CN103491080A - 信息安全保护方法及系统 - Google Patents
信息安全保护方法及系统 Download PDFInfo
- Publication number
- CN103491080A CN103491080A CN201310416759.3A CN201310416759A CN103491080A CN 103491080 A CN103491080 A CN 103491080A CN 201310416759 A CN201310416759 A CN 201310416759A CN 103491080 A CN103491080 A CN 103491080A
- Authority
- CN
- China
- Prior art keywords
- safety detection
- detection program
- key
- terminal
- usb key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开一种信息安全保护方法及系统,通过USB Key提供一个可信赖的应用程序即第一安全检测程序,并通过该可信赖的应用程序来验证终端上的其他应用程序,从而有效地验证终端上应用程序的合法性,避免了传统的应用程序下载、安装无法验证合法性所存在的安全隐患的问题,具有提高终端上应用程序安全性的有益效果,进一步地,保证了用户个人信息的安全性。
Description
技术领域
本发明涉及信息安全技术,还涉及智能密钥领域,尤其涉及一种信息安全保护方法及系统。
背景技术
随着无线互联网的发展,电子银行也得到了广泛的应用,并逐步从传统PC扩展到手机、平板电脑等移动设备上。目前终端上的电子银行应用有两种方式:借助浏览器访问交易网页完成交易的B/S架构,以及在终端上安装应用客户端完成交易的C/S架构。B/S架构必须依赖浏览器,而浏览器作为一种开放的基础性应用软件,存在较高的安全隐患;而C/S架构则是各银行独立开发的应用软件,相较于B/S架构,具备一定的安全性。
但由于C/S架构需要安装客户端软件,因此存在客户端软件可能被替换的安全风险;比如非法程序误导用户安装假冒的客户端软件,从而利用假冒的客户端软件套取用户的个人账户和密码信息等;因此,采用上述方式在C/S架构上安装客户端软件存在较高的安全风险。
发明内容
鉴于此,有必要提供一种信息安全保护方法及系统,旨在解决C/S架构上安装客户端软件所存在的安全隐患。
本发明实施例公开了一种信息安全保护方法,包括以下步骤:
USB Key与终端配对成功后,将包括临时密钥的已签名的第一安全检测程序的安装文件发送至终端;
终端安装并运行所述第一安全检测程序,通过所述临时密钥与所述USBKey建立通信连接;
所述第一安全检测程序检测到未安装第二安全检测程序或者已安装的第二安全检测程序不合法,则向所述USB Key发送请求以获取合法的第二安全检测程序的安装文件;
所述第一安全检测程序根据获取的合法的所述第二安全检测程序的安装文件,引导安装所述第二安全检测程序;终端基于所述第一安全检测程序和第二安全检测程序,与USB Key进行数据交互。
优选地,所述USB Key与终端配对成功后,将包括临时密钥的已签名的第一安全检测程序的安装文件发送至终端之前还包括:
USB Key对包括临时密钥的第一安全检测程序的安装文件进行签名。
优选地,所述USB Key对包括临时密钥的第一安全检测程序的安装文件进行签名包括:
USB Key获取配对成功的所述终端的MAC地址;
利用USB Key生成的非对称密钥对包括USB Key生成的一个随机数及获取的所述终端的MAC地址的特征信息进行加密,得到所述临时密钥;
将所述临时密钥填充至所述第一安全检测程序的安装文件的预定位置;
根据所述非对称密钥对包括所述临时密钥的第一安全检测程序的安装文件进行签名。
优选地,所述终端安装并运行所述第一安全检测程序包括:
终端安装所述第一安全检测程序后,删除所述第一安全检测程序的安装文件。
优选地,所述终端基于所述第一安全检测程序和第二安全检测程序,与USB Key进行数据交互包括:
所述第一安全检测程序向所述USB Key发送生成特定密钥的请求,以生成特定密钥;对生成的所述特定密钥进行加密,保存加密后的所述特定密钥;
所述终端基于所述第一安全检测程序和第二安全检测程序,通过所述特定密钥与所述USB Key进行数据交互。
优选地,所述终端基于所述第一安全检测程序和第二安全检测程序,通过所述特定密钥与所述USB Key进行数据交互包括:
所述终端运行所述第一安全检测程序或第二安全检测程序,与USB Key结合主动检测除所述第一安全检测程序和第二安全检测程序以外的应用程序的合法性或用户身份的合法性;
或者,根据接收到的应用程序的检测请求,检测所述应用程序的合法性或用户身份的合法性。
优选地,所述第二安全检测程序管理USB Key的应用界面、USB Key及USB Key应用程序;所述终端基于所述第一安全检测程序和第二安全检测程序,通过所述特定密钥与所述USB Key进行数据交互还包括:
所述终端基于所述第一安全检测程序和第二安全检测程序,与USB Key结合,进行USB Key的签名操作。
本发明实施例还公开一种信息安全保护系统,包括:
USB Key,用于与终端配对成功后,将包括临时密钥的已签名的第一安全检测程序的安装文件发送至终端;
终端,用于:
安装并运行所述第一安全检测程序,通过所述临时密钥与所述USB Key建立通信连接;
检测到未安装第二安全检测程序或者已安装的第二安全检测程序不合法,则向所述USB Key发送请求以获取合法的第二安全检测程序的安装文件;
根据获取的合法的所述第二安全检测程序的安装文件,引导安装所述第二安全检测程序;基于所述第一安全检测程序和第二安全检测程序,与USBKey进行数据交互。
优选地,所述USB Key还用于:
对包括临时密钥的第一安全检测程序的安装文件进行签名。
优选地,所述USB Key还用于:
USB Key获取配对成功的所述终端的MAC地址;
利用USB Key生成的非对称密钥对包括USB Key生成的一个随机数及获取的所述终端的MAC地址的特征信息进行加密,得到所述临时密钥;
将所述临时密钥填充至所述第一安全检测程序的安装文件的预定位置;
根据所述非对称密钥对包括所述临时密钥的第一安全检测程序的安装文件进行签名。
优选地,所述终端还用于:
安装所述第一安全检测程序后,删除所述第一安全检测程序的安装文件。
优选地,所述终端还用于:
向所述USB Key发送生成特定密钥的请求,以生成特定密钥;对生成的所述特定密钥进行加密,保存加密后的所述特定密钥;
基于所述第一安全检测程序和第二安全检测程序,通过所述特定密钥与所述USB Key进行数据交互。
优选地,所述终端还用于:
运行所述第一安全检测程序或第二安全检测程序,与USB Key结合主动检测除所述第一安全检测程序和第二安全检测程序以外的应用程序的合法性或用户身份的合法性;
或者,根据接收到的应用程序的检测请求,检测所述应用程序的合法性或用户身份的合法性。
优选地,所述终端还用于:
基于所述第一安全检测程序和第二安全检测程序,与USB Key结合,进行USB Key的签名操作。
本发明实施例通过USB Key提供一个可信赖的应用程序即第一安全检测程序,并通过该可信赖的应用程序来验证终端上的其他应用程序,从而有效地验证终端上应用程序的合法性,避免了传统的应用程序下载、安装无法验证合法性所存在的安全隐患的问题,具有提高终端上应用程序安全性的有益效果,进一步地,保证了用户个人信息的安全性。
附图说明
图1是本发明信息安全保护方法一实施例流程示意图;
图2是本发明信息安全保护方法又一实施例流程示意图;
图3是本发明信息安全保护方法中USB Key对包括临时密钥的第一安全检测程序的安装文件进行签名一实施例流程示意图;
图4是本发明信息安全保护系统一实施例功能模块示意图。
本发明实施例目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
以下结合说明书附图及具体实施例进一步说明本发明的技术方案。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明信息安全保护方法及系统的实施例中,以二代USB Key作为终端app(Application,应用程序)的安全基础,通过USB Key提供内置的第一个可信赖的app(即所述的第一安全检测程序,后续为了便于描述均将其称为app1),并通过app1来下载、验证、管理验证终端上的其他app。在USB Key和终端未绑定时,无法使用USB Key;且在USB Key与终端配对成功后,终端上必须先安装USB Key内置的app1,通过终端安装USB Key内app1,使得USBKey与终端一对一绑定,即一个USB Key只能对应唯一的一个终端,这样该app1才能够正常使用。由于app1的授权是内置app1在终端上首次运行时动态生成的,必须要USB Key参与,因此仿冒的或者不合法的app1均不能取得授权,从而保证该可信赖的app1的安全性。
本发明信息安全保护方法及系统的下述实施例中,所述app1为USB Key发行方内置在USB Key中的app安装文件所对应的程序,即所述的第一安全检测程序;app1的主要功能是与终端通信连接后,代理终端对USB Key功能的访问、结合USB Key验证与电子银行业务相关的应用程序的合法性并引导安装app2。
所述app2为USB Key发行方内置在USB Key上的app,主要实现USB Key的应用界面、管理USB Key、管理USB Key相关应用程序、结合USB Key验证相关应用程序的合法性;app2安装以后,可以进行版本升级或者更新。
所述临时密钥由USB Key采用非对称密钥对特定信息加密生成,所述特定信息包括USB Key生成的一个随机数及获取的所述终端的MAC地址;所述特定信息还可以包括app1名称及USB Key的主机序列号等信息;所述临时密钥只有USB Key才能进行解密,且USB Key下电后,该临时密钥即失效。运行在终端上的app1利用所述临时密钥与USB Key建立通信连接后,可以访问USB Key特定部分的功能。
本发明信息安全保护方法及系统中的后续实施例中,将不再对上述内容进行重复描述。
基于以上描述,请参照图1,图1是本发明信息安全保护方法一实施例流程示意图;如图1所示,本发明信息安全保护方法包括以下步骤:
步骤S01、USB Key与终端配对成功后,将包括临时密钥的已签名的app1的安装文件发送至终端;
本实施例中,USB Key通过蓝牙与终端进行通信,且USB Key内置app1和app2。USB Key与终端连接使用前,终端上必须安装USB Key内置的app1,以获取所述终端对USB Key的访问授权。
USB Key开机启动后,响应用户的控制指令,在用户操作界面上显示USBKey上的安装入口菜单,进入安装app1的界面;用户根据USB Key上的显示屏指示操作进行安装,USB Key接收用户的操作指令,安装app1。
终端打开蓝牙,并设置为可见状态,以便被周围的蓝牙设备搜索发现;USB Key搜索到终端时,选择终端并进行配对连接;USB Key通过蓝牙FTP协议将已经签名的app1的安装文件发送给终端。本实施例中,USB Key可以先对未签名的app1进行签名后,再将签名后的app1安装文件发送至终端;也可以直接将已签名的app1直接发送给终端。
本实施例中,USB Key直接将已签名的app1直接发给终端而不在USB Key内对app1进行签名的情况,是在app1的发行方不允许更改app1签名方式的应用场景下执行的。
步骤S02、终端安装并运行app1,通过所述临时密钥与所述USB Key建立通信连接;
终端安装并运行USB Key发送的app1的安装文件,安装app1,并运行app1,通过app1安装文件中所包含的临时密钥与USB Key建立通信连接。
在一优选的实施例中,终端安装app1后,自动删除app1安装文件。
步骤S03、app1检测终端是否已安装app2;若否,则执行步骤S04;若是,则执行步骤S05;
步骤S04、向所述USB Key发送请求以获取合法的app2的安装文件;
步骤S05、检测已安装的app2是否合法;若合法,则执行步骤S07;若不合法,则返回执行步骤S04;
终端向USB Key发送请求,以获取合法的app2的安装文件之后,还需执行步骤:
步骤S06、app1根据获取的合法的app2的安装文件,引导安装app2;
步骤S07、终端基于app1和app2,与USB Key进行数据交互。
终端安装完app1后,app1检测终端上是否安装了app2即所述第二安全检测程序。终端上若安装了app2,则检测已安装的app2是否合法;若已安装的app2不合法,或者,检测到终端上没有安装app2,则app1向USB Key发送获取合法的app2安装文件的请求;USB Key根据终端发送的请求,将合法的app2的安装文件发送至终端。app1根据USB Key发送的合法的app2的安装文件,引导安装app2,终端运行已安装的app2。
在一优选的实施例中,终端安装完成app2,自动将app2安装文件删除。
在一优选的实施例中,若app1检测到终端上已安装的app2不合法,则终端发出对应的提示,以提示用户先将不合法的app2卸载。
终端安装完成app1和app2之后,运行app1和app2。app1向USB Key发送生成特定密钥的请求,以生成特定密钥;并对生成的所述特定密钥进行加密,将加密后的所述特定密钥保存在app1应用程序内部的目录下。终端基于app1和app2,通过所述特定密钥与所述USB Key进行数据交互。
app1和/或app2运行时,检测USB Key相关应用程序的签名和数字证书的合法性;同时,USB Key上的相关应用也可以请求app1和/或app2验证自己的合法性,也可以请求验证使用USB Key或者终端的用户身份的合法性;比如,验证该用户是否为合法的已注册用户等。同时,app2用于实现USB Key的应用界面、管理USB Key及USB Key应用程序,app2也可以提供USB Key的相关应用程序的下载和安装管理。基于app1和app2,终端与USB Key结合,实现对USB Key的签名操作。本实施例中,USB Key中各应用程序的签名和数字证书均由USB Key的发行方签发。
本实施例中,当终端从服务端下载到其他应用程序的安装文件后,终端上已安装的认证程序即app1自动检测新下载的应用程序的安装文件是否合法,并在检测到新下载的该应用程序的安装文件合法时,允许终端根据该应用程序的安装文件,安装该应用程序;app1在检测到新下载的该应用程序的安装文件不合法时,禁止终端安装该应用程序,并提示终端删除下载的不合法的应用程序安装文件。
本实施例中,app1检测下载的应用程序安装文件合法,包括:app1检测下载应用程序安装文件中的认证签名与绑定密钥中发行方密钥对对该应用程序安装文件的认证签名是否一致;在该应用程序安装文件中的认证签名与绑定密钥中发行方密钥对对该应用程序安装文件的认证签名一致时,app1检测该应用程序的安装文件合法;在该应用程序安装文件中的认证签名与绑定密钥中发行方密钥对对该应用程序安装文件的认证签名不一致时,app1检测该应用程序的安装文件不合法。
本实施例中,终端下载的其他应用程序安装文件包括该认证程序app1自身版本升级或更新后的认证程序;同样地,app1在检测下载的该升级或更新后的认证程序安装文件是否合法后,再进行更新或升级。在app1认证升级或更新后的该认证程序安装文件合法后,手机卸载已安装的认证程序,根据升级或更新后的该认证程序安装文件,安装升级或更新后的该认证程序。
