[发明专利]移动终端中的插件调用安全验证方法及装置、移动终端

说明书

技术领域

本发明涉及移动通信领域，更为具体地，涉及一种移动终端浏览器中的插件调用安全验证方法及装置，以及一种具有该插件调用安全验证装置的移动终端。

背景技术

插件是计算机软件中的一种特殊程序，它不能单独执行，而必须依赖于某个软件。很多软件都具有插件，由于插件具有小而精的特点，并且能够实现软件本身不具有的功能，因此在软件上得到很广泛的应用。比如，在IE中，在安装相关的插件后，WEB浏览器能够直接调用插件程序，用于处理特定类型的文件。

目前，在利用移动终端进行网页浏览时，当在网页页面上调用插件时，比如调用flash插件时，由于插件本身可能被病毒或者黑客替换，所调起的插件可能会和本来需要调起的插件不同，这样可能会使得用户隐私数据遭受窃取，由此导致用户的重要数据泄露甚至造成用户财产损失。这个问题已经被广泛认知。因此，在调用插件时，需要对插件进行安全验证。

对于插件安全验证，目前只能在业务层面由网站本身进行插件的数据签名验证，而对于通用插件（或称第三方插件），浏览器并没有统一的插件安全校验机制来进行安全验证，从而导致恶意插件到处流行。一旦用户点击这类恶意插件，就会造成用户的重要信息泄露。由于移动终端和用户个人身份直接联系，因此，恶意插件对移动终端造成的危害比个人PC更大。

发明内容

鉴于上述问题，本发明的一个目的在于提供一种移动终端浏览器中的插件调用安全验证方法及装置，其能够在插件调用时进行安全验证，从而保证每个被调用的插件是安全且合法的。

本发明的另一目的在于提供一种包括上述插件调用安全验证装置的移动终端。

根据本发明的一个方面，提供了一种移动终端浏览器的插件调用安全验证方法，包括：在检测到对插件执行期望调用的操作后，从移动终端浏览器的插件管理器中获取该插件的插件ID和签名；将所获取的插件ID和签名与移动终端中预先存储的插件ID和签名进行比对验证，所述移动终端中预先存储的插件ID和签名是从用于配置插件的插件ID和签名信息的插件配置服务器下发的；根据比对验证结果，对该插件进行插件调用处理，其中，在所获取的插件ID以及签名都正确时，调用该插件；在所获得的插件ID正确但签名不正确时，不调用该插件同时提示进行插件更新；以及在所获取的插件ID不正确时，链接到插件管理服务器来对插件调用进行在线验证。

在上述方面的一个或多个示例中，在所获取的插件ID不正确时，链接到插件管理服务器进行在线验证可以包括：将所获取的插件ID和签名发送给插件管理服务器，以供在插件管理服务器中，将所接收的插件ID和签名与事先录入到插件管理服务器中的插件ID和签名进行比对校验；根据插件管理服务器返回的比对校验结果，对该插件进行插件调用处理，其中，在比对校验结果表明所获取的插件ID不正确时，向用户发出告警信息，在比对校验结果表明所获取的插件ID正确但签名不正确时，不调用该插件并且提示进行插件更新，以及在比对校验结果表明所获取的插件ID和签名都正确时，调用该插件。

在上述方面的一个或多个示例中，移动终端中预先存储的插件ID和签名通过下述方式下载：在所述插件配置服务器准备好常用插件ID和签名后，所述插件配置服务器定期询问所述移动终端是否需要插件ID和签名；以及在所述移动终端需要插件ID和签名时，所述插件配置服务器将准备好的常用插件ID和签名下发给所述移动终端。

在上述方面的一个或多个示例中，所述移动终端中预先存储的插件ID和签名通过如下方式下载：所述移动终端查询所述插件配置服务器中是否存在新的插件ID和签名；以及在存在新的插件ID和签名时，所述插件配置服务器向所述移动终端下发该新的插件ID和签名。

在上述方面的一个或多个示例中，所述插件配置服务器在向所述移动终端下发插件ID和签名时，还下发使用加密算法对签名进行加密处理而生成的签名验证串，并且，在将所获取的插件ID和签名与预先存储的插件ID和签名进行比对验证之前，所述方法还包括：按照与所述加密算法对应的解密算法，对所下发的签名验证串进行验证；以及在验证成功时，执行所述比对验证，以及在验证失败时，不执行所述比对验证并且提示进行插件更新。