(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210934098.2 (22)申请日 2022.08.04 (65)同一申请的已公布的文献号 申请公布号 CN 115022091 A (43)申请公布日 2022.09.06 (73)专利权人 亿次网联 （杭州） 科技有限公司 地址 310000 浙江省杭州市滨江区长河街 道滨安路1190号A区A楼1701、 1702、 1703、 1704室 (72)发明人 施建龙　 (74)专利代理 机构 杭州创智卓英知识产权代理 事务所(普通 合伙) 33324 专利代理师 刘逸潇 (51)Int.Cl. H04L 9/40(2022.01)H04L 9/32(2006.01) H04L 67/10(2022.01) (56)对比文件 CN 111382425 A,2020.07.07 CN 114091112 A,202 2.02.25 US 8997076 B1,2015.0 3.31 US 6067622 A,2000.05.23 US 9058504 B1,2015.0 6.16 CN 103685138 A,2014.0 3.26 审查员 孙丽 (54)发明名称 一种基于数字证书的自主授权方法和系统 (57)摘要 本申请涉及一种基于数字证书的自主授权 方法， 其中， 该方法应用在分布式的私有云设备 上， 包括： 在接收到应用发送的首次运行请求时， 判断用户是否输入授权运行指令， 若是， 在本地 存储中获取预设CA证书及其私钥， 通过私钥， 在 应用的程序文件中添加签名信息， 以及， 将预设 CA证书的公开项与程序文件绑 定； 在接收到应用 发送的运行请求时， 通过预设CA 证书对应用进行 校验， 在校验成功的情况下， 允许运行应用， 通过 本申请， 在分布式私有云设备下， 实现了用户完 全自主化的授权控制。 权利要求书2页 说明书10页 附图3页 CN 115022091 B 2022.12.16 CN 115022091 B 1.一种基于数字证书的自主授权方法， 其特征在于， 应用在 分布式的私有云设备上， 所 述方法包括： 在接收到应用发送的首次运行请求时， 判断用户是否 输入授权运行指令， 若是， 在本地存储中获取预设CA证书及其私钥， 通过所述私钥， 在所述应用的程序文件中添 加签名信息， 以及， 将所述预设CA证书的公开项与所述 程序文件绑定； 在接收到所述应用发送的运行请求时， 通过所述预设CA  证书对所述应用进行校验， 在 校验成功的情况 下， 允许运行 所述应用。 2.根据权利要求1所述的方法， 其特征在于， 通过所述私钥， 在所述应用的程序文件中 添加签名信息， 包括： 获取所述预设CA证书的私钥； 对所述应用的程序文件进行哈希运 算， 得到所述应用的文件哈希值； 通过所述私钥对所述文件哈希值进行加密， 得到加密 密文； 以所述加密 密文为签名信息， 将所述签名信息与所述 程序文件绑定 。 3.根据权利要求2所述的方法， 其特征在于， 通过所述预设CA  证书对所述应用进行校 验， 包括： 获取并解析所述运行请求， 得到所述应用程序、 所述签名信息和所述预设CA证书的公 开项； 校验所述预设CA证书的公开项是否有效， 以及， 获取设备本地存储的所述预设CA证书的公钥， 通过所述公钥校验所述签名信 息是否有 效， 若两者均是， 指示校验成功。 4.根据权利要求3所述的方法， 其特征在于， 通过所述公钥校验所述签名信息是否有 效， 包括： 通过所述公钥解密所述加密 密文， 得到第二文件哈希值； 判断所述第二文件哈希值与所述文件哈希值是否一 致， 若是， 指示所述签名信息有效。 5.根据权利要求1所述的方法， 其特 征在于， 允许运行 所述应用之后， 所述方法还 包括： 系统内核针对本次运行， 生成进程文件格式， 并对所述进程文件格式分配进程 ID； 读取所述应用对应在系统上的inode号， 并将所述inode号、 所述进程ID与所述预设CA 证书绑定， 其中， 所述应用每次运行时的inode号一致， 且同一应用在卸载并重新安装时， 所述 inode号不一致。 6.根据权利要求5所述的方法， 其特征在于， 在实现细分粒度自主授权的情况下， 所述 方法还包括： 通过用户终端设备获取用户的操作指令， 根据所述操作指令生成自定义控制策略， 并 通过所述私钥在所述自定义控制策略中添加第二签名信息； 在识别到所述应用执行访问请求时， 根据所述应用的进程ID， 查找本地是否存在与所 述访问请求相关联的自定义控制策略， 若是， 通过所述预设CA证书校验所述自定义控制策 略； 在校验成功的情况下， 且所述自定义控制策略下注册有所述应用对应的inode号时， 允权　利　要　求　书 1/2 页 2 CN 115022091 B 2许所述访问请求。 7.根据权利要求6所述的方法， 其特征在于， 在所述自定义控制策略下未注册所述应用 对应的inode号时， 所述方法还 包括： 生成安全告警信息， 将所述告警信息转换为可视化UI界面， 并发送至所述用户终端设 备； 判断用户是否在所述可视化UI界面上输入授权访 问指令， 若是， 更新所述自定义控制 策略， 其中， 更新所述自定义控制策略包括： 在所述自定义控制策略中注册所述应用对应的 inode号， 以及在注册成功之后， 通过所述私钥再次在所述自定义控制策略中添加 第二签名 信息； 通过所述预设CA证书校验所述更新之后的自定义控制策略， 在校验成功的情况下， 发 现其中包 含所述应用对应的i node号， 允许响应所述访问请求。 8.根据权利要求5所述的方法， 其特 征在于， 所述预设CA证书包括： 用户CA证书， 以及 以所述用户CA证书为根证书， 签发基于不同功能需求下的证书请求， 得到的二级证书， 以及， 以所述二级证书， 签发基于所述功能需求下， 不同业务需求下的证书请求， 得到的三级 证书。 9.根据权利要求6所述的方法， 其特 征在于， 通过用户信息， 将所述预设CA证书和所述自定义控制策略， 加密保存在所述私有云设 备的存储体上。 10.一种基于数字证书的自主授权系统， 其特征在于， 应用 在分布式的私有云设备上， 所述系统包括： 判断模块、 获取模块和校验运行模块， 其中； 所述判断模块用于， 在接收到应用发送的首次运行请求时， 判断用户是否输入授权运 行指令， 所述获取模块用于， 在判断结果为是的情况下， 在本地存储中获取预设CA证书及其私 钥， 通过所述私钥， 在所述应用的程序文件中添加签名信息， 以及， 将所述预设CA证书的公 开项与所述 程序文件绑定； 所述校验运行模块用于， 在接收到所述应用发送的运行请求时， 通过所述预设CA  证书 对所述应用进行 校验， 在校验成功的情况 下， 运行所述应用。 11.一种计算机设备， 包括存储器、 处理器以及存储在所述存储器上并可在所述处理器 上运行的计算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现如权利要求 1至 9中任一项所述的方法。 12.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该程序被处理器 执行时实现如权利要求1至9中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115022091 B 3