CN104539634B - 一种移动应用安全增强授权与认证的方法 - Google Patents
一种移动应用安全增强授权与认证的方法 Download PDFInfo
- Publication number
- CN104539634B CN104539634B CN201510030781.3A CN201510030781A CN104539634B CN 104539634 B CN104539634 B CN 104539634B CN 201510030781 A CN201510030781 A CN 201510030781A CN 104539634 B CN104539634 B CN 104539634B
- Authority
- CN
- China
- Prior art keywords
- mobile solution
- code
- mobile
- delivery system
- authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 60
- 238000000034 method Methods 0.000 title claims abstract description 58
- 230000002708 enhancing effect Effects 0.000 claims abstract description 73
- 238000012384 transportation and delivery Methods 0.000 claims abstract description 48
- 238000009434 installation Methods 0.000 claims abstract description 22
- 238000001514 detection method Methods 0.000 claims abstract description 10
- 238000004422 calculation algorithm Methods 0.000 claims description 30
- 238000012795 verification Methods 0.000 claims description 21
- 238000003860 storage Methods 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 9
- 238000012856 packing Methods 0.000 claims description 6
- 230000001360 synchronised effect Effects 0.000 claims description 6
- 238000013144 data compression Methods 0.000 claims description 5
- 230000000694 effects Effects 0.000 claims description 5
- 238000000205 computational method Methods 0.000 claims description 4
- 238000004364 calculation method Methods 0.000 claims description 2
- 230000007246 mechanism Effects 0.000 description 8
- 230000008520 organization Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000005611 electricity Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/107—License processing; Key processing
- G06F21/1077—Recurrent authorisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/60—Subscription-based services using application servers or record carriers, e.g. SIM application toolkits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Abstract
本发明是一种移动应用安全增强授权与认证方法,包括:注册步骤,发布系统采集移动应用基本信息;预授权步骤,利用基本信息生成移动应用预授权码,嵌入到移动应用程序中;增强发布授权步骤,发布系统自动检测移动应用的预授权码和基本信息是否正确,正确后自动发布,并采集移动应用的实际特征信息和发布码,联合预授权码生成安全增强认证码;可信安装步骤,移动应用安装时,采集移动应用实际特征信息、预授权码和发布码生成安全增强认证码,进行可信安装认证;可信启动步骤,每次移动应用启动时,检测预授权码正确后方可启动使用。本发明提供了一种对移动应用进行安全可信的检测的方法,有效防止了移动应用被恶意篡改而窃取用户信息的情况发生。
