权限管理方法、装置、系统及移动终端与流程

本申请涉及智能家居技术领域，更具体地，涉及一种权限管理方法、装置、网络系统、移动终端、zigbee设备及存储介质。

背景技术：

zigbee是基于ieee标准的低功耗局域网协议。zigbee设备可分为两大类：网关及子设备。zigbee网关作为组建zigbee网络的核心设备，一直以来是zigbee网络协议推广的重要基础，zigbee子设备通过连接网关，形成zigbee网络。由于zigbee网络属于局域网，为了扩展应用场景，目前zigbee网关多配合互联网接入功能。基于互联网接入，用户可以使用手机app经互联网远程操作zigbee设备，实现智能化管理，如智能家庭、智能办公、智能工厂等，同时用户可以使用手机nfc对zigbee设备进行相应的查询、配置等操作。然而，现有zigbee设备接入互联网操作繁琐，且当前nfc应用针对zigbee设备无完备的权限管控机制，可能导致非授权用户使用nfc功能修改配置甚至劫持zigbee设备的情况。

技术实现要素：

鉴于上述问题，本申请实施例提供了一种权限管理方法、装置、网络系统、移动终端、zigbee设备及存储介质，以实现改善上述问题。

第一方面，本申请实施例提供了一种权限管理方法，该方法包括：移动终端通过nfc技术获取第一zigbee设备的识别码，该识别码用于唯一识别zigbee设备；移动终端向服务器发送携带有第一zigbee设备的识别码以及移动终端登录帐户的数据请求，以便服务器查找登录帐户下对应的zigbee设备识别码中是否包含有第一zigbee设备的识别码；接收服务器返回的查找到的与所述登录帐户和第一zigbee设备的识别码对应的验证密钥；将验证密钥发送给第一zigbee设备，以便第一zigbee设备判断验证密钥与存储于第一zigbee设备的数据安全区的第一zigbee设备的验证密钥是否一致；若一致，则开启与登录帐户的权限对应的第一zigbee设备的操作功能。

第二方面，本申请实施例提供了一种权限管理方法，该方法包括：第一zigbee设备接收移动终端发送的移动终端的登录帐户下与第一zigbee设备的识别码对应的验证密钥；判断该验证密钥与存储于第一zigbee设备的第一zigbee设备的验证密钥是否一致；若一致，则允许建立通信连接，否则无响应。

第三方面，本申请实施例提供了一种权限管理方法，该方法包括：服务器接收移动终端发送的数据请求，该数据请求中携带有第一zigbee设备的识别码以及移动终端登录帐户；服务器查找该登录帐户下对应的zigbee设备识别码中是否有第一zigbee设备的识别码；若有，则返回与第一zigbee设备的识别码对应的验证密钥。

第四方面，本申请实施例提供了一种权限管理方法，该方法包括：第一zigbee设备通过nfc技术接收移动终端发送的入网所需信息以及第一zigbee设备进行入网操作时对应的登录帐户；第一zigbee设备根据入网所需信息与服务器建立网络连接；第一zigbee设备基于第一zigbee设备进行入网操作时对应的登录帐户以及第一zigbee设备的识别码生成第一zigbee设备的验证密钥，存储所述第一zigbee设备的验证密钥并上传至服务器，该识别码用于唯一识别zigbee设备；服务器接收第一zigbee设备的验证密钥；移动终端通过nfc技术获取第一zigbee设备的识别码；移动终端向服务器发送携带有第一zigbee设备的识别码以及移动终端登录帐户的数据请求；服务器接收数据请求，查找登录帐户下对应的zigbee设备识别码中是否有第一zigbee设备的识别码，若有，则返回与第一zigbee设备的识别码对应的验证密钥给移动终端；移动终端接收服务器返回的验证密钥并将验证密钥发送给第一zigbee设备；第一zigbee设备接收并判断该验证密钥与第一zigbee设备的验证密钥是否一致，若一致，则建立与移动终端的通信连接；移动终端获取登录帐户的权限，根据权限开启对应的第一zigbee设备的操作功能。

第五方面，本申请实施例提供了一种权限管理装置，运行于移动终端，所述装置包括：信息获取模块，用于通过nfc技术获取第一zigbee设备的识别码，该识别码用于唯一识别zigbee设备；请求发送模块，用于向服务器发送携带有第一zigbee设备的识别码以及移动终端登录帐户的数据请求，以便服务器查找该登录帐户下对应的zigbee设备识别码中是否包含有第一zigbee设备的识别码；信息接收模块，用于接收服务器返回的查找到的与所述登录帐户和第一zigbee设备的识别码对应的验证密钥；信息发送模块，用于将该验证密钥发送给第一zigbee设备，以便第一zigbee设备判断该验证密钥与存储于第一zigbee设备的数据安全区的第一zigbee设备的验证密钥是否一致；功能开启模块，用于开启与登录帐户的权限对应的第一zigbee设备的操作功能。

第六方面，本申请实施例提供了一种权限管理装置，运行于第一zigbee设备，所述装置包括：接收模块，用于第一zigbee设备接收移动终端发送的移动终端的登录帐户下与第一zigbee设备的识别码对应的验证密钥；判断模块，用于判断验证密钥与存储于第一zigbee设备的第一zigbee设备的验证密钥是否一致；响应模块；用于若一致，则允许建立通信连接，否则无响应。

