[发明专利]在能力开放系统中的终端安全性保护方法、装置及系统

说明书

本发明公开了一种在能力开放系统中的终端安全性保护方法、装置及系统，在通过安全中间件为终端多个应用提供服务时，能力开放系统网络侧与安全中间件之间进行安全认证，保证终端设置的安全中间件的安全性和合法性。更进一步地，终端中的各种应用和终端设置的安全中间件之间也进行安全性认证，保证每个应用在使用安全中间件服务时，应用及终端设置的安全中间件的安全性和合法性。

技术领域

本发明涉及通信领域中的能力开放系统，特别涉及一种在能力开放系统中的终端安全性保护方法、装置及系统。

背景技术

随着通信技术的发展，电信运营商可以通过通信系统的网络侧提供各种应用，由于不同应用是不同应用代理商提供的，所以就需要将通信系统的网络侧开放，成为能力开放系统。随着开放模式多样化，如何使得能力开放过程变得安全可靠，提高能力开放系统的自身竞争力，同时保障能力开放系统的自身能力不被滥用受到广泛关注。

为了使得能力开放系统便于应用提供商使用，且保证开放的安全，实现诸如应用内计费等移动互联网应用模式，能力开放系统中的终端必须集成或调用相关单元与能力开放系统网络侧进行安全协议通信，通过安全协议进行终端应用及终端身份认证。如采用每个终端应用均集成独立安全组件的方案，存在应用下载及更新时均产生较大的网络资源开销问题，且终端应用存储也带来不必要的开销。

在能力开放系统中，同一终端具有多个应用时可以采用调用设置的安全中间件实现，有效节省网络资源及终端存储资源。比如，申请号为03825201.5，名称为《中间件中的安全访问管理器》公开了一种用于控制对无线电信系统的移动终端的平台的访问的方法和系统。该系统包括具有软件服务构件和接口构件的平台，该接口构件具有至少一个接口，用于提供对软件服务构件的访问，以便能够在平台中安装，加载并运行应用域软件。访问控制器控制应用域软件经由至少一个接口对软件服务构件的访问。访问控制器包括拦截模块，用于从应用域软件接收访问软件服务构件的请求；以及包括安全访问管理器，用于确定是否应该准许许可请求。如果安全访问管理器准许该许可请求，则准许应用域软件经由至少一个接口访问软件服务构件。

但是，上述方案中未涉及该中间件本身合法性的认证，不能保证该中间件与能力开放系统网络侧交互时的安全。也就是说，安全中间件作为在能力开放系统中一个独立于终端的程序，充当终端与能力开放系统网络侧的应用交互媒介，一旦受到假冒及篡改的安全威胁，将导致应用中的消息泄露及拒绝服务等风险，造成使用终端的用户体验不佳，给能力开放系统运营造成损失。

因此，保证能力开放系统的网络侧、终端中的安全中间件的合法性、完整性及可用性是应用得以安全调用的前提与保证。目前能力开放系统通过安全中间件为终端提供多种应用的方案着重于解决终端和安全中间件的安全认证及交互，合理地缓解了网络负载问题，但是却引入了安全中间件本身身份合法性的安全隐患，尤其是安全中间件加载在多个终端之后，一个终端的安全中间件被攻破后，其他安装有相同安全中间件的终端也会存在安全问题。

发明内容

有鉴于此，本发明提供一种在能力开放系统中的终端安全性保护方法，该方法能够在通过安全中间件为终端提供多种应用时，保证终端的安全中间件的合法性及安全。

本发明还提供一种在能力开放系统中的终端安全性保护系统，该系能能够在通过安全中间件为终端提供多种应用时，保证终端的安全中间件的合法性及安全。

本发明还提供一种在能力开放系统中的终端安全性保护装置，该装置能够在通过安全中间件为终端提供多种应用时，保证终端的安全中间件的合法性及安全。

为达到上述目的，本发明实施的技术方案具体是这样实现的：

一种在能力开放系统中的终端安全性保护方法、该方法包括：

能力开放系统网络侧接收终端中的安全中间件发送的初始化请求，携带采用初始密钥计算的第一消息验证码及采用初始密钥加密的终端标识及终端号码；