Description
技术领域:
本发明涉及移动应用安全领域,尤其涉及一种移动应用安全增强授权与认证的方法。
背景技术:
在现实生活中,个人的身份主要通过各种证件来确认,比如:身份证,户口本等。计算机的各种系统资源,比如文件,数据库和应用系统,也都有密码保护机制。终端应用也同样需要授权和认证机制的保护,从而确保这些资源可以接入到合法的网络中来。
基于Android系统开发的终端应用,数字证书文件目下的签名文件是标识终端应用和终端应用所有者之间的关系,并不能决定哪些应用可以接入到工作网络中来,哪些应用可以安装,哪些应用可以启动,它最初的存在只是用来让安装包进行自我认证。对于终端应用接入到专有网络中的认证办法随着安全级别的提高也在不断的进行升级和改进。目前,管理者通常会使用单一的属性信息来对终端应用进行安全认证(如:包名,签名文件)。这种授权和认证办法是在终端应用接入或者安装时,客户端向服务端发送单一属性信息来进行终端应用的合法性身份验证。总之,现存对于终端应用的授权和认证方法都存在缺陷,难以有效的预防第三方的攻击。
在实现本发明的过程中,发明人发现现有对移动应用授权和认证的方法至少存在如下问题:
1、移动应用的属性信息是相对固定的,如:包名或者是签名文件,移动应用一旦被开发者开发出来,这些信息在很长的时间内都不会更改,造成移动应用的属性信息很容易外泄或被盗取;
2、移动应用的属性信息在网络上传输的过程中,由于缺乏对数据的访问控制策略,存在很多不安全的隐患,对直接采用移动应用属性信息或人员身份信息进行验证的攻击方式常用的有网络数据流窃听,信息截取等;
3、传统直接采用移动应用的属性信息和人员身份信息进行认证的方法除了会产生上述所说的数据流窃听和信息截取等不安全因素外,大量的、未经过处理的原始信息在网络上的传输,也会给网络流量带来巨大压力,造成通讯的不流畅,严重的可能导致网络中断;
4、由于缺乏对移动应用本身的安全策略控制,和基于Android开发的应用本身就容易被破解的特点,传统流程化的授权认证方式大部分都是独立在移动应用之外的行政审核,并没有深入到对移动应用本身的授权层面,因此对于移动应用的授权环节本身就存在着安全隐患,导致传统的对于移动应用的合法性验证和授权的强度已经不能满足现有在移动办公的要求,特别是对于具有涉密级别的政府移动应用和企业移动应用;
5、移动应用发布成功后也会产生被篡改的可能,如被嵌入恶意代码,但是目前对于已成功发布的移动应用无论从安装上还是启动上都没有做任何的限制和安全保护措施,容易造成安全隐患,从而被不法分子所利用;
发明内容:
本发明实施例提供一种移动应用安全增强授权与认证的方法,通过生成预授权码对移动应用进行安全增强授权,并且在对移动应用进行发布和安装时,通过安全增强认证码进行一致性验证,本发明内容提升了移动应用访问和使用的安全性。
根据本发明的第一方面提供的一种移动应用安全增强授权与认证方法,用于对移动应用的安全增强授权与认证,其特征在于,包括:(具体步骤请参看图6)
注册步骤,在该步骤中,通过服务器发布系统存储移动应用基本信息来完成移动应用在服务器端的注册;所述的移动应用基本信息包含移动应用所有者信息和移动应用的属性信息;
预授权步骤,在该步骤中,服务器发布系统利用移动应用基本信息通过哈希算法生成预授权码,移动应用将预授权码嵌入到移动应用程序中,并且服务器将预授权码保存在本地数据库中;
增强发布授权步骤,在该步骤中,移动应用上传时,发布系统验证自身存储的预授权码和基本信息与自动检测到的移动应用中的预授权码和基本信息是否一致,若验证通过则移动应用发布成功,发布系统生成该应用的唯一发布码,并联合采集到的移动应用特征信息、预授权码,按照哈希算法生成安全增强认证码,并保存在服务器本地数据库中;所述的移动应用特征信息是嵌入预授权码后的移动应用属性信息;所述的发布码是由发布系统生成的为每一个成功发布的应用唯一生成的授权发布标识;
可信安装步骤,在该步骤中,由移动终端的认证系统采集下载完成的移动应用的预授权码、特征信息和发布码,按照与发布系统相同的计算方法生成安全增强认证码,将移动终端认证系统生成的安全增强认证码与发布系统中生成的安全增强认证码进行一致性验证,若验证通过,则该移动应用可进行安装,否则删除或阻止移动应用的安装;以及,
可信启动步骤,在该步骤中,移动应用在启动时,由移动终端的认证系统验证该移动应用的预授权码与发布系统中生成的预授权码进行一致性验证,若验证通过,则该移动应用可进行启动;
根据本发明的第二方面的提供一种移动应用安全增强授权与认证方法,其特征在于,所述的注册步骤包括服务器发布系统对移动应用基本信息的注册,其中移动应用基本信息包含移动应用所有者的信息和移动应用的属性信息,优选的,移动应用基本信息可以包括移动应用所属开发者名称、联系人、联系电话等,移动应用的属性信息可以包括移动应用包名、签名文件、版本号等;
根据本发明的第三方面提供一种移动应用安全增强授权与认证方法,其特征在于,移动应用预授权过程,包括,发布系统利用移动应用基本信息通过哈希算法生成预授权码,预授权码可采用在线或离线的方式嵌入到移动应用中,嵌入的位置和方式要可以并仅可以被发布系统和移动终端的认证系统所读取;
根据本发明的第四方面提供一种移动应用安全增强授权与认证方法,其特征在于,预授权应用的安全增强发布方式,包括:在任何一个移动应用通过发布系统进行发布时,都要对上传的应用进行可信检测,一方面检测预授权码是否存在,另一方面检测预授权码与移动应用的基本信息是否匹配,两项检测通过后,才能通过发布系统发布出去;
根据本发明的第五方面提供一种移动应用安全增强授权与认证方法,其特征在于,所述的移动应用的安全增强认证码的生成方式,包括:对每个通过发布系统发布成功的移动应用生成一个唯一的发布码,并联合发布系统采集到的移动应用的特征信息、预授权码生成安全增强认证码,保存在服务器本地数据库中;所述的移动应用特征信息是嵌入预授权码后的移动应用属性信息,移动应用特征信息优选为移动应用程序大小、签名文件、打包时间;所述的移动应用发布码是发布系统为每一个成功发布的应用唯一生成的授权发布标识;
根据本发明的第六方面提供一种移动应用安全增强授权与认证方法,其特征在于,所述的可信安装步骤,包括,在移动终端的认证系统中,采集下载完成的移动应用的预授权码、特征信息、发布码,按照与发布系统相同的算法生成的安全增强认证码,将移动终端认证系统中生成的安全增强认证码与发布系统中生成的安全增强认证码进行一致性验证,若验证通过,则该移动应用可进行安装,其中,验证过程可以是通过在线的方式将预授权码、特征信息提交到发布系统中进行一致性验证,也可以将预授权码、发布码和安全增强认证码在移动应用下载时同步到移动终端的认证系统中进行离线认证;
根据本发明的第七方面提供一种移动应用安全增强授权与认证方法,其特征在于,移动应用启动时的可信认证方式,包括:移动应用在启动时,可以是通过在线的方式将采集到的预授权码提交到发布系统中进行一致性验证,也可以将预授权码同步到移动终端的认证系统中进行离线认证;
根据本发明的第八方面提供一种移动应用安全增强授权与认证方法,其特征在于,移动应用的预授权码与安全增强认证码的生成所使用的计算方法,要具有数据压缩效果,即预授权码的长度短于移动应用基本信息的总长度,安全增强认证码的长度短于预授权码、特征信息、和发布码的总长度;所选算法优选哈希算法,在哈希算法中优选使用MD5、SHA等哈希算法。移动应用授权码和移动应用认证码优选为固定长度,长度优选为32位、64位、128位等2的幂次方;
与现有技术相比,本发明能有效的防止第三方应用冒用移动应用的包名和签名文件进行非法接入或安装。对比以前,在本发明在验证内容上有了明显的创新,首先,本发明采用了多信息的授权认证方式来进行比对,其次,本方法在授权和认证方法上有了明显的创新,采用了授权码与认证码分离的做法,让授权码作为认证码的一部分,更能有效的保护移动应用的接入安全,做到只有被授权的应用才可以进行接入和安装,防止了授权码被盗取而产生的非法应用侵入;最后,在认证机制上,本发明有了明显的创新,移动应用在安装或启动时,认证可以基于客户端的本地认证,没有向服务端发送任何请求和指令,使认证码不会在网络上进行传输,既提高了认证码的安全性,又解决了认证码在传输过程中带来的流量和网速问题。
上述技术方案具有如下有益效果:
1.本发明采用将授权码嵌入到移动应用程序中的方法对移动应用进行授权,除了传统的、必要的行政审核外,从根本上对移动应用做了安全标识,从而满足了具有高涉密级别的政府移动应用和企业移动应用的需要;
2.本发明基于移动应用的基本信息和特征信息进行的组合编码,提供了一种适用于所有数据类型的数据编码方法,对于任意长度,任意数据类型,都可以变成固定长度的输出,并且对于不同的输入值有可能输出同样的编码,这种组合编码的方法具有单向性、抗冲突性等特点,保证了移动应用的唯一性;
3.本发明提供的授权和认证方法,是基于组合编码的认证,除了保证数据本身的安全性外,也改变了以往通过认证原始信息所产生的网络压力问题,真正做到了高效,安全和稳定;
4.本发明提供了一种组合编码是一种可多次采用的编码方式,授权码不但作为组合编码的输出结果,同时也成为了认证码的组成部分,这种可采用多次的编码方式,在原有安全性的基础上,对移动应用的安全更多了一层保护;
5.本发明在引入移动应用授权码和认证码的同时,还引入了移动应用发布码的概念,并且发布码是系统自动生成的,与移动应用一一对应的唯一标识,且发布码还参与了安全增强认证码的组合编码,进一步提升了移动应用在接入和安装环节的安全性;
6.本发明的验证环节灵活多样,采用本发明提供的方法既可以在后台系统进行身份的合法性验证,也可以将验证过程基于移动终端在本地进行,灵活的验证模式更有益于更贴近用户的实际需求,让使用者可以灵活的进行自身系统的建设;
