CN113242224B - 授权方法及装置、电子设备和存储介质 - Google Patents
授权方法及装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN113242224B CN113242224B CN202110483101.9A CN202110483101A CN113242224B CN 113242224 B CN113242224 B CN 113242224B CN 202110483101 A CN202110483101 A CN 202110483101A CN 113242224 B CN113242224 B CN 113242224B
- Authority
- CN
- China
- Prior art keywords
- authorization
- key
- client
- ciphertext
- encryption algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
本公开涉及一种授权方法及装置、电子设备和存储介质,所述方法应用于客户端,包括:在所述客户端加载软件开发工具包的授权文件的情况下,根据所述授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥;根据所述授权文件、所述第一密文及所述第一密钥,生成授权请求;向服务器发送所述授权请求;在接收到所述服务器发送的授权信息的情况下,根据所述授权文件及所述授权信息,对所述客户端进行授权,以使所述客户端运行所述软件开发工具包。本公开实施例不仅能够在数据传输时实现一次一密,提高数据安全性,还能够减少客户端与服务器的交互次数,提高数据传输效率。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及一种授权方法及装置、电子设备和存储介质。
背景技术
在互联网中传输数据时,通常可通过基于安全套接层的超文本传输协议HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer)对数据进行加密保护。然而在相关技术中,在HTTPS服务访问受限或可不用的情况下,数据会以明文的形式在互联网中传输,导致数据安全性较差。
发明内容
本公开提出了一种授权技术方案。
根据本公开的一方面,提供了一种授权方法,所述方法应用于客户端,所述方法包括:在所述客户端加载软件开发工具包的授权文件的情况下,根据所述授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥,所述授权文件包括序列号、客户端的私钥及服务器的公钥,所述第一加密算法为预设的加密算法列表中的任意一种加密算法;根据所述授权文件、所述第一密文及所述第一密钥,生成授权请求;向服务器发送所述授权请求;在接收到所述服务器发送的授权信息的情况下,根据所述授权文件及所述授权信息,对所述客户端进行授权,以使所述客户端运行所述软件开发工具包,其中,所述授权信息包括第二密文及第二密钥,所述第二密文包括授权数据。
根据本公开的实施例,在客户端加载软件开发工具包的授权文件的情况下,可根据授权文件、第一加密算法及客户端的配置参数,生成第一密文及第一密钥,并根据授权文件、第一密文及第一密钥,生成授权请求,并向服务器发送该授权请求;在客户端收到服务器发送的授权信息的情况下,可根据授权文件及授权信息,对客户端进行授权,以使客户端运行所述软件开发工具包,从而能够在客户端的软件开发工具包的授权过程中,在客户端向服务器发送数据时,使用从加密算法列表中随机选择加密算法对数据进行加密,并将密钥与密文一起传输,不仅可在数据传输时实现一次一密,提高数据安全性,还可减少客户端与服务器的交互次数,提高数据传输效率;在客户端接收到服务器发送的授权信息时,根据授权文件及授权信息进行授权,还可减少向第三方(例如证书授权中心,CertificateAuthority,简称CA)请求数字证书的过程,进而提高处理效率。
在一种可能的实现方式中,所述根据所述授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥,包括:在所述授权文件为加密文件的情况下,根据预设组件,确定第三密钥,所述预设组件包括所述软件开发工具包中的至少一个组件;根据所述第三密钥,对所述授权文件进行解密,得到解密后的授权文件;根据解密后的授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥。
在本公开实施例中,在授权文件为加密文件的情况下,客户端可根据软件开发工具包中的至少一个组件,确定第三密钥,并根据第三密钥,对授权文件进行解密,得到解密后的授权文件,然后根据解密后的授权文件、第一加密算法及客户端的配置参数,生成第一密文及第一密钥,从而可将授权文件的解密过程与软件开发工具包的特定组件相结合,提高授权文件的安全性及可靠性。
在一种可能的实现方式中,所述根据所述授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥,包括:根据第一加密算法,确定第一数据密钥及第一初始化向量;根据所述第一加密算法、所述第一数据密钥及所述第一初始化向量,对所述客户端的配置参数进行加密,生成第一密文;根据所述授权文件中的服务器的公钥,对所述第一加密算法的标识、所述第一数据密钥及所述第一初始化向量进行加密,生成第一密钥。
在本公开实施例中,能够使用第一加密算法随机生成的第一数据密钥及第一初始化向量,对客户端的配置参数进行加密,生成第一密文,并使用服务器的公钥,对第一加密算法的标识、第一数据密钥及第一初始化向量进行加密,生成第一密钥,从而使得客户端向服务器发送数据时,通过第一加密算法随机生成的数据密钥对数据(客户端的配置参数)进行加密,并通过服务器的公钥对该数据密钥进行保护,实现数据传输过程中的一次一密,进而提高第一密文及第一密钥的安全性。
在一种可能的实现方式中,所述根据所述授权文件、所述第一密文及所述第一密钥,生成授权请求,包括:根据所述客户端的私钥,对所述第一密文及所述第一密钥进行签名,得到签名后的第一密文及第一密钥;根据所述授权文件的序列号、签名后的第一密文及第一密钥,生成授权请求。
在本公开实施例中,通过客户端的私钥,对第一密文及第一密钥进行签名,得到签名后的第一密文及第一密钥,并根据授权文件的序列号、签名后的第一密文及第一密钥,生成授权请求,从而使得授权请求中,授权文件的序列号为明文,第一密文及第一密钥为密文,不仅能够提高数据安全性,还能够提高服务器处理的便利性。
在一种可能的实现方式中,所述根据所述授权文件及所述授权信息,对所述客户端进行授权,包括:根据所述授权文件中的服务器的公钥,对所述授权信息进行签名验证;在签名验证通过的情况下,根据所述客户端的私钥,对所述授权信息进行解密,得到授权数据,所述授权数据包括激活码;根据所述授权数据,对所述客户端进行授权。
在本公开实施例中,在对客户端进行授权时,可通过授权文件中的服务器的公钥,对授权信息进行签名验证,并在签名验证通过的情况下,根据客户端的私钥,对授权信息进行解密,得到授权数据,然后根据授权数据对客户端进行授权,从而使得客户端通过公私钥密码相结合的方式,对从服务器接收的授权信息进行认证及解密,减少向第三方(例如证书授权中心,Certificate Authority,简称CA)请求数字证书的过程,提高处理效率。
在一种可能的实现方式中,所述根据所述客户端的私钥,对所述授权信息进行解密,得到授权数据,包括:根据所述客户端的私钥,对所述授权信息中的第二密钥进行解密,得到第二加密算法的标识、第二数据密钥及第二初始化向量,所述第二加密算法为所述加密算法列表中的任意一种加密算法;根据所述第二加密算法、所述第二数据密钥及所述第二初始化向量,对所述授权信息中的第二密文进行解密,得到授权数据。
通过这种方式,能够从包括第二密钥及第二密文的授权信息中,快速得到用于对客户端进行授权的授权数据,从而提高处理效率。
在一种可能的实现方式中,所述根据所述授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥,包括:对所述授权文件的有效性进行验证;在验证通过的情况下,根据所述授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥。
在本公开实施例中,在授权过程中,客户端可对授权文件的有效性进行验证,并在验证通过的情况下,根据授权文件、第一加密算法及客户端的配置参数,生成第一密文及第一密钥,不仅可提高授权过程的可靠性,还可及早发现无效的授权文件,进而提高处理效率。
在一种可能的实现方式中,所述方法还包括:在接收到所述服务器发送的授权失败信息的情况下,显示所述授权失败信息。
在本公开实施例中,能够在授权失败的情况下,显示授权失败信息,以便于用户查看授权失败的原因。
在一种可能的实现方式中,所述客户端与所述服务器之间通过超文本传输协议HTTP进行数据传输。
根据本公开的一方面,提供了一种授权方法,所述方法应用于服务器,所述方法包括:在接收到客户端发送的软件开发工具包的授权请求时,根据所述授权请求中授权文件的序列号,判断所述授权文件是否满足授权条件,所述授权条件包括所述授权文件在有效期内且处于未吊销状态,所述授权请求包括所述授权文件的序列号、第一密文及第一密钥,所述第一密文包括所述客户端的配置参数;在所述授权文件满足所述授权条件的情况下,根据所述授权请求,生成授权信息,所述授权信息包括第二密文及第二密钥,所述第二密文包括授权数据;向所述客户端发送所述授权信息。
根据本公开的实施例,服务器在接收到客户端发送的授权请求时,可判断授权请求中的授权文件是否满足授权条件,在授权文件满足授权条件的情况下,根据授权请求,生成授权信息,并向客户端发送该授权信息,以使客户端根据该授权信息进行授权,从而能够通过对授权文件是否满足授权条件的判断,及时发现存在风险或过期的授权文件,提高服务器的处理效率,并在授权文件满足授权条件,生成并向客户端发送授权信息时,将密钥与授权数据(即密文)一起传输,不仅可在数据传输时实现一次一密,提高数据安全性,还可减少客户端与服务器的交互次数,提高数据传输效率。
在一种可能的实现方式中,所述根据所述授权请求,生成授权信息,包括:根据预设的客户端的公钥,对所述授权请求进行签名验证;在签名验证通过的情况下,根据所述授权请求,生成授权信息。
通过这种方式,服务器可对从客户端接收的授权请求进行签名验证,减少向第三方(例如证书授权中心,Certificate Authority,简称CA)请求数字证书的过程,从而可提高处理效率。