第七方面，本申请实施例提供了一种权限管理装置，运行于服务器，所述装置包括：请求接收模块，用于服务器接收移动终端发送的数据请求，该数据请求中携带有第一zigbee设备的识别码以及移动终端登录帐户；信息查找模块，用于服务器查找该登录帐户下对应的zigbee设备识别码中是否有第一zigbee设备的识别码；密钥返回模块，用于服务器返回查找到的与第一zigbee设备的识别码对应的验证密钥。

第八方面，本申请实施例提供了一种网络系统，包括移动终端、第一zigbee设备、服务器：第一zigbee设备用于通过nfc技术接收移动终端发送的入网所需信息以及第一zigbee设备进行入网操作时对应的登录帐户；第一zigbee设备还用于根据入网所需信息与服务器建立网络连接；第一zigbee设备还用于基于第一zigbee设备首次入网时对应的登录帐户以及第一zigbee设备的识别码生成第一zigbee设备的验证密钥，存储第一zigbee设备的验证密钥并上传至服务器，识别码用于唯一识别zigbee设备；服务器用于接收第一zigbee设备的验证密钥；移动终端用于通过nfc技术获取第一zigbee设备的识别码；移动终端还用于向服务器发送携带有第一zigbee设备的识别码以及移动终端登录帐户的数据请求；服务器还用于接收数据请求，查找登录帐户下对应的zigbee设备识别码中是否包含有第一zigbee设备的识别码，若有，则返回与第一zigbee设备的识别码对应的验证密钥给移动终端；移动终端还用于接收服务器返回的验证密钥并将验证密钥发送给第一zigbee设备；第一zigbee设备还用于接收并判断验证密钥与第一zigbee设备的验证密钥是否一致，若一致，则建立与移动终端的通信连接；移动终端还用于获取登录帐户的权限，根据权限开启对应的第一zigbee设备的操作功能。

第九方面，本申请实施例提供了一种移动终端，包括一个或多个处理器以及存储器；一个或多个程序被存储在存储器中并被配置为由一个或多个处理器执行，一个或多个程序配置用于执行上述第一方面描述的权限管理方法。

第十方面，本申请实施例提供了一种zigbee设备，包括一个或多个处理单元以及存储单元；一个或多个程序被存储在存储单元中并被配置为由一个或多个处理单元执行，一个或多个程序配置用于执行上述第二方面描述的权限管理方法。

第十一方面，本申请实施例提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有程序代码，其中，在所述程序代码运行时执行上述的权限管理方法。

相对于现有技术，本申请实施例提供的权限管理方法、装置、网络系统、移动终端、zigbee设备及存储介质，移动终端通过nfc技术获取第一zigbee设备的识别码；再向服务器发送携带有第一zigbee设备的识别码以及移动终端登录帐户的数据请求，以便服务器查找登录帐户下对应的zigbee设备识别码中是否包含有第一zigbee设备的识别码；继而接收服务器返回的查找到的与登录帐户和第一zigbee设备的识别码对应的验证密钥；然后将验证密钥发送给第一zigbee设备，以便第一zigbee设备判断验证密钥与存储于第一zigbee设备的数据安全区的第一zigbee设备的验证密钥是否一致；然后开启与登录帐户的权限对应的第一zigbee设备的操作功能。采用该方法在移动终端通过nfc技术控制zigbee设备时，实现了在服务器端和zigbee设备端的双重验证，更加安全，且根据移动终端当前登录帐号的操作权限来开放不同的设备操作选项给当前的用户，实现了安全管控zigbee设备功能的使用权限的同时不同权限的登录帐号对应有不同的操作zigbee设备的权限。

为了让本申请的上述和其他目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附图式，作详细说明如下。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本申请实施例提供的一种网络系统的示意图。

图2示出了本申请一实施例提供的一种权限管理方法的交互的时序图。

图3示出了本申请另一实施例提供的一种权限管理方法的流程图。

图4示出了本申请又一实施例提供的一种权限管理方法的流程图。

图5示出了本申请再一实施例提供的一种权限管理方法的流程图。

图6示出了本申请一实施例提供的一种权限管理装置的结构框图。

图7示出了本申请另一实施例提供的一种权限管理装置的结构框图。

图8示出了本申请再一实施例提供的一种权限管理装置的结构框图。

图9示出了本申请实施例提供的一种移动终端的结构框图。

图10示出了本申请实施例提供的一种zigbee设备的结构框图。

图11示出了本申请实施例的用于保存或者携带实现根据本申请实施例的权限管理方法的程序代码的存储介质。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

nfc(nearfieldcommunication,近场通信)，是一种新兴的技术，由无线射频识别(radiofrequencyidentification,rfid)及互联互通技术整合演变而来，利用了在单一芯片上结合感应式读卡器、感应式卡片和点对点的功能，使用了nfc技术的设备(比如手机)可以在彼此靠近的情况下进行识别和数据交换。zigbee技术(zigbeetechnology，紫蜂技术)是一种新兴的短距离、低速率、低功耗双向无线通信技术，它是一种介于无线标记技术和蓝牙之间的技术提案，主要用于近距离无线连接。随着物联网地不断发展，nfc技术和zigbee通信技术也逐渐应用到了智能家居方面。

zigbee设备可以分为两大类：zigbee网关和zigbee子设备。zigbee网关作为组建zigbee网络的核心设备，是zigbee网络协议的基础，zigbee子设备通过连接zigbee网关，形成zigbee网络。由于zigbee网络属于局域网，为了扩展应用场景，目前zigbee设备多配合互联网接入功能。然而，zigbee设备接入互联网之后，若zigbee设备无完备的权限管控机制，所以存在被非授权用户修改配置甚至劫持zigbee设备的情况。

因此，发明人发现若zigbee设备无完备的权限管控机制，会给用户带来不便的技术问题后，提供了本申请实施例中的权限管理方法、装置、网络系统、移动终端、zigbee设备及存储介质。

为了便于详细说明本申请方案，下面先结合附图对本申请实施例中的应用环境进行介绍。

请参阅图1，为本申请实施例提供的一种网络系统10，该网络系统10包括：移动终端11、服务器12、zigbee网关13、子设备14以及路由器15。其中，zigbee网关13为基于zigbee协议搭建，子设备14可以是预先加入zigbee网关13中的设备，例如，子设备可以是网关出厂时网关所归属套件中的设备；也可以是后续通过用户操作连接至zigbee网关13中的设备。作为一种方式，子设备14可以基于zigbee协议与zigbee网关13建立网络连接，从而加入到zigbee网络中。例如，子设备14可以通过zigbee协议接收移动终端11所发送的控制指令，该控制指令可以控制子设备14执行与控制指令相对应的子设备的场景和/或自动化的动作。

需要说明的是，本申请实施例中，zigbee网关13和子设备14统称为zigbee设备。

zigbee网关13以及移动终端11均可以与路由器15连接，并通过路由器15接入到以太网中，路由器15通过2g/3g/4g/5g、wifi等接入服务器12。例如，zigbee网关13以及移动终端11可以将获取的信息存储到服务器12中。可选的，移动终端11可以通过2g/3g/4g/5g、wifi等与服务器12建立网络连接，从而可以获取服务器12下发的数据。

作为一种方式，移动终端11中安装了可以对智能家居设备进行管理的客户端，所述客户端可以是应用程序客户端，也可以是网页客户端，在此不作限定。其中，移动终端11可以是任何具备通信和存储功能的设备，例如：智能手机、台式电脑、笔记本电脑、平板电脑或其他具有网络连接功能的智能通信设备。服务器12可以是网络接入服务器、数据库服务器、云服务器等。子设备14可以是实体智能设备，如电表、门磁传感器、人体传感器、门窗传感器、温湿度传感器、水浸传感器、天然气报警器、烟雾报警器、墙壁开关、墙壁插座、智能插座、无线开关、无线墙贴开关、魔方控制器、窗帘电机、多功能网关、空调伴侣、摄像头等智能设备，也可以是虚拟传感器设备，如虚拟人体传感器设备，在此不作限定。

下面将结合附图具体描述本申请的各实施例。

请参阅图2，为本申请实施例提供的权限管理方法的流程图，本实施例提供一种权限管理方法，所述方法包括：

步骤s101：第一zigbee设备通过nfc技术接收移动终端发送的入网所需信息以及所述第一zigbee设备进行入网操作时对应的登录帐户。

作为一种实施方式，第一zigbee设备通过nfc技术接收移动终端发送的入网所需信息以及所述第一zigbee设备进行入网操作(例如：首次入网操作时)时对应的登录帐户的步骤之前还包括：

步骤s100：移动终端可以通过nfc技术获取第一zigbee设备的入网所需信息。

可选的，步骤s100的实施过程具体可以包括如下步骤：

步骤s1001：移动终端通过nfc技术接收预设距离内的第一zigbee设备的nfc信号。

本申请实施例中，第一zigbee设备可以是zigbee网关，也可以是zigbee子设备。作为一种方式，第一zigbee设备中包含固件程序，固件中包含网络状态标志位(可以用netstatus表示)，该网络状态标志位可以用于表征第一zigbee设备的入网状态，第一zigbee设备出厂时默认处于未入网状态(即netstatus＝none)，可选的，该网络状态标志位可以被移动终端通过nfc技术读取。在这种情况下，第一zigbee设备固件可以通过设备标志位(例如devicemodel＝hub_a012)表示第一zigbee设备的型号，需要说明的是，作为一种实施方式，netstatus和devicemodel仅用于举例说明，实际实现时可以用其他名称代替，在此不作限定。

若移动终端开启了无线通信nfc功能，可以通过nfc功能监听移动终端的nfc广播。当移动终端靠近待入网第一zigbee设备时，可以通过nfc技术接收第一zigbee设备的nfc信号，可选的，可以通过nfc技术接收第一zigbee设备预设距离内的nfc信号，该预设距离表示第一zigbee设备和移动终端之间nfc信号的实际传输距离，在本实施例中，第一zigbee设备和移动终端之间nfc信号的实际传输距离由移动终端中nfc模块的功率决定。

步骤s1002：根据接收到的所述nfc信号识别所述第一zigbee设备的网络状态信息。

可选的，第一zigbee设备的nfc信号通常包括第一zigbee设备的网络状态标志位和设备标志位，可以根据接收到的所述nfc信号识别所述第一zigbee设备的网络状态信息。具体步骤可以包括：根据第一zigbee设备的设备标志位确定第一zigbee设备是否为支持的zigbee设备。作为一种方式，本申请实施例中，zigbee设备均遵循zigbee通信协议，当移动终端靠近待入网的第一zigbee设备时，可以通过nfc技术读取第一zigbee设备的设备标志位，如果读取到该设备标志位，则可以确定第一zigbee设备为支持的zigbee设备；如果未读取到设备标志位的信息，则认为第一zigbee设备为不支持的zigbee设备。

可选的，若第一zigbee设备为支持的zigbee设备，移动终端可以利用nfc技术读取到第一zigbee设备的网络状态标志位，可以根据该网络状态标志位识别第一zigbee设备的网络状态信息，具体包括：若网络状态标志位为空(例如：netstatus＝none)则表示zigbee设备处于未入网状态，否则处于已入网状态(例如：netstatus＝online)。

步骤s1003：若所述网络状态信息表征所述第一zigbee设备为未入网状态，则获取入网所需信息。

可选的，入网所需信息包括互联网wifi路由器的接入信息；在另一种实施方式中，入网所需信息还可以包括第一zigbee设备的特征信息以及互联网wifi路由器的接入信息。其中，互联网wifi路由器的接入信息用于第一zigbee设备接入互联网；互联网wifi路由器的接入信息主要包括wifi路由器的名称、ssid(servicesetidentifier，服务集标识)和密码等。可选的，第一zigbee设备的特征信息主要包括第一zigbee设备的名称和位置等，第一zigbee设备的名称和位置可以用于区分不同的第一zigbee设备。

作为一种实施方式，若第一zigbee设备处于未入网状态，则移动终端可以通过nfc技术靠近第一zigbee设备以便移动终端能够自动跳转至设备入网界面，获取用户在设备入网界面输入的入网所需信息。

其中，获取用户输入的入网所需信息的步骤可以包括：获取用户输入的第一zigbee设备的特征信息和互联网wifi路由器的接入信息；将第一zigbee设备的特征信息以及互联网wifi路由器的接入信息进行存储。作为另一种实施方式，若第一zigbee设备处于未入网状态，且已有入网记录(或是移动终端中预先存储有第一zigbee设备的入网所需信息)，则移动终端可以自动从服务器拉取或是读取与第一zigbee设备的入网记录对应的入网所需信息，因此，获取入网所需信息的步骤可以包括：向服务器发送第一zigbee设备的入网所需信息获取请求；接收服务器返回的与入网所需信息获取请求对应的第一zigbee设备的入网所需信息。

步骤s1004：将所述入网所需信息以及所述第一zigbee设备进行入网操作时对应的登录帐户通过nfc技术发送给所述第一zigbee设备。

可选的，移动终端将获取的入网所需信息通过nfc技术发送给第一zigbee设备，以便第一zigbee设备入网。同时，移动终端将第一zigbee设备首次入网时对应的登录帐户的帐户名(可选的，这里可以用accountid来表示)通过nfc技术发送给第一zigbee设备，以便第一zigbee设备生成验证密钥。

然后，第一zigbee设备可以通过nfc技术接收移动终端发送的入网所需信息以及所述第一zigbee设备进行入网操作时对应的登录帐户。

步骤s102：所述第一zigbee设备根据所述入网所需信息与服务器建立网络连接。

可选的，若第一zigbee设备未入网，则可以根据上述入网所需信息与服务器建立网络连接，从而接入互联网。

步骤s103：所述第一zigbee设备基于所述第一zigbee设备进行入网操作时对应的登录帐户以及所述第一zigbee设备的识别码生成所述第一zigbee设备的验证密钥，存储第一zigbee设备的验证密钥并上传至所述服务器，所述识别码用于唯一识别zigbee设备。

作为一种方式，第一zigbee设备包含可以用于唯一识别zigbee设备的识别码(例如：可以用deviceid来表示)，其中，识别码用于表明zigbee设备的类别，类似于身份证号码。当第一zigbee设备通过nfc技术成功接入互联网后，可以使用其硬件加密模块，然后基于设定的加密算法，将第一zigbee设备的识别码、进行入网操作时对应的登录帐户以及一组随机数作为输入信息，生成一个可以用于验证zigbee设备与移动终端登录帐户是否唯一绑定的验证密钥(本申请实施例中，第一zigbee设备的验证密钥可以用accesskey来表示)，并将该验证密钥存储于第一zigbee设备本身的数据安全存储区。

此外，需要说明的是，对于按照非nfc模式入网的zigbee设备，其在成功入网后也会使用硬件加密模块，基于设定的加密算法，将第一zigbee设备的识别码、首次入网时对应的登录帐户的帐户名以及一组随机数作为输入信息，生成一个可以用于验证zigbee设备与移动终端登录帐户是否唯一绑定的验证密钥，并将该验证密钥存储于第一zigbee设备本身的数据安全存储区。

需要说明的是，用于生成第一zigbee设备的验证密钥的随机数为真随机数，通过添加一组真随机数可以让生成的验证密钥为随机事件，从而无法轻易复制得到，进而提高了第一zigbee设备使用的安全性。

此外，作为一种方式，第一zigbee设备还会将生成的验证密钥上传至服务器。可选的，第一zigbee设备包括zigbee子设备或zigbee网关，所以第一zigbee设备将验证密钥上传至服务器的步骤具体可以包括：

若第一zigbee设备为zigbee子设备，则zigbee子设备将验证密钥先上传至zigbee网关，然后由zigbee网关将验证密钥上传至服务器；若第一zigbee设备为zigbee网关，则zigbee网关直接将验证密钥上传至服务器。

步骤s104：所述服务器接收所述第一zigbee设备的验证密钥。

可选的，服务器接收来自第一zigbee设备上传的验证密钥，并将验证密钥存储于服务器的数据库中。需要说明的是，为了便于区分，可以将第一zigbee设备生成的存储于数据安全存储区的验证密钥视为accesskey1，将第一zigbee设备上传至服务器的数据库中存储的验证密钥视为accesskey2。

步骤s105：所述移动终端通过nfc技术获取所述第一zigbee设备的识别码。

作为一种方式，第一zigbee设备成功入网后，当用户希望通过移动终端的nfc功能读取第一zigbee设备的特征信息或对第一zigbee设备进行操控时，移动终端可以响应用户的触碰操作，靠近已入网的第一zigbee设备，以便通过nfc技术读取第一zigbee设备的识别码(这里可以用deviceid表示)。

步骤s106：所述移动终端向所述服务器发送携带有所述第一zigbee设备的识别码以及所述移动终端登录帐户的数据请求。

可选的，移动终端获取了第一zigbee设备的识别码之后，需要先向服务器申请与第一zigbee设备建立通信需使用的验证密钥。作为一种方式，移动终端可以向服务器发送携带有当前登录帐户的帐户名以及需要操控第一zigbee设备的识别码的数据请求，以便服务器校验当前登录帐户和其申请操控的第一zigbee设备之间关系是否合法绑定。可选的，若合法绑定，则移动终端当前登录帐户下会存在第一zigbee设备，否则不存在。

步骤s107：所述服务器接收所述数据请求，查找所述登录帐户下对应的zigbee设备识别码中是否包含有所述第一zigbee设备的识别码，若有，则返回与所述第一zigbee设备的识别码对应的验证密钥给所述移动终端。

作为一种方式，服务器接收移动终端发送的数据请求，并根据移动终端当前登录帐户的帐户名查找该登录帐户下对应的zigbee设备的识别码中是否包含有第一zigbee设备的识别码，若有，则可以确认为通过校验，然后服务器将与第一zigbee设备的识别码对应的验证密钥以加密方式返回给移动终端；可选的，若没有，则服务器无返回内容，且移动终端无反应。

步骤s108：所述移动终端接收所述服务器返回的所述验证密钥并将所述验证密钥发送给所述第一zigbee设备。

可选的，若移动终端接收到了服务器返回的与第一zigbee设备的识别码对应的验证密钥，可以将该验证密钥发送给第一zigbee设备，以便第一zigbee设备再次校验该验证密钥与第一zigbee设备的验证密钥是否一致。

步骤s109：所述第一zigbee设备接收并判断所述验证密钥与所述第一zigbee设备的验证密钥是否一致，若一致，则建立与所述移动终端的通信连接。

可选的，第一zigbee设备接收移动终端发送的验证密钥，并校验验证密钥与存储于数据安全存储区的第一zigbee设备的验证密钥是否一致，若一致，则视为校验通过，否则视为校验不通过。当校验通过后，第一zigbee设备会允许建立通信连接，以便后续移动终端可以操控第一zigbee设备，进行数据传输，否则无响应。

步骤s110：所述移动终端获取所述登录帐户的权限，根据所述权限开启对应的所述第一zigbee设备的操作功能。

作为一种方式，当移动终端与第一zigbee设备成功建立nfc通信后，移动终端可以从服务器查询出当前登录帐户的权限，存储于移动终端的应用程序可以根据权限开启不同的设备操作选项给当前登录帐户。作为一种方式，可以实现不同权限的已授权帐户都可以使用zigbee设备的通信功能，同时又可以安全管控zigbee设备功能的使用权限。

作为一种实施方式，本申请实施例中，移动终端的登录帐户为整个权限管控的核心，是用户帐户与zigbee设备进行nfc通信的凭证。当涉及到多帐户情况时，例如一个总帐户，分管多个子帐户，其中，一个总帐户可以看成一个组，即一个组内可以包括多个子帐户，在这种情况下，移动终端需要同时支持组内帐户对zigbee设备进行操作。此种情况下，权限管控涉及到不同帐户的权限级别处理。可选的，可以根据zigbee设备生成验证密钥时的登录帐户的位数来区分。

作为一种方式，zigbee设备生成验证密钥时的登录帐户的位数可以是一组32位数据，高位22位可以用来区分不同帐户的信息，低位10位可以用来表示组内不同子帐户的信息，即同组帐户下帐户名的位数的高22位相同，而同组的子帐户的低10位不同，其中，需要说明的是，此处提及的登录帐户的位数的数据长度、格式可能因需求不同而变更，在此仅作为示例说明，不作限定。

作为一种方式，当zigbee设备进行入网操作时，可以生成验证密钥用于入网后的操作的身份验证，其中，登录帐户的位数的高22位会用于生成此时的验证密钥。

本实施例提供的一种权限管理方法，利用移动终端通过nfc技术获取第一zigbee设备的识别码；再向服务器发送携带有第一zigbee设备的识别码以及移动终端登录帐户的数据请求，以便服务器查找登录帐户下对应的zigbee设备识别码中是否包含有第一zigbee设备的识别码；继而接收服务器返回的查找到的与登录帐户和第一zigbee设备的识别码对应的验证密钥；将验证密钥发送给第一zigbee设备，以便第一zigbee设备判断验证密钥与存储于第一zigbee设备的数据安全区的第一zigbee设备的验证密钥是否一致；然后开启与登录帐户的权限对应的第一zigbee设备的操作功能。该方法通过根据移动终端当前登录帐号的操作权限来开放不同的设备操作选项给当前的用户，实现了安全管控zigbee设备功能的使用权限的同时不同权限的登录帐号对应有不同的操作zigbee设备的权限。

