内网访问方法及终端设备与流程

1.本技术涉及移动互联领域，尤其涉及一种内网访问方法及终端设备。


背景技术：

2.随着信息技术的发展，越来越多的企业、单位采用内网管理系统(以下简称“内网系统”)进行内部信息化管理。可以理解，内网系统涉及大量的内部信息，例如，人员信息、技术信息等安全性要求较高的信息。
3.目前，市面上大部分的企业、单位的内网系统都可以通过互联网，即外部网络公开访问。但对于某些信息安全要求较高的企业、单位来说，通过外部网络公开访问其内网系统可能会带来安全风险，导致内网系统的信息泄露。
4.因此，亟需提供一种可以安全访问内网系统的技术方案。


技术实现要素：

5.本技术提供了一种内网访问方法及终端设备，以期提高应用程序(application，app)访问内网系统的安全性。
6.第一方面，本技术提供了一种内网访问方法，应用于终端设备，该方法包括：在通过目标app访问内网系统的情况下，获取目标app访问内网系统的激活码，激活码包含签名；从激活码中获取签名；验证签名的有效性；若签名有效，则从移动代理(mobile agent server，mas)服务器获取许可证，许可证用于许可终端设备使用目标app访问内网系统；根据许可证，验证mas服务器的合法性；若mas服务器的合法，则允许终端设备使用目标app访问内网系统。
7.本技术提供的内网访问方法，通过设置激活码和许可证对app进行激活，通过激活后的app访问内网系统，从而提高app访问内网系统的安全性。
8.结合第一方面，在第一方面的某些可能的实现方式中，激活码中还包含第一密钥的私钥；验证签名的有效性，包括：使用第一密钥的公钥验证签名的有效性。
9.结合第一方面，在第一方面的某些可能的实现方式中，激活码通过以下方式构建：构建激活码载荷，激活码载荷包括环境名、mas服务器入口地址和第二密钥的私钥；对激活码载荷进行sm3摘要计算得到摘要；使用第一密钥的私钥对摘要进行编码得到签名；使用激活码载荷和签名构建javascript对象简谱(javascript object notation，json)得到明文二维码；使用第二密钥的公钥对明文二维码加密，并进行编码得到激活码。
10.结合第一方面，在第一方面的某些可能的实现方式中，编码的编码方式为base58编码方式。
11.结合第一方面，在第一方面的某些可能的实现方式中，许可证中包括环境参数，环境参数包括移动组件服务(mobile component service，mcs)服务器地址、安全平台参数和编码方式；该方法还包括：使用第二密钥的私钥解密许可证，得到环境参数；将环境参数写入到目标app的内存。
12.结合第一方面，在第一方面的某些可能的实现方式中，激活码中还包括第三密钥的私钥，许可证中还包括第三密钥的公钥；根据许可证，验证mas服务器的合法性，包括：将第三密钥的公钥和第三密钥的私钥进行校验，以验证mas服务器的合法性。
13.结合第一方面，在第一方面的某些可能的实现方式中，获取目标app访问内网系统的激活码，包括：获取加密的激活码；调用动态库获取通用密码；使用通用密码解密加密的激活码，得到激活码。
14.结合第一方面，在第一方面的某些可能的实现方式中，获取激活码的方式包括以下任意一种：通过扫描二维码的方式从外部获取激活码，或者，从目标app获取激活码，该激活码为固定的激活码，内置在目标app中。
15.第二方面，本技术提供了一种终端设备，包括获取模块和处理模块；获取模块用于，在通过目标应用程序app访问内网系统的情况下，获取目标app访问内网系统的激活码，激活码包含签名；从激活码中获取签名；若签名有效，则从移动代理mas服务器获取许可证，许可证用于许可终端设备使用目标app访问内网系统；处理模块用于，验证签名的有效性；根据许可证，验证mas服务器的合法性；若mas服务器的合法，则允许终端设备使用目标app访问内网系统。
16.第三方面，本技术提供了一种终端设备，包括存储器和处理器，存储器用于存储计算机程序；处理器用于执行计算机程序，以执行第一方面以及第一方面任意一种可能的实现方式中的方法。
17.第四方面，本技术提供了一种计算机可读存储介质，包括计算机程序，当计算机程序在计算机上运行时，使得第一方面以及第一方面任一种可能实现方式中的方法被执行。
18.第五方面，本技术提供了一种计算机程序产品，包括计算机程序，当计算机程序在计算机上运行时，使得第一方面以及第一方面任一种可能实现方式中的方法被执行。
19.应当理解的是，本技术的第二方面至第五方面与本技术的第一方面的技术方案相对应，各方面及对应的可行实施方式所取得的有益效果相似，不再赘述。
附图说明
20.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本技术的实施例，并与说明书一起用于解释本技术的原理。
21.图1是本技术实施例提供的内网访问方法的场景示意图；
22.图2是本技术实施例提供的内网访问方法的示意性流程图；
23.图3是构建该激活码的方式的示意性流程图；
24.图4是本技术实施例提供的终端设备的示意性框图；
25.图5是本技术实施例提供的终端设备的另一示意性框图。
26.通过上述附图，已示出本技术明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本技术构思的范围，而是通过参考特定实施例为本领域技术人员说明本技术的概念。
具体实施方式
27.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及
附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。
28.使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。
29.因此，以下对在附图中提供的本技术的实施例的详细描述并非旨在限制要求保护的本技术的范围，而是仅仅表示本技术的选定实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
30.在本技术实施例中，术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。此外，术语“包括”以及任何变形，意图在于覆盖不排他的包含。
31.图1是本技术实施例提供的内网访问方法的场景示意图。
32.随着信息技术的不断发展，app在各个领域都得到了越来越广泛的应用。例如对于金融行业来说，行业相关的企业、单位内部有金融行业财务管理app，用户可以在终端设备上操作app进行办公或者办理业务。
33.目前市面上大部分的app都是通过互联网，即外部网络公开访问。对于某些信息安全要求较高的企业、单位来说，app也需要访问企业、单位内部的内网系统。内网系统涉及大量的内部信息，例如，人员信息、技术信息等安全性要求较高的信息。通过外部网络公开访问内网系统可能会带来安全风险，导致内网系统的信息泄露。
34.鉴于此，本技术提供了一种内网访问方法，通过设置激活码和许可证对app进行激活，通过激活后的app访问内网系统，从而提高app访问内网系统的安全性。
35.图2是本技术实施例提供的内网访问方法的示意性流程图，该内网访问方法应用于终端设备，该方法200包括步骤210至步骤260，下面对方法200中各个步骤作详细说明。
36.在步骤210中，在通过目标app访问内网系统的情况下，获取目标app访问内网系统的激活码，该激活码包括签名。
37.可选地，终端设备获取激活码的方式可以为，通过扫描二维码的方式从外部获取激活码，或者，该激活码为固定的激活码内置在目标app中，终端设备可以直接从目标app获取激活码。
38.终端设备扫码获取激活码的方式支持一个目标app访问不同的项目，或者同一个项目的不同的环境，有利于扩展目标app的使用范围。例如，该目标app既可以访问a项目的系统，也可以访问b项目的系统；该目标app既可以访问a项目的系统的测试环境，也可以访问a项目的系统的生产环境。
39.用户只需要扫描不同的二维码既可以在不同的系统或者不同的环境之间实现切换。扫描二维码之后，获取到的激活码可以被缓存，用于下次目标app启动的激活。
40.终端设备扫码获取激活码的方式适用于解决目标app在应用商店上架前的审核问题。应用商店的审核人员审核该目标app时，可以向审核人员提供测试环境的激活码以用于审核；用户使用该目标app时，可以向用户提供生产环境激活码用于业务操作。也即，无需准备多个环境的目标app，通过切换激活码就可以进行测试环境与生产环境之间的切换。
41.终端设备从目标app获取固定的激活码的方式无需扫码操作，目标app根据固定的激活码进行激活，这种方式虽然不具备扫码激活方式的灵活性，但是操作简单，不易出错，是目前主要的实现方式。
42.可选地，终端设备最初获取到的激活码可以是被加密的，因此可以进行解密操作以得到激活码。获取激活码并解密的方式可以是，获取加密的激活码，调用动态库获取通用密码，使用该通用密码对加密的激活码进行解密，得到激活码。
43.其中，动态库可以验证目标app的签名，若目标app的签名验证成功，则返回正确的密码，以便于解密激活码；若目标app的签名验证不成功，则返回错误的密码，以阻止激活码被解密。
44.通用密码可以是一种基于sm4加密算法设计的密码，通用密码在android中被打包进so文件中，可以通过native方法验证目标app的签名，然后获取该通用密码。通过这种方式，即使目标app被反编译盗取了so文件，如果没有相应的目标app的签名，仍然无法获取该通用密码，有利于提高通用密码的安全性。
45.图3是构建该激活码的方式的示意性流程图，该流程300可以包括步骤310至步骤350。
46.在步骤310中，构建激活码载荷，该激活码载荷包括环境名、mas服务器入口地址和第二密钥的私钥。
