CN112507325A - 一种设备访问权限的管理方法、装置、设备及存储介质 - Google Patents
一种设备访问权限的管理方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112507325A CN112507325A CN202011394180.8A CN202011394180A CN112507325A CN 112507325 A CN112507325 A CN 112507325A CN 202011394180 A CN202011394180 A CN 202011394180A CN 112507325 A CN112507325 A CN 112507325A
- Authority
- CN
- China
- Prior art keywords
- dynamic
- code
- authority
- encryption key
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及一种设备访问权限的管理方法、装置、设备或存储介质,该方法通过设备端服务器接收设备端发送的身份信息、动态权限码和加密密钥,动态权限码和加密密钥由设备端生成,且动态权限码由设备端定期更新;动态权限码包括多个权限等级和多个权限等级对应的多个动态密码;设备端服务器对身份信息进行验证,若身份信息验证通过,则将动态权限码和加密密钥存储于第一存储区域中;当设备端服务器接收到来自终端的访问请求时,向终端服务器发送动态权限码和加密密钥;本申请中关键秘钥信息属于设备端所有者,源头存储在设备端,设备端定期更新动态权限码并经由设备端服务器分发,如此可以提高设备访问的安全性。
Description
技术领域
本申请涉及物联网技术领域,特别涉及一种设备访问权限的管理方法、装置、设备及存储介质。
背景技术
目前,随着物联网技术的飞速发展,生态圈日益完善,物联网设备的应用领域正在逐渐拓宽,例如对于智能家居产品,不同终端如个人电脑、移动端经由互联网可以随时随地进行访问。而在访问物联网产品的过程中,所有的信令和数据都会在互联网上传送,对于当前复杂的网络环境来说,被截获和破解,进而非法访问产品上的敏感数据经常发生。基于此,物联网设备需要设计安全访问的方案。
现有技术中,针对一个设备存在多个使用者的场景来说,通常是在设备上创建不同的账号,赋予不同的权限,然后通过人工方式将对应主/次账号用户名密码分发给多个使用者;或者,在服务器上创建和管理不同的账号,由云服务器将账号信息分配给使用者;又或者,将账号密码固定存储在设备上,访问设备时在信令中携带,信令传输基本都是用基于安全传输层协议(TLS)的https协议或者TCP私有协议传输。
然而,在现有技术中安全访问的过程中,存在以下缺点:秘钥信息对于设备制造方(开发及生产)保密性不足;加密信息终端用户不修改就不变化,会以固定的值在互联网上传输,增加了被破解的可能性。
发明内容
本申请实施例提供了一种设备访问权限的管理方法、装置、设备及存储介质,可以提高设备访问的安全性。
一方面,本申请实施例提供了一种设备访问权限的管理方法,包括:
接收设备端发送的身份信息、动态权限码和加密密钥;动态权限码和加密密钥由设备端生成,且动态权限码由设备端定期更新;动态权限码包括多个权限等级和多个权限等级对应的多个动态密码;
若身份信息验证通过,则将动态权限码和加密密钥存储于第一存储区域中;
当接收到来自终端的访问请求时,向终端服务器发送动态权限码和加密密钥。
另一方面,本申请实施例提供了一种设备访问权限的管理方法,包括:
接收设备端服务器发送的动态权限码和加密密钥;动态权限码和加密密钥是由设备端生成并发送至设备端服务器的;动态权限码包括多个权限等级和多个权限等级对应的多个动态密码;
若接收到终端发送的访问时间信息,则基于访问时间信息和动态权限码生成动态登录码;
根据加密密钥对动态登录码进行加密,得到加密动态登录码;
向终端发送加密动态登录码。
可选的,方法还包括:
接收终端发送的登录权限分享信息;登录权限分享信息包括待分享终端的标识、待分享权限等级和待分享访问时间;
根据待分享权限等级,从动态权限码中确定出对应的待分享动态密码;
基于待分享访问时间和待分享动态密码生成待分享登录码;
根据加密密钥对待分享登录码进行加密,得到加密待分享登录码;
根据待分享终端的标识向待分享终端发送加密待分享登录码。
另一方面,本申请实施例提供了一种设备访问权限的管理方法,包括:
获取身份信息;
将身份信息进行加密,并存储于第二存储区域中;
若接收到激活信号,则生成动态权限码和加密密钥,定期更新动态权限码;动态权限码包括多个权限等级和多个权限等级对应的多个动态密码;
将加密密钥和更新后的动态权限码进行加密,并存储于第二存储区域中;
向设备端服务器发送身份信息、加密密钥和更新后的动态权限码。
可选的,向设备端服务器发送身份信息、加密密钥和更新后的动态权限码之后,方法还包括:
接收终端发送的加密动态登录码;
根据加密密钥对加密动态登录码进行解密,得到待验证权限码;
基于动态权限码对待验证权限码进行验证;
若验证通过,则向终端发送允许访问的信息。
另一方面,本申请实施例提供了一种设备访问权限的管理装置,包括:
接收模块,用于接收设备端发送的身份信息、动态权限码和加密密钥;动态权限码和加密密钥由设备端生成,且动态权限码由设备端定期更新;动态权限码包括多个权限等级和多个权限等级对应的多个动态密码;
验证模块,用于若身份信息验证通过,则将动态权限码和加密密钥存储于第一存储区域中;
发送模块,用于当接收到来自终端的访问请求时,向终端服务器发送动态权限码和加密密钥。
另一方面,本申请实施例提供了一种设备访问权限的管理装置,包括:
接收模块,用于接收设备端服务器发送的动态权限码和加密密钥;动态权限码和加密密钥是由设备端生成并发送至设备端服务器的;动态权限码包括多个权限等级和多个权限等级对应的多个动态密码;
