[发明专利]应用访问方法和设备

说明书

技术领域

本发明涉及通信技术，尤其涉及一种应用访问方法和设备。

背景技术

目前的很多应用对安全性要求很高，比如，网上银行客户端、证券交易客户端等，当用户在自己的应用访问设备例如个人电脑上使用上述的应用进行涉及资金方面的交易时，通常都会使用USB key等专用加密设备，实现交易过程中的加解密等安全方案，以保证交易过程的安全性，即增强访问该应用时的安全性。现有技术中，上述的专用加密设备内部一般都存储有与该应用对应的一些安全信息，例如数字证书、私钥等；在应用的访问过程中，应用会使用该专用加密设备中的上述安全信息进行安全认证、数据加密等处理，从而保证应用访问的安全。

但是这种方式的缺陷在于，应用访问的安全性对于专用加密设备这些外设的依赖性太强，如果用户没有携带所述的专用加密设备，则无法安全地进行应用访问，可能对用户的工作造成影响，非常不方便；并且，对于不同的应用还需要使用为该应用定制的专用加密设备，假设用户既要使用网上银行客户端，又要使用证券交易客户端，则可能需要携带和使用两个专用加密设备。总之，目前的保证应用安全访问的方法由于对外设依赖性太强而造成应用访问的不便。

发明内容

本发明提供一种应用访问方法和设备，以减少对安全外设的依赖。

第一方面，提供一种应用访问方法，所述方法包括：应用访问设备生成安全访问请求，所述安全访问请求用于请求为运行在所述应用访问设备上的应用提供应用安全服务；所述应用访问设备根据所述安全访问请求，生成密钥对，所述密钥对包括公钥和私钥；所述应用访问设备使用所述公钥向证书服务器申请获得数字证书，并且所述应用访问设备通过所述数字证书与应用服务器建立连接；所述应用访问设备在与所述应用服务器建立连接之后，使用所述私钥对所述应用访问设备和应用服务器之间传输的数据进行加密处理。

结合第一方面，在第一种可能的实现方式中，所述应用访问设备生成安全访问请求之后，进一步包括：所述应用访问设备存储所述数字证书与所述应用的对应关系。

结合第一方面的第一种可能的实现方式，在第二种可能的实现方式中，在所述应用访问设备生成安全访问请求之后，根据所述安全访问请求生成密钥对之前，进一步包括：所述应用访问设备根据所述对应关系，检测是否已经存储与所述应用对应的数字证书；在检测结果为是时，直接执行通过存储的所述数字证书与应用服务器建立连接。

第二方面，提供一种应用访问方法，所述方法包括：应用访问设备接收应用运行设备发送的安全访问请求，所述安全访问请求用于请求为运行在所述应用运行设备上的应用提供应用安全服务；所述应用访问设备根据所述安全访问请求，生成密钥对，所述密钥对包括公钥和私钥；所述应用访问设备将所述公钥发送至所述应用运行设备，以使得所述应用运行设备使用所述公钥向证书服务器申请获得数字证书，并且所述应用运行设备通过所述数字证书与应用服务器建立连接；所述应用访问设备在所述应用运行设备与所述应用服务器建立连接之后，使用所述私钥对所述应用运行设备和应用服务器之间传输的数据进行加密处理。

结合第二方面，在第一种可能的实现方式中，所述接收应用运行设备发送的安全访问请求，包括：所述应用访问设备接收与所述应用访问设备通过USB连接、WIFI连接、NFC连接中的任意一种进行连接的所述应用运行设备发送的安全访问请求。

结合第二方面或第二方面的第一种可能的实现方式，在第二种可能的实现方式中，所述应用访问设备接收应用运行设备发送的安全访问请求，包括：所述应用访问设备通过PKCS#11接口，接收所述应用运行设备发送的所述安全访问请求。

结合第二方面或第二方面的第一种可能的实现方式，在第三种可能的实现方式中，所述应用访问设备将所述公钥发送至所述应用运行设备之后，进一步包括：所述应用访问设备接收所述应用运行设备发送的所述数字证书，并存储所述数字证书与所述应用的对应关系。

结合第二方面的第三种可能的实现方式，在第四种可能的实现方式中，在所述应用访问设备接收应用运行设备发送的安全访问请求之后，根据所述安全访问请求生成密钥对之前，进一步包括：所述应用访问设备根据所述对应关系，检测是否已经存储与所述应用对应的数字证书；在检测结果为是时，直接执行将存储的所述数字证书发送至所述应用运行设备，以使得所述应用运行设备使用所述数字证书与应用服务器建立连接。