本申請要求于2016年11月14日提交中國專利局、申請?zhí)枮?01611019375.8，發(fā)明名稱為“一種管理設(shè)備訪問權(quán)限的方法、裝置和系統(tǒng)”的中國專利申請的優(yōu)先權(quán)，其全部內(nèi)容通過引用結(jié)合在本申請中。

本發(fā)明涉及計算機信息技術(shù)領(lǐng)域，尤其涉及一種管理設(shè)備訪問權(quán)限的方法、裝置和系統(tǒng)。

背景技術(shù)：

互聯(lián)網(wǎng)用戶通常會有多個應(yīng)用和多個賬戶使用，多個應(yīng)用和賬戶在不同的應(yīng)用程序或者主機中存在；一般對于終端用戶來講，所擁有的計算機設(shè)備是有限的幾個，通常是頻繁使用的如家用電腦，筆記本電腦，平板電腦，智能手機等；通常這些設(shè)備都用來訪問主人用戶的各種應(yīng)用及賬戶的服務(wù)。如目前個人互聯(lián)網(wǎng)賬戶可以授權(quán)到用戶的某一個計算機設(shè)備，如果有第二個設(shè)備需要方便的使用，用戶為了保證安全，用戶需要再次授權(quán)第二個設(shè)備；如果有多個賬戶需要授權(quán)時，每個賬戶都需要用同樣的方式再做一遍，這樣用戶的賬戶與設(shè)備之間的授權(quán)關(guān)系不斷增加，人們就很難記得哪些應(yīng)用及賬戶在哪些設(shè)備上被授權(quán)訪問權(quán)限了，不宜管理也不方便，需要一種簡單，便捷的技術(shù)方法，在安全架構(gòu)下工作的多應(yīng)用，多賬戶，多設(shè)備授權(quán)管理技術(shù)來解決問題。

一般商業(yè)計算使用壽命是5年左右，智能手機由于電池等的影響，3年左右就需要更換，在用戶終端設(shè)備置換的過程中，就需要把舊的用戶終端的應(yīng)用及賬戶的授權(quán)關(guān)系刪除。在新的設(shè)備上需要提供給用戶一個方便的，安全的應(yīng)用用戶遷移方案，在遷移的過程中保證新的計算設(shè)備安全工作，同時需要去除廢棄的手機上授權(quán)關(guān)系，目前有部分服務(wù)提供商可以對自己服務(wù)的賬戶權(quán)限通過網(wǎng)頁登錄進行設(shè)備與應(yīng)用賬戶關(guān)系的管理，但是沒有通用的對于單個用戶多應(yīng)用及賬戶和多設(shè)備，之間的授權(quán)關(guān)系的管理；同時為了保證安全性，使用的步驟較多，易用性差，需要一種更安全易用的技術(shù)管理用戶的多應(yīng)用賬戶與多訪問設(shè)備之間的關(guān)系。

技術(shù)實現(xiàn)要素：

為實現(xiàn)本發(fā)明之目的，采用以下技術(shù)方案予以實現(xiàn)：

一種管理設(shè)備訪問權(quán)限的系統(tǒng)，包括第一設(shè)備和安全服務(wù)端，其中：

所述第一設(shè)備用于接收第二設(shè)備發(fā)出的請求注冊為第一設(shè)備的從屬設(shè)備的從屬設(shè)備注冊消息，通過所述第一設(shè)備對該從屬設(shè)備注冊消息確認后向安全服務(wù)端發(fā)送從屬設(shè)備注冊前向消息；

所述安全服務(wù)端用于接收該注冊前向消息，并對該注冊前向消息進行驗證，驗證通過后所述安全服務(wù)端將第二設(shè)備設(shè)置為第一設(shè)備的從屬設(shè)備。

所述的系統(tǒng)，其中，當?shù)诙O(shè)備訪問應(yīng)用和/或賬戶時，安全服務(wù)端對該第二設(shè)備的訪問權(quán)限進行驗證，如果該第二設(shè)備具備訪問所述應(yīng)用和/或賬戶的權(quán)限，則安全服務(wù)端對該第二設(shè)備對所述應(yīng)用和/或賬戶進行訪問的驗證項判定為通過，允許應(yīng)用和/或賬戶訪問或者繼續(xù)后續(xù)驗證，如果該第二設(shè)備不具備該權(quán)限，則拒絕該第二設(shè)備對所述應(yīng)用和/或賬戶的訪問。

所述的系統(tǒng)，其中：所述第一設(shè)備具有第一密鑰，安全服務(wù)端具有與第一密鑰對應(yīng)的第二密鑰，所述第一設(shè)備和安全服務(wù)端都具有用于匹配第一密鑰和第二密鑰的第一識別id；所述第二設(shè)備具有第三密鑰，所述安全服務(wù)端具有對應(yīng)于第三密鑰的第四密鑰，所述第二設(shè)備和安全服務(wù)端都具有用于匹配第三密鑰和第四密鑰的第二識別id。

所述的系統(tǒng)，其中：所述從屬設(shè)備注冊消息包括消息體和消息憑證，所述消息體包括第二識別id和同步提示信息，所述消息憑證是使用第三密鑰為所述消息體計算得出的憑證；

所述第一設(shè)備對所述同步提示信息選擇確認后，所述第一設(shè)備產(chǎn)生從屬設(shè)備注冊前向消息并發(fā)送給所述安全服務(wù)端，所述從屬設(shè)備注冊前向消息包括消息體和第一密鑰為該消息體計算的憑證，所述消息體包括第一識別id和所述從屬設(shè)備注冊消息；

所述安全服務(wù)端接收到所述從屬設(shè)備注冊前向消息后，使用第一識別id找到第二密鑰，使用第二密鑰驗證所述從屬設(shè)備注冊前向消息的憑證，如果通過，使用所述從屬設(shè)備注冊消息中的第二識別id查找第四密鑰，使用第四密鑰計算所述從屬設(shè)備注冊消息的憑證，如果驗證通過，則所述安全服務(wù)端將第二設(shè)備設(shè)置為第一設(shè)備的從屬設(shè)備。

所述的系統(tǒng)，其中：所述安全服務(wù)端將第二設(shè)備設(shè)置為第一設(shè)備的從屬設(shè)備后還產(chǎn)生從屬設(shè)備注冊確認消息，所述從屬設(shè)備注冊確認消息至少包括第二識別id和安全服務(wù)端使用私鑰為第二識別id產(chǎn)生的簽名；所述安全服務(wù)端將所述從屬設(shè)備注冊確認消息發(fā)送給第一設(shè)備。

所述的系統(tǒng)，其中：所述第一設(shè)備接收到所述從屬設(shè)備注冊確認消息后，使用安全服務(wù)端公鑰驗證消息簽名；驗證通過后，所述第一設(shè)備將第二識別id加入從屬設(shè)備名單中。

所述的系統(tǒng)，其中：所述第一設(shè)備還用于為其從屬設(shè)備配置訪問應(yīng)用和/或賬戶權(quán)限，并將從屬設(shè)備應(yīng)用和/或賬戶配置消息發(fā)送給安全服務(wù)端；所述安全服務(wù)端保存該從屬設(shè)備應(yīng)用和/或賬戶配置消息，并根據(jù)該應(yīng)用和/或賬戶配置消息內(nèi)容管理從屬設(shè)備訪問相應(yīng)的應(yīng)用和/或賬戶的權(quán)限。

所述的系統(tǒng)，其中：所述從屬設(shè)備應(yīng)用和/或賬戶配置消息包括消息體和消息憑證，所述消息體包括配置的應(yīng)用和/或賬戶信息，所述第二識別id和所述第一識別id；所述消息憑證是使用第一密鑰對所述消息體計算產(chǎn)生的。

所述的系統(tǒng)，其中：

所述安全服務(wù)端收到所述從屬設(shè)備應(yīng)用和/或賬戶配置消息后，使用第一識別id查找第二密鑰，使用第二密鑰驗證所述從屬設(shè)備應(yīng)用和/或賬戶配置消息憑證，如果驗證通過，檢查第二識別id對應(yīng)的第二設(shè)備是否為第一設(shè)備的從屬設(shè)備；如果是從屬設(shè)備，檢查第一設(shè)備是否具有配置消息中包括的應(yīng)用和/或賬戶的根設(shè)備權(quán)限；如果消息中包括的配置的應(yīng)用和/或賬戶是第一設(shè)備所管理的項目，所述安全服務(wù)端執(zhí)行配置操作，將消息中要求的應(yīng)用和/或賬戶為從屬設(shè)備添加或者刪除；所述安全服務(wù)端產(chǎn)生所述從屬設(shè)備應(yīng)用和/或賬戶配置發(fā)布消息；當配置操作是刪除從屬設(shè)備時，刪除從屬設(shè)備由第一設(shè)備配置的應(yīng)用和/或賬戶，然后刪除第二設(shè)備與第一設(shè)備的從屬設(shè)備關(guān)系；所述安全服務(wù)端發(fā)送從屬設(shè)備應(yīng)用和/或賬戶配置確認消息通知第一設(shè)備完成配置操作。

所述的系統(tǒng)，其中：

所述安全服務(wù)端將所述從屬設(shè)備應(yīng)用和/或賬戶配置發(fā)布消息發(fā)送給第二設(shè)備；所述從屬設(shè)備應(yīng)用和/或賬戶配置發(fā)布消息包括消息體和使用所述安全服務(wù)端私鑰計算的消息簽名，所述消息體包括配置應(yīng)用和/或賬戶信息，第二識別id和第一識別id。

所述的系統(tǒng)，其中：所述安全服務(wù)端對該第二設(shè)備的訪問權(quán)限進行驗證的方式為：安全服務(wù)端查詢其本地是否保存有所述應(yīng)用和/或賬戶與第二設(shè)備之間的對應(yīng)關(guān)系，如果有，則該第二設(shè)備對所述應(yīng)用和/或賬戶的訪問判定選項判定為通過，允許應(yīng)用和/或賬戶訪問或者繼續(xù)驗證其他判定選項，否則拒絕該第二設(shè)備對所述應(yīng)用和/或賬戶的訪問。

一種管理設(shè)備訪問權(quán)限的安全服務(wù)端，包括通信模塊、處理模塊和存儲模塊，其中：

所述通信模塊用于接收所述第一設(shè)備對第二設(shè)備請求注冊為第一設(shè)備的從屬設(shè)備的注冊消息進行確認后向安全服務(wù)端發(fā)送的從屬設(shè)備注冊前向消息；

所述處理模塊用于對該注冊前向消息進行驗證，驗證通過后所述處理模塊將第二設(shè)備設(shè)置為第一設(shè)備的從屬設(shè)備，并將該設(shè)置信息存儲在存儲模塊中。

所述的安全服務(wù)端，其中，當?shù)诙O(shè)備訪問應(yīng)用和/或賬戶時，處理模塊對該第二設(shè)備的訪問權(quán)限進行驗證，如果該第二設(shè)備具備訪問所述應(yīng)用和/或賬戶的權(quán)限，則處理模塊對該第二設(shè)備對所述應(yīng)用和/或賬戶的訪問判定選項判定為通過，允許應(yīng)用和/或賬戶訪問或者繼續(xù)驗證其他判定選項，如果該第二設(shè)備不具備該權(quán)限，則拒絕該第二設(shè)備對所述應(yīng)用和/或賬戶的訪問。

所述的安全服務(wù)端，其中：所述第一設(shè)備具有第一密鑰，安全服務(wù)端的存儲模塊具有與第一密鑰對應(yīng)的第二密鑰，所述第一設(shè)備和安全服務(wù)端的存儲模塊都具有用于匹配第一密鑰和第二密鑰的第一識別id；所述第二設(shè)備具有第三密鑰，所述安全服務(wù)端的存儲模塊具有對應(yīng)于第三密鑰的第四密鑰，所述第二設(shè)備和安全服務(wù)端的存儲模塊都具有用于匹配第三密鑰和第四密鑰的第二識別id。

所述的安全服務(wù)端，其中：所述從屬設(shè)備注冊消息包括消息體和消息憑證，所述消息體包括第二識別id和同步提示信息，所述消息憑證是使用第三密鑰為所述消息體計算得出的憑證；

所述第一設(shè)備對所述同步提示信息選擇確認后，產(chǎn)生從屬設(shè)備注冊前向消息并發(fā)送給所述安全服務(wù)端的通信模塊，所述從屬設(shè)備注冊前向消息包括消息體和第一密鑰為該消息體計算的憑證，所述消息體包括第一識別id和所述從屬設(shè)備注冊消息；

所述通信模塊接收到所述從屬設(shè)備注冊前向消息后，處理模塊使用第一識別id找到第二密鑰，使用第二密鑰驗證所述從屬設(shè)備注冊前向消息的憑證，如果通過，使用所述從屬設(shè)備注冊消息中的第二識別id查找第四密鑰，使用第四密鑰計算所述從屬設(shè)備注冊消息的憑證，如果驗證通過，則所述處理模塊將第二設(shè)備設(shè)置為第一設(shè)備的從屬設(shè)備，并將該設(shè)置信息保存在存儲模塊中。

所述的安全服務(wù)端，其中：所述處理模塊將第二設(shè)備設(shè)置為第一設(shè)備的從屬設(shè)備后還產(chǎn)生從屬設(shè)備注冊確認消息，所述從屬設(shè)備注冊確認消息至少包括第二識別id和安全服務(wù)端使用私鑰為消息產(chǎn)生的簽名；所述處理模塊將所述從屬設(shè)備注冊確認消息通過通信模塊發(fā)送給第一設(shè)備。

所述的安全服務(wù)端，其中：所述第一設(shè)備還用于為其從屬設(shè)備配置訪問應(yīng)用和/或賬戶權(quán)限，并將從屬設(shè)備應(yīng)用和/或賬戶配置消息發(fā)送給安全服務(wù)端的通信模塊；所述存儲模塊保存該從屬設(shè)備應(yīng)用和/或賬戶配置消息，所述處理模塊根據(jù)該應(yīng)用和/或賬戶配置消息內(nèi)容管理從屬設(shè)備訪問相應(yīng)的應(yīng)用和/或賬戶的權(quán)限。

所述的安全服務(wù)端，其中：所述從屬設(shè)備應(yīng)用和/或賬戶配置消息包括消息體和消息憑證，所述消息體包括配置的應(yīng)用和/或賬戶信息，所述第二識別id和所述第一識別id；所述消息憑證是使用第一密鑰對所述消息體計算產(chǎn)生的。

所述的安全服務(wù)端，其中：

所述安全服務(wù)端的通信模塊收到所述從屬設(shè)備應(yīng)用和/或賬戶配置消息后，處理模塊使用第一識別id查找第二密鑰，使用第二密鑰驗證所述從屬設(shè)備應(yīng)用和/或賬戶配置消息憑證，如果驗證通過，檢查第二識別id對應(yīng)的第二設(shè)備是否為第一設(shè)備的從屬設(shè)備；如果是從屬設(shè)備，檢查第一設(shè)備是否具有配置消息中包括的應(yīng)用和/或賬戶的根設(shè)備權(quán)限；如果消息中包括的配置的應(yīng)用和/或賬戶是第一設(shè)備所管理的項目，所述處理模塊執(zhí)行配置操作，將消息中要求的應(yīng)用和/或賬戶為從屬設(shè)備添加或者刪除，并將相關(guān)配置信息保存在存儲模塊中；所述處理模塊產(chǎn)生所述從屬設(shè)備應(yīng)用和/或賬戶配置發(fā)布消息；當配置操作是刪除從屬設(shè)備時，處理模塊刪除從屬設(shè)備由第一設(shè)備配置的應(yīng)用和/或賬戶，然后刪除第二設(shè)備與第一設(shè)備的從屬設(shè)備關(guān)系。

所述的安全服務(wù)端，其中：

所述安全服務(wù)端的通信模塊將所述從屬設(shè)備應(yīng)用和/或賬戶配置發(fā)布消息發(fā)送給第二設(shè)備；所述從屬設(shè)備應(yīng)用和/或賬戶配置發(fā)布消息包括消息體和使用所述安全服務(wù)端私鑰計算的消息簽名，所述消息體包括配置應(yīng)用和/或賬戶信息，第二識別id和第一識別id。

所述的安全服務(wù)端，其中：處理模塊對該第二設(shè)備的訪問權(quán)限進行驗證的方式為：處理模塊查詢存儲模塊是否保存有所述應(yīng)用和/或賬戶與第二設(shè)備之間的對應(yīng)關(guān)系，如果有，則該第二設(shè)備對所述應(yīng)用和/或賬戶的訪問判定選項判定為通過，允許應(yīng)用和/或賬戶訪問或者繼續(xù)驗證其他判定選項，否則拒絕該第二設(shè)備對所述應(yīng)用和/或賬戶的訪問。

一種用于管理訪問權(quán)限的設(shè)備，包括通信模塊、處理模塊和存儲模塊，其中：

所述通信模塊用于接收第二設(shè)備發(fā)出的請求注冊為所述設(shè)備的從屬設(shè)備的從屬設(shè)備注冊消息，所述處理模塊用于對該從屬設(shè)備注冊消息進行確認，確認后通過所述通信模塊向安全服務(wù)端發(fā)送從屬設(shè)備注冊前向消息；

所述通信模塊還用于接收所述安全服務(wù)端將第二設(shè)備設(shè)置為第一設(shè)備的從屬設(shè)備后產(chǎn)生的從屬設(shè)備注冊確認消息，所述從屬設(shè)備注冊確認消息至少包括第二識別id和安全服務(wù)端使用私鑰為消息產(chǎn)生的簽名；

所述存儲模塊用于保存所述從屬設(shè)備注冊確認消息處理后的結(jié)果。

所述的設(shè)備，其中：所述存儲模塊保存有第一密鑰和關(guān)聯(lián)的第一識別id，管理的從屬設(shè)備信息，為第一設(shè)備和第二設(shè)備授權(quán)的應(yīng)用和/或賬戶；安全服務(wù)端具有與第一密鑰對應(yīng)的第二密鑰，所述第一設(shè)備的存儲模塊和安全服務(wù)端都具有用于匹配第一密鑰和第二密鑰的第一識別id。

所述的系統(tǒng)，其中：所述從屬設(shè)備注冊消息包括消息體和消息憑證，所述消息體包括第二識別id和同步提示信息，所述消息憑證是使用第三密鑰為所述消息體計算得出的憑證；

所述處理模塊對所述同步提示信息選擇確認后，產(chǎn)生從屬設(shè)備注冊前向消息并通過通信模塊發(fā)送給所述安全服務(wù)端，所述從屬設(shè)備注冊前向消息包括消息體和第一密鑰為該消息體計算的憑證，所述消息體包括第一識別id和所述從屬設(shè)備注冊消息；

所述安全服務(wù)端接收到所述從屬設(shè)備注冊前向消息后，對該注冊前向消息進行驗證，驗證通過后所述安全服務(wù)端將第二設(shè)備設(shè)置為第一設(shè)備的從屬設(shè)備并產(chǎn)生從屬設(shè)備注冊確認消息，所述從屬設(shè)備注冊確認消息至少包括第二識別id和安全服務(wù)端使用私鑰為消息產(chǎn)生的簽名；所述安全服務(wù)端將所述從屬設(shè)備注冊確認消息發(fā)送給第一設(shè)備；

所述通信模塊接收該從屬設(shè)備注冊確認消息，所述處理模塊將該消息保存在存儲模塊中。

所述的設(shè)備，其中：所述通信模塊接收到所述從屬設(shè)備注冊確認消息后，處理模塊使用安全服務(wù)端公鑰驗證消息簽名；驗證通過后，所述處理模塊將第二識別id加入存儲模塊的從屬設(shè)備名單中。

所述的設(shè)備，其中：所述處理模塊還用于為其從屬設(shè)備配置訪問應(yīng)用和/或賬戶權(quán)限，并將從屬設(shè)備應(yīng)用和/或賬戶配置消息通過通信模塊發(fā)送給安全服務(wù)端。

所述的設(shè)備，其中：所述從屬設(shè)備應(yīng)用和/或賬戶配置消息包括消息體和消息憑證，所述消息體包括配置的應(yīng)用和/或賬戶信息，所述第二識別id和所述第一識別id；所述消息憑證是使用第一密鑰對所述消息體計算產(chǎn)生的。

所述的設(shè)備，其中：所述設(shè)備提供人機界面，用于管理本設(shè)備，從屬設(shè)備與授權(quán)的應(yīng)用和/或賬戶，該人機界面包括：對應(yīng)第一識別id的設(shè)備，對應(yīng)第一識別id設(shè)備的授權(quán)的一個或多個應(yīng)用名稱和/或賬戶名，如有從屬設(shè)備，則包括對應(yīng)第二識別id的設(shè)備，與第二設(shè)備對應(yīng)的授權(quán)的一個或多個應(yīng)用名稱和/或賬戶名。

附圖說明

此處所說明的附圖用來提供對本發(fā)明的進一步理解，構(gòu)成本發(fā)明的一部分，本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明，并不構(gòu)成對本發(fā)明的不當限定。

在附圖中：

圖1為本發(fā)明實施例中從屬設(shè)備注冊示意圖；

圖2為本發(fā)明實施例中從屬設(shè)備應(yīng)用及賬戶配置示意圖；

圖3為本發(fā)明實施例中用戶終端功能示意圖；

圖4為本發(fā)明安全服務(wù)端構(gòu)成示意圖；

圖5為本發(fā)明管理訪問權(quán)限的設(shè)備構(gòu)成示意圖。

具體實施方式

為了幫助互聯(lián)網(wǎng)用戶管理多設(shè)備與多應(yīng)用及多賬戶關(guān)系管理的易用性和安全性，本發(fā)明實施例提供了一種多應(yīng)用及賬戶管理方法及系統(tǒng)。

以下結(jié)合說明書附圖對本發(fā)明的優(yōu)選實施例進行說明，應(yīng)當理解，此處所描述的優(yōu)選實施例僅用于說明和解釋本發(fā)明，并不用于限定本發(fā)明，并且在不沖突的情況下，本發(fā)明中的實施例及實施例中的特征可以相互組合。

實施示例1；

如圖1是為本發(fā)明實施例中從屬設(shè)備注冊示意圖。

本發(fā)明管理系統(tǒng)包括用戶終端和安全服務(wù)端；所述用戶終端由硬件和操作系統(tǒng)組成，是安全可信客戶端的運行所在；實施中可以使用安全可信客戶端用于用戶管理多應(yīng)用及賬戶，多設(shè)備可信關(guān)系管理，包括對單個及多個從屬設(shè)備的管理，單個及多個應(yīng)用及賬戶與單個及多個用戶終端之間的訪問授權(quán)關(guān)系的管理，操作包括添加，刪除，查看，等行為。

所述根設(shè)備是指可以由用戶設(shè)定或者由安全服務(wù)端選定的具備優(yōu)先權(quán)以配置所述設(shè)備，應(yīng)用，賬戶與多設(shè)備授權(quán)關(guān)系的能力的用戶終端，稱為第一設(shè)備；一個根設(shè)備可以添加，刪除，查看，一個或多個從屬設(shè)備；所述第一設(shè)備可以管理一個或多個所述從屬設(shè)備與應(yīng)用及賬戶的授權(quán)關(guān)系；從屬設(shè)備稱為第二設(shè)備；所述第一設(shè)備與第二設(shè)備通過包括但不限于通過設(shè)備間直接通信接口通信，包括通過wifi直連,藍牙，usb，攝像頭掃描，音頻，近場通信(nfc)，紅外，以太網(wǎng)接口，直連光纖接口，直連以太網(wǎng)接口等中任一選項的接口通信發(fā)送和接收所述從屬設(shè)備注冊消息，同時可以兼容未來新的無線和物聯(lián)網(wǎng)設(shè)備間通信接口。

所述安全服務(wù)端管理所述用戶終端從屬關(guān)系和多設(shè)備與多應(yīng)用賬戶的授權(quán)訪問關(guān)系；使用應(yīng)用及賬戶與用戶終端的訪問授權(quán)關(guān)系在用戶訪問應(yīng)用及賬戶時作為是否批準賬戶接入的一個必要條件從而保證安全性；所述安全服務(wù)端對第二設(shè)備的訪問權(quán)限進行驗證的方式為：安全服務(wù)端查詢其本地是否保存有所述應(yīng)用及賬戶與第二設(shè)備之間的授權(quán)對應(yīng)關(guān)系，如果有，則該第二設(shè)備設(shè)備對所述應(yīng)用或賬戶的訪問判定選項判定為通過，允許賬戶訪問或者繼續(xù)驗證其他要求的判定選項，否則拒絕該第二設(shè)備對所述應(yīng)用或賬戶的訪問；所述需要驗證的其他選項基于運營服務(wù)則的配置可以是對應(yīng)應(yīng)用及賬戶的密碼，生物識別信息等。

在實施中第二設(shè)備向第一設(shè)備發(fā)送從屬設(shè)備注冊消息；實施中第一設(shè)備可以是家用移動智能手機，使用掃描，如掃描二維碼，或usb，wifi，藍牙，音頻，紅外等通信接口與第二個移動智能手機或者家用電腦連接；也可是電腦和另外一臺家用電腦使用以太網(wǎng)卡連接；可以是兩個智能手機通過nfc發(fā)送消息；也可以通過藍牙連接發(fā)送注冊消息；聲波通信可以用于兩個沒有屏幕的智能設(shè)備之間交互發(fā)送消息。

在實施中所述安全服務(wù)端根據(jù)根設(shè)備的請求增加或者減少從屬設(shè)備。

在實施中所述第一設(shè)備被配置為根設(shè)備，具備配置為對根設(shè)備授權(quán)的應(yīng)用及賬戶，以對從屬第二設(shè)備進行授權(quán)關(guān)系配置；在配置的時候可以配置多個關(guān)系，也可以配置一個關(guān)系；從屬設(shè)備可以有多個；既可以將應(yīng)用及賬戶添加到第二設(shè)備，也可以將已經(jīng)添加的應(yīng)用及賬戶在對應(yīng)的第二設(shè)備中刪除；既可以添加從屬設(shè)備，也可以將從屬設(shè)備從根設(shè)備中刪除，其相應(yīng)的應(yīng)用及賬戶關(guān)系也會被刪除。

實施中，所述第一設(shè)備具有第一密鑰，在安全服務(wù)端有與第一密鑰對應(yīng)的第二密鑰；所述第二設(shè)備已經(jīng)注冊到所述安全服務(wù)端，本地有第三密鑰，在所述安全服務(wù)端有對應(yīng)于第三密鑰的第四密鑰；所述第一密鑰，第二密鑰，第三密鑰，第四密鑰既可以是對稱密鑰，也可以是公鑰密碼。

實施中，在用戶終端設(shè)備和安全服務(wù)端之間有第一識別id用于關(guān)聯(lián)第一密鑰和第二密鑰，當安全服務(wù)端在會話中接收第一識別id，安全服務(wù)端就是用第一識別id查找對應(yīng)第二密鑰去驗證；同理在第二設(shè)備和安全服務(wù)端之間第二識別id用于關(guān)聯(lián)第三密鑰和第四密鑰，當安全服務(wù)端在會話中接收識別id第二識別id，安全服務(wù)端就是用第二識別id查找對應(yīng)的第四密鑰去驗證。

步驟s101第二設(shè)備向第一設(shè)備發(fā)送從屬設(shè)備注冊消息。

所述第一設(shè)備與第二設(shè)備使用包括但不限于攝像頭掃描，藍牙，近場通信(nfc)，紅外，usb，音頻傳輸，光纖接口，以太網(wǎng)接口，2g/3g/4g/5g無線通信接口等通信方式中接收到第二設(shè)備產(chǎn)生的從屬設(shè)備注冊請求消息；

所述從屬設(shè)備注冊請求消息至少包括由第二設(shè)備的識別id，同步提示信息組成的消息體，和使用第三密鑰為所述從屬設(shè)備注冊請求消息體計算的簽名或憑證；計算憑證的技術(shù)可以是基于公鑰密碼的簽名算法，也可以是基于對稱密鑰的消息認證碼算法；

其中同步提示信息是在第二設(shè)備人機界面提示的信息，也可以是約定的其他信息，如記錄在產(chǎn)品手冊上產(chǎn)品型號，標識，或商標處的顯示信息，人機交互中提示的信息類型可以是光電提示，字符，音頻，圖像，視頻等等信息用于讓操作的用戶本人感知到第一設(shè)備接收到第二設(shè)備發(fā)出的所述從屬設(shè)備注冊請求消息；第一設(shè)備收到所述從屬設(shè)備注冊請求消息后將同步提示信息或者行為展示在所述第一設(shè)備的人機接口；用戶在所述第一設(shè)備人機接口上確認批準第二設(shè)備注冊，如點擊確認之后，第一設(shè)備產(chǎn)生從屬設(shè)備注冊前向消息發(fā)送到所述安全服務(wù)端。

步驟s102所述第一設(shè)備產(chǎn)生從屬設(shè)備注冊前向消息發(fā)送到所述安全服務(wù)端；

所述從屬設(shè)備注冊前向消息至少包括從屬設(shè)備注冊前向消息體和第一密鑰為從屬設(shè)備注冊前向消息體計算的簽名或憑證，所述從屬設(shè)備注冊前向消息體至少包括第一識別id和所述從屬設(shè)備注冊請求消息。

所述安全服務(wù)端收到所述從屬設(shè)備注冊前向消息后，使用第一識別id找到第二密鑰，使用第二密鑰驗證所述從屬設(shè)備注冊前向消息的憑證，如果通過，使用所述從屬設(shè)備注冊消息中的第二識別id查找第四密鑰，使用第四密鑰計算所述從屬設(shè)備注冊消息的憑證，如果驗證通過，則所述安全服務(wù)端將第二設(shè)備設(shè)置為第一設(shè)備的從屬設(shè)備。

步驟s103所述安全服務(wù)端產(chǎn)生從屬設(shè)備注冊確認消息；所述安全服務(wù)端是在驗證所述從屬設(shè)備注冊前向消息后產(chǎn)生所述從屬設(shè)備注冊確認消息的；

