权限认证方法及装置与流程

本公开涉及信息安全技术领域，具体而言，涉及一种权限认证方法及装置。

背景技术

随着科技的发展，越来越多的用户选择门禁装置，相较于传统机械锁，门禁装置大多无需使用机械钥匙，而是采用指纹、人脸、密码等方式开锁，解决了传统机械锁在忘带钥匙或钥匙丢失时给人们带来困扰的问题。但是，目前门禁装置普遍安全性不足，在房屋出租时不便于房东进行管理，尤其是长租公寓这种需要定期更换门禁装置的用户识别信息的场景，房东采用远程方式对门禁装置进行用户识别信息更换时，由于涉及无线互联和云平台，具有较大的安全隐患，一旦某款门禁装置的数据传输所使用的安全协议或云控制平台被黑客破解，所有使用该安全协议或云平台的门禁装置就都有可能在非授权状态被开启。

技术实现要素：

本公开的目的在于提供一种权限认证方法及装置，用以改善上述问题。

为了实现上述目的，本公开采用的技术方案如下：

第一方面，本公开提供了一种权限认证方法，应用于移动终端，所述移动终端与服务器通信连接，所述服务器预先存储有门禁装置的门锁识别码，所述方法包括：向所述服务器发送权限认证请求，并获取所述服务器依据所述权限认证请求生成的权限认证信息，其中，所述权限认证信息包括第一安全码、用户识别信息及权限有效期，所述第一安全码是依据所述门锁识别码生成的；在所述门禁装置的通信范围内建立与所述门禁装置的通信连接；通过与所述门禁装置的通信连接向所述门禁装置发送权限认证信息，以使所述门禁装置依据所述第一安全码对所述移动终端进行权限认证，并在权限认证通过后存储用户识别信息及权限有效期。

第二方面，本公开还提供了一种权限认证方法，应用于门禁装置，所述门禁装置的门锁识别码预先存储于服务器，所述服务器与移动终端通信连接，所述方法包括：在所述门禁装置的通信范围内建立与所述移动终端的通信连接；通过与所述移动终端的通信连接接收所述移动终端发送的权限认证信息，其中，所述权限认证信息是移动终端向服务器发送权限认证请求后服务器依据所述权限认证请求生成的，所述权限认证信息包括第一安全码、用户识别信息及权限有效期，所述第一安全码是依据所述门锁识别码生成的；依据所述第一安全码对所述移动终端进行权限认证，并在权限认证通过后更新所述用户识别信息及所述权限有效期。

第三方面，本公开还提供了一种权限认证装置，应用于移动终端，所述移动终端与服务器通信连接，所述服务器预先存储有门禁装置的门锁识别码，所述装置包括第一发送模块、第一执行模块及信息发送模块。其中，第一发送模块用于向所述服务器发送权限认证请求，并获取所述服务器依据所述权限认证请求生成的权限认证信息，其中，所述权限认证信息包括第一安全码、用户识别信息及权限有效期，所述第一安全码是依据所述门锁识别码生成的；第一执行模块用于在所述门禁装置的通信范围内建立与所述门禁装置的通信连接；信息发送模块用于通过与所述门禁装置的通信连接向所述门禁装置发送权限认证信息，以使所述门禁装置依据所述第一安全码对所述移动终端进行权限认证，并在权限认证通过后存储用户识别信息及权限有效期。

第四方面，本公开还提供了一种权限认证装置，应用于门禁装置，所述门禁装置的门锁识别码预先存储于服务器，所述服务器与移动终端通信连接，所述装置包括第二执行模块、信息接收模块及权限认证模块。其中，第二执行模块用于在所述门禁装置的通信范围内建立与所述移动终端的通信连接；信息接收模块用于通过与所述移动终端的通信连接接收所述移动终端发送的权限认证信息，其中，所述权限认证信息是移动终端向服务器发送权限认证请求后服务器依据所述权限认证请求生成的，所述权限认证信息包括第一安全码、用户识别信息及权限有效期，所述第一安全码是依据所述门锁识别码生成的；权限认证模块用于依据所述第一安全码对所述移动终端进行权限认证，并在权限认证通过后更新所述用户识别信息及所述权限有效期。

相对现有技术，本公开提供的一种权限认证方法及装置，当用户需要租房时，首先通过移动终端向服务器发送权限认证请求，并获取服务器依据权限认证请求生成的包括第一安全码、用户识别信息及权限有效期的权限认证信息；然后，申请租住成功后，移动终端在门禁装置的通信范围内建立与门禁装置的通信连接；接下来，通过移动终端与门禁装置的通信连接向门禁装置发送权限认证信息，门禁装置依据第一安全码进行对移动终端进行权限认证，并在权限认证通过后存储用户识别信息及权限有效期，从而完成门禁装置对用户识别信息及权限有效期的更新。本公开中只有处于门禁装置通信范围内的移动终端才可以建立与门禁装置的通信连接，连接成功后门禁装置再对移动终端进行权限认证，权限认证通过后再对用户识别信息及权限有效期进行存储，与现有技术相比，有效提高了权限认证中门禁装置的安全性。

为使本公开的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本公开的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本公开的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1示出了本公开提供的权限认证系统的方框示意图。

图2示出了本公开提供的移动终端的方框示意图。

图3示出了本公开提供的门禁装置的方框示意图。

图4示出了本公开提供的应用于权限认证系统的权限认证方法流程图。

图5示出了本公开提供的应用于移动终端的权限认证方法流程图。

图6示出了本公开提供的应用于门禁装置的权限认证方法流程图。

图7示出了本公开提供的第一权限认证装置的方框示意图。

图8示出了本公开提供的第二权限认证装置的方框示意图。

图标：10-移动终端；20-服务器；30-门禁装置；101-第一存储器；103-第一处理器；104-内部接口；105-第一通信单元；106-第二通信单元；301-第二处理器；302-第二存储器；303-第三通信单元；200-第一权限认证装置；201-第一发送模块；202-第一获取模块；203-请求生成模块；204-第二发送模块；205-第一执行模块；206-信息发送模块；400-第二权限认证装置；401-请求接收模块；402-第二执行模块；403-信息接收模块；404-权限认证模块。

具体实施方式

下面将结合本公开中附图，对本公开中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本公开的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本公开的实施例的详细描述并非旨在限制要求保护的本公开的范围，而是仅仅表示本公开的选定实施例。基于本公开的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本公开保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本公开的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

请参照图1，图1示出了本公开提供的权限认证系统的方框示意图。权限认证系统包括移动终端10、服务器20及门禁装置30，服务器20可通过网络与至少一个移动终端10进行通信，以实现服务器20与移动终端10之间的数据通信或交互。移动终端10可通过近场通信方式与门禁装置30建立连接，以实现门禁装置30与移动终端10之间的数据通信或交互。

在本公开中，服务器20可以是web(网站)服务器。移动终端10可以是，但不限于智能手机、个人电脑(personalcomputer，pc)、平板电脑、穿戴式移动终端、个人数字助理(personaldigitalassistant，pda)等。移动终端10的操作系统可以是，但不限于，安卓(android)系统、ios(iphoneoperatingsystem)系统、windowsphone系统、windows系统等。门禁装置30可以是，但不限于人脸识别锁、指纹锁密码锁等。

请参照图2，图2示出了本公开提供的移动终端10的方框示意图。该移动终端10包括第一存储器101、第一处理器103、内部接口104、第一通信单元105及第二通信单元106，第一存储器101、第一处理器103、内部接口104、第一通信单元105及第二通信单元106各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。

第一处理器103用于执行第一存储器101中存储的可执行模块，例如第一权限认证装置200包括的软件功能模块或计算机程序。第一权限认证装置200包括至少一个可以软件或固件(firmware)的形式存储于所述第一存储器101中或固化在所述移动终端10的操作系统中的软件功能模块。

第一存储器101可以是，但不限于，随机存取存储器(randomaccessmemory，ram)，只读存储器(readonlymemory，rom)，可编程只读存储器(programmableread-onlymemory，prom)，可擦除只读存储器(erasableprogrammableread-onlymemory，eprom)，电可擦除只读存储器(electricerasableprogrammableread-onlymemory，eeprom)等。

第一处理器103可以是一种集成电路芯片，具有信号处理能力。第一处理器103可以是通用处理器，包括中央处理器(centralprocessingunit，cpu)、网络处理器(networkprocessor，np)、语音处理器以及视频处理器等；还可以是数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

内部接口104用于将各种输入/输出装置耦合至第一处理器103以及第一存储器101。在一些实施例中，内部接口104及第一处理器103可以在单个芯片中实现。在其他一些实例中，他们可以分别由独立的芯片实现。

第一通信单元105用于实现移动终端10与服务器20之间的远距离通信，第一通信单元105可以是，但不限于2g/3g/4g等。

第二通信单元106用于实现移动终端10与门禁装置30之间的近距离通信，第二通信单元106可以是，但不限于蓝牙、wlan(wirelesslocalareanetworks，无线局域网)、nfc(nearfieldcommunication，近距离无线通讯技术)、rfid(radiofrequencyidentification，射频识别)等等。

请参照图3，图3示出了本公开提供的门禁装置30的方框示意图。该门禁装置30包括第二处理器301、第二存储器302和第三通信单元303，第二存储器302和第三通信单元303均与第二处理器301电性连接。

第二处理器301用于执行第二存储器302中存储的可执行模块，例如第二权限认证装置400包括的软件功能模块或计算机程序。第二权限认证装置400包括至少一个可以软件或固件(firmware)的形式存储于第二存储器302中的软件功能模块。第二存储器302可以是，但不限于rom、prom、eprom、eeprom等。

第二处理器301在接收到执行指令后，执行所述程序以实现本公开揭示的应用于门禁装置30的权限认证方法。第二处理器301可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，应用于门禁装置30的权限认证方法的各步骤可以通过第二处理器301中的硬件的集成逻辑电路或者软件形式的指令完成。第二处理器301可以是通用处理器，包括cpu、np等；还可以是dsp、asic、fpga或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

第三通信单元303用于与移动终端10的第二通信单元106配合，以实现移动终端10与门禁装置30之间的近距离通信，第三通信单元303可以是，但不限于蓝牙、wlan(wirelesslocalareanetworks，无线局域网)、nfc(nearfieldcommunication，近距离无线通讯技术)、rfid(radiofrequencyidentification，射频识别)等等。

第一实施例

请参照图4，图4示出了本公开提供的应用于权限认证系统的权限认证方法流程图。应用于权限认证系统的权限认证方法包括以下步骤：

步骤s1，移动终端向服务器发送权限认证请求。

在本公开中，权限认证请求可以是用户通过移动终端10向服务器20发送的房屋租住申请，权限认证请求可以包括房屋标识、权限有效期、用户识别信息等，用户识别信息可以是用来表征用户个人隐私的信息，例如密码、指纹、人脸图像等。具体来说，当用户需要租房时，首先可以通过移动终端10选定需要租住的房屋、以及输入入住时间及退房时间，即确定房屋标识及权限有效期；然后，服务器20下发提示信息至移动终端10，下发完成之后，移动终端10弹出提示用户输入用户识别信息的弹窗，例如，“请输入指纹/密码”或者“请上传人脸照片”等，用户可以依据弹窗输入用户识别信息，例如，输入密码、指纹、选定移动终端10上预先存储的照片或者利用移动终端10采集人脸图像等，移动终端10获取到用户识别信息之后，将该用户识别信息发送至服务器20。

