CN108092984B - 一种应用客户端的授权方法、装置及设备 - Google Patents
一种应用客户端的授权方法、装置及设备 Download PDFInfo
- Publication number
- CN108092984B CN108092984B CN201711422948.6A CN201711422948A CN108092984B CN 108092984 B CN108092984 B CN 108092984B CN 201711422948 A CN201711422948 A CN 201711422948A CN 108092984 B CN108092984 B CN 108092984B
- Authority
- CN
- China
- Prior art keywords
- parameter information
- network
- application client
- target
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
Abstract
本申请提供一种应用客户端的授权方法、装置及设备,该方法包括:在接收到应用客户端发送的License文件生成请求后,获取所述应用客户端所在网络中的网络设备的第一参数信息,并将所述第一参数信息发送至应用服务器,以使所述应用服务器根据所述第一参数信息生成License文件;接收所述应用服务器发送的License文件;在接收到应用客户端发送的License授权请求后,从所述License文件中的第一参数信息中选取第二参数信息;若应用客户端所在网络中的网络设备具有所述第二参数信息,利用所述License文件对所述应用客户端进行授权。通过本申请的技术方案,可以实现虚拟化场景下的License认证。
Description
技术领域
本申请涉及通信领域,尤其涉及一种应用客户端的授权方法、装置及设备。
背景技术
虚拟化技术可以提高硬件资源的利用率、增加部署应用的灵活性、降低运维成本,因而吸引了越来越多的企业将业务迁移到虚拟化架构中。虚拟化技术通过底层的Hypervisor(运行在基础硬件设施层和上层操作系统之间的“元”操作系统,用于协调上层操作系统对底层硬件资源的访问,减轻软件对硬件设备和驱动的依赖性),将硬件资源进行逻辑抽象,从而整合为统一的资源池。虚拟化管理软件(用于完成对Hypervisor的管理)允许用户在同一台主机上创建一个或者多个虚拟机,每个虚拟机相当于一台传统的物理服务器,可以在虚拟机上安装操作系统并部署应用程序,不同的虚拟机之间相互隔离、互不影响。
然而,在虚拟化场景中,传统的License认证可能失效。例如,应用客户端运行在虚拟机1,在虚拟机1下发License(授权许可)文件,使得运行在虚拟机1的应用客户端能够正常使用。但是,如果用户对虚拟机1进行克隆,则可以将虚拟机1安装到多个主机,即License文件也随着虚拟机1安装到多个主机,这样,应用客户端可以在多个主机上正常使用。但是,在实际上,应该只有虚拟机1上的应用客户端能够正常使用,因此,上述方式导致License认证失效。
发明内容
本申请提供一种应用客户端的授权方法,所述方法包括:
在接收到应用客户端发送的License文件生成请求后,获取所述应用客户端所在网络中的网络设备的第一参数信息,并将所述第一参数信息发送至应用服务器,以使所述应用服务器根据所述第一参数信息生成License文件;
接收所述应用服务器发送的License文件;其中,所述License文件由所述应用服务器生成,且所述License文件中包括所述第一参数信息;
在接收到应用客户端发送的License授权请求后,从所述License文件中的第一参数信息中选取第二参数信息;若所述应用客户端所在网络中的网络设备具有所述第二参数信息,则利用所述License文件对所述应用客户端进行授权。
本申请提供一种应用客户端的授权装置,所述装置包括:
获取模块,用于在接收到应用客户端发送的License文件生成请求后,获取所述应用客户端所在网络中的网络设备的第一参数信息;
传输模块,用于将所述第一参数信息发送至应用服务器,以使应用服务器根据第一参数信息生成License文件;接收应用服务器发送的License文件;所述License文件由应用服务器生成,所述License文件包括所述第一参数信息;
选取模块,用于在接收到应用客户端发送的License授权请求后,从所述License文件中的第一参数信息中选取第二参数信息;
处理模块,用于当所述应用客户端所在网络中的网络设备具有所述第二参数信息时,则利用所述License文件对所述应用客户端进行授权。
本申请提供一种应用客户端的授权设备,包括:处理器和机器可读存储介质;所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器执行机器可执行指令,以实现上述的方法步骤。
基于上述技术方案,本申请实施例中,可以根据应用客户端所在网络中的网络设备的参数信息,生成License文件。基于此,在接收到应用客户端发送的License授权请求后,可以基于License文件确定应用客户端是否合法,并在应用客户端合法时,利用License文件对应用客户端进行授权。由于客户端所在网络中的网络设备的参数信息不容易被篡改,因此,上述方式可以实现License认证,即使用户对应用客户端所在的虚拟机进行克隆,也无法在多个主机上同时使用应用客户端,从而可以实现虚拟化场景下的License认证。
附图说明
为了更加清楚地的说明本申请实施例或者现有技术中的技术方案,下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本申请实施例的这些附图获得其他的附图。
图1A-图1D是本申请一种实施方式中的应用场景示意图;
图2是本申请一种实施方式中的应用客户端的授权方法的流程图;
图3是本申请另一种实施方式中的应用客户端的授权方法的流程图;
图4是本申请另一种实施方式中的应用客户端的授权方法的流程图;
图5是本申请一种实施方式中的应用客户端的授权装置的结构图;
图6是本申请一种实施方式中的应用客户端的授权设备的硬件结构图。
具体实施方式
在本申请实施例使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请实施例中提出一种应用客户端的授权方法,该方法用于实现应用客户端的License认证(即授权许可认证),该方法应用于包括License认证服务端和应用客户端的系统,License认证服务端用于对应用客户端进行License认证。若应用客户端通过License认证,则License认证服务端对应用客户端进行授权,使应用客户端可以正常使用;若应用客户端未通过License认证,则License认证服务端不对应用客户端进行授权,使应用客户端无法正常使用。
其中,上述应用客户端的授权方法可以应用在虚拟化场景中,在虚拟化场景中,License认证服务端可以部署在虚拟机(即该虚拟机用于实现License认证服务端的功能,如对应用客户端进行授权许可认证),应用客户端也可以部署在虚拟机(即该虚拟机用于实现应用客户端的功能,对此功能不做限制)。
在一个例子中,为了方便描述,将License认证服务端所在的虚拟机称为第一虚拟机,第一虚拟机可以部署在主机(如PC等)或者网络设备(如路由器、交换机等)。若第一虚拟机部署在主机,则应用客户端也可以部署在第一虚拟机,即应用客户端和License认证服务端部署在同一个虚拟机;或者,应用客户端也可以部署在第二虚拟机(为了方便描述,将应用客户端所在的虚拟机称为第二虚拟机),即应用客户端和License认证服务端部署在不同的虚拟机。
进一步的,若应用客户端部署在第二虚拟机,则第二虚拟机和第一虚拟机可以部署在同一个主机,或者,第二虚拟机和第一虚拟机也可以部署在不同主机。若第一虚拟机部署在网络设备,则应用客户端部署在第二虚拟机,即应用客户端和License认证服务端部署在不同虚拟机,且第二虚拟机部署在主机。
参见图1A所示,第一虚拟机101部署在主机10,且应用客户端和License认证服务端均部署在第一虚拟机101。参见图1B所示,第一虚拟机101第二虚拟机102均部署在主机10,License认证服务端部署在第一虚拟机101,应用客户端部署在第二虚拟机102。参见图1C所示,第一虚拟机101部署在主机10,第二虚拟机102部署在主机11,License认证服务端部署在第一虚拟机101,应用客户端部署在第二虚拟机102。参见图1D所示,第二虚拟机102部署在主机10,应用客户端部署在第二虚拟机102,而且,第一虚拟机101部署在与主机10连接的接入层设备111,License认证服务端部署在第一虚拟机101。
在图1D中,为了将第一虚拟机101部署在接入层设备111,可以将License认证服务端部署在接入层设备111的单板(即插卡),由单板完成License认证服务端的功能,即可以在单板实现第一虚拟机101的功能,对此接入层设备的单板不做限制,这样,License认证服务端与接入层设备111可以形成一体机。
从图1A-图1D可以看出,应用客户端、License认证服务端、接入层设备111-接入层设备113、汇聚层设备121-汇聚层设备124、核心层设备131位于同一个网络(即局域网),即核心层设备131下的所有设备均处于同一个网络,也就是说,接入层设备111-接入层设备113、汇聚层设备121-汇聚层设备124、核心层设备131是应用客户端/License认证服务端所在网络中的网络设备。
当然,上述4个应用场景只是本申请的示例,对此应用场景不做限制。为了方便描述,后续以图1B为例进行说明,其它应用场景的处理流程类似。
在上述应用场景下,参见图2所示,为上述应用客户端的授权方法的流程图,该方法可以应用于License认证服务端,该方法可以包括以下步骤:
步骤201,在接收到应用客户端发送的License文件生成请求后,获取应用客户端所在网络中的网络设备的第一参数信息,并将该第一参数信息发送至应用服务器,以使应用服务器根据该第一参数信息生成License文件。
步骤202,接收应用服务器发送的License文件;其中,该License文件由应用服务器生成,且该License文件中包括所述第一参数信息。
其中,在应用客户端正常使用之前,应用服务器(为应用客户端提供服务的服务器,图1A-图1D中未示出)和License认证服务端,均可以存储应用客户端的License文件,且使用License文件对应用客户端进行License认证。而步骤201和步骤202,用于使应用服务器和License认证服务端得到License文件。
具体的,为了使应用服务器和License认证服务端得到License文件,则在应用客户端正常使用之前,应用客户端可以向License认证服务端发送License文件生成请求,对此License文件生成请求的内容不做限制。
License认证服务端在接收到该License文件生成请求后,获取该应用客户端所在网络中的网络设备的第一参数信息,并将该第一参数信息发送至应用服务器。可选的,License认证服务端将包括第一参数信息的文件(可以将其称为主机文件,主机文件除了包括第一参数信息,还可以包括其它内容,对此不做限制)提供给用户,由用户将包括第一参数信息的文件注册到应用服务器,如用户在应用服务器提供的网站注册包括第一参数信息的文件,对此不做限制。
应用服务器在得到第一参数信息后,可以利用该第一参数信息生成License文件,即License文件包括该第一参数信息。当然,License文件还可以包括其它内容,如秘钥信息、最大用户数量、租期信息等,对此License文件的内容不做限制。此外,针对应用服务器生成License文件的过程,可以采用传统方式,只是License文件包括第一参数信息,且第一参数信息由应用客户端所在网络中的网络设备的参数信息组成,对此License文件的生成过程不做限制。
应用服务器在生成License文件后,在本地存储License文件,并将License文件发送给License认证服务端,License认证服务端在本地存储License文件。
进一步的,在应用客户端的使用过程中,则License认证服务端可以利用该License文件对应用客户端进行License认证,License认证过程参见后续步骤。
在上述实施例中,License认证服务端获取的是应用客户端所在网络中的网络设备的第一参数信息,而不是应用客户端所在主机的信息,其原因包括:某些应用场景下,应用客户端所在主机没有为License认证服务端提供获取接口,导致License认证服务端无法获取到主机信息(如主机的MAC(Media Access Control,介质访问控制)地址等)。但应用客户端所在网络中会存在网络设备,License认证服务端可以获取应用客户端所在网络的网络设备的第一参数信息。
在上述实施例中,针对“获取应用客户端所在网络中的网络设备的第一参数信息”的过程,其实现流程可以参见图3所示,该过程可以包括以下步骤:
步骤311,从应用客户端所在网络中的网络设备中确定目标网络设备。
具体的,步骤311可以包括但不限于如下方式:
方式一、将本地预置的IP地址对应的网络设备,确定为目标网络设备。
其中,可以在License认证服务端预置N个(N为大于等于1的正整数,N的取值越大,则安全性越高,对此N的取值不做限制)IP地址,如接入层设备111的IP地址111.1、接入层设备112的IP地址112.2、核心层设备131的IP地址131.3、汇聚层设备121的IP地址121.1。(上述111.1、112.2仅仅是起到对IP地址的区分作用,不代表IP地址的网段)。License认证服务端可以将上述4个IP地址对应的网络设备,确定为目标网络设备,即该目标网络设备可以包括接入层设备111、接入层设备112、核心层设备131、汇聚层设备121等。
方式二、向应用客户端所在网络对应的特定网段中的每个网络设备发送检测请求,并接收网络设备针对该检测请求返回的检测响应,该检测响应可以携带网络设备的IP地址;从接收到的所有检测响应携带的IP地址中选取目标IP地址,并将选取的目标IP地址对应的网络设备,确定为目标网络设备。
例如,可以在License认证服务端预置应用客户端所在网络对应的特定网段,即接入层设备111-接入层设备113、汇聚层设备121-汇聚层设备124、核心层设备131的IP地址,均属于该特定网段。然后,针对该特定网段内的每个IP地址,License认证服务端分别发送检测请求(如ICMP检测请求)。若存在具有该IP地址的网络设备,则该网络设备会向License认证服务端返回针对该检测请求的检测响应,其中携带该网络设备的IP地址。若不存在具有该IP地址的网络设备,则License认证服务端不会接收到针对该检测请求的检测响应。
例如,针对特定网段内的IP地址111.1发送的检测请求,接入层设备111接收到检测请求后,向License认证服务端返回针对该检测请求的检测响应,该检测响应携带接入层设备111的IP地址111.1。针对特定网段内的IP地址111.2发送的检测请求,接入层设备112可以向License认证服务端返回针对该检测请求的检测响应,该检测响应携带接入层设备112的IP地址112.2。以此类推。
综上所述,License认证服务端可以接收到各网络设备(如接入层设备111-接入层设备113、汇聚层设备121-汇聚层设备124、核心层设备131等)返回的检测响应,并从这些检测响应中获取到各网络设备的IP地址。然后,从所有检测响应携带的IP地址中选取目标IP地址,并将选取的目标IP地址对应的网络设备,确定为目标网络设备。例如,License认证服务端从所有检测响应携带的IP地址中随机选取部分IP地址(如随机选取N个IP地址),并将选取的IP地址确定为目标IP地址,这些目标IP地址对应的网络设备就是目标网络设备。
对于从所有IP地址中随机选取N个IP地址的方式,对此不做限制。
方式三、向应用客户端所在网络对应的特定网段中的每个网络设备发送检测请求,并接收网络设备针对该检测请求返回的检测响应,该检测响应可以携带网络设备的IP地址;从接收到的所有检测响应携带的IP地址中选取目标IP地址,并将选取的目标IP地址对应的网络设备,确定为目标网络设备。以及,还可以将本地预置的IP地址对应的网络设备,确定为目标网络设备。
其中,方式三的实现过程,可以参见方式一和方式二,在此不再赘述。
针对方式一和方式三,在License认证服务端预置IP地址时,可以预置接入层设备111(与主机10连接的网络设备)的IP地址111.1、和/或核心层设备131(主机10的网关设备)的IP地址131.1。当然,也可以预置其它网络设备的IP地址,对此不做限制。其中,预置接入层设备111的IP地址的原因可以包括:当接入层设备111和/或核心层设备131正常时,则License认证服务端可以获取到接入层设备111和/或核心层设备131的第一参数信息,继而利用第一参数信息生成License文件。当接入层设备111异常时,虽然License认证服务端无法获取到接入层设备111的第一参数信息,无法生成License文件,但是,接入层设备111异常会导致应用客户端的通信中断,也不用为应用客户端生成License文件。同理,核心层设备131是应用客户端的网关设备,当核心层设备131异常时,也会导致应用客户端的通信中断,不用为应用客户端生成License文件。
针对方式二和方式三,由于随机从所有网络设备中选取部分网络设备作为目标网络设备,即目标网络设备的选取是随机的,因此,可以避免盗版人仿冒网络设备的情况,即盗版人不知道目标网络设备有几个,不知道目标网络设备是哪个,无法针对性的仿冒目标网络设备向License认证服务端返回参数信息。
步骤312,向目标网络设备发送参数请求,并接收目标网络设备针对该参数请求返回的参数响应,其中,该参数响应携带该目标网络设备的参数信息。
步骤313,将所述参数响应携带的参数信息确定为第一参数信息。
在上述实施例中,第一参数信息可以为网络设备恒定不变、且不能修改的参数。例如,所述第一参数信息可以包括但不限于以下之一或者任意组合:网络设备的桥MAC地址、接口MAC地址、系统对象标识符(即系统OID)。
例如,第一参数信息可以包括但不限于:接入层设备111的桥MAC地址、接口MAC地址11-20(即不同接口的接口MAC地址);接入层设备112的桥MAC地址、接口MAC地址21-30;核心层设备131的桥MAC地址、接口MAC地址31-40;汇聚层设备121的桥MAC地址、接口MAC地址41-50。
基于上述过程,License认证服务端可以在本地存储License文件,基于本地存储的License文件,则License认证服务端可以对应用客户端进行License认证,针对应用客户端的License认证过程,则上述方法还可以包括以下步骤:
步骤203,在接收到应用客户端发送的License授权请求后,从License文件中的第一参数信息中选取第二参数信息;若应用客户端所在网络中的网络设备具有该第二参数信息,则利用该License文件对该应用客户端进行授权。
应用客户端在实际运行过程中,若应用客户端已经得到授权,则正常使用,对此过程不再赘述,若应用客户端没有得到授权,则应用客户端向License认证服务端发送License授权请求,对此License授权请求的内容不做限制。
进一步的,License认证服务端在接收到该License授权请求后,确定需要对应用客户端进行License认证。具体的,License认证服务端可以从本地存储的License文件中的第一参数信息中选取第二参数信息。然后,可以判断应用客户端所在网络中的网络设备是否具有该第二参数信息。如果是,则可以利用该License文件对该应用客户端进行授权,对此授权过程不做限制。如果否,则拒绝利用该License文件对该应用客户端进行授权,对此过程不做限制。
参见图1B所示,假设在主机10的第二虚拟机102运行应用客户端,在主机10的第一虚拟机101运行License认证服务端,License认证服务端可以从License文件的第一参数信息中选取第二参数信息(如接入层设备111的桥MAC地址)。由于应用客户端所在网络中的网络设备(接入层设备111)具有接入层设备111的桥MAC地址,因此利用License文件对应用客户端进行授权。
如果用户对第二虚拟机102、第一虚拟机101进行克隆,并将克隆后的第二虚拟机102、第一虚拟机101部署在另一个主机X,主机X不在图1B所示网络中,即主机X与接入层设备111、接入层设备112等均没有连接关系。
基于此,由于克隆后的第二虚拟机102运行应用客户端,克隆后的第一虚拟机101运行License认证服务端,因此,License认证服务端可以从License文件的第一参数信息中选取第二参数信息(如接入层设备111的桥MAC地址)。
由于应用客户端所在网络中的网络设备不具有接入层设备111的桥MAC地址(即主机X所在的网络环境与接入层设备111无关,也就不会存在接入层设备111,更不会具有接入层设备111的桥MAC地址),因此,License认证服务端拒绝利用License文件对应用客户端进行授权。这样,就可以避免克隆后的应用客户端被错误的授权,避免License认证失效,实现License认证的准确性。
在上述实施例中,针对“从License文件中的第一参数信息中选取第二参数信息”的过程,可以包括:从License文件中的第一参数信息中随机选取部分参数信息,并将选取的参数信息确定为第二参数信息。对于从第一参数信息中随机选取部分参数信息的方式不做限制。例如,第二参数信息包括接入层设备111的桥MAC地址、接口MAC地址11,核心层设备131的桥MAC地址。
由于从第一参数信息的每个参数信息中随机选取部分参数信息作为第二参数信息,即第二参数信息的选取是随机的,因此可以避免盗版人仿冒第二参数信息的情况,即盗版人不知道第二参数信息有几个,不知道第二参数信息是什么,无法针对性的仿冒第二参数信息向License认证服务端进行License认证。
在从License文件中的第一参数信息中选取第二参数信息后,还可以向应用客户端所在网络对应的特定网段中的每个网络设备发送携带第二参数信息的探测请求。若接收到针对该探测请求的探测响应,则可以确定应用客户端所在网络中的网络设备具有该第二参数信息;若未接收到针对该探测请求的探测响应,则可以确定应用客户端所在网络中的网络设备不具有该第二参数信息。
例如,针对特定网段内的每个IP地址,License认证服务端分别发送携带接入层设备111的桥MAC地址的探测请求1、携带接口MAC地址11的探测请求2、携带核心层设备131的桥MAC地址的探测请求3。接入层设备111在接收到探测请求1后,向License认证服务端返回针对探测请求1的探测响应1,表示接入层设备111具有接入层设备111的桥MAC地址。接入层设备111在接收到探测请求2后,向License认证服务端返回针对探测请求2的探测响应2,表示接入层设备111具有接口MAC地址11。核心层设备131在接收到探测请求3后,向License认证服务端返回针对探测请求3的探测响应3,表示核心层设备131具有核心层设备131的桥MAC地址。进一步的,License认证服务端在接收到探测响应1、探测响应2和探测响应3后,确定应用客户端所在网络中的网络设备具有所有的第二参数信息,因此,可以对应用客户端进行授权。
又例如,针对特定网段内的每个IP地址,License认证服务端分别发送携带接入层设备111的桥MAC地址、接口MAC地址11、核心层设备131的桥MAC地址的探测请求4。接入层设备111在接收到探测请求4后,向License认证服务端返回针对探测请求4的探测响应41,表示接入层设备111具有接入层设备111的桥MAC地址和接口MAC地址11。核心层设备131在接收到探测请求4后,向License认证服务端返回针对探测请求4的探测响应42,表示核心层设备131具有核心层设备131的桥MAC地址。进一步的,License认证服务端在接收到探测响应41和探测响应42后,确定应用客户端所在网络中的网络设备具有所有的第二参数信息,因此,可以对应用客户端进行授权。
在上述实施例中,License认证服务端可以周期性执行“从第一参数信息中选取第二参数信息;若应用客户端所在网络中的网络设备具有该第二参数信息,则利用该License文件对该应用客户端进行授权”,如每15分钟执行一次。
在上述实施例中,还可以在License认证服务端预置一个或者多个管理方式,例如SNMP(Simple Network Management Protocol,简单网络管理协议)、SSH(Secure Shell,安全外壳协议)、telnet(远程登录)等,这样,License认证服务端与网络设备之间交互的请求和响应,可以是基于该管理方式的消息。
基于上述技术方案,本申请实施例中,可以根据应用客户端所在网络中的网络设备的参数信息,生成License文件。基于此,在接收到应用客户端发送的License授权请求后,可以基于License文件确定应用客户端是否合法,并在应用客户端合法时,利用License文件对应用客户端进行授权。由于客户端所在网络中的网络设备的参数信息不容易被篡改,因此,上述方式可以实现License认证,即使用户对应用客户端所在的虚拟机进行克隆,也无法在多个主机上同时使用应用客户端,从而可以实现虚拟化场景下的License认证。
参见图4所示,以下结合一个具体实施例,对上述技术方案进行详细说明。
步骤401,在接收到应用客户端发送的License文件生成请求后,确定目标网络设备(即应用客户端所在网络中的目标网络设备)。
步骤402,向该目标网络设备发送参数请求,并接收该目标网络设备针对该参数请求返回的参数响应,该参数响应携带该目标网络设备的参数信息。
步骤403,将所述参数响应携带的参数信息确定为第一参数信息。
步骤404,将第一参数信息发送给应用服务器,以使应用服务器根据第一参数信息生成License文件,也就是说,该License文件可以包括第一参数信息。
步骤405,接收并存储应用服务器发送的License文件。
步骤406,在接收到应用客户端发送的License授权请求后,则从License文件中的第一参数信息中选取第二参数信息,即一个或者多个第二参数信息。
步骤407,若应用客户端所在网络中的网络设备具有该第二参数信息,则利用该License文件对该应用客户端进行授权。若应用客户端所在网络中的网络设备不具有该第二参数信息,则拒绝利用该License文件对该应用客户端进行授权。
基于与上述方法同样的申请构思,本申请实施例中还提出一种应用客户端的授权装置,如图5所示,为所述装置的结构图,所述装置可以包括:
获取模块501,用于在接收到应用客户端发送的License文件生成请求后,获取所述应用客户端所在网络中的网络设备的第一参数信息;
传输模块502,用于将所述第一参数信息发送至应用服务器,以使应用服务器根据第一参数信息生成License文件;接收应用服务器发送的License文件;所述License文件由应用服务器生成,所述License文件包括所述第一参数信息;
选取模块503,用于在接收到应用客户端发送的License授权请求后,从所述License文件中的第一参数信息中选取第二参数信息;
处理模块504,用于当所述应用客户端所在网络中的网络设备具有所述第二参数信息时,则利用所述License文件对所述应用客户端进行授权。
所述获取模块501,具体用于在获取应用客户端所在网络中的网络设备的第一参数信息的过程中,从所述应用客户端所在网络中的网络设备中确定目标网络设备;向所述目标网络设备发送参数请求;接收所述目标网络设备针对所述参数请求返回的参数响应,所述参数响应携带所述目标网络设备的参数信息;将所述参数响应携带的参数信息确定为所述第一参数信息。
所述获取模块501,具体用于在从所述应用客户端所在网络中的网络设备中确定目标网络设备的过程中,将本地预置的IP地址对应的网络设备,确定为所述目标网络设备;或者,
向所述应用客户端所在网络对应的特定网段中的每个网络设备发送检测请求,并接收网络设备针对所述检测请求返回的检测响应,所述检测响应携带网络设备的IP地址;从接收到的所有检测响应携带的IP地址中选取目标IP地址,并将选取的目标IP地址对应的网络设备,确定为所述目标网络设备;或者,
向所述应用客户端所在网络对应的特定网段中的每个网络设备发送检测请求,并接收网络设备针对所述检测请求返回的检测响应,所述检测响应携带网络设备的IP地址;从接收到的所有检测响应携带的IP地址中选取目标IP地址,并将选取的目标IP地址对应的网络设备,确定为所述目标网络设备;以及,将本地预置的IP地址对应的网络设备,确定为所述目标网络设备。
所述选取模块503,具体用于在从所述License文件中的第一参数信息中选取第二参数信息的过程中,从所述License文件中的第一参数信息中随机选取部分参数信息;将选取的参数信息确定为所述第二参数信息。
所述处理模块504,还用于向所述应用客户端所在网络对应的特定网段中的每个网络设备发送携带所述第二参数信息的探测请求;若接收到针对所述探测请求的探测响应,则确定所述应用客户端所在网络中的网络设备具有所述第二参数信息;若未接收到针对所述探测请求的探测响应,则确定所述应用客户端所在网络中的网络设备不具有所述第二参数信息。
本申请实施例提供一种应用客户端的授权设备,从硬件层面而言,所述授权设备的硬件架构示意图具体可以参见图6所示。包括:机器可读存储介质和处理器,其中:机器可读存储介质:存储能够被所述处理器执行的机器可执行指令。处理器:与机器可读存储介质通信,读取和执行机器可读存储介质中存储的机器可执行指令,实现本申请上述示例公开的应用客户端的授权操作。
这里,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(RadomAccess Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (14)
1.一种应用客户端的授权方法,其特征在于,所述方法包括:
在接收到应用客户端发送的License文件生成请求后,获取所述应用客户端所在网络中的网络设备的第一参数信息,并将所述第一参数信息发送至应用服务器,以使所述应用服务器根据所述第一参数信息生成License文件;其中,所述应用客户端所在网络中的网络设备不是所述应用客户端所在主机;
接收所述应用服务器发送的License文件;其中,所述License文件由所述应用服务器生成,且所述License文件中包括所述第一参数信息;
在接收到应用客户端发送的License授权请求后,从所述License文件中的第一参数信息中选取第二参数信息;若所述应用客户端所在网络中的网络设备具有所述第二参数信息,则利用所述License文件对所述应用客户端进行授权。
2.根据权利要求1所述的方法,其特征在于,
所述获取所述应用客户端所在网络中的网络设备的第一参数信息,包括:
从所述应用客户端所在网络中的网络设备中确定目标网络设备;
向所述目标网络设备发送参数请求;
接收所述目标网络设备针对所述参数请求返回的参数响应,所述参数响应携带所述目标网络设备的参数信息;
将所述参数响应携带的参数信息确定为所述第一参数信息。
3.根据权利要求2所述的方法,其特征在于,
从所述应用客户端所在网络中的网络设备中确定目标网络设备,包括:
将本地预置的IP地址对应的网络设备,确定为所述目标网络设备;或者,
向所述应用客户端所在网络对应的特定网段中的每个网络设备发送检测请求,并接收网络设备针对所述检测请求返回的检测响应,所述检测响应携带网络设备的IP地址;从接收到的所有检测响应携带的IP地址中选取目标IP地址,并将选取的目标IP地址对应的网络设备,确定为所述目标网络设备;或者,
向所述应用客户端所在网络对应的特定网段中的每个网络设备发送检测请求,并接收网络设备针对所述检测请求返回的检测响应,所述检测响应携带网络设备的IP地址;从接收到的所有检测响应携带的IP地址中选取目标IP地址,并将选取的目标IP地址对应的网络设备,确定为所述目标网络设备;以及,将本地预置的IP地址对应的网络设备,确定为所述目标网络设备。
4.根据权利要求3所述的方法,其特征在于,
所述从接收到的所有检测响应携带的IP地址中选取目标IP地址,包括:
从所有检测响应携带的IP地址中随机选取部分IP地址;
将选取的IP地址确定为所述目标IP地址。
5.根据权利要求1所述的方法,其特征在于,
所述从所述License文件中的第一参数信息中选取第二参数信息,包括:
从所述License文件中的第一参数信息中随机选取部分参数信息;
将选取的参数信息确定为所述第二参数信息。
6.根据权利要求1所述的方法,其特征在于,所述从所述License文件中的第一参数信息中选取第二参数信息之后,所述方法还包括:
向所述应用客户端所在网络对应的特定网段中的每个网络设备发送携带所述第二参数信息的探测请求;
若接收到针对所述探测请求的探测响应,则确定所述应用客户端所在网络中的网络设备具有所述第二参数信息;若未接收到针对所述探测请求的探测响应,则确定所述应用客户端所在网络中的网络设备不具有所述第二参数信息。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述第一参数信息为网络设备恒定不变、且不能修改的参数;所述第一参数信息包括以下之一或者任意组合:网络设备的桥MAC地址、接口MAC地址、系统对象标识符。
8.根据权利要求1-6任一项所述的方法,其特征在于,所述方法应用在用于实现授权许可认证的第一虚拟机,所述第一虚拟机部署在主机或者网络设备;若所述第一虚拟机部署在主机,所述应用客户端部署在所述第一虚拟机或者第二虚拟机;若所述应用客户端部署在第二虚拟机,则所述第二虚拟机和所述第一虚拟机部署在同一个主机,或者,部署在不同的主机。
9.一种应用客户端的授权装置,其特征在于,所述装置包括:
获取模块,用于在接收到应用客户端发送的License文件生成请求后,获取所述应用客户端所在网络中的网络设备的第一参数信息;其中,所述应用客户端所在网络中的网络设备不是所述应用客户端所在主机;
传输模块,用于将所述第一参数信息发送至应用服务器,以使应用服务器根据第一参数信息生成License文件;接收应用服务器发送的License文件;所述License文件由应用服务器生成,所述License文件包括所述第一参数信息;
选取模块,用于在接收到应用客户端发送的License授权请求后,从所述License文件中的第一参数信息中选取第二参数信息;
处理模块,用于当所述应用客户端所在网络中的网络设备具有所述第二参数信息时,则利用所述License文件对所述应用客户端进行授权。
10.根据权利要求9所述的装置,其特征在于,
所述获取模块,具体用于在获取应用客户端所在网络中的网络设备的第一参数信息的过程中,从所述应用客户端所在网络中的网络设备中确定目标网络设备;向所述目标网络设备发送参数请求;接收所述目标网络设备针对所述参数请求返回的参数响应,所述参数响应携带所述目标网络设备的参数信息;将所述参数响应携带的参数信息确定为所述第一参数信息。
11.根据权利要求10所述的装置,其特征在于,所述获取模块,具体用于在从所述应用客户端所在网络中的网络设备中确定目标网络设备的过程中,将本地预置的IP地址对应的网络设备,确定为所述目标网络设备;或者,
向所述应用客户端所在网络对应的特定网段中的每个网络设备发送检测请求,并接收网络设备针对所述检测请求返回的检测响应,所述检测响应携带网络设备的IP地址;从接收到的所有检测响应携带的IP地址中选取目标IP地址,并将选取的目标IP地址对应的网络设备,确定为所述目标网络设备;或者,
向所述应用客户端所在网络对应的特定网段中的每个网络设备发送检测请求,并接收网络设备针对所述检测请求返回的检测响应,所述检测响应携带网络设备的IP地址;从接收到的所有检测响应携带的IP地址中选取目标IP地址,并将选取的目标IP地址对应的网络设备,确定为所述目标网络设备;以及,将本地预置的IP地址对应的网络设备,确定为所述目标网络设备。
12.根据权利要求9所述的装置,其特征在于,
所述选取模块,具体用于在从所述License文件中的第一参数信息中选取第二参数信息的过程中,从所述License文件中的第一参数信息中随机选取部分参数信息;将选取的参数信息确定为所述第二参数信息。
13.根据权利要求9所述的装置,其特征在于,
所述处理模块,还用于向所述应用客户端所在网络对应的特定网段中的每个网络设备发送携带所述第二参数信息的探测请求;若接收到针对所述探测请求的探测响应,则确定所述应用客户端所在网络中的网络设备具有所述第二参数信息;若未接收到针对所述探测请求的探测响应,则确定所述应用客户端所在网络中的网络设备不具有所述第二参数信息。
14.一种应用客户端的授权设备,其特征在于,包括处理器和机器可读存储介质;所述机器可读存储介质存储有能够被处理器执行的机器可执行指令,所述处理器执行机器可执行指令,以实现权利要求1-8任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711422948.6A CN108092984B (zh) | 2017-12-25 | 2017-12-25 | 一种应用客户端的授权方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711422948.6A CN108092984B (zh) | 2017-12-25 | 2017-12-25 | 一种应用客户端的授权方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108092984A CN108092984A (zh) | 2018-05-29 |
| CN108092984B true CN108092984B (zh) | 2021-02-26 |
Family
ID=62179092
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711422948.6A Active CN108092984B (zh) | 2017-12-25 | 2017-12-25 | 一种应用客户端的授权方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108092984B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108737444A (zh) * | 2018-06-20 | 2018-11-02 | 北京玄科技有限公司 | 应用于智能机器人的微服务授权管理方法及装置 |
| CN109063423B (zh) * | 2018-07-16 | 2020-12-11 | 北京知道创宇信息技术股份有限公司 | 应用软件授权方法及系统 |
| CN109614114B (zh) * | 2018-11-12 | 2022-02-08 | 东软集团股份有限公司 | License文件的获取方法、装置、可读存储介质及电子设备 |
| CN111222101B (zh) * | 2018-11-27 | 2022-06-03 | 北京数安鑫云信息技术有限公司 | 防止软件非法拷贝使用的方法及装置、采集软件行为信息的方法及装置 |
| CN111159652A (zh) * | 2019-11-29 | 2020-05-15 | 云深互联(北京)科技有限公司 | 管控平台授权文件校验方法、装置、设备和存储介质 |
| CN110968861A (zh) * | 2019-12-02 | 2020-04-07 | 紫光云技术有限公司 | 一种基于集群虚拟机license认证的安全监控方法 |
| CN112511399B (zh) * | 2020-11-03 | 2021-12-24 | 杭州迪普科技股份有限公司 | 用户数量控制方法、装置、设备及计算机可读存储介质 |
| CN114363008B (zh) * | 2021-12-10 | 2024-03-15 | 神州绿盟成都科技有限公司 | 一种虚拟设备认证方法、装置、电子设备及存储介质 |
| CN115065523A (zh) * | 2022-06-10 | 2022-09-16 | 联想(北京)有限公司 | 一种数据处理方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2216732A1 (en) * | 2009-02-10 | 2010-08-11 | Novell, Inc. | Virtual machine software license management |
| CN103077345A (zh) * | 2012-12-27 | 2013-05-01 | 深信服网络科技(深圳)有限公司 | 基于虚拟机的软件授权方法及系统 |
| CN103902878A (zh) * | 2012-12-28 | 2014-07-02 | 杭州华三通信技术有限公司 | 一种虚拟环境下的License认证方法和装置 |
| CN106548043A (zh) * | 2016-11-01 | 2017-03-29 | 广东浪潮大数据研究有限公司 | 一种应用程序的授权方法、安装方法、安装端及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120324236A1 (en) * | 2011-06-16 | 2012-12-20 | Microsoft Corporation | Trusted Snapshot Generation |
-
2017
- 2017-12-25 CN CN201711422948.6A patent/CN108092984B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2216732A1 (en) * | 2009-02-10 | 2010-08-11 | Novell, Inc. | Virtual machine software license management |
| CN103077345A (zh) * | 2012-12-27 | 2013-05-01 | 深信服网络科技(深圳)有限公司 | 基于虚拟机的软件授权方法及系统 |
| CN103902878A (zh) * | 2012-12-28 | 2014-07-02 | 杭州华三通信技术有限公司 | 一种虚拟环境下的License认证方法和装置 |
| CN106548043A (zh) * | 2016-11-01 | 2017-03-29 | 广东浪潮大数据研究有限公司 | 一种应用程序的授权方法、安装方法、安装端及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108092984A (zh) | 2018-05-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108092984B (zh) | 一种应用客户端的授权方法、装置及设备 | |
| CN108632074B (zh) | 一种业务配置文件下发方法和装置 | |
| US9928080B2 (en) | Hardware security module access management in a cloud computing environment | |
| JP5747981B2 (ja) | 仮想機械を用いた電子ネットワークにおける複数のクライアントの遠隔保守のためのシステム及び方法 | |
| CN110213276B (zh) | 一种微服务架构下的授权验证方法、服务器、终端及介质 | |
| RU2683630C2 (ru) | Способ обновления дескриптора сетевой службы nsd и устройство | |
| EP3416333B1 (en) | Seamless provision of secret token to cloud-based assets on demand | |
| JP2018509691A (ja) | ローリングセキュリティプラットフォーム | |
| CN109347637B (zh) | 一种认证方法、内容分发网络cdn和内容服务器 | |
| US10581619B2 (en) | Certificate management method, device, and system | |
| CN111464481B (zh) | 用于服务安全保护的方法、设备和计算机可读介质 | |
| CN109543365B (zh) | 一种授权方法及装置 | |
| CN111431957B (zh) | 文件处理方法、装置、设备和系统 | |
| US20230254146A1 (en) | Cybersecurity guard for core network elements | |
| CN109842554B (zh) | 设备服务的路由方法、装置、设备及存储介质 | |
| Panneerselvam et al. | An investigation of the effect of cloud computing on network management | |
| EP3276914A1 (en) | Data sharing method and device for virtual desktop | |
| CN109739615B (zh) | 一种虚拟硬盘的映射方法、设备和云计算平台 | |
| CN112311551A (zh) | 保护可证明的资源所有权 | |
| EP3987391B1 (en) | Method and system for service image deployment in a cloud computing system based on distributed ledger technology | |
| CN117056943A (zh) | 数据处理方法、系统、设备及可读存储介质 | |
| CN116155532A (zh) | 一种网络访问控制方法及装置 | |
| CN116489123A (zh) | 一种基于工业互联网标识的处理方法及装置 | |
| CN115694843A (zh) | 避免仿冒的摄像机接入管理方法、系统、设备和介质 | |
| CN115580418A (zh) | 一种信息获取方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |