一种对sim卡内应用安全访问控制的方法和系统的制作方法
【技术领域】
[0001] 本发明属于通信技术领域,具体说是一种对SIM卡内应用安全访问控制的方法和 系统。
【背景技术】
[0002] 随着移动支付的快速普及,新的业务和应用不断涌现,人们开始使用移动支付终 端来代替传统的银行卡、公交卡、门禁卡、优惠券等。作为移动支付技术中的重要组成部分: SIM(SubscriberIdentityModule,用户身份识别模块)卡,将承载越来越多的支付应用。
[0003] 现实环境中,SIM卡的发行方和支付应用的提供方可能并不是同一个实体,在SIM 卡的发行时是无法控制用户使用哪些支付应用的,所以,在SIM卡发行时是不会预装所有 的支付应用的。为了推动移动支付的快速发展,以及满足用户多元化的需求,现有的具备移 动支付能力的SIM卡都具有动态下载和安装支付应用的能力。
[0004]目前,具备移动支付能力的SM卡在营业厅发行后,用户是可以通过指定的移动 支付终端客户端网络来自行下载和安装所需的支付应用的,之后,用户就可以使用这些支 付应用了。在这个发行机制中,用户下载和安装支付应用这个环节是受SIM卡上的安全机 制保护的,未经授权的应用是无法下载到SIM卡上的。这样,在一定程度上保证了SIM卡用 户的安全性。
[0005]然而,一些行业政策、法规的要求或出于安全性要求,一些特殊的支付应用,如银 行卡应用,要求用户使用前做实名制现场签约的,签约的过程需要验证用户的身份并留存 用户身份证明材料。
[0006] 现有的SM卡技术中,一旦一个应用成功的下载、安装后,这个应用就可以被外部 设备访问了。这样就可能会导致:用户通过客户端网络下载和安装了一个支付应用,而没有 做实名制现场签约,就可以用这个应用了。这个过程就可能带来一定的安全隐患。
【发明内容】
[0007] 本发明目的是提供一种对SIM卡内应用安全访问控制的方法,以克服上述安全缺 陷。
[0008] 本发明为实现上述目的所采用的技术方案,一种对SM卡内应用安全访问控制的 方法,包括如下步骤:
[0009]SIM卡接收到外部设备发起的针对卡内应用的访问请求,将该外部访问请求提交 给卡内设置的白名单管理模块;
[0010] 白名单管理模块收到请求后,依据当前设定的白名单规则进行判定,将判定结果 返回给SIM卡;
[0011] 外部访问接口模块根据白名单管理模块返回的判定结果"成功"或"失败",允许或 拒绝该外部请求的接入。
[0012] 所述依据当前设定的白名单规则进行判定包括以下步骤:
[0013] 查询白名单功能标识存储单元中存储的白名单功能的状态值;
[0014] 如果为"禁止",则判定结果为"成功";
[0015] 如果为"锁定",则判定结果为"失败";
[0016] 如果为"开启"状态,则查询白名单文件存储单元的各记录,如果某条记录存储的 应用特征码与SIM卡传递的访问请求应用特征码一致,判定结果为"成功";否则为"失败"。
[0017] 一种对SIM卡内应用安全访问控制的系统,包括:
[0018] 外部访问接口模块:用于SIM卡接收到外部设备发起的针对卡内应用的访问请 求;并将该外部访问请求提交给卡内设置的白名单管理模块;并根据白名单管理模块返回 的判定结果"成功"或"失败",允许或拒绝该外部请求的接入;
[0019] 白名单管理模块:用于收到请求后,依据当前设定的白名单规则进行判定,将判定 结果返回给外部访问接口模块。
[0020] 所述白名单管理模块包括:
[0021] 白名单规则设定管理子模块,用于根据管理者对于白名单功能的开启、禁止、锁定 的要求设置白名单功能标识并存储到白名单功能标识存储单元,用于管理者根据需要添加 或删除白名单文件记录并存入白名单文件存储单元;
[0022] 白名单规则判定子模块,用于依据白名单文件和白名单功能标识进行判定,并将 判定结果反馈至外部访问接口模块;
[0023] 白名单功能标识存储单元,用于存储白名单功能标识,具备三种状态值:"开启"、 "禁止"和"锁定";
[0024] 白名单文件存储单元,用于存储多条记录,每条记录存储用于卡内应用的唯一特 征码。
[0025] 所述白名单规则判定子模块用于查询白名单功能标识存储单元中存储的白名单 功能的状态值;如果为"禁止",则判定结果为"成功";如果为"锁定",则判定结果为"失败"; 如果为"开启"状态,则查询白名单文件存储单元的各记录,如果某条记录存储的应用特征 码与SIM卡传递的访问请求应用特征码一致,判定结果为"成功";否则为"失败"。
[0026] 本发明具有以下有益效果及优点:
[0027]1.本发明的方法通过在SM卡内设置一个白名单管理模块,达到对卡内应用的 外部访问控制的管理,依据外部安全需求,可以限制卡内特定应用的外部访问,从而提升了 SIM卡作为应用存储媒介的安全性。
[0028] 2.通过使用本发明的方法,即使用户通过客户端网络或者其它方法下载和安装了 一个支付应用,如果该应用没有被列入SIM卡内的白名单文件中,用户仍然不能使用该应 用,这样可以有效避免对该应用的滥用而带来的经济或者其它风险。
【附图说明】
[0029] 图1为本发明的可设置的SM卡内的白名单管理模块的结构框图;
[0030] 图2为控制外部设备访问SIM卡内应用的方法的流程图;
[0031] 图3为白名单规则判定方法的流程图;
[0032] 图4为搭载了白名单管理模块的SM的结构框图。
【具体实施方式】
[0033] 下面结合附图及实施例对本发明做进一步的详细说明。
[0034] 本发明的方法包括以下步骤:
[0035] 1)在SM卡内设置一个白名单管理模块;
[0036] 2)发卡方依据安全需求,通过白名单管理模块,设定SM卡的白名单规则;
[0037] 3)SIM卡接收到外部设备发起的针对某卡内应用的访问请求;
[0038] 4)SM卡将该外部访问请求提交给白名单管理模块;
[0039] 5)白名单管理模块收到请求后,依据当前设定的白名单规则进行判定,将判定结 果("成功"或"失败")返回给SIM卡;
[0040] 6)SIM卡收到判定结果,如果判定结果为"成功",则进入步骤7),如果判定结果为 "失败",则进入步骤8);
[0041] 7)SIM卡允许该外部访问的接入,过程结束;
[0042] 8)SIM卡拒绝该外部访问的接入,过程结束。
[0043] 上述步骤1)中所述的"白名单管理模块",具体包括:
[0044] -个白名单文件存储单元,该文件可存储多条记录,每条记录可存储一个卡内应 用的特征码;特征码是用来标识卡内应用的标识符,每个卡内应用都应具有唯一的特征 码;
[0045] 一个白名单功能标识存储单元,具备三种状态值:"开启(Enable)",禁止 (Disable) " 和"锁定(Locked) ";
[0046] -个白名单规则设定管理子模块,功能包括:设置白名单功能标识,添加白名单文 件记录,删除白名单文件记录;
[0047] -个白名单规则判定子模块,功能包括:依据白名单文件和白名单功能标识进行 判定,判定结果决定是否允许某应用的外部访问,具体步骤如下:
[0048] ①查询白名单功能标识;如果为"开启"状态,则进入步骤②,如果为"禁止"状态, 则进入步骤③,如果为"锁定"状态,则进入步骤④;
[0049] ②查询白名单文件;如果白名单文件的某条记录存储了该应用的特征码,则进入 步骤③;否则,进入步骤④;
[0050] ③判定成功,允许该应用的外部访问,过程结束;
[0051] ④判定失败,限制该应用的外部访问,过程结束。
[0052] 上述步骤2)中所述的"发卡方通过白名单管理模块,设定SM卡的白名单规则", 包括:
[0053] 通过白名单管理模块的白名单规则设定管理子模块,设置白名单功能标识;
[0054] 通过白名单管理模块的白名单规则设定管理子模块,添加白名单文件记