WO2015081763A1

WO2015081763A1 - 一种虚拟设备的授权使用方法及装置

Info

Publication number: WO2015081763A1
Application number: PCT/CN2014/089225
Authority: WO
Inventors: 鲍文彬; 谢涛令; 杨贵龙; 励业宏; 顾兵; 贾小龙
Original assignee: 苏州海博智能系统有限公司
Priority date: 2013-12-06
Filing date: 2014-10-23
Publication date: 2015-06-11
Also published as: US20160359832A1; CN104702566B; US10305878B2; CN104702566A

Abstract

本发明公开了一种虚拟设备的授权使用方法及装置，其中方法包括：移动终端接收生成虚拟设备的请求后，设置第一虚拟设备的权限信息，生成第一虚拟设备，并与服务器进行交互，将设置的第一虚拟设备的权限信息和相关认证信息发送至服务器进行认证。服务器认证通过后生成具有上述权限信息的第二虚拟设备。在使用时，移动终端生成认证信息并将认证信息和第一虚拟设备的当前使用状态发送至服务器进行认证，并返回认证结果。本发明通过在授权生成虚拟设备和虚拟设备使用过程中增加关于权限信息的认证，提高了安全性。

Description

一种虚拟设备的授权使用方法及装置

技术领域

本发明涉及虚拟设备领域，尤其涉及一种可设置权限的虚拟设备的授权使用方法及装置。

背景技术

目前的购物支付方式主要有两种，一种是利用物理卡，即实体银行卡，物理卡安全性高，但在各种场合使用容易造成泄漏或丢失，而且也无法同时多地点、多人使用。第二种是利用纯虚拟卡，纯虚拟卡虽然使用方便，但安全性很低，只凭卡号、有效期、验证码等信息完成交易验证，而且密码等信息在网络中传播也容易造成泄漏。

在其他的领域也存在类似的情况，比如门禁卡的使用。实体门禁卡同实体银行卡一样，虽然安全性高，但需要经常携带，而这样很容易造成丢失。若使用纯虚拟卡，如将相关身份信息嵌入到智能手机中，利用智能手机开启门禁。虽然使用方便，但安全性同样比较低。

发明内容

本发明的目的在于提供一种虚拟设备的授权使用方法及装置，以提高虚拟设备授权过程及使用过程中的安全性。

基于上述目的，本发明实施例提供了一种虚拟设备的授权使用方法，包括；

移动终端接收第一设备发送的生成第一虚拟设备的请求，所述生成第一虚拟设备的请求包括所述第一设备的标识和第一认证信息；所述移动终端上安装有虚拟设备终端软件；

所述移动终端接收用户输入的第一虚拟设备的权限信息；

所述移动终端生成第一虚拟设备且服务器生成第二虚拟设备；

当接收到用户输入的使用请求时，所述移动终端生成第二认证信息并将所述使用请求和所述第二认证信息发送至所述服务器；所述使用请求中包含所述第一虚拟设备的当前使用状态和所述第一虚拟设备的标识；

所述服务器根据所述第一虚拟设备的标识查找对应的所述第二虚拟设备，根据对应的所述第二虚拟设备对所述第二认证信息和所述使用请求进行认证并将认证结果发送至所述移动终端，以便所述移动终端根据所述认证结果进行下一步操作；

其中，

所述移动终端生成第一虚拟设备包括：所述移动终端根据所述第一设备的标识生成第一虚拟设备的标识并根据所述第一虚拟设备的标识和所述第一虚拟设备的权限信息生成第一虚拟设备；

所述服务器生成第二虚拟设备包括：

所述服务器接收所述移动终端发送的生成第二虚拟设备的请求；所述生成第二虚拟设备的请求中包含所述第一设备的标识、所述第一认证信息和所述第一虚拟设备的权限信息，所述服务器根据自身存储的所述第一设备的标识、所述第一设备的权限信息和所述第一设备的相关认证信息对所述生成第二虚拟设备的请求中的所述第一认证信息和所述第一虚拟设备的权限信息进行认证，

若认证通过，则所述服务器根据所述第一设备的标识生成第二虚拟设备的标识，并根据所述第二虚拟设备的标识和所述第一虚拟设备的权限信息生成第二虚拟设备，并将所述第二虚拟设备与所述第一设备进行关联存储。

优选的，所述移动终端接收第一设备发送的生成第一虚拟设备的请求包括：

所述移动终端与物理设备进行交互，从所述物理设备获取所述生成第一虚拟设备的请求；

或，

所述移动终端与生成有第三虚拟设备的另一移动终端进行通信，从所述另一移动终端获取所述生成第一虚拟设备的请求。

优选的，所述虚拟设备的授权生成及使用方法通过PKI方式进行认证。

优选的，所述虚拟设备的授权生成及使用方法通过动态口令的方式进行认证；所述方法包括：

所述移动终端与所述第一设备交互获得所述生成第一虚拟设备的请求，所述生成第一虚拟设备的请求包括所述第一设备的标识、第一动态口令和所述第一虚拟设备的密钥；所述第一动态口令由所述第一设备根据所述第一设备的密钥与动态引子加密得到；所述第一虚拟设备的密钥由所述第一设备根据所述第一设备的密钥加密得到；

所述移动终端接收用户输入的第一虚拟设备的权限信息；

所述移动终端根据所述第一设备的标识生成第一虚拟设备的标识并根据所述第一虚拟设备的标识、所述第一虚拟设备的密钥和所述第一虚拟设备的权限信息生成第一虚拟设备；

所述移动终端发送生成第二虚拟设备的请求至服务器；所述生成第二虚拟设备的请求中包含所述第一设备的标识、所述第一动态口令和所述第一虚拟设备的权限信息；

所述服务器根据自身存储的所述第一设备的标识、所述第一设备的权限信息和所述第一设备的密钥对所述生成第二虚拟设备的请求中的所述第一动态口令和所述第一虚拟设备的权限信息进行认证；

若认证通过，则所述服务器根据所述第一设备的标识生成第二虚拟设备的标识，根据所述第一设备的密钥加密生成第二虚拟设备的密钥；

所述服务器根据所述第二虚拟设备的标识、所述第二虚拟设备的密钥和所述第一虚拟设备的权限信息生成第二虚拟设备，并将所述第二虚拟设备与所述第一设备进行关联存储；

当接收到用户输入的使用请求时，所述移动终端根据所述第一虚拟设备的密钥生成第二动态口令并将所述使用请求和所述第二动态口令发送至所述服务器；所述使用请求中包含所述第一虚拟设备的当前使用状态和所述第一虚拟设备的标识；所述第一虚拟设备的当前使用状态与所述第一虚拟设备的权限信息相对应；

所述服务器根据所述第一虚拟设备的标识查找对应的所述第二虚拟设备，根据对应的所述第二虚拟设备对所述第二动态口令和所述使用请求进行认证并将认证结果发送至所述移动终端，以便所述移动终端根据所述认证结果进行下一步操作。

优选的，所述生成第一虚拟卡的请求还包括随机码；

所述第一虚拟设备的密钥由所述第一设备根据所第一设备的密钥和所述随机码通过SM3密码杂凑算法散列生成；

所述第二生成虚拟卡的请求还包括所述随机码；

若认证通过，则所述服务器根据所述第一设备的密钥和所述随机码通过SM3密码杂凑算法散列生成所述第二虚拟设备的密钥。

优选的，所述权限信息包括时间、类别、额度中的至少一种，所述第一虚拟设备的当前使用状态包括所述第一虚拟设备的当前使用时间、使用类别、使用额度中的至少一种。

本发明实施例还提供了一种虚拟设备的授权使用装置，包括移动终端和服务器；

所述移动终端，用于接收第一设备发送的生成第一虚拟设备的请求和用户输入的第一虚拟设备的权限信息，根据所述第一设备的标识生成第一虚拟设备的标识，根据所述第一虚拟设备的标识和所述第一虚拟设备的权限信息生成第一虚拟设备并发送生成第二虚拟设备的请求至服务器；所述生成第一虚拟设备的请求包括所述第一设备的标识和第一认证信息；所述移动终端上安装有虚拟设备终端软件；所述生成第二虚拟设备的请求中包含所述第一设备的标识、所述第一认证信息和所述第一虚拟设备的权限信息；

所述移动终端还用于当接收到用户输入的使用请求时，生成第二认证信息，将所述使用请求和所述第二认证信息发送至所述服务器并根据所述服务器返回的认证结果进行下一步操作；所述使用请求中包含所述第一虚拟设备的当前使用状态和所述第一虚拟设备的标识；

所述服务器，用于根据自身存储的所述第一设备的标识、所述第一设备的权限信息和所述第一设备的相关认证信息对所述生成第二虚拟设备的请求中的所述第一认证信息和所述第一虚拟设备的权限信息进行认证，在认证通过使=时，根据所述第一设备的标识生成第二虚拟设备的标识，根据所述第二虚拟设备的标识和所述第一虚拟设备的权限信息生成第二虚拟设备，并将所述第二虚拟设备与所述第一设备进行关联存储；

所述服务器，还用于根据所述第一虚拟设备的标识查找对应的所述第二虚拟设备，根据对应的所述第二虚拟设备对所述第二认证信息和所述使用请求进行认证并将认证结果发送至所述移动终端。

优选的，

所述移动终端，用于与物理设备进行交互，从所述物理设备获取所述生成第一虚拟设备的请求；

或，

所述移动终端，用于与生成有第三虚拟设备的另一移动终端进行通信，从所述另一移动终端获取所述生成第一虚拟设备的请求。

优选的，所述移动终端和所述服务器通过PKI方式完成虚拟设备的授权生成及使用。

优选的，所述移动终端和所述服务器通过动态口令的方式完成虚拟设备的授权生成及使用；

所述移动终端，用于接收所述第一设备的所述生成第一虚拟设备的请求和用户输入的第一虚拟设备的权限信息，根据所述第一设备的标识生成第一虚拟设备的标识并根据所述第一虚拟设备的标识、所述第一虚拟设备的密钥和所述第一虚拟设备的权限信息生成第一虚拟设备并发送生成第二虚拟设备的请求至服务器；所述生成第一虚拟设备的请求包括所述第一设备的标识、第一动态口令和所述第一虚拟设备的密钥；所述第一动态口令由所述第一设备根据所述第一设备的密钥与动态引子加密得到；所述第一虚拟设备的密钥由所述第一设备根据所述第一设备的密钥加密得到；所述生成第二虚拟设备的请求中包含所述第一设备的标识、所述第一动态口令和所述第一虚拟设备的权限信息；

所述移动终端，还用于当接收到用户输入的使用请求时，根据所述第一虚拟设备的密钥生成第二动态口令并将所述使用请求和所述第二动态口令发送至所述服务器并根据所述服务器返回的认证结果进行下一步操作；所述使用请求中包含所述第一虚拟设备的当前使用状态和所述第一虚拟设备的标识；所述第一虚拟设备的当前使用状态与所述第一虚拟设备的权限信息相对应；

所述服务器，用于根据自身存储的所述第一设备的标识、所述第一设备的权限信息和所述第一设备的密钥对所述生成第二虚拟设备的请求中的所述第一动态口令和所述第一虚拟设备的权限信息进行认证并在认证通过时，根据所述第一设备的标识生成第二虚拟设备的标识，根据所述第一设备的密钥加密生成第二虚拟设备的密钥，并根据所述第二虚拟设备的标识、所述第二虚拟设备的密钥和所述第一虚拟设备的权限信息生成第二虚拟设备，并将所述第二虚拟设备与所述第一设备进行关联存储；

所述服务器，还用于根据所述第一虚拟设备的标识查找对应的所述第二虚拟设备，根据对应的所述第二虚拟设备对所述第二动态口令和所述使用请求进行认证并将认证结果发送至所述移动终端。

本发明的有益效果是：

本发明通过在移动终端上安装虚拟设备终端软件，在移动终端上授权生成具有一定权限限制（时间、类别、额度）的虚拟设备，并与授权过程和使用过程中，与服务器进行交互认证，在方便使用的同时提高了安全性。而且本发明中可以通过在虚拟设备终端软件中刷卡立即可以生成虚拟设备，其过程方便且安全。在与服务器进行认证（虚拟设备授权生成和虚拟设备使用过程中都有）时，可支持动态口令技术、PKI技术等，而且采用动态口令技术时，密钥分别在服务器和第一设备内散列生成、不进行网络传输，进一步提高了安全性。而且本发明中具有相应权限的虚拟设备也可以授权生成新的虚拟设备。

附图说明

图1为本发明授权生成虚拟设备的流程图；

图2为本发明虚拟设备使用流程图；

图3为本发明使用动态口令授权生成虚拟卡的流程图；

图4为本发明使用动态口令使用虚拟卡的流程图；

图5为本发明装置结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

本发明实施例一提供了一种虚拟设备的授权使用方法，该方法具体包括授权生成虚拟设备的过程和具体使用虚拟设备进行相关操作如支付或开启门禁的过程。这两个过程均需要在移动终端和服务器之间进行认证。除去身份认证信息外，该方法还增加了权限信息的认证。用户在移动终端上设置虚拟设备的使用权限，然后发送至服务器中进行校验。如果校验通过即设置的虚拟设备的使用权限在第一设备的权限范围内，则在服务器上授权生成虚拟设备。在使用时，移动终端发送虚拟设备的当前使用状态至服务器进行认证，如果符合上述设置的虚拟设备的使用权限，则认证通过。为实现上述方法，本发明需要部署授权生成虚拟设备的运营平台，即设置服务器，在服务器中预先存储用于进行认证的信息，如设备标识、设备的密钥以及设备的权限信息等。还需要在移动终端上安装虚拟设备终端软件，并发行带有OTP （One-time Password,动态口令）功能或PKI(Public Key Infrastructure，公钥基础设施）功能的物理设备。上述准备工作完成之后，就需要在移动终端和服务器中进行授权生成虚拟设备。参见图1，为授权生成虚拟设备的步骤：

S11、移动终端接收第一设备发送的生成第一虚拟设备的请求。其中生成第一虚拟设备的请求包述第一设备的标识和第一认证信息；移动终端上安装有虚拟设备终端软件。

上述第一设备可以为物理设备，如物理卡，具体的如实体的银行卡、门禁卡等，其标识具体的可以为银行卡号或序列号等。移动终端与物理设备进行交互，从物理设备获取生成第一虚拟设备的请求。

上述第一设备也可以是一设置在另一移动终端上的第三虚拟设备，如设置在手机上的虚拟银行卡或虚拟门禁卡，其标识具体的可以为虚拟银行卡号或虚拟序列号。移动终端与设置有第三虚拟设备的另一移动终端进行通信，从另一移动终端获取生成第一虚拟设备的请求。

本发明中，为提高安全性，可对能够授权生成虚拟设备的虚拟设备进行权限限制，即只有具有一定权限的虚拟设备才可以授权生成另一虚拟设备。

上述第一设备并不局限于卡的形式，本发明对此不作具体限制。

上述第一认证信息为用于进行身份验证的信息，具体的可以为动态口令或PKI方式生成的认证信息。后续将会对动态口令的认证方式进行详细介绍。

S12、移动终端接收用户输入的第一虚拟设备的权限信息。

上述权限信息根据第一设备的不同而不同。比如对于银行卡可以设置使用时间、额度以及类别等，对于门禁卡可以设置使用时间、次数、门禁卡可开启的房门类型等。

用户可以通过手动输入的方式输入想要设置的第一虚拟设备的权限信息。因为虚拟设备的权限信息必须在第一设备的权限范围内，为此，在本发明优选实施例中，移动终端还可以获取第一设备的权限信息并在移动终端上显示，以便用户据此进行输入，提高授权生成虚拟设备的成功率。

S13、移动终端根据第一设备的标识生成第一虚拟设备的标识并根据第一虚拟设备的标识和第一虚拟设备的权限信息生成第一虚拟设备。

移动终端可以对第一设备的标识采用加密算法生成对应的第一虚拟设备的标识。其具体的可以采用SM3密码杂凑算法。

在具体实施例中，该第一虚拟设备的标识可以与第一设备的标识相同。

S14、移动终端发送生成第二虚拟设备的请求至服务器；生成第二虚拟设备的请求中包含第一设备的标识、第一认证信息和第一虚拟设备的权限信息。

S15、服务器根据自身存储的第一设备的标识、第一设备的权限信息和第一设备的相关认证信息对生成第二虚拟设备的请求中的第一认证信息和第一虚拟设备的权限信息进行认证。

服务器首先根据第一设备的标识在自身数据库中查找对应的标识，并获取与该对应的标识相关的认证信息和权限信息。

服务器接着根据自身的认证信息和权限信息对第一认证信息和第一虚拟设备的权限信息进行认证校验。

具体的如验证第一虚拟设备设置的使用时间、使用额度、使用类别是否在第一设备的使用时间、使用额度和使用类别范围内，若是，则校验通过。

上述认证可以采用动态口令或PKI方式进行。

S16、若认证通过，则服务器根据第一设备的标识生成第二虚拟设备的标识，并根据第二虚拟设备的标识和第一虚拟设备的权限信息生成第二虚拟设备，并将第二虚拟设备与第一设备进行关联存储。

服务器可以对第一设备的标识采用加密算法生成对应的第二虚拟设备的标识。其具体的可以采用SM3密码杂凑算法。

若认证没有通过，则拒绝生成第二虚拟设备的请求。

在具体实施例中，该第二虚拟设备的标识可以与第一设备的标识相同。

需要说明的是，上述步骤的标号顺序仅是本发明顺序的一种，其还包括通过文字限定的其他所有可能的顺序。如步骤S13可以在步骤S16之后进行。

移动终端和服务器中生成虚拟设备后，移动终端便可以使用虚拟设备。参见图2，为本发明中使用虚拟设备的步骤：

S21、当接收到用户输入的使用请求时，移动终端生成第二认证信息并将使用请求和第二认证信息发送至服务器；使用请求中包含第一虚拟设备的当前使用状态和第一虚拟设备的标识。

用户通过在移动终端中输入或选择对应的标识选定要使用的第一虚拟设备，之后发送使用请求和第二认证信息至服务器。其中，使用请求中包含第一虚拟设备的当前使用状态，如当前的使用时间、使用次数、使用类别或使用的金额等。

S22、服务器根据第一虚拟设备的标识查找对应的第二虚拟设备，根据对应的第二虚拟设备对第二认证信息和使用请求进行认证并将认证结果发送至移动终端，以便移动终端根据认证结果进行下一步操作。

上述认证可以采用动态口令或PKI方式进行。

如前所述第一虚拟设备的标识和第二虚拟设备的标识均与第一设备的标识对应，因此，服务器可根据第一虚拟设备的标识查找到第二虚拟设备，然后根据第二虚拟设备自身存储的认证信息和权限信息进行认证，并返回认证结果给移动终端。

在上述实施例中，为进一步提高安全性，可以通过第一设备下发随机码到移动终端，继而通过移动终端发送至服务器。这样移动终端和服务器分别可以根据第一设备的标识和随机码通过一定的加密算法如SM3密码杂凑算法散列生成第一虚拟设备的标识和第二虚拟设备的标识。

需要说明的是，虚拟卡的使用过程即步骤S21和步骤S22在授权生成虚拟卡之后，可重复进行。

本发明在生成授权生成虚拟设备的过程以及使用虚拟设备的过程中设置了对权限信息的认证，同现有技术相比，提高了安全性。

另外，本发明中的第一虚拟设备与移动终端绑定，如果要使用另一移动终端时，需要在另一移动终端中授权生成。这一方式也提高了虚拟设备使用的安全性。

实施例二

本发明通过实施例二详细介绍物理卡通过动态口令方式授权生成虚拟卡的过程，如图3所示，该过程包括：

首先，将物理卡与移动终端进行交互获取生成第一虚拟卡的请求。生成第一虚拟卡的请求中包括物理卡的标识、第一动态口令和第一虚拟卡的密钥。移动终端具体可通过手工输入、二维码识别或NFC ( Near Field Communication，近距离无线通讯技术)读取方式获取物理卡的标识和物理卡内生成的第一动态口令。该种方式中的物理卡具有动态口令生成功能。当通过NFC等方式时，用户只需要将物理卡在相应位置一刷即可。

接着，移动终端接收用户输入的第一虚拟卡的权限信息。上述权限信息可以是授权时间、授权额度（如最高限额）和授权类别中的至少一种。

之后，移动终端根据物理卡的标识生成第一虚拟卡的标识并根据第一虚拟卡的标识、第一虚拟卡的密钥和第一虚拟卡的权限信息生成第一虚拟卡。该过程可以是基于生成第一虚拟卡的请求自动触发，也可以是在接收到用户输入的命令时触发。此处不作具体限制。

移动终端还发送生成第二虚拟卡的请求至服务器；生成第二虚拟卡的请求中包含物理卡的标识、第一动态口令和第一虚拟卡的权限信息。该生成第二虚拟卡的请求可以是移动终端在接收到生成第一虚拟卡请求后自动触发的，也可以是经用户输入相关指令后触发的。

接收到生成第二虚拟卡的请求后，服务器根据自身存储的物理卡的标识、物理卡的权限信息和物理卡的密钥对生成第二虚拟卡的请求中的第一动态口令和第一虚拟卡的权限信息进行认证。在具体认证时，服务器可以先根据自身存储的物理卡的密钥对第一动态口令进行认证，若认证通过，再获取自身存储的对应的物理卡的权限信息，对接收的生成第二虚拟卡的请求中的权限信息进行认证，校验其合法有效性。

若认证通过，则服务器根据物理卡的标识生成第二虚拟卡的标识，根据物理卡的密钥加密生成第二虚拟卡的密钥。如果认证没有通过，则服务器拒绝生成第二虚拟卡。

之后，服务器根据第二虚拟卡的标识、第二虚拟卡的密钥和第一虚拟卡的权限信息生成第二虚拟卡，并将第二虚拟卡与物理卡进行关联存储。如设定第二虚拟卡的标识和物理卡的标识的一一对应关系。

本发明具体实施例中，为提高安全性，第一虚拟卡的标识和第二虚拟卡的标识可以是将物理卡的标识和随机码通过一定的加密算法散列生成，第一虚拟卡的密钥和第二虚拟卡的密钥可以是将物理卡的密钥和随机码通过一定的加密算法散列生成。如SM3密码杂凑算法。其中随机码可通过物理卡下发至移动终端并通过移动终端下发至服务器。

本发明具体实施例中，第一动态口令可以是通过对动态引子和物理卡的密钥加密生成。该动态引子可以是当前时间或者是当前时间加某些前端和后台都知道的标识。其加密算法可以采用上述的SM3密码杂凑算法。

需要说明的是物理卡所使用的加密算法和服务器上对第一动态口令验证时所使用的加密算法相对应，以保证服务器进行的是正确的认证。

移动终端和服务器中生成虚拟卡后，移动终端便可以使用虚拟卡。

接上述实施例，对使用虚拟卡的过程进行说明，如图4所示，该过程包括：

当接收到用户输入的使用请求时，移动终端根据第一虚拟卡的密钥生成第二动态口令并将使用请求和第二动态口令发送至服务器；使用请求中包含第一虚拟卡的当前使用状态和第一虚拟卡的标识；第一虚拟卡的当前使用状态与第一虚拟卡的权限信息相对应。

上述的相对应如当使用虚拟银行卡时，其权限信息为使用额度以及使用时间，那么当前使用状态即为当前使用时间及当前交易金额。

服务器根据第一虚拟卡的标识查找对应的第二虚拟卡，根据对应的第二虚拟卡对第二动态口令和使用请求进行认证并将认证结果发送至移动终端，以便移动终端根据认证结果进行下一步操作。

上述第二动态指令可以是移动终端根据第一虚拟卡的密钥和动态引子通过加密算法得到。该动态引子可以是当前时间或当前时间加移动终端和服务器都知道的标识，比如交易金额。其具体的可以采用SM3密码杂凑算法。

本发明中，第一虚拟卡的密钥和第二虚拟卡的密钥相对应，第一虚拟卡的标识和第二虚拟卡的标识相对应。移动终端生成第二动态口令的加密算法与服务器中对第二动态口令认证的加密算法相对应。本发明中的相对应可以指两者相同。

而且在使用动态口令进行认证时，第一虚拟卡的密钥和第二虚拟卡的密钥分别在物理卡和服务器中生成，避免了密钥的网络传输，进一步提高了安全性。

需要说明的是，上述认证也可以通过PKI的方式进行。与PKI相关的认证部分可结合现有技术进行。

在本发明的另一实施例中，还可以通过移动终端中已经生成的虚拟卡在另一移动终端中授权生成虚拟卡。其中生成有虚拟卡的移动终端相当于上述的物理卡，在其中生成第一动态口令和第一虚拟卡的密钥。另一移动终端相当于上述实施例中的移动终端。具体授权和使用过程同上述实施例类似，此处不再详述。

实施例三

本发明还提供了一种虚拟设备的授权使用装置，参见图5，该装置包括移动终端11和服务器12。

移动终端11上安装有虚拟设备终端软件。

移动终端11，用于接收第一设备发送的生成第一虚拟设备的请求和用户输入的第一虚拟设备的权限信息，根据第一设备的标识生成第一虚拟设备的标识，根据第一虚拟设备的标识和第一虚拟设备的权限信息生成第一虚拟设备并发送生成第二虚拟设备的请求至服务器12；生成第一虚拟设备的请求包括第一设备的标识和第一认证信息；生成第二虚拟设备的请求中包含第一设备的标识、第一认证信息和第一虚拟设备的权限信息。

移动终端11还用于当接收到用户输入的使用请求时，生成第二认证信息，将使用请求和第二认证信息发送至服务器12并根据服务器12返回的认证结果进行下一步操作；使用请求中包含第一虚拟设备的当前使用状态和第一虚拟设备的标识。

服务器12，用于根据自身存储的第一设备的标识、第一设备的权限信息和第一设备的相关认证信息对生成第二虚拟设备的请求中的第一认证信息和所述第一虚拟设备的权限信息进行认证，在认证通过时，根据第一设备的标识生成第二虚拟设备的标识，根据第二虚拟设备的标识和第一虚拟设备的权限信息生成第二虚拟设备，并将第二虚拟设备与第一设备进行关联存储。

服务器12，还用于根据第一虚拟设备的标识查找对应的第二虚拟设备，根据对应的第二虚拟设备对第二认证信息和使用请求进行认证并将认证结果发送至移动终端11。

本发明的一个具体实施例中，移动终端11，用于与物理设备13进行交互，从物理设备13获取生成第一生成虚拟卡的请求。具体的可通过手动输入、NFC读取、蓝牙发送以及二维码识别等方式获取。该物理设备具体可以为物理卡，如实体银行卡。

或者移动终端11，用于与生成有第三虚拟设备的另一移动终端14进行通信，从另一移动终端14获取生成第一虚拟卡的请求。

上述装置可通过PKI方式或动态口令方式进行虚拟设备的授权以及虚拟设备的使用的认证。

本发明另一实施例中，移动终端11和服务器12通过动态口令的方式完成虚拟设备的授权生成及使用。

其中，移动终端11，用于接收第一设备的生成第一虚拟设备的请求和用户输入的第一虚拟设备的权限信息，根据第一设备的标识生成第一虚拟设备的标识并根据第一虚拟设备的标识、第一虚拟设备的密钥和第一虚拟设备的权限信息生成第一虚拟设备并发送生成第二虚拟设备的请求至服务器；生成第一虚拟设备的请求包括第一设备的标识、第一动态口令和第一虚拟设备的密钥；第一动态口令由第一设备根据第一设备的密钥与动态引子加密得到；第一虚拟设备的密钥由所述第一设备根据第一设备的密钥加密得到；生成第二虚拟设备的请求中包含第一设备的标识、第一动态口令和第一虚拟设备的权限信息。

11移动终端，还用于当接收到用户输入的使用请求时，根据第一虚拟设备的密钥生成第二动态口令并将使用请求和第二动态口令发送至服务器12并根据服务器12返回的认证结果进行下一步操作。使用请求中包含第一虚拟设备的当前使用状态和第一虚拟设备的标识；第一虚拟设备的当前使用状态与第一虚拟设备的权限信息相对应。

服务器12，用于根据自身存储的第一设备的标识、第一设备的权限信息和第一设备的密钥对生成第二虚拟设备的请求中的第一动态口令和第一虚拟设备的权限信息进行认证并在认证通过时，根据第一设备的标识生成第二虚拟设备的标识，根据第一设备的密钥加密生成第二虚拟设备的密钥，并根据第二虚拟设备的标识、第二虚拟设备的密钥和第一虚拟设备的权限信息生成第二虚拟设备，并将第二虚拟设备与第一设备进行关联存储。

服务器12，还用于根据第一虚拟设备的标识查找对应的第二虚拟设备，根据对应的第二虚拟设备对第二动态口令和使用请求进行认证并将认证结果发送至移动终端。

根据第一设备的不同，上述权限信息包括时间、类别、额度中的至少一种，第一虚拟设备的当前使用状态包括第一虚拟设备的当前使用时间、使用类别、使用额度中的至少一种。

需要说明的是，本发明的装置和方法实施例相对应，相关部分可互相参考。

以上的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应注意的是，以上仅为本发明的一个具体实施例而已，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

1、一种虚拟设备的授权使用方法，其特征在于，所述方法包括；

移动终端接收第一设备发送的生成第一虚拟设备的请求，所述生成第一虚拟设备的请求包括所述第一设备的标识和第一认证信息；所述移动终端上安装有虚拟设备终端软件；

所述移动终端接收用户输入的第一虚拟设备的权限信息；

所述移动终端生成第一虚拟设备且服务器生成第二虚拟设备；

当接收到用户输入的使用请求时，所述移动终端生成第二认证信息并将所述使用请求和所述第二认证信息发送至所述服务器；所述使用请求中包含所述第一虚拟设备的当前使用状态和所述第一虚拟设备的标识；

所述服务器根据所述第一虚拟设备的标识查找对应的所述第二虚拟设备，根据对应的所述第二虚拟设备对所述第二认证信息和所述使用请求进行认证并将认证结果发送至所述移动终端，以便所述移动终端根据所述认证结果进行下一步操作；

其中，

所述移动终端生成第一虚拟设备包括：所述移动终端根据所述第一设备的标识生成第一虚拟设备的标识并根据所述第一虚拟设备的标识和所述第一虚拟设备的权限信息生成第一虚拟设备；

所述服务器生成第二虚拟设备包括：

所述服务器接收所述移动终端发送的生成第二虚拟设备的请求；所述生成第二虚拟设备的请求中包含所述第一设备的标识、所述第一认证信息和所述第一虚拟设备的权限信息，所述服务器根据自身存储的所述第一设备的标识、所述第一设备的权限信息和所述第一设备的相关认证信息对所述生成第二虚拟设备的请求中的所述第一认证信息和所述第一虚拟设备的权限信息进行认证，

若认证通过，则所述服务器根据所述第一设备的标识生成第二虚拟设备的标识，并根据所述第二虚拟设备的标识和所述第一虚拟设备的权限信息生成第二虚拟设备，并将所述第二虚拟设备与所述第一设备进行关联存储。

2、如权利要求1所述的方法，其特征在于，所述移动终端接收第一设备发送的生成第一虚拟设备的请求包括：

所述移动终端与物理设备进行交互，从所述物理设备获取所述生成第一虚拟设备的请求；

或，

所述移动终端与生成有第三虚拟设备的另一移动终端进行通信，从所述另一移动终端获取所述生成第一虚拟设备的请求。

3、如权利要求1所述的方法，其特征在于，所述虚拟设备的授权生成及使用方法通过PKI方式进行认证。

4、如权利要求1所述的方法，其特征在于，所述虚拟设备的授权生成及使用方法通过动态口令的方式进行认证；所述方法包括：

所述移动终端与所述第一设备交互获得所述生成第一虚拟设备的请求，所述生成第一虚拟设备的请求包括所述第一设备的标识、第一动态口令和所述第一虚拟设备的密钥；所述第一动态口令由所述第一设备根据所述第一设备的密钥与动态引子加密得到；所述第一虚拟设备的密钥由所述第一设备根据所述第一设备的密钥加密得到；

所述移动终端接收用户输入的第一虚拟设备的权限信息；

所述移动终端根据所述第一设备的标识生成第一虚拟设备的标识并根据所述第一虚拟设备的标识、所述第一虚拟设备的密钥和所述第一虚拟设备的权限信息生成第一虚拟设备；

所述移动终端发送生成第二虚拟设备的请求至服务器；所述生成第二虚拟设备的请求中包含所述第一设备的标识、所述第一动态口令和所述第一虚拟设备的权限信息；

所述服务器根据自身存储的所述第一设备的标识、所述第一设备的权限信息和所述第一设备的密钥对所述生成第二虚拟设备的请求中的所述第一动态口令和所述第一虚拟设备的权限信息进行认证；

若认证通过，则所述服务器根据所述第一设备的标识生成第二虚拟设备的标识，根据所述第一设备的密钥加密生成第二虚拟设备的密钥；

所述服务器根据所述第二虚拟设备的标识、所述第二虚拟设备的密钥和所述第一虚拟设备的权限信息生成第二虚拟设备，并将所述第二虚拟设备与所述第一设备进行关联存储；

当接收到用户输入的使用请求时，所述移动终端根据所述第一虚拟设备的密钥生成第二动态口令并将所述使用请求和所述第二动态口令发送至所述服务器；所述使用请求中包含所述第一虚拟设备的当前使用状态和所述第一虚拟设备的标识；所述第一虚拟设备的当前使用状态与所述第一虚拟设备的权限信息相对应；

所述服务器根据所述第一虚拟设备的标识查找对应的所述第二虚拟设备，根据对应的所述第二虚拟设备对所述第二动态口令和所述使用请求进行认证并将认证结果发送至所述移动终端，以便所述移动终端根据所述认证结果进行下一步操作。

5、如权利要求4所述的方法，其特征在于，所述生成第一虚拟卡的请求还包括随机码；

所述第一虚拟设备的密钥由所述第一设备根据所第一设备的密钥和所述随机码通过SM3密码杂凑算法散列生成；

所述第二生成虚拟卡的请求还包括所述随机码；

若认证通过，则所述服务器根据所述第一设备的密钥和所述随机码通过SM3密码杂凑算法散列生成所述第二虚拟设备的密钥。

6、如权利要求1-5任意一项所述的方法，其特征在于，所述权限信息包括时间、类别、额度中的至少一种，所述第一虚拟设备的当前使用状态包括所述第一虚拟设备的当前使用时间、使用类别、使用额度中的至少一种。

7、一种虚拟设备的授权使用装置，其特征在于，所述装置包括移动终端和服务器；

所述移动终端，用于接收第一设备发送的生成第一虚拟设备的请求和用户输入的第一虚拟设备的权限信息，根据所述第一设备的标识生成第一虚拟设备的标识，根据所述第一虚拟设备的标识和所述第一虚拟设备的权限信息生成第一虚拟设备并发送生成第二虚拟设备的请求至服务器；所述生成第一虚拟设备的请求包括所述第一设备的标识和第一认证信息；所述移动终端上安装有虚拟设备终端软件；所述生成第二虚拟设备的请求中包含所述第一设备的标识、所述第一认证信息和所述第一虚拟设备的权限信息；

所述移动终端还用于当接收到用户输入的使用请求时，生成第二认证信息，将所述使用请求和所述第二认证信息发送至所述服务器并根据所述服务器返回的认证结果进行下一步操作；所述使用请求中包含所述第一虚拟设备的当前使用状态和所述第一虚拟设备的标识；

所述服务器，用于根据自身存储的所述第一设备的标识、所述第一设备的权限信息和所述第一设备的相关认证信息对所述生成第二虚拟设备的请求中的所述第一认证信息和所述第一虚拟设备的权限信息进行认证，在认证通过使=时，根据所述第一设备的标识生成第二虚拟设备的标识，根据所述第二虚拟设备的标识和所述第一虚拟设备的权限信息生成第二虚拟设备，并将所述第二虚拟设备与所述第一设备进行关联存储；

所述服务器，还用于根据所述第一虚拟设备的标识查找对应的所述第二虚拟设备，根据对应的所述第二虚拟设备对所述第二认证信息和所述使用请求进行认证并将认证结果发送至所述移动终端。

8、如权利要求7所述的装置，其特征在于，

所述移动终端，用于与物理设备进行交互，从所述物理设备获取所述生成第一虚拟设备的请求；

或，

所述移动终端，用于与生成有第三虚拟设备的另一移动终端进行通信，从所述另一移动终端获取所述生成第一虚拟设备的请求。

9、如权利要求7所述的装置，其特征在于，所述移动终端和所述服务器通过PKI方式完成虚拟设备的授权生成及使用。

10、如权利要求7所述的装置，其特征在于，所述移动终端和所述服务器通过动态口令的方式完成虚拟设备的授权生成及使用；

所述移动终端，用于接收所述第一设备的所述生成第一虚拟设备的请求和用户输入的第一虚拟设备的权限信息，根据所述第一设备的标识生成第一虚拟设备的标识并根据所述第一虚拟设备的标识、所述第一虚拟设备的密钥和所述第一虚拟设备的权限信息生成第一虚拟设备并发送生成第二虚拟设备的请求至服务器；所述生成第一虚拟设备的请求包括所述第一设备的标识、第一动态口令和所述第一虚拟设备的密钥；所述第一动态口令由所述第一设备根据所述第一设备的密钥与动态引子加密得到；所述第一虚拟设备的密钥由所述第一设备根据所述第一设备的密钥加密得到；所述生成第二虚拟设备的请求中包含所述第一设备的标识、所述第一动态口令和所述第一虚拟设备的权限信息；

所述移动终端，还用于当接收到用户输入的使用请求时，根据所述第一虚拟设备的密钥生成第二动态口令并将所述使用请求和所述第二动态口令发送至所述服务器并根据所述服务器返回的认证结果进行下一步操作；所述使用请求中包含所述第一虚拟设备的当前使用状态和所述第一虚拟设备的标识；所述第一虚拟设备的当前使用状态与所述第一虚拟设备的权限信息相对应；

所述服务器，用于根据自身存储的所述第一设备的标识、所述第一设备的权限信息和所述第一设备的密钥对所述生成第二虚拟设备的请求中的所述第一动态口令和所述第一虚拟设备的权限信息进行认证并在认证通过时，根据所述第一设备的标识生成第二虚拟设备的标识，根据所述第一设备的密钥加密生成第二虚拟设备的密钥，并根据所述第二虚拟设备的标识、所述第二虚拟设备的密钥和所述第一虚拟设备的权限信息生成第二虚拟设备，并将所述第二虚拟设备与所述第一设备进行关联存储；

所述服务器，还用于根据所述第一虚拟设备的标识查找对应的所述第二虚拟设备，根据对应的所述第二虚拟设备对所述第二动态口令和所述使用请求进行认证并将认证结果发送至所述移动终端。

11、如权利要求7-10任意一项所述的装置，其特征在于，所述权限信息包括时间、类别、额度中的至少一种，所述第一虚拟设备的当前使用状态包括所述第一虚拟设备的当前使用时间、使用类别、使用额度中的至少一种。