WO2015180690A1

WO2015180690A1 - 验证信息的读取方法及装置

Info

Publication number: WO2015180690A1
Application number: PCT/CN2015/080323
Authority: WO
Inventors: 胡宇光
Original assignee: 北京奇虎科技有限公司; 奇智软件（北京）有限公司
Priority date: 2014-05-30
Filing date: 2015-05-29
Publication date: 2015-12-03
Also published as: US10136324B2; CN105207775A; US20170208470A1; CN105207775B

Abstract

本发明公开了一种控制应用程序读取验证信息的方法及装置，方法包括：在终端设置用于读取验证信息的安全APP策略，其中，验证信息是用于在执行特定服务过程中验证终端或用户的身份或权限的消息；当终端从网络设备接收到验证信息之后，应用程序请求获取所述验证信息；判断应用程序是否符合安全APP策略，根据判断结果，仅允许符合安全APP策略的应用程序读取验证信息；在执行特定服务过程中利用验证信息验证终端或用户的身份或权限。本发明通过预先设置安全APP策略，只有满足安全APP策略的APP才被允许访问验证信息，那么，对于木马等恶意应用程序，在其不符合安全APP策略的情况下，不能读取验证信息，从而可有效阻止非法应用程序窃取验证信息，保证信息安全。

Description

验证信息的读取方法及装置

技术领域

本发明涉及网络安全技术领域，具体涉及一种控制应用程序读取验证信息的方法及装置。

背景技术

现有移动业务中，常常需要用户利用验证信息进行操作，以保证业务的安全性。用户可以通过短信或邮件等方式获取验证信息。例如，用手机注册帐号或进行支付时，需要服务端向当前手机号下发短信进行身份验证，且短信都以明文形式下发。但是目前一些操作***(例如Android)平台比较开放，任意软件在注册短信权限后都可随意读取短信内容，在安全方面造成极大的隐患。

在许多认证，尤其是支付过程中，手机短信验证都是最后一道安全措施。通常而言是由服务器(服务提供商，例如支付宝)通过短信网关给用户此前绑定的手机号发送一个包含数字或字符的验证码的短信。用户收到短信之后将短信中的验证码通过手机APP或者认证或支付的WEB页面并提交给服务器。服务器根据提交的验证码判断是否的确是该用户在进行验证或者支付操作。

问题在于，作为私人物品的手机，其短信并不像服务提供商以及用户所理解的那么安全。随便打开一个手机并查看每一个安装的应用，就会发现，许多看似完全无关的应用都会要求阅读短信甚至是发送短信的权限。由此可见，用户是根本不会在意安装的应用拥有一些权限。一个恶意的木马应用完全可以悄无声息的读到前面所述的验证码。Android4.4以前的***(目前市场上绝大部分Android手机)，木马甚至可以在无Root的情况下在偷窃了验证码短信之后删除该短信，在用户毫无察觉的情况下就盗走验证码。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的控制应用程序读取验证信息的方法及装置。

依据本发明的一个方面，提供一种控制应用程序读取验证信息的方法，包括：在终端设置用于读取验证信息的安全应用程序策略，其中，所述验证信息是用于在执行特定服务过程中验证终端或用户的身份或权限的消息；当终端从网络设备接收到验证信息之后，所述应用程序请求获取所述验证信息；判断所述应用程序是否符合所述安全应用程序策略，根据判断结果，仅允许符合所述安全应用程序策略的应用程序读取所述验证信息；在执行所述特定服务过程中利用所述验证信息验证终端或用户的身份或权限。

依据本发明的另一个方面，提供一种控制应用程序读取验证信息的装置，包括：安全应用程序策略设置单元，用于在终端设置用于读取验证信息的安全应用程序策略，其中，所述验证信息是用于在执行特定服务过程中验证终端或用户的身份或权限的消息；验证信息读取请求单元，用于当终端从网络设备接收到验证信息之后，所述应用程序请求获取所述验证信息；安全应用程序策略判断单元，用于判断所述应用程序是否符合所述安全应用程序策略；验证信息读取控制单元，用于根据所述安全应用程序策略判断单元的判断结果，仅允许符合所述安全应用程序策略的应用程序读取所述验证信息；服务执行单元，用于在执行所述特定服务过程中利用所述验证信息验证终端或用户的身份或权限。

