权限令牌生成方法、系统及其设备

摘要

本发明公开了一种权限令牌生成方法、系统及其设备，其中，方法包括：应用预设算法对终端设备的第一标识信息进行计算获取终端设备的第二标识信息；向服务器发送包含第二标识信息的权限密钥请求，并接收服务器应用预设算法对第二标识信息进行计算后获取的与终端设备对应的权限令牌。该方法保护了终端设备的设备信息的安全，减轻了服务器的负担，增加了权限令牌的安全可靠性。

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种权限令牌生成方法、系统及其设备。

背景技术

随着互联网技术的发展，在很多应用场景下，终端设备可在局域网内进行通信，比如，在智能家居应用场景下，家用空调等终端设备可在家庭局域网内与相关服务器进行通信。通常，终端设备在局域网内通信时，为了验证其合法性，需要权限令牌来确认智能设备和用户之间的绑定关系。

相关技术中，生成权限令牌的方式为，终端设备向相关服务器发起请求，相关服务器根据该请求中的设备标识，返回一个随机串至终端设备作为权限令牌，并存储随机串和设备标识绑定关系，以便于根据该绑定关系对终端设备的合法性进行验证。

然而，上述生成权限令牌的方式中，终端设备直接将设备标识发送至相关服务器，设备信息容易泄漏，且相关服务器由于需要存储随机串和设备标识绑定关系，增加了服务器的运行负担。

发明内容

本发明的目的旨在至少在一定程度上解决上述的技术问题之一。

为此，本发明的第一个目的在于提出一种权限令牌生成方法，该方法保护了终端设备的设备信息的安全，减轻了服务器的负担，增加了权限令牌的安全可靠性。

本发明的第二个目的在于提出另一种权限令牌生成方法。

本发明的第三个目的在于提出一种终端设备。

本发明的第四个目的在于提出一种服务器。

本发明的第五个目的在于提出一种权限令牌生成系统。

为了实现上述目的，本发明第一方面实施例提出了一种权限令牌生成方法，包括以下步骤：

应用预设算法对终端设备的第一标识信息进行计算获取所述终端设备的第二标识信息；

向服务器发送包含所述第二标识信息的权限密钥请求，并接收所述服务器应用预设算法对所述第二标识信息进行计算后获取的与所述终端设备对应的权限令牌。

本发明实施例的权限令牌生成方法，应用预设算法对终端设备的第一标识信息进行计算获取终端设备的第二标识信息，向服务器发送包含第二标识信息的权限密钥请求，并接收服务器应用预设算法对第二标识信息进行计算后获取的与终端设备对应的权限令牌。由此，保护了终端设备的设备信息的安全，减轻了服务器的负担，增加了权限令牌的安全可靠性。

另外，本发明实施例的权限令牌生成方法，还具有如下附加的技术特征：

可选地，所述应用预设算法对终端设备的第一标识信息进行计算获取所述终端设备的第二标识信息，包括：

对所述终端设备的第一标识信息进行哈希计算获取对应的哈希值；

对所述哈希值中的预设位置进行数据处理，获取所述终端设备的第二标识信息。

可选地，所述对所述哈希值中的预设位置进行数据处理，获取所述终端设备的第二标识信息，包括：

对所述哈希值中的预设的比特位进行异或处理，获取所述终端设备的第二标识信息。

为了实现上述目的，本发明第二方面实施例提出了另一种权限令牌生成方法，包括以下步骤：

接收终端设备发送的包含第二标识信息的权限密钥请求，其中，所述第二标识信息是所述终端设备应用预设算法对所述终端设备的第一标识信息进行计算获取的；

应用预设算法对所述第二标识信息进行计算获取与所述终端设备对应的权限令牌；

将所述权限令牌发送给所述终端设备。

本发明实施例的权限令牌生成方法，接收终端设备发送的包含第二标识信息的权限密钥请求，其中，第二标识信息是终端设备应用预设算法对终端设备的第一标识信息进行计算获取的，应用预设算法对第二标识信息进行计算获取与终端设备对应的权限令牌，将权限令牌发送给终端设备。由此，减轻了服务器的负担，增加了权限令牌的安全可靠性。

另外，本发明实施例的权限令牌生成方法，还具有如下附加的技术特征：

可选地，所述应用预设算法对所述第二标识信息进行计算获取与所述终端设备对应的权限令牌，包括：

对所述第二标识信息进行哈希计算获取与所述终端设备对应的权限令牌。

为了实现上述目的，本发明第三方面实施例提出了一种终端设备，包括：

第一获取模块，用于应用预设算法对终端设备的第一标识信息进行计算获取所述终端设备的第二标识信息；

第一发送模块，用于向服务器发送包含所述第二标识信息的权限密钥请求；

第一接收模块，用于接收所述服务器应用预设算法对所述第二标识信息进行计算后获取的与所述终端设备对应的权限令牌。

本发明实施例的终端设备，应用预设算法对终端设备的第一标识信息进行计算获取终端设备的第二标识信息，向服务器发送包含第二标识信息的权限密钥请求，并接收服务器应用预设算法对第二标识信息进行计算后获取的与终端设备对应的权限令牌。由此，保护了终端设备的设备信息的安全，减轻了服务器的负担，增加了权限令牌的安全可靠性。

另外，本发明实施例的终端设备，还具有如下附加的技术特征：

可选地，所述第一获取模块包括：

第一获取单元，用于对所述终端设备的第一标识信息进行哈希计算获取对应的哈希值；

第二获取单元，用于对所述哈希值中的预设位置进行数据处理，获取所述终端设备的第二标识信息。

可选地，所述第二获取单元用于：

对所述哈希值中的预设的比特位进行异或处理，获取所述终端设备的第二标识信息。

为了实现上述目的，本发明第四方面实施例提出了一种服务器，包括：第二接收模块，用于接收终端设备发送的包含第二标识信息的权限密钥请求，其中，所述第二标识信息是所述终端设备应用预设算法对所述终端设备的第一标识信息进行计算获取的；

第二获取模块，用于应用预设算法对所述第二标识信息进行计算获取与所述终端设备对应的权限令牌；第二发送模块，用于将所述权限令牌发送给所述终端设备。

本发明实施例的服务器，接收终端设备发送的包含第二标识信息的权限密钥请求，其中，第二标识信息是终端设备应用预设算法对终端设备的第一标识信息进行计算获取的，应用预设算法对第二标识信息进行计算获取与终端设备对应的权限令牌，将权限令牌发送给终端设备。由此，减轻了服务器的负担，增加了权限令牌的安全可靠性。

另外，本发明实施例的服务器，还具有如下附加的技术特征：

可选地，所述第二获取模块用于：

对所述第二标识信息进行哈希计算获取与所述终端设备对应的权限令牌。

为了实现上述目的，本发明第五方面实施例提出了一种权限令牌生成系统，包括本发明第三方面实施例所述的终端设备，和本发明第四方面实施例所述的服务器。

本发明实施例的权限令牌生成系统，应用预设算法对终端设备的第一标识信息进行计算获取终端设备的第二标识信息，向服务器发送包含第二标识信息的权限密钥请求，并接收服务器应用预设算法对第二标识信息进行计算后获取的与终端设备对应的权限令牌。由此，保护了终端设备的设备信息的安全，减轻了服务器的负担，增加了权限令牌的安全可靠性。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1是根据本发明一个实施例的权限令牌生成方法的流程图；

图2是根据本发明另一个实施例的权限令牌生成方法的流程图；

图3是根据本发明一个实施例的终端设备的结构示意图；

图4是根据本发明另一个实施例的终端设备的结构示意图；

图5是根据本发明一个实施例的服务器的结构示意图；以及

图6是根据本发明一个实施例的权限令牌生成系统的结构示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

下面参考附图描述本发明实施例的方法、装置和权限令牌生成方法、系统及其设备。

通常，为了保证终端设备的合法性，在终端设备与服务进行通信时，根据终端设备的设备标识和权限令牌进行验证，即服务器在接收到终端设备发送的请求后，将请求中的设备标识与权限令牌，与存储的设备标识和权限令牌的绑定关系进行匹配，只有在匹配成功时，才验证终端设备合法，从而将终端设备接入局域网进行通信等。

然而，终端设备在向服务器发送请求，以便于服务器根据请求中的设备标识生成权限令牌时，由于直接将设备标识发送给服务器，容易导致设备标识被恶意截获，且由于服务器需要存储设备标识和权限令牌的绑定关系，当设备标识过多时，将会占用大量服务器的内存，增加了服务器的负担，影响服务器的运行效率。

为了解决上述问题，本发明提出了一种权限令牌生成方法，为了便于说明，首选集中在终端设备侧进行描述，其中，终端设备可以是手机、平板电脑、个人数字助理、穿戴式设备等具有各种操作系统的硬件设备，该穿戴式设备可以是智能手环、智能手表、智能眼镜等，该终端设备还可以是家用空调等智能家用电器等。具体如下：

图1是根据本发明一个实施例的权限令牌生成方法的流程图。

如图1所示，该权限令牌生成方法可包括：

S101，应用预设算法对终端设备的第一标识信息进行计算获取终端设备的第二标识信息。

具体地，为了避免直接发送终端设备的第一标识信息，被其他恶意进程等捕获，对终端设备的第一标识信息进行相应的处理，其中，终端设备的第一标识信息为终端设备ID、终端设备产品编码、终端设备SN、终端设备MAC等标识终端设备唯一性的信息。

具体而言，应用预设的算法对终端设备的第一标识信息进行计算，获取终端设备的第二标识信息。

需要说明的是，上述预设的算法用以保证根据第一标识信息计算出的第二标识信息的可靠性，根据具体应用需求的不同，该预设的算法不同，比如可包括哈希算法、DES算法、RSA算法、SHA算法等，下面举例说明：

第一种示例，由于哈希算法是一种单向密码体制,是一个从明文到密文的不可逆的映射,只有加密过程,没有解密过程，同时,哈希函数可以将任意长度的输入经过变化以后得到固定。

因而，在本示例中，使用哈希算法对终端设备的第一标识信息进行哈希计算获取对应的哈希值，从而即使恶意进程捕获该哈希值，也不能对该哈希值进行解密，获取到终端设备的第一标识信息，保证了终端设备的设备信息的安全。

进一步地，在本示例中，为了提高服务器得到权限令牌的运算效率，对哈希值中的预设位置进行数据处理，获取终端设备的第二标识信息，其中，数据处理可包括异或、和运算、或运算等逻辑运算。

应当理解的是，进行数据处理的哈希值中的预设位置，可以包括哈希值的具体第几位的位置，或者哈希值的比特位的位数等，下面举例说明：

比如，可对哈希值中的预设的比特位进行异或处理，比如对哈希值中前16为或后16位进行异或处理，并将处理后的值作为终端设备的第二标识信息。

又比如，可对哈希值中的预设的比特位进行或处理，比如对哈希值中前后16位进行或处理，并将处理后的值作为终端设备的第二标识信息。

第二种示例，由于DES算法把输入的64位数据块按位重新组合，并把输出分为L0、R0两部分，每部分各长32位，具有极高的安全性。

因而，在本示例中，可对终端设备的第一标识信息进行DES运算获取对应的DES运算值，进而，为了提高服务器得到权限令牌的运算效率，还可根据DES算法的特点，进行数据处理，获取终端设备的第二标识信息，比如，对DES运算值中的预设位置进行数据处理，获取终端设备的第二标识信息等。

S102，向服务器发送包含第二标识信息的权限密钥请求，并接收服务器应用预设算法对第二标识信息进行计算后获取的与终端设备对应的权限令牌。

具体地，在获取终端设备的第二标识信息后，向服务器发送包含第二标识信息的权限密钥请求，从而服务器根据预设的算法对第二标识信息进行计算，获取与终端设备对应的权限令牌，并发送至终端设备。

其中，需要说明的是，根据具体应用场景的不同，向服务器发送包含第二标识信息的权限密钥请求的方式不同，比如可通过WIFI、蓝牙等方式发送等。

应当理解的是，服务器根据第二标识信息，计算得到权限令牌采用的预设算法，可以为哈希算法等能得到与第二标识唯一对应权限令牌算法等，即根据预设算法，可根据第二标识信息A得到权限令牌A1，该权限令牌A1是唯一的，根据其他任意设备的第二标识信息，得到的权限令牌都不为A1，且互不相同。

从而服务器可以在不存储设备标识与权限令牌的绑定关系的前提下，仅仅可通过验证与终端设备对应的权限令牌，是否是服务器已生成的权限令牌，即可实现对终端设备合法性的验证，大大减轻了服务器的运行负担。

综上所述，本发明实施例的权限令牌生成方法，应用预设算法对终端设备的第一标识信息进行计算获取终端设备的第二标识信息，向服务器发送包含第二标识信息的权限密钥请求，并接收服务器应用预设算法对第二标识信息进行计算后获取的与终端设备对应的权限令牌。由此，保护了终端设备的设备信息的安全，减轻了服务器的负担，增加了权限令牌的安全可靠性。

为了更加全面的说明本发明实施例的权限令牌生成方法，下面集中在服务器侧说明本发明实施例的权限令牌生成方法，说明如下：

图2是根据本发明另一个实施例的权限令牌生成方法的流程图，如图2所示，该权限令牌生成方法包括：

S201，接收终端设备发送的包含第二标识信息的权限密钥请求，其中，第二标识信息是终端设备应用预设算法对终端设备的第一标识信息进行计算获取的。

具体地，终端设备应用预设算法对终端设备的第一标识信息，进行运算获取第二标识信息后，向服务器发送包含第二标识信息的权限密钥请求，从而便于服务器根据接收到的请求，生成与第二标识信息对应的权限令牌等。

S202，应用预设算法对第二标识信息进行计算获取与终端设备对应的权限令牌。

具体地，为了避免增加服务器的运行负担，预先设置具有无冲突(当知道x，无法求出一个y，使x与y的运算值相同)性质的算法，从而应用预设算法对第二标识信息对进行计算获取与终端设备对应的权限令牌，该权限令牌具有和终端设备的唯一对应性。

需要说明的是，根据具体应用场景的不同，预设算法不同，下面举例说明：

作为一种示例，利用哈希算法具有不可逆(当知道x的哈希值，无法求出x)和无冲突性，对第二标识信息进行哈希计算，获取与终端设备对应的权限令牌，从而在实际应用中，当终端设备发送携带权限令牌的请求时，服务器可仅仅将终端设备发送的权限令牌与之前生成的权限令牌匹配，根据匹配结果即可判断终端设备是否合法。

S203，将权限令牌发送给终端设备。

具体地，在获取与终端设备对应的权限令牌后，可根据应用场景的不同，采用不同的方式将权限令牌发送至终端设备，比如可通过WIFI将权限令牌发送至终端设备，又比如可通过蓝牙将权限令牌发送至终端设备等。

需要说明的是，前述集中于终端设备侧描述的权限令牌生成方法，与本发明集中于服务器侧描述的权限令牌生成方法对应，本发明集中于服务器侧描述的权限令牌生成方法中未披露的细节，在此不再赘述。

综上所述，本发明实施例的权限令牌生成方法，接收终端设备发送的包含第二标识信息的权限密钥请求，其中，第二标识信息是终端设备应用预设算法对终端设备的第一标识信息进行计算获取的，应用预设算法对第二标识信息进行计算获取与终端设备对应的权限令牌，将权限令牌发送给终端设备。由此，减轻了服务器的负担，增加了权限令牌的安全可靠性。

为了实现上述实施例，本发明还提出了一种终端设备，图3是根据本发明一个实施例的终端设备的结构示意图，如图3所示，该终端设备包括：第一获取模块110、第一发送模块120和第一接收模块130。

其中，第一获取模块110，用于应用预设算法对终端设备的第一标识信息进行计算获取终端设备的第二标识信息。

在本发明的一个实施例中，图4是根据本发明另一个实施例的终端设备的结构示意图，如图4所示，在如图3所示的基础上，该第一获取模块110包括第一获取单元111和第二获取单元112。

其中，第一获取单元111，用于对终端设备的第一标识信息进行哈希计算获取对应的哈希值。

第二获取单元112，用于对哈希值中的预设位置进行数据处理，获取终端设备的第二标识信息。

在本发明的一个实施例中，第二获取单元112对哈希值中的预设的比特位进行异或处理，获取终端设备的第二标识信息。

第一发送模块120，用于向服务器发送包含第二标识信息的权限密钥请求。

第一接收模块130，用于接收服务器应用预设算法对第二标识信息进行计算后获取的与终端设备对应的权限令牌。

需要说明的是，前述参照图1对终端设备的描述，与本发明实施例的终端设备对应，本发明终端设备实施例中未披露的细节，在此不再赘述。

综上所述，本发明实施例的终端设备，应用预设算法对终端设备的第一标识信息进行计算获取终端设备的第二标识信息，向服务器发送包含第二标识信息的权限密钥请求，并接收服务器应用预设算法对第二标识信息进行计算后获取的与终端设备对应的权限令牌。由此，保护了终端设备的设备信息的安全，减轻了服务器的负担，增加了权限令牌的安全可靠性。

为了实现上述实施例，本发明还提出了一种服务器，图5是根据本发明一个实施例的服务器的结构示意图，如图5所示，本发明实施例的服务器包括第二接收模块210、第二获取模块220和第二发送模块230。

其中，第二接收模块210，用于接收终端设备发送的包含第二标识信息的权限密钥请求，其中，第二标识信息是终端设备应用预设算法对终端设备的第一标识信息进行计算获取的。

第二获取模块220，用于应用预设算法对第二标识信息进行计算获取与终端设备对应的权限令牌。

在本发明的一个实施例中，第二获取模块220用于对第二标识信息进行哈希计算获取与终端设备对应的权限令牌。

第二发送模块230，用于将权限令牌发送给终端设备。

需要说明的是，前述参照图2对服务器的描述，与本发明实施例的服务器对应，本发明服务器实施例中未披露的细节，在此不再赘述。

综上所述，本发明实施例的服务器，接收终端设备发送的包含第二标识信息的权限密钥请求，其中，第二标识信息是终端设备应用预设算法对终端设备的第一标识信息进行计算获取的，应用预设算法对第二标识信息进行计算获取与终端设备对应的权限令牌，将权限令牌发送给终端设备。由此，减轻了服务器的负担，增加了权限令牌的安全可靠性。

为了实现上述实施例，本发明还提出了一种权限令牌生成系统，图6是根据本发明一个实施例的权限令牌生成系统的结构示意图，如图6所示，该权限令牌生成系统包括终端设备100和服务器200。

其中，对终端设备100的描述参照上述结合图1对终端设备的描述，本发明终端设备100中未披露的细节，在此不再赘述。

另外，对服务器200的描述参照上述结合图2对服务器的描述，本发明服务器200中未披露的细节，在此不再赘述。

综上所述，本发明实施例的权限令牌生成系统，应用预设算法对终端设备的第一标识信息进行计算获取终端设备的第二标识信息，向服务器发送包含第二标识信息的权限密钥请求，并接收服务器应用预设算法对第二标识信息进行计算后获取的与终端设备对应的权限令牌。由此，保护了终端设备的设备信息的安全，减轻了服务器的负担，增加了权限令牌的安全可靠性。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。