本发明涉及移动终端
技术领域:
:,具体涉及一种近场通信安全控制方法、移动终端及计算机可读存储介质。
背景技术:
::nfc(nearfieldcommunication,近场通信)是一种短距高频的无线电技术,允许电子设备之间进行非接触式点对点数据传输交换数据,由rfid(radiofrequencyidentification,非接触式射频识别)演变而来。nfc工作频率为13.56hz,有效范围为20cm以内,其传输速度有106kbit/秒、212kbit/秒或者424kbit/秒三种。nfc有3种工作模式:读卡器模式、点对点模式、卡模拟模式。移动终端在配置nfc控制器,且nfc控制器工作于读卡器模式时,移动终端可通过nfc控制器产生射频场,从外部采用相同标准的nfc卡片中读写数据,例如,用户可通过手机对“深圳通”卡的信息进行读取,并进行充值等操作。然而,由于nfc的低门槛,不法分子能够自行制造nfc卡片,并将木马程序或者其他危险代码写入到nfc卡片中,若该nfc卡片被用户操作移动终端读取,nfc卡片写入的木马程序或危险代码将被植入到用户的移动终端,导致用户数据被窃取或破坏。技术实现要素:本发明提供一种近场通信安全控制方法、移动终端及计算机可读存储介质,旨在提升移动终端进行近场通信交互时的安全性。为实现上述发明目的,本发明提供一种近场通信安全控制方法,该近场通信安全控制方法包括:在启动安全读取模式时,将近场通信控制器读取数据的传输路径,重定向到可信执行环境中的预设缓存区;通过所述可信执行环境的预设可信应用,基于所述近场通信控制器将近场通信卡片的第一身份标识读取到所述预设缓存区中,并基于所述第一身份标识,对所述近场通信卡片进行安全校验;在所述近场通信卡片通过安全校验时,设置普通执行环境中对应所述近场通信卡片的近场通信应用可访问所述预设可信应用,以供所述近场通信应用通过所述预设可信应用访问所述近场通信卡片。可选地,所述近场通信应用为票务应用,设置所述近场通信应用可访问所述预设可信应用的步骤之后,还包括:通过预设可信应用将近场通信卡片携带的用户实名信息读取到预设缓存区中,并基于用户实名信息以及票务应用的预设票务信息生成临时申请信息;通过所述预设可信应用与所述票务应用之间的访问通道,将所述临时申请信息传输至所述票务应用,以供所述票务应用完成实名购票。可选地,通过预设可信应用读取第一身份标识的步骤包括:按照预设频率,对所述预设可信应用进行预设次数的调用,以指示所述预设可信应用读取所述近场通信卡片的第一身份标识。可选地,所述基于所述第一身份标识,通过所述预设可信应用对所述近场通信卡片进行安全校验的步骤之后,还包括:在所述近场通信卡片未通过安全校验时,输出所述近场通信卡片不安全的第一提示信息。可选地,所述在启动安全读取模式时,将近场通信控制器读取数据的传输路径,重定向到可信执行环境中的预设缓存区的步骤之前,还包括:在接收到用户的安全读取模式启动操作时,启动安全读取模式。可选地,所述启动安全读取模式之前,还包括:在接收到用户的安全读取模式启动操作时,显示预设鉴权界面,以供用户输入鉴权数据;基于显示的所述预设鉴权界面接收用户输入的鉴权数据,并基于所述鉴权数据进行用户身份认证;在用户身份认证通过之后,启动安全读取模式。可选地,设置所述近场通信应用可访问所述预设可信应用的步骤之前,还包括:在所述近场通信卡片通过安全校验时,通过所述预设可信应用读取所述近场通信应用的第二身份标识到所述预设缓存区中;基于所述第二身份标识,通过所述预设可信应用对所述近场通信应用进行安全校验;在所述近场通信应用通过安全校验时,设置所述近场通信应用可访问所述预设可信应用。可选地,所述基于所述第二身份标识,通过所述预设可信应用对所述近场通信应用进行安全校验的步骤之后,还包括:在所述近场通信应用未通过安全校验时,输出所述近场通信应用不安全的第二提示信息。进一步地,本发明还提供一种移动终端,该移动终端包括:存储有近场通信安全控制程序的存储器;处理器,配置为执行所述近场通信安全控制程序以实现如下步骤:在启动安全读取模式时,将近场通信控制器读取数据的传输路径,重定向到可信执行环境中的预设缓存区;通过所述可信执行环境的预设可信应用,基于所述近场通信控制器将近场通信卡片的第一身份标识读取到所述预设缓存区中,并基于所述第一身份标识,对所述近场通信卡片进行安全校验;在所述近场通信卡片通过安全校验时,设置普通执行环境中对应所述近场通信卡片的近场通信应用可访问所述预设可信应用,以供所述近场通信应用通过所述预设可信应用访问所述近场通信卡片。进一步地,本发明还提供一种计算机可读存储介质,该计算机可读存储介质上存储有近场通信安全控制程序,所述近场通信安全控制程序被处理器执行时实现如下步骤:在启动安全读取模式时,将近场通信控制器读取数据的传输路径,重定向到可信执行环境中的预设缓存区;通过所述可信执行环境的预设可信应用,基于所述近场通信控制器将近场通信卡片的第一身份标识读取到所述预设缓存区中,并基于所述第一身份标识,对所述近场通信卡片进行安全校验;在所述近场通信卡片通过安全校验时,设置普通执行环境中对应所述近场通信卡片的近场通信应用可访问所述预设可信应用,以供所述近场通信应用通过所述预设可信应用访问所述近场通信卡片。本发明提出的近场通信安全控制方法,结合近场通信的读取功能,以及和普通执行环境环境隔离的可信执行环境,将近场通信控制器读取数据的传输路径重定向到可信执行环境中的预设缓存区,并通过可信执行环境中的预设可信应用对近场通信卡片进行安全检验,在且仅在近场通信卡片通过安全检验时,设置普通执行环境中对应近场通信卡片的近场通信应用可访问预设可信应用,以供近场通信应用通过预设可信应用访问近场通信卡片,达到提升移动终端进行近场通信交互时的安全性的目的。附图说明图1为实现本发明各个实施例一可选的一个移动终端的硬件结构示意图;图2为如图1所示的移动终端的一种通信网络系统架构图;图3为本发明近场通信安全控制方法第一实施例的流程示意图;图4为本发明近场通信安全控制方法第一实施例中读取近场通信卡片的的操作示例图;图5为本发明近场通信安全控制方法第三实施例中触发安全读取模式启动操作的控件的示例图;图6为本发明近场通信安全控制方法第三实施例中的一种鉴权界面示例图;图7为本发明近场通信安全控制方法第三实施例中的用户输入的鉴权数据的示例图。具体实施方式应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。终端可以以各种形式来实施。例如,本发明中描述的终端可以包括诸如手机、平板电脑、笔记本电脑、掌上电脑、个人数字助理(personaldigitalassistant,pda)、便捷式媒体播放器(portablemediaplayer,pmp)、导航装置、可穿戴设备、智能手环、计步器等移动终端,以及诸如数字tv、台式计算机等固定终端。后续描述中将以移动终端为例进行说明,本领域技术人员将理解的是,除了特别用于移动目的的元件之外,根据本发明的实施方式的构造也能够应用于固定类型的终端。请参阅图1,其为实现本发明各个实施例的一种移动终端的硬件结构示意图,该移动终端100可以包括:rf(radiofrequency,射频)单元101、wifi模块102、音频输出单元103、a/v(音频/视频)输入单元104、传感器105、显示单元106、用户输入单元107、接口单元108、存储器109、处理器110、以及电源111等部件。本领域技术人员可以理解,图1中示出的移动终端结构并不构成对移动终端的限定,移动终端可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。下面结合图1对移动终端的各个部件进行具体的介绍:射频单元101可用于收发信息或通话过程中,信号的接收和发送,具体的,将基站的下行信息接收后,给处理器110处理;另外,将上行的数据发送给基站。通常,射频单元101包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。此外,射频单元101还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议,包括但不限于gsm(globalsystemofmobilecommunication,全球移动通讯系统)、gprs(generalpacketradioservice,通用分组无线服务)、cdma2000(codedivisionmultipleaccess2000,码分多址2000)、wcdma(widebandcodedivisionmultipleaccess,宽带码分多址)、td-scdma(timedivision-synchronouscodedivisionmultipleaccess,时分同步码分多址)、fdd-lte(frequencydivisionduplexing-longtermevolution,频分双工长期演进)和tdd-lte(timedivisionduplexing-longtermevolution,分时双工长期演进)等。wifi属于短距离无线传输技术,移动终端通过wifi模块102可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图1示出了wifi模块102,但是可以理解的是,其并不属于移动终端的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。音频输出单元103可以在移动终端100处于呼叫信号接收模式、通话模式、记录模式、语音识别模式、广播接收模式等等模式下时,将射频单元101或wifi模块102接收的或者在存储器109中存储的音频数据转换成音频信号并且输出为声音。