CN111246480A - 基于sim卡的应用通信方法、系统、设备及存储介质 - Google Patents
基于sim卡的应用通信方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN111246480A CN111246480A CN202010024676.XA CN202010024676A CN111246480A CN 111246480 A CN111246480 A CN 111246480A CN 202010024676 A CN202010024676 A CN 202010024676A CN 111246480 A CN111246480 A CN 111246480A
- Authority
- CN
- China
- Prior art keywords
- data
- application
- data storage
- sim card
- service logic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施方式涉及通信技术领域,公开了一种基于SIM卡的应用通信方法,包括:在应用文件完成更新后,从数据存储应用读取用户数据,所述数据存储应用用于存储所述用户数据。本发明实施方式还提供了一种基于SIM卡的应用通信系统、设备及存储介质。本发明实施方式提供的基于SIM卡的应用通信方法、系统、设备及存储介质,可以提高SIM卡的安全性。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种基于SIM卡的应用通信方法、系统、设备及存储介质。
背景技术
用户身份模块(Subscriber Identity Module,SIM),通常称为“SIM卡”,是主要用于存储用户身份识别数据、短信数据和电话号码的智能卡。随着科技的进步,SIM卡的功能也更加丰富,例如现在的SIM卡可具备SIM盾的功能,其中,SIM盾应用加载在SIM卡上,向外提供安全的存储能力和运算处理能力,可保存用户私钥和用户证书信息,可执行公私钥生成、加解密运算、签名、验签、Hash运算等操作,对业务应用所使用的证书进行独立管理。
为了实现SIM卡功能(例如SIM盾功能)的更新,需要对SIM卡应用进行更新。当对SIM卡应用进行更新时,是通过在将原来的SIM卡应用进行删除后,安装更新的文件来完成更新。
然而,发明人发现现有技术至少存在以下问题:当SIM卡要进行应用更新时,存储于SIM卡的用户数据会丢失,恶意攻击者可以通过更新SIM卡应用来清除用户数据,以达到获得SIM卡使用权限的非法目的,SIM卡的安全性较低。
发明内容
本发明实施方式的目的在于提供一种基于SIM卡的应用通信方法、系统、设备及存储介质,使得SIM卡的安全性提高。
为解决上述技术问题,本发明的实施方式提供了一种,基于SIM卡的应用通信方法,包括:在应用文件完成更新后,从数据存储应用读取用户数据,其中,数据存储应用用于存储用户数据。
本发明的实施方式还提供了一种基于SIM卡的应用通信方法,包括:接收业务逻辑应用发起的读取用户数据的请求;根据请求将用户数据返回至业务逻辑应用。
本发明的实施方式还提供了一种基于SIM卡的应用通信系统,包括:业务逻辑应用模块和数据存储应用模块;业务逻辑应用模块,用于在应用文件完成更新后,向数据存储应用模块发起读取用户数据的请求;数据存储应用模块,用于存储用户数据,当接收到请求时,根据请求将用户数据返回至业务逻辑应用模块。
本发明的实施方式还提供了一种网络设备,包括:至少一个处理器;以及,与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行上述的基于SIM卡的应用通信方法。
本发明的实施方式还提供了一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时实现上述的基于SIM卡的应用通信方法
本发明实施方式相对于现有技术而言,通过在应用文件完成更新后,从数据存储应用读取用户数据。由于传统的SIM卡只有一个应用,当应用文件更新后,应用中保存的用户数据会丢失,恶意攻击者可以通过更新应用文件来清除用户数据,达到获取SIM卡的使用权限的非法目的,SIM卡的安全性较低;若SIM卡为具备SIM盾功能的SIM卡,而SIM盾支持移动支付,则SIM卡的使用权限被获取还可能给SIM卡的用户带来经济损失;通过将SIM卡中的应用分离,利用数据存储应用存储用户数据,如此一来,在应用文件完成更新后,业务逻辑应用可以从数据存储应用中读取用户数据,使恶意攻击者无法通过更新应用文件来清除用户数据,以达到获取SIM卡使用权限的目的,提高了SIM卡的安全性;同时,由于业务逻辑应用可以从数据存储应用中读取用户数据,用户不需要重新获取或设置用户数据,提高了SIM卡使用的便利性。
另外,在从数据存储应用读取用户数据之前,还包括:根据预设的加密算法生成鉴权数据,并将鉴权数据发送至数据存储应用;接收数据存储应用根据鉴权数据返回的鉴权结果。通过生成鉴权数据并将鉴权数据发送至数据存储应用,可以实现数据存储应用对业务逻辑应用的鉴权,保证业务逻辑应用的合法性,提高了SIM卡的安全性;同时,通过预设的加密算法生成鉴权数据,可以使恶意攻击者无法获取鉴权数据的内容,无法伪造鉴权数据来通过鉴权,进一步提高了SIM卡的安全性。
另外,在接收数据存储应用根据鉴权数据返回的鉴权结果之后,还包括:从数据存储应用获取会话密钥;根据会话密钥加密待写入数据,并生成校验数据;将加密后的待写入数据和校验数据发送至数据存储应用。通过从数据存储应用获取会话密钥,并使用会话密钥加密待写入数据,可以加密业务逻辑应用与数据存储应用之间的通信内容,使恶意攻击者无法获取通信内容或对通信内容进行篡改,提高SIM卡应用之间通信的安全性;另外,在业务逻辑应用向数据存储应用写入数据前,先生成校验数据发送至数据存储应用,可以进一步确保业务逻辑应用的合法性,提高SIM卡中数据的安全性。
另外,从数据存储应用读取用户数据,包括:生成校验数据和读取用户数据的指令;将校验数据和指令发送至数据存储应用;在数据存储应用对校验数据校验通过后,接收数据存储应用根据指令返回的用户数据。通过生成读取用户数据的指令发送至数据存储应用,可以达到从数据存储应用读取用户数据的目的;同时,数据存储应用在返回用户数据之前先对业务逻辑应用生成的校验数据进行校验,可以保证业务逻辑应用的合法性,提高SIM卡的安全性。
另外,在接收业务逻辑应用发起的读取用户数据的请求之前,还包括:接收业务逻辑应用发送的鉴权数据;对鉴权数据进行鉴权,并将鉴权结果返回至业务逻辑应用。通过接收业务逻辑应用发送的鉴权数据,可以实现对业务逻辑应用的鉴权,保证数据存储应用中的数据的安全性,提高了SIM卡的安全性。
另外,在对鉴权数据进行鉴权之后,还包括:若鉴权结果为通过,则生成会话密钥并将会话密钥发送至业务逻辑应用;接收业务逻辑应用发送的校验数据和根据会话密钥加密的待写入数据;对校验数据进行校验,若校验通过,则对加密的待写入数据进行解密,得到待写入数据;写入待写入数据。在鉴权结果通过后,将生成的会话密钥发送至业务逻辑应用,使业务逻辑应用可以根据会话密钥加密待写入数据,从而使恶意攻击者无法获取业务逻辑应用与数据存储应用的通信内容;同时,在业务逻辑应用向数据存储应用写入数据前,先进行校验数据的校验,可以保证写入数据存储应用的数据的合法性,从而提高了SIM卡使用的安全性。
另外,接收业务逻辑应用发起的读取用户数据的请求,包括:接收业务逻辑应用发送的校验数据和读取用户数据的指令;根据请求将用户数据返回至业务逻辑应用,包括:对校验数据进行校验,若校验通过,则根据指令将用户数据返回至业务逻辑应用。在业务逻辑应用需要从数据存储应用读取数据时,数据存储应用先对业务逻辑应用发送的校验数据进行校验,在校验通过后再将用户数据返回至业务逻辑应用,可以保证数据存储应用中的用户数据被读取的合法性,提高SIM卡使用的安全性。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定。
图1是本发明第一实施方式提供的基于SIM卡的应用通信方法的原理示意图;
图2是本发明第一实施方式提供的基于SIM卡的应用通信方法中鉴权的流程示意图;
图3是本发明第一实施方式提供的基于SIM卡的应用通信方法中S102之后步骤的流程示意图;
图4是本发明第一实施方式提供的基于SIM卡的应用通信方法中读取用户数据的流程示意图;
图5是本发明第二实施方式提供的基于SIM卡的应用通信方法中鉴权的流程示意图;
图6是本发明第二实施方式提供的基于SIM卡的应用通信方法中S402之后步骤的流程示意图;
图7是本发明第二实施方式提供的基于SIM卡的应用通信方法的流程具体示例图;
图8是本发明第三实施方式提供的基于SIM卡的应用通信系统的模块结构图;
图9是本发明第四实施方式提供的网络设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。
本发明的第一实施方式涉及一种基于SIM卡的应用通信方法,通过在应用文件完成更新后,从数据存储应用读取用户数据,其中,数据存储应用用于存储用户数据。通过将业务逻辑应用与数据存储应用分开,数据存储应用用于存储用户数据,在业务逻辑应用中的SIM卡应用文件完成更新后,业务逻辑应用可以从数据存储应用中读取用户数据,从而使恶意攻击者无法通过更新SIM卡应用来清除用户数据,以达到获取SIM卡使用权限的目的,提高了SIM卡的安全性。
应当说明的是,本发明实施方式提供的基于SIM卡的应用通信方法的执行主体为SIM卡中的业务逻辑应用,其中,SIM卡包括USIM卡。
请参考图1,其为本发明实施方式提供的基于SIM卡的应用通信方法的原理示意图。SIM卡实施平台例如是Java Card平台,其中,Java Card平台提供了一个安全的执行环境,同一个卡片中的不同应用通过防火墙隔离,允许同一张卡上的不同应用程序独立运行;其中,防火墙是Java Card平台的运行环境的一个功能,用于控制存储在共享对象中的数据访问权限。防火墙机制能够给SIM卡应用一个专用的卡存储区域。JavaCard平台的Shareable接口,可以用于标识所有共享对象,当数据存储应用继承Shareable接口类的方法,业务逻辑应用可以透过防火墙进行访问数据存储应用。
具体地,SIM卡中包括业务逻辑应用和数据存储应用,可选地,SIM卡还可以包括其它应用,这里不做限制。可选地,SIM卡为具有SIM盾功能的SIM卡。
其中,数据存储应用用于存储用户数据,用户数据例如是用户证书信息、PIN码(个人身份识别码)、公私钥等。可选地,用户数据可以通过业务逻辑应用来获取,例如可以在用户在首次使用SIM卡时,通过业务逻辑应用将用户数据写入至数据存储应用中。业务逻辑应用实现SIM卡的业务逻辑,与SIM卡外部交互数据。可选地,SIM卡应用文件存储于业务逻辑应用中。
具体地,业务逻辑应用在SIM卡的应用文件完成更新后,从数据存储应用读取用户数据。其中,应用文件的更新包括应用文件的升级或重新安装。可选地,业务逻辑应用可以设置在应用文件完成更新时,自动从数据存储应用读取用户数据;也可以在应用文件完成更新后,根据输入的指令从数据存储应用读取用户数据,这里不做具体限制。
可选地,在业务逻辑应用从数据存储应用读取用户数据前,可先进行鉴权或验证,在鉴权或验证通过后再从数据存储应用读取数据,具体可以根据实际需要进行设置,这里不做具体限制。
可选地,为了提高使用效率,业务逻辑应用也可以保存用户数据的副本,以使业务逻辑应用不用每次都从数据存储应用读取用户数据。在应用文件更新和用户数据的副本丢失后,再从数据存储应用中读取用户数据。
现有技术中,由于SIM卡只有一个应用,用户数据保存于该应用中。当SIM卡中的应用更新时,存储于该应用中的用户数据(如用户证书、PIN码)会丢失。一方面,恶意攻击者可以通过更新SIM中的应用来达到清除用户数据并获得SIM卡的使用权限的目的,造成SIM卡的安全性较低。另一方面,用户需要重新申请用户证书,重新设置PIN码后才能继续使用SIM卡,若SIM卡中包括多张用户证书时,用户需要申请多张用户证书,操作比较麻烦。
与现有技术相比,本发明实施方式提供的基于SIM卡的应用通信方法,通过在应用文件完成更新后,从数据存储应用读取用户数据。由于传统的SIM卡只有一个应用,因此当应用文件更新后,应用中保存的用户数据会丢失,恶意攻击者可以通过更新应用文件来清除用户数据,达到获取SIM卡的使用权限的非法目的,SIM卡的安全性较低;通过将SIM卡中的应用分离,利用数据存储应用存储用户数据,如此一来,在应用文件完成更新后,业务逻辑应用可以从数据存储应用中读取用户数据,使恶意攻击者无法通过更新应用文件来清除用户数据,以达到获取SIM卡使用权限的目的,提高了SIM卡的安全性;同时,由于业务逻辑应用可以从数据存储应用中读取用户数据,用户不需要重新获取或设置用户数据,提高了SIM卡使用的便利性。
在一具体的例子中,在从数据存储应用读取用户数据之前,如图2所示,还包括以下步骤:
S101:根据预设的加密算法生成鉴权数据,并将鉴权数据发送至数据存储应用。
其中,预设的加密算法可以包括对称加密算法和非对称加密算法,例如DES、AES或RSA等算法,具体可以根据实际需要进行设置,这里不做具体限制。
例如,业务逻辑应用预制的私钥(预设的加密算法)生成鉴权数据,然后将生成的鉴权数据发送至数据存储应用,其中,预制的私钥可以设置于业务逻辑应用中。
S102:接收数据存储应用根据鉴权数据返回的鉴权结果。
具体地,业务逻辑应用将鉴权数据发送至数据存储应用之后,接收数据存储应用根据鉴权数据返回的鉴权结果。其中,鉴权结果包括通过和不通过。可选地,当接收到鉴权结果为通过时,业务逻辑应用可以从数据存储应用中读取数据或向数据存储应用写入数据;当接收到鉴权结果为不通过时,业务逻辑应用不能从数据存储应用读取数据或向数据存储应用写入数据。
通过生成鉴权数据并将鉴权数据发送至数据存储应用,可以实现数据存储应用对业务逻辑应用的鉴权,保证业务逻辑应用的合法性,提高了SIM卡的安全性;同时,通过预设的加密算法生成鉴权数据,可以使恶意攻击者无法获取鉴权数据的内容,无法伪造鉴权数据来通过鉴权,进一步提高了SIM卡的安全性。
在一个具体的例子中,在S102之后,即在接收数据存储应用根据鉴权数据返回的鉴权结果之后,如图3所示,还包括以下步骤:
S201:从数据存储应用获取会话密钥。
