(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210765639.3 (22)申请日 2022.07.01 (71)申请人 北京握奇数据股份有限公司 地址 100102 北京市朝阳区望京利泽中园 101号启明国际大厦西侧7层 (72)发明人 石玉平　徐俊江　郑江东　王幼君　 (74)专利代理 机构 北京天悦专利代理事务所 (普通合伙) 11311 专利代理师 田明　任晓航 (51)Int.Cl. H04L 67/133(2022.01) H04L 67/51(2022.01) H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种在资源受限装置中实现应用间协作的 方法及系统 (57)摘要 本发明涉及一种在资源受限装置中实现应 用间协作的方法及系统， 属于计算机安全技术领 域， 该方法包括： 客户应用发起服务请求， 向服务 访问模块提供客户应用标识和指定服务标识； 服 务访问模块调用服务应用的注册服务接口方法 获取注册 服务接口， 通过注册 服务对客户应用进 行认证； 认证通过后， 通过服务管理模块注册客 户应用请求的服务； 客户应用通过服务访问模块 调用服务应用的服务接口方法获取服务接口， 使 用服务； 客户应用调用服务访问模块创建影子数 组对象， 实现应用之间数据交换。 本发明可有效 规避假冒客户应用， 防止未经授权使用服务应用 资源； 由于服务应用不依赖客户应用标识认证客 户， 即使服务应用已经部署， 也支持后安装客户 应用访问服 务应用。 权利要求书2页 说明书9页 附图2页 CN 115361430 A 2022.11.18 CN 115361430 A 1.一种在资源受限装置中实现应用间协作的系统， 其特征在于， 所述系统包括服务应 用、 服务管理模块、 服 务访问模块、 运行环境和客户应用， 其中： 所述服务应用为客户应用提供多种服务， 每种服务包括服务标识、 服务接口及使用服 务前认证客户的注册 服务接口， 所述服务接口和所述注册服务接口通过高级编程语言提供 的注解机制被标注 为输出接口， 实现输出接口的对象称为输出接口对象， 编译器/转换器在 可执行文件的接口定义中为所述输出接口及所述输出接口对象的类生成输出 标志； 所述服务管理模块用于对所述服务应用输出的服务和注册服务进行管理， 管理功能包 括： 安装服务、 管理客户应用的请求服务、 获取指定服务标识的注册服务接口和服务接口、 查询指定服 务是否授权使用； 所述运行环境包括虚拟机， 用于执行所述客户应用和服务应用， 所述客户应用和所述 服务应用执行时受所述运行环境 实现的防火墙机制保护， 所述防火墙机制保证客户应用不 能访问服务应用拥有的对 象， 服务应用也不能访问客户应用拥有的对 象； 所述虚拟机根据 所述输出标志允许所述客户应用跨所述防火墙机制调用服务应用的输出接口对 象实现的 输出接口方法， 实现所述 客户应用和所述 服务应用间的通信； 所述服务访问模块由所述运行环境实现， 用于代替客户应用请求所述服务应用的输出 接口方法， 所述 客户应用通过 所述服务访问模块使用所述 服务应用的输出服 务。 2.根据权利要求1所述的在 资源受限装置 中实现应用间协作的系统， 其特征在于， 由所 述服务应用确定并实现注册服务采用何种认证客户的方式， 当采用挑战/应答认证机制时， 所述服务应用和所述 客户应用预 先共享一个秘密数据。 3.根据权利要求2所述的在 资源受限装置 中实现应用间协作的系统， 其特征在于， 所述 服务管理模块以服 务应用超类的方式实现， 具体的服 务应用继承所述 服务应用超类。 4.根据权利要求1所述的在 资源受限装置 中实现应用间协作的系统， 其特征在于， 所述 运行环境 通过应用编程接口 的方式实现所述 服务访问模块。 5.根据权利要求1所述的在 资源受限装置 中实现应用间协作的系统， 其特征在于， 所述 服务访问模块还提供创建数组对象的影子数组对象功能， 用于实现所述客户应用和所述服 务应用间的数据共享， 所述影子数组对 象和源数组对 象具有相同的成员类型， 成员的存储 位置也相同， 所述影子数组对象被创建时指定的服 务应用所拥有。 6.使用权利要求1 ‑5任一项所述系统在资源受限装置中实现应用间协作的方法， 包括 以下步骤： S1、 客户应用发起服务请求， 向服务访问模块提供客户应用的标识和请求服务的服务 标识； S2、 服务访 问模块依据客户请求服务的服务标识查询服务应用， 调用服务应用提供的 注册服务接口方法获取服务应用对应的注册服务接口， 服务应用提供的注册服务接口方法 包含所述客户应用的标识， 客户应用通过注 册服务完成服 务应用对客户应用的认证； S3、 客户应用认证通过后， 服 务应用通过服 务管理模块注 册客户应用请求的服 务； S4、 客户应用通过服务访问模块调用服务应用提供的服务接口方法获取服务应用对应 的服务接口， 从而 使用请求的服 务。 7.根据权利要求6所述的在 资源受限装置 中实现应用间协作的方法， 其特征在于， 步骤 S2中所述 服务访问模块由应用编程接口方式实现时， 客户应用的认证过程具体为：权　利　要　求　书 1/2 页 2 CN 115361430 A 2应用编程接口根据所述客户应用的标识和请求服务的服务标识请求服务应用对应的 注册服务接口对象； 所述服务应用通过通用注 册服务接口的方式返回实现注 册服务的输出接口对象； 客户应用对所述通用注册服务接口进行类型转换， 客户应用调用对应的注册服务接口 方法； 客户应用调用所述注册服务接口方法可通过虚拟机的防火墙检查， 完成所述服务应用 对所述客户应用的认证。 8.根据权利要求7所述的在 资源受限装置 中实现应用间协作的方法， 其特征在于， 步骤 S3具体为： 服务管理模块使用客户应用的标识和请求服务的服务标识注册客户应用请求的服务， 并将授权状态保存在RAM区。 9.根据权利要求8所述的在 资源受限装置 中实现应用间协作的方法， 其特征在于， 步骤 S4中所述 客户应用使用服 务的过程具体为： 应用编程接口根据所述客户应用的标识和请求服务的服务标识请求服务应用对应的 服务接口对象； 所述服务管理模块根据客户应用的标识和请求服务的服务标识查询指定服务是否获 得授权使用； 如果已授权， 则服 务应用以通用服 务接口的方式返回实现服 务的输出接口对象； 客户应用对所述 通用服务接口进行类型转换， 客户应用调用对应的服 务接口方法； 客户应用调用所述服务接口方法可通过虚拟机的防火墙检查， 客户应用使用请求的服 务。 10.根据权利要求7 ‑9任一项所述的在 资源受限装置 中实现应用间协作的方法， 其特征 在于， 客户应用根据需要调用服务访问模块创建数组对 象的影子数组对 象， 实现客户应用 和服务应用间的数据交换， 具体步骤 包括： 客户应用调用应用编程接口为指定服务应用创建自己拥有的源数组对象的影子数组 对象， 影子数组对象为所述 服务应用所拥有； 客户应用调用输出接口方法时， 将所述影子数组对象作为 参数传递给 所述服务应用； 所述服务应用通过所述影子数组对象参数访问所述影子数组对象， 读取客户应用的输 入数据或向所述影子数组对象写入数据， 实现将数据返回客户应用的功能； 当所述输出接口方法返回时， 客户应用通过读取影子数组对象的源数组获取所述服务 应用返回的数据。权　利　要　求　书 2/2 页 3 CN 115361430 A 3