r>[0030]目前,终端应用的开发较为成熟,各种应用层出不穷,因而终端应用市场呈现出应用种类、数量多但鱼龙混杂的情况,其安全性较低。以目前应用广泛的基于Linux内核的Android操作系统为例,当恶意应用获得了系统最高权限(root权限)后,能够对终端中的任何文件(包括系统文件)执行所有增、删、改、查等操作,进而使得基于终端的机卡接口安全控制方案失效,增高机卡应用交互的风险。相对来说,手机卡环境较干净,且由于手机卡技术设计之初就充分考虑到了安全性需求,同时从软件与硬件层面协同构成了手机卡的安全体系,安全性远高于终端环境。鉴于手机卡的安全环境,本发明实施例在手机卡内增加了机卡交互安全控制中间件,用于识别终端应用是否为合法应用。如图2所示,该识别过程包括:
[0031]201:机卡交互安全控制中间件接收机卡交互组件发送的请求消息,所述请求消息用于表示终端应用向目标手机卡应用发送的访问请求,所述请求消息包括所述终端应用的注册标识、所述目标手机卡应用的标识和所述终端应用的数字签名。
[0032]当终端应用发起访问手机卡应用的请求时,位于移动终端内部的机卡交互组件拦截该访问请求,并将该访问请求转发至手机卡内部的机卡交互安全控制中间件。
[0033]其中,终端应用的注册标识是终端应用开发者向运营商注册应用时获得的,该注册标识为应用包名与前版本的应用文件散列摘要的前8位组合而成。
[0034]每个终端应用都具备包括一对预先生成的公私密钥对的开发者数字签名证书,本步骤中的终端应用数字签名信息为终端应用的文件摘要经过开发者数字签名私钥加密后的字符串。
[0035]目标手机卡应用是指终端应用想要访问的手机卡应用。
[0036]202:机卡交互安全控制中间件根据所述终端应用的注册标识,获取预存储的数字签名公钥和所述终端应用的文件摘要。
[0037]终端应用在安装时,通过后台应用平台向手机卡管理平台发起安装请求,手机卡管理平台将安装请求中包含的的终端应用的注册标识、终端应用的开发者数字签名公钥和终端应用的文件摘要等内容记录并以TLV(Type-length-value)结构存储至手机卡内。终端应用的安装过程见后文详述。
[0038]203:机卡交互安全控制中间件通过所述数字签名公钥解密所述终端应用的数字签名,得到目标文件。
[0039]步骤201中所指的数字签名是终端应用通过开发者数字签名私钥将终端应用的文件摘要加密后的字符串。而步骤202中指明了手机卡内部的机卡交互安全控制中间件中保存有该终端应用的开发者数字签名公钥,本实施例中采用私钥加密,公钥解密的方式解密数字签名。
[0040]204:机卡交互安全控制中间件判断所述目标文件与获取的所述终端应用的文件摘要的内容是否相同。
[0041]如果解密后得到的终端应用的文件摘要和手机卡内部存储的该终端应用的文件摘要内容相同,则证明该终端应用为合法应用,允许该终端应用访问该目标手机卡应用,执行下述步骤205。
[0042]如果不相同,则机卡交互安全控制中间件向机卡交互组件返回禁止访问响应消息,并由机卡交互组件转发至终端应用以禁止终端应用访问目标手机卡应用。
[0043]205:如果相同,则机卡交互安全控制中间件向机卡交互组件返回允许访问响应消息,所述允许访问响应消息用于表示允许所述终端应用访问所述目标手机卡应用。
[0044]机卡交互组件接收到该允许访问响应消息后再向终端应用转发该响应消息以便于终端应用访问该目标手机卡应用。
[0045]本发明实施例提供的终端应用与手机卡应用交互的方法,在手机卡内增加机卡交互安全控制中间件,当接收到机卡交互组件转发的终端的请求消息时,该机卡交互安全控制中间件能够解密请求消息得到终端应用的摘要,将解密得到的摘要和预存储的该终端应用的摘要进行比对以确定该终端应用是否为合法应用,当终端应用为合法应用时才允许终端应用访问手机卡应用。与现有技术中的任意终端应用都能与手机卡应用进行交互进而交互的安全性较低相比,本发明能够对终端应用进行鉴别,仅允许合法应用访问手机卡应用,因而能够提高终端应用与手机卡应用交互的安全性。
[0046]此外,本发明的执行主体为位于手机卡内部的机卡交互安全控制中间件,随着手机卡技术的发展,通信手机卡的软硬件性能得到了提高,使得相对更安全的手机卡环境更适合部署机卡接口访问控制机制,能够更好地避免恶意软件对于验证机制的破坏,并能够基于手机卡的权限控制等安全机制为接口访问提供多层级的安全控制机制。
[0047]为了进一步提高终端应用访问的安全性,本发明实施例中在判断终端应用为合法应用后,还需要进一步判断终端应用是否具备访问该目标手机卡应用的访问权限,只有当终端应用具备访问权限时,才允许终端应用访问该目标手机卡应用。因而当判断到所述目标文件与获取的所述终端应用的文件摘要内容相同之后,如图3所示,该方法还包括:
[0048]301:机卡交互安全控制中间件根据所述终端应用的注册标识和所述目标手机卡应用的标识,获取所述终端应用的访问权限。
[0049]终端应用的注册标识,终端应用的访问权限同样是在终端应用注册过程中生成的。
[0050]在终端应用安装过程中,手机卡将每个终端应用的注册标识、每个手机卡应用的标识以及终端应用访问该手机卡应用的访问权限存储并记录成一条条的目录。
[0051 ] 302:当终端应用的访问权限满足预设条件后,机卡交互安全控制中间件向机卡交互组件返回允许访问响应消息,所述允许访问响应消息用于表示允许所述终端应用访问所述目标手机卡应用。
[0052]根据步骤301中获取到的终端应用的访问权限,当终端应用具备访问该目标手机卡应用的权限时,允许终端应用访问该目标手机卡应用,否则认为终端应用权限不足,拒绝其交互请求。
[0053]当终端应用为合法应用且具备访问目标手机卡应用的访问权限后,终端应用可以与目标手机卡应用进行交互。为了提高交互过程中的安全性,防止对机卡接口指令的监听处于终端环境下的机卡交互组件与处于手机卡内的机卡交互安全控制中间件协商会话密钥和会话验证索引的过程,采用该会话密钥对交互过程中的指令(既包括数据指令也包括命令指令)进行对称加密的方式实现会话加密。
[0054]因而在允许所述终端应用访问所述目标手机卡应用之后,该方法还包括终端应用与手机卡应用协商确定会话密钥和会话验证索引的过程,如图4所示,该方法包括:
[0055]401:机卡交互组件生成随机数并通过预读取的接口加密公钥加密所述随机数,得到第一加密数据。
[0056]其中,此处所指的接口加密公钥和下文中所指的接口加密私钥为一对密钥对,既可以由图1中所示的位于手机卡内部的密钥生成模块生成,也可以在手机卡的制造过程中直接灌入卡片中。机卡交互组件仅可以读取该接口加密公钥,但无法读取接口加密私钥。当插入手机卡的终端开机时,终端内的机卡交互组件便可读取该接口加密公钥。
[0057]此外,机卡交互组件还将保存生成的该随机数。为了便于描述,文中以S1表示该随机数。
[0058]402:机卡交互组件向所述机卡交互安全控制中间件发送所述第一加密数据。
[0059]除了发送该第一加密数据外,机卡交互组件还需要向机卡交互安全控制中间件发送终端应用的注册标识和目标手机卡应用标识,目的是为了便于机卡交互安全控制中间件知道哪个终端应用想要访问哪个手机卡应用以及后续过程中生成会话验证索引以及确定会话验证索引