生成模块,用于若接收到终端发送的访问时间信息,则基于访问时间信息和动态权限码生成动态登录码;
加密模块,用于根据加密密钥对动态登录码进行加密,得到加密动态登录码;
发送模块,用于向终端发送加密动态登录码。
另一方面,本申请实施例提供了一种设备访问权限的管理装置,包括:
获取模块,用于获取身份信息;
第一加密模块,用于将身份信息进行加密,并存储于第二存储区域中;
生成模块,用于若接收到激活信号,则生成动态权限码和加密密钥,定期更新动态权限码;动态权限码包括多个权限等级和多个权限等级对应的多个动态密码;
第二加密模块,用于将加密密钥和更新后的动态权限码进行加密,并存储于第二存储区域中;
发送模块,用于向设备端服务器发送身份信息、加密密钥和更新后的动态权限码。
另一方面,本申请实施例提供了一种设备,设备包括处理器和存储器,存储器中存储有至少一条指令或至少一段程序,至少一条指令或至少一段程序由处理器加载并执行上述的设备访问权限的管理方法。
另一方面,本申请实施例提供了一种计算机存储介质,存储介质中存储有至少一条指令或至少一段程序,至少一条指令或至少一段程序由处理器加载并执行以实现上述的设备访问权限的管理方法。
本申请实施例提供的一种设备访问权限的管理方法、装置、设备及存储介质具有如下有益效果:
通过设备端服务器接收设备端发送的身份信息、动态权限码和加密密钥,动态权限码和加密密钥由设备端生成,且动态权限码由设备端定期更新;动态权限码包括多个权限等级和多个权限等级对应的多个动态密码;设备端服务器对身份信息进行验证,若身份信息验证通过,则将动态权限码和加密密钥存储于第一存储区域中;当设备端服务器接收到来自终端的访问请求时,向终端服务器发送动态权限码和加密密钥;本申请中关键秘钥信息属于设备端所有者,源头存储在设备端,设备端定期更新动态权限码并经由设备端服务器分发,如此可以提高设备访问的安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种应用场景的示意图;
图2是本申请实施例提供的一种设备访问权限的管理方法的流程示意图;
图3是本申请实施例提供的一种云ID信息发布及生产配置方案的过程示意图;
图4是本申请实施例提供的一种设备端、设备端服务器、终端服务器和终端之间的交互示意图;;
图5是本申请实施例提供的一种终端服务器分享访问权限的方法流程示意图;
图6是本申请实施例提供的一种设备访问权限的管理装置的结构示意图;
图7是本申请实施例提供的一种设备访问权限的管理装置的结构示意图;
图8是本申请实施例提供的一种设备访问权限的管理装置的结构示意图;
图9是本申请实施例提供的一种设备访问权限的管理方法的服务器的硬件结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
请参阅图1,图1是本申请实施例提供的一种应用场景的示意图,包括设备端服务器101、终端服务器102、设备端103和终端104;设备端服务器101分别与终端服务器102、设备端103相连,终端服务器102与终端104相连,终端104向设备端103发送访问请求以及加密动态登录码,设备端103对加密动态登录码进行验证,验证通过则允许终端104访问。
具体的,设备端103在出厂前根据获取的身份信息,将身份信息进行加密,并存储于第二存储区域中;若接收到激活信号,则设备端103生成动态权限码和加密密钥,定期更新动态权限码;动态权限码包括多个权限等级和多个权限等级对应的多个动态密码;设备端103将更新后的动态权限码进行加密,并存储于第二存储区域中,然后向设备端服务器101发送身份信息、加密密钥和更新后的动态权限码;
设备端服务器101接收设备端103发送的身份信息、动态权限码和加密密钥,对身份信息进行验证,若身份信息验证通过,则将动态权限码和加密密钥存储于第一存储区域中;设备端服务器101若接收到来自终端104的访问请求,其中访问请求可以经由设备端103转发至设备端服务器101,则向终端服务器102发送动态权限码和加密密钥;
终端服务器102接收设备端服务器101发送的动态权限码和加密密钥;终端104向设备端103发送访问请求时,同时向终端服务器102发送访问时间信息;终端服务器102若接收到终端104发送的访问时间信息,则基于访问时间信息和动态权限码生成动态登录码,并根据加密密钥对动态登录码进行加密,得到加密动态登录码;然后,终端服务器102向终端104发送加密动态登录码,终端104根据该加密动态登录码访问设备端103。
可选的,设备端103可以是安防设备、视频监控设备、影音娱乐设备、智能多媒体设备等智能家居设备。
可选的,终端104包括手机、平板、笔记本电脑等移动设备,智能手表等可穿戴设备,和台式电脑等非移动设备。
可选的,设备端服务器101和终端服务器102可以在同一个云服务平台实现,也可以在不同的两个云服务平台实现。
以下介绍本申请一种设备访问权限的管理方法的具体实施例,图2是本申请实施例提供的一种设备访问权限的管理方法的流程示意图,本说明书提供了如实施例或流程图的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的系统或服务器产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。具体的如图2所示,该方法可以包括:
S201:设备端获取身份信息。
本申请实施例中,设备端的身份信息在设备在生产时写入设备内,身份信息是唯一的,用于表示标识一个设备。
一种可选的实施方式中,设备端的身份信息可以包括云ID,设备内部认证码Dv,验证码V;其中,云ID在整个云平台业务内部唯一,标识一个设备,云ID出厂时打印在设备的产品标签上面;设备内部识别码Dv,配套云ID,在整个云平台证明设备的合法身份,设备内部识别码Dv在整个生产/销售环节不允许被生产工人、销售人员获取;验证码V可以作为图片和视频可选加密的密钥种子,出厂时打印在设备的产品标签上面。
具体的,以给设备端配置云ID为例,本申请实施例提供一种云ID信息发布及生产配置方案,如图3所示,首先,由第三方云平台提供云ID,安全管理员通过资源授权服务器创建并发布云ID;其次,安全管理员将云ID导入生产管理服务器和云业务服务器;其次,设备端的生产/工程业务员录入订单信息,生产/工程管理员审核订单信息;其次,生产/工程业务员获取到订单对应的登录码并发布给生产工人;其次,生产工人使用账号、订单和登录码,通过工具登录服务器获取云ID;最后,生产工具连接设备,并逐个将云ID写入设备,同时可以通过打印工具,将云ID打印出来贴在产品标签上;生产配置的过程中可以使用https协议进行通讯;设备生产完成后,发货到现网进行出售;设备端后续在使用时,使用已写入的云ID到云业务服务器进行注册验证。
S203:设备端将身份信息进行加密,并存储于第二存储区域中。
本申请实施例中,设备端将身份信息进行加密,然后将加密后的身份信息存储于第二存储区域中。
一种可选的实施方式中,第二存储区域可以是flash存储器。
S205:设备端若接收到激活信号,则生成动态权限码和加密密钥,定期更新动态权限码;动态权限码包括多个权限等级和多个权限等级对应的多个动态密码。
S207:设备端将加密密钥和更新后的动态权限码进行加密,并存储于第二存储区域中。
本申请实施例中,设备端需要通过生产配置流程的激活信号触发首次动态权限码及加密密钥的生成,启用动态权限码,启用后不可逆,且设备端定期更新动态权限码,动态权限码包括多个权限等级和多个权限等级对应的多个动态密码。设备端将生成的加密密钥和更新的动态权限码加密存储在设备端第二存储区域中,加密可以使用芯片加密方案。
一种可选的实施方式中,动态权限码的具体结构为“权限等级:动态密码”,例如“1:736Yhd”,1可以表示预览权限,后面段为动态密码(动态码长度可以固定为6位);当具有多个权限时,不同权限动态密码之间以逗号分隔,通过大括号包括动态密码列表,例如“{1:736Yhd,2:3ut74k}”;不同权限等级定义可以参考:1表示预览权限,2表示云台权限,3表示录像回放权限,4表示报警权限,其他实施例中还可以扩展定义其它权限等级。
一种可选的实施方式中,加密密钥包括AES加密密钥K1、应用层通信加密密钥K2和设备端存储敏感信息的加密密钥Ks;其中,K1作为其他终端访问设备端时的加密密钥;K2作为设备端音视频传输通道的传输加密密钥,采用AES128/256加密;加密密钥Ks可以在设备端随机生成,出厂时写入加密芯片中,每台设备的该密钥不相同,如果加密芯片支持密钥永久存储,则可以不在设备端存储器中保存,使用加密芯片的密钥存储,并使用设备内部认证码Dv与密钥算法生成Ks;否则,使用唯一素材识别码(Unique Material Identifier,UMID)与密钥算法生成Ks,相当于分散存储在代码中(UMID明文)。
一种可选的实施方式中,设备端首次上电后,在bin文件中创建默认的初始动态权限码和加密密钥,保证生产配置流程工具可以登录设备,并做全部权限的操作。例如,初始动态权限码Td可以为0:000000,1:111111,2:222222,3:333333,4:444444,初始加密密钥K1可以为00001111222233334444555566667777,初始加密密钥K2可以是777766665555544443333222211110000,初始加密密钥Ks可以使用默认值TDKS0000与密钥算法生成。具体的,根据Td/K1/K2是否为初始值,判断是否启用动态权限码/加密密钥,并注册服务器;Td/K1/K2动态创建后,启用新的Ks。
S209:向设备端服务器发送身份信息、加密密钥和更新后的动态权限码。
S211:设备端服务器接收设备端发送的身份信息、动态权限码和加密密钥。
S213:若身份信息验证通过,则设备端服务器将动态权限码和加密密钥存储于第一存储区域中。
本申请实施例中,设备端向设备端服务器发送身份信息、加密密钥和更新后的动态权限码进行注册,设备端服务器根据身份信息匹配预存在数据库中的数据,判定设备是否合法,不匹配则注册失败,匹配则注册成功;注册成功后,设备端将动态权限码和加密密钥上传到设备端服务器上,设备端服务器将动态权限码和加密密钥存储于第一存储区域中。
本申请中动态权限码和加密密钥都是设备端生成,每个设备都不一样,破解者即使获取了一台设备的这些数据,但不能用于其它设备访问使用,无法扩展到其它设备上;破解者要获得动态权限码和加密密钥等数据,就需要拆开设备,通过硬件连接方式,获得第二存储区域中存储的数据,得到加密的动态权限码和加密密钥,然后使用该设备的加密芯片解密,才能得到明文的动态权限码和加密密钥。相较于现有技术,本申请中关键秘钥信息属于设备端所有者,源头存储在设备端,提高了破解难度,并保证了关键秘钥的安全性。
S215:当接收到来自终端的访问请求时,设备端服务器向终端服务器发送动态权限码和加密密钥。
本申请实施例中,当任意终端向设备端发送访问请求时,设备端将访问请求转发至设备端服务器,然后设备端服务器将当前存储的动态权限码和加密密钥发送至对应的终端服务器。
S217:终端服务器接收设备端服务器发送的动态权限码和加密密钥。
S219:若接收到终端发送的访问时间信息,则终端服务器基于访问时间信息和动态权限码生成动态登录码。
S221:终端服务器根据加密密钥对动态登录码进行加密,得到加密动态登录码。
S223:终端服务器向终端发送加密动态登录码。
本申请实施例中,终端向设备端发送访问请求时,向终端服务器发送对应的访问时间信息,访问时间信息指的是,终端对设备端某具体时间段内的数据进行访问时,生成的包含该具体时间段的信息。终端服务器基于访问时间信息和动态权限码生成动态登录码,然后使用加密密钥对动态登录码进行加密,得到加密动态登录码,再发送该加密动态登录码给终端,终端使用该加密动态登录码对设备端进行访问。
