一种安全元件资源管理方法和系统与流程

1.本发明属于计算机软件的技术领域，具体涉及一种安全元件资源管理方法和系统，用于实现安全元件中资源数据的访问及操作，保障不同应用之间数据资源访问操作的安全性，用于提高安全元件的安全性和互操作性。


背景技术：

2.安全元件通过高级别的硬件防护和密码算法功能来实现身份识别、安全认证、敏感数据存储、业务应用等多种安全功能，金融支付、智能交通等场景下大量业务的实现高度依赖安全元件，安全元件是整个安全系统中不可或缺的一员。
3.安全元件主要承载机密数据、功能模块、业务应用等各类资源实体。而针对安全元件的各种攻击本质上是对资源的非法获取或操作，所以为了整个系统的安全，亟需一套安全管理机制，来保障信息资源的合法访问和安全操作。
4.安全元件资源主要由安全元件系统负责管理，而资源主要分为硬件资源和软件资源。硬件资源是类似处理器、存储器等硬件部分，软件资源主要由应用代码和数据构成。安全元件系统控制这些资源的分配、使用和回收，并可以使资源能够在应用之间共享。由于安全元件是一种资源受限的计算设备，应用所占硬件资源在加载时确定，且对硬件资源独占，基本不存在竞争硬件资源的情况，存在安全问题的资源主要是软件资源。
5.传统java card技术方法通过配置隔离程序执行的文本屏障，以安全地运行相互独立的多个程序，文本屏障执行安全检查，以确定主体和对象是否位于同一文本内或确定为要被操作的对象请求的操作是否被批准，这一技术方法中，每个程序或每组程序在分离的文本中运行，然而一个文本屏障控制的单位主要是java对象，通过判断对象是否属于同一应用包而控制访问，通过入口点对象、全局数组对象来实现对象共享。这种机制控制的粒度较粗，不能针对特定对象控制访问权限；且超级文本权限能够不受文本屏障约束访问所有程序模块，导致信息资源的访问和操作存在一定安全漏洞。另外不同应用之间的服务调用需通过共享接口实现，这种方式需实现特定接口，导致应用之间交互灵活性不高。因此，现有技术方法在安全元件内进行信息资源访问和操作时存在控制粒度较粗，安全性不够，灵活性不高的问题。


技术实现要素：

6.针对现有技术中存在的缺陷，本发明的目的是提供一种安全元件资源管理方法和系统。该方法和系统，在应用安装时系统在文件系统创建与应用对应的应用专用文件并建立应用专属文件与应用的关联关系，系统确认交互的目标应用后，将系统的执行环境设置为此应用并将应用关联的应用专用文件设置为当前执行环境的应用专用文件；应用直接访问和操作属于自身的应用专用文件的资源数据；应用直接访问和操作主文件的资源数据；应用之间的资源通过安全元件提供的安全机制进行访问和操作，安全机制包括访问操作控制表及内部通信api；通过定义安全元件上应用数据的访问和操作安全规则，实现了应用和
系统、应用和应用之间数据访问和操作的安全管理。
7.为达到以上目的，本发明采用的技术方案是：一种安全元件资源管理方法，包括以下步骤：
8.应用安装时，所述安全元件的系统在所述文件系统创建与所述应用对应的应用专用文件并建立所述应用专属文件与所述应用的关联关系；所述应用的相关数据存入所述应用专用文件内的专用文件及基本文件中，每一所述专用文件及每一所述基本文件均具有各自的文件标识；
9.所述安全元件的系统确认应用类型为交互应用，将系统的执行环境设置为所述应用，并将所述应用关联的应用专用文件设置为当前应用专用文件；
10.所述应用直接访问和操作所述文件系统中属于所述应用的应用专用文件的资源数据；
11.所述应用直接访问和操作所述文件系统中主文件的资源数据；
12.所述应用之间的资源通过所述安全元件提供的安全机制进行访问和操作，所述安全机制包括访问操作控制表及内部通信api。
13.进一步的，所述应用专用文件中配置有访问操作控制文件，所述访问操作控制文件用于配置应用与文件之间访问和操作的权限关系；
14.访问操作控制表包括访问操作控制文件的配置信息。
15.进一步的，所述访问操作控制表的配置过程包括配置规则及配置时机；
16.所述配置规则包括通配符及具体规则，所述通配符为共享某组、全部文件数据的访问和操作权限；所述具体规则为共享特定文件数据的访问和操作权限；
17.所述配置时机包括应用安装时创建配置或应用运行过程中通过相关指令或api配置。
18.进一步的，系统通过提供所述内部通信api实现所述应用之间的通信，通信的发起方为客户应用，通信的接收方为服务应用；所述内部通信api包括第一api方法、第二api方法及第三api方法；
19.所述客户应用通过第一api方法发送第一信息至所述服务应用；
20.所述服务应用反馈所述第一api方法的返回值至所述客户应用；
21.所述客户应用通过第二api方法及所述第一api方法的返回值与所述服务应用之间进行数据交互；
22.所述客户应用通过第三api方法及所述第一api方法的返回值关闭与所述服务应用之间的内部会话。
23.进一步的，所述第一信息包括服务应用的标识及客户应用提交至服务应用的认证数据；
24.所述第一api方法的返回值为会话标识；
25.通过所述第二api方法发送至所述服务应用的信息包括所述会话标识、存放请求数据的数组及存放响应数据的数组；所述第二api方法的返回值为响应数据长度；
26.通过所述第三api方法发送至所述服务应用的信息包括所述会话标识。
27.一种安全元件资源管理系统，包括以下装置：
28.文件创建单元，用于应用安装时，所述安全元件的系统在所述文件系统创建与所
述应用对应的应用专用文件并建立所述应用专属文件与所述应用的关联关系；所述应用的相关数据存入所述应用专用文件内的专用文件及基本文件中，每一所述专用文件及每一所述基本文件均具有各自的文件标识；
29.执行环境设置装置，用于所述安全元件的系统确认交互的目标应用后，将系统的执行环境设置为所述应用，并将所述应用关联的应用专用文件设置为当前执行环境的应用专用文件；
30.应用专用文件访问装置，用于所述应用直接访问和操作所述文件系统中属于所述应用的应用专用文件的资源数据；
31.主文件访问装置，用于所述应用直接访问和操作所述文件系统中主文件的资源数据；
32.安全访问操作装置，用于所述应用之间的资源通过所述安全元件提供的安全机制进行访问和操作，所述安全机制包括访问操作控制表及内部通信api。
33.进一步的，所述应用专用文件中配置有访问操作控制文件，所述访问操作控制文件用于配置应用与文件之间访问和操作的权限关系；
34.访问操作控制表包括访问操作控制文件的配置信息。
35.进一步的，所述访问操作控制表的配置过程包括配置规则及配置时机；
36.所述配置规则包括通配符及具体规则，所述通配符为共享某组、全部文件数据的访问和操作权限；所述具体规则为共享特定文件数据的访问和操作权限；
37.所述配置时机包括应用安装时创建配置或应用运行过程中通过相关指令或api配置。
38.进一步的，系统通过提供所述内部通信api实现所述应用之间的通信，通信的发起方为客户应用，通信的接收方为服务应用；所述内部通信api包括第一api方法、第二api方法及第三api方法；
39.所述客户应用通过第一api方法发送第一信息至所述服务应用；
40.所述服务应用反馈所述第一api方法的返回值至所述客户应用；
41.所述客户应用通过第二api方法及所述第一api方法的返回值与所述服务应用之间进行数据交互；
42.所述客户应用通过第三api方法及所述第一api方法的返回值关闭与所述服务应用之间的内部会话。
43.进一步的，所述第一信息包括服务应用的标识及客户应用提交至服务应用的认证数据；
44.所述第一api方法的返回值为会话标识；
45.通过所述第二api方法发送至所述服务应用的信息包括所述会话标识、存放请求数据的数组及存放响应数据的数组；所述第二api方法的返回值为响应数据长度；
46.通过所述第三api方法发送至所述服务应用的信息包括所述会话标识。
47.本发明的效果在于：采用本发明所述的方法，在应用安装时系统在文件系统创建与应用对应的应用专用文件并建立应用专属文件与应用的关联关系，系统确认交互的目标应用后，将系统的执行环境设置为此应用并将应用关联的应用专用文件设置为当前执行环境的应用专用文件；应用直接访问和操作属于自身的应用专用文件的资源数据；应用直接
