[发明专利]一种管理设备访问权限的方法、装置和系统

权利要求书

1.一种管理设备访问权限的系统，包括第一设备和安全服务端，其特征在于：

所述第一设备用于接收第二设备发出的请求注册为第一设备的从属设备的从属设备注册消息，通过所述第一设备对该从属设备注册消息确认后向安全服务端发送从属设备注册前向消息；

所述安全服务端用于接收该注册前向消息，并对该注册前向消息进行验证，验证通过后所述安全服务端将第二设备设置为第一设备的从属设备；

当第二设备访问应用和/或帐户时，安全服务端对该第二设备的访问权限进行验证，如果该第二设备具备访问所述应用和/或帐户的权限，则安全服务端对该第二设备对所述应用和/或帐户进行访问的验证项判定为通过，允许应用和/或帐户访问或者进行后续验证，如果该第二设备不具备该权限，则拒绝该第二设备对所述应用和/或帐户的访问；

所述安全服务端将第二设备设置为第一设备的从属设备后还产生从属设备注册确认消息，所述从属设备注册确认消息至少包括第二识别ID和安全服务端使用私钥为第二识别ID产生的签名；所述安全服务端将所述从属设备注册确认消息发送给第一设备。

2.根据权利要求1所述的系统，其特征在于：所述第一设备具有第一密钥，安全服务端具有与第一密钥对应的第二密钥，所述第一设备和安全服务端都具有用于匹配第一密钥和第二密钥的第一识别ID；所述第二设备具有第三密钥，所述安全服务端具有对应于第三密钥的第四密钥，所述第二设备和安全服务端都具有用于匹配第三密钥和第四密钥的第二识别ID。

3.根据权利要求1所述的系统，其特征在于：所述第一设备还用于为其从属设备配置访问应用和/或帐户权限，并将从属设备应用和/或帐户配置消息发送给安全服务端；所述安全服务端保存该从属设备应用和/或帐户配置消息，并根据该应用和/或帐户配置消息内容管理从属设备访问相应的应用和/或帐户的权限。

4.根据权利要求2所述的系统，其特征在于：所述从属设备应用和/或帐户配置消息包括消息体和消息凭证，所述消息体包括配置的应用和/或帐户信息，所述第二识别ID和所述第一识别ID；所述消息凭证是使用第一密钥对所述消息体计算产生的。

5.根据权利要求1所述的系统，其特征在于：所述安全服务端对该第二设备的访问权限进行验证的方式为：安全服务端查询其本地是否保存有所述应用和/或帐户与第二设备之间的对应关系，如果有，则该第二设备对所述应用和/或帐户的访问判定选项判定为通过，允许应用和/或帐户访问或者进行后续验证，否则拒绝该第二设备对所述应用和/或帐户的访问。

6.一种管理设备访问权限的安全服务端，包括通信模块、处理模块和存储模块，其特征在于：

所述通信模块用于接收第一设备对第二设备请求注册为第一设备的从属设备的注册消息进行确认后向安全服务端发送的从属设备注册前向消息；

所述处理模块用于对该注册前向消息进行验证，验证通过后所述处理模块将第二设备设置为第一设备的从属设备，并将该设置信息存储在存储模块中；

当第二设备访问应用和/或帐户时，处理模块对该第二设备的访问权限进行验证，如果该第二设备具备访问所述应用和/或帐户的权限，则处理模块对该第二设备对所述应用和/或帐户的访问判定选项判定为通过，允许应用和/或帐户访问或者进行后续验证，如果该第二设备不具备该权限，则拒绝该第二设备对所述应用和/或帐户的访问；

所述处理模块将第二设备设置为第一设备的从属设备后还产生从属设备注册确认消息，所述从属设备注册确认消息至少包括第二识别ID和安全服务端使用私钥为第二识别ID产生的签名；所述安全服务端将所述从属设备注册确认消息发送给第一设备。