CN108632329B - 一种第三方插件的访问方法和装置 - Google Patents
一种第三方插件的访问方法和装置 Download PDFInfo
- Publication number
- CN108632329B CN108632329B CN201710186114.3A CN201710186114A CN108632329B CN 108632329 B CN108632329 B CN 108632329B CN 201710186114 A CN201710186114 A CN 201710186114A CN 108632329 B CN108632329 B CN 108632329B
- Authority
- CN
- China
- Prior art keywords
- server
- internet
- things
- party plug
- party
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
Abstract
本申请实施例提供一种第三方插件的访问方法和装置,涉及通信领域,其方法为:物联网服务器接收第三方插件服务器发送的请求,请求包括访问令牌和业务参数;物联网服务器校验访问令牌和业务参数,并在校验通过后向物联网设备发送指令,指令包含校验通过的业务参数,用于指示安装了第三方插件的物联网设备根据校验通过的业务参数与第三方插件服务器和业务服务器中的至少一个建立连接。通过上述方案,可以提升用户通过第三方服务器访问第三方插件的安全性,保护用户隐私,维护用户利益。
Description
技术领域
本申请涉及通信领域,尤其涉及一种第三方插件的访问方法和装置。
背景技术
在物联网(Internet of Things,IoT)中,如图1所示,网络架构可以包括网关(Gateway)、IoT登录服务器、用户设备和第三方插件服务器(Third-party PluginsServer)。
用户设备(例如手机)无法近场控制网关中的第三方插件,必须通过第三方插件服务器来给第三方插件下发指令。手机通过第三方插件服务器管理第三方插件的方式主要有两种,一种方式是通过在手机应用程序(Application,App)中增加第三方插件对应的管理模块来管理第三方插件;另一种方式为,第三方插件开发厂商提供可内嵌至手机中的第三方插件超文本标记语言第5版(HyperText Markup Language 5,H5)管理页面来管理第三方插件。当手机使用插件H5管理页面管理第三方插件时,为了解决用户发送给第三方插件指令的合法性,需要由IoT登录服务器对用户的身份进行鉴权。如果IoT登录服务器鉴权用户的身份通过,那么第三方插件服务器就可以给第三方插件下发指令。
可知,现有技术中,IoT登录服务器仅对用户的身份鉴权,且第三方插件和第三方插件服务器之间的连接是永久连接,通信内容无法感知,网关无法控制后续第三方插件的运行、升级以及变更。如果开发第三方插件的厂商擅自增加或修改第三方插件的功能行为,将有可能给用户利益带来损害;再如果第三方插件服务器存在安全漏洞,被黑客恶意利用,便可以向第三方插件发送任何可能的指令,使得用户数据安全性降低,如采集用户隐私数据,向其他站点发起分布式拒绝服务(Distributed Denial of Service,DDoS)攻击等。
发明内容
本申请实施例提供一种第三方插件的访问方法和装置,能够解决第三方插件服务器出现安全隐患时造成的用户数据安全风险问题。
一方面,提供一种第三方插件的访问方法,应用于包含物联网服务器、物联网设备、用户、第三方插件服务器、第三方插件和业务服务器的物联网场景;物理网设备和用户在物联网服务器注册;第三方插件由第三方插件服务器管理;物联网设备安装了第三方插件,通过与业务服务器交互,为用户提供服务;第三方指除物联网服务器提供方和用户之外的第三方;包括:物联网服务器接收第三方插件服务器发送的请求,请求包括访问令牌和业务参数;访问令牌为物联网服务器分发给用户,用户请求第三方插件服务器访问第三方插件时,用户传递给第三方插件服务器的;业务参数包括第三方插件服务器和业务服务器中至少一个的地址信息;物联网服务器校验访问令牌和业务参数,并在校验通过后向物联网设备发送指令,指令包含校验通过的业务参数,用于指示安装了第三方插件的物联网设备根据校验通过的业务参数与第三方插件服务器和业务服务器中的至少一个建立连接。这样一来,物联网服务器可以在校验第三方插件服务器发送的访问令牌和业务参数通过后,指示物联网设备可以与业务服务器和第三方插件服务器中的至少一个建立连接,以便第三方插件服务器和业务服务器中的至少一个可以向安装在物联网设备上的第三方插件发送操作指示。相比现有技术,第三方插件服务器可以直接向第三方插件发送操作指示,本申请实施例中,物联网服务器可以对物联网设备与业务服务器之间以及物联网设备和第三方插件服务器之间的通信连接进行管控,能够解决第三方插件服务器出现安全隐患时造成的用户数据安全风险问题,例如避免了第三方插件服务器在未来随意修改第三方插件的功能,从而造成用户数据泄露等问题。
在一种可能的设计中,物联网服务器接收第三方插件服务器发送的请求前,上述方法还包括:物联网服务器接收并记录第三方插件服务器的注册信息,注册信息包括第三方插件的标识、操作类型、待访问的地址列表、待访问的地址列表对应的协议类型和端口列表。这样一来,物联网服务器可以根据第三方插件服务器的注册信息校验第三方插件服务器发送的业务参数。
在一种可能的设计中,物联网服务器接收第三方插件服务器发送的请求前,上述方法还包括:物联网服务器对通过用户设备登录物联网服务器的用户鉴权成功后,向用户设备发送第一响应消息,第一响应消息包括访问令牌,访问令牌用于验证用户。这样一来,用户可以在请求第三方插件服务器访问第三方插件时,将第一响应消息中的访问令牌传递给第三方插件服务器。
在一种可能的设计中,业务参数包括第三方插件的标识和第一参数,第一参数包括用户设备的操作类型、操作要访问的目标地址、操作使用的协议类型以及端口中的至少一个。
在一种可能的设计中,物联网服务器校验访问令牌包括:物联网服务器确定访问令牌是否在物联网服务器保存的访问令牌列表中,若确定是,则物联网服务器确定用户校验通过。
在一种可能的设计中,物联网服务器校验业务参数包括:物联网服务器确定业务参数是否与第三方插件服务器在物联网服务器的注册信息的记录相匹配。若物联网服务器确定业务参数与第三方插件服务器在物联网服务器的注册信息的记录相匹配,则业务参数校验通过。
在一种可能的设计中,第一响应消息还包括刷新令牌,刷新令牌用于对访问令牌被授权的有效时间进行续期。刷新令牌也可以具有有效期,有效期指示刷新令牌可被申请对访问令牌续期的次数。
在一种可能的设计中,物联网服务器在校验访问令牌和业务参数通过后,还向第三方插件服务器发送第二响应消息,第二响应消息包括授权的授权标识。第三方插件服务器可以根据授权标识和刷新令牌向物联网服务器请求续期。
在一种可能的设计中,该方法还包括:物联网服务器向物联网设备发送的指令中包含与业务服务器和第三方插件服务器中的至少一个连接的有效时间;有效时间由物联网服务器根据第三方插件服务器在物联网服务器注册的注册信息而确定;物联网服务器接收第三方插件服务器发送的续期请求,续期请求包括授权标识以及刷新令牌;续期请求用于物联网设备在连接有效时间到期或即将到期时,请求与业务服务器和第三方插件服务器中的至少一个继续建立或保持连接;物联网服务器向物联网设备发送续期指令,指示物联网设备继续与业务服务器和第三方插件服务器中的至少一个建立或保持连接。这样一来,当第三方插件服务器和业务服务器中的至少一个与物联网设备连接的有效时间到期或即将到期,也就是路由器可以与第三方插件服务器和业务服务器中的至少一个建立通信信道的有效时间到期或即将到期,第三方插件服务器可以向物联网服务器请求对有效时间续期。这样在避免一次授权,永久有效带来的第三方服务器可以随意发送指令给第三方插件的弊端的情况下,可以减少第三方插件服务器多次向物联网服务器申请授权,从而减少信令交互。
另一方面,提供一种第三方插件的访问方法,应用于包含物联网服务器、物联网设备、用户、第三方插件服务器、第三方插件和业务服务器的物联网场景;物联网设备和用户在物联网服务器注册;第三方插件由第三方插件服务器管理;物联网设备安装了第三方插件,通过与业务服务器或第三方插件服务器交互,为用户提供服务;第三方指除物联网服务器提供方和用户之外的第三方;包括:物联网设备接收物联网服务器发送的指令,指令包含物联网服务器校验通过的业务参数;业务参数包括第三方插件服务器和业务服务器中至少一个的地址信息;物联网设备根据校验通过的业务参数与第三方插件服务器和业务服务器中的至少一个建立连接。这样一来,物联网设备可以在接收到物联网服务器发送的指令后,与业务服务器和第三方插件服务器中的至少一个建立连接,以便第三方插件服务器和业务服务器中的至少一个可以向安装在物联网设备上的第三方插件发送操作指示。相比现有技术,第三方插件服务器可以直接向第三方插件发送操作指示,本申请实施例中,物联网服务器可以对物联网设备与业务服务器之间以及物联网设备和第三方插件服务器之间的通信连接进行管控,能够解决第三方插件服务器出现安全隐患时造成的用户数据安全风险问题,例如避免了第三方插件服务器在未来随意修改第三方插件的功能,从而造成用户数据泄露等问题。
