The invention relates to an authorization method and apparatus. Open the authorization server receives the first identification equipment including access to update requests to the access device; sending request information including signature authorization update request response, the signature information indicating the signature verification of the information access device; receiving access device transmits a request for signature verification, signature verification includes first identification, authentication information and authentication information in the request signature; authentication information access device for signature verification of the signature information; according to the authentication information, collecting the authorization relationship; determine the signature verification to verify the information in the request of the legal signature; according to the first identification, update the authorization relationship. By the method of the invention, when an identification access device in M2M system changes, M2M system can determine whether the signature of the legal authentication information, to identify the access equipment identity, and then update the existing authorization relation, makes the access device to continue to use the existing authorization relationship.
【技术实现步骤摘要】
一种处理授权的方法和设备
本专利技术涉及机器通信
,尤其涉及一种处理授权的方法和设备。
技术介绍
机器通信(Machine-to-MachineCommunications,M2M)是一种以机器智能交互为核心的、网络化的应用与服务。它通过在机器内部嵌入无线或有线通信模块以及应用处理逻辑,实现用户对监控、指挥调度、数据采集和测量等方面的信息化需求。M2M系统中,各种M2M设备,如各种传感器,直接经过M2M网关接入到M2M业务平台,从而实现各种M2M业务。例如电力抄表、智能家居等。通过M2M业务平台所提供的业务能力,可以获取M2M设备采集的数据,或对M2M设备进行控制和管理。在现有的M2M规范中,采用RESTful(RepresentationalStateTransfer)的架构,任何M2M设备、M2M网关或M2M业务平台以及它们所提供的业务能力,都可以被抽象为资源并且具有唯一的资源标识,即URI(UniformResourceIdentifier)。每个被访问资源都可以设置相应的访问权限,通过引用一个访问控制策略资源,如ACP(accessControlPolicy)资源等来实现系统中对被访问资源的访问控制功能。被访问资源所属的设备收到访问设备对资源的请求消息时,根据该被访问资源的访问控制策略标识accessControlPolicyID去获取相应的访问控制策略资源,访问控制策略资源中的每一条访问控制规则都可以看作一个三元组,<accessControlOriginators、accessControlContexts、accessContro ...
【技术保护点】
一种机器通信中处理授权的方法,其特征在于,包括:授权服务器接收访问设备发送的第一授权更新请求,所述第一授权更新请求包括所述访问设备的第一标识;所述授权服务器向所述访问设备发送第一授权更新响应,所述第一授权更新响应包括签名请求信息,其中所述签名请求信息用于指示所述访问设备对验证信息进行签名;所述授权服务器接收所述访问设备发送的签名验证请求,所述签名验证请求中包括所述第一标识、所述验证信息和所述验证信息的签名;其中,所述验证信息的签名为所述访问设备使用密钥对所述验证信息进行签名生成的;所述授权服务器根据所述验证信息,获取保存的第一授权关系;所述授权服务器根据接收到的签名验证请求中的验证信息的签名与所述第一授权关系中保存的验证信息的签名,确定所述签名验证请求中的验证信息的签名合法;所述授权服务器根据所述第一标识,更新所述第一授权关系。
【技术特征摘要】
1.一种机器通信中处理授权的方法,其特征在于,包括:授权服务器接收访问设备发送的第一授权更新请求,所述第一授权更新请求包括所述访问设备的第一标识;所述授权服务器向所述访问设备发送第一授权更新响应,所述第一授权更新响应包括签名请求信息,其中所述签名请求信息用于指示所述访问设备对验证信息进行签名;所述授权服务器接收所述访问设备发送的签名验证请求,所述签名验证请求中包括所述第一标识、所述验证信息和所述验证信息的签名;其中,所述验证信息的签名为所述访问设备使用密钥对所述验证信息进行签名生成的;所述授权服务器根据所述验证信息,获取保存的第一授权关系;所述授权服务器根据接收到的签名验证请求中的验证信息的签名与所述第一授权关系中保存的验证信息的签名,确定所述签名验证请求中的验证信息的签名合法;所述授权服务器根据所述第一标识,更新所述第一授权关系。2.如权利要求1所述的方法,其特征在于,在所述接收访问设备发送的第一授权更新请求之前,所述方法还包括:资源服务器接收所述访问设备发送资源访问请求,所述资源访问请求包括所述第一标识和被访问资源标识;所述资源服务器根据所述第一标识和所述被访问资源标识,确定所述访问设备没有访问所述被访问资源标识对应的资源的权限;所述资源服务器拒绝所述访问设备的对所述被访问资源标识对应的资源的访问请求,并向所述访问设备发送包括重定向地址的资源访问响应,其中所述重定向地址为授权服务器的授权更新端口地址,以便于所述访问设备根据所述授权更新端口地址,向所述授权服务器发送所述第一授权更新请求。3.如权利要求1或2所述的方法,其特征在于,所述根据所述第一标识,更新所述第一授权关系,具体为:所述授权服务器将所述第一授权关系中的第二标识更改为所述第一标识,其中,所述第二标识为所述访问设备使用过的标识。4.如权利要求1-3任一所述方法,其特征在于,在所述接收访问设备发送的第一授权更新请求之前,所述方法还包括:所述授权服务器对所述访问设备访问所述被访问资源标识对应的资源进行初始授权。5.如权利要求4所述的方法,其特征在于,所述验证信息为所述访问设备保存的所述第二标识,所述签名验证请求中进一步还包括所述第一标识的签名,其中所述第一标识的签名为所述访问设备使用所述密钥对所述第一标识进行签名生成的;在所述确定所述签名验证请求中的验证信息的签名合法之后,所述方法进一步还包括:所述授权服务器将所述第一授权关系中保存的验证信息的签名更改为所述第一标识的签名。6.如权利要求5所述的方法,其特征在于,所述对所述访问设备访问所述被访问资源标识对应的资源进行初始授权,具体为:所述授权服务器向资源服务器发送资源创建请求,所述资源创建请求包括预设的访问控制策略和所述被访问资源标识,其中,所述预设的访问控制策略包括所述第二标识;所述授权服务器接收所述资源服务器发送的资源创建响应,所述资源创建响应指示所述资源服务器成功创建所述访问控制策略资源且将所述访问控制策略资源与所述被访问资源标识对应的资源进行绑定;所述授权服务器向所述访问设备发送签名请求,所述签名请求指示所述访问设备对所述第二标识进行签名;所述授权服务器接收所述访问设备发送的签名响应,所述签名响应包括所述第二标识的签名;所述授权服务器保存所述第一授权关系,所述第一授权关系包括所述第二标识、所述第二标识的签名和所述被访问资源标识的对应关系。7.如权利要求3-6任一所述的方法,其特征在于,在所述根据所述第一标识,更新所述第一授权关系之后,所述方法还包括:所述授权服务器向资源服务器发送第二授权更新请求,所述第二授权更新请求包括所述第一标识、所述第二标识和所述被访问资源标识。8.如权利要求4所述的方法,其特征在于,所述验证信息为授权凭证,所述第一授权更新请求还包括所述授权凭证,在所述向所述访问设备发送第一授权更新响应之前,所述方法还包括:所述授权服务器根据所述授权凭证,确定存在包含所述授权凭证的所述第一授权关系,且所述第一授权关系中绑定的访问设备标识不是所述第一标识。9.如权利要求8所述的方法,其特征在于,所述对所述访问设备访问所述被访问资源标识对应的资源进行初始授权,具体为:所述授权服务器接收所述访问设备的授权请求,所述授权请求包括所述第二标识、所述被访问资源标识和用户同意所述访问设备访问资源的认证信息;所述授权服务器当根据所述认证信息,确定所述用户具有访问所述被访问资源标识对应的资源的权限时,生成所述授权凭证;所述授权服务器向所述被访问资源标识对应的资源所在的资源服务器发送授权绑定请求,所述授权绑定请求包括所述第二标识、所述授权凭证和所述被访问资源标识;所述授权服务器接收所述资源服务器发送的授权绑定响应,所述授权绑定响应包含绑定成功的指示信息;所述授权服务器向所述访问设备发送授权响应,所述授权响应包括所述授权凭证、所述被访问资源标识和对所述授权凭证进行签名的指示信息;所述授权服务器接收所述访问设备发送的签名绑定请求,所述签名绑定请求包括所述第二标识、所述授权凭证、所述授权凭证的签名和所述被访问资源标识,其中,所述授权凭证的签名为所述访问设备对所述授权凭证使用所述密钥签名生成的;所述授权服务器保存所述第一授权关系,所述第一授权关系包括所述第二标识、所述授权凭证、所述授权凭证的签名和所述被访问资源标识的对应关系。10.如权利要求8-9任一所述的方法,其特征在于,在所述根据所述第一标识,更新所述第一授权关系之后,所述方法还包括:所述授权服务器向资源服务器发送第二授权更新请求,所述第二授权更新请求包括所述第一标识、所述授权凭证和所述被访问资源标识。11.一种机器通信中处理授权的方法,其特征在于,包括:接收访问设备发送的第一资源访问请求,所述第一资源访问请求包括所述访问设备的第一标识、被访问资源标识以及授权凭证;根据所述授权凭证,确定存在包含所述授权凭证与所述被访问资源标识的第二授权关系,且所述第二授权关系中绑定的访问设备标识不是所述第一标识;向所述访问设备发送第一资源访问响应,所述第一资源访问响应包括签名请求信息,所述签名请求信息指示所述访问设备对所述授权凭证进行签名;接收所述访问设备发送的第二资源访问请求,所述第二资源访问请求中包括所述第一标识、所述授权凭证、所述授权凭证的签名和所述被访问资源标识;其中,所述授权凭证的签名为所述访问设备使用密钥对所述授权凭证进行签名生成的;向授权服务器发送签名数据请求,所述签名数据请求包含所述授权凭证;接收所述授权服务器发送的签名数据响应,所述签名数据响应包含所述授权服务器根据所述授权凭证获取的第一授权关系中保存的授权凭证的签名;根据所述第二资源访问请求中的授权凭证的签名与所述授权服务器发送的授权凭证的签名,确定所述第二资源访问请求中的授权凭证的签名合法;根据所述第一标识,更新所述第二授权关系。12.如权利要求11所述的方法,其特征在于,在所述根据所述第一标识,更新所述第二授权关系之后,所述方法还包括:向所述访问设备发送第二资源访问响应,所述第二资源访问响应包括所述被访问资源标识对应的资源。13.如权利要求11或12所述的方法,其特征在于,所述根据所述第一标识,更新所述第二授权关系,具体为:将所述第二授权关系中的第二标识更改为所述第一标识,其中,所述第二标识为所述访问设备使用过的标识。14.如权利要求13所述的方法,其特征在于,在所述接收访问设备发送的第一资源访问请求之前,所述方法还包括:所述授权服务器接收所述访问设备发送授权请求,所述授权请求中包括所述第二标识、所述被访问资源标识和用户同意所述访问设备访问资源的认证信息;所述授权服务器根据所述认证信息,确定所述用户具有访问所述被访问资源标识对应的资源的权限,生成所述授权凭证,并向所述被访问资源标识对应的资源所在的资源服务器发送授权绑定请求,所述授权绑定请求包括所述第二标识、所述授权凭证和所述被访问资源标识;所述资源服务器将所述第二标识、所述授权凭证和所述被访问资源标识的对应关系保存为第二授权关系,并向...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。