設備管理客戶端、伺服器及設備管理方法與流程
2023-09-16 01:27:25
本發明涉及通信技術領域,更具體地說,涉及一種設備管理客戶端、伺服器及設備管理方法。
背景技術:
隨著物聯網技術的發展,智能設備如智能家居、穿戴設備、智能車載以及傳統設備智能化是未來的發展趨勢。設備的智能化程度越高,設備管理的內容越多,包括固件升級、軟體管理、診斷和監控等等。由於設備管理的功能越來越豐富,大部分涉及到用戶的隱私,往往需要通過加密的方式來保證數據交互的安全性。然而,現有技術中要麼沒有加密的過程,要麼加密的密鑰均採用統一的密鑰進行加密,安全性很低。
技術實現要素:
本發明要解決的技術問題在於如何避免在設備管理中密鑰單一的加密方式所帶來的安全性低的問題;針對該技術問題,提供一種設備管理客戶端,包括:
第一發送模塊,用於向設備管理伺服器發起服務操作請求,所述服務操作請求中攜帶終端的帳號信息;
第一接收模塊,用於接收所述設備管理伺服器根據所述服務操作請求得到的訪問憑證以及第一密鑰;
第二發送模塊,用於將所述訪問憑證和經過所述第一密鑰加密後的業務數據發送給所述設備管理伺服器。
可選的,所述服務操作請求包括服務啟用策略請求或服務關閉策略請求;所述服務啟用策略請求至少包括服務類型和服務啟用時機。
可選的,所述帳號信息至少包括帳號和密碼;或,所述帳號信息包括帳號、密碼以及設備唯一標識。
此外,還提供一種設備管理伺服器,包括:
第二接收模塊,用於接收設備管理客戶端發送的服務操作請求,所述服務操作請求中攜帶終端的帳號信息;
生成模塊,用於在對所述帳號信息鑑權通過後,根據所述服務操作請求生成訪問憑證、第一密鑰和第二密鑰,其中所述訪問憑證、第一密鑰和第二密鑰互相對應;
第三發送模塊,用於將所述訪問憑證和第一密鑰發送給所述設備管理客戶端;
第三接收模塊,用於接收所述設備管理客戶端發送的訪問憑證和加密後的業務數據,進行服務操作處理。
可選的,所述第三接收模塊用於:接收所述設備管理伺服器發送的訪問憑證和加密後的參數信息;判斷所述訪問憑證是否合法;在判斷所述訪問憑證合法之後,查找與所述訪問憑證對應的第二密鑰對所述加密後的業務數據進行解密。
此外,還提供一種設備管理方法,包括:
向設備管理伺服器發起服務操作請求,所述服務操作請求中攜帶終端的帳號信息;
接收所述設備管理伺服器根據所述服務操作請求得到的訪問憑證以及第一密鑰;
將所述訪問憑證和經過所述第一密鑰加密後的業務數據發送給所述設備管理伺服器。
可選的,所述服務操作請求包括服務啟用策略請求或服務關閉策略請求;所述服務啟用策略請求至少包括服務類型和服務啟用時機。
可選的,所述帳號信息至少包括帳號和密碼;或,所述帳號信息包括帳號、密碼以及設備唯一標識。
此外,還提供一種設備管理方法,包括:
接收設備管理客戶端發送的服務操作請求,所述服務操作請求中攜帶終端的帳號信息;
在對所述帳號信息鑑權通過後,根據所述服務操作請求生成訪問憑證、第一密鑰和第二密鑰,其中所述訪問憑證、第一密鑰和第二密鑰互相對應;
將所述訪問憑證第一密鑰發送給所述設備管理客戶端;
接收設備管理客戶端發送的訪問憑證和加密後的業務數據,進行服務操作處理。
可選的,所述接收設備管理客戶端發送的訪問憑證和加密後的業務數據,進行服務操作處理包括:接收所述設備管理伺服器發送的訪問憑證和加密後的參數信息;判斷訪問憑證是否合法;在判斷所述訪問憑證合法後,查找與所述訪問憑證對應的第二密鑰,對所述加密後的業務數據進行解密。
此外,還提供一種移動終端,包括前述的設備管理客戶端。
此外,還提供一種伺服器,包括前述的設備管理伺服器。
有益效果
本發明提供了一種設備管理客戶端、伺服器及設備管理方法,向設備管理伺服器發起服務操作請求,服務操作請求中攜帶終端的帳號信息,設備管理伺服器對帳號信息進行鑑權,並在鑑權通過後生成互相對應的訪問憑證、第一密鑰和第二密鑰,將訪問憑證和第一密鑰發送給設備管理客戶端,通過第一密鑰對業務數據進行加密後,將訪問憑證和業務數據發送給設備管理伺服器,進行服務操作處理。通過本發明的實施,實現了對設備管理過程中的加密,且通過第一密鑰和第二密鑰成組進行加密,顯著提升了安全性。
附圖說明
下面將結合附圖及實施例對本發明作進一步說明,附圖中:
圖1為實現本發明各個實施例一個可選的移動終端的硬體結構示意圖;
圖2為實現本發明各個實施例一個可選的伺服器的硬體結構示意圖;
圖3為本發明第一實施例提供的設備管理客戶端組成示意圖;
圖4為本發明第二實施例提供的設備管理伺服器組成示意圖;
圖5為本發明第三實施例提供的設備管理系統組成示意圖;
圖6為本發明第四實施例提供的設備管理方法流程圖;
圖7為本發明第五實施例提供的設備管理方法流程圖。
具體實施方式
應當理解,此處所描述的具體實施例僅僅用以解釋本發明,並不用於限定本發明。
現在將參考附圖描述實現本發明各個實施例的移動終端。在後續的描述中,使用用於表示元件的「單元」的後綴僅為了有利於本發明的說明,其本身並沒有特定的意義。
移動終端可以以各種形式來實施。例如,本發明中描述的終端可以包括諸如行動電話、智慧型電話、筆記本電腦、數字廣播接收器、PDA(個人數字助理)、PAD(平板電腦)、PMP(可攜式多媒體播放器)、導航裝置等等的移動終端以及諸如數字TV、臺式計算機等等的固定終端。下面,假設終端是移動終端,然而,本領域技術人員將理解的是,除了特別用於移動目的的元件之外,根據本發明的實施方式的構造也能夠應用於固定類型的終端。本實施例中的移動終端可以實現本發明各實施例中的設備管理客戶端。
圖1為實現本發明各個實施例一個可選的移動終端的硬體結構示意圖。
移動終端100可以包括無線通信單元110、A/V(音頻/視頻)輸入單元120、用戶輸入單元130、感測單元140、輸出單元150、存儲器160、接口單元170、控制器180和電源單元190等等。圖1示出了具有各種組件的移動終端,但是應理解的是,並不要求實施所有示出的組件,可以替代地實施更多或更少的組件,將在下面詳細描述移動終端的元件。
無線通信單元110通常包括一個或多個組件,其允許移動終端100與無線通信系統或網絡之間的無線電通信。例如,無線通信單元可以包括移動通信單元112、無線網際網路單元113、短程通信單元114和位置信息單元115中的至少一個。
移動通信單元112將無線電信號發送到基站(例如,接入點等等)、外部終端以及伺服器中的至少一個和/或從其接收無線電信號。這樣的無線電信號可以包括語音通話信號、視頻通話信號、或者根據文本和/或多媒體消息發送和/或接收的各種類型的數據。
無線網際網路單元113支持移動終端的無線網際網路接入。該單元可以內部或外部地耦接到終端。該單元所涉及的無線網際網路接入技術可以包括WLAN(無線LAN)(Wi-Fi)、Wibro(無線寬帶)、Wimax(全球微波互聯接入)、HSDPA(高速下行鏈路分組接入)等等。
