本发明专利技术涉及一种在资源受限装置中实现应用间协作的方法及系统,属于计算机安全技术领域,该方法包括:客户应用发起服务请求,向服务访问模块提供客户应用标识和指定服务标识;服务访问模块调用服务应用的注册服务接口方法获取注册服务接口,通过注册服务对客户应用进行认证;认证通过后,通过服务管理模块注册客户应用请求的服务;客户应用通过服务访问模块调用服务应用的服务接口方法获取服务接口,使用服务;客户应用调用服务访问模块创建影子数组对象,实现应用之间数据交换。本发明专利技术可有效规避假冒客户应用,防止未经授权使用服务应用资源;由于服务应用不依赖客户应用标识认证客户,即使服务应用已经部署,也支持后安装客户应用访问服务应用。应用访问服务应用。应用访问服务应用。
【技术实现步骤摘要】
一种在资源受限装置中实现应用间协作的方法及系统
[0001]本专利技术属于计算机安全
,具体为一种在资源受限装置中实现应用间协作的方法及系统,用于在资源受限的装置如智能卡、安全元件等上实现应用间的安全通信。
技术介绍
[0002]在资源受限装置实现虚拟机技术,为支持应用程序间的协作,传统技术提供了运行环境特权、运行环境入口点对象、全局数组以及共享接口对象机制,其中前三种机制用于运行环境和应用间的交互,而共享接口对象机制旨在提供应用程序间的协作。传统技术通过定义一个称为Shareable的标记接口,任何扩展Shareable接口的接口都将被视为共享接口,防火墙机制允许向实现共享接口的对象请求服务。
[0003]现有的共享接口对象机制存在一些安全缺陷和缺点,如假冒客户应用、未经授权使用资源;由于服务应用依赖客户应用标识(AID)认证客户,服务应用已经部署后,如果不升级服务应用,无法支持后安装的客户应用访问服务应用。
技术实现思路
[0004]为解决现有技术存在的缺陷,本专利技术的目的在于提供一种在资源受限装置中实现应用间协作的方法及系统,通过该方法及系统能够有效规避假冒客户应用,防止未经授权使用服务应用的资源,同时支持后安装客户应用访问服务应用,而无需升级服务应用。
[0005]为达到以上目的,本专利技术采用的一种技术方案是:
[0006]一种在资源受限装置中实现应用间协作的系统,包括服务应用、服务管理模块、服务访问模块、运行环境和客户应用,其中:
[0007]所述服务应用为客户应用提供多种服务,每种服务包括服务标识、服务接口及使用服务前认证客户的注册服务接口,所述服务接口和所述注册服务接口通过高级编程语言提供的注解机制被标注为输出接口,实现输出接口的对象称为输出接口对象,编译器/转换器在可执行文件的接口定义中为所述输出接口及所述输出接口对象的类生成输出标志;
[0008]所述服务管理模块用于对所述服务应用输出的服务和注册服务进行管理,管理功能包括:安装服务、管理客户应用的请求服务、获取指定服务标识的注册服务接口和服务接口、查询指定服务是否授权使用;
[0009]所述运行环境包括虚拟机,用于执行所述客户应用和服务应用,所述客户应用和所述服务应用执行时受所述运行环境实现的防火墙机制保护,所述防火墙机制保证客户应用不能访问服务应用拥有的对象,服务应用也不能访问客户应用拥有的对象;所述虚拟机根据所述输出标志允许所述客户应用跨所述防火墙机制调用服务应用的输出接口对象实现的输出接口方法,实现所述客户应用和所述服务应用间的通信;
[0010]所述服务访问模块由所述运行环境实现,用于代替客户应用请求所述服务应用的输出接口方法,所述客户应用通过所述服务访问模块使用所述服务应用的输出服务。
[0011]进一步,如上所述的在资源受限装置中实现应用间协作的系统,由所述服务应用
确定并实现注册服务采用何种认证客户的方式,当采用挑战/应答认证机制时,所述服务应用和所述客户应用预先共享一个秘密数据。
[0012]进一步,如上所述的在资源受限装置中实现应用间协作的系统,所述服务管理模块以服务应用超类的方式实现,具体的服务应用继承所述服务应用超类。
[0013]进一步,如上所述的在资源受限装置中实现应用间协作的系统,所述运行环境通过应用编程接口的方式实现所述服务访问模块。
[0014]进一步,如上所述的在资源受限装置中实现应用间协作的系统,所述服务访问模块还提供创建数组对象的影子数组对象功能,用于实现所述客户应用和所述服务应用间的数据共享,所述影子数组对象和源数组对象具有相同的成员类型,成员的存储位置也相同,所述影子数组对象被创建时指定的服务应用所拥有。
[0015]一种使用上述系统在资源受限装置中实现应用间协作的方法,包括以下步骤:
[0016]S1、客户应用发起服务请求,向服务访问模块提供客户应用的标识和请求服务的服务标识;
[0017]S2、服务访问模块依据客户请求服务的服务标识查询服务应用,调用服务应用提供的注册服务接口方法获取服务应用对应的注册服务接口,服务应用提供的注册服务接口方法包含所述客户应用的标识,客户应用通过注册服务完成服务应用对客户应用的认证;
[0018]S3、客户应用认证通过后,服务应用通过服务管理模块注册客户应用请求的服务;
[0019]S4、客户应用通过服务访问模块调用服务应用提供的服务接口方法获取服务应用对应的服务接口,从而使用请求的服务。
