應(yīng)用訪問(wèn)方法和設(shè)備的制作方法
【專利摘要】本發(fā)明提供一種應(yīng)用訪問(wèn)方法和設(shè)備,包括:應(yīng)用訪問(wèn)設(shè)備生成安全訪問(wèn)請(qǐng)求,所述安全訪問(wèn)請(qǐng)求用于請(qǐng)求為運(yùn)行在所述應(yīng)用訪問(wèn)設(shè)備上的應(yīng)用提供應(yīng)用安全服務(wù);所述應(yīng)用訪問(wèn)設(shè)備根據(jù)所述安全訪問(wèn)請(qǐng)求,生成密鑰對(duì),所述密鑰對(duì)包括公鑰和私鑰;所述應(yīng)用訪問(wèn)設(shè)備使用所述公鑰向證書服務(wù)器申請(qǐng)獲得數(shù)字證書,并且所述應(yīng)用訪問(wèn)設(shè)備通過(guò)所述數(shù)字證書與應(yīng)用服務(wù)器建立連接;所述應(yīng)用訪問(wèn)設(shè)備在與所述應(yīng)用服務(wù)器建立連接之后,使用所述私鑰對(duì)所述應(yīng)用訪問(wèn)設(shè)備和應(yīng)用服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。本發(fā)明減少了對(duì)安全外設(shè)的依賴。
【專利說(shuō)明】應(yīng)用訪問(wèn)方法和設(shè)備
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù),尤其涉及一種應(yīng)用訪問(wèn)方法和設(shè)備。
【背景技術(shù)】
[0002]目前的很多應(yīng)用對(duì)安全性要求很高,比如,網(wǎng)上銀行客戶端、證券交易客戶端等,當(dāng)用戶在自己的應(yīng)用訪問(wèn)設(shè)備例如個(gè)人電腦上使用上述的應(yīng)用進(jìn)行涉及資金方面的交易時(shí),通常都會(huì)使用USB key等專用加密設(shè)備,實(shí)現(xiàn)交易過(guò)程中的加解密等安全方案,以保證交易過(guò)程的安全性,即增強(qiáng)訪問(wèn)該應(yīng)用時(shí)的安全性?,F(xiàn)有技術(shù)中,上述的專用加密設(shè)備內(nèi)部一般都存儲(chǔ)有與該應(yīng)用對(duì)應(yīng)的一些安全信息,例如數(shù)字證書、私鑰等;在應(yīng)用的訪問(wèn)過(guò)程中,應(yīng)用會(huì)使用該專用加密設(shè)備中的上述安全信息進(jìn)行安全認(rèn)證、數(shù)據(jù)加密等處理,從而保證應(yīng)用訪問(wèn)的安全。
[0003]但是這種方式的缺陷在于,應(yīng)用訪問(wèn)的安全性對(duì)于專用加密設(shè)備這些外設(shè)的依賴性太強(qiáng),如果用戶沒(méi)有攜帶所述的專用加密設(shè)備,則無(wú)法安全地進(jìn)行應(yīng)用訪問(wèn),可能對(duì)用戶的工作造成影響,非常不方便;并且,對(duì)于不同的應(yīng)用還需要使用為該應(yīng)用定制的專用加密設(shè)備,假設(shè)用戶既要使用網(wǎng)上銀行客戶端,又要使用證券交易客戶端,則可能需要攜帶和使用兩個(gè)專用加密設(shè)備??傊?,目前的保證應(yīng)用安全訪問(wèn)的方法由于對(duì)外設(shè)依賴性太強(qiáng)而造成應(yīng)用訪問(wèn)的不便。
【發(fā)明內(nèi)容】
[0004]本發(fā)明提供一種應(yīng)用訪問(wèn)方法和設(shè)備,以減少對(duì)安全外設(shè)的依賴。
[0005]第一方面,提供一種應(yīng)用訪問(wèn)方法,所述方法包括:應(yīng)用訪問(wèn)設(shè)備生成安全訪問(wèn)請(qǐng)求,所述安全訪問(wèn)請(qǐng)求用于請(qǐng)求為運(yùn)行在所述應(yīng)用訪問(wèn)設(shè)備上的應(yīng)用提供應(yīng)用安全服務(wù);所述應(yīng)用訪問(wèn)設(shè)備根據(jù)所述安全訪問(wèn)請(qǐng)求,生成密鑰對(duì),所述密鑰對(duì)包括公鑰和私鑰;所述應(yīng)用訪問(wèn)設(shè)備使用所述公鑰向證書服務(wù)器申請(qǐng)獲得數(shù)字證書,并且所述應(yīng)用訪問(wèn)設(shè)備通過(guò)所述數(shù)字證書與應(yīng)用服務(wù)器建立連接;所述應(yīng)用訪問(wèn)設(shè)備在與所述應(yīng)用服務(wù)器建立連接之后,使用所述私鑰對(duì)所述應(yīng)用訪問(wèn)設(shè)備和應(yīng)用服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。
[0006]結(jié)合第一方面,在第一種可能的實(shí)現(xiàn)方式中,所述應(yīng)用訪問(wèn)設(shè)備生成安全訪問(wèn)請(qǐng)求之后,進(jìn)一步包括:所述應(yīng)用訪問(wèn)設(shè)備存儲(chǔ)所述數(shù)字證書與所述應(yīng)用的對(duì)應(yīng)關(guān)系。
[0007]結(jié)合第一方面的第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中,在所述應(yīng)用訪問(wèn)設(shè)備生成安全訪問(wèn)請(qǐng)求之后,根據(jù)所述安全訪問(wèn)請(qǐng)求生成密鑰對(duì)之前,進(jìn)一步包括:所述應(yīng)用訪問(wèn)設(shè)備根據(jù)所述對(duì)應(yīng)關(guān)系,檢測(cè)是否已經(jīng)存儲(chǔ)與所述應(yīng)用對(duì)應(yīng)的數(shù)字證書;在檢測(cè)結(jié)果為是時(shí),直接執(zhí)行通過(guò)存儲(chǔ)的所述數(shù)字證書與應(yīng)用服務(wù)器建立連接。
[0008]第二方面,提供一種應(yīng)用訪問(wèn)方法,所述方法包括:應(yīng)用訪問(wèn)設(shè)備接收應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求,所述安全訪問(wèn)請(qǐng)求用于請(qǐng)求為運(yùn)行在所述應(yīng)用運(yùn)行設(shè)備上的應(yīng)用提供應(yīng)用安全服務(wù);所述應(yīng)用訪問(wèn)設(shè)備根據(jù)所述安全訪問(wèn)請(qǐng)求,生成密鑰對(duì),所述密鑰對(duì)包括公鑰和私鑰;所述應(yīng)用訪問(wèn)設(shè)備將所述公鑰發(fā)送至所述應(yīng)用運(yùn)行設(shè)備,以使得所述應(yīng)用運(yùn)行設(shè)備使用所述公鑰向證書服務(wù)器申請(qǐng)獲得數(shù)字證書,并且所述應(yīng)用運(yùn)行設(shè)備通過(guò)所述數(shù)字證書與應(yīng)用服務(wù)器建立連接;所述應(yīng)用訪問(wèn)設(shè)備在所述應(yīng)用運(yùn)行設(shè)備與所述應(yīng)用服務(wù)器建立連接之后,使用所述私鑰對(duì)所述應(yīng)用運(yùn)行設(shè)備和應(yīng)用服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。
[0009]結(jié)合第二方面,在第一種可能的實(shí)現(xiàn)方式中,所述接收應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求,包括:所述應(yīng)用訪問(wèn)設(shè)備接收與所述應(yīng)用訪問(wèn)設(shè)備通過(guò)USB連接、WIFI連接、NFC連接中的任意一種進(jìn)行連接的所述應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求。
[0010]結(jié)合第二方面或第二方面的第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中,所述應(yīng)用訪問(wèn)設(shè)備接收應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求,包括:所述應(yīng)用訪問(wèn)設(shè)備通過(guò)PKCS#11接口,接收所述應(yīng)用運(yùn)行設(shè)備發(fā)送的所述安全訪問(wèn)請(qǐng)求。
[0011]結(jié)合第二方面或第二方面的第一種可能的實(shí)現(xiàn)方式,在第三種可能的實(shí)現(xiàn)方式中,所述應(yīng)用訪問(wèn)設(shè)備將所述公鑰發(fā)送至所述應(yīng)用運(yùn)行設(shè)備之后,進(jìn)一步包括:所述應(yīng)用訪問(wèn)設(shè)備接收所述應(yīng)用運(yùn)行設(shè)備發(fā)送的所述數(shù)字證書,并存儲(chǔ)所述數(shù)字證書與所述應(yīng)用的對(duì)應(yīng)關(guān)系。
[0012]結(jié)合第二方面的第三種可能的實(shí)現(xiàn)方式,在第四種可能的實(shí)現(xiàn)方式中,在所述應(yīng)用訪問(wèn)設(shè)備接收應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求之后,根據(jù)所述安全訪問(wèn)請(qǐng)求生成密鑰對(duì)之前,進(jìn)一步包括:所述應(yīng)用訪問(wèn)設(shè)備根據(jù)所述對(duì)應(yīng)關(guān)系,檢測(cè)是否已經(jīng)存儲(chǔ)與所述應(yīng)用對(duì)應(yīng)的數(shù)字證書;在檢測(cè)結(jié)果為是時(shí),直接執(zhí)行將存儲(chǔ)的所述數(shù)字證書發(fā)送至所述應(yīng)用運(yùn)行設(shè)備,以使得所述應(yīng)用運(yùn)行設(shè)備使用所述數(shù)字證書與應(yīng)用服務(wù)器建立連接。
[0013]第三方面,提供一種應(yīng)用訪問(wèn)設(shè)備,包括:接口單元、加密單元和應(yīng)用處理單元;所述接口單元,用于接收應(yīng)用訪問(wèn)設(shè)備生成的安全訪問(wèn)請(qǐng)求,所述安全訪問(wèn)請(qǐng)求用于請(qǐng)求為運(yùn)行在所述應(yīng)用訪問(wèn)設(shè)備上的應(yīng)用提供應(yīng)用安全服務(wù);所述加密單元,用于根據(jù)所述安全訪問(wèn)請(qǐng)求,生成密鑰對(duì),所述密鑰對(duì)包括公鑰和私鑰;以及,在與所述應(yīng)用服務(wù)器建立連接之后,使用所述私鑰對(duì)所述應(yīng)用訪問(wèn)設(shè)備和應(yīng)用服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理;所述應(yīng)用處理單元,用于使用所述公鑰向證書服務(wù)器申請(qǐng)獲得數(shù)字證書,并且通過(guò)所述數(shù)字證書與應(yīng)用服務(wù)器建立連接。
[0014]結(jié)合第三方面,在第一種可能的實(shí)現(xiàn)方式中,所述加密單元,進(jìn)一步用于存儲(chǔ)所述數(shù)字證書與所述應(yīng)用的對(duì)應(yīng)關(guān)系。
[0015]結(jié)合第三方面的第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中,所述加密單元,進(jìn)一步用于在所述接口單元接收所述安全訪問(wèn)請(qǐng)求之后,根據(jù)所述安全訪問(wèn)請(qǐng)求生成密鑰對(duì)之前,根據(jù)存儲(chǔ)的所述對(duì)應(yīng)關(guān)系,檢測(cè)是否已經(jīng)存儲(chǔ)與所述應(yīng)用對(duì)應(yīng)的數(shù)字證書;所述應(yīng)用處理單元,進(jìn)一步用于在所述加密單元的檢測(cè)結(jié)果為是時(shí),直接執(zhí)行通過(guò)存儲(chǔ)的所述數(shù)字證書與應(yīng)用服務(wù)器建立連接。
[0016]第四方面,提供一種應(yīng)用訪問(wèn)設(shè)備,所述應(yīng)用訪問(wèn)設(shè)備與應(yīng)用運(yùn)行設(shè)備建立通信連接,所述應(yīng)用訪問(wèn)設(shè)備包括:接口單元和加密單元;
[0017]所述接口單元,用于接收所述應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求,所述安全訪問(wèn)請(qǐng)求用于請(qǐng)求為運(yùn)行在所述應(yīng)用運(yùn)行設(shè)備上的應(yīng)用提供應(yīng)用安全服務(wù);以及將所述加密單元將所述公鑰發(fā)送至所述應(yīng)用運(yùn)行設(shè)備,以使得所述應(yīng)用運(yùn)行設(shè)備使用所述公鑰向證書服務(wù)器申請(qǐng)獲得數(shù)字證書,并且所述應(yīng)用運(yùn)行設(shè)備通過(guò)所述數(shù)字證書與應(yīng)用服務(wù)器建立連接;
[0018]所述加密單元,用于根據(jù)所述安全訪問(wèn)請(qǐng)求,生成密鑰對(duì),所述密鑰對(duì)包括公鑰和私鑰;以及,在所述應(yīng)用運(yùn)行設(shè)備與所述應(yīng)用服務(wù)器建立連接之后,使用所述私鑰對(duì)所述應(yīng)用運(yùn)行設(shè)備和應(yīng)用服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。
[0019]結(jié)合第四方面,在第一種可能的實(shí)現(xiàn)方式中,所述接口單元,用于接收與所述應(yīng)用訪問(wèn)設(shè)備通過(guò)USB連接、WIFI連接、NFC連接中的任意一種進(jìn)行連接的所述應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求。
[0020]結(jié)合第四方面、或第四方面的第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中,所述接口單元為PKCS#11接口。
[0021]結(jié)合第四方面、或第四方面的第一種可能的實(shí)現(xiàn)方式,在第三種可能的實(shí)現(xiàn)方式中,所述接口單元,進(jìn)一步用于在將所述公鑰發(fā)送至所述應(yīng)用運(yùn)行設(shè)備之后,接收所述應(yīng)用運(yùn)行設(shè)備發(fā)送的所述數(shù)字證書;所述加密單元,進(jìn)一步用于存儲(chǔ)所述數(shù)字證書與所述應(yīng)用的對(duì)應(yīng)關(guān)系。
[0022]結(jié)合第四方面的第三種可能的實(shí)現(xiàn)方式,在第四種可能的實(shí)現(xiàn)方式中,所述加密單元,進(jìn)一步用于在所述接口單元接收應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求之后,根據(jù)所述安全訪問(wèn)請(qǐng)求生成密鑰對(duì)之前,根據(jù)存儲(chǔ)的所述對(duì)應(yīng)關(guān)系,檢測(cè)是否已經(jīng)存儲(chǔ)與所述應(yīng)用對(duì)應(yīng)的數(shù)字證書;所述接口單元,進(jìn)一步用于在所述加密單元的檢測(cè)結(jié)果為是時(shí),直接執(zhí)行將所述加密單元存儲(chǔ)的所述數(shù)字證書發(fā)送至所述應(yīng)用運(yùn)行設(shè)備,以使得所述應(yīng)用運(yùn)行設(shè)備使用所述數(shù)字證書與應(yīng)用服務(wù)器建立連接。
[0023]本發(fā)明提供的應(yīng)用訪問(wèn)方法和設(shè)備的技術(shù)效果是:通過(guò)由應(yīng)用訪問(wèn)設(shè)備根據(jù)應(yīng)用的安全訪問(wèn)請(qǐng)求而生成密鑰對(duì),使得應(yīng)用可以使用該密鑰對(duì)進(jìn)行數(shù)字證書的申請(qǐng)以及數(shù)據(jù)的加密處理,從而增強(qiáng)了該應(yīng)用訪問(wèn)設(shè)備自身的安全能力,使得該應(yīng)用訪問(wèn)設(shè)備可以提供對(duì)應(yīng)用訪問(wèn)的安全保證,不再需要在該應(yīng)用訪問(wèn)設(shè)備的外部另外增加使用安全外設(shè),減少了對(duì)安全外設(shè)的依賴。
【專利附圖】
【附圖說(shuō)明】
[0024]為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案,下面將對(duì)實(shí)施例描述中所需要使用的附圖作一簡(jiǎn)單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0025]圖1為本發(fā)明應(yīng)用訪問(wèn)設(shè)備一實(shí)施例的結(jié)構(gòu)示意圖;
[0026]圖2為本發(fā)明應(yīng)用訪問(wèn)設(shè)備另一實(shí)施例的工作原理示意圖;
[0027]圖3為本發(fā)明應(yīng)用訪問(wèn)設(shè)備又一實(shí)施例的結(jié)構(gòu)示意圖;
[0028]圖4為本發(fā)明應(yīng)用訪問(wèn)設(shè)備又一實(shí)施例的工作原理示意圖;
[0029]圖5為本發(fā)明應(yīng)用訪問(wèn)設(shè)備又一實(shí)施例的工作原理不意圖;
[0030]圖6為本發(fā)明應(yīng)用訪問(wèn)設(shè)備又一實(shí)施例的結(jié)構(gòu)示意圖;
[0031]圖7為本發(fā)明應(yīng)用訪問(wèn)設(shè)備又一實(shí)施例的結(jié)構(gòu)示意圖;
[0032]圖8為本發(fā)明應(yīng)用訪問(wèn)方法一實(shí)施例的流程示意圖;
[0033]圖9為本發(fā)明應(yīng)用訪問(wèn)方法一實(shí)施例的流程示意圖?!揪唧w實(shí)施方式】
[0034]本發(fā)明實(shí)施例為了使得應(yīng)用的訪問(wèn)減少對(duì)USB Key等安全外設(shè)的依賴,對(duì)應(yīng)用訪問(wèn)設(shè)備自身進(jìn)行了安全能力的增強(qiáng),使得在不需要使用安全外設(shè)的基礎(chǔ)上,由應(yīng)用訪問(wèn)設(shè)備對(duì)應(yīng)用訪問(wèn)提供安全保護(hù)。
[0035]所述的應(yīng)用指的是,例如,網(wǎng)上銀行、證券交易等。所述的應(yīng)用訪問(wèn)設(shè)備指的是該應(yīng)用在使用時(shí)所用到的設(shè)備,例如,用戶在自己的平板電腦上啟動(dòng)了網(wǎng)上銀行應(yīng)用,并使用該網(wǎng)上銀行的服務(wù),則該平板電腦就稱為應(yīng)用訪問(wèn)設(shè)備;又例如,用戶在自己的筆記本上使用證券交易應(yīng)用,該應(yīng)用在使用過(guò)程中還用到了另一個(gè)設(shè)備比如平板電腦上所提供的密鑰對(duì),則本實(shí)施例是將所述的提供密鑰對(duì)的平板電腦稱為應(yīng)用訪問(wèn)設(shè)備。這些在后續(xù)的具體實(shí)施例中還會(huì)詳細(xì)說(shuō)明,總之本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備是指的能夠?yàn)閼?yīng)用提供安全保護(hù)服務(wù)的設(shè)備(比如上述的提供密鑰對(duì)的平板電腦)。
[0036]本發(fā)明實(shí)施例的應(yīng)用訪問(wèn)方法,是上述的應(yīng)用訪問(wèn)設(shè)備所執(zhí)行的方法,即本發(fā)明實(shí)施例是對(duì)應(yīng)用訪問(wèn)設(shè)備進(jìn)行了改進(jìn),使得該設(shè)備自身的安全能力增強(qiáng),能夠?yàn)閼?yīng)用的訪問(wèn)提供安全服務(wù),從而也使得應(yīng)用訪問(wèn)的方法有所變更?;诖耍瑸槭沟帽景l(fā)明的方案描述更加清楚,下面將首先對(duì)該應(yīng)用訪問(wèn)設(shè)備的結(jié)構(gòu)進(jìn)行說(shuō)明。
