CN108809898A

CN108809898A - 一种鉴权方法、终端及服务器

Info

Publication number: CN108809898A
Application number: CN201710296994.XA
Authority: CN
Inventors: 张路
Original assignee: ZTE Corp
Current assignee: ZTE Corp
Priority date: 2017-04-28
Filing date: 2017-04-28
Publication date: 2018-11-13
Anticipated expiration: 2037-04-28
Also published as: CN108809898B; WO2018196465A1

Abstract

本发明公开了一种鉴权方法，包括：获取第二终端的图像数据；当无线接入承载为释放状态时，通过物联网协议允许用于传输数据的信令将图像数据发送给服务器；所述图像数据用于请求服务器发送对应第一终端的密钥；接收服务器发送的密钥，并将所述密钥发送给第二终端；所述密钥用于供第二终端对第一终端鉴权。本发明还同时公开了一种终端及服务器。

Description

一种鉴权方法、终端及服务器

技术领域

本发明涉及物联网技术领域，尤其涉及一种鉴权方法、终端及服务器。

背景技术

目前，智能设备在人们生活中随处可见，人机交互的场合非常频繁，在每次的人机交互过程中存在鉴权认证。例如，在住宅小区，使用门禁卡刷卡，或者刷指纹，再或者是输入密钥；在公交车上，使用公交卡或者手机内部的芯片进行刷卡；在银行，使用自动取款机(ATM，Automatic Teller Machine)取款。

然而，在一些需要大量输入密钥和频繁认证的场合，会因为等待时间过长或者刷卡出现故障等带来效率低的问题；输入密钥的方式可能会被其他人偷窥，导致密钥泄露，会带来不安全的问题。

因此，亟需找到一种可以实现快速安全鉴权的解决方案。

发明内容

有鉴于此，本发明实施例期望提供一种鉴权方法、终端及服务器，能够实现快速安全鉴权。

本发明实施例的技术方案是这样实现的：

本发明实施例提供一种鉴权方法，应用于第一终端，所述方法包括：

获取第二终端的图像数据；

当无线接入承载为释放状态时，通过物联网协议允许用于传输数据的信令将图像数据发送给服务器；所述图像数据用于请求服务器发送对应第一终端的密钥；

接收服务器发送的密钥，并将所述密钥发送给第二终端；所述密钥用于供第二终端对第一终端鉴权。

上述方案中，所述通过物联网协议允许用于传输数据的信令将图像数据发送给服务器，包括：

通过信令面的非接入层将图像数据发送给所述服务器；基于所述非接入层能够在终端和核心网之间传输数据。

上述方案中，所述获取第二终端的图像数据，包括：

搜索得到至少一个终端；

从所述至少一个终端中确定所述第二终端；

采集所述第二终端的图像，得到所述图像数据。

上述方案中，所述方法还包括：

读取所述无线接入承载的状态变量信息；

当所述状态变量信息为无效信息时，确定所述无线接入承载为释放状态。

上述方案中，所述通过信令面的非接入层将图像数据发送给服务器，包括：

在终端和核心网之间建立信令无线承载，利用图像数据生成非接入层信令消息，将所述非接入层信令消息在信令无线承载上发送给服务器。

上述方案中，所述将所述密钥发送给第二终端之前，所述方法还包括：

根据获取的第二终端的图像数据，确定需要验证所述第一终端用户的身份时，生成第二提示信息；所述第二提示信息用于提示所述第一终端用户输入验证信息；

获取所述第一终端用户输入的验证信息；

对输入的验证信息进行校验，校验成功后发送所述密钥给第二终端。

上述方案中，所述方法还包括：

对应第一终端的密钥更改或者录入新密钥时，将更改后的密钥或者录入的新密钥发送给服务器，所述更改后的密钥或者录入的新密钥用于服务器更新预设数据库。

本发明实施例提供一种鉴权方法，应用于服务器，所述方法包括：

接收第一终端通过物联网协议允许用于传输数据的信令发送的第二终端的图像数据；

利用所述图像数据，在预设数据库中进行查找，得到对应第一终端的密钥，并将所述密钥发送给第一终端，所述密钥用于第一终端发送给第二终端后对第一终端鉴权。

上述方案中，所述接收第一终端通过物联网协议允许用于传输数据的信令发送的第二终端的图像数据，包括：

通过在终端和核心网之间的信令无线承载，接收第一终端通过信令面的非接入层在信令无线承载上发送的非接入层信令消息；所述非接入层信令消息包含第二终端的图像数据。

上述方案中，所述利用所述图像数据，在预设数据库中进行查找，包括：

利用所述图像数据，基于特征提取策略从所述图像数据中提取特征信息，

根据提取的特征信息在预设数据库中进行查找。

上述方案中，所述方法还包括：

接收第一终端发送的更改后的密钥或者录入的新密钥；所述更改后的密钥和录入的新密钥与第二终端相对应；

根据所述更改后的密钥或者录入的新密钥，更新所述预设数据库。

本发明实施例提供一种第一终端，所述第一终端包括：

获取模块，用于获取第二终端的图像数据；

第一发送模块，用于当无线接入承载为释放状态时，通过物联网协议允许用于传输数据的信令将图像数据发送给服务器；并将所述密钥发送给第二终端；所述图像数据用于请求服务器发送对应第一终端的密钥，所述密钥用于供第二终端对第一终端鉴权；

第一接收模块，用于接收服务器发送的密钥。

上述方案中，所述第一发送模块，具体用于在终端和核心网之间建立信令无线承载，利用图像数据生成非接入层信令消息，将所述非接入层信令消息在信令无线承载上发送给服务器。

本发明实施例提供一种服务器，所述服务器包括：

第二接收模块，用于接收第一终端通过物联网协议允许用于传输数据的信令发送的第二终端的图像数据；

第二发送模块，用于利用所述图像数据，在预设数据库中进行查找，得到对应第一终端的密钥，并将所述密钥发送给第一终端，所述密钥用于第一终端发送给第二终端后对第一终端鉴权。

上述方案中，所述第二接收模块，具体用于通过在终端和核心网之间的信令无线承载，接收第一终端通过信令面的非接入层在信令无线承载上发送的非接入层信令消息；所述非接入层信令消息包含第二终端的图像数据。

本发明实施例提供的鉴权方法、终端及服务器，获取第二终端的图像数据；当无线接入承载为释放状态时，通过物联网协议允许用于传输数据的信令将图像数据发送给服务器；所述图像数据用于请求服务器发送对应第一终端的密钥；接收服务器发送的密钥，并将所述密钥发送给第二终端；所述密钥用于供第二终端对第一终端鉴权。本发明实施例中，当无线接入承载为释放状态时，基于物联网协议允许用于传输数据的信令将获取的第二终端的图像数据发送给服务器，接收服务器发送的密钥，并将密钥发送给第二终端，第二终端使用所述密钥对第一终端鉴权。由于并不需要建立无线接入承载，就能够将图像数据发送给服务器，因此，也就不存在建立无线接入承载带来的延时问题，所以能够实现快速鉴权。

同时，服务器发送密钥给第一终端，第一终端再将密钥发送给第二终端，避免了密钥被泄漏情况的发生，所以能够实现安全鉴权。

附图说明

图1为本发明实施例一鉴权方法的实现流程示意图；

图2为本发明实施例NB-IoT网络的协议结构示意图；

图3为本发明实施例图像数据在信令面的传输方式示意图；

图4为本发明实施例图像数据在用户面的传输方式示意图；

图5为本发明实施例二鉴权方法的实现流程示意图；

图6为本发明实施例三第一终端的组成结构示意图；

图7为本发明实施例四服务器的组成结构示意图；

图8为本发明实施例第一终端内部模块组成结构示意图；

图9为本发明实施例鉴权方法的具体实现流程示意图；

图10为本发明实施例录入新密钥的具体实现流程示意图；

图11为本发明实施例更改密钥的具体实现流程示意图。

具体实施方式

为了能够更加详尽地了解本发明实施例的特点与技术内容，下面结合附图对本发明实施例的实现进行详细阐述。

一方面，目前，物联网是当前通信技术发展的重大趋势，在过去的几年，无论是网络设备还是终端设备，都朝着高性能、大带宽、高速率的方向发展，而近年来，无论是第三代合作伙伴计划(3GPP，3rd Generation Partnership Project)等大型规范组织，还是各国网络运营商、终端厂商，都开始“向低端挖掘”，朝着低速率、低带宽、低耗电的技术方向发展。一方面是由于当前的无线技术、如长期演进(LTE，Long Term Evolution)的速率已经能够满足大部分普通用户的使用场景，另一方面则是由当前的市场需求决定的。而在物联网技术和标准中，基于蜂窝的窄带物联网(NB-IoT，Narrow Band Internet of Things)和增强机器类型通信(eMTC，enhanced Machine Type Counterparts)技术异军突起，无论在本身技术优势还是应用场景上，都在物联网市场上被一致看好，多个设备厂商都在制定完善并设计支持这两种协议的产品。

另一方面，现代社会人机交互的场合已经非常频繁，未来爆发式增长的智能设备进入人们生活后，人机交互的频次则会更多。在每一次人机交互过程中，至少要存在的过程就是鉴权认证。公交车乘坐、ATM机取款、出入楼宇房屋等等这些场景下都需要鉴权过程。刷卡、输密钥、按指纹，已经是现代社会普通人每日必不可少的重复活动。伴随这些日益频繁的活动，出现了一些问题，如效率问题、安全问题、卫生问题。

综上所述，现有技术中的人机交互场合中的鉴权会因为等待时间过长或者刷卡出现故障等带来效率低的问题；输入密钥的方式可能会被其他人偷窥，导致密钥泄露，会带来不安全的问题；输入密钥的设备等是很多人共用的，卫生难以保证，也会带来卫生问题。

同时，物联网的NB-IoT和eMTC协议，均支持在信令面传输少量用户数据。而人机交互场合中的鉴权场景是物联网应用场景，具有数据量小、不连续传输的特点。

基于此，在本发明的各种实施例中：当无线接入承载为释放状态时，通过物联网协议允许用于传输数据的信令传输数据，避免了建立无线接入承载带来的时间和资源消耗，实现快速鉴权。

实施例一

如图1所示，本实施例以第一终端侧为例详细说明鉴权方法，包括以下步骤：

步骤101：获取第二终端的图像数据。

这里，所述获取第二终端的图像数据，包括：

搜索得到至少一个终端；

从所述至少一个终端中确定所述第二终端；

采集所述第二终端的图像，得到所述图像数据。

这里，实际应用时，第一终端可以通过蓝牙对至少一个终端进行搜索，还可以采用其他局域网协议，如无线保真(WiFi，Wireless Fidelity)、ZigBee等对至少一个终端进行搜索；其中，终端具体可以为ATM机、门禁安防闸机、智能公交车或者地铁上的刷卡机，等等。

在搜索之前，可以对至少一个终端进行标识，例如，ATM机用001编号，门禁安防闸机用002编号，智能公交车或者地铁上的刷卡机用003编号。

第一终端从所述搜索得到的至少一个终端中确定第二终端的方式，可以是第一终端搜索得到至少一个终端，通过用户界面显示或者按键确认或者语音提示的形式，由第一终端用户在所述至少一个终端中确定一个终端作为第二终端；还可以是第一终端预先设置规则，所述规则可以是第一终端分别测量搜索得到的每个终端与第一终端的距离，并选取离第一终端距离最近的终端确定为第二终端；进一步地，还可以是第一终端将根据预设规则测量得到的每个终端与第一终端的距离，通过用户界面显示出来，由第一终端用户根据实际需求确定第二终端。

这里，搜索得到所述至少一个终端之前，所述方法还包括：

当第一终端的状态为锁定状态时，生成第一提示消息，所述第一提示消息用于提示第一终端用户解锁第一终端；

获取操作；所述操作是对所述第一提示消息的响应操作；

响应所述操作，对所述第一终端进行解锁操作；并在解锁成功后，进入工作状态。

实际应用时，为了降低功耗和保证安全，第一终端不能始终处于工作状态和搜寻至少一个终端的状态，第一终端的工作时间可根据用户需求进行设置，例如，第一终端工作1分钟或者10分钟后进入锁定状态。

步骤102：当无线接入承载为释放状态时，通过物联网协议允许用于传输数据的信令将图像数据发送给服务器；

这里，所述图像数据用于请求服务器发送对应第一终端的密钥。

其中，无线接入承载(RAB，Radio Access Bearer)包括用户设备(UE，UserEquipment)和陆地无线接入网(UTRAN，UMTS Terrestrial Radio Access Network)之间的无线承载(RB，Radio Bearer)，以及核心网络(CN，Core Network)和UTRAN之间的Iu承载。

这里，所述通过物联网协议允许用于传输数据的信令将图像数据发送给服务器，包括：

将图像数据发送给所述服务器；基于所述非接入层能够在终端和核心网之间传输数据。

实际应用时，所述物联网协议可以为NB-IoT协议或eMTC协议。

在一实施例中，所述方法还包括：

读取所述无线接入承载的状态变量信息；

实际应用时，在第一终端本地的协议栈内存中，存储有与无线接入承载对应的一系列的变量，利用读取的这些变量可以查询第一终端是否保存有所述无线接入承载相关的有效的状态变量信息，如果这些变量为空或者内存被释放，说明第一终端没有保存第一终端和核心网之间的无线接入承载相关的有效的状态变量信息，所述状态变量信息为无效信息，进而可以确定所述无线接入承载为释放状态。

实际应用时，当无线接入承载为释放状态时，通过信令面的非接入层将图像数据发送给服务器，只有网络的信令面协议架构支持通过信令面传输数据才可以，满足这样条件的网络协议具体包括NB-IoT、eMTC等。

以NB-IoT为例，图2为NB-IoT网络的协议结构，如图2所示，协议结构包括UE、基站(E-NodeB)、移动管理实体(MME，Mobility Management Entity)、服务网关(SGW，ServingGateWay)。其中，NB-IoT网络的协议架构包括控制面协议架构和用户面协议架构；所述控制面也称信令面。

信令面的协议架构包括：非接入层(NAS，Non-Access Atratum)、无线资源控制层(RRC，Radio Resource Control)、分组数据汇聚层(PDCP，Packet Data ConvergenceProtocol)、无线链路控制层(RLC，Radio Link Control)、媒体访问控制层(MAC，MediumAccess Control)、物理层(PHY，Physical Layer)；信令面的协议架构在MME侧是NAS层；其中，NAS层支持在终端和核心网之间进行信令和数据的传输；RRC层处理终端和基站之间控制面的第三层信息，RRC具备的功能包括RB控制、广播、寻呼等；PDCP层负责将IP头压缩和解压、传输用户数据等；RLC层负责分段与连接、重传处理，以及对高层数据的顺序传送等；MAC层以逻辑信道的方式为RLC层提供服务；PHY层负责编译码、调制解调、多天线映射等。用户面的协议架构包括：PDCP、RLC、MAC、PHY。

这里，所述通过信令面的非接入层将图像数据发送给服务器，包括：

实际应用时，打包所述图像数据，并将打包后的数据包填充在非接入层的数据体字段中，生成非接入层信令消息，将此非接入层信令消息通过非接入层传输到网络侧的服务器，具体将非接入层消息通过非接入层、RRC层、PDCP层、RLC层、MAC层之后传输到服务器。

现有技术中将图像数据打包后的数据包通过PDCP层、RLC层、MAC层，且物理层对打包后的数据进行封装后，通过传输块的形式发送给网络侧的服务器。

图3为图像数据在信令面的传输方式，如图3所示。第一终端和服务器之间的图像数据在信令面的传输包括两部分，第一部分是第一终端和基站之间的数据传输，第二部分是基站和核心网之间的数据传输。

其中，第一部分、第一终端和基站之间的数据传输，具体为：第一终端将获取的第二终端的图像数据进行打包并填充在非接入层的数据体字段中，生成非接入层信令消息，将所述非接入层信令消息依次经过NAS层、RRC层、PDCP层、RLC层、MAC层、PHY层处理后，PHY层通过射频信号将所述非接入层信令消息传输给基站侧的NAS层。由于第一终端上的NAS层传输的非接入层信令消息可以填充数据，因此，在无线接入承载不存在时，也就是说无线接入承载为释放状态时，不需要建立无线承载包括的数据无线承载，也避免了建立无线承载带来的延时问题。

第二部分、基站和核心网之间的数据传输，具体为：基站将接收到的所述包含图像数据的非接入层信令消息依次经过PHY层、MAC层、RLC层、PDCP层、RRC层、NAS层处理后，由NAS层发送给MME。MME接收所述包含图像数据的非接入层信令消息后，可以将所述包含图像数据的非接入层信令消息发送给业务能力开放实体(SCEF，Service capa-bilityexposure function)，由SCEF再将所述包含图像数据的非接入层信令消息发送给服务器(Services)；也可以将所述包含图像数据的非接入层信令消息发送给SGW，由SGW发送给分组数据网关(PGW，Packet Data Network Gateway)，再由PGW将所述包含图像数据的非接入层信令消息发送给服务器。

基于第一终端和核心网之间的信令无线承载，当无线接入承载为释放状态时，也就是第一终端和核心网之间不存在数据传输通道时，第一终端通过信令面的NAS层将第二终端的图像数据发送给服务器，因为不需要重新建立无线接入承载，因而避免了建立无线接入承载带来的延时问题，可以实现快速将第二终端的图像数据发送给网络侧的服务器。

在一实施例中，所述方法还包括：

当无线接入承载为建立状态时，通过用户面将图像数据发送给服务器；所述图像数据用于请求服务器发送对应第一终端的密钥。

具体地，在无线接入承载为建立状态时，通过用户面将图像数据发送给服务器，需要建立无线承载的数据无线承载，所述图像数据在用户面的传输方式如图4所示。第一终端和服务器之间的图像数据在用户面的传输包括两部分，第一部分是第一终端和基站之间的数据传输，第二部分是基站和核心网之间的数据传输。

其中，第一部分、第一终端和基站之间的数据传输，具体为：第一终端将获取的第二终端的图像数据进行打包，并将打包后的数据包依次经过PDCP层、RLC层、MAC层处理、PHY层封装后，由PHY层通过射频信号的形式将包含图像数据的数据包传输给基站侧的PDCP层。

第二部分、基站和核心网之间的数据传输，具体为：基站将接收到的包含图像数据的数据包依次经过PHY层、MAC层、RLC层、PDCP层处理后，发送给SGW，由SGW发送给PGW，再由PGW将包含图像数据的数据包发送给网络侧的服务器。

基于用户面上的数据无线承载，当无线接入承载为建立状态时，第一终端通过数据无线承载将第二终端的图像数据发送给服务器。

步骤103：接收服务器发送的密钥，并将所述密钥发送给第二终端；

这里，所述密钥用于供第二终端对第一终端鉴权。

这里，所述将所述密钥发送给第二终端之前，所述方法还包括：

获取所述第一终端用户输入的验证信息；

实际应用时，由于第二终端可能是转账机，也可能是门禁卡，还可以是其他设备。当第二终端是转账机时，就需要对第一终端用户的身份进行校验后，第二终端才对第一终端进行鉴权，校验的目的是提高安全性；而当第二终端是门禁卡时，不需要对第一终端用户的身份进行校验，第二终端就可以对第一终端鉴权。

其中，所述第一终端用户输入的验证信息，可以是指纹信息，也可以是一段语音，还可以是密钥等等。

所述对输入的验证信息进行校验，包括：当输入的验证信息是指纹信息时，对所述指纹消息进行指纹图像格式转换、图像分割和图像增强、图像滤波、图像二值化、图像细化、特征点提取和匹配处理；当输入的验证信息是一段语音时，对所述语音进行预加重、分帧、加窗、梅尔滤波器组滤波得到梅尔频率倒谱参数(MFCC，Mel Frequency CepstrumCoefficient)，对MFCC进行主成分分析(PCA，Principal Components Analysis)降维处理，然后利用矢量量化(VQ，Vector Quantization)进行模式匹配；当输入的验证信息是密钥时，将所述密钥与预设密钥库进行比对。

在一实施例中，所述方法还包括：

实际应用时，当第二终端对第一终端鉴权失败时，第一终端接收到第二终端发送的鉴权失败消息后，第一终端用户可以更改对应第一终端的密钥，并将更改后的密钥发送给服务器，用于服务器更新预设数据库。

当对应第一终端的密钥在服务器预设数据库中查找不到时，第一终端用户可以录入新的密钥并发送给服务器；或者当第二终端是新设备时，服务器上的预设数据库中并没有存储所述第二终端与第一终端的密钥对应关系时，第一终端用户录入新的密钥并发送给服务器。

实施例二

如图5所示，本实施例以服务器侧为例详细说明鉴权方法，包括以下步骤：

步骤501：接收第一终端通过物联网协议允许用于传输数据的信令发送的第二终端的图像数据。

这里，所述接收第一终端通过物联网协议允许用于传输数据的信令发送的第二终端的图像数据，包括：

实际应用时，通过在终端和核心网之间的信令无线承载，在核心网侧对应的是MME的NAS层，也就是说，由MME的NAS层接收在信令无线承载上传输的图像数据，再由MME将图像数据发送给SCEF，服务器接收由SCEF发送的图像数据；还可以是由MME将图像数据发送给SGW，由SGW发送给PGW，服务器接收由PGW发送的图像数据。

这里，所述利用所述图像数据，在预设数据库中进行查找，包括：

根据提取的特征信息在预设数据库中进行查找。

其中，所述预设数据库中存储的信息可以包括：第二终端的标识信息、第一终端的标识信息；第二终端的标识信息与第一终端的标识信息的对应关系为一对多。

实际应用时，特征提取策略首先对图像数据进行预处理，包括灰度化、二值化、抑噪(滤波)处理；基于预处理图像进行特征点提取以构造图形特征，这里的特征点可以为第二终端上的任何部位的成像点，如第二终端的边缘处的点；通过特征点可以形成图形特征，如轮廓特征、轮廓内的纹理特征等；基于图形特征确定第二终端的特征信息如标识信息，所述标识信息可以是编号。

根据提取的第二终端的标识信息以及第二终端的标识信息与第一终端的标识信息的对应关系，在预设数据中进行查找，得到对应第一终端的密钥。

在一实施例中，所述方法还包括：

步骤502：利用所述图像数据，在预设数据库中进行查找，得到对应第一终端的密钥，并将所述密钥发送给第一终端。

其中，所述密钥用于第一终端发送给第二终端后对第一终端鉴权。

这里，实际应用时，将所述密钥发送给第一终端，包括：通过物联网协议允许用于传输数据的信令，将所述密码发送给第一终端。具体地，可以通过NB-IoT或者eMTC协议将所述密钥发送给第一终端。具体来说，当无线接入承载为释放状态时，通过信令面的非接入层将密钥发送给第一终端；当无线接入承载为建立状态时，通过用户面将密钥发送给第一终端。

实施例三

为实现实施例一的方法，本实施例提供了一种第一终端，如图6所示，所述第一终端包括：获取模块61、第一发送模块62、第一接收模块63；其中，

获取模块61，用于获取第二终端的图像数据；

第一发送模块62，用于当无线接入承载为释放状态时，通过物联网协议允许用于传输数据的信令将图像数据发送给服务器；并将所述密钥发送给第二终端；

其中，所述图像数据用于请求服务器发送对应第一终端的密钥；所述密钥用于供第二终端对第一终端鉴权；

第一接收模块63，用于接收服务器发送的密钥。

所述获取模块61，具体用于搜索得到至少一个终端；从所述至少一个终端中确定所述第二终端；采集所述第二终端的图像，得到所述图像数据。

这里，实际应用时，第一终端可以通过蓝牙对至少一个终端进行搜索，还可以采用其他局域网协议，如WiFi、ZigBee等对至少一个终端进行搜索；其中，终端具体可以为ATM机、门禁安防闸机、智能公交车或者地铁上的刷卡机，等等。

所述第一发送模块62，具体用于在终端和核心网之间建立信令无线承载，利用图像数据生成非接入层信令消息，将所述非接入层信令消息在信令无线承载上发送给服务器。

这里，当无线接入承载为释放状态时，通过信令面的非接入层将图像数据发送给服务器，只有网络的信令面协议架构支持通过信令面传输数据才可以，满足这样条件的网络协议具体包括NB-IoT、eMTC等。

在一实施例中，所述第一终端还包括：

解锁模块，用于当第一终端的状态为锁定状态时，生成第一提示消息，所述第一提示消息用于提示第一终端用户解锁第一终端；并获取操作；所述操作是对所述第一提示消息的响应操作；还用于响应所述操作，对所述第一终端进行解锁操作；并在解锁成功后，进入工作状态。

在一实施例中，所述第一终端还包括：

确定模块，用于读取协议栈中保存的第一终端和核心网之间的无线接入承载的状态，当第一终端和核心网之间不存在数据传输通道时，确定无线接入承载为释放状态。

在一实施例中，所述第一终端还包括：

校验模块，用于根据获取的第二终端的图像数据，确定需要验证所述第一终端用户的身份时，生成第二提示信息；所述第二提示信息用于提示所述第一终端用户输入验证信息；还用于获取所述第一终端用户输入的验证信息；还用于对输入的验证信息进行校验；

所述第一发送模块62，用于校验成功后发送所述密钥给第二终端。

实际应用时，由于第二终端可能是转账机，也可能是门禁卡，当第二终端是转账机时，就需要对第一终端用户的身份进行校验后，第二终端才对第一终端进行鉴权，校验的目的是提高安全性；而当第二终端是门禁卡时，不需要对第一终端用户的身份进行校验，第二终端就可以对第一终端鉴权。

在一实施例中，所述第一终端还包括：

录入模块，用于对应第一终端的密钥更改或者录入新密钥时，将更改后的密钥或者录入的新密钥发送给服务器，所述更改后的密钥或者录入的新密钥用于服务器更新预设数据库。

在实际应用中，第一接收模块63由第一终端上的通信接口实现；获取模块61、解锁模块、确定模块可由位于第一终端上的处理器如中央处理器(CPU，Central ProcessingUnit)、微处理器(MPU，Micro Processor Unit)、DSP、或现场可编程门阵列(FPGA，FieldProgrammable Gate Array)等实现；第一发送模块62、校验模块、录入模块由位于第一终端上的处理器如CPU、MPU、DSP、FPGA等结合通信接口实现。

实施例四

为实现实施例二的方法，本实施例提供了一种服务器，如图7所示，所述服务器包括：第二接收模块71、第二发送模块72；其中，

第二接收模块71，用于接收第一终端通过物联网协议允许用于传输数据的信令发送的第二终端的图像数据。

第二发送模块72，用于利用所述图像数据，在预设数据库中进行查找，得到对应第一终端的密钥，并将所述密钥发送给第一终端，所述密钥用于第一终端发送给第二终端后对第一终端鉴权。

第二接收模块71，还用于接收第一终端发送的更改后的密钥或者录入的新密钥；所述更改后的密钥和录入的新密钥与第二终端相对应。

所述第二接收模块71，具体用于通过在终端和核心网之间的信令无线承载，接收第一终端通过信令面的非接入层在信令无线承载上发送的非接入层信令消息；所述非接入层信令消息包含第二终端的图像数据。

所述第二发送模72，具体用于利用所述图像数据，基于特征提取策略从所述图像数据中提取特征信息，根据提取的特征信息在预设数据库中进行查找。

这里，实际应用时，所述第二发送模块72通过物联网协议允许用于传输数据的信令，将所述密码发送给第一终端。具体地，可以通过NB-IoT或者eMTC协议将所述密钥发送给第一终端。也就是说，当无线接入承载为释放状态时，第二发送模块72通过信令面的NAS层将密钥发送给第一终端；当无线接入承载为建立状态时，第二发送模块72通过用户面将密钥发送给第一终端。

在一实施例中，所述服务器还包括：

更新模块，用于根据所述更改后的密钥或者录入的新密钥，更新所述预设数据库。

在实际应用中，更新模块由位于第二终端上的处理器如CPU、MPU、DSP、FPGA等实现；第二接收模块71、第二发送模块72可由位于第二终端上的处理器如CPU、MPU、DSP、FPGA等结合通信接口实现。

下面以具体实例进行说明鉴权方法的具体实施过程。

图8为第一终端内部模块组成示意图，如图8所示。第一终端内部模块包括用户交互模块、NB-IoT/eMTC通信模块、蓝牙/WiFi通信模块、信息采集模块、图像采集模块。

下面对每个组成部分进行详细说明，具体如下：

(1)用户交互模块801：用于完成第一终端和用户之间的交互。交互的方式可以是用户界面(UI，User Interface)显示，按键确认，语音提示等多种方式。

(2)NB-IoT/eMTC通信模块802：用于第一终端通过无线网络和服务器进行交互。上行发送第二终端的图像数据，下行包含第一终端要请求的密钥、个人信息等认证信息。在无线接入承载建立的情况下，使用用户面传送图像数据，在无线接入承载被释放的情况下，使用信令面传送图像数据。

(3)蓝牙/WiFi通信模块803：用于搜寻并连接周围的主机(第二终端)，例如ATM机、门禁安防闸机、智能公交车/地铁刷卡机等。在服务器发给第一终端用于鉴权的认证数据如密钥后，通过蓝牙/WiFi通信模块803将密钥发送给主机，由主机完成对第一终端的鉴权。其中，搜索以及连接技术可以采用蓝牙，也可以采用其他局域网协议如WiFi、ZigBee等完成。

(4)信息采集模块804：用于输入输出。为了省电和保证安全，第一终端不可能一直处于工作状态和搜寻周边主机的状态，在大部分的时间里都是待机状态，即锁定状态，在锁定状态，第一终端不可使用，也不会搜寻周边主机。第一终端的工作时间可以由第一终端用户设置，工作时间可以设置为1分钟或者10分钟等等。当第一终端用户使用第一终端之前，需要使用信息采集模块804来解锁第一终端。在解锁后的一段时间里，第一终端均处于可用和搜寻状态。另外，在新增密钥、修改密钥的过程中，也会用到信息采集模块804。

(5)图像采集模块805：在一个开放场合，第一终端可能会不断地搜寻到各种主机。例如，在小区门口可能有ATM机，公交车，第一终端会搜索到多个主机，此时需要第一终端用户确认具体接入哪一个主机作为第二终端。确定第二终端之后，采取实景拍摄的方法。用户可使用第一终端的摄像头(属于图像采集模块)采集图片，然后通过NB-IoT/eMTC协议发送到服务器上，服务器判断主机后，才会将对应第一终端的密钥下发给第一终端。第一终端还可以搭载上智能眼镜或类似穿戴产品，这里，第一终端用户只要径直走向或观察想要操作的主机，第一终端中的图像采集模块805可自动工作并上传第二终端的图像数据给服务器。

图9为本发明实施例鉴权方法的具体实现流程示意图，如图9所示，包括如下步骤：

步骤901-902：第一终端处于工作状态；搜索得到至少一个主机(第二终端)，之后执行步骤903-904。

当第一终端超出工作时间后，处于锁定状态，用户需要对第一终端进行解锁才能使用第一终端，解锁后才会进入搜寻主机的状态；当搜到主机后，会通过用户交互模块801提示用户，进行实景录入，之后执行步骤903-904。

步骤903-904：提示并等待第一终端用户开启实景认证，实景录入成功后，通过蓝牙或者其他局域网连接主机，之后执行步骤905-906。

第一终端用户拍摄一张主机设备照片。照片可以是用户即将要进入的小区大门，也可以是房屋智能门锁、某银行ATM机、公交车、私人会所钥匙柜等等。第一终端拍摄完后通过NB-IoT或eMTC协议将主机照片发送给服务器。

步骤905-906：第一终端判断无线接入承载是否存在，如果存在，通过物联网协议允许用于传输数据的信令将主机的图片数据发送给服务器。

这里，实际应用时，可以基于NB-IoT或者eMTC协议，通过用户面将主机的图片数据发送给服务器；如果不存在，之后执行步骤912。

在第一终端本地的协议栈内存中，存储有与无线接入承载对应的一系列的变量，利用读取的这些变量可以查询第一终端是否保存有所述无线接入承载相关的有效的状态变量信息，如果这些变量为空或者内存被释放，说明第一终端没有保存第一终端和核心网之间的无线接入承载相关的有效的状态变量信息，所述状态变量信息为无效信息，进而可以确定所述无线接入承载为释放状态。

根据无线网络标准，对于无线网络设备，如果一段时间内没有数据流量，那么终端和核心网络之间建立的承载和信令连接将会被释放掉，当用户再次请求数据时，会先和核心网络进行服务请求(SR，Service Request)信令交互，建立RRC承载，并建立无线承载和无线接入承载，然后才能在终端和核心网络之间进行数据交互。

步骤907-910：接收服务器发送给第一终端的密钥，生成提示消息(接收到主机“xxx”的密钥，是否发送？)，所述提示消息用于终端判断是否对用户的身份进行验证，当确定需要对第一终端用户的身份进行验证时，接收用户输入的验证信息，当验证用户的身份成功后，通过蓝牙等方式将密钥发送给主机；如果终端没有收到密钥信息，之后执行步骤913。

服务器查找预设数据库，如发现对应第一终端的密钥时，通过NB-IoT/eMTC协议将密钥发送给第一终端。当主机是转账机时，第一终端需要对用户身份进行验证，在验证用户身份后再发送密钥给主机；当主机是门禁卡时，第一终端不需要对用户身份进行验证，自动发送密钥给主机；

根据用户预置的安保级别判断是否对用户的身份进行验证。例如：ATM机的密钥鉴权、公交车上的身份鉴权，可设为高安保级别，只有验证了用户身份并且用户按了确认键后才会发送密钥完成鉴权过程；小区门禁，公司闸机等可设为低安保级别，无需验证用户身份以及用户的确认，终端会直接发送密钥给主机。

步骤911：主机如果鉴权成功，第一终端根据工作时间情况选择继续搜索或进入待机模式；如果鉴权失败，之后执行步骤915。

步骤912：通过物联网协议允许用于传输数据的信令将主机的图片数据发送给服务器。

这里，实际应用时，可以基于NB-IoT或者eMTC协议，通过信令面的NAS层将主机的图片发送给服务器。

将主机的图片数据打包，并将打包后的数据包填充在NAS层的数据体字段中，生成非接入层信令消息，将此非接入层信令消息通过NAS层传输到网络侧的服务器，具体将非接入层消息通过NAS层、RRC层、PDCP层、RLC层、MAC层处理、PHY层封装之后，通过无线电信号的形式将所述包含主机图片数据的非接入层消息传输到服务器。

由于不需要重新建立无线接入承载，省掉了服务请求、无线承载、无线接入承载的建立，可以快速将数据发送给服务器。

步骤913：提示用户重新拍照，或者提示用户这是一台新主机设备，需要录入新密钥，之后执行步骤914。

步骤914：进行新增设备流程。

步骤915：主机提示第一终端用户进行密钥修改或者主机直接待机休眠。

其中，在执行步骤901-902之前，当第一终端处于锁定状态时，提示用户进行解锁第一终端，用户通过指纹或者眼纹解锁第一终端。解锁后执行步骤901-902。

这里，实际应用时，如果工作时间超过用户预设的时间，第一终端进入锁定状态和低耗电状态。

图10为本发明实施例新增设备流程，即录入新密钥的具体实现流程示意图，如图10所示，包括如下步骤：

步骤1001-1002：进入录入新密钥流程；通过信息采集模块804确认用户信息，确认第一终端是合法用户使用，并使第一终端进入工作模式。

步骤1003：通过信息采集模块804录入用户信息、新密钥。

步骤1004：通过物联网协议允许用于传输数据的信令，将录入的密钥发送给服务器。

这里，实际应用时，可以基于NB-IoT/eMTC协议，将录入的密钥发送给服务器。具体地，当无线接入承载不存在时，可以使用信令面的NAS层将录入的对应第一终端的密钥发送给服务器；否则，通过用户面将录入的对应第一终端的密钥发送给服务器。当然，也可以先建立无线接入承载，然后通过打包录入的密钥数据，将打包后的数据包通过PDCP层、RLC层、MAC层处理、PHY层封装后，通过传输块的形式发送给网络侧的服务器。

步骤1005：服务器更新预设数据库，创建新密钥信息，以及新密钥与第一终端的对应关系、主机与第一终端的对应关系。

步骤1006：提示用户，录入新密钥成功。

图11为本发明实施例更改密钥的具体实现流程示意图，如图11所示，包括如下步骤：

步骤1101-1102：进入更改密钥流程，通过信息采集模块804确认用户信息，确认第一终端是合法用户使用，并使第一终端进入工作模式。

步骤1103：通过信息采集模块804输入更改后的密钥。

步骤1104：通过物联网协议允许用于传输数据的信令，将更改后的密钥发送给服务器。

这里，实际应用时，可以基于NB-IoT/eMTC协议，将更改后的密钥发送给服务器。具体地，当无线接入承载不存在时，可以使用信令面的NAS层将录入的对应第一终端的密钥发送给服务器；否则，通过用户面将录入的对应第一终端的密钥发送给服务器。当然，也可以先建立无线接入承载，然后通过打包更改后的密钥数据，将打包后的数据包通过PDCP层、RLC层、MAC层处理、物理层封装后，通过传输块的形式发送给网络侧的服务器。

步骤1105：服务器更新预设数据库，创建更改后的密钥信息，以及更改后的密钥与第一终端的对应关系、主机与第一终端的对应关系。

步骤1106：提示用户，更改密钥成功。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

基于此，本发明实施例还提供了一种计算机存储介质，所述计算机存储介质包括一组指令，当执行所述指令时，引起至少一个处理器执行上述服务器侧的鉴权方法，或者执行上述终端侧的鉴权方法。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

Claims

1.一种鉴权方法，其特征在于，应用于第一终端，所述方法包括：

获取第二终端的图像数据；

2.根据权利要求1所述的方法，其特征在于，所述通过物联网协议允许用于传输数据的信令将图像数据发送给服务器，包括：

3.根据权利要求1所述的方法，其特征在于，所述获取第二终端的图像数据，包括：

搜索得到至少一个终端；

从所述至少一个终端中确定所述第二终端；

采集所述第二终端的图像，得到所述图像数据。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

读取所述无线接入承载的状态变量信息；

5.根据权利要求2所述的方法，其特征在于，所述通过信令面的非接入层将图像数据发送给服务器，包括：

6.根据权利要求1所述的方法，其特征在于，所述将所述密钥发送给第二终端之前，所述方法还包括：

获取所述第一终端用户输入的验证信息；

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

8.一种鉴权方法，其特征在于，应用于服务器，所述方法包括：

9.根据权利要求8所述的方法，其特征在于，所述接收第一终端通过物联网协议允许用于传输数据的信令发送的第二终端的图像数据，包括：

10.根据权利要求8所述的方法，其特征在于，所述利用所述图像数据，在预设数据库中进行查找，包括：

根据提取的特征信息在预设数据库中进行查找。

11.根据权利要求8所述的方法，其特征在于，所述方法还包括：

12.一种第一终端，其特征在于，所述第一终端包括：

获取模块，用于获取第二终端的图像数据；

第一接收模块，用于接收服务器发送的密钥。

13.根据权利要求12所述的第一终端，其特征在于，

所述第一发送模块，具体用于在终端和核心网之间建立信令无线承载，利用图像数据生成非接入层信令消息，将所述非接入层信令消息在信令无线承载上发送给服务器。

14.一种服务器，其特征在于，所述服务器包括：

15.根据权利要求14所述的服务器，其特征在于，

所述第二接收模块，具体用于通过在终端和核心网之间的信令无线承载，接收第一终端通过信令面的非接入层在信令无线承载上发送的非接入层信令消息；所述非接入层信令消息包含第二终端的图像数据。