[发明专利]对应用程序库的授权访问

说明书

相关申请交叉引用

本申请要求于2014年12月29日提交的美国临时申请号62/097,267的优先权，该临时申请的整个内容据此出于所有目的以引用方式并入。

背景技术

黑客可以利用软件应用程序的一种方式是将恶意代码嵌入应用程序中。如果该应用程序可以访问诸如账户凭证的安全敏感信息，则恶意代码可以调用该应用程序中的函数来获得对敏感信息的访问。然后，恶意代码可以通过将敏感信息发送到未经授权的远程站点来实施中继攻击。

本发明的实施例单独地或共同地解决了这个和其他问题。

发明内容

本发明的实施例提供了用于增强计算装置(例如，便携式通信装置)的安全性，特别地用于增强安装在计算装置上的应用程序的安全性的技术。在一些实施例中，应用程序可以被划分为公共部分和私有部分。私有部分可以是用于实现安全敏感函数(例如，诸如令牌请求、账户参数补充等的函数)的本地库。公共部分可以是用于实现非安全敏感函数(例如，用户界面相关函数、网络函数等)以及调用私有部分的安全敏感函数的函数的一组公共应用程序接口(API)。为了防止恶意代码访问在应用程序的私有部分中实现的安全敏感函数，使用在应用程序内在公共部分和私有部分之间建立的安全会话来执行对私有部分的访问。公共部分和私有部分之间可以共享授权密钥。当公共部分尝试调用在私有部分中实现的函数时，通过以下方式建立安全会话：生成会话ID，在密钥派生函数中组合会话ID和授权密钥以生成会话密钥，以及使用会话密钥加密来自公共部分的函数调用。私有部分然后可以解密被正确加密的函数调用并调用合适的函数。

在一些实施例中，便携式通信装置可以包括一个或多个处理器，以及耦接到该一个或多个处理器并存储计算机可读代码的存储器，该计算机可读代码当由该一个或多个处理器执行时，实现具有公共部分和私有部分的应用程序。公共部分可以被配置为向私有部分发送开始会话请求，从私有部分接收会话标识符(ID)，以及使用会话ID和密钥派生函数来生成会话密钥。公共部分还可以被配置为使用该会话密钥加密函数调用请求的有效负载，其中有效负载表示对在私有部分中实现的函数的函数调用，并且公共部分还可以被配置为将包括加密的有效负载的函数调用请求发送到私有部分。私有部分可以配置为执行正在函数调用请求中被调用的函数。

在一些实施例中，在具有公共部分和私有部分的应用程序中控制访问的过程可以包括由应用程序的公共部分向应用程序的私有部分发送开始会话请求，并且由公共部分从私有部分接收会话标识符(ID)。公共部分可以使用会话ID和密钥派生函数来生成会话密钥，并且使用会话密钥来加密函数调用请求的有效负载，其中有效负载表示对在私有部分中实现的函数的函数调用。公共部分然后可以将包括加密的有效负载的函数调用请求发送到私有部分以调用该函数。

在一些实施例中，在具有公共部分和私有部分的应用程序中控制访问的过程可以包括由应用程序的私有部分从应用程序的公共部分接收开始会话请求；以及响应于开始会话请求由私有部分生成会话ID。私有部分可以将会话ID发送到公共部分，并且使用会话ID和密钥派生函数来生成会话密钥。私有部分可以从公共部分接收包括加密的有效负载的函数调用请求，该有效负载表示对在私有部分中实现的函数的函数调用。私有部分可以使用会话密钥来解密加密的有效负载以取回该函数调用，并且执行该函数调用的函数。

附图说明

图1示出根据一些实施例的通信装置的框图。

图2示出根据一些实施例的用于控制对应用程序中的函数的访问的过程的流程图。

图3示出根据一些实施例的应用程序的概念框图。

图4示出根据一些实施例的系统的框图。

图5示出根据一些实施例的便携式通信装置的框图。

图6示出根据一些实施例的交易应用程序的概念框图。

图7示出根据一些实施例的在具有公共部分和私有部分的应用程序中控制访问的过程的流程图。

图8示出根据一些实施例的在具有公共部分和私有部分的应用程序中控制访问的过程的另一流程图。

具体实施方式