[0037]本發(fā)明實(shí)施例的應(yīng)用訪問(wèn)設(shè)備,既可以為運(yùn)行在該設(shè)備上的應(yīng)用提供安全服務(wù),也可以為運(yùn)行在其他設(shè)備上的應(yīng)用提供安全服務(wù),所以該應(yīng)用訪問(wèn)設(shè)備可以有兩種不同的結(jié)構(gòu)。下面將分別描述上述兩種情況下的應(yīng)用訪問(wèn)設(shè)備的結(jié)構(gòu)、以及對(duì)應(yīng)結(jié)構(gòu)下的應(yīng)用訪問(wèn)設(shè)備的工作原理:
[0038]實(shí)施例一
[0039]圖1為本發(fā)明應(yīng)用訪問(wèn)設(shè)備一實(shí)施例的結(jié)構(gòu)示意圖,本實(shí)施例所述結(jié)構(gòu)的應(yīng)用訪問(wèn)設(shè)備可以為運(yùn)行在該設(shè)備上的應(yīng)用提供安全服務(wù);如圖1所示,該應(yīng)用訪問(wèn)設(shè)備可以包括:接口單元U、加密單元12和應(yīng)用處理單元13 ;
[0040]其中,所述的接口單元11,是用于接收用于請(qǐng)求提供應(yīng)用安全服務(wù)的安全訪問(wèn)請(qǐng)求;所述的安全訪問(wèn)請(qǐng)求指的是,例如,在使用網(wǎng)上銀行的應(yīng)用時(shí),當(dāng)涉及到資金交易方面的操作,比如用戶點(diǎn)擊觸發(fā)網(wǎng)上銀行上的某個(gè)步驟,此時(shí)網(wǎng)上銀行運(yùn)行所在的設(shè)備要連接網(wǎng)上銀行對(duì)應(yīng)的應(yīng)用服務(wù)器,為了保證該設(shè)備與應(yīng)用服務(wù)器之間的通信安全,需要建立安全連接,因此設(shè)備就會(huì)向本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備發(fā)送所述的安全訪問(wèn)請(qǐng)求,請(qǐng)求提供安全服務(wù)例如是請(qǐng)求生成密鑰對(duì)。接口單元11會(huì)根據(jù)該安全訪問(wèn)請(qǐng)求指示加密單元12進(jìn)行輔助應(yīng)用建立所述安全連接的加密處理。
[0041]本實(shí)施例中,應(yīng)用訪問(wèn)設(shè)備上安裝和運(yùn)行應(yīng)用,該應(yīng)用訪問(wèn)設(shè)備自身生成所述的安全訪問(wèn)請(qǐng)求。例如,本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備上安裝和運(yùn)行網(wǎng)上銀行應(yīng)用,則上述安全訪問(wèn)請(qǐng)求實(shí)際上是由該應(yīng)用訪問(wèn)設(shè)備中的應(yīng)用處理單元(該應(yīng)用處理單元是調(diào)用執(zhí)行網(wǎng)上銀行應(yīng)用的模塊)發(fā)送安全訪問(wèn)請(qǐng)求至接口單元11。
[0042]當(dāng)然,上述的安全訪問(wèn)請(qǐng)求具體是在應(yīng)用訪問(wèn)設(shè)備調(diào)用執(zhí)行應(yīng)用的哪個(gè)步驟時(shí)發(fā)送,比如在筆記本上運(yùn)行網(wǎng)上銀行,當(dāng)該網(wǎng)上銀行運(yùn)行至何時(shí)筆記本需要發(fā)送安全訪問(wèn)請(qǐng)求,可以由應(yīng)用開發(fā)者設(shè)定;只要在需要保證應(yīng)用訪問(wèn)安全性時(shí),設(shè)計(jì)該應(yīng)用自動(dòng)觸發(fā)應(yīng)用訪問(wèn)設(shè)備向接口單元11發(fā)送安全訪問(wèn)請(qǐng)求,即可由本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備為應(yīng)用提供安全服務(wù)。
[0043]所述的加密單元12,用于根據(jù)所述安全訪問(wèn)請(qǐng)求,生成密鑰對(duì),所述密鑰對(duì)包括公鑰和私鑰;生成密鑰對(duì)的操作可以采用例如RSA (RSA公鑰加密算法是1977年由RonRivest、Adi Shamirh和LenAdleman在美國(guó)麻省理工學(xué)院開發(fā)的,RSA取名來(lái)自開發(fā)他們?nèi)叩拿?等常規(guī)技術(shù),不再詳述。所述生成的公鑰將由加密單元12發(fā)送至接口單元11,接口單元11再將該公鑰發(fā)送至應(yīng)用處理單元13。
[0044]所述應(yīng)用處理單元13,用于使用所述公鑰向證書服務(wù)器(即數(shù)字證書認(rèn)證中心(Certificate Authority,簡(jiǎn)稱:CA服務(wù)器))申請(qǐng)獲得數(shù)字證書(證書服務(wù)器將采用該公鑰生成數(shù)字證書),該數(shù)字證書是與該應(yīng)用唯一對(duì)應(yīng)的證書;并且所述應(yīng)用訪問(wèn)設(shè)備將通過(guò)該數(shù)字證書與應(yīng)用服務(wù)器建立安全連接。
[0045]其中,將本實(shí)施例的應(yīng)用訪問(wèn)過(guò)程與現(xiàn)有技術(shù)相比較,現(xiàn)有技術(shù)的數(shù)字證書是直接存儲(chǔ)在USB Key等專用加密設(shè)備中,應(yīng)用在運(yùn)行時(shí)的應(yīng)用訪問(wèn)設(shè)備將直接使用加密設(shè)備中的數(shù)字證書與應(yīng)用服務(wù)器建立安全連接;而本實(shí)施例的應(yīng)用在運(yùn)行時(shí)是由應(yīng)用訪問(wèn)設(shè)備內(nèi)部的加密單元為其生成公鑰,應(yīng)用訪問(wèn)設(shè)備自身使用該公鑰進(jìn)行數(shù)字證書的申請(qǐng)并通過(guò)該證書建立與應(yīng)用服務(wù)器的連接。
[0046]上述區(qū)別的好處在于:由于數(shù)字證書相當(dāng)于應(yīng)用的身份證,不同的應(yīng)用對(duì)應(yīng)于不同的數(shù)字證書,所以現(xiàn)有技術(shù)中將數(shù)字證書預(yù)先存儲(chǔ)在USB Key等加密設(shè)備中的方式,也使得加密設(shè)備與應(yīng)用具有對(duì)應(yīng)性,例如,某銀行的網(wǎng)上銀行使用的是加密設(shè)備A,另一個(gè)銀行的網(wǎng)上銀行使用的是加密設(shè)備B,證券交易使用的加密設(shè)備C等,不僅需要用戶隨身攜帶加密設(shè)備,而且使用該多個(gè)應(yīng)用時(shí)還需要攜帶多個(gè)不同的加密設(shè)備,非常不方便,效率較低。而本實(shí)施例的方案,應(yīng)用訪問(wèn)設(shè)備中的加密單元能夠在應(yīng)用的訪問(wèn)過(guò)程中實(shí)時(shí)為該應(yīng)用提供密鑰對(duì),應(yīng)用能夠?qū)崟r(shí)申請(qǐng)數(shù)字證書,這種加密單元不是對(duì)應(yīng)于某種特定的應(yīng)用的,各種應(yīng)用都可以使用該加密單元;例如,用戶的平板電腦即為所述的應(yīng)用訪問(wèn)設(shè)備,該平板電腦上運(yùn)行了網(wǎng)上銀行、證券交易兩種應(yīng)用,這兩種應(yīng)用在運(yùn)行時(shí)平板電腦都可以請(qǐng)求加密單元為其生成密鑰對(duì),這種生成密鑰對(duì)的服務(wù)可以為任意應(yīng)用提供,各個(gè)應(yīng)用在獲得公鑰后各自再申請(qǐng)與自身對(duì)應(yīng)的數(shù)字證書即可。顯然,采用本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備,可以為各種應(yīng)用提供服務(wù),非常方便,且提高了應(yīng)用的訪問(wèn)效率。
[0047]所述的應(yīng)用訪問(wèn)設(shè)備通過(guò)所述數(shù)字證書與應(yīng)用服務(wù)器建立連接的過(guò)程是常規(guī)技術(shù),簡(jiǎn)單說(shuō)明如下:應(yīng)用訪問(wèn)設(shè)備向應(yīng)用服務(wù)器發(fā)送連接請(qǐng)求,攜帶與應(yīng)用對(duì)應(yīng)的數(shù)字證書,應(yīng)用服務(wù)器會(huì)將該數(shù)字證書發(fā)送至鑒權(quán)服務(wù)器(即VA服務(wù)器)進(jìn)行驗(yàn)證,如果鑒權(quán)服務(wù)器對(duì)該證書驗(yàn)證通過(guò),則應(yīng)用服務(wù)器就會(huì)向應(yīng)用訪問(wèn)設(shè)備返回連接響應(yīng),建立與該應(yīng)用訪問(wèn)設(shè)備之間的連接,由于該連接是在證書驗(yàn)證通過(guò)后再建立的,因此可以保證應(yīng)用訪問(wèn)設(shè)備和應(yīng)用服務(wù)器之間的通信安全,即為安全連接。其中,上述的鑒權(quán)服務(wù)器對(duì)證書的驗(yàn)證,是該鑒權(quán)服務(wù)器利用從證書服務(wù)器處接收到的數(shù)字證書與從應(yīng)用服務(wù)器接收的證書進(jìn)行比較,如果兩者一致則驗(yàn)證通過(guò),證書服務(wù)器在為應(yīng)用分配數(shù)字證書時(shí)同時(shí)也會(huì)將證書發(fā)送至鑒權(quán)服務(wù)器,以備鑒權(quán)服務(wù)器此時(shí)進(jìn)行證書的驗(yàn)證工作。
[0048]本實(shí)施例的加密單元12,進(jìn)一步用于在應(yīng)用訪問(wèn)設(shè)備與所述應(yīng)用服務(wù)器建立連接之后,使用所述私鑰對(duì)所述應(yīng)用訪問(wèn)設(shè)備和應(yīng)用服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。
[0049]這里所述的加密處理包括了:對(duì)應(yīng)用訪問(wèn)設(shè)備與應(yīng)用服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密,在應(yīng)用訪問(wèn)設(shè)備側(cè)加密后發(fā)送至應(yīng)用服務(wù)器(例如應(yīng)用訪問(wèn)設(shè)備利用私鑰加密數(shù)據(jù),應(yīng)用服務(wù)器利用公鑰解密獲得數(shù)據(jù),該公鑰是應(yīng)用訪問(wèn)設(shè)備發(fā)送至應(yīng)用服務(wù)器的),也包括了對(duì)所述數(shù)據(jù)進(jìn)行解密,對(duì)應(yīng)用服務(wù)器發(fā)送至應(yīng)用訪問(wèn)設(shè)備的數(shù)據(jù)進(jìn)行解密(例如應(yīng)用服務(wù)器利用公鑰加密數(shù)據(jù),應(yīng)用訪問(wèn)設(shè)備利用私鑰解密獲得數(shù)據(jù))。
[0050]本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備,通過(guò)由應(yīng)用訪問(wèn)設(shè)備根據(jù)用于請(qǐng)求提供應(yīng)用安全服務(wù)的安全訪問(wèn)請(qǐng)求而生成密鑰對(duì),使得應(yīng)用訪問(wèn)設(shè)備可以使用該密鑰對(duì)進(jìn)行數(shù)字證書的申請(qǐng)以及數(shù)據(jù)的加密處理,建立與應(yīng)用服務(wù)器的安全連接,從而增強(qiáng)了該應(yīng)用訪問(wèn)設(shè)備自身的安全能力,使得該應(yīng)用訪問(wèn)設(shè)備可以提供對(duì)應(yīng)用訪問(wèn)的安全保證,不再需要在該應(yīng)用訪問(wèn)設(shè)備的外部另外增加使用安全外設(shè),減少了對(duì)安全外設(shè)的依賴。
[0051]本發(fā)明實(shí)施例的應(yīng)用訪問(wèn)設(shè)備,既可以為運(yùn)行在該設(shè)備上的應(yīng)用提供安全服務(wù),也可以為運(yùn)行在其他設(shè)備上的應(yīng)用提供安全服務(wù),下面以實(shí)施例二和實(shí)施例三描述這兩種情況下的應(yīng)用訪問(wèn)設(shè)備的工作原理。
[0052]實(shí)施例二
[0053]本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備是為運(yùn)行在該設(shè)備上的應(yīng)用提供安全服務(wù),圖2為本發(fā)明應(yīng)用訪問(wèn)設(shè)備另一實(shí)施例的工作原理示意圖。
[0054]如圖2所示,本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備以平板電腦為例,應(yīng)用以網(wǎng)上銀行為例,網(wǎng)上銀行是運(yùn)行在平板電腦上的應(yīng)用,因此,該平板電腦既是應(yīng)用訪問(wèn)設(shè)備(即為應(yīng)用提供安全服務(wù)的設(shè)備)又是應(yīng)用運(yùn)行設(shè)備(即安裝和運(yùn)行應(yīng)用的設(shè)備)。本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備中進(jìn)一步包括應(yīng)用處理單元13,該應(yīng)用處理單元13用于調(diào)用和執(zhí)行網(wǎng)上銀行應(yīng)用;并且該應(yīng)用處理單元13能夠與接口單元11通信交互。此外,由于本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備同時(shí)也是應(yīng)用運(yùn)行設(shè)備,該應(yīng)用訪問(wèn)設(shè)備還能夠與應(yīng)用服務(wù)器、證書服務(wù)器通信連接,本實(shí)施例中,是由應(yīng)用訪問(wèn)設(shè)備中的收發(fā)單元14與上述服務(wù)器通信的。
[0055]具體的,應(yīng)用處理單元13調(diào)用執(zhí)行網(wǎng)上銀行,網(wǎng)上銀行開始在該平板電腦上運(yùn)行;在運(yùn)行過(guò)程中(比如用戶在該平板電腦上啟動(dòng)使用網(wǎng)上銀行),根據(jù)網(wǎng)上銀行的設(shè)定,在某個(gè)運(yùn)行時(shí)間應(yīng)用處理單元13將會(huì)根據(jù)該網(wǎng)上銀行的預(yù)先設(shè)定發(fā)起安全訪問(wèn)請(qǐng)求,該安全訪問(wèn)請(qǐng)求將發(fā)送至接口單元11。例如,本實(shí)施例的平板電腦中安裝android系統(tǒng),運(yùn)行在該系統(tǒng)中的網(wǎng)上銀行等應(yīng)用在運(yùn)行時(shí)應(yīng)用處理單元13可以向接口單元11發(fā)送安全訪問(wèn)請(qǐng)求。接口單元11根據(jù)該安全訪問(wèn)請(qǐng)求指示加密單元12執(zhí)行生成密鑰對(duì)的服務(wù),加密單元12生成的公鑰將通過(guò)接口單元11返回給應(yīng)用處理單元13。應(yīng)用處理單元13將該公鑰發(fā)送給收發(fā)單元14,指示收發(fā)單元14利用該公鑰向證書服務(wù)器申請(qǐng)數(shù)字證書,并使用該證書與應(yīng)用服務(wù)器建立安全連接。
[0056]需要說(shuō)明的是,所述的收發(fā)單元14僅僅是平板電腦與服務(wù)器通信的接口,實(shí)際要與服務(wù)器進(jìn)行數(shù)據(jù)傳輸?shù)娜匀皇菓?yīng)用處理單元13,比如,應(yīng)用處理單元13在調(diào)用運(yùn)行網(wǎng)上銀行時(shí),要向應(yīng)用服務(wù)器傳輸數(shù)據(jù),該數(shù)據(jù)是由應(yīng)用處理單元13發(fā)給收發(fā)單元14,收發(fā)單元14僅負(fù)責(zé)將數(shù)據(jù)轉(zhuǎn)發(fā)給應(yīng)用服務(wù)器,本質(zhì)上仍是應(yīng)用處理單元13與應(yīng)用服務(wù)器之間的通信。
[0057]此外,在平板電腦與應(yīng)用服務(wù)器建立連接之后,應(yīng)用處理單元13在向應(yīng)用服務(wù)器發(fā)送數(shù)據(jù)時(shí),可以將該數(shù)據(jù)通過(guò)接口單元11發(fā)送至加密單元12,由加密單元12對(duì)該數(shù)據(jù)加密后再通過(guò)接口單元11返回給應(yīng)用處理單元13,應(yīng)用處理單元13再指示收發(fā)單元14傳輸所述數(shù)據(jù)至應(yīng)用服務(wù)器。應(yīng)用處理單元13在從收發(fā)單元14接收到應(yīng)用服務(wù)器發(fā)送的數(shù)據(jù)時(shí),可以將該數(shù)據(jù)通過(guò)接口單元11發(fā)送至加密單元12,由加密單元12對(duì)該數(shù)據(jù)解密后再通過(guò)接口單元11返回給應(yīng)用處理單元13,應(yīng)用處理單元13獲得該數(shù)據(jù),通過(guò)該數(shù)據(jù)繼續(xù)運(yùn)行網(wǎng)上銀行。即網(wǎng)上銀行與其應(yīng)用服務(wù)器之間的數(shù)據(jù)加解密處理也由加密單元12負(fù)責(zé)。
[0058]實(shí)施例三
[0059]圖3為本發(fā)明應(yīng)用訪問(wèn)設(shè)備又一實(shí)施例的結(jié)構(gòu)示意圖,本實(shí)施例所述結(jié)構(gòu)的應(yīng)用訪問(wèn)設(shè)備可以為運(yùn)行在其他設(shè)備上的應(yīng)用提供安全服務(wù),該其他設(shè)備可以稱為應(yīng)用運(yùn)行設(shè)備;如圖3所示,該應(yīng)用訪問(wèn)設(shè)備可以包括:接口單元31和加密單元32 ;
[0060]其中,所述的接口單元31,是用于接收用于請(qǐng)求提供應(yīng)用安全服務(wù)的安全訪問(wèn)請(qǐng)求;所述的安全訪問(wèn)請(qǐng)求指的是,例如,在使用網(wǎng)上銀行的應(yīng)用時(shí),當(dāng)涉及到資金交易方面的操作,比如用戶點(diǎn)擊觸發(fā)網(wǎng)上銀行上的某個(gè)步驟,此時(shí)網(wǎng)上銀行運(yùn)行所在的設(shè)備要連接網(wǎng)上銀行對(duì)應(yīng)的應(yīng)用服務(wù)器,為了保證該設(shè)備與應(yīng)用服務(wù)器之間的通信安全,需要建立安全連接,因此設(shè)備就會(huì)向本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備發(fā)送所述的安全訪問(wèn)請(qǐng)求,請(qǐng)求提供安全服務(wù)例如是請(qǐng)求生成密鑰對(duì)。接口單元31會(huì)根據(jù)該安全訪問(wèn)請(qǐng)求指示加密單元32進(jìn)行輔助應(yīng)用建立所述安全連接的加密處理。
[0061]本實(shí)施例中,發(fā)送上述的安全訪問(wèn)請(qǐng)求的設(shè)備,是安裝和運(yùn)行應(yīng)用的應(yīng)用運(yùn)行設(shè)備,該應(yīng)用運(yùn)行設(shè)備是本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備之外的其他設(shè)備。例如,網(wǎng)上銀行應(yīng)用是安裝和運(yùn)行在其他設(shè)備上,并不在本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備,比如是運(yùn)行在某個(gè)筆記本上,則上述安全訪問(wèn)請(qǐng)求是由所述的筆記本發(fā)送給本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備的接口單元31。
[0062]當(dāng)然,上述的安全訪問(wèn)請(qǐng)求具體是在應(yīng)用運(yùn)行設(shè)備調(diào)用執(zhí)行應(yīng)用的哪個(gè)步驟時(shí)發(fā)送,比如在筆記本上運(yùn)行網(wǎng)上銀行,當(dāng)該網(wǎng)上銀行運(yùn)行至何時(shí)筆記本需要發(fā)送安全訪問(wèn)請(qǐng)求,可以由應(yīng)用開發(fā)者設(shè)定;只要在需要保證應(yīng)用訪問(wèn)安全性時(shí),設(shè)計(jì)該應(yīng)用自動(dòng)觸發(fā)應(yīng)用運(yùn)行設(shè)備向本實(shí)施例應(yīng)用訪問(wèn)設(shè)備的接口單元31發(fā)送安全訪問(wèn)請(qǐng)求,即可由本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備為應(yīng)用提供安全服務(wù)。
