CN115412355A - 访问许可状态确定方法、系统、电子设备及可读存储介质 - Google Patents
访问许可状态确定方法、系统、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN115412355A CN115412355A CN202211066433.8A CN202211066433A CN115412355A CN 115412355 A CN115412355 A CN 115412355A CN 202211066433 A CN202211066433 A CN 202211066433A CN 115412355 A CN115412355 A CN 115412355A
- Authority
- CN
- China
- Prior art keywords
- certificate
- application
- management service
- user
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000012795 verification Methods 0.000 claims description 117
- 238000004590 computer program Methods 0.000 claims description 22
- 230000004044 response Effects 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 230000008901 benefit Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 241001391944 Commicarpus scandens Species 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及应用权限技术领域,公开了一种访问许可状态确定方法、系统、电子设备及可读存储介质,该方法通过用户购买时长生成用户应用的应用许可证书,并将应用许可证书导入证书管理服务,通过访问工具包生成证书请求签名,并通过证书管理服务对证书请求签名验证通过后将应用许可证书发送至访问工具包,使得访问工具包根据应用许可证书进行有效期验证,并根据有效期验证结果确定访问许可状态,根据证书管理服务和访问工具包建立应用许可证书机制,进而根据应用许可证书进行有效期验证,实现了根据有效期远程管理应用的访问许可状态,避免应用产品过期后买方依然可以在自己的应用环境中访问应用产品,保护了应用产品的卖方利益。
Description
技术领域
本发明涉及应用权限技术领域,尤其涉及一种访问许可状态确定方法、系统、电子设备及可读存储介质。
背景技术
根据不同公司制定的销售合同,应用产品分为源码售卖、有效期售卖和试用售卖,其中,源码售卖的买房拥有应用产品无限期的使用权,有效期售卖的买方则在一定期限内拥有应用产品的使用权,试用售卖的买方则在试用期内拥有应用产品的使用权,后两者需要对应用产品的访问权限进行有效期限制。
但是,有些买方希望应用产品部署在自己的应用端,导致在买方环境下的应用产品无法根据有效期远程管理应用的访问许可状态,即使应用产品的有效期或者试用期已经过期,买方依然可以在自己的应用环境中访问应用产品,造成应用产品的卖方利益受到损害。
发明内容
为了对披露的实施例的一些方面有基本的理解,下面给出了简单的概括。所述概括不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围,而是作为后面的详细说明的序言。
鉴于以上所述现有技术的缺点,本发明公开了一种访问许可状态确定方法、系统、电子设备及可读存储介质,以实现根据有效期远程管理应用的访问许可状态,从而保护卖方利益。
本发明公开了一种访问许可状态确定方法,包括:获取用户购买记录,并获取客户部署环境,其中,所述客户部署环境部署有用户应用和证书管理服务;根据所述用户应用对所述用户购买记录进行提取,得到所述用户应用的用户购买时长,根据所述用户购买时长生成所述用户应用的应用许可证书,并将所述应用许可证书和预设验证信息导入所述证书管理服务;根据所述预设验证信息向所述用户应用添加访问工具包,若所述用户应用接收到访问请求,则利用所述访问工具包向所述证书管理服务发送证书请求签名,使得所述证书管理服务根据所述预设验证信息对所述证书请求签名进行一致性验证,并在验证通过后将所述应用许可证书发送至所述访问工具包,其中,所述证书请求签名根据所述预设验证信息生成;利用所述访问工具包对所述证书管理服务发送的应用许可证书进行有效期验证,并根据有效期验证结果确定所述用户应用的访问许可状态。
可选地,获取客户部署环境之后,将所述应用许可证书和预设验证信息导入所述证书管理服务之前,所述方法还包括:获取非对称钥匙对,其中,所述非对称钥匙对包括相互对应的非对称加密公钥和非对称加密私钥;将所述非对称加密公钥导入所述证书管理服务。
可选地,将所述应用许可证书和预设验证信息导入所述证书管理服务,包括:根据所述非对称加密私钥对所述应用许可证书和预设验证信息进行加密,得到证书密文;将所述证书密文发送至所述证书管理服务,使得所述证书管理服务根据所述非对称加密公钥对所述证书密文进行解密,得到所述证书密文中的应用许可证书和预设验证信息。
可选地,将所述应用许可证书和预设验证信息导入所述证书管理服务,包括:获取对称加密密钥,并根据所述非对称加密私钥对所述对称加密密钥进行加密,得到密钥密文;将所述密钥密文发送至所述证书管理服务,使得所述证书管理服务根据所述非对称加密公钥对所述密钥密文进行解密,得到所述密钥密文中的对称加密密钥;根据所述对称加密密钥对所述应用许可证书和预设验证信息进行加密,得到证书密文,并将所述证书密文发送至所述证书管理服务,使得所述证书管理服务根据所述对称加密密钥对所述证书密文进行解密,得到所述证书密文中的应用许可证书和预设验证信息。
可选地,通过以下方法生成证书请求签名:所述预设验证信息包括第三加密密钥和标识信息;根据所述第三加密密钥对所述标识信息进行加密,得到证书请求签名。
可选地,所述证书管理服务通过以下方法根据所述预设验证信息对所述证书请求签名进行一致性验证:根据所述预设验证信息中的第三加密密钥对所述证书请求签名进行解密,得到解密信息;将所述预设验证信息中的标识信息与所述解密信息进行比对,得到比对结果;根据所述比对结果确定一致性验证的验证通过状态。
可选地,根据所述用户购买时长生成所述用户应用的应用许可证书之后,所述方法还包括以下至少一种:获取所述用户应用的用户续期时长,根据所述用户续期时长对所述应用许可证书进行更新,将更新后的应用许可证书重新导入所述证书管理服务;若满足第一预设条件和/或第二预设条件的情况下,利用所述证书管理服务生成证书更新请求,并响应于所述证书更新请求,将应用许可证书重新导入所述证书管理服务,其中,所述第一预设条件包括重新启动所述证书管理服务,所述第二预设条件包括距离上一次生成证书更新请求超过预设时间间隔。
本发明公开了一种访问许可状态确定系统,包括:应用管理中心,用于获取用户购买记录,根据用户应用对所述用户购买记录进行提取,得到所述用户应用的用户购买时长,根据所 述用户购买时长生成所述用户应用的应用许可证书,并将所述应用许可证书和预设验证信息导入证书管理服务,并根据所述预设验证信息向所述用户应用添加访问工具包;客户部署环境,包括所述用户应用、所述证书管理服务和所述访问工具包;所述用户应用用于接收访问请求;所述证书管理服务用于根据所述预设验证信息对证书请求签名进行一致性验证,并在验证通过后将所述应用许可证书发送至所述访问工具包;所述访问工具包用于向所述证书管理服务发送所述证书请求签名,所述证书请求签名根据所述预设验证信息生成,并对所述证书管理服务发送的应用许可证书进行有效期验证,并根据有效期验证结果确定所述用户应用的访问许可状态。
本发明公开了一种电子设备,包括:处理器及存储器;所述存储器用于存储计算机程序,所述处理器用于执行所述存储器存储的计算机程序,以使所述电子设备执行上述的方法。
本发明公开了一种计算机可读存储介质,其上存储有计算机程序:所述计算机程序被处理器执行时实现上述的方法。
本发明的有益效果:
通过用户购买时长生成用户应用的应用许可证书,并将应用许可证书导入证书管理服务,通过访问工具包生成证书请求签名,并通过证书管理服务对证书请求签名验证通过后将应用许可证书发送至访问工具包,使得访问工具包根据应用许可证书进行有效期验证,并根据有效期验证结果确定访问许可状态。这样,根据证书管理服务和访问工具包建立应用许可证书机制,进而根据应用许可证书进行有效期验证,实现了根据有效期远程管理应用的访问许可状态,避免应用产品过期后买方依然可以在自己的应用环境中访问应用产品,保护了应用产品的卖方利益。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术者来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本发明实施例中一个访问许可状态确定方法的流程示意图;
图2是本发明实施例中另一个访问许可状态确定方法的流程示意图;
图3是本发明实施例中另一个访问许可状态确定方法的流程示意图;
图4是本发明实施例中一个访问许可状态确定系统的结构示意图;
图5是本发明实施例中一个电子设备的结构示意图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的子样本可以相互组合。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
在下文描述中,探讨了大量细节,以提供对本发明实施例的更透彻的解释,然而,对本领域技术人员来说,可以在没有这些具体细节的情况下实施本发明的实施例是显而易见的,在其他实施例中,以方框图的形式而不是以细节的形式来示出公知的结构和设备,以避免使本发明的实施例难以理解。
本公开实施例的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本公开实施例的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含。
除非另有说明,术语“多个”表示两个或两个以上。
本公开实施例中,字符“/”表示前后对象是一种“或”的关系。例如,A/B表示:A或B。
术语“和/或”是一种描述对象的关联关系,表示可以存在三种关系。例如,A和/或B,表示:A或B,或,A和B这三种关系。
结合图1所示,本公开实施例提供了一种访问许可状态确定方法,包括:
步骤S101,应用管理中心获取用户购买记录,并获取客户部署环境;
其中,客户部署环境部署有用户应用和证书管理服务;
步骤S102,应用管理中心根据用户应用对用户购买记录进行提取,得到用户应用的用户购买时长,根据用户购买时长生成用户应用的应用许可证书,并将应用许可证书和预设验证信息导入证书管理服务;
步骤S103,根据预设验证信息向用户应用添加访问工具包,若用户应用接收到访问请求,则利用访问工具包向证书管理服务发送证书请求签名,使得证书管理服务根据预设验证信息对证书请求签名进行一致性验证,并在验证通过后将应用许可证书发送至访问工具包;
其中,证书请求签名根据预设验证信息生成;
步骤S104,利用访问工具包对证书管理服务发送的应用许可证书进行有效期验证,并根据有效期验证结果确定用户应用的访问许可状态。
采用本公开实施例提供的访问许可状态确定方法,通过用户购买时长生成用户应用的应用许可证书,并将应用许可证书导入证书管理服务,通过访问工具包生成证书请求签名,并通过证书管理服务对证书请求签名验证通过后将应用许可证书发送至访问工具包,使得访问工具包根据应用许可证书进行有效期验证,并根据有效期验证结果确定访问许可状态。这样,根据证书管理服务和访问工具包建立应用许可证书机制,进而根据应用许可证书进行有效期验证,实现了根据有效期远程管理应用的访问许可状态,避免应用产品过期后买方依然可以在自己的应用环境中访问应用产品,保护了应用产品的卖方利益。
可选地,方法还包括:访问工具包包括SDK(Software Development Kit,软件开发工具包);应用许可证书包括license(许可证)证书。
这样,通过SDK和证书管理服务实现了根据license证书的有效期远程管理应用的访问许可状态,用户应用在管理过程中无需进行操作,简化了管理流程,实现了访问管理的自动化。
可选地,获取客户部署环境之后,将应用许可证书和预设验证信息导入证书管理服务之前,方法还包括:获取非对称钥匙对,其中,非对称钥匙对包括相互对应的非对称加密公钥和非对称加密私钥;将非对称加密公钥导入证书管理服务。
可选地,将应用许可证书和预设验证信息导入证书管理服务,包括:根据非对称加密私钥对应用许可证书和预设验证信息进行加密,得到证书密文;将证书密文发送至证书管理服务,使得证书管理服务根据非对称加密公钥对证书密文进行解密,得到证书密文中的应用许可证书和预设验证信息。
这样,根据向证书管理服务和服务器端分别配置公钥和私钥,进而根据公钥和私钥进行应用许可证书的传输,从而避免应用许可证书被篡改,提高应用许可证书的安全性。
在一些实施例中,通过RSA(Ron Rivest、Adi Shamir、Leonard Adleman加密算法)算法对应用许可证书进行加密。
可选地,将应用许可证书和预设验证信息导入证书管理服务,包括:获取对称加密密钥,并根据非对称加密私钥对对称加密密钥进行加密,得到密钥密文;将密钥密文发送至证书管理服务,使得证书管理服务根据非对称加密公钥对密钥密文进行解密,得到密钥密文中的对称加密密钥;根据对称加密密钥对应用许可证书和预设验证信息进行加密,得到证书密文,并将证书密文发送至证书管理服务,使得证书管理服务根据对称加密密钥对证书密文进行解密,得到证书密文中的应用许可证书和预设验证信息。
这样,根据向证书管理服务和服务器端分别配置公钥和私钥,进而根据公钥和私钥进行应用许可证书的传输,同时,基于对称加密密钥和非对称加密私钥的结合进行加密,不仅解决了对称加密算法的易破解的问题,还解决了非对称加密算法的加密、解密速度慢的问题,从而提高加密算法的安全性,并且避免应用许可证书被篡改,提高应用许可证书的安全性。
可选地,通过以下方法生成证书请求签名:预设验证信息包括第三加密密钥和标识信息;根据第三加密密钥对标识信息进行加密,得到证书请求签名。
可选地,标识信息包括应用标识(APP ID)、用户标识(Tenant ID)、应用程序密钥(APP Secret)等中的至少一种,其中,利用应用管理中心对用户应用进行注册,得到应用标识。
可选地,证书管理服务通过以下方法根据预设验证信息对证书请求签名进行一致性验证:根据预设验证信息中的第三加密密钥对证书请求签名进行解密,得到解密信息;将预设验证信息中的标识信息与解密信息进行比对,得到比对结果;根据比对结果确定一致性验证的验证通过状态。
可选地,证书管理服务还用于若一致性验证未通过,则向服务器端和/或访问工具包发送预设的错误状态码。
可选地,证书管理服务还用于通过应用程序密钥对访问工具包的接口进行合法性验证;若合法性验证未通过,则向服务器端和/或访问工具包发送预设的错误状态码。
可选地,根据用户购买时长生成用户应用的应用许可证书之后,方法还包括以下至少一种:获取用户应用的用户续期时长,根据用户续期时长对应用许可证书进行更新,将更新后的应用许可证书重新导入证书管理服务;若满足第一预设条件和/或第二预设条件的情况下,利用证书管理服务生成证书更新请求,并响应于证书更新请求,将应用许可证书重新导入证书管理服务,其中,第一预设条件包括重新启动证书管理服务,第二预设条件包括距离上一次生成证书更新请求超过预设时间间隔。
这样,在用户续期后更行应用许可证书,并每隔预设更新时间段后证书管理服务通过请证书更新请求更新证书管理服务内部的应用许可证书,从而实现了对应用许可证书的动态管理,提高应用管理的灵活性。
在一些实施例中,预设更新时间段包括1分钟至24小时,例如,预设更新时间段为0.5小时。
结合图2所示,本公开实施例提供了一种访问许可状态确定方法,包括:
步骤S201,应用管理中心注册用户应用,得到应用标识、应用程序密钥;
步骤S202,应用管理中心获取用户购买信息,从用户购买信息中提取用户应用的用户购买时长;
步骤S203,应用管理中心根据用户购买时长生成应用许可证书,并将应用标识、应用程序密钥、用户标识作为用户应用的标识信息;
步骤S204,应用管理中心向证书管理服务导入应用许可证书和标识信息;
步骤S205,应用管理中心根据标识信息向用户应用添加访问工具包;
步骤S206,访问工具包监控用户应用接收访问请求;
步骤S207,若用户应用接收到访问请求,则访问工具包根据标识信息生成证书请求签名;
步骤S208,访问工具包向证书管理服务发送证书请求签名;
步骤S209,证书管理服务根据标识信息对证书请求签名进行一致性验证;
步骤S210,若一致性验证通过,证书请求签名向访问工具包发送应用许可证书;
步骤S211,访问工具包根据应用许可证书进行有效期验证;
步骤S212,若有效期验证通过,访问工具包将用户应用的访问许可状态确定为许可访问。
采用本公开实施例提供的访问许可状态确定方法,通过用户购买时长生成用户应用的应用许可证书,并将应用许可证书导入证书管理服务,通过访问工具包生成证书请求签名,并通过证书管理服务对证书请求签名验证通过后将应用许可证书发送至访问工具包,使得访问工具包根据应用许可证书进行有效期验证,并根据有效期验证结果确定访问许可状态,具有以下优点:
第一、根据证书管理服务和访问工具包建立应用许可证书机制,进而根据应用许可证书进行有效期验证,实现了根据有效期远程管理应用的访问许可状态,避免应用产品过期后买方依然可以在自己的应用环境中访问应用产品,保护了应用产品的卖方利益;
第二、通过SDK和证书管理服务实现了根据license证书的有效期远程管理应用的访问许可状态,用户应用在管理过程中无需进行操作,简化了管理流程,实现了访问管理的自动化;
第三、根据向证书管理服务和服务器端分别配置公钥和私钥,进而根据公钥和私钥进行应用许可证书的传输,从而避免应用许可证书被篡改,提高应用许可证书的安全性;
第四、根据向证书管理服务和服务器端分别配置公钥和私钥,进而根据公钥和私钥进行应用许可证书的传输,同时,基于对称加密密钥和非对称加密私钥的结合进行加密,不仅解决了对称加密算法的易破解的问题,还解决了非对称加密算法的加密、解密速度慢的问题,从而提高加密算法的安全性,并且避免应用许可证书被篡改,提高应用许可证书的安全性;
第五、在用户续期后更行应用许可证书,并每隔预设更新时间段后证书管理服务通过请证书更新请求更新证书管理服务内部的应用许可证书,从而实现了对应用许可证书的动态管理,提高应用管理的灵活性。
结合图3所示,本公开实施例提供了一种访问许可状态确定方法,包括:
步骤S301,访问工具包根据标识信息生成证书请求签名;
步骤S302,访问工具包将证书请求签名发送至证书管理服务;
步骤S303,证书管理服务根据应用程序密钥对访问工具包的接口进行合法性验证;
步骤S304,判断是否通过合法性验证,若是,跳转步骤S305,若否,跳转步骤S311;
步骤S305,证书管理服务根据标识信息对证书请求签名进行一致性验证;
步骤S306,判断是否通过一致性验证,若是,跳转步骤S307,若否,跳转步骤S311;
步骤S307,证书管理服务将应用许可证书发送至访问工具包;
步骤S308,访问工具包根据应用许可证书进行有效期验证;
步骤S309,判断是否通过有效期验证,若是,跳转步骤S310,若否,跳转步骤S312;
步骤S310,访问工具包允许用户应用被访问。
步骤S311,向服务器端和/或访问工具包发送错误状态码,跳转步骤S312;
步骤S312,访问工具包拒绝用户应用被访问。
采用本公开实施例提供的访问许可状态确定方法,通过用户购买时长生成用户应用的应用许可证书,并将应用许可证书导入证书管理服务,通过访问工具包生成证书请求签名,并通过证书管理服务对证书请求签名验证通过后将应用许可证书发送至访问工具包,使得访问工具包根据应用许可证书进行有效期验证,并根据有效期验证结果确定访问许可状态。这样,根据证书管理服务和访问工具包建立应用许可证书机制,进而根据应用许可证书进行有效期验证,实现了根据有效期远程管理应用的访问许可状态,避免应用产品过期后买方依然可以在自己的应用环境中访问应用产品,保护了应用产品的卖方利益。
结合图4所示,本公开实施例提供了一种访问许可状态确定系统,包括应用管理中心401和客户部署环境402。应用管理中心401用于获取用户购买记录,根据用户应用对用户购买记录进行提取,得到用户应用的用户购买时长,根据用户购买时长生成用户应用的应用许可证书,并将应用许可证书和预设验证信息导入证书管理服务,并根据预设验证信息向用户应用添加访问工具包;客户部署环境402包括用户应用4021、证书管理服务4023和访问工具包4022;用户应用用于接收访问请求;证书管理服务用于根据预设验证信息对证书请求签名进行一致性验证,并在验证通过后将应用许可证书发送至访问工具包;访问工具包用于向证书管理服务发送证书请求签名,证书请求签名根据预设验证信息生成,并对证书管理服务发送的应用许可证书进行有效期验证,并根据有效期验证结果确定用户应用的访问许可状态。
采用本公开实施例提供的访问许可状态确定系统,通过用户购买时长生成用户应用的应用许可证书,并将应用许可证书导入证书管理服务,通过访问工具包生成证书请求签名,并通过证书管理服务对证书请求签名验证通过后将应用许可证书发送至访问工具包,使得访问工具包根据应用许可证书进行有效期验证,并根据有效期验证结果确定访问许可状态。这样,根据证书管理服务和访问工具包建立应用许可证书机制,进而根据应用许可证书进行有效期验证,实现了根据有效期远程管理应用的访问许可状态,避免应用产品过期后买方依然可以在自己的应用环境中访问应用产品,保护了应用产品的卖方利益。
图5示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。需要说明的是,图5示出的电子设备的计算机系统500仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图5所示,计算机系统500包括中央处理单元(Central Processing Unit,CPU)501,其可以根据存储在只读存储器(Read-Only Memory,ROM)502中的程序或者从储存部分508加载到随机访问存储器(Random Access Memory,RAM)503中的程序而执行各种适当的动作和处理,例如执行上述实施例中的方法。在RAM 503中,还存储有系统操作所需的各种程序和数据。CPU 501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(Input/Output,I/O)接口505也连接至总线504。
以下部件连接至I/O接口505:包括键盘、鼠标等的输入部分506;包括诸如阴极射线管(Cathode Ray Tube,CRT)、液晶显示器(Liquid Crystal Display,LCD)等以及扬声器等的输出部分507;包括硬盘等的储存部分508;以及包括诸如LAN(Local Area Network,局域网)卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入储存部分508。
特别地,根据本申请的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的计算机程序。在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。在该计算机程序被中央处理单元(CPU)501执行时,执行本申请的系统中限定的各种功能。
需要说明的是,本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的计算机程序。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的计算机程序可以用任何适当的介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
本公开实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本实施例中的任一项方法。
本公开实施例中的计算机可读存储介质,本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过计算机程序相关的硬件来完成。前述的计算机程序可以存储于一计算机可读存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本实施例公开的电子设备,包括处理器、存储器、收发器和通信接口,存储器和通信接口与处理器和收发器连接并完成相互间的通信,存储器用于存储计算机程序,通信接口用于进行通信,处理器和收发器用于运行计算机程序,使电子设备执行如上方法的各个步骤。
在本实施例中,存储器可能包含随机存取存储器(Random Access Memory,简称RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、图形处理器(Graphics Processing Unit,简称GPU),网络处理器(NetworkProcessor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
以上描述和附图充分地示出了本公开的实施例,以使本领域的技术人员能够实践它们。其他实施例可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求,否则单独的部件和功能是可选地,并且操作的顺序可以变化。一些实施例的部分和子样本可以被包括在或替换其他实施例的部分和子样本。而且,本申请中使用的用词仅用于描述实施例并且不用于限制权利要求。如在实施例以及权利要求的描述中使用的,除非上下文清楚地表明,否则单数形式的“一个”(a)、“一个”(an)和“”(the)旨在同样包括复数形式。类似地,如在本申请中所使用的术语“和/或”是指包含一个或一个以上相关联的列出的任何以及所有可能的组合。另外,当用于本申请中时,术语“包括”(comprise)及其变型“包括”(comprises)和/或包括(comprising)等指陈述的子样本、整体、步骤、操作、元素,和/或组件的存在,但不排除一个或一个以上其它子样本、整体、步骤、操作、元素、组件和/或这些的分组的存在或添加。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括要素的过程、方法或者设备中还存在另外的相同要素。本文中,每个实施例重点说明的可以是与其他实施例的不同之处,各个实施例之间相同相似部分可以互相参见。对于实施例公开的方法、产品等而言,如果其与实施例公开的方法部分相对应,那么相关之处可以参见方法部分的描述。
本领域技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,可以取决于技术方案的特定应用和设计约束条件。技术人员可以对每个特定的应用来使用不同方法以实现所描述的功能,但是这种实现不应认为超出本公开实施例的范围。技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本文所披露的实施例中,所揭露的方法、产品(包括但不限于装置、设备等),可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,可以仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些子样本可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例。另外,在本公开实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
附图中的流程图和框图显示了根据本公开实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这可以依所涉及的功能而定。在附图中的流程图和框图所对应的描述中,不同的方框所对应的操作或步骤也可以以不同于描述中所披露的顺序发生,有时不同的操作或步骤之间不存在特定的顺序。例如,两个连续的操作或步骤实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这可以依所涉及的功能而定。框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
Claims (10)
1.一种访问许可状态确定方法,其特征在于,包括:
获取用户购买记录,并获取客户部署环境,其中,所述客户部署环境部署有用户应用和证书管理服务;
根据所述用户应用对所述用户购买记录进行提取,得到所述用户应用的用户购买时长,根据所述用户购买时长生成所述用户应用的应用许可证书,并将所述应用许可证书和预设验证信息导入所述证书管理服务;
根据所述预设验证信息向所述用户应用添加访问工具包,若所述用户应用接收到访问请求,则利用所述访问工具包向所述证书管理服务发送证书请求签名,使得所述证书管理服务根据所述预设验证信息对所述证书请求签名进行一致性验证,并在验证通过后将所述应用许可证书发送至所述访问工具包,其中,所述证书请求签名根据所述预设验证信息生成;
利用所述访问工具包对所述证书管理服务发送的应用许可证书进行有效期验证,并根据有效期验证结果确定所述用户应用的访问许可状态。
2.根据权利要求1所述的方法,其特征在于,获取客户部署环境之后,将所述应用许可证书和预设验证信息导入所述证书管理服务之前,所述方法还包括:
获取非对称钥匙对,其中,所述非对称钥匙对包括相互对应的非对称加密公钥和非对称加密私钥;
将所述非对称加密公钥导入所述证书管理服务。
3.根据权利要求2所述的方法,其特征在于,将所述应用许可证书和预设验证信息导入所述证书管理服务,包括:
根据所述非对称加密私钥对所述应用许可证书和预设验证信息进行加密,得到证书密文;
将所述证书密文发送至所述证书管理服务,使得所述证书管理服务根据所述非对称加密公钥对所述证书密文进行解密,得到所述证书密文中的应用许可证书和预设验证信息。
4.根据权利要求2所述的方法,其特征在于,将所述应用许可证书和预设验证信息导入所述证书管理服务,包括:
获取对称加密密钥,并根据所述非对称加密私钥对所述对称加密密钥进行加密,得到密钥密文;
将所述密钥密文发送至所述证书管理服务,使得所述证书管理服务根据所述非对称加密公钥对所述密钥密文进行解密,得到所述密钥密文中的对称加密密钥;
根据所述对称加密密钥对所述应用许可证书和预设验证信息进行加密,得到证书密文,并将所述证书密文发送至所述证书管理服务,使得所述证书管理服务根据所述对称加密密钥对所述证书密文进行解密,得到所述证书密文中的应用许可证书和预设验证信息。
5.根据权利要求1所述的方法,其特征在于,通过以下方法生成证书请求签名:
所述预设验证信息包括第三加密密钥和标识信息;
根据所述第三加密密钥对所述标识信息进行加密,得到证书请求签名。
6.根据权利要求5所述的方法,其特征在于,所述证书管理服务通过以下方法根据所述预设验证信息对所述证书请求签名进行一致性验证:
根据所述预设验证信息中的第三加密密钥对所述证书请求签名进行解密,得到解密信息;
将所述预设验证信息中的标识信息与所述解密信息进行比对,得到比对结果;
根据所述比对结果确定一致性验证的验证通过状态。
7.根据权利要求1至6任一项所述的方法,其特征在于,根据所述用户购买时长生成所述用户应用的应用许可证书之后,所述方法还包括以下至少一种:
获取所述用户应用的用户续期时长,根据所述用户续期时长对所述应用许可证书进行更新,将更新后的应用许可证书重新导入所述证书管理服务;
若满足第一预设条件和/或第二预设条件的情况下,利用所述证书管理服务生成证书更新请求,并响应于所述证书更新请求,将应用许可证书重新导入所述证书管理服务,其中,所述第一预设条件包括重新启动所述证书管理服务,所述第二预设条件包括距离上一次生成证书更新请求超过预设时间间隔。
8.一种访问许可状态确定系统,其特征在于,包括:
应用管理中心,用于获取用户购买记录,根据用户应用对所述用户购买记录进行提取,得到所述用户应用的用户购买时长,根据所述用户购买时长生成所述用户应用的应用许可证书,并将所述应用许可证书和预设验证信息导入证书管理服务,并根据所述预设验证信息向所述用户应用添加访问工具包;
客户部署环境,包括所述用户应用、所述证书管理服务和所述访问工具包;
所述用户应用用于接收访问请求;
所述证书管理服务用于根据所述预设验证信息对证书请求签名进行一致性验证,并在验证通过后将所述应用许可证书发送至所述访问工具包;
所述访问工具包用于向所述证书管理服务发送所述证书请求签名,所述证书请求签名根据所述预设验证信息生成,并对所述证书管理服务发送的应用许可证书进行有效期验证,并根据有效期验证结果确定所述用户应用的访问许可状态。
9.一种电子设备,其特征在于,包括:处理器及存储器;
所述存储器用于存储计算机程序,所述处理器用于执行所述存储器存储的计算机程序,以使所述电子设备执行如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:
所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211066433.8A CN115412355A (zh) | 2022-09-01 | 2022-09-01 | 访问许可状态确定方法、系统、电子设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211066433.8A CN115412355A (zh) | 2022-09-01 | 2022-09-01 | 访问许可状态确定方法、系统、电子设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115412355A true CN115412355A (zh) | 2022-11-29 |
Family
ID=84163023
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211066433.8A Pending CN115412355A (zh) | 2022-09-01 | 2022-09-01 | 访问许可状态确定方法、系统、电子设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115412355A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030156719A1 (en) * | 2002-02-05 | 2003-08-21 | Cronce Paul A. | Delivery of a secure software license for a software product and a toolset for creating the sorftware product |
| CN105471809A (zh) * | 2014-05-28 | 2016-04-06 | 北京奇虎科技有限公司 | 软件授权信息的验证方法及系统 |
| CN109241705A (zh) * | 2018-08-29 | 2019-01-18 | 中科鼎富(北京)科技发展有限公司 | 一种软件授权方法及系统 |
| CN112613021A (zh) * | 2020-12-18 | 2021-04-06 | 上海上实龙创智能科技股份有限公司 | 一种物联网设备证书自动更新方法、装置及存储介质 |
-
2022
- 2022-09-01 CN CN202211066433.8A patent/CN115412355A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030156719A1 (en) * | 2002-02-05 | 2003-08-21 | Cronce Paul A. | Delivery of a secure software license for a software product and a toolset for creating the sorftware product |
| CN105471809A (zh) * | 2014-05-28 | 2016-04-06 | 北京奇虎科技有限公司 | 软件授权信息的验证方法及系统 |
| CN109241705A (zh) * | 2018-08-29 | 2019-01-18 | 中科鼎富(北京)科技发展有限公司 | 一种软件授权方法及系统 |
| CN112613021A (zh) * | 2020-12-18 | 2021-04-06 | 上海上实龙创智能科技股份有限公司 | 一种物联网设备证书自动更新方法、装置及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10776513B2 (en) | Device using secure storage and retrieval of data | |
| CN110766406B (zh) | 资源转移方法、资源转移装置、存储介质及电子设备 | |
| CN102156835B (zh) | 内容管理软件的安全局部更新 | |
| US11361376B2 (en) | Information processing apparatus and method for processing information | |
| CN101496337A (zh) | 硬盘驱动器认证 | |
| CN111027981B (zh) | 多方联合训练针对IoT机具的风险评估模型的方法及装置 | |
| CN108537047B (zh) | 基于区块链生成信息的方法及装置 | |
| EP1837789A2 (en) | Method and apparatus for temporarily accessing content using temporary license | |
| CN111092719B (zh) | 标签数据刷新方法及其系统、支付方法及其系统 | |
| CN107920060A (zh) | 基于账号的数据访问方法和装置 | |
| CN114996666A (zh) | 加解密神经网络模型的方法、电子设备及存储介质 | |
| CN110992034A (zh) | 基于区块链的供应链交易隐私保护系统、方法及相关设备 | |
| CN109818965A (zh) | 个人身份验证装置及方法 | |
| CN111143788B (zh) | 许可证处理方法、电子设备、存储介质 | |
| US20040172556A1 (en) | Data communication system, information processing device and method, recording medium and program | |
| KR20100033053A (ko) | 무선 통신 네트워크를 통한 카드 결제 서비스 시스템 및 그방법과 카드 결제 서비스 기능을 갖춘 이동통신 단말기 | |
| CN115412355A (zh) | 访问许可状态确定方法、系统、电子设备及可读存储介质 | |
| CN113221141B (zh) | 钱包加密存储方法、签名方法、计算机设备和存储介质 | |
| JP2003029863A (ja) | ソフトウェアライセンス管理システム | |
| JP6911967B2 (ja) | セキュリティリスク管理システム、端末、サーバ、制御方法、プログラム | |
| KR20190115518A (ko) | 자격 인증 기반의 폐쇄형 마케팅 방법 및 시스템 | |
| WO2024201790A1 (ja) | 情報取得装置、情報取得システム、情報取得方法、及び記録媒体 | |
| CN113645239B (zh) | 一种应用登录方法、装置、用户终端及存储介质 | |
| JP7468717B2 (ja) | 端末、制御方法、及びプログラム | |
| CN115051801A (zh) | 访问许可状态确定系统、方法、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |