secure and efficient resource access
CN112333199B (zh) * 2020-11-17 2023-04-21 珠海大横琴科技发展有限公司 一种数据处理的方法和装置
CN112511569B (zh) * 2021-02-07 2021-05-11 杭州筋斗腾云科技有限公司 网络资源访问请求的处理方法、系统及计算机设备
CN115174200B (zh) * 2022-06-30 2024-03-08 青岛海信网络科技股份有限公司 一种第三方认证方法、装置及设备
CN116233215B (zh) * 2023-05-06 2023-08-08 杭州筋斗腾云科技有限公司 安全访问的处理方法及电子设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102142067A (zh) * 2011-03-09 2011-08-03 中山大学 一种基于数字家庭网络的数字版权管理系统
CN102497374A (zh) * 2011-12-13 2012-06-13 方正国际软件有限公司 基于云计算可离线的软件许可集中安全认证系统及其方法
CN102835075A (zh) * 2011-04-12 2012-12-19 华为技术有限公司 用于访问资源的方法和装置
CN102984199A (zh) * 2011-09-12 2013-03-20 微软公司 资源访问授权
CN103795692A (zh) * 2012-10-31 2014-05-14 中国电信股份有限公司 开放授权方法、系统与认证授权服务器

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7774455B1 (en) * 2000-09-26 2010-08-10 Juniper Networks, Inc. Method and system for providing secure access to private networks
US7818792B2 (en) * 2002-02-04 2010-10-19 General Instrument Corporation Method and system for providing third party authentication of authorization
JP4698169B2 (ja) * 2003-07-24 2011-06-08 株式会社リコー ユーザ認証方法、画像形成装置
US20050132201A1 (en) * 2003-09-24 2005-06-16 Pitman Andrew J. Server-based digital signature
CN100397814C (zh) * 2004-07-13 2008-06-25 中国工商银行股份有限公司 一种基于网络的统一认证方法及系统
WO2008129765A1 (ja) * 2007-04-17 2008-10-30 Panasonic Corporation 監視機器制御システム
US8218772B2 (en) * 2008-06-30 2012-07-10 Samsung Electronics Co., Ltd. Secure multicast content delivery
CN102186164B (zh) * 2011-02-18 2014-04-02 华为技术有限公司 操作设备资源的方法和管理装置
US8850516B1 (en) * 2011-06-22 2014-09-30 Emc Corporation Virtual private cloud that provides enterprise grade functionality and compliance
US8650622B2 (en) * 2011-07-01 2014-02-11 Telefonaktiebolaget Lm Ericsson (Publ) Methods and arrangements for authorizing and authentication interworking
US9043886B2 (en) * 2011-09-29 2015-05-26 Oracle International Corporation Relying party platform/framework for access management infrastructures
CN102404726B (zh) * 2011-11-18 2014-06-04 重庆邮电大学 一种对用户访问物联网信息的分布式控制方法
CN103166783A (zh) * 2011-12-14 2013-06-19 华为技术有限公司 资源的控制方法及装置
CN103166931A (zh) * 2011-12-15 2013-06-19 华为技术有限公司 一种安全传输数据方法,装置和系统
CN102546648B (zh) * 2012-01-18 2015-04-01 Ut斯达康通讯有限公司 一种资源访问授权的方法
CN103686718A (zh) * 2012-08-31 2014-03-26 中兴通讯股份有限公司 D2d设备的身份标识处理方法及装置
CN103685204A (zh) * 2012-09-24 2014-03-26 中国科学院声学研究所 基于物联网资源共享平台的资源鉴权方法
CN104462872B (zh) * 2013-09-13 2018-11-06 北大方正集团有限公司 终端、服务器和数字内容授权方法
CN103475666B (zh) * 2013-09-23 2017-01-04 中国科学院声学研究所 一种物联网资源的数字签名认证方法
US20140109194A1 (en) * 2013-12-05 2014-04-17 Sky Socket, Llc Authentication Delegation
US20150235011A1 (en) * 2014-02-19 2015-08-20 Adobe Systems Incorporated Drm protected video streaming on game console with secret-less application
CN203858753U (zh) * 2014-03-27 2014-10-01 广东美的制冷设备有限公司 物联网家电系统及其信号转换装置
CN111030996B (zh) * 2014-10-24 2021-10-15 华为技术有限公司 一种访问资源的方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102142067A (zh) * 2011-03-09 2011-08-03 中山大学 一种基于数字家庭网络的数字版权管理系统
CN102835075A (zh) * 2011-04-12 2012-12-19 华为技术有限公司 用于访问资源的方法和装置
CN102984199A (zh) * 2011-09-12 2013-03-20 微软公司 资源访问授权
CN102497374A (zh) * 2011-12-13 2012-06-13 方正国际软件有限公司 基于云计算可离线的软件许可集中安全认证系统及其方法
CN103795692A (zh) * 2012-10-31 2014-05-14 中国电信股份有限公司 开放授权方法、系统与认证授权服务器

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111030996A (zh) * 2014-10-24 2020-04-17 华为技术有限公司 一种访问资源的方法及装置
US11082848B2 (en) 2014-10-24 2021-08-03 Huawei Technologies Co., Ltd. Resource access method and apparatus
CN111737681A (zh) * 2020-06-08 2020-10-02 海尔优家智能科技(北京)有限公司 资源的获取方法及装置、存储介质和电子装置

Also Published As

Publication number Publication date
US20210345111A1 (en) 2021-11-04
CN111030996A (zh) 2020-04-17
US20200162402A1 (en) 2020-05-21
US11082848B2 (en) 2021-08-03
CN111030996B (zh) 2021-10-15
US10587531B2 (en) 2020-03-10
US11812264B2 (en) 2023-11-07
CN106537864B (zh) 2019-11-22
EP3203698A1 (en) 2017-08-09
EP3203698B1 (en) 2019-09-25
WO2016061819A1 (zh) 2016-04-28
EP3203698A4 (en) 2017-09-13
EP3637723A1 (en) 2020-04-15
US20170230307A1 (en) 2017-08-10

Similar Documents

Publication Publication Date Title
CN106537864A (zh) 一种访问资源的方法及装置
CN107659406B (zh) 一种资源操作方法及装置
CN112995097B (zh) 跨域访问系统及方法、装置
CN107124433B (zh) 物联网系统、物联网设备访问方法、访问授权方法及设备
Razouk et al. A new security middleware architecture based on fog computing and cloud to support IoT constrained devices
CN106034104B (zh) 用于网络应用访问的验证方法、装置和系统
KR20150141362A (ko) 네트워크 노드 및 네트워크 노드의 동작 방법
CN103428221A (zh) 对移动应用的安全登录方法、系统和装置
WO2018177385A1 (zh) 一种传输数据的方法、装置和设备
CN104756458A (zh) 用于保护通信网络中的连接的方法和设备
CN110868294B (zh) 一种密钥更新方法、装置及设备
Mori Secure caching scheme by using blockchain for information-centric network-based wireless sensor networks
US9954853B2 (en) Network security
US8006249B2 (en) Method of implementing a state tracking mechanism in a communications session between a server and a client system
CN105207974A (zh) 一种实现用户资源差异化开放的方法、平台、应用和系统
CN105429962A (zh) 一种通用的面向加密数据的中间网络服务构建方法与体系
US10887314B2 (en) Access control for named domain networking
CN104618362B (zh) 一种资源服务器和客户端交互会话消息的方法及装置
Ortiz-Yepes Balsa: Bluetooth low energy application layer security add-on
Yang et al. A Study on Surveillance Service for Vehicles based on Cryptog-raphy using Attributes
Raja Sree et al. FogSec: A secure and effective mutual authentication scheme for fog computing
Pitsiladi Lightweight access control framework for IoT devices.
CN116980171A (zh) 一种基于旁路模式下的密码服务安全接入方法及系统
JP2024515154A (ja) セキュアキー管理デバイス、認証システム、広域ネットワーク、およびセッションキーを生成する方法
CN116455643A (zh) 一种基于网关模式下的密码服务安全接入方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220217

Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province

Patentee after: Huawei Cloud Computing Technology Co.,Ltd.

Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd.