WO2018196465A1

WO2018196465A1 - 鉴权方法、终端及服务器

Info

Publication number: WO2018196465A1
Application number: PCT/CN2018/075088
Authority: WO
Inventors: 张路
Original assignee: ZTE Corp
Current assignee: ZTE Corp
Priority date: 2017-04-28
Filing date: 2018-02-02
Publication date: 2018-11-01
Anticipated expiration: 2019-10-28
Also published as: CN108809898A; CN108809898B

Abstract

本发明公开了一种鉴权方法、终端及服务器。所述方法应用于第一终端，并且包括：获取第二终端的图像数据；当无线接入承载为释放状态时，通过物联网协议使用用于传输数据的信令将图像数据发送给服务器，所述图像数据用于请求服务器发送对应第一终端的密钥；以及接收服务器发送的密钥，并将所述密钥发送给第二终端，所述密钥用于供第二终端对第一终端鉴权。摘图1

Description

鉴权方法、终端及服务器

技术领域

本发明涉及物联网技术领域，尤其涉及一种鉴权方法、终端及服务器。

背景技术

目前，智能设备在人们生活中随处可见，人机交互的场合非常频繁。在每次的人机交互过程中通常存在鉴权认证。例如，在住宅小区的门禁前，通过使用门禁卡刷卡，或者刷指纹，再或者是输入密钥来进行鉴权认证；在公交车上，通过使用公交卡或者手机内部的芯片进行刷卡来进行鉴权认证；在银行的自动取款机(ATM，Automatic Teller Machine)前，通过ATM读取银行卡的信息、使用者输入密码来进行鉴权认证。

然而，在一些需要大量输入密钥(或密码)和频繁认证的人机交互场合，会因为等待时间过长或者刷卡出现故障等带来效率低的问题；输入密钥的方式可能会被其他人偷窥，导致密钥泄露，会带来不安全的问题；此外，输入密钥和按指纹的设备是很多人共用的，因而存在卫生问题。

因此，亟需找到一种可以实现快速安全鉴权的解决方案。

发明内容

本发明实施例提供一种鉴权方法，应用于第一终端，所述方法包括：获取第二终端的图像数据；当无线接入承载为释放状态时，通过物联网协议使用用于传输数据的信令将所述图像数据发送给服务器，其中，所述图像数据用于请求所述服务器发送对应所述第一终端的密钥；接收服务器发送的密钥，并将所述密钥发送给第二终端；所述密钥用于供第二终端对第一终端鉴权。

本发明实施例还提供一种鉴权方法，应用于服务器，所述方法包括：接收第一终端通过物联网协议使用用于传输数据的信令发送的第二终端的图像数据；以及利用所述图像数据，在预设数据库中进行查找，得到对应所述第一终端的密钥，并将所述密钥发送给所述第一终端，所述密钥用于在被所述第一终端发送给所述第二终端后对所述第一终端鉴权。

本发明实施例还提供一种第一终端，所述第一终端包括：获取模块，被配置为获取第二终端的图像数据；第一发送模块，被配置为当无线接入承载为释放状态时，通过物联网协议使用用于传输数据的信令将所述图像数据发送给服务器，所述图像数据用于请求所述服务器发送对应所述第一终端的密钥，并被配置为将所述密钥发送给所述第二终端，所述密钥用于供所述第二终端对所述第一终端鉴权；以及第一接收模块，被配置为接收所述服务器发送的所述密钥。

本发明实施例还提供一种计算机存储介质，所述计算机存储介质包括一组指令，当执行所述指令时，引起至少一个处理器执行上述应用于第一终端的鉴权方法。

本发明实施例还提供一种计算机存储介质，所述计算机存储介质包括一组指令，当执行所述指令时，引起至少一个处理器执行上述应用于服务器的鉴权方法。

附图说明

图1为根据本发明实施例一的鉴权方法的实现流程的示意图；

图2为根据本发明实施例的NB-IoT网络的协议结构的示意图；

图3为根据本发明实施例的图像数据在信令面的传输方式的示意图；

图4为根据本发明实施例的图像数据在用户面的传输方式的示意图；

图5为根据本发明实施例二的鉴权方法的实现流程的示意图；

图6为根据本发明实施例三的第一终端的组成结构的示意图；

图7为根据本发明实施例四的服务器的组成结构的示意图；

图8为根据本发明实施例的第一终端内部模块组成结构的示意图；

图9为根据本发明实施例的鉴权方法的具体实现流程的示意图；

图10为根据本发明实施例的录入新密钥的具体实现流程的示意图；

图11为根据本发明实施例的更改密钥的具体实现流程的示意图。

具体实施方式

为了能够更加详尽地了解本发明实施例的特点与技术内容，下面结合附图对本发明实施例的实现进行详细阐述。

物联网是当前通信技术发展的重大趋势。在物联网技术和标准中，基于蜂窝的窄带物联网(NB-IoT，Narrow Band Internet ofThings)和增强机器类型通信(eMTC，enhanced Machine Type Counterparts)技术异军突起，无论在本身技术优势还是应用场景上，都在物联网市场上被一致看好。多个设备厂商都在制定完善并设计支持这两种协议的产品。物联网的NB-IoT和eMTC协议，均支持在信令面传输少量用户数据。而人机交互场合中的鉴权场景一种是物联网应用场景，其具有数据量小、不连续传输的特点。

