(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210531860.2 (22)申请日 2022.05.16 (71)申请人 江苏新质信息科技有限公司 地址 214074 江苏省无锡市滨湖区湖滨壹 号花园1-2八楼801-80 6室 (72)发明人 陈翼宇　 (74)专利代理 机构 北京知呱 呱知识产权代理有 限公司 1 1577 专利代理师 陈晨 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/30(2006.01) H04L 9/32(2006.01) H04L 67/141(2022.01) (54)发明名称 基于应用服务接口的设备授权方法及装置 (57)摘要 基于应用服务接口的设备授权方法及 装置， 该方法通过应用服务接口进行设备特征值计算， 根据调用实际接口判断当前业务需求： 若调用实 际接口为应用服务接口目录中的接口， 转到第一 处理流程： 对生成的设备特征值进行哈希运算得 到第一哈希 值， 使用授权公钥对获取的授权文件 进行验签， 若验签合法， 则比对第一哈希值和授 权文件中的第二哈希值， 若相同， 进入业务调用 确认阶段； 若调用实际接口为授权申请接口， 转 到第二处理流程： 获取设备当前时间与客户代 码， 将设备当前时间、 客户代码和设备特征值采 用授权公钥加密生成授权申请文件， 根据授权申 请文件进行授权管理生成授权文件。 本发明减 轻 服务端运算压力， 精简业务处理流程， 抗复用性 强。 权利要求书2页 说明书9页 附图2页 CN 114938299 A 2022.08.23 CN 114938299 A 1.基于应用服 务接口的设备授权方法， 其特 征在于， 包括： 当应用系统调用应用服务接口与业务处理服务器建立连接时， 通过应用服务接口进行 设备特征值计算， 根据调用实际接口判断当前业 务需求： 若调用实际接口为应用服 务接口目录中的接口， 转到第一处 理流程； 所述第一处理流程中： 对生成的所述设备特征值进行哈希运算得到第一哈希值， 使用 授权公钥对获取 的授权文件进行验签， 若验签合法， 则比对所述第一哈希值和授权文件中 的第二哈希值， 若所述第一哈希值和所述第二哈希值相同， 进入业 务调用确认阶段； 若调用实际接口为授权申请接口， 转到第二处 理流程； 所述第二处理流程中： 获取设备当前时间与客户代码， 将设备当前时间、 客户代码和所 述设备特征值采用授权公钥加密生成授权申请文件， 根据 授权申请文件进 行授权管理生成 授权文件。 2.根据权利要求1所述的基于应用服务接口的设备授权方法， 其特征在于， 所述第 一处 理流程中： 若验签不 合法， 则授权认证失败， 结束处 理流程； 若所述第一哈希值和所述第二哈希值 不相同， 则授权认证失败， 结束处 理流程。 3.根据权利要求2所述的基于应用服务接口的设备授权方法， 其特征在于， 业务调用确 认阶段包括： 进行有效期和时间防回滚检查， 读取上次访 问的时间信息密文， 采用特征密钥进行解 密， 将时间信息解密数据与当前时间进 行对比， 判断当前时间是否大于上次访问时间， 并使 用当前时间与许 可期限进行比对， 判读是否在有效期； 若当前时间大于上次访问时间， 且在有效期内， 则采用特征密钥加密当前时间值， 覆盖 上次访问时间记录 。 4.根据权利要求3所述的基于应用服务接口的设备授权方法， 其特征在于， 使用授权公 钥加密所述设备特征值， 根据所述设备特征值的密文进行创建会话申请， 创建会话申请过 程： 读取所述设备特征值的密文中的临时椭圆曲线点， 在窗口期内保存的点集中进行验 证， 查看是否有重复， 若存在重复， 则判断当前报文为复用攻击， 拒绝服务； 若没有重复， 则 录入新的点到点 集中； 解密特 征值与白名单进行验证， 验证成功创建会话。 5.根据权利要求4所述的基于应用服务接口的设备授权方法， 其特征在于， 对应用系统 的业务调用请求进行确认， 匹配授权文件中的授权服务清单， 对许可 的服务发往业务处理 服务器处理， 未许可的服务中断请求。 6.根据权利要求1所述的基于应用服务接口的设备授权方法， 其特征在于， 所述第 二处 理流程中： 预先根据合同约束录入用户信息、 许可服务清单和许可期限， 并将用户信息、 许可服务 清单和许 可期限通过哈希计算， 生成客户代码， 提供 给客户用作输入参数； 对授权申请文件使用授权私钥进行解密， 从解密的数据中提取用户信息进行检索， 验 证是否在预先配置的用户名单内， 对名单内的用户提取解密出的设备特征值信息生成白名 单进行绑定； 将用户信 息对应的服务清单和许可期限组成授权信 息， 将授权信 息和设备特征信 息哈 希运算获得所述第二哈希值。权　利　要　求　书 1/2 页 2 CN 114938299 A 27.基于应用服 务接口的设备授权装置， 其特 征在于， 包括： 业务调用模块， 用于向应用系统提供服 务器厂商对外的应用服 务接口； 设备信息采集模块， 用于通过应用服务接口进行设备特征值计算， 根据调用实 际接口 判断当前业 务需求； 授权校验模块， 用于若调用实 际接口为应用服务接口目录中的接口， 对生成的所述设 备特征值进行哈希运算得到第一哈希值， 使用授权公钥对获取的授权文件进行验签， 若验 签合法， 则比对所述第一哈希值和授权文件中的第二哈希值， 若所述第一哈希值和所述第 二哈希值相同， 进入业 务调用确认阶段； 授权注册模块， 用于若调用实际接口为授权申请接口， 获取设备当前时间与客户代码， 将设备当前时间、 客户代码和所述设备 特征值采用授权公钥加密生成授权申请文件； 授权管理模块， 用于根据授权申请文件进行授权管理生成授权文件。 8.根据权利要求7所述的基于应用服务接口的设备授权装置， 其特征在于， 通过所述授 权校验模块进行有效期和时间防回滚检查， 读取上次访问的时间信息密文， 采用特征密钥 进行解密， 将时间信息解密数据与当前时间进行对比， 判断当前时间是否大于上次访问时 间， 并使用当前时间与许 可期限进行比对， 判读是否在有效期； 若当前时间大于上次访问时间， 且在有效期内， 则采用特征密钥加密当前时间值， 覆盖 上次访问时间记录 。 9.根据权利要求8所述的基于应用服务接口的设备授权装置， 其特征在于， 还包括业务 处理模块， 用于读取所述设备特征值的密文中的临时椭圆曲线点， 在窗口期内保存的点集 中进行验证， 查看是否有重复， 若存在重复， 则判断当前报文为复用攻击， 拒绝服务； 若没有 重复， 则录入新的点到点集中； 解密特征值与白名单进行验证， 验证成功创建会话； 对应用 系统的业务调用请求进行确认， 匹配授权文件中的授权服务清单， 对许可 的服务发往业务 处理服务器处理， 未许可的服务中断请求。 10.根据权利要求9所述的基于应用服务接口的设备授权装置， 其特征在于， 还包括授 权注册认证模块， 所述授权注册认证模块预先根据合同约束录入用户信息、 许可服务清单 和许可期限， 并将用户信息、 许可服务清单和许可期限通过哈希计算， 生成客户代码， 提供 给客户用作输入参数； 所述授权管理模块中， 对授权申请文件使用授权私钥进行解密， 从解密的数据中提取 用户信息进行检索， 验证是否在预先配置的用户名单内， 对名单内的用户提取解密出 的设 备特征值信息生成白名单进行绑定； 将用户信息对应的服务清单和许可期限组成授权信 息， 将授权信息和设备 特征信息哈希运 算获得所述第二哈希值。权　利　要　求　书 2/2 页 3 CN 114938299 A 3