7.从移动应用的整体安全性考虑,本发明提供的一种移动应用安全增强授权与认证方法在安全层面上覆盖了从移动应用诞生到移动应用使用的全过程,从对移动应用的初始授权,到移动应用的接入认证,可信安装和最后的可信启动,本方法为管理者提供了一整套对于移动应用的安全管理办法,有效的避免了移动应用在各个环节有可能产生的不安全因素,真正做到了对移动应用的安全保护。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明中移动应用注册和预授权流程图
图2为本发明中移动应用增强发布授权流程图
图3为移动应用可信安装认证流程图
图4为移动执法应用程序的注册和预授权过程图
图5为应用所有者在服务器端发布移动执法应用程序并进行增强发布授权的过程图
图6为一种移动应用安全增强授权与认证方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明中移动应用注册和预授权流程图,具体步骤包括:
步骤101,移动应用在服务器端注册基本信息
系统管理员在服务器登记移动应用基本信息,选择应用开发者、联系人、联系电话、组织机构名称、组织机构代码、移动应用包名,版本号等数据作为移动应用基本信息;
步骤102,服务器利用应用基本信息生成预授权码
服务器发布系统将获得的移动应用基本信息进行组合编码生成预授权码,生成预授权码的算法具有数据压缩效果,即预授权码的长度短于应用基本信息的总长度;所选算法优选哈希算法,在哈希算法中优选使用MD5、SHA。预授权码优选为固定长度,长度优选为16位、32位、64位、128位等2的幂次方;
步骤103,预授权码的同步
服务器将生成的预授权码同步给移动应用;
步骤104,预授权码嵌入到移动应用程序
移动应用将预授权码嵌入到移动应用程序中进行从新打包;
步骤105,预授权码保存在服务器本地数据库
服务器将预授权码保存在本地数据库中;
图2为本发明中移动应用增强发布授权流程图,具体步骤包括:
步骤201,服务器发布系统采集移动应用预授权码
服务器发布系统采集移动应用的预授权码,预授权码从移动应用的程序中获取;
步骤202,服务器发布系统读取本地存储的该移动应用的预授权码
服务器发布系统读取本地数据库中该应用的预授权码;
步骤203,预授权码和应用基本信息的一致性验证
服务器发布系统验证获取到的移动应用预授权码连同基本信息和本地数据库中存储的该应用的预授权码和基本信息的一致性;
步骤204,验证通过,移动应用发布
移动应用的预授权码和基本信息一致性验证通过后,该移动应用在服务器端发布成功;
步骤205,服务器获取移动应用特征信息和系统自动生成的发布码
移动应用在服务器端发布后,服务器采集移动应用的特征信息和系统自动生成的发布码,移动应用特征信息是移动应用嵌入预授权码后的属性信息,优选的,移动应用大小、签名文件、打包时间;发布码是由服务器发布系统自动生成的唯一授权标识符,优选为固定长度,长度优选为6位、8位、12位;
步骤206,生成安全增强认证码
服务器将移动应用的预授权码、特征信息、发布码进行组合编码生成安全增强认证码,生成安全增强认证码的算法具有数据压缩效果,即安全增强认证码的长度短于预授权码、特征信息和发布码的总长度;所选算法优选哈希算法,在哈希算法中优选使用MD5、SHA;安全增强认证码优选为固定长度,长度优选为16位、32位、64位、128位等2的幂次方;
步骤207,更新数据库,服务器保存安全增强认证码
服务器将安全增强认证码保存在服务器本地数据库中;
图3为移动应用可信安装认证流程图,具体步骤包括:
步骤301,下载服务器端移动应用同时采集该应用的安全增强认证码和发布码
使用者通过终端设备认证系统从服务器端下载移动应用安装包,同时采集服务器端本地数据库中存储的该移动应用的安全增强认证码和发布码;
步骤302,采集移动应用特征信息连同预授权码和发布码生成安全增强认证码
终端设备认证系统采集下载的移动应用的预授权码、移动应用特征信息,并将预授权码,特征信息连同发布码进行组合编码生成安全增强认证码,生成的安全增强认证码的算法具有数据压缩效果,即安全增强认证码的长度短于预授权码,特征信息和发布码的总长度;所选算法优选哈希算法,在哈希算法中优选使用MD5、SHA等。安全增强认证码优选为固定长度,长度优选为16位、32位、64位、128位等2的幂次方;
步骤303,安全增强认证码的一致性验证
终端设备认证系统将采集到的服务端的安全增强认证码和在本地生成的安全增强认证码进行一致性验证;
步骤304,验证通过,移动应用安装认证完成
在终端设备本地基于安全增强认证码的验证通过后,可以执行移动应用的安装操作,移动应用安装认证完成;
以下结合应用实例对本发明实施例的上述技术方案进行详细说明:
实例应用场景为:上传移动执法应用程序到服务器,并通过手机下载服务器端的移动执法应用程序并在本地完成对该应用的可信安装和可信启动。
本实施例中,移动执法应用程序基本信息包括应用开发者、联系人、联系电话、组织机构名称、组织机构代码;包名、版本号和签名文件;移动执法应用程序的特征信息包括移动执法应用程序的安装包大小、签名文件、打包时间。
第一步,移动执法应用程序注册和预授权,具体过程说明如下,见图4
401,系统管理员在服务器上注册移动执法应用程序基本信息
系统管理员在服务器上注册移动执法应用程序基本信息,包括应用开发者、联系人、联系电话、组织机构代码、包名、版本号和签名文件;本实例中应用基本信息结构;
如 表1:
表1
402,服务器生成移动执法应用程序预授权码,并将预授权码保存在服务器本地数据库中。
服务器将采集到移动执法应用程序的基本信息,优选采用MD5算法,通过组合编码后,生成32位的预授权码“b7736ccf890329464fe6222014c89709”存储在本地数据库中,见表2。
表2
403,服务器将生成的移动执法应用程序的32位预授权码同步给应用开发者,应用开发者将预授权码嵌入到移动执法应用程序的安装文件中;
404,移动执法应用程序完成在服务器端的注册与预授权;
第二步,应用所有者在服务器端发布移动执法应用程序并进行增强发布授权,具体过程说明如下:见图5
501,应用所有者将移动执法应用程序上传到服务器申请应用发布,服务器发布系统采集移动执法应用程序的基本信息,包括应用开发者、联系人、联系电话、组织机构代码、包名、版本号和签名文件;见 表3
| 联系人 | 丁爱民(可以公布) |
| 联系电话 | 13911889771(可以公布) |
| 组织机构代码 | 08052849-6 |
| 应用开发者 | 北京成众志科技有限公司 |
| 签名文件 | Leqimin.key |
| 包名 | Com.czz.ydzf |
| 版本号 | 1.0 |
表3
,502,服务器将采集到的所有移动执法应用程序的基本信息,优选采用MD5算法,通过组合编码后,生成32位的预授权码“b7736ccf890329464fe6222014c89709”;
,503,服务器读取本地数据库中存储的移动执法应用程序预授权码;
,504,服务器发布系统基于本地进行移动执法应用程序的预授权码和基本信息的一致性验证,验证通过后,移动执法应用程序在服务器端发布成功;
,505,发布成功后,服务器采集移动执法应用程序的特征信息和发布码,特征信息包括:安装包大小、签名文件、打包时间;发布码为服务器自动生成应用授权标识符;本实例中,移动执法应用程序特征信息,发布码,预授权码结构如下:见 表4
| 移动执法应用程序预授权码 | b7736ccf890329464fe6222014c89709 |
| 安装包大小 | 10 |
| 签名文件 | Leqimin.key |
| 打包时间 | 20140101 |
| 发布码 | FWQMMZ |
表4
,506,服务器将采集到的预授权码、特征信息和发布码优选采用MD5算法,通过组合编码后,生成32位的安全增强认证码“f17e65770972a6198946e8b65a872fb8”并保存在服务器本地数据库中;见 表5
表5
507,移动执法应用程序在服务器端发布完成并完成增强发布授权;
第三步,使用者下载服务器端移动执法应用程序进行可信安装和可信启动
使用者通过手机认证系统从服务器端下载移动执法安装包,同时,从服务器端下载该应用的安全增强认证码和发布码;
使用者通过手机认证系统采集下载的移动执法安装包的预授权码和特征信息连同发布码,优选采用MD5算法,通过组合编码后,生成32位的安全增强认证码:
“f17e65770972a6198946e8b65a872fb8”;
使用者通过手机验证系统验证生成的安全增强认证码和从服务器端下载的该应用的安全增强认证码的一致性;验证成功,则移动执法应用程序通过安装认证,可进行安装操作;
使用者在启动移动执法应用程序时,通过手机的验证系统验证该应用的预授权码与服务器存储的预授权码是否一致,若验证通过,则该应用可进行启动操作;
本领域技术人员可以理解,本发明的上述实施例中限定的应用程序的“基本信息”、“特征信息”不限于各个表中所列出的项,而是可以包括与认证相关的各种要素,只要能够实现本发明的移动应用安全增强授权于认证方法即可。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种移动应用安全增强授权与认证方法,用于对移动应用的安全增强授权与认证,其特征在于,包括:
注册步骤,在该步骤中,通过服务器发布系统存储移动应用基本信息来完成移动应用在服务器端的注册;所述的移动应用基本信息包含移动应用所有者信息和移动应用的属性信息;
预授权步骤,在该步骤中,服务器发布系统利用移动应用基本信息通过哈希算法生成预授权码,移动应用将预授权码嵌入到移动应用程序中,并且服务器将预授权码保存在本地数据库中;
增强发布授权步骤,在该步骤中,移动应用上传时,发布系统验证自身存储的预授权码和基本信息与自动检测到的移动应用中的预授权码和基本信息是否一致,若验证通过则移动应用发布成功,发布系统生成该应用的唯一发布码,并联合采集到的移动应用特征信息、预授权码,按照哈希算法生成安全增强认证码,并保存在服务器本地数据库中;所述的移动应用特征信息由预授权码和移动应用属性信息共同构成;所述的发布码是由发布系统生成的为每一个成功发布的应用唯一生成的授权发布标识;
