WO2012139528A1 - 授权方法和终端设备 - Google Patents

Description

说 明 书

授权方法和终端设备

本申请要求于 2011年 4月 15 日提交中国专利局、申请号为 201110095586.0 发明名称为"授权方法和终端设备 "的中国专利申请的优先权，其全部内容通过 引用结合在本申请中。 技术领域

本发明实施例涉及通信技术领域， 尤其涉及一种授权方法和终端设备。 背景技术

为了实现各种不同类型的家庭设备的互通和控制，越来越多的家庭设备通 过支持通用即插即用 （ Universal Plug and Play; 以下筒称： UPnP )技术来实现 家庭设备的互通和控制。

在 UPnP设备体系中，用户通过家庭网络中的控制点实现对家庭设备的控 制， 控制点采用 UPnP协议通过调用 UPnP设备的相关的控制命令， 读取家庭 网络中 UPnP设备的状态和控制信息， 以及控制 UPnP设备执行相应的操作。

为保证控制点控制 UPnP设备的安全性， UPnP技术中提供了安全服务， 通过安全服务， UPnP设备可验证控制点的访问权限， 并且只允许有访问权限 的控制点管理 UPnP设备。

现有技术中， 控制点在对 UPnP设备进行控制时， 很可能会因为没有访问 权限而被拒绝， 但是现有技术中， 当没有访问权限的控制点需要管理 UPnP设 备时， 无法主动申请访问权限。 发明内容

本发明实施例提供一种授权方法和终端设备，以实现控制设备主动申请权 限， 获得对终端设备执行待执行管理操作的授权。

一方面， 提供一种授权方法， 包括：

终端设备接收无访问权限的控制设备的权限申请请求；

所述终端设备通知具有管理员权限的控制设备为所述无访问权限的控制 设备分配权限； 所述终端设备接收所述具有管理员权限的控制设备的权限分配命令，为所 述无访问权限的控制设备分配权限。

另一个方面， 还提供一种终端设备， 包括：

接收模块， 用于接收无访问权限的控制设备的权限申请请求；

通知模块，用于通知具有管理员权限的控制设备为所述无访问权限的控制 设备分配权限；

分配模块，用于在所述接收模块接收到所述具有管理员权限的控制设备的 权限分配命令之后， 为所述无访问权限的控制设备分配权限。

通过本发明实施例，终端设备接收到无访问权限的控制设备的权限申请请 求之后， 通知具有管理员权限的控制设备为该无访问权限的控制设备分配权 限； 然后终端设备可以接收具有管理员权限的控制设备的权限分配命令， 为该 无访问权限的控制设备分配权限；从而可以实现无访问权限的控制设备主动申 请权限， 获得对终端设备执行待执行管理操作的授权，进而可以方便用户的操 作。 附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施 例或现有技术描述中所需要使用的附图作一筒单地介绍，显而易见地， 下面描 述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出 创造性劳动的前提下， 还可以根据这些附图获得其他的附图。

图 1为本发明授权方法一个实施例的流程图；

图 2为本发明授权方法另一个实施例的流程图；

图 3为本发明授权方法再一个实施例的流程图；

图 4为本发明终端设备一个实施例的结构示意图；

图 5为本发明终端设备另一个实施例的结构示意图。 具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚， 下面将结合本发明 实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然， 所描述的实施例是本发明一部分实施例， 而不是全部的实施例。基于本发明中 的实施例 ,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有 其他实施例， 都属于本发明保护的范围。

图 1为本发明授权方法一个实施例的流程图，如图 1所示， 该授权方法可以 包括：

步骤 101 , 终端设备接收无访问权限的控制设备的权限申请请求。

本实施例中的终端设备可以为 UPnP设备等终端设备， 本实施例对终端设 备的具体形式不作限定；本实施例中无访问权限的控制设备可以为无访问权限 的控制点 （ Control Point; 以下筒称： CP ) , 本实施例对无访问权限的控制设 备的具体形式也不作限定。

步骤 102, 终端设备通知具有管理员权限的控制设备为上述无访问权限的 控制设备分配权限。

本实施例中， 具有管理员权限的控制设备可以为具有管理员权限的 CP, 本实施例对具有管理员权限的控制设备的具体形式不作限定。

步骤 103, 终端设备接收具有管理员权限的控制设备的权限分配命令， 为 该无访问权限的控制设备分配权限。

本实施例的一种实现方式中， 在步骤 101 , 终端设备接收无访问权限的控 制设备的权限申请请求之前，终端设备还可以接收无访问权限的控制设备的查 询请求； 该查询请求用于查询对终端设备执行待执行管理操作所需的权限信 息； 然后， 终端设备可以根据该查询请求将无访问权限的控制设备对该终端设 备执行上述待执行管理操作所需的权限信息发送给无访问权限的控制设备；这 样， 终端设备接收无访问权限的控制设备的权限申请请求可以为： 终端设备接 收无访问权限的控制设备发送的至少包含待授权信息的权限申请请求，该待授 权信息至少包括无访问权限的控制设备查询到的权限信息。

当该待执行管理操作包括与数据模型相关的待执行管理操作时，上述查询 请求可以进一步用于查询对该待执行管理操作对应的参数进行操作所需的权 限信息。

本实施例的另一种实现方式中，该权限申请请求至少包含无访问权限的控 制设备对终端设备的待执行管理操作的名称； 本实现方式中， 终端设备通知具 有管理员权限的控制设备为上述无访问权限的控制设备分配权限之前，该终端 设备还可以至少根据该无访问权限的控制设备对终端设备的待执行管理操作 的名称，确定无访问权限的控制设备对该终端设备执行上述待执行管理操作所 需的权限信息；然后，终端设备可以至少根据确定的权限信息生成待授权信息。

当待执行管理操作包括与数据模型相关的待执行管理操作时，该权限申请 请求进一步携带上述待执行管理操作对应的参数的名称； 这时，在终端设备通 知具有管理员权限的控制设备为上述无访问权限的控制设备分配权限之前，该 终端设备还可以至少根据该待执行管理操作对应的参数的名称，确定无访问权 限的控制设备对该待执行管理操作对应的参数进行操作所需的权限信息。

本实施例上述两种实现方式中，终端设备通知具有管理员权限的控制设备 为无访问权限的控制设备分配权限可以为： 终端设备保存上述待授权信息， 向 具有管理员权限的控制设备发送通知消息； 其中， 该通知消息用于通知具有管 理员权限的控制设备到该终端设备上查询上述待授权信息，为该无访问权限的 控制设备分配权限； 或者， 该通知消息可以携带待授权信息， 也就是说， 终端 设备可以通过通知消息将待授权信息发送给具有管理员权限的控制设备，以通 知具有管理员权限的控制设备为该无访问权限的控制设备分配权限。

本实施例中， 在步骤 103 , 终端设备接收具有管理员权限的控制设备的权 限分配命令， 为该无访问权限的控制设备分配权限之后， 该终端设备还可以通 知该无访问权限的控制设备已授权。

进一步地， 本实施例中， 终端设备通知具有管理员权限的控制设备为无访 问权限的控制设备分配权限之后，该终端设备接收具有管理员权限的控制设备 的权限分配命令之前，具有管理员权限的控制设备需要先确定无访问权限的控 制设备合法， 再向终端设备发送上述权限分配命令。

其中，上述待授权信息还可以包括认证码和该无访问权限的控制设备的标 识，其中，该认证码可以包括无访问权限的控制设备的个人标识号码（ Personal Identification Number; 以下筒称： PIN )与无访问权限的控制设备的标识的第 一哈希值；则具有管理员权限的控制设备确定无访问权限的控制设备合法可以 为：具有管理员权限的控制设备接收无访问权限的控制设备的 PIN,计算该 PIN 与该无访问权限的控制设备的标识的第二哈希值；然后比较第二哈希值与第一 哈希值， 当第二哈希值与第一哈希值相同时， 具有管理员权限的控制设备确定 该无访问权限的控制设备合法。

或者， 上述认证码也可以包括无访问权限的控制设备的证书； 则具有管理 员权限的控制设备确定无访问权限的控制设备合法可以为：具有管理员权限的 控制设备通过根证书对该无访问权限的控制设备的证书进行认证，认证通过之 后， 确定该无访问权限的控制设备合法。

本实施例中， 待授权信息可以有多种实现形式， 例如： 待授权信息可以列 表或数组等多种形式实现， 本实施例对待授权信息的具体实现形式不作限定。

上述实施例中，终端设备接收到无访问权限的控制设备的权限申请请求之 后，通知具有管理员权限的控制设备为该无访问权限的控制设备分配权限； 然 后终端设备可以接收具有管理员权限的控制设备的权限分配命令，为该无访问 权限的控制设备分配权限； 从而可以实现无访问权限的控制设备主动申请权 限， 获得对终端设备执行待执行管理操作的授权， 进而可以方便用户的操作。

图 2为本发明授权方法另一个实施例的流程图， 本实施例以终端设备为 UPnP设备， 无访问权限的控制设备为控制点为例进行说明。

如图 2所示， 该授权方法可以包括：

步骤 201 , 控制点对 UPnP设备执行管理操作。

步骤 202, UPnP设备对控制点进行权限认证， 发现该控制点无权执行上述 管理操作， 向控制点返回无权执行该管理操作的响应， 例如： error code = 606。

本实施例中， 步骤 201与步骤 202是可选步骤。

步骤 203 , 控制点向 UPnP设备发送查询请求， 以查询执行上述管理操作所 需的权限。

具体地， 控制点可以采用以下方式进行查询。

方案一：

步骤 1 , 通过 GetRolesForAction命令查询执行某一管理操作所需的权限； 步骤 2, 对于与数据模型相关的管理操作， 进一步查询对该管理操作对应 的参数进行操作所需的权限， 具体可以通过以下命令实现：

新增管理操作命令： getrolesfordatamodelO；

参数： Operation: 对该管理操作对应的参数待执行的操作， 该参数的取值 可以为读操作（read ) 、 写操作 （write )和列表操作（list ) ；

ParameterList: 待查询权限的参数列表；

功能： 查询对管理操作对应的参数进行操作所需的权限。

方案二：

步骤 1 , 查询执行所有待执行管理操作所需的权限， 具体可以通过以下命 令实现：

新增管理操作命令： GetRolesFor ActionListO；

参数： ActionList, 待查询权限的管理操作列表；

功能： 查询执行所有待执行管理操作所需的权限。

步骤 2, 对于与数据模型相关的待执行管理操作， 进一步查询对该管理操 作对应的参数进行操作所需的权限， 具体可以使用 getrolesfordatamoddO命令 查询， 该命令的描述参见方案一中的描述， 在此不再赘述。

方案三：

步骤 1 , 查询执行所有待执行管理操作和该待执行管理操作对应的参数所 需的权限， 具体可以通过以下命令实现：

新增管理操作命令： GetRoles();

参数： actionList: 所有待执行管理操作和该待执行管理操作对应的参数； 功能：查询执行所有待执行管理操作所需的权限和对该待执行管理操作对 应的参数进行操作所需的权限。

步骤 204, UPnP设备根据上述查询请求将所需的权限信息发送给控制点。 步骤 205 , 控制点向 UPnP设备发送权限申请请求。 本实施例中， 该权限申 请请求携带控制点的标识（ Control Point Identifier; 以下筒称： CPID ) 、 待申 请的角色（Role )和认证码（Authcode ) , 具体地， 该权限申请请求可以如下 所示：

新增管理操作命令： ApplyRole();

参数： CPID: 控制点的标识；

Role: 待申请的角色， 用于指示该控制点对该 UPnP设备执行上述 管理操作所需的权限信息；

AuthCode:认证码，可以为控制点的 PIN与 CPID的第一哈希（ hash ) 值或该控制点的证书， 用于对该控制点进行合法性认证。

步骤 206 , UPnP设备将权限申请请求携带的该控制点对该 UPnP设备执行 上述管理操作所需的权限信息加入到待授权列表中。其中，待授权列表为待授 权信息的一种实现形式， 当然待授权信息还可以其他形式实现， 例如数组等， 本实施例对此不作限定。

本实施例中， 该 待授权列表的格式可以为：

控制点的标识 待申请的角色

步骤 207 , UPnP设备通知具有管理员权限的控制点为控制点分配权限。 本实施例中， UPnP设备可以向至少一个具有管理员权限的控制点组播待 授权通知事件， 以通知具有管理员权限的控制点为控制点分配权限； 或者， 也 可以既向至少一个具有管理员权限的控制点中的组播待授权通知事件，又向每 个具有管理员权限的控制点单播该待授权通知事件，以通知具有管理员权限的 控制点为控制点分配权限。

步骤 208, 具有管理员权限的控制点启动授权流程， 到 UPnP设备上查询待 授权列表。

步骤 209，具有管理员权限的控制点验证待授权列表中的控制点的合法性。 如果具有管理员权限的控制点确定待授权列表中的控制点合法， 则执行步骤 210; 如果具有管理员权限的控制点确定待授权列表中的控制点不合法， 则结 束本次流程。

具体地，具有管理员权限的控制点可以接收待授权列表中的控制点的 PIN, 然后计算 PIN与 CPID的第二哈希值 , 与步骤 206待授权列表中的第一哈希值进 行比较， 如果相同， 则确定待授权列表中的控制点合法； 如果第二哈希值与第 一哈希值不同， 则确定待授权列表中的控制点不合法； 其中， 待授权列表中的 控制点的 PIN是由使用具有管理员权限的控制点的用户预先获得， 并在具有管 理员权限的控制点提示后输入的； 举例来说， 具有管理员权限的控制点查询到 待授权列表之后，可以向使用具有管理员权限的控制点的用户提示输入待授权 列表中的控制点的 PIN, 之后， 具有管理员权限的控制点可以接收使用具有管 理员权限的控制点的用户输入的 PIN, 然后计算接收到的 PIN与 CPID的第二哈 希值；

或者，

具有管理员权限的控制点可以使用根证书对待授权列表中的控制点的证 书进行认证， 如果认证通过， 则确定待授权列表中的控制点合法； 如果认证未 通过， 则确定待授权列表中的控制点不合法。

步骤 210, 具有管理员权限的控制点向 UPnP设备发送权限分配命令。 具体 地， 该权限分配命令可以为 AddRolesForldentityO命令。

步骤 211 , UPnP设备接收具有管理员权限的控制点发送的权限分配命令， 为控制点分配权限。

步骤 212, UPnP设备通过事件通知控制点已授权。

具体地， 可以增加状态变量控制点标识列表（CPIDlist ) , 用于记录权限 发生变化的控制点的标识。

步骤 213, 控制点对 UPnP设备执行管理操作。

上述实施例中，接收到 UPnP设备返回的无权执行该管理操作的响应之后， 控制点可以先向 UPnP设备查询执行上述管理操作所需的权限， 再向 UPnP设备 申请该权限； 接收到控制点的权限申请请求之后， UPnP设备先将执行上述管 理操作所需的权限加入到待授权列表， 并通知具有管理员权限的控制点到该 UPnP设备上查询待授权列表； 在具有管理员权限的控制点确定该待授权列表 中的控制点合法， 并在该 UPnP设备上为待授权列表中的控制点授权之后， 该 UPnP设备通知上述控制点已授权； 从而可以实现无权执行管理操作的控制点 主动向 UPnP设备申请执行上述管理操作所需的权限， 进而可以方便用户的操 作。

图 3为本发明授权方法再一个实施例的流程图， 本实施例以终端设备为 UPnP设备， 无访问权限的控制设备为控制点为例进行说明。

如图 3所示， 该授权方法可以包括：

步骤 301 , 控制点对 UPnP设备执行管理操作。

步骤 302, UPnP设备对控制点进行权限认证， 发现该控制点无权执行上述 管理操作， 向控制点返回无权执行该管理操作的响应， 例如： error code = 606。

本实施例中， 步骤 301与步骤 302是可选步骤。 步骤 303, 控制点向 UPnP设备发送权限申请请求。 本实施例中， 该权限申 请请求携带 CPID、 该控制点对该 UPnP设备待执行管理操作和该待执行管理操 作对应的参数的名称（Name ) 和认证码（ Authcode ) 。 具体地， 该权限申请 请求可以如下所示：

新增管理操作命令： ApplyRole();

参数： CPID: 控制点的标识；

Name: 该控制点对该 UPnP设备待执行管理操作和该待执行管理操 作对应的参数的名称；

AuthCode:认证码，可以为控制点的 PIN与 CPID的第一哈希（ hash ) 值或该控制点的证书， 用于对该控制点进行合法性认证。

步骤 304 , UPnP设备根据上述权限申请请求携带的该控制点对该 UPnP设 备待执行管理操作和该待执行管理操作对应的参数的名称，确定执行该待执行 管理操作所需的权限信息，以及对该待执行管理操作对应的参数进行操作所需 的权限信息， 然后将上述所需的权限信息加入到待授权列表中。 其中， 待授权 列表为待授权信息的一种实现形式， 当然待授权信息还可以其他形式实现， 例 如数组等， 本实施例对此不作限定。

本实施例中， 该 待授权列表的格式可以为：

控制点的标识 待申请的角色

步骤 305 , UPnP设备通知具有管理员权限的控制点为控制点分配权限。 本实施例中， UPnP设备可以向至少一个具有管理员权限的控制点组播待 授权通知事件， 以通知具有管理员权限的控制点为控制点分配权限； 或者， 也 可以既向至少一个具有管理员权限的控制点中的组播待授权通知事件，又向每 个具有管理员权限的控制点单播该待授权通知事件，以通知具有管理员权限的 控制点为控制点分配权限。

步骤 306, 具有管理员权限的控制点启动授权流程， 到 UPnP设备上查询待 授权列表。

步骤 307，具有管理员权限的控制点验证待授权列表中的控制点的合法性。 如果具有管理员权限的控制点确定待授权列表中的控制点合法， 则执行步骤 308; 如果具有管理员权限的控制点确定待授权列表中的控制点不合法， 则结 束本次流程。

具体地，具有管理员权限的控制点可以接收待授权列表中的控制点的 PIN, 然后计算 PIN与 CPID的第二哈希值 , 与步骤 206待授权列表中的第一哈希值进 行比较， 如果相同， 则确定待授权列表中的控制点合法； 如果第二哈希值与第 一哈希值不同， 则确定待授权列表中的控制点不合法； 其中， 待授权列表中的 控制点的 PIN是由使用具有管理员权限的控制点的用户预先获得， 并在具有管 理员权限的控制点提示后输入的； 举例来说， 具有管理员权限的控制点查询到 待授权列表之后，可以向使用具有管理员权限的控制点的用户提示输入待授权 列表中的控制点的 PIN, 之后， 具有管理员权限的控制点可以接收使用具有管 理员权限的控制点的用户输入的 PIN, 然后计算接收到的 PIN与 CPID的第二哈 希值；

或者，

具有管理员权限的控制点可以使用根证书对待授权列表中的控制点的证 书进行认证， 如果认证通过， 则确定待授权列表中的控制点合法； 如果认证未 通过， 则确定待授权列表中的控制点不合法。

步骤 308, 具有管理员权限的控制点向 UPnP设备发送权限分配命令。 具体 地， 该权限分配命令可以为 AddRolesForldentityO命令。

步骤 309, UPnP设备接收具有管理员权限的控制点发送的权限分配命令， 为控制点分配权限。

步骤 310, UPnP设备通过事件通知控制点已授权。

具体地， 可以增加状态变量控制点标识列表（CPIDlist ) , 用于记录权限 发生变化的控制点的标识。

步骤 311 , 控制点对 UPnP设备执行管理操作。

上述实施例中，接收到 UPnP设备返回的无权执行该管理操作的响应之后， 控制点可以直接向 UPnP设备申请执行上述管理操作所需的权限； 接收到控制 点的权限申请请求之后， UPnP设备先确定执行上述管理操作所需的权限， 再 将所需的权限加入到待授权列表， 并通知具有管理员权限的控制点到该 UPnP 设备上查询待授权列表；在具有管理员权限的控制点确定该待授权列表中的控 制点合法， 并在该 UPnP设备上为待授权列表中的控制点授权之后， 该 UPnP设 备通知上述控制点已授权； 从而可以实现无权执行管理操作的控制点主动向 UPnP设备申请执行上述管理操作所需的权限， 进而可以方便用户的操作。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可 以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存 储介质中， 该程序在执行时， 执行包括上述方法实施例的步骤； 而前述的存储 介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质。

图 4为本发明终端设备一个实施例的结构示意图， 本实施例中的终端设备 可以实现本发明图 1所示实施例的流程， 如图 4所示， 该终端设备可以包括： 接收模块 41 , 用于接收无访问权限的控制设备的权限申请请求； 通知模块 42,用于通知具有管理员权限的控制设备为无访问权限的控制设 备分配权限；

分配模块 43,用于在接收模块 41接收到具有管理员权限的控制设备的权限 分配命令之后， 为该无访问权限的控制设备分配权限。

本实施例中的终端设备可以为 UPnP设备等终端设备， 本实施例对终端设 备的具体形式不作限定；本实施例中的无访问权限的控制设备可以为无访问权 限的控制点， 本实施例对无访问权限的控制设备的具体形式也不作限定； 本实 施例中， 具有管理员权限的控制设备可以为具有管理员权限的控制点， 本实施 例对具有管理员权限的控制设备的具体形式不作限定。

上述实施例中，接收模块 41接收到无访问权限的控制设备的权限申请请求 之后，通知模块 42通知具有管理员权限的控制设备为该无访问权限的控制设备 分配权限；然后接收模块 41可以接收具有管理员权限的控制设备的权限分配命 令，之后由分配模块 43为该无访问权限的控制设备分配权限；从而可以实现无 访问权限的控制设备主动申请权限，获得对终端设备执行待执行管理操作的授 权， 进而可以方便用户的操作。

图 5为本发明终端设备另一个实施例的结构示意图， 本实施例中的终端设 备可以实现本发明图 1、 图 2和图 3所示实施例的流程。 与图 4所示的终端设备相 比， 不同之处在于， 图 5所示的终端设备还可以包括： 发送模块 44;

本实施例中，接收模块 41还可以在接收无访问权限的控制设备的权限申请 请求之前，接收该无访问权限的控制设备的查询请求； 该查询请求用于查询对 上述终端设备执行待执行管理操作所需的权限信息；还可以接收无访问权限的 控制设备发送的至少包含待授权信息的权限申请请求，该待授权信息至少包括 无访问权限的控制设备查询到的权限信息；

发送模块 44,用于至少根据接收模块 41接收的查询请求将无访问权限的控 制设备对该终端设备执行上述待执行管理操作所需的权限信息发送给无访问 权限的控制设备；

另外， 当待执行管理操作包括与数据模型相关的待执行管理操作时， 上述 查询请求进一步用于查询对该待执行管理操作对应的参数进行操作所需的权 限信息。

进一步地， 该终端设备还可以包括：

确定模块 45 ,用于至少根据接收模块 41接收的权限申请请求包含的无访问 权限的控制设备对该终端设备的待执行管理操作的名称，确定无访问权限的控 制设备对该终端设备执行上述待执行管理操作所需的权限信息；

生成模块 46, 用于至少根据确定模块 45确定的权限信息生成待授权信息。 进一步地，确定模块 45还可以当待执行管理操作包括与数据模型相关的待 执行管理操作时，至少根据上述权限申请请求携带的该待执行管理操作对应的 参数的名称，确定无访问权限的控制设备对上述待执行管理操作对应的参数进 行操作所需的权限信息。

本实施例中， 通知模块 42可以包括以下至少一种模块：

第一通知子模块 421 , 用于向具有管理员权限的控制设备发送通知消息； 该通知消息可以用于通知具有管理员权限的控制设备到该终端设备上查询生 成模块 46生成的待授权信息， 为无访问权限的控制设备分配权限；

第二通知子模块 422 , 用于向具有管理员权限的控制设备发送通知消息， 该通知消息至少携带上述生成模块 46生成的待授权信息，也就是说， 第二通知 子模块 422可以通过通知消息将待授权信息发送给具有管理员权限的控制设 备， 以通知具有管理员权限的控制设备为该无访问权限的控制设备分配权限。

进一步地，通知模块 42还可以在分配模块 43为上述无访问权限的控制设备 分配权限之后， 通知该无访问权限的控制设备已授权。 上述终端设备可以在接收到无访问权限的控制设备的权限申请请求之后， 对该无访问权限的控制设备进行授权，从而可以使无访问权限的控制设备获得 对该终端设备进行管理操作所需的权限， 进而可以方便用户的操作。

本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模 块或流程并不一定是实施本发明所必须的。

本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述 进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个 或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成 多个子模块。

最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对其限 制； 尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员 应当理解： 其依然可以对前述各实施例所记载的技术方案进行修改， 或者对其 中部分技术特征进行等同替换； 而这些修改或者替换， 并不使相应技术方案的 本质脱离本发明各实施例技术方案的精神和范围。

Claims

权 利 要 求

1、 一种授权方法， 其特征在于， 包括：

终端设备接收无访问权限的控制设备的权限申请请求； 所述终端设备通知具有管理员权限的控制设备为所述无访问权 限的控制设备分配权限；

所述终端设备接收所述具有管理员权限的控制设备的权限分配 命令， 为所述无访问权限的控制设备分配权限。

2、 根据权利要求 1所述的方法， 其特征在于， 所述终端设备接收 无访问权限的控制设备的权限申请请求之前， 还包括：

所述终端设备接收所述无访问权限的控制设备的查询请求；所述 查询请求用于查询对所述终端设备执行待执行管理操作所需的权限 信息；

所述终端设备根据所述查询请求将所述无访问权限的控制设备 对所述终端设备执行所述待执行管理操作所需的权限信息发送给所 述无访问权限的控制设备；

所述终端设备接收无访问权限的控制设备的权限申请请求包括： 所述终端设备接收所述无访问权限的控制设备发送的至少包含 待授权信息的权限申请请求，所述待授权信息至少包括所述无访问权 限的控制设备查询到的权限信息。

3、 根据权利要求 2所述的方法， 其特征在于， 当所述待执行管理 操作包括与数据模型相关的待执行管理操作时，所述查询请求进一步 用于查询对所述待执行管理操作对应的参数进行操作所需的权限信

4、 根据权利要求 1所述的方法， 其特征在于， 所述权限申请请求 至少包含所述无访问权限的控制设备对所述终端设备的待执行管理 操作的名称；

所述终端设备通知具有管理员权限的控制设备为所述无访问权 限的控制设备分配权限之前， 还包括： 所述终端设备至少根据所述无访问权限的控制设备对所述终端 设备的待执行管理操作的名称，确定所述无访问权限的控制设备对所 述终端设备执行所述待执行管理操作所需的权限信息；

所述终端设备至少根据确定的权限信息生成待授权信息。

5、 根据权利要求 4所述的方法， 其特征在于， 当所述待执行管理 操作包括与数据模型相关的待执行管理操作时，所述权限申请请求还 包含所述待执行管理操作对应的参数的名称；

所述终端设备通知具有管理员权限的控制设备为所述无访问权 限的控制设备分配权限之前， 还包括：

所述终端设备至少根据所述待执行管理操作对应的参数的名称， 确定所述无访问权限的控制设备对所述待执行管理操作对应的参数 进行操作所需的权限信息。

6、 根据权利要求 2-5任意一项所述的方法， 其特征在于， 所述终 端设备通知具有管理员权限的控制设备为所述无访问权限的控制设 备分配权限包括：

所述终端设备向所述具有管理员权限的控制设备发送通知消息； 所述通知消息用于通知所述具有管理员权限的控制设备到所述 终端设备上查询所述待授权信息，为所述无访问权限的控制设备分配 权限； 或者， 所述通知消息携带所述待授权信息， 以通知所述具有管 理员权限的控制设备为所述无访问权限的控制设备分配权限。

7、 根据权利要求 1-5任意一项所述的方法， 其特征在于， 所述终 端设备接收所述具有管理员权限的控制设备的权限分配命令，为所述 无访问权限的控制设备分配权限之后， 还包括：

所述终端设备通知所述无访问权限的控制设备已授权。

8、 根据权利要求 2-5任意一项所述的方法， 其特征在于， 所述终 端设备通知具有管理员权限的控制设备为所述无访问权限的控制设 备分配权限之后，所述终端设备接收所述具有管理员权限的控制设备 的权限分配命令之前， 还包括：

所述具有管理员权限的控制设备确定所述无访问权限的控制设 备合法， 向所述终端设备发送所述权限分配命令。

9、 根据权利要求 8所述的方法， 其特征在于， 所述待授权信息还 包括认证码和所述无访问权限的控制设备的标识，所述认证码包括所 述无访问权限的控制设备的个人标识号码与所述无访问权限的控制 设备的标识的第一哈希值；

所述具有管理员权限的控制设备确定所述无访问权限的控制设 备合法包括：

所述具有管理员权限的控制设备接收所述无访问权限的控制设 备的个人标识号码，计算所述个人标识号码与所述无访问权限的控制 设备的标识的第二哈希值；

所述具有管理员权限的控制设备比较所述第二哈希值与所述第 一哈希值；

当所述第二哈希值与所述第一哈希值相同时，所述具有管理员权 限的控制设备确定所述无访问权限的控制设备合法。

10、 根据权利要求 8所述的方法， 其特征在于， 所述待授权信息 还包括认证码和所述无访问权限的控制设备的标识，所述认证码包括 所述无访问权限的控制设备的证书；

所述具有管理员权限的控制设备确定所述无访问权限的控制设 备合法包括：

所述具有管理员权限的控制设备通过根证书对所述无访问权限 的控制设备的证书进行认证， 认证通过之后， 确定所述无访问权限的 控制设备合法。

11、 一种终端设备， 其特征在于， 包括：

接收模块， 用于接收无访问权限的控制设备的权限申请请求； 通知模块，用于通知具有管理员权限的控制设备为所述无访问权 限的控制设备分配权限；

分配模块，用于在所述接收模块接收到所述具有管理员权限的控 制设备的权限分配命令之后， 为所述无访问权限的控制设备分配权 限。

12、 根据权利要求 11所述的终端设备， 其特征在于， 还包括： 发 送模块： 所述接收模块，还用于在接收所述无访问权限的控制设备的权限 申请请求之前，接收所述无访问权限的控制设备的查询请求， 所述查 询请求用于查询对所述终端设备执行待执行管理操作所需的权限信 息；还用于接收所述无访问权限的控制设备发送的至少包含待授权信 息的权限申请请求，所述待授权信息至少包括所述无访问权限的控制 设备查询到的权限信息；

所述发送模块，用于至少根据所述接收模块接收的查询请求将所 述无访问权限的控制设备对所述终端设备执行所述待执行管理操作 所需的权限信息发送给所述无访问权限的控制设备。

13、 根据权利要求 11所述的终端设备， 其特征在于， 还包括： 确定模块，用于至少根据所述接收模块接收的权限申请请求包含 的所述无访问权限的控制设备对所述终端设备的待执行管理操作的 名称，确定所述无访问权限的控制设备对所述终端设备执行所述待执 行管理操作所需的权限信息；

生成模块，用于至少根据所述确定模块确定的权限信息生成待授 权信息。

14、 根据权利要求 13所述的终端设备， 其特征在于，

所述确定模块，还用于当所述待执行管理操作包括与数据模型相 关的待执行管理操作时，至少根据所述权限申请请求携带的所述待执 行管理操作对应的参数的名称，确定所述无访问权限的控制设备对所 述待执行管理操作对应的参数进行操作所需的权限信息。

15、 根据权利要求 12-14任意一项所述的终端设备， 其特征在于， 所述通知模块包括以下至少一种模块：

第一通知子模块，用于向所述具有管理员权限的控制设备发送通 知消息，所述通知消息用于通知所述具有管理员权限的控制设备到所 述终端设备上查询所述待授权信息，为所述无访问权限的控制设备分 配权限；

第二通知子模块，用于向所述具有管理员权限的控制设备发送通 知消息， 所述通知消息至少携带所述待授权信息， 以通知所述具有管 理员权限的控制设备为所述无访问权限的控制设备分配权限。

16、 根据权利要求 11-14任意一项所述的终端设备， 其特征在于, 所述通知模块，还用于在所述分配模块为所述无访问权限的控制 设备分配权限之后， 通知所述无访问权限的控制设备已授权。