本实施例通过USB Key与终端配对成功后,将包括临时密钥的已签名的第一安全检测程序的安装文件发送至终端;终端安装并运行所述第一安全检测程序,通过所述临时密钥与所述USB Key建立通信连接;终端检测到未安装第二安全检测程序或者已安装的第二安全检测程序不合法,则向所述USB Key发送请求以获取合法的第二安全检测程序的安装文件;终端根据获取的合法的所述第二安全检测程序的安装文件,安装并运行所述第二安全检测程序;基于所述第一安全检测程序和第二安全检测程序,与USB Key进行数据交互的方法,有效地验证终端上应用程序的合法性,避免了传统的应用程序自身验证合法性所存在的安全隐患的问题,具有提高终端上应用程序安全性的有益效果,进一步地,保证了用户个人信息的安全性。
基于上述实施例的具体描述,请参照图2,图2是本发明信息安全保护方法又一实施例流程示意图;本实施例与图1所述实施例的区别是,仅增加了步骤S10;本实施例仅对步骤S10进行具体描述;有关本发明信息安全保护方法所涉及的其他步骤,请参照相关实施例的具体描述,在此不再赘述。
如图2所示,本发明信息安全保护方法在步骤S01、USB Key与终端配对成功后,将包括临时密钥的已签名的第一安全检测程序的安装文件发送至终端之前还包括:
步骤S10、USB Key对包括临时密钥的第一安全检测程序的安装文件进行签名。
USB Key对包括临时密钥的app1的安装文件进行签名。USB Key内部保存了USB Key发行方设置的未签名的app1安装文件;通常终端所使用的操作系统比如移动终端中的安卓系统,必须先对app1进行签名后才能再安装,其签名信息包括app1的签名和数字证书,从而可以验证app1是否为合法的app1。本实施例在安装app1之前,通过USB Key对包括临时密钥的app1的安装文件进行签名的方法,具有确保app1的合法性和安全性的有益效果。
基于上述实施例的具体描述,请参照图3,图3是本发明信息安全保护方法中USB Key对包括临时密钥的第一安全检测程序的安装文件进行签名一实施例流程示意图;本实施例对图2所述实施例中“步骤S10、USB Key对包括临时密钥的app1的安装文件进行签名”进行进一步描述;有关本发明信息安全保护方法所涉及的其他步骤请参照相关实施例的具体描述,在此不再赘述。
如图3所示,本发明信息安全保护方法中,步骤S10、USB Key对包括临时密钥的app1的安装文件进行签名包括:
步骤S11、获取配对成功的所述终端的MAC地址;
步骤S12、利用USB Key生成的非对称密钥对特征信息进行加密,得到所述临时密钥;
USB Key获取配对成功的所述终端MAC地址;本实施例中,USB Key通过蓝牙技术与终端进行无线通信;USB Key获取所述终端的蓝牙MAC地址,以及USB Key自身的蓝牙MAC地址。
本实施例中,所述非对称密钥是USB Key生成的用于认证app1和验证通信密钥的非对称密钥;该非对称密钥的私钥不出USB Key,因此,只有USB Key才能对该非对称密钥进行解密。
USB Key利用自身生成的非对称密钥对特征信息进行加密,得到临时密钥。所述特征信息包括USB Key随机生成的一个随机数、获取的所述终端的MAC地址等。
步骤S13、将所述临时密钥填充至所述第一安全检测程序的安装文件的预定位置;
步骤S14、根据所述非对称密钥对包括所述临时密钥的第一安全检测程序的安装文件进行签名。
USB Key将得到的临时密钥填充至app1安装文件的预定位置,并将USBKey自身的蓝牙MAC地址进行加密,将MAC地址加密后的密文和对应的临时密钥填充至USB Key的预定位置。在一优选的实施例中,也可以对USB Key的app1进行程序加壳等处理,比如对可执行程序资源进行压缩。
USB Key利用非对称密钥对填充临时密钥之后的app1安装文件进行签名。
本实施例USB Key通过利用包含USB Key和终端MAC地址等信息的特征信息进行加密,得到临时密钥后,对包括临时密钥的app1安装文件进行签名的方法,具备能够更改app1签名方式的有益效果,使app1的签名方式不受USBKey发行方的限制。
请参照图4,图4是本发明信息安全保护系统一实施例功能模块示意图。如图4所示,本发明信息安全保护系统包括:USB Key01和终端02。
本实施例中,USB Key01通过蓝牙与终端02进行通信,且USB Key01内置app1和app2。USB Key01与终端02连接使用前,终端02上必须安装USB Key01内置的app1,以获取所述终端02对USB Key01的访问授权。
USB Key01开机启动后,响应用户的控制指令,在用户操作界面上显示USB Key01上的安装入口菜单,进入安装app1的界面;用户根据USB Key01上的显示屏指示操作进行安装,USB Key01接收用户的操作指令,安装app1。
终端02打开蓝牙,并设置为可见状态,以便被周围的蓝牙设备搜索发现;USB Key01搜索到终端02时,选择终端02并进行配对连接;USB Key01通过蓝牙FTP协议将已经签名的app1的安装文件发送给终端02。本实施例中,USBKey01可以先对未签名的app1进行签名后,再将签名后的app1安装文件发送至终端02;也可以直接将已签名的app1直接发送给终端02。
本实施例中,USB Key01直接将已签名的app1直接发给终端02而不在USBKey01内对app1进行签名的情况,是在app1的发行方不允许更改app1签名方式的应用场景下执行的。
