基于加密密钥和设备指纹的权限认证方法、装置及系统与流程

本申请涉及计算机技术领域，尤其涉及一种基于加密密钥和设备指纹的权限认证方法、装置及系统。

背景技术：

随着互联网的兴起，越来越多的涉及到个人信息、事务处理或财产收支等事宜可以在互联网上完成。但是，考虑到互联网的共享特性，可能会存在黑客入侵攻击，因此，为了保证用户的个人信息及财产等方面的安全，在大多数的事宜处理场景需要进行用户身份验证，在验证通过后才可以允许使用相应的服务和账号。

然而，目前的用户身份验证，一般是仅对用户账号及密码的验证，或者还增加有手机短信验证码的验证，但是，一旦黑客等攻击者破解了用户账号对应的密码，并使用电信拦截技术或干扰技术，或者利用木马程序，截获短信验证码；就可以伪装成用户顺利通过用户身份验证，进而盗取用户信息，甚至盗取用户财产。

因此，鉴于当前的权限认证方案并不安全，亟需找到一种新的权限认证方案。

技术实现要素：

本申请实施例提供一种基于加密密钥和设备指纹的权限认证方法、装置及系统，用以解决现有技术中存在的不安全的问题。

本申请实施例采用下述技术方案：

一种基于加密密钥和设备指纹的权限认证方法，包括：

发送携带有账号标识的权限认证请求给认证服务器；

接收所述认证服务器返回的第一验证码，所述第一验证码与所述账号标识相对应；

根据本地存储的加密密钥和设备指纹以及所述第一验证码，生成携带有所述账号标识的第二验证码，并发送给所述认证服务器，以使得所述认证服务器对所述第二验证码进行第一校验，并在第一校验成功后对解析出的第一验证码进行第二校验；

接收第二校验成功后返回的权限确认通知。

可选地，根据本地存储的加密密钥和设备指纹以及所述第一验证码，生成携带有所述账号标识的第二验证码，具体包括：

采用所述加密密钥，对所述第一验证码和自身的设备指纹进行加密处理，生成携带有账号标识的第二验证码。

可选地，在发送所述权限认证请求之前，所述方法还包括：

发送携带有账号标识的绑定请求给认证服务器；

接收所述认证服务器返回的第三验证码，所述第三验证码与所述账号标识相对应；

根据所述第三验证码以及账号标识生成第四验证码，并发送给所述认证服务器进行校验；

接收所述认证服务器在校验成功后发送的加密密钥；其中，所述加密密钥与所述账号标识相对应。

生成设备指纹，并发送给所述认证服务器。

可选地，所述加密密钥具体为采用白盒加密技术生成的密钥。

一种基于加密密钥和设备指纹的权限认证方法，包括：

接收携带有账号标识的权限认证请求；

生成与所述账号标识相对应的第一验证码，并发送给权限认证装置；

接收携带有账号标识的第二验证码，对所述第二验证码进行第一校验，并在第一校验成功后对解密出的第一验证码进行第二校验，其中，所述第二验证码是权限认证装置根据本地存储的加密密钥和设备指纹以及所述第一验证码生成；

在第二校验成功后向所述权限认证装置返回权限确认通知。

可选地，对所述第二验证码进行第一校验，并在第一校验成功后对解密出的第一验证码进行第二校验，具体包括：

对所述第二验证码进行解密，并对解密出的设备指纹进行校验，以实现第一校验；

在第一校验成功后对解密出的第一验证码进行第二校验。

可选地，对所述第二验证码进行解密，并对解密出的设备指纹进行校验，具体包括：

查找存储在本地且与所述第二验证码存在相同账号标识的加密密钥，根据查找到的加密密钥对所述第二验证码进行解密；

查找存储在本地且与所述第二验证码存在相同账号标识的设备指纹，并将查找到的设备指纹与解密出的设备指纹进行校验；

和/或，

在第一校验成功后对解密出的第一验证码进行第二校验，具体包括：

查找存储在本地且与所述第二验证码存在相同账号标识的第一验证码，将查找到的第一验证码与解密出的第一验证码进行校验。

可选地，在接收所述权限认证请求之前，所述方法还包括：

接收携带有账号标识的绑定请求；

生成与所述账号标识相对应的第三验证码，并发送给权限认证装置；

接收第四验证码，并对所述第四验证码进行校验，其中，所述第四验证码为所述权限认证装置根据所述第三验证码以及账号标识生成；

在校验成功后发送加密密钥给所述权限认证装置，所述加密密钥与所述账号标识相对应；

接收所述权限认证装置发送的设备指纹。

可选地，所述加密密钥具体为采用白盒加密技术生成的密钥。

一种权限认证装置，包括：

第一发送单元，用于发送携带有账号标识的权限认证请求给认证服务器；

第一接收单元，用于接收所述认证服务器返回的第一验证码，所述第一验证码与所述账号标识相对应；

所述第一发送单元，还用于根据本地存储的加密密钥和设备指纹以及所述第一验证码，生成携带有所述账号标识的第二验证码，并发送给所述认证服务器，以使得所述认证服务器对所述第二验证码进行第一校验，并在第一校验成功后对解析出的第一验证码进行第二校验；

所述第一接收单元，还用于接收第二校验成功后返回的权限确认通知。

一种权限认证服务器，包括：

第二接收单元，用于接收携带有账号标识的权限认证请求；

第二发送单元，用于生成与所述账号标识相对应的第一验证码，并发送给权限认证装置；

所述第二接收单元，还用于接收携带有账号标识的第二验证码，对所述第二验证码进行第一校验，并在第一校验成功后对解密出的第一验证码进行第二校验，其中，所述第二验证码是权限认证装置根据本地存储的加密密钥和设备指纹以及所述第一验证码生成；

所述第二发送单元，还用于在第二校验成功后向所述权限认证装置返回权限确认通知。

一种权限认证系统，包括：权限认证装置和权限认证服务器；其中，

所述权限认证装置，用于发送携带有账号标识的权限认证请求给认证服务器；接收所述认证服务器返回的第一验证码，所述第一验证码与所述账号标识相对应；根据本地存储的加密密钥和设备指纹以及所述第一验证码，生成携带有所述账号标识的第二验证码，并发送给所述认证服务器；接收第二校验成功后返回的权限确认通知；

所述权限认证服务器，用于接收携带有账号标识的权限认证请求；生成与所述账号标识相对应的第一验证码，并发送给权限认证装置；接收携带有账号标识的第二验证码，对所述第二验证码进行第一校验，并在第一校验成功后对解密出的第一验证码进行第二校验；在第二校验成功后向所述权限认证装置返回权限确认通知。

本申请实施例采用的上述至少一个技术方案能够达到以下有益效果：

通过上述技术方案中涉及到的信息交互可知，终端设备将第一验证码和设备指纹采用加密密钥进行加密得到第二验证码，并将该第二验证码发送给认证服务器进行权限认证，这其中就包含了三层认证，第一层是加密密钥的验证，第二层是设备指纹的验证，第三层是第一验证码的验证，只有每一层校验成功后，才可以确认权限认证通过，后续可以根据具体的服务内容进行支付密码验证或登录密码验证等。可见，本申请相比于现有技术中仅采用短信验证码进行权限验证的方案而言，验证的层次或内容较多，给攻击者的破解工作增加了难度，提升了权限认证的安全性以及可靠性，进而，保证用户使用服务时的性能安全和信息安全。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请中权限认证方案所适用的应用场景下的系统架构示意图；

图2为本申请实施例提供的权限认证方法的步骤示意图之一；

图3为本申请实施例提供的权限认证方法的步骤示意图之二；

图4为本申请实施例提供的权限认证方法的步骤示意图之三；

图5为本申请实施例提供的权限认证方法的步骤示意图之四；

图6为本申请实施例提供的权限认证方法的交互流程图之一；

图7为本申请实施例提供的权限认证方法的交互流程图之二；

图8为本申请实施例提供的权限认证装置的模块示意图；

图9为本申请实施例提供的认证服务器的模块示意图；

图10为本申请实施例提供的权限认证系统的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

以下结合附图，详细说明本申请各实施例提供的技术方案。

在本申请中，所涉及的方案主要适用于权限认证的场景中，例如：银行交易、账号登录、账单支付等涉及到需要对用户身份信息进行验证的实用场景。

进一步，所涉及的权限认证方案可适用于图1所示的系统架构，该系统主要包括：终端设备11，认证服务器12，其中，认证服务器12可以兼容在用户所实施操作所对应的服务器内，例如，被部署在银行系统服务器中，或者，被部署在某聊天工具的登录系统服务器中；此外，认证服务器12还可以理解为银行系统服务器或者某聊天工具的登录系统服务器。终端设备11和认证服务器12通过已建立的无线通信链路或有线通信链路进行信息交互，以实现对使用终端设备11进行服务请求的用户权限的认证。

下面结合实施例对本申请所涉及的权限认证方案进行详细介绍，需要说明的是，以下涉及到的所有内容仅作为解释本申请方案所提出，并不对方案的使用场景及实现方式进行限定。

实施例一

如图2所示为本申请实施例提供的权限认证方法步骤示意图，主要基于加密密钥和设备指纹进行权限认证，该方法的执行主体为终端设备，例如可以为手机、pad或其他计算机设备，该方法主要包括以下步骤：

步骤21：发送携带有账号标识的权限认证请求给认证服务器。

其中，本步骤21涉及的账号标识可以理解为能够区分用户的标识，例如：手机号、身份证号等，或者根据用户信息生成的能够区分用户的序列号、二维码等。

另外，本步骤中的权限认证请求可由用户在进行登录或进行支付等服务请求时发起，该权限认证请求具体可以根据用户点击显示界面的控件或语音输入生成。

步骤22：接收认证服务器返回的第一验证码，所述第一验证码与所述账号标识相对应。

其中，在认证服务器侧，该第一验证码与认证服务器接收到的权限认证请求中携带的账号标识相对应。而该第一验证码具体可以包含数字、字母、特殊符号等字符的任意排列组合，也可以单独包含数字或者字母或者特殊符号；且包含的字符数目不限。例如，第一验证码可以为：1ac4。

步骤23：根据本地存储的加密密钥和设备指纹以及所述第一验证码，生成携带有所述账号标识的第二验证码，并发送给所述认证服务器，以使得所述认证服务器对所述第二验证码进行第一校验，并在第一校验成功后对解析出的第一验证码进行第二校验。

其中，本地存储的加密密钥是在设备绑定时同步认证服务器侧的加密密钥得来的，而设备指纹是根据该终端设备的安卓id(androidid)、主板(board)、系统定制商(brand)、指令集(cpu_abi)、设置参数(device)、硬件制造商(manufacturer)、手机制造商(product)、硬件序列号(serial)等参数生成，此外，还可以包含屏幕大小以及终端设备的帆布指纹信息等。具体生成规则可以按照overcookie实现或者其他生成规则。

可选地，步骤23在根据本地存储的加密密钥和设备指纹以及所述第一验证码，生成携带有所述账号标识的第二验证码，具体执行为：采用所述加密密钥，对所述第一验证码和自身的设备指纹进行加密处理，生成携带有账号标识的第二验证码。

步骤24：接收第二校验成功后返回的权限确认通知。

其实，这里仅是对用户的一个权限确认反馈，告知用户已经顺利通过权限认证，或者已经在通过权限认证后进行了相应的服务，例如，确认支付、确认登录等。

通过上述技术方案中涉及到的信息交互可知，终端设备将第一验证码和设备指纹采用加密密钥进行加密得到第二验证码，并将该第二验证码发送给认证服务器进行权限认证，这其中就包含了三层认证，第一层是加密密钥的验证，若正确解密出加密内容，则确定第一层校验成功，之后进行第二层验证，即设备指纹的校验，若比对相同则第二层校验成功，再次进行第三层验证，即解密出的第一验证码的校验，只有第三层校验成功后，才可以确认权限认证通过，后续可以根据具体的服务内容进行支付密码验证或登录密码验证等。可见，本申请相比于现有技术中仅采用短信验证码进行权限验证的方案而言，验证的层次或内容较多，给攻击者的破解工作增加了难度，提升了权限认证的安全性以及可靠性，进而，保证用户使用服务时的性能安全。

可选地，在步骤21之前，参照图3所示，该权限认证方法还包括：

步骤31：发送携带有账号标识的绑定请求给认证服务器；

步骤32：接收所述认证服务器返回的第三验证码，所述第三验证码与所述账号标识相对应；

步骤33：根据所述第三验证码以及账号标识生成第四验证码，并发送给所述认证服务器进行校验；

步骤34：接收所述认证服务器在校验成功后发送的加密密钥；其中，所述加密密钥与所述账号标识相对应；

步骤35：生成设备指纹，并发送给认证服务器。

其中，步骤34和步骤35的执行先后顺序并不做限定，步骤34和步骤35还可以同时进行。另外，需要说明的是，本申请中所涉及到的已绑定的设备指纹和加密密钥的方式并不限定于采用上述步骤31-步骤35，也可以采用其他方式预存绑定。

可选地，所述加密密钥具体为采用白盒加密技术生成的密钥。

其中，可具体实现为：在认证服务器侧部署有白盒加密技术，可在认证服务器校验成功后，开始采用白盒加密技术，从加密白盒中随机获取加密密钥；这种即时生成的方式能够防止加密密钥被恶意攻击或篡改，保证加密密钥的安全；

更为显著的效果是，本申请中的加密密钥是采用白盒加密技术生成，其作为绑定信息而言，除了能够完善绑定信息这一优势外，还可以强化绑定信息的重要性。另外，考虑到白盒加密是将密钥信息隐藏在加密库(即为上述加密白盒)中，因此，在任何阶段，密钥均以一个巨大的查找表的形式存在，即只能输入明文得到密文，或者相反操作得到明文。在这样的情境下，入侵者无法得到隐藏在查找表背后的密钥，从而保证了权限认证以及信息的安全。

进而，当步骤22采用上述白盒加密技术产生的加密密钥对设备指纹和第一验证码进行处理时，可具体执行为：采用本地的白盒密钥对设备指纹和第一验证码进行加密处理，得到消息密文，即为第二验证码。该第二验证码中隐含有白盒密钥的校验、设备指纹的校验以及第一验证码的校验。因此，相比而言，其验证的层次较多，不易被攻击破解，进而实现的权限认证更为安全可靠。

可选地，在本申请的步骤22中，接收认证服务器返回的第一验证码，具体可以通过基站回传的方式实现。例如，认证服务器将第一验证码发送给基站，基站通过查找相应的手机号(可作为账号标识)，为该手机号对应的终端设备发送短信通知或语音通知。其实，本申请中第一验证码的传输方式并不限于采用基站回传的方式，还可以包括其他的以通信链路为基础的传输方式。

如图4所示为本申请实施例提供的另一权限认证方法步骤示意图，主要基于加密密钥和设备指纹进行权限认证，该方法的执行主体为认证服务器，主要包括：

步骤41：接收携带有账号标识的权限认证请求。

需要说明的是，该账号标识能够被认证服务器识别，并根据该账号标识匹配出用户希望认证的内容。例如，在银行交易场景中，该账号标识可以为手机号，该手机号会伴随用户发起的支付请求一并发送给认证服务器，认证服务器根据手机号匹配出用户早前设置的用于支付的银行卡信息，以便于进行后续的确认支付。

步骤42：生成与所述账号标识相对应的第一验证码，并发送给权限认证装置。

其实，在本步骤中，认证服务器可随机生成第一验证码，该第一验证码的格式与上述图2对应的方案中的格式相同。

步骤43：接收携带有账号标识的第二验证码，对所述第二验证码进行第一校验，并在第一校验成功后对解密出的第一验证码进行第二校验，其中，所述第二验证码是权限认证装置根据本地存储的加密密钥和设备指纹以及所述第一验证码生成。

可选地，该步骤43在对所述第二验证码进行第一校验，并在第一校验成功后对解密出的第一验证码进行第二校验时，可具体之行为：对所述第二验证码进行解密，并对解密出的设备指纹进行校验，以实现第一校验；在第一校验成功后对解密出的第一验证码进行第二校验。其实，第一校验中隐含有两次校验。

可选地，在对所述第二验证码进行解密，并对解密出的设备指纹进行校验，具体执行为：

第一步，查找存储在本地且与所述第二验证码存在相同账号标识的加密密钥，根据查找到的加密密钥对所述第二验证码进行解密；

第二步，查找存储在本地且与所述第二验证码存在相同账号标识的设备指纹，并将查找到的设备指纹与解密出的设备指纹进行校验；

和/或，

在第一校验成功后对解密出的第一验证码进行第二校验，具体执行为：

查找存储在本地且与所述第二验证码存在相同账号标识的第一验证码，将查找到的第一验证码与解密出的第一验证码进行校验。

在本申请中，认证服务器接收到的第二验证码，并不确定是不是账号标识对应的终端设备发送来的，因此，需要根据账号标识查找之前是否预存有对应该账号标识的加密密钥，若查找不到，那么确定本次权限认证请求是非法的，不允许发送请求的用户享受进一步的服务。若查找到，则开始进行本申请中重要的三次校验：

第一次校验：根据该加密密钥对第二验证码进行解密，若解密失败，例如解密出的信息无法读取或者无法进行解密处理，则确定该加密密钥校验失败，不允许进行后续的设备指纹校验；若能够得到解密出的第一验证码和设备指纹，则确定该加密密钥的校验成功，允许对解密出的设备指纹进行校验；

第二次校验：根据账号标识查找之前是否预存有对应该账号标识的设备指纹，若查找不到，则确定本次权限认证请求是非法的，若查找到，则将查找到的设备指纹与解密出的设备指纹进行比对，若相同，则校验成功，允许对解密出的第一验证码进行校验；否则，校验失败。

第三次校验：根据账号标识查找之前是否预存有对应该账号标识的第一验证码，若查找不到，则确定本次权限认证请求是非法的，若查找到，则将查找到的第一验证码与加密出的第一验证码进行比对，若相同，则校验成功，确定通过权限认证，允许进行后续的账单支付或账号登录。否则，校验失败。

其实，在每次校验失败后，都可以向终端设备返回权限认证失败的通知。

步骤44：在第二校验成功后向所述权限认证装置返回权限确认通知。

需要说明的是，在本申请中，在第二校验(第三次校验)成功后，即可确认权限认证成功，允许用户进行相应业务。一般情况下，可以在用户发起业务请求之前，进行上述权限认证过程。其实，考虑到这样就可能将权限认证与业务请求隔离开，那么即使权限认证通过后，黑客也可以通过在业务请求阶段进行攻击。为此，可以将业务请求与权限认证结合起来，即在用户发起业务请求的时候即认为同时发起了权限认证请求，同时，在终端设备返回验证码的同时也会提交业务信息，例如：账单详情与支付密码；账号昵称与登录密码等。这样，发送给认证服务器，且在认证服务器权限认证通过后，即可根据业务信息进行账单支付或账号登录业务。

因此，本步骤中返回的权限确认通知，可以理解为仅是在通过权限认证后发送的通知消息，例如：“权限认证成功！”或者，也可以理解为是在通过权限认证且进行业务处理后发送的通知消息，例如：“支付成功！”，这里隐含有权限认证成功的信息。

可选地，在步骤41之前，参照图5所示，所述方法还包括：

步骤51：接收携带有账号标识的绑定请求；

步骤52：生成与所述账号标识相对应的第三验证码，并发送给权限认证装置；

步骤53：接收第四验证码，并对所述第四验证码进行校验，其中，所述第四验证码为所述权限认证装置根据所述第三验证码以及账号标识生成；

步骤54：在校验成功后发送加密密钥给所述权限认证装置，所述加密密钥与所述账号标识相对应；

步骤55：接收所述权限认证装置发送的设备指纹。

可选地，所述加密密钥具体为采用白盒加密技术生成的密钥。考虑到白盒加密是将密钥信息隐藏在加密库(即为上述加密白盒)中，因此，在任何阶段，密钥均以一个巨大的查找表的形式存在，即只能输入明文得到密文，或者相反操作得到明文。在这样的情境下，入侵者无法得到隐藏在查找表背后的密钥，从而保证了权限认证以及信息的安全。

下面以具体的应用场景为例，对上述权限认证方案进一步说明。

参照图6所示，为银行交易场景中权限认证的交互流程图，该权限认证的交互场景中主要包括：终端设备(部署有设备绑定装置)a、银行服务器b、安全服务器c、基站d。具体实现流程如下：

步骤601：终端设备a发起支付请求，希望支付账单a；

步骤602：银行服务器b生成第一验证码，并发送；

步骤603：基站d通过短信或语音发送第一验证码；

步骤604：终端设备a确认支付密码和账单a；

步骤605：终端设备a采用白盒密钥对第一验证码、设备指纹进行加密，生成第二验证码；

步骤606：终端设备a向安全服务器c发送第二验证码；同时向银行服务器b发送支付密码和账单a；(两条传输都有账号标识的传输)图中示出的发送第二验证码的步骤与发送支付密码和账单a的步骤是有先后顺序的，但实际上两者的先后顺序并不做限定。

步骤607：安全服务器c解密第二验证码，并校验解密出的设备指纹；

具体地，在本步骤中，安全服务器c首先根据账号标识查找到该账号标识对应的白盒密钥，然后进行解密，得到解密出的第一验证码和解密出的设备指纹。接着，再次根据账号标识查找到该账号标识对应的设备指纹，将查找到的设备指纹与解密出的设备指纹进行比对校验。

步骤608：安全服务器c在设备指纹校验成功后发送解密出的第一验证码；

步骤609：银行服务器b根据之前接收到的账号标识查找到该账号标识对应的第一验证码，将查找到的第一验证码与解密出的第一验证码进行比对校验。其实，本步骤还可以同时对支付密码进行校验。从而，增加校验的可靠性和安全性。

步骤610：在第一验证码和支付密码均校验成功后，完成该账单支付，并返回支付确认通知。

参照图7所示，为账号登录场景中权限认证的交互流程图，该权限认证的交互场景中主要包括：终端设备(部署有设备绑定装置)a、业务服务器b、安全服务器c、基站d。具体实现流程如下：

步骤701：终端设备a发起登录请求；

步骤702：业务服务器b生成第一验证码，并发送；

步骤703：基站d通过短信或语音发送第一验证码；

步骤704：终端设备a确认登录密码；

步骤705：终端设备a采用白盒密钥对第一验证码、设备指纹以及登录密码进行加密，生成第二验证码；

步骤706：终端设备a向安全服务器c发送第二验证码；

步骤707：安全服务器c解密第二验证码，并校验解密出的设备指纹；

具体地，在本步骤中，安全服务器c首先根据账号标识查找到该账号标识对应的白盒密钥，然后进行解密，得到解密出的第一验证码和解密出的设备指纹以及解密出的登录密码。接着，再次根据账号标识查找到该账号标识对应的设备指纹，将查找到的设备指纹与解密出的设备指纹进行比对校验。

步骤708：安全服务器c在设备指纹校验成功后发送解密出的第一验证码和解密出的登录密码；

步骤709：银行服务器b根据之前接收到的账号标识查找到该账号标识对应的第一验证码，将查找到的第一验证码与解密出的第一验证码进行比对校验。同时还对登录密码进行校验。从而，增加校验的可靠性和安全性。

步骤710：在第一验证码和登录密码均校验成功后，完成该账单登录，并返回登录确认通知。

实施例二

与上述权限认证方法属于同一发明构思，本申请还提供了执行上述方法的装置。

参照图8所示，一种权限认证装置，包括：

第一发送单元81，用于发送携带有账号标识的权限认证请求给认证服务器；

第一接收单元82，用于接收所述认证服务器返回的第一验证码，所述第一验证码与所述账号标识相对应；

所述第一发送单元81，还用于根据本地存储的加密密钥和设备指纹以及所述第一验证码，生成携带有所述账号标识的第二验证码，并发送给所述认证服务器，以使得所述认证服务器对所述第二验证码进行第一校验，并在第一校验成功后对解析出的第一验证码进行第二校验；

所述第一接收单元82，还用于接收第二校验成功后返回的权限确认通知。

可选地，所述第一发送单元81在根据本地存储的加密密钥和设备指纹以及所述第一验证码，生成携带有所述账号标识的第二验证码时，具体用于采用所述加密密钥，对所述第一验证码和自身的设备指纹进行加密处理，生成携带有账号标识的第二验证码。

可选地，所述第一发送单元，还用于在发送所述权限认证请求之前，发送携带有账号标识的绑定请求给认证服务器；所述第一接收单元，用于接收所述认证服务器返回的第三验证码，所述第三验证码与所述账号标识相对应；所述第一发送单元，用于根据所述第三验证码以及账号标识生成第四验证码，并发送给所述认证服务器进行校验；所述第一接收单元，用于接收所述认证服务器在校验成功后发送的加密密钥；其中，所述加密密钥与所述账号标识相对应；所述第一发送单元，用于生成设备指纹，并发送给所述认证服务器。其实，该方案的目的是在认证服务器以及终端设备之间同步绑定加密密钥和设备指纹，在终端设备中建立账号标识与加密密钥的对应关系以及在认证服务器中建立账号标识与设备指纹的对应关系。

可选地，基于上述任一方案，所述加密密钥具体为采用白盒加密技术生成的密钥。

如图9所示，为本申请实施例提供的权限认证服务器的模块示意图，该认证服务器包括：

第二接收单元91，用于接收携带有账号标识的权限认证请求；

第二发送单元92，用于生成与所述账号标识相对应的第一验证码，并发送给权限认证装置；

所述第二接收单元91，还用于接收携带有账号标识的第二验证码，对所述第二验证码进行第一校验，并在第一校验成功后对解密出的第一验证码进行第二校验，其中，所述第二验证码是权限认证装置根据本地存储的加密密钥和设备指纹以及所述第一验证码生成；

所述第二发送单元92，还用于在第二校验成功后向所述权限认证装置返回权限确认通知。

可选地，所述第二接收单元91在对所述第二验证码进行第一校验，并在第一校验成功后对解密出的第一验证码进行第二校验时，具体用于：

对所述第二验证码进行解密，并对解密出的设备指纹进行校验，以实现第一校验；

在第一校验成功后对解密出的第一验证码进行第二校验。

可选地，所述第二接收单元91在对所述第二验证码进行解密，并对解密出的设备指纹进行校验时，具体用于：

查找存储在本地且与所述第二验证码存在相同账号标识的加密密钥，根据查找到的加密密钥对所述第二验证码进行解密；

查找存储在本地且与所述第二验证码存在相同账号标识的设备指纹，并将查找到的设备指纹与解密出的设备指纹进行校验；

和/或，

所述第二接收单元91在第一校验成功后对解密出的第一验证码进行第二校验时，具体用于：

查找存储在本地且与所述第二验证码存在相同账号标识的第一验证码，将查找到的第一验证码与解密出的第一验证码进行校验。

可选地，所述第二接收单元91在接收所述权限认证请求之前，还用于接收携带有账号标识的绑定请求；以及，所述第二发送单元92，用于生成与所述账号标识相对应的第三验证码，并发送给权限认证装置；以及，所述第二接收单元91，用于接收第四验证码，并对所述第四验证码进行校验，其中，所述第四验证码为所述权限认证装置根据所述第三验证码以及账号标识生成；以及，所述第二发送单元92，用于在校验成功后发送加密密钥给所述权限认证装置，所述加密密钥与所述账号标识相对应；以及，所述第二接收单元91，用于接收所述权限认证装置发送的设备指纹。

可选地，在上述任一方案中，所述加密密钥具体为采用白盒加密技术生成的密钥。

实施例三

本申请实施例还提供了一种权限认证系统，参照图10所示，包括：权限认证装置1001和认证服务器1002；其中，

所述权限认证装置1001，用于发送携带有账号标识的权限认证请求给认证服务器；接收所述认证服务器返回的第一验证码，所述第一验证码与所述账号标识相对应；根据本地存储的加密密钥和设备指纹以及所述第一验证码，生成携带有所述账号标识的第二验证码，并发送给所述认证服务器；接收第二校验成功后返回的权限确认通知；

所述权限认证服务器1002，用于接收携带有账号标识的权限认证请求；生成与所述账号标识相对应的第一验证码，并发送给权限认证装置；接收携带有账号标识的第二验证码，对所述第二验证码进行第一校验，并在第一校验成功后对解密出的第一验证码进行第二校验；在第二校验成功后向所述权限认证装置返回权限确认通知。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。