CN117971241A - 应用服务的离线部署方法、装置及电子设备 - Google Patents

Abstract

本申请的实施例公开了应用服务的离线部署方法、装置及电子设备，该方法包括：针对应用服务在许可证下的离线部署方案，为了提高应用服务的部署安全性，可以在许可证中加入授权部署的终端设备的机器指纹；这样后续除授权部署的终端设备以外的任何终端设备在获取并破解服务许可证之后也无法在部署运行应用服务。此外，本方法中的应用服务具体可以是基于数字孪生技术所构建的虚拟模型，虚拟模型的加载依赖模型的安装包以及前端渲染平台等资源加载环境；因此，本方法还可以在服务许可证的基础上进一步构建资源许可证，通过两重许可证的验证去部署应用服务，有利于进一步提高应用服务的部署安全性。

Description

应用服务的离线部署方法、装置及电子设备

技术领域

本申请涉及计算机及通信技术领域，具体而言，涉及应用服务的离线部署方法、装置、电子设备、计算机可读存储介质及计算机程序产品。

背景技术

为了避免开发者所开发的应用服务被盗用，应用服务的运营管理方通常会向购买了该应用服务的企业或个人发放许可证；这样使得只有拥有许可证的个人或企业才能够在自己的终端设备上离线部署该应用服务。但是，许可证的加解密依赖于相应的秘钥，一旦秘钥泄露，其他人员就可以随意在任何终端设备上部署该应用服务。因此，如何提高应用服务的部署安全性，是目前亟需解决的问题。

发明内容

本申请的实施例提供了应用服务的离线部署方法、应用服务的离线部署装置、电子设备、计算机可读存储介质及计算机程序产品，可提高应用服务的部署安全性。

本申请的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本申请的实践而习得。

根据本申请实施例的一个方面，提供了一种应用服务的离线部署方法，该方法包括：

响应应用服务的许可证获取请求，获取所述应用服务的授权信息；

获取授权部署所述应用服务的终端设备所对应的机器指纹；

对所述授权信息和所述机器指纹进行加密，得到所述应用服务的服务许可证；

将所述服务许可证发送至所述终端设备，以使所述终端设备对所述服务许可证进行解密得到所述授权信息和所述机器指纹，所述终端设备在所述终端设备的机器指纹与解密得到的机器指纹相匹配时，基于所述授权信息离线部署所述应用服务。

根据本申请实施例的另一个方面，提供了另一种应用服务的离线部署方法，该方法包括：

接收应用服务的运营平台发送的服务许可证；其中，所述服务许可证携带所述应用服务的授权信息，以及授权部署所述应用服务的目标设备所对应的机器指纹；

响应对所述应用服务的离线部署请求，对所述服务许可证进行解密，得到所述授权信息以及所述机器指纹；

若解密得到的机器指纹与所述终端设备的机器指纹相匹配，则基于所述授权信息离线部署所述应用服务。

根据本申请实施例的一个方面，提供了一种应用服务的离线部署装置，所述装置包括获取单元、加密单元和发送单元，其中：

所述获取单元，用于响应应用服务的许可证获取请求，获取请求部署的所述应用服务的授权信息；

所述获取单元，用于获取授权部署所述应用服务的终端设备所对应的机器指纹；

所述加密单元，用于对所述授权信息和所述机器指纹进行加密，得到所述应用服务的服务许可证；

所述发送单元，还用于将服务许可证发送至所述终端设备，以使所述终端设备对所述服务许可证进行解密得到所述授权信息和所述机器指纹，所述终端设备在所述终端设备的机器指纹与解密得到的机器指纹相匹配时，基于所述授权信息离线部署所述应用服务。

根据本申请实施例的一个方面，提供了另一种应用服务的离线部署装置，所述装置配置于应用服务的接入设备，所述装置包括接收单元、解密单元和部署单元，其中：

所述接收单元，用于接收应用服务的运营平台发送的服务许可证；其中，所述服务许可证携带所述应用服务的授权信息，以及授权部署所述应用服务的目标设备所对应的机器指纹；

所述解密单元，用于响应对所述应用服务的离线部署请求，对服务许可证进行解密，得到所述授权信息以及所述机器指纹；

所述部署单元，用于若解密得到的机器指纹与所述接入设备的机器指纹相匹配，则基于所述授权信息离线部署所述应用服务。

根据本申请实施例的一个方面，本申请实施例提供了一种电子设备，所述电子设备包括一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如上所述的应用服务的离线部署方法。

根据本申请实施例的一个方面，本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序被电子设备的处理器执行时，使电子设备执行如上所述的应用服务的离线部署方法。

根据本申请实施例的一个方面，本申请实施例提供了一种计算机程序产品，包括计算机程序，所述计算机程序存储在计算机可读存储介质中，电子设备的处理器从所述计算机可读存储介质读取并执行所述计算机程序，使得所述电子设备执行如上所述的应用服务的离线部署方法。

在本申请的实施例所提供的技术方案中，服务许可证是对授权信息和机器指纹进行加密所得到的；这样后续除授权部署的终端设备以外的任何终端设备在获取到服务许可证，并破解出了服务许可证解密所需的秘钥之后，也会因为该终端设备的机器指纹与服务许可证中包含的机器指纹不匹配而无法在该终端设备中部署应用服务。由此可见，本申请实施例通过将授权部署的终端设备的机器指纹加入服务许可证的方式，可以有效避免除授权部署的终端设备以外的终端设备在破解服务许可证之后可以随意部署应用服务的情况，从而有利于提高应用服务的部署安全性。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术者来讲，在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。在附图中：

图1是本申请实施例提供的一种应用服务的离线部署系统的结构示意图；

图2是本申请实施例提供的一种应用服务的离线部署方法的流程示意图；

图3是本申请实施例提供的另一种应用服务的离线部署方法的流程示意图；

图4是本申请实施例提供的一种部署资源的构建过程示意图；

图5是本申请实施例提供的一种应用服务的离线部署过程示意图；

图6是本申请的一示例性实施例示出的一种应用服务的离线部署装置的结构框图；

图7是本申请的一示例性实施例示出的另一种应用服务的离线部署装置的结构框图；

图8示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。

具体实施方式

这里将详细地对示例性实施例执行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/，也不是必须按所描述的顺序执行。例如，有的操作/还可以分解，而有的操作/可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。

还需要说明的是：在本申请中提及的“多个”是指两个或者两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

许可证(License)是一种用于验证软件或网页系统等程序资源的合法性的机制。具体来说，个人或企业根据自身的实际需求向应用的开发方购买相应的应用服务之后，可以通过许可证服务器等方式在线获取应用服务；也可以将许可证加载到自身的终端设备中，并通过激活许可证的方式实现在终端设备中离线运行相应应用服务。

在相关技术中，许可证的生成过程是一个对数据进行加密的过程，许可证的验证过程是一个对许可证进行解密的过程；故而，许可证的生成和验证依赖于加解密时所使用的秘钥。但如果秘钥泄露，其他人员就可以随意在任何终端设备上部署该应用服务。因此，基于传统的许可证所部署的应用服务的安全性并不高。

基于此，本申请实施例提供了一种应用服务的离线部署方案，该方案在生成应用服务的服务许可证之前，会先获取授权部署应用服务的终端设备所对应的机器指纹；然后，对应用服务的授权信息和机器指纹进行加密，得到应用服务的服务许可证并发送至终端设备。这样，终端设备只有在成功解密服务许可证，且自身的机器指纹与解密得到的机器指纹相匹配时，才能基于解密得到的授权信息离线部署应用服务。

其中，应用服务可以是一个完整的应用程序，也可以是对应用程序按照每个功能或业务进行分解后所得到一个独立的原子化应用，还可以是具有功能的代码段，在此不作限定。而应用服务的授权信息可以包括应用服务的服务标识信息、授权部署应用服务的终端设备的设备地址信息等。

此外，机器指纹是指用于唯一标识终端设备的设备特征或独特的设备标识。具体来说，机器指纹可以是一些设备固有的、难以篡改的、唯一的设备标识，如手机的国际移动设备标识码(International Mobile Equipment Identity，IMEI)、电脑的媒体访问控制地址(Media Access Control Address，即MAC地址)等。可选的，机器指纹也可以是通过机器指纹生成程序等应用程序所生成的用于唯一标识终端设备的设备标识。

不难看出，本方案在服务许可证的生成过程中，加入了授权部署应用服务的终端设备的机器指纹；这样后续任一终端设备在获取到服务许可证之后，哪怕任一终端设备破解出了服务许可证解密所需的秘钥，也会因为任一终端设备的机器指纹与服务许可证中包含的机器指纹不匹配而无法在任一终端设备中离线部署应用服务。由此可见，本方案通过将授权部署的终端设备的机器指纹加入服务许可证的方式，可以有效避免除授权部署的终端设备以外的终端设备在破解服务许可证之后可以随意部署应用服务的情况，从而有利于提高应用服务的部署安全性。

基于上述应用服务的离线部署方案，本申请实施例提供了一种应用服务的离线部署系统，可参见图1，图1所示的应用服务的离线部署系统可以包括多个终端设备101和多个服务器102。其中，终端设备101和服务器102之间建立有有线或无线的通信连接。

具体来说，终端设备101可以是智能手机、传感器、平板电脑、笔记本电脑、台式计算机、智能车载以及智能可穿戴设备中的任意一种或多种。终端设备101内可以运行有车站管理应用、金融应用、视频应用、社交应用、信息流应用、教育应用等一个或多个应用。服务器102具体可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network，CDN)、以及大数据和人工智能平台等基础云计算服务的服务器。

具体来说，服务器102中运行有应用服务的运营平台，还可以运行有其他与应用服务相关的进程，在此不作限定。终端设备101则可以是服务器102中运行的运营平台所管理的应用服务的接入设备。

在一些实施例中，上述应用服务的离线部署方法可以仅由图1所示应用服务的离线部署系统中的终端设备101执行，也可以仅由服务器102执行；以服务器102执行为例，其具体执行过程为：服务器102可以先获取应用服务的授权信息，以及获取授权部署应用服务的终端设备所对应的机器指纹；然后，服务器102可以对应用服务的授权信息和机器指纹进行加密，得到应用服务的服务许可证。最后，服务器102可以将应用服务的服务许可证发送至终端设备101，以使终端设备101在成功解密服务许可证，且自身的机器指纹与解密得到的机器指纹相匹配时，基于解密得到的授权信息离线部署应用服务。

可选的，上述应用服务的离线部署方法也可以仅由图1所示的应用服务的离线部署中的终端设备101执行，其具体执行过程可参见服务器102的具体执行过程，在此不再赘述。

在另一些实施例中，上述应用服务的离线部署方法可以由图1所示应用服务的离线部署系统中的终端设备101和服务器102共同执行，其具体执行过程为：服务器102可以先获取应用服务的授权信息，以及获取授权部署应用服务的终端设备所对应的机器指纹；然后，服务器102可以对应用服务的授权信息和机器指纹进行加密，得到应用服务的服务许可证。最后，服务器102可以将应用服务的服务许可证发送至终端设备101，以使终端设备101在成功解密服务许可证，且自身的机器指纹与解密得到的机器指纹相匹配时，基于解密得到的授权信息离线部署应用服务。

需要说明的是，本申请实施例可以应用于各种需要接入应用服务的场景，如智慧车站、智能交通、智慧商场、物联网等，对此不作限定。同时，在本申请的具体实施方式中，若授权信息、机器指纹等数据或信息涉及到对象相关，当本申请实施例运用到具体产品或技术中时，需要获得对象许可或者同意，且相关数据或信息的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。

以下对本申请实施例的技术方案的各种实现细节进行详细阐述：

如图2所示，图2是本申请的一个实施例示出的一种应用服务的离线部署方法的流程示意图，该方法可以应用于图1所示的应用服务的离线部署系统。在本申请实施例中，以该方法由应用服务的离线部署系统中的服务器(即应用服务的运营平台)执行为例进行说明。其中，应用服务的离线部署方法可以包括S201至S204，详细介绍如下：

S201、响应应用服务的许可证获取请求，获取应用服务的授权信息。

在本申请实施例中，应用服务可以是一个完整的应用程序，也可以是对应用程序按照每个功能或业务进行分解后所得到一个独立的原子化应用，还可以是具有功能的代码段，在此不作限定。

而应用服务的许可证获取请求可以是基于应用服务的授权信息生成的。其中，授权信息可以是运营平台的工作人员与购买方沟通需求之后在运营平台上配置的。

具体来说，应用服务的授权信息可以包括应用服务的服务标识信息、授权部署应用服务的终端设备的设备地址信息等。在此基础上，应用服务的授权信息还可以包括以下至少一种：授权使用的应用服务的服务标识、席位数(即购买方可以使用应用服务的设备数量)、授权有效期限等。

在一个实施例中，若购买方是企业，为了精准地针对购买应用服务的企业的终端设备发放应用服务的服务许可证；运营平台的工作人员在配置授权信息之前，还可以进一步配置企业信息。具体来说，企业信息可以包括以下至少一种：企业名称、营业执照编号、企业联系人等。

具体实现中，应用可以是包含虚拟车站的车站管理应用；其中，虚拟车站是基于数字孪生技术对轨道交通车站进行映射建模得到的。具体来说，可以先在虚拟空间中建立轨道交通车站的虚拟模型；然后采集轨道交通车站中的各个站台设备的真实设备数据，在虚拟模型上对轨道交通车站进行仿真和模拟，从而得到虚拟车站。最后，可以构建包含虚拟车站的车站管理应用对轨道交通车站进行全局监测和日常管理。

而应用服务具体可以是将虚拟车站进行分解后所得到的各个站台设备的虚拟模型。车站管理方和运营平台可以事先沟通所需的虚拟模型，然后向运营平台购买相应的虚拟模型，并通过购买得到的许可证在终端设备中离线运行虚拟模型。

S202、获取授权部署应用服务的终端设备所对应的机器指纹。

在本申请实施例中，机器指纹是指用于唯一标识终端设备的设备特征或独特的设备标识。具体来说，机器指纹可以是一些设备固有的、难以篡改的、唯一的设备标识。可选的，机器指纹也可以是通过机器指纹生成程序等应用程序所生成的用于唯一标识终端设备的设备标识。

在一个实施例中，由于步骤S201中提及应用服务的授权信息中可以包含授权部署应用服务的终端设备的设备地址信息；因此，应用服务的运营平台获取机器指纹的具体方式可以是：调用机器指纹生成程序，基于授权信息中所包含的设备地址信息，生成授权部署应用服务的终端设备的机器指纹。

可选的，机器指纹也可以是授权部署应用服务的终端设备生成的；那么，应用服务的运营平台获取机器指纹的具体方式可以是：应用服务的运营平台向授权部署应用服务的终端设备发送指纹获取请求；终端设备响应指纹获取请求，调用机器指纹生成程序生成机器指纹；终端设备将机器指纹发送至运营平台；运营平台接收终端设备发送的机器指纹。

其中，运营平台可以基于授权信息中包含的设备地址信息确定授权部署应用服务的终端设备的网络地址，从而向授权部署应用服务的终端设备发送授权部署应用服务的终端设备。

S203、对授权信息和机器指纹进行加密，得到应用服务的服务许可证。

在本申请实施例中，服务许可证的加解密策略可以是仅采用非对称加密算法，也可以是非对称加密算法和对称加密算法结合，在此不作限定。

具体来说，上述这些加解密策略都需要用到秘钥对；那么，应用服务的运营平台可以在检测到应用服务的授权信息时，可以生成加解密策略所需的服务秘钥对。

可选的，由于步骤S201中提及运营人员还可以在配置授权信息之前配置企业信息，而同一企业的不同终端设备其实可以使用相同的秘钥对；因此，运营平台可以在检测到应用服务的企业信息之后，可以生成加解密策略所需的服务秘钥对。可选的，同一企业的不同终端设备也可以使用不同的秘钥对，在此不作限定。

在一个实施例中，当加解密策略为非对称加密算法时，对授权信息和机器指纹进行加密的具体过程可以包括：运营平台调用服务秘钥对中的私钥，对授权信息和机器指纹进行加密，得到数据密文；运营平台对数据密文进行哈希计算，得到密文摘要；运营平台调用服务秘钥对中的私钥对密文摘要进行签名处理，得到签名数据；运营平台基于数据密文和签名数据，得到服务许可证。

可选的，当加解密策略为非对称加密算法和对称加密算法结合时，对授权信息和机器指纹进行加密的具体过程可以包括：运营平台随机生成对称密码；运营平台基于对称密码对授权信息和机器指纹进行加密，得到信息密文；运营平台对信息密文进行哈希计算，得到信息摘要；运营平台调用服务秘钥对中的私钥，对信息摘要以及对称密码进行加密，得到签名数据；运营平台基于信息密文和签名数据，得到服务许可证。

可选的，当加解密策略为非对称加密算法和对称加密算法结合，且将对称密码外置时，对授权信息和机器指纹进行加密的具体过程还可以包括：运营平台随机生成对称密码；运营平台调用服务秘钥对中的私钥对称密码进行加密，得到密码密文；运营平台基于对称密码对授权信息和机器指纹进行加密，得到信息密文；运营平台对信息密文进行哈希计算，得到信息摘要；运营平台调用服务秘钥对中的私钥，对信息摘要进行加密，得到签名数据；运营平台基于密码密文、信息密文和签名数据，得到服务许可证。

S204、将服务许可证发送至终端设备，以使终端设备对服务许可证进行解密得到授权信息和机器指纹，终端设备在终端设备的机器指纹与解密得到的机器指纹相匹配时，基于授权信息离线部署应用服务。

在本申请实施例中，若终端设备的机器指纹与解密得到的机器指纹相同，则可以确定终端设备的机器指纹与解密得到的机器指纹相匹配；若终端设备的机器指纹与解密得到的机器指纹不同，则可以确定终端设备的机器指纹与解密得到的机器指纹不匹配。

在一个实施例中，由于步骤S203中提及可以采用非对称加密算法，也可以是非对称加密算法和对称加密算法结合的加解密策略。因此，终端设备的解密方式会随着加解密策略而相应调整。

可选的，当加解密策略为非对称加密算法时，解密的具体过程可以包括：调用服务秘钥对中的公钥，对服务许可证中包含的签名数据进行解密，得到签名摘要；对服务许可证中包含的数据密文进行哈希计算，得到密文摘要；若签名摘要与密文摘要不匹配，则生成用于表征服务许可证验证失败的验证结果；若签名摘要与密文摘要相匹配，则调用服务秘钥对中的公钥，对应用服务的许可证中包含的数据密文进行解密，得到授权信息和机器指纹。

可选的，当加解密策略为非对称加密算法和对称加密算法结合时，解密的具体过程可以包括：从服务许可证中提取出信息密文和签名数据；调用服务秘钥对中的公钥对签名数据进行解密，得到签名摘要和对称密码；对信息密文进行哈希计算，得到密文摘要；若签名摘要与密文摘要不匹配，则生成用于表征服务许可证验证失败的验证结果；若签名摘要与密文摘要相匹配，则调用解密得到的对称密码，对信息密文进行解密，得到授权信息和机器指纹。

可选的，当加解密策略为非对称加密算法和对称加密算法结合，且将对称密码外置时，解密的具体过程可以包括：从服务许可证中提取出密码密文、信息密文和签名数据；调用服务秘钥对中的公钥对密码密文进行解密，得到对称密码；调用服务秘钥对中的公钥对签名数据进行解密，得到签名摘要；对信息密文进行哈希计算，得到密文摘要；若签名摘要与密文摘要不匹配，则生成用于表征服务许可证验证失败的验证结果；若签名摘要与密文摘要相匹配，则调用解密得到的对称密码，对信息密文进行解密，得到授权信息和机器指纹。

在一个实施例中，运营平台除了向终端设备发放服务许可证之外，还需要向终端设备发送包含应用服务的运行环境、运行程序等数据的应用资源包，而授权信息、应用服务以及应用资源包存在一一对应关系。因此，基于授权信息离线部署应用服务的具体过程可以包括：获取与授权信息对应的应用资源包，加载应用资源包以运行应用服务。

在本申请实施例中，服务许可证是对授权信息和机器指纹进行加密所得到的；这样后续除授权部署的终端设备以外的任何终端设备在获取到服务许可证，并破解出了服务许可证解密所需的秘钥之后，也会因为该终端设备的机器指纹与服务许可证中包含的机器指纹不匹配而无法在该终端设备中部署应用服务。由此可见，本申请实施例通过将授权部署的终端设备的机器指纹加入服务许可证的方式，可以有效避免除授权部署的终端设备以外的终端设备在破解服务许可证之后可以随意部署应用服务的情况，从而有利于提高应用服务的部署安全性。

在本申请的一个实施例中，提供了又一种应用服务的离线部署方法，该应用服务的离线部署方法可以应用于图1所示的应用服务的离线部署系统。在本申请实施例中，以该方法由应用服务的离线部署系统中的终端设备(即应用服务的接入设备)和服务器(即应用服务的运营平台)执行为例进行说明。如图3所示，示出了另一种应用服务的离线部署方法的流程示意图，该应用服务的离线部署方法在图3所示的方法的基础上进行了扩展。

由于应用服务可能对运行环境有要求，如虚拟车站等虚拟模型的运行不仅需要包含虚拟模型的安装包的服务资源包，还需要包含前端渲染平台等运行平台的资源加载包。因此，在本申请实施例中，步骤S204中提及的应用资源包可以包括服务资源包和资源加载包。

其中，S301至S307详细介绍如下：

S301、应用服务的运营平台响应应用服务的许可证获取请求，获取应用服务的授权信息。

在本申请实施例中，步骤S301中的具体实施方式可以参见上述实施例中步骤S201中的具体实施方式，在此不赘述。

可选的，由于上述提及应用资源包可以包括服务资源包和资源加载包；而为了进一步提高应用服务的部署安全性，除了可以在终端设备部署用于验证终端设备是否具备运行应用服务的资格的服务许可证，还可以进一步部署用于鉴定应用服务是否被授权加载的资源许可证。生成服务许可证和资源许可证需要相应的秘钥对。因此，应用服务的运营平台除了生成服务秘钥对之外，还可以生成资源秘钥对。

那么，应用服务的运营平台可以在检测到企业信息之后，生成服务秘钥对和资源秘钥对；或者，应用服务的运营平台也可以响应应用服务的许可证获取请求，生成服务秘钥对和资源秘钥对，在此不作限定。

S302、应用服务的运营平台获取授权部署应用服务的终端设备所对应的机器指纹。

在本申请实施例中，步骤S302中的具体实施方式可以参见上述实施例中步骤S202中的具体实施方式，在此不赘述。

S303、应用服务的运营平台对授权信息和机器指纹进行加密，得到应用服务的服务许可证。

在本申请实施例中，步骤S303中的具体实施方式可以参见上述实施例中步骤S202中的具体实施方式，在此不赘述。

可选的，由于步骤S301中提及运营平台会生成服务秘钥对和资源秘钥对，而基于两个秘钥对所生成的服务许可证和资源许可证是需要串行验证的，即需要先验证终端设备是否具备运行应用服务的资格，再鉴定应用服务是否被授权加载。

因此，用于生成资源许可证的资源秘钥对中的私钥是可以放入服务许可证中的。那么，应用服务的服务许可证的生成过程具体可以包括：调用服务秘钥对中包含的私钥，对资源秘钥对中包含的私钥、授权信息以及机器指纹进行加密，得到应用服务的服务许可证。

需要说明的是，对资源秘钥对中包含的私钥、授权信息以及机器指纹进行加密的具体实施方式可以参见步骤S202中对授权信息以及机器指纹进行加密的具体实施方式，在此不赘述。

S304、应用服务的运营平台构建应用服务的资源加载包和服务资源包。

在本申请实施例中，应用服务的运营平台可以基于授权信息、资源秘钥对中包含的公钥以及资源加载代码段，构建资源加载包；以及，获取应用服务的服务安装包以及服务运行代码段，并基于服务安装包、服务运行代码段以及服务秘钥对中包含的公钥，构建服务资源包。

其中，服务运行代码段加载运行之后，可以得到服务运行线程；而服务运行线程主要用于管理服务安装包和服务秘钥对中包含的公钥，以及生成资源许可证。资源加载代码段加载运行之后，可以得到资源加载线程；而资源加载线程主要用于验证资源许可证。

实际应用中，应用服务的运营平台可以调用服务构建线程，管理应用服务的服务安装包以及服务运行代码段，并基于服务安装包、服务运行代码段以及服务秘钥对中包含的公钥，构建服务资源包。以及应用服务的运营平台可以调用资源构建线程，基于授权信息、资源秘钥对中包含的公钥以及资源加载代码段，构建资源加载包。

S305、应用服务的运营平台将服务许可证、资源加载包以及服务资源包发送至应用服务的接入设备。

在本申请实施例中，应用服务的运营平台可以直接将服务许可证、资源加载包以及服务资源包发送至应用服务的接入设备。可选的，为了提高数据传输的安全性，应用服务的运营平台可以将服务许可证、资源加载包以及服务资源包进行数据加密后再传输至应用服务的接入设备，在此不作限定。

S306、应用服务的接入设备响应对应用服务的离线部署请求，对服务许可证进行解密，得到授权信息以及机器指纹。

在本申请实施例中，步骤S306中的具体实施方式可以参见上述实施例中步骤S203中的具体实施方式，在此不赘述。

可选的，由于步骤S303中提及服务许可证中还可以包含资源秘钥对中包含的私钥；因此，对服务许可证进行解密，可以得到资源秘钥对中包含的私钥、授权信息以及机器指纹。

可选的，由于步骤S304和S305提及应用服务的接入设备还会接收到服务资源包。因此，解密过程可以包括：加载服务资源包中的服务运行代码段，以得到服务运行线程；调用服务运行线程，基于服务秘钥对中的公钥对服务许可证进行解密，得到授权信息以及机器指纹。

S308、若解密得到的机器指纹与接入设备的机器指纹相匹配，则应用服务的接入设备基于授权信息、资源加载包以及服务资源包离线部署应用服务。

在本申请实施例中，基于授权信息、资源加载包以及服务资源包离线部署应用服务的具体过程可以包括：从服务资源包中获取与授权信息相匹配的服务安装包；加载资源加载包中的资源加载代码段，以得到资源加载线程；调用资源加载线程加载服务安装包，以得到应用服务。

可选的，由于步骤S301中提及还可以构建资源许可证，因此，基于授权信息、资源加载包以及服务资源包离线部署应用服务的具体过程还可以包括：调用服务运行线程，从服务资源包中获取与授权信息相匹配的服务安装包；基于资源秘钥对中的私钥，对获取到的服务安装包的标识信息进行加密，得到资源许可证；加载所述资源加载包中的资源加载代码段，以得到资源加载线程；调用资源加载线程，基于资源秘钥对中的公钥对资源许可证进行解密，获取解密得到的标识信息；加载解密得到的标识信息所指示的服务安装包，以得到应用服务。

具体实现中，请参见附图4，示出了一种部署资源的构建过程示意图。其中，应用服务的购买企业可以将轨道交通车站的基础模型上传至虚拟模型的运营平台；然后，运营平台可以基于购买企业所想要构建的基础模型，构建相应的虚拟模型(即应用服务)。之后，就是构建虚拟模型在部署至购买企业的终端设备之前所需要的部署资源。

具体来说，部署资源可以包括虚拟模型的服务许可证、用于管理虚拟模型的安装包的服务资源包以及与虚拟模型的前端渲染平台相关的软件开发工具包(即上述资源加载包，本示例中简称SDK)。如图4所示，运营平台可与基于SDK构建线程(即资源构建线程)以及服务构建线程共同构建应用服务的部署资源。

如图4中的步骤5和步骤6所示，运营方配置了授权信息之后，运营平台会生成相应数量的授权码。其中，授权码是授权信息的一种具体表现形式；授权码用于唯一标识应用服务，应用服务与授权码一一对应。在本示例中，一个授权码标识虚拟车站中的一个虚拟模型。

如图4中的步骤12所示，在获取到授权码、机器指纹、服务秘钥对以及资源秘钥对之后，可以基于服务秘钥对中的私钥，对授权码、机器指纹以及资源秘钥对中的私钥进行加密，生成服务许可证。

如图4中的步骤15所示，SDK构建线程中会基于授权码配置相应的资源加载代码段；然后再基于授权码、资源加载代码段以及资源秘钥对中的公钥构建SDK。如图4中的步骤19所示，服务构建线程会基于授权码配置相应的服务运行代码段；然后再基于与授权码对应的虚拟模型的安装包、服务运行代码段以及服务秘钥对中的公钥构建服务资源包。

进一步的，请参见附图5，示出了一种应用服务的离线部署过程示意图。如图5中的步骤24至27，在服务许可证和机器指纹均验证通过之后，服务运行线程可以根据授权信息初始化服务，即获取与授权信息中授权部署的虚拟模型的服务安装包。如图5中的步骤33至35所示，资源许可证验证通过之后，资源加载线程可以加载服务安装包以运行虚拟模型，并对虚拟模型进行渲染。

在本申请实施例中，通过在服务许可证的基础上进一步构建资源许可证的方式，使得应用服务需要经过服务许可证和资源许可证的两重验证之后才能顺利运行，有利于进一步提高应用服务的部署安全性。此外，本申请实施例通过将生成资源许可证所需的私钥放入服务许可证的方式，使得应用服务的接入设备必须串行验证服务许可证和资源许可证，有利于保障应用服务运行之前两重验证的执行，从而有利于进一步提高应用服务的部署安全性。

在此介绍本申请的装置实施例，可以用于执行本申请上述实施例中的应用服务的离线部署方法。对于本申请装置实施例中未披露的细节，请参照本申请上述的应用服务的离线部署方法的实施例。

本申请实施例提供了一种应用服务的离线部署装置；如图6所示，装置包括获取单元601、加密单元602和发送单元603：

获取单元601，用于响应应用服务的许可证获取请求，获取请求部署的应用服务的授权信息；

获取单元601，用于获取授权部署应用服务的终端设备所对应的机器指纹；

加密单元602，用于若对授权信息和机器指纹进行加密，得到应用服务的服务许可证；

发送单元603，用于将服务许可证发送至终端设备，以使终端设备对服务许可证进行解密得到授权信息和机器指纹，终端设备在终端设备的机器指纹与解密得到的机器指纹相匹配时，基于授权信息离线部署应用服务。

本申请的一个实施例中，基于前述方案，加密单元602在对授权信息和机器指纹进行加密，得到应用服务的服务许可证时，具体可以用于：获取服务秘钥对和资源秘钥对；调用服务秘钥对中包含的私钥，对资源秘钥对中包含的私钥、授权信息以及机器指纹进行加密，得到应用服务的服务许可证。

在本申请的一个实施例中，基于前述方案，加密单元602具体还可以用于：基于授权信息、资源秘钥对中包含的公钥以及资源加载代码段，构建资源加载包；获取应用服务的服务安装包以及服务运行代码段，并基于服务安装包、服务运行代码段以及服务秘钥对中包含的公钥，构建服务资源包。发送单元603在将服务许可证发送至终端设备时，具体可以用于将服务许可证、资源加载包以及服务资源包发送至终端设备，以使终端设备基于服务许可证、资源加载包以及服务资源包离线部署应用服务。

需要说明的是，上述实施例所提供的装置与上述实施例所提供的方法属于同一构思，其中各个模块和单元执行操作的具体方式已经在方法实施例中进行了详细描述，此处不再赘述。

上述实施例所提供的装置可以设于终端设备内，也可以设于服务器内，本申请实施例提供的装置通过将授权部署的终端设备的机器指纹加入服务许可证的方式，可以有效避免除授权部署的终端设备以外的终端设备在破解服务许可证之后可以随意部署应用服务的情况，从而有利于提高应用服务的部署安全性。

本申请的实施例还提供了一种电子设备，包括一个或多个处理器，以及存储装置，其中，存储装置，用于存储一个或多个计算机程序，当一个或多个计算机程序被一个或多个处理器执行时，使得电子设备实现如上的应用服务的离线部署方法。

本申请实施例提供了另一种应用服务的离线部署装置，装置应用于应用服务的接入设备；如图7所示，装置包括接收单元701、解密单元702和部署单元703：

接收单元701，用于接收应用服务的运营平台发送的服务许可证；其中，服务许可证携带应用服务的授权信息，以及授权部署应用服务的目标设备所对应的机器指纹；

解密单元702，用于响应对应用服务的离线部署请求，对服务许可证进行解密，得到授权信息以及机器指纹；

部署单元703，用于若解密得到的机器指纹与接入设备的机器指纹相匹配，则基于授权信息离线部署应用服务。

本申请的一个实施例中，基于前述方案，接收单元701还可以用于：接收运营平台发送的服务资源包；其中，服务资源包中包括应用服务的服务安装包、服务运行代码段以及服务秘钥对中的公钥。解密单元702在对服务许可证进行解密，得到授权信息以及机器指纹时，具体可以用于：加载服务资源包中的服务运行代码段，以得到服务运行线程；调用服务运行线程，基于服务秘钥对中的公钥对服务许可证进行解密，得到授权信息以及机器指纹。

本申请的一个实施例中，服务许可证还携带资源秘钥对中的私钥；基于前述方案，解密单元702还可以用于：调用服务运行线程，从服务资源包中获取与授权信息相匹配的服务安装包；基于资源秘钥对中的私钥，对获取到的服务安装包的标识信息进行加密，得到资源许可证。

本申请的一个实施例中，基于前述方案，接收单元701还可以用于：接收运营平台发送的资源加载包；资源加载包中包括资源秘钥对中的公钥以及资源加载代码段；解密单元702还可以用于：加载资源加载包中的资源加载代码段，以得到资源加载线程；调用资源加载线程，基于资源秘钥对中的公钥对资源许可证进行解密，获取解密得到的标识信息；加载解密得到的标识信息所指示的服务安装包，以得到应用服务。

需要说明的是，上述实施例所提供的装置与上述实施例所提供的方法属于同一构思，其中各个模块和单元执行操作的具体方式已经在方法实施例中进行了详细描述，此处不再赘述。

上述实施例所提供的装置可以设于终端设备内，也可以设于服务器内，本申请实施例提供的装置通过将授权部署的终端设备的机器指纹加入服务许可证的方式，可以有效避免除授权部署的终端设备以外的终端设备在破解服务许可证之后可以随意部署应用服务的情况，从而有利于提高应用服务的部署安全性。

图8示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。

需要说明的是，图8示出的电子设备的计算机系统800仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图8所示，计算机系统800包括处理器(Central Processing Unit，CPU)801，其可以根据存储在只读存储器(Read-Only Memory，ROM)802中的程序或者从存储部分808加载到随机访问存储器(Random Access Memory，RAM)803中的程序而执行各种适当的动作和处理，例如执行上述实施例中的方法。在RAM 803中，还存储有系统操作所需的各种程序和数据。CPU 801、ROM 802以及RAM 803通过总线804彼此相连。输入/输出(Input/Output，I/O)接口805也连接至总线804。

在一些实施例中，以下部件连接至I/O接口805：包括键盘、鼠标等的输入部分806；包括诸如阴极射线管(Cathode Ray Tube，CRT)、液晶显示器(Liquid Crystal Display，LCD)等以及扬声器等的输出部分807；包括硬盘等的存储部分808；以及包括诸如LAN(LocalArea Network，局域网)卡、调制解调器等的网络接口卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至I/O接口805。可拆卸介质811，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器810上，以便于从其上读出的计算机程序根据需要被安装入存储部分808。

特别地，根据本申请的实施例，上文参考流程图描述的过程可以被实现为计算机程序。例如，本申请的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的计算机程序。在这样的实施例中，该计算机程序可以通过通信部分809从网络上被下载和安装，和/或从可拆卸介质811被安装。在该计算机程序被处理器(CPU)801执行时，执行本申请的系统中限定的各种功能。

需要说明的是，本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的计算机程序。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的计算机程序可以用任何适当的介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本申请各种实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机程序的组合来实现。

描述于本申请实施例中所涉及到的单元或者模块可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元或者模块也可以设置在处理器中。其中，这些单元或者模块的名称在某种情况下并不构成对该单元或者模块本身的限定。

本申请的另一方面还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如前的应用服务的离线部署方法。该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的，也可以是单独存在，而未装配入该电子设备中。

本申请的另一方面还提供了一种计算机程序产品，该计算机程序产品包括计算机程序，该计算机程序存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机程序，处理器执行该计算机程序，使得该电子设备执行上述各个实施例中提供如前所述的应用服务的离线部署方法。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本申请的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

本领域技术者在考虑说明书及实践这里公开的实施方式后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。

上述内容，仅为本申请的较佳示例性实施例，并非用于限制本申请的实施方案，本领域普通技术者根据本申请的主要构思和精神，可以十分方便地进行相应的变通或修改，故本申请的保护范围应以权利要求书所要求的保护范围为准。

Claims (10)

1.一种应用服务的离线部署方法，其特征在于，所述方法包括：

响应应用服务的许可证获取请求，获取所述应用服务的授权信息；

获取授权部署所述应用服务的终端设备所对应的机器指纹；

对所述授权信息和所述机器指纹进行加密，得到所述应用服务的服务许可证；

将所述服务许可证发送至所述终端设备，以使所述终端设备对所述服务许可证进行解密得到所述授权信息和所述机器指纹，所述终端设备在所述终端设备的机器指纹与解密得到的机器指纹相匹配时，基于所述授权信息离线部署所述应用服务。

2.根据权利要求1所述的方法，其特征在于，所述对所述授权信息和所述机器指纹进行加密，得到所述应用服务的服务许可证，包括：

获取服务秘钥对和资源秘钥对；

调用所述服务秘钥对中包含的私钥，对所述资源秘钥对中包含的私钥、所述授权信息以及所述机器指纹进行加密，得到所述应用服务的服务许可证。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

基于所述授权信息、所述资源秘钥对中包含的公钥以及资源加载代码段，构建资源加载包；

获取所述应用服务的服务安装包以及服务运行代码段，并基于所述服务安装包、所述服务运行代码段以及所述服务秘钥对中包含的公钥，构建服务资源包；

所述将所述服务许可证发送至所述终端设备，包括：

将所述服务许可证、所述资源加载包以及所述服务资源包发送至所述终端设备，以使所述终端设备基于所述服务许可证、所述资源加载包以及所述服务资源包离线部署所述应用服务。

4.一种应用服务的部署方法，其特征在于，应用于应用服务的接入设备，所述方法包括：

接收应用服务的运营平台发送的服务许可证；其中，所述服务许可证携带所述应用服务的授权信息，以及授权部署所述应用服务的终端设备所对应的机器指纹；

响应对所述应用服务的离线部署请求，对所述服务许可证进行解密，得到所述授权信息和机器指纹；

若解密得到的机器指纹与所述接入设备的机器指纹相匹配，则基于所述授权信息离线部署所述应用服务。

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

接收所述运营平台发送的服务资源包；其中，所述服务资源包中包括所述应用服务的服务安装包、服务运行代码段以及服务秘钥对中的公钥；

所述对所述服务许可证进行解密，得到所述授权信息和机器指纹，包括：

加载所述服务资源包中的服务运行代码段，以得到服务运行线程；

调用所述服务运行线程，基于所述服务秘钥对中的公钥对所述服务许可证进行解密，得到所述授权信息和机器指纹。

6.根据权利要求5所述的方法，其特征在于，服务许可证还携带资源秘钥对中的私钥；所述方法还包括：

调用所述服务运行线程，从所述服务资源包中获取与所述授权信息相匹配的服务安装包；

基于所述资源秘钥对中的私钥，对获取到的服务安装包的标识信息进行加密，得到资源许可证。

7.根据权利要求6所述的方法，其特征在于，所述方法还包括：

接收所述运营平台发送的资源加载包；所述资源加载包中包括资源秘钥对中的公钥以及资源加载代码段；

加载所述资源加载包中的资源加载代码段，以得到资源加载线程；

调用所述资源加载线程，基于所述资源秘钥对中的公钥对所述资源许可证进行解密，获取解密得到的标识信息；

加载所述解密得到的标识信息所指示的服务安装包，以得到所述应用服务。

8.一种应用服务的离线部署装置，其特征在于，所述装置包括获取单元、加密单元和发送单元，其中：

所述获取单元，用于响应应用服务的许可证获取请求，获取所述应用服务的授权信息；

所述获取单元，用于获取授权部署所述应用服务的终端设备所对应的机器指纹；

所述加密单元，用于对所述授权信息和所述机器指纹进行加密，得到所述应用服务的服务许可证；

所述发送单元，还用于将所述服务许可证发送至所述终端设备，以使所述终端设备对所述服务许可证进行解密得到所述授权信息和所述机器指纹，所述终端设备在所述终端设备的机器指纹与解密得到的机器指纹相匹配时，基于所述授权信息离线部署所述应用服务。

9.一种应用服务的离线部署装置，其特征在于，所述装置配置于应用服务的接入设备，所述装置包括接收单元、解密单元和部署单元，其中：

所述接收单元，用于接收应用服务的运营平台发送的服务许可证；其中，所述服务许可证携带所述应用服务的授权信息，以及授权部署所述应用服务的终端设备所对应的机器指纹；

所述解密单元，用于响应对所述应用服务的离线部署请求，对所述服务许可证进行解密，得到所述授权信息和机器指纹；

所述部署单元，用于若解密得到的机器指纹与所述接入设备的机器指纹相匹配，则基于所述授权信息离线部署所述应用服务。

10.一种电子设备，其特征在于，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如权利要求1至3中任一项所述的应用服务的离线部署方法，或者使得所述一个或多个处理器实现如权利要求4至7中任一项所述的应用服务的离线部署方法。