CN116361765A - 身份凭证管理方法、装置、电子设备及可读存储介质 - Google Patents
身份凭证管理方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN116361765A CN116361765A CN202310347808.6A CN202310347808A CN116361765A CN 116361765 A CN116361765 A CN 116361765A CN 202310347808 A CN202310347808 A CN 202310347808A CN 116361765 A CN116361765 A CN 116361765A
- Authority
- CN
- China
- Prior art keywords
- target application
- application
- upgrading
- authorization file
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Stored Programmes (AREA)
Abstract
本申请提供了一种身份凭证管理方法、装置、电子设备及可读存储介质,属于通信技术领域。本申请通过,在目标应用请求升级的情况下,获取所述目标应用对应的升级信息,其中,所述升级信息包括升级数据和升级方式;控制所述目标应用基于所述升级方式生成对应的授权文件;在生成所述授权文件后,基于所述升级数据对所述目标应用进行升级;控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证。通过本方案,可以使升级后的目标应用,基于升级前的目标应用所生成的授权文件,向应用后台请求对应的身份凭证。由此,实现应用程序更新升级后智能获取身份凭证,从而提高获取身份凭证的效率。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种身份凭证管理方法、装置、电子设备及可读存储介质。
背景技术
可信通信是基于用户终端密码令牌的安全通信服务,是以智能终端计算为主导,运用国产密码算法技术,实现通信过程端到端可信身份验证和展示的安全服务产品。企业和员工经CA企业审核并签发数字证书,使用智能终端发起携带可信身份的呼叫,端到端加密传输至被叫方,在被叫终端振铃的同时显示经过验证的主叫可信身份信息,在认证、传输、展示全过程确保主叫身份具有法律效力,不可篡改。
应用中,用户的身份凭证(即,数字证书)的私钥存储在密码模块中不能拿出,且,身份凭证与可信通信应用程序(即,可信通信的产品)的包名一般是唯一对应的。而可信通信应用程序在升级更新时,存在安装新的安装包,或者,密码模块发生切换的情况,这些情况会造成身份凭证的丢失。因此,升级更新后的可信通信应用程序需要重新获取身份凭证后,才能实现可信通信。
目前,可信通信应用程序升级更新后重新获取身份凭证的方式是:由用户手动获取激活码做三要素校验重新获取身份凭证。然而,由用户手动重新获取身份凭证的方式不够智能,且,效率低下。
发明内容
为了解决上述全部或部分技术问题,本申请提供了一种身份凭证管理方法、装置、电子设备及可读存储介质。
第一方面,本申请实施例提供一种身份凭证管理方法,包括:
在目标应用请求升级的情况下,获取所述目标应用对应的升级信息,其中,所述升级信息包括升级数据和升级方式;
控制所述目标应用基于所述升级方式生成对应的授权文件;
在生成所述授权文件后,基于所述升级数据对所述目标应用进行升级;
控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证。
在一个可能的实施方式中,若所述升级方式为涉及密码模块切换的方式,所述控制所述目标应用基于所述升级方式生成对应的授权文件,包括:
控制所述目标应用获取时间戳信息、用户标识、证书标识以及所述目标应用对应的原始应用信息,并基于所述用户标识对应的私钥,对所述时间戳信息、所述用户标识、所述证书标识以及所述原始应用信息进行签名,得到对应的签名值;
基于所述时间戳信息、所述用户标识、所述证书标识、所述原始应用信息,以及所述签名值,生成所述授权文件。
在一个可能的实施方式中,若所述升级方式为涉及密码模块切换的方式,所述控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证,包括:
控制升级后的所述目标应用向所述应用后台发送数据请求,其中,所述数据请求携带有所述授权文件的文件内容;
在升级后的所述目标应用接收到所述应用后台基于所述文件内容返回的用户数据后,控制升级后的所述目标应用基于所述用户数据生成对应的密钥对,并基于所述密钥对生成对应的身份凭证请求;
控制升级后的所述目标应用将所述身份凭证请求和所述用户数据发送至所述应用后台,以由所述应用后台向升级后的所述目标应用返回对应的身份凭证。
在一个可能的实施方式中,若所述升级方式为涉及安装新安装包的方式,所述控制所述目标应用基于所述升级方式生成对应的授权文件,包括:
控制所述目标应用获取时间戳信息、用户标识以及新安装包对应的更新应用信息,并基于所述用户标识对应的私钥,对所述时间戳信息、所述用户标识以及所述更新应用信息进行签名,得到对应的签名值;
基于所述时间戳信息、所述用户标识以及所述签名值,生成所述授权文件。
在一个可能的实施方式中,若所述升级方式为涉及安装新安装包的方式,所述基于所述升级数据对所述目标应用进行升级之前,还包括:
确定所述目标应用的密码模块对应的模块类型,并基于所述模块类型确定对应的用户数据;
控制所述目标应用将所述用户数据和所述授权文件的文件内容发送至所述应用后台,以由所述应用后台基于所述文件内容进行校验,以及在校验通过后存储所述用户数据。
在一个可能的实施方式中,所述模块类型包括独立密码模块,所述控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证,包括:
控制升级后的所述目标应用向所述应用后台发送数据请求,其中,所述数据请求携带有所述授权文件的文件内容;
在升级后的所述目标应用接收到所述应用后台基于所述文件内容返回的所述用户数据后,基于所述用户数据建立升级后的所述目标应用与所述独立密码模块中存储的身份凭证的映射关系。
在一个可能的实施方式中,所述模块类型包括集成密码模块,所述控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证,包括:
控制升级后的所述目标应用向所述应用后台发送数据请求,其中,所述数据请求携带有所述授权文件的文件内容;
在升级后的所述目标应用接收到所述应用后台基于所述文件内容返回的用户数据后,控制升级后的所述目标应用基于所述用户数据生成对应的密钥对,并基于所述密钥对生成对应的身份凭证请求;
控制升级后的所述目标应用将所述身份凭证请求和所述用户数据发送至所述应用后台,以由所述应用后台向升级后的所述目标应用返回对应的身份凭证。
第二方面,本申请实施例提供一种身份凭证管理装置,包括:
获取模块,用于在目标应用请求升级的情况下,获取所述目标应用对应的升级信息,其中,所述升级信息包括升级数据和升级方式;
第一控制模块,用于控制所述目标应用基于所述升级方式生成对应的授权文件;
升级模块,用于在生成所述授权文件后,基于所述升级数据对所述目标应用进行升级;
第二控制模块,用于控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证。
在一个可能的实施方式中,若所述升级方式为涉及密码模块切换的方式,所述第一控制模块,具体用于:
控制所述目标应用获取时间戳信息、用户标识、证书标识以及所述目标应用对应的原始应用信息,并基于所述用户标识对应的私钥,对所述时间戳信息、所述用户标识、所述证书标识以及所述原始应用信息进行签名,得到对应的签名值;
基于所述时间戳信息、所述用户标识、所述证书标识、所述原始应用信息,以及所述签名值,生成所述授权文件。
在一个可能的实施方式中,若所述升级方式为涉及密码模块切换的方式,所述第二控制模块,具体用于:
控制升级后的所述目标应用向所述应用后台发送数据请求,其中,所述数据请求携带有所述授权文件的文件内容;
在升级后的所述目标应用接收到所述应用后台基于所述文件内容返回的用户数据后,控制升级后的所述目标应用基于所述用户数据生成对应的密钥对,并基于所述密钥对生成对应的身份凭证请求;
控制升级后的所述目标应用将所述身份凭证请求和所述用户数据发送至所述应用后台,以由所述应用后台向升级后的所述目标应用返回对应的身份凭证。
在一个可能的实施方式中,若所述升级方式为涉及安装新安装包的方式,所述第一控制模块,还用于:
控制所述目标应用获取时间戳信息、用户标识以及新安装包对应的更新应用信息,并基于所述用户标识对应的私钥,对所述时间戳信息、所述用户标识以及所述更新应用信息进行签名,得到对应的签名值;
基于所述时间戳信息、所述用户标识以及所述签名值,生成所述授权文件。
在一个可能的实施方式中,若所述升级方式为涉及安装新安装包的方式,所述装置还包括第三控制模块,具体用于:
确定所述目标应用的密码模块对应的模块类型,并基于所述模块类型确定对应的用户数据;
控制所述目标应用将所述用户数据和所述授权文件的文件内容发送至所述应用后台,以由所述应用后台基于所述文件内容进行校验,以及在校验通过后存储所述用户数据。
在一个可能的实施方式中,所述模块类型包括独立密码模块,所述第二控制模块,还用于:
控制升级后的所述目标应用向所述应用后台发送数据请求,其中,所述数据请求携带有所述授权文件的文件内容;
在升级后的所述目标应用接收到所述应用后台基于所述文件内容返回的所述用户数据后,基于所述用户数据建立升级后的所述目标应用与所述独立密码模块中存储的身份凭证的映射关系。
在一个可能的实施方式中,所述模块类型包括集成密码模块,所述第二控制模块,还用于:
控制升级后的所述目标应用向所述应用后台发送数据请求,其中,所述数据请求携带有所述授权文件的文件内容;
在升级后的所述目标应用接收到所述应用后台基于所述文件内容返回的用户数据后,控制升级后的所述目标应用基于所述用户数据生成对应的密钥对,并基于所述密钥对生成对应的身份凭证请求;
控制升级后的所述目标应用将所述身份凭证请求和所述用户数据发送至所述应用后台,以由所述应用后台向升级后的所述目标应用返回对应的身份凭证。
第三方面,提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现第一方面任一所述的方法步骤。
第四方面,提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面任一所述的方法步骤。
第五方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述任一所述的身份凭证管理方法。
本申请实施例有益效果:
本申请实施例提供了一种身份凭证管理方法、装置、电子设备及可读存储介质,本申请实施例中,在目标应用请求升级的情况下,首先,获取所述目标应用对应的升级信息,其中,所述升级信息包括升级数据和升级方式,然后,控制所述目标应用基于所述升级方式生成对应的授权文件,并在生成所述授权文件后,基于所述升级数据对所述目标应用进行升级,最后,控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证。通过本方案,可以使升级后的目标应用,基于升级前的目标应用所生成的授权文件,向应用后台请求对应的身份凭证。由此,实现了应用程序更新升级后智能获取身份凭证,从而提高获取身份凭证的效率。并且,通过本方案获取身份凭证的过程,无需用户手动操作,因此,对于用户而言整个过程是无感知的,由此可以提高用户体验。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种身份凭证管理方法的流程图;
图2为本申请实施例提供的一种授权文件的格式示例;
图3为本申请实施例提供的一种授权文件的格式示例;
图4为本申请实施例提供的另一种身份凭证管理方法的流程图;
图5为本申请实施例提供的另一种身份凭证管理方法的流程图;
图6为本申请实施例提供的另一种身份凭证管理方法的流程图;
图7为本申请实施例提供的一种身份凭证管理装置的结构示意图;
图8为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面结合附图以具体实施例对本申请提供的身份凭证管理方法做出解释说明,实施例并不构成对本申请实施例的限定。
参见图1,为本申请实施例提供的一种身份凭证管理方法的实施例流程图。如图1所示,该流程可包括以下步骤:
S101,在目标应用请求升级的情况下,获取所述目标应用对应的升级信息,其中,所述升级信息包括升级数据和升级方式。
目标应用,指可信通信应用程序。
升级信息,包括升级数据和升级方式,其中,升级数据,指用于更新升级目标应用的数据;升级方式,指升级目标应用的方式,例如,涉及密码模块切换的升级方式,涉及应用程序的包名发生变化的升级方式。
本申请实施例中,目标应用向应用后台的OTA(OverTheAirtechnology,空中下载技术)接口,发送用于请求升级的升级请求,应用后台对升级请求进行解析和校验后,向目标应用返回相应的升级信息,即,升级数据和升级方式。
S102,控制所述目标应用基于所述升级方式生成对应的授权文件。
本申请实施例中,对应不同的升级方式,生成的授权文件有所不同。
作为一种可能的实现方式,若所述升级方式为涉及密码模块切换的方式,所述控制所述目标应用基于所述升级方式生成对应的授权文件的具体实现可包括:控制所述目标应用获取时间戳信息、用户标识、证书标识以及所述目标应用对应的原始应用信息,并基于所述用户标识对应的私钥,对所述时间戳信息、所述用户标识、所述证书标识以及所述原始应用信息进行签名,得到对应的签名值,基于所述时间戳信息、所述用户标识、所述证书标识、所述原始应用信息,以及所述签名值,生成所述授权文件。
其中,原始应用信息指可以标记升级前的目标应用的一些信息,例如,应用程序包名、应用程序签名值、应用程序密钥重点词等。这里,用户标识对应的私钥,即,用户标识的身份凭证所对应的私钥。
图2所示为通过本方案生成的一种授权文件的格式示例。
其中,k1=时间戳,k2=userid(即用户标识),k3=app包名(即,目标应用包名)+app签名值(即,目标应用签名值)+appkey(即,目标应用的应用程序密钥重点词)+certid(证书标识),k4=signature(k1+k2+k3,userid的私钥),使用的是userid对应的私钥对k1+k2+k3做签名得到签名值k4。
作为另一种可能的实现方式,若所述升级方式为涉及安装新安装包的方式,所述控制所述目标应用基于所述升级方式生成对应的授权文件的具体实现可包括:控制所述目标应用获取时间戳信息、用户标识以及新安装包对应的更新应用信息,并基于所述用户标识对应的私钥,对所述时间戳信息、所述用户标识以及所述更新应用信息进行签名,得到对应的签名值,基于所述时间戳信息、所述用户标识以及所述签名值,生成所述授权文件。
其中,更新应用信息指可以标记升级后的目标应用的一些信息,例如,应用程序包名、应用程序签名值、应用程序密钥重点词等。
图3所示为通过本方案生成的一种授权文件的格式示例。
其中,k1=时间戳;k2=userid(即用户标识);k3=signature[k1+k2+新的app包名(即,升级后的目标应用的包名)+新的app签名值(即,升级后的目标应用的签名值)+新的appkey(即升级后的目标应用的应用程序密钥重点词),userid对应的私钥]。
在另一实施例中,授权文件保存在目标应用的私有目录中,由此可以避免其他应用获取授权文件,提高文件使用安全性。
实际应用中,可以设置授权文件的失效条件,例如,失效时长,在授权文件生成时开始计时,达到失效时长时,删除授权文件;又如,失效次数,在使用次数达到失效次数时,删除授权文件。从而提高文件使用的安全性。
S103,在生成所述授权文件后,基于所述升级数据对所述目标应用进行升级。
S104,控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证。
以下对S103和S104进行统一说明:
本申请实施例中,在生成授权文件后,可以基于升级数据升级目标应用,得到升级后的目标应用,进而,控制升级后的目标应用,基于授权文件向对应的应用后台请求对应的身份凭证(即数字证书)。由此,实现了升级目标应用后智能获取相应的身份凭证。
这里,根据升级方式的不同,向应用后台请求身份凭证的过程也有所不同。至于具体如何控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证,将通过后文实施例进行详细的解释说明,这里先不详述。
本申请实施例中,在目标应用请求升级的情况下,首先,获取所述目标应用对应的升级信息,其中,所述升级信息包括升级数据和升级方式,然后,控制所述目标应用基于所述升级方式生成对应的授权文件,并在生成所述授权文件后,基于所述升级数据对所述目标应用进行升级,最后,控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证。通过本方案,可以使升级后的目标应用,基于升级前的目标应用所生成的授权文件,向应用后台请求对应的身份凭证。由此,实现了应用程序更新升级后智能获取身份凭证,从而提高获取身份凭证的效率。并且,通过本方案获取身份凭证的过程,无需用户手动操作,因此,对于用户而言整个过程是无感知的,由此可以提高用户体验。
参见图4,为本申请实施例提供的另一种身份凭证管理方法的实施例流程图。该图4所示流程在上述图1所示流程的基础上,描述若升级方式为涉及密码模块切换的方式,如何控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证。如图4所示,该流程可包括以下步骤:
S401,控制升级后的所述目标应用向所述应用后台发送数据请求,其中,所述数据请求携带有所述授权文件的文件内容;
S402,在升级后的所述目标应用接收到所述应用后台基于所述文件内容返回的用户数据后,控制升级后的所述目标应用基于所述用户数据生成对应的密钥对,并基于所述密钥对生成对应的身份凭证请求;
S403,控制升级后的所述目标应用将所述身份凭证请求和所述用户数据发送至所述应用后台,以由所述应用后台向升级后的所述目标应用返回对应的身份凭证。
以下对S401-S403进行统一说明:
用户数据,指用于标记目标应用的数据。
本申请实施例中,控制升级后的目标应用读取授权文件中的文件内容,并向应用后台发送基于该文件内容生成的数据请求,通过该文件内容调用获取用户信息接口,以获取对应的用户数据,并将该用户数据返回至升级后的目标应用。然后,控制升级后的目标应用基于该用户数据生成对应的密钥对,并基于密钥对生成对应的身份凭证请求p10,将p10和用户数据发送至应用后台,由应用后台根据p10和用户数据下载对应的身份凭证,以及将身份凭证返回给目标应用。
实际应用中,应用后台接收到数据请求后,可以对数据请求中的参数(即文件内容)进行校验,同时按照与授权文件相同的规则拼装参数并使用用户的身份凭证对文件内容中的签名值进行验签。验签通过后,返回用户数据。并且,应用后台在返回用户数据时,还可以同时返回利用后台系统私钥对用户数据进行签名得到签名值,升级后的目标应用接收到用户数据后,对该签名值验签通过后,执行基于用户数据请求身份凭证的步骤。
在另一实施例中,在控制升级后的目标应用将p10和用户数据发送至应用后台时,还可以携带利用该密钥对中私钥进行签名的签名值,应用后台基于该签名值验签通过后,根据p10和用户数据下载对应的身份凭证,以及将身份凭证返回给目标应用。由此,提高数据传输的安全性。
为方便理解,以下提供了升级方式为涉及密码模块切换的方式时,请求身份凭证的完整流程:
S1.目标应用向应用后台发送请求后台ota升级接口的升级请求。
S2.应用后台通过解析校验升级请求,确定升级数据和升级方式。
S3.应用后台向目标应用返回升级数据和升级方式。
S4.当返回的升级方式涉及密码模块切换时,目标应用先在本地生成一个私有授权文件。
授权文件包括:k1=时间戳;k2=userid;k3=app包名+app签名值+appkey+certid;k4=signature(k1+k2+k3,userid的私钥),使用的是idi对应的私钥对k1+k2+k3做签名得到签名值k4。
S5.客户端基于升级数据下载升级包并进行安装。
S6.升级包安装好后,打开升级后的目标应用时,该目标应用读取授权文件中的文件内容,并基于该文件内容请求应用后台获取用户信息接口。
S7.应用后台收到请求后,对文件内容进行校验,同时,按照与文件内容相同规则拼装参数并使用用户的身份凭证对k4进行验签。
S8.验签通过后,应用后台返回用户数据和系统私钥对用户数据进行签名的签名值。
S9.升级后的目标应用接收到用户数据,基于该用户数据生成密钥对,进而,向应用后台请求身份凭证。
通过图4所示流程,可以控制升级后的目标应用基于授权文件的文件内容,向应用后台请求对应的身份凭证。由此,实现了应用程序在面对涉及密码模块切换的升级时,在更新升级后可以智能获取身份凭证,从而提高获取身份凭证的效率。
参见图5,为本申请实施例提供的另一种身份凭证管理方法的实施例流程图。如图5所示,该流程可包括以下步骤:
S501,确定所述目标应用的密码模块对应的模块类型,并基于所述模块类型确定对应的用户数据。
S502,控制所述目标应用将所述用户数据和所述授权文件的文件内容发送至所述应用后台,以由所述应用后台基于所述文件内容进行校验,以及在校验通过后存储所述用户数据。
以下对S501和S502进行统一说明:
模块类型,包括独立密码模块和集成密码模块两种,其中,独立密码模块如超级SIM卡、手机SE;集成密码模块如吉大正元sdk密码模块。
需要说明的是,独立密码模块,在安装新安装包时,用户的密钥不会丢失,只需要对升级后的目标应用与密钥的映射关系进行同步即可。集成密码模块,在安装新安装包时,会造成密钥的丢失,用户的身份凭证需要补办进行身份凭证同步。
本申请实施例中,由于涉及到安装新安装包,因此,升级前的目标应用在生成授权文件之后,需要将授权文件的文件内容和相应的用户数据上报给应用后台,用于后续升级后的目标应用请求身份凭证时,由应用后台将用户数据反馈给目标应用。
由于,对应不同的模块类型,后续获取身份凭证的过程有所不同,因此,上报的用户数据也有所不同。
其中,独立密码模块,上报的用户数据一般包括:用户id、身份凭证id、idi、ki、用户名、公司名、部门、职位等。其中,idi,指由运营系统给第i个可信用户颁发的使用服务进行鉴别的身份标识ID,该ID是随机生成的一个128比特的数据,以保护用户个人信息;Ki,指由运营商安全传输给第i个可信用户,对应其idi的对称密钥。集成密码模块,上报的用户数据一般包括:用户id、新的app的包名、新的app的签名值、appkey和使用用户id对应的私钥对前面数据的签名值。
本申请实施例中,在确定目标应用的密码模块对应的模块类型,并基于模块类型确定对应的用户数据后,控制目标应用将用户数据和授权文件的文件内容一起发送至应用后台,应用后台在接收到用户数据和文件内容后,基于文件内容进行校验,并在校验通过后存储用户数据,待后续升级后的目标应用向其请求身份凭证时,将存储的用户数据反馈给目标应用。
通过图5所示流程,可以根据对应的模块类型,控制目标应用向应用后台上报对应的用户数据,以便后续反馈给升级后的目标应用。
参见图6,为本申请实施例提供的另一种身份凭证管理方法的实施例流程图。该图6所示流程在上述图5所示流程的基础上,描述若升级方式为涉及安装新安装包的方式,且,模块类型为独立密码模块时,如何控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证。如图6所示,该流程可包括以下步骤:
S601,控制升级后的所述目标应用向所述应用后台发送数据请求,其中,所述数据请求携带有所述授权文件的文件内容;
S602,在升级后的所述目标应用接收到所述应用后台基于所述文件内容返回的所述用户数据后,基于所述用户数据建立升级后的所述目标应用与所述独立密码模块中存储的身份凭证的映射关系。
以下对S601和S602进行统一说明:
由于,独立密码模块,在安装新安装包时,用户的密钥不会丢失,只需要对升级后的目标应用与密钥的映射关系进行同步即可。
基于此,本申请实施例中,首先,控制升级后的目标应用向应用后台发送数据请求,其中,数据请求携带有授权文件的文件内容,应用后台根据文件内容进行校验,并在校验通过后将升级前目标应用上报的用户数据返回给升级后的目标应用。在升级后的目标应用接收到应用后台基于文件内容返回的用户数据后,则可以基于用户数据建立升级后的目标应用与独立密码模块中存储的身份凭证的映射关系。由此,实现了应用程序在面对涉及安装新安装包的升级时,在更新升级后可以智能获取身份凭证,从而提高获取身份凭证的效率。
在本申请另一实施例中,所述模块类型包括集成密码模块,所述控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证的具体实现可包括:
控制升级后的所述目标应用向所述应用后台发送数据请求,其中,所述数据请求携带有所述授权文件的文件内容,在升级后的所述目标应用接收到所述应用后台基于所述文件内容返回的用户数据后,控制升级后的所述目标应用基于所述用户数据生成对应的密钥对,并基于所述密钥对生成对应的身份凭证请求,控制升级后的所述目标应用将所述身份凭证请求和所述用户数据发送至所述应用后台,以由所述应用后台向升级后的所述目标应用返回对应的身份凭证。
由于,集成密码模块,在安装新安装包时,会造成密钥的丢失,因此,本申请实施例中,需要需要补办用户的身份凭证,进行身份凭证同步。具体流程与S401-S403相同,具体的解释参见对S401-S403的描述。
在本申请另一实施例中,所述基于所述升级数据对所述目标应用进行升级之后还可以包括以下步骤:在检测到对升级后的所述目标应用的登录操作的情况下,控制升级后的所述目标应用执行验证码登录流程,并将所述验证码登录流程对应的验证码发送至所述应用后台,以由所述应用后台在向升级后的所述目标应用返回所述用户数据时,基于所述验证码加密所述用户数据。由此,可以提高数据传输的安全性。
其中,登录验证码可以设置失效条件,例如,使用一次即失效,又例如,在一段时间内未使用失效。由此,进一步保证验证的安全性。
为方便理解,以下提供了升级方式为涉及安装新安装包的方式时,请求身份凭证的完整流程:
S1.目标应用向应用后台发送请求后台ota升级接口的升级请求。
S2.应用后台通过解析校验升级请求,确定升级数据和升级方式。
S3.应用后台向目标应用返回升级数据和升级方式。
S4.当返回的升级方式涉及密码模块切换时,目标应用先在本地生成一个私有授权文件。
授权文件包括:k1=时间戳;k2=userid;k3=signature(k1+k2+新的app包名+新的app签名值+新的appkey,userid对应的私钥)。
S5.目标应用向应用后台上报用户数据,上报的用户数据根据密码模块类型不同有所不同。
独立密码模块上报的用户数据包含以下内容:
用户id、身份凭证id、idi、ki、用户名、公司名、部门、职位。
集成密码模块上报的用户数据包含以下内容:
用户id、新的app的包名、新的app的签名值、appkey和使用用户id对应的私钥对前面数据的签名值。
S6.应用后台对授权文件的文件内容进行校验,校验成功存储上报的用户数据。
S7.应用后台返回校验成功并已存储上报的用户数据的结果。
S8.客户端基于升级数据下载升级包并进行安装。
S9.升级包安装好后,用户升级后的目标应用时,需要通过短信验证码进行登录。
S10.应用后台校验登录成功后,会临时记录短信验证码用于S13步骤中加密用户数据。
S11.返回登录成功的结果。
S12.升级后的目标应用检测到授权文件和本地没有身份凭证,则使用授权文件内容请求获取升级前的目标应用所上报的目标数据。
S13.应用后台校验授权文件内容,校验成功后基于S10中的短信验证码生成sm4加密算法的加密密钥key(如使用手机号码后10位+6位登录验证码生成key),利用key加密用户数据后,将加密后的用户数据返回给目标应用。
S14.升级后的目标应用对加密后的用户数据进行解密得到用户数据,通过授权文件中的k2确定是集成密码模块还是独立密码模块,如果是独立密码模块,则基于用户数据做升级后的目标数据与用户凭证的映射即可;如果是集成密码模块则进入S15步骤。
S15.升级后的目标应用基于该用户数据生成密钥对,进而,向应用后台请求身份凭证。
由此,实现了应用程序在面对涉及安装新安装包的升级时,在更新升级后可以智能获取身份凭证,从而提高获取身份凭证的效率。并且,本方案使用了授权文件和登录验证码双重验证,可以进一步提高安全性。
基于相同的技术构思,本申请实施例还提供了一种身份凭证管理装置,如图7所示,该装置包括:
获取模块701,用于在目标应用请求升级的情况下,获取所述目标应用对应的升级信息,其中,所述升级信息包括升级数据和升级方式;
第一控制模块702,用于控制所述目标应用基于所述升级方式生成对应的授权文件;
升级模块703,用于在生成所述授权文件后,基于所述升级数据对所述目标应用进行升级;
第二控制模块704,用于控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证。
在一个可能的实施方式中,若所述升级方式为涉及密码模块切换的方式,所述第一控制模块,具体用于:
控制所述目标应用获取时间戳信息、用户标识、证书标识以及所述目标应用对应的原始应用信息,并基于所述用户标识对应的私钥,对所述时间戳信息、所述用户标识、所述证书标识以及所述原始应用信息进行签名,得到对应的签名值;
基于所述时间戳信息、所述用户标识、所述证书标识、所述原始应用信息,以及所述签名值,生成所述授权文件。
在一个可能的实施方式中,若所述升级方式为涉及密码模块切换的方式,所述第二控制模块,具体用于:
控制升级后的所述目标应用向所述应用后台发送数据请求,其中,所述数据请求携带有所述授权文件的文件内容;
在升级后的所述目标应用接收到所述应用后台基于所述文件内容返回的用户数据后,控制升级后的所述目标应用基于所述用户数据生成对应的密钥对,并基于所述密钥对生成对应的身份凭证请求;
控制升级后的所述目标应用将所述身份凭证请求和所述用户数据发送至所述应用后台,以由所述应用后台向升级后的所述目标应用返回对应的身份凭证。
在一个可能的实施方式中,若所述升级方式为涉及安装新安装包的方式,所述第一控制模块,还用于:
控制所述目标应用获取时间戳信息、用户标识以及新安装包对应的更新应用信息,并基于所述用户标识对应的私钥,对所述时间戳信息、所述用户标识以及所述更新应用信息进行签名,得到对应的签名值;
基于所述时间戳信息、所述用户标识以及所述签名值,生成所述授权文件。
在一个可能的实施方式中,若所述升级方式为涉及安装新安装包的方式,所述装置还包括第三控制模块,具体用于:
确定所述目标应用的密码模块对应的模块类型,并基于所述模块类型确定对应的用户数据;
控制所述目标应用将所述用户数据和所述授权文件的文件内容发送至所述应用后台,以由所述应用后台基于所述文件内容进行校验,以及在校验通过后存储所述用户数据。
在一个可能的实施方式中,所述模块类型包括独立密码模块,所述第二控制模块,还用于:
控制升级后的所述目标应用向所述应用后台发送数据请求,其中,所述数据请求携带有所述授权文件的文件内容;
在升级后的所述目标应用接收到所述应用后台基于所述文件内容返回的所述用户数据后,基于所述用户数据建立升级后的所述目标应用与所述独立密码模块中存储的身份凭证的映射关系。
在一个可能的实施方式中,所述模块类型包括集成密码模块,所述第二控制模块,还用于:
控制升级后的所述目标应用向所述应用后台发送数据请求,其中,所述数据请求携带有所述授权文件的文件内容;
在升级后的所述目标应用接收到所述应用后台基于所述文件内容返回的用户数据后,控制升级后的所述目标应用基于所述用户数据生成对应的密钥对,并基于所述密钥对生成对应的身份凭证请求;
控制升级后的所述目标应用将所述身份凭证请求和所述用户数据发送至所述应用后台,以由所述应用后台向升级后的所述目标应用返回对应的身份凭证。
本申请实施例中,在目标应用请求升级的情况下,首先,获取所述目标应用对应的升级信息,其中,所述升级信息包括升级数据和升级方式,然后,控制所述目标应用基于所述升级方式生成对应的授权文件,并在生成所述授权文件后,基于所述升级数据对所述目标应用进行升级,最后,控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证。通过本方案,可以使升级后的目标应用,基于升级前的目标应用所生成的授权文件,向应用后台请求对应的身份凭证。由此,实现了应用程序更新升级后智能获取身份凭证,从而提高获取身份凭证的效率。并且,通过本方案获取身份凭证的过程,无需用户手动操作,因此,对于用户而言整个过程是无感知的,由此可以提高用户体验。
基于相同的技术构思,本申请实施例还提供了一种电子设备,如图8所示,包括处理器111、通信接口112、存储器113和通信总线114,其中,处理器111,通信接口112,存储器113通过通信总线114完成相互间的通信,
存储器113,用于存放计算机程序;
处理器111,用于执行存储器113上所存放的程序时,实现如下步骤:
在目标应用请求升级的情况下,获取所述目标应用对应的升级信息,其中,所述升级信息包括升级数据和升级方式;
控制所述目标应用基于所述升级方式生成对应的授权文件;
在生成所述授权文件后,基于所述升级数据对所述目标应用进行升级;
控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一身份凭证管理方法的步骤。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一身份凭证管理方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本申请的具体实施方式,使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种身份凭证管理方法,其特征在于,所述方法包括:
在目标应用请求升级的情况下,获取所述目标应用对应的升级信息,其中,所述升级信息包括升级数据和升级方式;
控制所述目标应用基于所述升级方式生成对应的授权文件;
在生成所述授权文件后,基于所述升级数据对所述目标应用进行升级;
控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证。
2.根据权利要求1所述的方法,其特征在于,若所述升级方式为涉及密码模块切换的方式,所述控制所述目标应用基于所述升级方式生成对应的授权文件,包括:
控制所述目标应用获取时间戳信息、用户标识、证书标识以及所述目标应用对应的原始应用信息,并基于所述用户标识对应的私钥,对所述时间戳信息、所述用户标识、所述证书标识以及所述原始应用信息进行签名,得到对应的签名值;
基于所述时间戳信息、所述用户标识、所述证书标识、所述原始应用信息,以及所述签名值,生成所述授权文件。
3.根据权利要求1所述的方法,其特征在于,若所述升级方式为涉及密码模块切换的方式,所述控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证,包括:
控制升级后的所述目标应用向所述应用后台发送数据请求,其中,所述数据请求携带有所述授权文件的文件内容;
在升级后的所述目标应用接收到所述应用后台基于所述文件内容返回的用户数据后,控制升级后的所述目标应用基于所述用户数据生成对应的密钥对,并基于所述密钥对生成对应的身份凭证请求;
控制升级后的所述目标应用将所述身份凭证请求和所述用户数据发送至所述应用后台,以由所述应用后台向升级后的所述目标应用返回对应的身份凭证。
4.根据权利要求1所述的方法,其特征在于,若所述升级方式为涉及安装新安装包的方式,所述控制所述目标应用基于所述升级方式生成对应的授权文件,包括:
控制所述目标应用获取时间戳信息、用户标识以及新安装包对应的更新应用信息,并基于所述用户标识对应的私钥,对所述时间戳信息、所述用户标识以及所述更新应用信息进行签名,得到对应的签名值;
基于所述时间戳信息、所述用户标识以及所述签名值,生成所述授权文件。
5.根据权利要求1所述的方法,其特征在于,若所述升级方式为涉及安装新安装包的方式,所述基于所述升级数据对所述目标应用进行升级之前,还包括:
确定所述目标应用的密码模块对应的模块类型,并基于所述模块类型确定对应的用户数据;
控制所述目标应用将所述用户数据和所述授权文件的文件内容发送至所述应用后台,以由所述应用后台基于所述文件内容进行校验,以及在校验通过后存储所述用户数据。
6.根据权利要求5所述的方法,其特征在于,所述模块类型包括独立密码模块,所述控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证,包括:
控制升级后的所述目标应用向所述应用后台发送数据请求,其中,所述数据请求携带有所述授权文件的文件内容;
在升级后的所述目标应用接收到所述应用后台基于所述文件内容返回的所述用户数据后,基于所述用户数据建立升级后的所述目标应用与所述独立密码模块中存储的身份凭证的映射关系。
7.根据权利要求5所述的方法,其特征在于,所述模块类型包括集成密码模块,所述控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证,包括:
控制升级后的所述目标应用向所述应用后台发送数据请求,其中,所述数据请求携带有所述授权文件的文件内容;
在升级后的所述目标应用接收到所述应用后台基于所述文件内容返回的用户数据后,控制升级后的所述目标应用基于所述用户数据生成对应的密钥对,并基于所述密钥对生成对应的身份凭证请求;
控制升级后的所述目标应用将所述身份凭证请求和所述用户数据发送至所述应用后台,以由所述应用后台向升级后的所述目标应用返回对应的身份凭证。
8.一种身份凭证管理装置,其特征在于,所述装置包括:
获取模块,用于在目标应用请求升级的情况下,获取所述目标应用对应的升级信息,其中,所述升级信息包括升级数据和升级方式;
第一控制模块,用于控制所述目标应用基于所述升级方式生成对应的授权文件;
升级模块,用于在生成所述授权文件后,基于所述升级数据对所述目标应用进行升级;
第二控制模块,用于控制升级后的所述目标应用,基于所述授权文件向对应的应用后台请求对应的身份凭证。
9.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-7任一所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-7任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310347808.6A CN116361765A (zh) | 2023-03-28 | 2023-03-28 | 身份凭证管理方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310347808.6A CN116361765A (zh) | 2023-03-28 | 2023-03-28 | 身份凭证管理方法、装置、电子设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116361765A true CN116361765A (zh) | 2023-06-30 |
Family
ID=86931226
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310347808.6A Pending CN116361765A (zh) | 2023-03-28 | 2023-03-28 | 身份凭证管理方法、装置、电子设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116361765A (zh) |
-
2023
- 2023-03-28 CN CN202310347808.6A patent/CN116361765A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110958118B (zh) | 证书认证管理方法、装置、设备及计算机可读存储介质 | |
| EP3800909B1 (en) | Remote management method, and device | |
| CN109756447B (zh) | 一种安全认证方法及相关设备 | |
| KR102018971B1 (ko) | 네트워크 액세스 디바이스가 무선 네트워크 액세스 포인트를 액세스하게 하기 위한 방법, 네트워크 액세스 디바이스, 애플리케이션 서버 및 비휘발성 컴퓨터 판독가능 저장 매체 | |
| US9100403B2 (en) | Apparatus and methods for providing authorized device access | |
| JP2017050875A (ja) | 複数のアクセス制御クライアントをサポートするモバイル装置、及び対応する方法 | |
| US9226143B2 (en) | Controlling application access to mobile device functions | |
| CN111526159B (zh) | 建立数据连接的方法、装置、终端设备及存储介质 | |
| JP2015171153A (ja) | ルート証明書の無効化 | |
| JP2004007690A (ja) | 通信ネットワークにおける第1通信関与体の正当性をチェックする方法および装置 | |
| CN112686668A (zh) | 联盟链跨链系统及方法 | |
| JP2010504670A (ja) | 公開鍵証明書状態の取得および確認方法 | |
| CN112039826B (zh) | 应用于小程序端的登录方法和装置,电子设备,可读介质 | |
| WO2018129754A1 (zh) | 一种eUICC配置文件管理方法及相关装置 | |
| CN113472790B (zh) | 基于https协议的信息传输方法、客户端及服务器 | |
| CN114978635B (zh) | 跨域认证方法及装置、用户注册方法及装置 | |
| WO2008082778A2 (en) | Method and apparatus for distributing root certificates | |
| CN113438205B (zh) | 区块链数据访问控制方法、节点以及系统 | |
| CN114157432A (zh) | 数字证书获取方法、装置、电子设备、系统和存储介质 | |
| CN112733121A (zh) | 数据获取方法、装置、设备及存储介质 | |
| CN113051539A (zh) | 一种数字证书的调用方法及装置 | |
| CN112512048B (zh) | 移动网络接入系统、方法、存储介质及电子设备 | |
| CN111182527B (zh) | Ota固件升级方法、装置、终端设备及其存储介质 | |
| CN115134154B (zh) | 认证方法、装置、远程控制车辆的方法及系统 | |
| CN113452519B (zh) | 密钥同步方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |