WO2018161807A1

WO2018161807A1 - 用户身份校验方法及装置

Info

Publication number: WO2018161807A1
Application number: PCT/CN2018/077094
Authority: WO
Inventors: 刘艳; 朱锦涛
Original assignee: 华为技术有限公司
Priority date: 2017-03-06
Filing date: 2018-02-24
Publication date: 2018-09-13
Also published as: CN108540433B; CN108540433A

Abstract

本发明实施例公开了一种用户身份校验方法及装置，属于物联网技术领域。该方法包括：授权服务器接收设备发送的携带设备标识和密文信息的第一请求消息，该密文信息由该设备基于安全码对设备标识进行加密得到；当接收到终端发送的携带用户校验码和安全码的第二请求消息时，若基于用户校验码确定第二请求消息与第一请求消息关联，则当使用第二请求消息中携带的安全码对密文信息进行解密处理得到该设备标识时，确定用户身份校验通过。如此，在用户身份校验过程中，不仅依据用户校验码进行校验，还结合密文信息和安全码进行用户身份校验，提高了用户身份校验的效率和安全性。

Description

用户身份校验方法及装置

本申请要求于2017年3月6日提交中国专利局、申请号为201710128222.5、发明名称为“用户身份校验方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明实施例涉及物联网技术领域，特别涉及一种用户身份校验方法及装置。

背景技术

在物联网中，一些设备属于资源受限设备，例如，游戏控制台、电视机、多媒体集线器等。该类设备主要体现在低存储能力等问题上，通常情况下，该类设备需要访问资源服务器来获取数据，在该过程中，为了数据的安全性，需要对使用该类设备的用户身份进行校验。在实际应用场景中，由于该类设备还存在缺乏用户接口的问题，即不支持键盘输入，因此，在用户身份校验过程中，一般需要借助诸如手机、计算机之类的终端进行校验。

相关技术中，主流的校验流程主要基于OAuth2.0协议，其实现框架中包括有设备、授权服务器和资源服务器，用户身份校验的主要实现过程包括：设备向授权服务器发送请求消息，该请求消息中携带设备标识，授权服务器接收该请求消息，当确定该设备标识属于自身管理的设备标识后，为该设备分配并返回校验链接和用户校验码，用户通过该设备即可获取到该校验链接和该用户校验码。之后，用户可以通过终端启动浏览器并输入该校验链接和用户校验码，以登录该授权服务器。该授权服务器基于该用户校验码进行登录校验，当登录校验成功时，确定用户身份校验通过。该授权服务器在确定用户身份校验通过后，可以向该设备发送授权令牌，如此，设备即可使用该授权令牌访问资源服务器中的数据。

然而，上述提供的用户身份校验方法中，由于授权服务器只是根据分配的用户校验码对用户身份进行校验，但是，在实际应用场景中，由于任一用户均可能从终端中获取到该用户校验码，因此，该用户身份校验方法效率低，安全性较差。

发明内容

为了解决现有技术中用户身份校验效率低，安全性较差的问题，本发明实施例提供了一种用户身份校验方法及装置。所述技术方案如下：

第一方面，提供了一种用户身份校验方法，所述方法包括：

授权服务器接收设备发送的携带设备标识和密文信息的第一请求消息，如果根据该设备标识确定该设备属于自身所管理的设备，则为该设备分配校验链接和用户校验码，并发送给该设备或与该设备关联的终端中的至少一个。终端基于校验链接展示显示界面，用户可以在该显示界面中输入用户校验码和安全码，之后，终端向授权服务器发送携带该用户校验码和安全码的第二请求消息。授权服务器接收到该第二请求消息后，获取第二请求消息中的用户校验码和安全码，若基于用户校验码确定该第二请求消息为与上述第一消息关联，则当使用获取的安全码对密文信息进行解密处理后得到上述设备标识时，确定用户身份校验通过。

本发明实施例在用户身份校验过程中，不仅依据用户校验码进行校验，还结合密文信息和安全码进行用户身份校验，提高了用户身份校验的效率和安全性。

在具体实现中，当该第一请求消息为绑定请求消息时，在确定用户身份校验通过后，还向设备发送绑定码，并为该设备分配令牌请求权限，以使该设备基于该绑定码更新安全码，并在后续过程中，使用更新后的安全码向授权服务器请求获取授权令牌。如此，提高了用户身份校验的安全性。

在具体实现中，当所述第一请求消息为令牌获取请求消息时，在确定用户身份校验通过后，向设备发送授权令牌，如此，可以使得设备使用该授权令牌资源服务器中访问数据。

在具体实现中，当所述第一请求消息为解绑请求消息时，在确定用户身份校验通过后，授权服务器将该设备的状态更新为解绑状态，并通知用户当前设备已经处于解绑状态。在解绑状态下，用户无法使用设备向授权服务器请求获取授权令牌，直到该设备重新绑定。如此，便于后续在将该设备转移给新的用户时，新的用户可以重新使用该设备请求授权服务器绑定。

