技术领域 本发明涉及通信技术， 尤其涉及一种应用访问方法和设备。

背景技术 目前的很多应用对安全性要求很高， 比如， 网上银行客户端、 证券交易客 户端等， 当用户在自己的应用访问设备例如个人电脑上 使用上述的应用进 行涉及资金方面的交易时， 通常都会使用 USB key等专用加密设备， 实现 交易过程中的加解密等安全方案， 以保证交易过程的安全性， 即增强访问 该应用时的安全性。 现有技术中， 上述的专用加密设备内部一般都存储有 与该应用对应的一些安全信息， 例如数字证书、 私钥等； 在应用的访问过 程中， 应用会使用该专用加密设备中的上述安全信息 进行安全认证、 数据 加密等处理， 从而保证应用访问的安全。

但是这种方式的缺陷在于， 应用访问的安全性对于专用加密设备这些 外设的依赖性太强， 如果用户没有携带所述的专用加密设备， 则无法安全 地进行应用访问， 可能对用户的工作造成影响， 非常不方便； 并且， 对于 不同的应用还需要使用为该应用定制的专用加 密设备， 假设用户既要使用 网上银行客户端， 又要使用证券交易客户端， 则可能需要携带和使用两个 太强而造成应用访问的不便。

发明内容 本发明提供一种应用访问方法和设备， 以减少对安全外设的依赖。 第一方面， 提供一种应用访问方法， 所述方法包括： 应用访问设备生 成安全访问请求， 所述安全访问请求用于请求为运行在所述应用 访问设备 上的应用提供应用安全服务； 所述应用访问设备根据所述安全访问请求， 生成密钥对， 所述密钥对包括公钥和私钥； 所述应用访问设备使用所述公 钥向证书服务器申请获得数字证书， 并且所述应用访问设备通过所述数字 证书与应用服务器建立连接； 所述应用访问设备在与所述应用服务器建立 连接之后， 使用所述私钥对所述应用访问设备和应用服务 器之间传输的数 据进行加密处理。 结合第一方面， 在第一种可能的实现方式中， 所述应用访问设备生成 安全访问请求之后， 进一步包括： 所述应用访问设备存储所述数字证书与 所述应用的对应关系。 结合第一方面的第一种可能的实现方式， 在第二种可能的实现方式中， 在所述应用访问设备生成安全访问请求之后， 根据所述安全访问请求生成 密钥对之前， 进一步包括： 所述应用访问设备根据所述对应关系， 检测是 否已经存储与所述应用对应的数字证书； 在检测结果为是时， 直接执行通 过存储的所述数字证书与应用服务器建立连接 。

第二方面， 提供一种应用访问方法， 所述方法包括： 应用访问设备接 收应用运行设备发送的安全访问请求， 所述安全访问请求用于请求为运行 所述安全访问请求， 生成密钥对， 所述密钥对包括公钥和私钥； 所述应用 访问设备将所述公钥发送至所述应用运行设备 ， 以使得所述应用运行设备 使用所述公钥向证书服务器申请获得数字证书 ， 并且所述应用运行设备通 过所述数字证书与应用服务器建立连接； 所述应用访问设备在所述应用运 行设备与所述应用服务器建立连接之后， 使用所述私钥对所述应用运行设 备和应用服务器之间传输的数据进行加密处理 。

结合第二方面， 在第一种可能的实现方式中， 所述接收应用运行设备 发送的安全访问请求， 包括： 所述应用访问设备接收与所述应用访问设备 通过 USB连接、 WIFI连接、 NFC连接中的任意一种进行连接的所述应用 运行设备发送的安全访问请求。

结合第二方面或第二方面的第一种可能的实现 方式， 在第二种可能的 实现方式中， 所述应用访问设备接收应用运行设备发送的安 全访问请求， 包括： 所述应用访问设备通过 PKCS#11接口， 接收所述应用运行设备发送 的所述安全访问请求。

结合第二方面或第二方面的第一种可能的实现 方式， 在第三种可能的 实现方式中， 所述应用访问设备将所述公钥发送至所述应用 运行设备之后， 进一步包括： 所述应用访问设备接收所述应用运行设备发送 的所述数字证 书， 并存储所述数字证书与所述应用的对应关系。

结合第二方面的第三种可能的实现方式， 在第四种可能的实现方式中， 在所述应用访问设备接收应用运行设备发送的 安全访问请求之后， 根据所 述安全访问请求生成密钥对之前， 进一步包括： 所述应用访问设备根据所 述对应关系， 检测是否已经存储与所述应用对应的数字证书 ； 在检测结果 为是时， 直接执行将存储的所述数字证书发送至所述应 用运行设备， 以使

第三方面， 提供一种应用访问设备， 包括： 接口单元、 加密单元和应 用处理单元； 所述接口单元， 用于接收应用访问设备生成的安全访问请求， 所述安全访问请求用于请求为运行在所述应用 访问设备上的应用提供应用 安全服务； 所述加密单元， 用于根据所述安全访问请求， 生成密钥对， 所 述密钥对包括公钥和私钥； 以及， 在与所述应用服务器建立连接之后， 使 用所述私钥对所述应用访问设备和应用服务器 之间传输的数据进行加密处 理； 所述应用处理单元， 用于使用所述公钥向证书服务器申请获得数字 证 书， 并且通过所述数字证书与应用服务器建立连接 。

结合第三方面， 在第一种可能的实现方式中， 所述加密单元， 进一步 用于存储所述数字证书与所述应用的对应关系 。

结合第三方面的第一种可能的实现方式， 在第二种可能的实现方式中， 所述加密单元， 进一步用于在所述接口单元接收所述安全访问 请求之后， 根据所述安全访问请求生成密钥对之前， 根据存储的所述对应关系， 检测 是否已经存储与所述应用对应的数字证书； 所述应用处理单元， 进一步用 于在所述加密单元的检测结果为是时， 直接执行通过存储的所述数字证书 与应用服务器建立连接。

第四方面， 提供一种应用访问设备， 所述应用访问设备与应用运行设 备建立通信连接， 所述应用访问设备包括： 接口单元和加密单元； 所述接口单元， 用于接收所述应用运行设备发送的安全访问请 求， 所 全服务； 以及将所述加密单元将所述公钥发送至所述应 用运行设备， 以使 得所述应用运行设备使用所述公钥向证书服务 器申请获得数字证书， 并且

所述加密单元， 用于根据所述安全访问请求， 生成密钥对， 所述密钥 对包括公钥和私钥； 以及， 在所述应用运行设备与所述应用服务器建立连 接之后， 使用所述私钥对所述应用运行设备和应用服务 器之间传输的数据 进行加密处理。 结合第四方面， 在第一种可能的实现方式中， 所述接口单元， 用于接 收与所述应用访问设备通过 USB连接、 WIFI连接、 NFC连接中的任意一 种进行连接的所述应用运行设备发送的安全访 问请求。 结合第四方面、 或第四方面的第一种可能的实现方式， 在第二种可能 的实现方式中， 所述接口单元为 PKCS#11接口。

结合第四方面、 或第四方面的第一种可能的实现方式， 在第三种可能 的实现方式中， 所述接口单元， 进一步用于在将所述公钥发送至所述应用 运行设备之后， 接收所述应用运行设备发送的所述数字证书； 所述加密单

结合第四方面的第三种可能的实现方式， 在第四种可能的实现方式中， 所述加密单元， 进一步用于在所述接口单元接收应用运行设备 发送的安全 访问请求之后， 根据所述安全访问请求生成密钥对之前， 根据存储的所述 对应关系， 检测是否已经存储与所述应用对应的数字证书 ； 所述接口单元， 进一步用于在所述加密单元的检测结果为是时 ， 直接执行将所述加密单元 存储的所述数字证书发送至所述应用运行设备 ， 以使得所述应用运行设备 使用所述数字证书与应用服务器建立连接。 本发明提供的应用访问方法和设备的技术效果 是： 通过由应用访问设 备根据应用的安全访问请求而生成密钥对， 使得应用可以使用该密钥对进 行数字证书的申请以及数据的加密处理， 从而增强了该应用访问设备自身 的安全能力， 使得该应用访问设备可以提供对应用访问的安 全保证， 不再 需要在该应用访问设备的外部另外增加使用安 全外设， 减少了对安全外设 的依赖。

附图说明 为了更清楚地说明本发明实施例的技术方案， 下面将对实施例描述中 所需要使用的附图作一简单地介绍， 显而易见地， 下面描述中的附图仅仅 是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性 劳动的前提下， 还可以根据这些附图获得其他的附图。 图 1为本发明应用访问设备一实施例的结构示意� �； 图 2为本发明应用访问设备另一实施例的工作原� �示意图； 图 3为本发明应用访问设备又一实施例的结构示� �图； 图 4为本发明应用访问设备又一实施例的工作原� �示意图； 图 5为本发明应用访问设备又一实施例的工作原� �示意图； 图 6为本发明应用访问设备又一实施例的结构示� �图； 图 7为本发明应用访问设备又一实施例的结构示� �图； 图 8为本发明应用访问方法一实施例的流程示意� �； 图 9为本发明应用访问方法一实施例的流程示意� �。

具体实施方式 本发明实施例为了使得应用的访问减少对 USB Key等安全外设的依 赖， 对应用访问设备自身进行了安全能力的增强， 使得在不需要使用安全 外设的基础上， 由应用访问设备对应用访问提供安全保护。 所述的应用指的是， 例如， 网上银行、 证券交易等。 所述的应用访问 设备指的是该应用在使用时所用到的设备， 例如， 用户在自己的平板电脑 上启动了网上银行应用， 并使用该网上银行的服务， 则该平板电脑就称为 应用访问设备； 又例如， 用户在自己的笔记本上使用证券交易应用， 该应 用在使用过程中还用到了另一个设备比如平板 电脑上所提供的密钥对， 则 本实施例是将所述的提供密钥对的平板电脑称 为应用访问设备。 这些在后 续的具体实施例中还会详细说明， 总之本实施例的应用访问设备是指的能 够为应用提供安全保护服务的设备 (比如上述的提供密钥对的平板电脑）。 本发明实施例的应用访问方法， 是上述的应用访问设备所执行的方法， 即本发明实施例是对应用访问设备进行了改进 ， 使得该设备自身的安全能 力增强， 能够为应用的访问提供安全服务， 从而也使得应用访问的方法有 所变更。 基于此， 为使得本发明的方案描述更加清楚， 下面将首先对该应 用访问设备的结构进行说明。 本发明实施例的应用访问设备， 既可以为运行在该设备上的应用提供 访问设备可以有两种不同的结构。 下面将分别描述上述两种情况下的应用 访问设备的结构、 以及对应结构下的应用访问设备的工作原理： 实施例一 图 1 为本发明应用访问设备一实施例的结构示意图 ， 本实施例所述结 构的应用访问设备可以为运行在该设备上的应 用提供安全服务； 如图 1 所 示， 该应用访问设备可以包括： 接口单元 11、 加密单元 12和应用处理单元 13; 其中， 所述的接口单元 11 , 是用于接收用于请求提供应用安全服务的 安全访问请求； 所述的安全访问请求指的是， 例如， 在使用网上银行的应 用时， 当涉及到资金交易方面的操作， 比如用户点击触发网上银行上的某 个步骤， 此时网上银行运行所在的设备要连接网上银行 对应的应用服务器， 为了保证该设备与应用服务器之间的通信安全 ， 需要建立安全连接， 因此 设备就会向本实施例的应用访问设备发送所述 的安全访问请求， 请求提供 安全服务例如是请求生成密钥对。 接口单元 11会根据该安全访问请求指示 加密单元 12进行辅助应用建立所述安全连接的加密处理� �� 本实施例中， 应用访问设备上安装和运行应用， 该应用访问设备自身 生成所述的安全访问请求。 例如， 本实施例的应用访问设备上安装和运行 网上银行应用， 则上述安全访问请求实际上是由该应用访问设 备中的应用 处理单元（该应用处理单元是调用执行网上银 行应用的模块）发送安全访 问请求至接口单元 11。 当然， 上述的安全访问请求具体是在应用访问设备调 用执行应用的哪 个步骤时发送， 比如在笔记本上运行网上银行， 当该网上银行运行至何时 笔记本需要发送安全访问请求， 可以由应用开发者设定； 只要在需要保证 应用访问安全性时， 设计该应用自动触发应用访问设备向接口单元 11发送 安全访问请求， 即可由本实施例的应用访问设备为应用提供安 全服务。 所述的加密单元 12, 用于根据所述安全访问请求， 生成密钥对， 所述 密钥对包括公钥和私钥； 生成密钥对的操作可以釆用例如 RSA ( RSA公钥 力口密算法是 1977年由 Ron Rivest、 Adi Shamirh和 LenAdleman在美国麻省 理工学院开发的， RSA取名来自开发他们三者的名字）等常规技术 ， 不再 详述。 所述生成的公钥将由加密单元 12发送至接口单元 11 , 接口单元 11 再将该公钥发送至应用处理单元 13。 所述应用处理单元 13 , 用于使用所述公钥向证书服务器 （即数字证书 认证中心 （Certificate Authority, 简称： CA服务器） ) 申请获得数字证书 (证书服务器将釆用该公钥生成数字证书） ， 该数字证书是与该应用唯一 对应的证书； 并且所述应用访问设备将通过该数字证书与应 用服务器建立 安全连接。

其中， 将本实施例的应用访问过程与现有技术相比较 ， 现有技术的数 字证书是直接存储在 USB Key等专用加密设备中， 应用在运行时的应用访 问设备将直接使用加密设备中的数字证书与应 用服务器建立安全连接； 而 本实施例的应用在运行时是由应用访问设备内 部的加密单元为其生成公 钥， 应用访问设备自身使用该公钥进行数字证书的 申请并通过该证书建立 与应用服务器的连接。 上述区别的好处在于： 由于数字证书相当于应用的身份证， 不同的应 用对应于不同的数字证书， 所以现有技术中将数字证书预先存储在 USB Key 等加密设备中的方式， 也使得加密设备与应用具有对应性， 例如， 某 银行的网上银行使用的是加密设备 A, 另一个银行的网上银行使用的是加 密设备 B, 证券交易使用的加密设备 C等， 不仅需要用户随身携带加密设 备， 而且使用该多个应用时还需要携带多个不同的 加密设备， 非常不方便， 效率较低。 而本实施例的方案， 应用访问设备中的加密单元能够在应用的 访问过程中实时为该应用提供密钥对， 应用能够实时申请数字证书， 这种 加密单元不是对应于某种特定的应用的， 各种应用都可以使用该加密单元； 例如， 用户的平板电脑即为所述的应用访问设备， 该平板电脑上运行了网 上银行、 证券交易两种应用， 这两种应用在运行时平板电脑都可以请求加 密单元为其生成密钥对， 这种生成密钥对的服务可以为任意应用提供， 各 个应用在获得公钥后各自再申请与自身对应的 数字证书即可。 显然， 釆用 本实施例的应用访问设备， 可以为各种应用提供服务， 非常方便， 且提高 了应用的访问效率。 所述的应用访问设备通过所述数字证书与应用 服务器建立连接的过程 是常规技术， 简单说明如下： 应用访问设备向应用服务器发送连接请求， 携带与应用对应的数字证书， 应用服务器会将该数字证书发送至鉴权服务 器（即 VA服务器）进行验证， 如果鉴权服务器对该证书验证通过， 则应 用服务器就会向应用访问设备返回连接响应， 建立与该应用访问设备之间 的连接， 由于该连接是在证书验证通过后再建立的， 因此可以保证应用访 问设备和应用服务器之间的通信安全， 即为安全连接。 其中， 上述的鉴权 服务器对证书的验证， 是该鉴权服务器利用从证书服务器处接收到的 数字 证书与从应用服务器接收的证书进行比较， 如果两者一致则验证通过， 证 备鉴权服务器此时进行证书的验证工作。 本实施例的加密单元 12 , 进一步用于在应用访问设备与所述应用服务 器建立连接之后， 使用所述私钥对所述应用访问设备和应用服务 器之间传 输的数据进行加密处理。

这里所述的加密处理包括了： 对应用访问设备与应用服务器之间传输 的数据进行加密， 在应用访问设备侧加密后发送至应用服务器 （例如应用 访问设备利用私钥加密数据， 应用服务器利用公钥解密获得数据， 该公钥 是应用访问设备发送至应用服务器的） ， 也包括了对所述数据进行解密， 对应用服务器发送至应用访问设备的数据进行 解密 （例如应用服务器利用 公钥加密数据， 应用访问设备利用私钥解密获得数据） 。 本实施例的应用访问设备， 通过由应用访问设备根据用于请求提供应 用安全服务的安全访问请求而生成密钥对， 使得应用访问设备可以使用该 密钥对进行数字证书的申请以及数据的加密处 理， 建立与应用服务器的安 全连接， 从而增强了该应用访问设备自身的安全能力， 使得该应用访问设 备可以提供对应用访问的安全保证， 不再需要在该应用访问设备的外部另 外增加使用安全外设， 减少了对安全外设的依赖。 本发明实施例的应用访问设备， 既可以为运行在该设备上的应用提供 例二和实施例三描述这两种情况下的应用访问 设备的工作原理。 实施例二 本实施例的应用访问设备是为运行在该设备上 的应用提供安全服务， 图 2为本发明应用访问设备另一实施例的工作原� �示意图。

如图 2所示， 本实施例的应用访问设备以平板电脑为例， 应用以网上 银行为例， 网上银行是运行在平板电脑上的应用， 因此， 该平板电脑既是 应用访问设备（即为应用提供安全服务的设备 ） 又是应用运行设备（即安 装和运行应用的设备） 。 本实施例的应用访问设备中进一步包括应用处 理 单元 13 , 该应用处理单元 13用于调用和执行网上银行应用； 并且该应用处 理单元 13能够与接口单元 11通信交互。 此外， 由于本实施例的应用访问 设备同时也是应用运行设备， 该应用访问设备还能够与应用服务器、 证书 服务器通信连接， 本实施例中， 是由应用访问设备中的收发单元 14与上述 服务器通信的。 具体的， 应用处理单元 13调用执行网上银行， 网上银行开始在该平板 电脑上运行；在运行过程中（比如用户在该平 板电脑上启动使用网上银行）， 根据网上银行的设定， 在某个运行时间应用处理单元 13将会根据该网上银 行的预先设定发起安全访问请求， 该安全访问请求将发送至接口单元 11。 例如， 本实施例的平板电脑中安装 android系统， 运行在该系统中的网上银 行等应用在运行时应用处理单元 13可以向接口单元 11发送安全访问请求。 接口单元 11根据该安全访问请求指示加密单元 12执行生成密钥对的服务， 加密单元 12生成的公钥将通过接口单元 11返回给应用处理单元 13。 应用 处理单元 13将该公钥发送给收发单元 14, 指示收发单元 14利用该公钥向 证书服务器申请数字证书， 并使用该证书与应用服务器建立安全连接。 需要说明的是， 所述的收发单元 14仅仅是平板电脑与服务器通信的接 口， 实际要与服务器进行数据传输的仍然是应用处 理单元 13 , 比如， 应用 处理单元 13在调用运行网上银行时， 要向应用服务器传输数据， 该数据是 由应用处理单元 13发给收发单元 14, 收发单元 14仅负责将数据转发给应 用服务器， 本质上仍是应用处理单元 13与应用服务器之间的通信。 此外， 在平板电脑与应用服务器建立连接之后， 应用处理单元 13在向 应用服务器发送数据时，可以将该数据通过接 口单元 11发送至加密单元 12, 由加密单元 12对该数据加密后再通过接口单元 11返回给应用处理单元 13 , 应用处理单元 13再指示收发单元 14传输所述数据至应用服务器。 应用处 理单元 13在从收发单元 14接收到应用服务器发送的数据时， 可以将该数 据通过接口单元 11发送至加密单元 12 , 由加密单元 12对该数据解密后再 通过接口单元 11返回给应用处理单元 13 , 应用处理单元 13获得该数据， 通过该数据继续运行网上银行。 即网上银行与其应用服务器之间的数据加 解密处理也由加密单元 12负责。 实施例三 图 3 为本发明应用访问设备又一实施例的结构示意 图， 本实施例所述 他设备可以称为应用运行设备； 如图 3 所示， 该应用访问设备可以包括： 接口单元 31和加密单元 32; 其中， 所述的接口单元 31 , 是用于接收用于请求提供应用安全服务的 安全访问请求； 所述的安全访问请求指的是， 例如， 在使用网上银行的应 用时， 当涉及到资金交易方面的操作， 比如用户点击触发网上银行上的某 个步骤， 此时网上银行运行所在的设备要连接网上银行 对应的应用服务器， 为了保证该设备与应用服务器之间的通信安全 ， 需要建立安全连接， 因此 设备就会向本实施例的应用访问设备发送所述 的安全访问请求， 请求提供 安全服务例如是请求生成密钥对。 接口单元 31会根据该安全访问请求指示 加密单元 32进行辅助应用建立所述安全连接的加密处理� �� 本实施例中， 发送上述的安全访问请求的设备， 是安装和运行应用的 应用运行设备， 该应用运行设备是本实施例的应用访问设备之 外的其他设 备。 例如， 网上银行应用是安装和运行在其他设备上， 并不在本实施例的 应用访问设备， 比如是运行在某个笔记本上， 则上述安全访问请求是由所 述的笔记本发送给本实施例的应用访问设备的 接口单元 31。 当然， 上述的安全访问请求具体是在应用运行设备调 用执行应用的哪 个步骤时发送， 比如在笔记本上运行网上银行， 当该网上银行运行至何时 笔记本需要发送安全访问请求， 可以由应用开发者设定； 只要在需要保证 应用访问安全性时， 设计该应用自动触发应用运行设备向本实施例 应用访 问设备的接口单元 31发送安全访问请求， 即可由本实施例的应用访问设备 为应用提供安全服务。 所述的加密单元 32, 用于根据所述安全访问请求， 生成密钥对， 所述 密钥对包括公钥和私钥；生成密钥对的操作可 以釆用例如 RSA等常规技术， 不再详述。 所述生成的公钥将由加密单元 32发送至接口单元 31 , 再由接口 单元 31将公钥发送至应用运行设备， 以使得所述应用运行设备使用所述公 钥向证书服务器申请获得数字证书， 该数字证书是与该应用唯一对应的证 书。 所述应用运行设备将通过该数字证书与应用服 务器建立安全连接。 其中， 将本实施例的应用访问过程与现有技术相比较 ， 现有技术的数 字证书是直接存储在 USB Key等专用加密设备中， 应用在运行时的应用运 行设备将直接使用加密设备中的数字证书与应 用服务器建立安全连接； 而 本实施例的应用在运行时是由应用运行设备请 求应用访问设备中的加密单 元为其生成公钥， 应用运行设备自身使用该公钥进行数字证书的 申请并通 过该证书建立与应用服务器的连接。

上述区别的好处在于： 由于数字证书相当于应用的身份证， 不同的应 用对应于不同的数字证书， 所以现有技术中将数字证书预先存储在 USB Key 等加密设备中的方式， 也使得加密设备与应用具有对应性， 例如， 某 银行的网上银行使用的是加密设备 A, 另一个银行的网上银行使用的是加 密设备 B, 证券交易使用的加密设备 C等， 不仅需要用户随身携带加密设 备， 而且使用该多个应用时还需要携带多个不同的 加密设备， 非常不方便， 效率较低。 而本实施例的方案， 应用访问设备中的加密单元能够在应用的 访问过程中实时为该应用提供密钥对， 应用能够实时申请数字证书， 这种 加密单元不是对应于某种特定的应用的， 各种应用都可以使用该加密单元； 例如， 用户的平板电脑即为所述的应用访问设备， 该平板电脑上运行了网 上银行、 证券交易两种应用， 这两种应用在运行时平板电脑都可以请求加 密单元为其生成密钥对， 这种生成密钥对的服务可以为任意应用提供， 各 个应用在获得公钥后各自再申请与自身对应的 数字证书即可。 显然， 釆用 本实施例的应用访问设备， 可以为各种应用提供服务， 非常方便， 且提高 了应用的访问效率。

是常规技术， 简单说明如下： 应用运行设备向应用服务器发送连接请求， 携带与应用对应的数字证书， 应用服务器会将该数字证书发送至鉴权服务 器（即 VA服务器）进行验证， 如果鉴权服务器对该证书验证通过， 则应 用服务器就会向应用运行设备返回连接响应， 建立与该应用运行设备之间 的连接， 由于该连接是在证书验证通过后再建立的， 因此可以保证应用运 行设备和应用服务器之间的通信安全， 即为安全连接。 其中， 上述的鉴权 服务器对证书的验证， 是该鉴权服务器利用从证书服务器处接收到的 数字 证书与从应用服务器接收的证书进行比较， 如果两者一致则验证通过， 证 备鉴权服务器此时进行证书的验证工作。 本实施例的加密单元 32 , 进一步用于在应用运行设备与所述应用服务 器建立连接之后， 使用所述私钥对所述应用运行设备和应用服务 器之间传 输的数据进行加密处理。

这里所述的加密处理包括了： 对应用运行设备与应用服务器之间传输 的数据进行加密， 在应用运行设备侧加密后发送至应用服务器 （例如应用 运行设备利用私钥加密数据， 应用服务器利用公钥解密获得数据， 该公钥 是应用运行设备发送至应用服务器的） ， 也包括了对所述数据进行解密， 对应用服务器发送至应用运行设备的数据进行 解密 (例如应用服务器利用 公钥加密数据， 应用运行设备利用私钥解密获得数据） 。 本实施例的应用访问设备， 通过由应用访问设备根据用于请求提供应 用安全服务的安全访问请求而生成密钥对， 使得应用运行设备可以使用该 密钥对进行数字证书的申请以及数据的加密处 理， 建立与应用服务器的安 全连接， 从而增强了该应用访问设备自身的安全能力， 使得该应用访问设 备可以提供对应用访问的安全保证， 不再需要在该应用访问设备的外部另 外增加使用安全外设， 减少了对安全外设的依赖。

实施例四 本实施例的应用访问设备是为运行在其他设备 上的应用提供安全服 务， 该其他设备是与本实施例的应用访问设备通过 外部连接进行通信的设 备。 图 4为本发明应用访问设备又一实施例的工作原� �示意图。 如图 4所示， 本实施例的应用访问设备以平板电脑为例， 外部设备以 笔记本为例， 应用以网上银行为例， 网上银行是运行在笔记本上的应用， 因此， 平板电脑是应用访问设备， 笔记本是应用运行设备。 本实施例的笔 记本和平板电脑上可以均设置收发单元， 其中， 笔记本上设置有应用处理 单元 21和收发单元 22, 应用处理单元 21用于调用执行安装在笔记本上的 网上银行应用， 该笔记本能够与应用服务器和证书服务器通信 ， 还能够与 平板电脑通信， 由收发单元 22作为笔记本与上述服务器和平板电脑通信的 接口， 例如， 收发单元 22可以将应用处理单元 21发送的安全访问请求转 发给平板电脑， 并将平板电脑返回的公钥转发至应用处理单元 21。 平板电 脑上也设置有收发单元 33 , 作为平板电脑与笔记本通信的接口。 具体的， 笔记本上的应用处理单元 21调用执行网上银行， 网上银行开 始在笔记本上运行； 在运行过程中 （比如用户在该平板电脑上启动使用网 上银行） ， 根据网上银行的设定， 在某个运行时间应用处理单元 21将会根 据该网上银行的预先设定发起安全访问请求， 该安全访问请求将通过笔记 本上的收发单元 22、以及平板电脑上的收发单元 33发送至平板电脑上的接 口单元 31。 接口单元 31根据该安全访问请求指示加密单元 32执行生成密钥对的 服务， 加密单元 32生成的公钥将通过接口单元 31 以及上述的各收发单元 返回给笔记本上的应用处理单元 21。应用处理单元 21再利用该公钥向证书 服务器申请数字证书， 并使用该证书与应用服务器建立安全连接， 该过程 中的与服务器的通信通过收发单元 22转发。 此外， 在笔记本与其应用服务器建立连接之后， 本实施例的平板电脑 上的加密单元 32也可以负责应用处理单元 21与应用服务器之间的数据加 解密处理， 过程与上一实施例类似。 例如， 应用处理单元 21在向应用服务 器发送数据时， 可以通过笔记本上的收发单元 22、 平板电脑上的收发单元 33向接口单元 31发送数据加密请求， 携带需要加密的数据； 接口单元 31 据此指示加密单元 32进行数据加密处理； 加密单元 32对该数据加密后再 通过接口单元 31和上述各收发单元返回给笔记本上的应用处� ��单元 21 ,应 用处理单元 21再指示收发单元 22传输所述数据至应用服务器。 本实施例中， 所述的笔记本与平板电脑之间通过外部连接进 行通信， 所述的外部连接例如是通用串行总线 （Universal Serial BUS, 简称： USB ) 连接、 WIFI连接、 近场通信（Near Field Communication, 简称： NFC )连 接中的任意一种， 当然具体实施中也可以是其他连接方式， 以上几种仅为 举例。 例如，对于 USB连接， 笔记本可以通过 USB口向平板电脑上的接口 单元 31发送安全访问请求； 对于 WIFI连接，笔记本可以通过 WIFI网络接 口与平板电脑上的接口单元 31通信， 其中的 WIFI链路的安全由 802.11协 议保证； 对于 NFC连接， 笔记本通过 NFC接口与平板电脑通信， 其中的 NFC链路的安全由 NFC协议保证。 实施例五 图 5 为本发明应用访问设备又一实施例的工作原理 示意图， 本实施例 是以应用在应用访问设备内部运行为例来说明 ， 本实施例的原理也同样适 用于应用在外部设备运行的情况。 如图 5 所示， 平板电脑在向证书服务器申请获得数字证书之 后， 收发 单元 14会将从证书服务器接收到的数字证书发送至� ��用处理单元 13 ,然后 应用处理单元 13将该数字证书发送至接口单元 11 , 接口单元 11将该证书 发送至加密单元 12。 其中， 应用处理单元 13在向接口单元 11发送数字证 书时， 可以携带上该网上银行应用的标识， 这样接口单元 11就可以将应用 标识以及所述数字证书都发送至加密单元 12。加密单元 12存储接收到的所 述数字证书和应用标识， 并建立该数字证书与应用标识的对应关系， 也即 是建立了数字证书与所述网上银行应用的对应 关系。

进一步的， 当接口单元 11将应用处理单元 13发送的安全访问请求转 发至加密单元 12时， 即相当于当接口单元 11指示加密单元 12生成密钥对 是否已经存储与所述应用对应的数字证书， 当然， 上述的接口单元 11会将 网上银行应用的标识发送至加密单元 12。 在所述加密单元 12的检测结果为是时， 即存储有网上银行应用的数字 证书， 则加密单元 12会通过接口单元 11将存储的所述数字证书发送至应 用处理单元 13 , 此时应用处理单元 13将不需要再申请数字证书， 而是直接 使用所述数字证书与应用服务器建立连接。

当应用在外部设备运行时， 类似于图 4 所示的情况， 笔记本在向证书 服务器申请获得的数字证书后， 笔记本上的收发单元 22可以将该数字证书 发送给平板电脑进行存储； 具体的， 例如， 笔记本上的收发单元 22将数字 证书发送至平板电脑的收发单元 33 , 同时将与该证书对应的在笔记本上运 行的应用的应用标识也发送至收发单元 33;该收发单元 33再将数字证书和 应用标识发送至接口单元 31 , 接口单元 31发送给加密单元 32。 该加密单 元 32就会存储上述的数字证书和应用标识， 并建立起数字证书与应用标识 的对应关系。 当笔记本下一次要连接应用服务器时， 笔记本上的应用处理 单元 21就会指示收发单元 22将应用标识发送至平板电脑， 同样按照上述 的发送流程最终将应用标识发送至平板电脑的 加密单元 32。加密单元 32将 查询是否存储有与该应用标识对应的数字证书 ， 如果有， 则加密单元 32就 可以按照上述的反向流程将所述数字证书发送 给笔记本， 这样笔记本就不 需要再次去证书服务器获取证书了， 而是直接使用该存储的证书与应用服 务器建立连接即可。 如果加密单元 32查询自身没有存储应用标识对应的数 字证书， 则可以直接为笔记本开始进行安全服务， 生成密钥对， 将公钥返 回给笔记本， 以使得笔记本使用该公钥连接证书服务器去申 请数字证书， 相关过程可以参见上述实施例， 不再详述。 本实施例的方式， 即相当于应用运行设备在首次需要连接应用服 务器 时， 由本实施例的应用访问设备为其提供密钥对， 用于应用运行设备使用 该密钥申请数字证书； 并且， 应用运行设备会将该申请的证书也发送至应 用访问设备进行存储， 这样在应用运行设备下一次启动连接应用服务 器时， 应用访问设备检测如果已经存储有该应用对应 的证书， 则不再生成密钥对， 直接将所述证书发送至应用运行设备， 也提高了应用访问的效率。 实施例六 在以上的各实施例中， 应用访问设备中的接口单元例如可以釆用 PKCS#11接口， 所述加密单元例如可以是软件或者加密芯片的 实现方式。 图 6为本发明应用访问设备又一实施例的结构示� �图， 如图 6所示， 该设备是釆用软件方式， 加密单元是软加密模块， 即该加密单元的加密、 解密等处理都是基于软件算法实现， 支持常用的加密解密算法， 例如， 三 重数据加密算法 （ Triple Data Encryption Algorithm, 3DES )、 AESRC4、 消 息摘要算法第五版（ Message Digest Algorithm 5 , MD5 )、 DSA和 RSA等。 该软加密模块提供的加密、 解密、 生成密钥对、 以及签名、 签名验证等安 全服务都通过 PKCS#11接口提供给应用。 其中， 这种软件实现方式中， 在加密单元执行数据的加密、 解密、 生 成密钥对等各种处理过程中， 会涉及到一些数据緩存或者数据存储， 其使 用的存储介质是应用访问设备内部的一些存储 介质， 比如 emmc 芯片的存 储块， 存储过程是通过对 emmc芯片进行输入输出 ( Input/Output, 简称： 10 )操作实现， 对应用访问设备的文件系统不可见。 图 7为本发明应用访问设备又一实施例的结构示� �图， 如图 7所示， 该设备是釆用硬件方式， 加密单元是加密芯片， 即该加密单元的加密、 解 密等处理都是由驱动程序通过该加密芯片实现 ， 支持常用的加密解密算法。 该加密芯片提供的加密、 解密、 签名、 签名验证、 生成密钥对等安全服务 都通过 PKCS#11接口提供给应用。

其中， 这种硬件实现方式中， 在加密单元执行数据的加密、 解密、 生 成密钥对等各种处理过程中， 涉及到的数据存储， 其使用的存储介质是加 密芯片内置的存储器， 存储过程是通过该加密芯片的 10操作实现， 对文件 系统不可见（例如对 android系统不可见）。 实施例七 本实施例提供一种应用访问方法， 该方法是由应用访问设备执行。 图 8为本发明应用访问方法一实施例的流程示意� �， 本实施例的方法 是由为运行在设备自身上的应用提供安全服务 的应用访问设备执行； 本实 施例对方法仅做简单描述， 具体的执行原理可以结合参见设备实施例所述 。 如图 8所示， 可以包括：

801、 所述应用访问设备生成安全访问请求， 所述安全访问请求用于请 求为运行在所述应用访问设备上的应用提供应 用安全服务；

802、 所述应用访问设备根据所述安全访问请求， 生成密钥对， 所述密 钥对包括公钥和私钥；

803、 所述应用访问设备使用所述公钥向证书服务器 申请获得数字证 书， 并且所述应用访问设备通过所述数字证书与应 用服务器建立连接；

804、 所述应用访问设备在与所述应用服务器建立连 接之后， 使用所述 私钥对所述应用访问设备和应用服务器之间传 输的数据进行加密处理。 进一步的， 所述应用访问设备生成安全访问请求之后， 进一步包括： 所述应用访问设备存储所述数字证书与所述应 用的对应关系。 进一步的， 在所述应用访问设备生成安全访问请求之后， 根据所述安 全访问请求生成密钥对之前， 进一步包括： 所述应用访问设备根据所述对 应关系， 检测是否已经存储与所述应用对应的数字证书 ； 在检测结果为是 时， 则直接执行通过存储的所述数字证书与应用服 务器建立连接。 图 9为本发明应用访问方法一实施例的流程示意� �， 本实施例的方法 施例对方法仅做简单描述， 具体的执行原理可以结合参见设备实施例所述 。 如图 9所示， 可以包括：

901、 所述应用访问设备接收应用运行设备发送的安 全访问请求， 所述 服务；

902、 所述应用访问设备根据所述安全访问请求， 生成密钥对， 所述密 钥对包括公钥和私钥；

903、 所述应用访问设备将所述公钥发送至所述应用 运行设备， 以使得 所述应用运行设备使用所述公钥向证书服务器 申请获得数字证书， 并且所 述应用运行设备通过所述数字证书与应用服务 器建立连接；

904、 所述应用访问设备在所述应用运行设备与所述 应用服务器建立连 接之后， 使用所述私钥对所述应用运行设备和应用服务 器之间传输的数据 进行加密处理。 进一步的， 所述接收应用运行设备发送的安全访问请求， 包括： 所述 应用访问设备接收与所述应用访问设备通过 USB连接、 WIFI连接、 NFC 连接中的任意一种进行连接的所述应用运行设 备发送的安全访问请求。

进一步的， 所述应用访问设备具体是通过 PKCS#11接口， 接收所述应 用运行设备发送的所述安全访问请求。 进一步的， 所述应用访问设备将所述公钥发送至所述应用 运行设备之 后， 进一步包括： 所述应用访问设备接收所述应用运行设备发送 的所述数 字证书， 并存储所述数字证书与所述应用的对应关系。 进一步的， 在所述应用访问设备接收应用运行设备发送的 安全访问请 求之后， 根据所述安全访问请求生成密钥对之前， 进一步包括： 所述应用 访问设备根据所述对应关系， 检测是否已经存储与所述应用对应的数字证 书； 在检测结果为是时， 则直接执行将存储的所述数字证书发送至所述 应 立连接。 本领域普通技术人员可以理解： 实现上述各方法实施例的全部或部分 步骤可以通过程序指令相关的硬件来完成。 前述程序可以存储于一计算机 可读取存储介质中。 该程序在执行时， 执行包括上述各方法实施例的步骤； 而前述存储介质包括： ROM、 RAM, 磁碟或者光盘等可以存储程序代码的 介质。 最后应说明的是： 以上各实施例仅用以说明本发明的技术方案， 而非 对其限制； 尽管参照前述各实施例对本发明进行了详细的 说明， 本领域的 普通技术人员应当理解： 其依然可以对前述各实施例所记载的技术方案 进 行修改， 或者对其中部分或者全部技术特征进行等同替 换； 而这些修改或 者替换， 并不使相应技术方案的本质脱离本发明各实施 例技术方案的范围。