应用运行鉴权方法及终端设备技术

本公开提供应用运行鉴权方法及终端设备。该方法包括：在启动待运行应用后，通过所述待运行应用生成随机数；通过可信执行环境中的鉴权应用根据所述终端设备中存储的私钥对所述随机数进行签名，得到签名信息；通过所述待运行应用使用公钥对所述签名信息进行验证，其中所述公钥为所述待运行应用中保存的公钥；若验证通过，则确定所述待运行应用允许所述终端设备运行。由于本公开实施例中引入可信执行环境作为应用鉴权的可信根，且终端设备的私钥其他设备并不能获取，以此利用该私钥进行签名，并利用应用中存储的公钥进行验证，由此保证了本公开中鉴权方式的可信性，提高了应用鉴权的可信度。信度。信度。

Application operation authentication method and terminal equipment

【技术实现步骤摘要】
应用运行鉴权方法及终端设备


[0001]本专利技术涉及信息处理
，特别涉及一种应用运行鉴权方法及终端设备。

技术介绍

[0002]为了防止应用被盗用在没有应用使用权限的设备上，应用鉴权是避免不可少的步骤。
[0003]现有技术中，在终端设备安装应用后，应用会读取终端设备的ro属性，将读取到ro属性与预设的属性进行比对，根据比对结果来决定是否继续运行，但是由于ro属性是设备自己的属性，并没有可信根，属于应用的自我鉴权，若其他型号的终端设备通过更换ro属性，则可使得应用可正常运行在该更换ro属性的设备上。由此，该方案的可信度较低。

技术实现思路

[0004]本公开示例性的实施方式中提供一种应用运行鉴权方法及终端设备，用于提高应用鉴权的可信度。
[0005]本公开的第一方面提供一种终端设备，包括存储器和处理器；
[0006]所述存储器，被配置为存储私钥，所述私钥是用于对待运行应用产生的随机数进行签名的；
[0007]所述处理器，被配置为：
[0008]在启动所述待运行应用后，通过所述待运行应用生成随机数；
[0009]通过可信执行环境中的鉴权应用根据所述终端设备中存储的私钥对所述随机数进行签名，得到签名信息；
[0010]通过所述待运行应用使用公钥对所述签名信息进行验证，其中所述公钥为所述待运行应用中保存的公钥；
[0011]若验证通过，则确定所述待运行应用允许所述终端设备运行。
[0012]本实施例通过基于可信执行环境中的鉴权应用通过存储的私钥对待运行应用产生的随机数进行签名，并利用待运行应用中存储的公钥对产生的签名进行验证，由于本公开实施例中引入可信执行环境作为应用鉴权的可信根，且终端设备的私钥其他设备并不能获取，以此利用该私钥进行签名，并利用应用中存储的公钥进行验证，由此保证了本公开中鉴权方式的可信性，提高了应用鉴权的可信度。
[0013]在一个实施例中，所述处理器，还被配置为：
[0014]若验证不通过，则确定所述待运行应用不允许所述终端设备运行。
[0015]本实施例中当验证不通过时，确定出应用不允许在所述终端设备中运行，避免待运行应用被盗用在其他不具有使用权限的终端设备上。
[0016]在一个实施例中，所述处理器在执行所述通过所述待运行应用生成随机数之后，执行通过可信执行环境中的鉴权应用根据所述终端设备中存储的私钥对所述随机数进行签名得到签名信息之前，还被配置为：
[0017]将所述随机数通过所述终端设备中鉴权服务的签名接口发送给本地服务；以及
[0018]通过所述本地服务将所述随机数发送给所述可信执行环境中的鉴权应用。
[0019]本实施例通过鉴权服务的签名接口将随机数发送给本地服务，并通过本地服务发送给可信执行环境中的鉴权应用，以此提高应用鉴权时的安全性。
[0020]在一个实施例中，所述处理器在执行所述通过可信执行环境中的鉴权应用根据所述终端设备中存储的私钥对所述随机数进行签名之前，还被配置为：
[0021]确定所述待运行应用在应用白名单中，所述应用白名单中的应用为具有通过本地服务与所述可信执行环境中的鉴权应用进行通信权限的应用。
[0022]本实施例通过确定待运行应用在应用白名单中，以此保证了待运行应用为需要鉴权的应用。
[0023]在一个实施例中，所述处理器在执行通过所述待运行应用生成随机数之后，还被配置为：
[0024]若确定出所述终端设备中不存在所述鉴权服务的签名接口，则确定所述待运行应用不允许所述终端设备运行。
[0025]本实施例通过将是否存在鉴权服务的签名接口来判断出终端设备是否能够运行该待运行应用。
[0026]本公开第二方面提供一应用运行鉴权方法，所述方法包括：
[0027]在启动待运行应用后，通过所述待运行应用生成随机数；
[0028]通过可信执行环境中的鉴权应用根据所述终端设备中存储的私钥对所述随机数进行签名，得到签名信息；
[0029]通过所述待运行应用使用公钥对所述签名信息进行验证，其中所述公钥为所述待运行应用中保存的公钥；
[0030]若验证通过，则确定所述待运行应用允许所述终端设备运行。
[0031]在一个实施例中，所述方法还包括：
[0032]若验证不通过，则确定所述待运行应用不允许所述终端设备运行。
[0033]在一个实施例中，所述通过所述待运行应用生成随机数之后，通过可信执行环境中的鉴权应用根据所述终端设备中存储的私钥对所述随机数进行签名得到签名信息之前，还包括：
[0034]将所述随机数通过所述终端设备中鉴权服务的签名接口发送给本地服务；以及
[0035]通过所述本地服务将所述随机数发送给所述可信执行环境中的鉴权应用。
[0036]在一个实施例中，所述通过可信执行环境中的鉴权应用根据所述终端设备中存储的私钥对所述随机数进行签名之前，所述方法还包括：
[0037]确定所述待运行应用在应用白名单中，所述应用白名单中的应用为具有通过本地服务与所述可信执行环境中的鉴权应用进行通信权限的应用。
[0038]在一个实施例中，在启动待运行应用后，通过所述待运行应用生成随机数之后，所述方法还包括：
[0039]若确定出所述终端设备中不存在所述鉴权服务的签名接口，则确定所述待运行应用不允许所述终端设备运行。
[0040]根据本公开实施例的第三方面，提供一种电子设备，包括：
[0041]至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有被所述至少一个处理器执行的指令；所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如第二方面所述的方法。
[0042]根据本公开实施例提供的第四方面，提供一种计算机存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序用于执行如第二方面所述的方法。
附图说明
[0043]为了更清楚地说明本公开实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0044]图1为根据本公开一个实施例中的终端结构示意图；
[0045]图2为根据本公开一个实施例的应用运行鉴权的系统架构图；
[0046]图3为根据本公开一个实施例的应用运行鉴权方法的流程示意图之一；
[0047]图4为根据本公开一个实施例的应用运行鉴权方法的流程示意图之二；
[0048]图5为根据本公开一个实施例的应用运行鉴权装置；
[0049]图6为根据本公开一个实施例的电子设备的结构示意图。
具体实施方式
[0050]为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种终端设备，其特征在于，包括存储器和处理器；所述存储器，被配置为存储私钥，所述私钥是用于对待运行应用产生的随机数进行签名的；所述处理器，被配置为：在启动所述待运行应用后，通过所述待运行应用生成随机数；通过可信执行环境中的鉴权应用根据所述终端设备中存储的私钥对所述随机数进行签名，得到签名信息；通过所述待运行应用使用公钥对所述签名信息进行验证，其中所述公钥为所述待运行应用中保存的公钥；若验证通过，则确定所述待运行应用允许所述终端设备运行。2.根据权利要求1所述的终端设备，其特征在于，所述处理器，还被配置为：若验证不通过，则确定所述待运行应用不允许所述终端设备运行。3.根据权利要求1或2所述的终端设备，其特征在于，所述处理器在执行所述通过所述待运行应用生成随机数之后，执行通过可信执行环境中的鉴权应用根据所述终端设备中存储的私钥对所述随机数进行签名得到签名信息之前，还被配置为：将所述随机数通过所述终端设备中鉴权服务的签名接口发送给本地服务；以及通过所述本地服务将所述随机数发送给所述可信执行环境中的鉴权应用。4.根据权利要求3所述的终端设备，其特征在于，所述处理器在执行所述通过可信执行环境中的鉴权应用根据所述终端设备中存储的私钥对所述随机数进行签名之前，还被配置为：确定所述待运行应用在应用白名单中，所述应用白名单中的应用为具有通过本地服务与所述可信执行环境中的鉴权应用进行通信权限的应用。5.根据权利要求3所述的终端设备，其特征在于，所述处理器在执行通过所述待运行应用生成随机数之后，还被配置为：若确定出所述终端设备中不存在所述鉴权服务的...

【专利技术属性】
技术研发人员：王旭光，张强，荆楠楠，
申请(专利权)人：青岛海信移动通信技术股份有限公司，
类型：发明
国别省市：