专利名称:实现应用操作安全认证方法及其设备的制作方法
技术领域:
本发明涉及信息安全领域,尤其涉及实现应用操作安全认证的方法及其设备。
背景技术:
随着网上银行的发展,作为网上银行客户端的安全设备也越来越广泛。 USB (Universal Serial BUS,通用串行总线)Key作为USB接口设备中的一种,它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥和数字证书,利用USB Key内置的公钥算法实现对用户身份的认证;由于用户私钥保存在密码锁中,因此在一定程度上来说很难被恶意读取,因此保证了用户认证的安全性;由于USB Key的上述优点,从而在进行网银交易签名的过程中,都采用USB Key来进行用户身份认证。虽然利用USB Key对用户身份认证的安全性较高,但是随着不法分子和恶意程序 (如木马)的攻击技术越来越好,对USB Key进行破解则成为可能,比如说,不法分子通过远程访问用户的USB Key,或者在本地植入恶意程序并通过非法调用USB Key厂商的应用接口对USB Key中保存的用户保密数据进行篡改等恶意操作;在用户进行应用操作时,恶意干扰,或者在应用操作过程中用户已获得权限(如用户已验证通过口令)之后,非法插入指令,读取或篡改用户保密数据,导致现有USB key的安全性较低。
发明内容
针对现有技术中在通过USB Key进行应用操作时,易于被不法分子恶意中断应用操作、恶意篡改操作指令等而导致应用操作失败的问题,本发明实施例提供一种实现应用操作安全认证的方法及其设备,以提高使用USB Key进行应用操作的安全性,提高执行应用操作的成功率。一种实现应用操作安全认证的方法,包括接收应用发送的用于申请本次应用操作对应的传输标签的请求;为本次应用操作随机生成对应的传输标签并存储,将生成的所述传输标签发送给所述应用;接收所述应用发送的用于实现本次应用操作的操作指令,所述操作指令中携带有所述操作指令对应的传输标签,所述操作指令对应的传输标签根据所述本次应用操作对应的传输标签生成;根据所述操作指令对应的传输标签与所述本次应用操作对应的传输标签进行验证,若验证通过,则根据所述操作指令进行相应的处理。较佳地,所述操作指令对应的传输标签为所述应用根据约定的算法对所述本次应用操作对应的传输标签进行处理后所得到的传输标签,所述根据所述操作指令对应的传输标签与所述本次应用操作对应的传输标签进行验证,具体为根据约定的算法对所述操作指令对应的传输标签进行处理,得到处理后的传输标签,并将处理后的传输标签与存储的所述本次应用操作对应的传输标签进行比较,若相同,则验证通过。较佳地,在将随机生成的本次应用操作对应的传输标签发送给所述应用时,还包括向所述应用发送本地存储的用于指示各操作指令对应的传输标签在相应的操作指令中的位置的位置序列;接收到所述应用发送的操作指令时,根据本地存储的位置序列,确定出接收到的操作指令对应的传输标签在该操作指令中的位置,并根据该位置获取与该操作指令对应的传输标签。较佳地,上述方法包括接收所述应用发送的注销所述本次应用操作对应的传输标签的请求注销为本次应用操作生成的传输标签。较佳地,在接收到所述应用发送的注销所述本次应用操作对应的传输标签的请求之前,还包括接收到所述应用再次发送的申请本次应用操作对应的传输标签的请求时,拒绝为本次应用操作生成对应的传输标签;和/或,在接收到所述应用发送的注销所述本次应用操作对应的传输标签的请求之后,还包括判断是否已经接收到所述应用发送的用于实现本次应用操作的所有操作指令,若否则拒绝注销本次应用操作对应的传输标签。较佳地,当处理完所有用于实现本次应用操作的操作指令时,启动定时器;若在定时器超时时,还没有收到所述应用发送的注销本次应用操作对应的传输标签的请求,则注销本次应用操作对应的传输标签。一种实现应用操作安全认证的方法,包括向通用串行总线USB接口设备发送用于申请本次应用操作对应的传输标签的请求;接收所述USB接口设备返回的为本次应用操作生成的对应的传输标签;向所述USB接口设备发送用于实现本次应用操作的操作指令,所述操作指令中携带有所述操作指令对应的传输标签,所述操作指令对应的传输标签根据所述本次应用操作对应的传输标签生成。较佳地,所述操作指令对应的传输标签为所述应用根据约定的算法对所述本次应用操作对应的传输标签进行处理后所得到的传输标签。