(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210859459.1 (22)申请日 2022.07.21 (71)申请人 中国银行股份有限公司 地址 100818 北京市西城区复兴门内大街1 号 (72)发明人 李登峰　李奕辰　孙馨愉　 (74)专利代理 机构 北京三友知识产权代理有限 公司 11127 专利代理师 薛平　杨丹 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 应用访问鉴权方法及装置 (57)摘要 本发明公开了一种应用访问鉴权方法及装 置， 涉及网络安全， 其中该方法包括： 服务方接收 对接方发送的第一密文信息以及第二密文信息 后， 使用非对称算法的第二密钥的私钥解密第二 密文信息获得第一密钥； 使用第一密钥对第一密 文信息进行解密获得第一信息， 第一信息中包括 当前时间、 设备标识， 以及应用标识； 按预设规则 根据当前时间确定对接方是否具备该应用标识 对应的服务的授权； 在具备时， 根据设备标识生 成包含唯一许可编号的第二信息； 服务方对第二 信息进行散列算法处理后用第二密钥的私钥对 第一散列值加密获得第三信息； 用第一密钥加密 第二信息获得第四信息； 将第三信息以及第四信 息发送至对接方。 本发明可以避免引发安全风 险。 权利要求书3页 说明书9页 附图5页 CN 115225286 A 2022.10.21 CN 115225286 A 1.一种应用访问鉴权方法， 其特 征在于， 包括： 对接方确定当前时间、 设备标识， 以及应用标识， 其中， 所述应用是作为外部第三方的 对接方通过互联网在服 务方上访问的应用； 对接方生成对称算法的第 一密钥， 使用第 一密钥对第 一信息进行加密后获得第 一密文 信息， 其中， 所述第一信息中包括当前时间、 设备 标识， 以及应用标识； 对接方使用非对称算法的第二密钥的公钥加密第一密钥后获得第二密文信息， 其中， 第二密钥的公钥是服 务方提供 给对接方的； 对接方将第一密文信息以及第二密文信息发送给服 务方； 对接方接收服 务方发送的第三信息以及第四信息； 对接方使用第二密钥的公钥对第三信息进行解密后， 获得第一散列值； 对接方使用第一密钥对第四信息进行解密后， 获得第二信息； 对接方对第二信息进行散列算法处 理后获得第二散列值； 对接方将第一散列值与第二散列值进行比对； 对接方对在比对结果相同时， 使用所述设备标识所标识的设备携带 唯一许可编 号访问 服务方的所述应用标识所标识的应用， 所述唯一许可编号是对接方访问该应用标识对应的 服务的授权凭证。 2.如权利要求1所述的方法， 其特 征在于， 所述散列算法是hash 散列算法。 3.如权利要求1所述的方法， 其特征在于， 对称算法的第 一密钥是由数字、 大写字母、 小 写字母之一或者 其组合之一随机组成的32位SM4密钥原文。 4.如权利要求1至 3任一所述的方法， 其特 征在于， 进一 步包括： 对接方向服 务方申请该应用标识对应的服 务的授权； 对接方在授权通过后， 接收服务方提供给对接方的非对称算法的第二密钥的公钥， 以 及应用标识。 5.一种应用访问鉴权方法， 其特 征在于， 包括： 服务方接收对接方发送的第一密文信息以及第二密文信息； 服务方使用非对称算法的第二密钥的私钥解密第二密文信息后获得第一密钥， 其中， 第二密钥的私钥是与服 务方提供 给对接方的第二密钥的公钥相对应的私钥； 服务方使用第一密钥对第一密文信息进行解密后获得第一信息， 其中， 所述第一信息 中包括当前时间、 设备 标识， 以及应用标识； 服务方按预设规则根据当前时间确定对接方 是否具备该应用标识对应的服 务的授权； 服务方在具备时， 根据设备标识生成包含唯一许可编号的第二信息， 所述唯一许可编 号是对接方访问该应用标识对应的服 务的授权凭证； 服务方对第 二信息进行散列算法处理后获得第 一散列值， 用第 二密钥的私钥对第 一散 列值加密后获得第三信息； 服务方用第一密钥加密第二信息后获得第四信息； 服务方将第三信息以及第四信息发送至对接方。 6.如权利要求5所述的方法， 其特 征在于， 所述散列算法是hash 散列算法。 7.如权利要求5所述的方法， 其特征在于， 对称算法的第 一密钥是由数字、 大写字母、 小 写字母之一或者 其组合之一随机组成的32位SM4密钥原文。权　利　要　求　书 1/3 页 2 CN 115225286 A 28.如权利要求5 至7任一所述的方法， 其特 征在于， 进一 步包括： 服务方接收对接方对该应用标识对应的服 务的授权的申请； 服务方在授权通过后， 向对接方提供非对称算法的第二密钥的公钥， 以及应用标识。 9.一种应用访问鉴权装置， 其特 征在于， 包括： 对接方设备模块， 用于确定当前时间、 设备标识， 以及应用标识， 其中， 所述应用是作为 外部第三方的对接方通过互联网在服 务方上访问的应用； 对接方第一加解密模块， 用于生成对称算法的第一密钥， 使用第一密钥对第一信息进 行加密后获得第一密文信息， 其中， 所述第一信息中包括当前时间、 设备标识， 以及应用标 识； 对接方第二加解密模块， 用于使用非对称算法的第 二密钥的公钥加密第 一密钥后获得 第二密文信息， 其中， 第二密钥的公钥是服 务方提供 给对接方的； 对接方发送模块， 用于将第一密文信息以及第二密文信息发送给服 务方； 对接方接收模块， 用于 接收服务方发送的第三信息以及第四信息； 对接方第二加解密模块还用于使用第 二密钥的公钥对第 三信息进行解密后， 获得第 一 散列值； 对接方第一加解密模块还用于使用第一密钥对第四信息进行解密后， 获得第二信息； 对接方散列模块， 用于对第二信息进行散列算法处 理后获得第二散列值； 对接方比对 模块， 用于将第一散列值与第二散列值进行比对； 对接方访 问模块， 用于对在比对结果相同时， 使用所述设备标识所标识 的设备携带唯 一许可编号访问服务方的所述应用标识所标识的应用， 所述唯一许可编号是对接方访问该 应用标识对应的服 务的授权凭证。 10.如权利要求9所述的装置， 其特征在于， 对接方散列模块进一步用于采用hash散列 算法。 11.如权利要求9所述的装置， 其特征在于， 对接方第一加解密模块进一步用于采用由 数字、 大写字母、 小写字母之一 或者其组合之一随机组成的32 位SM4密钥原文作为对称算法 的第一密钥。 12.如权利要求9至1 1任一所述的装置， 其特 征在于， 对接方发送模块进一 步用于向服 务方申请该应用标识对应的服 务的授权； 对接方接收模块进一步用于在授权通过后， 接收服务方提供给对接方的非对称算法的 第二密钥的公钥， 以及应用标识。 13.一种应用访问鉴权装置， 其特 征在于， 包括： 服务方接收模块， 用于 接收对接方发送的第一密文信息以及第二密文信息； 服务方第二加解密模块， 用于使用非对称算法的第 二密钥的私钥解密第 二密文信 息后 获得第一密钥， 其中， 第二密钥的私钥是与服务方提供给对接方 的第二密钥的公钥相对应 的私钥； 服务方第一加解密模块， 用于使用第一密钥对第一密文信息进行解密后获得第一信 息， 其中， 所述第一信息中包括当前时间、 设备 标识， 以及应用标识； 服务方鉴权模块， 用于按预设规则根据当前时间确定对接方是否具备该应用标识对应 的服务的授权；权　利　要　求　书 2/3 页 3 CN 115225286 A 3