短程通信單元114是用於支持短程通信的單元。短程通信技術的一些示例包括藍牙TM、射頻識別(RFID)、紅外數據協會(IrDA)、超寬帶(UWB)、紫蜂TM等等。
位置信息單元115是用於檢查或獲取移動終端的位置信息的單元。位置信息單元的典型示例是GPS(全球定位系統)。根據當前的技術,GPS單元115計算來自三個或更多衛星的距離信息和準確的時間信息並且對於計算的信息應用三角測量法,從而根據經度、緯度和高度準確地計算三維當前位置信息。當前,用於計算位置和時間信息的方法使用三顆衛星並且通過使用另外的一顆衛星校正計算出的位置和時間信息的誤差。此外,GPS單元115能夠通過實時地連續計算當前位置信息來計算速度信息。
A/V輸入單元120用於接收音頻或視頻信號。A/V輸入單元120可以包括相機121和麥克風1220,相機121對在視頻捕獲模式或圖像捕獲模式中由圖像捕獲裝置獲得的靜態圖片或視頻的圖像數據進行處理。處理後的圖像幀可以顯示在顯示單元151上。經相機121處理後的圖像幀可以存儲在存儲器160(或其它存儲介質)中或者經由無線通信單元110進行發送,可以根據移動終端的構造提供兩個或更多相機121。麥克風s122可以在電話通話模式、記錄模式、語音識別模式等等運行模式中經由麥克風接收聲音(音頻數據),並且能夠將這樣的聲音處理為音頻數據。處理後的音頻(語音)數據可以在電話通話模式的情況下轉換為可經由移動通信單元112發送到移動通信基站的格式輸出。麥克風122可以實施各種類型的噪聲消除(或抑制)算法以消除(或抑制)在接收和發送音頻信號的過程中產生的噪聲或者幹擾。
用戶輸入單元130可以根據用戶輸入的命令生成鍵輸入數據以控制移動終端的各種操作。用戶輸入單元130允許用戶輸入各種類型的信息,並且可以包括鍵盤、鍋仔片、觸摸板(例如,檢測由於被接觸而導致的電阻、壓力、電容等等的變化的觸敏組件)、滾輪、搖杆等等。特別地,當觸摸板以層的形式疊加在顯示單元151上時,可以形成觸控螢幕。
感測單元140檢測移動終端100的當前狀態,(例如,移動終端100的打開或關閉狀態)、移動終端100的位置、用戶對於移動終端100的接觸(即,觸摸輸入)的有無、移動終端100的取向、移動終端100的加速或減速移動和方向等等,並且生成用於控制移動終端100的操作的命令或信號。例如,當移動終端100實施為滑動型行動電話時,感測單元140可以感測該滑動型電話是打開還是關閉。另外,感測單元140能夠檢測電源單元190是否提供電力或者接口單元170是否與外部裝置耦接。感測單元140可以包括光線傳感器141。
接口單元170用作至少一個外部裝置與移動終端100連接可以通過的接口。例如,外部裝置可以包括有線或無線頭戴式耳機埠、外部電源(或電池充電器)埠、有線或無線數據埠、存儲卡埠、用於連接具有識別單元的裝置的埠、音頻輸入/輸出(I/O)埠、視頻I/O埠、耳機埠等等。識別單元可以是存儲用於驗證用戶使用移動終端100的各種信息並且可以包括用戶識別單元(UIM)、客戶識別單元(SIM)、通用客戶識別單元(USIM)等等。另外,具有識別單元的裝置(下面稱為"識別裝置")可以採取智慧卡的形式,因此,識別裝置可以經由埠或其它連接裝置與移動終端100連接。接口單元170可以用於接收來自外部裝置的輸入(例如,數據信息、電力等等)並且將接收到的輸入傳輸到移動終端100內的一個或多個元件或者可以用於在移動終端和外部裝置之間傳輸數據。
另外,當移動終端100與外部底座連接時,接口單元170可以用作允許通過其將電力從底座提供到移動終端100的路徑或者可以用作允許從底座輸入的各種命令信號通過其傳輸到移動終端的路徑。從底座輸入的各種命令信號或電力可以用作用於識別移動終端是否準確地安裝在底座上的信號。輸出單元150被構造為以視覺、音頻和/或觸覺方式提供輸出信號(例如,音頻信號、視頻信號、警報信號、振動信號等等)。
輸出單元150可以包括顯示單元151、音頻輸出單元152等等。
顯示單元151可以顯示在移動終端100中處理的信息。例如,當移動終端100處於電話通話模式時,顯示單元151可以顯示與通話或其它通信(例如,文本消息收發、多媒體文件下載等等)相關的用戶界面(UI)或圖形用戶界面(GUI)。當移動終端100處於視頻通話模式或者圖像捕獲模式時,顯示單元151可以顯示捕獲的圖像和/或接收的圖像、示出視頻或圖像以及相關功能的UI或GUI等等。
同時,當顯示單元151和觸摸板以層的形式彼此疊加以形成觸控螢幕時,顯示單元151可以用作輸入裝置和輸出裝置。顯示單元151可以包括液晶顯示器(LCD)、薄膜電晶體LCD(TFT-LCD)、有機發光二極體(OLED)顯示器、柔性顯示器、三維(3D)顯示器等等中的至少一種。這些顯示器中的一些可以被構造為透明狀以允許用戶從外部觀看,這可以稱為透明顯示器,典型的透明顯示器可以例如為TOLED(透明有機發光二極體)顯示器等等。根據特定想要的實施方式,移動終端100可以包括兩個或更多顯示單元(或其它顯示裝置),例如,移動終端可以包括外部顯示單元(未示出)和內部顯示單元(未示出)。觸控螢幕可用於檢測觸摸輸入壓力以及觸摸輸入位置和觸摸輸入面積。
音頻輸出單元152可以在移動終端處於呼叫信號接收模式、通話模式、記錄模式、語音識別模式、廣播接收模式等等模式下時,將無線通信單元110接收的或者在存儲器160中存儲的音頻數據轉換音頻信號並且輸出為聲音。而且,音頻輸出單元152可以提供與移動終端100執行的特定功能相關的音頻輸出(例如,呼叫信號接收聲音、消息接收聲音等等)。音頻輸出單元152可以包括揚聲器、蜂鳴器等等。
存儲器160可以存儲由控制器180執行的處理和控制操作的軟體程序等等,或者可以暫時地存儲己經輸出或將要輸出的數據(例如,電話簿、消息、靜態圖像、視頻等等)。而且,存儲器160可以存儲關於當觸摸施加到觸控螢幕時輸出的各種方式的振動和音頻信號的數據。
存儲器160可以包括至少一種類型的存儲介質,所述存儲介質包括快閃記憶體、硬碟、多媒體卡、卡型存儲器(例如,SD或DX存儲器等等)、隨機訪問存儲器(RAM)、靜態隨機訪問存儲器(SRAM)、只讀存儲器(ROM)、電可擦除可編程只讀存儲器(EEPROM)、可編程只讀存儲器(PROM)、磁性存儲器、磁碟、光碟等等。而且,移動終端100可以與通過網絡連接執行存儲器160的存儲功能的網絡存儲裝置協作。
控制器180通常控制移動終端的總體操作。例如,控制器180執行與語音通話、數據通信、視頻通話等等相關的控制和處理。另外,控制器180可以包括用於再現(或回放)多媒體數據的多媒體單元181,多媒體單元181可以構造在控制器180內,或者可以構造為與控制器180分離。控制器180可以執行模式識別處理,以將在觸控螢幕上執行的手寫輸入或者圖片繪製輸入識別為字符或圖像。
電源單元190在控制器180的控制下接收外部電力或內部電力並且提供操作各元件和組件所需的適當的電力。
這裡描述的各種實施方式可以以使用例如計算機軟體、硬體或其任何組合的計算機可讀介質來實施。對於硬體實施,這裡描述的實施方式可以通過使用特定用途集成電路(ASIC)、數位訊號處理器(DSP)、數位訊號處理裝置(DSPD)、可編程邏輯裝置(PLD)、現場可編程門陣列(FPGA)、處理器、控制器、微控制器、微處理器、被設計為執行這裡描述的功能的電子單元中的至少一種來實施,在一些情況下,這樣的實施方式可以在控制器180中實施。對於軟體實施,諸如過程或功能的實施方式可以與允許執行至少一種功能或操作的單獨的軟體單元來實施。軟體代碼可以由以任何適當的程式語言編寫的軟體應用程式(或程序)來實施,軟體代碼可以存儲在存儲器160中並且由控制器180執行。
至此,己經按照其功能描述了移動終端。下面,為了簡要起見,將描述諸如摺疊型、直板型、擺動型、滑動型移動終端等等的各種類型的移動終端中的滑動型移動終端作為示例。因此,本發明能夠應用於任何類型的移動終端,並且不限於滑動型移動終端。
如圖1中所示的移動終端100可以被構造為利用經由幀或分組發送數據的諸如有線和無線通信系統以及基於衛星的通信系統來操作。
如圖2所示,為實現本發明各個實施例一個可選的伺服器的結構示意圖,該伺服器至少包括:輸入輸出(IO)總線21、處理器22、存儲器23、內存24和通信裝置25。其中,
輸入輸出(IO)總線21分別與自身所屬的伺服器的其它部件(處理器22、存儲器23、內存24和通信裝置25)連接,並且為其它部件提供傳送線路。
處理器22通常控制自身所屬的伺服器的總體操作。例如,處理器22執行計算和確認等操作。其中,處理器22可以是中央處理器(CPU)。
存儲器23存儲處理器可讀、處理器可執行的軟體代碼,其包含用於控制處理器22執行本文描述的功能的指令(即軟體執行功能)。
其中,本發明提供的設備管理伺服器中,實現第二接收模塊、生成模塊、第三發送模塊、第三接收模塊的功能的軟體代碼可存儲在存儲器23中,並由處理器22執行或編譯後執行。
內存24,一般採用半導體存儲單元,包括隨機存儲器(RAM),只讀存儲器(ROM),以及高速緩存(CACHE),RAM是其中最重要的存儲器。內存14是計算機中重要的部件之一,它是與CPU22進行溝通的橋梁,計算機中所有程序的運行都是在內存中進行的,其作用是用於暫時存放CPU22中的運算數據,以及與硬碟等外部存儲器交換的數據,只要計算機在運行中,CPU22就會把需要運算的數據調到內存中進行運算,當運算完成後CPU22再將結果傳送出來,內存的運行也決定了計算機的穩定運行。
通信裝置25,通常包括一個或多個組件,其允許自身所屬的伺服器與無線通信系統或網絡之間的無線電通信。
以下通過具體實施例進行詳細說明。
第一實施例
參照圖3,圖3為本發明第一實施例提供的設備管理客戶端模塊示意圖。
本實施例中的設備管理客戶端包括:
第一發送模塊301,用於向設備管理伺服器發起服務操作請求,服務操作請求中攜帶終端的帳號信息;
第一接收模塊302,用於接收設備管理伺服器根據服務操作請求得到的訪問憑證以及第一密鑰;
第二發送模塊303,用於將訪問憑證和經過第一密鑰加密後的業務數據發送給設備管理伺服器。
設備管理客戶端一般設置於終端中,作為終端管理的出入口,終端通過設備管理客戶端與設備管理伺服器進行交互,實現終端的設備管理功能;其中,終端的設備管理可以包括:固件升級、軟體管理、診斷和監控、連通性、設備能力、鎖定和擦除等等內容。
固件升級,主要是更新設備的應用軟體,這是由設備的生產廠商來進行的,設備的硬體一般情況下不會發生變化,而基於新功能的適用、舊版本的bug修復、日常維護等等,設備的軟體往往會定期或不定期的出現更新。
軟體管理,能夠遠程安裝、刪除、啟動、關閉和檢索應用軟體,主要是涉及設備管理中的遠程管理軟體的功能。
診斷和監控,則是監控終端的狀態,包括管理和監控RF(Radio Frequency,無線射頻)設置、電池狀態、內存使用、進程列表等等,從這些信息可以參考終端的運行情況是否正常,是否需要進行調整,是否可以負擔更多的應用進程等等。
連通性,則指的是終端的網絡連接情況的相關參數設置,管理蜂窩網絡和基帶參數,APN、CDMA、LTE等等。
設備能力,允許管理機構遠程激活終端或者是終端的外圍構件,如加密設置、攝像頭、藍牙、GPS等等。
鎖定和擦除,這項功能一般適用於終端被盜、被售賣、數據損壞等情況下,遠程鎖定或者擦除設備,其中擦除也可以稱之為格式化,要麼關閉終端的使用權限,要麼清除終端中的所有數據,或者兩者均執行。
上述的各個設備管理功能,在本實施例中均可作為服務操作請求中的一部分;其中,這些設備管理功能均屬於服務啟用策略,與其相對的,還有服務關閉策略,其中作為伺服器操作請求的服務啟用策略請求至少包括服務類型和服務啟用時機,服務類型及上述的各個設備管理功能,而服務啟用時機則指上述的各個設備管理功能在何時啟用或關閉,包括:WIFI下啟用,即終端接入無線網絡時啟用;夜間啟用,可設置啟用的起始時間和結束時間;空閒時啟用,即終端未被用戶操作,終端中沒有非默認運行的應用在運行中等等情況;自動執行,無需用戶確認,在服務操作請求通過後就直接執行;用戶確認後執行,在服務操作請求通過後,經過用戶確認後再執行。
第一發送模塊301用於向設備管理伺服器發起服務操作請求,服務操作請求中攜帶終端的帳號信息。其中,帳號信息至少可以包括帳號和密碼,或者,可以包括帳號、密碼以及設備唯一標識。其中,帳號是終端通過設備管理伺服器進行設備管理時,所需的憑證,是用戶預先註冊而得,密碼則是與帳號相對應,其中,密碼可以是明文密碼和其他參數一起進行MD5加密後的值。設備唯一標識,則可以是設備IMEI(International Mobile Equipment Identity,國際行動裝置標識),每一個終端對應於一個標識,不會出現重複的情況,也就是說,可以通過IMEI值唯一確定一個對應的終端。在發起服務操作請求時,在服務操作請求中攜帶帳號信息,以保證設備管理伺服器可以唯一確定該服務操作請求所對應的終端,以便進行後續的處理。
第一接收模塊302用於接收設備管理伺服器根據服務操作請求得到的訪問憑證以及第一密鑰。設備管理伺服器在接收到終端所發送的服務操作請求後,首先,設備管理伺服器會對服務操作請求中的帳號信息進行鑑權操作,判斷該帳號信息是否有權限進行該服務操作請求的相應設置。其中,這裡的權限可以包括:終端上報的帳號信息是合法的,以及,終端所請求的服務是被允許的。在帳號信息包括終端的IMEI值時,還包括:判斷帳號、密碼和該IMEI值是否匹配,即該帳號和密碼是否與IMEI值相對應。
如果鑑權不通過,顯然設備管理伺服器就會終止此次終端的服務操作請求;而如果鑑權通過了,表示終端提供的帳號信息滿足相應的條件,那麼,設備管理伺服器就根據終端所發起的服務操作請求,生成與該服務操作請求對應的訪問憑證、第一密鑰和第二密鑰,其中,訪問憑證、第一密鑰、第二密鑰之間互相對應。訪問憑證是後續終端要與設備管理伺服器進行交互的憑證,也可以稱之為TokenID,可以根據伺服器地址、用戶信息、客戶端IP位址、時間戳等組成;其中,伺服器地址就是指的設備管理伺服器在網絡中的地址,用戶信息則是終端所提供的帳號信息,包括帳號、密碼,或者還可以包括IMEI,客戶端IP位址則指的是設備管理客戶端在網絡中的地址,時間戳指的是時間標記,可以是用戶上報服務操作請求的時間戳,也可以是設備管理伺服器進行鑑權的時間戳。對於設備管理伺服器而言,上述的各個信息可以選擇任意數量的作為TokenID的組成部分。
第一密鑰和第二密鑰均是用於對數據進行加解密的密鑰,其中,第一密鑰是設備管理客戶端對數據進行加解密的密鑰,也可以叫消息私鑰,第二密鑰是設備管理伺服器對數據進行加解密的密鑰,也可以叫消息公鑰。也就是說,當數據從設備管理伺服器發送至設備管理客戶端時,可以通過第二密鑰,即消息公鑰進行加密,在設備管理客戶端則用第一密鑰,即消息私鑰進行解密;當數據從設備管理客戶端發送至設備管理伺服器時,可以通過第一密鑰,即消息私鑰進行加密,在設備管理伺服器則用第二密鑰,即消息公鑰進行解密。第一密鑰和第二密鑰是成對出現的,且與訪問憑證TokenID對應,根據TokenID可以唯一確定相應的第一密鑰和第二密鑰。換言之,每一個用戶以及相應的終端,對應著一個TokenID以及第一密鑰、第二密鑰。
第二發送模塊303用於將訪問憑證和經過第一密鑰加密後的業務數據發送給設備管理伺服器。經過了設備管理伺服器的鑑權之後,設備管理客戶端接收到了設備管理伺服器所反饋的訪問憑證以及第一密鑰,其中,訪問憑證可以在設備管理伺服器端已經通過第二密鑰加密,也可以不加密。由於在終端發起了服務操作請求之後,仍然需要在後續的操作中向設備管理伺服器發送必要的業務數據,或者終端在此之後還有其他的服務操作請求等等,其中業務數據可以包括終端參數、用戶配置信息等等;終端需要再次向設備管理伺服器發送數據時,此時,首先要對待發送的數據,可以包括業務數據,進行加密,設備管理伺服器所反饋的第一密鑰進行,然後,在加密完成後,將訪問憑證和加密後的業務數據發送給設備管理伺服器。此處的訪問憑證一般是不進行加密的,因為設備管理伺服器需要通過終端所發送的訪問憑證來確定相應的第二密鑰,然後通過第二密鑰來對該加密後的業務數據進行解密。由於一個訪問憑證對應於一個第一密鑰和第二密鑰,那麼通過終端所發送的訪問憑證就可以唯一確定相應的第二密鑰,業務數據又是根據第一密鑰進行加密的,在根據訪問憑證確定第二密鑰之後就可以順利的對該業務數據進行解密。當然,也可能存在訪問憑證不合法的情況,即訪問憑證在設備管理伺服器端驗證失敗,說明訪問憑證不是設備管理伺服器所生成的訪問憑證,或者說該訪問憑證以及過期或失效。在訪問憑證驗證失敗時,向設備管理客戶端反饋操作失敗,結束本次操作。
第二密鑰對該業務數據的解密成功後,可以對解密後的業務數據進行保存,以及根據該業務數據進行後續的設備管理操作,將業務數據持久化至資料庫,提供給後續設備管理服務使用。至此,本次的業務操作流程完成,設備管理伺服器向設備管理客戶端反饋業務操作完成的提示或指令,提示用戶操作成功。
若後續還有其他的業務操作,可以直接通過第二發送模塊303,將相應的服務操作請求發送給設備管理伺服器,以及將服務操作請求通過第一密鑰加密,在設備管理伺服器通過第二密鑰解密,從而解析出服務操作請求。
此外,在本實施例中,設備管理客戶端與設備管理伺服器之間交互的數據的格式,可以是Json、Protobuffer等等格式,可以減少每次交互過程中非必要的冗餘數據,提高交互的效率和系統的清潔度。
本實施例提供了一種設備管理客戶端,包括第一發送模塊、第一接收模塊、第二發送模塊,第一發送模塊向設備管理伺服器發起服務操作請求,服務操作請求中攜帶終端的帳號信息,第一接收模塊接收設備管理伺服器根據服務操作請求得到的訪問憑證以及第一密鑰,第二發送模塊將訪問憑證和經過第一蜜春堂加密後的業務數據發送給設備管理伺服器,實現了對設備管理過程中的加密,且通過第一密鑰和第二密鑰成組進行加密,顯著提升了安全性。
第二實施例
請參考圖4,圖4為本發明第二實施例提供的一種設備管理伺服器的組成示意圖。
本實施例中的設備管理伺服器,包括:
第二接收模塊401,用於接收設備管理客戶端發送的服務操作請求,服務操作請求中攜帶終端的帳號信息;
生成模塊402,用於在對帳號信息鑑權通過後,根據服務操作請求生成訪問憑證、第一密鑰和第二密鑰,其中訪問憑證、第一密鑰和第二密鑰互相對應;
第三發送模塊403,用於將訪問憑證和第一密鑰發送給設備管理客戶端;
第三接收模塊404,用於接收設備管理客戶端發送的訪問憑證和加密後的業務數據,進行服務操作處理。
服務操作請求可以包括服務啟用策略請求和服務關閉策略請求,其中,服務啟用策略請求至少包括服務類型和服務啟用時機。其中,服務類型指的是各個設備管理功能,可以包括:固件升級、軟體管理、診斷和監控、連通性、設備能力、鎖定和擦除等等。而服務啟用時機則是指上述的設備管理功能在何時啟用或關閉,包括:WIFI下啟用,即終端接入無線網絡時啟用;夜間啟用,可設置啟用的起始時間和結束時間;空閒時啟用,即終端未被用戶操作,終端中沒有非默認運行的應用在運行中等等情況;自動執行,無需用戶確認,在服務操作要求通過後就直接執行,用戶確定後執行,在服務操作請求通過後,經過用戶確認後再執行。
第二接收模塊401接收設備管理客戶端發送的服務操作請求,服務操作請求中攜帶終端的帳號信息。其中,帳號信息至少可以包括帳號和密碼,或者,可以包括帳號、密碼以及設備唯一標識。其中,帳號是終端通過設備管理器進行設備管理時,所需的憑證,是用戶預先註冊而得,密碼則是與帳號相對應,其中,密碼可以是明文密碼和其他參數一起進行MD5加密後的值。設備唯一標識,則可以是設備IMEI,每一個終端對應於一個IMEI值,不會出現重複的情況,也就是說,可以通過IMEI至唯一確定一個對應的終端。第二接收模塊401在接收到攜帶了帳號信息的服務操作請求後,就可以根據該帳號信息唯一確定服務操作請求發起的終端,以便進行後續的處理。
生成模塊402用於在對帳號信息鑑權通過後,根據服務操作請求生成訪問憑證、第一密鑰和第二密鑰。也就是說,在生成訪問憑證之前,需要對接收到的服務操作請求終端的帳號信息進行鑑權,判斷該帳號信息是否有權限進行該服務操作請求的相應設置。其中,這裡的權限可以包括:終端上報的帳號信息是合法的,以及,終端所請求的服務是被允許的。在帳號信息包括終端的IMEI值時,還包括:判斷帳號、密碼和該IMEI值是否匹配,即該帳號和密碼是否與IMEI值相對應。若鑑權未通過,則說明該服務操作請求是非法的,終端此次的服務操作請求不能通過,設備管理伺服器可以將未通過的消息發送給發起服務操作請求的設備管理客戶端。提示的內容可以是「帳號或密碼錯誤」「匹配失敗」等等提示語。
若鑑權通過了,生成模塊402就根據服務操作要求,生成訪問憑證、第一密鑰和第二密鑰。其中,訪問憑證、第一密鑰和第二密鑰之間互相對應。訪問憑證是後續設備管理客戶端與設備管理伺服器進行交互的憑證,也可以稱之為TokenID,可以根據伺服器地址、用戶信息、客戶端IP位址、時間戳等組成;其中,伺服器地址就是指的設備管理伺服器在網絡中的地址,用戶信息則是終端所提供的帳號信息,包括帳號、密碼,或者還可以包括IMEI,客戶端IP位址則指的是設備管理客戶端在網絡中的地址,時間戳指的是時間標記,可以是用戶上報服務操作請求的時間戳,也可以是設備管理伺服器進行鑑權的時間戳。對於生成模塊402而言,上述的各個信息可以選擇任意數量的作為TokenID的組成部分。
第一密鑰和第二密鑰均是用於對數據進行加解密的密鑰,其中,第一密鑰是設備管理客戶端對數據進行加解密的密鑰,也叫消息私鑰,第二密鑰是設備管理伺服器對數據進行加解密的密鑰,也叫消息公鑰。當數據從設備管理伺服器發送至設備管理客戶端時,可以通過第二密鑰,即消息公鑰進行加密,在設備管理客戶端則是通過第一密鑰,即消息私鑰進行解密;當數據從設備管理客戶端發送至設備管理伺服器時,可以通過第一密鑰,即消息私鑰進行加密,在設備管理伺服器則用第二密鑰,即消息公鑰進行解密。第一密鑰和第二密鑰是成對出現的,且與訪問憑證TokenID對應,根據TokenID可以唯一確定相應的第一密鑰和第二密鑰。換言之,每一個用戶以及相應的終端,對應著一個TokenID以及第一密鑰、第二密鑰。
第三發送模塊403用於將訪問憑證和第一密鑰發送給設備管理客戶端。其中,訪問憑證可以經過第二密鑰進行加密,也可以不加密。訪問憑證作為設備管理客戶端再次向設備管理伺服器發送業務數據時的憑證,設備管理伺服器可以根據訪問憑證確定業務數據是否合法,以及選擇與該訪問憑證對應的第二密鑰對該經過第一密鑰解密的業務數據進行解密。
第三接收模塊404用於接收設備管理客戶端發送的訪問憑證和加密後的業務數據,進行服務操作處理。由於在終端發起了服務操作請求之後,仍然需要在後續的操作中向設備管理伺服器發送必要的業務數據,或者終端在此之後還有其他的服務操作請求等等,其中業務數據可以包括終端參數、用戶配置信息等等;終端需要再次向設備管理伺服器發送數據時,此時,首先要對待發送的數據,可以包括業務數據,進行加密,設備管理伺服器所反饋的第一密鑰進行,然後,在加密完成後,將訪問憑證和加密後的業務數據發送給設備管理伺服器。此處的訪問憑證一般是不進行加密的,因為設備管理伺服器需要通過終端所發送的訪問憑證來確定相應的第二密鑰,然後通過第二密鑰來對該加密後的業務數據進行解密。由於一個訪問憑證對應於一個第一密鑰和第二密鑰,那麼通過終端所發送的訪問憑證就可以唯一確定相應的第二密鑰,業務數據又是根據第一密鑰進行加密的,在根據訪問憑證確定第二密鑰之後就可以順利的對該業務數據進行解密。當然,也可能存在訪問憑證不合法的情況,即訪問憑證在設備管理伺服器端驗證失敗,說明訪問憑證不是設備管理伺服器所生成的訪問憑證,或者說該訪問憑證以及過期或失效。在訪問憑證驗證失敗時,向設備管理客戶端反饋操作失敗,結束本次操作。
第二密鑰對該業務數據的解密成功後,可以對解密後的業務數據進行保存,以及根據該業務數據進行後續的設備管理操作,將業務數據持久化至資料庫,提供給後續設備管理服務使用。至此,本次的業務操作流程完成,設備管理伺服器向設備管理客戶端反饋業務操作完成的提示或指令,提示用戶操作成功。
此外,在本實施例中,設備管理客戶端與設備管理伺服器之間交互的數據的格式,可以是Json、Protobuffer等等格式,可以減少每次交互過程中非必要的冗餘數據,提高交互的效率和系統的清潔度。
本實施例提供了一種設備管理伺服器,包括第二接收模塊、生成模塊、第三發送模塊、第三接收模塊,第二接收模塊接收設備管理客戶端發送的服務操作請求,服務操作請求中攜帶終端的帳號信息,在對帳號信息鑑權通過後,生成模塊根據服務操作請求生成訪問憑證、第一密鑰和第二密鑰,其中訪問憑證、第一密鑰和第二密鑰互相對應,第三發送模塊將訪問憑證和第一密鑰發送給設備管理客戶端,第三接收模塊接收設備管理客戶端發送的訪問憑證和加密後的業務數據,進行服務操作處理。實現了對設備管理過程中的加密,且通過第一密鑰和第二密鑰成組進行加密,顯著提升了安全性。
第三實施例
請參考圖5,圖5為本發明第三實施例提供的一種設備管理系統組成示意圖,包括設備管理伺服器和設備管理客戶端,設備管理伺服器包括通信裝置2525、處理器2222、存儲器2424;設備管理客戶端包括無線通信單元110、控制器180。其中:設備管理客戶端中的無線通信單元110向設備管理伺服器發送服務操作請求,服務操作請求是攜帶終端的帳號信息,設備管理伺服器中的通信裝置25接收該服務操作請求,在對服務操作請求中的帳號信息鑑權通過後,根據服務操作請求生成訪問憑證、第一密鑰和第二密鑰,其中訪問憑證、第一密鑰和第二密鑰互相對應,通信單元將該訪問憑證和第一密鑰發送給設備管理客戶端,設備管理客戶端中的無線通信單元110接收設備管理伺服器發送的訪問憑證和第一密鑰,然後通過第一密鑰將業務數據進行加密,並通過無線通信單元110將訪問憑證和加密後的業務數據發送給設備管理伺服器,設備管理伺服器中的通信裝置25接收設備管理客戶端發送的訪問憑證和加密後的業務數據,進行服務操作處理。
設備管理客戶端一般設置於終端中,作為終端管理的出入口,終端通過設備管理客戶端與設備管理伺服器進行交互,實現終端的設備管理功能;其中,終端的設備管理可以包括:固件升級、軟體管理、診斷和監控、連通性、設備能力、鎖定和擦除等等內容。
上述的各個設備管理功能,在本實施例中均可作為服務操作請求中的一部分;其中,這些設備管理功能均屬於服務啟用策略,與其相對的,還有服務關閉策略,其中作為伺服器操作請求的服務啟用策略請求至少包括服務類型和服務啟用時機,服務類型及上述的各個設備管理功能,而服務啟用時機則指上述的各個設備管理功能在何時啟用或關閉,包括:WIFI下啟用,即終端接入無線網絡時啟用;夜間啟用,可設置啟用的起始時間和結束時間;空閒時啟用,即終端未被用戶操作,終端中沒有非默認運行的應用在運行中等等情況;自動執行,無需用戶確認,在服務操作請求通過後就直接執行;用戶確認後執行,在服務操作請求通過後,經過用戶確認後再執行。
向設備管理伺服器發起服務操作請求,服務操作請求中攜帶終端的帳號信息。其中,帳號信息至少可以包括帳號和密碼,或者,可以包括帳號、密碼以及設備唯一標識。其中,帳號是終端通過設備管理伺服器進行設備管理時,所需的憑證,是用戶預先註冊而得,密碼則是與帳號相對應,其中,密碼可以是明文密碼和其他參數一起進行MD5加密後的值。設備唯一標識,則可以是設備IMEI(International Mobile Equipment Identity,國際行動裝置標識),每一個終端對應於一個標識,不會出現重複的情況,也就是說,可以通過IMEI值唯一確定一個對應的終端。在發起服務操作請求時,在服務操作請求中攜帶帳號信息,以保證設備管理伺服器可以唯一確定該服務操作請求所對應的終端,以便進行後續的處理。
接收設備管理伺服器根據服務操作請求得到的訪問憑證以及第一密鑰。設備管理伺服器在接收到終端所發送的服務操作請求後,首先,設備管理伺服器會對服務操作請求中的帳號信息進行鑑權操作,判斷該帳號信息是否有權限進行該服務操作請求的相應設置。其中,這裡的權限可以包括:終端上報的帳號信息是合法的,以及,終端所請求的服務是被允許的。在帳號信息包括終端的IMEI值時,還包括:判斷帳號、密碼和該IMEI值是否匹配,即該帳號和密碼是否與IMEI值相對應。
如果鑑權不通過,顯然設備管理伺服器就會終止此次終端的服務操作請求;而如果鑑權通過了,表示終端提供的帳號信息滿足相應的條件,那麼,設備管理伺服器就根據終端所發起的服務操作請求,生成與該服務操作請求對應的訪問憑證、第一密鑰和第二密鑰,其中,訪問憑證、第一密鑰、第二密鑰之間互相對應。訪問憑證是後續終端要與設備管理伺服器進行交互的憑證,也可以稱之為TokenID,可以根據伺服器地址、用戶信息、客戶端IP位址、時間戳等組成;其中,伺服器地址就是指的設備管理伺服器在網絡中的地址,用戶信息則是終端所提供的帳號信息,包括帳號、密碼,或者還可以包括IMEI,客戶端IP位址則指的是設備管理客戶端在網絡中的地址,時間戳指的是時間標記,可以是用戶上報服務操作請求的時間戳,也可以是設備管理伺服器進行鑑權的時間戳。對於設備管理伺服器而言,上述的各個信息可以選擇任意數量的作為TokenID的組成部分。
第一密鑰和第二密鑰均是用於對數據進行加解密的密鑰,其中,第一密鑰是設備管理客戶端對數據進行加解密的密鑰,也可以叫消息私鑰,第二密鑰是設備管理伺服器對數據進行加解密的密鑰,也可以叫消息公鑰。也就是說,當數據從設備管理伺服器發送至設備管理客戶端時,可以通過第二密鑰,即消息公鑰進行加密,在設備管理客戶端則用第一密鑰,即消息私鑰進行解密;當數據從設備管理客戶端發送至設備管理伺服器時,可以通過第一密鑰,即消息私鑰進行加密,在設備管理伺服器則用第二密鑰,即消息公鑰進行解密。第一密鑰和第二密鑰是成對出現的,且與訪問憑證TokenID對應,根據TokenID可以唯一確定相應的第一密鑰和第二密鑰。換言之,每一個用戶以及相應的終端,對應著一個TokenID以及第一密鑰、第二密鑰。
將訪問憑證和經過第一密鑰加密後的業務數據發送給設備管理伺服器。經過了設備管理伺服器的鑑權之後,設備管理客戶端接收到了設備管理伺服器所反饋的訪問憑證以及第一密鑰,其中,訪問憑證可以在設備管理伺服器端已經通過第二密鑰加密,也可以不加密。由於在終端發起了服務操作請求之後,仍然需要在後續的操作中向設備管理伺服器發送必要的業務數據,或者終端在此之後還有其他的服務操作請求等等,其中業務數據可以包括終端參數、用戶配置信息等等;終端需要再次向設備管理伺服器發送數據時,此時,首先要對待發送的數據,可以包括業務數據,進行加密,設備管理伺服器所反饋的第一密鑰進行,然後,在加密完成後,將訪問憑證和加密後的業務數據發送給設備管理伺服器。此處的訪問憑證一般是不進行加密的,因為設備管理伺服器需要通過終端所發送的訪問憑證來確定相應的第二密鑰,然後通過第二密鑰來對該加密後的業務數據進行解密。由於一個訪問憑證對應於一個第一密鑰和第二密鑰,那麼通過終端所發送的訪問憑證就可以唯一確定相應的第二密鑰,業務數據又是根據第一密鑰進行加密的,在根據訪問憑證確定第二密鑰之後就可以順利的對該業務數據進行解密。當然,也可能存在訪問憑證不合法的情況,即訪問憑證在設備管理伺服器端驗證失敗,說明訪問憑證不是設備管理伺服器所生成的訪問憑證,或者說該訪問憑證以及過期或失效。在訪問憑證驗證失敗時,向設備管理客戶端反饋操作失敗,結束本次操作。
第二密鑰對該業務數據的解密成功後,可以對解密後的業務數據進行保存,以及根據該業務數據進行後續的設備管理操作,將業務數據持久化至資料庫,提供給後續設備管理服務使用。至此,本次的業務操作流程完成,設備管理伺服器向設備管理客戶端反饋業務操作完成的提示或指令,提示用戶操作成功。
若後續還有其他的業務操作,可以直接通過無線通信單元110,將相應的服務操作請求發送給設備管理伺服器,以及將服務操作請求通過第一密鑰加密,在設備管理伺服器通過第二密鑰解密,從而解析出服務操作請求。
此外,在本實施例中,設備管理客戶端與設備管理伺服器之間交互的數據的格式,可以是Json、Protobuffer等等格式,可以減少每次交互過程中非必要的冗餘數據,提高交互的效率和系統的清潔度。
第四實施例
請參考圖6,圖6為本發明第四實施例提供的一種設備管理方法流程圖,包括:
S601、向設備管理伺服器發起服務操作請求,服務操作請求中攜帶終端的帳號信息;
S602、接收設備管理伺服器根據服務操作請求得到的訪問憑證以及第一密鑰;
S603、將訪問憑證和經過第一密鑰加密後的業務數據發送給設備管理伺服器。
設備管理客戶端一般設置於終端中,作為終端管理的出入口,終端通過設備管理客戶端與設備管理伺服器進行交互,實現終端的設備管理功能;其中,終端的設備管理可以包括:固件升級、軟體管理、診斷和監控、連通性、設備能力、鎖定和擦除等等內容。
上述的各個設備管理功能,在本實施例中均可作為服務操作請求中的一部分;其中,這些設備管理功能均屬於服務啟用策略,與其相對的,還有服務關閉策略,其中作為伺服器操作請求的服務啟用策略請求至少包括服務類型和服務啟用時機,服務類型及上述的各個設備管理功能,而服務啟用時機則指上述的各個設備管理功能在何時啟用或關閉,包括:WIFI下啟用,即終端接入無線網絡時啟用;夜間啟用,可設置啟用的起始時間和結束時間;空閒時啟用,即終端未被用戶操作,終端中沒有非默認運行的應用在運行中等等情況;自動執行,無需用戶確認,在服務操作請求通過後就直接執行;用戶確認後執行,在服務操作請求通過後,經過用戶確認後再執行。
S601中,向設備管理伺服器發起服務操作請求,服務操作請求中攜帶終端的帳號信息。其中,帳號信息至少可以包括帳號和密碼,或者,可以包括帳號、密碼以及設備唯一標識。其中,帳號是終端通過設備管理伺服器進行設備管理時,所需的憑證,是用戶預先註冊而得,密碼則是與帳號相對應,其中,密碼可以是明文密碼和其他參數一起進行MD5加密後的值。設備唯一標識,則可以是設備IMEI(International Mobile Equipment Identity,國際行動裝置標識),每一個終端對應於一個標識,不會出現重複的情況,也就是說,可以通過IMEI值唯一確定一個對應的終端。在發起服務操作請求時,在服務操作請求中攜帶帳號信息,以保證設備管理伺服器可以唯一確定該服務操作請求所對應的終端,以便進行後續的處理。
S602中,接收設備管理伺服器根據服務操作請求得到的訪問憑證以及第一密鑰。設備管理伺服器在接收到終端所發送的服務操作請求後,首先,設備管理伺服器會對服務操作請求中的帳號信息進行鑑權操作,判斷該帳號信息是否有權限進行該服務操作請求的相應設置。其中,這裡的權限可以包括:終端上報的帳號信息是合法的,以及,終端所請求的服務是被允許的。在帳號信息包括終端的IMEI值時,還包括:判斷帳號、密碼和該IMEI值是否匹配,即該帳號和密碼是否與IMEI值相對應。
如果鑑權不通過,顯然設備管理伺服器就會終止此次終端的服務操作請求;而如果鑑權通過了,表示終端提供的帳號信息滿足相應的條件,那麼,設備管理伺服器就根據終端所發起的服務操作請求,生成與該服務操作請求對應的訪問憑證、第一密鑰和第二密鑰,其中,訪問憑證、第一密鑰、第二密鑰之間互相對應。訪問憑證是後續終端要與設備管理伺服器進行交互的憑證,也可以稱之為TokenID,可以根據伺服器地址、用戶信息、客戶端IP位址、時間戳等組成;其中,伺服器地址就是指的設備管理伺服器在網絡中的地址,用戶信息則是終端所提供的帳號信息,包括帳號、密碼,或者還可以包括IMEI,客戶端IP位址則指的是設備管理客戶端在網絡中的地址,時間戳指的是時間標記,可以是用戶上報服務操作請求的時間戳,也可以是設備管理伺服器進行鑑權的時間戳。對於設備管理伺服器而言,上述的各個信息可以選擇任意數量的作為TokenID的組成部分。
第一密鑰和第二密鑰均是用於對數據進行加解密的密鑰,其中,第一密鑰是設備管理客戶端對數據進行加解密的密鑰,也可以叫消息私鑰,第二密鑰是設備管理伺服器對數據進行加解密的密鑰,也可以叫消息公鑰。也就是說,當數據從設備管理伺服器發送至設備管理客戶端時,可以通過第二密鑰,即消息公鑰進行加密,在設備管理客戶端則用第一密鑰,即消息私鑰進行解密;當數據從設備管理客戶端發送至設備管理伺服器時,可以通過第一密鑰,即消息私鑰進行加密,在設備管理伺服器則用第二密鑰,即消息公鑰進行解密。第一密鑰和第二密鑰是成對出現的,且與訪問憑證TokenID對應,根據TokenID可以唯一確定相應的第一密鑰和第二密鑰。換言之,每一個用戶以及相應的終端,對應著一個TokenID以及第一密鑰、第二密鑰。
S603中,將訪問憑證和經過第一密鑰加密後的業務數據發送給設備管理伺服器。經過了設備管理伺服器的鑑權之後,設備管理客戶端接收到了設備管理伺服器所反饋的訪問憑證以及第一密鑰,其中,訪問憑證可以在設備管理伺服器端已經通過第二密鑰加密,也可以不加密。由於在終端發起了服務操作請求之後,仍然需要在後續的操作中向設備管理伺服器發送必要的業務數據,或者終端在此之後還有其他的服務操作請求等等,其中業務數據可以包括終端參數、用戶配置信息等等;終端需要再次向設備管理伺服器發送數據時,此時,首先要對待發送的數據,可以包括業務數據,進行加密,設備管理伺服器所反饋的第一密鑰進行,然後,在加密完成後,將訪問憑證和加密後的業務數據發送給設備管理伺服器。此處的訪問憑證一般是不進行加密的,因為設備管理伺服器需要通過終端所發送的訪問憑證來確定相應的第二密鑰,然後通過第二密鑰來對該加密後的業務數據進行解密。由於一個訪問憑證對應於一個第一密鑰和第二密鑰,那麼通過終端所發送的訪問憑證就可以唯一確定相應的第二密鑰,業務數據又是根據第一密鑰進行加密的,在根據訪問憑證確定第二密鑰之後就可以順利的對該業務數據進行解密。當然,也可能存在訪問憑證不合法的情況,即訪問憑證在設備管理伺服器端驗證失敗,說明訪問憑證不是設備管理伺服器所生成的訪問憑證,或者說該訪問憑證以及過期或失效。在訪問憑證驗證失敗時,向設備管理客戶端反饋操作失敗,結束本次操作。
第二密鑰對該業務數據的解密成功後,可以對解密後的業務數據進行保存,以及根據該業務數據進行後續的設備管理操作,將業務數據持久化至資料庫,提供給後續設備管理服務使用。至此,本次的業務操作流程完成,設備管理伺服器向設備管理客戶端反饋業務操作完成的提示或指令,提示用戶操作成功。
若後續還有其他的業務操作,可以直接將相應的服務操作請求發送給設備管理伺服器,以及將服務操作請求通過第一密鑰加密,在設備管理伺服器通過第二密鑰解密,從而解析出服務操作請求。
此外,在本實施例中,設備管理客戶端與設備管理伺服器之間交互的數據的格式,可以是Json、Protobuffer等等格式,可以減少每次交互過程中非必要的冗餘數據,提高交互的效率和系統的清潔度。
本實施例提供了一種設備管理方法,包括向設備管理伺服器發起服務操作請求,服務操作請求中攜帶終端的帳號信息,接收設備管理伺服器根據服務操作請求得到的訪問憑證以及第一密鑰,將訪問憑證和經過第一蜜春堂加密後的業務數據發送給設備管理伺服器,實現了對設備管理過程中的加密,且通過第一密鑰和第二密鑰成組進行加密,顯著提升了安全性。
第五實施例
請參考圖7,圖7為本發明第五實施例提供的一種設備管理方法流程圖,包括:
S701、接收設備管理客戶端發送的服務操作請求,服務操作請求中攜帶終端的帳號信息;
S702、在對帳號信息鑑權通過後,根據服務操作請求生成訪問憑證、第一密鑰和第二密鑰,其中訪問憑證、第一密鑰和第二密鑰互相對應;
S703、將訪問憑證和第一密鑰發送給設備管理客戶端;
S704、接收設備管理客戶端發送的訪問憑證和加密後的業務數據,進行服務操作處理。
服務操作請求可以包括服務啟用策略請求和服務關閉策略請求,其中,服務啟用策略請求至少包括服務類型和服務啟用時機。其中,服務類型指的是各個設備管理功能,可以包括:固件升級、軟體管理、診斷和監控、連通性、設備能力、鎖定和擦除等等。而服務啟用時機則是指上述的設備管理功能在何時啟用或關閉,包括:WIFI下啟用,即終端接入無線網絡時啟用;夜間啟用,可設置啟用的起始時間和結束時間;空閒時啟用,即終端未被用戶操作,終端中沒有非默認運行的應用在運行中等等情況;自動執行,無需用戶確認,在服務操作要求通過後就直接執行,用戶確定後執行,在服務操作請求通過後,經過用戶確認後再執行。