可信安装步骤,在该步骤中,由移动终端的认证系统采集下载完成的移动应用的预授权码、特征信息和发布码,按照与发布系统相同的计算方法生成安全增强认证码,将移动终端认证系统生成的安全增强认证码与发布系统中生成的安全增强认证码进行一致性验证,若验证通过,则该移动应用可进行安装,否则删除或阻止移动应用的安装;以及,
可信启动步骤,在该步骤中,移动应用在启动时,由移动终端的认证系统验证该移动应用的预授权码与发布系统中生成的预授权码进行一致性验证,若验证通过,则该移动应用可进行启动。
2.如权利要求1所述的一种移动应用安全增强授权与认证方法,其特征在于,所述的注册步骤包括服务器发布系统对移动应用基本信息的注册,其中移动应用基本信息包含移动应用所有者的信息和移动应用的属性信息,优选的,移动应用基本信息可以包括移动应用所属开发者名称、联系人、联系电话等,移动应用的属性信息可以包括移动应用包名、签名文件、版本号等。
3.如权利要求1所述的一种移动应用安全增强授权与认证方法,其特征在于,移动应用预授权过程,包括,发布系统利用移动应用基本信息通过哈希方法生成预授权码,预授权码可采用在线或离线的方式嵌入到移动应用中,嵌入的位置和方式要可以并仅可以被发布系统和移动终端的认证系统所读取。
4.如权利要求1所述的一种移动应用安全增强授权与认证方法,其特征在于,预授权应用的安全增强发布方式,包括:在任何一个移动应用通过发布系统进行发布时,都要对上传的应用进行可信检测,一方面检测预授权码是否存在,另一方面检测预授权码与移动应用的基本信息是否匹配,两项检测通过后,才能通过发布系统发布出去。
5.如权利要求1所述的一种移动应用安全增强授权与认证方法,其特征在于,所述的移动应用的安全增强认证码的生成方式,包括:对每个通过发布系统发布成功的移动应用生成一个唯一的发布码,并联合发布系统采集到的移动应用的特征信息、预授权码生成安全增强认证码,保存在服务器本地数据库中;所述的移动应用特征信息由预授权码和移动应用属性信息共同构成,移动应用特征信息优选为移动应用程序大小、签名文件、打包时间;所述的移动应用发布码是发布系统为每一个成功发布的应用唯一生成的授权发布标识。
6.如权利要求1所述的一种移动应用安全增强授权与认证方法,其特征在于,所述的可信安装步骤,包括,在移动终端的认证系统中,采集下载完成的移动应用的预授权码、特征信息、发布码,按照与发布系统相同的算法生成的安全增强认证码,将移动终端认证系统中生成的安全增强认证码与发布系统中生成的安全增强认证码进行一致性验证,若验证通过,则该移动应用可进行安装,其中,验证过程可以是通过在线的方式将预授权码、特征信息提交到发布系统中进行一致性验证,也可以将预授权码、发布码和安全增强认证码在移动应用下载时同步到移动终端的认证系统中进行离线认证。
7.如权利要求1所述的一种移动应用安全增强授权与认证方法,其特征在于,移动应用启动时的可信认证方式,包括:移动应用在启动时,可以是通过在线的方式将采集到的预授权码提交到发布系统中进行一致性验证,也可以将预授权码同步到移动终端的认证系统中进行离线认证。
8.如权利要求1所述的一种移动应用安全增强授权与认证方法,其特征在于,移动应用的预授权码与安全增强认证码的生成所使用的计算方法,要具有数据压缩效果,即预授权码的长度短于移动应用基本信息的总长度,安全增强认证码的长度短于预授权码、特征信息、和发布码的总长度;所选算法优选哈希算法,在哈希算法中优选使用MD5、SHA等哈希算法;移动应用授权码和移动应用认证码优选为固定长度,长度优选为32位、64位、128位等2的幂次方。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510030781.3A CN104539634B (zh) | 2015-01-22 | 2015-01-22 | 一种移动应用安全增强授权与认证的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510030781.3A CN104539634B (zh) | 2015-01-22 | 2015-01-22 | 一种移动应用安全增强授权与认证的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104539634A CN104539634A (zh) | 2015-04-22 |
| CN104539634B true CN104539634B (zh) | 2017-08-29 |
Family
ID=52855103
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510030781.3A Active CN104539634B (zh) | 2015-01-22 | 2015-01-22 | 一种移动应用安全增强授权与认证的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104539634B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102365532B1 (ko) * | 2015-09-22 | 2022-02-21 | 삼성전자주식회사 | 보안 기능 수행 방법 및 이를 지원하는 전자 장치 |
| CN105701423B (zh) * | 2015-12-31 | 2018-11-02 | 深圳前海微众银行股份有限公司 | 应用于云端支付业务的数据存储方法及装置 |
| CN107463583A (zh) * | 2016-06-06 | 2017-12-12 | 广州泰尔智信科技有限公司 | 应用开发者所在区域确定方法和装置 |
| KR101680525B1 (ko) * | 2016-07-12 | 2016-12-06 | 김주한 | 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법 |
| CN107958151A (zh) * | 2016-10-18 | 2018-04-24 | 深圳鼎智通讯股份有限公司 | 指纹验证安装与卸载应用的系统及其使用方法 |
| CN107743115B (zh) * | 2016-12-22 | 2021-02-02 | 腾讯科技(深圳)有限公司 | 一种终端应用的身份认证方法、装置和系统 |
| CN108737416A (zh) * | 2018-05-16 | 2018-11-02 | 北京握奇智能科技有限公司 | 可信应用管理方法以及可信应用管理服务器 |
| CN108882223A (zh) * | 2018-05-30 | 2018-11-23 | 努比亚技术有限公司 | 应用数据上报方法、移动终端及计算机可读存储介质 |
| CN109740306B (zh) * | 2018-12-27 | 2021-03-16 | 苏州思必驰信息科技有限公司 | 基于混合方案对应用软件进行授权的方法及装置 |
| CN110990427A (zh) * | 2019-12-16 | 2020-04-10 | 北京智游网安科技有限公司 | 一种应用程序所属区域统计方法、系统及存储介质 |
| CN111914224B (zh) * | 2020-08-17 | 2022-07-12 | 思必驰科技股份有限公司 | 预注册和外设配件授权激活方法及装置 |
| WO2023115377A1 (en) * | 2021-12-22 | 2023-06-29 | Huawei Technologies Co.,Ltd. | Method and system for managing distribution of applications |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008116087A1 (en) * | 2007-03-20 | 2008-09-25 | Dmvich Software, Llc | Refreshing software licenses |
| CN102024107A (zh) * | 2010-11-17 | 2011-04-20 | 中国联合网络通信集团有限公司 | 应用软件控制平台、开发者终端、分发系统及方法 |
| CN102103540A (zh) * | 2011-03-23 | 2011-06-22 | 镇江睿泰信息科技有限公司 | 通用类软件系统的云端测试装置及测试方法 |
| CN103546295A (zh) * | 2013-10-25 | 2014-01-29 | 苏州通付盾信息技术有限公司 | 一种动态移动签名系统及其方法 |
| CN103888948A (zh) * | 2014-03-31 | 2014-06-25 | 中国联合网络通信集团有限公司 | 一种智能终端移动应用的安全控制方法和装置 |
| CN103942471A (zh) * | 2013-09-17 | 2014-07-23 | 亚欧宝龙信息安全技术(湖南)有限公司 | 一种部署在移动存贮设备上软件的授权认证方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8799634B2 (en) * | 2011-12-23 | 2014-08-05 | Blackberry Limited | Method and system for temporarily reconfiguring system settings of a computing device during execution of a software application |
-
2015
- 2015-01-22 CN CN201510030781.3A patent/CN104539634B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008116087A1 (en) * | 2007-03-20 | 2008-09-25 | Dmvich Software, Llc | Refreshing software licenses |
| CN102024107A (zh) * | 2010-11-17 | 2011-04-20 | 中国联合网络通信集团有限公司 | 应用软件控制平台、开发者终端、分发系统及方法 |
| CN102103540A (zh) * | 2011-03-23 | 2011-06-22 | 镇江睿泰信息科技有限公司 | 通用类软件系统的云端测试装置及测试方法 |
| CN103942471A (zh) * | 2013-09-17 | 2014-07-23 | 亚欧宝龙信息安全技术(湖南)有限公司 | 一种部署在移动存贮设备上软件的授权认证方法和装置 |
| CN103546295A (zh) * | 2013-10-25 | 2014-01-29 | 苏州通付盾信息技术有限公司 | 一种动态移动签名系统及其方法 |
| CN103888948A (zh) * | 2014-03-31 | 2014-06-25 | 中国联合网络通信集团有限公司 | 一种智能终端移动应用的安全控制方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104539634A (zh) | 2015-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104539634B (zh) | 一种移动应用安全增强授权与认证的方法 | |
| CN104601602B (zh) | 一种终端设备网络安全增强接入与认证方法 | |
| CN105491062B (zh) | 一种客户端软件保护方法、装置及客户端 | |
| CN108650212A (zh) | 一种物联网认证和访问控制方法及物联网安全网关系统 | |
| CN110083604B (zh) | 一种数据确权方法及装置 | |
| KR102265788B1 (ko) | 블록체인 기반의 모바일 단말 및 IoT 기기 간의 다중 보안 인증 시스템 및 방법 | |
| CN106452721A (zh) | 一种基于标识公钥的智能设备指令鉴别方法及系统 | |
| CN1832401A (zh) | 一种保护帐号密码安全的方法 | |
| CN104363207A (zh) | 多因子安全增强授权与认证方法 | |
| CN103561006B (zh) | 基于安卓系统的应用认证方法和装置及应用认证服务器 | |
| CN106488452A (zh) | 一种结合指纹的移动终端安全接入认证方法 | |
| CN112150682A (zh) | 一种智能门禁卡、智能门锁终端及智能门禁卡识别方法 | |
| CN109274650A (zh) | 一种电子影像调阅的管理系统及方法 | |
| CN110602040A (zh) | 一种用于物联网的虚拟网关接入及认证方法 | |
| WO2019178763A1 (zh) | 一种证书导入方法及终端 | |
| CN109359478A (zh) | 基于加密许可文件的授权方法及系统 | |
| CN112131309A (zh) | 一种基于区块链技术的数据存证方法及系统 | |
| CN106790138A (zh) | 一种政务云应用用户登录双因子验证的方法 | |
| CN103178969A (zh) | 一种业务鉴权方法及系统 | |
| CN107426182B (zh) | 一种存储管理系统的访问控制方法及系统 | |
| CN111177265A (zh) | 一种区块链分域方法 | |
| CN111488449A (zh) | 一种基于许可区块链的学生在校信息存证方法 | |
| CN107133499A (zh) | 一种软件版权保护方法、客户端、服务端以及系统 | |
| US20220295280A1 (en) | Online validation service secures access to devices connected wirelessly to a secure secondary intelligent router module, which is connected via a wireless connection to a Primary Wired/Wireless Router/Modem | |
| CN102426592A (zh) | 一种基于动态口令的数据库初始化方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |