[发明专利]敏感信息的传输方法，装置及电子设备

说明书

本发明公开了一种敏感信息的传输方法，装置及电子设备，用于处理被保护的应用程序所要发送的敏感信息，其中，方法包括：获取所述应用程序生成的第一消息，所述第一消息携带有敏感信息的插入位置；在外部输入源提供敏感信息时生成敏感信息访问请求；根据所述访问请求获取所述敏感信息；根据所述敏感信息以及所述第一消息形成第二消息；加密所述第二消息；发送加密后的所述第二消息。本发明的敏感信息的访问请求是在外部输入源提供敏感信息时生成的，与应用程序无关，即敏感信息是依请求而访问的，且应用程序并不能够访问敏感信息，因此，即使病毒程序监视应用程序的输入或输出时，也不能抓取到敏感信息，从而能够提高传输敏感信息的安全性。

技术领域

本发明涉及信息安全技术领域，具体涉及一种敏感信息的传输方法，装置及电子设备。

背景技术

自网络通信诞生以来，信息在网络上的安全传输是一个非常重要的研究领域。现有技术中一般是利用某种加密算法，通过非信任网络将敏感信息从一个点安全的传送到另一个点。具体地，将需要安全传输的敏感信息在传输到远程计算机之前，在发送端使用某种加密算法(例如，公钥加密)对待传输的敏感信息进行加密。此外，发送端还需要为敏感信息生成消息认证码，以便接收端可以确认接收到的加密后的机密数据是正确的。

然而，尽管在发送端与接收端实际传输敏感信息期间，敏感信息可能是安全的，但是无论发送端或接收端如何安全，也不管加密算法的强度如何；敏感信息必须先以某种方式传递到发送端，然后才能通过网络传输。

现有技术中，数据处理系统如图1所示，该数据处理系统中的电子设备从软件层面上划分，由应用程序，安全信道提供者(Secure Channel Provider，简称为SCP)以及密码服务提供者(Password Service Provider，简称为PSP)组成；其中，SCP用于提供一个安全信道，以供消息和数据安全的传输；PSP用于提供密码的生成、校验等服务。当用户在应用程序中完成敏感信息(如用户的信用卡号和密码等信息)的键入时，例如，当用户使用web浏览器时在网页上填写信息时，应用程序就直接访问敏感信息，并将敏感信息发送给安全信道提供者。安全信道提供者将敏感信息发送给密码服务提供者，用于对该敏感信息进行加密，并将加密后的敏感信息反馈给安全信道提供者，将加密后的敏感信息通过网络发送给远程设备。

然而上述技术方案中，由于敏感信息是由应用程序或安全信道提供者直接访问，那么病毒程序就可以监视可能包含敏感信息的应用程序传出的数据。例如，即使病毒程序不窥探用户输入到应用程序中的信息(用户的敏感信息由应用程序本身收集)，病毒程序也可以在其被传递出应用程序时收集信息。如果应用程序是web浏览器，则病毒程序可能会在敏感信息被加密之前收集由web浏览器发出的HTTP请求，并解析HTTP包以获得用户的敏感信息。

发明内容

有鉴于此，本发明实施例提供了一种敏感信息的传输方法，装置及电子设备，以解决敏感信息传输的安全性低的问题。

根据第一方面，本发明实施例提供了一种敏感信息的传输方法，用于处理被保护的应用程序所要发送的敏感信息，包括：

获取所述应用程序生成的第一消息，所述第一消息携带有敏感信息的插入位置；

在外部输入源提供敏感信息时生成敏感信息访问请求；

根据所述访问请求获取所述敏感信息；

根据所述敏感信息以及所述第一消息形成第二消息；

加密所述第二消息；

发送加密后的所述第二消息。

本发明实施例中，敏感信息的访问请求是在外部输入源提供敏感信息时生成的，与应用程序无关，即敏感信息是依请求而访问的，且应用程序并不能够访问敏感信息，因此，即使病毒程序监视应用程序的输入或输出时，也不能抓取到敏感信息，从而能够提高传输敏感信息的安全性。