而且,音频输出单元103还可以提供与移动终端100执行的特定功能相关的音频输出(例如,呼叫信号接收声音、消息接收声音等等)。音频输出单元103可以包括扬声器、蜂鸣器等等。a/v输入单元104用于接收音频或视频信号。a/v输入单元104可以包括图形处理器(graphicsprocessingunit,gpu)1041和麦克风1042,图形处理器1041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。处理后的图像帧可以显示在显示单元106上。经图形处理器1041处理后的图像帧可以存储在存储器109(或其它存储介质)中或者经由射频单元101或wifi模块102进行发送。麦克风1042可以在电话通话模式、记录模式、语音识别模式等等运行模式中经由麦克风1042接收声音(音频数据),并且能够将这样的声音处理为音频数据。处理后的音频(语音)数据可以在电话通话模式的情况下转换为可经由射频单元101发送到移动通信基站的格式输出。麦克风1042可以实施各种类型的噪声消除(或抑制)算法以消除(或抑制)在接收和发送音频信号的过程中产生的噪声或者干扰。移动终端100还包括至少一种传感器105,比如光传感器、运动传感器以及其他传感器。具体地,光传感器包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板1061的亮度,接近传感器可在移动终端100移动到耳边时,关闭显示面板1061和/或背光。作为运动传感器的一种,加速计传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于手机还可配置的指纹传感器、压力传感器、虹膜传感器、分子传感器、陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。显示单元106用于显示由用户输入的信息或提供给用户的信息。显示单元106可包括显示面板1061,可以采用液晶显示器(liquidcrystaldisplay,lcd)、有机发光二极管(organiclight-emittingdiode,oled)等形式来配置显示面板1061。用户输入单元107可用于接收输入的数字或字符信息,以及产生与移动终端的用户设置以及功能控制有关的键信号输入。具体地,用户输入单元107可包括触控面板1071以及其他输入设备1072。触控面板1071,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板1071上或在触控面板1071附近的操作),并根据预先设定的程式驱动相应的连接装置。触控面板1071可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器110,并能接收处理器110发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板1071。除了触控面板1071,用户输入单元107还可以包括其他输入设备1072。具体地,其他输入设备1072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种,具体此处不做限定。进一步的,触控面板1071可覆盖显示面板1061,当触控面板1071检测到在其上或附近的触摸操作后,传送给处理器110以确定触摸事件的类型,随后处理器110根据触摸事件的类型在显示面板1061上提供相应的视觉输出。虽然在图1中,触控面板1071与显示面板1061是作为两个独立的部件来实现移动终端的输入和输出功能,但是在某些实施例中,可以将触控面板1071与显示面板1061集成而实现移动终端的输入和输出功能,具体此处不做限定。接口单元108用作至少一个外部装置与移动终端100连接可以通过的接口。例如,外部装置可以包括有线或无线头戴式耳机端口、外部电源(或电池充电器)端口、有线或无线数据端口、存储卡端口、用于连接具有识别模块的装置的端口、音频输入/输出(i/o)端口、视频i/o端口、耳机端口等等。接口单元108可以用于接收来自外部装置的输入(例如,数据信息、电力等等)并且将接收到的输入传输到移动终端100内的一个或多个元件或者可以用于在移动终端100和外部装置之间传输数据。存储器109可用于存储软件程序以及各种数据。存储器109可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器109可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。