另一方面，如背景技术中所述，当前的刷卡、输密钥、按指纹等鉴权方法在效率、安全和卫生等方面存在问题。本发明提出的各个实施例旨在借鉴上述信令面传输技术以解决这些问题。

实施例一

如图1所示，本实施例以第一终端侧为例详细说明鉴权方法。该方法包括以下步骤：

步骤101：获取第二终端的图像数据。

步骤101可具体包括：搜索得到至少一个终端；从所述至少一个终端中确定所述第二终端；以及采集所述第二终端的图像，得到所述图像数据。

这里，实际应用时，第一终端可以通过蓝牙对至少一个终端进行搜索，还可以采用其他局域网协议，如无线保真(WiFi，Wireless Fidelity)、ZigBee等对至少一个终端进行搜索。其中，终端具体可以为ATM机、门禁安防闸机、智能公交车或者地铁上的刷卡机，等等。

在搜索之前，可以对至少一个终端进行标识，例如，ATM机用001编号，门禁安防闸机用002编号，智能公交车或者地铁上的刷卡机用003编号。

第一终端从所述搜索得到的至少一个终端中确定第二终端的方式，可以是：第一终端搜索得到至少一个终端，通过用户界面显示或者按键确认或者语音提示的形式，由第一终端用户在所述至少一个终端中确定一个终端作为第二终端。所述方式还可以是：第一终端预先设置规则，并按所述规则来确定第二规则，例如，所述规则可以是第一终端分别测量搜索得到的每个终端与第一终端的距离，并选取离第一终端距离最近的终端确定为第二终端。进一步地，所述方式还可以是：第一终端将根据预设规则测量得到的每个终端与第一终端的距离，通过用户界面显示出来，由第一终端用户根据实际需求确定第二终端。

这里，在搜索得到所述至少一个终端之前，所述方法还可以包括：当第一终端的状态为锁定状态时，生成第一提示消息，所述第一提示消息用于提示第一终端用户解锁第一终端；获取操作，所述操作是对所述第一提示消息的响应操作；以及响应所述操作，对所述第一终端进行解锁操作；并在解锁成功后，进入工作状态。

实际应用时，为了降低功耗和保证安全，第一终端不能始终处于工作状态或搜寻至少一个终端的状态。第一终端的工作时间可根据用户需求进行设置，例如，第一终端在工作1分钟或者10分钟后进入锁定状态。

步骤102：当无线接入承载为释放状态时，通过物联网协议使用用于传输数据的信令将图像数据发送给服务器。这里，所述图像数据用于请求服务器发送对应第一终端的密钥。

其中，无线接入承载(RAB，RadioAccess Bearer)包括用户设备(UE，UserEquipment)和陆地无线接入网(UTRAN，UMTS Terrestrial Radio Access Network)之间的无线承载(RB，Radio Bearer)，以及核心网络(CN，Core Network)和UTRAN之间的Iu承载。

这里，所述通过物联网协议使用用于传输数据的信令将图像数据发送给服务器的步骤可以包括：通过信令面的非接入层将图像数据发送给所述服务器，其中，基于所述非接入层能够在终端和核心网之间传输数据。

实际应用时，所述物联网协议可以为NB-IoT协议或eMTC协议。

在一实施例中，步骤102还包括：读取所述无线接入承载的状态变量信息；以及，当所述状态变量信息为无效信息时，确定所述无线接入承载为释放状态。

实际应用时，在第一终端本地的协议栈内存中，存储有与无线接入承载对应的一系列的变量，利用读取的这些变量可以查询第一终端是否保存有所述无线接入承载相关的有效的状态变量信息，如果这些变量为空或者内存被释放，说明第一终端没有保存第一终端和核心网之间的无线接入承载相关的有效的状态变量信息，所述状态变量信息为无效信息，进而可以确定所述无线接入承载为释放状态。

实际应用时，当无线接入承载为释放状态时，只有网络的信令面协议架构支持通过信令面传输数据才可以通过信令面的非接入层将图像数据发送给服务器，满足这样条件的网络协议具体包括NB-IoT、eMTC等。

以NB-IoT为例，图2为NB-IoT网络的协议结构，如图2所示，协议结构包括UE、基站(E-NodeB)、移动管理实体(MME，Mobility Management Entity)、服务网关(SGW，Serving GateWay)。其中，NB-IoT网络的协议架构包括控制面协议架构和用户面协议架构。所述控制面也称信令面。

信令面的协议架构包括：非接入层(NAS，Non-Access Atratum)、无线资源控制层(RRC，Radio Resource Control)、分组数据汇聚层(PDCP，Packet DataConvergence Protoco)、无线链路控制层(RLC，Radio Link Control)、媒体访问控制层(MAC，MediumAccess Control)、物理层(PHY，Physical Layer)。信令面的协议架构在MME侧的层是NAS层。其中，NAS层支持在终端和核心网之间进行信令和数据的传输。RRC层处理终端和基站之间控制面的第三层信息，RRC具备的功能包括RB控制、广播、寻呼等。PDCP层负责将IP头压缩和解压、传输用户数据等。RLC层负责分段与连接、重传处理，以及对高层数据的顺序传送等。MAC层以逻辑信道的方式为RLC层提供服务。PHY层负责编译码、调制解调、多天线映射等。用户面的协议架构包括：PDCP、RLC、MAC、PHY。

这里，所述通过信令面的非接入层将图像数据发送给服务器，包括：在终端和核心网之间建立信令无线承载，利用图像数据生成非接入层信令消息，将所述非接入层信令消息在信令无线承载上发送给服务器。

实际应用时，上述步骤可包括：打包所述图像数据，并将打包后的数据包填充在非接入层的数据体字段中，生成非接入层信令消息，将此非接入层信令消息通过非接入层传输到网络侧的服务器。具体地，将非接入层消息通过非接入层、RRC层、PDCP层、RLC层、MAC层之后传输到服务器。

在现有技术中，将图像数据打包后的数据包通过PDCP层、RLC层、MAC层，且由物理层对打包后的数据进行封装后，通过传输块的形式发送给网络侧的服务器。

图3为图像数据在信令面的传输方式，如图3所示。第一终端和服务器之间的图像数据在信令面的传输包括两部分，第一部分是第一终端和基站之间的数据传输，第二部分是基站和核心网之间的数据传输。

其中，第一部分，即第一终端和基站之间的数据传输，具体为：第一终端将获取的第二终端的图像数据进行打包并填充在非接入层的数据体字段中，生成非接入层信令消息。将所述非接入层信令消息依次经过NAS层、RRC层、PDCP层、RLC层、MAC层、PHY层处理后，PHY层通过射频信号将所述非接入层信令消息传输给基站侧的NAS层。由于第一终端上的NAS层传输的非接入层信令消息可以填充数据，因此，在无线接入承载不存在时，也就是说无线接入承载为释放状态时，不需要建立无线承载包括的数据无线承载，也避免了建立无线承载带来的延时问题。

第二部分，即基站和核心网之间的数据传输，具体为：基站将接收到的所述包含图像数据的非接入层信令消息依次经过PHY层、MAC层、RLC层、PDCP层、RRC层、NAS层处理后，由NAS层发送给MME。MME接收所述包含图像数据的非接入层信令消息后，可以将所述包含图像数据的非接入层信令消息发送给业务能力开放实体(SCEF，Service capa-bility exposure function)，由SCEF再将所述包含图像数据的非接入层信令消息发送给服务器(Services)；也可以将所述包含图像数据的非接入层信令消息发送给SGW，由SGW发送给分组数据网关(PGW，Packet Data Network Gateway)，再由PGW将所述包含图像数据的非接入层信令消息发送给服务器。

基于第一终端和核心网之间的信令无线承载，当无线接入承载为释放状态时，也就是第一终端和核心网之间不存在数据传输通道时，第一终端通过物联网协议，使用用于传输数据的信令，更具体地，通过信令面的NAS层，将第二终端的图像数据发送给服务器。因为不需要重新建立无线接入承载，因而避免了建立无线接入承载带来的延时问题，可以快速将第二终端的图像数据发送给网络侧的服务器，从而实现了快速鉴权。

在一实施例中，步骤102还包括：当无线接入承载为建立状态时，通过用户面将图像数据发送给服务器。这里，所述图像数据用于请求服务器发送对应第一终端的密钥。

具体地，在无线接入承载为建立状态时，通过用户面将图像数据发送给服务器。在这种情况下，需要建立数据无线承载。所述图像数据在用户面的传输方式如图4所示。第一终端和服务器之间的图像数据在用户面的传输包括两部分，第一部分是第一终端和基站之间的数据传输，第二部分是基站和核心网之间的数据传输。

其中，第一部分，即第一终端和基站之间的数据传输，具体为：第一终端将获取的第二终端的图像数据进行打包，并将打包后的数据包依次经过PDCP层、RLC层、MAC层处理、PHY层封装后，由PHY层通过射频信号的形式将包含图像数据的数据包传输给基站侧的PDCP层。

第二部分，即基站和核心网之间的数据传输，具体为：基站将接收到的包含图像数据的数据包依次经过PHY层、MAC层、RLC层、PDCP层处理后，发送给SGW，由SGW发送给PGW，再由PGW将包含图像数据的数据包发送给网络侧的服务器。

当无线接入承载为建立状态时，第一终端基于用户面上的数据无线承载，将第二终端的图像数据发送给服务器。

步骤103：接收服务器发送的密钥，并将所述密钥发送给第二终端。这里，所述密钥用于供第二终端对第一终端鉴权。

这里，在将所述密钥发送给第二终端之前，步骤103还包括：在根据获取的第二终端的图像数据，确定需要验证所述第一终端用户的身份时，生成第二提示信息；所述第二提示信息用于提示所述第一终端用户输入验证信息；获取所述第一终端用户输入的验证信息；以及对输入的验证信息进行校验，校验成功后将所述密钥发送给第二终端。

实际应用时，第二终端可能是转账机，也可能是门禁卡，还可以是其他设备。当第二终端是转账机时，就需要对第一终端用户的身份进行校验后，第二终端才对第一终端进行鉴权，校验的目的是提高安全性；而当第二终端是门禁卡时，不需要对第一终端用户的身份进行校验，第二终端就可以对第一终端鉴权。

其中，所述第一终端用户输入的验证信息，可以是指纹信息，也可以是一段语音，还可以是密钥等等。

所述对输入的验证信息进行校验，包括：当输入的验证信息是指纹信息时，对所述指纹消息进行指纹图像格式转换、图像分割和图像增强、图像滤波、图像二值化、图像细化、特征点提取和匹配处理；当输入的验证信息是一段语音时，对所述语音进行预加重、分帧、加窗、梅尔滤波器组滤波得到梅尔频率倒谱参数(MFCC，Mel Frequency Cepstrum Coefficient)，对MFCC进行主成分分析(PCA，Principal Components Analysis)降维处理，然后利用矢量量化(VQ，Vector Quantization)进行模式匹配；当输入的验证信息是密钥时，将所述密钥与预设密钥库进行比对。

在一实施例中，所述方法还包括：在对应第一终端的密钥更改或者录入新密钥时，将更改后的密钥或者录入的新密钥发送给服务器，所述更改后的密钥或者录入的新密钥用于服务器更新预设数据库。

实际应用时，例如当第二终端对第一终端鉴权失败时，第一终端接收到第二终端发送的鉴权失败消息后，第一终端的用户可以更改对应第一终端的密钥，并将更改后的密钥发送给服务器，用于服务器更新预设数据库。

当对应第一终端的密钥在服务器预设数据库中查找不到时，第一终端用户可以录入新的密钥并发送给服务器；或者当第二终端是新设备时，服务器上的预设数据库中并没有存储所述第二终端与第一终端的密钥对应关系时，第一终端用户录入新的密钥并发送给服务器。

如上所述，在本实施例一中，当无线接入承载为释放状态时，第一终端通过物联网协议使用用于传输数据的信令将第二终端的图像数据发送给服务器。因为不需要重新建立无线接入承载，因而避免了建立无线接入承载带来的延时问题，可以快速将第二终端的图像数据发送给网络侧的服务器，从而实现了快速鉴权。此外，在本实施例一种，由服务器发送密钥给第一终端，第一终端再将密钥发送给第二终端，避免了密钥被泄漏情况的发生，所以能够实现安全鉴权。

实施例二

如图5所示，本实施例以服务器侧为例详细说明鉴权方法，该方法包括以下步骤：

步骤501：接收第一终端通过物联网协议使用用于传输数据的信令发送的第二终端的图像数据。

这里，所述接收第一终端通过物联网协议使用用于传输数据的信令发送的第二终端的图像数据的步骤包括：通过在终端和核心网之间的信令无线承载，接收第一终端通过信令面的非接入层在信令无线承载上发送的非接入层信令消息，所述非接入层信令消息包含第二终端的图像数据。

实际应用时，通过在终端和核心网之间的信令无线承载，在核心网侧对应的是MME的NAS层。也就是说，由MME的NAS层接收在信令无线承载上传输的图像数据，再由MME将图像数据发送给SCEF，服务器接收由SCEF发送的图像数据；还可以是由MME将图像数据发送给SGW，由SGW发送给PGW，服务器接收由PGW发送的图像数据。

步骤502：利用所述图像数据，在预设数据库中进行查找，得到对应第一终端的密钥，并将所述密钥发送给第一终端。

其中，所述密钥用于第一终端发送给第二终端后对第一终端鉴权。

这里，实际应用时，将所述密钥发送给第一终端，包括：通过物联网协议使用用于传输数据的信令，将所述密码发送给第一终端。具体地，可以通过NB-IoT或者eMTC协议将所述密钥发送给第一终端。具体来说，当无线接入承载为释放状态时，通过信令面的非接入层将密钥发送给第一终端；当无线接入承载为建立状态时，通过用户面将密钥发送给第一终端。

这里，所述利用所述图像数据，在预设数据库中进行查找，包括：利用所述图像数据，基于特征提取策略从所述图像数据中提取特征信息，根据提取的特征信息在预设数据库中进行查找。

其中，所述预设数据库中存储的信息可以包括：第二终端的标识信息、第一终端的标识信息。第二终端的标识信息与第一终端的标识信息的对应关系为一对多。

实际应用时，特征提取策略首先对图像数据进行预处理，包括灰度化、二值化、抑噪(滤波)处理。基于预处理图像进行特征点提取以构造图形特征，这里的特征点可以为第二终端上的任何部位的成像点，如第二终端的边缘处的点。通过特征点可以形成图形特征，如轮廓特征、轮廓内的纹理特征等。基于图形特征确定第二终端的特征信息如标识信息，所述标识信息可以是编号。

根据提取的第二终端的标识信息以及第二终端的标识信息与第一终端的标识信息的对应关系，在预设数据中进行查找，得到对应第一终端的密钥。

在一实施例中，所述方法还包括：接收第一终端发送的更改后的密钥或者录入的新密钥；所述更改后的密钥和录入的新密钥与第二终端相对应；根据所述更改后的密钥或者录入的新密钥，更新所述预设数据库。

实施例三

为实现实施例一的方法，本实施例提供了一种第一终端，如图6所示，所述第一终端包括：获取模块61、第一发送模块62、第一接收模块63，其中：获取模块61被配置为获取第二终端的图像数据。

第一发送模块62被配置为：当无线接入承载为释放状态时，通过物联网协议使用用于传输数据的信令将图像数据发送给服务器，其中，所述图像数据用于请求服务器发送对应第一终端的密钥；以及将所述密钥发送给第二终端，其中，所述密钥用于供第二终端对第一终端鉴权。

第一接收模块63被配置为接收服务器发送的密钥。

在一实施例中，所述获取模块61还被配置为：搜索得到至少一个终端；从所述至少一个终端中确定所述第二终端；采集所述第二终端的图像，得到所述图像数据。

这里，实际应用时，第一终端可以通过蓝牙对至少一个终端进行搜索，还可以采用其他局域网协议，如WiFi、ZigBee等对至少一个终端进行搜索。其中，终端具体可以为ATM机、门禁安防闸机、智能公交车或者地铁上的刷卡机，等等。

在一实施例中，所述第一发送模块62还被配置为在终端和核心网之间建立信令无线承载，利用图像数据生成非接入层信令消息，将所述非接入层信令消息在信令无线承载上发送给服务器。具体地，当终端是第一终端，图像数据是第二终端的图像数据时，第一发送模块62在第一终端和核心网之间建立信令无线承载，利用第二终端的图像数据生成非接入层信令消息，将所述非接入层信令消息在信令无线承载上发送给服务器。

这里，当无线接入承载为释放状态时，只有网络的信令面协议架构支持通过信令面传输数据才可以通过信令面的非接入层将图像数据发送给服务器，满足这样条件的网络协议具体包括NB-IoT、eMTC等。

在一实施例中，所述第一发送模块62还被配置为：当无线接入承载为建立状态时，基于用户面上的数据无线承载将图像数据发送给服务器。

在一实施例中，所述第一终端还包括解锁模块，该解锁模块被被配置为：当第一终端的状态为锁定状态时，生成第一提示消息，所述第一提示消息用于提示第一终端用户解锁第一终端；获取操作，所述操作是对所述第一提示消息的响应操作；响应所述操作，对所述第一终端进行解锁操作；并在解锁成功后，使第一终端进入工作状态。

实际应用时，为了降低功耗和保证安全，第一终端不能始终处于工作状态和搜寻至少一个终端的状态，第一终端的工作时间可根据用户需求进行设置，例如，第一终端工作1分钟或者10分钟后进入锁定状态。

在一实施例中，所述第一终端还包括确定模块，其被被配置为读取协议栈中保存的第一终端和核心网之间的无线接入承载的状态，当第一终端和核心网之间不存在数据传输通道时，确定模块确定无线接入承载为释放状态。

在一实施例中，所述第一终端还包括校验模块，其被被配置为根据获取的第二终端的图像数据，确定需要验证所述第一终端用户的身份时，生成第二提示信息。其中，所述第二提示信息用于提示所述第一终端用户输入验证信息；还用于获取所述第一终端用户输入的验证信息；还用于对输入的验证信息进行校验；

相应的，所述第一发送模块62还被被配置为在校验成功后发送所述密钥给第二终端。

实际应用时，由于第二终端可能是转账机，也可能是门禁卡，当第二终端是转账机时，就需要对第一终端用户的身份进行校验后，第二终端才对第一终端进行鉴权，校验的目的是提高安全性；而当第二终端是门禁卡时，不需要对第一终端用户的身份进行校验，第二终端就可以对第一终端鉴权。

在一实施例中，所述第一终端还包括录入模块，其被被配置为：在对应第一终端的密钥更改或者录入新密钥时，将更改后的密钥或者录入的新密钥发送给服务器，所述更改后的密钥或者录入的新密钥用于服务器更新预设数据库。

在实际应用中，第一接收模块63由第一终端上的通信接口实现；获取模块61、解锁模块、确定模块可由位于第一终端上的处理器如中央处理器(CPU，Central Processing Unit)、微处理器(MPU，Micro Processor Unit)、DSP、或现场可编程门阵列(FPGA，Field Programmable Gate Array)等实现；第一发送模块62、校验模块、录入模块由位于第一终端上的处理器如CPU、MPU、DSP、FPGA等结合通信接口实现。

实施例四

为实现实施例二的方法，本实施例提供了一种服务器。如图7所示，所述服务器包括第二接收模块71、第二发送模块72。其中：

第二接收模块71被被配置为接收第一终端通过物联网协议使用用于传输数据的信令发送的第二终端的图像数据。

第二发送模块72被被配置为利用所述图像数据，在预设数据库中进行查找，得到对应第一终端的密钥，并将所述密钥发送给第一终端，所述密钥用于在被第一终端发送给第二终端后对第一终端鉴权。

在一实施例中，第二接收模块71还被被配置为接收第一终端发送的更改后的密钥或者录入的新密钥，所述更改后的密钥和录入的新密钥与第二终端相对应。

在一实施例中，所述第二接收模块71还被被配置为通过在第一终端和核心网之间的信令无线承载，接收第一终端通过信令面的非接入层在信令无线承载上发送的非接入层信令消息，所述非接入层信令消息包含第二终端的图像数据。

实际应用时，通过在终端和核心网之间的信令无线承载，在核心网侧对应的是MME的NAS层，也就是说，由MME的NAS层接收在信令无线承载上传输的图像数据，再由MME将图像数据发送给SCEF，服务器接收由SCEF发送的图像数据；还可以是由MME将图像数据发送给SGW，由SGW发送给PGW，服务器接收由PGW发送的图像数据。

在一实施例中，所述第二发送模72还被被配置为利用所述图像数据，基于特征提取策略从所述图像数据中提取特征信息，根据提取的特征信息在预设数据库中进行查找。

这里，实际应用时，所述第二发送模块72通过物联网协议使用用于传输数据的信令，将所述密码发送给第一终端。具体地，可以通过NB-IoT或者eMTC协议将所述密钥发送给第一终端。也就是说，当无线接入承载为释放状态时，第二发送模块72通过信令面的NAS层将密钥发送给第一终端；当无线接入承载为建立状态时，第二发送模块72通过用户面将密钥发送给第一终端。

在一实施例中，所述服务器还包括更新模块，其被被配置为根据所述更改后的密钥或者录入的新密钥，更新所述预设数据库。

在实际应用中，更新模块由位于第二终端上的处理器如CPU、MPU、DSP、FPGA等实现；第二接收模块71、第二发送模块72可由位于第二终端上的处理器如CPU、MPU、DSP、FPGA等结合通信接口实现。

下面以具体实例说明鉴权方法的具体实施过程。

图8为第一终端内部模块组成示意图，如图8所示。第一终端内部模块包括用户交互模块801、NB-IoT/eMTC通信模块802、蓝牙/WiFi通信模块803、信息采集模块804、图像采集模块805。

下面对每个组成部分进行详细说明，具体如下：

(1)用户交互模块801：用于完成第一终端和用户之间的交互。交互的方式可以是用户界面(UI，User Interface)显示，按键确认，语音提示等多种方式。

(2)NB-IoT/eMTC通信模块802：用于第一终端通过无线网络和服务器进行交互。上行发送第二终端的图像数据，下行包含第一终端要请求的密钥、个人信息等认证信息。在无线接入承载建立的情况下，使用用户面传送图像数据，在无线接入承载被释放的情况下，使用信令面传送图像数据。

(3)蓝牙/WiFi通信模块803：用于搜寻并连接周围的主机(第二终端)，例如ATM机、门禁安防闸机、智能公交车/地铁刷卡机等。在服务器发给第一终端用于鉴权的认证数据如密钥后，通过蓝牙/WiFi通信模块803将密钥发送给主机，由主机完成对第一终端的鉴权。其中，搜索以及连接技术可以采用蓝牙，也可以采用其他局域网协议如WiFi、ZigBee等完成。

(4)信息采集模块804：用于输入输出。为了省电和保证安全，第一终端不可能一直处于工作状态和搜寻周边主机的状态，在大部分的时间里都是待机状态，即锁定状态，在锁定状态，第一终端不可使用，也不会搜寻周边主机。第一终端的工作时间可以由第一终端用户设置，工作时间可以设置为1分钟或者10分钟等等。当第一终端用户使用第一终端之前，需要使用信息采集模块 804来解锁第一终端。在解锁后的一段时间里，第一终端均处于可用和搜寻状态。另外，在新增密钥、修改密钥的过程中，也会用到信息采集模块804。

(5)图像采集模块805：在一个开放场合，第一终端可能会不断地搜寻到各种主机。例如，在小区门口可能有ATM机，公交车，第一终端会搜索到多个主机，此时需要第一终端用户确认具体接入哪一个主机作为第二终端。确定第二终端之后，采取实景拍摄的方法。用户可使用第一终端的摄像头(属于图像采集模块)采集图片，然后通过NB-IoT/eMTC协议发送到服务器上，服务器判断主机为第二终端后，才会将对应第一终端的密钥下发给第一终端。第一终端还可以搭载上智能眼镜或类似穿戴产品，从而，第一终端用户例如只要径直走向或观察想要操作的主机，第一终端中的图像采集模块805就可自动工作并上传第二终端的图像数据给服务器，节约了时间和人力。

图9为本发明实施例鉴权方法的具体实现流程的示意图。如图9所示，该流程包括如下步骤：

步骤901：确定第一终端是否处于工作状态，如果确定第一终端处于工作状态，则执行步骤902。如果第一终端处于锁定状态(当例如第一终端超出预设的工作时间后，第一终端处于锁定状态)，则执行步骤917。

步骤917：提示用户解锁第一终端，并等待用户通过指纹或眼纹解锁第一终端，解锁成功后执行步骤902。

步骤902：在确定第一终端处于工作状态的情况下，第一终端进入搜寻主机的状态。当第一终端搜索得到至少一个主机(第二终端)时，执行步骤903。如果第一终端未搜到主机，则返回步骤901。

步骤903：通过例如用户交互模块801提示第一终端用户开启实景认证，并等待用户开启实景认证。

步骤904：用户进行实景录入，如果实景录入成功，则执行步骤9041；如果实景录入不成功，则返回步骤903。

步骤9041：设备(第一终端)通过蓝牙或者其他局域网等方法连接到目标主机，之后执行步骤905。作为实景录入的实例，用户可利用第一终端拍摄一张主机设备照片。照片可以是用户即将要进入的小区大门，也可以是房屋智能门锁、某银行ATM机、公交车、私人会所钥匙柜等等。

步骤905：第一终端判断无线接入承载是否存在，如果存在(即，无线接入承载为建立状态)，则执行步骤906，如果不存在(即，无线接入承载为释放状态)，则执行步骤912。

在第一终端本地的协议栈内存中，存储有与无线接入承载对应的一系列的变量，利用读取的这些变量可以查询第一终端是否保存有所述无线接入承载相关的有效的状态变量信息，如果这些变量为空或者内存被释放，说明第一终端没有保存第一终端和核心网之间的无线接入承载相关的有效的状态变量信息，所述状态变量信息为无效信息，进而可以确定所述无线接入承载为释放状态。

根据无线网络标准，对于无线网络设备，如果一段时间内没有数据流量，那么终端和核心网络之间建立的承载和信令连接将会被释放掉，当用户再次请求数据时，会先和核心网络进行服务请求(SR，Service Request)信令交互，建立RRC承载，并建立无线承载和无线接入承载，然后才能在终端和核心网络之间进行数据交互。

步骤906：通过物联网协议使用用于传输数据的信令将主机的图片数据发送给服务器。

这里，实际应用时，可以基于NB-IoT(或者eMTC)协议，通过用户面将主机的图片数据发送给服务器。

在服务器侧，服务器查找预设数据库，如发现对应第一终端的密钥时，通过NB-IoT/eMTC协议将密钥发送给第一终端。

步骤907：确定是否接收到服务器发送给第一终端的密钥，如果接收到密钥，执行步骤908，否则执行步骤913。

步骤908：生成提示消息，例如“接收到主机“xxx”的密钥，是否发送？”所述提示消息用于终端判断是否对用户的身份进行验证，当确定需要对第一终端用户的身份进行验证时，执行步骤909。

这里，可根据用户预置的安保级别判断是否对用户的身份进行验证。例如：ATM机的密钥鉴权、公交车上的身份鉴权，可设为高安保级别，只有验证了用户身份并且用户按了确认键后才会发送密钥完成鉴权过程。当主机是转账机时，第一终端需要对用户身份进行验证，在验证用户身份后再发送密钥给主机。小区门禁，公司闸机等可设为低安保级别，无需验证用户身份以及用户的确认，第一终端会直接发送密钥给主机(在这种情况下，跳过步骤908-909)。

步骤909：确定是否接收到用户输入的验证信息(接收到用户的确认)。如果接收到，执行步骤910，否则返回步骤908。

步骤910：当验证用户的身份成功后，通过蓝牙等方式将密钥发送给主机。

步骤911：确定主机鉴权是否通过，如果主机鉴权成功，则执行步骤916；如果鉴权失败，则执行步骤915。

步骤912：通过物联网协议使用用于传输数据的信令将主机的图片数据发送给服务器。

这里，实际应用时，可以基于NB-IoT或者eMTC协议，通过信令面的NAS层将主机的图片发送给服务器。

将主机的图片数据打包，并将打包后的数据包填充在NAS层的数据体字段中，生成非接入层信令消息，将此非接入层信令消息通过NAS层传输到网络侧的服务器。具体地，将所述包含主机图片数据的非接入层消息通过NAS层、RRC层、PDCP层、RLC层、MAC层处理、PHY层封装之后，通过无线电信号的形式传输到服务器。

由于不需要重新建立无线接入承载，省掉了服务请求、无线承载、无线接入承载的建立，可以快速将数据发送给服务器。

步骤913：提示用户重新拍照，返回步骤903；或者提示用户这是一台新主机设备，需要录入新密钥，之后执行步骤914。

步骤914：进入新增设备流程。

步骤915：主机提示第一终端用户进行密钥修改。步骤915也可以为：主机直接待机休眠。

步骤916：第一终端根据工作时间情况选择继续搜索或进入待机模式。如果工作时间超过用户预设的时间，则锁定设备，锁定后第一终端处于低耗电状态。

图10为本发明实施例新增设备流程，即录入新密钥的具体实现流程的示意图。如图10所示，该流程包括如下步骤：

步骤1001：进入录入新密钥流程。

步骤1002：通过信息采集模块804确认用户信息，确认第一终端是合法用户使用，并使第一终端进入工作模式。

步骤1003：通过信息采集模块804录入用户信息、新密钥。

步骤1004：将录入的密钥发送给服务器。

具体地，基于NB-IoT/eMTC协议，当无线接入承载不存在(为释放状态)时，可以使用信令面的NAS层将录入的对应第一终端的新密钥发送给服务器；否则(无线承载已建立)，通过用户面将录入的对应第一终端的新密钥发送给服务器。当然，也可以先建立无线接入承载，然后通过打包录入的密钥数据，将打包后的数据包通过PDCP层、RLC层、MAC层处理、PHY层封装后，通过传输块的形式发送给网络侧的服务器。

步骤1005：服务器更新预设数据库，创建新密钥信息，以及新密钥与第一终端的对应关系、主机(第二终端)与第一终端的对应关系。

步骤1006：提示用户，录入新密钥成功。

图11为本发明实施例更改密钥的具体实现流程的示意图。如图11所示，该流程包括如下步骤：

步骤1101：进入更改密钥流程。

步骤1102：通过信息采集模块804确认用户信息，确认第一终端是合法用户使用，并使第一终端进入工作模式。

步骤1103：通过信息采集模块804输入更改后的密钥。

步骤1104：将更改后的密钥发送给服务器。

这里，实际应用时，可以基于NB-IoT/eMTC协议，将更改后的密钥发送给服务器。具体地，当无线接入承载不存在(为释放状态)时，可以使用信令面的NAS层将录入的对应第一终端的密钥发送给服务器；否则(无线承载已建立)，通过用户面将录入的对应第一终端的密钥发送给服务器。当然，也可以先建立无线接入承载，然后通过打包更改后的密钥数据，将打包后的数据包通过PDCP层、RLC层、MAC层处理、物理层封装后，通过传输块的形式发送给网络侧的服务器。