[0063]所述的加密單元32,用于根據(jù)所述安全訪問(wèn)請(qǐng)求,生成密鑰對(duì),所述密鑰對(duì)包括公鑰和私鑰;生成密鑰對(duì)的操作可以采用例如RSA等常規(guī)技術(shù),不再詳述。所述生成的公鑰將由加密單元32發(fā)送至接口單元31,再由接口單元31將公鑰發(fā)送至應(yīng)用運(yùn)行設(shè)備,以使得所述應(yīng)用運(yùn)行設(shè)備使用所述公鑰向證書服務(wù)器申請(qǐng)獲得數(shù)字證書,該數(shù)字證書是與該應(yīng)用唯一對(duì)應(yīng)的證書。所述應(yīng)用運(yùn)行設(shè)備將通過(guò)該數(shù)字證書與應(yīng)用服務(wù)器建立安全連接。
[0064]其中,將本實(shí)施例的應(yīng)用訪問(wèn)過(guò)程與現(xiàn)有技術(shù)相比較,現(xiàn)有技術(shù)的數(shù)字證書是直接存儲(chǔ)在USB Key等專用加密設(shè)備中,應(yīng)用在運(yùn)行時(shí)的應(yīng)用運(yùn)行設(shè)備將直接使用加密設(shè)備中的數(shù)字證書與應(yīng)用服務(wù)器建立安全連接;而本實(shí)施例的應(yīng)用在運(yùn)行時(shí)是由應(yīng)用運(yùn)行設(shè)備請(qǐng)求應(yīng)用訪問(wèn)設(shè)備中的加密單元為其生成公鑰,應(yīng)用運(yùn)行設(shè)備自身使用該公鑰進(jìn)行數(shù)字證書的申請(qǐng)并通過(guò)該證書建立與應(yīng)用服務(wù)器的連接。
[0065]上述區(qū)別的好處在于:由于數(shù)字證書相當(dāng)于應(yīng)用的身份證,不同的應(yīng)用對(duì)應(yīng)于不同的數(shù)字證書,所以現(xiàn)有技術(shù)中將數(shù)字證書預(yù)先存儲(chǔ)在USB Key等加密設(shè)備中的方式,也使得加密設(shè)備與應(yīng)用具有對(duì)應(yīng)性,例如,某銀行的網(wǎng)上銀行使用的是加密設(shè)備A,另一個(gè)銀行的網(wǎng)上銀行使用的是加密設(shè)備B,證券交易使用的加密設(shè)備C等,不僅需要用戶隨身攜帶加密設(shè)備,而且使用該多個(gè)應(yīng)用時(shí)還需要攜帶多個(gè)不同的加密設(shè)備,非常不方便,效率較低。而本實(shí)施例的方案,應(yīng)用訪問(wèn)設(shè)備中的加密單元能夠在應(yīng)用的訪問(wèn)過(guò)程中實(shí)時(shí)為該應(yīng)用提供密鑰對(duì),應(yīng)用能夠?qū)崟r(shí)申請(qǐng)數(shù)字證書,這種加密單元不是對(duì)應(yīng)于某種特定的應(yīng)用的,各種應(yīng)用都可以使用該加密單元;例如,用戶的平板電腦即為所述的應(yīng)用訪問(wèn)設(shè)備,該平板電腦上運(yùn)行了網(wǎng)上銀行、證券交易兩種應(yīng)用,這兩種應(yīng)用在運(yùn)行時(shí)平板電腦都可以請(qǐng)求加密單元為其生成密鑰對(duì),這種生成密鑰對(duì)的服務(wù)可以為任意應(yīng)用提供,各個(gè)應(yīng)用在獲得公鑰后各自再申請(qǐng)與自身對(duì)應(yīng)的數(shù)字證書即可。顯然,采用本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備,可以為各種應(yīng)用提供服務(wù),非常方便,且提高了應(yīng)用的訪問(wèn)效率。
[0066]所述的應(yīng)用運(yùn)行設(shè)備通過(guò)所述數(shù)字證書與應(yīng)用服務(wù)器建立連接的過(guò)程是常規(guī)技術(shù),簡(jiǎn)單說(shuō)明如下:應(yīng)用運(yùn)行設(shè)備向應(yīng)用服務(wù)器發(fā)送連接請(qǐng)求,攜帶與應(yīng)用對(duì)應(yīng)的數(shù)字證書,應(yīng)用服務(wù)器會(huì)將該數(shù)字證書發(fā)送至鑒權(quán)服務(wù)器(即VA服務(wù)器)進(jìn)行驗(yàn)證,如果鑒權(quán)服務(wù)器對(duì)該證書驗(yàn)證通過(guò),則應(yīng)用服務(wù)器就會(huì)向應(yīng)用運(yùn)行設(shè)備返回連接響應(yīng),建立與該應(yīng)用運(yùn)行設(shè)備之間的連接,由于該連接是在證書驗(yàn)證通過(guò)后再建立的,因此可以保證應(yīng)用運(yùn)行設(shè)備和應(yīng)用服務(wù)器之間的通信安全,即為安全連接。其中,上述的鑒權(quán)服務(wù)器對(duì)證書的驗(yàn)證,是該鑒權(quán)服務(wù)器利用從證書服務(wù)器處接收到的數(shù)字證書與從應(yīng)用服務(wù)器接收的證書進(jìn)行比較,如果兩者一致則驗(yàn)證通過(guò),證書服務(wù)器在為應(yīng)用分配數(shù)字證書時(shí)同時(shí)也會(huì)將證書發(fā)送至鑒權(quán)服務(wù)器,以備鑒權(quán)服務(wù)器此時(shí)進(jìn)行證書的驗(yàn)證工作。
[0067]本實(shí)施例的加密單元32,進(jìn)一步用于在應(yīng)用運(yùn)行設(shè)備與所述應(yīng)用服務(wù)器建立連接之后,使用所述私鑰對(duì)所述應(yīng)用運(yùn)行設(shè)備和應(yīng)用服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。
[0068]這里所述的加密處理包括了:對(duì)應(yīng)用運(yùn)行設(shè)備與應(yīng)用服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密,在應(yīng)用運(yùn)行設(shè)備側(cè)加密后發(fā)送至應(yīng)用服務(wù)器(例如應(yīng)用運(yùn)行設(shè)備利用私鑰加密數(shù)據(jù),應(yīng)用服務(wù)器利用公鑰解密獲得數(shù)據(jù),該公鑰是應(yīng)用運(yùn)行設(shè)備發(fā)送至應(yīng)用服務(wù)器的),也包括了對(duì)所述數(shù)據(jù)進(jìn)行解密,對(duì)應(yīng)用服務(wù)器發(fā)送至應(yīng)用運(yùn)行設(shè)備的數(shù)據(jù)進(jìn)行解密(例如應(yīng)用服務(wù)器利用公鑰加密數(shù)據(jù),應(yīng)用運(yùn)行設(shè)備利用私鑰解密獲得數(shù)據(jù))。
[0069]本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備,通過(guò)由應(yīng)用訪問(wèn)設(shè)備根據(jù)用于請(qǐng)求提供應(yīng)用安全服務(wù)的安全訪問(wèn)請(qǐng)求而生成密鑰對(duì),使得應(yīng)用運(yùn)行設(shè)備可以使用該密鑰對(duì)進(jìn)行數(shù)字證書的申請(qǐng)以及數(shù)據(jù)的加密處理,建立與應(yīng)用服務(wù)器的安全連接,從而增強(qiáng)了該應(yīng)用訪問(wèn)設(shè)備自身的安全能力,使得該應(yīng)用訪問(wèn)設(shè)備可以提供對(duì)應(yīng)用訪問(wèn)的安全保證,不再需要在該應(yīng)用訪問(wèn)設(shè)備的外部另外增加使用安全外設(shè),減少了對(duì)安全外設(shè)的依賴。
[0070]實(shí)施例四
[0071]本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備是為運(yùn)行在其他設(shè)備上的應(yīng)用提供安全服務(wù),該其他設(shè)備是與本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備通過(guò)外部連接進(jìn)行通信的設(shè)備。圖4為本發(fā)明應(yīng)用訪問(wèn)設(shè)備又一實(shí)施例的工作原理示意圖。
[0072]如圖4所示,本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備以平板電腦為例,外部設(shè)備以筆記本為例,應(yīng)用以網(wǎng)上銀行為例,網(wǎng)上銀行是運(yùn)行在筆記本上的應(yīng)用,因此,平板電腦是應(yīng)用訪問(wèn)設(shè)備,筆記本是應(yīng)用運(yùn)行設(shè)備。本實(shí)施例的筆記本和平板電腦上可以均設(shè)置收發(fā)單元,其中,筆記本上設(shè)置有應(yīng)用處理單元21和收發(fā)單元22,應(yīng)用處理單元21用于調(diào)用執(zhí)行安裝在筆記本上的網(wǎng)上銀行應(yīng)用,該筆記本能夠與應(yīng)用服務(wù)器和證書服務(wù)器通信,還能夠與平板電腦通信,由收發(fā)單元22作為筆記本與上述服務(wù)器和平板電腦通信的接口,例如,收發(fā)單元22可以將應(yīng)用處理單元21發(fā)送的安全訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給平板電腦,并將平板電腦返回的公鑰轉(zhuǎn)發(fā)至應(yīng)用處理單元21。平板電腦上也設(shè)置有收發(fā)單元33,作為平板電腦與筆記本通信的接口。
[0073]具體的,筆記本上的應(yīng)用處理單元21調(diào)用執(zhí)行網(wǎng)上銀行,網(wǎng)上銀行開始在筆記本上運(yùn)行;在運(yùn)行過(guò)程中(比如用戶在該平板電腦上啟動(dòng)使用網(wǎng)上銀行),根據(jù)網(wǎng)上銀行的設(shè)定,在某個(gè)運(yùn)行時(shí)間應(yīng)用處理單元21將會(huì)根據(jù)該網(wǎng)上銀行的預(yù)先設(shè)定發(fā)起安全訪問(wèn)請(qǐng)求,該安全訪問(wèn)請(qǐng)求將通過(guò)筆記本上的收發(fā)單元22、以及平板電腦上的收發(fā)單元33發(fā)送至平板電腦上的接口單元31。
[0074]接口單元31根據(jù)該安全訪問(wèn)請(qǐng)求指示加密單元32執(zhí)行生成密鑰對(duì)的服務(wù),加密單元32生成的公鑰將通過(guò)接口單元31以及上述的各收發(fā)單元返回給筆記本上的應(yīng)用處理單元21。應(yīng)用處理單元21再利用該公鑰向證書服務(wù)器申請(qǐng)數(shù)字證書,并使用該證書與應(yīng)用服務(wù)器建立安全連接,該過(guò)程中的與服務(wù)器的通信通過(guò)收發(fā)單元22轉(zhuǎn)發(fā)。
[0075]此外,在筆記本與其應(yīng)用服務(wù)器建立連接之后,本實(shí)施例的平板電腦上的加密單元32也可以負(fù)責(zé)應(yīng)用處理單元21與應(yīng)用服務(wù)器之間的數(shù)據(jù)加解密處理,過(guò)程與上一實(shí)施例類似。例如,應(yīng)用處理單元21在向應(yīng)用服務(wù)器發(fā)送數(shù)據(jù)時(shí),可以通過(guò)筆記本上的收發(fā)單元22、平板電腦上的收發(fā)單元33向接口單元31發(fā)送數(shù)據(jù)加密請(qǐng)求,攜帶需要加密的數(shù)據(jù);接口單元31據(jù)此指示加密單元32進(jìn)行數(shù)據(jù)加密處理;加密單元32對(duì)該數(shù)據(jù)加密后再通過(guò)接口單元31和上述各收發(fā)單元返回給筆記本上的應(yīng)用處理單元21,應(yīng)用處理單元21再指示收發(fā)單元22傳輸所述數(shù)據(jù)至應(yīng)用服務(wù)器。
[0076]本實(shí)施例中,所述的筆記本與平板電腦之間通過(guò)外部連接進(jìn)行通信,所述的外部連接例如是通用串行總線(Universal Serial BUS,簡(jiǎn)稱:USB)連接、WIFI連接、近場(chǎng)通信(Near Field Communication,簡(jiǎn)稱:NFC)連接中的任意一種,當(dāng)然具體實(shí)施中也可以是其他連接方式,以上幾種僅為舉例。例如,對(duì)于USB連接,筆記本可以通過(guò)USB 口向平板電腦上的接口單元31發(fā)送安全訪問(wèn)請(qǐng)求;對(duì)于WIFI連接,筆記本可以通過(guò)WIFI網(wǎng)絡(luò)接口與平板電腦上的接口單元31通信,其中的WIFI鏈路的安全由802.11協(xié)議保證;對(duì)于NFC連接,筆記本通過(guò)NFC接口與平板電腦通信,其中的NFC鏈路的安全由NFC協(xié)議保證。
[0077]實(shí)施例五
[0078]圖5為本發(fā)明應(yīng)用訪問(wèn)設(shè)備又一實(shí)施例的工作原理意圖,本實(shí)施例是以應(yīng)用在應(yīng)用訪問(wèn)設(shè)備內(nèi)部運(yùn)行為例來(lái)說(shuō)明,本實(shí)施例的原理也同樣適用于應(yīng)用在外部設(shè)備運(yùn)行的情況。
[0079]如圖5所示,平板電腦在向證書服務(wù)器申請(qǐng)獲得數(shù)字證書之后,收發(fā)單元14會(huì)將從證書服務(wù)器接收到的數(shù)字證書發(fā)送至應(yīng)用處理單元13,然后應(yīng)用處理單元13將該數(shù)字證書發(fā)送至接口單元11,接口單元11將該證書發(fā)送至加密單元12。其中,應(yīng)用處理單元13在向接口單元11發(fā)送數(shù)字證書時(shí),可以攜帶上該網(wǎng)上銀行應(yīng)用的標(biāo)識(shí),這樣接口單元11就可以將應(yīng)用標(biāo)識(shí)以及所述數(shù)字證書都發(fā)送至加密單元12。加密單元12存儲(chǔ)接收到的所述數(shù)字證書和應(yīng)用標(biāo)識(shí),并建立該數(shù)字證書與應(yīng)用標(biāo)識(shí)的對(duì)應(yīng)關(guān)系,也即是建立了數(shù)字證書與所述網(wǎng)上銀行應(yīng)用的對(duì)應(yīng)關(guān)系。
[0080]進(jìn)一步的,當(dāng)接口單元11將應(yīng)用處理單元13發(fā)送的安全訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)至加密單元12時(shí),即相當(dāng)于當(dāng)接口單元11指示加密單元12生成密鑰對(duì)時(shí),加密單元12將根據(jù)上述存儲(chǔ)的數(shù)字證書與所述應(yīng)用的對(duì)應(yīng)關(guān)系,檢測(cè)是否已經(jīng)存儲(chǔ)與所述應(yīng)用對(duì)應(yīng)的數(shù)字證書,當(dāng)然,上述的接口單元11會(huì)將網(wǎng)上銀行應(yīng)用的標(biāo)識(shí)發(fā)送至加密單元12。
[0081]在所述加密單元12的檢測(cè)結(jié)果為是時(shí),即存儲(chǔ)有網(wǎng)上銀行應(yīng)用的數(shù)字證書,則力口密單元12會(huì)通過(guò)接口單元11將存儲(chǔ)的所述數(shù)字證書發(fā)送至應(yīng)用處理單元13,此時(shí)應(yīng)用處理單元13將不需要再申請(qǐng)數(shù)字證書,而是直接使用所述數(shù)字證書與應(yīng)用服務(wù)器建立連接。
[0082]當(dāng)應(yīng)用在外部設(shè)備運(yùn)行時(shí),類似于圖4所示的情況,筆記本在向證書服務(wù)器申請(qǐng)獲得的數(shù)字證書后,筆記本上的收發(fā)單元22可以將該數(shù)字證書發(fā)送給平板電腦進(jìn)行存儲(chǔ);具體的,例如,筆記本上的收發(fā)單元22將數(shù)字證書發(fā)送至平板電腦的收發(fā)單元33,同時(shí)將與該證書對(duì)應(yīng)的在筆記本上運(yùn)行的應(yīng)用的應(yīng)用標(biāo)識(shí)也發(fā)送至收發(fā)單元33 ;該收發(fā)單元33再將數(shù)字證書和應(yīng)用標(biāo)識(shí)發(fā)送至接口單元31,接口單元31發(fā)送給加密單元32。該加密單元32就會(huì)存儲(chǔ)上述的數(shù)字證書和應(yīng)用標(biāo)識(shí),并建立起數(shù)字證書與應(yīng)用標(biāo)識(shí)的對(duì)應(yīng)關(guān)系。當(dāng)筆記本下一次要連接應(yīng)用服務(wù)器時(shí),筆記本上的應(yīng)用處理單元21就會(huì)指示收發(fā)單元22將應(yīng)用標(biāo)識(shí)發(fā)送至平板電腦,同樣按照上述的發(fā)送流程最終將應(yīng)用標(biāo)識(shí)發(fā)送至平板電腦的加密單元32。加密單元32將查詢是否存儲(chǔ)有與該應(yīng)用標(biāo)識(shí)對(duì)應(yīng)的數(shù)字證書,如果有,則加密單元32就可以按照上述的反向流程將所述數(shù)字證書發(fā)送給筆記本,這樣筆記本就不需要再次去證書服務(wù)器獲取證書了,而是直接使用該存儲(chǔ)的證書與應(yīng)用服務(wù)器建立連接即可。如果加密單元32查詢自身沒(méi)有存儲(chǔ)應(yīng)用標(biāo)識(shí)對(duì)應(yīng)的數(shù)字證書,則可以直接為筆記本開始進(jìn)行安全服務(wù),生成密鑰對(duì),將公鑰返回給筆記本,以使得筆記本使用該公鑰連接證書服務(wù)器去申請(qǐng)數(shù)字證書,相關(guān)過(guò)程可以參見上述實(shí)施例,不再詳述。
[0083]本實(shí)施例的方式,即相當(dāng)于應(yīng)用運(yùn)行設(shè)備在首次需要連接應(yīng)用服務(wù)器時(shí),由本實(shí)施例的應(yīng)用訪問(wèn)設(shè)備為其提供密鑰對(duì),用于應(yīng)用運(yùn)行設(shè)備使用該密鑰申請(qǐng)數(shù)字證書;并且,應(yīng)用運(yùn)行設(shè)備會(huì)將該申請(qǐng)的證書也發(fā)送至應(yīng)用訪問(wèn)設(shè)備進(jìn)行存儲(chǔ),這樣在應(yīng)用運(yùn)行設(shè)備下一次啟動(dòng)連接應(yīng)用服務(wù)器時(shí),應(yīng)用訪問(wèn)設(shè)備檢測(cè)如果已經(jīng)存儲(chǔ)有該應(yīng)用對(duì)應(yīng)的證書,則不再生成密鑰對(duì),直接將所述證書發(fā)送至應(yīng)用運(yùn)行設(shè)備,也提高了應(yīng)用訪問(wèn)的效率。
[0084]實(shí)施例六
[0085]在以上的各實(shí)施例中,應(yīng)用訪問(wèn)設(shè)備中的接口單元例如可以采用PKCS#11接口,所述加密單元例如可以是軟件或者加密芯片的實(shí)現(xiàn)方式。
[0086]圖6為本發(fā)明應(yīng)用訪問(wèn)設(shè)備又一實(shí)施例的結(jié)構(gòu)示意圖,如圖6所示,該設(shè)備是采用軟件方式,加密單元是軟加密模塊,即該加密單元的加密、解密等處理都是基于軟件算法實(shí)現(xiàn),支持常用的加密解密算法,例如,三重?cái)?shù)據(jù)加密算法(Triple Data EncryptionAlgorithm, 3DES)、AESRC4、消息摘要算法第五版(Message Digest Algorithm 5,MD5)、DSA和RSA等。該軟加密模塊提供的加密、解密、生成密鑰對(duì)、以及簽名、簽名驗(yàn)證等安全服務(wù)都通過(guò)PKCS# 11接口提供給應(yīng)用。
[0087]其中,這種軟件實(shí)現(xiàn)方式中,在加密單元執(zhí)行數(shù)據(jù)的加密、解密、生成密鑰對(duì)等各種處理過(guò)程中,會(huì)涉及到一些數(shù)據(jù)緩存或者數(shù)據(jù)存儲(chǔ),其使用的存儲(chǔ)介質(zhì)是應(yīng)用訪問(wèn)設(shè)備內(nèi)部的一些存儲(chǔ)介質(zhì),比如emmc芯片的存儲(chǔ)塊,存儲(chǔ)過(guò)程是通過(guò)對(duì)emmc芯片進(jìn)行輸入輸出(Input/Output,簡(jiǎn)稱:10)操作實(shí)現(xiàn),對(duì)應(yīng)用訪問(wèn)設(shè)備的文件系統(tǒng)不可見。
[0088]圖7為本發(fā)明應(yīng)用訪問(wèn)設(shè)備又一實(shí)施例的結(jié)構(gòu)示意圖,如圖7所示,該設(shè)備是采用硬件方式,加密單元是加密芯片,即該加密單元的加密、解密等處理都是由驅(qū)動(dòng)程序通過(guò)該加密芯片實(shí)現(xiàn),支持常用的加密解密算法。該加密芯片提供的加密、解密、簽名、簽名驗(yàn)證、生成密鑰對(duì)等安全服務(wù)都通過(guò)PKCS#11接口提供給應(yīng)用。
[0089]其中,這種硬件實(shí)現(xiàn)方式中,在加密單元執(zhí)行數(shù)據(jù)的加密、解密、生成密鑰對(duì)等各種處理過(guò)程中,涉及到的數(shù)據(jù)存儲(chǔ),其使用的存儲(chǔ)介質(zhì)是加密芯片內(nèi)置的存儲(chǔ)器,存儲(chǔ)過(guò)程是通過(guò)該加密芯片的IO操作實(shí)現(xiàn),對(duì)文件系統(tǒng)不可見(例如對(duì)android系統(tǒng)不可見)。
[0090]實(shí)施例七
[0091]本實(shí)施例提供一種應(yīng)用訪問(wèn)方法,該方法是由應(yīng)用訪問(wèn)設(shè)備執(zhí)行。
[0092]圖8為本發(fā)明應(yīng)用訪問(wèn)方法一實(shí)施例的流程示意圖,本實(shí)施例的方法是由為運(yùn)行在設(shè)備自身上的應(yīng)用提供安全服務(wù)的應(yīng)用訪問(wèn)設(shè)備執(zhí)行;本實(shí)施例對(duì)方法僅做簡(jiǎn)單描述,具體的執(zhí)行原理可以結(jié)合參見設(shè)備實(shí)施例所述。如圖8所示,可以包括:
[0093]801、所述應(yīng)用訪問(wèn)設(shè)備生成安全訪問(wèn)請(qǐng)求,所述安全訪問(wèn)請(qǐng)求用于請(qǐng)求為運(yùn)行在所述應(yīng)用訪問(wèn)設(shè)備上的應(yīng)用提供應(yīng)用安全服務(wù);
[0094]802、所述應(yīng)用訪問(wèn)設(shè)備根據(jù)所述安全訪問(wèn)請(qǐng)求,生成密鑰對(duì),所述密鑰對(duì)包括公鑰和私鑰;
[0095]803、所述應(yīng)用訪問(wèn)設(shè)備使用所述公鑰向證書服務(wù)器申請(qǐng)獲得數(shù)字證書,并且所述應(yīng)用訪問(wèn)設(shè)備通過(guò)所述數(shù)字證書與應(yīng)用服務(wù)器建立連接;
[0096]804、所述應(yīng)用訪問(wèn)設(shè)備在與所述應(yīng)用服務(wù)器建立連接之后,使用所述私鑰對(duì)所述應(yīng)用訪問(wèn)設(shè)備和應(yīng)用服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。
[0097]進(jìn)一步的,所述應(yīng)用訪問(wèn)設(shè)備生成安全訪問(wèn)請(qǐng)求之后,進(jìn)一步包括:所述應(yīng)用訪問(wèn)設(shè)備存儲(chǔ)所述數(shù)字證書與所述應(yīng)用的對(duì)應(yīng)關(guān)系。
[0098]進(jìn)一步的,在所述應(yīng)用訪問(wèn)設(shè)備生成安全訪問(wèn)請(qǐng)求之后,根據(jù)所述安全訪問(wèn)請(qǐng)求生成密鑰對(duì)之前,進(jìn)一步包括:所述應(yīng)用訪問(wèn)設(shè)備根據(jù)所述對(duì)應(yīng)關(guān)系,檢測(cè)是否已經(jīng)存儲(chǔ)與所述應(yīng)用對(duì)應(yīng)的數(shù)字證書;在檢測(cè)結(jié)果為是時(shí),則直接執(zhí)行通過(guò)存儲(chǔ)的所述數(shù)字證書與應(yīng)用服務(wù)器建立連接。
[0099]圖9為本發(fā)明應(yīng)用訪問(wèn)方法一實(shí)施例的流程示意圖,本實(shí)施例的方法是由為運(yùn)行在其他設(shè)備上的應(yīng)用提供安全服務(wù)的應(yīng)用訪問(wèn)設(shè)備執(zhí)行;本實(shí)施例對(duì)方法僅做簡(jiǎn)單描述,具體的執(zhí)行原理可以結(jié)合參見設(shè)備實(shí)施例所述。如圖9所示,可以包括:
[0100]901、所述應(yīng)用訪問(wèn)設(shè)備接收應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求,所述安全訪問(wèn)請(qǐng)求用于請(qǐng)求為運(yùn)行在所述應(yīng)用運(yùn)行設(shè)備上的應(yīng)用提供應(yīng)用安全服務(wù);
[0101]902、所述應(yīng)用訪問(wèn)設(shè)備根據(jù)所述安全訪問(wèn)請(qǐng)求,生成密鑰對(duì),所述密鑰對(duì)包括公鑰和私鑰;
[0102]903、所述應(yīng)用訪問(wèn)設(shè)備將所述公鑰發(fā)送至所述應(yīng)用運(yùn)行設(shè)備,以使得所述應(yīng)用運(yùn)行設(shè)備使用所述公鑰向證書服務(wù)器申請(qǐng)獲得數(shù)字證書,并且所述應(yīng)用運(yùn)行設(shè)備通過(guò)所述數(shù)字證書與應(yīng)用服務(wù)器建立連接;
[0103]904、所述應(yīng)用訪問(wèn)設(shè)備在所述應(yīng)用運(yùn)行設(shè)備與所述應(yīng)用服務(wù)器建立連接之后,使用所述私鑰對(duì)所述應(yīng)用運(yùn)行設(shè)備和應(yīng)用服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。
[0104]進(jìn)一步的,所述接收應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求,包括:所述應(yīng)用訪問(wèn)設(shè)備接收與所述應(yīng)用訪問(wèn)設(shè)備通過(guò)USB連接、WIFI連接、NFC連接中的任意一種進(jìn)行連接的所述應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求。
[0105]進(jìn)一步的,所述應(yīng)用訪問(wèn)設(shè)備具體是通過(guò)PKCS#11接口,接收所述應(yīng)用運(yùn)行設(shè)備發(fā)送的所述安全訪問(wèn)請(qǐng)求。
[0106]進(jìn)一步的,所述應(yīng)用訪問(wèn)設(shè)備將所述公鑰發(fā)送至所述應(yīng)用運(yùn)行設(shè)備之后,進(jìn)一步包括:所述應(yīng)用訪問(wèn)設(shè)備接收所述應(yīng)用運(yùn)行設(shè)備發(fā)送的所述數(shù)字證書,并存儲(chǔ)所述數(shù)字證書與所述應(yīng)用的對(duì)應(yīng)關(guān)系。
[0107]進(jìn)一步的,在所述應(yīng)用訪問(wèn)設(shè)備接收應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求之后,根據(jù)所述安全訪問(wèn)請(qǐng)求生成密鑰對(duì)之前,進(jìn)一步包括:所述應(yīng)用訪問(wèn)設(shè)備根據(jù)所述對(duì)應(yīng)關(guān)系,檢測(cè)是否已經(jīng)存儲(chǔ)與所述應(yīng)用對(duì)應(yīng)的數(shù)字證書;在檢測(cè)結(jié)果為是時(shí),則直接執(zhí)行將存儲(chǔ)的所述數(shù)字證書發(fā)送至所述應(yīng)用運(yùn)行設(shè)備,以使得所述應(yīng)用運(yùn)行設(shè)備使用所述數(shù)字證書與應(yīng)用服務(wù)器建立連接。
[0108]本領(lǐng)域普通技術(shù)人員可以理解:實(shí)現(xiàn)上述各方法實(shí)施例的全部或部分步驟可以通過(guò)程序指令相關(guān)的硬件來(lái)完成。前述程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。該程序在執(zhí)行時(shí),執(zhí)行包括上述各方法實(shí)施例的步驟;而前述存儲(chǔ)介質(zhì)包括:R0M、RAM、磁碟或者光盤等可以存儲(chǔ)程序代碼的介質(zhì)。
[0109]最后應(yīng)說(shuō)明的是:以上各實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案,而非對(duì)其限制;盡管參照前述各實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或者對(duì)其中部分或者全部技術(shù)特征進(jìn)行等同替換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的范圍。
【權(quán)利要求】
1.一種應(yīng)用訪問(wèn)方法,其特征在于,所述方法包括: 應(yīng)用訪問(wèn)設(shè)備生成安全訪問(wèn)請(qǐng)求,所述安全訪問(wèn)請(qǐng)求用于請(qǐng)求為運(yùn)行在所述應(yīng)用訪問(wèn)設(shè)備上的應(yīng)用提供應(yīng)用安全服務(wù); 所述應(yīng)用訪問(wèn)設(shè)備根據(jù)所述安全訪問(wèn)請(qǐng)求,生成密鑰對(duì),所述密鑰對(duì)包括公鑰和私鑰; 所述應(yīng)用訪問(wèn)設(shè)備使用所述公鑰向證書服務(wù)器申請(qǐng)獲得數(shù)字證書,并且所述應(yīng)用訪問(wèn)設(shè)備通過(guò)所述數(shù)字證書與應(yīng)用服務(wù)器建立連接; 所述應(yīng)用訪問(wèn)設(shè)備在 與所述應(yīng)用服務(wù)器建立連接之后,使用所述私鑰對(duì)所述應(yīng)用訪問(wèn)設(shè)備和應(yīng)用服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述應(yīng)用訪問(wèn)設(shè)備生成安全訪問(wèn)請(qǐng)求之后,進(jìn)一步包括: 所述應(yīng)用訪問(wèn)設(shè)備存儲(chǔ)所述數(shù)字證書與所述應(yīng)用的對(duì)應(yīng)關(guān)系。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,在所述應(yīng)用訪問(wèn)設(shè)備生成安全訪問(wèn)請(qǐng)求之后,根據(jù)所述安全訪問(wèn)請(qǐng)求生成密鑰對(duì)之前,進(jìn)一步包括: 所述應(yīng)用訪問(wèn)設(shè)備根據(jù)所述對(duì)應(yīng)關(guān)系,檢測(cè)是否已經(jīng)存儲(chǔ)與所述應(yīng)用對(duì)應(yīng)的數(shù)字證書; 在檢測(cè)結(jié)果為是時(shí),直接執(zhí)行通過(guò)存儲(chǔ)的所述數(shù)字證書與應(yīng)用服務(wù)器建立連接。
4.一種應(yīng)用訪問(wèn)方法,其特征在于,所述方法包括: 應(yīng)用訪問(wèn)設(shè)備接收應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求,所述安全訪問(wèn)請(qǐng)求用于請(qǐng)求為運(yùn)行在所述應(yīng)用運(yùn)行設(shè)備上的應(yīng)用提供應(yīng)用安全服務(wù); 所述應(yīng)用訪問(wèn)設(shè)備根據(jù)所述安全訪問(wèn)請(qǐng)求,生成密鑰對(duì),所述密鑰對(duì)包括公鑰和私鑰; 所述應(yīng)用訪問(wèn)設(shè)備將所述公鑰發(fā)送至所述應(yīng)用運(yùn)行設(shè)備,以使得所述應(yīng)用運(yùn)行設(shè)備使用所述公鑰向證書服務(wù)器申請(qǐng)獲得數(shù)字證書,并且所述應(yīng)用運(yùn)行設(shè)備通過(guò)所述數(shù)字證書與應(yīng)用服務(wù)器建立連接; 所述應(yīng)用訪問(wèn)設(shè)備在所述應(yīng)用運(yùn)行設(shè)備與所述應(yīng)用服務(wù)器建立連接之后,使用所述私鑰對(duì)所述應(yīng)用運(yùn)行設(shè)備和應(yīng)用服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述接收應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求,包括: 所述應(yīng)用訪問(wèn)設(shè)備接收與所述應(yīng)用訪問(wèn)設(shè)備通過(guò)USB連接、WIFI連接、NFC連接中的任意一種進(jìn)行連接的所述應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求。
6.根據(jù)權(quán)利要求4或5所述的方法,其特征在于,所述應(yīng)用訪問(wèn)設(shè)備接收應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求,包括: 所述應(yīng)用訪問(wèn)設(shè)備通過(guò)PKCS#11接口,接收所述應(yīng)用運(yùn)行設(shè)備發(fā)送的所述安全訪問(wèn)請(qǐng)求。
7.根據(jù)權(quán)利要求4或5所述的方法,其特征在于,所述應(yīng)用訪問(wèn)設(shè)備將所述公鑰發(fā)送至所述應(yīng)用運(yùn)行設(shè)備之后,進(jìn)一步包括: 所述應(yīng)用訪問(wèn)設(shè)備接收所述應(yīng)用運(yùn)行設(shè)備發(fā)送的所述數(shù)字證書,并存儲(chǔ)所述數(shù)字證書與所述應(yīng)用的對(duì)應(yīng)關(guān)系。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,在所述應(yīng)用訪問(wèn)設(shè)備接收應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求之后,根據(jù)所述安全訪問(wèn)請(qǐng)求生成密鑰對(duì)之前,進(jìn)一步包括: 所述應(yīng)用訪問(wèn)設(shè)備根據(jù)所述對(duì)應(yīng)關(guān)系,檢測(cè)是否已經(jīng)存儲(chǔ)與所述應(yīng)用對(duì)應(yīng)的數(shù)字證書; 在檢測(cè)結(jié)果為是時(shí),直接執(zhí)行將存儲(chǔ)的所述數(shù)字證書發(fā)送至所述應(yīng)用運(yùn)行設(shè)備,以使得所述應(yīng)用運(yùn)行設(shè)備使用所述數(shù)字證書與應(yīng)用服務(wù)器建立連接。
9.一種應(yīng)用訪問(wèn)設(shè)備,其特征在于,包括:接口單元、加密單元和應(yīng)用處理單元; 所述接口單元,用于接收應(yīng)用訪問(wèn)設(shè)備生成的安全訪問(wèn)請(qǐng)求,所述安全訪問(wèn)請(qǐng)求用于請(qǐng)求為運(yùn)行在所述應(yīng)用訪問(wèn)設(shè)備上的應(yīng)用提供應(yīng)用安全服務(wù); 所述加密單元,用于根據(jù)所述安全訪問(wèn)請(qǐng)求,生成密鑰對(duì),所述密鑰對(duì)包括公鑰和私鑰;以及,在與所述應(yīng)用服務(wù)器建立連接之后,使用所述私鑰對(duì)所述應(yīng)用訪問(wèn)設(shè)備和應(yīng)用服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理; 所述應(yīng)用處理單元,用于使用所述公鑰向證書服務(wù)器申請(qǐng)獲得數(shù)字證書,并且通過(guò)所述數(shù)字證書與應(yīng)用服務(wù)器建立連接。
10.權(quán)利要求9所述的應(yīng)用訪問(wèn)設(shè)備,其特征在于, 所述加密單元,進(jìn)一步用于存儲(chǔ)所述數(shù)字證書與所述應(yīng)用的對(duì)應(yīng)關(guān)系。
11.權(quán)利要求10所述的應(yīng)用訪問(wèn)設(shè)備,其特征在于, 所述加密單元,進(jìn)一步用于在所述接口單元接收所述安全訪問(wèn)請(qǐng)求之后,根據(jù)所述安全訪問(wèn)請(qǐng)求生成密鑰對(duì)之前,根據(jù)存儲(chǔ)的所述對(duì)應(yīng)關(guān)系,檢測(cè)是否已經(jīng)存儲(chǔ)與所述應(yīng)用對(duì)應(yīng)的數(shù)字證書; 所述應(yīng)用處理單元,進(jìn)一步用于在所述加密單元的檢測(cè)結(jié)果為是時(shí),直接執(zhí)行通過(guò)存儲(chǔ)的所述數(shù)字證書與應(yīng)用服務(wù)器建立連接。
12.—種應(yīng)用訪問(wèn)設(shè)備,其特征在于,所述應(yīng)用訪問(wèn)設(shè)備與應(yīng)用運(yùn)行設(shè)備建立通信連接,所述應(yīng)用訪問(wèn)設(shè)備包括:接口單元和加密單元; 所述接口單元,用于接收所述應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求,所述安全訪問(wèn)請(qǐng)求用于請(qǐng)求為運(yùn)行在所述應(yīng)用運(yùn)行設(shè)備上的應(yīng)用提供應(yīng)用安全服務(wù);以及將所述加密單元將所述公鑰發(fā)送至所述應(yīng)用運(yùn)行設(shè)備,以使得所述應(yīng)用運(yùn)行設(shè)備使用所述公鑰向證書服務(wù)器申請(qǐng)獲得數(shù)字證書,并且所述應(yīng)用運(yùn)行設(shè)備通過(guò)所述數(shù)字證書與應(yīng)用服務(wù)器建立連接;所述加密單元,用于根據(jù)所述安全訪問(wèn)請(qǐng)求,生成密鑰對(duì),所述密鑰對(duì)包括公鑰和私鑰;以及,在所述應(yīng)用運(yùn)行設(shè)備與所述應(yīng)用服務(wù)器建立連接之后,使用所述私鑰對(duì)所述應(yīng)用運(yùn)行設(shè)備和應(yīng)用服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。
13.根據(jù)權(quán)利要求12所述的設(shè)備,其特征在于, 所述接口單元,用于接收與所述應(yīng)用訪問(wèn)設(shè)備通過(guò)USB連接、WIFI連接、NFC連接中的任意一種進(jìn)行連接的所述應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求。
14.根據(jù)權(quán)利要求12或13所述的設(shè)備,其特征在于,所述接口單元為PKCS#11接口。
15.根據(jù)權(quán)利要求12或13所述的設(shè)備,其特征在于, 所述接口單元,進(jìn)一步用于在將所述公鑰發(fā)送至所述應(yīng)用運(yùn)行設(shè)備之后,接收所述應(yīng)用運(yùn)行設(shè)備發(fā)送的所述數(shù)字證書; 所述加密單元,進(jìn)一步用于存儲(chǔ)所述數(shù)字證書與所述應(yīng)用的對(duì)應(yīng)關(guān)系。
16.根據(jù)權(quán)利要求15所述的設(shè)備,其特征在于, 所述加密單元,進(jìn)一步用于在所述接口單元接收應(yīng)用運(yùn)行設(shè)備發(fā)送的安全訪問(wèn)請(qǐng)求之后,根據(jù)所述安全訪問(wèn)請(qǐng)求生成密鑰對(duì)之前,根據(jù)存儲(chǔ)的所述對(duì)應(yīng)關(guān)系,檢測(cè)是否已經(jīng)存儲(chǔ)與所述應(yīng)用對(duì)應(yīng)的數(shù)字證書; 所述接口單元,進(jìn)一步用于在所述加密單元的檢測(cè)結(jié)果為是時(shí),直接執(zhí)行將所述加密單元存儲(chǔ)的所述數(shù)字證書發(fā)送至所述應(yīng)用運(yùn)行設(shè)備,以使得所述應(yīng)用運(yùn)行設(shè)備使用所述數(shù)字證書與應(yīng)用服務(wù)器建立連接。
【文檔編號(hào)】H04L29/06GK103973647SQ201310038423
【公開日】2014年8月6日 申請(qǐng)日期:2013年1月31日 優(yōu)先權(quán)日:2013年1月31日
【發(fā)明者】劉小元, 孫增才, 何慶建 申請(qǐng)人:華為終端有限公司