CN115883092A - 授权的方法、授权服务器、资源服务器和客户端设备 - Google Patents

授权的方法、授权服务器、资源服务器和客户端设备 Download PDF

Info

Publication number
CN115883092A
CN115883092A CN202111117519.4A CN202111117519A CN115883092A CN 115883092 A CN115883092 A CN 115883092A CN 202111117519 A CN202111117519 A CN 202111117519A CN 115883092 A CN115883092 A CN 115883092A
Authority
CN
China
Prior art keywords
identification information
token
authorization
client device
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111117519.4A
Other languages
English (en)
Inventor
齐麟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to CN202111117519.4A priority Critical patent/CN115883092A/zh
Priority to PCT/CN2022/113918 priority patent/WO2023045663A1/zh
Publication of CN115883092A publication Critical patent/CN115883092A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请实施例提供了一种授权的方法、授权服务器、资源服务器和客户端设备,能够有效提高IoT系统的安全性能。该授权的方法包括:授权服务器接收客户端设备发送的授权请求信息,所述授权请求信息包括第一标识信息;所述授权服务器基于所述授权请求信息,生成第一令牌并向所述客户端设备发送所述第一令牌,所述第一令牌用于向所述客户端设备授权针对第一业务的业务请求;所述授权服务器接收资源服务器发送的第二标识信息,所述第二标识信息为所述资源服务器确定的标识信息;所述授权服务器确定所述第二标识信息对应所述第一令牌;所述授权服务器向所述资源服务器发送所述第一令牌。

Description

授权的方法、授权服务器、资源服务器和客户端设备
技术领域
本申请涉及物联网(internet of things,IoT)领域,并且更为具体地,涉及一种授权的方法、授权服务器、资源服务器和客户端设备。
背景技术
建筑自动化控制网络(building automation control network,BACnet)是为建筑的自动控制网络指定的一种数据通信协议,其目标是将不同厂商、不同功能的产品集成在一个系统中,并实现设备间的互操作。
在BACnet中,在某个IoT设备加入到IoT系统后,能够执行该IoT系统所有的功能。这种操作可能会存在较大的安全风险,比如,在恶意攻击者加入到该IoT系统后,同样能够执行该IoT系统所有的功能,从而能够很容易获取到该IoT系统的数据或者对数据进行恶意篡改。
发明内容
本申请提供了一种授权的方法、授权服务器、资源服务器和客户端设备,能够有效提高IoT系统的安全性能。
第一方面,提供了一种授权的方法,包括:授权服务器接收客户端设备发送的授权请求信息,所述授权请求信息包括第一标识信息;所述授权服务器基于所述授权请求信息,生成第一令牌并向所述客户端设备发送所述第一令牌,所述第一令牌用于向所述客户端设备授权针对第一业务的业务请求;所述授权服务器接收资源服务器发送的第二标识信息,所述第二标识信息为所述资源服务器确定的标识信息;所述授权服务器确定所述第二标识信息对应所述第一令牌;所述授权服务器向所述资源服务器发送所述第一令牌。
上述技术方案,在客户端设备需要访问第一业务时,需要向授权服务器请求授权第一业务的业务请求的令牌,并且资源服务器也向授权服务器请求令牌,资源服务器接收到令牌后才可以向客户端设备分配访问第一业务的资源,与客户端设备不需要任何授权直接访问第一业务相比,有效提高了整个系统的安全性能。
进一步地,客户端设备在请求令牌时,将确定的第一标识信息发送给授权服务器,从而授权服务器基于第一标识信息生成令牌。并且,资源服务器也向授权服务器发送确定的第二标识信息,第二标识信息与第一标识信息对应同一个令牌,这样,授权服务器接收到第二标识信息后可以将向客户端设备发送的令牌也发送给资源服务器。该技术方案客户端设备和资源服务器分别从授权服务器处获取到相同的令牌,这样客户端设备就不用向资源服务器发送令牌,节省了客户端设备和资源服务器之间的信令开销。此外,避免了若客户端设备向资源服务器发送令牌,可能需要随着报文一起发送,但报文没有额外的字段存放令牌,从而使得令牌无法传输的问题。
在一些可能的实现方式中,所述第一标识信息和所述第二标识信息相同。
上述技术方案,第一标识信息和第二标识信息相同,则授权服务器在接收到资源服务器发送的第二标识信息后,能够更容易地确定第二标识信息对应的令牌,同时也提高了向资源服务器发送的令牌与向客户端设备发送的令牌相同的准确率。
在一些可能的实现方式中,所述第一标识信息和所述第二标识信息为所述第一令牌的身份标识号ID。
由于令牌的ID唯一对应于该令牌,上述技术方案,授权服务器通过第一标识信息只能生成第一令牌,并且通过第二标识信息只能找到第一令牌,不会找到其他令牌,保证了客户端设备获取到的令牌和资源服务器获取到的令牌是相同的,以及客户端设备访问第一业务的正常进行。
在一些可能的实现方式中,所述第一标识信息是所述客户端设备根据向所述资源服务器发送的业务请求信息中的数据得到的;所述第二标识信息是所述资源服务器根据接收到的所述业务请求信息中的数据得到的。
上述技术方案,客户端设备和资源服务器均根据业务请求信息中的数据得到标识信息,使得客户端设备得到的第一标识信息和资源服务器得到的第二标识信息能够得到同一个令牌,保证了客户端设备访问第一业务的正常进行。
在一些可能的实现方式中,所述第一标识信息是所述客户端设备从与所述资源服务器之间的传输层安全TLS连接中得到的;所述第二标识信息是所述资源服务器从与所述客户端设备之间的所述TLS连接中得到的。
上述技术方案,由于TLS层为加密层,客户端设备和资源服务器均根据TLS连接得到标识信息,这样,不仅使得客户端设备得到的第一标识信息和资源服务器得到的第二标识信息能够得到同一个令牌,而且第一标识信息和第二标识信息还具有加密性能,进一步提高了整个系统的安全性能。
在一些可能的实现方式中,所述授权服务器确定所述第二标识信息对应所述第一令牌,包括:所述授权服务器基于所述第二标识信息,以及标识信息与令牌的对应关系,确定所述第二标识信息对应所述第一令牌。
第二方面,提供了一种授权的方法,包括:资源服务器确定第二标识信息,所述第二标识信息为所述第一令牌的身份标识号ID;所述资源服务器向授权服务器发送所述第二标识信息;所述资源服务器接收所述授权服务器发送的第一令牌,其中,所述第二标识信息对应所述第一令牌,所述第一令牌用于授权客户端设备针对第一业务的业务请求。
在一些可能的实现方式中,所述第二标识信息为所述第一令牌的身份标识号ID。
在一些可能的实现方式中,所述方法还包括:所述资源服务器接收所述客户端设备发送的业务请求信息,所述业务请求信息用于请求访问所述第一业务的资源;所述资源服务器根据所述业务请求信息中的数据,计算得到所述第二标识信息。
在一些可能的实现方式中,所述方法还包括:所述资源服务器建立与所述客户端设备之间的传输层安全TLS连接;所述资源服务器根据所述TLS连接,得到所述第二标识信息。
在一些可能的实现方式中,所述方法还包括:所述资源服务器基于所述第一令牌的属性信息,对所述业务请求信息进行验证。
第三方面,提供了一种授权的方法,包括:客户端设备确定第一标识信息;所述客户端设备向所述授权服务器发送授权请求信息,所述授权请求信息包括所述第一标识信息;所述客户端设备接收所述授权服务器基于所述授权请求信息生成的第一令牌,所述第一令牌用于向所述客户端设备授权针对第一业务的业务请求。
在一些可能的实现方式中,所述第一标识信息为所述第一令牌的身份标识号ID。
在一些可能的实现方式中,所述方法还包括:所述客户端设备确定向资源服务器发送的业务请求信息,所述业务请求信息用于请求访问所述第一业务的资源;所述客户端设备根据所述业务请求信息中的数据,计算得到所述第一标识信息。
在一些可能的实现方式中,所述方法还包括:所述客户端设备建立与所述资源服务器之间的传输层安全TLS连接;所述客户端设备根据所述TLS连接,得到所述第二标识信息。
第四方面,提供了一种授权服务器,包括用于执行上述第一方面或其各实现方式中的方法的各单元。
第五方面,提供了一种资源服务器,包括用于执行上述第二方面或其各实现方式中的方法的各单元。
第六方面,提供了一种客户端设备,包括用于执行上述第三方面或其各实现方式中的方法的各单元。
第七方面,提供了一种授权服务器,包括:存储器,用于存储程序;处理器,用于执行所述存储器存储的程序,当所述存储器存储的程序被执行时,所述处理器用于执行上述第一方面或其各实现方式中的方法。
第八方面,提供了一种资源服务器,包括:存储器,用于存储程序;处理器,用于执行所述存储器存储的程序,当所述存储器存储的程序被执行时,所述处理器用于执行上述第二方面或其各实现方式中的方法。
第九方面,提供了一种客户端设备,包括:存储器,用于存储程序;处理器,用于执行所述存储器存储的程序,当所述存储器存储的程序被执行时,所述处理器用于执行上述第三方面或其各实现方式中的方法。
附图说明
图1是本申请实施例的一种BACnet网络的拓扑结构。
图2是本申请实施例的一种授权的方法的示意性图。
图3是本申请实施例的另一种授权的方法的示意性图。
图4是本申请实施例的再一种授权的方法的示意性图。
图5是本申请实施例的一种授权的方法的示意性流程图。
图6是本申请实施例的另一种授权的方法的示意性流程图。
图7是本申请实施例的授权服务器的示意性框图。
图8是本申请实施例的资源服务器的示意性框图。
图9是本申请实施例的客户端设备的示意性框图。
图10是本申请实施例的装置的示意性框图。
附图标记列表:
W,BACnet网段;
L,物理网段;
R,中继器;
B,网桥:
RT,路由器;
1/2RT,半路由器;
N.BACnet网络;
P.点到点(point-to-point,PTP)连接;
210,授权服务器接收客户端设备发送的授权请求信息;
220,授权服务器基于授权请求信息,生成第一令牌并向客户端设备发送第一令牌;
230,授权服务器接收资源服务器发送的第二标识信息;
240,授权服务器确定第二标识信息对应第一令牌;
250,授权服务器向资源服务器发送第一令牌;
310,资源服务器确定第二标识信息;
320,资源服务器向授权服务器发送第二标识信息;
330,资源服务器接收授权服务器发送的第一令牌;
410,客户端设备确定第一标识信息;
420,客户端设备向授权服务器发送授权请求信息;
430,客户端设备接收授权服务器基于授权请求信息生成的第一令牌;
C,客户端设备;
AS,授权服务器;
BS:资源服务器;
501-513,方法500的步骤;
601-613,方法600的步骤;
700,授权服务器;
710,通信单元;
720,处理单元;
730,确定单元;
800,资源服务器;
810,确定单元;
820,通信单元;
900,客户端设备;
910,确定单元;
920,通信单元;
1000,装置;
1001,存储器;
1002,处理器;
1003,通信接口;
1004,总线。
具体实施方式
下面结合附图,对本申请实施例中的技术方案进行描述。应理解,本说明书中的具体的例子只是为了帮助本领域技术人员更好地理解本申请实施例,而非限制本申请实施例的范围。
应理解,在本申请的各种实施例中,各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
还应理解,本说明书中描述的各种实施方式,既可以单独实施,也可以组合实施,本申请实施例对此不作限定。
除非另有说明,本申请实施例所使用的所有技术和科学术语与本申请的技术领域的技术人员通常理解的含义相同。本申请中所使用的术语只是为了描述具体的实施例的目的,不是旨在限制本申请的范围。
IoT是一个基于互联网、传统电信网络等信息承载体,让所有能够被独立寻址的普通物理对象实现会联互通的网络。随着IoT的深入发展,各类种类繁多的IoT设备开始接入IoT系统。
其中,IoT设备可以为射频识别设备、传感器、全球定位系统设备、激光扫描器、智能家居设备、建筑设备等。当IoT设备为建筑设备时,IoT设备可以包括但不限于照明设备、温控器、调光器、烟雾报警器等。
IoT设备还可以具有至少一种网络接口,比如以太网接口或无线局域网接口。进一步地,IoT设备还可以具有互联网联网能力以与其它设备进行通信,比如可以基于上述的网络接口使用一个或多个通信协议与其它设备进行通信。示例性地,该通信协议可以为但不限于BACnet通信协议、超文本传输协议(hypertext transfer protocol,HTTP)等。
为了使BACnet适应各种应用,BACnet并没有规定严格的网络拓扑结构。示例性地,图1示出了BACnet网络的一种可能的拓扑结构。在该拓扑结构中,IoT设备可以被称为BACnet设备。
每个BACnet设备都可以与物理介质相连,物理介质称之为物理网段。一个或多个物理网段可以通过中继器在物理层连接,便形成了一个BACnet网段,图1共有5个BACnet网段。一个或多个BACnet网段能够通过网桥互连而形成一个BACnet网络,从图1中可以看出,图1共有3个BACnet网络。每个BACnet网络间可以形成一个单一的介质访问控制(mediumaccess control,MAC)地址域。这些在物理层和数据链路层上连接各个网段的设备,可以利用MAC地址实现报文的过滤。将使用不同局域网技术的多个网络,用BACnet路由器互连起来,便形成了一个BACnet网络。其中,在一个BACnet网络中,任意两个节点之间可以存在一条报文通路。
在BACnet中,在某个BACnet设备加入到系统后,不需要授权就能够执行该系统所有的功能,比如数据传输。这种操作可能会存在较大的安全风险,比如,在恶意攻击者加入到该系统后,同样能够执行该系统所有的功能,从而可以很容易地获取到该系统的数据或者对数据进行恶意篡改等。
鉴于此,本申请实施例提出了一种授权的方法,在客户端需要执行某一业务时,授权服务器授权之后客户端设备才可以执行该业务,从而能够有效提高整个系统的安全性能。
其中,本申请实施例的授权的方法的方法可以应用于但不限于BACnet中。
图2示出了本申请实施例的授权的方法200的示意性流程图。方法200可以由授权服务器执行。方法200可以包括以下内容中的至少部分内容。
在步骤210中,接收客户端设备发送的授权请求信息,该授权请求信息包括第一标识信息。
在步骤220中,基于授权请求信息,生成第一令牌并向客户端设备发送第一令牌(token),第一令牌用于向客户端设备授权针对第一业务的业务请求。
在步骤230中,接收资源服务器发送的第二标识信息,该第二标识信息为资源服务器确定的标识信息。
在步骤240中,确定第二标识信息对应第一令牌。
在步骤250中,向资源服务器发送第一令牌。
图3示出了本申请实施例的授权的方法300的示意性流程图。方法300可以由资源服务器执行,可以包括以下内容中的至少部分内容。
在步骤310中,确定第二标识信息。
在步骤320中,向授权服务器发送第二标识信息。
在步骤330中,接收授权服务器发送的第一令牌,其中,第二标识信息对应第一令牌,第一令牌用于授权客户端设备针对第一业务的业务请求。
图4示出了本申请实施例的授权的方法400的示意性流程图。方法400可以由客户端执行。方法400可以包括以下内容中的至少部分内容。
在步骤410中,确定第一标识信息。
在步骤420中,向授权服务器发送授权请求信息,该授权请求信息包括第一标识信息。
在步骤430中,接收授权服务器基于授权请求信息生成的第一令牌,第一令牌用于向客户端设备授权针对第一业务的业务请求。
下面将结合图2-图4进一步描述本申请实施例的授权的方法。应理解,实施例中多从客户端设备侧角度描述,可以理解,Y从R接收,意味着R进行了发送,比如,授权服务器从客户端设备接收授权请求信息,意味着客户端设备向授权服务器发送了授权请求信息。
图2-图4中的客户端设备例如可以为采暖设备、通风设备、空调设备和照明设备等。
在客户端设备需要执行某一业务(比如第一业务)时,客户端可以先向授权服务器发送授权请求信息,该授权信息包括客户端设备计算得到的第一标识信息。
其中,第一标识信息对应一个令牌。在本申请实施例中,第一标识信息对应第一令牌。
第一标识信息可以为第一令牌的身份标识号(identification,ID)。由于令牌的ID唯一对应于该令牌,第一标识信息为第一令牌的ID,能够保证授权服务器基于第一标识信息只能生成第一令牌。
或者,第一标识信息也可以为客户端设备的互联网协议(internet protocol,IP)地址或者MAC地址等。
在一种实现方式中,客户端设备可以确定向资源服务器发送的业务请求信息,该业务请求信息用于请求访问第一业务的资源。之后,客户端设备可以根据业务请求信息中的数据,得到第一标识信息。
可选地,资源可以包括时域资源、频域资源和时域资源的周期等。
可选地,客户端设备可以使用哈希(Hash)算法从业务请求信息中的数据中计算得到哈希值,该哈希值可以作为第一标识信息。
可选地,该实现方式可以应用于BACnet的IP层。
