CN109150787A - 一种权限获取方法、装置、设备和存储介质 - Google Patents
一种权限获取方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN109150787A CN109150787A CN201710444357.2A CN201710444357A CN109150787A CN 109150787 A CN109150787 A CN 109150787A CN 201710444357 A CN201710444357 A CN 201710444357A CN 109150787 A CN109150787 A CN 109150787A
- Authority
- CN
- China
- Prior art keywords
- access
- authority
- information
- user information
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种权限获取方法、装置、设备和存储介质。本发明的方法包括:向远程用户拨号认证***radius服务器发送携带用户信息的权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限信息;接收所述radius服务器发送的携带所述接入权限信息的权限获取响应。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种权限获取方法、装置、设备和存储介质。
背景技术
存储有可访问资源或者可使用资源的设备可以称为资源设备,资源设备可以向资源请求者提供资源设备上的资源。
资源请求者向资源设备请求访问或使用资源设备上的资源时,资源设备根据预先存储的合法用户的权限数据对资源请求者进行身份认证,若认证通过,向具有合法用户身份的资源请求者提供资源设备上的资源。
但是,当合法用户的权限数据存储在资源设备上时,资源设备一旦被盗或者遭遇网络攻击,非法用户仍然可能获取资源设备上的资源,从而带来极大的安全隐患。
发明内容
有鉴于此,本发明实施例期望提供一种权限获取方法、装置、设备和存储介质,能够避免非法用户获取存储在资源设备上的资源。
本发明实施例的技术方案是这样实现的:
第一方面,本发明实施例提供一种权限获取方法,所述方法包括:向远程用户拨号认证***radius服务器发送携带用户信息的权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限信息;接收所述radius服务器发送的携带所述接入权限信息的权限获取响应。
在上述方案中,在所述向radius服务器发送携带用户信息的权限获取请求之前,包括:接收携带有所述用户信息的资源访问请求,所述资源访问请求用于获取所述用户信息在资源设备上对应的可访问资源;相应地,在所述接收所述radius服务器发送的携带所述接入权限信息的权限获取响应之后,包括:根据所述接入权限信息确定所述用户信息在所述资源设备上对应的可访问资源。
在上述方案中,所述资源设备为家庭网关,所述接收携带有所述用户信息的资源访问请求,包括:接收物联网终端发送的携带有所述用户信息的登陆请求;所述登陆请求用于请求在所述家庭网关与所述用户信息对应的可访问资源;所述根据所述接入权限信息确定所述用户信息在所述资源设备上对应的可访问资源,包括:根据所述接入权限信息确定所述物联网终端在所述家庭网关上对应的可访问资源。
在上述方案中,所述用户信息包括物联网终端的媒体访问控制MAC地址和密码,同一MAC地址与不同密码的组合对应相同或不同的接入权限信息。
在上述方案中,所述资源设备为终端设备,所述可访问资源为允许启用的应用的集合,则在所述向radius服务器发送携带用户信息的权限获取请求之前,包括:在接收到用于指示启动所述终端设备上的应用的启用操作后进入用户信息获取状态;在所述用户信息获取状态下,接收用户信息;则在所述接收所述 radius服务器发送的携带所述接入权限信息的权限获取响应之后,包括:根据所述接入权限信息对应的允许启用的应用的集合确定是否启用所述应用。
在上述方案中,所述用户信息包括用户名和密码,同一用户名与不同密码的组合对应不同的接入权限信息。
在上述方案中,所述向远程用户拨号认证***radius服务器发送携带用户信息的权限获取请求,包括:向radius服务器发送携带有所述用户信息和接入许可标识的接入请求报文Access-Requst;所述接收所述radius服务器发送的携带所述接入权限信息的权限获取响应,包括:接收所述radius服务器发送的携带所述接入权限信息的接入成功回应报文Access-Accept。
在上述方案中,在所述接收所述radius服务器发送的携带所述接入权限信息的接入成功回应报文Access-Accept之后,包括:向radius服务器发送携带所述接入权限信息的计费请求报文Accounting-Request,所述计费请求报文用于请求所述radius服务器根据所述接入权限信息确定所述用户信息对应的计费方式和/或计费费率。
在上述方案中,所述接入请求报文包含类型号type表征所述接入许可标识的属性对AVP字段。
第二方面,本发明实施例提供一种权限获取方法,所述方法包括:远程用户拨号认证***radius服务器接收radius客户端发送的携带有用户信息权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限信息;向 radius客户端发送携带有所述用户信息对应的接入权限信息的权限获取响应。
上述方案中,所述radius服务器接收radius客户端发送的携带有所述用户信息的权限获取请求包括:所述radius服务器接收radius客户端发送携带有用户信息和接入许可标识的接入请求报文Access-Requst;所述向radius客户端发送携带有所述用户信息对应的接入权限信息的权限获取响应,包括:向radius 客户端发送携带有所述用户信息对应的接入权限信息的接入成功回应报文 Access-Accept。
上述方案中,所述接入权限信息用于确定所述用户信息对应的可访问资源,且不同的接入权限信息对应不同的可访问资源。
上述方案中,在所述向radius客户端发送携带有所述用户信息对应的接入权限信息的接入成功回应报文Access-Accept之后,包括:接收raduis客户端发送的携带所述接入权限信息的计费请求报文Accounting-Request;根据所述接入权限信息确定所述用户信息对应的计费方式和/或计费费率。
第三方面,本发明实施例提供一种权限获取装置,所述权限获取装置包括:第一发送模块,配置为向远程用户拨号认证***radius服务器发送携带用户信息的权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限信息;第一接收模块,配置为接收所述radius服务器发送的携带所述接入权限信息的权限获取响应。
第四方面,本发明实施例提供一种权限获取装置,所述权限获取装置包括:第二接收模块,配置为接收远程用户拨号认证***radius客户端发送的携带有所述用户信息的权限获取请求;所述权限获取请求用于获取所述用户信息对应的接入权限信息;第二发送模块,配置为向radius客户端发送携带有所述用户信息对应的接入权限信息的权限获取响应。
在上述方案中,所述接入权限信息用于确定所述用户信息对应的可访问资源,且不同的接入权限信息对应不同的可访问资源。
第五方面,本发明实施例提供一种资源设备,所述资源设备包括:
存储器、处理器及存储在存储器上并可在处理器上运行的权限获取程序,所述处理器执行所述程序时实现第一方面任一所述的权限获取方法。
第六方面,本发明实施例提供一种远程用户拨号认证***认证服务器,所述远程用户拨号认证***认证服务器包括:存储器、处理器及存储在存储器上并可在处理器上运行的权限获取程序,所述处理器执行所述程序时实现第二方面任一所述的权限获取方法。
第七方面,本发明实施例提供一种计算机可读存储介质,存储有权限获取程序,其中,所述权限获取程序被处理器执行时实现如第一方面任一种或第二方面任一种所述的权限获取方法的步骤。
本发明实施例提供的权限获取方法,通过向radius服务器发送携带用户信息的权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限信息;接收所述radius服务器发送的携带所述接入权限信息的权限获取响应;由于用户信息对应的可访问资源是由设置在网络侧的radius服务器根据用户信息和存储在radius服务器的权限数据认证获得的,而非法用户无法获取radius 服务器上存储的权限数据,从而使得非法用户无法获取到资源设备上的资源。
附图说明
图1A为本发明实施例中权限获取方法的网络架构示意图一;
图1B为本发明实施例中基于radius服务器实现的权限获取方法的流程示意图;
图2A为本发明实施例中权限获取方法的交互流程示意图一;
图2B为本发明实施例中权限获取方法中属性对字段的格式示意图;
图3为本发明实施例中权限获取方法的处理流程示意图一;
图4A为本发明实施例权限获取方法的网络架构示意图二;
图4B为本发明实施例中权限获取方法的交互流程示意图二;
图5为本发明实施例中权限获取方法的处理流程示意图二;
图6A为本发明实施例中权限获取方法的网络架构示意图三;
图6B为本发明实施例中权限获取方法的处理流程示意图三;
图7为本发明实施例中权限获取装置的结构示意图一;
图8为本发明实施例中权限获取装置的结构示意图二;
图9为本发明实施例中资源设备的结构示意图;
图10为本发明实施例中radius服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
实施例一
图1A为本发明实施例中权限获取方法的网络架构示意图一。如图1A所示,本发明实施例的网络架构可以包括:资源请求者10、资源设备11、认证服务器 12。其中,资源设备11可以是一个设备,例如,家庭网关、手机等终端设备,资源请求者10可以是另一设备或者用户,例如物联网终端。资源设备11可以向资源请求者10提供与资源请求者12对应的接入权限对应的可访问资源。
在本发明实施例中,资源请求者10可以向资源设备11发送携带有用户信息的资源访问请求,该资源访问请求可以是用于请求用户信息在资源设备上对应的可访问资源的登陆请求,资源设备11可以向认证服务器12发送携带有用户信息的权限获取请求,以获取认证服务器12根据用户信息确定的用户信息对应的接入权限,资源设备11再根据用户信息对应的接入权限确定用户信息在资源设备11上对应的允许访问的资源,并允许资源请求者10使用被允许访问的资源。在本发明其他实施例中,资源请求者10向资源设备11发送的资源访问请求也可以是用于请求启用资源设备11上的某一资源的启用请求,资源设备 11可以在接收到该资源访问请求后,触发资源请求者10上报用户信息,之后,资源设备11可以根据用户信息从认证服务器获取用户信息对应的接入权限,并根据用户信息对应的接入权限确定资源请求者10是否被允许启用所请求的资源,若所请求的资源属于该接入权限在资源设备11上对应的允许使用的资源,则允许资源请求者10启用所请求的资源。
由于用户数据的存储和认证过程由认证服务器12执行,资源设备11上不需要存储所有合法用户数据,从而能够避免资源设备11丢失或遭遇网络攻击时,用户数据丢失的问题。
在本发明实施例中,用户信息对应的接入权限可以是接入权限信息,接入权限信息可以包括接入权限等级、接入权限范围、接入权限大小、接入权限内容信息中至少一种,不同的用户信息可以对应相同或者不同的接入权限信息,不同的接入权限信息可以对应资源设备11上的不同的可访问资源,资源设备 11或服务器12上可以存储有接入权限等级对应的可访问资源的范围或者可访问资源的大小或者数量,从而能够使得资源设备11能够根据用户信息对应的接入权限信息向资源请求者10提供相应的可访问资源。举例来说,用户信息可以包括用户名和密码,在一示例中,不同的用户信息可以是指不同的用户名,不同的用户名可以对应相同或不同的接入权限信息,在另一示例中,不同的用户信息也可以是指用户名与密码的组合,则同一用户名与不同密码的组合也可以对应相同或者不同的接入权限信息。采用上述各种用户信息与接入权限信息的匹配规则,能够为资源设备11提供更灵活的可访问资源的控制方式。
在本发明实施例中,上述认证服务器12可以是远程用户拨号认证*** (RemoteAuthentication Dial In User Service,radius)服务器,则资源设备11 可以通过radius客户端与radius服务器进行权限获取的交互过程,需要说明的是,radius客户端可以部署于资源设备11上,也可以位于资源设备11之外。
图1B为本发明实施例中基于radius服务器实现的权限获取方法的流程示意图,本发明实施例的执行主体可以为部署有radius客户端的资源设备,或者,部署于资源设备上的radius客户端,或者,部署在资源设备之外且与资源设备建立有通信连接的radius客户端。如图1B所示,本发明实施例的步骤可以包括:
S101:向radius服务器发送携带用户信息的权限获取请求,该权限获取请求用于获取用户信息对应的接入权限信息。
在本发明实施例中,在资源设备11接收到携带有用户信息的资源访问请求之后,资源设备11可以通过radius客户端或者由部署在资源设备11上的radius 客户端向radius服务器发送权限获取请求。示例性地,资源设备11可以在接收到资源访问请求之后,向radius客户端发送携带有用户信息的认证请求,以触发radius客户端向radius服务器发起认证流程。
S102:接收radius服务器发送的携带有用户信息对应的接入权限信息的权限获取响应。
在本发明实施例中,接入权限信息可以用于确定用户信息对应的可访问资源,且不同的接入权限信息对应不同的可访问资源。
在本发明实施例中,radius服务器根据自身存储的合法用户的认证数据和权限数据,对用户信息进行鉴权和认证,若认证通过,将用户信息对应的接入权限信息携带在权限获取响应中发送给资源设备11或者radius客户端。其中,接入权限信息可以用于确定用户信息对应的可访问资源,不同的接入权限信息可以对应不同的可访问资源。然后,radius客户端可以通过认证响应将用户信息对应的接入权限信息发送给资源设备11。之后,资源设备11就可以根据接入权限信息确定用户信息在资源设备11上对应的可访问资源,其中,不同的接入权限信息可以对应在资源设备上的不同的可访问资源。
本发明实施例提供的权限获取方法,能够在有用户想要获取资源设备上的可访问资源时,先由radius服务器对资源请求者使用的用户信息进行认证,确定资源请求者所对应的接入权限信息,由于不同的接入权限信息对应不同的可访问资源,因而能够保证资源设备上存储的数据、资源仅能够被开放给具有接入权限的合法用户访问,从而避免非法用户获取存储在资源设备上存储的数据。
实施例二
在本发明实施例中,可以采用请求评议(Request For Comments,RFC)系列协议中的RFC2865协议中定义的接入请求报文(Access-Request)和接入成功回应报文(Access-Accept)分别作为上述权限获取请求和权限获取响应的替代实现方式。图2A为本发明实施例中权限获取方法的交互流程示意图一,如图2A所示,radius客户端与radius服务器之间的交互过程可以包括:
S201:radius客户端向radius服务器发送接入请求报文。
其中,接入请求报文可以携带有接入许可标识和用户信息,以表示该接入请求报文用于请求用户信息对应的接入权限信息。举例来说,本发明实施例可以对RFC2865协议定义的属性对(Attribute Value Pairs,AVP)字段,即属性列表字段中的类型号(type)字段进行了扩展使用。示例性的,接入请求报文包含类型号type表征所述接入许可标识的属性对AVP字段。
图2B为本发明实施例中权限获取方法中属性对字段的格式示意图。如图 2B所示,AVP字段可以包括:类型号(type)域、长度(length)域和值(value) 域,其中,类型号域也称为radius type字段。示例性地,type域、length域和 value域可以分别占用1个字节。在RFC6协议的“指定号码(Assigned Number)”部分的描述中,AVP字段中的type域字段的枚举值的使用规则定义如下:范围为192-223的枚举值是保留给实验用的,范围为224-240的枚举值是保留给特定实现用的,范围为241-255的枚举值是预留的。
在本发明实施例中,可以对type域字段的取值进行优化,例如,可以在接入请求报文中携带type域的值为224的AVP字段来表示接入请求报文用于请求接入权限信息,即可以将type域的值为224的AVP字段作为与请求接入权限信息相关的报文流程的标识,可以将该标识称为接入许可标识(access permission)。在本发明其他实施例中,也可以采用属于范围224-240中的其他值作为表示请求接入权限信息的标识。在一示例中,接入请求报文中的value 域的值可以为0。
S202:radius服务器向radius客户端发送接入成功回应报文。
其中,radius服务器在对用户信息进行认证后,若认证通过,将用户信息对应的接入权限信息携带在接入成功回应报文中发送给radius客户端。示例性地,接入成功回应报文中的AVP字段中的type域的值可以为224,value域的值可以为该用户信息对应的接入权限信息,例如,value域的值可以为1-254中的任一值。在本发明其他实施例中,radius服务器在对用户信息认证通过之后,若在权限数据库中没有查询到该用户信息匹配的接入权限信息时,可以在接入成功回应报文中携带type域的值为224、value域的值为255的AVP字段,以表示该用户信息未被配置任何接入权限信息。
在本发明其他实施例中,若radius服务器对用户信息进行认证后确定用户为非法用户,即认证结果为认证失败,radius服务器也可以向radius客户端发送接入拒绝回应报文(Access-Reject),其中携带用于标识该用户信息没有接入权限的信息。示例性地,接入拒绝回应报文中的AVP字段中的type域的值可以为224,值域的值可以为255,以标识该用户信息没有接入权限信息。在本发明其他实施例中,接入拒绝回应报文中也可以不携带包含type域的值为224的 AVP字段。
在本发明其他实施例中,在radius服务器向radius客户端发送接入成功回应报文之后,还可以包括如下的启动计费流程的步骤:
S203:radius客户端向radius服务器发送计费请求报文。
其中,计费请求报文(Accounting-Request)中可以携带用户信息,也可以同时携带用户信息对应的接入权限信息。示例性地,计费请求报文中的AVP字段中的type域的值可以为224,value域的值可以为该用户信息对应的接入权限信息。
S204:radius服务器向radius客户端发送计费响应报文。
其中,在radius服务器向radius客户端发送计费响应(Accounting-Response)后,radius服务器可以根据用户信息对应的接入权限信息对与用户信息有关的资源访问操作进行计费。在本发明实施例中,不同的接入权限信息可以对应不同的计费方式和/或计费费率。计费方式例如可以是按不同的时间段对应的计费费率计费,或者,按次计费等等,计费费率例如可以是单位时间的资源使用费率。
本发明实施例对RFC协议进行扩展,提供了一种在radius客户端与radius 服务器认证***架构下获取接入权限信息的交互方法。由于radius服务器通常部署在移动网络的核心网侧,采用radius服务器作为认证服务器,获取接入权限信息的方式,能够向企业提供安全、灵活的管理大量资源设备上的可访问资源解决方案。一方面,资源设备上不需要存储用户认证数据,在单一资源设备丢失时不会造成全部用户认证数据丢失。另一方面,企业不需要单独设置存储用户认证数据和权限数据的服务器,特别是在一些企业需要管理跨地区、跨国家的海量的资源设备时,不需要企业在每个地区或国家单独设置认证服务器,进而能够减少用户信息在跨地区传输过程中被泄露的可能。可见采用本发明实施例提供的权限获取方法,在企业对大量资源设备的权限管理过程中,用户信息的安全得到了有力的保证。
图3为本发明实施例中权限获取方法的处理流程示意图一。如图3所示,本发明实施例的步骤可以包括:
S301:radius客户端启动,并向radius服务器发送带有接入许可标识的接入请求报文。
其中,radius客户端可以将获取到的用户名和密码写入Access-Request(即接入请求报文)中,并且在Access-Request的AVP字段中添加接入许可标识 (accesspermission)。示例性的,利用网络封包分析软件对接入请求报文中携带有接入许可标识的AVP字段解析如下:
AVP:l=3t=Acess-Permission(224):0
其中,该AVP字段中,l表示length域,l的值为3,t表示type域,t的值为224,value域的值为0。在本发明其他实施例中,length域的值也可以大于或者等于3。
S302:radius服务器收到接入请求报文,并查询权限数据库。
其中,radius服务器可以在识别到接入请求报文中标识接入许可标识(AccessPermission字段)时,查询权限数据库。
S303:radius服务器判断是否在权限数据库中查询到用户信息对应的接入权限信息,若查询到,执行S305,如果未查询到,执行S304。
S304:radius服务器向radius客户端发送接入拒绝回应报文。
其中,radius服务器在权限数据库中未查询到此用户名对应的权限信息时,向radius客户端发送接入拒绝回应报文(Access-Reject)。
S305:radius服务器向radius客户端发送带有接入许可标识的接入成功回应报文。
其中,radius服务器将从权限数据库中查询到的用户名对应的接入权限信息写入到接入成功回应报文(Access-Accept)的value域字段,本发明实施例中的value域的长度可以默认为1字节,则,value域的值可以为0-255中的数值,其中,value域的值为0可以作为接入请求报文中的接入权限获取标识的, value域的值为255可以作为未查询到用户信息对应的接入权限信息时接入成功回应报文中的错误回应标识,255也可以作为未认证通过时接入拒绝回应报文中的value域的值。故此处可支持254种类型的权限。在本发明其他实施例中, value域的长度可以进行扩展,例如2字节,则当value域的字节数增长时,value域中支持携带的接入权限信息可以更多。示例性的,利用网络封包分析软件对接入成功回应报文中携带有接入许可标识的AVP字段解析如下:
AVP:l=3t=Acess-Permission(224):1
此时,radius服务器的权限数据库不仅可以根据用户名的不同来配置不同的权限,也可以根据密码的不同来配置不同的权限。例如,某终端设备A使用用户名为“admin”进行登录,如果输入的密码为“testA”,则可以在权限数据库中配置接入权限信息为1,如果输入的密码为“testB”,则可以在权限数据库中配置接入权限信息为2。即可以规划不同用户在使用同一用户名和不同密码登录时拥有不同的权限,并可以影响后续的计费阶段。
此外,radius服务器可以为不同的接入权限信息的用户提供不同计费方式和/或计费费率。例如,物联网终端通过家庭网关进行上网业务时单位时间的上网费率。
当radius客户端接收到Access-Accept报文后,解析AVP字段中的接入许可标识(Access-Permission)字段,终端设备的登录模块根据AVP该字段的value 域的值来放开此用户登录的权限。例如,radius客户端上可以配置具有不同接入权限信息的用户获得不同的资源,示例性的,可以获得不同的允许上网时间。
S306:radius客户端接收到接入成功回应报文,向radius服务器发送计费请求报文。
其中,计费请求报文(Accounting-Request)中的AVP字段同样配置相应的接入许可标识。示例性的,利用网络封包分析软件对计费请求报文中携带有接入许可标识的AVP字段解析如下:
AVP:l=3t=Acess-Permission(224):1
S307:radius服务器收到计费请求报文,发送计费回应报文,根据接入许可标识对应的接入权限信息进行采用接入权限信息对应的计费方式和/或计费费率开始计费。
其中,radius服务器读取计费请求报文(Accounting-Request)的AVP字段中的接入许可标识(Access-Permission)字段对应的value域的值,并可以对使用同一用户名与不同密码组合进行接入认证的用户信息所对应的资源访问操作实行分类计费。示例性的,利用网络封包分析软件对计费请求报文和计费回应报文中携带有接入许可标识的AVP字段解析为以下任一种:
AVP:l=3t=Acess-Permission(224):1或
AVP:l=3t=Acess-Permission(224):2
需要说明的是,S301至S308为涉及接入许可标识(Access-Permission)字段的radius交互流程,后续的计费回应报文可以与RFC2865协议中的定义相同,即S308之后的处理流程可以不需要考虑接入许可标识(Access-Permission)字段。
S308:计费结束时,radius客户端向radius服务器发送计费结束请求报文。
S309:radius服务器接收到计费结束请求报文后停止计费,并向radius客户端发送计费结束回应报文。
本发明实施例的其他技术方案细节和技术效果可参考图1A至图2B所示。
实施例三
图4A为本发明实施例权限获取方法的网络架构示意图二。如图4A所示,本发明实施例中的家庭网关(Customer Premises Equipment,CPE)130和物联网终端可以分别作为图1A中所示的资源设备11和资源请求者10的一种替代实现方式,相应的,家庭网关上的可访问页面可以作为资源设备11上的可访问资源的一种示例。在本发明实施例中,认证服务器12可以为radius服务器也可以为其他的认证服务器。
基于图4A所示的网络架构,本发明实施例提供一种权限获取方法,图4B 为本发明实施例中权限获取方法的交互流程示意图二。如图4B所示,本发明实施例的步骤包括:
S401:物联网终端向CPE发送携带有用户信息的登陆请求。
其中,该登陆请求可以用于请求获取CPE上的可访问页面。在本发明实施例中,物联网终端可以在与CPE建立通信连接后,从CPE获取基于网络产品界面设计(Website UserInterface,WEB UI)技术开发的登陆页面,用户可以通过WEB UI输入用户信息,用户信息例如可以是用户名和密码。然后,物联网终端可以将用户信息携带在登陆请求中发送给CPE。示例性地,可访问页面可以为CPE的参数配置页面。在本发明实施例中,物联网终端可以通过多种方式与CPE建立通信连接,例如,可以基于超长距离低功耗数据传输技术(longrange,lora)网络、网线、WiFi网络与CPE建立通信连接。物联网终端例如可以是相机、扫描仪、打印机、投影仪等。
S402:CPE向认证服务器发送携带有用户信息的权限获取请求,权限获取请求用于获取所述用户信息对应的接入权限。
其中,认证服务器可以为radius服务器,则CPE可以通过radius客户端向 radius服务器发送权限获取请求。举例来说,CPE上可以部署有radius客户端,并在接收到物联网终端的登陆请求后,通过radius客户端向radius服务器发送权限获取请求。示例性地,权限获取请求可以为接入请求报文(Access-Request)。
S403:认证服务器向CPE发送携带有用户信息对应的接入权限的权限获取响应。
其中,权限获取响应为接入成功回应报文(Access-Accept)。
S404:CPE根据用户信息对应的接入权限确定物联网终端在CPE上对应的可访问页面。
S405:CPE向物联网终端发送可访问页面。
在本发明实施例中,作为S302的一种替代实现方式,权限获取请求还可以用于获取用户信息对应的接入权限信息;则S303-S304可以替换为:认证服务器可以向CPE发送携带有所述用户信息对应的接入权限信息的权限获取响应。 CPE可以根据接入权限信息确定物联网终端在CPE上对应的可访问页面。
示例性地,权限获取请求可以为包含AVP字段中type域的值为224、value 域的值为0的接入请求报文,权限获取响应可以为包含AVP字段中type域的值为224、value域的值为用户信息对应的接入权限信息的接入成功回应报文。
在本发明实施中,不同的接入权限信息可以对应家庭网关上的不同的可访问页面。例如,普通用户权限对应的可访问页面可以为常用参数的配置页面。管理员权限对应的可访问页面可以为高级参数的配置页面。超级用户权限对应的可访问页面可以为设备厂商内部参数的配置页面。由于对应各个权限的用户信息的数据不需要存储在家庭网关上,即家庭网关的设备厂商不需要将超级用户账号和对应的密码存储在家庭网关上,因而能够保证从存储在家庭网关中存储的信息中无法破解出设备厂商设置的超级用户账号和密码。
在一示例中,用户信息可以包括用户名和密码,不同的用户名可以对应不同的接入权限信息,同一用户名与不同密码的组合也可以对应不同的接入权限信息。采用这种方式,可以方便管理操作,利用相同的用户名和不同的密码配置不同的接入权限信息,从而可以减少需要规划的用户名资源。
另一示例中,用户信息也可以为物联网终端的媒体访问控制(Media AccessControl,MAC)地址和密码,MAC地址也称为物理地址或硬件地址,同一MAC 地址与不同密码的组合对应相同或不同的接入权限信息。采用这种方式,可以不需要规划用户名,资源设备可以在认证服务器上配置各个物联网终端对应的接入权限,由于不需要在网络中传输用户信息,因而能够避免在认证过程中泄露用户信息。
图5为本发明实施例中权限获取方法的处理流程示意图二。本发明实施例如图5所示,本发明实施例的步骤可以包括:
S501:CPE提供登陆界面,获取用户名和密码。
其中,用户或管理员可以通过物联网终端登录CPE提供的基于web UI或安全外壳协议(Secure Shell,SSH)等技术的登录界面,输入用户名和密码。
S502:CPE检查用户名和密码是否负荷字符规范,若是,执行S503,若否,执行S508。
其中,可以由CPE的登录模块进行用户名和密码的合法性检测,示例性的,可以对用户名或密码的长度进行合法性检测。
S503:CPE启动radius客户端,向radius服务器发送携带有接入许可标识的认证请求报文。
其中,可以由CPE的登录模块发送内部消息通知radius客户端相应的用户名和密码等信息。radius客户端发送的认证请求报文可以为接入请求报文 (Access-Request),接入请求报文中的AVP字段包含接入许可标识(access permission字段)。示例性的,利用网络封包分析软件对接入请求报文中携带有接入许可标识的AVP字段解析如下:
AVP:l=3t=Acess-Permission(224):0
其中,AVP字段中value域的值为0时,认为此接入请求报文用于请求用户信息对应的接入权限信息。
S504:radius服务器接收认证请求报文,并查询权限数据库。
其中,radius服务器可以接收该接入请求报文,该认证流程的报文交互过程与RFC2865中一致,当接入请求报文中包括接入许可标识字段时,radius服务器增加针对该接入许可标识字段的权限数据库查询操作的处理,查询用户名对应的权限配置数据。
S505:radius服务器判断是否在权限数据库查询到此用户对应的接入权限,若是,执行S506,若否,执行S507。
S506:radius服务器向radius客户端发送带有接入许可标识的接入成功回应报文。
其中,radius服务器可以将查询到的用户权限写入将要返回的接入成功回应报文后发送。radius客户端在接收到接入成功回应报文后,可以通知CPE的登录模块根据相应的用户权限,开放不同的登录界面给此用户,登陆过程至此结束。
S507:radius服务器向radius客户端发送接入拒绝回应报文。
其中,radius服务器由于未查询到此用户名对应的接入权限信息,radius服务器可以认为即使此用户名和密码是验证通过的,但由于无法匹配相应的用户登录权限,该用户信息无法在CPE上获取相应的访问权限,故radius服务器也可以向radius返回接入拒绝报文。radius客户端在接收到接入拒绝报文后,可以通知CPE的登录模块未获取到此用户名和密码对应的用户权限,无法开放任何登录界面给此用户。登陆模块可以拒绝此用户的登录,则登陆过程至此结束。
S508:CPE重新获取用户名和密码,若错误次数达到预设次数则停止重新获取。
其中,CPE可以重新弹出web UI窗口并提示使用物联网终端的用户重新输入用户名和密码。
在本发明其他实施例中,在用户名和密码的认证结果为验证通过但未在权限数据库查询到对应的接入权限信息时,radius服务器也可以向radius客户端发送携带value域的值为255的AVP字段的接入成功回应报文。
本发明实施例提供的权限获取方法可以应用于与图5所示类似的法国 MF259项目的网络架构中,该技术方案提供了更安全和便利的集中式权限管理方式。本发明实施例中主要应用了radius的鉴权和授权的功能,即在接入成功回应报文之后也可以不触发与radius的计费功能相关的计费请求报文。
本发明实施例的其他技术方案细节与图1A至图4B类似,具体可参考图 1A至图4B所示技术方案中的相关描述。
本发明实施例提供的权限获取方法,在安全性、存储性和负载度三个方面都具有较好的技术效果。
在安全性方面,通过扩展radius协议中的AVP中具有特定的实现的字段,利用radius标准化协议的可扩展性,将权限功能不再由各个资源设备或者终端设备独自控制,而是将其统一管理,对于一些采用将用户权限数据单独存储在各个终端设备中的设置方式,一旦某个终端设备丢失,则这个终端设备里存储的所有用户信息都可能存在泄露的问题,举例来说,在某些物联网网络中,例如,法国某项目的lora网络,物联网终端与家庭网关建立有通信连接,由于作为资源设备的CPE(即终端设备)众多,如果将允许访问CPE的用户权限数据存储在每个CPE中,整个lora网络都面临的安全泄露的风险,这对物联网来说是不可接受的。为了提升安全性,本发明实施例将对请求访问CPE上的可用资源的认证过程改由radius服务器执行,但是,由于不可能在radius服务器为每个CPE都设置一个用户名和密码来进行认证和权限获取的过程,这对于管理 CPE的企业来说,管理数据太多,因而可以通过设置一组用户名,每个用户名可以对于不同的权限,使得登陆lora网络中的终端设备时可以获得与用户名对应的权限,其中,采用相同的用户名登陆不同终端设备可以具有相同的接入权限信息,采用不同的用户名登陆同一终端设备可以具有不同的接入权限信息。即企业只需要管理少量的用户名对应的认证数据和少量的用户和密码对应的权限数据,使得企业对用于登陆海量CPE的用户数据的管理将更加简洁和灵活。并且,在本发明实施例中,由于将用户信息对应的认证数据和权限数据交由 radius服务器来存储,因此,企业只需要确保radius服务器的安全性,而不再需要考虑各个终端设备的安全性,对于企业来说,某个终端设备丢失也不会引起整个网络的安全性问题。
在存储性方面,对于CPE设备以及一般的物联网中的设备来说,存储空间是一个非常重要的问题,如果需要将用户认证数据和权限数据存储到每个家庭网关中,这就将占用设备的一部分存储空间,进而造成设备成本上升,设备竞争力下降,在本发明实施例中,用户认证和权限数据均是存储到radius服务器中,即只需要设置一个服务器,就可以将海量终端设备上的用户权限信息数据都存储到服务器上,从而降低的单个设备的在存储数据上需要耗费的存储成本。
在复杂度方面,这里的复杂度主要是涉及用户权限变更操作的复杂度,对于核心网路由设备来说,由于数量较少,用户权限变更的复杂度问题并非很严重,但对于物联网的终端设备来说,由于家庭网关的数量众多,用户权限变更的工作量是非常大的,并且,在物联网中,为了网络管理的需要,需要变更物联网终端在家庭网关上对应的可访问资源,如果仍然在家庭网关上存储用户信息及对应可访问资源,需要逐个修改家庭网关上存储的用户信息对应的可访问资源的数据。采用本发明实施例提供的将权限数据存储在radius服务器进行统一管理的方式,当需要变更用户信息对应的可访问资源时,只需要在服务器的权限数据库中进行修改即可,终端设备只需要根据本发明实施例中扩展的AVP 字段,获取用户信息对应的修改后的接入权限信息,并将该接入权限信息对应的可访问资源开放给使用该用户信息登陆的用户即可。
实施例四
图6A为本发明实施例中权限获取方法的网络架构示意图三。如图6A所示,本发明实施例中的终端设备可以作为图1A中所示的资源设备的一种替代实现方式。终端设备上的可用资源可以为终端设备上预先安装的应用(Application, APP),则资源请求者可以为请求使用终端设备上的APP的用户。在本发明实施例中,认证服务器可以为Radius服务器也可以为其他的认证服务器。
基于图6A所示的网络架构,本发明实施例还提供一种权限获取方法,图 6B为本发明实施例中权限获取方法的处理流程示意图三。如图6B所示,本发明实施例的步骤包括:
S601:终端设备在接收到用于指示启动终端设备上的APP的启用操作后进入用户信息获取状态。
其中,终端设备可以在检测到请求启用APP的启用指令时,设置自身进入用户信息获取状态。举例来说,终端设备可以在屏幕上检测某一需要权限控制的APP的图标上的点击触摸操作。在本发明实施例中,示例性的,该用户信息获取状态可以是弹出用户信息获取窗口等,或者,终端设备上的输入设备进入等待接入输入信息的状态,输入设备例如可以是触摸屏、话筒等,本发明对此不做限制。在本发明实施例中,APP可以是通过安卓工具安装包在安卓操作***中安装的应用,例如,微信、微博、淘宝等客户端,也可以是一些操作***提供的工具软件,例如,图片库软件、拍照软件、定位功能设置软件。
需要说明的是,在本发明其他实施例中,终端设备可以预先配置需要进行权限控制的APP集合,终端设备可以仅在用户请求启动的APP是APP集合中的APP时进入用户信息获取状态。
S602:终端设备在用户信息获取状态下,接收用户信息。
其中,用户信息可以包括用户名和密码,或者,用户信息可以包括指纹,或者,用户信息可以包括声音、虹膜等等,本发明实施例对此不做限制。
S603:终端设备向认证服务器发送携带用户信息的权限获取请求,该权限获取请求用于获取用户信息对应的接入权限。
其中,权限获取请求还可以用于获取所述用户信息对应的接入权限信息;则所述接收所述认证服务器根据所述权限获取请求向所述终端设备发送携带所述用户信息对应的接入权限的权限获取响应,包括:接收所述认证服务器发送的携带有所述用户信息对应的接入权限信息的权限获取响应;相应的,所述根据所述接入权限对应的允许启用的应用集合确定是否启用所述应用,包括:根据所述接入权限信息对应的允许启用的应用集合确定是否启用所述应用,不同的接入权限信息对应不同的允许启用的应用集合。
S604:认证服务器向终端设备发送携带有用户信息对应的接入权限的权限获取响应。
其中,用户信息对应的接入权限可以是认证成功对应的具有接入权限或者认证失败对应的不具有接入权限,或者,用户信息对应的接入权限也可以是不同的接入权限信息。不同的接入权限或者接入权限信息可以对应终端设备的上的不同的可访问资源。
举例来说,在一示例中,终端设备可以配置上述的具有接入权限在终端设备上对应的可访问资源是APP集合中的所有APP。在另一示例中,终端设备还可以配置上述的不具有接入权限在终端设备上对应的可访问资源是不允许访问 APP集合中的所有的APP。在再一示例中,终端设备还可以配置具有较低的接入权限信息在终端设备上对应的可访问资源是APP集合中的部分APP。在又一示例中,终端设备还可以配置具有最高信息的接入权限信息在终端设备上对应的可访问资源是APP集合中的所有APP。终端设备可以采用上述任一种或多种的配置方式的组合对不同的接入权限配置不同的可访问资源。
S605:终端设备根据接入权限对应的允许启用的应用集合确定是否启用该 APP。
其中,终端设备可以判断所请求启用的APP是否属于该用户信息对应的接入权限所配置的允许启用的应用集合,若是,则终端设备启用APP,若不是,则终端设备可以输出相应的拒绝信息。示例性的,终端设备可以在显示屏弹出用户没有权限使用该APP的提示信息,并禁止启用APP。在终端设备启用APP 之后,APP进入APP自身的登陆处理流程,例如,微信APP可以按照默认的启动流程对微信用户的账户信息进行认证,待认证通过后显示该微信用户的对话列表页面。
在本发明其他实施例中,认证服务器可以为radius服务器,则终端设备上可以部署有radius客户端,终端设备可以在检测到启用请求之后,启动radius 客户端并将获取到的用户信息通过radius客户端发送给radius认证服务器。具体的认证过程与图1A至图2B所示类似。
本发明实施例提供的权限获取方法不仅可以应用于用户请求启用终端设备上的APP的场景,还可应用于外部设备请求启用终端设备上的APP的场景。需要说明的是,外部设备可以通过软件或硬件接口与终端设备建立通信连接。
以手机为例,手机上可以安装“安全手机”应用,该应用中可以内置一个 radius客户端。手机的所有者可以在“安全手机”应用上预先设置一个或多个需要进行权限控制的APP,其中也可以包括该“安全手机”应用。这些APP不再单独由手机进行权限控制,而是在每次使用APP自身账号登录前,先进行手机自身的集中权限认证。举例来说,“安全手机”应用可以监控启用这些APP 的指令,在监控到启用指令时,“安全手机”应用可以在要启用的APP自身的账号登陆认证过程之前,先对使用手机的用户进行集中权限认证。需要说明的是,该APP自身的账号登陆通常是通过该APP与该APP对应的认证服务器进行交互实现的,即“安全手机”应用发起的权限认证与需要进行权限控制的APP 自身的账号登陆是相互独立的认证过程。
在一示例中,“安全手机”应用检测APP1接收到开启指令进入运行状态,用户在输入APP1自身登录的用户名和密码之前,需要先输入“安全手机”应用进行权限认证的用户名和密码,然后,“安全手机”应用作为radius客户端向 radius认证服务器发送接入请求报文,并接收radius服务器发送的接入成功回应报文,其中,接入请求报文和接入成功回应报文中可以携带包含接入许可标识的AVP字段。如果未通过权限认证则“安全手机”应用控制关闭APP1,如果通过权限认证则开启APP1。
在此场景的应用中,对于一些对安全性要求极高的手机所有者来说,即使 APP的用户名和密码被盗,由于非法用户不具有本手机的权限管理密码,如“安全手机”应用的用户名和密码,非法用户无法操作需要认证才能使用的APP。进一步地,手机所有者只需要在radius服务器上进行设置,以使radius服务器拒绝接收来自此手机的任何权限认证请求,那么此手机也就无法开启对权限有需求的APP。可见,采用本发明实施例提供的权限获取方法可以很好的维护手机中存储的私人信息的安全。
此外,为了提升APP的启动速度,手机所有者通常会设置APP登陆时所需使用的默认登陆信息,但是,当手机被盗时,非法用户在点击启用APP时会也使用默认登陆信息进行APP登陆,APP中存储的私人信息就可能被窃取。采用本发明实施例提供的权限获取方法,若非法用户或者具有较低的接入权限的用户想要打开手机上的APP时,手机可以在接收到请求启用APP的启用请求时,通过设置在第三方的认证服务器对用户进行认证,即仅允许认证服务器认证通过或者认证具有相应的接入权限的用户使用APP,从而可以避免APP中存储的私人数据丢失。可见,本发明实施例提供的权限获取方法能够提升手机等终端设备中存储的数据的安全性。
本发明实施例的其他技术方案细节和技术效果与图1A至图3类似,具体可参考图1A至图3所示技术方案中的相关描述。
实施例五
本发明实施例还提供一种权限获取装置,图7为本发明实施例中权限获取装置的结构示意图一,如图7所示,权限获取装置70包括:
第一发送模块701,配置为向远程用户拨号认证***radius服务器发送携带用户信息的权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限信息;
第一接收模块702,配置为接收所述radius服务器发送的携带所述接入权限信息的权限获取响应。
其中,所述接入权限信息可以用于确定所述用户信息对应的可访问资源,且不同的接入权限信息对应不同的可访问资源。
在上述方案中,所述权限获取装置可以位于家庭网关侧,则:
第一接收模块702,可以配置为接收物联网终端发送的携带有用户信息的登陆请求,所述登陆请求用于获取在所述家庭网关上的可访问资源;
第一发送模块701,可以配置为向认证服务器发送携带所述用户信息的权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限;
第一接收模块702,还可以配置为接收所述认证服务器发送的携带有所述用户信息对应的接入权限的权限获取响应;以及,根据所述接入权限确定所述物联网终端在所述家庭网关上对应的可访问资源。
在上述方案中,所述权限获取装置可以位于终端设备侧,则:
第一接收模块702,可以配置为在接收到用于指示启动所述终端设备上的应用的启用操作后进入用户信息获取状态;并在所述用户信息获取状态下,接收用户信息;
第一发送模块701,可以配置为向认证服务器发送携带所述用户信息的权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限;
第一接收模块702,还可以配置为接收所述认证服务器发送的携带有所述用户信息对应的接入权限的权限获取响应;以及,根据所述接入权限对应的允许启用的应用集合确定是否启用所述应用。
本实施例的权限获取装置,可以用于执行图1A至图6所示方法实施例的中部署有radius客户端的资源设备或者radius客户端或者家庭网关或者终端设备执行的技术方案,其实现原理和技术效果可参考图1A至图6所示方法。
本发明实施例还提供一种权限获取装置,图8为本发明实施例中权限获取装置的结构示意图二,如图8所示,权限获取装置80包括:
第二接收模块801,配置为接收远程用户拨号认证***radius客户端发送的携带有所述用户信息的权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限信息;
第二发送模块802,配置为向radius客户端发送携带有所述用户信息对应的接入权限信息的权限获取响应。
在上述方案中,所述权限获取请求可以为携带有和接入许可标识的接入请求报文Access-Requst,所述权限获取响应可以为接入成功回应报文 Access-Accept;其中,所述接入权限信息用于确定所述用户信息对应的可访问资源,且不同的接入权限信息对应不同的可访问资源。
本实施例的权限获取装置,可以用于执行图1A至图6所示方法实施例的中radius服务器执行的技术方案,其实现原理和技术效果可参考图1A至图6 所示方法。
实施例六
图9为本发明实施例中资源设备的结构示意图,如图9所示,资源设备11 包括存储器903、处理器904及存储在存储器903上并可在处理器904上运行的权限获取程序(图中未示出),其中,所述处理器执行所述程序时实现以下步骤:
向远程用户拨号认证***radius服务器发送携带用户信息的权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限信息;接收所述 radius服务器发送的携带所述接入权限信息的权限获取响应;其中,所述接入权限信息用于确定所述用户信息对应的可访问资源,且不同的接入权限信息对应不同的可访问资源。
所述资源设备11还可以包括接口901,总线902,接口901、存储器903 与处理器904通过总线902相连接。其中接口901可以用于与认证服务器建立通信连接。其中,接口可以是有线传输接口、无线传输接口。接口901还可以用于获取资源请求者的资源访问请求,接口还可以是能够接收指令的输入设备。示例性地,接口可以是发射或接收天线,也可以是由集成在数字电路处理器中的程序模块实现的。
在本发明其他实施例中,该程序被处理器904执行时还进一步实现以下步骤:在所述向radius服务器发送携带用户信息的权限获取请求之前,包括:接收携带有所述用户信息的资源访问请求,所述资源访问请求用于获取所述用户信息在资源设备上对应的可访问资源;则在所述接收所述radius服务器发送的携带所述接入权限信息的权限获取响应之后,包括:根据所述接入权限信息确定所述用户信息在所述资源设备上对应的可访问资源。
在上述方案中,所述资源设备11可以是家庭网关、终端设备等。
若所述资源设备11为家庭网关,所述程序被处理器904执行时还进一步实现一下步骤:家庭网关接收物联网终端发送的携带有用户信息的登陆请求,所述登陆请求用于获取在所述家庭网关上的可访问资源;向认证服务器发送携带所述用户信息的权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限;接收所述认证服务器发送的携带有所述用户信息对应的接入权限的权限获取响应;根据所述接入权限确定所述物联网终端在所述家庭网关上对应的可访问资源。
若所述资源设备11为家庭网关,所述程序被处理器904执行时还进一步实现一下步骤:终端设备在接收到用于指示启动所述终端设备上的应用的启用操作后进入用户信息获取状态;在所述用户信息获取状态下,接收用户信息;向认证服务器发送携带所述用户信息的权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限;接收所述认证服务器发送的携带有所述用户信息对应的接入权限的权限获取响应;根据所述接入权限对应的允许启用的应用集合确定是否启用所述应用。
本实施例的权限获取装置,可以用于执行图1A至图6所示方法实施例的中资源设备执行的技术方案,其实现原理和技术效果可参考图1A至图6所示方法。
图10为本发明实施例中radius服务器的结构示意图,如图10所示,radius 服务器100包括存储器1003、处理器1004及存储在存储器1003上并可在处理器1004上运行的权限获取程序(图中未示出),其中,所述处理器执行所述程序时实现以下步骤:
远程用户拨号认证***radius服务器接收radius客户端发送的携带有所述用户信息的权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限信息;向radius客户端发送携带有所述用户信息对应的接入权限信息的权限获取响应。
所述处理器执行所述程序时可以进一步实现以下步骤:
radius服务器接收radius客户端发送的携带有所述用户信息和接入许可标识的接入请求报文Access-Requst;向radius客户端发送携带有所述用户信息对应的接入权限信息的接入成功回应报文Access-Accept。
在本发明实施例中,所述接入权限信息可以用于确定所述用户信息对应的可访问资源,且不同的接入权限信息对应不同的可访问资源。
所述radius服务器100还可以包括接口1001,总线1002,接口1001、存储器1003与处理器1004通过总线1002相连接。其中接口1001可以用于与radius 客户端或者资源设备11建立通信连接。其中,接口可以是有线传输接口、无线传输接口。示例性地,接口可以是发射或接收天线,也可以是由集成在数字电路处理器中的程序模块实现的。
本实施例的权限获取装置,可以用于执行图1A至图6所示方法实施例的中radius服务器执行的技术方案,其实现原理和技术效果可参考图1A至图6 所示方法。
在实际应用中,处理器可由位于终端中的中央处理器(Central ProcessingUnit,CPU)、微处理器(Micro Processor Unit,MPU)、数字信号处理器(Digital SignalProcessor,DSP)或现场可编程门阵列(Field Programmable Gate Array, FPGA)等实现。
实施例七
本发明实施例还提供一种存储介质,存储有权限获取程序,其中,所述权限获取程序配置为执行:
向远程用户拨号认证***radius服务器发送携带用户信息的权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限信息;接收所述 radius服务器发送的携带所述接入权限信息的权限获取响应。
在本发明实施中,所述接入权限信息可以用于确定所述用户信息对应的可访问资源,且不同的接入权限信息对应不同的可访问资源。
本发明实施例的其他技术方案细节和技术效果与上述与部署有radius客户端的资源设备或者radius客户端相关实施例类似。
本发明实施例还提供一种存储介质,存储有权限获取程序,其中,所述权限获取程序配置为执行:
远程用户拨号认证***radius服务器接收radius客户端发送的携带有所述用户信息的权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限信息;向radius客户端发送携带有所述用户信息对应的接入权限信息的权限获取响应。
所述权限获取程序可以进一步配置为执行:
radius服务器接收radius客户端发送的携带有所述用户信息和接入许可标识的接入请求报文Access-Requst;向radius客户端发送携带有所述用户信息对应的接入权限信息的接入成功回应报文Access-Accept。
在本发明实施中,所述接入权限信息可以用于确定所述用户信息对应的可访问资源,且不同的接入权限信息对应不同的可访问资源。
本发明实施例的其他技术方案细节和技术效果与上述与radius服务器相关实施例类似。
本发明实施例还提供一种存储介质,存储有权限获取程序,其中,所述权限获取程序配置为执行:
家庭网关接收物联网终端发送的携带有用户信息的登陆请求,所述登陆请求用于获取在所述家庭网关上的可访问资源;向认证服务器发送携带所述用户信息的权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限;接收所述认证服务器发送的携带有所述用户信息对应的接入权限的权限获取响应;根据所述接入权限确定所述物联网终端在所述家庭网关上对应的可访问资源。
本发明实施例的其他技术方案细节和技术效果与上述与家庭网关相关实施例类似。
本发明实施例还提供一种存储介质,存储有权限获取程序,其中,所述权限获取程序配置为执行:
终端设备在接收到用于指示启动所述终端设备上的应用的启用操作后进入用户信息获取状态;在所述用户信息获取状态下,接收用户信息;向认证服务器发送携带所述用户信息的权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限;接收所述认证服务器发送的携带有所述用户信息对应的接入权限的权限获取响应;根据所述接入权限对应的允许启用的应用集合确定是否启用所述应用。
本发明实施例的其他技术方案细节和技术效果与上述与家庭网关相关实施例类似。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这类过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (17)
1.一种权限获取方法,其特征在于,所述方法包括:
远程用户拨号认证***radius客户端向radius服务器发送携带用户信息的权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限信息;
接收所述radius服务器发送的携带所述接入权限信息的权限获取响应。
2.根据权利要求1所述的方法,其特征在于,在所述向radius服务器发送携带用户信息的权限获取请求之前,包括:接收携带有所述用户信息的资源访问请求,所述资源访问请求用于获取所述用户信息在资源设备上对应的可访问资源;
相应的,在所述接收所述radius服务器发送的携带所述接入权限信息的权限获取响应之后,包括:根据所述接入权限信息确定所述用户信息在所述资源设备上对应的可访问资源。
3.根据权利要求2所述的方法,其特征在于,所述资源设备为家庭网关,所述接收携带有所述用户信息的资源访问请求,包括:接收物联网终端发送的携带有所述用户信息的登陆请求;所述登陆请求用于请求在所述家庭网关上与所述用户信息对应的可访问资源;
所述根据所述接入权限信息确定所述用户信息在所述资源设备上对应的可访问资源,包括:根据所述接入权限信息确定所述物联网终端在所述家庭网关上对应的可访问资源。
4.根据权利要求3所述的方法,其特征在于,所述用户信息包括物联网终端的媒体访问控制MAC地址和密码,同一MAC地址与不同密码的组合对应相同或不同的接入权限信息。
5.根据权利要求2所述的方法,其特征在于,所述资源设备为终端设备,所述可访问资源为允许启用的应用的集合,则在所述向radius服务器发送携带用户信息的权限获取请求之前,包括:在接收到用于指示启动所述终端设备上的应用的启用操作后进入用户信息获取状态;在所述用户信息获取状态下,接收用户信息;
则在所述接收所述radius服务器发送的携带所述接入权限信息的权限获取响应之后,包括:根据所述接入权限信息对应的允许启用的应用的集合确定是否启用所述应用。
6.根据权利要求1所述的方法,其特征在于,所述用户信息包括用户名和密码,同一用户名与不同密码的组合对应不同的接入权限信息。
7.根据权利要求1所述的方法,其特征在于,所述向远程用户拨号认证***radius服务器发送携带用户信息的权限获取请求,包括:向radius服务器发送携带有所有用户信息和接入许可标识access-permission的接入请求报文Access-Requst;
所述接收所述radius服务器发送的携带所述接入权限信息的权限获取响应,包括:接收所述radius服务器发送的携带所述接入权限信息的接入成功回应报文Access-Accept。
8.根据权利要求7所述的方法,其特征在于,在所述接收所述radius服务器发送的携带所述接入权限信息的接入成功回应报文Access-Accept之后,包括:
向radius服务器发送携带所述接入权限信息的计费请求报文Accounting-Request,所述计费请求报文用于请求所述radius服务器根据所述接入权限信息确定所述用户信息对应的计费方式和/或计费费率。
9.根据权利要求7所述的方法,其特征在于,所述接入请求报文包含类型号type表征所述接入许可标识的属性对AVP字段。
10.一种权限获取方法,其特征在于,所述方法包括:
远程用户拨号认证***radius服务器接收发送的携带有用户信息权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限信息;
向发送携带有所述用户信息对应的接入权限信息的权限获取响应。
11.根据权利要求10所述的方法,其特征在于,所述radius服务器接收radius客户端发送的携带有所述用户信息的权限获取请求包括:所述radius服务器接收radius客户端发送携带有用户信息和接入许可标识的接入请求报文Access-Requst;
所述向radius客户端发送携带有所述用户信息对应的接入权限信息的权限获取响应,包括:向radius客户端发送携带有所述用户信息对应的接入权限信息的接入成功回应报文Access-Accept。
12.根据权利要求11所述的方法,其特征在于,在所述向radius客户端发送携带有所述用户信息对应的接入权限信息的接入成功回应报文Access-Accept之后,包括:接收raduis客户端发送的携带所述接入权限信息的计费请求报文Accounting-Request;根据所述接入权限信息确定所述用户信息对应的计费方式和/或计费费率。
13.一种权限获取装置,其特征在于,所述权限获取装置包括:
第一发送模块,配置为向远程用户拨号认证***radius服务器发送携带用户信息的权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限信息;
第一接收模块,配置为接收所述radius服务器发送的携带所述接入权限信息的权限获取响应。
14.一种权限获取装置,其特征在于,所述权限获取装置包括:
第二接收模块,配置为接收远程用户拨号认证***radius客户端发送的携带有所述用户信息权限获取请求,所述权限获取请求用于获取所述用户信息对应的接入权限信息;
第二发送模块,配置为向radius客户端发送携带有所述用户信息对应的接入权限信息的权限获取响应。
15.一种资源设备,其特征在于,所述资源设备包括:
存储器、处理器及存储在存储器上并可在处理器上运行的权限获取程序,
所述处理器执行所述程序时实现权利要求1至权利要求9任一所述的权限获取方法。
16.一种远程用户拨号认证***认证服务器,其特征在于,所述远程用户拨号认证***认证服务器包括:
存储器、处理器及存储在存储器上并可在处理器上运行的权限获取程序,
所述处理器执行所述程序时实现权利要求10至权利要求12任一所述的权限获取方法。
17.一种计算机可读存储介质,存储有权限获取程序,其中,所述权限获取程序被处理器执行时实现如权利要求1至12中任一项所述的权限获取方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710444357.2A CN109150787A (zh) | 2017-06-13 | 2017-06-13 | 一种权限获取方法、装置、设备和存储介质 |
| PCT/CN2017/102299 WO2018227802A1 (zh) | 2017-06-13 | 2017-09-19 | 一种权限获取方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710444357.2A CN109150787A (zh) | 2017-06-13 | 2017-06-13 | 一种权限获取方法、装置、设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109150787A true CN109150787A (zh) | 2019-01-04 |
Family
ID=64660049
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710444357.2A Withdrawn CN109150787A (zh) | 2017-06-13 | 2017-06-13 | 一种权限获取方法、装置、设备和存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN109150787A (zh) |
| WO (1) | WO2018227802A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110162982A (zh) * | 2019-04-19 | 2019-08-23 | 中国平安人寿保险股份有限公司 | 检测非法权限的方法及装置、存储介质、电子设备 |
| CN112532640A (zh) * | 2020-12-02 | 2021-03-19 | 北京天融信网络安全技术有限公司 | 认证方法、装置、电子设备及计算机可读存储介质 |
| CN113759883A (zh) * | 2021-10-26 | 2021-12-07 | 深圳市元征科技股份有限公司 | 车辆诊断方法、车辆网关设备、服务器及存储介质 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112052479B (zh) * | 2020-09-04 | 2024-06-14 | 广东小天才科技有限公司 | 一种终端应用权限管理方法、***、电子设备及存储介质 |
| CN113239377B (zh) * | 2021-05-14 | 2024-05-17 | 北京百度网讯科技有限公司 | 权限控制方法、装置、设备以及存储介质 |
| CN114157475B (zh) * | 2021-11-30 | 2023-09-19 | 迈普通信技术股份有限公司 | 一种设备接入方法、装置,认证设备及接入设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101453460A (zh) * | 2007-12-07 | 2009-06-10 | 华为技术有限公司 | 一种访问控制方法及通讯***以及相关设备 |
| CN101582769A (zh) * | 2009-07-03 | 2009-11-18 | 杭州华三通信技术有限公司 | 用户接入网络的权限设置方法和设备 |
| CN101697550A (zh) * | 2009-10-30 | 2010-04-21 | 北京星网锐捷网络技术有限公司 | 一种双栈网络访问权限控制方法和*** |
| US20170041310A1 (en) * | 2014-04-15 | 2017-02-09 | Huawei Technologies Co., Ltd. | Rights control method, client, and server |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101267304B (zh) * | 2007-03-13 | 2010-09-08 | 华为技术有限公司 | 一种上网权限控制方法、装置及*** |
| CN101282254B (zh) * | 2007-04-02 | 2011-06-01 | 华为技术有限公司 | 家庭网络设备管理方法、***及装置 |
| CN102143493A (zh) * | 2011-01-26 | 2011-08-03 | 惠州Tcl移动通信有限公司 | 一种具有用户管理功能的移动通信终端及其用户管理方法 |
| US10069827B2 (en) * | 2012-10-31 | 2018-09-04 | International Business Machines Corporation | Extending authentication and authorization capabilities of an application without code changes |
| CN105530224B (zh) * | 2014-09-30 | 2019-01-25 | 中国电信股份有限公司 | 终端认证的方法和装置 |
-
2017
- 2017-06-13 CN CN201710444357.2A patent/CN109150787A/zh not_active Withdrawn
- 2017-09-19 WO PCT/CN2017/102299 patent/WO2018227802A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101453460A (zh) * | 2007-12-07 | 2009-06-10 | 华为技术有限公司 | 一种访问控制方法及通讯***以及相关设备 |
| CN101582769A (zh) * | 2009-07-03 | 2009-11-18 | 杭州华三通信技术有限公司 | 用户接入网络的权限设置方法和设备 |
| CN101697550A (zh) * | 2009-10-30 | 2010-04-21 | 北京星网锐捷网络技术有限公司 | 一种双栈网络访问权限控制方法和*** |
| US20170041310A1 (en) * | 2014-04-15 | 2017-02-09 | Huawei Technologies Co., Ltd. | Rights control method, client, and server |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110162982A (zh) * | 2019-04-19 | 2019-08-23 | 中国平安人寿保险股份有限公司 | 检测非法权限的方法及装置、存储介质、电子设备 |
| CN110162982B (zh) * | 2019-04-19 | 2024-06-04 | 中国平安人寿保险股份有限公司 | 检测非法权限的方法及装置、存储介质、电子设备 |
| CN112532640A (zh) * | 2020-12-02 | 2021-03-19 | 北京天融信网络安全技术有限公司 | 认证方法、装置、电子设备及计算机可读存储介质 |
| CN113759883A (zh) * | 2021-10-26 | 2021-12-07 | 深圳市元征科技股份有限公司 | 车辆诊断方法、车辆网关设备、服务器及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018227802A1 (zh) | 2018-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11716315B2 (en) | Disposable browsers and authentication techniques for a secure online user environment | |
| US11843589B2 (en) | Network connection automation | |
| CA3059330C (en) | Systems and methods for dynamic flexible authentication in a cloud service | |
| US10581920B2 (en) | Secure web container for a secure online user environment | |
| CN108901022B (zh) | 一种微服务统一鉴权方法及网关 | |
| CN109150787A (zh) | 一种权限获取方法、装置、设备和存储介质 | |
| US9407615B2 (en) | Single set of credentials for accessing multiple computing resource services | |
| CA2868896C (en) | Secure mobile framework | |
| US9137228B1 (en) | Augmenting service provider and third party authentication | |
| US20140089661A1 (en) | System and method for securing network traffic | |
| CN106921636A (zh) | 身份认证方法及装置 | |
| Berbecaru et al. | Providing login and Wi-Fi access services with the eIDAS network: A practical approach | |
| CN112565209B (zh) | 一种网元设备访问控制方法及设备 | |
| CN104767728A (zh) | 一种基于居家养老的身份认证的方法及*** | |
| CAMERONI | Providing Login and Wi-Fi Access Services With the eIDAS Network: A Practical Approach |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20190104 |