依据本发明的又一个方面，提供了一种计算机程序，其包括计算机可读代码，当所述计算机可读代码在终端上运行时，导致所述终端执行前项所述控制应用程序读取验证信息的方法。

依据据本发明的再一个方面，提供了一种计算机可读介质，其中存储了前项所述的计算机程序。

由上述实施例可以看出，与现有技术相比，本发明的有益效果在于：本发明通过预先设置安全APP策略，只有满足安全APP策略的APP才被允许访问验证信息，那么，对于木马等恶意应用程序，在其不符合安全APP策略的情况下，不能读取验证信息，从而可有效阻止非法应用程序窃取验证信息，保证信息安全。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了根据本发明一个实施例的控制应用程序读取验证信息的方法流程图；

图2示出了根据本发明一个实施例的控制应用程序读取验证信息的方法示意图；

图3示出了根据本发明一个实施例的控制应用程序读取验证信息的装置结构示意图；

图4示出了用于执行根据本发明的控制应用程序读取验证信息的方法的终端的框图；以及

图5示出了用于保持或者携带实现根据本发明的控制应用程序读取验证信息的方法的程序代码的存储单元。

具体实施例

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

参见图1，为本发明实施例提供的控制应用程序读取验证信息的方法流程图。包括以下步骤：

S101：在终端设置用于读取验证信息的安全APP策略，其中，所述验证信息是用于在执行特定服务过程中验证终端或用户的身份或权限的消息；

S102：当终端从网络侧接收到验证信息之后，应用程序请求获取验证信息；

S103：判断应用程序是否符合所述安全APP策略，如果是，允许该应用程序读取验证信息，否则，不允许该应用程序读取所述验证信息；

S104：在执行特定服务过程中利用验证信息验证终端或用户的身份或权限。

本发明中，终端是指具有通信功能的终端，例如，智能手机等。应用程序包括但不限于通信软件、支付软件或电商软件，例如现在流行的支付宝软件、微信等等。

在应用程序上执行特定服务是指利用验证信息通过终端或者用户的身份或权限的验证之后，在应用程序上执行支付、登录、下载等业务。

可以理解的是，验证信息是用在合法的应用程序上进行用户或者终端身份或权限验证的信息，例如支付过程中的验证码或验证图形等。验证信息的获取方式不限，现在常用的是通过短信方式获取验证信息，但是本发明对此不作限制，对于通过邮件或者即时通信工具等方式获取验证信息的方式都是可行的。

可见，本发明通过预先设置安全APP策略，只有满足安全APP策略的APP才被允许访问验证信息，那么，对于木马等恶意应用程序，在其不符合安全APP策略的情况下，不能读取验证信息，从而可有效阻止非法应用程序窃取验证信息，保证信息安全。

为了更好理解本发明，可以引入“目标应用程序(目标APP)”这一说法，所谓目标应用程序是指需要验证所述验证信息从而进行服务(业务)的应用程序。本发明中，就是要判断请求读取验证信息的APP是否属于目标APP。在具体判断中，又可以分为两个层次，一个是判断APP是否符合安全APP策略，也就是判断APP合法性，再一个是判断APP是否具有读取特定验证信息的权限，也就是判断APP权限。

判断APP合法性的方式可以有多种，这根据预置的安全APP策略而定。

例如，一种安全APP策略是：禁止所有非白APP读取验证信息。其中，所谓的“非白APP”是指不属于APP白名单的APP；APP白名单是指包含了安全的APP的集合。可以在实际操作通过学习机制确定APP白名单。在APP白名单中，可以采用APP标签作为每个APP的标识，那么，APP白名单就可以理解为以APP标签作为每个APP标识的安全的APP标签列表集合。其中，APP标签是指用于识别APP身份的唯一标识码，是可以通过APP产品查询到的，那么，通过搜集合法的APP的标签即可完成APP白名单的建立。例如，通过实际操作的学习机制，发现支付宝、微信、银行客户端等APP是安全的APP，那么，就可以以这些APP标签为关键字建立APP白名单，后续，如果有新的安全的APP，可以再不断向该APP白名单瑱加新成员。在确定了该安全APP策略(禁止所有非白APP读取验证信息)之后，那么，判断一个/一些特定APP是否符合安全APP策略的方式就是：判断该APP是否包含在预置的APP白名单中，如果是，则确定该APP符合安全APP策略，否则，则确定该APP符合安全APP策略。其中，判断该APP是否包含在预置的APP白名单中的步骤可进一步包括：判断该APP的标签是否包含在APP白名单中的APP标签列表中。

再例如，另一种安全APP策略是：禁止所有黑APP读取验证信息。其中，所谓的“黑APP”是指属于APP黑名单的APP；APP黑名单是指包含了不安全的APP(恶意的APP)的集合，是与上述的APP白名单对应的概念。可以在实际操作通过学习机制确定APP黑名单。在APP黑名单中，可以采用APP标签作为每个APP的标识，那么，APP黑名单就可以理解为以APP标签作为每个APP标识的不安全的APP标签列表集合。例如，通过实际操作的学习机制，发现某个APP是恶意的APP，那么，就可以以该APP标签为关键字建立APP黑名单，后续，如果有新的不安全的APP，可以再不断向该APP黑名单瑱加新成员。在确定了该安全APP策略(禁止所有黑APP读取验证信息)之后，那么，判断一个/一些特定APP是否符合安全APP策略的方式就是：判断该APP是否包含在预置的APP黑名单中，如果是，则确定该APP不符合安全APP策略，否则，则确定该APP符合安全APP策略。其中，判断该APP是否包含在预置的APP黑名单中的步骤可进一步包括：判断该APP的标签是否包含在APP黑名单中的APP标签列表中。

本发明实施例对APP白名单和APP黑名单的设置方式不作限制。例如，可以向用户提供安全APP策略设置界面；接收用户设置的安全APP参数，生成APP白名单和/或APP黑名单；或者，APP白名单和/或APP黑名单是通过云端服务器配置方式获取的，其中，云端服务器基于样本运营和人工智能方法配置APP白名单和/或APP黑名单；当然，用户设置与云端服务器配置这两种方式可结合使用。

判断APP权限的具体方式介绍如下。

判断APP是否是与提供验证信息的网络设备对应的应用程序，如果是，则确定APP具有读取验证信息的权限。其中，网络设备是指位于网络侧的与验证信息对应的功能实体，可有多种形式，比如，该网络设备可以是指APP服务器，也可以是指短信网关或者是短信网关的代理服务器。现在一般采用短信的方式发送验证信息，本领域技术人员了解，短信业务是由运营商控制的，那么，如果APP服务器要给终端发送APP业务的验证短信，一般都是借助运营商的短信业务线路进行发送，因此，一般情况下，需要借助短信网关或者短信网关代理服务器进行短信发送，当然也不排除APP服务器发送验证信息的可能性。一个具体例子是，支付宝服务器要给用户手机发送验证短信，一种较为优选的实现方式是，支付宝服务器将短信通过短信网关或者短信网关代理服务器发送给手机，显示在短信上。此步骤中，判断APP权限也就是判断APP是否是该验证信息对应的APP，比如，只有支付宝APP能读支付宝服务器发来的验证短信，只有微信APP能读微信服务器发来的验证短信。具体地，可通过判断APP标签是否与验证信息携带的网络设备标识对应，从而确定APP是否与提供验证信息的网络设备对应。比如，通过发送短信的号码进行判断。一个具体例子是，短信来自于号码“95559”，据此，是交通银行服务器发来的短信，那么，就仅允许交通银行APP(通过APP标签确定是否是交通银行APP)读取该短信。

可见，在本发明优选实施例中，不但判断APP的合法性，保证只有安全的APP才能具有读取验证信息的资格，而且，还进一步判断APP是否具有访问特定验证信息的权限，保证只有验证信息对应的APP才能读取该验证信息，双层次保证了信息的安全性。

本领域技术人员理解，操作***包括应用程序层(app层)和框架层(framework层)，至于从功能划分上有可能包括的的其他层本发明则不作讨论。其中，通常app层可以理解为上层，负责与用户交互的界面，例如应用程序维护、以及点击页面时识别不同种类的点击内容从而显示不同的上下文菜单等。通常framework层作为中间层，这一层的主要职责是，将app层获得的用户请求，如启动用用程序、点击链接、点击保存图片之类，转发往下层去；将下层处理好的内容，或者通过消息，或者通过中间代理类，来分发至上层，对用户展现出来。

本发明一种优选实现方式是，对app层进行改进，从而实现在智能终端上控制应用程序读取验证信息。具体的，可以在app层增加一个监听模块(例如，在安全软件上增加一个功能)，用于监听APP读取验证信息的行为，从而可以在某个APP请求读取该验证信息之前，判断该APP是否符合预置的安全策略，如果满足安全策略，则允许该APP读取验证信息，否则，不允许该APP读取验证信息。

其中，监听模块可以采用hook机制监听。hook机制允许应用程序截获处理的消息或特定事件。钩子实际上是一个处理消息的程序段，通过***调用，把它挂入***。每当特定的消息发出，在没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。这时钩子函数即可以加工处理(改变)该消息，也可以不作处理而继续传递该消息，还可以强制结束消息的传递。在本发明实施例中，采用hook机制中断APP直接读取验证信息的行为，***安全APP策略的判断步骤，继而保证只有合法的且具有权限的APP才能读取验证信息。

参见图2，为根据本发明一个实施例的控制应用程序读取验证信息的方法示意图。其中，监听模块是在app层新增的功能模块，用于监听APP读取验证信息的行为，在监听到该行为之后，中断该行为，并通过判断该APP是否符合安全APP策略，包括判断APP合法性以及APP是否具有读取验证信息的权限，在符合策略时，允许该APP读取验证信息，否则，禁止该APP读取验证信息。可见，通过增加的监听模块对APP读取验证信息的行为进行控制，从而保证只有符合条件的合法的具有访问权限的APP才能读取验证信息，有效阻止恶意APP(木马程序)窃取敏感信息，保证信息的安全性。

与上述方法相对应，本发明还提供一种控制应用程序读取验证信息的装置。该装置可以通过硬件、软件或软硬件结合方式实现。该装置可以是指终端内部的功能模块，也可以是指终端本身，只要终端包括实现该装置的功能即可。

参见图3，该装置包括：

安全APP策略设置单元301，用于在终端设置读取验证信息的安全APP策略，其中，验证信息是用于在执行特定服务过程中验证终端或用户的身份或权限的消息；

验证信息读取请求单元302，用于当终端从网络设备接收到验证信息之后，所述应用程序请求获取所述验证信息；

安全APP策略判断单元303，用于判断所述应用程序是否符合所述安全APP策略；

验证信息读取控制单元304，用于根据所述安全APP策略判断单元303的判断结果，仅允许符合所述安全APP策略的应用程序读取所述验证信息；

服务执行单元305，用于在执行特定服务过程中利用验证信息验证终端或用户的身份或权限。

优选的，所述安全APP策略判断单元包括APP合法性判断子单元，用于判断所述应用程序是否合法。

一种判断APP合法性的方式是，所述安全APP策略设置单元301设置的安全APP策略包括禁止所有非白APP读取验证信息；

所述APP合法性判断子单元，具体用于：判断所述应用程序是否包含在预置的APP白名单中，如果是，则确定所述应用程序合法。

另一种判断APP合法性的方式是，所述安全APP策略设置单元设置的安全APP策略包括禁止所有黑APP读取验证信息；

所述APP合法性判断子单元，具体用于：判断所述应用程序是否包含在预置的APP黑名单中，如果否，则确定所述应用程序合法。

其中，所述APP白名单或APP黑名单是指以APP标签作为每个APP标识的APP标签列表；

所述APP合法性判断子单元，具体还用于：判断所述应用程序的标签是否包含在所述APP白名单或APP黑名单中的APP标签列表中。

优选的，所述安全APP策略设置单元301，还用于向用户提供安全应用程序策略设置界面，接收用户设置的安全应用程序参数，生成所述应用程序白名单和/或应用程序黑名单；或者，所述安全APP策略设置单元301通过云端服务器配置方式获取所述应用程序白名单和/或应用程序黑名单，其中，所述云端服务器基于样本运营和人工智能方法配置所述应用程序白名单和/或应用程序黑名单。

优选的，所述安全APP策略判断单元303还包括：

APP权限判断子单元，用于判断所述应用程序是否具有读取所述验证信息的权限。

其中，所述APP权限判断子单元，具体用于：判断所述应用程序是否是与提供所述验证信息的网络设备对应的应用程序，如果是，则确定所述应用程序具有读取所述验证信息的权限。

进一步，所述APP权限判断子单元，具体用于：判断所述应用程序标签是否与所述验证信息携带的所述网络设备标识对应，其中，所述应用程序标签是指用于识别应用程序身份的唯一标识码。

其中，所述网络设备是指发送用于目标应用程序的验证信息的服务器、网关或代理服务器。

其中，所述终端通过短信、邮件或者即时通信工具的通信方式从所述网络设备获取所述验证信息。

需要说明的是：

在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述，构造这类装置所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的实现验证信息的读取的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

例如，图4示出了可以实现根据本发明的控制应用程序读取验证信息的终端，例如智能终端。该终端传统上包括处理器410和以存储器420形式的计算机程序产品或者计算机可读介质。存储器420可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。存储器420具有用于执行上述方法中的任何方法步骤的程序代码431的存储空间430。例如，用于程序代码的存储空间430可以包括分别用于实现上面的方法中的各种步骤的各个程序代码431。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘，紧致盘(CD)、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为如参考图5所述的便携式或者固定存储单元。该存储单元可以具有与图4的终端中的存储器420类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括计算机可读代码431’，即可以由例如诸如410之类的处理器读取的代码，这些代码当由终端运行时，导致该终端执行上面所描述的方法中的各个步骤。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims

一种控制应用程序读取验证信息的方法，其特征在于，包括：

在终端设置用于读取验证信息的安全应用程序策略，其中，所述验证信息是用于在执行特定服务过程中验证终端或用户的身份或权限的消息；

当终端从网络设备接收到验证信息之后，所述应用程序请求获取所述验证信息；

判断所述应用程序是否符合所述安全应用程序策略，根据判断结果，仅允许符合所述安全应用程序策略的应用程序读取所述验证信息；

在执行所述特定服务过程中利用所述验证信息验证终端或用户的身份或权限。
如权利要求1所述的方法，其特征在于，所述判断所述应用程序是否符合所述安全应用程序策略包括：判断所述应用程序是否合法。
如权利要求2所述的方法，其特征在于，所述安全应用程序策略包括禁止所有非白应用程序读取验证信息，其中，所述非白应用程序是指除了白应用程序之外的应用程序；

所述判断所述应用程序是否合法包括：判断所述应用程序是否包含在预置的应用程序白名单中，如果是，则确定所述应用程序合法。
如权利要求2所述的方法，其特征在于，所述安全应用程序策略包括禁止所有黑应用程序读取验证信息；

所述判断所述应用程序是否合法包括：判断所述应用程序是否包含在预置的应用程序黑名单中，如果否，则确定所述应用程序合法。
如权利要求3或4所述的方法，其特征在于，所述应用程序白名单或应用程序黑名单是指以应用程序标签作为每个应用程序标识的应用程序标签列表；

所述判断所述应用程序是否包含在预置的应用程序白名单或应用程序黑名单中包括：判断所述应用程序的标签是否包含在所述应用程序白名单或应用程序黑名单中的应用程序标签列表中。
如权利要求3或4所述的方法，其特征在于，还包括：

向用户提供安全应用程序策略设置界面；

接收用户设置的安全应用程序参数，生成所述应用程序白名单和/或应用程序黑名单。
如权利要求3或4所述的方法，其特征在于，所述应用程序白名单和/或应用程序黑名单是通过云端服务器配置方式获取的，其中，所述云端服务器基于样本运营和人工智能方法配置所述应用程序白名单和/或应用程序黑名单。
如权利要求2、3或4所述的方法，其特征在于，所述判断所述应用程序是否符合所述安全应用程序策略，除了包括判断所述应用程序是否合法之外，还包括：判断所述应用程序是否具有读取所述验证信息的权限。
如权利要求8所述的方法，其特征在于，所述判断所述应用程序是否具有读取所述验证信息的权限包括：判断所述应用程序是否是与提供所述验证信息的网络设备对应的应用程序，如果是，则确定所述应用程序具有读取所述验证信息的权限。
如权利要求9所述的方法，其特征在于，所述判断所述应用程序是否是与提供所述验证信息的网络设备对应的应用程序包括：判断所述应用程序标签是否与所述验证信息携带的所述网络设备标识对应，如果对应，则确定所述应用程序与提供所述验证信息的网络设备对应。
如权利要求10所述的方法，其特征在于，所述应用程序标签是指用于识别应用程序身份的唯一标识码。
如权利要求1所述的方法，其特征在于，所述网络设备是指发送所述验证消息的服务器、网关或代理服务器。
如权利要求1所述的方法，其特征在于，所述终端通过短信、邮件或者即时通信工具的通信方式从所述网络设备获取所述验证信息。
一种控制应用程序读取验证信息的装置，其特征在于，包括：

安全应用程序策略设置单元，用于在终端设置用于读取验证信息的安全应用程序策略，其中，所述验证信息是用于在执行特定服务过程中验证终端或用户的身份或权限的消息；

验证信息读取请求单元，用于当终端从网络设备接收到验证信息之后，所述应用程序请求获取所述验证信息；

安全应用程序策略判断单元，用于判断所述应用程序是否符合所述安全应用程序策略；

验证信息读取控制单元，用于根据所述安全应用程序策略判断单元的判断结果，仅允许符合所述安全应用程序策略的应用程序读取所述验证信息；

服务执行单元，用于在执行所述特定服务过程中利用所述验证信息验证终端或用户的身份或权限。
如权利要求14所述的装置，其特征在于，所述安全应用程序策略判断单元包括应用程序合法性判断子单元，用于判断所述应用程序是否合法。
如权利要求15所述的装置，其特征在于，

所述安全应用程序策略设置单元设置的安全应用程序策略包括禁止所有非白应用程序读取验证信息，其中，所述非白应用程序是指除了白应用程序之外的应用程序；

所述应用程序合法性判断子单元，具体用于：判断所述应用程序是否包含在预置的应用程序白名单中，如果是，则确定所述应用程序合法。
如权利要求15所述的装置，其特征在于，

所述安全应用程序策略设置单元设置的安全应用程序策略包括禁止所有黑应用程序读取验证信息；

所述应用程序合法性判断子单元，具体用于：判断所述应用程序是否包含在预置的应用程序黑名单中，如果否，则确定所述应用程序合法。
如权利要求16或17所述的装置，其特征在于，所述应用程序白名单或应用程序黑名单是指以应用程序标签作为每个应用程序标识的应用程序标签列表；

所述应用程序合法性判断子单元，具体还用于：判断所述应用程序的标签是否包含在所述应用程序白名单或应用程序黑名单中的应用程序标签列表中。
如权利要求16或17所述的装置，其特征在于，所述安全应用程序策略设置单元，还用于向用户提供安全应用程序策略设置界面，接收用户设置的安全应用程序参数，生成所述应用程序白名单和/或应用程序黑名单。
如权利要求16或17所述的装置，其特征在于，所述安全应用程序策略设置单元通过云端服务器配置方式获取所述应用程序白名单和/或应用程序黑名单，其中，所述云端服务器基于样本运营和人工智能方法配置所述应用程序白名单和/或应用程序黑名单。
如权利要求15、16或17所述的装置，其特征在于，所述安全应用程序策略判断单元还包括：应用程序权限判断子单元，用于判断所述应用程序是否具有读取所述验证信息的权限。
如权利要求21所述的装置，其特征在于，

所述应用程序权限判断子单元，具体用于：判断所述应用程序是否是与提供所述验证信息的网络设备对应的应用程序，如果是，则确定所述应用程序具有读取所述验证信息的权限。
如权利要求22所述的装置，其特征在于，

所述应用程序权限判断子单元，具体用于：判断所述应用程序标签是否与所述验证信息携带的所述网络设备标识对应。
如权利要求23所述的方法，其特征在于，所述应用程序标签是指用于识别应用程序身份的唯一标识码。
如权利要求14所述的装置，其特征在于，所述网络设备是指发送所述验证信息的服务器、网关或代理服务器。
如权利要求14所述的装置，其特征在于，所述终端通过短信、邮件或者即时通信工具的通信方式从所述网络设备获取所述验证信息。
一种计算机程序，包括计算机可读代码，当所述计算机可读代码在终端上运行时，导致所述终端执行根据权利要求1至13中的任一所述的方法。
一种计算机可读介质，其中存储了如权利要求27所述的计算机程序。