终端02安装并运行USB Key01发送的app1的安装文件,安装app1,并运行app1,通过app1安装文件中所包含的临时密钥与USB Key01建立通信连接。
在一优选的实施例中,终端02安装app1后,自动删除app1安装文件。
终端02安装完app1后,app1检测终端02上是否安装了app2即所述第二安全检测程序。终端02上若安装了app2,则检测已安装的app2是否合法;若已安装的app2不合法,或者,检测到终端02上没有安装app2,则app1向USB Key01发送获取合法的app2安装文件的请求;USB Key01根据终端02发送的请求,将合法的app2的安装文件发送至终端02。app1根据USB Key01发送的合法的app2的安装文件,引导安装app2,终端02运行已安装的app2。
在一优选的实施例中,终端02安装完成app2,自动将app2安装文件删除。
在一优选的实施例中,若app1检测到终端02上已安装的app2不合法,则终端02发出对应的提示,以提示用户先将不合法的app2卸载。
终端02安装完成app1和app2之后,运行app1和app2。app1向USB Key01发送生成特定密钥的请求,以生成特定密钥;并对生成的所述特定密钥进行加密,将加密后的所述特定密钥保存在app1应用程序内部的目录下。终端02基于app1和app2,通过所述特定密钥与所述USB Key01进行数据交互。
app1和/或app2运行时,检测USB Key01相关应用程序的签名和数字证书的合法性;同时,USB Key01上的相关应用也可以请求app1和/或app2验证自己的合法性,也可以请求验证使用USB Key01或者终端02的用户身份的合法性;比如,验证该用户是否为合法的已注册用户等。同时,app2用于实现USB Key的应用界面、管理USB Key及USB Key应用程序,app2也可以提供USB Key01的相关应用程序的下载和安装管理。基于app1和app2,终端02与USB Key01结合,实现对USB Key01的签名操作。本实施例中,USBKey01中各应用程序的签名和数字证书均由USB Key01的发行方签发。
本实施例中,当终端02从服务端下载到其他应用程序的安装文件后,终端02上已安装的认证程序即app1自动检测新下载的应用程序的安装文件是否合法,并在检测到新下载的该应用程序的安装文件合法时,允许终端02根据该应用程序的安装文件,安装该应用程序;app1在检测到新下载的该应用程序的安装文件不合法时,禁止终端02安装该应用程序,并提示终端02删除下载的不合法的应用程序安装文件。
本实施例中,app1检测下载的应用程序安装文件合法,包括:app1检测下载应用程序安装文件中的认证签名与绑定密钥中发行方密钥对对该应用程序安装文件的认证签名是否一致;在该应用程序安装文件中的认证签名与绑定密钥中发行方密钥对对该应用程序安装文件的认证签名一致时,app1检测该应用程序的安装文件合法;在该应用程序安装文件中的认证签名与绑定密钥中发行方密钥对对该应用程序安装文件的认证签名不一致时,app1检测该应用程序的安装文件不合法。
本实施例中,终端02下载的其他应用程序安装文件包括该认证程序app1自身版本升级或更新后的认证程序;同样地,app1在检测下载的该升级或更新后的认证程序安装文件是否合法后,再进行更新或升级。在app1认证升级或更新后的该认证程序安装文件合法后,手机卸载已安装的认证程序,根据升级或更新后的该认证程序安装文件,安装升级或更新后的该认证程序。
本实施例通过USB Key与终端配对成功后,将包括临时密钥的已签名的第一安全检测程序的安装文件发送至终端;终端安装并运行所述第一安全检测程序,通过所述临时密钥与所述USB Key建立通信连接;终端检测到未安装第二安全检测程序或者已安装的第二安全检测程序不合法,则向所述USB Key发送请求以获取合法的第二安全检测程序的安装文件;终端根据获取的合法的所述第二安全检测程序的安装文件,安装并运行所述第二安全检测程序;基于所述第一安全检测程序和第二安全检测程序,与USB Key进行数据交互的方法,有效地验证终端上应用程序的合法性,避免了传统的应用程序自身验证合法性所存在的安全隐患的问题,具有提高终端上应用程序安全性的有益效果,进一步地,保证了用户个人信息的安全性。
基于图4所述实施例的具体描述,请继续参照图4。图4中,所述USBKey01还用于:
对包括临时密钥的第一安全检测程序的安装文件进行签名。
USB Key01对包括临时密钥的app1的安装文件进行签名。USB Key01内部保存了USB Key01发行方设置的未签名的app1安装文件;通常终端所使用的操作系统比如移动终端中的安卓系统,必须先对app1进行签名后才能再安装,其签名信息包括app1的签名和数字证书,从而可以验证app1是否为合法的app1。
所述USB Key01对包括临时密钥的第一安全检测程序的安装文件进行签名包括:
USB Key01获取配对成功的所述终端MAC地址;本实施例中,USB Key01通过蓝牙技术与终端进行无线通信;USB Key01获取所述终端的蓝牙MAC地址,以及USB Key01自身的蓝牙MAC地址。