在一种可能的实现方式中,所述根据所述授权请求,生成授权信息,包括:根据预设的服务器的私钥,对所述授权请求进行解密,得到客户端的配置参数;根据客户端的配置参数,确定授权数据,所述授权数据包括激活码;根据第二加密算法、所述客户端的公钥及所述授权数据,生成第二密文及第二密钥,所述第二加密算法为预设的加密算法列表中的任意一种加密算法;根据所述服务器的私钥,对所述第二密文及所述第二密钥进行签名,生成授权信息。
在本公开实施例中,通过服务器的私钥,对授权请求进行解密,得到客户端的配置参数,并根据客户端的配置参数,确定包括激活码的授权数据,然后根据第二加密算法、客户端的公钥及授权数据,生成第二密文及第二密钥,并通过服务器的私钥,对第二密文及第二密钥进行签名,生成授权信息,从而可根据客户端的配置参数生成授权数据,提高授权数据的准确性,并在生成授权信息时,通过第二加密算法进行加密,通过第二私钥进行签名,可提高授权信息的安全性。
在一种可能的实现方式中,所述根据第二加密算法、所述客户端的公钥及所述授权数据,生成第二密文及第二密钥,包括:根据第二加密算法,确定第二数据密钥及第二初始化向量;根据所述第二加密算法、所述第二数据密钥及所述第二初始化向量,对所述授权数据进行加密,生成第二密文;根据所述客户端的公钥,对所述第二加密算法的标识、所述第二数据密钥及所述第二初始化向量进行加密,生成第二密钥。
在本公开实施例中,能够根据第二加密算法随机生成的第二数据密钥及第二初始化向量,通过第二加密算法,对授权数据进行加密,生成第二密文,并使用客户端的公钥,对第二加密算法的标识、第二数据密钥及第二初始化向量进行加密,生成第二密钥,从而使得服务器向客户端发送数据时,通过第二加密算法随机生成的数据密钥对数据(即授权数据)进行加密,并通过客户端的公钥对该数据密钥进行保护,实现数据传输过程中的一次一密,进而提高第二密文及第二密钥的安全性。
在一种可能的实现方式中,所述根据预设的服务器的私钥,对所述授权请求进行解密,得到客户端的配置参数,包括:根据所述服务器的私钥,对所述授权请求中的第一密钥进行解密,得到第一加密算法的标识、第一数据密钥及第一初始化向量;根据所述第一加密算法、所述第一数据密钥及所述第一初始化向量,对所述所述授权请求中的第一密文进行解密,得到客户端的配置参数。
通过这种方式,服务器可从授权请求中快速得到用于客户端的配置参数,从而可提高处理效率。
在一种可能的实现方式中,所述方法还包括:获取所述客户端的授权文件的使用信息;根据所述使用信息,确定所述授权文件的风险值;在所述风险值大于或等于预设的风险阈值的情况下,将所述授权文件的状态设置为吊销状态。
通过这种方式,服务器(即后台)可以实时吊销可能存在风险的授权文件,以减少非法客户端通过复用存在风险的授权文件得到合法授权的风险。
在一种可能的实现方式中,所述方法还包括:根据预设的第三密钥,对所述软件开发工具包的授权文件进行加密,得到加密后的授权文件,所述第三密钥位于所述软件开发工具包的预设组件中,所述授权文件包括序列号、客户端的私钥及服务器的公钥;通过离线方式,向所述客户端发送所述加密后的授权文件。
通过这种方式,不仅可将授权文件的加密与软件开发工具包的组件结合起来,还可通过离线方式向客户端下发加密后的授权文件,从而提高授权文件的安全性。
在一种可能的实现方式中,所述方法还包括:在所述授权文件不满足授权条件的情况下,或者在所述授权请求的签名验证未通过的情况下,向所述客户端发送授权失败信息。
通过这种方式,能够在授权文件不满足授权条件的情况下,或者在授权请求的签名验证未通过的情况下,向客户端发送授权失败信息,以使客户端显示该授权失败信息,便于用户查看。
根据本公开的一方面,提供了一种授权装置,所述装置应用于客户端,所述装置包括:第一生成模块,用于在所述客户端加载软件开发工具包的授权文件的情况下,根据所述授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥,所述授权文件包括序列号、客户端的私钥及服务器的公钥,所述第一加密算法为预设的加密算法列表中的任意一种加密算法;第二生成模块,用于根据所述授权文件、所述第一密文及所述第一密钥,生成授权请求;第一发送模块,用于向服务器发送所述授权请求;授权模块,用于在接收到所述服务器发送的授权信息的情况下,根据所述授权文件及所述授权信息,对所述客户端进行授权,以使所述客户端运行所述软件开发工具包,其中,所述授权信息包括第二密文及第二密钥,所述第二密文包括授权数据。
在一种可能的实现方式中,所述第一生成模块,包括:第一密钥确定子模块,用于在所述授权文件为加密文件的情况下,根据预设组件,确定第三密钥,所述预设组件包括所述软件开发工具包中的至少一个组件;第一解密子模块,用于根据所述第三密钥,对所述授权文件进行解密,得到解密后的授权文件;第一生成子模块,用于根据解密后的授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥。
在一种可能的实现方式中,所述第一生成模块,包括:第二密钥确定子模块,用于根据第一加密算法,确定第一数据密钥及第一初始化向量;第一加密子模块,用于根据所述第一加密算法、所述第一数据密钥及所述第一初始化向量,对所述客户端的配置参数进行加密,生成第一密文;第二加密子模块,用于根据所述授权文件中的服务器的公钥,对所述第一加密算法的标识、所述第一数据密钥及所述第一初始化向量进行加密,生成第一密钥。
在一种可能的实现方式中,所述第二生成模块,包括:第一签名子模块,用于根据所述客户端的私钥,对所述第一密文及所述第一密钥进行签名,得到签名后的第一密文及第一密钥;第二生成子模块,用于根据所述授权文件的序列号、签名后的第一密文及第一密钥,生成授权请求。
在一种可能的实现方式中,所述授权模块,包括:第一验证子模块,用于根据所述授权文件中的服务器的公钥,对所述授权信息进行签名验证;第二解密子模块,用于在签名验证通过的情况下,根据所述客户端的私钥,对所述授权信息进行解密,得到授权数据,所述授权数据包括激活码;授权子模块,用于根据所述授权数据,对所述客户端进行授权。
在一种可能的实现方式中,所述第二解密子模块,被配置为:根据所述客户端的私钥,对所述授权信息中的第二密钥进行解密,得到第二加密算法的标识、第二数据密钥及第二初始化向量,所述第二加密算法为所述加密算法列表中的任意一种加密算法;根据所述第二加密算法、所述第二数据密钥及所述第二初始化向量,对所述授权信息中的第二密文进行解密,得到授权数据。
在一种可能的实现方式中,所述第一生成模块,包括:第二验证子模块,用于对所述授权文件的有效性进行验证;第三生成子模块,用于在验证通过的情况下,根据所述授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥。
在一种可能的实现方式中,所述装置还包括:显示模块,用于在接收到所述服务器发送的授权失败信息的情况下,显示所述授权失败信息。
在一种可能的实现方式中,所述客户端与所述服务器之间通过超文本传输协议HTTP进行数据传输。
根据本公开的一方面,提供了一种授权装置,所述装置应用于服务器,所述装置包括:判断模块,用于在接收到客户端发送的软件开发工具包的授权请求时,根据所述授权请求中授权文件的序列号,判断所述授权文件是否满足授权条件,所述授权条件包括所述授权文件在有效期内且处于未吊销状态,所述授权请求包括所述授权文件的序列号、第一密文及第一密钥,所述第一密文包括所述客户端的配置参数;第三生成模块,用于在所述授权文件满足所述授权条件的情况下,根据所述授权请求,生成授权信息,所述授权信息包括第二密文及第二密钥,所述第二密文包括授权数据;第二发送模块,向所述客户端发送所述授权信息。
在一种可能的实现方式中,所述第三生成模块,包括:第三验证子模块,用于根据预设的客户端的公钥,对所述授权请求进行签名验证;第四生成子模块,用于在签名验证通过的情况下,根据所述授权请求,生成授权信息。
在一种可能的实现方式中,所述第三生成模块,包括:第三解码子模块,用于根据预设的服务器的私钥,对所述授权请求进行解密,得到客户端的配置参数;授权数据确定子模块,用于根据客户端的配置参数,确定授权数据,所述授权数据包括激活码;第五生成子模块,用于根据第二加密算法、所述客户端的公钥及所述授权数据,生成第二密文及第二密钥,所述第二加密算法为预设的加密算法列表中的任意一种加密算法;第六生成子模块,用于根据所述服务器的私钥,对所述第二密文及所述第二密钥进行签名,生成授权信息。
在一种可能的实现方式中,所述第五生成子模块,被配置为:根据第二加密算法,确定第二数据密钥及第二初始化向量;根据所述第二加密算法、所述第二数据密钥及所述第二初始化向量,对所述授权数据进行加密,生成第二密文;根据所述客户端的公钥,对所述第二加密算法的标识、所述第二数据密钥及所述第二初始化向量进行加密,生成第二密钥。
在一种可能的实现方式中,所述第三解码子模块,被配置为:根据所述服务器的私钥,对所述授权请求中的第一密钥进行解密,得到第一加密算法的标识、第一数据密钥及第一初始化向量;根据所述第一加密算法、所述第一数据密钥及所述第一初始化向量,对所述所述授权请求中的第一密文进行解密,得到客户端的配置参数。
在一种可能的实现方式中,所述装置还包括:使用信息获取模块,用于获取所述客户端的授权文件的使用信息;风险值确定模块,用于根据所述使用信息,确定所述授权文件的风险值;吊销状态确定模块,用于在所述风险值大于或等于预设的风险阈值的情况下,将所述授权文件的状态设置为吊销状态。
在一种可能的实现方式中,所述装置还包括:加密模块,用于根据预设的第三密钥,对所述软件开发工具包的授权文件进行加密,得到加密后的授权文件,所述第三密钥位于所述软件开发工具包的预设组件中,所述授权文件包括序列号、客户端的私钥及服务器的公钥;第三发送模块,用于通过离线方式,向所述客户端发送所述加密后的授权文件。
在一种可能的实现方式中,所述装置还包括:第四发送模块,用于在所述授权文件不满足授权条件的情况下,或者在所述授权请求的签名验证未通过的情况下,向所述客户端发送授权失败信息。
根据本公开的一方面,提供了一种电子设备,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为调用所述存储器存储的指令,以执行上述方法。
根据本公开的一方面,提供了一种计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现上述方法。
