CN101754190A - 一种建立设备安全访问的方法 - Google Patents
一种建立设备安全访问的方法 Download PDFInfo
- Publication number
- CN101754190A CN101754190A CN200810241267A CN200810241267A CN101754190A CN 101754190 A CN101754190 A CN 101754190A CN 200810241267 A CN200810241267 A CN 200810241267A CN 200810241267 A CN200810241267 A CN 200810241267A CN 101754190 A CN101754190 A CN 101754190A
- Authority
- CN
- China
- Prior art keywords
- token
- client
- access
- server
- secure access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于互联网络应用领域,涉及一种建立设备安全访问的方法,包括:客户端设备上线宣告;服务器选择客户端设备,根据授予的访问权限,生成对应的令牌,并发送给客户端;客户端接收该令牌,并将该令牌加入到服务调用请求消息中;服务器检查客户端的服务调用请求,将所述令牌与自身维护的令牌访问权限控制表进行对照,判断拥有所述令牌的客户端的访问权限,对客户端的操作请求进行响应。本发明将传统的依靠机器实现的复杂的安全算法,移交给人来控制安全访问,这样的机制比较适合在消费类电子设备上加以实现。通过对闪联协议进行简单的扩展,不同的设备可以更安全地进行互连互通和互操作。
Description
技术领域
本发明属于互联网络应用领域,尤其涉及一种面向CE设备的互联网门户服务***及方法。
背景技术
面向3C的数字家居是一个动态的环境,新设备加入到家庭网络里,可以被其它在网络中的设备识别,同时它也可以发现其它设备,并能相互协调工作。闪联(IGRS)及UPNP的技术的提出有效地解决各类设备间互连互通,资源共享的难题,但是这两个标准对安全方面的考虑和处理,都不是很全面。以闪联标准为例,目前的安全主要有以下二个方面的措施:1.借助底层物理网络的安全机制,例如,对于无线网络,可以利用无线WEP的加密机制,但是对于有线网络,则没有这样的保证,对于依赖底层物理网络的安全方案,互连互通可以基于不同的物理网络实现,但当下层的通讯方式发生了变化后,安全性就无法保证;2.在应用层使用安全管道机制,这样的做法也存在问题,安全管道的实现方式过于复杂,配置和管理过于困难,所以直到今天,真正实现安全管道的闪联设备几乎没有。
安全管理的最高境界应该是将人的因素包含进来,只有结合人脑的智慧才是判断一种操作是否安全的最佳方法,其他依赖机器的方式都或多或少存在问题,对于消费类电子设备而言,用户易于使用是最重要的,一种安全机制如果使用起来过于复杂,几乎肯定无法得到真正的应用。
因此,提供一种结合人工干预和判断的安全机制,在安全方面对闪联标准体系加以补充和完善,借助这种安全机制,在给用户增加轻微工作量的同时,显著增强互连互通的安全性及普适性。
发明内容
本发明要解决的技术问题在于提供一种建立设备安全访问的方法。
本发明要解决的技术问题是这样实现的,一种建立设备安全访问的方法包括:客户端设备上线宣告;服务器选择客户端设备,根据授予的访问权限,生成对应的令牌,并发送给客户端;客户端接收该令牌,并将该令牌加入到服务调用请求消息中;服务器检查客户端的服务调用请求,将所述令牌与自身维护的令牌访问权限控制表进行对照,判断拥有所述令牌的客户端的访问权限,对客户端的操作请求进行响应。
本发明的进一步改进在于,所述客户端设备上线宣告后,发送一个请求获取令牌的消息至服务器,由服务器端的操作人员人工判断是否批准该请求。若服务器端的操作人员人工批准该请求,服务器端动态生成一个令牌,并将令牌加入到内部的令牌访问权限控制表中,最后将所述令牌返回给客户端。
相比现有技术,本发明是对现有的闪联标准的一个有益的扩展,将传统的依靠机器实现的复杂的安全算法,移交给人脑,由人来控制安全访问,这样的机制比较适合在消费类电子设备上加以实现。通过对闪联协议进行简单的扩展,不同的设备可以更安全地进行互连互通和互操作。
具体实施方式
本发明是对闪联标准体系在安全方面的补充与完善,引入了一种人工干预和判断的安全机制,借助这种安全机制,在显著增强互连互通安全性的同时,轻微的增加用户的工作量,为了使本发明的目的、技术方案及优点更加清楚明白,请参阅以下详细描述。
本发明的技术方案适用在两种不同的设备之间互连应用场景中,在进行互连互通完成一项任务时,一台设备作为服务器,一台设备作为客户端,而安全工作主要工作集中在服务器端,体现在服务器如何控制客户端的访问权限上,特别是针对特定文件的访问权限。
服务器端控制客户端的访问权限,有两种方式:主动式和被动式,两种方法都需要人在服务器端的控制界面参与控制,而非机器根据相应的协议自己判断。主动式由处于服务器端的用户主动授予某个客户端访问的权限,而被动式则是服务器根据客户端的请求授予相应访问的权限。
主动式安全机制的建立过程如下:当设备上线后,通过上线宣告的发送,服务器端可以搜集到当前在线的设备列表,用户通过图形界面,选择欲授予访问权限的客户端设备,并且加以设置。
一旦通过图形界面设置完毕,服务器端针对每个被允许访问的客户,自动生成一个令牌(token),令牌是针对特定的客户端在运行时动态生成的,不同的客户端,或同样的客户端在不同的被许可的时刻,产生的token都不相同,这种动态变化的方法增加了安全的可靠性。
在服务器内部,维护一张令牌访问权限控制表,该表保存着服务器共享出来的资源,以及相应资源可以被拥有令牌的客户端访问的映射关系,资源与被访问的token之间是一对应的关系,不同文件都有对应的访问令牌,只有拥有对应令牌的终端才能访问相应的文件。如下表所示:
| 资源 | 令牌 |
| 文件1 | A1、A2 |
| 文件2 | A1 |
| 文件3 | A2、A3 |
| 文件4 | A3 |
| 文件5 | A4 |
服务器生成的token被发送到客户端,客户端收到token后,在之后所有访问服务器端的服务请求中,需要将该token作为一个必选字段加入到服务调用请求消息中,为此,需要在闪联标准中,为这个安全机制的建立专门增加一条新的消息。
服务器在收到客户端的服务调用请求时,首先检查消息中的token字段内容,并且将该token与自身维护的令牌访问权限控制表进行对照,判断拥有该token的客户端是否有权限访问其申请访问的资源,如果允许访问,则继续后续的操作,否则返回一个消息通知客户端无操作权限。
被动式是由客户端主动发起的行为,在被动式的应用场景中,开始阶段服务器端并未授予客户端相应的访问权限,所以客户端在访问服务器资源前,未收到一个token的通知消息。
客户端在没有一个token的情况下,如果客户端用户希望存取服务器上的资源时,客户端首先发出一个请求获取token的消息至服务器,服务器收到该消息后,在UI界面上出现提示信息,通知服务器的操作人员有一个访问请求需要获得批准,服务器端的操作人员手工批准该请求,一旦批准,服务器端动态生成一个token并且加入到内部的令牌访问权限控制表中,最后将该token返回给客户端,客户端收到该token后,后续的访问请求与前述的主动访问流程一致。
本发明是对现有的闪联标准的一个有益的扩展,内部的实现机制简单可行,关键是将传统的依靠机器实现的复杂的安全算法,移交给人脑,由人来控制安全访问,这样的机制比较适合在消费类电子设备上加以实现。通过对闪联协议进行简单的扩展,不同的设备可以更安全地进行互连互通和互操作。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种建立设备安全访问的方法,包括:
客户端设备上线宣告;
服务器选择客户端设备,根据授予的访问权限,生成对应的令牌,并发送给客户端;
客户端接收该令牌,并将该令牌加入到服务调用请求消息中;
服务器检查客户端的服务调用请求,将所述令牌与自身维护的令牌访问权限控制表进行对照,判断拥有所述令牌的客户端的访问权限,对客户端的操作请求进行响应。
2.如权利要求1所述的一种建立设备安全访问的方法,其特征在于,所述客户端设备上线宣告后,发送一个请求获取令牌的消息至服务器,由服务器端的操作人员人工判断是否批准该请求。
3.如权利要求2所述的一种建立设备安全访问的方法,其特征在于,若服务器端的操作人员批准该请求,服务器端动态生成一个令牌,并将令牌加入到内部的令牌访问权限控制表中,最后将所述令牌发送给客户端。
4.如权利要求1-3所述的一种建立设备安全访问的方法,其特征在于,所述令牌访问权限控制表中的资源与被访问的令牌之间是一对应的关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810241267A CN101754190A (zh) | 2008-12-19 | 2008-12-19 | 一种建立设备安全访问的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810241267A CN101754190A (zh) | 2008-12-19 | 2008-12-19 | 一种建立设备安全访问的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101754190A true CN101754190A (zh) | 2010-06-23 |
