应用程序的鉴权方法、装置、电子设备及计算机存储介质与流程

1.本发明属于应用程序的鉴权技术领域，尤其涉及一种应用程序的鉴权方法、装置、电子设备及计算机存储介质。


背景技术：

2.现有无线通信系统中，网络运营商的鉴权方案主要是网络对于终端的基于sim卡的鉴权方案。该鉴权方案的鉴权对象是单台终端，而当前网络运营商所提供的所有服务，如：短彩信、通话、数据等，全部都是面向单台终端的。鉴权方案和服务对象完全匹配。
3.由于网络切片技术和服务是属于第五代无线通信系统的新技术、新业务。目前还处在技术验证阶段。因此，当前还没有针对终端应用程序(app)的切片服务的鉴权方案。
4.网络切片服务的服务对象为特定的应用程序(app)，其商业模式也将是由应用程序(app)开发和运营厂商与网络运营商签约来租用网络切片。原则上该服务不绑定任何终端设备。同时，一个终端设备上承载的多个应用程序(app)也可以同时申请多个切片服务。因此，对于网络运营商来说，切片服务的鉴权对象就从单台终端变成了单一应用程序(app)。而基于sim卡的面向单台终端的鉴权方式无法满足面向应用程序的鉴权需求。特别是对于智能终端，当终端上的应用程序随时可能发生变化时，仅针对终端的鉴权无法保证面向应用程序(app)的切片服务的安全性。
5.因此，如何更加安全地对应用程序进行鉴权是本领域技术人员亟需解决的技术问题。


技术实现要素：

6.本发明实施例提供一种应用程序的鉴权方法、装置、电子设备及计算机存储介质，能够更加安全地对应用程序进行鉴权。
7.第一方面，本发明实施例提供一种应用程序的鉴权方法，包括：
8.接收目标应用程序发送的网络切片服务请求；其中，网络切片服务请求中携带有目标应用程序的身份信息；
9.在身份信息验证通过的情况下，利用终端操作系统对目标应用程序进行混合校验；
10.在混合校验通过的情况下，向运营商网络发送网络切片服务请求。
11.可选的，身份信息包括应用程序名称、应用包名和制造商信息中的至少一种时，在身份信息验证通过的情况下，利用终端操作系统对目标应用程序进行混合校验，包括：
12.将身份信息和预设的已签约应用程序身份信息进行匹配；
13.在匹配成功的情况下，利用终端操作系统对目标应用程序进行混合校验。
14.可选的，在匹配成功的情况下，利用终端操作系统对目标应用程序进行混合校验，包括：
15.在匹配成功的情况下，利用终端操作系统对目标应用程序进行哈希校验。
16.可选的，在混合校验通过的情况下，向运营商网络发送网络切片服务请求，包括：
17.在混合校验通过的情况下，对网络切片服务请求添加数字水印；
18.向运营商网络发送已添加完数字水印的网络切片服务请求。
19.第二方面，本发明实施例提供了一种应用程序的鉴权装置，包括：
20.接收模块，用于接收目标应用程序发送的网络切片服务请求；其中，网络切片服务请求中携带有目标应用程序的身份信息；
21.校验模块，用于在身份信息验证通过的情况下，利用终端操作系统对目标应用程序进行混合校验；
22.发送模块，用于在混合校验通过的情况下，向运营商网络发送网络切片服务请求。
23.可选的，身份信息包括应用程序名称、应用包名和制造商信息中的至少一种时，校验模块，包括：
24.匹配单元，用于将身份信息和预设的已签约应用程序身份信息进行匹配；
25.校验单元，用于在匹配成功的情况下，利用终端操作系统对目标应用程序进行混合校验。
26.可选的，校验单元，包括：
27.校验子单元，用于在匹配成功的情况下，利用终端操作系统对目标应用程序进行哈希校验。
28.可选的，发送模块，包括：
29.水印添加单元，用于在混合校验通过的情况下，对网络切片服务请求添加数字水印；
30.发送单元，用于向运营商网络发送已添加完数字水印的网络切片服务请求。
31.第三方面，本发明实施例提供了一种电子设备，设备包括：
32.处理器以及存储有计算机程序指令的存储器；
33.处理器执行计算机程序指令时实现第一方面或者第一方面任一可选的实现方式中的应用程序的鉴权方法。
34.第四方面，本发明实施例提供了一种计算机存储介质，计算机存储介质上存储有计算机程序指令，计算机程序指令被处理器执行时实现第一方面或者第一方面任一可选的实现方式中的应用程序的鉴权方法。
35.本发明实施例的应用程序的鉴权方法、装置、电子设备及计算机存储介质，能够更加安全地对应用程序进行鉴权。该应用程序的鉴权方法，接收目标应用程序发送的网络切片服务请求；其中，网络切片服务请求中携带有目标应用程序的身份信息；在身份信息验证通过的情况下，利用终端操作系统对目标应用程序进行混合校验；在混合校验通过的情况下，向运营商网络发送网络切片服务请求。可见，该方法进行了两次身份验证，尤其是利用终端操作系统对目标应用程序进行混合校验，故能够更加安全地对应用程序进行鉴权。
附图说明
36.为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单的介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
37.图1是本发明实施例提供的一种应用程序的鉴权方法的流程示意图；
38.图2是本发明实施例提供的另一种应用程序的鉴权方法的流程示意图；
39.图3是本发明实施例提供的又一种应用程序的鉴权方法的流程示意图；
40.图4是本发明实施例提供的一种应用程序的鉴权装置的结构示意图；
41.图5是本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
42.下面将详细描述本发明的各个方面的特征和示例性实施例，为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及具体实施例，对本发明进行进一步详细描述。应理解，此处所描述的具体实施例仅被配置为解释本发明，并不被配置为限定本发明。对于本领域技术人员来说，本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
43.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
44.由背景技术部分可知，基于sim卡的面向单台终端的鉴权方式无法满足面向应用程序的鉴权需求。特别是对于智能终端，当终端上的应用程序随时可能发生变化时，仅针对终端的鉴权无法保证面向应用程序(app)的切片服务的安全性。
45.为了解决现有技术问题，本发明实施例提供了一种应用程序的鉴权方法、装置、电子设备及计算机存储介质。下面首先对本发明实施例所提供的应用程序的鉴权方法进行介绍。
46.图1示出了本发明实施例提供的一种应用程序的鉴权方法的流程示意图。如图1所示，该应用程序的鉴权方法可以包括以下步骤：
47.s101、接收目标应用程序发送的网络切片服务请求；其中，网络切片服务请求中携带有目标应用程序的身份信息；
48.s102、在身份信息验证通过的情况下，利用终端操作系统对目标应用程序进行混合校验；
49.在一个实施例中，身份信息包括应用程序名称、应用包名和制造商信息中的至少一种时，在身份信息验证通过的情况下，利用终端操作系统对目标应用程序进行混合校验，包括：
50.将身份信息和预设的已签约应用程序身份信息进行匹配；
51.在匹配成功的情况下，利用终端操作系统对目标应用程序进行混合校验。
52.在一个实施例中，在匹配成功的情况下，利用终端操作系统对目标应用程序进行混合校验，包括：
53.在匹配成功的情况下，利用终端操作系统对目标应用程序进行哈希校验。
54.s103、在混合校验通过的情况下，向运营商网络发送网络切片服务请求。
55.在一个实施例中，在混合校验通过的情况下，向运营商网络发送网络切片服务请求，包括：
56.在混合校验通过的情况下，对网络切片服务请求添加数字水印；
57.向运营商网络发送已添加完数字水印的网络切片服务请求。
58.该应用程序的鉴权方法，接收目标应用程序发送的网络切片服务请求；其中，网络切片服务请求中携带有目标应用程序的身份信息；在身份信息验证通过的情况下，利用终端操作系统对目标应用程序进行混合校验；在混合校验通过的情况下，向运营商网络发送网络切片服务请求。可见，该方法进行了两次身份验证，尤其是利用终端操作系统对目标应用程序进行混合校验，故能够更加安全地对应用程序进行鉴权。
59.下面以一个具体场景实施例对上述方法进行说明。
60.本实施例是基于现有终端操作系统对应用程序进行鉴权，即运营商通过预置在终端的授信的鉴权模块在终端侧对应用程序(app)进行鉴权。如图2所示，在终端侧，运营商授信鉴权模块在接收app发送的网络切片服务请求后，利用预先接收智能终端能力配置平台发送的应用鉴权信息对该网络切片服务请求进行验证，在验证通过后，将授权的网络切片服务请求发送给调制解调器(modem)，再由modem将授权的网络切片链接请求发送给运营商网络。
61.具体地，如图3所示，运营商授信鉴权模块对某一应用程序(app)进行鉴权时，需要分为两步进行验证：第一步，确认该应用程序(app)已经与运营商签署了切片租用协议。第二步，确认该应用程序(app)为签约的应用程序(app)厂商发布的正规版本。
62.第一步的验证方法：首先在鉴权模块中存储所有签约应用程序(app)的信息(信息预制在终端侧或由it平台配置)，如应用程序名称、应用包名、制造商等。当应用程序(app)请求服务时，与其自身携带的信息进行匹配。
63.第二步的验证方法：为了保护系统安全和用户利益，大部分的智能终端操作系统对第三方应用程序(app)都有非常完善的验证方法。本实施例在第二步验证时，可以复用操作系统的验证方法。以安卓系统为例，安卓系统对安装于其上的应用程序(app)会做完整性和签名的混合校验。在这个过程中计算出的签名hash值将被存入系统的key store中，是无法被反向计算，也无法修改的。
64.本实施例可以复用安卓系统的签名验证方法。首先，在应用程序(app)厂商与运营商签约时，将其应用程序(app)的签名hash告知运营商(信息预制在终端侧或由it平台配置)，存储在鉴权模块中。当对应用程序(app)进行校验时，从操作系统的key store中取出该应用程序安装时系统计算出的hash，与存储在鉴权模块中的hash比对，完成检验。除安卓系统外，ios、mac os、window等操作系统均有类似的方法。
65.在终端侧复用终端操作系统原有的验证方法独立完成鉴权。首先可以大幅度减少运营商网络的改造，保证网络对各终端操作系统的兼容性。其次，可以减少切片服务建立过程中的信令流程，缩短建立时间，提升用户感知。
66.运营商授信鉴权模块由运营商提供，在终端制造时烧录进终端里。对每一次切片服务请求进行鉴权，鉴权成功后为该请求加“数字水印”，所有来自终端的网络切片链接请
求必须携带“数字水印”发送至运营商网络，网络才能判定该请求为合法请求，反之则为非法请求。
67.如图4所示，本发明实施例还提供一种应用程序的鉴权装置，包括：
68.接收模块401，用于接收目标应用程序发送的网络切片服务请求；其中，网络切片服务请求中携带有目标应用程序的身份信息；
69.校验模块402，用于在身份信息验证通过的情况下，利用终端操作系统对目标应用程序进行混合校验；
70.发送模块403，用于在混合校验通过的情况下，向运营商网络发送网络切片服务请求。
71.可选的，身份信息包括应用程序名称、应用包名和制造商信息中的至少一种时，校验模块402，包括：
72.匹配单元，用于将身份信息和预设的已签约应用程序身份信息进行匹配；
73.校验单元，用于在匹配成功的情况下，利用终端操作系统对目标应用程序进行混合校验。
74.可选的，校验单元，包括：
75.校验子单元，用于在匹配成功的情况下，利用终端操作系统对目标应用程序进行哈希校验。
76.可选的，发送模块403，包括：
77.水印添加单元，用于在混合校验通过的情况下，对网络切片服务请求添加数字水印；
78.发送单元，用于向运营商网络发送已添加完数字水印的网络切片服务请求。
79.图4所示装置中的各个模块/单元具有实现图1中各个步骤的功能，并能达到其相应的技术效果，为简洁描述，在此不再赘述。
80.图5示出了本发明实施例提供的一种电子设备的结构示意图。
81.电子设备可以包括处理器501以及存储有计算机程序指令的存储器502。
82.具体地，上述处理器501可以包括中央处理器(central processing unit，cpu)，或者特定集成电路(application specific integrated circuit，asic)，或者可以被配置成实施本发明实施例的一个或多个集成电路。
83.存储器502可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器502可包括硬盘驱动器(hard disk drive，hdd)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(universal serial bus，usb)驱动器或者两个或更多个以上这些的组合。在一个实例中，存储器502可以包括可移除或不可移除(或固定)的介质，或者存储器502是非易失性固态存储器。存储器502可在电子设备的内部或外部。
84.在一个实例中，存储器502可以是只读存储器(read only memory，rom)。在一个实例中，该rom可以是掩模编程的rom、可编程rom(prom)、可擦除prom(eprom)、电可擦除prom(eeprom)、电可改写rom(earom)或闪存或者两个或更多个以上这些的组合。
85.处理器501通过读取并执行存储器502中存储的计算机程序指令，以实现图1所示实施例中的方法，并达到图1所示实例执行其方法/步骤达到的相应技术效果，为简洁描述在此不再赘述。
86.在一个示例中，电子设备还可包括通信接口503和总线510。其中，如图5所示，处理器501、存储器502、通信接口503通过总线510连接并完成相互间的通信。
87.通信接口503，主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。
88.总线510包括硬件、软件或两者，将电子设备的部件彼此耦接在一起。举例来说而非限制，总线可包括加速图形端口(accelerated graphics port，agp)或其他图形总线、增强工业标准架构(extended industry standard architecture，eisa)总线、前端总线(front side bus，fsb)、超传输(hyper transport，ht)互连、工业标准架构(industry standard architecture，isa)总线、无限带宽互连、低引脚数(lpc)总线、存储器总线、微信道架构(mca)总线、外围组件互连(pci)总线、pci-express(pci-x)总线、串行高级技术附件(sata)总线、视频电子标准协会局部(vlb)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线510可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线，但本发明考虑任何合适的总线或互连。
89.另外，本发明实施例可提供一种计算机存储介质来实现。该计算机存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种应用程序的鉴权方法。
90.需要明确的是，本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见，这里省略了对已知方法的详细描述。在上述实施例中，描述和示出了若干具体的步骤作为示例。但是，本发明的方法过程并不限于所描述和示出的具体步骤，本领域的技术人员可以在领会本发明的精神后，作出各种改变、修改和添加，或者改变步骤之间的顺序。
91.以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(application specific integrated circuit，asic)、适当的固件、插件、功能卡等等。当以软件方式实现时，本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、rom、闪存、可擦除rom(erom)、软盘、cd-rom、光盘、硬盘、光纤介质、射频(radio frequency，rf)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
92.还需要说明的是，本发明中提及的示例性实施例，基于一系列的步骤或者装置描述一些方法或系统。但是，本发明不局限于上述步骤的顺序，也就是说，可以按照实施例中提及的顺序执行步骤，也可以不同于实施例中的顺序，或者若干步骤同时执行。
93.以上所述，仅为本发明的具体实施方式，所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、模块和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。应理解，本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。