较佳地,在接收到所述USB接口设备返回的本次应用操作对应的传输标签时,还接收所述USB接口设备发送的用于指示各操作指令对应的传输标签在相应的操作指令中的位置的位置序列;针对所述每个操作指令,根据所述位置序列确定出所述每个操作指令对应的传输标签在所述没个操作指令中的位置,并在该位置中插入所述每个操作指令对应的传输标签。较佳地,当向所述USB接口设备发送所有用于实现本次应用操作的操作指令之后,向所述USB接口设备发送注销本次应用操作对应的传输标签的请求,以请求所述USB接口设备注销本次应用操作对应的传输标签。一种实现应用操作安全认证的设备,包括接收单元,用于接收应用发送的用于申请本次应用操作对应的传输标签的请求; 以及用于接收所述应用发送的用于实现本次应用操作的操作指令,所述操作指令中携带有所述操作指令对应的传输标签,所述操作指令对应的传输标签根据所述本次应用操作对应的传输标签生成;发送单元,用于在所述接收单元接收到所述用于申请本次应用操作对应的传输标签的请求时,为本次应用操作随机生成对应的传输标签并存储,将生成的本次应用操作对应的传输标签发送给所述应用;认证单元,用于在所述接收单元接收到的所述操作指令时,根据所述操作指令对应的传输标签与所述本次应用操作对应的传输标签进行验证,若验证通过,则根据所述操作指令进行相应的处理。较佳地,当所述操作指令对应的传输标签为所述应用根据约定的算法对所述本次应用操作对应的传输标签进行处理所得到的传输标签时,还包括处理单元,用于在所述认证单元将所述操作指令对应的传输标签与本次应用操作对应的传输标签进行验证之前,根据约定的算法对所述操作指令对应的传输标签进行处理,得到处理后的传输标签,并将处理后的传输标签发送给所述认证单元。较佳地,所述发送单元进一步用于,在将随机生成的本次应用操作对应的传输标签发送给所述应用时,还向所述应用发送本地存储的用于指示各操作指令对应的传输标签在相应的操作指令中的位置的位置序列;所述接收单元,具体用于接收到所述应用发送的操作指令时,根据本地存储的所述位置序列,确定出接收到的操作指令对应的传输标签在该操作指令中的位置,并根据该位置获取与该操作指令所对应的传输标签。较佳地,所述接收单元进一步用于,接收所述应用发送的注销所述本次应用操作对应的传输标签的请求,并注销所述发送单元为本次应用操作生成的传输标签。较佳地,所述接收单元进一步用于,在接收到所述应用发送的注销所述本次应用操作对应的传输标签的请求之前,接收到所述应用再次发送的申请本次应用操作对应的传输标签的请求时,指示所述发送单元拒绝为本次应用操作生成对应的传输标签;和/或,所述接收单元进一步用于,在接收到所述应用发送的注销所述本次应用操作对应的传输标签的请求之后,判断是否已经接收到所述应用发送的用于实现本次应用操作的所有操作指令,若否则拒绝注销本次应用操作对应的传输标签。较佳地,所述接收单元进一步用于,在所述认证单元处理完所有用于实现本次应用操作的操作指令时,启动定时器;并在定时器超时时,还没有收到所述应用发送的注销本次应用操作对应的传输标签的请求,则注销本次应用操作对应的传输标签。一种实现应用操作安全认证的设备,包括发送单元,用于向通用串行总线USB接口设备发送用于申请本次应用操作对应的传输标签的请求; 接收单元,用于接收所述USB接口设备返回的为本次应用操作生成的对应的传输标签;处理单元,用于根据本次应用操作对应的传输标签生成用于实现本次应用操作的操作指令对应的传输标签,并将所述操作指令对应的传输标签附在所述操作指令中,并通过发送单元向所述USB接口设备发送附有对应的传输标签的所述操作指令。较佳地,所述接收单元进一步用于,在接收到所述USB接口设备返回的本次应用操作对应的传输标签时,还接收所述USB接口设备发送的用于指示各操作指令对应的传输标签在相应的操作指令中的位置的位置序列;所述处理单元在操作指令中插入相应的传输标签,具体用于针对所述每个操作指令,根据所述位置序列确定出所述每个操作指令对应的传输标签在所述每个操作指令中的位置,并在该位置中插入所述每个操作指令对应的传输标签。较佳地,所述发送单元进一步用于,在向所述USB接口设备发送所有用于实现本次应用操作的操作指令之后,向所述USB接口设备发送注销本次应用操作对应的传输标签的请求,以请求所述USB接口设备注销本次应用操作对应的传输标签。本发明实施例中,USB接口设备在接收到应用发送的用于申请本次应用操作对应的传输标签的请求时,为本次应用操作随机生成对应的传输标签并存储,将生成的所述本次应用操作对应的传输标签发送给所述应用;接收所述应用发送的用于实现本次应用操作的携带有对应的传输标签的操作指令时,根据所述操作指令对应的传输标签与所述本次应用操作对应的传输标签进行验证,若验证通过,则根据所述操作指令进行相应的处理;因此,采用本发明技术方案,由于在执行操作指令之前,还需要对操作指令对应的传输标签进行安全认证,并在通过安全认证之后才执行操作指令,从而在一定程度上来说提高了执行应用操作的安全性。
图I为本发明实施例中基于USB接口设备实现应用操作安全认证的方法流程图;图2A为本发明实施例中基于应用侧实现应用操作安全认证的方法流程图之一;图2B为本发明实施例中基于应用侧实现应用操作安全认证的方法流程图之二 ;图3为本发明实施例中实现应用操作安全认证的详细流程图;图4A为本发明实施例中实现应用操作安全认证的设备的结构示意图之一;图4B为本发明实施例中实现应用操作安全认证的设备的结构示意图之二 ;图5为本发明实施例中实现应用操作安全认证的设备的结构示意图之三。
具体实施例方式本发明实施例提供一种实现应用操作安全认证的方法及其设备,以提高使用USB Key进行应用操作的安全性,提高执行应用操作的成功率。实现应用操作安全认证的方法, 包括接收应用发送的用于申请本次应用操作对应的传输标签的请求;为本次应用操作随机生成对应的传输标签并存储,将生成的所述传输标签发送给所述应用;接收所述应用发送的用于实现本次应用操作的操作指令,所述操作指令中携带有所述操作指令对应的传输标签,所述操作指令对应的传输标签根据所述本次应用操作对应的传输标签生成;根据所述操作指令对应的传输标签与所述本次应用操作对应的传输标签进行验证,若验证通过, 则根据所述操作指令进行相应的处理。采用本发明技术方案,由于在执行操作指令之前,还需要对操作指令对应的传输标签进行安全认证,并在通过安全认证之后才执行操作指令, 从而在一定程度上来说提高了执行应用操作的安全性。下面结合说明书附图对本发明技术方案进行详细的描述。参见图1,为本发明实施例中基于USB接口设备实现应用操作安全认证的方法流程图,该方法以USB接口设备(如USB Key)对如PC机、终端设备(如手机)的CPU (Central Processing Unit,中央处理器)中的应用发起的应用操作所进行的安全认证,该方法可包括步骤101、USB Key接收应用发送的用于申请本次应用操作对应的传输标签的请求。步骤102、USB Key为本次应用操作随机生成对应的传输标签并存储,将生成的所述传输标签发送给所述应用。步骤103、USB Key接收所述应用发送的用于实现本次应用操作的操作指令,所述操作指令中携带有所述操作指令对应的传输标签,所述操作指令对应的传输标签根据所述本次应用操作对应的传输标签生成。步骤104、USB Key根据所述操作指令对应的传输标签与所述本次应用操作对应的传输标签进行验证,若验证通过,则根据所述操作指令进行相应的处理;若验证不通过,向所述应用发送错误通知,不处理所述操作指令。较佳地,为避免本次应用操作执行过程中被其他应用或恶意程序干扰,以确保本次应用操作的成功执行,本发明实施例中,USB Key在接收到应用发送的用于注销本次应用操作对应的传输标签的请求之前,还包括接收到所述应用再次发送的用于申请本次应用操作对应的传输标签的请求时,拒绝为本次应用操作生成对应的传输标签。较佳地,为避免其他恶意程序恶意注销本次应用操作的传输标签,以重新申请传输标签来进行危险的操作,本发明实施例中USB Key在接收到应用发送的注销所述本次应用操作对应的传输标签的请求之后,判断是否已经接收到应用发送的用于实现本次应用操作的所有操作指令,若否则拒绝注销本次应用操作对应的传输标签。较佳地,本发明实施例中,在上述方法流程之后,USB Key在处理完所有用于实现本次应用操作的操作指令时,启动定时器;若在定时器超时时,还没有收到所述应用发送的注销本次应用操作对应的传输标签的请求时,则注销本次应用操作对应的传输标签。本发明实施例基于应用侧提出了与前述图I所示的流程相对应的实现应用操作安全认证的方法流程图,该方法流程图具体如图2A所示,包括步骤201、应用在需要进行本次应用操作时,向USB Key发送用于申请本次应用操作对应的传输标签的请求。步骤202、应用接收所述USB Key返回的为本次应用操作生成的对应的传输标签。