步骤s2，移动终端获取服务器依据权限认证请求生成的权限认证信息，其中，权限认证信息包括第一安全码、用户识别信息及权限有效期，第一安全码是依据门锁识别码生成的。

在本公开中，服务器20接收到移动终端10发送的权限认证请求即房屋标识、权限有效期、用户识别信息等之后，下发提示信息至移动终端10以提示用户缴费，并在确认用户成功缴费之后，依据权限认证请求生成权限认证信息，移动终端10就能获取到该权限认证信息。

在本公开中，服务器20预先存储有房屋标识及房屋标识对应的门禁装置30的门锁识别码，门锁识别码可以是pin码等，权限认证信息包括第一安全码、用户识别信息及权限有效期，服务器20可以将房屋标识对应的门禁装置30的门锁识别码直接作为第一安全码，也可以依据门锁识别码随机生成第一安全码，第一安全码的生成过程可以是：首先，服务器20依据房屋标识，获取房屋标识对应的门禁装置30的门锁识别码(例如，pin码)，例如，35a；然后，按照预设规则，利用门禁装置30的门锁识别码生成新的字符串，预设规则可以是将门禁装置30的门锁识别码加入随机生成的一串字符串的固定位数中得到新的字符串，例如，随机生成字符串为1246789，将门禁装置30的门锁识别码的每个字符依次加入该字符串的第3、5、10位，得到新的字符串123456789a；最后，按照预设加密算法对上一步得到的新的字符串进行加密，就得到了第一安全码，预设加密算法可以是aes(advancedencryptionstandard，高级加密标准)加密算法，例如，利用aes加密算法，将新的字符串123456789a进行加密得到第一安全码。

步骤s3，移动终端向门禁装置发送安全认证请求。

在本公开中，移动终端10获取到服务器20发送的权限认证信息之后，可以通过移动终端10的第二通信单元106连接房屋标识对应的门禁装置30。具体来说，由于第二通信单元106和第三通信单元303均采用近距离通信方式，因此只有当移动终端10与门禁装置30之间的距离满足近距离通信要求(例如，10米)时，移动终端10才能向门禁装置30发送安全认证请求，例如，第二通信单元106和第三通信单元303均为蓝牙，且门禁装置30的蓝牙默认开启，当移动终端10与门禁装置30的之间的距离满足近距离通信要求(例如，10米)时，移动终端10可以通过蓝牙向门禁装置30发送安全认证请求。

在本公开中，安全认证请求可以是移动终端10依据自身的设备信息生成的，安全认证请求可以包括移动终端10的设备信息、第二安全码及检测码，移动终端10的设备信息可以包括，但不限于mac(mediaaccesscontrol，媒体访问控制)地址、电子标签、型号等；检测码可以是移动终端10从服务器20获取的固定长度和固定内容的字符串，该字符串同时预先存储于门禁装置30中，例如，可以是固定为9个字节的字符串“123_magic”；第二安全码可以是按照预设加密算法加密后的移动终端10的设备信息，预设加密算法可以是aes加密算法，例如，可以是经aes加密算法加密后的mac地址、电子标签、型号等。

作为一种实施方式，第二通信单元106和第三通信单元303可以均为蓝牙，安全认证请求可以是第二通信单元106在无线频道内发送的蓝牙报文，蓝牙报文可以包括adtype数据部分、addate数据部分及publicdeviceaddress部分，其中，adtype数据部分用于存储房屋标识对应的门禁装置30的厂商自定义字段，例如adtype＝0xff；addate数据部分用于存储移动终端10的第二安全码及检测码；publicdeviceaddress部分用于存储移动终端10的设备信息。

步骤s4，门禁装置依据安全认证请求对移动终端进行安全认证，在移动终端通过安全认证时在门禁装置的通信范围内建立与移动终端的通信连接。

在本公开中，移动终端10发送安全认证请求至门禁装置30后，门禁装置30依据安全认证请求对移动终端10进行安全认证，判断是否允许移动终端10建立连接，当移动终端10通过安全认证时门禁装置30允许移动终端10连接。具体来说，首先，判断检测码与预先存储于门禁装置30中的预设字符串是否一致，由于检测码是从服务器20获取的字符串且该字符串预先存储于门禁装置30中，故正常情况下检测码与预先存储于门禁装置30中的预设字符串必然是一致的，当判定检测码与预先存储于门禁装置30中的预设字符串一致时，读取第二安全码；然后，按照预设解密算法对第二安全码进行解密得到第一解密信息，预设解密算法与预设加密算法对应，例如，aes解密算法；最后，将第一解密信息与安全认证请求中的设备信息进行对比，当第一解密信息与设备信息一致时，判定移动终端10通过安全认证，由于对第二安全码进行解密的预设解密算法与对移动终端10的设备信息进行加密的预设加密算法是对应的，故正常情况下第一解密信息与设备信息必然一致。

作为一种实施方式，当第二通信单元106和第三通信单元303均为蓝牙，门禁装置30收到移动终端10发送的蓝牙报文时，首先检查adtype数据部分的厂商自定义字段与addate数据部分存储的检测码，判断是否允许移动终端10通过蓝牙连接门禁装置30，如果厂商自定义字段和检测码均通过检查时，则允许移动终端10通过蓝牙连接；然后，读取addate数据部分中存储的第二安全码并进行解密，检查解密后的信息与publicdeviceaddress部分存储的移动终端10的设备信息是否一致，若一致则判定移动终端10通过安全认证。

为了进一步提高移动终端10连接门禁装置30的安全性，门禁装置30在移动终端10通过安全认证之后，还需要进一步确保移动终端10在门禁装置30的通信范围(例如，2米)内时建立移动终端10与门禁装置30的通信连接，也就是只有物理距离上靠近门禁装置30的用户，才能获得门禁装置30的控制权，通信范围是由第二通信单元106和第三通信单元303之间的通信协议(例如，蓝牙、wlan等的通信协议)确定的。当移动终端10在门禁装置30的通信范围(例如，2米)内时再建立门禁装置30与移动终端10的连接，这样可以保证只有物理距离上靠近门禁装置30的用户，才能得到门禁装置30的控制权，即使服务器20或通信算法被非法分子破解，在物理距离上无法靠近门禁装置30的人，仍然无法连接门禁装置30，安全性更高。

作为一种实施方式，当第二通信单元106和第三通信单元303均为蓝牙时，门禁装置30可以检查移动终端10发送的蓝牙报文的rssi(receivedsignalstrengthindicator，接收信号的强度指示)值，当rssi值大于预设值(例如，65dbm)时，由于rssi值大于65dbm对应实际环境中无遮挡的直线距离约为2米，则判定移动终端10在门禁装置30的通信范围(例如，2米)内，此时门禁装置30建立与移动终端10的通信连接。

步骤s5，移动终端通过与门禁装置的通信连接向门禁装置发送权限认证信息。

在本公开中，移动终端10通过第二通信单元106连接门禁装置30之后，通过与门禁装置30的通信连接将权限认证信息发送至门禁装置30。

步骤s6，门禁装置依据第一安全码进行权限认证，并在权限认证通过后更新用户识别信息及权限有效期。

在本公开中，门禁装置30接收到移动终端10发送的权限认证信息之后，门禁装置30依据第一安全码对移动终端10进行权限认证，并在权限认证通过后更新用户识别信息及权限有效期。具体来说，首先，按照预设解密算法，对第一安全码进行解密得到第二解密信息；然后，按照预设规则，对第二解密信息进行字符提取，得到第一字符串，预设规则可以是对第二解密信息进行固定位数的字符提取，例如，第二解密信息为123456789a，对第二解密信息的第3、5、10位的字符进行提取，得到第一字符串35a；最后，将第一字符串与门禁装置30的门锁识别码(例如，pin码)进行比对，当所第一字符串与门锁识别码一致时，判定移动终端10通过权限认证。在对移动终端10的权限认证通过后，门禁装置30更新用户识别信息及权限有效期，在后续权限有效期内用户只需利用用户识别信息(例如，密码、指纹、人脸图像等)进行门禁装置30的开锁即可。

在本公开中，对移动终端10进行预设次数(例如，10次)的权限认证且均未通过时，门禁装置30锁定预设时间(例如，24h)，并在预设时间到达后，重新依据第一安全码对移动终端10进行权限认证。

在本公开中，如果在权限有效期内用户想要更改用户识别信息，则首先通过移动终端10向服务器20发送信息更改请求，服务器20依据信息更改请求生成新的权限认证信息，该新的权限认证信息包括第一安全码、更改后的用户识别信息、权限有效期；然后，用户通过移动终端10的第二通信单元106将新的权限认证信息发送至门禁装置30；最后，门禁装置30依据第一安全码进行权限认证，并在权限认证通过后将用户识别信息及权限有效期更新为更改后的用户识别信息及权限有效期，后续更改后的权限有效期内用户使用更改后的用户识别信息进行开锁即可。

第二实施例

请参照图5，图5示出了本公开提供的应用于移动终端10的权限认证方法流程图。应用于移动终端10的权限认证方法包括以下步骤：

步骤s101，向服务器发送权限认证请求，并获取服务器依据权限认证请求生成的权限认证信息，其中，权限认证信息包括第一安全码、用户识别信息及权限有效期，第一安全码是依据门锁识别码生成的。

在本公开中，权限认证请求可以包括房屋标识、权限有效期、用户识别信息等，用户识别信息可以是用来表征用户个人隐私的信息，例如密码、指纹、人脸图像等。服务器20预先存储有房屋标识及房屋标识对应的门禁装置30的门锁识别码，门锁识别码可以是pin码等，服务器20可以将房屋标识对应的门禁装置30的门锁识别码直接作为第一安全码，也可以依据门锁识别码随机生成第一安全码，生成第一安全码的方法详见第一实施例，在此不再赘述。

步骤s102，获取移动终端的设备信息，按照预设加密算法对设备信息进行加密得到第二安全码。

在本公开中，按照预设加密算法对移动终端10的设备信息进行加密得到第二安全码，移动终端10的设备信息可以包括，但不限于mac(mediaaccesscontrol，媒体访问控制)地址、电子标签、型号等，预设加密算法可以是aes加密算法。

步骤s103，依据移动终端的设备信息、第二安全码及检测码生成安全认证请求，其中，检测码是从服务器获取的字符串。

在本公开中，将从服务器20获取的字符串作为检测码，检测码可以是固定长度和固定内容的字符串且预先存储于门禁装置30中，再依据移动终端10的设备信息、安全码及检测码生成安全认证请求。

步骤s104，向门禁装置发送安全认证请求，以使门禁装置依据安全认证请求对移动终端进行安全认证。

步骤s104，当移动终端通过安全认证时，在门禁装置的通信范围内建立与门禁装置的通信连接。

步骤s106，通过与门禁装置的通信连接向门禁装置发送权限认证信息，以使门禁装置依据第一安全码对移动终端进行权限认证，并在权限认证通过后存储用户识别信息及权限有效期。

第三实施例

请参照图6，图6示出了本公开提供的应用于门禁装置30的权限认证方法流程图。应用于门禁装置30的权限认证方法包括以下步骤：

步骤s201，接收移动终端发送的安全认证请求，并依据安全认证请求对移动终端进行安全认证。

在本公开中，安全认证请求包括移动终端10的设备信息、第二安全码及检测码，检测码为移动终端10从服务器20获取的字符串，第二安全码为加密后的设备信息。依据安全认证请求对移动终端10进行安全认证的过程，可以包括：首先，当检测码与预先存储于门禁装置30中的预设字符串一致时，读取安全认证请求中的第二安全码；然后，按照预设解密算法对第二安全码进行解密，得到第一解密信息；最后，将第一解密信息与安全认证请求中的设备信息进行对比以在第一解密信息与设备信息一致时，判定移动终端10通过安全认证。

步骤s202，当移动终端通过安全认证时，在门禁装置的通信范围内建立与移动终端的通信连接。

在本公开中，当移动终端10通过安全认证之后，为了进一步提高移动终端10连接门禁装置30的安全性，还需要进一步确保移动终端10在门禁装置30的通信范围(例如，2米)内时建立移动终端10与门禁装置30的通信连接，也就是只有物理距离上靠近门禁装置30的用户，才能获得门禁装置30的控制权，通信范围是由第二通信单元106和第三通信单元303之间的通信协议(例如，蓝牙、wlan等的通信协议)确定的，当移动终端10在门禁装置30的通信范围(例如，2米)内时再建立门禁装置30与移动终端10的通信连接，这样可以保证只有物理距离上靠近门禁装置30的用户，才能得到门禁装置30的控制权，安全性更高。

在本公开中，可以通过获取移动终端10发送的安全认证请求的信号强度值，来判断移动终端10是否处于门禁装置30的通信范围内，当信号强度值大于预设值时判定移动终端10处于门禁装置30的通信范围(例如，2米)内，例如，当第二通信单元106为蓝牙时，门禁装置30检查移动终端10发送的蓝牙报文的rssi值，由于rssi值大于65dbm对应实际环境中无遮挡的直线距离约为2米，故只需确定蓝牙报文的rssi值大于65dbm即可。

步骤s203，通过与移动终端的通信连接接收移动终端发送的权限认证信息，其中，权限认证信息是移动终端向服务器发送权限认证请求后服务器依据权限认证请求生成的，权限认证信息包括第一安全码、用户识别信息及权限有效期，第一安全码是依据门锁识别码生成的。

步骤s204，依据第一安全码对移动终端进行权限认证，并在权限认证通过后更新用户识别信息及权限有效期。

在本公开中，首先，按照预设解密算法，对第一安全码进行解密得到第二解密信息；然后，按照预设规则，对第二解密信息进行字符提取，得到第一字符串，预设规则可以是对第二解密信息进行固定位数的字符提取，例如，第二解密信息为123456789a，对第二解密信息的第3、5、10位的字符进行提取，得到第一字符串35a；最后，将第一字符串与门禁装置30的门锁识别码进行比对以在第一字符串与门锁识别码一致时，判定移动终端10通过权限认证。

在本公开中，对移动终端10进行预设次数(例如，10次)的权限认证且均未通过时，门禁装置30锁定预设时间(例如，24h)，并在预设时间到达后，重新依据第一安全码对移动终端10进行权限认证，有效防止门禁装置30被非法分子控制。

第四实施例

请参照图7，图7示出了本公开提供的第一权限认证装置200的方框示意图。第一权限认证装置200应用于移动终端10，其包括第一发送模块201、第一获取模块202、请求生成模块203、第二发送模块204、第一执行模块205及信息发送模块206。

第一发送模块201，用于向服务器发送权限认证请求，并获取服务器依据权限认证请求生成的权限认证信息，其中，权限认证信息包括第一安全码、用户识别信息及权限有效期，第一安全码是依据门锁识别码生成的。

第一获取模块202，用于获取移动终端的设备信息，按照预设加密算法对设备信息进行加密得到第二安全码。

请求生成模块203，用于依据移动终端的设备信息、第二安全码及检测码生成安全认证请求，其中，检测码是从服务器获取的字符串。

第二发送模块204，用于向门禁装置发送安全认证请求，以使门禁装置依据安全认证请求对移动终端进行安全认证。

第一执行模块205，用于当移动终端通过安全认证时，在门禁装置的通信范围内建立与门禁装置的通信连接。

信息发送模块206，用于通过与门禁装置的通信连接向门禁装置发送权限认证信息，以使门禁装置依据第一安全码对移动终端进行权限认证，并在权限认证通过后存储用户识别信息及权限有效期。

第五实施例

请参照图8，图8示出了本公开提供的第二权限认证装置400的方框示意图。第二权限认证装置400应用于门禁装置30，其包括请求接收模块401、第二执行模块402、信息接收模块403及权限认证模块404。

请求接收模块401，用于接收移动终端发送的安全认证请求，并依据安全认证请求对移动终端进行安全认证。

在本公开中，安全认证请求包括移动终端的设备信息、第二安全码及检测码，其中，检测码为移动终端从服务器获取的字符串，第二安全码为按照预设加密算法加密后的设备信息；请求接收模块401，具体用于当检测码与预先存储于门禁装置中的预设字符串一致时，读取安全认证请求中的第二安全码；按照预设解密算法对第二安全码进行解密，得到第一解密信息，其中，预设解密算法与预设加密算法对应；将第一解密信息与安全认证请求中的设备信息进行对比以在第一解密信息与设备信息一致时，判定移动终端通过安全认证。

第二执行模块402，用于当移动终端通过安全认证时，在门禁装置的通信范围内建立与移动终端的通信连接。

信息接收模块403，用于通过与移动终端的通信连接接收移动终端发送的权限认证信息，其中，权限认证信息是移动终端向服务器发送权限认证请求后服务器依据权限认证请求生成的，权限认证信息包括第一安全码、用户识别信息及权限有效期，第一安全码是依据门锁识别码生成的。

权限认证模块404，用于依据第一安全码对移动终端进行权限认证，并在权限认证通过后更新用户识别信息及权限有效期。

在本公开中，权限认证模块404，具体用于按照预设解密算法，对第一安全码进行解密得到第二解密信息；按照预设规则，对第二解密信息进行字符提取，得到第一字符串；将第一字符串与所述门禁装置预先设置的门锁识别码进行比对以在第一字符串与门锁识别码一致时，判定移动终端通过权限认证。

本公开还提供了一种第一计算机可读存储介质，其上存储有计算机程序，该计算机程序被第一处理器103执行时实现上述第二实施例揭示的权限认证方法。

本公开还提供了一种第二计算机可读存储介质，其上存储有计算机程序，该计算机程序被第二处理器301执行时实现上述第三实施例揭示的权限认证方法。

综上所述，本公开提供的一种权限认证方法及装置，移动终端与服务器通信连接，服务器预先存储有门禁装置的门锁识别码。应用于移动终端的权限认证方法包括：向服务器发送权限认证请求，并获取服务器依据权限认证请求生成的权限认证信息，其中，权限认证信息包括第一安全码、用户识别信息及权限有效期，第一安全码是依据门锁识别码生成的；在门禁装置的通信范围内建立与门禁装置的通信连接；通过与门禁装置的通信连接向门禁装置发送权限认证信息，以使门禁装置依据第一安全码对移动终端进行权限认证，并在权限认证通过后存储用户识别信息及权限有效期。应用于门禁装置的权限认证方法包括：在门禁装置的通信范围内建立与移动终端的通信连接；通过与移动终端的通信连接接收移动终端发送的权限认证信息，其中，权限认证信息是移动终端向服务器发送权限认证请求后服务器依据权限认证请求生成的，权限认证信息包括第一安全码、用户识别信息及权限有效期，第一安全码是依据门锁识别码生成的；依据第一安全码对移动终端进行权限认证，并在权限认证通过后更新用户识别信息及权限有效期。本公开中只有处于门禁装置通信范围内的移动终端才可以建立与门禁装置的通信连接，连接成功后门禁装置再对移动终端进行权限认证，权限认证通过后再对用户识别信息及权限有效期进行存储，与现有技术相比，有效提高了权限认证中门禁装置的安全性。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本公开的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本公开各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本公开的优选实施例而已，并不用于限制本公开，对于本领域的技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本公开的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。