访问和操作主文件的资源数据；应用之间的资源通过安全元件提供的安全机制进行访问和操作，安全机制包括访问操作控制表及内部通信api；通过定义安全元件上应用数据的访问和操作安全规则，实现了应用和系统、应用和应用之间数据访问和操作的安全管理。
附图说明
48.图1是本发明所述方法的流程图；
49.图2是本发明所述方法的应用场景示意图；
50.图3是本发明所述方法的应用场景的另一示意图；
51.图4是本发明所述方法的应用场景的又一示意图；
52.图5是本发明所述方法的应用场景的再一示意图；
53.图6是本发明所述方法的应用场景的后一示意图；
54.图7是本发明所述方法的应用场景的其后一示意图；
55.图8是本发明所述方法的应用场景的其后另一示意图；
56.图9是本发明所述系统的结构图；
具体实施方式
57.下面结合附图和具体实施方式对本发明作进一步描述。
58.本发明描述了一种安全元件资源管理方法，该安全元件资源管理方法应用于安全元件中，该安全元件资源管理方法通过安装于安全元件中的应用软件进行执行，安全元件即是用于执行安全元件资源管理方法以对应用访问和操作文件进行安全管理的装置设备，安全元件可以是智能se、安全mcu等资源受限装置。本发明属于计算机软件的技术领域，尤其涉及安全元件资源管理方法和系统，用于实现安全元件中资源数据的访问及操作，保障不同应用之间数据资源访问操作的安全性，用于提高安全元件的安全性和互操作性，下面对本技术实施例中所涉及的部分关键技术进行解释说明。
59.缩略语和关键术语定义如表1所示。
60.表1
61.英文简称英文全称中文全称osoperation system操作系统sesecure element安全元件mfmaster file主文件adfapplication dedicated file应用专用文件dfdedicated file专用文件efelementary file基本文件
62.在安全元件(也称安全芯片，包括智能se、安全mcu等)领域中，支持动态下载应用的多应用芯片操作系统已经在金融、电信、交通等领域进行了广泛部署和使用。安全元件主要承载机密数据、功能模块、业务应用等各类资源实体。而针对安全元件的各种攻击本质上是对资源的非法获取或操作，所以为了整个系统的安全，亟需一套安全管理机制，来保障信息资源的合法访问和安全操作。
63.如图2及图3所示，本发明实施例公开了一种安全元件资源管理方法，本方法应用
于安全元件中，终端或系统10与所述安全元件20交互以应用为主体实现，所述安全元件20由硬件及软件系统组成，其中，系统(软件系统)21包括应用层211、文件系统212、平台功能层213，应用层211主要包括系统应用及用户应用，所述文件系统212用于存储系统数据及应用数据，所述平台功能层213包括系统功能模块、功能api、执行环境和硬件驱动。
64.也即，安全元件主要由硬件和系统构成。系统中包含应用层和系统层，应用层中的应用是和外界交互的主要实体，系统层中的模块给应用提供功能支持和安全保障。其中文件系统用来存储系统数据和应用数据，具体结构如图3所示。所述文件系统212中的文件分类为主文件mf、应用专用文件adf、专用文件df及基本文件ef；所述主文件mf及应用专用文件adf为所述文件系统212的一级目录、是系统及应用资源数据的一级入口，所述专用文件df及基本文件ef为所述文件系统212的二级或多级入口。
65.其中，主文件对应的标识为mf，mf下存储的系统和应用数据(如系统对象、数据文件等)，可供所有应用访问。应用专用文件对应的标识为adf，应用专用文件adf用于存储应用数据的入口目录；专用文件对应的标识为df，专用文件df用于对应用数据文件进行分组管理。基本文件对应的标识为ef，基本文件ef中包括数据文件和对象文件，基本文件ef用于存储应用数据和应用对象。
66.文件系统可以有多级目录结构，mf和adf相当于文件系统的一级目录，是系统和应用资源数据的一级入口。df作为文件系统的二级或多级入口，其中可以存储其他df或ef。
67.如图1所示，本发明的方法包括以下步骤：
68.s110、应用安装时，所述安全元件的系统在所述文件系统创建与所述应用对应的应用专用文件并建立所述应用专属文件与所述应用的关联关系；所述应用的相关数据存入所述应用专用文件内的专用文件及基本文件中，每一所述专用文件及每一所述基本文件均具有各自的文件标识。
69.具体的，在应用安装时，se系统在文件系统创建对应adf，建立adf和应用的关联关系，应用的相关数据会存入adf下的df和ef中,ef文件和df文件有自己的文件标识。
70.例如，应用创建的数据文件放入data_df，使用ef存储，和data_df、应用adf建立关联关系；应用创建的对象文件放入object_df，使用ef存储，对象和对象ef文件、对象df文件、应用adf文件建立关联关系。
71.s120、所述安全元件的系统确认交互的目标应用后，将系统的执行环境设置为所述应用，并将所述应用关联的应用专用文件设置为当前执行环境的应用专用文件。
72.具体的，终端/系统和安全元件交互以应用为主体。se系统在确认交互应用之后，会将系统执行环境设置为此应用，并将应用关联的adf设置为当前adf，则后续请求的处理由当前执行环境负责。其具体实现过程如图4所示，其中，应用x即为se系统确认的交互应用，如se系统确认交互应用为应用1，则设置系统的执行环境为应用1，并设置应用1关联的应用专用文件为当前的应用专用文件。
73.在应用和终端/系统的交互中，需要访问和操作se系统中各种资源，包括应用和系统数据、应用服务等资源，本发明后续步骤即对资源数据管理的安全机制进行了实现说明。
74.发明中的应用和资源数据的逻辑结构如图5所示。应用主要包含系统应用和用户应用，它们有各自的资源数据。系统应用是预置在安全元件系统中的应用，用来完成系统的管理功能，并提供一般应用需要的服务。用户应用可以预置或后下载安装，用来完成应用提
供商需要的业务功能。
75.应用的资源数据主要包括应用数据和应用对象，分别使用数据文件和对象文件存储，其中文件和对象在创建时关联到应用adf。在应用执行过程中，执行环境使用系统提供的安全机制：根据当前adf环境，对应用访问的资源数据进行安全检查，若符合安全机制要求则可以访问操作，否则系统会拒绝应用的访问操作，并返回安全错误。
76.s130、所述应用直接访问和操作所述文件系统中属于所述应用的应用专用文件的资源数据。
77.所述应用直接访问和操作所述文件系统中属于所述应用的应用专用文件的资源数据。对应用专用文件的资源数据的具体访问及操作的实现过程如图6所示。应用可以直接访问和操作自身adf下资源数据，其中，执行环境检查应用访问的文件或对象关联的adf属于当前adf，则允许访问和操作。
78.s140、所述应用直接访问和操作所述文件系统中主文件的资源数据。
79.所述应用直接访问和操作所述文件系统中主文件的资源数据。对主文件的资源数据的具体访问及操作的实现过程如图7所示。应用可以直接访问和操作mf下资源数据，其中，mf下存储可供所有应用访问的数据文件和对象文件，这些资源在创建时关联到mf。当应用访问这些资源时，执行环境检查资源关联到mf，则允许访问。
80.s150、所述应用之间的资源通过所述安全元件提供的安全机制进行访问和操作，所述安全机制包括访问操作控制表及内部通信api。
81.所述应用之间的资源通过所述安全元件提供的安全机制进行访问和操作，所述安全机制包括访问操作控制表及内部通信api。其中，安全机制的具体示意图如图8所示。
82.在一具体实施例中，所述安全机制包括访问操作控制表及内部通信api。也即，不同应用之间访问的安全进制有访问操作控制表及内部通信api。所述应用专用文件中配置有访问操作控制文件，所述访问操作控制文件用于配置应用与文件之间访问和操作的权限关系；访问操作控制表包括访问操作控制文件的配置信息。
83.不同应用之间数据和对象的访问，可以通过配置adf下访问操作控制文件(access_control_file，可以是一个文件或一组文件)来实现。
84.访问操作控制文件用来配置应用和文件之间访问和操作的权限关系。通过配置可实现adf下全部数据/部分数据对某一应用/其他所有应用的各种操作权限控制。访问控制表包含的具体信息如表2所示。
85.表2
86.应用_id文件_id操作权限(如读取/更新/删除等)
………………
87.在一具体实施例中，所述访问操作控制表的配置过程包括配置规则及配置时机。
88.所述配置规则包括通配符及具体规则，也即配置规则支持通配符及具体规则；所述通配符为共享某组、全部文件数据的访问和操作权限；所述具体规则为共享特定文件数据的访问和操作权限。其中，通配符为共享某组、全部文件数据的访问和操作权限；具体规则为共享特定文件数据的访问和操作权限。
89.所述配置时机包括应用安装时创建配置或应用运行过程中通过相关指令或api配
置。
90.在一具体实施例中，系统通过提供所述内部通信api实现所述应用之间的通信，通信的发起方为客户应用，通信的接收方为服务应用；所述内部通信api包括第一api方法、第二api方法及第三api方法；所述客户应用通过第一api方法发送第一信息至所述服务应用；所述服务应用反馈所述第一api方法的返回值至所述客户应用；所述客户应用通过第二api方法及所述第一api方法的返回值与所述服务应用之间进行数据交互；所述客户应用通过第三api方法及所述第一api方法的返回值关闭与所述服务应用之间的内部会话。
91.在一具体实施例中，所述第一信息包括服务应用的标识及客户应用提交至服务应用的认证数据；所述第一api方法的返回值为会话标识；通过所述第二api方法发送至所述服务应用的信息包括所述会话标识、存放请求数据的数组及存放响应数据的数组；所述第二api方法的返回值为响应数据长度；通过所述第三api方法发送至所述服务应用的信息包括所述会话标识。
92.系统通过提供内部通信api，实现应用之间的通讯。通信的发起方称作client应用(客户应用)，通信的接收方称作server应用(服务应用)，
93.client应用调用下面api方法实现同server应用的交互，api定义的第一api方法为int opensession(serverappid，authenticationdata)，client应用使用此api方法建立和server应用的内部会话。
94.上述第一api方法所包含的参数如下：serverappid为server应用的标识；authenticationdata为client应用提交server应用认证的数据，server应用认证通过后才会接收client会话请求。
95.上述第一api方法的返回值如下：sessionid为会话标识。
96.定义的第二api方法为int transmitcommand(sessionid，requestbuffer，respponsebuffer)，client应用使用此api向server应用传输请求数据及获取响应数据。此api会通过server应用的入口方法来实现数据交互，并将响应数据放入responsebuffer。
97.第二api方法所包含的参数如下：sessionid为会话id；requestbuffer为存放请求数据的数组；respponsebuffer为存放响应数据的数组。
98.上述第二api方法的返回值为响应数据长度。
99.定义的第三api方法为void closesession(sessionid)，client应用使用此api关闭当前内部会话。
100.上述第三api方法所包含的参数如下：sessionid为会话id。
101.本方法技术方法应用于安全元件中，本发明中技术方法的有益效果为：通过对安全元件中系统的实现进行设计，使安全元件系统内的各种资源数据能够被安全地访问和操作。本方法可以大大增强安全元件的安全性和互操作性。
102.本实施例中，在应用安装时系统在文件系统创建与应用对应的应用专用文件并建立应用专属文件与应用的关联关系，系统确认交互的目标应用后，将系统的执行环境设置为此应用并将应用关联的应用专用文件设置为当前执行环境的应用专用文件；应用直接访问和操作属于自身的应用专用文件的资源数据；应用直接访问和操作主文件的资源数据；应用之间的资源通过安全元件提供的安全机制进行访问和操作，安全机制包括访问操作控制表及内部通信api；通过定义安全元件上应用数据的访问和操作安全规则，实现了应用和
系统、应用和应用之间数据访问和操作的安全管理。