请参阅图3，为本申请实施例提供的权限管理方法的流程图，本实施例提供一种权限管理方法，本实施例描述的是移动终端的处理流程，所述方法包括：

步骤s210：通过nfc技术获取第一zigbee设备的识别码，所述识别码用于唯一识别zigbee设备。

步骤s220：向服务器发送携带有所述第一zigbee设备的识别码以及所述移动终端登录帐户的数据请求，以便所述服务器查找所述登录帐户下对应的zigbee设备识别码中是否包含有所述第一zigbee设备的识别码。

当获取了第一zigbee设备的识别码之后，为了能够通过nfc技术操控第一zigbee设备，移动终端向服务器发送携带有第一zigbee设备的识别码以及移动终端登录帐户的数据请求，以便服务器查找移动终端当前登录帐户下对应的zigbee设备识别码中是否包含有第一zigbee设备的识别码。其中，移动终端当前登录帐户可以是第一zigbee设备首次入网时移动终端的登录帐户，也可以不是。

步骤s230：接收所述服务器返回的查找到的与所述登录帐户和所述第一zigbee设备的识别码对应的验证密钥。

步骤s240：将所述验证密钥发送给所述第一zigbee设备，以便所述第一zigbee设备判断所述验证密钥与存储于所述第一zigbee设备的数据安全区的第一zigbee设备的验证密钥是否一致。

步骤s250：开启与所述登录帐户的权限对应的所述第一zigbee设备的操作功能。

本实施例提供的一种权限管理方法，利用移动终端通过nfc技术获取第一zigbee设备的识别码，该识别码用于唯一识别zigbee设备；再向服务器发送携带有第一zigbee设备的识别码以及移动终端登录帐户的数据请求，以便服务器查找登录帐户下对应的zigbee设备识别码中是否包含有第一zigbee设备的识别码；继而接收服务器返回的查找到的与登录帐户和第一zigbee设备的识别码对应的验证密钥；将验证密钥发送给第一zigbee设备，以便第一zigbee设备判断验证密钥与存储于第一zigbee设备的数据安全区的第一zigbee设备的验证密钥是否一致；然后开启与登录帐户的权限对应的第一zigbee设备的操作功能。该方法通过根据移动终端当前登录帐号的操作权限来开放不同的设备操作选项给当前的用户，实现了安全管控zigbee设备功能的使用权限的同时不同权限的登录帐号对应有不同的操作zigbee设备的权限。

请参阅图4，为本申请实施例提供的权限管理方法的流程图，本实施例提供一种权限管理方法，本实施例描述的是第一zigbee设备的处理流程，所述方法包括：

步骤s310：第一zigbee设备接收所述移动终端发送的所述移动终端的登录帐户下与所述第一zigbee设备的识别码对应的验证密钥。

作为一种方式，若要通过移动终端对zigbee设备的操作权限进行验证，在第一zigbee设备接收移动终端发送的移动终端的登录帐户下与第一zigbee设备的识别码对应的验证密钥之前，第一zigbee设备可以通过nfc技术接收移动终端发送的入网所需信息以及第一zigbee设备进行入网操作时对应的登录帐户；然后可以基于第一zigbee设备进行入网操作时对应的登录帐户以及第一zigbee设备的识别码生成第一zigbee设备的验证密钥。

需要说明的是，该识别码可以用于唯一识别zigbee设备。可选的，第一zigbee设备将第一zigbee设备的验证密钥进行存储，作为一种方式，第一zigbee设备的验证密钥可以存储至第一zigbee设备的数据安全存储区。

可选的，第一zigbee设备中内置有专用的硬件加密模块，第一zigbee设备可以通过该硬件加密模块，基于第一zigbee设备首次入网时对应的登录帐户、第一zigbee设备的识别码以及一组随机数生成验证密钥，作为第一zigbee设备的验证密钥。其中，随机数为真随机数，通过添加一组真随机数可以让生成的验证密钥为随机事件，从而无法轻易复制得到，从而提高第一zigbee设备使用的安全性。

需要说明的是，第一zigbee设备生成上述验证密钥之前，第一zigbee设备已根据入网所需信息与服务器建立了网络连接。

作为一种方式，上述生成的第一zigbee设备的验证密钥可以上传至服务器的数据库中进行存储。需要说明的是，本实施例中的第一zigbee设备包括zigbee子设备或zigbee网关，因此上述第一zigbee设备将验证密钥上传至服务器的步骤具体可以包括：

作为一种方式，当第一zigbee设备为zigbee子设备，zigbee子设备将第一zigbee设备的验证密钥上传至zigbee网关，以便zigbee网关将第一zigbee设备的验证密钥上传至服务器；

作为另一种方式，当第一zigbee设备为zigbee网关，zigbee网关将第一zigbee设备的验证密钥上传至服务器。

可选的，第一zigbee设备接收来自移动终端发送的移动终端的登录帐户下与第一zigbee设备的识别码对应的验证密钥，便于通过该验证密钥验证移动终端的当前登录帐户是否具有对第一zigbee设备的操控权限，进而使得zigbee设备的使用更加安全。

步骤s320：判断所述验证密钥与存储于所述第一zigbee设备的所述第一zigbee设备的验证密钥是否一致。

可选的，第一zigbee设备可以通过比对存储于第一zigbee设备的数据安全存储区的第一zigbee设备的验证密钥与接收来自移动终端发送的验证密钥是否一致，若验证密钥的相关数据(如验证密钥对应的设备的识别码、帐户信息等)一致，则可以确定其一致，否则不一致。

步骤s330：若一致，则允许建立通信连接，否则无响应。

可选的，若一致，第一zigbee设备与移动终端成功建立通信连接，进而移动终端可以根据当前登录帐户的权限对第一zigbee设备的相关功能进行操控，实现了在zigbee设备端的验证，更加安全。

本实施例提供的权限管理方法，通过第一zigbee设备接收移动终端发送的入网所需信息，根据入网所需信息接入互联网，然后基于第一zigbee设备首次入网时对应的登录帐户、第一zigbee设备的识别码以及一组随机数生成验证密钥，将该验证密钥存储至自身的数据安全存储区并发送至服务器的数据库中进行存储，实现了第一zigbee设备的数据安全性。该方法通过根据移动终端当前登录帐号的操作权限来开放不同的设备操作选项给当前的用户，实现了安全管控zigbee设备功能的使用权限的同时不同权限的登录帐号对应有不同的操作zigbee设备的权限。

请参阅图5，为本申请实施例提供的一种权限管理方法的流程图，本实施例提供一种权限管理方法，本实施例描述的是服务器的处理流程，所述方法包括：

步骤s410：接收移动终端发送的数据请求，所述数据请求中携带有第一zigbee设备的识别码以及所述移动终端登录帐户。

若移动终端需要获取对zigbee设备的操控权限进行验证时，移动终端会向第一zigbee设备发送数据请求。可选的，服务器接收移动终端发送的数据请求之前还包括：接收来自第一zigbee设备发送的第一zigbee设备的验证密钥。

步骤s420：查找所述登录帐户下对应的zigbee设备识别码中是否包含有所述第一zigbee设备的识别码。

可选的，服务器中存储有第一zigbee设备的验证密钥以及移动终端登录帐户下的zigbee设备识别码的列表，服务器可以查找移动终端登录帐户下对应的zigbee设备识别码中是否包含有第一zigbee设备的识别码，若有，则可以判定登录帐户与第一zigbee设备合法绑定，服务器响应该请求并返回与该请求对应的数据信息，否则无反应。

步骤s430：返回与所述第一zigbee设备的识别码对应的验证密钥。

可选的，移动终端若需要通过nfc技术操控第一zigbee设备时，需要先向服务器发送数据请求，等待服务器校验移动终端的当前登录帐户与第一zigbee设备是否合法绑定，若是，则可以视为校验通过，服务器返回与第一zigbee设备的识别码对应的验证密钥。

本实施例提供的权限管理方法，通过服务器根据移动终端发送的第一zigbee设备的识别码以及移动终端的登录帐户，对移动终端的登录帐户与第一zigbee设备是否合法绑定进行校验。该方法通过根据移动终端当前登录帐号的操作权限来开放不同的设备操作选项给当前的用户，实现了安全管控zigbee设备功能的使用权限的同时不同权限的登录帐号对应有不同的操作zigbee设备的权限。

请参阅图6，为本申请实施例提供的一种权限管理装置500的结构框图，本实施例提供一种权限管理装置500，运行于移动终端，所述装置500包括：信息获取模块510、请求发送模块520、信息接收模块530、信息发送模块540以及功能开启模块550。

信息获取模块510，用于通过nfc技术获取第一zigbee设备的识别码，所述识别码用于唯一识别zigbee设备。

请求发送模块520，用于向服务器发送携带有所述第一zigbee设备的识别码以及所述移动终端登录帐户的数据请求，以便所述服务器查找所述登录帐户下对应的zigbee设备识别码中是否包含有所述第一zigbee设备的识别码。

信息接收模块530，用于接收所述服务器返回的查找到的与所述登录帐户和所述第一zigbee设备的识别码对应的验证密钥。

可选的，权限管理装置500还包括信号获取模块，该信号获取模块用于通过nfc技术接收预设距离内的第一zigbee设备的nfc信号；根据接收到的nfc信号识别第一zigbee设备的网络状态信息；

信息获取模块，用于信息获取模块识别到网络状态信息表征第一zigbee设备为未入网状态，跳转至设备入网界面，获取入网所需信息；

信息发送模块，用于将入网所需信息以及第一zigbee设备首次入网时对应的登录帐户通过nfc技术发送给第一zigbee设备。

可选的，第一zigbee设备的nfc信号包括第一zigbee设备的网络状态标志位和设备标志位，上述根据接收到的nfc信号识别第一zigbee设备的网络状态信息的步骤可以包括：根据网络状态标志位识别第一zigbee设备的网络状态信息；若网络状态标志位为空则表示第一zigbee设备处于未入网状态，否则处于已入网状态。

可选的，入网所需信息包括第一zigbee设备的特征信息以及互联网wifi路由器的接入信息，互联网wifi路由器的接入信息用于第一zigbee设备接入互联网。作为一种方式，上述获取入网所需信息的步骤可以包括：获取第一zigbee设备的特征信息和互联网wifi路由器的接入信息；将第一zigbee设备的特征信息以及互联网wifi路由器的接入信息进行存储。作为另一种方式，上述获取入网所需信息的步骤可以包括：向服务器发送第一zigbee设备的入网所需信息获取请求；接收服务器返回的与该请求对应的第一zigbee设备的入网所需信息。

信息发送模块540，信息发送模块，用于将所述验证密钥发送给所述第一zigbee设备，以便所述第一zigbee设备判断所述验证密钥与存储于所述第一zigbee设备的数据安全区的第一zigbee设备的验证密钥是否一致。

