CN107018123B - 一种管理设备访问权限的方法、装置和系统 - Google Patents
一种管理设备访问权限的方法、装置和系统 Download PDFInfo
- Publication number
- CN107018123B CN107018123B CN201611075679.6A CN201611075679A CN107018123B CN 107018123 B CN107018123 B CN 107018123B CN 201611075679 A CN201611075679 A CN 201611075679A CN 107018123 B CN107018123 B CN 107018123B
- Authority
- CN
- China
- Prior art keywords
- message
- account
- application
- slave
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title abstract description 9
- 238000012545 processing Methods 0.000 claims description 51
- 238000004891 communication Methods 0.000 claims description 43
- 238000012790 confirmation Methods 0.000 claims description 43
- 238000012795 verification Methods 0.000 claims description 33
- 238000013475 authorization Methods 0.000 description 18
- 238000007726 management method Methods 0.000 description 13
- 230000001360 synchronised effect Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 9
- 238000012217 deletion Methods 0.000 description 5
- 230000037430 deletion Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 238000013508 migration Methods 0.000 description 2
- 230000005012 migration Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000009469 supplementation Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明公开了一种管理设备访问权限的方法、装置和系统,其中管理系统包括第一设备和安全服务端,其中所述第一设备用于接收第二设备发出的从属设备注册消息,所述第一设备对该注册消息确认后向安全服务端发送从属设备注册前向消息;所述安全服务端接收从属设备注册前向消息,验证通过后所述安全服务端将第二设备设置为第一设备的从属设备。通过本发明能够简单,安全地配置应用及账户与设备之间的关系,从而实现同时解决用户账户在多设备之间管理的安全性和易用性的问题。
Description
本申请要求于2016年11月14日提交中国专利局、申请号为201611019375.8,发明名称为“一种管理设备访问权限的方法、装置和系统”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本发明涉及计算机信息技术领域,尤其涉及一种管理设备访问权限的方法、装置和系统。
背景技术
互联网用户通常会有多个应用和多个账户使用,多个应用和账户在不同的应用程序或者主机中存在;一般对于终端用户来讲,所拥有的计算机设备是有限的几个,通常是频繁使用的如家用电脑,笔记本电脑,平板电脑,智能手机等;通常这些设备都用来访问主人用户的各种应用及账户的服务。如目前个人互联网账户可以授权到用户的某一个计算机设备,如果有第二个设备需要方便的使用,用户为了保证安全,用户需要再次授权第二个设备;如果有多个账户需要授权时,每个账户都需要用同样的方式再做一遍,这样用户的账户与设备之间的授权关系不断增加,人们就很难记得哪些应用及账户在哪些设备上被授权访问权限了,不宜管理也不方便,需要一种简单,便捷的技术方法,在安全架构下工作的多应用,多账户,多设备授权管理技术来解决问题。
一般商业计算使用寿命是5年左右,智能手机由于电池等的影响,3年左右就需要更换,在用户终端设备置换的过程中,就需要把旧的用户终端的应用及账户的授权关系删除。在新的设备上需要提供给用户一个方便的,安全的应用用户迁移方案,在迁移的过程中保证新的计算设备安全工作,同时需要去除废弃的手机上授权关系,目前有部分服务提供商可以对自己服务的账户权限通过网页登录进行设备与应用账户关系的管理,但是没有通用的对于单个用户多应用及账户和多设备,之间的授权关系的管理;同时为了保证安全性,使用的步骤较多,易用性差,需要一种更安全易用的技术管理用户的多应用账户与多访问设备之间的关系。
发明内容
为实现本发明之目的,采用以下技术方案予以实现:
一种管理设备访问权限的系统,包括第一设备和安全服务端,其中:
所述第一设备用于接收第二设备发出的请求注册为第一设备的从属设备的从属设备注册消息,通过所述第一设备对该从属设备注册消息确认后向安全服务端发送从属设备注册前向消息;
所述安全服务端用于接收该注册前向消息,并对该注册前向消息进行验证,验证通过后所述安全服务端将第二设备设置为第一设备的从属设备。
所述的系统,其中,当第二设备访问应用和/或账户时,安全服务端对该第二设备的访问权限进行验证,如果该第二设备具备访问所述应用和/或账户的权限,则安全服务端对该第二设备对所述应用和/或账户进行访问的验证项判定为通过,允许应用和/或账户访问或者继续后续验证,如果该第二设备不具备该权限,则拒绝该第二设备对所述应用和/或账户的访问。
所述的系统,其中:所述第一设备具有第一密钥,安全服务端具有与第一密钥对应的第二密钥,所述第一设备和安全服务端都具有用于匹配第一密钥和第二密钥的第一识别ID;所述第二设备具有第三密钥,所述安全服务端具有对应于第三密钥的第四密钥,所述第二设备和安全服务端都具有用于匹配第三密钥和第四密钥的第二识别ID。
所述的系统,其中:所述从属设备注册消息包括消息体和消息凭证,所述消息体包括第二识别ID和同步提示信息,所述消息凭证是使用第三密钥为所述消息体计算得出的凭证;
所述第一设备对所述同步提示信息选择确认后,所述第一设备产生从属设备注册前向消息并发送给所述安全服务端,所述从属设备注册前向消息包括消息体和第一密钥为该消息体计算的凭证,所述消息体包括第一识别ID和所述从属设备注册消息;
所述安全服务端接收到所述从属设备注册前向消息后,使用第一识别ID找到第二密钥,使用第二密钥验证所述从属设备注册前向消息的凭证,如果通过,使用所述从属设备注册消息中的第二识别ID查找第四密钥,使用第四密钥计算所述从属设备注册消息的凭证,如果验证通过,则所述安全服务端将第二设备设置为第一设备的从属设备。
所述的系统,其中:所述安全服务端将第二设备设置为第一设备的从属设备后还产生从属设备注册确认消息,所述从属设备注册确认消息至少包括第二识别ID和安全服务端使用私钥为第二识别ID产生的签名;所述安全服务端将所述从属设备注册确认消息发送给第一设备。
所述的系统,其中:所述第一设备接收到所述从属设备注册确认消息后,使用安全服务端公钥验证消息签名;验证通过后,所述第一设备将第二识别ID加入从属设备名单中。
所述的系统,其中:所述第一设备还用于为其从属设备配置访问应用和/或账户权限,并将从属设备应用和/或账户配置消息发送给安全服务端;所述安全服务端保存该从属设备应用和/或账户配置消息,并根据该应用和/或账户配置消息内容管理从属设备访问相应的应用和/或账户的权限。
所述的系统,其中:所述从属设备应用和/或账户配置消息包括消息体和消息凭证,所述消息体包括配置的应用和/或账户信息,所述第二识别ID和所述第一识别ID;所述消息凭证是使用第一密钥对所述消息体计算产生的。
所述的系统,其中:
所述安全服务端收到所述从属设备应用和/或账户配置消息后,使用第一识别ID查找第二密钥,使用第二密钥验证所述从属设备应用和/或账户配置消息凭证,如果验证通过,检查第二识别ID对应的第二设备是否为第一设备的从属设备;如果是从属设备,检查第一设备是否具有配置消息中包括的应用和/或账户的根设备权限;如果消息中包括的配置的应用和/或账户是第一设备所管理的项目,所述安全服务端执行配置操作,将消息中要求的应用和/或账户为从属设备添加或者删除;所述安全服务端产生所述从属设备应用和/或账户配置发布消息;当配置操作是删除从属设备时,删除从属设备由第一设备配置的应用和/或账户,然后删除第二设备与第一设备的从属设备关系;所述安全服务端发送从属设备应用和/或账户配置确认消息通知第一设备完成配置操作。
所述的系统,其中:
所述安全服务端将所述从属设备应用和/或账户配置发布消息发送给第二设备;所述从属设备应用和/或账户配置发布消息包括消息体和使用所述安全服务端私钥计算的消息签名,所述消息体包括配置应用和/或账户信息,第二识别ID和第一识别ID。
所述的系统,其中:所述安全服务端对该第二设备的访问权限进行验证的方式为:安全服务端查询其本地是否保存有所述应用和/或账户与第二设备之间的对应关系,如果有,则该第二设备对所述应用和/或账户的访问判定选项判定为通过,允许应用和/或账户访问或者继续验证其他判定选项,否则拒绝该第二设备对所述应用和/或账户的访问。
一种管理设备访问权限的安全服务端,包括通信模块、处理模块和存储模块,其中:
所述通信模块用于接收所述第一设备对第二设备请求注册为第一设备的从属设备的注册消息进行确认后向安全服务端发送的从属设备注册前向消息;
所述处理模块用于对该注册前向消息进行验证,验证通过后所述处理模块将第二设备设置为第一设备的从属设备,并将该设置信息存储在存储模块中。
所述的安全服务端,其中,当第二设备访问应用和/或账户时,处理模块对该第二设备的访问权限进行验证,如果该第二设备具备访问所述应用和/或账户的权限,则处理模块对该第二设备对所述应用和/或账户的访问判定选项判定为通过,允许应用和/或账户访问或者继续验证其他判定选项,如果该第二设备不具备该权限,则拒绝该第二设备对所述应用和/或账户的访问。
所述的安全服务端,其中:所述第一设备具有第一密钥,安全服务端的存储模块具有与第一密钥对应的第二密钥,所述第一设备和安全服务端的存储模块都具有用于匹配第一密钥和第二密钥的第一识别ID;所述第二设备具有第三密钥,所述安全服务端的存储模块具有对应于第三密钥的第四密钥,所述第二设备和安全服务端的存储模块都具有用于匹配第三密钥和第四密钥的第二识别ID。
所述的安全服务端,其中:所述从属设备注册消息包括消息体和消息凭证,所述消息体包括第二识别ID和同步提示信息,所述消息凭证是使用第三密钥为所述消息体计算得出的凭证;
所述第一设备对所述同步提示信息选择确认后,产生从属设备注册前向消息并发送给所述安全服务端的通信模块,所述从属设备注册前向消息包括消息体和第一密钥为该消息体计算的凭证,所述消息体包括第一识别ID和所述从属设备注册消息;
所述通信模块接收到所述从属设备注册前向消息后,处理模块使用第一识别ID找到第二密钥,使用第二密钥验证所述从属设备注册前向消息的凭证,如果通过,使用所述从属设备注册消息中的第二识别ID查找第四密钥,使用第四密钥计算所述从属设备注册消息的凭证,如果验证通过,则所述处理模块将第二设备设置为第一设备的从属设备,并将该设置信息保存在存储模块中。
所述的安全服务端,其中:所述处理模块将第二设备设置为第一设备的从属设备后还产生从属设备注册确认消息,所述从属设备注册确认消息至少包括第二识别ID和安全服务端使用私钥为消息产生的签名;所述处理模块将所述从属设备注册确认消息通过通信模块发送给第一设备。
所述的安全服务端,其中:所述第一设备还用于为其从属设备配置访问应用和/或账户权限,并将从属设备应用和/或账户配置消息发送给安全服务端的通信模块;所述存储模块保存该从属设备应用和/或账户配置消息,所述处理模块根据该应用和/或账户配置消息内容管理从属设备访问相应的应用和/或账户的权限。
所述的安全服务端,其中:所述从属设备应用和/或账户配置消息包括消息体和消息凭证,所述消息体包括配置的应用和/或账户信息,所述第二识别ID和所述第一识别ID;所述消息凭证是使用第一密钥对所述消息体计算产生的。
所述的安全服务端,其中:
所述安全服务端的通信模块收到所述从属设备应用和/或账户配置消息后,处理模块使用第一识别ID查找第二密钥,使用第二密钥验证所述从属设备应用和/或账户配置消息凭证,如果验证通过,检查第二识别ID对应的第二设备是否为第一设备的从属设备;如果是从属设备,检查第一设备是否具有配置消息中包括的应用和/或账户的根设备权限;如果消息中包括的配置的应用和/或账户是第一设备所管理的项目,所述处理模块执行配置操作,将消息中要求的应用和/或账户为从属设备添加或者删除,并将相关配置信息保存在存储模块中;所述处理模块产生所述从属设备应用和/或账户配置发布消息;当配置操作是删除从属设备时,处理模块删除从属设备由第一设备配置的应用和/或账户,然后删除第二设备与第一设备的从属设备关系。
所述的安全服务端,其中:
所述安全服务端的通信模块将所述从属设备应用和/或账户配置发布消息发送给第二设备;所述从属设备应用和/或账户配置发布消息包括消息体和使用所述安全服务端私钥计算的消息签名,所述消息体包括配置应用和/或账户信息,第二识别ID和第一识别ID。
所述的安全服务端,其中:处理模块对该第二设备的访问权限进行验证的方式为:处理模块查询存储模块是否保存有所述应用和/或账户与第二设备之间的对应关系,如果有,则该第二设备对所述应用和/或账户的访问判定选项判定为通过,允许应用和/或账户访问或者继续验证其他判定选项,否则拒绝该第二设备对所述应用和/或账户的访问。
一种用于管理访问权限的设备,包括通信模块、处理模块和存储模块,其中:
所述通信模块用于接收第二设备发出的请求注册为所述设备的从属设备的从属设备注册消息,所述处理模块用于对该从属设备注册消息进行确认,确认后通过所述通信模块向安全服务端发送从属设备注册前向消息;
所述通信模块还用于接收所述安全服务端将第二设备设置为第一设备的从属设备后产生的从属设备注册确认消息,所述从属设备注册确认消息至少包括第二识别ID和安全服务端使用私钥为消息产生的签名;
所述存储模块用于保存所述从属设备注册确认消息处理后的结果。
所述的设备,其中:所述存储模块保存有第一密钥和关联的第一识别ID,管理的从属设备信息,为第一设备和第二设备授权的应用和/或账户;安全服务端具有与第一密钥对应的第二密钥,所述第一设备的存储模块和安全服务端都具有用于匹配第一密钥和第二密钥的第一识别ID。
所述的系统,其中:所述从属设备注册消息包括消息体和消息凭证,所述消息体包括第二识别ID和同步提示信息,所述消息凭证是使用第三密钥为所述消息体计算得出的凭证;
所述处理模块对所述同步提示信息选择确认后,产生从属设备注册前向消息并通过通信模块发送给所述安全服务端,所述从属设备注册前向消息包括消息体和第一密钥为该消息体计算的凭证,所述消息体包括第一识别ID和所述从属设备注册消息;
所述安全服务端接收到所述从属设备注册前向消息后,对该注册前向消息进行验证,验证通过后所述安全服务端将第二设备设置为第一设备的从属设备并产生从属设备注册确认消息,所述从属设备注册确认消息至少包括第二识别ID和安全服务端使用私钥为消息产生的签名;所述安全服务端将所述从属设备注册确认消息发送给第一设备;
所述通信模块接收该从属设备注册确认消息,所述处理模块将该消息保存在存储模块中。
所述的设备,其中:所述通信模块接收到所述从属设备注册确认消息后,处理模块使用安全服务端公钥验证消息签名;验证通过后,所述处理模块将第二识别ID加入存储模块的从属设备名单中。
所述的设备,其中:所述处理模块还用于为其从属设备配置访问应用和/或账户权限,并将从属设备应用和/或账户配置消息通过通信模块发送给安全服务端。
所述的设备,其中:所述从属设备应用和/或账户配置消息包括消息体和消息凭证,所述消息体包括配置的应用和/或账户信息,所述第二识别ID和所述第一识别ID;所述消息凭证是使用第一密钥对所述消息体计算产生的。
所述的设备,其中:所述设备提供人机界面,用于管理本设备,从属设备与授权的应用和/或账户,该人机界面包括:对应第一识别ID的设备,对应第一识别ID设备的授权的一个或多个应用名称和/或账户名,如有从属设备,则包括对应第二识别ID的设备,与第二设备对应的授权的一个或多个应用名称和/或账户名。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
在附图中:
图1为本发明实施例中从属设备注册示意图;
图2为本发明实施例中从属设备应用及账户配置示意图;
图3为本发明实施例中用户终端功能示意图;
图4为本发明安全服务端构成示意图;
图5为本发明管理访问权限的设备构成示意图。
具体实施方式
为了帮助互联网用户管理多设备与多应用及多账户关系管理的易用性和安全性,本发明实施例提供了一种多应用及账户管理方法及系统。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
实施示例1;
如图1是为本发明实施例中从属设备注册示意图。
本发明管理系统包括用户终端和安全服务端;所述用户终端由硬件和操作系统组成,是安全可信客户端的运行所在;实施中可以使用安全可信客户端用于用户管理多应用及账户,多设备可信关系管理,包括对单个及多个从属设备的管理,单个及多个应用及账户与单个及多个用户终端之间的访问授权关系的管理,操作包括添加,删除,查看,等行为。
所述根设备是指可以由用户设定或者由安全服务端选定的具备优先权以配置所述设备,应用,账户与多设备授权关系的能力的用户终端,称为第一设备;一个根设备可以添加,删除,查看,一个或多个从属设备;所述第一设备可以管理一个或多个所述从属设备与应用及账户的授权关系;从属设备称为第二设备;所述第一设备与第二设备通过包括但不限于通过设备间直接通信接口通信,包括通过WIFI直连,蓝牙,USB,摄像头扫描,音频,近场通信(NFC),红外,以太网接口,直连光纤接口,直连以太网接口等中任一选项的接口通信发送和接收所述从属设备注册消息,同时可以兼容未来新的无线和物联网设备间通信接口。
所述安全服务端管理所述用户终端从属关系和多设备与多应用账户的授权访问关系;使用应用及账户与用户终端的访问授权关系在用户访问应用及账户时作为是否批准账户接入的一个必要条件从而保证安全性;所述安全服务端对第二设备的访问权限进行验证的方式为:安全服务端查询其本地是否保存有所述应用及账户与第二设备之间的授权对应关系,如果有,则该第二设备设备对所述应用或账户的访问判定选项判定为通过,允许账户访问或者继续验证其他要求的判定选项,否则拒绝该第二设备对所述应用或账户的访问;所述需要验证的其他选项基于运营服务则的配置可以是对应应用及账户的密码,生物识别信息等。
在实施中第二设备向第一设备发送从属设备注册消息;实施中第一设备可以是家用移动智能手机,使用扫描,如扫描二维码,或USB,WIFI,蓝牙,音频,红外等通信接口与第二个移动智能手机或者家用电脑连接;也可是电脑和另外一台家用电脑使用以太网卡连接;可以是两个智能手机通过NFC发送消息;也可以通过蓝牙连接发送注册消息;声波通信可以用于两个没有屏幕的智能设备之间交互发送消息。
在实施中所述安全服务端根据根设备的请求增加或者减少从属设备。
在实施中所述第一设备被配置为根设备,具备配置为对根设备授权的应用及账户,以对从属第二设备进行授权关系配置;在配置的时候可以配置多个关系,也可以配置一个关系;从属设备可以有多个;既可以将应用及账户添加到第二设备,也可以将已经添加的应用及账户在对应的第二设备中删除;既可以添加从属设备,也可以将从属设备从根设备中删除,其相应的应用及账户关系也会被删除。
实施中,所述第一设备具有第一密钥,在安全服务端有与第一密钥对应的第二密钥;所述第二设备已经注册到所述安全服务端,本地有第三密钥,在所述安全服务端有对应于第三密钥的第四密钥;所述第一密钥,第二密钥,第三密钥,第四密钥既可以是对称密钥,也可以是公钥密码。
实施中,在用户终端设备和安全服务端之间有第一识别ID用于关联第一密钥和第二密钥,当安全服务端在会话中接收第一识别ID,安全服务端就是用第一识别ID查找对应第二密钥去验证;同理在第二设备和安全服务端之间第二识别ID用于关联第三密钥和第四密钥,当安全服务端在会话中接收识别ID第二识别ID,安全服务端就是用第二识别ID查找对应的第四密钥去验证。
步骤S101第二设备向第一设备发送从属设备注册消息。
所述第一设备与第二设备使用包括但不限于摄像头扫描,蓝牙,近场通信(NFC),红外,USB,音频传输,光纤接口,以太网接口,2G/3G/4G/5G无线通信接口等通信方式中接收到第二设备产生的从属设备注册请求消息;
所述从属设备注册请求消息至少包括由第二设备的识别ID,同步提示信息组成的消息体,和使用第三密钥为所述从属设备注册请求消息体计算的签名或凭证;计算凭证的技术可以是基于公钥密码的签名算法,也可以是基于对称密钥的消息认证码算法;
其中同步提示信息是在第二设备人机界面提示的信息,也可以是约定的其他信息,如记录在产品手册上产品型号,标识,或商标处的显示信息,人机交互中提示的信息类型可以是光电提示,字符,音频,图像,视频等等信息用于让操作的用户本人感知到第一设备接收到第二设备发出的所述从属设备注册请求消息;第一设备收到所述从属设备注册请求消息后将同步提示信息或者行为展示在所述第一设备的人机接口;用户在所述第一设备人机接口上确认批准第二设备注册,如点击确认之后,第一设备产生从属设备注册前向消息发送到所述安全服务端。
步骤S102所述第一设备产生从属设备注册前向消息发送到所述安全服务端;
所述从属设备注册前向消息至少包括从属设备注册前向消息体和第一密钥为从属设备注册前向消息体计算的签名或凭证,所述从属设备注册前向消息体至少包括第一识别ID和所述从属设备注册请求消息。
所述安全服务端收到所述从属设备注册前向消息后,使用第一识别ID找到第二密钥,使用第二密钥验证所述从属设备注册前向消息的凭证,如果通过,使用所述从属设备注册消息中的第二识别ID 查找第四密钥,使用第四密钥计算所述从属设备注册消息的凭证,如果验证通过,则所述安全服务端将第二设备设置为第一设备的从属设备。
步骤S103所述安全服务端产生从属设备注册确认消息;所述安全服务端是在验证所述从属设备注册前向消息后产生所述从属设备注册确认消息的;
所述安全服务端收到所述从属设备注册前向消息后,使用第一识别ID查找第二密钥,使用第二密钥验证所述从属设备注册前向消息的凭证,如果通过:使用所述从属设备注册消息中的第二识别ID查找第四密钥,使用第四密钥验证所述从属设备注册请求消息的凭证,如果验证通过,则所述安全服务端将第二设备设置为第一设备的从属设备;
所述安全服务端产生从属设备注册确认消息,所述从属设备注册确认消息至少包括第二识别ID和安全服务端使用私钥为所述第二识别ID产生的签名;所述安全服务端将所述从属设备注册确认消息发送给第一设备;实施中还可以包括时间戳,随机数,第一识别ID等可选信息用于补充。
第一设备收到所述从属设备注册确认消息后,使用安全服务端公钥验证消息签名;验证通过后,所述第一设备将第二识别ID加入主设备的从属设备名单中;在实施中使用运行在第一设备的安全可信客户端管理,查看。
实施示例2:
如图2所示是一种第一设备管理多应用,多账户的技术方案;实用中,账户是用于网络登录身份识别的多种信息的任意组合,包括但不限于注册的账号,身份识别信息如身份证号,银行卡号,联系方式及信息等各种信息中一种或多种组合;如第一设备是一部智能手机,第二设备是另外一部智能手机;第一设备可以一次配置多个应用,账户给第二设备;配置操作可以是增加或删除,选项可以是设备,应用或者账户三者中的任意组合;配置选项完成确认后,第一设备产生携带从属设备访问应用及账户权限配置的从属设备应用及账户配置消息,并将从属设备应用及账户配置消息发送给安全服务端;所述安全服务端验证和保存该从属设备应用及账户配置消息,并根据该应用账户配置消息内容管理从属设备访问相应的应用及账户的权限。实施中,如第一设备是一部智能手机,第二设备是另外一部智能手机,所述第一设备可以一次配置多个应用,账户给第二设备;配置选项完成,配置操作可以是增加或删除,选项可以是设备,应用或者账户三者中的任意组合。
步骤201所述第一设备产生所述从属设备应用及账户配置消息发送给所述安全服务端;所述从属设备应用及账户配置消息包括消息体和消息凭证,所述消息体包括配置的应用及账户信息,所述第二识别ID和所述第一识别ID;所述消息凭证是使用第一密钥对所述消息体计算产生的签名或凭证。
实施中,所述从属设备应用及账户配置消息至少包括从属设备应用及账户配置消息体和消息凭证;所述从属设备应用及账户配置消息体至少包括配置的应用及账户信息,第二识别ID,所述第一识别ID;所述配置的应用及账户信息包括授权的应用及账户信息,操作类型;所述消息凭证是使用第一密钥对所述从属设备应用及账户配置消息体计算的签名或者消息认证码;所述操作类型,包括可以是以下任一操作选项,包括增加或者删除设备;增加设备应用及账户的授权;删除设备与应用及账户授权关系;查看设备;查看设备与应用及账户关系等。
步骤202所述安全服务端收到所述从属设备应用及账户配置消息验证后,产生所述从属设备应用及账户配置发布消息;所述从属设备应用及账户配置发布消息包括消息体和消息体签名,所述消息体包括配置的应用及账户信息,第二识别ID,第一识别ID;所述消息凭证包括使用所述安全服务端私钥为该消息体签名或认证计算的签名或者凭证结果;
所述安全服务端收到所述从属设备应用及账户配置消息后,使用第一识别ID查找第一密钥对应的第二密钥,使用第二密钥验证所述从属设备应用及账户配置消息凭证,如果验证通过,检查第二识别ID对应的第二设备是否为第一设备的从属设备;如果是从属设备,检查第一设备是否具有配置消息中包括的应用及账户的根设备权限;如果消息中包括的配置的应用及账户是第一设备的根设备权限,所述安全服务端执行操作类型包括的配置,将消息中要求的第二设备,应用及账户的授权为从属设备添加,删除,查看;所述安全服务端产生所述从属设备应用及账户配置发布消息。
所述从属设备应用及账户配置消息用于操作类型是删除设备时,所述安全服务端验证之后,将第二识别ID对应的用户终端从第一识别ID的从属设备列表中删除,同时将由第一设备将配置到该第二设备的应用及账户授权一并从第二设备的授权关系中删除。
所述安全服务端将所述从属设备应用及账户配置发布消息发送给第二设备。
步骤203所述安全服务端将所述从属设备应用及账户配置发布消息发送给第二设备;所述从属设备应用及账户配置发布消息包括配置应用及账户信息,第二识别ID,第一识别ID组成的消息体和使用所述安全服务端私钥计算消息体得到的签名;
第二设备使用所述安全服务端公钥验证签名,验证通过后;验证第二设备是第一设备的从属设备;验证通过后将所述配置应用及账户信息增加到或者删除出所述第二设备的访问列表中;如果配置中要求删除第一设备和第二设备之间从属设备关系,则删除从属关系和相关应用及账户授权。
步骤204所述安全服务端发送从属设备应用及账户配置确认消息给所述第一设备,用于证实安全服务端完成第一设备发送的从属设备应用及账户配置消息中的配置操作。
实施用例3:
如图3所示是为本发明实施例中用户终端功能示意图;31是第一设备,用户终端设备由硬件和操作系统组成,32是所述安全可信客户端,是为设备提供多设备,多应用,多账户管理的功能用户终端;33是多设备,多应用及账户管理UI图示;单个从属设备即第二设备可以对应多个应用及账户;第一设备可以管理多个从属设备;第一设备可以配置对其归属的应用及账户,从属设备之间的关系;当为从属设备增加或者删除一个应用及账户时,在对应第二设备的安全可信设备用户终端上就会增加或者上出对应的配置的应用及账户;从而做到了简单,安全的应用及账户与设备之间的关系;那些没有相关设备,应用与账户对应关系的设备就不能发起对应应用于账户的访问,从而实现了安全性提高。
如图4、5所示,分别示出了如上安全服务端和管理访问权限的设备的构成示意图,其各组成部件用于完成上述的访问权限管理的过程。
如图4所示,所示安全服务端包括通信模块、处理模块和存储模块,所述通信模块接收所述第一设备对第二设备请求注册为第一设备的从属设备的注册消息进行确认后向安全服务端发送的从属设备注册前向消息;所述处理模块对该注册前向消息进行验证,验证通过后所述处理模块将第二设备设置为第一设备的从属设备,并将该设置信息存储在存储模块中。
当第二设备访问应用及账户时,处理模块对该第二设备的访问权限进行验证,如果该第二设备具备访问所述应用及账户的权限,则处理模块允许该第二设备对所述应用及账户进行访问,如果该第二设备不具备该权限,则拒绝该第二设备对所述应用及账户的访问。
所述第一设备具有第一密钥,安全服务端的存储模块具有与第一密钥对应的第二密钥,所述第一设备和安全服务端的存储模块都具有用于匹配第一密钥和第二密钥的第一识别ID;所述第二设备具有第三密钥,所述安全服务端的存储模块具有对应于第三密钥的第四密钥,所述第二设备和安全服务端的存储模块都具有用于匹配第三密钥和第四密钥的第二识别ID。
所述从属设备注册消息包括消息体和消息凭证,所述消息体包括第二识别ID和同步提示信息,所述消息凭证是使用第三密钥为所述消息体计算得出的凭证;
所述第一设备对所述同步提示信息确认后,产生从属设备注册前向消息并发送给所述安全服务端的通信模块,所述从属设备注册前向消息包括消息体和第一密钥为该消息体计算的凭证,所述消息体包括第一识别ID和所述从属设备注册消息;
所述通信模块接收到所述从属设备注册前向消息后,处理模块使用第一识别ID找到第二密钥,使用第二密钥验证所述从属设备注册前向消息的凭证,如果通过,使用所述从属设备注册消息中的第二设备识别ID查找第四密钥,使用第四密钥计算所述从属设备注册消息的凭证,如果验证通过,则所述处理模块将第二设备设置为第一设备的从属设备,并将该设置信息保存在存储模块中。
所述处理模块将第二设备设置为第一设备的从属设备后还产生从属设备注册确认消息,所述从属设备注册确认消息至少包括第二识别ID和安全服务端使用私钥为消息产生的签名;所述处理模块将所述从属设备注册确认消息通过通信模块发送给第一设备。
所述第一设备还用于为其从属设备配置访问应用及账户权限,并将从属设备应用及账户配置消息发送给安全服务端的通信模块;所述存储模块保存该从属设备应用及账户配置消息,所述处理模块根据该应用账户配置消息内容管理从属设备访问相应的应用及账户的权限。
所述从属设备应用账户配置消息包括消息体和消息凭证,所述消息体包括配置的应用及账户信息,所述第二识别ID和所述第一识别ID;所述消息凭证是使用第一密钥对所述消息体计算产生的。
所述安全服务端的通信模块收到所述从属设备应用账户配置消息后,处理模块使用第一识别ID查找第二密钥,使用第二密钥验证所述从属设备应用账户配置消息凭证,如果验证通过,检查第二识别ID对应的第二设备是否为第一设备的从属设备;如果是从属设备,检查第一设备是否具有配置消息中包括的应用及账户的根设备权限;如果消息中包括的配置的应用及账户是第一设备所管理的项目,所述处理模块执行配置操作,将消息中要求的应用及账户为从属设备添加或者删除,并将相关配置信息保存在存储模块中;所述处理模块产生所述从属设备应用及账户配置发布消息;当配置操作是删除从属设备时,处理模块删除从属设备由第一设备配置的应用及账户,然后删除第二设备与第一设备的从属设备关系。
所述安全服务端的通信模块将所述从属设备应用及账户配置发布消息发送给第二设备;所述从属设备应用及账户配置发布消息包括消息体和使用所述安全服务端私钥计算的消息签名,所述消息体包括配置应用账户信息,第二识别ID和第一识别ID。
处理模块对该第二设备的访问权限进行验证的方式为:处理模块查询存储模块是否保存有所述应用或账户与第二设备之间的对应关系,如果有,则允许该第二设备设备对所述应用或账户的访问,否则拒绝该第二设备对所述应用或账户的访问。
如图5所示,所述管理访问权限的设备包括通信模块、处理模块和存储模块,所述通信模块接收第二设备发出的请求注册为所述设备的从属设备的注册消息,所述处理模块用于对该从属设备注册消息进行确认,确认后通过所述通信模块向安全服务端发送从属设备注册前向消息;所述通信模块接收所述安全服务端将第二设备设置为第一设备的从属设备后产生的从属设备注册确认消息,所述从属设备注册确认消息至少包括第二识别ID和安全服务端使用私钥为消息产生的签名;所述存储模块用于保存所述从属设备注册确认消息。
所述存储模块保存有第一密钥,安全服务端具有与第一密钥对应的第二密钥,所述第一设备的存储模块和安全服务端都具有用于匹配第一密钥和第二密钥的第一识别ID。
所述从属设备注册消息包括消息体和消息凭证,所述消息体包括第二识别ID和同步提示信息,所述消息凭证是使用第三密钥为所述消息体计算得出的凭证;
所述处理模块对所述同步提示信息确认后,产生从属设备注册前向消息并通过通信模块发送给所述安全服务端,所述从属设备注册前向消息包括消息体和第一密钥为该消息体计算的凭证,所述消息体包括第一识别ID和所述从属设备注册消息;
所述安全服务端接收到所述从属设备注册前向消息后,对该注册前向消息进行验证,验证通过后所述安全服务端将第二设备设置为第一设备的从属设备并产生从属设备注册确认消息,所述从属设备注册确认消息至少包括第二识别ID和安全服务端使用私钥为消息产生的签名;所述安全服务端将所述从属设备注册确认消息发送给第一设备;
所述通信模块接收该从属设备注册确认消息,所述处理模块将该消息保存在存储模块中。
所述通信模块接收到所述从属设备注册确认消息后,处理模块使用安全服务端公钥验证消息签名;验证通过后,所述处理模块将第二识别ID加入存储模块的从属设备名单中。
所述处理模块还用于为其从属设备配置访问应用及账户权限,并将从属设备应用及账户配置消息通过通信模块发送给安全服务端。
所述从属设备应用账户配置消息包括消息体和消息凭证,所述消息体包括配置的应用及账户信息,所述第二识别ID和所述第一识别ID;所述消息凭证是使用第一密钥对所述消息体计算产生的。
Claims (6)
1.一种管理设备访问权限的系统,包括第一设备和安全服务端,其特征在于:
所述第一设备用于接收第二设备发出的请求注册为第一设备的从属设备的从属设备注册消息,通过所述第一设备对该从属设备注册消息确认后向安全服务端发送从属设备注册前向消息;
所述安全服务端用于接收该注册前向消息,并对该注册前向消息进行验证,验证通过后所述安全服务端将第二设备设置为第一设备的从属设备;
当第二设备访问应用和/或帐户时,安全服务端对该第二设备的访问权限进行验证,如果该第二设备具备访问所述应用和/或帐户的权限,则安全服务端对该第二设备对所述应用和/或帐户进行访问的验证项判定为通过,允许应用和/或帐户访问或者进行后续验证,如果该第二设备不具备该权限,则拒绝该第二设备对所述应用和/或帐户的访问;
所述安全服务端将第二设备设置为第一设备的从属设备后还产生从属设备注册确认消息,所述从属设备注册确认消息至少包括第二识别ID和安全服务端使用私钥为第二识别ID产生的签名;所述安全服务端将所述从属设备注册确认消息发送给第一设备。
2.根据权利要求1所述的系统,其特征在于:所述第一设备具有第一密钥,安全服务端具有与第一密钥对应的第二密钥,所述第一设备和安全服务端都具有用于匹配第一密钥和第二密钥的第一识别ID;所述第二设备具有第三密钥,所述安全服务端具有对应于第三密钥的第四密钥,所述第二设备和安全服务端都具有用于匹配第三密钥和第四密钥的第二识别ID。
3.根据权利要求1所述的系统,其特征在于:所述第一设备还用于为其从属设备配置访问应用和/或帐户权限,并将从属设备应用和/或帐户配置消息发送给安全服务端;所述安全服务端保存该从属设备应用和/或帐户配置消息,并根据该应用和/或帐户配置消息内容管理从属设备访问相应的应用和/或帐户的权限。
4.根据权利要求2所述的系统,其特征在于:所述从属设备应用和/或帐户配置消息包括消息体和消息凭证,所述消息体包括配置的应用和/或帐户信息,所述第二识别ID和所述第一识别ID;所述消息凭证是使用第一密钥对所述消息体计算产生的。
5.根据权利要求1所述的系统,其特征在于:所述安全服务端对该第二设备的访问权限进行验证的方式为:安全服务端查询其本地是否保存有所述应用和/或帐户与第二设备之间的对应关系,如果有,则该第二设备对所述应用和/或帐户的访问判定选项判定为通过,允许应用和/或帐户访问或者进行后续验证,否则拒绝该第二设备对所述应用和/或帐户的访问。
6.一种管理设备访问权限的安全服务端,包括通信模块、处理模块和存储模块,其特征在于:
所述通信模块用于接收第一设备对第二设备请求注册为第一设备的从属设备的注册消息进行确认后向安全服务端发送的从属设备注册前向消息;
所述处理模块用于对该注册前向消息进行验证,验证通过后所述处理模块将第二设备设置为第一设备的从属设备,并将该设置信息存储在存储模块中;
当第二设备访问应用和/或帐户时,处理模块对该第二设备的访问权限进行验证,如果该第二设备具备访问所述应用和/或帐户的权限,则处理模块对该第二设备对所述应用和/或帐户的访问判定选项判定为通过,允许应用和/或帐户访问或者进行后续验证,如果该第二设备不具备该权限,则拒绝该第二设备对所述应用和/或帐户的访问;
所述处理模块将第二设备设置为第一设备的从属设备后还产生从属设备注册确认消息,所述从属设备注册确认消息至少包括第二识别ID和安全服务端使用私钥为第二识别ID产生的签名;所述安全服务端将所述从属设备注册确认消息发送给第一设备。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611019375 | 2016-11-14 | ||
| CN2016110193758 | 2016-11-14 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107018123A CN107018123A (zh) | 2017-08-04 |
| CN107018123B true CN107018123B (zh) | 2020-05-15 |
Family
ID=59439456
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611075679.6A Expired - Fee Related CN107018123B (zh) | 2016-11-14 | 2016-12-15 | 一种管理设备访问权限的方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107018123B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1937572A (zh) * | 2005-09-23 | 2007-03-28 | 中兴通讯股份有限公司 | 接入设备远程验证拨号用户服务代理认证的实现方法 |
| CN103973637A (zh) * | 2013-01-28 | 2014-08-06 | 华为终端有限公司 | 配置权限的方法、代理设备和服务器 |
| CN105095727A (zh) * | 2015-05-25 | 2015-11-25 | 深圳新创客电子科技有限公司 | 一种设备管理员权限申请方法、服务器和系统 |
| CN105245541A (zh) * | 2015-10-28 | 2016-01-13 | 腾讯科技(深圳)有限公司 | 鉴权方法、设备及系统 |
| CN204965435U (zh) * | 2015-05-25 | 2016-01-13 | 深圳新创客电子科技有限公司 | 一种智能玩具 |
| CN105554908A (zh) * | 2015-12-31 | 2016-05-04 | 福建联迪商用设备有限公司 | 实现扫码蓝牙自动连接方法、主设备、从设备和系统 |
| CN105827576A (zh) * | 2015-01-05 | 2016-08-03 | 珠海汇金科技股份有限公司 | 基于动态密码锁的开锁方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100610317B1 (ko) * | 2004-01-06 | 2006-08-09 | 삼성전자주식회사 | 홈 네트워크를 구성하는 기기들에 대한 인증 장치 및 방법 |
-
2016
- 2016-12-15 CN CN201611075679.6A patent/CN107018123B/zh not_active Expired - Fee Related
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1937572A (zh) * | 2005-09-23 | 2007-03-28 | 中兴通讯股份有限公司 | 接入设备远程验证拨号用户服务代理认证的实现方法 |
| CN103973637A (zh) * | 2013-01-28 | 2014-08-06 | 华为终端有限公司 | 配置权限的方法、代理设备和服务器 |
| CN105827576A (zh) * | 2015-01-05 | 2016-08-03 | 珠海汇金科技股份有限公司 | 基于动态密码锁的开锁方法和系统 |
| CN105095727A (zh) * | 2015-05-25 | 2015-11-25 | 深圳新创客电子科技有限公司 | 一种设备管理员权限申请方法、服务器和系统 |
| CN204965435U (zh) * | 2015-05-25 | 2016-01-13 | 深圳新创客电子科技有限公司 | 一种智能玩具 |
| CN105245541A (zh) * | 2015-10-28 | 2016-01-13 | 腾讯科技(深圳)有限公司 | 鉴权方法、设备及系统 |
| CN105554908A (zh) * | 2015-12-31 | 2016-05-04 | 福建联迪商用设备有限公司 | 实现扫码蓝牙自动连接方法、主设备、从设备和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107018123A (zh) | 2017-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107070863B (zh) | 本地设备认证 | |
| US9038138B2 (en) | Device token protocol for authorization and persistent authentication shared across applications | |
| CN102457507B (zh) | 云计算资源安全共享方法、装置及系统 | |
| US8769289B1 (en) | Authentication of a user accessing a protected resource using multi-channel protocol | |
| EP2874369B1 (en) | Trusted communication session and content delivery | |
| WO2017054292A1 (zh) | 一种虚拟sim卡服务授权方法、终端、服务器以及系统 | |
| JP2023166562A (ja) | 第1の要素非接触カード認証システムおよび方法 | |
| EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
| US11144621B2 (en) | Authentication system | |
| CN103888265A (zh) | 一种基于移动终端的登录系统和方法 | |
| TWI632798B (zh) | 伺服器、行動終端機、網路實名認證系統及方法 | |
| US20230050271A1 (en) | Communication system and computer readable storage medium | |
| EP3148235B1 (en) | Authorization method and apparatus for management of embedded universal integrated circuit card | |
| CN105075219A (zh) | 包括安全性管理服务器和家庭网络的网络系统、以及用于在网络系统中包括设备的方法 | |
| KR20180128854A (ko) | 사용자 인증 시스템에서 이용되는 방법 및 사용자 인증 시스템에 포함된 정보 처리 장치 | |
| CN104247485A (zh) | 在通用自举架构中的网络应用功能授权 | |
| WO2019101156A1 (zh) | 一种设备控制方法及其相关设备 | |
| WO2014180431A1 (zh) | 一种网管安全认证方法、装置、系统及计算机存储介质 | |
| KR20220167366A (ko) | 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템 | |
| CN105357224A (zh) | 一种智能家居网关注册、移除方法及系统 | |
| JP2020078067A (ja) | モバイルデバイスを有するユーザがスタンドアロンコンピューティングデバイスの能力にアクセスすることをセキュアに可能にするためのシステム及び方法 | |
| CN107710673A (zh) | 用户身份认证的方法及设备 | |
| CN113132977A (zh) | 配网方法、配网系统及计算机可读存储介质 | |
| KR102053993B1 (ko) | 인증서를 이용한 사용자 인증 방법 | |
| CN107018123B (zh) | 一种管理设备访问权限的方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20170824 Address after: 100107 Beijing Chaoyang District Wankexingyuan 4 Building 805 Applicant after: Guo Zhengzheng Address before: 100084 Beijing Zhongguancun East Road, No. 1, building No. 8, ground floor, No. CB108-018, No. Applicant before: BEIJING DONGSHI TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200515 |