应用鉴权方法和装置与流程

应用鉴权方法和装置【
技术领域：
：】1.本技术涉及操作系统领域，尤其涉及一种应用鉴权方法和装置。
背景技术：
：：2.终端设备通常设置有安全操作系统，用于保证其内部加载的应用程序和数据信息在机密性和完整性上得到保护。3.在终端设备上，供用户操作的应用程序设置有对应的可信应用。可信应用安装在安全操作系统内，用于在应用程序运行时保护其信息安全。当应用程序启动时，需要向与其对应的可信应用发起连接请求，在完成连接后实现应用程序的启动。4.无限制的应用程序对可信应用发起连接请求，可能会导致运行的崩溃，对稳定性造成一定影响。同时，未知来源的应用程序与可信应用建立连接时很容易造成隐私信息泄露，存在一定的安全隐患。技术实现要素：5.有鉴于此，本发明实施例提供了一种应用鉴权方法和装置，在建立第一应用与可信应用的连接之前，通过身份信息验证和白名单验证对第一应用进行了两次应用鉴权，只有当应用鉴权通过后才可建立连接，才可以完成第一应用的启动。6.第一方面，本发明实施例提供了一种应用鉴权方法，电子设备设置有安全操作系统和非安全操作系统，所述安全操作系统包含系统级鉴权应用以及若干可信应用，所述系统级鉴权应用执行所述方法包括：7.接收非安全操作系统的第一应用发送的连接请求，所述连接请求包含所述第一应用的身份信息，以及所述第一应用请求建立连接的第一可信应用的信息；8.对所述第一应用的身份信息进行验证；9.若所述第一应用的身份信息验证成功，则验证所述第一应用是否在所述第一可信应用的可信白名单内；10.若所述第一应用在所述第一可信应用的可信白名单内，则建立所述第一应用与所述第一可信应用的连接关系。11.可选的，所述对所述第一应用的身份信息进行验证，包括：12.预先存储所述第一应用的身份校验信息；13.根据预先存储的所述第一应用的身份校验信息对所述连接请求中的所述第一应用的身份信息进行验证。14.可选的，所述第一应用的身份信息包括：所述第一应用的标识信息和根据所述标识信息生成的hash值；15.根据预先存储的所述第一应用的身份校验信息对所述连接请求中的所述第一应用的身份信息进行验证，包括：16.验证连接请求中所述第一应用的标识信息和hash值是否与预先存储的所述身份校验信息中的一致；17.若一致，则确定所述第一应用的身份信息验证成功。18.可选的，所述安全操作系统设置有预留存储区域；所述第一应用的身份校验信息包含应用标识信息；所述预先存储所述第一应用的身份校验信息，包括：19.根据所述身份校验信息中的所述应用标识信息，确定用于存储所述第一应用的身份校验信息的存储路径；20.根据所述存储路径，在所述安全操作系统的所述预留存储区域存储所述第一应用的身份校验信息。21.可选的，所述预先存储所述第一应用的身份校验信息之后，所述方法还包括：22.接收非安全操作系统的所述第一应用在每次应用更新后发送的身份校验更dd223729i23.新信息；24.根据所述身份校验更新信息对预先存储的所述第一应用的身份校验信息进行更新。25.可选的，所述验证所述第一应用是否在所述第一可信应用的可信白名单内，包括：26.确定所述第一可信应用的可信白名单是否为空；27.若所述第一可信应用的可信白名单不为空，则验证所述第一应用的标识信息是否与所述第一可信应用的可信白名单中的至少一个应用标识信息一致；28.若是，则确定所述第一应用在所述第一可信应用的可信白名单内。29.可选的，所述第一应用和所述第一可信应用为具有关联关系的应用组合；30.所述接收非安全操作系统的第一应用发送的连接请求，包括：接收所述第一应用启动时触发的连接请求，所述连接请求用于请求进行启动；31.所述建立所述第一应用与所述第一可信应用的连接关系之后，所述第一可信应用用于向所述第一应用发送启动指令。32.第二方面，本发明实施例提供了一种应用鉴权装置，设置有安全操作系统和非安全操作系统，所述安全操作系统包含系统级鉴权应用以及若干可信应用，包括：33.接收模块，接收非安全操作系统的第一应用发送的连接请求，所述连接请求包含所述第一应用的身份信息，以及所述第一应用请求建立连接的第一可信应用的信息；34.第一验证模块，对所述第一应用的身份信息进行验证；35.第二验证模块，若所述第一应用的身份信息验证成功，则验证所述第一应用是否在所述第一可信应用的可信白名单内；36.连接模块，若所述第一应用在所述第一可信应用的可信白名单内，则建立所述第一应用与所述第一可信应用的连接关系。37.第三方面，本发明实施例提供了一种应用鉴权设备，包括：38.至少一个处理器；以及39.与所述处理器通信连接的至少一个存储器，其中：40.所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如第一方面任一项所述的方法。41.第四方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的程序，其中，在所述程序运行时控制所述计算机可读存储介质所在设备执行如第一方面任一所述的方法。42.通过上述方案，减轻了第一应用无限制向可信应用发送连接请求建立连接，给安全操作系统带来的处理压力，同时避免了未知来源应用与安全操作系统建立连接后窃取用户隐私信息，而造成的安全隐患问题。【附图说明】43.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。44.图1为一种终端设备内系统的结构示意图；45.图2为本发明实施例提供的一种应用鉴权系统的结构示意图；46.图3为本发明实施例提供的一种应用鉴权方法的流程图；47.图4为本发明实施例提供的一种应用鉴权装置的结构示意图；48.图5为本发明实施例提供的一种电子设备的结构示意图。【具体实施方式】49.为了更好的理解本发明的技术方案，下面结合附图对本发明实施例进行详细描述。50.应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。51.终端设备通常设置有安全操作系统和非安全操作系统。非安全操作系统用于接收用户的指令，实现与用户间的交互，执行用户的日常操作。安全操作系统用于完成终端设备内隐私数据的处理和操作，以在用户使用非安全操作系统中的应用程序时，保护用户信息安全。所以终端设备在启动非安全操作系统中的应用程序时，首先需要建立其与安全操作系统的连接，才可通过安全操作系统进行隐私数据的处理和操作。52.参见图1，为一种终端设备内系统的结构示意图。如图1所示，终端设备内运行有非安全操作系统110和安全操作系统120。非安全操作系统内安装有第一应用111，安全操作系统内安装有与第一应用对应的可信应用121。53.非安全操作系统110为用户在终端设备上日常使用的系统，用于根据用户的操作指令实现与用户的交互。具体的，终端设备根据用户在非安全操作系统内的操作指令，确定用户当前选择需要启动的应用程序为第一应用。向第一应用在安全操作系统内对应的第一可信应用发起连接请求，并通过创建相同的服务端口实现第一应用与可信应用之间的连接，以完成第一应用的启动。54.安全操作系统120内存储有与第一应用相对应的第一可信应用，用于在第一应用发起连接请求时，与第一应用创建相同的服务端口实现可信应用与第一应用的连接，从而完成第一应用的启动。55.在一些实施例中，非安全操作系统内的第一应用可能会无限制的向安全操作系统内的第一可信应用发送连接请求，试图创建服务端口以进行连接，这样就会对安全操作系统的稳定性造成极大的隐患，进而影响处理效率，甚至造成系统崩溃等问题。同时，如果非安全操作系统内未知来源的第一应用通过相同的服务端口与可信应用建立了连接，则会造成隐私数据泄露等问题，对用户的日常使用造成极大的安全隐患。56.参见图2，为本发明实施例提供的一种应用鉴权系统的结构示意图。应用鉴权系统内包含安全操作系统和非安全操作系统，非安全操作系统内包含第一应用以及若干其他应用程序，安全操作系统内包含系统级鉴权应用以及若干可信应用。57.在本发明实施例中，非安全操作系统内的第一应用试图启动时，需要在连接请求中携带自身的身份信息，并将连接请求发送给安全操作系统。安全操作系统内的系统级鉴权应用会根据第一应用发送的连接请求对其进行鉴权，只有在鉴权通过后，才可建立第一应用与对应的第一可信应用的连接，第一应用自身无法再随意建立与安全操作系统内的可信应用间的连接关系。58.其中，在安全操作系统中的系统级应用对第一应用进行应用鉴权时，需要分别通过身份信息验证和白名单验证，只有当两次验证全部通过时，才可以确定第一应用鉴权成功，建立其与第一可信应用的连接。59.具体的，第一应用启动时，安全操作系统内的系统级鉴权应用接收第一应用发送的连接请求，并对连接请求中的身份信息进行验证，确定第一应用的身份信息与安全操作系统内预先存储的身份校验信息是否一致，当一致时，才可以进一步对其进行白名单验证，否则，阻止第一应用发起的连接请求，即阻止第一应用的启动。第一应用的身份信息验证通过后，安全操作系统进一步验证第一应用是否在预先存储的可信白名单内，只有在可信白名单内时，确认验证通过，建立第一可信应用与第一应用之间的连接，实现第一应用的启动，否则，阻止第一应用发起的连接请求。60.结合图1所示的系统结构示意图，本发明实施例提供了一种应用鉴权方法，如图所示，该方法的具体步骤包括：61.301，预先存储第一应用的身份校验信息。62.安全操作系统设置有预留存储区域，用于存储非安全操作系统中应用程序，如第一应用的身份校验信息，用于在非安全操作系统中的应用程序启动时进行身份信息验证。63.安全操作系统存储的身份校验信息由非安全操作系统发送。当第一应用初次在非安全操作系统内完成安装时，非安全操作系统获取第一应用的身份校验信息，并将获取到的身份校验信息写入安全操作系统的存储路径。第一应用的身份校验信息包括第一应用的名称信息和hash值。64.具体的，第一应用完成安装时，程序文件均储存在非安全操作系统的安全区域内。通过安全区域，获取第一应用的程序文件。在第一应用的程序文件中，读取第一应用对应的xml文件以获取第一应用的名称信息，并通过如sha256等哈希函数算法对第一应用的bin文件进行计算，得到第一应用的hash值，从而获取第一应用的身份校验信息。65.其中，安全区域为终端设备的非安全操作系统为存储应用程序所预留的区域，只有终端设备通过正常渠道，如终端设备出厂时携带的软件商店安装的应用程序，才会将程序文件存储在安全区域中。而其他通过非正常渠道，获取的非安全应用，如破解版应用的程序文件则不会存储在安全区域内。所以非安全操作系统不会在除安全区域外的其他区域，获取非安全应用的程序文件，从而不会生成非安全应用的身份校验信息，进而也不会将非安全应用的身份校验信息存储在安全操作系统内，用于执行后续验证。66.可选的，当第一应用在非安全操作系统进行了版本更新，第一应用的身份校验信息，如名称信息可能会发生变化，因此需要更新获取身份校验更新信息，以取代旧版本的身份校验信息。获取第一应用身份校验信息的方法与获取身份校验信息的方法一致，通过安全区域中第一应用的程序文件确定。67.获取到第一应用的身份校验信息或身份校验更新信息后，需要对安全操作系统进行编译，将从非安全操作系统获取的身份校验信息或身份校验更新信息写入安全操作系统。68.具体的，安全操作系统内预留一段固定的预留存储区域，用于存储非安全操作系统内各应用程序的身份校验信息。在预留存储区域中，又以不同应用程序为区分，分别为不同应用程序预留了内存区域以存储相关的信息。预留存储区域中每一个应用程序的存储路径均通过应用程序的标识信息作为标签进行索引。安全操作系统在存储身份校验信息时，根据身份校验信息中的应用标识信息，在预留存储区域中确定用于存储第一应用身份校验信息的存储路径，并储存在其中。其中，应用标识信息一般为第一应用的名称信息。69.每次在获取第一应用的身份校验更新信息后，通过身份校验更新信息对存储路径下旧版本的身份校验信息或身份校验更新信息进行覆盖。70.其中，第一应用在发送身份校验信息或身份校验更新信息时，通过调用软件开发工具包进行数据发送，或是直接调用外部配置模块对存储路径下的身份校验信息或身份校验更新信息进行配置。71.302，接收非安全操作系统的第一应用发送的连接请求。72.具体的，非安全操作系统中的第一应用启动时，向安全操作系统发送连接请求，以建立与可信应用的连接。第一应用发送的连接请求包含第一应用的身份信息，即第一应用的名称信息和hash值，同时还包括第一应用请求建立连接的第一可信应用的信息，即验证通过后需要与第一应用建立连接的可信应用的名称。73.303，对第一应用的身份信息进行验证。74.具体的，安全操作系统中的系统级鉴权程序执行验证。在对第一应用的身份信息进行验证时，根据第一应用发送连接请求中的应用标识信息，确定第一应用身份校验信息的存储路径。安全操作系统通过存储路径调用预先完成存储的第一应用的身份校验信息，与第一应用通过连接请求发送的身份信息进行对比，以进行第一应用的身份验证。当连接请求中的名称信息和hash值，与身份校验信息中存储的名称信息和hash值全部一致时，确定第一应用的身份信息验证成功。当名称信息和哈希值中任意一项不同时，确定第一应用的身份信息验证失败。75.304，若第一应用的身份信息验证成功，则验证第一应用是否在第一可信应用的可信白名单内。76.具体的，当第一应用的身份信息验证失败时，阻止第一应用与可信应用建立连接关系，即阻止第一应用的启动；当第一应用的身份信息验证成功时，安全操作系统根据连接请求继续确定第一应用是否在第一可信应用的可信白名单内。77.安全操作系统内还预留一段内存区域用于存放可信应用白名单，不同可信应用的白名单内包含的应用标识信息不同，即不同可信应用可以建立连接的应用程序均不同。每个可信应用的可信白名单内均包含若干应用程序的应用信息标识。78.验证第一应用是否在第一可信应用的可信白名单内时，需要根据第一应用请求建立连接的第一可信应用的信息确定第一可信应用的可信白名单。当可信白名单不为空，且第一应用的标识信息与第一应用的可信白名单内至少一个应用标识信息一致，确定验证成功。当可信白名单为空，或可信白名单内不包含第一应用的标识信息时，确定白名单验证失败。79.其中，通过软件开发工具包对安全操作系统内的可信应用进行编译时，将第一应用的标识信息添加到第一可信应用的可信白名单内。80.305，若第一应用在第一可信应用的可信白名单内，则建立第一应用与第一可信应用的连接关系。81.具体的，当第一应用的白名单验证失败内，阻止第一应用与可信应用建立连接关系，即阻止第一应用的启动。当第一应用的白名单验证成功时，第一应用程序通过鉴权。在第一应用与可信应用之间创建相同的端口服务，建立第一应用与可信应用的连接，第一可信应用向第一应用发送启动指令，并在非安全操作系统内启动第一应用。82.本发明实施例通过在建立第一应用与可信应用的连接之前，通过身份信息验证和白名单验证对第一应用进行了两次应用鉴权，只有当应用鉴权通过后才可建立连接，完成第一应用的启动。减轻了第一应用无限制向可信应用发送连接请求建立连接，给安全操作系统带来的处理压力，同时避免了未知来源应用与安全操作系统建立连接后窃取用户隐私信息，而造成的安全隐患问题。83.在一些实施例中，还可以设置使能开关，控制是否需要对第一应用进行应用鉴权。当使能开关开启时，第一应用需要发送连接请求进行应用鉴权；当使能开关关闭时，第一应用可以直接与第一可信应用建立连接。84.对应上述应用鉴权方法，本发明实施例还提供了一种应用鉴权装置。参见图4，为本发明实施例提供的一种应用鉴权装置的结构示意图。如图4所示，该装置可以包括：接收模块401、第一验证模块402、第二验证模块403和连接模块404。85.接收模块401，接收非安全操作系统的第一应用发送的连接请求，所述连接请求包含所述第一应用的身份信息，以及所述第一应用请求建立连接的第一可信应用的信息；86.第一验证模块402，对所述第一应用的身份信息进行验证；87.第二验证模块403，若所述第一应用的身份信息验证成功，则验证所述第一应用是否在所述第一可信应用的可信白名单内；88.连接模块404，若所述第一应用在所述第一可信应用的可信白名单内，则建立所述第一应用与所述第一可信应用的连接关系。89.图4所示实施例提供的应用鉴权装置可用于执行本说明书所示方法实施例的技术方案，其实现原理和技术效果可以进一步参考方法实施例中的相关描述。90.图5为本说明书电子设备一个实施例的结构示意图。电子设备可以实现为执行本发明实施例中应用鉴权方法的终端设备。如图5所示，上述电子设备可以包括至少一个处理器；以及与上述处理单元通信连接的至少一个存储器，其中：存储器存储有可被处理单元执行的程序指令，上述处理器调用上述程序指令能够执行本实施例提供的应用鉴权方法。91.其中，上述电子设备可以为能够与用户进行智能对话的设备，本说明书实施例对上述电子设备的具体形式不作限定。可以理解的是，这里的电子设备即为方法实施例中提到的机器。92.图5示出了适于用来实现本说明书实施方式的示例性电子设备的框图。图5显示的电子设备仅仅是一个示例，不应对本说明书实施例的功能和使用范围带来任何限制。93.如图5所示，电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于：一个或者多个处理器510、通信接口520、存储器530，连接不同系统组件(包括存储器530、通信接口520和处理器510)的通信总线540。94.通信总线540表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(industrystandardarchitecture；以下简称：isa)总线，微通道体系结构(microchannelarchitecture；以下简称：mac)总线，增强型isa总线、视频电子标准协会(videoelectronicsstandardsassociation；以下简称：vesa)局域总线以及外围组件互连(peripheralcomponentinterconnection；以下简称：pci)总线。95.电子设备典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。96.存储器530可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(randomaccessmemory；以下简称：ram)和/或高速缓存存储器。电子设备可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。存储器530可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本说明书各实施例的功能。97.具有一组(至少一个)程序模块的程序/实用工具，可以存储在存储器530中，这样的程序模块包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块通常执行本说明书所描述的实施例中的功能和/或方法。98.处理器510通过运行存储在存储器530中的程序，从而执行各种功能应用以及数据处理，例如实现本说明书所示实施例提供的应用鉴权方法。99.本说明书实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行本说明书所示实施例提供的应用鉴权方法。100.上述非暂态计算机可读存储介质可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(readonlymemory；以下简称：rom)、可擦式可编程只读存储器(erasableprogrammablereadonlymemory；以下简称：eprom)或闪存、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。101.计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。102.计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、电线、光缆、rf等等，或者上述的任意合适的组合。103.可以以一种或多种程序设计语言或其组合来编写用于执行本说明书操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络包括局域网(localareanetwork；以下简称：lan)或广域网(wideareanetwork；以下简称：wan)连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。104.上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。105.此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本说明书的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。106.流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本说明书的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本说明书的实施例所属
技术领域：
：的技术人员所理解。107.取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地，取决于语境，短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。108.需要说明的是，本说明书实施例中所涉及的终端可以包括但不限于个人计算机(personalcomputer；以下简称：pc)、个人数字助理(personaldigitalassistant；以下简称：pda)、无线手持设备、平板电脑(tabletcomputer)、手机、mp3播放器、mp4播放器等。109.在本说明书所提供的实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。110.另外，在本说明书各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。111.上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机装置(可以是个人计算机，服务器，或者网络装置等)或处理器(processor)执行本说明书各个实施例所述方法的部分步骤。112.以上所述仅为本说明书的较佳实施例而已，并不用以限制本说明书，凡在本说明书的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书保护的范围之内。当前第1页12当前第1页12
技术特征：
1.一种应用鉴权方法，其特征在于，电子设备设置有安全操作系统和非安全操作系统，所述安全操作系统包含系统级鉴权应用以及若干可信应用，所述系统级鉴权应用执行所述方法包括：接收非安全操作系统的第一应用发送的连接请求，所述连接请求包含所述第一应用的身份信息，以及所述第一应用请求建立连接的第一可信应用的信息；对所述第一应用的身份信息进行验证；若所述第一应用的身份信息验证成功，则验证所述第一应用是否在所述第一可信应用的可信白名单内；若所述第一应用在所述第一可信应用的可信白名单内，则建立所述第一应用与所述第一可信应用的连接关系。2.根据权利要求1所述的方法，其特征在于，所述对所述第一应用的身份信息进行验证，包括：预先存储所述第一应用的身份校验信息；根据预先存储的所述第一应用的身份校验信息对所述连接请求中的所述第一应用的身份信息进行验证。3.根据权利要求2所述的方法，其特征在于，所述第一应用的身份信息包括：所述第一应用的标识信息和根据所述标识信息生成的hash值；根据预先存储的所述第一应用的身份校验信息对所述连接请求中的所述第一应用的身份信息进行验证，包括：验证连接请求中所述第一应用的标识信息和hash值是否与预先存储的所述身份校验信息中的一致；若一致，则确定所述第一应用的身份信息验证成功。4.根据权利要求2所述的方法，其特征在于，所述安全操作系统设置有预留存储区域；所述第一应用的身份校验信息包含应用标识信息；所述预先存储所述第一应用的身份校验信息，包括：根据所述身份校验信息中的所述应用标识信息，确定用于存储所述第一应用的身份校验信息的存储路径；根据所述存储路径，在所述安全操作系统的所述预留存储区域存储所述第一应用的身份校验信息。5.根据权利要求2所述的方法，其特征在于，所述预先存储所述第一应用的身份校验信息之后，所述方法还包括：接收非安全操作系统的所述第一应用在每次应用更新后发送的身份校验更新信息；根据所述身份校验更新信息对预先存储的所述第一应用的身份校验信息进行更新。6.根据权利要求1所述的方法，其特征在于，所述验证所述第一应用是否在所述第一可信应用的可信白名单内，包括：确定所述第一可信应用的可信白名单是否为空；若所述第一可信应用的可信白名单不为空，则验证所述第一应用的标识信息是否与所述第一可信应用的可信白名单中的至少一个应用标识信息一致；若是，则确定所述第一应用在所述第一可信应用的可信白名单内。
7.根据权利要求1所述的方法，其特征在于，所述第一应用和所述第一可信应用为具有关联关系的应用组合；所述接收非安全操作系统的第一应用发送的连接请求，包括：接收所述第一应用启动时触发的连接请求，所述连接请求用于请求进行启动；所述建立所述第一应用与所述第一可信应用的连接关系之后，所述第一可信应用用于向所述第一应用发送启动指令。8.一种应用鉴权装置，其特征在于，设置有安全操作系统和非安全操作系统，所述安全操作系统包含系统级鉴权应用以及若干可信应用，包括：接收模块，接收非安全操作系统的第一应用发送的连接请求，所述连接请求包含所述第一应用的身份信息，以及所述第一应用请求建立连接的第一可信应用的信息；第一验证模块，对所述第一应用的身份信息进行验证；第二验证模块，若所述第一应用的身份信息验证成功，则验证所述第一应用是否在所述第一可信应用的可信白名单内；连接模块，若所述第一应用在所述第一可信应用的可信白名单内，则建立所述第一应用与所述第一可信应用的连接关系。9.一种应用鉴权设备，其特征在于，包括：至少一个处理器；以及与所述处理器通信连接的至少一个存储器，其中：所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如权利要求1至7任一项所述的方法。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括存储的程序，其中，在所述程序运行时控制所述计算机可读存储介质所在设备执行权利要求1至7任一所述的方法。

技术总结
本申请涉及操作系统领域，尤其涉及一种应用鉴权方法和装置。一种应用鉴权方法，电子设备设置有安全操作系统和非安全操作系统，所述安全操作系统包含系统级鉴权应用以及若干可信应用，所述系统级鉴权应用执行所述方法包括：接收非安全操作系统的第一应用发送的连接请求，所述连接请求包含所述第一应用的身份信息，以及所述第一应用请求建立连接的第一可信应用的信息；对所述第一应用的身份信息进行验证；若所述第一应用的身份信息验证成功，则验证所述第一应用是否在所述第一可信应用的可信白名单内；若所述第一应用在所述第一可信应用的可信白名单内，则建立所述第一应用与所述第一可信应用的连接关系。第一可信应用的连接关系。第一可信应用的连接关系。


技术研发人员：侯智 曲洪丽
受保护的技术使用者：展讯通信（天津）有限公司
技术研发日：2022.12.08
技术公布日：2023/7/12