在具体实现中，授权服务器在接收终端发送的第二请求消息之前，若基于第一请求消息中携带的设备标识确定该设备属于该授权服务器所管理的设备时，分配用户校验码，并将该用户校验码发送给该设备和与该设备关联的终端中的至少一个，如此，可以使得用户从该设备或者该终端中获知该用户校验码，以便于后续使用该用户校验码，结合安全码实现用户身份校验，提高了用户身份校验的安全性。

在具体实现中，将该校验链接和用户校验码发送给与该设备关联的终端的具体实现方式包括：基于该设备标识，获取存储的联系方式，该联系方式包括邮箱账号、电话号码、用户账号中的任一种，通过该联系方式，将该校验链接和该用户校验码发送给与该设备关联的终端。

上述通过获取与设备标识对应的联系方式，实现了通过该联系方式将校验链接和该用户校验码发送到终端中，使得用户可以直接从终端中获知校验链接和该用户校验码，提高了用户体验。

在具体实现中，在基于该设备标识获取存储的联系方式之前，授权服务器向该设备发送增加联系方式指示，该增加联系方式指示用于指示在该第二请求消息中增加该联系方式，将该联系方式与该设备标识对应存储。如此，便于后续授权服务器可以根据设备标识，获取对应的联系方式。

第二方面，提供了一种用户身份校验装置，所述装置用于实现上述第一方面所述的用户身份校验方法。

第三方面，本发明实施例提供了一种计算机存储介质，包括指令，当其在计算机上运行时，使得计算机执行上述第一方面所述的方法。

第四方面，本发明实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面所述的方法。

第五方面，本发明实施例还提供一种通信芯片，应用于授权服务器中，所述通信芯片包括：输入输出接口、存储器和至少一个处理器，所述存储器、所述输入输出接口通过总线与所述至少一个处理器相通信，所述存储器存储有程序代码，所述至少一个处理器用于调用程序代码，使得所述授权服务器执行上述第一方面所述的用户身份校验方法。

上述本发明实施例第二方面所获得的技术效果与第一方面中对应的技术手段获得的技术效果近似，在这里不再赘述。

本发明实施例提供的技术方案带来的有益效果是：授权服务器接收设备发送的携带设备标识和密文信息的第一请求消息，如果授权服务器根据该设备标识确定该设备属于自身所管理的设备，则分配用户校验码，并发送给该设备或与该设备关联的终端中的至少一个，如此，用户可以从设备或终端获知用户校验码。当用户请求身份校验时，通过该终端向授权服务器发送携带用户校验码和安全码的第二请求消息，若授权服务器根据该用户校验码确定该第二请求消息与第一请求消息关联，则当使用该第二请求消息中的安全码能够对密文信息进行解密得到上述设备标识时，说明该用户可能是设备的拥有者，即确定用户身份校验通过。也即是，在用户身份校验过程中，不仅依据用户校验码进行校验，还结合密文信息和安全码进行用户身份校验，提高了用户身份校验的效率和安全性。

附图说明

图1A是根据一示例性实施例示出的一种实施环境的示意图；

图1B是根据一示例性实施例示出的一种授权服务器120的结构示意图；

图2是根据一示例性实施例示出的一种用户身份校验方法的流程图；

图3是根据另一示例性实施例示出的一种用户身份校验方法的流程图；

图4是根据另一示例性实施例示出的一种用户身份校验方法的流程图；

图5A是根据一示例性实施例示出的一种用户身份校验装置的结构示意图；

图5B是根据另一示例性实施例示出的一种用户身份校验装置的结构示意图；

图5C是根据另一示例性实施例示出的一种用户身份校验装置的结构示意图；

图5D是根据另一示例性实施例示出的一种用户身份校验装置的结构示意图；

图5E是根据另一示例性实施例示出的一种用户身份校验装置的结构示意图；

图5F是根据另一示例性实施例示出的一种用户身份校验装置的结构示意图；

图5G是根据另一示例性实施例示出的一种用户身份校验装置的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

图1A是根据一示例性实施例示出的一种实施环境的示意图。该实施环境中主要包括设备110、授权服务器120和与该设备110关联的终端130。其中，该设备110和该终端130均可以通过有线网络或者无线与该授权服务器120连接。

其中，该设备110为资源受限设备，主要体现在缺乏有效的用户接口，即不支持键盘输入，例如，该设备110可以为诸如游戏控制台(Game Consoles，GC)、电视机(televisions，TVs)和多媒体集线器(Media Hubs，MH)之类的设备。

需要说明的是，在一种可能的实现方式中，该设备110可以配置有显示装置，该显示装置可以用于显示各种信息。

其中，终端130可以用于辅助设备110向授权服务器120发送请求消息以请求用户身份校验。由于设备110缺乏有效的用户接口，因此，在实际实现过程中，用户可以借助该终端130实现用户身份校验。例如，该终端130可以用于基于授权服务器120分配的校验链接(可以通过二维码展示)为用户展示显示界面，如此，用户即可在该显示界面中输入安全码和用户校验码，从而通过该终端130向授权服务器120发送携带该安全码和用户校验码的第二请求消息(校验请求消息)，以使授权服务器120进行用户身份校验，其具体实现可以参见如下图2至图4所述的实施例。其中，该终端130可以为诸如手机、平板电脑、计算机之类的设备，本发明实施例对此不作限定。

在具体实现中，该终端130可以通过有线网络或者无线网络与该设备110连接，并通过该连接来传输数据，例如，该设备110可以通过该连接将该用户校验码、校验链接之类的信息发送给该终端130。在一种可能的实现方式中，终端130和设备110之间可以采用带外数据(Out of Band，OOB)技术实现数据传输，具体实现方式可以参见相关技术，本发明实施例不作限定。

其中，该授权服务器120主要用于实现如下图2至图4实施例所述的用户身份校验方法，在实际实现中，该授权服务器120可以为一台服务器，也可以是由多台服务器组成的服务器集群，本发明实施例对此不作限定。

图1B是根据一示例性实施例示出的一种授权服务器120的结构示意图，该授权服务器120中包括发送器1201、接收器1202、存储器1203、处理器1204以及通信总线1205。本领域技术人员可以理解，图1B中示出的授权服务器120的结构并不构成对授权服务器120的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置，本申请实施例对此不做限定。

其中，该发送器1201可以用于向设备110或终端130发送数据和/或信令等。该接收器1202可以用于接收该设备110或终端130发送的数据和/或信令等。该存储器1203可以用于存储诸如联系方式、设备标识之类的数据，并且，该存储器1203也可以用于存储用于执行该用户身份校验方法的一个或多个运行程序和/或模块。在具体实现中，该存储器1203还可以用于调用外部软件系统中的多个运行程序和/或模块。

其中，该处理器1204是该授权服务器120的控制中心。该处理器1204可以一个通用中央处理器CPU，微处理器，特定应用集成电路ASIC，或一个或多个用于控制本申请方案程序执行的集成电路。该处理器1204可以通过运行或执行存储在存储器1203内的软件程序和/或模块，以及调用存储在存储器1203内的数据，来实现下文图2、图3和图4中任一实施例所提供的用户身份校验方法。

在实际应用场景中，根据用户对设备的操作不同，设备向授权服务器发送的第一请求消息的含义可以包括多种，例如，该第一请求消息可以为绑定请求消息、令牌获取请求消息和解绑请求消息中的任一种。接下来，本发明实施例将根据上述三种情况分别对用户身份校验过程进行描述。

请参考图2，图2是根据一示例性实施例示出的一种用户身份校验方法的流程图，这里以该第一请求消息为绑定请求消息为例进行说明，具体可以包括如下几个步骤：

步骤201：设备向授权服务器发送绑定请求消息，授权服务器接收设备发送的绑定请求消息，该绑定请求消息中携带设备标识和密文信息，该密文信息由该设备基于安全码对设备标识进行加密得到。

其中，该设备标识可以用于唯一标识一个设备，例如，该设备标识可以为设备的身份(Identification，ID)信息等。

需要说明的是，当该设备属于客户端设备类型时，该设备标识也可以为客户端标识，本发明实施例对此不作限定。

在这里，该安全码通常为初始安全码，该初始安全码是由供应商在该设备出厂时设置和提供，在一种可能的实现方式中，用户可以从该设备的说明书、标签等信息中获知。例如，该安全码可以为“0000”。

在本发明实施例中，为了设备使用的安全性，在使用之前，需要基于该安全码向授权服务器请求绑定以获取令牌请求权限，也即是，在实际应用场景中，只有绑定后的设备才具有权限向授权服务器请求获取授权令牌。为此，设备向授权服务器发送绑定(初始绑定)请求消息。

其中，该绑定请求消息可以是由该设备在接收到绑定请求指令时发送，该绑定请求指令可以由用户触发，该用户可以通过指定操作触发，该指定操作可以为按键操作等等。

例如，该设备可以提供有绑定按键，用户可以按动该绑定按键，当设备检测到用户对该绑定按键的按动操作时，确定接收到绑定指令。该设备基于安全码对该设备标识进行加密处理，得到密文信息，之后，该设备基于该设备标识和该密文信息生成绑定请求消息，并向授权服务器发送该绑定请求消息。

需要说明的是，基于安全码对该设备标识进行加密处理得到密文信息的过程可以参见相关技术，本发明实施例不对加密算法进行限定。

步骤202：当授权服务器基于该设备标识确定该设备属于授权服务器所管理的设备时，分配用户校验码。

在具体实现中，授权服务器中可以预先存储有自身所管理的所有设备的设备标识。授权服务器接收到该绑定请求消息后，从存储的所有设备标识中查询是否包括该设备标识，如果存储的所有设备标识中包括该设备标识，则可以确定该设备属于自身所管理的设备。

需要说明的是，上述基于该设备标识判断该设备是否属于所管理的设备的实现过程仅是示例性的，在实际实现过程中，还可能通过其它方式来基于该设备标识判断该设备是否属于自身所管理的设备，本发明实施例对此不作限定。

当授权服务器基于该设备标识确定该设备属于该授权服务器所管理的设备时，分配用户校验码。除此之外，在实际实现过程中，授权服务器还分配校验链接，用户可以通过终端基于该校验链接，可以向授权服务器请求身份校验。

需要说明的是，授权服务器分配校验链接和用户校验码的实现方式可以参见相关技术，例如，该用户校验码可以由授权服务器随机分配，该校验链接可以由授权服务器基于预先存储的根链接，按照一定的生成策略生成得到，本发明实施例对此不作限定。

步骤203：授权服务器将该用户校验码发送给该设备和与该设备关联的终端中的至少一个。

需要说明的是，在实际实现过程中，除了用户校验码外，授权服务器还将所分配的校验链接也一同发送给设备和与设备关联的终端中的至少一个。

在一种可能的实现方式中，该授权服务器可以将该校验链接和用户校验码发送给该设备。此时，该设备可以通过自身配置的显示装置显示该验链接和该用户校验码，如此，用户可以从该显示装置中读取该设备所显示的校验链接和该用户校验码。或者，该设备也可以通过图1A实施例中所述的连接将该用户校验码和该校验链接发送给该终端，如此，用户即可从该终端中获知该校验链接和用户校验码。

在另一种可能的实现方式中，该授权服务器也可以将该校验链接和用户校验码发送给与该设备关联的终端，此时，用户可以直接从该终端中获知该校验链接和用户校验码。

在又一种可能的实现方式中，该授权服务器还可以将该校验链接和用户校验码同时发送给该设备和与该设备关联的终端。

在具体实现中，授权服务器可以直接将该校验链接和该用户校验码发送给该设备和与该设备关联的终端中的至少一个。或者，授权服务器也可以通过响应消息携带该校验链接和该用户校验码，即当该授权服务器接收到设备发送的绑定请求消息并基于设备标识确定该设备属于所管理的设备时，可以向该设备和与该设备关联的终端中的至少一个发送响应消息，该响应消息中携带该校验链接和用户校验码。

步骤204：终端向授权服务器发送第二请求消息，授权服务器接收该终端发送的第二请求消息，该第二请求消息中携带用户校验码和安全码。

如前文所述，该校验链接和该用户校验码可以从设备中获取得到，或者，也可以由终端从授权服务器中接收得到。

另外，该第二请求消息可以由终端在接收到第二请求发送指令时发送，该第二请求发送指令可以由用户触发，该用户可以通过诸如点击、滑动等之类的操作触发。

具体地，当上述步骤203中授权服务器将该校验链接和用户校验码发送给设备时，用户可以从该设备中读取该校验链接和该用户校验码，之后，在该终端中登录浏览器，并在该浏览器中输入该校验链接。之后，终端基于该校验链接展示显示界面，用户在该显示界面中输入用户校验码和安全码。

进一步地，该显示界面中可以提供有第二请求发送选项，当用户输入结束后，可以点击该第二请求发送选项，当终端检测到用户对该第二请求发送选项的点击操作时，确定接收到第二请求发送指令，终端基于该用户校验码和该安全码生成第二请求消息，并向授权服务器发送该第二请求消息。

步骤205：若授权服务器基于用户校验码确定该第二请求消息与该绑定请求消息关联，则当使用第二请求消息中携带的安全码对该密文信息进行解密处理得到上述设备标识时，确定用户身份校验通过。

在一种可能的实现方式中，授权服务器接收到该第二请求消息后，获取该第二请求消息中的用户校验码，并判断该用户校验码与之前接收到绑定请求消息后分配的用户校验码是否相同，若相同，则确定该第二请求消息为与上述绑定请求消息关联。

需要说明的是，上述基于用户校验码判断该第二请求消息是否与该绑定请求消息关联的实现方式仅是示例性的，在另一实施例中，还可以通过其它方式，基于用户校验码判断该第二请求消息是否与该绑定请求消息关联，本发明实施例对此不作限定。

当确定该第二请求消息与上述绑定请求消息关联时，授权服务器使用第二请求消息中携带的安全码对上述绑定请求消息中的密文信息进行解密处理。如果使用该第二请求消息中的安全码能够对密文信息进行解密处理且得到上述设备标识，则可以确定用户身份校验通过，否则，确定用户身份校验未通过，如此，即实现了对用户身份的校验。

至此，已经实现了本发明实施例提供的用户身份校验方法。然而，如前文所述，由于安全码是由供应商在该设备出厂时提供，并且，通常下各个设备的安全码均可能相同，例如，均为“0000”，在该种情况下，导致其它用户很容易获知到该安全码，安全性较差。为此，本发明实施例在绑定过程中，确定用户身份校验通过后，还对该安全码进行更新，具体请参见如下步骤206至步骤208。

步骤206：授权服务器向该设备发送绑定码，设备接收该绑定码，该绑定码用于该设备更新该安全码。

其中，该绑定码可以由该授权服务器随机生成。另外，在具体实现中，授权服务器可以通过绑定成功消息携带该绑定码，该绑定成功消息用于通知用户已经成功绑定该设备。

步骤207：授权服务器为该设备分配令牌请求权限，以使该设备能够基于更新后的安全码向授权服务器请求获取授权令牌。

对于授权服务器来说，为了记录设备的绑定情况，当向该设备发送绑定码后，为该设备分配令牌请求权限。授权服务器为该设备分配令牌请求权限后，在后续请求获取授权令牌过程中，设备即可使用该更新后的安全码进行用户身份校验。具体实现可参见图3所述的实施例。

步骤208：设备基于该绑定码更新该安全码。

在具体实现过程中，该设备可以根据该绑定码，通过Hash算法生成新的安全码，以实现对该安全码进行更新。

需要说明的是，这里仅是以采用Hash算法生成新的安全码为例进行说明，在另一实施例中，还可以采用其它算法生成新的安全码，本发明实施例对此不作限定。

另外，这里仅是以设备根据该绑定码更新安全码为例进行说明，在实际实现过程中，该设备还可以基于绑定码和其它信息更新该安全码，例如，该设备还可以基于绑定码和该设备标识更新该安全码，本发明实施例对此不作限定。

进一步地，该设备更新该安全码后，可以通过显示装置显示该更新后的安全码，或者，也可以将该更新后的安全码发送给与该设备关联的终端，如此，用户可以获知更新后的安全码。

需要说明的是，在实际实现过程中，上述步骤207和步骤208没有先后的执行顺序。

进一步地，上述将用户校验码发送给与该设备关联的终端的具体实现方式包括：基于该设备标识，获取存储的联系方式，该联系方式包括邮箱账号、电话号码、用户账号中的任一种，通过该联系方式，将该用户校验码发送给与该设备关联的终端。需要说明的是，校验链接也可以采用该种方式发送给与该设备关联的终端。

进一步地，在基于该设备标识获取存储的联系方式之前，授权服务器向该设备发送增加联系方式指示，该增加联系方式指示用于指示在该第二请求消息中增加该联系方式，将该联系方式与该设备标识对应存储。

在具体实现中，该增加联系方式指示可以通过上述响应消息携带，也即是，该增加联系方式指示可以与上述校验链接和用户校验码一同发送，之后，用户根据该增加联系方式指示，在第二请求消息中增加联系方式。

在本发明实施例中，授权服务器接收设备发送的携带设备标识和密文信息的第一请求消息，如果授权服务器根据该设备标识确定该设备属于自身所管理的设备，则分配用户校验码，并发送给该设备或与该设备关联的终端中的至少一个，如此，用户可以从设备或终端获知用户校验码。当用户请求身份校验时，通过该终端向授权服务器发送携带用户校验码和安全码的第二请求消息，若授权服务器根据该用户校验码确定该第二请求消息与第一请求消息关联，则当使用该第二请求消息中的安全码能够对密文信息进行解密得到上述设备标识时，说明该用户可能是设备的拥有者，即确定用户身份校验通过。也即是，在用户身份校验过程中，不仅依据用户校验码进行校验，还结合密文信息和安全码进行用户身份校验，提高了用户身份校验的效率和安全性。

请参考图3，该图3是根据另一示例性实施例示出的一种用户身份校验方法的流程图，这里以该第一请求消息为令牌获取请求消息为例进行说明，具体可以包括如下几个步骤：

步骤301：设备向授权服务器发送令牌获取请求消息，授权服务器接收设备发送的令牌获取请求消息，该令牌获取请求消息中携带设备标识和密文信息，该密文信息由该设备基于安全码对该设备标识进行加密得到。

在实际应用场景中，当用户想要使用设备从资源服务器中访问数据时，设备需要使用授权令牌进行访问。在使用之前，设备需要获取到该授权令牌，而在获取授权令牌过程中，授权服务器需要进行用户身份校验。

在这里，该安全码通常为在绑定过程中对初始安全码进行更新后确定得到的安全码。也即是，在授权服务器为设备分配令牌请求权限后，当设备需要向授权服务器请求获取授权令牌以访问数据时，使用更新后的安全码进行身份校验。

在一种可能的实现方式中，该令牌获取请求消息是由设备在接收到令牌获取请求指令后发送，该令牌获取请求指令可以由用户触发，该用户可以通过对该设备自身配置的令牌获取按键执行指定操作后触发，该指定操作可以为诸如按动之类的操作，具体实现可以参见图2实施例中设备向授权服务器发送绑定请求消息的实现过程。

步骤302：当授权服务器基于该设备标识确定该设备属于所管理的设备时，分配用户校验码。

其具体实现过程与实现原理可参见图2实施例中的步骤202，这里不再详细介绍。

步骤303：授权服务器将该用户校验码发送给该设备和与该设备关联的终端中的至少一个。

其具体实现过程与实现原理可参见图2实施例中的步骤203，这里不再详细介绍。

在具体实现中，设备在接收到该授权服务器发送的用户校验码后，可以根据本地策略持续探测授权服务器，即向授权服务器发送探测消息，以通知授权服务器正在等待身份认证。

步骤304：终端向授权服务器发送第二请求消息，授权服务器接收该终端发送的第二请求消息，该第二请求消息中携带用户校验码和安全码。

其具体实现过程与实现原理可参见图2实施例中的步骤204，这里不再详细介绍。

步骤305：若授权服务器基于该用户校验码确定该第二请求消息与该令牌获取请求消息关联，则当使用该第二请求消息中携带的安全码对该密文信息进行解密处理得到该设备标识时，确定用户身份校验通过。

其具体实现过程与实现原理可参见图2实施例中的步骤205，这里不再详细介绍。

步骤306：授权服务器向该设备发送授权令牌，设备接收该授权令牌，该授权令牌用于该设备从资源服务器中访问数据。

当确定用户身份校验通过时，说明该用户具有使用该设备访问该资源服务器的权限，在该种情况下，授权服务器可以向该设备发送授权令牌，以便于设备使用该授权令牌从资源服务器中访问数据。

需要说明的是，在实际实现过程中，授权服务器可以直接将该授权令牌发送给设备，或者，授权服务器也可以通过响应消息携带该授权令牌，本发明实施例对此不做限定。

此外，授权服务器还可以为该设备分配指定授权令牌，例如，该指定授权令牌可以为更新令牌(fresh token)。该指定授权令牌可以用于后续在授权令牌超时或失效时，设备直接使用该指定授权令牌向该授权服务器重新请求获取授权令牌。如此，设备不需要经过上述用户身份校验过程即可使用该指定授权令牌向该授权服务器重新请求获取授权令牌，提高了获取授权令牌的速度，进而提高了数据访问速度。

请参考图4，该图4是根据另一示例性实施例示出的一种用户身份校验方法的流程图，这里以该第一请求消息为解绑请求消息为例进行说明，具体可以包括如下几个步骤：

步骤401：设备向授权服务器发送解绑请求消息，授权服务器接收设备发送的解绑请求消息，该解绑请求消息中携带设备标识和密文信息，该密文信息由该设备基于安全码对该设备标识进行加密得到。

在实际应用中，设备可能从一个用户转移或变卖给另一个用户，例如，从用户A转移给用户B，在该种情况下，如果用户B仍使用用户A所使用的安全码，由于用户A也获知该安全码，因此，对于用户B来说，设备缺乏安全性。为此，在本发明实施例中，还提供了解绑实现过程，即该第一请求消息可以为解绑请求消息。在解绑过程中，为了避免其它用户非法将该设备解绑，授权服务器仍需要进行用户身份校验。

其中，该解绑请求消息由该设备在接收到解绑请求指令后发送，该解绑请求指令可以由用户触发，该用户可以通过对该设备自身配置的解绑按键执行指定操作后触发，该指定操作可以为诸如按动之类的操作，具体可以参见图2实施例中设备向授权服务器发送绑定请求消息的实现过程。