S701中,接收設備管理客戶端發送的服務操作請求,服務操作請求中攜帶終端的帳號信息。其中,帳號信息至少可以包括帳號和密碼,或者,可以包括帳號、密碼以及設備唯一標識。其中,帳號是終端通過設備管理器進行設備管理時,所需的憑證,是用戶預先註冊而得,密碼則是與帳號相對應,其中,密碼可以是明文密碼和其他參數一起進行MD5加密後的值。設備唯一標識,則可以是設備IMEI,每一個終端對應於一個IMEI值,不會出現重複的情況,也就是說,可以通過IMEI至唯一確定一個對應的終端。在接收到攜帶了帳號信息的服務操作請求後,就可以根據該帳號信息唯一確定服務操作請求發起的終端,以便進行後續的處理。
S702中,在對帳號信息鑑權通過後,根據服務操作請求生成訪問憑證、第一密鑰和第二密鑰。也就是說,在生成訪問憑證之前,需要對接收到的服務操作請求終端的帳號信息進行鑑權,判斷該帳號信息是否有權限進行該服務操作請求的相應設置。其中,這裡的權限可以包括:終端上報的帳號信息是合法的,以及,終端所請求的服務是被允許的。在帳號信息包括終端的IMEI值時,還包括:判斷帳號、密碼和該IMEI值是否匹配,即該帳號和密碼是否與IMEI值相對應。若鑑權未通過,則說明該服務操作請求是非法的,終端此次的服務操作請求不能通過,設備管理伺服器可以將未通過的消息發送給發起服務操作請求的設備管理客戶端。提示的內容可以是「帳號或密碼錯誤」「匹配失敗」等等提示語。
若鑑權通過了,就根據服務操作要求,生成訪問憑證、第一密鑰和第二密鑰。其中,訪問憑證、第一密鑰和第二密鑰之間互相對應。訪問憑證是後續設備管理客戶端與設備管理伺服器進行交互的憑證,也可以稱之為TokenID,可以根據伺服器地址、用戶信息、客戶端IP位址、時間戳等組成;其中,伺服器地址就是指的設備管理伺服器在網絡中的地址,用戶信息則是終端所提供的帳號信息,包括帳號、密碼,或者還可以包括IMEI,客戶端IP位址則指的是設備管理客戶端在網絡中的地址,時間戳指的是時間標記,可以是用戶上報服務操作請求的時間戳,也可以是設備管理伺服器進行鑑權的時間戳。上述的各個信息可以選擇任意數量的作為TokenID的組成部分。
第一密鑰和第二密鑰均是用於對數據進行加解密的密鑰,其中,第一密鑰是設備管理客戶端對數據進行加解密的密鑰,也叫消息私鑰,第二密鑰是設備管理伺服器對數據進行加解密的密鑰,也叫消息公鑰。當數據從設備管理伺服器發送至設備管理客戶端時,可以通過第二密鑰,即消息公鑰進行加密,在設備管理客戶端則是通過第一密鑰,即消息私鑰進行解密;當數據從設備管理客戶端發送至設備管理伺服器時,可以通過第一密鑰,即消息私鑰進行加密,在設備管理伺服器則用第二密鑰,即消息公鑰進行解密。第一密鑰和第二密鑰是成對出現的,且與訪問憑證TokenID對應,根據TokenID可以唯一確定相應的第一密鑰和第二密鑰。換言之,每一個用戶以及相應的終端,對應著一個TokenID以及第一密鑰、第二密鑰。
S703中,將訪問憑證和第一密鑰發送給設備管理客戶端。其中,訪問憑證可以經過第二密鑰進行加密,也可以不加密。訪問憑證作為設備管理客戶端再次向設備管理伺服器發送業務數據時的憑證,設備管理伺服器可以根據訪問憑證確定業務數據是否合法,以及選擇與該訪問憑證對應的第二密鑰對該經過第一密鑰解密的業務數據進行解密。
S704中,接收設備管理客戶端發送的訪問憑證和加密後的業務數據,進行服務操作處理。由於在終端發起了服務操作請求之後,仍然需要在後續的操作中向設備管理伺服器發送必要的業務數據,或者終端在此之後還有其他的服務操作請求等等,其中業務數據可以包括終端參數、用戶配置信息等等;終端需要再次向設備管理伺服器發送數據時,此時,首先要對待發送的數據,可以包括業務數據,進行加密,設備管理伺服器所反饋的第一密鑰進行,然後,在加密完成後,將訪問憑證和加密後的業務數據發送給設備管理伺服器。此處的訪問憑證一般是不進行加密的,因為設備管理伺服器需要通過終端所發送的訪問憑證來確定相應的第二密鑰,然後通過第二密鑰來對該加密後的業務數據進行解密。由於一個訪問憑證對應於一個第一密鑰和第二密鑰,那麼通過終端所發送的訪問憑證就可以唯一確定相應的第二密鑰,業務數據又是根據第一密鑰進行加密的,在根據訪問憑證確定第二密鑰之後就可以順利的對該業務數據進行解密。當然,也可能存在訪問憑證不合法的情況,即訪問憑證在設備管理伺服器端驗證失敗,說明訪問憑證不是設備管理伺服器所生成的訪問憑證,或者說該訪問憑證以及過期或失效。在訪問憑證驗證失敗時,向設備管理客戶端反饋操作失敗,結束本次操作。
第二密鑰對該業務數據的解密成功後,可以對解密後的業務數據進行保存,以及根據該業務數據進行後續的設備管理操作,將業務數據持久化至資料庫,提供給後續設備管理服務使用。至此,本次的業務操作流程完成,設備管理伺服器向設備管理客戶端反饋業務操作完成的提示或指令,提示用戶操作成功。
此外,在本實施例中,設備管理客戶端與設備管理伺服器之間交互的數據的格式,可以是Json、Protobuffer等等格式,可以減少每次交互過程中非必要的冗餘數據,提高交互的效率和系統的清潔度。
本實施例提供了一種設備管理方法,包括接收設備管理客戶端發送的服務操作請求,服務操作請求中攜帶終端的帳號信息,在對帳號信息鑑權通過後,根據服務操作請求生成訪問憑證、第一密鑰和第二密鑰,其中訪問憑證、第一密鑰和第二密鑰互相對應,將訪問憑證和第一密鑰發送給設備管理客戶端,接收設備管理客戶端發送的訪問憑證和加密後的業務數據,進行服務操作處理。實現了對設備管理過程中的加密,且通過第一密鑰和第二密鑰成組進行加密,顯著提升了安全性。
需要說明的是,在本文中,術語「包括」、「包含」或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者裝置不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、物品或者裝置所固有的要素。在沒有更多限制的情況下,由語句「包括一個……」限定的要素,並不排除在包括該要素的過程、方法、物品或者裝置中還存在另外的相同要素。
上述本發明實施例序號僅僅為了描述,不代表實施例的優劣。
通過以上的實施方式的描述,本領域的技術人員可以清楚地了解到上述實施例方法可藉助軟體加必需的通用硬體平臺的方式來實現,當然也可以通過硬體,但很多情況下前者是更佳的實施方式。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來,該計算機軟體產品存儲在一個存儲介質(如ROM/RAM、磁碟、光碟)中,包括若干指令用以使得一臺終端設備(可以是手機,計算機,伺服器,空調器,或者網絡設備等)執行本發明各個實施例所述的方法。
上面結合附圖對本發明的實施例進行了描述,但是本發明並不局限於上述的具體實施方式,上述的具體實施方式僅僅是示意性的,而不是限制性的,本領域的普通技術人員在本發明的啟示下,在不脫離本發明宗旨和權利要求所保護的範圍情況下,還可做出很多形式,這些均屬於本發明的保護之內。