WO2014173053A1 - 一种基于oma dm实现终端认证的方法、终端及服务器 - Google Patents

Abstract

一种基于OMA DM协议实现终端认证的方法、终端及服务器，该方法包括：终端向目标服务器发起注册请求，携带用户名、密码和设备标识；所述终端接收并存储注册生成的用户身份令牌；以及所述终端在向所述目标服务器发起业务的消息中携带所述用户身份令牌和设备标识进行认证。本发明基于用户身份令牌进行用户的身份认证，带来了更高的安全性以及更方便的终端生命周期管理。

Description

一种基于 OMA DM实现终端认证的方法、 终端及 J!良务器

技术领域

本发明涉及移动通信领域， 特别是涉及一种实现终端认证的方法、 终端 及服务器。 背景技术

目前的 OMA ( Open Mobile Alliance , 开放移动联盟） DM ( Device Manage, 设备管理）协议规定在终端发送 package 1消息到服务端时都需要携 带用户的账号和密码， 以便进行鉴权认证。 此种方式通常情况下需要将账号 和密码保存在终端本地， 带来了安全性上的隐患。 或者再次让用户输入账号 和密码， 带来用户体验的降低。 发明内容

本发明提供一种基于 OMA DM协议实现终端认证的方法、 终端及服务 器， 以在 OMA DM的认证中确保用户信息安全。

为了解决上述技术问题， 本发明提供了一种基于开放移动联盟设备管理 协议实现终端认证的方法， 包括：

终端向目标服务器发起注册请求， 携带用户名、 密码和设备标识； 所述终端接收并存储注册生成的用户身份令牌； 以及

所述终端在向所述目标服务器发起业务的消息中携带所述用户身份令牌 和设备标识进行认证。

该方法还包括： 所述目标服务器接收到所述注册请求后， 对所述用户 名、 密码和设备标识进行加密生成所述用户身份令牌， 将生成的所述用户身 份令牌发送给所述终端。

所述目标服务器是通过消息摘要算法第五版 ( MD5 )进行加密生成所述 用户身份令牌的。 该方法还包括： 所述目标服务器生成所述用户身份令牌对应的有效期； 所述终端在向所述目标服务器发起业务的消息中携带所述用户身份令牌 和设备标识进行认证的步骤包括：

所述终端在向所述目标服务器发起业务的请求消息中携带所述用户身份 令牌和设备标识； 以及

所述目标服务器对所述用户身份令牌和设备标识进行验证， 如通过验证 则验证所述用户身份令牌的有效期， 如所述用户身份令牌在有效期内， 则对 所述终端进行管理。

该方法还包括： 所述目标服务器接收到所述注册请求后， 将所述注册请 求重定向到第三方鉴权认证服务器进行注册， 接收并存储所述第三方鉴权认 证服务器注册成功生成的用户身份令牌。

本发明还提供一种终端， 包括：

第一模块， 其设置成向目标服务器发起注册请求， 携带用户名、 密码和 设备标识；

第二模块， 其设置成接收并存储注册生成的用户身份令牌； 以及 第三模块 , 其设置在向所述目标服务器发起业务的消息中携带所述用户 身份令牌和设备标识进行认证。

所述用户身份令牌是根据所述用户名、 密码和设备标识通过加密生成 的。

本发明还提供一种服务器， 包括：

第一模块， 其设置成接收到终端的注册请求后， 将注册生成的用户身份 令牌发送给所述终端， 所述注册请求携带用户名、 密码和设备标识； 以及 第二模块， 其设置成接收到所述终端发送的携带所述用户身份令牌和设 备标识的认证请求后， 对所述用户身份令牌和设备标识进行认证。

所述第一模块包括：

第一单元， 其设置成接收到所述注册请求后， 对所述用户名、 密码和设 备标识进行加密生成所述用户身份令牌和 /或所述用户身份令牌对应的有效 期； 以及

第二单元， 其设置成将第一单元生成的所述用户身份令牌和 /或所述用 户身份令牌对应的有效期发送给所述终端。

所述第一单元是设置成通过消息摘要算法第五版（MD5 )进行加密生成 所述用户身份令牌的。

本发明还提供一种服务器， 包括：

第一模块， 其设置成接收到终端的注册请求后， 将所述注册请求重定向 到第三方鉴权认证服务器进行注册；

第二模块， 其设置成接收并存储所述第三方鉴权认证服务器注册成功生 成的用户身份令牌； 以及

第三模块， 其设置成接收到所述终端发送的携带所述用户身份令牌和设 备标识的认证请求后， 对所述用户身份令牌和设备标识进行认证。

所述第二模块还设置成接收并存储所述第三方鉴权认证服务器注册成功 生成的用户身份令牌对应的有效期；

所述第三模块还设置成对所述用户身份令牌的有效期进行验证。

综上， 本发明提供一种基于 OMA DM协议实现终端认证的方法、 终端 及服务器， 基于用户身份令牌（Access Token )进行用户的身份认证， 带来了 更高的安全性以及更方便的终端生命周期管理。 附图概述

图 1为本发明实施例的一种实现终端认证的方法的流程图；

图 2为本发明实施例的终端的示意图；

图 3为本发明一优选实施例的服务器的示意图；

图 4为本发明另一优选实施例的服务器的示意图；

图 5为本发明应用示例的***的部署架构示意图；

图 6为本发明应用示例的终端的登陆注册以及业务处理的流程图。 本发明的较佳实施方式

下文中将结合附图对本发明的实施例进行详细说明。 需要说明的是， 在 不冲突的情况下， 本申请中的实施例及实施例中的特征可以相互任意组合。

图 1为本发明实施例的一种实现终端认证的方法的流程图， 如图 1所示 本实施例的方法包括以下步骤：

511、 终端向目标服务器发起注册请求， 携带用户名、 密码和设备标 识；

512、 所述终端接收并存储注册生成的 AccessToken (用户身份令牌 )； S13、 所述终端在向所述目标服务器发起业务的消息中携带所述

AccessToken和设备标识进行认证。

AccessToken 分为临时和永久， 临时的有效期可通过配置设置。 对于 AccessToken 的生成规则 ， 可按照对用 户 名（UserName)、 密码 (Password), 终端的 DevicelD (***记录的设备编号）组成字符串后进行 MD5 (消息摘要算法第五版）加密的方式生成， 此处的生成规则不仅仅限 于举例说明中的方式。

这样， 终端不需要在本地保存用户账号和密码， 而是将 AccessToken字 符串保存在本地， 带来的安全性更高。 服务端可基于 AccessToken和对应的 有效期进行更方便的终端生命周期管理。 通过将认证功能开放给外部服务 器， 可灵活的和第三方的鉴权认证服务器对接。

图 2为本发明实施例的终端的示意图， 如图 2所示， 本实施例的终端可 以包括：

第一模块， 其设置成向目标服务器发起注册请求， 携带用户名、 密码和 设备标识；

第二模块， 其设置成接收并存储注册生成的用户身份令牌； 以及 第三模块， 其设置成在向所述目标服务器发起业务的消息中携带所述用 户身份令牌和设备标识进行认证。

图 3为本发明一优选实施例的一种服务器 (例如， DMServer (设备管理 服务器） ） 的示意图， 如图 3所示， 本实施例的服务器包括： 第一模块， 其设置成接收到终端的注册请求后， 将注册生成的用户身份 令牌发送给所述终端， 所述注册请求中携带用户名、 密码和设备标识； 以及 第二模块， 其设置成接收到所述终端发送的携带所述用户身份令牌和设 备标识的认证请求后， 根据所述用户身份令牌和设备标识进行认证。

在一优选实施例中， 所述第一模块可以包括，

第一单元， 其设置成接收到所述注册请求后， 对所述用户名、 密码和设 备标识进行加密生成所述用户身份令牌和 /或所述用户身份令牌对应的有效 期； 以及

第二单元， 其设置成将所述用户身份令牌和 /或所述用户身份令牌对应 的有效期发送给所述终端。

其中， 所述第一单元是设置成通过消息摘要算法第五版 ( MD5 )进行加 密生成所述用户身份令牌的。

图 4为本发明另一优选实施例的一种服务器（例如， MDM服务端） 的 示意图， 如图 4所示， 本实施例的服务器可以包括：

第一模块， 其设置成接收到终端的注册请求后， 将所述注册请求重定向 到第三方鉴权认证服务器进行注册；

第二模块， 其设置成接收并存储所述第三方鉴权认证服务器注册成功生 成的用户身份令牌； 以及

第三模块， 其设置成接收到所述终端发送的携带所述用户身份令牌和设 备标识的认证请求后， 对所述用户身份令牌和设备标识进行认证。

其中， 所述第二模块还设置成接收并存储所述第三方鉴权认证服务器注 册成功生成的用户身份令牌对应的有效期；

所述第三模块还设置成对所述用户身份令牌的有效期进行验证。

当然， 对功能模块的划分可以根据实施需要有不同的划分。

图 5 为本发明一应用示例的***的示意图， 如图 5 所示， 本***在 DMServer (设备管理服务器）侧增加一个用户身份认证模块， 存储用户的 账号密码（以密文形式存储)以及对应的 AccessToken (用户身份令牌） ， 另 外需要保存 AccessToken的有效期， 本***的 DMServer在架构中主要分两 个模块：

1、 业务服务器： 进行 OMA DM的业务， 和终端完成 packageO (服务端 到终端的通知消息）、 packagel (终端服务端的建链和认证消息）、 package2

(服务端下发到终端的指令消息） 、 package3 (终端上报的指令执行结果消 息） 、 package4 (决定是否继续下发指令用的消息） 的消息收发和交互。

2、 身份认证服务器： 当用户首次登录到终端进行激活时对用户账号和 密码进行合法性验证， 并生成对应的 AccessToken和有效期； 后续业务对 AccessToken是否失效进行校验和检验。

本应用示例的注册 /登录过程如图 6所示， 包括如下：

步骤 101、 用户安装完客户端后， 首先需要进行注册激活， 用户在客户 端输入账号和密码。 客户端通过网络将账号和密码（通过 MD5 等加密为密 文）以及设备 ID等信息上报到 MDM ( Mobile Device Management, 终端设备 管理）服务端。

步骤 102、 MDM服务端对用户账号和密码进行合法性校验， 如果不合 法则返回错误给客户端并提示给用户； 如果合法则根据规则生成对应的 AccessToken和有效期 , 并将该 AccessToken通过成功的响应消息返回给客户 端。

业务处理过程如图 6所示， 包括如下：

步骤 201、 MDM客户端主动发起业务， 或者在接收到 MDM服务端的 notification (通知） 消息 （packageO )后发起业务。

步骤 202、 此时客户端发送 packagel消息到 MDM服务端， 但是消息中 携带的是绑定该终端的 AccessToken。

syncml认证部分消息示例如下：

<Source>

<LocURI>DeviceID</LocURI>

</Source> <Cred>

<Meta>

<Type xmlns='syncml:metinf>accesstoken</Type>

</Meta>

<Data>aLvhZSxpUDQ/XaSZdNw98NSL0ddeX==</Data>

</Cred>

步骤 203、 MDM 服务端在接收到 packagel 消息后， 对消息中的 DevicelD和 AccessToken进行校险， 并检查 AccessToken是否已经失效。

步骤 204、 如 DevicelD和 AccessToken都是合法的 , 则 MDM服务端返 回 package2消息到客户端， 并继续进行以下步骤 205流程； 如非法则服务端 返回错误到客户端， 并结束本次 DM会话。 如 AccessToken已经过期， 则返 回错误到客户端， 并由客户端再次发起登陆流程。

步骤 205、 客户端返回 package3 (指令执行结果） 。

本应用示例中和第三方的鉴权认证服务器对接处理过程如下：

步骤 301、 MDM客户端向 MDM服务端发起登录请求， 请求消息携带用 户账户、 密码和设备 ID等信息。

步骤 302、 MDM服务端接收到请求后， 将客户端重定向到第三方的鉴 权认证服务器。

步骤 303、 MDM客户端完成在第三方鉴权认证服务器的登录注册。 步骤 304、 第三方鉴权认证服务器将用户登陆成功后的结果返回给

MDM服务端， 结果中包括生成的 AccessToken以及对应的有效期。

步骤 305、 MDM服务端将认证结果以及 AccessToken透传给 MDM客户 端。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序 来指令相关硬件完成， 所述程序可以存储于计算机可读存储介质中， 如只读 存储器、 磁盘或光盘等。 可选地， 上述实施例的全部或部分步骤也可以使用 一个或多个集成电路来实现。 相应地， 上述实施例中的各模块 /单元可以釆 用硬件的形式实现， 也可以釆用软件功能模块的形式实现。 本发明不限制于 任何特定形式的硬件和软件的结合。

以上仅为本发明的优选实施例， 当然， 本发明还可有其他多种实施例， 在不背离本发明精神及其实质的情况下， 熟悉本领域的技术人员当可根据本 发明作出各种相应的改变和变形， 但这些相应的改变和变形都应属于本发明 所附的权利要求的保护范围。

工业实用性

与有关技术相比， 本发明提供的基于 OMA DM协议实现终端认证的方 法、 终端及服务器， 基于用户身份令牌（Access Token )进行用户的身份认 证， 带来了更高的安全性以及更方便的终端生命周期管理。

Claims

权 利 要 求 书

1、 一种基于开放移动联盟设备管理协议实现终端认证的方法， 包括： 终端向目标服务器发起注册请求， 携带用户名、 密码和设备标识； 所述终端接收并存储注册生成的用户身份令牌； 以及

所述终端在向所述目标服务器发起业务的消息中携带所述用户身份令牌 和设备标识进行认证。

2、 如权利要求 1所述的方法， 还包括：

所述目标服务器接收到所述注册请求后， 对所述用户名、 密码和设备标 识进行加密生成所述用户身份令牌， 将生成的所述用户身份令牌发送给所述 终端。

3、 如权利要求 2所述的方法， 其中，

所述目标服务器是通过消息摘要算法第五版 ( MD5 )进行加密生成所述 用户身份令牌的。

4、 如权利要求 2或 3所述的方法，

还包括： 所述目标服务器生成所述用户身份令牌对应的有效期； 所述终端在向所述目标服务器发起业务的消息中携带所述用户身份令牌 和设备标识进行认证的步骤包括：

所述终端在向所述目标服务器发起业务的请求消息中携带所述用户身份 令牌和设备标识； 以及

所述目标服务器对所述用户身份令牌和设备标识进行验证， 如通过验证 则验证所述用户身份令牌的有效期， 如所述用户身份令牌在有效期内， 则对 所述终端进行管理。

5、 如权利要求 1所述的方法， 还包括：

所述目标服务器接收到所述注册请求后， 将所述注册请求重定向到第三 方鉴权认证服务器进行注册， 接收并存储所述第三方鉴权认证服务器注册成 功生成的用户身份令牌。

6、 一种终端， 包括： 第一模块， 其设置成向目标服务器发起注册请求， 携带用户名、 密码和 设备标识；

第二模块， 其设置成接收并存储注册生成的用户身份令牌； 以及 第三模块 , 其设置在向所述目标服务器发起业务的消息中携带所述用户 身份令牌和设备标识进行认证。

7、 如权利要求 6所述的终端， 其中，

所述用户身份令牌是根据所述用户名、 密码和设备标识通过加密生成 的。

8、 一种服务器， 包括：

第一模块， 其设置成接收到终端的注册请求后， 将注册生成的用户身份 令牌发送给所述终端， 所述注册请求携带用户名、 密码和设备标识； 以及 第二模块， 其设置成接收到所述终端发送的携带所述用户身份令牌和设 备标识的认证请求后， 对所述用户身份令牌和设备标识进行认证。

9、 如权利要求 8所述的服务器， 其中， 所述第一模块包括，

第一单元， 其设置成接收到所述注册请求后， 对所述用户名、 密码和设 备标识进行加密生成所述用户身份令牌和 /或所述用户身份令牌对应的有效 期； 以及

第二单元， 其设置成将第一单元生成的所述用户身份令牌和 /或所述用 户身份令牌对应的有效期发送给所述终端。

10、 如权利要求 9所述的服务器， 其中，

所述第一单元是设置成通过消息摘要算法第五版（MD5 )进行加密生成 所述用户身份令牌的。

11、 一种服务器， 包括：

第一模块， 其设置成接收到终端的注册请求后， 将所述注册请求重定向 到第三方鉴权认证服务器进行注册；

第二模块， 其设置成接收并存储所述第三方鉴权认证服务器注册成功生 成的用户身份令牌； 以及 第三模块， 其设置成接收到所述终端发送的携带所述用户身份令牌和设 备标识的认证请求后， 对所述用户身份令牌和设备标识进行认证。

12、 如权利要求 11所述的服务器， 其中，

所述第二模块还设置成接收并存储所述第三方鉴权认证服务器注册成功 生成的用户身份令牌对应的有效期；

所述第三模块还设置成对所述用户身份令牌的有效期进行验证。