一种访问可信应用的方法及其系统与流程

本申请涉及安全访问领域，尤其涉及一种访问可信应用的方法及其系统。
背景技术：
：随着移动终端的迅猛发展，与移动终端相适应的各种应用也井喷式涌出，其中既包括可信任的应用，例如官方认证的应用，也包括非可信任的应用，例如用户自己下载的应用，如何对这些应用进行统一管理，以使得移动终端的软件和硬件处于相对安全地环境是移动终端中亟待解决的问题。技术实现要素：本申请的目的在于提供一种访问可信应用的方法及其系统，以及应用该可信应用的方法和系统的终端，用于提升现有终端的安全性能。基于此，本申请提出一种访问可信应用的方法，所述可信应用运行于可信环境中，该方法包括如下步骤：接收访问请求；根据预先建立的可信列表，判断是否允许访问所述可信应用；如果允许访问，则访问所述可信应用。进一步的，访问请求中携带访问的可信应用的标识以及鉴权信息。进一步的，可信列表包括存储公共应用标识的多个可信应用列表。进一步的，根据预先建立的可信列表，判断是否允许访问所述可信应用，包括如下子步骤：解析访问请求，获得可信应用的标识和鉴权信息；根据鉴权信息和可信应用列表判断是否允许访问所述可信应用。进一步的，根据鉴权信息和可信应用列表判断是否允许访问所述可信应用包括如下子步骤：根据解析获得的鉴权信息，对请求访问的公共应用进行鉴权；如果鉴权通过，则根据鉴权信息中的公共应用标识，查找可信应用列表，判断该公共应用标识是否在可信应用列表中；如果在可信应用列表中，则允许该公共应用对所述可信应用访问。本申请的访问方法，可使得对于运行于可信应用环境中的可信应用的访问更为便捷、安全。同时，由于采用多参数鉴权，使得对于非可信应用程序的认证获得保证，进一步结合了权限管理的方式，使得对于可信应用的访问具有更多的选择性。本申请还保护一种访问可信应用的系统，包括运行可信应用的可信环境，其特征在于，包括如下部件：通信装置，接收对可信应用的访问请求；操作装置，根据预先建立的可信列表，判断是否允许访问所述可信应用；如果允许访问，则访问所述可信应用。进一步的，该系统还包括存储装置，存储所述可信列表，其中可信列表包括存储公共应用标识的多个可信应用列表。进一步的，该系统还包括可信应用列表部件，验证访问请求的合法性。进一步的，该系统中的操作装置解析访问请求，获得可信应用的标识和鉴权信息，根据鉴权信息和可信应用列表判断是否允许访问所述可信应用。本申请还请求保护一种终端，包括如上所述的访问可信应用的系统，还包括存储非可信应用的公共环境。本申请的访问可信应用的系统以及终端所获得的效果和上述方法一致，在此不再赘述。附图说明图1为本申请终端的结构示意图；图2为本申请访问可信应用的系统的结构示意图；图3为本申请访问可信应用的方法流程图；图4为本申请访问可信应用的系统的结构图；图5为操作装置的结构示意图。具体实施方式下面将结合本申请实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。为了解决现有的移动终端的安全性问题，利用终端的硬件和软件，构造可信应用环境和公共环境，如图1所示，其中移动终端110包括公共环境120和可信应用环境130，可信应用环境130由一组硬件和软件构成，其中硬件包括：处理单元、连接总线、存储器以及各种外部设备；软件包括安全操作系统内核以及各种可信应用；公共环境120包括与可信执行环境类似的硬件和软件构成，但其中的应用是非可信应用。运行在公共环境中的软件和硬件，无需认证，可以直接访问，但是运行于可信应用环境中的软件和硬件，需要经过认证之后才能使用。公共环境120和可信应用环境130通过通信部件实现通信。实施例一以上结合附图1介绍了移动终端110的结构，下面结合附图2进一步介绍本申请一种访问可信应用的方法，包括如下步骤：步骤s210、接收访问请求；可信应用环境接收对可信应用的访问请求，其中访问请求中携带请求访问的可信应用的标识以及鉴权信息。其中请求访问的可信应用的标识可以是一个或多个。步骤s220、根据预先建立的可信列表，判断是否允许访问所述可信应用；本申请预先建立可信列表，并将其存储于可信应用环境中，其中建立的可信列表为可信应用列表，可信应用列表中存储公共应用标识，可选地，也可包括对该可信应用的访问权限，该可信列表标识表结构如表一所示：表一其中的访问权限也仅为示例性示出，本领域技术人员可根据实际需要添加其他权限。可选地，当可信应用多于一个时，可以进一步的建立可信列表标识表，即可信列表包括一个可信列表标识表，以及多个可信应用列表。其中可信列表标识表中存放可信应用的标识，以及该可信应用对应的可信应用列表的位置，可选地，还可包括对该可信应用的访问权限，其结构如下表一所示：可信应用标识可信列表标识表存储位置访问权限1位置1可读、可写2位置2只读3位置3只写表二其中的访问权限仅为示例性，还可包括其他权限。该步骤包括如下子步骤：步骤s2201、解析访问请求，获得可信应用的标识和鉴权信息；对获得的访问请求进行解析，获得请求中携带的可信应用的标识和鉴权信息，其中鉴权信息中包括公共应用标识、公钥信息、模值等用于鉴权的信息。步骤s2202、访问可信列表标识表，判断访问请求中携带的可信应用的标识是否在可信列表标识表中；该步骤是可选步骤，当可信列表中存在可信列表标识表时才执行，否则直接执行步骤s2203。访问可信列表标识表，判断访问请求中携带的可信应用的标识是否在可信列表标识表中；访问上述表二，判断解析获得的可信应用的标识是否在表二中，如果存在表二中，表示需要访问的可信应用存在。进一步地，可选地，如果表二中存在访问权限，可读取访问权限，判断对其的访问请求是否满足访问权限，例如访问请求是对可信应用的写入，但是访问权限中是只读，则无需进一步处理，只需结束该访问方法，并返回信息即可；如果满足访问权限，则继续下述步骤s2203。对于访问权限的判断是可选步骤，也可不经过权限判断而在判断出携带的可信应用的标识在可信列表标识表中时，直接进入步骤s2203。步骤s2203、根据可信应用的标识，访问所述可信应用对应的可信应用列表；根据可信应用的标识可通过步骤s2202获得可信应用的存储位置，或者在没有执行步骤s2202时，直接使用可信应用的标识查找可信应用列表，这可通过本领域公知的地址转换等方式获得；在查找到可信应用列表后，根据解析获得的鉴权信息，对请求访问的公共应用进行鉴权，如果鉴权通过，则证明请求访问的公共应用是合法应用，进一步根据鉴权信息中的公共应用标识，查找可信应用列表，判断该公共应用标识是否在可信应用列表中。如果在可信应用列表中，则表示该可信应用允许该公共应用对其访问，如果没在可信应用列表中，就表示该可信应用不允许该公共应用对其的访问。进一步地，如果可信应用列表中存在访问权限，还可以获得该公共应用对该可信应用的访问权限。例如，可通过鉴权信息获得该公共应用的权利等级，只有大于某一预定阈值时，才允许该公共应用访问该可信应用。步骤s230、如果允许访问，则访问所述可信应用。如果步骤s220中判断允许访问，则开启访问所述可信应用的线程，处理该访问请求。实施例二以上结合附图2介绍了实施例一中的访问可信应用的方法，以下结合附图3介绍本申请如何预先建立可信列表，包括如下步骤：步骤s310、建立可信应用列表空白表格；如上述表一中所述，建立一个仅包括标题栏的空白表格；步骤s320、是否存在更新请求？如果存在更新则进入步骤s330；步骤s330、根据更新请求更新可信应用列表。如果存在可信列表标识表，则使用与步骤s310-s330同样地步骤建立可信列表标识表，并更新可信列表标识表。实施例三以上结合实施例一和实施例二介绍了访问可信应用的方法以及建立可信应用列表和可信列表标识表的方法，下面结合图4，介绍访问可信应用的系统400，该可信应用系统400运行实施例一和实施例二中方法，包括运行可信应用的可信环境，该系统如图4所示，包括如下部件：通信装置410，接收对可信应用的访问请求；通信装置410接收对可信应用的访问请求，其中访问请求中携带请求访问的可信应用的标识以及鉴权信息。其中请求访问的可信应用的标识可以是一个或多个。操作装置420，根据预先建立的可信列表，判断是否允许访问所述可信应用；如果允许访问，则访问所述可信应用。包括如图5所示的子部件：解析部件510、解析访问请求，获得可信应用的标识和鉴权信息；对获得的访问请求进行解析，获得请求中携带的可信应用的标识和鉴权信息，其中鉴权信息中包括公共应用标识、公钥信息、模值等用于鉴权的信息。可信列表标识表访问部件520、访问可信列表标识表，判断访问请求中携带的可信应用的标识是否在可信列表标识表中；该部件是可选部件，当可信列表中存在可信列表标识表时才存在该部件。可信列表标识表访问部件520访问可信列表标识表，判断访问请求中携带的可信应用的标识是否在可信列表标识表中；访问上述表二，判断解析获得的可信应用的标识是否在表二中，如果存在表二中，表示需要访问的可信应用存在。进一步地，可选地，如果表二中存在访问权限，可读取访问权限，判断对其的访问请求是否满足访问权限，例如访问请求是对可信应用的写入，但是访问权限中是只读，则无需进一步处理，返回信息即可；如果满足访问权限，则发送信号给可信应用列表部件530。对于访问权限的判断是可选步骤，也可不经过权限判断而在判断出携带的可信应用的标识在可信列表标识表中时，直接发送信号给可信应用列表部件530可信应用列表部件530、根据可信应用的标识，访问所述可信应用对应的可信应用列表；根据可信应用的标识可通过可信列表标识表访问部件520获得可信应用的存储位置，或者在没有可信列表标识表访问部件520时，直接使用可信应用的标识查找可信应用列表，这可通过本领域公知的地址转换等方式获得；在查找到可信应用列表后，根据解析获得的鉴权信息，可信应用列表部件530验证访问请求的合法性，即对请求访问的公共应用进行鉴权，如果鉴权通过，则证明请求访问的公共应用是合法应用，进一步根据鉴权信息中的公共应用标识，查找可信应用列表，判断该公共应用标识是否在可信应用列表中。如果在可信应用列表中，则表示该可信应用允许该公共应用对其访问，如果没在可信应用列表中，就表示该可信应用不允许该公共应用对其的访问。进一步地，如果可信应用列表中存在访问权限，还可以获得该公共应用对该可信应用的访问权限。例如，可通过鉴权信息获得该公共应用的权利等级，只有大于某一预定阈值时，才允许该公共应用访问该可信应用。访问部件540、如果允许访问，则访问所述可信应用。如果可信应用列表部件530判断允许访问，则访问部件540开启访问所述可信应用的线程，处理该访问请求。进一步地，该访问可信应用的系统还可包括存储部件(未在图4中示出)，存储所述可信列表，其中可信列表包括存储公共应用标识的多个可信应用列表，当可信应用多于一个时，进一步的可信列表还可包括可信列表标识表。实施例四本申请进一步地，保护一种终端，该终端包括如上所述的访问可信应用的系统，该终端还包括公共环境，该公共环境中存储非可信应用。同时，本申请还保护一种存储介质，该存储介质上存储计算机程序，该计算机程序可由执行结构执行，其执行步骤如实施例一和二中所述的访问可信应用的方法，以及建立可信列表标识表以及可信应用列表的方法中所描述的步骤。这里本发明的描述和应用是说明性的，并非想将本发明的范围限制在上述实施例中。这里所披露的实施例的变形和改变是可能的，对于那些本领域的普通技术人员来说实施例的替换和等效的各种部件是公知的。本领域技术人员应该清楚的是，在不脱离本发明的精神或本质特征的情况下，本发明可以以其它形式、结构、布置、比例，以及用其它组件、材料和部件来实现。在不脱离本发明范围和精神的情况下，可以对这里所披露的实施例进行其它变形和改变。当前第1页12