基于嵌入式用户身份识别模块的鉴权方法和终端的制作方法
【技术领域】
[0001]本发明涉及终端技术领域,具体而言,涉及一种基于嵌入式用户身份识别模块的鉴权方法和一种终端。
【背景技术】
[0002]目前,随着信息互联技术的快速发展,用户对终端交互业务的需求不断提升,eSM卡(嵌入式用户身份识别模块)已经成为用户和运营商共同关注的技术热点。现有的eS頂卡是将传统的SM卡(用户身份识别模块)直接嵌入到终端的芯片上,而不是作为独立的可移除零部件加入终端中,这样,eS頂卡比传统的S頂卡具有更高的安全性。
[0003]然而,很多终端在进行支付等敏感业务时,需要对其进行鉴权,如果由终端自身进行鉴权,或直接绑定其他终端,由其他终端进行鉴权,则在终端或其他终端的eS頂卡发生身份变更、SIM卡更换或遗失等情况时,这些终端依然可以实现对敏感业务的鉴权,而此时的用户很可能已经不是原用户,这使得敏感业务的安全性无法得到保障。
[0004]因此,如何进一步提升敏感业务的安全性,成为目前亟待解决的技术问题。
【发明内容】
[0005]本发明正是基于上述问题,提出了一种新的技术方案,可以通过嵌入式用户身份识别模块实现对敏感业务的鉴权,以获取更高的安全性。
[0006]有鉴于此,本发明的一方面提出了一种基于嵌入式用户身份识别模块的鉴权方法,包括:根据接收到的敏感业务请求,获取敏感业务的属性信息;将所述敏感业务的属性信息从终端发送至鉴权终端,以供所述鉴权终端验证所述属性信息是否符合预设验证条件,其中,所述终端的嵌入式用户身份识别模块与所述鉴权终端的嵌入式用户身份识别模块相关联;接收来自所述鉴权终端的验证结果;当所述验证结果为所述属性信息符合所述预设验证条件时,允许所述终端进行所述敏感业务,否则,禁止所述终端进行所述敏感业务。
[0007]在该技术方案中,当终端进行敏感业务时,可以将敏感业务的属性信息经自身的嵌入式用户身份识别模块(即eS頂卡)发送至鉴权终端的嵌入式用户身份识别模块,由鉴权终端根据该属性信息验证敏感业务是否可行,再将验证结果发送至本终端的嵌入式用户身份识别模块,如果鉴权终端验证敏感业务可行,则本终端可以执行敏感业务,否则,禁止本终端执行敏感业务。
[0008]其中,敏感业务可以是用户设置的任何类型的业务,也可以是系统出厂时自带的特定类型的业务,敏感业务包括但不限于支付业务、转账业务、社交软件账户登录业务、视频业务等。
[0009]比如,终端在第三方软件中进行购物支付时,其嵌入式用户身份识别模块可以获取本次支付业务的支付金额,并将获取的内容发送至已绑定的鉴权终端的嵌入式用户身份识别模块,鉴权终端的嵌入式用户身份识别模块具有预设验证条件,即预设支付额度,那么,当鉴权终端的嵌入式用户身份识别模块验证本次支付业务的支付金额大于预设支付额度时,则向进行支付业务的本终端的嵌入式用户身份识别模块发送禁止支付的验证结果,本终端根据该验证结果取消支付业务。
[0010]通过该技术方案,可以通过将鉴权终端的嵌入式用户身份识别模块与待鉴权终端的嵌入式用户身份识别模块相关联,以使鉴权终端可以对待鉴权终端的敏感业务进行监管,提升了待鉴权终端进行敏感业务的安全性。
[0011]另外,由于对待鉴权终端的敏感业务的鉴权功能是与鉴权终端的嵌入式用户身份识别模块绑定的,当鉴权终端的嵌入式用户身份识别模块更换绑定的运营商后,即更换手机号码后,则会失去绑定的该鉴权功能,以保证待鉴权终端的安全,避免因鉴权终端更换用户而带来的待鉴权终端信息泄露等问题。而在相关技术中,虽然有使用其他终端为本终端鉴权的方案,但其都是将其他终端与本终端本身进行绑定,其他终端在更换SIM卡后,依旧具有对本终端的操作权限,因此,本发明的技术方案使得待鉴权终端的安全性进一步提升。
[0012]在上述技术方案中,优选地,在所述获取敏感业务的属性信息之前,还包括:根据接收到的关联命令,关联所述终端的嵌入式用户身份识别模块和所述鉴权终端的嵌入式用户身份识别模块。
[0013]在该技术方案中,用户可以在待鉴权终端侧进行关联操作或取消关联的操作,以将待鉴权终端的嵌入式用户身份识别模块和鉴权终端的嵌入式用户身份识别模块进行绑定或取消绑定。其中,由于待鉴权终端的权限低于鉴权终端,那么,在待鉴权终端侧进行关联操作或取消关联操作时,可以设置预先验证步骤,只有在验证操作方具有进行关联操作或取消关联操作的权限时,才允许其进行关联操作或取消关联操作。通过该技术方案,提升了关联不同的嵌入式用户身份识别模块的安全性和灵活性。
[0014]在上述任一技术方案中,优选地,在接收到所述敏感业务请求之后,还包括:获取所述终端的操作者的生物信息,所述生物信息用于验证所述终端的操作者是否具有获取所述敏感业务的属性信息的权限;确定所述生物信息是否与预定生物信息一致,其中,当确定所述生物信息与所述预定生物信息一致时,允许获取所述敏感业务的属性信息。
[0015]在该技术方案中,向鉴权终端发送敏感业务的属性信息之前,需要验证待鉴权终端是否具有请求进行敏感业务的权限,其中的验证方式为使用生物信息进行验证,生物信息包括但不限于以下之一或组合:指纹信息、掌纹信息、虹膜信息、声音信息、面部图像信息。
[0016]其中,预定生物信息可以由用户在待鉴权终端进行录入,也可以由鉴权终端的操作者在鉴权终端侧为该用户录入,并发送至待鉴权终端。
[0017]通过该技术方案,使得无法通过生物信息验证的对象无法获取到敏感业务的属性信息,从源头提升了待鉴权终端的安全性,避免敏感业务的属性信息泄露。
[0018]在上述任一技术方案中,优选地,在所述获取敏感业务的属性信息之前,还包括:根据接收到的设置命令,设置所述敏感业务,并将设置结果发送至所述鉴权终端的嵌入式用户身份识别模块,以供在所述鉴权终端中根据所述设置结果为所述敏感业务设置对应的所述预设验证条件。
[0019]在该技术方案中,可以在待鉴权终端中设置哪些业务为敏感业务,并将设置结果同步到鉴权终端,这样,鉴权终端可以进一步为选定的敏感业务设置对应的预设验证条件。其中,由于待鉴权终端的权限低于鉴权终端,那么,在待鉴权终端侧进行设置敏感业务的操作时,可以设置预先验证步骤,只有在验证操作方具有设置敏感业务的权限时,才允许其进行敏感业务的设置。通过该技术方案,可以灵活设置所需鉴权的敏感业务,从而提升了待鉴权终端的安全性。
[0020]在上述任一技术方案中,优选地,所述敏感业务的属性信息包括以下至少之一或组合:所述敏感业务请求的发生时间、所述敏感业务请求发生时所述终端的地理位置、所述敏感业务请求发生时的亮度、所述敏感业务的业务信息和接收到的备注信息备注信息。
[0021]在该技术方案中,敏感业务的属性信息包括但不限于上述内容之一或组合,由于一项敏感业务往往可以具有多种属性信息,因此,可以由用户选择在进行鉴权时使用该敏感业务的哪项或哪些项属性信息进行验证。通过该技术方案,能够提供多样化的敏感业务的属性信息,便于全面地或适应用户实际需求地对待鉴权终端进行鉴权。比如,将敏感业务请求发生时待鉴权终端的地理位置发送至鉴权终端,如果鉴权终端判断该地理位置为预设的地理位置,则向该待鉴权终端发送验证通过的结果,否则,如果鉴权终端判断该地理位置不是预设的地理位置,则向该待鉴权终端发送验证不通过的结果,禁止执行该敏感业务。
[0022]其中,敏感业务请求的发生时间、敏感业务请求发生时终端的地理位置、敏感业务请求发生时的亮度,均属于实时环境信息,而敏感业务的业务信息指的是与敏感业务的内容相关的信息,如敏感业务的类型、敏感业务的请求内容等,比如,如果将联系人A设置为私密联系人,即相当于将联系人A的来电设置为敏感业务,那么对于联系人A的来电,其业务信息包括联系人A的名称、号码等。
[0023]而备注信息则是指由用户为敏感业务设置的其他信息,比如,将联系人A的来电设置为敏感业务后,可以为联系人A添加“优先鉴权处理”的备注信息,这样,当待鉴权终端具有多项需要鉴权终端鉴权的敏感业务时,待鉴权终端可以优先向鉴权终端发送联系人A的来电的相关信息,或者鉴权终端可以在接收到的多项鉴权任务中优先为联系人A的来电这项业务进行鉴权处理。
[0024]本发明的另一方面提出了一种终端,包括:业务信息获取单元,根据接收到的敏感业务请求,获取敏感业务的属性信息;业务信息发送单元,将所述敏感业务的属性信息从终端发送至鉴权终端,以供所述鉴权终端验证所述属性信息是否符合预设验证条件,其中,所述终端的嵌入式用户身份识别模块与所述鉴权终端的嵌入式用户身份识别模块相关联;验证结果接收单元,接收来自所述鉴权终端的嵌入式用户身份识别模块的验证结果接收来自所述鉴权终端的验证结果;鉴权单元,当所述验证结果为所述属性信息符合所述预设验证条件时,允许所述终端进行所述敏感业务,否则,禁止所述终端进行所述敏感业务。
[0025]在该技术方案中,当终端进行敏感业务时,可以将敏感业务的属性信息经自身的嵌入式用户身份识别模块发送至鉴权终端的嵌入式用户身份识别模块,由鉴权终端根据该属性信息验证敏感业务是否可行,再将验证结果发送至本终端的嵌入式用户身份识别模块,如果鉴权终端验证敏感业务可行,则本终端可以执行敏感业务,否则,禁止本终端执行敏感业务。
[0026]其中,敏感业务可以是用户设置的任何类型的业务,也可以是系统出厂时自带的特定类型的业务,敏感业务包括但不限于支付业务、转账业务、社交软件账户登录业务、视频业务等。
[00