本发明专利技术公开了一种防止第三方访问目标应用的方法及系统,属于系统安全技术领域。本发明专利技术方法,包括:通过目标应用获取注册文件,并将所述注册文件拷贝到目标应用的Bin目录下,对所述目标应用的接口进行初始化;获取用户的授权信息以及有效期,然后生成随机数R1及R2,并初始化全局随机数R;发送用户的请求,并调用所述接口解析所述用户的请求,以获取解析信息,将解析信息与授权信息进行对比,判定所述用户的请求是否可执行,并生成校验随机数J;判断R和J是否相等,若不相等,则判断执行通过授权信息的校验,即确定未有第三方通过注入程序,跳过目标应用的某个函数来访问目标应用。本发明专利技术提高了税控开票软件系统和税控开票软件接口的安全性。的安全性。的安全性。
【技术实现步骤摘要】
一种防止第三方访问目标应用的方法及系统
[0001]本专利技术涉及系统安全
,并且更具体地,涉及一种防止第三方访问目标应用的方法及系统。
技术介绍
[0002]随着税控业务覆盖的行业增多,开票软件需求日益多元化,各大税务平台系统需要通过开票软件接口进行开票;出于利益驱动,不法份子通过技术手段暴力破解开票软件接口,进行发票虚开,以达到其偷税漏税的目的,因此,开票软件接口的安全性变得十分重要。传统的开票软件接口通过授权信息判断请求是否合法,不合法则直接退出,但不法分子通过技术手段跳过这些校验,直接进行开票等操作,造成了安全损失。
[0003]现有技术中的接口调用防注入方法和系统,在发送方和接收方两侧配置一致的排序规则,双方对URL请求根据该排序规则生成签名,根据生成的签名是否匹配来判断是否发生参数错误,实现了对URL请求参数的验证,解决了URL请求被恶意篡改的问题。但参数的排序规则可使用枚举法进行暴露破解,并未解决防注入的根本问题。
[0004]现有技术中针对单片机领域中的随机数发生器防注入式攻击的解决方案。根据第一随机数和随机数的长度生成第一校验码,根据第二随机数和第二随机数的长度生成第二校验码,两个校验码均校验成功,即判断随机数发生器状态正常。但两个校验码均为循环冗余校验计算,耗时较长,难以满足实时开票的场景需求。
技术实现思路
[0005]针对上述问题,本专利技术提出了一种防止第三方访问目标应用的方法,包括:
[0006]通过目标应用获取注册文件,并将所述注册文件拷贝到目标应用的 Bin目录下,
[0007]对所述目标应用的接口进行初始化;
[0008]获取用户的授权信息以及有效期,然后生成随机数R1及R2,并初始化全局随机数R;
[0009]发送用户的请求,并调用所述接口解析所述用户的请求,以获取解析信息,将解析信息与授权信息进行对比,判定所述用户的请求是否可执行,并生成校验随机数J;
[0010]判断R和J是否相等,若不相等,则判断执行通过授权信息的校验,即确定未有第三方通过注入程序,跳过目标应用的某个函数来访问目标应用。
[0011]可选的,判断R和J是否相等时,若R和J不等,则结束请求。
[0012]可选的,判定所述用户的请求是否可执行,若不可执行,则结束请求。
[0013]可选的,R=R1。
[0014]可选的,J=R1+2*R2。
[0015]本专利技术还提出了一种防止第三方访问目标应用的系统,包括:
[0016]初始化单元,通过目标应用获取注册文件,并将所述注册文件拷贝到目标应用的Bin目录下,对所述目标应用的接口进行初始化;
[0017]随机数生成单元,获取用户的授权信息以及有效期,然后生成随机数 R1及R2,并初始化全局随机数R;发送用户的请求,并调用所述接口解析所述用户的请求,以获取解析信息,将解析信息与授权信息进行对比,判定所述用户的请求是否可执行,并生成校验随机数J;
[0018]判断单元,判断R和J是否相等,若不相等,则判断执行通过授权信息的校验,即确定未有第三方通过注入程序,跳过目标应用的某个函数来访问目标应用。
[0019]可选的,判断R和J是否相等时,若R和J不等,则结束请求。
[0020]可选的,判定所述用户的请求是否可执行,若不可执行,则结束请求。
[0021]可选的,R=R1。
[0022]可选的,J=R1+2*R2。
[0023]本专利技术极大地提高了税控开票软件系统和税控开票软件接口的安全性。
附图说明
[0024]图1为本专利技术方法的流程图;
[0025]图2为本专利技术中解析注册文件获取授权信息流程图;
[0026]图3为本专利技术中税控开票系统的工作流程图;
[0027]图4为本专利技术的防止第三方访问目标应用的系统的结构示意图。
具体实施方式
[0028]现在参考附图介绍本专利技术的示例性实施方式,然而,本专利技术可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本专利技术,并且向所属
的技术人员充分传达本专利技术的范围。对于表示在附图中的示例性实施方式中的术语并不是对本专利技术的限定。在附图中,相同的单元/元件使用相同的附图标记。
[0029]除非另有说明,此处使用的术语(包括科技术语)对所属
的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
[0030]本专利技术中的目标应用,为系统,软件或者是程序等,本实施例以税控开票软件为例进行说明,实施例的具体操作流程如图1所示,具体如下:
[0031]用户通过注册获取注册文件,并将注册文件拷贝到税控开票软件Bin 目录下;
[0032]税控开票软件接口初始化,调用税控开票软件开卡功能获得授权信息和有效期。同时生成随机数R1,R2,初始化全局随机数R=R1;
[0033]用户调用税控开票软件接口发送请求;
[0034]税控开票软件接口解析用户请求,并将请求通过授权信息校验判断该请求是否可执行,若可行,则继续,否则返回并结束请求。在授权信息校验模块中生成校验随机数J,J=R1+2*R2;
[0035]税控开票软件接口通过判断R和J是否相等来判断是否执行过授权信息校验,若已执行则组装请求报文,并调用税控开票软件函数,若未执行,则返回并结束请求;
[0036]税控开票软件函数执行请求报文,并将结果返回给税控开票软件接口;
[0037]税控开票软件接口将返回的报文进行适配,组装成对应报文返回给用户,结束请求。
[0038]本专利技术包括增值税发票税控开票软件、增值税发票税控开票软件接口、注册文件、授权信息校验模块。
[0039]增值税发票税控开票软件用于增值税发票开具、发票信息存储、发票信息采集的软件系统。用户首先通过注册申请获得注册文件,并下载或拷贝注册文件到开票软件Bin目录下。开票软件解析注册文件获得授权信息和有效期,如图2所示。用户通过增值税发票税控开票软件接口组装报文调用税控开票软件生成用户请求,税控开票软件完成请求后将结果以报文形式返回给开票软件接口。
[0040]增值税发票税控开票软件接口用于根据授权信息校验请求是否可执行,若请求可执行,则解析用户输入的报文并请求,将请求适配为税控开票软件对应的报文请求,调用税控开票软件函数,并将税控开票软件返回值适配为对应报文返回给用户,否则直接返回并结束请求,如图3所示。
[0041]注册文件通过解析可以得到授权信息和有效期,授权信息包含税控开票软件各个函数功能的可用状态和授权。
[0042]授权信息校验模块用于判断是否有第三方通过注入程序跳过授权信息的校验,从而对非法的调用请求进行拦截。
[0043]本专利技术还提出了一种防止第三方访问目标应用的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种防止第三方访问目标应用的方法,所述方法包括:通过目标应用获取注册文件,并将所述注册文件拷贝到目标应用的Bin目录下,对所述目标应用的接口进行初始化;获取用户的授权信息以及有效期,然后生成随机数R1及R2,并初始化全局随机数R;发送用户的请求,并调用所述接口解析所述用户的请求,以获取解析信息,将解析信息与授权信息进行对比,判定所述用户的请求是否可执行,并生成校验随机数J;判断R和J是否相等,若不相等,则判断执行通过授权信息的校验,即确定未有第三方通过注入程序,跳过目标应用的某个函数来访问目标应用。2.根据权利要求1所述的方法,所述判断R和J是否相等时,若R和J不等,则结束请求。3.根据权利要求1所述的方法,所述判定所述用户的请求是否可执行,若不可执行,则结束请求。4.根据权利要求1所述的方法,所述R=R1。5.根据权利要求1所述的方法,所述J=R1+2*R2。6.一种防止第三方访问目标...
【专利技术属性】
技术研发人员:周晚晴,郭尚坤,魏贺生,单国军,谢宇,王鹏程,付丽丽,
申请(专利权)人:航天信息股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。