在另一种实现方式中,客户端设备可以建立与资源服务器之间的传输层安全(transport layer security,TLS)连接,从而可以根据TLS连接,得到第一标识信息。
其中,该实现方式可以应用于BACnet的TLS层。在TLS层中,可以从TLS连接值得到一个唯一值,该唯一值可以作为第一标识信息。
或者,考虑到直接将该唯一值作为第一标识信息可能会存在安全风险,还可以将该唯一值进行计算,计算得到的值可以作为第一标识信息。例如,使用哈希算法对该唯一值进行计算,从而得到第一标识信息。
该唯一值在不同版本中的实现机制可能不同。比如,在1.2版本中,该唯一值可以为TLS unique value;在1.3版本中,该唯一值可以表现为导出的密钥材料(exportedkeying material,EKM)。也就是说,客户端设备可以从TLS连接的EKM中计算得到第一标识信息。
上述技术方案,由于TLS层为加密层,客户端设备根据TLS连接得到第一标识信息,使得第一标识信息具有加密性能,其他设备如恶意攻击者无法得到第一标识信息,进一步提高了整个系统的安全性能。
需要说明的是,在BACnet的TLS层,客户端设备也可以根据业务请求信息中的数据,得到第一标识信息。
除了第一标识信息之外,授权请求信息还可以包括以下信息中的至少一项:资源服务器的属性信息、客户端设备的属性信息和第一业务的业务信息。也就是说,客户端设备还可以告诉授权服务器自己是谁、请求的资源服务器是哪个或者请求执行的业务是什么。
可选地,资源服务器的属性信息可以包括资源服务器的标识(例如ID)和/或资源服务器的地址,如MAC地址。类似地,客户端设备的属性信息可以包括客户端设备的标识和/或客户端设备的地址。
可选地,第一业务的业务信息可以包括访问第一业务的时间,访问第一业务的时长等信息。
可选地,客户端设备可以基于Http协议或者除BACnet之外的其他IoT协议等通信协议向授权服务器发送授权请求信息。该技术方案,相对于BACnet,Http协议和其他IoT协议的扩展性较好,这样客户端设备可以将第一标识信息、资源服务器的属性信息、客户端设备的属性信息、第一业务的业务信息等信息一起发送给授权服务器。
在授权服务器接收到授权请求信息后,授权服务器可以根据一定的策略确定是否生成第一令牌。
若授权服务器确定生成第一令牌,则在生成第一令牌后可以将第一令牌发送给客户端设备。其中,第一令牌用于向客户端设备授权针对第一业务的业务请求。
第一令牌可以包括但不限于第一令牌的有效期、授权服务器的签名、第一客户端的属性信息、资源服务器的属性信息以及第一业务的业务信息等属性信息。
此外,第一令牌还可以包括第一令牌的状态。示例性地,第一令牌的状态可以包括两种状态,其中一种状态表示授权服务器授权客户端设备针对第一业务的业务请求,另一种状态表示授权服务器拒绝客户端设备针对第一业务的业务请求。本申请实施例以授权服务器授权客户端设备针对第一业务的业务请求为例进行说明。
在客户端设备接收到第一令牌后,确定授权服务器已授权访问第一业务,则客户端设备可以向资源服务器发送业务请求信息。资源服务器接收到业务请求信息后,可以确定第二标识信息。
其中,客户端设备可以使用BACnet协议向资源服务器发送业务请求信息。
第二标识信息对应第一令牌,即第一标识信息和第二标识信息对应同一个令牌。
可选地,第一标识信息和第二标识信息可以相同。例如,第一标识信息和第二标识信息均为第一令牌的ID。
上述技术方案,第一标识信息和第二标识信息相同,则授权服务器在接收到资源服务器发送的第二标识信息后,能够更容易地确定第二标识信息对应的令牌,同时也提高了向资源服务器发送的令牌与向客户端设备发送的令牌相同的准确率。
资源服务器可以使用与客户端设备相同的方式生成第二标识信息。在一种实现方式中,若客户端设备根据业务请求信息中的数据得到第一标识信息,则资源服务器也根据接收到的业务请求信息中的数据,得到第二标识信息。
可选地,资源服务器可以使用与客户端设备相同的哈希算法从业务请求信息中的数据中计算得到哈希值,该哈希值可以作为第二标识信息。
可选地,该实现方式可以应用于BACnet的IP层。
在另一种实现方式中,若客户端设备根TLS连接得到第一标识信息,则资源服务器也可以建立与客户端设备之间的TLS连接,从而根据TLS连接得到第二标识信息。
其中,该实现方式可以应用于BACnet的TLS层。在TLS层中,可以从TLS连接值得到一个唯一值,该唯一值可以作为第二标识信息。
或者,可以将该唯一值进行计算,计算得到的值可以作为第二标识信息。例如,使用哈希算法对该唯一值进行计算,从而得到第二标识信息。
可选地,在本申请实施例中,若客户端设备和资源服务器均根据TLS连接得到标识信息,由于一个TLS连接对应一个令牌,那么针对同一类型的业务,客户端设备可以只申请一个令牌即可。如此,不仅节省了信令开销,还提高了速率。
作为示例,同一类型的业务可以指多个业务都是读取的操作,或者,都是写入的操作。
上述技术方案,客户端设备和资源服务器使用相同的方式分别得到标识信息,使得客户端设备得到的第一标识信息和资源服务器得到的第二标识信息能够得到同一个令牌,能够保证客户端设备访问第一业务的正常进行。
需要说明的是,客户端设备得到第一标识信息和资源服务器得到第二标识信息的方式相同。比如,若客户端设备使用哈希算法对从TLS连接中得到的唯一值进行计算,得到第一标识信息,那么资源服务器也使用哈希算法对从TLS连接中得到的唯一值进行计算,得到第二标识信息。
客户端设备和资源服务器可以提前约定好确定第一标识信息和第二标识信息的方式。比如,提前约定好使用何种算法得到第一标识信息和第二标识信息。
或者,客户端设备和资源服务器可以分别接收到指示信息,该指示信息用于指示客户端设备得到第一标识信息的实现方式,同时指示资源服务器得到第二标识信息的实现方式。比如,授权服务器可以向分别向客户端和资源服务器发送指示信息。
需要说明的是,本申请实施例对客户端设备向资源服务器发送业务请求信息的时间不做具体限定。客户端设备可以如前述内容所述的那样在获取到第一令牌后向资源服务器发送业务请求信息,也可以在向授权服务器发送授权请求信息之前发送业务请求信息,或者,也可以在向授权服务器发送授权请求信息的同时发送业务请求信息。
在资源服务器得到第二标识信息后,资源服务器可以向授权服务器发送第二标识信息。与客户端设备类似,资源服务器可以基于Http协议或者除BACnet之外的其他IoT协议等通信协议向授权服务器发送第二标识信息。
授权服务器接收到第二标识信息后,可以确定第二标识信息对应的令牌。在确定第二标识信息对应第一令牌后,授权服务器可以将第一令牌发送给资源服务器。
作为一种示例,授权服务器可以基于第二标识信息,以及标识信息与令牌的对应关系,确定第二标识信息对应第一令牌。可选地,标识信息与令牌的对应关系可以是授权服务器每次基于一个标识信息生成一个令牌后进行存储得到的。
资源服务器接收到第一令牌后,可以先对第一令牌进行验证。比如,验证第一令牌是否是授权服务器生成的。示例性地,资源服务器可以通过验证第一令牌上的签名,以确定第一令牌是否是授权服务器生成的。
在对第一令牌验证通过后,资源服务器可以基于第一令牌的属性信息,对客户端发送的业务请求信息进行验证。
如前文所述,第一令牌的属性信息可以包括但不限于第一令牌的有效期、第一客户端的属性信息、资源服务器的属性信息以及第一业务的业务信息等。
若第一令牌的属性信息与业务请求信息匹配,则资源服务器向客户端设备反馈肯定应答(acknowledgment,ACK),并向客户端设备分配用于访问第一业务的资源,从而客户端设备能够在资源服务器分配的资源上访问第一业务。
若第一令牌的属性信息与业务请求信息不匹配,比如,业务请求信息中请求的业务为第一业务,第一令牌的属性信息包括的是第二业务的业务信息;再比如,第一令牌的有效期与业务请求信息中的第一业务的时间不一致,则资源服务器向客户端设备反馈否定应答(negative acknowledgment,NACK),并且不为客户端设备分配用于访问第一业务的资源。
为了更加清楚的理解本申请实施例的授权的方法200-400,以下结合图5和图6描述本申请两种可能的授权的方法。其中,方法500可以应用于BACnet IP层,方法600可以应用于BACnet TLS层。在方法500和方法600中,第一标识信息和第二标识信息相同,均为第一令牌的令牌ID。
在501中,客户端设备确定向资源服务器发送的业务请求信息。
在502中,客户端设备根据从业务请求信息中的数据并使用哈希算法,计算得到第一令牌的令牌ID。
在503中,客户端设备向授权服务器发送授权请求信息。
授权请求信息包括令牌ID和其他信息,如资源服务器的属性信息、客户端的属性信息、请求的第一业务的业务信息。
示例性地,客户端采用Http协议向授权服务器发送授权请求信息。
在504中,授权服务器基于授权请求信息,生成第一令牌。
在505中,授权服务器向客户端设备发送第一令牌。
在506中,客户端设备向资源服务器发送业务请求信息。
其中,客户端设备采用BACnet协议向资源服务器发送业务请求信息。
在507中,资源服务器确定令牌ID。
其中,资源服务器使用与502相同的哈希算法,根据业务请求信息中的数据计算得到令牌ID。
在508中,资源服务器向授权服务器发送确定的令牌ID。
示例性地,资源服务器采用Http协议向授权服务器发送令牌ID。
在509中,授权服务器确定资源服务器发送的令牌ID对应第一令牌。
在510中,授权服务器向资源服务器发送第一令牌。
在511中,资源服务器对第一令牌进行验证,并且根据第一令牌的属性信息对业务请求信息进行验证。
在512中,若验证通过,资源服务器向客户端设备反馈ACK。
示例性地,资源服务器采用BACnet协议向客户端设备反馈ACK。
在513中,资源服务器向客户端设备分配访问第一业务的资源。
下面对方法600进行描述。
在601中,客户端与资源服务器建立TLS连接。
在602中,客户端设备使用哈希算法,基于从TLS连接中得到的唯一值得到第一令牌的令牌ID。
在603中,客户端设备向授权服务器发送授权请求信息。
授权请求信息包括令牌ID和其他信息,如资源服务器的属性信息、客户端的属性信息、请求的第一业务的业务信息。
示例性地,客户端采用Http协议向授权服务器发送授权请求信息。
在604中,授权服务器基于授权请求信息,生成第一令牌。
在605中,授权服务器向客户端设备发送第一令牌。
在606中,客户端设备向资源服务器发送业务请求信息。
其中,客户端设备采用BACnet协议向资源服务器发送业务请求信息。
在607中,资源服务器确定令牌ID。
其中,资源服务器使用与602相同的哈希算法,基于从TLS连接中得到的唯一值得到令牌ID。
在608中,资源服务器向授权服务器发送确定的令牌ID。
示例性地,资源服务器采用Http协议向授权服务器发送令牌ID。
在609中,授权服务器确定资源服务器发送的令牌ID对应第一令牌。
在610中,授权服务器向资源服务器发送第一令牌。
在611中,资源服务器对第一令牌进行验证,并且根据第一令牌的属性信息对业务请求信息进行验证。
在612中,若验证通过,资源服务器向客户端设备反馈ACK。
示例性地,资源服务器采用BACnet协议向客户端设备反馈ACK。
在613中,资源服务器向客户端设备分配访问第一业务的资源。
本申请实施例,在客户端设备需要访问第一业务时,需要向授权服务器请求授权第一业务的业务请求的令牌,并且资源服务器也向授权服务器请求令牌,资源服务器接收到令牌后才可以向客户端设备分配访问第一业务的资源,与客户端设备不需要任何授权直接访问第一业务相比,有效提高了整个系统的安全性能。
进一步地,客户端设备在请求令牌时,将确定的第一标识信息发送给授权服务器,从而授权服务器基于第一标识信息生成令牌。并且,资源服务器也向授权服务器发送确定的第二标识信息,第二标识信息与第一标识信息对应同一个令牌,这样,授权服务器接收到第二标识信息后可以将向客户端设备发送的令牌也发送给资源服务器。该技术方案客户端设备和资源服务器分别从授权服务器处获取到相同的令牌,这样客户端设备就不用向资源服务器发送令牌,节省了客户端设备和资源服务器之间的信令开销。此外,避免了若客户端设备向资源服务器发送令牌,可能需要随着报文一起发送,但报文没有额外的字段存放令牌,从而使得令牌无法传输的问题。
上文详细描述了本申请实施例的方法实施例,下面描述本申请实施例的装置实施例,装置实施例与方法实施例相互对应,因此未详细描述的部分可参见前面各方法实施例,装置可以实现上述方法中任意可能实现的方式。
图7示出了本申请一个实施例的授权服务器700的示意性框图。该授权服务器700可以执行上述本申请实施例的授权的方法200,该授权服务器700可以为前述方法中的授权服务器。
如图7所示,该授权服务器700包括:
通信单元710,用于接收客户端设备发送的授权请求信息,授权请求信息包括第一标识信息;
处理单元720,用于基于授权请求信息,生成第一令牌,第一令牌用于向客户端设备授权针对第一业务的业务请求;
所述通信单元710还用于,向客户端设备发送第一令牌;
所述通信单元710还用于,接收资源服务器发送的第二标识信息,第二标识信息为资源服务器确定的标识信息;
确定单元730,用于确定第二标识信息对应第一令牌;
所述通信单元710还用于,向资源服务器发送第一令牌。
可选地,在本申请一个实施例中,第一标识信息和第二标识信息相同。
可选地,在本申请一个实施例中,第一标识信息和第二标识信息为第一令牌ID。
可选地,在本申请一个实施例中,第一标识信息是客户端设备根据向资源服务器发送的业务请求信息中的数据得到的;第二标识信息是资源服务器根据接收到的业务请求信息中的数据得到的。
可选地,在本申请一个实施例中,第一标识信息是客户端设备从与资源服务器之间的TLS连接中得到的;第二标识信息是资源服务器从与客户端设备之间的TLS连接中得到的。
可选地,在本申请一个实施例中,确定单元730具体用于:基于第二标识信息,以及标识信息与令牌的对应关系,确定第二标识信息对应第一令牌。
图8示出了本申请一个实施例的资源服务器800的示意性框图。该资源服务器800可以执行上述本申请实施例的授权的方法300,该资源服务器800可以为前述方法中的资源服务器。
如图8所示,该资源服务器800包括:
确定单元810,用于确定第二标识信息,所述第二标识信息为所述第一令牌的身份标识号ID;
通信单元820,用于向授权服务器发送所述第二标识信息;
通信单元820还用于,收所述授权服务器发送的第一令牌,其中,所述第二标识信息对应所述第一令牌,所述第一令牌用于授权客户端设备针对第一业务的业务请求。
可选地,在本申请一个实施例中,所述第二标识信息为所述第一令牌的身份标识号ID。
可选地,在本申请一个实施例中,通信单元820还可以用于:接收所述客户端设备发送的业务请求信息,所述业务请求信息用于请求访问所述第一业务的资源;
确定单元810还可以用于:根据所述业务请求信息中的数据,计算得到所述第二标识信息。
可选地,在本申请一个实施例中,资源服务器800还可以包括:建立单元,用于建立与所述客户端设备之间的传输层安全TLS连接;
确定单元810还可以用于:根据所述TLS连接,得到所述第二标识信息。
可选地,在本申请一个实施例中,资源服务器800还可以包括:验证单元,用于基于所述第一令牌的属性信息,对所述业务请求信息进行验证。
图9示出了本申请一个实施例的客户端设备900的示意性框图。该客户端设备900可以执行上述本申请实施例的授权的方法400。
如图9所示,该客户端设备900可以包括:
确定单元910,用于确定第一标识信息;
通信单元920,用于向所述授权服务器发送授权请求信息,所述授权请求信息包括所述第一标识信息;
通信单元920还用于,接收所述授权服务器基于所述授权请求信息生成的第一令牌,所述第一令牌用于向所述客户端设备授权针对第一业务的业务请求。
可选地,在本申请一个实施例中,所述第一标识信息为所述第一令牌的身份标识号ID。
可选地,在本申请一个实施例中,确定单元910还可以用于:确定向资源服务器发送的业务请求信息,所述业务请求信息用于请求访问所述第一业务的资源;
根据所述业务请求信息中的数据,计算得到所述第一标识信息。
可选地,在本申请一个实施例中,客户端设备900还可以包括:建立单元,用于建立与所述资源服务器之间的传输层安全TLS连接;
确定单元910还可以用于,根据所述TLS连接,得到所述第二标识信息。
图10是本申请实施例的装置的硬件结构示意图。图10所示的装置1000可以为授权服务器、资源服务器或客户端设备,装置1000包括存储器1001、处理器1002、通信接口1003以及总线1004。其中,存储器1001、处理器1002、通信接口1003通过总线1004实现彼此之间的通信连接。
存储器1001可以是只读存储器(read-only memory,ROM),静态存储设备和随机存取存储器(random access memory,RAM)。存储器1001可以存储程序,当存储器1001中存储的程序被处理器1002执行时,处理器1002和通信接口1003用于执行本申请实施例的授权的方法的各个步骤。
处理器1002可以采用通用的中央处理器(central processing unit,CPU),微处理器,应用专用集成电路(application specific integrated circuit,ASIC),图形处理器(graphics processing unit,GPU)或者一个或多个集成电路,用于执行相关程序,以实现本申请实施例的装置中的单元所需执行的功能,或者执行本申请实施例的设备替换的方法。
处理器1002还可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,本申请实施例的设备替换的方法的各个步骤可以通过处理器1002中的硬件的集成逻辑电路或者软件形式的指令完成。
上述处理器1002还可以是通用处理器、数字信号处理器(digital signalprocessing,DSP)、ASIC、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1101,处理器1002读取存储器1001中的信息,结合其硬件完成本申请实施例的装置中包括的单元所需执行的功能,或者执行本申请实施例的授权的方法。
通信接口1003使用例如但不限于收发器一类的收发装置,来实现装置1000与其他设备或通信网络之间的通信。例如,装置1000为授权服务器时,可以通过通信接口1003接收客户端设备发送的授权请求信息。
总线1004可包括在装置1000各个部件(例如,存储器1001、处理器1002、通信接口1003)之间传送信息的通路。
应注意,尽管上述装置1000仅仅示出了存储器、处理器、通信接口,但是在具体实现过程中,本领域的技术人员应当理解,装置1000还可以包括实现正常运行所必须的其他器件。同时,根据具体需要,本领域的技术人员应当理解,装置1000还可包括实现其他附加功能的硬件器件。此外,本领域的技术人员应当理解,装置1000也可仅仅包括实现本申请实施例所必须的器件,而不必包括图10中所示的全部器件。
本申请实施例还提供了一种计算机可读存储介质,存储用于设备执行的程序代码,所述程序代码包括用于执行上述授权的方法中的步骤的指令。
本申请实施例还提供了一种计算机程序产品,所述计算机程序产品包括存储在计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使所述计算机执行上述授权的方法。
上述的计算机可读存储介质可以是暂态计算机可读存储介质,也可以是非暂态计算机可读存储介质。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
本申请中使用的用词仅用于描述实施例并且不用于限制权利要求。如在实施例以及权利要求的描述中使用的,除非上下文清楚地表明,否则单数形式的“一个”和“所述”旨在同样包括复数形式。类似地,如在本申请中所使用的术语“和/或”是指包含一个或一个以上相关联的列出的任何以及所有可能的组合。另外,当用于本申请中时,术语“包括”指陈述的特征、整体、步骤、操作、元素,和/或组件的存在,但不排除一个或一个以上其它特征、整体、步骤、操作、元素、组件和/或这些的分组的存在或添加。
所描述的实施例中的各方面、实施方式、实现或特征能够单独使用或以任意组合的方式使用。所描述的实施例中的各方面可由软件、硬件或软硬件的结合实现。所描述的实施例也可以由存储有计算机可读代码的计算机可读介质体现,该计算机可读代码包括可由至少一个计算装置执行的指令。所述计算机可读介质可与任何能够存储数据的数据存储装置相关联,该数据可由计算机系统读取。用于举例的计算机可读介质可以包括只读存储器、随机存取存储器、紧凑型光盘只读储存器(compact disc read-only memory,CD-ROM)、硬盘驱动器(hard disk drive,HDD)、数字视频光盘(digital video disc,DVD)、磁带以及光数据存储装置等。所述计算机可读介质还可以分布于通过网络联接的计算机系统中,这样计算机可读代码就可以分布式存储并执行。
上述技术描述可参照附图,这些附图形成了本申请的一部分,并且通过描述在附图中示出了依照所描述的实施例的实施方式。虽然这些实施例描述的足够详细以使本领域技术人员能够实现这些实施例,但这些实施例是非限制性的;这样就可以使用其它的实施例,并且在不脱离所描述的实施例的范围的情况下还可以做出变化。比如,流程图中所描述的操作顺序是非限制性的,因此在流程图中阐释并且根据流程图描述的两个或两个以上操作的顺序可以根据若干实施例进行改变。作为另一个例子,在若干实施例中,在流程图中阐释并且根据流程图描述的一个或一个以上操作是可选的,或是可删除的。另外,某些步骤或功能可以添加到所公开的实施例中,或两个以上的步骤顺序被置换。所有这些变化被认为包含在所公开的实施例以及权利要求中。
另外,上述技术描述中使用术语以提供所描述的实施例的透彻理解。然而,并不需要过于详细的细节以实现所描述的实施例。因此,实施例的上述描述是为了阐释和描述而呈现的。上述描述中所呈现的实施例以及根据这些实施例所公开的例子是单独提供的,以添加上下文并有助于理解所描述的实施例。上述说明书不用于做到无遗漏或将所描述的实施例限制到本申请的精确形式。根据上述教导,若干修改、选择适用以及变化是可行的。在某些情况下,没有详细描述为人所熟知的处理步骤以避免不必要地影响所描述的实施例。
以上所述,仅为本申请实施例的具体实施方式,但本申请实施例的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请实施例揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请实施例的保护范围之内。因此,本申请实施例的保护范围应以所述权利要求的保护范围为准。

Claims (19)

1.一种授权的方法,其特征在于,包括:
授权服务器接收(210)客户端设备发送的授权请求信息,所述授权请求信息包括第一标识信息;
所述授权服务器基于所述授权请求信息,生成(220)第一令牌并向所述客户端设备发送所述第一令牌,所述第一令牌用于向所述客户端设备授权针对第一业务的业务请求;
所述授权服务器接收(230)资源服务器发送的第二标识信息,所述第二标识信息为所述资源服务器确定的标识信息;
所述授权服务器确定(240)所述第二标识信息对应所述第一令牌;
所述授权服务器向所述资源服务器发送(250)所述第一令牌。
2.根据权利要求1所述的方法,其特征在于,所述第一标识信息和所述第二标识信息相同。
3.根据权利要求2所述的方法,其特征在于,所述第一标识信息和所述第二标识信息为所述第一令牌的身份标识号ID。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述第一标识信息是所述客户端设备根据向所述资源服务器发送的业务请求信息中的数据得到的;
所述第二标识信息是所述资源服务器根据接收到的所述业务请求信息中的数据得到的。
5.根据权利要求1至3中任一项所述的方法,其特征在于,所述第一标识信息是所述客户端设备从与所述资源服务器之间的传输层安全TLS连接中得到的;
所述第二标识信息是所述资源服务器从与所述客户端设备之间的所述TLS连接中得到的。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述授权服务器确定(240)所述第二标识信息对应所述第一令牌,包括:
所述授权服务器基于所述第二标识信息,以及标识信息与令牌的对应关系,确定所述第二标识信息对应所述第一令牌。
7.一种授权的方法,其特征在于,所述方法包括:
资源服务器确定(310)第二标识信息,所述第二标识信息为所述第一令牌的身份标识号ID;
所述资源服务器向授权服务器发送(320)所述第二标识信息;
所述资源服务器接收(330)所述授权服务器发送的第一令牌,其中,所述第二标识信息对应所述第一令牌,所述第一令牌用于授权客户端设备针对第一业务的业务请求。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述资源服务器接收所述客户端设备发送的业务请求信息,所述业务请求信息用于请求访问所述第一业务的资源;
所述资源服务器根据所述业务请求信息中的数据,计算得到所述第二标识信息。
9.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述资源服务器建立与所述客户端设备之间的传输层安全TLS连接;
所述资源服务器根据所述TLS连接,得到所述第二标识信息。
10.根据权利要求7至9中任一项所述的方法,其特征在于,所述方法还包括:
所述资源服务器基于所述第一令牌的属性信息,对所述业务请求信息进行验证。
11.一种授权的方法,其特征在于,所述方法包括:
客户端设备确定(410)第一标识信息;
所述客户端设备向所述授权服务器发送(420)授权请求信息,所述授权请求信息包括所述第一标识信息;
所述客户端设备接收(430)所述授权服务器基于所述授权请求信息生成的第一令牌,所述第一令牌用于向所述客户端设备授权针对第一业务的业务请求。
12.根据权利要求11所述的方法,其特征在于,所述第一标识信息为所述第一令牌的身份标识号ID。
13.根据权利要求11或12所述的方法,其特征在于,所述方法还包括:
所述客户端设备确定向资源服务器发送的业务请求信息,所述业务请求信息用于请求访问所述第一业务的资源;
所述客户端设备根据所述业务请求信息中的数据,计算得到所述第一标识信息。
14.根据权利要求11至13中任一项所述的方法,其特征在于,所述方法还包括:
所述客户端设备建立与所述资源服务器之间的传输层安全TLS连接;
所述客户端设备根据所述TLS连接,得到所述第二标识信息。
15.一种授权服务器(700),其特征在于,包括:
通信单元(710),用于接收客户端设备发送的授权请求信息,所述授权请求信息包括第一标识信息;
处理单元(720),用于基于所述授权请求信息,生成第一令牌,所述第一令牌用于向所述客户端设备授权针对第一业务的业务请求;
所述通信单元(710)还用于,向所述客户端设备发送所述第一令牌;
所述通信单元(710)还用于,接收资源服务器发送的第二标识信息,所述第二标识信息为所述资源服务器确定的标识信息;
确定单元(730),用于确定所述第二标识信息对应所述第一令牌;
所述通信单元(710)还用于,向所述资源服务器发送所述第一令牌。
16.一种资源服务器(800),其特征在于,包括:
确定单元(810),用于确定第二标识信息,所述第二标识信息为所述第一令牌的身份标识号ID;
通信单元(820),用于向授权服务器发送所述第二标识信息;
所述通信单元(820)还用于,接收所述授权服务器发送的第一令牌,其中,所述第二标识信息对应所述第一令牌,所述第一令牌用于授权所述客户端设备针对所述第一业务的业务请求。
17.一种客户端设备(900),其特征在于,包括:
确定单元(910),用于确定第一标识信息;
通信单元(920),用于向所述授权服务器发送授权请求信息,所述授权请求信息包括所述第一标识信息;
所述通信单元(920)还用于,接收所述授权服务器基于所述授权请求信息生成的第一令牌,所述第一令牌用于向所述客户端设备授权针对第一业务的业务请求。
18.一种授权的装置(1000),其特征在于,包括:
存储器(1001),用于存储程序;
处理器(1002),用于执行所述存储器存储的程序,当所述存储器存储的程序被执行时,所述处理器用于执行根据权利要求1至14中任一项所述的授权的方法。
19.一种计算机可读存储介质,其特征在于,所述计算机可读介质存储用于设备执行的程序代码,所述程序代码包括用于执行根据权利要求1至14中任一项所述的授权的方法中的步骤的指令。
CN202111117519.4A 2021-09-23 2021-09-23 授权的方法、授权服务器、资源服务器和客户端设备 Pending CN115883092A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202111117519.4A CN115883092A (zh) 2021-09-23 2021-09-23 授权的方法、授权服务器、资源服务器和客户端设备
PCT/CN2022/113918 WO2023045663A1 (zh) 2021-09-23 2022-08-22 授权的方法、授权服务器、资源服务器和客户端设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111117519.4A CN115883092A (zh) 2021-09-23 2021-09-23 授权的方法、授权服务器、资源服务器和客户端设备

Publications (1)

Publication Number Publication Date
CN115883092A true CN115883092A (zh) 2023-03-31

Family

ID=85720023

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111117519.4A Pending CN115883092A (zh) 2021-09-23 2021-09-23 授权的方法、授权服务器、资源服务器和客户端设备

Country Status (2)

Country Link
CN (1) CN115883092A (zh)
WO (1) WO2023045663A1 (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6066647B2 (ja) * 2012-09-27 2017-01-25 キヤノン株式会社 デバイス装置、その制御方法、およびそのプログラム
JP2018081643A (ja) * 2016-11-18 2018-05-24 キヤノン株式会社 認可サーバーおよびその制御方法、プログラム、並びに権限委譲システム
JP7228977B2 (ja) * 2018-08-30 2023-02-27 キヤノン株式会社 情報処理装置及び認可システムと検証方法
CN112153630B (zh) * 2020-11-26 2021-03-23 深圳杰睿联科技有限公司 vSIM授权方法、设备与系统

Also Published As

Publication number Publication date
WO2023045663A1 (zh) 2023-03-30

Similar Documents

Publication Publication Date Title
US20220123946A1 (en) Systems and methods for enabling trusted communications between controllers
US11134100B2 (en) Network device and network system
US10642969B2 (en) Automating internet of things security provisioning
CN109155730B (zh) 用于装置授权的方法和系统
US10242176B1 (en) Controlled access communication between a baseboard management controller and PCI endpoints
WO2018177143A1 (zh) 一种身份认证的方法、系统及服务器和终端
US20080155670A1 (en) Communication connection method, authentication method, server computer, client computer and p0rogram
JP6822556B2 (ja) 車両システム及び鍵配信方法
CN108234450B (zh) 一种身份认证的方法、终端注册的方法、服务器及终端
CN102624744B (zh) 网络设备的认证方法、装置、系统和网络设备
US11917081B2 (en) Issuing device and method for issuing and requesting device and method for requesting a digital certificate
US20190068762A1 (en) Packet Parsing Method and Device
WO2022001474A1 (zh) 网络切片连接管理方法、终端及计算机可读存储介质
CN113785549B (zh) 使用some/ip通信协议改进车载数据或消息的传输
CN111314269B (zh) 一种地址自动分配协议安全认证方法及设备
JP2018182767A (ja) Ecu、ネットワーク装置、及び車用ネットワーク装置
WO2023226478A1 (zh) 用于数据传输的方法及装置、路由器、物联网设备
CN115883092A (zh) 授权的方法、授权服务器、资源服务器和客户端设备
WO2018172776A1 (en) Secure transfer of data between internet of things devices
CN114257434B (zh) 一种DDoS攻击防御方法、电子设备及存储介质
GB2560895A (en) Secure transfer of data between internet of things devices
CN115730352A (zh) 设备替换的方法、调试工具、硬件设备和装置
CN118157892A (zh) 一种工业物联网访问控制的方法、系统、装置和存储介质
CN115865439A (zh) 一种分布式工业控制系统及该系统的访问权限控制方法
CN111031067A (zh) 分布式系统的监控数据传输方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination