驗(yàn)證信息的獲取方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種驗(yàn)證信息的獲取方法及裝置。
【背景技術(shù)】
[0002]現(xiàn)有移動(dòng)業(yè)務(wù)中，常常需要用戶利用驗(yàn)證信息進(jìn)行操作，以保證業(yè)務(wù)的安全性。用戶可以通過短信或郵件等方式獲取驗(yàn)證信息。例如，用手機(jī)注冊(cè)帳號(hào)或進(jìn)行支付時(shí)，需要服務(wù)端向當(dāng)前手機(jī)號(hào)下發(fā)短信進(jìn)行身份驗(yàn)證，且短信都以明文形式下發(fā)。但是目前一些操作系統(tǒng)(例如Android)平臺(tái)比較開放，任意軟件在注冊(cè)短信權(quán)限后都可隨意讀取短信內(nèi)容，在安全方面造成極大的隱患。
[0003]在許多認(rèn)證，尤其是支付過程中，手機(jī)短信驗(yàn)證都是最后一道安全措施。通常而言是由服務(wù)器(服務(wù)提供商，例如支付寶)通過短信網(wǎng)關(guān)給用戶此前綁定的手機(jī)號(hào)發(fā)送一個(gè)包含數(shù)字或字符的驗(yàn)證碼的短信。用戶收到短信之后將短信中的驗(yàn)證碼通過手機(jī)APP或者認(rèn)證或支付的WEB頁面并提交給服務(wù)器。服務(wù)器根據(jù)提交的驗(yàn)證碼判斷是否的確是該用戶在進(jìn)行驗(yàn)證或者支付操作。
[0004]問題在于，作為私人物品的手機(jī)，其短信并不像服務(wù)提供商以及用戶所理解的那么安全。隨便打開一個(gè)手機(jī)并查看每一個(gè)安裝的應(yīng)用，就會(huì)發(fā)現(xiàn)，許多看似完全無關(guān)的應(yīng)用都會(huì)要求閱讀短信甚至是發(fā)送短信的權(quán)限。由此可見，用戶是根本不會(huì)在意安裝的應(yīng)用擁有一些權(quán)限。一個(gè)惡意的木馬應(yīng)用完全可以悄無聲息的讀到前面所述的驗(yàn)證碼。Android4.4以前的系統(tǒng)(目前市場上絕大部分Android手機(jī))，木馬甚至可以在無Root的情況下在偷竊了驗(yàn)證碼短信之后刪除該短信，在用戶毫無察覺的情況下就盜走驗(yàn)證碼。
[0005]除了惡意的木馬可能盜取驗(yàn)證碼短信之外，還有一個(gè)嚴(yán)重的問題是手機(jī)可能丟失。在手機(jī)丟失的情況，獲得手機(jī)的人可以很容易的利用短信找回密碼的功能進(jìn)行非常多的操作，包括修改用戶登錄密碼、支付、轉(zhuǎn)賬等等。

【發(fā)明內(nèi)容】

[0006]鑒于上述問題，提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的驗(yàn)證信息的獲取方法及裝置。
[0007]依據(jù)本發(fā)明的一個(gè)方面，提供一種驗(yàn)證信息的獲取方法，包括:終端與網(wǎng)絡(luò)設(shè)備協(xié)商用于對(duì)所述驗(yàn)證信息進(jìn)行加解密的密鑰，其中，所述驗(yàn)證信息是用于驗(yàn)證在目標(biāo)應(yīng)用程序執(zhí)行特定服務(wù)過程中終端或用戶的身份或權(quán)限的消息；所述網(wǎng)絡(luò)設(shè)備利用所述密鑰對(duì)驗(yàn)證信息進(jìn)行加密，并將加密的驗(yàn)證信息發(fā)送給所述終端；所述終端利用協(xié)商的密鑰對(duì)加密的驗(yàn)證信息進(jìn)行解密，獲得驗(yàn)證信息；在所述目標(biāo)應(yīng)用程序執(zhí)行特定服務(wù)過程中，利用所述驗(yàn)證信息驗(yàn)證終端或用戶的身份或權(quán)限。
[0008]優(yōu)選的，由所述終端上的所述目標(biāo)應(yīng)用程序執(zhí)行所述與網(wǎng)絡(luò)設(shè)備協(xié)商用于驗(yàn)證信息的密鑰以及所述利用協(xié)商的密鑰對(duì)加密的驗(yàn)證信息進(jìn)行解密的步驟。
[0009]優(yōu)選的，由所述終端上的安全應(yīng)用程序執(zhí)行與網(wǎng)絡(luò)設(shè)備協(xié)商用于驗(yàn)證信息的密鑰以及所述利用協(xié)商的密鑰對(duì)加密的驗(yàn)證信息進(jìn)行解密的步驟；所述終端與網(wǎng)絡(luò)設(shè)備協(xié)商用于驗(yàn)證信息的密鑰包括:所述安全應(yīng)用程序與網(wǎng)絡(luò)設(shè)備協(xié)商用于驗(yàn)證信息的密鑰；在所述終端利用協(xié)商的密鑰對(duì)加密的驗(yàn)證信息進(jìn)行解密，獲得驗(yàn)證信息之后，還包括:所述安全應(yīng)用程序?qū)⑺鲵?yàn)證信息提供給所述目標(biāo)應(yīng)用程序。
[0010]優(yōu)選的，所述目標(biāo)應(yīng)用程序調(diào)用所述安全應(yīng)用程序提供的接口，從所述安全應(yīng)用程序獲取所述驗(yàn)證信息。
[0011 ] 優(yōu)選的，所述方法還包括:所述安全應(yīng)用程序驗(yàn)證所述目標(biāo)應(yīng)用程序的合法性，只有所述目標(biāo)應(yīng)用程序合法時(shí)，才將所述驗(yàn)證信息提供給所述目標(biāo)應(yīng)用程序。
[0012]優(yōu)選的，所述安全應(yīng)用程序驗(yàn)證所述目標(biāo)應(yīng)用程序的合法性包括:通過所述目標(biāo)應(yīng)用程序的簽名判斷所述目標(biāo)應(yīng)用程序是否合法，和/或，判斷所述目標(biāo)應(yīng)用程序是否具有讀取所述驗(yàn)證信息的權(quán)限。
[0013]優(yōu)選的，所述判斷所述目標(biāo)應(yīng)用程序是否合法包括:根據(jù)所述目標(biāo)應(yīng)用程序的簽名判斷所述目標(biāo)應(yīng)用程序是否屬于安全應(yīng)用程序，或者，根據(jù)所述目標(biāo)應(yīng)用程序的簽名判斷所述目標(biāo)應(yīng)用程序是否屬于惡意應(yīng)用程序，如果所述目標(biāo)應(yīng)用程序?qū)儆诎踩珣?yīng)用程序或者不屬于惡意安全程序，則確定所述目標(biāo)應(yīng)用程序合法。
[0014]優(yōu)選的，所述判斷所述目標(biāo)應(yīng)用程序是否具有讀取所述驗(yàn)證信息的權(quán)限包括:判斷所述目標(biāo)應(yīng)用程序是否是與提供所述驗(yàn)證信息的網(wǎng)絡(luò)設(shè)備對(duì)應(yīng)的應(yīng)用程序，如果是，則確定所述目標(biāo)應(yīng)用程序具有讀取所述驗(yàn)證信息的權(quán)限。
[0015]優(yōu)選的，所述判斷所述目標(biāo)應(yīng)用程序是否是與提供所述驗(yàn)證信息的網(wǎng)絡(luò)設(shè)備對(duì)應(yīng)的應(yīng)用程序包括:判斷所述驗(yàn)證信息攜帶的標(biāo)識(shí)是否與提供所述驗(yàn)證信息的網(wǎng)絡(luò)設(shè)備對(duì)應(yīng)。
[0016]優(yōu)選的，在所述安全應(yīng)用程序?qū)⑺鲵?yàn)證信息提供給所述目標(biāo)應(yīng)用程序之前，還包括:獲取用戶輸入的密碼，根據(jù)與用戶預(yù)先約定密碼確定用戶輸入的密碼是否正確；在用戶輸入的密碼正確時(shí)，所述安全應(yīng)用程序才將所述驗(yàn)證信息提供給所述目標(biāo)應(yīng)用程序。
[0017]優(yōu)選的，所述與用戶預(yù)先約定密碼是指安全應(yīng)用程序與用戶之間約定的密碼。
[0018]優(yōu)選的，由所述終端上的安全應(yīng)用程序執(zhí)行與網(wǎng)絡(luò)設(shè)備協(xié)商用于驗(yàn)證信息的密鑰以及所述利用協(xié)商的密鑰對(duì)加密的驗(yàn)證信息進(jìn)行解密的步驟；所述終端與網(wǎng)絡(luò)設(shè)備協(xié)商用于驗(yàn)證信息的密鑰包括:所述安全應(yīng)用程序與網(wǎng)絡(luò)設(shè)備協(xié)商用于驗(yàn)證信息的密鑰；在所述終端利用協(xié)商的密鑰對(duì)加密的驗(yàn)證信息進(jìn)行解密，獲得驗(yàn)證信息之后，還包括:
[0019]所述安全應(yīng)用程序?qū)⒔饷芎蟮尿?yàn)證信息展示給用戶。
[0020]優(yōu)選的，在所述安全應(yīng)用程序?qū)⒔饷芎蟮尿?yàn)證信息展示給用戶之前，還包括:獲取用戶輸入的密碼，根據(jù)與用戶預(yù)先約定密碼確定用戶輸入的密碼是否正確；在用戶輸入的密碼正確時(shí)，所述安全應(yīng)用程序才將所述驗(yàn)證信息展示給所述用戶。
[0021]優(yōu)選的，所述與用戶預(yù)先約定密碼是指安全應(yīng)用程序與用戶之間約定的密碼。
[0022]優(yōu)選的，在所述網(wǎng)絡(luò)設(shè)備利用所述密鑰對(duì)驗(yàn)證信息進(jìn)行加密之前，還包括:所述網(wǎng)絡(luò)設(shè)備通過預(yù)先獲得的有關(guān)所述終端驗(yàn)證信息的協(xié)商參數(shù)，獲知所述終端支持密文驗(yàn)證信肩、O
[0023]優(yōu)選的，所述密鑰是指對(duì)稱密鑰，所述網(wǎng)絡(luò)設(shè)備與所述終端使用同一個(gè)密鑰對(duì)驗(yàn)證信息進(jìn)行加密和解密；或者，所述密鑰是指非對(duì)稱密鑰，所述網(wǎng)絡(luò)設(shè)備使用公鑰對(duì)驗(yàn)證信息進(jìn)行加密，所述終端使用私鑰對(duì)加密的驗(yàn)證信息進(jìn)行解密。
[0024]優(yōu)選的，所述終端通過短信、郵件或者即時(shí)通信工具的通信方式從所述網(wǎng)絡(luò)設(shè)備獲取所述加密的驗(yàn)證信息。
[0025]優(yōu)選的，在所述終端從所述網(wǎng)絡(luò)設(shè)備獲取加密的驗(yàn)證信息之后，還包括:所述目標(biāo)應(yīng)用程序或者安全應(yīng)用程序利用自身具有的訪問所述通信方式的權(quán)限，直接訪問所述通信方式獲取所述加密的驗(yàn)證信息。
[0026]優(yōu)選的，所述目標(biāo)應(yīng)用程序包括即時(shí)通信軟件、支付軟件或電商軟件。
[0027]優(yōu)選的，所述網(wǎng)絡(luò)設(shè)備是指發(fā)送所述驗(yàn)證信息的服務(wù)器、網(wǎng)關(guān)或代理服務(wù)器。
[0028]依據(jù)本發(fā)明的另一個(gè)方面，提供一種驗(yàn)證信息的獲取裝置，其特征在于，包括:密鑰協(xié)商單元，用于在終端與網(wǎng)絡(luò)設(shè)備之間協(xié)商用于對(duì)驗(yàn)證信息進(jìn)行加解密的密鑰，其中，所述驗(yàn)證信息是用于驗(yàn)證在目標(biāo)應(yīng)用程序執(zhí)行特定服務(wù)過程中終端或用戶的身份或權(quán)限的消息；加密驗(yàn)證信息獲取單元，用于接收所述網(wǎng)絡(luò)設(shè)備利用所述密鑰對(duì)驗(yàn)證信息進(jìn)行加密的驗(yàn)證信息；解密單元，用于利用協(xié)商的密鑰對(duì)加密的驗(yàn)證信息進(jìn)行解密，獲得驗(yàn)證信息；服務(wù)執(zhí)行單元，用于在所述目標(biāo)應(yīng)用程序執(zhí)行特定服務(wù)過程中，利用所述驗(yàn)證信息驗(yàn)證終端或用戶的身份或權(quán)限。
[0029]優(yōu)選的，由所述目標(biāo)應(yīng)用程序執(zhí)行所述與網(wǎng)絡(luò)設(shè)備協(xié)商用于驗(yàn)證信息的密鑰以及所述利用協(xié)商的密鑰對(duì)加密的驗(yàn)證信息進(jìn)行解密。
[0030]優(yōu)選的，由所述終端上的安全應(yīng)用程序執(zhí)行與網(wǎng)絡(luò)設(shè)備協(xié)商用于驗(yàn)證信息的密鑰以及所述利用協(xié)商的密鑰對(duì)加密的驗(yàn)證信息進(jìn)行解密；所述密鑰協(xié)商單元具體用于:利用所述安全應(yīng)用程序與網(wǎng)絡(luò)設(shè)備協(xié)商用于驗(yàn)證信息的密鑰；所述裝置還包括:驗(yàn)證信息提供單元，用于利用所述安全應(yīng)用程序?qū)⑺鲵?yàn)證信息提供給所述目標(biāo)應(yīng)用程序。
[0031]優(yōu)選的，所述目標(biāo)應(yīng)用程序調(diào)用所述安全應(yīng)用程序提供的接口，從所述安全應(yīng)用程序獲取所述驗(yàn)證信息。
[0032]優(yōu)選的，所述裝置還包括:目標(biāo)合法性驗(yàn)證單元，用于利用所述安全應(yīng)用程序驗(yàn)證所述目標(biāo)應(yīng)用程序的合法性；所述驗(yàn)證信息提供單元只有所述目標(biāo)應(yīng)用程序合法時(shí)，才將所述驗(yàn)證信息提供給所述目標(biāo)應(yīng)用程序。
[0033]優(yōu)選的，所述目標(biāo)合法性驗(yàn)證單元具體用于:通過所述目標(biāo)應(yīng)用程序的簽名判斷所述目標(biāo)應(yīng)用程序是否合法，和/或，判斷所述目標(biāo)應(yīng)用程序是否具有讀取所述驗(yàn)證信息的權(quán)限。
[0034]優(yōu)選的，所述目標(biāo)合法性驗(yàn)證單元具體用于:根據(jù)所述目標(biāo)應(yīng)用程序的簽名判斷所述目標(biāo)應(yīng)用程序是否屬于安全應(yīng)用程序，或者，根據(jù)所述目標(biāo)應(yīng)用程序的簽名判斷所述目標(biāo)應(yīng)用程序是否屬于惡意應(yīng)用程序，如果所述目標(biāo)應(yīng)用程序?qū)儆诎踩珣?yīng)用程序或者不屬于惡意安全程序，則確定所述目標(biāo)應(yīng)用程序合法。
[0035]優(yōu)選的，所述目標(biāo)合法性驗(yàn)證單元具體用于:判斷所述目標(biāo)應(yīng)用程序是否是與提供所述驗(yàn)證信息的網(wǎng)絡(luò)設(shè)備對(duì)應(yīng)的應(yīng)用程序，如果是，則確定所述目標(biāo)應(yīng)用程序具有讀取所述驗(yàn)證信息的權(quán)限。
[0036]優(yōu)選的，所述目標(biāo)合法性驗(yàn)證單元具體用于:判斷所述驗(yàn)證信息攜帶的標(biāo)識(shí)是否與提供所述驗(yàn)證信息的網(wǎng)絡(luò)設(shè)備對(duì)應(yīng)。
[0037]優(yōu)選的，還包括:密碼驗(yàn)證單元，用于獲取用戶輸入的密碼，根據(jù)與用戶預(yù)先約定密碼確定用戶輸入的密碼是否正確；所述驗(yàn)證信息提供單元在用戶輸入的密碼正確時(shí)，才將所述驗(yàn)證信息提供給所述目標(biāo)應(yīng)用程序。
[0038]優(yōu)選的，所述與用戶預(yù)先約定密碼是指安全應(yīng)用程序與用戶之間約定的密碼。
[0039]優(yōu)選的，由所述終端上的安全應(yīng)用程序執(zhí)行與網(wǎng)絡(luò)設(shè)備協(xié)商用于驗(yàn)證信息的密鑰以及所述利用協(xié)商的密鑰對(duì)加密的驗(yàn)證信息進(jìn)行解密；所述密鑰協(xié)商單元具體用于:利用所述安全應(yīng)用程序與網(wǎng)絡(luò)設(shè)備協(xié)商用于驗(yàn)證信息的密鑰；所述裝置還包括:驗(yàn)證信息展示單元，用于利用所述安全應(yīng)用程序?qū)⒔饷芎蟮尿?yàn)證信息展示給用戶。
[0040]優(yōu)選的，所述裝置還包括:密碼驗(yàn)證單元，用于獲取用戶輸入的密碼，根據(jù)與用戶預(yù)先約定密碼確定用戶輸入的密碼是否正確；所述驗(yàn)證信息展示單元，在用戶輸入的密碼正確時(shí)，才將所述驗(yàn)證信息展示給所述用戶。
[0041]優(yōu)選的，所述與用戶預(yù)先約定密碼是指安全應(yīng)用程序與用戶之間約定的密碼。
[0042]優(yōu)選的，所述網(wǎng)絡(luò)設(shè)備通過預(yù)先獲得的有關(guān)所述終端驗(yàn)證信息的協(xié)商參數(shù)，獲知所述終端支持密文驗(yàn)證信息。
[0043]優(yōu)選的，所述密鑰是指對(duì)稱密鑰，所述網(wǎng)絡(luò)設(shè)備與所述應(yīng)用程序使用同一個(gè)密鑰對(duì)驗(yàn)證信息進(jìn)行加密和解密；或者，所述密鑰是指非對(duì)稱密鑰，所述網(wǎng)絡(luò)設(shè)備使用公鑰對(duì)驗(yàn)證信息進(jìn)行加密，所述應(yīng)用程序使用私鑰對(duì)加密的驗(yàn)證信息進(jìn)行解密。
[0044]優(yōu)選的，所述終端通過短信、郵件或者即時(shí)通信工具的通信方式從所述網(wǎng)絡(luò)設(shè)備獲取所述加密的驗(yàn)證信息。
[0045]優(yōu)選的，所述裝置還包括:權(quán)限訪問單元，用于支持所述應(yīng)用程