法的担保者,接收到第一智能终端101发送的授权请求后,可以先对授权请求的发送方的身份数据、以及针对发送方所请求的访问权限的权限请求信息进行验证,以此判断其是否可以为第一智能终端101进行担保。
[0085]具体地,第二智能终端102对授权请求中第一智能终端101的身份数据,以及权限请求信息所针对的访问权限进行验证,以此决定其是否可以为第一智能终端101进行担保。
[0086]验证通过后,可以利用自身的担保私钥对接收的授权请求进行签名,并通过NFC数据链路将经签名后的授权请求向第一智能终端101返回。
[0087]S203:第一智能终端将签名后的授权请求上传至授权服务器。
[0088]具体地,第一智能终端101通过NFC数据链路接收到经第二智能终端102的担保私钥签名的授权请求之后,可以将签名后的授权请求向授权服务器103上传,以便获得访问权限。
[0089]进一步地,本发明的方案中,第一智能终端101在将经第二智能终端102的担保私钥签名的授权请求向授权服务器103上传之前,可以利用自身的预先定义的申请私钥对授权请求进行签名。
[0090]继而,第一智能终端101可以将经申请私钥、担保私钥共同签名的授权请求上传至授权服务器103,以便于后续授权服务器103能够根据申请私钥对权限请求者的身份进行再次验证。
[0091]实际应用中,在第一智能终端101为合法的权限请求者的情况下,授权服务器103中应存储有与第一智能终端101的申请私钥对应的申请公钥。
[0092]同样,在第二智能终端102为合法的担保者的情况下,授权服务器103中应存储有与第二智能终端102的担保私钥对应的担保公钥。
[0093]更优地,实际应用中,为了保障信息传输的安全性,第一智能终端101在将签名后的授权请求上传至授权服务器103之前,还可以利用预设的授权公钥对经签名后的授权请求进行加密,避免签名等信息被窃取。其中,第一智能终端101使用的授权公钥由授权服务器103预先公开发行配送,相应地,授权服务器103具有与该授权公钥对应的授权私钥,用于对经授权公钥加密的信息进行解密。
[0094]S204:授权服务器校验授权请求上的签名,校验通过后,针对授权请求中的权限请求信息向第一智能终端反馈授权结果。
[0095]本步骤中,授权服务器103接收到第一智能终端101上传的经签名的授权请求后,可以首先对授权请求上的签名进行校验,在校验通过后,读取授权请求中的权限请求信息,并根据读取的权限请求信息,决定是否授权。之后,针对权限请求信息向第一智能终端101反馈授权结果。
[0096]实际应用中,若授权服务器103从第一智能终端101接收到的授权请求是经过授权公钥加密的,则授权服务器103在校验授权请求上的签名之前,需首先利用自身的授权私钥解密出签名后的授权请求。
[0097]继而,对授权请求上的签名进行校验。具体地,在授权请求上的签名仅包括第二智能终端102的担保私钥的情况下,授权服务器103可以利用预存的担保公钥对第二智能终端102的担保私钥进行校验。而在授权请求上的签名包括第二智能终端102的担保私钥、以及第一智能终端101的申请私钥的情况下,授权服务器103可以利用预存的申请公钥、以及担保公钥,对授权请求上的签名进行校验。
[0098]实际应用中,授权服务器103与第一智能终端101之间可以采用其他通讯协议,通过互联网或3G、4G网络连接。比如,可以采用PPTP (Point to Point Tunneling Protocol,点对点隧道协议)、L2TP(Layer 2Tunneling Protocol,第二层隧道协议)等安全通信协议保护数据的安全。
[0099]S205:第一智能终端从授权服务器接收针对授权请求的授权结果。
[0100]具体地,第一智能终端101接收到授权服务器103返回的授权结果,若授权结果为授权成功,则可以获得授权请求所针对的访问权限,使用授权请求所针对的服务或功能;否贝1J,无法使用授权请求所针对的服务或功能。