根据本公开的实施例,在客户端加载软件开发工具包的授权文件的情况下,可根据授权文件、第一加密算法及客户端的配置参数,生成第一密文及第一密钥,并根据授权文件、第一密文及第一密钥,生成授权请求,并向服务器发送该授权请求;在客户端收到服务器发送的授权信息的情况下,可根据授权文件及授权信息,对客户端进行授权,以使客户端运行所述软件开发工具包,从而能够在客户端的软件开发工具包的授权过程中,在客户端向服务器发送数据时,使用从加密算法列表中随机选择加密算法对数据进行加密,并将密钥与密文一起传输,不仅可在数据传输时实现一次一密,提高数据安全性,还可减少客户端与服务器的交互次数,提高数据传输效率;在客户端接收到服务器发送的授权信息时,根据授权文件及授权信息进行授权,还可减少向第三方(例如证书授权中心,CertificateAuthority,简称CA)请求数字证书的过程,进而提高处理效率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,而非限制本公开。根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,这些附图示出了符合本公开的实施例,并与说明书一起用于说明本公开的技术方案。
图1示出根据本公开实施例的授权方法的应用场景的示意图。
图2示出根据本公开实施例的授权方法的流程图。
图3示出根据本公开实施例的授权方法的流程图。
图4示出根据本公开实施例的授权方法的处理过程的示意图。
图5示出根据本公开实施例的授权装置的框图。
图6示出根据本公开实施例的授权装置的框图。
图7示出根据本公开实施例的一种电子设备的框图。
图8示出根据本公开实施例的一种电子设备的框图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
另外,为了更好地说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
目前,在不可靠网络环境下,例如,在HTTPS服务受限、HTTPS服务不可用或网络稳定性较差的情况下,为了提高数据安全性,在数据传输时,通常采用在线动态协商密钥的方式,但该方式需要进行多次交互,效率较低;还可采用预分发密钥的方式,但该方式可能存在客户端与服务器相互认证能力不足、密钥重复使用等问题。此外,预分发密钥还可能带来软件兼容性问题,维护成本较高。
例如,对于以软件开发工具包(Software Development Kit,SDK)形式出售的软件产品,在使用预分发密钥时,密钥通常以硬编码(Hard Code)的方式写入软件产品中,无法进行密钥更新,且一旦密钥泄露,可能会导致软件产品的某一版本的安全性丧失,而通过版本升级来更新密钥,会导致软件产品无法向后兼容,从而使得多版本的软件产品的兼容性较差,增加维护成本。
为了解决上述技术问题,本公开提出了一种授权方法。本公开的实施例所述的授权方法,能够在不可靠网络环境下,在客户端与服务器进行数据传输时,通过公钥与私钥相结合的一次一密的加密及认证方式,将密钥与数据一起传输,不仅可减少数据传输过程中的交互次数,提高效率,还可提高数据传输及认证的安全性。
在一种可能的实现方式中,本公开实施例所述的授权方法可应用于客户端及与客户端连接的服务器。其中,客户端包括终端设备,终端设备可以为用户设备(UserEquipment,UE)、移动设备、用户终端、终端、蜂窝电话、无绳电话、个人数字助理(PersonalDigital Assistant,PDA)、手持设备、计算设备、车载设备、可穿戴设备等。所述授权方法可以通过处理器调用存储器中存储的计算机可读指令的方式来实现。
图1示出根据本公开实施例的授权方法的应用场景的示意图。如图1所示,所述授权方法应用于客户端100及服务器200,客户端100与服务器200通过网络连接。客户端100安装软件开发工具包后,可通过网络向服务器200发送授权请求,服务器200接收到客户端100发送的授权请求并认证通过后,向客户端100发送授权信息(包括激活码),以使客户端100根据接收的授权信息对软件开发工具包进行授权激活。
在一种可能的实现方式中,客户端100与服务器200之间可通过超文本传输协议HTTP(Hyper Text Transfer Protocol)进行数据传输。在数据传输时,可采用非对称加密的方式。客户端保存客户端的私钥及服务器的公钥,服务器保存客户端的公钥及服务器的私钥。
图2示出根据本公开实施例的授权方法的流程图。如图2所示,所述授权方法应用于客户端100,所述授权方法包括:
步骤S21,在所述客户端加载软件开发工具包的授权文件的情况下,根据所述授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥,所述授权文件包括序列号、客户端的私钥及服务器的公钥,所述第一加密算法为预设的加密算法列表中的任意一种加密算法;
步骤S22,根据所述授权文件、所述第一密文及所述第一密钥,生成授权请求;
步骤S23,向服务器发送所述授权请求;
步骤S24,在接收到所述服务器发送的授权信息的情况下,根据所述授权文件及所述授权信息,对所述客户端进行授权,以使所述客户端运行所述软件开发工具包,其中,所述授权信息包括第二密文及第二密钥,所述第二密文包括授权数据。
在一种可能的实现方式中,所述软件开发工具包可包括用于为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件时的开发工具的集合。在运行环境、应用场景、适用的编程语言等不同的情况下,软件开发工具包可能不同。
例如,运行在安卓系统(Android)上的SDK,可能不同于运行在苹果系统(Mac OSX)上的SDK;应用场景为人工智能软件开发的SDK,可能不同于应用场景为驱动程序开发的SDK;适用于C语言的SDK,可能不同于适用于Java语言的SDK。需要说明的是,本公开对SDK的具体类型、版本等不作限制。
在一种可能的实现方式中,每个软件开发工具包均有对应的授权文件,用于对软件开发工具包进行授权激活。可通过光盘、U盘等离线或带外方式,从服务器获取软件开发工具包的授权文件,以提高授权文件的安全性。软件开发工具包的安装文件及授权文件可同时获取,也可分别获取,本公开对此不作限制。
获取软件开发工具包的安装文件及授权文件后,可在客户端运行该安装文件,安装软件开发工具包。安装完成后,软件开发工具包处于未授权或未激活的状态。可在客户端加载软件开发工具包的授权文件,对其进行授权激活,以使软件开发工具包处于已激活或已授权的状态,便于用户使用。其中,授权文件在有效期内且处于未吊销状态时,可重复使用。
在一种可能的实现方式中,客户端还可在卸载并重新安装软件开发工具包后,或者在软件开发工具包的授权数据(例如激活码等)丢失或损坏等情况下,加载软件开发工具包的授权文件,以进行授权激活。需要说明的是,本公开对客户端加载软件开发工具包的授权文件的具体时机不作限制。
在一种可能的实现方式中,在客户端加载软件开发工具包的授权文件的情况下,可在步骤S21中,根据所述授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥,所述授权文件包括序列号、客户端的私钥及服务器的公钥,所述第一加密算法包括预设的加密算法列表中的任意一种加密算法。
其中,客户端的配置参数用于指示客户端的环境特征。客户端的配置参数可包括客户端的操作系统的序列号或识别号、硬件设备编号(例如主板编号)、媒体存取控制地址(Media Access Control Address,MAC地址)等。其中,MAC地址也称为客户端的物理地址,可用于在网络中对网络设备进行唯一标识。需要说明的是,本领域技术人员可根据实际情况确定客户端的配置参数的具体内容,本公开对此不作限制。
在一种可能的实现方式中,客户端及服务器均可支持多种对称加密算法。可根据客户端及服务器支持的多种对称加密算法,建立加密算法列表。
在一种可能的实现方式中,在客户端加载软件开发工具包的授权文件的情况下,客户端可从加密算法列表中随机选取一个加密算法,作为第一加密算法,并获取客户端的配置参数,然后根据授权文件、第一加密算法及客户端的配置参数,生成第一密文及第一密钥。其中,授权文件可包括序列号、客户端的私钥及服务器的公钥。
例如,可使用第一加密算法,对客户端的配置参数进行加密,得到第一密文;可使用授权文件中的服务器的公钥,对第一加密算法的标识及密钥等进行加密,得到第一密钥。
在一种可能的实现方式中,可在步骤S22中,根据所述授权文件、所述第一密文及所述第一密钥,生成授权请求。例如,可使用授权文件中的客户端的私钥,对需要发送给服务器的数据,包括授权文件的序列号、第一密文、第一密钥等,进行签名,生成授权请求。然后可在步骤S23中,向服务器发送所述授权请求。
在一种可能的实现方式中,客户端在接收到服务器发送的授权信息的情况下,可在步骤S24中,根据所述授权文件及所述授权信息,对所述客户端进行授权,以使所述客户端运行所述软件开发工具包,其中,所述授权信息包括第二密文及第二密钥,所述第二密文包括授权数据。
也就是说,在客户端收到服务器发送的授权信息的情况下,可根据授权文件,对包括第二密文及第二密钥的授权信息进行认证及解密,得到授权数据,并根据该授权数据,对客户端进行授权激活,以使客户端运行已授权或已激活的软件开发工具包。
根据本公开的实施例,在客户端加载软件开发工具包的授权文件的情况下,可根据授权文件、第一加密算法及客户端的配置参数,生成第一密文及第一密钥,并根据授权文件、第一密文及第一密钥,生成授权请求,并向服务器发送该授权请求;在客户端收到服务器发送的授权信息的情况下,可根据授权文件及授权信息,对客户端进行授权,以使客户端运行所述软件开发工具包,从而能够在客户端的软件开发工具包的授权过程中,在客户端向服务器发送数据时,使用从加密算法列表中随机选择加密算法对数据进行加密,并将密钥与密文一起传输,不仅可在数据传输时实现一次一密,提高数据安全性,还可减少客户端与服务器的交互次数,提高数据传输效率;在客户端接收到服务器发送的授权信息时,根据授权文件及授权信息进行授权,还可减少向第三方(例如证书授权中心,CertificateAuthority,简称CA)请求数字证书的过程,进而提高处理效率。
在一种可能的实现方式中,步骤S21可包括:对所述授权文件的有效性进行验证;在验证通过的情况下,根据所述授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥。
也就是说,在客户端加载软件开发工具包的授权文件的情况下,可首先验证授权文件的有效性。例如,客户端可验证加载的授权文件是否在有效期内、加载的授权文件是否为软件开发工具包的授权文件等。本公开对授权文件的有效性验证的验证内容及验证方式不作限制。
在一种可能的实现方式中,在授权文件的有效性验证通过的情况下,可根据授权文件、第一加密算法及客户端的配置参数,生成第一密文及第一密钥。在授权文件的有效性验证失败(即未通过)的情况下,可向用户提示授权文件的有效性校验失败,进而结束授权过程。
根据本公开的实施例,在授权过程中,客户端可对授权文件的有效性进行验证,并在验证通过的情况下,根据授权文件、第一加密算法及客户端的配置参数,生成第一密文及第一密钥,不仅可提高授权过程的可靠性,还可及早发现无效的授权文件,进而提高处理效率。
在一种可能的实现方式中,步骤S21可包括:在所述授权文件为加密文件的情况下,根据预设组件,确定第三密钥,所述预设组件包括所述软件开发工具包中的至少一个组件;根据所述第三密钥,对所述授权文件进行解密,得到解密后的授权文件;根据解密后的授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥。
在一种可能的实现方式中,在授权文件为加密文件时,可根据预设组件,例如软件开发工具包中的至少一个组件,确定用于对授权文件进行解密的第三密钥。例如,第三密钥可位于软件开发工具包的预设组件中,可对该预设组件中的预设字段进行解密、信息提取等处理,得到第三密钥。
可根据确定出的第三密钥,对授权文件进行解密,得到解密后的授权文件,即得到解密后的授权文件的序列号、客户端的第一密钥及服务器的公钥。可根据解密后的授权文件、第一加密算法及客户端的配置参数,生成第一密文及第一密钥。
根据本公开的实施例,在授权文件为加密文件的情况下,客户端可根据软件开发工具包中的至少一个组件,确定第三密钥,并根据第三密钥,对授权文件进行解密,得到解密后的授权文件,然后根据解密后的授权文件、第一加密算法及客户端的配置参数,生成第一密文及第一密钥,从而可将授权文件的解密过程与软件开发工具包的特定组件相结合,提高授权文件的安全性及可靠性。
在一种可能的实现方式中,步骤S21可包括:根据第一加密算法,确定第一数据密钥及第一初始化向量;根据所述第一加密算法、所述第一数据密钥及所述第一初始化向量,对所述客户端的配置参数进行加密,生成第一密文;根据所述授权文件中的服务器的公钥,对所述第一加密算法的标识、所述第一数据密钥及所述第一初始化向量进行加密,生成第一密钥。
在一种可能的实现方式中,在生成第一密文及第一密钥时,可根据第一加密算法,确定第一数据密钥及第一初始化向量。例如,客户端可从加密算法列表中随机选取一个对称加密算法,作为第一加密算法,并根据该第一加密算法,随机生成对称加密密钥,该对称加密密钥包括第一数据密钥(即数据加密密钥DEK,Data Encryption Key)及第一初始化向量(Initialization Vector,IV)。
确定第一数据密钥及第一初始化向量后,可使用第一加密算法、第一数据密钥及第一初始化向量,对客户端的配置参数进行加密,生成第一密文,并使用授权文件中的服务器的公钥,对第一加密算法的标识(例如第一加密算法的ID)、第一数据密钥及第一初始化向量进行加密,生成第一密钥。
根据本公开的实施例,能够使用第一加密算法随机生成的第一数据密钥及第一初始化向量,对客户端的配置参数进行加密,生成第一密文,并使用服务器的公钥,对第一加密算法的标识、第一数据密钥及第一初始化向量进行加密,生成第一密钥,从而使得客户端向服务器发送数据时,通过第一加密算法随机生成的数据密钥对数据(客户端的配置参数)进行加密,并通过服务器的公钥对该数据密钥进行保护,实现数据传输过程中的一次一密,进而提高第一密文及第一密钥的安全性。
在一种可能的实现方式中,步骤S22可包括:根据所述客户端的私钥,对所述第一密文及所述第一密钥进行签名,得到签名后的第一密文及第一密钥;根据所述授权文件的序列号、签名后的第一密文及第一密钥,生成授权请求。
也就是说,在生成授权请求时,可使用客户端的私钥,对第一密文及第一密钥进行签名,得到签名后的第一密文及第一密钥,然后将授权文件的序列号存储在授权请求的明文域,将签名后的第一密文及第一密钥存储在授权请求的密文域,并结合授权请求的包头、校验码等其他信息,生成授权请求。
根据本公开的实施例,通过客户端的私钥,对第一密文及第一密钥进行签名,得到签名后的第一密文及第一密钥,并根据授权文件的序列号、签名后的第一密文及第一密钥,生成授权请求,从而使得授权请求中,授权文件的序列号为明文,第一密文及第一密钥为密文,不仅能够提高数据安全性,还能够提高服务器处理的便利性。
在一种可能的实现方式中,步骤S24可包括:根据所述授权文件中的服务器的公钥,对所述授权信息进行签名验证;在签名验证通过的情况下,根据所述客户端的私钥,对所述授权信息进行解密,得到授权数据,所述授权数据包括激活码;根据所述授权数据,对所述客户端进行授权。
客户端接收到服务器发送的授权信息时,可根据授权文件中的服务器的公钥,对授权信息进行签名验证,即对服务器进行认证。在签名验证通过的情况下,可根据客户端的私钥,对授权信息进行解密,得到授权数据。授权数据可包括激活码,还可包括服务器发送的其他数据,例如,服务器根据客户端的配置参数生成的与授权相关的其他数据。
在得到授权数据后,可根据该授权数据,对客户端进行授权,完成客户端软件开发工具包的激活,从而可在客户端运行该软件开发工具包。
在一种可能的实现方式中,在授权信息的签名验证失败的情况下,可丢弃该授权信息,并向用户提示授权失败,进而结束授权过程。
根据本公开的实施例,在对客户端进行授权时,可通过授权文件中的服务器的公钥,对授权信息进行签名验证,并在签名验证通过的情况下,根据客户端的私钥,对授权信息进行解密,得到授权数据,然后根据授权数据对客户端进行授权,从而使得客户端通过公私钥密码相结合的方式,对从服务器接收的授权信息进行认证及解密,减少向第三方(例如证书授权中心,Certificate Authority,简称CA)请求数字证书的过程,提高处理效率。
在一种可能的实现方式中,所述根据所述客户端的私钥,对所述授权信息进行解密,得到授权数据,包括:根据所述客户端的私钥,对所述授权信息中的第二密钥进行解密,得到第二加密算法的标识、第二数据密钥及第二初始化向量,所述第二加密算法为所述加密算法列表中的任意一种加密算法;根据所述第二加密算法、所述第二数据密钥及所述第二初始化向量,对所述授权信息中的第二密文进行解密,得到授权数据。
也就是说,在对授权信息进行解密时,可首先根据客户端的私钥,对授权信息中的第二密钥进行解密,得到第二加密算法的标识、第二数据密钥及第二初始化向量,其中,第二加密算法为服务器从预设的加密算法列表中随机选取的一种加密算法,第二加密算法可以与第一加密算法不同,第二加密算法也可以与第一加密算法不同;然后可根据第二加密算法的标识,从加密算法列表中确定第二加密算法,并根据第二加密算法、第二数据密钥及第二初始化向量,对授权信息中的第二密文进行解密,得到授权数据。
通过这种方式,能够从包括第二密钥及第二密文的授权信息中,快速得到用于对客户端进行授权的授权数据,从而提高处理效率。
在一种可能的实现方式中,所述方法还包括:在接收到所述服务器发送的授权失败信息的情况下,显示所述授权失败信息。
在一种可能的实现方式中,在服务器判断客户端发送的授权请求中的授权文件不满足授权条件(授权文件在有效期内且处于未吊销状态)的情况下,服务器会向客户端发送授权失败信息,该授权失败信息至少包括授权失败的原因。
客户端在接收到服务器发送的授权失败信息的情况下,可结束授权过程,并通过弹出对话框等方式,显示该授权失败信息,以便用户查看授权失败的原因。
图3示出根据本公开实施例的授权方法的流程图。如图3所示,所述授权方法应用于服务器200,所述授权方法包括:
步骤S31,在接收到客户端发送的软件开发工具包的授权请求时,根据所述授权请求中授权文件的序列号,判断所述授权文件是否满足授权条件,所述授权条件包括所述授权文件在有效期内且处于未吊销状态,所述授权请求包括所述授权文件的序列号、第一密文及第一密钥,所述第一密文包括所述客户端的配置参数;
步骤S32,在所述授权文件满足所述授权条件的情况下,根据所述授权请求,生成授权信息,所述授权信息包括第二密文及第二密钥,所述第二密文包括授权数据;
步骤S33,向所述客户端发送所述授权信息。
在一种可能的实现方式中,服务器上可存储已出售的各个软件开发工具包的授权文件的状态及有效期。授权文件的状态可包括未吊销状态及吊销状态,其中,未吊销状态为各个授权文件的初始状态。
服务器可根据用户对授权文件的反馈信息、授权文件的使用信息、预设网络平台上各个授权文件的分享次数等信息,来确定各个授权文件的状态。例如,假设一个授权文件在预设网络平台上的分享次数超过10次,可认为该授权文件存在风险,可对该授权文件进行吊销处理,其状态由未吊销状态变更为吊销状态。
在一种可能的实现方式中,服务器可通过下述方式来确定客户端的授权文件的状态:获取所述客户端的授权文件的使用信息;根据所述使用信息,确定所述授权文件的风险值;在所述风险值大于或等于预设的风险阈值的情况下,将所述授权文件的状态设置为吊销状态。
确定授权文件的状态时,服务器可通过监控、跟踪等方式,获取客户端的授权文件的使用信息,该使用信息可包括授权文件的使用次数、使用该授权文件的网络设备标识、使用该授权文件的网络设备所属的区域等。本领域技术人员可根据实际情况设置使用信息的具体内容,本公开对此不作限制。
获取使用信息后,服务器可根据该使用信息,确定授权文件的风险值,并将授权文件的风险值与预设的风险阈值进行比较。在授权文件的风险值大于或等于风险阈值的情况下,可将该授权文件的状态设置为吊销状态。
通过这种方式,服务器(即后台)可以实时吊销可能存在风险的授权文件,以减少非法客户端通过复用存在风险的授权文件得到合法授权的风险。
在一种可能的实现方式中,在服务器接收到客户端发送的软件开发工具包的授权请求时,可在步骤S31中,根据授权请求中授权文件的序列号,查找服务器上存储的授权文件的状态及有效期,并判断授权文件是否满足授权条件,其中,授权条件包括授权文件在有效期内且处于未吊销状态。
在授权文件满足授权条件的情况下,可在步骤S32中,根据接收到的授权请求,生成授权信息,其中,授权信息可包括第二密文及第二密钥,第二密文可包括授权数据(例如激活码等),然后在步骤S33中,向客户端发送该授权信息。
根据本公开的实施例,服务器在接收到客户端发送的授权请求时,可判断授权请求中的授权文件是否满足授权条件,在授权文件满足授权条件的情况下,根据授权请求,生成授权信息,并向客户端发送该授权信息,以使客户端根据该授权信息进行授权,从而能够通过对授权文件是否满足授权条件的判断,及时发现存在风险或过期的授权文件,提高服务器的处理效率,并在授权文件满足授权条件,生成并向客户端发送授权信息时,将密钥与授权数据(即密文)一起传输,不仅可在数据传输时实现一次一密,提高数据安全性,还可减少客户端与服务器的交互次数,提高数据传输效率。
在一种可能的实现方式中,步骤S32可包括:根据预设的客户端的公钥,对所述授权请求进行签名验证;在签名验证通过的情况下,根据所述授权请求,生成授权信息。
也就是说,在授权请求中的授权文件满足授权条件的情况下,服务器根据该授权请求,生成授权信息时,可首先根据预设的客户端的公钥,对该授权请求进行签名验证。在授权请求签名验证通过的情况下,可根据该授权请求,生成授权信息。
在授权请求的签名验证未通过的情况下,服务器可向客户端发送授权失败信息,该授权失败信息至少包括授权失败的原因(例如,非法授权请求),并结束授权过程。
通过这种方式,服务器可对从客户端接收的授权请求进行签名验证,减少向第三方(例如证书授权中心,Certificate Authority,简称CA)请求数字证书的过程,从而可提高处理效率。
在一种可能的实现方式中,所述根据所述授权请求,生成授权信息,可包括:根据预设的服务器的私钥,对所述授权请求进行解密,得到客户端的配置参数;根据客户端的配置参数,确定授权数据,所述授权数据包括激活码;根据第二加密算法、所述客户端的公钥及所述授权数据,生成第二密文及第二密钥,所述第二加密算法为预设的加密算法列表中的任意一种加密算法;根据所述服务器的私钥,对所述第二密文及所述第二密钥进行签名,生成授权信息。
在一种可能的实现方式中,生成授权信息时,可首先根据服务器的私钥,对授权请求解密,得到客户端的配置参数,客户端的配置参数可用于表示客户端的环境特征信息,客户端的配置参数可包括客户端的操作系统的序列号或识别号、硬件设备编号(例如主板编号)、媒体存取控制地址(即MAC地址,Media Access Control Address)等;然后可根据客户端的配置参数,确定授权数据,该授权数据包括激活码,还可包括服务器根据客户端的配置参数生成的与授权相关的其他数据。
得到授权数据后,服务器可从预设的加密算法列表中随机选取一个加密算法,作为第二加密算法,其中,预设的加密算法列表中包括客户端及服务器支持的多种对称加密算法。服务器可根据第二加密算法、客户端的公钥及授权数据,生成第二密文及第二密钥,也就是说,服务器可分别对需要发送给客户端的授权数据及需要发送给客户端的密钥相关信息(例如第二加密算法的标识、密钥等)进行加密,得到第二密文及第二密钥;之后可通过服务器的私钥,对第二密文及第二密钥进行签名,生成授权信息。
根据本公开的实施例,通过服务器的私钥,对授权请求进行解密,得到客户端的配置参数,并根据客户端的配置参数,确定包括激活码的授权数据,然后根据第二加密算法、客户端的公钥及授权数据,生成第二密文及第二密钥,并通过服务器的私钥,对第二密文及第二密钥进行签名,生成授权信息,从而可根据客户端的配置参数生成授权数据,提高授权数据的准确性,并在生成授权信息时,通过第二加密算法进行加密,通过第二私钥进行签名,可提高授权信息的安全性。
在一种可能的实现方式中,所述根据预设的服务器的私钥,对所述授权请求进行解密,得到客户端的配置参数,包括:根据所述服务器的私钥,对所述授权请求中的第一密钥进行解密,得到第一加密算法的标识、第一数据密钥及第一初始化向量;根据所述第一加密算法、所述第一数据密钥及所述第一初始化向量,对所述授权请求中的第一密文进行解密,得到客户端的配置参数。
服务器从客户端接收的授权请求包括授权文件的序列号、第一密文及第一密钥,其中,授权文件的序列号位于授权请求的明文域,第一密文及第一密钥位于授权请求的密文域。服务器在对授权请求进行解密时,可首先使用服务器的私钥,对授权请求中的第一密钥进行解密,得到第一加密算法的标识、第一数据密钥及第一初始化向量;然后可根据第一加密算法的标识,从加密算法列表中确定第一加密算法,并根据第一加密算法、第一数据密码及第一初始化向量,对授权请求中的第一密文进行解密,得到客户端的配置参数。
通过这种方式,服务器可从授权请求中快速得到用于客户端的配置参数,从而可提高处理效率。
在一种可能的实现方式中,所述根据第二加密算法、所述客户端的公钥及所述授权数据,生成第二密文及第二密钥,包括:根据第二加密算法,确定第二数据密钥及第二初始化向量;根据所述第二加密算法、所述第二数据密钥及所述第二初始化向量,对所述授权数据进行加密,生成第二密文;根据所述客户端的公钥,对所述第二加密算法的标识、所述第二数据密钥及所述第二初始化向量进行加密,生成第二密钥。
在一种可能的实现方式中,在生成第二密文及第二密钥时,服务器可根据第二加密算法,确定第二数据密钥及第二初始化向量,例如,服务器可从加密算法列表中随机选取一个对称加密算法,作为第二加密算法,并根据该第二加密算法,随机生成对称加密密钥,该对称加密密钥包括第二数据密钥及第二初始化向量。
确定第二数据密钥及第二初始化向量后,可根据第二数据密钥、第二初始化向量,通过第二加密算法对授权数据进行加密,生成第二密文;同时可根据客户端的公钥,对第二加密算法的标识、所述第二数据密钥及所述第二初始化向量进行加密,生成第二密钥。
根据本公开的实施例,可根据第二加密算法随机生成的第二数据密钥及第二初始化向量,通过第二加密算法,对授权数据进行加密,生成第二密文,并使用客户端的公钥,对第二加密算法的标识、第二数据密钥及第二初始化向量进行加密,生成第二密钥,从而使得服务器向客户端发送数据时,通过第二加密算法随机生成的数据密钥对数据(即授权数据)进行加密,并通过客户端的公钥对该数据密钥进行保护,实现数据传输过程中的一次一密,进而提高第二密文及第二密钥的安全性。
在一种可能的实现方式中,所述方法还包括:根据预设的第三密钥,对所述软件开发工具包的授权文件进行加密,得到加密后的授权文件,所述第三密钥位于所述软件开发工具包的预设组件中,所述授权文件包括序列号、客户端的私钥及服务器的公钥;通过离线方式,向所述客户端发送所述加密后的授权文件。
在一种可能的实现方式中,在生成软件开发工具包的授权文件时,服务器可将预设的、用于对授权文件进行加密的第三密钥,存储在软件开发工具包的预设组件中,预设组件可以为一个或多个,可根据实际情况进行设置;然后可根据第三密钥,对授权文件进行加密,得到加密后的授权文件,并通过离线方式,例如光盘、U盘、移动硬盘等方式,向客户端发送加密后的授权文件。
通过这种方式,不仅可将授权文件的加密与软件开发工具包的组件结合起来,还可通过离线方式向客户端下发加密后的授权文件,从而提高授权文件的安全性。
在一种可能的实现方式中,所述方法还可包括:在所述授权文件不满足授权条件的情况下,或者在所述授权请求的签名验证未通过的情况下,向所述客户端发送授权失败信息。
在一种可能的实现方式中,在服务器判断从客户端接收的授权请求中的授权文本不满足授权条件的情况下,服务器可认为该授权文件过期和/或为吊销状态,为非法授权文件,可结束授权过程,并向客户端发送授权失败信息,该授权失败信息至少包括授权失败的原因,例如授权文件过期、授权文件被吊销等,以使客户端显示该授权失败信息,便于用户查看。
在一种可能的实现方式中,在客户端发送的授权请求的签名验证未通过的情况下,服务器可结束授权过程,并向客户端发送授权失败信息,该授权失败信息至少包括授权失败的原因,例如非法授权请求,以使客户端显示该授权失败信息,便于用户查看。
图4示出根据本公开实施例的授权方法的处理过程的示意图。如图4所示,客户端安装软件开发工具包后,在授权激活时,可在步骤S401中,加载软件开发工具包的授权文件(包括序列号、客户端的私钥及服务器的公钥),并在步骤S402中对授权文件的有效性进行验证。在授权文件无效的情况下,结束授权过程。
在授权文件有效的情况下,可在步骤S403中,根据软件开发工具包中的预设组件,对授权文件进行解密,得到解密后的授权文件,在步骤S404中,从预设的加密算法列表(包括多个对称加密算法)中,随机选取一个加密算法,作为第一加密算法,在步骤S405中,根据授权文件中的服务器的公钥、第一加密算法及客户端的配置参数,生成第一密文及第一密钥,在步骤S406中,根据授权文件中的客户端的私钥,对第一密文及第一密钥进行签名,得到签名后的第一密文及第一密钥,并根据授权文件的序列号、签名后的第一密文及第一密钥,生成授权请求,并将该授权请求发送给服务器。
服务器可在步骤S407中接收客户端发送的授权请求,并在步骤S408中判断授权请求是否满足授权条件,授权条件包括所述授权文件在有效期内且处于未吊销状态。在授权请求不满足授权条件的情况下,结束授权过程。
在授权请求满足授权条件的情况下,在步骤S409中,根据客户端的公钥,对授权请求进行签名验证。在授权请求的签名验证未通过的情况下,结束授权过程。
在授权请求的签名验证通过的情况下,在步骤S410中,根据服务器的私钥,对授权请求进行解密,得到客户端的配置参数,在步骤S411中,根据客户端的配置参数,生成授权数据,在步骤S412中,从预设的加密算法列表中,随机选取一个加密算法,作为第二加密算法,在步骤S413中,根据第二加密算法、客户端的公钥及授权数据,生成第二密文及第二密钥,在步骤S414中,根据服务器的私钥,对第二密文及第二密钥进行签名,生成授权信息,并将该授权信息发送给客户端。
客户端可在步骤S415中,接收服务器发送的授权信息,并在步骤S416中,根据授权文件中的服务器的公钥,对该授权信息进行签名验证。在授权信息的签名验证未通过的情况下,结束授权过程。
在授权信息的签名验证通过的情况下,在步骤S417中,根据客户端的私钥,对授权信息进行解密,得到授权数据,该授权数据包括激活码,并根据该授权数据,对客户端进行授权,从而完成客户端的授权激活。
根据本公开的实施例,本公开所述的授权方法可在不可靠网络下,通过将软件开发工具包的授权文件的解密与软件开发工具包中的预设组件相结合,并通过在授权文件中分发公钥,在每次客户端与服务器通信时由客户端随机生成对称密钥加密通信数据并使用公钥保护对称密钥,实现了一次一密,通过公私钥相结合的方式进行签名认证,不仅可提高数据传输的安全性,还可减少向第三方请求数字证书的过程,提高处理效率。
此外,针对可能出现的授权文件中的密钥泄露的场景,可采用在服务器端吊销授权文件的方式对发生泄露的密钥进行吊销,并通过离线或带外的方式向客户发放新的授权文件完成密钥的更新。
本公开的实施例所述的授权方法,可应用于商汤增强现实开发者平台(SenseAR开发者平台)的产品授权,该产品以软件开发工具包(即SDK)的形式提供给客户。在客户端的HTTPS服务不可用(例如由于客户本地的计算机环境问题导致HTTPS服务异常),而可以通过HTTP方式访问SenseAR开发者平台的授权(License)服务时,可通过上述授权方法,对客户端的产品进行授权,从而可提高SenseAR开发者平台的产品的可用性。
在一种可能的实现方式中,可通过下述方式对本公开实施例所述的授权方法中的一次一密方式进行验证:可使用HTTP的方式调用授权服务接口,并通过抓包工具进行抓包,然后对抓取的数据进行解析,可以看到其中的应用数据是加密数据;发送同样的授权请求,再次抓包,服务器每次响应的数据都不同,就可以确认是采用本公开实施例所述的一次一密方式。
可以理解,本公开提及的上述各个方法实施例,在不违背原理逻辑的情况下,均可以彼此相互结合形成结合后的实施例,限于篇幅,本公开不再赘述。本领域技术人员可以理解,在具体实施方式的上述方法中,各步骤的具体执行顺序应当以其功能和可能的内在逻辑确定。
此外,本公开还提供了授权装置、电子设备、计算机可读存储介质、程序,上述均可用来实现本公开提供的任一种授权方法,相应技术方案和描述和参见方法部分的相应记载,不再赘述。
图5示出根据本公开实施例的授权装置的框图。如图5所示,所述装置应用于客户端,所述装置包括:
第一生成模块51,用于在所述客户端加载软件开发工具包的授权文件的情况下,根据所述授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥,所述授权文件包括序列号、客户端的私钥及服务器的公钥,所述第一加密算法为预设的加密算法列表中的任意一种加密算法;
第二生成模块52,用于根据所述授权文件、所述第一密文及所述第一密钥,生成授权请求;
第一发送模块53,用于向服务器发送所述授权请求;
授权模块54,用于在接收到所述服务器发送的授权信息的情况下,根据所述授权文件及所述授权信息,对所述客户端进行授权,以使所述客户端运行所述软件开发工具包,其中,所述授权信息包括第二密文及第二密钥,所述第二密文包括授权数据。
在一种可能的实现方式中,所述第一生成模块51,包括:第一密钥确定子模块,用于在所述授权文件为加密文件的情况下,根据预设组件,确定第三密钥,所述预设组件包括所述软件开发工具包中的至少一个组件;第一解密子模块,用于根据所述第三密钥,对所述授权文件进行解密,得到解密后的授权文件;第一生成子模块,用于根据解密后的授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥。
在一种可能的实现方式中,所述第一生成模块51,包括:第二密钥确定子模块,用于根据第一加密算法,确定第一数据密钥及第一初始化向量;第一加密子模块,用于根据所述第一加密算法、所述第一数据密钥及所述第一初始化向量,对所述客户端的配置参数进行加密,生成第一密文;第二加密子模块,用于根据所述授权文件中的服务器的公钥,对所述第一加密算法的标识、所述第一数据密钥及所述第一初始化向量进行加密,生成第一密钥。
在一种可能的实现方式中,所述第二生成模块52,包括:第一签名子模块,用于根据所述客户端的私钥,对所述第一密文及所述第一密钥进行签名,得到签名后的第一密文及第一密钥;第二生成子模块,用于根据所述授权文件的序列号、签名后的第一密文及第一密钥,生成授权请求。
在一种可能的实现方式中,所述授权模块54,包括:第一验证子模块,用于根据所述授权文件中的服务器的公钥,对所述授权信息进行签名验证;第二解密子模块,用于在签名验证通过的情况下,根据所述客户端的私钥,对所述授权信息进行解密,得到授权数据,所述授权数据包括激活码;授权子模块,用于根据所述授权数据,对所述客户端进行授权。
在一种可能的实现方式中,所述第二解密子模块,被配置为:根据所述客户端的私钥,对所述授权信息中的第二密钥进行解密,得到第二加密算法的标识、第二数据密钥及第二初始化向量,所述第二加密算法为所述加密算法列表中的任意一种加密算法;根据所述第二加密算法、所述第二数据密钥及所述第二初始化向量,对所述授权信息中的第二密文进行解密,得到授权数据。
在一种可能的实现方式中,所述第一生成模块51,包括:第二验证子模块,用于对所述授权文件的有效性进行验证;第三生成子模块,用于在验证通过的情况下,根据所述授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥。
在一种可能的实现方式中,所述装置还包括:显示模块,用于在接收到所述服务器发送的授权失败信息的情况下,显示所述授权失败信息。
在一种可能的实现方式中,所述客户端与所述服务器之间通过超文本传输协议HTTP进行数据传输。
图6示出根据本公开实施例的授权装置的框图。如图6所示,所述装置应用于服务器,所述装置包括:
判断模块61,用于在接收到客户端发送的软件开发工具包的授权请求时,根据所述授权请求中授权文件的序列号,判断所述授权文件是否满足授权条件,所述授权条件包括所述授权文件在有效期内且处于未吊销状态,所述授权请求包括所述授权文件的序列号、第一密文及第一密钥,所述第一密文包括所述客户端的配置参数;
第三生成模块62,用于在所述授权文件满足所述授权条件的情况下,根据所述授权请求,生成授权信息,所述授权信息包括第二密文及第二密钥,所述第二密文包括授权数据;
第二发送模块63,向所述客户端发送所述授权信息。
在一种可能的实现方式中,所述第三生成模块62,包括:第三验证子模块,用于根据预设的客户端的公钥,对所述授权请求进行签名验证;第四生成子模块,用于在签名验证通过的情况下,根据所述授权请求,生成授权信息。
在一种可能的实现方式中,所述第三生成模块62,包括:第三解码子模块,用于根据预设的服务器的私钥,对所述授权请求进行解密,得到客户端的配置参数;授权数据确定子模块,用于根据客户端的配置参数,确定授权数据,所述授权数据包括激活码;第五生成子模块,用于根据第二加密算法、所述客户端的公钥及所述授权数据,生成第二密文及第二密钥,所述第二加密算法为预设的加密算法列表中的任意一种加密算法;第六生成子模块,用于根据所述服务器的私钥,对所述第二密文及所述第二密钥进行签名,生成授权信息。
在一种可能的实现方式中,所述第五生成子模块,被配置为:根据第二加密算法,确定第二数据密钥及第二初始化向量;根据所述第二加密算法、所述第二数据密钥及所述第二初始化向量,对所述授权数据进行加密,生成第二密文;根据所述客户端的公钥,对所述第二加密算法的标识、所述第二数据密钥及所述第二初始化向量进行加密,生成第二密钥。
在一种可能的实现方式中,所述第三解码子模块,被配置为:根据所述服务器的私钥,对所述授权请求中的第一密钥进行解密,得到第一加密算法的标识、第一数据密钥及第一初始化向量;根据所述第一加密算法、所述第一数据密钥及所述第一初始化向量,对所述所述授权请求中的第一密文进行解密,得到客户端的配置参数。
在一种可能的实现方式中,所述装置还包括:使用信息获取模块,用于获取所述客户端的授权文件的使用信息;风险值确定模块,用于根据所述使用信息,确定所述授权文件的风险值;吊销状态确定模块,用于在所述风险值大于或等于预设的风险阈值的情况下,将所述授权文件的状态设置为吊销状态。
在一种可能的实现方式中,所述装置还包括:加密模块,用于根据预设的第三密钥,对所述软件开发工具包的授权文件进行加密,得到加密后的授权文件,所述第三密钥位于所述软件开发工具包的预设组件中,所述授权文件包括序列号、客户端的私钥及服务器的公钥;第三发送模块,用于通过离线方式,向所述客户端发送所述加密后的授权文件。
在一种可能的实现方式中,所述装置还包括:第四发送模块,用于在所述授权文件不满足授权条件的情况下,或者在所述授权请求的签名验证未通过的情况下,向所述客户端发送授权失败信息。
在一些实施例中,本公开实施例提供的装置具有的功能或包含的模块可以用于执行上文方法实施例描述的方法,其具体实现可以参照上文方法实施例的描述,为了简洁,这里不再赘述。
本公开实施例还提出一种计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现上述方法。计算机可读存储介质可以是易失性或非易失性计算机可读存储介质。
本公开实施例还提出一种电子设备,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为调用所述存储器存储的指令,以执行上述方法。
本公开实施例还提供了一种计算机程序产品,包括计算机可读代码,当计算机可读代码在设备上运行时,设备中的处理器执行用于实现如上任一实施例提供的授权方法的指令。
本公开实施例还提供了另一种计算机程序产品,用于存储计算机可读指令,指令被执行时使得计算机执行上述任一实施例提供的授权方法的操作。
电子设备可以被提供为终端、服务器或其它形态的设备。
图7示出根据本公开实施例的一种电子设备800的框图。例如,电子设备800可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等终端。
参照图7,电子设备800可以包括以下一个或多个组件:处理组件802,存储器804,电源组件806,多媒体组件808,音频组件810,输入/输出(I/O)的接口812,传感器组件814,以及通信组件816。
处理组件802通常控制电子设备800的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件802可以包括一个或多个模块,便于处理组件802和其他组件之间的交互。例如,处理组件802可以包括多媒体模块,以方便多媒体组件808和处理组件802之间的交互。
存储器804被配置为存储各种类型的数据以支持在电子设备800的操作。这些数据的示例包括用于在电子设备800上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件806为电子设备800的各种组件提供电力。电源组件806可以包括电源管理系统,一个或多个电源,及其他与为电子设备800生成、管理和分配电力相关联的组件。
多媒体组件808包括在所述电子设备800和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件808包括一个前置摄像头和/或后置摄像头。当电子设备800处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件810被配置为输出和/或输入音频信号。例如,音频组件810包括一个麦克风(MIC),当电子设备800处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中,音频组件810还包括一个扬声器,用于输出音频信号。
I/O接口812为处理组件802和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件814包括一个或多个传感器,用于为电子设备800提供各个方面的状态评估。例如,传感器组件814可以检测到电子设备800的打开/关闭状态,组件的相对定位,例如所述组件为电子设备800的显示器和小键盘,传感器组件814还可以检测电子设备800或电子设备800一个组件的位置改变,用户与电子设备800接触的存在或不存在,电子设备800方位或加速/减速和电子设备800的温度变化。传感器组件814可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器,如互补金属氧化物半导体(CMOS)或电荷耦合装置(CCD)图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件814还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件816被配置为便于电子设备800和其他设备之间有线或无线方式的通信。电子设备800可以接入基于通信标准的无线网络,如无线网络(WiFi),第二代移动通信技术(2G)或第三代移动通信技术(3G),或它们的组合。在一个示例性实施例中,通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件816还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,电子设备800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种非易失性计算机可读存储介质,例如包括计算机程序指令的存储器804,上述计算机程序指令可由电子设备800的处理器820执行以完成上述方法。
图8示出根据本公开实施例的一种电子设备1900的框图。例如,电子设备1900可以被提供为一服务器。参照图8,电子设备1900包括处理组件1922,其进一步包括一个或多个处理器,以及由存储器1932所代表的存储器资源,用于存储可由处理组件1922的执行的指令,例如应用程序。存储器1932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件1922被配置为执行指令,以执行上述方法。
电子设备1900还可以包括一个电源组件1926被配置为执行电子设备1900的电源管理,一个有线或无线网络接口1950被配置为将电子设备1900连接到网络,和一个输入输出(I/O)接口1958。电子设备1900可以操作基于存储在存储器1932的操作系统,例如微软服务器操作系统(Windows ServerTM),苹果公司推出的基于图形用户界面操作系统(Mac OSXTM),多用户多进程的计算机操作系统(UnixTM),自由和开放原代码的类Unix操作系统(LinuxTM),开放原代码的类Unix操作系统(FreeBSDTM)或类似。
在示例性实施例中,还提供了一种非易失性计算机可读存储介质,例如包括计算机程序指令的存储器1932,上述计算机程序指令可由电子设备1900的处理组件1922执行以完成上述方法。
本公开可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于使处理器实现本公开的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是(但不限于)电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本公开的各个方面。
这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
该计算机程序产品可以具体通过硬件、软件或其结合的方式实现。在一个可选实施例中,所述计算机程序产品具体体现为计算机存储介质,在另一个可选实施例中,计算机程序产品具体体现为软件产品,例如软件开发工具包(Software Development Kit,SDK)等等。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (18)
1.一种授权方法,其特征在于,所述方法应用于客户端,所述方法包括:
在所述客户端加载软件开发工具包的授权文件的情况下,根据所述授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥,所述授权文件包括序列号、客户端的私钥及服务器的公钥,所述第一加密算法为预设的加密算法列表中的任意一种加密算法;
根据所述授权文件、所述第一密文及所述第一密钥,生成授权请求;
向服务器发送所述授权请求;
在接收到所述服务器发送的授权信息的情况下,根据所述授权文件及所述授权信息,对所述客户端进行授权,以使所述客户端运行所述软件开发工具包,其中,所述授权信息包括第二密文及第二密钥,所述第二密文包括授权数据;
其中,所述根据所述授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥,包括:
根据第一加密算法,确定第一数据密钥及第一初始化向量;
根据所述第一加密算法、所述第一数据密钥及所述第一初始化向量,对所述客户端的配置参数进行加密,生成第一密文;
根据所述授权文件中的服务器的公钥,对所述第一加密算法的标识、所述第一数据密钥及所述第一初始化向量进行加密,生成第一密钥。
2.根据权利要求1所述的方法,其特征在于,所述根据所述授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥,包括:
在所述授权文件为加密文件的情况下,根据预设组件,确定第三密钥,所述预设组件包括所述软件开发工具包中的至少一个组件;
根据所述第三密钥,对所述授权文件进行解密,得到解密后的授权文件;
根据解密后的授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥。
3.根据权利要求1所述的方法,其特征在于,所述根据所述授权文件、所述第一密文及所述第一密钥,生成授权请求,包括:
根据所述客户端的私钥,对所述第一密文及所述第一密钥进行签名,得到签名后的第一密文及第一密钥;
根据所述授权文件的序列号、签名后的第一密文及第一密钥,生成授权请求。
4.根据权利要求1所述的方法,其特征在于,所述根据所述授权文件及所述授权信息,对所述客户端进行授权,包括:
根据所述授权文件中的服务器的公钥,对所述授权信息进行签名验证;
在签名验证通过的情况下,根据所述客户端的私钥,对所述授权信息进行解密,得到授权数据,所述授权数据包括激活码;
根据所述授权数据,对所述客户端进行授权。
5.根据权利要求4所述的方法,其特征在于,所述根据所述客户端的私钥,对所述授权信息进行解密,得到授权数据,包括:
根据所述客户端的私钥,对所述授权信息中的第二密钥进行解密,得到第二加密算法的标识、第二数据密钥及第二初始化向量,所述第二加密算法为所述加密算法列表中的任意一种加密算法;
根据所述第二加密算法、所述第二数据密钥及所述第二初始化向量,对所述授权信息中的第二密文进行解密,得到授权数据。
6.根据权利要求1所述的方法,其特征在于,所述根据所述授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥,包括:
对所述授权文件的有效性进行验证;
在验证通过的情况下,根据所述授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在接收到所述服务器发送的授权失败信息的情况下,显示所述授权失败信息。
8.根据权利要求1-7中任意一项所述的方法,其特征在于,所述客户端与所述服务器之间通过超文本传输协议HTTP进行数据传输。
9.一种授权方法,其特征在于,所述方法应用于服务器,所述方法包括:
在接收到客户端发送的软件开发工具包的授权请求时,根据所述授权请求中授权文件的序列号,判断所述授权文件是否满足授权条件,所述授权条件包括所述授权文件在有效期内且处于未吊销状态,所述授权请求包括所述授权文件的序列号、第一密文及第一密钥,所述第一密文包括所述客户端的配置参数;
在所述授权文件满足所述授权条件的情况下,根据所述授权请求,生成授权信息,所述授权信息包括第二密文及第二密钥,所述第二密文包括授权数据;
向所述客户端发送所述授权信息;
其中,所述根据所述授权请求,生成授权信息,包括:
根据预设的服务器的私钥,对所述授权请求进行解密,得到客户端的配置参数;
根据客户端的配置参数,确定授权数据,所述授权数据包括激活码;
根据第二加密算法、所述客户端的公钥及所述授权数据,生成第二密文及第二密钥,所述第二加密算法为预设的加密算法列表中的任意一种加密算法;
根据所述服务器的私钥,对所述第二密文及所述第二密钥进行签名,生成授权信息;
其中,所述根据第二加密算法、所述客户端的公钥及所述授权数据,生成第二密文及第二密钥,包括:
根据第二加密算法,确定第二数据密钥及第二初始化向量;
根据所述第二加密算法、所述第二数据密钥及所述第二初始化向量,对所述授权数据进行加密,生成第二密文;
根据所述客户端的公钥,对所述第二加密算法的标识、所述第二数据密钥及所述第二初始化向量进行加密,生成第二密钥。
10.根据权利要求9所述的方法,其特征在于,所述根据所述授权请求,生成授权信息,包括:
根据预设的客户端的公钥,对所述授权请求进行签名验证;
在签名验证通过的情况下,根据所述授权请求,生成授权信息。
11.根据权利要求9所述的方法,其特征在于,所述根据预设的服务器的私钥,对所述授权请求进行解密,得到客户端的配置参数,包括:
根据所述服务器的私钥,对所述授权请求中的第一密钥进行解密,得到第一加密算法的标识、第一数据密钥及第一初始化向量;
根据所述第一加密算法、所述第一数据密钥及所述第一初始化向量,对所述授权请求中的第一密文进行解密,得到客户端的配置参数。
12.根据权利要求9所述的方法,其特征在于,所述方法还包括:
获取所述客户端的授权文件的使用信息;
根据所述使用信息,确定所述授权文件的风险值;
在所述风险值大于或等于预设的风险阈值的情况下,将所述授权文件的状态设置为吊销状态。
13.根据权利要求9所述的方法,其特征在于,所述方法还包括:
根据预设的第三密钥,对所述软件开发工具包的授权文件进行加密,得到加密后的授权文件,所述第三密钥位于所述软件开发工具包的预设组件中,所述授权文件包括序列号、客户端的私钥及服务器的公钥;
通过离线方式,向所述客户端发送所述加密后的授权文件。
14.根据权利要求9-13中任意一项所述的方法,其特征在于,所述方法还包括:
在所述授权文件不满足授权条件的情况下,或者在所述授权请求的签名验证未通过的情况下,向所述客户端发送授权失败信息。
15.一种授权装置,其特征在于,所述装置应用于客户端,所述装置包括:
第一生成模块,用于在所述客户端加载软件开发工具包的授权文件的情况下,根据所述授权文件、第一加密算法及所述客户端的配置参数,生成第一密文及第一密钥,所述授权文件包括序列号、客户端的私钥及服务器的公钥,所述第一加密算法为预设的加密算法列表中的任意一种加密算法;
第二生成模块,用于根据所述授权文件、所述第一密文及所述第一密钥,生成授权请求;
第一发送模块,用于向服务器发送所述授权请求;
授权模块,用于在接收到所述服务器发送的授权信息的情况下,根据所述授权文件及所述授权信息,对所述客户端进行授权,以使所述客户端运行所述软件开发工具包,其中,所述授权信息包括第二密文及第二密钥,所述第二密文包括授权数据;
其中,所述第一生成模块,包括:第二密钥确定子模块,用于根据第一加密算法,确定第一数据密钥及第一初始化向量;第一加密子模块,用于根据所述第一加密算法、所述第一数据密钥及所述第一初始化向量,对所述客户端的配置参数进行加密,生成第一密文;第二加密子模块,用于根据所述授权文件中的服务器的公钥,对所述第一加密算法的标识、所述第一数据密钥及所述第一初始化向量进行加密,生成第一密钥。
16.一种授权装置,其特征在于,所述装置应用于服务器,所述装置包括:
判断模块,用于在接收到客户端发送的软件开发工具包的授权请求时,根据所述授权请求中授权文件的序列号,判断所述授权文件是否满足授权条件,所述授权条件包括所述授权文件在有效期内且处于未吊销状态,所述授权请求包括所述授权文件的序列号、第一密文及第一密钥,所述第一密文包括所述客户端的配置参数;
第三生成模块,用于在所述授权文件满足所述授权条件的情况下,根据所述授权请求,生成授权信息,所述授权信息包括第二密文及第二密钥,所述第二密文包括授权数据;
第二发送模块,向所述客户端发送所述授权信息;
其中,所述第三生成模块,包括:第三解码子模块,用于根据预设的服务器的私钥,对所述授权请求进行解密,得到客户端的配置参数;授权数据确定子模块,用于根据客户端的配置参数,确定授权数据,所述授权数据包括激活码;第五生成子模块,用于根据第二加密算法、所述客户端的公钥及所述授权数据,生成第二密文及第二密钥,所述第二加密算法为预设的加密算法列表中的任意一种加密算法;第六生成子模块,用于根据所述服务器的私钥,对所述第二密文及所述第二密钥进行签名,生成授权信息;
其中,所述第五生成子模块,被配置为:根据第二加密算法,确定第二数据密钥及第二初始化向量;根据所述第二加密算法、所述第二数据密钥及所述第二初始化向量,对所述授权数据进行加密,生成第二密文;根据所述客户端的公钥,对所述第二加密算法的标识、所述第二数据密钥及所述第二初始化向量进行加密,生成第二密钥。
17.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为调用所述存储器存储的指令,以执行权利要求1至8中任意一项所述的方法,或者执行权利要求9至14中任意一项所述的方法。
18.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,所述计算机程序指令被处理器执行时实现权利要求1至8中任意一项所述的方法,或者实现权利要求9至14中任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110483101.9A CN113242224B (zh) | 2021-04-30 | 2021-04-30 | 授权方法及装置、电子设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110483101.9A CN113242224B (zh) | 2021-04-30 | 2021-04-30 | 授权方法及装置、电子设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113242224A CN113242224A (zh) | 2021-08-10 |
CN113242224B true CN113242224B (zh) | 2022-08-30 |
Family
ID=77131887
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110483101.9A Active CN113242224B (zh) | 2021-04-30 | 2021-04-30 | 授权方法及装置、电子设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113242224B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113868606A (zh) * | 2021-10-09 | 2021-12-31 | 新大陆数字技术股份有限公司 | 一种应用软件授权方法及系统 |
CN114172710B (zh) * | 2021-12-01 | 2024-01-30 | 深圳市电子商务安全证书管理有限公司 | 数据解密方法、装置、设备及存储介质 |
CN114465803B (zh) * | 2022-02-15 | 2024-03-01 | 阿里巴巴(中国)有限公司 | 对象授权方法、装置、系统及存储介质 |
CN115037547B (zh) * | 2022-06-22 | 2024-04-05 | 北京天拓四方科技有限公司 | 软件授权方法及系统 |
CN114896621B (zh) * | 2022-07-15 | 2022-10-14 | 深圳竹云科技股份有限公司 | 应用服务的获取方法、加密方法、装置、计算机设备 |
CN114978554B (zh) * | 2022-07-29 | 2022-10-18 | 广州匠芯创科技有限公司 | 一种软件授权认证系统及方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109684790A (zh) * | 2018-12-26 | 2019-04-26 | 佛山市瑞德物联科技有限公司 | 软件启动方法、软件授权验证方法、设备和存储介质 |
CN109981562A (zh) * | 2019-01-17 | 2019-07-05 | 平安科技(深圳)有限公司 | 一种软件开发工具包授权方法及装置 |
CN112383577A (zh) * | 2021-01-19 | 2021-02-19 | 北京信安世纪科技股份有限公司 | 授权方法、装置、系统、设备和存储介质 |
CN112699342A (zh) * | 2021-03-24 | 2021-04-23 | 统信软件技术有限公司 | 授权控制方法、授权方法、装置及计算设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106487765B (zh) * | 2015-08-31 | 2021-10-29 | 索尼公司 | 授权访问方法以及使用该方法的设备 |
-
2021
- 2021-04-30 CN CN202110483101.9A patent/CN113242224B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109684790A (zh) * | 2018-12-26 | 2019-04-26 | 佛山市瑞德物联科技有限公司 | 软件启动方法、软件授权验证方法、设备和存储介质 |
CN109981562A (zh) * | 2019-01-17 | 2019-07-05 | 平安科技(深圳)有限公司 | 一种软件开发工具包授权方法及装置 |
CN112383577A (zh) * | 2021-01-19 | 2021-02-19 | 北京信安世纪科技股份有限公司 | 授权方法、装置、系统、设备和存储介质 |
CN112699342A (zh) * | 2021-03-24 | 2021-04-23 | 统信软件技术有限公司 | 授权控制方法、授权方法、装置及计算设备 |
Also Published As
Publication number | Publication date |
---|---|
CN113242224A (zh) | 2021-08-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113242224B (zh) | 授权方法及装置、电子设备和存储介质 | |
EP3001640B1 (en) | Secure information exchange methods and wearable device | |
CN109146470B (zh) | 生成付款码的方法及装置 | |
CN113343212B (zh) | 设备注册方法及装置、电子设备和存储介质 | |
CN104955031A (zh) | 信息传输方法及装置 | |
CN105119888B (zh) | 插件安装包上传方法、安装方法及装置 | |
CN107766701B (zh) | 电子设备、动态库文件保护方法及装置 | |
CN104852911A (zh) | 安全验证方法、装置及系统 | |
CN107733652B (zh) | 用于共享交通工具的开锁方法和系统及车锁 | |
CN110765434A (zh) | 身份验证方法、装置、电子设备和存储介质 | |
CN109246110B (zh) | 数据共享方法、装置及计算机可读存储介质 | |
CN104852800B (zh) | 数据传输方法及装置 | |
CN112883402A (zh) | 加密方法及装置、电子设备和存储介质 | |
CN112003697A (zh) | 密码模块加解密方法、装置、电子设备及计算机存储介质 | |
CN111917728A (zh) | 一种密码验证方法及装置 | |
CN114221764A (zh) | 基于区块链的公钥更新方法、装置和设备 | |
CN113055169B (zh) | 数据加密方法、装置、电子设备及存储介质 | |
CN112784243A (zh) | 授权管理方法及装置、电子设备和存储介质 | |
CN111064577A (zh) | 一种安全认证方法、装置及电子设备 | |
CN107302519B (zh) | 一种终端设备的身份认证方法、装置和终端设备、服务器 | |
WO2015124798A2 (en) | Method & system for enabling authenticated operation of a data processing device | |
CN108924136B (zh) | 授权认证方法、装置及存储介质 | |
CN113868505A (zh) | 数据处理方法、装置、电子设备、服务器及存储介质 | |
CN112671530B (zh) | 一种数据处理方法、装置和用于数据处理的装置 | |
CN111241522B (zh) | 固件签名方法及装置、存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |