CN117874830A

CN117874830A - 基于应用服务的许可证处理方法、装置及电子设备

Info

Publication number: CN117874830A
Application number: CN202311867337.8A
Authority: CN
Inventors: 伊尚丰; 卜凡起; 郑航; 展兆建
Original assignee: Baweitong Technology Co ltd
Current assignee: Baweitong Technology Co ltd
Priority date: 2023-12-29
Filing date: 2023-12-29
Publication date: 2024-04-12

Abstract

本申请的实施例公开了基于应用服务的许可证处理方法、装置及电子设备，该方法包括：在许可证所需携带的数据体量较少时，可以相应地采用数据安全性更高的非对称秘钥加密的加密策略，从而在保障许可证生成效率的同时也可以提高数据安全性。采用上述加密策略所得到的许可证，后续的验证过程也相对更加可靠，有利于保障应用服务的购买方从验证许可证、加载应用资源包以离线运行相应应用服务的整个过程的安全性和可靠性。

Description

基于应用服务的许可证处理方法、装置及电子设备

技术领域

本申请涉及计算机及通信技术领域，具体而言，涉及基于应用服务的许可证处理方法、装置、电子设备、计算机可读存储介质及计算机程序产品。

背景技术

许可证是一种用于验证应用服务的合法性的机制。为了维护开发者的权益，可以向购买了开发者所开发的应用服务的企业或个人发放许可证；这样使得只有拥有许可证的企业或个人才能访问或使用相应应用服务。但是，目前的许可证生成算法中，生成效率高的算法普遍数据安全性偏低。因此，如何在保障许可证的生成效率的同时提高数据安全性，是目前亟需解决的问题。

发明内容

本申请的实施例提供了基于应用服务的许可证处理方法、基于应用服务的许可证处理装置、电子设备、计算机可读存储介质及计算机程序产品，可在保障许可证的生成效率的同时提高数据安全性。

本申请的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本申请的实践而习得。

根据本申请实施例的一个方面，提供了一种基于应用服务的许可证处理方法，应用于应用服务的接入设备，该方法包括：

获取授权使用的应用服务的服务描述数据以及服务秘钥对；

若所述服务描述数据的数据量小于或等于预设阈值，则基于所述服务秘钥对中的私钥，对所述服务描述数据进行数据加密处理，得到所述应用服务的许可证；

若检测到对所述应用服务的离线运行请求，则基于所述服务秘钥对中的公钥对所述应用服务的许可证进行解密，并根据解密得到的服务描述数据运行所述应用服务。

根据本申请实施例的另一个方面，提供了另一种基于应用服务的许可证处理方法，应用于应用服务的运营平台，该方法包括：

若检测到所述应用服务的授权信息，则生成服务秘钥对并获取与所述授权信息相匹配的服务描述数据；

将所述服务描述数据以及所述服务秘钥对发送至所述应用服务的接入设备，以使所述接入设备在所述服务描述数据的数据量小于或等于预设阈值时，基于所述服务秘钥对中的私钥对所述服务描述数据进行数据加密处理，得到所述应用服务的许可证，所述接入设备在检测到对所述应用服务的离线运行请求时，基于所述服务秘钥对中的公钥对所述应用服务的许可证进行解密，并根据解密得到的服务描述数据运行所述应用服务。

根据本申请实施例的一个方面，提供了一种基于应用服务的许可证处理装置，所述装置应用于应用服务的接入设备，所述装置包括获取单元、加密单元和解密单元，其中：

所述获取单元，用于获取授权使用的应用服务的服务描述数据以及服务秘钥对；

所述加密单元，用于若所述服务描述数据的数据量小于或等于预设阈值，则基于所述服务秘钥对中的私钥，对所述服务描述数据进行数据加密处理，得到所述应用服务的许可证；

所述解密单元，用于若检测到对所述应用服务的离线运行请求，则基于所述服务秘钥对中的公钥对所述应用服务的许可证进行解密，并根据解密得到的服务描述数据运行所述应用服务。

根据本申请实施例的一个方面，提供了另一种基于应用服务的许可证处理装置，所述装置应用于应用服务的运营平台，所述装置包括生成单元和发送单元，其中：

所述生成单元，用于若检测到所述应用服务的授权信息，则生成服务秘钥对并获取与所述授权信息相匹配的服务描述数据；

所述发送单元，还用于将所述服务描述数据以及所述服务秘钥对发送至所述应用服务的接入设备，以使所述接入设备在所述服务描述数据的数据量小于或等于预设阈值时，基于所述服务秘钥对中的私钥对所述服务描述数据进行数据加密处理，得到所述应用服务的许可证，所述接入设备在检测到对所述应用服务的离线运行请求时，基于所述服务秘钥对中的公钥对所述应用服务的许可证进行解密，并根据解密得到的服务描述数据运行所述应用服务。

根据本申请实施例的一个方面，本申请实施例提供了一种电子设备，所述电子设备包括一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如上所述的基于应用服务的许可证处理方法。

根据本申请实施例的一个方面，本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序被电子设备的处理器执行时，使电子设备执行如上所述的基于应用服务的许可证处理方法。

根据本申请实施例的一个方面，本申请实施例提供了一种计算机程序产品，包括计算机程序，所述计算机程序存储在计算机可读存储介质中，电子设备的处理器从所述计算机可读存储介质读取并执行所述计算机程序，使得所述电子设备执行如上所述的基于应用服务的许可证处理方法。

在本申请的实施例所提供的技术方案中，通过判断应用服务的服务描述数据的数据量是否小于或等于预设阈值的方式，可以评估出应用服务的服务描述数据是否属于轻量数据，若是轻量数据(即数据量小于或等于预设阈值)，则可以相应地采用数据安全性更高的加密算法生成许可证。同时，仅通过服务秘钥对中的私钥对服务描述数据进行加密的方式所生成的许可证，后续也仅需要服务秘钥对中的公钥进行解密；这种非对称的加密算法虽然加密效率不高，但数据安全性更高。由此可见，本申请实施例可以达到在保障许可证的生成效率的同时提高数据安全性的目的。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术者来讲，在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。在附图中：

图1是本申请实施例提供的一种基于应用服务的许可证处理系统的结构示意图；

图2是本申请实施例提供的一种基于应用服务的许可证处理方法的流程示意图；

图3是本申请实施例提供的一种数据加密处理的过程示意图；

图4是本申请实施例提供的一种许可证的解密过程示意图；

图5是本申请实施例提供的另一种基于应用服务的许可证处理方法的流程示意图；

图6是本申请的一示例性实施例示出的一种基于应用服务的许可证处理装置的结构框图；

图7是本申请的一示例性实施例示出的另一种基于应用服务的许可证处理装置的结构框图；

图8示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。

具体实施方式

这里将详细地对示例性实施例执行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/，也不是必须按所描述的顺序执行。例如，有的操作/还可以分解，而有的操作/可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。

还需要说明的是：在本申请中提及的“多个”是指两个或者两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

许可证(License)是一种用于验证软件或网页系统等程序资源的合法性的机制。具体来说，个人或企业根据自身的实际需求向应用的开发方购买相应的应用服务之后，可以通过许可证服务器等方式在线获取应用服务；也可以将许可证加载到自身的终端设备中，并通过激活许可证的方式实现在终端设备中离线运行相应应用服务。

在相关技术中，用于生成许可证的数据加密算法有很多，但是生成效率高的算法普遍数据安全性较低，导致数据安全性和许可证的生成效率往往难以两全。

基于此，本申请实施例提供了一种基于应用服务的许可证处理方案，该方案在生成授权使用的应用服务的许可证之前，会判断该应用服务的服务描述数据的数据量是否小于或等于预设阈值；若小于，则可以通过服务秘钥对中的私钥直接对服务描述数据进行数据加密处理，从而得到应用服务的许可证；而后续终端设备需要离线运行应用服务时，由服务秘钥对中的公钥对应用服务的许可证进行解密就可以了。

其中，应用服务可以是一个完整的应用程序，也可以是对应用程序按照每个功能或业务进行分解后所得到一个独立的原子化应用，还可以是具有功能的代码段，在此不作限定。

而应用服务的服务描述数据可以包括能唯一标识应用服务的应用资源包的描述信息。举例来说，当应用服务为数字孪生技术所构建的虚拟模型时，服务描述数据可以包括描述该虚拟模型的文本。

此外，预设阈值可以是人为设定的，也可以终端设备或服务器设定的，在此不作限定。具体来说，针对所有的加密算法，需要加密的数据所对应的数据量越大，加密算法进行加密所需的时间普遍会越长；相应地，许可证的生成效率也就越低。

不难看出，本方案通过判断应用服务的服务描述数据的数据量是否小于或等于预设阈值的方式，可以评估出应用服务的服务描述数据是否属于轻量数据，若是轻量数据(即数据量小于或等于预设阈值)，则可以相应地采用数据安全性更高的加密算法生成许可证。同时，仅通过服务秘钥对中的私钥对服务描述数据进行加密的方式所生成的许可证，后续也仅需要服务秘钥对中的公钥进行解密；这种非对称的加密策略虽然效率不高，但在加密过程中会使用不同的密钥分别进行加密和解密，这相对于对称加密，更加安全，因为攻击者无法从公钥中推断出私钥，从而更难以破解密文。由此可见，本方案可以达到在保障许可证的生成效率的同时提高数据安全性的目的。

此外，公钥是公开的，任何人都可以使用它来加密消息，因此公钥的分发相对来说更加方便，无需像对称加密一样需要通过安全渠道传输密钥。同时，公钥和私钥是一一绑定的，这样秘钥管理也更加方便。

基于上述基于应用服务的许可证处理方案，本申请实施例提供了一种基于应用服务的许可证处理系统，可参见图1，图1所示的基于应用服务的许可证处理系统可以包括多个终端设备101和多个服务器102。其中，终端设备101和服务器102之间建立有有线或无线的通信连接。

具体来说，终端设备101可以是智能手机、传感器、平板电脑、笔记本电脑、台式计算机、智能车载以及智能可穿戴设备中的任意一种或多种。终端设备101内可以运行有场景显示应用、金融应用、视频应用、社交应用、信息流应用、教育应用等一个或多个应用。服务器102具体可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network，CDN)、以及大数据和人工智能平台等基础云计算服务的服务器。

具体来说，服务器102中运行有应用服务的运营平台，还可以运行有其他与应用服务相关的进程，在此不作限定。终端设备101则可以是服务器102中运行的运营平台所管理的应用服务的接入设备。

在一些实施例中，上述基于应用服务的许可证处理方法可以仅由图1所示基于应用服务的许可证处理系统中的终端设备101执行，具体执行过程为：若应用服务的服务描述数据的数据量小于或等于预设阈值，则终端设备101可以通过服务秘钥对中的私钥直接对服务描述数据进行数据加密处理，从而得到应用服务的许可证；然后，终端设备101在检测到应用服务的离线运行请求时，可以服务秘钥对中的公钥对应用服务的许可证进行解密，并根据解密得到的服务描述数据运行所述应用服务。

在另一些实施例中，上述基于应用服务的许可证处理方法可以仅由图1所示基于应用服务的许可证处理系统中的终端设备101和服务器102共同执行，在此不作赘述。

需要说明的是，本申请实施例可以应用于各种需要购买应用服务以完善自身服务的场景，如智慧车站、智能交通、智慧商场、智慧办公楼、物联网等，对此不作限定。同时，在本申请的具体实施方式中，若服务描述数据等数据或信息涉及到对象相关，当本申请实施例运用到具体产品或技术中时，需要获得对象许可或者同意，且相关数据或信息的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。

以下对本申请实施例的技术方案的各种实现细节进行详细阐述：

如图2所示，图2是本申请的一个实施例示出的一种基于应用服务的许可证处理方法的流程示意图，该方法可以应用于图1所示的基于应用服务的许可证处理系统。在本申请实施例中，以该方法由基于应用服务的许可证处理系统中的终端设备(即应用服务的接入设备)执行为例进行说明。其中，基于应用服务的许可证处理方法可以包括S201至S203，详细介绍如下：

S201、获取授权使用的应用服务的服务描述数据以及服务秘钥对。

在本申请实施例中，应用服务可以是一个完整的应用程序，也可以是对应用程序按照每个功能或业务进行分解后所得到一个独立的原子化应用，还可以是具有功能的代码段，在此不作限定。

举例来说，应用可以是包含虚拟车站的车站管理应用；其中，虚拟车站是基于数字孪生技术对轨道交通车站进行映射建模得到的。具体来说，可以先在虚拟空间中建立轨道交通车站的虚拟模型；然后采集轨道交通车站中的各个站台设备的真实设备数据，在虚拟模型上对轨道交通车站进行仿真和模拟，从而得到虚拟车站。最后，可以构建包含虚拟车站的车站管理应用对轨道交通车站进行全局监测和日常管理。

而应用服务具体可以是将虚拟车站进行分解后所得到的各个站台设备的虚拟模型。车站管理方和运营平台可以事先沟通所需的虚拟模型，然后向运营平台购买相应的虚拟模型，并通过许可证在终端设备中离线运行虚拟模型。

可选的，服务描述数据可以包括能唯一标识应用服务的应用资源包的描述信息。具体来说，由于服务描述信息能够唯一标识应用服务的应用资源包，也就相当于服务描述信息可以唯一标识应用服务；而应用服务的授权信息需要明确所授权的应用服务，因此，服务描述信息中还可以进一步包括应用服务的授权信息。其中，应用资源包含有运行应用服务所需的一切代码、环境等资源的工具包，后续不再赘述。

在一个实施例中，服务描述信息可以是应用服务的运营平台发送至应用服务的接入设备的。可选的，为了进一步提高应用服务的数据安全性，应用服务的运营平台可以以许可证的方式将服务描述信息发送至应用服务的接入设备，也可以让服务描述信息跟随应用加密狗的秘钥发送至应用服务的接入设备，在此不作限定。

可选的，服务秘钥对中包含私钥和公钥。服务秘钥对具体可以是应用服务的运营平台生成并发送至应用服务的接入设备的。具体来说，应用服务的运营平台可以将服务秘钥对置入应用服务的应用资源包，然后将携带有服务秘钥对的应用资源包发送至应用服务的接入设备。

可选的，应用服务的运营平台可以将服务秘钥对中的私钥和公钥一同发送至应用服务的接入设备，也可以将服务秘钥对中的私钥和公钥分别发送至应用服务的接入设备，在此不作限定。

S202、若服务描述数据的数据量小于或等于预设阈值，则基于服务秘钥对中的私钥，对服务描述数据进行数据加密处理，得到应用服务的许可证。

在本申请实施例中，预设阈值可以是人为设定的，也可以上述基于应用服务的许可证处理系统中的终端设备或服务器设定的，在此不作限定。

具体来说，预设阈值的确定过程可以包括：获取对象能够接受的最长数据处理时长；获取非对称的加密算法在所述最长数据处理时长内所加密的数据的数据量；将获取到的数据量设定为预设阈值。

其中，最长数据处理时长可以是基于对象的使用体验来确定的，如大多数人在浏览器加载2秒之后就会关闭浏览器，那么可以将最长数据处理时长设定为2秒。

在一个实施例中，数据加密处理的具体过程可以包括：调用服务秘钥对中的私钥，对服务描述数据进行加密，得到数据密文；对数据密文进行哈希计算，得到密文摘要；调用服务秘钥对中的私钥对密文摘要进行签名处理，得到签名数据；基于数据密文和签名数据，生成应用服务的许可证。

具体实现中，请参见附图3，示出了一种数据加密处理的过程示意图。如图3所示，在获取到服务描述数据之后，由于服务描述数据是一个明文数据，因此需要先通过服务秘钥对中的私钥对服务描述数据进行加密，得到数据密文。然后，再对数据密文进行哈希计算，得到密文摘要。之后，再通过服务秘钥对中的私钥对密文摘要进一步加密，得到签名数据。最后，可以生成包含数据密文和签名数据的应用服务的许可证。

在一个实施例中，若服务描述数据的数据量大预设阈值，则可以采用其他加密效率更高的加密算法(如非对称加密和对称加密相结合的方案等)对服务描述数据进行数据加密处理，从而得到应用服务的许可证。

在一种可能的实现方式中，为了进一步提高应用服务的数据安全性，避免应用服务被盗用，可以设定只有终端设备中的多个许可证均验证通过之后，才能在终端设备中运行应用服务。因此，应用服务的许可证可以包括多个。

具体实现中，对于部署有应用加密狗的终端设备，可以设定在运行应用服务之前，需要验证的应用服务的许可证包括：应用许可证、资源加载许可证以及资源调试许可证。其中，应用许可证用于鉴定应用服务是否被授权使用；资源加载许可证用于鉴定应用服务的应用资源包是否被授权加载运行；资源调试许可证用于鉴定应用服务的应用资源包是否被授权以调试的方式加载运行。那么，服务秘钥对相应地可以包括应用许可秘钥对、资源验证秘钥对以及资源调试秘钥对。

需要说明的是，应用服务的各个许可证在生成之前，都可以判断生成各个许可证所需加密的数据的数据量是否小于或等于预设阈值，从而选择合适的加密算法。

S203、若检测到对应用服务的离线运行请求，则基于服务秘钥对中的公钥对应用服务的许可证进行解密，并根据解密得到的服务描述数据运行应用服务。

在本申请实施例中，离线运行请求具体可以是对应用服务的启动操作。

在一个实施例中，许可证的解密过程具体可以包括：调用服务秘钥对中的公钥，对应用服务的许可证中包含的签名数据进行解密，得到签名摘要；对应用服务的许可证中包含的数据密文进行哈希计算，得到密文摘要；若签名摘要与密文摘要不匹配，则生成用于表征应用服务离线运行失败的校验结果。

可选的，若签名摘要与密文摘要相同，则可以确定签名摘要与密文摘要相匹配；若签名摘要与密文摘要不同，则可以确定签名摘要与密文摘要不匹配。

具体实现中，请参见附图4，示出了一种许可证的解密过程示意图。如图4所示，在获取到应用服务的许可证之后，可以分别提取出许可证中包含的签名数据和数据密文。一方面可以通过服务秘钥对中的公钥对签名数据进行解密，得到签名摘要；另一方面可以通过服务秘钥对中的公钥对数据密文进行解密，得到密文摘要。

如图4所示，若签名摘要与密文摘要不同，则可以许可证验证失败，后续也不能离线运行应用服务了。若签名摘要与密文摘要相同，则可以进一步的通过服务秘钥对中的公钥对，对应用服务的许可证中包含的数据密文进行解密，得到服务描述数据。

在一个实施例中，由于上述提及服务描述数据包括能唯一标识应用服务的应用资源包的描述信息；因此，根据解密得到的服务描述数据运行应用服务的过程具体可以包括：获取与服务描述数据相匹配的应用资源包，加载应用资源包以运行应用服务。

在本申请实施例中，通过判断应用服务的服务描述数据的数据量是否小于或等于预设阈值的方式，可以评估出应用服务的服务描述数据是否属于轻量数据，若是轻量数据(即数据量小于或等于预设阈值)，则可以相应地采用数据安全性更高的加密算法生成许可证。同时，仅通过服务秘钥对中的私钥对服务描述数据进行加密的方式所生成的许可证，后续也仅需要服务秘钥对中的公钥进行解密；这种非对称的加密算法虽然加密效率不高，但数据安全性更高。由此可见，本申请实施例可以达到在保障许可证的生成效率的同时提高数据安全性的目的。

在本申请的一个实施例中，提供了又一种基于应用服务的许可证处理方法，该基于应用服务的许可证处理方法可以应用于图1所示的基于应用服务的许可证处理系统。在本申请实施例中，以该方法由基于应用服务的许可证处理系统中的终端设备(即应用服务的接入设备)和服务器(即应用服务的运营平台)执行为例进行说明。如图5所示，示出了另一种基于应用服务的许可证处理方法的流程示意图，该基于应用服务的许可证处理方法在图5所示的方法的基础上进行了扩展。其中，S501至S504详细介绍如下：

S501、若应用服务的运营平台检测到应用服务的授权信息，则生成服务秘钥对并获取与授权信息相匹配的服务描述数据。

在本申请实施例中，授权信息可以是运营平台的工作人员与购买方沟通需求之后在运营平台上配置的。应用服务的授权信息具体可以包括以下至少一种：授权使用的应用服务的服务标识、席位数(即购买方可以使用应用服务的设备数量)、授权有效期限等。

可选的，服务描述数据的获取过程具体可以包括：确定授权信息所表征授权的应用服务；获取确定的应用服务所对应的服务描述数据。可选的，也可以将确定的应用服务所对应的应用资源包的唯一标识描述信息，以及授权信息进行组合，得到服务描述数据。

S502、应用服务的运营平台将服务描述数据以及服务秘钥对发送至应用服务的接入设备。

在本申请实施例中，由于步骤S201中提及应用服务的运营平台可以以许可证的方式将服务描述信息发送至应用服务的接入设备。

因此，应用服务的运营平台可以先获取运行秘钥对；若服务描述数据的数据量小于或等于预设阈值，则应用服务的运营平台可以基于运行秘钥对中的私钥，对服务描述数据以及服务秘钥对中的私钥进行加密，得到应用服务的服务运行许可证；最后，应用服务的运营平台可以将应用服务的服务运行许可证、运行秘钥对中的公钥以及服务秘钥对中的公钥发送至应用服务的接入设备。

其中，运行秘钥对是在检测到应用服务的授权信息时生成的；服务运行许可证用于验证终端设备是否具备运行应用服务的资格，并在验证终端设备具备运行应用服务的资格(即对许可证解密成功)之后，确定终端设备可以获取到应用服务的应用资源包。此外，运行秘钥对中的公钥以及服务秘钥对中的公钥可以由应用服务的应用资源包携带，共同发送至应用服务的接入设备。

进一步的，应用服务的应用资源包可以包括应用服务的加载程序安装包以及应用服务的服务安装包；其中，加载程序安装包安装运行之后可以得到应用服务的运行环境(如运行平台)；服务安装包安装运行之后可以得到应用服务。

那么，可以将运行秘钥对中的公钥写入加载程序安装包，得到更新后的加载程序安装包；以及将服务秘钥对中的公钥写入应用服务的服务安装包，得到更新后的服务安装包。然后，应用服务的运营平台可以将服务运行许可证、更新后的加载程序安装包和更新后的服务安装包发送至应用服务的接入设备。

在一个实施例中，应用服务的接入设备在接收到服务运行许可证之后，可以在检测到对应用服务的离线部署请求时，从接收到的加载程序安装包中获取运行秘钥对中的公钥；然后，接入设备可以基于运行秘钥对中的公钥对服务运行许可证进行解密，得到服务描述数据以及服务秘钥对中的私钥。其中，应用服务的离线部署请求具体可以是对应用服务的激活操作等，在此不作限定。

S503、若应用服务的接入设备检测到服务描述数据的数据量小于或等于预设阈值，则基于服务秘钥对中的私钥，对服务描述数据进行数据加密处理，得到应用服务的许可证。

在本申请实施例中，应用服务的许可证可以包括资源加载许可证。资源加载许可证用于鉴定应用服务的应用资源包是否被授权加载运行。只有在资源加载许可证验证通过之后，接入设备才能加载应用资源包以运行应用服务。

此外，步骤S503中关于数据加密处理的具体实施方式可以参见上述实施例中步骤S202中关于数据加密处理的具体实施方式，在此不赘述。

S504、若应用服务的接入设备检测到对应用服务的离线运行请求，则基于服务秘钥对中的公钥对应用服务的许可证进行解密，并根据解密得到的服务描述数据运行应用服务。

在本申请实施例中，步骤S504的具体实施方式可以参见上述实施例中步骤S203中的具体实施方式，在此不赘述。

在本申请实施例中，通过判断应用服务的服务描述数据的数据量是否小于或等于预设阈值的方式，可以评估出应用服务的服务描述数据是否属于轻量数据，若是轻量数据(即数据量小于或等于预设阈值)，则可以相应地采用数据安全性更高的加密算法生成许可证。由此可见，本申请实施例可以达到在保障许可证的生成效率的同时提高数据安全性的目的。

此外，本申请实施例中仅需要调用公钥就可以完成对许可证的验证；由于公钥是向外界公开的秘钥，哪怕被人篡改也很容易发现，且应用方服务的接入设备也可以很方便地重新获取验证许可证的公钥；因此，本申请实施例通过公钥解密的方式，可以避免应用服务的接入设备在自身存储的秘钥被篡改后无法验证许可证或者出现许可证验证错误的情况；这样有利于提高应用服务的购买方对应用服务的使用体验，具有广大的应用场景。

在此介绍本申请的装置实施例，可以用于执行本申请上述实施例中的基于应用服务的许可证处理方法。对于本申请装置实施例中未披露的细节，请参照本申请上述的基于应用服务的许可证处理方法的实施例。

本申请实施例提供了一种基于应用服务的许可证处理装置，应用于应用服务的接入设备；如图6所示，装置包括获取单元601、加密单元602和解密单元603：

获取单元601，用于获取授权使用的应用服务的服务描述数据以及服务秘钥对；

加密单元602，用于若服务描述数据的数据量小于或等于预设阈值，则基于服务秘钥对中的私钥，对服务描述数据进行数据加密处理，得到应用服务的许可证；

解密单元603，用于若检测到对应用服务的离线运行请求，则基于服务秘钥对中的公钥对应用服务的许可证进行解密，并根据解密得到的服务描述数据运行应用服务。

本申请的一个实施例中，基于前述方案，获取单元601在获取授权使用的应用服务的服务描述数据以及服务秘钥对时，具体可以用于：接收应用服务的运营平台发送的服务运行许可证、运行秘钥对中的公钥以及服务秘钥对中的公钥；其中，服务运行许可证是运营平台基于运行秘钥对中的私钥对服务描述数据以及服务秘钥对中的私钥进行加密得到的；若检测到对应用服务的离线部署请求，则基于运行秘钥对中的公钥对服务运行许可证进行解密，得到服务描述数据以及服务秘钥对中的私钥。

在本申请的一个实施例中，基于前述方案，加密单元602在基于服务秘钥对中的私钥，对服务描述数据进行数据加密处理，得到应用服务的许可证时，具体可以用于：调用服务秘钥对中的私钥，对服务描述数据进行加密，得到数据密文；对数据密文进行哈希计算，得到密文摘要；调用服务秘钥对中的私钥对密文摘要进行签名处理，得到签名数据；基于数据密文和签名数据，生成应用服务的许可证。

在本申请的一个实施例中，基于前述方案，解密单元603在基于服务秘钥对中的公钥对应用服务的许可证进行解密时，具体可以用于：调用服务秘钥对中的公钥，对应用服务的许可证中包含的签名数据进行解密，得到签名摘要；对应用服务的许可证中包含的数据密文进行哈希计算，得到密文摘要；若签名摘要与密文摘要不匹配，则生成用于表征应用服务离线运行失败的校验结果。

在本申请的一个实施例中，基于前述方案，解密单元603还可以用于：若签名摘要与密文摘要相匹配，则调用服务秘钥对中的公钥，对应用服务的许可证中包含的数据密文进行解密，得到服务描述数据。

需要说明的是，上述实施例所提供的装置与上述实施例所提供的方法属于同一构思，其中各个模块和单元执行操作的具体方式已经在方法实施例中进行了详细描述，此处不再赘述。

上述实施例所提供的装置可以设于终端设备内，也可以设于服务器内，本申请实施例提供的装置通过判断应用服务的服务描述数据的数据量是否小于或等于预设阈值的方式，可以评估出应用服务的服务描述数据是否属于轻量数据，若是轻量数据(即数据量小于或等于预设阈值)，则可以相应地采用数据安全性更高的加密算法生成许可证。由此可见，本申请实施例可以达到在保障许可证的生成效率的同时提高数据安全性的目的。

本申请的实施例还提供了一种电子设备，包括一个或多个处理器，以及存储装置，其中，存储装置，用于存储一个或多个计算机程序，当一个或多个计算机程序被一个或多个处理器执行时，使得电子设备实现如上的基于应用服务的许可证处理方法。

本申请实施例提供了一种基于应用服务的许可证处理装置，装置应用于应用服务的运营平台；如图7所示，装置包括生成单元701和发送单元702：

生成单元701，用于若检测到应用服务的授权信息，则生成服务秘钥对并获取与授权信息相匹配的服务描述数据；

发送单元702，用于将服务描述数据以及服务秘钥对发送至应用服务的接入设备，以使接入设备在服务描述数据的数据量小于或等于预设阈值时，基于服务秘钥对中的私钥对服务描述数据进行数据加密处理，得到应用服务的许可证，接入设备在检测到对应用服务的离线运行请求时，基于服务秘钥对中的公钥对应用服务的许可证进行解密，并根据解密得到的服务描述数据运行应用服务。

本申请的一个实施例中，基于前述方案，发送单元702在将服务描述数据以及服务秘钥对发送至应用服务的接入设备时，具体可以用于：获取运行秘钥对，运行秘钥对是在检测到应用服务的授权信息时生成的；若服务描述数据的数据量小于或等于预设阈值，则基于运行秘钥对中的私钥，对服务描述数据以及服务秘钥对中的私钥进行加密，得到应用服务的服务运行许可证；将应用服务的服务运行许可证、运行秘钥对中的公钥以及服务秘钥对中的公钥发送至应用服务的接入设备。

需要说明的是，图8示出的电子设备的计算机系统800仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图8所示，计算机系统800包括处理器(Central Processing Unit，CPU)801，其可以根据存储在只读存储器(Read-Only Memory，ROM)802中的程序或者从存储部分808加载到随机访问存储器(Random Access Memory，RAM)803中的程序而执行各种适当的动作和处理，例如执行上述实施例中的方法。在RAM 803中，还存储有系统操作所需的各种程序和数据。CPU 801、ROM 802以及RAM 803通过总线804彼此相连。输入/输出(Input/Output，I/O)接口805也连接至总线804。

在一些实施例中，以下部件连接至I/O接口805：包括键盘、鼠标等的输入部分806；包括诸如阴极射线管(Cathode Ray Tube，CRT)、液晶显示器(Liquid Crystal Display，LCD)等以及扬声器等的输出部分807；包括硬盘等的存储部分808；以及包括诸如LAN(LocalArea Network，局域网)卡、调制解调器等的网络接口卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至I/O接口805。可拆卸介质811，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器810上，以便于从其上读出的计算机程序根据需要被安装入存储部分808。

特别地，根据本申请的实施例，上文参考流程图描述的过程可以被实现为计算机程序。例如，本申请的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的计算机程序。在这样的实施例中，该计算机程序可以通过通信部分809从网络上被下载和安装，和/或从可拆卸介质811被安装。在该计算机程序被处理器(CPU)801执行时，执行本申请的系统中限定的各种功能。

需要说明的是，本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的计算机程序。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的计算机程序可以用任何适当的介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本申请各种实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机程序的组合来实现。

描述于本申请实施例中所涉及到的单元或者模块可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元或者模块也可以设置在处理器中。其中，这些单元或者模块的名称在某种情况下并不构成对该单元或者模块本身的限定。

本申请的另一方面还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如前的基于应用服务的许可证处理方法。该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的，也可以是单独存在，而未装配入该电子设备中。

本申请的另一方面还提供了一种计算机程序产品，该计算机程序产品包括计算机程序，该计算机程序存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机程序，处理器执行该计算机程序，使得该电子设备执行上述各个实施例中提供如前所述的基于应用服务的许可证处理方法。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本申请的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

本领域技术者在考虑说明书及实践这里公开的实施方式后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。

上述内容，仅为本申请的较佳示例性实施例，并非用于限制本申请的实施方案，本领域普通技术者根据本申请的主要构思和精神，可以十分方便地进行相应的变通或修改，故本申请的保护范围应以权利要求书所要求的保护范围为准。

Claims

1.一种基于应用服务的许可证处理方法，其特征在于，应用于应用服务的接入设备；所述方法包括：

获取授权使用的应用服务的服务描述数据以及服务秘钥对；

2.根据权利要求1所述的方法，其特征在于，所述获取授权使用的应用服务的服务描述数据以及服务秘钥对，包括：

接收所述应用服务的运营平台发送的服务运行许可证、运行秘钥对中的公钥以及服务秘钥对中的公钥；其中，所述服务运行许可证是所述运营平台基于运行秘钥对中的私钥对所述服务描述数据以及所述服务秘钥对中的私钥进行加密得到的；

若检测到对所述应用服务的离线部署请求，则基于所述运行秘钥对中的公钥对所述服务运行许可证进行解密，得到所述服务描述数据以及所述服务秘钥对中的私钥。

3.根据权利要求1所述的方法，其特征在于，所述基于所述服务秘钥对中的私钥，对所述服务描述数据进行数据加密处理，得到所述应用服务的许可证，包括：

调用所述服务秘钥对中的私钥，对所述服务描述数据进行加密，得到数据密文；

对所述数据密文进行哈希计算，得到密文摘要；

调用所述服务秘钥对中的私钥对所述密文摘要进行签名处理，得到签名数据；

基于所述数据密文和所述签名数据，生成所述应用服务的许可证。

4.根据权利要求3所述的方法，其特征在于，所述基于所述服务秘钥对中的公钥对所述应用服务的许可证进行解密，包括：

调用所述服务秘钥对中的公钥，对所述应用服务的许可证中包含的签名数据进行解密，得到签名摘要；

对所述应用服务的许可证中包含的数据密文进行哈希计算，得到密文摘要；

若所述签名摘要与所述密文摘要不匹配，则生成用于表征所述应用服务离线运行失败的校验结果。

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

若所述签名摘要与所述密文摘要相匹配，则调用所述服务秘钥对中的公钥，对所述应用服务的许可证中包含的数据密文进行解密，得到所述服务描述数据。

6.一种基于应用服务的许可证处理方法，其特征在于，应用于应用服务的运营平台，所述方法包括：

7.根据权利要求6所述的方法，其特征在于，所述将所述服务描述数据以及所述服务秘钥对发送至所述应用服务的接入设备，包括：

获取运行秘钥对，所述运行秘钥对是在检测到所述应用服务的授权信息时生成的；

若所述服务描述数据的数据量小于或等于所述预设阈值，则基于所述运行秘钥对中的私钥，对所述服务描述数据以及所述服务秘钥对中的私钥进行加密，得到所述应用服务的服务运行许可证；

将所述应用服务的服务运行许可证、所述运行秘钥对中的公钥以及所述服务秘钥对中的公钥发送至所述应用服务的接入设备。

8.一种基于应用服务的许可证处理装置，其特征在于，所述装置应用于应用服务的接入设备，所述装置包括获取单元、加密单元和解密单元，其中：

9.一种基于应用服务的许可证处理装置，其特征在于，所述装置应用于应用服务的运营平台，所述装置包括生成单元和发送单元，其中：

10.一种电子设备，其特征在于，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如权利要求1至7中任一项所述的基于应用服务的许可证处理方法。