基于应用服务接口的设备授权方法及装置与流程

1.本发明涉及加密技术领域，具体涉及一种基于应用服务接口的设备授权方法及装置。


背景技术：

2.目前，设备供应商在出售设备时，为了保护设备特权服务的核心技术和知识产权，通常会在设备内部仅授权部分开放功能，或授权功能服务期限给用户使用。
3.随着云服务概念的普及和市场的推动，设备供应商已逐渐转换为服务供应商，通过将设备在私有云或公有云中进行托管，以按需扩展的方式对外提供设备的功能服务，用户对象变成了云租户。
4.但是，这种方式下，由于云租户本身的不可预期性，原有对单台设备进行限制保护的方式存在显著的缺陷：一是不同云租户的需求不同，原有单台设备的部分功能授权控制不再适用；二是针对流动性较大的云租户进行租期管理，原有的单台设备服务期限授权方式也不再适用。如何进行云服务背景下的设备授权鉴权是亟待解决的技术问题。


技术实现要素：

5.为此，本发明提供一种基于应用服务接口的设备授权方法及装置，一方面解决临时用户请求服务的授权服务期限管理问题；另一方面可以在应用客户端对非授权服务调用的截断，让服务器设备开放所有功能而不必考虑版权保护的工作。
6.为了实现上述目的，本发明提供如下技术方案：基于应用服务接口的设备授权方法，包括：
7.当应用系统调用应用服务接口与业务处理服务器建立连接时，通过应用服务接口进行设备特征值计算，根据调用实际接口判断当前业务需求：
8.若调用实际接口为应用服务接口目录中的接口，转到第一处理流程；
9.所述第一处理流程中：对生成的所述设备特征值进行哈希运算得到第一哈希值，使用授权公钥对获取的授权文件进行验签，若验签合法，则比对所述第一哈希值和授权文件中的第二哈希值，若所述第一哈希值和所述第二哈希值相同，进入业务调用确认阶段；
10.若调用实际接口为授权申请接口，转到第二处理流程；
11.所述第二处理流程中：获取设备当前时间与客户代码，将设备当前时间、客户代码和所述设备特征值采用授权公钥加密生成授权申请文件，根据授权申请文件进行授权管理生成授权文件。
12.作为基于应用服务接口的设备授权方法优选方案，所述第一处理流程中：若验签不合法，则授权认证失败，结束处理流程；
13.若所述第一哈希值和所述第二哈希值不相同，则授权认证失败，结束处理流程。
14.作为基于应用服务接口的设备授权方法优选方案，业务调用确认阶段包括：
15.进行有效期和时间防回滚检查，读取上次访问的时间信息密文，采用特征密钥进
行解密，将时间信息解密数据与当前时间进行对比，判断当前时间是否大于上次访问时间，并使用当前时间与许可期限进行比对，判读是否在有效期；
16.若当前时间大于上次访问时间，且在有效期内，则采用特征密钥加密当前时间值，覆盖上次访问时间记录。
17.作为基于应用服务接口的设备授权方法优选方案，使用授权公钥加密所述设备特征值，根据所述设备特征值的密文进行创建会话申请，创建会话申请过程：
18.读取所述设备特征值的密文中的临时椭圆曲线点，在窗口期内保存的点集中进行验证，查看是否有重复，若存在重复，则判断当前报文为复用攻击，拒绝服务；若没有重复，则录入新的点到点集中；解密特征值与白名单进行验证，验证成功创建会话。
19.作为基于应用服务接口的设备授权方法优选方案，对应用系统的业务调用请求进行确认，匹配授权文件中的授权服务清单，对许可的服务发往业务处理服务器处理，未许可的服务中断请求。
20.作为基于应用服务接口的设备授权方法优选方案，所述第二处理流程中：
21.预先根据合同约束录入用户信息、许可服务清单和许可期限，并将用户信息、许可服务清单和许可期限通过哈希计算，生成客户代码，提供给客户用作输入参数；
22.对授权申请文件使用授权私钥进行解密，从解密的数据中提取用户信息进行检索，验证是否在预先配置的用户名单内，对名单内的用户提取解密出的设备特征值信息生成白名单进行绑定；
23.将用户信息对应的服务清单和许可期限组成授权信息，将授权信息和设备特征信息哈希运算获得所述第二哈希值。
24.本发明还提供一种基于应用服务接口的设备授权装置，包括：
25.业务调用模块，用于向应用系统提供服务器厂商对外的应用服务接口；
26.设备信息采集模块，用于通过应用服务接口进行设备特征值计算，根据调用实际接口判断当前业务需求；
27.授权校验模块，用于若调用实际接口为应用服务接口目录中的接口，对生成的所述设备特征值进行哈希运算得到第一哈希值，使用授权公钥对获取的授权文件进行验签，若验签合法，则比对所述第一哈希值和授权文件中的第二哈希值，若所述第一哈希值和所述第二哈希值相同，进入业务调用确认阶段；
28.授权注册模块，用于若调用实际接口为授权申请接口，获取设备当前时间与客户代码，将设备当前时间、客户代码和所述设备特征值采用授权公钥加密生成授权申请文件；
29.授权管理模块，用于根据授权申请文件进行授权管理生成授权文件。
30.作为基于应用服务接口的设备授权装置的优选方案，通过所述授权校验模块进行有效期和时间防回滚检查，读取上次访问的时间信息密文，采用特征密钥进行解密，将时间信息解密数据与当前时间进行对比，判断当前时间是否大于上次访问时间，并使用当前时间与许可期限进行比对，判读是否在有效期；
31.若当前时间大于上次访问时间，且在有效期内，则采用特征密钥加密当前时间值，覆盖上次访问时间记录。
32.作为基于应用服务接口的设备授权装置的优选方案，还包括业务处理模块，用于读取所述设备特征值的密文中的临时椭圆曲线点，在窗口期内保存的点集中进行验证，查
看是否有重复，若存在重复，则判断当前报文为复用攻击，拒绝服务；若没有重复，则录入新的点到点集中；解密特征值与白名单进行验证，验证成功创建会话；对应用系统的业务调用请求进行确认，匹配授权文件中的授权服务清单，对许可的服务发往业务处理服务器处理，未许可的服务中断请求。
33.作为基于应用服务接口的设备授权装置的优选方案，还包括授权注册认证模块，所述授权注册认证模块预先根据合同约束录入用户信息、许可服务清单和许可期限，并将用户信息、许可服务清单和许可期限通过哈希计算，生成客户代码，提供给客户用作输入参数。
34.作为基于应用服务接口的设备授权装置的优选方案，所述授权管理模块中，对授权申请文件使用授权私钥进行解密，从解密的数据中提取用户信息进行检索，验证是否在预先配置的用户名单内，对名单内的用户提取解密出的设备特征值信息生成白名单进行绑定；将用户信息对应的服务清单和许可期限组成授权信息，将授权信息和设备特征信息哈希运算获得所述第二哈希值。
35.本发明具有如下优点：当应用系统调用应用服务接口与业务处理服务器建立连接时，通过应用服务接口进行设备特征值计算，根据调用实际接口判断当前业务需求：若调用实际接口为应用服务接口目录中的接口，转到第一处理流程；第一处理流程中：对生成的设备特征值进行哈希运算得到第一哈希值，使用授权公钥对获取的授权文件进行验签，若验签合法，则比对第一哈希值和授权文件中的第二哈希值，若第一哈希值和第二哈希值相同，进入业务调用确认阶段；若调用实际接口为授权申请接口，转到第二处理流程；第二处理流程中：获取设备当前时间与客户代码，将设备当前时间、客户代码和设备特征值采用授权公钥加密生成授权申请文件，根据授权申请文件进行授权管理生成授权文件。本发明通过客户端应用服务接口完成授权检查工作，可以减轻服务端的运算压力，有利于服务端释放部分的管理运算资源，从而处理更多的业务运算；客户端通过授权文件进行许可服务清单和许可时间的检查，服务端在接收到客户端的服务请求时可以不检查调用的业务服务是否在许可清单内，也不必检查许可时间，精简了业务处理流程，提高了业务流的处理效率；同时在客户端进行许可服务清单和许可时间的授权限制，客户端只对服务端发送许可时间内许可的服务接口调用，减去了无效调用连接，降低了网络开销，特别是对大数据和云服务等场景降低了网络环境要求；客户端的授权文件采用服务端私钥签名，数据的完整性和真实性得到有效保护，授权文件含有基于特征密钥计算的设备特征值，授权采用一机一授的方式，无法替用，抗复用性强。
附图说明
36.为了更清楚地说明本发明的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引申获得其他的实施附图。
37.本说明书所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本发明可实施的限定条件，故不具技术上的实质意义，任何结构的修饰、比例关系的改变或大小的调整，在不影响本发明所能产生的功
效及所能达成的目的下，均应仍落在本发明所揭示的技术内容能涵盖的范围内。
38.图1为本发明实施例1提供的基于应用服务接口的设备授权方法流程示意图；
39.图2为本发明实施例1提供的验证授权在业务调用过程中的位置流程图；
40.图3为本发明实施例2提供的基于应用服务接口的设备授权装置架构示意图。
具体实施方式
41.以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
42.由于云租户本身的不可预期性，原有对单台设备进行限制保护的方式存在显著的缺陷：一是不同云租户的需求不同，原有单台设备的部分功能授权控制不再适用；二是针对流动性较大的云租户进行租期管理，原有的单台设备服务期限授权方式也不再适用。
43.有鉴于此，本发明提出一种基于应用服务接口的设备授权方法及装置，通过部署在用户或云租户客户端的应用服务接口库完成授权鉴定工作，一方面在客户端面对面解决了临时用户请求服务的授权服务期限管理工作；另一方面在应用客户端对非授权服务调用的截断，可以让服务器设备开放所有功能而不必考虑版权保护的工作。以下为本发明技术方案的具体实施情况。
44.实施例1
45.参见图1和图2，本发明实施例1提供一种基于应用服务接口的设备授权方法，具体的处理流程如下：
46.s101、当应用系统调用应用服务接口与业务处理服务器建立连接时，应用服务接口首先进行设备特征值的计算，并根据调用实际接口判断当前业务需求：如果为应用服务接口目录中的接口，则转到s111处理；如果调用的是授权申请接口，则转到s121处理。
47.s111：对s101生成的设备特征值求取第一哈希值，下一步转到s112；
48.s112：使用授权公钥对s122获取的授权文件进行验签，验签不合法，则授权认证失败，结束处理流程，验签合法，则比对s111步骤生成的第一哈希值和授权文件中的第二哈希值。若第一哈希值和第二哈希值不同，则授权认证失败，结束处理流程，相同则转到s113；
49.s113：进行有效期和时间防回滚检查：读取上次访问的时间信息密文，采用特征密钥进行解密(首次记录的时间是授权导入时间)，解密数据与当前时间进行对比，判断当前时间是否大于上次访问时间，同时使用当前时间与许可期限进行比对，判读是否在有效期，两者任一不满足，则授权认证失败，结束处理流程，两者都满足，则采用特征密钥加密当前时间值覆盖上次访问时间记录，转到s114；
50.s114：使用授权公钥加密设备特征值，发送设备特征值密文至s221，申请创建会话，若会话创建失败，则结束处理流程，若会话创建成功，则转到s115；
51.s115：对应用系统所有的业务调用请求进行确认，匹配s122授权文件中的授权服务清单，对许可的服务发往业务处理服务器处理，未许可的服务中断请求。
52.s121：获取设备当前时间与客户代码，然后将设备当前时间、客户代码和s101生成的设备特征值一起采用授权公钥加密发给s211处理，下一步转到s122；
53.s122：接受s214返回的授权文件，并结束流程处理。
54.s211：提前根据合同约束，录入用户信息、许可服务清单和许可期限，并将这些信息通过哈希计算，生成客户代码提供给客户，用作s121步骤的输入参数；
55.s212：对s121的授权申请文件使用授权私钥进行解密，转到s213；
56.s213：从s212解密的数据中提取用户信息进行检索，验证是否在s211提前配置的用户名单内，对名单内的用户提取解密出的特征值信息，生成白名单进行绑定，转到s214；
57.s214：找到用户信息对应的服务清单和许可期限组成授权信息，授权信息和设备特征信息的第二哈希值一起进行签名发回s122，结束处理。
58.s221：接受s114发来的设备特征值进行抗复用检查：读取密文中的临时椭圆曲线点，在窗口期内保存的点集中进行验证，查看是否有重复，有重复则判断当前报文为复用攻击，拒绝服务，没有重复则录入新的点到点集中；解密特征值与白名单进行验证，验证成功创建会话，失败则结束处理。
59.s222：进行业务请求处理，接收s115发送的许可的服务清单，未许可的服务中断请求。
60.本发明技术方案可广泛用于通过外部应用服务接口提供服务的应用服务器设备或者系统软件。一款服务器通过部署在客户端的应用服务接口，对客户端系统应用提供各种类型的业务服务和管理接口，服务授权方案如下：
61.服务端供应商根据合同在授权管理模块中录入用户信息、服务清单和许可期限，生成客户代码导出交付用户；系统应用在调用应用服务接口中的服务时，应先获取授权。将客户代码作为参数，通过auth_reg开始进行注册授权流程，注册流程先通过调用devhmac_calc接口获取设备特征值：接口读取设备硬件信息转换为二进制字符串，通过特征密钥进行hmac运算，计算出设备特征值通过参数进行返回；
62.auth_reg接口继续读取设备当前时间信息并转换为二进制字符串，与设备特征值和客户代码一起采用授权公钥进行加密，加密的数据发送服务端进行授权请求；服务器开启授权管理软件接受授权信息并进行解密；
63.服务器读取客户代码，验证是否在授权管理模块录入的用户信息内；提取设备特征值生成用户白名单；服务器将用户信息对应的服务许可目录、授权时间等数据组成授权信息；将设备特征值进行哈希运算，计算hash值与授权信息一起采用授权私钥进行签名发回客户端。auth_reg在等到服务端的响应后进行判断，服务端返回成功则读取相应的授权文件进行保存。
64.系统应用通过客户端服务接口调用服务器的一项应用服务，在opendevice接口先与服务器进行access token的注册，注册流程先调用auth_chk进行授权校验，校验第一步先通过devhmac_calc接口进行设备特征值的获取；对获取的特征值计算hash值；auth_chk通过授权公钥对本地的授权文件来源和完整性进行校验，验证颁发者身份；验证通过后继续提取文件中的hash值进行颁发对象验证；auth_chk进行时间防回滚认证，先读取上次记录的密文值解密对比时间是否有回滚记录，并重新采用特征密钥加密当前时间作为时间标识，同时对有效期进行检查；auth_chk返回授权信息和授权目录，opendevice继续采用授权公钥加密设备特征值进行token注册；服务器进行密文窗口期抗复用检查，建立token，并与后续的服务请求相关联；系统应用再通过应用服务接口调用授权目录中服务。
65.综上所述，本发明当应用系统调用应用服务接口与业务处理服务器建立连接时，通过应用服务接口进行设备特征值计算，根据调用实际接口判断当前业务需求：若调用实际接口为应用服务接口目录中的接口，转到第一处理流程；第一处理流程中：对生成的设备特征值进行哈希运算得到第一哈希值，使用授权公钥对获取的授权文件进行验签，若验签合法，则比对第一哈希值和授权文件中的第二哈希值，若第一哈希值和第二哈希值相同，进入业务调用确认阶段；若调用实际接口为授权申请接口，转到第二处理流程；第二处理流程中：获取设备当前时间与客户代码，将设备当前时间、客户代码和设备特征值采用授权公钥加密生成授权申请文件，根据授权申请文件进行授权管理生成授权文件。第一处理流程中：若验签不合法，则授权认证失败，结束处理流程；若第一哈希值和第二哈希值不相同，则授权认证失败，结束处理流程。业务调用确认阶段包括：进行有效期和时间防回滚检查，读取上次访问的时间信息密文，采用特征密钥进行解密，将时间信息解密数据与当前时间进行对比，判断当前时间是否大于上次访问时间，并使用当前时间与许可期限进行比对，判读是否在有效期；若当前时间大于上次访问时间，且在有效期内，则采用特征密钥加密当前时间值，覆盖上次访问时间记录。使用授权公钥加密设备特征值，根据设备特征值的密文进行创建会话申请，创建会话申请过程：读取设备特征值的密文中的临时椭圆曲线点，在窗口期内保存的点集中进行验证，查看是否有重复，若存在重复，则判断当前报文为复用攻击，拒绝服务；若没有重复，则录入新的点到点集中；解密特征值与白名单进行验证，验证成功创建会话。对应用系统的业务调用请求进行确认，匹配授权文件中的授权服务清单，对许可的服务发往业务处理服务器处理，未许可的服务中断请求。第二处理流程中：预先根据合同约束录入用户信息、许可服务清单和许可期限，并将用户信息、许可服务清单和许可期限通过哈希计算，生成客户代码，提供给客户用作输入参数；对授权申请文件使用授权私钥进行解密，从解密的数据中提取用户信息进行检索，验证是否在预先配置的用户名单内，对名单内的用户提取解密出的设备特征值信息生成白名单进行绑定；将用户信息对应的服务清单和许可期限组成授权信息，将授权信息和设备特征信息哈希运算获得第二哈希值。
66.授权保护通常是运用安全算法进行杂凑运算、身份认证或数据加解密等复杂数学运算，这些运算都比较消耗运算资源，而本发明通过部署在客户端的应用服务接口，完成授权检查工作，可以减轻服务端的运算压力，有利于服务端释放部分的管理运算资源，从而处理更多的业务运算。客户端通过授权文件进行了许可服务清单和许可时间的检查，服务端在接收到客户端的服务请求时可以不检查调用的业务服务是否在许可清单内，也不必检查许可时间，精简了业务处理流程，提高了业务流的处理效率。本发明同时在客户端进行许可服务清单和许可时间的授权限制，客户端只对服务端发送许可时间内许可的服务接口调用，减去了无效调用连接，降低了网络开销，特别是对大数据和云服务等场景降低了网络环境要求；客户端的授权文件采用服务端私钥签名，数据的完整性和真实性得到有效保护，授权文件含有基于特征密钥计算的设备特征值，授权采用一机一授的方式，无法替用。
67.需要说明的是，本公开实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本公开实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。
68.需要说明的是，上述对本公开的一些实施例进行了描述。其它实施例在所附权利
要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
69.实施例2
70.参见图3，本发明实施例2提供一种基于应用服务接口的设备授权装置，包括：
71.业务调用模块1，用于向应用系统提供服务器厂商对外的应用服务接口；
72.设备信息采集模块2，用于通过应用服务接口进行设备特征值计算，根据调用实际接口判断当前业务需求；
73.授权校验模块3，用于若调用实际接口为应用服务接口目录中的接口，对生成的所述设备特征值进行哈希运算得到第一哈希值，使用授权公钥对获取的授权文件进行验签，若验签合法，则比对所述第一哈希值和授权文件中的第二哈希值，若所述第一哈希值和所述第二哈希值相同，进入业务调用确认阶段；
74.授权注册模块4，用于若调用实际接口为授权申请接口，获取设备当前时间与客户代码，将设备当前时间、客户代码和所述设备特征值采用授权公钥加密生成授权申请文件；
75.授权管理模块5，用于根据授权申请文件进行授权管理生成授权文件。
76.本实施例中，通过所述授权校验模块3进行有效期和时间防回滚检查，读取上次访问的时间信息密文，采用特征密钥进行解密，将时间信息解密数据与当前时间进行对比，判断当前时间是否大于上次访问时间，并使用当前时间与许可期限进行比对，判读是否在有效期；若当前时间大于上次访问时间，且在有效期内，则采用特征密钥加密当前时间值，覆盖上次访问时间记录。
77.本实施例中，还包括业务处理模块6，用于读取所述设备特征值的密文中的临时椭圆曲线点，在窗口期内保存的点集中进行验证，查看是否有重复，若存在重复，则判断当前报文为复用攻击，拒绝服务；若没有重复，则录入新的点到点集中；解密特征值与白名单进行验证，验证成功创建会话；对应用系统的业务调用请求进行确认，匹配授权文件中的授权服务清单，对许可的服务发往业务处理服务器处理，未许可的服务中断请求。
78.本实施例中，还包括授权注册认证模块7，所述授权注册认证模块7预先根据合同约束录入用户信息、许可服务清单和许可期限，并将用户信息、许可服务清单和许可期限通过哈希计算，生成客户代码，提供给客户用作输入参数。
79.本实施例中，所述授权管理模块5中，对授权申请文件使用授权私钥进行解密，从解密的数据中提取用户信息进行检索，验证是否在预先配置的用户名单内，对名单内的用户提取解密出的设备特征值信息生成白名单进行绑定；将用户信息对应的服务清单和许可期限组成授权信息，将授权信息和设备特征信息哈希运算获得所述第二哈希值。
80.具体的，本发明的基于应用服务接口的设备授权装置，在应用服务接口中开发业务调用模块1、设备信息采集模块2、授权校验模块3和授权注册模块4，分别进行设备信息的业务调用、采集处理、授权校验和授权注册工作，同时在业务处理服务器中开发对应的业务处理模块6、授权注册认证模块7和授权管理模块5，分别进行业务处理、授权注册认证处理和授权管理。
81.其中，业务调用模块1：给应用系统提供服务器厂商对外的应用服务接口。应用系
统通过调用近端接口，在不必关注与服务器厂商具体通信方式的情况下享受到服务器厂商带来的运算服务。应用服务接口一般包含申请访问令牌(access token)、关闭访问申请和通过token进行各式业务调用的不同服务接口。其中token注册过程通过授权公钥sm2加密设备特征值发送至服务端进行链接创建过程的身份确认。
82.其中，设备信息采集模块2：采集设备的各项硬件信息，通过特征密钥进行基于sm3算法的hmac计算，生成散列消息鉴别码用作设备特征值。区别于直接摘要的做法，特征密钥主要对这一过程进行安全加固，添加数据源认证作用，防止特征密钥被非法用户以别的方式生成。
83.其中，授权校验模块3：采用sm2算法，通过授权公钥对授权文件进行验签，验证授权文件的身份权威性；对设备特征值进行基于sm3算法的hash运算，hash值与授权文件中的hash值进行比对，确认授权文件的颁发对象；记录采用特征密钥sm4加密的当前时间信息密文值用作设备时间回滚检查，读取上次记录的密文值解密对比时间是否有回滚；比对当前时间与注册时间，计算是否在授权文件的许可期限内。
84.其中，授权注册模块4：读取设备时间形成注册时间信息，将注册时间信息、设备特征值和线下提供的客户代码一起采用授权公钥进行加密生成授权申请文件；发送授权申请文件给服务器并接受服务器回传的授权文件。
85.其中，授权管理模块5：录入用户信息、可调用服务清单和许可期限并计算hash生成客户代码；获取设备特征值与白名单进行绑定；验证用户信息，将对应的设备特征值hash、服务清单和许可期限生成授权信息文件。
86.其中，业务处理模块6：接受token注册信息，从中提取设备特征值密文，对密文进行窗口期内的抗复用检查，复用检查是利用sm2加密过程随机椭圆曲线点导致的密文变换特性来进行验证，可以有效地抵挡截取重放攻击；使用token信息关联创建与客户端的连接，并接受和处理token相关连接的业务请求，处理完返回应用客户端。
87.其中，授权注册认证模块7：接受应用客户端发来的授权申请文件，并使用sm2算法，通过授权私钥解密出设备特征值数据和客户代码；对设备特征值数据使用sm3算法计算hash值，hash值与客户代码相关的授权信息一起通过授权私钥签名，签名后的数据和原数据一起进行base64编码，传回应用客户端。
88.需要说明的是，上述装置各模块/单元之间的信息交互、执行过程等内容，由于与本技术实施例1中的方法实施例基于同一构思，其带来的技术效果与本技术方法实施例相同，具体内容可参见本技术前述所示的方法实施例中的叙述，此处不再赘述。
89.实施例3
90.本发明实施例3提供一种非暂态计算机可读存储介质，所述计算机可读存储介质中存储有基于应用服务接口的设备授权方法的程序代码，所述程序代码包括用于执行实施例1或其任意可能实现方式的基于应用服务接口的设备授权方法的指令。
91.计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘(solid state disk、ssd))等。
92.实施例4
93.本发明实施例4提供一种电子设备，包括：存储器和处理器；
94.所述处理器和所述存储器通过总线完成相互间的通信；所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行实施例1或其任意可能实现方式的基于应用服务接口的设备授权方法。
95.具体的，处理器可以通过硬件来实现也可以通过软件来实现，当通过硬件实现时，该处理器可以是逻辑电路、集成电路等；当通过软件来实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现，该存储器可以集成在处理器中，可以位于所述处理器之外，独立存在。
96.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。
97.显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。
98.虽然，上文中已经用一般性说明及具体实施例对本发明作了详尽的描述，但在本发明基础上，可以对之作一些修改或改进，这对本领域技术人员而言是显而易见的。因此，在不偏离本发明精神的基础上所做的这些修改或改进，均属于本发明要求保护的范围。