一种安全访问方法、装置及系统与流程

文档序号:12041583阅读:260来源:国知局
一种安全访问方法、装置及系统与流程
本发明涉及一种数据业务技术,尤其涉及一种安全访问方法、装置及系统。

背景技术:
近距离无线通讯(NearFieldCommunication,简称NFC)手机上的安全模块(SecurityElement,简称SE)芯片的访问要求高安全可控,不是所有的手机上的软件都能访问到SE,而是必须经过授权才能访问。应用程序编程接口(ApplicationProgrammingInterface,简称API)无安全访问控制的情况下,手机上软件可以随意访问SE,对SE可能构成攻击伤害,例如获取SE上数据信息,探测SE上的安全密钥,给暴力破解提供入口,最终修改掉SE上数据。

技术实现要素:
本发明的目的在于,提供一种安全访问方法、装置及系统,提高SE被手机软件访问的安全性。为实现上述目的,根据本发明的一个方面,提供一种安全访问方法,其特征在于,包括:操作系统OS对要访问安全模块SE的主件或辅件进行认证鉴权;认证鉴权通过后,主件或辅件访问所述SE。其中,OS对要访问安全模块SE的主件或辅件进行认证鉴权包括:所述主件或辅件将令牌Token发送到所述OS;所述OS对所述Token进行验证。另外,OS对要访问安全模块SE的主件或辅件进行认证鉴权之前还包括:所述主件或辅件向所述OS发送Token;所述OS对所述Token进行验证,验证成功后,在注册登记表中记录所述主件或辅件的信息;OS中对要访问安全模块SE的主件或辅件进行认证鉴权包括:所述主件或辅件向所述OS发送访问请求;所述OS根据所述访问请求查询所述注册登记表,判断所述主件或辅件是否通过认证鉴权。优选地,认证鉴权通过后还包括:所述OS为所述主件或辅件分配临时 访问权限;所述主件或辅件根据所述临时访问权限调用应用程序编程接口API,通过API访问所述SE。更优地,该方法还包括:业务平台通过主件发送安全密钥到所述SE;所述业务平台与所述SE之间交互的信令用所述安全密钥加密。更优地,该方法还包括:主件将应用下载请求发送给所述业务平台;业务平台将主件请求下载的应用通过安全密钥加密后,经所述主件发送给所述SE;所述SE对加密后的应用解密后,进行安装。更优地,该方法还包括:所述业务平台根据当前下载状态,选择相应的应用数据进行加密后经所述主件发送给所述SE。为实现上述目的,根据本发明的一个方面,提供一种安全访问方法,包括:OS根据与主件之间的唯一访问关系验证需要访问SE的是否为所述主件,如果是,则认证通过;认证通过后,所述主件访问所述SE。优选地,该方法还包括:所述主件对要访问SE的辅件进行认证鉴权;认证鉴权通过后,所述辅件通过所述主件访问所述SE。其中,所述主件对要访问SE的辅件进行认证鉴权包括:所述辅件将令牌Token发送到所述主件;所述主件对所述Token进行验证。另外,OS根据与主件之间的唯一访问关系验证需要访问SE的是否为所述主件之前包括:在主件安装后,所述OS建立与所述主件之间的唯一访问关系,仅允许所述主件访问所述OS。优选地,该方法还包括:当需要访问SE的为所述主件时,OS为所述主件分配访问权限;所述主件根据该访问权限调用API,通过API访问所述SE。优选地,该方法还包括:认证鉴权通过后,所述主件为所述辅件分配临时访问权限;所述辅件通过所述临时访问权限访问所述主件。更优地,该方法还包括:业务平台通过主件发送安全密钥到所述SE;所述业务平台与所述SE之间交互的信令用所述安全密钥加密。为实现上述目的,根据本发明的另一个方面,提供一种操作系统,包括:接收模块,用于接收主件或辅件及认证鉴权请求;认证鉴权模块,用于根据所述认证鉴权请求对所述主件或辅件进行认证鉴权;发送模块,用于将认证鉴权结果发送给所述主件或辅件。其中,该操作系统还包括:注册登记存储模块和查询模块,其中,所述 接收模块,用于接收所述主件或辅件发送的包含Token的认证鉴权请求及访问请求;所述认证鉴权模块,用于对所述Token进行验证;所述注册登记存储模块,用于在验证成功后,在注册登记表中记录所述主件或辅件的信息;查询模块,用于根据所述主件或辅件的访问请求从所述注册登记存储模块查询所述主件或辅件是否通过认证鉴权。优选地,该操作系统还包括:权限分配模块,用于在所述主件或辅件通过认证鉴权后,为所述主件或辅件分配临时访问权限;所述发送模块,用于将所述临时访问权限发送给所述主件或辅件。为实现上述目的,根据本发明的另一个方面,提供一种操作系统,包括:主件验证模块,用于根据操作系统与主件之间的唯一访问关系验证需要访问SE的是否为所述主件;权限分配模块,用于当验证通过后,为所述主件分配临时访问权限;发送模块,用于将临时访问权限发送给所述主件。为实现上述目的,根据本发明的另一个方面,提供一种主件,包括:接收模块,用于接收要访问SE的辅件发送的认证鉴权请求;认证鉴权模块,用于根据所述认证鉴权请求对所述辅件进行认证鉴权;发送模块,用于将所述认证鉴权结果发送给所述辅件。其中,该主件还包括:调用模块,根据操作系统分配的临时访问权限调用API,通过API访问所述SE。该主件还包括:权限分配模块,用于当对所述辅件认证鉴权通过后,为所述辅件分配临时访问权限。为实现上述目的,根据本发明的另一个方面,提供一种辅件,包括:发送模块,用于发送认证鉴权请求到主件,根据所述临时访问权限发送信令到所述主件;接收模块,用于接收所述主件返回的认证鉴权结果和临时访问权限。为实现上述目的,根据本发明的另一个方面,提供一种安全访问系统,包括:OS,用于对要访问安全模块SE的主件或辅件进行认证鉴权,将认证鉴权结果发送给所述主件或辅件;所述主件或辅件,当认证鉴权通过后,访问所述SE。其中,所述OS,为所述主件或辅件分配临时访问权限;所述主件或辅件,根据所述临时访问权限调用应用程序编程接口API,通过API访问所述 SE。具体地,所述主件或辅件,向所述OS发送包含Token的认证鉴权请求和访问请求;所述OS,对所述Token进行验证,验证成功后,在注册登记表中记录所述主件或辅件的信息;根据所述访问请求通过查询所述注册登记表,判断所述主件或辅件是否通过认证鉴权。另外,所述主件或辅件,将令牌Token发送到所述OS;所述OS,对所述Token进行验证。该系统还包括:业务平台,通过主件发送安全密钥到所述SE;所述业务平台与所述SE之间交互的信令用所述安全密钥加密。为实现上述目的,根据本发明的另一个方面,提供一种安全访问系统,其特征在于,包括:OS,根据与主件之间的唯一访问关系验证需要访问SE的是否为所述主件,如果是,则认证通过,将认证结果发送给所述主件;所述主件,当认证通过后,访问所述SE。该系统还包括:辅件,所述辅件,发送访问请求到所述主件,当认证鉴权通过后,通过所述主件访问SE;所述主件,根据所述访问请求对所述辅件进行认证鉴权,将认证鉴权结果发送给所述辅件。本发明的安全访问方法、装置及系统,通过对访问SE的主件或辅件进行认证鉴权,认证鉴权通过后,为主件或辅件分配临时访问权限来访问SE,这样,提高了SE被手机软件访问的安全性。附图说明图1a是本发明安全访问方法实施例的流程图;图1b是本发明安全访问方法另一实施例的流程图;图2是本发明安全访问方法再一实施例的流程图;图3是本发明安全访问方法再一实施例的流程图;图4是本发明OS实施例的结构图;图5是本发明OS另一实施例的结构图;图6是本发明主件实施例的结构图;图7是本发明辅件实施例的结构图;图8a是本发明安全访问系统实施例的结构图;图8b是本发明安全访问系统另一实施例的结构图。具体实施方式业务平台访问SE时,需要通过手机上的一个代理对SE进行操作,这个代理称之为主件。主件是业务用来操作SE的安装在手机操作系统之上的一个代理软件,一般有且仅有一个。通过业务平台下载的其它应用软件,称之为辅件。辅件是通过业务平台下载的卡内应用所需配套的安装在手机操作系统之上的软件,可以通过业务平台下载,也可以通过其它渠道下载。以下结合附图对本发明进行详细说明。方法实施例一如图1a所示,主件或辅件都可以通过操作系统(OperatingSystem,简称OS)认证健全后访问SE,因此对主件或辅件进行认证鉴权由OS中的认证鉴权模块完成,安全访问方法具体实施例包括以下步骤:步骤102,主件或辅件要访问SE时,先向OS发送包含令牌Token的认证鉴权请求;步骤104,OS中包含一个认证鉴权模块,该认证鉴权模块对Token进行认证鉴权,并为该主件或辅件分配临时访问权限;为主件或辅件分配临时访问权限,可以是为该主件或辅件分配一个专用的进程,主件或辅件用该进程调用API;或给主件或辅件分配一个专用密钥,主件或辅件利用专用密钥对发送的信令进行加密;等等;步骤106,将验证结果和临时访问权限发送给主件;步骤108,主件或辅件根据临时访问权限调用API,发送指令到SE;步骤110,SE通过API将指令执行结果返回给主件或辅件。本发明还提供另一实施例,OS可以对主件或辅件认证鉴权通过后,保存辅件信息在注册登记表中,后续可以通过查询注册登记表验证辅件。如图1b所示,另一种实施例具体包括:步骤102′,主件或辅件在安装时,或者第一次要访问SE时,先向OS发送包含令牌Token的认证鉴权请求;步骤104′,OS中包含一个认证鉴权模块,该认证鉴权模块对Token进行认证鉴权,验证成功后,在注册登记表中记录所述主件或辅件的信息;步骤106′,将验证结果发送给主件或辅件;步骤108′,主件或辅件发送访问请求到OS;步骤110′,OS根据访问请求查询注册登记表,判断主件或辅件是否通过认证鉴权,如果主件或辅件已经通过认证鉴权,OS为主件或辅件分配临时访问权限;步骤112′,OS将临时访问权限返回给主件或辅件;步骤114′,主件或辅件根据该临时访问权限调用API,发送指令到SE;步骤116′,SE通过API将指令执行结果返回给主件或辅件。上述两个实施例的安全访问方法,通过对访问SE的主件或辅件进行认证鉴权,认证鉴权通过后,为主件或辅件分配临时访问权限来访问SE,这样,提高了SE被手机软件访问的安全性。方法实施例二如图2所示,主件与OS之间建立唯一的对应关系,仅允许主件调用API,所有辅件都无法调用API,若辅件要访问SE,必须通过主件,因此,由主件对辅件进行鉴权认证,本发明安全访问方法实施例包括:步骤202,辅件发送包含Token的认证鉴权请求到主件;步骤204,主件包含认证鉴权模块,该认证鉴权模块对Token进行认证鉴权,认证鉴权通过后,主件为辅件分配临时访问权限;步骤206,主件将临时访问权限返回给辅件;步骤208,主件发送访问请求到OS;步骤210,OS根据与主件之间的唯一访问关系验证需要访问SE的是否为所述主件,如果是,则认证通过,OS为主件分配临时访问权限;步骤212,OS将临时访问权限返回给主件;步骤214,辅件通过主件分配的临时访问权限将指令发送给主件;步骤216,主件通过OS分配的临时访问权限调用API,发送指令到SE;步骤218,SE通过API将指令执行结果返回给主件;步骤220,主件将指令执行结果返回给辅件。本实施例中,如果是主件访问SE,则执行上述步骤208-步骤218。另外,主件可以对辅件认证鉴权通过后,保存辅件信息在注册登记表中, 后续可以通过查询注册登记表验证辅件。本实施例中,主件可以精确控制辅件对SE上某个应用或数据的访问,提高了SE被手机软件访问的安全性。方法实施例三本发明中,当业务平台访问SE时,还进一步在业务平台和SE之间建立安全通道,即在业务平台和SE之间协商一个安全密钥,业务平台和SE之间的交互信息用该安全密钥加密。如图3所示,本发明安全访问方法实施例包括:步骤302,业务平台发送包含安全密钥的访问请求到主件;步骤304,主件将访问请求发送至OS;步骤306,OS根据与主件之间的唯一访问关系验证需要访问SE的是否为所述主件,如果是,则认证通过,OS为主件分配临时访问权限;步骤308,OS将临时访问权限发送给主件;步骤310,主件通过该临时访问权限调用API,将访问请求发送给SE;步骤312,SE接收到该安全密钥,返回响应到主件;步骤314,主件将该响应返回给业务平台;步骤316,业务平台和SE之间的交互信息均使用该安全密钥进行加密。本实施例通过在业务平台和SE之间建立安全通道,进一步提高了数据传输的安全性。当需要向SE中下载应用时,主件首先将应用下载请求发送给业务平台;业务平台将主件请求下载的应用通过安全密钥加密后,经主件发送给SE;SE对加密后的应用解密后,进行安装。业务平台根据当前下载状态,选择相应的应用数据进行加密后经所述主件发送给所述SE。例如:下载正常时,选择所有文件、安装实例及个人化数据进行加密后发送给SE;当下载出现异常时,选择安装实例及个人化数据,或是仅选择个人化数据进行加密后发送给SE。下载到SE中的所有应用都必须经过主件,进一步提高了对SE访问的安全性。当出现下载异常时,业务平台选择可以下载的内容进行下载,而不是将下载停止,提高了下载效率及用户体验度。基于同一发明构思,本发明还提供一种OS,如图4所示,该OS实施例包括:接收模块41,用于接收主件或辅件及认证鉴权请求;认证鉴权模块42,用于根据所述认证鉴权请求对所述主件或辅件进行认证鉴权;发送模块43,用于将认证鉴权结果发送给所述主件或辅件。还包括:注册登记存储模块44和查询模块45,其中,所述接收模块41,用于接收所述主件或辅件发送的包含Token的认证鉴权请求及访问请求;所述认证鉴权模块42,用于对所述Token进行验证;所述注册登记存储模块44,用于在验证成功后,在注册登记表中记录所述主件或辅件的信息;查询模块45,用于根据所述主件或辅件的访问请求从所述注册登记存储模块查询所述主件或辅件是否通过认证鉴权。还包括:权限分配模块46,用于在所述主件或辅件通过认证鉴权后,为所述主件或辅件分配临时访问权限;所述发送模块43,用于将所述临时访问权限发送给所述主件或辅件。本实施例的OS,通过其中的认证鉴权模块对主件或辅件进行安全认证,认证鉴权通过后,为主件或辅件分配临时访问权限来访问SE,这样,提高了SE被手机软件访问的安全性。如图5所示,本发明还提供另外一种OS实施例,包括:主件验证模块51,用于根据操作系统与主件之间的唯一访问关系验证需要访问SE的是否为所述主件;权限分配模块52,用于当验证通过后,为所述主件分配临时访问权限;发送模块53,用于将临时访问权限发送给所述主件。本实施例的OS,仅对主件进行访问授权,其他辅件需要通过主件来访问SE,从而进一步提高了SE被手机软件访问的安全性。基于同一发明构思,本发明还提供一种主件,如图6所示,该主件实施例包括:接收模块61,用于接收要访问SE的辅件发送的认证鉴权请求;认证鉴权模块62,用于根据所述认证鉴权请求对所述辅件进行认证鉴权;发送模块63,用于将所述认证鉴权结果发送给所述辅件。其中,主件还包括:调用模块64,根据操作系统分配的临时访问权限调用API,通过API访问所述SE。另外主件还包括:权限分配模块65,用于当对所述辅件认证鉴权通过后,为所述辅件分配临时访问权限。本实施例的主件,对其他辅件进行认证鉴权,其他辅件需要通过该主件来访问SE,从而进一步提高了SE被手机软件访问的安全性。基于同一发明构思,本发明还提供一种辅件,如图7所示,该辅件实施例包括:发送模块71,用于发送认证鉴权请求到主件,根据所述临时访问权限发送信令到所述主件;接收模块72,用于接收所述主件返回的认证鉴权结果和临时访问权限。本实施例的辅件,不能直接访问SE,需要通过主件认证鉴权后,通过主件访问SE,从而进一步提高了SE被手机软件访问的安全性。基于同一发明构思,本发明还提供一种安全访问系统,主件或辅件都可以通过操作系统(OperatingSystem,简称OS)认证健全后访问SE,因此对主件或辅件进行认证鉴权由OS中的认证鉴权模块完成,如图8a所示,该系统实施例包括:OS,用于对要访问安全模块SE的主件或辅件进行认证鉴权,将认证鉴权结果发送给所述主件或辅件;所述主件或辅件,当认证鉴权通过后,访问所述SE。该系统中,所述OS,为所述主件或辅件分配临时访问权限;所述主件或辅件,根据所述临时访问权限调用应用程序编程接口API,通过API访问所述SE。另外,该系统中,所述主件或辅件,向所述OS发送包含Token的认证鉴权请求和访问请求;所述OS,对所述Token进行验证,验证成功后,在注册登记表中记录所述主件或辅件的信息;根据所述访问请求通过查询所述 注册登记表,判断所述主件或辅件是否通过认证鉴权。该系统还包括:业务平台,通过主件发送安全密钥到所述SE;所述业务平台与所述SE之间交互的信令用所述安全密钥加密。当需要下载应用时,系统中,主件,将应用下载请求发送给所述业务平台;业务平台,将主件请求下载的应用通过安全密钥加密后,经所述主件发送给SE;SE,对加密后的应用解密后,进行安装。优选地,业务平台,根据当前下载状态,选择相应的应用数据进行加密后经所述主件发送给所述SE。如图8b所示,基于同一发明构思,本发明还提供另一种安全访问系统实施例,主件与OS之间建立唯一的对应关系,仅允许主件调用API,所有辅件都无法调用API,若辅件要访问SE,必须通过主件,因此,由主件对辅件进行鉴权认证,该实施例包括:OS,根据与主件之间的唯一访问关系验证需要访问SE的是否为所述主件,如果是,则认证通过,将认证结果发送给所述主件;所述主件,当认证通过后,访问所述SE。该系统还包括:辅件,所述辅件,发送访问请求到所述主件,当认证鉴权通过后,通过所述主件访问SE;所述主件,根据所述访问请求对所述辅件进行认证鉴权,将认证鉴权结果发送给所述辅件。其中,所述OS,当需要访问SE的为所述主件时,为所述主件分配访问权限;所述主件,根据该访问权限调用API,通过API访问所述SE。另外,所述主件,认证鉴权通过后,为所述辅件分配访问权限;所述辅件,通过所述访问权限访问所述主件。上述两个实施例的安全访问系统,通过对访问SE的主件或辅件进行认证鉴权,认证鉴权通过后,为主件或辅件分配临时访问权限来访问SE,这样,提高了SE被手机软件访问的安全性。应说明的是:以上实施例仅用以说明本发明而非限制,本发明也并不仅限于上述举例,一切不脱离本发明的精神和范围的技术方案及其改进,其均应涵盖在本发明的权利要求范围中。
当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1