本發明公開了一種安全訪問方法，應用于終端設備，所述方法包括：瀏覽器請求登錄服務端時，從服務端接收響應于登錄請求的第一驗證數據，并通過跨域訪問方式將第一驗證數據發送給本地服務模塊；本地服務模塊將第一驗證數據發送給與終端設備連接的信息安全設備，并從信息安全設備接收響應于第一驗證數據而生成的第二驗證數據；本地服務模塊通過跨域訪問方式將第二驗證數據發送給瀏覽器，并且瀏覽器將第二驗證數據返回給服務端，以由服務端對第二驗證數據進行驗證。本發明還公開了一種安全訪問終端設備和系統。通過本發明的安全訪問方案，在瀏覽器控件無法使用時也能安全地訪問本地信息安全設備。

技術領域

本發明涉及信息安全技術領域，特別涉及一種安全訪問方法、終端設備及系統。

背景技術

出于安全考慮，瀏覽器中運行的代碼不能訪問本地資源，因此也就無法訪問硬件設備。例如，用戶操作瀏覽器進入到某網站的驗證頁面時，瀏覽器無法直接調用硬件設備進行驗證。

目前通用的解決方法是通過瀏覽器中的控件去調用硬件設備獲取驗證信息，但某些操作系統可能會禁用瀏覽器的控件，導致瀏覽器無法訪問本地硬件設備。

發明內容

有鑒于此，本發明實施例提出了一種安全訪問方案，能夠實現通過瀏覽器對本地信息安全設備進行安全訪問而不受瀏覽器控件的限制。

為此，本發明實施例提出了一種安全訪問方法，應用于終端設備，所述方法包括：瀏覽器請求登錄服務端時，從服務端接收響應于登錄請求的第一驗證數據，并通過跨域訪問方式將第一驗證數據發送給本地服務模塊；本地服務模塊將第一驗證數據發送給與終端設備連接的信息安全設備，并從信息安全設備接收響應于第一驗證數據而生成的第二驗證數據；本地服務模塊通過跨域訪問方式將第二驗證數據發送給瀏覽器，并且瀏覽器將第二驗證數據返回給服務端，以由服務端對第二驗證數據進行驗證。

作為優選，第二驗證數據由所述信息安全設備通過用第一私鑰對第一驗證數據進行數字簽名而生成。

作為優選，第一驗證數據由服務端用第一公鑰對第一字符串加密生成，第二驗證數據由所述信息安全設備通過用第一私鑰對第一驗證數據解密后對解密數據計算哈希值而生成。

作為優選，所述方法還包括：瀏覽器通過跨域訪問方式向本地服務模塊發送數據加解密指令和待加解密的數據；本地服務模塊將所述數據加解密指令和待加解密的數據發送給所述信息安全設備，接收從所述信息安全設備返回的加解密數據，并通過跨域訪問方式將所述加解密數據返回給瀏覽器。

本發明實施例還提出了一種安全訪問終端設備，包括：瀏覽器，其配置為在請求登錄服務端時從服務端接收響應于登錄請求的第一驗證數據，并將第二驗證數據返回給服務端，以由服務端對第二驗證數據進行驗證；本地服務模塊，其配置為將第一驗證數據發送給與終端設備連接的信息安全設備，并從信息安全設備接收響應于第一驗證數據而生成的第二驗證數據；跨域訪問模塊，其配置為將第一驗證數據轉發給本地服務模塊，并將第二驗證數據轉發給瀏覽器。

作為優選，第二驗證數據由所述信息安全設備通過用第一私鑰對第一驗證數據進行數字簽名而生成。

作為優選，第一驗證數據由服務端用第一公鑰對第一字符串加密生成，第二驗證數據由所述信息安全設備通過用第一私鑰對第一驗證數據解密后對解密數據計算哈希值而生成。

作為優選，瀏覽器還配置為生成數據加解密指令，并發送數據加解密指令和待加解密的數據；本地服務模塊還配置為將所述數據加解密指令和待加解密的數據發送給所述信息安全設備，接收從所述信息安全設備返回的加解密數據；跨域訪問模塊還配置為將所述數據加解密指令和待加解密的數據轉發給本地服務模塊，并將所述加解密數據轉發給瀏覽器。

本發明實施例還提出了一種安全訪問系統，包括：上述實施例的安全訪問終端設備；服務端，其配置為根據所述登錄請求中的登錄信息確定預存的所述信息安全設備的公鑰作為第一公鑰，并用第一公鑰對第二驗證數據進行驗簽。