步骤402：当授权服务器基于该设备标识确定该设备属于所管理的设备时，分配用户校验码。

步骤403：授权服务器将该用户校验码发送给该设备和与该设备关联的终端中的至少一个。

步骤404：终端向授权服务器发送第二请求消息，授权服务器接收该终端发送的第二请求消息，该第二请求消息中携带用户校验码和安全码。

步骤405：若授权服务器基于该用户校验码确定该第二请求消息与该解绑请求消息关联，则当使用该第二请求消息中携带的安全码对该密文信息进行解密处理得到该设备标识时，确定用户身份校验通过。

其具体实现过程与实现原理可参见图2实施例中的步骤2052，这里不再详细介绍。

步骤406：授权服务器更新该设备的状态为解绑状态，并向该设备发送解绑通知消息，设备接收该解绑通知消息。

步骤407：授权服务器解除该设备的令牌请求权限。

当确定用户身份校验通过时，说明该用户合法使用该设备，例如，如前文所述，该用户可能为设备的原来的拥有者用户A。在该种情况下，授权服务器将该设备的状态更新为解绑状态，并通知用户当前设备已经处于解绑状态。在解绑状态下，用户无法使用设备向授权服务器请求获取授权令牌，即便接收到任何关于身份校验的请求消息，授权服务器均会返回错误通知消息，直到该设备重新绑定。如此，便于后续在将该设备转移给新的用户时，新的用户可以重新使用该设备请求授权服务器绑定。

需要说明的是，重新绑定的具体实现请参见图2所述的实施例。

图5A是根据一示例性实施例示出的一种用户身份校验装置的结构示意图，该用户身份校验装置可以由软件、硬件或者两者的结合实现。该用户身份校验装置可以包括：

第一接收模块510，用于执行上述图2所述实施例的步骤201中授权服务器执行的操作、图3所述实施例的步骤301中授权服务器执行的操作以及图4所述实施例的步骤401中授权服务器执行的操作；

第二接收模块520，用于执行上述图2所述实施例的步骤204中授权服务器执行的操作、图3所述实施例的步骤304中授权服务器执行的操作、以及图4所述实施例中的步骤404 中授权服务器执行的操作；

校验模块530，用于执行上述图2所述实施例中的步骤205、图3所述实施例中的步骤305和图4所述实施例中的步骤405。

可选地，请参考图5B，该装置还包括第一发送模块540和权限分配模块550：

该第一发送模块540，用于执行上述图2所述实施例中的步骤206中授权服务器执行的操作；

该权限分配模块550，用于执行上述图2所述实施例中的步骤207。

可选地，请参考图5C，该装置还包括第二发送模块560：

该第二发送模块560，用于执行上述图3所述实施例中的步骤306中授权服务器执行的操作。

可选地，请参考图5D，该装置还包括更新模块570和解除模块580：

该更新模块570，用于执行上述图4所述实施例中的步骤406中授权服务器执行的操作；

该解除模块580，用于执行上述图4所述实施例中的步骤407。

可选地，请参考图5E，该装置还包括：信息分配模块590和第三发送模块511：

该信息分配模块590，用于执行上述图2所述实施例中步骤202、图3所述实施例中的步骤302和图4所述实施例中的步骤402；

该第三发送模块511，用于执行上述图2所述实施例中步骤203、图3所述实施例中的步骤303和图4所述实施例中的步骤403。

可选地，请参考图5F，该装置还包括获取模块512：

该获取模块512，用于基于所述设备标识，获取存储的联系方式，该联系方式包括邮箱账号、电话号码、用户账号中的任一种；

第三发送模块511，还用于通过该联系方式，将该用户校验码发送给与该设备关联的终端。

可选地，请参考图5G，该装置还包括第四发送模块514和存储模块516：

该第四发送模块514，用于向该设备发送增加联系方式指示，该增加联系方式指示用于指示在该第二请求消息中增加该联系方式；

该存储模块516，用于将该联系方式与设备标识对应存储。

需要说明的是：上述实施例提供的用户身份校验装置在实现用户身份校验方法时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的用户身份校验装置与用户身份校验方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述不用以限制本发明实施例，凡在本发明实施例的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明实施例的保护范围之内。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光线、数字用户线(Digital Subscriber Line，DSL))或无限(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，数字化视频光盘(Digital Video Disk，DVD))、或者半导体介质(例如固态硬盘(Solid State Disk，SSD))等。

Claims

一种用户身份校验方法，其特征在于，所述方法包括：

授权服务器接收设备发送的第一请求消息，所述第一请求消息中携带设备标识和密文信息，所述密文信息由所述设备基于安全码对所述设备标识进行加密得到；

所述授权服务器接收终端发送的第二请求消息，所述第二请求消息中携带用户校验码和安全码，所述用户校验码由所述授权服务器基于所述设备标识确定所述设备属于所述授权服务器所管理的设备后分配的；

若所述授权服务器基于所述用户校验码确定所述第二请求消息与所述第一请求消息关联，则当使用所述第二请求消息中携带的安全码对所述密文信息进行解密处理得到所述设备标识时，确定用户身份校验通过。
如权利要求1所述的方法，其特征在于，当所述第一请求消息为绑定请求消息时，所述确定用户身份校验通过之后，还包括：

向所述设备发送绑定码，所述绑定码用于所述设备更新所述安全码；

为所述设备分配令牌请求权限，以使所述设备能够基于更新后的安全码向所述授权服务器请求获取授权令牌。
如权利要求1所述的方法，其特征在于，当所述第一请求消息为令牌获取请求消息时，所述确定用户身份校验通过之后，还包括：

向所述设备发送授权令牌，所述授权令牌用于所述设备从资源服务器中访问数据。
如权利要求1所述的方法，其特征在于，当所述第一请求消息为解绑请求消息时，所述确定用户身份校验通过之后，还包括：

更新所述设备的状态为解绑状态，并向所述设备发送解绑通知消息；

解除所述设备的令牌请求权限。
如权利要求1所述的方法，其特征在于，所述授权服务器接收终端发送的第二请求消息之前，还包括：

当基于所述设备标识确定所述设备属于所述授权服务器所管理的设备时，分配所述用户校验码；

将所述用户校验码发送给所述设备和与所述设备关联的终端中的至少一个。
如权利要求5所述的方法，其特征在于，所述将所述用户校验码发送给与所述设备关联的终端之前，还包括：

基于所述设备标识，获取存储的联系方式，所述联系方式包括邮箱账号、电话号码、用户账号中的任一种；

相应地，所述将所述用户校验码发送给与所述设备关联的终端，包括：

通过所述联系方式，将所述用户校验码发送给与所述设备关联的终端。
如权利要求6所述的方法，其特征在于，所述基于所述设备标识，获取存储的联系方式之前，还包括：

向所述设备发送增加联系方式指示，所述增加联系方式指示用于指示在所述第二请求消息中增加所述联系方式；

将所述联系方式与所述设备标识对应存储。
一种用户身份校验装置，应用于授权服务器中，其特征在于，所述装置包括：

第一接收模块，用于接收设备发送的第一请求消息，所述第一请求消息中携带设备标识和密文信息，所述密文信息由所述设备基于安全码对所述设备标识进行加密得到；

第二接收模块，用于接收终端发送的第二请求消息，所述第二请求消息中携带用户校验码和安全码，所述用户校验码由所述授权服务器基于所述设备标识确定所述设备属于所述授权服务器所管理的设备后分配的；

校验模块，用于若基于所述用户校验码确定所述第二请求消息与所述第一请求消息关联，则当使用所述第二请求消息中携带的安全码对所述密文信息进行解密处理得到所述设备标识时，确定用户身份校验通过。
如权利要求8所述的装置，其特征在于，所述装置还包括：

第一发送模块，用于向所述设备发送绑定码，所述绑定码用于所述设备更新所述安全码；

权限分配模块，用于为所述设备分配令牌请求权限，以使所述设备能够基于更新后的安全码向授权服务器请求获取授权令牌。
如权利要求8所述的装置，其特征在于，所述装置还包括：

第二发送模块，用于向所述设备发送授权令牌，所述授权令牌用于所述设备从资源服务器中访问数据。
如权利要求8所述的装置，其特征在于，所述装置还包括：

更新模块，用于更新所述设备的状态为解绑状态，并向所述设备发送解绑通知消息；

解除模块，用于解除所述设备的令牌请求权限。
如权利要求8所述的装置，其特征在于，所述装置还包括：

信息分配模块，用于当基于所述设备标识确定所述设备属于所述授权服务器所管理的设备时，分配所述用户校验码；

第三发送模块，用于将所述用户校验码发送给所述设备和与所述设备关联的终端中的至少一个。
如权利要求12所述的装置，其特征在于，所述装置还包括：

获取模块，用于基于所述设备标识，获取存储的联系方式，所述联系方式包括邮箱账号、电话号码、用户账号中的任一种；

相应地，所述第三发送模块还用于：

通过所述联系方式，将所述用户校验码发送给与所述设备关联的终端。
如权利要求13所述的装置，其特征在于，所述装置还包括：

第四发送模块，用于向所述设备发送增加联系方式指示，所述增加联系方式指示用于指示在所述第二请求消息中增加所述联系方式；

存储模块，用于将所述联系方式与所述设备标识对应存储。