访问控制方法、系统、安全单元SE访问插件装置和终端与流程
本公开涉及移动通信技术领域,特别涉及一种访问控制方法、访问控制系统、se(secureelement,安全单元)访问插件装置、终端和计算机可读存储介质。
背景技术:
sim(subscriberidentificationmodule,用户身份识别模块)卡和esim(embedded-sim,嵌入式sim)卡运营商的se能够提供硬件级金融级安全存储和运算服务能力。se支持手机app(application,应用程序)访问智能卡上的applet(小应用程序),从而增强app访问的安全性。
在相关技术中,为确保访问applet的app合法,采用gpac(globalplatformaccesscontrol,全球平台国际标准组织访问控制)进行访问控制。
技术实现要素:
本公开的发明人发现上述相关技术中存在如下问题:采用智能卡专用文件存储的访问控制策略数量有限,采用云端存储访问控制策略容易受到攻击,导致访问控制的安全性低。
鉴于此,本公开提出了一种访问控制技术方案,能够提高安全性。
根据本公开的一些实施例,提供了一种访问控制方法,包括:终端的se访问插件接收sp(serviceprovider,服务提供方)发来的访问智能卡中小应用程序的请求信息;所述se访问插件通过所述终端的机卡接口,向所述小应用程序发送所述请求信息,以便所述小应用程序根据第一访问控制策略确定是否允许所述sp访问,所述第一访问控制策略存储于所述小应用程序中;在所述小应用程序允许所述sp访问的情况下,所述se访问插件允许所述sp通过所述se访问插件访问所述小应用程序。
在一些实施例中,所述se访问插件向所述机卡接口发送认证请求,以便所述机卡接口根据第二访问控制策略确定是否通过所述se访问插件的认证,所述第二访问控制策略存储于所述智能卡的专用文件中;在所述机卡接口通过所述se访问插件认证的情况下,所述se访问插件通过所述机卡接口向所述小应用程序发送所述请求信息。
在一些实施例中,所述第二访问控制策略由运营商写入所述专用文件。
在一些实施例中,所述se访问插件接收所述sp首次接入所述终端时发来的所述第一访问控制策略;所述se访问插件通过所述机卡接口,将所述第一访问控制策略写入所述小应用程序中。
在一些实施例中,所述请求信息包括所述sp的应用程序的数字签名摘要和所述sp想要访问的小应用程序的id;所述第一访问控制策略包括各sp的应用程序的数字签名摘要和分配给各sp的小应用程序的id。
根据本公开的另一些实施例,提供一种se访问插件装置,所述se访问插件装置设置于终端内,包括:接收单元,用于接收sp发来的访问智能卡中小应用程序的请求信息;发送单元,用于通过所述终端的机卡接口,向所述小应用程序发送所述请求信息,以便所述小应用程序根据第一访问控制策略确定是否允许所述sp访问,所述第一访问控制策略存储于所述小应用程序中;访问单元,用于在所述小应用程序允许所述sp访问的情况下,允许所述sp通过所述se访问插件装置访问所述小应用程序。
在一些实施例中,所述发送单元向所述机卡接口发送认证请求,以便所述机卡接口根据第二访问控制策略确定是否通过所述se访问插件装置的认证,所述第二访问控制策略存储于所述智能卡的专用文件中,在所述机卡接口通过所述se访问插件认证的情况下,所述发送单元通过所述机卡接口向所述小应用程序发送所述请求信息。
在一些实施例中,所述第二访问控制策略由运营商写入所述专用文件。
在一些实施例中,所述接收单元接收所述sp首次接入所述终端时发来的所述第一访问控制策略。
在一些实施例中,所述se访问插件装置还包括:写入单元,用于通过所述机卡接口,将所述第一访问控制策略写入所述小应用程序中。
在一些实施例中,所述请求信息包括所述sp的应用程序的数字签名摘要和所述sp想要访问的小应用程序的id;所述第一访问控制策略包括各sp的应用程序的数字签名摘要和分配给各sp的小应用程序的id。
根据本公开的又一些实施例,提供一种终端,包括:se访问插件装置,用于执行上述任一个实施例中的访问控制方法;机卡接口,用于实现所述se访问插件装置与智能卡中小应用程序的信息交互。
根据本公开的再一些实施例,提供一种访问控制系统,包括:上述任一个实施例中的终端和智能卡。
根据本公开的又一些实施例,提供一种se访问插件装置,包括:存储器;和耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器装置中的指令,执行上述任一个实施例中的访问控制方法。
根据本公开的再一些实施例,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一个实施例中的访问控制方法。
在上述实施例中,将用于判断sp的app是否有权限访问applet的访问控制策略存储在applet中,而且sp的app通过se访问插件间接访问applet。这样,无需借助云端即可可以支持大容量的访问控制策略存储,从而提高了访问控制的安全性。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1示出本公开的访问控制方法的一些实施例的流程图;
图2示出图1中步骤120的一些实施例的流程图;
图3示出本公开的访问控制方法的一些实施例的信令图;
图4示出本公开的访问控制方法的另一些实施例的流程图;
图5示出本公开的se访问插件装置的一些实施例的框图;
图6示出本公开的终端的一些实施例的框图;
图7示出本公开的访问控制系统的一些实施例的框图;
图8示出本公开的se访问插件装置的另一些实施例的框图;
图9示出本公开的se访问插件装置的又一些实施例的框图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1示出本公开的访问控制方法的一些实施例的流程图。
如图1所示,该方法包括:步骤110,接收请求信息;步骤120,发送请求信息;和步骤130,允许sp访问小应用程序。
在步骤110中,终端的se访问插件接收sp发来的访问智能卡中小应用程序的请求信息。例如,请求信息中包括sp的应用程序的数字签名摘要(如hash值)和sp想要访问的小应用程序的id。
在一些实施例中,智能卡可以是sim卡或者esim卡。例如,sim卡中设置有se应用applet和ac(accesscontrol,接入控制)专用文件。
在步骤120中,se访问插件通过终端的机卡接口,向小应用程序发送请求信息。小应用程序根据第一访问控制策略确定是否允许sp访问,第一访问控制策略存储于小应用程序中。例如,机卡接口可以是acf(accesscontrolfunction,接入控制功能)实体。
在一些实施例中,第一访问控制策略包括各sp的应用程序的数字签名摘要和分配给各sp的小应用程序的id。例如,可以采用(hash,aid)的数据结构在applet的私有数据库存储区存储第一访问控制策略。hash为sp的app的数字签名摘要,aid为applet的服务提供者分配给sp的applet的id。
在一些实施例中,请求信息包括sp的应用程序的数字签名摘要和sp想要访问的小应用程序的id。例如,applet可以通过比较请求信息中的hash和aid是否与自身存储的hash和aid一致来判断是否通过sp的访问请求。
在一些实施例中,智能卡中可以存储具有不同功能的多个applet,如具有安全加密功能的applet、具有支付功能的applet等。不同的applet可以根据需要存储不同的第一访问控制策略。第一访问控制策略是由applet的服务提供者自定义的,用于判断各sp的app是否有权限通过se访问插件间接访问applet。
在一些实施例中,可以通过图2中的实施例执行步骤120。
图2示出图1中步骤120的一些实施例的流程图。
如图2所示,步骤120包括:步骤1210,发送认证请求;步骤1220,发送请求信息。
在步骤1210中,se访问插件向机卡接口发送认证请求,以便机卡接口根据第二访问控制策略确定是否通过se访问插件的认证。第二访问控制策略存储于智能卡的专用文件中。
在一些实施例中,第二访问控制策略由运营商写入专用文件,用于判断se访问插件是否有权限访问applet(如判断se插件是否为伪造),运营商将第二访问控制策略写入sim的gpac文件或者数据库中,需要运营商权限才能访问,sp无权限访问。
这样,访问控制策略被分为第一访问控制策略和第二访问控制策略,并分别存储在sim卡的不同存储空间中,扩展了访问控制策略存储的存储容量,从而提高安全性。
在步骤1220中,在机卡接口通过se访问插件认证的情况下,se访问插件通过机卡接口向小应用程序发送请求信息。
在对se访问插件和sp进行认证后,可以通过图1的步骤130实现applet访问。
在步骤130中,在小应用程序允许sp访问的情况下,se访问插件允许sp通过se访问插件访问小应用程序。
图3示出本公开的访问控制方法的一些实施例的信令图。
如图3所示,在事件310中,终端中sp的app向se访问插件发送访问信息。
在事件320中,se访问插件向acf实体发送认证请求。
在事件330中,acf实体从sim卡中的专用文件中获取第二访问控制策略。
在事件340中,acf实体根据第二访问控制策略对se访问插件进行认证。
在事件350中,再通过了认证的情况下,se访问插件将访问信息发送给sim卡中的applet。
在事件360中,applet根据自身存储的第一访问控制策略对访问信息进行认证。
在事件370中,再通过了认证的情况下,sp的app访问applet。
图4示出本公开的访问控制方法的另一些实施例的流程图。
如图4所示,相比于上面的实施例,该方法还包括:步骤410,接收第一访问控制策略;和步骤420,写入小应用程序。
在步骤410中,se访问插件接收sp首次接入终端时发来的所述第一访问控制策略。
在步骤420中,se访问插件通过机卡接口,将第一访问控制策略写入小应用程序中。例如,se访问插件向机卡接口发送认证请求,机卡接口根据第二访问控制策略确定是否通过se访问插件的认证。在机卡接口通过se访问插件认证的情况下,se访问插件通过机卡接口将第一访问控制策略写入小应用程序。
在一些实施例中,智能卡中applet内存储的访问控制策略可以动态调整添加。
在上述实施例中,将用于判断sp的app是否有权限访问applet的访问控制策略存储在applet中,而且sp的app通过se访问插件间接访问applet。这样,无需借助云端即可可以支持大容量的访问控制策略存储,从而提高了访问控制的安全性。
图5示出本公开的se访问插件装置的一些实施例的框图。
如图5所示,se访问插件装置5设置于终端内,包括接收单元51、发送单元52和访问单元53。
接收单元51接收sp发来的访问智能卡中小应用程序的请求信息。
发送单元52通过终端的机卡接口,向小应用程序发送请求信息,以便小应用程序根据第一访问控制策略确定是否允许sp访问。第一访问控制策略存储于小应用程序中。例如,请求信息包括sp的应用程序的数字签名摘要和sp想要访问的小应用程序的id。第一访问控制策略包括各sp的应用程序的数字签名摘要和分配给各sp的小应用程序的id。
在一些实施例中,发送单元52向机卡接口发送认证请求,以便机卡接口根据第二访问控制策略确定是否通过se访问插件装置5的认证。第二访问控制策略存储于智能卡的专用文件中。例如,第二访问控制策略由运营商写入专用文件。在机卡接口通过se访问插件5认证的情况下,发送单元52通过机卡接口向小应用程序发送请求信息。
访问单元53在小应用程序允许sp访问的情况下,允许sp通过se访问插件装置访问小应用程序。
在一些实施例中,se访问插件装置5还包括写入单元54。
接收单元51接收sp首次接入终端时发来的第一访问控制策略。写入单元54通过机卡接口,将第一访问控制策略写入小应用程序中。
在上述实施例中,将用于判断sp的app是否有权限访问applet的访问控制策略存储在applet中,而且sp的app通过se访问插件间接访问applet。这样,无需借助云端即可可以支持大容量的访问控制策略存储,从而提高了访问控制的安全性。
图6示出本公开的终端的一些实施例的框图。
如图6所示,终端6包括se访问插件装置61、机卡接口62。
se访问插件装置61执行上述任一个实施例中的访问控制方法。机卡接口62实现se访问插件装置61与智能卡中小应用程序的信息交互。
图7示出本公开的访问控制系统的一些实施例的框图。
如图7所示,访问控制系统7包括上述任一个实施例中的终端71;和智能卡72。
图8示出本公开的se访问插件装置的另一些实施例的框图。
如图8所示,该实施例的装置8包括:存储器81以及耦接至该存储器81的处理器82,处理器82被配置为基于存储在存储器51中的指令,执行本公开中任意一个实施例中的访问控制方法。
其中,存储器81例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(bootloader)、数据库以及其他程序等。
图9示出本公开的se访问插件装置的又一些实施例的框图。
如图9所示,该实施例的se访问插件装置9包括:存储器910以及耦接至该存储器910的处理器920,处理器920被配置为基于存储在存储器910中的指令,执行前述任意一个实施例中的访问控制方法。
存储器910例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(bootloader)以及其他程序等。
se访问插件装置9还可以包括输入输出接口930、网络接口940、存储接口950等。这些接口930、940、950以及存储器910和处理器920之间例如可以通过总线960连接。其中,输入输出接口930为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口940为各种联网设备提供连接接口。存储接口950为sd卡、u盘等外置存储设备提供连接接口。
本领域内的技术人员应当明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
至此,已经详细描述了根据本公开的访问控制方法、访问控制系统、se访问插件装置、终端和计算机可读存储介质。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本公开的方法和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法和系统。用于所述方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员应该理解,可在不脱离本公开的范围和精神的情况下,对以上实施例进行修改。本公开的范围由所附权利要求来限定。
- 还没有人留言评论。精彩留言会获得点赞!