信息安全保護(hù)方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開一種信息安全保護(hù)方法及系統(tǒng)�,通過USB?Key提供一個可信賴的應(yīng)用程序即第一安全檢測程序,并通過該可信賴的應(yīng)用程序來驗證終端上的其他應(yīng)用程序����,從而有效地驗證終端上應(yīng)用程序的合法性,避免了傳統(tǒng)的應(yīng)用程序下載��、安裝無法驗證合法性所存在的安全隱患的問題���,具有提高終端上應(yīng)用程序安全性的有益效果�����,進(jìn)一步地��,保證了用戶個人信息的安全性����。
【專利說明】信息安全保護(hù)方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù),還涉及智能密鑰領(lǐng)域�����,尤其涉及一種信息安全保護(hù)方法及系統(tǒng)��。
【背景技術(shù)】
[0002]隨著無線互聯(lián)網(wǎng)的發(fā)展�����,電子銀行也得到了廣泛的應(yīng)用�����,并逐步從傳統(tǒng)PC擴(kuò)展到手機(jī)�、平板電腦等移動設(shè)備上。目前終端上的電子銀行應(yīng)用有兩種方式:借助瀏覽器訪問交易網(wǎng)頁完成交易的B/S架構(gòu)����,以及在終端上安裝應(yīng)用客戶端完成交易的C/S架構(gòu)。B/S架構(gòu)必須依賴瀏覽器��,而瀏覽器作為一種開放的基礎(chǔ)性應(yīng)用軟件�,存在較高的安全隱患;而C/S架構(gòu)則是各銀行獨(dú)立開發(fā)的應(yīng)用軟件����,相較于B/S架構(gòu),具備一定的安全性��。
[0003]但由于C/S架構(gòu)需要安裝客戶端軟件��,因此存在客戶端軟件可能被替換的安全風(fēng)險����;比如非法程序誤導(dǎo)用戶安裝假冒的客戶端軟件,從而利用假冒的客戶端軟件套取用戶的個人賬戶和密碼信息等����;因此,采用上述方式在C/S架構(gòu)上安裝客戶端軟件存在較高的安全風(fēng)險�。
【發(fā)明內(nèi)容】
[0004]鑒于此��,有必要提供一種信息安全保護(hù)方法及系統(tǒng)����,旨在解決C/S架構(gòu)上安裝客戶端軟件所存在的安全隱患����。
[0005]本發(fā)明實施例公開了一種信息安全保護(hù)方法,包括以下步驟:
[0006]USB Key與終端配對成功后�����,將包括臨時密鑰的已簽名的第一安全檢測程序的安裝文件發(fā)送至終端����;
[0007]終端安裝并運(yùn)行所述第一安全檢測程序,通過所述臨時密鑰與所述USB Key建立通信連接�����;
[0008]所述第一安全檢測程序檢測到未安裝第二安全檢測程序或者已安裝的第二安全檢測程序不合法����,則向所述USB Key發(fā)送請求以獲取合法的第二安全檢測程序的安裝文件����;
[0009]所述第一安全檢測程序根據(jù)獲取的合法的所述第二安全檢測程序的安裝文件��,弓丨導(dǎo)安裝所述第二安全檢測程序��;終端基于所述第一安全檢測程序和第二安全檢測程序���,與USB Key進(jìn)行數(shù)據(jù)交互。
[0010]優(yōu)選地���,所述USB Key與終端配對成功后�,將包括臨時密鑰的已簽名的第一安全檢測程序的安裝文件發(fā)送至終端之前還包括:
[0011]USB Key對包括臨時密鑰的第一安全檢測程序的安裝文件進(jìn)行簽名�����。
[0012]優(yōu)選地���,所述USB Key對包括臨時密鑰的第一安全檢測程序的安裝文件進(jìn)行簽名包括:
[0013]USB Key獲取配對成功的所述終端的MAC地址�����;
[0014]利用USB Key生成的非對稱密鑰對包括USB Key生成的一個隨機(jī)數(shù)及獲取的所述終端的MAC地址的特征信息進(jìn)行加密���,得到所述臨時密鑰�����;
[0015]將所述臨時密鑰填充至所述第一安全檢測程序的安裝文件的預(yù)定位置��;
[0016]根據(jù)所述非對稱密鑰對包括所述臨時密鑰的第一安全檢測程序的安裝文件進(jìn)行簽名����。
[0017]優(yōu)選地�����,所述終端安裝并運(yùn)行所述第一安全檢測程序包括:
[0018]終端安裝所述第一安全檢測程序后�,刪除所述第一安全檢測程序的安裝文件。
[0019]優(yōu)選地�����,所述終端基于所述第一安全檢測程序和第二安全檢測程序�����,與USB Key進(jìn)行數(shù)據(jù)交互包括:
[0020]所述第一安全檢測程序向所述USB Key發(fā)送生成特定密鑰的請求�,以生成特定密鑰�;對生成的所述特定密鑰進(jìn)行加密�����,保存加密后的所述特定密鑰�����;
[0021]所述終端基于所述第一安全檢測程序和第二安全檢測程序��,通過所述特定密鑰與所述USB Key進(jìn)行數(shù)據(jù)交互���。
[0022]優(yōu)選地,所述終端基于所述第一安全檢測程序和第二安全檢測程序��,通過所述特定密鑰與所述USB Key進(jìn)行數(shù)據(jù)交互包括:
[0023]所述終端運(yùn)行所述第一安全檢測程序或第二安全檢測程序�,與USB Key結(jié)合主動檢測除所述第一安全檢測程序和第二安全檢測程序以外的應(yīng)用程序的合法性或用戶身份的合法性;
[0024]或者����,根據(jù)接收到的應(yīng)用程序的檢測請求,檢測所述應(yīng)用程序的合法性或用戶身份的合法性��。
[0025]優(yōu)選地���,所述第二安全檢測程序管理USB Key的應(yīng)用界面�����、USB Key及USB Key應(yīng)用程序��;所述終端基于所述第一安全檢測程序和第二安全檢測程序���,通過所述特定密鑰與所述USB Key進(jìn)行數(shù)據(jù)交互還包括:
[0026]所述終端基于所述第一安全檢測程序和第二安全檢測程序�,與USB Key結(jié)合�,進(jìn)行USB Key的簽名操作。
[0027]本發(fā)明實施例還公開一種信息安全保護(hù)系統(tǒng)���,包括:
[0028]USB Key��,用于與終端配對成功后�,將包括臨時密鑰的已簽名的第一安全檢測程序的安裝文件發(fā)送至終端�����;
[0029]終端���,用于:
[0030]安裝并運(yùn)行所述第一安全檢測程序�����,通過所述臨時密鑰與所述USB Key建立通信連接��;
[0031]檢測到未安裝第二安全檢測程序或者已安裝的第二安全檢測程序不合法����,則向所述USB Key發(fā)送請求以獲取合法的第二安全檢測程序的安裝文件���;
[0032]根據(jù)獲取的合法的所述第二安全檢測程序的安裝文件�����,引導(dǎo)安裝所述第二安全檢測程序����;基于所述第一安全檢測程序和第二安全檢測程序�����,與USB Key進(jìn)行數(shù)據(jù)交互����。
[0033]優(yōu)選地,所述USB Key還用于:
[0034]對包括臨時密鑰的第一安全檢測程序的安裝文件進(jìn)行簽名�。
[0035]優(yōu)選地�,所述USB Key還用于:
[0036]USB Key獲取配對成功的所述終端的MAC地址����;
[0037]利用USB Key生成的非對稱密鑰對包括USB Key生成的一個隨機(jī)數(shù)及獲取的所述終端的MAC地址的特征信息進(jìn)行加密,得到所述臨時密鑰�����;
[0038]將所述臨時密鑰填充至所述第一安全檢測程序的安裝文件的預(yù)定位置��;
[0039]根據(jù)所述非對稱密鑰對包括所述臨時密鑰的第一安全檢測程序的安裝文件進(jìn)行簽名�����。
[0040]優(yōu)選地���,所述終端還用于:
[0041]安裝所述第一安全檢測程序后����,刪除所述第一安全檢測程序的安裝文件�����。
[0042]優(yōu)選地,所述終端還用于:
[0043]向所述USB Key發(fā)送生成特定密鑰的請求�,以生成特定密鑰;對生成的所述特定密鑰進(jìn)行加密�����,保存加密后的所述特定密鑰���;
[0044]基于所述第一安全檢測程序和第二安全檢測程序,通過所述特定密鑰與所述USBKey進(jìn)行數(shù)據(jù)交互����。
[0045]優(yōu)選地,所述終端還用于:
[0046]運(yùn)行所述第一安全檢測程序或第二安全檢測程序�,與USB Key結(jié)合主動檢測除所述第一安全檢測程序和第二安全檢測程序以外的應(yīng)用程序的合法性或用戶身份的合法性;
[0047]或者����,根據(jù)接收到的應(yīng)用程序的檢測請求,檢測所述應(yīng)用程序的合法性或用戶身份的合法性�����。
[0048]優(yōu)選地�,所述終端還用于:
[0049]基于所述第一安全檢測程序和第二安全檢測程序,與USB Key結(jié)合,進(jìn)行USB Key的簽名操作���。
[0050]本發(fā)明實施例通過USB Key提供一個可信賴的應(yīng)用程序即第一安全檢測程序����,并通過該可信賴的應(yīng)用程序來驗證終端上的其他應(yīng)用程序����,從而有效地驗證終端上應(yīng)用程序的合法性,避免了傳統(tǒng)的應(yīng)用程序下載�、安裝無法驗證合法性所存在的安全隱患的問題,具有提高終端上應(yīng)用程序安全性的有益效果���,進(jìn)一步地�����,保證了用戶個人信息的安全性���。
【專利附圖】
【附圖說明】
[0051]圖1是本發(fā)明信息安全保護(hù)方法一實施例流程示意圖;
[0052]圖2是本發(fā)明信息安全保護(hù)方法又一實施例流程示意圖�;
[0053]圖3是本發(fā)明信息安全保護(hù)方法中USB Key對包括臨時密鑰的第一安全檢測程序的安裝文件進(jìn)行簽名一實施例流程示意圖;
[0054]圖4是本發(fā)明信息安全保護(hù)系統(tǒng)一實施例功能模塊示意圖�。
[0055]本發(fā)明實施例目的的實現(xiàn)���、功能特點(diǎn)及優(yōu)點(diǎn)將結(jié)合實施例,參照附圖做進(jìn)一步說明���。
【具體實施方式】
[0056]以下結(jié)合說明書附圖及具體實施例進(jìn)一步說明本發(fā)明的技術(shù)方案����。應(yīng)當(dāng)理解����,此處所描述的具體實施例僅僅用以解釋本發(fā)明�,并不用于限定本發(fā)明。
[0057]本發(fā)明信息安全保護(hù)方法及系統(tǒng)的實施例中���,以二代USB Key作為終端app(Application,應(yīng)用程序)的安全基礎(chǔ),通過USB Key提供內(nèi)置的第一個可信賴的app (即所述的第一安全檢測程序�,后續(xù)為了便于描述均將其稱為appl)����,并通過appl來下載、驗證��、管理驗證終端上的其他app����。在USB Key和終端未綁定時�,無法使用USB Key;且在USBKey與終端配對成功后���,終端上必須先安裝USB Key內(nèi)置的appl�,通過終端安裝USB Key內(nèi)appl����,使得USB Key與終端一對一綁定,即一個USB Key只能對應(yīng)唯一的一個終端���,這樣該appl才能夠正常使用����。由于appl的授權(quán)是內(nèi)置appl在終端上首次運(yùn)行時動態(tài)生成的��,必須要USB Key參與�,因此仿冒的或者不合法的appl均不能取得授權(quán),從而保證該可信賴的appl的安全性�。
[0058]本發(fā)明信息安全保護(hù)方法及系統(tǒng)的下述實施例中,所述appl為USB Key發(fā)行方內(nèi)置在USB Key中的app安裝文件所對應(yīng)的程序�����,即所述的第一安全檢測程序;appl的主要功能是與終端通信連接后��,代理終端對USB Key功能的訪問�、結(jié)合USB Key驗證與電子銀行業(yè)務(wù)相關(guān)的應(yīng)用程序的合法性并引導(dǎo)安裝app2。
[0059]所述app2為USB Key發(fā)行方內(nèi)置在USB Key上的app���,主要實現(xiàn)USB Key的應(yīng)用界面�、管理USB Key��、管理USB Key相關(guān)應(yīng)用程序�、結(jié)合USB Key驗證相關(guān)應(yīng)用程序的合法性;app2安裝以后����,可以進(jìn)行版本升級或者更新�����。
[0060]所述臨時密鑰由USB Key采用非對稱密鑰對特定信息加密生成����,所述特定信息包括USB Key生成的一個隨機(jī)數(shù)及獲取的所述終端的MAC地址;所述特定信息還可以包括appl名稱及USB Key的主機(jī)序列號等信息��;所述臨時密鑰只有USB Key才能進(jìn)行解密,且USB Key下電后�,該臨時密鑰即失效。運(yùn)行在終端上的appl利用所述臨時密鑰與USB Key建立通信連接后�,可以訪問USB Key特定部分的功能。
[0061]本發(fā)明信息安全保護(hù)方法及系統(tǒng)中的后續(xù)實施例中���,將不再對上述內(nèi)容進(jìn)行重復(fù)描述�。
[0062]基于以上描述��,請參照圖1����,圖1是本發(fā)明信息安全保護(hù)方法一實施例流程示意圖;如圖1所示�,本發(fā)明信息安全保護(hù)方法包括以下步驟:
[0063]步驟SOUUSB Key與終端配對成功后,將包括臨時密鑰的已簽名的appl的安裝文件發(fā)送至終端�;
[0064]本實施例中,USB Key通過藍(lán)牙與終端進(jìn)行通信��,且USB Key內(nèi)置appl和app2��。USB Key與終端連接使用前�,終端上必須安裝USB Key內(nèi)置的appl,以獲取所述終端對USBKey的訪問授權(quán)��。
[0065]USB Key開機(jī)啟動后,響應(yīng)用戶的控制指令����,在用戶操作界面上顯示USB Key上的安裝入口菜單,進(jìn)入安裝appl的界面�;用戶根據(jù)USB Key上的顯示屏指示操作進(jìn)行安裝,USB Key接收用戶的操作指令,安裝appl��。
[0066]終端打開藍(lán)牙����,并設(shè)置為可見狀態(tài),以便被周圍的藍(lán)牙設(shè)備搜索發(fā)現(xiàn)����;USB Key搜索到終端時,選擇終端并進(jìn)行配對連接;USB Key通過藍(lán)牙FTP協(xié)議將已經(jīng)簽名的appl的安裝文件發(fā)送給終端�。本實施例中,USB Key可以先對未簽名的appl進(jìn)行簽名后���,再將簽名后的appl安裝文件發(fā)送至終端;也可以直接將已簽名的appl直接發(fā)送給終端����。
[0067]本實施例中����,USB Key直接將已簽名的appl直接發(fā)給終端而不在USB Key內(nèi)對appl進(jìn)行簽名的情況����,是在appl的發(fā)行方不允許更改appl簽名方式的應(yīng)用場景下執(zhí)行的。
[0068]步驟S02���、終端安裝并運(yùn)行appl�,通過所述臨時密鑰與所述USB Key建立通信連接�;[0069]終端安裝并運(yùn)行USB Key發(fā)送的appl的安裝文件,安裝appl,并運(yùn)行appl,通過appl安裝文件中所包含的臨時密鑰與USB Key建立通信連接。
[0070]在一優(yōu)選的實施例中����,終端安裝appl后,自動刪除appl安裝文件���。
[0071]步驟S03����、appl檢測終端是否已安裝app2 ;若否���,則執(zhí)行步驟S04 ;若是�,則執(zhí)行步驟 S05 ;
[0072]步驟S04����、向所述USB Key發(fā)送請求以獲取合法的app2的安裝文件;
[0073]步驟S05����、檢測已安裝的app2是否合法;若合法���,則執(zhí)行步驟S07 ;若不合法��,則返回執(zhí)行步驟S04 ����;
[0074]終端向USB Key發(fā)送請求���,以獲取合法的app2的安裝文件之后�,還需執(zhí)行步驟:
[0075]步驟S06��、appl根據(jù)獲取的合法的app2的安裝文件��,引導(dǎo)安裝app2 ���;
[0076]步驟S07�、終端基于appl和app2,與USB Key進(jìn)行數(shù)據(jù)交互���。
[0077]終端安裝完appl后�,appl檢測終端上是否安裝了 app2即所述第二安全檢測程序��。終端上若安裝了 app2�,則檢測已安裝的app2是否合法;若已安裝的app2不合法���,或者��,檢測到終端上沒有安裝app2�,則appl向USB Key發(fā)送獲取合法的app2安裝文件的請求�;USBKey根據(jù)終端發(fā)送的請求,將合法的app2的安裝文件發(fā)送至終端。appl根據(jù)USB Key發(fā)送的合法的app2的安裝文件,引導(dǎo)安裝app2,終端運(yùn)行已安裝的app2�����。
[0078]在一優(yōu)選的實施例中�,終端安裝完成app2,自動將app2安裝文件刪除。
[0079]在一優(yōu)選的實施例中��,若appl檢測到終端上已安裝的app2不合法�,則終端發(fā)出對應(yīng)的提示,以提示用戶先將不合法的app2卸載�。
[0080]終端安裝完成appl和app2之后,運(yùn)行appl和app2��。appl向USB Key發(fā)送生成特定密鑰的請求����,以生成特定密鑰;并對生成的所述特定密鑰進(jìn)行加密�����,將加密后的所述特定密鑰保存在appl應(yīng)用程序內(nèi)部的目錄下��。終端基于appl和app2���,通過所述特定密鑰與所述USB Key進(jìn)行數(shù)據(jù)交互�����。
[0081]appl和/或app2運(yùn)行時����,檢測USB Key相關(guān)應(yīng)用程序的簽名和數(shù)字證書的合法性;同時��,USB Key上的相關(guān)應(yīng)用也可以請求appl和/或app2驗證自己的合法性,也可以請求驗證使用USB Key或者終端的用戶身份的合法性����;比如���,驗證該用戶是否為合法的已注冊用戶等�。同時����,app2用于實現(xiàn)USB Key的應(yīng)用界面、管理USB Key及USB Key應(yīng)用程序�,app2也可以提供USB Key的相關(guān)應(yīng)用程序的下載和安裝管理?�;赼ppl和app2�����,終端與USB Key結(jié)合���,實現(xiàn)對USB Key的簽名操作����。本實施例中,USB Key中各應(yīng)用程序的簽名和數(shù)字證書均由USB Key的發(fā)行方簽發(fā)����。
[0082]本實施例中,當(dāng)終端從服務(wù)端下載到其他應(yīng)用程序的安裝文件后�,終端上已安裝的認(rèn)證程序即appl自動檢測新下載的應(yīng)用程序的安裝文件是否合法,并在檢測到新下載的該應(yīng)用程序的安裝文件合法時�,允許終端根據(jù)該應(yīng)用程序的安裝文件,安裝該應(yīng)用程序����;appl在檢測到新下載的該應(yīng)用程序的安裝文件不合法時,禁止終端安裝該應(yīng)用程序���,并提示終端刪除下載的不合法的應(yīng)用程序安裝文件����。
[0083]本實施例中���,appl檢測下載的應(yīng)用程序安裝文件合法��,包括:appl檢測下載應(yīng)用程序安裝文件中的認(rèn)證簽名與綁定密鑰中發(fā)行方密鑰對對該應(yīng)用程序安裝文件的認(rèn)證簽名是否一致�����;在該應(yīng)用程序安裝文件中的認(rèn)證簽名與綁定密鑰中發(fā)行方密鑰對對該應(yīng)用程序安裝文件的認(rèn)證簽名一致時���,appl檢測該應(yīng)用程序的安裝文件合法�;在該應(yīng)用程序安裝文件中的認(rèn)證簽名與綁定密鑰中發(fā)行方密鑰對對該應(yīng)用程序安裝文件的認(rèn)證簽名不一致時�,appl檢測該應(yīng)用程序的安裝文件不合法��。
[0084]本實施例中�,終端下載的其他應(yīng)用程序安裝文件包括該認(rèn)證程序appl自身版本升級或更新后的認(rèn)證程序;同樣地�,appl在檢測下載的該升級或更新后的認(rèn)證程序安裝文件是否合法后,再進(jìn)行更新或升級�。在appl認(rèn)證升級或更新后的該認(rèn)證程序安裝文件合法后,手機(jī)卸載已安裝的認(rèn)證程序�,根據(jù)升級或更新后的該認(rèn)證程序安裝文件,安裝升級或更新后的該認(rèn)證程序����。
[0085]本實施例通過USB Key與終端配對成功后,將包括臨時密鑰的已簽名的第一安全檢測程序的安裝文件發(fā)送至終端����;終端安裝并運(yùn)行所述第一安全檢測程序���,通過所述臨時密鑰與所述USB Key建立通信連接;終端檢測到未安裝第二安全檢測程序或者已安裝的第二安全檢測程序不合法�,則向所述USB Key發(fā)送請求以獲取合法的第二安全檢測程序的安裝文件;終端根據(jù)獲取的合法的所述第二安全檢測程序的安裝文件�,安裝并運(yùn)行所述第二安全檢測程序;基于所述第一安全檢測程序和第二安全檢測程序����,與USB Key進(jìn)行數(shù)據(jù)交互的方法,有效地驗證終端上應(yīng)用程序的合法性�,避免了傳統(tǒng)的應(yīng)用程序自身驗證合法性所存在的安全隱患的問題,具有提高終端上應(yīng)用程序安全性的有益效果���,進(jìn)一步地���,保證了用戶個人信息的安全性。
[0086]基于上述實施例的具體描述����,請參照圖2,圖2是本發(fā)明信息安全保護(hù)方法又一實施例流程示意圖�����;本實施例與圖1所述實施例的區(qū)別是,僅增加了步驟SlO ;本實施例僅對步驟SlO進(jìn)行具體描述���;有關(guān)本發(fā)明信息安全保護(hù)方法所涉及的其他步驟����,請參照相關(guān)實施例的具體描述�,在此不再贅述。
[0087]如圖2所示��,本發(fā)明信息安全保護(hù)方法在步驟SOUUSB Key與終端配對成功后�����,將包括臨時密鑰的已簽名的第一安全檢測程序的安裝文件發(fā)送至終端之前還包括:
[0088]步驟S10���、USB Key對包括臨時密鑰的第一安全檢測程序的安裝文件進(jìn)行簽名。
[0089]USB Key對包括臨時密鑰的appl的安裝文件進(jìn)行簽名�。USB Key內(nèi)部保存了 USBKey發(fā)行方設(shè)置的未簽名的appl安裝文件;通常終端所使用的操作系統(tǒng)比如移動終端中的安卓系統(tǒng)�,必須先對appl進(jìn)行簽名后才能再安裝,其簽名信息包括appl的簽名和數(shù)字證書��,從而可以驗證appl是否為合法的appl。本實施例在安裝appl之前,通過USB Key對包括臨時密鑰的appl的安裝文件進(jìn)行簽名的方法���,具有確保appl的合法性和安全性的有益效果����。
[0090]基于上述實施例的具體描述�,請參照圖3,圖3是本發(fā)明信息安全保護(hù)方法中USBKey對包括臨時密鑰的第一安全檢測程序的安裝文件進(jìn)行簽名一實施例流程示意圖�����;本實施例對圖2所述實施例中“步驟S10���、USB Key對包括臨時密鑰的appl的安裝文件進(jìn)行簽名”進(jìn)行進(jìn)一步描述����;有關(guān)本發(fā)明信息安全保護(hù)方法所涉及的其他步驟請參照相關(guān)實施例的具體描述�����,在此不再贅述��。
[0091]如圖3所示,本發(fā)明信息安全保護(hù)方法中���,步驟S10�、USB Key對包括臨時密鑰的appl的安裝文件進(jìn)行簽名包括:
[0092]步驟SI 1�、獲取配對成功的所述終端的MAC地址;
[0093]步驟S12�、利用USB Key生成的非對稱密鑰對特征信息進(jìn)行加密,得到所述臨時密鑰�����;[0094]USB Key獲取配對成功的所述終端MAC地址���;本實施例中�����,USB Key通過藍(lán)牙技術(shù)與終端進(jìn)行無線通信;USB Key獲取所述終端的藍(lán)牙MAC地址��,以及USB Key自身的藍(lán)牙MAC地址����。
[0095]本實施例中,所述非對稱密鑰是USB Key生成的用于認(rèn)證appl和驗證通信密鑰的非對稱密鑰;該非對稱密鑰的私鑰不出USB Key����,因此,只有USB Key才能對該非對稱密鑰進(jìn)行解密���。
[0096]USB Key利用自身生成的非對稱密鑰對特征信息進(jìn)行加密��,得到臨時密鑰��。所述特征信息包括USB Key隨機(jī)生成的一個隨機(jī)數(shù)�、獲取的所述終端的MAC地址等���。
[0097]步驟S13��、將所述臨時密鑰填充至所述第一安全檢測程序的安裝文件的預(yù)定位置�;
[0098]步驟S14����、根據(jù)所述非對稱密鑰對包括所述臨時密鑰的第一安全檢測程序的安裝文件進(jìn)行簽名。
[0099]USB Key將得到的臨時密鑰填充至appl安裝文件的預(yù)定位置��,并將USB Key自身的藍(lán)牙MAC地址進(jìn)行加密����,將MAC地址加密后的密文和對應(yīng)的臨時密鑰填充至USB Key的預(yù)定位置����。在一優(yōu)選的實施例中�,也可以對USB Key的appl進(jìn)行程序加殼等處理,比如對可執(zhí)行程序資源進(jìn)行壓縮����。
[0100]USB Key利用非對稱密鑰對填充臨時密鑰之后的appl安裝文件進(jìn)行簽名。
[0101]本實施例USB Key通過利用包含USB Key和終端MAC地址等信息的特征信息進(jìn)行加密����,得到臨時密鑰后,對包括臨時密鑰的appl安裝文件進(jìn)行簽名的方法�����,具備能夠更改appl簽名方式的有益效果�����,使appl的簽名方式不受USB Key發(fā)行方的限制��。
[0102]請參照圖4���,圖4是本發(fā)明信息安全保護(hù)系統(tǒng)一實施例功能模塊示意圖���。如圖4所示,本發(fā)明信息安全保護(hù)系統(tǒng)包括=USB KeyOl和終端02�。
[0103]本實施例中,USB KeyOl通過藍(lán)牙與終端02進(jìn)行通信����,且USB KeyOl內(nèi)置appl和app2。USB KeyOl與終端02連接使用前��,終端02上必須安裝USB KeyOl內(nèi)置的appl�����,以獲取所述終端02對USB KeyOl的訪問授權(quán)��。
[0104]USB KeyOl開機(jī)啟動后�����,響應(yīng)用戶的控制指令��,在用戶操作界面上顯示USB KeyOl上的安裝入口菜單�����,進(jìn)入安裝appl的界面;用戶根據(jù)USB KeyOl上的顯示屏指示操作進(jìn)行安裝����,USB KeyOl接收用戶的操作指令,安裝appl�����。
[0105]終端02打開藍(lán)牙����,并設(shè)置為可見狀態(tài),以便被周圍的藍(lán)牙設(shè)備搜索發(fā)現(xiàn)���;USBKeyOl搜索到終端02時��,選擇終端02并進(jìn)行配對連接;USB KeyOl通過藍(lán)牙FTP協(xié)議將已經(jīng)簽名的appl的安裝文件發(fā)送給終端02��。本實施例中�,USB KeyOl可以先對未簽名的appl進(jìn)行簽名后����,再將簽名后的appl安裝文件發(fā)送至終端02 ;也可以直接將已簽名的appl直接發(fā)送給終端02��。
[0106]本實施例中,USB KeyOl直接將已簽名的appl直接發(fā)給終端02而不在USB KeyOl內(nèi)對appl進(jìn)行簽名的情況����,是在appl的發(fā)行方不允許更改appl簽名方式的應(yīng)用場景下執(zhí)行的。
[0107]終端02安裝并運(yùn)行USB KeyOl發(fā)送的appl的安裝文件,安裝appl,并運(yùn)行appl,通過appl安裝文件中所包含的臨時密鑰與USB KeyOl建立通信連接�。
[0108]在一優(yōu)選的實施例中,終端02安裝appl后�����,自動刪除appl安裝文件���。[0109]終端02安裝完appl后���,appl檢測終端02上是否安裝了 app2即所述第二安全檢測程序。終端02上若安裝了 app2���,則檢測已安裝的app2是否合法�;若已安裝的app2不合法����,或者��,檢測到終端02上沒有安裝app2��,則appl向USB KeyOl發(fā)送獲取合法的app2安裝文件的請求����;USB KeyOl根據(jù)終端02發(fā)送的請求,將合法的app2的安裝文件發(fā)送至終端
02����。appl根據(jù)USB KeyOl發(fā)送的合法的app2的安裝文件,引導(dǎo)安裝app2,終端02運(yùn)行已安裝的app2�����。
[0110]在一優(yōu)選的實施例中��,終端02安裝完成app2���,自動將app2安裝文件刪除�。
[0111]在一優(yōu)選的實施例中�����,若appl檢測到終端02上已安裝的app2不合法�����,則終端02發(fā)出對應(yīng)的提示,以提示用戶先將不合法的app2卸載�����。
[0112]終端02安裝完成appl和app2之后�����,運(yùn)行appl和app2��。appl向USB KeyOl發(fā)送生成特定密鑰的請求��,以生成特定密鑰���;并對生成的所述特定密鑰進(jìn)行加密,將加密后的所述特定密鑰保存在appl應(yīng)用程序內(nèi)部的目錄下。終端02基于appl和app2,通過所述特定密鑰與所述USB KeyOl進(jìn)行數(shù)據(jù)交互��。
[0113]appl和/或app2運(yùn)行時����,檢測USB KeyOl相關(guān)應(yīng)用程序的簽名和數(shù)字證書的合法性;同時�,USB KeyOl上的相關(guān)應(yīng)用也可以請求appl和/或app2驗證自己的合法性�����,也可以請求驗證使用USB KeyOl或者終端02的用戶身份的合法性����;比如�����,驗證該用戶是否為合法的已注冊用戶等���。同時���,app2用于實現(xiàn)USB Key的應(yīng)用界面、管理USB Key及USB Key應(yīng)用程序�,app2也可以提供USB KeyOl的相關(guān)應(yīng)用程序的下載和安裝管理?����;赼ppl和app2�����,終端02與USB KeyOl結(jié)合,實現(xiàn)對USB KeyOl的簽名操作�����。本實施例中���,USB KeyOl中各應(yīng)用程序的簽名和數(shù)字證書均由USB KeyOl的發(fā)行方簽發(fā)�����。
[0114]本實施例中,當(dāng)終端02從服務(wù)端下載到其他應(yīng)用程序的安裝文件后�����,終端02上已安裝的認(rèn)證程序即appl自動檢測新下載的應(yīng)用程序的安裝文件是否合法����,并在檢測到新下載的該應(yīng)用程序的安裝文件合法時,允許終端02根據(jù)該應(yīng)用程序的安裝文件����,安裝該應(yīng)用程序;appl在檢測到新下載的該應(yīng)用程序的安裝文件不合法時,禁止終端02安裝該應(yīng)用程序��,并提示終端02刪除下載的不合法的應(yīng)用程序安裝文件��。
[0115]本實施例中�,appl檢測下載的應(yīng)用程序安裝文件合法,包括:appl檢測下載應(yīng)用程序安裝文件中的認(rèn)證簽名與綁定密鑰中發(fā)行方密鑰對對該應(yīng)用程序安裝文件的認(rèn)證簽名是否一致�;在該應(yīng)用程序安裝文件中的認(rèn)證簽名與綁定密鑰中發(fā)行方密鑰對對該應(yīng)用程序安裝文件的認(rèn)證簽名一致時,appl檢測該應(yīng)用程序的安裝文件合法����;在該應(yīng)用程序安裝文件中的認(rèn)證簽名與綁定密鑰中發(fā)行方密鑰對對該應(yīng)用程序安裝文件的認(rèn)證簽名不一致時,appl檢測該應(yīng)用程序的安裝文件不合法��。
[0116]本實施例中�����,終端02下載的其他應(yīng)用程序安裝文件包括該認(rèn)證程序appl自身版本升級或更新后的認(rèn)證程序����;同樣地,appl在檢測下載的該升級或更新后的認(rèn)證程序安裝文件是否合法后�,再進(jìn)行更新或升級。在appl認(rèn)證升級或更新后的該認(rèn)證程序安裝文件合法后�,手機(jī)卸載已安裝的認(rèn)證程序����,根據(jù)升級或更新后的該認(rèn)證程序安裝文件��,安裝升級或更新后的該認(rèn)證程序�����。
[0117]本實施例通過USB Key與終端配對成功后�,將包括臨時密鑰的已簽名的第一安全檢測程序的安裝文件發(fā)送至終端;終端安裝并運(yùn)行所述第一安全檢測程序�,通過所述臨時密鑰與所述USB Key建立通信連接;終端檢測到未安裝第二安全檢測程序或者已安裝的第二安全檢測程序不合法�����,則向所述USB Key發(fā)送請求以獲取合法的第二安全檢測程序的安裝文件��;終端根據(jù)獲取的合法的所述第二安全檢測程序的安裝文件���,安裝并運(yùn)行所述第二安全檢測程序;基于所述第一安全檢測程序和第二安全檢測程序����,與USB Key進(jìn)行數(shù)據(jù)交互的方法,有效地驗證終端上應(yīng)用程序的合法性,避免了傳統(tǒng)的應(yīng)用程序自身驗證合法性所存在的安全隱患的問題���,具有提高終端上應(yīng)用程序安全性的有益效果����,進(jìn)一步地��,保證了用戶個人信息的安全性�。
[0118]基于圖4所述實施例的具體描述,請繼續(xù)參照圖4。圖4中,所述USB KeyOl還用于:
[0119]對包括臨時密鑰的第一安全檢測程序的安裝文件進(jìn)行簽名����。
[0120]USB KeyOl對包括臨時密鑰的appl的安裝文件進(jìn)行簽名。USB KeyOl內(nèi)部保存了USB KeyOl發(fā)行方設(shè)置的未簽名的appl安裝文件����;通常終端所使用的操作系統(tǒng)比如移動終端中的安卓系統(tǒng),必須先對appl進(jìn)行簽名后才能再安裝�,其簽名信息包括appl的簽名和數(shù)字證書,從而可以驗證appl是否為合法的appl����。
[0121]所述USB KeyOl對包括臨時密鑰的第一安全檢測程序的安裝文件進(jìn)行簽名包括:
[0122]USB KeyOl獲取配對成功的所述終端MAC地址;本實施例中����,USB KeyOl通過藍(lán)牙技術(shù)與終端進(jìn)行無線通信�����;USB KeyOl獲取所述終端的藍(lán)牙MAC地址����,以及USB KeyOl自身的藍(lán)牙MAC地址�。
[0123]本實施例中,所述非對稱密鑰是USB KeyOl生成的用于認(rèn)證appl和驗證通信密鑰的非對稱密鑰�����;該非對稱密鑰的私鑰不出USB KeyOl��,因此�,只有USB KeyOl才能對該非對稱密鑰進(jìn)行解密。
[0124]USB KeyOl利用自身生成的非對稱密碼對特征信息進(jìn)行加密����,得到臨時密鑰�。所述特征信息包括USB KeyOl隨機(jī)生成的一個隨機(jī)數(shù)、獲取的所述終端的MAC地址等���。
[0125]USB KeyOl將得到的臨時密鑰填充至appl安裝文件的預(yù)定位置���,并將USB KeyOl自身的藍(lán)牙MAC地址進(jìn)行加密��,將MAC地址加密后的密文和對應(yīng)的臨時密鑰填充至USBKeyOl的預(yù)定位置���。在一優(yōu)選的實施例中,也可以對USB KeyOl的appl進(jìn)行程序加殼等處理�����,比如對可執(zhí)行程序資源進(jìn)行壓縮��。
[0126]USB KeyOl利用非對稱密鑰對填充臨時密鑰之后的appl安裝文件進(jìn)行簽名�����。
[0127]本實施例在安裝appl之前����,通過USB Key對包括臨時密鑰的appl的安裝文件進(jìn)行簽名,具有確保appl的合法性和安全性的有益效果��;另外�����,USB Key通過利用包含USBKey和終端MAC地址等信息的特征信息進(jìn)行加密,得到臨時密鑰后��,對包括臨時密鑰的appl安裝文件進(jìn)行簽名�����,具備能夠更改appl簽名方式的有益效果����,使appl的簽名方式不受USBKey發(fā)行方的限制。
[0128]以上所述僅為本發(fā)明的優(yōu)選實施例�����,并非因此限制其專利范圍���,凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換�,直接或間接運(yùn)用在其他相關(guān)的【技術(shù)領(lǐng)域】����,均同理包括在本發(fā)明的專利保護(hù)范圍內(nèi)��。
【權(quán)利要求】
1.一種信息安全保護(hù)方法,其特征在于��,包括以下步驟: USB Key與終端配對成功后����,將包括臨時密鑰的已簽名的第一安全檢測程序的安裝文件發(fā)送至終端; 終端安裝并運(yùn)行所述第一安全檢測程序���,通過所述臨時密鑰與所述USB Key建立通信連接����; 所述第一安全檢測程序檢測到未安裝第二安全檢測程序或者已安裝的第二安全檢測程序不合法���,則向所述USB Key發(fā)送請求以獲取合法的第二安全檢測程序的安裝文件�; 所述第一安全檢測程序根據(jù)獲取的合法的所述第二安全檢測程序的安裝文件�,引導(dǎo)安裝所述第二安全檢測程序;終端基于所述第一安全檢測程序和第二安全檢測程序��,與USBKey進(jìn)行數(shù)據(jù)交互�����。
2.如權(quán)利要求1所述的方法�����,其特征在于,所述USBKey與終端配對成功后�,將包括臨時密鑰的已簽名的第一安全檢測程序的安裝文件發(fā)送至終端之前還包括: USB Key對包括臨時密鑰的第一安全檢測程序的安裝文件進(jìn)行簽名。
3.如權(quán)利要求2所述的方法��,其特征在于�,所述USBKey對包括臨時密鑰的第一安全檢測程序的安裝文件進(jìn)行簽名包括: USB Key獲取配對成功的所述終端的MAC地址; 利用USB Key生成的非對稱密鑰對包括USB Key生成的一個隨機(jī)數(shù)及獲取的所述終端的MAC地址的特征信息進(jìn)行加密����,得到所述臨時密鑰;` 將所述臨時密鑰填充至所述第一安全檢測程序的安裝文件的預(yù)定位置���; 根據(jù)所述非對稱密鑰對包括所述臨時密鑰的第一安全檢測程序的安裝文件進(jìn)行簽名�����。
4.如權(quán)利要求1或2所述的方法����,其特征在于�,所述終端安裝并運(yùn)行所述第一安全檢測程序包括: 終端安裝所述第一安全檢測程序后,刪除所述第一安全檢測程序的安裝文件。
5.如權(quán)利要求1或2所述的方法���,其特征在于,所述終端基于第一安全檢測程序和第二安全檢測程序�,與USB Key進(jìn)行數(shù)據(jù)交互包括: 所述第一安全檢測程序向所述USB Key發(fā)送生成特定密鑰的請求,以生成特定密鑰����;對生成的所述特定密鑰進(jìn)行加密,保存加密后的所述特定密鑰�; 所述終端基于所述第一安全檢測程序和第二安全檢測程序,通過所述特定密鑰與所述USB Key進(jìn)行數(shù)據(jù)交互��。
6.如權(quán)利要求5所述的方法����,其特征在于,所述終端基于所述第一安全檢測程序和第二安全檢測程序�,通過所述特定密鑰與所述USB Key進(jìn)行數(shù)據(jù)交互包括: 所述終端運(yùn)行所述第一安全檢測程序或第二安全檢測程序,與USB Key結(jié)合主動檢測除所述第一安全檢測程序和第二安全檢測程序以外的應(yīng)用程序的合法性或用戶身份的合法性�����; 或者�,根據(jù)接收到的應(yīng)用程序的檢測請求,檢測所述應(yīng)用程序的合法性或用戶身份的合法性。
7.如權(quán)利要求5所述的方法��,其特征在于��,所述第二安全檢測程序管理USBKey的應(yīng)用界面��、USB Key及USB Key應(yīng)用程序����;所述終端基于所述第一安全檢測程序和第二安全檢測程序,通過所述特定密鑰與所述USB Key進(jìn)行數(shù)據(jù)交互還包括:所述終端基于所述第一安全檢測程序和第二安全檢測程序��,與USB Key結(jié)合���,進(jìn)行USBKey的簽名操作�。
8.一種信息安全保護(hù)系統(tǒng)���,其特征在于�,包括: USB Key�����,用于與終端配對成功后�,將包括臨時密鑰的已簽名的第一安全檢測程序的安裝文件發(fā)送至終端����; 終端����,用于: 安裝并運(yùn)行所述第一安全檢測程序,通過所述臨時密鑰與所述USB Key建立通信連接; 檢測到未安裝第二安全檢測程序或者已安裝的第二安全檢測程序不合法�,則向所述USB Key發(fā)送請求以獲取合法的第二安全檢測程序的安裝文件�����; 根據(jù)獲取的合法的所述第二安全檢測程序的安裝文件�����,引導(dǎo)安裝所述第二安全檢測程序���;基于所述第一安全檢測程序和第二安全檢測程序�,與USB Key進(jìn)行數(shù)據(jù)交互���。
9.如權(quán)利要求8所述的系統(tǒng)��,其特征在于�,所述USBKey還用于: 對包括臨時密鑰的第一安全檢測程序的安裝文件進(jìn)行簽名。
10.如權(quán)利要求8或9所述的系統(tǒng)��,其特征在于����,所述USBKey還用于: USB Key獲取配對成功的所述終端的MAC地址; 利用USB Key生成的非對稱`密鑰對包括USB Key生成的一個隨機(jī)數(shù)及獲取的所述終端的MAC地址的特征信息進(jìn)行加密�,得到所述臨時密鑰; 將所述臨時密鑰填充至所述第一安全檢測程序的安裝文件的預(yù)定位置���; 根據(jù)所述非對稱密鑰對包括所述臨時密鑰的第一安全檢測程序的安裝文件進(jìn)行簽名�����。
11.如權(quán)利要求8所述的系統(tǒng)��,其特征在于�,所述終端還用于: 安裝所述第一安全檢測程序后�����,刪除所述第一安全檢測程序的安裝文件����。
12.如權(quán)利要求8或11所述的系統(tǒng)���,其特征在于,所述終端還用于: 向所述USB Key發(fā)送生成特定密鑰的請求���,以生成特定密鑰���;對生成的所述特定密鑰進(jìn)行加密,保存加密后的所述特定密鑰�����; 基于所述第一安全檢測程序和第二安全檢測程序�,通過所述特定密鑰與所述USB Key進(jìn)行數(shù)據(jù)交互���。
13.如權(quán)利要求12所述的系統(tǒng)�,其特征在于��,所述終端還用于: 運(yùn)行所述第一安全檢測程序或第二安全檢測程序�,與USB Key結(jié)合主動檢測除所述第一安全檢測程序和第二安全檢測程序以外的應(yīng)用程序的合法性或用戶身份的合法性; 或者���,根據(jù)接收到的應(yīng)用程序的檢測請求���,檢測所述應(yīng)用程序的合法性或用戶身份的合法性���。
14.如權(quán)利要求12所述的系統(tǒng),其特征在于�,所述終端還用于: 基于所述第一安全檢測程序和第二安全檢測程序,與USB Key結(jié)合����,進(jìn)行USB Key的簽名操作。
【文檔編號】G06F21/12GK103491080SQ201310416759
【公開日】2014年1月1日 申請日期:2013年9月12日 優(yōu)先權(quán)日:2013年9月12日
【發(fā)明者】陳柳章 申請人:深圳市文鼎創(chuàng)數(shù)據(jù)科技有限公司