本申請實施例提供了一種授權的方法、授權服務器、資源服務器和客戶端設備，能夠有效提高IoT系統的安全性能。該授權的方法包括：授權服務器接收客戶端設備發送的授權請求信息，所述授權請求信息包括第一標識信息；所述授權服務器基于所述授權請求信息，生成第一令牌并向所述客戶端設備發送所述第一令牌，所述第一令牌用于向所述客戶端設備授權針對第一業務的業務請求；所述授權服務器接收資源服務器發送的第二標識信息，所述第二標識信息為所述資源服務器確定的標識信息；所述授權服務器確定所述第二標識信息對應所述第一令牌；所述授權服務器向所述資源服務器發送所述第一令牌。

技術領域

本申請涉及物聯網(internet of things，IoT)領域，并且更為具體地，涉及一種授權的方法、授權服務器、資源服務器和客戶端設備。

背景技術

建筑自動化控制網絡(building automation control network，BACnet)是為建筑的自動控制網絡指定的一種數據通信協議，其目標是將不同廠商、不同功能的產品集成在一個系統中，并實現設備間的互操作。

在BACnet中，在某個IoT設備加入到IoT系統后，能夠執行該IoT系統所有的功能。這種操作可能會存在較大的安全風險，比如，在惡意攻擊者加入到該IoT系統后，同樣能夠執行該IoT系統所有的功能，從而能夠很容易獲取到該IoT系統的數據或者對數據進行惡意篡改。

發明內容

本申請提供了一種授權的方法、授權服務器、資源服務器和客戶端設備，能夠有效提高IoT系統的安全性能。

第一方面，提供了一種授權的方法，包括：授權服務器接收客戶端設備發送的授權請求信息，所述授權請求信息包括第一標識信息；所述授權服務器基于所述授權請求信息，生成第一令牌并向所述客戶端設備發送所述第一令牌，所述第一令牌用于向所述客戶端設備授權針對第一業務的業務請求；所述授權服務器接收資源服務器發送的第二標識信息，所述第二標識信息為所述資源服務器確定的標識信息；所述授權服務器確定所述第二標識信息對應所述第一令牌；所述授權服務器向所述資源服務器發送所述第一令牌。

上述技術方案，在客戶端設備需要訪問第一業務時，需要向授權服務器請求授權第一業務的業務請求的令牌，并且資源服務器也向授權服務器請求令牌，資源服務器接收到令牌后才可以向客戶端設備分配訪問第一業務的資源，與客戶端設備不需要任何授權直接訪問第一業務相比，有效提高了整個系統的安全性能。

進一步地，客戶端設備在請求令牌時，將確定的第一標識信息發送給授權服務器，從而授權服務器基于第一標識信息生成令牌。并且，資源服務器也向授權服務器發送確定的第二標識信息，第二標識信息與第一標識信息對應同一個令牌，這樣，授權服務器接收到第二標識信息后可以將向客戶端設備發送的令牌也發送給資源服務器。該技術方案客戶端設備和資源服務器分別從授權服務器處獲取到相同的令牌，這樣客戶端設備就不用向資源服務器發送令牌，節省了客戶端設備和資源服務器之間的信令開銷。此外，避免了若客戶端設備向資源服務器發送令牌，可能需要隨著報文一起發送，但報文沒有額外的字段存放令牌，從而使得令牌無法傳輸的問題。

在一些可能的實現方式中，所述第一標識信息和所述第二標識信息相同。

上述技術方案，第一標識信息和第二標識信息相同，則授權服務器在接收到資源服務器發送的第二標識信息后，能夠更容易地確定第二標識信息對應的令牌，同時也提高了向資源服務器發送的令牌與向客戶端設備發送的令牌相同的準確率。

在一些可能的實現方式中，所述第一標識信息和所述第二標識信息為所述第一令牌的身份標識號ID。

由于令牌的ID唯一對應于該令牌，上述技術方案，授權服務器通過第一標識信息只能生成第一令牌，并且通過第二標識信息只能找到第一令牌，不會找到其他令牌，保證了客戶端設備獲取到的令牌和資源服務器獲取到的令牌是相同的，以及客戶端設備訪問第一業務的正常進行。