体功能实现,可以参考上述图2、3所示的智能终端的授权方法的各步骤,在此不再赘述。
[0124]这样,在智能终端400具体为智能手表的情况下,智能手表需要访问某一功能或服务时,在通过身份验证后,可以向其它的智能终端(比如,智能手表、手机等)发送授权请求;由其它的智能终端对该智能手表的授权请求进行担保签名之后,智能手表再将经签名的授权请求向授权服务器上传,以请求获得授权。
[0125]例如,作为权限请求者的第一智能手表,在通过身份验证之后,可以与已通过身份验证的担保者发生物理接触、或者靠近到设定的距离阈值稚嫩,以此建立NFC数据链路,并向担保者发送授权请求。其中,担保者可以是第二智能手表,或者其他可穿戴智能设备。
[0126]继而,作为担保者的第二智能手表接收到授权请求后,对接收的授权请求进行验证,验证通过后,向第一智能手表返回经自身的担保私钥签名的授权请求。这样,第一智能手表通过NFC数据链路接收到经第二智能手表的担保私钥签名的授权请求之后,可以将签名后的授权请求向授权服务器上传,以便获得访问权限。
[0127]进一步地,第一智能手表可以利用自身的预先定义的申请私钥对授权请求进行签名,继而,将经申请私钥、担保私钥共同签名的授权请求上传至授权服务器。
[0128]授权服务器利用预存的申请公钥、以及担保公钥,对授权请求上的签名进行校验,校验通过后,针对授权请求中的权限请求信息向第一智能手表反馈授权结果。
[0129]第一智能手表接收到授权服务器返回的授权结果,若授权结果为授权成功,则可以获得授权请求所针对的访问权限,使用授权请求所针对的服务或功能;否则,无法使用授权请求所针对的服务或功能。
[0130]本发明的技术方案中,相比现有的授权模式,增加了担保者的角色,将身份验证与授权过程分离,使得权限请求者要获得访问权限,除了需有合法的身份,还需要合法的担保者为其进行担保,无法在通过身份验证后直接获得其身份所预定义的访问权限,有效避免恶意使用者通过身份验证即可获得访问权限的情况,提高了访问安全性;而且,利用担保者对权限请求者发起的授权请求的担保签名,增加了攻击的难度,进一步提高了访问安全性。
[0131]进一步地,本发明的方案中,权限请求者除了可以请求其身份所预定义的访问权限,还可以根据担保者的不同请求不同的访问权限。
[0132]本申请使用的“模块”、“系统”等术语旨在包括与计算机相关的实体,例如但不限于硬件、固件、软硬件组合、软件或者执行中的软件。例如,模块可以是,但并不仅限于:处理器上运行的进程、处理器、对象、可执行程序、执行的线程、程序和/或计算机。举例来说,计算设备上运行的应用程序和此计算设备都可以是模块。一个或多个模块可以位于执行中的一个进程和/或线程内,一个模块也可以位于一台计算机上和/或分布于两台或更多台计算机之间。
[0133]本技术领域技术人员可以理解,本发明包括涉及用于执行本申请中所述操作中的一项或多项的设备。这些设备可以为所需的目的而专门设计和制造,或者也可以包括通用计算机中的已知设备。这些设备具有存储在其内的计算机程序,这些计算机程序选择性地激活或重构。这样的计算机程序可以被存储在设备(例如,计算机)可读介质中或者存储在适于存储电子指令并分别耦联到总线的任何类型的介质中,所述计算机可读介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、⑶-ROM、和磁光盘)、ROM (Read-Only Memory,只读存储器)、RAM (Random Access Memory,随即存储器)、EPROM (Erasable ProgrammableRead-Only Memory,可擦写可编程只读存储器)、EEPR0M(Electrically ErasableProgrammable Read-Only Memory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,可读介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。
[0134]本技术领域技术人员可以理解,可以用计算机程序指令来实现这些结构图和/或框图和/或流图中的每个框以及这些结构图和/或框图和/或流图中的框的组合。本技术领域技术人员可以理解,可以将这些计算机程序指令提供给通用计算机、专业计算机或其他可编程数据处理方法的处理器来实现,从而通过计算机或其他可编程数据处理方法的处理器来执行本发明公开的结构图和/或框图和/或流图的框或多个框中指定的方案。
[0135]本技术领域技术人员可以理解,本发明中已经讨论过的各种操作、方法、流程中的步骤、措施、方案可以被交替、更改、组合或删除。进一步地,具有本发明中已经讨论过的各种操作、方法、流程中的其他步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。进一步地,现有技术中的具有与本发明中公开的各种操作、方法、流程中的步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。
[0136]以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
【主权项】
1.一种智能终端的授权方法,其特征在于,包括: 第一智能终端向第二智能终端发送授权请求; 第一智能终端在所述授权请求通过第二智能终端的验证后,接收经第二智能终端的担保私钥签名的授权请求,并将签名后的授权请求上传至授权服务器; 第一智能终端在所述授权请求上的签名通过授权服务器的校验后,从授权服务器接收针对所述授权请求的授权结果。2.如权利要求1所述的方法,其特征在于,第一智能终端与第二智能终端均通过身份验证。3.如权利要求2所述的方法,其特征在于,所述接收经第二智能终端的私钥签名的授权请求之后,还包括: 第一智能终端利用自身的申请私钥对授权请求进行签名。4.如权利要求2所述的方法,其特征在于,所述将签名后的授权请求上传至授权服务器之前,还包括: 第一智能终端利用授权服务器的授权公钥对签名后的授权请求进行加密。5.如权利要求1-4任一所述的方法,其特征在于,第一智能终端与第二智能终端之间采用近场通信NFC协议。6.一种智能终端的授权系统,其特征在于,包括:授权服务器、第一智能终端和第二智能终端;其中, 第一智能终端用于向第二智能终端发送授权请求,接收到经第二智能终端的担保私钥签名的授权请求后,将签名后的授权请求上传至授权服务器;在授权请求上的签名通过授权服务器的校验后,从授权服务器接收针对授权请求的授权结果; 第二智能终端用于对接收的授权请求进行验证,验证通过后,向第一智能终端返回经自身的担保私钥签名的授权请求; 所述授权服务器用于校验授权请求上的签名,校验通过后,针对授权请求向第一智能终端反馈授权结果。7.如权利要求6所述的系统,其特征在于,第一智能终端与第二智能终端均通过身份验证。8.如权利要求7所述的系统,其特征在于,第一智能终端与第二智能终端之间采用近场通信NFC协议。9.一种智能终端,其特征在于,包括: 担保请求模块,用于向其它智能终端发起授权请求;在所述授权请求通过其它的智能终端的验证后,接收经其它智能终端的担保私钥签名的授权请求; 授权请求模块,用于将签名后的授权请求上传至授权服务器;在所述授权请求上的签名通过授权服务器的校验后,从授权服务器接收针对所述授权请求的授权结果。10.如权利要求9所述的智能终端,其特征在于,还包括: 权限担保模块,用于接收其它智能终端发送的授权请求,并对接收的授权请求进行验证,验证通过后,向其它智能终端返回经自身的担保私钥签名的授权请求。
【专利摘要】本发明提供了智能终端及其授权方法和系统,该方法包括:第一智能终端向第二智能终端发送授权请求;第一智能终端在所述授权请求通过第二智能终端的验证后,接收经第二智能终端的担保私钥签名的授权请求,并将签名后的授权请求上传至授权服务器;第一智能终端在所述授权请求上的签名通过授权服务器的校验后,从授权服务器接收针对所述授权请求的授权结果。应用本发明,可以有效提高功能或服务的访问安全性,适用于高敏感高风险的应用场景。
【IPC分类】H04L29/06, H04L9/32
【公开号】CN105323245
【申请号】CN201510629209
【发明人】孙国峰
【申请人】北京元心科技有限公司
【公开日】2016年2月10日
【申请日】2015年9月29日