本实施例中,所述非对称密钥是USB Key01生成的用于认证app1和验证通信密钥的非对称密钥;该非对称密钥的私钥不出USB Key01,因此,只有USBKey01才能对该非对称密钥进行解密。
USB Key01利用自身生成的非对称密码对特征信息进行加密,得到临时密钥。所述特征信息包括USB Key01随机生成的一个随机数、获取的所述终端的MAC地址等。
USB Key01将得到的临时密钥填充至app1安装文件的预定位置,并将USBKey01自身的蓝牙MAC地址进行加密,将MAC地址加密后的密文和对应的临时密钥填充至USB Key01的预定位置。在一优选的实施例中,也可以对USBKey01的app1进行程序加壳等处理,比如对可执行程序资源进行压缩。
USB Key01利用非对称密钥对填充临时密钥之后的app1安装文件进行签名。
本实施例在安装app1之前,通过USB Key对包括临时密钥的app1的安装文件进行签名,具有确保app1的合法性和安全性的有益效果;另外,USB Key通过利用包含USB Key和终端MAC地址等信息的特征信息进行加密,得到临时密钥后,对包括临时密钥的app1安装文件进行签名,具备能够更改app1签名方式的有益效果,使app1的签名方式不受USB Key发行方的限制。
以上所述仅为本发明的优选实施例,并非因此限制其专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (14)
1.一种信息安全保护方法,其特征在于,包括以下步骤:
USB Key与终端配对成功后,将包括临时密钥的已签名的第一安全检测程序的安装文件发送至终端;
终端安装并运行所述第一安全检测程序,通过所述临时密钥与所述USBKey建立通信连接;
所述第一安全检测程序检测到未安装第二安全检测程序或者已安装的第二安全检测程序不合法,则向所述USB Key发送请求以获取合法的第二安全检测程序的安装文件;
所述第一安全检测程序根据获取的合法的所述第二安全检测程序的安装文件,引导安装所述第二安全检测程序;终端基于所述第一安全检测程序和第二安全检测程序,与USB Key进行数据交互。
2.如权利要求1所述的方法,其特征在于,所述USB Key与终端配对成功后,将包括临时密钥的已签名的第一安全检测程序的安装文件发送至终端之前还包括:
USB Key对包括临时密钥的第一安全检测程序的安装文件进行签名。
3.如权利要求2所述的方法,其特征在于,所述USB Key对包括临时密钥的第一安全检测程序的安装文件进行签名包括:
USB Key获取配对成功的所述终端的MAC地址;
利用USB Key生成的非对称密钥对包括USB Key生成的一个随机数及获取的所述终端的MAC地址的特征信息进行加密,得到所述临时密钥;
将所述临时密钥填充至所述第一安全检测程序的安装文件的预定位置;
根据所述非对称密钥对包括所述临时密钥的第一安全检测程序的安装文件进行签名。
4.如权利要求1或2所述的方法,其特征在于,所述终端安装并运行所述第一安全检测程序包括:
终端安装所述第一安全检测程序后,删除所述第一安全检测程序的安装文件。
5.如权利要求1或2所述的方法,其特征在于,所述终端基于第一安全检测程序和第二安全检测程序,与USB Key进行数据交互包括:
所述第一安全检测程序向所述USB Key发送生成特定密钥的请求,以生成特定密钥;对生成的所述特定密钥进行加密,保存加密后的所述特定密钥;
所述终端基于所述第一安全检测程序和第二安全检测程序,通过所述特定密钥与所述USB Key进行数据交互。
6.如权利要求5所述的方法,其特征在于,所述终端基于所述第一安全检测程序和第二安全检测程序,通过所述特定密钥与所述USB Key进行数据交互包括:
所述终端运行所述第一安全检测程序或第二安全检测程序,与USB Key结合主动检测除所述第一安全检测程序和第二安全检测程序以外的应用程序的合法性或用户身份的合法性;
或者,根据接收到的应用程序的检测请求,检测所述应用程序的合法性或用户身份的合法性。
7.如权利要求5所述的方法,其特征在于,所述第二安全检测程序管理USB Key的应用界面、USB Key及USB Key应用程序;所述终端基于所述第一安全检测程序和第二安全检测程序,通过所述特定密钥与所述USB Key进行数据交互还包括:
所述终端基于所述第一安全检测程序和第二安全检测程序,与USB Key结合,进行USB Key的签名操作。
8.一种信息安全保护系统,其特征在于,包括:
USB Key,用于与终端配对成功后,将包括临时密钥的已签名的第一安全检测程序的安装文件发送至终端;
终端,用于:
安装并运行所述第一安全检测程序,通过所述临时密钥与所述USB Key建立通信连接;
检测到未安装第二安全检测程序或者已安装的第二安全检测程序不合法,则向所述USB Key发送请求以获取合法的第二安全检测程序的安装文件;
根据获取的合法的所述第二安全检测程序的安装文件,引导安装所述第二安全检测程序;基于所述第一安全检测程序和第二安全检测程序,与USBKey进行数据交互。
9.如权利要求8所述的系统,其特征在于,所述USB Key还用于:
对包括临时密钥的第一安全检测程序的安装文件进行签名。
10.如权利要求8或9所述的系统,其特征在于,所述USB Key还用于:
USB Key获取配对成功的所述终端的MAC地址;
利用USB Key生成的非对称密钥对包括USB Key生成的一个随机数及获取的所述终端的MAC地址的特征信息进行加密,得到所述临时密钥;
将所述临时密钥填充至所述第一安全检测程序的安装文件的预定位置;
根据所述非对称密钥对包括所述临时密钥的第一安全检测程序的安装文件进行签名。
11.如权利要求8所述的系统,其特征在于,所述终端还用于:
安装所述第一安全检测程序后,删除所述第一安全检测程序的安装文件。
12.如权利要求8或11所述的系统,其特征在于,所述终端还用于:
向所述USB Key发送生成特定密钥的请求,以生成特定密钥;对生成的所述特定密钥进行加密,保存加密后的所述特定密钥;
基于所述第一安全检测程序和第二安全检测程序,通过所述特定密钥与所述USB Key进行数据交互。
13.如权利要求12所述的系统,其特征在于,所述终端还用于:
运行所述第一安全检测程序或第二安全检测程序,与USB Key结合主动检测除所述第一安全检测程序和第二安全检测程序以外的应用程序的合法性或用户身份的合法性;
或者,根据接收到的应用程序的检测请求,检测所述应用程序的合法性或用户身份的合法性。
14.如权利要求12所述的系统,其特征在于,所述终端还用于:
基于所述第一安全检测程序和第二安全检测程序,与USB Key结合,进行USB Key的签名操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310416759.3A CN103491080A (zh) | 2013-09-12 | 2013-09-12 | 信息安全保护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310416759.3A CN103491080A (zh) | 2013-09-12 | 2013-09-12 | 信息安全保护方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103491080A true CN103491080A (zh) | 2014-01-01 |
Family
ID=49831039
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310416759.3A Pending CN103491080A (zh) | 2013-09-12 | 2013-09-12 | 信息安全保护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103491080A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105354507A (zh) * | 2015-10-23 | 2016-02-24 | 浙江远望软件有限公司 | 一种云环境下的数据安全保密方法 |
| CN105591791A (zh) * | 2015-04-10 | 2016-05-18 | 中国银联股份有限公司 | 用于安全性信息交互的设备 |
| CN105812332A (zh) * | 2014-12-31 | 2016-07-27 | 北京握奇智能科技有限公司 | 数据保护方法 |
| CN106096343A (zh) * | 2016-05-27 | 2016-11-09 | 腾讯科技(深圳)有限公司 | 消息访问控制方法及设备 |
| WO2019105290A1 (zh) * | 2017-11-29 | 2019-06-06 | 阿里巴巴集团控股有限公司 | 数据处理方法、可信用户界面资源数据的应用方法及装置 |
-
2013
- 2013-09-12 CN CN201310416759.3A patent/CN103491080A/zh active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105812332A (zh) * | 2014-12-31 | 2016-07-27 | 北京握奇智能科技有限公司 | 数据保护方法 |
| CN105591791A (zh) * | 2015-04-10 | 2016-05-18 | 中国银联股份有限公司 | 用于安全性信息交互的设备 |
| WO2016161968A1 (zh) * | 2015-04-10 | 2016-10-13 | 中国银联股份有限公司 | 用于安全性信息交互的设备 |
| TWI662491B (zh) * | 2015-04-10 | 2019-06-11 | 大陸商中國銀聯股份有限公司 | Device for security information interaction |
| CN105591791B (zh) * | 2015-04-10 | 2019-06-18 | 中国银联股份有限公司 | 用于安全性信息交互的设备 |
| CN105354507A (zh) * | 2015-10-23 | 2016-02-24 | 浙江远望软件有限公司 | 一种云环境下的数据安全保密方法 |
| CN105354507B (zh) * | 2015-10-23 | 2018-09-11 | 浙江远望软件有限公司 | 一种云环境下的数据安全保密方法 |
| CN106096343A (zh) * | 2016-05-27 | 2016-11-09 | 腾讯科技(深圳)有限公司 | 消息访问控制方法及设备 |
| CN106096343B (zh) * | 2016-05-27 | 2019-09-13 | 腾讯科技(深圳)有限公司 | 消息访问控制方法及设备 |
| US10791112B2 (en) | 2016-05-27 | 2020-09-29 | Tencent Technology (Shenzhen) Company Limited | Message right management method, device and storage medium |
| US11539687B2 (en) | 2016-05-27 | 2022-12-27 | Tencent Technology (Shenzhen) Company Limited | Message right management method, device and storage medium |
| WO2019105290A1 (zh) * | 2017-11-29 | 2019-06-06 | 阿里巴巴集团控股有限公司 | 数据处理方法、可信用户界面资源数据的应用方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103473498B (zh) | 应用程序安全验证方法及终端 | |
| WO2017177383A1 (zh) | 一种远程管理方法及设备 | |
| CN102414690B (zh) | 用特权签字创建安全网页浏览环境的方法和设备 | |
| WO2017071207A1 (zh) | 一种应用安装方法、相关装置及应用安装系统 | |
| US20140007213A1 (en) | Systems and methods for push notification based application authentication and authorization | |
| CN104010044A (zh) | 基于可信执行环境技术的应用受限安装方法、管理器和终端 | |
| JP5952973B2 (ja) | 端末とリモートサーバとの間の、サードパーティのポータルを介した相互認証の方法 | |
| JP2010537270A (ja) | 暗黙型自己インストールセキュリティ環境のための仮想トークン | |
| US9942047B2 (en) | Controlling application access to mobile device functions | |
| WO2006108788A1 (en) | Updating of data instructions | |
| CN107566413B (zh) | 一种基于数据短信技术的智能卡安全认证方法及系统 | |
| CN102300065A (zh) | 基于安卓平台的智能电视软件安全认证的方法 | |
| CN103491080A (zh) | 信息安全保护方法及系统 | |
| CN104102499A (zh) | 移动终端及其软件升级的方法 | |
| CN110135149A (zh) | 一种应用安装的方法及相关装置 | |
| EP1485783A2 (en) | Method and apparatus for secure mobile transaction | |
| CN104348616A (zh) | 一种访问终端安全组件的方法、装置及系统 | |
| CN103475661A (zh) | 认证程序的安全获取方法及系统 | |
| CN105743651B (zh) | 芯片安全域的卡应用使用方法、装置和应用终端 | |
| US20160352522A1 (en) | User Terminal For Detecting Forgery Of Application Program Based On Signature Information And Method Of Detecting Forgery Of Application Program Using The Same | |
| CN107004082A (zh) | 验证系统和方法 | |
| EP3085007B1 (en) | Push-based trust model for public cloud applications | |
| CN109842600B (zh) | 一种实现移动办公的方法、终端设备及mdm设备 | |
| CN106599619A (zh) | 一种验证方法及装置 | |
| KR101832354B1 (ko) | 애플리케이션 설치 방법, 컴퓨터 판독가능 매체 및 모바일 단말 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140101 |
|
| RJ01 | Rejection of invention patent application after publication |