实体,可有多种形式。具体地,安全APP可以与目标APP服务器直接协商密钥、发送密文短信,也可以与短信网关协商密钥以及发送密文短信,还可以通过短信网关的代理服务器,由代理服务器负责协商密钥及发送密文短信。本领域技术人员了解,短信业务是由运营商控制的,那么,如果目标APP服务器要给终端发送目标APP业务的验证短信,一般都是借助运营商的短信业务线路进行发送,因此,一般情况下,需要借助短信网关或者短信网关代理服务器进行密钥协商,当然也可以如上所述的通过与目标APP服务器进行密钥协商。
[0094]然后,网络设备给用户手机发送短信时用协商的密钥进行加密。
[0095]接着,用户在手机上收到加密的验证短信,仅有这个安全APP可以解密并且显示给用户。
[0096]最后,目标APP通过安全APP提供的接口获得解密的验证短信。
[0097]可见,其他APP如果需要读取对应的短信,则不再通过手机操作系统的短信接口获取短信,而是通过该安全APP提供的接口获取。安全APP负责验证试图调用该接口的APP的合法性(验证该APP的签名,以及判断该短信的确是属于该APP。比如仅有微信APP可以读微信服务器发来的验证码短信),只有目标APP合法时,才将验证信息提供给目标APP。
[0098]其中,安全APP验证目标APP的合法性包括:通过目标APP的签名判断目标APP是否合法,和/或,判断目标APP是否具有读取验证信息的权限。具体的,判断目标APP是否合法包括:根据目标APP的签名判断目标APP是否属于安全APP(白APP),或者,根据所述目标APP的签名判断目标APP是否属于恶意APP (黑APP),如果目标APP属于安全APP或者不属于恶意APP,则确定目标APP合法。可以理解,白APP和黑APP名单是预先获取并存储在手机上的,获取方式可以是手动设置或者网络抓取等等。具体的,判断目标APP是否具有读取验证信息的权限包括:判断目标APP是否是与提供验证信息的网络设备对应的应用程序,如果是,则确定目标APP具有读取验证信息的权限。具体地,通过判断验证信息携带的标识是否与提供验证信息的网络设备对应。比如,通过发送短信的号码进行判断。
[0099]例如,本实例中的目标APP是指微信软件,那么,手机上的安全APP (例如,360安全通讯录)首先需要与网络设备(微信服务器、短信网关或者短信网关代理服务器)协商验证码密钥;在用户进行支付等业务时,需要验证码,此时,网络设备利用预先约定的密钥对验证码进行加密并发送到该用户手机上;接着,用户在手机上通过短信接收到的是一条密文形式的验证短信,而手机上的安全APP从后台直接读取该密文短信,并利用预先约定的密钥进行读取,获取到解密的验证码,并将明文的验证码展示给用户;最后,如果需要,微信从安全APP提供的接口获取到该明文的验证码。
[0100]可见,因为手机收到的是加密短信,除了安全APP是无法读取验证信息的,而且安全APP是在验证目标APP合法性基础上才向APP提供验证短信,有效地解决了验证短信被木马等恶意软件窃取的问题。而且,与实例一相比,本实例二还可以向用户展示明文的验证信息,这就可以满足通过PC浏览器发送验证码的情况,也就是,适用于在PC机上通过目标APP进行操作的情况。
[0101]实例三
[0102]参见图4,为实例三提供的验证信息的获取方法的流程图,包括:
[0103]S401:安全应用程序与网络设备协商用于验证信息的密钥,其中,验证信息是在目标应用程序的业务中需要被验证的信息;
[0104]S402:网络设备利用密钥对验证信息进行加密,并将加密的验证信息发送给终端;
[0105]S403:安全应用程序利用协商的密钥对加密的验证信息进行解密,获得验证信息;
[0106]S404:获取用户输入的密码,根据与用户预先约定密码确定用户输入的密码是否正确;
[0107]S405:在用户输入密码正确情况下,安全应用程序将验证信息提供给目标应用程序,和/或,安全应用程序将验证信息展示给用户。
[0108]其中,目标应用程序是指需要验证所述验证信息从而进行业务的应用程序;那么可以理解,网络设备是指发送用于目标应用程序的业务的验证信息的服务器、网关或代理服务器。
[0109]该实例三与上述实例二类似,通过引入一个安全应用程序,为各个目标应用程序统一管理验证信息。具体的,由这个安全应用程序与网络设备进行密钥协商,并且仅由这个安全应用程序可以读取并解密验证信息,并且由这个安全应用程序将解密的验证信息提供给目标应用程序。与实例二区别在于,在向用户展示验证信息之前或者在向目标应用程序提供验证信息之前,需要用户输入与安全应用程序事先约定的密码。
[0110]下面以通过手机短信方式获取验证信息的例子进行说明。
[0111]用户手机上需要安装一个安全APP。
[0112]首先,安全APP和网络设备进行密钥协商。网络设备是指位于网络侧的与验证信息对应的功能实体,可有多种形式。具体地,安全APP可以与目标APP服务器直接协商密钥、发送密文短信,也可以与短信网关协商密钥以及发送密文短信,还可以通过短信网关的代理服务器,由代理服务器负责协商密钥及发送密文短信。本领域技术人员了解,短信业务是由运营商控制的,那么,如果目标APP服务器要给终端发送目标APP业务的验证短信,一般都是借助运营商的短信业务线路进行发送,因此,一般情况下,需要借助短信网关或者短信网关代理服务器进行密钥协商,当然也可以如上所述的通过与目标APP服务器进行密钥协商。
[0113]然后,网络设备给用户手机发送短信时用协商的密钥进行加密。
[0114]接着,用户在手机上收到加密的验证短信,安全APP进行解密。
[0115]继而,用户在需要查看解密的验证短信时,或者目标APP需要读取该验证短信时,需要用户输入与安全APP预先约定的密码。
[0116]最后,目标APP向用户展示解密的验证短信,或者,目标APP通过安全APP提供的接口获得解密的验证短信。
[0117]可见,其他APP如果需要读取对应的短信,则不再通过手机操作系统的短信接口获取短信,而是通过该安全APP提供的接口获取。安全APP负责验证试图调用该接口的APP的合法性(验证该APP的签名,以及判断该短信的确是属于该APP。比如仅有微信APP可以读微信服务器发来的验证码短信),只有目标APP合法时,才将验证信息提供给目标APP。
[0118]其中,安全APP验证目标APP的合法性包括:通过目标APP的签名判断目标APP是否合法,和/或,判断目标APP是否具有读取验证信息的权限。具体的,判断目标APP是否合法包括:根据目标APP的签名判断目标APP是否属于安全APP (白APP),或者,根据所述目标APP的签名判断目标APP是否属于恶意APP (黑APP),如果目标APP属于安全APP或者不属于恶意APP,则确定目标APP合法。可以理解,白APP和黑APP名单是预先获取并存储在手机上的,获取方式可以是手动设置或者网络抓取等等。具体的,判断目标APP是否具有读取验证信息的权限包括:判断目标APP是否是与提供验证信息的网络设备对应的应用程序,如果是,则确定目标APP具有读取验证信息的权限。具体地,通过判断验证信息携带的标识是否与提供验证信息的网络设备对应。比如,通过发送短信的号码进行判断。
[0119]例如,本实例中的目标APP是指亚马逊链接到的银行支付平台,那么,手机上的安全APP(例如360安全通讯录)首先需要与网络设备(银行支付平台服务器、短信网关或者短信网关代理服务器)协商验证码密钥;在用户进行支付等业务时,需要验证码,此时,网络设备利用预先约定的密钥对验证码进行加密并发送到该用户手机上;接着,用户在手机上通过短信接收到的是一条密文形式的验证短信,而手机上的安全APP从后台直接读取该密文短信,并利用预先约定的密钥进行读取,获取到解密的验证码;在用户输入正确的密码后,将明文的验证码展示给用户;最后,如果需要,银行支付平台从安全APP提供的接口获取到该明文的验证码。
[0120]可见,因为手机收到的是加密短信,除了安全APP是无法读取验证信息的,而且安全APP是在验证目标APP合法性基础上才向APP提供验证短信,有效地解决了验证短信被木马等恶意软件窃取的问题。而且,同实例二类似,实例三还可以向用户展示明文的验证信息,这就可以满足通过PC浏览器发送验证码的情况,也就是,适用于在PC机上通过目标APP进行操作的情况。另外,与实例二相比,本实例三在用户输入正确密码之后才向用户展示验证信息或者提供给目标APP,也就是又进一步保证了验证信息的安全性,通过密文验证信息以及用户密码的双重保险,即使在手机丢失的情况下,也能保证验证信息的安全性。
[0121]与上述方法相对应,本发明还提供一种验证信息的获取装置。该装置可以通过硬件、软件或软硬件结合方式实现。该装置可以是指终端内部的功能模块,也可以是指终端本身,只要终端包括实现该装置的功能即可。参见图5,该装置包括:
[0122]密钥协商单元501,用于在终端与网络设备之间协商用于对验证信息进行加解密的密钥,其中,所述验证信息是用于验证在目标应用程序执行特定服务过程中终端或用户的身份或权限的消息;
[0123]加密验证信息获取单元502,用于接收所述网络设备利用所述密钥对验证信息进行加密的验证信息;
[0124]解密单元503,用于利用协商的密钥对加密的验证信息进行解密,获得验证信息;
[0125]服务执行单元504,用于在所述目标应用程序执行特定服务过程中,利用所述验证信息验证终端或用户的身份或权限。
[0126]优选的,一种方案中,由所述目标应用程序执行密钥协商单元501以及解密单元503的功能,S卩,由所述目标应用程序执行所述与网络设备协商用于验证信息的密钥以及所述利用协商的密钥对加密的验证信息进行解密。
[0127]优选地,另一种方案中,由一个安全应用程序执行密钥协商单元501以及解密单元503的功能,S卩,由安全应用程序执行所述与网络设备协商用于验证信息的密钥以及所述利用协商的密钥对加密的验证信息进行解密;所述密钥协商单元501具体用于:利用所述安全应用程序与网络设备协商用于验证信息的密钥,其中,所述验证信息是在目标应用程序的业务中需要被验证的信息;所述装置还包括:验证信息提供单元505,用于利用所述安全应用程序将所述验证信息提供给所述目标应用程序。
[0128]其中,所述目标应用程序调用所述安全应用程序提供的接口,从所述安全应用程序获取所述验证信息。
[0129]可选的,装置还包括:目标合法性验证单元506,用于利用所述安全应用程序验证所述目标应用程序的合法性;此情况下,所述验证信息提供单元505只有所述目标应用程序合法时,才将所述验证信息提供给所述目标应用程序。
[0130]其中,所述目标合法性验证单元506具体用于:通过所述目标应用程序的签名判断所述目标应