步骤203、应用向所述USB Key发送用于实现本次应用操作的操作指令,所述操作指令中携带有所述操作指令对应的传输标签,所述操作指令对应的传输标签根据本次应用操作对应的传输标签生成。较佳地,为更好地确保应用操作的安全性,本发明实施例中,应用在发送完用于实现本次应用操作的所有操作指令之后,在上述步骤203之后,还包括步骤204,如图2B所示步骤204、应用向USB Key发送注销本次应用操作对应的传输标签的请求,以请求所述USB Key注销本次应用操作对应的传输标签。较佳地,本发明实施例中,应用将传输标签附在指令的固定位置中,如针对 APDU(Application Protocol Data Unit,应用协议数据单元)指令,可以将传输标签附在APDU指令的第2个字节上。为避免恶意程序或不法分子捕获到USB Key的传输标签或通过捕获多条操作指令获取传输标签;本发明实施例中,为保护传输标签被恶意程序破解,本发明实施例采用以下两种方案来保护传输标签,可以只采用方案I或方案2,也可以结合方案I和方案2,其中方案I、在进行本次应用操作之前,应用与USB Key协商对本次应用操作对应的传输标签进行处理得到各操作指令对应的传输标签的算法(即约定的算法);方案2、USB Key在向应用发送为本次应用操作生成的对应的传输标签时,还向所述应用发送用于指示各操作指令对应的传输标签在各操作指令中的位置的位置序列。 下面针对上述两种方案进行详细的描述。针对方案I、应用根据与USB Key约定的算法,能够确保实现本次应用操作的任意两个相邻的操作指令(如假设实现本次应用操作的操作指令为N个)对应的传输标签不相同即可。具体的算法可采用以下任意一种算法I、将本次应用操作对应的传输标签f分别与η个不同的数值累加或相减,得
到用于实现本次应用操作的η个操作指令对应的传输标签fl、f2.....fn。假设N为2,USB
Key为本次应用操作生成的对应的传输标签f为0x55,应用与USB Key约定将传输标签f 分别累加0x01和OxOF来得到第一操作指令对应的第一传输标签fl和第二操作指令对应的第二传输标签f2 ;则应用在发送第一个操作指令时,将传输标签0x55与0x01进行累加得到第一传输标签Π为0x56 ;应用在发送第二个操作指令时,将传输标签0x55与OxOF进行累加,得到第二传输标签f2为0x64。算法2、本次应用操作对应的传输标签f分别与η个不同的数值相乘或相除,得到用于实现本次应用操作的η个操作指令中分别对应的传输标签fl、f2.....fn。算法3、将本次应用操作对应的传输标签f分别向左或向右循环移动至少一位,得
到用于实现本次应用操作的η个操作指令分别对应的传输标签f l、f2.....fn。如假设USB
Key为本次应用操作生成的对应的传输标签为0x53,且USB Key与应用约定的算法为按照发送操作指令的顺序依次将本次应用操作对应的传输标签向左循环移动与该操作指令的发送顺序对应的位数,如应用在发送第一个操作指令时,将本次应用操作对应的传输标签f 向左循环移动一位,得到第一操作指令对应的第一传输标签f I为0xA6 ;应用在发送第二个操作指令时,将本次应用操作对应的传输标签f向左循环移动二位,得到第二操作指令对应的第二传输标签f2为0x4D,以此类推。本发明实施例并不局限于上述三种算法,还可以是其他的算法,只要能够保证本次应用操作的任意相邻的操作指令对应的传输标签不相同即可。本发明实施例中,针对应用发起的多个应用操作,应用采用相同或不相同的算法对该多次应用操作对应的传输标签进行处理,以得到相应应用操作的操作指令对应的传输标签;当采用不同的算法处理时,应用在每开始一次应用操作之前,都需要与USB Key协商相应的算法;或者,针对每次应用操作,USB Key在为该次应用操作生成对应的传输标签时, 还告知应用本次应用操作对应的算法,以指示应用采用该算法对该次应用操作对应的传输标签进行相应的处理。针对方案2、在进行本次应用操作之前,应用与USB Key协商用于指示各操作指令对应的传输标签在各操作指令中的位置的位置序列,该位置序列中的数值个数与实现本次应用操作的操作指令的个数相同;或者,在USB Key将为本次应用操作生成的对应的传输标签发送给应用时,还向该应用发送位置序列,以指示应用在发送每个操作指令时,根据位置序列确定出该操作指令对应的传输标签在该操作指令中的位置,并在确定的位置中附上对应的传输标签。例如,用于实现本次应用操作的操作指令为APDU指令,该APDU指令字节数不小于5个字节,则可以将位置序列设置为[3,5,2,4,I],即应用在发送第一个操作指令时,将该第一个操作指令对应的传输标签附在该第一操作指令的第3个字节上,在发送第二个操作指令时,将该第二个操作指令对应的传输标签附在该第二操作指令的第5个字节上,依此类推。USB Key在接收到应用发送的操作指令时,可以根据该操作指令的发送顺序, 从位置序列中确定出该操作指令对应的传输标签在该操作指令中的位置,并从确定的位置出获取该操作指令对应的传输标签。本发明实施例中,若实现本次应用操作的操作指令的个数大于位置序列的元素个数时,可以针对后续的操作指令可以循环采用上述位置序列也可以重新向USB Key申请新的位置序列,当为前者时,如应用发送第六个操作指令时,将该第六个操作指令的传输标签附在该第六个操作指令的第3个字节上,应用发送第七个操作指令时,将该第七个操作指令的传输标签附在该第七个操作指令的第5个字节上,以此类推;当为后者时,如应用向USB Key重新申请的位置序列为[5,2,3,4,I],则应用发送第六个操作指令时,将该第六个操作指令对应的传输标签附在该第六个操作指令的第5个字节上,应用发送第七个操作指令时,将该第七个操作指令对应的传输标签附在该第七个操作指令的第2个字节上,以此类推。基于前述描述,本发明实施例还提供实现应用操作安全认证的详细流程图,如图3 所示,包括步骤301、应用向USB Key发送用于申请本次应用操作对应的传输标签的请求。步骤302、USB Key接收到上述请求时,随机为本次应用操作生成对应的传输标签并发送给所述应用,并在本地存储该传输标签。步骤303、应用在发送用于实现本次应用操作的操作指令时,对本次应用操作对应的传输标签进行处理得到与该操作指令对应的传输标签,并将该操作指令对应的传输标签附在所述操作指令的相应位置,并向所述USB Key发送附有对应的传输标签的操作指令。步骤304、USB Key在接收到应用发送的上述操作指令之后,对操作指令对应的传输标签进行处理,得到处理后的传输标签,并将处理后的传输标签与本地存储的本次应用操作对应的传输标签进行比较,若一致则执行步骤305,否则执行步骤306。步骤305、USB Key处理所述操作指令。步骤306、USB Key不处理所述操作指令,向应用发送错误通知并结束流程。步骤307、应用判断用于实现本次应用操作的操作指令是否都已经发送给USB Key,若是则执行步骤308,否则对下一个未发送给USB Key的操作指令重复执行步骤303。步骤308、应用向USB Key发送注销请求,以请求USB Key注销为本次应用操作生成的对应的传输标签。步骤309、USB Key在接收到应用发送的上述注销请求时,注销为本次应用操作生成的对应的传输标签,并结束流程。基于前述方法流程,本发明实施例还提供一种实现应用操作安全认证的设备,该设备的结构如图4A和图4B所示,可设置在USB接口设备中。
本发明实施例还提供一种实现应用操作安全认证的设备,该设备的结构如图5所示,可设置在终端设备的CPU中。参见图4A,为本发明实施例中实现应用操作安全认证的设备的结构示意图,包括接收单元41,用于接收应用发送的用于申请本次应用操作对应的传输标签的请求;以及用于接收所述应用发送的用于实现本次应用操作的操作指令,所述操作指令中携带有所述操作指令对应的传输标签,所述操作指令对应的传输标签根据所述本次应用操作对应的传输标签生成;发送单元42,用于在所述接收单元41接收到所述用于申请本次应用操作对应的传输标签的请求时,为本次应用操作随机生成对应的传输标签并存储,将生成的本次应用操作对应的传输标签发送给所述应用;认证单元43,用于将所述接收单元41接收到的所述操作指令时,根据所述操作指令对应的传输标签与所述本次应用操作对应的传输标签进行验证,若验证通过,则根据所述操作指令进行相应的处理。较佳地,当所述操作指令中对应的传输标签为所述应用根据约定的算法对所述本次应用操作对应的传输标签进行处理得到的传输标签时,上述装置还包括处理单元44,如图4B所示处理单元44,用于在认证单元43将所述操作指令对应的传输标签与本次应用操作对应的传输标签进行验证之前,根据约定的算法对所述操作指令对应的传输标签进行处理,得到处理后的传输标签,并将处理后的传输标签发送给所述认证单元43。较佳地,所述发送单元42进一步用于,在将随机生成的本次应用操作对应的传输标签发送给所述应用时,还向所述应用发送本地存储的用于指示各操作指令对应的传输标签在相应的操作指令中的位置的位置序列;所述接收单元41,具体用于接收到所述应用发送的操作指令时,根据本地存储的所述位置序列,确定出接收到的操作指令对应的传输标签在该操作指令中的位置,并根据该位置获取与该操作指令所对应的传输标签。较佳地,接收单元41进一步用于,接收所述应用发送的注销所述本次应用操作对应的传输标签的请求,并注销所述发送单元为本次应用操作生成的传输标签。较佳地,所述接收单元41进一步用于,在接收到所述应用发送的注销所述本次应用操作对应的传输标签的请求之前,接收到所述应用再次发送的申请本次应用操作对应的传输标签的请求时,指示所述发送单元42拒绝为本次应用操作生成对应的传输标签;和/ 或,所述接收单元41进一步用于,在接收到所述应用发送的注销所述本次应用操作对应的传输标签的请求之后,判断是否已经接收到所述应用发送的用于实现本次应用操作的所有操作指令,若否则拒绝注销本次应用操作对应的传输标签。较佳地,接收单元41进一步用于,在所述认证单元43处理完所有用于实现本次应用操作的操作指令时,启动定时器;并在定时器超时时,还没有收到所述应用发送的注销本次应用操作对应的传输标签的请求,则注销本次应用操作对应的传输标签。参见图5,为本发明实施例中实现应用操作安全认证的设备的结构示意图,包括
发送单元51,用于向USB接口设备发送用于申请本次应用操作对应的传输标签的请求;接收单元52,用于接收所述USB接口设备返回的为本次应用操作生成的对应的传输标签;处理单元53,用于根据本次应用操作对应的传输标签生成用于实现本次应用操作的操作指令对应的传输标签,并将所述操作指令对应的传输标签附在所述操作指令中,并通过发送单元51向所述USB接口设备发送附有对应的传输标签的所述操作指令。较佳地,处理单元53根据本次应用操作对应的传输标签生成用于实现本次应用操作的操作指令对应的传输标签,具体用于根据约定的算法对所述本次应用操作对应的传输标签进行处理后得到所述操作指令对应的传输标签;具体的算法可如前所述,在此不再赘述。较佳地,接收单元52进一步用于,在接收到所述USB接口设备返回的本次应用操作对应的传输标签时,还接收所述USB接口设备发送的用于指示各操作指令对应的传输标签在相应的操作指令中的位置的位置序列;所述处理单元53在操作指令中插入相应的传输标签,具体用于针对所述每个操作指令,根据所述位置序列确定出所述每个操作指令对应的传输标签在所述每个操作指令中的位置,并在该位置中插入所述每个操作指令对应的传输标签。较佳地,发送单元51进一步用于,在向所述USB接口设备发送所有用于实现本次应用操作的操作指令之后,向所述USB接口设备发送注销本次应用操作对应的传输标签的请求,以请求所述USB接口设备注销本次应用操作对应的传输标签。本发明实施例中,一方面,USB接口设备在接收到应用发送的用于申请本次应用操作对应的传输标签的请求时,为本次应用操作随机生成对应的传输标签并存储,将生成的所述本次应用操作对应的传输标签发送给所述应用;接收所述应用发送的用于实现本次应用操作的携带有对应的传输标签的操作指令时,根据所述操作指令对应的传输标签与所述本次应用操作对应的传输标签进行验证,若验证通过,则根据所述操作指令进行相应的处理;因此,采用本发明技术方案,由于在执行操作指令之前,还需要对操作指令对应的传输标签进行安全认证,并在通过安全认证之后才执行操作指令,从而在一定程度上来说提高了执行应用操作的安全性;再一方面,USB接口设备在接收到应用发送的注销本次应用操作对应的传输标签的请求之前,接收到所述应用再次发送的用于申请本次应用操作对应的传输标签的请求时,拒绝为本次应用操作生成对应的传输标签;和/或,在接收到应用发送的注销本次应用操作对应的传输标签的请求之后,还判断是否已经接收到应用发送的用于实现本次应用操作的所有操作指令,若否则拒绝注销本次应用操作对应的传输标签;因此, 采用本发明技术方案,进一步的避免了恶意程序或非法分子获取新的传输标签进行恶意行为的问题。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若对本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种实现应用操作安全认证的方法,其特征在于,包括接收应用发送的用于申请本次应用操作对应的传输标签的请求;为本次应用操作随机生成对应的传输标签并存储,将生成的所述传输标签发送给所述应用;接收所述应用发送的用于实现本次应用操作的操作指令,所述操作指令中携带有所述操作指令对应的传输标签,所述操作指令对应的传输标签根据所述本次应用操作对应的传输标签生成;根据所述操作指令对应的传输标签与所述本次应用操作对应的传输标签进行验证,若验证通过,则根据所述操作指令进行相应的处理。
2.如权利要求I所述的方法,其特征在于,所述操作指令对应的传输标签为所述应用根据约定的算法对所述本次应用操作对应的传输标签进行处理后所得到的传输标签,所述根据所述操作指令对应的传输标签与所述本次应用操作对应的传输标签进行验证,具体为根据约定的算法对所述操作指令对应的传输标签进行处理,得到处理后的传输标签, 并将处理后的传输标签与存储的所述本次应用操作对应的传输标签进行比较,若相同,则验证通过。
3.如权利要求1或2所述的方法,其特征在于,在将随机生成的本次应用操作对应的传输标签发送给所述应用时,还包括向所述应用发送本地存储的用于指示各操作指令对应的传输标签在相应的操作指令中的位置的位置序列;接收到所述应用发送的操作指令时,根据本地存储的位置序列,确定出接收到的操作指令对应的传输标签在该操作指令中的位置,并根据该位置获取与该操作指令对应的传输标签。
4.如权利要求3所述的方法,其特征在于,还包括接收所述应用发送的注销所述本次应用操作对应的传输标签的请求;注销为本次应用操作生成的传输标签。
5.如权利要求4所述的方法,其特征在于,在接收到所述应用发送的注销所述本次应用操作对应的传输标签的请求之前,还包括接收到所述应用再次发送的申请本次应用操作对应的传输标签的请求时,拒绝为本次应用操作生成对应的传输标签;和/或,在接收到所述应用发送的注销所述本次应用操作对应的传输标签的请求之后,还包括判断是否已经接收到所述应用发送的用于实现本次应用操作的所有操作指令,若否则拒绝注销本次应用操作对应的传输标签。
6.如权利要求1或2所述的方法,其特征在于,当处理完所有用于实现本次应用操作的操作指令时,启动定时器;若在定时器超时时,还没有收到所述应用发送的注销本次应用操作对应的传输标签的请求,则注销本次应用操作对应的传输标签。
7.一种实现应用操作安全认证的方法,其特征在于,包括向通用串行总线USB接口设备发送用于申请本次应用操作对应的传输标签的请求;接收所述USB接口设备返回的为本次应用操作生成的对应的传输标签;向所述USB接口设备发送用于实现本次应用操作的操作指令,所述操作指令中携带有所述操作指令对应的传输标签,所述操作指令对应的传输标签根据所述本次应用操作对应的传输标签生成。
8.如权利要求7所述的方法,其特征在于,所述操作指令对应的传输标签为所述应用根据约定的算法对所述本次应用操作对应的传输标签进行处理后所得到的传输标签。
9.如权利要求7或8所述的方法,其特征在于,在接收到所述USB接口设备返回的本次应用操作对应的传输标签时,还接收所述USB接口设备发送的用于指示各操作指令对应的传输标签在相应的操作指令中的位置的位置序列;针对所述每个操作指令,根据所述位置序列确定出所述每个操作指令对应的传输标签在所述每个操作指令中的位置,并在该位置中插入所述每个操作指令对应的传输标签。
10.如权利要求7所述的方法,其特征在于,当向所述USB接口设备发送所有用于实现本次应用操作的操作指令之后,向所述USB接口设备发送注销本次应用操作对应的传输标签的请求,以请求所述USB接口设备注销本次应用操作对应的传输标签。
11.一种实现应用操作安全认证的设备,其特征在于,包括接收单元,用于接收应用发送的用于申请本次应用操作对应的传输标签的请求;以及用于接收所述应用发送的用于实现本次应用操作的操作指令,所述操作指令中携带有所述操作指令对应的传输标签,所述操作指令对应的传输标签根据所述本次应用操作对应的传输标签生成;发送单元,用于在所述接收单元接收到所述用于申请本次应用操作对应的传输标签的请求时,为本次应用操作随机生成对应的传输标签并存储,将生成的本次应用操作对应的传输标签发送给所述应用;认证单元,用于在所述接收单元接收到的所述操作指令时,根据所述操作指令对应的传输标签与所述本次应用操作对应的传输标签进行验证,若验证通过,则根据所述操作指令进行相应的处理。
12.如权利要求11所述的设备,其特征在于,当所述操作指令对应的传输标签为所述应用根据约定的算法对所述本次应用操作对应的传输标签进行处理所得到的传输标签时, 还包括处理单元,用于在所述认证单元将所述操作指令对应的传输标签与本次应用操作对应的传输标签进行验证之前,根据约定的算法对所述操作指令对应的传输标签进行处理,得到处理后的传输标签,并将处理后的传输标签发送给所述认证单元。
13.如权利要求11或12所述的设备,其特征在于,所述发送单元进一步用于,在将随机生成的本次应用操作对应的传输标签发送给所述应用时,还向所述应用发送本地存储的用于指示各操作指令对应的传输标签在相应的操作指令中的位置的位置序列;所述接收单元,具体用于接收到所述应用发送的操作指令时,根据本地存储的所述位置序列,确定出接收到的操作指令对应的传输标签在该操作指令中的位置,并根据该位置获取与该操作指令所对应的传输标签。
14.如权利要求13所述的设备,其特征在于,所述接收单元进一步用于,接收所述应用发送的注销所述本次应用操作对应的传输标签的请求,并注销所述发送单元为本次应用操作生成的传输标签。
15.如权利要求14所述的设备,其特征在于,所述接收单元进一步用于,在接收到所述应用发送的注销所述本次应用操作对应的传输标签的请求之前,接收到所述应用再次发送的申请本次应用操作对应的传输标签的请求时,指示所述发送单元拒绝为本次应用操作生成对应的传输标签;和/或,所述接收单元进一步用于,在接收到所述应用发送的注销所述本次应用操作对应的传输标签的请求之后,判断是否已经接收到所述应用发送的用于实现本次应用操作的所有操作指令,若否则拒绝注销本次应用操作对应的传输标签。
16.如权利要求11或12所述的设备,其特征在于,所述接收单元进一步用于,在所述认证单元处理完所有用于实现本次应用操作的操作指令时,启动定时器;并在定时器超时时, 还没有收到所述应用发送的注销本次应用操作对应的传输标签的请求,则注销本次应用操作对应的传输标签。
17.一种实现应用操作安全认证的设备,其特征在于,包括发送单元,用于向通用串行总线USB接口设备发送用于申请本次应用操作对应的传输标签的请求;接收单元,用于接收所述USB接口设备返回的为本次应用操作生成的对应的传输标签;处理单元,用于根据本次应用操作对应的传输标签生成用于实现本次应用操作的操作指令对应的传输标签,并将所述操作指令对应的传输标签附在所述操作指令中,并通过发送单元向所述USB接口设备发送附有对应的传输标签的所述操作指令。
18.如权利要求17所述的设备,其特征在于,所述接收单元进一步用于,在接收到所述 USB接口设备返回的本次应用操作对应的传输标签时,还接收所述USB接口设备发送的用于指示各操作指令对应的传输标签在相应的操作指令中的位置的位置序列;所述处理单元在操作指令中插入相应的传输标签,具体用于针对所述每个操作指令, 根据所述位置序列确定出所述每个操作指令对应的传输标签在所述每个操作指令中的位置,并在该位置中插入所述每个操作指令对应的传输标签。
19.如权利要求17所述的设备,其特征在于,所述发送单元进一步用于,在向所述USB 接口设备发送所有用于实现本次应用操作的操作指令之后,向所述USB接口设备发送注销本次应用操作对应的传输标签的请求,以请求所述USB接口设备注销本次应用操作对应的传输标签。
全文摘要
本发明公开了实现应用操作安全认证的方法及其设备,以提高使用USB接口设备进行应用操作的安全性,提高执行应用操作的成功率。实现应用操作安全认证的方法,包括接收应用发送的用于申请本次应用操作的对应的传输标签的请求;为本次应用操作随机生成对应的传输标签并存储,将生成的所述传输标签发送给所述应用;接收所述应用发送的用于实现本次应用操作的操作指令,所述操作指令中携带有所述操作指令对应的传输标签,所述操作指令对应的传输标签根据所述本次应用操作对应的传输标签生成;根据所述操作指令对应的传输标签与所述本次应用操作对应的传输标签进行验证,若验证通过,则根据所述操作指令进行相应的处理。
文档编号G06Q40/02GK102592100SQ201110433229
公开日2012年7月18日 申请日期2011年12月21日 优先权日2011年12月21日
发明者陈国 申请人:北京握奇数据系统有限公司