[发明专利]验证信息的获取方法及装置

说明书

本发明公开了一种验证信息的获取方法及装置，其中的方法包括：终端与网络设备协商用于对所述验证信息进行加解密的密钥，其中，所述验证信息是用于验证在目标应用程序执行特定服务过程中终端或用户的身份或权限的消息；所述网络设备利用所述密钥对验证信息进行加密，并将加密的验证信息发送给所述终端；所述终端利用协商的密钥对加密的验证信息进行解密，获得验证信息；在所述目标应用程序执行特定服务过程中，利用所述验证信息验证终端或用户的身份或权限。本发明可有效保证在应用程序上进行支付等业务操作的安全性。

技术领域

本发明涉及网络安全技术领域，具体涉及一种验证信息的获取方法及装置。本案为申请号为201410240511的分案申请。

背景技术

现有移动业务中，常常需要用户利用验证信息进行操作，以保证业务的安全性。用户可以通过短信或邮件等方式获取验证信息。例如，用手机注册帐号或进行支付时，需要服务端向当前手机号下发短信进行身份验证，且短信都以明文形式下发。但是目前一些操作系统(例如Android)平台比较开放，任意软件在注册短信权限后都可随意读取短信内容，在安全方面造成极大的隐患。

在许多认证，尤其是支付过程中，手机短信验证都是最后一道安全措施。通常而言是由服务器(服务提供商，例如支付宝)通过短信网关给用户此前绑定的手机号发送一个包含数字或字符的验证码的短信。用户收到短信之后将短信中的验证码通过手机APP或者认证或支付的WEB页面并提交给服务器。服务器根据提交的验证码判断是否的确是该用户在进行验证或者支付操作。

问题在于，作为私人物品的手机，其短信并不像服务提供商以及用户所理解的那么安全。随便打开一个手机并查看每一个安装的应用，就会发现，许多看似完全无关的应用都会要求阅读短信甚至是发送短信的权限。由此可见，用户是根本不会在意安装的应用拥有一些权限。一个恶意的木马应用完全可以悄无声息的读到前面所述的验证码。Android4.4以前的系统(目前市场上绝大部分Android手机)，木马甚至可以在无Root的情况下在偷窃了验证码短信之后删除该短信，在用户毫无察觉的情况下就盗走验证码。

除了恶意的木马可能盗取验证码短信之外，还有一个严重的问题是手机可能丢失。在手机丢失的情况，获得手机的人可以很容易的利用短信找回密码的功能进行非常多的操作，包括修改用户登录密码、支付、转账等等。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的验证信息的获取方法及装置。

依据本发明的一个方面，提供一种验证信息的获取方法，包括：终端与网络设备协商用于对所述验证信息进行加解密的密钥，其中，所述验证信息是用于验证在目标应用程序执行特定服务过程中终端或用户的身份或权限的消息；所述网络设备利用所述密钥对验证信息进行加密，并将加密的验证信息发送给所述终端；所述终端利用协商的密钥对加密的验证信息进行解密，获得验证信息；在所述目标应用程序执行特定服务过程中，利用所述验证信息验证终端或用户的身份或权限。

优选的，由所述终端上的所述目标应用程序执行所述与网络设备协商用于验证信息的密钥以及所述利用协商的密钥对加密的验证信息进行解密的步骤。

优选的，由所述终端上的安全应用程序执行与网络设备协商用于验证信息的密钥以及所述利用协商的密钥对加密的验证信息进行解密的步骤；所述终端与网络设备协商用于验证信息的密钥包括：所述安全应用程序与网络设备协商用于验证信息的密钥；在所述终端利用协商的密钥对加密的验证信息进行解密，获得验证信息之后，还包括：所述安全应用程序将所述验证信息提供给所述目标应用程序。

优选的，所述目标应用程序调用所述安全应用程序提供的接口，从所述安全应用程序获取所述验证信息。

优选的，所述方法还包括：所述安全应用程序验证所述目标应用程序的合法性，只有所述目标应用程序合法时，才将所述验证信息提供给所述目标应用程序。