功能开启模块550，用于开启与所述登录帐户的权限对应的所述第一zigbee设备的操作功能。

可选的，功能开启模块550具体用于获取登录帐户的权限；根据获取的登录帐户的权限开启对应的第一zigbee设备的操作功能。

请参阅图7，为本申请实施例提供的一种权限管理装置的结构框图，本实施例提供一种权限管理装置600，所述第一zigbee设备包括所述装置600，所述装置600包括：接收模块610、判断模块620以及响应模块630。

接收模块610，用于第一zigbee设备接收所述移动终端发送的所述移动终端的登录帐户下与所述第一zigbee设备的识别码对应的验证密钥。

可选的，装置600还包括：接收模块，用于通过nfc技术接收移动终端发送的入网所需信息以及第一zigbee设备进行入网操作时对应的登录帐户；密钥生成模块，用于基于第一zigbee设备进行入网操作时对应的登录帐户以及第一zigbee设备的识别码生成第一zigbee设备的验证密钥，该识别码用于唯一识别zigbee设备；存储模块，用于将第一zigbee设备的验证密钥进行存储。

可选的，装置600还包括：数据传输模块，用于将第一zigbee设备的验证密钥上传至服务器。

可选的，装置600还包括：网络连接模块，用于根据入网所需信息与服务器建立网络连接。

判断模块620，用于判断所述验证密钥与存储于所述第一zigbee设备的所述第一zigbee设备的验证密钥是否一致。

响应模块630，用于用于若一致，则允许建立通信连接，否则无响应。

请参阅图8，为本申请实施例提供的一种权限管理装置的结构框图，本实施例提供一种权限管理装置700，所述服务器包括所述装置700，所述装置700包括：请求接收模块710、信息查找模块720以及密钥返回模块730。

请求接收模块710，用于所述服务器接收移动终端发送的数据请求，所述数据请求中携带有第一zigbee设备的识别码以及所述移动终端登录帐户。

可选的，请求接收模块710之前还包括：接收来自第一zigbee设备发送的第一zigbee设备的验证密钥。

信息查找模块720，用于所述服务器查找所述登录帐户下对应的zigbee设备识别码中是否有所述第一zigbee设备的识别码。

密钥返回模块730，用于所述服务器返回查找到的与所述第一zigbee设备的识别码对应的验证密钥。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述装置和模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，所显示或讨论的模块相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

另外，在本申请各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

综上所述，本申请提供的一种权限管理方法、装置、以及网络系统，通过移动终端采用nfc技术获取第一zigbee设备的识别码，该识别码用于唯一识别zigbee设备；再向服务器发送携带有第一zigbee设备的识别码以及移动终端登录帐户的数据请求，以便服务器查找登录帐户下对应的zigbee设备识别码中是否有第一zigbee设备的识别码；继而接收服务器返回的与查找到的第一zigbee设备的识别码对应的验证密钥；将验证密钥发送给第一zigbee设备，以便第一zigbee设备判断验证密钥与存储于第一zigbee设备的数据安全区的第一zigbee设备的验证密钥是否一致；然后开启与登录帐户的权限对应的第一zigbee设备的操作功能。采用该方法在移动终端通过nfc技术控制zigbee设备时，实现了在服务器端和zigbee设备端的双重验证，更加安全，且根据移动终端当前登录帐号的操作权限来开放不同的设备操作选项给当前的用户，实现了安全管控zigbee设备功能的使用权限的同时不同权限的登录帐号对应有不同的操作zigbee设备的权限。

下面将结合图9对本申请提供的一种移动终端进行说明。

请参阅图9，基于上述的权限管理方法、装置，本申请实施例还提供的另一种可以执行前述权限管理方法的移动终端11。该移动终端11可以是智能手机、平板电脑、电子书等能够运行程序的移动终端，该移动终端11包括nfc模块111、存储器113、相互耦合的一个或多个(图中仅示出一个)处理器115以及功能开启模块117。

存储器113可用于存储软件程序以及模块，如本申请实施例中的应用于移动终端的权限管理方法、nfc模块111、功能开启模块117以及装置对应的程序指令/模块，处理器115通过运行存储在存储器113内的软件程序以及模块，从而执行各种功能应用以及数据处理，如本申请实施例提供的应用于移动终端的权限管理方法。

存储器113可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。可以理解的是，图9所示的结构仅为示意，移动终端11还可包括比图9中所示更多或者更少的组件，或者具有与图9所示不同的配置。图9所示的各组件可以采用硬件、软件或其组合实现。

请参阅图10，示出了一种可应用于本申请实施例中的zigbee设备13的结构框图，该zigbee设备13可以是zigbee网关或zigbee子设备。该zigbee设备13包括nfc模块131、密钥生成模块133、存储单元135以及相互耦合的一个或多个(图中仅示出一个)处理单元137。其中，该存储单元135中存储有可以执行前述实施例中内容的程序，而处理单元137可以执行该存储单元135中存储的程序。

请参阅图11，示出了本申请实施例提供的一种计算机可读存储介质的结构框图。该计算机可读介质800中存储有程序代码，所述程序代码可被处理器调用执行上述方法实施例中所描述的方法。

计算机可读存储介质800可以是诸如闪存、eeprom(电可擦除可编程只读存储器)、eprom、硬盘或者rom之类的电子存储器。可选地，计算机可读存储介质800包括非瞬时性计算机可读介质(non-transitorycomputer-readablestoragemedium)。计算机可读存储介质800具有执行上述方法中的任何方法步骤的程序代码810的存储空间。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。程序代码810可以例如以适当形式进行压缩。

最后应说明的是：以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不驱使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。