CN113678127B - 访问控制方法、服务器、访问设备及存储介质 - Google Patents

Abstract

一种访问控制方法，包括：服务器(304)在第一访问设备(301)的第一设备标识、第二访问设备(302)的第二设备标识以及与所述第二访问设备(302)关联的目标设备(303)的目标设备标识之间建立分享记录(S401)，所述分享记录用于将所述目标设备(303)的被访问权限分享至所述第一访问设备(301)；所述服务器(304)在所述第一访问设备(301)和所述第二访问设备(302)之间进行本地分享凭证的传输(S402)，所述本地分享凭证用于所述第一访问设备(301)与所述目标设备(303)建立本地连接。

Description

访问控制方法、服务器、访问设备及存储介质

技术领域

本发明涉及物联网(Internet of Things，IoT)技术，尤其涉及一种访问控制方法、服务器、访问设备及存储介质。

背景技术

在物联网中，不在同一个本地网络中的设备可以通过云端互相通信，云端将属于同一个用户的设备分组到同一个云端创建的用户ID下。注册到云端并且属于同一用户ID的所有设备可以按设备授权云的权限策略(例如：ACE2策略)进行通信。在物联网中，在同一个本地网络中的设备可以通过本地网络相互通信。因此，云端通信和本地网络通信之间是相互隔离的，设备只能由一个用户访问，无法满足多用户的应用场景。

发明内容

本发明实施例提供一种访问控制方法、服务器、访问设备及存储介质，能够将设备的被访问权限分享给其他用户，实现多用户的访问。

本发明实施例的技术方案是这样实现的：

第一方面，本发明实施例提供一种访问控制方法，包括：

服务器在第一访问设备的第一设备标识、第二访问设备的第二设备标识以及与所述第二访问设备关联的目标设备的目标设备标识之间建立分享记录，所述分享记录用于将所述目标设备的被访问权限分享至所述第一访问设备；

所述服务器在所述第一访问设备和所述第二访问设备之间进行本地分享凭证的传输，所述本地分享凭证用于所述第一访问设备与所述目标设备建立本地连接。

第二方面，本发明实施例提供一种访问控制方法，包括：

第一访问设备获取第二访问设备的第二设备标识；

所述第一访问设备将所述第一访问设备的第一设备标识和所述第二设备标识发送至服务器，所述第一设备标识和所述第二设备标识用于所述服务器在所述第一设备标识、所述第二设备标识以及与所述第二访问设备关联的目标设备的目标设备标识之间建立分享记录，所述分享记录用于将所述目标设备的被访问权限分享至所述第一访问设备；

所述第一访问设备与所述服务器进行本地分享凭证的传输，所述本地分享凭证用于所述第一访问设备与所述目标设备建立本地连接。

第三方面，本发明实施例提供一种访问控制方法，包括：

第二访问设备获取第一访问设备的第一设备标识；

所述第二访问设备将所述第一设备标识和所述第二访问设备的第二设备标识发送至服务器，所述第一设备标识和所述第二设备标识用于所述服务器在所述第一设备标识、所述第二设备标识以及与所述第二访问设备关联的目标设备的目标设备标识之间建立分享记录，所述分享记录用于将所述目标设备的被访问权限分享至所述第一访问设备；

所述第二访问设备与所述服务器进行本地分享凭证的传输，所述本地分享凭证用于所述第一访问设备与所述目标设备建立本地连接。

第四方面，本发明实施例提供一种服务器，包括：

建立单元，配置为在第一访问设备的第一设备标识、第二访问设备的第二设备标识以及与所述第二访问设备关联的目标设备的目标设备标识之间建立分享记录，所述分享记录用于将所述目标设备的被访问权限分享至所述第一访问设备；

传输单元，配置为在所述第一访问设备和所述第二访问设备之间进行本地分享凭证的传输，所述本地分享凭证用于所述第一访问设备与所述目标设备建立本地连接。

第五方面，本发明实施例提供一种访问设备，包括：

第一获取单元，配置为获取第二访问设备的第二设备标识；

第一发送单元，配置为将所述第一访问设备的第一设备标识和所述第二设备标识发送至服务器，所述第一设备标识和所述第二设备标识用于所述服务器在所述第一设备标识、所述第二设备标识以及与所述第二访问设备关联的目标设备的目标设备标识之间建立分享记录，所述分享记录用于将所述目标设备的被访问权限分享至所述第一访问设备；

第一传输单元，配置为与所述服务器进行本地分享凭证的传输，所述本地分享凭证用于所述第一访问设备与所述目标设备建立本地连接。

第六方面，本发明实施例提供一种访问设备，包括：

第二获取单元，配置为获取第一访问设备的第一设备标识；

第二发送单元，配置为将所述第一设备标识和所述第二访问设备的第二设备标识发送至服务器，所述第一设备标识和所述第二设备标识用于所述服务器在所述第一设备标识、所述第二设备标识以及与所述第二访问设备关联的目标设备的目标设备标识之间建立分享记录，所述分享记录用于将所述目标设备的被访问权限分享至所述第一访问设备；

第二传输单元，配置为与所述服务器进行本地分享凭证的传输，所述本地分享凭证用于所述第一访问设备与所述目标设备建立本地连接。

第七方面，本发明实施例提供一种服务器，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器用于运行所述计算机程序时，执行上述服务器执行的访问控制方法的步骤。

第八方面，本发明实施例提供一种访问设备，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器用于运行所述计算机程序时，执行上述第一访问设备执行的访问控制方法的步骤。

第九方面，本发明实施例提供一种访问设备，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器用于运行所述计算机程序时，执行上述第二访问设备执行的访问控制方法的步骤。

第十方面，本发明实施例提供一种存储介质，存储有可执行程序，所述可执行程序被处理器执行时，实现上述服务器执行的访问控制方法。

第十一方面，本发明实施例提供一种存储介质，存储有可执行程序，所述可执行程序被处理器执行时，实现上述第一访问设备执行的访问控制方法。

第十二方面，本发明实施例提供一种存储介质，存储有可执行程序，所述可执行程序被处理器执行时，实现上述第二访问设备执行的访问控制方法。

本发明实施例提供的访问控制方法，包括：服务器在第一访问设备的第一设备标识、第二访问设备的第二设备标识以及与所述第二访问设备关联的目标设备的目标设备标识之间建立分享记录，所述分享记录用于将所述目标设备的被访问权限分享至所述第一访问设备；所述服务器在所述第一访问设备和所述第二访问设备之间进行本地分享凭证的传输，所述本地分享凭证用于所述第一访问设备与所述目标设备建立本地连接；从而基于分享记录实现未与目标设备关联的第一访问设备对目标访问设备的访问，且在分享记录对应的第一访问设备和第二访问设备之间进行能够使得第一访问设备对目标设备执行本地访问的本地分享凭证，能够使得目标设备不受仅具有绑定关系的用户标识的访问的限制，实现多用户的访问，且第一访问设备对目标设备的访问不受网络的限制。

附图说明

图1是本发明实施例提供物联网***的一个可选的结构示意图；

图2是本发明实施例提供的访问控制方法的一个可选的流程示意图；

图3是本发明实施例提供的物联网***的一个可选的结构示意图；

图4A是本发明实施例提供的访问控制方法的一个可选的流程示意图；

图4B是本发明实施例提供的访问控制方法的一个可选的流程示意图；

图4C是本发明实施例提供的访问控制方法的一个可选的流程示意图；

图5是本发明实施例提供的访问控制方法的一个可选的流程示意图；

图6是本发明实施例提供的访问控制方法的一个可选的流程示意图；

图7是本发明实施例提供的访问控制方法的一个可选的流程示意图；

图8是本发明实施例提供的服务器的一个可选的结构示意图；

图9是本发明实施例提供的访问设备的一个可选的结构示意图；

图10是本发明实施例提供的访问设备的一个可选的结构示意图；

图11是本发明实施例提供的电子设备的一个可选的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，所描述的实施例不应视为对本发明的限制，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

在对本发明实施例提供的访问控制方法进行详细说明之前，先对物联网***的访问控制进行简要说明。

物联网***的访问控制包括基于家庭网络的本地访问和基于云端的远程访问。

物联网设备在进入物联网后需要进行云端的注册，在注册时物联网设备会得到对应的用户标识(UserID)，并且物联网设备在云端注册之后处于可远程操作的状态。如果物联网设备未在云端注册则不可执行远程操作，但是可以在本地操作。造成这个结果的原因是UserID是物联网设备在云端的用户标识，并非设备ID(device ID)，物联网设备在本地的操作与物联网设备的访问策略相关，而与UserID不相关。

下面，分别对本地访问和远程访问进行说明。

本地访问

物联网设备在接入家庭网络之后，会直接进行配置。配置工作由OBT来完成。在配置过程中需要设定物联网设备的所属者标识(Owner ID)为OBT设备的Device ID，另外，还需配置物联网设备的访问接入凭证，该访问接入凭证用于在两个设备建立连接时进行双向认证。访问接入凭证可以是对称密钥、非对称密钥、证书等方式。

两个设备通过认证之后双方可以建立安全的通信连接，即可以互联互通互操作。

远程访问

基于云端的物联网***的结构如图1所示，包括：客户端101、服务端102和云端103。客户端101访问服务端102的资源，服务端102提供客户端101访问的资源。且客户端101和服务端102通过云端103相互通信。

当客户端101向云端103承载的资源Links引用的资源请求执行CRUDN操作时，客户端101向云端103发送CRUDN请求，云端103将客户端101的CRUDN请求转发给实际承载资源的服务端102，服务端102对云端103的CRUDN请求进行响应，云端103再将服务端102的响应转发给客户端101，即通信路径是客户端101->云端103->服务端102->云端103->客户端101。

示例性地，云端103可包括三个功能实体：

云端接口1031：云上锚点，负责服务端的接入管理，客户端和服务端远程通信的消息路由，云端接口对外提供一个统一的地址和端口号，如coaps+tcp：//example.com：443。

授权服务器1032：负责服务端注册、对客户端和服务端的鉴权。

资源目录1033：服务端资源的索引，客户端通过检索资源目录可以获取目标设备的资源。

其中，授权服务器1032可与云端为同一物理实体，也可为不同的物理实体。

其中，每个设备可以是客户端、服务端、或既是客户端又是服务端。

设备在云端的注册流程如图2所示，包括：

步骤S201、配置器从授权服务器获取用户的访问令牌(Access Token)。

用户APP中提供配置器(Mediator)功能，用于配置设备连接云端。配置器中配置了云端接入统一资源定位符(Uniform Resource Locator，URL)，用户已注册用户名和密码，使得授权服务器可以对用户进行授权，向配置器返回访问令牌。其中，用户APP可位于作为客户端的设备上。

步骤S202、配置器在云端注册。

配置器向云端提供访问令牌进行配置器注册，云端验证配置器提供的AccessToken并分配一个用户标识User ID。同一个用户用不同的配置器，授权服务器会提供不同的Access Token，但同一个用户用任何配置器都与同一个User ID关联。

步骤S203、配置器连接至设备，对设备进行配置。

配置器通过正常的设备发现流程连接到设备，然后从云端为所配置的设备请求Access Token。配置器使用从云端授权的Access Token、云端接入统一资源标识(UniformResource Identifier，URI)和云端通用唯一识别码(Universally Unique Identifier，UUID)更新设备上的进行云端信息配置的云配置资源如：“oic.r.coapcloudconf”资源。云端提供的该Access Token用于设备向云端进行初始注册时使用。

步骤S204、设备与云端建立传输层安全协议(Transport Layer Security，TLS)连接。

配置器配置了设备的配置资源后，设备使用预置的数字证书和云端建立TLS连接。预置的数字证书包括：设备的制造商证书、信任锚证书(trust anchor certificate)。

步骤S205、设备在云端注册。

设备要在云端注册，需要向云端上账号资源发送更新(UPDATE)操作请求，资源更新请求中包括了云配置资源中所配置的Access Token以及User ID。云端为每个设备维护账号资源的唯一实例。其中，账号资源可为“/oic/sec/account”资源。

步骤S206至步骤S207、云端验证设备提供的Access Token。

云端将设备提供的User ID和Access Token发送至授权服务器，当授权服务器成功验证该更新操作请求后，云端进行更新操作的响应，该响应会为设备提供一个更新的Access Token以及Access Token的有效期。另外，云端还记录了与此设备关联即具有绑定关系的User ID。

需要说明的是，当云端集成有授权服务器，在云端与配置器之间完成步骤S201，且不需要步骤S207。

设备需要在云端登录才能在设备和云端之间传输数据，设备向云端的会话资源发送更新(UPDATE)操作请求。云端成功验证更新操作请求后，设备和云端建立了TLS连接，可以开始交换数据。其中，会话资源可为“/oic/sec/session”资源。

图2中的设备可为客户端，也可为服务端。如果设备作为服务端，设备和云端建立TLS连接后，设备在云端的资源目录中公开其承载的资源，以便于对客户端这些资源进行远程访问。

不在同一个本地网络中的设备可以通过云端，使用基于传输控制协议(Transmission Control Protocol，TCP)的受限应用(CoAP over TCP)协议互相通信。云端将属于同一个User ID的设备分组到同一个User ID下。注册到云端并且属于同一User ID的所有设备可以按设备授权云的ACE2策略进行通信。在本发明实施例中，将一User ID下的设备称为与该User ID具有绑定关系的设备。

但是，在远程访问中，只有关联相同的User ID的设备之间才能够互相访问，则设备只能由一个User ID通过云端远程访问。在一个多成员的家庭中，这种方案限制了只能有一个User ID控制家庭中的设备，其他家庭成员也只能用同一User ID登录。若多个家庭成员分别在云端注册了User ID，则只能各自控制自身User ID所管理的设备，无法通过云端控制家庭中其他User ID下所关联的设备，无法满足多用户的应用场景，且在本地通信和远程通信架构割裂的条件下，是无法完成设备的远程分享和本地分享的。

基于上述问题，本发明提供一种访问控制方法，本发明实施例的访问控制入方法可以应用于图3所示的物联网***300，包括：第一访问设备301、第二访问设备302、目标设备303和服务器304；其中，第一访问设备301和第二访问设备为客户端，目标设备为服务端，服务器304为云端。客户端基于云端访问服务端的资源。

第一访问设备301以第一用户标识登陆服务器304，第二访问设备302以第二用户标识登陆服务器304。第一用户标识与目标设备未关联，第二用户标识与目标设备关联，也就是说，第一访问设备和目标设备不是同一用户标识下的设备，第二访问设备和目标设备为同一用户标识下的设备。

物联网***300中的客户端、服务端和云端可基于各种通信***进行通信，例如：全球移动通讯(Global System of Mobile communication，GSM)***、码分多址(CodeDivision Multiple Access，CDMA)***、宽带码分多址(Wideband Code DivisionMultiple Access，WCDMA)***、通用分组无线业务(General Packet Radio Service，GPRS)、长期演进(Long Term Evolution，LTE)***、LTE频分双工(Frequency DivisionDuplex，FDD)***、LTE时分双工(Time Division Duplex，TDD)、通用移动通信***(Universal Mobile Telecommunication System，UMTS)、全球互联微波接入(WorldwideInteroperability for Microwave Access，WiMAX)通信***或5G***等。

第一访问设备301和第二访问设备302可为终端设备，终端设备可以指接入终端、用户设备(User Equipment，UE)、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。接入终端可以是蜂窝电话、无绳电话、会话启动协议(Session Initiation Protocol，SIP)电话、无线本地环路(Wireless Local Loop，WLL)站、个人数字处理(Personal Digital Assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、5G网络中的终端设备或者未来演进的PLMN中的终端设备等。

目标设备303可以为传感器、激光扫描***和智能家电等物联网设备。

图3示例性地示出了一个服务端和两个客户端，可选地，该物联网***300可以包括多个服务端以及与服务端具有绑定关系的客户端或与服务端不具有绑定关系的客户端，本发明实施例对此不做限定。

本发明实施例提供的访问控制方法的一种可选的处理流程，如图4A所示，包括以下步骤：

步骤S401，服务器在第一访问设备的第一设备标识、第二访问设备的第二设备标识以及与所述第二访问设备关联的目标设备的目标设备标识之间建立分享记录。

服务器可接收第一访问设备或第二访问设备发送的第一设备标识和第二设备标识，并基于所获取的第一设备标识和第二设备标识在第一设备标识、第二设备标识以及与第二访问设备关联同一用户标识的目标设备的目标设备标识之间建立对应关系，将所建立的对应关系称为分享记录，所述分享记录用于将所述目标设备的被访问权限分享至所述第一访问设备，以确定将与第二访问设备关联的至少一个目标设备的被访问权限分享给未与目标设备关联的第一访问设备。

这里，第一访问设备和目标设备未关联同一用户标识，即第一访问设备未与目标设备关联，第二访问设备和目标设备关联同一用户标识，即第二访问设备与目标设备关联。

在服务器接收第一访问设备发送的第一设备标识和第二设备标识的情况下，由第一访问设备向服务器发起设备分享的注册。

在服务器接收第二访问设备发送的第一设备标识和第二设备标识的情况下，由第二访问设备向服务器发起设备分享的注册。

在本发明实施例中，服务器接收第一访问设备或第二访问设备发送的注册请求；所述注册请求中携带有所述第一设备标识和所述第二设备标识。

可选地，注册请求未携带目标设备的目标设备标识，此时，服务器根据第二设备标识和/或第二设备标识对应的第二用户标识查找与第二访问设备关联的所有的目标设备，基于所有的目标设备的目标设备标识与第一设备标识、第二设备标识之间建立分享记录。其中，可对应所有的目标设备标识建立一条分享记录，也可基于不同的目标设备标志分别建立对应的分享记录。

可选地，所述注册请求中还携带有：所述目标设备标识。此时，服务器在注册请求携带的第一设备标识、第二设备标识以及目标设备标识之间建立分享记录。其中，注册请求可携带至少一个目标设备标识，服务器可对应注册请求携带的所有的目标设备标识建立一条分享记录，也可基于不同的目标设备标志分别建立对应的分享记录。

在本发明实施例中，服务器通过独立的资源来存储分享记录。可选地，将存储分享记录的资源称为设备分享(deviceshare)资源。

服务器在建立新的分享记录后，将建立的分享记录添加到设备分享资源中。

在本发明实施例中，所述注册请求中还携带有以下信息之一：

所述第一访问设备的第一用户标识、所述第二访问设备的第二用户标识、分享限制条件；对应地，所述分享记录中还包括有以下信息之一：所述第一访问设备的第一用户标识、所述第二访问设备的第二用户标识、分享限制条件。

分享限制条件用于限制第一访问设备对目标设备的访问权限，分享限制条件可包括：表征仅访问一次的仅分享一次(Only One Time)、表征永久访问的总是分享(Always)，表征允许一段时间访问的分享时间段、或其他的条件内容。这里，不同的分享限制条件可通过不同的分享标识来表示。

步骤S402、所述服务器在所述第一访问设备和所述第二访问设备之间进行本地分享凭证的传输。

所述本地分享凭证用于所述第一访问设备与所述目标设备建立本地连接，使得第一分享凭证与目标设备在接入本地网络后，能够基于本地网络建立本地连接，第一访问设备基于建立的本地连接对目标设备进行访问。

在执行步骤S402的过程中，在第一访问设备、第二访问设备和服务器之间进行本地分享凭证的传输。可选地，服务器将本地分享凭证分别发送至第一访问设备和第二访问设备。可选地。服务器接收第一访问设备发送的本地分享凭证，并将接收的本地分享凭证发送至第二访问设备。可选地，服务器接收第二访问设备发送的本地分享凭证，并将接收的本地分享凭证发送至第一访问设备。

本地分享凭证可由服务器、第一访问设备或第二访问设备生成。

可选地，在本地分享凭证由服务器生成的情况下，服务器将生成的本地分享凭证分别发送至第一访问设备和第二访问设备，使得第二访问设备将本地分享凭证配置给目标设备。这样，第一访问设备和目标设备存在相同的本地分享凭证，实现本地访问。

可选地，在本地分享凭证由第一访问设备生成的情况下，第一访问设备将生成的本地分享凭证发送至服务器，且服务器将接收的本地分享凭证发送至第二访问设备，使得第二访问设备将本地分享凭证配置给目标设备。这样，第一访问设备和目标设备存在相同的本地分享凭证，实现本地访问。

可选地，在本地分享凭证由第二访问设备生成的情况下，第二访问设备将生成的本地分享凭证发送至服务器，且服务器将接收的本地分享凭证发送至第一访问设备，且第二访问设备将生成的本地分享凭证配置给目标设备。这样，第一访问设备和目标设备存在相同的本地分享凭证，实现本地访问。

可选地，在本地分享凭证由第二访问设备生成的情况下，第二访问设备将生成的本地分享凭证配置给目标设备，目标设备将生成的本地分享凭证发送至服务器，且服务器将接收的本地分享凭证发送至第一访问设备。这样，第一访问设备和目标设备存在相同的本地分享凭证，实现本地访问。

在本发明实施例中，本地分享凭证的传输和分享记录的建立过程可交互执行，也可先执行分享记录的建立后执行本地分享凭证的传输。

以第一访问设备向服务器发起设备分享的注册即服务器接收第一访问设备发送的第一设备标识和第二设备标识为例，服务器建立分享记录的流程可如图4B所示，包括：

步骤S4011a，第一访问设备获取第二访问设备的第二设备标识。

第一访问设备可通过设备发现、标识扫描等带外方式获取第二访问设备的第二设备标识。可选地，扫描的标识包括二维码。本发明实施例对第一访问设备获取第二设备标识的方式和途径不进行任何的限定。

步骤S4012a，所述第一访问设备将所述第一访问设备的第一设备标识和所述第二设备标识发送至服务器。

所述第一设备标识和所述第二设备标识用于所述服务器在所述第一设备标识、所述第二设备标识以及与所述第二访问设备关联的目标设备的目标设备标识之间建立分享记录，所述分享记录用于将所述目标设备的被访问权限分享至所述第一访问设备。

可选地，所述第一访问设备根据所述第一设备标识和所述第二设备标识生成注册请求；对应的，步骤S4012a包括：所述第一访问设备将所述注册请求发送至所述服务器。

这里，第一访问设备通过向服务器发送注册请求向服务器发送第一设备标识和第二设备标识。可选地，注册请求中不携带目标设备标识。可选地，注册请求中携带目标设备标识。

在注册请求中携带目标设备标识时，第一访问设备可基于设备发现、标识扫描等带外方式获取目标设备的目标设备标识。可选地，扫描的标识包括二维码。

在本发明实施例中，所述注册请求中还携带有以下信息之一：

所述第一访问设备的第一用户标识、所述第二访问设备的第二用户标识、分享限制条件；对应的，所述分享记录中还包括以下信息之一：所述第一访问设备的第一用户标识、所述第二访问设备的第二用户标识、分享限制条件。

可选地，服务器在接收到第一访问设备发送的注册请求后，根据注册请求携带的信息建立分享记录后，如图4B所示，执行步骤S4013a和步骤S4014a：

步骤S4013a，服务器向所述第二访问设备发送第一确认请求。

步骤S4014a，所述服务器接收到所述第二访问设备响应所述第一确认请求的第一应答，将所述分享记录设置为激活状态。

在执行步骤S4013a之前，服务器建立的分享记录处于不可用的未激活状态，当服务器接收到第二访问设备响应的第一应答后，将所建立的分享记录置为可用的激活状态。此时，该分享记录可用于控制第一访问设备对目标设备的访问。

在本发明实施例中，第二访问设备在接收到服务器发送的第一确认请求后，确认是否认可将目标设备的被访问权限分享给第一访问设备，当认可时，向服务器返回第一响应。可选地，第一确认请求中可携带第一设备标识和目标设备标识，第二访问设备接收到第一确认请求携带的第一设备标识和目标设备标识后，在第二访问设备中设置相同的分享记录，当第二访问设备建立相同的分享记录，表征第二访问设备认可将目标设备的被访问权限分享给第一访问设备，向服务器响应第一响应。

在本发明实施例中，服务器基于步骤S4014a确定得到第二访问设备的认可后，如图4B所示，可执行步骤S4015a-1：

步骤S4015a-1，所述服务器向所述第一访问设备发送第一分享完成通知。

所述第一分享完成通知用于指示所述第一访问设备在所述第一访问设备本地设置所述分享记录。

此时，第一访问设备执行步骤S4015a-1和步骤S4015a-2：

步骤S4015a-1，所述第一访问设备接收所述服务器发送的第一分享完成通知。

步骤S4015a-2，所述第一访问基于所述第一分享完成通知的触发，设置所述分享记录。

这里，第一分享完成通知用于通知第一访问设备服务器已将目标设备的被访问权限分享至第一访问设备。第一访问设备可同步服务器在本地建立分享记录。

可选地，第一分享完成通知中携带分享记录。可选地，第一分享完成通知中未携带分享记录。

在本发明实施例中，服务器基于步骤S4014a确定得到第二访问设备的认可后，如图4B所示，可执行步骤S4016a：所述服务器向所述目标设备发送第二分享完成通知。所述第二分享完成通知用于指示所述目标设备在所述目标设备本地设置所述分享记录。

此时，目标设备接收所述服务器发送的第二分享完成通知，基于所述第二分享完成通知的触发，设置所述分享记录。

这里，第二分享完成通知用于通知目标设备服务器已将目标设备的被访问权限分享至第一访问设备。目标设备可同步服务器在本地建立分享记录。

可选地，第二分享完成通知中携带分享记录。可选地，第二分享完成通知中未携带分享记录。

以第二访问设备向服务器发起设备分享的注册即服务器接收第二访问设备发送的第一设备标识和第二设备标识为例，服务器建立分享记录的流程可如图4C所示，包括：

步骤S4011b，第二访问设备获取第一访问设备的第一设备标识。

第二访问设备可通过设备发现、标识扫描等带外方式获取第一访问设备的第一设备标识。可选地，扫描的标识包括二维码。本发明实施例对第二访问设备获取第一设备标识的方式和途径不进行任何的限定。

步骤S4012b，所述第二访问设备将所述第一设备标识和所述第二访问设备的第二设备标识发送至服务器。

所述第一设备标识和所述第二设备标识用于所述服务器在所述第一设备标识、所述第二设备标识以及与所述第二访问设备关联的目标设备的目标设备标识之间建立分享记录，所述分享记录用于将所述目标设备的被访问权限分享至所述第一访问设备。

可选地，所述第二访问设备根据所述第一设备标识和所述第二设备标识生成注册请求；对应的，步骤S4012b包括：所述第二访问设备将所述注册请求发送至所述服务器。

这里，第二访问设备通过向服务器发送注册请求向服务器发送第一设备标识和第二设备标识。可选地，注册请求中不携带目标设备标识。可选地，注册请求中携带目标设备标识。

在本发明实施例中，所述注册请求中还携带有以下信息之一：

所述第一访问设备的第一用户标识、所述第二访问设备的第二用户标识、分享限制条件；对应的，所述分享记录中还包括以下信息之一：所述第一访问设备的第一用户标识、所述第二访问设备的第二用户标识、分享限制条件。

可选地，服务器在接收到第二访问设备发送的注册请求后，根据注册请求携带的信息建立分享记录后，如图4C所示，执行步骤S4013b和步骤S4014b：

步骤S4013b，所述服务器分别向所述第一访问设备和所述目标设备发送第二确认请求和第三确认请求。

其中，步骤S4013b包括：

步骤S4013b-1，所述服务器向所述第一访问设备发送第二确认请求。

步骤S4013b-2，所述服务器向所述目标设备发送第三确认请求。

步骤S4014b，所述服务器接收到所述第一访问设备响应所述第二确认请求的第二应答，且接收到所述目标设备响应所述第三确认请求的第三应答，将所述分享记录设置为激活状态。

其中，步骤S4014b包括：

步骤S4014b-1，所述服务器接收所述第一访问设备响应所述第二确认请求的第二应答。

步骤S4014b-2，所述服务器接收到所述目标设备响应所述第三确认请求的第三应答。

步骤S4014b-3，所述服务器将所述分享记录设置为激活状态。

在执行步骤S4013b之前，服务器建立的分享记录处于不可用的未激活状态，当服务器接收到第一访问设备响应的第二应答后和目标设备响应的第三应答后，将所建立的分享记录置为可用的激活状态。此时，该分享记录可用于控制第一访问设备对目标设备的访问。

在本发明实施例中，第一访问设备在接收到服务器发送的第二确认请求后，确认是否认可将目标设备的被访问权限分享给第一访问设备，当认可时，向服务器返回第二响应。可选地，第二确认请求中可携带第二设备标识和目标设备标识，第一访问设备接收到第二确认请求携带的第二设备标识和目标设备标识后，在第一访问设备中设置相同的分享记录，当第一访问设备建立相同的分享记录，表征第一访问设备认可将目标设备的被访问权限分享给第一访问设备，向服务器响应第二响应。

在本发明实施例中，目标设备在接收到服务器发送的第三确认请求后，确认是否认可将目标设备的被访问权限分享给第一访问设备，当认可时，向服务器返回第三响应。可选地，第三确认请求中可携带第一设备标识和第二设备标识，目标设备接收到第三确认请求携带的第一设备标识和第二设备标识后，在目标设备中设置相同的分享记录，当目标设备建立相同的分享记录，表征目标备认可将目标设备的被访问权限分享给第一访问设备，向服务器响应第三响应。

在本发明实施例中，服务器基于步骤S4014b确定得到第一访问设备和目标设备的认可后，如图4C所示，可执行步骤S4015b-1：

步骤S4015b-1，所述服务器向所述第二访问设备发送第三分享完成通知。

所述第三分享完成通知用于指示所述第二访问设备在所述第二访问设备本地设置所述分享记录。

此时，第二访问设备执行步骤S4015b-1和步骤S4015b-2：

步骤S4015b-1，所述第二访问设备接收所述服务器发送的第三分享完成通知。

步骤S4015b-2，所述第二访问设备基于所述第三分享完成通知的触发，设置所述分享记录。

这里，第三分享完成通知用于通知第二访问设备服务器已将目标设备的被访问权限分享至第一访问设备。第二访问设备可同步服务器在本地建立分享记录。

可选地，第三分享完成通知中携带分享记录。可选地，第三分享完成通知中未携带分享记录。

在本发明实施例中，在本地分享凭证由服务器生成的情况下，步骤S402可通过图4B或图4C中的信息交互完成在第一访问设备和第二访问设备之间的传输。

以本地分享凭证由服务器生成，由第一访问设备向服务器发起设备分享的注册为例，步骤S402服务器在所述第一访问设备和所述第二访问设备之间进行本地分享凭证的传输，包括：所述服务器通过携带所述本地分享凭证的第一确认请求将所述本地分享凭证发送至所述第二访问设备；所述服务器通过携带所述本地分享凭证的所述第一分享完成通知将所述本地分享凭证发送至所述第一访问设备。

这里，图4B所示的步骤S4013a中的第一确认请求和步骤S4015a-1中的第一分享完成通知中分别携带有发送至第二访问设备和第一访问设备的本地分享凭证。

此时，所述第一访问设备与所述服务器进行本地分享凭证的传输，包括：所述第一访问设备通过携带所述本地分享凭证的所述第一分享完成通知接收所述服务器发送的本地分享凭证，所述本地分享凭证为所述服务器生成的。第二访问设备通过第一确认请求接收服务器发送的本地分享凭证。

以本地分享凭证由服务器生成，由第二访问设备向服务器发起设备分享的注册为例，步骤S402服务器在所述第一访问设备和所述第二访问设备之间进行本地分享凭证的传输，包括：所述服务器通过携带所述本地分享凭证的第二确认请求将所述本地分享凭证发送至所述第一访问设备；所述服务器通过携带所述本地分享凭证的第三分享完成通知将所述本地分享凭证发送至所述第二访问设备。

这里，图4C所示的步骤S4013b-1中的第二确认请求，以及步骤S4015b-1中的第三分享完成中分别携带有发送至第一访问设备和第二访问设备的本地分享凭证。

此时，所述第二访问设备与所述服务器进行本地分享凭证的传输，包括：所述第二访问设备通过携带所述本地分享凭证的所述第三分享完成通知接收所述服务器发送的本地分享凭证，所述本地分享凭证为所述服务器生成的。第一访问设备通过第二确认请求接收服务器发送的本地分享凭证。

以本地分享凭证由第一访问设备生成为例，所述第一访问设备与所述服务器进行本地分享凭证的传输，包括：所述第一访问设备生成所述本地分享凭证；所述第一访问设备将所述本地分享凭证发送至所述服务器，以使得所述服务器将所述本地分享凭证发送至所述第二访问设备。此时，所述服务器在所述第一访问设备和所述第二访问设备之间进行本地分享凭证的传输，包括：所述服务器接收所述第一访问设备发送的本地分享凭证；所述服务器将所述本地分享凭证发送至所述第二访问设备。所述第二访问设备与所述服务器进行本地分享凭证的传输，包括：所述第二访问设备接收所述服务器发送的所述第一访问设备生成的本地分享凭证。

以本地分享凭证由第二访问设备生成为例，所述第二访问设备与所述服务器进行本地分享凭证的传输，包括：所述第二访问设备生成所述本地分享凭证；所述第二访问设备将所述本地分享凭证配置至所述目标服务器，以使得所述服务器将所述本地分享凭证发送至所述第一访问设备。

可选地，第二访问设备直接将本地分享凭证发送至服务器。可选地，第二访问设备将本地分享凭证配置给目标设备，由目标设备发送至服务器。

在第二访问设备将本地分享凭证配置给目标设备，由目标设备发送至服务器的情况下，在所述服务器生成所述本地分享凭证的情况下，所述服务器在所述第一访问设备和所述第二访问设备之间进行本地分享凭证的传输，包括：所述服务器接收所述目标设备发送的本地分享凭证；所述服务器将所述本地分享凭证发送至所述第一访问设备。此时，所述第一访问设备与所述服务器进行本地分享凭证的传输，包括：所述第一访问设备接收所述服务器发送的所述第二访问设备生成的本地分享凭证。

在本发明实施例中，在所述服务器接收的所述本地分享凭证为所述第一访问设备发送的情况下，所述本地分享凭证为所述第一访问设备生成的；或在所述服务器接收的所述本地分享凭证为所述目标设备发送的情况下，所述本地分享凭证为所述第二访问设备生成的。

在本发明实施例中，第一访问设备根据所述本地分享凭证配置用于所述第一访问设备对所述目标设备进行访问的访问策略。所述第二访问设备根据所述本地分享凭证配置用于所述第二访问设备对所述目标设备进行访问的访问策略。

在本发明实施例中，第一访问设备基于所述目标设备标识生成访问请求，将所述访问请求发送至服务器，所述服务器在存在所述分享记录的情况下，将所述访问请求转发至所述目标设备，此时，所述服务器接收所述第一访问设备发送的访问所述目标设备的访问请求；在存在所述分享记录的情况下，所述服务器将所述访问请求转发至所述目标设备。

第一访问设备与目标设备不在一个本地网络的情况下，第一访问设备可基于目标设备标识发起访问目标设备的访问请求，并将访问请求发送至服务器，服务器基于分享记录确定已将目标设备的被访问权限分享至第一访问设备的情况下，将访问请求发送至目标设备。

第一访问设备与目标设备在一个本地网络的情况下，第一访问设备可基于本地分享凭证与目标设备建立本地连接，对目标设备进行访问。

下面，结合具体实施例对本发明进行详细描述。其中，目标设备为Device A，OBT A为与DeviceA具有关联关系的客户端即第二访问设备，DeviceA与OBT A具有同一User ID：User ID A，OBT B为与DeviceA不具有关联关系的客户端即第一访问设备，OBT B具有UserID：User ID B。

实例一

在实例一中，以OBTA作为设备分享的注册的发起方和本地分享凭证的生成方。

步骤S501、OBTA获取OBTB的设备信息。

OBTB的设备信息可包括：设备标识和/或用户标识。步骤S501可以通过带外的方式执行，例如，OBTA扫描OBTB生成的二维码。

本发明实施例对OBTA获取OBTB的设备信息的途径和方式不进行任何的限定。

步骤S502、OBTA向云端发起注册请求。

OBTA通过注册请求向云端即云平台发送的信息包括：User ID A(可选)、OBTA的Device ID、Device A的Device ID、User ID B(可选)、OBTB的Device ID等，

注册请求还可以携带分享限制：允许一次(Only One Time)\总是允许(Always)等。分享限制还可以是时间限制，例如从8：00-10：00，以及更复杂的限制条件。

云平台基于注册请求发送的信息生成分享记录，需要说明的是，此时该条分享记录还没有被激活即还可用。

在实现过程中可以设定一个设备分享(deviceshare)资源，该deviceshare资源可以同时在云端和设备侧保存，其目的用于保存分享记录。但是在云端保存的保存记录只有相关联的UserID(例如：User ID A或User ID B)才可以访问。

当云平台接收一个访问请求之后，会检查该deviceshare资源，如果该消息指定的访问目标为基于分享记录存在分享关系的设备，则云平台应转发该访问请求。

其中，分享记录的内容可如表1所示。

表1

步骤S503-步骤S504，云端确认Device A和OBT B的认可。

步骤S503包括：步骤S503-1和步骤S503-2。

步骤S503-1，云端向Device A发送确认请求，以确认上述注册请求是否获得Device A的认可。

确认的方式是向Device A上保存的deviceshare资源添加与步骤S502相同的内容

步骤S503-2，Device A向云端发送分享确认。

Device A认可上述注册请求时，向云平台发送相应确认请求的分享确认即第三应答。

步骤S504-1，云端向OBT B发送确认请求，以确认上述注册请求是否获得OBT B的认可。

确认的方式是向OBT B上保存的deviceshare资源添加与步骤S502相同的内容。

步骤S504-2，OBT B向云端发送分享确认。

OBT B认可上述注册请求时，向云平台发送相应确认请求的分享确认即第三应答。

确认的方式是向Device A上保存的deviceshare资源添加与步骤S502相同的内容。

步骤S505，云端将保存的分享记录的分享属性变更为真。

云平台得到Device A和OBTB的认可之后，将保存的分享记录的shareenabled变更为true，以激活该条分享记录。

可选地，在步骤S505之后，云端分别Device A、OBTB向发送请求以修改Device A、OBTB上保存的分享记录的shareenabled为true。

步骤S506，云端向OBTA发送分享完成通知。

OBTA收到上述请求之后也可以修改其保存的对应的分享记录的shareenabled属性变为true。至此OBT B与Device A在应用层建立了连接，OBT B可以远程访问Device A。

在实际应用中，在步骤S505之后，云平台可以向OBTA上保存的deviceshare资源更新上述分享记录，也就是说上述所有设备上都保存了相同的分享记录。

步骤S507，OBTA生成本地分享凭证。

OBTA在收到云平台发送的分享完成通知之后，发起本地分享的流程，生成一个本地分享凭证。具有本地分享凭证的两台设备是可以建立连接的。

本地分享凭证可包括：pin码、共享密钥、证书等各种形式的凭证。

步骤S508，OBTA配置DeviceA的访问策略。

OBT A使用步骤S506生成的本地分享凭证配置Device A的访问策略。

以本地分享凭证为共享密钥为例，将共享密钥保存为Device A的一个访问策略，后续建立连接时使用该凭证进行双方的确认。

其中，步骤S508包括：步骤S508-1和步骤S508-2。

步骤S508-1，OBT A将生成的本地分享凭证配置给Device A。

步骤S508-2，Device A向OBT A发送配置完成消息。

步骤S509，OBT A通过云端将本地分享凭证分享给OBTB。

OBT A在完成Device A的访问策略的配置之后，可以通过云平台将本地分享凭证分享给OBTB。

需要说明的是，仅有DeviceA与OBTB保存有该本地分享凭证，因此该凭证仅可用于上述两设备。

其中，步骤S509包括：步骤S509-1、步骤S509-2、步骤509-3、步骤S509-4和步骤S509-5。

步骤S509-1，Device A通知云端更新Device A的本地分享凭证。

步骤S509-2，云端通知OBTB更新Device A的本地分享凭证。

步骤S509-3，OBTB根据Device A的本地分享凭证完成自配置。

步骤S509-4，OBTB向云端发送自配置完成消息。

步骤S509-5，云端向Device A转发OBTB发送的自配置完成消息。

至此，Device A与OBTB都具有了本地分享凭证，DeviceA与OBTB可以在本地建立连接。

实例二

在实例二中，以OBT B作为设备分享的注册的发起方和本地分享凭证的生成方。

步骤S601、OBT B获取OBTA的设备信息。

OBTA的设备信息可包括：设备标识和/或用户标识。步骤S601可以通过带外的方式执行，例如，OBT B扫描OBTA生成的二维码。

本发明实施例对OBT B获取OBT A的设备信息的途径和方式不进行任何的限定。

步骤S602、OBTB向云端发起注册请求。

OBT B通过注册请求向云平台发送的信息包括：User ID A(可选)、OBTA的DeviceID、Device A的Device ID、User ID B(可选)、OBTB的Device ID等，

注册请求还可以携带分享限制：允许一次(Only One Time)\总是允许(Always)等。分享限制还可以是时间限制，例如从8：00-10：00，以及更复杂的限制条件。

云平台基于注册请求发送的信息生成分享记录，分享记录中的分享限制可由OBT修改。需要说明的是，此时该条分享记录还没有被激活即不可用。

在实现过程中可以设定一个设备分享(deviceshare)资源，该deviceshare资源可以同时在云端和设备侧保存，其目的用于保存分享记录。但是在云端保存的保存记录只有相关联的UserID(例如：User ID A或User ID B)才可以访问。

当云平台接收一个访问请求之后，会检查该deviceshare资源，如果该消息指定的访问目标为基于分享记录存在分享关系的设备，则云平台应转发该访问请求。

步骤S603，云端确认OBTA的认可。

步骤S603包括：步骤S603-1和步骤S603-2。

步骤S603-1，云端向OBT A发送确认请求，以确认上述注册请求是否获得OBT A的认可。

确认的方式是向OBT A上保存的deviceshare资源添加与步骤S602相同的内容

步骤S603-2，OBTA向云端发送分享确认。

OBT A认可上述注册请求时，向云平台发送相应确认请求的分享确认即第一应答。

步骤S604，云端保存的分享记录的分享属性变更为真。

云平台得到OBT A的认可之后，将保存的分享记录的shareenabled变更为true，以激活该条分享记录。

步骤S605，云端向Device A发送分享通知。

云平台发送分享通知给DeviceA，DeviceA在其上保存分享记录以及将shareenabled属性变更为true。

步骤S606，云端向OBT B发送分享完成通知。

云平台向OBTB发送针对步骤S602中的注册请求的分享完成通知。OBTB收到分享完成通知之后也可以修改其保存的对应的分享记录的shareenabled属性变为true。

至此，OBT B与Device A在应用层建立了连接，OBT B可以远程访问Device A。

步骤S607，OBT B生成本地分享凭证。

OBTB在收到云平台发送的分享完成通知之后，发起本地分享的流程，生成一个本地分享凭证。具有本地分享凭证的两台设备是可以建立连接的。

本地分享凭证可包括：pin码、共享密钥、证书等各种形式的凭证。

步骤S608，OBT B根据Device A的本地分享凭证完成自配置。

步骤S609，OBT B通知云端更新Device A的本地分享凭证。

步骤S610，云端通知OBT A更新Device A的本地分享凭证。

步骤S611，OBTA配置DeviceA的访问策略。

OBT A使用步骤S610接收的本地分享凭证配置Device A的访问策略。

其中，步骤S611包括：步骤S6011-1和步骤S6011-2。

步骤S611-1，OBT A将接收的本地分享凭证配置给Device A。

步骤S611-2，Device A向OBT A发送配置完成消息。

步骤S612，OBT A向云端发送的自配置完成消息。

步骤S613，云端向OBT B转发OBT A发送自配置完成消息。

至此，Device A与OBTB都具有了本地分享凭证，DeviceA与OBTB可以在本地建立连接。

实例三

在实例三中，云端为本地分享凭证的生成方。

步骤S701、OBTA获取OBTB的设备信息。

步骤S702、OBTA向云端发起注册请求。

步骤S703-步骤S704，云端确认Device A和OBT B的认可。

步骤S703包括：步骤S703-1和步骤S703-2。

步骤S703-1，云端向Device A发送确认请求，以确认上述注册请求是否获得Device A的认可。

步骤S703-2，Device A向云端发送分享确认。

步骤704-1，云端向OBT B发送确认请求，以确认上述注册请求是否获得OBT B的认可。

其中，云平台在向OBTB发送的确认请求中可以携带本地分享凭证。

步骤S704-2，OBT B向云端发送分享确认。

步骤S705，云端保存的分享记录的分享属性变更为真。

步骤S706，云端向OBTA发送分享完成通知。

OBTA收到上述请求之后也可以修改其保存的对应的分享记录的shareenabled属性变为true。同时，云平台向OBTA发送的分享完成通知中携带本地分享凭证。

至此OBT B与Device A在应用层建立了连接，OBT B可以远程访问Device A。

步骤S707，OBT B根据接收的本地分享凭证完成自配置。

步骤S708-1，OBT A将接收的本地分享凭证配置给Device A。

步骤S708-2，Device A向OBT A发送配置完成消息。

至此，Device A与OBTB都具有了本地分享凭证，DeviceA与OBTB可以在本地建立连接。

需要说明的是，在本发明实施例中，图5至图8中的虚线所示的步骤为可选地。

在实际应用中，实例一和实例二中的远程分享和本地分享可以交叉组合。上述实例中，可以在注册请求中仅携带OBTA的标识，不需要携带Device A的标识，表示可以把OBTA关联的所有设备分享给OBTB。当然也可以扩展为一次分享为多设备。

为实现上述访问控制方法，本发明实施例还提供一种服务器800，作为图3中的服务器304，服务器800的组成结构，如图8所示，服务器800包括：

建立单元801，配置为在第一访问设备的第一设备标识、第二访问设备的第二设备标识以及与所述第二访问设备关联的目标设备的目标设备标识之间建立分享记录，所述分享记录用于将所述目标设备的被访问权限分享至所述第一访问设备；

凭证传输单元802，配置为在所述第一访问设备和所述第二访问设备之间进行本地分享凭证的传输，所述本地分享凭证用于所述第一访问设备与所述目标设备建立本地连接。

本发明实施例中，服务器800还包括：

接收单元，配置为接收第一访问设备或第二访问设备发送的注册请求；所述注册请求中携带有所述第一设备标识和所述第二设备标识。

本发明实施例中，所述注册请求中还携带有：所述目标设备标识。

本发明实施例中，所述注册请求中还携带有以下信息之一：

所述第一访问设备的第一用户标识、所述第二访问设备的第二用户标识、分享限制条件；

对应地，所述分享记录中还包括有以下信息之一：所述第一访问设备的第一用户标识、所述第二访问设备的第二用户标识、分享限制条件。

本发明实施例中，服务器800还包括：

第一确认单元，配置为：

在所述注册请求为所述第一访问设备发送的情况下，向所述第二访问设备发送第一确认请求；

接收到所述第二访问设备响应所述第一确认请求的第一应答，将所述分享记录设置为激活状态。

本发明实施例中，服务器800还包括：第一通知单元，配置为向所述第一访问设备发送第一分享完成通知，所述第一分享完成通知用于指示所述第一访问设备在所述第一访问设备本地设置所述分享记录。

本发明实施例中，服务器800还包括：

第二通知单元，配置为向所述目标设备发送第二分享完成通知，所述第二分享完成通知用于指示所述目标设备在所述目标设备本地设置所述分享记录。

本发明实施例中，服务器800还包括：第二确认单元，配置为：

在所述注册请求为所述第二访问设备发送的情况下，分别向所述第一访问设备和所述目标设备发送第二确认请求和第三确认请求；

接收到所述第一访问设备响应所述第二确认请求的第二应答，且接收到所述目标设备响应所述第三确认请求的第三应答，将所述分享记录设置为激活状态。

本发明实施例中，服务器800还包括：

第三通知所述服务器向所述第二访问设备发送第三分享完成通知，所述第三分享完成通知用于指示所述第二访问设备在所述第二访问设备本地设置所述分享记录。

本发明实施例中，凭证传输单元802，还配置为：

在所述服务器生成所述本地分享凭证的情况下，

通过携带所述本地分享凭证的第一确认请求将所述本地分享凭证发送至所述第二访问设备；

通过携带所述本地分享凭证的所述第一分享完成通知将所述本地分享凭证发送至所述第一访问设备。

本发明实施例中，凭证传输单元802，还配置为：在所述服务器生成所述本地分享凭证的情况下，

通过携带所述本地分享凭证的第二确认请求将所述本地分享凭证发送至所述第一访问设备；

通过携带所述本地分享凭证的第三分享完成通知将所述本地分享凭证发送至所述第二访问设备。

本发明实施例中，凭证传输单元802，还配置为：

接收所述第一访问设备或目标设备发送的本地分享凭证；

将所述本地分享凭证发送至所述第二访问设备或所述第一访问设备。

本发明实施例中，

在接收的所述本地分享凭证为所述第一访问设备发送的情况下，所述本地分享凭证为所述第一访问设备生成的；或

在接收的所述本地分享凭证为所述目标设备发送的情况下，所述本地分享凭证为所述第二访问设备生成的。

本发明实施例中，服务器800还包括：

第一访问单元，配置为：

接收所述第一访问设备发送的访问所述目标设备的访问请求；

在存在所述分享记录的情况下，将所述访问请求转发至所述目标设备。

本发明实施例还提供一种服务器，包括处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器用于运行所述计算机程序时，执行上述服务器执行的访问控制方法的步骤。

本发明实施例还提供一种访问设备900，作为图3中的第一访问设备301，访问设备900的组成结构示意图，如图9所示，包括：

第一获取单元901，配置为获取第二访问设备的第二设备标识；

第一发送单元902，配置为将所述第一访问设备的第一设备标识和所述第二设备标识发送至服务器，所述第一设备标识和所述第二设备标识用于所述服务器在所述第一设备标识、所述第二设备标识以及与所述第二访问设备关联的目标设备的目标设备标识之间建立分享记录，所述分享记录用于将所述目标设备的被访问权限分享至所述第一访问设备；

第一传输单元903，配置为与所述服务器进行本地分享凭证的传输，所述本地分享凭证用于所述第一访问设备与所述目标设备建立本地连接。

在本发明实施例中，访问设备900还包括：

第一生成单元，配置为根据所述第一设备标识和所述第二设备标识生成注册请求；

对应的，所述第一发送单元，配置为将所述注册请求发送至所述服务器。

在本发明实施例中，所述注册请求中还携带有：所述目标设备标识。

在本发明实施例中，所述注册请求中还携带有以下信息之一：

所述第一访问设备的第一用户标识、所述第二访问设备的第二用户标识、分享限制条件；

对应的，所述分享记录中还包括以下信息之一：所述第一访问设备的第一用户标识、所述第二访问设备的第二用户标识、分享限制条件。

在本发明实施例中，访问设备900还包括：第一设置单元，配置为：

接收所述服务器发送的第一分享完成通知；

基于所述第一分享完成通知的触发，设置所述分享记录。

在本发明实施例中，第一传输单元903，还配置为通过携带所述本地分享凭证的所述第一分享完成通知接收所述服务器发送的本地分享凭证，所述本地分享凭证为所述服务器生成的。

在本发明实施例中，第一传输单元903，还配置为：

生成所述本地分享凭证；

将所述本地分享凭证发送至所述服务器，以使得所述服务器将所述本地分享凭证发送至所述第二访问设备。

在本发明实施例中，第一传输单元903，还配置为接收所述服务器发送的所述第二访问设备生成的本地分享凭证。

在本发明实施例中，访问设备900还包括：

第二访问单元，配置为基于所述目标设备标识生成访问请求，将所述访问请求发送至服务器，所述服务器在存在所述分享记录的情况下，将所述访问请求转发至所述目标设备。

在本发明实施例中，访问设备900还包括：

第一配置单元，配置为根据所述本地分享凭证配置用于所述访问设备对所述目标设备进行访问的访问策略。

本发明实施例还提供一种访问设备，包括处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器用于运行所述计算机程序时，执行上述访问设备900执行的访问控制方法的步骤。

本发明实施例还提供一种访问设备1000，作为图3中的第二访问设备302，访问设备1000的组成结构示意图，如图10所示，包括：

第二获取单元1001，配置为获取第一访问设备的第一设备标识；

第二发送单元1002，配置为将所述第一设备标识和所述第二访问设备的第二设备标识发送至服务器，所述第一设备标识和所述第二设备标识用于所述服务器在所述第一设备标识、所述第二设备标识以及与所述第二访问设备关联的目标设备的目标设备标识之间建立分享记录，所述分享记录用于将所述目标设备的被访问权限分享至所述第一访问设备；

第二传输单元1003，配置为与所述服务器进行本地分享凭证的传输，所述本地分享凭证用于所述第一访问设备与所述目标设备建立本地连接。

在本发明实施例中，访问设备1000还包括：

第二生成单元，配置为根据所述第一设备标识和所述第二设备标识生成注册请求；

对应的，所述第二发送单元，配置为将所述注册请求发送至所述服务器。

在本发明实施例中，所述注册请求中还携带有：所述目标设备标识。

在本发明实施例中，所述注册请求中还携带有以下信息之一：

所述第一访问设备的第一用户标识、所述第二访问设备的第二用户标识、分享限制条件；

对应的，所述分享记录中还包括以下信息之一：所述第一访问设备的第一用户标识、所述第二访问设备的第二用户标识、分享限制条件。

在本发明实施例中，访问设备1000还包括：第二设置单元，配置为：

接收所述服务器发送的第三分享完成通知；

基于所述第三分享完成通知的触发，设置所述分享记录。

在本发明实施例中，所述第二传输单元1003，还配置为通过携带所述本地分享凭证的所述第三分享完成通知接收所述服务器发送的本地分享凭证，所述本地分享凭证为所述服务器生成的。

在本发明实施例中，第二传输单元1003，还配置为：

生成所述本地分享凭证；

将所述本地分享凭证发送至所述服务器，以使得所述服务器将所述本地分享凭证发送至所述第一访问设备。

在本发明实施例中，第二传输单元1003，还配置为接收所述服务器发送的所述第一访问设备生成的本地分享凭证。

在本发明实施例中，访问设备1000还包括：

第二配置单元，配置为根据所述本地分享凭证配置用于所述第二访问设备对所述目标设备进行访问的访问策略。

本发明实施例还提供一种访问设备，包括处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器用于运行所述计算机程序时，执行上述访问设备1000执行的访问控制方法的步骤。

图11是本发明实施例的电子设备(访问设备或服务器)的硬件组成结构示意图，电子设备1100包括：至少一个处理器1101、存储器1102和至少一个网络接口1104。电子设备1100中的各个组件通过总线***1105耦合在一起。可理解，总线***1105用于实现这些组件之间的连接通信。总线***1105除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图11中将各种总线都标为总线***1105。

可以理解，存储器1102可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是ROM、可编程只读存储器(PROM，Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM，ErasableProgrammable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM，ElectricallyErasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM，ferromagneticrandom access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM，Compact Disc Read-Only Memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM，Random Access Memory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(SRAM，Static Random Access Memory)、同步静态随机存取存储器(SSRAM，SynchronousStatic Random Access Memory)、动态随机存取存储器(DRAM，Dynamic Random AccessMemory)、同步动态随机存取存储器(SDRAM，Synchronous Dynamic Random AccessMemory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM，Double Data RateSynchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM，Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM，SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM，Direct Rambus Random Access Memory)。本发明实施例描述的存储器1102旨在包括但不限于这些和任意其它适合类型的存储器。

本发明实施例中的存储器1102用于存储各种类型的数据以支持电子设备1100的操作。这些数据的示例包括：用于在电子设备1100上操作的任何计算机程序，如应用程序11021。实现本发明实施例方法的程序可以包含在应用程序11021中。

上述本发明实施例揭示的方法可以应用于处理器1101中，或者由处理器1101实现。处理器1101可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器1101中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1101可以是通用处理器、数字信号处理器(DSP，Digital Signal Processor)，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器1101可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器1102，处理器1101读取存储器1102中的信息，结合其硬件完成前述方法的步骤。

在示例性实施例中，电子设备1100可以被一个或多个应用专用集成电路(ASIC，Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD，ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD，Complex Programmable Logic Device)、FPGA、通用处理器、控制器、MCU、MPU、或其他电子元件实现，用于执行前述方法。

本发明实施例还提供了一种存储介质，用于存储计算机程序。

可选的，该存储介质可应用于本发明实施例中的服务器，并且该计算机程序使得计算机执行本发明实施例的各个方法中的相应流程，为了简洁，在此不再赘述。

可选的，该存储介质可应用于本发明实施例中的访问设备，并且该计算机程序使得计算机执行本发明实施例的各个方法中的相应流程，为了简洁，在此不再赘述。

本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅为本发明的实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和范围之内所作的任何修改、等同替换和改进等，均包含在本发明的保护范围之内。

Claims (16)

1.一种访问控制方法，包括：

服务器在第一访问设备的第一设备标识、第二访问设备的第二设备标识以及与所述第二访问设备关联的目标设备的目标设备标识之间建立分享记录，所述分享记录用于将所述目标设备的被访问权限分享至所述第一访问设备；

所述服务器在所述第一访问设备和所述第二访问设备之间进行本地分享凭证的传输，使得所述第一访问设备与所述目标设备存在所述本地分享凭证，所述本地分享凭证用于所述第一访问设备与所述目标设备在一个本地网络的情况下建立本地连接，使得所述第一访问设备与所述目标设备在接入本地网络后，所述第一访问设备基于本地连接对目标设备进行访问；

其中，所述分享记录还用于所述服务器在所述第一访问设备与所述目标设备不在一个本地网络的情况下将所述第一访问设备的访问请求转发至所述目标设备。

2.根据权利要求1所述的方法，其中，所述方法还包括：

服务器接收第一访问设备或第二访问设备发送的注册请求；所述注册请求中携带有所述第一设备标识、所述第二设备标识和所述目标设备标识。

3.根据权利要求2所述的方法，其中，所述注册请求中还携带有：所述目标设备标识。

4.根据权利要求2所述的方法，其中，所述注册请求中还携带有以下信息之一：

所述第一访问设备的第一用户标识、所述第二访问设备的第二用户标识、分享限制条件；

对应地，所述分享记录中还包括有以下信息之一：所述第一访问设备的第一用户标识、所述第二访问设备的第二用户标识、分享限制条件。

5.根据权利要求2至4任一项所述的方法，其中，在所述注册请求为所述第一访问设备发送的情况下，所述方法还包括：

所述服务器向所述第二访问设备发送第一确认请求；

所述服务器接收到所述第二访问设备响应所述第一确认请求的第一应答，将所述分享记录设置为激活状态。

6.根据权利要求5所述的方法，其中，所述方法还包括：

所述服务器向所述第一访问设备发送第一分享完成通知，所述第一分享完成通知用于指示所述第一访问设备在所述第一访问设备本地设置所述分享记录。

7.根据权利要求5所述的方法，其中，所述方法还包括：

所述服务器向所述目标设备发送第二分享完成通知，所述第二分享完成通知用于指示所述目标设备在所述目标设备本地设置所述分享记录。

8.根据权利要求2至4任一项所述的方法，其中，在所述注册请求为所述第二访问设备发送的情况下，所述方法还包括：

所述服务器分别向所述第一访问设备和所述目标设备发送第二确认请求和第三确认请求；

所述服务器接收到所述第一访问设备响应所述第二确认请求的第二应答，且接收到所述目标设备响应所述第三确认请求的第三应答，将所述分享记录设置为激活状态。

9.根据权利要求8所述的方法，其中，所述方法还包括：

所述服务器向所述第二访问设备发送第三分享完成通知，所述第三分享完成通知用于指示所述第二访问设备在所述第二访问设备本地设置所述分享记录。

10.根据权利要求6所述的方法，其中，在所述服务器生成所述本地分享凭证的情况下，所述服务器在所述第一访问设备和所述第二访问设备之间进行本地分享凭证的传输，包括：

所述服务器通过携带所述本地分享凭证的第一确认请求将所述本地分享凭证发送至所述第二访问设备；

所述服务器通过携带所述本地分享凭证的所述第一分享完成通知将所述本地分享凭证发送至所述第一访问设备。

11.根据权利要求9所述的方法，其中，在所述服务器生成所述本地分享凭证的情况下，所述服务器在所述第一访问设备和所述第二访问设备之间进行本地分享凭证的传输，包括：

所述服务器通过携带所述本地分享凭证的第二确认请求将所述本地分享凭证发送至所述第一访问设备；

所述服务器通过携带所述本地分享凭证的第三分享完成通知将所述本地分享凭证发送至所述第二访问设备。

12.根据权利要求1所述的方法，其中，所述服务器在所述第一访问设备和所述第二访问设备之间进行本地分享凭证的传输，包括：

所述服务器接收所述第一访问设备或目标设备发送的本地分享凭证；

所述服务器将所述本地分享凭证发送至所述第二访问设备或所述第一访问设备。

13.根据权利要求12所述的方法，其中，

在所述服务器接收的所述本地分享凭证为所述第一访问设备发送的情况下，所述本地分享凭证为所述第一访问设备生成的；或

在所述服务器接收的所述本地分享凭证为所述目标设备发送的情况下，所述本地分享凭证为所述第二访问设备生成的。

14.根据权利要求1所述的方法，其中，所述方法还包括：

所述服务器接收所述第一访问设备发送的访问所述目标设备的访问请求；

在存在所述分享记录的情况下，所述服务器将所述访问请求转发至所述目标设备。

15.一种访问控制方法，包括：

第一访问设备获取第二访问设备的第二设备标识；

所述第一访问设备将所述第一访问设备的第一设备标识和所述第二设备标识发送至服务器，所述第一设备标识和所述第二设备标识用于所述服务器在所述第一设备标识、所述第二设备标识以及与所述第二访问设备关联的目标设备的目标设备标识之间建立分享记录，所述分享记录用于将所述目标设备的被访问权限分享至所述第一访问设备；

所述第一访问设备与所述服务器进行本地分享凭证的传输，使得所述第一访问设备与所述目标设备存在所述本地分享凭证，所述本地分享凭证用于所述第一访问设备与所述目标设备在一个本地网络的情况下建立本地连接，使得所述第一访问设备与所述目标设备在接入本地网络后，所述第一访问设备基于本地连接对目标设备进行访问；

其中，所述分享记录还用于所述服务器在所述第一访问设备与所述目标设备不在一个本地网络的情况下将所述第一访问设备的访问请求转发至所述目标设备。

16.一种访问控制方法，所述方法包括：

第二访问设备获取第一访问设备的第一设备标识；

所述第二访问设备将所述第一设备标识和所述第二访问设备的第二设备标识发送至服务器，所述第一设备标识和所述第二设备标识用于所述服务器在所述第一设备标识、所述第二设备标识以及与所述第二访问设备关联的目标设备的目标设备标识之间建立分享记录，所述分享记录用于将所述目标设备的被访问权限分享至所述第一访问设备；

所述第二访问设备与所述服务器进行本地分享凭证的传输，使得所述第一访问设备与所述目标设备存在所述本地分享凭证，所述本地分享凭证用于所述第一访问设备与所述目标设备在一个本地网络的情况下建立本地连接，使得所述第一访问设备与所述目标设备在接入本地网络后，所述第一访问设备基于本地连接对目标设备进行访问；

其中，所述分享记录还用于所述服务器在所述第一访问设备与所述目标设备不在一个本地网络的情况下将所述第一访问设备的访问请求转发至所述目标设备。