[0101]本发明的方案中,通过第一智能终端101、第二智能终端102的身份验证,可以保障权限请求者和担保者的合法身份,而通过对第二智能终端102的授权公钥的验证,可以检测担保者对权限请求者的授权的合法性。相比现有“认证即授权”的模式,本发明的方案中,恶意使用者即使通过身份验证也无法直接获得访问权限,有效地减小敏感功能或服务的恶意访冋风险,提尚了安全性。
[0102]下面将从权限请求者的角度来说明本发明的技术方案。
[0103]基于上述智能终端的授权系统,本发明提供了一种智能终端的授权方法,其具体流程如图3所示,可以包括如下步骤:
[0104]S301:第一智能终端向第二智能终端发送授权请求。
[0105]其中,第一智能终端101、第二智能终端102均通过身份验证,且可以分别利用如下至少之一的身份验证数据进行身份验证:
[0106]密码、手势、用户的生物特征、设备的硬件特征、设备持有的数字证书。
[0107]第一智能终端101与第二智能终端102之间采用NFC协议。
[0108]S302:第一智能终端在授权请求通过第二智能终端的验证后,接收经第二智能终端的担保私钥签名的授权请求,并将签名后的授权请求上传至授权服务器。
[0109]更优地,第一智能终端101接收经第二智能终端的私钥签名的授权请求之后,还可以利用自身的申请私钥对授权请求进行签名。
[0110]更优地,第一智能终端101在将签名后的授权请求上传至授权服务器103之前,还可以利用授权服务器的授权公钥对签名后的授权请求进行加密。
[0111]S303:第一智能终端在授权请求上的签名通过授权服务器的校验后,从授权服务器接收针对授权请求的授权结果。
[0112]具体地,第一智能终端101接收授权服务器103返回的授权结果,若授权结果为授权成功,则第一智能终端101可以使用其请求获取的访问权限所对应的服务。
[0113]本发明实施例中,图3所示智能终端的授权方法中的步骤S301-S303的具体实现,可以参考图2所示智能终端的授权方法中的步骤S201-S205。
[0114]实际应用中,上述的第一、二智能终端的功能可以同时存在于一个智能终端中;也就是说,同一个智能终端既可以作为权限请求者,也可以作为担保者。本发明的智能终端具体可以为PC (Personal Computer,个人电脑)、手机、PDA (Personal Digital Assistant,个人数字助理)、智能可穿戴设备(比如,智能手表)等。
[0115]基于上述智能终端的授权方法,本发明还提供了一种智能终端400,如图4a所示,智能终端可以包括:担保请求模块401、授权请求模块402。
[0116]其中,担保请求模块401用于向其它智能终端发起授权请求;在授权请求通过其它智能终端的验证后,接收经其它智能终端的担保私钥签名的授权请求。
[0117]实际应用中,针对不同的访问权限,可以设定不同的担保组;担保组中的担保者可以对需要获取该担保组所对应的访问权限的权限请求者进行担保。
[0118]因此,本发明的方案中,其它智能终端可以从发起的授权请求所针对的访问权限所对应的担保组中进行选择;选择好作为担保者的其它的智能终端之后,智能终端400中的担保请求模块401可以采用NFC协议与其它智能终端进行通信,将发起的授权请求向其它智能终端发送。
[0119]授权请求模块402用于将担保请求模块401接收的签名后的授权请求上传至授权服务器;在授权请求上的签名通过授权服务器的校验后,从授权服务器接收针对授权请求的授权结果。
[0120]其中,智能终端400中的授权请求模块402可以采用PPTP、L2TP等安全通信协议与授权服务器进行通信。
[0121]实际应用中,智能终端400也可以作为担保者为其它智能终端进行担保。进一步地,本发明的方案中,如图4b所示,智能终端400还可以包括:权限担保模块403。
[0122]权限担保模块403用于接收其它的智能终端发送的授权请求,并对接收的授权请求进行验证,验证通过后,向其它的智能终端返回经自身的担保私钥签名的授权请求。
[0123]本发明的方案中,智能终端400中各模块的具