所述安全服務(wù)端收到所述從屬設(shè)備注冊前向消息后，使用第一識別id查找第二密鑰，使用第二密鑰驗證所述從屬設(shè)備注冊前向消息的憑證，如果通過：使用所述從屬設(shè)備注冊消息中的第二識別id查找第四密鑰，使用第四密鑰驗證所述從屬設(shè)備注冊請求消息的憑證，如果驗證通過，則所述安全服務(wù)端將第二設(shè)備設(shè)置為第一設(shè)備的從屬設(shè)備；

所述安全服務(wù)端產(chǎn)生從屬設(shè)備注冊確認消息，所述從屬設(shè)備注冊確認消息至少包括第二識別id和安全服務(wù)端使用私鑰為所述第二識別id產(chǎn)生的簽名；所述安全服務(wù)端將所述從屬設(shè)備注冊確認消息發(fā)送給第一設(shè)備；實施中還可以包括時間戳，隨機數(shù)，第一識別id等可選信息用于補充。

第一設(shè)備收到所述從屬設(shè)備注冊確認消息后，使用安全服務(wù)端公鑰驗證消息簽名；驗證通過后，所述第一設(shè)備將第二識別id加入主設(shè)備的從屬設(shè)備名單中；在實施中使用運行在第一設(shè)備的安全可信客戶端管理，查看。

實施示例2:

如圖2所示是一種第一設(shè)備管理多應(yīng)用，多賬戶的技術(shù)方案；實用中，賬戶是用于網(wǎng)絡(luò)登錄身份識別的多種信息的任意組合，包括但不限于注冊的賬號，身份識別信息如身份證號，銀行卡號，聯(lián)系方式及信息等各種信息中一種或多種組合；如第一設(shè)備是一部智能手機，第二設(shè)備是另外一部智能手機；第一設(shè)備可以一次配置多個應(yīng)用，賬戶給第二設(shè)備；配置操作可以是增加或刪除，選項可以是設(shè)備，應(yīng)用或者賬戶三者中的任意組合；配置選項完成確認后，第一設(shè)備產(chǎn)生攜帶從屬設(shè)備訪問應(yīng)用及賬戶權(quán)限配置的從屬設(shè)備應(yīng)用及賬戶配置消息，并將從屬設(shè)備應(yīng)用及賬戶配置消息發(fā)送給安全服務(wù)端；所述安全服務(wù)端驗證和保存該從屬設(shè)備應(yīng)用及賬戶配置消息，并根據(jù)該應(yīng)用賬戶配置消息內(nèi)容管理從屬設(shè)備訪問相應(yīng)的應(yīng)用及賬戶的權(quán)限。實施中，如第一設(shè)備是一部智能手機，第二設(shè)備是另外一部智能手機，所述第一設(shè)備可以一次配置多個應(yīng)用，賬戶給第二設(shè)備；配置選項完成，配置操作可以是增加或刪除，選項可以是設(shè)備，應(yīng)用或者賬戶三者中的任意組合。

步驟201所述第一設(shè)備產(chǎn)生所述從屬設(shè)備應(yīng)用及賬戶配置消息發(fā)送給所述安全服務(wù)端；所述從屬設(shè)備應(yīng)用及賬戶配置消息包括消息體和消息憑證，所述消息體包括配置的應(yīng)用及賬戶信息，所述第二識別id和所述第一識別id；所述消息憑證是使用第一密鑰對所述消息體計算產(chǎn)生的簽名或憑證。

實施中，所述從屬設(shè)備應(yīng)用及賬戶配置消息至少包括從屬設(shè)備應(yīng)用及賬戶配置消息體和消息憑證；所述從屬設(shè)備應(yīng)用及賬戶配置消息體至少包括配置的應(yīng)用及賬戶信息，第二識別id，所述第一識別id；所述配置的應(yīng)用及賬戶信息包括授權(quán)的應(yīng)用及賬戶信息，操作類型；所述消息憑證是使用第一密鑰對所述從屬設(shè)備應(yīng)用及賬戶配置消息體計算的簽名或者消息認證碼；所述操作類型，包括可以是以下任一操作選項，包括增加或者刪除設(shè)備；增加設(shè)備應(yīng)用及賬戶的授權(quán)；刪除設(shè)備與應(yīng)用及賬戶授權(quán)關(guān)系；查看設(shè)備；查看設(shè)備與應(yīng)用及賬戶關(guān)系等。

步驟202所述安全服務(wù)端收到所述從屬設(shè)備應(yīng)用及賬戶配置消息驗證后，產(chǎn)生所述從屬設(shè)備應(yīng)用及賬戶配置發(fā)布消息；所述從屬設(shè)備應(yīng)用及賬戶配置發(fā)布消息包括消息體和消息體簽名，所述消息體包括配置的應(yīng)用及賬戶信息，第二識別id，第一識別id；所述消息憑證包括使用所述安全服務(wù)端私鑰為該消息體簽名或認證計算的簽名或者憑證結(jié)果；

所述安全服務(wù)端收到所述從屬設(shè)備應(yīng)用及賬戶配置消息后，使用第一識別id查找第一密鑰對應(yīng)的第二密鑰，使用第二密鑰驗證所述從屬設(shè)備應(yīng)用及賬戶配置消息憑證，如果驗證通過，檢查第二識別id對應(yīng)的第二設(shè)備是否為第一設(shè)備的從屬設(shè)備；如果是從屬設(shè)備，檢查第一設(shè)備是否具有配置消息中包括的應(yīng)用及賬戶的根設(shè)備權(quán)限；如果消息中包括的配置的應(yīng)用及賬戶是第一設(shè)備的根設(shè)備權(quán)限，所述安全服務(wù)端執(zhí)行操作類型包括的配置，將消息中要求的第二設(shè)備，應(yīng)用及賬戶的授權(quán)為從屬設(shè)備添加，刪除，查看；所述安全服務(wù)端產(chǎn)生所述從屬設(shè)備應(yīng)用及賬戶配置發(fā)布消息。

所述從屬設(shè)備應(yīng)用及賬戶配置消息用于操作類型是刪除設(shè)備時，所述安全服務(wù)端驗證之后，將第二識別id對應(yīng)的用戶終端從第一識別id的從屬設(shè)備列表中刪除，同時將由第一設(shè)備將配置到該第二設(shè)備的應(yīng)用及賬戶授權(quán)一并從第二設(shè)備的授權(quán)關(guān)系中刪除。

所述安全服務(wù)端將所述從屬設(shè)備應(yīng)用及賬戶配置發(fā)布消息發(fā)送給第二設(shè)備。

步驟203所述安全服務(wù)端將所述從屬設(shè)備應(yīng)用及賬戶配置發(fā)布消息發(fā)送給第二設(shè)備；所述從屬設(shè)備應(yīng)用及賬戶配置發(fā)布消息包括配置應(yīng)用及賬戶信息，第二識別id，第一識別id組成的消息體和使用所述安全服務(wù)端私鑰計算消息體得到的簽名；

第二設(shè)備使用所述安全服務(wù)端公鑰驗證簽名，驗證通過后；驗證第二設(shè)備是第一設(shè)備的從屬設(shè)備；驗證通過后將所述配置應(yīng)用及賬戶信息增加到或者刪除出所述第二設(shè)備的訪問列表中；如果配置中要求刪除第一設(shè)備和第二設(shè)備之間從屬設(shè)備關(guān)系，則刪除從屬關(guān)系和相關(guān)應(yīng)用及賬戶授權(quán)。

步驟204所述安全服務(wù)端發(fā)送從屬設(shè)備應(yīng)用及賬戶配置確認消息給所述第一設(shè)備，用于證實安全服務(wù)端完成第一設(shè)備發(fā)送的從屬設(shè)備應(yīng)用及賬戶配置消息中的配置操作。

實施用例3：

如圖3所示是為本發(fā)明實施例中用戶終端功能示意圖；31是第一設(shè)備，用戶終端設(shè)備由硬件和操作系統(tǒng)組成，32是所述安全可信客戶端，是為設(shè)備提供多設(shè)備，多應(yīng)用，多賬戶管理的功能用戶終端；33是多設(shè)備，多應(yīng)用及賬戶管理ui圖示；單個從屬設(shè)備即第二設(shè)備可以對應(yīng)多個應(yīng)用及賬戶；第一設(shè)備可以管理多個從屬設(shè)備；第一設(shè)備可以配置對其歸屬的應(yīng)用及賬戶，從屬設(shè)備之間的關(guān)系；當為從屬設(shè)備增加或者刪除一個應(yīng)用及賬戶時，在對應(yīng)第二設(shè)備的安全可信設(shè)備用戶終端上就會增加或者上出對應(yīng)的配置的應(yīng)用及賬戶；從而做到了簡單，安全的應(yīng)用及賬戶與設(shè)備之間的關(guān)系；那些沒有相關(guān)設(shè)備，應(yīng)用與賬戶對應(yīng)關(guān)系的設(shè)備就不能發(fā)起對應(yīng)應(yīng)用于賬戶的訪問，從而實現(xiàn)了安全性提高。

如圖4、5所示，分別示出了如上安全服務(wù)端和管理訪問權(quán)限的設(shè)備的構(gòu)成示意圖，其各組成部件用于完成上述的訪問權(quán)限管理的過程。

如圖4所示，所示安全服務(wù)端包括通信模塊、處理模塊和存儲模塊，所述通信模塊接收所述第一設(shè)備對第二設(shè)備請求注冊為第一設(shè)備的從屬設(shè)備的注冊消息進行確認后向安全服務(wù)端發(fā)送的從屬設(shè)備注冊前向消息；所述處理模塊對該注冊前向消息進行驗證，驗證通過后所述處理模塊將第二設(shè)備設(shè)置為第一設(shè)備的從屬設(shè)備，并將該設(shè)置信息存儲在存儲模塊中。

當?shù)诙O(shè)備訪問應(yīng)用及賬戶時，處理模塊對該第二設(shè)備的訪問權(quán)限進行驗證，如果該第二設(shè)備具備訪問所述應(yīng)用及賬戶的權(quán)限，則處理模塊允許該第二設(shè)備對所述應(yīng)用及賬戶進行訪問，如果該第二設(shè)備不具備該權(quán)限，則拒絕該第二設(shè)備對所述應(yīng)用及賬戶的訪問。

所述第一設(shè)備具有第一密鑰，安全服務(wù)端的存儲模塊具有與第一密鑰對應(yīng)的第二密鑰，所述第一設(shè)備和安全服務(wù)端的存儲模塊都具有用于匹配第一密鑰和第二密鑰的第一識別id；所述第二設(shè)備具有第三密鑰，所述安全服務(wù)端的存儲模塊具有對應(yīng)于第三密鑰的第四密鑰，所述第二設(shè)備和安全服務(wù)端的存儲模塊都具有用于匹配第三密鑰和第四密鑰的第二識別id。

所述從屬設(shè)備注冊消息包括消息體和消息憑證，所述消息體包括第二識別id和同步提示信息，所述消息憑證是使用第三密鑰為所述消息體計算得出的憑證；

所述第一設(shè)備對所述同步提示信息確認后，產(chǎn)生從屬設(shè)備注冊前向消息并發(fā)送給所述安全服務(wù)端的通信模塊，所述從屬設(shè)備注冊前向消息包括消息體和第一密鑰為該消息體計算的憑證，所述消息體包括第一識別id和所述從屬設(shè)備注冊消息；

所述通信模塊接收到所述從屬設(shè)備注冊前向消息后，處理模塊使用第一識別id找到第二密鑰，使用第二密鑰驗證所述從屬設(shè)備注冊前向消息的憑證，如果通過，使用所述從屬設(shè)備注冊消息中的第二設(shè)備識別id查找第四密鑰，使用第四密鑰計算所述從屬設(shè)備注冊消息的憑證，如果驗證通過，則所述處理模塊將第二設(shè)備設(shè)置為第一設(shè)備的從屬設(shè)備，并將該設(shè)置信息保存在存儲模塊中。

所述處理模塊將第二設(shè)備設(shè)置為第一設(shè)備的從屬設(shè)備后還產(chǎn)生從屬設(shè)備注冊確認消息，所述從屬設(shè)備注冊確認消息至少包括第二識別id和安全服務(wù)端使用私鑰為消息產(chǎn)生的簽名；所述處理模塊將所述從屬設(shè)備注冊確認消息通過通信模塊發(fā)送給第一設(shè)備。

所述第一設(shè)備還用于為其從屬設(shè)備配置訪問應(yīng)用及賬戶權(quán)限，并將從屬設(shè)備應(yīng)用及賬戶配置消息發(fā)送給安全服務(wù)端的通信模塊；所述存儲模塊保存該從屬設(shè)備應(yīng)用及賬戶配置消息，所述處理模塊根據(jù)該應(yīng)用賬戶配置消息內(nèi)容管理從屬設(shè)備訪問相應(yīng)的應(yīng)用及賬戶的權(quán)限。

所述從屬設(shè)備應(yīng)用賬戶配置消息包括消息體和消息憑證，所述消息體包括配置的應(yīng)用及賬戶信息，所述第二識別id和所述第一識別id；所述消息憑證是使用第一密鑰對所述消息體計算產(chǎn)生的。

所述安全服務(wù)端的通信模塊收到所述從屬設(shè)備應(yīng)用賬戶配置消息后，處理模塊使用第一識別id查找第二密鑰，使用第二密鑰驗證所述從屬設(shè)備應(yīng)用賬戶配置消息憑證，如果驗證通過，檢查第二識別id對應(yīng)的第二設(shè)備是否為第一設(shè)備的從屬設(shè)備；如果是從屬設(shè)備，檢查第一設(shè)備是否具有配置消息中包括的應(yīng)用及賬戶的根設(shè)備權(quán)限；如果消息中包括的配置的應(yīng)用及賬戶是第一設(shè)備所管理的項目，所述處理模塊執(zhí)行配置操作，將消息中要求的應(yīng)用及賬戶為從屬設(shè)備添加或者刪除，并將相關(guān)配置信息保存在存儲模塊中；所述處理模塊產(chǎn)生所述從屬設(shè)備應(yīng)用及賬戶配置發(fā)布消息；當配置操作是刪除從屬設(shè)備時，處理模塊刪除從屬設(shè)備由第一設(shè)備配置的應(yīng)用及賬戶，然后刪除第二設(shè)備與第一設(shè)備的從屬設(shè)備關(guān)系。

所述安全服務(wù)端的通信模塊將所述從屬設(shè)備應(yīng)用及賬戶配置發(fā)布消息發(fā)送給第二設(shè)備；所述從屬設(shè)備應(yīng)用及賬戶配置發(fā)布消息包括消息體和使用所述安全服務(wù)端私鑰計算的消息簽名，所述消息體包括配置應(yīng)用賬戶信息，第二識別id和第一識別id。

處理模塊對該第二設(shè)備的訪問權(quán)限進行驗證的方式為：處理模塊查詢存儲模塊是否保存有所述應(yīng)用或賬戶與第二設(shè)備之間的對應(yīng)關(guān)系，如果有，則允許該第二設(shè)備設(shè)備對所述應(yīng)用或賬戶的訪問，否則拒絕該第二設(shè)備對所述應(yīng)用或賬戶的訪問。

如圖5所示，所述管理訪問權(quán)限的設(shè)備包括通信模塊、處理模塊和存儲模塊，所述通信模塊接收第二設(shè)備發(fā)出的請求注冊為所述設(shè)備的從屬設(shè)備的注冊消息，所述處理模塊用于對該從屬設(shè)備注冊消息進行確認，確認后通過所述通信模塊向安全服務(wù)端發(fā)送從屬設(shè)備注冊前向消息；所述通信模塊接收所述安全服務(wù)端將第二設(shè)備設(shè)置為第一設(shè)備的從屬設(shè)備后產(chǎn)生的從屬設(shè)備注冊確認消息，所述從屬設(shè)備注冊確認消息至少包括第二識別id和安全服務(wù)端使用私鑰為消息產(chǎn)生的簽名；所述存儲模塊用于保存所述從屬設(shè)備注冊確認消息。

所述存儲模塊保存有第一密鑰，安全服務(wù)端具有與第一密鑰對應(yīng)的第二密鑰，所述第一設(shè)備的存儲模塊和安全服務(wù)端都具有用于匹配第一密鑰和第二密鑰的第一識別id。

所述從屬設(shè)備注冊消息包括消息體和消息憑證，所述消息體包括第二識別id和同步提示信息，所述消息憑證是使用第三密鑰為所述消息體計算得出的憑證；

所述處理模塊對所述同步提示信息確認后，產(chǎn)生從屬設(shè)備注冊前向消息并通過通信模塊發(fā)送給所述安全服務(wù)端，所述從屬設(shè)備注冊前向消息包括消息體和第一密鑰為該消息體計算的憑證，所述消息體包括第一識別id和所述從屬設(shè)備注冊消息；

所述安全服務(wù)端接收到所述從屬設(shè)備注冊前向消息后，對該注冊前向消息進行驗證，驗證通過后所述安全服務(wù)端將第二設(shè)備設(shè)置為第一設(shè)備的從屬設(shè)備并產(chǎn)生從屬設(shè)備注冊確認消息，所述從屬設(shè)備注冊確認消息至少包括第二識別id和安全服務(wù)端使用私鑰為消息產(chǎn)生的簽名；所述安全服務(wù)端將所述從屬設(shè)備注冊確認消息發(fā)送給第一設(shè)備；

所述通信模塊接收該從屬設(shè)備注冊確認消息，所述處理模塊將該消息保存在存儲模塊中。

所述通信模塊接收到所述從屬設(shè)備注冊確認消息后，處理模塊使用安全服務(wù)端公鑰驗證消息簽名；驗證通過后，所述處理模塊將第二識別id加入存儲模塊的從屬設(shè)備名單中。

所述處理模塊還用于為其從屬設(shè)備配置訪問應(yīng)用及賬戶權(quán)限，并將從屬設(shè)備應(yīng)用及賬戶配置消息通過通信模塊發(fā)送給安全服務(wù)端。

所述從屬設(shè)備應(yīng)用賬戶配置消息包括消息體和消息憑證，所述消息體包括配置的應(yīng)用及賬戶信息，所述第二識別id和所述第一識別id；所述消息憑證是使用第一密鑰對所述消息體計算產(chǎn)生的。