处理器110是移动终端的控制中心,利用各种接口和线路连接整个移动终端的各个部分,通过运行或执行存储在存储器109内的软件程序和/或模块,以及调用存储在存储器109内的数据,执行移动终端的各种功能和处理数据,从而对移动终端进行整体监控。处理器110可包括一个或多个处理单元;优选的,处理器110可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器110中。近场通信(nearfieldcommunication,以下简称为nfc)是一种短距高频的无线电技术,允许电子设备之间进行非接触式点对点数据传输交换数据,由非接触式射频识别(rfid)演变而来。nfc工作频率为13.56hz,有效范围为20cm以内,其传输速度有106kbit/秒、212kbit/秒或者424kbit/秒三种。nfc有3种工作模式:读卡器模式、点对点模式、卡模拟模式。在读卡器模式时,nfc设备产生射频场从外部采用相同标准的nfc标签中读写数据。在点对点模式中,nfc可以与其他的nfc设备通信,进行点对点的数据传输。卡模拟模式中,读卡器是主动设备,产生射频场;nfc设备为被动设备,模拟一张符合nfc标准的非接触式卡片与读卡器进行交互。移动终端100通过nfc控制器111实现nfc功能,如实现nfc支付等。移动终端100还可以包括给各个部件供电的电源112(比如电池),优选的,电源112可以通过电源管理系统与处理器110逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。尽管图1未示出,移动终端100还可以包括蓝牙模块等,在此不再赘述。为了便于理解本发明实施例,下面对本发明的移动终端所基于的通信网络系统进行描述。请参阅图2,图2为本发明实施例提供的一种通信网络系统架构图,该通信网络系统为通用移动通信技术的lte系统,该lte系统包括依次通讯连接的ue(userequipment,用户设备)201,e-utran(evolvedumtsterrestrialradioaccessnetwork,演进式umts陆地无线接入网)202,epc(evolvedpacketcore,演进式分组核心网)203和运营商的ip业务204。具体地,ue201可以是上述移动终端100,此处不再赘述。e-utran202包括enodeb2021和其它enodeb2022等。其中,enodeb2021可以通过回程(backhaul)(例如x2接口)与其它enodeb2022连接,enodeb2021连接到epc203,enodeb2021可以提供ue201到epc203的接入。epc203可以包括mme(mobilitymanagemententity,移动性管理实体)2031,hss(homesubscriberserver,归属用户服务器)2032,其它mme2033,sgw(servinggateway,服务网关)2034,pgw(pdngateway,分组数据网络网关)2035和pcrf(policyandchargingrulesfunction,政策和资费功能实体)2036等。其中,mme2031是处理ue201和epc203之间信令的控制节点,提供承载和连接管理。hss2032用于提供一些寄存器来管理诸如归属位置寄存器(图中未示)之类的功能,并且保存有一些有关服务特征、数据速率等用户专用的信息。所有用户数据都可以通过sgw2034进行发送,pgw2035可以提供ue201的ip地址分配以及其它功能,pcrf2036是业务数据流和ip承载资源的策略与计费控制策略决策点,它为策略与计费执行功能单元(图中未示)选择及提供可用的策略和计费控制决策。ip业务204可以包括因特网、内联网、ims(ipmultimediasubsystem,ip多媒体子系统)或其它ip业务等。虽然上述以lte系统为例进行了介绍,但本领域技术人员应当知晓,本发明不仅仅适用于lte系统,也可以适用于其他无线通信系统,例如gsm、cdma2000、wcdma、td-scdma以及未来新的网络系统等,此处不做限定。基于上述移动终端硬件结构以及通信网络系统,提出本发明移动终端的各个实施例。参照图1,在本发明移动终端的第一实施例中,该移动终端包括:存储有nfc安全控制程序的存储器109;处理器110,配置为执行存储器109中存储的nfc安全控制程序以实现以下操作:在启动安全读取模式时,将nfc控制器111读取数据的传输路径,重定向到可信执行环境中的预设缓存区;通过可信执行环境的预设可信应用,基于nfc控制器111将nfc卡片的第一身份标识读取到预设缓存区中,并基于第一身份标识,对nfc卡片进行安全校验;在nfc卡片通过安全校验时,设置普通执行环境中对应nfc卡片的nfc应用可访问预设可信应用,以供该nfc应用通过前述预设可信应用访问nfc卡片。进一步地,前述nfc应用为票务应用,处理器110执行存储器109中储存的nfc安全控制程序时,还执行以下操作:通过预设可信应用将nfc卡片携带的用户实名信息读取到预设缓存区中,并基于用户实名信息以及票务应用的预设票务信息生成临时申请信息;通过预设可信应用与票务应用之间的访问通道,将临时申请信息传输至票务应用,以供票务应用完成实名购票。进一步地,处理器110执行存储器109中储存的nfc安全控制程序时,还执行以下操作:按照预设频率,对预设可信应用进行预设次数的调用,以指示预设可信应用读取nfc卡片的第一身份标识。进一步地,处理器110执行存储器109中储存的nfc安全控制程序时,还执行以下操作:在nfc卡片未通过安全校验时,输出nfc卡片不安全的第一提示信息。进一步地,处理器110执行存储器109中储存的nfc安全控制程序时,还执行以下操作:在接收到用户的安全读取模式启动操作时,启动安全读取模式。进一步地,处理器110执行存储器109中储存的nfc安全控制程序时,还执行以下操作:在接收到用户的安全读取模式启动操作时,显示预设鉴权界面,以供用户输入鉴权数据;基于显示的预设鉴权界面接收用户输入的鉴权数据,并基于鉴权数据进行用户身份认证;在用户身份认证通过之后,启动安全读取模式。进一步地,处理器110执行存储器109中储存的nfc安全控制程序时,还执行以下操作:通过预设可信应用读取nfc应用的第二身份标识到预设缓存区中;基于第二身份标识,通过预设可信应用对nfc应用进行安全校验;在nfc应用通过安全校验时,设置nfc应用可访问预设可信应用。进一步地,处理器110执行存储器109中储存的nfc安全控制程序时,还执行以下操作:在nfc应用未通过安全校验时,输出nfc应用不安全的第二提示信息。进一步的,本发明还提供一种nfc安全控制方法,应用于移动终端,参照图3,在本发明近场通信安全控制方法的第一实施例中,该近场通信安全控制方法包括:步骤s10,在启动安全读取模式时,将nfc控制器111读取数据的传输路径,重定向到可信执行环境中的预设缓存区;步骤s20,通过可信执行环境的预设可信应用,基于nfc控制器111将nfc卡片的第一身份标识读取到预设缓存区中,并基于第一身份标识,对nfc卡片进行安全校验;步骤s30,在nfc卡片通过安全校验时,设置普通执行环境中对应nfc卡片的nfc应用可访问预设可信应用,以供该nfc应用通过前述预设可信应用访问nfc卡片。为便于理解本发明方案,以下首先对本发明涉及的可信执行环境进行说明。可信执行环境(trustedexecutiveenvironment,以下简称为tee)是globalplatform(gp)提出的概念。针对移动设备的开放环境,安全问题也越来越受到关注,不仅仅是终端用户,还包括服务提供者,移动运营商,以及芯片厂商。tee是与设备上的普通执行环境(richosexecutionenvironment,或称富系统执行环境,通常是android等,以下简称为ree)并存的运行环境,并且给ree提供安全服务。它具有其自身的执行空间,比ree的安全级别更高,但是比起安全元素(se,通常是智能卡)的安全性要低一些。但是tee能够满足大多数应用的安全需求。从成本上看,tee提供了安全和成本的平衡。其中,tee所能访问的软硬件资源是与ree分离的。tee提供了授权安全软件(或称可信应用,以下简称为ta)的安全执行环境,同时也保护ta的资源和数据的保密性,完整性和访问权限。为了保证tee本身的可信根,tee在安全启动过程中是要通过验证并且与ree隔离的。在tee中,每个ta是相互独立的,而且不能在未授权的情况下不能互相访问。gp在tee的标准化方面下足了工夫,基础的规范有tee内部应用程序编程接口(applicationprogramminginterface,以下简称为api),tee客户端api,当然目前还有一系列的补充的功能性api规范,以及应用管理、调试功能、安全保护轮廓等规范正在制定中。其中,tee内部api主要包含了密钥管理,密码算法,安全存储,安全时钟资源和服务,还有扩展的可信ui等api。可信ui是指在关键信息的显示和用户关键数据(如口令)输入时,屏幕显示和键盘等硬件资源完全由tee控制和访问,而ree中的软件应用不能访问。内部api是tee提供给ta的编程接口;tee客户端api则是让运行在ree中的客户端应用(ca)访问ta服务和数据的底层通信接口。基于以下关于tee的简单介绍,下面开始对本发明方案进行说明。在本发明实施例中,提供有安全读取模式,并在tee中设置有预设缓存区。其中,由于tee和ree的软硬隔离,ree侧的任何应用将不能直接访问该预设缓存区。此外,对于预设缓存区的物理位置以及大小的设置,本发明不做具体限制,可由本领域技术人员根据实际需要进行设置,例如,可在存储器109中归属于tee的储存区域中划分大小为1mb的储存区域作为预设缓存区。在该安全读取模式启动时,处理器110基于本发明提供的近场通信安全控制程序实现功能,首先对nfc控制器111进行初始化,使其工作于读卡器模式,然后将nfc控制器111读取数据的传输路径,重定向到tee中的预设缓存区。容易理解的是,在将nfc控制器111读取数据的传输路径重定向至tee中的预设缓存区中之后,nfc控制器111读取到的任何数据将被储存到预设缓存区中,等待处理。在完成对nfc控制器111的重定向之后,通过tee中的预设ta将nfc卡片的身份标识读取到预设缓存区中,以下将nfc卡片的身份标识(在本实施例中,身份标识唯一标识nfc卡片,不同的nfc卡片的身份标识不同)记为第一身份标识,也即是第一身份标识为nfc卡片的身份标识。具体的,通过可信执行环境的预设可信应用,基于nfc控制器111将nfc卡片的第一身份标识读取到预设缓存区中包括:按照预设频率,对预设ta进行预设次数的调用,以指示预设ta读取nfc卡片的第一身份标识。在本实施例中,对预设ta进行反复调用,通过该反复调用告知预设ta,nfc控制器111已经准备完成,可对nfc卡片的第一身份标识进行读取。需要说明的是,本发明对于预设频率以及预设次数的取值不做具体限制,可由本领域技术人员根据实际需要进行设置,例如,本发明按照5次/秒的频率对预设ta进行5次调用,以指示预设ta读取nfc卡片的第一身份标识。在具体实施时,如图4所示,当用户握持移动终端靠近nfc卡片,在移动终端与nfc卡片的间距位于nfc通信距离之内时,预设ta将通过nfc控制器111产生的射频场,对nfc卡片携带的数据进行读取,此处预设ta将读取到nfc卡片的第一身份标识,并将读取到的第一身份标识储存至tee的预设缓存区中。需要说明的是,在本实施例中,nfc卡片可以是图3所示物理形态为卡片的nfc卡片,也可以是工作在卡模拟模式的nfc设备,或者是其他形式的nfc卡片。在预设ta将nfc卡片的第一身份标识读取到预设缓存区中之后,基于预设缓存区中的第一身份标识,通过预设ta对nfc卡片进行安全校验,可选地,在一实施例中,预设ta包括第一身份认证规则,通过预设ta对nfc卡片进行安全校验包括:判断第一身份标识是否在预设ta的第一身份认证规则中,其中,在第一身份标识在预设ta的第一身份认证规则中时,确定nfc卡片通过安全校验,否则确定nfc卡片未通过安全校验。在具体实施时,前述第一身份认证规则可在移动终端出厂或安装前述预设ta时,预置在前述预设ta中。前述第一身份认证规则包括可信的nfc卡片的身份标识。可选地,在一实施例中,预设ta包括约定的第一非对称加密算法(对于采用何种非对称加密算法,本发明不做具体限制,可由本领域技术人员根据实际需要进行选取),在读取nfc卡片的第一身份标识的同时,还读取nfc卡片携带的第一密文(nfc卡片厂商采用约定的第一非对称加密算法对于第一身份标识计算得到的密文),通过预设ta对nfc卡片进行安全校验包括:通过预设ta的第一非对称加密算法,对读取到的第一身份标识进行计算,得到第二密文;判断计算的第二密文与第一密文是否匹配,其中,在二者密文匹配时确定nfc卡片通过安全校验,否则确定nfc卡片未通过安全校验。在预设ta返回的校验结果为nfc卡片通过安全校验时,设置ree中对应所述nfc卡片的nfc应用可访问预设ta,以供前述nfc应用通过预设ta访问nfc卡片。例如,以nfc卡片为“深圳通”为例,当通过预设ta对其进行安全校验,且“深圳通”通过安全校验时,设置ree中的“鹏淘应用”可访问预设ta,从而“鹏淘应用”可通过预设ta访问“深圳通”,通过相应的读写操作,实现“余额查询”以及“充值”等功能。进一步地,步骤s20之后,还包括:在nfc卡片未通过安全校验时,输出nfc卡片不安全的第一提示信息。容易理解的是,在nfc卡片未通过安全校验时,说明nfc卡片可能是伪造的,存在一定的安全风险,此时输出提示nfc卡片不安全的第一提示信息,例如,在屏幕显示第一提示信息“nfc卡片不安全,存在安全风险”。可选地,在一实施例中,在输出nfc卡片不安全的第一提示信息的同时,还执行以下步骤:清除预设缓存区中的第一身份标识。本发明提出的近场通信安全控制方法,结合近场通信的读取功能,以及和普通执行环境环境隔离的可信执行环境,将近场通信控制器读取数据的传输路径重定向到可信执行环境中的预设缓存区,并通过可信执行环境中的预设可信应用对近场通信卡片进行安全检验,在且仅在近场通信卡片通过安全检验时,设置普通执行环境中对应近场通信卡片的近场通信应用可访问预设可信应用,以供近场通信应用通过预设可信应用访问近场通信卡片,达到提升移动终端进行近场通信交互时的安全性的目的。进一步地,基于第一实施例,提出本发明nfc安全控制方法的第二实施例,在本实施例中,步骤s30之后,还包括以下步骤:通过预设ta将nfc卡片携带的用户实名信息读取到预设缓存区中,并基于用户实名信息以及票务应用的预设票务信息生成临时申请信息;通过预设ta与票务应用之间的访问通道,将临时申请信息传输至票务应用,以供票务应用完成实名购票。容易理解的是,在实际生活中,如景点、动物园、游乐园等场所都需要进行实名购票,用户在通过票务应用进行购票时,需要手动输入其实名信息进行购票,操作比较繁琐。为此,本实施例在前述第一实施例的基础上,进一步增加了临时申请信息的处理操作,以下仅对此进行说明,其他可参照前述实施例,此处不再赘述。在本发明实施例中,前述nfc应用为票务应用,当nfc卡片通过安全校验,且设置票务应用可访问预设ta之后,进一步通过预设ta对nfc卡片携带的用户实名信息进行读取,将用户实名信息读取到预设缓存区中。之后,基于预设ta和票务应用的访问通道,获取到票务应用的预设票务信息,并基于用户实名信息以及预设票务信息生成临时申请信息。其中,预设票务信息即用户操作票务应用购票所需的,除实名信息之外的其他票务信息,包括但不限于购票数量、位置等;临时申请信息由预设ta按照票务应用的购票规则生成,可理解为购票请求。在生成临时申请信息之后,通过前述访问通道将生成的临时申请信息传输至票务应用,之后,票务应用可将该临时申请信息传输至预设票务服务器,完成实名购票。例如,nfc卡片为身份证,票务应用为“携程应用”,用户操作“携程应用”购买某航班机票,并完成机票信息(如位置、舱位等)的选择,在需要输入实名信息时,用户将移动终端靠近身份证。移动终端通过预设ta对身份证进行安全校验,并在身份证通过安全校验之后,读取到身份证携带的用户实名信息“身份证号,姓名等”,并结合用户输入的预设票务信息,按照“携程应用”的购票规则,生成“携程应用”可用的购票请求“临时申请信息”,将“临时申请信息”传输至“携程应用”,由“携程应用”完成机票的购买。需要说明的是,前述访问通道即客户端api。进一步地,在本实施例中,在票务应用完成实名购票之后,将票务应用实名购票获得的购票凭证(如携带门票信息的二维码、条形码等)透传至预设ta,并通过预设ta,按照gp规范,将购票凭证储存到安全单元(如嵌入式安全单元,ese)中。在需要使用购票凭证时,将nfc控制器111配置为卡模拟模式之后,将移动终端靠近校票终端即可完成校验,方便快捷。进一步地,基于第一实施例,提出本发明nfc安全控制方法的第三实施例,在本实施例中,步骤s10之前,还包括:在接收到用户的安全读取模式启动操作时,启动安全读取模式。需要说明的是,本实施例在前述第一实施例的基础上,增加了安全读取模式的启动操作,以下仅对此进行说明,其他可参照前述实施例,此处不再赘述。在本发明实施例中,可在移动终端的“设置”界面中增加用于开启安全读取模式的控件,或者在本发明提供的近场通信安全控制程序的ui中增加用于开启安全读取模式的控件,供用户操作,已开启安全读取模式。例如,如图5所示,用户可通过滑动图5所示圆形控件触发安全读取模式启动操作。进一步地,在本实施例中,启动安全读取模式之前,还包括:在接收到用户的安全读取模式启动操作时,显示预设鉴权界面,以供用户输入鉴权数据;基于显示的所述预设鉴权界面接收用户输入的鉴权数据,并基于所述鉴权数据进行用户身份认证;在用户身份认证通过之后,启动安全读取模式。在本发明实施例中,进一步增加了对用户的鉴权操作,具体的,在接收到用户的安全读取模式启动操作时,显示预设鉴权界面,以供用户输入鉴权数据,在具体实施时,通过tee的可信ui实现预设鉴权界面的显示,从而确保屏幕显示和键盘等硬件资源完全由tee控制和访问,防止用户输入鉴权数据被窃取。其中,本发明对预设鉴权界面的形式不做具体限制,可由本领域技术人员根据实际需要进行设置,例如,本发明实施例采用图6所示的九宫格鉴权界面。之后,通过显示的预设鉴权界面接收用户输入的鉴权数据,并在接收到用户输入的鉴权数据之后,将用户输入的鉴权数据与预设鉴权数据进行比对,以实现用户身份认证,其中,在二者鉴权数据一致时,确定用户身份认证通过,否则确定用户身份认证失败。例如,基于图6所示的九宫格鉴权界面,用户绘制了图7所示的图案(即输入的鉴权数据),若该图案与预设图案(即预设鉴权数据,如预授权用户绘制的鉴权图案)相同,则确定用户身份认证通过。在确定用户身份认证通过之后,即可启动安全读取模式。进一步地,基于前述任一实施例,提出本发明nfc安全控制方法的第四实施例,在本实施例中,步骤s30之前,还包括:在nfc卡片通过安全校验时,通过预设ta读取前述nfc应用的第二身份标识到预设缓存区中;基于第二身份标识,通过预设ta对前述nfc应用进行安全校验;在前述nfc应用通过安全校验时,设置前述nfc应用可访问预设ta。