47.在步骤320中，对激活码载荷进行sm3摘要计算得到摘要。
48.在步骤330中，使用第一密钥的私钥对摘要进行编码得到签名。
49.在步骤340中，使用激活码载荷和签名构建json得到明文二维码。
50.在步骤350中，使用第二密钥的公钥对明文二维码加密，并进行编码得到激活码。
51.其中，环境名可以用于指示当前的环境，例如测试环境或者生产环境。app对环境敏感，当切换环境时，目标app可以结合当前的环境名和账户来进行数据的本地存取操作，从而不会因为环境或者账户的切换造成数据的紊乱。
52.mas服务器负责目标app访问内网系统前的准备工作，职能是检查、校验账号的准入状态，以及安全平台证书，即许可证的发放。
53.第一密钥(approotkey)为一对sm2算法密钥，公钥配置在目标app中，私钥由目标app发布方持有。目标app激活时会从激活码解密获取入口信息和签名，并用此公钥验证入口信息的摘要签名，若通过验证，目标app才从此入口开始初始化，第一密钥的功能为防止通过非法激活码引导程序接入到非法的服务上被盗取个人数据。
54.第二密钥(activecodekey)为一对sm2算法密钥，公钥由目标app发布方持有，私钥记录在激活码中。公钥用于许可证的明文信息加密。目标app从激活码初始化时，会从入口的服务的预设接口读取完整的环境参数，然后使用此私钥解密出明文，若解密失败，则中止初始化，同时若想修改环境参数，直接在预设接口中修改返回内容即可，目标app无需重新修改配置造成打包发包。第二密钥的功能为发布环境参数。
55.在步骤220中，从激活码中获取签名。
56.应理解，此处的签名为激活码中的签名，为步骤330中使用第一密钥的私钥对摘要进行编码得到的签名，而并非动态库验证的目标app的签名。在获取到激活码之后，可以从激活码中获取到签名，或者，将加密的激活码进行解密，可以从中获取到签名。
57.在步骤230中，验证该签名的有效性。
58.可选地，验证该签名有效性的方式可以为，使用第一密钥的公钥验证签名的有效性。
59.由于签名为使用第一密钥的私钥对摘要进行编码得到的签名，而第一密钥的公钥和第一密钥的私钥为一对密钥，所以使用第一密钥的公钥可以对签名的有效性进行验证，如果第一密钥的公钥可以和签名中携带的私钥配对，则代表签名有效。
60.可选地，上述编码的编码方式可以为base58编码方式。相比于常用的base64编码方式来说，base58编码方式去除了几个容易产生歧义的字符，例如0(数字零)、o(大写的字母o)、i(大写的字母i)和l(小写的字母l)，以及影响双击选择的字符，如/(斜杠)和+(加号)。这种base58编码方式相较于base64编码方式更加灵活，有利于转译。
61.在步骤240中，若签名有效，则从mas服务器获取许可证。该许可证用于许可终端设备使用目标app访问内网系统。
62.可选地，该许可证可以为许可证载荷明文使用第三密钥的公钥进行加密的base58编码字符串。
63.第三密钥(licensekey)为一对sm2算法密钥，公钥携带在许可证中，私钥配置在服务上，用于验证服务器的合法性。
64.mas服务器入口地址是内网系统接入的起点，可以从激活码中获取。因此获取到激活码后，可以通过其中携带的mas服务器入口地址从mas服务器获取许可证。
65.可选地，许可证中可以包括环境参数，该环境参数包括mcs服务器地址、安全平台参数和编码方式。
66.mcs服务器负责app访问内网系统的资源对接工作，通过此服务器，目标app可以访问内网系统的所有资源。目标app通过mcs服务器地址来定位mcs服务器，目标app中的各个业务服务均通过此mcs服务器地址来访问资源。mcs服务器可以进行双向安全套接层(secure socket layer，ssl)验证，以提高内网系统的安全性。
67.内网系统中使用的安全平台可以为第三方安全平台，在目标app与内网系统通信时，不同的第三方安全平台需要进行的配置不同。因此，获得安全平台参数有利于目标app针对安全平台进行配置，进而有利于目标app与内网系统通信的稳定性。
68.在获取到许可证之后，可以使用第二密钥的私钥解密许可证，得到环境参数，并将环境参数写入到目标app的内存。
69.将环境参数写入到目标app的内存，有利于目标app根据环境参数进行对应的配置。
70.在步骤250中，根据许可证，验证mas服务器的合法性。
71.app与服务器间的通信接口绝大部分采用了强制post提交和请求参数整体加密，服务器收到业务请求先解密还原真实参数才能正常访问，而通信时的密钥是由密钥协商来实现的。在验证mas服务器合法性之后，app可以与mas服务器进行进行密钥协商，以便于进行通信。
72.可选地，激活码中还包括第三密钥的私钥，许可证中包括第三密钥的公钥，因此验证mas服务器的合法性的方式可以为，将第三密钥的公钥和第三密钥的私钥进行校验，以验证mas服务器的合法性。
73.在步骤260中，若mas服务器合法，则允许终端设备使用目标app访问内网系统。
74.经过上述解密、验证签名以及验证mas服务器合法性的步骤，若每一个步骤都通过，则可以视为目标app激活成功，用户可以使用该目标app访问内网系统。
75.基于上述内网访问方法，通过设置激活码和许可证对app进行激活，通过激活后的app访问内网系统，从而提高app访问内网系统的安全性。
76.图4是本技术实施例提供的终端设备的示意性框图。该终端设备可以为图1中的终端设备，如图4所示，该终端设备400可以包括获取模块410和处理模块420。
77.其中，获取模块410用于，在通过目标应用程序app访问内网系统的情况下，获取目标app访问内网系统的激活码，激活码包含签名；从激活码中获取签名；若签名有效，则从移动代理mas服务器获取许可证，许可证用于许可终端设备使用目标app访问内网系统；处理模块420用于，验证签名的有效性；根据许可证，验证mas服务器的合法性；若mas服务器的合法，则允许终端设备使用目标app访问内网系统。
78.可选地，处理模块420可用于，使用第一密钥的公钥验证签名的有效性。
79.可选地，处理模块420还可用于，使用第二密钥的私钥解密许可证，得到环境参数；将环境参数写入到目标app的内存。
80.可选地，处理模块420可用于，将第三密钥的公钥和第三密钥的私钥进行校验，以验证mas服务器的合法性。
81.可选地，获取模块410可用于，获取加密的激活码；调用动态库获取通用密码；处理模块420可用于，使用通用密码解密加密的激活码，得到激活码。
82.可选地，获取模块410可用于，通过扫描二维码的方式从外部获取激活码，或者，从目标app获取激活码，激活码为固定的激活码，内置在目标app中。
83.图5是本技术实施例提供的终端设备的另一示意性框图。如图5所示，该终端设备500可以包括至少一个处理器510，用于可用于实现本技术提供的方法中终端设备的功能。具体参见方法示例中的详细描述，此处不做赘述。
84.该终端设备500还可以包括一个存储器520，用于存储程序指令和/或数据。存储器520和处理器510耦合。本技术中的耦合是装置、单元或模块之间的间接耦合或通信连接，可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。处理器510可能和存储器520协同操作。处理器510可能执行存储器520中存储的程序指令。至少一个存储器520中的至少一个可以包括于处理器510中。
85.该终端设备500还可以包括一个通信接口530，用于通过传输介质和其它设备进行通信，从而用于终端设备500中的装置可以和其它设备进行通信。通信接口530例如可以是收发器、接口、总线、电路或者能够实现收发功能的装置。处理器510可利用通信接口530收发数据和/或信息，并用于实现图2对应的实施例中的内网访问方法。
86.本技术中不限定上述处理器510、存储器520以及通信接口530之间的具体连接介质。本技术在图5中以处理器510、存储器520以及通信接口530之间通过总线540连接。总线540在图5中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图5中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
87.在本技术实施例中，处理器可以是通用处理器、数字信号处理器、专用集成电路、
现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本技术中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本技术所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。
88.根据本技术提供的方法，本技术还提供一种计算机可读存储介质，该计算机可读存储介质存储有程序代码，当该程序代码在计算机上运行时，使得该计算机执行图2对应的实施例中的内网访问方法。
89.根据本技术提供的方法，本技术还提供一种计算机程序产品，该计算机程序产品包括：计算机程序代码。当该计算机程序代码在计算机上运行时，使得该计算机执行图2对应的实施例中的内网访问方法。
90.本技术提供的技术方案可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本技术的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、网络设备、终端设备或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线，例如同轴电缆、光纤、数字用户线(digital subscriber line，dsl)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机可以存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质例如，数字视频光盘(digital video disc，dvd)、或者半导体介质等。
91.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以所述权利要求的保护范围为准。

技术特征：
1.一种内网访问方法，其特征在于，应用于终端设备，所述方法包括：在通过目标应用程序app访问内网系统的情况下，获取所述目标app访问所述内网系统的激活码，所述激活码包含签名；从所述激活码中获取所述签名；验证所述签名的有效性；若签名有效，则从移动代理mas服务器获取许可证，所述许可证用于许可所述终端设备使用所述目标app访问内网系统；根据所述许可证，验证所述mas服务器的合法性；若所述mas服务器的合法，则允许所述终端设备使用所述目标app访问所述内网系统。2.根据权利要求1所述的方法，其特征在于，所述激活码中还包含第一密钥的私钥；所述验证所述签名的有效性，包括：使用第一密钥的公钥验证所述签名的有效性。3.根据权利要求2所述的方法，其特征在于，所述激活码通过以下方式构建：构建激活码载荷，所述激活码载荷包括环境名、mas服务器入口地址和第二密钥的私钥；对所述激活码载荷进行sm3摘要计算得到摘要；使用所述第一密钥的私钥对所述摘要进行编码得到所述签名；使用所述激活码载荷和所述签名构建javascript对象简谱json得到明文二维码；使用第二密钥的公钥对所述明文二维码加密，并进行编码得到所述激活码。4.根据权利要求3所述的方法，其特征在于，所述编码的编码方式为base58编码方式。5.根据权利要求3所述的方法，其特征在于，所述许可证中包括环境参数，所述环境参数包括移动组件服务mcs服务器地址、安全平台参数和编码方式；所述方法还包括：使用所述第二密钥的私钥解密所述许可证，得到所述环境参数；将所述环境参数写入到所述目标app的内存。6.根据权利要求1所述的方法，其特征在于，所述激活码中还包括第三密钥的私钥；所述许可证中还包括第三密钥的公钥，所述根据所述许可证，验证所述mas服务器的合法性，包括：将所述第三密钥的公钥和所述第三密钥的私钥进行校验，以验证所述mas服务器的合法性。7.根据权利要求1至6中任一项所述的方法，其特征在于，所述获取所述目标app访问所述内网系统的激活码，包括：获取加密的激活码；调用动态库获取通用密码；使用所述通用密码解密所述加密的激活码，得到所述激活码。8.根据权利要求1所述的方法，其特征在于，获取所述激活码的方式包括以下任意一种：通过扫描二维码的方式从外部获取所述激活码，或者，
从所述目标app获取所述激活码，所述激活码为固定的激活码，内置在所述目标app中。9.一种终端设备，其特征在于，包括：获取模块，用于在通过目标应用程序app访问内网系统的情况下，获取所述目标app访问所述内网系统的激活码，所述激活码包含签名；从所述激活码中获取所述签名；若签名有效，则从移动代理mas服务器获取许可证，所述许可证用于许可所述终端设备使用所述目标app访问内网系统；处理模块，用于验证所述签名的有效性；根据所述许可证，验证所述mas服务器的合法性；若所述mas服务器的合法，则允许所述终端设备使用所述目标app访问所述内网系统。10.一种终端设备，其特征在于，包括存储器和处理器，其中，所述存储器用于存储计算机程序；所述处理器用于执行所述计算机程序，以实现如权利要求1至8中任意一项所述的方法。11.一种计算机可读存储介质，其特征在于，包括计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行如权利要求1至8中任一项所述的方法。12.一种计算机程序产品，其特征在于，包括计算机程序，当所述计算机程序被运行时，使得计算机执行如权利要求1至8中任一项所述的方法。

技术总结
本申请提供了一种内网访问方法及终端设备，涉及移动互联领域。该方法包括：在通过目标APP访问内网系统的情况下，获取目标APP访问内网系统的激活码，激活码包含签名；从激活码中获取签名；验证签名的有效性；若签名有效，则从MAS服务器获取许可证，许可证用于许可终端设备使用目标APP访问内网系统；根据许可证，验证MAS服务器的合法性；若MAS服务器的合法，则允许终端设备使用目标APP访问内网系统。基于本申请提供的内网访问方法，通过设置激活码和许可证对APP进行激活，通过激活后的APP访问内网系统，从而提高APP访问内网系统的安全性。从而提高APP访问内网系统的安全性。从而提高APP访问内网系统的安全性。


技术研发人员：王沛瑶 何显阳 唐剑锋
受保护的技术使用者：九恒星（武汉）信息技术有限公司
技术研发日：2023.08.16
技术公布日：2023/10/15