[0020]进一步,如上所述的在资源受限装置中实现应用间协作的方法,步骤S2中所述服务访问模块由应用编程接口方式实现时,客户应用的认证过程具体为:
[0021]应用编程接口根据所述客户应用的标识和请求服务的服务标识请求服务应用对应的注册服务接口对象;
[0022]所述服务应用通过通用注册服务接口的方式返回实现注册服务的输出接口对象;
[0023]客户应用对所述通用注册服务接口进行类型转换,客户应用调用对应的注册服务接口方法;
[0024]客户应用调用所述注册服务接口方法可通过虚拟机的防火墙检查,完成所述服务应用对所述客户应用的认证。
[0025]进一步,如上所述的在资源受限装置中实现应用间协作的方法,步骤S3具体为:
[0026]服务管理模块使用客户应用的标识和请求服务的服务标识注册客户应用请求的服务,并将授权状态保存在RAM区。
[0027]进一步,如上所述的在资源受限装置中实现应用间协作的方法,步骤S4中所述客户应用使用服务的过程具体为:
[0028]应用编程接口根据所述客户应用的标识和请求服务的服务标识请求服务应用对应的服务接口对象;
[0029]所述服务管理模块根据客户应用的标识和请求服务的服务标识查询指定服务是否获得授权使用;
[0030]如果已授权,则服务应用以通用服务接口的方式返回实现服务的输出接口对象;
[0031]客户应用对所述通用服务接口进行类型转换,客户应用调用对应的服务接口方
法;
[0032]客户应用调用所述服务接口方法可通过虚拟机的防火墙检查,客户应用使用请求的服务。
[0033]进一步,如上所述的在资源受限装置中实现应用间协作的方法,客户应用根据需要调用服务访问模块创建数组对象的影子数组对象,实现客户应用和服务应用间的数据交换,具体步骤包括:
[0034]客户应用调用应用编程接口为指定服务应用创建自己拥有的源数组对象的影子数组对象,影子数组对象为所述服务应用所拥有;
[0035]客户应用调用输出接口方法时,将所述影子数组对象作为参数传递给所述服务应用;
[0036]所述服务应用通过所述影子数组对象参数访问所述影子数组对象,读取客户应用的输入数据或向所述影子数组对象写入数据,实现将数据返回客户应用的功能;
[0037]当所述输出接口方法返回时,客户应用通过读取影子数组对象的源数组获取所述服务应用本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种在资源受限装置中实现应用间协作的系统,其特征在于,所述系统包括服务应用、服务管理模块、服务访问模块、运行环境和客户应用,其中:所述服务应用为客户应用提供多种服务,每种服务包括服务标识、服务接口及使用服务前认证客户的注册服务接口,所述服务接口和所述注册服务接口通过高级编程语言提供的注解机制被标注为输出接口,实现输出接口的对象称为输出接口对象,编译器/转换器在可执行文件的接口定义中为所述输出接口及所述输出接口对象的类生成输出标志;所述服务管理模块用于对所述服务应用输出的服务和注册服务进行管理,管理功能包括:安装服务、管理客户应用的请求服务、获取指定服务标识的注册服务接口和服务接口、查询指定服务是否授权使用;所述运行环境包括虚拟机,用于执行所述客户应用和服务应用,所述客户应用和所述服务应用执行时受所述运行环境实现的防火墙机制保护,所述防火墙机制保证客户应用不能访问服务应用拥有的对象,服务应用也不能访问客户应用拥有的对象;所述虚拟机根据所述输出标志允许所述客户应用跨所述防火墙机制调用服务应用的输出接口对象实现的输出接口方法,实现所述客户应用和所述服务应用间的通信;所述服务访问模块由所述运行环境实现,用于代替客户应用请求所述服务应用的输出接口方法,所述客户应用通过所述服务访问模块使用所述服务应用的输出服务。2.根据权利要求1所述的在资源受限装置中实现应用间协作的系统,其特征在于,由所述服务应用确定并实现注册服务采用何种认证客户的方式,当采用挑战/应答认证机制时,所述服务应用和所述客户应用预先共享一个秘密数据。3.根据权利要求2所述的在资源受限装置中实现应用间协作的系统,其特征在于,所述服务管理模块以服务应用超类的方式实现,具体的服务应用继承所述服务应用超类。4.根据权利要求1所述的在资源受限装置中实现应用间协作的系统,其特征在于,所述运行环境通过应用编程接口的方式实现所述服务访问模块。5.根据权利要求1所述的在资源受限装置中实现应用间协作的系统,其特征在于,所述服务访问模块还提供创建数组对象的影子数组对象功能,用于实现所述客户应用和所述服务应用间的数据共享,所述影子数组对象和源数组对象具有相同的成员类型,成员的存储位置也相同,所述影子数组对象被创建时指定的服务应用所拥有。6.使用权利要求1
‑
5任一项所述系统在资源受限装置中实现应用间协作的方法,包括以下步骤:S1、客户应用发起服务请求,向服务访问模块提供客户应用的标识和请求服务的服务标识;S2、服务访问模块依据客户请求服务的服务标识查询服务应用,调用服务应用提供的注册服...
【专利技术属性】
技术研发人员:石玉平,徐俊江,郑江东,王幼君,
申请(专利权)人:北京握奇数据股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。