[发明专利]一种SDK验证方法和系统

说明书

本发明涉及SDK验证方法和系统，属于SDK技术领域。其中，所述方法包括：根据第三方对接源接入请求中的secret值获取第三方对接源的包名和签名，根据第三方对接源接入请求中的应用ID获取第三方对接源的安全值；基于所述secret值、所述应用ID、所述包名和签名计算校验值；以及比较所述校验值与所述第三方对接源的安全值。本发明采用第三方对接源的包名、签名、服务端密钥等作为参数，利用数学方程原理，对第三方对接源的安全性进行验证，提高了第三方对接源接入的安全率。

技术领域

本发明涉及一种SDK(Software Development Kit，软件开发工具包)技术领域，特别地涉及一种SDK验证方法和系统。

背景技术

SDK是指特定的软件包、软件框架、硬件平台或操作系统等在创建具体应用软件时使用的开发工具的集合。随着互联网行业的发展，出现了可以实现各种功能的SDK。例如，当一个电商平台接入了支付宝SDK时，可以实现在线支付功能，用以完成在线交易；在社交平台接入直播SDK，可以实现在线直播的功能。因而，SDK的出现极大地便利了软件的开发。

对于SDK的提供方而言，接收第三方对接源的接入请求，并对第三方对接源进行安全验证，验证通过后，向第三方对接源提供其请求的SDK。在SDK接入成功后，SDK的提供方向第三方对接源提供内部代码、数据和文档等，因而，对第三方对接源的安全验证至关重要。

在第三方对接源注册时，SDK服务端将第三方对接源提供的包名按照预定的加密方式进行加密得到校验key，并提供给第三方对接源。第三方对接源在接入SDK时，需要向SDK客户端传入此校验值key。在随后的通信中，SDK客户端会将此校验key及包名一同发送给SDK服务端，与服务端存储的校验key进行合法性对比，如果二者一致，则对第三方对接源的安全验证通过，否则不能通过安全校验。

通过上述安全验证的过程可见，现有的SDK安全验证过于简单，仅是采用第三方对接源的包名来进行安全验证，验证方案过于简单，容易破解。并且，当恶意第三方对接源使用一个合法第三方对接源的包名后，便可以通过安全验证，因而目前的SDK与第三方对接源对接时的安全性不高。

发明内容

针对现有技术中存在的技术问题，本发明提出了一种SDK验证方法和系统,用于对SDK的对接源进行安全验证，提高SDK接入的安全性。

为了解决上述技术问题，本发明提供了一种SDK验证方法，其中，包括以下步骤：根据第三方对接源接入请求中的secret值获取第三方对接源的包名和签名，根据第三方对接源接入请求中的应用ID获取第三方对接源的安全值；基于所述secret值、所述应用ID、所述包名和签名计算校验值；以及比较所述校验值与所述第三方对接源的安全值。

优选地，所述的SDK验证方法进一步包括：利用所述应用ID生成自变量，利用secret值、所述包名和签名中的一个或多个生成常量，利用曲线方程计算所述校验值。

优选地，所述的SDK验证方法进一步包括：利用所述secret值生成自变量，利用应用ID、所述包名和签名中的一个或多个生成常量，利用曲线方程计算所述校验值。

优选地，利用所述secret值、应用ID或者所述包名和签名生成常量包括如下步骤：对所述secret值、应用ID、或所述包名和签名中的一者或多者进行哈希计算。

优选地，利用抛物线方程计算校验值。

优选地，所述抛物线方程中所述应用ID为自变量，以所述包名、签名和secret值为常量。

优选地，所述secret值是在所述第三方对接源在SDK服务器注册时，由所述SDK服务器对包名加密生成，或者对包名和签名加密生成。

优选地，所述应用ID为在所述SDK服务器生成secret值同时，赋予第三方对接源的权限标识。