在一种可能的设计中,该方法还包括:物联网设备接收的物联网服务器发送的指令中,包含连接的有效时间;物联网设备根据校验通过的业务参数与第三方插件服务器或业务服务器建立连接时,物联网设备启动计时器,以监控连接的有效时间是否到期;若物联网设备确定连接有效时间到期,则物联网设备中断与第三方插件服务器或业务服务器的连接。这样一来,物联网设备可以在有效时间内与第三方插件服务器和业务服务器中的至少一个建立连接,避免了第三方插件服务器可以一直向物联网设备中的第三方插件发送操作指示,可能在未来随意修改第三方插件的功能,从而造成用户数据泄露等问题。
在一种可能的设计中,该方法还包括:物联网设备接收物联网服务器发送的续期指令,指示物联网设备继续与业务服务器或第三方插件服务器建立或保持连接;物联网设备重新启动计时器。续期指令可以包括续期的时长,物联网设备可以根据续期时长重新启动计时器。
再一方面,提供一种物联网服务器,应用于包含物联网服务器、物联网设备、用户、第三方插件服务器、第三方插件和业务服务器的物联网场景;物理网设备和用户在物联网服务器注册;第三方插件由第三方插件服务器管理;物联网设备安装了第三方插件,通过与业务服务器交互,为用户提供服务;第三方指除物联网服务器提供方和用户之外的第三方,物联网服务器包括:接收单元,用于接收第三方插件服务器发送的请求,请求包括访问令牌和业务参数;访问令牌为物联网服务器分发给用户,用户请求第三方插件服务器访问第三方插件时,用户传递给第三方插件服务器的;业务参数包括第三方插件服务器和业务服务器中至少一个的地址信息;校验单元,用于校验访问令牌和业务参数;发送单元,用于在校验通过后向物联网设备发送指令,指令包含校验通过的业务参数,用于指示安装了第三方插件的物联网设备根据校验通过的业务参数与第三方插件服务器和业务服务器中的至少一个建立连接。
在一种可能的设计中,接收单元还用于:接收并记录第三方插件服务器的注册信息,注册信息包括第三方插件的标识、操作类型、待访问的地址列表、待访问的地址列表对应的协议类型和端口列表。
在一种可能的设计中,发送单元还用于:对通过用户设备登录物联网服务器的用户鉴权成功后,向用户设备发送第一响应消息,第一响应消息包括访问令牌,访问令牌用于验证用户。
在一种可能的设计中,业务参数包括第三方插件的标识和第一参数,第一参数包括用户设备的操作类型、操作要访问的目标地址、操作使用的协议类型以及端口中的至少一个。
在一种可能的设计中,校验单元用于:确定访问令牌是否在物联网服务器保存的访问令牌列表中,若确定是,则物联网服务器确定用户校验通过。
在一种可能的设计中,校验单元用于:确定业务参数是否与第三方插件服务器在物联网服务器的注册信息的记录相匹配。
在一种可能的设计中,第一响应消息还包括刷新令牌,刷新令牌用于对访问令牌被授权的有效时间进行续期。
在一种可能的设计中,发送单元还用于向第三方插件服务器发送第二响应消息,第二响应消息包括授权的授权标识。
在一种可能的设计中,物联网设备发送的指令中包含与业务服务器和第三方插件服务器中的至少一个连接的有效时间;有效时间由物联网服务器根据第三方插件服务器在物联网服务器注册的注册信息而确定;接收单元还用于:接收第三方插件服务器发送的续期请求,续期请求包括授权标识以及刷新令牌;续期请求用于物联网设备在连接有效时间到期或即将到期时,请求与业务服务器和第三方插件服务器中的至少一个继续建立或保持连接;发送单元还用于:向物联网设备发送续期指令,指示物联网设备继续与业务服务器和第三方插件服务器中的至少一个建立或保持连接。
再一方面,提供一种物联网设备,应用于包含物联网服务器、物联网设备、用户、第三方插件服务器、第三方插件和业务服务器的物联网场景;物联网设备和用户在物联网服务器注册;第三方插件由第三方插件服务器管理;物联网设备安装了第三方插件,通过与业务服务器或第三方插件服务器交互,为用户提供服务;第三方指除物联网服务器提供方和用户之外的第三方;物联网设备包括:接收单元,用于接收物联网服务器发送的指令,指令包含物联网服务器校验通过的业务参数;业务参数包括第三方插件服务器和业务服务器中至少一个的地址信息;处理单元,用于根据校验通过的业务参数与第三方插件服务器和业务服务器中的至少一个建立连接。
在一种可能的设计中,物联网设备接收的物联网服务器发送的指令中,包含连接的有效时间;物联网设备还包括计时单元,用于:根据校验通过的业务参数与第三方插件服务器或业务服务器建立连接时,启动计时器,以监控连接的有效时间是否到期;若确定连接有效时间到期,则中断与第三方插件服务器或业务服务器的连接。
在一种可能的设计中,接收单元还用于:接收物联网服务器发送的续期指令,指示物联网设备继续与业务服务器或第三方插件服务器建立或保持连接。计时单元还用于:重新启动计时器。
再一方面,本申请实施例提供了一种计算机存储介质,用于储存为上述物联网服务器所用的计算机软件指令,其包含用于执行上述方面所设计的程序。
再一方面,本申请实施例提供了一种计算机存储介质,用于储存为上述物联网设备所用的计算机软件指令,其包含用于执行上述方面所设计的程序。
这样一来,业务服务器和第三方插件服务器中的至少一个与安装第三方插件的物联网设备建立通信连接前,第三方插件服务器可以发送访问令牌和业务参数给物联网服务器,物联网服务器校验该访问令牌和业务参数通过后可以向物联网设备发送指令,而后物联网设备可以与业务服务器和第三方插件服务器中的至少一个建立连接,此时业务服务器和第三方插件服务器中的至少一个可以向安装在物联网设备的第三方插件发送操作指示。相比现有技术,第三方插件服务器可以直接向第三方插件发送操作指示,本申请实施例中,物联网服务器可以对物联网设备与业务服务器之间以及物联网设备和第三方插件服务器之间的通信连接进行管控,能够解决第三方插件服务器出现安全隐患时造成的用户数据安全风险问题,例如避免了第三方插件服务器在未来随意修改第三方插件的功能,从而造成用户数据泄露等问题。
附图说明
图1为本申请实施例提供的一种用户设备、IoT登录服务器、第三方插件服务器以及网关的系统架构示意图;
图2为本申请实施例提供的一种物联网服务器的内部结构示意图;
图3为本申请实施例提供的一种物联网设备的内部结构示意图;
图4为本申请实施例提供的一种第三方插件服务器、物联网服务器、安装第三方插件的物联网设备和业务服务器的系统架构示意图;
图5为本申请实施例提供的一种用户设备、第三方插件服务器、物联网服务器和路由器的信号交互示意图;
图5a为本申请实施例提供的一种第三方插件服务器、物联网服务器、路由器和业务服务器的信号交互示意图;
图5b为本申请实施例提供的一种物联网服务器、路由器和业务服务器的信号交互示意图;
图6为本申请实施例提供的一种第三方插件服务器、物联网服务器和路由器的信号交互示意图;
图7为本申请实施例提供的一种物联网服务器的结构示意图;
图8为本申请实施例提供的一种物联网服务器的结构示意图;
图9为本申请实施例提供的一种物联网设备的结构示意图;
图10为本申请实施例提供的一种物联网设备的结构示意图。
具体实施方式
本发明实施例可应用于用户通过第三方插件服务器访问物联网设备中的第三方插件的过程。例如可以应用于包含物联网服务器、物联网设备、用户、第三方插件服务器、第三方插件和业务服务器的物联网场景;物理网设备和用户可以在物联网服务器注册;第三方插件由第三方插件服务器管理;物联网设备安装了第三方插件,通过与业务服务器交互,为用户提供服务;第三方指除物联网服务器提供方和用户之外的第三方。
本申请的系统架构可以包括物联网服务器、物联网设备、第三方插件服务器和用户设备。其中,物联网服务器可以在现有的IoT登录服务器的功能基础上新增授权访问功能,可以为用户和物联网设备提供注册功能。物联网设备可以是终端设备、路由器或家庭网关,具有接入物联网服务器的能力。同时,物联网设备还提供了一个开放平台,以便于第三方插件服务商可以开发一些额外的功能特性并以第三方插件的方式安装到物联网设备中,为用户提供相应的服务。本申请实施例中,物联网设备还具备根据物联网服务器下发的指令来管理物联网设备的通信信道的能力。第三方插件服务器是指与第三方插件配合来为用户提供功能的服务端。第三方插件是指基于物联网设备的基础能力为用户提供额外功能或服务的一种特殊应用,第三方插件本身的开发独立于物联网设备,但需要借助物联网设备来部署,其运行可能也会借助物联网设备的能力。第三方插件和第三方插件服务器之间一般采用典型的主从(Client-Server,CS)通信模式,第三方插件服务器对第三方插件具有一定的管理能力,如下发指令、修改配置和升级等。用户设备可以是手机、智能终端、多媒体设备、流媒体设备、可穿戴设备、智能电表或智能水表等,用户可以通过用户设备登录物联网服务器。
在一种可能的设计中,本申请的系统架构也可以包括物联网服务器、物联网设备、第三方插件服务器、用户设备以及业务服务器。业务服务器可以单独向物联网设备提供服务,也可以与第三方插件服务器一起为物联网设备提供服务。在一种可能的设计中,第三方插件服务器也可以是业务服务器的一种。
图2为本申请实施例中物联网服务器的一种内部结构示意图,在本申请实施例中,物联网服务器可以包括处理模块201、通讯模块202和存储模块203。其中,通讯模块202用于可使用无线保真(Wireless Fidel i ty,WiFi)和长期演进(Long Term Evolut ion,LTE)等通讯方式接受其它设备发送的指令,也可以将物联网服务器的数据发送给其它设备。在本申请实施例中,通讯模块202可以用于接收第三方插件服务器发送的请求或向物联网设备发送指令等。处理模块201用于控制物联网服务器的各部分硬件装置和应用程序软件等。在本申请实施例中,处理模块201可以用于校验第三方插件服务器发送的访问令牌和业务参数。存储模块203用于执行物联网服务器的软件程序的存储、数据的存储和软件的运行等。在本申请实施例中,例如存储模块203可以用于记录第三方插件服务器发送的注册信息。在本申请实施例中,各模块的具体功能在下述实施例中说明。
图3为本申请实施例中物联网设备的一种内部结构示意图,在本申请中,物联网设备可以包括处理模块301、通讯模块302和存储模块303。其中,通讯模块302用于可使用LTE和WiFi等通讯方式接受其它设备发送的指令,也可以将物联网设备的数据发送给其它设备。例如在本申请实施例中,通讯模块302可以用于接收物联网服务器发送的指令,指令包含物联网服务器校验通过的业务参数。处理模块301用于控制物联网设备的各部分硬件装置和应用程序软件等。在本申请实施例中,处理模块301可以用于根据所述校验通过的业务参数与第三方插件服务器和业务服务器中的至少一个建立连接,并可以用于监控与业务服务器或第三方插件服务器连接的有效时间。存储模块303用于执行物联网设备的软件程序的存储、数据的存储和软件的运行等。在本申请实施例中,存储模块303例如可以用于存储物联网服务器发送的指令所包含的校验通过的业务参数。各模块的具体功能可以在下述实施例中予以说明。
下面以用户通过用户设备访问物联网设备中安装的第三方插件为例对本申请实施例进行说明。本申请实施例的基本思想是:如图4所示,物联网服务器接收第三方插件服务器发送的访问令牌(Access_Token)和业务参数,并对Access_Token和业务参数进行校验,校验通过后,物联网服务器向安装第三方插件的物联网设备下发指令,指示物联网设备仅和第三方插件服务器建立通信信道,或指示物联网设备和第三方插件服务器以及业务服务器建立通信通道,或指示物联网设备仅和业务服务器建立通信信道。相比现有技术(第三方插件服务器可以不经过物联网服务器的校验向第三方插件发送操作指示)本申请实施例能够解决第三方插件服务器出现安全隐患时造成的用户数据安全风险问题。
本申请实施例提供一种第三方插件的访问方法,以物联网设备为路由器为例进行说明,如图5所示,包括:
501、物联网服务器接收并记录第三方插件服务器的注册信息。
在本申请实施例中,第三方插件发布到物联网服务器上时,第三方插件服务器可以在物联网服务器中注册第三方插件信息,这里可以通过第三方插件服务器向物联网服务器发送注册信息来实现,或者也可以通过其他第三方服务器向物联网服务器发送注册信息来实现。
注册信息可以包括第三方插件的标识、操作类型、待访问的地址列表、待访问的地址列表对应的协议类型以及待访问的地址列表对应的端口列表。待访问的地址列表可以包括多个待访问的地址,待访问的地址列表对应的协议类型可以包括多个协议类型,待访问的地址列表对应的端口列表可以包括多个端口。
举例来说,当待访问的地址、待访问的地址对应的协议类型以及对应的端口为https://video.example.com:8088时,待访问的地址可以是video.example.com,协议类型可以是https,端口可以是8088。
该步骤501可以由上述通讯模块202以及存储模块203执行。
502、用户设备向物联网服务器发送登录请求。
当在物联网服务器注册过的用户通过用户设备访问第三方插件时,用户可以通过第三方插件页面向物联网服务器发送登录请求,登录请求包括用户名和密码参数。其中,第三方插件页面可以是第三方插件的管理页面或配置页面或交互界面,例如可以是第三方插件H5页面。第三方插件页面可内嵌至用户设备中,也可以通过浏览器或微信公众号等方式供用户使用。
步骤502可以由物联网服务器的通讯模块202执行,例如通讯模块202执行可以用于接收用户设备发送的登录请求。
503、物联网服务器验证登录请求。
物联网服务器根据用户名和密码参数对用户进行鉴权,鉴权成功后,可以执行步骤504。
该步骤503可以由上述处理模块201执行。
504、物联网服务器对用户鉴权成功后,向用户设备发送第一响应消息,第一响应消息包括Access_Token和刷新令牌Refresh_Token。
其中,Access_Token不仅可以用于在后续步骤中对用户验证,还可以用于指示第三方插件服务器和业务服务器中的至少一个对第三方插件访问授权的有效时间。Access_Token的有效时间可以是由物联网服务器确定的。具体地,物联网服务器可以根据审核通过的注册信息确定Access_Token被授权的有效时间。
Refresh_Token用于对第三方插件服务器和业务服务器中的至少一个访问第三方插件的有效时间续期,也就是当Access-Token的有效时间到期时或快要到期时,第三方插件服务器可以用Refresh_Token对Access-Token的有效时间进行续期。
需要说明的是,Refresh_Token本身也具有有效期,有效期指示Refresh_Token可被申请续期的次数。Refresh_Token的有效期可以是在物联网服务器接收并审核第三方插件服务器发送的注册信息时,由物联网服务器确定。
该步骤504可以由处理模块201和通讯模块202执行,例如物联网服务器的处理模块201用于对用户鉴权成功后,通过通讯模块202向用户设备发送第一响应消息。
505、用户设备接收到第一响应消息后,向第三方插件服务器发送操作请求。
操作请求包括Access-Token、Refresh-Token、第三方插件的标识和操作类型,可选的,还可以包括操作要待访问的地址、操作使用的协议类型、以及操作使用的端口。
举例来说,操作请求为用户请求第三方插件服务器为第三方插件升级。
506、第三方插件服务器根据用户设备发送的操作请求生成请求。
第三方插件服务器根据用户设备发送的操作请求生成的请求可以用于请求物联网服务器授权第三方插件服务器访问第三方插件,该请求也可以称为授权请求。授权请求可以包括Access-Token和业务参数,业务参数包括第三方插件的标识和第一参数,第一参数可以包括用户设备的操作类型、操作要访问的目标地址、操作使用的协议类型以及端口中的至少一个。可以理解的是,第一参数中可以包括多个操作类型,操作待访问的地址、操作使用的协议类型和端口。在如图5所述的实施例中,操作类型为软件升级,访问的目标地址为第三方插件服务器的地址,操作使用的协议类型为第三方插件服务器与安装了第三方插件的路由器进行通信的协议类型。
另外,第三方插件服务器可以提取操作请求中的Refresh-Token并保存在本地,以便于在后续步骤中,第三方插件服务器根据Refresh-Token对Access-Token授权的有效时间续期。
507、第三方插件服务器向物联网服务器发送Access-Token和业务参数。
该步骤507中,物联网服务器接收第三方插件服务器发送的Access-Token和业务参数可以由上述通讯模块202执行。
508、物联网服务器验证Access-Token和业务参数。
物联网服务器确定Access-Token是否在物联网服务器保存的Access-Token列表中,若确定是,则物联网服务器确定用户校验通过。而后物联网服务器可以根据步骤501中的注册信息匹配业务参数中包括的第三方插件的标识、操作类型、操作要访问的外部地址、操作使用的协议类型以及端口信息。
具体地,物联网服务器可以将业务参数包括的第三方插件的标识、操作类型、操作要访问的外部地址、操作使用的协议类型以及端口信息,与注册信息包括的第三方插件的标识、操作类型、操作要访问的外部地址、操作使用的协议类型以及端口信息进行对比,若注册信息中存在第三方插件的标识、操作类型、操作要访问的外部地址、操作使用的协议类型以及端口信息与授权请求信息中的操作类型、操作要访问的外部地址、操作使用的协议类型以及端口信息相同,则物联网服务器校验授权请求通过。
该步骤508可以由物联网服务器的处理模块201执行。
509、物联网服务器向路由器发送指令,并向第三方插件服务器发送第二响应消息。
若物联网服务器验证Access-Token和业务参数通过,则物联网服务器可以向路由器发送指令,该指令包括校验通过的业务参数,校验通过的业务参数包括第三方插件的标识和第二参数,第二参数可以包括操作类型,操作待访问的地址、操作使用的协议类型、端口以及授权的有效时间中的至少一个。该指令用于指示路由器可以与第三方插件服务器建立连接。
当物联网服务器验证Access-Token和业务参数通过后,物联网服务器还可以向第三方插件服务器发送第二响应消息,第二响应消息可以包括授权标识,授权标识可以与第三方插件的标识和第二参数对应。第三方插件服务器接收到该授权标识后,可以保存在本地,之后第三方插件服务器可以根据授权标识向物联网服务器发送续期请求。
该步骤509可以由物联网服务器的通讯模块202执行。
510、路由器与第三方插件服务器建立通信连接。
具体地,路由器可以根据指令中包括的第三方插件的标识和第二参数与第三方插件服务器建立对应操作的通信信道,以便第三方插件服务器可以向路由器中的第三方插件发送操作指示。
在一种可能的设计中,路由器可以根据指令中包括的第三方插件的标识和第二参数与第三方插件服务器建立对应操作的通信信道,并与业务服务器建立对应操作的通信信道;或,路由器可以根据指令中包括的第三方插件的标识和第二参数仅与业务服务器建立对应操作的通信信道。
同时,路由器可以根据Access-Token的有效时间(比如1个小时),为通信信道启动一个授权计时器来监控通信连接的有效时间。换句话说,Access-Token的有效时间即为路由器可以与第三方插件服务器建立通信连接的有效时间。当计时器的有效时间结束后,路由器可以中断与第三方插件服务器的通信信道。
需要说明的是,路由器在没有接收到物联网服务器下发的指令时默认禁止安装第三方插件的路由器与包括第三方插件服务器在内的外部地址建立通信信道。
该步骤510可以由上述处理模块301以及通讯模块302执行,例如处理模块301可以通过通讯模块302与第三方插件服务器建立通信连接。
511、路由器向物联网服务器发送成功响应,成功响应用于指示路由器与第三方插件服务器已成功建立通信信道。
路由器也可以直接向第三方插件服务器发送响应消息,响应消息用于指示路由器与第三方插件服务器已成功建立通信信道。
该步骤511可以由上述通讯模块302执行。
512、可选的,物联网服务器向第三方插件服务器发送成功响应,成功响应用于指示路由器与第三方插件服务器已成功建立通信信道。
可以理解的是,即使没有此成功响应,第三方插件服务器同样可以感知路由器已与自身成功建立通信信道。
该步骤512可以由上述通讯模块202执行。
513、路由器与第三方插件服务器在计时时间内建立安全通信连接。
当路由器与第三方插件服务器在计时时间内建立安全通信连接后,路由器上安装的第三方插件可以接收第三方插件服务器发送的操作指示。
在授权计时器到期之前(即在授权有效时间内),用户通过用户设备再次向第三方插件服务器发送与步骤505的操作请求相同类型的操作请求时,第三方插件服务器可以向路由器上的第三方插件直接发送操作指示,而不需要再次向物联网服务器申请授权。具体地,如果用户设备再次向第三方插件服务器发送操作请求。该操作请求包括的操作类型、待访问的地址、待访问的地址对应的协议类型以及待访问的地址列表对应的端口,与步骤505中所发送的操作请求包括的操作类型、待访问的地址、待访问的地址对应的协议类型以及待访问的地址列表对应的端口相同,那么可以认为两次发送的操作请求是相同类型的操作请求。
例如,步骤505中的操场请求用于请求预下载视频,当用户需要再一次进行预下载视频时,第三方插件服务器不需要再次向物联网服务器申请授权。
当然,在授权计时器到期之前,用户设备向第三方插件服务器发送与步骤505的操作请求不同的操作请求时,第三方插件服务器需要重新向物联网服务器申请授权。
例如,步骤505中的操场请求用于请求预下载视频,当用户需要进行预下载小说时,第三方插件服务器需要重新向物联网服务器申请授权。具体地,用户通过用户设备的第三方插件页面向第三方插件服务器发送新的操作请求,新的操作请求可以包括Access-Token、Refresh-Token和新的操作类型、新的操作要待访问的地址、新的操作使用的协议类型以及新的操作使用的端口。第三方插件服务器根据新的操作请求生成新的授权请求并发送给物联网服务器,新的授权请求包括Access-Token和新的操作类型、新的操作要访问的外部地址、新的操作使用的协议类型以及新的操作使用的端口。物联网服务器验证该授权请求成功后,向路由器发送指令,指令可以包括新的操作类型、新的操作要访问的外部地址、新的操作使用的协议类型以及新的操作使用的端口。路由器收到指令后,根据指令中包括的新的操作类型、新的操作要访问的外部地址、新的操作使用的协议类型以及新的操作使用的端口为路由器与第三方插件服务器建立新的通信信道。
另外,第三方插件服务器判断授权的有效时间是否过期有两种方式,第一,授权的有效时间可以是第三方插件服务器在向物联网服务器注册时,物联网服务器通知第三方插件服务器的,第三方插件服务器可以以此为依据;第二,只要路由器和第三方插件服务器之间的连接仍在保持着,第三方插件服务器就可以认为连接的有效时间没有过期。
该步骤513可以由上述处理模块301以及通讯模块302执行,例如路由器的处理模块301可以通过通讯模块302与第三方插件服务器在计时时间内建立安全通信连接。
需要说明的是,图5中的步骤510-513仅示出了当路由器与第三方插件服务器建立对应操作的通信信道的情况。当在505步骤中,若用户请求的是下载视频或下载小说等操作类型,第三方插件服务器无法提供此类业务服务器时,路由器则需要与业务服务器建立对应操作的通信信道。如果操作类型更为复杂,路由器在与业务服务器交互的过程中,还需要第三方插件服务器的参与或控制,则路由器需要同时与第三方插件服务器和业务服务器建立通信信道,这种情况下,第三方插件服务器向物联网服务器发送的业务参数中需要包含第三方插件服务器的地址和业务服务器的地址。路由器根据物联网服务器的指令,分别与第三方插件服务器和业务服务器建立通信信道的流程图与图5a所示流程大部分相同,仅需要将图5中的步骤510-513替换为图5a中的步骤514-516。
514、路由器与第三方插件服务器建立通信信道,并与业务服务器建立通信信道。
路由器可以根据Access-Token的有效时间为信道启动授权计时器来监控通信信道的有效时间。当计时器的有效时间结束后,路由器可以中断与第三方插件服务器间的通信信道,并中断与业务服务器间的通信信道。
需要说明的是,路由器在没有接收到物联网服务器下发的指令时默认禁止与第三方插件服务器之间建立通信信道,并禁止与业务服务器之间建立通信信道。
该步骤514可以由上述处理模块301和通讯模块302执行。
515、路由器向物联网服务器发送成功响应,成功响应用于指示路由器与第三方插件服务器已成功建立通信信道,并与业务服务器已成功建立通信信道。
成功响应可以用于指示路由器与业务服务器已成功建立通信信道,并与第三方插件服务器已成功建立通信信道。
该步骤515可以由上述通讯模块302执行。
516、路由器与第三方插件服务器在计时时间内建立安全通信连接,并与业务服务器在计时时间内建立安全通信连接。
当路由器与第三方插件服务器在计时时间内建立安全通信连接,并与业务服务器在计时时间内建立安全通信连接后,路由器上安装的第三方插件可以接收业务服务器和第三方插件服务器发送的操作指示。
该步骤516可以由上述处理模块301和通讯模块302执行。例如处理模块301在计时时间内通过通讯模块302与第三方插件服务器建立安全通信连接,并与业务服务器在计时时间内建立安全通信连接。
当路由器仅需要与业务服务器建立对应操作的通信信道时,如图5b所示,图5中的步骤510-513替换为步骤517-519。
517、路由器与业务服务器建立通信信道。
路由器可以根据Access-Token的有效时间为信道启动授权计时器来监控通信信道的有效时间。当计时器的有效时间结束后,路由器可以中断与业务服务器间的通信信道。
需要说明的是,路由器在没有接收到物联网服务器下发的指令时默认禁止与业务服务器之间建立通信信道。
该步骤517可以由处理模块301和通讯模块302执行。
518、路由器向物联网服务器发送成功响应,成功响应用于指示路由器与业务服务器已成功建立通信信道。
路由器也可以直接向业务服务器发送响应消息,响应消息用于指示路由器与业务服务器已成功建立通信信道。
该步骤518可以由通讯模块302执行。
519、路由器与业务服务器在计时时间内建立安全通信连接。
当路由器与业务服务器在计时时间内建立安全通信连接后,路由器上安装的第三方插件可以接收业务服务器发送的操作指示。
该步骤519可以由处理模块301和通讯模块302执行。
这样一来,当第三方插件服务器和业务服务器中的至少一个向第三方插件下发操作指示时,需要取得物联网服务器的授权;相比现有技术,第三方插件服务器操作第三方插件无需取得物联网服务器的验证,本申请实施例可以避免第三方插件服务器被恶意利用造成的用户数据有安全风险的问题。而且,物联网服务器对第三方插件服务器发送相同类型的操作给路由器的授权具有有效时间,当有效时间到期时,路由器中断第三方插件服务器和第三方插件的通信信道,可以避免一次授权,永久有效带来的第三方插件服务器可以随意发送指令给第三方插件。
当物联网设备可以与第三方插件服务器和业务服务器中至少一个连接的有效时间即将到期或已经到期,第三方插件服务器可以向物联网服务器发送续期请求,以便请求与业务服务器和第三方插件服务器中的至少一个继续建立或保持连接。因此,本申请实施例提供一种授权有效时间的续期方法,如图6所示,包括:
601、第三方插件服务器向物联网服务器发送续期请求,续期请求包括授权标识和Refresh-Token。
在授权的有效时间即将到期或已经到期后,第三方插件服务器可以向物联网服务器发送授权续期请求。其中,续期请求中的授权标识可以用于物联网服务器确定第三方插件服务器需要续期的操作,Refresh-Token可以用于物联网服务器确定操作的续期时长。
该步骤601可以由通讯模块202执行,例如物联网服务器的通讯模块202可以用于接收第三方插件服务器发送的续期请求。
602、物联网服务器确定授权标识以及Refresh-Token是否合法,若确定合法,则向路由器发送续期指令,指示路由器继续与业务服务器和第三方插件服务器中的至少一个建立或保持连接。
具体地,若物联网服务器判断授权标识和Refresh_Token为物联网服务器之前发送的授权标识和Refresh_Token,则物联网服务器确定授权标识以及Refresh-Token合法。
续期指令可以用于指示路由器刷新授权标识对应授权的有效时间,换句话说,续期指令可以用于指示路由器延长授权标识所指示的通信信道的通信时长。
根据步骤512中的举例,物联网服务器可以向路由器发送包括下载视频授权标识的续期指令,用于通知路由器根据Refresh_Token刷新路由器与业务服务器之间的下载视频这一操作的通信连接时间。
该步骤602可以由处理模块201和通讯模块202执行。
603、路由器接收到物联网服务器发送的续期指令后,重新启动计时器。
路由器可以根据Refresh_Token重新启计时器以延长与业务服务器和第三方插件服务器中的至少一个的通信信道的通信时长。
该步骤603可以由处理模块301和通讯模块302执行。例如路由器的通讯模块302接收到续期指令后,处理模块301重新启动计时器。
604、路由器向物联网服务器发送响应消息,响应消息用于指示路由器继续与业务服务器和第三方插件服务器中的至少一个建立或保持连接。
同时,路由器可以在有效的通信时长内主动与第三方插件服务器和业务服务器中的至少一个建立通信连接。
路由器也可以直接向第三方插件服务器和业务服务器中的至少一个发送响应消息,响应消息用于指示路由器可以与第三方插件服务器和业务服务器中的至少一个的通信连接的有效时间已延期。
该步骤604可以由通讯模块302执行。
605、物联网服务器向第三方插件服务器发送响应消息,响应消息用于指示路由器可以与第三方插件服务器和业务服务器中的至少一个的通信连接的有效时间已延期。
第三方插件服务器和业务服务器中的至少一个可以在有效的通信时长内向路由器发送操作指示。
该步骤605可以由通讯模块202执行。
这样一来,当第三方插件服务器或业务服务器发送相同类型操作给路由器的授权有效时间到期或即将到期,也就是路由器可以与第三方插件服务器和业务服务器中的至少一个建立通信信道的有效时间到期或即将到期,第三方插件服务器可以向物联网服务器请求对有效时间续期,但可续期的次数是有限制的。这样在避免一次授权,永久有效带来的第三方服务器可以随意发送指令给第三方插件的弊端的情况下,可以减少第三方插件服务器对于相同类型的操作多次向物联网服务器申请授权,从而减少信令交互。
上述主要从物联网服务器和物联网设备的角度对本申请实施例提供的方案进行了介绍。可以理解的是,物联网服务器和物联网设备为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对物联网服务器和物联网设备进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在采用对应各个功能划分各个功能模块的情况下,图7示出了上述实施例中所涉及的物联网服务器7的一种可能的结构示意图,物联网服务器包括:接收单元701,校验单元702、发送单元703。接收单元701用于支持物联网服务器执行图5中的过程502、507和511,图5a中的过程515,图5b中的过程519,图6中的过程601和604;校验单元702用于支持物联网服务器执行图5中的过503和508;发送单元703用于支持物联网服务器执行图5中的过程504、509和512,图5a中的过程516,图5b中的过程520,图6中的过程602和605。其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在一种可能的设计中,物联网服务器可以通过图8中的计算机设备(或系统)来实现。
图8所示为本发明实施例提供的计算机设备示意图。计算机设备800包括至少一个处理器801,通信总线802,存储器803以及至少一个通信接口804。
处理器801可以是一个通用中央处理器(central processing unit,CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。
通信总线802可包括一通路,在上述组件之间传送信息。
通信接口804,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如以太网,无线接入网(radio access network,RAN),无线局域网(wireless local areanetworks,WLAN)等。
存储器803可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过总线与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器803用于存储执行本发明方案的应用程序代码,并由处理器801来控制执行。处理器801用于执行存储器803中存储的应用程序代码,从而实现本专利方法中的功能。
在具体实现中,作为一种实施例,处理器801可以包括一个或多个CPU,例如图8中的CPU0和CPU1。
在具体实现中,作为一种实施例,计算机设备800可以包括多个处理器,例如图8中的处理器801和处理器807。这些处理器中的每一个可以是一个单核(single-CPU)处理器,也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
在具体实现中,作为一种实施例,计算机设备800还可以包括输出设备805和输入设备806。输出设备805和处理器801通信,可以以多种方式来显示信息。例如,输出设备805可以是液晶显示器(liquid crystal display,LCD),发光二级管(light emitting diode,LED)显示设备,阴极射线管(cathode ray tube,CRT)显示设备,或投影仪(projector)等。输入设备806和处理器801通信,可以以多种方式接受用户的输入。例如,输入设备806可以是鼠标、键盘、触摸屏设备或传感设备等。
上述的计算机设备800可以是一个通用计算机设备或者是一个专用计算机设备。在具体实现中,计算机设备800可以是台式机、便携式电脑、网络服务器、掌上电脑(personal digital assistant,PDA)、移动手机、平板电脑、无线终端设备、通信设备、嵌入式设备或有图8中类似结构的设备。本发明实施例不限定计算机设备800的类型。
下面结合图8对本申请实施例进行说明。简要地说,物联网服务器的通信接口804接收到第三方插件服务器发送的请求时,处理器801调用存储器803中存储的应用程序校验请求中包括的访问令牌和业务参数,并在校验后通过通信接口804向物联网设备发送指令,指令包含校验通过的业务参数,指示安装了第三方插件的物联网设备根据校验通过的业务参数与第三方插件服务器和业务服务器中的至少一个建立连接。
在一种可能的设计中,物联网服务器的通信接口804还可以接收第三方插件服务器发送的注册信息并通过存储器803记录注册信息,注册信息包括第三方插件的标识、操作类型、待访问的地址列表、待访问的地址列表对应的协议类型和端口列表。
在一种可能的设计中,物联网服务器的处理器801对通过用户设备登录物联网服务器的用户鉴权成功后,通过通信接口804向用户设备发送第一响应消息,第一响应消息包括访问令牌,访问令牌用于验证用户。
在一种可能的设计中,物联网服务器的处理器801校验访问令牌包括:物联网服务器的处理器801确定访问令牌是否在物联网服务器的存储器803保存的访问令牌列表中,若确定是,则物联网服务器的处理器801确定用户校验通过。