103.如图9所示，一种安全元件资源管理系统，该系统可配置于安全元件中，终端或系统与所述安全元件交互以应用为主体实现，所述安全元件中的软件系统包括应用层及文件系统，所述文件系统用于存储系统数据及应用数据，所述文件系统中的文件分类为主文件、应用专用文件、专用文件及基本文件；所述主文件及应用专用文件为所述文件系统的一级目录、是系统及应用资源数据的一级入口，所述专用文件及基本文件为所述文件系统的二级或多级入口，该系统用于执行前述的安全元件资源管理方法的任一实施例，包括以下装置：文件创建单元110、执行环境设置装置120、应用专用文件访问装置130、主文件访问装置140和安全访问操作装置150。
104.文件创建单元110，用于应用安装时，所述安全元件的系统在所述文件系统创建与所述应用对应的应用专用文件并建立所述应用专属文件与所述应用的关联关系；所述应用的相关数据存入所述应用专用文件内的专用文件及基本文件中，每一所述专用文件及每一所述基本文件均具有各自的文件标识。
105.执行环境设置装置120，用于所述安全元件的系统确认交互的目标应用，将系统的执行环境设置为所述应用，并将所述应用关联的应用专用文件设置为当前执行环境的应用专用文件。
106.应用专用文件访问装置130，用于所述应用直接访问和操作所述文件系统中属于所述应用的应用专用文件的资源数据。
107.主文件访问装置140，用于所述应用直接访问和操作所述文件系统中主文件的资源数据。
108.安全访问操作装置150，用于所述应用之间的资源通过所述安全元件提供的安全机制进行访问和操作，所述安全机制包括访问操作控制表及内部通信api。
109.在一具体实施例中，所述应用专用文件中配置有访问操作控制文件，所述访问操作控制文件用于配置应用与文件之间访问和操作的权限关系；访问操作控制表包括访问操作控制文件的配置信息。
110.在一具体实施例中，所述访问操作控制表的配置过程包括配置规则及配置时机；所述配置规则包括通配符及具体规则，所述通配符为共享某组、全部文件数据的访问和操作权限；所述具体规则为共享特定文件数据的访问和操作权限；所述配置时机包括应用安装时创建配置或应用运行过程中通过相关指令或api配置。
111.在一具体实施例中，系统通过提供所述内部通信api实现所述应用之间的通信，通信的发起方为客户应用，通信的接收方为服务应用；所述内部通信api包括第一api方法、第二api方法及第三api方法；所述客户应用通过第一api方法发送第一信息至所述服务应用；所述服务应用反馈所述第一api方法的返回值至所述客户应用；所述客户应用通过第二api方法及所述第一api方法的返回值与所述服务应用之间进行数据交互；所述客户应用通过第三api方法及所述第一api方法的返回值关闭与所述服务应用之间的内部会话。
112.在一具体实施例中，所述第一信息包括服务应用的标识及客户应用提交至服务应用的认证数据；所述第一api方法的返回值为会话标识；通过所述第二api方法发送至所述服务应用的信息包括所述会话标识、存放请求数据的数组及存放响应数据的数组；所述第二api方法的返回值为响应数据长度；通过所述第三api方法发送至所述服务应用的信息包
括所述会话标识。
113.本实施例中，在应用安装时系统在文件系统创建与应用对应的应用专用文件并建立应用专属文件与应用的关联关系，系统确认交互的目标应用后，将系统的执行环境设置为此应用并将应用关联的应用专用文件设置为当前执行环境的应用专用文件；应用直接访问和操作属于自身的应用专用文件的资源数据；应用直接访问和操作主文件的资源数据；应用之间的资源通过安全元件提供的安全机制进行访问和操作，安全机制包括访问操作控制表及内部通信api；通过定义安全元件上应用数据的访问和操作安全规则，实现了应用和系统、应用和应用之间数据访问和操作的安全管理。
114.本领域技术人员应该明白，本发明所述的方法和系统并不限于具体实施方式中所述的实施例，上面的具体描述只是为了解释本发明的目的，并非用于限制本发明。本领域技术人员根据本发明的技术方案得出其他的实施方式，同样属于本发明的技术创新范围，本发明的保护范围由权利要求及其等同物限定。