应当理解的是,业务逻辑应用从数据存储应用获取会话密钥的前提是:数据存储应用返回的鉴权结果为通过。可选地,会话密钥可以由数据存储应用生成。
S202:根据会话密钥加密待写入数据,并生成校验数据。
其中,校验数据可以为消息认证码(Message Authentication Code,MAC),也可以为其它的校验数据,具体可以根据实际需要进行设置,这里不做限制。
待写入数据例如是用户数据,即用户通过业务逻辑应用将用户数据写进数据存储应用中,也可以为其它数据,这里不做限制。
S203:将加密后的待写入数据和校验数据发送至数据存储应用。
具体地,业务逻辑应用将根据会话密钥加密后的待写入数据和生成的校验数据发送至数据存储应用,使数据存储应用对校验数据进行校验。可选地,若校验通过,则数据存储应用对加密后的待写入数据进行解密后写入。
通过从数据存储应用获取会话密钥,并使用会话密钥加密待写入数据,可以加密业务逻辑应用与数据存储应用之间的通信内容,使恶意攻击者无法获取通信内容或对通信内容进行篡改,提高SIM卡应用之间通信的安全性;另外,在业务逻辑应用向数据存储应用写入数据前,先生成校验数据发送至数据存储应用,可以进一步确保业务逻辑应用使用者的身份合法性,提高SIM卡中数据的安全性。
在一个具体的例子中,业务逻辑应用从数据存储应用读取用户数据,如图4所示,包括以下步骤:
S301:生成校验数据和读取用户数据的指令。
S302:将校验数据和指令发送至数据存储应用。
S303:在数据存储应用对校验数据校验通过后,接收数据存储应用根据指令返回的用户数据。
S301中,校验数据具体可以根据实际需要进行设置,这里不做具体限制。优选地,校验数据为MAC。读取用户数据的指令是指根据业务逻辑应用与数据存储应用之间的协议生成的指令,以使数据存储应用可以识别指令并响应指令。
具体地,业务逻辑应用生成校验数据和根据协议生成读取用户数据的指令,然后将校验数据和读取指令发送至数据存储应用;在数据存储应用对校验数据校验通过后,接收数据存储应用根据读取指令返回与指令相应的用户数据。可选地,若对校验数据校验不通过,则数据存储应用忽略该读取指令。
可选地,业务逻辑应用可以先将校验数据发送至数据存储应用,待数据存储应用对校验数据校验通过后,再将读取用户数据的指令发送至数据存储应用。
可选地,业务逻辑应用在发送读取用户数据的指令之前,可以先进行鉴权,例如是数据存储应用对业务逻辑应用进行鉴权;还可以在鉴权之后,获取会话密钥对读取用户数据的指令进行加密,具体可以根据实际需要进行设置,这里不做限制。
通过生成读取用户数据的指令发送至数据存储应用,可以达到从数据存储应用读取用户数据的目的;同时,数据存储应用在返回用户数据之前先对业务逻辑应用生成的校验数据进行校验,可以保证业务逻辑应用使用者的身份合法性,提高SIM卡的安全性。
本发明的第二实施方式涉及一种基于SIM卡的应用通信方法,通过接收业务逻辑应用发起的读取用户数据的请求,根据读取用户数据的请求将用户数据返回至业务逻辑应用。由于可以根据业务逻辑应用发起的请求返回用户数据,因此可以实现在业务逻辑应用中的SIM卡应用文件完成更新后,业务逻辑应用能获取到用户数据,从而使恶意攻击者无法通过更新SIM卡应用来清除用户数据以达到SIM卡使用权限的目的,提高了SIM卡的安全性。
应当理解的是,本发明实施方式的执行主体为图1中的数据存储应用。
具体地,数据存储应用接收业务逻辑应用发起的读取用户数据的请求,根据请求将需要读取的用户数据返回至业务逻辑应用。可选地,读取用户数据的请求可以为SIM卡应用文件完成更新后由业务逻辑应用自动发起的请求,也可以根据用户的输入指令发起的请求,这里不做具体限制。可选地,数据存储应用在根据读取指令返回用户数据之前,可以对业务逻辑应用进行鉴权或验证,在鉴权或验证通过后再将用户数据返回至业务逻辑应用,具体可以根据实际需要进行设置,这里不做具体限制。
与现有技术相比,本发明实施方式提供的基于SIM卡的应用通信方法,通过接收业务逻辑应用发起的读取用户数据的请求,根据请求将需要的用户数据返回至业务逻辑应用。由于传统的SIM卡只有一个应用,因此当应用文件更新后,应用中保存的用户数据会丢失,恶意攻击者可以通过更新应用文件来清除用户数据,达到获取SIM卡的使用权限的非法目的,SIM卡的安全性较低;通过SIM卡中的应用分离,使业务逻辑应用中的SIM卡应用文件完成更新后,可向数据存储应用发起请求来获取用户数据,从而使恶意攻击者无法通过更新应用文件来清除用户数据,以达到获取SIM卡使用权限的目的,提高了SIM卡的安全性;同时,由于业务逻辑应用可以从数据存储应用读取用户数据,不需要用户重新获取或设置用户数据,提高了SIM卡使用的便利性。
在一个具体的例子,在接收业务逻辑应用发起的读取用户数据的请求之前,如图5所示,还包括以下步骤:
S401:接收业务逻辑应用发送的鉴权数据。
可选地,业务逻辑应用发送的鉴权数据可以由加密算法生成,加密算法可以包括对称加密算法和非对称加密算法,具体可以根据实际需要进行设置,这里不做具体限制。
S402:对鉴权数据进行鉴权,并将鉴权结果返回至业务逻辑应用。
其中,鉴权结果包括通过和不通过,可选地,当鉴权结果为通过时,数据存储应用允许业务逻辑应用读取数据或写入数据;当鉴权结果为不通过时,数据存储应用拒绝业务逻辑应用读取数据或写入数据。
通过接收业务逻辑应用发送的鉴权数据,可以实现对业务逻辑应用的鉴权,可以保证数据存储应用中的数据的安全性,提高了SIM卡使用的安全性。
在一个具体的例子中,在S402之后,即在对鉴权数据进行鉴权之后,如图6所示,还包括以下步骤:
S501:若鉴权结果为通过,则生成会话密钥并将会话密钥发送至业务逻辑应用。
S502:接收业务逻辑应用发送的校验数据和根据会话密钥加密的待写入数据。
S503:对校验数据进行校验,若校验通过,则对加密的待写入数据进行解密,得到待写入数据。
S504:写入待写入数据。
S502中,校验数据可以根据实际需要进行设置,这里不做具体限制。优选地,校验数据为MAC。
对于S501-S504,具体地说,若对业务逻辑应用发送的鉴权数据为通过,则数据存储应用生成会话密钥并将会话密钥发送至业务逻辑应用,以使业务逻辑应用根据会话密钥对会话的内容进行加密;当接收到业务逻辑应用发送的校验数据和根据会话密钥加密的待写入数据时,数据存储应用对校验数据进行校验,若校验通过,则采用会话密钥将加密的待写入数据进行解密,得到待写入数据,再将待写入数据写入数据存储应用。
在鉴权结果通过后,将生成的会话密钥发送至业务逻辑应用,使业务逻辑应用可以根据会话密钥加密待写入数据,从而使恶意攻击者无法获取业务逻辑应用与数据存储应用的通信内容;同时,在业务逻辑应用向数据存储应用写入数据前,先进行校验数据的校验,可以保证写入数据存储应用的数据的合法性,从而提高了SIM卡使用的安全性。
在一个具体的例子中,数据存储应用接收业务逻辑应用发起的读取用户数据的请求,包括:接收业务逻辑应用发送的校验数据和读取用户数据的指令。
数据存储应用根据请求将用户数据返回至业务逻辑应用,包括:对校验数据进行校验,若校验通过,则根据读取用户数据的指令将用户数据返回对业务逻辑应用。
其中,校验数据具体可以根据实际需要进行设置,这里不做具体限制。优选地,校验数据为MAC。
具体地,数据存储应用接收业务逻辑应用发送的校验数据和读取用户数据的指令,对接收到的校验数据进行校验,若校验通过,则根据读取用户数据的指令将指令对应的用户数据返回至业务逻辑应用。可选地,若校验通过,则数据存储应用拒绝响应读取用户数据的指令。
在业务逻辑应用需要从数据存储应用读取数据时,数据存储应用先对业务逻辑应用发送的校验数据进行校验,在校验通过后再将用户数据返回至业务逻辑应用,可以保证数据存储应用中的用户数据被读取的合法性,提高SIM卡使用的安全性。
请参考图7,其为业务逻辑应用与数据存储应用进行通信的流程具体示例图。具体的流程为:(1)首先业务逻辑应用通过预制的私钥(预设的加密算法),生成签名鉴权数据;(2)业务逻辑应用通过访问鉴权接口将鉴权数据发送给数据存储应用,数据存储应用用预制的证书进行鉴权,并将鉴权结果返回给业务逻辑应用;(3)业务逻辑应用获取到鉴权通过的结果后,通过数据存储应用对应的接口获取数据存储应用生成会话密钥(对称密钥),并用证书的公钥进行加密,将加密后的数据返回给业务逻辑应用;业务逻辑应用私钥解密数据后,写入会话密钥;(4)若业务逻辑应用需要写入数据到数据存储应用,则业务逻辑应用用会话密钥加密待写入的数据,并生成MAC校验数据,调用数据存储应用的写入接口进行写操作;(5)数据存储应用先校验MAC,校验通过后,对解密数据进行解密后写入到应用中;(6)若业务逻辑应用需要读取数据,则拼装读取指令和生成MAC数据,数组存储应用校验MAC通过后,返回对应的数据;(7)业务逻辑应用操作完成之后,需要断开连接。下次操作需要重新发起鉴权流程。应当说明的是,(4)和(5)是业务逻辑应用向数据存储应用写入数据的流程,(6)是业务逻辑应用从数据存储应用读取数据的流程,两个流程可根据实际需要进行,而不应以序号为限。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包含相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
本发明第三实施方式涉及一种基于SIM卡的应用通信系统,如图8所示,包括业务逻辑应用模块601和数据存储应用模块602。
业务逻辑应用模块601,用于在应用文件完成更新后,向数据存储应用模块发起读取用户数据的请求;
数据存储应用模块602,用于存储用户数据,当接收到请求时,根据请求将用户数据返回至业务逻辑应用模块。
进一步地,业务逻辑应用模块601还用于:
根据预设的加密算法生成鉴权数据,并将鉴权数据发送至数据存储应用;
接收数据存储应用根据鉴权数据返回的鉴权结果。
数据存储应用模块602还用于:
接收业务逻辑应用发送的鉴权数据;
对鉴权数据进行鉴权,并将鉴权结果返回至业务逻辑应用。
进一步地,业务逻辑应用模块601还用于:
从数据存储应用获取会话密钥;
根据会话密钥加密待写入数据,并生成校验数据;
将加密后的待写入数据和校验数据发送至数据存储应用。
数据存储应用模块602还用于:
若鉴权结果为通过,则生成会话密钥并将会话密钥发送至业务逻辑应用;
接收业务逻辑应用发送的校验数据和根据会话密钥加密的待写入数据;
对校验数据进行校验,若校验通过,则对加密的待写入数据进行解密,得到待写入数据;
写入待写入数据。
进一步地,业务逻辑应用模块601还用于:
生成校验数据和读取用户数据的指令;
将校验数据和指令发送至数据存储应用;
在数据存储应用对校验数据校验通过后,接收数据存储应用根据指令返回的用户数据。
数据存储应用模块602还用于:
接收业务逻辑应用发送的校验数据和读取用户数据的指令;
对校验数据进行校验,若校验通过,则根据指令将用户数据返回至业务逻辑应用。
不难发现,本实施方式为与第一实施方式和第二实施方式相对应的系统实施例,本实施方式可与第一实施方式和第二实施方式互相配合实施。第一实施方式和第二实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一实施方式和第二实施方式中。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
本发明第四实施方式涉及一种网络设备,如图9所示,包括至少一个处理器701;以及,与至少一个处理器701通信连接的存储器702;其中,存储器702存储有可被至少一个处理器701执行的指令,指令被至少一个处理器701执行,以使至少一个处理器701能够执行上述的基于SIM卡的应用通信方法。
其中,存储器702和处理器701采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器701和存储器702的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器701处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器701。
处理器701负责管理总线和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器702可以被用于存储处理器701在执行操作时所使用的数据。
本发明第五实施方式涉及一种计算机可读存储介质,存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。
即,本领域技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (11)
1.一种基于SIM卡的应用通信方法,其特征在于,包括:
在应用文件完成更新后,从数据存储应用读取用户数据,所述数据存储应用用于存储所述用户数据。
2.根据权利要求1所述的应用通信方法,其特征在于,在所述从数据存储应用读取用户数据之前,还包括:
根据预设的加密算法生成鉴权数据,并将所述鉴权数据发送至所述数据存储应用;
接收所述数据存储应用根据所述鉴权数据返回的鉴权结果。
3.根据权利要求2所述的应用通信方法,其特征在于,在所述接收所述数据存储应用根据所述鉴权数据返回的鉴权结果之后,还包括:
从所述数据存储应用获取会话密钥;
根据所述会话密钥加密待写入数据,并生成校验数据;
将加密后的待写入数据和所述校验数据发送至所述数据存储应用。
4.根据权利要求1或2所述的应用通信方法,其特征在于,所述从数据存储应用读取用户数据,包括:
生成校验数据和读取用户数据的指令;
将所述校验数据和所述指令发送至所述数据存储应用;
在所述数据存储应用对所述校验数据校验通过后,接收所述数据存储应用根据所述指令返回的用户数据。
5.一种基于SIM卡的应用通信方法,其特征在于,包括:
接收业务逻辑应用发起的读取用户数据的请求;
根据所述请求将用户数据返回至所述业务逻辑应用。
6.根据权利要求5所述的应用通信方法,其特征在于,在所述接收业务逻辑应用发起的读取用户数据的请求之前,还包括:
接收所述业务逻辑应用发送的鉴权数据;
对所述鉴权数据进行鉴权,并将鉴权结果返回至所述业务逻辑应用。
7.根据权利要求6所述的应用通信方法,其特征在于,在所述对所述鉴权数据进行鉴权之后,还包括:
若所述鉴权结果为通过,则生成会话密钥并将所述会话密钥发送至所述业务逻辑应用;
接收所述业务逻辑应用发送的校验数据和根据所述会话密钥加密的待写入数据;
对所述校验数据进行校验,若校验通过,则对所述加密的待写入数据进行解密,得到所述待写入数据;
写入所述待写入数据。
8.根据权利要求5或6所述的应用通信方法,其特征在于,所述接收业务逻辑应用发起的读取用户数据的请求,包括:
接收所述业务逻辑应用发送的校验数据和读取用户数据的指令;
所述根据所述请求将用户数据返回至所述业务逻辑应用,包括:
对所述校验数据进行校验,若校验通过,则根据所述指令将用户数据返回至所述业务逻辑应用。
9.一种基于SIM卡的应用通信系统,其特征在于,包括:业务逻辑应用模块和数据存储应用模块;
所述业务逻辑应用模块,用于在应用文件完成更新后,向所述数据存储应用模块发起读取用户数据的请求;
所述数据存储应用模块,用于存储所述用户数据,当接收到所述请求时,根据所述请求将所述用户数据返回至所述业务逻辑应用模块。
10.一种网络设备,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1-4任一项所述的基于SIM卡的应用通信方法或如权利要求5-8任一项所述的基于SIM卡的应用通信方法。
11.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-4任一项所述的基于SIM卡的应用通信方法或如权利要求5-8任一项所述的基于SIM卡的应用通信方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010024676.XA CN111246480A (zh) | 2020-01-10 | 2020-01-10 | 基于sim卡的应用通信方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010024676.XA CN111246480A (zh) | 2020-01-10 | 2020-01-10 | 基于sim卡的应用通信方法、系统、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111246480A true CN111246480A (zh) | 2020-06-05 |
Family
ID=70867312
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010024676.XA Pending CN111246480A (zh) | 2020-01-10 | 2020-01-10 | 基于sim卡的应用通信方法、系统、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111246480A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111787521A (zh) * | 2020-06-30 | 2020-10-16 | 中国联合网络通信集团有限公司 | 终端应用权限获取方法、终端设备和usim |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101030145A (zh) * | 2007-04-10 | 2007-09-05 | 北京中星微电子有限公司 | 一种实现软件更新的方法及装置 |
CN101321341A (zh) * | 2008-07-11 | 2008-12-10 | 东信和平智能卡股份有限公司 | 智能卡断电保护方法 |
CN101694623A (zh) * | 2009-09-29 | 2010-04-14 | 上海夏新电子开发有限公司 | 一种更新手持设备软件的方法 |
CN102662692A (zh) * | 2012-03-16 | 2012-09-12 | 北京经纬恒润科技有限公司 | 一种电子控制单元中应用程序的更新方法及系统 |
CN103702449A (zh) * | 2012-09-27 | 2014-04-02 | 重庆重邮信科通信技术有限公司 | 一种客户识别模块卡的通信方法及设备 |
CN104090790A (zh) * | 2014-06-30 | 2014-10-08 | 飞天诚信科技股份有限公司 | 一种安全终端的双芯片方案的固件更新方法 |
CN106960156A (zh) * | 2016-01-08 | 2017-07-18 | 广州市动景计算机科技有限公司 | 基于应用程序的数据加密及访问方法、装置 |
-
2020
- 2020-01-10 CN CN202010024676.XA patent/CN111246480A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101030145A (zh) * | 2007-04-10 | 2007-09-05 | 北京中星微电子有限公司 | 一种实现软件更新的方法及装置 |
CN101321341A (zh) * | 2008-07-11 | 2008-12-10 | 东信和平智能卡股份有限公司 | 智能卡断电保护方法 |
CN101694623A (zh) * | 2009-09-29 | 2010-04-14 | 上海夏新电子开发有限公司 | 一种更新手持设备软件的方法 |
CN102662692A (zh) * | 2012-03-16 | 2012-09-12 | 北京经纬恒润科技有限公司 | 一种电子控制单元中应用程序的更新方法及系统 |
CN103702449A (zh) * | 2012-09-27 | 2014-04-02 | 重庆重邮信科通信技术有限公司 | 一种客户识别模块卡的通信方法及设备 |
CN104090790A (zh) * | 2014-06-30 | 2014-10-08 | 飞天诚信科技股份有限公司 | 一种安全终端的双芯片方案的固件更新方法 |
CN106960156A (zh) * | 2016-01-08 | 2017-07-18 | 广州市动景计算机科技有限公司 | 基于应用程序的数据加密及访问方法、装置 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111787521A (zh) * | 2020-06-30 | 2020-10-16 | 中国联合网络通信集团有限公司 | 终端应用权限获取方法、终端设备和usim |
CN111787521B (zh) * | 2020-06-30 | 2022-07-22 | 中国联合网络通信集团有限公司 | 终端应用权限获取方法、终端设备和usim |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10243933B2 (en) | Data processing method and apparatus | |
JP6262278B2 (ja) | アクセス制御クライアントの記憶及び演算に関する方法及び装置 | |
CN101828357B (zh) | 用于证书提供的方法和装置 | |
US10554393B2 (en) | Universal secure messaging for cryptographic modules | |
CN107358441B (zh) | 支付验证的方法、系统及移动设备和安全认证设备 | |
CN108566381A (zh) | 一种安全升级方法、装置、服务器、设备和介质 | |
CN101841525A (zh) | 安全接入方法、系统及客户端 | |
CN110868291B (zh) | 一种数据加密传输方法、装置、系统及存储介质 | |
CN103546289A (zh) | 一种基于USBKey的安全传输数据的方法及系统 | |
CN101588245A (zh) | 一种身份认证的方法、系统及存储设备 | |
CN111310213A (zh) | 一种业务数据保护方法、装置、设备及可读存储介质 | |
CN110598429B (zh) | 数据加密存储和读取的方法、终端设备及存储介质 | |
CN112232814A (zh) | 支付密钥的加密和解密方法、支付认证方法及终端设备 | |
CN111431840B (zh) | 安全处理方法、装置、计算机设备及可读存储介质 | |
JP2008535427A (ja) | データ処理デバイスとセキュリティモジュールとの間のセキュア通信 | |
CN107040501B (zh) | 基于平台即服务的认证方法和装置 | |
CN109302442B (zh) | 一种数据存储证明方法及相关设备 | |
CN111246480A (zh) | 基于sim卡的应用通信方法、系统、设备及存储介质 | |
CN117063174A (zh) | 用于通过基于app的身份的app间相互信任的安全模块及方法 | |
JP2023509806A (ja) | モバイルネットワークアクセスシステム、方法、記憶媒体及び電子機器 | |
CN107862209B (zh) | 一种文件加解密方法、移动终端和具有存储功能的装置 | |
CN109474624B (zh) | 一种应用程序认证系统及方法 | |
EP3732843A1 (en) | Systems and methods for providing authentication and/or authorization | |
CN115361140A (zh) | 安全芯片密钥验证方法及装置 | |
CN115529591A (zh) | 基于令牌的认证方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |