CN115730291A - 一种保护应用程序的方法、装置和系统 - Google Patents
一种保护应用程序的方法、装置和系统 Download PDFInfo
- Publication number
- CN115730291A CN115730291A CN202110997541.6A CN202110997541A CN115730291A CN 115730291 A CN115730291 A CN 115730291A CN 202110997541 A CN202110997541 A CN 202110997541A CN 115730291 A CN115730291 A CN 115730291A
- Authority
- CN
- China
- Prior art keywords
- application
- information
- application program
- authorization
- token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 192
- 238000013475 authorization Methods 0.000 claims abstract description 538
- 230000004913 activation Effects 0.000 claims abstract description 116
- 238000012795 verification Methods 0.000 claims abstract description 108
- 230000004044 response Effects 0.000 claims description 161
- 238000004590 computer program Methods 0.000 claims description 8
- 238000004891 communication Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 157
- 238000013461 design Methods 0.000 description 83
- 238000012545 processing Methods 0.000 description 36
- 230000009183 running Effects 0.000 description 35
- 230000006870 function Effects 0.000 description 31
- 230000008569 process Effects 0.000 description 19
- 230000005540 biological transmission Effects 0.000 description 9
- 230000009471 action Effects 0.000 description 8
- 230000000694 effects Effects 0.000 description 8
- 230000009849 deactivation Effects 0.000 description 6
- 238000012217 deletion Methods 0.000 description 6
- 230000037430 deletion Effects 0.000 description 6
- 238000013468 resource allocation Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 4
- 230000003213 activating effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 210000003311 CFU-EM Anatomy 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 239000007788 liquid Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Stored Programmes (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种保护应用程序的方法、装置和系统,该方法包括:授权服务装置从第一管理装置接收第一应用程序的公钥以及第一装置与第一应用程序的对应关系,第一应用程序运行于第一装置;授权服务装置从第一应用程序接收第一应用程序的令牌;授权服务装置使用第一应用程序的公钥对第一应用程序的令牌进行验证;若权服务装置验证第一应用程序的令牌成功,生成第一授权信息;授权服务装置根据对应关系,确定第一装置的校验信息,将第一授权信息与校验信息进行绑定;授权服务装置向第一应用程序发送第一授权信息,第一授权信息用于指示激活第一应用程序。该方案可以对第一应用程序进行保护,从而可使得第一应用程序部署的安全性更高。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种保护应用程序的方法、装置和系统。
背景技术
在多接入边缘计算(Multi-Access Edge Computing,MEC)场景下,厂商需要将自身的应用程序(Application,APP)部署于第三方平台,例如,运营商的MEC平台或者云端,因此,厂商自身的APP的软件代码或用户数据存储于第三方平台。但是,第三方平台无法保证存储软件代码和用户数据的安全性。例如,运行于该第三方平台的厂商自身的APP的软件代码可以随意被复制。甚至被复制后的厂商自身的APP的软件代码被运行于无授权的其他平台中。
现有技术中APP的保护的方法主要包括超级狗硬件加密方式。但是上述方式依赖用于加密的硬件对运行APP的软件进行加密保护,例如,移动硬盘。但是该硬件加密方式不适用于在多接入边缘计算场景中,且现有技术中缺少适用于多接入边缘计算场景的APP的保护方法。
发明内容
本申请提供了一种保护应用程序的方法、装置和系统,用于对应用程序进行保护,提升应用程序部署在运营商的平台上的安全性。
第一方面,本申请实施提供一种保护应用程序的方法,该方法可以由授权服务装置执行,也可以由授权服务装置中的芯片执行,对此不做限定。该方法可以包括以下步骤:授权服务装置从第一管理装置接收第一应用程序的公钥,以及第一装置与该第一应用程序的对应关系,该第一应用程序运行于该第一装置;该授权服务装置从该第一应用程序接收该第一应用程序的令牌;该授权服务装置使用该第一应用程序的公钥对该第一应用程序的令牌进行验证;若该授权服务装置验证该第一应用程序的令牌成功,生成第一授权信息;该授权服务装置根据该对应关系,确定该第一装置的校验信息;该授权服务装置将该第一授权信息与该校验信息进行绑定;该授权服务装置向第一应用程序发送该第一授权信息,该第一授权信息用于指示激活该第一应用程序。
授权服务装置使用公钥验证第一应用程序的令牌通过后,生成第一授权信息,并根据第一应用程序和第一装置之间的对应关系建立第一装置的校验信息,且将第一授权信息与第一装置的校验信息绑定。通过该方法,第一应用程序在第一装置可以被激活并运行,不仅保证了第一应用程序得到授权后被激活,也保证了第一应用程序在第一装置安装并激活,从而提升了第一应用程序的部署安全性,降低了第一应用程序被随意复制的风险。
应理解,该授权服务装置可以为MEC架构中的授权服务组件,还可以为授权服务组件所在的实体装置,又还可以为与授权服务组件功能相同的其它装置,本申请对授权服务装置的具体形态也不做具体限定。
在一种可能的实施方式中,该授权服务装置从第一应用程序接收该第一应用程序的令牌,包括:该授权服务装置从第一应用程序接收激活请求消息;该激活请求消息中携带该第一应用程序的令牌。
通过该实施方式,授权服务装置从第一应用程序接收第一应用程序的令牌时,还可以通过携带在第一应用程序发送的激活请求信息中,从而既可以保证授权服务装置能接收到该第一应用程序的令牌,也可节省传输信息的开销。
在一种可能的实施方式中,该授权服务装置根据该对应关系,确定该第一装置的校验信息,包括:该授权服务装置获取该第一装置的校验信息和第二装置的校验信息;该授权服务装置根据该对应关系,在该第一装置的校验信息和该第二装置的校验信息中,选择该第一装置的校验信息。
通过该实施方式,授权服务装置根据第一应用程序和第一装置之间的对应关系,在多个装置的校验信息中,可以准确的选择第一装置的校验信息,进而才能将第一授权信息与第一装置的校验信息进行有效的绑定。该方案在保证第一应用程序能成功被授权基础上,进一步的保证了第一应用程序在第一装置上被激活并运行的安全性。
在一种可能的实施方式中,该第一应用程序的令牌为加密的令牌。通过该实施方式,第一应用程序的令牌被加密,以防止第一应用程序的令牌在传输或使用过程中被泄露或被盗用,进而可以保证第一应用程序能成功被授权后激活,同时也保证第一应用程序部署的安全性。
在一种可能的实施方式中,该方法还包括:该授权服务装置发送第一响应信息,该第一响应信息用于指示该第一应用程序的激活。通过该实施方式,授权服务装置可以向第一管理装置返回响应信息,用于告知第一应用程序被激活。
在一种可能的实施方式中,该方法还包括:当该授权服务装置接收第二应用程序的启动请求信息时,该启动请求信息中包括该第二应用程序的第二授权信息;该授权服务装置根据该绑定关系,验证该第二授权信息。
通过该实施方式,授权服务装置接收第二应用程序的启动请求信息时,即第二应用程序需要被启动使用,授权服务可以通过验证启动请求信息中包括的第二授权信息,确定该应用程序是否合法,进而可以确定是否启动该应用程序。
在一种可能的实施方式中,该第二应用程序为该第一应用程序,该方法还包括:该第二授权信息为该第一授权信息,该授权服务装置验证该第二授权信息成功,向该第二应用程序发送第二响应信息,该第二响应信息用于指示启动该第二应用程序。
通过该实施方式,若第二应用程序为第一应用程序,即第二授权信息为第一授权信息,那么授权服务装置使用第一装置的校验信息和第一授权信息的绑定关系,验证第二授权信息为成功的,并通过向第二应用程序发送响应消息,该方法既可以成功启动第二应用程序,也可保证第二应用程序的安全性。
在一种可能的实施方式中,该第二应用程序与该第一应用程序不同,该方法还包括:该授权服务装置验证该第二授权信息未成功,向该第二应用程序发送第二响应信息,该第二响应信息用于指示不启动该第二应用程序。通过该实施方式,第二应用程序与第一应用程序不同,那么授权服务装置使用第一装置的校验信息验证第二授权信息为失败的,通过向第二应用程序返回响应消息,以禁止启动第二应用程序,从而可避免该应用程序被非法使用。
在一种可能的实施方式中,该方法还包括:该授权服务装置接收解除授权请求信息,该解除授权请求信息中包括该第一应用程序的标识信息;该授权服务装置根据该第一应用程序的标识信息,删除该第一授权信息;该授权服务装置发送该解除授权请求消息的响应信息。
通过该实施方式,授权服务装置接收解除授权请求信息,由于该解除授权请求信息中包括的第一应用程序的标识信息,因此,授权服务装置可以根据该解除授权请求信息,删除第一应用程序的授权信息,该方法既可以解除第一应用程序的激活,也可保证第一应用程序的安全性;并且授权服务装置返回解除授权请求消息的响应信息,用于告知已成功解除第一应用程序的授权信息。
在一种可能的实施方式中,该第一授权信息为授权证书,通过该实施方式,本申请中的第一授权信息可以为授权证书,可以使得第一应用程序在拥有该授权证书情况下能成功被使用。应理解,本申请中的第一授权信息可以为授权证书,还可以为其它的授权信息,本申请不做具体限定,该授权信息用于允许第一应用程序被使用,进而也可对第一应用程序实现保护。
第二方面,本申请实施提供一种保护应用程序的方法,该方法可以由第一应用程序执行,也可以由第一应用程序中的芯片执行,对此不做限定。包括以下步骤:第一应用程序从第一管理装置接收第一应用程序的令牌;该第一应用程序向授权服务装置发送该第一应用程序的令牌;若该第一应用程序的令牌被验证成功,该第一应用程序从该授权服务装置接收第一授权信息,该第一授权信息用于指示激活该第一应用程序。
第一应用程序从第一管理装置接收第一应用程序的令牌,然后向授权服务装置发送第一应用程序的令牌,在第一应用程序的令牌被验证成功之后,第一应用程序可以从授权服务装置接收第一授权信息,该第一授权信息用于指示激活第一应用程序。通过该方法,可以使得第一应用程序接收来自授权服务装置的第一授权信息,从而可以保证第一应用程序能成功在第一装置安装并激活,同时也提升了第一应用程序的部署安全性。
在一种可能的实施方式中,该第一应用程序从第一管理装置接收第一应用程序的令牌,包括:该第一应用程序通过该第一管理装置从该第二管理装置接收配置请求信息,该配置请求信息中携带该第一应用程序的令牌。
通过该实施方式,第二管理装置可以将第一应用程序的令牌携带在由第二管理装置发送的配置请求信息中,从而既可保证第一应用程序能有效接收该第一应用程序的令牌,也可以节省传输信息的开销。
在一种可能的实施方式中,该第一应用程序向授权服务装置发送该第一应用程序的令牌,包括:该第一应用程序向授权服务装置发送激活请求信息,该激活请求信息中携带该第一应用程序的令牌。
通过该实施方式,第一应用程序可以将第一应用程序的令牌携带在发送的激活请求信息中,不仅可以保证授权服务装置能有效接收该第一应用程序的令牌,也可以节省传输信息的开销。
在一种可能的实施方式中,该第一应用程序从该授权服务装置接收第一授权信息之后,该方法还包括:该第一应用程序向该授权服务装置返回该第一授权信息的响应信息。通过该实施方式,第一应用程序从授权服务装置接收第一授权信息之后,向授权服务装置返回第一授权信息的响应信息,用于告知已成功接收该第一授权信息,避免授权服务装置重传导致额外的开销。
在一种可能的实施方式中,该方法还包括:该第一应用程序删除该第一应用程序的令牌。通过该实施方式,第一应用程序在激活之后,需要删除第一应用程序的令牌,以避免第一应用程序的令牌被泄漏或盗用,进而可以保护第一应用程序,可提高第一应用程序部署的安全性。
在一种可能的实施方式中,该第一授权信息为授权证书。通过该实施方式,本申请中的第一授权信息可以为授权证书,可以使得第一应用程序在拥有该授权证书情况下能成功被使用。应理解,本申请中的第一授权信息可以为授权证书,还可以为其它的授权信息,本申请不做具体限定,该授权信息用于允许第一应用程序被使用,进而也可对第一应用程序实现保护。
在一种可能的实施方式中,该方法还包括:该第一应用程序向该授权服务装置发送启动请求信息,该启动请求信息中包括该第一授权信息。
通过该实施方式,当第一应用程序需要被启动使用时,需要向授权服务装置发送包含第一应用程序的授权信息,在授权服务装置验证第一应用程序的授权信息成功后,才可允许启动第一应用程序,从而可保证第一应用程序使用的安全性。
在一种可能的实施方式中,该方法还包括:该第一应用程序接收该授权服务装置发送的第二响应信息,该第二响应信息为该授权服务装置根据该第一装置的校验信息对该第一授权信息验证成功后发送的,该第二响应信息用于指示启动该第一应用程序。
通过该实施方式,由于该第二响应信息为授权服务装置根据第一装置的校验信息对第一授权信息验证成功后发送的,因此,第一应用程序接收到第二响应信息之后,根据该第二响应信息可以成功的在第一装置上启动运行。
在一种可能的实施方式中,该方法还包括:该第一应用程序接收第二终止激活指示信息,该第二终止激活指示信息用于指示解除该第一应用程序的激活;该应用程序模块返回该第二终止激活信息的响应消息。通过该实施方式,第一应用程序在接收到终止激活指示信息时,可以根据终止激活指示信息,准确的解除激活。
第三方面,本申请实施提供一种保护应用程序的方法,该方法可以由第一管理装置执行,也可以由第一管理装置中的芯片执行,对此不做限定。包括以下步骤:第一管理装置从第二管理装置接收第一应用程序的令牌、该第一应用程序的公钥,以及第一装置与该第一应用程序的对应关系;该第一应用程序运行于该第一装置,该第一应用程序的公钥用于验证该第一应用程序的令牌;该第一管理装置向授权服务装置发送该第一应用程序的公钥和该对应关系;该第一管理装置从该授权服务装置接收反馈信息,该反馈信息用于指示该授权服务装置已接收该第一应用程序的公钥和该对应关系;该第一管理装置发送该第一应用程序的令牌。
第一管理装置从第二管理装置接收第一应用程序的令牌、第一应用程序的公钥,以及第一装置与第一应用程序的对应关系,第一管理装置向授权服务装置发送第一应用程序的公钥和对应关系之后,从授权服务装置接收反馈信息;进一步的,第一管理装置发送第一应用程序的令牌。因此,该方法中授权服务装置和第一应用程序分别从第一管理装置获取到对应信息之后,可以有效的实现第一应用程序在第一装置上的激活、运行以及解除激活,同时该方法也可以保证第一应用程序的部署安全性。
应理解,该第一管理装置可以为MEC架构中的移动边缘平台管理器,还可以为移动边缘平台管理器所在的实体装置,又还可以为与该移动边缘平台管理器功能相同的其它装置,本申请对第一管理装置的具体形态不做具体限定。
在一种可能的实施方式中,该第一管理装置从第二管理装置接收第一应用程序的令牌、该第一应用程序的公钥,以及第一装置与该第一应用程序的对应关系,包括:该第一管理装置从该第二管理装置接收第二应用请求信息,该第二应用请求信息中携带该第一应用程序的令牌、该第一应用程序的公钥,以及第一装置与该第一应用程序的对应关系。
通过该实施方式,第二管理装置可以将第一应用程序的令牌、第一应用程序的公钥,以及第一装置与第一应用程序的对应关系携带在第二应用请求信息中,该方法既可以保证第一管理装置成功接收这些信息,也可以节省传输的额外开销。
在一种可能的实施方式中,该第一管理装置发送该第一应用程序的令牌,包括:该第一管理装置向该第一应用程序发送配置请求信息,该配置请求信息中携带该第一应用程序的令牌。
通过该实施方式,第一管理装置可以将第一应用程序的令牌携带在配置请求信息并发送给第一应用程序,既可以使得第一应用程序接收该第一应用程序的令牌,也可以节省传输的额外开销。
在一种可能的实施方式中,该第一管理装置向该第一应用程序发送配置请求信息之后,该方法还包括:该第一管理装置从该第一应用程序接收该配置请求消息的响应消息,该配置请求消息的响应消息用于指示该第一应用程序已接收该第一应用程序的令牌。
通过该实施方式,第一管理装置在向第一应用程序发送配置请求信息之后,接收第一应用程序发送的配置请求消息的响应消息,从而第一管理装置根据该配置请求消息的响应消息,可以知晓第一应用程序成功接收到配置请求信息以及第一应用程序的令牌,从而可以避免第一管理装置重新向第一应用程序发送配置请求信息而造成额外开销。
在一种可能的实施方式中,该方法还包括:该第一管理装置从该授权服务装置接收第一响应消息,该第一响应消息用于指示该第一应用程序的激活。通过该实施方式,第一管理装置从授权服务装置接收第一响应消息,从而可以有效的确定第一应用程序在第一装置上被激活。
第四方面,本申请实施提供一种保护应用程序的方法,该方法可以由第二管理装置执行,也可以由第二管理装置中的芯片执行,对此不做限定。包括以下步骤:第二管理装置生成第一应用程序的令牌;该第二管理装置发送该第一应用程序的令牌、该第一应用程序的公钥,以及第一装置与该第一应用程序的对应关系,该第一应用程序运行于该第一装置,其中,该第一应用程序的公钥用于验证该令牌,该对应关系用于确定该第一装置的校验信息,该第一装置的校验信息用于与该第一授权信息绑定。
第二管理装置,可以为MEC架构中的移动边缘编排器,还可以为移动边缘编排器所在的实体装置,又还可以为与该移动边缘编排器功能相同的其它装置,本申请对第二管理装置的具体形态不做具体限定。
第二管理装置生成第一应用程序的令牌,然后,第二管理装置将第一应用程序的令牌、第一应用程序的公钥,以及第一装置与第一应用程序的对应关系通过第一管理装置发送给授权服务装置和第一应用程序。该方法中由第二管理装置为第一应用程序的部署和保护提供了所需的必要信息,从而可以实现第一应用程序的授权和激活,也保证了第一应用程序的部署安全性。
在一种可能的实施方式中,该第二管理装置生成第一应用程序的令牌之前,该方法还包括:该第二管理装置从业务服务装置接收第一应用请求消息,该第一应用请求消息中携带该第一应用程序的标识信息。
通过该实施方式,第二管理装置生成第一应用程序的令牌之前,接收携带第一应用程序的标识信息的第一应用请求消息,从而根据第一应用程序的标识信息,可以准确的为第一应用程序生成相应的令牌。
在一种可能的实施方式中,该第二管理装置发送该第一应用程序的令牌、该第一应用程序的公钥,以及第一装置与该第一应用程序的对应关系,包括:该第二管理装置发送第二应用请求消息,该第二应用请求消息中携带该第一应用程序的令牌、该第一应用程序的公钥,以及第一装置与该第一应用程序的对应关系。
通过该实施方式,第二管理装置将第一应用程序的令牌、第一应用程序的公钥,以及第一装置与第一应用程序的对应关系携带在第二应用请求消息中,发送给授权服务装置,不仅可以保证能成功下发这些信息,也可以节省传输这些信息所需的开销。
在一种可能的实施方式中,该方法还包括:该第二管理装置接收该第二应用请求消息的响应消息,该第二应用请求消息的响应消息用于指示该第一应用程序的激活;该第二管理装置向该业务服务装置发送该第一应用请求消息的响应消息,该第一应用请求消息的响应消息用于指示该第一应用程序的激活。
通过该实施方式,第二管理装置还可以接收第二应用请求消息的响应消息,从而知晓第一应用程序被激活;第二管理装置还向上层的业务服务装置发送第一应用请求消息的响应消息,从而向业务服务装置告知第一应用程序被激活。
在一种可能的实施方式中,该方法还包括:该第二管理装置从该业务服务装置接收该第一应用程序的第一终止激活指示信息,该第一终止激活指示信息用于指示解除该第一应用程序的激活;该第二管理装置向发送第二终止激活指示信息,该第二终止激活指示信息用于指示解除该第一应用程序的激活;该第二管理装置接收该第二终止激活指示信息的响应信息;该第二管理装置向该授权服务装置发送解除授权请求信息。
通过该实施方式,第二管理装置从业务服务装置接收第一应用程序的第一终止激活指示信息之后,发送第二终止激活指示信息,从而使得第一应用程序接收来自第二管理装置的第二终止激活指示信息之后,可以解除激活。并且第二管理装置通过接收来自第一应用程序的终止激活指示信息的响应信息,可以知晓第一应用程序成功解除激活,进一步的向授权服务装置发送解除授权请求信息,授权服务装置根据解除授权请求信息,删除第一应用程序的授权信息,避免了已使用的第一应用程序的授权信息占用资源,也保护了第一应用程序的安全性。
在一种可能的实施方式中,该方法还包括:该第二管理装置从该授权服务装置接收该解除授权请求消息的响应信息。
通过该实施方式,第二管理装置向授权服务装置发送解除授权请求消息之后,从授权服务装置接收解除授权请求消息的响应信息,既可确定授权服务装置已接收到删除第一应用程序的授权信息的指示任务并已成功删除第一应用程序的授权信息,避免第二管理装置向授权服务装置重新发送解除授权请求消息造成额外开销。
第五方面,本申请实施提供一种保护应用程序的装置,该装置可应用于授权服务装置,具有实现上述第一方面或上述第一方面的任意一种可能的设计中的方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元。比如包括接收和处理单元、发送单元。
第六方面,本申请实施提供一种保护应用程序的装置,该装置可应用于第一应用程序,具有实现上述第二方面或上述第二方面的任意一种可能的设计中的方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元。比如包括接收和处理单元、发送单元。
第七方面,本申请实施提供一种保护应用程序的装置,该装置可应用于第一管理装置,具有实现上述第三方面或上述第三方面的任意一种可能的设计中的方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元。比如包括接收和处理单元、发送单元。
第八方面,本申请实施提供一种保护应用程序的装置,该装置可应用于第二管理装置,具有实现上述第四方面或上述第四方面的任意一种可能的设计中的方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元。比如包括接收和处理单元、发送单元。
第九方面,本申请还提供一种保护应用程序的装置,该装置可应用于授权服务,具有实现上述第一方面或上述第一方面的任意一种可能的设计中的方法的功能。该装置可以包括:接收模块、处理模块和发送模块。
第十方面,本申请还提供一种保护应用程序的装置,该装置可应用于第一应用程序,具有实现上述第二方面或上述第二方面的任意一种可能的设计中的方法的功能。该装置可以包括:接收模块、处理模块和发送模块。
第十一方面,本申请还提供一种保护应用程序的装置,该装置可应于第一管理设备,具有实现上述第三方面或上述第三方面的任意一种可能的设计中的方法的功能。该装置可以包括:接收模块、处理模块和发送模块。
第十二方面,本申请还提供一种保护应用程序的装置,该装置可应用于第二管理设备,具有实现上述第四方面或上述第四方面的任意一种可能的设计中的方法的功能。该装置可以包括:接收模块、处理模块和发送模块。
第十三方面,本申请还提供一种应用程序的系统,该系统包括用于执行上述第一方面或其中任一种设计提供的方法的授权服务装置,用于执行上述第二方面或其中任一种设计提供的方法的第一应用程序,用于执行上述第三方面或其中任一种设计提供的方法的第一管理装置,以及用于执行上述第四方面或其中任一种设计提供的方法的第二管理装置。
第十四方面,本申请实施例还提供一种计算机存储介质,该存储介质中存储软件程序,该软件程序在被一个或多个处理器读取并执行时可实现上述第一方面或其中任意一种设计提供的方法,或者实现上述第二方面或其中任意一种设计提供的方法,或者实现上述第三方面或其中任意一种设计提供的方法,或者实现上述第四方面或其中任意一种设计提供的方法。
第十五方面,本申请实施例还提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得上述第一方面或其中任一种设计提供的方法执行,或者使得上述第二方面或其中任一种设计提供的方法执行,或者使得上述第三方面或其中任一种设计提供的方法执行,或者使得上述第四方面或其中任一种设计提供的方法执行。
第十六方面,本申请实施例还提供一种芯片系统,该芯片系统包括处理器,用于支持授权服务装置实现上述第一方面中所涉及的功能,或者用于支持第一应用程序实现上述第二方面中所涉及的功能,或者用于支持第一管理装置实现上述第三方面中所涉及的功能,或者用于支持第二管理装置实现上述第四方面中所涉及的功能。
在一种可能的设计中,所述芯片系统还包括存储器,所述存储器,用于保存装载装置执行的必要的程序指令和数据。该芯片系统,可以由芯片构成,也可以包含芯片和其他分立器件。
上述第九方面或第九方面中任意一种设计可以达到的技术效果,可以参照上述第一方面或第一方面中任意一种设计可以达到的技术效果说明;第十方面或第十方面中任意一种设计可以达到的技术效果,可以参照上述第二方面或第二方面中任意一种设计可以达到的技术效果说明;第十一方面或第十一方面中任意一种设计可以达到的技术效果,可以参照上述第三方面或第三方面中任意一种设计可以达到的技术效果说明;第十二方面或十二第九方面中任意一种设计可以达到的技术效果,可以参照上述第四方面或第四方面中任意一种设计可以达到的技术效果说明,这里不再重复赘述。
附图说明
图1为本申请实施例中提供的一种保护应用程序的方法所适用的运用场景;
图2A为本申请实施例中提供的一种保护应用程序的方法的流程示意图;
图2B为本申请实施例中提供的一种保护应用程序的方法的流程示意图;
图3为本申请实施例中提供的一种保护应用程序的方法的一个实例流程示意图;
图4为本申请实施例中提供的一种保护应用程序的方法的另一个实例流程示意图;
图5为本申请实施例中提供的一种保护应用程序的方法的又一个实例流程示意图;
图6为本申请实施例中提供的一种保护应用程序的方法的又一个实例流程示意图;
图7为本申请实施例提供的一种保护应用程序的装置的结构示意图;
图8为本申请实施例提供的一种保护应用程序的设备的结构示意图。
具体实施方式
本申请实施例提供了一种保护应用程序的方法、装置和系统,其中,方法、装置和系统是基于相同或相似技术构思的,由于方法及装置解决问题的原理相似,因此装置、系统均与方法的实施可以相互参见,重复之处不再赘述。
以下,首先对本申请实施例中的部分用语进行解释说明,以便于本领域技术人员理解。
1)、本申请实施例中涉及的第一管理装置,可以为MEC架构中的移动边缘平台管理器(ME platform manager,MEPM)(具体作用可以参考下述图1中对MEPM的介绍),还可以为MEPM所在的实体装置或与MEPM功能相近的其它装置,因此,本申请对第一管理装置的具体形态不做具体限定。该第一管理装置主要可以用于为第二管理装置向授权服务装置和应用程序下发对应的公钥和应用程序所使用的令牌,该装置还具有传输功能,例如转发应用程序所使用的令牌和公钥,接收各类信息等。
2)、本申请实施例中涉及的第二管理装置,可以为MEC架构中的移动边缘编排器(Multi-access edge application orchestrator,MEAO)模块(具体作用可以参考下述图1中对MEAO的介绍),还可以为MEAO所在的实体装置或与MEAO功能相近的其它装置,因此,本申请对第二管理装置的具体形态不做具体限定。该第二管理装置主要可以用于生成应用程序所使用的令牌,并且还可以存储用于验证应用程序的令牌的公钥以及获取应用程序与应用程序所在装置的对应关系,另外,该装置还具有传输功能,例如发送应用程序所使用的令牌和公钥,接收各类信息等。
3)、本申请实施例中涉及的校验信息,通常与应用程序的授权信息绑定的,因此,校验信息可以用于验证当前待激活或待启动的应用程序的授权信息是否正确,从而确定是否激活或启动当前硬件装置上的应用程序,进而可以有效的保护当前的应用程序。该校验信息可以为运行应用程序的硬件装置上的用户指纹信息,或者用户的其它生物信息、运行应用程序的硬件装置的属性信息,本申请对此不做具体限定。并且,校验信息可以为实时得到的,或者事先已存储的。
4)、本申请实施例中涉及的授权信息,可以用于向应用程序进行合法授权,使得应用程序执行授权范围内的工作。通常授权信息可以为授权证书,还可以为其它具有授权证明的信息,本申请对授权信息的具体形态或类型不做具体限定。
5)、本申请实施例中涉及的令牌,例如token,可以表示执行某些操作的权利的对象,不同的令牌被授权执行不同的数据操作。例如主机和用户设备进行数据传输之前,用户设备从主机接收令牌后,需要核对令牌,从而被授权执行相应的操作。具体的令牌类型可以包括访问令牌、密保令牌、会话令牌等,而本申请对具体使用的令牌类型不做具体限定。
图1示出了本申请实施例提供的一种保护应用程序的方法所适用的一种可能的运用场景,即在多接入边缘计算MEC场景下,可在无线基站内部运行应用程序,并向移动用户提供业务,随着移动边缘计算的标准化和发展,进一步的将边缘计算从电信蜂窝网络进一步延伸至其他无线接入网络(例如WiFi)。下面对本申请实施例提供的一种MEC的软件架构进行详细介绍,参考图1所示,该MEC的架构可以包括以下:
移动边缘应用(Mobile Edge Applicatio,ME APP):为运行在ME虚拟化基础设施管理器上的应用实例,可以通过Mp1参考点与移动边缘平台进行交互,以获取移动边缘平台的服务化开放能力(ME服务)。
移动边缘平台(Mobile Edge Platform,MEP):为ME APP提供移动边缘服务,该移动边缘服务可以包括:服务注册、服务发现、状态监控,本地分流、域名服务(Domain NameService,DNS),本地应用程序接口(Local Application Program Interface,Local API)网关、负载均衡器、防火墙,以及无线网络信息服务、位置信息服务、带宽管理服务等一系列无线网络能力服务。从移动边缘平台管理器或ME APP接收应用规则配置,并通过参考点Mp2指示数据转发平台执行数据路由,将数据流量重定向到相应的ME APP或移动边缘服务。在分布式移动边缘计算系统的协作机制中,参考点Mp3可以作为不同MEP之间互联的基础。
数据平面(Data Plane,DP):为MEP下发的流量规则,用于处理ME APP、移动边缘服务、DNS服务器、代理服务器、3GPP网络、其他访问网络、局域网和外部网络之间路由流量。
虚拟化基础设施(Virtualisation Infrastructure,VI):即网络系统管理程序,可以为开源的系统虚拟化模块(Kernel-based Virtual Machine,KVM)、开源的应用容器引擎、运行虚拟机等所有为ME APP提供运行载体的虚拟化管理程序。
移动边缘主机(Mobile Edge Host,ME Host):为一台通用x86服务器,通常部署在接入局所DC或者边缘DC上。可以运行MEP、ME APP和VI等软件模块。
虚拟化基础设施管理器(Virtualisation infrastructure Manager,VIM):可以为虚拟化资源管理程序,例如OpenStack、Kubernetes。主要可以用于管理虚拟计算、存储和网络资源的分配和释放,以及管理ME APP的镜像文件,还可以负责收集虚拟化资源的信息,并通过参考点Mm4和参考点Mm6分别上报给MEAO和MEPM等上层管理实体。
移动边缘平台管理器(ME platform manager,MEPM):用于负责MEP的基本运维、MEServices的配置、ME APP的生命周期管理以及ME APP的应用规则和需求管理等功能。其中,ME APP的应用规则和需求管理可以包括:授权认证、分流规则、DNS规则和冲突协调等。MEPM和MEP之间通过参考点Mm5进行交互。
移动边缘编排器(Multi-access edge application orchestrator,MEAO):MEC业务的编排中心,通常全国只部署一个。MEAO可以宏观的管控MEC平台所有的资源和容量,主要管控的内容可以包括:VIM中的计算、存储、网络资源、应用程序镜像资源,以及MEPM、MEP资源。在实例化ME APP时,MEAO先加载应用程序的镜像(软件包)、检查软件包的完整性和真实性,然后MEAO需要衡量用户资源需求以及各个ME Host的可用资源,为其选择最为合适的ME Host进行部署。若用户需要进行ME Host的切换,则可以由MEAO来触发切换程序。另外,MEAO和MEPM之间可以通过参考点Mm3为ME APP相关的策略提供支持。MEAO与VIM之间可以通过参考点Mm4去管理虚拟化资源和应用程序的镜像,并维持可用资源的状态信息。
UE APP:用户终端应用。
用户终端应用生命周期代理UE APP LCM proxy:主要可以用于接收UE APP发起的操作请求。
面向用户的服务门户(Customer-Facing Service Portal,CFS Portal):为运营商面向第三方用户订阅并监控ME APP的门户。用户通过CFS Portal,可以选择订购一套满足其特殊需求的ME APP,或者可以将自身的应用程序接入到MEC平台中,并指定其使用的时间和地点。
操作支持系统(Operations Support System,OSS):为提供给运营商内部使用的MEC部署运维中心,可以作为MEC平台的最高级别的管理实体。OSS可以从CFS或UE APP LCMproxy接收ME APP的生命周期管理请求,并决定是否授权,当该请求通过OSS认证授权后,OSS与MEAO之间可以通过参考点Mm1来触发ME应用程序的实例化或终止实例。也通过参考点Mm2与MEPM进行交互完成MEP的配置、故障和性能的管理。
在MEC场景下,行业厂商需要可以将自身应用APP部署在运营商的MEC平台上,以实现用户流量本地闭环。然而,运营商的MEC平台无法保证存储厂商应用APP的软件代码和用户数据的安全性和保密性。
在现有技术中,一种保护APP的方法为威步硬件加密狗。APP的授权信息可以存储在威步硬件加密狗中,且授权密钥在硬件狗中无法导出。该威步硬件加密狗还自带APP加密或解密功能,防止APP被盗用,然而,由该威步硬件加密狗技术通用性和易用性较差,在远端授权MEC的场景下,该威步硬件加密狗技术对APP部署要求较高。
因此,本申请提供了一种保护应用程序的方法,该方案可以对应用程序进行保护,从而提升应用程序部署在运营商的平台上的安全性。
本申请实施例提供一种保护应用程序的方法,该方法可适用于但不限于如图1所示的MEC场景。参阅图2A-图2B所示,为本申请实施例提供的一种保护应用程序的方法的流程图,具体的,该方法可以由部署应用程序所涉及的装置执行,或者由部署应用程序所涉及的装置中的芯片执行,本申请这里不做限定。
步骤S201-S211可参考图2A所示,具体可以包括如下步骤:
S201:第二管理装置生成第一应用程序的令牌。
在一种实施方式中,第二管理装置生成第一应用程序的令牌之前,所述方法还包括:第二管理装置从业务服务装置接收第一应用请求消息,第一应用请求消息中携带第一应用程序的标识信息,第一应用程序的标识信息用于指示第二管理装置生成第一应用程序的令牌。因此,第二管理装置在接收第一应用请求消息后,可以根据其中的第一应用程序的标识信息,确定为第一应用程序生成相应的令牌。
可选的,该第二管理装置可以为MEC架构中的MANO模块或MANO所在的实体装置,业务服务装置可以为MEC架构中的OSS模块或者OSS所在的实体装置。
应理解,在本申请中,第一应用程序的标识信息可以为身份标识(IdentityDocument,ID),还可以为指定的标识信息,主要可以用于识别该第一应用程序。本申请对第一应用程序的标识信息不做具体限定。但是需要注意,应用程序的标识信息不能太过于简单,以避免混淆。
S202:第二管理装置向第一管理装置发送第一应用程序的令牌、第一应用程序的公钥,以及第一装置与第一应用程序的对应关系;其中,第一应用程序运行于第一装置。
相应的,第一管理装置接收该第一应用程序的令牌、第一应用程序的公钥,以及第一装置与第一应用程序的对应关系。
在一种实施方式中,第二管理装置向第一管理装置发送第一应用程序的公钥,以及第一装置与第一应用程序的对应关系,包括:第二管理装置向第一管理装置发送第二应用请求消息,第二应用请求消息中携带第一应用程序的公钥,以及第一装置与第一应用程序的对应关系。
需要注意的是,第一管理装置可以为MEPM模块或MEPM所在的实体装置,第二管理装置可以为MANO模块或者MANO所在的实体装置。当MANO模块向MEPM模块发送第二应用请求信息之后,MEPM模块还需要向VIM/CIM模块请求资源,以获取可用的资源执行下述的工作。
可选的,第二管理装置在获得第一应用程序的标识信息之后,可以根据第一应用程序的标识信息,选择第一应用程序的公钥,还可以通过其他的方式获得第一应用程序的公钥,例如,第二管理装置根据预设的指示信息获取第一应用程序的公钥,本申请对此不做具体限定。
S203:第一管理装置向授权服务装置发送第一应用程序的公钥,以及第一装置与第一应用程序的对应关系。
相应的,授权服务装置接收第一应用程序的公钥,以及第一装置与第一应用程序的对应关系。
S204:第一管理装置从授权服务装置接收反馈信息,所述反馈消息用于指示授权服务装置已成功接收第一应用程序的公钥和对应关系。
S205:第一管理装置发送第一应用程序的令牌。
在一种实施方式中,第一管理装置发送所述第一应用程序的令牌,包括:第一管理装置向第一应用程序发送配置请求信息,第一应用程序接收该配置请求信息,配置请求信息中携带所述第一应用程序的令牌。
需要注意的是,在执行步骤S205时,第一管理装置可以为MEC架构中的MEPM模块,MEPM模块通过向MEC架构中的MEP模块发送配置请求信息,由MEP模块将配置请求信息发送给第一应用程序,第一应用程序接收该配置请求信息,获取其中第一应用程序的令牌。当MEP模块将配置请求发送给第一应用程序之后,MEP模块需要向MEPM模块返回配置请求信息的响应消息,用于向MEPM模块告知MEP模块已成功接收该配置请求信息并下发给第一应用程序。
若第一应用程序需要激活时,该方法还包括以下步骤:
S206:第一应用程序向授权服务装置发送激活请求信息。
相应的,授权服务装置接收该激活请求信息,激活请求信息中携带第一应用程序的令牌。
可选的,激活请求信息中携带的第一应用程序的令牌可以为加密的,从而可以防止第一应用程序的令牌在传输或使用中被泄漏或盗用,从而可以保证第一应用程序的令牌的安全性。
S207:授权服务装置使用第一应用程序的公钥对第一应用程序的令牌进行验证。
S208:若授权服务装置验证第一应用程序的令牌成功,生成第一授权信息。
可选的,第一授权信息可以为授权证书,还可以为其它可以用于向第一应用程序授权进行激活的信息或证书,本申请不做具体限定。
可以理解的是,若授权服务装置验证第一应用程序的令牌失败,那么第一授权信息无法生成,从而第一应用程序也无法被激活,后续的步骤则无需执行。
S209:授权服务装置根据第一装置与第一应用程序的对应关系,确定第一装置的校验信息,并且将第一授权信息与第一装置的校验信息进行绑定。
在一种实施方式中,授权服务装置根据第一装置与第一应用程序的对应关系,确定第一装置的校验信息,具体包括:授权服务装置可以事先获取并存储第一装置的校验信息和第二装置的校验信息;进一步,授权服务装置根据第一装置与第一应用程序的对应关系,在第一装置的校验信息和第二装置的校验信息中,确定第一装置的校验信息。
需要注意的是,本申请中的第二装置的校验信息可以包括除了第一装置的校验信息以外,用于运行应用程序的其它装置的校验信息。本申请对第二装置所包含的数量不做具体限定,第二装置可以为一个装置,也可以为多个装置的集合。
本申请中的第一装置校验信息可以为硬件指纹信息,还可以为其它用于区分使用该装置的用户或对象的信息,例如声音信息,本申请对第一装置的校验信息不做具体限定。
S210:授权服务装置向第一应用程序发送第一授权信息。
相应的,第一应用程序接收该第一授权信息,第一授权信息用于指示激活该第一应用程序。
通过上述步骤S210,若第一应用程序请求激活时,若第一装置的校验信息发生变化,则对应绑定的第一授权信息则无效,也就是说,若该第一应用程序请求运行于某一个装置,该装置并非第一装置,那么该装置的校验信息不是第一装置的校验信息,则服务授权装置通过对比该装置的校验信息与第一装置的校验信息,发现该装置的校验信息与第一装置的校验信息不同,从而判断第一授权信息无效,从而不能激活该第一应用程序,反之则判断第一授权信息有效,后续可以激活该第一应用程序。因此,第一应用程序即使接收到该第一授权信息,也无法被激活,从而可以保证应用程序的安全性。
S211:授权服务装置向第一管理装置发送第一响应信息。
相应的,第一管理装置接收该第一响应信息。
在该步骤S211中,授权服务装置向第一管理装置发送第一响应信息,用于向第一管理装置告知第一应用程序的激活。
在一种实施方式中,第一应用程序接收第一授权信息之后,还需要删除第一应用程序的令牌,从而可以保证第一应用程序的令牌的安全性,也释放了第一应用程序的令牌所占用的资源。
当第二应用程序请求启动时,该方法具体可以包括如图2B所示步骤S212-S223:
S212:第二应用程序向授权服务装置发送启动请求信息。
相应的,授权服务装置接收第二应用程序发送的启动请求消息,该启动请求消息中包括第二授权信息。
需要注意的是,第二应用程序可以为第一应用程序,还可以为其它的应用程序。
S213:授权服务装置根据该绑定关系,验证第二授权信息。
具体的,授权服务装置通过上述步骤S209已接收到第一装置的校验信息并已将第一装置的校验信息与第一授权信息绑定。因此,该绑定关系为第一装置的校验信息与第一授权信息的绑定关系。
S214:授权服务装置向第二应用程序发送第二响应信息。
相应的,第二应用程序接收该第二响应信息。
S213和S214具体可能包括以下两种情况:
第一种情况:若第二应用程序为第一应用程序时,即第二授权信息为第一授权信息,授权服务装置验证第二授权信息成功,则向第二应用程序发送第二响应信息,第二响应信息用于指示启动第二应用程序。
第二种情况:若第二应用程序与第一应用程序不同时,授权服务装置验证第二授权信息未成功,则向第二应用程序发送第二响应信息,第二响应信息用于指示不启动第二应用程序。
通过上述步骤S212-S214,可以保证启动第二应用程序的安全性。
当授权服务装置需要对已启动或正在运行的应用程序,如第一应用程序,进行鉴权(检测)时,可以执行如图2B所示的步骤S215-S218:
S215:授权服务装置向第一应用程序发送鉴权指示信息。
相应的,第一应用程序接收该鉴权指示信息。
需要注意的是,该步骤为授权服务装置定期或不定期的向已启动(即运行状态)的第一应用程序发起鉴权功能,具体的,授权服务装置可以通过向第一应用程序发送鉴权指示信息,该鉴权指示信息用于指示第一应用程序向授权服务装置发送自身的授权信息,从而授权服务装置对第一应用程序的授权信息进行验证,以保证运行态的第一应用程序为合法的,进而可以保证第一应用程序运行过程的安全性。
应理解,本申请中,授权服务装置定期或不定期的对运行态的应用程序进行鉴权(检测),既可以对第一应用程序发送该鉴权指示信息,还可以向其它运行态的应用程序发送该鉴权指示信息,本申请不做具体限定。
S216:第一应用程序向授权服务装置发送请求鉴权信息,该检测请求信息中包括第一应用程序的授权信息。
相应的,授权服务装置接收该请求鉴权信息。
S217:授权服务装置对第一应用程序的授权信息进行验证。
S218:授权服务装置向第一应用程序发送验证结果信息。
相应的,第一应用程序接收该验证结果信息。
在执行步骤S217和S218时,具体可能包括以下两种情况:
第一种情况:授权服务装置可以根据第一装置的校验信息,验证第一应用程序的授权信息成功,则向第一应用程序返回验证结果信息,以指示第一应用程序继续运行。
第二种情况:授权服务装置可以根据第一装置的校验信息,验证第一应用程序的授权信息失败,则向第一应用程序返回验证结果信息,以指示第一应用程序停止运行。
该第二种情况,第一应用程序的授权信息验证失败,可能包括但不限于以下几种原因:1)、第一装置的校验信息可能发生变化,例如使用的用户或对象不同,导致第一装置的校验信息发生改变,从而导致第一应用程序的授权信息验证失败。2)、第一应用程序的授权信息泄漏而导致被篡改,从而导致第一应用程序的授权信息验证失败。
当已激活的应用程序,如第一应用程序,请求解除激活时,可以执行如图2B所示的步骤S219-S223:
S219:第二管理装置向第一管理装置发送第一终止授权指示信息。
相应的,第一管理装置接收该第一终止授权指示信息。
S220:第一管理装置向第一应用程序发送第二终止授权指示信息。
相应的,该第一应用程序接收该第二终止授权指示信息。
第一应用程序接收第二终止授权指示信息后,终止激活状态。
第一应用程序终止激活状态后,还可以包括:向第一管理装置返回第二终止授权指示信息的响应信息,以告知已经成功终止激活。
S221:第一管理装置向授权服务装置发送解除授权信息。
相应的,授权服务装置接收该解除授权请求信息。
例如,解除授权请求信息中包括第一应用程序的标识信息。
S222:授权服务装置根据第一应用程序的标识信息,删除第一应用程序的授权信息。
S223:授权服务装置向第一管理装置发送解除授权请求消息的响应消息。
相应的,第一管理装置接收该解除授权请求消息的响应消息。
在一种实施方式中,授权服务装置向第一管理装置发送解除授权请求消息的响应消息之后,第一管理装置还需向第二管理装置发送第一终止授权指示信息的响应信息。
综上所述,本申请提供一种保护应用程序的方法,该方法中,授权服务装置从第一管理装置接收第一应用程序的公钥以及第一装置与第一应用程序的对应关系,并从第一应用程序接收第一应用程序的令牌之后,该授权服务装置可以使用第一应用程序的公钥验证第一应用程序的令牌,若验证通过,生成第一授权信息,并根据第一应用程序和第一装置之间的对应关系建立第一装置的校验信息,且将该第一授权信息与该第一装置的校验信息绑定。通过该方法,第一应用程序在第一装置可以被激活并运行,不仅保证了第一应用程序得到授权后被激活,也保证了第一应用程序在第一装置安装并激活,从而提升了第一应用程序的部署在运营商的平台上的安全性,降低了第一应用程序被随意复制的风险。
基于图2A-图2B所示的实施例提供的一种保护应用程序的方法,并以MEC部署的第一应用程序(APP)为例,结合以下几个具体的实例,对本申请的技术方案进行详细说明。
图3为本申请的一种保护应用程序的方法,该方法适用于应用程序的激活的过程。该方法可以包括以下步骤:
S301:OSS向MANO发送第一实例化请求信息。
相应的,MANO接收该第一实例化请求信息。
具体的,第一实例化请求信息中可以携带第一应用程序的标识信息,例如身份标识ID。
应理解,该OSS可以为上述图2A或图2B中的业务服务装置,MANO可以为上述图2A或图2B中的第二管理装置。
S302:MANO生成第一应用程序的令牌。
具体的,MANO根据该第一实例化请求信息中携带的第一应用程序的标识信息,生成第一应用程序的令牌。
需要注意的是,MANO还可以获取到第一应用程序与运行该第一应用程序的第一装置(硬件装置)的对应关系。
应理解,该步骤S302可以参考上述图2A中的步骤S201。
S303:MANO向MEPM发送第二实例化请求信息。
相应的,MEPM接收该第二实例化请求信息,第二实例化请求信息中可以携带第一应用程序的令牌。
需要注意的是,该第二实例化请求信息中还可以携带第一应用程序与运行该第一应用程序的第一装置的对应关系。
应理解,该步骤S303可以参考上述图2A中的步骤S202,图2A中的第一管理装置可以为MEPM。
S304:MEPM向VIM/CIM发送资源分配请求信息。
相应的,VIM/CIM接收该资源分配请求信息。
通过该步骤,MEPM向VIM/CIM发送资源分配请求信息,以请求虚拟化架构管理器分配相应的资源,以保证MEPM的正常工作。
S305:VIM/CIM向MEPM发送资源分配响应信息。
相应的,MEPM接收VIM/CIM发送的资源分配响应信息,从而MEPM可知VIM/CIM已成功接收资源分配请求信息,并为其分配相应的资源。
S306:MEPM向授权服务组件发送第一应用程序的公钥。
相应的,授权服务组件接收该第一应用程序的公钥。
需要注意的是,MEPM向授权服务组件发送第一应用程序的公钥时,还需要向授权服务组件发送第一应用程序与运行第一应用程序的第一装置的对应关系,进一步,授权服务组件可以根据该对应关系,从多个硬件装置信息中,获取运行该第一应用程序的第一装置的信息。
其中,运行第一应用程序的第一装置的信息可以包括但不限于包括:由授权服务组件获取的第一装置上的指纹信息、用户的其它生物信息、第一装置的属性信息。并且,第一装置的信息可以为授权服务组件临时获取的,或者为授权服务组件事先已获取并存储的,本申请对此不做具体限定。
应理解,该步骤S306可以参考上述图2A中的步骤S203,图2A中的授权服务装置可以为授权服务组件。
S307:授权服务组件向MEPM发送第一响应信息。
相应的,MEPM接收该第一响应信息,从而MEPM可知授权服务组件已成功接收第一应用程序的公钥,以及第一应用程序与运行第一应用程序的第一装置的对应关系。
应理解,该步骤S307可以参考上述图2A中的步骤S204。
S308:MEPM向MEP发送第一配置请求信息。
相应的,MEP接收MEPM发送的第一配置请求信息。
具体的,该第一配置请求信息中包括第一应用程序的令牌。
S309:MEP向第一应用程序发送第二配置请求信息。
相应的,第一应用程序接收该第二配置请求信息。
具体的,该第二配置请求信息中包括第一应用程序的令牌。
需要注意的是,第一应用程序接收该第二配置请求信息之后,还可以向MEP发送第二配置请求信息的响应信息,用于向MEP告知已经成功接收到第一应用程序的令牌。此部分虽然未在图3中展示,但实际中可能包括该步骤。
应理解,该步骤S308-S309可以参考上述图2A中的步骤S205。MEPM可以通过MEP向第一应用程序发送第一应用程序的令牌。
S310:MEP向MEPM发送第一配置请求信息的响应信息。
相应的,MEPM接收MEP发送的第一配置请求信息的响应信息,从而MEPM可知MEP已经成功接收第一应用程序的令牌并向第一应用程序发送该令牌。
当第一应用程序需要被激活时,可以执行以下步骤:
S311:第一应用程序向授权服务组件发送激活请求信息。
相应的,授权服务组件接收该激活请求信息。
具体的,该激活请求信息中包括第一应用程序的令牌。
需要注意的是,第一应用程序向授权服务组件发送的第一应用程序的令牌可以为未加密的令牌,也可以为加密的令牌,本申请不做具体限定。
另外,若第一应用程序的令牌为加密的令牌时,该加密的令牌是由第一应用程序使用自身存储的私钥对第一应用程序的令牌进行加密的,相应的,授权服务组件接收到加密的第一应用程序的令牌之后,可以使用第一应用程序的公钥对该第一应用程序的令牌先解密,再执行下述步骤S312中的验证过程。
应理解,该步骤S311可以参考上述图2A中的步骤S206。
S312:若授权服务组件校验第一应用程序的令牌成功,生成授权信息,并将授权信息与第一装置的信息进行绑定。
具体的,授权服务组件可以使用事先接收的公钥对接收该激活请求信息中的第一应用程序的令牌进行验证,当验证成功时,生成第一应用程序的授权信息,该授权信息用于指示激活该第一应用程序,该授权信息可以为License。
另外,授权服务组件在步骤S306时,接收到由MEPM发送的第一应用程序与运行第一应用程序的第一装置的对应关系,然后,授权服务组件可以根据该对应关系,从多个硬件装置信息中,获取该第一应用程序的第一装置的信息;进一步的,授权服务组件可以将第一应用程序的授权信息与该第一应用程序的第一装置的信息进行绑定。
该步骤中,将第一应用程序的授权信息与该第一应用程序的第一装置的信息进行绑定,使得该第一应用程序的授权信息与运行第一应用程序的硬件装置一一对应,当运行第一应用程序的第一装置的信息改变时,例如,运行第一应用程序的第一装置改变或者装置上的指纹信息改变,则该第一应用程序的授权信息为无效,从而该第一应用程序无法被激活,从而可以保证该第一应用程序的使用安全性。
应理解,该步骤S312可以参考上述图2A中的步骤S207-S209。
S313:授权服务组件向第一应用程序发送第一应用程序的授权信息。
相应的,第一应用程序接收第一应用程序的授权信息。
应理解,该步骤S313可以参考上述图2A中的步骤S210。
S314:第一应用程序向授权服务组件发送第二响应消息。
相应的,授权服务组件接收该第二响应消息,从而授权服务组件可知第一应用程序已经成功接收第一应用程序的授权信息。
S315:授权服务组件向MEPM发送第三响应信息。
相应的,MEPM接收该第三响应信息。
应理解,该步骤S315可以参考上述图2A中的步骤S211。
S316:MEPM向MANO发送第二实例化请求信息的响应信息。
相应的,MANO接收该第二实例化请求信息的响应信息。
S317:MANO向OSS发送第一实例化请求信息的响应信息。
相应的,OSS接收该第一实例化请求信息的响应信息。
上述步骤S315-S317为授权服务组件通过MEPM和MANO向OSS反馈第一应用程序的激活情况,此处不再具体赘述。
综上所述,上述图3实施例为激活第一应用程序的过程,授权服务装置可以使用公钥验证第一应用程序的令牌通过后,生成第一授权信息,并根据第一应用程序和第一装置之间的对应关系建立第一装置的校验信息,且将第一授权信息与第一装置的校验信息绑定。通过该方法,第一应用程序在第一装置可以被激活并运行,不仅保证了第一应用程序得到授权后被激活,也保证了第一应用程序在第一装置安装并激活,从而提升了第一应用程序的部署安全性,降低了第一应用程序被随意复制的风险。
图4为本申请的一种保护应用程序的方法,该方法应用于第一应用程序的启动过程。一种可能的情况,该第一应用程序的启动过程可以在图3所示的第一应用程序激活过程后执行,该方法可以包括以下步骤:
S401:第一应用程序向授权服务组件发送请求启动信息。
具体的,该请求启动信息中包括第一应用程序的授权信息。
应理解,该步骤S401可以参考上述图2B中的步骤S212。图2B中的第二应用程序可以为第一应用程序或其它的应用程序,该实施例以第一应用程序为例。
S402:授权服务组件对第一应用程序的授权信息进行验证。
由于第一应用程序在启动之前已被激活,第一应用程序拥有由授权服务组件分配的授权信息,该授权信息在授权服务组件中已与第一装置的校验信息完成绑定。其中,第一应用程序运行于第一装置上。
因此,授权服务组件接收到第一应用程序的授权信息之后,可以使用第一装置的校验信息,验证第一应用程序的授权信息。
其中,该第一装置的校验信息可以包括但不限于包括:由授权服务组件获取的第一装置上的指纹信息、用户的其它生物信息、第一装置的属性信息。并且,第一装置的校验信息可以为授权服务组件临时获取的,或者为授权服务组件事先已获取并存储的,本申请对此不做具体限定。
应理解,该步骤S402可以参考上述图2B中的步骤S213。
S403:授权服务组件向第一应用程序发送请求启动响应信息。
S404:第一应用程序根据该请求启动响应信息,确定启动成功或启动失败。
在执行步骤S402-步骤S404时,该方法包括以下两种情况:
第一种情况:授权服务组件对第一应用程序的授权信息进行验证成功,授权服务组件向第一应用程序发送请求启动响应信息,第一应用程序根据该请求启动响应信息,启动第一应用程序。
第二种情况:授权服务组件对第一应用程序的授权信息进行验证失败,授权服务组件向第一应用程序发送请求启动响应信息,第一应用程序根据该请求启动响应信息,不启动第一应用程序。
应理解,该步骤S403-S404可以参考上述图2B中的步骤S214。
需要注意的是,以上步骤S401-S404为第一应用程序的启动过程,其它的已激活的应用程序同样可以参考第一应用程序的请求启动过程以实现启动,此处不再具体赘述。
综上所述,上述图4实施例为启动第一应用程序的过程,第一应用程序可以向授权服务组件发送请求启动信息,从而授权服务组件可以使用运行第一应用程序的第一装置的校验信息,对请求启动信息中的授权信息进行验证,在验证之后,授权服务组件向第一应用程序发送启动响应信息,以指示是否能启动第一应用程序,从而可以保证启动第一应用程序的安全性。
图5为本申请的一种保护应用程序的方法,该方法适用于授权服务组件主动对运行态的第一应用程序进行鉴权(检测)过程。该方法可以包括以下步骤:
S501:授权服务组件向第一应用程序发送鉴权指示信息。
相应的,第一应用程序接收该鉴权指示信息。
应理解,该步骤S501可以参考上述图2B中的步骤S215。
在第一应用程序在接收鉴权指示信息之后,可以执行如图5所示的步骤S502-S505:
S502:第一应用程序向授权服务组件发送鉴权请求信息。
相应的,授权服务组件接收该鉴权请求信息。
具体的,该鉴权请求信息中携带第一应用程序的授权信息,该授权信息可以为License。
应理解,该步骤S502可以参考上述图2B中的步骤S216。
S503:授权服务组件对第一应用程序的授权信息进行验证。
具体的,由于第一应用程序在启动之前已被激活,第一应用程序拥有由授权服务组件分配的授权信息,并且该授权信息在授权服务组件中已与第一装置的校验信息完成绑定。其中,第一应用程序运行于第一装置上。
因此,授权服务组件接收到第一应用程序的授权信息后,可以使用第一装置的校验信息,验证第一应用程序的授权信息。
其中,该第一装置的校验信息可以包括但不限于包括:由授权服务组件获取的第一装置上的指纹信息、用户的其它生物信息、第一装置的属性信息。并且,第一装置的校验信息可以为授权服务组件临时获取的,或者为授权服务组件事先已获取并存储的,本申请对此不做具体限定。
应理解,该步骤S503可以参考上述图2B中的步骤S217的描述。
S504:授权服务组件向第一应用程序发送鉴权请求信息的响应信息。
相应的,第一应用程序接收该鉴权请求信息的响应信息。
S505:第一应用程序根据该鉴定请求信息的响应信息,确定继续运行或停止运行。
在执行上述步骤S503-S505时,该方法可以包括以下几种情况:
一种情况:授权服务组件对第一应用程序的授权信息进行验证成功,授权服务组件向第一应用程序发送鉴定请求信息的响应信息,第一应用程序根据鉴定请求信息的响应信息,确定继续运行。
一种情况:授权服务组件对第一应用程序的授权信息进行验证失败,授权服务组件向第一应用程序发送鉴定请求信息的响应信息,第一应用程序根据鉴定请求信息的响应信息,确定停止运行。
应理解,步骤S504-S505可以参考上述图2B中的步骤S218。
综上所述,上述图5实施例为运行态的第一应用程序的检测过程,当第一应用程序在运行时,授权服务组件对第一应用程序发送鉴权指示信息,指示第一应用程序向授权服务组件发送鉴权请求信息,进一步的,授权服务组件对该鉴权请求信息中的授权信息进行验证,在验证之后,授权服务组件向第一应用程序发送鉴权请求信息的响应信息,以指示第一应用程序是否继续运行,从而可以保证运行中的应用程序的安全性。
需要注意的是,以上步骤S501-S505为授权服务组件对运行态的第一应用程序进行鉴权(检测)的过程,其它的运行态的应用程序同样可以参考第一应用程序的鉴权过程以实现鉴权,此处不再具体赘述。
图6为本申请的一种保护应用程序的方法,该方法适用于解除应用程序激活的过程。该方法可以包括以下步骤:
S601:OSS向MANO发送第一实例化终止请求信息。
相应的,MANO接收该第一实例化终止请求信息。
S602:MANO向MEPM发送第二实例化终止请求信息。
相应的,MEPM接收该第二实例化终止请求信息。
应理解,步骤S601-S602可以参考上述图2B中的步骤S219,图2B中的第一装置为MEPM,第二装置为MANO,业务服务装置为OSS。
S603:MEPM向MEP发送第三实例化终止请求信息。
相应的,MEP接收该第三实例化终止请求信息。
上述步骤S601-S603中涉及的第一实例化终止请求信息和第二实例化终止请求信息,以及第三实例化终止请求信息可以相同,也可以不相同,本申请不做具体限定。
另外,第一实例化终止请求信息和第二实例化终止请求信息,以及第三实例化终止请求信息中均携带第一应用程序的标识信息。
S604:MEP向第一应用程序发送终止激活指示信息。
在一种实施方式中,MEP可以根据第三实例化终止请求信息中包括的第一应用程序的标识信息,确定第一应用程序,进而MEP可以向第一应用程序发送终止激活指示信息,第一应用程序接收到该终止激活指示信息后,即终止激活状态。
应理解,步骤S603-S604可以参考上述图2B中的步骤S220,MEPM可以通过MEP向第一应用程序发送终止激活指示信息。
S605:第一应用程序向MEP发送终止响应信息。
相应的,MEP接收该终止响应信息,从而MEP可知第一应用程序已成功接收终止激活指示信息并终止激活。
S606:MEP向MEPM发送第三实例化终止请求信息的响应信息。
相应的,MEPM接收该第三实例化终止请求信息的响应信息,从而MEPM可知第一应用程序已终止激活。
应理解,步骤S605-S606为第一应用程序通过MEP向MEPM发送终止请求信息的响应信息的过程。
S607:MEPM向授权服务组件发送解除授权请求信息。
相应的,授权服务组件接收该解除授权请求信息。
在步骤中,MEPM确定第一应用程序终止激活,则向授权服务组件发送该解除授权请求信息,该解除授权请求信息中携带第一应用程序的标识信息。
应理解,该步骤S607可以参考上述图2B中的步骤S221。
S608:授权服务组件删除第一应用程序的授权信息。
具体的,授权服务组件可以根据解除授权请求信息中携带第一应用程序的标识信息,删除(注销)第一应用程序对应的授权信息,第一应用程序对应的授权信息可以为License。
应理解,该步骤S608可以参考上述图2B中的步骤S222。
S609:授权服务组件向MEPM发送解除授权响应信息。
相应的,MEPM接收该解除授权响应信息,从而MEPM可知授权服务组件已成功删除(注销)第一应用程序的授权信息。
应理解,该步骤S609可以参考上述图2B中的步骤S223。
S610:MEPM向VIM/CIM发送资源删除请求信息。
相应的,VIM/CIM接收该资源删除请求信息。
MEPM向VIM/CIM发送资源删除请求信息,以请求释放所占用的资源。
S611:VIM/CIM删除本地授权信息所占的资源。
通过该步骤,可以删除本地第一应用程序的授权信息所占的资源,使得资源得到灵活运用。
S612:VIM/CIM向MEPM发送资源删除响应信息。
相应的,MEPM接收该资源删除响应信息,从而可知VIM/CIM已成功删除本地授权信息所占的资源。
S613:MEPM向MANO发送第二实例化终止请求信息的响应信息。
相应的,MANO接收该第二实例化终止请求信息的响应信息。
S614:MANO向OSS发送第一实例化终止请求信息的响应信息。
相应的,OSS接收该第一实例化终止请求信息的响应信息。
上述步骤S613-S614为MEPM通过MANO向OSS反馈第一应用解除激活的最终结果。
综上所述,上述图6实施例为解除第一应用程序激活的过程,当OSS侧发起第一应用程序的实例化终止请求时,第一应用程序接收终止激活指示信息之后,即可终止激活状态,并且授权服务组件接收解除授权请求信息后删除第一应用程序的授权信息,以及VIM/CIM接收资源删除请求信息后删除第一应用程序的授权信息占用的资源,该方法不仅保证了第一应用程序的授权信息的安全性,也保证了资源的灵活性。
需要注意的是,以上步骤S601-S614为解除第一应用程序激活的过程,其它已激活的应用程序同样可以参考第一应用程序解除激活的过程以实现解除激活,此处不再具体赘述。
基于同一技术构思,本申请实施例提供一种保护应用程序的装置,该装置可以包括执行上述方法实施例中授权服务装置所描述的方法/操作/步骤/动作所一一对应的模块或单元,该模块或单元可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。该装置可以具有如图7所示的结构。
如图7所示,该装置700可包括接收单元701、处理单元702、发送单元703,下面对各单元进行具体的介绍。
所述接收单元701,用于从第一管理装置接收第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系,所述第一应用程序运行于所述第一装置;还用于从第一应用程序接收所述第一应用程序的令牌;所述处理单元702,用于使用所述第一应用程序的公钥对所述第一应用程序的令牌进行验证;若验证所述第一应用程序的令牌成功,生成第一授权信息;根据所述对应关系,确定所述第一装置的校验信息;将所述第一授权信息与所述校验信息进行绑定;所述发送单元703,用于向所述第一应用程序发送所述第一授权信息,所述第一授权信息用于指示激活所述第一应用程序。
一种可能的设计中,所述接收单元701,在从第一应用程序接收所述第一应用程序的令牌时,具体用于:从第一应用程序接收激活请求消息;所述激活请求消息中携带所述第一应用程序的令牌。
一种可能的设计中,所述处理单元702,在根据所述对应关系,确定所述第一装置的校验信息时,具体用于:通过所述接收单元701获取所述第一装置的校验信息和第二装置的校验信息;根据所述对应关系,在所述第一装置的校验信息和所述第二装置的校验信息中,选择所述第一装置的校验信息。
一种可能的设计中,所述第一应用程序的令牌为加密的令牌。
一种可能的设计中,所述发送单元703,还用于:发送第一响应信息,所述第一响应信息用于指示所述第一应用程序的激活。
一种可能的设计中,所述处理单元702,还用于:当所述接收模块接收第二应用程序的启动请求信息时,所述启动请求信息中包括所述第二应用程序的第二授权信息;可以根据所述绑定关系,验证所述第二授权信息。
一种可能的设计中,所述第二应用程序为所述第一应用程序,所述发送单元703,还用于:所述第二授权信息为所述第一授权信息,所述处理模块验证所述第二授权信息成功,向所述第二应用程序发送第二响应信息,所述第二响应信息用于指示启动所述第二应用程序。
一种可能的设计中,所述第二应用程序与所述第一应用程序不同,所述发送单元703,还用于:在所述处理单元702验证所述第二授权信息未成功,向所述第二应用程序发送第二响应信息,所述第二响应信息用于指示不启动所述第二应用程序。
一种可能的设计中,所述处理单元702,还用于:通过所述接收模块接收解除授权请求信息,所述解除授权请求信息中包括所述第一应用程序的标识信息;根据所述第一应用程序的标识信息,删除所述第一应用程序的授权信息;通过所述发送模块发送所述解除授权请求消息的响应信息。
一种可能的设计中,所述第一授权信息为授权证书。
基于同一技术构思,本申请实施例提供一种保护应用程序的装置,该装置可以包括执行上述方法实施例中第一应用程序所描述的方法/操作/步骤/动作所一一对应的模块或单元,该模块或单元可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。该装置也可以具有如图7所示的结构。
如图7所示,该装置700可包括接收单元701、处理单元702、发送单元703,下面对各单元进行具体的介绍。
所述接收单元701,用于从第一管理装置接收第一应用程序的令牌;所述发送单元703,用于向授权服务装置发送所述第一应用程序的令牌;所述接收单元701,还用于若所述第一应用程序的令牌被验证成功,从所述授权服务装置接收第一授权信息,所述第一授权信息用于指示激活所述第一应用程序。
一种可能的设计中,所述接收单元701,在从第一管理装置接收第一应用程序的令牌时,具体用于:通过所述第一管理装置从所述第二管理装置接收配置请求信息,所述配置请求信息中携带所述第一应用程序的令牌。
一种可能的设计中,所述发送单元703,在向授权服务装置发送所述第一应用程序的令牌时,具体用于:向授权服务装置发送激活请求信息,所述激活请求信息中携带所述第一应用程序的令牌。
一种可能的设计中,所述发送单元703,还用于:在所述接收模块从所述授权服务装置接收第一授权信息之后,向所述授权服务装置发送返回所述第一授权信息的响应信息。
一种可能的设计中,所述处理单元702,用于:删除所述第一应用程序的令牌。
一种可能的设计中,所述第一授权信息为授权证书。
一种可能的设计中,所述发送单元703,还用于:向所述授权服务装置发送启动请求信息,所述启动请求信息中包括所述第一授权信息。
一种可能的设计中,所述接收单元701,还用于:接收所述授权服务装置发送的第二响应信息,所述第二响应信息为所述授权服务装置根据所述第一装置的校验信息对所述第一授权信息验证成功后发送的,所述第二响应信息用于指示启动所述第一应用程序。
一种可能的设计中,所述接收单元701,还用于:接收第二终止激活指示信息,所述第二终止激活指示信息用于指示解除所述第一应用程序的激活;所述发送模块,还用于返回所述第二终止激活信息的响应消息。
基于同一技术构思,本申请实施例提供一种保护应用程序的装置,该装置可以包括执行上述方法实施例中第一管理装置所描述的方法/操作/步骤/动作所一一对应的模块或单元,该模块或单元可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。该装置也可以具有如图7所示的结构。
如图7所示,该装置700可包括接收单元701、处理单元702、发送单元703,下面对各单元进行具体的介绍。
所述接收单元701,用于从第二管理装置接收第一应用程序的令牌、所述第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系;所述第一应用程序运行于所述第一装置,所述第一应用程序的公钥用于验证所述第一应用程序的令牌;所述发送单元703,用于向授权服务装置发送所述第一应用程序的公钥和所述对应关系;所述接收单元701,还用于从所述授权服务装置接收反馈信息,所述反馈信息用于指示所述授权服务装置已接收所述第一应用程序的公钥和所述对应关系;所述发送单元703,还用于发送所述第一应用程序的令牌。
一种可能的设计中,所述接收单元701,在从第二管理装置接收第一应用程序的令牌、所述第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系时,具体用于:从所述第二管理装置接收第二应用请求信息,所述第二应用请求信息中携带所述第一应用程序的令牌、所述第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系。
一种可能的设计中,所述发送单元703,在发送所述第一应用程序的令牌时,具体用于:向所述第一应用程序发送配置请求信息,所述配置请求信息中携带所述第一应用程序的令牌。
一种可能的设计中,所述接收单元701,还用于:在所述发送单元703向所述第一应用程序发送配置请求信息之后,从所述第一应用程序接收所述配置请求消息的响应消息,所述配置请求消息的响应消息用于指示所述第一应用程序已接收所述第一应用程序的令牌。
一种可能的设计中,所述接收单元701,还用于:从所述授权服务装置接收第一响应消息,所述第一响应消息用于指示所述第一应用程序的激活。
基于同一技术构思,本申请实施例提供一种保护应用程序的装置,该装置可以包括执行上述方法实施例中第二管理装置所描述的方法/操作/步骤/动作所一一对应的模块或单元,该模块或单元可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。该装置也可以具有如图7所示的结构。
如图7所示,该装置700可包括接收单元701、处理单元702、发送单元703,下面对各单元进行具体的介绍。
所述处理单元702,用于生成第一应用程序的令牌;
所述发送单元703,用于发送所述第一应用程序的令牌、所述第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系,所述第一应用程序运行于所述第一装置,其中,所述第一应用程序的公钥用于验证所述令牌,所述对应关系用于确定所述第一装置的校验信息,所述第一装置的校验信息用于与第一授权信息绑定,所述第一授权信息为授权服务装置验证所述第一应用程序的令牌成功后生成的。
一种可能的设计中,所述接收单元701,用于在所述处理单元702生成第一应用程序的令牌之前,从业务服务装置接收第一应用请求信息,所述第一应用请求信息中携带所述第一应用程序的标识信息。
一种可能的设计中,所述发送单元703,在发送所述第一应用程序的令牌、所述第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系时,具体用于:
发送第二应用请求信息,所述第二应用请求信息中携带所述第一应用程序的令牌、所述第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系。
一种可能的设计中,所述发送单元703,还用于:通过接收单元701接收所述第二应用请求信息的响应消息,所述第二应用请求信息的响应信息用于指示所述第一应用程序的激活;向所述业务服务装置发送所述第一应用请求信息的响应消息,所述第一应用请求消息的响应消息用于指示所述第一应用程序的激活。
一种可能的设计中,所述接收单元701,用于从所述业务服务装置接收所述第一应用程序的第一终止激活指示信息,所述第一终止激活指示信息用于指示解除所述第一应用程序的激活;所述发送单元703,用于发送第二终止激活指示信息,所述第二终止激活指示信息用于指示解除所述第一应用程序的激活;所述接收单元701,还用于接收所述第二终止激活指示信息的响应信息;所述第二管理装置向所述授权服务装置发送解除授权请求信息。
一种可能的设计中,所述接收单元701,还用于:从所述授权服务装置接收所述解除授权请求消息的响应信息。
基于同一技术构思,本申请实施例提供一种保护应用程序的设备,该设备可以包括执行上述方法实施例中授权服务装置所描述的方法/操作/步骤/动作所一一对应的模块或单元,该模块或单元可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。该装置可以具有如图8所示的结构。
如图8所示,该装置800可包括接收模块801、处理模块802、发送模块803,下面对各模块进行具体的介绍。
所述接收模块801,用于从第一管理装置接收第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系,所述第一应用程序运行于所述第一装置;还用于从第一应用程序接收所述第一应用程序的令牌;所述处理模块802,用于使用所述第一应用程序的公钥对所述第一应用程序的令牌进行验证;若验证所述第一应用程序的令牌成功,生成第一授权信息;根据所述对应关系,确定所述第一装置的校验信息;将所述第一授权信息与所述校验信息进行绑定;所述发送模块803,用于向所述第一应用程序发送所述第一授权信息,所述第一授权信息用于指示激活所述第一应用程序。
一种可能的设计中,所述接收模块801,在从第一应用程序接收所述第一应用程序的令牌时,具体用于:从第一应用程序接收激活请求消息;所述激活请求消息中携带所述第一应用程序的令牌。
一种可能的设计中,所述处理模块802,在根据所述对应关系,确定所述第一装置的校验信息时,具体用于:通过所述接收模块801获取所述第一装置的校验信息和第二装置的校验信息;根据所述对应关系,在所述第一装置的校验信息和所述第二装置的校验信息中,确定所述第一装置的校验信息。
一种可能的设计中,所述第一应用程序的令牌为加密的令牌。
一种可能的设计中,所述发送模块803,还用于:发送第一响应信息,所述第一响应信息用于指示所述第一应用程序的激活。
一种可能的设计中,所述处理模块802,还用于:当所述接收模块接收第二应用程序的启动请求信息时,所述启动请求信息中包括所述第二应用程序的第二授权信息;根据所述绑定的关系,验证所述第二授权信息。
一种可能的设计中,所述第二应用程序为所述第一应用程序,所述发送模块803,还用于:所述第二授权信息为所述第一授权信息,所述处理模块验证所述第二授权信息成功,向所述第二应用程序发送第二响应信息,所述第二响应信息用于指示启动所述第二应用程序。
一种可能的设计中,所述第二应用程序与所述第一应用程序不同,所述发送模块803,还用于:在所述处理模块802验证所述第二授权信息未成功,向所述第二应用程序发送第二响应信息,所述第二响应信息用于指示不启动所述第二应用程序。
一种可能的设计中,所述处理模块802,还用于:通过所述接收模块接收解除授权请求信息,所述解除授权请求信息中包括所述第一应用程序的标识信息;根据所述第一应用程序的标识信息,删除所述第一应用程序的授权信息;通过所述发送模块发送所述解除授权请求消息的响应信息。
一种可能的设计中,所述第一授权信息为授权证书。
基于同一技术构思,本申请实施例提供一种保护应用程序的设备,该设备可以包括执行上述方法实施例中第一应用程序所描述的方法/操作/步骤/动作所一一对应的模块或模块,该模块或模块可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。该装置也可以具有如图8所示的结构。
如图8所示,该装置800可包括接收模块801、处理模块802、发送模块803,下面对各模块进行具体的介绍。
所述接收模块801,用于从第一管理装置接收第一应用程序的令牌;所述发送模块803,用于向授权服务装置发送所述第一应用程序的令牌;所述接收模块801,还用于若所述第一应用程序的令牌被验证成功,从所述授权服务装置接收第一授权信息,所述第一授权信息为所述授权服务装置在验证所述第一应用程序的令牌成功后生成的,所述第一授权信息用于指示激活所述第一应用程序。
一种可能的设计中,所述接收模块801,在从第一管理装置接收第一应用程序的令牌时,具体用于:从所述第二管理装置接收配置请求信息,所述配置请求信息中携带所述第一应用程序的令牌。
一种可能的设计中,所述发送模块803,在向授权服务装置发送所述第一应用程序的令牌时,具体用于:向授权服务装置发送激活请求信息,所述激活请求信息中携带所述第一应用程序的令牌。
一种可能的设计中,所述发送模块803,还用于:在所述接收模块从所述授权服务装置接收第一授权信息之后,向所述授权服务装置返回所述第一授权信息的响应信息。
一种可能的设计中,所述处理模块802,用于:删除所述第一应用程序的令牌。
一种可能的设计中,所述第一授权信息为授权证书。
一种可能的设计中,所述发送模块803,还用于:向所述授权服务装置发送启动请求信息,所述启动请求信息中包括所述第一授权信息。
一种可能的设计中,所述接收模块801,还用于:接收所述授权服务装置发送的第二响应信息,所述第二响应信息为所述授权服务装置根据所述第一装置的校验信息对所述第一授权信息验证成功后发送的,所述第二响应信息用于指示启动所述第一应用程序。
一种可能的设计中,所述接收模块801,还用于:接收第二终止激活指示信息,所述第二终止激活指示信息用于指示解除所述第一应用程序的激活;所述发送模块,还用于返回所述第二终止激活信息的响应消息。
基于同一技术构思,本申请实施例提供一种保护应用程序的设备,该设备可以包括执行上述方法实施例中第一管理装置所描述的方法/操作/步骤/动作所一一对应的模块或模块,该模块或模块可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。该装置也可以具有如图8所示的结构。
如图8所示,该装置800可包括接收模块801、处理模块802、发送模块803,下面对各模块进行具体的介绍。
所述接收模块801,用于从第二管理装置接收第一应用程序的令牌、所述第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系,所述第一应用程序运行于所述第一装置,所述第一应用程序的公钥用于验证所述第一应用程序的令牌;所述发送模块803,用于向授权服务装置发送所述第一应用程序的公钥和所述对应关系;所述接收模块801,还用于从所述授权服务装置接收反馈信息,所述反馈消息用于指示所述授权服务装置已接收所述第一应用程序的公钥和所述对应关系;所述发送模块803,还用于发送所述第一应用程序的令牌。
一种可能的设计中,所述接收模块801,在从第二管理装置接收第一应用程序的令牌、所述第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系时,具体用于:从所述第二管理装置接收第二应用请求信息,所述第二应用请求信息中携带所述第一应用程序的令牌、所述第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系。
一种可能的设计中,所述发送模块803,在发送所述第一应用程序的令牌时,具体用于:向所述第一应用程序发送配置请求信息,所述配置请求信息中携带所述第一应用程序的令牌。
一种可能的设计中,所述接收模块801,还用于:在所述发送模块803向所述第一应用程序发送配置请求信息之后,从所述第一应用程序接收所述配置请求消息的响应消息,所述配置请求消息的响应消息用于指示所述第一应用程序已接收所述第一应用程序的令牌。
一种可能的设计中,所述接收模块801,还用于:从所述授权服务装置接收第一响应消息,所述第一响应消息用于指示所述第一应用程序的激活。
基于同一技术构思,本申请实施例提供一种保护应用程序的设备,该装置可以包括执行上述方法实施例中第二管理装置所描述的方法/操作/步骤/动作所一一对应的模块或模块,该模块或模块可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。该装置也可以具有如图8所示的结构。
如图8所示,该装置800可包括接收模块801、处理模块802、发送模块803,下面对各模块进行具体的介绍。
所述处理模块802,用于生成第一应用程序的令牌;
所述发送模块803,用于发送所述第一应用程序的令牌、所述第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系,所述第一应用程序运行于所述第一装置,其中,所述第一应用程序的公钥用于验证所述令牌,所述对应关系用于确定所述第一装置的校验信息,所述第一装置的校验信息用于与第一授权信息绑定,所述第一授权信息为授权服务装置验证所述第一应用程序的令牌成功后生成的。
一种可能的设计中,所述接收模块801,用于在所述处理模块802生成第一应用程序的令牌之前,从业务服务装置接收第一应用请求信息,所述第一应用请求信息中携带所述第一应用程序的标识信息。
一种可能的设计中,所述发送模块803,在发送所述第一应用程序的令牌、所述第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系时,具体用于:
发送第二应用请求信息,所述第二应用请求信息中携带所述第一应用程序的令牌、所述第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系。
一种可能的设计中,所述发送模块803,还用于:通过接收模块801接收所述第二应用请求信息的响应消息,所述第二应用请求信息的响应信息用于指示所述第一应用程序的激活;向所述业务服务装置发送所述第一应用请求信息的响应消息,所述第一应用请求消息的响应消息用于指示所述第一应用程序的激活。
一种可能的设计中,所述接收模块801,用于从所述业务服务装置接收所述第一应用程序的第一终止激活指示信息,所述第一终止激活指示信息用于指示解除所述第一应用程序的激活;所述发送模块803,用于发送第二终止激活指示信息,所述第二终止激活指示信息用于指示解除所述第一应用程序的激活;所述接收模块801,还用于接收所述第二终止激活指示信息的响应信息;所述第二管理装置向所述授权服务装置发送解除授权请求信息。
一种可能的设计中,所述接收模块801,还用于:从所述授权服务装置接收所述解除授权请求消息的响应信息。
上述的发送模块801和处理模块802以及发送模块803之间可以通过总线804相连。
基于与上述方法实施例相同构思,本申请实施例还提供了一种计算机可读存储介质,其上存储有一些指令,这些指令被计算机调用执行时,可以使得计算机完成上述方法实施例、方法实施例的任意一种可能的设计中所涉及的方法。本申请实施例中,对计算机可读存储介质不做限定,例如,可以是RAM(random-access memory,随机存取存储器)、ROM(read-only memory,只读存储器)等。
基于与上述方法实施例相同构思,本申请还提供一种计算机程序产品,该计算机程序产品在被计算机调用执行时可以完成方法实施例以及上述方法实施例任意可能的设计中所涉及的方法。
基于与上述方法实施例相同构思,本申请还提供一种芯片,该芯片可以包括处理器以及接口电路,用于完成上述方法实施例、方法实施例的任意一种可能的实现方式中所涉及的方法,其中,“耦合”是指两个部件彼此直接或间接地结合,这种结合可以是固定的或可移动性的,这种结合可以允许流动液、电、电信号或其它类型信号在两个部件之间进行通信。
综上所述,本申请提供一种保护应用程序的方法,该方法中,授权服务装置从第一管理装置接收第一应用程序的公钥以及第一装置与第一应用程序的对应关系,并从第一应用程序接收第一应用程序的令牌之后,该授权服务装置可以使用第一应用程序的公钥验证第一应用程序的令牌,若验证通过,生成第一授权信息,并根据第一应用程序和第一装置之间的对应关系建立第一装置的校验信息,且将该第一授权信息与该第一装置的校验信息绑定。通过该方法,第一应用程序在第一装置可以被激活并运行,不仅保证了第一应用程序得到授权后被激活,也保证了第一应用程序在第一装置安装并激活,从而提升了第一应用程序的部署在运营商的平台上的安全性,降低了第一应用程序被随意复制的风险。
需要注意的是,本申请实施例涉及的至少一个,包括一个或者多个;其中,多个是指大于或者等于两个。另外,需要理解的是,在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
以下实施例中所使用的术语只是为了描述特定实施例的目的,而并非旨在作为对本申请的限制。如在本申请的说明书和所附权利要求书中所使用的那样,单数表达形式“一种”、“所述”、“上述”、“该”和“这一”旨在也包括例如“一个或多个”这种表达形式,除非其上下文中明确地有相反指示。还应当理解,在本申请实施例中,“一个或多个”是指一个或两个以上(包含两个);“和/或”,描述关联对象的关联关系,表示可以存在三种关系;例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A、B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。
在本说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能模块可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
本申请实施例提供了一种计算机可读存储介质,存储有计算机程序,该计算机程序包括用于执行上述方法实施例的指令。
本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述方法实施例。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本申请实施例可以用硬件实现,或固件实现,或它们的组合方式来实现。当使用软件实现时,可以将上述功能存储在计算机可读介质中或作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于:计算机可读介质可以包括RAM、ROM、电可擦可编程只读存储器(electrically erasable programmable read only memory,EEPROM)、只读光盘(compactdisc read-Only memory,CD-ROM)或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。此外。任何连接可以适当的成为计算机可读介质。例如,如果软件是使用同轴电缆、光纤光缆、双绞线、数字用户线(digital subscriber line,DSL)或者诸如红外线、无线电和微波之类的无线技术从网站、服务器或者其他远程源传输的,那么同轴电缆、光纤光缆、双绞线、DSL或者诸如红外线、无线和微波之类的无线技术包括在所属介质的定影中。如本申请实施例所使用的,盘(disk)和碟(disc)包括压缩光碟(compact disc,CD)、激光碟、光碟、数字通用光碟(digital video disc,DVD)、软盘和蓝光光碟,其中盘通常磁性的复制数据,而碟则用激光来光学的复制数据。上面的组合也应当包括在计算机可读介质的保护范围之内。
总之,以上所述仅为本申请的实施例而已,并非用于限定本申请的保护范围。凡根据本申请的揭露,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (30)
1.一种保护应用程序的方法,其特征在于,包括:
授权服务装置从第一管理装置接收第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系,所述第一应用程序运行于所述第一装置;
所述授权服务装置从所述第一应用程序接收所述第一应用程序的令牌;
所述授权服务装置使用所述第一应用程序的公钥对所述第一应用程序的令牌进行验证;
若所述授权服务装置验证所述第一应用程序的令牌成功,生成第一授权信息;
所述授权服务装置根据所述对应关系,确定所述第一装置的校验信息;
所述授权服务装置将所述第一授权信息与所述校验信息进行绑定;
所述授权服务装置向所述第一应用程序发送所述第一授权信息,所述第一授权信息用于指示激活所述第一应用程序。
2.根据权利要求1所述的方法,其特征在于,所述授权服务装置从第一应用程序接收所述第一应用程序的令牌,包括:所述授权服务装置从所述第一应用程序接收激活请求消息;所述激活请求消息中携带所述第一应用程序的令牌。
3.根据权利要求1或2所述的方法,其特征在于,所述授权服务装置根据所述对应关系,确定所述第一装置的校验信息,包括:
所述授权服务装置获取所述第一装置的校验信息和第二装置的校验信息;
所述授权服务装置根据所述对应关系,在所述第一装置的校验信息和所述第二装置的校验信息中,选择所述第一装置的校验信息。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述第一应用程序的令牌为加密的令牌。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述方法还包括:
所述授权服务装置发送第一响应信息,所述第一响应信息用于指示所述第一应用程序的激活。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:
当所述授权服务装置接收第二应用程序的启动请求信息时,所述启动请求信息中包括所述第二应用程序的第二授权信息;
所述授权服务装置根据所述绑定的关系,验证所述第二授权信息。
7.根据权利要求6所述的方法,其特征在于,所述第二应用程序为所述第一应用程序,所述第二授权信息为所述第一授权信息,所述方法还包括:
所述授权服务装置验证所述第二授权信息成功,向所述第二应用程序发送第二响应信息,所述第二响应信息用于指示启动所述第二应用程序。
8.根据权利要求6所述的方法,其特征在于,所述第二应用程序与所述第一应用程序不同,所述方法还包括:
所述授权服务装置验证所述第二授权信息未成功,向所述第二应用程序发送第二响应信息,所述第二响应信息用于指示不启动所述第二应用程序。
9.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:
所述授权服务装置接收解除授权请求信息,所述解除授权请求信息中包括所述第一应用程序的标识信息;
所述授权服务装置根据所述第一应用程序的标识信息,删除所述第一授权信息;
所述授权服务装置发送所述解除授权请求消息的响应信息。
10.一种保护应用程序的方法,其特征在于,包括:
第一应用程序从第一管理装置接收第一应用程序的令牌;
所述第一应用程序向授权服务装置发送所述第一应用程序的令牌;
若所述第一应用程序的令牌被验证成功,所述第一应用程序从所述授权服务装置接收第一授权信息,所述第一授权信息用于指示激活所述第一应用程序。
11.根据权利要求10所述的方法,其特征在于,所述第一应用程序从第一管理装置接收第一应用程序的令牌,包括:所述第一应用程序通过所述第一管理装置从所述第二管理装置接收配置请求信息,所述配置请求信息中携带所述第一应用程序的令牌。
12.根据权利要求10所述的方法,其特征在于,所述第一应用程序向授权服务装置发送所述第一应用程序的令牌,包括:所述第一应用程序向授权服务装置发送激活请求信息,所述激活请求信息中携带所述第一应用程序的令牌。
13.根据权利要求10所述的方法,其特征在于,所述第一应用程序从所述授权服务装置接收第一授权信息之后,所述方法还包括:所述第一应用程序向所述授权服务装置返回所述第一授权信息的响应信息。
14.根据权利要求13所述的方法,其特征在于,所述方法还包括:所述第一应用程序删除所述第一应用程序的令牌。
15.根据权利要求10-14任一项所述的方法,其特征在于,所述方法还包括:
所述第一应用程序向所述授权服务装置发送启动请求信息,所述启动请求信息中包括所述第一授权信息。
16.根据权利要求15所述的方法,其特征在于,所述方法还包括:所述第一应用程序接收所述授权服务装置发送的第二响应信息,所述第二响应信息为所述授权服务装置根据所述第一装置的校验信息对所述第一授权信息验证成功后发送的,所述第二响应信息用于指示启动所述第一应用程序。
17.根据权利要求10-14任一项所述的方法,其特征在于,所述方法还包括:
所述第一应用程序接收第二终止激活指示信息,所述第二终止激活指示信息用于指示解除所述第一应用程序的激活;
所述应用程序模块返回所述第二终止激活信息的响应消息。
18.一种保护应用程序的方法,其特征在于,包括:
第一管理装置从第二管理装置接收第一应用程序的令牌、所述第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系,所述第一应用程序运行于所述第一装置,所述第一应用程序的公钥用于验证所述第一应用程序的令牌;
所述第一管理装置向授权服务装置发送所述第一应用程序的公钥和所述对应关系;
所述第一管理装置从所述授权服务装置接收反馈信息,所述反馈信息用于指示所述授权服务装置已接收所述第一应用程序的公钥和所述对应关系;
所述第一管理装置发送所述第一应用程序的令牌。
19.根据权利要求18所述的方法,其特征在于,所述第一管理装置从第二管理装置接收第一应用程序的令牌、所述第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系,包括:
所述第一管理装置从所述第二管理装置接收第二应用请求信息,所述第二应用请求信息中携带所述第一应用程序的令牌、所述第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系。
20.根据权利要求18所述的方法,其特征在于,所述第一管理装置发送所述第一应用程序的令牌,包括:
所述第一管理装置向所述第一应用程序发送配置请求信息,所述配置请求信息中携带所述第一应用程序的令牌。
21.根据权利要求20所述的方法,其特征在于,所述第一管理装置向所述第一应用程序发送配置请求信息之后,所述方法还包括:
所述第一管理装置从所述第一应用程序接收所述配置请求消息的响应消息,所述配置请求消息的响应消息用于指示所述第一应用程序已接收所述第一应用程序的令牌。
22.根据权利要求18所述的方法,其特征在于,所述方法还包括:
所述第一管理装置从所述授权服务装置接收第一响应消息,所述第一响应消息用于指示所述第一应用程序的激活。
23.一种保护应用程序的方法,其特征在于,包括:
第二管理装置生成第一应用程序的令牌;
所述第二管理装置发送所述第一应用程序的令牌、所述第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系,所述第一应用程序运行于所述第一装置,其中,所述第一应用程序的公钥用于验证所述令牌,所述对应关系用于确定所述第一装置的校验信息,所述第一装置的校验信息用于与所述第一授权信息绑定。
24.根据权利要求23所述的方法,其特征在于,所述第二管理装置生成第一应用程序的令牌之前,所述方法还包括:所述第二管理装置从业务服务装置接收第一应用请求消息,所述第一应用请求消息中携带所述第一应用程序的标识信息。
25.根据权利要求23或24所述的方法,其特征在于,所述第二管理装置发送所述第一应用程序的令牌、所述第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系,包括:
所述第二管理装置发送第二应用请求消息,所述第二应用请求消息中携带所述第一应用程序的令牌、所述第一应用程序的公钥,以及第一装置与所述第一应用程序的对应关系。
26.根据权利要求23-25任一项所述的方法,其特征在于,所述方法还包括:
所述第二管理装置接收所述第二应用请求消息的响应消息,所述第二应用请求消息的响应消息用于指示所述第一应用程序的激活;
所述第二管理装置向所述业务服务装置发送所述第一应用请求消息的响应消息,所述第一应用请求消息的响应消息用于指示所述第一应用程序的激活。
27.根据权利要求23-25任一项所述的方法,其特征在于,所述方法还包括:
所述第二管理装置从所述业务服务装置接收所述第一应用程序的第一终止激活指示信息,所述第一终止激活指示信息用于指示解除所述第一应用程序的激活;
所述第二管理装置向发送第二终止激活指示信息,所述第二终止激活指示信息用于指示解除所述第一应用程序的激活;
所述第二管理装置接收所述第二终止激活指示信息的响应信息;
所述第二管理装置向所述授权服务装置发送解除授权请求信息。
28.根据权利要求27所述的方法,其特征在于,所述方法还包括:
所述第二管理装置从所述授权服务装置接收所述解除授权请求消息的响应信息。
29.一种通信装置,其特征在于,包括处理器;
所述处理器用于从存储器中读取并运行程序,以实现如权利要求1-9,10-17,18-22以及23-28任一项所述的方法。
30.一种计算机可读存储介质,其特征在于,存储计算机程序,所述计算机程序通过处理器进行加载来执行如权利要求1-28任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110997541.6A CN115730291A (zh) | 2021-08-27 | 2021-08-27 | 一种保护应用程序的方法、装置和系统 |
| PCT/CN2022/088023 WO2023024538A1 (zh) | 2021-08-27 | 2022-04-20 | 一种保护应用程序的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110997541.6A CN115730291A (zh) | 2021-08-27 | 2021-08-27 | 一种保护应用程序的方法、装置和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115730291A true CN115730291A (zh) | 2023-03-03 |
Family
ID=85290410
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110997541.6A Pending CN115730291A (zh) | 2021-08-27 | 2021-08-27 | 一种保护应用程序的方法、装置和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN115730291A (zh) |
| WO (1) | WO2023024538A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116127418A (zh) * | 2023-04-14 | 2023-05-16 | 深圳竹云科技股份有限公司 | 容器应用授权方法、装置及计算机设备 |
| CN118378237A (zh) * | 2024-04-26 | 2024-07-23 | 北京京航计算通讯研究所 | 一种基于开发平台的微服务组件动态鉴权方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7313828B2 (en) * | 2001-09-04 | 2007-12-25 | Nokia Corporation | Method and apparatus for protecting software against unauthorized use |
| US8839376B2 (en) * | 2012-06-29 | 2014-09-16 | Cable Television Laboratories, Inc. | Application authorization for video services |
| CN107784206A (zh) * | 2017-11-10 | 2018-03-09 | 北京深思数盾科技股份有限公司 | 软件保护方法和装置以及软件验证方法和装置 |
| US11449582B2 (en) * | 2019-10-21 | 2022-09-20 | Autodesk, Inc. | Auditable secure token management for software licensing/subscription |
| CN112016106B (zh) * | 2020-08-19 | 2023-05-26 | 杭州指令集智能科技有限公司 | 开放接口的认证调用方法、装置、设备和可读存储介质 |
-
2021
- 2021-08-27 CN CN202110997541.6A patent/CN115730291A/zh active Pending
-
2022
- 2022-04-20 WO PCT/CN2022/088023 patent/WO2023024538A1/zh active Application Filing
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116127418A (zh) * | 2023-04-14 | 2023-05-16 | 深圳竹云科技股份有限公司 | 容器应用授权方法、装置及计算机设备 |
| CN116127418B (zh) * | 2023-04-14 | 2023-06-27 | 深圳竹云科技股份有限公司 | 容器应用授权方法、装置及计算机设备 |
| CN118378237A (zh) * | 2024-04-26 | 2024-07-23 | 北京京航计算通讯研究所 | 一种基于开发平台的微服务组件动态鉴权方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023024538A9 (zh) | 2024-02-15 |
| WO2023024538A1 (zh) | 2023-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3800909B1 (en) | Remote management method, and device | |
| KR101242329B1 (ko) | 보안 가입자 식별 모듈 서비스를 제공하기 위해 컴퓨터로 구현되는 방법, 보안 가입자 식별 모듈 서비스를 제공하는 장치 및 컴퓨터 판독가능 저장매체 | |
| CN113949567B (zh) | 用户设备容器和网络切片 | |
| JP6262278B2 (ja) | アクセス制御クライアントの記憶及び演算に関する方法及び装置 | |
| KR102036758B1 (ko) | 빠른 스마트 카드 로그온 및 연합된 풀 도메인 로그온 | |
| EP3000213B1 (en) | Validating the identity of a mobile application for mobile application management | |
| EP2936373B1 (en) | Trusted container | |
| CN102378170B (zh) | 一种鉴权及业务调用方法、装置和系统 | |
| EP2836052A1 (en) | Method and device for data secrecy based on embedded universal integrated circuit card | |
| WO2023024538A1 (zh) | 一种保护应用程序的方法、装置和系统 | |
| EP2063378A2 (en) | Telecommunications device security | |
| US20170279806A1 (en) | Authentication in a Computer System | |
| CN109905252B (zh) | 建立虚拟网络功能实例的方法和装置 | |
| EP3443500B1 (en) | Security in virtualized networks | |
| US20030053630A1 (en) | Method and system for key usage control in an embedded security system | |
| CN112491545B (zh) | 一种可信的混合云管理平台、接入方法及系统 | |
| CN115934348A (zh) | 边缘计算中的tee资源编排方法、系统、设备及存储介质 | |
| US11989279B2 (en) | Method and system for service image deployment in a cloud computing system based on distributed ledger technology | |
| CA2532820A1 (en) | Method for allocating secured resources in a security module | |
| CN114021094B (zh) | 远程服务器登录方法、电子设备及存储介质 | |
| CN113381871B (zh) | 移动边缘业务编排方法、编排器和移动边缘计算系统 | |
| WO2023066055A1 (zh) | 编排部署方法、设备及可读存储介质 | |
| CN118540704A (zh) | 远程证明方法、装置及存储介质 | |
| CN114584398A (zh) | 一种计费管理方法及系统 | |
| CN114385315A (zh) | 企业集中上网准入认证方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |