一种远程授权系统和远程授权方法
技术领域
本发明涉及智能卡远程授权领域,特别涉及一种远程授权系统和远程授权方法。
背景技术
智能卡授权是USB token的一种形式,经常用于和智能卡有关的软件或服务授权。比如公司商用软件在销售时,都是以智能卡授权的方式进行使用权控制:用户的电脑上只有插了授权智能卡才能正常使用软件。
智能卡授权的另一个典型应用是用作外部认证的密钥卡:当用户需要对一张安全级别较高的卡片(也可以称为目标卡)进行数据读写时,必须同时拥有一张对应的授权智能卡。用户先用应用协议数据单元APDU(Application Protocol Data Unit)指令从目标卡片取得一个随机数,然后把随机数发送给授权智能卡;授权智能卡用内部密钥对随机数加密,把密文返回;再把密文发送给目标卡片,目标卡片对密文进行合法性验证,通过即开放读写权限。
以上应用场景,授权智能卡都必须在用户手中,这种授权模式的局限性越来越明显,比如授权智能卡丢失,或者共用授权智能卡的两位工作人员需要出差到不同的城市,都会造成使用上的不方便,影响工作效率。
发明内容
本发明的目的在于,克服现有技术存在的上述缺陷,从而提供远程授权系统和方法。
为实现上述目的,本发明提供了一种远程授权系统,包括客户端、服务端以及授权卡终端,
所述客户端,用于产生授权请求并发送到服务端,以及接收服务端反馈的授权许可密文之后进行合法性校验以判断授权是否成功;
所述服务端,用于从客户端接收授权请求,向授权卡终端发送所述授权请求,从授权卡终端接收授权许可密文,并将所述授权许可密文发送给所述客户端;
所述授权卡终端,用于在接收到服务端发送的授权请求之后生成授权许可密文,将所述授权许可密文发送到所述服务端。
作为上述系统的一种改进,所述客户端包括数据收发单元、虚拟智能卡阅读器和授权请求校验单元;
所述数据收发单元用于建立客户端和服务端连接,还用于将授权请求发送给服务端,以及把所述服务端反馈的授权许可密文返回给所述虚拟智能卡阅读器;
所述虚拟智能卡阅读器用于接收授权请求校验单元发出的授权请求,将授权请求发送给数据收发单元,以及把授权许可密文返回给所述授权请求校验单元;
所述授权请求校验单元用于发出所述的授权请求,以及在接收到所述授权许可密文之后进行合法性校验以判断授权是否成功。
作为上述系统的一种改进,所述授权卡终端包括实体阅读器与授权智能卡;所述实体阅读器用于从服务端接收授权请求,将所述授权请求发送给所述授权智能卡;所述授权智能卡在接收到所述授权请求之后生成授权许可密文;所述实体阅读器还用于将所述授权许可密文发送给所述服务端。
基于上述系统,本发明还提供了一种远程授权方法,所述方法包括以下步骤:
所述客户端将授权请求发送给所述服务端;
所述服务端向所述授权卡终端发送所述授权请求;
所述授权卡终端接收所述授权请求之后生成授权许可密文,并将所述授权许可密文发送给所述服务端;
所述服务端将所述授权许可密文发送给所述客户端;
所述客户端在接收到所述授权许可密文之后进行合法性校验以判断授权是否成。
作为上述方法的一种改进,所述客户端将授权请求发送给服务端,具体为:所述授权请求校验单元向虚拟智能卡阅读器发出授权请求;所述虚拟智能卡阅读器接收授权请求,将授权请求通过所述数据收发单元发送至服务端;
所述客户端在接收到所述授权许可密文之后进行合法性校验以判断授权是否成,具体为:所述数据收发单元从服务端发送授权许可密文之后,通过虚拟智能卡阅读器将授权许可密文发送到授权请求校验单元;授权请求校验单元在接收到所述授权许可密文之后进行合法性校验以判断授权是否成功。
作为上述方法的一种改进,所述授权卡终端接收所述授权请求之后生成授权许可密文,并将所述授权许可密文发送给服务端,具体为:所述智能卡阅读器将授权请求发送给所述授权智能卡;所述授权智能卡在接收到授权请求之后生成授权许可密文;并将授权许可密文发送到所述智能卡阅读器,所述智能卡阅读器将授权许可密文发送给所述服务端。
本发明还提供了另一种形式的远程授权系统,包括客户端、服务端、授权管理装置以及授权卡终端;
所述客户端,用于产生授权请求并发送到服务端,以及接收服务端反馈的授权许可密文之后进行合法性校验以判断授权是否成功;
所述服务端,用于从客户端接收授权请求,向授权管理装置发送所述授权请求,从授权管理装置接收授权许可密文,并将所述授权许可密文发送给所述客户端;
所述授权管理装置,用于从服务端接收授权请求,将所述授权请求发送给授权卡终端;还用于在接收到所述授权卡终端发送的授权许可密文之后,将所述授权许可密文发送给服务端;
所述授权卡终端,所述授权智能卡在接收到授权管理装置发送的授权请求之后生成授权许可密文,将所述授权许可密文发送给所述授权管理装置。
作为上述系统的一种改进,所述客户端包括数据收发单元、虚拟智能卡阅读器和授权请求校验单元;
所述数据收发单元用于建立客户端和服务端连接,还用于将授权请求发送给服务端,以及把所述服务端反馈的授权许可密文返回给所述虚拟智能卡阅读器;
所述虚拟智能卡阅读器用于接收授权请求校验单元发出的授权请求,将授权请求发送给数据收发单元,以及把授权许可密文返回给所述授权请求校验单元;
所述授权请求校验单元用于发出所述的授权请求,以及在接收到所述授权许可密文之后进行合法性校验以判断授权是否成功。
作为上述系统的一种改进,所述授权卡终端包括实体阅读器与授权智能卡;所述实体阅读器用于从授权管理装置接收授权请求,将所述授权请求发送给所述授权智能卡;所述授权智能卡在接收到所述授权请求之后生成授权许可密文;所述实体阅读器还用于将所述授权许可密文发送给所述授权管理装置。
基于上述系统,本发明还提供了一种远程授权方法,所述方法包括以下步骤:
所述客户端将授权请求发送给所述服务端;
所述服务端向所述授权管理装置发送所述授权请求;
所述授权管理装置向所述授权卡终端发送所述授权请求;
所述授权卡终端接收所述授权请求之后生成授权许可密文,并将所述授权许可密文发送给所述授权管理装置;
所述授权管理装置将授权许可密文发送给所述服务端;
所述服务端将所述授权许可密文发送给所述客户端;
所述客户端在接收到所述授权许可密文之后进行合法性校验以判断授权是否成。
作为上述方法的一种改进,所述客户端将授权请求发送给服务端,具体为:所述授权请求校验单元向虚拟智能卡阅读器发出授权请求;所述虚拟智能卡阅读器接收授权请求,将授权请求通过所述数据收发单元发送至服务端;
所述客户端在接收到所述授权许可密文之后进行合法性校验以判断授权是否成,具体为:所述数据收发单元从服务端发送授权许可密文之后,通过虚拟智能卡阅读器将授权许可密文发送到授权请求校验单元;授权请求校验单元在接收到所述授权许可密文之后进行合法性校验以判断授权是否成功。
作为上述方法的一种改进,所述授权卡终端接收所述授权请求之后生成授权许可密文,并将所述授权许可密文发送给所述授权管理装置,具体为:所述智能卡阅读器将接收的所述授权请求发送给授权智能卡;所述授权智能卡在接收到授权请求之后生成授权许可密文;并将所述授权许可密文发送到智能卡阅读器,所述智能卡阅读器将授权许可密文发送给所述授权管理装置。
与现有技术相比,根据本发明实施例提供的远程授权系统和方法,可以免除用户必须将授权智能卡随身携带的负担,即授权智能卡不用安装在客户端(本地电脑)上就可以完成授权,同时也减少了授权智能卡丢失的可能性以及因此造成的安全隐患,在保持智能卡授权的高安全级别的同时,能够有效提高授权工作的效率。
附图说明
图1为本发明实施例1提供的一种远程授权系统示意图;
图2为本发明实施例1提供的客户端示意图;
图3为本发明实施例1提供的服务端示意图;
图4为本发明实施例1提供的授权卡终端示意图;
图5为本发明实施例2提供的另一种远程授权系统示意图;
图6为本发明实施例2提供的授权管理装置示意图;
图7为本发明实施例3提供的一种远程授权方法示意图;
图8为本发明实施例4提供的另一种远程授权方法示意图。
附图标记
100、客户端 101、数据收发单元 102、虚拟智能卡阅读器
103、授权请求校验单元
200、服务端 201、第一接收单元 202、第一发送单元
300、授权卡终端 301、智能卡阅读器 302、授权智能卡
400、授权管理装置 401、第二接收单元 402、第二发送单元
具体实施方式
为使本发明技术方案和优点更加清楚,结合附图通过以下几个具体实施例对本发明作进一步详细描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,根据本发明实施例1提供的一种远程授权系统,包括客户端100、服务端200以及授权卡终端300。
如图2所示,具体实施时,所述客户端100包括数据收发单元101、虚拟智能卡阅读器102与授权请求校验单元103;所述数据收发单元101用于建立客户端100和服务端200连接,将授权请求发送给服务端200,以及把所述服务端200反馈的授权许可密文返回给所述虚拟智能卡阅读器102;所述虚拟智能卡阅读器102用于接收授权请求校验单元103发出的授权请求,将授权请求发送给数据收发单元101,以及把授权许可密文返回给所述授权请求校验单元103;所述授权请求校验单元103用于发出所述的授权请求,以及在接收到所述授权许可密文之后进行合法性校验以判断授权是否成功。
所述客户端100和服务端200通过用户登录认证进行连接。要说明的是,上述登录认证信息可以通过安全链接或者加密链接方式进行;传递手段可以是QQ、微信、语音或者短信等,在此不做特别限制。
如图3所示,所述服务端200包括第一接收单元201和第一发送单元202。一种具体实施方式中,所述第一接收单元201从客户端100接收授权请求;第一发送单元202向授权卡终端300发送所述授权请求;第一接收单元201从授权卡终端300接收授权许可密文,第一发送单元202将所述授权许可密文发送给所述客户端100。
所述服务端维护客户端的登录账号列表。
如图4所示,所述授权卡终端300包括智能卡阅读器301以及授权智能卡302;一种具体实施方式中,所述智能卡阅读器301用于从服务端200接收授权请求,将所述授权请求发送给所述授权智能卡302;所述授权智能卡302在接收到所述授权请求之后生成授权许可密文。所述智能卡阅读器301还用于将所述授权许可密文发送给所述服务端200。
实施例2
如图5所示,根据本发明实施例提供的另外一种远程授权系统,包括客户端100、服务端200、授权管理装置400以及授权卡终端300。
具体实施时,该实施例的客户端100与实施例1客户端100相同。
仍然以图3为例,在另一种实施方式中,所述第一接收单元201从客户端100接收授权请求,第一发送单元202向授权管理装置300发送所述授权请求,第一接收单元201从授权管理装置接收授权许可密文,第一发送单元202将所述授权许可密文发送给所述客户端100。
如图6所示,所述授权管理装置400包括第二接收单元401和第二发送单元402。具体实施时,所述第二接收单元401用于从服务端200接收授权请求。所述第二发送单元402用于将所述授权请求发送给授权卡终端300。所述第二发送单元402还用于在接收到所述授权卡终端300发送的授权许可密文之后,将所述授权许可密文发送给服务端200。
仍然以图4为例,授权卡终端300在另外一种具体实施方式中,所述智能卡阅读器301用于从授权管理装置400接收授权请求,将所述授权请求发送给所述授权智能卡302;所述授权智能卡302在接收到所述授权请求之后生成授权许可密文;所述智能卡阅读器301还用于将所述授权许可密文发送给所述授权管理装置400。
实施例3
如图7所示,根据本发明实施例的提供了一种远程授权方法,包括以下步骤:
501、授权请求校验单元103向虚拟智能卡阅读器102发出授权请求;虚拟智能卡阅读器102接收授权请求,将授权请求通过数据收发单元101发送至服务端200;
502、第一接收单元201接收到客户端100发送的授权请求之后,第一发送单元202向授权卡终端300发送所述授权请求;
503、智能卡阅读器301将授权请求发送给授权智能卡302;授权智能卡302在接收到授权请求之后生成授权许可密文;并将授权许可密文发送到智能卡阅读器301,智能卡阅读器301将授权许可密文发送给服务端200;
504、第一接收单元201在收到授权卡终端300发送的授权许可密文之后,第一发送单元202将所述授权许可密文发送给所述客户端100;
505、数据收发单元101接收服务端200发送的授权许可密文之后,通过虚拟智能卡阅读器102将授权许可密文发送到授权请求校验单元103;授权请求校验单元103在接收到所述授权许可密文之后进行合法性校验以判断授权是否成功。
实施例4
如图8所示,本发明实施例提供了另一种远程授权方法,包括以下步骤:
601、授权请求校验单元103向虚拟智能卡阅读器102发出授权请求;虚拟智能卡阅读器102接收授权请求,将授权请求通过数据收发单元101发送至服务端200;
602、第一接收单元201在接收到客户端100发送的授权请求之后,第一发送单元202向授权管理装置400发送所述授权请求;
603、第二接收单元401在接收到服务端200发送的授权请求之后,第二发送单元402将授权请求发送给授权卡终端300;
604、智能卡阅读器301将授权请求发送给授权智能卡302;授权智能卡302在接收到授权请求之后生成授权许可密文;并将授权许可密文发送到智能卡阅读器301,智能卡阅读器301将授权许可密文发送给授权管理装置400;
605、第二接收单元401在接收到授权卡终端300发送的授权许可密文之后,第二发送单元402将授权许可密文发送给服务端200;
606、第一接收单元201在接受到授权管理装置400发送的授权许可密文之后,第一发送单元202将所述授权许可密文发送给所述客户端100;
607、数据收发单元101接收服务端200发送的授权许可密文之后,通过虚拟智能卡阅读器102将授权许可密文发送到授权请求校验单元103;授权请求校验单元103在接收到所述授权许可密文之后进行合法性校验以判断授权是否成功。
与现有技术相比,根据本发明实施例提供的远程授权系统和方法,安全性、便捷性大大增强,有利于提升工作效率。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,对本发明的技术方案进行修改或者等同替换,都不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。