一种可选的实施方式中,向设备端服务器发送身份信息、加密密钥和更新后的动态权限码之后,方法还包括:接收终端发送的加密动态登录码;根据加密密钥对加密动态登录码进行解密,得到待验证权限码;基于动态权限码对待验证权限码进行验证;若验证通过,则向终端发送允许访问的信息。
具体的,终端使用加密动态登录码对设备端进行访问,设备端接收终端发送的加密动态登录码,然后根据存储的加密密钥对该加密动态登录码进行解密,得到待验证权限码,然后基于存储的动态权限码对该待验证权限码进行验证;若验证通过,则向终端发送允许访问的信息。
一种可选的实施方式中,访问时间信息可以包括访问星期参数和具体时间段参数;具体的,访问星期参数以数字表示,1为星期一,2为星期二……6为星期六,0为星期日;包含多个星期时以逗号分隔,通过大括号包括星期列表,例如“{1,2,4}”;具体时间段参数的结构为“开始时间-结束时间”,例如“10:12:54-12:00:01”;包含多个时间段时以逗号分隔,通过大括号包括时间段列表,例如“{10:12:54-12:00:01,14:22:01-16:02:12}”。
一种可选的实施方式中,基于访问时间信息和动态权限码生成的动态登录码中包含权限动态码、访问星期参数和具体时间段参数三个参数;具体的,三个参数分别包含参数名和参数值,权限动态码的参数名为P,访问星期参数的参数名为W,具体时间段参数的参数名为T,参数值以上文实施例为例;例如,动态权限码为P={1:736Yhd,2:3ut74k}&W={1,2,4}&T={10:12:54-12:00:01,14:22:01-16:02:12};需要说明的是,各个参数的排列顺序不固定。
下面结合图4对步骤S201-S223中涉及动态权限码和动态登录码的主要传输步骤进行说明。如图4所示,Auth(D)表示设备端服务器,Auth(U)表示终端服务器,Dev表示设备端,Client表示终端,V表示设备端的验证码,即身份信息;Td表示设备端生成并定期更新的动态权限码;Tdc表示终端服务器生成的动态登录码,动态登录码包括了动态权限码和访问时间信息;K1表示Tdc的密钥,对Tdc加密的密钥;K2表示媒体流或协议的密钥,对设备端与终端之间的媒体流或通讯协议的密码;K1(Tdc)表示通过K1加密后的加密动态登录码;K2(Pro+Stream)表示通过K2加密后的协议和媒体流的密文。Dev生成Td+K1+K2,并向Auth(D)发送V和Td+K1+K2,Auth(D)向Auth(U)转发Td+K1+K2,再由Auth(U)通过K1对Td进行加密,得到K1(Tdc),Auth(U)将K1(Tdc)下发至Client,Client通过K1(Tdc)登录Dev之后,Client与Dev之间通过K2(Pro+Stream)传输媒体流或协议。
本申请实施例中,终端可以向其他用户终端分享设备端的使用权限,终端可以自定义分享的权限等级以及分享的访问时段。
因此,一种可选的实施方式中,设备访问权限的管理方法还可以包括:终端服务器分享访问权限的步骤;如图5所示,图5是本申请实施例提供的一种终端服务器分享访问权限的方法流程示意图,终端服务器分享访问权限的步骤主要以终端服务器为执行主语,因此下文具体步骤中省略终端服务器这个执行主语,终端服务器分享访问权限的具体步骤可以包括:
S501:接收终端发送的登录权限分享信息;登录权限分享信息包括待分享终端的标识、待分享权限等级和待分享访问时间。
S503:根据待分享权限等级,从动态权限码中确定出对应的待分享动态密码。
S505:基于待分享访问时间和待分享动态密码生成待分享登录码。
S507:根据加密密钥对待分享登录码进行加密,得到加密待分享登录码。
S509:根据待分享终端的标识向待分享终端发送加密待分享登录码。
具体的,基于上文中各权限等级的含义和访问时间信息的实施例,假设终端拥有1-4全部权限等级,则终端可以从全部权限等级中确定待分享权限等级为1预览权限,并限定待分享访问时间为星期1的具体时间段8:00:00-16:00:00,则终端服务器最终生成的待分享登录码为P={1:736Yhd}&W={1}&T={8:00:00-16:00:00},然后根据加密密钥对该待分享登录码进行加密,得到加密待分享登录码,最后根据待分享终端的标识向待分享终端发送该加密待分享登录码。
本申请实施例中,加密密钥不下发到终端,终端无法篡改动态权限码,如此可以避免如下场景:终端开发人员知道源码,伪造APP可以越权访问设备端,比如扩展分享的时间段,达到越权访问的目的;且设备端的权限码动态更新并经由云平台分发,可以提高设备绑定/分享的易用性,支持可扩展的分级权限定义及分发;同时,提高了从研发-生产-终端用户使用的全流程秘钥安全性。
本申请实施例还提供了一种设备访问权限的管理装置,图6是本申请实施例提供的一种设备访问权限的管理装置的结构示意图,如图6所示,该装置包括:
接收模块601,用于接收设备端发送的身份信息、动态权限码和加密密钥;动态权限码和加密密钥由设备端生成,且动态权限码由设备端定期更新;动态权限码包括多个权限等级和多个权限等级对应的多个动态密码;
验证模块602,用于若身份信息验证通过,则将动态权限码和加密密钥存储于第一存储区域中;
发送模块603,用于当接收到来自终端的访问请求时,向终端服务器发送动态权限码和加密密钥。
该实施例中,装置可以应用于上文方法实施例中设备端服务器。
本申请实施例还提供了一种设备访问权限的管理装置,图7是本申请实施例提供的一种设备访问权限的管理装置的结构示意图,如图7所示,该装置包括:
接收模块701,用于接收设备端服务器发送的动态权限码和加密密钥;动态权限码和加密密钥是由设备端生成并发送至设备端服务器的;动态权限码包括多个权限等级和多个权限等级对应的多个动态密码;
生成模块702,用于若接收到终端发送的访问时间信息,则基于访问时间信息和动态权限码生成动态登录码;
加密模块703,用于根据加密密钥对动态登录码进行加密,得到加密动态登录码;
发送模块704,用于向终端发送加密动态登录码。
该实施例中,装置可以应用于上文方法实施例中终端服务器。
本申请实施例还提供了一种设备访问权限的管理装置,图8是本申请实施例提供的一种设备访问权限的管理装置的结构示意图,如图8所示,该装置包括:
获取模块801,用于获取身份信息;
第一加密模块802,用于将身份信息进行加密,并存储于第二存储区域中;
生成模块803,用于若接收到激活信号,则生成动态权限码和加密密钥,定期更新动态权限码;动态权限码包括多个权限等级和多个权限等级对应的多个动态密码;
第二加密模块804,用于将加密密钥和更新后的动态权限码进行加密,并存储于第二存储区域中;
发送模块805,用于向设备端服务器发送身份信息、加密密钥和更新后的动态权限码。
该实施例中,装置可以应用于上文方法实施例中设备端。
本申请实施例中的装置与方法实施例基于同样地申请构思。
本申请实施例所提供的方法实施例可以在计算机终端、服务器或者类似的运算装置中执行。以运行在服务器上为例,图9是本申请实施例提供的一种设备访问权限的管理方法的服务器的硬件结构框图。如图9所示,该服务器900可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(Central Processing Units,CPU)910(处理器910可以包括但不限于微处理器NCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器930,一个或一个以上存储应用程序923或数据922的存储介质920(例如一个或一个以上海量存储设备)。其中,存储器930和存储介质920可以是短暂存储或持久存储。存储在存储介质920的程序可以包括一个或一个以上模块,每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器910可以设置为与存储介质920通信,在服务器900上执行存储介质920中的一系列指令操作。服务器900还可以包括一个或一个以上电源960,一个或一个以上有线或无线网络接口950,一个或一个以上输入输出接口940,和/或,一个或一个以上操作系统921,例如Windows,Mac OS,Unix,Linux,FreeBSD等等。
输入输出接口940可以用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器900的通信供应商提供的无线网络。在一个实例中,输入输出接口940包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,输入输出接口940可以为射频(RadioFrequency,RF)模块,其用于通过无线方式与互联网进行通讯。
本领域普通技术人员可以理解,图9所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,服务器900还可包括比图9中所示更多或者更少的组件,或者具有与图9所示不同的配置。
本申请的实施例还提供了一种存储介质,所述存储介质可设置于服务器之中以保存用于实现方法实施例中一种设备访问权限的管理方法相关的至少一条指令、至少一段程序、代码集或指令集,该至少一条指令、该至少一段程序、该代码集或指令集由该处理器加载并执行以实现上述设备访问权限的管理方法。
可选地,在本实施例中,上述存储介质可以位于计算机网络的多个网络服务器中的至少一个网络服务器。可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
由上述本申请提供的一种设备访问权限的管理方法、装置、设备或存储介质的实施例可见,本申请中通过设备端服务器接收设备端发送的身份信息、动态权限码和加密密钥,动态权限码和加密密钥由设备端生成,且动态权限码由设备端定期更新;动态权限码包括多个权限等级和多个权限等级对应的多个动态密码;设备端服务器对身份信息进行验证,若身份信息验证通过,则将动态权限码和加密密钥存储于第一存储区域中;当设备端服务器接收到来自终端的访问请求时,向终端服务器发送动态权限码和加密密钥;本申请中关键秘钥信息属于设备端所有者,源头存储在设备端,设备端定期更新动态权限码并经由设备端服务器分发,如此可以提高设备访问的安全性。
需要说明的是:上述本申请实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本申请的较佳实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种设备访问权限的管理方法,其特征在于,包括:
接收设备端发送的身份信息、动态权限码和加密密钥;所述动态权限码和所述加密密钥由所述设备端生成,且所述动态权限码由所述设备端定期更新;所述动态权限码包括多个权限等级和所述多个权限等级对应的多个动态密码;
若所述身份信息验证通过,则将所述动态权限码和所述加密密钥存储于第一存储区域中;
当接收到来自终端的访问请求时,向终端服务器发送所述动态权限码和所述加密密钥。
2.一种设备访问权限的管理方法,其特征在于,包括:
接收设备端服务器发送的动态权限码和加密密钥;所述动态权限码和所述加密密钥是由设备端生成并发送至所述设备端服务器的;所述动态权限码包括多个权限等级和所述多个权限等级对应的多个动态密码;
若接收到终端发送的访问时间信息,则基于所述访问时间信息和所述动态权限码生成动态登录码;
根据所述加密密钥对所述动态登录码进行加密,得到加密动态登录码;
向终端发送所述加密动态登录码。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
接收所述终端发送的登录权限分享信息;所述登录权限分享信息包括待分享终端的标识、待分享权限等级和待分享访问时间;
根据所述待分享权限等级,从所述动态权限码中确定出对应的待分享动态密码;
基于所述待分享访问时间和所述待分享动态密码生成待分享登录码;
根据所述加密密钥对所述待分享登录码进行加密,得到加密待分享登录码;
根据所述待分享终端的标识向所述待分享终端发送所述加密待分享登录码。
4.一种设备访问权限的管理方法,其特征在于,包括:
获取身份信息;
将所述身份信息进行加密,并存储于第二存储区域中;
若接收到激活信号,则生成动态权限码和加密密钥,定期更新所述动态权限码;所述动态权限码包括多个权限等级和所述多个权限等级对应的多个动态密码;
将所述加密密钥和更新后的动态权限码进行加密,并存储于所述第二存储区域中;
向所述设备端服务器发送所述身份信息、所述加密密钥和所述更新后的动态权限码。
5.根据权利要求4所述的方法,其特征在于,所述向所述设备端服务器发送所述身份信息、所述加密密钥和所述更新后的动态权限码之后,所述方法还包括:
接收终端发送的加密动态登录码;
根据所述加密密钥对所述加密动态登录码进行解密,得到待验证权限码;
基于所述动态权限码对所述待验证权限码进行验证;
若验证通过,则向所述终端发送允许访问的信息。
6.一种设备访问权限的管理装置,其特征在于,包括:
接收模块,用于接收设备端发送的身份信息、动态权限码和加密密钥;所述动态权限码和所述加密密钥由所述设备端生成,且所述动态权限码由所述设备端定期更新;所述动态权限码包括多个权限等级和所述多个权限等级对应的多个动态密码;
验证模块,用于若所述身份信息验证通过,则将所述动态权限码和所述加密密钥存储于第一存储区域中;
发送模块,用于当接收到来自终端的访问请求时,向终端服务器发送所述动态权限码和所述加密密钥。
7.一种设备访问权限的管理装置,其特征在于,包括:
接收模块,用于接收设备端服务器发送的动态权限码和加密密钥;所述动态权限码和所述加密密钥是由设备端生成并发送至所述设备端服务器的;所述动态权限码包括多个权限等级和所述多个权限等级对应的多个动态密码;
生成模块,用于若接收到终端发送的访问时间信息,则基于所述访问时间信息和所述动态权限码生成动态登录码;
加密模块,用于根据所述加密密钥对所述动态登录码进行加密,得到加密动态登录码;
发送模块,用于向终端发送所述加密动态登录码。
8.一种设备访问权限的管理装置,其特征在于,包括:
获取模块,用于获取身份信息;
第一加密模块,用于将所述身份信息进行加密,并存储于第二存储区域中;
生成模块,用于若接收到激活信号,则生成动态权限码和加密密钥,定期更新所述动态权限码;所述动态权限码包括多个权限等级和所述多个权限等级对应的多个动态密码;
第二加密模块,用于将所述加密密钥和更新后的动态权限码进行加密,并存储于所述第二存储区域中;
发送模块,用于向所述设备端服务器发送所述身份信息、所述加密密钥和所述更新后的动态权限码。
9.一种设备,其特征在于,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令或至少一段程序,所述至少一条指令或所述至少一段程序由所述处理器加载并执行如权利要求1或2-3或4-5任一项所述的设备访问权限的管理方法。
10.一种计算机存储介质,其特征在于,所述存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或至少一段程序由处理器加载并执行以实现如权利要求1或2-3或4-5任一项所述的设备访问权限的管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011394180.8A CN112507325B (zh) | 2020-12-03 | 2020-12-03 | 一种设备访问权限的管理方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011394180.8A CN112507325B (zh) | 2020-12-03 | 2020-12-03 | 一种设备访问权限的管理方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112507325A true CN112507325A (zh) | 2021-03-16 |
| CN112507325B CN112507325B (zh) | 2022-10-28 |
Family
ID=74969396
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011394180.8A Active CN112507325B (zh) | 2020-12-03 | 2020-12-03 | 一种设备访问权限的管理方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112507325B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113242120A (zh) * | 2021-04-12 | 2021-08-10 | 深圳市智莱科技股份有限公司 | 终端设备密码更新方法、系统、装置及存储介质 |
| CN115174266A (zh) * | 2022-08-09 | 2022-10-11 | 宁波奥克斯电气股份有限公司 | 空调控制方法、装置、电子设备和计算机可读存储介质 |
| CN115348110A (zh) * | 2022-10-18 | 2022-11-15 | 华能信息技术有限公司 | 一种视频会议系统的服务端数据安全管理方法 |
| CN116305047A (zh) * | 2023-03-01 | 2023-06-23 | 华能信息技术有限公司 | 一种安全访问虚拟密码处理方法及系统 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090320114A1 (en) * | 2008-06-19 | 2009-12-24 | Microsoft Corporation | Federated realm discovery |
| CN103491090A (zh) * | 2013-09-23 | 2014-01-01 | 金蝶软件(中国)有限公司 | 一种安全认证方法、设备及系统 |
| CN105099713A (zh) * | 2015-09-30 | 2015-11-25 | 成都信汇聚源科技有限公司 | 采用手持终端设置设备密码且基于云计算平台的蓝牙动态密码安全认证方法 |
| CN105337967A (zh) * | 2015-10-16 | 2016-02-17 | 晶赞广告(上海)有限公司 | 实现用户登录目标服务器的方法、系统和中心服务器 |
| CN106357653A (zh) * | 2016-09-27 | 2017-01-25 | 深圳市欧瑞博电子有限公司 | 分享控制权限的方法和系统 |
| CN109150910A (zh) * | 2018-10-11 | 2019-01-04 | 平安科技(深圳)有限公司 | 登录令牌生成及验证方法、装置及存储介质 |
| US20190140849A1 (en) * | 2010-04-30 | 2019-05-09 | T-Central, Inc. | Using pki for security and authentication of control devices and their data |
| CN110247758A (zh) * | 2019-05-30 | 2019-09-17 | 世纪龙信息网络有限责任公司 | 密码管理的方法、装置及密码管理器 |
| CN110598385A (zh) * | 2019-09-16 | 2019-12-20 | 宁波奥克斯电气股份有限公司 | 一种空调器用户账号分享授权的方法及系统 |
| CN111090841A (zh) * | 2019-11-22 | 2020-05-01 | 中国联合网络通信集团有限公司 | 一种用于工控系统的认证方法和装置 |
| CN111625829A (zh) * | 2019-02-27 | 2020-09-04 | 阿里巴巴集团控股有限公司 | 基于可信执行环境的应用激活方法及装置 |
-
2020
- 2020-12-03 CN CN202011394180.8A patent/CN112507325B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090320114A1 (en) * | 2008-06-19 | 2009-12-24 | Microsoft Corporation | Federated realm discovery |
| US20190140849A1 (en) * | 2010-04-30 | 2019-05-09 | T-Central, Inc. | Using pki for security and authentication of control devices and their data |
| CN103491090A (zh) * | 2013-09-23 | 2014-01-01 | 金蝶软件(中国)有限公司 | 一种安全认证方法、设备及系统 |
| CN105099713A (zh) * | 2015-09-30 | 2015-11-25 | 成都信汇聚源科技有限公司 | 采用手持终端设置设备密码且基于云计算平台的蓝牙动态密码安全认证方法 |
| CN105337967A (zh) * | 2015-10-16 | 2016-02-17 | 晶赞广告(上海)有限公司 | 实现用户登录目标服务器的方法、系统和中心服务器 |
| CN106357653A (zh) * | 2016-09-27 | 2017-01-25 | 深圳市欧瑞博电子有限公司 | 分享控制权限的方法和系统 |
| CN109150910A (zh) * | 2018-10-11 | 2019-01-04 | 平安科技(深圳)有限公司 | 登录令牌生成及验证方法、装置及存储介质 |
| CN111625829A (zh) * | 2019-02-27 | 2020-09-04 | 阿里巴巴集团控股有限公司 | 基于可信执行环境的应用激活方法及装置 |
| CN110247758A (zh) * | 2019-05-30 | 2019-09-17 | 世纪龙信息网络有限责任公司 | 密码管理的方法、装置及密码管理器 |
| CN110598385A (zh) * | 2019-09-16 | 2019-12-20 | 宁波奥克斯电气股份有限公司 | 一种空调器用户账号分享授权的方法及系统 |
| CN111090841A (zh) * | 2019-11-22 | 2020-05-01 | 中国联合网络通信集团有限公司 | 一种用于工控系统的认证方法和装置 |
Non-Patent Citations (4)
| Title |
|---|
| Z.JUAN-HUA等: ""PC lock software design based on removable storage device and dynamic password,"", 《2010 2ND INTERNATIONAL CONFERENCE ON COMPUTER ENGINEERING AND TECHNOLOGY》 * |
| 古明涛: ""基于动态密码的银行卡接入认证系统的设计与实现"", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
| 张庆阳 等: ""基于手机动态密码的计算机使用权限管理机制"", 《信息网络安全》 * |
| 张晗卓 等: ""基于HTTP协议的信息安全研究"", 《计算机与网络》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113242120A (zh) * | 2021-04-12 | 2021-08-10 | 深圳市智莱科技股份有限公司 | 终端设备密码更新方法、系统、装置及存储介质 |
| CN113242120B (zh) * | 2021-04-12 | 2023-03-14 | 深圳市智莱科技股份有限公司 | 终端设备密码更新方法、系统、装置及存储介质 |
| CN115174266A (zh) * | 2022-08-09 | 2022-10-11 | 宁波奥克斯电气股份有限公司 | 空调控制方法、装置、电子设备和计算机可读存储介质 |
| CN115174266B (zh) * | 2022-08-09 | 2024-05-10 | 宁波奥克斯电气股份有限公司 | 空调控制方法、装置、电子设备和计算机可读存储介质 |
| CN115348110A (zh) * | 2022-10-18 | 2022-11-15 | 华能信息技术有限公司 | 一种视频会议系统的服务端数据安全管理方法 |
| CN115348110B (zh) * | 2022-10-18 | 2023-06-30 | 华能信息技术有限公司 | 一种视频会议系统的服务端数据安全管理方法 |
| CN116305047A (zh) * | 2023-03-01 | 2023-06-23 | 华能信息技术有限公司 | 一种安全访问虚拟密码处理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112507325B (zh) | 2022-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112507325B (zh) | 一种设备访问权限的管理方法、装置、设备及存储介质 | |
| US12086259B2 (en) | Secure over-the-air firmware upgrade | |
| CN109858262B (zh) | 基于区块链系统的流程审批方法、装置、系统及存储介质 | |
| EP3029591B1 (en) | Method for unlocking administration authority and device for authentication | |
| CN101258505B (zh) | 安全的软件更新 | |
| US9094194B2 (en) | Method and system for automating the recovery of a credential store when a user has forgotten their password using a temporary key pair created based on a new password provided by the user | |
| US8051297B2 (en) | Method for binding a security element to a mobile device | |
| EP2559219B1 (en) | Online secure device provisioning framework | |
| CN112187470B (zh) | 物联网证书分发方法及装置、系统、存储介质、电子装置 | |
| CN107040520B (zh) | 一种云计算数据共享系统及方法 | |
| CN101965574A (zh) | 认证信息生成系统、认证信息生成方法、客户机装置以及安装了该方法的认证信息生成程序 | |
| EP1968230A1 (en) | Tag authentication system | |
| CN110166460B (zh) | 业务帐号的注册方法和装置、存储介质、电子装置 | |
| CA2553081C (en) | A method for binding a security element to a mobile device | |
| CN116601916A (zh) | 作为用于密钥散列消息认证码用户认证和授权的密钥材料的基于属性的加密密钥 | |
| CN110602133B (zh) | 智能合约处理方法、区块链管理设备及存储介质 | |
| CN110807210B (zh) | 一种信息处理方法、平台、系统及计算机存储介质 | |
| JP2004013560A (ja) | 認証システム、通信端末及びサーバ | |
| CN111914270A (zh) | 基于区块链技术的可编程认证服务方法和系统 | |
| EP3975015B1 (en) | Applet package sending method and device and computer readable medium | |
| CN114157470B (zh) | 一种令牌管理方法和装置 | |
| CN107920097B (zh) | 一种解锁的方法及装置 | |
| KR102332037B1 (ko) | Scada 제어망에서 강화된 운용자 인증 시스템 및 방법 | |
| CN113595962B (zh) | 一种安全管控的方法、装置和安全管控设备 | |
| CN111490880A (zh) | 文件的接收方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |