[发明专利]应用身份验证方法及系统

说明书

本发明实施例公开了一种应用身份验证方法及系统。服务器接收来自客户端的业务请求消息，所述业务请求消息包含应用标识、业务内容和静态指纹，所述静态指纹是利用所述应用标识对所述应用标识对应的应用签名和应用文件信息加密后生成的，所述静态指纹具有预先定义的标准数据结构；根据所述应用标识对所述业务请求消息进行解密，得到客户端静态指纹；当所述客户端静态指纹符合所述标准数据结构且所述客户端静态指纹的内容与预先保存的服务器静态指纹的内容相同时，确认应用身份合法。采用本发明，提高了应用身份验证的准确度。

技术领域

本发明涉及计算机领域，尤其涉及一种应用身份验证方法及系统。

背景技术

在现有的计算机应用领域，常见的应用身份识别技术有以下两种：

1、服务器为应用分配应用标识（简称应用ID）与对应的应用密钥，应用开发者将应用ID、应用密钥保存在应用中；应用通过网络向服务器请求时，请求中包含应用ID、请求消息、及使用应用密钥对请求消息的签名，服务器根据预先存储的应用ID、应用密钥进行签名验证，签名验证通过才认可该应用身份。在该技术方案中，应用ID和应用密钥保存在应用中，容易被窃取，一旦恶意开发者窃取应用ID和应用密钥后，就可以伪造应用身份，欺骗服务器。另外，一组的应用ID-应用密钥关系无法适用于同一个应用、多个版本的场景。

2、服务器为应用分配应用ID，应用开发者将应用ID保存在应用中，应用开发者将应用提交给服务器，服务器生成应用的摘要，保存在应用的附加信息中以及服务器上；应用通过网络向服务器请求时，先根据应用摘要进行应用摘要比对，比对成功才发送请求，请求中包含应用ID、请求消息、及使用应用摘要对请求消息的签名，服务器根据存储的应用ID、应用摘要进行签名验证，签名验证通过才认可该应用身份。在该技术方案中，应用在本地进行应用摘要比对，比对的时间较长，影响用户体验；同时恶意开发者也可以通过修改应用的方式，跳过应用摘要比对；另外，应用摘要是一个固定值，使用应用摘要进行消息签名的方式，也可以被伪造，产生不良的后果。

发明内容

本发明实施例所要解决的技术问题在于，提供一种应用身份验证方法及系统，可提高应用的安全性。

为了解决上述技术问题，本发明实施例提供了一种应用身份验证方法，包括：

服务器接收来自客户端的业务请求消息，所述业务请求消息包含应用标识、业务内容和静态指纹，所述静态指纹是利用所述应用标识对所述应用标识对应的应用签名和应用文件信息加密后生成的，所述静态指纹具有预先定义的标准数据结构；

根据所述应用标识对所述业务请求消息进行解密，得到客户端静态指纹；

当所述客户端静态指纹符合所述标准数据结构且所述客户端静态指纹的内容与预先保存的服务器静态指纹的内容相同时，确认应用身份合法。

其中，所述确认应用身份合法的步骤之前，还包括：

根据所述应用标识对应的应用文件，随机生成动态指纹挑战问题和与所述动态指纹挑战问题相对应的服务器动态指纹，将所述动态指纹挑战问题返回给客户端；

接收客户端返回的客户端动态指纹，所述客户端动态指纹是所述客户端通过所述安全组件根据所述动态指纹挑战问题和客户端本地存储的应用文件生成的；

当客户端动态指纹与所述服务器动态指纹相同时，确认应用身份合法。

其中，所述接收来自客户端的业务请求消息之前，还包括：

当应用运行到计费点时，客户端携带应用标识调用应用中内置的安全组件；

通过所述安全组件获取应用文件信息以及应用签名，根据所述应用文件信息以及所述应用签名构建客户端静态指纹，利用所述应用标识对所述客户端静态指纹进行加密，生成业务请求消息，将业务请求消息发送给服务器。