Family
ID=42480412
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810241267A Pending CN101754190A (zh) | 2008-12-19 | 2008-12-19 | 一种建立设备安全访问的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101754190A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571328A (zh) * | 2010-12-30 | 2012-07-11 | ***通信集团公司 | 用户终端的服务调用方法、***和用户终端 |
| CN102739405A (zh) * | 2012-07-06 | 2012-10-17 | 深圳市远行科技有限公司 | 一种面向服务架构服务消费者的认证方法 |
| CN103514386A (zh) * | 2012-06-22 | 2014-01-15 | 纬创资通股份有限公司 | 应用程序的权限控管方法、电子装置及计算机可读取媒体 |
| CN103841125A (zh) * | 2012-11-20 | 2014-06-04 | ***通信集团公司 | 一种健康数据共享方法和*** |
| CN104255007A (zh) * | 2011-09-29 | 2014-12-31 | 甲骨文国际公司 | Oauth框架 |
| CN105245501A (zh) * | 2015-09-01 | 2016-01-13 | Tcl集团股份有限公司 | 一种集中权限数据的分布式权限验证方法及*** |
| CN105704094A (zh) * | 2014-11-25 | 2016-06-22 | 杭州华三通信技术有限公司 | 应用访问权限控制方法及装置 |
| CN105897663A (zh) * | 2015-01-26 | 2016-08-24 | 阿里巴巴集团控股有限公司 | 一种确定访问权限的方法、装置及设备 |
| CN107276963A (zh) * | 2016-04-06 | 2017-10-20 | 泰康之家(北京)投资有限公司 | 一种更新权限的方法及装置 |
| CN107395648A (zh) * | 2017-09-06 | 2017-11-24 | 深圳峰创智诚科技有限公司 | 权限控制方法及服务端 |
| CN109101797A (zh) * | 2018-08-20 | 2018-12-28 | 珠海格力电器股份有限公司 | 智能设备控制方法、智能设备和服务器 |
-
2008
- 2008-12-19 CN CN200810241267A patent/CN101754190A/zh active Pending
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571328A (zh) * | 2010-12-30 | 2012-07-11 | ***通信集团公司 | 用户终端的服务调用方法、***和用户终端 |
| CN102571328B (zh) * | 2010-12-30 | 2016-01-27 | ***通信集团公司 | 用户终端的服务调用方法、***和用户终端 |
| CN104255007A (zh) * | 2011-09-29 | 2014-12-31 | 甲骨文国际公司 | Oauth框架 |
| CN104255007B (zh) * | 2011-09-29 | 2017-07-14 | 甲骨文国际公司 | Oauth框架 |
| CN103514386B (zh) * | 2012-06-22 | 2016-07-06 | 纬创资通股份有限公司 | 应用程序的权限控管方法及电子装置 |
| CN103514386A (zh) * | 2012-06-22 | 2014-01-15 | 纬创资通股份有限公司 | 应用程序的权限控管方法、电子装置及计算机可读取媒体 |
| CN102739405A (zh) * | 2012-07-06 | 2012-10-17 | 深圳市远行科技有限公司 | 一种面向服务架构服务消费者的认证方法 |
| CN103841125A (zh) * | 2012-11-20 | 2014-06-04 | ***通信集团公司 | 一种健康数据共享方法和*** |
| CN103841125B (zh) * | 2012-11-20 | 2018-10-12 | ***通信集团公司 | 一种健康数据共享方法和*** |
| CN105704094B (zh) * | 2014-11-25 | 2019-09-17 | 新华三技术有限公司 | 应用访问权限控制方法及装置 |
| CN105704094A (zh) * | 2014-11-25 | 2016-06-22 | 杭州华三通信技术有限公司 | 应用访问权限控制方法及装置 |
| CN105897663A (zh) * | 2015-01-26 | 2016-08-24 | 阿里巴巴集团控股有限公司 | 一种确定访问权限的方法、装置及设备 |
| CN105245501A (zh) * | 2015-09-01 | 2016-01-13 | Tcl集团股份有限公司 | 一种集中权限数据的分布式权限验证方法及*** |
| CN105245501B (zh) * | 2015-09-01 | 2020-09-22 | Tcl科技集团股份有限公司 | 一种集中权限数据的分布式权限验证方法及*** |
| CN107276963A (zh) * | 2016-04-06 | 2017-10-20 | 泰康之家(北京)投资有限公司 | 一种更新权限的方法及装置 |
| CN107276963B (zh) * | 2016-04-06 | 2021-09-03 | 泰康之家(北京)投资有限公司 | 一种更新权限的方法及装置 |
| CN107395648A (zh) * | 2017-09-06 | 2017-11-24 | 深圳峰创智诚科技有限公司 | 权限控制方法及服务端 |
| CN109101797A (zh) * | 2018-08-20 | 2018-12-28 | 珠海格力电器股份有限公司 | 智能设备控制方法、智能设备和服务器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101754190A (zh) | 一种建立设备安全访问的方法 | |
| US7331059B2 (en) | Access restriction control device and method | |
| WO2017166823A1 (zh) | 可用于智慧城市体系的智慧家用能源物联网*** | |
| CN106411857B (zh) | 一种基于虚拟隔离机制的私有云gis服务访问控制方法 | |
| CN100542092C (zh) | 分布式多级安全访问控制方法 | |
| WO2017024791A1 (zh) | 一种处理授权的方法和设备 | |
| CN107483491A (zh) | 一种云环境下分布式存储的访问控制方法 | |
| CN105812488A (zh) | 云计算分布式服务集群***及其方法 | |
| US20140317707A1 (en) | Method for sharing data of device in m2m communication and system therefor | |
| CN109040068B (zh) | 宽带用户的异地认证方法、鉴权认证服务器和区块链 | |
| JP2008500607A (ja) | デバイス組分け及び組分けデバイス同士の会話を実現する方法 | |
| CN106537864A (zh) | 一种访问资源的方法及装置 | |
| CN108777699A (zh) | 一种基于物联网多域协同架构下的应用跨域访问方法 | |
| CN107835195A (zh) | 一种分布式网络应用节点集成管理方法 | |
| CN102571873B (zh) | 一种分布式***中的双向安全审计方法及装置 | |
| CN108111334B (zh) | 一种网络应用节点的集成***和方法 | |
| CN108966216B (zh) | 一种应用于配电网的移动通信方法及*** | |
| CN108023883A (zh) | 一种设备授权管理方法及装置 | |
| JP2014534515A5 (zh) | ||
| CN104247485A (zh) | 在通用自举架构中的网络应用功能授权 | |
| CN102893579B (zh) | 用于在通信***中发放票据的方法、节点和设备 | |
| CN106533894B (zh) | 一种全新的安全的即时通信体系 | |
| CN104504340A (zh) | 一种基于电力***安全标签的强制访问控制方法 | |
| CN104994086B (zh) | 一种数据库集群权限的控制方法及装置 | |
| CN105635321A (zh) | 一种动态组网设备注册的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100623 |