需要说明的是,本实施例在前述实施例的基础上,进一步增加了对nfc应用的安全检验操作,以下仅对此进行说明,其他可参照前述实施例,此处不再赘述。在本发明实施例中,当nfc卡片通过安全校验,且前述nfc应用的第二身份标识被读取到预设缓存区中之后,基于预设缓存区中的第二身份标识,通过预设ta对前述nfc应用进行安全校验。其中,第二身份标识可通过解析前述nfc应用的应用安装包得到,具体可为前述nfc应用的应用证书哈希值。可选地,在一实施例中,预设ta包括第二身份认证规则,通过预设ta对nfc卡片进行安全校验包括:判断第二身份标识是否在预设ta的第二身份认证规则中,其中,在第二身份标识在预设ta的第二身份认证规则中时,确定前述nfc应用通过安全校验,否则确定前述nfc应用未通过安全校验。在具体实施时,前述第二身份认证规则可在移动终端出厂或安装前述预设ta时,预置在前述预设ta中。前述第二身份认证规则包括可信的nfc应用的身份标识。可选地,在一实施例中,预设ta包括约定的第二非对称加密算法(对于采用何种非对称加密算法,本发明不做具体限制,可由本领域技术人员根据实际需要进行选取),在读取前述nfc应用的第二身份标识的同时,还读取前述nfc应用携带的第三密文(nfc应用厂商采用约定的第二非对称加密算法对于第二身份标识计算得到的密文),通过预设ta对前述nfc应用进行安全校验包括:通过预设ta的第二非对称加密算法,对读取到的第二身份标识进行计算,得到第四密文;判断计算的第四密文与第三密文是否匹配,其中,在二者密文匹配时确定前述nfc应用通过安全校验,否则确定前述nfc应用未通过安全校验。在预设ta返回的校验结果为前述nfc应用通过安全校验时,设置前述nfc应用可访问预设ta,以供前述nfc应用通过预设ta访问nfc卡片。进一步地,基于第二身份标识,通过预设ta对前述nfc应用进行安全校验的步骤之后。还包括:在前述nfc应用未通过安全校验时,输出前述nfc应用不安全的第二提示信息。容易理解的是,在前述nfc应用未通过安全校验时,说明前述nfc应用可能是非法发布的山寨应用,存在一定的安全风险,此时输出提示nfc应用不安全的第二提示信息,例如,在屏幕显示第二提示信息“nfc应用不安全,存在安全风险”。可选地,在一实施例中,在输出nfc应用不安全的第二提示信息的同时,还执行以下步骤:清除预设缓存区中的第二身份标识。此外,本发明还提出一种计算机可读存储介质,该计算机可读存储介质上存储有nfc安全控制程序,该nfc安全控制程序被处理器110执行时实现如下操作:在启动安全读取模式时,将nfc控制器111读取数据的传输路径,重定向到tee中的预设缓存区;通过tee的预设ta,基于nfc控制器111将nfc卡片的第一身份标识读取到预设缓存区中,并基于第一身份标识,对nfc卡片进行安全校验;在nfc卡片通过安全校验时,设置ree中对应nfc卡片的nfc应用可访问预设ta,以供该nfc应用通过前述预设ta访问nfc卡片。进一步地,nfc应用为票务应用,前述nfc安全控制程序被处理器110执行时还实现如下操作:通过预设ta将nfc卡片携带的用户实名信息读取到预设缓存区中,并基于用户实名信息以及票务应用的预设票务信息生成临时申请信息;通过预设ta与票务应用之间的访问通道,将临时申请信息传输至票务应用,以供票务应用完成实名购票。进一步地,前述nfc安全控制程序被处理器110执行时还实现如下操作:按照预设频率,对预设ta进行预设次数的调用,以指示预设ta读取nfc卡片的第一身份标识。进一步地,前述nfc安全控制程序被处理器110执行时还实现如下操作:在nfc卡片未通过安全校验时,输出nfc卡片不安全的第一提示信息。进一步地,前述nfc安全控制程序被处理器110执行时还实现如下操作:在接收到用户的安全读取模式启动操作时,启动安全读取模式。进一步地,前述nfc安全控制程序被处理器110执行时还实现如下操作:在接收到用户的安全读取模式启动操作时,显示预设鉴权界面,以供用户输入鉴权数据;基于显示的预设鉴权界面接收用户输入的鉴权数据,并基于鉴权数据进行用户身份认证;在用户身份认证通过之后,启动安全读取模式。进一步地,前述近场通信安全控制程序被处理器110执行时还实现如下操作:通过预设ta读取nfc应用的第二身份标识到预设缓存区中;基于第二身份标识,通过预设ta对nfc应用进行安全校验;在nfc应用通过安全校验时,设置nfc应用可访问预设ta。进一步地,前述近场通信安全控制程序被处理器110执行时还实现如下操作:在nfc应用未通过安全校验时,输出nfc应用不安全的第二提示信息。需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如rom/ram、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。当前第1页12当前第1页12