步骤1105：服务器更新预设数据库，创建更改后的密钥信息，以及更改后的密钥与第一终端的对应关系、主机与第一终端的对应关系。

步骤1106：服务器提示用户，更改密钥成功。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

基于此，本发明实施例还提供了一种计算机存储介质，所述计算机存储介质包括一组指令，当执行所述指令时，引起至少一个处理器执行上述服务器侧的鉴权方法，或者执行上述终端侧的鉴权方法。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

Claims

一种鉴权方法，应用于第一终端，所述方法包括：

步骤101：获取第二终端的图像数据；

步骤102：当无线接入承载为释放状态时，通过物联网协议使用用于传输数据的信令将所述图像数据发送给服务器，其中，所述图像数据用于请求所述服务器发送对应所述第一终端的密钥；

步骤103：接收所述服务器发送的密钥，并将所述密钥发送给所述第二终端，其中，所述密钥用于供所述第二终端对所述第一终端鉴权。
根据权利要求1所述的方法，其中，所述步骤102包括：

通过信令面的非接入层将所述图像数据发送给所述服务器，其中，基于所述非接入层能够在所述第一终端和核心网之间传输数据。
根据权利要求1所述的方法，其中，所述步骤101包括：

搜索得到至少一个终端；

从所述至少一个终端中确定所述第二终端；以及

采集所述第二终端的图像，得到所述图像数据。
根据权利要求1所述的方法，还包括：

读取所述无线接入承载的状态变量信息；以及

当所述状态变量信息为无效信息时，确定所述无线接入承载为所述释放状态。
根据权利要求2所述的方法，其中，通过信令面的非接入层将所述图像数据发送给所述服务器的步骤包括：

在所述第一终端和核心网之间建立信令无线承载，利用所述图像数据生成非接入层信令消息，将所述非接入层信令消息在所述信令无线承载上发送给所述服务器。
根据权利要求1所述的方法，其中，在将所述密钥发送给所述第二终端之前，步骤103还包括：

在根据获取的所述第二终端的图像数据，确定需要验证所述第一终端用户的身份时，生成第二提示信息；所述第二提示信息用于提示所述第一终端用户输入验证信息；

获取所述第一终端用户输入的验证信息；以及

对输入的验证信息进行校验，校验成功后将所述密钥发送给所述第二终端。
根据权利要求1所述的方法，还包括：

在对应所述第一终端的密钥更改或者录入新密钥时，将更改后的密钥或者录入的新密钥发送给所述服务器，所述更改后的密钥或者所述录入的新密钥用于所述服务器更新预设数据库。
根据权利要求1至7中任一项所述的方法，其中，所述步骤102还包括：

当所述无线接入承载为建立状态时，基于用户面上的数据无线承载将所述图像数据发送给所述服务器。
一种鉴权方法，应用于服务器，所述方法包括：

步骤501：接收第一终端通过物联网协议使用用于传输数据的信令发送的第二终端的图像数据；以及

步骤502：利用所述图像数据，在预设数据库中进行查找，得到对应所述第一终端的密钥，并将所述密钥发送给所述第一终端，所述密钥用于在被所述第一终端发送给所述第二终端后对所述第一终端鉴权。
根据权利要求9所述的方法，其中，所述接收第一终端通过物联网协议使用用于传输数据的信令发送的第二终端的图像数据的步骤包括：

通过在所述第一终端和核心网之间的信令无线承载，接收第一终端通过信令面的非接入层在所述信令无线承载上发送的非接入层信令消息，所述非接入层信令消息包含所述第二终端的图像数据。
根据权利要求9所述的方法，其中，所述利用所述图像数据，在预设数据库中进行查找的步骤包括：

利用所述图像数据，基于特征提取策略从所述图像数据中提取特征信息，

根据提取的特征信息在所述预设数据库中进行查找。
根据权利要求9所述的方法，还包括：

接收所述第一终端发送的更改后的密钥或者录入的新密钥，所述更改后的密钥和所述录入的新密钥与所述第二终端相对应；

根据所述更改后的密钥或者所述录入的新密钥，更新所述预设数据库。
一种第一终端，包括：

获取模块，被被配置为获取第二终端的图像数据；

第一发送模块，被被配置为当无线接入承载为释放状态时，通过物联网协议使用用于传输数据的信令将所述图像数据发送给服务器，所述图像数据用于请求所述服务器发送对应所述第一终端的密钥；以及将所述密钥发送给所述第二终端，所述密钥用于供所述第二终端对所述第一终端鉴权；以及

第一接收模块，被被配置为接收所述服务器发送的所述密钥。
根据权利要求13所述的第一终端，其中，

所述第一发送模块还被被配置为在所述第一终端和核心网之间建立信令无线承载，利用所述图像数据生成非接入层信令消息，将所述非接入层信令消息在所述信令无线承载上发送给所述服务器。
一种服务器，包括：

第二接收模块，被被配置为接收第一终端通过物联网协议使用用于传输数据的信令发送的第二终端的图像数据；以及

第二发送模块，被配置为利用所述图像数据，在预设数据库中进行查找，得到对应所述第一终端的密钥，并将所述密钥发送给所述第一终端，所述密钥用于在被所述第一终端发送给所述第二终端后对所述第一终端鉴权。
根据权利要求15所述的服务器，其中，

所述第二接收模块还被配置为通过在所述第一终端和核心网之间的信令无线承载，接收所述第一终端通过信令面的非接入层在所述信令无线承载上发送的非接入层信令消息，所述非接入层信令消息包含所述第二终端的图像数据。