在一种可能的设计中,物联网服务器的处理器801校验业务参数包括:物联网服务器的处理器801确定业务参数是否与第三方插件服务器在物联网服务器的存储器803中注册信息的记录相匹配。
在一种可能的设计中,物联网服务器的处理器801在校验访问令牌和业务参数通过后,还通过通信接口804向第三方插件服务器发送第二响应消息,第二响应消息包括授权的授权标识。
在一种可能的设计中,物联网服务器的处理器801通过通信接口804向物联网设备发送的指令中包含与业务服务器和第三方插件服务器中的至少一个连接的有效时间;有效时间由物联网服务器的处理器801根据物联网服务器的存储器803中记录的注册信息而确定;物联网服务器的处理器801通过通信接口804接收第三方插件服务器发送的续期请求,续期请求包括授权标识以及刷新令牌;续期请求用于物联网设备在连接有效时间到期或即将到期时,请求与业务服务器和第三方插件服务器中的至少一个继续建立或保持连接;物联网服务器的处理器801通过通信接口804向物联网设备发送续期指令,指示物联网设备继续与业务服务器和第三方插件服务器中的至少一个建立或保持连接。
这样一来,物联网服务器的处理器801可以在校验第三方插件服务器发送的访问令牌和业务参数通过后,通过通信接口804与业务服务器和第三方插件服务器中的至少一个建立连接,以便第三方插件服务器和业务服务器中的至少一个可以向安装在物联网设备上的第三方插件发送操作指示。相比现有技术,第三方插件服务器可以直接向第三方插件发送操作指示,本申请实施例中,物联网服务器的处理器801可以对物联网设备与业务服务器之间以及物联网设备和第三方插件服务器之间的通信连接进行管控,能够解决第三方插件服务器出现安全隐患时造成的用户数据安全风险问题,例如避免了第三方插件服务器在未来随意修改第三方插件的功能,从而造成用户数据泄露等问题。
在采用对应各个功能划分各个功能模块的情况下,图9示出了上述实施例中所涉及的物联网设备9的一种可能的结构示意图,物联网设备包括:接收单元901,处理单元902和计时单元903。接收单元901用于支持物联网设备执行图5中的过程509,图6中的过程602;处理单元902用于支持物联网设备执行图5中的过程510和513,图5a中的过程514和517,图5b中的过程518和521;计时单元903用于支持物联网设备执行图5中的过程510和513,图5a中的过程514和517,图5b中的过程518和521,图6中的过程603。其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在一种可能的设计中,物联网服务器可以通过图10中的计算机设备(或系统)来实现。
图10所示为本发明实施例提供的计算机设备示意图。计算机设备1000包括至少一个处理器1001,通信总线1002,存储器1003以及至少一个通信接口1004。
处理器1001可以是一个CPU,微处理器,ASIC,或一个或多个用于控制本发明方案程序执行的集成电路。
通信总线1002可包括一通路,在上述组件之间传送信息。
通信接口1004,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如以太网,RAN,WLAN等。
存储器1003可以是ROM或可存储静态信息和指令的其他类型的静态存储设备,RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM、CD-ROM或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过总线与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器1003用于存储执行本发明方案的应用程序代码,并由处理器1001来控制执行。处理器1001用于执行存储器1003中存储的应用程序代码,从而实现本专利方法中的功能。
在具体实现中,作为一种实施例,处理器1001可以包括一个或多个CPU,例如图10中的CPU0和CPU1。
在具体实现中,作为一种实施例,计算机设备1000可以包括多个处理器,例如图10中的处理器1001和处理器1007。这些处理器中的每一个可以是一个单核处理器,也可以是一个多核处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
在具体实现中,作为一种实施例,计算机设备1000还可以包括输出设备1005和输入设备1006。输出设备1005和处理器1001通信,可以以多种方式来显示信息。例如,输出设备1005可以是LCD,LED显示设备,CRT显示设备,或投影仪等。输入设备1006和处理器1001通信,可以以多种方式接受用户的输入。例如,输入设备1006可以是鼠标、键盘、触摸屏设备或传感设备等。
上述的计算机设备1000可以是一个通用计算机设备或者是一个专用计算机设备。在具体实现中,计算机设备1000可以是台式机、便携式电脑、网络服务器、PDA、移动手机、平板电脑、无线终端设备、通信设备、嵌入式设备或有图10中类似结构的设备。本发明实施例不限定计算机设备1000的类型。
下面结合图10对本申请实施例进行说明。简要地说,物联网设备通过通信接口1004接收物联网服务器发送的指令,指令包含物联网服务器校验通过的业务参数;业务参数包括第三方插件服务器和业务服务器中至少一个的地址信息;物联网设备的处理器1001根据校验通过的业务参数通过通信接口1004与第三方插件服务器和业务服务器中的至少一个建立连接。
在一种可能的设计中,物联网设备通过通信接口1004接收的物联网服务器发送的指令中,包含连接的有效时间;物联网设备的处理器1001根据校验通过的业务参数与第三方插件服务器或业务服务器建立连接时,物联网设备的处理器1001启动计时器,以监控连接的有效时间是否到期;若物联网设备确定连接有效时间到期,则物联网设备的处理器1001中断与第三方插件服务器或业务服务器中的连接。
在一种可能的设计中,物联网设备通过通信接口1004接收物联网服务器发送的续期指令,指示物联网设备的处理器1001继续通过通信接口1004与业务服务器或第三方插件服务器建立或保持连接;物联网设备的处理器1001重新启动计时器。
这样一来,物联网设备的通信接口1004接收到物联网服务器发送的指令后,物联网设备的处理器1001可以通过通信接口1004与业务服务器和第三方插件服务器中的至少一个建立连接,以便第三方插件服务器和业务服务器中的至少一个可以向安装在物联网设备上的第三方插件发送操作指示。相比现有技术,第三方插件服务器可以直接向第三方插件发送操作指示,本申请实施例中,物联网服务器的处理器801可以对物联网设备与业务服务器之间以及物联网设备和第三方插件服务器之间的通信连接进行管控,能够解决第三方插件服务器出现安全隐患时造成的用户数据安全风险问题,例如避免了第三方插件服务器在未来随意修改第三方插件的功能,从而造成用户数据泄露等问题。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本申请所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上所述的具体实施方式,对本申请的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本申请的具体实施方式而已,并不用于限定本申请的保护范围,凡在本申请的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本申请的保护范围之内。
Claims (24)
1.一种第三方插件的访问方法,应用于包含物联网服务器、物联网设备、第三方插件服务器的物联网场景;所述物联网设备安装了所述第三方插件,通过与所述第三方插件服务器交互,为用户提供服务;第三方指除所述物联网服务器提供方和用户之外的第三方;其特征在于,所述方法包括:
所述物联网服务器接收所述第三方插件服务器发送的请求,所述请求包括访问令牌和业务参数,所述业务参数包括所述第三方插件服务器和业务服务器中至少一个的地址信息;
所述物联网服务器校验所述访问令牌和所述业务参数,并在校验通过后向所述物联网设备发送指令,所述指令包含所述校验通过的业务参数,用于指示安装了所述第三方插件的所述物联网设备根据所述校验通过的业务参数与所述第三方插件服务器和所述业务服务器中的至少一个建立连接。
2.根据权利要求1所述的方法,其特征在于,所述物联网服务器接收所述第三方插件服务器发送的请求前,所述方法还包括:
所述物联网服务器接收并记录所述第三方插件服务器的注册信息,所述注册信息包括第三方插件的标识、操作类型、待访问的地址列表、所述待访问的地址列表对应的协议类型和端口列表。
3.根据权利要求2所述的方法,其特征在于,所述物联网服务器接收所述第三方插件服务器发送的请求前,所述方法还包括:
所述物联网服务器对通过用户设备登录所述物联网服务器的用户鉴权成功后,向所述用户设备发送第一响应消息,所述第一响应消息包括所述访问令牌,所述访问令牌用于验证所述用户。
4.根据权利要求2所述的方法,其特征在于,所述业务参数包括所述第三方插件的标识和第一参数,所述第一参数包括用户设备的操作类型、操作要访问的目标地址、操作使用的协议类型以及端口中的至少一个。
5.根据权利要求3所述的方法,其特征在于,所述物联网服务器校验所述访问令牌包括:
所述物联网服务器确定所述访问令牌是否在所述物联网服务器保存的访问令牌列表中,若确定是,则所述物联网服务器确定所述用户校验通过。
6.根据权利要求4所述的方法,其特征在于,所述物联网服务器校验所述业务参数包括:
所述物联网服务器确定所述业务参数是否与所述第三方插件服务器在所述物联网服务器的注册信息的记录相匹配。
7.根据权利要求3所述的方法,其特征在于,所述第一响应消息还包括刷新令牌,所述刷新令牌用于对所述访问令牌被授权的有效时间进行续期。
8.根据权利要求7所述的方法,其特征在于,所述物联网服务器在校验所述访问令牌和所述业务参数通过后,还向所述第三方插件服务器发送第二响应消息,所述第二响应消息包括授权的授权标识。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
所述物联网服务器向所述物联网设备发送的指令中包含与所述业务服务器和所述第三方插件服务器中的至少一个连接的有效时间;所述有效时间由所述物联网服务器根据所述第三方插件服务器在所述物联网服务器注册的注册信息而确定;
所述物联网服务器接收所述第三方插件服务器发送的续期请求,所述续期请求包括所述授权标识以及所述刷新令牌;所述续期请求用于所述物联网设备在连接有效时间到期或即将到期时,请求与所述业务服务器和所述第三方插件服务器中的至少一个继续建立或保持连接;
所述物联网服务器向所述物联网设备发送续期指令,指示所述物联网设备继续与所述业务服务器和所述第三方插件服务器中的至少一个建立或保持连接。
10.一种第三方插件的访问方法,其特征在于,应用于包含物联网服务器、物联网设备、用户、第三方插件服务器、第三方插件和业务服务器的物联网场景;所述物联网设备和所述用户在所述物联网服务器注册;所述第三方插件由所述第三方插件服务器管理;所述物联网设备安装了所述第三方插件,通过与所述业务服务器或所述第三方插件服务器交互,为所述用户提供服务;第三方指除所述物联网服务器提供方和所述用户之外的第三方;其特征在于,包括:
所述物联网设备接收所述物联网服务器发送的指令,所述指令包含所述物联网服务器校验通过的业务参数;所述业务参数包括所述第三方插件服务器和所述业务服务器中至少一个的地址信息;
所述物联网设备根据所述校验通过的业务参数与所述第三方插件服务器和所述业务服务器中的至少一个建立连接。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
所述物联网设备接收的所述物联网服务器发送的指令中,包含连接的有效时间;
所述物联网设备根据所述校验通过的业务参数与所述第三方插件服务器或所述业务服务器建立连接时,所述物联网设备启动计时器,以监控连接的有效时间是否到期;
若所述物联网设备确定所述连接有效时间到期,则所述物联网设备中断与所述第三方插件服务器或所述业务服务器的连接。
12.根据权利要求11所述的方法,其特征在于,所述方法还包括:
所述物联网设备接收所述物联网服务器发送的续期指令,指示所述物联网设备继续与所述业务服务器或所述第三方插件服务器建立或保持连接;
所述物联网设备重新启动所述计时器。
13.一种物联网服务器,应用于包含物联网服务器、物联网设备、用户、第三方插件服务器、第三方插件和业务服务器的物联网场景;所述物联网设备和所述用户在所述物联网服务器注册;所述第三方插件由所述第三方插件服务器管理;所述物联网设备安装了所述第三方插件,通过与所述业务服务器交互,为所述用户提供服务;第三方指除所述物联网服务器提供方和所述用户之外的第三方,其特征在于,所述物联网服务器包括:
接收单元,用于接收第三方插件服务器发送的请求,所述请求包括访问令牌和业务参数;所述访问令牌为所述物联网服务器分发给用户,所述用户请求所述第三方插件服务器访问第三方插件时,所述用户传递给所述第三方插件服务器的;所述业务参数包括所述第三方插件服务器和业务服务器中至少一个的地址信息;
校验单元,用于校验所述访问令牌和所述业务参数;
发送单元,用于在校验通过后向所述物联网设备发送指令,所述指令包含所述校验通过的业务参数,用于指示安装了所述第三方插件的所述物联网设备根据所述校验通过的业务参数与所述第三方插件服务器和所述业务服务器中的至少一个建立连接。
14.根据权利要求13所述的物联网服务器,其特征在于,所述接收单元还用于:
接收并记录所述第三方插件服务器的注册信息,所述注册信息包括第三方插件的标识、操作类型、待访问的地址列表、所述待访问的地址列表对应的协议类型和端口列表。
15.根据权利要求14所述的物联网服务器,其特征在于,所述发送单元还用于:
对通过用户设备登录所述物联网服务器的用户鉴权成功后,向所述用户设备发送第一响应消息,所述第一响应消息包括所述访问令牌,所述访问令牌用于验证所述用户。
16.根据权利要求14所述的物联网服务器,其特征在于,所述业务参数包括所述第三方插件的标识和第一参数,所述第一参数包括用户设备的操作类型、操作要访问的目标地址、操作使用的协议类型以及端口中的至少一个。
17.根据权利要求15所述的物联网服务器,其特征在于,所述校验单元用于:
确定所述访问令牌是否在所述物联网服务器保存的访问令牌列表中,若确定是,则所述物联网服务器确定所述用户校验通过。
18.根据权利要求16所述的物联网服务器,其特征在于,所述校验单元用于:
确定所述业务参数是否与所述第三方插件服务器在所述物联网服务器的注册信息的记录相匹配。
19.根据权利要求15所述的物联网服务器,其特征在于,所述第一响应消息还包括刷新令牌,所述刷新令牌用于对所述访问令牌被授权的有效时间进行续期。
20.根据权利要求19所述的物联网服务器,其特征在于,所述发送单元还用于向所述第三方插件服务器发送第二响应消息,所述第二响应消息包括授权的授权标识。
21.根据权利要求20所述的物联网服务器,其特征在于,
所述物联网设备发送的指令中包含与所述业务服务器和所述第三方插件服务器中的至少一个连接的有效时间;所述有效时间由所述物联网服务器根据所述第三方插件服务器在所述物联网服务器注册的注册信息而确定;
所述接收单元还用于:接收所述第三方插件服务器发送的续期请求,所述续期请求包括所述授权标识以及所述刷新令牌;所述续期请求用于所述物联网设备在连接有效时间到期或即将到期时,请求与所述业务服务器和所述第三方插件服务器中的至少一个继续建立或保持连接;
所述发送单元还用于:向所述物联网设备发送续期指令,指示所述物联网设备继续与所述业务服务器和所述第三方插件服务器中的至少一个建立或保持连接。
22.一种物联网设备,应用于包含物联网服务器、物联网设备、用户、第三方插件服务器、第三方插件和业务服务器的物联网场景;所述物联网设备和所述用户在所述物联网服务器注册;所述第三方插件由所述第三方插件服务器管理;所述物联网设备安装了所述第三方插件,通过与所述业务服务器或所述第三方插件服务器交互,为所述用户提供服务;第三方指除所述物联网服务器提供方和所述用户之外的第三方;其特征在于,所述物联网设备包括:
接收单元,用于接收物联网服务器发送的指令,所述指令包含所述物联网服务器校验通过的业务参数;所述业务参数包括所述第三方插件服务器和所述业务服务器中至少一个的地址信息;
处理单元,用于根据所述校验通过的业务参数与第三方插件服务器和业务服务器中的至少一个建立连接。
23.根据权利要求22所述的物联网设备,其特征在于,所述物联网设备接收的所述物联网服务器发送的指令中,包含连接的有效时间;
所述物联网设备还包括计时单元,用于:
根据所述校验通过的业务参数与所述第三方插件服务器或所述业务服务器建立连接时,启动计时器,以监控连接的有效时间是否到期;
若确定所述连接有效时间到期,则中断与所述第三方插件服务器或所述业务服务器的连接。
24.根据权利要求23所述的物联网设备,其特征在于,所述接收单元还用于:
接收所述物联网服务器发送的续期指令,指示所述物联网设备继续与所述业务服务器或所述第三方插件服务器建立或保持连接;
所述计时单元还用于:重新启动所述计时器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710186114.3A CN108632329B (zh) | 2017-03-24 | 2017-03-24 | 一种第三方插件的访问方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710186114.3A CN108632329B (zh) | 2017-03-24 | 2017-03-24 | 一种第三方插件的访问方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108632329A CN108632329A (zh) | 2018-10-09 |
CN108632329B true CN108632329B (zh) | 2020-07-07 |
Family
ID=63706797
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710186114.3A Active CN108632329B (zh) | 2017-03-24 | 2017-03-24 | 一种第三方插件的访问方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108632329B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109525561B (zh) * | 2018-10-26 | 2021-08-20 | 深圳点猫科技有限公司 | 一种用于教育操作系统的授权登录方法及装置 |
CN110266703A (zh) * | 2019-06-25 | 2019-09-20 | 广州小鹏汽车科技有限公司 | token刷新方法、装置、存储介质及控制终端 |
CN110381078B (zh) * | 2019-07-29 | 2021-10-26 | 迈普通信技术股份有限公司 | 令牌续期的确定方法、装置、电子设备及存储介质 |
CN110798505B (zh) * | 2019-09-27 | 2022-11-22 | 深圳市火乐科技发展有限公司 | 插件式物联网设备的管理方法及相关装置 |
CN110795174B (zh) * | 2019-10-31 | 2023-03-14 | 成都西加云杉科技有限公司 | 一种应用程序接口调用方法、装置、设备及可读存储介质 |
CN110933078B (zh) * | 2019-11-29 | 2022-04-05 | 交通银行股份有限公司 | 一种h5未登录用户会话跟踪方法 |
CN113805965B (zh) * | 2021-09-11 | 2023-12-29 | 济南浪潮数据技术有限公司 | 一种外部插件安装的方法、装置、设备及可读介质 |
CN117749531A (zh) * | 2024-02-20 | 2024-03-22 | 中国信息通信研究院 | 基于工业互联网的数据平台管理方法、装置、设备和介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101796504A (zh) * | 2007-09-06 | 2010-08-04 | 微软公司 | 会话中介可扩展应用程序接口 |
CN102960006A (zh) * | 2012-08-31 | 2013-03-06 | 华为技术有限公司 | 物联网信息的处理方法、装置和管理控制系统 |
CN106230838A (zh) * | 2016-08-04 | 2016-12-14 | 中国银联股份有限公司 | 一种第三方应用访问资源的方法和装置 |
CN106534175A (zh) * | 2016-12-07 | 2017-03-22 | 西安电子科技大学 | 基于OAuth协议的开放平台授权认证系统及方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8806637B2 (en) * | 2007-06-11 | 2014-08-12 | Red Hat, Inc. | Authorization framework |
CN102546533B (zh) * | 2010-12-15 | 2016-06-15 | 中兴通讯股份有限公司 | 经未注册驻地网关访问物联网业务服务器的方法及系统 |
-
2017
- 2017-03-24 CN CN201710186114.3A patent/CN108632329B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101796504A (zh) * | 2007-09-06 | 2010-08-04 | 微软公司 | 会话中介可扩展应用程序接口 |
CN102960006A (zh) * | 2012-08-31 | 2013-03-06 | 华为技术有限公司 | 物联网信息的处理方法、装置和管理控制系统 |
CN106230838A (zh) * | 2016-08-04 | 2016-12-14 | 中国银联股份有限公司 | 一种第三方应用访问资源的方法和装置 |
CN106534175A (zh) * | 2016-12-07 | 2017-03-22 | 西安电子科技大学 | 基于OAuth协议的开放平台授权认证系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108632329A (zh) | 2018-10-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108632329B (zh) | 一种第三方插件的访问方法和装置 | |
CN110944330B (zh) | Mec平台部署方法及装置 | |
EP3459222B1 (en) | Device authentication based upon tunnel client network requests | |
WO2016188256A1 (zh) | 一种应用接入鉴权的方法、系统、装置及终端 | |
US8832814B2 (en) | System and method for providing access to a software application | |
EP3308499B1 (en) | Service provider certificate management | |
US9547756B2 (en) | Registration of devices in a digital rights management environment | |
US20150007291A1 (en) | Authentication proxy agent | |
KR102001544B1 (ko) | 통신 시스템에서 사용자 인증을 대행하는 장치 및 방법 | |
WO2018000834A1 (zh) | 一种wifi热点信息修改方法及装置 | |
JP2013505497A (ja) | 識別情報の検証のための方法及び装置 | |
US10455025B2 (en) | Multi-factor authentication | |
US11277404B2 (en) | System and data processing method | |
CN110365684B (zh) | 应用集群的访问控制方法、装置和电子设备 | |
CN106161475B (zh) | 用户鉴权的实现方法和装置 | |
US11695747B2 (en) | Multi-device single sign-on | |
CN112131021A (zh) | 一种访问请求处理方法及装置 | |
KR102345866B1 (ko) | 서버시스템 및 서버시스템에서 수행되는 사용자단말에 대한 통신 보안방법 | |
KR102058283B1 (ko) | 이종 사물 인터넷 서비스 플랫폼 간의 보안 상호운용성 프레임워크 및 그 장치 | |
WO2018196153A1 (zh) | 一种开放授权方法、装置和终端 | |
CN105656856A (zh) | 资源管理方法和装置 | |
KR101637155B1 (ko) | 신뢰 서비스 장치를 이용한 신뢰된 아이덴티티 관리 서비스 제공 시스템 및 그 운영방법 | |
KR102071281B1 (ko) | 통합 인증 방법 | |
KR102558821B1 (ko) | 사용자 및 디바이스 통합 인증 시스템 및 그 방법 | |
KR20100053703A (ko) | Otp 클라이언트기반의 공중 무선랜 서비스망 사용자 인증 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20220217 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Patentee after: Huawei Cloud Computing Technology Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |